2.18. ネットワークモニタの設定

2.18.1. ネットワークモニタ機能の概要

UNIVERGE IX-R/IX-V シリーズでは、ネットワークモニタ機能をサポートしています。

ネットワークモニタ機能では、ICMP ECHOによるエンドエンドで常時監視やルーティングテーブル上の到達可能経路を監視することで、ネットワークの障害を検出し、迂回ルートに切り替えて通信を確保することができます。

また、同一LAN上にVRRP機能を有するルータをもう一台準備し、ネットワークモニタ機能とVRRP機能(VRRPの設定の節を参照してください)を組み合わせることで、さらなるネットワークの信頼性を向上させることもできます。

注釈

  • ネットワークモニタ機能には下記の制限事項があります。

    • ネットワークモニタ機能で隠蔽できるルートはStatic, Connected, ポリシールーティングの経路に限られます。

    • 自分のインタフェースに設定されているアドレスをホスト監視することはできません。

以下に、ネットワークモニタ機能のコマンドと基本動作および設定例について示します。

ネットワークモニタを使用するためには、watchグループを作成する必要があります。 watchグループの作成はグローバルコンフィグで、watch-group コマンドによって行います。ネットワークモニタの各種条件の設定は、watchグループコンフィグモードで行います。

  • グローバルコンフィグモード

    項目

    説明

    watch-group

    watchグループの作成

    network-monitor enable

    watchグループ監視の起動/停止

    network-monitor directed-response

    ホスト監視パケットの応答指定

    network-monitor startup-delay

    watchグループ監視起動遅延時間設定

  • watchグループコンフィグモード

    項目

    説明

    probe-counter

    ICMP個数の設定

    probe-timer

    各種タイマー値の設定

    probe-size

    各種サイズの設定

    suppress

    状態遷移抑止

    event ip/ipv6 unreach-host

    端末到達不可監視の設定

    event ip/ipv6 reach-host

    端末到達監視の設定

    event ip/ipv6 unreach-route

    経路到達不可監視の設定

    event ip/ipv6 reach-route

    経路到達監視の設定

    event ip vr-inactive

    VRRP Master以外状態監視の設定

    event ip vr-active

    VRRP Master状態監視の設定

    event watch-group-status

    Watchグループ状態監視の設定

    event always

    常時発生イベントの設定

    event interface-up

    インタフェースup監視の設定

    event interface-down

    インタフェースdown監視の設定

    action ip/ipv6 shutdown-route

    隠蔽経路の設定

    action ip/ipv6 resume-route

    可視経路の設定

    action ip/ipv6 shutdown-policy

    ポリシールーティングの無効設定

    action ip/ipv6 resume-policy

    ポリシールーティングの有効設定

    action ip shutdown-vrrp

    VRRP shutdown triggerの設定

    action ip resume-vrrp

    VRRP resume trigger の設定

    action invoke-watch-group

    watchグループの開始

    action revoke-watch-group

    watchグループの停止

    action ipsec clear-sa

    IKE/IPsec SAの削除

    action shutdown-interface

    インタフェースの停止

    action resume-interface

    インタフェースの開始

    action turn-BAK-LED-on

    BAK LED点灯

    action ip decrement-vrrp-priority

    VRRPプライオリティ変更

    action shutdown-device

    デバイスの停止

    action netmeister-alarm

    NetMeisterアラームの設定

    clear watch-group session

    watchグループのすべてのアクションの復旧

2.18.2. ネットワークモニタの基本動作

ネットワークモニタの基本動作を説明します。

ネットワークモニタでは、端末到達不可監視等の監視条件(イベント)と、経路隠蔽等の監視条件を満たした場合に実行する処理(アクション)を設定します。 監視条件を満たすとイベントは発生(stand)状態となり、アクションが実行されます。監視条件を満たさなくなるとイベントは通常(normal)状態に戻り、アクションは元の状態に戻ります。

リスト 2.18.1 動作例
ICMP echoにより10.1.1.254の監視を行います。
応答が返らなくなるとイベントが発生し、10.1.30.0/24の経路を隠蔽します。
再度応答が返るようになると、10.1.30.0/24の経路の隠蔽を解除します。

watch-group router-1 10
  event 10 ip unreach-host 10.1.1.254 GigaEthernet0.1
  action 10 ip shutdown-route 10.1.30.0/24 192.168.1.254

注釈

ネットワークモニタが有効な状態で、イベント発生中にアクションを設定しても実行されません。 ネットワークモニタ有効時に設定を追加する場合は、ネットワークモニタをいったん停止するか、設定後 ”clear watch-group session 【watch グループ名】 ”を実行してください。

2.18.3. イベントの設定

2.18.3.1. イベント共通の動作

2.18.3.1.1. 複数イベントの動作

1つのwatchグループに複数のイベントを設定することができます。 設定時に、イベントにシーケンス番号を設定します。

シーケンス番号は同一watchグループ内で有効です。異なるwatchグループ(watchグループのシーケンス番号が異なる場合も含みます)のシーケンス番号は関連しません。シーケンス番号を省略した場合は、登録順に空いている番号が使用されます。

複数のイベントを設定した場合、以下のいずれかの条件でアクションを実行します。

  • いずれかのイベントが発生した場合(OR条件:デフォルト動作)

    シーケンス番号が異なるイベントはいずれかが発生した場合にアクションを実行します。

    一度アクションを実行すると、別のイベントが発生してもアクションは実行しません。アクションの復旧は、すべてのイベントが復旧した場合に実行します。途中いくつかのイベントが復旧した時点では、アクションの復旧は行いません。

../_images/19_netmon_01.svg

図 2.18.1 イベント発生とアクション実行

../_images/19_netmon_02.svg

図 2.18.2 イベント復旧とアクション復旧

リスト 2.18.2 設定例
watch-group router-1 10
  event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254
  event 20 ip unreach-host 10.1.2.254 GigaEthernet0.0 192.168.1.254
  event 30 ip unreach-host 10.1.3.254 GigaEthernet0.0 192.168.1.254
  action 10 ip shutdown-route 10.1.30.0/24
!
network-monitor router-1 enable
  • すべてのイベントが発生した場合(AND条件)

