この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
仮想ルータ冗長プロトコル(VRRP)は、LAN 上の VRRP ルータに対し、1 台または複数台の仮想ルータの役割をダイナミックに割り当てる選択プロトコルです。この場合、マルチアクセス リンク上にある何台かのルータが同じ仮想 IP アドレスを使用できるようにします。VRRP ルータは、LAN に接続された 1 つ以上の他のルータと連係して VRRP プロトコルを実行するように設定されます。VRRP 設定では、1 台のルータが仮想マスター ルータとして選定され、他のルータは仮想マスター ルータが機能を停止した場合のバックアップとして動作します。
この章では、VRRP に関する概念と、ネットワーク上での VRRP の設定方法について説明します。
最大 255 の一意の FHRP(HSRP および VRRP)グループがサポートされています。
ブリッジ ドメイン インターフェイス(BDI)には、HSRP と VRRP の 4 つのインスタンスを組み合わせることができます。
HSRP と VRRP は、両方ともブリッジ ドメイン インターフェイスでのみサポートされています。
HSRP および VRRP は、レイヤ 2 ポート上のトランク イーサネット フロー ポイント EFP/TEFP を備えたレイヤ 3 ブリッジ ドメイン インターフェイス(BDI)と、レイヤ 2 ポートチャネル上の EFP/TEFP を備えたレイヤ 3 BDI でサポートされています。
IPv6 は、HSRP および VRRP ではサポートされていません。
ASIC は IPV4 仮想 MAC アドレスを使用してパケットを受信できます
VRRP は、MAC アドレス 00:00:5E:00:xx でサポートされています
LAN クライアントが特定のリモート接続先に対して、どのルータをファース トホップにすべきかを判断するには、いくつかの方法があります。クライアントは、ダイナミック プロセスまたはスタティック設定を使用できます。ダイナミック ルータ ディスカバリの例を示します。
プロキシ ARP:クライアントはアドレス解決プロトコル(ARP)を使用して到達すべき宛先を取得します。ルータは独自の MAC アドレスで ARP 要求に応答します。
ルーティング プロトコル:クライアントはダイナミック ルーティング プロトコルのアップデートを(ルーティング情報プロトコル(RIP)などから)受信し、独自のルーティング テーブルを形成します。
ICMP Router Discovery Protocol(IRDP)クライアント:クライアントはインターネット制御メッセージ プロトコル(ICMP)ルータ ディスカバリ クライアントを実行します。
ダイナミック ディスカバリ プロトコルには、LAN クライアントにおいて、設定および処理のオーバーヘッドが発生するという短所があります。また、ルータが機能を停止したときに、別のルータへの切り替え処理が遅くなる可能性があります。
ダイナミック ディスカバリ プロトコルの代わりに、クライアント上でデフォルト ルータをスタティックに設定することもできます。このアプローチでは、クライアントの設定と処理は簡略化されますが、単一障害点が生じます。デフォルト ゲートウェイで障害が発生した場合、LAN クライアントの通信はローカル IP ネットワーク セグメントに限定され、ネットワークの他の部分から切り離されます。
VRRP を使用すると、スタティックな設定の問題は解消されます。VRRP を使用すると、ルータのグループで 1 つの仮想ルータを形成できます。 これにより、仮想ルータをデフォルト ゲートウェイとして使用するように、LAN クライアントを設定できます。ルータのグループを表す仮想ルータは、「VRRP グループ」とも呼ばれます。
下の図は、VRRP が設定された LAN トポロジを示しています。この例では、ルータ A、B、および C は仮想ルータで構成される VRRP ルータ(VRRP を実行するルータ)です。仮想ルータの IP アドレスは、ルータ A のイーサネット インターフェイスに設定されたアドレス(10.0.0.1)と同じです。
仮想ルータはルータ A の物理イーサネット インターフェイスの IP アドレスを使用するため、ルータ A は仮想ルータ マスターのロールを担い、「IP アドレス所有者」とも呼ばれます。ルータ A は、仮想ルータ マスターとして、仮想ルータの IP アドレスを管理し、この IP アドレスに送信されたパケットの転送を行います。クライアント 1 ~ 3 には、デフォルト ゲートウェイの IP アドレス 10.0.0.1 が設定されています。
ルータ B とルータ C は仮想ルータ バックアップとして機能します。仮想ルータ マスターが機能を停止すると、高いプライオリティに設定されているルータが仮想ルータ マスターとなり、LAN ホストには継続してサービスが提供されます。ルータ A が回復すると、再び仮想ルータ マスターになります。VRRP ルータの役割と、仮想ルータマスターに障害が発生するとどうなるかについての詳細は、「VRRP ルータの優先順位とプリエンプション」の項を参照してください。
下の図に示す LAN トポロジでは、ルータ A とルータ B がクライアント 1 ~ 4 のトラフィックを共有し、ルータ A とルータ B がいずれかのルータが機能を停止したときに相互に仮想ルータ バックアップとして機能するように VRRP が設定されています。
このトポロジでは、2 つの仮想ルータが設定されています(詳細については、「複数の仮想ルータのサポート」の項を参照してください)。仮想ルータ 1 では、ルータ A が IP アドレス 10.0.0.1 の所有者で仮想ルータ マスターです。ルータ B はルータ A に対する仮想ルータ バックアップです。クライアント 1 と 2 にはデフォルト ゲートウェイの IP アドレス 10.0.0.1 が設定されています。
