Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

シャーシクラスター内の集合型イーサネットインターフェイス

IEEE 802.3ad リンク アグリゲーションを使用すると、イーサネット インターフェイスをグループ化して、リンク アグリゲーション グループ(LAG)またはバンドルとも呼ばれる単一のリンク層インターフェイスを形成できます。Reth LAGインターフェイスは、rethインターフェイスとLAGインターフェイスの特性を組み合わせたものです。詳細については、次のトピックを参照してください。

シャーシ クラスタでの LACP について

複数の物理イーサネットポートを組み合わせて、リンクアグリゲーショングループ(LAG)またはバンドルと呼ばれる論理ポイントツーポイントリンクを形成し、メディアアクセス制御(MAC)クライアントがLAGを単一のリンクであるかのように扱うことができます。

シャーシ クラスタ内のノード間で LAG を確立して、インターフェイス帯域幅とリンクの可用性を高めることができます。

リンクアグリゲーション制御プロトコル(LACP)は、LAGの追加機能を提供します。LACPは、集約型イーサネットインターフェイスがサポートされるスタンドアロン展開と、集約型イーサネットインターフェイスと冗長イーサネットインターフェイスが同時にサポートされるシャーシクラスター展開でサポートされます。

冗長イーサネットインターフェイスにLACPを設定するには、 lacp ステートメントで親リンクのLACPモードを設定します。LACP モードは、オフ(デフォルト)、アクティブ、またはパッシブにすることができます。

このトピックは、以下のセクションで構成されています。

シャーシクラスタ冗長イーサネットインターフェイスリンクアグリゲーショングループ

冗長イーサネットインターフェイスには、シャーシクラスタ内の2つのノードに配置されたアクティブリンクとスタンバイリンクがあります。すべてのアクティブ リンクは 1 つのノードに配置され、すべてのスタンバイ リンクはもう 1 つのノードに配置されます。ノードごとに最大 8 つのアクティブ リンクと 8 つのスタンバイ リンクを設定できます。

各ノードからの少なくとも 2 つの物理子インターフェイス リンクが冗長イーサネット インターフェイス構成に含まれている場合、インターフェイスは冗長イーサネット インターフェイス内で結合され、冗長イーサネット インターフェイス LAG を形成します。

複数のアクティブな冗長イーサネット インターフェイス リンクを持つことで、フェイルオーバーの可能性が減少します。例えば、アクティブリンクがアウトオブサービスの場合、冗長イーサネットアクティブ/スタンバイフェイルオーバーをトリガーするのではなく、このリンク上のすべてのトラフィックが他のアクティブな冗長イーサネットインターフェイスリンクに分散されます。

ローカルLAGと呼ばれる集合型イーサネットインターフェイスは、シャーシクラスターのどちらのノードでもサポートされていますが、冗長イーサネットインターフェイスに追加することはできません。同様に、既存のローカルLAGの子インターフェイスを冗長イーサネットインターフェイスに追加したり、その逆もできません。クラスタあたりの個別ノード LAG インターフェイス(ae)と冗長イーサネット(reth)インターフェイスの合計の最大数は 128 です。

ただし、冗長イーサネットインターフェイスの機能はJunos OSの集合型イーサネットフレームワークに依存しているため、集約型イーサネットインターフェイスと冗長イーサネットインターフェイスは共存可能です。

詳細については、 シャーシ クラスタ冗長イーサネット インターフェイス リンク アグリゲーション グループについてを参照してください。

最小リンク数

冗長イーサネットインターフェイス設定には、インターフェイスが稼働するためにプライマリノードで動作している必要がある冗長イーサネットインターフェイスLAG内の物理子リンクの最小数を設定できる minimum-links 設定が含まれます。デフォルトの minimum-links 値は 1 です。冗長イーサネットインターフェイスのプライマリノード上の物理リンクの数が minimum-links 値を下回ると、一部のリンクがまだ機能していてもインターフェイスがダウンしている可能性があります。詳細については、 例:シャーシ クラスタの最小リンク数の設定を参照してください。

サブLAG

LACP はポイントツーポイントの LAG を維持します。3 番目のポイントに接続されているポートは拒否されます。ただし、冗長イーサネットインターフェイスは、設計上、2つの異なるシステムまたは2つのリモート集合型イーサネットインターフェイスに接続します。

冗長イーサネットインターフェイスのアクティブおよびスタンバイリンクでLACPをサポートするために、すべてのアクティブリンクがアクティブサブLAGを形成し、すべてのスタンバイリンクがスタンバイサブLAGを形成する2つの異なるサブLAGで構成される冗長イーサネットインターフェイスが自動的に作成されます。

このモデルでは、LACP 選択ロジックが適用され、一度に 1 つのサブ LAG に制限されます。このようにして、2つの冗長イーサネットインターフェイスサブLAGが同時に維持され、各サブLAGについてLACPの利点がすべて維持されます。

