EtherChannel インターフェイスと冗長インターフェイス

この章では、EtherChannel インターフェイスと冗長インターフェイスを設定する方法について説明します。


(注)  

マルチコンテキスト モードでは、この項のすべてのタスクをシステム実行スペースで実行してください。まだシステム実行スペースに入っていない場合は、[Configuration] > [Device List] ペイン内で、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします

特殊な必須要件を保有する ASA クラスタ インターフェイスについては、ASA クラスタ を参照してください。


(注)  

プラットフォームモードの Firepower 2100 および Firepower 4100/9300 シャーシ、EtherChannel インターフェイスは FXOS オペレーティングシステムで設定されます。冗長インターフェイスはサポートされません。詳細については、お使いのシャーシの設定または導入ガイドを参照してください。

EtherChannel インターフェイスと冗長インターフェイスについて

ここでは、EtherChannel インターフェイスと冗長インターフェイスについて説明します。

冗長インターフェイスについて(ASA プラットフォームのみ)

論理冗長インターフェイスは、物理インターフェイスのペア(アクティブ インターフェイスとスタンバイ インターフェイス)で構成されます。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定してSecure Firewall ASAの信頼性を高めることができます。この機能は、デバイスレベルのフェールオーバーとは別個のものですが、必要な場合はデバイスレベルのフェールオーバーとともに冗長インターフェイスも設定できます。

最大 8 個の冗長インターフェイス ペアを設定できます。

冗長インターフェイスの MAC アドレス

冗長インターフェイスでは、追加した最初の物理インターフェイスの MAC アドレスを使用します。コンフィギュレーションでメンバー インターフェイスの順序を変更すると、MAC アドレスは、リストの最初になったインターフェイスの MAC アドレスと一致するように変更されます。または、冗長インターフェイスに手動で MAC アドレスを割り当てることができます。これはメンバー インターフェイスの MAC アドレスに関係なく使用されます。アクティブ インターフェイスがスタンバイ インターフェイスにフェールオーバーすると、トラフィックが中断しないように同じ MAC アドレスが維持されます。

EtherChannel について

802.3ad EtherChannel は、単一のネットワークの帯域幅を増やすことができるように、個別のイーサネット リンク(チャネル グループ)のバンドルで構成される論理インターフェイスです(ポートチャネル インターフェイスと呼びます)。ポートチャネル インターフェイスは、インターフェイス関連の機能を設定するときに、物理インターフェイスと同じように使用します。

モデルでサポートされているインターフェイスの数に応じて、最大 48 個の Etherchannel を設定できます。

チャネル グループ インターフェイス

各チャネルグループには、最大 16 個のアクティブインターフェイスを持たせることができます。ただし、Firepower 1000、2100 モデルは、8 個のアクティブインターフェイスをサポートしています。8 個のアクティブ インターフェイスだけをサポートするスイッチの場合、1 つのチャネル グループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイ リンクとして動作できます。16 個のアクティブインターフェイスの場合、スイッチがこの機能をサポートしている必要があります(たとえば、Cisco Nexus 7000 と F2 シリーズ 10 ギガビット イーサネット モジュール)。

チャネル グループのすべてのインターフェイスは、同じタイプと速度である必要があります。チャネル グループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。

EtherChannel によって、チャネル内の使用可能なすべてのアクティブ インターフェイスのトラフィックが集約されます。インターフェイスは、送信元または宛先 MAC アドレス、IP アドレス、TCP および UDP ポート番号、および VLAN 番号に基づいて、独自のハッシュ アルゴリズムを使用して選択されます。

別のデバイスの EtherChannel への接続

ASA EtherChannel の接続先のデバイスも 802.3ad EtherChannel をサポートしている必要があります。たとえば、Catalyst 6500 スイッチまたは Cisco Nexus 7000 に接続できます。

スイッチが仮想スイッチング システム(VSS)または 仮想ポート チャネル(vPC)の一部である場合、同じ EtherChannel 内の ASA インターフェイスを VSS/vPC 内の個別のスイッチに接続できます。スイッチ インターフェイスは同じ EtherChannel ポートチャネル インターフェイスのメンバです。複数の個別のスイッチが単一のスイッチのように動作するからです。

