EtherChannel インターフェイスと冗長インターフェイス

この章では、EtherChannel インターフェイスと冗長インターフェイスを設定する方法について説明します。


(注)  

マルチコンテキスト モードでは、この項のすべてのタスクをシステム実行スペースで実行してください。コンテキストからシステム実行スペースに切り替えるには、changeto system コマンドを入力します。

特殊な必須要件を保有する ASA クラスタ インターフェイスについては、の ASA クラスタ を参照してください。


(注)  

プラットフォームモードの Firepower 2100 および Firepower 4100/9300 シャーシ、EtherChannel インターフェイスは FXOS オペレーティングシステムで設定されます。 冗長インターフェイスはサポートされません。詳細については、お使いのシャーシの設定または導入ガイドを参照してください。

EtherChannel インターフェイスと冗長インターフェイスについて

ここでは、EtherChannel インターフェイスと冗長インターフェイスについて説明します。

冗長インターフェイスについて(ASA プラットフォームのみ)

論理冗長インターフェイスは、物理インターフェイスのペア(アクティブ インターフェイスとスタンバイ インターフェイス)で構成されます。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定してASAの信頼性を高めることができます。この機能は、デバイスレベルのフェールオーバーとは別個のものですが、必要な場合はデバイスレベルのフェールオーバーとともに冗長インターフェイスも設定できます。

最大 8 個の冗長インターフェイス ペアを設定できます。

冗長インターフェイスの MAC アドレス

冗長インターフェイスでは、追加した最初の物理インターフェイスの MAC アドレスを使用します。コンフィギュレーションでメンバー インターフェイスの順序を変更すると、MAC アドレスは、リストの最初になったインターフェイスの MAC アドレスと一致するように変更されます。または、冗長インターフェイスに手動で MAC アドレスを割り当てることができます。これはメンバー インターフェイスの MAC アドレスに関係なく使用されます。アクティブ インターフェイスがスタンバイ インターフェイスにフェールオーバーすると、トラフィックが中断しないように同じ MAC アドレスが維持されます。

EtherChannel について

802.3ad EtherChannel は、単一のネットワークの帯域幅を増やすことができるように、個別のイーサネット リンク(チャネル グループ)のバンドルで構成される論理インターフェイスです(ポートチャネル インターフェイスと呼びます)。ポートチャネル インターフェイスは、インターフェイス関連の機能を設定するときに、物理インターフェイスと同じように使用します。

モデルでサポートされているインターフェイスの数に応じて、最大 48 個の Etherchannel を設定できます。

チャネル グループ インターフェイス

各チャネルグループには、最大 16 個のアクティブインターフェイスを持たせることができます。ただし、Firepower 1000、2100 モデルは、8 個のアクティブインターフェイスをサポートしています。8 個のアクティブ インターフェイスだけをサポートするスイッチの場合、1 つのチャネル グループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイ リンクとして動作できます。16 個のアクティブインターフェイスの場合、スイッチがこの機能をサポートしている必要があります(たとえば、Cisco Nexus 7000 と F2 シリーズ 10 ギガビット イーサネット モジュール)。

チャネル グループのすべてのインターフェイスは、同じタイプと速度である必要があります。チャネル グループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。

EtherChannel によって、チャネル内の使用可能なすべてのアクティブ インターフェイスのトラフィックが集約されます。インターフェイスは、送信元または宛先 MAC アドレス、IP アドレス、TCP および UDP ポート番号、および VLAN 番号に基づいて、独自のハッシュ アルゴリズムを使用して選択されます。

別のデバイスの EtherChannel への接続

ASA EtherChannel の接続先のデバイスも 802.3ad EtherChannel をサポートしている必要があります。たとえば、Catalyst 6500 スイッチまたは Cisco Nexus 7000 に接続できます。

スイッチが仮想スイッチング システム(VSS)または 仮想ポート チャネル(vPC)の一部である場合、同じ EtherChannel 内の ASA インターフェイスを VSS/vPC 内の個別のスイッチに接続できます。スイッチ インターフェイスは同じ EtherChannel ポートチャネル インターフェイスのメンバです。複数の個別のスイッチが単一のスイッチのように動作するからです。

図 1. VSS/vPC への接続

(注)  

