この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ゾーンベース ファイアウォールおよび NAT のシャーシ間非対称ルーティングサポート機能では、スタンバイ冗長グループからアクティブ冗長グループへのパケット処理のためのパケット転送がサポートされています。この機能が有効になっていない場合は、初期同期(SYN)メッセージを受信しなかったルータに転送されたリターン TCP パケットがドロップされます。これは、パケットが既知のセッションに属していないためです。
このモジュールでは、非対称ルーティングの概要とその設定方法について説明します。
非対称ルーティングは、TCP または UDP 接続の複数のパケットが、異なるルートを経由して異なる方向に送信される場合に発生します。非対称ルーティングでは、1 つの TCP または UDP 接続に属しているパケットは、冗長グループ(RG)の 1 つのインターフェイスを介して転送されますが、同じ RG の別のインターフェイスを介して戻されます。非対称ルーティングでは、パケットフローは同じ RG に残ります。非対称ルーティングを設定する場合、スタンバイ RG で受信したパケットは、処理のためにアクティブ RG にリダイレクトされます。非対称ルーティングが設定されていない場合、スタンバイ RG で受信したパケットはドロップされる可能性があります。
非対称ルーティングは、特定のトラフィックフローの RG を決定します。RG の状態は、パケット処理の決定において重要です。RG がアクティブの場合は、通常のパケットの処理が実行されます。RG がスタンバイ状態で、非対称ルーティングおよび asymmetric-routing always-divert enable コマンドを設定している場合、パケットはアクティブ RG に転送されます。スタンバイ RG で受信したパケットをアクティブ RG に常に転送するには、 asymmetric-routing always-divert enable コマンドを使用します。
次の図は、別の非対称ルーティング インターリンク インターフェイスを使用して、パケットをアクティブ RG に転送する非対称ルーティング シナリオを示しています。
非対称ルーティングには次のルールが適用されます。
冗長インターフェイス識別子(RII)とインターフェイス間のマッピングは 1:1 です。
インターフェイスと RG 間のマッピングは 1:n です 。(1 つの非対称ルーティング インターフェイスは複数の RG との間でトラフィックを送受信できます。非対称ルーティング インターフェイス以外のインターフェイス(通常の LAN インターフェイス)では、インターフェイスと RG 間のマッピングは 1:1 です)
RG およびその RG を使用するアプリケーション間のマッピングは 1:n です。(複数のアプリケーションが同じ RG を使用できます)。
RG とトラフィック フロー間のマッピングは 1:1 です。トラフィック フローは、単一 RG だけにマッピングされる必要があります。トラフィック フローが複数の RG にマッピングされると、エラーが発生します。
非対称ルーティング インターリンクに、すべての RG インターリンク トラフィックをサポートできる十分な帯域幅がある限り、RG と非対称ルーティング インターリンク間のマッピングは 1:1 または 1:n です。
非対称ルーティングは、転送されるすべてのトラフィックを処理するインターリンク インターフェイスで構成されます。非対称ルーティング インターリンク インターフェイスの帯域幅は、転送が予期されるすべてのトラフィックを処理できるだけの十分な大きさが必要です。IPv4 アドレスは、非対称ルーティング インターリンク インターフェイスで設定され、非対称ルーティング インターフェイスの IP アドレスは、このインターフェイスから到達可能である必要があります。
 Note |
非対称ルーティング インターリンク インターフェイスは、インターリンク トラフィックのみに使用し、ハイ アベイラビリティ制御インターフェイスまたはデータ インターフェイスと共有しないことを推奨します。これは、非対称ルーティング インターリンク インターフェイス上のトラフィック量が非常に高くなる可能性があるためです。 |
ボックス内非対称ルーティングのサポートのために、ファイアウォールは、Internet Control Message Protocol(ICMP)、TCP、および UDP パケットのステートフル レイヤ 3 およびレイヤ 4 インスペクションを行います。ファイアウォールは、パケットのウィンドウ サイズと順序を確認して、TCP パケットのステートフル インスペクションを実行します。ファイアウォールでは、ステートフル インスペクションのためにトラフィックの双方向からのステート情報も必要です。ファイアウォールは ICMP 情報フローの限定的なインスペクションを行います。ICMP エコー要求および応答に関連付けられているシーケンス番号が確認されます。ファイア ウォールでスタンバイ冗長グループ(RG)とパケットフローの同期が行われるのは、そのパケットに対してセッションが確立された後です。確立されるセッションは、TCP、UDP の 2 番目のパケット、および ICMP の情報メッセージに対するスリーウェイ ハンドシェイクです。すべての ICMP フローはアクティブ RG に送信されます。
