セキュリティ コンフィギュレーション ガイド:ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S(ASR 1000)
ファイアウォール ステートフル シャーシ間冗長性の設定
ファイアウォール ステートフル シャーシ間冗長性の設定
発行日;2013/09/03   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

ファイアウォール ステートフル シャーシ間冗長性の設定

ファイアウォール ステートフル シャーシ間冗長性機能を使用すると、相互にバックアップとして動作するルータのペアを設定できます。 この機能を設定し、複数のフェールオーバー条件に基づいてアクティブ ルータを判断できます。 フェールオーバーが発生すると、中断なくスタンバイ ルータが引き継ぎ、トラフィック フォワーディング サービスの実行とダイナミック ルーティング テーブルのメンテナンスを開始します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の注意事項と機能情報については、Bug Search Tool およびご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

ファイアウォール ステートフル シャーシ間冗長性の前提条件

  • ファイアウォールに接続しているインターフェイスは、同じ冗長インターフェイス識別子(RII)を持つ必要があります。
  • アクティブ デバイスおよびスタンバイ デバイスは、Cisco IOS XE ゾーンベース ファイアウォールの設定を同じにする必要があります。
  • アクティブ デバイスとスタンバイ デバイスは、同じバージョンの Cisco IOS XE ソフトウェアで実行する必要があります。 アクティブ デバイスとスタンバイは、スイッチを介して接続する必要があります。
  • 組み込みサービス プロセッサ(ESP)は、アクティブ デバイスとスタンバイ デバイスの両方で一致する必要があります。

ファイアウォール ステートフル シャーシ間冗長性の制約事項

  • マルチプロトコル ラベル スイッチング(MPLS)および仮想ルーティングおよび転送(VRF)はサポートされません。
  • LAN および WAN シナリオはサポートされません。
  • LAN および MESH シナリオはサポートされません。
  • デュアル組み込みサービス プロセッサ(ESP)またはデュアル ルート プロセッサ(RP)がシャーシに含まれている Cisco ASR 1006 および Cisco ASR 1013 プラットフォームは、ボックス間ハイ アベイラビリティ(HA)およびボックス内 HA がサポートされていないため、サポートされていません。 単一の ESP および単一の RP がシャーシに含まれている Cisco ASR 1006 および Cisco ASR 1013 プラットフォームは、シャーシ間冗長をサポートします。
  • デュアル IOS デーモン(IOSd)が設定されている場合、デバイスはファイアウォール ステートフル シャーシ間冗長構成をサポートしません。

ファイアウォール ステートフル シャーシ間冗長性について

ファイアウォール ステートフル シャーシ間冗長性の機能

相互にホット スタンバイとして動作するようにルータのペアを設定できます。 この冗長性は、インターフェイス ベースで設定します。 冗長インターフェイスのペアは、冗長グループと呼ばれます。 下の図は、アクティブ-スタンバイ デバイス シナリオを示しています。 また、1 つの発信インターフェイスを持つルータのペアについて、冗長グループを設定する方法を示します。 冗長グループの設定:2 つの発信インターフェイスの図は、アクティブ-アクティブ デバイス シナリオを表し、2 つの冗長グループが、2 つの発信インターフェイスを持つルータのペアに設定される方法を示しています。

いずれの場合でも、設定可能なコントロール リンクおよびデータ同期リンクによって冗長ルータは参加します。 コントロール リンクは、ルータのステータスを通信するために使用されます。 データ同期リンクは、ネットワーク アドレス変換(NAT)およびファイアウォールからステートフル情報を転送し、これらのアプリケーションについてステートフル データベースを同期するために使用されます。

また、いずれの場合でも、冗長インターフェイスのペアは、同じ固有 ID 番号(RII と呼ばれます)で設定されます。



図 1. 冗長グループの設定:2 つの発信インターフェイス

冗長グループ メンバーのステータスは、コントロール リンクで送信される hello メッセージを使用することで判断できます。 設定可能な時間内に、いずれかのルータが hello メッセージに応答しない場合、エラーが発生したと見なされ、スイッチオーバーが開始されます。 ミリ秒単位でエラーを検出するには、双方向フォワーディング検出(BFD)プロトコルと統合されたフェールオーバー プロトコルをコントロール リンクで実行します。 hello メッセージについて次のパラメータを設定できます。

