�n�C �A�x�C��r��e�B �L��p�X �l�b�g��[�N�̐݌v

ハイアベイラビリティキャンパス
ネットワークの設計
概要
本文書では、階層型モデルを使用したキャンパスネットワークの最適な設計方法について説明し
ます。また、本文書で説明する各種トポロジについて、コンバージェンス時間などの包括的なテ
スト結果を『High Availability Campus Recovery Analysis』で提供します。この文書は、次の Web サ
イトで入手できます。
http://www.cisco.com/application/pdf/en/us/guest/netsol/ns432/c649/cdccont_0900aecd801a89fc.pdf
本文書は、次の項目で構成されています。
•
キャンパスネットワーク設計の概要（p.2）
•
設計上の推奨事項の概要（p.2）
•
階層型ネットワーク設計モデル（p.7）
•
ネットワークおよびシャーシ内の冗長性（p.12）
•
使用される基礎的なテクノロジー（p.14）
•
設計のベストプラクティス（p.42）
•
まとめ（p.58）
対象読者
本文書は、企業のキャンパスネットワークの設計、構築を担当されている方で、設計のベストプ
ラクティス、推奨事項、および構成例を必要としているお客様や企業のシステムエンジニアの
方々を対象としています。
本文書の目的
本文書では、キャンパスネットワークの推奨設計を提示し、信頼性の高いハイアベイラビリティ
キャンパスネットワークの設計に関わるさまざまなトポロジ、ルーティングプロトコル、構成の
ガイドライン、およびその他の考慮事項について説明します。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
1
ハイアベイラビリティキャンパスネットワークの設計
キャンパスネットワーク設計の概要
キャンパスネットワーク設計の概要
現在のキャンパスネットワークでは、従来の Web/メール等のアプリケーション、および業務系ア
プリケーションに加え、IP テレフォニー、IP ビデオ、ワイヤレスなど様々なサービスに対応する
ことが要求されており、これらの新しいアプリケーション/サービスを安定して稼働させるために
は、基盤となるキャンパスネットワークには高い安定性と柔軟性が不可欠となります。
本文書で説明するネットワークデザインおよび実装のベストプラクティスは、長年に渡り蓄積さ
れた様々な事例、そして多岐に渡る検証により実証されたデザインを基にしています。これらの
デザインを適用することにより、新しいアプリケーション/サービスに対して柔軟に対応、拡張が
可能でかつ信頼性の高い安定したサービスを提供するキャンパスネットワークを構築することが
できます。
設計上の推奨事項の概要
この項では、本文書で説明する設計上の推奨事項を概説します。次の項目で構成されます。
•
最適なコンバージェンスのためのチューニング（p.2）
•
デザインガイダンスの概説（p.4）
最適なコンバージェンスのためのチューニング
この項では、アクセス、ディストリビューション、およびコアの各レイヤで最適なコンバージェ
ンスを実現するための推奨事項を概説します。次の項目で構成されます。
•
アクセスレイヤのチューニング（p.2）
•
ディストリビューションレイヤのチューニング（p.3）
•
コアレイヤのチューニング（p.4）
アクセスレイヤのチューニング
最適なアクセスレイヤのコンバージェンスを実現するための推奨事項を示します。
•
一つの VLAN の範囲をできるかぎり単一のクローゼットに制限する。
最も確実でアベイラビリティの高いネットワークトポロジを実現するには、さまざまな理由
から、STP/RSTP コンバージェンスを避けるべきです。一般的に、STP/RSTP でのコンバージェ
ンスよりもルーティングでのコンバージェンスの方がコントローラブルで確実な調整が可能
になります。
また、キープアライブ（BPDU またはルーティングプロトコルの Hello）が失われるソフト障
害の状態では、L2 環境が Fail Open の状態となり、すべてのポートで宛先不明のトラフィック
が転送されてブロードキャストストームが発生する可能性があります。一方、L3 環境では
ルーティングのネイバー関係が切断され、Fail Close の状態となりループ、ストームの発生を
防ぐことができます。
•
STP が必要な場合は、Rapid PVST+ を使用する。
アプリケーションの要件上 L2 アクセス構成が必要であり、STP によってコンバージェンスイ
ベントを解決しなければならない場合は、Rapid PVST+ を使用します。Rapid PVST+ は、コン
バージェンスの面から見て、802.1d だけでなく PVST+（802.1d にシスコの機能拡張を加えた
もの）と比べてもはるかに高速なコンバージェンス時間を実現します。
ハイアベイラビリティキャンパスネットワークの設計
2
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
設計上の推奨事項の概要
•
トランクはネゴシエーションなしの on/on に設定し、使用されていない VLAN はトランクか
ら削除し、VTP トランスペアレントモードを使用する。
複数の VLAN でスイッチ間をトランク接続する場合には、DTP をネゴシエーションなしの
on/on に設定し、DTP プロトコルのネゴシエーションを回避します。このチューニングによっ
て、リンク/ノード障害からの復旧時の停止時間を短縮することができます。使用されていな
い VLAN は、ブロードキャストの伝搬を避けるために、トランキングしたインターフェイス
から手動で削除する必要があります。また、共有 VLAN データベースの必要性が減少するた
め、VTP トランスペアレントモードを使用する必要があります。
•
CatOS と Cisco IOS ソフトウェア間で PAgP の設定値を一致させる。
Cisco IOS ソフトウェアデバイスを CatOS デバイスに接続するときは、PAgP の設定値が両側
で同じになるようにします。デフォルト値は異なります。EtherChannel が設定されていない場
合、CatOS デバイスでは、Cisco IOS ソフトウェアデバイスに接続するときに PAgP がオフに
設定されている必要があります。
•
アクセスレイヤでは EIGRP/ルーティングを考慮する。
EIGRP のようなルーティングプロトコルは、正しくチューニングを行うことにより、STP に
よるコンバージェンスよりも優れたコンバージェンス結果を達成できます。これまで多く使
用されてきた L2/L3 での階層型設計と比べても、より高速で安定したコンバージェンスが行
えます。ただし、この設計には多少の複雑さ（中継リンクのサブネット化、VLAN/サブネッ
トの細分化）が伴い、従来よりもサブネット設計に注意が必要となります。さらに、このデ
ザインは現在はまだ L2/L3 での階層型モデルほどには現場で広くは導入されていません。
ディストリビューションレイヤのチューニング
次に、最適なディストリビューションレイヤのコンバージェンスを実現するための推奨事項を示
します。
•
コアへの等コスト冗長接続を使用してコンバージェンス速度を最大化し、ブラックホールを
回避する。
パーシャルメッシュ設計でディストリビューションノードからコアへのリンク数を少なくす
ることによってコストを削減することは魅力的ではありますが、この設計はネットワークの
複雑度とコンバージェンスのトレードオフを伴い、最終的にははるかに高コストになります。
•
必要に応じて、ディストリビューションノード間を接続して集約を容易にし、複数のアクセ
スレイヤスイッチにまたがる L2 VLAN を利用できるようにする。
最適な EIGRP または OSPF コンバージェンスを行うにはアドレスの集約が必要です。集約を
ディストリビューションレイヤで行う場合は、ルーティングのブラックホールを防ぐために、
ディストリビューションノード間を接続する必要があります。
さらに、VLAN が複数のアクセスレイヤスイッチにまたがるような設計では、ディストリ
ビューションノード間を L2 接続でリンクする必要があります。
•
GLBP/HSRP ミリ秒タイマーを利用する。
L2/L3 ディストリビューションモデルにおけるリンクまたはノード障害によるコンバージェ
ンスは、デフォルトゲートウェイのフェイルオーバーに依存します。ミリ秒タイマーを使用
することにより、HSRP/GLBP のフェイルオーバーに基づいて 1 秒未満（800 ミリ秒）のコン
バージェンスを実現することが可能です。
•
GLBP/HSRP のプリエンプションのディレイを調整してブラックホールを回避する。
コアへの接続が再確立される間にトラフィックが廃棄されないよう、HSRP/GLBP でのアク
ティブゲートウェイの切り戻りの前に、ディストリビューションノードとコア間のコンバー
ジェンスが完了できるようにします。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
3
ハイアベイラビリティキャンパスネットワークの設計
設計上の推奨事項の概要
•
EtherChannel と CEF ロードバランシングをチューニングして、等コスト冗長リンクの利用率
を最適化する。
EtherChannel または CEF ロードバランシングを階層型モデルにおいて使用する場合には、バ
ランシングをより均等に行いリンクの利用率を最大化するために、バランシングのパラメー
タを調整します。
EtherChannel の接続では、L3 および L4 情報（UDP/TCP ポート）を使用して最適な利用率を
達成します。L3 での等コスト冗長パスを使用するときは、CEF ハッシュアルゴリズムでの使
用パラメータを、コアノードについてはデフォルトの L3 情報を使用し、ディストリビュー
ションノードについては L3 および L4 情報を使用することにより、ポラライゼーション（偏
り）を防ぎ各階層での最適なバランシングを実現します。
コアレイヤのチューニング
コアレイヤのコンバージェンスを最適化するには、四角形ではなく三角形のトポロジを構築し、
等コスト冗長パスを利用して最も確実なコンバージェンスを実現します。
コアノードと他ノードの接続にはポイントツーポイントリンクを使用することにより、リンク
アップ/ダウン時のトポロジ変更は、ルーティングプロトコルに対して即時に通知されます。それ
によって、等コストロードシェアリングリンクを備えたトポロジにおいては、ミリ秒単位のコ
ンバージェンスを確実に行えるようになります。
他のプロトコルによる間接的な障害の検出、またはタイマーベースの検出を利用するトポロジで
は、コンバージェンスの確実さは低くなり、より長い時間がかかることになります。
デザインガイダンスの概説
この項では、キャンパスネットワーク設計の推奨事項を概説します。次の項目で構成されます。
•
レイヤ 3 基礎サービス（p.4）
•
レイヤ 2 基礎サービス（p.5）
•
設計上の一般的な考慮事項（p.6）
レイヤ 3 基礎サービス
次に、レイヤ 3 基礎サービスの設計上の推奨事項を示します。
•
確実なコンバージェンスを実現する設計を行う（四角形ではなく三角形のトポロジ）。
ポイントツーポイントの物理リンクが導入されたトポロジでは、最も確実なコンバージェン
スが行われます。物理リンクのアップ/ダウンは、タイマーベースのコンバージェンスよりも
高速です。
•
アクセスレイヤのリンクはルーティング設定でパッシブインターフェイスとする。
階層型キャンパスモデルでアクセスレイヤを L2 アクセスとする場合、ディストリビューショ
ンノードがアクセスレイヤのリンク上で不要なネイバー関係を確立するのを防ぐため、ディ
ストリビューションノードではアクセスレイヤのリンクはパッシブインターフェイスとし
ます。
•
集約はディストリビューションで行う。
EIGRP と OSPF のいずれについても、ディストリビューションノードからコアへの部分で、
ルーティング情報を集約することが重要です。このネットワークレイヤで集約をすることで、
EIGRP クエリーまたは OSPF LSA/SPF 伝搬に関しての境界が設定されます。これによって、
ルーティングプロトコルはコンバージェンスに対して最適化されます。
ハイアベイラビリティキャンパスネットワークの設計
4
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
設計上の推奨事項の概要
•
CEF の最適化により冗長 L3 パスの利用率を最大化する。
階層型キャンパスモデルでは、多くの L3 等コスト冗長パスが実装されます。キャンパス内の
標準的なトラフィックフローは、アクセスレイヤからディストリビューションとコアを介し
てデータセンターへ流れるにしたがって、複数の冗長パスを通過します。コアおよびディス
トリビューションレイヤにおいて CEF ハッシュアルゴリズムの決定入力を変更しないと、
CEF ポラライゼーションによって冗長パスの利用率が低下する場合があります。
レイヤ 2 基礎サービス
次に、レイヤ 2 基礎サービスの設計上の推奨事項を示します。
•
VLAN を導入する必要がある場合は、Rapid PVST+ を使用する。
アプリケーションの要件上、複数のアクセススイッチに VLAN が存在する必要があり、STP
によってコンバージェンスイベントを解決する場合は、Rapid PVST+ を使用します。これは、
コンバージェンスの面から見て、802.1d ばかりでなく、PVST+（802.1d にシスコの機能拡張
を加えたもの）と比べてもはるかに高速なコンバージェンスを実現します。
•
Rapid PVST+ を使用してユーザ側のループから保護する。
推奨される設計ではノード間のリンクまたはノードの障害によるトポロジ変更を解決するた
めに STP を使用することはありませんが、ユーザ側で発生するループからネットワークを保
護するには STP が必要です。ユーザ側のアクセスレイヤポートでは、配線ミス、端末の誤設
定、悪意のあるユーザによるループの作成など、さまざまな形でループが発生する可能性が
あります。ループのないトポロジを保証し、ネットワーク全体をアクセスレイヤで発生する
問題から保護するには、STP が必要です。
•
スパニングツリーツールキットを使用して、予期しない STP の変更を防止する。
特定のバージョンの STP が動作しているスイッチまたはワークステーションがネットワーク
に接続されることがよくあります。会議室で追加のポートや接続を一時的に提供するためスイッ
チを接続する場合などは、必ずしも問題にはなりません。問題となるのは、追加されるスイッチ
が、接続先 VLAN の STP ルートになるように設定されているような場合です。BPDU ガードと
ルートガードは、こうした状況を防ぐことができるツールです。BPDU ガードでは、STP が動作
している管理外のスイッチが勝手にネットワークに接続されることのないよう、接続の際は必ず
オペレータの操作を必要とします。ルートガードは、ネットワークに接続される時に STP コン
バージェンスが実行されるような設定のスイッチからネットワークを保護します。
•
UDLD を使用して、片方向通信による障害から保護する。
キャンパス環境で一般的な、光ファイバ接続が使用されるファイバトポロジでは、物理的な
接続ミスによって、一致しない一連の送信/受信ペアがあるときにもリンクが Up/Up と認識さ
れる場合があります。そうした物理的な接続ミスが発生すると、STP のようなプロトコルで
はネットワークが不安定な状態になる場合があります。UDLD は、こうした物理的な接続ミ
スを検出し、問題のポートを無効化します。
•
トランクはネゴシエーションなしの on/on に設定し、使用されていない VLAN はトランクか
ら削除し、VTP トランスペアレントモードを使用する。
複数の VLAN でスイッチ間をトランク接続する場合には、DTP をネゴシエーションなしの
on/on に設定し、DTP プロトコルのネゴシエーションを回避します。このチューニングによっ
て、リンク/ノード障害からの復旧時の停止時間を短縮することができます。使用されていな
い VLAN は、ブロードキャストの伝搬を避けるために、トランキングしたインターフェイス
から手動で削除する必要があります。また、共有 VLAN データベースの必要性が減少するた
め、VTP トランスペアレントモードを使用する必要があります。
•
CatOS と Cisco IOS ソフトウェア間で PAgP の設定値を一致させる。
Cisco IOS ソフトウェアデバイスを CatOS デバイスに接続するときは、PAgP の設定値が両側
で同じになるようにします。デフォルト値は異なります。EtherChannel が設定されていない場
合、CatOS デバイスでは、Cisco IOS ソフトウェアデバイスに接続するときに PAgP がオフに
設定されている必要があります。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
5
ハイアベイラビリティキャンパスネットワークの設計
設計上の推奨事項の概要
設計上の一般的な考慮事項
次に、設計上の一般的な考慮事項を示します。
•
デフォルトゲートウェイの冗長性のために HSRP または GLBP を使用する。
デフォルトゲートウェイの冗長性は、階層型ネットワーク設計のコンバージェンスにおいて
重要な要素です。ディストリビューション階層型モデルでの L2/L3 の境界では、HSRP/GLBP
のタイマーを確実に調整して、リンク/ノードの障害に対して 1 秒未満のコンバージェンス時
間を実現することが可能です。
•
QoS（Quality of Service）をエンドツーエンドで導入して適正なトラフィックを保護し、不正
なものを排除する。
QoS の適用の目的は、もはや音声やビデオにとどまりません。インターネットワームや DoS
攻撃（サービス拒絶攻撃）は、キャンパス環境においてもトラフィックのフラッディングを
引き起こし、ネットワークに大きな影響を与える可能性があります。正しく QoS ポリシーを
適用することによって、疑わしいトラフィックに低いサービスクラスを割り当てながら、ミッ
ションクリティカルなアプリケーションを保護できます。
•
スタック可能なスイッチをデイジーチェーン構成にしない。
デイジーチェーンの構成をとると、ネットワークの複雑さが増し、場合によっては不連続な
VLAN/ サブネット、ルーティングのブラックホール、アクティブ/ アクティブ状態の
HSRP/GLBP などが発生することがあります。こうした複雑化を防ぐには、Cisco Catalyst 3750
ファミリの StackWise テクノロジー、またはモジュラシャーシを使用します。
•
非対称ルーティングによるユニキャストフラッディングを防ぐ。VLAN はアクセスレイヤ全
体にまたがらないようにする。
最適でないトポロジでは、ARP テーブルと CAM テーブルのエージングタイマー間の差異に
よって、定常的にフラッディングが発生する可能性があります。VLAN が複数のアクセスレ
イヤスイッチにまたがっている場合、リターンパスのトラフィックがすべてのアクセスレイ
ヤスイッチとエンドポイントに対してフラッディングされることがあります。これは、VLAN
の範囲を 1 つのアクセスレイヤスイッチに限定することによって、容易に防ぐことができま
す。これができない場合は、CAM エージングタイマーより値が小さくなるように、ARP エー
ジングタイマーを調整します。
•
冗長構成をシンプルにする。
階層型設計において 3 つの冗長リンクや 3 つの冗長ノードを使用して二重の障害から保護し
ても、アベイラビリティは向上しません。逆に、複雑度が増すことによりサービサビリティ
や確実性が下がるため、アベイラビリティは低下します。
•
VLAN が複数のアクセスレイヤスイッチにまたがるようにするのは、必要な場合に限る。
本文書ではこれまで、VLAN が複数のアクセスレイヤスイッチにまたがる環境に関わる問題
を説明してきました。この設計は、コンバージェンスの面から見て最適ではありませんが、ア
プリケーション要件によっては必要となることがあり、適切に使用すれば L2 でのコンバー
ジェンスを実現できます。しかし、よりアベイラビリティを向上させ、コンバージェンスを
最適化できる設計は、ほかにも数多くあります。
•
HSRP または GLBP による L2/L3 ディストリビューションモデルは、多くの実績のある設計
