ここから質問投稿すると、最大4000ポイント当たる!!!! >>

いつもお世話になっております。

ルータやL3スイッチで冗長化構成にする場合、
片方を稼動系、もう一方を待機系とする構成が
普通だと思うのですが、両方とも稼動系(アクティブ)構成の
冗長化は可能でしょうか?

そのような製品は存在していますか?

ご教示宜しくお願い致します。

このQ&Aに関連する最新のQ&A

A 回答 (3件)

物理的には同じです(構成)


あなたの構成だと、192.168.0.0のネットワークのアドレスを持ったもう一台の機器Cが
いて、そこでスタティック設定を192.168.0.1に向けているのかな。
で、VRRPかHSRPか何かわかりませんが、ゲートウェイを冗長化している。と

Active-Activeの場合、前提としてロードバランスにしないと意味が無いわけで
(通常時、A,B両方にトラフィックがある)
その場合VRRPは使いません。よって物理アドレス2つのみ。仮想アドレスは要りません。

Active-Active構成の考え方はどうするかというと・・・・
例えばルータCから見てルータA,Bの先に宛先ネットワーク1と2が有るとします。
・Solution1
CにNW1宛のスタティックをゲートウェイをAのものとBのもので2つ書く。
CにNW2宛のスタティックをゲートウェイをAのものとBのもので2つ書く。
1宛の2つのスタティックのうちゲートウェイがAのものの優先度を高くする。
逆に
2宛の2つのスタティックのうちゲートウェイがBのものの優先度を高くする。
こうする事で普段はA,B両方のルータを負荷分散しながら使い、A,Bどっちががこけたら
ルータCのルーティングテーブルからこけた方のルートが消えるので、生きてる方で
通信を継続します。
・Solution2
ルータA,B,C間でダイナミックルーティングを動かします。
OSPF、BGP、CiscoならEIGRPでも良いでしょう。RIPはダメです。
するとデフォルトだとルータCはルータA,BからNW1,2のルートを
同コストで学習するはずです。
ルータCの仕様によりますがこのままだと、同コストロードバランスが働いて
パケット単位か或いは宛先IPアドレス単位にルータが勝手にロードバランスしてくれます。
これをSolution1のように明確に分けたいのであれば、A,BがCにディストリビュートする時に
重みを付けてあげればよいかと。

スイマセン。暇だったので余計な事まで書きました。

この回答への補足

ご回答ありがとうございます。

想定している構成は
ルータA-
192.168.0.2|----------

仮想アドレス192.168.0.1 |----- 192.168.0.0/24

ルータB-  |
192.168.0.3-----------

イメージはこんな感じです。
Active-Activeは上記の仮想アドレスがいらないと認識で宜しいでしょうか?

補足日時:2006/09/07 17:49
    • good
    • 0

仮想アドレスは要りません。


がN.2で書いたのは、今まで仮想アドレスをゲートウェイにしていた
機種の方の再設計も必要ですよという事です。

この回答への補足

そういうことだったんですね。
納得できました。

ありがとうございます。

補足日時:2006/09/07 18:01
    • good
    • 0

可能です。

大抵のL3スイッチ、ルータで可能です。
というかルータやL3スイッチでActive-Active構成の場合
ロードバランス(負荷分散)稼動で検索した方がHitすると思います。
HotStandbyでは無くActive-Activeという事は、経路が2つ有るという事ですから。
同時にルーティングプロトコルを動かす必要があります。

ただ透過(ブリッジ)的に設置するような、ファイアウォールやIPSなどは
Active-Active構成が取れない物、逆にActive-Activeしか出来ないもの
等があります。(IPアドレスを持たないため、ゲートウェイの冗長化が出来ない。)

この回答への補足

Elgadoさんご教示ありがとうございます。

構成の点でお聞きしたいのですが、HotStandbyとActive-Activeの
構成は同じでしょうか?

<HotStandbyの場合>
ルータA ポート1に192.168.0.2
ルータB ポート1に192.168.0.3
ルータA ポート1とルータB ポート1の仮想アドレスに192.168.0.1を設定したとします。

これをActive-Active構成にした場合も割当てるIPの数自体は同じですか?
物理ポートのアドレスが2つ、仮想アドレス1つでいいでしょうか?