  • Active timer
  • Standby timer
  • Hellotime:hello メッセージが送信される間隔
  • Holdtime:アクティブまたはスタンバイ ルータがダウン状態と宣言されるまでの時間

hellotime のデフォルトは、ホットスタンバイ ルータ プロトコル(HSRP)に合わせるために 3 秒です。また、holdtime のデフォルトは 10 秒です。 また、timers hellotime msec コマンドを使用して、これらのタイマーをミリ秒単位で設定することもできます。

スイッチオーバーの影響を受けるインターフェイスのペアを判断するには、冗長インターフェイスの各ペアについて、固有の ID 番号を設定する必要があります。 この ID 番号は RII と呼ばれ、インターフェイスに関連付けられています。

また、スタンバイ ルータに対するスイッチオーバーは、他の条件でも発生する可能性があります。 スイッチオーバーが発生する別の要因として、各ルータで設定可能な優先順位設定があります。 最も優先度が高いルータがアクティブ ルータになります。 アクティブ ルータまたはスタンバイ ルータで障害が発生した場合、重みと呼ばれる設定可能な数値分、ルータの優先度が減らされます。 アクティブ ルータの優先度が、スタンバイ ルータの優先度を下回る場合、スイッチオーバーが発生し、スタンバイ ルータがアクティブ ルータになります。 このデフォルトの動作を無効にするには、冗長グループについて preemption 属性をディセーブルにします。 また、インターフェイスの L1 状態がダウン状態になった場合、各インターフェイスを設定して優先度を減らします。 この数は、冗長グループに設定されているデフォルトの値よりも優先されます。

冗長グループの優先度が変更されるエラー イベントごとに、タイム スタンプ、影響を受けた冗長グループ、以前の優先度、新しい優先度、およびエラー イベントの原因の説明を含む syslog エントリが生成されます。

スイッチオーバーが発生する原因となるもう 1 つの状況は、ルータまたはインターフェイスの優先度が、設定可能なしきい値レベルを下回る場合です。

一般的に、スタンバイ ルータへのスイッチオーバーは次の条件で発生します。

  • アクティブ ルータで停電またはリロードが発生した場合(クラッシュも含まれます)。
  • アクティブ ルータのランタイム優先度が、スタンバイ ルータの優先度を下回った場合。
  • アクティブ ルータのランタイム優先度が、設定したしきい値を下回った場合。
  • redundancy application reload group rg-number コマンドを使用して、アクティブ ルータの冗長グループを手動でリロードした場合。
  • 任意のモニタ対象インターフェイスで 2 つの連続する hello メッセージに失敗し、インターフェイスが強制的にテスト モードになった場合。 この問題が発生すると、いずれのユニットもまずインターフェイス上のリンク ステータスを確認してから、次のテストを実行します。
    • ネットワーク アクティビティ テスト
    • ARP テスト
    • ブロードキャスト ping テスト

ファイアウォール ステートフル シャーシ間冗長性機能では、冗長グループのトラフィックは、冗長グループの入力インターフェイスに関連付けられた仮想 IP アドレスによりルーティングされます。 仮想 IP アドレスに送信されるトラフィックは、アクティブ状態の冗長グループを持つルータによって受信されます。 冗長グループのフェールオーバー中に、仮想 IP アドレスへのトラフィックは新しいアクティブ冗長グループに自動的にルーティングされます。

ファイアウォールは、冗長グループのトラフィックがスタンバイ ルータの物理 IP アドレスにルーティングされ、トラフィックがスタンバイ冗長グループに到達した場合は、スタンバイ冗長グループに到達したトラフィックをドロップします。 ただし、トラフィックがアクティブな冗長グループに到達した場合、確立された TCP セッションまたは UDP セッションはスタンバイ冗長グループに同期されます。

