- ゾーンベース ポリシー ファイアウォール
- ゾーンベース ポリシー ファイアウォール IPv6 サポート
- VRF-Aware Cisco IOS XE ファイアウォール
- ゾーンベース ポリシー ファイアウォールのネストされたクラス マップ サポート
- ファイアウォール ステートフル シャーシ間冗長性の設定
- IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポート
- ゾーンベース ファイアウォールおよび NAT のシャーシ間非対称ルーティング サポート
- IPv6 ゾーンベース ファイアウォールのシャーシ間ハイ アベイラビリティ サポート
- ICMP のファイアウォール ステートフル インスペクション
- Skinny Client Control Protocol のファイアウォール サポート
- VRF-Aware Software インフラストラクチャの設定
- VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポート
- 分散型サービス拒否攻撃に対する保護
- ファイアウォール リソース管理の設定
- 分散型サービス拒否攻撃の防止およびリソース管理のための IPv6 ファイアウォール サポート
- ファイアウォール TCP SYN Cookie の設定
- GPRS トンネリング プロトコル サポートの設定
- GPRS トンネリング プロトコル サポート
- ファイアウォールの GGSN プーリング サポート
- Cisco Firewall-SIP の機能拡張 ALG
- ファイアウォールおよび NAT 対応の MSRPC ALG サポート
- ファイアウォールおよび NAT 対応の Sun RPC ALG サポート
- ファイアウォールおよび NAT 対応のハイ アベイラビリティ サポート付き ALG-H.323 vTCP
- IPv6 ファイアウォールの FTP66 ALG サポート
- NAT およびファイアウォールの SIP ALG の強化
- TCP リセット セグメント制御
- ファイアウォール高速ロギング
セキュリティ コンフィギュレーション ガイド:ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S(ASR 1000)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月28日
章のタイトル: ファイアウォール ステートフル シャーシ間冗長性の設定
目次
- ファイアウォール ステートフル シャーシ間冗長性の設定
- 機能情報の確認
- ファイアウォール ステートフル シャーシ間冗長性の前提条件
- ファイアウォール ステートフル シャーシ間冗長性の制約事項
- ファイアウォール ステートフル シャーシ間冗長性について
- ファイアウォール ステートフル シャーシ間冗長性の機能
- 排他的仮想 IP アドレスと排他的仮想 MAC アドレス
- サポートされるトポロジ
- LAN/LAN
- ファイアウォール ステートフル シャーシ間冗長性の設定方法
- 冗長アプリケーション グループの設定
- 冗長グループ プロトコルの設定
- 仮想 IP アドレスと冗長インターフェイス識別子の設定
- コントロール インターフェイスおよびデータ インターフェイスの設定
- ファイアウォール ステートフル シャーシ間冗長性の管理とモニタリング
- ファイアウォール ステートフル シャーシ間冗長性の設定例
- 例:冗長アプリケーション グループの設定
- 例:冗長グループ プロトコルの設定
- 仮想 IP アドレスと冗長インターフェイス識別子の設定例
- 例:コントロール インターフェイスおよびデータ インターフェイスの設定
- LAN-LAN の設定例
- ファイアウォール ステートフル シャーシ間冗長性の追加情報
- ファイアウォール ステートフル シャーシ間冗長性の機能情報
ファイアウォール ステートフル シャーシ間冗長性機能を使用すると、相互にバックアップとして動作するルータのペアを設定できます。 この機能を設定し、複数のフェールオーバー条件に基づいてアクティブ ルータを判断できます。 フェールオーバーが発生すると、中断なくスタンバイ ルータが引き継ぎ、トラフィック フォワーディング サービスの実行とダイナミック ルーティング テーブルのメンテナンスを開始します。
- 機能情報の確認
- ファイアウォール ステートフル シャーシ間冗長性の前提条件
- ファイアウォール ステートフル シャーシ間冗長性の制約事項
- ファイアウォール ステートフル シャーシ間冗長性について
- ファイアウォール ステートフル シャーシ間冗長性の設定方法
- ファイアウォール ステートフル シャーシ間冗長性の設定例
- ファイアウォール ステートフル シャーシ間冗長性の追加情報
- ファイアウォール ステートフル シャーシ間冗長性の機能情報
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の注意事項と機能情報については、Bug Search Tool およびご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
ファイアウォール ステートフル シャーシ間冗長性の前提条件
ファイアウォール ステートフル シャーシ間冗長性の制約事項
- マルチプロトコル ラベル スイッチング(MPLS)および仮想ルーティングおよび転送(VRF)はサポートされません。
- LAN および WAN シナリオはサポートされません。
- LAN および MESH シナリオはサポートされません。
- デュアル組み込みサービス プロセッサ(ESP)またはデュアル ルート プロセッサ(RP)がシャーシに含まれている Cisco ASR 1006 および Cisco ASR 1013 プラットフォームは、ボックス間ハイ アベイラビリティ(HA)およびボックス内 HA がサポートされていないため、サポートされていません。 単一の ESP および単一の RP がシャーシに含まれている Cisco ASR 1006 および Cisco ASR 1013 プラットフォームは、シャーシ間冗長をサポートします。