図 1. VSS/vPC への接続

(注)  

ASA がトランスペアレント ファイアウォール モードで、2 組の VSS/vPC スイッチの間に ASA を配置する場合は、EtherChannel で ASA に接続されたすべてのスイッチポートで単方向リンク検出(UDLD)を無効にしてください。スイッチポートで UDLD を有効にすると、他の VSS/vPC ペアの両方のスイッチから送信された UDLD パケットを受信する場合があります。受信側スイッチの受信インターフェイスは「UDLD Neighbor mismatch」という理由でダウン状態になります。

ASA をアクティブ/スタンバイ フェールオーバー配置で使用する場合、ASA ごとに 1 つ、VSS/vPC 内のスイッチで個別の EtherChannel を作成する必要があります。各 ASA で、1 つの EtherChannel が両方のスイッチに接続します。すべてのスイッチインターフェイスを両方の ASA に接続する単一の EtherChannel にグループ化できる場合でも(この場合、個別の ASA システム ID のため、EtherChannel は確立されません)、単一の EtherChannel は望ましくありません。これは、トラフィックをスタンバイ ASA に送信しないようにするためです。

図 2. アクティブ/スタンバイ フェールオーバーと VSS/vPC

リンク集約制御プロトコル

リンク集約制御プロトコル(LACP)では、2 つのネットワーク デバイス間でリンク集約制御プロトコル データ ユニット(LACPDU)を交換することによって、インターフェイスが集約されます。

EtherChannel 内の各物理インターフェイスを次のように設定できます。

  • アクティブ:LACP アップデートを送信および受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックを最小にする必要がある場合以外は、アクティブ モードを使用する必要があります。

  • パッシブ:LACP アップデートを受信します。パッシブ EtherChannel は、アクティブ EtherChannel のみと接続を確立できます。Firepower ハードウェアモデルではサポートされていません。

  • オン:EtherChannel は常にオンであり、LACP は使用されません。「オン」の EtherChannel は、別の「オン」の EtherChannel のみと接続を確立できます。

LACP では、ユーザが介入しなくても、EtherChannel へのリンクの自動追加および削除が調整されます。また、コンフィギュレーションの誤りが処理され、メンバ インターフェイスの両端が正しいチャネル グループに接続されていることがチェックされます。「オン」モードではインターフェイスがダウンしたときにチャネル グループ内のスタンバイ インターフェイスを使用できず、接続とコンフィギュレーションはチェックされません。

ロード バランシング

ASA は、パケットの送信元および宛先 IP アドレスをハッシュすることによって、パケットを EtherChannel 内のインターフェイスに分散します(この基準は設定可能です)。生成されたハッシュ値をアクティブなリンクの数で割り、そのモジュロ演算で求められた余りの値によってフローの割り当て先のインターフェイスが決まります。hash_value mod active_links の結果が 0 となるすべてのパケットは、EtherChannel 内の最初のインターフェイスに送信され、以降は結果が 1 となるものは 2 番目のインターフェイスに、結果が 2 となるものは 3 番目のインターフェイスに、というように送信されます。たとえば、15 個のアクティブ リンクがある場合、モジュロ演算では 0 ~ 14 の値が得られます。6 個のアクティブ リンクの場合、値は 0 ~ 5 となり、以降も同様になります。

クラスタリングのスパンド EtherChannel では、ロード バランシングは ASA ごとに行われます。たとえば、8 台の ASA にわたるスパンド EtherChannel 内に 32 個のアクティブインターフェイスがあり、EtherChannel 内の 1 台の ASA あたり 4 個のインターフェイスがある場合、ロードバランシングは 1 台の ASA の 4 個のインターフェイス間でのみ行われます。

アクティブ インターフェイスがダウンし、スタンバイ インターフェイスに置き換えられない場合、トラフィックは残りのリンク間で再バランスされます。失敗はレイヤ 2 のスパニングツリーとレイヤ 3 のルーティング テーブルの両方からマスクされるため、他のネットワーク デバイスへのスイッチオーバーはトランスペアレントです。

