2.18. ネットワークモニタの設定
2.18.1. ネットワークモニタ機能の概要
UNIVERGE IX-R/IX-V シリーズでは、ネットワークモニタ機能をサポートしています。
ネットワークモニタ機能では、ICMP ECHOによるエンドエンドで常時監視やルーティングテーブル上の到達可能経路を監視することで、ネットワークの障害を検出し、迂回ルートに切り替えて通信を確保することができます。
また、同一LAN上にVRRP機能を有するルータをもう一台準備し、ネットワークモニタ機能とVRRP機能(VRRPの設定の節を参照してください)を組み合わせることで、さらなるネットワークの信頼性を向上させることもできます。
注釈
ネットワークモニタ機能には下記の制限事項があります。
ネットワークモニタ機能で隠蔽できるルートはStatic, Connected, ポリシールーティングの経路に限られます。
自分のインタフェースに設定されているアドレスをホスト監視することはできません。
以下に、ネットワークモニタ機能のコマンドと基本動作および設定例について示します。
ネットワークモニタを使用するためには、watchグループを作成する必要があります。 watchグループの作成はグローバルコンフィグで、watch-group コマンドによって行います。ネットワークモニタの各種条件の設定は、watchグループコンフィグモードで行います。
グローバルコンフィグモード
項目
説明
watch-group
watchグループの作成
network-monitor enable
watchグループ監視の起動/停止
network-monitor directed-response
ホスト監視パケットの応答指定
network-monitor startup-delay
watchグループ監視起動遅延時間設定
watchグループコンフィグモード
項目
説明
probe-counter
ICMP個数の設定
probe-timer
各種タイマー値の設定
probe-size
各種サイズの設定
suppress
状態遷移抑止
event ip/ipv6 unreach-host
端末到達不可監視の設定
event ip/ipv6 reach-host
端末到達監視の設定
event ip/ipv6 unreach-route
経路到達不可監視の設定
event ip/ipv6 reach-route
経路到達監視の設定
event ip vr-inactive
VRRP Master以外状態監視の設定
event ip vr-active
VRRP Master状態監視の設定
event watch-group-status
Watchグループ状態監視の設定
event always
常時発生イベントの設定
event interface-up
インタフェースup監視の設定
event interface-down
インタフェースdown監視の設定
action ip/ipv6 shutdown-route
隠蔽経路の設定
action ip/ipv6 resume-route
可視経路の設定
action ip/ipv6 shutdown-policy
ポリシールーティングの無効設定
action ip/ipv6 resume-policy
ポリシールーティングの有効設定
action ip shutdown-vrrp
VRRP shutdown triggerの設定
action ip resume-vrrp
VRRP resume trigger の設定
action invoke-watch-group
watchグループの開始
action revoke-watch-group
watchグループの停止
action ipsec clear-sa
IKE/IPsec SAの削除
action shutdown-interface
インタフェースの停止
action resume-interface
インタフェースの開始
action turn-BAK-LED-on
BAK LED点灯
action ip decrement-vrrp-priority
VRRPプライオリティ変更
action shutdown-device
デバイスの停止
action netmeister-alarm
NetMeisterアラームの設定
clear watch-group session
watchグループのすべてのアクションの復旧
2.18.2. ネットワークモニタの基本動作
ネットワークモニタの基本動作を説明します。
ネットワークモニタでは、端末到達不可監視等の監視条件(イベント)と、経路隠蔽等の監視条件を満たした場合に実行する処理(アクション)を設定します。 監視条件を満たすとイベントは発生(stand)状態となり、アクションが実行されます。監視条件を満たさなくなるとイベントは通常(normal)状態に戻り、アクションは元の状態に戻ります。
ICMP echoにより10.1.1.254の監視を行います。 応答が返らなくなるとイベントが発生し、10.1.30.0/24の経路を隠蔽します。 再度応答が返るようになると、10.1.30.0/24の経路の隠蔽を解除します。 watch-group router-1 10 event 10 ip unreach-host 10.1.1.254 GigaEthernet0.1 action 10 ip shutdown-route 10.1.30.0/24 192.168.1.254
注釈
ネットワークモニタが有効な状態で、イベント発生中にアクションを設定しても実行されません。 ネットワークモニタ有効時に設定を追加する場合は、ネットワークモニタをいったん停止するか、設定後 ”clear watch-group session 【watch グループ名】 ”を実行してください。
2.18.3. イベントの設定
2.18.3.1. イベント共通の動作
2.18.3.1.1. 複数イベントの動作
1つのwatchグループに複数のイベントを設定することができます。 設定時に、イベントにシーケンス番号を設定します。
シーケンス番号は同一watchグループ内で有効です。異なるwatchグループ(watchグループのシーケンス番号が異なる場合も含みます)のシーケンス番号は関連しません。シーケンス番号を省略した場合は、登録順に空いている番号が使用されます。
複数のイベントを設定した場合、以下のいずれかの条件でアクションを実行します。
いずれかのイベントが発生した場合(OR条件:デフォルト動作)
シーケンス番号が異なるイベントはいずれかが発生した場合にアクションを実行します。
一度アクションを実行すると、別のイベントが発生してもアクションは実行しません。アクションの復旧は、すべてのイベントが復旧した場合に実行します。途中いくつかのイベントが復旧した時点では、アクションの復旧は行いません。
図 2.18.1 イベント発生とアクション実行
図 2.18.2 イベント復旧とアクション復旧
