セキュリティ コンフィギュレーション ガイド:ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S(ASR 1000)
IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポート
IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポート
発行日;2013/09/03   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポート

IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポート機能は、IPv6 ファイアウォールでの冗長グループ(RG)に基づいたハイ アベイラビリティ(HA)をサポートします。 この機能により、デバイスのペアが互いのバックアップとして動作するように設定できます。 この機能を設定し、複数のフェールオーバー条件に基づいてアクティブ デバイスを判断できます。 この機能は、IPv6 パケット インスペクションの FTP66 アプリケーション層ゲートウェイ(ALG)をサポートしています。

このモジュールでは、ボックスツーボックス(B2B)HA サポートに関する情報を提供し、この機能を設定する方法について説明します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の注意事項と機能情報については、Bug Search Tool およびご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポートの前提条件

  • ファイアウォールに接続しているインターフェイスは、同じ冗長インターフェイス識別子(RII)を持つ必要があります。
  • アクティブ デバイスとスタンバイ デバイスは、同じゾーンベース ポリシー ファイアウォール コンフィギュレーションである必要があります。
  • アクティブ デバイスとスタンバイ デバイスは、同じバージョンの Cisco ソフトウェアで実行する必要があります。 アクティブ デバイスとスタンバイ デバイスは、スイッチを介して接続する必要があります。
  • アクティブ デバイスとスタンバイ デバイス間のコンフィギュレーションは自動同期されないため、これらの両方のデバイス上のボックスツーボックス(B2B)コンフィギュレーションは同じである必要があります。
  • 非対称ルーティング トラフィックを渡すには、class-default クラスの pass アクションを設定する必要があります。 class-default クラスは、ポリシーのいずれのユーザ定義クラスとも一致しないすべてのパケットを表すシステム定義クラス マップです。
  • 2 つの LAN インターフェイス間にゾーン ペアを設定する場合は、両方のインターフェイスに同じ冗長グループ(RG)を必ず設定してください。 ゾーン ペア コンフィギュレーションは、LAN インターフェイスが異なる RG に属している場合はサポートされません。

IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポートの制約事項

  • ボックスツーボックス(B2B)インターリンク インターフェイスでは、IPv4 だけがサポートされています。
  • マルチプロトコル ラベル スイッチング(MPLS)と、仮想ルーティングおよび転送(VRF)はサポートされません。
  • デュアル組み込みサービス プロセッサ(ESP)またはデュアル ルート プロセッサ(RP)がシャーシに含まれている Cisco ASR 1006 および 1013 アグリゲーション サービス ルータは、ボックス間ハイ アベイラビリティ(HA)およびボックス内 HA がサポートされていないため、サポートされていません。 単一の ESP および単一の RP がシャーシに含まれている Cisco ASR 1006 および Cisco ASR 1013 アグリゲーション サービス ルータは、シャーシ間冗長をサポートします。
  • デュアル IOS デーモン(IOSd)が設定されている場合、デバイスはファイアウォール ステートフル シャーシ間冗長構成をサポートしません。
  • IPv6 ファイアウォールでのステートレスなネットワーク アドレス変換 64(NAT64)はサポートされません。

IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポートについて

ゾーンベース ポリシー ファイアウォール ハイ アベイラビリティの概要

ハイ アベイラビリティ(HA)により、ネットワークのいかなる部分で発生した障害からも高速回復でき、ネットワーク規模での保護が可能になります。 HA により、ユーザやネットワーク アプリケーションに対する中断からの迅速なリカバリが可能になります。

ゾーンベース ポリシー ファイアウォールは、アクティブ/アクティブとアクティブ/スタンバイの HA フェールオーバーおよび非対称ルーティングをサポートします。

アクティブ/アクティブ フェールオーバーにより、フェールオーバーに関連する両方のデバイスが、トラフィックを同時に転送できます。

アクティブ/スタンバイ HA フェールオーバーが設定されている場合、フェールオーバーに関連する 1 つのデバイスのみがトラフィックを一度処理し、他のデバイスがスタンバイ モードになり、定期的にアクティブ デバイスからのセッション情報を同期します。

非対称ルーティングは、パケット処理のために、スタンバイ冗長グループからのパケットをアクティブな冗長グループに転送することをサポートします。 この機能がイネーブルでない場合、初期同期(SYN)メッセージを受信しなかったデバイスに転送されたリターン TCP パケットは、既存で既知のいずれのセッションにも属していないため、ドロップされます。

ボックスツーボックス ハイ アベイラビリティの動作

相互にホット スタンバイとして動作するようにデバイスのペアを設定できます。 冗長性はインターフェイスごとに設定します。 冗長インターフェイスのペアは、冗長グループ(RG)と呼ばれます。 図 1 は、アクティブ/アクティブ フェールオーバー シナリオを示しています。 2 つの発信インターフェイスを持つデバイス ペアに対して 2 つの冗長グループがどのように設定されているかを示します。

図 1. 冗長グループの設定:2 つの発信インターフェイス

冗長デバイスは、設定可能なコントロール リンク、データ同期リンク、およびインターリンク インターフェイスによって参加します。 コントロール リンクは、デバイスのステータスを通信するために使用されます。 データ同期リンクは、ステートフル情報をファイアウォールから転送し、ステートフル データベースを同期するために使用されます。 冗長インターフェイスのペアは、同じ固有 ID 番号(冗長インターフェイス識別子(RII)と呼ばれます)で設定されます。 ルーティング テーブルは、アクティブからスタンバイに同期されません。

非対称ルーティングはファイアウォール HA の一部としてサポートされます。 リターン トラフィックがスタンバイ デバイスに入る LAN-WAN シナリオでは、非対称ルーティングがサポートされます。 非対称ルーティング機能を実装するには、非対称トラフィックの専用インターフェイス(インターリンク インターフェイス)で両方の冗長デバイスを設定します。 この専用インターフェイスは、スタンバイ WAN インターフェイスに着信するトラフィックを、アクティブ デバイスにリダイレクトします。

