- play_arrow 概要
- play_arrow シャーシ クラスタの設定
- SRXシリーズシャーシクラスタ設定の概要
- SRXシリーズ シャーシ クラスタ スロットの番号付けと物理ポートおよび論理インターフェースの名前付けについて
- シャーシ クラスタを形成するための機器の準備
- シャーシ クラスタを作成するためのSRXシリーズ ファイアウォールの接続
- 例:シャーシ クラスタ内のセキュリティ デバイスのノード ID とクラスタ ID の設定
- シャーシ クラスタ管理インターフェイス
- シャーシ クラスタ ファブリック インターフェイス
- シャーシ クラスタ コントロール プレーン インターフェイス
- シャーシ クラスタ冗長グループ
- シャーシ クラスタ冗長イーサネット インターフェイス
- SRXシリーズ デバイスにおけるシャーシ クラスタリングの設定
- 例:シャーシ クラスタ内のSRXシリーズ ファイアウォール上の冗長イーサネット インターフェイスで8キューサービス クラスを有効にする
- シャーシクラスター内のSRXシリーズファイアウォール上の冗長イーサネットインターフェイス上の条件付きルートアドバタイズメント
- play_arrow シャーシ クラスタの冗長性とフェイルオーバーの設定
- play_arrow シャーシ クラスタのアップグレードまたは無効化
- play_arrow トラブルシューティング
- SRXシャーシクラスターにおける制御リンク障害のトラブルシューティング
- SRXシャーシクラスターのファブリックリンク障害のトラブルシューティング
- SRXシャーシクラスターでフェイルオーバーしない冗長グループのトラブルシューティング
- 1つのノードがプライマリ状態で、もう1つのノードが無効状態にあるSRXシャーシ クラスタのトラブルシューティング
- 1つのノードがプライマリ状態にあり、もう1つのノードが失われた状態にあるSRXシャーシ クラスタのトラブルシューティング
- 1つのノードが保留状態、もう1つのノードが損失状態にあるSRXシャーシ クラスタのトラブルシューティング
- シャーシ クラスタ管理の問題のトラブルシューティング
- カスタマーサポートのためのデータ収集
- play_arrow 設定ステートメントと運用コマンド
- play_arrow SRX100、SRX210、SRX220、SRX240、SRX550M、SRX650、SRX1400、SRX3400、SRX3600デバイスでのシャーシ クラスタのサポート
シャーシクラスター内の集合型イーサネットインターフェイス
IEEE 802.3ad リンク アグリゲーションを使用すると、イーサネット インターフェイスをグループ化して、リンク アグリゲーション グループ(LAG)またはバンドルとも呼ばれる単一のリンク層インターフェイスを形成できます。Reth LAGインターフェイスは、rethインターフェイスとLAGインターフェイスの特性を組み合わせたものです。詳細については、次のトピックを参照してください。
シャーシ クラスタ内のリンク アグリゲーション グループについて
IEEE 802.3adに基づくイーサネットリンクアグリゲーショングループ(LAG)をサポートしているため、スタンドアロンデバイス上で物理インターフェイスを集約することができます。スタンドアロンデバイスのLAGは、インターフェイス帯域幅とリンクの可用性を向上させます。 シャーシ クラスタ 内のリンクのアグリゲーションにより、冗長イーサネット インターフェイスで 2 つ以上の物理子インターフェイスを追加でき、冗長イーサネット インターフェイス LAG を作成できます。SRX4600およびSRX5000シリーズのデバイスの場合、冗長イーサネットインターフェイスLAGは、ノードごとに冗長イーサネットインターフェイスごとに最大8リンクを持つことができます(冗長イーサネットインターフェイスあたり合計16リンク)。SRX300 シリーズ、SRX1500、SRX1600、SRX2300、SRX4100/SRX4200、SRX4300 デバイスの場合、冗長イーサネット インターフェイス LAG は、ノードごとの冗長イーサネット インターフェイスごとに最大 4 つのリンクを持つことができます(冗長イーサネット インターフェイスごとに合計 8 リンク)。
冗長イーサネットインターフェイスLAG内の集約されたリンクは、スタンドアロンデバイス上のLAGと同じ帯域幅と冗長性の利点を提供しますが、シャーシクラスタの冗長性という利点があります。冗長イーサネットインターフェイスLAGには、2種類の同時冗長性があります。各ノードの冗長イーサネットインターフェイス内の集約されたリンクは冗長です。プライマリアグリゲート内の 1 つのリンクに障害が発生した場合、そのトラフィック負荷は残りのリンクで占められます。プライマリ ノード上の十分な数の子リンクに障害が発生した場合、冗長イーサネット インターフェイス LAG を設定して、冗長イーサネット インターフェイス全体のすべてのトラフィックが他のノードの集約リンクにフェールオーバーするようにできます。また、LACP対応の冗長グループと子リンクのインターフェイス監視を設定して、保護を強化することもできます。
ローカルLAGと呼ばれる集合型イーサネットインターフェイスは、シャーシクラスターのどちらのノードでもサポートされていますが、冗長イーサネットインターフェイスに追加することはできません。ローカル LAG は、ae- プレフィックスを使用してシステム インターフェイス リストで示されます。同様に、既存のローカルLAGの子インターフェイスを冗長イーサネットインターフェイスに追加することも、その逆もできません。アグリゲートリンクがそのように認識され、トラフィックを正しく通過させるためには、クラスタ内のノードを接続するために使用されるスイッチ(複数可)でLAGリンクが設定され、両方のノードのLAGごとに802.3adが有効になっている必要があります。クラスタあたりの個別ノード LAG インターフェイス(ae)と冗長イーサネット(reth)インターフェイスの合計の最大数は 128 です。
シャーシ クラスタ内の各ノードからの冗長イーサネット インターフェイス LAG 子リンクは、ピア デバイスの異なる LAG に接続する必要があります。単一のピアスイッチを使用して冗長イーサネットインターフェイスLAGを終端する場合は、スイッチ内で2つの別々のLAGを使用する必要があります。
異なるPICまたはIOCからのリンクで、異なるケーブルタイプ(銅線や光ファイバーなど)を使用しているリンクは、同じ冗長イーサネットインターフェイスLAGに追加できますが、インターフェイスの速度は同じで、すべてのインターフェイスが全二重モードである必要があります。ただし、トラフィック処理のオーバーヘッドを削減する目的で、可能な場合は常に同じPICまたはIOCのインターフェイスを使用することをお勧めします。いずれにしても、冗長イーサネットインターフェイスLAGで設定されたすべてのインターフェイスは、同じ仮想MACアドレスを共有します。
SRXシリーズファイアウォールのインターフェイス監視機能により、冗長イーサネット/集合型イーサネットインターフェイスを監視できます。
冗長イーサネット インターフェイス設定には、インターフェイスがアップするために動作する必要がある特定の冗長イーサネット インターフェイスのプライマリ ノード上の物理子リンクの最小数を設定できる最小リンク設定も含まれています。デフォルトの最小リンク値は 1 です。最小リンク設定は、プライマリノード上の子リンクのみを監視することに注意してください。冗長イーサネットインターフェイスは、イングレストラフィックもエグレストラフィックにもバックアップノード上の物理インターフェイスを使用しません。
次のサポートの詳細に注意してください。
サービス品質 (QoS)は、冗長イーサネットインターフェイスLAGでサポートされます。ただし、保証された帯域幅はすべてのリンクで重複しています。リンクが失われると、それに対応する保証帯域幅が失われます。
レイヤー2透過モードとレイヤー2セキュリティ機能は、冗長イーサネットインターフェイスLAGでサポートされています。
リンクアグリゲーション制御プロトコル(LACP)は、集合型イーサネットインターフェイスと冗長イーサネットインターフェイスが同時にサポートされるシャーシクラスター展開でサポートされます。
シャーシ クラスタの管理、制御、およびファブリック インターフェイスは、冗長イーサネット インターフェイス LAG として設定したり、冗長イーサネット インターフェイス LAG に追加したりすることはできません。
ネットワークプロセッサ(NP)バンドリングは、同じクラスタ上の冗長イーサネットインターフェイスLAGと共存できます。ただし、冗長イーサネットインターフェイスLAGとネットワークプロセッサバンドルにインターフェイスを同時に割り当てることはサポートされていません。
IOC2カードにはネットワークプロセッサがありませんが、IOC1カードにはネットワークプロセッサがあります。
単一フローのスループットは、集約型インターフェイスの速度に関係なく、単一の物理リンクの速度に制限されます。
SRX300、SRX320、SRX340、SRX345、SRX380 デバイスでは、reth インターフェイスのメンバー インターフェイスでスピード モードとリンク モードの設定を使用できます。
イーサネット インターフェイス リンク アグリゲーションと LACP の詳細については、 セキュリティ デバイス用インターフェイス ユーザー ガイドの「アグリゲート イーサネット」情報を参照してください。
関連項目
例:シャーシ クラスタでのリンク アグリゲーション グループの設定
この例では、シャーシクラスターに冗長イーサネットインターフェイスリンクアグリゲーショングループを設定する方法を示します。シャーシクラスター設定では、冗長イーサネットインターフェイスのノードごとに複数の子インターフェイスがサポートされます。各ノードからの少なくとも 2 つの物理子インターフェイス リンクが冗長イーサネット インターフェイス構成に含まれている場合、インターフェイスは冗長イーサネット インターフェイス内で結合され、冗長イーサネット インターフェイス リンク アグリゲーション グループを形成します。
必要条件
始める前に:
シャーシ クラスタ冗長インターフェイスを設定します。 例:シャーシ クラスタ冗長イーサネット インターフェイスの設定を参照してください。
シャーシ クラスタの冗長イーサネット インターフェイス リンク アグリゲーション グループについて理解します。 シャーシ クラスタ内のリンク アグリゲーション グループの理解を参照してください。
概要
アグリゲーションを実行するには、クラスタ内のノードを接続するために使用されるスイッチが、各ノード上の冗長イーサネット インターフェイスの物理子リンクに対して IEEE 802.3ad リンク アグリゲーションを有効にする必要があります。ほとんどのスイッチはIEEE 802.3adをサポートしており、LACPにも対応しているため、SRXシリーズファイアウォールではLACPを有効にすることをお勧めします。スイッチでLACPを利用できない場合は、SRXシリーズファイアウォールでLACPを有効にしないでください。
この例では、6つのイーサネットインターフェイスをreth1に割り当てて、イーサネットインターフェイスリンクアグリゲーショングループを形成します。
ge-1/0/1 - reth1
ge-1/0/2—reth1
ge-1/0/3—reth1
ge-12/0/1—reth1
ge-12/0/2—reth1
ge-12/0/3—reth1
冗長イーサネットインターフェイスLAGが設定されている場合、クラスタ内のノードあたり最大8つの物理インターフェイス、合計16の子インターフェイスを単一の冗長イーサネットインターフェイスに割り当てることができます。
Junos OSは、RLAGと呼ばれる冗長イーサネットインターフェイスでLACPとLAGをサポートします。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
{primary:node0}[edit] set interfaces ge-1/0/1 gigether-options redundant-parent reth1 set interfaces ge-1/0/2 gigether-options redundant-parent reth1 set interfaces ge-1/0/3 gigether-options redundant-parent reth1 set interfaces ge-12/0/1 gigether-options redundant-parent reth1 set interfaces ge-12/0/2 gigether-options redundant-parent reth1 set interfaces ge-12/0/3 gigether-options redundant-parent reth1
手順
冗長イーサネットインターフェイスリンクアグリゲーショングループを設定するには:
イーサネットインターフェイスをreth1に割り当てます。
content_copy zoom_out_map{primary:node0}[edit] user@host# set interfaces ge-1/0/1 gigether-options redundant-parent reth1 user@host# set interfaces ge-1/0/2 gigether-options redundant-parent reth1 user@host# set interfaces ge-1/0/3 gigether-options redundant-parent reth1 user@host# set interfaces ge-12/0/1 gigether-options redundant-parent reth1 user@host# set interfaces ge-12/0/2 gigether-options redundant-parent reth1 user@host# set interfaces ge-12/0/3 gigether-options redundant-parent reth1
業績
設定モードから、 show interfaces reth1
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
簡潔にするために、この show
コマンド出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。
user@host# show interfaces reth1 ... ge-1/0/1 { gigether-options { redundant-parent reth1; } } ge-1/0/2 { gigether-options { redundant-parent reth1; } } ge-1/0/3 { gigether-options { redundant-parent reth1; } } ge-12/0/1 { gigether-options { redundant-parent reth1; } } ge-12/0/2 { gigether-options { redundant-parent reth1; } } ge-12/0/3 { gigether-options { redundant-parent reth1; } } ...
