| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第3章 二重化システム(Solaris版) | > 3.5 簡易二重化システム |
仮想アドレス広報機能では、近隣ルータ/ホストに経路情報を広報します。広報する経路情報には 「Metric」 が含まれており、近隣ルータ/ホストは 「Metric」 によって最適経路を選択します。
簡易二重化システムでは、この 「Metric」 を動的に変更して、近隣ルータ/ホストで選択されるネットワーク経路が切り替えられるように制御します。
以下に、仮想アドレス広報機能の概要と、簡易二重化システムにおける制御方式について説明します。
以下のように、ネット #A 上にホスト:A1、ネット #B 上にホスト:B1 が存在する場合の経路情報を以下に示します。
ネットワーク二重化機能では、以下のように広報する経路情報は仮想アドレス広報機能と同じですが、Metric を指定することができます。
この Metric 指定機能を利用して、以下のようにネットワーク二重化システムを構成します。
上記の図を例にとると、たとえば、ネット #A 上のルータ/ホストはB1 宛てのパケットは GW として SG-A1、および SG-A2 の二つの配送先があるように見えます。ただし、Metric 値はそれぞれ SG-A1 宛ては 1 、SG-A2 宛ては 2 のため、配送先として、SG-A1 が選択されます。
システムダウン、またはネットワーク異常が発生すると、経路情報は近隣ルータ/ホストに到達しなくなります。これにより、近隣ルータ/ホストは到達する経路に切り替えます。
たとえば、以下の経路情報が広報されている場合、GW=SG-A1 宛ての経路情報( Metric=1 )が到達しなくなった場合、GW=SG-A2( Metric=2 )の経路情報に切り替えられます。
本製品のシステムがダウンした場合、接続されているすべてのネットワークへの経路情報は停止します。しかし、ある 1 つのネットワークで異常が発生した場合、他のネットワークインタフェースから広報される経路情報も停止する必要があります。すなわち、正常動作しているネットワークインタフェースの近隣ルータ/ホストの経路情報を切替え、正常なネットワークインタフェースへのパケット配送を停止しないと、異常が発生したネットワークインタフェースへのパケットが破棄され、エンドシステム間の通信ができなくなります。
本製品 では、近隣ルータ/ホストとのネットワーク異常監視を行うため、定期的に通信状況を監視します。このネットワーク異常監視機能の実行環境は、以下の環境設定ファイルで設定します。
ファイル名
/opt/FSUNfwip/etc/FWRiptout
詳細は、「ファイアウォール機能説明書」の「リファレンスガイド」を参照してください。
本ファイルでは、近隣ルータアドレス、監視間隔、監視タイムアウト回数、および Metric 値を設定します。すなわち、近隣ルータアドレスで指定されたルータ/ホストに対して監視パケットを送信し、指定された監視間隔、監視タイムアウト回数でタイムアウトが発生したとき、通信異常と判断します。また、広報する Metric値は、設定されたMetric 値が採用されます。
通信異常が発生した場合、他のネットワークに対して自動的に経路情報の広報が中止されます。なお、監視パケットは、ping コマンド同様、ICMP ECHO Request、および ICMP ECHO Reply を使用しています。このため、フィルタリング条件で、事前に近隣ルータとの pingサービスを PASS 条件で設定してください。
|
目次
索引
|