CCNP ENCOR合格のための技術解説（FHRP）

こんにちは、トラ男です。
CCNP ENCOR試験では以下の6つの大分類から出題されます。

• デュアルスタック（IPv4 および IPv6）アーキテクチャ
• 仮想化
• インフラストラクチャ
• ネットワークアシュアランス
• セキュリティ
• 自動化

今回はアーキテクチャ分野の技術知識（冗長性、FHRP、SSO などのハイ・アベイラビリティ機能）についてまとめていきたいと思います。

FHRP（First Hop Redundancy Protocol）

FHRPとはデフォルトゲートウェイの冗長化のためのプロトコルです。

ホストが自身のIPアドレスとは異なるセグメントに対して通信する時、自身に設定されたデフォルトゲートウェイ宛にIPパケットを送信しますが、ルータで障害が発生すると通信ができなくなってしまいます。FHRPは2台以上のルータを仮想的に1台のルータとすることでデフォルトゲートウェイの冗長化をします。

HSRP（Hot Standby Router Protocol）

Cisco独自のFHRPの規格です。アクティブルータとスタンバイルータが同一のVIP（仮想IP）を保持することでデフォルトゲートウェイの冗長化を可能にします。

マルチキャストのHelloパケットをアクティブルータとスタンバイルータの間でやり取りします。

アクティブルータで障害が発生した時、Helloパケットによって障害を検知したスタンバイルータは自身をアクティブルータに昇格し、デフォルトゲートウェイの機能を引き継ぐことでフォールトレランス（耐障害性）を提供します。

HSRPのバージョン

機能	HSRPv1（デフォルト）	HSRPv2
Helloタイマーの間隔	秒	ミリ秒
HSRPグループ番号	0-255	0-4095
仮想MACアドレス	0000.0c07.acXX	0000.0c9f.fXXX
Helloの宛先アドレス	224.0.0.2	224.0.0.102

タイマーのデフォルト値はHelloタイマーが3秒、Holdタイマーが10秒です。

HSRPv1の仮想MACアドレスは0000.0c07.acXXとなります。
XXはHSRPのグループ番号を16進数で表現したものとなります。

HSRPv2の仮想MACアドレスは0000.0c9f.fXXXとなります。
XXXはHSRPのグループ番号を16進数で表現したものとなります。

仮想MACアドレスが異なるので、HSRPのバージョンを変更するとHSRPは一度リセットされます。

HSRPの状態

HSRPステータス	説明
Init（Initial）	初期状態。HSRPの設定直後やインターフェースがダウンの時など。
Learn	ルータにVIPが設定されておらず、アクティブルータからVirtual IP アドレスを学習しようとしている状態。
Listen	他のHSRPルータからのHelloパケットを受信している状態。アクティブルータでもスタンバイルータでもない状態。ルータが3台以上の場合にはアクティブルータでもスタンバイルータでもないルータはこの状態のままとなる。
Speak	HSRPのHelloパケットを送信して、アクティブルータまたはスタンバイルータの選定に参加している状態。アクティブルータかスタンバイルータに選出されるまでこの状態のままとなる。
Standby	スタンバイルータ。定期的にHelloパケットを送信し、アクティブルータからのHelloパケットがHoldタイマーを過ぎても受信できなければActive状態に移行する。
Active	アクティブルータ。ホストから仮想IPアドレス宛に送信されたパケットをルーティングする。定期的にHelloパケットを送信する。

HSRPの設定例

2台のルータで以下のようにL3インターフェースに対してstandbyコマンドでHSRPの設定を行います。HSRPのプライオリティ値を設定することでアクティブルータを明示的に指定することができます。

上記の設定の場合、RouterAがHSRPのプライオリティ値が105でRouterBのプライオリティ値がデフォルトの100になるので、プライオリティ値の大きいRouterAがアクティブルータとなります。
またプリエンプトを有効化することでRouterAが障害から復旧するとプライオリティ値に基づいて再びアクティブルータに昇格するようになります。

なおPCに設定するデフォルトゲートウェイのIPアドレスはVIPとなります。

MHSRP（Multigroup HSRP）

通常のHSRPではアクティブルータに通信が偏ってしまいます。そのためMHSRPによって負荷分散（ロードバランシング）することがあります。
具体的にはHSRPのグループを複数設定してアクティブルータを分散させたり、VLANごとにアクティブルータを別にすることで実現します。

MHSRPの設定例

さきほどの設定に新たにHSRPグループ2をRouterBをアクティブルータとして設定することで、MHSRPを実現します。

この場合、デフォルトゲートウェイは192.168.1.254と192.168.1.1の2つとなります。PCは192.168.1.254をDHCPで配布、サーバやプリンタなどは192.168.1.1を固定で設定するなどしてロードバランシングをはかります。

HSRP認証

意図しないルータや不正なルータがHSRPグループに参加することを防ぐためにHSRP認証を設定することができます。
認証には平文認証とMD5認証の2種類があります。

平文認証の場合は上記設定を実施します。

MD5認証の場合は上記設定を実施します。
大文字小文字を識別するのでHSRP認証を設定それぞれのルータで同じキーを設定します。

MD5認証の場合はkey-chainコマンドを使用して、キーチェーンを使用することもできます。

VRRP（Virtual Router Redundancy Protocol）

IETF標準プロトコルでマルチベンダー環境で実装可能です。マスタールータとバックアップルータが同一のVIPを保持することでデフォルトゲートウェイの冗長化を可能にします。HSRP同様にプライオリティ値が大きいルータがマスタールータに選出されます。

マルチキャストのVRRPアドバタイズメント（224.0.0.18）をマスタールータとバックアップルータの間でやり取りします。なおVRRPアドバタイズメントはTTL値255で送信され、受信したVRRPパケットのTTL値が255未満だった場合は不正なパケットとして破棄されるようになっています。

VRRPでは実IPアドレスを仮想ルータのIPアドレス（VIP）として使用することもできます。
仮想MACアドレスは0000.5e00.01XXで、HSRPと同様にXXにはVRRPのグループ番号が入ります。

VRRPv3ではIPv6もサポートします。

GLBP（GatewayLoadBalancingProtocol）

Cisco独自のゲートウェイ冗長プロトコルです。HSRPやVRRPとは異なり1つのグループでロードバランシングが可能です。

GLBPでは、1つのVIPに複数の仮想MACアドレスをARP応答で返すことで負荷分散を実現します。
そのため全てのホストで同一のデフォルトゲートウェイを指定しながらも負荷分散が可能です。
MHSRPのようにホスト毎にデフォルトゲートウェイのIPアドレスを変えることなく冗長性と負荷分散を実現することができます。

GLBPではプライオリティ値が最も大きいルータをAVG（ActiveVirtualGateway）として選出します。AVGはARP応答とAVF（ActiveVirtualForwarder）への仮想MACアドレスの自動割当などGLBPグループの管理を行います。
AVGに障害が発生した場合、GLBPグループ内のその他のAVFルータがAVGになります。
AVFは最大4台でAVGとともにパケットの転送を担います。

またHSRP、VRRP，GLBPともにプレーン認証とMD5認証をサポートしています。

今回はここまでとなります。続けてCCNP ENCORアーキテクチャ分野に関してまとめていきたいと思います。

第7回はこちら。