である。
L2/L3 の境界をディストリビューションレイヤに置くトポロジは、多くの実例があり実証済
みの設計であり、1 秒未満（900 ミリ秒）のコンバージェンスを実現できます。正しい構成で
適切にチューニングが行われていれば、この設計が推奨されるベストプラクティスです。
ハイアベイラビリティキャンパスネットワークの設計
6
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
階層型ネットワーク設計モデル
アクセスレイヤまで L3 を拡張する設計は、最新のベストプラクティスである。
•
ルーティングプロトコルとキャンパスハードウェアの進歩によって、アクセスレイヤスイッ
チまで L3 を拡張してルーティングプロトコルを導入し、アクセスおよびディストリビュー
ションレイヤスイッチ間で L3 ポイントツーポイントルーテッドリンクを使用することが可
能になっています。この設計は、多くの点で従来の L2/L3 ディストリビューションモデルよ
り改善をもたらします。とりわけ 60 ～ 200 ミリ秒の範囲で信頼性のあるコンバージェンスを
実現できます。
階層型ネットワーク設計モデル
この項は、次の項目で構成されています。
•
階層型ネットワーク設計の概要（p.7）
•
コアレイヤ（p.8）
•
ディストリビューションレイヤ（p.9）
•
アクセスレイヤ（p.10）
階層型ネットワーク設計の概要
階層型モデルを使用すると、スケーラブルな「ビルディングブロック」を使用してモジュラトポ
ロジを設計でき、多様なビジネスニーズに対応するネットワークを構築できます。モジュラ設計
では、適切なトラフィックパターンを促進することによって、ネットワークの容易な拡張、解析、
およびトラブルシューティングができます。
シスコは、1999 年にネットワーク機器を役割によって階層化する階層型設計モデルを導入しまし
た（図 1 を参照）。ビルディングブロックのコンポーネントは、アクセスレイヤ、ディストリ
ビューションレイヤ、およびコア（バックボーン）レイヤです。このモデルの主な利点は、その
階層型の構造とモジュール性にあります。
図1
階層型キャンパスネットワーク設計
⇈⇕⇡⇟
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
⇙⇈
⇈⇕⇡⇟
WAN
࠺࡯࠲࠮ࡦ࠲࡯
ࠗࡦ࠲࡯
ࡀ࠶࠻
119801
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
7
ハイアベイラビリティキャンパスネットワークの設計
階層型ネットワーク設計モデル
階層型設計では、特定のデバイスのキャパシティ、特長、および機能が、ネットワークでの位置、
およびそれが果たす役割に合わせて最適化され、これによって、高いスケーラビリティと安定性
が実現されます。フローの数とそれに伴う帯域幅の要件は、アクセスからディストリビューショ
ン、コアへと階層構造を上へ昇るにしたがって増大します。ネットワークで必要となる機能は各
レイヤに分散して導入されます。階層型設計では、すべてのネットワークノードが相互接続され
るフルメッシュ型ネットワークが不要になります。
モジュラネットワークのビルディングブロックは、容易に複製、再設計、および拡張することが
できます。モジュールの追加や削除のたびにネットワーク全体を再設計する必要はありません。
各ビルディングブロックは、ネットワークの他の部分に影響を与えることなく拡張することが可
能です。この機能によって、トラブルシューティング、問題発生部分の隔離、およびネットワー
ク管理が容易になります。
コアレイヤ
標準的な階層型モデルでは、各ビルディングブロックがコアレイヤを使用して相互接続されま
す。コアは、ネットワークのバックボーンとして機能します（図 2 を参照）
。すべてのビルディン
グブロック間の接続がコアに依存するため、コアは高速できわめて高い復元力を持つ必要があり
ます。ハードウェアで高速化された現在のシステムは、複雑なサービスをワイヤスピードで提供
する能力を持っています。しかし、ネットワークのコアでは、できるだけシンプルな構成が推奨
されます。コアを最小構成にすれば、構成の複雑度が低下し、運用上のミスが発生しにくくなり
ます。
図2
コアレイヤ
⇙⇈
⇈⇕⇡⇟
119802
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
フルメッシュ型または高メッシュ型トポロジで冗長化を実現することは可能ですが、そのタイプ
の設計では、リンクやノードで障害が発生した場合に一貫性のあるコンバージェンスを実行でき
ません。また、フルメッシュ設計ではピアリングと隣接関係の問題が存在するため、ルーティン
グの設定が複雑になり拡張が困難になります。さらに、ネットワークが拡張または変更されるに
したがって、ポート数の増大により不必要なコストが発生し、ネットワークの複雑度も増すこと
となります。次に、設計上留意すべきその他の主な問題をいくつか示します。
•
コアレイヤは、ハードウェアで高速化されたサービスのみを利用する高速レイヤ 3（L3）ス
イッチング環境として設計します。レイヤ 3 コア設計は、次の点でレイヤ 2 やその他の設計
よりも優れています。
– リンクまたはノード障害に対するコンバージェンスが高速
– ルーティングネイバー関係とメッシュが減少するため、スケーラビリティが向上
– 帯域利用率が向上
ハイアベイラビリティキャンパスネットワークの設計
8
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
階層型ネットワーク設計モデル
•
コアでは可能なかぎり冗長ポイントツーポイント L3 相互接続を使用します（四角形ではなく
三角形のトポロジ）。この設計を使用すると、最も確実で最も高速なコンバージェンス結果が
得られます。
•
L2 ループ、複雑な L2 冗長化（STP など）
、L3 ビルディングブロック間では間接的障害検出
を使用しないでください。
ディストリビューションレイヤ
ディストリビューションレイヤは、アクセスレイヤのノードを集約し、高密度のピアリングから
コアを保護します（図 3 を参照）。さらに、ディストリビューションレイヤは障害の境界を形成
し、アクセスレイヤで発生した障害の論理的な分離点を提供します。通常、L3 スイッチのペアが
導入されるディストリビューションレイヤでは、ネットワークコアへの接続に L3 スイッチング
を使用し、アクセスレイヤへの接続に L2 サービスを使用します。ロードバランシング、QoS
（Quality of Service）、およびプロビジョニングの容易さが、ディストリビューションレイヤの主な
考慮事項です。
図3
ディストリビューションレイヤ
⇈⇕⇡⇟
119803
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
ディストリビューションレイヤのハイアベイラビリティは、ディストリビューションレイヤか
らコア、およびアクセスレイヤからディストリビューションレイヤへの二重化された等コストパ
スによって提供されます（図 4 を参照）。これによって、リンクまたはノード障害発生時には高速
で確実なコンバージェンスが実現されます。冗長パスが存在するときは、フェイルオーバーはタ
イマーベースのソフトウェア障害検出ではなく、主にハードウェアリンク障害検出を利用します。
これらの機能に基づいたコンバージェンスは、ハードウェアで実装され、最も確実なものです。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
9
ハイアベイラビリティキャンパスネットワークの設計
階層型ネットワーク設計モデル
図4
ディストリビューションレイヤ — ハイアベイラビリティ
⇈⇕⇡⇟
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
⇙⇈
⇈⇕⇡⇟
WAN
࠺࡯࠲࠮ࡦ࠲࡯
ࠗࡦ࠲࡯
ࡀ࠶࠻
119801
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
L3 の等コストロードシェアリングでは、コアとディストリビューションレイヤ間のリンクを両
方とも利用できます。ディストリビューションレイヤでは、Gateway Load Balancing Protocol（GLBP;
ゲートウェイロードバランシングプロトコル）、Hot Standby Router Protocol（HSRP; ホットスタ
ンバイルータプロトコル）、または Virtual Router Redundancy Protocol（VRRP; 仮想ルータ冗長プ
ロトコル）を使用して、デフォルトゲートウェイの冗長性を提供します。これによって、ディス
トリビューションノードの 1 つで障害が発生したり、1 つが取り除かれたりしても、デフォルト
ゲートウェイへのエンドポイント接続が失われることはありません。
アクセスレイヤからディストリビューションレイヤへのアップリンクでは多くの方法でロード
バランシングを実現できますが、最も容易な方法は GLBP を使用することです。GLBP は、HSRP
に似た冗長性と障害検出機能を提供します。また、アクセスレイヤデバイスに対してデフォルト
ゲートウェイのラウンドロビン式分散が可能なため、エンドポイントは、2 つのディストリビュー
ションノードのいずれかにトラフィックを送信できます。
デフォルトゲートウェイの冗長性の詳細については、「HSRP、VRRP、または GLBP を使用した
デフォルトゲートウェイの冗長化」（p.34）を参照してください。
アクセスレイヤ
アクセスレイヤは、エッジデバイス、端末、および IP 電話にとってネットワークへの最初のエン
トリポイントです（図 5 を参照）
。アクセスレイヤのスイッチは、冗長性を確保するために 2 つ
の別々のディストリビューションレイヤスイッチに接続されます。ディストリビューションレ
イヤスイッチ間の接続が L3 接続である場合、ループは発生せず、すべてのアップリンクがトラ
フィックをアクティブに転送します。
ハイアベイラビリティキャンパスネットワークの設計
10
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
階層型ネットワーク設計モデル
図5
アクセスレイヤ
ࠦࠕ߳
119804
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
⇈⇕⇡⇟
アクセスレイヤは、主に次の機能を提供します。
•
多くのハードウェアおよびソフトウェアの属性によってサポートされる High Availability
（HA;
ハイアベイラビリティ）機能。
•
IP テレフォニーやワイヤレスアクセスポイントのインラインパワー（PoE）。お客様は音声を
データネットワークに統合でき、ユーザにはローミング WLAN アクセス機能が提供されます。
•
基礎的なサービス。
ハイアベイラビリティをサポートするアクセスレイヤのハードウェアおよびソフトウェアには、
次のものが含まれます。
•
冗長スーパーバイザエンジンと冗長電源を使用したシステムレベルの冗長性。これによって、
重要なユーザグループにハイアベイラビリティが提供されます。
•
GLBP、HSRP、または VRRP を使用する冗長システム（ディストリビューションレイヤス
イッチ）への二重接続を使用したデフォルトゲートウェイの冗長性。これによって、ディス
トリビューションレイヤで 1 つのスイッチからバックアップスイッチへの高速フェイルオー
バーが実現されます。
•
よりシンプルな構成でより広い実効帯域幅を提供するリンクアグリゲーション（EtherChannel
または 802.3ad）機能。
•
QoS を使用したミッションクリティカルなネットワークトラフィックの優先順位付け。これ
により、ネットワークの入口にできるだけ近いところでのトラフィックの分類とキューイン
グが提供されます。
•
未認証のネットワークアクセスからの保護を強化するセキュリティサービス。802.1X、ポー
トセキュリティ、DHCP スヌーピング、ダイナミック ARP インスペクション、IP ソースガー
ドといったツールを使用します。
•
Internet Group Membership Protocol（IGMP）スヌーピングなど、ソフトウェア機能を使用した
効率的なネットワークおよび帯域幅管理。IGMP スヌーピングは、マルチキャストアプリケー
ションのマルチキャストパケットフラッディングの抑制に役立ちます。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
11
ハイアベイラビリティキャンパスネットワークの設計
ネットワークおよびシャーシ内の冗長性
ネットワークおよびシャーシ内の冗長性
キャンパスネットワークを設計するとき、ネットワーク技術者は高い冗長性を持つデバイスの最
適な使用を計画する必要があります。復元力のあるハイアベイラビリティネットワークを構築す
るため、冗長性への投資を行うタイミングと場所については、慎重な検討が必要です。
図 6 に示すとおり、階層型ネットワークモデルは、2 つのアクティブ転送コアノードで構成され
ます。これらは、いずれかのノードで障害が発生した場合にもネットワーク全体にサービスを提
供するため、十分な帯域幅とキャパシティを備えています。このモデルでは、冗長化されたコア
をサポートする、冗長化されたディストリビューションペアも必要です。コアと同様、ディスト
リビューションレイヤは、十分な帯域幅とキャパシティを持つように設計されます。そのため、
ディストリビューションノードの 1 つで完全な障害が発生しても、帯域幅やスイッチングキャパ
シティの面でネットワークのパフォーマンスが影響を受けることはありません。
図6
冗長ネットワークノード
⇈⇕⇡⇟
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
౬㐳ࡁ࡯࠼
⇙⇈
⇈⇕⇡⇟
WAN
࠺࡯࠲࠮ࡦ࠲࡯
ࠗࡦ࠲࡯
ࡀ࠶࠻
119976
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
キャンパスネットワークデバイスは、現在、個々のノード内で高レベルのアベイラビリティを提
供できます。Cisco Catalyst 6500 および 4500 スイッチは、冗長スーパーバイザエンジンをサポー
トし、L2 Stateful Switchover（SSO; ステートフルスイッチオーバー）を提供できます。これによ
り、スタンバイスーパーバイザエンジンは L2 上で同期され、1 つのスーパーバイザに障害が発
生した場合はただちに L2 フォワーディングを引き継ぐことができます。
Catalyst 6500 および Catalyst 4500 スーパーバイザエンジン Ⅳ 以上では、L3 Non-Stop Forwarding
（NSF; ノンストップフォワーディング）も提供します。これにより、冗長スーパーバイザは、プ
ライマリスーパーバイザで障害が発生した場合にも、周囲の L3 ピアとの間でネイバー関係の再
設定や再確立を行うことなく L3 フォワーディングを引き継ぐことができます。
ハイアベイラビリティキャンパスネットワークの設計
12
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
ネットワークおよびシャーシ内の冗長性
最大限のハイアベイラビリティが実現されるようにネットワークを設計するときは、アベイラビ
リティをさらに引き上げようと、冗長トポロジに冗長スーパーバイザを追加しようとする場合が
あります。しかし、ネットワークの冗長なコアおよびディストリビューションレイヤに冗長スー
パーバイザを追加すると、スーパーバイザで障害が発生した場合のコンバージェンス時間が増大
することがあります。
階層型モデルでは、コアおよびディストリビューションノードは、ポイントツーポイントの L3
ルーテッドリンクによって接続されます。スーパーバイザが冗長化されていないノードでスー
パーバイザが障害を起こした場合は、リンク障害が発生し、第 2 のコアまたはディストリビュー
ションノードにより停止した部分を避けるようにネットワークのコンバージェンスが行われま
す。これにより、ネットワークは EIGRP および OSPF において、60 ～ 200 ミリ秒でコンバージェ
ンスを実行できます。
（注）
詳細については、『High Availability Campus Recovery Analysis』を参照してください。
冗長スーパーバイザを導入すると、1 つのスーパーバイザが障害を起こしても、SSO または NSF
コンバージェンスの間でもリンクはアクティブなままです。SSO が実行される間、トラフィック
は失われますが、間接障害の検出は行われません。SSO は、問題のデバイスの物理構成に応じて
1 ～ 3 秒で復旧します。NSF を使用した L3 の復旧は SSO コンバージェンスイベントのあとに発
生するため、L3 の中断とコンバージェンスは最小限に抑えられます。コアまたはディストリ
ビューションでデュアルスーパーバイザノードが使用された場合、冗長スーパーバイザなしで
60 ～ 200 ミリ秒のパケットドロップが発生した障害イベントについて、同条件で 1.8 秒のパケッ
トドロップが測定されました。
ネットワークのアクセスレイヤは、通常シングルポイント障害になります（図 7 を参照）。
図7
潜在的なシングルポイント障害
ẜ࿷⊛ߥ
ࠪࡦࠣ࡞ ࡐࠗࡦ࠻
㓚ኂ
⇈⇕⇡⇟
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
119977
⇙⇈
アクセスノードはディストリビューションレイヤに二重接続されますが、通常ネットワーク上の
エンドポイントを冗長アクセスレイヤスイッチに二重接続することはありません（データセン
ター内を除く）。このため、冗長スーパーバイザがアクセスレイヤで使用され、L2/L3 境界がネッ
トワークのディストリビューションレイヤにあると、SSO によってアベイラビリティが向上しま
す。このトポロジでは、SSO は、スーパーバイザハードウェアまたはソフトウェアの障害からの
保護を提供します。この場合、1 ～ 3 秒のパケットドロップが発生しますが、ネットワークコン
バージェンスは実行されません。SSO なしで 1 つのスーパーバイザだけを使用する場合、このア
クセススイッチに接続されたデバイスは、スーパーバイザが物理的に交換されるか、ソフトウェ
ア障害の場合は装置がリロードされるまで、全面的なネットワーク機能停止に見舞われます。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
13
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
L2/L3 境界がネットワークのアクセスレイヤにある場合、つまりルーティングプロトコルがアク
セスレイヤで動作する設計の場合は、NSF/SSO によってアベイラビリティのレベルが向上しま
す。L2/L3 ディストリビューションレイヤトポロジと同様、障害を起こしたスーパーバイザが物
理的に交換されるまで全面的に機能が停止するのに比べて、NSF/SSO では 1 ～ 3 秒のパケットド
ロップが発生するだけで、ネットワークコンバージェンスは発生しません。
冗長ネットワークパスを備えたキャンパストポロジは、冗長スーパーバイザによってコンバー
ジェンスを行うトポロジよりも高速なコンバージェンスを実行できます。NSF/SSO は、シングル
ポイント障害が存在する環境において最も有効です。キャンパストポロジでは、それはアクセス
レイヤです。L2 アクセスレイヤ設計を採用している場合は、SSO を備えた冗長スーパーバイザの
導入が最も有効です。ルーテッドアクセスレイヤ設計を採用している場合は、NSF/SSO を備えた
冗長スーパーバイザの導入が最も有効です。
使用される基礎的なテクノロジー
この項では、キャンパスネットワークで使用される基礎テクノロジー、および推奨される構成に
ついて説明します。次の項目で構成されます。
•
レイヤ 3 ルーティングプロトコル（p.14）
•
レイヤ 2 での冗長性 — STP のバージョン（p.22）
•
トランキングプロトコル（p.25）
•
UDLD による片方向通信からの保護（p.30）
•
リンクアグリゲーション — EtherChannel プロトコルと 802.3ad（p.31）
•
リンクアグリゲーションプロトコル（p.32）
•