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
冗長イーサネットインターフェイスLAG設定の検証
目的
冗長イーサネットインターフェイスのLAG設定を確認します。
アクション
動作モードから、 show interfaces terse | match reth
コマンドを入力します。
{primary:node0} user@host> show interfaces terse | match reth ge-1/0/1.0 up down aenet --> reth1.0 ge-1/0/2.0 up down aenet --> reth1.0 ge-1/0/3.0 up down aenet --> reth1.0 ge-12/0/1.0 up down aenet --> reth1.0 ge-12/0/2.0 up down aenet --> reth1.0 ge-12/0/3.0 up down aenet --> reth1.0 reth0 up down reth0.0 up down inet 10.10.37.214/24 reth1 up down reth1.0 up down inet
シャーシ クラスタにおけるリンク アグリゲーション グループ フェイルオーバーについて
冗長イーサネット(reth)インターフェイスのフェイルオーバーは、以下の2つの方法で制御します。
minimum-links
構成設定を使用します。このパラメータは、グループがダウンしたと宣言される前に、冗長性グループの物理メンバーの数を決定します。デフォルトでは、このパラメータは 1 に設定されており、プライマリ ノードで 1 つの物理インターフェイスが稼働している場合、冗長性グループはアクティブなままになります。最小リンク数のデフォルト値は 1 です。
- LAG内の各メンバーの
weight
値とともに、interface-monitor
設定ステートメントを使用します。インターフェイスの重み付けメカニズムは、冗長性グループから障害が発生したインターフェイスに設定された重みを差し引くことによって機能します。グループは 255 の重みで始まり、グループが 0 以下になると、冗長グループがダウンと宣言されます。手記:minimum-links
とinterface-monitor
の設定ステートメントが独立して機能することは注目に値します。最小リンク数のしきい値(プライマリノード上)、または冗長性グループのしきい値0を超えると、スイッチオーバーがトリガーされます。
ほとんどの場合、 minimum-links
設定に従ってインターフェイス監視の重みを設定することがベストプラクティスです。この設定では、アクティブな物理インターフェイス リンクの数が minimum-links
設定を下回ると、その冗長性グループの計算された重みもゼロ以下になるように、監視対象のリンク間で重みを均等に分散する必要があります。これにより、物理リンクの数が minimum-links
値を下回り、LAGグループの重みが0を下回るため、冗長イーサネットインターフェイスのリンクアグリゲーショングループ(LAG)のフェイルオーバーがトリガーされます。
この相互作用を示すために、4つの基盤となる物理リンクを持つreth0インターフェイスLAGを考えてみましょう。
- LAG は 2 の
minimum-links
設定で設定されます。この設定では、プライマリ ノード上のアクティブな物理リンクの数が 2 未満の場合にフェールオーバーがトリガーされます。手記:物理リンクがアップ、LACPがダウンした場合、冗長イーサネットインターフェイスリンクアグリゲーショングループ(LAG)のフェイルオーバーがトリガーされます。
Interface-monitor
の重みの値は、LAGリンクのステータスを監視し、フェイルオーバーの重みを正しく計算するために使用されます。
冗長イーサネットLAGに接続された基盤となるインターフェイスを設定します。
{primary:node0}[edit] user@host# set interfaces ge-0/0/4 gigether-options redundant-parent reth0 user@host# set interfaces ge-0/0/5 gigether-options redundant-parent reth0 user@host# set interfaces ge-0/0/6 gigether-options redundant-parent reth0 user@host# set interfaces ge-0/0/7 gigether-options redundant-parent reth0
冗長イーサネットインターフェイスの最小リンク数を2に指定します。
{primary:node0}[edit] user@host# set interfaces reth0 redundant-ether-options minimum-links 2
インターフェイス監視を設定してインターフェイスの状態を監視し、冗長グループのフェイルオーバーをトリガーします。
以下のシナリオは、冗長イーサネットLAGフェイルオーバーがどのように動作するかの例を示しています。
シナリオ 1:監視対象インターフェイスの重みが 255
基礎となる各インターフェイスの監視対象インターフェイスの重みを 255 に指定します。
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/6 weight 255 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/7 weight 255
4 つのインターフェイスのうち 1 つに障害が発生しても、冗長イーサネット LAG には 3 つのアクティブな物理リンクが残っています。この数は構成された最小リンク パラメータを超えていますが、重みが 255 のインターフェイスが 1 つ失われると、グループの重みが 0 に下がり、フェールオーバーがトリガーされます。
シナリオ 2:監視対象インターフェイスの重みが 75
基礎となる各インターフェイスの監視対象インターフェイスの重みを 75 に指定します。
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 75 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 75 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/6 weight 75 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/7 weight 75
この場合、3つの物理リンクがダウンすると、設定された minimum-links
値を下回るため、冗長イーサネットインターフェイスがダウンします。このシナリオでは、LAG グループの重みが 0 を超えるままであることに注意してください。
シナリオ 3:監視対象インターフェイスの重みが 100
基礎となる各インターフェイスの監視対象インターフェイスの重みを 100 に指定します。
{primary:node0}[edit] user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 100 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/5 weight 100 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/6 weight 100 user@host# set chassis cluster redundancy-group 1 interface-monitor ge-0/0/7 weight 100
この場合、4つの物理リンクのうち3つがダウンすると、 minimum-links
値が満たされていないことと、インターフェイス監視の重みによってLAGグループの重みが0に達したための両方で、冗長イーサネットインターフェイスがダウンと宣言されます。
3 つのシナリオすべてのうち、シナリオ 3 は冗長イーサネット LAG フェールオーバーを管理する最も理想的な方法を示しており、トラフィックの損失は最小限に抑えられます。
シャーシ クラスタでの LACP について
複数の物理イーサネットポートを組み合わせて、リンクアグリゲーショングループ(LAG)またはバンドルと呼ばれる論理ポイントツーポイントリンクを形成し、メディアアクセス制御(MAC)クライアントがLAGを単一のリンクであるかのように扱うことができます。
シャーシ クラスタ内のノード間で LAG を確立して、インターフェイス帯域幅とリンクの可用性を高めることができます。
リンクアグリゲーション制御プロトコル(LACP)は、LAGの追加機能を提供します。LACPは、集約型イーサネットインターフェイスがサポートされるスタンドアロン展開と、集約型イーサネットインターフェイスと冗長イーサネットインターフェイスが同時にサポートされるシャーシクラスター展開でサポートされます。
冗長イーサネットインターフェイスにLACPを設定するには、 lacp
ステートメントで親リンクのLACPモードを設定します。LACP モードは、オフ(デフォルト)、アクティブ、またはパッシブにすることができます。
このトピックは、以下のセクションで構成されています。
シャーシクラスタ冗長イーサネットインターフェイスリンクアグリゲーショングループ
冗長イーサネットインターフェイスには、シャーシクラスタ内の2つのノードに配置されたアクティブリンクとスタンバイリンクがあります。すべてのアクティブ リンクは 1 つのノードに配置され、すべてのスタンバイ リンクはもう 1 つのノードに配置されます。ノードごとに最大 8 つのアクティブ リンクと 8 つのスタンバイ リンクを設定できます。
各ノードからの少なくとも 2 つの物理子インターフェイス リンクが冗長イーサネット インターフェイス構成に含まれている場合、インターフェイスは冗長イーサネット インターフェイス内で結合され、冗長イーサネット インターフェイス LAG を形成します。
複数のアクティブな冗長イーサネット インターフェイス リンクを持つことで、フェイルオーバーの可能性が減少します。例えば、アクティブリンクがアウトオブサービスの場合、冗長イーサネットアクティブ/スタンバイフェイルオーバーをトリガーするのではなく、このリンク上のすべてのトラフィックが他のアクティブな冗長イーサネットインターフェイスリンクに分散されます。
ローカルLAGと呼ばれる集合型イーサネットインターフェイスは、シャーシクラスターのどちらのノードでもサポートされていますが、冗長イーサネットインターフェイスに追加することはできません。同様に、既存のローカルLAGの子インターフェイスを冗長イーサネットインターフェイスに追加したり、その逆もできません。クラスタあたりの個別ノード LAG インターフェイス(ae)と冗長イーサネット(reth)インターフェイスの合計の最大数は 128 です。
ただし、冗長イーサネットインターフェイスの機能はJunos OSの集合型イーサネットフレームワークに依存しているため、集約型イーサネットインターフェイスと冗長イーサネットインターフェイスは共存可能です。
詳細については、 シャーシ クラスタ冗長イーサネット インターフェイス リンク アグリゲーション グループについてを参照してください。
最小リンク数
冗長イーサネットインターフェイス設定には、インターフェイスが稼働するためにプライマリノードで動作している必要がある冗長イーサネットインターフェイスLAG内の物理子リンクの最小数を設定できる minimum-links
設定が含まれます。デフォルトの minimum-links
値は 1 です。冗長イーサネットインターフェイスのプライマリノード上の物理リンクの数が minimum-links
値を下回ると、一部のリンクがまだ機能していてもインターフェイスがダウンしている可能性があります。詳細については、 例:シャーシ クラスタの最小リンク数の設定を参照してください。
サブLAG
LACP はポイントツーポイントの LAG を維持します。3 番目のポイントに接続されているポートは拒否されます。ただし、冗長イーサネットインターフェイスは、設計上、2つの異なるシステムまたは2つのリモート集合型イーサネットインターフェイスに接続します。
冗長イーサネットインターフェイスのアクティブおよびスタンバイリンクでLACPをサポートするために、すべてのアクティブリンクがアクティブサブLAGを形成し、すべてのスタンバイリンクがスタンバイサブLAGを形成する2つの異なるサブLAGで構成される冗長イーサネットインターフェイスが自動的に作成されます。
このモデルでは、LACP 選択ロジックが適用され、一度に 1 つのサブ LAG に制限されます。このようにして、2つの冗長イーサネットインターフェイスサブLAGが同時に維持され、各サブLAGについてLACPの利点がすべて維持されます。
集約リンクがそのように認識され、トラフィックを正しく通過させるためには、クラスタ内のノード間のノードを接続するために使用されるスイッチにLAGリンクが設定され、両方のノードの各LAGに対して802.3adが有効になっている必要があります。
シャーシ クラスタ内の各ノードからの冗長イーサネット インターフェイス LAG 子リンクは、ピア デバイスの異なる LAG に接続する必要があります。単一のピアスイッチを使用して冗長イーサネットインターフェイスLAGを終端する場合は、スイッチ内で2つの別々のLAGを使用する必要があります。
ヒットレスフェイルオーバーのサポート
LACPを使用すると、冗長イーサネットインターフェイスは通常動作中のアクティブリンクとスタンバイリンク間のヒットレスフェイルオーバーをサポートします。 ヒットレス という用語は、フェイルオーバー中も冗長イーサネットインターフェイスの状態がアップのままであることを意味します。
lacpd プロセスは、冗長イーサネット インターフェイスのアクティブ リンクとスタンバイ リンクの両方を管理します。冗長イーサネット インターフェイスの状態は、アクティブなアップ リンクの数が設定された最小リンクの数以上の場合、アップのままになります。したがって、ヒットレス フェイルオーバーをサポートするには、フェールオーバーが発生する前に、冗長イーサネット インターフェイス スタンバイ リンクの LACP 状態を収集して分散する必要があります。
リンクアグリゲーション制御PDUの管理
プロトコル データ ユニット(PDU)には、リンクの状態に関する情報が含まれています。デフォルトでは、集約型イーサネットリンクおよび冗長イーサネットリンクは、リンクアグリゲーション制御PDUを交換しません。
PDU 交換は、以下の方法で設定できます。
リンクアグリゲーション制御PDUをアクティブに送信するためのイーサネットリンクの設定
イーサネットリンクがPDUを受動的に送信するように設定し、リンクアグリゲーション制御PDUを同じリンクのリモートエンドから受信した場合にのみ送信します
子リンクのローカルエンドはアクターと呼ばれ、リンクのリモートエンドはパートナーと呼ばれます。つまり、アクターはリンクアグリゲーション制御PDUをプロトコルパートナーに送信し、アクターが自身の状態とパートナーの状態について知っていることを伝えます。
リンクのリモート側のインターフェイスがリンク集約制御PDUを送信する間隔を設定するには、ローカル側のインターフェイスで periodic
ステートメントを設定します。リモート側の動作を指定するのは、ローカル側の構成です。つまり、リモート側は、指定された間隔でリンクアグリゲーション制御PDUを送信します。間隔は、 fast
(毎秒) または slow
(30 秒ごと) にすることができます。
詳細については、 例:シャーシ クラスタでの LACP の設定を参照してください。
デフォルトでは、アクターとパートナーは1秒ごとにリンクアグリゲーション制御PDUを送信します。アクティブ インターフェイスとパッシブ インターフェイスで異なる周期レートを設定することができます。アクティブとパッシブのインターフェイスを異なるレートで設定した場合、トランスミッターはレシーバーのレートを優先します。
例:シャーシ クラスタでの LACP の設定