ファイアウォールにより、ICMP、TCP、および UDP プロトコルに属さないパケットについて、ポリシーのステートレス検証が行われます。
ファイアウォールは、双方向トラフィックを使用して、パケット フローがエージングアウトする時期を決定し、すべての検査対象パケット フローをアクティブ RG に転送します。パス ポリシーを持つパケット フローと、ポリシーなしまたはドロップポリシーと同じゾーンが含まれるパケット フローは転送されません。
Note |
スタンバイ RG で受信したパケットをアクティブ RG へ転送する asymmetric-routing always-divert enable コマンドは、ファイアウォールではサポートされていません。デフォルトでは、ファイアウォールはすべてのパケット フローをアクティブ RG に強制的に転送します。 |
デフォルトでは、非対称ルーティングが設定されている場合、ネットワーク アドレス変換(NAT)は非 ALG パケットをアクティブ RG に転送するのではなく、スタンバイ RG で処理します。NAT のみの設定(ファイアウォールが設定されていない場合)では、パケットの処理にアクティブ RG およびスタンバイ RG の両方を使用できます。NAT のみの設定を使用しており、非同期ルーティングを設定している場合、デフォルトの非同期ルーティング ルールは、NAT がスタンバイ RG でパケットを選択的に処理するというルールです。スタンバイ RG で受信したパケットをアクティブ RG へ転送するように asymmetric-routing always-divert enable コマンドを設定できます。あるいは、NAT と共にファイアウォールを設定している場合は、デフォルトの非同期ルーティング ルールではパケットが常にアクティブ RG に転送されます。
NAT がスタンバイ RG でパケットを受信したときに、パケットの転送が設定されていない場合、NAT は検索を実行してそのパケットのセッションが存在するかどうかを確認します。セッションが存在しており、そのセッションに関連付けられた ALG がない場合、NAT はスタンバイ RG でパケットを処理します。セッションが存在している場合にスタンバイ RG でパケットを処理すると、NAT トラフィックの帯域幅が大幅に増加します。
NAT ではペイロードの特定と変換、および子フローの作成に ALG が使用されます。ALG が適切に機能するには、双方向トラフィックが必要です。NAT は、ALG に関連付けられているすべてのパケット フローのトラフィックをアクティブ RG に転送する必要があります。このため、セッションに関連付けられている ALG データがスタンバイ RG で検出されたかどうかを確認します。ALG データが存在している場合、非対称ルーティングのためにパケットが転送されます。
VRF 対応ソフトウェア インフラストラクチャ(VASI)サポートが Cisco IOS XE リリース 3.16S で追加されました。マルチプロトコル ラベル スイッチング(MPLS)非対称ルーティングもサポートされています。
Cisco IOS XE リリース 3.16S では、NAT は ALG、キャリア グレード NAT(CGN)、および Virtual Routing and Forwarding(VRF)インスタンスによる非対称ルーティングをサポートしています。ALG、CGN、または VRF による非対称ルーティングを有効にするために設定を変更する必要はありません。詳細については、「例:VRF による非対称ルーティングの設定」を参照してください。
Cisco IOS XE リリース 3.14S では、ゾーンベース ファイアウォールで、VRF 対応シャーシ間非対称ルーティング機能がサポートされます。この機能は、マルチプロトコル ラベル スイッチング(MPLS)をサポートします。
非対称ルーティング転送中に、VPN ルーティングおよび転送(VRF)名ハッシュ値が転送パケットとともに送信されます。VRF 名ハッシュ値は、転送後にアクティブ デバイス上でローカル VRF ID とテーブル ID に変換されます。
転送パケットが、ネットワーク アドレス変換(NAT)とゾーンベース ファイアウォールが設定されたアクティブ デバイスに到着すると、ファイアウォールが NAT または NAT64 から VRF ID を取得して、それをファイアウォール セッション キーに保存します。
デバイスに MPLS が設定されている場合は、転送パケットの VRF ID 処理が非対称ルーティング転送パケットの処理と同じになります。MPLS パケットは、スタンバイ デバイスで MPLS ラベルが削除される場合でも、アクティブ デバイスに転送されます。ゾーンベース ファイアウォールは、出力インターフェイスでパケットを検査し、このインターフェイスで MPLS が検出された場合は、出力 VRF ID を 0 に設定します。入力インターフェイスで MPLS が設定されている場合は、ファイアウォールが入力 VRF ID を 0 に設定します。
マルチプロトコル ラベル スイッチング(MPLS)パケットがスタンバイ デバイスからアクティブ デバイスに転送されるときに、非対称ルーティング転送が実行される前に MPLS ラベルが削除されます。
デバイスで MPLS が設定されていない場合は、IP パケットがアクティブ デバイスに転送され、VRF ID が設定されます。ファイアウォールは、出力インターフェイスでパケットを検査するときに、ローカル VRF ID を取得します。
