VRRP/VRRPv3

• 概要
• 対応機種とリビジョン
• 用語の定義
• 詳細
  • VRRPグループ
  • 仮想ルーター
  • マスタールーターのシャットダウン
  • 優先度
  • プリエンプトモード
  • 動的経路制御
  • VRRPとNATとの連携
• コマンド

概要

VRRPは、動的経路制御が利用できない環境で複数のルーターのバックアップを行 うためのプロトコルです。

VRRPには仮想のIPアドレスとMACアドレスを持つ仮想ルーターが存在します。 VRRPが動作している複数のルーターのうちマスターとなっている1台が仮想ルー タのIPアドレス/MACアドレスを利用して動作します。他のルーターはバックアッ プとして動作し、マスターがダウンした場合には速やかに仮想IPアドレス/MAC アドレスを引き継いで仮想ルーターが存在し続けているように動作します。ホス トは、仮想ルーターをデフォルトゲートウェイとして設定することでマスターが ダウンしてもバックアップ経由で通信を続けることができます。

                  +-----+      +-----+
                  | MR1 |      | BR1 |
                  |     |      |     |
                  |     |      |     |
     VRID=1       +-----+      +-----+
     IP A ---------->*            *<--------- IP B
                     |            |
                     |            |
                     |            |
   ------------------+------------+-----+--------+--------+--------+--
                                        ^        ^        ^        ^
                                        |        |        |        |
                                      (IP A)   (IP A)   (IP A)   (IP A)
                                        |        |        |        |
                                     +--+--+  +--+--+  +--+--+  +--+--+
                                     |  H1 |  |  H2 |  |  H3 |  |  H4 |
                                     +-----+  +-----+  +--+--+  +--+--+

• VRID=1のVRRPグループには2台のVRRPルーターが所属し、仮想ルーターのIPアド レスは(IP A)となる
• ホストHxはすべて(IP A)をデフォルトゲートウェイとして設定する
• 通常は、マスタールーターであるMR1がホストからのトラフィックを処理する
• MR1がシャットダウンした時には、BR1がバックアップとして動作し、通信を 継続する

対応機種とリビジョン

ヤマハルーターでは以下の機種およびファームウェアで、VRRP/VRRPv3をサポートしています。
リビジョンによって対応している項目が異なります。対応項目は以下のようになります

※他社製品とのVRRPv3利用は動作確認が取れていません。

用語

VRRPルーター

VRRPプロトコルをサポートし、動作させているルーター

仮想ルーター

VRRPプロトコルにより実現される、仮想的なルーター。VRRPを走らせてい る環境では、デフォルトゲートウェイとしてこの仮想ルーターを指定する

マスタールーター

仮想ルーターの役割を果たす複数のVRRPルーターのうち、実際にパケット配 送を行うルーター

バックアップルーター

仮想ルーターの役割を果たす複数のVRRPルーターのうち、マスターが落ちた 時にはそのバックアップになるルーター

VRRPグループ

VRRPルーターのグループ。VRRPグループ一つにつき仮想ルーターが1台となる

VRID

VRRPグループの識別子で、1〜255の整数

VRRP広告

マスタールーターがLANに送信するVRRPデータ。バックアップルーターはこれ を受信することでマスタールーターが動作していることを知る

シャットダウン

マスタールーターがVRRP広告の送信を止めること

詳細

VRRPグループ

VRRPでは、VRRPルーターのグループをVRIDにより識別します。VRIDが同一である VRRPルーターは同一グループに属し、その中の一台だけがマスターとしてパケッ トの配送を行います。他のルーターはバックアップとしてマスターがシャットダ ウンしたら即座に動作を引き継ぎます。