- デュアル IOS デーモン(IOSd)が設定されている場合、デバイスはファイアウォール ステートフル シャーシ間冗長構成をサポートしません。
ファイアウォール ステートフル シャーシ間冗長性について
ファイアウォール ステートフル シャーシ間冗長性の機能
相互にホット スタンバイとして動作するようにルータのペアを設定できます。 この冗長性は、インターフェイス ベースで設定します。 冗長インターフェイスのペアは、冗長グループと呼ばれます。 下の図は、アクティブ-スタンバイ デバイス シナリオを示しています。 また、1 つの発信インターフェイスを持つルータのペアについて、冗長グループを設定する方法を示します。 冗長グループの設定:2 つの発信インターフェイスの図は、アクティブ-アクティブ デバイス シナリオを表し、2 つの冗長グループが、2 つの発信インターフェイスを持つルータのペアに設定される方法を示しています。
いずれの場合でも、設定可能なコントロール リンクおよびデータ同期リンクによって冗長ルータは参加します。 コントロール リンクは、ルータのステータスを通信するために使用されます。 データ同期リンクは、ネットワーク アドレス変換(NAT)およびファイアウォールからステートフル情報を転送し、これらのアプリケーションについてステートフル データベースを同期するために使用されます。
また、いずれの場合でも、冗長インターフェイスのペアは、同じ固有 ID 番号(RII と呼ばれます)で設定されます。
冗長グループ メンバーのステータスは、コントロール リンクで送信される hello メッセージを使用することで判断できます。 設定可能な時間内に、いずれかのルータが hello メッセージに応答しない場合、エラーが発生したと見なされ、スイッチオーバーが開始されます。 ミリ秒単位でエラーを検出するには、双方向フォワーディング検出(BFD)プロトコルと統合されたフェールオーバー プロトコルをコントロール リンクで実行します。 hello メッセージについて次のパラメータを設定できます。
- Active timer
- Standby timer
- Hellotime:hello メッセージが送信される間隔
- Holdtime:アクティブまたはスタンバイ ルータがダウン状態と宣言されるまでの時間
hellotime のデフォルトは、ホットスタンバイ ルータ プロトコル(HSRP)に合わせるために 3 秒です。また、holdtime のデフォルトは 10 秒です。 また、timers hellotime msec コマンドを使用して、これらのタイマーをミリ秒単位で設定することもできます。
スイッチオーバーの影響を受けるインターフェイスのペアを判断するには、冗長インターフェイスの各ペアについて、固有の ID 番号を設定する必要があります。 この ID 番号は RII と呼ばれ、インターフェイスに関連付けられています。
また、スタンバイ ルータに対するスイッチオーバーは、他の条件でも発生する可能性があります。 スイッチオーバーが発生する別の要因として、各ルータで設定可能な優先順位設定があります。 最も優先度が高いルータがアクティブ ルータになります。 アクティブ ルータまたはスタンバイ ルータで障害が発生した場合、重みと呼ばれる設定可能な数値分、ルータの優先度が減らされます。 アクティブ ルータの優先度が、スタンバイ ルータの優先度を下回る場合、スイッチオーバーが発生し、スタンバイ ルータがアクティブ ルータになります。 このデフォルトの動作を無効にするには、冗長グループについて preemption 属性をディセーブルにします。 また、インターフェイスの L1 状態がダウン状態になった場合、各インターフェイスを設定して優先度を減らします。 この数は、冗長グループに設定されているデフォルトの値よりも優先されます。
冗長グループの優先度が変更されるエラー イベントごとに、タイム スタンプ、影響を受けた冗長グループ、以前の優先度、新しい優先度、およびエラー イベントの原因の説明を含む syslog エントリが生成されます。
スイッチオーバーが発生する原因となるもう 1 つの状況は、ルータまたはインターフェイスの優先度が、設定可能なしきい値レベルを下回る場合です。
一般的に、スタンバイ ルータへのスイッチオーバーは次の条件で発生します。
- アクティブ ルータで停電またはリロードが発生した場合(クラッシュも含まれます)。
- アクティブ ルータのランタイム優先度が、スタンバイ ルータの優先度を下回った場合。
- アクティブ ルータのランタイム優先度が、設定したしきい値を下回った場合。
- 、redundancy application reload group rg-number コマンドを使用して、アクティブ ルータの冗長グループを手動でリロードした場合。
-
任意のモニタ対象インターフェイスで 2 つの連続する hello メッセージに失敗し、インターフェイスが強制的にテスト モードになった場合。 この問題が発生すると、いずれのユニットもまずインターフェイス上のリンク ステータスを確認してから、次のテストを実行します。
ファイアウォール ステートフル シャーシ間冗長性機能では、冗長グループのトラフィックは、冗長グループの入力インターフェイスに関連付けられた仮想 IP アドレスによりルーティングされます。 仮想 IP アドレスに送信されるトラフィックは、アクティブ状態の冗長グループを持つルータによって受信されます。 冗長グループのフェールオーバー中に、仮想 IP アドレスへのトラフィックは新しいアクティブ冗長グループに自動的にルーティングされます。
ファイアウォールは、冗長グループのトラフィックがスタンバイ ルータの物理 IP アドレスにルーティングされ、トラフィックがスタンバイ冗長グループに到達した場合は、スタンバイ冗長グループに到達したトラフィックをドロップします。 ただし、トラフィックがアクティブな冗長グループに到達した場合、確立された TCP セッションまたは UDP セッションはスタンバイ冗長グループに同期されます。