集約リンクがそのように認識され、トラフィックを正しく通過させるためには、クラスタ内のノード間のノードを接続するために使用されるスイッチにLAGリンクが設定され、両方のノードの各LAGに対して802.3adが有効になっている必要があります。

シャーシ クラスタ内の各ノードからの冗長イーサネット インターフェイス LAG 子リンクは、ピア デバイスの異なる LAG に接続する必要があります。単一のピアスイッチを使用して冗長イーサネットインターフェイスLAGを終端する場合は、スイッチ内で2つの別々のLAGを使用する必要があります。

ヒットレスフェイルオーバーのサポート

LACPを使用すると、冗長イーサネットインターフェイスは通常動作中のアクティブリンクとスタンバイリンク間のヒットレスフェイルオーバーをサポートします。 ヒットレス という用語は、フェイルオーバー中も冗長イーサネットインターフェイスの状態がアップのままであることを意味します。

lacpd プロセスは、冗長イーサネット インターフェイスのアクティブ リンクとスタンバイ リンクの両方を管理します。冗長イーサネット インターフェイスの状態は、アクティブなアップ リンクの数が設定された最小リンクの数以上の場合、アップのままになります。したがって、ヒットレス フェイルオーバーをサポートするには、フェールオーバーが発生する前に、冗長イーサネット インターフェイス スタンバイ リンクの LACP 状態を収集して分散する必要があります。

リンクアグリゲーション制御PDUの管理

プロトコル データ ユニット(PDU)には、リンクの状態に関する情報が含まれています。デフォルトでは、集約型イーサネットリンクおよび冗長イーサネットリンクは、リンクアグリゲーション制御PDUを交換しません。

PDU 交換は、以下の方法で設定できます。

  • リンクアグリゲーション制御PDUをアクティブに送信するためのイーサネットリンクの設定

  • イーサネットリンクがPDUを受動的に送信するように設定し、リンクアグリゲーション制御PDUを同じリンクのリモートエンドから受信した場合にのみ送信します

子リンクのローカルエンドはアクターと呼ばれ、リンクのリモートエンドはパートナーと呼ばれます。つまり、アクターはリンクアグリゲーション制御PDUをプロトコルパートナーに送信し、アクターが自身の状態とパートナーの状態について知っていることを伝えます。

リンクのリモート側のインターフェイスがリンク集約制御PDUを送信する間隔を設定するには、ローカル側のインターフェイスで periodic ステートメントを設定します。リモート側の動作を指定するのは、ローカル側の構成です。つまり、リモート側は、指定された間隔でリンクアグリゲーション制御PDUを送信します。間隔は、 fast (毎秒) または slow (30 秒ごと) にすることができます。

詳細については、 例:シャーシ クラスタでの LACP の設定を参照してください。

デフォルトでは、アクターとパートナーは1秒ごとにリンクアグリゲーション制御PDUを送信します。アクティブ インターフェイスとパッシブ インターフェイスで異なる周期レートを設定することができます。アクティブとパッシブのインターフェイスを異なるレートで設定した場合、トランスミッターはレシーバーのレートを優先します。

例:シャーシ クラスタでの LACP の設定

この例では、シャーシ クラスタで LACP を設定する方法を示します。

必要条件

始める前に:

シャーシ クラスタの有効化、インターフェイスと冗長性グループの設定などのタスクを実行します。詳細については、 SRXシリーズ シャーシ クラスタ設定の概要例:シャーシ クラスタ冗長イーサネット インターフェイスの設定 を参照してください。

概要

複数の物理イーサネットポートを組み合わせて、リンクアグリゲーショングループ(LAG)またはバンドルと呼ばれる論理的なポイントツーポイントリンクを形成することができます。シャーシ クラスタ内の SRX シリーズ ファイアウォールの冗長イーサネット インターフェイスで LACP を設定します。

この例では、reth1インターフェイスのLACPモードをアクティブに設定し、リンクアグリゲーション制御PDUの送信間隔を低速(30秒ごと)に設定します。

LACPを有効にすると、集合型イーサネットリンクのローカルおよびリモート側が、リンクの状態に関する情報を含むPDU(プロトコルデータユニット)を交換します。イーサネットリンクがPDUを能動的に送信するように設定することも、リンクが受動的に送信するように設定することもできます(LACPPDUは、他のリンクから受信した場合にのみ送信します)。リンクの片側はリンクを立ち上げるためにアクティブとして設定する必要があります。

図 1 に、この例で使用するトポロジを示します。

図1:シャーシクラスター内のSRXシリーズファイアウォールをEXシリーズスイッチに接続するLAGのトポロジTopology for LAGs Connecting SRX Series Firewalls in Chassis Cluster to an EX Series Switch

図 1 では、ノード 0 とノード 1 のインターフェイスを設定するために、SRX1500 デバイスを使用しています。EXシリーズのスイッチ設定の詳細については、 アグリゲート イーサネットLACPの設定(CLI手順)を参照してください。