watch-group router-1 10 event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254 event 20 ip unreach-host 10.1.2.254 GigaEthernet0.0 192.168.1.254 event 30 ip unreach-host 10.1.3.254 GigaEthernet0.0 192.168.1.254 action 10 ip shutdown-route 10.1.30.0/24 ! network-monitor router-1 enable
すべてのイベントが発生した場合(AND条件)
サブシーケンス番号を設定します。同じシーケンス番号のイベントのすべてが発生した場合に、アクションを実行します。アクションの復旧はいずれかのイベントが復旧した場合に実行します。
図 2.18.3 イベント発生とアクション実行
図 2.18.4 イベント復旧とアクション復旧
watch-group router-2 10 event 10 sub 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254 event 10 sub 20 ip unreach-host 10.1.2.254 GigaEthernet0.0 192.168.1.254 event 10 sub 30 ip unreach-host 10.1.3.254 GigaEthernet0.0 192.168.1.254 action 10 ip shutdown-route 10.1.30.0/24 ! network-monitor router-2 enableOR条件とAND条件の2つが混在する場合は、同じシーケンス番号のイベントはすべてのサブシーケンス番号のイベントが発生した場合に発生と判断し、異なるシーケンス番号のうち、いずれかが発生した場合にアクションが実行されます。
図 2.18.5 イベント発生
watch-group router-2 10 event 10 sub 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254 event 10 sub 20 ip unreach-host 10.1.2.254 GigaEthernet0.0 192.168.1.254 event 20 ip unreach-host 10.1.3.254 GigaEthernet0.0 192.168.1.254 event 30 ip unreach-host 10.1.4.254 GigaEthernet0.0 192.168.1.254 action 10 ip shutdown-route 10.1.30.0/24 ! network-monitor router-2 enable
2.18.3.2. ホスト監視イベントの設定
ネットワークモニタでは、ICMP ECHOを利用したホスト監視により、イベントを発生させることができます。 ホストへの到達不可の検知だけでなく、ホストへ到達可能となったときにもイベントを発生させることができます。
2.18.3.2.1. ホスト監視の基本動作
ホスト監視では、設定したあて先に対してICMP ECHO_REQUESTを送信し、応答として返されるICMP ECHO_REPLYを監視します。
ホスト監視イベントには、到達不能ホスト監視と到達可能ホスト監視の2種類があります。イベントの発生/復旧条件は以下のようになります。
- 到達不能ホスト監視(unreach-host)
ICMP ECHO_REPLYが返ってきた場合、正常状態 タイムアウトした場合、そのホストは障害が発生していると判断し、イベントが発生
- 到達可能ホスト監視(reach-host)
タイムアウトした場合、正常状態 ICMP ECHO_REPLYが返ってきた場合、そのホストは到達可能と判断しイベントが発生
以下は到達不能ホスト監視の場合の例になります。
図 2.18.6 ホスト監視の構成
watch-group router-1 10 event 10 ip unreach-host 10.10.1.2 GigaEthernet0.0 192.168.1.254
注釈
イーサネットでオンリンク上のホスト以外を監視する場合、ネクストホップは省略しないでください。
図 2.18.7 ネットワーク設計上の注意点
UNIVERGE IX-R/IX-V シリーズから送信されるICMP ECHO_REQUESTは、ルーティングテーブルの情報に従わず、設定された情報を基に送信します。 送信されたICMP ECHO_REQUEST、応答のICMP ECHO_REPLYは通常のICMP ECHO_REQUEST/REPLYと同様に扱われます。 そのため、途中の装置では、ルーティングテーブルの情報にしたがって転送されます。
途中の経路状態によっては、ICMP ECHO_REQUESTとは異なる経路で、ICMP ECHO_REPLYが到達する場合があります。 通った経路に関係なく、ICMP ECHO_REPLYが到達すると、ネットワークモニタでは正常に監視できていると見なされます。
ネットワーク設計時には注意してください。
ネットワークモニタにおけるホスト監視時に使用される、ICMP ECHO_REQUEST、ICMP ECHO_REPLYに関する設定可能なパラメータについて示します。
項目
説明
WATCH-COUNT
VARIANCE-COUNT
VARIANCE-PERCENT
RESTORE-COUNT
RESTORE-PERCENT
VARIANCE-WATCH-INT
RESTORE-WATCH-INT
WAIT-TIME
DATA-SIZE
カウンタ、タイマーはwatchグループ設定モードで設定を行います。
watch-group router-1 10 probe-counter watch WATCH-COUNT probe-counter variance VARIANCE-COUNT percent VARIANCE-PERCENT probe-counter restorer RESTORE-COUNT percent RESTORE-PERCENT probe-timer variance VARIANCE-WATCH-INT probe-timer restorer RESTORE-WATCH-INT probe-timer wait WAIT-TIME probe-size DATA-SIZE
2.18.3.2.2. イベント発生条件
デフォルト設定の場合、以下の条件で発生/復旧します。 通常状態では指定間隔(VARIANCE-WATCH-INT)でICMP ECHO-REPLYを送信し、指定回数(VARIANCE-COUNT)連続して監視条件を満たさなかった場合に、イベントが発生し障害状態となります。 障害状態では指定間隔(RESTORE-WATCH-INT)でICMP ECHO-REPLYを送信し、指定回数(RESTORE-COUNT)連続して監視条件を満たす場合に、イベントが復旧して通常状態となります。
図 2.18.8 unreach-hostの場合の動作例
指定回数に対する割合(VARIANCE-PERCENT、RESTORE-PERCENT)を超えた場合にイベントを発生/復旧させることが可能です。