仮想ルータ 2 では、ルータ B が IP アドレス 10.0.0.2 の所有者で仮想ルータ マスターです。ルータ A はルータ B に対する仮想ルータ バックアップです。クライアント 3 と 4 にはデフォルト ゲートウェイの IP アドレス 10.0.0.2 が設定されています。
VRRP により、複数のルータをデフォルト ゲートウェイ ルータとして設定できるようになり、ネットワークに単一障害点が生じる可能性を低減できます。
LAN クライアントとの間のトラフィックを複数のルータで共有するように VRRP を設定できるため、利用可能なルータ間でより均等にトラフィックの負荷を分散できます。
仮想ルータは、セカンダリ IP アドレスを含め複数の IP アドレスを管理できます。そのため、イーサネット インターフェイスに複数のサブネットを設定した場合、サブネットごとに VRRP を設定できます。
VRRP の冗長性スキームにより、仮想ルータ バックアップのプリエンプトが可能になり、より高いプライオリティが設定された仮想ルータ バックアップが、機能を停止した仮想ルータ マスターを引き継ぐようにできます。
VRRP のメッセージ ダイジェスト 5(MD5)アルゴリズム認証は、VRRP スプーフィング ソフトウェアから保護し、業界標準の MD5 アルゴリズムを使用して、信頼性とセキュリティを高めます。
VRRP は、VRRP アドバタイズメント専用のインターネット割り当て番号局(IANA)標準マルチキャスト アドレス(224.0.0.18)を使用します。このアドレッシング方式によって、マルチキャストを提供するルータ数が最小限になり、テスト機器でセグメント上の VRRP パケットを正確に識別できるようになります。IANA では VRRP に IP プロトコル番号 112 を割り当てていました。
VRRP オブジェクト トラッキングにより、インターフェイスや IP ルート ステートなどの追跡対象オブジェクトのステータスに応じて VRRP プライオリティを変更することで、最適な VRRP ルータがグループの仮想ルータ マスターになります。
ルータの処理能力
ルータのメモリの能力
複数の MAC アドレスのルータ インターフェイス サポート
1 つのルータ インターフェイス上に複数の仮想ルータが設定されているトポロジでは、インターフェイスは 1 つの仮想ルータにはマスターとして動作し、1 つまたは複数の仮想ルータにはバックアップとして動作することができます。
VRRP 冗長性スキームの重要な一面に、VRRP ルータ プライオリティがあります。プライオリティにより、各 VRRP ルータが実行する役割と、仮想マスター ルータが機能を停止したときにどのようなことが起こるかが決定されます。
VRRP ルータが仮想ルータの IP アドレスと物理インターフェイスの IP アドレスのオーナーである場合には、このルータが仮想マスター ルータとして機能します。
VRRP ルータが仮想バックアップ ルータとして機能するかどうかや、仮想マスター ルータが機能を停止した場合に仮想マスター ルータを引き継ぐ順序も、プライオリティによって決定されます。vrrp priority コマンドを使用して 1 ~ 254 の値を設定し、各仮想ルータバックアップの優先順位を設定できます。
たとえば、LAN トポロジのマスター仮想ルータであるルータ A が機能を停止した場合、選択プロセスが実行されて、仮想ルータ バックアップ B または C が引き継ぐかどうかが決定されます。ルータ B とルータ C がそれぞれ プライオリティ 101 と 100 に設定されている場合、プライオリティの高いルータ B が仮想ルータ マスターになります。ルータ B とルータ C が両方ともプライオリティ 100 に設定されている場合、IP アドレスが高い方の仮想ルータ バックアップが選択されて仮想ルータ マスターになります。
デフォルトでは、プリエンプティブ スキームはイネーブルになっています。この場合、仮想ルータ マスターになるように選択されている仮想ルータ バックアップの中で、より高いプライオリティが設定されている仮想ルータ バックアップが仮想ルータ マスターになります。このプリエンプティブスキームを無効にするには、no vrrp preempt コマンドを使用します。プリエンプションがディセーブルになっている場合は、元の仮想ルータ マスターが回復して再びマスターになるまで、仮想ルータ マスターになるように選択されている仮想ルータ バックアップがマスターのロールを果たします。
仮想マスター ルータは、同じグループ内の他の VRRP ルータに VRRP アドバタイズメントを送信します。アドバタイズメントでは、仮想ルータ マスターのプライオリティとステートを伝えます。VRRP アドバタイズメントは IP パケットにカプセル化され、VRRP グループに割り当てられた IP バージョン 4 マルチキャスト アドレスに送信されます。アドバタイズメントは、デフォルトで 1 秒に 1 回送信されますが、この間隔は設定可能です。
RFC 3768 に従った VRRP プロトコルはミリ秒タイマーをサポートしていませんが、シスコ ルータではミリ秒タイマーを設定することができます。ミリ秒タイマー値は、プライマリ ルータとバックアップ ルータの両方に手動で設定する必要があります。バックアップルータ上の show vrrp コマンド出力に表示されるマスターアドバタイズメント値は、常に、1 秒です。これは、バックアップルータ上のパケットでミリ秒値が受け入れられないためです。
ミリ秒タイマーは、絶対に必要な場合以外は使用しないようにし、使用する場合は慎重な検討とテストが必要です。ミリ秒値は順境の下でしか機能しません。そのため、ミリ秒タイマー値の使用は、VRRP の動作をシスコ デバイスに限定することに注意する必要があります。