冗長グループ メンバーのステータスは、コントロール リンクで送信される hello メッセージを使用することで判断できます。 いずれかのデバイスが、設定された時間内に hello メッセージに応答しないと、ソフトウェアは障害が発生したと見なし、スイッチオーバーが開始されます。 ミリ秒単位で障害を検出するには、コントロール リンクでフェールオーバー プロトコルを実行します。 hello メッセージについて次のパラメータを設定できます。
  • Active timer。
  • Standby timer。
  • Hello time:hello メッセージが送信される間隔。
  • Hold time:アクティブ デバイスまたはスタンバイ デバイスがダウン状態と宣言されるまでの時間。

hello タイムのデフォルトは、ホットスタンバイ ルータ プロトコル(HSRP)に合わせるために 3 秒です。また、ホールドタイムのデフォルトは 10 秒です。 また、timers hellotime msec コマンドを使用して、これらのタイマーをミリ秒単位で設定することもできます。

スイッチオーバーの影響を受けるインターフェイスのペアを判断するには、冗長インターフェイスの各ペアについて、固有の ID を設定する必要があります。 この ID は、インターフェイスに関連付けられた RII です。

スイッチオーバーの理由

スイッチオーバーが発生する別の要因として、各デバイスで設定可能な優先順位設定があります。 最も優先度が高いデバイスがアクティブ デバイスになります。 アクティブ デバイスまたはスタンバイ デバイスで障害が発生した場合、重みと呼ばれる設定可能な数値分、デバイスの優先度が減らされます。 アクティブ デバイスの優先度が、スタンバイ デバイスの優先度を下回る場合、スイッチオーバーが発生し、スタンバイ デバイスがアクティブ デバイスになります。 このデフォルトの動作を無効にするには、冗長グループについて preemption 属性をディセーブルにします。 また、各インターフェイスについて、インターフェイスのレイヤ 1 状態がダウン状態になった場合に優先度が低下するように設定できます。 設定された優先度が、冗長グループのデフォルトの優先度を上書きします。

冗長グループの優先度が変更されるエラー イベントごとに、タイム スタンプ、影響を受けた冗長グループ、以前の優先度、新しい優先度、およびエラー イベントの原因の説明を含む syslog エントリが生成されます。

スイッチオーバーが発生する原因となるもう 1 つの状況は、デバイスまたはインターフェイスの優先度が、設定可能なしきい値レベルを下回る場合です。

スタンバイ デバイスへのスイッチオーバーは、次の状況で発生します。
  • アクティブ デバイスで停電またはリロードが発生した場合(クラッシュも含まれます)。
  • アクティブ デバイスのランタイム優先度が、スタンバイ デバイスの優先度を下回った場合。
  • アクティブ デバイスのランタイム優先度が、設定したしきい値を下回った場合。
  • アクティブ デバイスの冗長グループを手動でリロードするには、redundancy application reload group rg-number コマンドを使用します。
  • 任意のモニタ対象インターフェイスで 2 つの連続する hello メッセージに失敗した場合、インターフェイスは強制的にテスト モードになります。 両方のデバイスが、インターフェイス上のリンク ステータスを確認してから、次のテストを実行します。
    • ネットワーク アクティビティ テスト
    • アドレス解決プロトコル(ARP)テスト
    • ブロードキャスト ping テスト

アクティブ/アクティブ フェールオーバー

アクティブ/アクティブ フェールオーバー コンフィギュレーションでは、両方のデバイスがネットワーク トラフィックを処理できます。 アクティブ/アクティブ フェールオーバーでは、各冗長グループ(RG)のインターフェイスに仮想 MAC(VMAC)アドレスを生成します。

アクティブ/アクティブ フェールオーバー ペアの 1 台のデバイスがプライマリ(アクティブ)デバイスとして指定され、もう一方はセカンダリ(スタンバイ)デバイスとして指定されます。 アクティブ/スタンバイ フェールオーバーとは異なり、この割り当ては、両方のデバイスが同時に起動した場合にどちらのデバイスがアクティブになるかということを示しているわけではありません。 代わりに、プライマリ/セカンダリの割り当てでは、次のことが決定されます。
  • フェールオーバー ペアが同時に起動した場合、フェールオーバー ペアに実行コンフィギュレーションを提供するデバイス。
  • デバイスが同時に起動した場合、フェールオーバー RG がアクティブ状態で表示されるデバイス。 コンフィギュレーション内の各フェールオーバー RG がプライマリかセカンダリのデバイス プリファレンスに設定されます。 両方のフェールオーバー RG を単一デバイス上でアクティブ状態に設定し、スタンバイ フェールオーバー RG を他のデバイス上に設定できます。 単一デバイス上で、1 つのフェールオーバー RG をアクティブ状態に設定し、他の RG をスタンバイ状態に設定できます。

Active/Standby フェールオーバー

アクティブ/スタンバイ フェールオーバーでは、スタンバイ デバイスを使用して、障害の発生したデバイスの機能を引き継ぐことができます。 障害が発生したアクティブ デバイスはスタンバイ状態になり、スタンバイ デバイスがアクティブ状態になります。 アクティブ状態になったデバイスは、障害が発生したデバイスの IP アドレスと MAC アドレスを引き継いで、トラフィックの処理を開始します。 スタンバイ状態になったデバイスは、スタンバイ IP アドレスと MAC アドレスを受け継ぎます。 ネットワーク デバイスは MAC-to-IP アドレス ペアでの変更を確認しないため、アドレス解決プロトコル(ARP)エントリはネットワーク上のいずれの場所でも変更されず、タイムアウトしません。