ASA デバイスがトランスペアレント ファイアウォール モードになっており、2 組の VSS/vPC スイッチ間に ASA デバイスを配置する場合は、EtherChannel 内で ASA デバイスに接続されたすべてのスイッチポートで単方向リンク検出(UDLD)を無効にしてください。スイッチポートで UDLD を有効にすると、他の VSS/vPC ペアの両方のスイッチから送信された UDLD パケットを受信する場合があります。受信側スイッチの受信インターフェイスは「UDLD Neighbor mismatch」という理由でダウン状態になります。

ASA デバイスをアクティブ/スタンバイフェールオーバー展開で使用する場合、ASA デバイスごとに 1 つ、VSS/vPC 内のスイッチで個別の EtherChannel を作成する必要があります。各 ASA デバイスで、1 つの EtherChannel が両方のスイッチに接続します。すべてのスイッチインターフェイスを両方の ASA デバイスに接続する単一の EtherChannel にグループ化できる場合でも(この場合、個別の ASA システム ID のため、EtherChannel は確立されません)、単一の EtherChannel は望ましくありません。これは、トラフィックをスタンバイ ASA デバイスに送信しないようにするためです。

図 2. アクティブ/スタンバイ フェールオーバーと VSS/vPC

リンク集約制御プロトコル

リンク集約制御プロトコル(LACP)では、2 つのネットワーク デバイス間でリンク集約制御プロトコル データ ユニット(LACPDU)を交換することによって、インターフェイスが集約されます。

EtherChannel 内の各物理インターフェイスを次のように設定できます。

  • アクティブ:LACP アップデートを送信および受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックを最小にする必要がある場合以外は、アクティブ モードを使用する必要があります。

  • パッシブ:LACP アップデートを受信します。パッシブ EtherChannel は、アクティブ EtherChannel のみと接続を確立できます。ハードウェアモデルではサポートされていません。

  • オン:EtherChannel は常にオンであり、LACP は使用されません。「オン」の EtherChannel は、別の「オン」の EtherChannel のみと接続を確立できます。

LACP では、ユーザが介入しなくても、EtherChannel へのリンクの自動追加および削除が調整されます。また、コンフィギュレーションの誤りが処理され、メンバ インターフェイスの両端が正しいチャネル グループに接続されていることがチェックされます。「オン」モードではインターフェイスがダウンしたときにチャネル グループ内のスタンバイ インターフェイスを使用できず、接続とコンフィギュレーションはチェックされません。

ロード バランシング

ASA デバイスは、パケットの送信元および宛先 IP アドレスをハッシュすることによって、パケットを EtherChannel 内のインターフェイスに分散します(この基準は設定可能です)。生成されたハッシュ値をアクティブなリンクの数で割り、そのモジュロ演算で求められた余りの値によってフローの割り当て先のインターフェイスが決まります。hash_value mod active_links の結果が 0 となるすべてのパケットは、EtherChannel 内の最初のインターフェイスに送信され、以降は結果が 1 となるものは 2 番目のインターフェイスに、結果が 2 となるものは 3 番目のインターフェイスに、というように送信されます。たとえば、15 個のアクティブ リンクがある場合、モジュロ演算では 0 ~ 14 の値が得られます。6 個のアクティブ リンクの場合、値は 0 ~ 5 となり、以降も同様になります。

クラスタリングのスパンド EtherChannel では、ロード バランシングは ASA ごとに行われます。たとえば、8 台の ASA にわたるスパンド EtherChannel 内に 32 個のアクティブインターフェイスがあり、EtherChannel 内の 1 台の ASA あたり 4 個のインターフェイスがある場合、ロードバランシングは 1 台の ASA の 4 個のインターフェイス間でのみ行われます。

アクティブ インターフェイスがダウンし、スタンバイ インターフェイスに置き換えられない場合、トラフィックは残りのリンク間で再バランスされます。失敗はレイヤ 2 のスパニングツリーとレイヤ 3 のルーティング テーブルの両方からマスクされるため、他のネットワーク デバイスへのスイッチオーバーはトランスペアレントです。

