はじめに
今回はVRRPの設定についてお勉強します。基本的なVRRPの設定から、認証、SNMP による状態変化の通知などの設定をみていきます。
Configuring VRRP
VRRPの設定ステップを以下に示します。
Step1
Router# conf t
まず、Global Configuration Modeに移ります。
Step2
Router(config)# interface interface-name
VRRPを設定するインタフェースに移ります。
Step3
Router(config-if)# ip address ip-address mask
VRRPを設定するインタフェースにIPアドレスをふります。
Step4
Router(config-if)# vrrp group ip ip-address [secondary]
VRRPを有効にします。VRRPに参加するルータは、全て同じVirtual IPを持つ必 要があります。1つのグループ内で複数の仮想アドレスを設定させたい場合は secondaryオプションを追加します。
Step5
Router(config-if)# vrrp group description text
Descriptionのテキストを設定することができます。この設定はOptionalです。
Step6
Router(config-if)# vrrp group priority level
Priorityの設定をします。この値が大きいルータがMasterになります。
Step7
Router(config-if)# vrrp group preempt [delay minimum seconds]
Preemptを有効にします。Defaultで有効で、delayは0秒です。delay minimum
オプションは、Master側に処理をPreemptするときに待つ時間です。
例えば、Master側がRebootした場合、Rebootが完了してVRRPのメッセージをや
りとりできる段階になると、delayが0秒の場合、一瞬で切り戻ります。このと
き、OSPFなどのルーティングプロトコルを動作させている場合、Rebootしたば
かりのルータはルーティングテーブルがコンバージェンスしておらず、Master
に切り替わってもどこにもパケットをフォワードできずに、パケットをDropし
てしまいます。
そのような場合、ルーティングがコンバージェンスするまで約30秒~1分程度 のDelayを持たせることによってルーティングがコンバージェンスした後にMaster になれば無駄なパケットDropを防ぐことができます。
Step8
Router(config-if)# vrrp group timers advertise [mesc] interval
advertisementsメッセージの間隔を指定できます。デフォルトは1秒間隔です。 全てのVRRPグループ内のルータはこのadvertisementsメッセージの間隔が一致 している必要があります。
Step9
Router(config-if)# vrrp group timers learn
BackupとなったルータがAdvertisement intervalをMasterルータから学習しま す。
Step10
Router(config-if)# vrrp group track object-number
[decrement priority]
Object-Trackingを利用してPriorityを下げることができます。decrement priority とは、どれだけPriorityを下げるかを指定できます。
Step11
Router(config-if)# end
以上で、VRRPの基本的な設定は終了です。
Disabling VRRP on an Interface
VRRPはConfigurationはそのまま保持した状態で、VRRP機能を無効にすること ができます。
Step1
Router# conf t
まず、Global Configuration Modeに移ります。
Step2
Router(config)# interface interface-name
VRRPが設定されているインタフェースに移ります。
Step3
Router(config-if)# vrrp group shutdown
VRRPを無効に出来ます。
Step4
Router(config-if)# end
以上で設定は終了です。
Configuring VRRP Authentication
VRRP Authenticationを設定するには、以下の3つの方法を選択できます。
-Using a Key String
-Using a Key Chain
-Using a Plain Text
注意が必要なのは、認証方法をVRRPグループ内のルータで統一する必要がある ということです。あるルータはKey Stringを使っていて別のあるルータはKey Chain を使っている、というのはNGです。
以下、設定ステップを示します。まずはKey Stringを使った認証の設定です。
Step1
Router# conf t
まず、Global Configuration Modeに移ります。
Step2
Router(config)# interface interface-name
VRRPが設定されているインタフェースに移ります。
Step3
Router(config-if)# vrrp group authentication md5 key-string
[0 | 7] key-string [timeout seconds]
Key Stringは64文字以内です。
0を指定するか、または何も指定しない場合、key-stringは暗号化されません
。この暗号化されないというのは、show runで見たときにkey-stringが読める
ということです。
7を指定すると暗号化されます。また、service password-encryptionコマンド を使用していれば、自動的に暗号化されます。
timeoutはkeyの有効期間です。
Step4
Router(config-if)# end
以上でKey Stringを使った認証の設定は終了です。
次はKey Chainを使った認証の設定です。
Step1
Router# conf t
まず、Global Configuration Modeに移ります。
Step2
Router(config)# key chain name-of-chain
Key Chainを作成します。
Step3
Router(config-keychain)# key key-id
key idを指定します。
Step4
Router(config-keychain-key)# key-string string
key-stringを設定します。80文字まで設定できます。
Step5
Router(config-keychain-key)# exit
Global Configuration Modeまで戻ります。Exitは2回必要ですが省略します。
Step6
Router(config)# interface interface-name
VRRPが設定されているインタフェースに移ります。
Step7
Router(config-if)# vrrp group authentication md5
key-chain key-chain-name
先ほど作成したkey-chainを指定します。
Step8
Router(config-if)# end
以上でKey Chainを使用した認証の設定は終了です。
次はPlain Textを使った認証の設定です。
Step1
Router# conf t
まず、Global Configuration Modeに移ります。
Step2
Router(config)# interface interface-name
VRRPが設定されているインタフェースに移ります。
Step3
Router(config-if)# vrrp group authentication text text-string
認証用のtext-stringを指定します。
Step4
Router(config-if)# end
以上でPlain Textを使った認証の設定は終了です。
Enabling the Router to Send SNMP VRRP Notifications
VRRPの状態変化をSNMP TrapでSNMP管理ステーションに通知することができま す。
Step1
Router# conf t
まず、Global Configuration Modeに移ります。
Step2
Router(config)# snmp-server enable traps vrrp
SNMP TrapでVRRPのTrapを有効にします。
Step3
Router(config)# snmp-server host host community-string vrrp
Trapを飛ばす先のSNMP管理ステーションを設定します。
Step4
Router(config)# end
以上で設定は終了です。
設定だけでかなり長くなってしまったので、コンフィグ例や練習問題は次回と りあげます。お楽しみ。
By 『Overseas and Beyond』 Koichi
http://overseasandbeyond.blogspot.com/