アクティブ/スタンバイ シナリオの場合、フェールオーバー ペアの 2 台のデバイス間の主な違いは、どのデバイスがアクティブで、どのデバイスがスタンバイであるか、つまり、どの IP アドレスを使用し、どのデバイスがアクティブにトラフィックを渡すかということに関連します。 両方のデバイスが同時に起動した場合(さらに動作ヘルスが等しい場合)、アクティブ デバイスが常にアクティブ デバイスになります。 アクティブ デバイスの MAC アドレスは、アクティブな IP アドレスと常に組み合わされます。

NAT ボックスツーボックス ハイ アベイラビリティ LAN-LAN トポロジ

LAN-LAN トポロジでは、参加するすべてのデバイスが、内部と外部両方の LAN インターフェイスを介して相互に接続されます。 下の図は、NAT ボックスツーボックス LAN-LAN トポロジを示しています。 ネットワーク アドレス変換(NAT)は、アクティブ/スタンバイ モードであり、ピアは 1 つの冗長グループ(RG)にあります。 すべてのトラフィックまたはこのトラフィックのサブセットは、NAT 変換を実行します。


(注)  


フェールオーバーは、RG インフラストラクチャがリッスンするこれらの障害のみが原因で発生します。
図 2. NAT ボックスツーボックス ハイ アベイラビリティ LAN-LAN トポロジ

WAN-LAN トポロジ

WAN-LAN トポロジでは、2 台のデバイスが内部の LAN インターフェイスおよび外部の WAN インターフェイスを介して接続されます。 WAN リンク経由で受信したリターン トラフィックのルーティングに対する制御は行われません。

WAN リンクは、同じサービス プロバイダーまたは異なるサービス プロバイダーから提供されます。 ほとんどの場合、WAN リンクは異なるサービス プロバイダーから提供されます。 WAN リンクを最大限利用するには、フェールオーバーを提供するように外部デバイスを設定します。

排他的仮想 IP アドレスと排他的仮想 MAC アドレス

仮想 IP(VIP)アドレスと仮想 MAC(VMAC)アドレスは、セキュリティ アプリケーションが、トラフィックを受信するインターフェイスを制御するために使用します。 インターフェイスは、別のインターフェイスとペアになり、これらのインターフェイスは同じ冗長グループ(RG)に関連付けられます。 アクティブ RG に関連付けられたインターフェイスは、VIP と VMAC を排他的に所有します。 アクティブ デバイスのアドレス解決プロトコル(ARP)プロセスによって、VIP への ARP 要求に対する ARP 応答が送信されます。また、インターフェイスのイーサネット コントローラは、VMAC を宛先とするパケットを受信するようにプログラミングされます。 RG フェールオーバーが発生した場合、VIP と VMAC の所有権が変更されます。 新しくアクティブになった RG に関連付けられたインターフェイスは、Gratuitous ARP を送信し、インターフェイスのイーサネット コントローラを、VMAC を宛先とするパケットを受け入れるようにプログラミングします。

IPv6 サポート

各冗長グループ(RG)を、IPv4 と IPv6 の両方の仮想 IP(VIP)アドレスのトラフィック インターフェイスに同じ冗長インターフェイス識別子(RII)で割り当てることができます。 各 RG は RII ごとに一意の仮想 MAC(VMAC)アドレスを使用します。 RG では、IPv6 リンクローカル VIP とグローバル VIP がインターフェイス上に共存します。

トラフィック インターフェイス上の各 RG に対して IPv4 VIP、リンクローカル IPv6 VIP、および/またはグローバル IPv6 VIP を設定できます。 IPv6 リンクローカル VIP は、スタティック ルートまたはデフォルト ルートを設定する場合に主に使用され、一方、IPv6 グローバル VIP は、LAN トポロジと WAN トポロジの両方で広く使用されています。

IPv4 VIP を設定する前に、物理 IP アドレスを設定する必要があります。

FTP66 ALG サポートの概要

ファイアウォールは、IPv6 パケットおよびステートフル ネットワーク アドレス変換 64(NAT64)のインスペクションをサポートします。 IPv6 パケット インスペクションにおいて FTP が機能するには、アプリケーション層ゲートウェイ(ALG)(アプリケーション レベル ゲートウェイ(ALG)とも呼ばれます)、FTP66 が必要となります。 FTP66 ALG は、オールインワン FTP ALG および 1 つの FTP ALG とも呼ばれます。

FTP66 ALG は次のことをサポートします。
  • ファイアウォール IPv4 パケット インスペクション
  • ファイアウォール IPv6 パケット インスペクション
  • NAT 設定
  • NAT64 設定(FTP64 サポートとともに)
  • NAT およびファイアウォール設定
  • NAT64 およびファイアウォール設定
FTP66 ALG には次のセキュリティ脆弱性があります。
  • パケット セグメンテーション攻撃:FTP ALG ステート マシンは、セグメント化されたパケットを検出でき、ステート マシンの処理は、完全なパケットを受信するまで停止します。
  • バウンス攻撃:FTP ALG は、1024 より少ないデータ ポート番号を使用して(NAT 用の)ドアまたは(ファイアウォール用の)ピンホールを作成しません。 バウンス攻撃の防止は、ファイアウォールがイネーブルな場合にのみアクティブです。

IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポートの設定方法

冗長グループ プロトコルの設定

手順の概要

    1.    enable

    2.    configure terminal

    3.    redundancy

    4.    application redundancy

    5.    protocol id

    6.    name group-name

    7.    timers hellotime {seconds | msec milliseconds} holdtime {seconds | msec milliseconds}

    8.    authentication {text string | md5 key-string [0 | 7] key-string timeout seconds | key-chain key-chain-name}