図 2.18.9 パーセント指定の場合の動作例
6回中50%ホスト監視が失敗した場合、イベントを発生 watch-group test1 10 event 10 ip unreach-host 10.0.0.1 Tunnel1.0 action 10 ip shutdown-route 192.168.0.0/24 Tunnel1.0 probe-counter variance 6 percent 50 ! network-monitor test1 enable
2.18.3.2.3. ホスト監視パケット応答指定
片方向の通信障害が発生しているような状況では、双方向の監視を行っている場合、片方のみ障害を検出し迂回経路を選択する可能性があります。 このため、回線障害が発生しているにもかかわらず、往復の経路が異なり、正常に通信できているように見えてしまいます。
ネットワークモニタの監視用ICMP ECHO REQUESTを送信するインタフェースから受信したICMP ECHO REQUESTに対するICMP ECHO REPLYは、ルーティングテーブルには依存せず、受信したインタフェースから送信することにより、往復で同じ経路を監視することができます。
UNIVERGE IX-R/IX-V シリーズおよびUNIVERGE IX2000/IX3000シリーズが双方向でネットワークモニタにより監視を行っている場合、network-monitor directed-responseコマンドを設定することにより、応答のパケットも監視しているインタフェースから送信することが可能(※)となります。 ただし、ネットワークモニタ以外、ping実行時のICMP ECHO REQUESTに対しても、受信インタフェースからICMP ECHO REPLYを送信しますので、到達性確認等の作業を行う場合はご注意ください。
対応可能なインタフェースはトンネルインタフェースやPPPなど、ポイントツーポイントのインタフェースのみとなります。
注釈
監視の送信元と送信先が相手側(送信先)の設定と合っていない場合は動作しません。
図 2.18.10 ホスト監視パケットの応答指定設定時の動作例
ip route default Tunnel0.0 ip route default 172.16.1.2 metric 10 ! watch-group test 10 event 10 ip unreach-host 10.10.1.2 Tunnel0.0 source GigaEthernet1.0 action 10 ip shutdown-route 0.0.0.0/0 Tunnel0.0 ! network-monitor test directed-response network-monitor test enable ! interface GigaEthernet0.0 ip address 192.168.1.1/24 no shutdown ! interface GigaEthernet1.0 ip address 172.16.1.254/24 no shutdownip route default Tunnel0.0 ip route default 10.10.1.3 metric 10 ! watch-group test 10 event 10 ip unreach-host 172.16.1.254 Tunnel0.0 source GigaEthernet1.0 action 10 ip shutdown-route 0.0.0.0/0 Tunnel0.0 ! network-monitor test directed-response network-monitor test enable ! interface GigaEthernet0.0 ip address 10.10.2.2/24 no shutdown ! interface GigaEthernet1.0 ip address 10.10.1.2/24 no shutdown
2.18.3.3. 経路監視イベントの設定
ネットワークモニタではホスト監視によるイベント発生のほかに、ルーティングテーブルの経路を監視することによりイベントを発生させることができます。 また、特定経路が現れたときにイベントを発生させることもできます
2.18.3.3.1. 経路監視の基本動作
ルーティングテーブルの情報を監視し、ルーティングテーブル上にその経路がエントリされていれば正常と見なし、エントリされていなければ障害が発生していると見なします。
図 2.18.11 ルーティングテーブル
watch-group router-1 10 event 10 ip unreach-route 10.10.1.0/24 192.168.1.254
注釈
ネクストホップを省略した場合は、ルーティングテーブル上の10.10.1.0/24に関わるすべてが対象となるため、すべてのエントリが削除されないかぎり、障害発生と見なしません。
ルーティング情報は以下の周期で監視を行います。
項目
説明
VARIANCE-WATCH-INT
RESTORE-WATCH-INT
アドレス更新周期(名前解決後) | イベント復旧を判定する周期 | (イベント発生時のみ有効) | (デフォルト: 5秒) | msec単位の指定が可能
2.18.3.3.2. 経路監視の設定
10.1.1.0/24 への経路監視によるイベント発生時に、10.1.31.0/24 の経路を隠蔽します。また、suppress-restoration オプションにより、この経路監視が正常に戻ったときに自動的に回復させないようにします。
watch-group router-1 10
event 10 ip unreach-route 10.1.1.0/24
action 10 ip shutdown-route 10.1.31.0/24 suppress-restoration
2.18.3.4. VRRP状態監視イベントの設定
VRRPの状態を監視することにより、VRRPがマスターになった時、または、VRRPがマスター以外になった時にイベントを発生させることができます。
VRRPの状態監視は以下の周期で行います。
項目
説明
VARIANCE-WATCH-INT
RESTORE-WATCH-INT
アドレス更新周期(名前解決後) | イベント復旧を判定する周期 | (イベント発生時のみ有効) | (デフォルト: 5秒) | msec単位の指定が可能
GigaEthernet0.0のVRID=1のVRRPがマスター以外になった時に、10.1.31.0/24 の経路を隠蔽します。 vrrp enable ! watch-group router-1 10 event 10 ip vr-inactive 1 action 10 ip shutdown-route 10.1.31.0/24 ! interface GigaEthernet0.0 ip address 10.0.0.1/24 vrrp 1 ip 10.0.0.254 no shutdown