アクティブ デバイスとスタンバイ デバイス間の VRF マッピングは、コンフィギュレーションの変更を必要としません。
Cisco IOS XE リリース 3.14S では、ネットワーク アドレス変換で VRF 対応シャーシ間非対称ルーティングがサポートされます。VRF 対応シャーシ間非対称ルーティングでは、VPN ルーティングおよび転送(VRF)名のメッセージ ダイジェスト(MD)5 ハッシュを使用して、アクティブ デバイスとスタンバイ デバイス内の VRF とデータパスを特定し、VRF 名ハッシュからローカル VRF ID を、またはローカル VRF ID から VRF 名ハッシュを取得します。
VRF 対応シャーシ間非対称ルーティングでは、アクティブ デバイスとスタンバイ デバイスの VRF に同じ VRF 名を付ける必要があります。ただし、VRF ID は、非対称ルーティング転送またはボックスツーボックス ハイ アベイラビリティ同期の最中にスタンバイ デバイスとアクティブ デバイスの VRF 名に基づいてマップされるため、両方のデバイスで同じにする必要はありません。
VRF 名の MD5 ハッシュ衝突が発生した場合は、VRF に属しているファイアウォール セッションと NAT セッションがスタンバイ デバイスと同期しません。
アクティブ デバイスとスタンバイ デバイス間の VRF マッピングは、コンフィギュレーションの変更を必要としません。
オブジェクトごとに優先度が減らされる量。
優先度を減少させる障害(オブジェクト)
フェールオーバー優先度
フェールオーバーしきい値
グループ インスタンス
グループ名
初期化遅延タイマー
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
redundancy Example: |
冗長コンフィギュレーション モードを開始します。 |
|
Step 4 |
application redundancy Example: |
アプリケーション冗長性を設定し、冗長性アプリケーション コンフィギュレーション モードを開始します。 |
|
Step 5 |
group id Example: |
冗長性グループを設定し、冗長性アプリケーション グループ コンフィギュレーション モードを開始します。 |
|
Step 6 |
name group-name Example: |
プロトコル インスタンス用に、任意指定のエイリアスを指定します。 |
|
Step 7 |
priority value [failover threshold value] Example: |
冗長グループの初期優先度とフェールオーバーしきい値を指定します。 |
|
Step 8 |
preempt Example: |
|
|
Step 9 |
track object-number decrement number Example: |
冗長グループの優先度値を指定します。この値は、トラッキング対象のオブジェクトでイベントが発生した場合に減らされます。 |
|
Step 10 |
exit Example: |
冗長アプリケーション グループ コンフィギュレーション モードを終了して、冗長アプリケーション コンフィギュレーション モードを開始します。 |
|
Step 11 |
protocol id Example: |
コントロール インターフェイスに接続されるプロトコル インスタンスを指定し、冗長アプリケーション プロトコル コンフィギュレーション モードを開始します。 |
|
Step 12 |
timers hellotime {seconds | msec msec} holdtime {seconds | msec msec} Example: |
|
|
Step 13 |
authentication {text string | md5 key-string [0 | 7] key [timeout seconds] | key-chain key-chain-name} Example: |
認証情報を指定します。 |
|
Step 14 |
bfd Example: |
|
|
Step 15 |
end Example: |
冗長アプリケーション プロトコル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
コントロール インターフェイスとして使用されるインターフェイス。
データ インターフェイスとして使用されるインターフェイス。
非対称ルーティングに使用されるインターフェイス。これはオプションのタスクです。この作業は、ネットワーク アドレス変換(NAT)の非対称ルーティングを設定する場合にのみ実行します。
Note |
別個のインターフェイスで非対称ルーティング、データ、およびコントロールを設定する必要があります。 |
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
redundancy Example: |
冗長コンフィギュレーション モードを開始します。 |
|
Step 4 |
application redundancy Example: |
アプリケーション冗長性を設定し、冗長性アプリケーション コンフィギュレーション モードを開始します。 |
|
Step 5 |
group id Example: |
冗長性グループ(RG)を設定し、冗長性アプリケーション グループ コンフィギュレーション モードを開始します。 |
|
Step 6 |
