キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

FWSM で RHI を利用する際の注意

RHI (Route Health Injection) は、FWSM から Catalyst 6500 スーパバイザのルートプロセッサーである MSFC にルートを配布する機能となります。FWSM 側の connected ネットワーク、スタティックルート、および NAT プールに対応するルートを Catalyst 6500 側のルーティングテーブルを追加します。Catalyst 6500 側で見れば、追加されたルートの next-hop が FWSM の対応する VLAN のインターフェースアドレスとなっております。

RHI を利用する際に、注意していただきたいのは、FWSM と MSFC 間ルーティングループが発生しないように設計することです。

例えば、以下のような事例では、Catalyst 6500 がデフォルトゲートウェイに到達できなくなった場合、FWSM と MSFC 間でルーティングループが発生します。

ここでは、FWSM のある Context で下記のように、MSFC (10.10.1.1) を next-hop とするデフォルトルートを持っており、AD 値が 200 となっています。同時に、RHI でスタティックルートを MSFC に配布しています。

[FWSM]

route if-msfc 0.0.0.0 0.0.0.0 10.10.1.1 200
route-inject
redistribute static interface if-msfc
redistribute connected interface if-msfc

そして、MSFC 側にも Catalyst 6500 のデフォルトゲートウェイに対するデフォルトルートを持っており、AD 値が 0 となっています。

[MSFC]

ip route 0.0.0.0 0.0.0.0 10.1.1.1

RHI によって、FWSM の 10.10.1.1 へのデフォルトルートが AD 200 で MSFC に配布され、FWSM 側の対応 VLAN アドレスが next-hop になります。AD 値が小さいルートが選ばれますので、MSFC から 10.1.1.1 に到達できる時は特に問題がないですが、ゲートウェイ向けのインターフェースダウンのようなネットワーク障害でその到達性がなくなりましたら、10.1.1.1 へのデフォルトルートがルーティングテーブルから削除されます。この時点で FWSM と MSFC では相手の VLAN インターフェースのアドレスを next-hop とするデフォルトルートを持つようになってしまい、ルーティングループが発生します。

この問題を回避するには、MSFC 側に予め null0 へのデフォルトルートを 200 より小さい AD 値で定義しておく必要があります。

[MSFC]

ip route 0.0.0.0 0.0.0.0 null0 199

これで、例えば同様な障害が発生しても、RHI で FWSM からもらったルートが選ばれませんので、ループが起きません。この予防措置によって、少なくともゲートウェイを通らないトラフィックへの影響を抑えることができます。

RHI を利用する際には、このようなルーティングループを念頭において設計したほうがよいです。

バージョン履歴
改訂番号
1/1
最終更新:
‎07-30-2010 03:48 AM
更新者:
 
ラベル(1)