Cisco ASAのFailover構成におけるwrite standbyについて

ASA

結論：PrimaryからWrite memが正しい

CiscoのASAをFailoverリンクを使用してFailover構成にしている場合、Primary機からSecondary機へのconfig書き込みをどうすればいいか、について、明確な記述があったので備忘。

http://www.cisco.com/en/US/products/ps6120/products_qanda_item09186a0080bf952d.shtml

Failover構成になっている場合、Primary機で追加したConfigをSecondary機へも反映する必要があるが、その際にWrite memでいいよ派とwrite stanしたほうがいいよ派がいて、僕もいまいち理解できていませんでした。

ところが、ググってみると公式に回答が出ているので、それを参考にするのが正しいと思われます。一応、機械翻訳の日本語ページも公開されていたんですが、相変わらずのクソクオリティなので、幾分マシかもしれない僕翻訳をのせておきます。

You almost never need to enter the command write standby. 

write standbyコマンドを叩く必要はない。 

When you enter the write standby command, it causes the peer standby firewall to clear out its configuration. Effectively it issues a clear config all command. This causes the standby to erase its configuration within access control lists (ACLs), interfaces, and so on, and it resynchronizes its full configuration from the active peer. In addition, while the configuration is erased, all management sessions to the standby firewall are cleared. This is a result because the interfaces have reinitialized. The standby CPU load may increase because of the need to recompile the ACL data structures on the Adaptive Security Appliance (ASA) after the configuration rebuilds and resynchronizes.

write standbyを叩いた場合、standby firewallではclear config allコマンドが走り、すべてのconfigurationを一旦消去する。これにより、ACL, interface, その他諸々の設定が消え、active peerからfull configurationをロードすることになる。つまり、configurationが消えている間は、management sessionは初期化される。また、
ACLのリコンパイルにより、standby側のCPU負荷が上がる。

Note: This command does not actually issue a write memory command on the standby firewall. The standby firewall's configuration is not written to flash memory after the configuration is synchronized as noted in the ASA command reference for write standby. In order to save the configuration on the standby firewall, enter the write memory command from the active firewall. Refer to the Cisco ASA Series Command Reference, 8.4, 8.5, 8.6, and 8.7 document for more information on write standby.

Note: write standbyコマンドはstandby側でwrite memを叩く役割をするものではない。 ASAのcommand referenceに載っている通り、standby firewallのconfigurationはwrite standbyではflash memoryに書き込まれることはない。
standby firewallでconfigurationをsaveするためには、active firewallからwrite memoryを叩く必要がある。write standby については、Cisco ASA Series Command Refernce 8.4, 8.5, 8.6, 8.7を参照。

In general, the only time a write standby should be issued is if you have confirmed that the standby firewall's operational configuration does not match the active firewall's configuration. You should confirm that the configurations are out-of-sync. Enter the show run command on both units and compare the results. The only difference should be the failover lan unit command, which indicates a primary versus secondary.

一般的に、write standbyを使用するタイミングは、standby firewallのconfigurationがactive firewallのconfigurationと同期していないことが確認できた場合のみである。
両機器でshow runを取得し、確実に同期していないことを確かめるため、比較を行うべきである。唯一の違いはfailover lan unitコマンドにおいて、primary かsecondaryかが違うのみである。