    サブシーケンス番号を設定します。同じシーケンス番号のイベントのすべてが発生した場合に、アクションを実行します。アクションの復旧はいずれかのイベントが復旧した場合に実行します。

../_images/19_netmon_03.svg

図 2.18.3 イベント発生とアクション実行

../_images/19_netmon_04.svg

図 2.18.4 イベント復旧とアクション復旧

リスト 2.18.3 設定例
watch-group router-2 10
  event 10 sub 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254
  event 10 sub 20 ip unreach-host 10.1.2.254 GigaEthernet0.0 192.168.1.254
  event 10 sub 30 ip unreach-host 10.1.3.254 GigaEthernet0.0 192.168.1.254
  action 10 ip shutdown-route 10.1.30.0/24
!
network-monitor router-2 enable

OR条件とAND条件の2つが混在する場合は、同じシーケンス番号のイベントはすべてのサブシーケンス番号のイベントが発生した場合に発生と判断し、異なるシーケンス番号のうち、いずれかが発生した場合にアクションが実行されます。

../_images/19_netmon_05.svg

図 2.18.5 イベント発生

リスト 2.18.4 設定例
watch-group router-2 10
  event 10 sub 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254
  event 10 sub 20 ip unreach-host 10.1.2.254 GigaEthernet0.0 192.168.1.254
  event 20 ip unreach-host 10.1.3.254 GigaEthernet0.0 192.168.1.254
  event 30 ip unreach-host 10.1.4.254 GigaEthernet0.0 192.168.1.254
  action 10 ip shutdown-route 10.1.30.0/24
!
network-monitor router-2 enable

2.18.3.2. ホスト監視イベントの設定

ネットワークモニタでは、ICMP ECHOを利用したホスト監視により、イベントを発生させることができます。 ホストへの到達不可の検知だけでなく、ホストへ到達可能となったときにもイベントを発生させることができます。

2.18.3.2.1. ホスト監視の基本動作

ホスト監視では、設定したあて先に対してICMP ECHO_REQUESTを送信し、応答として返されるICMP ECHO_REPLYを監視します。

ホスト監視イベントには、到達不能ホスト監視と到達可能ホスト監視の2種類があります。イベントの発生/復旧条件は以下のようになります。

  • 到達不能ホスト監視(unreach-host)

    ICMP ECHO_REPLYが返ってきた場合、正常状態 タイムアウトした場合、そのホストは障害が発生していると判断し、イベントが発生

  • 到達可能ホスト監視(reach-host)

    タイムアウトした場合、正常状態 ICMP ECHO_REPLYが返ってきた場合、そのホストは到達可能と判断しイベントが発生

以下は到達不能ホスト監視の場合の例になります。

../_images/19_netmon_06.svg

図 2.18.6 ホスト監視の構成

リスト 2.18.5 設定例
watch-group router-1 10
  event 10 ip unreach-host 10.10.1.2 GigaEthernet0.0 192.168.1.254

注釈

イーサネットでオンリンク上のホスト以外を監視する場合、ネクストホップは省略しないでください。

../_images/19_netmon_07.svg

図 2.18.7 ネットワーク設計上の注意点

UNIVERGE IX-R/IX-V シリーズから送信されるICMP ECHO_REQUESTは、ルーティングテーブルの情報に従わず、設定された情報を基に送信します。 送信されたICMP ECHO_REQUEST、応答のICMP ECHO_REPLYは通常のICMP ECHO_REQUEST/REPLYと同様に扱われます。 そのため、途中の装置では、ルーティングテーブルの情報にしたがって転送されます。

途中の経路状態によっては、ICMP ECHO_REQUESTとは異なる経路で、ICMP ECHO_REPLYが到達する場合があります。 通った経路に関係なく、ICMP ECHO_REPLYが到達すると、ネットワークモニタでは正常に監視できていると見なされます。

ネットワーク設計時には注意してください。

ネットワークモニタにおけるホスト監視時に使用される、ICMP ECHO_REQUEST、ICMP ECHO_REPLYに関する設定可能なパラメータについて示します。

項目

説明

WATCH-COUNT

1回の監視で送信するICMP ECHOの個数を示します。
3msec間隔で送信します。応答があった場合は、それ以降のパケットは送信しません。
(通常運用時と障害発生時双方で有効)
(デフォルト: 1個)

VARIANCE-COUNT

イベント発生の判定回数
イベント発生を判定するための回数となります。
(イベント未発生時のみ有効)
(デフォルト: 6回)
unreach-host:
連続でICMP ECHO REPLYを受信できなかった個数
reach-host:
連続でICMP ECHO REPLYを受信した個数

VARIANCE-PERCENT

イベント発生の条件
VARIANCE-COUNTにて指定した回数のうち、設定した割合の回数、監視条件を満たした場合に障害と判定します。
(デフォルト:100%)
未設定の場合は、100%として扱います。VARIANCE-COUNTの回数連続で監視条件を満たした場合に障害と判定します。

RESTORE-COUNT

イベント復旧の判定回数
イベント復旧を判定するための回数となります。
(イベント発生時のみ有効)
(デフォルト: 1回)
unreach-host
連続でICMP ECHO REPLYを受信できた個数
reach-host
連続でICMP ECHO REPLYを受信できなかった個数

RESTORE-PERCENT

イベント復旧の条件
RESTORE-COUNTにて指定した回数のうち、設定した割合の回数、監視条件を満たさない場合に復旧と判定します。
(デフォルト:100%)
未設定の場合は、100%として扱います。VARIANCE-COUNTの回数連続で監視条件をみたさない場合に障害と判定します。

VARIANCE-WATCH-INT

イベント発生を判定するためにICMP ECHO
REQUEST送信する周期
(イベント未発生時のみ有効)
(デフォルト: 5秒)
msec単位の指定が可能

RESTORE-WATCH-INT

イベント復旧を判定するためにICMP ECHO
REQUEST送信する周期
(イベント発生時のみ有効)
(デフォルト: 5秒)
msec単位の指定が可能

WAIT-TIME

ICMP ECHO REQUESTの応答タイムアウト時間
(デフォルト: 2秒)
msec単位の指定が可能
VARIANCE-WATCH-INT,RESTORE-WATCH-INTのどちらの値よりも小さい値か同じ値を設定してください。

