2ノードMNHAから4ノードMNHAへの設定移行
このドキュメントを読み、2ノードMNHA設定と4ノードMNHA設定の主な設定違いを理解してください。
さまざまなプラットフォームやソフトウェアリリースでサポートされている機能のリストについては、「 機能エクスプローラー」を参照してください。
4ノード導入に移行することで、拡張性、耐障害性、ワークロード分散が向上します。ただし、拡張の前に対処する必要がある追加のノード間通信要件も生じます。
移行を成功させるには、中断のない高可用性を維持し、適切なクラスター同期を確保するために、ネットワーク接続、IPアドレッシング、ピア到達可能性に関する慎重な計画が必要です。
このドキュメントでは、2ノードMNHAセットアップと4ノードMNHAセットアップの主な設定の違いについて説明します。
「 マルチノード高可用性、 4ノードおよび3ノードマルチノード高可用性」も参照してください。
2ノードMNHAと4ノードMNHAの設定の違い
次の表は、主要な構成コンポーネントを比較した結果であり、標準的な2ノードMNHA導入と4ノードMNHA導入でローカルノードパラメーター、ピア定義、SRG設定の違いを説明しています。
| タイプ | 2ノードMNHA | 4ノードMNHA |
|---|---|---|
| ローカルノードの設定 |
local-id {
1;
local-ip 11.0.0.1;
} |
local-id {
1;
local-ip 22.0.0.1;
}
local-domain-id {
1;
domain-size 2;
}
|
| ピアノード設定 |
peer-id 2 {
peer-ip 11.0.1.1;
interface lo0.0;
vpn-profile L3HA_IPSEC_VPN;
liveness-detection {
minimum-interval 500;
multiplier 3;
}
} |
peer-id 2 {
peer-ip 22.0.0.2;
interface xe-1/1/8.0;
vpn-profile L3HA_IPSEC_VPN;
liveness-detection {
minimum-interval 500;
multiplier 3;
}
}
peer-domain-id 2 {
domain-size 2;
peer-id 1 {
local-ip 23.0.0.1;
peer-ip 23.0.0.2;
interface xe-1/0/6.0;
vpn-profile L3HA_IPSEC_VPN;
liveness-detection {
minimum-interval 500;
multiplier 3;
}
}
}
|
| SRG 0 の設定 |
services-redundancy-group 0 {
peer-id {
2;
}
}
|
services-redundancy-group 0 {
peer-domain-id 2 {
peer-id 1;
}
peer-id {
2;
}
|
4ノードMNHAの設定例
次の図は、4ノードMNHAセットアップのトポロジーを示しています。
図1:4ノードMNHAトポロジー
このトポロジーは、ドメイン1とドメイン2の2つの独立したドメインで構成される4ノードマルチノード高可用性(MNHA)設計を表しています。各ドメインには2つのファイアウォールノードが含まれており、ドメイン内およびドメイン間で冗長性と高可用性を提供します。
ドメイン1には、node1.1(ドメイン1、ノード1)とnode1.2(ドメイン1、ノード2)の2つのファイアウォールが含まれています。ノード1.1は、22.0.0.1のシャーシ間リンク(ICL)IPアドレスと23.0.0.1のドメイン間リンク(IDL)IPアドレスで設定されています。ノード1.2は、22.0.0.2のICL IPアドレスと24.0.0.1のIDL IPアドレスを使用します。これら 2 つのノードは、ドメイン 1 内で高可用性ペアを形成します。
ドメイン2は、node2.1(ドメイン2、ノード1)とnode2.2(ドメイン2、ノード2)の2つのファイアウォールで構成されています。Node2.1には22.0.0.1のICL IPアドレスと23.0.0.2のIDL IPアドレスが割り当てられています。Node2.2には22.0.0.2のICL IPアドレスと24.0.0.2のIDL IPアドレスを使用します。これら 2 つのノードは、ドメイン 2 の高可用性ペアを形成します。
このトポロジーでは、特定のインターフェイスが相互接続専用です。インターフェイスxe-1/0/7.0は、各ドメイン内のシャーシ間リンク(ICL)に使用され、2つのノード間の同期とフェイルオーバーを可能にします。インターフェイスxe-1/0/6.0は、ドメイン1とドメイン2を接続するドメイン間リンク(IDL)に使用され、ドメインレベルの冗長性と継続性をサポートします。
次の表は、導入に参加している4つのノードすべての構成例を示しています。これらの例では、各ノードがローカル識別子、ドメインメンバーシップ、ピア関係、SRG関連付けをどのように定義して、両方のMNHAドメイン間で同期された冗長性をサポートするかを示しています。
各ノードの視点から構成を確認することで、ドメイン間接続、クロスノードピアリング、冗長性グループ調整がどのように構成されており、マルチドメイン、4ノードアーキテクチャで高可用性を実現しているかが明確にわかります。
| ノード1.1(ドメイン1、ノード1) | ノード2.1(ドメイン2、ノード1) |
|---|---|
user@host-node-1.1# show chassis high-availability
local-id {
1;
local-ip 22.0.0.1;
}
local-domain-id {