2.18.3.5. watchグループ状態監視イベントの設定
他のwatchグループの状態を監視することにより、watchグループの状態が変更になった時にイベントを発生させることができます。
watchグループの状態が変更した時点でイベントが発生します。
watchグループwatch1、シーケンス番号10がstandになった時に、10.1.1.0/24 の経路を隠蔽します。 watch-group watch1 10 event 10 ip unreach-host 10.0.0.1 Tunnel0.0 ! network-monitor watch1 enable ! watch-group test 10 event 10 watch-group-status watch1 10 stand action 10 ip shutdown-route 10.1.1.0/24 ! network-monitor test enable
2.18.3.6. 常時発生/復旧イベントの設定
即時に発生/復旧するイベントを設定することができます。watchグループ起動直後にイベントが発生するため、アクションもwatchグループ起動直後に実行されます。
有効化するアクション(resume-route,resume-policy等)は、アクションにより隠蔽(shutdown-route,shutdown-policy等)する必要があります。 イベントに常時発生イベントを設定し、これらのアクションを設定することにより、最初に隠蔽のアクションを実行させておくことが可能となります。
192.168.0.1へ到達不可能となった場合に、10.0.0.0/24の経路を有効化します。 watchグループtest2 10にて常時イベントを使用することにより、ネットワークモニタ起動後に10.0.0.0/24の経路が隠蔽されます。 watchグループtest2 20にて通常の監視設定を行います。 watch-group test2 10 event 10 always stand action 10 ip shutdown-route 10.0.0.0/24 Tunnel1.0 ! watch-group test2 20 event 10 ip unreach-host 192.168.0.1 Tunnel2.0 action 10 ip resume-route 10.0.0.0/24 Tunnel1.0 ! network-monitor test2 enable
いったんネットワークモニタが有効な状態で、コマンドを設定した場合は、すぐにイベント発生と判断されるため、その後にアクションを設定しても実行されません。ネットワークモニタ有効時に設定を追加する場合は、ネットワークモニタをいったん停止するか、または、設定後clear watch-group session [watchグループ名]を実行してください。これは同一内容の設定を再設定する場合も同様です。
2.18.3.7. インタフェース状態監視の設定
インタフェース状態を監視することにより、インタフェースがup/downした時にイベントを発生させることができます。
GigaEthernet0.0がdownした場合に、Tunnel0.0をshutdownします。 watch-group test 10 event 10 interface-down GigaEthernet0.0 action 10 shutdown-interface Tunnel0.0 ! network-monitor test enable
2.18.4. アクションの設定
2.18.4.1. アクション共通の動作
アクションは、イベント(ホスト/ネットワーク不到達等)発生時に実行され、イベント復旧時に元の状態に復旧します。actionコマンドのパラメータにsuppress-restorationオプションを指定することにより、イベント復旧時にアクションを復旧させないこともできます。この場合、clear watch-group sessionコマンドを実行することにより、アクションを復旧させることができます。
ただし、以下のアクションは、イベント復旧時、アクションの復旧を行いません。
IKE/IPsec SAの削除
1つのwatchグループに複数のアクションを設定することができます。設定時に、アクションに、シーケンス番号を設定します。
複数のアクションを設定している場合は、アクションの実行はシーケンス番号順に行います。
図 2.18.12 アクション実行・復旧
watch-group router-1 10 event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254 action 10 ip shutdown-route 10.1.30.0/24 action 20 ip shutdown-route 10.1.31.0/24 action 30 ip shutdown-route 10.1.32.0/24 ! network-monitor router-1 enable
同一のターゲットに対するアクションを複数のwatchグループで設定している場合は、いずれかのwatchグループのイベントが発生した場合にアクションを実行、すべてのwatchグループのイベントが復旧した場合にアクションを復旧します。
以下の設定例では、10.1.30.0/24を隠蔽するアクションがtest1,test2の2つのwatchグループで設定されています。この場合、test1,test2のどちらか一方のイベントが発生するとアクションを実行します。 また、test1,test2両方のイベントが復旧するとアクションが復旧します。
watch-group test1 10 event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254 action 10 ip shutdown-route 10.1.30.0/24 ! watch-group test2 10 event 10 ip unreach-host 10.1.2.254 GigaEthernet0.0 192.168.1.254 action 10 ip shutdown-route 10.1.30.0/24
2.18.4.2. 経路の隠蔽・可視化
経路の隠蔽・可視化の設定を行うことにより、イベント発生時にルーティングテーブルの経路変更によって、パケットの送出先を変更することができます。
隠蔽・可視化を行うことのできる経路は以下のとおりです。
隠蔽:Static,Connectedの経路
可視化:ネットワークモニタ機能で隠蔽した経路
10.1.1.254 へのホスト監視によるイベント発生時に、10.1.31.0/24 の経路を隠蔽します。また、suppress-restoration オプションにより、このホスト監視が正常に戻ったときに自動的に回復させないようにします。 watch-group router-1 10 event 10 ip unreach-host 10.1.1.254 GigaEthernet0.1 action 10 ip shutdown-route 10.1.31.0/24 suppress-restoration