VRRP の動作のカスタマイズはオプションです。VRRP グループをイネーブルにするとすぐに、そのグループは動作を開始することに注意してください。VRRP をカスタマイズする前に VRRP グループをイネーブルにすると、ルータがグループの制御を引き継ぎ、機能のカスタマイズを完了する前に仮想ルータ マスターになることがあります。このため、VRRP をカスタマイズする場合には、カスタマイズを行ってから VRRP をイネーブルにすることを推奨します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
interface type number 例:
|
インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 |
ip address ip-address mask 例:
|
インターフェイスの IP アドレスを設定します。 |
ステップ 5 |
vrrp group description text 例:
|
VRRP グループに説明テキストを割り当てます。 |
ステップ 6 |
vrrp group priority level 例:
|
VRRP グループ内のルータのプライオリティ レベルを設定します。
|
ステップ 7 |
vrrp group preempt [delay minimum seconds] 例:
|
現在の仮想ルータ マスターよりも高いプライオリティが設定されている場合、VRRP グループの仮想ルータ マスターとして引き継ぐルータを指定します。
|
ステップ 8 |
vrrp group timers learn 例:
|
ルータが VRRP グループの仮想ルータ バックアップとして動作している場合、仮想ルータ マスターのアドバタイズ インターバルを学習するようにルータを設定します。 |
ステップ 9 |
exit 例:
|
インターフェイス コンフィギュレーション モードを終了します。 |
ステップ 10 |
no vrrp sso 例:
|
(任意)SSO の VRRP サポートをディセーブルにします。
|
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
interface type number 例:
|
インターフェイス コンフィギュレーション モードを開始します。 |
||
ステップ 4 |
ip address ip-address mask 例:
|
インターフェイスの IP アドレスを設定します。 |
||
ステップ 5 |
vrrp group ip ip-address [secondary] 例:
|
インターフェイスの VRRP をイネーブルにします。
|
||
ステップ 6 |
show vrrp [brief all] | interface] 例:
|
(任意)ルータ上の 1 つまたはすべての VRRP グループについて、簡潔または詳細なステータスを表示します。 |
||
ステップ 7 |
show vrrp interface type number [brief] 例:
|
(任意)指定インターフェイスの VRRP グループおよびそのステータスを表示します。 |
||
ステップ 8 |
end 例:
|
特権 EXEC モードに戻ります。 |
インターフェイスで VRRP グループを無効にすると、そのプロトコルを無効にできますが、設定は保持されます。この機能は、VRRP MIB、RFC 2787『Definitions of Managed Objects for the Virtual Router Redundancy Protocol』の導入とともに追加されました。
簡易ネットワーク管理プロトコル(SNMP)管理ツールを使用して、インターフェイスでの VRRP をイネーブルまたはディセーブルに設定できます。SNMP 管理機能により、vrrp shutdown コマンドが導入され、SNMP を使用して設定されたステートが VRRP のコマンド ライン インターフェイス(CLI)を通して表示されるようになりました。
show running-config コマンドを入力すると、VRRP グループが設定されているかどうか、および有効と無効のどちらに設定されているかをすぐに確認できます。これは、MIB 内でイネーブルされるのと同じ機能です。
このコマンドを no 形式で使用すると、MIB 内で実行される同じ動作が有効になります。SNMP インターフェイスを使用して vrrp shutdown コマンドを指定した場合、no vrrp shutdown コマンドを入力すると、VRRP グループが再び有効になります。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
interface type number 例:
|
インターフェイス コンフィギュレーション モードを開始します。 |
||
ステップ 4 |
ip address ip-address mask 例:
|
インターフェイスの IP アドレスを設定します。 |
||
ステップ 5 |
vrrp group shutdown 例:
|
インターフェイスの VRRP グループを無効にします。
|
RFC 2338 方式を実装したベンダーとの相互運用性は、有効ではありません。
どのような場合でも、テキスト認証を MD5 認証と組み合わせて VRRP グループに使用することはできません。MD5 認証が設定されている場合、受信側のルータの MD5 認証がイネーブルになっていれば、VRRP hello メッセージのテキスト認証フィールドは転送時にすべてゼロに設定され、受信時に無視されます。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
