Cisco CSR1000v ルータに対するファイアウォール ボックスツーボックス ハイ アベイラビリティ サポート

Cisco CSR1000v ルータのファイアウォール ボックスツーボックス ハイ アベイラビリティ サポート機能を使用すると、相互にバックアップとして動作するルータのペアを設定できます。この機能を設定し、複数のフェールオーバー条件に基づいてアクティブ ルータを判断できます。フェールオーバーが発生すると、中断なくスタンバイ ルータが引き継ぎ、トラフィック フォワーディング サービスの実行とダイナミック ルーティング テーブルのメンテナンスを開始します。

Cisco CSR1000v ルータのファイアウォール ボックスツーボックス ハイ アベイラビリティ サポートの前提条件

  • ファイアウォールに接続しているインターフェイスは、同じ冗長インターフェイス識別子(RII)を持つ必要があります。

  • アクティブ デバイスおよびスタンバイ デバイスは、Cisco IOS XE ゾーンベース ファイアウォールの設定を同じにする必要があります。

  • アクティブ デバイスとスタンバイ デバイスは、同じバージョンの Cisco IOS XE ソフトウェアで実行する必要があります。アクティブ デバイスとスタンバイは、スイッチを介して接続する必要があります。

Cisco CSR1000v ルータのファイアウォール ボックスツーボックス ハイ アベイラビリティ サポートに関する制約事項

  • デュアル IOS デーモン(IOSd)が設定されている場合、デバイスはファイアウォール ボックスツーボックス ハイ アベイラビリティの設定をサポートしません。

Cisco CSR1000v ルータのファイアウォール ボックスツーボックス高可用性サポートについて

Cisco CSR1000v でのファイアウォール ボックスツーボックス高可用性サポートの機能

相互にホット スタンバイとして動作するようにルータのペアを設定できます。この冗長性は、インターフェイス ベースで設定します。冗長インターフェイスのペアは、冗長グループと呼ばれます。次の図に、アクティブ/スタンバイ デバイスのシナリオを示します。また、1 つの発信インターフェイスを持つルータのペアについて、冗長グループを設定する方法を示します。アクティブ/アクティブ デバイス シナリオを表現する「冗長グループの設定:2 つの発信インターフェイス」の図に、2 つの発信インターフェイスを使用するルータのペアに 2 つの冗長グループを設定する方法を示します。

いずれの場合でも、設定可能なコントロール リンクおよびデータ同期リンクによって冗長ルータは参加します。コントロール リンクは、ルータのステータスを通信するために使用されます。データ同期リンクは、ネットワーク アドレス変換(NAT)およびファイアウォールからステートフル情報を転送し、これらのアプリケーションについてステートフル データベースを同期するために使用されます。

また、いずれの場合でも、冗長インターフェイスのペアは、同じ固有 ID 番号(RII と呼ばれます)で設定されます。

図 1. 冗長グループの設定:2 つの発信インターフェイス


図 2. 冗長グループの設定


以下のシナリオは、Cisco CSR1000v ルータにボックスツーボックス高可用性を導入する例です。

図 3. 2 つの独立したサーバでの CSR1000v ボックスツーボックス高可用性


この導入では、2 つの冗長 Cisco CSR 1000v ルータがそれぞれ異なる独立した UCS サーバ内にあります。2 つの Cisco Unified Computing System(UCS)サーバは、同じデータセンター内に配置することも、異なる地域の 2 つの異なるデータセンター内に配置することもできます。ボックスツーボックス高可用性データ リンクおよびコントロール リンクには、2 つの別個の物理接続を設定することを推奨します。ただし、2 つの専用物理リンクが使用できない場合は、ボックスツーボックス高可用性データ トラフィックおよびコントロール トラフィックにそれぞれ異なる LAN 拡張接続を経由できます。その場合、遅延の増加を考慮してボックスツーボックス高可用性パラメータ(ハート ビート期間など)を調整する必要があります。