VRIDが異なると違うVRRPグループとみなされます。同一LAN上に複数のVRRPグ ループが存在することができ、お互いはまったく独立に動作します。また、一 つのルーターが複数のVRRPグループに属することも可能です。例えば、2台のルー タa、bと2つのVRRPグループA、Bがあって、a、bともにA、Bの双方に所属し、A のマスターがa、Bのマスターがbという設定にしておくことができます。この 場合、PCのデフォルトゲートウェイとしてはA、Bいずれの仮想ルーターでも設定 でき、2台のVRRPルーターはお互いのバックアップを兼ねつつ、トラフィックを ロードバランシングして処理することができます。

                  +-----+      +-----+
                  | MR1 |      | MR2 |
                  |  &  |      |  &  |
                  | BR2 |      | BR1 |
     VRID=1       +-----+      +-----+         VRID=2
     IP A ---------->*            *<---------- IP B
                     |            |
                     |            |
                     |            |
   ------------------+------------+-----+--------+--------+--------+--
                                        ^        ^        ^        ^
                                        |        |        |        |
                                      (IP A)   (IP A)   (IP B)   (IP B)
                                        |        |        |        |
                                     +--+--+  +--+--+  +--+--+  +--+--+
                                     |  H1 |  |  H2 |  |  H3 |  |  H4 |
                                     +-----+  +-----+  +--+--+  +--+--+

• VRRPルーターである2台のルーターはVRID=1、2の2つのVRRPグループに所属し、仮 想ルーターのIPアドレスはそれぞれ(IP A)、(IP B)となる
• ホストも2つのグループに分かれ、H1/H2は(IP A)を、H3/H4は(IP B)をデフォ ルトゲートウェイとして設定する
• 通常はMR1/MR2がホストからの通信を処理し、負荷分散を行う
• MR1がダウンした時にはBR1がバックアップとして、MR2がダウンした時には BR2がバックアップとして動作する

仮想ルーター

仮想ルーターのIPアドレスは自由に設定できるので、以下の2つのケースが考え られます。

1. 仮想ルーターのIPアドレスとして、VRRPグループに所属するVRRPルーターのうち の1台のIPアドレスを利用する。

   この場合、仮想ルーターのIPアドレスを持つVRRPルーターが必ずマスターとなり、 他のルーターはバックアップになる。

2. 仮想ルーターのIPアドレスとして、まったく別のIPアドレスを利用する。

   この場合、マスタールーターはあらかじめVRRPルーターに設定された優先度に応 じて自動的に決定される。優先度は1〜254の整数で、大きい方が優先される。 優先度が同じVRRPルーターの間ではIPアドレスの大きい方が優先される。

仮想ルーターのMACアドレスは、VRRPグループ毎に決められたユニキャストアド レスを利用します。

マスタールーターのシャットダウン

マスタールーターはLANから切り離されたり、電源が落ちたりした場合には不可 避的にシャットダウンしますが、回線側での通信が何らかの理由でできなくなっ た場合に積極的にシャットダウンし、バックアップルーターに切り替えることも できます。

優先度

VRRPルーターはそれぞれ優先度を持ち、優先度の高いルーターがマスタールーターと なり、他のルーターはバックアップとなります。優先度は1〜255の数値で設定し ますが、スムーズなマスター/バックアップ切り替えのためにはできるだけ優 先度は大きな差をつけておくのがいいでしょう。

また、優先度はまったく同じ値を設定してもよいことになっていますが、その 場合、各VRRPルーターのLANインタフェースのIPアドレスの大小によって優先さ れるべきVRRPルーターが決まりますが、複数のルーターが同時にマスタールーターに なろうとしますので、その間の調整でマスタールーターがばたばたすることが起 こりえます。やはり優先度はできるだけ大きな差をつけて設定すべきです。

プリエンプトモード

VRRPの動作モードの一つに、プリエンプトモードがあります。プリエンプトモー ドか否かでマスタールーター選出の方法が変わってきます。

非プリエンプトモードでは、先に優先度の低いVRRPルーターがマスタールーターと なっていた場合には、そこに後から優先度の高いVRRPルーターが参加してもマス タールーターの切り替わりは起こらず、従来からのマスタールーターがマスターと して動作し続けます。一方、プリエンプトモードで動作している場合には、優 先度の高いVRRPルーターが加わると必ずそちらにマスタールーターが切り替わりま す。

