CCNP ENCOR合格のための技術解説(FHRP)

CCNP

こんにちは、トラ男です。
CCNP ENCOR試験では以下の6つの大分類から出題されます。

  • デュアルスタック(IPv4 および IPv6)アーキテクチャ
  • 仮想化
  • インフラストラクチャ
  • ネットワークアシュアランス
  • セキュリティ
  • 自動化

今回はアーキテクチャ分野の技術知識(冗長性、FHRP、SSO などのハイ・アベイラビリティ機能)についてまとめていきたいと思います。

FHRP(First Hop Redundancy Protocol)

FHRPとはデフォルトゲートウェイの冗長化のためのプロトコルです。

ホストが自身のIPアドレスとは異なるセグメントに対して通信する時、自身に設定されたデフォルトゲートウェイ宛にIPパケットを送信しますが、ルータで障害が発生すると通信ができなくなってしまいます。FHRPは2台以上のルータを仮想的に1台のルータとすることでデフォルトゲートウェイの冗長化をします。

HSRP(Hot Standby Router Protocol)

Cisco独自のFHRPの規格です。アクティブルータとスタンバイルータが同一のVIP(仮想IP)を保持することでデフォルトゲートウェイの冗長化を可能にします。

マルチキャストのHelloパケットをアクティブルータとスタンバイルータの間でやり取りします。

アクティブルータで障害が発生した時、Helloパケットによって障害を検知したスタンバイルータは自身をアクティブルータに昇格し、デフォルトゲートウェイの機能を引き継ぐことでフォールトレランス(耐障害性)を提供します。

HSRPのバージョン

機能HSRPv1(デフォルト) HSRPv2        
Helloタイマーの間隔   ミリ秒
HSRPグループ番号0-2550-4095
仮想MACアドレス0000.0c07.acXX0000.0c9f.fXXX
Helloの宛先アドレス224.0.0.2224.0.0.102

タイマーのデフォルト値はHelloタイマーが3秒、Holdタイマーが10秒です。

HSRPv1の仮想MACアドレスは0000.0c07.acXXとなります。
XXはHSRPのグループ番号を16進数で表現したものとなります。

HSRPv2の仮想MACアドレスは0000.0c9f.fXXXとなります。
XXXはHSRPのグループ番号を16進数で表現したものとなります。

仮想MACアドレスが異なるので、HSRPのバージョンを変更するとHSRPは一度リセットされます。

HSRPの状態

HSRPステータス説明
Init(Initial)    初期状態。HSRPの設定直後やインターフェースがダウンの時など。
LearnルータにVIPが設定されておらず、アクティブルータからVirtual IP アドレスを学習しようとしている状態。
Listen他のHSRPルータからのHelloパケットを受信している状態。アクティブルータでもスタンバイルータでもない状態。ルータが3台以上の場合にはアクティブルータでもスタンバイルータでもないルータはこの状態のままとなる。
SpeakHSRPのHelloパケットを送信して、アクティブルータまたはスタンバイルータの選定に参加している状態。アクティブルータかスタンバイルータに選出されるまでこの状態のままとなる。
Standbyスタンバイルータ。定期的にHelloパケットを送信し、アクティブルータからのHelloパケットがHoldタイマーを過ぎても受信できなければActive状態に移行する。
Activeアクティブルータ。ホストから仮想IPアドレス宛に送信されたパケットをルーティングする。定期的にHelloパケットを送信する。

HSRPの設定例

2台のルータで以下のようにL3インターフェースに対してstandbyコマンドでHSRPの設定を行います。HSRPのプライオリティ値を設定することでアクティブルータを明示的に指定することができます。

RouterA#show run interface Vlan100
interface Vlan100
ip address 192.168.1.253 255.255.255.0(自身の実IPアドレス)
standby 1 ip 192.168.1.254(VIPのアドレス)
standby 1 priority 105(HSRPのプライオリティ値:デフォルトは100)
standby 1 preempt(プリエンプトの有効化)

RouterB#show run interface Vlan100
interface Vlan100
ip address 192.168.1.252 255.255.255.0(自身の実IPアドレス)
standby 1 ip 192.168.1.254(VIPのアドレス)

上記の設定の場合、RouterAがHSRPのプライオリティ値が105でRouterBのプライオリティ値がデフォルトの100になるので、プライオリティ値の大きいRouterAがアクティブルータとなります。
またプリエンプトを有効化することでRouterAが障害から復旧するとプライオリティ値に基づいて再びアクティブルータに昇格するようになります。