EtherChannel MAC アドレス

1 つのチャネル グループに含まれるすべてのインターフェイスは、同じ MAC アドレスを共有します。この機能によって、EtherChannel はネットワーク アプリケーションとユーザに対してトランスペアレントになります。ネットワーク アプリケーションやユーザから見えるのは 1 つの論理接続のみであり、個々のリンクのことは認識しないからです。

ポート チャネル インターフェイスは、最も小さいチャネル グループ インターフェイスの MAC アドレスをポート チャネル MAC アドレスとして使用します。または、ポートチャネル インターフェイスの MAC アドレスを手動で設定することもできます。マルチコンテキストモードでは、EtherChannel ポートインターフェイスを含め、一意の MAC アドレスを共有インターフェイスに自動的に割り当てることができます。グループ チャネル インターフェイスのメンバーシップを変更する場合は、固有の MAC アドレスを,手動で設定するか、または共有インターフェイスのマルチ コンテキスト モードでは自動的に設定することを推奨します。ポート チャネル MAC アドレスを提供していたインターフェイスを削除すると、そのポート チャネル MAC アドレスは次に番号が小さいインターフェイスに変わるため、トラフィックが分断されます。

EtherChannel インターフェイスと冗長インターフェイスのガイドライン

ブリッジ グループ

ルーテッドモードでは、ASA 定義の EtherChannel はブリッジグループメンバーとしてサポートされません。Firepower 4100/9300 上の Etherchannel は、ブリッジ グループ メンバーにすることができます。

フェールオーバー

  • EtherChannel インターフェイスまたは冗長インターフェイスフェールオーバー リンクとして使用する場合、フェールオーバー ペアの両方のユニットでその事前設定を行う必要があります。プライマリユニットで設定し、セカンダリユニットに複製されることは想定できません。これは、複製には フェールオーバー リンク自体が必要であるためです。

  • EtherChannel インターフェイスまたは冗長インターフェイスをステートリンクに対して使用する場合、特別なコンフィギュレーションは必要ありません。コンフィギュレーションは通常どおりプライマリユニットから複製されます。Firepower 4100/9300 シャーシ では、EtherChannel を含むすべてのインターフェイスを、両方のユニットで事前に設定する必要があります。

  • monitor-interface コマンドを使用して、フェールオーバー の EtherChannel インターフェイスまたは冗長インターフェイスをモニタできます。。アクティブなメンバーインターフェイスがスタンバイインターフェイスにフェールオーバーした場合、デバイスレベルのフェールオーバーをモニタしているときには、EtherChannel インターフェイスまたは冗長インターフェイスで障害が発生しているようには見えません。すべての物理インターフェイスで障害が発生した場合にのみ、EtherChannel インターフェイスまたは冗長インターフェイスで障害が発生しているように見えます(EtherChannel インターフェイスでは、障害の発生が許容されるメンバインターフェイスの数を設定できます)

  • EtherChannel インターフェイスをフェールオーバーまたはステートリンクに対して使用する場合、パケットが順不同にならないように、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。フェールオーバーリンクとして使用中の EtherChannel の設定は変更できません。設定を変更するには、フェールオーバー を一時的に無効にする必要があります。これにより、その期間中は フェールオーバー が発生することはありません。

モデルのサポート

  • プラットフォームモードの Firepower 2100、Firepower 4100/9300、または ASAv の場合、ASA に EtherChannel を追加することはできません。Firepower 4100/9300 は EtherChannel をサポートしていますが、シャーシの FXOS で EtherChannel のすべてのハードウェア設定を実行する必要があります。

  • 冗長インターフェイスは、ASA 5500-X プラットフォームでのみサポートされます。

  • EtherChannel で Firepower 1010 のスイッチポートまたは VLAN インターフェイスを使用することはできません。

クラスタリング

  • スパンド EtherChannel または個別クラスタ インターフェイスを設定するには、クラスタリングの章を参照してください。

EtherChannel の一般的なガイドライン

  • モデルで利用可能なインターフェイスの数に応じて、最大 48 個の Etherchannel を設定できます。

  • 各チャネルグループには、最大 16 個のアクティブインターフェイスを持たせることができます。ただし、Firepower 1000、2100 モデルは、8 個のアクティブインターフェイスをサポートしています。8 個のアクティブ インターフェイスだけをサポートするスイッチの場合、1 つのチャネル グループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイ リンクとして動作できます。16 個のアクティブインターフェイスの場合、スイッチがこの機能をサポートしている必要があります(たとえば、Cisco Nexus 7000 と F2 シリーズ 10 ギガビット イーサネット モジュール)。

