HSRP

この章は、次の項で構成されています。

HSRP について

HSRP はファーストホップ冗長プロトコル(FHRP)であり、ファーストホップ IP ルータの透過的なフェールオーバーを可能にします。HSRP は、デフォルト ルータの IP アドレスを指定して設定された、イーサネット ネットワーク上の IP ホストにファーストホップ ルーティングの冗長性を提供します。ルータ グループでは HSRP を使用して、アクティブ ルータおよびスタンバイ ルータを選択します。ルータ グループでは、アクティブ ルータはパケットをルーティングするルータであり、スタンバイ ルータはアクティブ ルータに障害が発生したときや、プリセット条件に達したときに使用されるルータです。

大部分のホストの実装では、ダイナミックなルータ ディスカバリ メカニズムをサポートしていませんが、デフォルトのルータを設定することはできます。すべてのホスト上でダイナミックなルータ ディスカバリ メカニズムを実行するのは、管理上のオーバーヘッド、処理上のオーバーヘッド、セキュリティ上の問題など、さまざまな理由で現実的ではありません。HSRP は、そうしたホストにフェールオーバー サービスを提供します。

HSRP を使用するとき、ホストのデフォルト ルータとして HSRP 仮想 IP アドレスを設定します(実際のルータ IP アドレスの代わりに)。仮想 IP アドレスは、HSRP が動作するルータのグループで共有される IPv4 または IPv6 アドレスです。

ネットワーク セグメントに HSRP を設定する場合は、HSRP グループ用の仮想 MAC アドレスと仮想 IP アドレスを設定します。グループの各 HSRP 対応インターフェイス上で、同じ仮想アドレスを指定します。各インターフェイス上で、実アドレスとして機能する固有の IP アドレスおよび MAC アドレスも設定します。HSRP はこれらのインターフェイスのうちの 1 つをアクティブ ルータにするために選択します。アクティブ ルータは、グループの仮想 MAC アドレス宛てのパケットを受信してルーティングします。

指定されたアクティブ ルータで障害が発生すると、HSRP によって検出されます。その時点で、選択されたスタンバイ ルータが HSRP グループの MAC アドレスおよび IP アドレスの制御を行うことになります。HSRP はこの時点で、新しいスタンバイ ルータの選択も行います。

HSRP ではプライオリティ指示子を使用して、デフォルトのアクティブ ルータにする HSRP 設定インターフェイスを決定します。アクティブ ルータとしてインターフェイスを設定するには、グループ内の他のすべての HSRP 設定インターフェイスよりも高いプライオリティを与えます。デフォルトのプライオリティは 100 なので、それよりもプライオリティが高いインターフェイスを 1 つ設定すると、そのインターフェイスがデフォルトのアクティブ ルータになります。

HSRP が動作するインターフェイスは、マルチキャスト ユーザ データグラム プロトコル(UDP)ベースの hello メッセージを送受信して、障害を検出し、アクティブおよびスタンバイ ルータを指定します。アクティブ ルータが設定された時間内に hello メッセージを送信できなかった場合は、最高のプライオリティのスタンバイ ルータがアクティブ ルータになります。アクティブ ルータとスタンバイ ルータ間のパケット フォワーディング機能の移動は、ネットワーク上のすべてのホストに対して完全に透過的です。

1 つのインターフェイス上で複数の HSRP グループを設定できます。仮想ルータは物理的には存在しませんが、相互にバックアップするように設定されたインターフェイスにとって、共通のデフォルト ルータになります。アクティブ ルータの IP アドレスを使用して、LAN 上でホストを設定する必要はありません。代わりに、仮想ルータの IP アドレス(仮想 IP アドレス)をホストのデフォルト ルータとして設定します。アクティブ ルータが設定時間内に hello メッセージを送信できなかった場合は、スタンバイ ルータが引き継いで仮想アドレスに応答し、アクティブ ルータになってアクティブ ルータの役割を引き受けます。ホストの観点からは、仮想ルータは同じままです。


(注)  

ルーテッド ポートで受信した HSRP 仮想 IP アドレス宛のパケットは、ローカル ルータ上で終端します。そのルータがアクティブ HSRP ルータであるのかスタンバイ HSRP ルータであるのかは関係ありません。このプロセスには ping トラフィックと Telnet トラフィックが含まれます。レイヤ 2(VLAN)インターフェイスで受信した HSRP 仮想 IP アドレス宛のパケットは、アクティブ ルータ上で終端します。

Cisco APIC と HSRP について

Cisco ACI の HSRP は、ルーテッド インターフェイスまたはサブインターフェイスでのみサポートされます。したがって HSRP は、レイヤ 3 Out でのみ設定できます。レイヤ 2 接続は、HSRP を実行している ACI リーフ スイッチ間のレイヤ 2 スイッチなどの外部デバイスから提供される必要があります。HSRP は外部レイヤ 2 接続上で Hello メッセージを交換するリーフ スイッチ上で動作するからです。HSRP の hello メッセージは、スパイン スイッチではパス スルーされません。

