IP アプリケーション サービス コンフィギュレーション ガイド Cisco IOS Release 15.1S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月4日
章のタイトル: VRRP の設定
VRRP の設定
Virtual Router Redundancy Protocol(VRRP; 仮想ルータ冗長プロトコル)は、LAN 上の VRRP ルータに対し、1 台または複数台の仮想ルータの役割をダイナミックに割り当てる選択プロトコルです。この場合、マルチアクセス リンク上にある何台かのルータが同じ仮想 IP アドレスを使用できるようにします。VRRP ルータは、LAN に接続されている 1 台以上の他のルータと連動して VRRP プロトコルを実行するように設定されます。VRRP 設定では、1 台のルータが仮想ルータ マスターとして選定され、他のルータは仮想ルータ マスターが機能を停止した場合のバックアップとして動作します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「VRRP の機能情報」 を参照してください。
プラットフォーム サポートとシスコ ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
この章の構成
•
「用語集」
VRRP の制約事項
• VRRP は、マルチアクセス、マルチキャスト、またはブロードキャストに対応したイーサネット LAN 上で使用できるように設計されています。VRRP は既存のダイナミック プロトコルの代替にはなりません。
• VRRP は、イーサネット、ファスト イーサネット、Bridge Group Virtual Interface(BVI)、およびギガビット イーサネット インターフェイス、Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)Virtual Private Network(VPN; バーチャル プライベート ネットワーク)、VRF を認識する MPLS VPN、および VLAN 上でサポートされます。
• BVI インターフェイスの初期化に関連して転送遅延が発生するため、VRRP アドバタイズ タイマーの時間は BVI インターフェイスでの転送遅延時間と同じにするか、または長く設定する必要があります。このように設定することで、最近初期化された BVI インターフェイス上にある VRRP ルータが無条件にマスター ロールを引き継ぐことがなくなります。BVI インターフェイスでの転送遅延を設定するには、 bridge forward-time コマンドを使用します。VRRP アドバタイズメント タイマーを設定するには、 vrrp timers advertise コマンドを使用します。
• Enhanced Object Tracking(EOT; 拡張オブジェクト トラッキング)はステートフル スイッチオーバー(SSO)を認識しないため、SSO モードで VRRP と併用することはできません。
VRRP について
• 「オブジェクト トラッキングが VRRP ルータのプライオリティに及ぼす影響」
VRRP の動作
LAN クライアントが特定のリモート宛先に対してファーストホップとなるルータを決定する場合、いくつかの方法があります。クライアントは、ダイナミック プロセスまたはスタティック設定を使用できます。次に、ダイナミックなルータ検出の例を示します。
• プロキシ ARP:クライアントは Address Resolution Protocol(ARP; アドレス解決プロトコル)を使用して到達先の宛先を取得します。ルータは自分の MAC アドレスを使用して ARP 要求に応答します。
• ルーティング プロトコル:クライアントは、(たとえば、Routing Information Protocol(RIP)からの)ダイナミック ルーティング プロトコル アップデートをリスンし、独自にルーティング テーブルを作成します。
• IRDP(ICMP Router Discovery Protocol)クライアント:このクライアントは Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)ルータ検出クライアントを実行します。
ダイナミック ディスカバリ プロトコルの欠点として、LAN クライアントで多少の設定が必要となることと、処理のオーバーヘッドが生じることが挙げられます。また、ルータが機能を停止した場合、他のルータへの切り替えを行うプロセスに時間がかかることがあります。
ダイナミック ディスカバリ プロトコルの代替方法として、クライアント上でデフォルト ルータをスタティックに設定する方法があります。このアプローチでは、クライアントの設定と処理は簡略化されますが、単一障害点が生じます。デフォルト ゲートウェイが機能を停止すると、LAN クライアントが通信できるのはローカル IP ネットワーク セグメントだけに制限され、残りのネットワークからは切断されます。
