Cisco 900 シリーズ ISR ソフトウェア コンフィギュレーション ガイド

VLAN の設定

VLAN は、ユーザの物理的な位置に関係なく、機能、プロジェクト チーム、またはアプリケーションなどで論理的に分割されたスイッチド ネットワークです。VLAN は、物理 LAN と同じ属性をすべて備えていますが、同じ LAN セグメントに物理的に配置されていないエンド ステーションもグループ化できます。どのスイッチ ポートも VLAN に割り当てることができます。ユニキャスト、ブロードキャスト、およびマルチキャスト パケットは、VLAN 内のエンド ステーションだけに転送およびフラッディングが行われます。各 VLAN は論理ネットワークと見なされ、VLAN に属さないステーション宛てのパケットはルータで転送する必要があります。VLAN は、ユーザの物理的な位置に関係なく、機能、プロジェクト チーム、またはアプリケーションなどで論理的に分割されたスイッチド ネットワークです。VLAN は、物理 LAN と同じ属性をすべて備えていますが、同じ LAN セグメントに物理的に配置されていないエンド ステーションもグループ化できます。どのスイッチ ポートも VLAN に割り当てることができます。ユニキャスト、ブロードキャスト、およびマルチキャスト パケットは、VLAN 内のエンド ステーションだけに転送およびフラッディングが行われます。各 VLAN は論理ネットワークと見なされ、VLAN に属さないステーション宛てのパケットはルータで転送する必要があります。

VLAN の設定に関する詳細については、次の Web リンクを参照してください。

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software/release/15-0_2_se/configuration/guide/scg3750/swvlan.html

VLAN の設定例については、“例：VLAN の設定” を参照してください。

例：VLAN の設定

次の例で、VLAN 間ルーティングの設定方法を示します。

VTP の設定

VTP は、レイヤ 2 のメッセージ プロトコルであり、ネットワーク全体にわたって VLAN の追加、削除、名前の変更を管理することにより、VLAN 設定の整合性を維持します。VTP により、VLAN 名の重複、誤った VLAN タイプの指定、セキュリティ違反など、さまざまな問題を引き起こしかねない設定の誤りや矛盾が最小限に抑えられます。

VLAN を作成する前に、ネットワークで VTP を使用するかどうかを決定する必要があります。VTP を使用すると、1 台または複数のスイッチ上で集中的に設定変更を行い、その変更を自動的にネットワーク上の他のスイッチに伝達できます。VTP を使用しない場合、VLAN に関する情報を他のスイッチに送信できません。VTP は、1 台のスイッチで行われた更新が VTP を介してドメイン内の他のスイッチに送信される環境で動作するように設計されています。VLAN データベースに対する複数の更新が同一ドメイン内のスイッチ上で同時に発生する環境の場合、VTP は適していません。VLAN データベースの不整合が生じます。

VTP の設定に関する次の概念を理解する必要があります。

• VTP ドメイン：VTP ドメイン（別名 VLAN 管理ドメイン）は、1 つのスイッチ、または同じ VTP ドメイン名を共有して同一管理下にある相互接続された複数のスイッチまたはスイッチ スタックで構成されます。スイッチは、1 つの VTP ドメインにだけ所属できます。そのドメインに対してグローバル VLAN の設定を変更します。
• VTP サーバ：VTP サーバ モードでは、VLAN の作成、変更、削除ができます。また、VTP ドメイン全体に対して他のコンフィギュレーション パラメータ（VTP バージョンなど）を指定できます。VTP サーバは、同一 VTP ドメイン内の他のスイッチに自分の VLAN 設定をアドバタイズし、トランク リンクを介して受信したアドバタイズメントに基づいて、自分の VLAN 設定を他のスイッチと同期させます。VTP サーバはデフォルト モードです。
• VTP クライアント：VTP クライアントは VTP サーバと同様に動作し、対応するトランクで VTP アップデートを送受信しますが、VTP クライアント上で VLAN の作成、変更、削除を行うことはできません。VLAN は、ドメインに含まれる、他のサーバ モードのスイッチで設定します。
• VTP トランスペアレント：VTP トランスペアレント スイッチは、VTP に参加しません。VTP トランスペアレント スイッチは自身の VLAN 設定をアドバタイズせず、受信したアドバタイズに基づいて自身の VLAN 設定を同期させることもありません。ただし、VTP バージョン 2 またはバージョン 3 では、トランスペアレント スイッチは、トランク インターフェイスを介して他のスイッチから受信した VTP アドバタイズを転送します。VTP トランスペアレント モードでは、スイッチ上の VLAN を作成、変更、削除できます。