data interface-type interface-number Example: |
RG で使用されるデータ インターフェイスを指定します。 |
|
Step 7 |
control interface-type interface-number protocol id Example: |
|
|
Step 8 |
timers delay seconds [reload seconds] Example: |
障害の発生後、またはシステムのリロード後に開始されるロール ネゴシエーションを RG で遅延させるのに必要な時間を指定します。 |
|
Step 9 |
asymmetric-routing interface type number Example: |
RG で使用される非対称ルーティング インターフェイスを指定します。 |
|
Step 10 |
asymmetric-routing always-divert enable Example: |
スタンバイ RG から受信したパケットをアクティブ RG に常に転送します。 |
|
Step 11 |
end Example: |
冗長アプリケーション グループ コンフィギュレーション モードを終了して特権 EXEC モードを開始します。 |
Note |
|
| Command or Action | Purpose | |||
|---|---|---|---|---|
|
Step 1 |
enable Example: |
|
||
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
||
|
Step 3 |
interface type number Example: |
冗長グループ(RG)に関連付けるインターフェイスを選択し、インターフェイス コンフィギュレーション モードを開始します。 |
||
|
Step 4 |
redundancy rii id Example: |
冗長性インターフェイス識別子(RII)を設定します。 |
||
|
Step 5 |
redundancy group id [decrement number] Example: |
RG 冗長性トラフィック インターフェイスの設定をイネーブルにし、インターフェイスのダウン時に優先度から減らされる量を指定します。
|
||
|
Step 6 |
redundancy asymmetric-routing enable Example: |
各 RG の非対称フロー転送トンネルを確立します。 |
||
|
Step 7 |
end Example: |
インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
次の設定は、非対称ルーティングを使用したダイナミック内部送信元変換の例です。非対称ルーティングを設定する際に使用できる NAT 設定のタイプは、ダイナミック外部送信元、スタティック内部および外部送信元、ポート アドレス変換(PAT)内部および外部送信元変換です。NAT 設定のそれぞれのタイプの詳細については、「IP アドレス節約のための NAT 設定」の章を参照してください。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
interface type number Example: |
インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
|
Step 4 |
ip address ip-address mask Example: |
インターフェイスのプライマリ IP アドレスを設定します。 |
|
Step 5 |
ip nat outside Example: |
外部と接続されることを示すマークをインターフェイスに付けます。 |
|
Step 6 |
exit Example: |
インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。 |
|
Step 7 |
redundancy Example: |
冗長性を設定し、冗長性コンフィギュレーション モードを開始します。 |
|
Step 8 |
application redundancy Example: |
アプリケーション冗長性を設定し、冗長性アプリケーション コンフィギュレーション モードを開始します。 |
|
Step 9 |
group id Example: |
冗長性グループを設定し、冗長性アプリケーション グループ コンフィギュレーション モードを開始します。 |
|
Step 10 |
asymmetric-routing always-divert enable Example: |
アクティブ デバイスにトラフィックを転送します。 |
|
Step 11 |
end Example: |
冗長アプリケーション グループ コンフィギュレーション モードを終了して特権 EXEC モードを開始します。 |
|
Step 12 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 13 |
ip nat pool name start-ip end-ip {mask | prefix-length prefix-length} Example: |
|
|
Step 14 |
exit Example: |
IP NAT プール コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