この例では、シャーシ クラスタで LACP を設定する方法を示します。
必要条件
始める前に:
シャーシ クラスタの有効化、インターフェイスと冗長性グループの設定などのタスクを実行します。詳細については、 SRXシリーズ シャーシ クラスタ設定の概要 と 例:シャーシ クラスタ冗長イーサネット インターフェイスの設定 を参照してください。
概要
複数の物理イーサネットポートを組み合わせて、リンクアグリゲーショングループ(LAG)またはバンドルと呼ばれる論理的なポイントツーポイントリンクを形成することができます。シャーシ クラスタ内の SRX シリーズ ファイアウォールの冗長イーサネット インターフェイスで LACP を設定します。
この例では、reth1インターフェイスのLACPモードをアクティブに設定し、リンクアグリゲーション制御PDUの送信間隔を低速(30秒ごと)に設定します。
LACPを有効にすると、集合型イーサネットリンクのローカルおよびリモート側が、リンクの状態に関する情報を含むPDU(プロトコルデータユニット)を交換します。イーサネットリンクがPDUを能動的に送信するように設定することも、リンクが受動的に送信するように設定することもできます(LACPPDUは、他のリンクから受信した場合にのみ送信します)。リンクの片側はリンクを立ち上げるためにアクティブとして設定する必要があります。
図 1 に、この例で使用するトポロジを示します。
図 1 では、ノード 0 とノード 1 のインターフェイスを設定するために、SRX1500 デバイスを使用しています。EXシリーズのスイッチ設定の詳細については、 アグリゲート イーサネットLACPの設定(CLI手順)を参照してください。
構成
シャーシ クラスタでの LACP の設定
手順
シャーシクラスタでLACPを設定するには、次の手順に従います。
冗長イーサネットインターフェイスの数を指定します。
content_copy zoom_out_map[edit chassis cluster] user@host# set reth-count 2
クラスターの各ノードでの優位性に対する冗長グループの優先順位を指定します。大きい方の番号が優先されます。
content_copy zoom_out_map[edit chassis cluster] user@host# set redundancy-group 1 node 0 priority 200 user@host# set redundancy-group 1 node 1 priority 100
セキュリティ ゾーンを作成し、インターフェイスをゾーンに割り当てます。
content_copy zoom_out_map[edit security zones] user@host# set security-zone trust host-inbound-traffic system-services all user@host# set security-zone trust interfaces reth1.0
冗長な子物理インターフェイスを reth1 にバインドします。
content_copy zoom_out_map[edit interfaces] user@host# set ge-0/0/4 gigether-options redundant-parent reth1 user@host# set ge-0/0/5 gigether-options redundant-parent reth1 user@host# set ge-9/0/4 gigether-options redundant-parent reth1 user@host# set ge-9/0/5 gigether-options redundant-parent reth1
冗長グループ 1 に reth1 を追加します。
content_copy zoom_out_map[edit interfaces] user@host# set reth1 redundant-ether-options redundancy-group 1
LACPをreth1に設定します。
content_copy zoom_out_map[edit interfaces] user@host# set reth1 redundant-ether-options lacp active user@host# set reth1 redundant-ether-options lacp periodic slow
reth1 に IP アドレスを割り当てます。
content_copy zoom_out_map[edit interfaces] user@host# set reth1 unit 0 family inet address 192.168.2.1/24
集合型イーサネットインターフェイス(ae1)にLACPを設定します。
集合型イーサネットインターフェイス(ae2)にLACPを設定します。
デバイスの設定が完了したら、設定をコミットします。
content_copy zoom_out_map[edit interfaces] user@host# commit
業績
設定モードから、 show chassis
、 show security zones
、および show interfaces
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]user@host#
show chassis cluster { reth-count 2; redundancy-group 1 { node 0 priority 200; node 1 priority 100; } } [edit]user@host#
show security zones security-zone trust { host-inbound-traffic { system-services { all; } } interfaces { reth1.0; } } [edit]user@host#
show interfaces reth1 { redundant-ether-options { redundancy-group 1; lacp { active; periodic slow; } } unit 0 { family inet { address 192.168.2.1/24; } } }
EX シリーズ スイッチで LACP を構成する
手順
EX シリーズ スイッチで LACP を設定します。
集合型イーサネットインターフェイスの数を設定します。
content_copy zoom_out_map[edit chassis] user@host# set aggregated-devices ethernet device-count 3
物理インターフェイスを集合型イーサネットインターフェイスに関連づけます。
content_copy zoom_out_map[edit interfaces] user@host# set ge-0/0/1 gigether-options 802.3ad ae1 user@host# set ge-0/0/2 gigether-options 802.3ad ae1 user@host# set ge-0/0/3 gigether-options 802.3ad ae2 user@host# set ge-0/0/4 gigether-options 802.3ad ae2
集合型イーサネットインターフェイス(ae1)にLACPを設定します。
content_copy zoom_out_map[edit interfaces] user@host# set interfaces ae1 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ae1 unit 0 family ethernet-switching vlan members RETH0_VLAN
集合型イーサネットインターフェイス(ae2)にLACPを設定します。
content_copy zoom_out_map[edit interfaces] user@host# set interfaces ae2 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ae2 unit 0 family ethernet-switching vlan members RETH0_VLAN
VLAN を構成します。
content_copy zoom_out_mapuser@host#set vlans RETH0_VLAN vlan-id 10 user@host# set vlans RETH0_VLAN l3-interface vlan.10 user@host# set interfaces vlan unit 10 family inet address 192.168.2.254/24
業績
設定モードから、 show chassis
コマンドと show interfaces
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]user@host#
show chassis aggregated-devices { ethernet { device-count 3; } }user@host#
show vlans RETH0_VLAN { vlan-id 10; l3-interface vlan.10; }user@host>
show vlans RETH0_VLAN Routing instance VLAN name Tag Interfaces default-switch RETH0_VLAN 10 ae1.0* ae2.0*user@host>
show ethernet-switching interface ae1 Routing Instance Name : default-switch Logical Interface flags (DL - disable learning, AD - packet action drop, LH - MAC limit hit, DN - interface down, MMAS - Mac-move action shutdown, SCTL - shutdown by Storm-control ) Logical Vlan TAG MAC STP Logical Tagging interface members limit state interface flags ae1.0 131072 untagged RETH0_VLAN 10 131072 Forwarding untaggeduser@host>
show ethernet-switching interface ae2 Routing Instance Name : default-switch Logical Interface flags (DL - disable learning, AD - packet action drop, LH - MAC limit hit, DN - interface down, MMAS - Mac-move action shutdown, SCTL - shutdown by Storm-control ) Logical Vlan TAG MAC STP Logical Tagging interface members limit state interface flags ae2.0 131072 untagged RETH0_VLAN 10 131072 Forwarding untaggeduser@host#
show interfaces ge-0/0/1 { ether-options { 802.3ad ae1; } } ge-0/0/2 { ether-options { 802.3ad ae1; } } ge-0/0/3 { ether-options { 802.3ad ae2; } } ge-0/0/4 { ether-options { 802.3ad ae2; } } ae1 { aggregated-ether-options { lacp { active; periodic slow; } } unit 0 { family ethernet-switching { interface-mode access; vlan { members RETH0_VLAN; } } } } ae2 { aggregated-ether-options { lacp { active; periodic slow; } } unit 0 { family ethernet-switching { interface-mode access; vlan { members RETH0_VLAN; } } } } vlan { unit 10 { family inet { address 192.168.2.254/24 { } } } }
検証
冗長イーサネットインターフェイスでのLACPの検証
目的
冗長イーサネットインターフェイスの LACP ステータス情報を表示します。
アクション
動作モードから、 show chassis cluster status
コマンドを入力します。
{primary:node0}[edit]
user@host> show chassis cluster status
Monitor Failure codes:
CS Cold Sync monitoring FL Fabric Connection monitoring
GR GRES monitoring HW Hardware monitoring
IF Interface monitoring IP IP monitoring
LB Loopback monitoring MB Mbuf monitoring
NH Nexthop monitoring NP NPC monitoring
SP SPU monitoring SM Schedule monitoring
CF Config Sync monitoring RE Relinquish monitoring
IS IRQ storm
Cluster ID: 1
Node Priority Status Preempt Manual Monitor-failures
Redundancy group: 0 , Failover count: 1
node0 1 primary no no None
node1 1 secondary no no None
Redundancy group: 1 , Failover count: 1
node0 200 primary no no None
node1 100 secondary no no None
{primary:node0}[edit]
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA Security
0 fxp1 Up Disabled Disabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
(Physical/Monitored)
fab0 ge-0/0/2 Up / Up Enabled
fab0
fab1 ge-9/0/2 Up / Up Enabled
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Down Not configured
reth1 Up 1
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0
動作モードから、 show lacp interfaces reth1
コマンドを入力します。
{primary:node0}[edit]
user@host> show lacp interfaces reth1
Aggregated interface: reth1
LACP state: Role Exp Def Dist Col Syn Aggr Timeout Activity
ge-0/0/4 Actor No No Yes Yes Yes Yes Slow Active
ge-0/0/4 Partner No No Yes Yes Yes Yes Slow Active
ge-0/0/5 Actor No No Yes Yes Yes Yes Slow Active
