この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、FDMによって管理されるFTDでIP SLAとともにECMPを設定する方法について説明します。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、このソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
このドキュメントでは、Cisco FDMによって管理されるCisco FTDでEqual-Cost Multi-Path(ECMP)とInternet Protocol Service Level Agreement(IP SLA)を設定する方法について説明します。 ECMPを使用すると、FTD上のインターフェイスをグループ化し、複数のインターフェイス間でトラフィックのロードバランシングを行うことができます。 IP SLAは、通常のパケットの交換によってエンドツーエンドの接続を監視するメカニズムです。ECMPとともに、ネクストホップのアベイラビリティを確保するためにIP SLAを実装できます。 この例では、ECMPを使用して、2つのInternet Service Provider(ISP;インターネットサービスプロバイダー)回線に均等にパケットを配信します。同時に、IP SLAは接続を追跡し、障害発生時に使用可能な任意の回線へのシームレスな移行を保証します。
このドキュメントに関する特定の要件は次のとおりです。
この例では、Cisco FTDに2つの外部インターフェイス(outside1とoutside2)があります。それぞれがISPゲートウェイoutside1に接続し、outside2はoutsideという名前の同じECMPゾーンに属しています。
内部ネットワークからのトラフィックはFTDを介してルーティングされ、2つのISPを介してインターネットにロードバランシングされます。
同時に、FTDはIP SLAを使用して各ISPゲートウェイへの接続を監視します。いずれかのISP回線で障害が発生した場合、FTDは他のISPゲートウェイにフェールオーバーして、ビジネスの継続性を維持します。
FDM Web GUIにログインし、Deviceをクリックしてから、Interfacesサマリーのリンクをクリックします。 Interfacesリストには、使用可能なインターフェイス、その名前、アドレス、および状態が表示されます。
編集アイコン()を編集する物理インタフェースに対して使用します。 この例では、GigabitEthernet0/1です。
Edit Physical Interfaceウィンドウで、次の操作を実行します。
注:ECMPゾーンに関連付けることができるのは、ルーテッドインターフェイスだけです。
同様の手順を繰り返して、セカンダリISP接続のインターフェイスを設定します。この例では、物理インターフェイスはGigabitEthernet0/2です。Edit Physical Interfaceウィンドウで、次の操作を実行します。
同様の手順を繰り返して、内部接続のインターフェイスを設定します。この例では、物理インターフェイスはGigabitEthernet0/3です。Edit Physical Interfaceウィンドウで、次の操作を実行します。
Objects > Object Types > Networksの順に移動し、追加アイコン( )をクリックして、新しいオブジェクトを追加します。
Add Network Objectウィンドウで、最初のISPゲートウェイを設定します。
同様の手順を繰り返して、2番目のISPゲートウェイに別のネットワークオブジェクトを設定します。
注:トラフィックを許可するには、アクセスコントロールポリシーをFTDで設定する必要があります。この部分はこのドキュメントには含まれていません。
Deviceに移動し、Routingサマリーのリンクをクリックします。
仮想ルータを有効にした場合は、表示アイコン()を使用してスタティックルートを設定します。この場合、仮想ルータは有効になっていません。
ECMP Traffic Zonesタブをクリックし、次に追加アイコン( )をクリックして、新しいゾーンを追加します。
Add ECMP Traffic Zoneウィンドウで、次の手順を実行します。
インターフェイスoutside1とoutside2の両方がECMPゾーン outsideに正常に追加されました。
注:ECMPルーティングトラフィックゾーンは、セキュリティゾーンとは関係ありません。outside1およびoutside2インターフェイスを含むセキュリティゾーンを作成しても、ECMPルーティングの目的でトラフィックゾーンは実装されません。
各ゲートウェイへの接続の監視に使用するSLAオブジェクトを定義するには、Objects > Object Types > SLA Monitorsの順に選択し、追加アイコン( )を使用して、最初のISP接続に新しいSLAモニタを追加します。
Add SLA Monitor Objectウィンドウで、次のコマンドを実行します。
同様の手順を繰り返して、2番目のISP接続に別のSLAモニタオブジェクトを設定します。これは、Add SLA Monitor Objectウィンドウで行います。
Deviceに移動し、Routingサマリーのリンクをクリックします。
仮想ルータを有効にした場合は、表示アイコン()を使用してスタティックルートを設定します。この場合、仮想ルータは有効になっていません。
Static Routingページで、追加アイコン()を使用して、最初のISPリンクに新しいスタティックルートを追加します。
Add Static Routeウィンドウで、次のコマンドを実行します。
同様の手順を繰り返して、2番目のISP接続に別のスタティックルートを設定します。Add Static Routeウィンドウで、次のように指定します。
ルートトラックを持つoutside1 およびoutside2 インターフェイス経由の2つのルートがあります。
FTDに変更を導入します。
FTDのCLIにログインし、コマンドを実行して、各ゾーンの一部であるインターフェイスを含むECMPトラフィックゾーンに関する情報を確認し show zone
ます。
> show zone
Zone: Outside ecmp
Security-level: 0
Zone member(s): 2
outside2 GigabitEthernet0/2
outside1 GigabitEthernet0/1
コマンドを実行し show running-config route
て、ルーティング設定の実行コンフィギュレーションを確認します。この場合、ルートトラックを持つ2つのスタティックルートがあります。
> show running-config route
route outside1 0.0.0.0 0.0.0.0 10.1.1.2 1 track 1
route outside2 0.0.0.0 0.0.0.0 10.1.2.2 1 track 2
コマンドを実行し show route
てルーティングテーブルを確認します。この場合、等コストでインターフェイスoutside1とoutside2を経由する2つのデフォルトルートがあり、トラフィックを2つのISP回線間で分散できます。
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.1.2.2 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, outside2
[1/0] via 10.1.1.2, outside1
C 10.1.1.0 255.255.255.0 is directly connected, outside1
L 10.1.1.1 255.255.255.255 is directly connected, outside1
C 10.1.2.0 255.255.255.0 is directly connected, outside2
