ホットスタンバイ ルータ プロトコル(HSRP)

表 1. 機能の履歴

機能名

リリース情報

説明

Cisco IOS XE SD-WAN デバイス での HSRP および HSRP 認証のサポート

Cisco IOS XE リリース 17.7.1a

Cisco vManage リリース 20.7.1

Cisco SD-WAN リリース 20.7.1

この機能により、CLI テンプレートを介して Cisco IOS XE SD-WAN プラットフォームで HSRPv2 および HSRP 認証を設定できます。HSRP は、プロトコルと認証のバージョン 2 をサポートする、長年にわたるシスコ独自の First Hop Redundancy Protocol(FHRP)です。

HSRP に関する情報

Hot Standby Router Protocol(HSRP)は、ファーストホップ IP デバイスのフェールオーバーを透過的に実行できるように作成された First Hop Redundancy Protocol(FHRP)です。デフォルト ゲートウェイの IP アドレスが設定されたネットワーク上の IP ホストにファーストホップのルーティング冗長性を確保することによって、高いネットワーク アベイラビリティを提供します。ルータグループ内のアクティブデバイスとスタンバイデバイスを識別する場合は、HSRP を使用します。デバイスインターフェイスのグループでは、アクティブデバイスは、パケットをルーティングするために選択されるデバイスです。スタンバイデバイスはアクティブデバイスで障害が発生するか、事前設定された条件が満たされた場合に処理を引き継ぐデバイスです。

複数のホットスタンバイグループをインターフェイスに設定できるので、冗長デバイスおよびロードシェアリングを最大限に活用できるようになっています。

次の図に、HSRP 用に設定されたネットワークのセグメントを示します。仮想 MAC アドレスおよび IP アドレスを共有することによって、複数台のデバイスが 1 台の仮想ルータとして機能します。仮想デバイスは、互いのバックアップになるように設定されている複数のデバイスの共有のデフォルトゲートウェイになります。アクティブデバイスの IP アドレスを使用して、LAN 上でホストを設定する必要はありません。その代わりに、仮想デバイスの IP アドレス(仮想 IP アドレス)をデフォルトゲートウェイとして使用して設定できます。設定した時間内にアクティブデバイスが hello メッセージを送信できない場合、スタンバイデバイスが処理を引き継いで仮想アドレスに対応するアクティブデバイスになり、アクティブデバイスの役割を引き受けます。

図 1. HSRP のトポロジ

HSRP バージョン 2 のサポート

HSRP バージョン 2(HSRPv2)の機能は次のとおりです。

  • HSRPv2 では、ミリ秒のタイマー値がアドバタイズおよび検出されます。この変更により、あらゆる状況での HSRP グループの安定性が確保されています。

  • HSRPv2 では、グループ番号の範囲が 0 ~ 4095 に拡張されています。

  • HSRPv2 では、管理性とトラブルシューティング機能が向上しています。HSRPv2 のパケット形式には、メッセージの送信元を一意に特定するための 6 バイトの識別子フィールドが組み込まれています。通常は、インターフェイスの MAC アドレスがこのフィールドに格納されます。

  • HSRPv2 は 224.0.0.102 の IP マルチキャストアドレスを使用して hello パケットを送信します。このマルチキャストアドレスにより、シスコ グループ管理プロトコル(CGMP)の脱退処理を HSRP と同時に有効にできます。

  • HSRPv2 のパケット形式は、Type-Length-Value(TLV)を使用する別の形式です。

HSRP MD5 認証

HSRP では、プロトコルパケット認証に単純なプレーンテキスト文字列と Message Digest 5(MD5)スキームを使用できます。HSRP MD5 認証は、マルチキャスト HSRP プロトコルパケットの HSRP 部分の MD5 ダイジェストを生成する、拡張タイプの認証方式です。この機能により、セキュリティが強化され、HSRP スプーフィング ソフトウェアの脅威に対する保護が得られます。