DATA-SIZE

ICMP ECHO REQUESTのデータサイズ
(デフォルト: 56byte)

カウンタ、タイマーはwatchグループ設定モードで設定を行います。

リスト 2.18.6 設定例
watch-group router-1 10
  probe-counter watch WATCH-COUNT
  probe-counter variance VARIANCE-COUNT percent VARIANCE-PERCENT
  probe-counter restorer RESTORE-COUNT percent RESTORE-PERCENT
  probe-timer variance VARIANCE-WATCH-INT
  probe-timer restorer RESTORE-WATCH-INT
  probe-timer wait WAIT-TIME
  probe-size DATA-SIZE

2.18.3.2.2. イベント発生条件

デフォルト設定の場合、以下の条件で発生/復旧します。 通常状態では指定間隔(VARIANCE-WATCH-INT)でICMP ECHO-REPLYを送信し、指定回数(VARIANCE-COUNT)連続して監視条件を満たさなかった場合に、イベントが発生し障害状態となります。 障害状態では指定間隔(RESTORE-WATCH-INT)でICMP ECHO-REPLYを送信し、指定回数(RESTORE-COUNT)連続して監視条件を満たす場合に、イベントが復旧して通常状態となります。

../_images/19_netmon_08.svg

図 2.18.8 unreach-hostの場合の動作例

指定回数に対する割合(VARIANCE-PERCENT、RESTORE-PERCENT)を超えた場合にイベントを発生/復旧させることが可能です。

../_images/19_netmon_09.svg

図 2.18.9 パーセント指定の場合の動作例

リスト 2.18.7 設定例
6回中50%ホスト監視が失敗した場合、イベントを発生

watch-group test1 10
  event 10 ip unreach-host 10.0.0.1 Tunnel1.0
  action 10 ip shutdown-route 192.168.0.0/24 Tunnel1.0
  probe-counter variance 6 percent 50
!
network-monitor test1 enable

2.18.3.2.3. ホスト監視パケット応答指定

片方向の通信障害が発生しているような状況では、双方向の監視を行っている場合、片方のみ障害を検出し迂回経路を選択する可能性があります。 このため、回線障害が発生しているにもかかわらず、往復の経路が異なり、正常に通信できているように見えてしまいます。

ネットワークモニタの監視用ICMP ECHO REQUESTを送信するインタフェースから受信したICMP ECHO REQUESTに対するICMP ECHO REPLYは、ルーティングテーブルには依存せず、受信したインタフェースから送信することにより、往復で同じ経路を監視することができます。

UNIVERGE IX-R/IX-V シリーズおよびUNIVERGE IX2000/IX3000シリーズが双方向でネットワークモニタにより監視を行っている場合、network-monitor directed-responseコマンドを設定することにより、応答のパケットも監視しているインタフェースから送信することが可能(※)となります。 ただし、ネットワークモニタ以外、ping実行時のICMP ECHO REQUESTに対しても、受信インタフェースからICMP ECHO REPLYを送信しますので、到達性確認等の作業を行う場合はご注意ください。

対応可能なインタフェースはトンネルインタフェースやPPPなど、ポイントツーポイントのインタフェースのみとなります。

注釈

監視の送信元と送信先が相手側(送信先)の設定と合っていない場合は動作しません。

../_images/19_netmon_10.svg

図 2.18.10 ホスト監視パケットの応答指定設定時の動作例

リスト 2.18.8 設定例:IX-R (A)
ip route default Tunnel0.0
ip route default 172.16.1.2 metric 10
!
watch-group test 10
  event 10 ip unreach-host 10.10.1.2 Tunnel0.0 source GigaEthernet1.0
  action 10 ip shutdown-route 0.0.0.0/0 Tunnel0.0
!
network-monitor test directed-response
network-monitor test enable
!
interface GigaEthernet0.0
  ip address 192.168.1.1/24
  no shutdown
!
interface GigaEthernet1.0
  ip address 172.16.1.254/24
  no shutdown
リスト 2.18.9 設定例:IX-R (B)
ip route default Tunnel0.0
ip route default 10.10.1.3 metric 10
!
watch-group test 10
  event 10 ip unreach-host 172.16.1.254 Tunnel0.0 source GigaEthernet1.0
  action 10 ip shutdown-route 0.0.0.0/0 Tunnel0.0
!
network-monitor test directed-response
network-monitor test enable
!
interface GigaEthernet0.0
  ip address 10.10.2.2/24
  no shutdown
!
interface GigaEthernet1.0
  ip address 10.10.1.2/24
  no shutdown

2.18.3.3. 経路監視イベントの設定

ネットワークモニタではホスト監視によるイベント発生のほかに、ルーティングテーブルの経路を監視することによりイベントを発生させることができます。 また、特定経路が現れたときにイベントを発生させることもできます

2.18.3.3.1. 経路監視の基本動作

ルーティングテーブルの情報を監視し、ルーティングテーブル上にその経路がエントリされていれば正常と見なし、エントリされていなければ障害が発生していると見なします。

../_images/19_netmon_11.svg

図 2.18.11 ルーティングテーブル

リスト 2.18.10 設定例
watch-group router-1 10
  event 10 ip unreach-route 10.10.1.0/24 192.168.1.254

注釈

ネクストホップを省略した場合は、ルーティングテーブル上の10.10.1.0/24に関わるすべてが対象となるため、すべてのエントリが削除されないかぎり、障害発生と見なしません。

ルーティング情報は以下の周期で監視を行います。

項目

説明

VARIANCE-WATCH-INT

イベント発生を判定する周期
(イベント未発生時のみ有効)
(デフォルト: 5秒)
msec単位の指定が可能

RESTORE-WATCH-INT

アドレス更新周期(名前解決後) | イベント復旧を判定する周期 | (イベント発生時のみ有効) | (デフォルト: 5秒) | msec単位の指定が可能

2.18.3.3.2. 経路監視の設定

リスト 2.18.11 設定例
10.1.1.0/24 への経路監視によるイベント発生時に、10.1.31.0/24 の経路を隠蔽します。また、suppress-restoration オプションにより、この経路監視が正常に戻ったときに自動的に回復させないようにします。

watch-group router-1 10
  event 10 ip unreach-route 10.1.1.0/24
  action 10 ip shutdown-route 10.1.31.0/24 suppress-restoration