    9.    end


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Device> enable
     

    特権 EXEC モードをイネーブルにします。

    • パスワードを入力します(要求された場合)。
     
    ステップ 2 configure terminal


    例:
    Device# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3 redundancy


    例:
    Device(config)# redundancy
     

    冗長コンフィギュレーション モードを開始します。

     
    ステップ 4 application redundancy


    例:
    Device(config-red)# application redundancy
     

    冗長アプリケーション コンフィギュレーション モードを開始します。

     
    ステップ 5 protocol id


    例:
    Device(config-red-app)# protocol 1
     

    コントロール インターフェイスに接続されるプロトコル インスタンスを指定し、冗長アプリケーション プロトコル コンフィギュレーション モードを開始します。

     
    ステップ 6 name group-name


    例:
    Device(config-red-app-prtcl)# name prot1
     

    (任意)名前を使用して冗長グループ(RG)を設定します。

     
    ステップ 7 timers hellotime {seconds | msec milliseconds} holdtime {seconds | msec milliseconds}


    例:
    Device(config-red-app-prtcl)# timers hellotime 3 holdtime 9
     

    hello メッセージが送信される間隔と、デバイスがダウン状態と宣言されるまでの時間を指定します。

     
    ステップ 8 authentication {text string | md5 key-string [0 | 7] key-string timeout seconds | key-chain key-chain-name}


    例:
    Device(config-red-app-prtcl)# authentication md5 key-string 0 n1 timeout 100
     

    認証情報を指定します。

     
    ステップ 9 end


    例:
    Device(config-red-app-prtcl)# end
     

    冗長アプリケーション プロトコル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

     

    冗長アプリケーション グループの設定

    手順の概要

      1.    enable

      2.    configure terminal

      3.    redundancy

      4.    application redundancy

      5.    group id

      6.    name group-name

      7.    shutdown

      8.    priority value [failover threshold value]

      9.    preempt

      10.    track object-number {decrement value | shutdown}

      11.    end


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Device> enable
       

      特権 EXEC モードをイネーブルにします。

      • パスワードを入力します(要求された場合)。
       
      ステップ 2 configure terminal


      例:
      Device# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3 redundancy


      例:
      Device(config)# redundancy
       

      冗長コンフィギュレーション モードを開始します。

       
      ステップ 4 application redundancy


      例:
      Device(config-red)# application redundancy
       

      冗長アプリケーション コンフィギュレーション モードを開始します。

       
      ステップ 5 group id


      例:
      Device(config-red-app)# group 1
       

      冗長アプリケーション グループ コンフィギュレーション モードを開始します。

       
      ステップ 6 name group-name


      例:
      Device(config-red-app-grp)# name group1
       

      (任意)プロトコル インスタンスに任意のエイリアスを指定します。

       
      ステップ 7 shutdown


      例:
      Device(config-red-app-grp)# shutdown
       

      (任意)冗長グループを手動でシャットダウンします。

       
      ステップ 8 priority value [failover threshold value]


      例:
      Device(config-red-app-grp)# priority 100 failover threshold 50 
       

      (任意)冗長グループの初期優先度とフェールオーバーしきい値を指定します。

       
      ステップ 9 preempt


      例:
      Device(config-red-app-grp)# preempt
       

      グループでプリエンプションをイネーブルにし、優先度に関係なく、スタンバイ デバイスがアクティブ デバイスをプリエンプション処理できるようにします。

       
      ステップ 10 track object-number {decrement value | shutdown}


      例:
      Device(config-red-app-grp)# track 200 decrement 200
       

      冗長グループの優先度を指定します。この値は、イベントが発生した場合に減らされます。

       
      ステップ 11 end


      例:
      Device(config-red-app-grp)# end
       

      冗長アプリケーション グループ コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

       

      コントロール インターフェイスおよびデータ インターフェイスの設定

      手順の概要

        1.    enable

        2.    configure terminal

        3.    redundancy

        4.    application redundancy

        5.    group id

        6.    data interface-type interface-number

        7.    control interface-type interface-number protocol id

        8.    timers delay seconds [reload seconds]

        9.    end


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 enable


        例:
        Device> enable
         

        特権 EXEC モードをイネーブルにします。

        • パスワードを入力します(要求された場合)。
         
        ステップ 2 configure terminal


        例:
        Device# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 3 redundancy


        例:
        Device(config)# redundancy
         

        冗長コンフィギュレーション モードを開始します。

         
        ステップ 4 application redundancy


        例:
        Device(config-red)# application redundancy
         

        冗長アプリケーション コンフィギュレーション モードを開始します。

         
        ステップ 5 group id


        例:
        Device(config-red-app)# group 1
         

        冗長アプリケーション グループ コンフィギュレーション モードを開始します。

         
        ステップ 6 data interface-type interface-number


        例:
        Device(config-red-app-grp)# data GigabitEthernet 0/0/0 
         

        冗長グループに使用されるデータ インターフェイスを指定します。

         
        ステップ 7 control interface-type interface-number protocol id


        例:
        Device(config-red-app-grp)# control gigabitethernet 0/0/2 protocol 1
         
        冗長グループに使用されるコントロール インターフェイスを指定します。
        • このインターフェイスは、コントロール インターフェイス プロトコルのインスタンスにも関連付けられます。
         
        ステップ 8 timers delay seconds [reload seconds]


        例:
        Device(config-red-app-grp)# timers delay 100 reload 400 
         

        障害の発生後、またはシステムのリロード後に起動するロールのネゴシエートを遅らせるために、冗長グループが待機する時間を指定します。

         
        ステップ 9 end


        例:
        Device(config-red-app-grp)# end
         

        冗長アプリケーション グループ コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

         

        LAN トラフィック インターフェイスの設定

        手順の概要

          1.    enable

          2.    configure terminal

          3.    interface type number

          4.    description string

          5.    encapsulation dot1q vlan-id

          6.    ip vrf forwarding name

          7.    ipv6 address {ipv6-prefix/prefix-length | prefix-name sub-bits/prefix-length}

