VRRPのトラブルシューティング
| 重要 - スケーラブルなプラットフォーム(MaestroとChassis)はこの機能をサポートしていません。 (既知の制限 MBS-2521)。 |
VRRPの設定に関する既知の問題点とその対処法を示します。
Check Pointサポート に連絡する前に、このセクションをお読みください。
VRRPのトレース(デバッグ)
VRRP のトラブルシューティングのために、エラーやイベントに関する情報をログに記録することができます。
VRRPのトレースを有効にする ステップ | 手順 | ||
|---|---|---|---|
1 | ナビゲーションツリーで、Routing > Routing Options をクリックします。 | ||
2 | Trace Options セクションの、Filter Visible Tables Below ドロップダウンリストで、VRRP を選択します。 | ||
3 | VRRPテーブルで、該当するオプションを選択します。 Allを選択することをお勧めします。 特定のオプションを複数選択する場合。
連続した複数のオプションを選択する場合
| ||
4 | Addをクリックします。。 選択されたオプションがEnabledになります。 | ||
5 | このページの一番上までスクロールします。 | ||
6 | Routing Optionsセクションで、Applyをクリックします。 Gaiaはルーティングサブシステムを再起動し、コンフィギュレーションを再読み込みするよう信号を送る。 デバッグ情報は、/var/log/routed.log* ファイルと/var/log/routed_messages* ファイルに保存されます。
|
VRRPのトレースを無効にする ステップ | 手順 |
|---|---|
1 | ナビゲーションツリーで、Routing > Routing Options をクリックします。 |
2 | Trace Options セクションの、Filter Visible Tables Below ドロップダウンリストで、VRRP を選択します。 VRRPの表で、Allを選択します。 |
3 | Removeをクリックします。。 オプションにEnabled が表示されなくなりました。 |
4 | このページの一番上までスクロールします。 |
5 | Routing Optionsセクションで、Applyをクリックします。 Gaiaはルーティングサブシステムを再起動し、コンフィギュレーションを再読み込みするよう信号を送る。 |
一般的な構成上の注意点
VRRPフェイルオーバーが期待通りに発生しない場合は、これらの項目の設定を確認してください。
仮想ルータ内のすべての Security Gateway は、同じシステム時間を持つ必要があります。時刻を同期させる最も簡単な方法は、仮想ルータのすべてのセキュリティゲートウェイで NTP を有効にすることです。また、各Security Gatewayの時刻とタイムゾーンを手動で変更し、他のSecurity Gatewayと一致させることもできます。数秒以内の間隔にしてください。
仮想ルータのすべてのルータは、VRRP Hello Intervalを同じにする必要があります。
Priority DeltaはEffective PriorityがVRRP Masterルータより低くなるよう十分大きな値を設定する必要があります。そうしないと、Monitor-Circuit VRRP テストでインタフェースを引き抜いたときに、ほかのインタフェースから IP アドレスが解放されません。
各 Security Gateway には、それぞれ固有の Virtual Router ID と同じ Backup Address を設定する必要があります。
Gaia PortalのVRRPモニタで、いずれかのインタフェースが初期化状態になっていることがあります。これは、そのインタフェースのBackup Addressとして使用されているIPアドレスが無効であるか、予約されていることを示唆している可能性があります。
SNMPの "Get "リクエストで、インタフェースのIPアドレスが正しく表示されないことがあります。その結果、正しくないポリシーになる場合があります。SNMPの "Get "リクエストは、各インタフェースの最下位IPアドレスを取得します。Security GatewayがVRRP Masterのときにインタフェースを作成すると、不正なIPアドレスが含まれる場合があります。この問題を修復します。必要であれば、手作業でインタフェースを編集してください。
ファイアウォールポリシー
Gaiaプラットフォームとの間でVRRPパケットを受け入れるようにAccess Control Policyを設定します。IANAがVRRPに割り当てるマルチキャストの宛先は224.0.0.18です。アクセスコントロールポリシーで 224.0.0.18 宛のパケットを受け付けない場合、ある仮想ルータ内の Security Gateway は VRRP Master 状態になります。
スイッチング環境における監視回路型VRRP
Monitored-Circuit VRRP において、VRRP Master から VRRP Backup に変更すると、一部のイーサネットスイッチで VRRP の MAC アドレスが認識されない場合があります。これは、多くのスイッチが、ポートに接続されたイーサネット機器に関連するMACアドレスをキャッシュしているためです。VRRP Backup ルータへのフェイルオーバーが発生すると、仮想ルータの MAC アドレスが別のスイッチポートに関連付 けられるようになります。MACアドレスをキャッシュしている装置では、VRRP の変更時に関連するキャッシュされた MAC アドレスを新ポー トに変更しない場合があります。
この問題を修復するには、以下のいずれかの方法を取ることができます。
スイッチをハブに交換します。
VRRPクラスタメンバが接続されているスイッチ(またはスイッチポート)のMACアドレスキャッシングを無効化します。
MACアドレスのキャッシュを無効にできない場合があります。その場合は、1秒または2秒後にMACアドレスがエージングされるように、アドレスエージング値を十分に小さく設定してください。そのため、スイッチのオーバーヘッドが大きくなってしまいます。そのため、お使いのスイッチモデルに有効なオプションであるかどうかを確認してください。
スパニングツリープロトコル(STP)は、複数のブリッジにまたがるレイヤー2ループを防止します。VRRP クラスタの両端に接続されたポートでスパニングツリーを有効にすることができます。また、2 つの異なるポートの同じ MAC アドレスに対して送られてくるマルチキャスト VRRP Hello パケットを「見る」ことができます。この2つが発生すると、ループを示唆することになり、スイッチは1つのポートのトラフィックをブロックします。ポートがブロックされると、VRRPクラスタメンバは互いにVRRP Helloパケットを取得できなくなります。この結果、VRRP クラスタの両メンバは VRRP Master 状態となります。
可能であれば、スイッチのスパニングツリーをオフにして、この問題を解決してください。ただしこの場合、スイッチがブリッジングループに巻き込まれると、有害な影響を及ぼす可能性があります。スパニングツリーを無効にできない場合は、VRRP クラスタメンバに接続されているポートで PortFast を有効にします。PortFastは、リスニング状態および学習状態をパスして、ポートを直ちにスパニングツリーの転送状態にするものです。