2.18.3.4. VRRP状態監視イベントの設定

VRRPの状態を監視することにより、VRRPがマスターになった時、または、VRRPがマスター以外になった時にイベントを発生させることができます。

VRRPの状態監視は以下の周期で行います。

項目

説明

VARIANCE-WATCH-INT

イベント発生を判定する周期
(イベント未発生時のみ有効)
(デフォルト: 5秒)
msec単位の指定が可能

RESTORE-WATCH-INT

アドレス更新周期(名前解決後) | イベント復旧を判定する周期 | (イベント発生時のみ有効) | (デフォルト: 5秒) | msec単位の指定が可能

リスト 2.18.12 設定例
GigaEthernet0.0のVRID=1のVRRPがマスター以外になった時に、10.1.31.0/24 の経路を隠蔽します。

vrrp enable
!
watch-group router-1 10
  event 10 ip vr-inactive 1
  action 10 ip shutdown-route 10.1.31.0/24
!
interface GigaEthernet0.0
  ip address 10.0.0.1/24
  vrrp 1 ip 10.0.0.254
  no shutdown

2.18.3.5. watchグループ状態監視イベントの設定

他のwatchグループの状態を監視することにより、watchグループの状態が変更になった時にイベントを発生させることができます。

watchグループの状態が変更した時点でイベントが発生します。

リスト 2.18.13 設定例
watchグループwatch1、シーケンス番号10がstandになった時に、10.1.1.0/24 の経路を隠蔽します。

watch-group watch1 10
  event 10 ip unreach-host 10.0.0.1 Tunnel0.0
!
network-monitor watch1 enable
!
watch-group test 10
  event 10 watch-group-status watch1 10 stand
  action 10 ip shutdown-route 10.1.1.0/24
!
network-monitor test enable

2.18.3.6. 常時発生/復旧イベントの設定

即時に発生/復旧するイベントを設定することができます。watchグループ起動直後にイベントが発生するため、アクションもwatchグループ起動直後に実行されます。

有効化するアクション(resume-route,resume-policy等)は、アクションにより隠蔽(shutdown-route,shutdown-policy等)する必要があります。 イベントに常時発生イベントを設定し、これらのアクションを設定することにより、最初に隠蔽のアクションを実行させておくことが可能となります。

リスト 2.18.14 設定例
192.168.0.1へ到達不可能となった場合に、10.0.0.0/24の経路を有効化します。

watchグループtest2 10にて常時イベントを使用することにより、ネットワークモニタ起動後に10.0.0.0/24の経路が隠蔽されます。
watchグループtest2 20にて通常の監視設定を行います。

watch-group test2 10
  event 10 always stand
  action 10 ip shutdown-route 10.0.0.0/24 Tunnel1.0
!
watch-group test2 20
  event 10 ip unreach-host 192.168.0.1 Tunnel2.0
  action 10 ip resume-route 10.0.0.0/24 Tunnel1.0
!
network-monitor test2 enable

いったんネットワークモニタが有効な状態で、コマンドを設定した場合は、すぐにイベント発生と判断されるため、その後にアクションを設定しても実行されません。ネットワークモニタ有効時に設定を追加する場合は、ネットワークモニタをいったん停止するか、または、設定後clear watch-group session [watchグループ名]を実行してください。これは同一内容の設定を再設定する場合も同様です。

2.18.3.7. インタフェース状態監視の設定

インタフェース状態を監視することにより、インタフェースがup/downした時にイベントを発生させることができます。

リスト 2.18.15 設定例
GigaEthernet0.0がdownした場合に、Tunnel0.0をshutdownします。

watch-group test 10
  event 10 interface-down GigaEthernet0.0
  action 10 shutdown-interface Tunnel0.0
!
network-monitor test enable

2.18.4. アクションの設定

2.18.4.1. アクション共通の動作

アクションは、イベント(ホスト/ネットワーク不到達等)発生時に実行され、イベント復旧時に元の状態に復旧します。actionコマンドのパラメータにsuppress-restorationオプションを指定することにより、イベント復旧時にアクションを復旧させないこともできます。この場合、clear watch-group sessionコマンドを実行することにより、アクションを復旧させることができます。

ただし、以下のアクションは、イベント復旧時、アクションの復旧を行いません。

  • IKE/IPsec SAの削除

    1つのwatchグループに複数のアクションを設定することができます。設定時に、アクションに、シーケンス番号を設定します。

    複数のアクションを設定している場合は、アクションの実行はシーケンス番号順に行います。

../_images/19_netmon_12.svg

図 2.18.12 アクション実行・復旧

リスト 2.18.16 設定例
watch-group router-1 10
  event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254
  action 10 ip shutdown-route 10.1.30.0/24
  action 20 ip shutdown-route 10.1.31.0/24
  action 30 ip shutdown-route 10.1.32.0/24
!
network-monitor router-1 enable

同一のターゲットに対するアクションを複数のwatchグループで設定している場合は、いずれかのwatchグループのイベントが発生した場合にアクションを実行、すべてのwatchグループのイベントが復旧した場合にアクションを復旧します。

以下の設定例では、10.1.30.0/24を隠蔽するアクションがtest1,test2の2つのwatchグループで設定されています。この場合、test1,test2のどちらか一方のイベントが発生するとアクションを実行します。 また、test1,test2両方のイベントが復旧するとアクションが復旧します。

リスト 2.18.17 設定例
watch-group test1 10
  event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254
  action 10 ip shutdown-route 10.1.30.0/24
!
watch-group test2 10
  event 10 ip unreach-host 10.1.2.254 GigaEthernet0.0 192.168.1.254
  action 10 ip shutdown-route 10.1.30.0/24