EtherChannel MAC アドレス

1 つのチャネル グループに含まれるすべてのインターフェイスは、同じ MAC アドレスを共有します。この機能によって、EtherChannel はネットワーク アプリケーションとユーザに対してトランスペアレントになります。ネットワーク アプリケーションやユーザから見えるのは 1 つの論理接続のみであり、個々のリンクのことは認識しないからです。

ポート チャネル インターフェイスは、最も小さいチャネル グループ インターフェイスの MAC アドレスをポート チャネル MAC アドレスとして使用します。または、ポートチャネル インターフェイスの MAC アドレスを手動で設定することもできます。マルチコンテキストモードでは、EtherChannel ポートインターフェイスを含め、一意の MAC アドレスを共有インターフェイスに自動的に割り当てることができます。グループ チャネル インターフェイスのメンバーシップを変更する場合は、固有の MAC アドレスを,手動で設定するか、または共有インターフェイスのマルチ コンテキスト モードでは自動的に設定することを推奨します。ポート チャネル MAC アドレスを提供していたインターフェイスを削除すると、そのポート チャネル MAC アドレスは次に番号が小さいインターフェイスに変わるため、トラフィックが分断されます。

EtherChannel インターフェイスと冗長インターフェイスのガイドライン

ブリッジ グループ

ルーテッドモードでは、ASA 定義の EtherChannel はブリッジグループメンバーとしてサポートされません。Firepower 4100/9300 上の Etherchannel は、ブリッジグループメンバーにすることができます。

フェールオーバー

  • EtherChannel インターフェイスまたは冗長インターフェイスフェールオーバー リンクとして使用する場合、フェールオーバー ペアの両方のユニットでその事前設定を行う必要があります。プライマリユニットで設定し、セカンダリユニットに複製されることは想定できません。これは、複製には フェールオーバー リンク自体が必要であるためです。

  • EtherChannel インターフェイスまたは冗長インターフェイスをステートリンクに対して使用する場合、特別なコンフィギュレーションは必要ありません。コンフィギュレーションは通常どおりプライマリユニットから複製されます。Firepower 4100/9300 シャーシ では、EtherChannel を含むすべてのインターフェイスを、両方のユニットで事前に設定する必要があります。

  • フェールオーバー の EtherChannel または冗長インターフェイスをモニターできます。そのときには、monitor-interface コマンドを使用します。この場合、論理冗長インターフェイス名を必ず参照してください。アクティブなメンバーインターフェイスがスタンバイインターフェイスにフェールオーバーした場合、デバイスレベルのフェールオーバーをモニタしているときには、EtherChannel インターフェイスまたは冗長インターフェイスで障害が発生しているようには見えません。すべての物理インターフェイスで障害が発生した場合にのみ、EtherChannel インターフェイスまたは冗長インターフェイスで障害が発生しているように見えます(EtherChannel インターフェイスでは、障害の発生が許容されるメンバインターフェイスの数を設定できます)

  • EtherChannel インターフェイスをフェールオーバーまたはステートリンクに対して使用する場合、パケットが順不同にならないように、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。フェールオーバーリンクとして使用中の EtherChannel の設定は変更できません。設定を変更するには、フェールオーバー を一時的に無効にする必要があります。これにより、その期間中は フェールオーバー が発生することはありません。

モデルのサポート

  • プラットフォームモードの Firepower 2100、Firepower 4100/9300、または ASAv の場合、ASA に EtherChannel を追加することはできません。Firepower 4100/9300 は EtherChannel をサポートしていますが、シャーシの FXOS で EtherChannel のすべてのハードウェア設定を実行する必要があります。

  • 冗長インターフェイスは、ASA 5500-X プラットフォームでのみサポートされます。

  • EtherChannel で Firepower 1010 のスイッチポートまたは VLAN インターフェイスを使用することはできません。

クラスタリング

  • 冗長または EtherChannel インターフェイスをクラスタ制御リンクとして使用するときは、クラスタのすべてのユニットでそのリンクを事前に設定する必要があります。プライマリユニットで設定し、その設定がメンバーユニットに複製されると期待することはできません。これは、クラスタ制御リンク自体が複製に必要であるためです