VTP の設定に関する詳細については、次の Web リンクを参照してください。

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software/release/15-0_2_se/configuration/guide/scg3750/swvtp.html

VTP の設定例については、“例：VTP の設定”を参照してください。

例：VTP の設定

次に、スイッチを VTP サーバとして設定する例を示します。

次に、スイッチを VTP クライアントとして設定する例を示します。

次に、スイッチを VTP トランスペアレントとして設定する例を示します。

802.1x 認証の設定

IEEE 802.1x ポート ベース認証は、一般的にアクセス可能なポートから認証されていないクライアントが LAN に接続しないように規制する、クライアント/サーバ ベースのアクセス コントロールおよび認証プロトコルを規定しています。認証サーバがスイッチ ポートに接続する各クライアントを認証したうえで、スイッチまたは LAN サービスにアクセスできるようにします。クライアントが認証されるまで、IEEE 802.1x アクセス コントロールでは、クライアントの接続先であるポートを介して、Extensible Authentication Protocol over LAN（EAPOL）、Cisco Discovery Protocol（CDP）、およびスパニングツリー プロトコル（STP）トラフィックだけが許可されます。認証後、通常のトラフィックをポート経由で送受信できます。

IEEE 802.1x 認証では、ネットワーク内のデバイスにそれぞれ固有の役割があります。

• サプリカント：LAN およびスイッチ サービスへのアクセスを要求し、ルータからの要求に応答するデバイス（ワークステーション）。ワークステーションでは、Microsoft Windows XP オペレーティング システムで提供されるクライアントなど、IEEE 802.1x 準拠のクライアント ソフトウェアが稼働している必要があります（サプリカントはクライアントと呼ばれることもあります）。
• 認証サーバ：サプリカントの実際の認証を実行する装置。認証サーバはサプリカントの識別情報を確認し、そのサプリカントに LAN およびスイッチ サービスへのアクセスを許可すべきかどうかをルータに通知します。ネットワーク アクセス デバイス（この例では Cisco ISR ルータ）は、サプリカントと認証サーバ間で認証メッセージを透過的に渡し、サプリカントと認証サーバ間で認証プロセスが実行されます。サプリカントと認証サーバ（RADIUS サーバ）間で使用される EAP 方式が決定されます。EAP 拡張機能を搭載した RADIUS セキュリティ システムは、Cisco Secure Access Control Server バージョン 3.0 以降で使用できます。RADIUS はクライアントおよびサーバ モデルで動作し、RADIUS サーバと 1 つまたは複数の RADIUS クライアントとの間でセキュア認証情報を交換します。
• オーセンティケータ：サプリカントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御するルータ。ルータは、サプリカントと認証サーバ間で仲介装置として動作し、サプリカントからの ID 情報を要求し、その情報を認証サーバで確認し、応答をサプリカントにリレーします。ルータには、EAP フレームのカプセル化/カプセル化解除、および認証サーバとの対話を処理する、RADIUS クライアントが含まれています。

802.1x ポートベース認証の設定方法に関する詳細については、次のリンクを参照してください。

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_8021x/configuration/15-mt/sec-user-8021x-15-mt-book/config-ieee-802x-pba.html