HSRP、VRRP、または GLBP を使用したデフォルトゲートウェイの冗長化（p.34）
•
GLBP（p.36）
•
オーバーサブスクリプションと QoS（p.39）
レイヤ 3 ルーティングプロトコル
この項は、次の項目で構成されています。
•
三角形トポロジの使用（p.14）
•
トランジットリンクへの L3 ピアリングの制限（p.15）
•
障害発生時の接続の保証（p.16）
•
CEF によるロードバランシングのチューニング（p.19）
三角形トポロジの使用
レイヤ 3 ルーティングプロトコルは、通常、ネットワークのコア間およびコア/ディストリビュー
ションレイヤ間で導入され、アクセスレイヤに対しても使用できます。現在、フルルーテッドア
クセスレイヤ設計が導入されることはまだあまり多くはありませんが、アベイラビリティの向上
には非常に有効な方法です。ルーテッドアクセスレイヤ設計の詳細については、
「アクセスレイ
ヤでのルーティング」
（p.51）を参照してください。ルーティングプロトコルは、階層型ネット
ワーク設計で障害のあるリンクやノードを迂回してルート変更するために利用されます。
ハイアベイラビリティキャンパスネットワークの設計
14
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
すべての冗長ノードへの等コストパスを備え、三角形を使用したトポロジを構築する場合は、タ
イマーベースの不確実なコンバージェンスを避けることができます。Hello およびデッドタイマー
を使用した間接的なネイバーまたはルート損失の検出ではなく、物理リンクの損失に基づいてパ
スを使用不能としてマーキングし、すべてのトラフィックを代替パスにルート変更することがで
きます。図 8 に、三角形と四角形の両方のネットワークトポロジを示します。
三角形および四角形のネットワークトポロジ
ਃⷺᒻ㧦࡝ࡦࠢ/ࡁ࡯࠼㓚ኂߢ࡞࡯࠹ࠖࡦࠣ
ࡊࡠ࠻ࠦ࡞ߩࠦࡦࡃ࡯ࠫࠚࡦࠬߪᔅⷐߥ޿
྾ⷺᒻ㧦࡝ࡦࠢ/ࡁ࡯࠼㓚ኂߢ࡞࡯࠹ࠖࡦࠣ
ࡊࡠ࠻ࠦ࡞ߩࠦࡦࡃ࡯ࠫࠚࡦࠬ߇ᔅⷐ
ਃⷺᒻ
྾ⷺᒻ
119807
図8
四角形ではなく三角形のトポロジを使用することは、推奨事項に過ぎません。物理的なファイバ
接続の制約を補ったり、コストを削減したりするために、等コスト冗長パスを使用しないトポロ
ジを構築することは可能です。しかし、リンクまたはノード障害が発生した場合に三角形トポロ
ジと同様の確実なコンバージェンスを達成することは不可能であり、同等のアベイラビリティを
得ることはできません。
トランジットリンクへの L3 ピアリングの制限
階層型モデルでは、ディストリビューションルータは、デフォルト設定では、ディストリビュー
ションペアで収容した各 VLAN について、アクセスレイヤを介してルーティングピア関係を確
立できます（図 9 を参照）。しかしこれは、予期せぬ望ましくないルーティング動作を引き起こす
場合があります。
レイヤ 3 ピア関係
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
⇈⇕⇡⇟
࡞࡯࠹ࠖࡦࠣ
ࠕ࠶ࡊ࠺࡯࠻
119808
図9
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
15
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
この冗長 L3 ピアリングは、HA の面から見て利点はありません。メモリ、ルーティングプロトコ
ルアップデートのオーバーヘッド、および複雑度の増大という点で負荷が増すだけです。さらに、
リンク障害が発生した場合は、トラフィックが別のアクセスレイヤスイッチ経由で伝送される可
能性がありますが、これは望ましくありません。したがって、アクセスレイヤへのリンク以外の
リンクだけをルーティングのネイバーまたはピア関係の確立に使用することが推奨されます。そ
のために、L3 ピアリングが望ましくないインターフェイスをパッシブインターフェイスに設定し
ます。
個々のインターフェイスをパッシブにするには、次のコマンドを実行します。
router eigrp 1
passive-interface Vlan 99
また、すべてのインターフェイスをパッシブに設定してから、no passive コマンドを使用してピ
アリングが望ましいインターフェイスのみでルーティングのネイバー関係を有効化することも可
能です。次に例を示します。
router eigrp 1
passive-interface default
no passive-interface Vlan 99
いずれかの方式を使用してディストリビューションノード間でのピア関係の数を最小化すること
により、トランジットリンクとして想定されたリンクのみでピアリングを実行できるようにしま
す。コンフィギュレーションに最小限の行数しか必要としないか、管理が最も容易な方式を使用
します。
障害発生時の接続の保証
接続の観点から、ネットワーク設計者によっては、それぞれのコアノードに対して個別に接続さ
れたデュアルディストリビューションノードを推奨する場合があります。このモデルでは、コア
におけるピアリング関係とインターフェイスの数が減少します。ただし、コアリンクまたはノー
ドで障害が発生した場合は、HSRP などでインターフェイストラッキングによりディストリビュー
ション－アクセス間が収束するまでトラフィックが廃棄されることがあります（図 10 を参照）。
図 10
コアへの単一パス
⇙⇈
ࠦࠕ߳ߩන৻ࡄࠬ
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
119809
ࠦࠕ߳ߩ࡞࡯࠻߇ߥ޿ߚ߼
࠻࡜ࡈࠖ࠶ࠢߪᑄ᫈
⇈⇕⇡⇟
A
B
ハイアベイラビリティキャンパスネットワークの設計
16
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
推奨される設計は、コアへの代替パスを用意することです（図 11 を参照）。
図 11
コアへの代替パス
⇙⇈
ࠦࠕ߳ߩ౬㐳ࡄࠬ
119810
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
⇈⇕⇡⇟
A
B
追加する必要のあるリンクは、ディストリビューション A/B とコア B/A 間の追加リンクだけでは
ありません。2 つのディストリビューションノード間にもリンクが必要です。この要件について
は、次の項で詳しく説明します。推奨されるトポロジを図 12 に示します。
図 12
推奨されるトポロジ（2 つのディストリビューションノード間のリンク）
⇙⇈
ࠦࠕ߳ߩ౬㐳ࡄࠬߣ
࠺ࠖࠬ࠻࡝ࡆࡘ࡯࡚ࠪࡦ㑆
࡝ࡦࠢ
119811
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
⇈⇕⇡⇟
A
B
ディストリビューションスイッチ間の追加リンクは、ディストリビューションレイヤからコアへ
向かうルーティング情報の集約をサポートするために必要です。コアへ向かうルーティング情報
が集約されない場合、Enhanced Interior Gateway Routing Protocol（EIGRP）と Open Shortest Path First
（OSPF）では、障害が発生したノードに対するコンバージェンスを実行するために多数のピアと
の相互作用が必要になる可能性があります（図 13 を参照）
。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
17
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
図 13
障害が発生したノードに対するコンバージェンス
㓸⚂ߥߒ
ࠢࠛ࡝࡯ߪࠦࠕએᄖߦ߽વㅍ
ࡀ࠶࠻ࡢ࡯ࠢߩઁߩㇱಽ
⇙⇈
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
119812
IGP ߩࠦࡦࡃ࡯ࠫࠚࡦࠬ߇ቢੌ
ߔࠆ߹ߢ࠻࡜ࡈࠖ࠶ࠢߪᑄ᫈
⇈⇕⇡⇟
10.1.1.b/24
10.1.1.a/24
次の設定例では、集約ルートがコアへ送信されます。
interface Port-channel1
description to Core#1
ip address 10.122.0.34 255.255.255.252
ip hello-interval eigrp 100 1
ip hold-time eigrp 100 3
ip summary-address eigrp 100 10.1.0.0 255.255.0.0 5
ルート集約が使用されると、ディストリビューションノードは、リンクまたはノード障害に対す
るコンバージェンスを実行するときに、限られた数のルーティングピアと相互作用します。EIGRP
を使用するか、または OSPF のエリア境界を使用した集約は、ディストリビューション/コアレイ
ヤ間の L3 接続で推奨されるルーティング構成です。
ディストリビューションノード間では L3 リンクが必要です。ディストリビューションノード間
の L3 リンクが存在しない場合、アクセスレイヤのリンクに障害が発生し、ディストリビューショ
ンノードが L3 リンクで相互接続されていなければ、コアからアクセスレイヤへの戻りのトラ
フィックが廃棄されることがあります（図 14 を参照）
。
ハイアベイラビリティキャンパスネットワークの設計
18
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
図 14
集約によるコアでのクエリー停止
㓸⚂ߦࠃࠅࠦࠕߢ
ࠢࠛ࡝࡯߇஗ᱛ
ࡀ࠶࠻ࡢ࡯ࠢߩઁߩㇱಽ
⇙⇈
ᨼኖ≝
10.1.0.0/16
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
119813
IGP ߩࠦࡦࡃ࡯ࠫࠚࡦࠬ߇ቢੌ
ߔࠆ߹ߢ࠻࡜ࡈࠖ࠶ࠢߪᑄ᫈
⇈⇕⇡⇟
10.1.1.b/24
10.1.1.a/24
ディストリビューションノードが集約された情報をコアに送信するため、個々のディストリ
ビューションノードは単一の VLAN またはサブネットへの接続の損失をコアへアドバタイズし
ません。これは、リンクに障害のある、トラフィックを送信できないディストリビューションメ
ンバーをコアノードはわからないということです。ディストリビューションスイッチ間で L3 リ
ンクを追加すると、特定の VLAN またはサブネットへの接続を失ったディストリビューション
ノードは、ディストリビューション間リンクでトラフィックのルート変更を実行し、その VLAN
またはサブネットへの接続性を維持できます。その際、ディストリビューション間リンク用に選
択されるアドレス空間は、集約されるアドレス空間に含まれなければなりません。
CEF によるロードバランシングのチューニング
推奨されるネットワークトポロジでは、多数の冗長パスが提供されます。アクセスレイヤから見る
と、別のビルディングブロック（データセンターなど）へ到達するまでに 3 つ以上の冗長リンク
を通過します。冗長リンクの利用率が低下する場合がある Cisco Express Forwarding（CEF）のポラ
ライゼーションを防止するには、CEF の等コストパス選択パラメータを調整する必要があります。
CEF は、一貫した決定性を持つアルゴリズムです。図 15 に示すとおり、入力に同じ情報を使用す
ると、常に同じ結果が得られます。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
19
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
図 15
CEF のロードバランシング
ᡛ̮Ψ IP ‫ܮ‬έ IP ᡛ̮Ψ∃∞⇮ ‫ܮ‬έ∃∞⇮
ࡂ࡯࠼࠙ࠚࠕ
࡞࠶ࠢࠕ࠶ࡊ
ࡂ࠶ࠪࡘߦ
ၮߠ޿ߡ
․ቯߩ㓞ធ
㑐ଥࠍㆬᛯ
MAC ↝୿ⅼ੭ⅷ ᡛ̮Ψ IP ‫ܮ‬έ IP ᡛ̮Ψ∃∞⇮ ‫ܮ‬έ∃∞⇮
119814
ࡂ࠶ࠪࡘ
CEF は、次のようなプロセスでフォワーディングの最終決定を下します。
1. CEF は、ハードウェアルックアップによって、宛先アドレスに一致する最長パスを決定します。
2. 特定のインデックスがそれぞれネクストホップの隣接テーブルと関連付けられます。
– デフォルトでは、パケットの送信元と宛先の IP アドレスが使用されるハードウェアハッ
シュによって、隣接関係のうちの 1 つが選択されます。
– もう一つの方法として、パケットの送信元と宛先の IP アドレスのほかに L4 ポート情報を
使用するハードウェアハッシュによって、隣接関係の 1 つを選択することもできます。
3. 新しい宛先 MAC アドレスが選択され、パケットが転送されます。
ハッシュへの入力を変更すると、出力も変化します。送信元と宛先のデフォルトの入力値は L3 で
す。この入力値を L3 および L4 に変更すると、出力のハッシュ値も変化します。
すべて同じ入力値を使用する複数の冗長パスを持つネットワークをパケットが通過するときは、
「右へ行く」か「左へ行く」かの決定が各冗長パスについて行われます。その結果、冗長リンクの
中で利用率の低下するものが生じ、ネットワークで CEF による選択パスの偏りが発生します（図 16
を参照）。
ハイアベイラビリティキャンパスネットワークの設計
20
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
図 16
CEF のポラライゼーション
౬㐳ࡄࠬߪήⷞ
⇭⇉⇟⇮∐⇹∋∞⇝∍∙
⇭⇻⇏∑⇮↝ L3 ⇵⇩⇝∋
Ꮐ
ฝ
⇙⇈
⇭⇻⇏∑⇮↝ L3 ⇵⇩⇝∋
Ꮐ
ฝ
119815
⇭⇉⇟⇮∐⇹∋∞⇝∍∙
⇭⇻⇏∑⇮↝ L3 ⇵⇩⇝∋
CEF のポラライゼーションを防ぐには、ネットワークの各レイヤで CEF アルゴリズムへの入力を
変更する必要があります。ディストリビューションレイヤでは、デフォルトの CEF ロードバラ
ンシング動作を変更し、CEF ハッシュアルゴリズムへの入力値として L3 および L4 情報を使用し
ます。これを実行するには、ディストリビューションノードで mls ip cef load-sharing full コマン
ドを使用します。
コアレイヤでは、デフォルトのまま L3 情報だけを使用します。このように交互に変更すること
によって、
「常に右」や「常に左」のような偏ったパス決定が行われなくなり、ネットワーク内の
等コスト冗長リンク全体にわたってトラフィックを分散できます（図 17 を参照）。
図 17
CEF のポラライゼーションの防止
ߔߴߡߩࡄࠬࠍ૶↪
⇭⇉⇟⇮∐⇹∋∞⇝∍∙
L3/L4 ⇵⇩⇝∋
Ꮐ
Ꮐ
ฝ
ฝ
⇙⇈
⇭⇻⇏∑⇮↝ L3 ⇵⇩⇝∋
119816
⇭⇉⇟⇮∐⇹∋∞⇝∍∙
L3/L4 ⇵⇩⇝∋
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
21
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
レイヤ 2 での冗長性 — STP のバージョン
この項は、次の項目で構成されています。
•
STP のバージョン（p.22）
•
最適なコンバージェンスのためのベストプラクティス（p.23）
STP のバージョン
ハイアベイラビリティネットワークでは、ノードまたはリンク障害が発生した場合に接続を保証
するため、冗長パスが必要になります。冗長 L2 ループを含む環境では、さまざまなバージョンの
Spanning Tree Protocol（STP; スパニングツリープロトコル）が使用されます。STP によって、ネッ
トワークはインターフェイスを確実にブロックし、冗長リンクを含むネットワークでループのな
いトポロジを実現できます（図 18 を参照）。
STP の動作
A
STOP
B
119817
図 18
STP は次のようなバージョンを経て発展してきました。
•
DEC STP ― IEEE 以前
•
802.1D ― Classic STP
•
802.1w ― Rapid STP（RSTP）
•
802.1s ― Multiple STP（MST）
•
802.1t ― 802.1d メンテナンス
シスコのスパニングツリーツールキットには、次のような 802.1（d、s、w）の機能拡張が含まれ
ています。
•
PortFast ― アクセスポートがリスニングフェーズとラーニングフェーズをバイパスできます。
•
UplinkFast ― リンク障害発生時、3 ～ 5 秒でのコンバージェンスを提供します。
•
BackboneFast ― 間接的障害の場合でも、MaxAge の設定によってコンバージェンス時間を短
縮します。
•
ループガード ― Bridge Protocol Data Unit（BPDU; ブリッジプロトコルデータユニット）が
受信されない場合、代替ポートまたはルートポートが誤ってフォワーディングステートに移
行しないようにします。
•
ルートガード ― 外部スイッチがルートブリッジにならないようにします。
•
BPDU ガード ― PortFast を使用したポートで BPDU が受信された場合に、そのポートを無効
にします。
•
BPDU フィルタ ― PortFast を使用したポートで、BPDU を送受信しないようにします。
シスコは、これら多数の機能を次のバージョンの STP に組み込んでいます。
•
Per-VLAN Spanning Tree Plus（PVST+）― ネットワーク上で設定された VLAN ごとに別々の
802.1D スパニングツリーインスタンスを提供します。PortFast、UplinkFast、BackboneFast、
BPDU ガード、BPDU フィルタ、ルートガード、およびループガードをサポートします。
ハイアベイラビリティキャンパスネットワークの設計
22
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
•
Rapid PVST+ ― VLAN ごとに RSTP（802.1w）のインスタンスを提供します。PortFast、BPDU
ガード、BPDU フィルタ、ルートガード、およびループガードをサポートします。
•
MST ― 最大 16 個の RSTP（802.1w）インスタンスを提供し、同じ物理および論理トポロジを
持つ多数の VLAN を組み合わせて 1 つの共通 RSTP インスタンスを作成します。PortFast、
BPDU ガード、BPDU フィルタ、ルートガード、およびループガードをサポートします。
最適なコンバージェンスのためのベストプラクティス
やむを得ない場合にのみ L2 ループのあるトポロジを使用してください。一般的に、コンバージェ
ンス、信頼性、および管理性の面で最も確実かつ最適に動作するネットワークでは L2 ループを推
奨しません。また、通常の条件下では、コンバージェンスイベントを解決するために STP は必要
とされません。ただし、アクセスまたはユーザ側のインターフェイスで予期しないループを防ぐ
には、STP を有効にする必要があります。
L2/L3 ディストリビューションモデルでは、アクセスノードとディストリビューションノード間
で L2 リンクが導入されます。ただし、複数のアクセスレイヤスイッチにまたがる VLAN は存在
しません。さらに、ディストリビューション間のリンクは、L3 ルーテッドリンクです。その結
果、L2 ループのないトポロジとなり、アクセスレイヤからの両方のアップリンクが L2 でフォ
ワーディングを行い、リンクまたはノード障害が発生した場合もただちに使用可能です（図 19 を
参照）
。
図 19
レイヤ 2 ループのないトポロジ
HSRP ࠕࠢ࠹ࠖࡉ
VLAN 20‫ޔ‬140
HSRP ࠕࠢ࠹ࠖࡉ
VLAN 40‫ޔ‬120
࡟ࠗࡗ 3
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
࡟ࠗࡗ 2 ࡝ࡦࠢ
࡟ࠗࡗ 2 ࡝ࡦࠢ
10.1.20.0 VLAN 20 ࠺࡯࠲
10.1.120.0 VLAN 120 㖸ჿ
10.1.40.0 VLAN 40 ࠺࡯࠲
10.1.140.0 VLAN 140 㖸ჿ
119818
HSRP ∈⇭∑
⇈⇕⇡⇟
データセンターでは、サーバは通常、アクセススイッチに二重に接続されフェイルオーバー /負
荷分散などの機能を提供するため、L2 接続が必要になります。この場合、L2 ループのあるトポ
ロジを使用するのが一般的です（図 20 を参照）。
データセンターでのレイヤ 2 ループのあるトポロジ
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
