【Cisco】 ルータの冗長構成
ルータの冗長化
単一障害点 (SPOF) を排除することができ、システムの信頼性を向上させる。
具体的には、2台のルータを冗長化構成として設定し、仮想IPアドレス (VIP) を設定。1台のルータがアクティブ状態として動作し、もう1台のルータがスタンバイ状態として待機する。アクティブ状態のルータに障害が発生した場合、スタンバイ状態のルータが自動的にアクティブに昇格する。そのほかにもルータがあった場合は、Listen状態となり、受信のみ行うモードになる。
設定例
冗長化のプロトコル
VRRP(Virtual Router Redundancy Protocol)
複数のルーター間で1つの仮想IPアドレスを共有するために使用されるプロトコル。1つのルーターが障害を起こした場合、他のルーターが仮想IPアドレスを引き継いで、サービスを継続する。
HSRP(Hot Standby Router Protocol)
Cisco独自のプロトコル。VRRPと同様に、複数のルーター間で1つの仮想IPアドレスを共有するために使用。1つのルーターが障害を起こした場合、他のルーターが仮想IPアドレスを引き継いで、サービスを継続する。バージョン1と2がある。
GLBP(Gateway Load Balancing Protocol)
Cisco独自のプロトコル。複数のルーター間で1つの仮想IPアドレスを共有し、負荷分散を行うために使用。各ルーターは、仮想IPアドレスに対して異なる仮想MACアドレスを割り当て、トラフィックを負荷分散する。
NSF(Non-Stop Forwarding)
ルーターの再起動中にも転送が継続されるようにするために使用。NSFには、ルーターの再起動時にも転送を継続するためのNSF-awareプロトコルが必要。
SSO(Stateful Switchover)
冗長ルーター間でのステート情報の同期を行い、シームレスなフェイルオーバーを実現するために使用。SSOには、SSO-awareプロトコルが必要。
HSRP
仮想IPアドレス
クライアントからのトラフィックの宛先として使用されるため、ネットワーク上で一意である必要がある。
仮想MACアドレス
HSRPグループ内で一意である必要があり、1つの仮想MACアドレスが割り当てられるが、この仮想MACアドレスは、HSRPグループ内でアクティブなルーターのみが使用できる。
MACアドレスは表示の仕方に決まりがあり、「0000.0c07.acXX」と表示される。acまでがデフォルトで、XX の部分が、VRRPグループIDを16進数で表現したもの。例えば、VRRPグループIDが 10 の場合は、XX は 0a と表示される。
アクティブルータ
仮想ルーターインターフェースであり、仮想IPアドレスの送信先となる。つまり、実際にパケットを転送するルーター。
ルーター間で優先度を設定することができ、優先度の高いルーターがアクティブルータとなり、優先度は0〜255で設定できデフォルトでは100になっている。優先度が同じであればインターフェイスのIPアドレスの1番大きいルータがアクティブになる。
スタンバイルータ
アクティブルータの次に高い優先度を持つルーターであり、アクティブルータに問題が発生した場合にアクティブルータの役割を引き継ぐ。
優先度が同じであればインターフェイスのIPアドレスの1番大きいルータがスタンバイになる。
Helloパケット
冗長化プロトコルで使用され、冗長化プロトコルを実装するデバイス間で通信を確立する。パケットには、優先度、グループID、仮想IPアドレス、MACアドレスなどの情報が含まれており、これらを基にアクティブとスタンバイが決定される。送信間隔はデフォルトで3秒。
決定後はお互いのみでパケットのやり取りを行い、スタンバイはアクティブからのパケットを10秒受け取らなければダウンしたと判断して、アクティブルータになりかわる。
この時、アクティブになったルータはgratuitous ARPを流すことで、同じネットワーク上の他のデバイスに自分自身のIPアドレスとMACアドレスの関連を通知するためルータが切り替わっても通信が可能になる。
プリエンプト
プライオリティが大きいルータを常にアクティブルータとする機能。ダウンしたルータが復帰したとしても、アクティブルータはダウンしない限り切り替わらないため、そういった事象を防ぐ。
インターフェイストラッキング
指定したインターフェイスが正常に動作しているかどうかを監視し、動作していない場合に自動的にルーターのプライオリティを下げることで通信を維持する仕組み。通信がルータに届いていたとしても、その先で通信ができていないと意味がないため、外につながるインターフェイスを監視する。
プリエンプトを設定していないと切り替わらないので注意が必要。
認証機能
認証キーが一致しない場合や他のノードが同じグループ番号を使用して、HSRPパケットを送信することができなくなるため、セキュリティが向上。HSRPの認証には、パスワードによるプレーンテキスト認証と、MD5ハッシュ値による認証がある。
負荷分散
MHSRP (Multiple HSRP) は、複数の HSRP グループを構成し、それぞれが異なる優先度を持つように設定する。これにより、アクティブルータになりつつも他のグループに所属することでスタンバイとしても見なすことができるようになる。
例えば、複数の HSRP グループごとに対応するIPアドレスを設定し、優先度を変えることでPCやVLANごとに通信を行うルータを変えることができる。
GLBP
仮想ルーターグループを使用して、複数のルーターによる負荷分散を提供。その他の動作はHSRPと変わらない。
ルーターの仮想IPアドレスは1つだが、最大4つの仮想MACアドレス(AVF(Active Virtual Forwarder)を使用してトラフィックを分散し、異なるメンバーによって提供される異なる仮想MACアドレスに対してロードバランシングを実行する。
AGV(Active Virtual Forwarder)は、GLBPグループ内で仮想MACアドレスを持つ仮想ゲートウェイを処理する実際のゲートウェイのこと。仮想MACアドレスを自分自身のMACアドレスに割り当て、ロードバランシングに基づいてトラフィックを分散。
AVF(Active Virtual Forwarder)は、AGVに代わってトラフィックを処理する準備ができているゲートウェイ。仮想MACアドレスを保持しており、必要に応じてAGVに代わってトラフィックを処理する。
VRRP
多様なベンダーの機器でも使用ができるプロトコル。動作はHSRPと変わらないが、アクティブスタンバイの名称ではなく、マスタールータとバックアップルータと呼ばれる。
また、仮想I‘アドレスに既に割り当てられているリアルのIPアドレスを設定することができ、その時は優先度が255に必ずなる。