7. IP の設定
7.5 バックアップの設定
7.5.1 プロバイダ接続がダウンした時に PP バックアップする接続先の指定
[ 書式 ] pp backup none
pp backup pp peer_num [ipsec-fast-recovery=action] pp backup interface ip_address
pp backup tunnel tunnel_num no pp backup
[ 設定値 ] ○none... バックアップ動作しない
○peer_num... バックアップ先として PP を使用する場合の相手先情報番号
○action... バックアップから復帰した直後に SA の再構築を実施するか否か
●on... 再構築する
●off... 再構築しない
○interface... バックアップ先として使用する LAN インタフェース
○ip_address... ゲートウェイの IP アドレス
○tunnel_num... トンネルインタフェース番号
[ 説明 ] PP インタフェースが切断されたときにバックアップするインタフェースを指定する。
バックアップ先のインタフェースが PP インタフェースの場合には、ipsec-fast-recovery オプションを設定で きる。このオプションで on を設定したときには、バックアップから復帰した直後に IPsec の SA をすぐに再構 築するため、IPsec の通信が可能になるまでの時間を短縮できる。
[ ノート ] このコマンドは PP インタフェースごとに設定できる。
PP インタフェースの切断を検知するために pp always-onコマンドで on を設定する必要がある。専用線の場
合には pp always-onコマンドの代わりに、pp keepalive uselcp-echoコマンドを使用する。
[ 初期値 ] none
ipsec-fast-recovery=off
□回線が ISDN 回線である時は、呼が接続されていない場合
□回線が専用線である時には、LCP キープアライブによって通信相手が落 ちたと判断した場合
□回線がフレームリレーであって ”dlci=dlci”を指定している場合には、
PVC 状態確認手順によって指定した DLCI 番号が通信できないと判断し た場合
□pp keepalive use設定によりダウンが検出された場合
94 7.IP の設定
7.5.2 バックアップからの復帰待ち時間の設定
[ 書式 ] pp backup recovery time time no pp backup recovery time [time]
[ 設定値 ] ○time
●秒数 (1..21474836)
●off... すぐに復帰
[ 説明 ] バックアップから復帰する場合には、すぐに復帰させるか、設定された時間だけ待ってから復帰するかを設定する。
[ ノート ] この設定は、すべての PP で共通に用いられる。また専用線バックアップでも FR バックアップでもこの設定が共
通に用いられる。
[ 初期値 ] off
7.5.3 LAN 経由でのプロバイダ接続がダウンした時にバックアップする接続先の指定
[ 書式 ] lan backup interface none
lan backup interface pp peer_num
lan backup interfacebackup_interface ip_address lan backup interface tunnel tunnel_num no lan backup interface
[ 設定値 ] ○none... バックアップ動作しない
○interface...バックアップ対象の LAN インタフェース名
○peer_num...バックアップとして pp を使用する場合の相手先情報番号
○backup_interface...バックアップとして使用する LAN インタフェース
○ip_address...ゲートウェイの IP アドレス
○tunnel_num... トンネルインタフェース番号
[ 説明 ] 指定する LAN インタフェースに対して、LAN 経由でのプロバイダ接続がダウンした場合にバックアップするイ
ンタフェース情報を設定する。
[ ノート ] バックアップ動作のためには、LAN 経由での接続のダウンを検知するために lan keepalive useコマンドでの
設定が併せて必要である。
[ 初期値 ] none
7.5.4 バックアップからの復帰待ち時間の設定
[ 書式 ] lan backup recovery time interfacetime no lan backup recovery time interface [time]
[ 設定値 ] ○interface...バックアップ対象の LAN インタフェース名
○time
●秒数 (1.. 21474836)
●off
[ 説明 ] 指定する LAN インタフェースに対して、バックアップから復帰する場合に、 すぐに復帰させるか、設定された時
間だけ待ってから復帰するかを設定する。
[ 初期値 ] off
7.5.5 LAN 経由のキープアライブを使用するか否かの設定
[ 書式 ] lan keepalive use interface icmp-echo dest_ip [option=value...] [dest_ip [option=value...]...]
lan keepalive use interface arp dest_ip [dest_ip...]
lan keepalive use interface icmp-echo dest_ip [option=value...] [dest_ip [option=value...]...] arp dest_ip [dest_ip...]
lan keepalive use interface off no lan keepalive use interface [...]