HSRP ࠕࠢ࠹ࠖࡉ
STP ࡞࡯࠻
VLAN 20‫ޔ‬30
࡟ࠗࡗ 2
࠻࡜ࡦࠢ
࡟ࠗࡗ 2 ࡝ࡦࠢ
HSRP ࠬ࠲ࡦࡃࠗ
STP ࠮ࠞࡦ࠳࡝ ࡞࡯࠻
VLAN 20‫ޔ‬30
࡟ࠗࡗ 2 ࡝ࡦࠢ
STP ∈⇭∑
⇈⇕⇡⇟
VLAN 20 ࠺࡯࠲ 1
VLAN 30 ࠺࡯࠲ 2
VLAN 20 ࠺࡯࠲ 1
VLAN 30 ࠺࡯࠲ 2
20
119819
図 20
30
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
23
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
この L2 ループのあるトポロジは、多くの設定と管理が必要です。STP ルートとデフォルトゲー
トウェイ（HSRP または VRRP）が一致するようにする必要があります。
（注）
STP 設定をチューニングしないと、GLBP ロードバランシング動作により、トラフィックがデフォ
ルトゲートウェイまでのパスとして、ディストリビューション間リンクを経由する 2 ホップの L2
パスを取る場合があります。この問題の詳細については、「GLBP」
（p.36）を参照してください。
いくつかのコンバージェンスイベントでは、STP/RSTP コンバージェンスが必要です。STP のバー
ジョンによっては、コンバージェンスに 90 秒もかかる場合があります。
スパイニングツリーコンバージェンスを必要とするトポロジを使用する場合は、Rapid PVST+ が
最適なバージョンです。Rapid PVST+ は、802.1w の高速コンバージェンスを提供しますが、802.1s
ほど複雑ではありません。設定の面では、シスコのお客様が長年導入してきた PVST+ に似ていま
す。しかし、コンバージェンスの面では大幅に改良されています（図 21 を参照）
。
PVST+ と Rapid PVST+ のパフォーマンス
35
ኻࠕࠢ࠮ࠬ
ኻࠨ࡯ࡃ ࡈࠔ࡯ࡓ
30
25
20
30 ⑽ߩ
ㆃᑧ/៊ᄬࠍ
⸃ᶖ
15
10
119820
ࠦࡦࡃ࡯ࠫࠚࡦࠬᤨ㑆㧔⑽㧕
図 21
5
0
PVST+
Rapid PVST+
Rapid PVST+ では、間接障害（L2 ディストリビューション間リンク）またはリンクアップ（アッ
プリンク）での復旧イベントの検出が大幅に向上しています。
STP は、ユーザ側またはエンドポイント側のアクセスレイヤポートで発生する意図しないルー
プを防ぐためにも必要です。こうしたループは、ホストの設定を誤ると簡単に発生します。たと
えば、デフォルトでは、Windows XP ホームネットワークウィザードはマシン上のすべてのイン
ターフェイスをまとめてブリッジします。
これによって、ワイヤレス LAN インターフェイスとイーサネットインターフェイス間、または
2 つのイーサネットインターフェイス間がブリッジされる場合があります。ループは、ネットワー
ク内のアップリンクで動作しているプロトコルが L3 だけの場合でも発生する可能性があります。
そのため、安全装置として使用するだけであっても、STP または RSTP を有効にして確実にルー
プの起きないトポロジにする必要があります。
ソフト障害や不正なデバイスからネットワークを保護するには、次の STP 機能を追加して有効に
する必要があります。
•
ルートガード
•
BPDU ガード
•
ループガード
ルートガードまたは BPDU ガードのいずれかをアクセスレイヤポートで有効にします。ルート
ガードは、スパニングツリーコンバージェンスイベントを引き起こす可能性のある BPDU 生成ブ
リッジデバイスの導入を阻止します。また、ルートポートやパスの選択を変更する原因になる
BPDU がポートで伝送されないようにします。STP または RSTP コンバージェンスを引き起こす
不良 BPDU が検出された場合、そのポートでは、不良 BPDU が停止するまですべてのトラフィッ
クが無視されます。
ハイアベイラビリティキャンパスネットワークの設計
24
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
BPDU ガードは、未認証のブリッジングデバイスの導入を防止するために使用します。ブリッジ
ングソフトウェアを実行しているスイッチまたは PC が検出されると、BPDU ガードは、ポート
をエラーとして無効にし、未認証デバイスがネットワークに参加することを防止します。
BPDU ガードでは、エラーによって無効になったポートを再度有効にするために、オペレータの
操作またはエラー回復メカニズムの設定が必要です。BPDU ガードを使用すると、スイッチなど
のすべてのブリッジデバイスがネットワークに追加されることを防止できます。また、ルート
ガードを使用すると、未認証ブリッジデバイスの追加により発生する予期しないスパニングツ
リーコンバージェンスイベントを防止できます。BPDU ガードは、エラーで無効になったポート
を手動で再度有効にできる場合にのみ使用します。
ループガードを使用すると、物理接続やパケットフォワーディングが正常で、STP（BPDU 生成、
フォワーディング、計算）が機能しないようなソフト障害からネットワークを保護できます。
トランキングプロトコル
この項は、次の項目で構成されています。
•
単一イーサネットリンクへの複数の VLAN の導入（トランキング）（p.25）
•
VTP：Virtual Trunk Protocol（p.26）
•
DTP：Dynamic Trunk Protocol（p.27）
•
二重 802.1Q カプセル化 VLAN ホッピングの防止（p.28）
単一イーサネットリンクへの複数の VLAN の導入（トランキング）
VLAN は、ハイアベイラビリティネットワークに必要な、ブロードキャスト範囲の限定、ポリ
シーの実装、および障害の隔離といった利点を提供します。
トランキングプロトコルを使用すると、ネットワークノードの相互接続（アップリンク）におい
て単一の物理リンクで複数の VLAN をサポートできます（図 22 を参照）。
複数の VLAN を単一の相互接続で運用
㖸ჿ
࠺࡯࠲
WLAN
119821
図 22
現在利用可能なトランクは、次の 2 種類です。
•
802.1Q
•
Inter-Switch Link（ISL; スイッチ間リンク）
802.1Q は、IEEE（電気電子学会）標準の実装です。シスコは、この標準が確立される前に ISL ト
ランキングを開発しました。一般的に、いずれかを使用すべきだという技術的理由はありません。
ISL は、二重の CRC チェックを実行するため、少量の帯域幅を余分に消費します。現在のベスト
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
25
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
プラクティスは、単純さ、互換性、効率性に優れた 802.1Q トランクを使用することです。シスコ
の 802.1Q の拡張機能を実装すると、802.1Q タグなしネイティブ VLAN に関連したセキュリティ
の問題を防止できます。
次に、単一のスイッチ間相互接続またはトランクで複数の VLAN を導入するときに使用するベス
トプラクティスを示します。
•
アクセスおよびディストリビューションレイヤ間の相互接続上に VLAN を導入する。
•
VLAN Trunking Protocol（VTP; VLAN トランキングプロトコル）をトランスペアレントモー
ドで使用して、運用上のミスの可能性を減らす。
•
トランクモードを on に、カプセル化ネゴシエーションを off に固定して、最適なコンバー
ジェンスを実現する。
•
ネイティブ VLAN を未使用の ID に割り当てるか、タグ付きネイティブ VLAN オプションを
使用して、VLAN ホッピングを防止する。
•
不要な VLAN をトランクからすべて手動で除去する。
•
次のコマンドを使用して、ホストポートでトランキング/VLAN タギングを無効にする。
– CatOS ― set port host
– Cisco IOS ソフトウェア ― switchport host
（注）
set port host マクロは、トランキングを無効にするほか、EtherChannel を無効にし、STP PortFast を
有効にします。
VTP：Virtual Trunk Protocol
Virtual Trunk Protocol（VTP; 仮想トランクプロトコル）を使用すると、ネットワーク管理者は
VLAN データベースを集中管理できます。VTP は VLAN トランキングの基本的なコンポーネント
です（図 23 を参照）
。
図 23
VTP の動作
VLAN 50
⇁ᚨ‫ܭ‬
A
ࠕ࠶ࡊ
࠺࡯࠻ࠍ
ࡄࠬࠬ࡞࡯
⇛∞⇶
࠻࡜ࡦࠬࡍࠕ࡟ࡦ࠻
࠻࡜ࡦࠢ
࠻࡜ࡦࠢ
B
⇕∏⇊⇈∙⇮
VTP ࠕ࠶ࡊ ࠻࡜ࡦࠢ
࠺࡯࠻ࠍ
ᑄ᫈
⇐⇻
⇕∏⇊⇈∙⇮
OK‫ޔ‬
VLAN 50 ࠍ
⹺⼂
C
119822
OK‫ޔ‬
VLAN 50 ࠍ
⹺⼂
VTP は、トランク上でのみ動作し、次の 4 つのモードがあります。
•
サーバ ― クライアントとサーバのデータベースを更新します。VTP サーバスイッチは、VTP
データベースを VTP クライアントスイッチに伝搬します。
•
クライアント ― アップデートを受信しますが、変更を加えることはできません。
ハイアベイラビリティキャンパスネットワークの設計
26
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
•
トランスペアレント ― アップデートをパススルーします。
•
オフ ― VTP アップデートを無視し、廃棄します。
同じ VLAN が任意の 2 つのアクセスレイヤスイッチに存在するトポロジは推奨されません。通
常、VLAN の追加や削除は、頻繁に行われるネットワーク管理作業ではありません。ほとんどの
場合、VLAN は、スイッチのセットアップ時に一度定義され、アクセスレイヤスイッチの VLAN
データベースに少しの追加修正を加える（ある場合）程度です。ネットワークで VLAN 情報を動
的に伝搬することは、運用上のミスによって予期しない動作が発生する可能性に見合うほどの価
値はありません。この理由から、推奨される設定オプションは VTP トランスペアレントモードです。
802.1X 対応の VLAN 割り当てや検疫 VLAN を使用する Cisco Network Admission Control（NAC）
といった新しいテクノロジーは、トランスペアレントモードで使用する必要があります。これら
のテクノロジーには、各アクセスレイヤスイッチで共通の名前を持つ一意の VLAN データベー
スが必要です。
集中管理される共通 VLAN データベースが必要な場合は、VTP バージョン 3 の使用を検討してく
ださい。VTPv3 には、セキュリティと信頼性に関するさまざまな拡張機能が含まれています。
DTP：Dynamic Trunk Protocol
Dynamic Trunk Protocol（DTP; ダイナミックトランクプロトコル）は、スイッチの相互接続上で
動作し、トランキングインターフェイスを形成します（図 24 を参照）。
図 24
DTP の設定
on/on
࠻࡜ࡦࠢ
auto/desirable
desirable/desirabel
࠻࡜ࡦࠢ
off/on‫ޔ‬auto‫ޔ‬desirable
࠻࡜ࡦࠢߥߒ
119823
off/off
࠻࡜ࡦࠢߥߒ
次に、図 24 に示されている DTP の設定を説明します。
•
トランキングされるスイッチ間の相互接続の自動形成
– on ― 常にトランクを形成します。
– desirable ― 自分からネゴシエーションを行い、相手のスイッチが了解する場合にトラン
クを形成します。
– auto ― 相手のスイッチからネゴシエーションが行われた場合にそれを了解しトランクを
形成します。
– off ― トランクを形成しません。
•
802.1Q または ISL カプセル化のネゴシエーション
– ISL ― ISL トランクカプセル化の使用を試みます。
– 802.1Q ― 802.1Q カプセル化の使用を試みます。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
27
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
– negotiate ― ISL または 802.1Q カプセル化を相手のスイッチとネゴシエートします。
– no negotiate ― 固定されたカプセル化を常に使用します。
通常は、相互接続の一方（通常はアクセス）を auto に設定し、もう一方（通常はディストリビュー
ション）を desirable に設定します。この設定により、相互接続上で動作する DTP を使用してト
ランクの自動形成が行われ、ハードウェアの障害やソフトウェアの誤設定から保護できます。も
う 1 つの方法として、トランクの両側を desirable に設定することもできます。これには、show コ
マンドを使用して正常なトランキング接続を明示できるという操作上の利点があります。ただし、
DTP と 802.1Q または ISL ネゴシエーションが有効になっているときは、ノードまたはインター
フェイスの復元時に、トランク設定のネゴシエーションに相当な時間がかかる場合があります。
このネゴシエーションが行われている間、L2 上ではリンクがアップになるため、トラフィックは
廃棄されます。
図 25 に示すとおり、トランキングインターフェイスを静的にトランクモードに設定し、トラン
クタイプ（ISL または 802.1Q）の動的なネゴシエートを行わないよう設定することによって、2 秒
間ものパケットドロップを解消できます。
トランキングインターフェイスのパフォーマンス
2.5
2
2 ⑽ߩ
ㆃᑧ/៊ᄬࠍ
⸃ᶖ
1.5
1
0.5
0
3550㧔IOS㧕
4507㧔IOS㧕
4006㧔CatOS㧕
6500㧔CatOS㧕
119824
ࠦࡦࡃ࡯ࠫࠚࡦࠬᤨ㑆㧔⑽㧕
図 25
࠻࡜ࡦࠠࡦࠣ
desirable
࠻࡜ࡦࠠࡦࠣ
no negotiate
この設定変更をする場合に、正しい順序で実効しないと、インバンドの変更を加えるスイッチか
ら対向または離れたスイッチに対して接続が失われる可能性があることに留意してください。離
れたスイッチに対してアウトオブバンドの接続を持つか、変更プロセスを十分確認し、接続が失
われないように注意してください。
次に、この設定を実行する方法を例示します。
CatOS の場合：
set trunk <port> nonegotiate dot1q <vlan>
Cisco IOS ソフトウェアの場合：
switchport mode trunk
switchport nonegotiate
この設定は、トランキングインターフェイスを常にトランクに設定し、ISL または 802.1Q トラン
キング形式のネゴシエーションを防止することによって、コンバージェンスを最適化します。
二重 802.1Q カプセル化 VLAN ホッピングの防止
わずかながら、攻撃者が二重 802.1Q カプセル化パケットを作成できる可能性があります。攻撃者
が 802.1Q ネイティブ VLAN について特定の知識を持っている場合、パケットが処理されて、タ
グなしネイティブ VLAN にスイッチされるときに、最初（最も外側）のタグが削除されるような
パケットを作成できます。パケットがターゲットスイッチに到達すると、内側（2 番目）のタグ
が処理されて、悪意のあるパケットがターゲット VLAN にスイッチされる可能性があります（図 26
を参照）。
ハイアベイラビリティキャンパスネットワークの設計
28
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
二重 802.1Q カプセル化パケット
⇻−∞∆ 1Q
⇻−∞∆ 1Q
.1Q
ࠬࠗ࠶࠴ 1
ࠕࠢ࠮ࠬ ࡐ࡯࠻
VLAN Blue
࠻࡜ࡦࠢ
⇻−∞∆
ࠬࠗ࠶࠴ 2
ࡀࠗ࠹ࠖࡉ
VLAN Blue
ࠕࠢ࠮ࠬ ࡐ࡯࠻
VLAN Red
119825
図 26
一見すると、これには重大なリスクがあるように思われます。しかし、この攻撃シナリオのトラ
フィックは単一方向であり、このメカニズムによってリターントラフィックをスイッチすること
はできません。さらに、攻撃者がネイティブ VLAN ID を知っていないかぎり、この攻撃は機能し
ません。
この攻撃のリスクを緩和するには、ネイティブ VLAN を、ネットワークの実際のトラフィックに
は使用されない分かりにくい ID に設定します。さらに、ホストに接続されているすべてのポート
で 802.1Q トランキングを無効にする必要があります（図 27 を参照）。
この手順に従うと、二重タグ付きパケットがネットワークに侵入することは不可能です。たとえ
侵入できても、タグなしネイティブ VLAN またはターゲット VLAN にスイッチされるような正し
いタグを持つ可能性は非常に低くなります。
二重タグ付きパケット攻撃の防止
⇻−∞∆ 1Q
⇻−∞∆
.1Q
ࠬࠗ࠶࠴ 1
ࠕࠢ࠮ࠬ ࡐ࡯࠻
VLAN Blue
࠻࡜ࡦࠢ
ࠬࠗ࠶࠴ 2
ࡀࠗ࠹ࠖࡉ
VLAN Green
ࠕࠢ࠮ࠬ ࡐ࡯࠻
VLAN Red
119826
図 27
次の設定例は、802.1Q ネイティブ VLAN を 1（デフォルト）以外に変更する方法を示しています。
これにより、パケットに正しくタグ付けすることが困難になるため、VLAN ホッピング攻撃の防
止に役立ちます。
CatOS の場合：
set vlan 207 1/1
clear trunk 1/1 1-6,8-49,52-106,108-206,208-554,556-4094
set trunk 1/1 nonegotiate dot1q 7,50-51,107,207,555
Cisco IOS ソフトウェアの場合：
switchport trunk native vlan 207
switchport trunk allowed vlan 7,50-51,107,207,555
次の設定例は、タグ付きトラフィックがサポートされないように、ユーザ側ポートの設定を変更
する方法を示しています。
CatOS の場合：
set port host
Cisco IOS ソフトウェアの場合：
switchport host
アクセスポートを設定する場合は、host マクロを使用することを推奨します。CatOS の set port
host または Cisco IOS ソフトウェアの switchport host コマンドを使用すると、トランキングと
EtherChannel を無効にし、STP PortFast が有効にされます。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
29
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
さらに、シスコスイッチのオペレーティングソフトウェアでは、すべてのネイティブ VLAN ト
ラフィックをタグ付けできるようになりました。これによって、二重 802.1Q タグ付けパケットが
VLAN をホッピングする可能性がなくなります。
次の設定例では、すべてのネイティブ VLAN トラフィックのタグ付けを強制します。
CatOS の場合：
set dot1q-all-tagged enable
Cisco IOS ソフトウェアの場合：
switchport native vlan tag
UDLD による片方向通信からの保護
光ファイバ環境では片方向通信が可能なため、双方向での通信が確立されていない場合でも、送
信/受信ペアの不一致があると、リンクが Up/Up 状態になることがあります。こうした物理配線の
エラーが発生すると、送信/受信ペアの不一致により、STP や RSTP などのプロトコルでループが
発生する場合があります（図 28 を参照）
。
⺋ߞߚ‛ℂ᭴ᚑ
119827
ା
ฃ
ㅍା
ା
ᱜߒ޿
ฃ
ㅍା
ฃା
ㅍା
送信/受信ペアの不一致
ㅍା
ฃା
図 28
UniDirectional Link Detection（UDLD; 単方向リンク検出）は、このような片方向通信による問題か
らネットワークを保護します。UDLD は Hello メッセージを監視して、宛先デバイスから応答が
受信されることを確認します（図 29 を参照）。
図 29
UDLD
119828
Hello ߦᔕ╵
ߒߡ޿ࠆ߆?
