HSRP

この章は、次の項で構成されています。

HSRP について

HSRP はファーストホップ冗長プロトコル(FHRP)であり、ファーストホップ IP ルータの透過的なフェールオーバーを可能にします。HSRP は、デフォルト ルータの IP アドレスを指定して設定された、イーサネット ネットワーク上の IP ホストにファーストホップ ルーティングの冗長性を提供します。ルータ グループでは HSRP を使用して、アクティブ ルータおよびスタンバイ ルータを選択します。ルータ グループでは、アクティブ ルータはパケットをルーティングするルータであり、スタンバイ ルータはアクティブ ルータに障害が発生したときや、プリセット条件に達したときに使用されるルータです。

大部分のホストの実装では、ダイナミックなルータ ディスカバリ メカニズムをサポートしていませんが、デフォルトのルータを設定することはできます。すべてのホスト上でダイナミックなルータ ディスカバリ メカニズムを実行するのは、管理上のオーバーヘッド、処理上のオーバーヘッド、セキュリティ上の問題など、さまざまな理由で現実的ではありません。HSRP は、そうしたホストにフェールオーバー サービスを提供します。

HSRP を使用するとき、ホストのデフォルト ルータとして HSRP 仮想 IP アドレスを設定します(実際のルータ IP アドレスの代わりに)。仮想 IP アドレスは、HSRP が動作するルータのグループで共有される IPv4 または IPv6 アドレスです。

ネットワーク セグメントに HSRP を設定する場合は、HSRP グループ用の仮想 MAC アドレスと仮想 IP アドレスを設定します。グループの各 HSRP 対応インターフェイス上で、同じ仮想アドレスを指定します。各インターフェイス上で、実アドレスとして機能する固有の IP アドレスおよび MAC アドレスも設定します。HSRP はこれらのインターフェイスのうちの 1 つをアクティブ ルータにするために選択します。アクティブ ルータは、グループの仮想 MAC アドレス宛てのパケットを受信してルーティングします。

指定されたアクティブ ルータで障害が発生すると、HSRP によって検出されます。その時点で、選択されたスタンバイ ルータが HSRP グループの MAC アドレスおよび IP アドレスの制御を行うことになります。HSRP はこの時点で、新しいスタンバイ ルータの選択も行います。

HSRP ではプライオリティ指示子を使用して、デフォルトのアクティブ ルータにする HSRP 設定インターフェイスを決定します。アクティブ ルータとしてインターフェイスを設定するには、グループ内の他のすべての HSRP 設定インターフェイスよりも高いプライオリティを与えます。デフォルトのプライオリティは 100 なので、それよりもプライオリティが高いインターフェイスを 1 つ設定すると、そのインターフェイスがデフォルトのアクティブ ルータになります。

HSRP が動作するインターフェイスは、マルチキャスト ユーザ データグラム プロトコル(UDP)ベースの hello メッセージを送受信して、障害を検出し、アクティブおよびスタンバイ ルータを指定します。アクティブ ルータが設定された時間内に hello メッセージを送信できなかった場合は、最高のプライオリティのスタンバイ ルータがアクティブ ルータになります。アクティブ ルータとスタンバイ ルータ間のパケット フォワーディング機能の移動は、ネットワーク上のすべてのホストに対して完全に透過的です。

1 つのインターフェイス上で複数の HSRP グループを設定できます。仮想ルータは物理的には存在しませんが、相互にバックアップするように設定されたインターフェイスにとって、共通のデフォルト ルータになります。アクティブ ルータの IP アドレスを使用して、LAN 上でホストを設定する必要はありません。代わりに、仮想ルータの IP アドレス(仮想 IP アドレス)をホストのデフォルト ルータとして設定します。アクティブ ルータが設定時間内に hello メッセージを送信できなかった場合は、スタンバイ ルータが引き継いで仮想アドレスに応答し、アクティブ ルータになってアクティブ ルータの役割を引き受けます。ホストの観点からは、仮想ルータは同じままです。


(注)  