MD5 認証を使用すると、別のプレーン テキスト認証方式よりもセキュリティを強化できます。HSRP グループの各メンバーは秘密キーを使用して、発信パケットの一部となるキー付き MD5 ハッシュを生成できます。着信パケットのキー付きハッシュが生成され、着信パケット内のハッシュが生成されたハッシュに一致しない場合、そのパケットは無視されます。

MD5 ハッシュのキーは、キー ストリングを使用して設定で直接指定するか、またはキー チェーンを使用して間接的に指定できます。

HSRP パケットが拒否されるのは、次のいずれかの場合です。

  • 認証方式がデバイスと着信パケットの間で異なっている。

  • MD5 ダイジェストがデバイスと着信パケットで異なる。

  • テキスト認証文字列がデバイスと着信パケットで異なる。

HSRP のオブジェクト トラッキング

オブジェクトトラッキングにより、HSRP からトラッキングメカニズムが分離され、他のプロセスおよび HSRP で使用可能な独立したトラッキングプロセスが別に生成されます。デバイスがオブジェクトトラッキング対応として設定されていて、トラッキング対象のオブジェクトがダウンした場合、デバイスの優先順位はダイナミックに変更されます。トラッキング可能なオブジェクトには、インターフェイスのライン プロトコル ステートや IP ルートの到達可能性などがあります。指定したオブジェクトがダウンすると、HSRP プライオリティが引き下げられます。

HSRP 静的 NAT 冗長性の概要

Cisco IOS XE リリース 17.9.1a リリース以降、HSRP 静的 NAT 冗長性は Cisco IOS XE SD-WAN でサポートされます。HSRP で静的マッピングがサポートされるため、NAT アドレスが設定されたアクティブルータで着信 ARP に応答できます。この機能により、以前のアクティブルータからの ARP エントリがタイムアウトするのを待たずに、HSRP アクティブルータからスタンバイルータにフェールオーバーするトラフィックで NAT の冗長性を利用できます。

静的 NAT 設定はアクティブルータとスタンバイルータでミラーリングされ、アクティブルータがトラフィックを処理します。

ルータには仮想 IP アドレスが割り当てられます。エッジデバイスは、仮想 IP アドレスにトラフィックを送信し、そのトラフィックはアクティブルータによって処理されます。スタンバイルータはアクティブルータをモニタリングします。フェールオーバーが発生すると、新しい HSRP アクティブエッジルータは、ARP がタイムアウトするのを待たずに、静的 NAT マッピングの所有権を自動的に再開します。静的 NAT マッピングエントリの Gratuitous ARP を送信して、同じ LAN セグメント内の独自の MAC アドレスを持つようにデバイスを更新します。


(注)  

HSRP NAT 冗長構成では、静的 NAT のみがサポートされます。

アクティブルータとスタンバイルータで次のタスクを実行し、HSRP に NAT の静的マッピングを設定します。

  • 送信元と宛先の NAT が機能していることを確認します。

  • NAT インターフェイスの HSRP を有効にします。

  • HSRP 冗長性グループ名を設定します。

  • 設定されている HSRP 冗長性グループ名を参照して、アクティブエッジとスタンバイエッジの両方で静的 NAT マッピングを手動で設定します。

HSRP 環境の高可用性で静的 NAT 冗長性を有効にする場合は、「Static NAT mapping support with HSRP」を参照してください。

HSRP の利点

  • 冗長性:HSRP には、実績があり、大規模ネットワークで広範に導入されている冗長性方式が採用されています。

  • 高速なフェールオーバー:HSRP はファーストホップデバイスの透過的な高速フェールオーバーを提供します。

  • プリエンプション:プリエンプションにより、スタンバイデバイスがアクティブになるのを一定時間遅らせることができます(この時間は設定可能です)。

  • 認証:HSRP の MD5 アルゴリズム認証は、HSRP スプーフィングソフトウェアからの保護に対応し、業界標準の MD5 アルゴリズムを使用して信頼性とセキュリティを向上させます。