排他的仮想 IP アドレスと排他的仮想 MAC アドレス

仮想 IP(VIP)アドレスと仮想 MAC(VMAC)アドレスは、セキュリティ アプリケーションが、トラフィックを受信するインターフェイスを制御するために使用します。 インターフェイスは、別のインターフェイスとペアになり、これらのインターフェイスは同じ冗長グループ(RG)に関連付けられます。 アクティブ RG に関連付けられたインターフェイスは、VIP と VMAC を排他的に所有します。 アクティブ デバイスのアドレス解決プロトコル(ARP)プロセスによって、VIP への ARP 要求に対する ARP 応答が送信されます。また、インターフェイスのイーサネット コントローラは、VMAC を宛先とするパケットを受信するようにプログラミングされます。 RG フェールオーバーが発生した場合、VIP と VMAC の所有権が変更されます。 新しくアクティブになった RG に関連付けられたインターフェイスは、Gratuitous ARP を送信し、インターフェイスのイーサネット コントローラを、VMAC を宛先とするパケットを受け入れるようにプログラミングします。

IPv6 サポート

各冗長グループ(RG)を、IPv4 と IPv6 の両方の仮想 IP(VIP)アドレスのトラフィック インターフェイスに同じ冗長インターフェイス識別子(RII)で割り当てることができます。 各 RG は RII ごとに一意の仮想 MAC(VMAC)アドレスを使用します。 RG では、IPv6 リンクローカル VIP とグローバル VIP がインターフェイス上に共存します。

トラフィック インターフェイス上の各 RG に対して IPv4 VIP、リンクローカル IPv6 VIP、および/またはグローバル IPv6 VIP を設定できます。 IPv6 リンクローカル VIP は、スタティック ルートまたはデフォルト ルートを設定する場合に主に使用され、一方、IPv6 グローバル VIP は、LAN トポロジと WAN トポロジの両方で広く使用されています。

IPv4 VIP を設定する前に、物理 IP アドレスを設定する必要があります。

サポートされるトポロジ

LAN-LAN トポロジは、ファイアウォール ステートフル シャーシ間冗長性アーキテクチャでサポートされます。


(注)  


非対称ルーティングはサポートされません。


LAN/LAN

下の図は、LAN-LAN トポロジを示しています。 専用のアプリケーションベースのファイアウォール ソリューションを使用するときに、アップストリームまたはダウンストリーム ルータから適切な仮想 IP アドレスへのスタティック ルーティングを設定することで、多くの場合、トラフィックは適切なファイアウォールに送信されます。 さらに、アグリゲーション サービス ルータ(ASR)は、アップストリームまたはダウンストリーム ルータとのダイナミック ルーティングに参加します。 LAN 方向のインターフェイスでサポートされるダイナミック ルーティング構成では、ルーティング プロトコルのコンバージェンスへの依存が生じないようにしてください。依存があると、高速フェールオーバー要件に適合しなくなります。



LAN-LAN コンフィギュレーションの詳細については、「LAN-LAN の設定例」の項を参照してください。

ファイアウォール ステートフル シャーシ間冗長性の設定方法

冗長アプリケーション グループの設定

手順の概要

    1.    enable

    2.    configure terminal

    3.    redundancy

    4.    application redundancy

    5.    group id

    6.    name group-name

    7.    shutdown

    8.    priority value [failover threshold value]