次に示すのは、Cisco APIC での HSRP の導入のトポロジの例です。
図 1. HSRP の配置トポロジ

HSRP のバージョン

Cisco APICは、デフォルトで HSRP バージョン 1 をサポートします。HSRP バージョン 2 を使用するようにインターフェイスを設定できます。

HSRP バージョン 2 では、HSRP バージョン 1 から次のように拡張されています。

  • グループ番号の範囲が拡大されました。HSRP バージョン 1 がサポートするグループ番号は 0 ~ 255 です。HSRP バージョン 2 がサポートするグループ番号は 0 ~ 4095 です。

  • IPv4 では、HSRP バージョン 1 で使用する IP マルチキャスト アドレス 224.0.0.2 の代わりに、IPv4 マルチキャスト アドレス 224.0.0.102 または IPv6 マルチキャスト アドレス FF02::66 を使用して hello パケットを送信します。

  • IPv4 では 0000.0C9F.F000 ~ 0000.0C9F.FFFF、IPv6 アドレスでは 0005.73A0.0000 ~ 0005.73A0.0FFF の MAC アドレス範囲を使用します。HSRP バージョン 1 で使用する MAC アドレス範囲は、0000.0C07.AC00 ~ 0000.0C07.ACFF です。

注意事項と制約事項

次の注意事項と制約事項に従ってください。

  • HSRP 状態は、HSRP IPv4 および IPv6 の両方で同じである必要があります。フェールオーバー後に同じ状態になるようにするには、プライオリティとプリエンプションを設定する必要があります。

  • 現在、1 個の IPv4 と 1 個の IPv6 グループのみが Cisco ACI の同じサブインターフェイスでサポートされています。デュアル スタックが設定されている場合でも、仮想 MAC は IPv4 および IPv6 HSRP の設定で同じである必要があります。

  • HSRP ピアに接続しているネットワークが純粋なレイヤ 2 ネットワークである場合、BFD IPv4 および IPv6 がサポートされています。リーフ スイッチでは、別のルータの MAC アドレスを設定する必要があります。BFD セッションは、リーフ インターフェイスで異なる MAC アドレスを設定する場合にのみアクティブになります。

  • ユーザーは、デュアル スタック設定の IPv4 および IPv6 HSRP グループに同じ MAC アドレスを設定する必要があります。

  • HSRP VIP はインターフェイス IP と同じサブネット内にある必要があります。

  • HSRP 設定のインターフェイス遅延を設定することをお勧めします。

  • HSRP は、ルーテッド インターフェイスまたはサブインターフェイスでのみサポートされます。HSRP は、VLAN インターフェイスおよびスイッチ済み仮想インターフェイス(SVI)ではサポートされていません。したがって、HSRP の VPC サポートは使用できません。

  • HSRP のオブジェクト トラッキングはサポートされていません。

  • SNMP の HSRP 管理情報ベース(MIB)はサポートされません。

  • HSRP では、複数グループの最適化(MGO) はサポートされていません。

  • ICMP IPv4 および IPv6 のリダイレクトはサポートされていません。

  • Cold Standby および Non-Stop Forwarding(NSF)は、Cisco ACI 環境で再起動できないためサポートされていません。

  • HSRP はリーフ スイッチでのみサポートされているため、拡張ホールドダウン タイマーのサポートはありません。HSRP はスパイン スイッチでサポートされていません。

  • APIC 内では、HSRP のバージョン変更はサポートされていません。設定を削除し、新しいバージョンを再設定する必要があります。

  • HSRP バージョン 2 は HSRP バージョン 1 と相互運用できません。どちらのバージョンも相互に排他的なので、インターフェイスはバージョン 1 およびバージョン 2 の両方を運用できません。しかし、同一ルータの異なる物理インターフェイス上であれば、異なるバージョンを実行できます。

  • ルート セグメンテーションは、HSRP がインターフェイスでアクティブな場合、Cisco Nexus 93128TX、Cisco Nexus 9396PX、および Cisco Nexus 9396TX リーフ スイッチでプログラムされています。したがって、インターフェイスでルート パケットに実施する DMAC=router MAC チェックはありません。この制限は、Cisco Nexus 93180LC EX、Cisco Nexus 93180YC-EX、Cisco Nexus 93108TC EX リーフ スイッチには適用されません。

  • HSRP 設定は、基本的な GUI モードではサポートされていません。APIC リリース 3.0 (1) 以降、基本的な GUI モードが廃止されました。

  • ファブリックからレイヤ 3 アウト トラフィックは、状態に関係なく HSRP リーフ スイッチ全体で常にロード バランスします。HSRP リーフ スイッチが複数のポッドにわたる場合、ファブリックからアウト トラフィックは同じポッドで常にリーフ スイッチを使用します。

  • この制限は、以前の Cisco Nexus 93128TX、Cisco Nexus 9396PX と Cisco Nexus 9396TX スイッチの一部に適用されます。HSRP を使用すると、レイヤ 2 の外部デバイスのフラッピングを防ぐため、ルーテッド インターフェイスまたはルーテッド サブインターフェイスの MAC アドレスを 1 個変更する必要があります。これは、インターフェイス論理プロファイルの下で論理インターフェイスごとに Cisco APIC が同じ MAC アドレス(00:22:BD:F8:19:FF)を割り当てるためです。