  • チャネルグループ内のすべてのインターフェイスは、同じメディアタイプと容量である必要があり、同じ速度とデュプレックスに設定する必要があります。メディアタイプは RJ-45 または SFP のいずれかです。異なるタイプ(銅と光ファイバ)の SFP を混在させることができます。容量の大きいインターフェイスで速度を低く設定することによってインターフェイスの容量(1 GB インターフェイスと 10 GB インターフェイスなど)を混在させることはできません。

  • ASA の EtherChannel の接続先デバイスも 802.3ad EtherChannel をサポートしている必要があります。

  • ASA は、VLAN タグ付きの LACPDU をサポートしていません。Cisco IOS vlan dot1Q tag native コマンドを使用して、隣接スイッチのネイティブ VLAN タギングをイネーブルにすると ASA はタグ付きの LACPDU をドロップします。隣接スイッチのネイティブ VLAN タギングは、必ずディセーブルにしてください。マルチ コンテキスト モードでは、これらのメッセージはパケット キャプチャに含まれていないため、問題を効率的に診断できません。

  • ASA 5500-X モデル、Firepower 1000、および Firepower 2100(アプライアンスモードとプラットフォームモードの両方)は、LACP レート高速機能をサポートしていません。LACP では常に通常のレートが使用されます。この値は設定不可能です。FXOS で EtherChannel を設定する Firepower 4100/9300 では、LACP レートがデフォルトで高速に設定されていることに注意してください。これらのプラットフォームでは、レートを設定できます。

  • 15.1(1)S2 以前の Cisco IOS ソフトウェアバージョンを実行する ASA では、スイッチ スタックへの EtherChannel の接続がサポートされていませんでした。デフォルトのスイッチ設定では、ASA EtherChannel がクロススタックに接続されている場合、プライマリスイッチの電源がオフになると、残りのスイッチに接続されている EtherChannel は起動しません。互換性を高めるため、stack-mac persistent timer コマンドを設定して、十分なリロード時間を確保できる大きな値、たとえば 8 分、0 (無制限)などを設定します。または、15.1(1)S2 など、より安定したスイッチ ソフトウェア バージョンにアップグレードできます。

  • すべての ASA コンフィギュレーションは、メンバ物理インターフェイスではなく論理 EtherChannel インターフェイスを参照します。

  • EtherChannel の一部として冗長インターフェイスを使用することはできません。また、冗長インターフェイスの一部として EtherChannel を使用することはできません。冗長インターフェイスと EtherChannel インターフェイスでは同じ物理インターフェイスを使用できません。ただし、同じ物理インターフェイスを使用するのでなければ、両方のタイプを ASA 上で設定することができます。

EtherChannel インターフェイスと冗長インターフェイのデフォルト設定

この項では、工場出荷時のデフォルト コンフィギュレーションが設定されていない場合のインターフェイスのデフォルト設定を示します。

インターフェイスのデフォルトの状態

インターフェイスのデフォルトの状態は、そのタイプおよびコンテキスト モードによって異なります。

マルチ コンテキスト モードでは、システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。

シングル モードまたはシステム実行スペースでは、インターフェイスのデフォルトの状態は次のとおりです。

  • 物理インターフェイス:ディセーブル。

  • 冗長インターフェイス:イネーブル。ただし、トラフィックが冗長インターフェイスを通過するためには、メンバ物理インターフェイスもイネーブルになっている必要があります。

  • EtherChannel ポートチャネル インターフェイス:イネーブル。ただし、トラフィックが EtherChannel を通過するためには、チャネル グループ物理インターフェイスもイネーブルになっている必要があります。