terminal interface type number 例:
|
インターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
ステップ 4 |
ip address ip-address mask [secondary] 例:
|
インターフェイスのプライマリ IP アドレスまたはセカンダリ IP アドレスを指定します。 |
||
ステップ 5 |
vrrp group authentication text text-string 例:
|
グループ内の他のルータから受信した VRRP パケットを認証します。
|
||
ステップ 6 |
vrrp group ip ip-address 例:
|
インターフェイス上で VRRP をイネーブルにし、仮想ルータのプライマリ IP アドレスを指定します。 |
||
ステップ 7 |
end 例:
|
特権 EXEC モードに戻ります。 |
Fhrp version vrrp v3
Int bdi< >
Vrrp 1 address-family ipv4
Priority 190
Preempt delay minimum 10
Address <ipv4-address> primary
次の例では、ルータ A とルータ B はそれぞれ 3 つの VRRP グループに属しています。
コンフィギュレーションにおいて、各グループのプロパティは次のとおりです。
Router(config)#
Router(config)# interface BDI <interface number>
Router(config-if)# ip address 10.1.0.2 255.0.0.0
Router(config-if)# vrrp 1 priority 120
Router(config-if)# vrrp 1 authentication text cisco
Router(config-if)# vrrp 1 timers advertise 3
Router(config-if)# vrrp 1 timers learn
Router(config-if)# vrrp 1 ip 10.1.0.10
Router(config-if)# vrrp 5 priority 100
Router(config-if)# vrrp 5 timers advertise 30
Router(config-if)# vrrp 5 timers learn
Router(config-if)# vrrp 5 ip 10.1.0.50
Router(config-if)# vrrp 100 timers learn
Router(config-if)# no vrrp 100 preempt
Router(config-if)# vrrp 100 ip 10.1.0.100
Router(config-if)# no shutdown
Router(config)# BDI <interface number>
Router(config-if)# ip address 10.1.0.1 255.0.0.0
Router(config-if)# vrrp 1 priority 100
Router(config-if)# vrrp 1 authentication text cisco
Router(config-if)# vrrp 1 timers advertise 3
Router(config-if)# vrrp 1 timers learn
Router(config-if)# vrrp 1 ip 10.1.0.10
Router(config-if)# vrrp 5 priority 200
Router(config-if)# vrrp 5 timers advertise 30
Router(config-if)# vrrp 5 timers learn
Router(config-if)# vrrp 5 ip 10.1.0.50
Router(config-if)# vrrp 100 timers learn
Router(config-if)# no vrrp 100 preempt
Router(config-if)# vrrp 100 ip 10.1.0.100
Router(config-if)# no shutdown
次に、テキスト ストリングを使用して VRRP テキスト認証を設定する例を示します。
Router(config)# BDI <interface number>
Router(config)# ip address 10.21.8.32 255.255.255.0
Router(config-if)# vrrp 10 authentication text stringxyz
Router(config-if)# vrrp 10 ip 10.21.8.10
次に、BDI インターフェイスではグループ 2 の VRRP を維持しながら、BDI インターフェイス上にある 1 つの VRRP グループを無効にする例を示します。
Router(config)# BDI <interface number>
Router(config-if)# ip address 10.24.1.1 255.255.255.0
Router(config-if)# vrrp 1 ip 10.24.1.254
Router(config-if)# vrrp 1 shutdown
Router(config-if)# exit
Router(config)# BDI <interface number>
Router(config-if)# ip address 10.168.42.1 255.255.255.0
Router(config-if)# vrrp 2 ip 10.168.42.254