1;
domain-size 2;
}
peer-id 2 {
peer-ip 22.0.0.2;
interface xe-1/0/7.0;
vpn-profile L3HA_IPSEC_VPN;
liveness-detection {
minimum-interval 500;
multiplier 3;
}
}
peer-domain-id 2 {
domain-size 2;
peer-id 1 {
local-ip 23.0.0.1;
peer-ip 23.0.0.2;
interface xe-1/0/6.0;
vpn-profile L3HA_IPSEC_VPN;
liveness-detection {
minimum-interval 500;
multiplier 3;
}
}
}
services-redundancy-group 0 {
peer-domain-id 2 {
peer-id 1;
}
peer-id {
2;
}
}
|
user@host-node-2.1# show chassis high-availability
local-id {
1;
local-ip 22.0.0.1;
}
local-domain-id {
2;
domain-size 2;
}
peer-id 2 {
peer-ip 22.0.0.2;
interface xe-1/0/7.0;
vpn-profile L3HA_IPSEC_VPN;
liveness-detection {
minimum-interval 500;
multiplier 3;
}
}
peer-domain-id 1 {
domain-size 2;
peer-id 1 {
local-ip 23.0.0.2;
peer-ip 23.0.0.1;
interface xe-1/0/6.0;
vpn-profile L3HA_IPSEC_VPN;
liveness-detection {
minimum-interval 500;
multiplier 3;
}
}
}
services-redundancy-group 0 {
peer-domain-id 1 {
peer-id 1;
}
peer-id {
2;
}
}
|
| ノード1.2(ドメイン1、ノード2) | node2.2(ドメイン2ノード2)( ドメイン2ノード2) |
user@host-node-1.2# show chassis high-availability
local-id {
2;
local-ip 22.0.0.2;
}
local-domain-id {
1;
domain-size 2;
}
peer-id 1 {
peer-ip 22.0.0.1;
interface xe-1/0/7.0;
vpn-profile L3HA_IPSEC_VPN;
liveness-detection {
minimum-interval 500;
multiplier 3;
}
}
peer-domain-id 2 {
domain-size 2;
peer-id 2 {
local-ip 24.0.0.1;
peer-ip 24.0.0.2;
interface xe-1/0/6.0;
vpn-profile L3HA_IPSEC_VPN;
liveness-detection {
minimum-interval 500;
multiplier 3;
}
}
}
services-redundancy-group 0 {
peer-domain-id 2 {
peer-id 2;
}
peer-id {
1;
}
}
|
user@host-node-2.2# show chassis high-availability
local-id {
2;
local-ip 22.0.0.2;
}
local-domain-id {
2;
domain-size 2;
}
peer-id 1 {
peer-ip 22.0.0.1;
interface xe-1/0/7.0;
vpn-profile L3HA_IPSEC_VPN;
liveness-detection {
minimum-interval 500;
multiplier 3;
}
}
peer-domain-id 1 {
domain-size 2;
peer-id 2 {
local-ip 24.0.0.2;
peer-ip 24.0.0.1;
interface xe-1/0/6.0;
vpn-profile L3HA_IPSEC_VPN;
liveness-detection {
minimum-interval 500;
multiplier 3;
}
}
}
services-redundancy-group 0 {
peer-domain-id 1 {
peer-id 2;
}
peer-id {
1;
}
}
|
ノードを設定した後、すべてのノードを再起動する必要があります。ノードの再起動に関する警告メッセージは表示されないことに注意してください。ログメッセージは、以下に示すように jsprd (ジュニパーサービスプロトコルデーモン)ログに表示されます。
domain_id]: Warning High Availability local domain id has changed, please reboot the device to avoid undesirable behavior Dec 20 09:04:49 [jsrpd_ha_parse_local_domain_id]: Warning High Availability local domain size has changed, please reboot the device to avoid undesirable behavior ....