通常は、プリエンプトモードで運用します。非プリエンプトモードは、マスター ルーターが頻繁にダウンする場合に利用できます。

動的経路制御

VRRPを設定しているLANインタフェースでは動的経路制御は動作させない方が よいでしょう。一方、VRRPを設定していないインタフェースで動的経路制御を 動作させ、その状態によってマスタールーターを切り替えるという形はありえま す。

VRRPとNATとの連携

ヤマハルーターの仕様としてはVRRPの仮想IPアドレスとNATの外側アドレスが 同一であれば連携する（マスタ状態である場合にだけARPに応答する）ように なっています。 静的NATについても同じで、VRRPの仮想IPアドレスと一致する外側アドレスを もつエントリ1つだけがVRRPと連携します。 VRRPの仮想IPアドレスと一致しない静的NATの外側アドレスまでもVRRPに連携 させることはできません。

コマンド

• VRRPを利用する

  インタフェース毎の VRRP の設定
  
  [書式]
  ip INTERFACE vrrp VRID IP_ADDRESS [priority=PRIORITY] [preempt=PREEMPT] [auth=AUTH] [advertise-interval=TIME1] [down-interval=TIME2]
  no ip INTERFACE vrrp VRID [VRID...]
  
  
  [設定値及び初期値]
  
  INTERFACE
  [設定値] : LAN インタフェース名
  [初期値] : - 
  
  VRID
  [設定値] : VRRP グループ ID (1..255)
  [初期値] : - 
  
  IP_ADDRESS
  [設定値] : 仮想ルーターの IP アドレス
  [初期値] : - 
  
  PRIORITY
  [設定値] : 優先度 (1..254)
  [初期値] : 100
  
  PREEMPT : プリエンプトモード
  [設定値] : 
  
    
  
      
  
        設定値
      
      
  
        説明
      
    
    
  
      
  
        on
      
      
  
        使用する
      
    
    
  
      
  
        off
      
      
  
        使用しない
      
    
  
  [初期値] : on
  
  AUTH
  [設定値] : テキスト認証文字列 (8 文字以内 )
  [初期値] : - 
  
  TIME1
  [設定値] : VRRP 広告の送信間隔 ( 秒 )
  [初期値] : 1
  
  TIME2
  [設定値] : マスターがダウンしたと判定するまでの時間 ( 秒 )
  [初期値] : 3
  
  
  [説明]
  指定した VRRP グループを利用することを設定する。
  同じ VRRP グループに所属するルーターの間では、VRID および仮想ルーターの IP アドレスを一致させておかなくてはいけない。これらが食い違った場合の動作は予測できない。
  AUTH パラメータを指定しない場合には、認証なしとして動作する。
  
  TIME1 およびTIME2 パラメータで、マスターが VRRP 広告を送信する間隔と、バックアップがそれを監視してダウンと判定するまでの時間を設定する。トラフィックが多いネットワークではこれらの値を初期値より長めに設定すると動作が安定することがある。これらの値はすべての VRRP ルーターで一致している必要がある。
  
  
  [ノート]
  
  PRIORITY およびPREEMPT パラメータの設定は、仮想ルーターの IP アドレスとして自分自身の LAN インタフェースに付与されているアドレスを指定している場合には無視される。この場合、優先度は最高の 255 となり、常にプリエンプトモードで動作する。
  

• マスタールーター動作時のシャットダウントリガを設定する

  シャットダウントリガの設定
  
  [書式]
  ip INTERFACE vrrp shutdown trigger VRID INTERFACE
  ip INTERFACE vrrp shutdown trigger VRID pp PEER_NUM [dlci=DLCI]
  ip INTERFACE vrrp shutdown trigger VRID tunnel TUNNEL_NUM
  ip INTERFACE vrrp shutdown trigger VRID route NETWORK [NEXTHOP]
  no ip INTERFACE vrrp shutdown trigger VRID INTERFACE
  no ip INTERFACE vrrp shutdown trigger VRID pp PEER_NUM [...]
  no ip INTERFACE vrrp shutdown trigger VRID tunnel TUNNEL_NUM
  no ip INTERFACE vrrp shutdown trigger VRID route NETWORK
  