  • スパンド EtherChannel または個別クラスタ インターフェイスを設定するには、クラスタリングの章を参照してください。

EtherChannel の一般的なガイドライン

  • モデルで利用可能なインターフェイスの数に応じて、最大 48 個の Etherchannel を設定できます。

  • 各チャネルグループには、最大 16 個のアクティブインターフェイスを持たせることができます。ただし、Firepower 1000、2100 モデルは、8 個のアクティブインターフェイスをサポートしています。8 個のアクティブ インターフェイスだけをサポートするスイッチの場合、1 つのチャネル グループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイ リンクとして動作できます。16 個のアクティブインターフェイスの場合、スイッチがこの機能をサポートしている必要があります(たとえば、Cisco Nexus 7000 と F2 シリーズ 10 ギガビット イーサネット モジュール)。

  • チャネルグループ内のすべてのインターフェイスは、メディアタイプと速度が同じでなければなりません。また、同じ速度とデュプレックスに設定する必要があります。メディアタイプは RJ-45 または SFP のいずれかです。異なるタイプ(銅と光ファイバ)の SFP を混在させることができます。大容量のインターフェイスで速度を低く設定することでインターフェイス容量(1GB と 10GB のインターフェイスなど)を混在させることはできません。

  • ASA の EtherChannel の接続先デバイスも 802.3ad EtherChannel をサポートしている必要があります。

  • ASA デバイスは、VLAN タグ付きの LACPDU をサポートしていません。Cisco IOS vlan dot1Q tag native コマンドを使用して隣接スイッチのネイティブ VLAN タギングを有効にすると、ASA デバイスはタグ付きの LACPDU をドロップします。隣接スイッチのネイティブ VLAN タギングは、必ずディセーブルにしてください。マルチ コンテキスト モードでは、これらのメッセージはパケット キャプチャに含まれていないため、問題を効率的に診断できません。

  • ASA 5500-X モデル、Firepower 1000、Firepower 2100(アプライアンスモードとプラットフォームモードの両方) は、LACP レート高速機能をサポートしていません。LACP では常に通常のレートが使用されます。この値は設定不可能です。FXOS で EtherChannel を設定する Firepower 4100/9300 では、LACP レートがデフォルトで高速に設定されていることに注意してください。これらのプラットフォームでは、レートを設定できます。

  • 15.1(1)S2 以前の Cisco IOS ソフトウェアバージョンを実行する ASA では、スイッチスタックへの EtherChannel の接続がサポートされていませんでした。デフォルトのスイッチ設定では、ASA EtherChannel がクロススタックに接続されている場合、プライマリスイッチの電源がオフになると、残りのスイッチに接続されている EtherChannel は起動しません。互換性を高めるため、stack-mac persistent timer コマンドを設定して、十分なリロード時間を確保できる大きな値、たとえば 8 分、0 (無制限)などを設定します。または、15.1(1)S2 など、より安定したスイッチ ソフトウェア バージョンにアップグレードできます。

  • すべての ASA コンフィギュレーションは、メンバー物理インターフェイスではなく論理 EtherChannel インターフェイスを参照します。

  • EtherChannel の一部として冗長インターフェイスを使用することはできません。また、冗長インターフェイスの一部として EtherChannel を使用することはできません。冗長インターフェイスと EtherChannel インターフェイスでは同じ物理インターフェイスを使用できません。ただし、同じ物理インターフェイスを使用しない場合は、 ASA デバイス上で両方のタイプを設定できます。

EtherChannel インターフェイスと冗長インターフェイスのデフォルト設定

この項では、工場出荷時のデフォルト コンフィギュレーションが設定されていない場合のインターフェイスのデフォルト設定を示します。

インターフェイスのデフォルトの状態

インターフェイスのデフォルトの状態は、そのタイプおよびコンテキスト モードによって異なります。

マルチ コンテキスト モードでは、システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。

シングル モードまたはシステム実行スペースでは、インターフェイスのデフォルトの状態は次のとおりです。

  • 物理インターフェイス:ディセーブル。

  • 冗長インターフェイス:イネーブル。ただし、トラフィックが冗長インターフェイスを通過するためには、メンバ物理インターフェイスもイネーブルになっている必要があります。

  • EtherChannel ポートチャネル インターフェイス:イネーブル。ただし、トラフィックが EtherChannel を通過するためには、チャネル グループ物理インターフェイスもイネーブルになっている必要があります。