送信元マシンのポートとノード情報を含む Hello が受信されない場合は、誤設定であることがわ
かり、ポートはエラーにより無効になります。
光ファイバの相互接続が使用されるすべての環境で、UDLD アグレッシブモードを有効にします。
以前は、UDLD アグレッシブモードによって旧式の機器の CPU リソースが悪影響を受ける場合
があるため、デフォルトのスローモードが使用されていました。しかし、これは最新のハード
ウェアを採用したキャンパストポロジでは問題にならなくなりました。すべての光ファイバイン
ターフェイスでそれぞれ UDLD を有効にしなくてすむように、UDLD をグローバルモードで有効
にします。
ハイアベイラビリティキャンパスネットワークの設計
30
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
次の設定例は、CatOS と Cisco IOS ソフトウェアで UDLD を有効にする方法を示しています。
CatOS の場合：
set udld enable
set udld aggressive-mode en <mod/port>
Cisco IOS ソフトウェアの場合（グローバルコンフィギュレーションモード）：
udld aggressive
リンクアグリゲーション — EtherChannel プロトコルと 802.3ad
複数の冗長リンクを単一の論理エンティティにグループ化することをリンクアグリゲーションと
呼びます。これには、先行標準の Cisco EtherChannel 実装と、IEEE 802.3ad 標準ベースの実装の 2 種
類があります。前者は制御メカニズムとして Port Aggregation Protocol（PAgP; ポートアグリゲー
ションプロトコル）を使用し、後者は Link Aggregation Control Protocol（LACP）を使用します。
これら 2 つのプロトコルは、手動設定が多少は必要ですが、相互運用可能です。本文書の残りの
部分では、両方のプロトコルを EtherChannel という用語で表します。
EtherChannel は、冗長リンクの帯域幅を集約し、シングルポイント障害を防止します。この論理
的なグループ化を行わない場合は、ループのないトポロジを維持するために STP/RTSP によって
冗長インターフェイスがブロッキングステートにされます（図 30 を参照）
。
図 30
EtherChannel
119829
EtherChannel
スイッチ間には、最大 8 つのパラレルリンクを使用したチャネルを作成できます。また、これら
のチャネルは複数の物理ラインカード上のインターフェイスに作成できます。これにより、1 つ
のラインカードで障害が発生しても接続が完全に失われることがなくなるため、アベイラビリ
ティが向上します。3750 スタッカブルスイッチファミリでは、EtherChannel のメンバーが複数の
スタックメンバー上に存在するようなクロススタックチャネルを作成することにより、非常に高
いアベイラビリティを実現できます。
EtherChannel は通常、
アベイラビリティの向上と帯域幅の拡張が要求されるディストリビューショ
ン/コア間およびコア間の相互接続に導入されます。複数の個別のポイントツーポイント L3 イン
ターフェイスを使用すると、L3 ネイバー関係が大幅に増加するため、メモリと設定の要件が不必
要に増大します。
シスコのスイッチでは、パケットが伝送される特定の EtherChannel リンクの選択に使用される
ハッシュアルゴリズムを調整できます。デフォルトでは送信元/宛先 IP 情報をハッシュ入力値と
して使用しますが、入力値として L4 TCP/IP ポート情報を追加することによって、さらに高レベ
ルのロードバランシングを使用することもできます。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
31
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
現在のベストプラクティスは、EtherChannel アルゴリズムへの入力として可能なかぎり多くの情
報を使用して、EtherChannel メンバーを最も均等に利用することです。
RFC 1918 のプライベートアドレス空間を使用し、VLAN ごとに 1 つのサブネット、およびアクセ
ススイッチごとに 2 つの VLAN がある標準的な IP アドレス指定方式を使用したテスト環境では、
デフォルトの L3 アルゴリズムによる利用率は、およそ 1/3 対 2/3 でした。L4 情報を含むようにア
ルゴリズムを変更すると、同じトポロジとトラフィックパターンにおいて、利用率はほぼ均等に
なりました（図 31 を参照）
。
図 31
EtherChannel のテスト結果
L3 ࡂ࠶ࠪࡘ
࡝ࡦࠢ 0 ߩ⽶⩄㧦68%
70
68%
60
࡝ࡦࠢ 1 ߩ⽶⩄㧦32%
50
52%
48%
40
L4 ࡂ࠶ࠪࡘ
࡝ࡦࠢ 0 ߩ⽶⩄㧦52%
30
32%
20
0
࡝ࡦࠢ 1 ߩ⽶⩄㧦48%
࡝ࡦࠢ 0 ߩ⽶⩄
࡝ࡦࠢ 1 ߩ⽶⩄ ࡝ࡦࠢ 0 ߩ⽶⩄
L3 ⇵⇩⇝∋
࡝ࡦࠢ 1 ߩ⽶⩄
119830
10
L4 ⇵⇩⇝∋
次の設定例は、CatOS を使用する Cisco Catalyst 6000 シリーズスイッチで EtherChannel 入力アル
ゴリズムを変更する方法を示しています。
port-channel load-balance src-dst-port
リンクアグリゲーションプロトコル
PAgP または LACP を使用すると、相互接続されたスイッチ間で EtherChannel トンネルを自動形成
できます（図 32 を参照）。
図 32
PAgP の動作
on/on
࠴ࡖࡀ࡞
on/off
࠴ࡖࡀ࡞ߥߒ
auto/desirable
࠴ࡖࡀ࡞
119831
off/on‫ޔ‬auto‫ޔ‬desirable
࠴ࡖࡀ࡞ߥߒ
ハイアベイラビリティキャンパスネットワークの設計
32
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
PAgP には、バンドルされた冗長スイッチ間相互接続の自動形成に関連して 4 つのモードがあり
ます。
•
on ― 常に EtherChannel メンバーになります。
•
desirable ― 相手がメンバーになることを要求します。
•
auto ― 相手が要求してきた場合メンバーになります。
•
off ― メンバーになりません。
トランキング/DTP と同様に、EtherChannel/PAgP では長年にわたり、相互接続の一方（通常はア
クセススイッチ）を auto に設定し、もう一方（通常はディストリビューションスイッチ）を
desirable に設定していました。この設定では、設定が完了したときにトランクが確立され、チャ
ネルが完全に確立されていなくても、リモートスイッチへの接続が常に利用可能です。
このオプションでは最も安全な導入が可能ですが、リンクまたはノードが復旧した時にネゴシ
エーションのための時間を要します。そのため、最適なパフォーマンスに調整するときは、PAgP
を無効にし、チャネルメンバーを on/on に設定します。この最適化を行うときには、考慮すべき
マイナス面があります。auto/desirable 設定を使用した場合には、PAgP が有効になり、STP ループ
の発生原因になる構成ミスやハードウェア障害からネットワークを保護しますが、on/on 設定を使
用すると、PAgP は有効にならず、構成ミス（ペアの不一致）やハードウェア障害によって、予期
しない STP 動作が発生する場合があります。
レイヤ間で CatOS と Cisco IOS ソフトウェアが混在するような特殊な状況においては、チャネル
のネゴシエーション時に相当な時間パケットドロップが発生する場合があります。CatOS での
PAgP のデフォルトステートは desirable であるため、CatOS のスイッチは EtherChannel のネゴシ
エーションを試みます。Cisco IOS ソフトウェアのデフォルトステートは off です。ポートチャネ
ルインターフェイスを明示的に作成し、EtherChannel の物理インターフェイスを作成しないかぎ
り、PAgP は有効にならず、EtherChannel ネゴシエーションは行われません。
CatOS デバイスと Cisco IOS ソフトウェアデバイス間のリンクでは、EtherChannel が必要でない場
合、PAgP ネゴシエーションを無効にする必要があります。EtherChannel ネゴシエーションを無効
にしない場合は、CatOS と Cisco IOS ソフトウェアのデフォルトステートの不一致によって、リ
ンクネゴシエーション時に 7 秒間もの損失が発生することがあります（図 33 を参照）。
PAgP のパフォーマンス結果
7
6500㧔CatOS㧕
4006㧔CatOS㧕
6
5
4
7 ⑽߽ߩ
ㆃᑧ/៊ᄬࠍ
⸃ᶖ
3
2
119832
ࠦࡦࡃ࡯ࠫࠚࡦࠬᤨ㑆㧔⑽㧕
図 33
1
0
PAgP ਇ৻⥌
PAgP ࠝࡈ
PAgP ネゴシエーションを無効にするには、次のコマンドを使用します。
CatOS の場合：
set port channel <mod/port> off
さらに、ポートアグリゲーションをエンドユーザ側のインターフェイスで無効にする必要があり
ます。これは、set port host マクロを使用することによって最も効果的に実現できます。このマク
ロは、トランキングと EtherChannel を無効にし、STP PortFast を有効にします。
CatOS の場合：
set port host
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
33
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
Cisco IOS ソフトウェアの場合：
switchport host
次の設定例は、最適なコンバージェンスを実現する EtherChannel の設定を示しています。
Cisco IOS ソフトウェア（グローバルコンフィギュレーションモードの場合）：
port-channel load-balance src-dst-port
interface GigabitEthernet2/1
description to 6k-Core-left CH#1
no ip address
mls qos trust dscp
channel-group 1 mode on
!
interface GigabitEthernet2/2
description to 6k-Core-left CH#1
no ip address
mls qos trust dscp
channel-group 1 mode on
!
interface Port-channel1
description to cr2-6500-1 CHANNEL #1
ip address 10.122.0.34 255.255.255.252
mls qos trust dscp
HSRP、VRRP、または GLBP を使用したデフォルトゲートウェイの
冗長化
デフォルトゲートウェイを冗長化（ファーストホップの冗長性）すると、ハイアベイラビリティ
ネットワークにおいて、アクセスセグメントの端末のデフォルトゲートウェイとして動作してい
るデバイスの障害から回復できます（図 34 を参照）。
図 34
ファーストホップデフォルトゲートウェイの冗長性
VIP㧦10.88.1.1
MAC㧦0000.0c123.3456
VMAC㧦0000.0c07ac00
VIP㧦10.88.1.1
MAC㧦0000.0c78.9abc
Ᏹߦ
Ḱ஻⁁ᘒ
ࠕࠢ࠹ࠖࡉ
ࠬ࠲ࡦࡃࠗ
.4
.5
.6
119833
.7
.3
ࠥ࡯࠻࠙ࠚࠗ .1
ࠥ࡯࠻࠙ࠚࠗ .1 ࠥ࡯࠻࠙ࠚࠗ .1
推奨される階層型モデルでは、ディストリビューションスイッチが L2/L3 境界であり、それらが
サポートする L2 ドメイン全体のデフォルトゲートウェイとしても動作します。こうした環境は
大規模になる場合があり、デフォルトゲートウェイとして動作しているデバイスが障害を起こす
と深刻な機能停止が発生する可能性があるため、何らかの冗長性が要求されます。
シスコは、このニーズに対処するために Hot Standby Router Protocol （HSRP; ホットスタンバイ
ルータプロトコル）を開発しました。さらに IETF がデフォルトゲートウェイの冗長性を提供す
る標準規格ベースの方式として Virtual Router Redundancy Protocol（VRRP; 仮想ルータ冗長プロト
コル）を承認しました。
ハイアベイラビリティキャンパスネットワークの設計
34
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
HSRP と、シスコの拡張機能を加えた VRRP は、両方ともデフォルトゲートウェイをバックアッ
プする安定した方式を提供し、適切にチューニングを行うことにより冗長ディストリビューショ
ンスイッチへの 1 秒未満のフェイルオーバーを実現できます。推奨されるプロトコルは HSRP で
す。HSRP はシスコ独自の規格であるため、VRRP よりも迅速に新しい機能の開発が行われます。
シスコ以外のデバイスとの相互運用が必要なときは、VRRP も許容される選択肢です。ただし、シ
スコ以外のデバイスと相互運用すると、標準的な機能しか使用できず、VRRP に対するシスコの
拡張機能は利用できません。
次の設定例は、キャンパス環境において 1 秒未満でコンバージェンスを実行できるよう HSRP を
調整する方法を示しています。
interface Vlan5
description Data VLAN for 6k-Access
ip address 10.1.5.3 255.255.255.0
ip helper-address 10.5.10.20
standby 1 ip 10.1.5.1
standby 1 timers msec 200 msec 750
standby 1 priority 150
standby 1 preempt
standby 1 preempt delay minimum 180
HSRP を調整するときに考慮すべき 1 つの重要な要素は、プリエンプションです。プリエンプショ
ンによって、プライマリ HSRP ピアは、障害またはメンテナンスイベント後にオンライン状態へ
戻ったときに、プライマリロールを再び引き受けます。
STP/RSTP ルートは特定のサブネットまたは VLAN について HSRP プライマリと同じデバイスで
あることが必要なため、プリエンプションは望ましい動作です。HSRP と STP/RSTP が同期してい
ない場合は、ディストリビューションスイッチ間の相互接続がトランジットリンクになることが
あり、トラフィックはデフォルトゲートウェイまでマルチホップ L2 パスを通過します。
HSRP のプリエンプションは、スイッチのブート時間とネットワークの他の部分への接続を考慮
する必要があります。プライマリスイッチがコアに L3 接続する前に、HSRP ネイバー関係が形成
され、プリエンプションが実行される可能性があります。こうなると、トラフィックは完全な L3
接続が確立されるまで廃棄される場合があります。
推奨されるベストプラクティスは、システムのブート時間を測定し、HSRP preempt delay の値を、
この値よりも 50% 大きな値に設定することです。こうすると、HSRP プライマリディストリビュー
ションノードがネットワークのすべての部分への完全な接続を確立してから、HSRP のプリエン
プションが実行されます（図 35 を参照）。
35
プリエンプションディレイのテスト結果
࠹ࠬ࠻ ࠷࡯࡞ߩ࠲ࠗࡓࠕ࠙࠻㧦30 ⑽
30
25
20
30 ⑽ࠍ⿥߃ࠆ
ㆃᑧ/៊ᄬࠍ
⸃ᶖ
15
10
5
0
3550㧔IOS㧕
2950㧔IOS㧕
4006㧔CatOS㧕
4507㧔IOS㧕
6500㧔CatOS㧕
6500㧔IOS㧕
119834
ࠦࡦࡃ࡯ࠫࠚࡦࠬᤨ㑆㧔⑽㧕
図 35
ࡊ࡝ࠛࡦࡊ࡚ࠪࡦߩ
࠺ࠖ࡟ࠗߥߒ
ࡊ࡝ࠛࡦࡊ࡚ࠪࡦߩ
࠺ࠖ࡟ࠗࠍ⺞ᢛ
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
35
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
Cisco IOS ソフトウェアを使用したベストプラクティスを、次の設定例で示します。
interface Vlan5
description Data VLAN for 6k-Access
ip address 10.1.5.3 255.255.255.0
ip helper-address 10.5.10.20
standby 1 ip 10.1.5.1
standby 1 timers msec 200 msec 750
standby 1 priority 150
standby 1 preempt
standby 1 preempt delay minimum 180
GLBP
Gateway Load Balancing Protocol（GLBP）は、HSRP や VRRP と同様、ルータまたは回線の障害か
らデータトラフィックを保護するとともに、冗長ルータグループ間でパケットのロードシェア
リングを可能にします。
HSRP または VRRP を使用してデフォルトゲートウェイを冗長化すると、ピア関係のバックアッ
プメンバーはアイドル状態になり、障害イベントの発生に備えて待機し、障害発生時には役割を
引き受け、トラフィックをアクティブに転送します（図 36 を参照）
。
図 36
アイドル状態のバックアップキャパシティ
VIP㧦10.88.1.1
MAC㧦0000.0c123.3456
VMAC㧦0000.0c07ac00
VIP㧦10.88.1.1
MAC㧦0000.0c78.9abc
ࠕࠗ࠼࡞
⁁ᘒ
ࠕࠢ࠹ࠖࡉ
ࠬ࠲ࡦࡃࠗ
.4
.5
.6
119835
.7
.3
ࠥ࡯࠻࠙ࠚࠗ .1
ࠥ࡯࠻࠙ࠚࠗ .1 ࠥ࡯࠻࠙ࠚࠗ .1
GLBP が開発される前は、アップリンクを効率よく利用する方式を実装して管理することは困難
でした。1 つの手法では、HSRP プライマリおよび STP/RSTP ルートをディストリビューション
ノードピア間で VLAN ごとに分散させ、偶数の VLAN は一方のピアをホームとし、奇数の VLAN
はもう一方のピアをホームとします。別の手法では、複数の HSRP グループを単一のインターフェ
イスで使用し、DHCP を使用して複数のデフォルトゲートウェイを交互に使用します。これらの
手法は問題なく動作はしますが、設定、メンテナンス、または管理の面から見ると最適とはいえ
ませんでした。
GLBP は、HSRP と同様に設定および機能します。HSRP では、エンドポイントが Address Resolution
Protocol（ARP; アドレス解決プロトコル）を使用してデフォルトゲートウェイの物理 MAC アド
レスを学習するときに、単一の仮想 MAC アドレスを通知します（図 37 を参照）。
ハイアベイラビリティキャンパスネットワークの設計
36
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
図 37
HSRP の動作
VIP
10.88.1.10
HSRP 1 IP 10.88.1.10
VMAC 0000.0000.0001
HSRP 1 IP 10.88.1.10
VMAC 0000.0000.0001
ARP
ᔕ╵
.1
.2
10.88.1.0/24
.4
A
B
10.88.1.10 ߦኻߔࠆ ARP
MAC 0000.0000.0001 ࠍขᓧ
119836
10.88.1.10 ߦኻߔࠆ ARP
MAC 0000.0000.0001 ࠍขᓧ
.5
GLBP では、2 つの仮想 MAC アドレス（各 GLBP ピアに 1 つ）が存在します（図 38 を参照）
。
図 38
GLBP の動作
VIP
10.88.1.10
GLBP 1 IP 10.88.1.10
VMAC 0000.0000.0001
GLBP 1 IP 10.88.1.10
VMAC 0000.0000.0002
ARP
ᔕ╵
.1