ルーテッド ポートで受信した HSRP 仮想 IP アドレス宛のパケットは、ローカル ルータ上で終端します。そのルータがアクティブ HSRP ルータであるのかスタンバイ HSRP ルータであるのかは関係ありません。このプロセスには ping トラフィックと Telnet トラフィックが含まれます。レイヤ 2(VLAN)インターフェイスで受信した HSRP 仮想 IP アドレス宛のパケットは、アクティブ ルータ上で終端します。

Cisco APIC と HSRP について

Cisco ACI の HSRP は、ルーテッド インターフェイスまたはサブインターフェイスでのみサポートされます。したがって HSRP は、レイヤ 3 Out でのみ設定できます。レイヤ 2 接続は、HSRP を実行している ACI リーフ スイッチ間のレイヤ 2 スイッチなどの外部デバイスから提供される必要があります。HSRP は外部レイヤ 2 接続上で Hello メッセージを交換するリーフ スイッチ上で動作するからです。HSRP の hello メッセージは、スパイン スイッチではパス スルーされません。

次に示すのは、Cisco APIC での HSRP の導入のトポロジの例です。
図 1. HSRP の配置トポロジ

HSRP のバージョン

Cisco APICは、デフォルトで HSRP バージョン 1 をサポートします。HSRP バージョン 2 を使用するようにインターフェイスを設定できます。

HSRP バージョン 2 では、HSRP バージョン 1 から次のように拡張されています。

  • グループ番号の範囲が拡大されました。HSRP バージョン 1 がサポートするグループ番号は 0 ~ 255 です。HSRP バージョン 2 がサポートするグループ番号は 0 ~ 4095 です。

  • IPv4 では、HSRP バージョン 1 で使用する IP マルチキャスト アドレス 224.0.0.2 の代わりに、IPv4 マルチキャスト アドレス 224.0.0.102 または IPv6 マルチキャスト アドレス FF02::66 を使用して hello パケットを送信します。

  • IPv4 では 0000.0C9F.F000 ~ 0000.0C9F.FFFF、IPv6 アドレスでは 0005.73A0.0000 ~ 0005.73A0.0FFF の MAC アドレス範囲を使用します。HSRP バージョン 1 で使用する MAC アドレス範囲は、0000.0C07.AC00 ~ 0000.0C07.ACFF です。

注意事項と制約事項

次の注意事項と制約事項に従ってください。

  • HSRP 状態は、HSRP IPv4 および IPv6 の両方で同じである必要があります。フェールオーバー後に同じ状態になるようにするには、プライオリティとプリエンプションを構成する必要があります。

  • 現在、1 個の IPv4 と 1 個の IPv6 グループのみが Cisco ACI の同じサブインターフェイスでサポートされています。デュアル スタックが構成されている場合でも、仮想 MAC は IPv4 および IPv6 HSRP の構成で同じである必要があります。

  • HSRP ピアに接続しているネットワークが純粋なレイヤ 2 ネットワークである場合、 FD IPv4 および IPv6 がサポートされています。リーフ スイッチでは、別のルータの MAC アドレスを構成する必要があります。BFD セッションは、リーフ インターフェイスで異なる MAC アドレスを構成する場合にのみアクティブになります。

  • ユーザーは、デュアル スタック構成の IPv4 および IPv6 HSRP グループに同じ MAC アドレスを構成する必要があります。

  • HSRP VIP はインターフェイス IP と同じサブネット内にある必要があります。

  • HSRP 構成のインターフェイス遅延を構成することをお勧めします。

  • HSRP は、ルーテッド インターフェイスまたはサブインターフェイスでのみサポートされます。HSRP は、VLAN インターフェイスおよびスイッチ済み仮想インターフェイス(SVI)ではサポートされていません。したがって、HSRP の VPC サポートは使用できません。

  • HSRP のオブジェクト トラッキングはサポートされていません。

  • SNMP の HSRP 管理情報ベース(MIB)はサポートされません。

  • HSRP では、複数グループの最適化(MGO) はサポートされていません。

  • ICMP IPv4 および IPv6 のリダイレクトはサポートされていません。

  • [コールド スタンバイ(Cold Standby)] および Non-Stop Forwarding(NSF)は、Cisco ACI 環境で再起動できないためサポートされていません。