補足日時:2006/09/07 17:06
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QVRRPとHSRPについて

こんちには、ルータの多重化を行う
VRRPとHSRPというプロトコルの違いがはっきりとわかりません。どなたか教えていただけませんでしょうか

宜しくお願い致します。

Aベストアンサー

No1です。
もう少し補足しておきます。

まず冗長構成用プロトコルとしてHSRPをCiscoが独自に開発しましたが、ベンダー独自規格であったため他社とは互換性がありませんでした。
そこで複数のベンダーがHSRPを発展させ、他メーカー間で相互運用可能なようにしたVRRPがつくられ、RFCで規格化されました。(RFC2338)

どちらのプロトコルも複数のルータ間でやり取りして仮想的なルータを作ります。つまり仮想MACアドレスと仮想IPアドレスを作り、各端末はこの仮想アドレスと通信することになるのです。

仮想アドレスはHSRPとVRRPで違います。
<HSRP>
 00-00-0C-07-AC-**
<VRRP>
 00-00-5E-00-01-**
 ※"**"は変数です。

また複数のルータ間で情報をやり取りする方法も若干違います。

<HSRP>
ルータ間でHelloパケットのやりとりを行う。
なおHelloパケットはUDPの1985番ポートが使われ、224.0.0.2(マルチキャストアドレス)をTTL=1にして送信します。
※アプリケーション層で動きます。

<VRRP>
ルータ間でVRRPパケットのやりとりを行う。
VRRPパケットはIP上でプロトコル番号112で動き、224.0.0.18(マルチキャストアドレス)でTTL=255にしてやりとりされます。
※トランスポート層で動きます。

とまぁ微妙に違うのですが、機能的にはほぼ同じようです。

No1です。
もう少し補足しておきます。

まず冗長構成用プロトコルとしてHSRPをCiscoが独自に開発しましたが、ベンダー独自規格であったため他社とは互換性がありませんでした。
そこで複数のベンダーがHSRPを発展させ、他メーカー間で相互運用可能なようにしたVRRPがつくられ、RFCで規格化されました。(RFC2338)

どちらのプロトコルも複数のルータ間でやり取りして仮想的なルータを作ります。つまり仮想MACアドレスと仮想IPアドレスを作り、各端末はこの仮想アドレスと通信することになるのです。

仮...続きを読む

QIP-VPNとインターネットVPNの違い

就職活動をしている大学生です。
セキュリティとネットワークに興味があり、そこから自分が何をやりたいのか突き詰めて行った結果VPNを提供している企業が浮かび上がって来ました、業界研究をしている際に疑問が出てきました。

IP-VPNとインターネットVPNの違いの違いがいまいちわかりません。

インターネットVPNはインターネット上を介したVPN、IPは事業者のネットワーク内のVPNって解釈でよいのですかね??

そうなるとプライベート回線を引くのとIP-VPNの違いは???

提供している事業者の違い、VPNに関すること、VPNの今後&求められるもの等、教えてください。

よろしくお願いします。

Aベストアンサー

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワーク網を通信経路として用い、自社専用ネットワークであるかのようなWANを構築できるサービスのことです。
通信事業者側で用意している網は品質を保証してあり、ユーザー側はIP-VPN網に接続するだけで、セキュアな通信ができ、インターネットVPN同様LANのように使えます。

プライベート回線とは専用線やフレームリレー網などのことを言っているのですかね?
専用線は料金が距離に比例し、拠点間の距離が離れるほどコストが大きくなり、セルリレー/フレームリレーは、フルメッシュ型接続ですけど、柔軟なネットワーク構築が難しいという問題があります。専用線・フレームリレーなどは回線帯域の割にはコストが高いので、インターネットVPNやIP-VPNでコストを安くしてネットワークを構築するようになってきてます。

インターネットVPNやIP-VPNはプロトコルにIPを使わなくてはならないので、データはIPに乗せる必要があります。
そこで、広域イーサネットというサービスを各通信事業者が行っています。広域イーサネットはプロトコルをIP以外(IPXやSNAなど)を通すことができ、またイーサなので、WAN側に接続するのに極端な話、スイッチでつなげられますので、今までのようにルータの設定などいらなくなります。(VLAN構成にするならスイッチの設定が必要ですけけど)また、QoSなどデータの優先制御や帯域制御などもできますので、VoIPなどにも使えますね。
ということで、簡単に拠点間のLAN構築が可能になります。

提供しているサービスの違いは、どこも似たり寄ったりかなって思いますけど。
サービス提供エリアや、構築にあったオプションサービスなどで選べばいいのでは。

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワ...続きを読む

QOSPFのコスト値が同じ場合

目的ホストまでOSPFで構築されたネットワークが2系統ある場合でリンクコスト値が同じ場合どのようにルートが決定されるのでしょうか?