802.1x 認証の設定例については、“例：スイッチポートでの IEEE 802.1x および AAA のイネーブル化”を参照してください。

例：スイッチポートでの IEEE 802.1x および AAA のイネーブル化

次の例で、Cisco 900 シリーズ ISR を 802.1x オーセンティケータとして設定する方法を示します。

スパニングツリー プロトコルの設定

スパニングツリー プロトコル（STP）は、ネットワーク内のループを回避しながらパスを冗長化するためのレイヤ 2 リンク管理プロトコルです。レイヤ 2 イーサネット ネットワークの正常な動作を実現するには、どの 2 つのステーション間でもアクティブ パスを 1 つにする必要があります。エンド ステーション間に複数のアクティブ パスがあると、ネットワークにループが生じます。このループがネットワークに発生すると、エンド ステーションにメッセージが重複して到着する可能性があります。また、スイッチも複数のレイヤ 2 インターフェイスのエンド ステーション MAC アドレスを学習する可能性が出てきます。このような状況によって、ネットワークが不安定になります。スパニングツリーの動作は透過的であり、エンド ステーション側で、単一 LAN セグメントに接続されているのか、複数セグメントからなるスイッチド LAN に接続されているのかを検出することはできません。

STP は、スパニングツリー アルゴリズムを使用し、スパニングツリーのルートとして冗長接続ネットワーク内のスイッチを 1 つ選択します。スパニングツリー アルゴリズムは、アクティブ トポロジでのポートの役割に基づいて各ポートに役割を割り当てることにより、スイッチド レイヤ 2 ネットワーク上で最良のループフリー パスを算出します。

• ルート：スパニングツリー トポロジに対して選定される転送ポート
• 指定：各スイッチド LAN セグメントに対して選定される転送ポート
• 代替：スパニングツリーのルート ブリッジへの代替パスとなるブロック ポート
• バックアップ：ループバック コンフィギュレーションのブロック ポート

すべてのポートに役割が指定されているスイッチ、またはバックアップの役割が指定されているスイッチはルート スイッチです。少なくとも 1 つのポートに役割が指定されているスイッチは、指定スイッチを意味します。スパニング ツリーは、冗長データ パスを強制的にスタンバイ（ブロック）ステートにします。スパニングツリーのネットワーク セグメントでエラーが発生したときに冗長パスが存在する場合は、スパニングツリー アルゴリズムがスパニングツリー トポロジを再計算し、スタンバイ パスをアクティブにします。スイッチは、定期的にブリッジ プロトコル データ ユニット（BPDU）と呼ばれるスパニングツリー フレームを送受信します。スイッチはこのフレームを転送しませんが、このフレームを使用してループフリー パスを構築します。BPDU には、送信側スイッチおよびそのポートについて、スイッチおよび MAC アドレス、スイッチ プライオリティ、ポート プライオリティ、パス コストなどの情報が含まれます。スパニングツリーはこの情報を使用して、スイッチド ネットワーク用のルート スイッチおよびルート ポートを選定し、さらに、各スイッチド セグメントのルート ポートおよび指定ポートを選定します。

スイッチの 2 つのポートがループの一部になっている場合、スパニングツリー ポート プライオリティとパス コストの設定値によって、どちらのポートをフォワーディング ステートにするか、どちらをブロッキング ステートにするかが制御されます。スパニングツリー ポート プライオリティ値は、ネットワーク トポロジにおけるポートの位置とともに、トラフィック転送におけるポートの位置がどれだけ適切であるかを表します。パス コストの値は、メディアの速度を表します。

STP の設定に関する詳細については、次のリンクを参照してください。

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software/release/15-0_2_se/configuration/guide/scg3750/swstp.html

設定例については、“例：スパニングツリー プロトコルの設定”を参照してください。

例：スパニングツリー プロトコルの設定

次に、ギガビット イーサネット インターフェイスのスパニングツリー ポート プライオリティの設定の例を示します。ループが発生した場合、スパニングツリーはポート プライオリティを使用して、フォワーディング ステートにするインターフェイスを選択します。

次の例で、ギガビット イーサネット インターフェイスのスパニングツリー ポート コストを変更する方法を示します。ループが発生した場合、スパニングツリーはコストを使用して、フォワーディング ステートにするインターフェイスを選択します。