VRRP を使用すると、スタティックな設定の問題は解消されます。VRRP は、ルータのグループを使用して単一の 仮想ルータ を形成します。これにより、仮想ルータをデフォルト ゲートウェイとして使用するように、LAN クライアントを設定できます。ルータのグループを表す仮想ルータは、「VRRP グループ」とも呼ばれます。
VRRP は、イーサネット、ファスト イーサネット、BVI、およびギガビット イーサネット インターフェイス、MPLS VPN、VRF を認識する MPLS VPN、および VLAN 上でサポートされます。
図 1 に、VRRP が設定された LAN トポロジを示します。この例では、ルータ A、B、および C は仮想ルータで構成される VRRP ルータ(VRRP を実行するルータ)です。仮想ルータの IP アドレスは、ルータ A のイーサネット インターフェイスに設定されたアドレス(10.0.0.1)と同じです。
仮想ルータはルータ A の物理イーサネット インターフェイスの IP アドレスを使用するため、ルータ A は仮想ルータ マスターのロールを担い、「IP アドレス所有者 」とも呼ばれます。ルータ A は、仮想ルータ マスターとして、仮想ルータの IP アドレスを管理し、この IP アドレスに送信されたパケットの転送を行います。クライアント 1 ~ 3 はデフォルト ゲートウェイ IP アドレス(10.0.0.1)を使用して設定されます。
ルータ B とルータ C は仮想ルータ バックアップとして機能します。仮想ルータ マスターが機能を停止すると、高いプライオリティに設定されているルータが仮想ルータ マスターとなり、LAN ホストには継続してサービスが提供されます。ルータ A が回復すると、ルータ A が再び仮想ルータ マスターになります。VRRP ルータが果たすロールと、仮想ルータ マスターが機能を停止したときにどのようなことが起こるかについての詳細は、このマニュアル内の「VRRP ルータ プライオリティとプリエンプション」を参照してください。
図 2 に示す LAN トポロジでは、ルータ A とルータ B がクライアント 1 ~ 4 のトラフィックを共有し、ルータ A とルータ B がいずれかのルータが機能を停止したときに相互に仮想ルータ バックアップとして機能するように VRRP が設定されています。
図 2 ロード シェアリングと冗長化が設定された VRRP トポロジ
このトポロジでは、2 つの仮想ルータが設定されています(詳細については、このマニュアルの「複数の仮想ルータのサポート」を参照してください)。仮想ルータ 1 では、ルータ A が IP アドレス 10.0.0.1 の所有者で、仮想ルータ マスターになっています。ルータ B はルータ A に対する仮想ルータ バックアップです。クライアント 1 と クライアント 2 はデフォルト ゲートウェイ IP アドレス(10.0.0.1)を使用して設定されています。
仮想ルータ 2 では、ルータ B が IP アドレス 10.0.0.2 の所有者で、仮想ルータ マスターになっています。ルータ A はルータ B に対する仮想ルータ バックアップです。クライアント 3 と クライアント 4 はデフォルト ゲートウェイ IP アドレス(10.0.0.2)を使用して設定されています。
VRRP の利点
VRRP により、複数のルータをデフォルト ゲートウェイ ルータとして設定できるようになり、ネットワークに単一障害点が生じる可能性を低減できます。
LAN クライアントとの間のトラフィックを複数のルータで共有するように VRRP を設定できるため、利用可能なルータ間でより均等にトラフィックの負荷を分散できます。
プラットフォームが複数の MAC アドレスをサポートする場合、VRRP はルータの物理インターフェイス上で最大 255 の仮想ルータ(VRRP グループ)をサポートします。複数の仮想ルータをサポートすることで、LAN トポロジ内で冗長化とロード シェアリングを実装できます。
仮想ルータは、セカンダリ IP アドレスを含め複数の IP アドレスを管理できます。そのため、イーサネット インターフェイスに複数のサブネットを設定した場合、サブネットごとに VRRP を設定できます。
VRRP の冗長性スキームにより、仮想ルータ バックアップのプリエンプトが可能になり、より高いプライオリティが設定された仮想ルータ バックアップが、機能を停止した仮想ルータ マスターを引き継ぐようにできます。
VRRP の Message Digest 5(MD5; メッセージ ダイジェスト 5)アルゴリズム認証は、VRRP スプーフィング ソフトウェアから保護し、業界標準の MD5 アルゴリズムを使用して、信頼性とセキュリティを高めます。
VRRP は専用の Internet Assigned Numbers Authority(IANA)標準マルチキャスト アドレス(224.0.0.18)を使用して VRRP アドバタイズメントを行います。このアドレッシング方式により、マルチキャストにサービスを提供しなければならないルータの数を最小限に抑え、テスト装置がセグメントの VRRP パケットを正確に特定できるようになります。IANA は VRRP に IP プロトコル番号 112 を割り当てました。