  • HSRP はリーフ スイッチでのみサポートされているため、拡張ホールドダウン タイマーのサポートはありません。HSRP はスパイン スイッチでサポートされていません。

  • APIC 内では、HSRP のバージョン変更はサポートされていません。構成を削除し、新しいバージョンを再構成する必要があります。

  • HSRP バージョン 2 は HSRP バージョン 1 と相互運用できません。どちらのバージョンも相互に排他的なので、インターフェイスはバージョン 1 およびバージョン 2 の両方を運用できません。しかし、同一ルータの異なる物理インターフェイス上であれば、異なるバージョンを実行できます。

  • ルート セグメンテーションは、HSRP がインターフェイスでアクティブな場合、Cisco Nexus 93128TX、Cisco Nexus 9396PX、および Cisco Nexus 9396TX リーフ スイッチでプログラムされています。したがって、インターフェイスでルート パケットに実施する DMAC=router MAC チェックはありません。この制限は、Cisco Nexus 93180LC EX、Cisco Nexus 93180YC-EX、Cisco Nexus 93108TC EX リーフ スイッチには適用されません。

  • HSRP 構成は、基本的な GUI モードではサポートされていません。APIC リリース 3.0(1)以降、基本的な GUI モードが廃止されました。

  • ファブリックからレイヤ 3 アウト トラフィックは、状態に関係なく HSRP リーフ スイッチ全体で常にロード バランスします。HSRP リーフ スイッチが複数のポッドにわたる場合、ファブリックからアウト トラフィックは同じポッドで常にリーフ スイッチを使用します。

  • この制限は、以前の Cisco Nexus 93128TX、Cisco Nexus 9396PX と Cisco Nexus 9396TX スイッチの一部に適用されます。HSRP を使用すると、レイヤ 2 の外部デバイスのフラッピングを防ぐため、ルーテッド インターフェイスまたはルーテッド サブインターフェイスの MAC アドレスを 1 個変更する必要があります。これは、インターフェイス論理プロファイルの下で論理インターフェイスごとに Cisco APIC が同じ MAC アドレス(00:22:BD:F8:19:FF)を割り当てるためです。

デフォルトの HSRP 設定

パラメータ

デフォルト値

Version

1

Delay

0

Reload Delay

0

Interface Control

No 使用-焼き込みアドレス (BIA)

Group ID

0

Group Af

IPv4

IP Obtain Mode

admin

プライオリティ

100

Hello Interval

3000 ミリ秒

Hold Interval

10000 ミリ秒

Group Control

プリエンプションは無効

Preempt Delay

0

Authentication Type

プレーン テキスト

Authentication Key Timeout

0

VMAC

導出方法 (HSRP グループ Id)

GUI を使用した HSRP の構成

リーフ スイッチが構成されている場合、HSRP が有効になっています。

始める前に

  • テナントと VRF が構成されています。

  • VLAN プールは、適切な VLAN 範囲が定義され、レイヤ 3 ドメインが作成されて VLAN プールに接続されている状態で構成される必要があります。

  • エンティティ プロファイルの接続も、レイヤ 3 ドメインに関連付けられている必要があります。

  • リーフ スイッチのインターフェイス プロファイルは必要に応じて構成する必要があります。

手順

ステップ 1

メニュー バーで、 > [テナント(Tenants)] > [tenant-name]をクリックします。  [ナビゲーション(Navigation)] ペインで、 [ネットワーキング(Networking)] > [L3Outs] > [L3Out_name] > [論理ノード プロファイル(Logical Node Profiles)] > [論理インターフェイス プロファイル(Logical Interface Profile)]をクリックします。

ここで、HSRP インターフェイス プロファイルが作成されます。

ステップ 2

論理インターフェイス プロファイルを選択し、 [HSRP インターフェイス プロファイルの作成(Create HSRP Interface Profile)]をクリックします。