.2
10.88.1.0/24
.4
A
B
10.88.1.10 ߦኻߔࠆ ARP
MAC 0000.0000.0002 ࠍขᓧ
119837
10.88.1.10 ߦኻߔࠆ ARP
MAC 0000.0000.0001 ࠍขᓧ
.5
エンドポイントがデフォルトゲートウェイに対する ARP を要求すると、仮想 MAC がラウンド
ロビン方式でチェックされます。フェイルオーバーとコンバージェンスは HSRP とまったく同様
に機能します。障害発生時には、バックアップピアは、障害が発生したデバイスの仮想 MAC を
引き継ぎ、障害が発生したピアに代わってトラフィックの転送を開始します。
その結果、わずかの設定でアップリンクがより均等に利用されます。副次的効果として、アップ
リンクまたはプライマリディストリビューションノードでコンバージェンスイベントが発生し
ても半数のホストにしか影響を与えないため、平均 50% の影響が削減されます（図 39 を参照）
。
図 39
GLBP、HSRP、および VRRP のテスト結果
2
1.8
1.6
1.4
1.2
1
0.8
0.6
0.4
0.2
0
VRRP
HSRP
GLBP
GLBP ߢߪ
ࡈࡠ࡯ߩ 50% ߇
៊ᄬߥߒ
GLBP ߢߪ
50% ะ਄
119838
ࠦࡦࡃ࡯ࠫࠚࡦࠬᤨ㑆㧔⑽㧕
⇭⇉⇟⇮∐⇹∋∞⇝∍∙/⇈⇕⇡⇟᧓∐∙⇕↝ᨦܹ
⇈⇕⇡⇟ⅺ↸⇛∞⇶ ⇻⇇∞∆
ᦨ㐳
ᦨ⍴
ᐔဋ
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
37
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
次の設定例は、これらの結果を達成するために GLBP を設定する方法を示しています。
interface Vlan7
description Data VLAN for 4k-Access
ip address 10.120.7.3 255.255.255.0
ip helper-address 10.121.0.5
glbp 1 ip 10.120.7.1
glbp 1 timers msec 250 msec 750
glbp 1 priority 150
glbp 1 preempt delay minimum 180
図 40 に示すとおり、STP がアクセスレイヤアップリンクの 1 つをブロックしているトポロジで
GLBP を使用すると、アップストリームトラフィックの L2 でのパスが 2 ホップになる可能性があ
ることに注意してください。
STP でアップリンクがブロックされた GLBP
⇙⇈
⇙⇈
࡟ࠗࡗ 3
࠺ࠖࠬ࠻࡝
ࡆࡘ࡯࡚ࠪࡦ B
GLBP ઒ᗐ
MAC 2
࠺ࠖࠬ࠻࡝
⇭⇉⇟⇮∐ ࡆࡘ࡯࡚ࠪࡦ A
⇹∋∞⇝∍∙ GLBP ઒ᗐ
࡟ࠗࡗ 2/3
MAC 1
F2
⇈⇕⇡⇟
࡟ࠗࡗ 2
B2
F2
B2
F㧦ࡈࠜࡢ࡯࠺ࠖࡦࠣ
B㧦ࡉࡠ࠶ࠠࡦࠣ
VLAN 2
VLAN 2
119856
図 40
こうした状況を避けるには、ディストリビューションスイッチ間の L2 リンクがブロッキングリ
ンクである一方、アクセスレイヤスイッチからのアップリンクがフォワーディングステートに
なるように、スパニングツリー環境を調整する必要があります。これは、STP セカンダリルート
スイッチ上のディストリビューションレイヤスイッチ間インターフェイスのポートコストを変
更することによって、最も容易に実現できます。プライマリルートスイッチ側のインターフェイ
スにおいて、上記を実現するために、次の Cisco IOS コマンドをインターフェイスコンフィギュ
レーションモードで入力します。
spanning-tree cost 2000
図 41 は、セカンダリルートスイッチのプライマリルートスイッチ側のインターフェイス（ディ
ストリビューション間リンク：B2）で STP ポートコストを変更したあとの STP トポロジを示し
ています。これによって、トラフィックは、アクセスレイヤスイッチから両方の GLBP 仮想 MAC
アドレスへ両方のアップリンクを通って流れます。
ハイアベイラビリティキャンパスネットワークの設計
38
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
図 41
STP でディストリビューション間リンクがブロックされた GLBP
⇙⇈
࡟ࠗࡗ 3
⇙⇈
࠺ࠖࠬ࠻࡝
࠺ࠖࠬ࠻࡝
ࡆࡘ࡯࡚ࠪࡦ B
GLBP ઒ᗐ
MAC 2
B2
⇭⇉⇟⇮∐ ࡆࡘ࡯࡚ࠪࡦ A
⇹∋∞⇝∍∙ GLBP ઒ᗐ
MAC 1
࡟ࠗࡗ 2/3
STP ࡐ࡯࠻
ࠦࠬ࠻ࠍჇട
F2
F2
ࠕࠢ࠮ࠬ A
VLAN 2
F2
ࠕࠢ࠮ࠬ B
F㧦ࡈࠜࡢ࡯࠺ࠖࡦࠣ
B㧦ࡉࡠ࠶ࠠࡦࠣ
VLAN 2
119966
F2
⇈⇕⇡⇟
࡟ࠗࡗ 2
オーバーサブスクリプションと QoS
この項では、QoS が必要とされる理由、および QoS が最も役立つ具体的な事例について説明し
ます。
（注）
詳細については、QoS SRND（http://www.cisco.com/go/srnd）を参照してください。この Web ペー
ジには、設定例やその他の技術的問題の詳細な説明があります。
キャンパスネットワークは通常、オーバーサブスクリプションで設計されています。アクセス/
ディストリビューション間のスイッチ、ディストリビューション/コア間のスイッチ、またはコア
間のリンクでも、これらのスイッチやリンクからのアップストリームポートすべてにラインレー
トを提供することは、通常は実用的ではありません。帯域幅容量が 1 Gbps、数 Gbps、さらには
10 Gbps まで増大しても、アクセスレイヤスイッチ全体のすべてのポートをラインレートで同時
に動作させるだけの帯域幅を提供することは非現実的です。
アクセス/ディストリビューション間のアップリンク上のアクセスポートについて、オーバーサブ
スクリプションのおおまかな推奨割合は 20:1 です。ディストリビューション/コア間のリンクにつ
いては、4:1 が推奨割合です。データセンターでは、1:1 の割合が必要です。
これらのオーバーサブスクリプションの割合を使用すると、設計上、アップリンクで輻輳が発生
します（図 42 を参照）
。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
39
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
図 42
オーバーサブスクリプションによる輻輳
⍍ᤨߩࠗࡦ࠲࡯
ࡈࠚࠗࠬߩユマ
⇙⇈
ㅢᏱ 4:1 ߩ࠺࡯࠲ߩ
ࠝ࡯ࡃ࡯ࠨࡉࠬࠢ࡝ࡊ࡚ࠪࡦ
⇭⇉⇟⇮∐⇹∋∞⇝∍∙
ㅢᏱ 20:1 ߩ࠺࡯࠲ߩ
ࠝ࡯ࡃ࡯ࠨࡉࠬࠢ࡝ࡊ࡚ࠪࡦ
⇈⇕⇡⇟
IP
IP
IP
IP
IP
IP
IP
IP
IP
IP
IP
IP
119839
㖸ჿ
࠺࡯࠲
輻輳が発生するときは、ミッションクリティカルなデータアプリケーション、音声、ビデオと
いった重要なトラフィックを保護するために QoS が必要です。さらに、QoS を使用して、不要な
トラフィックの優先順位を下げることができます。たとえば、Slammer のようなインターネット
ワームが侵入すると、ネットワーク内の多数のリンクで輻輳が発生する場合がありますが、QoS
を利用すれば、こうしたイベントの影響を最小化できます。
Cisco Catalyst スイッチのインターフェイスで、オーバーサブスクリプションや異常なインター
ネットワームなどによって輻輳が引き起こされることは稀ですが、そうした状況が発生しても音
声やビデオを含むミッションクリティカルなアプリケーションが保護されるように、予期せぬ事
態に備えた設計が必要です。
キャンパスネットワークで一般的な輻輳は、送信キュー（Tx キュー）の枯渇と呼ばれるタイプで
す。LAN から WAN への通信時に、ルータでは、10/100 Mbps イーサネットから WAN 速度への
レート変換を行う必要があります。このとき、ルータではパケットをキューに入れ、QoS を適用
して重要なトラフィックが最初に伝送されるようにします（図 43 を参照）
。
WAN 速度への変換
10/100 M
ࠠࡘ࡯
128 K ࠕ࠶ࡊ࡝ࡦࠢ
WAN
119840
図 43
࡞࡯࠲
ハイアベイラビリティキャンパスネットワークの設計
40
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
使用される基礎的なテクノロジー
図 44 に示すとおり、受信パケットが送信パケットより高速でキューに入ってくる場合に、Tx
キューの枯渇が発生します。パケットはキューに入れられ、より低速のリンクへの送信を待ち受
けます。
図 44
LAN での速度変換
ࠠࡘ࡯
100 M ࡝ࡦࠢ
119841
1 G ࡝ࡦࠢ
࠺ࠖࠬ࠻࡝ࡆࡘ࡯
࡚ࠪࡦ ࠬࠗ࠶࠴
ࠕࠢ࠮ࠬ
ࠬࠗ࠶࠴
キャンパスでは、デスクトップに向けて 10 Gbps または 1 Gbps から 10/100 Mbps に変換するとき
に、パケットをキューに入れ、10 Mbps または 100 Mbps のリンクへの送信を待ち受ける必要があ
ります。WAN ルータとキャンパススイッチの相違は、インターフェイスの数、およびそれぞれ
に関連付けられるメモリの量です。キャンパスでは、Tx キュースペースの量は、WAN ルータで
使用できるメモリの量に比べてはるかに小規模です。メモリ容量が小さいため、Tx キューの枯渇
によってトラフィックが廃棄される可能性は比較的高くなります。
キャンパスネットワーク設計で QoS を使用すると、重要なトラフィックは正しく設定された
キューに配置されるため、優先順位の高いトラフィックのメモリが不足することはありません。
通常の状態において、ネットワークでは、優先順位の低いベストエフォート型トラフィックを含
めて、すべてのネットワークトラフィックに対して十分なレベルのサービスを提供する必要があ
ります。
輻輳発生時には、帯域幅が優先順位の高いトラフィック用に予約されるため、スカベンジャクラ
スのトラフィックで最初に Tx キューの枯渇やパケットドロップが発生します。通信量の増加ま
たはキャパシティの減少とともに、ベストエフォート型トラフィックも影響を受けることになり
ます。ハイアベイラビリティネットワーク設計の最低限の目標は、優先順位の高いミッションク
リティカルなデータアプリケーションや音声/ビデオがネットワークの輻輳によって影響を受け
ないようにすることです（図 45 を参照）。
図 45
QoS による Tx キューの枯渇の緩和
ࡐ࡝ࠪࡦࠣߣ
ࡑ࡯ࠠࡦࠣ
ࠬࡠ࠶࠻࡞
ࠬࠞࡌࡦࠫࡖ ࠠࡘ࡯ߪ
Ⓧᭂ⊛ߦᑄ᫈
RX
࠺࡯࠲
RX
ࠬࠞࡌࡦࠫࡖ
RX
㖸ჿ
RX
㖸ჿߪㆃᑧ/ᑄ᫈
଻⼔ࠠࡘ࡯߳౉ࠆ
TX
119842
ࠧ࡯࡞࠼
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
41
ハイアベイラビリティキャンパスネットワークの設計
設計のベストプラクティス
設計のベストプラクティス
この項では、キャンパスネットワークでハイアベイラビリティを保証するための推奨されるベス
トプラクティスについて説明します。次の項目で構成されます。
•
デイジーチェーンの危険性（p.42）
•
非対称ルーティングとユニキャストフラッディング（p.44）
•
冗長性の設計（p.46）
•
複数のアクセスレイヤスイッチにまたがる VLAN（p.49）
•
ディストリビューションレイヤでの L2/L3 境界の導入（p.50）
•
アクセスレイヤでのルーティング（p.51）
デイジーチェーンの危険性
ネットワークのアクセスレイヤで複数のスイッチが使用される場合は、リンクまたはノード障害
の発生時にブラックホールが発生しないように注意してください。図 46 では、ディストリビュー
ションノード間に L3 接続が存在します。このトポロジでは、STP/RSTP の面から見てブロックし
ているリンクがないため、アップリンクは両方ともアクティブにトラフィックの送受信に使用で
きます。
図 46
ディストリビューションノード間の L3 接続
HSRP ࠕࠢ࠹ࠖࡉ
HSRP ࠕࠢ࠹ࠖࡉ
࡟ࠗࡗ 3
࡞࡯ࡊࡃ࠶ࠢ ࠤ࡯ࡉ࡞
HSRP ࠕࠢ࠹ࠖࡉ
119843
HSRP ࠬ࠲ࡦࡃࠗ
ディストリビューションノードは両方とも、ネットワークの他の部分からのリターンパストラ
フィックを、スタックまたはチェーンのすべてのメンバーに接続されているデバイスに向けてア
クセスレイヤに転送できます。チェーンまたはスタックの途中にあるリンクまたはノードで障害
が発生した場合は、2 つのことが起こり得ます。
第 1 のケースでは、プライマリピアへの接続が失われたためスタンバイ HSRP ピアがアクティブ
になり、接続されているデバイスの送信トラフィックを転送します。プライマリ HSRP ピアはア
クティブのままで、同様にスタックの半分の送信トラフィックを転送します。これは最適ではあ
りませんが、送信トラフィックだけを見ると問題がないように思えます。
しかし、受信トラフィックを考えると問題が発生します。リターンパストラフィックが、そのト
ラフィックの宛先である分断されたスタックに対して接続性のないディストリビューションス
イッチに到達する可能性は 50% です。間違ったディストリビューションスイッチに到達すると、
トラフィックは廃棄されます（図 47 を参照）。
ハイアベイラビリティキャンパスネットワークの設計
42
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
設計のベストプラクティス
図 47
トラフィックの廃棄
⇙⇈
࡟ࠗࡗ 3
⇙⇈
⇭⇉⇟⇮∐⇹∋∞⇝∍∙
࡟ࠗࡗ 2/3
࠻࡜ࡈࠖ࠶ࠢ߇ធ⛯ᕈ
ߩߥ޿ࡄࠬࠍᵹࠇࠆ
น⢻ᕈߪ 50%
࡟ࠗࡗ 3 ࡝ࡦࠢ
࠺ࠖࠬ࠻࡝
ࡆࡘ࡯࡚ࠪࡦ A
࠺ࠖࠬ࠻࡝
ࡆࡘ࡯࡚ࠪࡦ B
VLAN 2
VLAN 2
VLAN 2
119844
⇈⇕⇡⇟
࡟ࠗࡗ 2
ተవ߳ߩࡄࠬ߇ߥ޿ߚ߼
࠻࡜ࡈࠖ࠶ࠢߪᑄ᫈
この問題の解決策は、スタックの上端と下端を結ぶループバックケーブルを使い、スタック全体
に代替の接続を提供することです（図 48 を参照）
。
図 48
ループバックケーブル
HSRP ࠕࠢ࠹ࠖࡉ
HSRP ࠕࠢ࠹ࠖࡉ
࡟ࠗࡗ 3
HSRP ࠬ࠲ࡦࡃࠗ
࡞࡯ࡊࡃ࠶ࠢ ࠤ࡯ࡉ࡞
ディストリビューションスイッチ間に L2 相互接続がある場合は、正しいインターフェイスがブ
ロッキングステートになるように、STP/RSTP ルートとリンクコストを考慮する必要があります。
トラフィックはディストリビューション間の相互接続を通過できるため、ループバックケーブル
で接続を保証する必要はありません（図 49 を参照）。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
43
ハイアベイラビリティキャンパスネットワークの設計
設計のベストプラクティス
図 49
レイヤ 2 相互接続
࡞࡯࠻ ࡐ࡯࠻
HSRP ࠕࠢ࠹ࠖࡉ
STP ࡞࡯࠻
ࡊ࡜ࠗࡑ࡝
࡟ࠗࡗ 2
STP ࡞࡯࠻
࠮ࠞࡦ࠳࡝
౬㐳࡝ࡦࠢߩ
ࡉࡠ࠶ࠠࡦࠣ
HSRP ࠬ࠲ࡦࡃࠗ
࡞࡯ࡊࡃ࠶ࠢ ࠤ࡯ࡉ࡞
スタッキング技術を使用してスイッチ間を相互接続し、L2 リンクを使用してディストリビュー
ションスイッチ間を相互接続するときは、STP/RSTP コンバージェンスが必要になるリンクまた
はノード障害が発生した場合にディストリビューションノードへのアップリンクが迅速にフォ
ワーディングステートに移行できるように、Cross-Stack UplinkFast（CSUF）などの STP/RSTP 拡
張機能を使用することが重要です。
StackWise テクノロジーを利用すれば、ループバックケーブルを使用したり余計な設定を実行し
たりしなくても、ディストリビューションスイッチ間で L3 接続を使用して、ベストプラクティ
スの推奨事項に従うことができます。Cisco Catalyst 3750 ファミリスイッチで完全なスタックを作
成すると、他のモデルのチェーンやスタックに比べて、アクセスレイヤでのスタックの使用がは
るかに簡単になります（図 50 を参照）。
Cisco Catalyst 3750 のスタック
HSRP ࠕࠢ࠹ࠖࡉ
ࡈࠜࡢ࡯࠺ࠖࡦࠣ
࡟ࠗࡗ 3
Cisco 3750
ࡈࠜࡢ࡯࠺ࠖࡦࠣ
HSRP ࠬ࠲ࡦࡃࠗ
119847
図 50
さらに、Cisco Catalyst 4500 スイッチファミリや Catalyst 6500 スイッチファミリなどのモジュラ
シャーシスイッチを使用し、1 つのシャーシで収容条件を満たせる場合、こうした設計上の考慮
は不要になります。
非対称ルーティングとユニキャストフラッディング
VLAN が複数のアクセスレイヤスイッチにまたがるようなトポロジを使用すると、スタンバイ
HSRP、VRRP、または代替/非フォワーディング GLBP ピアを介したリターントラフィックがター
ゲット VLAN のすべてのポートにフラッディングされる場合があり、それにより、パフォーマン
スに重大な影響が及ぶ可能性があります。図 51 は、共通の VLAN がアクセスレイヤスイッチ間
で共有される冗長トポロジです。
ハイアベイラビリティキャンパスネットワークの設計
44
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
設計のベストプラクティス
図 51
非対称ルーティングとユニキャストフラッディング
㕖ኻ⒓ߩ
╬ࠦࠬ࠻
࡝࠲࡯ࡦ ࡄࠬ
ࠕ࠶ࡊࠬ࠻࡝࡯ࡓ
ࡄࠤ࠶࠻ߪࠕࠢ࠹ࠖࡉ
HSRP ߦ࡙࠾ࠠࡖࠬ࠻
CAM ࠲ࠗࡑ࡯ߪ
ࠬ࠲ࡦࡃࠗ HSRP ߢ
ᦼ㒢ಾࠇ
VLAN 2
VLAN 2
VLAN 2
VLAN 2
119848
࠳࠙ࡦࠬ࠻࡝࡯ࡓ
ࡄࠤ࠶࠻ߩ
ࡈ࡜࠶࠺ࠖࡦࠣ
このトポロジでは、CAM テーブルエントリがスタンバイ HSRP ルータで期限切れになります。こ
れは、ARP と CAM のエージングタイマーが異なるために発生します。エンドポイントが最初に
デフォルトゲートウェイについて ARP を要求したあと、スタンバイ HSRP ピアに対してアップス
トリームに送信されるトラフィックがないため、CAM タイマーは期限切れになります。CAM エ
ントリが期限切れになって削除されると、スタンバイ HSRP ピアは、共通 VLAN のすべてのポー
トに対してリターンパストラフィックを転送する必要があります。
対応するアクセスレイヤスイッチもターゲット MAC の CAM エントリがないため、同様に共通
VLAN のすべてのポートでリターントラフィックをブロードキャストします。このトラフィック
フラッディングにより、接続先の端末は無関係なトラフィックを大量に受信するため、パフォー
マンスに影響が出ます。
VLAN が複数のアクセスレイヤスイッチにまたがるようなトポロジを実装する必要がある場合、
対策として、ARP タイマーを調整してその値を CAM エージングタイマー以下にすることを推奨
します。ARP キャッシュタイマーを短くすると、CAM エントリタイマーが期限切れになって
MAC エントリが削除される前に、スタンバイ HSRP ピアがターゲット IP アドレスについて ARP
要求します。その後の ARP 応答により、CAM エントリが期限切れになって削除される前に CAM
テーブルが再入力されます。これによって、すべてのポートに対して非対称ルーティングされた
リターンパストラフィックのフラッディングが発生する可能性はなくなります。
前述のとおり、この問題は、VLAN が大規模な L2 ドメインで複数のアクセスレイヤスイッチに
またがるようなトポロジでのみ発生します。VLAN が複数のアクセスレイヤスイッチにまたがっ
て存在しないときは、フラッディングはトラフィックが正常に処理されるスイッチにしか発生し
ないため、問題になりません。さらに、大規模な L2 環境ではフラッディングされる可能性のある
トラフィックの量が増大するため、大規模な L2 ドメインほど端末のパフォーマンスに対する影響
が大きくなります。
VLAN が個々のアクセスレイヤスイッチに閉じたトポロジを構築する場合は、トラフィックがス
タンバイ HSRP、VRRP、または非フォワーディング GLBP ピアの 1 つのインターフェイス（VLAN
上の唯一のインターフェイス）にのみフラッディングされるため、こうした問題は重要ではあり
ません。トラフィックは、通常使用されるインターフェイスでフラッディングされるため、最終
的な結果は同じになります。さらに、フラッディングしたトラフィックを受信するアクセスレイ