VRRP オブジェクト トラッキングにより、インターフェイスや IP ルート ステートなどの追跡対象オブジェクトのステータスに応じて VRRP プライオリティを変更することで、最適な VRRP ルータがグループの仮想ルータ マスターになります。
複数の仮想ルータのサポート
ルータの物理インターフェイスには、最大 255 の仮想ルータを設定できます。ルータ インターフェイスがサポートできる実際の仮想ルータの数は、次の要因によって決定されます。
• 複数の MAC アドレスのルータ インターフェイス サポート
1 つのルータ インターフェイス上に複数の仮想ルータが設定されているトポロジでは、インターフェイスは 1 つの仮想ルータにはマスターとして動作し、1 つまたは複数の仮想ルータにはバックアップとして動作することができます。
VRRP ルータ プライオリティとプリエンプション
VRRP 冗長性スキームの重要な一面に、ルータ プライオリティがあります。プライオリティにより、各 VRRP ルータが果たすロールと、仮想ルータ マスターが機能を停止したときにどのようなことが起こるかが決定されます。
ある VRRP ルータが仮想ルータの IP アドレスと物理インターフェイスの IP アドレスを所有している場合、このルータが仮想ルータ マスターとして機能します。
VRRP ルータが仮想ルータ バックアップとして機能するかどうかや、仮想ルータ マスターが機能を停止した場合に仮想ルータ マスターを引き継ぐ順序も、プライオリティによって決定されます。 vrrp priority コマンドを使用して 1 ~ 254 の値を設定し、各仮想ルータ バックアップのプライオリティを設定できます。
たとえば、ルータ A(LAN トポロジの仮想ルータ マスター)が機能を停止した場合、選択プロセスが行われ、仮想ルータ バックアップ B と C のどちらが引き継ぐかが決定されます。ルータ B とルータ C がそれぞれ プライオリティ 101 と 100 に設定されている場合、プライオリティの高いルータ B が仮想ルータ マスターになります。ルータ B とルータ C が両方ともプライオリティ 100 に設定されている場合、IP アドレスが高い方の仮想ルータ バックアップが選択されて仮想ルータ マスターになります。
デフォルトでは、プリエンプティブ スキームはイネーブルになっています。この場合、仮想ルータ マスターになるように選択されている仮想ルータ バックアップの中で、より高いプライオリティが設定されている仮想ルータ バックアップが仮想ルータ マスターになります。このプリエンプティブ スキームをディセーブルにするには、 no vrrp preempt コマンドを使用します。プリエンプションがディセーブルになっている場合は、元の仮想ルータ マスターが回復して再びマスターになるまで、仮想ルータ マスターになるように選択されている仮想ルータ バックアップがマスターのロールを果たします。
VRRP アドバタイズメント
仮想ルータ マスターは、同じグループ内の他の VRRP ルータに VRRP アドバタイズメントを送信します。アドバタイズメントでは、仮想ルータ マスターのプライオリティとステートを伝えます。VRRP アドバタイズメントは IP パケットにカプセル化され、VRRP グループに割り当てられた IP バージョン 4 マルチキャスト アドレスに送信されます。アドバタイズメントは、デフォルトで 1 秒に 1 回送信されますが、この間隔は設定可能です。
RFC 3768 と同様に VRRP プロトコルもミリ秒タイマーをサポートしていませんが、Cisco ルータを使用すれば、ミリ秒タイマーを設定することができます。ミリ秒タイマー値は、プライマリ ルータとバックアップ ルータの両方に手動で設定する必要があります。バックアップ ルータ上の show vrrp コマンド出力に表示されるマスター アドバタイズメント値は、常に、1 秒です。これは、バックアップ ルータ上のパケットでミリ秒値が受け入れられないためです。
ミリ秒タイマーは、絶対に必要な場合以外は使用しないようにし、使用する場合は慎重な検討とテストが必要です。ミリ秒値は順境の下でしか機能しません。そのため、ミリ秒タイマー値の使用は、VRRP の動作をシスコ デバイスに限定することに注意する必要があります。
VRRP オブジェクト トラッキング
オブジェクト トラッキングは、インターフェイス ライン プロトコルのステートなど、追跡対象オブジェクトの作成、モニタ、削除を管理する独立したプロセスです。Hot Standby Router Protocol(HSRP; ホット スタンバイ ルータ プロトコル)、Gateway Load Balancing Protocol(GLBP; ゲートウェイ ロード バランシング プロトコル)、そして VRRP のようなクライアントは、追跡対象オブジェクトを登録し、オブジェクトのステートが変更されたときにアクションを実行できます。