構成

シャーシ クラスタでの LACP の設定

手順

シャーシクラスタでLACPを設定するには、次の手順に従います。

  1. 冗長イーサネットインターフェイスの数を指定します。

  2. クラスターの各ノードでの優位性に対する冗長グループの優先順位を指定します。大きい方の番号が優先されます。

  3. セキュリティ ゾーンを作成し、インターフェイスをゾーンに割り当てます。

  4. 冗長な子物理インターフェイスを reth1 にバインドします。

  5. 冗長グループ 1 に reth1 を追加します。

  6. LACPをreth1に設定します。

  7. reth1 に IP アドレスを割り当てます。

  8. 集合型イーサネットインターフェイス(ae1)にLACPを設定します。

  9. 集合型イーサネットインターフェイス(ae2)にLACPを設定します。

  10. デバイスの設定が完了したら、設定をコミットします。

業績

設定モードから、 show chassisshow security zones、および show interfaces コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

EX シリーズ スイッチで LACP を構成する

手順

EX シリーズ スイッチで LACP を設定します。

  1. 集合型イーサネットインターフェイスの数を設定します。

  2. 物理インターフェイスを集合型イーサネットインターフェイスに関連づけます。

  3. 集合型イーサネットインターフェイス(ae1)にLACPを設定します。

  4. 集合型イーサネットインターフェイス(ae2)にLACPを設定します。

  5. VLAN を構成します。

業績

設定モードから、 show chassis コマンドと show interfaces コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

検証

冗長イーサネットインターフェイスでのLACPの検証

目的

冗長イーサネットインターフェイスの LACP ステータス情報を表示します。

アクション

動作モードから、 show chassis cluster status コマンドを入力します。

動作モードから、 show lacp interfaces reth1 コマンドを入力します。

出力には、以下のような冗長イーサネットインターフェイス情報が表示されます。

  • LACP 状態—バンドル内のリンクがアクター(リンクのローカルまたは近端)かパートナー(リンクのリモートまたは遠端)かどうかを示します。

  • LACPモード—集合型イーサネットインターフェイスの両端が有効(アクティブかパッシブか)を示します—バンドルの少なくとも一方の端がアクティブである必要があります。

  • 周期的リンクアグリゲーション制御PDUの送信レート。

  • LACPプロトコルの状態—パケットを収集および配信している場合、リンクが稼働していることを示します。

SRXシリーズファイアウォールのVRRPを理解する

SRXシリーズファイアウォールは、IPv6のVRRP(仮想ルーター冗長プロトコル)とVRRPをサポートしています。このトピックでは、次の内容について説明します。

SRXシリーズファイアウォールでのVRRPの概要

静的なデフォルトルートを使用してネットワーク上のエンドホストを設定することで、設定の労力と複雑さを最小限に抑え、エンドホストの処理オーバーヘッドを軽減します。ホストが静的ルートで構成されている場合、デフォルト ゲートウェイの障害は通常、致命的なイベントが発生し、ゲートウェイへの使用可能な代替パスを検出できないすべてのホストが分離されます。VRRP(仮想ルーター冗長プロトコル)を使用することで、プライマリゲートウェイに障害が発生した場合、エンドホストに代替ゲートウェイを動的に提供することができます。

SRXシリーズファイアウォール上のギガビットイーサネットインターフェイス、10ギガビットイーサネットインターフェイス、および論理インターフェイス上のIPv6向けに、仮想ルーター冗長プロトコル(VRRP)またはVRRPを設定できます。VRRP を使用すると、LAN 上のホストは、ホスト上の 1 つのデフォルト ルートの静的な設定以上のものを必要とせずに、その LAN 上の冗長デバイスを利用できます。VRRP で設定されたデバイスは、ホスト上で設定されたデフォルト ルートに対応する IP アドレスを共有します。常に、VRRP 設定されたデバイスの 1 つがプライマリ(アクティブ)になり、他のデバイスがバックアップになります。プライマリ デバイスに障害が発生すると、バックアップ デバイスの 1 つが新しいプライマリになり、仮想デフォルト デバイスが提供され、単一のデバイスに依存せずに LAN 上のトラフィックをルーティングできるようになります。VRRPを使用することで、バックアップSRXシリーズのファイアウォールが、障害が発生したデフォルトデバイスを数秒以内に引き継ぐことができます。これは、VRRP トラフィックの損失を最小限に抑え、ホストとの対話なしで行われます。仮想ルーター冗長プロトコルは、管理インターフェイスではサポートされていません。

IPv6 向け VRRP は、IPv6 の近隣探索(ND)手順よりも、代替デフォルト デバイスへのスイッチオーバーがはるかに高速です。IPv6 の VRRP は、 authentication-type または authentication-key ステートメントをサポートしていません。