          8.    zone-member security zone-name

          9.    redundancy rii RII-identifier

          10.    redundancy group id {ip virtual-ip | ipv6 {link-local-address | ipv6-address/prefix-length} | autoconfig} [exclusive] [decrement value]

          11.    end


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 enable


          例:
          Device> enable
           
          特権 EXEC モードをイネーブルにします。
          • パスワードを入力します(要求された場合)。
           
          ステップ 2 configure terminal


          例:
          Device# configure terminal
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 3 interface type number


          例:
          Device(config)# interface gigabitethernet 2/0/2         
           

          インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

           
          ステップ 4description string


          例:
          Device(config-if)# description lan interface
           

          (任意)インターフェイス設定に説明を追加します。

           
          ステップ 5encapsulation dot1q vlan-id


          例:
          Device(config-if)# encapsulation dot1q 18
           

          インターフェイスで使用するカプセル化方式を設定します。

           
          ステップ 6ip vrf forwarding name


          例:
          Device(config-if)# ip vrf forwarding trust
           
          VPN ルーティングおよび転送(VRF)インスタンスをインターフェイスまたはサブインターフェイスに関連付けます。
          • このコマンドは、指定された VRF を設定しない場合は設定されません。
           
          ステップ 7ipv6 address {ipv6-prefix/prefix-length | prefix-name sub-bits/prefix-length}


          例:
          Device(config-if)# ipv6 address 2001:0DB8:1:1:FFFF:FFFF:FFFF:FFFE/64
           

          IPv6 の一般的なプレフィックスに基づいて IPv6 アドレスを設定し、インターフェイスにおける IPv6 処理をイネーブルにします。

           
          ステップ 8zone-member security zone-name


          例:
          Device(config-if)# zone member security z1
           
          ゾーン メンバーとしてインターフェイスを設定します。
          • zone-name 引数では、ファイアウォールの設定時に zone security コマンドを使用して設定したゾーンのいずれかを設定する必要があります。
          • インターフェイスがセキュリティ ゾーンにある場合、そのインターフェイスを通るトラフィックはどちらの方向でもすべて(ルータ宛またはルータ発信のトラフィックを除く)デフォルトでドロップされます。 ゾーン メンバーであるインターフェイスをトラフィックが通過することを許可するには、そのゾーンをゾーン ペアの一部にして、そのゾーン ペアにポリシーを適用する必要があります。 ポリシーで、inspect または pass アクションを通してトラフィックが許可されると、トラフィックはインターフェイスを通過します。
           
          ステップ 9redundancy rii RII-identifier


          例:
          Device(config-if)# redundancy rii 100
           

          冗長グループによって保護されるトラフィック インターフェイスの RII を設定します。

           
          ステップ 10redundancy group id {ip virtual-ip | ipv6 {link-local-address | ipv6-address/prefix-length} | autoconfig} [exclusive] [decrement value]


          例:
          Device(config-if)# redundancy group 1 ipv6 2001:0DB8:1:1:FFFF:FFFF:FFFF:FFFE/64 exclusive decrement 50
           

          冗長グループの(RG)トラフィック インターフェイス コンフィギュレーションをイネーブルにします。

           
          ステップ 11end


          例:
          Device(config-if)# end 
           

          インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

           

          WAN トラフィック インターフェイスの設定

          手順の概要

            1.    enable

            2.    configure terminal

            3.    interface type number

            4.    description string

            5.    ipv6 address {ipv6-prefix/prefix-length | prefix-name sub-bits/prefix-length}

            6.    zone-member security zone-name

            7.    ip tcp adjust-mss max-segment-size

            8.    redundancy rii RII-identifier

            9.    redundancy asymmetric-routing enable

            10.    end


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 enable


            例:
            Device> enable
             
            特権 EXEC モードをイネーブルにします。
            • パスワードを入力します(要求された場合)。
             
            ステップ 2 configure terminal


            例:
            Device# configure terminal
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 3 interface type number


            例:
            Device(config)# interface gigabitethernet 2/1/0
             

            インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

             
            ステップ 4 description string


            例:
            Device(config-if)# description wan interface
             

            (任意)インターフェイス設定に説明を追加します。

             
            ステップ 5ipv6 address {ipv6-prefix/prefix-length | prefix-name sub-bits/prefix-length}


            例:
            Device(config-if)# ipv6 address 2001:DB8:2222::/48
             

            IPv6 の一般的なプレフィックスに基づいて IPv6 アドレスを設定し、インターフェイスにおける IPv6 処理をイネーブルにします。

             
            ステップ 6zone-member security zone-name


            例:
            Device(config-if)# zone-member security z2
             
            ファイアウォールの設定中にゾーン メンバーとしてインターフェイスを設定します。
            • zone-name 引数では、zone security コマンドを使用して設定したゾーンのいずれかを設定する必要があります。
            • インターフェイスがセキュリティ ゾーンにある場合、そのインターフェイスを通るトラフィックはどちらの方向でもすべて(ルータ宛またはルータ発信のトラフィックを除く)デフォルトでドロップされます。 ゾーン メンバーであるインターフェイスをトラフィックが通過することを許可するには、そのゾーンをゾーン ペアの一部にして、そのゾーン ペアにポリシーを適用する必要があります。 ポリシーで、inspect または pass アクションを通してトラフィックが許可されると、トラフィックはインターフェイスを通過します。
             