HSRP でサポートされるデバイス

Cisco Catalyst 8500 シリーズ エッジ プラットフォーム

Cisco Catalyst 8300 シリーズ エッジ プラットフォーム

Cisco Catalyst 8200 シリーズ エッジ プラットフォーム

Cisco Catalyst 8200 uCPE シリーズ エッジ プラットフォーム

Cisco ASR 1000 シリーズ アグリゲーション サービス ルータ

Cisco ISR 1000 および ISR 4000 シリーズ サービス統合型ルータ(ISR)

Cisco ISR 1100 および ISR 1100X シリーズ サービス統合型ルータ(ISR)

Cisco IR1101 耐環境性能 サービス統合型ルータ

Cisco Catalyst 8000v シリーズ クラウドサービスルータ

これらの各デバイスファミリでサポートされるモデルの詳細については、「Cisco SD-WAN Device Compatibility」のページを参照してください。

CLI を使用した HSRP の設定

Cisco vManage CLI アドオン機能テンプレートおよび CLI デバイステンプレートを使用して、HSRP を設定できます。CLI テンプレートを使用した構成の詳細については、「CLI テンプレート」を参照してください。


(注)  

次のコマンドはどの順序で実行してもかまいません。

次のリストに、Cisco IOS XE SD-WAN デバイス での HSRP 設定に関する情報を示します。

  • HSRP を有効にします。

    HSRP グループの番号および仮想 IP アドレスを使用して、IPv4 で HSRP グループを作成(または有効に)します。

    Device(config)# interface interface-type
Device(config-if)# standby group-number ip [ip-address [secondary]]

    IPv6 の HSRP をアクティブにします。

    Device(config)# interface interface-type
Device(config-if)# standby group-number ipv6 {link-local-address | autoconfig }

  • バージョン 2 に変更します。

    HSRP バージョンを変更します。インターフェイスに IPv6 グループがある場合、nostandby または nostandby version 2 コマンドは拒否されることに注意してください。


    (注)  

    インターフェイスに IPv6 グループがある場合、nostandby または nostandby version 2 コマンドは拒否されます。 

    Device(config)# interface interface-type
Device(config-if)# standby version {1|2}

  • HSRP のプライオリティとプリエンプションを設定します。

    アクティブルータの選択に使用されるプライオリティ値を設定し、HSRP プリエンプションとプリエンプション遅延を設定します。

    Device(config)# interface interface-type
Device(config-if)# standby group-number ip [ip-address [secondary]]
Device(config-if)# standby group-number priority [priority]
Device(config-if)# standby group-number preempt [ delay{ [ minimum seconds] [ reload seconds] [ sync seconds]}]

  • HSRP 認証を設定します。

    キーチェーンを使用した HSRP MD5 認証を設定します。

    キー チェーンを使用すると、キー チェーン設定に従って異なる時点で異なるキー ストリングを使用できます。HSRP は、適切なキーチェーンを照会して、指定されたキーチェーンの現在アクティブなキーとキー ID を取得します。

    Device(config)# interface interface-type
Device(config-if)# ip address ip-address mask [secondary ]
Device(config-if)# standby group-number priority [priority]
Device(config-if)# standby group-number preempt [ delay{ [ minimum seconds] [ reload seconds] [ sync seconds]}]
Device(config-if)# standby group-number authentication md5 key-chain key-chain-name
Device(config-if)# standby group-number ip [ip-address [secondary]]

    HSRP テキスト認証を設定します。

    認証文字列には 8 文字までを指定できます。デフォルトの文字列は Cisco です。

    Device(config)# interface interface-type
Device(config-if)# ip address ip-address mask [secondary ]
Device(config-if)# standby group-number priority [priority]
Device(config-if)# standby group-number preempt [ delay{ [ minimum seconds] [ reload seconds] [ sync seconds]}]
Device(config-if)# standby group-number authentication text string
Device(config-if)# standby group-number ip [ip-address [secondary]]

  • HSRP タイマーを設定します。

    hello パケット間隔、およびアクティブルータを非アクティブであると他のルータが宣言するまでの時間を設定します。

    Device(config)# interface interface-type
Device(config-if)# standby group-number ip [ip-address [secondary]]
Device(config-if)# standby group-number timers hellotime holdtime