ヤスイッチは、直接接続されるホストの CAM テーブルエントリを持つため、トラフィックは目
的のホストにのみスイッチングされます。そのため、フラッディングしたトラフィックによって
他の端末が影響を受けることはありません（図 52 を参照）
。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
45
ハイアベイラビリティキャンパスネットワークの設計
設計のベストプラクティス
図 52
単一のインターフェイスへのトラフィックのフラッディング
㕖ኻ⒓ߩ
╬ࠦࠬ࠻
࡝࠲࡯ࡦ ࡄࠬ
ࠕ࠶ࡊࠬ࠻࡝࡯ࡓ
ࡄࠤ࠶࠻ߪࠕࠢ࠹ࠖࡉ
HSRP ߦ࡙࠾ࠠࡖࠬ࠻
VLAN 3
VLAN 4
VLAN 5
VLAN 2
119849
࠳࠙ࡦࠬ࠻࡝࡯ࡓ
ࡄࠤ࠶࠻ߪ
න৻ߩࡐ࡯࠻߳
ࡈ࡜࠶࠺ࠖࡦࠣ
冗長性の設計
階層型ネットワークモデルでは、障害の影響が重大となるようなシングルポイント障害を排除す
るために、さまざまなレベルでの冗長性が重視されます。少なくともこのモデルでは、設計全体
で冗長アップリンクを備えた冗長コアおよびディストリビューションレイヤスイッチが必要で
す。また、階層型ネットワークモデルでは、1 つのリンクやラインカードの障害が致命的になる
ような基幹リンクに対して EtherChannel での相互接続が必要です。
ただし、冗長性に関しては、過剰になりすぎる場合があります。リソースが過度に重複しないよ
う注意してください。ある点に達すると、設定と管理の複雑度が冗長化による利点を上回り、メ
リットがなくなっていきます（図 53 を参照）。
過度に重複したリソース
119850
図 53
図 53 では、非常に基本的なトポロジに 1 つのスイッチを追加したことによって、複雑度が何倍も
増大しています。このトポロジには、次のような問題があります。
ハイアベイラビリティキャンパスネットワークの設計
46
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
設計のベストプラクティス
•
ルートスイッチをどこに配置すべきか。
•
どのリンクをブロッキングステートにするか。
•
STP/RSTP コンバージェンスの影響はどのようなものか。
•
問題が発生したときに、いかにして原因を特定するか。
このトポロジの中心に 2 台のスイッチしかなければ、これらの問題の答えはごく単純になります。
トポロジに 3 台のスイッチが含まれる場合、答えは多くの要因に左右されます。
一方、正反対の構成にも問題があります。複数のアクセスレイヤスイッチにまたがる複数の
VLAN を必要とするトポロジで、ディストリビューション間の L2 リンクを使用しない場合、次の
ような一連の問題が発生します（図 54 を参照）。
•
HSRP がアクティブになるまでトラフィックが廃棄される。
•
リンクがフォワーディングステートに移行するまで 50 秒もの間、トラフィックが廃棄される。
•
MaxAge タイマーが期限切れになり、リスニングステートとラーニングステートが完了する
まで、トラフィックが廃棄される。
図 54
L2 ディストリビューション間リンクの排除
⇙⇈
F2
ࡈࠜࡢ࡯࠺ࠖࡦࠣߦ VLAN 2
⒖ⴕߔࠆ߹ߢ
࠻࡜ࡈࠖ࠶ࠢߪᑄ᫈㧦
50 ⑽㑆
STP ࠮ࠞࡦ࠳࡝
࡞࡯࠻ߣ
HSRP ࠬ࠲ࡦࡃࠗ
Hello
F2
F2
F㧦ࡈࠜࡢ࡯࠺ࠖࡦࠣ
B㧦ࡉࡠ࠶ࠠࡦࠣ
HSRP ߇ࠕࠢ࠹ࠖࡉߦߥࠆ
B2 ߹ߢ࠻࡜ࡈࠖ࠶ࠢߪᑄ᫈
VLAN 2
MaxAge ߇ᦼ㒢ಾࠇߦ
ߥࠅ‫ߩߘޔ‬ᓟ࡝ࠬ࠾ࡦࠣ
ߣ࡜࡯࠾ࡦࠣ߇ቢੌߔࠆ
߹ߢ࠻࡜ࡈࠖ࠶ࠢߪᑄ᫈
119851
STP ࡞࡯࠻ߣ
HSRP ࠕࠢ࠹ࠖࡉ
STP/RSTP が移行イベントを完了するには時間がかかるため、スパニングツリーコンバージェン
スにより相当な時間にわたってパケットドロップが発生する場合があります。
さらに、ディストリビューションレイヤスイッチ間の直接接続を排除すると、接続についてアク
セスレイヤに依存することになります。これによって、障害発生時に予期しない動作が生じる場
合があります。その一例を、トポロジ内で 1 つのアップリンクに障害が発生したときのコンバー
ジェンスイベントの順に沿って説明します（図 55 を参照）。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
47
ハイアベイラビリティキャンパスネットワークの設計
設計のベストプラクティス
アップリンク障害時のコンバージェンスイベント
⇙⇈
࡟ࠗࡗ 3
⇙⇈
STP ࠮ࠞࡦ࠳࡝
࡞࡯࠻ߣ
HSRP ࠬ࠲ࡦࡃࠗ
STP ࡞࡯࠻ߣ
⇭⇉⇟⇮∐ HSRP ࠕࠢ࠹ࠖࡉ
⇹∋∞⇝∍∙
࡟ࠗࡗ 2/3
F2
⇈⇕⇡⇟
࡟ࠗࡗ 2
Hello
HSRP ߇ࠕࠢ࠹ࠖࡉߦߥࠆ
߹ߢ࠻࡜ࡈࠖ࠶ࠢߪᑄ᫈
F2
VLAN 2
F2
F㧦ࡈࠜࡢ࡯࠺ࠖࡦࠣ
B㧦ࡉࡠ࠶ࠠࡦࠣ
B2
VLAN 2
HSRP ࠕࠢ࠹ࠖࡉ
㧔৻ᤨ⊛㧕
MaxAge ⑽ᓟ㓚ኂࠍᬌ಴‫ޕ‬
ߘߩᓟ‫ߣࠣࡦ࠾ࠬ࡝ޔ‬
࡜࡯࠾ࡦࠣߦ⒖ⴕ
119852
図 55
アクセス a から STP ルートと HSRP プライマリスイッチへのリンクに障害が発生すると、スタン
バイ HSRP ピアがデフォルトゲートウェイとして機能を引き継ぐまで、トラフィックの損失が発
生します。アグレッシブな HSRP タイマー（本文書で以前推奨したものなど）を使用すると、ト
ラフィック損失の時間を約 900 ミリ秒に短縮できます。
そのうち、間接障害がアクセス b によって検出され、スタンバイ HSRP ピアへのリンクのブロッ
キングを解除します。標準の STP では、これに 50 秒もかかる場合があります。BackboneFast と
PVST+ を共に有効にした場合は、この時間を 30 秒に制限でき、Rapid PVST+ ではわずか 1 秒に短
縮できます。
間接障害が検出され、STP/RSTP がコンバージェンスを実行すると、ディストリビューションノー
ドは HSRP 関係を再確立し、プライマリ HSRP ピアがプリエンプションを行います。これにより、
アクセス a のエンドポイントがプライマリ HSRP ピアへのトラフィック転送を開始すると、さら
に別のコンバージェンスイベントが発生します。予期しない副次的影響として、アクセス a のト
ラフィックがアクセス b を介してデフォルトゲートウェイに到達します。バックアップ HSRP ピ
アへのアクセス b のアップリンクは、アクセス a トラフィックのトランジットリンクになり、プ
ライマリ HSRP ピアへのアクセス b のアップリンクは、アクセス b とアクセス a の両方のトラ
フィックを伝送しなければならなくなります。
アクセスレイヤからネットワークの他の部分への送信トラフィックの動作については、前出の例
で説明しました（図 55）
。このトポロジでの同じコンバージェンスイベントのリターンパストラ
フィックを図 56 に示します。
ハイアベイラビリティキャンパスネットワークの設計
48
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
設計のベストプラクティス
図 56
コンバージェンスイベントとリターンパストラフィック
⇙⇈
࡟ࠗࡗ 3
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
࡟ࠗࡗ 2/3
⇙⇈
STP ࠮ࠞࡦ࠳࡝
࡞࡯࠻ߣ
HSRP ࠬ࠲ࡦࡃࠗ
STP ࡞࡯࠻ߣ
HSRP ࠕࠢ࠹ࠖࡉ
F2
F2 F2
⇈⇕⇡⇟
࡟ࠗࡗ 2
B2
F㧦ࡈࠜࡢ࡯࠺ࠖࡦࠣ
B㧦ࡉࡠ࠶ࠠࡦࠣ
VLAN 2
VLAN 2
ࡈࠜࡢ࡯࠺ࠖࡦࠣߦ
⒖ⴕߔࠆ߹ߢ
࠻࡜ࡈࠖ࠶ࠢߪᑄ᫈㧦
30 ⑽㑆
図 56 に示したトポロジでは、コンバージェンスの時間は下記のとおりです。
•
802.1d ― 最大 50 秒
•
PVST+（および UplinkFast）― 最大 5 秒
•
Rapid PVST+（プロトコルにより処理）― 1 秒
間接障害が検出され、スタンバイ HSRP ピアへのアップリンクがアクティブになるまで、アクセ
ス a 上のホストへのリターンパストラフィックは、アクセス b に到達し廃棄されます。これには
50 秒もかかる場合があります。PVST+ と UplinkFast を使用すると、これは 3 ～ 5 秒に短縮され、
Rapid PVST+ ではさらに 1 秒にまで短縮されます。STP/RSTP コンバージェンスのあと、スタンバ
イ HSRP ピアへのアクセス b のアップリンクは、アクセス a リターンパストラフィックのトラン
ジットリンクとして使用されます。
これらの機能停止はいずれも重大であり、音声やビデオといったミッションクリティカルなアプ
リケーションのパフォーマンスに影響を与える場合があります。さらに、発信トラフィックとリ
ターンパストラフィックの両方のトラフィック設計やリンクキャパシティ計画は困難で複雑で
す。少なくとも 1 台のアクセスレイヤスイッチの追加に備えて、設計を考慮しておく必要があり
ます。
複数のアクセスレイヤスイッチにまたがる VLAN
この項では、複数のアクセスレイヤスイッチにまたがる VLAN を含み、コンバージェンスにつ
いて STP/RSTP を使用するトポロジを構築する最適な方法を説明します（図 57 を参照）。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
49
ハイアベイラビリティキャンパスネットワークの設計
設計のベストプラクティス
複数のアクセスレイヤスイッチにまたがる VLAN のベストプラクティストポロジ
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
HSRP ࠕࠢ࠹ࠖࡉ
STP ࡞࡯࠻
VLAN 20‫ޔ‬30
࡟ࠗࡗ 2
࠻࡜ࡦࠢ
࡟ࠗࡗ 2 ࡝ࡦࠢ
HSRP ࠬ࠲ࡦࡃࠗ
STP ࠮ࠞࡦ࠳࡝ ࡞࡯࠻
VLAN 20‫ޔ‬30
࡟ࠗࡗ 2 ࡝ࡦࠢ
STP ∈⇭∑
⇈⇕⇡⇟
VLAN 20 ࠺࡯࠲ 1
VLAN 30 ࠺࡯࠲ 2
VLAN 20 ࠺࡯࠲ 1
VLAN 30 ࠺࡯࠲ 2
20
119819
図 57
30
複数のアクセスレイヤスイッチにまたがる VLAN は、ハイアベイラビリティの面から見ると最
適な構成ではありませんが、アプリケーション要件によってそのような構成が必要であり STP の
使用が避けられない場合は、次のようにしてネットワークを最適化します。
•
STP のバージョンとして Rapid PVST+ を使用します。スパニングツリーコンバージェンスが
必要なときは、Rapid PVST+ の方が PVST+ や通常の 802.1d よりも優れています。
•
2 台のディストリビューションスイッチ間で L2 リンクを提供し、予期しないトラフィックパ
スと複数のコンバージェンスイベントを防止します。
•
複数のアップリンク間で VLAN の負荷を分散させる場合は、2 つのディストリビューション
レイヤスイッチに VLAN グループごとに HSRP プライマリおよび STP プライマリを分散して
配置します。1 つの VLAN での HSRP および Rapid PVST+ ルートは同じディストリビューショ
ンスイッチに配置し、ディストリビューション間リンクを使用したトランジットを回避する
必要があります。
ディストリビューションレイヤでの L2/L3 境界の導入
最高のアベイラビリティを提供する実績のあるトポロジでは、STP/RSTP コンバージェンスは必要
ありません。こうしたトポロジでは、複数のアクセスレイヤスイッチにまたがる VLAN はなく、
ディストリビューションレイヤの相互接続は L3 ポイントツーポイントリンクです。STP の面か
ら見ると、両方のアクセスレイヤアップリンクで転送が行われるため、コンバージェンスが必要
なのは、デフォルトゲートウェイ、およびディストリビューション間リンクを介したリターンパ
スルートの選択だけです（図 58 を参照）。
図 58
ベストプラクティスのトポロジ
HSRP ࠕࠢ࠹ࠖࡉ
VLAN 20‫ޔ‬140
࡟ࠗࡗ 3
HSRP ࠕࠢ࠹ࠖࡉ
VLAN 40‫ޔ‬120
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
࡟ࠗࡗ 2 ࡝ࡦࠢ
࡟ࠗࡗ 2 ࡝ࡦࠢ
10.1.20.0 VLAN 20 ࠺࡯࠲
10.1.120.0 VLAN 120 㖸ჿ
10.1.40.0 VLAN 40 ࠺࡯࠲
10.1.140.0 VLAN 140 㖸ჿ
119818
HSRP ∈⇭∑
⇈⇕⇡⇟
ハイアベイラビリティキャンパスネットワークの設計
50
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
設計のベストプラクティス
HSRP タイマーを調整することにより、HSRP プライマリから HSRP スタンバイに対して信頼性の
高いデフォルトゲートウェイのフェイルオーバーを 900 ミリ秒未満で達成できます。これについ
ては、「HSRP、VRRP、または GLBP を使用したデフォルトゲートウェイの冗長化」（p.34）の項
に説明があります。
EIGRP では、リターンパストラフィックについて 700 ～ 1100 ミリ秒で障害を迂回してルート変
更できます。詳細については、『High Availability Campus Recovery Analysis』を参照してください。
このトポロジでは、障害イベントに対応して、1 秒未満の双方向コンバージェンスを実行できま
す（図 59 を参照）。
図 59
HSRP チューニングテストの結果
6
4 ⑽ߩ៊ᄬ
4 ⑽ߩ៊ᄬ
5
4
3
2
ࡄࠤ࠶࠻
៊ᄬߪ࠯ࡠ
ࡄࠤ࠶࠻
៊ᄬߪ࠯ࡠ
EIGRP
OSPF
1
0
2950㧔IOS㧕
3550㧔CatOS㧕
4006㧔CatOS㧕
4507㧔IOS㧕
6500㧔CatOS㧕
6500㧔IOS㧕
119854
ࠦࡦࡃ࡯ࠫࠚࡦࠬᤨ㑆㧔⑽㧕
⇛∞⇶‒⇻⇇∞∆ⅺ↸⇈⇕⇡⇟
7
PVST+
Rapid
PVST+
このトポロジを実装するときは、プライマリ HSRP ピアがオンラインに戻り、コアとの L3 関係を
確立すると、サポートする L2 ドメイン内のすべてのエンドポイントについて ARP 要求を行う必
要があることに注意してください。これは、等コストロードシェアリングが開始され、リターン
パストラフィックがノードを流れ始めると実行されます。これはリターンパストラフィックに
ついて行われるため、HSRP の状態には関係ありません。ARP 処理は Cisco IOS ソフトウェアと
ハードウェアでレート制限され、過剰な ARP 要求で CPU をオーバーランさせる DoS 攻撃から
CPU を保護します。
その結果、リターンパストラフィックについて、オンラインに戻るディストリビューションノー
ドが相当な時間をかけても、サポートする L2 ドメインについてすべての IP を MAC アドレスに
解決することはできません。40 ノードのアクセスレイヤのテストでは、このコンバージェンスイ
ベントの間にすべてのフローが再確立されるまで、最大 4 秒の回復時間がかかりました。結果は、
ディストリビューションペアでサポートされる L2 ドメインのサイズに応じて変わります。
アクセスレイヤでのルーティング
この項は、次の項目で構成されています。
•
アクセスレイヤでの L2/L3 境界の導入（p.51）
•
ルーティングプロトコルの比較（p.53）
•
アクセスレイヤでの EIGRP の使用（p.55）
•
アクセスレイヤでの OSPF の使用（p.56）
アクセスレイヤでの L2/L3 境界の導入
ルーティングプロトコルとキャンパスハードウェアの進歩によって、アクセスレイヤスイッチ
でルーティングプロトコルを導入し、アクセスおよびディストリビューションレイヤスイッチ
間で L3 ポイントツーポイントルーテッドリンクを使用することが可能になっています（図 60 を
参照）
。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
51
ハイアベイラビリティキャンパスネットワークの設計
設計のベストプラクティス
図 60
ポイントツーポイント L3 リンクによるフルルーテッドソリューション
࡟ࠗࡗ 3
⇭⇉⇟⇮∐
⇹∋∞⇝∍∙
࡟ࠗࡗ 3 ╬ࠦࠬ࠻
࡝ࡦࠢ
࡟ࠗࡗ 3 ╬ࠦࠬ࠻
࡝ࡦࠢ
10.1.20.0 VLAN 20 ࠺࡯࠲
10.1.120.0 VLAN 120 㖸ჿ
10.1.40.0 VLAN 40 ࠺࡯࠲
10.1.140.0 VLAN 140 㖸ჿ
119857
∑∞⇬⇩⇯ ∈⇭∑
⇈⇕⇡⇟
図 59 と図 60 に示すとおり、アクセスレイヤが L2/L3 境界になっているトポロジとディストリ
ビューションレイヤが L2/L3 境界になっているトポロジを比較すると、ルーテッドアクセスソ
リューションにはコンバージェンスの面でいくつかの利点があることがわかります。
L2/L3 境界ディストリビューションレイヤモデルの 900 ミリ秒に対して、障害を起こしたアクセ
ス/ディストリビューション間アップリンクを迂回するルート変更に必要なコンバージェンス時
間がそれを下回ることは間違いありません。リターンパストラフィックについても、従来の L2/L3
ディストリビューションレイヤモデルの 900 ミリ秒と比べて、EIGRP のルート変更のコンバー
ジェンス時間は 200 ミリ秒未満です（図 61 を参照）。
図 61
ディストリビューション/アクセス間リンクの障害
⇈⇕⇡⇟ⅺ↸⇛∞⇶‒⇻⇇∞∆
4507㧔IOS㧕
6500㧔CatOS㧕
6500㧔IOS㧕
3
1.5 ⑽એ਄
2
ߔߴߡ
1 ⑽ᧂḩ
1
0
PVST+
ߔߴߡ
1 ⑽ᧂḩ
Rapid
PVST+
ߔߴߡ
1 ⑽ᧂḩ
EIGRP
OSPF
4
2950㧔IOS㧕
3550㧔CatOS㧕
4006㧔CatOS㧕
4507㧔IOS㧕
6500㧔CatOS㧕
6500㧔IOS㧕
3
2
ߔߴߡ
1 ⑽ᧂḩ
ߔߴߡ
1 ⑽ᧂḩ
SONET ߩ
ㅦᐲߦㄭ޿
SONET ߩ
ㅦᐲߦㄭ޿
1
0
119858
2950㧔IOS㧕
3550㧔CatOS㧕
4006㧔CatOS㧕
ࠦࡦࡃ࡯ࠫࠚࡦࠬᤨ㑆㧔⑽㧕
ࠦࡦࡃ࡯ࠫࠚࡦࠬᤨ㑆㧔⑽㧕
⇛∞⇶‒⇻⇇∞∆ⅺ↸⇈⇕⇡⇟
4
PVST+
Rapid
PVST+
EIGRP
OSPF
さらに、EIGRP と OSPF は等コストパス上でロードシェアリングが行われるため、GLBP に似
た利点があります。トラフィックは障害のあるリンクやノードでは伝送されないため、ホストの
約 50% はコンバージェンスイベントの影響を受けません。
ルーテッドアクセスレイヤトポロジを使用すると、ディストリビューションスイッチが L2/L3
境界となった推奨トポロジに関する問題のいくつかに対応できます。たとえば、ディストリビュー
ションノードによる大規模な L2 ドメインの ARP 処理は、この設計では問題になりません（図 62
を参照）。ディストリビューションが環境に再導入されても、L2/L3 境界がディストリビューショ
ンレイヤにあるトポロジにおける 40 ノードのテスト構成で 4 秒間の機能停止が発生したのに対
して、この構成ではサービスが中断することはありません。以前の大規模な L2 ドメインと ARP
処理は、ディストリビューションペアでサポートされるアクセスレイヤスイッチ間で分散され
るようになります。
ハイアベイラビリティキャンパスネットワークの設計
52
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
設計のベストプラクティス
図 62
プライマリディストリビューションノードの復元
⇛∞⇶‒⇻⇇∞∆ⅺ↸⇈⇕⇡⇟
7
6
4 ⑽ߩ៊ᄬ
4 ⑽ߩ៊ᄬ
5
4
3
2
1
0
PVST+
Rapid
PVST+
ࡄࠤ࠶࠻
៊ᄬߪ࠯ࡠ
ࡄࠤ࠶࠻
៊ᄬߪ࠯ࡠ
EIGRP
OSPF
40
2950㧔IOS㧕
4507㧔IOS㧕
3550㧔CatOS㧕 6500㧔CatOS㧕
4006㧔CatOS㧕 6500㧔IOS㧕
35
30
25
20
40 ⑽߽ߩ
៊ᄬ
15
10
119859
8
⇛∞⇶‒⇻⇇∞∆ⅺ↸⇈⇕⇡⇟
45
2950㧔IOS㧕
4507㧔IOS㧕
3550㧔CatOS㧕 6500㧔CatOS㧕
4006㧔CatOS㧕 6500㧔IOS㧕
ࠦࡦࡃ࡯ࠫࠚࡦࠬᤨ㑆㧔⑽㧕
ࠦࡦࡃ࡯ࠫࠚࡦࠬᤨ㑆㧔⑽㧕
9
5
0
PVST+
Rapid
PVST+
EIGRP
OSPF