    9.    preempt

    10.    track object-number {decrement value | shutdown}

    11.    end


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Device> enable
     

    特権 EXEC モードをイネーブルにします。

    • パスワードを入力します(要求された場合)。
     
    ステップ 2 configure terminal


    例:
    Device# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3 redundancy


    例:
    Device(config)# redundancy
     

    冗長コンフィギュレーション モードを開始します。

     
    ステップ 4 application redundancy


    例:
    Device(config-red)# application redundancy
     

    冗長アプリケーション コンフィギュレーション モードを開始します。

     
    ステップ 5 group id


    例:
    Device(config-red-app)# group 1
     

    冗長アプリケーション グループ コンフィギュレーション モードを開始します。

     
    ステップ 6 name group-name


    例:
    Device(config-red-app-grp)# name group1
     

    (任意)プロトコル インスタンスに任意のエイリアスを指定します。

     
    ステップ 7 shutdown


    例:
    Device(config-red-app-grp)# shutdown
     

    (任意)冗長グループを手動でシャットダウンします。

     
    ステップ 8 priority value [failover threshold value]


    例:
    Device(config-red-app-grp)# priority 100 failover threshold 50 
     

    (任意)冗長グループの初期優先度とフェールオーバーしきい値を指定します。

     
    ステップ 9 preempt


    例:
    Device(config-red-app-grp)# preempt
     

    グループでプリエンプションをイネーブルにし、優先度に関係なく、スタンバイ デバイスがアクティブ デバイスをプリエンプション処理できるようにします。

     
    ステップ 10 track object-number {decrement value | shutdown}


    例:
    Device(config-red-app-grp)# track 200 decrement 200
     

    冗長グループの優先度を指定します。この値は、イベントが発生した場合に減らされます。

     
    ステップ 11 end


    例:
    Device(config-red-app-grp)# end
     

    冗長アプリケーション グループ コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

     

    冗長グループ プロトコルの設定

    手順の概要

      1.    enable

      2.    configure terminal

      3.    redundancy

      4.    application redundancy

      5.    protocol id

      6.    name group-name

      7.    timers hellotime {seconds | msec milliseconds} holdtime {seconds | msec milliseconds}

      8.    authentication {text string | md5 key-string [0 | 7] key-string timeout seconds | key-chain key-chain-name}

      9.    end


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Device> enable
       

      特権 EXEC モードをイネーブルにします。

      • パスワードを入力します(要求された場合)。
       
      ステップ 2 configure terminal


      例:
      Device# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3 redundancy


      例:
      Device(config)# redundancy
       

      冗長コンフィギュレーション モードを開始します。

       
      ステップ 4 application redundancy


      例:
      Device(config-red)# application redundancy
       

      冗長アプリケーション コンフィギュレーション モードを開始します。

       
      ステップ 5 protocol id


      例:
      Device(config-red-app)# protocol 1
       

      コントロール インターフェイスに接続されるプロトコル インスタンスを指定し、冗長アプリケーション プロトコル コンフィギュレーション モードを開始します。

       
      ステップ 6 name group-name


      例:
      Device(config-red-app-prtcl)# name prot1
       

      (任意)名前を使用して冗長グループ(RG)を設定します。

       
      ステップ 7 timers hellotime {seconds | msec milliseconds} holdtime {seconds | msec milliseconds}


      例:
      Device(config-red-app-prtcl)# timers hellotime 3 holdtime 9
       

      hello メッセージが送信される間隔と、デバイスがダウン状態と宣言されるまでの時間を指定します。

       
      ステップ 8 authentication {text string | md5 key-string [0 | 7] key-string timeout seconds | key-chain key-chain-name}


      例:
      Device(config-red-app-prtcl)# authentication md5 key-string 0 n1 timeout 100
       

      認証情報を指定します。

       
      ステップ 9 end


      例:
      Device(config-red-app-prtcl)# end
       

      冗長アプリケーション プロトコル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

       

      仮想 IP アドレスと冗長インターフェイス識別子の設定

      手順の概要

        1.    enable

        2.    configure terminal

        3.    interface type number

        4.    redundancy rii id

        5.    redundancy group id ip address exclusive [decrement value]

        6.    end


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 enable


        例:
        Router> enable
         

        特権 EXEC モードをイネーブルにします。

        • パスワードを入力します(要求された場合)。
         
        ステップ 2 configure terminal


        例:
        Router# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 3 interface type number