冗長インターフェイスの設定

論理冗長インターフェイスは、物理インターフェイスのペア(アクティブ インターフェイスとスタンバイ インターフェイス)で構成されます。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定して ASA の信頼性を高めることができます。この機能は、デバイスレベルのフェールオーバーとは別個のものですが、必要な場合はフェールオーバーとともに冗長インターフェイスも設定できます。

この項では、冗長インターフェイスを設定する方法について説明します。

冗長インターフェイスの設定

この項では、冗長インターフェイスを作成する方法について説明します。デフォルトでは、冗長インターフェイスはイネーブルになっています。

始める前に

  • 最大 8 個の冗長インターフェイス ペアを設定できます。

  • 冗長インターフェイス遅延値は設定可能ですが、デフォルトでは、ASA はそのメンバー インターフェイスの物理タイプに基づくデフォルトの遅延値を継承します。

  • 両方のメンバー インターフェイスが同じ物理タイプである必要があります。たとえば、両方ともギガビット イーサネットにする必要があります。

  • 名前が設定されている場合は、物理インターフェイスを冗長インターフェイスに追加できません。最初に、[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] ペインで、名前を削除する必要があります。

  • マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。まだシステム コンフィギュレーション モードを開始していない場合は、[Configuration] > [Device List] ペインで、アクティブなデバイス IP アドレスの下にある [System] をダブルクリックします


注意    

コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。

手順

ステップ 1

コンテキスト モードによって次のように異なります。

  • シングル モードの場合、[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] ペインを選択します。
  • マルチ モードの場合、システム実行スペースで、[Configuration] > [Context Management] > [Interfaces] ペインを選択します。
ステップ 2

[Add] > [Redundant Interface] の順に選択します。

[Add Redundant Interface] ダイアログボックスが表示されます。

(注)   

シングル モードでは、この手順では [Edit Redundant Interface] ダイアログボックスでのパラメータのサブセットのみを対象としています。マルチ コンテキスト モードでは、インターフェイスの設定を完了する前に、コンテキストにインターフェイスを割り当てる必要があります。マルチ コンテキストの設定を参照してください。

ステップ 3

[Redundant ID] フィールドで、1 ~ 8 の整数を入力します。

ステップ 4

[Primary Interface] ドロップダウンリストから、プライマリにする物理インターフェイスを選択します。

サブインターフェイスを持たず、まだコンテキストに割り当てられていないインターフェイスを必ず選択してください。冗長インターフェイスは、Management slot/port インターフェイスをメンバとしてサポートしません。

ステップ 5

[Secondary Interface] ドロップダウン リストから、セカンダリにする物理インターフェイスを選択します。

ステップ 6

インターフェイスがまだイネーブルでない場合は、[Enable Interface] チェックボックスをオンにします。

インターフェイスはデフォルトでイネーブルになっています。

ステップ 7

説明を追加するには、[Description] フィールドにテキストを入力します。

説明は 240 文字以内で入力できます。改行を入れずに 1 行で入力します。マルチ コンテキスト モードの場合、システムの説明とコンテキストの説明に関係はありません。フェールオーバーまたはステート リンクの場合、説明は「LAN Failover Interface」、「STATE Failover Interface」、または「LAN/STATE Failover Interface」などに固定されます。この説明は編集できません。このインターフェイスをフェールオーバーまたはステート リンクにした場合、ここで入力したすべての説明が、この固定の説明で上書きされます。

ステップ 8

[OK] をクリックします。

[Interfaces] ペインに戻ります。メンバー インターフェイスで、基本パラメータのみが設定できることを示すロックが、インターフェイス ID の左側に表示されます。冗長インターフェイスがテーブルに追加されます。

アクティブ インターフェイスの変更

デフォルトでは、コンフィギュレーションで最初にリストされているインターフェイスが(使用可能であれば)、アクティブ インターフェイスになります。

手順

ステップ 1

どのインターフェイスがアクティブかを表示するには、[Tools] > [Command Line Interface] ツールで次のコマンドを入力します。

show interface redundant number detail | grep Member

例:


show interface redundant1 detail | grep Member
      Members GigabitEthernet0/3(Active), GigabitEthernet0/2
ステップ 2