[ 設定値 ] ○interface... バックアップ対象の LAN インタフェース名
○dest_ip... キープアライブ確認先の IP アドレス
○option = value列
[ 説明 ] 指定する LAN インタフェースに対して、キープアライブ動作を行うか否かを設定する。icmp-echoを指定すれ
ば ICMP Echo/Reply を用い、arpを指定すれば ARP Request/Reply を用いる。 併記することで併用も可能 である。
[ ノート ] icmp-echo で確認する IP アドレスに対する経路は、バックアップをする LAN インタフェースに向くことが必要
である。
downwaitパラメータで応答時間を制限する場合でも、lan keepalive intervalコマンドの設定値の方が小さい 場合には、lan keepalive intervalコマンドの設定値が優先される。downwait、upwaitパラメータのうち一 方しか設定していない場合には、他方も同じ値が設定されたものとして動作する。
lengthパラメータで指定するのは ICMP データ部分の長さであり、IP パケット全体の長さではない。
[ 初期値 ] キープアライブは使用しない
7.5.6 LAN 経由のキープアライブの時間間隔の設定
[ 書式 ] lan keepalive interval interfaceinterval[count] no lan keepalive interval interface
[ 設定値 ] ○interface... バックアップ対象の LAN インタフェース名
○interval... キープアライブパケットを送出する時間間隔 (1.. 65535)
○count... ダウン検出を判定する回数 (3 ..100)
[ 説明 ] 指定する LAN インタフェースに対して、キープアライブパケットの送出間隔とダウン検出を判定する回数を設定
する。countに設定した回数だけ連続して応答パケットを検出できない場合に、ダウンと判定する。
一度応答が返ってこないのを検出したら、その後のキープアライブパケットの送出間隔は 1 秒に短縮される。そ のため、デフォルトの設定値の場合でもダウン検出に要する時間は 35 秒程度である。
[ 初期値 ] interval = 30 count = 6
7.5.7 LAN 経由のキープアライブのログをとるか否かの設定
[ 書式 ] lan keepalive log interfacelog no lan keepalive log interface
[ 設定値 ] ○interface... バックアップ対象の LAN インタフェース名
○log
●on... ログをとる
●off... ログをとらない
[ 説明 ] キープアライブパケットのログをとるか否かを設定する。
[ 初期値 ] off
option value 説明
upwait ミリ秒 アップ検知のための許容応答時間 (1..10000)
downwait ミリ秒 ダウン検知のための許容応答時間 (1..10000)
length バイト ICMP Echo パケットの長さ (64-1500)
96 7.IP の設定
7.5.8 ネットワーク監視機能の設定
[ 書式 ] ip keepalive num kind interval count gateway [gateway ...] [option=value...]
no ip keepalive num
[ 設定値 ] ○num... このコマンドの識別番号 (1..100)
○kind... 監視方式
●icmp-echo... ICMP Echo を使用する
○interval...キープアライブの送信間隔秒数 (1..65535)
○count... 到達性がないと判断するまでに送信する回数 (3..100)
○gateway...複数指定可 (10 個以内 )
●IP アドレス ...xxx.xxx.xxx.xxx(xxx は十進数 )
●dhcp interface
■interface... DHCP にて与えられるデフォルトゲートウェイを使う場合の、DHCP クライアントと して動作する LAN インタフェース名
○option = value列
[ 説明 ] 指定したゲートウェイに対して ICMP Echo を送信し、その返事を受信できるかどうかを判定する。
[ ノート ] length パラメータで指定するのは ICMP データ部分の長さであり、IP パケット全体の長さではない。
ipsec-refresh、ipsec-refresh-up、ipsec-refresh-down パラメータは、ネットワークバックアップ機能の主 系/従系回線の切り替え時において、IPsec 通信の復旧時間を短縮させる際に有効である。
[ 初期値 ] log = off upwait = 5 downwait = 5 length = 64
ipsec-refresh設定なし ipsec-refresh-up設定なし ipsec-refresh-down設定なし gateway-selection-rule = head
[ 設定例 ] ネットワークバックアップ機能で従系回線 pp11 から主系回線 pp10 へ復旧する際に、IPsec 接続で使用してい
るセキュリティ・ゲートウェイの識別子 3 に属する SA を強制的に更新させる。
