EtherChannel と冗長インターフェイスの設定
このセクションでは、EtherChannel インターフェイスと冗長インターフェイスを設定する方法について説明します。
(注) |
Firepower 4100/9300 の場合は、FXOS の EtherChannel を設定します。詳細については、EtherChannel(ポート チャネル)の追加を参照してください。冗長インターフェイスはサポートされません。 |
EtherChannel インターフェイスと冗長インターフェイスについて
この項では、EtherChannel インターフェイスと冗長インターフェイスについて説明します。
冗長インターフェイスについて
論理冗長インターフェイスは、物理インターフェイスのペア(アクティブ インターフェイスとスタンバイ インターフェイス)で構成されます。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定してFirepower Threat Defense デバイスの信頼性を高めることができます。
最大 8 個の冗長インターフェイス ペアを設定できます。
冗長インターフェイスの MAC アドレス
冗長インターフェイスでは、追加した最初の物理インターフェイスの MAC アドレスを使用します。コンフィギュレーションでメンバー インターフェイスの順序を変更すると、MAC アドレスは、リストの最初になったインターフェイスの MAC アドレスと一致するように変更されます。または、冗長インターフェイスに手動で MAC アドレスを割り当てることができます。これはメンバー インターフェイスの MAC アドレスに関係なく使用されます。アクティブ インターフェイスがスタンバイ インターフェイスにフェールオーバーすると、トラフィックが中断しないように同じ MAC アドレスが維持されます。
EtherChannel について
802.3ad EtherChannel は、単一のネットワークの帯域幅を増やすことができるように、個別のイーサネット リンク(チャネル グループ)のバンドルで構成される論理インターフェイスです(ポートチャネル インターフェイスと呼びます)。ポートチャネル インターフェイスは、インターフェイス関連の機能を設定するときに、物理インターフェイスと同じように使用します。
モデルでサポートされているインターフェイスの数に応じて、最大 48 個の Etherchannel を設定できます。
チャネル グループのインターフェイス
各チャネルグループには、最大 16 個のアクティブインターフェイスを設定できます。ただし、Firepower 1000 または 2100 は、8 個のアクティブインターフェイスをサポートしています。8 個のアクティブ インターフェイスだけをサポートするスイッチの場合、1 つのチャネル グループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイ リンクとして動作できます。16 個のアクティブインターフェイスの場合、スイッチがこの機能をサポートしている必要があります(たとえば、Cisco Nexus 7000 と F2 シリーズ 10 ギガビット イーサネット モジュール)。
チャネル グループのすべてのインターフェイスは、同じタイプと速度である必要があります。チャネル グループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。
EtherChannel によって、チャネル内の使用可能なすべてのアクティブ インターフェイスのトラフィックが集約されます。インターフェイスは、送信元または宛先 MAC アドレス、IP アドレス、TCP および UDP ポート番号、および VLAN 番号に基づいて、独自のハッシュ アルゴリズムを使用して選択されます。
別のデバイスの EtherChannel への接続
FTD EtherChannel の接続先のデバイスも 802.3ad EtherChannel をサポートしている必要があります。たとえば、Catalyst 6500 スイッチまたは Cisco Nexus 7000 に接続できます。
スイッチが仮想スイッチング システム(VSS)または 仮想ポート チャネル(vPC)の一部である場合、同じ EtherChannel 内の FTD インターフェイスを VSS/vPC 内の個別のスイッチに接続できます。スイッチ インターフェイスは同じ EtherChannel ポートチャネル インターフェイスのメンバです。複数の個別のスイッチが単一のスイッチのように動作するからです。
FTD をアクティブ/スタンバイ フェールオーバー配置で使用する場合、FTD ごとに 1 つ、VSS/vPC 内のスイッチで個別の EtherChannel を作成する必要があります。各 FTD で、1 つの EtherChannel が両方のスイッチに接続します。すべてのスイッチインターフェイスを両方の FTD に接続する単一の EtherChannel にグループ化できる場合でも(この場合、個別の FTD システム ID のため、EtherChannel は確立されません)、単一の EtherChannel は望ましくありません。これは、トラフィックをスタンバイ FTD に送信しないようにするためです。
Link Aggregation Control Protocol
リンク集約制御プロトコル(LACP)では、2 つのネットワーク デバイス間でリンク集約制御プロトコル データ ユニット(LACPDU)を交換することによって、インターフェイスが集約されます。
EtherChannel 内の各物理インターフェイスを次のように設定できます。
-
アクティブ:LACP アップデートを送信および受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックを最小にする必要がある場合以外は、アクティブ モードを使用する必要があります。
-