冗長インターフェイスの設定

論理冗長インターフェイスは、物理インターフェイスのペア(アクティブ インターフェイスとスタンバイ インターフェイス)で構成されます。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定して ASA の信頼性を高めることができます。この機能は、デバイスレベルのフェールオーバーとは別個のものですが、必要な場合はフェールオーバーとともに冗長インターフェイスも設定できます。

この項では、冗長インターフェイスを設定する方法について説明します。

冗長インターフェイスの設定

この項では、冗長インターフェイスを作成する方法について説明します。デフォルトでは、冗長インターフェイスはイネーブルになっています。

始める前に

  • 最大 8 個の冗長インターフェイス ペアを設定できます。

  • 冗長インターフェイス遅延値は設定可能ですが、デフォルトでは、ASA はそのメンバー インターフェイスの物理タイプに基づくデフォルトの遅延値を継承します。

  • 両方のメンバー インターフェイスが同じ物理タイプである必要があります。たとえば、両方ともギガビット イーサネットにする必要があります。

  • 名前が設定されている場合は、物理インターフェイスを冗長インターフェイスに追加できません。最初に、no nameif コマンドを使用して名前を削除する必要があります。

  • マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。コンテキストからシステム実行スペースに切り替えるには、changeto system コマンドを入力します。


注意    

コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。

手順

ステップ 1

論理冗長インターフェイスを追加します。

interface redundant number

例:


ciscoasa(config)# interface redundant 1

number 引数は、1 ~ 8 の整数です。

冗長インターフェイスの名前などの論理パラメータを設定する前に、少なくとも 1 つのメンバー インターフェイスを冗長インターフェイスに追加する必要があります。

ステップ 2

最初のメンバー インターフェイスを冗長インターフェイスに追加します。

member-interface physical_interface

例:


ciscoasa(config-if)# member-interface gigabitethernet 0/0

冗長インターフェイスは、Management slot/port インターフェイスをメンバとしてサポートしません。

インターフェイスを追加すると、インターフェイスのコンフィギュレーション(IP アドレスなど)はすべて削除されます。

ステップ 3

2 番目のメンバー インターフェイスを冗長インターフェイスに追加します。

member-interface physical_interface

例:


ciscoasa(config-if)# member-interface gigabitethernet 0/1

2 つ目のインターフェイスの物理タイプは、必ず最初のインターフェイスと同じにしてください。

メンバー インターフェイスを削除するには、no member-interface physical_interface コマンドを入力します。冗長インターフェイスから両方のメンバ インターフェイスは削除できません。冗長インターフェイスには、少なくとも 1 つのメンバ インターフェイスが必要です。

次の例では、2 つの冗長インターフェイスを作成します。 


ciscoasa(config)# interface redundant 1
ciscoasa(config-if)# member-interface gigabitethernet 0/0
ciscoasa(config-if)# member-interface gigabitethernet 0/1
ciscoasa(config-if)# interface redundant 2
ciscoasa(config-if)# member-interface gigabitethernet 0/2
ciscoasa(config-if)# member-interface gigabitethernet 0/3

アクティブ インターフェイスの変更

デフォルトでは、コンフィギュレーションで最初にリストされているインターフェイスが(使用可能であれば)、アクティブ インターフェイスになります。

手順

ステップ 1

どのインターフェイスがアクティブかを表示するには、で次のコマンドを入力します。

show interface redundant number detail | grep Member

例:


ciscoasa# show interface redundant1 detail | grep Member
      Members GigabitEthernet0/3(Active), GigabitEthernet0/2
ステップ 2

アクティブ インターフェイスを変更します。

redundant-interface redundant number active-member physical_interface

redundantnumber 引数には、冗長インターフェイス ID(redundant1 など)を指定します。

physical_interface には、アクティブにするメンバ インターフェイスの ID を指定します。

EtherChannel の設定

ここでは、EtherChannel ポートチャネル インターフェイスの作成、インターフェイスの EtherChannel への割り当て、EtherChannel のカスタマイズ方法について説明します。

EtherChannel へのインターフェイスの追加

ここでは、EtherChannel ポートチャネル インターフェイスを作成し、インターフェイスを EtherChannel に割り当てる方法について説明します。デフォルトでは、ポートチャネル インターフェイスはイネーブルになっています。

