インフラエンジニア(仮)

HSRPの設定

目次

HSRPの設定

HSRPの有効化

HSRP をアクティブにします。
Device(config)#interface type number
Device(config-if)#standby [group-numberip [ip-address [secondary]]

group-numberHSRP バージョン 1 の場合は 0 ~ 255、HSRP バージョン 2 の場合は 0 ~ 4095 です。
ip-address仮想 デバイスの仮想 IP アドレス

インターフェイス上の HSRP の遅延

リロード後またはインターフェイスの起動後に HSRP の初期化を遅延するために使用されます。この設定により、インターフェイスの起動イベント後にインターフェイスとデバイスの時間が安定し、HSRP の状態のフラッピングを防ぐことができます 。

HSRP グループの初期化前の遅延期間を設定します。
Device(config-if)#standby delay minimum min-seconds reload reload-seconds

min-secondsインターフェイスが起動した後に HSRP グループの初期化を遅延する最小時間 (秒単位) です。
reload-secondsデバイスがリロードされた後に遅延する時間です。

HSRP の優先度とプリエンプションの設定

プリエンプションは、最も高い優先度を持つHSRPルータがアクティブルータになることを可能にします。優先度は設定値とIPアドレスによって決まり、同じ優先度ならIPアドレスが高い方が優先されます。ただし、既にアクティブルータが選出されている場合、プリエンプションは発生せず、優先度を上げることでのみアクティブルータを変更できます。プリエンプション遅延を設定することで、ルーティングテーブルが完成するまでアクティブルータの選出を遅らせることができます。

HSRP の優先度を設定します。デフォルトは100です。
Device(config-if)#standby [group-numberpriority priority

HSRP プリエンプションとプリエンプション遅延を設定します。デフォルトは0です。
Device(config-if)#standby [group-numberpreempt [delay {minimum | reload | syncseconds]

HSRP 認証の設定

HSRPには、ネットワークのセキュリティを強化するために、テキスト認証とMD5認証の2種類の認証方式があります。デフォルトではテキスト認証が使用されますが、MD5認証はさらに強力なセキュリティを提供します。認証が一致しない場合、HSRPパケットは無視され、偽のHSRPメッセージによる攻撃からデバイスを保護します。MD5認証では、各デバイスが秘密キーを使用してパケットのハッシュを生成し、これによりHSRPスプーフィングのリスクを低減します。

HSRP テキスト認証の設定

HSRP テキスト認証の認証文字列を設定します。
Device(config-if)#standby [group-numberauthentication text string

HSRP MD5認証の設定

HSRP MD5 認証の認証文字列を設定します。
Device(config-if)#standby [group-numberauthentication md5 key-string [0 | 7key [timeout seconds]

key最大 64 文字です。少なくとも 16 文字を使用することをお勧めします。
0キー 引数にプレフィックスがない場合 、または 0 を指定すると、キーは暗号化されません。
77 を指定すると 、キーが暗号化されます。
timeout secondsこれは、グループ内のルーターを新しいキーに移行する際に、古いキーを一時的に受け入れる期間を指します。

キーチェーンを使用した HSRP MD5 認証の設定

キー チェーンを使用すると、キー チェーンの設定に応じて、異なるキー文字列を異なるタイミングで使用できます。

キー チェーン設定モードに入ります。
Device(config)#key chain name-of-chain

キー チェーン キー設定モードに入ります。
Device(config-keychain)#key key-id

key-idkey-id 引数の値は数値である必要があります。

キーの認証文字列を指定します。
Device(config-keychain-key)#key-string string

string1~80文字の大文字または小文字の英数字です。最初の文字は数字にできません。

インターフェイス コンフィギュレーション モードに入ります。
Device(config)#interface type number

HSRP MD5 認証用の認証 MD5 キー チェーンを設定します。
Device(config-if)#standby [group-number] authentication md5 key-chain key-chain-name

HSRPタイマーの設定

HSRP バージョン 1では、タイマー値が秒単位でアドバタイズされるため、ミリ秒タイマーを使用する場合、すべてのデバイスをミリ秒で設定する必要があります。一方、HSRP バージョン 2ではミリ秒単位のタイマー値がアドバタイズされ、この制限がありません。また、HSRPはジッタータイマーを使用して、ネットワーク負荷を分散し、プロトコルの信頼性を向上させます。これにより、Helloタイマーには負のジッタが、Holddownタイマーには正のジッタが適用され、CPUやトラフィックの急増を軽減します。

hello パケット間の時間と、他のデバイスがアクティブなホット スタンバイ デバイスまたはスタンバイ デバイスのダウンを宣言するまでの時間を設定します。
Device(config-if)#standby [group-number] timers [msec] hellotime [msec] holdtime

HSRP MAC リフレッシュ間隔の設定

HSRP が FDDI 上で実行されているときに、MAC キャッシュを更新するためにパケットが送信される間隔を変更します。
Device(config-if)#standby mac-refresh seconds

ICMP リダイレクト メッセージの HSRP サポートを有効にする

ICMP リダイレクト メッセージの HSRP フィルタリングを有効にします。
Device(config-if)#standby redirect [timers advertisement holddown] [unknown]

HSRP バージョン 2 への変更

HSRP バージョンを変更します。
Device(config-if)#standby version {1 | 2}

HSRP 設定例

仮想IPアドレスを192.168.100.254、R1がアクティブ側のルータとなるように設定しています。

R1の設定

R1(config)#interface Gi0/0
R1(config-if)#ip address 192.168.100.1 255.255.255.0
R1(config-if)#standby 100 ip 192.168.100.254
R1(config-if)#standby 100 priority 105
R1(config-if)#standby 100 preempt
R1(config-if)#standby version 2
R1(config-if)#standby redirect

R2の設定

R2(config)#interface Gi0/0
R2(config-if)#ip address 192.168.100.2 255.255.255.0
R2(config-if)#standby 100 ip 192.168.100.254
R2(config-if)#standby 100 priority 100
R2(config-if)#standby version 2
R2(config-if)#standby redirect

show standby briefコマンドでHSRPの設定状況を確認できます。

PC3からRT3までtracerouteを実行するとアクティブ側のRT1(192.168.100.1)を経由することが分かります。

RT1をダウンさせてみます。

R2がHSRPグループ100のアクティブになったことを示すログが出力されました。

R2(config-if)#
*Aug 16 12:31:25.963: %HSRP-5-STATECHANGE: GigabitEthernet0/0 Grp 100 state Speak -> Standby
*Aug 16 12:35:39.679: %HSRP-5-STATECHANGE: GigabitEthernet0/0 Grp 100 state Standby -> Active

改めてPC1からRT3までtracerouteを実行するとRT2を経由して通信することが出来ています。

HSRPのオブジェクトトラッキング

HSRPのオブジェクトトラッキングについてはこちらのページを参照してください。
拡張オブジェクトトラッキング

参考文献

First Hop Redundancy Protocols Configuration Guide
Configuring HSRP