排他的仮想 IP アドレスと排他的仮想 MAC アドレス
仮想 IP(VIP)アドレスと仮想 MAC(VMAC)アドレスは、セキュリティ アプリケーションが、トラフィックを受信するインターフェイスを制御するために使用します。 インターフェイスは、別のインターフェイスとペアになり、これらのインターフェイスは同じ冗長グループ(RG)に関連付けられます。 アクティブ RG に関連付けられたインターフェイスは、VIP と VMAC を排他的に所有します。 アクティブ デバイスのアドレス解決プロトコル(ARP)プロセスによって、VIP への ARP 要求に対する ARP 応答が送信されます。また、インターフェイスのイーサネット コントローラは、VMAC を宛先とするパケットを受信するようにプログラミングされます。 RG フェールオーバーが発生した場合、VIP と VMAC の所有権が変更されます。 新しくアクティブになった RG に関連付けられたインターフェイスは、Gratuitous ARP を送信し、インターフェイスのイーサネット コントローラを、VMAC を宛先とするパケットを受け入れるようにプログラミングします。
IPv6 サポート
各冗長グループ(RG)を、IPv4 と IPv6 の両方の仮想 IP(VIP)アドレスのトラフィック インターフェイスに同じ冗長インターフェイス識別子(RII)で割り当てることができます。 各 RG は RII ごとに一意の仮想 MAC(VMAC)アドレスを使用します。 RG では、IPv6 リンクローカル VIP とグローバル VIP がインターフェイス上に共存します。
トラフィック インターフェイス上の各 RG に対して IPv4 VIP、リンクローカル IPv6 VIP、および/またはグローバル IPv6 VIP を設定できます。 IPv6 リンクローカル VIP は、スタティック ルートまたはデフォルト ルートを設定する場合に主に使用され、一方、IPv6 グローバル VIP は、LAN トポロジと WAN トポロジの両方で広く使用されています。
IPv4 VIP を設定する前に、物理 IP アドレスを設定する必要があります。
サポートされるトポロジ
LAN-LAN トポロジは、ファイアウォール ステートフル シャーシ間冗長性アーキテクチャでサポートされます。
 (注) |
非対称ルーティングはサポートされません。 |
LAN/LAN
下の図は、LAN-LAN トポロジを示しています。 専用のアプリケーションベースのファイアウォール ソリューションを使用するときに、アップストリームまたはダウンストリーム ルータから適切な仮想 IP アドレスへのスタティック ルーティングを設定することで、多くの場合、トラフィックは適切なファイアウォールに送信されます。 さらに、アグリゲーション サービス ルータ(ASR)は、アップストリームまたはダウンストリーム ルータとのダイナミック ルーティングに参加します。 LAN 方向のインターフェイスでサポートされるダイナミック ルーティング構成では、ルーティング プロトコルのコンバージェンスへの依存が生じないようにしてください。依存があると、高速フェールオーバー要件に適合しなくなります。
LAN-LAN コンフィギュレーションの詳細については、「LAN-LAN の設定例」の項を参照してください。
ファイアウォール ステートフル シャーシ間冗長性の設定方法
- 冗長アプリケーション グループの設定
- 冗長グループ プロトコルの設定
- 仮想 IP アドレスと冗長インターフェイス識別子の設定
- コントロール インターフェイスおよびデータ インターフェイスの設定
- ファイアウォール ステートフル シャーシ間冗長性の管理とモニタリング
冗長アプリケーション グループの設定
1. enable
2. configure terminal
3. redundancy
4. application redundancy
5. group id
6. name group-name
7. shutdown
8. priority value [failover threshold value]
9. preempt
10. track object-number {decrement value | shutdown}
11. end
手順の詳細
冗長グループ プロトコルの設定
1. enable
2. configure terminal
3. redundancy
4. application redundancy
5. protocol id
6. name group-name
7. timers hellotime {seconds | msec milliseconds} holdtime {seconds | msec milliseconds}
8. authentication {text string | md5 key-string [0 | 7] key-string timeout seconds | key-chain key-chain-name}
9. end
手順の詳細
仮想 IP アドレスと冗長インターフェイス識別子の設定
1. enable
2. configure terminal
3. interface type number
4. redundancy rii id
5. redundancy group id ip address exclusive [decrement value]
6. end
手順の詳細
コントロール インターフェイスおよびデータ インターフェイスの設定
1. enable
2. configure terminal
3. redundancy
4. application redundancy
5. group id
6. data interface-type interface-number