            ステップ 7ip tcp adjust-mss max-segment-size


            例:
            Device(config-if)# ip tcp adjust-mss 1360
             

            ルータを通過する TCP SYN パケットの最大セグメント サイズ(MSS)の値を調整します。

             
            ステップ 8 redundancy rii RII-identifier


            例:
            Device(config-if)# redundancy rii 360 
             

            冗長グループによって保護されるトラフィック インターフェイスの RII を設定します。

             
            ステップ 9redundancy asymmetric-routing enable


            例:
            Device(config-if)# redundancy asymmetric-routing enable
             

            非対称ルーティングで使用されるインターフェイスに冗長グループを関連付けます。

             
            ステップ 10end


            例:
            Device(config-if)# end
             

            インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

             

            IPv6 ファイアウォールの設定

            IPv4 ファイアウォールと IPv6 ファイアウォールを設定する手順は同じです。 IPv6 ファイアウォールを設定するには、IPv6 アドレス ファミリだけが一致するようにクラス マップを設定する必要があります。

            match protocol コマンドは、IPv4 トラフィックと IPv6 トラフィックの両方に適用され、IPv4 ポリシーまたは IPv6 ポリシーに含めることができます。

            手順の概要

              1.    enable

              2.    configure terminal

              3.    vrf-definition vrf-name

              4.    address-family ipv6

              5.    exit-address-family

              6.    exit

              7.    parameter-map type inspect parameter-map-name

              8.    sessions maximum sessions

              9.    exit

              10.    ipv6 unicast-routing

              11.    ip port-map appl-name port port-num list list-name

              12.    ipv6 access-list access-list-name

              13.    permit ipv6 any any

              14.    exit

              15.    class-map type inspect match-all class-map-name

              16.    match access-group name access-group-name

              17.    match protocol protocol-name

              18.    exit

              19.    policy-map type inspect policy-map-name

              20.    class type inspect class-map-name

              21.    inspect [parameter-map-name]

              22.    end


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1 enable


              例:
              Device> enable
               
              特権 EXEC モードを開始します。
              • パスワードを入力します(要求された場合)。
               
              ステップ 2 configure terminal


              例:
              Device# configure terminal
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 3 vrf-definition vrf-name


              例:
              Device(config)# vrf-definition VRF1
               

              仮想ルーティングおよび転送(VRF)ルーティング テーブル インスタンスを設定し、VRF コンフィギュレーション モードを開始します。

               
              ステップ 4 address-family ipv6


              例:
              Device(config-vrf)# address-family ipv6
               

              VRF アドレス ファミリ コンフィギュレーション モードを開始して、標準 IPv6 アドレス プレフィックスを伝送するセッションを設定します。

               
              ステップ 5 exit-address-family


              例:
              Device(config-vrf-af)# exit-address-family
               

              VRF アドレス ファミリ コンフィギュレーション モードを終了し、VRF コンフィギュレーション モードを開始します。

               
              ステップ 6 exit


              例:
              Device(config-vrf)# exit
               

              VRF コンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードを開始します。

               
              ステップ 7 parameter-map type inspect parameter-map-name


              例:
              Device(config)# parameter-map type inspect ipv6-param-map
               

              ファイアウォールのグローバル検査タイプ パラメータ マップを、検査アクションに関連するしきい値、タイムアウト、およびその他のパラメータに関連付けることができるようにし、パラメータ マップ タイプ検査コンフィギュレーション モードを開始します。

               
              ステップ 8 sessions maximum sessions


              例:
              Device(config-profile)# sessions maximum 10000
               

              ゾーン ペア上に存在可能な最大許容セッション数を設定します。

               
              ステップ 9 exit


              例:
              Device(config-profile)# exit
               

              パラメータ マップ タイプ検査コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

               
              ステップ 10 ipv6 unicast-routing


              例:
              Device(config)# ipv6 unicast-routing
               

              IPv6 ユニキャスト データグラムの転送をイネーブルにします。

               
              ステップ 11 ip port-map appl-name port port-num list list-name


              例:
              Device(config)# ip port-map ftp port 8090 list ipv6-acl
               

              IPv6 アクセス コントロール リスト(ACL)を使用してポートツーアプリケーション マッピング(PAM)を確立します。

               
              ステップ 12 ipv6 access-list access-list-name


              例:
              Device(config)# ipv6 access-list ipv6-acl
               

              IPv6 アクセス リストを定義し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。

               
              ステップ 13 permit ipv6 any any


              例:
              Device(config-ipv6-acl)# permit ipv6 any any
               

              IPv6 アクセス リストに許可条件を設定します。

               
              ステップ 14 exit


              例:
              Device(config-ipv6-acl)# exit
               

              IPv6 アクセス リスト コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

               
              ステップ 15 class-map type inspect match-all class-map-name


              例:
              Device(config)# class-map type inspect match-all ipv6-class
               

              アプリケーション固有検査タイプ クラス マップを作成し、QoS クラスマップ コンフィギュレーション モードを開始します。

               
              ステップ 16 match access-group name access-group-name


              例:
              Device(config-cmap)# match access-group name ipv6-acl
               

              指定した ACL をベースにクラス マップに対して一致基準を設定します。

               
              ステップ 17 match protocol protocol-name


              例:
              Device(config-cmap)# match protocol tcp
               

              指定されたプロトコルに基づくクラス マップの一致基準を設定します。

               
              ステップ 18 exit


              例:
              Device(config-cmap)# exit
               

              QoS クラスマップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

               
              ステップ 19 policy-map type inspect policy-map-name


              例:
              Device(config)# policy-map type inspect ipv6-policy
               

              プロトコル固有検査タイプ ポリシー マップを作成し、QoS ポリシーマップ コンフィギュレーション モードを開始します。

               
              ステップ 20 class type inspect class-map-name


              例:
              Device(config-pmap)# class type inspect ipv6-class
               

              アクションを実行する対象のトラフィック クラスを指定し、QoS ポリシーマップ クラス コンフィギュレーション モードを開始します。

               
              ステップ 21 inspect [parameter-map-name]