始める前に

  • 使用しているモデルに設定されているインターフェイスの数に応じて、最大 48 個の EtherChannel を設定できます。

  • 次のメンバー制限を参照してください。

    • ASA ハードウェア、ISA 3000:各チャネルグループは、最大 16 個のアクティブインターフェイスを設定できます。8 個のアクティブ インターフェイスだけをサポートするスイッチの場合、1 つのチャネル グループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイ リンクとして動作できます。

    • Firepower 1000、2100:各チャネルグループに最大 8 つのアクティブインターフェイスを設定できます。

  • クラスタリング用にスパンド EtherChannel を設定するには、この手順の代わりにクラスタリングの章を参照してください。

  • チャネルグループ内のすべてのインターフェイスは、同じメディアタイプと容量である必要があり、同じ速度とデュプレックスに設定する必要があります。メディアタイプは RJ-45 または SFP のいずれかです。異なるタイプ(銅と光ファイバ)の SFP を混在させることができます。大容量のインターフェイスで速度を低く設定することでインターフェイス容量(1GB と 10GB のインターフェイスなど)を混在させることはできません。

  • 名前が設定されている場合は、物理インターフェイスをチャネル グループに追加できません。最初に、no nameif コマンドを使用して、名前を削除する必要があります。

  • マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。コンテキストからシステム実行スペースに切り替えるには、changeto system コマンドを入力します


注意    

コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。

手順

ステップ 1

チャネル グループに追加するインターフェイスを指定します。

interface physical_interface

例:


ciscoasa(config)# interface gigabitethernet 0/0

physical_interface ID には、タイプ、スロット、およびポート番号(type[slot/] port)が含まれます。チャネル グループのこの最初のインターフェイスによって、グループ内の他のすべてのインターフェイスのタイプと速度が決まります。

トランスペアレント モードで、複数の管理インターフェイスがあるチャネル グループを作成する場合は、この EtherChannel を管理専用インターフェイスとして使用できます。

ステップ 2

この物理インターフェイスを EtherChannel に割り当てます。

channel-group channel_id mode {active | passive | on}

例:


ciscoasa(config-if)# channel-group 1 mode active

The channel_id is an integer between 1 and 48(1 and 8 for the Firepower 1010). このチャネル ID のポートチャネル インターフェイスがコンフィギュレーションにまだ存在しない場合、ポートチャネル インターフェイスが作成されます。

interface port-channel channel_id

active モードを使用することを推奨します。

ステップ 3

(オプションASA 5500-X および ISA 3000 モデルのみ)チャネルグループの物理インターフェイスのプライオリティを設定します。

lacp port-priority number

例:


ciscoasa(config-if)# lacp port-priority 12345

プライオリティの number は、1 ~ 65535 の整数です。デフォルトは 32768 です。数字が大きいほど、プライオリティは低くなります。使用可能な数よりも多くのインターフェイスを割り当てた場合、ASA ではこの設定を使用して、アクティブ インターフェイスとスタンバイ インターフェイスを決定します。ポート プライオリティ設定がすべてのインターフェイスで同じ場合、プライオリティはインターフェイス ID(スロット/ポート)で決まります。最も小さいインターフェイス ID が、最も高いプライオリティになります。たとえば、GigabitEthernet 0/0 のプライオリティは GigabitEthernet 0/1 よりも高くなります。

あるインターフェイスについて、インターフェイス ID は大きいが、そのインターフェイスがアクティブになるように優先順位を付ける場合は、より小さい値を持つようにこのコマンドを設定します。たとえば、GigabitEthernet 1/3 を GigabitEthernet 0/7 よりも前にアクティブにするには、lacp port-priority の値を、1/3 インターフェイスでは 12345 とし、0/7 インターフェイスではデフォルトの 32768 とします。

EtherChannel の反対の端にあるデバイスのポート プライオリティが衝突している場合、システム プライオリティを使用して使用するポート プライオリティが決定されます。lacp system-priority コマンドを参照してください。