VRRP を実行しているデバイスは、プライマリ デバイスとバックアップ デバイスを動的に選択します。また、1 から 255 までの優先順位を使用して、プライマリ デバイスとバックアップ デバイスを強制的に割り当てることもできます ( 255 が最優先)。VRRP 動作では、デフォルトのプライマリ デバイスが一定の間隔でバックアップ デバイスにアドバタイズを送信します。デフォルトの間隔は 1 秒です。バックアップ デバイスが一定期間アドバタイズメントを受信しない場合、プライオリティが最も高いバックアップ デバイスがプライマリとして引き継ぎ、パケットの転送を開始します。

バックアップ デバイスは、優先度が高くない限り、プライマリ デバイスのプリエンプションを試行しません。これにより、より優先されるパスが使用可能にならない限り、サービスの中断がなくなります。VRRP デバイスが所有するアドレスに関連づけられたデバイスのプライマリ デバイスになることは除きます。すべてのプリエンプションの試行を管理上禁止できます。

VRRP は、メンバー間のセッション同期をサポートしていません。プライマリ デバイスに障害が発生すると、優先度が最も高いバックアップ デバイスがプライマリとして引き継ぎ、パケットの転送を開始します。既存のセッションは、アウトオブステートとしてバックアップ デバイスにドロップされます。

RVI(ルーテッドVLANインターフェイス)に優先度255を設定することはできません。

VRRP は、RFC 3768、 Virtual Router Redundancy Protocolで定義されています。

VRRPのメリット

  • VRRP は、障害が発生した場合に、デバイス間で IP アドレスの動的なフェイルオーバーを提供します。

  • VRRP を実装することで、エンド ホストでダイナミック ルーティングやルーター検出プロトコルを設定することなく、可用性の高いゲートウェイへのデフォルト パスを提供できます。

VRRP トポロジーの例

図2は、SRXシリーズファイアウォールを使用した基本的なVRRPトポロジーを示しています。この例では、デバイス A とデバイス B は VRRP を実行しており、仮想 IP アドレス 192.0.2.1 を共有しています。各クライアントのデフォルト ゲートウェイは 192.0.2.1 です。

図2 SRXシリーズスイッチの基本VRRP Basic VRRP on SRX Series Switches

以下に、 図 2 を参考にして、VRRP の基本的な動作を示します。

  1. いずれかのサーバーが LAN 外にトラフィックを送信する場合、デフォルト ゲートウェイ アドレス 192.0.2.1 にトラフィックを送信します。これは、VRRP グループ 100 が所有する仮想 IP アドレス(VIP)です。デバイス A はグループのプライマリであるため、VIP はデバイス A の「実際の」アドレス 192.0.2.251 に関連付けられ、サーバーからのトラフィックは実際にこのアドレスに送信されます。(デバイス A は、より高いプライオリティ値で設定されているため、プライマリです)。

  2. デバイスAに障害が発生し、サーバーとの間でトラフィックを転送できない場合(LANに接続されたインターフェイスに障害が発生した場合)、デバイスBがプライマリになり、VIPの所有権を引き継ぎます。サーバーは引き続き VIP にトラフィックを送信しますが、VIP はデバイス B の「実際の」アドレス 192.0.2.252 に関連付けられているため(プライマリの変更のため)、トラフィックはデバイス A ではなくデバイス B に送信されます。

  3. デバイス A の障害の原因となった問題が修正されると、デバイス A が再びプライマリになり、VIP の所有権が再アサートされます。この場合、サーバーはデバイス A へのトラフィックの送信を再開します。

デバイスAとデバイスBへのトラフィック送信を切り替えるために、サーバーの構成を変更する必要はありません。VIP が 192.0.2.251 と 192.0.2.252 の間を移動すると、通常の TCP-IP 動作によって変更が検出され、サーバーでの構成や介入は必要ありません。

VRRPv3をサポートするSRXシリーズファイアウォール

VRRPv3 を使用する利点は、VRRPv3 が IPv4 アドレス ファミリと IPv6 アドレス ファミリの両方をサポートするのに対し、VRRP は IPv4 アドレスのみをサポートすることです。

VRRPv3(IPv4)は以前のバージョンのVRRPと相互運用できないため、ネットワーク内のVRRPで設定されたすべてのデバイスでVRRPv3を有効にできる場合にのみ、ネットワークでVRRPv3を有効にします。たとえば、VRRPv3 が有効になっているデバイスが VRRP IPv4 アドバタイズメント パケットを受信した場合、デバイスはバックアップ ステートに移行し、ネットワーク内に複数のプライマリが作成されないようにします。

VRRPv3 を有効にするには、 [edit protocols vrrp] 階層レベルでバージョン 3 ステートメントを設定します(IPv4 または IPv6 ネットワークの場合)。LAN 上のすべての VRRP デバイスに同じプロトコル バージョンを設定します。