Router(config-if)# end

次に、VLAN 10 のブリッジ プライオリティを 33792 に設定する例を示します。

次に、VLAN 10 の hello タイムを 4 秒に設定する例を示します。hello タイムはルート スイッチがコンフィギュレーション メッセージを生成する間隔です。

次に、スパニング ツリーの最大エージング インターバルの設定の例を示します。最大エージング タイムは、再構成を試行するまでにスイッチがスパニングツリー コンフィギュレーション メッセージを受信せずに待機する秒数です。

次に、スイッチを VLAN 10 のルート ブリッジとして設定し、ネットワーク直径を 4 に設定する例を示します。

MAC アドレス テーブル操作の設定

MAC アドレス テーブルには、スイッチがポート間のトラフィック転送に使用するアドレス情報が含まれています。このアドレス テーブルに登録されたすべての MAC アドレスは、1 つまたは複数のポートに対応しています。アドレス テーブルに含まれるアドレス タイプには、次のものがあります。

• ダイナミック アドレス：スイッチが学習し、使用されなくなった時点でドロップされる送信元 MAC アドレス。エージング タイム設定を使用して、テーブル内で使用されていないアドレスをスイッチが保持する期間を定義します。
• スタティック アドレス：手動で入力され、期限切れにならず、スイッチのリセット時にも消去されないユニキャスト アドレス。

アドレス テーブルは、宛先 MAC アドレス、対応する VLAN（仮想 LAN）ID、アドレスに対応付けられたポート番号、およびタイプ（スタティックまたはダイナミック）のリストです。

セキュア MAC アドレスのイネーブル化、スタティック エントリの作成、セキュア MAC アドレス最大数の設定、エージング タイムの設定の例については、“例：MAC アドレス テーブル操作”を参照してください。

MAC アドレス テーブルの操作の設定に関する詳細については、次のリンクを参照してください。

http://www.cisco.com/c/en/us/td/docs/routers/access/interfaces/software/feature/guide/geshwic_cfg.html#wp1048223

例：MAC アドレス テーブル操作

次に、ポートのセキュア MAC アドレス オプションを有効にする設定の例を示します。

次に、MAC アドレス テーブルにスタティック エントリを作成する例を示します。

次に、エージング タイマーを設定する例を示します。

Router(config)# end

MAC アドレス通知トラップの設定

MAC アドレス通知は、スイッチに MAC アドレス アクティビティを保存することでネットワーク上のユーザを追跡できます。スイッチが MAC アドレスを学習または削除するたびに、SNMP 通知を生成してネットワーク管理システム（NMS）に送信させることができます。ネットワークに多数のユーザの出入りがある場合は、トラップ インターバル タイムを設定して通知トラップを組み込み、ネットワーク トラフィックを削減できます。MAC 通知履歴テーブルは、トラップがイネーブルに設定されたハードウェアのポートごとの MAC アドレス アクティビティを保存します。MAC アドレス通知は、動的でセキュアな MAC アドレスについて生成されます。自己アドレス、マルチキャスト アドレス、またはその他のスタティック アドレスについては、イベントは生成されません。

設定例については、“例：MAC アドレス通知トラップの設定”を参照してください。

例：MAC アドレス通知トラップの設定

次に、MAC アドレスがインターフェイスに追加されたときに MAC 通知トラップをイネーブルにする方法の例を示します。

次に、MAC アドレスがインターフェイスから削除されたときに MAC 通知トラップをイネーブルにする方法の例を示します。

スイッチド ポート アナライザ（SPAN）の設定

ポートまたは VLAN を通過するネットワーク トラフィックを解析するには、SPAN または RSPAN を使用して、そのスイッチ上、またはネットワーク アナライザやその他のモニタ デバイス、あるいはセキュリティ デバイスに接続されている別のスイッチ上のポートにトラフィックのコピーを送信します。SPAN は送信元ポート上または送信元 VLAN 上で受信、送信、または送受信されたトラフィックを宛先ポートにコピー（ミラーリング）して、解析します。SPAN は送信元ポートまたは VLAN 上のネットワーク トラフィックのスイッチングには影響しません。宛先ポートは SPAN 専用にする必要があります。SPAN または RSPAN セッションに必要なトラフィック以外、宛先ポートがトラフィックを受信したり転送したりすることはありません。