2.18.4.2. 経路の隠蔽・可視化

経路の隠蔽・可視化の設定を行うことにより、イベント発生時にルーティングテーブルの経路変更によって、パケットの送出先を変更することができます。

隠蔽・可視化を行うことのできる経路は以下のとおりです。

  • 隠蔽:Static,Connectedの経路

  • 可視化:ネットワークモニタ機能で隠蔽した経路

    リスト 2.18.18 設定例
    10.1.1.254 へのホスト監視によるイベント発生時に、10.1.31.0/24 の経路を隠蔽します。また、suppress-restoration オプションにより、このホスト監視が正常に戻ったときに自動的に回復させないようにします。
    
    watch-group router-1 10
      event 10 ip unreach-host 10.1.1.254 GigaEthernet0.1
      action 10 ip shutdown-route 10.1.31.0/24 suppress-restoration
    

2.18.4.3. VRRPとの連携

2.18.4.3.1. VRRPシャットダウントリガ

UNIVERGE IX-R/IX-V シリーズのネットワークモニタでは、VRRP機能と連携することにより、より高度で信頼性の高いネットワークを構築することができるようになります。 VRRPシャットダウントリガのためのイベントとVRRPレジュームトリガのためのイベントを分けることにより、さらに高度なVRRP制御が可能となっています。 以下にVRRPとネットワークモニタ機能の組み合わせの概要を説明します。

../_images/19_netmon_13.svg

図 2.18.13 VRRPの通常状態

../_images/19_netmon_14.svg

図 2.18.14 ネットワークモニタでの障害検出

../_images/19_netmon_15.svg

図 2.18.15 VRRPシャットダウントリガによる状態変更

リスト 2.18.19 設定例:マスタールータ側
vrrp enable
!
watch-group host-watch 10
  event 10 ip unreach-host 10.1.1.254 GigaEthernet1.1
  action 10 ip shutdown-vrrp 1
!
network-monitor host-watch enable
interface GigaEthernet0.0
  ip address 172.16.1.254/24
  no ip redirects
  vrrp 1 ip 172.16.1.1
  vrrp 1 priority 200
  no shutdown
リスト 2.18.20 設定例:バックアップルータ側
ip route default 10.1.2.254
vrrp enable
!
interface GigaEthernet0.0
  ip address 172.16.1.253/24
  no ip redirects
  vrrp 1 ip 172.16.1.1
  no shutdown
リスト 2.18.21 設定例:端末
デフォルトルートを172.16.1.1と設定します。
ルータの実アドレスは使用しません。

注釈

VRRP シャットダウントリガを使用するときは必ず実 IP アドレスと VRRP 仮想 IP アドレスを別の値にする必要があります。VRRP 仮想アドレスと実アドレスを同一にした場合、そのルータの VRRP 優先度は "255"となり、必ずマスタールータになるためです。

2.18.4.3.2. VRRP優先度変更

アクションによりVRRP優先度を減算することが可能です。VRRPシャットダウンではVRRPはInit状態となり停止しますが、優先度変更では、自装置の優先度がネットワークで最大であればVRRPマスターとして動作します。

VRRP仮想IPアドレスが実IPアドレス(アドレスオーナー)の場合、優先度変更は無視されます。

リスト 2.18.22 設定例
10.1.1.254への到達不可となった場合、VRRPの優先度を100減算します。

アクションが実行された場合、マスタールータ側の優先度は50となるため、バックアップアップルータ側が新しくVRRPマスターとなります。
バックアップルータが停止した場合は、再度マスタールータ側がVRRPマスターとなります。
リスト 2.18.23 設定例:マスタールータ側
vrrp enable
!
watch-group host-watch 10
  event 10 ip unreach-host 10.1.1.254 GigaEthernet1.1
  action 10 ip decrement-vrrp-priority 1 100
!
network-monitor host-watch enable
!
interface GigaEthernet0.0
  ip address 172.16.1.254/24
  no ip redirects
  vrrp 1 ip 172.16.1.1
  vrrp 1 priority 150
  no shutdown
リスト 2.18.24 設定例:バックアップルータ側
ip route default 10.1.2.254
vrrp enable
!
interface GigaEthernet0.0
  ip address 172.16.1.253/24
  no ip redirects
  vrrp 1 ip 172.16.1.1
  no shutdown
リスト 2.18.25 設定例:端末
デフォルトルートを172.16.1.1と設定します。
ルータの実アドレスは使用しません。

複数watchグループにおいて減算を行い、減算した結果が0以下となる場合は、優先度は1として動作します。また、アクションが復旧した場合も、1以上になるまでは、優先度は1として動作します。

リスト 2.18.26 設定例
複数watchグループからVRRP優先度変更を行った場合の動作例

watch-group test1 10
  event 10 ip unreach-host 192.168.0.1 Tunnel1.0
  action 10 ip decrement-vrrp-priority 1 60
!
network-monitor test1 enable
!
watch-group test2 10
  event 10 ip unreach-host 192.168.0.2 Tunnel1.0
  action 10 ip decrement-vrrp-priority 1 60
!
network-monitor test2 enable
!
watch-group test3 10
  event 10 ip unreach-host 192.168.0.3 Tunnel1.0
  action 10 ip decrement-vrrp-priority 1 60
!
network-monitor test3 enable
!
interface GigaEthernet0.0
  ip address 172.16.1.254/24
  no ip redirects
  vrrp 1 ip 172.16.1.1
  no shutdown

動作

減産結果

watchグループ状態

補足

test1

test2

test3

100

100

正常

正常

正常

40

40

障害発生(-60)

正常

正常

1

-20

障害

障害発生(-60)

正常

結果がマイナスの場合は1

1

-80

障害

障害

障害発生(-60)

結果がマイナスの場合は1

1

-20

障害

障害

障害復旧(+60)

結果がマイナスの場合は1

40

40

障害

障害復旧(+60)

正常

100

100

障害復旧(+60)

正常

正常

2.18.4.4. ポリシールーティングとの連携

ネットワークモニタのイベント発生時に、指定インタフェースのポリシールーティングを有効・無効にすることができます。 また、ローカルパケットのポリシールーティングについても、有効・無効にすることができます。