2.18.4.3. VRRPとの連携
2.18.4.3.1. VRRPシャットダウントリガ
UNIVERGE IX-R/IX-V シリーズのネットワークモニタでは、VRRP機能と連携することにより、より高度で信頼性の高いネットワークを構築することができるようになります。 VRRPシャットダウントリガのためのイベントとVRRPレジュームトリガのためのイベントを分けることにより、さらに高度なVRRP制御が可能となっています。 以下にVRRPとネットワークモニタ機能の組み合わせの概要を説明します。
図 2.18.13 VRRPの通常状態
図 2.18.14 ネットワークモニタでの障害検出
図 2.18.15 VRRPシャットダウントリガによる状態変更
vrrp enable ! watch-group host-watch 10 event 10 ip unreach-host 10.1.1.254 GigaEthernet1.1 action 10 ip shutdown-vrrp 1 ! network-monitor host-watch enable interface GigaEthernet0.0 ip address 172.16.1.254/24 no ip redirects vrrp 1 ip 172.16.1.1 vrrp 1 priority 200 no shutdownip route default 10.1.2.254 vrrp enable ! interface GigaEthernet0.0 ip address 172.16.1.253/24 no ip redirects vrrp 1 ip 172.16.1.1 no shutdownデフォルトルートを172.16.1.1と設定します。 ルータの実アドレスは使用しません。
注釈
VRRP シャットダウントリガを使用するときは必ず実 IP アドレスと VRRP 仮想 IP アドレスを別の値にする必要があります。VRRP 仮想アドレスと実アドレスを同一にした場合、そのルータの VRRP 優先度は "255"となり、必ずマスタールータになるためです。
2.18.4.3.2. VRRP優先度変更
アクションによりVRRP優先度を減算することが可能です。VRRPシャットダウンではVRRPはInit状態となり停止しますが、優先度変更では、自装置の優先度がネットワークで最大であればVRRPマスターとして動作します。
VRRP仮想IPアドレスが実IPアドレス(アドレスオーナー)の場合、優先度変更は無視されます。
10.1.1.254への到達不可となった場合、VRRPの優先度を100減算します。 アクションが実行された場合、マスタールータ側の優先度は50となるため、バックアップアップルータ側が新しくVRRPマスターとなります。 バックアップルータが停止した場合は、再度マスタールータ側がVRRPマスターとなります。vrrp enable ! watch-group host-watch 10 event 10 ip unreach-host 10.1.1.254 GigaEthernet1.1 action 10 ip decrement-vrrp-priority 1 100 ! network-monitor host-watch enable ! interface GigaEthernet0.0 ip address 172.16.1.254/24 no ip redirects vrrp 1 ip 172.16.1.1 vrrp 1 priority 150 no shutdownip route default 10.1.2.254 vrrp enable ! interface GigaEthernet0.0 ip address 172.16.1.253/24 no ip redirects vrrp 1 ip 172.16.1.1 no shutdownデフォルトルートを172.16.1.1と設定します。 ルータの実アドレスは使用しません。
複数watchグループにおいて減算を行い、減算した結果が0以下となる場合は、優先度は1として動作します。また、アクションが復旧した場合も、1以上になるまでは、優先度は1として動作します。
複数watchグループからVRRP優先度変更を行った場合の動作例 watch-group test1 10 event 10 ip unreach-host 192.168.0.1 Tunnel1.0 action 10 ip decrement-vrrp-priority 1 60 ! network-monitor test1 enable ! watch-group test2 10 event 10 ip unreach-host 192.168.0.2 Tunnel1.0 action 10 ip decrement-vrrp-priority 1 60 ! network-monitor test2 enable ! watch-group test3 10 event 10 ip unreach-host 192.168.0.3 Tunnel1.0 action 10 ip decrement-vrrp-priority 1 60 ! network-monitor test3 enable ! interface GigaEthernet0.0 ip address 172.16.1.254/24 no ip redirects vrrp 1 ip 172.16.1.1 no shutdown
動作
減産結果
watchグループ状態
補足
test1
test2
test3
100
100
正常
正常
正常
40
40
障害発生(-60)
正常
正常
1
-20
障害
障害発生(-60)
正常
結果がマイナスの場合は1
1
-80
障害
障害
障害発生(-60)
結果がマイナスの場合は1
1
-20
障害
障害
障害復旧(+60)
結果がマイナスの場合は1
40
40
障害
障害復旧(+60)
正常
100
100
障害復旧(+60)
正常
正常
2.18.4.4. ポリシールーティングとの連携
ネットワークモニタのイベント発生時に、指定インタフェースのポリシールーティングを有効・無効にすることができます。 また、ローカルパケットのポリシールーティングについても、有効・無効にすることができます。
ポリシールーティングの詳細については、ポリシールーティングの項を参照してください。
20.0.0.1へ到達不可となった場合、TCPパケットのポリシールーティングの設定を無効にする。
ip access-list acl1 permit tcp src any sport any dest any dport any
!
watch-group prte 10
event 10 ip unreach-host 20.0.0.1 GigaEthernet1.0 10.1.1.254
action 10 ip shutdown-policy GigaEthernet0.0
!
network-monitor prte enable
!