SPAN を使用してモニタできるのは、送信元ポートを出入りするトラフィックまたは送信元 VLAN に出入りするトラフィックだけです。送信元 VLAN にルーティングされたトラフィックはモニタできません。たとえば、着信トラフィックをモニタしている場合、別の VLAN から送信元 VLAN にルーティングされているトラフィックはモニタできません。ただし、送信元 VLAN で受信し、別の VLAN にルーティングされるトラフィックは、モニタできます。

SPAN 設定の例については、例：SPAN の設定を参照してください。

スイッチド ポート アナライザ（SPAN）セッションの設定方法については、次の Web リンクを参照してください。

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software/release/15-0_2_se/configuration/guide/scg3750/swspan.html

例：SPAN の設定

次の例で、ギガビット イーサネット送信元インターフェイスからの双方向トラフィックをモニタするように SPAN セッションを設定する方法を示します。

次の例で、ギガビット イーサネット インターフェイスを SPAN セッションの宛先として設定する方法を示します。

Router(config)# end

次の例で、SPAN セッション 1 の SPAN 送信元としてのギガビット イーサネットを削除する方法を示します。

Router(config)# end

IGMP スヌーピングの設定

IGMP スヌーピングは、レイヤ 2 インターフェイスを動的に設定し、マルチキャスト トラフィックが IP マルチキャスト デバイスと対応付けられたインターフェイスにだけ転送されるようにすることによって、マルチキャスト トラフィックのフラッディングを制限します。名称が示すとおり、IGMP スヌーピングの場合は、LAN スイッチでホストとルータ間の IGMP 伝送をスヌーピングし、マルチキャスト グループとメンバ ポートを追跡する必要があります。特定のマルチキャスト グループについて、ホストから IGMP レポートを受信したスイッチは、ホストのポート番号を転送テーブル エントリに追加します。ホストから IGMP Leave Group メッセージを受信した場合は、テーブル エントリからホスト ポートを削除します。マルチキャスト クライアントから IGMP メンバーシップ レポートを受信しなかった場合にも、スイッチはエントリを定期的に削除します。

マルチキャスト ルータは、すべての VLAN に定期的にジェネラル クエリーを送出します。このマルチキャスト トラフィックに関心のあるホストはすべて Join 要求を送信し、転送テーブルのエントリに追加されます。スイッチは、IGMP Join 要求の送信元となる各グループの IGMP スヌーピング IP マルチキャスト転送テーブルで、VLAN ごとに 1 つずつエントリを作成します。

デフォルトでは、IGMP スヌーピングはグローバルに（システム全体で）イネーブルです。グローバルにイネーブルまたはディセーブルに設定されている場合、既存のすべての VLAN インターフェイスでもイネーブルまたはディセーブルです。デフォルトでは、IGMP スヌーピングはすべての VLAN で有効ですが、VLAN 単位で有効または有効にすることができます。グローバルな IGMP スヌーピングは VLAN 単位の IGMP スヌーピング機能よりも優先されます。グローバル スヌーピングがディセーブルの場合、VLAN スヌーピングをイネーブルに設定することはできません。グローバルなスヌーピングが有効な場合、VLAN 単位でスヌーピングを有効または無効にすることができます。

IGMP スヌーピングの設定例については、“例：IGMP スヌーピングの設定”を参照してください。

例：IGMP スヌーピングの設定

次の例で、IGMP スヌーピングを VLAN インターフェイスで有効にする方法を示します。

Router# end

次の例で、マルチキャスト ルータへの静的な接続を有効にする方法を示します。

次の例で、ポートをマルチキャスト グループのメンバーとして追加する方法を示します。ポートは通常、IGMP レポート メッセージを通じてマルチキャスト グループに加入しますが、ポートをマルチキャスト グループのメンバーとしてスタティックに設定することもできます。