アクティブ インターフェイスを変更します。

redundant-interface redundant number active-member physical_interface

redundantnumber 引数には、冗長インターフェイス ID(redundant1 など)を指定します。

physical_interface には、アクティブにするメンバ インターフェイスの ID を指定します。

EtherChannel の設定

ここでは、EtherChannel ポートチャネル インターフェイスの作成、インターフェイスの EtherChannel への割り当て、EtherChannel のカスタマイズ方法について説明します。

EtherChannel へのインターフェイスの追加

ここでは、EtherChannel ポートチャネル インターフェイスを作成し、インターフェイスを EtherChannel に割り当てる方法について説明します。デフォルトでは、ポートチャネル インターフェイスはイネーブルになっています。

始める前に

  • 使用しているモデルに設定されているインターフェイスの数に応じて、最大 48 個の EtherChannel を設定できます。

  • 次のメンバー制限を参照してください。

    • ASA ハードウェア、ISA 3000:各チャネルグループは、最大 16 個のアクティブインターフェイスを設定できます。8 個のアクティブ インターフェイスだけをサポートするスイッチの場合、1 つのチャネル グループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイ リンクとして動作できます。

    • Firepower 1000、2100:各チャネルグループに最大 8 つのアクティブインターフェイスを設定できます。

  • クラスタリング用にスパンド EtherChannel を設定するには、この手順の代わりにクラスタリングの章を参照してください。

  • チャネルグループ内のすべてのインターフェイスは、同じメディアタイプと容量である必要があり、同じ速度とデュプレックスに設定する必要があります。メディアタイプは RJ-45 または SFP のいずれかです。異なるタイプ(銅と光ファイバ)の SFP を混在させることができます。容量の大きいインターフェイスで速度を低く設定することによってインターフェイスの容量(1 GB インターフェイスと 10 GB インターフェイスなど)を混在させることはできません。

  • 名前が設定されている場合は、物理インターフェイスをチャネル グループに追加できません。最初に、[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] ペインで、名前を削除する必要があります。

  • マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。まだシステム コンフィギュレーション モードを開始していない場合は、[Configuration] > [Device List] ペインで、アクティブなデバイス IP アドレスの下にある [System] をダブルクリックします


注意    

コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。

手順

ステップ 1

コンテキスト モードによって次のように異なります。

  • シングル モードの場合、[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] ペインを選択します。
  • マルチ モードの場合、システム実行スペースで、[Configuration] > [Context Management] > [Interfaces] ペインを選択します。
ステップ 2

[Add] > [EtherChannel Interface] の順に選択します。

[Add EtherChannel Interface] ダイアログボックスが表示されます。

(注)   

シングル モードでは、この手順では [Edit EtherChannel Interface] ダイアログボックスでのパラメータのサブセットのみを対象としています。マルチ コンテキスト モードでは、インターフェイスの設定を完了する前に、コンテキストにインターフェイスを割り当てる必要があります。マルチ コンテキストの設定を参照してください。

ステップ 3

In the Port Channel ID field, enter a number between 1 and 48(1 and 8 for the Firepower 1010).

ステップ 4

[Available Physical Interface] 領域で、インターフェイスをクリックし、[Add] をクリックしてそれを [Members in Group] 領域に移動します。

トランスペアレント モードで、複数の管理インターフェイスがあるチャネル グループを作成する場合は、この EtherChannel を管理専用インターフェイスとして使用できます。

(注)   

EtherChannel モードをオンに設定する場合、最初はインターフェイスを 1 個のみ含める必要があります。この手順を完了後、メンバー インターフェイスを編集し、このモードをオンに設定します。変更を適用し、EtherChannel を編集してメンバー インターフェイスをさらに追加します。

ステップ 5

チャネル グループに追加するインターフェイスごとに繰り返します。

すべてのインターフェイスが同じタイプと速度であるようにします。最初に追加するインターフェイスによって、EtherChannel のタイプと速度が決まります。一致しないインターフェイスを追加すると、そのインターフェイスは停止状態になります。ASDM では、一致しないインターフェイスの追加は防止されません。

ステップ 6

[OK] をクリックします。

[Interfaces] ペインに戻ります。メンバー インターフェイスで、基本パラメータのみが設定できることを示すロックが、インターフェイス ID の左側に表示されます。EtherChannel インターフェイスがテーブルに追加されます。