各追跡対象オブジェクトには、トラッキング CLI(コマンドライン インターフェイス)で指定される一意の番号があります。VRRP などのクライアント プロセスは、この番号を使用して特定のオブジェクトを追跡します。
トラッキング プロセスは、追跡対象オブジェクトを定期的にポーリングし、値に変化がないかどうかを確認します。追跡対象オブジェクトに変化があれば登録されているクライアント プロセスに通知します。ただちに通知する場合と、指定された時間遅延後に通知する場合があります。オブジェクトの値は、アップまたはダウンとして報告されます。
VRRP オブジェクト トラッキングにより、VRRP はトラッキング プロセスで追跡可能なすべてのオブジェクトにアクセスします。トラッキング プロセスでは、インターフェイス ライン プロトコルのステート、IP ルートのステート、ルートの到達可能性など、オブジェクトを個別に追跡する機能が提供されます。
VRRP はトラッキング プロセスに対するインターフェイスを提供します。VRRP グループごとに、VRRP ルータのプライオリティに影響を及ぼす可能性のある複数のオブジェクトを追跡できます。追跡対象のオブジェクト番号を指定すると、そのオブジェクトに何らかの変更が生じた場合に VRRP によって通知されます。VRRP は、追跡対象オブジェクトのステートに基づいて、仮想ルータのプライオリティを増加(または減少)させます。
オブジェクト トラッキングが VRRP ルータのプライオリティに及ぼす影響
オブジェクト トラッキングが設定されている場合に、追跡対象のオブジェクトがダウンすると、デバイスのプライオリティはダイナミックに変化します。トラッキング プロセスは、追跡対象オブジェクトを定期的にポーリングし、値に変化がないかどうかを確認します。追跡対象オブジェクトに変化があれば VRRP に通知します。ただちに通知する場合と、指定された時間遅延後に通知する場合があります。オブジェクトの値は、アップまたはダウンとして報告されます。トラッキング可能なオブジェクトには、インターフェイスのライン プロトコル ステートや IP ルートの到達可能性などがあります。指定したオブジェクトがダウンすると、VRRP プライオリティが引き下げられます。その場合、 vrrp preempt コマンドが設定されていると、より高いプライオリティが設定された VRRP ルータが仮想ルータ マスターになります。オブジェクト トラッキングの詳細については、「VRRP オブジェクト トラッキング」を参照してください。
VRRP 認証
VRRP は、認証されていない VRRP プロトコル メッセージを無視します。デフォルトの認証タイプはテキスト認証です。
VRRP テキスト認証、単純な MD5 キー ストリングを使用した認証、または MD5 キー チェーンを使用した認証を設定することができます。
MD5 認証は、代替となるプレーン テキスト認証スキームよりも高いセキュリティを実現します。MD5 認証を使用すると、各 VRRP グループ メンバが秘密キーを使用して、発信パケットの一部であるキー付き MD5 ハッシュを生成できます。着信パケットのキー付きハッシュが生成されると、生成されたハッシュと着信パケット内のハッシュが一致しない場合、そのパケットは無視されます。
MD5 ハッシュのキーは、キー ストリングを使用して設定内で直接指定することも、キー チェーンを通して間接的に指定することもできます。
ルータは、VRRP グループと認証の設定が異なるルータから着信した VRRP パケットは無視します。VRRP には、次の 3 つの認証スキームがあります。
ISSU と VRRP
VRRP は In Service Software Upgrade(ISSU; インサービス ソフトウェア アップグレード)をサポートします。In Service Software Upgrade(ISSU)を使用すると、アクティブおよびスタンバイの Route Processor(RP; ルート プロセッサ)またはラインカード上で異なるバージョンの Cisco IOS ソフトウェアが実行されている場合でも、ハイアベイラビリティ(HA)システムをステートフル スイッチオーバー(SSO)モードで実行できるようになります。
ISSU は、サポートされる Cisco IOS リリースから別のリリースへアップグレードまたはダウングレードする機能を提供します。この場合、パケット転送は継続して行われ、セッションは維持されるため、予定されるシステムの停止時間を短くすることができます。アップグレードまたはダウングレードする機能は、アクティブ RP およびスタンバイ RP 上で異なるバージョンのソフトウェアを実行することで実現します。これにより、RP 間でステート情報を維持する時間が短くなります。この機能により、システムをアップグレード対象(またはダウングレード対象)のソフトウェアを実行するセカンダリ RP に切り替えることができ、セッションを切断することなく、またパケットの損失も最小限に抑えながら、継続してパケットを転送できます。この機能は、デフォルトでイネーブルにされています。