L 10.1.2.1 255.255.255.255 is directly connected, outside2
C 10.1.3.0 255.255.255.0 is directly connected, inside
L 10.1.3.1 255.255.255.255 is directly connected, inside
コマンドを実行 show sla monitor configuration
して、SLAモニタの設定を確認します。
> show sla monitor configuration
SA Agent, Infrastructure Engine-II
Entry number: 1037119999
Owner:
Tag:
Type of operation to perform: echo
Target address: 10.1.1.2
Interface: outside1
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 60
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:
Entry number: 1631063762
Owner:
Tag:
Type of operation to perform: echo
Target address: 10.1.2.2
Interface: outside2
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 60
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:
コマンドを実行して show sla monitor operational-state
、SLAモニタの状態を確認します。この場合、コマンド出力に「Timeout occurred: FALSE」と表示されていれば、ゲートウェイへのICMPエコーが応答しているため、ターゲットインターフェイス経由のデフォルトルートがアクティブで、ルーティングテーブルに格納されています。
> show sla monitor operational-state
Entry number: 1037119999
Modification time: 04:14:32.771 UTC Tue Jan 30 2024
Number of Octets Used by this Entry: 2056
Number of operations attempted: 79
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 05:32:32.791 UTC Tue Jan 30 2024
Latest operation return code: OK
RTT Values:
RTTAvg: 1 RTTMin: 1 RTTMax: 1
NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
Entry number: 1631063762
Modification time: 04:14:32.771 UTC Tue Jan 30 2024
Number of Octets Used by this Entry: 2056
Number of operations attempted: 79
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 05:32:32.791 UTC Tue Jan 30 2024
Latest operation return code: OK
RTT Values:
RTTAvg: 1 RTTMin: 1 RTTMax: 1
NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
FTDを介した最初のトラフィックによる、ECMPによるECMPゾーン内のゲートウェイ間でのトラフィックのロードバランシングの確認 show conn
この場合、Test-PC-1(10.1.3.2)とTest-PC-2(10.1.3.4)からInternet-Host(10.1.5.2)に向けてSSH接続を開始し、コマンドを実行して、トラフィックが2つのISPリンク間でロードバランシングされていることを確認します。Test-PC-1(10.1.3.2)はインターフェイスoutside1を通過し、Test-PC-2(10.1.3.4)は通過します。
> show conn
4 in use, 14 most used
Inspect Snort:
preserve-connection: 2 enabled, 0 in effect, 12 most enabled, 0 most in effect
TCP inside 10.1.3.4:41652 outside2 10.1.5.2:22, idle 0:02:10, bytes 5276, flags UIO N1
TCP inside 10.1.3.2:57484 outside1 10.1.5.2:22, idle 0:00:04, bytes 5276, flags UIO N1
注意:トラフィックは、送信元と宛先のIPアドレス、着信インターフェイス、プロトコル、送信元ポートおよび宛先ポートをハッシュするアルゴリズムに基づいて、指定されたゲートウェイ間でロードバランシングされます。テストを実行すると、シミュレートしたトラフィックは、ハッシュアルゴリズムにより同じゲートウェイにルーティングされる可能性があります。これは、ハッシュ結果を変更するために、6つのタプル(送信元IP、宛先IP、着信インターフェイス、プロトコル、送信元ポート、宛先ポート)間のの値を変更します。
最初のISPゲートウェイへのリンクがダウンしている場合は、シミュレートする最初のゲートウェイルータをシャットダウンします。 FTDがSLAモニタオブジェクトで指定されたしきい値タイマー内に最初のISPゲートウェイからエコー応答を受信しない場合、そのホストは到達不能と見なされ、ダウン状態としてマークされます。最初のゲートウェイへのトラッキング対象ルートも、ルーティングテーブルから削除されます。
コマンドを実行 show sla monitor operational-state
して、SLAモニタの現在の状態を確認します。この場合、コマンド出力に「Timeout occurred: True」と表示されており、最初のISPゲートウェイへのICMPエコーが応答していないことを示しています。
> show sla monitor operational-state
Entry number: 1037119999
Modification time: 04:14:32.771 UTC Tue Jan 30 2024
Number of Octets Used by this Entry: 2056
Number of operations attempted: 121
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: TRUE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): NoConnection/Busy/Timeout
Latest operation start time: 06:14:32.801 UTC Tue Jan 30 2024
Latest operation return code: Timeout
RTT Values:
RTTAvg: 0 RTTMin: 0 RTTMax: 0
NumOfRTT: 0 RTTSum: 0 RTTSum2: 0
Entry number: 1631063762
Modification time: 04:14:32.771 UTC Tue Jan 30 2024
Number of Octets Used by this Entry: 2056
Number of operations attempted: 121