|
Step 15 |
ip nat inside source list acl-number pool name redundancy redundancy-id mapping-id map-id Example: |
内部送信元アドレスの NAT を有効にし、マッピング ID を使用して NAT を冗長グループに関連付けます。 |
|
Step 16 |
access-list standard-acl-number permit source-address wildcard-bits Example: |
変換される内部アドレス用の標準アクセス リストを定義します。 |
|
Step 17 |
end Example: |
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
Device# configure terminal
Device(config)# redundancy
Device(config-red)# application redundancy
Device(config-red-app)# group 1
Device(config-red-app-grp)# name group1
Device(config-red-app-grp)# priority 100 failover threshold 50
Device(config-red-app-grp)# preempt
Device(config-red-app-grp)# track 50 decrement 50
Device(config-red-app-grp)# exit
Device(config-red-app)# protocol 1
Device(config-red-app-prtcl)# timers hellotime 3 holdtime 10
Device(config-red-app-prtcl)# authentication md5 key-string 0 n1 timeout 100
Device(config-red-app-prtcl)# bfd
Device(config-red-app-prtcl)# endDevice# configure terminal
Device(config)# redundancy
Device(config-red)# application redundancy
Device(config-red-app)# group 1
Device(config-red-app-grp)# data GigabitEthernet 0/0/1
Device(config-red-app-grp)# control GigabitEthernet 1/0/0 protocol 1
Device(config-red-app-grp)# timers delay 100 reload 400
Device(config-red-app-grp)# asymmetric-routing interface GigabitEthernet 0/1/1
Device(config-red-app-grp)# asymmetric-routing always-divert enable
Device(config-red-app-grp)# end Device# configure terminal
Device(config)# interface GigabitEthernet 0/1/3
Device(config-if)# redundancy rii 600
Device(config-if)# redundancy group 1 decrement 20
Device(config-if)# redundancy asymmetric-routing enable
Device(config-if)# endDevice(config)# interface gigabitethernet 0/1/3
Device(config-if)# ip address 10.1.1.1 255.255.255.0
Device(config-if)# ip nat outside
Device(config-if)# exit
Device(config)# redundancy
Device(config-red)# application redundancy
Device(config-red-app)# group 1
Device(config-red-app-grp)# asymmetric-routing always-divert enable
Device(config-red-app-grp)# end
Device# configure terminal
Device(config)# ip nat pool pool1 prefix-length 24
Device(config-ipnat-pool)# exit
Device(config)# ip nat inside source list pool pool1 redundancy 1 mapping-id 100
Device(config)# access-list 10 permit 10.1.1.1 255.255.255.0次に、WAN 間対称ルーティング設定の例を示します。
vrf definition Mgmt-intf
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
!