Router# end

ポート単位のストーム コントロールの設定

ストーム コントロールは、物理インターフェイスの 1 つで発生したブロードキャスト、マルチキャスト、またはユニキャスト ストームによって LAN 上のトラフィックが混乱することを防ぎます。LAN ストームは、LAN にパケットがフラッディングした場合に発生します。その結果、トラフィックが極端に増えてネットワーク パフォーマンスが低下します。ストームは、プロトコル スタック実装でのエラー、ネットワーク設定の誤り、またはサービス妨害攻撃を行うユーザにより引き起こされる可能性があります。

ストーム コントロール（またはトラフィック抑制）は、インターフェイスからスイッチング バスを通過するパケットをモニタし、パケットがユニキャスト、マルチキャスト、またはブロードキャストのいずれであるかを判別します。スイッチは、1 秒間に受け取った特定のタイプのパケットの数をカウントして、事前に定義された抑制レベルのしきい値とその測定結果を比較します。

ストーム コントロールは、次のうちのいずれかをトラフィック アクティビティの測定方法に使用します。

• 帯域幅（ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックが使用できるポートの総帯域幅の割合）。
• 秒単位で受信するパケット（ブロードキャスト、マルチキャスト、またはユニキャスト）のトラフィック レート

上記の方法のいずれを使用しても、しきい値に到達すると、ポートはトラフィックをブロックします。トラフィック レートが下限しきい値（指定されている場合）を下回らない限り、ポートはブロックされたままになり、その後、通常の転送が再開されます。下限抑制レベルが指定されていない場合、トラフィック レートが上限抑制レベルを下回らない限り、スイッチはすべてのトラフィックをブロックします。一般に、そのレベルが高ければ高いほど、ブロードキャスト ストームに対する保護効果は薄くなります。

（注） C900 プラットフォームでは、storm-control action shutdown コマンドを設定すると、ポートの状態が管理上ダウンに変化します。ポートの状態を手動で元に戻すには、 no shutdown コマンドを使用します。

ポート単位のストーム コントロールの設定例については、“例：ポート単位のストーム コントロールの設定”を参照してください。

例：ポート単位のストーム コントロールの設定

次に、ギガビット イーサネット インターフェイスで帯域幅に基づくマルチキャスト ストーム コントロールを 70 パーセントで有効にする例を示します。

HSRP の設定

Hot Standby Router Protocol（HSRP）は、デフォルト ゲートウェイ IP アドレスが設定された IEEE 802 LAN 上の IP ホストにファースト ホップ冗長性を確保することでネットワークの可用性を高めるシスコの標準方式です。HSRP を使用すると、特定のルータのアベイラビリティに依存せず IP トラフィックをルーティングできます。また、一連のルータ インターフェイスを組み合わせることで、1 台の仮想ルータ、または LAN 上のホストへのデフォルト ゲートウェイのように機能させることができます。ネットワークまたはセグメント上に HSRP を設定すると、仮想 MAC（メディア アクセス コントロール）アドレス、および設定されたルータ グループ間で共有される IP アドレスを使用できるようになりHSRP が設定された複数のルータは、仮想ルータの MAC アドレスおよび IP ネットワーク アドレスを使用できるようになります。仮想ルータは、実際には存在しません。仮想ルータは、相互にバックアップ機能を提供するように設定されている複数のルータの共通のターゲットを表します。1 台のルータがアクティブなルータとして、もう 1 台のルータがスタンバイ ルータとして選択されます。スタンバイ ルータは、指定されたアクティブ ルータが故障した場合に、グループの MAC アドレスおよび IP アドレスを制御するルータです。

HSRP では、プライオリティ メカニズムを使用して、デフォルトのアクティブ デバイスにする HSRP 設定済みデバイスを決定します。デバイスをアクティブ デバイスとして設定するには、他のすべての HSRP 設定済みデバイスのプライオリティよりも高いプライオリティをそのデバイスに割り当てます。デフォルトのプライオリティは 100 です。したがって、100 よりも高いプライオリティを持つデバイスを 1 つだけ設定した場合、そのデバイスがデフォルトのアクティブ デバイスになります。プライオリティが等しい場合、プライマリ IP アドレスが比較され、大きい IP アドレスが優先されます。ルータの設定で standby preempt インターフェイス コンフィギュレーション コマンドを使用しない場合、そのルータのプライオリティが他のルータよりも高い場合でもそのルータはアクティブス ルータになりません。

