ECMP (等コスト負荷分散)の設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Implement ECMP (Load Balancing) on the Firewall
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Implement-ECMP-Load-Balancing-on-...

 

概要

 

等コスト負荷分散(ECMP) はPAN-OS7.0で導入された新機能です。これは「等コスト」である同じ宛先に対して複数のルートを提供します。最大で4つの等コストルートがサポートされます。

 

この機能を使用しない場合、同じ宛先に複数の等コストルートがあると、仮想ルーターはルーティングテーブルからそれらのルートの1つを選択し、それを転送テーブルに追加します。選択されたルートに問題がない限り、他のルートは使用されません。

 

ECMPロードバランシングは、パケットレベルではなく、セッションレベルで実行されます。新しいセッションの開始は、ファイアウォール(ECMP)が等価コストパスを選択したときです。

 

この記事では、ファイアウォール上でECMPを実現するための基本的な設定に焦点を当てます。

 

詳細

 

この記事で使用するトポロジ:

=======================

Topology.png

 

 

インターフェイス設定:

 

Interface.png

 

注:ethernet1/1およびethernet1/11はそれぞれ異なるゾーンであるL3-UntrustおよびVPNで構成されたISPインターフェイスです。ただし、これらのインターフェイスは同じゾーンでも構成できます。

 

 

両方のデフォルトルートが「等コスト」を持つルート設定:

 

Screen Shot 2016-09-05 at 4.20.12 PM.png

 

 

インターネット経由でトラフィックをルーティングするためのNATポリシー:

 

NAT diff zone.png

 

注:両方のISPインターフェイスが同じゾーンにある場合、宛先インターフェイスを次のスクリーンショットのようにNATポリシーに追加する必要があります。

 

NAT same zone.png

 

 

トラフィックを許可するセキュリティポリシーの設定:(インターフェイスが同じゾーンまたは異なるゾーンにある場合のどちらのシナリオにも対応します)

 

Policy.png

 

 

ファイアウォールでのECMPの有効化:

 

ECMP enable.png

 

注:

- Max Path 2 は、2つの等コストパスのみがFIBテーブルにインストールされることを意味します。 FIBテーブルにインストールする必要がある等価コストパスが2つ以上ある場合は、Max Path値を変更します。サポートされている最大値は4です。
- ロードバランス方式は、要件に応じて選択できます。負荷分散アルゴリズムの詳細については、ここをクリックしてください
- Request パケットが来たインターフェイスと同じインタフェースから Reply パケットを送信する必要がある場合は、Symmetric Return を有効にします。

 

 

 

ECMP動作の確認:

 

Monitor > Traffic Logs (異なるゾーンの場合)

 

Screen Shot 2016-07-17 at 3.21.44 PM.png

 

 

Monitor > Traffic Logs (同じゾーンの場合)

 

Screen Shot 2016-07-17 at 3.19.44 PM.png

 

 

ECMPとしてインストールされたルートには「E」フラグがあります:

 

Screen Shot 2016-07-17 at 3.22.34 PM.png

 

FIb table.png

 

 

:ECMPの詳細については、ここをクリックしてください

 

著者: hagarwal