VRRPv3 機能の制限事項

VRRPv3 機能の制限を次に示します。

VRRPv3認証

VRRPv3(IPv4用)が有効になっている場合、認証は許可されません。

  • authentication-type および authentication-key ステートメントは、どの VRRP グループにも設定できません。

  • 非 VRRP 認証を使用する必要があります。

VRRPv3 アドバタイズ間隔

VRRPv3(IPv4およびIPv6用)アドバタイズ間隔は、[ edit interfaces interface-name, unit 0, family inet address, ip-address, vrrp-group group-name] 階層レベルでfast-intervalステートメントで設定する必要があります。

  • advertise-interval ステートメントは使用しないでください(IPv4 の場合)。

  • inet6-advertise-interval ステートメントは使用しないでください(IPv6 の場合)。

VRRP フェイルオーバー遅延の概要

フェイルオーバーは、障害やスケジュールされたダウンタイムが原因でプライマリデバイスが使用できなくなったときに、ネットワークデバイスの機能をセカンダリデバイスに引き継ぐバックアップ運用モードです。フェイルオーバーは、通常、ネットワーク上で常に利用可能でなければならないミッションクリティカルなシステムにとって不可欠な部分です。

VRRP は、メンバー間のセッション同期をサポートしていません。プライマリ デバイスに障害が発生すると、優先度が最も高いバックアップ デバイスがプライマリとして引き継ぎ、パケットの転送を開始します。既存のセッションは、アウトオブステートとしてバックアップ デバイスにドロップされます。

高速フェールオーバーには短い遅延が必要です。したがって、フェイルオーバー遅延は、IPv6 操作の VRRP および VRRP のフェイルオーバー遅延時間をミリ秒単位で設定します。Junos OSは、フェイルオーバー時間の遅延について、50〜100000ミリ秒の範囲をサポートします。

ルーティング エンジン上で実行されている VRRP プロセス(vrrpd)は、VRRP セッションごとに VRRP プライマリ ロールの変更をパケット転送エンジンに伝えます。各 VRRP グループは、このような通信をトリガーして、パケット転送エンジンを独自の状態またはアクティブな VRRP グループから継承された状態に更新できます。このようなメッセージでパケット転送エンジンが過負荷になるのを避けるために、フェイルオーバー遅延を設定して、後続のルーティングエンジンからパケット転送エンジンへの通信間の遅延を指定できます。

ルーティング エンジンは、パケット転送エンジン ハードウェア フィルタや VRRP セッションの再プログラミングなど、パケット転送エンジンで必要な状態変更を容易にするために、VRRP プライマリ ロールの変更をパケット転送エンジンに伝えます。以下のセクションでは、ルーティング エンジンからパケット転送エンジンへの通信について、2 つのシナリオで詳しく説明します。

フェイルオーバー遅延が設定されていない場合

フェイルオーバー遅延が設定されていない場合、ルーティング エンジンから動作する VRRP セッションのイベントのシーケンスは次のようになります。

  1. ルーティング エンジンによって検出された最初の VRRP グループの状態が変化し、新しい状態がプライマリである場合、ルーティング エンジンは適切な VRRP アナウンス メッセージを生成します。パケット転送エンジンには状態変化が通知されるため、そのグループのハードウェアフィルターは遅滞なく再プログラムされます。新しいプライマリは、VRRP グループに無償 ARP メッセージを送信します。

  2. フェールオーバー タイマーの遅延が開始されます。デフォルトでは、フェイルオーバー遅延タイマーは次のとおりです。

    • 500 ミリ秒:設定された VRRP アナウンス間隔が 1 秒未満の場合。

    • 2 秒:設定された VRRP アナウンス間隔が 1 秒以上で、ルータ上の VRRP グループの総数が 255 の場合。

    • [10 秒(10 秒)]:設定された VRRP アナウンス間隔が 1 秒以上で、ルータ上の VRRP グループの数が 255 を超える場合。

  3. ルーティング エンジンは、後続の VRRP グループの状態変更を 1 つずつ実行します。ステートが変化し、特定の VRRP グループの新しいステートがプライマリになるたびに、ルーティング エンジンは適切な VRRP アナウンス メッセージを生成します。ただし、パケット転送エンジンへの通信は、フェイルオーバー遅延タイマーが終了するまで抑制されます。

  4. フェイルオーバー遅延タイマーが経過すると、ルーティング エンジンは、状態を変更できたすべての VRRP グループに関するメッセージをパケット転送エンジンに送信します。その結果、これらのグループのハードウェア フィルタが再プログラムされ、新しい状態がプライマリであるグループには、Gratuitous ARP メッセージが送信されます。

このプロセスは、すべての VRRP グループの状態遷移が完了するまで繰り返されます。

したがって、フェイルオーバー遅延を設定しない場合、設定されたVRRPアナウンスタイマーとVRRPグループの数に応じて、最初のVRRPグループの完全な状態遷移(ルーティングエンジンとパケット転送エンジンの状態を含む)が直ちに実行されますが、残りのVRRPグループに対するパケット転送エンジンの状態遷移は少なくとも0.5〜10秒遅れます。この中間状態では、ハードウェア フィルタの再設定が延期されたため、パケット転送エンジンでまだ完了していない状態変化の VRRP グループの受信トラフィックがパケット転送エンジン レベルでドロップされることがあります。