!
vrf definition VRFA
rd 100:1
route-target export 100:1
route-target import 100:1
address-family ipv4
exit-address-family
!
!
no logging console
no aaa new-model
!
multilink bundle-name authenticated
!
redundancy
mode sso
application redundancy
group 1
preempt
priority 120
control GigabitEthernet 0/0/1 protocol 1
data GigabitEthernet 0/0/2
!
!
!
!
ip tftp source-interface GigabitEthernet0
ip tftp blocksize 8192
!
track 1 interface GigabitEthernet 0/0/4 line-protocol
!
interface Loopback 0
ip address 209.165.201.1 255.255.255.224
!
interface GigabitEthernet 0/0/0
vrf forwarding VRFA
ip address 192.168.0.1 255.255.255.248
ip nat inside
negotiation auto
bfd interval 50 min_rx 50 multiplier 3
redundancy rii 2
!
interface GigabitEthernet 0/0/1
ip address 209.165.202.129 255.255.255.224
negotiation auto
!
interface GigabitEthernet 0/0/2
ip address 192.0.2.1 255.255.255.224
negotiation auto
!
interface GigabitEthernet 0/0/3
ip address 198.51.100.1 255.255.255.240
negotiation auto
!
interface GigabitEthernet 0/0/4
ip address 203.0.113.1 255.255.255.240
negotiation auto
!
interface GigabitEthernet 0
vrf forwarding Mgmt-intf
ip address 172.16.0.1 255.255.0.0
negotiation auto
!
interface vasileft 1
vrf forwarding VRFA
ip address 10.4.4.1 255.255.0.0
ip nat outside
no keepalive
!
interface vasiright 1
ip address 10.4.4.2 255.255.0.0
no keepalive
!
router mobile
!
router bgp 577
bgp router-id 1.1.1.1
bgp log-neighbor-changes
neighbor 203.0.113.1 remote-as 223
neighbor 203.0.113.1 description PEERING to PTNR neighbor 10.4.4.1 remote-as 577
neighbor 10.4.4.1 description PEEERING to VASI VRFA interface
!
address-family ipv4
network 203.0.113.1 mask 255.255.255.240
network 10.4.0.0 mask 255.255.0.0
network 209.165.200.224 mask 255.255.255.224
neighbor 203.0.113.1 activate
neighbor 10.4.4.1 activate
neighbor 10.4.4.1 next-hop-self
exit-address-family
!
address-family ipv4 vrf VRFA
bgp router-id 4.4.4.4
network 192.168.0.0 mask 255.255.255.248
network 10.4.0.0 mask 255.255.0.0
redistribute connected
redistribute static
neighbor 192.168.0.2 remote-as 65004
neighbor 192.168.0.2 fall-over bfd
neighbor 192.168.0.2 activate
neighbor 10.4.4.2 remote-as 577
neighbor 10.4.4.2 description PEERING to VASI Global intf
neighbor 10.4.4.2 activate
exit-address-family
!
ip nat switchover replication http
ip nat pool att_pool 209.165.200.225 209.165.200.225 prefix-length 16
ip nat inside source list 4 pool att_pool redundancy 1 mapping-id 100 vrf VRFA overload
ip forward-protocol nd
!
no ip http server
no ip http secure-server
ip route 203.0.113.1 255.255.255.224 10.4.4.1
ip route 192.168.0.0 255.255.0.0 10.4.4.1
ip route 209.165.200.224 255.255.255.224 10.4.4.1
ip route vrf Mgmt-intf 209.165.200.1 255.255.255.224 172.16.0.0
!
ip prefix-list VRF_Pool seq 5 permit 209.165.200.0/27
ip prefix-list p1-adv-1 seq 5 permit 209.165.200.0/27
ip prefix-list p1-exist-1 seq 5 permit 203.0.113.193/27
logging esm config
access-list 4 permit 203.0.113.193 255.255.255.224
!