ステップ 3

  [HSRP インターフェイス プロファイルの作成(Create HSRP Interface Profile)] ダイアログボックスで、次の操作を実行します。

  1.   [バージョン(Version)] フィールドで、該当するバージョンを選択します。

  2.   [HSRP インターフェイス ポリシー(HSRP Interface Policy)] フィールドで、ドロップダウンから次を選択します。 [HSRP インターフェイス ポリシーを作成(Create HSRP Interface Policy)]を選択します。

  3.   [HSRP インターフェイス ポリシーを作成(Create HSRP Interface Policy)] ダイアログ ボックスで [名前(Name)] フィールドにポリシーの名前を入力します。

  4.   [制御(Control)] フィールドで、該当するコントロールを選択します。

  5.   [遅延(Delay)] フィールドと [リロード遅延(Reload Delay)] フィールドで、目的の値を設定します。  送信

HSRP インターフェイス ポリシーが作成され、インターフェイス プロファイルに関連付けられます。

ステップ 4

  [HSRP インターフェイス プロファイルの作成(Create HSRP Interface Profile)] ダイアログボックスで [HSRP インターフェイス グループ(HSRP Interface Groups)]を展開します。

ステップ 5

  [HSRP グループ プロファイルの作成(Create HSRP Group Profile)] ダイアログボックスで、次の操作を実行します:

  1.   [名前(Name)] フィールドに、HSRP インターフェイスのグループ名を入力します。

  2.   [グループ ID(Group ID)] フィールドで、適切な ID を選択します。

    使用可能な値は、HSRP バージョン 1 または 2 のバージョンのいずれがインターフェイス プロファイルに選択されたかに応じて異なります。

  3.   [IP] フィールドに、IP アドレスを入力します。

    この IP アドレスはインターフェイスと同じサブネット内になければなりません。

  4.   [MAC アドレス(MAC address)] フィールドに Mac アドレスを入力します。

    (注)  

     

    このフィールドを空白のままにすると、HSRP 仮想 MAC アドレスはグループ ID に基づいて自動的に計算されます。

  5.   [グループ名(Group Name)] フィールドにグループ名を入力します。

    これは、HSRP MGO 機能の HSRP により、プロトコルで使用する名前です。

  6.   [グループ タイプ(Group Type)] フィールドで、該当するタイプを選択します。

  7.   [IP 取得モード(IP Obtain Mode)] フィールドで、目的のモードを選択します。

  8.   [HSRP グループ ポリシー(HSRP Group Policy)] フィールドで、ドロップダウン リストから [HSRP グループ ポリシーの作成(Create HSRP Group Policy)]を選択します。

ステップ 6

  [HSRP グループ ポリシーの作成(Create HSRP Group Policy)] ダイアログボックスで、次の操作を実行します:

  1.   [名前(Name)] フィールドに、HSRP グループポリシーの名前を入力します。

  2.   [キーまたは、パスワード(Key or Password)] フィールドには自動的に値が入力されます。

    認証タイプのデフォルト値はシンプルで、キーは、「cisco」です。これはユーザーが新規ポリシーを作成するときに、デフォルトで選択されます。

  3.   [タイプ(Type)] フィールドで、必要とするセキュリティのレベルを選択します。

  4.   [優先順位(Priority)] フィールドで、アクティブ ルータとスタンバイ ルータを定義する優先度を選択します。

  5. 残りのフィールドで、該当する値を選択し、 [送信(Submit)]をクリックします。

    HSRP グループ ポリシーが作成されます。

  6.   [セカンダリ仮想 IP(Secondary Virtual IPs)] フィールドに自動記入することにより、セカンダリ バーチャル IP を作成します。

    これは、セカンダリ バーチャル IP で各サブインターフェイスで HSRP を有効にするために使用できます。また、ここで指定する IP アドレスは、インターフェイスのサブネットになければなりません。

  7.   [OK]をクリックします。

ステップ 7

  [HSRP インターフェイス プロファイルの作成(Create HSRP Interface Profile)] ダイアログ ボックスで、 [送信(Submit)]をクリックします。

これで HSRP の構成は完了です。

ステップ 8

ナビゲーション ペインで、作成した HSRP インターフェイスとグループ ポリシーを確認するには、 [ネットワーク(Networking)] > [プロトコル ポリシー(Protocol Policies)] > [HSRP]をクリックします。