ge-0/0/5 Partner No No Yes Yes Yes Yes Slow Active
ge-9/0/4 Actor No No Yes Yes Yes Yes Slow Active
ge-9/0/4 Partner No No Yes Yes Yes Yes Slow Active
ge-9/0/5 Actor No No Yes Yes Yes Yes Slow Active
ge-9/0/5 Partner No No Yes Yes Yes Yes Slow Active
LACP protocol: Receive State Transmit State Mux State
ge-0/0/4 Current Slow periodic Collecting distributing
ge-0/0/5 Current Slow periodic Collecting distributing
ge-9/0/4 Current Slow periodic Collecting distributing
ge-9/0/5 Current Slow periodic Collecting distributing
出力には、以下のような冗長イーサネットインターフェイス情報が表示されます。
LACP 状態—バンドル内のリンクがアクター(リンクのローカルまたは近端)かパートナー(リンクのリモートまたは遠端)かどうかを示します。
LACPモード—集合型イーサネットインターフェイスの両端が有効(アクティブかパッシブか)を示します—バンドルの少なくとも一方の端がアクティブである必要があります。
周期的リンクアグリゲーション制御PDUの送信レート。
LACPプロトコルの状態—パケットを収集および配信している場合、リンクが稼働していることを示します。
例:シャーシ クラスタ最小リンクの設定
この例では、インターフェイスが稼働するために動作する必要があるプライマリノード上の冗長イーサネットインターフェイスに割り当てられる最小数の物理リンクを指定する方法を示しています。
必要条件
始める前に:
冗長イーサネットインターフェイスを設定します。 例:シャーシ クラスタ冗長イーサネット インターフェイスの設定を参照してください。
冗長イーサネットインターフェイスリンクアグリゲーショングループを理解する。 例:シャーシ クラスタでのリンク アグリゲーション グループの設定を参照してください。
概要
冗長イーサネットインターフェイスに2つ以上の子リンクがある場合、インターフェイスが稼働するために動作する必要があるプライマリノード上のインターフェイスに割り当てられた物理リンクの最小数を設定できます。プライマリ ノード上の物理リンクの数が最小リンク値を下回ると、一部のリンクがまだ機能していてもインターフェイスはダウンします。
この例では、プライマリノード上の3つの子リンクがreth1(最小リンク値)にバインドされていることを指定して、インターフェイスがダウンしないようにしています。例えば、reth1に6つのインターフェイスが割り当てられている冗長イーサネットインターフェイスLAG構成では、minimum-links値を3に設定すると、プライマリノード上のすべてのreth1子リンクが、インターフェイスのステータスがdownに変わるのを防ぐために機能している必要があります。
子インターフェイスが 2 つ(各ノードに 1 つ)のみの冗長イーサネット インターフェイスに最小リンク値を設定することは可能ですが、当社は推奨しません。
構成
プロシージャ
手順
最小リンク数を指定するには:
冗長イーサネットインターフェースの最小リンク数を指定します。
content_copy zoom_out_map{primary:node0}[edit] user@host# set interfaces reth1 redundant-ether-options minimum-links 3
デバイスの設定が完了したら、設定をコミットします。
content_copy zoom_out_map{primary:node0}[edit] user@host# commit
検証
シャーシ クラスタ最小リンク設定の検証
目的
設定が正常に機能していることを確認するには、 show interface reth1
コマンドを入力します。
アクション
動作モードから、show show interfaces reth1 コマンドを入力します。
{primary:node0}[edit]
user@host> show interfaces reth1
Physical interface: reth1, Enabled, Physical link is Down Interface index: 129, SNMP ifIndex: 548 Link-level type: Ethernet, MTU: 1514, Speed: Unspecified, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Minimum links needed: 3, Minimum bandwidth needed: 0 Device flags : Present Running Interface flags: Hardware-Down SNMP-Traps Internal: 0x0 Current address: 00:10:db:ff:10:01, Hardware address: 00:10:db:ff:10:01 Last flapped : 2010-09-15 15:54:53 UTC (1w0d 22:07 ago) Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Logical interface reth1.0 (Index 68) (SNMP ifIndex 550) Flags: Hardware-Down Device-Down SNMP-Traps 0x0 Encapsulation: ENET2 Statistics Packets pps Bytes bps Bundle: Input : 0 0 0 0 Output: 0 0 0 0 Security: Zone: untrust Allowed host-inbound traffic : bootp bfd bgp dns dvmrp igmp ldp msdp nhrp ospf pgm pim rip router-discovery rsvp sap vrrp dhcp finger ftp tftp ident-reset http https ike netconf ping reverse-telnet reverse-ssh rlogin rpm rsh snmp snmp-trap ssh telnet traceroute xnm-clear-text xnm-ssl lsping ntp sip Protocol inet, MTU: 1500 Flags: Sendbcast-pkt-to-re
例:IOC2 または IOC3 を搭載した SRX5000 回線デバイスでのシャーシ クラスタ冗長イーサネット インターフェイス リンク アグリゲーション グループの設定
IEEE 802.3adに基づくイーサネットリンクアグリゲーショングループ(LAG)をサポートしているため、スタンドアロンデバイス上で物理インターフェイスを集約することができます。スタンドアロンデバイスのLAGは、インターフェイス帯域幅とリンクの可用性を向上させます。シャーシ クラスタ内のリンクのアグリゲーションにより、冗長イーサネット インターフェイスで 2 つ以上の物理子インターフェイスを追加でき、冗長イーサネット インターフェイス LAG を作成できます。
必要条件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:
SRXシリーズファイアウォール向けのJunos OSリリース15.1X49-D40以降。
IOC2 または IOC3 で IOC2 および IOC3 で Express Path が有効になっているSRX5800。詳細については、 例: Express Path をサポートするために SRX5000 回線デバイスで SRX5K-MPC3-100G10G (IOC3) および SRX5K-MPC3-40G10G (IOC3) を構成するを参照してください。
概要
この例では、Express Path モードで IOC2 または IOC3 からのポートを使用して、冗長イーサネット インターフェイス リンク アグリゲーション グループを構成し、SRX シリーズ ファイアウォール上のシャーシ クラスターで LACP を構成する方法を示します。IOC2 と IOC3 の両方のリンクを混在させて子インターフェイスを設定することはサポートされていないことに注意してください。
冗長イーサネットインターフェイスまたは集合型イーサネットインターフェイス(aex)には、IOC2およびIOC3用の同じIOCタイプの子インターフェイスが含まれている必要があります。たとえば、1 つの子リンクが IOC2 の 10 ギガビット イーサネットからのものである場合、2 番目の子リンクも IOC2 からのものである必要があります。この制限は、IOC3 および IOC4 子インターフェイスが同じ速度の場合には適用されません。
次の組み合わせはサポートされていません。
- IOC2からノード0-100GbE、IOC3から10GbE/40GbE/100GbE
- IOC2からノード1-100GbEおよびIOC3から10GbE/40GbE/100GbE
次の組み合わせがサポートされています(同じインターフェイス速度で)。
- IOC3からノード0-100GbE、IOC4から100GbE
- IOC3からノード1-100GbE、IOC4から100GbE
この例では、以下のメンバーリンクを使用しています。
xe-1/0/0
xe-3/0/0
xe-14/0/0
xe-16/0/0
構成
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを削除してから、 [edit]
階層レベルのCLIにコピーアンドペーストして、設定モードから commit
を入力します。
set chassis cluster reth-count 5 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 redundant-ether-options lacp active set interfaces reth0 redundant-ether-options lacp periodic fast set interfaces reth0 redundant-ether-options minimum-links 1 set interfaces reth0 unit 0 family inet address 192.0.2.1/24 set interfaces xe-1/0/0 gigether-options redundant-parent reth0 set interfaces xe-3/0/0 gigether-options redundant-parent reth0 set interfaces xe-14/0/0 gigether-options redundant-parent reth0 set interfaces xe-16/0/0 gigether-options redundant-parent reth0
プロシージャ
手順
LAGインターフェイスを設定するには:
作成するアグリゲートイーサネットインターフェイスの数を指定します。
content_copy zoom_out_map[edit chassis] user@host# set chassis cluster reth-count 5
冗長な子物理インターフェイスをreth0にバインドします。
content_copy zoom_out_map[edit interfaces] user@host# set xe-1/0/0 gigether-options redundant-parent reth0 user@host# set xe-3/0/0 gigether-options redundant-parent reth0 user@host# set xe-14/0/0 gigether-options redundant-parent reth0 user@host# set xe-16/0/0 gigether-options redundant-parent reth0
冗長グループ 1 に reth0 を追加します。
content_copy zoom_out_mapuser@host#set reth0 redundant-ether-options redundancy-group 1
reth0 に IP アドレスを割り当てます。
content_copy zoom_out_map[edit interfaces] user@host# set reth0 unit 0 family inet address 192.0.2.1/24
LACPをreth0に設定します。
content_copy zoom_out_map[edit interfaces] user@host# set reth0 redundant-ether-options lacp active user@host# set reth0 redundant-ether-options lacp periodic fast user@host# set reth0 redundant-ether-options minimum-links 1
業績
設定モードから、 show interfaces
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host#
show interfaces
xe-1/0/0 {
gigether-options {
redundant-parent reth0;
}
}
xe-3/0/0 {
gigether-options {
redundant-parent reth0;
}
}
xe-14/0/0 {
gigether-options {
redundant-parent reth0;
}
}
xe-16/0/0 {
gigether-options {
redundant-parent reth0;
}
}
reth0 {
redundant-ether-options {
lacp {
active;
periodic fast;
}
minimum-links 1;
}
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ae1 {
aggregated-ether-options {
lacp {
active;
}
}
unit 0 {
family inet {
address 192.0.2.2/24;
}
}
}
[edit]
user@host#
show chassis
chassis cluster {
reth-count 5;
}
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
冗長イーサネットインターフェイスでのLACPの検証
目的
冗長イーサネットインターフェイスの LACP ステータス情報を表示します。
アクション
動作モードから、 show lacp interfaces
コマンドを入力して、LACP が片方の端でアクティブとして有効になっていることを確認します。
user@host> show lacp interfaces
Aggregated interface: reth0
LACP state: Role Exp Def Dist Col Syn Aggr Timeout Activity
xe-16/0/0 Actor No No Yes Yes Yes Yes Fast Active
xe-16/0/0 Partner No No Yes Yes Yes Yes Fast Active
xe-14/0/0 Actor No No Yes Yes Yes Yes Fast Active
xe-14/0/0 Partner No No Yes Yes Yes Yes Fast Active
xe-1/0/0 Actor No No Yes Yes Yes Yes Fast Active