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 06:14:32.802 UTC Tue Jan 30 2024
Latest operation return code: OK
RTT Values:
RTTAvg: 1 RTTMin: 1 RTTMax: 1
NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
コマンドを実行し show route
て現在のルーティングテーブルを確認します。インターフェイスoutside1を経由した1番目のISPゲートウェイへのルートが削除され、インターフェイスoutside2を経由した2番目のISPゲートウェイへのアクティブなデフォルトルートが1つしかありません。
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.1.2.2 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, outside2
C 10.1.1.0 255.255.255.0 is directly connected, outside1
L 10.1.1.1 255.255.255.255 is directly connected, outside1
C 10.1.2.0 255.255.255.0 is directly connected, outside2
L 10.1.2.1 255.255.255.255 is directly connected, outside2
C 10.1.3.0 255.255.255.0 is directly connected, inside
L 10.1.3.1 255.255.255.255 is directly connected, inside
コマンド show conn
を実行すると、2つの接続がまだアップしていることがわかります。SSHセッションは、中断することなく、Test-PC-1(10.1.3.2)およびTest-PC-2(10.1.3.4)でもアクティブです。
> show conn
4 in use, 14 most used
Inspect Snort:
preserve-connection: 2 enabled, 0 in effect, 12 most enabled, 0 most in effect
TCP inside 10.1.3.4:41652 outside2 10.1.5.2:22, idle 0:19:29, bytes 5276, flags UIO N1
TCP inside 10.1.3.2:57484 outside1 10.1.5.2:22, idle 0:17:22, bytes 5276, flags UIO N1
注:Test-PC-1(10.1.3.2)からの出力でshow conn
、SSHセッションはインターフェイスoutside1を経由していますが、インターフェイスoutside1を経由するデフォルトルートはルーティングテーブルから削除されています。これは予期された動作であり、設計上、実際のトラフィックはインターフェイスoutside2を経由します。Test-PC-1(10.1.3.2)からインターネットホスト(10.1.5.2)への新しい接続を開始すると、すべてのトラフィックがインターフェイスoutside2を通過していることがわかります。
ルーティングテーブルの変更を検証するには、コマンド debug ip routing
(CatOS)を実行します。
この例では、最初のISPゲートウェイへのリンクがダウンすると、インターフェイスoutside1を経由するルートがルーティングテーブルから削除されます。
> debug ip routing
IP routing debugging is on
RT: ip_route_delete 0.0.0.0 0.0.0.0 via 10.1.1.2, outside1
ha_cluster_synced 0 routetype 0
RT: del 0.0.0.0 via 10.1.1.2, static metric [1/0]NP-route: Delete-Output 0.0.0.0/0 hop_count:1 , via 0.0.0.0, outside1
RT(mgmt-only):
NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.2.2, outside2
NP-route: Update-Input 0.0.0.0/0 hop_count:1 Distance:1 Flags:0X0 , via 10.1.2.2, outside2
コマンドを実行して show route
、現在のルーティングテーブルを確認します。
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.1.2.2 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, outside2
C 10.1.1.0 255.255.255.0 is directly connected, outside1
L 10.1.1.1 255.255.255.255 is directly connected, outside1
C 10.1.2.0 255.255.255.0 is directly connected, outside2
L 10.1.2.1 255.255.255.255 is directly connected, outside2
C 10.1.3.0 255.255.255.0 is directly connected, inside
L 10.1.3.1 255.255.255.255 is directly connected, inside
最初のISPゲートウェイへのリンクが再びアップすると、インターフェイスoutside1を経由するルートがルーティングテーブルに追加されます。
> debug ip routing
IP routing debugging is on
RT(mgmt-only):
NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.2.2, outside2
NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.1.2, outside2
NP-route: Update-Input 0.0.0.0/0 hop_count:2 Distance:1 Flags:0X0 , via 10.1.2.2, outside2
via 10.1.1.2, outside1
コマンドを実行して show route
、現在のルーティングテーブルを確認します。
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.1.2.2 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, outside2
[1/0] via 10.1.1.2, outside1
C 10.1.1.0 255.255.255.0 is directly connected, outside1
L 10.1.1.1 255.255.255.255 is directly connected, outside1
C 10.1.2.0 255.255.255.0 is directly connected, outside2
L 10.1.2.1 255.255.255.255 is directly connected, outside2
C 10.1.3.0 255.255.255.0 is directly connected, inside
L 10.1.3.1 255.255.255.255 is directly connected, inside
改定 | 発行日 | コメント |
---|---|---|
1.0 |
02-Feb-2024 |
初版 |