なおPCに設定するデフォルトゲートウェイのIPアドレスはVIPとなります。

MHSRP(Multigroup HSRP)

通常のHSRPではアクティブルータに通信が偏ってしまいます。そのためMHSRPによって負荷分散(ロードバランシング)することがあります。
具体的にはHSRPのグループを複数設定してアクティブルータを分散させたり、VLANごとにアクティブルータを別にすることで実現します。

MHSRPの設定例

さきほどの設定に新たにHSRPグループ2をRouterBをアクティブルータとして設定することで、MHSRPを実現します。

RouterA#show run interface Vlan100
interface Vlan100
ip address 192.168.1.253 255.255.255.0
standby 1 ip 192.168.1.254
standby 1 priority 105
standby 1 preempt
standby 2 ip 192.168.1.1

RouterB#show run interface Vlan100
interface Vlan100
ip address 192.168.1.252 255.255.255.0
standby 1 ip 192.168.1.254
standby 2 ip 192.168.1.1
standby 2 priority 105
standby 2 preempt

この場合、デフォルトゲートウェイは192.168.1.254と192.168.1.1の2つとなります。PCは192.168.1.254をDHCPで配布、サーバやプリンタなどは192.168.1.1を固定で設定するなどしてロードバランシングをはかります。

HSRP認証

意図しないルータや不正なルータがHSRPグループに参加することを防ぐためにHSRP認証を設定することができます。
認証には平文認証とMD5認証の2種類があります。

(config-if)#standby GROUP_NUM authentication text AUTH_KEY

平文認証の場合は上記設定を実施します。

(config-if)#standby GROUP_NUM authentication md5 key-string AUTH_KEY

MD5認証の場合は上記設定を実施します。
大文字小文字を識別するのでHSRP認証を設定それぞれのルータで同じキーを設定します。

MD5認証の場合はkey-chainコマンドを使用して、キーチェーンを使用することもできます。

(config)#key chain KEY_CHAIN_NAME
(config-keychain)#key KEY_ID
(config-keychain-key)#key-string AUTH_KEY

(config-if)#standby GROUP_NUM authentication md5 key-chain KEY_CHAIN_NAME

VRRP(Virtual Router Redundancy Protocol)

IETF標準プロトコルでマルチベンダー環境で実装可能です。マスタールータとバックアップルータが同一のVIPを保持することでデフォルトゲートウェイの冗長化を可能にします。HSRP同様にプライオリティ値が大きいルータがマスタールータに選出されます。

マルチキャストのVRRPアドバタイズメント(224.0.0.18)をマスタールータとバックアップルータの間でやり取りします。なおVRRPアドバタイズメントはTTL値255で送信され、受信したVRRPパケットのTTL値が255未満だった場合は不正なパケットとして破棄されるようになっています。

VRRPでは実IPアドレスを仮想ルータのIPアドレス(VIP)として使用することもできます。
仮想MACアドレスは0000.5e00.01XXで、HSRPと同様にXXにはVRRPのグループ番号が入ります。

VRRPv3ではIPv6もサポートします。

GLBP(GatewayLoadBalancingProtocol)

Cisco独自のゲートウェイ冗長プロトコルです。HSRPやVRRPとは異なり1つのグループでロードバランシングが可能です。

GLBPでは、1つのVIPに複数の仮想MACアドレスをARP応答で返すことで負荷分散を実現します。
そのため全てのホストで同一のデフォルトゲートウェイを指定しながらも負荷分散が可能です。
MHSRPのようにホスト毎にデフォルトゲートウェイのIPアドレスを変えることなく冗長性と負荷分散を実現することができます。

GLBPではプライオリティ値が最も大きいルータをAVG(ActiveVirtualGateway)として選出します。AVGはARP応答とAVF(ActiveVirtualForwarder)への仮想MACアドレスの自動割当などGLBPグループの管理を行います。
AVGに障害が発生した場合、GLBPグループ内のその他のAVFルータがAVGになります。
AVFは最大4台でAVGとともにパケットの転送を担います。

またHSRP、VRRP,GLBPともにプレーン認証とMD5認証をサポートしています。

今回はここまでとなります。続けてCCNP ENCORアーキテクチャ分野に関してまとめていきたいと思います。

第7回はこちら

コメント

タイトルとURLをコピーしました