xe-1/0/0 Partner No No Yes Yes Yes Yes Fast Active
xe-3/0/0 Actor No No Yes Yes Yes Yes Fast Active
xe-3/0/0 Partner No No Yes Yes Yes Yes Fast Active
LACP protocol: Receive State Transmit State Mux State
xe-16/0/0 Current Fast periodic Collecting distributing
xe-14/0/0 Current Fast periodic Collecting distributing
xe-1/0/0 Current Slow periodic Collecting distributing
xe-3/0/0 Current Slow periodic Collecting distributing
出力は、LACP が正しく設定され、一端でアクティブであることを示しています。
SRXシリーズファイアウォールのVRRPを理解する
SRXシリーズファイアウォールは、IPv6のVRRP(仮想ルーター冗長プロトコル)とVRRPをサポートしています。このトピックでは、次の内容について説明します。
SRXシリーズファイアウォールでのVRRPの概要
静的なデフォルトルートを使用してネットワーク上のエンドホストを設定することで、設定の労力と複雑さを最小限に抑え、エンドホストの処理オーバーヘッドを軽減します。ホストが静的ルートで構成されている場合、デフォルト ゲートウェイの障害は通常、致命的なイベントが発生し、ゲートウェイへの使用可能な代替パスを検出できないすべてのホストが分離されます。VRRP(仮想ルーター冗長プロトコル)を使用することで、プライマリゲートウェイに障害が発生した場合、エンドホストに代替ゲートウェイを動的に提供することができます。
SRXシリーズファイアウォール上のギガビットイーサネットインターフェイス、10ギガビットイーサネットインターフェイス、および論理インターフェイス上のIPv6向けに、仮想ルーター冗長プロトコル(VRRP)またはVRRPを設定できます。VRRP を使用すると、LAN 上のホストは、ホスト上の 1 つのデフォルト ルートの静的な設定以上のものを必要とせずに、その LAN 上の冗長デバイスを利用できます。VRRP で設定されたデバイスは、ホスト上で設定されたデフォルト ルートに対応する IP アドレスを共有します。常に、VRRP 設定されたデバイスの 1 つがプライマリ(アクティブ)になり、他のデバイスがバックアップになります。プライマリ デバイスに障害が発生すると、バックアップ デバイスの 1 つが新しいプライマリになり、仮想デフォルト デバイスが提供され、単一のデバイスに依存せずに LAN 上のトラフィックをルーティングできるようになります。VRRPを使用することで、バックアップSRXシリーズのファイアウォールが、障害が発生したデフォルトデバイスを数秒以内に引き継ぐことができます。これは、VRRP トラフィックの損失を最小限に抑え、ホストとの対話なしで行われます。仮想ルーター冗長プロトコルは、管理インターフェイスではサポートされていません。
IPv6 向け VRRP は、IPv6 の近隣探索(ND)手順よりも、代替デフォルト デバイスへのスイッチオーバーがはるかに高速です。IPv6 の VRRP は、 authentication-type
または authentication-key
ステートメントをサポートしていません。
VRRP を実行しているデバイスは、プライマリ デバイスとバックアップ デバイスを動的に選択します。また、1 から 255 までの優先順位を使用して、プライマリ デバイスとバックアップ デバイスを強制的に割り当てることもできます ( 255 が最優先)。VRRP 動作では、デフォルトのプライマリ デバイスが一定の間隔でバックアップ デバイスにアドバタイズを送信します。デフォルトの間隔は 1 秒です。バックアップ デバイスが一定期間アドバタイズメントを受信しない場合、プライオリティが最も高いバックアップ デバイスがプライマリとして引き継ぎ、パケットの転送を開始します。
バックアップ デバイスは、優先度が高くない限り、プライマリ デバイスのプリエンプションを試行しません。これにより、より優先されるパスが使用可能にならない限り、サービスの中断がなくなります。VRRP デバイスが所有するアドレスに関連づけられたデバイスのプライマリ デバイスになることは除きます。すべてのプリエンプションの試行を管理上禁止できます。
VRRP は、メンバー間のセッション同期をサポートしていません。プライマリ デバイスに障害が発生すると、優先度が最も高いバックアップ デバイスがプライマリとして引き継ぎ、パケットの転送を開始します。既存のセッションは、アウトオブステートとしてバックアップ デバイスにドロップされます。
RVI(ルーテッドVLANインターフェイス)に優先度255を設定することはできません。
VRRP は、RFC 3768、 Virtual Router Redundancy Protocolで定義されています。
VRRPのメリット
VRRP は、障害が発生した場合に、デバイス間で IP アドレスの動的なフェイルオーバーを提供します。
VRRP を実装することで、エンド ホストでダイナミック ルーティングやルーター検出プロトコルを設定することなく、可用性の高いゲートウェイへのデフォルト パスを提供できます。
VRRP トポロジーの例
図2は、SRXシリーズファイアウォールを使用した基本的なVRRPトポロジーを示しています。この例では、デバイス A とデバイス B は VRRP を実行しており、仮想 IP アドレス 192.0.2.1 を共有しています。各クライアントのデフォルト ゲートウェイは 192.0.2.1 です。
以下に、 図 2 を参考にして、VRRP の基本的な動作を示します。
いずれかのサーバーが LAN 外にトラフィックを送信する場合、デフォルト ゲートウェイ アドレス 192.0.2.1 にトラフィックを送信します。これは、VRRP グループ 100 が所有する仮想 IP アドレス(VIP)です。デバイス A はグループのプライマリであるため、VIP はデバイス A の「実際の」アドレス 192.0.2.251 に関連付けられ、サーバーからのトラフィックは実際にこのアドレスに送信されます。(デバイス A は、より高いプライオリティ値で設定されているため、プライマリです)。
デバイスAに障害が発生し、サーバーとの間でトラフィックを転送できない場合(LANに接続されたインターフェイスに障害が発生した場合)、デバイスBがプライマリになり、VIPの所有権を引き継ぎます。サーバーは引き続き VIP にトラフィックを送信しますが、VIP はデバイス B の「実際の」アドレス 192.0.2.252 に関連付けられているため(プライマリの変更のため)、トラフィックはデバイス A ではなくデバイス B に送信されます。
デバイス A の障害の原因となった問題が修正されると、デバイス A が再びプライマリになり、VIP の所有権が再アサートされます。この場合、サーバーはデバイス A へのトラフィックの送信を再開します。
デバイスAとデバイスBへのトラフィック送信を切り替えるために、サーバーの構成を変更する必要はありません。VIP が 192.0.2.251 と 192.0.2.252 の間を移動すると、通常の TCP-IP 動作によって変更が検出され、サーバーでの構成や介入は必要ありません。
VRRPv3をサポートするSRXシリーズファイアウォール
VRRPv3 を使用する利点は、VRRPv3 が IPv4 アドレス ファミリと IPv6 アドレス ファミリの両方をサポートするのに対し、VRRP は IPv4 アドレスのみをサポートすることです。
VRRPv3(IPv4)は以前のバージョンのVRRPと相互運用できないため、ネットワーク内のVRRPで設定されたすべてのデバイスでVRRPv3を有効にできる場合にのみ、ネットワークでVRRPv3を有効にします。たとえば、VRRPv3 が有効になっているデバイスが VRRP IPv4 アドバタイズメント パケットを受信した場合、デバイスはバックアップ ステートに移行し、ネットワーク内に複数のプライマリが作成されないようにします。
VRRPv3 を有効にするには、 [edit protocols vrrp]
階層レベルでバージョン 3 ステートメントを設定します(IPv4 または IPv6 ネットワークの場合)。LAN 上のすべての VRRP デバイスに同じプロトコル バージョンを設定します。
VRRPv3 機能の制限事項
VRRPv3 機能の制限を次に示します。
VRRPv3認証
VRRPv3(IPv4用)が有効になっている場合、認証は許可されません。
authentication-type
およびauthentication-key
ステートメントは、どの VRRP グループにも設定できません。非 VRRP 認証を使用する必要があります。
VRRPv3 アドバタイズ間隔
VRRPv3(IPv4およびIPv6用)アドバタイズ間隔は、[ edit interfaces interface-name, unit 0, family inet address, ip-address, vrrp-group group-name] 階層レベルでfast-intervalステートメントで設定する必要があります。
advertise-interval
ステートメントは使用しないでください(IPv4 の場合)。inet6-advertise-interval
ステートメントは使用しないでください(IPv6 の場合)。
関連項目
VRRP フェイルオーバー遅延の概要
フェイルオーバーは、障害やスケジュールされたダウンタイムが原因でプライマリデバイスが使用できなくなったときに、ネットワークデバイスの機能をセカンダリデバイスに引き継ぐバックアップ運用モードです。フェイルオーバーは、通常、ネットワーク上で常に利用可能でなければならないミッションクリティカルなシステムにとって不可欠な部分です。
VRRP は、メンバー間のセッション同期をサポートしていません。プライマリ デバイスに障害が発生すると、優先度が最も高いバックアップ デバイスがプライマリとして引き継ぎ、パケットの転送を開始します。既存のセッションは、アウトオブステートとしてバックアップ デバイスにドロップされます。
高速フェールオーバーには短い遅延が必要です。したがって、フェイルオーバー遅延は、IPv6 操作の VRRP および VRRP のフェイルオーバー遅延時間をミリ秒単位で設定します。Junos OSは、フェイルオーバー時間の遅延について、50〜100000ミリ秒の範囲をサポートします。
ルーティング エンジン上で実行されている VRRP プロセス(vrrpd)は、VRRP セッションごとに VRRP プライマリ ロールの変更をパケット転送エンジンに伝えます。各 VRRP グループは、このような通信をトリガーして、パケット転送エンジンを独自の状態またはアクティブな VRRP グループから継承された状態に更新できます。このようなメッセージでパケット転送エンジンが過負荷になるのを避けるために、フェイルオーバー遅延を設定して、後続のルーティングエンジンからパケット転送エンジンへの通信間の遅延を指定できます。
ルーティング エンジンは、パケット転送エンジン ハードウェア フィルタや VRRP セッションの再プログラミングなど、パケット転送エンジンで必要な状態変更を容易にするために、VRRP プライマリ ロールの変更をパケット転送エンジンに伝えます。以下のセクションでは、ルーティング エンジンからパケット転送エンジンへの通信について、2 つのシナリオで詳しく説明します。
フェイルオーバー遅延が設定されていない場合
フェイルオーバー遅延が設定されていない場合、ルーティング エンジンから動作する VRRP セッションのイベントのシーケンスは次のようになります。
ルーティング エンジンによって検出された最初の VRRP グループの状態が変化し、新しい状態がプライマリである場合、ルーティング エンジンは適切な VRRP アナウンス メッセージを生成します。パケット転送エンジンには状態変化が通知されるため、そのグループのハードウェアフィルターは遅滞なく再プログラムされます。新しいプライマリは、VRRP グループに無償 ARP メッセージを送信します。
フェールオーバー タイマーの遅延が開始されます。デフォルトでは、フェイルオーバー遅延タイマーは次のとおりです。
500 ミリ秒:設定された VRRP アナウンス間隔が 1 秒未満の場合。
2 秒:設定された VRRP アナウンス間隔が 1 秒以上で、ルータ上の VRRP グループの総数が 255 の場合。
[10 秒(10 秒)]:設定された VRRP アナウンス間隔が 1 秒以上で、ルータ上の VRRP グループの数が 255 を超える場合。
ルーティング エンジンは、後続の VRRP グループの状態変更を 1 つずつ実行します。ステートが変化し、特定の VRRP グループの新しいステートがプライマリになるたびに、ルーティング エンジンは適切な VRRP アナウンス メッセージを生成します。ただし、パケット転送エンジンへの通信は、フェイルオーバー遅延タイマーが終了するまで抑制されます。
フェイルオーバー遅延タイマーが経過すると、ルーティング エンジンは、状態を変更できたすべての VRRP グループに関するメッセージをパケット転送エンジンに送信します。その結果、これらのグループのハードウェア フィルタが再プログラムされ、新しい状態がプライマリであるグループには、Gratuitous ARP メッセージが送信されます。
このプロセスは、すべての VRRP グループの状態遷移が完了するまで繰り返されます。
したがって、フェイルオーバー遅延を設定しない場合、設定されたVRRPアナウンスタイマーとVRRPグループの数に応じて、最初のVRRPグループの完全な状態遷移(ルーティングエンジンとパケット転送エンジンの状態を含む)が直ちに実行されますが、残りのVRRPグループに対するパケット転送エンジンの状態遷移は少なくとも0.5〜10秒遅れます。この中間状態では、ハードウェア フィルタの再設定が延期されたため、パケット転送エンジンでまだ完了していない状態変化の VRRP グループの受信トラフィックがパケット転送エンジン レベルでドロップされることがあります。
フェイルオーバー遅延が設定されている場合
フェイルオーバー遅延が設定されている場合、ルーティング エンジンから操作される VRRP セッションのイベントのシーケンスは以下のように変更されます。
ルーティング エンジンは、一部の VRRP グループに状態変更が必要であることを検知します。
フェイルオーバー遅延は、設定された期間開始されます。許容されるフェイルオーバー遅延タイマーの範囲は、50 から 100000 ミリ秒です。
ルーティング エンジンは、VRRP グループに対して 1 つずつの状態変更を実行します。ステートが変化し、特定の VRRP グループの新しいステートがプライマリになるたびに、ルーティング エンジンは適切な VRRP アナウンス メッセージを生成します。ただし、パケット転送エンジンへの通信は、フェイルオーバー遅延タイマーが終了するまで抑制されます。
フェイルオーバー遅延タイマーが経過すると、ルーティング エンジンは、状態を変更できたすべての VRRP グループに関するメッセージをパケット転送エンジンに送信します。その結果、これらのグループのハードウェア フィルタが再プログラムされ、新しい状態がプライマリであるグループには、Gratuitous ARP メッセージが送信されます。
このプロセスは、すべての VRRP グループの状態遷移が完了するまで繰り返されます。
そのため、フェイルオーバー遅延が設定されている場合、最初の VRRP グループのパケット転送エンジンの状態も延期されます。ただし、ネットワーク オペレータには、VRRP の状態変更時の停止を最小限に抑えるために、ネットワーク導入のニーズに最も適したフェイルオーバー遅延値を設定できるという利点があります。
フェイルオーバー遅延は、ルーティング エンジンで実行されている VRRP プロセス(vrrpd)が運用する VRRP セッションにのみ影響します。パケット転送エンジンに配信される VRRP セッションの場合、フェイルオーバー遅延設定は効果がありません。