  • HSRP オブジェクトトラッキングを設定します。

    オブジェクトを追跡し、オブジェクトの状態に基づいて HSRP のプライオリティを変更するように HSRP を設定します。

    Device(config)# interface interface-type
Device(config-if)# standby group-number track object-number [decrement priority-decrement] [shutdown]

  • HSRP 複数グループ最適化により CPU およびネットワークのパフォーマンスを向上します。

    HSRP グループをクライアントグループとして設定します。

    Device(config)# interface interface-type
Device(config-if)# standby group-number follow group-name

    HSRP クライアントグループの更新間隔を設定します。

    Device(config)# interface interface-type
Device(config-if)# standby group-number mac-refresh seconds

  • HSRP の仮想 MAC アドレスを設定します。

    HSRP の仮想 MAC アドレスを指定します。

    Device(config)# interface interface-type
Device(config-if)# standby group-number mac-address mac-address

  • HSRP グループへ IP 冗長性クライアントをリンクします。

    スタンバイグループ名を設定します。


    (注)  

    Cisco IOS XE リリース 17.9.1a 以降、HSRP を使用した静的 NAT マッピング設定がサポートされます。冗長性命名規則にはスペースは含まれません。standby group-number name[redundancy-name] コマンドを設定するときは、スペースを含む冗長名を使用しないことをお勧めします。 

    Device(config)# interface interface-type
Device(config-if)# standby group-number name [redundancy-name]

次に、CLI を使用した Cisco IOS XE SD-WAN デバイスでの HSRP の完全な設定例を示します。 


config-transaction
!
    interface GigabitEthernet0/0/1.94
    encapsulation dot1Q 94
    vrf forwarding 509
    ip address 10.96.194.2 255.255.255.0
    ip directed-broadcast
    ip mtu 1500
    ip nbar protocol-discovery
    standby version 2
    standby 1 preempt
    standby 94 ip 10.96.194.1
    standby 94 timers 1 4
    standby 94 priority 110
    standby 94 preempt delay minimum 180
    standby 94 authentication md5 key-string 7 094F471A1A0A
    standby 94 track 8 shutdown
    standby 194 ipv6 2001:10:96:194::1/64
    standby 194 timers 1 4
    standby 194 priority 110
    standby 194 preempt delay minimum 180
    standby 194 authentication md5 key-string 7 094F471A1A0A
    standby 194 track 80 shutdown
    ip policy route-map clear-df
    ipv6 address 2001:10:96:194::2/64
    ipv6 mtu 1500
    arp timeout 1200
    end

CLI を使用した HSRP 設定の確認

次に、スタンバイルータの情報を表示する show standby コマンドの出力例を示します。 

Device# show standby
GigabitEthernet0/0/1.94 - Group 94 (version 2)
  State is Standby
    1 state change, last state change 01:06:09
    Track object 8 state Up
  Virtual IP address is 10.96.194.1
  Active virtual MAC address is 0000.0c9f.f05e (MAC Not In Use)
    Local virtual MAC address is 0000.0c9f.f05e (v2 default)
  Hello time 1 sec, hold time 4 sec
    Next hello sent in 0.688 secs
  Authentication MD5, key-string
  Preemption enabled, delay min 180 secs
  Active router is 10.96.194.2, priority 110 (expires in 4.272 sec)
    MAC address is cc16.7e8c.6dd1
  Standby router is local
  Priority 105 (configured 105)
  Group name is "hsrp-Gi0/0/1.94-94" (default)
  FLAGS: 0/1
GigabitEthernet0/0/1.94 - Group 194 (version 2)
  State is Standby
    1 state change, last state change 01:06:07
    Track object 80 state Up
  Link-Local Virtual IPv6 address is FE80::5:73FF:FEA0:C2 (impl auto EUI64)
    Virtual IPv6 address 2001:10:96:194::1/64
  Active virtual MAC address is 0005.73a0.00c2 (MAC Not In Use)
    Local virtual MAC address is 0005.73a0.00c2 (v2 IPv6 default)
  Hello time 1 sec, hold time 4 sec
    Next hello sent in 0.480 secs
  Authentication MD5, key-string
  Preemption enabled, delay min 180 secs
  Active router is FE80::CE16:7EFF:FE8C:6DD1, priority 110 (expires in 4.032 sec)
    MAC address is cc16.7e8c.6dd1
  Standby router is local
  Priority 105 (configured 105)
  Group name is "hsrp-Gi0/0/1.94-194" (default)
  FLAGS: 0/1