フェイルオーバー遅延が設定されている場合

フェイルオーバー遅延が設定されている場合、ルーティング エンジンから操作される VRRP セッションのイベントのシーケンスは以下のように変更されます。

  1. ルーティング エンジンは、一部の VRRP グループに状態変更が必要であることを検知します。

  2. フェイルオーバー遅延は、設定された期間開始されます。許容されるフェイルオーバー遅延タイマーの範囲は、50 から 100000 ミリ秒です。

  3. ルーティング エンジンは、VRRP グループに対して 1 つずつの状態変更を実行します。ステートが変化し、特定の VRRP グループの新しいステートがプライマリになるたびに、ルーティング エンジンは適切な VRRP アナウンス メッセージを生成します。ただし、パケット転送エンジンへの通信は、フェイルオーバー遅延タイマーが終了するまで抑制されます。

  4. フェイルオーバー遅延タイマーが経過すると、ルーティング エンジンは、状態を変更できたすべての VRRP グループに関するメッセージをパケット転送エンジンに送信します。その結果、これらのグループのハードウェア フィルタが再プログラムされ、新しい状態がプライマリであるグループには、Gratuitous ARP メッセージが送信されます。

このプロセスは、すべての VRRP グループの状態遷移が完了するまで繰り返されます。

そのため、フェイルオーバー遅延が設定されている場合、最初の VRRP グループのパケット転送エンジンの状態も延期されます。ただし、ネットワーク オペレータには、VRRP の状態変更時の停止を最小限に抑えるために、ネットワーク導入のニーズに最も適したフェイルオーバー遅延値を設定できるという利点があります。

フェイルオーバー遅延は、ルーティング エンジンで実行されている VRRP プロセス(vrrpd)が運用する VRRP セッションにのみ影響します。パケット転送エンジンに配信される VRRP セッションの場合、フェイルオーバー遅延設定は効果がありません。

例:シャーシ クラスタ冗長イーサネット インターフェイスでの VRRP/VRRPv3 の設定

仮想ルーター冗長プロトコル(VRRP)が設定されている場合、VRRP は複数のデバイスを仮想デバイスにグループ化します。VRRP で設定されたデバイスの 1 つがプライマリ(アクティブ)になり、他のデバイスがバックアップになります。プライマリに障害が発生すると、バックアップ デバイスの 1 つが新しいプライマリ デバイスになります。

この例では、冗長インターフェイスで VRRP を設定する方法を説明します。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRXシリーズファイアウォール向けのJunos OSリリース18.1R1以降。

  • シャーシクラスターに接続された2台のSRXシリーズファイアウォール。

  • スタンドアロン デバイスとして接続された 1 台の SRX シリーズ ファイアウォール。

概要

VRRP を設定するには、シャーシ クラスタ デバイス上の冗長インターフェイスとスタンドアロン デバイス上のギガビット イーサネット インターフェイスに VRRP グループを設定します。シャーシ クラスタ デバイスの冗長インターフェイスとスタンドアロン デバイスのギガビット イーサネット インターフェイスは、1 つ以上の VRRP グループのメンバーにすることができます。VRRP グループ内では、シャーシ クラスタ デバイスのプライマリ冗長インターフェイスとスタンドアロン デバイスのバックアップ ギガビット イーサネット インターフェイスを設定する必要があります。

VRRP グループを設定するには、VRRP グループのメンバーである冗長インターフェイスとギガビット イーサネット インターフェイスにグループ識別子と仮想 IP アドレスを設定する必要があります。仮想 IP アドレスは、VRRP グループ内のすべてのインターフェイスで同じである必要があります。次に、冗長インターフェイスとギガビットイーサネットインターフェイスにプライオリティを設定して、プライマリインターフェイスにします。

プライマリおよびバックアップ冗長インターフェイスとギガビットイーサネットインターフェイスを、1〜255(255が最高のプライオリティ)のプライオリティを使用して強制的に割り当てることができます。

位相幾何学

図 3 に、この例で使用するトポロジを示します。

図3: 冗長インターフェイスVRRP on Redundant interfaceのVRRP

設定 VRRP

シャーシ クラスタ冗長イーサネット インターフェイスでの VRRPv3、VRRP グループ、および優先度の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

手順

シャーシ クラスタ デバイスで VRRPv3、VRRP グループ、および優先度を設定するには、次の手順に従います。

  1. VRRP プロトコルのトラフィックをトレースするために、traceoptions にファイル名を設定します。

  2. トレース ファイルの最大サイズを指定します。

  3. vrrp トレースオプションを有効にします。

  4. vrrp バージョンを 3 に設定します。

  5. VRRP の GRES(グレースフル ルーティング エンジン スイッチオーバー)と、VRRP とフェイルオーバーがある場合のノンストップ アクティブ ルーティングをサポートするには、このコマンドを設定します。VRRP を使用すると、セカンダリ ノードは障害が発生したプライマリ ノードを数秒以内に引き継ぐことができます。これは最小限の VRRP トラフィックで、ホストとの対話なしで行われます