関連項目
例:シャーシ クラスタ冗長イーサネット インターフェイスでの VRRP/VRRPv3 の設定
仮想ルーター冗長プロトコル(VRRP)が設定されている場合、VRRP は複数のデバイスを仮想デバイスにグループ化します。VRRP で設定されたデバイスの 1 つがプライマリ(アクティブ)になり、他のデバイスがバックアップになります。プライマリに障害が発生すると、バックアップ デバイスの 1 つが新しいプライマリ デバイスになります。
この例では、冗長インターフェイスで VRRP を設定する方法を説明します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォール向けのJunos OSリリース18.1R1以降。
シャーシクラスターに接続された2台のSRXシリーズファイアウォール。
スタンドアロン デバイスとして接続された 1 台の SRX シリーズ ファイアウォール。
概要
VRRP を設定するには、シャーシ クラスタ デバイス上の冗長インターフェイスとスタンドアロン デバイス上のギガビット イーサネット インターフェイスに VRRP グループを設定します。シャーシ クラスタ デバイスの冗長インターフェイスとスタンドアロン デバイスのギガビット イーサネット インターフェイスは、1 つ以上の VRRP グループのメンバーにすることができます。VRRP グループ内では、シャーシ クラスタ デバイスのプライマリ冗長インターフェイスとスタンドアロン デバイスのバックアップ ギガビット イーサネット インターフェイスを設定する必要があります。
VRRP グループを設定するには、VRRP グループのメンバーである冗長インターフェイスとギガビット イーサネット インターフェイスにグループ識別子と仮想 IP アドレスを設定する必要があります。仮想 IP アドレスは、VRRP グループ内のすべてのインターフェイスで同じである必要があります。次に、冗長インターフェイスとギガビットイーサネットインターフェイスにプライオリティを設定して、プライマリインターフェイスにします。
プライマリおよびバックアップ冗長インターフェイスとギガビットイーサネットインターフェイスを、1〜255(255が最高のプライオリティ)のプライオリティを使用して強制的に割り当てることができます。
設定 VRRP
シャーシ クラスタ冗長イーサネット インターフェイスでの VRRPv3、VRRP グループ、および優先度の設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set protocols vrrp traceoptions file vrrp.log
set protocols vrrp traceoptions file size 10000000
set protocols vrrp traceoptions flag all
set protocols vrrp version-3
set protocols vrrp ignore-nonstop-routing
set interfaces ge-0/0/0 gigether-options redundant-parent reth0
set interfaces ge-0/0/3 gigether-options redundant-parent reth1
set interfaces ge-5/0/0 gigether-options redundant-parent reth0
set interfaces ge-5/0/3 gigether-options redundant-parent reth1
set interfaces reth0 redundant-ether-options redundancy-group 1
set interfaces reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 virtual-address 192.0.2.3
set interfaces reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 priority 255
set interfaces reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 accept-data
set interfaces reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 virtual-inet6-address 2001:db8::3
set interfaces reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 priority 255
set interfaces reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 accept-data
set interfaces reth1 redundant-ether-options redundancy-group 2
set interfaces reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 virtual-address 192.168.120.3
set interfaces reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 priority 150
set interfaces reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 accept-data
set interfaces reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 virtual-inet6-address 2001:db8::4
set interfaces reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 priority 150
set interfaces reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 accept-data
手順
シャーシ クラスタ デバイスで VRRPv3、VRRP グループ、および優先度を設定するには、次の手順に従います。
VRRP プロトコルのトラフィックをトレースするために、traceoptions にファイル名を設定します。
content_copy zoom_out_map[edit protocols vrrp] user@host#
set traceoptions file vrrp.log
トレース ファイルの最大サイズを指定します。
content_copy zoom_out_map[edit protocols vrrp] user@host#
set traceoptions file size 10000000
vrrp トレースオプションを有効にします。
content_copy zoom_out_map[edit protocols vrrp] user@host#
set traceoptions flag all
vrrp バージョンを 3 に設定します。
content_copy zoom_out_map[edit protocols vrrp] user@host#
set version-3
VRRP の GRES(グレースフル ルーティング エンジン スイッチオーバー)と、VRRP とフェイルオーバーがある場合のノンストップ アクティブ ルーティングをサポートするには、このコマンドを設定します。VRRP を使用すると、セカンダリ ノードは障害が発生したプライマリ ノードを数秒以内に引き継ぐことができます。これは最小限の VRRP トラフィックで、ホストとの対話なしで行われます
content_copy zoom_out_map[edit protocols vrrp] user@host#
set ignore-nonstop-routing
reth(冗長イーサネット)インターフェイスを設定し、その冗長インターフェイスをゾーンに割り当てます。
content_copy zoom_out_map[edit interfaces] user@host#
set ge-0/0/0 gigether-options redundant-parent reth0
user@host#set ge-0/0/3 gigether-options redundant-parent reth1
user@host#set ge-5/0/0 gigether-options redundant-parent reth0
user@host#set ge-5/0/3 gigether-options redundant-parent reth1
user@host#set reth0 redundant-ether-options redundancy-group 1
user@host#set reth1 redundant-ether-options redundancy-group 2
冗長インターフェイス 0 ユニット 0 のファミリー inet アドレスと仮想アドレスを設定します。
content_copy zoom_out_map[edit interfaces] user@host#
set reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 virtual-address 192.168.110.3
user@host#set reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 virtual-inet6-address 2001:db8::3
冗長インターフェイス 1 ユニット 0 のファミリー inet アドレスと仮想アドレスを設定します。
content_copy zoom_out_map[edit interfaces] user@host#
set reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 virtual-address 192.168.120.3
user@host#set reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 virtual-inet6-address 2001:db8::4
冗長インターフェイス0ユニット0の優先度を255に設定します。
content_copy zoom_out_map[edit interfaces] user@host#
set reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 priority 255
user@host#set reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 priority 255
冗長インターフェイス1ユニット0の優先度を150に設定します。
content_copy zoom_out_map[edit interfaces] user@host#
set reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 priority 150
user@host#set reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 priority 150
仮想IPアドレスに送信されたすべてのパケットを受け入れるように、冗長インターフェイス0ユニット0を設定します。
content_copy zoom_out_map[edit interfaces] user@host#
set reth0 unit 0 family inet address 192.0.2.2/24 vrrp-group 0 accept-data
user@host#set reth0 unit 0 family inet6 address 2001:db8::2/32 vrrp-inet6-group 2 accept-data
仮想IPアドレスに送信されたすべてのパケットを受け入れるように、冗長インターフェイス1ユニット0を設定します。
content_copy zoom_out_map[edit interfaces] user@host#
set reth1 unit 0 family inet address 192.0.2.4/24 vrrp-group 1 accept-data
user@host#set reth1 unit 0 family inet6 address 2001:db8::3/32 vrrp-inet6-group 3 accept-data
業績
設定モードから、 show interfaces reth0
コマンドと show interfaces reth1
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces reth0
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.2.2/24 {
vrrp-group 0 {
virtual-address 192.0.2.3;
priority 255;
accept-data;
}
}
}
family inet6 {
address 2001:db8::2/32 {
vrrp-inet6-group 2 {
virtual-inet6-address 2001:db8::3;
priority 255;
accept-data;
}
}
}
}
[edit]
user@host# show interfaces reth1
redundant-ether-options {
redundancy-group 2;
}
unit 0 {
family inet {
address 192.0.2.4/24 {
vrrp-group 1 {
virtual-address 192.0.2.5;
priority 150;
accept-data;
}
}
}
family inet6 {
address 2001:db8::3/32 {
vrrp-inet6-group 3 {
virtual-inet6-address 2001:db8::4;
priority 150;
accept-data;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit
を入力します。
スタンドアロン デバイスでの VRRP グループの設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set protocols vrrp version-3
set interfaces xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 virtual-address 192.0.2.3
set interfaces xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 priority 50
set interfaces xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 accept-data
set interfaces xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 virtual-inet6-address 2001:db8::3
set interfaces xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 priority 50
set interfaces xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 accept-data
set interfaces xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 virtual-address 192.0.2.5
