![[目次]](FIGURE/CONTENT.GIF)
![[用語]](FIGURE/GLOSS.GIF)
![[索引]](FIGURE/INDEX.GIF)
![[前へ]](FIGURE/FRONT.GIF)
![[次へ]](FIGURE/AFTER.GIF)
解説書 Vol.2
- <この節の構成>
- (1) サポートプロトコル
- (2) VRRPルータに対する通信
- (3) traceroute,traceroute ipv6コマンド
- (4) proxy ARP
- (5) proxy NDP
- (6) ICMP Redirect,ICMPv6 Redirect
- (7) 障害監視インタフェース
- (8) VRRPポーリング
- (9) DHCP/BOOTPリレーエージェント機能との共存
- (10) IPフィルタリング
- (11) 高負荷時
- (12) 相互運用
- (13) 仮想ルータID(VRID)
- (14) コンフィグレーションを削除する場合
- (15) アクセプトモードを使用するときの注意事項
- (16) IPv6送信タイプ指定時の注意事項
- (17) IPv6 VRRPとRAの連携について
- (18) マスタ状態への多数の同時遷移について
- (19) マルチキャストルーティングプロトコルとの共存
- (20) メッセージに関する注意事項
- (21) show vlanコマンドに関する注意事項
(1) サポートプロトコル
VRRP機能を使用できるプロトコルはIPv4およびIPv6だけです。また,仮想ルータを構成する複数のルータ間はVRRPを使用するプロトコルによって相互に通信できる必要があります。
なお,規格上IPv6の場合,仮想ルータへはリンクローカルアドレスだけ設定可能ですが,本装置ではグローバルアドレス(サイトローカルアドレスを含む)も設定可能です。
(2) VRRPルータに対する通信
VRRPルータに対する通信(ping,ping ipv6,telnet,ftpなど)はルータのインタフェースに割り当てられている実IPアドレス宛てで行う必要があります。仮想ルータのIPアドレスの場合,実IPアドレスと仮想ルータのIPアドレスが同一であるアドレス所有者のルータがマスタ状態のときには通信できますが,それ以外の場合には通信できません。
ただし,アクセプトモードを設定した場合は,IPv4のping通信が可能です。
(3) traceroute,traceroute ipv6コマンド
VRRPルータから送信されるIPパケットの送信元アドレスは仮想ルータのIPアドレスではなく,ルータの実IPアドレスです。そのため,配下のホストから仮想ルータを通過する宛先アドレスに対してtracerouteまたはtraceroute ipv6コマンドを実行した場合,マスタ状態となっているVRRPルータの実IPアドレスが経路中のルータのIPアドレスとして表示されます。
(4) proxy ARP
VRRPを設定しているイーサネットインタフェースからproxy ARPによる応答を行う場合,仮想ルータのMACアドレスを使用して応答します。物理的に割り当てられるMACアドレスでは応答しません。
(5) proxy NDP
VRRPを設定しているイーサネットインタフェースからproxy NDPによる応答を行う場合,物理的に割り当てられるMACアドレスを使用して応答します。
(6) ICMP Redirect,ICMPv6 Redirect
VRRPを設定しているインタフェース上ではICMP RedirectおよびICMPv6 Redirectメッセージの送信は抑止されます。
(7) 障害監視インタフェース
障害監視インタフェースにはIPの定義を行ってください。障害監視インタフェースダウン時の優先度を0(デフォルト)に設定した場合に障害監視インタフェースがダウンすると,VRRPを設定しているインタフェースもダウン状態になります。また,障害監視インタフェースを複数設定している場合,仮想ルータの優先度からダウンした障害監視インタフェースの優先度を下げる値の合計を減算した結果,優先度が0となった場合も同様に,VRRPを設定しているインタフェースもダウン状態になります。同一回線内に複数のVLANインタフェースを収容している場合,VRRPを設定しているVLANインタフェースだけがダウン状態になります。同一回線内のほかのVLANインタフェースは影響を受けません。