        例:
        Router(config)# interface GigabitEthernet 0/1/1 
         

        インターフェイスの名前と番号を指定し、インターフェイス コンフィギュレーション モードを開始します。

         
        ステップ 4 redundancy rii id


        例:
        Router(config-if)# redundancy rii 600
         

        冗長グループ用に冗長インターフェイス識別子を設定します。

        • 有効な範囲は 1 ~ 65535 です。
         
        ステップ 5 redundancy group id ip address exclusive [decrement value]


        例:
        Router(config-if)# redundancy group 1 ip 10.10.1.1 exclusive decrement 20
         

        グループの id 引数によって識別される冗長グループにインターフェイスを関連付けます。

         
        ステップ 6 end


        例:
        Router(config-if)# end
         

        インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

         

        コントロール インターフェイスおよびデータ インターフェイスの設定

        手順の概要

          1.    enable

          2.    configure terminal

          3.    redundancy

          4.    application redundancy

          5.    group id

          6.    data interface-type interface-number

          7.    control interface-type interface-number protocol id

          8.    timers delay seconds [reload seconds]

          9.    end


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 enable


          例:
          Device> enable
           

          特権 EXEC モードをイネーブルにします。

          • パスワードを入力します(要求された場合)。
           
          ステップ 2 configure terminal


          例:
          Device# configure terminal
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 3 redundancy


          例:
          Device(config)# redundancy
           

          冗長コンフィギュレーション モードを開始します。

           
          ステップ 4 application redundancy


          例:
          Device(config-red)# application redundancy
           

          冗長アプリケーション コンフィギュレーション モードを開始します。

           
          ステップ 5 group id


          例:
          Device(config-red-app)# group 1
           

          冗長アプリケーション グループ コンフィギュレーション モードを開始します。

           
          ステップ 6 data interface-type interface-number


          例:
          Device(config-red-app-grp)# data GigabitEthernet 0/0/0 
           

          冗長グループに使用されるデータ インターフェイスを指定します。

           
          ステップ 7 control interface-type interface-number protocol id


          例:
          Device(config-red-app-grp)# control gigabitethernet 0/0/2 protocol 1
           
          冗長グループに使用されるコントロール インターフェイスを指定します。
          • このインターフェイスは、コントロール インターフェイス プロトコルのインスタンスにも関連付けられます。
           
          ステップ 8 timers delay seconds [reload seconds]


          例:
          Device(config-red-app-grp)# timers delay 100 reload 400 
           

          障害の発生後、またはシステムのリロード後に起動するロールのネゴシエートを遅らせるために、冗長グループが待機する時間を指定します。

           
          ステップ 9 end


          例:
          Device(config-red-app-grp)# end
           

          冗長アプリケーション グループ コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

           

          ファイアウォール ステートフル シャーシ間冗長性の管理とモニタリング

          ファイアウォール ステートフル シャーシ間冗長性機能を管理およびモニタするには、次のコマンドを使用します。

          手順の概要

            1.    enable

            2.    debug redundancy application group config {all| error | event | func}

            3.    debug redundancy application group faults {all | error | event | fault | func}

            4.    debug redundancy application group media {all | error | event | nbr | packet{rx | tx} | timer}

            5.    debug redundancy application group protocol {all | detail | error | event | media | peer}

            6.    debug redundancy application group rii {error | event}

            7.    debug redundancy application group transport {db | error | event | packet | timer | trace}

            8.    debug redundancy application group vp {error | event}

            9.    show redundancy application group [group-id | all]

            10.    show redundancy application transport {client | group [group-id]}

            11.    show redundancy application control-interface group [group-id]

            12.    show redundancy application faults group [group-id]

            13.    show redundancy application protocol {protocol-id | group [group-id]

            14.    show redundancy application if-mgr group [group-id]

            15.    show redundancy application data-interface group [group-id]