ノードを再起動した後、MNHAのステータスをチェックして、4つのノードすべてでICLとIDLのステータスがUpと表示されているかどうかを確認します。
| ノード1.1(ドメイン1、ノード1) | ノード2.1(ドメイン2、ノード1) |
|---|---|
user@host-node-1.1> show chassis high-availability information
Dec 20 09:49:07
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-domain-id: 1
Local-id: 1
Local-domain-info:
ICL Local-IP: 22.0.0.1
HA ICL Peer Information:
Peer Id: 2 IP address: 22.0.0.2 Interface: xe-1/0/7.0
Routing Instance: default
Encrypted: YES Conn State: UP
Configured BFD Detection Time: 3 * 500ms
Cold Sync Status: COMPLETE
Peer-domain-info:
Peer-domain-id: 2
IDL Local-IP: 23.0.0.1
HA IDL Peer Information:
Peer Id: 1 IP address: 23.0.0.2 Interface: xe-1/0/6.0
Routing Instance: default
Encrypted: YES Conn State: UP
Configured BFD Detection Time: 3 * 500ms
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 2
Peer Domain Id: 2
Peer Id: 1
|
user@host-node-2.2> show chassis high-availability information
Dec 20 09:53:18
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-domain-id: 2
Local-id: 1
Local-domain-info:
ICL Local-IP: 22.0.0.1
HA ICL Peer Information:
Peer Id: 2 IP address: 22.0.0.2 Interface: xe-1/0/7.0
Routing Instance: default
Encrypted: YES Conn State: UP
Configured BFD Detection Time: 3 * 500ms
Cold Sync Status: COMPLETE
Peer-domain-info:
Peer-domain-id: 1
IDL Local-IP: 23.0.0.2
HA IDL Peer Information:
Peer Id: 1 IP address: 23.0.0.1 Interface: xe-1/0/6.0
Routing Instance: default
Encrypted: YES Conn State: UP
Configured BFD Detection Time: 3 * 500ms
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 2
Peer Domain Id: 1
Peer Id: 1
|
| ノード1.2(ドメイン1、ノード2) | node2.2(ドメイン2、ノード2) |
user@host-node-1.2> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-domain-id: 1
Local-id: 2
Local-domain-info:
ICL Local-IP: 22.0.0.2
HA ICL Peer Information:
Peer Id: 1 IP address: 22.0.0.1 Interface: xe-1/0/7.0
Routing Instance: default
Encrypted: YES Conn State: UP
Configured BFD Detection Time: 3 * 500ms
Cold Sync Status: COMPLETE
Peer-domain-info:
Peer-domain-id: 2
IDL Local-IP: 24.0.0.1
HA IDL Peer Information:
Peer Id: 2 IP address: 24.0.0.2 Interface: xe-1/0/6.0
Routing Instance: default
Encrypted: YES Conn State: UP
Configured BFD Detection Time: 3 * 500ms
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
Peer Domain Id: 2
Peer Id: 2
|
user@host-node-2.2> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-domain-id: 2
Local-id: 2
Local-domain-info:
ICL Local-IP: 22.0.0.2
HA ICL Peer Information:
Peer Id: 1 IP address: 22.0.0.1 Interface: xe-1/0/7.0
Routing Instance: default
Encrypted: YES Conn State: UP
Configured BFD Detection Time: 3 * 500ms