ステップ 7

[Apply] をクリックします。すべてのメンバー インターフェイスは自動的にイネーブルになります。

EtherChannel のカスタマイズ

この項では、EtherChannel のインターフェイスの最大数、EtherChannel をアクティブにするための動作インターフェイスの最小数、ロード バランシング アルゴリズム、およびその他のオプション パラメータを設定する方法について説明します。

手順

ステップ 1

コンテキスト モードによって次のように異なります。

  • シングル モードの場合、[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] ペインを選択します。
  • マルチ モードの場合、システム実行スペースで、[Configuration] > [Context Management] > [Interfaces] ペインを選択します。
ステップ 2

カスタマイズするポートチャネル インターフェイスをクリックし、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが表示されます。

ステップ 3

すべてのメンバ インターフェイスについて、メディア タイプ、二重通信、速度、およびフロー制御のポーズ フレームを上書きするには、[Configure Hardware Properties] をクリックします。これらのパラメータはチャネル グループのすべてのインターフェイスで一致している必要があるため、この方法はこれらのパラメータを設定するショートカットになります。

ステップ 4

(オプションASA 5500-X および ISA 3000 のみ)EtherChannel をカスタマイズするには、[詳細設定(Advanced)] タブをクリックします。

  1. [EtherChannel] 領域で、[Minimum] ドロップダウンリストから、EtherChannel をアクティブにするために必要なアクティブ インターフェイスの最小数を 1 ~ 16 の範囲で選択します。デフォルトは 1 です。

  2. [Maximum] ドロップダウンリストから、EtherChannel で許可されるアクティブ インターフェイスの最大数を 1 ~ 16 の範囲で選択します。デフォルトは 16 です。スイッチが 16 個のアクティブ インターフェイスをサポートしていない場合、このコマンドは必ず 8 以下に設定する必要があります。

  3. [Load Balance] ドロップダウンリストから、パケットをグループ チャネル インターフェイス間でロード バランスするために使用する基準を選択します。デフォルトでは、ASA はパケットの送信元および宛先 IP アドレスに従って、インターフェイスでのパケットのロードをバランスします。パケットが分類される基準になるプロパティを変更する場合は、別の基準のセットを選択します。たとえば、トラフィックが同じ送信元および宛先 IP アドレスに大きく偏っている場合、EtherChannel 内のインターフェイスに対するトラフィックの割り当てがアンバランスになります。別のアルゴリズムに変更すると、トラフィックはより均等に分散される場合があります。ロード バランシングの詳細については、ロード バランシングを参照してください。

  4. [Secure Group Tagging] 設定については、ファイアウォール コンフィギュレーション ガイドを参照してください。

  5. [ASA Cluster] 設定については、(推奨、マルチコンテキストモードでは必須)制御ユニットでのインターフェイスの設定を参照してください。

ステップ 5

[OK] をクリックします。

[Interfaces] ペインに戻ります。

ステップ 6

チャネル グループ内の物理インターフェイスのモードおよびプライオリティを設定するには、次の手順を実行します。

  1. [Interfaces] テーブルで物理インターフェイスを選択し、[Edit] をクリックします。

    [Edit Interface] ダイアログボックスが表示されます。

  2. [Advanced] タブをクリックします。

  3. [EtherChannel] 領域で、[Mode] ドロップダウンリストから、[Active]、[Passive]、または [On] を選択します。[Active] モード(デフォルト)を使用することを推奨します。

  4. (オプションASA 5500-X および ISA 3000 のみ)[LACPポートの優先順位(LACP Port Priority)] フィールドで、ポートの優先順位を 1 ~ 65535 の範囲で設定します。デフォルトは 32768 です。数字が大きいほど、プライオリティは低くなります。使用可能な数よりも多くのインターフェイスを割り当てた場合、ASA ではこの設定を使用して、アクティブ インターフェイスとスタンバイ インターフェイスを決定します。ポート プライオリティ設定がすべてのインターフェイスで同じ場合、プライオリティはインターフェイス ID(スロット/ポート)で決まります。最も小さいインターフェイス ID が、最も高いプライオリティになります。たとえば、GigabitEthernet 0/0 のプライオリティは GigabitEthernet 0/1 よりも高くなります。