7. control interface-type interface-number protocol id
8. timers delay seconds [reload seconds]
9. end
手順の詳細
ファイアウォール ステートフル シャーシ間冗長性の管理とモニタリング
ファイアウォール ステートフル シャーシ間冗長性機能を管理およびモニタするには、次のコマンドを使用します。
1. enable
2. debug redundancy application group config {all| error | event | func}
3. debug redundancy application group faults {all | error | event | fault | func}
4. debug redundancy application group media {all | error | event | nbr | packet{rx | tx} | timer}
5. debug redundancy application group protocol {all | detail | error | event | media | peer}
6. debug redundancy application group rii {error | event}
7. debug redundancy application group transport {db | error | event | packet | timer | trace}
8. debug redundancy application group vp {error | event}
9. show redundancy application group [group-id | all]
10. show redundancy application transport {client | group [group-id]}
11. show redundancy application control-interface group [group-id]
12. show redundancy application faults group [group-id]
13. show redundancy application protocol {protocol-id | group [group-id]
14. show redundancy application if-mgr group [group-id]
15. show redundancy application data-interface group [group-id]
16. end
手順の詳細
ファイアウォール ステートフル シャーシ間冗長性の設定例
- 例:冗長アプリケーション グループの設定
- 例:冗長グループ プロトコルの設定
- 仮想 IP アドレスと冗長インターフェイス識別子の設定例
- 例:コントロール インターフェイスおよびデータ インターフェイスの設定
- LAN-LAN の設定例
例:冗長アプリケーション グループの設定
次に、優先度とプリエンプション属性を使用する group1 という冗長グループを設定する例を示します。
Device# configure terminal Device(config)# redundancy Device(config-red)# application redundancy Device(config-red-app)# group 1 Device(config-red-app-grp)# name group1 Device(config-red-app-grp)# priority 100 failover-threshold 50 Device(config-red-app-grp)# preempt Device(config-red-app-grp)# track 200 decrement 200 Device(config-red-app-grp)# end
例:冗長グループ プロトコルの設定
次に、hello タイムおよびホールドタイム メッセージ用にタイマーが設定されている冗長グループを設定する例を示します。
Device# configure terminal Device(config)# redundancy Device(config-red)# application redundancy Device(config-red-app)# protocol 1 Device(config-red-app-prtcl)# timers hellotime 3 holdtime 9 Device(config-red-app-prtcl)# authentication md5 key-string 0 n1 timeout 100 Device(config-red-app-prtcl)# bfd Device(config-red-app-prtcl)# end
仮想 IP アドレスと冗長インターフェイス識別子の設定例
次に、ギガビット イーサネット インターフェイス 0/0/0 の冗長グループ仮想 IP アドレスを設定する例を示します。
Router# configure terminal Router(config)# interface GigabitEthernet0/1/1 Router(conf-if)# redundancy rii 600 Router(config-if)# redundancy group 2 ip 10.2.3.4 exclusive decrement 200 Router(config)# redundancy Router(config-red-app-grp)# data GigabitEthernet0/0/0 Router(config-red-app-grp)# control GigabitEthernet0/0/2 protocol 1
例:コントロール インターフェイスおよびデータ インターフェイスの設定