            16.    end


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 enable


            例:
            Router> enable
             

            特権 EXEC モードをイネーブルにします。

            • パスワードを入力します(要求された場合)。
             
            ステップ 2 debug redundancy application group config {all| error | event | func}


            例:
            Router# debug redundancy application group config all
             

            冗長グループ アプリケーションの設定を表示します。

             
            ステップ 3 debug redundancy application group faults {all | error | event | fault | func}


            例:
            Router# debug redundancy application group faults error 
             

            冗長グループ アプリケーションの障害を表示します。

             
            ステップ 4 debug redundancy application group media {all | error | event | nbr | packet{rx | tx} | timer}


            例:
            Router# debug redundancy application group media timer 
             

            冗長グループ アプリケーションのグループ メディア情報を表示します。

             
            ステップ 5 debug redundancy application group protocol {all | detail | error | event | media | peer}


            例:
            Router# debug redundancy application group protocol peer 
             

            冗長グループ アプリケーションのグループ プロトコル情報を表示します。

             
            ステップ 6 debug redundancy application group rii {error | event}


            例:
            Router# debug redundancy application group rii event 
             

            冗長グループ アプリケーションのグループ RII 情報を表示します。

             
            ステップ 7 debug redundancy application group transport {db | error | event | packet | timer | trace}


            例:
            Router# debug redundancy application group transport trace 
             

            冗長グループ アプリケーションのグループ トランスポート情報を表示します。

             
            ステップ 8 debug redundancy application group vp {error | event}


            例:
            Router# debug redundancy application group vp event 
             

            冗長グループ アプリケーションのグループ VP 情報を表示します。

             
            ステップ 9 show redundancy application group [group-id | all]


            例:
            Router# show redundancy application group all
             

            冗長グループ情報を表示します。

             
            ステップ 10 show redundancy application transport {client | group [group-id]}


            例:
            Router# show redundancy application transport group 1
             

            冗長グループのトランスポート固有の情報を表示します。

             
            ステップ 11 show redundancy application control-interface group [group-id]


            例:
            Router# show redundancy application control-interface group 2 
             

            冗長グループのコントロール インターフェイス情報を表示します。

             
            ステップ 12 show redundancy application faults group [group-id]


            例:
            Router# show redundancy application faults group 2
             

            冗長グループの障害固有の情報を表示します。

             
            ステップ 13 show redundancy application protocol {protocol-id | group [group-id]


            例:
            Router# show redundancy application protocol 3 
             

            冗長グループのプロトコル固有の情報を表示します。

             
            ステップ 14 show redundancy application if-mgr group [group-id]


            例:
            Router# show redundancy application if-mgr group 2 
             

            冗長グループのインターフェイス マネージャ情報を表示します。

             
            ステップ 15 show redundancy application data-interface group [group-id]


            例:
            Router# show redundancy application data-interface group 1 
             

            データ インターフェイス固有の情報を表示します。

             
            ステップ 16 end


            例:
            Router# end
             

            現在のコンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

             

            ファイアウォール ステートフル シャーシ間冗長性の設定例

            例:冗長アプリケーション グループの設定

            次に、優先度とプリエンプション属性を使用する group1 という冗長グループを設定する例を示します。

            Device# configure terminal
            Device(config)# redundancy
            Device(config-red)# application redundancy
            Device(config-red-app)# group 1
            Device(config-red-app-grp)# name group1
            Device(config-red-app-grp)# priority 100 failover-threshold 50
            Device(config-red-app-grp)# preempt
            Device(config-red-app-grp)# track 200 decrement 200
            Device(config-red-app-grp)# end

            例:冗長グループ プロトコルの設定

            次に、hello タイムおよびホールドタイム メッセージ用にタイマーが設定されている冗長グループを設定する例を示します。

            Device# configure terminal
            Device(config)# redundancy
            Device(config-red)# application redundancy
            Device(config-red-app)# protocol 1
            Device(config-red-app-prtcl)# timers hellotime 3 holdtime 9
            Device(config-red-app-prtcl)# authentication md5 key-string 0 n1 timeout 100
            Device(config-red-app-prtcl)# bfd
            Device(config-red-app-prtcl)# end