    あるインターフェイスについて、インターフェイス ID は大きいが、そのインターフェイスがアクティブになるように優先順位を付ける場合は、より小さい値を持つようにこのコマンドを設定します。たとえば、GigabitEthernet 1/3 を GigabitEthernet 0/7 よりも前にアクティブにするには、0/7 インターフェイスでのデフォルトの 32768 に対し、1/3 インターフェイスでプライオリティ値を 12345 にします。

    EtherChannel の反対の端にあるデバイスのポート プライオリティが衝突している場合、システム プライオリティを使用して使用するポート プライオリティが決定されます。システム プライオリティを設定するには、ステップ 9 を参照してください。

ステップ 7

[OK] をクリックします。

[Interfaces] ペインに戻ります。

ステップ 8

[Apply] をクリックします。

ステップ 9

(オプションASA 5500-X および ISA 3000 のみ)LACP システムプライオリティを設定するには、次の手順を実行します。EtherChannel の反対の端にあるデバイスのポート プライオリティが衝突している場合、システム プライオリティを使用して使用するポート プライオリティが決定されます。詳細については、ステップ 6d を参照してください。

  1. コンテキスト モードによって次のように異なります。

    • シングルモードの場合、[構成(Configuration)] > [デバイス設定(Device Setup)] > [EtherChannel]ペインを選択します。

    • マルチモードの場合、システム実行スペースで、[構成(Configuration)] > [コンテキスト管理(Context Management)] > [EtherChannel]ペインを選択します。

  2. [LACP System Priority] フィールドに、プライオリティを 1 ~ 65535 の範囲で入力します。

    デフォルトは 32768 です。

EtherChannel の例

次の例では、3 つのインターフェイスを EtherChannel の一部として設定します。また、システム プライオリティをより高く設定するとともに、GigabitEthernet 0/2 のプライオリティを他のインターフェイスよりも高く設定します。これは、8 個を超えるインターフェイスが EtherChannel に割り当てられた場合に備えるためです。 


lacp system-priority 1234
interface GigabitEthernet0/0
  channel-group 1 mode active
interface GigabitEthernet0/1
  channel-group 1 mode active
interface GigabitEthernet0/2
  lacp port-priority 1234
  channel-group 1 mode passive
interface Port-channel1
  lacp max-bundle 4
  port-channel min-bundle 2
  port-channel load-balance dst-ip

EtherChannel インターフェイスと冗長インターフェイスの履歴

表 1. EtherChannel インターフェイスと冗長インターフェイスの履歴

機能名

リリース

機能情報

冗長インターフェイス

8.0(2)

論理冗長インターフェイスは、アクティブとスタンバイの物理インターフェイスからなるペアです。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定して ASA の信頼性を高めることができます。この機能は、デバイスレベルのフェールオーバーとは別個のものですが、必要な場合はフェールオーバーとともに冗長インターフェイスも設定できます。最大 8 個の冗長インターフェイス ペアを設定できます。

EtherChannel サポート

8.4(1)

最大 48 個の 802.3ad EtherChannel(1 つあたりのアクティブ インターフェイス 8 個)を設定できます。

次の画面が変更または導入されました。


[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces]

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add/Edit EtherChannel Interface]


[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add/Edit Interface]


[Configuration] > [Device Setup] > [EtherChannel]

(注)   

EtherChannel は ASA 5505 ではサポートされません。

EtherChannel あたり 16 個のアクティブ リンクのサポート

9.2(1)

EtherChannel あたり最大で 16 個のアクティブ リンクを設定できるようになりました。これまでは、8 個のアクティブ リンクと 8 個のスタンバイ リンクが設定できました。スイッチは、16 個のアクティブ リンクをサポート可能である必要があります(たとえば、Cisco Nexus 7000 と F2 シリーズ 10 ギガビット イーサネット モジュール)。

(注)   

旧バージョンの ASA からアップグレードする場合、互換性を得るために、アクティブなインターフェイスの最大数を 8 に設定します。

次の画面が変更されました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add/Edit EtherChannel Interface] > [Advanced]。