ステップ 4

(オプション)ポートチャネル インターフェイスのイーサネット プロパティを設定します。この設定は、個別インターフェイスに対して設定されたプロパティよりも優先されます。

interface port-channel channel_id

イーサネットのコマンドについては、物理インターフェイスのイネーブル化およびイーサネット パラメータの設定を参照してください。これらのパラメータはチャネル グループのすべてのインターフェイスで一致している必要があるため、この方法はこれらのパラメータを設定するショートカットになります。

ステップ 5

チャネル グループに追加するインターフェイスごとに、ステップ 1 ~ 3 を繰り返します。

チャネル グループの各インターフェイスのタイプと速度が同一であることが必要です。半二重はサポートされません。一致しないインターフェイスを追加すると、一時停止状態になります。

EtherChannel のカスタマイズASA 5500-X および ISA 3000)

この項では、EtherChannel のインターフェイスの最大数、EtherChannel をアクティブにするための動作インターフェイスの最小数、ロード バランシング アルゴリズム、およびその他のオプション パラメータを設定する方法について説明します。これらのパラメータは、ASA 5500-X および ISA 3000 にのみ適用されます。

手順

ステップ 1

ポートチャネル インターフェイスを指定します。

interface port-channel channel_id

例:


ciscoasa(config)# interface port-channel 1

このインターフェイスは、チャネル グループにインターフェイスを追加したときに自動的に作成されたものです。まだインターフェイスを追加していない場合は、このコマンドを実行するとポートチャネル インターフェイスが作成されます。

少なくとも 1 つのメンバー インターフェイスをポートチャネル インターフェイスに追加してからでなければ、インターフェイスの論理パラメータ(名前など)は設定できません。

ステップ 2

チャネル グループで許可されるアクティブ インターフェイスの最大数を指定します。

lacp max-bundle number

例:


ciscoasa(config-if)# lacp max-bundle 6

number には、1 ~ 16 の範囲内の値を入力します。デフォルトは 16 です。スイッチが 16 個のアクティブ インターフェイスをサポートしていない場合、このコマンドは必ず 8 以下に設定する必要があります。

ステップ 3

ポートチャネル インターフェイスがアクティブになるために必要な、アクティブ インターフェイスの最小数を指定します。

port-channel min-bundle number

例:


ciscoasa(config-if)# port-channel min-bundle 2

number には、1 ~ 16 の範囲内の値を入力します。デフォルトは 1 です。チャネル グループ内のアクティブ インターフェイス数がこの値よりも小さい場合、ポートチャネル インターフェイスがダウンし、デバイスレベル フェールオーバーが開始されます。

ステップ 4

ロード バランシング アルゴリズムを設定します。

port-channel load-balance{dst-ip |dst-ip-port |dst-mac |dst-port |src-dst-ip |src-dst-ip-port |src-dst-mac |src-dst-port |src-ip |src-ip-port |src-mac |src-port |vlan-dst-ip |vlan-dst-ip-port |vlan-only |vlan-src-dst-ip |vlan-src-dst-ip-port |vlan-src-ip |vlan-src-ip-port}

例:


ciscoasa(config-if)# port-channel load-balance src-dst-mac

デフォルトでは、ASA はパケットの送信元および宛先 IP アドレス(src-dst-ip)に従ってインターフェイスでのパケットの負荷を分散します。パケットの分類の基準となるプロパティを変更する場合は、このコマンドを使用します。たとえば、トラフィックが同じ送信元および宛先 IP アドレスに大きく偏っている場合、EtherChannel 内のインターフェイスに対するトラフィックの割り当てがアンバランスになります。別のアルゴリズムに変更すると、トラフィックはより均等に分散される場合があります。

ステップ 5

LACP システム プライオリティを設定します。

lacp system-priority number

例:


ciscoasa(config)# lacp system-priority 12345

number には、1 ~ 65535 の範囲内の値を入力します。デフォルトは 32768 です。数字が大きいほど、プライオリティは低くなります。このコマンドは、ASA に対してグローバルです。

EtherChannel の反対の端にあるデバイスのポート プライオリティが衝突している場合、システム プライオリティを使用して使用するポート プライオリティが決定されます。EtherChannel 内でのインターフェイス プライオリティについては、lacp port-priority コマンドを参照してください。

EtherChannel および冗長インターフェイスのモニタリング

次のコマンドを参照してください。


(注)  