Cold Sync Status: COMPLETE
Peer-domain-info:
Peer-domain-id: 1
IDL Local-IP: 24.0.0.2
HA IDL Peer Information:
Peer Id: 2 IP address: 24.0.0.1 Interface: xe-1/0/6.0
Routing Instance: default
Encrypted: YES Conn State: UP
Configured BFD Detection Time: 3 * 500ms
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
Peer Domain Id: 1
Peer Id: 2
|
| ノード1.1(ドメイン1、ノード1) | ノード2.1(ドメイン2、ノード1) |
|---|---|
user@host-node-1.1> show chassis high-availability peer-info
Dec 20 10:07:45
HA ICL Peer Information:
Peer Domain ID: 1
Peer-ID: 2 IP address: 22.0.0.2 Interface: xe-1/0/7.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: st0.16018
Internal Local-IP: 180.17.18.17
Internal Peer-IP: 180.17.18.18
Internal Routing-instance: __juniper_private1__
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 0 0
SRG Status Ack 0 0
Attribute Msg 3 1
Attribute Ack 1 2
SRG Ctx Msg 4 6
SRG Ctx Ack 6 3
Pkt Req 3 1
Pkt Req Ack 1 2
HA IDL Peer Information:
Peer Domain ID: 2
Peer-ID: 1 IP address: 23.0.0.2 Interface: xe-1/0/6.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: st0.16033
Internal Local-IP: 180.17.33.17
Internal Peer-IP: 180.17.33.33
Internal Routing-instance: __juniper_private1__
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 0 0
SRG Status Ack 0 0
Attribute Msg 2 1
Attribute Ack 1 1
SRG Ctx Msg 2 2
SRG Ctx Ack 2 1
Pkt Req 2 1
Pkt Req Ack 1 1
|
user@host-node-2.1> show chassis high-availability peer-info
HA ICL Peer Information:
Peer Domain ID: 1
Peer-ID: 1 IP address: 22.0.0.1 Interface: xe-1/0/7.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: st0.16017
Internal Local-IP: 180.17.18.18
Internal Peer-IP: 180.17.18.17
Internal Routing-instance: __juniper_private1__
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 0 0
SRG Status Ack 0 0
Attribute Msg 4 2
Attribute Ack 2 1
SRG Ctx Msg 7 3
SRG Ctx Ack 3 6
Pkt Req 3 2
Pkt Req Ack 2 1
HA IDL Peer Information:
Peer Domain ID: 2
Peer-ID: 2 IP address: 24.0.0.2 Interface: xe-1/0/6.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: st0.16034
Internal Local-IP: 180.18.34.18
Internal Peer-IP: 180.18.34.34
Internal Routing-instance: __juniper_private1__
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 0 0
SRG Status Ack 0 0
Attribute Msg 3 2
Attribute Ack 2 2
SRG Ctx Msg 4 3
SRG Ctx Ack 3 2
Pkt Req 3 2
Pkt Req Ack 2 2
|
| ノード1.2(ドメイン1、ノード2) | node2.2(ドメイン2、ノード2) |
user@host-node-1.2> show chassis high-availability peer-info
Dec 20 10:09:02
HA ICL Peer Information:
Peer Domain ID: 2
Peer-ID: 2 IP address: 22.0.0.2 Interface: xe-1/0/7.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: st0.16034
Internal Local-IP: 180.33.34.33