route-map rmap permit 10
match ip address access-list acl1
set ip next-hop 10.1.1.254
!
interface GigaEthernet0.0
ip address 10.1.1.1/24
no ip redirects
ip policy route-map rmap
no shutdown
route-mapのシーケンス番号単位に有効・無効を設定することができます。
図 2.18.16 ポリシールーティングとの構成
10.0.0.1へ到達不可となった場合、ルータ1へのポリシールーティングを無効にし、 20.0.0.1へ到達不可となった場合、ルータ2へのポリシールーティングを無効にする。 ! ip route default 192.168.0.100 ! ip access-list host1 permit ip src 192.168.0.1/32 dest any ip access-list host2 permit ip src 192.168.0.2/32 dest any ! watch-group router1 10 event 10 ip unreach-host 10.0.0.1 GigaEthernet0.0 100.0.0.1 action 10 ip shutdown-policy GigaEthernet2.0 route-map-seq 10 ! network-monitor router1 enable ! watch-group router2 10 event 10 ip unreach-host 20.0.0.1 GigaEthernet1.0 200.0.0.1 action 10 ip shutdown-policy GigaEthernet2.0 route-map-seq 20 ! network-monitor router2 enable ! route-map rmap permit 10 match ip address access-list host1 set ip next-hop 100.0.0.1 ! route-map rmap permit 20 match ip address access-list host2 set ip next-hop 200.0.0.1 ! interface GigaEthernet0.0 ip address 100.0.0.254/24 no shutdown ! interface GigaEthernet1.0 ip address 200.0.0.254/24 no shutdown ! interface GigaEthernet2.0 ip address 192.168.0.254/24 ip policy route-map rmap no shutdown
2.18.4.5. IPsecとの連携
ネットワークモニタのイベント発生時に、IKE/IPsec SAを削除することができます。 デフォルトではIKE/IPsec両方のSAを削除します。 設定により、IPsecのSAのみ削除することも可能です。 このアクションはイベント発生時にのみ実行し、イベント復旧時には何も行いません。IKE/IPsecの詳細については、IKE/IPsecの項を参照してください。
Tunnel0.0のIPsecトンネルを監視し、障害発生時に、IPsec SAの削除を行う。 (IKE/IPsecの設定は省略します) watch-group ipsec-keepalive 10 event 10 ip unreach-host 192.168.0.2 Tunnel0.0 action 10 ipsec clear-sa Tunnel0.0 mode ipsec-only ! network-monitor ipsec-keepalive enable
周期的にSAを監視することでアクション実行中に作成されたSAも削除を行います。監視周期は「復旧時間 ×(監視回数+2)」で、それ以上の値で変更も可能です。
2.18.4.6. インタフェースの停止・開始
イベント発生時にインタフェースの停止・開始を行うことができます。インタフェースの開始は、ネットワークモニタのアクションにより停止を行っているインタフェースに対してのみ行うことができます。
shutdownを設定しているインタフェースに対して、インタフェースの開始を行うことはできませんが、インタフェースの停止は有効になります。 ネットワークモニタによりインタフェース停止中は、no shutdown を設定しても、インタフェースは有効になりません。 イベントが復旧するか、インタフェース開始のアクションを実行することで、インタフェースが有効になります。
10.1.1.254 へのホスト監視によるイベント発生時に、GigaEthernet0.0を停止します。 watch-group router-1 10 event 10 ip unreach-host 10.1.1.254 GigaEthernet1.0 action 10 shutdown-interface GigaEthernet0.0
2.18.4.7. デバイスの停止
イベント発生時にデバイスの停止を行うことができます。停止可能なデバイスはEthernetデバイスのみとなります。USBデバイスはアクションにより停止することはできません。
ネットワークモニタによりデバイス停止中は、no shutdownを設定しても、デバイスは有効にはなりません。イベントが復旧することによりデバイスが有効になります。
10.1.1.254 へのホスト監視によるイベント発生時に、GigaEthernet0を停止します。 watch-group router-1 10 event 10 ip unreach-host 10.1.1.254 GigaEthernet1.0 action 10 shutdown-device GigaEthernet0
2.18.4.8. BAK-LEDの点灯
10.1.1.254 へのホスト監視によるイベント発生時に、192.168.0.0/24の経路を隠蔽し、 BAK-LEDを点灯します。 watch-group router-1 10 event 10 ip unreach-host 10.1.1.254 GigaEthernet1.0 action 10 ip shutdown-route 192.168.0.0/24 GigaEthernet0.1
2.18.4.9. NetMeisterアラーム通知
10.1.1.254 へのホスト監視によるイベント発生時に、NetMeisterにアラームを送信します。 ! watch-group router1 10 event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 10.0.0.1 action 10 netmeister-alarm severity warn description wan-watch
2.18.5. watchグループ毎の設定
2.18.5.1. watchグループ監視起動遅延時間設定
装置の再起動の際にwatchグループによる監視の開始を遅らせることができます。 装置起動から設定した遅延時間の間は、イベントの監視を行いません。 これにより、装置起動直後の経路情報が安定していない状態のときに迂回が発生することを回避することができます。
本機能は、装置起動直後のみ有効です。 装置起動から指定時間経過後は従来の動作となります。
図 2.18.17 遅延時間設定を行わない場合の動作例