ただし、ルーテッドアクセスレイヤトポロジも万能ではありません。アクセスレイヤとディス
トリビューションレイヤ間のポイントツーポイントリンクのために追加の IP アドレスが使用さ
れることを考慮する必要があります。これは、RFC 1918 のプライベートアドレス空間と Variable
Length Subnet Masking（VLSM; 可変長サブネットマスキング）を使用することによって最小限に
抑えることができます。
さらに、このトポロジでは、ベストプラクティスの推奨事項に従って、VLAN が複数のアクセス
レイヤスイッチにまたがらないようにする必要があります。それによって、この設計は他の構成
より柔軟性に欠けることになりますが、利点もあります。複数のアクセスレイヤスイッチにまた
がる VLAN をサポートするように設計を修正した場合、この設計の高速コンバージェンスの利点
を得ることはできません。
利用できる最良のコンバージェンスを必要とし、VLAN が複数のアクセスレイヤスイッチにまた
がる必要がないことが確実な場合は、ルーテッドアクセスレイヤトポロジを使用することが、今
後の有力な代替設計案です。
ルーティングプロトコルの比較
アクセスレイヤスイッチとディストリビューションレイヤスイッチ間でルーティングプロトコ
ルを実行するために、実行するルーティングプロトコルを選択し、その設定方法を決定します。
本書の執筆時点では、テスト結果によって、OSPF よりも EIGRP の方がキャンパス環境に適して
いることが示されています。ルートフィルタリングと経路集約を提供する EIGRP の機能は、階層
型モデルに容易に対応しますが、OSPF の方は要件がより厳格なため、既存の実装には統合しにく
く、より複雑なソリューションが必要です。
EIGRP と OSPF を比較した場合のその他の考慮すべき点は次のとおりです。
•
キャンパス環境内では、EIGRP の方が高速なコンバージェンスと高い柔軟性を実現します。
•
EIGRP は、複数階層のキャンパスに対応する複数のレベルの経路集約とルートフィルタリン
グを提供します。
•
OSPF は、
Link-State Advertisement
（LSA; リンクステートアドバタイズメント）
の生成と Shortest
Path First（SPF）の計算にスロットルを実装してコンバージェンス時間を制限します。
•
ルートが集約およびフィルタ処理を行っていて、リンクまたはノード障害が発生した場合に
は、EIGRP ネットワーク上のディストリビューションピアだけが新しいルートを計算する必
要があります。
階層型ネットワークモデル内のノードまたはリンク障害に対して OSPF のコンバージェンスが実
行されると、OSPF が LSA の生成と SPF の計算で適用するスロットルによって、重大な機能停止
が発生する場合があります。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
53
ハイアベイラビリティキャンパスネットワークの設計
設計のベストプラクティス
OSPF は 2 つの点で制限されています。まず、OSPF は、IOS バージョンによっては 1 秒未満には
調整できない SPF タイマーを実装しています。リンクまたはノードで障害が発生しても、このタ
イマーが期限切れになるまで、OSPF ピアは動作できません。その結果、アクセスレイヤからディ
ストリビューションレイヤへのアップリンクの障害、またはプライマリディストリビューション
ノードの障害が発生した場合、最低でも 1.65 秒のコンバージェンス時間がかかります（図 63 を
参照）
。
図 63
コンバージェンス時間に対する OSPF SPF タイマーの影響
SPF ࠲ࠗࡑ࡯߇
ᦼ㒢ಾࠇߦߥࠆ߹ߢ
࠻࡜ࡈࠖ࠶ࠢߪᑄ᫈
6
2950㧔IOS㧕
4507㧔IOS㧕
3550㧔CatOS㧕 6500㧔CatOS㧕
4006㧔CatOS㧕 6500㧔IOS㧕
5
4
3
2
ߔߴߡ
1 ⑽ᧂḩ
ߔߴߡ
1 ⑽ᧂḩ
ߔߴߡ
1 ⑽ᧂḩ
1.5 ⑽એ਄
119860
ࠦࡦࡃ࡯ࠫࠚࡦࠬᤨ㑆㧔⑽㧕
⇛∞⇶‒⇻⇇∞∆ⅺ↸⇈⇕⇡⇟
7
1
0
PVST+
A
（注）
B
Rapid
PVST+
EIGRP
OSPF
IOS 12.2(15)T、12.2(14)S 以降の IOS では SPF/LSA スロッティング機能がサポートされ、ミリ秒単
位での SPF/LSA のタイマーチューニングが可能となっています。このタイマーのチューニングに
より 1 秒未満のコンバージェンス時間を達成可能です。詳細については『High Availability Campus
Network Design—Routed Access Layer using EIGRP or OSPF』または『フルルーテッドエンタープラ
イズキャンパスネットワークの導入』を参照してください。
SPF タイマーが期限切れになり、通常のルート変更処理が完了するまで、リターンパストラ
フィックは廃棄されます。この特定の障害に関して、PVST+、Rapid PVST+、および EIGRP では
すべて 1 秒未満（EIGRP は 200 ミリ秒未満）でコンバージェンスが行われたのに対して、OSPF で
はコンバージェンスに 1.65 秒以上が必要でした。
さらに、LSA 伝搬や不要な SPF 計算を制限するために必要なトータリースタビーエリアには、
ディストリビューションノードの復元時に好ましくない副次的影響があります。
アップストリームトラフィックの復元のために HSRP とプリエンプションが必要になるようなト
ポロジでは、コアへの接続が確立されてネットワークが安定するまで待ってから、コアへのアッ
プストリームトラフィックの転送を引き継いで開始するように、HSRP プロセスが調整されます。
EIGRP が同じトポロジで利用される場合は、接続が確立され、ネットワークが回復したディスト
リビューションノードを使用してアクセスからのトラフィックを転送できるようになると、デ
フォルトルートがネットワークのコアから伝搬され、アクセスレイヤスイッチにのみ配信され
ます。
同じトポロジで OSPF を使用した場合は、ネイバー関係が確立されると、ディストリビューショ
ンノードがコアにトラフィックを転送できるかどうかにかかわらず、デフォルトルートがトータ
リースタビーピア（この場合はアクセスレイヤスイッチ）に伝搬されます。テストしたトポロ
ジでは、回復中のディストリビューションノードがコアへの接続を完全に確立していないにもか
かわらず、アクセスレイヤスイッチにデフォルトルートを配信していました。この動作により
相当な量のトラフィックが廃棄され、テストしたトポロジでは 40 秒を超えるケースがありまし
た。これは、アクセスレイヤスイッチがディストリビューションレイヤへの両方のアップリン
ク上の等コストパスでロードシェアリングを行っており、回復中のディストリビューションノー
ドが送信されるトラフィックを転送できない間に発生しました（図 64 を参照）。
ハイアベイラビリティキャンパスネットワークの設計
54
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
設計のベストプラクティス
図 64
OSPF トータリースタビーエリアでのコンバージェンス時間
⇛∞⇶‒⇻⇇∞∆ⅺ↸⇈⇕⇡⇟
࠺ࡈࠜ࡞࠻
࡞࡯࠻
40
2950㧔IOS㧕
3550㧔CatOS㧕
4006㧔CatOS㧕
4507㧔IOS㧕
6500㧔CatOS㧕
6500㧔IOS㧕
35
30
25
20
40 ⑽߽ߩ
៊ᄬ
15
10
119861
ࠦࠕ߳ߩធ⛯߇
⏕┙ߐࠇࠆ߹ߢ
࠻࡜ࡈࠖ࠶ࠢߪᑄ᫈
ࠦࡦࡃ࡯ࠫࠚࡦࠬᤨ㑆㧔⑽㧕
45
5
0
A
B
PVST+
Rapid
PVST+
EIGRP
OSPF
本書の執筆時点では、アクセスレイヤスイッチについてトータリースタビーエリアではなく通
常のエリアを使用する以外に、この状況への対策はありません。しかし、トータリースタビーエ
リアでは、望ましくない LSA 伝搬と、CPU 消費量の大きいその後の SPF 計算を防ぐことができ
ますが、この対策ではそれが提供されないため、最適な設計とはいえません。
アクセスレイヤでの EIGRP の使用
フルルーテッドまたはルーテッドアクセスレイヤソリューションのルーティングプロトコルと
して EIGRP を使用する場合、次の EIGRP のチューニングおよびベストプラクティス手順を実行
すると、200 ミリ秒未満のコンバージェンスを実現できます。
•
ディストリビューションレイヤからコアに向けて集約する。
既出のとおり、コアレイヤに向けてディストリビューションレイヤで集約を行い、EIGRP ク
エリーがネットワークのコアを超えて伝搬しないようにする必要があります。コアに向けて
ディストリビューションレイヤで集約すると、クエリーはディストリビューションスイッチ
から 1 ホップに制限され、EIGRP コンバージェンスが最適化されます。
•
ディストリビュートリストを使用してアクセスレイヤへのルート伝搬を制御する。
アクセスレイヤでメモリを節約し、パフォーマンスを最適化するには、ディストリビューショ
ンスイッチでアウトバウンドのディストリビュートリストを設定し、それをアクセスレイヤ
側のすべてのインターフェイスに適用します。ディストリビュートリストを使用すると、デ
フォルトルート（0.0.0.0）だけがアクセスレイヤノードにアドバタイズされます。
•
EIGRP スタブを使用するようにすべてのエッジアクセスレイヤスイッチを設定する。
EIGRP スタブオプションを使用することによって、アクセスレイヤでコンバージェンスを行
う EIGRP の機能を最適化し、またその動作をルート処理の面でも最適化します。EIGRP スタ
ブノードは、トランジットノードとして動作できないため、EIGRP クエリーの処理には参加
しません。ディストリビューションノードは、スタブノードとやり取りしていることをEIGRP
Hello パケットによって認識すると、そのノードに対してクエリーをフラッディングしません。
•
Hello タイマーとデッドタイマーをそれぞれ 1 と 3 に設定する。
EIGRP の Hello タイマーとデッドタイマーをそれぞれ 1 と 3 に調整して、物理リンクがアク
ティブのままで Hello/ルート処理が停止しているようなソフト障害から保護します。
次の設定例は、リンクまたはノード障害において 200 ミリ秒未満でコンバージェンスを達成する
EIGRP の設定方法を示しています。
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
55
ハイアベイラビリティキャンパスネットワークの設計
設計のベストプラクティス
アクセスノードの EIGRP 設定：
interface GigabitEthernet1/1
ip hello-interval eigrp 100 1
ip hold-time eigrp 100 3
router eigrp 100
eigrp stub connected
ディストリビューションノードの EIGRP 設定：
interface Port-channel1
description to Core Right
ip address 10.122.0.34 255.255.255.252
ip hello-interval eigrp 100 1
ip hold-time eigrp 100 3
ip summary-address eigrp 100 10.120.0.0 255.255.0.0 5
mls qos trust dscp
!
interface GigabitEthernet3/3
description To 4500-Access (L3)
ip address 10.120.0.198 255.255.255.252
ip hello-interval eigrp 100 1
ip hold-time eigrp 100 3
mls qos trust dscp
!
router eigrp 100
passive-interface default
no passive-interface Port-channel1
no passive-interface GigabitEthernet3/3
network 10.0.0.0
distribute-list Default out GigabitEthernet3/3
no auto-summary
!
!
ip Access-list standard Default
permit 0.0.0.0
アクセスレイヤでの OSPF の使用
アクセスレイヤで OSPF を使用するときは、次の方法が推奨されます。
•
各エリアでルートとルータの数を抑制します。
•
各ディストリビューションブロックを別個のトータリースタビー OSPF エリアとして設定し
ます。
•
エリア 0 をエッジスイッチまで拡張しないでください。
•
OSPF の Hello タイマー、デッドインターバルタイマー、および SPF タイマーをそれぞれ 1、
3、および 1 に調整します。
アクセスレイヤの OSPF は、最適なコンバージェンスのために調整できることを除いて、WAN/
ブランチネットワークの OSPF と同様です。現在利用可能なハードウェアスイッチングプラット
フォームでは、キャンパス環境の CPU リソースは WAN 環境の場合ほど不足しません。さらに、
アクセスレイヤで一般的なメディアタイプは、WAN でよく見られるものと同じハーフアップ、
またはアップ、ダウン、アップの急激な遷移（バウンシング）の影響を受けにくくなっています。
こうした 2 つの相違があるため、各 OSPF タイマー（Hello、デッドインターバル、SPF）はそれ
ぞれ最小許容値である 1、3、1 に安全に調整できます。
OSPF では、集約を適用し、L2/L3 境界または Area Border Router（ABR; エリア境界ルータ）の実
装によって OSPF LSA 伝搬の範囲を制限します。キャンパス環境では、アクセスレイヤはトラン
ジットエリアとして使用されません。そのため、各アクセスレイヤスイッチは、それぞれ固有
のトータリースタビーエリアとして安全に構成できます。ディストリビューションスイッチは、
コア側のインターフェイスをエリア 0 に備え、アクセスレイヤインターフェイスを各アクセスレ
ハイアベイラビリティキャンパスネットワークの設計
56
EDCS-409671
ハイアベイラビリティキャンパスネットワークの設計
設計のベストプラクティス
イヤスイッチの固有のトータリースタビーエリアに備えた ABR になります。この構成では、LSA
が各アクセスレイヤスイッチに分離されるため、1 つのアクセスレイヤスイッチでのリンクフ
ラップがそのディストリビューションペアを超えて伝達されることはありません。他のアクセス
レイヤスイッチがコンバージェンスイベントに関与することはありません。
前述のとおり、OSPF SPF タイマーのため、OSPF 環境では EIGRP、PVST、PVST+ ほど迅速なコ
ンバージェンスができません。キャンパス環境で OSPF をルーティングプロトコルとして選択す
る場合は、この制限を考慮する必要があります。さらに、アクセスレイヤについてトータリース
タビーエリアと通常のエリアとのトレードオフを考慮する必要があります。ディストリビュー
ションノードがトータリースタビーエリアで復元されると、重大な機能停止が発生する場合が
あります。ただし、非スタブエリアがアクセスレイヤで使用されるようなキャンパストポロジ
では、ネットワーク全体に対する LSA 伝搬と SPF 計算の影響は不明です。
次の設定例は、OSPF の設定を示しています。
アクセスレイヤの OSPF 設定：
interface GigabitEthernet1/1
ip ospf hello-interval 1
ip ospf dead-interval 3
router ospf 100
area 120 stub no-summary
timers spf 1 1
ディストリビューションレイヤの OSPF 設定：
mls ip cef load-sharing full
port-channel load-balance src-dst-port
!
interface GigabitEthernet2/1
description to 6k-Core-left CH#1
no ip address
mls qos trust dscp
channel-group 1 mode on
!
interface GigabitEthernet2/2
description to 6k-Core-left CH#1
no ip address
mls qos trust dscp
channel-group 1 mode on
!
interface Port-channel1
description to Channel to 6k-Core-left CH#1
ip address 10.122.0.34 255.255.255.252
ip ospf hello-interval 1
ip ospf dead-interval 3
mls qos trust dscp
!
interface GigabitEthernet3/3
description to 4k Access
ip address 10.120.0.198 255.255.255.252
ip pim sparse-mode
ip ospf hello-interval 1
ip ospf dead-interval 3
load-interval 30
carrier-delay msec 0
mls qos trust dscp
!
router ospf 100
log-adjacency-changes
area 120 stub no-summary
area 120 range 10.120.0.0 255.255.0.0
network 10.120.0.0 0.0.255.255 area 120
network 10.122.0.0 0.0.255.255 area 0
ハイアベイラビリティキャンパスネットワークの設計
EDCS-409671
57
ハイアベイラビリティキャンパスネットワークの設計
まとめ
まとめ
この設計ガイドで説明されている設計上の推奨事項は、可能なかぎり最適なコンバージェンスを
実現するためのベストプラクティスです。できるかぎり各推奨事項を実装する必要がありますが、
ネットワークはそれぞれ異なっており、コスト、物理的設備の制限、アプリケーションの要件と
いった問題のために、これらの推奨事項を完全には実装できない場合もあります。
階層型ネットワークモデルに従うことは、ハイアベイラビリティを実現するために不可欠です。
階層型設計では、特定のデバイスのキャパシティ、特長、および機能が、ネットワークでの位置、
およびそれが果たす役割に合わせて最適化され、これによって、高いスケーラビリティと安定性
を得ることが可能となります。基礎が強固でなければ、IP テレフォニー、IP ビデオ、ワイヤレス
通信といったネットワークサービスに依存したアプリケーションのパフォーマンスは、やがて低
下することになります。
基礎サービスの正しい設定とチューニングは、ハイアベイラビリティキャンパスネットワーク
に不可欠な構成要素です。設計の面から見ると、階層型ネットワークモデルには、次の 3 つのタ
イプがあります。
•
レイヤ 2 ループ ― 低速なコンバージェンス、複数のコンバージェンスイベント、および実
装、メンテナンス、運用が複雑で困難であるといった問題があるため、シスコはこのオプショ
ンを推奨していません。
•
レイヤ 2 ループフリー ― これは実績のあるソリューションです。
•
ルーテッドアクセス ― このオプションは、コンバージェンスのパフォーマンスという点では
最も推奨されるオプションですが、まだ導入は始まったばかりです。
この設計ガイドで説明されている設計原則と実装のベストプラクティスを活用すれば、ネット
ワークインフラストラクチャのビジネス要件の変化に合わせて、最適なパフォーマンスと柔軟性
を提供するネットワークを実装できます。
ハイアベイラビリティキャンパスネットワークの設計
58
EDCS-409671

Download Report

�n�C �A�x�C��r��e�B �L��p�X �l�b�g��[�N�̐݌v

Paperzz.com

Your Paperzz