  6. reth(冗長イーサネット)インターフェイスを設定し、その冗長インターフェイスをゾーンに割り当てます。

  7. 冗長インターフェイス 0 ユニット 0 のファミリー inet アドレスと仮想アドレスを設定します。

  8. 冗長インターフェイス 1 ユニット 0 のファミリー inet アドレスと仮想アドレスを設定します。

  9. 冗長インターフェイス0ユニット0の優先度を255に設定します。

  10. 冗長インターフェイス1ユニット0の優先度を150に設定します。

  11. 仮想IPアドレスに送信されたすべてのパケットを受け入れるように、冗長インターフェイス0ユニット0を設定します。

  12. 仮想IPアドレスに送信されたすべてのパケットを受け入れるように、冗長インターフェイス1ユニット0を設定します。

業績

設定モードから、 show interfaces reth0 コマンドと show interfaces reth1 コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スタンドアロン デバイスでの VRRP グループの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

手順

スタンドアロンデバイスでVRRPグループを設定するには:

  1. vrrp バージョンを 3 に設定します。

  2. ギガビットイーサネットインターフェイスユニット0のファミリーinetアドレスと仮想アドレスを設定します。

  3. ギガビット イーサネット インターフェイス ユニット 0 のプライオリティを 50 に設定します。

  4. ギガビットイーサネットインターフェイスユニット0を設定して、仮想IPアドレスに送信されたすべてのパケットを受け入れます。

業績

設定モードから、 show interfaces xe-5/0/5 コマンドと show interfaces xe-5/0/6 コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

シャーシ クラスタ デバイスでの VRRP の検証

目的

シャーシ クラスタ デバイスの VRRP が正しく設定されていることを確認します。

アクション

動作モードから、 show vrrp brief コマンドを入力して、シャーシ クラスタ デバイスの VRRP のステータスを表示します。

意味

サンプル出力では、4 つの VRRP グループがアクティブであり、冗長インターフェイスが正しいプライマリ ロールを引き受けていることがわかります。lcl アドレスはインターフェイスの物理アドレスであり、vip アドレスは冗長インターフェイスによって共有される仮想アドレスです。タイマー値(A 0.149、A 0.155、A 0.445、およびA 0.414)は、冗長インターフェイスがギガビット イーサネット インターフェイスから VRRP アドバタイズメントを受信すると予想される残り時間(秒単位)を示します。タイマーが期限切れになる前にグループ 0、1、2、および 3 のアドバタイズメントが到着しない場合、シャーシ クラスタ デバイスは自身をプライマリとしてアサートします。

スタンドアロンデバイスでのVRRPの検証

目的

スタンドアロン デバイスで VRRP が正しく設定されていることを確認します。

アクション

動作モードから、 show vrrp brief コマンドを入力して、スタンドアロン デバイスの VRRP のステータスを表示します。

意味

サンプル出力では、4 つの VRRP グループがアクティブであり、ギガビット イーサネット インターフェイスが正しいバックアップ ロールを引き受けていることがわかります。lcl アドレスはインターフェイスの物理アドレスで、vip アドレスはギガビット イーサネット インターフェイスが共有する仮想アドレスです。タイマー値(D 3.093、D 3.502、D 3.499、およびD 3.282)は、ギガビットイーサネットインターフェイスが冗長インターフェイスからVRRPアドバタイズを受信すると予想される残り時間(秒単位)を示します。タイマーが期限切れになる前にグループ 0、1、2、および 3 のアドバタイズメントが到着しない場合、スタンドアロン デバイスは引き続きバックアップ デバイスです。

例:IPv6 の VRRP の設定

この例では、IPv6 の VRRP プロパティを設定する方法を示します。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • ルーター 3 台

  • Junos OS リリース 11.3 以降

    • この例は、Junos OSリリース21.1R1で最近更新され、再検証されました。
    • 特定のプラットフォームと Junos OS リリースの組み合わせに対する VRRP サポートの詳細については、 Feature Explorerを参照してください。

概要

この例では、IPv6 の仮想アドレスを持つ VRRP グループを使用します。LAN 上のデバイスは、この仮想アドレスをデフォルト ゲートウェイとして使用します。プライマリルーターに障害が発生した場合は、バックアップルーターが引き継ぎます。

VRRP の設定

ルーターAの設定

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 [edit] 階層レベルの CLI にコマンドをコピーして貼り付けます。

手順

この例を構成するには:

  1. インターフェイスを設定します。

  2. IPv6 VRRP グループ識別子と仮想 IP アドレスを設定します。

  3. ルーター B よりも高いルーター A の優先度を設定して、プライマリ仮想ルーターにします。ルーター B は、デフォルトのプライオリティ 100 を使用しています。