図 2.18.18 遅延時間設定を行った場合の動作例
起動開始後、200秒後にイベント監視を開始します。 watch-group router-1 10 event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254 action 10 ip shutdown-route 10.1.31.0/24 ! network-monitor router-1 enable network-monitor router-1 startup-delay 200
2.18.5.2. 状態変更抑止
一定時間にwatchグループの状態が一定回数変化した場合、一定時間watchグループの状態変更を抑止することができます。 これにより、短時間に状態変更が繰り返されるような不安定な状態が継続している場合は、状態を変更させずに、安定したネットワーク運用を行うことが可能となります。
抑止期間中に状態変更が発生しなかった場合、その時点の状態に応じて状態を変更します。抑止期間中に状態変更が発生した場合は、その時点から抑止時間を計測します。
図 2.18.19 状態変更抑止
300秒以内に5回復旧が発生した場合、600秒間復旧を抑止します。 watch-group router-1 10 event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254 action 10 ip shutdown-route 10.1.31.0/24 suppress restoration period 300 count 5 suppress-time 600 ! network-monitor router-1 enable
2.18.5.3. 複数のwatchグループの連動
シーケンス番号の設定により、複数のwatchグループを1つのwatchグループとして管理することができます。
watchグループを開始した時は、最も低いシーケンス番号のwatchグループが実行され、このwatchグループのイベントが発生すると、次のシーケンス番号のwatchグループが実行されます。 通常は、そのwatchグループのイベントが復旧するとwatchグループは停止します。 しかし、1つのwatchグループの中で、複数のwatchグループを実行している時に、低いシーケンス番号のwatchグループが復旧した場合は、そのシーケンス番号より大きいシーケンス番号のwatchグループは、すべて停止します。 watchグループ停止の際、実行していたactionはすべて復旧します(actionを復旧しない設定の場合を除く)。
1つのwatchグループ内に同じシーケンス番号のwatchグループを設定することはできません。
シーケンス番号省略時は、登録順に空いている番号が使用されます。
図 2.18.20 複数設定時のシーケンス
watch-group router-1 10 event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254 action 10 ip shutdown-route 10.1.31.0/24 ! watch-group router-1 20 event 10 ip unreach-host 10.1.2.254 GigaEthernet0.0 192.168.1.254 action 10 ip shutdown-route 10.1.32.0/24 ! watch-group router-1 30 event 10 ip unreach-host 10.1.3.254 GigaEthernet0.0 192.168.1.254 action 10 ip shutdown-route 10.1.33.0/24 ! network-monitor router-1 enable
2.18.6. その他の動作モード
以下のモードは、ネットワークモニタの最大プロファイル数に近い値で使用する場合に、負荷の軽減のために使用してください。特に問題がない場合は、通常のホスト監視モードで使用してください。
2.18.6.1. パッシブモード
パッシブモードでは、相手からのICMP ECHO パケットの監視を行います。通常のICMP ECHOを送信する間隔で、相手装置からICMP ECHOが届いているかの監視を行い、パケットが届いている場合は通信可能と判断します。最初に相手からパケットを受信するまでは、ready状態となり、障害状態にはなりません。パッシブモードを設定した場合、自装置からは、ICMP ECHOの送信は行いません。
パッシブモードの設定を行う場合、相手装置では通常のホスト監視を設定する必要があります。また、お互いの装置で以下の設定を一致させる必要があります。
片方の監視先アドレスと、もう一方のソースアドレス
障害監視の間隔(VARIANCE-WATCH-INT,RESTORE-WATCH-INT)
パッシブモードの場合、送信間隔の間にパケットが到達すると通信可能と判断します。そのため、相手装置での応答タイムアウト時間(WAIT-TIME)が短い場合、遅延が発生すると相手装置では障害状態となりますが、パッシブモード設定側は正常のままとなり、対向で状態が不一致となる可能性があります。RTT監視など、応答タイムアウト時間を短くする場合はご注意ください。
図 2.18.21 パッシブモードの動作例
図 2.18.22 パッシブモードの構成
ip route 192.168.0.0/24 10.0.1.254 ip route 192.168.0.2/32 10.0.1.254 ip route default 10.0.0.254 ! watch-group passive-watch 10 event 10 ip unreach-host 192.168.0.2 GigaEthernet1.0 10.0.1.254 source GigaEthernet0.0 probe-mode passive event 10 action 10 ip shutdown-route 192.168.0.0/24 10.0.1.254 probe-counter variance 1 probe-timer restorer 10 ! network-monitor passive-watch enable ! interface GigaEthernet0.0 ip address 10.0.0.1/24 no shutdown ! interface GigaEthernet1.0 ip address 10.0.1.1/24 no shutdownip route 10.0.0.0/24 192.168.1.254 ip route 10.0.0.1/32 192.168.1.254 ip route default 192.168.0.254 ! watch-group host-watch 10 event 10 ip unreach-host 10.0.0.1 GigaEthernet1.0 192.168.1.254 source GigaEthernet0.0 action 10 ip shutdown-route 10.0.0.0/24 192.168.1.254 probe-counter variance 1 probe-timer restorer 10 ! network-monitor host-watch enable ! interface GigaEthernet0.0 ip address 192.168.0.2/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.2/24 no shutdown