ポリシールーティングの詳細については、ポリシールーティングの項を参照してください。

リスト 2.18.27 設定例
20.0.0.1へ到達不可となった場合、TCPパケットのポリシールーティングの設定を無効にする。

ip access-list acl1 permit tcp src any sport any dest any dport any
!
watch-group prte 10
  event 10 ip unreach-host 20.0.0.1 GigaEthernet1.0 10.1.1.254
  action 10 ip shutdown-policy GigaEthernet0.0
!
network-monitor prte enable
!
route-map rmap permit 10
  match ip address access-list acl1
  set ip next-hop 10.1.1.254
!
interface GigaEthernet0.0
  ip address 10.1.1.1/24
  no ip redirects
  ip policy route-map rmap
  no shutdown

route-mapのシーケンス番号単位に有効・無効を設定することができます。

../_images/19_netmon_16.svg

図 2.18.16 ポリシールーティングとの構成

リスト 2.18.28 設定例
10.0.0.1へ到達不可となった場合、ルータ1へのポリシールーティングを無効にし、
20.0.0.1へ到達不可となった場合、ルータ2へのポリシールーティングを無効にする。

!
ip route default 192.168.0.100
!
ip access-list host1 permit ip src 192.168.0.1/32 dest any
ip access-list host2 permit ip src 192.168.0.2/32 dest any
!
watch-group router1 10
  event 10 ip unreach-host 10.0.0.1 GigaEthernet0.0 100.0.0.1
  action 10 ip shutdown-policy GigaEthernet2.0 route-map-seq 10
!
network-monitor router1 enable
!
watch-group router2 10
  event 10 ip unreach-host 20.0.0.1 GigaEthernet1.0 200.0.0.1
  action 10 ip shutdown-policy GigaEthernet2.0 route-map-seq 20
!
network-monitor router2 enable
!
route-map rmap permit 10
  match ip address access-list host1
  set ip next-hop 100.0.0.1
!
route-map rmap permit 20
  match ip address access-list host2
  set ip next-hop 200.0.0.1
!
interface GigaEthernet0.0
  ip address 100.0.0.254/24
  no shutdown
!
interface GigaEthernet1.0
  ip address 200.0.0.254/24
  no shutdown
!
interface GigaEthernet2.0
  ip address 192.168.0.254/24
  ip policy route-map rmap
  no shutdown

2.18.4.5. IPsecとの連携

ネットワークモニタのイベント発生時に、IKE/IPsec SAを削除することができます。 デフォルトではIKE/IPsec両方のSAを削除します。 設定により、IPsecのSAのみ削除することも可能です。 このアクションはイベント発生時にのみ実行し、イベント復旧時には何も行いません。IKE/IPsecの詳細については、IKE/IPsecの項を参照してください。

リスト 2.18.29 設定例
Tunnel0.0のIPsecトンネルを監視し、障害発生時に、IPsec SAの削除を行う。
(IKE/IPsecの設定は省略します)

watch-group ipsec-keepalive 10
  event 10 ip unreach-host 192.168.0.2 Tunnel0.0
  action 10 ipsec clear-sa Tunnel0.0 mode ipsec-only
!
network-monitor ipsec-keepalive enable

周期的にSAを監視することでアクション実行中に作成されたSAも削除を行います。監視周期は「復旧時間 ×(監視回数+2)」で、それ以上の値で変更も可能です。

2.18.4.6. インタフェースの停止・開始

イベント発生時にインタフェースの停止・開始を行うことができます。インタフェースの開始は、ネットワークモニタのアクションにより停止を行っているインタフェースに対してのみ行うことができます。

shutdownを設定しているインタフェースに対して、インタフェースの開始を行うことはできませんが、インタフェースの停止は有効になります。 ネットワークモニタによりインタフェース停止中は、no shutdown を設定しても、インタフェースは有効になりません。 イベントが復旧するか、インタフェース開始のアクションを実行することで、インタフェースが有効になります。

リスト 2.18.30 設定例
10.1.1.254 へのホスト監視によるイベント発生時に、GigaEthernet0.0を停止します。

watch-group router-1 10
  event 10 ip unreach-host 10.1.1.254 GigaEthernet1.0
  action 10 shutdown-interface GigaEthernet0.0

2.18.4.7. デバイスの停止

イベント発生時にデバイスの停止を行うことができます。停止可能なデバイスはEthernetデバイスのみとなります。USBデバイスはアクションにより停止することはできません。

ネットワークモニタによりデバイス停止中は、no shutdownを設定しても、デバイスは有効にはなりません。イベントが復旧することによりデバイスが有効になります。

リスト 2.18.31 設定例
10.1.1.254 へのホスト監視によるイベント発生時に、GigaEthernet0を停止します。

watch-group router-1 10
  event 10 ip unreach-host 10.1.1.254 GigaEthernet1.0
  action 10 shutdown-device GigaEthernet0

2.18.4.8. BAK-LEDの点灯

BAK-LEDは、ネットワークモニタで制御できます。
イベントが発生することでアクションが実行されLEDが点灯します。
複数のwatchグループで点灯の設定を行っている場合、いずれかのwatchグループでイベントが発生している場合に点灯し、すべてのwatchグループのイベントが復旧すると消灯します。
リスト 2.18.32 設定例
10.1.1.254 へのホスト監視によるイベント発生時に、192.168.0.0/24の経路を隠蔽し、
BAK-LEDを点灯します。

watch-group router-1 10
  event 10 ip unreach-host 10.1.1.254 GigaEthernet1.0
  action 10 ip shutdown-route 192.168.0.0/24 GigaEthernet0.1

2.18.4.9. NetMeisterアラーム通知

NetMeisterにアラームを上げることができます。
イベントが発生することでアクションが実行されNetMeisterにアラームが送信されます。
リスト 2.18.33 設定例
10.1.1.254 へのホスト監視によるイベント発生時に、NetMeisterにアラームを送信します。
!
watch-group router1 10
  event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 10.0.0.1
  action 10 netmeister-alarm severity warn description wan-watch