set interfaces xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 priority 50
set interfaces xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 accept-data
set interfaces xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 virtual-inet6-address 2001:db8::4
set interfaces xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 priority 50
set interfaces xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 accept-data
手順
スタンドアロンデバイスでVRRPグループを設定するには:
vrrp バージョンを 3 に設定します。
content_copy zoom_out_map[edit protocols vrrp] user@host#
set version-3
ギガビットイーサネットインターフェイスユニット0のファミリーinetアドレスと仮想アドレスを設定します。
content_copy zoom_out_map[edit interfaces] user@host#
set xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 virtual-address 192.0.2.3
user@host#set xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 virtual-inet6-address 2001:db8::3
user@host#set xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 virtual-address 192.0.2.5
user@host#set xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 virtual-inet6-address 2001:db8::4
ギガビット イーサネット インターフェイス ユニット 0 のプライオリティを 50 に設定します。
content_copy zoom_out_map[edit interfaces] user@host#
set xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 priority 50
user@host#set xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 priority 50
user@host#set xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 priority 50
user@host#set xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 priority 50
ギガビットイーサネットインターフェイスユニット0を設定して、仮想IPアドレスに送信されたすべてのパケットを受け入れます。
content_copy zoom_out_map[edit interfaces] user@host#
set xe-5/0/5 unit 0 family inet address 192.0.2.1/24 vrrp-group 0 accept-data
user@host#set xe-5/0/5 unit 0 family inet6 address 2001:db8::1/32 vrrp-inet6-group 2 accept-data
user@host#set xe-5/0/6 unit 0 family inet address 192.0.2.1/24 vrrp-group 1 accept-data
user@host#set xe-5/0/6 unit 0 family inet6 address 2001:db8::5/32 vrrp-inet6-group 3 accept-data
業績
設定モードから、 show interfaces xe-5/0/5
コマンドと show interfaces xe-5/0/6
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces xe-5/0/5
unit 0 {
family inet {
address 192.0.2.1/24 {
vrrp-group 0 {
virtual-address 192.0.2.3;
priority 50;
accept-data;
}
}
}
family inet6 {
address 2001:db8::1/32 {
vrrp-inet6-group 2 {
virtual-inet6-address 2001:db8::3;
priority 50;
accept-data;
}
}
}
}
[edit]
user@host# show interfaces xe-5/0/6
unit 0 {
family inet {
address 192.0.2.1/24 {
vrrp-group 1 {
virtual-address 192.0.2.5;
priority 50;
accept-data;
}
}
}
family inet6 {
address 2001:db8::5/32 {
vrrp-inet6-group 3 {
virtual-inet6-address 2001:db8::4;
priority 50;
accept-data;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
設定が正常に機能していることを確認します。
シャーシ クラスタ デバイスでの VRRP の検証
目的
シャーシ クラスタ デバイスの VRRP が正しく設定されていることを確認します。
アクション
動作モードから、 show vrrp brief
コマンドを入力して、シャーシ クラスタ デバイスの VRRP のステータスを表示します。
user@host> show vrrp brief
Interface State Group VR state VR Mode Timer Type Address
reth0.0 up 0 master Active A 0.149 lcl 192.0.2.3
vip 192.0.2.3
reth0.0 up 2 master Active A 0.155 lcl 2001:db8::2
vip 2001:db8:5eff:fe00:202
vip 2001:db8::2
reth1.0 up 1 master Active A 0.445 lcl 192.0.2.4
vip 192.0.2.4
reth1.0 up 3 master Active A 0.414 lcl 2001:db8::4
vip 2001:db8:5eff:fe00:203
vip 2001:db8::4
意味
サンプル出力では、4 つの VRRP グループがアクティブであり、冗長インターフェイスが正しいプライマリ ロールを引き受けていることがわかります。lcl アドレスはインターフェイスの物理アドレスであり、vip アドレスは冗長インターフェイスによって共有される仮想アドレスです。タイマー値(A 0.149、A 0.155、A 0.445、およびA 0.414)は、冗長インターフェイスがギガビット イーサネット インターフェイスから VRRP アドバタイズメントを受信すると予想される残り時間(秒単位)を示します。タイマーが期限切れになる前にグループ 0、1、2、および 3 のアドバタイズメントが到着しない場合、シャーシ クラスタ デバイスは自身をプライマリとしてアサートします。
スタンドアロンデバイスでのVRRPの検証
目的
スタンドアロン デバイスで VRRP が正しく設定されていることを確認します。
アクション
動作モードから、 show vrrp brief
コマンドを入力して、スタンドアロン デバイスの VRRP のステータスを表示します。
user@host> show vrrp brief
Interface State Group VR state VR Mode Timer Type Address
xe-5/0/5.0 up 0 backup Active D 3.093 lcl 192.0.2.2.1
vip 192.0.2.2
mas 192.0.2.2.2
xe-5/0/5.0 up 2 backup Active D 3.502 lcl 2001:db8::2:1
vip 2001:db8:200:5eff:fe00:202
vip 2001:db8::2
mas 2001:db8:210:dbff:feff:1000
xe-5/0/6.0 up 1 backup Active D 3.499 lcl 192.0.2.5.1
vip 192.0.2.5
mas 192.0.2.5.2
xe-5/0/6.0 up 3 backup Active D 3.282 lcl 2001:db8::5
vip 2001:db8:200:5eff:fe00:203
vip 2001:db8::4
mas 2001:db8:210:dbff:feff:1001
意味
サンプル出力では、4 つの VRRP グループがアクティブであり、ギガビット イーサネット インターフェイスが正しいバックアップ ロールを引き受けていることがわかります。lcl アドレスはインターフェイスの物理アドレスで、vip アドレスはギガビット イーサネット インターフェイスが共有する仮想アドレスです。タイマー値(D 3.093、D 3.502、D 3.499、およびD 3.282)は、ギガビットイーサネットインターフェイスが冗長インターフェイスからVRRPアドバタイズを受信すると予想される残り時間(秒単位)を示します。タイマーが期限切れになる前にグループ 0、1、2、および 3 のアドバタイズメントが到着しない場合、スタンドアロン デバイスは引き続きバックアップ デバイスです。
例:IPv6 の VRRP の設定
この例では、IPv6 の VRRP プロパティを設定する方法を示します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
ルーター 3 台
Junos OS リリース 11.3 以降
- この例は、Junos OSリリース21.1R1で最近更新され、再検証されました。
- 特定のプラットフォームと Junos OS リリースの組み合わせに対する VRRP サポートの詳細については、 Feature Explorerを参照してください。
概要
この例では、IPv6 の仮想アドレスを持つ VRRP グループを使用します。LAN 上のデバイスは、この仮想アドレスをデフォルト ゲートウェイとして使用します。プライマリルーターに障害が発生した場合は、バックアップルーターが引き継ぎます。
VRRP の設定
ルーターAの設定
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 [edit]
階層レベルの CLI にコマンドをコピーして貼り付けます。
set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64 vrrp-inet6-group 1 virtual-inet6-address 2001:db8:1:1::254 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64 vrrp-inet6-group 1 priority 110 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64 vrrp-inet6-group 1 accept-data set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64 vrrp-inet6-group 1 track interface ge-0/0/2 priority-cost 20 set interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8:1:3::1/64 set protocols router-advertisement interface ge-0/0/1.0 virtual-router-only set protocols router-advertisement interface ge-0/0/1.0 prefix 2001:db8:1:1::/64 set routing-options rib inet6.0 static route 0::0/0 next-hop 2001:db8:1:3::2
手順
この例を構成するには:
インターフェイスを設定します。
content_copy zoom_out_map[edit] user@routerA# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64 user@routerA# set interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8:1:3::1/64
IPv6 VRRP グループ識別子と仮想 IP アドレスを設定します。
content_copy zoom_out_map[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64] user@routerA# set vrrp-inet6-group 1 virtual-inet6-address 2001:db8:1:1::254
ルーター B よりも高いルーター A の優先度を設定して、プライマリ仮想ルーターにします。ルーター B は、デフォルトのプライオリティ 100 を使用しています。
content_copy zoom_out_map[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64] user@routerA# set vrrp-inet6-group 1 priority 110
VRRP グループのプライオリティを変更するには、インターネットに接続されたインターフェイスがアップしているか、ダウンしているか、存在しないかを追跡するように
track interface
を設定します。content_copy zoom_out_map[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64] user@routerA# set vrrp-inet6-group 1 track interface ge-0/0/2 priority-cost 20
accept-data
を設定して、プライマリ ルーターが仮想 IP アドレス宛てのすべてのパケットを受信できるようにします。content_copy zoom_out_map[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::1/64] user@routerA# set vrrp-inet6-group 1 accept-data
インターネットへのトラフィックの静的ルートを構成します。
content_copy zoom_out_map[edit] user@routerA# set routing-options rib inet6.0 static route 0::0/0 next-hop 2001:db8:1:3::2
iPv6 向け VRRP の場合、VRRP グループの IPv6 ルーター アドバタイズメントを送信するように VRRP が設定されているインターフェイスを設定する必要があります。インターフェイスが IPv6 ルーター要請メッセージを受信すると、インターフェイスに設定されているすべての VRRP グループに IPv6 ルーター アドバタイズメントを送信します。