Aベストアンサー

こんばんは
等価コストでのルーティングの経路選択は、大きくは以下の2つの動作に分けられます。

1)コストが同一のため、ルーティング時にロードバランスされる
2)コストが同一でも、ルーティング時には特定の経路を使用し、片方をバックアップ経路とする

以上の2つのどちらを採用するかは、各メーカーや機器、設定によっても異なります。
しかし、多くの機器では、前者を採用しているのが現状です。
ロードバランスについては、以下のページの中盤あたりの説明が判りやすいと思います。
http://www5e.biglobe.ne.jp/~aji/30min/14.html


そして、実際のロードバランス方法ですが、これも大きくは2つの種類があります。

1-A)通信先のホスト単位で振り分けられ、そのホストとは必ず決まった経路を通る
1-B)通信先のホストにはとらわれず、パケット単位で経路を振り分けられる

前者は、ロードバランスはホスト単位で行われるため、特定のホストとの通信は、
必ず特定の経路をたどるため、ホスト単位で通信量が大幅に異なると、
トラフィックが偏る傾向があります。
セッション管理を行うNW 機器がある場合には、こちらが採用されます。

後者は、パケット単位で1パケット目は経路A、2パケット目は経路B と言った振り分けが行われるため、
パケット単位ではトラフィックが偏ることはありません。
しかし、通信経路が等価コスト経路内でランダムに近い状況となるため、
予期せぬ障害が発生した場合に、通信経路が特定できず、
原因究明が困難となってしまう可能性があります。

一般的には、前者の方法[1-A]が採られることが多いです。

また、今回のような”コスト値”が同じ複数経路のことを、
”ECMP:Equal Cost Multi Path”と呼びます。


参考までにCisco での”ロード バランシングの機能”についての説明は、
以下のページに掲載されています。
http://www.cisco.com/japanese/warp/public/3/jp/service/tac/105/46-j.shtml

最後に、等価コストでのロードバランスは、
OSPF 以外でのルーティングプロトコル(IGRP,EIGRP)でも対応しています。

こんばんは
等価コストでのルーティングの経路選択は、大きくは以下の2つの動作に分けられます。

1)コストが同一のため、ルーティング時にロードバランスされる
2)コストが同一でも、ルーティング時には特定の経路を使用し、片方をバックアップ経路とする

以上の2つのどちらを採用するかは、各メーカーや機器、設定によっても異なります。
しかし、多くの機器では、前者を採用しているのが現状です。
ロードバランスについては、以下のページの中盤あたりの説明が判りやすいと思います。
http://ww...続きを読む

Qファイアウォールの前にあるルーターの意味は?

組織のネットワーク構成を見直す必要があり、色々勉強しています。

その時、色々なサイトにあるファイアウォールの構成をみると、インタ
ーネットとファイアウォールの間に、ルーターを配置した図をよく見る
のですが、ルーターを置く意味はどんな事があるのでしょうか?

ファイアウォールがルーターの機能ももっていると思うので、ルーター
なしで、直に接続しても良いような気がしています。
(そうすれば、機器のお金が浮きますし。。)

ご教授よろしくお願いいたします。

Aベストアンサー

正直なところ、ネットワーク構成も機器構成も判らないので何ともいえない、というのが正直なところです。

ただ、ファイアウォールの前(インターネット側)にルータを置く理由として考えられるのは:
・機能上の制限によるもの
 →例えば、インターネットに接続するのにPPPoEが必要だがファイアウォールがPPPoEをしゃべれない、等
・パフォーマンス上の要求によるもの
 →拠点間接続用のVPNルータなど、ファイアウォールで防ぐ必要性が低い装置をファイアウォールに介さずに接続したい、等
  No.1, No.2の回答はこれになるかと。
・契約上の要求によるもの
 →特定のサービスを受けるためにそのような構成になっている、等
・前例を踏襲しているため
 →以前、何らかの理由で組んだ構成を、機器更新後も「ネットワーク構成変更の理由がない」としてそのまま従来の構成できている、等

もし前任者がいるのであれば、その人に意図を聞くのが一番手っ取り早いです。

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

QCisco製のL3スイッチのスタック接続について

最近、ネットワーク関連の部署に配属されて、日々、困っています。
スタック接続でのL3スイッチに設定する機器名について質問です。

CiscoのC3750X-24T-Sを2台でスタック接続という話がでています。
構築はベンダーさんにお任せです。

A. sampleL3-01
B. sampleL3-02

とL3スイッチの名前を決めました。

ベンダーさんからでてきた接続図には、機器名として「sampleL3-01」だけが図面に載っていました。
これは、
1 スタック接続の場合は、1台のスイッチに見えるので、「sampleL3-01」(マスターとかいう方?)だけが見える感じになるから。
2 とわいっても、当然機器自体には、それぞれA、BそれぞれのsampleL3-01、sampleL3-02の名前が設定される(もしかして、名前さえも同じ名前が設定される?)