Internal Peer-IP: 180.33.34.34
Internal Routing-instance: __juniper_private1__
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 0 0
SRG Status Ack 0 0
Attribute Msg 4 3
Attribute Ack 3 3
SRG Ctx Msg 12 8
SRG Ctx Ack 8 11
Pkt Req 4 3
Pkt Req Ack 3 3
HA IDL Peer Information:
Peer Domain ID: 1
Peer-ID: 1 IP address: 23.0.0.1 Interface: xe-1/0/6.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: st0.16017
Internal Local-IP: 180.17.33.33
Internal Peer-IP: 180.17.33.17
Internal Routing-instance: __juniper_private1__
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 0 0
SRG Status Ack 0 0
Attribute Msg 6 4
Attribute Ack 4 4
SRG Ctx Msg 11 13
SRG Ctx Ack 13 9
Pkt Req 6 4
Pkt Req Ack 4 4
|
user@host-node-2.2> show chassis high-availability peer-info
Dec 20 10:09:09
HA ICL Peer Information:
Peer Domain ID: 2
Peer-ID: 1 IP address: 22.0.0.1 Interface: xe-1/0/7.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: st0.16033
Internal Local-IP: 180.33.34.34
Internal Peer-IP: 180.33.34.33
Internal Routing-instance: __juniper_private1__
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 0 0
SRG Status Ack 0 0
Attribute Msg 5 3
Attribute Ack 3 2
SRG Ctx Msg 11 11
SRG Ctx Ack 11 8
Pkt Req 5 3
Pkt Req Ack 3 3
HA IDL Peer Information:
Peer Domain ID: 1
Peer-ID: 2 IP address: 24.0.0.1 Interface: xe-1/0/6.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: st0.16018
Internal Local-IP: 180.18.34.34
Internal Peer-IP: 180.18.34.18
Internal Routing-instance: __juniper_private1__
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 0 0
SRG Status Ack 0 0
Attribute Msg 4 3
Attribute Ack 3 3
SRG Ctx Msg 8 11
SRG Ctx Ack 11 7
Pkt Req 4 3
Pkt Req Ack 3 3
|
show security flow sessionコマンド出力の変更
フローセッションには、ドメインとノードIDを識別するための追加フラグが含まれます。次のサンプルでは、セッションはノード 1.1 で開始され、ノード 1.1 は Activeのままです。その後、ICLを介してノード1.2に同期され、そこで Warm セッションとして保存されます。同じセッションもIDLを介してノード2.1に同期され、そこで Warm セッションとして維持されます。そこから、ICLを介してノード2.2にさらに同期され、そこで再び Warm 状態で保存されます。
Node1.1
user@host-node-1.1> show security flow session source-prefix 10.1.0.2
Dec 20 10:39:40
Session ID: 42949829103, Policy name: U_2_T/4, HA State: Active, Timeout: 295, Session State: Valid
In: 10.1.0.2/10000 --> 10.6.0.2/20000;udp, Conn Tag: 0x0, If: et-1/0/0.0, Pkts: 40, Bytes: 47280, HA Wing State: Active,
Out: 10.6.0.2/20000 --> 10.1.0.2/10000;udp, Conn Tag: 0x0, If: et-1/1/0.0, Pkts: 0, Bytes: 0, HA Wing State: Active,
Active Domain Id: 1, Node Id: 1
Total sessions: 1
user@host-node-1.2> run show security flow session source-prefix 10.1.0.2
Dec 20 10:40:15
Session ID: 42949754770, Policy name: U_2_T/4, HA State: Warm, Timeout: 2337, Session State: Valid