デフォルトの HSRP 設定

パラメータ

デフォルト値

Version

1

Delay

0

Reload Delay

0

Interface Control

No 使用-焼き込みアドレス (BIA)

Group ID

0

Group Af

IPv4

IP Obtain Mode

admin

プライオリティ

100

Hello Interval

3000 ミリ秒

Hold Interval

10000 ミリ秒

Group Control

プリエンプションは無効

Preempt Delay

0

Authentication Type

プレーン テキスト

Authentication Key Timeout

0

VMAC

導出方法 (HSRP グループ Id)

GUI を使用した HSRP の設定

リーフ スイッチが設定されている場合、HSRP が有効になっています。

始める前に

  • テナントと VRF が設定されています。

  • VLAN プールは、適切な VLAN 範囲が定義され、レイヤ 3 ドメインが作成されて VLAN プールに接続されている状態で設定される必要があります。

  • エンティティ プロファイルの接続も、レイヤ 3 ドメインに関連付けられている必要があります。

  • リーフ スイッチのインターフェイス プロファイルは必要に応じて設定する必要があります。

手順

ステップ 1

メニュー バーで、 > [テナント] > [Tenant-name] をクリックします。[ナビゲーション(Navigation)] ペインで、[ネットワーキング(Networking)] > L3Outs > L3Out_name > [論理ノード プロファイル(Logical Node Profiles)] > [論理インターフェイス プロファイル(Logical Interface Profile)] をクリックします。

ここで、HSRP インターフェイス プロファイルが作成されます。

ステップ 2

論理インターフェイス プロファイルを選択し、Create HSRP Interface Profile をクリックします。

ステップ 3

Create HSRPInterface Profile ダイアログボックスで、次の操作を実行します。

  1. Version フィールドで、該当するバージョンを選択します。

  2. HSRP Interface Policy フィールドで、ドロップダウンから Create HSRP Interface Policy を選択します。

  3. Create HSRP Interface Policy ダイアログボックスの Name フィールドに、ポリシーの名前を入力します。

  4. Control フィールドで、該当するコントロールを選択します。

  5. Delay フィールドと Reload Delay フィールドで、該当する値を設定します。Submit をクリックします。

HSRP インターフェイス ポリシーが作成され、インターフェイス プロファイルに関連付けられます。

ステップ 4

Create HSRP Interface Profile ダイアログボックスで、 HSRP Interface Groups を展開します。

ステップ 5

Create HSRP Group Profile ダイアログボックスで、次の操作を実行します。

  1. Nameフィールドに、HSRP インターフェイスのグループ名を入力します。

  2. Group ID フィールドで、適切な ID を選択します

    使用可能な値は、HSRP バージョン 1 または 2 のバージョンのいずれがインターフェイス プロファイルに選択されたかに応じて異なります。

  3. IP フィールドに、IP アドレスを入力します。

    この IP アドレスはインターフェイスと同じサブネット内になければなりません。

  4. MAC Address フィールドに、Mac アドレスを入力します。

    (注)  

     

    このフィールドを空白のままにすると、HSRP 仮想 MAC アドレスはグループ ID に基づいて自動的に計算されます。

  5. [グループ名(Group Name)] フィールドにグループ名を入力します。

    これは、HSRP MGO 機能の HSRP により、プロトコルで使用する名前です。

  6. Group Type フィールドで、該当するタイプを選択します。

  7. IP Obtain Mode フィールドで、該当するモードを選択します。

  8. HSRP Interface Policy フィールドで、ドロップダウンから Create HSRP Interface Policy を選択します。

ステップ 6

Create HSRP Group Policy ダイアログボックスで、次の操作を実行します。

  1. Name フィールドに、HSRP グループポリシーの名前を入力します。

  2. Key or Password フィールドが自動的に設定されます。

    認証タイプのデフォルト値はシンプルで、キーは、「cisco」です。これはユーザーが新規ポリシーを作成するときに、デフォルトで選択されます。

  3. Type フィールドで、必要とするセキュリティのレベルを選択します。

  4. Priority フィールドで、アクティブ ルータとスタンバイ ルータを定義する優先度を選択します。

  5. 残りのフィールドで、該当する値を選択し、Submit をクリックします。

    HSRP グループ ポリシーが作成されます。

  6. Secondary Virtual IPs フィールドに自動記入することにより、セカンダリ バーチャル IP を作成します。

    これは、セカンダリ バーチャル IP で各サブインターフェイスで HSRP を有効にするために使用できます。また、ここで指定する IP アドレスは、インターフェイスのサブネットになければなりません。

  7. OK をクリックします。

ステップ 7

Create HSRP Interface Profile ダイアログボックスで、Submit をクリックします。

これで HSRP の設定は完了です。

ステップ 8

[ナビゲーション] ペインで、作成した HSRP インターフェイスとグループ ポリシーを確認するには、[ネットワーキング(Networking)] > [プロトコル ポリシー(Protocol Policies)] > [HSRP] をクリックします。