一つのインタフェースに複数のVRRP定義を行う場合で,各VRRP定義に対してそれぞれ個別の障害監視インタフェースを定義し,その障害監視インタフェースダウン時の優先度を0とした場合,該当するインタフェースに定義されているVRRPの障害インタフェースのうち一つでもダウン状態になると,そのインタフェースはそのほかの障害監視インタフェースの状態に関係なくダウン状態になります。その場合,同一インタフェースに定義されているそのほかのVRRPの動作にも影響が発生するため,障害監視インタフェースダウン時の優先度を0とする障害監視インタフェースの指定を行う場合,一つのインタフェースには一つのVRRPを定義することをお勧めします。
一つのインタフェースに複数のVRRPを定義し,障害監視インタフェースダウン時の優先度を0とする障害監視インタフェースを指定する場合,各VRRPの障害監視インタフェース定義にはすべて同一のインタフェースを指定してください。
(8) VRRPポーリング
VRRPポーリングは,障害監視インタフェースを送信インタフェースとします。障害監視インタフェースのIPアドレスと宛先IPアドレスは,相互に通信できるIPアドレスを設定してください。相互に通信できないIPアドレスを設定した場合は,VRRPポーリングは障害と判定します。
コンフィグレーションで指定する障害監視インタフェースと,宛先IPアドレスまでの経路は,ルーティングテーブルに依存します。ルーティングプロトコルによって正しい経路を設定してください。
受信インタフェースチェックオプション(コンフィグレーションコマンドvirtual-routerのcheck-reply-interfaceサブコマンド)を指定している場合,送信インタフェースと受信インタフェースが不一致の場合はパケットを破棄します。このため,通信可能状態でも障害と判定する場合があります。受信インタフェースチェックオプションはデフォルトでは無効です。
VRRPポーリングが送信するICMPパケットは自装置内では優先されますが,他ルータでは優先されません。このため,ネットワーク過負荷時に障害と判定する場合があります。これを回避するには,VRRPポーリングのパケットをQoSなどで優先するように設定してください。
(9) DHCP/BOOTPリレーエージェント機能との共存
DHCP/BOOTPリレーエージェント機能とVRRP機能を同一インタフェースで同時に運用する場合は,DHCP/BOOTPサーバで,DHCP/BOOTPクライアントゲートウェイアドレス(ルータオプション)を本装置に設定した仮想ルータアドレスに設定する必要があります。設定方法の詳細については,「コンフィグレーションガイド 8.4.6 DHCP/BOOTPリレーとVRRP連携」を参照してください。
(10) IPフィルタリング
VRRPを設定したインタフェースで,VRRPのADVERTISEMENTパケットを廃棄するフィルタリングを設定しないでください。VRRPのADVERTISEMENTパケットは,IPv4の場合は宛先アドレスが224.0.0.18,送信元アドレスがマスタルータの実IPv4アドレスに,IPv6の場合は宛先アドレスがff02::12,送信元アドレスがマスタルータのリンクローカルアドレスに,プロトコル番号はIPv4およびIPv6ともに112になります。
(11) 高負荷時
仮想ルータを多数設定したとき,VRRPのADVERTISEMENTパケットの送信間隔がデフォルト値(1秒)の場合は,マスタ/バックアップの関係が切り替わることがあります。その場合は,ADVERTISEMENTパケットの送信間隔を調整してください。
ADVERTISEMENTパケットの送信間隔の目安値は次のように計算してください。
VRRP数×物理インタフェース数÷200 <= ADVERTISEMENTパケットの送信間隔(端数切り上げ)
- VRRP数
コンフィグレーションに定義してあるVRRPの数
- 物理インタフェース数
VRRPを定義してあるインタフェースに複数の物理インタフェースを定義している場合,その中の最も多い物理インタフェースの数
表6-3 ADVERTISEMENTパケットの送信間隔(参考値)
物理インタフェース数 VRRP数 1 5 10 50 100 150 200 255 1 1 1 1 1 1 1 1 2 5 1 1 1 2 3 4 5 7 10 1 1 1 3 5 8 10 13 注 単位は秒です。