2.18.6.2. トラフィックベースプローブモード
トラフィックベースプローブモードでは、ICMP ECHOを送信する周期で、ICMP ECHOを送信インタフェースからデータを受信している場合は、インタフェースの到達性があると判断し、ICMP ECHOの送信を行いません。 ICMP ECHO/ECHO REPLYはデータ受信確認の対象外となります。これらのパケットのみ受信している場合は、データを受信していないと判断し、ICMP ECHOの送信を行います。 データ受信の有無は統計情報から判断するため、ICMP ECHOを送信するインタフェースがポイントツーポイント(トンネル,PPP等)以外の場合、受信の統計からはどの装置から受信したデータか判断できません。 したがって、トラフィックベースプローブモードは、ポイントツーポイントインタフェースの場合のみ有効です。
図 2.18.23 トラフィックベースプローブモードの場合の動作例
トラフィックベースプローブモードの場合、次のような構成で、IX-R(A)からIX-R(B)を監視し、IX-R(A)側から192.168.0.0/24へのトラフィックが定常的に発生している場合、192.168.0.2のインタフェースがdownしても、destination unreachable がIX-R(B)からトンネルインタフェース経由で送信されるため、IX-R(A)のネットワークモニタでは障害を検出できません。
トラフィックベースプローブモードは、ポイントツーポイント区間の障害の監視の場合のみ、使用してください。
図 2.18.24 トラフィックベースプローブモードの構成
ip route default Tunnel0.0 ip route default 10.0.0.254 metric 100 ip route 192.168.1.2/32 10.0.1.254 ! watch-group traffic-watch 10 event 10 ip unreach-host 192.168.0.2 Tunnel0.0 probe-mode traffic event 10 action 10 ip shutdown-route 0.0.0.0/0 Tunnel0.0 probe-counter variance 1 probe-timer restorer 10 ! network-monitor traffic-watch enable ! interface GigaEthernet0.0 ip address 10.0.0.1/24 no shutdown ! interface GigaEthernet1.0 ip address 10.0.1.1/24 no shutdown ! interface Tunnel0.0 tunnel mode 4-over-4 tunnel destination 192.168.1.2 tunnel source 10.0.1.1 ip unnumbered GigaEthernet0.0 no shutdown
2.18.7. 使用例
2.18.7.1. RTT(Round Trip Time)監視の例
msec単位の監視が行えます。これを利用してRTTを監視することができます。 以下のようなRTT監視を考えます。
通常はメインルートを利用
メインルートのRTTが200msec以上となった場合は、バックアップルートを利用
メインルートのRTTが200msec以上かつ、バックアップルートのRTTが400msec以上となった場合、再度、メインルートを利用
メインルートの応答がない場合は、バックアップルートを利用
図 2.18.25 メインルートのRTTが200msec以上の場合
図 2.18.26 メインルートのRTTが200msec以上だが、バックアップルートのRTTが400msec以上の場合
図 2.18.27 メインルートで応答なしの場合
ip route 10.1.30.0/24 192.168.1.254 metric 10 ip route 10.1.30.0/24 192.168.2.254 metric 20 ! watch-group watch_main 10 event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254 probe-timer wait msec 200 ! メインルートのRTT監視 ! watch-group watch_main 20 event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254 action 10 ip shutdown-route 10.1.30.0/24 192.168.1.254 ! メインルートの応答が200msec以上になると起動 ! 2sec応答が来ない場合(通信不可と判断)、メインルートの経路を削除 ! 条件(4)用 ! network-monitor watch_main enable ! watch-group watch_backup 10 event 10 sub 10 ip reach-host 10.1.2.254 GigaEthernet1.0 192.168.2.254 event 10 sub 20 watch-group-status watch_main 10 stand action 10 ip shutdown-route 10.1.30.0/24 192.168.1.254 probe-timer wait msec 400 ! バックアップルートの応答が400msec以内で、かつ、 ! メインルートの応答が200msec以上の場合にメインルートを削除 ! バックアップルートの応答が400msec以上になると、event 10 sub 10の監視が ! 正常となるため、メインルートが復旧 ! 条件(2),(3)用 ! network-monitor watch_backup enable ! interface GigaEthernet0.0 ip address 192.168.1.1/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.1/24 no shutdown
2.18.8. ネットワークモニタ機能の注意事項
ネットワークモニタ機能には、いくつかの注意事項があります。
2.18.8.1. 同一リンクにないターゲット監視(イーサネットの場合のみ)
同一リンクにないターゲット(ホスト)を監視するには、next-hop指定を必ず使用してください。
2.18.8.2. ネスティング
watchグループのactionでwatchグループを起動するようなネスティングは無限呼び出しとなる場合があります。この場合、正常には動作しなくなりますので、設定には十分注意してください。
2.18.8.3. ホスト監視での100対地以上の使用
ホスト監視の場合、ICMP ECHO_REQUESTを送信するため、対地数が増えるとシステムの負荷が上昇します。これを避けるため、対地数が100を超える場合は、送信間隔を長めに設定してください。
送信間隔については、以下の値を推奨します。
対地数128:送信間隔 平均8秒
対地数256:送信間隔 平均10秒
対地数512:送信間隔 平均15秒
2.18.8.4. msec指定の場合の対地数
監視周期をmsec単位に指定可能となっています。ただし、msec指定は装置に負荷がかかるため、1秒以下に設定する場合は、対地数は10以下を推奨します。