ISSU の詳細については、次の URL に掲載されている『 Cisco IOS In Service Software Upgrade Process 』を参照してください。
http://www.cisco.com/en/US/docs/ios/ha/configuration/guide/ha-inserv_updg.html
7600 シリーズ ルータでの ISSU の詳細については、次の URL に掲載されている『 ISSU and eFSU on Cisco 7600 Series Routers 』を参照してください。
http://www.cisco.com/en/US/partner/products/hw/routers/ps368/products_configuration_guide_chapter09186a00807f1c85.html
SSO と VRRP
SSO VRRP 機能が導入されたため、VRRP はステートフル スイッチオーバー(SSO)を認識するようになりました。VRRP は、ルータがセカンダリ RP にフェールオーバーしたことを検出し、グループの現在の状態を継続することができます。
SSO は、デュアル RP をサポートするネットワーキングデバイス(通常はエッジ デバイス)で機能します。1 台の RP をアクティブ プロセッサとして設定し、他の RP をスタンバイ プロセッサとして設定することで、RP 冗長化を実現します。また、RP 間の重要なステート情報を同期するため、ネットワーク ステート情報は RP 間でダイナミックに維持されます。
VRRP が SSO を認識する前に、RP が冗長化されたルータに VRRP を展開した場合、アクティブ RP とスタンバイ RP 間のロールがスイッチオーバーされると、ルータの GLBP グループ メンバとしてのアクティビティは破棄され、ルータはリロードされた場合と同様にグループに再び参加することになります。SSO VRRP 機能により、スイッチオーバーが行われても、GLBP は継続してグループ メンバとしてのアクティビティを継続できます。冗長化された RP 間の VRRP ステート情報は維持されるため、スタンバイ RP はスイッチオーバーの実行中も実行後も VRRP 内で引き続きルータのアクティビティを実行できます。
この機能は、デフォルトでイネーブルにされています。この機能をディセーブルにするには、グローバル コンフィギュレーション モードで no vrrp sso コマンドを使用します。
詳細については、次の URL に掲載されている『 Stateful Switchover 』を参照してください。
http://www.cisco.com/en/US/docs/ios/ha/configuration/guide/ha-stfl_swovr.html
VRRP の設定方法
• 「VRRP のカスタマイズ」(任意)
• 「VRRP のイネーブル化」(必須)
• 「インターフェイスでの VRRP のディセーブル化」(任意)
• 「VRRP オブジェクト トラッキングの設定」(任意)
• 「キー ストリングを使用した VRRP MD5 認証の設定」(任意)
• 「キー チェーンを使用した VRRP MD5 認証の設定」(任意)
• 「VRRP MD5 認証設定の確認」(任意)
• 「VRRP テキスト認証の設定」(任意)
• 「SNMP VRRP 通知を送信するようにルータをイネーブル化」(任意)
VRRP のカスタマイズ
VRRP の動作のカスタマイズはオプションです。VRRP グループをイネーブルにするとすぐに、そのグループは動作を開始することに注意してください。VRRP をカスタマイズする前に VRRP グループをイネーブルにすると、ルータがグループの制御を引き継ぎ、機能のカスタマイズを完了する前に仮想ルータ マスターになることがあります。このため、VRRP をカスタマイズする場合には、カスタマイズを行ってから VRRP をイネーブルにすることを推奨します。
手順の概要
5. vrrp group description text
7. vrrp group preempt [ delay minimum seconds ]
手順の詳細
VRRP のイネーブル化
手順の概要
5. vrrp group ip ip-address [ secondary ]
手順の詳細
インターフェイスでの VRRP のディセーブル化
インターフェイスで VRRP をディセーブルにすると、プロトコルをディセーブルにできますが、設定は維持されます。この機能は、VRRP MIB、RFC 2787「 Definitions of Managed Objects for the Virtual Router Redundancy Protocol 」の導入とともに追加されました。
Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)管理ツールを使用して、インターフェイスでの VRRP をイネーブルまたはディセーブルに設定できます。SNMP 管理機能により、 vrrp shutdown コマンドが導入され、SNMP を使用して設定されたステートが VRRP の CLI を通して表示されるようになりました。
show running-config コマンドを入力すると、VRRP グループが設定されているかどうか、およびイネーブルとディセーブルのどちらに設定されているかをすぐに確認できます。これは、MIB 内でイネーブルされるのと同じ機能です。
このコマンドを no 形式で使用すると、MIB 内で実行される同じ動作がイネーブルになります。SNMP インターフェイスを使用して vrrp shutdown コマンドを指定した場合、Cisco IOS CLI を使って no vrrp shutdown コマンドを入力すると、VRRP グループが再びイネーブルになります。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
(注) 設定を維持した状態で、1 つの VRRP グループをディセーブルにし、別の VRRP グループをイネーブルにできます。 |
VRRP オブジェクト トラッキングの設定
制約事項
VRRP グループが IP アドレス所有者である場合、そのプライオリティは 255 に固定され、オブジェクト トラッキングで減じることはできません。
手順の概要
3. track object-number interface type number { line-protocol | ip routing }
手順の詳細
キー ストリングを使用した VRRP MD5 認証の設定
制約事項
RFC 2338 方式を実装したベンダーとの相互運用性は、有効ではありません。
どのような場合でも、テキスト認証を MD5 認証と組み合わせて VRRP グループに使用することはできません。MD5 認証が設定されている場合、VRRP hello メッセージのテキスト認証のフィールドはすべてゼロ(0)に設定されて送信され、受信時には無視されます(受信側のルータでも MD5 認証が有効になっている場合)。
手順の概要
4. ip address ip-address mask [ secondary ]
5. vrrp group priority priority
6. vrrp group authentication md5 key-string [ 0 | 7 ] key-string [ timeout seconds ]
7. vrrp group ip [ ip-address [ secondary ]]
手順の詳細
キー チェーンを使用した VRRP MD5 認証の設定
キー チェーンを使用して VRRP MD5 認証を設定するには、次の手順を実行します。キー チェーンを使用すると、キー チェーンの設定に基づき、場合に応じて異なるキー ストリングを使用できます。VRRP は適切なキー チェーンを照会し、特定のキー チェーンに対して現在アクティブになっているキーとキー ID を取得します。
制約事項
RFC 2338 方式を実装したベンダーとの相互運用性は、有効ではありません。
どのような場合でも、テキスト認証を MD5 認証と組み合わせて VRRP グループに使用することはできません。MD5 認証が設定されている場合、VRRP hello メッセージのテキスト認証のフィールドはすべてゼロ(0)に設定されて送信され、受信時には無視されます(受信側のルータでも MD5 認証が有効になっている場合)。
手順の概要
8. ip address ip-address mask [ secondary ]
9. vrrp group priority priority
10. vrrp group authentication md5 key-chain key-chain
11. vrrp group ip [ ip-address [ secondary ]]
手順の詳細
VRRP MD5 認証設定の確認
手順の概要
手順の詳細
このコマンドを使用して、認証が正しく設定されていることを確認します。
出力には、MD5 認証が設定されていることと、f00d4s キー ストリングが使用されていることが表示されます。タイムアウト値は 30 秒に設定されます。
ステップ 2 debug vrrp authentication
このコマンドを使用して、両方のルータに認証が設定されていること、各 ルータの MD5 キー ID が同じであること、各 ルータの MD5 キー ストリングが同じであることを確認します。
VRRP テキスト認証の設定
制約事項
RFC 2338 方式を実装したベンダーとの相互運用性は、有効ではありません。
どのような場合でも、テキスト認証を MD5 認証と組み合わせて VRRP グループに使用することはできません。MD5 認証が設定されている場合、VRRP hello メッセージのテキスト認証のフィールドはすべてゼロ(0)に設定されて送信され、受信時には無視されます(受信側のルータでも MD5 認証が有効になっている場合)。