なお,この値はあくまでも目安であり,ネットワークの運用方法によっては目安値以上でADVERTISEMENTパケットの送信が必要な場合もあります。また,環境によっては目安値よりも小さい間隔で利用できる場合もありますので,事前に評価した上でご使用ください。
また,copy mcコマンドやppupdateコマンド実行時には,RMのCPU使用率が上昇しマスタ/バックアップの関係が切り替わる場合があります。CPU高負荷時の切り替えを抑止したい場合は,ADVERTISEMENTパケットの送信間隔を調整してください。
(12) 相互運用
Cisco社ルータに搭載されているHSRP(Hot Standby Router Protocol)とは相互運用できません。
(13) 仮想ルータID(VRID)
- AX7800Sの場合
- NE1GSHP-4S,NE10G-1ER,NE10G-1EW,NE10G-LWのどれかのNIFを使用し,同一物理ポート内に複数の仮想ルータを定義する場合,VRIDの指定に下記制限事項がありますので注意願います。
- VRIDは(1〜7)(8〜15)(16〜23)...(248〜255)の8個幅の32グループに分けられ,同一物理ポート内には既に定義済みのVRIDと同じグループに属するVRIDは設定できません。例えば,VRID1の仮想ルータを定義したポートでは2個目の仮想ルータにVRID2〜7を指定することはできません。VRID8〜255の中から選択してください。なお,異なる物理ポートであれば,VRID1〜7は使用可能です。
- 上記NIF以外を使用した場合は上記制限事項が解除されます。
- しかし,同一物理ポートに同じVRIDを設定すると,該当VRRPを使用した通信ができないおそれがありますので,同一物理ポートに同じVRIDは設定しないでください。
- 8個幅の同じグループに複数の仮想ルータが設定されているコンフィグレーションで上記未対応NIFを使用し起動した場合,仮想ルータをすべて削除し再設定するか,対応NIFに交換してください。
- AX5400Sの場合
- BSU-C1,BSU-S1のどれかのBSUを使用し,同一物理ポート内に複数の仮想ルータを定義する場合,VRIDの指定に下記制限事項がありますので注意願います。
- VRIDは(1〜7)(8〜15)(16〜23)...(248〜255)の8個幅の32グループに分けられ,同一物理ポート内には既に定義済みのVRIDと同じグループに属するVRIDは設定できません。例えば,VRID1の仮想ルータを定義したポートでは2個目の仮想ルータにVRID2〜7を指定することはできません。VRID8〜255の中から選択してください。なお,異なる物理ポートであれば,VRID1〜7は使用可能です。
- 上記BSU以外を使用した場合は上記制限事項が解除されます。
- しかし,同一物理ポートに同じVRIDを設定すると,該当VRRPを使用した通信ができないおそれがありますので,同一物理ポートに同じVRIDは設定しないでください。
- 8個幅の同じグループに複数の仮想ルータが設定されているコンフィグレーションで上記未対応BSUを使用し起動した場合,仮想ルータをすべて削除し再設定するか,対応BSUに交換してください。
(14) コンフィグレーションを削除する場合
VRRPのコンフィグレーションを削除した場合,本装置に接続されていたホストが一時的に通信不可となる場合があります。ホストのARP/NDPエントリに本装置のIPに対して仮想MACを学習していた場合,通信不可となります。復旧するにはホストのARP/NDPエントリをクリアしてください。
(15) アクセプトモードを使用するときの注意事項
アクセプトモードはIPv4およびIPv6のPing応答に使用することを前提としています。そのほかのアプリケーション(telnet,ftp,SNMPなど)は,サポートしていません。
(16) IPv6送信タイプ指定時の注意事項
IPv6の送信タイプでietf-ipv6-spec-07-modeの設定を行うためには,VRIDの設定に制限のないNIFを使用してください。VRIDの設定に制限のあるNIFについては,「(13) 仮想ルータID(VRID)」を参照してください。
(17) IPv6 VRRPとRAの連携について
IPv6 VRRPを設定したインタフェースでRA(Router Advertisement)が有効になっている場合,RAはVRRPと連携して次のように動作します。
- RAはIPv6 VRRPのマスタルータとなっている場合だけ情報を配布します。
