展開モード

ルーター構成

仮想インラインモードをサポートする場合、ルータには3つのタスクがあります。

  1. 着信WANトラフィックと発信WANトラフィックの両方をSD-WANアプライアンスに転送する必要があります。
  2. SD-WANトラフィックを宛先(WANまたはLAN)に転送する必要があります。
  3. アプライアンスに障害が発生した場合にアプライアンスをバイパスできるように、アプライアンスの状態を監視する必要があります。

ポリシーベースのルール

仮想インラインモードでは、ルーティングルールがアプライアンスによって転送されたパケットと転送されていないパケットを区別しない場合、パケット転送メソッドはルーティングループを作成できます。その区別をする任意の方法を使用できます。

一般的な方法では、ルーターのイーサネットポートの1つをアプライアンス専用にし、パケットが到着するイーサネットポートに基づいたルーティングルールを作成します。アプライアンス専用のインターフェイスに到着したパケットがアプライアンスに転送されることはありませんが、他のインターフェイスに到着したパケットは転送される可能性があります。

基本的なルーティングアルゴリズムは次のとおりです。

  • アプライアンスからアプライアンスにパケットを転送しないでください。
  • パケットがWANから到着した場合は、アプライアンスに転送します。
  • パケットがWAN宛ての場合は、アプライアンスに転送します。
  • LAN-to-LANトラフィックをアプライアンスに転送しないでください。
  • すべてのWANトラフィックがアプライアンスを通過しない限り、トラフィックシェーピングは効果的ではありません。

注意: ルーティングオプションを検討するときは、送信データだけでなく、返されるデータもアプライアンスを通過する必要があることに注意してください。たとえば、アプライアンスをローカルサブネットに配置し、それをローカルシステムのデフォルトルーターとして指定することは、仮想インライン展開では機能しません。送信データはアプライアンスを通過しますが、受信データはそれをバイパスします。ルーターを再構成せずにアプライアンスを介してデータを強制するには、インラインモードを使用します。

動作状態監視

アプライアンスに障害が発生した場合、データをアプライアンスにルーティングしないでください。デフォルトでは、Ciscoポリシーベースルーティングはヘルスモニタリングを行いません。ヘルスモニタリングを有効にするには、アプライアンスの可用性をモニタリングするルールを定義し、「setipnext-hop」コマンドに「verify-availability」オプションを指定します。この構成では、アプライアンスが使用できない場合、ルートは適用されず、アプライアンスはバイパスされます。

重要:仮想インラインモードは、正常性監視とともに使用する場合のみお勧めします。ポリシーベースのルーティングをサポートする多くのルーターは、ヘルスチェックをサポートしていません。ヘルスモニタリング機能は比較的新しいものです。Cisco IOSリリース12.3(4)Tで利用可能になりました。

以下は、アプライアンスの可用性を監視するためのルールの例です。

pre codeblock !- Use a ping (ICMP echo) to see if appliance is connected track 123 rtr 1 reachabilit y ! rtr 1 type echo protocol IpIcmpecho 192.168.1.200 schedule 1 life forever start-time now <!--NeedCopy-->

このルールは、192.168.1.200でアプライアンスに定期的にpingを実行します。123に対してテストして、ユニットが稼働しているかどうかを確認できます。

ルーター構成