各 Cisco CSR 1000v ルータの LAN インターフェイスは、スイッチ(ESXi L2 SW など)を介して UCS 物理ネットワーク インターフェイス カード(NIC)のインターフェイスと接続します。それぞれの UCS にある 2 つの物理 NIC は外部スイッチに接続されてボックスツーボックス ペアを形成します。Gratuitous Address Resolution Protocol(ARP)は、CSR LAN インターフェイスから送信されて物理スイッチとそのスイッチの組み込みアドレス(BIA)に到達します。

図 4. クラスタ サーバでの CSR1000v ボックスツーボックス高可用性


上記の導入例での NAT とゾーンベース ファイアウォール(ZBFW)のボックスツーボックス高可用性は UCS クラスタ構成でも機能します。クラスタ構成の場合、ボックスツーボックスコントロール リンクおよびデータ リンクはクラスタ内の仮想接続を経由します。スイッチ(ESXi L2 SW など)を使用して接続された 2 つの冗長 Cisco CSR 1000v ルータがボックスツーボックス高可用性ペアを形成します。それぞれの Cisco CSR 1000v ルータ上の LAN インターフェイスは SW スイッチに直接接続され、クラスタ UCS の 2 つの物理 NIC は外部ネットワークと通信するために SW スイッチに接続されます。

設定および設定例について詳しくは、「ファイアウォール ステートフル シャーシ間冗長性の設定」モジュールを参照してください。

例:Cisco CSR1000v ルータのファイアウォール ボックスツーボックス ハイ アベイラビリティの設定

次に、冗長アプリケーション グループ、冗長グループ プロトコル、仮想 IP アドレスと冗長インターフェイス識別子、および制御インターフェイスとデータ インターフェイスを設定する例を示します。


!Configures a redundancy application group
Device# configure terminal
Device(config)# redundancy
Device(config-red)# application redundancy 
Device(config-red-app)# group 1
Device(config-red-app-grp)# name group1 
Device(config-red-app-grp)# priority 100 failover-threshold 50 
Device(config-red-app-grp)# preempt 
Device(config-red-app-grp)# track 200 decrement 200 
Device(config-red-app-grp)# exit

!Configures a redundancy group protocol
Device(config-red-app)# protocol 1
Device(config-red-app-prtcl)# timers hellotime 3 holdtime 9 
Device(config-red-app-prtcl)# authentication md5 key-string 0 n1 timeout 100 
Device(config-red-app-prtcl)# bfd
Device(config-red-app-prtcl)# end

! Configures a Virtual IP Address and Redundant Interface Identifier
Device# configure terminal
Device(config)# interface GigabitEthernet0/1/1
Device(conf-if)# redundancy rii 600
Device(config-if)# redundancy group 2 ip 10.2.3.4 exclusive decrement 200 
Device(config)# redundancy
Device(config-red-app-grp)# data GigabitEthernet0/0/0 
Device(config-red-app-grp)# control GigabitEthernet0/0/2 protocol 1
Device(config-red-app-grp)# end

!Configures control and data interfaces
Device# configure terminal
Device(config-red)# application redundancy 
Device(config-red-app-grp)# group 1
Device(config-red-app-grp)# data GigabitEthernet 0/0/0 
Device(config-red-app-grp)# control GigabitEthernet 0/0/2 protocol 1
Device(config-red-app-grp)# end

Cisco CSR1000v ルータのファイアウォール ボックスツーボックス ハイ アベイラビリティに関する追加情報

関連資料

関連項目

マニュアル タイトル

Cisco IOS コマンド

『Master Command List』、すべてのリリース

セキュリティ コマンド

ファイアウォール ステートフル シャーシ間冗長性

シスコのテクニカル サポート

説明

リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

Cisco CSR1000v ルータのファイアウォール ボックスツーボックス ハイ アベイラビリティに関する機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. ファイアウォール ステートフル シャーシ間冗長性に関する機能情報

機能名

リリース

機能情報

Cisco CSR1000v ルータに対するファイアウォール ボックスツーボックス ハイ アベイラビリティ

Cisco IOS XE リリース 3.14S

Cisco CSR1000v ルータに対するファイアウォール ボックスツーボックス ハイ アベイラビリティ機能を使用すれば、Cisco CSR1000v ルータのペアを互いのバックアップとして機能するように設定することができます。