- RAパケットのMACヘッダの送信元MACアドレスは,仮想ルータに設定した仮想MACアドレスになります。
- RAパケットのIPv6ヘッダの送信元IPv6アドレスは,仮想ルータに設定した仮想IPv6アドレスになります。
これによって,端末はIPv6自動構成機能で,仮想ルータをデフォルトルータとすることができます。
ただし,次のような場合,端末の動作によってはRAを使用したネットワーク運用に支障がでることがあるので注意してください。
- 一つのインタフェースに複数の仮想ルータを設定した場合,最初の仮想ルータとだけ連携します。したがって,負荷分散のためにVRRPを使用する場合,各端末でデフォルトルータを手動で設定してください。
- 仮想IPv6アドレスにリンクローカルアドレスではなくグローバルアドレスを設定した場合,RAの送信元IPv6アドレスにはリンクローカルアドレスが必要なため,RAの送信元IPv6アドレスには仮想IPv6アドレスではなくインタフェースに固有のリンクローカルアドレスを使用します。このため,VRRPとRAの連携動作はできません。VRRPとRAを連携させる運用をする場合は,仮想IPv6アドレスにグローバルアドレスを設定しないでください。
(18) マスタ状態への多数の同時遷移について
本装置で,装置の再起動などによって多数の仮想ルータが同時にマスタ状態に遷移する場合に,対向装置がバックアップ状態になるまでの間,一時的に不安定になるおそれがあります。これを回避するには,コンフィグレーションコマンドvirtual-routerのmaster-transition-delayサブコマンドで,仮想ルータの状態が同時に遷移しないように設定してください。
目安として,180個以上の仮想ルータがマスタ状態になるよう設定している場合には,master-transition-delayサブコマンドで,同時にマスタ状態に遷移する仮想ルータの数を30個以内にしてください。
- (例)
- VRID 1〜30の仮想ルータに,master-transition-delay 1を設定
- VRID 31〜60の仮想ルータに,master-transition-delay 2を設定
- VRID 61〜90の仮想ルータに,master-transition-delay 3を設定
- VRID 91〜120の仮想ルータに,master-transition-delay 4を設定
- VRID 121〜150の仮想ルータに,master-transition-delay 5を設定
- VRID 151〜180の仮想ルータに,master-transition-delay 6を設定
なお,運用条件やネットワーク構成によっては,同時にマスタ状態に遷移する仮想ルータの数や,master-transition-delayサブコマンドで設定する時間を調整する必要があります。
(19) マルチキャストルーティングプロトコルとの共存
マルチキャストルーティングプロトコルと共存させる場合は,IPv4マルチキャストソフト処理パケット制御機能,およびIPv6マルチキャストソフト処理パケット制御機能でソフトウェアへの転送数を200packet/s以下にしてください。
(20) メッセージに関する注意事項
次の場合に不正なログを出力することがあります。ただし,仮想ルータの状態は正常なため,運用には問題ありません。
- 初期状態で障害監視インタフェースを監視している仮想ルータを削除した場合,該当する仮想ルータのUPが通知されることがあります。
- 障害監視インタフェースを監視している仮想ルータで,最初のイベントが仮想ルータを設定しているインタフェースのダウンである場合,該当する仮想ルータのUPが通知されることがあります。
- 二重化構成でコンフィグレーションを変更または保存した場合,障害監視インタフェースを監視している仮想ルータについて,待機系で該当する仮想ルータのUPが通知されることがあります。
(21) show vlanコマンドに関する注意事項
VRRPで障害監視インタフェースを設定して,障害監視インタフェースがダウンした結果,仮想ルータの優先度が0になった場合,VRRPを設定しているインタフェースもダウン状態になりますがshow vlanコマンドではUp状態と表示します。これはコマンドの表示だけであり,通信への影響はありません。
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.