              例:
              Device(config-pmap-c)# inspect ipv6-param-map
               

              ステートフル パケット インスペクションをイネーブルにします。

               
              ステップ 22 end


              例:
              Device(config-pmap-c)# end
               

              QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

               

              ゾーンの設定およびインターフェイスへのゾーンの適用

              手順の概要

                1.    enable

                2.    configure terminal

                3.    zone security zone-name

                4.    exit

                5.    zone security zone-name

                6.    exit

                7.    zone-pair security zone-pair-name [source source-zone destination destination-zone]

                8.    service-policy type inspect policy-map-name

                9.    exit

                10.    interface type number

                11.    ipv6 address ipv6-address/prefix-length

                12.    encapsulation dot1q vlan-id

                13.    zone-member security zone-name

                14.    end

                15.    show policy-map type inspect zone-pair sessions


              手順の詳細
                 コマンドまたはアクション目的
                ステップ 1 enable


                例:
                Device> enable
                 
                特権 EXEC モードを開始します。
                • パスワードを入力します(要求された場合)。
                 
                ステップ 2 configure terminal


                例:
                Device# configure terminal
                 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 3 zone security zone-name


                例:
                Device(config)# zone security z1
                 

                セキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

                 
                ステップ 4 exit


                例:
                Device(config-sec-zone)# exit
                 

                セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 5 zone security zone-name


                例:
                Device(config)# zone security z2
                 

                セキュリティ ゾーンを作成し、セキュリティ ゾーン コンフィギュレーション モードを開始します。

                 
                ステップ 6 exit


                例:
                Device(config-sec-zone)# exit
                 

                セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 7 zone-pair security zone-pair-name [source source-zone destination destination-zone]


                例:
                Device(config)# zone-pair security in-2-out source z1 destination z2
                 

                ゾーン ペアを作成し、セキュリティ ゾーンペア コンフィギュレーション モードを開始します。

                 
                ステップ 8 service-policy type inspect policy-map-name


                例:
                Device(config-sec-zone-pair)# service-policy type inspect ipv6-policy
                 

                ポリシー マップをトップレベル ポリシー マップに付加します。

                 
                ステップ 9 exit


                例:
                Device(config-sec-zone-pair)# exit
                 

                セキュリティ ゾーンペア コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 10 interface type number


                例:
                Device(config)# interface gigabitethernet 0/0/0.1
                 

                サブインターフェイスを設定し、サブインターフェイス コンフィギュレーション モードを開始します。

                 
                ステップ 11 ipv6 address ipv6-address/prefix-length


                例:
                Device(config-subif)# ipv6 address 2001:DB8:2222:7272::72/64
                 

                IPv6 の一般的なプレフィックスに基づいて IPv6 アドレスを設定し、インターフェイスまたはサブインターフェイスにおける IPv6 処理をイネーブルにします。

                 
                ステップ 12 encapsulation dot1q vlan-id


                例:
                Device(config-subif)# encapsulation dot1q 2
                 

                インターフェイスで使用するカプセル化方式を設定します。

                 
                ステップ 13 zone-member security zone-name


                例:
                Device(config-subif)# zone member security z1
                 
                ゾーン メンバーとしてインターフェイスを設定します。
                • zone-name 引数では、zone security コマンドを使用して設定したゾーンのいずれかを設定する必要があります。
                • インターフェイスがセキュリティ ゾーンにある場合、そのインターフェイスを通るトラフィックはどちらの方向でもすべて(デバイス宛またはデバイス発信のトラフィックを除く)デフォルトでドロップされます。 ゾーン メンバーであるインターフェイスをトラフィックが通過することを許可するには、そのゾーンをゾーン ペアの一部にして、そのゾーン ペアにポリシーを適用する必要があります。 ポリシーで、inspect または pass アクションを通してトラフィックが許可されると、トラフィックはインターフェイスを通過します。
                 
                ステップ 14 end


                例:
                Device(config-subif)# end
                 

                サブインターフェイス コンフィギュレーション モードを終了して、特権 EXEC モードを開始します。

                 
                ステップ 15 show policy-map type inspect zone-pair sessions


                例:
                Device# show policy-map type inspect zone-pair sessions
                 
                ポリシー マップが指定したゾーン ペアに適用されているため、作成されたステートフル パケット インスペクション セッションを表示します。
                • このコマンドの出力は、IPv4 と IPv6 の両方のファイアウォール セッションを表示します。
                 

                show policy-map type inspect zone-pair sessions コマンドからの次のサンプル出力には、IPv6 アドレスと IPv4 アドレスの双方向のパケット変換が表示されます。

                Device# show policy-map type inspect zone-pair sessions
                
                  Zone-pair: in-to-out 
                  Service-policy inspect : in-to-out
                    
                    Class-map: ipv6-class (match-any)  
                      Match: protocol ftp
                      Match: protocol tcp
                      Match: protocol udp
                      Inspect
                        Established Sessions
                         Session 110D930C [2001:DB8:1::103]:32847=>(209.165.201.2:21) ftp SIS_OPEN
                          Created 00:00:00, Last heard 00:00:00
                          Bytes sent (initiator:responder) [37:84]
                        
                        Half-open Sessions
                         Session 110D930C [2001:DB8:1::104]:32848=>(209.165.201.2:21) ftp SIS_OPENING
                          Created 00:00:00, Last heard 00:00:00
                          Bytes sent (initiator:responder) [0:0]
                
                

                show policy-map type inspect zone-pair sessions コマンドからの次のサンプル出力には、IPv6 アドレスから IPv6 アドレスへのパケットの変換が表示されます。