手順の概要
4. ip address ip-address mask [ secondary ]
5. vrrp group authentication text text-string
手順の詳細
SNMP VRRP 通知を送信するようにルータをイネーブル化
VRRP MIB は、SNMP GET 操作をサポートします。この操作により、ネットワーク デバイスがネットワーク管理ステーションからネットワークの VRRP グループについてのレポートを受け取ることができるようになります。
VRRP MIB トラップ サポートを有効にする操作は、CLI から行います。そして、MIB を使用してレポートを取得します。あるルータがマスターまたはバックアップ ルータになると、トラップがネットワーク管理ステーションに通知します。CLI からエントリを設定すると、直ちに、MIB でのそのグループの RowStatus がアクティブ ステートになります。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
snmp-server host Router(config)# snmp-server host myhost.comp.com public vrrp
|
VRRP の設定例
• 「例:キー ストリングを使用した VRRP MD5 認証の設定」
• 「例:キー チェーンを使用した VRRP MD5 認証の設定」
• 「例:インターフェイス上での VRRP グループのディセーブル化」
例:VRRP の設定
次の例では、ルータ A とルータ B はそれぞれ 3 つの VRRP グループに属しています。
– ルータ A は、プライオリティが 120 のときにこのグループのマスターになります。
– ルータ B は、プライオリティが 200 のときにこのグループのマスターになります。
– ルータ A は、より高い IP アドレス(10.1.0.2)が設定されているため、最初にこのグループのマスターになります。
– アドバタイズ インターバルはデフォルトで 1 秒に設定されます。
例:VRRP オブジェクト トラッキング
次の例では、トラッキング プロセスはシリアル インターフェイス 0/1 上でライン プロトコルのステートを追跡するように設定されています。イーサネット インターフェイス 1/0 の VRRP は、シリアル インターフェイス 0/1 のライン プロトコル ステートに何らかの変更が生じた場合には通知されるように、トラッキング プロセスに登録します。シリアル インターフェイス 0/1 のライン プロトコル ステートがダウンになると、VRRP グループのプライオリティは 15 減じられます。
例:VRRP オブジェクト トラッキングの確認
次に、「例:VRRP オブジェクト トラッキング」で説明した設定を確認する例を示します。
例:キー ストリングを使用した VRRP MD5 認証の設定
次に、キー ストリングを使用して MD5 認証を設定し、タイムアウトを 30 秒に設定する例を示します。
例:キー チェーンを使用した VRRP MD5 認証の設定
次に、キー チェーンを使用して MD5 認証を設定する例を示します。
この例では、VRRP はキー チェーンを照会し、特定のキー チェーンに対して現在アクティブになっているキーとキー ID を取得します。
例:VRRP テキスト認証
次に、テキスト ストリングを使用して VRRP テキスト認証を設定する例を示します。
例:インターフェイス上での VRRP グループのディセーブル化
次に、イーサネット インターフェイス 0/2 上ではグループ 2 の VRRP を維持しながら、イーサネット インターフェイス 0/1 上にある 1 つの VRRP グループをディセーブルにする例を示します。
例:VRRP MIB トラップ
次に、VRRP MIB トラップ サポート機能をイネーブルにする例を示します。
その他の参考資料
関連資料
|
|
|
|---|---|
キー チェーンおよびキー管理用コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト設定、使用に関する注意事項、および例 |
|
「Configuring HSRP」 モジュール |
|
「Configuring GLBP」 モジュール |
規格
|
|
|
|---|---|
この機能がサポートする新しい規格または変更された規格はありません。また、この機能による既存規格のサポートに変更はありません。 |
MIB
|
|
|
|---|---|
選択されたプラットフォーム、シスコ ソフトウェア リリース、およびフィーチャ セットの MIB を検索してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
シスコのテクニカル サポート
VRRP の機能情報
