VRRP とは

概要

仮想ルータ冗長プロトコル（VRRP）によって、静的なデフォルトのルーティング環境に固有の単一障害点が除外されます。VRRP は、仮想ルータの役割（VPN 3000 シリーズ コンセントレータ クラスタ）を LAN 上の VPN コンセントレータの 1 つに動的に割り当てるという、選択プロトコルを規定します。仮想ルータに関連付けられたIPアドレスを制御するVRRP VPNコンセントレータは、プライマリと呼ばれ、これらのIPアドレスに送信されたパケットを転送します。プライマリが使用不能になると、バックアップVPNコンセントレータがプライマリに代わります。

注：「Configuration |システム | IPルーティング VRRPの詳細と設定方法については、『VPN 3000 Concentrator Series User Guide』または『VPN 3000 Concentrator Manager User Guide』のそのセクションのオンラインヘルプを参照してください。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

このドキュメント内の情報は、Cisco VPN 3000 シリーズ コンセントレータに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

VPN 3000 コンセントレータによる VRRP の実装の仕組み

1. 冗長 VPN コンセントレータはグループで識別されます。

2. グループには1つのプライマリが選択されます。

3. 1つ以上のVPNコンセントレータは、グループのプライマリのバックアップにすることができます。

4. プライマリは、バックアップデバイスに自身の状態を通知します。

5. プライマリがステータスの通信に失敗すると、VRRPは各バックアップを優先順位に従って試行します。応答するバックアップは、プライマリの役割を担います。

   注：VRRPでは、トンネル接続の冗長性だけが有効になります。そのため、VRRP でフェールオーバーが発生した場合、バックアップ側ではトンネル プロトコルとトラフィックのリッスンだけが行われます。VPN コンセントレータへの ping は通りません。VRRP に参加する VPN コンセントレータの設定はまったく同じにする必要があります。VRRP用に設定された仮想アドレスは、プライマリのインターフェイスアドレスに設定された仮想アドレスと一致する必要があります。

VRRP の設定

次の設定では、パブリックおよびプライベートの各インターフェイスで VRRP が設定されています。VRRP は、2 台以上の VPN コンセントレータが並列して動作している設定に対してのみ適用されます。参加するすべての VPN コンセントレータには、まったく同じユーザ、グループ、および LAN-to-LAN が設定されます。プライマリで障害が発生すると、バックアップは以前プライマリで処理されていたトラフィックの処理を開始します。この切り替えは 3～10 秒以内に起こります。この切り替えによって IPSec および Point-to-Point Tunnel Protocol（PPTP）のクライアント接続は解除されますが、ユーザは自身の接続プロファイルの宛先アドレスを変更せずに再接続するだけで済みます。LAN-to-LAN 接続では、切り替えはシームレスに行われます。

この設定例の実装手順を次に示します。

プライマリおよびバックアップシステムで、次の操作を行います。

1. [Configuration] > [System] > [IP Routing] > [Redundancy]を選択します。次に示すパラメータのみを変更します。他のパラメータはすべてデフォルトの状態のままにします。

   1. パスワード（最大 8 文字）を Group Password フィールドに入力します。

   2. プライマリおよびすべてのバックアップシステムの[グループ共有アドレス（1プライベート）(Group Shared Addresses (1 Private))]にIPアドレスを入力します。この例では、アドレスは 10.10.10.1 です。

   3. プライマリとすべてのバックアップシステムの[Group Shared Addresses (2 Public)]にIPアドレスを入力します。この例では、アドレスは 63.67.72.155 です。

2. すべてのユニットで[Configuration] > [System] > [IP Routing] > [Redundancy]ウィンドウに戻り、[Enable VRRP]にチェックマークを付けます。

   注：2つのVPNコンセントレータの間でロードバランシングを設定し、VRRPを設定する場合は、必ずIPアドレスプールの設定に注意してください。以前と同じ IP プールを使用する場合は、変更が必要です。これが必要な理由は、ロード バランシング シナリオにある一方の IP プールからのトラフィックが VPN コンセントレータのいずれかのみに転送されるためです。

設定の同期化

この手順では、ロードバランシングを実行してプライマリからセカンダリに、またはVRRPを実行してプライマリからセカンダリに設定を同期する方法を示します。

1. [Primary]で、[Administration] > [File Management]を選択し、CONFIG行から[View]をクリックします。

   

2. 設定の Web ブラウザが開いたら、その設定を Ctrl-a で選択し、Ctrl-c でコピーします。

3. ワードパッドに設定を貼り付けます。

4. [Edit] > [Replace] を選択し、[Find What]フィールドにプライマリのパブリックインターフェイスIPアドレスを入力します。[Replace With]フィールドに、セカンダリまたはバックアップに割り当てるIPアドレスを入力します。

   プライベート IP アドレス、さらに外部インターフェイスが設定されている場合は、これについても同様の手順を行います。

5. ファイルに任意の名前を付けて保存します。保存する際には「テキスト文書」として保存してください（synconfig.txt など）。

   デフォルトの .doc では保存できないので、後で拡張子を変更します。テキストのフォーマットで保存する理由は、VPN コンセントレータで使用できる文書はテキスト文書のみだからです。

6. [Secondary]に移動し、[Administration] > [File Management] > [File Upload]を選択します。

   

7. File on the VPN 3000 Concentrator フィールドに config.bak と入力し、Browse... ボタンで PC に保存したファイル（synconfig.txt）を検索します。 Upload をクリックします。

   VPN コンセントレータでアップロードが開始され、自動的にこの synconfig.txt が config.bak に変わります。

8. [Administration] > [File Management] > [Swap Configuration Files] を選択し、[OK] をクリックして、アップロードされたコンフィギュレーションファイルでVPNコンセントレータを起動します。

   

9. System Reboot 画面で、デフォルト設定は変更せずに Apply をクリックします。

   

   起動した後、以前に変更したアドレスを除き、プライマリと同じ設定になります。

   注：[ロードバランシング(Load Balancing)]ウィンドウまたは[冗長性(VRRP)]ウィンドウでパラメータを変更することを忘れないでください。[Configuration] > [System] > [IP Routing] > [Redundancy]の順に選択します。

   

   注：または、[Configuration] > [System] > [Load Balancing]の順に選択してください。

   

関連情報

• Cisco VPN 3000 シリーズ コンセントレータに関するサポート ページ
• IPSec ネゴシエーション/IKE プロトコル
• テクニカル サポートとドキュメント – Cisco Systems