2.18.5. watchグループ毎の設定

2.18.5.1. watchグループ監視起動遅延時間設定

装置の再起動の際にwatchグループによる監視の開始を遅らせることができます。 装置起動から設定した遅延時間の間は、イベントの監視を行いません。 これにより、装置起動直後の経路情報が安定していない状態のときに迂回が発生することを回避することができます。

本機能は、装置起動直後のみ有効です。 装置起動から指定時間経過後は従来の動作となります。

../_images/19_netmon_17.svg

図 2.18.17 遅延時間設定を行わない場合の動作例

../_images/19_netmon_18.svg

図 2.18.18 遅延時間設定を行った場合の動作例

リスト 2.18.34 設定例
起動開始後、200秒後にイベント監視を開始します。

watch-group router-1 10
  event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254
  action 10 ip shutdown-route 10.1.31.0/24
!
network-monitor router-1 enable
network-monitor router-1 startup-delay 200

2.18.5.2. 状態変更抑止

一定時間にwatchグループの状態が一定回数変化した場合、一定時間watchグループの状態変更を抑止することができます。 これにより、短時間に状態変更が繰り返されるような不安定な状態が継続している場合は、状態を変更させずに、安定したネットワーク運用を行うことが可能となります。

抑止期間中に状態変更が発生しなかった場合、その時点の状態に応じて状態を変更します。抑止期間中に状態変更が発生した場合は、その時点から抑止時間を計測します。

../_images/19_netmon_19.svg

図 2.18.19 状態変更抑止

リスト 2.18.35 設定例
300秒以内に5回復旧が発生した場合、600秒間復旧を抑止します。

watch-group router-1 10
  event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254
  action 10 ip shutdown-route 10.1.31.0/24
  suppress restoration period 300 count 5 suppress-time 600
!
network-monitor router-1 enable

2.18.5.3. 複数のwatchグループの連動

シーケンス番号の設定により、複数のwatchグループを1つのwatchグループとして管理することができます。

watchグループを開始した時は、最も低いシーケンス番号のwatchグループが実行され、このwatchグループのイベントが発生すると、次のシーケンス番号のwatchグループが実行されます。 通常は、そのwatchグループのイベントが復旧するとwatchグループは停止します。 しかし、1つのwatchグループの中で、複数のwatchグループを実行している時に、低いシーケンス番号のwatchグループが復旧した場合は、そのシーケンス番号より大きいシーケンス番号のwatchグループは、すべて停止します。 watchグループ停止の際、実行していたactionはすべて復旧します(actionを復旧しない設定の場合を除く)。

1つのwatchグループ内に同じシーケンス番号のwatchグループを設定することはできません。

シーケンス番号省略時は、登録順に空いている番号が使用されます。

../_images/19_netmon_20.svg

図 2.18.20 複数設定時のシーケンス

リスト 2.18.36 設定例
watch-group router-1 10
  event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254
  action 10 ip shutdown-route 10.1.31.0/24
!
watch-group router-1 20
  event 10 ip unreach-host 10.1.2.254 GigaEthernet0.0 192.168.1.254
  action 10 ip shutdown-route 10.1.32.0/24
!
watch-group router-1 30
  event 10 ip unreach-host 10.1.3.254 GigaEthernet0.0 192.168.1.254
  action 10 ip shutdown-route 10.1.33.0/24
!
network-monitor router-1 enable

2.18.6. その他の動作モード

以下のモードは、ネットワークモニタの最大プロファイル数に近い値で使用する場合に、負荷の軽減のために使用してください。特に問題がない場合は、通常のホスト監視モードで使用してください。

2.18.6.1. パッシブモード

パッシブモードでは、相手からのICMP ECHO パケットの監視を行います。通常のICMP ECHOを送信する間隔で、相手装置からICMP ECHOが届いているかの監視を行い、パケットが届いている場合は通信可能と判断します。最初に相手からパケットを受信するまでは、ready状態となり、障害状態にはなりません。パッシブモードを設定した場合、自装置からは、ICMP ECHOの送信は行いません。

パッシブモードの設定を行う場合、相手装置では通常のホスト監視を設定する必要があります。また、お互いの装置で以下の設定を一致させる必要があります。

  • 片方の監視先アドレスと、もう一方のソースアドレス

  • 障害監視の間隔(VARIANCE-WATCH-INT,RESTORE-WATCH-INT)

パッシブモードの場合、送信間隔の間にパケットが到達すると通信可能と判断します。そのため、相手装置での応答タイムアウト時間(WAIT-TIME)が短い場合、遅延が発生すると相手装置では障害状態となりますが、パッシブモード設定側は正常のままとなり、対向で状態が不一致となる可能性があります。RTT監視など、応答タイムアウト時間を短くする場合はご注意ください。

../_images/19_netmon_21.svg

図 2.18.21 パッシブモードの動作例

../_images/19_netmon_22.svg

図 2.18.22 パッシブモードの構成

リスト 2.18.37 設定例:IX-R (A) (パッシブモード)
ip route 192.168.0.0/24 10.0.1.254
ip route 192.168.0.2/32 10.0.1.254
ip route default 10.0.0.254
!
watch-group passive-watch 10
  event 10 ip unreach-host 192.168.0.2 GigaEthernet1.0 10.0.1.254 source GigaEthernet0.0
  probe-mode passive event 10
  action 10 ip shutdown-route 192.168.0.0/24 10.0.1.254
  probe-counter variance 1
  probe-timer restorer 10
!
network-monitor passive-watch enable
!
interface GigaEthernet0.0
  ip address 10.0.0.1/24
  no shutdown
!
interface GigaEthernet1.0
  ip address 10.0.1.1/24
  no shutdown
リスト 2.18.38 設定例:IX-R (B) (通常のホスト監視)
ip route 10.0.0.0/24 192.168.1.254
ip route 10.0.0.1/32 192.168.1.254
ip route default 192.168.0.254
!
watch-group host-watch 10
  event 10 ip unreach-host 10.0.0.1 GigaEthernet1.0 192.168.1.254 source GigaEthernet0.0
  action 10 ip shutdown-route 10.0.0.0/24 192.168.1.254
  probe-counter variance 1
  probe-timer restorer 10
!
network-monitor host-watch enable
!
interface GigaEthernet0.0
  ip address 192.168.0.2/24
  no shutdown
!
interface GigaEthernet1.0
  ip address 192.168.1.2/24
  no shutdown