パッシブ:LACP アップデートを受信します。パッシブ EtherChannel は、アクティブ EtherChannel のみと接続を確立できます。Firepower ハードウェア モデルではサポートされていません。
-
オン:EtherChannel は常にオンであり、LACP は使用されません。「オン」の EtherChannel は、別の「オン」の EtherChannel のみと接続を確立できます。
LACP では、ユーザが介入しなくても、EtherChannel へのリンクの自動追加および削除が調整されます。また、コンフィギュレーションの誤りが処理され、メンバ インターフェイスの両端が正しいチャネル グループに接続されていることがチェックされます。「オン」モードではインターフェイスがダウンしたときにチャネル グループ内のスタンバイ インターフェイスを使用できず、接続とコンフィギュレーションはチェックされません。
ロード バランシング
FTD は、パケットの送信元および宛先 IP アドレスをハッシュすることによって、パケットを EtherChannel 内のインターフェイスに分散します(この基準は設定可能です)。生成されたハッシュ値をアクティブなリンクの数で割り、そのモジュロ演算で求められた余りの値によってフローの割り当て先のインターフェイスが決まります。hash_value mod active_links の結果が 0 となるすべてのパケットは、EtherChannel 内の最初のインターフェイスへ送信され、以降は結果が 1 となるものは 2 番目のインターフェイスへ、結果が 2 となるものは 3 番目のインターフェイスへ、というように送信されます。たとえば、15 個のアクティブ リンクがある場合、モジュロ演算では 0 ~ 14 の値が得られます。6 個のアクティブ リンクの場合、値は 0 ~ 5 となり、以降も同様になります。
アクティブ インターフェイスがダウンし、スタンバイ インターフェイスに置き換えられない場合、トラフィックは残りのリンク間で再バランスされます。失敗はレイヤ 2 のスパニングツリーとレイヤ 3 のルーティング テーブルの両方からマスクされるため、他のネットワーク デバイスへのスイッチオーバーはトランスペアレントです。
EtherChannel MAC アドレス
1 つのチャネル グループに含まれるすべてのインターフェイスは、同じ MAC アドレスを共有します。この機能によって、EtherChannel はネットワーク アプリケーションとユーザに対してトランスペアレントになります。ネットワーク アプリケーションやユーザから見えるのは 1 つの論理接続のみであり、個々のリンクのことは認識しないからです。
ポート チャネル インターフェイスは、最も小さいチャネル グループ インターフェイスの MAC アドレスをポート チャネル MAC アドレスとして使用します。または、ポートチャネル インターフェイスの MAC アドレスを手動で設定することもできます。グループ チャネル インターフェイスのメンバーシップを変更する場合は、固有の MAC アドレスを設定することを推奨します。ポートチャネル MAC アドレスを提供していたインターフェイスを削除すると、そのポートチャネルの MAC アドレスは次に番号が小さいインターフェイスに変わるため、トラフィックが分断されます。
EtherChannel インターフェイスと冗長インターフェイスのガイドライン
Bridge Group
ルーテッド モードでは、FMC で定義された EtherChannel はブリッジ グループ メンバーとしてサポートされません。Firepower 4100/9300 上の Etherchannel は、ブリッジ グループ メンバーにすることができます。
高可用性
-
冗長インターフェイスまたは EtherChannel インターフェイスを 高可用性 リンクとして使用する場合、高可用性 ペアの両方のユニットでその事前設定を行う必要があります。プライマリ ユニットで設定し、セカンダリ装置に複製されることは想定できません。これは、複製には 高可用性 リンク自体が必要であるためです。
-
冗長インターフェイスまたは EtherChannel インターフェイスをステート リンクに対して使用する場合、特別なコンフィギュレーションは必要ありません。コンフィギュレーションは通常どおりプライマリ装置から複製されます。Firepower 4100/9300 シャーシ では、Etherchannel を含むすべてのインターフェイスを両方のユニットで事前に設定する必要があります。
-
monitor-interface コマンドを使用して、高可用性。アクティブなメンバインターフェイスがスタンバイインターフェイスにフェールオーバーすると、デバイスレベルの 高可用性 をモニタしているときには、冗長インターフェイスまたは EtherChannel インターフェイスで障害が発生しているようには見えません。すべての物理インターフェイスで障害が発生した場合にのみ、冗長インターフェイスまたは EtherChannel インターフェイスで障害が発生しているように見えます(EtherChannel インターフェイスでは、障害の発生が許容されるメンバ インターフェイスの数を設定できます)。
-
EtherChannel インターフェイスを 高可用性 またはステートリンクに対して使用する場合、順序が不正なパケットを防止するために、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。高可用性 リンクとして使用中の EtherChannel の設定は変更できません。設定を変更するには、高可用性 を一時的に無効にする必要があります。これにより、高可用性 がその期間に発生することはありません。
サポート モデル
-
Firepower 4100/9300 または FTDv では FMC に Etherchannel を追加することはできません。Firepower 4100/9300 は Etherchannel をサポートしていますが、シャーシ上の FXOS で Etherchannel のすべてのハードウェア設定を実行する必要があります。