Firepower 1000、2100 および Firepower 4100/9300 の場合、一部の統計は ASA コマンドで表示されません。FXOS コマンドを使用して、より詳細なインターフェイス統計情報を表示する必要があります。

  • /eth-uplink/fabric# show interface

  • /eth-uplink/fabric# show port-channel

  • /eth-uplink/fabric/interface# show stats

プラットフォームモードの Firepower 2100 の場合は、次の FXOS connect local-mgmt コマンドも参照してください。

  • (local-mgmt)# show portmanager counters

  • (local-mgmt)# show lacp

  • (local-mgmt)# show portchannel

詳細については、『FXOS troubleshooting guide』を参照してください。

  • show interface

    インターフェイス統計情報を表示します。

  • show interface ip brief

    インターフェイスの IP アドレスとステータスを表示します。

  • ASA モデルおよび ISA 3000 のみ)show lacp {[channel_group_number] {counters | internal | neighbor} | sys-id}

    EtherChannel の場合は、LACP 情報(トラフィック統計情報、システム ID、ネイバーの詳細など)が表示されます。

  • ASA モデルおよび ISA 3000 のみ)show port-channel [channel_group_number] [brief | detail | port | protocol | summary]

    EtherChannel の場合は、EtherChannel 情報が、詳細な 1 行サマリー形式で表示されます。このコマンドは、ポートとポートチャネルの情報も表示します。

  • ASA モデルおよび ISA 3000 のみ)show port-channel channel_group_number load-balance [hash-result {ip | ipv6 | l4port | mac | mixed | vlan-only} parameters]

    EtherChannel の場合は、ポートチャネル負荷分散情報が、指定のパラメータ セットに対するハッシュ結果および選択されたメンバー インターフェイスとともに表示されます。

EtherChannel の例

次の例では、3 つのインターフェイスを EtherChannel の一部として設定します。また、システム プライオリティをより高く設定するとともに、GigabitEthernet 0/2 のプライオリティを他のインターフェイスよりも高く設定します。これは、8 個を超えるインターフェイスが EtherChannel に割り当てられた場合に備えるためです。 


lacp system-priority 1234
interface GigabitEthernet0/0
  channel-group 1 mode active
interface GigabitEthernet0/1
  channel-group 1 mode active
interface GigabitEthernet0/2
  lacp port-priority 1234
  channel-group 1 mode passive
interface Port-channel1
  lacp max-bundle 4
  port-channel min-bundle 2
  port-channel load-balance dst-ip

EtherChannel インターフェイスと冗長インターフェイスの履歴

表 1. EtherChannel インターフェイスと冗長インターフェイスの履歴

機能名

リリース

機能情報

冗長インターフェイス

8.0(2)

論理冗長インターフェイスは、アクティブとスタンバイの物理インターフェイスからなるペアです。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定して ASA の信頼性を高めることができます。この機能は、デバイスレベルのフェールオーバーとは別個のものですが、必要な場合はフェールオーバーとともに冗長インターフェイスも設定できます。最大 8 個の冗長インターフェイス ペアを設定できます。

EtherChannel サポート

8.4(1)

最大 48 個の 802.3ad EtherChannel(1 つあたりのアクティブ インターフェイス 8 個)を設定できます。

channel-grouplacp port-priorityinterface port-channellacp max-bundleport-channel min-bundleport-channel load-balancelacp system-priorityclear lacp countersshow lacpshow port-channel の各コマンドが導入されました。

(注)   

EtherChannel は ASA 5505 ではサポートされません。

EtherChannel あたり 16 個のアクティブ リンクのサポート

9.2(1)

EtherChannel あたり最大で 16 個のアクティブ リンクを設定できるようになりました。これまでは、8 個のアクティブ リンクと 8 個のスタンバイ リンクが設定できました。スイッチは、16 個のアクティブ リンクをサポート可能である必要があります(たとえば、Cisco Nexus 7000 と F2 シリーズ 10 ギガビット イーサネット モジュール)。

(注)   

旧バージョンの ASA からアップグレードする場合、互換性を得るために、アクティブなインターフェイスの最大数を 8 に設定しますlacp max-bundle コマンド)

次のコマンドが変更されました。lacp max-bundle および port-channel min-bundle