表 1 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。
プラットフォーム サポートとソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 1 に、特定のソフトウェア リリース トレイン内の機能に対するサポートが導入されたソフトウェア リリースだけを示します。特に断りのないかぎり、そのソフトウェア リリース トレイン以降のリリースでもその機能がサポートされます。
|
|
|
|
|---|---|---|
FHRP--VRF-Aware VRRP 機能により、VRF-Aware MPLS VPN による VRRP サポートが追加されます。 |
||
FHRP--VRRP 拡張機能により、次のサポートが追加されます。 • • この機能に関する詳細については、次の各項を参照してください。 • • • • |
||
VRRP は In Service Software Upgrade(ISSU; インサービス ソフトウェア アップグレード)をサポートします。ISSU を使用すると、アクティブおよびスタンバイの Route Processor(RP; ルート プロセッサ)またはラインカード上で異なるバージョンの Cisco IOS ソフトウェアが実行されている場合でも、ハイアベイラビリティ(HA)システムをステートフル スイッチオーバー(SSO)モードで実行できるようになります。 この機能は、ソフトウェア アップグレード中に予定されたシステム停止中も同じレベルの HA 機能を提供します。不測のシステム停止が発生した場合も、SSO を使用できます。つまり、システムをセカンダリ RP に切り替えることができ、セッションを切断することなく、またパケットの損失も最小限に抑えながら、継続してパケットを転送できます。 |
||
VRRP が SSO を認識するようになりました。VRRP は、ルータがセカンダリ RP にフェールオーバーしたことを検出し、VRRP グループの現在の状態を継続することができます。 この機能に関する詳細については、次の各項を参照してください。 debug vrrp ha 、 vrrp sso 、 show vrrp の各コマンドが、この機能により導入または変更されました。 |
||
VRRP は、ルータのグループを使用して単一の仮想ルータを形成し、冗長性を実現します。これにより、仮想ルータをデフォルト ゲートウェイとして使用するように、LAN クライアントを設定できます。ルータのグループを表す仮想ルータは、「VRRP グループ」とも呼ばれます。 この機能に関する詳細については、すべての項に記載しています。 この機能により次のコマンドが導入されました。 debug vrrp all 、 debug vrrp error 、 debug vrrp events 、 debug vrrp packets 、 debug vrrp state 、 show vrrp 、 show vrrp interface 、 vrrp authentication 、 vrrp description 、 vrrp ip 、 vrrp preempt 、 vrrp priority 、 vrrp timers advertise 、 vrrp timers learn |
||
VRRP オブジェクト トラッキング機能により VRRP の機能が拡張され、ルータ内の特定のオブジェクトを追跡して VRRP グループの仮想ルータのプライオリティ レベルを変更できるようになりました。 この機能に関する詳細については、次の各項を参照してください。 |
||
VRRP MIB--RFC 2787 機能により、SNMP ベースのネットワーク管理で使用できるように MIB の機能が強化されました。VRRP を使用するルータの設定、モニタ、および制御をサポートするようになりました。 この機能に関する詳細については、次の各項を参照してください。 • コマンド vrrp shutdown がこの機能により導入されました。 snmp-server enable traps および snmp-server host の各コマンドがこの機能により変更されました。 |
用語集
仮想 IP アドレス所有者 :仮想ルータの IP アドレスを所有する VRRP ルータ。仮想ルータ アドレスを物理インターフェイス アドレスとして持っているルータが所有者になります。
仮想ルータ :1 つのグループを形成する 1 台または複数台の VRRP ルータ。仮想ルータは、LAN クライアントのデフォルト ゲートウェイ ルータとして動作します。「VRRP グループ」とも呼ばれます。
仮想ルータ バックアップ :仮想ルータ マスターが機能を停止したときにパケット転送のロールを引き受けることのできる 1 台または複数台の VRRP ルータ。
仮想ルータ マスター :仮想ルータの IP アドレスに送信されるパケットの転送を現在行っている VRRP ルータ。通常、仮想ルータ マスターは IP アドレス所有者としても機能します。
フィードバック