-
Firepower 2100、 Firepower 2100、Firepower 4100/9300 シャーシでは、冗長インターフェイスはサポートされていません。
-
Etherchannel で Firepower 1010 のスイッチ ポートまたは VLAN インターフェイスを使用することはできません。
冗長インターフェイスの一般的なガイドライン
-
最大 8 個の冗長インターフェイス ペアを設定できます。
-
すべてのFTD コンフィギュレーションは、メンバ物理インターフェイスではなく論理冗長インターフェイスを参照します。
-
EtherChannel の一部として冗長インターフェイスを使用することはできません。また、冗長インターフェイスの一部として EtherChannel を使用することはできません。冗長インターフェイスと EtherChannel インターフェイスでは同じ物理インターフェイスを使用できません。ただし、同じ物理インターフェイスを使用するのでなければ、両方のタイプを FTD 上で設定することができます。
-
アクティブ インターフェイスをシャットダウンすると、スタンバイ インターフェイスがアクティブになります。
-
冗長インターフェイスは、診断 slot/portインターフェイスをメンバーとしてサポートしません。ただし、診断インターフェイス以外の複数インターフェイスからなる冗長インターフェイスを、管理専用として設定できます。
EtherChannel の一般的なガイドライン
-
モデルで使用可能なインターフェイスの数に応じて、最大 48 個の Etherchannel を設定できます。
-
各チャネルグループには、最大 16 個のアクティブインターフェイスを設定できます。ただし、Firepower 1000 または 2100 は、8 個のアクティブインターフェイスをサポートしています。8 個のアクティブ インターフェイスだけをサポートするスイッチの場合、1 つのチャネル グループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイ リンクとして動作できます。16 個のアクティブインターフェイスの場合、スイッチがこの機能をサポートしている必要があります(たとえば、Cisco Nexus 7000 と F2 シリーズ 10 ギガビット イーサネット モジュール)。
-
チャネル グループのすべてのインターフェイスは、同じタイプと速度である必要があります。チャネル グループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。
-
FTD の EtherChannel の接続先デバイスも 802.3ad EtherChannel をサポートしている必要があります。
-
FTD は、VLAN タグ付きの LACPDU をサポートしていません。Cisco IOS vlan dot1Q tag native コマンドを使用して、隣接スイッチのネイティブ VLAN タギングをイネーブルにすると FTD はタグ付きの LACPDU をドロップします。隣接スイッチのネイティブ VLAN タギングは、必ずディセーブルにしてください。
-
15.1(1)S2 以前の Cisco IOS ソフトウェアバージョンを実行する FTD では、スイッチスタックへの EtherChannel の接続がサポートされていませんでした。デフォルトのスイッチ設定では、FTD EtherChannel がクロススタックに接続されている場合、マスタースイッチの電源がオフになると、残りのスイッチに接続されている EtherChannel は起動しません。互換性を高めるため、stack-mac persistent timer コマンドを設定して、十分なリロード時間を確保できる大きな値、たとえば 8 分、0 (無制限)などを設定します。または、15.1(1)S2 など、より安定したスイッチ ソフトウェア バージョンにアップグレードできます。
-
すべての FTD コンフィギュレーションは、メンバ物理インターフェイスではなく論理 EtherChannel インターフェイスを参照します。
-
EtherChannel の一部として冗長インターフェイスを使用することはできません。また、冗長インターフェイスの一部として EtherChannel を使用することはできません。冗長インターフェイスと EtherChannel インターフェイスでは同じ物理インターフェイスを使用できません。ただし、同じ物理インターフェイスを使用するのでなければ、両方のタイプを FTD 上で設定することができます。
冗長インターフェイスの設定
スマート ライセンス | 従来のライセンス | サポートされるデバイス数 | サポートされるドメイン数 | アクセス |
---|---|---|---|---|
いずれか(Any) |
該当なし |
FTD |
いずれか(Any) |
Admin Access Admin Network Admin |
論理冗長インターフェイスは、物理インターフェイスのペア(アクティブ インターフェイスとスタンバイ インターフェイス)で構成されます。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定してFTDの信頼性を高めることができます。デフォルトでは、冗長インターフェイスは有効になっています。
-
最大 8 個の冗長インターフェイス ペアを設定できます。
-
両方のメンバ インターフェイスが同じ物理タイプである必要があります。たとえば、両方ともギガビット イーサネットにする必要があります。
(注) |
冗長インターフェイスは Firepower 4100/9300 ではサポートされていません。 |
始める前に
-
名前が設定されている場合は、物理インターフェイスを冗長インターフェイスに追加できません。最初に名前を削除する必要があります。