  4. VRRP グループのプライオリティを変更するには、インターネットに接続されたインターフェイスがアップしているか、ダウンしているか、存在しないかを追跡するように track interface を設定します。

  5. accept-data を設定して、プライマリ ルーターが仮想 IP アドレス宛てのすべてのパケットを受信できるようにします。

  6. インターネットへのトラフィックの静的ルートを構成します。

  7. iPv6 向け VRRP の場合、VRRP グループの IPv6 ルーター アドバタイズメントを送信するように VRRP が設定されているインターフェイスを設定する必要があります。インターフェイスが IPv6 ルーター要請メッセージを受信すると、インターフェイスに設定されているすべての VRRP グループに IPv6 ルーター アドバタイズメントを送信します。

  8. グループがプライマリ ステートの場合、インターフェイスに設定された VRRP IPv6 グループに対してのみルーター アドバタイズメントが送信されるように設定します。

業績

設定モードから、 show interfacesshow protocols router-advertisement 、および show routing-options コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

ルーター B の設定

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 [edit] 階層レベルのCLIにコマンドをコピーして貼り付けます。

手順

この例を構成するには:

  1. インターフェイスを設定します。

  2. IPv6 VRRP グループ識別子と仮想 IP アドレスを設定します。

  3. バックアップ ルーターがプライマリになった場合に、バックアップ ルーターが仮想 IP アドレス宛てのすべてのパケットを受け入れるように accept-data を設定します。

  4. インターネットへのトラフィックの静的ルートを構成します。

  5. VRRP グループの IPv6 ルーター アドバタイズメントを送信するように VRRP が設定されているインターフェイスを設定します。インターフェイスが IPv6 ルーター要請メッセージを受信すると、インターフェイスに設定されているすべての VRRP グループに IPv6 ルーター アドバタイズメントを送信します。

  6. グループがプライマリ ステートの場合、インターフェイスに設定された VRRP IPv6 グループに対してのみルーター アドバタイズメントが送信されるように設定します。

業績

設定モードから、 show interfacesshow protocols router-advertisement 、および show routing-options コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

ルーター C の設定

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 [edit] 階層レベルのCLIにコマンドをコピーして貼り付けます。

検証

VRRP がルータ A で動作していることを確認する

目的

VRRP がルータ A でアクティブであり、VRRP グループでのロールが正しいことを確認します。

アクション

VRRP がルータ A でアクティブであること、ルータがグループ 1 のプライマリであること、インターネットに接続されたインターフェイスが追跡されていることを確認するには、次のコマンドを使用します。

意味

show vrrp コマンドは、VRRP コンフィギュレーションに関する基本的な情報を表示します。この出力は、VRRP グループがアクティブであり、このルータがプライマリ ロールを引き受けていることを示しています。lcl アドレスはインターフェイスの物理アドレスで、vip アドレスは両ルーターが共有する仮想アドレスです。Timer値(A 0.690)は、このルーターが他のルーターからVRRPアドバタイズメントを受信すると予想される残り時間(秒単位)を示します。

VRRP がルータ B で動作していることを確認する

目的

VRRP がルータ B でアクティブであり、VRRP グループでのそのロールが正しいことを確認します。

アクション

VRRP がルータ B でアクティブであり、ルータがグループ 1 のバックアップであることを確認するには、次のコマンドを使用します。

意味

show vrrp コマンドは、VRRP コンフィギュレーションに関する基本的な情報を表示します。この出力は、VRRP グループがアクティブであり、このルータがバックアップ ロールを引き受けていることを示しています。lcl アドレスはインターフェイスの物理アドレスで、vip アドレスは両ルーターが共有する仮想アドレスです。Timer値(D 2.947)は、このルーターが他のルーターからVRRPアドバタイズメントを受信すると予想される残り時間(秒単位)を示します。

ルーター C がインターネット トランジット ルーター A に到達したことの確認

目的

ルーター C からインターネットへの接続を確認します。

アクション

次のコマンドを使用して、ルーター C がインターネットに到達できることを確認します。

意味

ping コマンドはインターネットへの到達可能性を示し、traceroute コマンドはルーター A がトランジット中であることを示します。

ルータ B が VRRP のプライマリになることを確認する

目的

ルーター A とインターネット間のインターフェイスがダウンしたときに、ルーター B が VRRP のプライマリになることを確認します。

アクション

次のコマンドを使用して、ルーター B がプライマリであり、ルーター C がインターネット通過ルーター B に到達できることを確認します。

意味

show vrrp track detail コマンドは、ルーター A で追跡対象のインターフェイスがダウンしていること、プライオリティが 90 に低下していること、ルーター A がバックアップになっていることを示しています。show vrrp コマンドは、ルータ B が現在 VRRP のプライマリであることを示し、traceroute コマンドはルータ B が現在トランジット中であることを示しています。