# ip route 172.16.0.0/24 gateway pp 10 keepalive 1 gateway pp 11 weight 0
# ip keepalive 1 icmp-echo 5 5 172.16.0.1 ipsec-refresh-up=3
ネットワークバックアップ機能を利用して、IP キープアライブ 1 がダウンしたのをトリガにして経路 172.16.224.0/24 を活性化させる。
# ip route 172.16.112.0/24 gateway null keepalive 1 gateway 172.16.0.1 weight 0
# ip route 172.16.224.0/24 gateway 172.16.112.1 keepalive 2
# ip keepalive 1 icmp-echo 5 5 192.168.100.101
# ip keepalive 2 icmp-echo 5 5 172.16.112.1 gateway-selection-rule=normal
option value 説明
log on SYSLOG を出力する
off SYSLOG を出力しない
upwait 秒数 到達性があると判断するまでの待機時間 (1..1000000)
downwait 秒数 到達性がないと判断するまでの待機秒数 (1..1000000)
length バイト ICMP Echo パケットの長さ (64-1500)
ipsec-refresh
セキュリティ・
ゲートウェイの 識別子
DOWN → UP または UP → DOWN に状態が変化した場 合に、指定のセキュリティ・ゲートウェイに属する SA を強制的に更新 ( 複数指定する場合はカンマで区切る )
ipsec-refresh-up
セキュリティ・
ゲートウェイの 識別子
DOWN → UP に状態が変化した場合のみ、指定のセキュ リティ・ゲートウェイに属する SA を強制的に更新 ( 複 数指定する場合はカンマで区切る )
ipsec-refresh-down
セキュリティ・
ゲートウェイの 識別子
UP → DOWN に状態が変化した場合のみ、指定のセキュ リティ・ゲートウェイに属する SA を強制的に更新 ( 複 数指定する場合はカンマで区切る )
gateway-selection-rule
head
ICMP Echo パケットを送信する際、 該当する経路に複 数のゲートウェイが指定されていても、 必ず最初に指定 されたゲートウェイへ送出する
normal
ICMP Echo パケットを送信する際、 該当する経路に複 数のゲートウェイが指定されていたら、 通常の規則に従 い送出ゲートウェイを選択する
7.5.9 implicit 経路の優先度の設定
[ 書式 ] ip implicit-route preference preference no ip implicit-route preference [preference]
[ 設定値 ] ○preference... implicit 経路の優先度(1..2147483647)
[ 説明 ] implicit 経路の優先度を設定する。
優先度は 1 以上の整数で示され、数字が大きいほど優先度が高い。
implicit 経路が動的経路制御プロトコルで得られた経路または ip routeコマンドで設定された静的な経路と食い 違う場合には、優先度が高い方が採用される。静的な経路と優先度が同じ場合には、静的な経路が優先される。
動的経路制御プロトコルで得られた経路と優先度が同じ場合には、時間的に先に採用された経路が有効となる。
なお、ip implicit-route preferenceコマンドで implicit 経路の優先度を変更しても、その時点で既にルーティ ングテーブルに登録されている implicit 経路の優先度は変更されない。
[ ノート ] implicit 経路とは、IP アドレスを設定したインタフェースが有効な状態になったときに暗黙のうちに登録される
そのインタフェースを経由する経路のことである。例えば、IP アドレスを設定した LAN インタフェースがリン クアップ状態のときには、設定した IP アドレスとネットマスクの組み合わせから決定されるネットワークアドレ スが、その LAN インタフェースを経由する implicit 経路として登録されている。
[ 初期値 ] 10000
7.5.10 フローテーブルの各エントリの寿命を設定する
[ 書式 ] ip flow timer protocol time no ip flow timer protocol [time]
[ 設定値 ] ○protocol... 寿命を指定するプロトコル
●tcp... TCP パケット
●udp... UDP パケット
●icmp... ICMP パケット
●slow... FIN/RST ビットのセットされた TCP パケット
○time... 秒数 (1-21474836)
[ 説明 ] フローテーブルの各エントリの寿命をプロトコル毎に設定する。
FIN/RST の通過したエントリには 'slow' が適用される。
NAT や動的フィルタを使用している場合には、それらのエントリの寿命が適用される。
[ 初期値 ] tcp = 900 udp = 30 icmp = 30 slow = 30