この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco CSR1000v ルータのファイアウォール ボックスツーボックス ハイ アベイラビリティ サポート機能を使用すると、相互にバックアップとして動作するルータのペアを設定できます。この機能を設定し、複数のフェールオーバー条件に基づいてアクティブ ルータを判断できます。フェールオーバーが発生すると、中断なくスタンバイ ルータが引き継ぎ、トラフィック フォワーディング サービスの実行とダイナミック ルーティング テーブルのメンテナンスを開始します。
ファイアウォールに接続しているインターフェイスは、同じ冗長インターフェイス識別子(RII)を持つ必要があります。
アクティブ デバイスおよびスタンバイ デバイスは、Cisco IOS XE ゾーンベース ファイアウォールの設定を同じにする必要があります。
アクティブ デバイスとスタンバイ デバイスは、同じバージョンの Cisco IOS XE ソフトウェアで実行する必要があります。アクティブ デバイスとスタンバイは、スイッチを介して接続する必要があります。
デュアル IOS デーモン(IOSd)が設定されている場合、デバイスはファイアウォール ボックスツーボックス ハイ アベイラビリティの設定をサポートしません。
相互にホット スタンバイとして動作するようにルータのペアを設定できます。この冗長性は、インターフェイス ベースで設定します。冗長インターフェイスのペアは、冗長グループと呼ばれます。次の図に、アクティブ/スタンバイ デバイスのシナリオを示します。また、1 つの発信インターフェイスを持つルータのペアについて、冗長グループを設定する方法を示します。アクティブ/アクティブ デバイス シナリオを表現する「冗長グループの設定:2 つの発信インターフェイス」の図に、2 つの発信インターフェイスを使用するルータのペアに 2 つの冗長グループを設定する方法を示します。
いずれの場合でも、設定可能なコントロール リンクおよびデータ同期リンクによって冗長ルータは参加します。コントロール リンクは、ルータのステータスを通信するために使用されます。データ同期リンクは、ネットワーク アドレス変換(NAT)およびファイアウォールからステートフル情報を転送し、これらのアプリケーションについてステートフル データベースを同期するために使用されます。
また、いずれの場合でも、冗長インターフェイスのペアは、同じ固有 ID 番号(RII と呼ばれます)で設定されます。
以下のシナリオは、Cisco CSR1000v ルータにボックスツーボックス高可用性を導入する例です。
この導入では、2 つの冗長 Cisco CSR 1000v ルータがそれぞれ異なる独立した UCS サーバ内にあります。2 つの Cisco Unified Computing System(UCS)サーバは、同じデータセンター内に配置することも、異なる地域の 2 つの異なるデータセンター内に配置することもできます。ボックスツーボックス高可用性データ リンクおよびコントロール リンクには、2 つの別個の物理接続を設定することを推奨します。ただし、2 つの専用物理リンクが使用できない場合は、ボックスツーボックス高可用性データ トラフィックおよびコントロール トラフィックにそれぞれ異なる LAN 拡張接続を経由できます。その場合、遅延の増加を考慮してボックスツーボックス高可用性パラメータ(ハート ビート期間など)を調整する必要があります。
各 Cisco CSR 1000v ルータの LAN インターフェイスは、スイッチ(ESXi L2 SW など)を介して UCS 物理ネットワーク インターフェイス カード(NIC)のインターフェイスと接続します。それぞれの UCS にある 2 つの物理 NIC は外部スイッチに接続されてボックスツーボックス ペアを形成します。Gratuitous Address Resolution Protocol(ARP)は、CSR LAN インターフェイスから送信されて物理スイッチとそのスイッチの組み込みアドレス(BIA)に到達します。
上記の導入例での NAT とゾーンベース ファイアウォール(ZBFW)のボックスツーボックス高可用性は UCS クラスタ構成でも機能します。クラスタ構成の場合、ボックスツーボックスコントロール リンクおよびデータ リンクはクラスタ内の仮想接続を経由します。スイッチ(ESXi L2 SW など)を使用して接続された 2 つの冗長 Cisco CSR 1000v ルータがボックスツーボックス高可用性ペアを形成します。それぞれの Cisco CSR 1000v ルータ上の LAN インターフェイスは SW スイッチに直接接続され、クラスタ UCS の 2 つの物理 NIC は外部ネットワークと通信するために SW スイッチに接続されます。
設定および設定例について詳しくは、「ファイアウォール ステートフル シャーシ間冗長性の設定」モジュールを参照してください。
次に、冗長アプリケーション グループ、冗長グループ プロトコル、仮想 IP アドレスと冗長インターフェイス識別子、および制御インターフェイスとデータ インターフェイスを設定する例を示します。
!Configures a redundancy application group
Device# configure terminal
Device(config)# redundancy
Device(config-red)# application redundancy
Device(config-red-app)# group 1
Device(config-red-app-grp)# name group1
Device(config-red-app-grp)# priority 100 failover-threshold 50
Device(config-red-app-grp)# preempt
Device(config-red-app-grp)# track 200 decrement 200
Device(config-red-app-grp)# exit
!Configures a redundancy group protocol
Device(config-red-app)# protocol 1
Device(config-red-app-prtcl)# timers hellotime 3 holdtime 9
Device(config-red-app-prtcl)# authentication md5 key-string 0 n1 timeout 100
Device(config-red-app-prtcl)# bfd
Device(config-red-app-prtcl)# end
! Configures a Virtual IP Address and Redundant Interface Identifier
Device# configure terminal
Device(config)# interface GigabitEthernet0/1/1
Device(conf-if)# redundancy rii 600
Device(config-if)# redundancy group 2 ip 10.2.3.4 exclusive decrement 200
Device(config)# redundancy
Device(config-red-app-grp)# data GigabitEthernet0/0/0
Device(config-red-app-grp)# control GigabitEthernet0/0/2 protocol 1
Device(config-red-app-grp)# end
!Configures control and data interfaces
Device# configure terminal
Device(config-red)# application redundancy
Device(config-red-app-grp)# group 1
Device(config-red-app-grp)# data GigabitEthernet 0/0/0
Device(config-red-app-grp)# control GigabitEthernet 0/0/2 protocol 1
Device(config-red-app-grp)# end|
関連項目 |
マニュアル タイトル |
|---|---|
|
Cisco IOS コマンド |
|
|
セキュリティ コマンド |
|
|
ファイアウォール ステートフル シャーシ間冗長性 |
|
|
説明 |
リンク |
|---|---|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。|
機能名 |
リリース |
機能情報 |
|---|---|---|
|
Cisco CSR1000v ルータに対するファイアウォール ボックスツーボックス ハイ アベイラビリティ |
Cisco IOS XE リリース 3.14S |
Cisco CSR1000v ルータに対するファイアウォール ボックスツーボックス ハイ アベイラビリティ機能を使用すれば、Cisco CSR1000v ルータのペアを互いのバックアップとして機能するように設定することができます。 |
フィードバック