control-plane
line console 0
stopbits 1
!
line vty 0 3
login
!
line vty 4
password lab
login
!
end
次に、Virtual Routing and Forwarding(VRF)インスタンスを使用して非対称ルーティングを設定する例を示します。
Device(config)# redundancy
Device(config-red)# mode sso
Device(config-red)# application redundancy
Device(config-red-app)# group 1
Device(config-red-app-grp)# name RG1
Device(config-red-app-grp)# preempt
Device(config-red-app-grp)# priority 100 failover threshold 40
Device(config-red-app-grp)# control GigabitEthernet 1/0/3 protocol 1
Device(config-red-app-grp)# data GigabitEthernet 1/0/3
Device(config-red-app-grp)# asymmetric-routing interface GigabitEthernet 1/0/4
Device(config-red-app-grp)# asymmetric-routing always-divert enable
Device(config-red-app-grp)# exit
Device(config-red-app)# exit
Device(config-red)# exit
!
Device(config)# interface TenGigabitEthernet 2/0/0
Device(config-if)# ip vrf forwarding vrf001
Device(config-if)# ip address 10.0.0.1 255.255.255.0
Device(config-if)# ip nat inside
Device(config-if)# exit
!
Device(config)# interface TenGigabitEthernet 3/0/0
Device(config-if)# ip vrf forwarding vrf001
Device(config-if)# ip address 192.0.2.1 255.255.255.0
Device(config-if)# ip nat outside
Device(config-if)# exit
!
Device(config-if)# ip nat pool pool-vrf001 209.165.201.1 209.165.201.30 prefix-length 24
Device(config-if)# ip nat inside source list 1 pool pool-vrf001 redundancy 1 mapping-id 1 vrf vrf001 match-in-vrf overload
Device(config-if)# end
|
関連項目 |
マニュアル タイトル |
|---|---|
|
Cisco IOS コマンド |
|
|
セキュリティ コマンド |
|
|
ファイアウォール シャーシ間冗長性 |
「ファイアウォール ステートフル シャーシ間冗長性の設定」モジュール |
|
NAT シャーシ間冗長性 |
「ステートフル シャーシ間冗長性の設定」モジュール |
|
説明 |
リンク |
|---|---|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。|
機能名 |
リリース |
機能情報 |
|---|---|---|
|
NAT44 対応の非対称ルーティング拡張 |
Cisco IOS XE リリース 3.16S |
NAT 44 対応の非対称ルーティング拡張機能は、CGN、ALG、VRF、VASI、および MPLS を使用した非対称ルーティングをサポートしています。 追加または変更されたコマンドはありません。 |
|
ゾーンベース ファイアウォールと NAT に対するシャーシ間非対称ルーティング サポート |
Cisco IOS XE Release 3.5S |
ゾーンベース ファイアウォールおよび NAT のシャーシ間非対称ルーティングサポート機能では、スタンバイ冗長グループからアクティブ冗長グループへのパケット処理のためのパケット転送がサポートされています。 次のコマンドが導入または変更されました。asymmetric-routing 、 redundancy asymmetric-routing enable |
|
ゾーンベース ファイアウォールの VRF 対応シャーシ間非対称ルーティング サポート |
Cisco IOS XE リリース 3.14S |
ゾーンベース ファイアウォールでは、VRF 対応シャーシ間非対称ルーティング機能がサポートされています。この機能は MPLS をサポートしています。この機能については設定の変更はありません。 追加または変更されたコマンドはありません。 |
|
NAT の VRF 対応シャーシ間非対称ルーティング サポート |
Cisco IOS XE リリース 3.14S |
NAT では、VRF 対応シャーシ間非対称ルーティング機能がサポートされています。この機能は MPLS をサポートしています。この機能については設定の変更はありません。 追加または変更されたコマンドはありません。 |
フィードバック