            仮想 IP アドレスと冗長インターフェイス識別子の設定例

            次に、ギガビット イーサネット インターフェイス 0/0/0 の冗長グループ仮想 IP アドレスを設定する例を示します。

            Router# configure terminal
            Router(config)# interface GigabitEthernet0/1/1
            Router(conf-if)# redundancy rii 600
            Router(config-if)# redundancy group 2 ip 10.2.3.4 exclusive decrement 200
            Router(config)# redundancy
            Router(config-red-app-grp)# data GigabitEthernet0/0/0
            Router(config-red-app-grp)# control GigabitEthernet0/0/2 protocol 1
            

            例:コントロール インターフェイスおよびデータ インターフェイスの設定

            Device# configure terminal
            Device(config-red)# application redundancy
            Device(config-red-app-grp)# group 1
            Device(config-red-app-grp)# data GigabitEthernet 0/0/0
            Device(config-red-app-grp)# control GigabitEthernet 0/0/2 protocol 1
            Device(config-red-app-grp)# timers delay 100 reload 400
            Device(config-red-app-grp)# end

            LAN-LAN の設定例

            次のサンプル LAN-LAN コンフィギュレーションでは、2 つの発信インターフェイスを持つ ASR ルータのペアが設定される方法を示します。 この例では、GigabitEthernet0/1 は入力インターフェイスであり、GigabitEthernet0/2 は出力インターフェイスです。 両方のインターフェイスがゾーンに割り当てられ、ゾーン間のトラフィックを記述するためにクラスマップが定義されます。 インターフェイスは、冗長性用としても設定されます。 「inspect」アクションにより、アプリケーション レベル ゲートウェイ(ALG)が起動され、他のポートのトラフィックを許可するためのピンホールが開きます。 ALG ピンホールは、保護されたネットワークに対する制御アクセスを特定のアプリケーションが取得できるようにするために、ALG に開かれたポートです。

            ! Identifies and defines network zones
              zone security zone1
              zone security zone2
            !
            ! Assigns interfaces to zones
              interface GigabitEthernet0/1 
              zone-member security zone1
            interface GigabitEthernet0/2 
            zone-member security zone2
            !
            ! Defines class-maps to describes traffic between zones
              class-map type inspect match-any inter-zone-class-map
              match access-group 1 
              access-list 1 permit 10.1.1.1
            !
            ! Associates class-maps with policy-maps to define actions to be applied
              policy-map type inspect inter-zone-policy-map
              class type inspect inter-zone-class-map
              inspect
            !
            ! Sets zone pairs for any policy other than deny all and assign policy-maps to zone-pairs by defining service-policy
              zone-pair inter-zone source zone1 destination zone2
              service-policy type inspect inter-zone-policy-map
            !

            ファイアウォール ステートフル シャーシ間冗長性の追加情報

            シスコのテクニカル サポート

            説明

            リンク

            シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

            http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

            ファイアウォール ステートフル シャーシ間冗長性の機能情報

            次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

            プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

            表 1 ファイアウォール ステートフル シャーシ間冗長性の機能情報

            機能名

            リリース

            機能情報

            ファイアウォール ステートフル シャーシ間冗長性

            Cisco IOS XE Release 3.1(S)

            ファイアウォール ステートフル シャーシ間冗長性機能を使用すると、相互にバックアップとして動作するルータのペアを設定できます。

            次のコマンドが導入または変更されました。application redundancyauthenticationcontroldatadebug redundancy application group configdebug redundancy application group faultsdebug redundancy application group mediadebug redundancy application group protocoldebug redundancy application group riidebug redundancy application group transportdebug redundancy application group vpgroupnamepreemptpriorityprotocolredundancy riiredundancy grouptracktimers delaytimers hellotimeshow redundancy application groupshow redundancy application transportshow redundancy application control-interfaceshow redundancy application faultsshow redundancy application protocolshow redundancy application if-mgrshow redundancy application data-interface