content_copy zoom_out_map[edit protocols router-advertisement interface ge-0/0/1.0] user@routerA# set prefix 2001:db8:1:1::/64
グループがプライマリ ステートの場合、インターフェイスに設定された VRRP IPv6 グループに対してのみルーター アドバタイズメントが送信されるように設定します。
content_copy zoom_out_map[edit protocols router-advertisement interface ge-0/0/1.0] user@routerA# set virtual-router-only
業績
設定モードから、 show interfaces
、 show protocols router-advertisement
、および show routing-options
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@routerA# show interfaces ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:1:1::1/64 { vrrp-inet6-group 1 { virtual-inet6-address 2001:db8:1:1::254; priority 110; accept-data; track { interface ge-0/0/2 { priority-cost 20; } } } } } } } ge-0/0/2 { unit 0 { family inet6 { address 2001:db8:1:3::1/64; } } }
[edit] user@routerA# show protocols router-advertisement interface ge-0/0/1.0 { virtual-router-only; prefix 2001:db8:1:1::/64; }
[edit] user@routerA# show routing-options rib inet6.0 { static { route 0::0/0 next-hop 2001:db8:1:3::2; } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
ルーター B の設定
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 [edit]
階層レベルのCLIにコマンドをコピーして貼り付けます。
set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64 vrrp-inet6-group 1 virtual-inet6-address 2001:db8:1:1::254 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64 vrrp-inet6-group 1 priority 110 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64 vrrp-inet6-group 1 accept-data set protocols router-advertisement interface ge-0/0/1.0 virtual-router-only set protocols router-advertisement interface ge-0/0/1.0 prefix 2001:db8:1:1::/64
手順
この例を構成するには:
インターフェイスを設定します。
content_copy zoom_out_map[edit] user@routerB# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64 user@routerB# set interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8:1:4::1/64
IPv6 VRRP グループ識別子と仮想 IP アドレスを設定します。
content_copy zoom_out_map[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64] user@routerB# set vrrp-inet6-group 1 virtual-inet6-address 2001:db8:1:1::254
バックアップ ルーターがプライマリになった場合に、バックアップ ルーターが仮想 IP アドレス宛てのすべてのパケットを受け入れるように
accept-data
を設定します。content_copy zoom_out_map[edit interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1:1::2/64] user@routerB# set vrrp-inet6-group 1 accept-data
インターネットへのトラフィックの静的ルートを構成します。
content_copy zoom_out_map[edit] user@routerB# set routing-options rib inet6.0 static route 0::0/0 next-hop 2001:db8:1:4::2
VRRP グループの IPv6 ルーター アドバタイズメントを送信するように VRRP が設定されているインターフェイスを設定します。インターフェイスが IPv6 ルーター要請メッセージを受信すると、インターフェイスに設定されているすべての VRRP グループに IPv6 ルーター アドバタイズメントを送信します。
content_copy zoom_out_map[edit protocols router-advertisement interface ge-0/0/1.0] user@routerB# set prefix 2001:db8:1:1::/64
グループがプライマリ ステートの場合、インターフェイスに設定された VRRP IPv6 グループに対してのみルーター アドバタイズメントが送信されるように設定します。
content_copy zoom_out_map[edit protocols router-advertisement interface ge-0/0/1.0] user@routerB# set virtual-router-only
業績
設定モードから、 show interfaces
、 show protocols router-advertisement
、および show routing-options
コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@routerB# show interfaces ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:1:1::2/64 { vrrp-inet6-group 1 { virtual-inet6-address 2001:db8:1:1::254; accept-data; } } } } } ge-0/0/2 { unit 0 { family inet6 { address 2001:db8:1:4::1/64; } } }
[edit] user@routerB# show protocols router-advertisement interface ge-0/0/1.0 { virtual-router-only; prefix 2001:db8:1:1::/64; }
[edit] user@routerB# show routing-options rib inet6.0 { static { route 0::0/0 next-hop 2001:db8:1:4::2; } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
ルーター C の設定
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 [edit]
階層レベルのCLIにコマンドをコピーして貼り付けます。
set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:1:1::3/64 set routing-options rib inet6.0 static route 0::0/0 next-hop 2001:db8:1:1::254
検証
- VRRP がルータ A で動作していることを確認する
- VRRP がルータ B で動作していることを確認する
- ルーター C がインターネット トランジット ルーター A に到達したことの確認
- ルータ B が VRRP のプライマリになることを確認する
VRRP がルータ A で動作していることを確認する
目的
VRRP がルータ A でアクティブであり、VRRP グループでのロールが正しいことを確認します。
アクション
VRRP がルータ A でアクティブであること、ルータがグループ 1 のプライマリであること、インターネットに接続されたインターフェイスが追跡されていることを確認するには、次のコマンドを使用します。
user@routerA> show vrrp Interface State Group VR state VR Mode Timer Type Address ge-0/0/1.0 up 1 master Active A 0.690 lcl 2001:db8:1:1::1 vip fe80::200:5eff:fe00:201 vip 2001:db8:1:1::254
user@routerA> show vrrp track Track Int State Speed VRRP Int Group VR State Current prio ge-0/0/2.0 up 1g ge-0/0/1.0 1 master 110
意味
show vrrp
コマンドは、VRRP コンフィギュレーションに関する基本的な情報を表示します。この出力は、VRRP グループがアクティブであり、このルータがプライマリ ロールを引き受けていることを示しています。lcl
アドレスはインターフェイスの物理アドレスで、vip
アドレスは両ルーターが共有する仮想アドレスです。Timer
値(A 0.690
)は、このルーターが他のルーターからVRRPアドバタイズメントを受信すると予想される残り時間(秒単位)を示します。
VRRP がルータ B で動作していることを確認する
目的
VRRP がルータ B でアクティブであり、VRRP グループでのそのロールが正しいことを確認します。
アクション
VRRP がルータ B でアクティブであり、ルータがグループ 1 のバックアップであることを確認するには、次のコマンドを使用します。
user@routerB> show vrrp Interface State Group VR state VR Mode Timer Type Address ge-0/0/1.0 up 1 backup Active D 2.947 lcl 2001:db8:1:1::2 vip fe80::200:5eff:fe00:201 vip 2001:db8:1:1::254 mas fe80::5668:a0ff:fe99:2d7d
意味
show vrrp
コマンドは、VRRP コンフィギュレーションに関する基本的な情報を表示します。この出力は、VRRP グループがアクティブであり、このルータがバックアップ ロールを引き受けていることを示しています。lcl
アドレスはインターフェイスの物理アドレスで、vip
アドレスは両ルーターが共有する仮想アドレスです。Timer
値(D 2.947
)は、このルーターが他のルーターからVRRPアドバタイズメントを受信すると予想される残り時間(秒単位)を示します。
ルーター C がインターネット トランジット ルーター A に到達したことの確認
目的
ルーター C からインターネットへの接続を確認します。
アクション
次のコマンドを使用して、ルーター C がインターネットに到達できることを確認します。
user@routerC> ping 2001:db8:16:255::1 count 2 PING6(56=40+8+8 bytes) 2001:db8:1:1::3 --> 2001:db8:16:255::1 16 bytes from 2001:db8:16:255::1, icmp_seq=0 hlim=63 time=12.810 ms 16 bytes from 2001:db8:16:255::1, icmp_seq=1 hlim=63 time=30.139 ms --- 2001:db8:16:255::1 ping6 statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/std-dev = 12.810/21.474/30.139/8.664 ms
user@routerC> traceroute 2001:db8:16:255::1 traceroute6 to 2001:db8:16:255::1 (2001:db8:16:255::1) from 2001:db8:1:1::3, 64 hops max, 12 byte packets 1 2001:db8:1:1::1 (2001:db8:1:1::1) 9.891 ms 32.353 ms 7.859 ms 2 2001:db8:16:255::1 (2001:db8:16:255::1) 257.483 ms 19.877 ms 7.451 ms
意味
ping
コマンドはインターネットへの到達可能性を示し、traceroute
コマンドはルーター A がトランジット中であることを示します。
ルータ B が VRRP のプライマリになることを確認する
目的
ルーター A とインターネット間のインターフェイスがダウンしたときに、ルーター B が VRRP のプライマリになることを確認します。
アクション
次のコマンドを使用して、ルーター B がプライマリであり、ルーター C がインターネット通過ルーター B に到達できることを確認します。
user@routerA> show vrrp track detail Tracked interface: ge-0/0/2.0 State: down, Speed: 1g Incurred priority cost: 20 Tracking VRRP interface: ge-0/0/1.0, Group: 1 VR State: backup Current priority: 90, Configured priority: 110 Priority hold-time: disabled
user@routerB> show vrrp Interface State Group VR state VR Mode Timer Type Address ge-0/0/1.0 up 1 master Active A 0.119 lcl 2001:db8:1:1::2 vip fe80::200:5eff:fe00:201 vip 2001:db8:1:1::254
user@routerC> traceroute 2001:db8:16:255::1 traceroute6 to 2001:db8:16:255::1 (2001:db8:16:255::1) from 2001:db8:1:1::3, 64 hops max, 12 byte packets 1 2001:db8:1:1::2 (2001:db8:1:1::2) 52.945 ms 344.383 ms 29.540 ms 2 2001:db8:16:255::1 (2001:db8:16:255::1) 46.168 ms 24.744 ms 23.867 ms
意味
show vrrp track detail
コマンドは、ルーター A で追跡対象のインターフェイスがダウンしていること、プライオリティが 90 に低下していること、ルーター A がバックアップになっていることを示しています。show vrrp
コマンドは、ルータ B が現在 VRRP のプライマリであることを示し、traceroute
コマンドはルータ B が現在トランジット中であることを示しています。