In: 10.1.0.2/10000 --> 10.6.0.2/20000;udp, Conn Tag: 0x0, If: et-1/0/0.0, Pkts: 0, Bytes: 0, HA Wing State: Warm,
Out: 10.6.0.2/20000 --> 10.1.0.2/10000;udp, Conn Tag: 0x0, If: et-1/1/0.0, Pkts: 0, Bytes: 0, HA Wing State: Warm,
Active Domain Id: 1, Node Id: 1
Total sessions: 1
user@host-node-2.1> show security flow session source-prefix 10.1.0.2
Dec 20 10:40:35
Session ID: 133148037485, Policy name: U_2_T/4, HA State: Warm, Timeout: 2316, Session State: Valid
In: 10.1.0.2/10000 --> 10.6.0.2/20000;udp, Conn Tag: 0x0, If: et-1/0/0.0, Pkts: 0, Bytes: 0, HA Wing State: Warm,
Out: 10.6.0.2/20000 --> 10.1.0.2/10000;udp, Conn Tag: 0x0, If: et-1/1/0.0, Pkts: 0, Bytes: 0, HA Wing State: Warm,
Active Domain Id: 1, Node Id: 1
Total sessions: 1
user@host-node-2.2> show security flow session source-prefix 10.1.0.2
Dec 20 10:40:41
Session ID: 4298821580, Policy name: U_2_T/4, HA State: Warm, Timeout: 2308, Session State: Valid
In: 10.1.0.2/10000 --> 10.6.0.2/20000;udp, Conn Tag: 0x0, If: et-1/0/0.0, Pkts: 0, Bytes: 0, HA Wing State: Warm,
Out: 10.6.0.2/20000 --> 10.1.0.2/10000;udp, Conn Tag: 0x0, If: et-1/1/0.0, Pkts: 0, Bytes: 0, HA Wing State: Warm,
Active Domain Id: 1, Node Id: 1
Total sessions: 1
IPsec VPNによるリンク暗号化
リンク暗号化により、ネットワーク上で送信されるすべてのメッセージのデータのプライバシーを確保します。ICLはHAノード間で個人データを伝送するため、暗号化を使用してこのリンクを保護することが不可欠です。ICLはIPsec VPNを使用して保護されています。
ICL保護と同様に、ドメイン間リンク(IDL)暗号化機能では、IKEv2プロトコルとマルチSAのカスタム実装を使用して、ドメイン間のHAノード間の通信を保護します。IDL暗号化では、IPsecは各ノードに割り当てられた外部IPアドレスを使用し、ドメインピア間でトンネルを確立できます。
これらのノード間の保護が必要なすべてのトラフィックは、暗号化されたトンネルを介してルーティングする必要があります。
IDLのHAリンクを暗号化するには(ICLと同様)。
- 次のコマンドを使用して、ファイアウォールにJunos IKEパッケージをインストールします。
user@host> request system software add optional://junos-ike.tgz
- HAトラフィック用のVPNプロファイルを設定し、両方のノードにプロファイルを適用します。ファイアウォール間でネゴシエートされたIPsecトンネルは、IKEv2プロトコルを使用します。
IPsec VPN設定にha-link-encryptionステートメントが含まれていることを確認してください。
例:user@host# set security ipsec vpn vpn-name ha-link-encryption
以下のコマンドを使用して、IDLリンクが暗号化されているかどうかを確認できます。
show security ike sa ha-link-encryptionuser@host-node-1.1> show security ike sa ha-link-encryption
Dec 20 11:34:10
Index State Initiator cookie Responder cookie Mode Remote Address
16776287 UP 66ae558ae33b709b 0d00c1db63d76739 IKEv2 22.0.0.2 >>ICL
16776288 UP 7138aa2b4d31e2a6 2c5cee6ea22312bf IKEv2 23.0.0.2 >>IDL
...
user@host-node-1.1> show security ipsec sa ha-link-encryption
Dec 20 11:35:10
Total active tunnels: 2 Total IPsec sas: 80
ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway
<495001 ESP:aes-gcm-256/aes256-gcm 0x0008782c 82 / unlim U root 500 22.0.0.2
>495001 ESP:aes-gcm-256/aes256-gcm 0x00056a7b 82 / unlim U root 500 22.0.0.2
<
...