2.18.6.2. トラフィックベースプローブモード

トラフィックベースプローブモードでは、ICMP ECHOを送信する周期で、ICMP ECHOを送信インタフェースからデータを受信している場合は、インタフェースの到達性があると判断し、ICMP ECHOの送信を行いません。 ICMP ECHO/ECHO REPLYはデータ受信確認の対象外となります。これらのパケットのみ受信している場合は、データを受信していないと判断し、ICMP ECHOの送信を行います。 データ受信の有無は統計情報から判断するため、ICMP ECHOを送信するインタフェースがポイントツーポイント(トンネル,PPP等)以外の場合、受信の統計からはどの装置から受信したデータか判断できません。 したがって、トラフィックベースプローブモードは、ポイントツーポイントインタフェースの場合のみ有効です。

../_images/19_netmon_23.svg

図 2.18.23 トラフィックベースプローブモードの場合の動作例

トラフィックベースプローブモードの場合、次のような構成で、IX-R(A)からIX-R(B)を監視し、IX-R(A)側から192.168.0.0/24へのトラフィックが定常的に発生している場合、192.168.0.2のインタフェースがdownしても、destination unreachable がIX-R(B)からトンネルインタフェース経由で送信されるため、IX-R(A)のネットワークモニタでは障害を検出できません。

トラフィックベースプローブモードは、ポイントツーポイント区間の障害の監視の場合のみ、使用してください。

../_images/19_netmon_24.svg

図 2.18.24 トラフィックベースプローブモードの構成

リスト 2.18.39 設定例:IX-R (A)
ip route default Tunnel0.0
ip route default 10.0.0.254 metric 100
ip route 192.168.1.2/32 10.0.1.254
!
watch-group traffic-watch 10
  event 10 ip unreach-host 192.168.0.2 Tunnel0.0
  probe-mode traffic event 10
  action 10 ip shutdown-route 0.0.0.0/0 Tunnel0.0
  probe-counter variance 1
  probe-timer restorer 10
!
network-monitor traffic-watch enable
!
interface GigaEthernet0.0
  ip address 10.0.0.1/24
  no shutdown
!
interface GigaEthernet1.0
  ip address 10.0.1.1/24
  no shutdown
!
interface Tunnel0.0
  tunnel mode 4-over-4
  tunnel destination 192.168.1.2
  tunnel source 10.0.1.1
  ip unnumbered GigaEthernet0.0
  no shutdown

2.18.7. 使用例

2.18.7.1. RTT(Round Trip Time)監視の例

msec単位の監視が行えます。これを利用してRTTを監視することができます。 以下のようなRTT監視を考えます。

  1. 通常はメインルートを利用

  2. メインルートのRTTが200msec以上となった場合は、バックアップルートを利用

  3. メインルートのRTTが200msec以上かつ、バックアップルートのRTTが400msec以上となった場合、再度、メインルートを利用

  4. メインルートの応答がない場合は、バックアップルートを利用

../_images/19_netmon_25.svg

図 2.18.25 メインルートのRTTが200msec以上の場合

../_images/19_netmon_26.svg

図 2.18.26 メインルートのRTTが200msec以上だが、バックアップルートのRTTが400msec以上の場合

../_images/19_netmon_27.svg

図 2.18.27 メインルートで応答なしの場合

リスト 2.18.40 設定例
ip route 10.1.30.0/24 192.168.1.254 metric 10
ip route 10.1.30.0/24 192.168.2.254 metric 20
!
watch-group watch_main 10
  event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254
  probe-timer wait msec 200
! メインルートのRTT監視
!
watch-group watch_main 20
  event 10 ip unreach-host 10.1.1.254 GigaEthernet0.0 192.168.1.254
  action 10 ip shutdown-route 10.1.30.0/24 192.168.1.254
! メインルートの応答が200msec以上になると起動
! 2sec応答が来ない場合(通信不可と判断)、メインルートの経路を削除
! 条件(4)用
!
network-monitor watch_main enable
!
watch-group watch_backup 10
  event 10 sub 10 ip reach-host 10.1.2.254 GigaEthernet1.0 192.168.2.254
  event 10 sub 20 watch-group-status watch_main 10 stand
  action 10 ip shutdown-route 10.1.30.0/24 192.168.1.254
  probe-timer wait msec 400
! バックアップルートの応答が400msec以内で、かつ、
! メインルートの応答が200msec以上の場合にメインルートを削除
! バックアップルートの応答が400msec以上になると、event 10 sub 10の監視が
! 正常となるため、メインルートが復旧
! 条件(2),(3)用
!
network-monitor watch_backup enable
!
interface GigaEthernet0.0
  ip address 192.168.1.1/24
  no shutdown
!
interface GigaEthernet1.0
  ip address 192.168.2.1/24
  no shutdown

2.18.8. ネットワークモニタ機能の注意事項

ネットワークモニタ機能には、いくつかの注意事項があります。

2.18.8.1. 同一リンクにないターゲット監視(イーサネットの場合のみ)

同一リンクにないターゲット(ホスト)を監視するには、next-hop指定を必ず使用してください。

2.18.8.2. ネスティング

watchグループのactionでwatchグループを起動するようなネスティングは無限呼び出しとなる場合があります。この場合、正常には動作しなくなりますので、設定には十分注意してください。

2.18.8.3. ホスト監視での100対地以上の使用

ホスト監視の場合、ICMP ECHO_REQUESTを送信するため、対地数が増えるとシステムの負荷が上昇します。これを避けるため、対地数が100を超える場合は、送信間隔を長めに設定してください。

送信間隔については、以下の値を推奨します。

  • 対地数128:送信間隔 平均8秒

  • 対地数256:送信間隔 平均10秒

  • 対地数512:送信間隔 平均15秒

2.18.8.4. msec指定の場合の対地数

監視周期をmsec単位に指定可能となっています。ただし、msec指定は装置に負荷がかかるため、1秒以下に設定する場合は、対地数は10以下を推奨します。