                Device# show policy-map type inspect zone-pair sessions
                
                  Zone-pair: in-to-out 
                  Service-policy inspect : in-to-out
                
                    Class-map: ipv6-class (match-any)  
                      Match: protocol ftp
                      Match: protocol tcp
                      Match: protocol udp
                      Inspect
                        Established Sessions
                         Session 110D930C [2001:DB8:1::103]:63=>[2001:DB8:2::102]:63 udp SIS_OPEN
                          Created 00:00:02, Last heard 00:00:01
                          Bytes sent (initiator:responder) [162:0]
                

                IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポートの設定例

                例:冗長グループ プロトコルの設定

                次に、hello タイムおよびホールドタイム メッセージ用にタイマーが設定されている冗長グループを設定する例を示します。

                Device# configure terminal
                Device(config)# redundancy
                Device(config-red)# application redundancy
                Device(config-red-app)# protocol 1
                Device(config-red-app-prtcl)# timers hellotime 3 holdtime 9
                Device(config-red-app-prtcl)# authentication md5 key-string 0 n1 timeout 100
                Device(config-red-app-prtcl)# bfd
                Device(config-red-app-prtcl)# end

                例:冗長アプリケーション グループの設定

                次に、優先度とプリエンプション属性を使用する group1 という冗長グループを設定する例を示します。

                Device# configure terminal
                Device(config)# redundancy
                Device(config-red)# application redundancy
                Device(config-red-app)# group 1
                Device(config-red-app-grp)# name group1
                Device(config-red-app-grp)# priority 100 failover-threshold 50
                Device(config-red-app-grp)# preempt
                Device(config-red-app-grp)# track 200 decrement 200
                Device(config-red-app-grp)# end

                例:コントロール インターフェイスおよびデータ インターフェイスの設定

                Device# configure terminal
                Device(config-red)# application redundancy
                Device(config-red-app-grp)# group 1
                Device(config-red-app-grp)# data GigabitEthernet 0/0/0
                Device(config-red-app-grp)# control GigabitEthernet 0/0/2 protocol 1
                Device(config-red-app-grp)# timers delay 100 reload 400
                Device(config-red-app-grp)# end

                例:LAN トラフィック インターフェイスの設定

                Device# configure terminal
                Device(config-if)# interface gigabitethernet 2/0/2 
                Device(config-if)# description lan interface
                Device(config-if)# encapsulation dot1q 18
                Device(config-if)# ip vrf forwarding trust
                Device(config-if)# ipv6 address 2001:0DB8:1:1:FFFF:FFFF:FFFF:FFFE/64
                Device(config-if)# zone member security z1
                Device(config-if)# redundancy rii 100
                Device(config-if)# redundancy group 1 ipv6 2001:0DB8:1:1:FFFF:FFFF:FFFF:FFFE exclusive decrement 50
                Device(config-if)# end

                例:WAN トラフィック インターフェイスの設定

                次に、WAN-LAN シナリオの冗長グループを設定する例を示します。

                Device# configure terminal
                Device(config-if)# interface gigabitethernet 2/1/0
                Device(config-if)# description wan interface
                Device(config-if)# ipv6 address 2001:DB8:2222::/48
                Device(config-if)# zone-member security z2
                Device(config-if)# ip tcp adjust-mss 1360
                Device(config-if)# redundancy rii 360
                Device(config-if)# redundancy asymmetric-routing enable
                Device(config-if)# end

                例:IPv6 ファイアウォールの設定

                Device# configure terminal
                Device(config)# vrf-definition VRF1
                Device(config-vrf)# address-family ipv6
                Device(config-vrf-af)# exit-address-family
                Device(config-vrf)# exit
                Device(config)# parameter-map type inspect ipv6-param-map
                Device(config-profile)# sessions maximum 10000
                Device(config-profile)# exit
                Device(config)# ipv6 unicast-routing
                Device(config)# ip port-map ftp port 8090 list ipv6-acl
                Device(config)# ipv6 access-list ipv6-acl
                Device(config-ipv6-acl)# permit ipv6 any any
                Device(config-ipv6-acl)# exit
                Device(config)# class-map type inspect match-all ipv6-class
                Device(config-cmap)# match access-group name ipv6-acl
                Device(config-cmap)# match protocol tcp
                Device(config-cmap)# exit
                Device(config)# policy-map type inspect ipv6-policy
                Device(config-pmap)# class type inspect ipv6-class
                Device(config-pmap-c)# inspect ipv6-param-map
                Device(config-pmap-c)# end

                例:ゾーンの設定およびインターフェイスへのゾーンの適用

                Device# configure terminal
                Device(config)# zone security z1
                Device(config-sec-zone)# exit
                Device(config)# zone security z2
                Device(config-sec-zone)# exit
                Device(config)# zone-pair security in-to-out source z1 destination z2
                Device(config-sec-zone-pair)# service-policy type inspect ipv6-policy
                Device(config-sec-zone-pair)# exit
                Device(config)# interface gigabitethernet 0/0/0.1
                Device(config-if)# ipv6 address 2001:DB8:2222:7272::72/64
                Device(config-if)# encapsulation dot1q 2
                Device(config-if)# zone member security z1
                Device(config-if)# end

                IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポートの追加情報

                シスコのテクニカル サポート

                説明

                リンク

                シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

                http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

                IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポートの機能情報

                次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

                プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

                表 1 IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポートの機能情報

                機能名

                リリース

                機能情報

                IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポート

                Cisco IOS XE Release 3.8S

                IPv6 ゾーンベース ファイアウォールのボックスツーボックス ハイ アベイラビリティ サポート機能は、IPv6 ファイアウォールでの冗長グループ(RG)に基づいたハイ アベイラビリティ(HA)をサポートします。 この機能により、デバイスのペアが互いのバックアップとして動作するように設定できます。 この機能を設定し、複数のフェールオーバー条件に基づいてアクティブ デバイスを判断できます。

                追加または変更されたコマンドはありません。