Device# configure terminal Device(config-red)# application redundancy Device(config-red-app-grp)# group 1 Device(config-red-app-grp)# data GigabitEthernet 0/0/0 Device(config-red-app-grp)# control GigabitEthernet 0/0/2 protocol 1 Device(config-red-app-grp)# timers delay 100 reload 400 Device(config-red-app-grp)# end
LAN-LAN の設定例
次のサンプル LAN-LAN コンフィギュレーションでは、2 つの発信インターフェイスを持つ ASR ルータのペアが設定される方法を示します。 この例では、GigabitEthernet0/1 は入力インターフェイスであり、GigabitEthernet0/2 は出力インターフェイスです。 両方のインターフェイスがゾーンに割り当てられ、ゾーン間のトラフィックを記述するためにクラスマップが定義されます。 インターフェイスは、冗長性用としても設定されます。 「inspect」アクションにより、アプリケーション レベル ゲートウェイ(ALG)が起動され、他のポートのトラフィックを許可するためのピンホールが開きます。 ALG ピンホールは、保護されたネットワークに対する制御アクセスを特定のアプリケーションが取得できるようにするために、ALG に開かれたポートです。
! Identifies and defines network zones zone security zone1 zone security zone2 ! ! Assigns interfaces to zones interface GigabitEthernet0/1 zone-member security zone1 interface GigabitEthernet0/2 zone-member security zone2 ! ! Defines class-maps to describes traffic between zones class-map type inspect match-any inter-zone-class-map match access-group 1 access-list 1 permit 10.1.1.1 ! ! Associates class-maps with policy-maps to define actions to be applied policy-map type inspect inter-zone-policy-map class type inspect inter-zone-class-map inspect ! ! Sets zone pairs for any policy other than deny all and assign policy-maps to zone-pairs by defining service-policy zone-pair inter-zone source zone1 destination zone2 service-policy type inspect inter-zone-policy-map !
ファイアウォール ステートフル シャーシ間冗長性の追加情報
関連資料
| 関連項目 |
マニュアル タイトル |
|---|---|
| Cisco IOS コマンド |
|
| セキュリティ コマンド |
|
シスコのテクニカル サポート
| 説明 |
リンク |
|---|---|
| シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
ファイアウォール ステートフル シャーシ間冗長性の機能情報
次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
| 機能名 |
リリース |
機能情報 |
|---|---|---|
| ファイアウォール ステートフル シャーシ間冗長性 |
Cisco IOS XE Release 3.1(S) |
ファイアウォール ステートフル シャーシ間冗長性機能を使用すると、相互にバックアップとして動作するルータのペアを設定できます。 次のコマンドが導入または変更されました。application redundancy、authentication、control、data、debug redundancy application group config、debug redundancy application group faults、debug redundancy application group media、debug redundancy application group protocol、debug redundancy application group rii、debug redundancy application group transport、debug redundancy application group vp、group、name、preempt、priority、protocol、redundancy rii、redundancy group、track、timers delay、timers hellotime、show redundancy application group、show redundancy application transport、show redundancy application control-interface、show redundancy application faults、show redundancy application protocol、show redundancy application if-mgr、show redundancy application data-interface。 |