注意
コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。
手順
ステップ 1 |
FTD デバイスの編集アイコン()をクリックします。デフォルトで [インターフェイス(Interfaces)] タブが選択されています。 の順に選択し、 |
ステップ 2 |
物理インターフェイスの有効化およびイーサネット設定の構成に従って、メンバー インターフェイスを有効にします。 |
ステップ 3 |
をクリックします。 |
ステップ 4 |
[一般(General)] タブで、次のパラメータを設定します。
|
ステップ 5 |
[OK] をクリックします。 |
ステップ 6 |
[Save(保存)] をクリックします。 これで、[Deploy] をクリックして割り当てられているデバイスにポリシーを展開できます。変更はポリシーを導入するまで有効になりません。 |
ステップ 7 |
(任意) VLAN サブインターフェイスを追加します。サブインターフェイスの追加を参照してください。 |
ステップ 8 |
ルーテッドまたはトランスペアレント モード インターフェイスのパラメータを設定します。ルーテッド モードのインターフェイスの設定またはのブリッジ グループ インターフェイスの設定を参照してください。 |
EtherChannel の設定
スマート ライセンス | 従来のライセンス | サポートされるデバイス数 | サポートされるドメイン数 | アクセス |
---|---|---|---|---|
いずれか(Any) |
該当なし |
FTD |
いずれか(Any) |
Admin Access Admin Network Admin |
ここでは、EtherChannel ポートチャネル インターフェイスの作成、インターフェイスの EtherChannel への割り当て、EtherChannel のカスタマイズ方法について説明します。
ガイドライン
-
モデルのインターフェイスの数に応じて、最大 48 個の Etherchannel を設定できます。
-
各チャネル グループには、最大 16 個のアクティブ インターフェイスを持たせることができます。ただし、Firepower 1000 または 2100 は、8 個のアクティブ インターフェイスをサポートしています。8 個のアクティブ インターフェイスだけをサポートするスイッチの場合、1 つのチャネル グループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイ リンクとして動作できます。
-
チャネル グループのすべてのインターフェイスは、同じタイプ、速度、および二重通信である必要があります。半二重はサポートされません。
(注) |
Firepower 4100/9300 の場合は、FXOS の EtherChannel を設定します。詳細については、EtherChannel(ポート チャネル)の追加を参照してください。 |
始める前に
-
名前が設定されている場合は、物理インターフェイスをチャネル グループに追加できません。最初に名前を削除する必要があります。
(注)
コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。
手順
ステップ 1 |
FTD デバイスの編集アイコン()をクリックします。デフォルトで [インターフェイス(Interfaces)] タブが選択されています。 の順に選択し、 |
ステップ 2 |
物理インターフェイスの有効化およびイーサネット設定の構成に従って、メンバー インターフェイスを有効にします。 |
ステップ 3 |
をクリックします。 |
ステップ 4 |
[一般(General)] タブで、[イーサネットチャネルID(Ether Channel ID)] を 1 ~ 48(Firepower 1010 の場合は 1 および 8)の数値に設定します。 |
ステップ 5 |
[使用可能なインターフェイス(Available Interfaces)] 領域でインターフェイスをクリックし、[追加(Add)] をクリックして [選択したインターフェイス(Selected Interface)] 領域にそのインターフェイスを移動します。メンバーを作成するすべてのインターフェイスに対して繰り返します。 すべてのインターフェイスが同じタイプと速度であるようにします。最初に追加するインターフェイスによって、EtherChannel のタイプと速度が決まります。一致しないインターフェイスを追加すると、そのインターフェイスは停止状態になります。FMC では、一致しないインターフェイスの追加は防止されません。 |
ステップ 6 |
(任意) [詳細(Advanced)] タブをクリックして EtherChannel をカスタマイズします。[情報(Information)] サブタブで次のパラメータを設定します。
|
ステップ 7 |
(任意) [ハードウェア構成(Hardware Configuration)] タブをクリックしてデュプレックスと速度を設定し、すべてのメンバー インターフェイスでこれらの設定を上書きします。これらのパラメータはチャネル グループのすべてのインターフェイスで一致している必要があるため、この方法はこれらのパラメータを設定するショートカットになります。 |
ステップ 8 |
[OK] をクリックします。 |
ステップ 9 |
[Save(保存)] をクリックします。 これで、[Deploy] をクリックして割り当てられているデバイスにポリシーを展開できます。変更はポリシーを導入するまで有効になりません。 |
ステップ 10 |
(任意) VLAN サブインターフェイスを追加します。サブインターフェイスの追加を参照してください。 |
ステップ 11 |
ルーテッドまたはトランスペアレント モード インターフェイスのパラメータを設定します。ルーテッド モードのインターフェイスの設定またはのブリッジ グループ インターフェイスの設定を参照してください。 |