HSRP の設定に関する詳細については、次のリンクを参照してください。

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipapp_fhrp/configuration/15-mt/fhp-15-mt-book/fhp-hsrp.html

HSRP の設定例については、“例：HSRP の設定”を参照してください。

例：HSRP の設定

この例では、ルータ A は、グループ 1 のアクティブ デバイスおよびグループ 2 のスタンバイ デバイスになるように設定されています。ルータ B は、グループ 2 のアクティブ デバイスおよびグループ 1 のスタンバイ デバイスになるように設定されています。

VRRP の設定

仮想ルータ冗長プロトコル（VRRP）は、LAN 上の VRRP ルータに対し、1 台または複数台の仮想ルータの役割をダイナミックに割り当てる選択プロトコルです。この場合、マルチアクセス リンク上にある何台かのルータが同じ仮想 IP アドレスを使用できるようにします。VRRP ルータは、LAN に接続された 1 つ以上の他のルータと連係して VRRP プロトコルを実行するように設定されます。VRRP 設定では、1 台のルータが仮想マスター ルータとして選定され、他のルータは仮想マスター ルータが機能を停止した場合のバックアップとして動作します。

VRRP の重要な設定項目に、VRRP ルータ プライオリティがあります。プライオリティにより、各 VRRP ルータが実行する役割と、仮想マスター ルータが機能を停止したときにどのようなことが起こるかが決定されます。VRRP ルータが仮想ルータの IP アドレスと物理インターフェイスの IP アドレスのオーナーである場合には、このルータが仮想マスター ルータとして機能します。VRRP ルータが仮想バックアップ ルータとして機能するかどうかや、仮想マスター ルータが機能を停止した場合に仮想マスター ルータを引き継ぐ順序も、プライオリティによって決定されます。 vrrp priority コマンドを使用して、各仮想バックアップ ルータのプライオリティを設定できます。

デフォルトでは、プリエンプティブ スキームはイネーブルになっています。この場合、仮想ルータ マスターになるように選択されている仮想ルータ バックアップの中で、より高いプライオリティが設定されている仮想ルータ バックアップが仮想ルータ マスターになります。このプリエンプティブ設定をディセーブルにするには、 no vrrp preempt コマンドを使用します。プリエンプションがディセーブルになっている場合は、元の仮想マスター ルータが回復して再びマスターになるまで、仮想マスター ルータになるように選択されている仮想バックアップ ルータがマスターの役割を実行します。

仮想マスター ルータは、同じグループ内の他の VRRP ルータに VRRP アドバタイズメントを送信します。アドバタイズメントでは、仮想ルータ マスターのプライオリティとステートを伝えます。VRRP アドバタイズメントは IP パケットにカプセル化され、VRRP グループに割り当てられた IP バージョン 4 マルチキャスト アドレスに送信されます。アドバタイズメントは、デフォルトで 1 秒に 1 回送信されますが、この間隔は設定可能です。

VRRP に関する詳細については、次のリンクを参照してください。

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipapp_fhrp/configuration/15-mt/fhp-15-mt-book/fhp-vrrp.html

VRRP の設定例については、“例：VRRP の設定”を参照してください。

例：VRRP の設定

次の例では、ルータ A とルータ B はそれぞれ 2 つの VRRP グループ（グループ 1 とグループ 5）に属しています。この設定では、各グループに次の特性があります。

グループ 1：

• 仮想 IP アドレスは 10.1.0.10 です。
• ルータ A はプライオリティ 120 で、このグループのマスターになります。
• アドバタイズ インターバルは 3 秒です。
• プリエンプションはイネーブルです。

グループ 5：

• ルータ B はプライオリティ 200 で、このグループのマスターになります。
• アドバタイズ インターバルは 30 秒です。
• プリエンプションはイネーブルです。

RouterA(config-if)# no shutdown

RouterA(config-if)# end