次に、HSRP バージョン 2 が設定されている場合に HSRP バージョン 2 の情報を表示する show standby コマンドの出力例を示します。 

Device# show standby
Ethernet0/1 - Group 1 (version 2)
  State is Speak
  Virtual IP address is 10.21.0.10
  Active virtual MAC address is unknown
   Local virtual MAC address is 0000.0c9f.f001 (v2 default)
  Hello time 3 sec, hold time 10 sec
   Next hello sent in 1.804 secs
  Preemption enabled
  Active router is unknown
  Standby router is unknown
  Priority 20 (configured 20)
  Group name is "hsrp-Et0/1-1" (default)
Ethernet0/2 - Group 1
  State is Speak
  Virtual IP address is 10.22.0.10
  Active virtual MAC address is unknown
    Local virtual MAC address is 0000.0c07.ac01 (v1 default)
  Hello time 3 sec, hold time 10 sec
    Next hello sent in 1.804 secs
  Preemption disabled
  Active router is unknown
  Standby router is unknown
  Priority 90 (default 100)
    Track interface Serial2/0 state Down decrement 10
  Group name is "hsrp-Et0/2-1" (default)

次に、HSRP MD5 認証が設定されている場合に HSRP 認証情報を表示する show standby コマンドの出力例を示します。 

Device# show standby
Ethernet0/1 - Group 1
  State is Active
    5 state changes, last state change 00:17:27
  Virtual IP address is 10.21.0.10
  Active virtual MAC address is 0000.0c07.ac01
    Local virtual MAC address is 0000.0c07.ac01 (default)
  Hello time 3 sec, hold time 10 sec
    Next hello sent in 2.276 secs
  Authentication MD5, key-string, timeout 30 secs
  Preemption enabled
  Active router is local
  Standby router is unknown
  Priority 110 (configured 110)
  Group name is "hsrp-Et0/1-1" (default)

次に、特定のインターフェイスの HSRP 情報を表示する show standby brief コマンドの出力例を示します。 

Device# show standby brief
Interface   Grp  Pri P State   Active                    Standby   Virtual IP
Gi0/0/1.94  94   105 P Standby 10.96.194.2                 local    10.96.194.1
Gi0/0/1.94  194  105 P Standby FE80::CE16:7EFF:FE8C:6DD1   local    FE80::5:73FF:FEA0:C2

次に、イーサネット インターフェイス 0/0 の HSRP ネイバーを表示する show standby neighbors コマンドの出力例を示します。ネイバー 10.0.0.250 は、グループ 2 に対してアクティブ、グループ 1 および 8 に対してスタンバイであり、BFD に登録されています。 

Device# show standby neighbors Ethernet0/0
HSRP neighbors on Ethernet0/0
  10.0.0.250
    Active groups: 2
    Standby groups: 1, 8
    BFD enabled
  10.0.0.251
    Active groups: 5, 8
    Standby groups: 2
    BFD enabled
  10.0.0.253
    No Active groups
    No Standby groups
    BFD enabled

次に、すべての HSRP ネイバーの情報を表示する show standby neighbors コマンドの出力例を示します。 

Device# show standby neighbors
HSRP neighbors on FastEthernet2/0
  10.0.0.2
    No active groups
    Standby groups: 1
    BFD enabled
HSRP neighbors on FastEthernet2/0
  10.0.0.1
    Active groups: 1
    No standby groups
    BFD enabled