こんな細かなところも判らないのでですが、ベンダーさんにお任せとはいえ、モヤッとするので、教えていただけると助かります。
どうぞ、よろしくお願いいたします。

Aベストアンサー

スタック接続されているときは論理的に1台(設定、動作環境が1つのみ)になるので、-02は出番が無いと思います。
機器交換や配線など物理的に作業する場合などは識別する必要があるので、管理上付与しておく必要があると思います。

QL2TP/IPSecのルータのポート開放

L2TP/IPSecのルータのポート開放なんですが

ルータのポートフォワーディングで
1701 (udp) ・・・・l2tp
4500 (udp)・・・・ipsec-nat-t
500 (udp)・・・isakmp

の3つを宅内サーバに向けて開放していますが、つながりません。
ポート開放の番号や数が違うんでしょうか?

同じようにサーバ側のパケットフィルタリングでも上記3つを開放しています。

Aベストアンサー

 お尋ねの件ですが、1701ポートNoをトンネルトランスポートされるようにしていますか?
 4500番はNATトラバーサル用ポート番号、500番はIPSEC認証キー用番号ですが、ポート開放以外にルーターのIPフィルタのパス登録コマンド、out登録コマンドにて通信透過されるようにしていますか?
 上記のチェックでも駄目な場合、DMZホスト設定でルーターの着信データを全てサーバへ向けてみては如何でしょうか?
 DMZの場合、全てのデータ着信はサーバへ向きますので、セキュリティ設定はサーバ側にて破棄登録等実施された方が良いかもしれません。

QVLAN環境でのDHCP利用について

あるLANをVLANで2つのセグメントに分けています。
ひとつはインターネット接続可、もうひとつはインターネット接続不可です。
現在はPCにIPアドレスを指定することでインターネットに接続可能なPCと接続不可のPCを分けていますが、
DHCPでIPを自動割当にする場合、
これらのPCに正しくそれぞれのVLAN用のIPアドレスを割当てることは可能なのでしょうか?
どなたか是非教えてください。

Aベストアンサー

・一台のDHCPサーバは、リレーエージェントを使っていくつくらいまでのセグメントに対して
逆にそれはDHCPサービスのソフトウエアによって違うと思います。
が大抵どのDHCPサービスでもほとんど無制限に作れる
と思われます。

・また、専用線等を使って別のLANのセグメントにもIPを割り当てられるのでしょうか?
TCP/IPで通信できていれば問題ないです。

Qレッドハットのバージョン確認方法

自分のサーバで使用しているREDHATのバージョン確認はどうすればいいのでしょうか?

more /etc/issue
とやっても英文しか出てきませんでした。

uname -all
でもカーネルのバージョンは出るのですが、REDHATのバージョンは出ませんでした。

Aベストアンサー

> more /etc/issue
> とやっても英文しか出てきませんでした。

その英文にはRedHatのバージョンは書いてなかったのですか?
書いていなかったとしたら、管理者により編集されている可能性
がありますね。

cat /etc/redhat-release

ではいかがでしょう?
やっぱり英文ですけど。

rpm -q redhat-release

でもいいかも

QISP冗長のためのBGPルータ運用

自社でISP冗長化の構築を考えていますが、AS番号取得したBGPルータ導入による構築・運用は大変大掛かりと聞きました。その大変さについて簡単に御説明出来る方はいらっしゃいますでしょうか。社内にグローバルアドレスを持つ公開サーバがありますので、外からのインバウンド通信もあります。

Aベストアンサー

運用や設定は、No2のWebに任せるとして。。。。

物理的な運用課題です。

・24時間365日、停止が許されない。
 ルータが停止すると、その情報がThe Internetに伝播されるため
 余計なトラフィックが大量に流れてしまう。
 頻繁にダウンする場合は、取り消しを食らったり
 経路のブロッキングをされる可能性があり
 ここで言う停止とは、ビルの法定整備を考慮する。
 法定整備の際には、自家発電で最低2日程度は問題が内容にする
 ネットワーク回線も貧弱であってはならない。

・気安く設定の変更が出来ない
 設定の変更が及ぼす範囲が非常に広範囲にわたる可能性が高い
 また設定の変更によって、思わぬパケットが流れる可能性がある
 設定変更後、うまく動かなくなった等はもってのほか
 (某元国営電電公社が最近やっちまいましたが)

などがあるのではないでしょうか?


人気Q&Aランキング