  
  [設定値及び初期値]
  
  INTERFACE
  [設定値] : LAN インタフェース名
  [初期値] : -
  
  VRID
  [設定値] : VRRP グループ ID (1..255)
  [初期値] : -
  
  PEER_NUM
  [設定値] : 相手先情報番号
  [初期値] : -
  
  DLCI
  [設定値] : DLCI 番号
  [初期値] : -
  
  TUNNEL_NUM
  [設定値] : tunnel インタフェース 番号
  [初期値] : -
  
  NETWORK
  [設定値] :
  ■ネットワークアドレス
  ■IP アドレス/マスク長
  ■default
  [初期値] : -
  
  NEXTHOP
  [設定値] :
  ■インタフェース名
  ■IP アドレス
  [初期値] : -
  
  
  [説明]
  設定した VRRP グループでマスタールーターとして動作している場合に、指定した条件によってシャットダウンすることを設定する。
  
  
    
  形式
    
  説明
  
  
    
  LAN インタフェース形式
    
  指定した LAN インタフェースがリンクダウンするか、あるいはlan keepalive でダウンが検知されると、シャットダウンする。
  
  
    
  pp 形式
    
  指定した相手先情報番号に該当する回線で通信できなくなった場合にシャットダウンする。通信できなくなるとは、ケーブルが抜けるなどレイヤ 1 が落ちた場合と、以下の場合である。
      
  
        
  回線が ISDN 回線である時は、呼が接続されていない場合
        
  回線が専用線である時には、LCP キープアライブによって通信相手が落ちたと判断した場合
        
  回線がフレームリレーであって”dlci=DLCI”を指定している場合には、PVC 状態確認手順によって指定した DLCI 番号が通信できないと判断した場合
        
  pp keepalive use 設定によりダウンが検出された場合
      
    
  
  
    
  tunnel 形式
    
  指定したtunnel インタフェースが以下の条件によりダウンした場合にシャットダウンする。
      
  
        
  IPsecトンネルで、ipsec ike keepalive use 設定によりダウンが検出された場合
        
  L2TP/IPsec、L2TPv3、L2TPv3/IPsecのいずれかのトンネルで、l2tp keepalive use 設定によりダウンが検出された場合
        
  PPTPトンネルで、pptp keepalive use 設定によりダウンが検出された場合
        
  IPIPトンネルで、ipip keepalive use 設定によりダウンが検出された場合
      
    
  
  
    
  route 形式
    
  指定した経路が経路テーブルに存在しないか、NEXTHOP で指定したインタフェースもしくは IP アドレスで指定するゲートウェイに向いていない場合に、シャットダウンする。NEXTHOP を省略した場合には、経路がどのような先を向いていても存在する限りはシャットダウンしない。
  
  
  
  [ノート]
  tunnel インタフェースはRTX1210 のRev.14.01.28以降、NVR700W のRev.15.00.14以降、RTX830 のRev.15.02.03以降で使用可能。
  

• 自分側セキュリティ・ゲートウェイのIPアドレスの設定

  自分側セキュリティ・ゲートウェイの IP アドレスの設定
  
  [書式]
  ipsec ike local address GATEWAY_ID IP_ADDRESS
  ipsec ike local address GATEWAY_ID vrrp INTERFACE VRID
  ipsec ike local address GATEWAY_ID ipv6 prefix PREFIX on INTERFACE
  ipsec ike local address GATEWAY_ID ipcp pp PP_NUM
  no ipsec ike local address GATEWAY_ID [IP_ADDRESS]
  
  
  [設定値及び初期値]
  
  GATEWAY_ID
  [設定値] : セキュリティ・ゲートウェイの識別子
  [初期値] : -
  
  IP_ADDRESS
  [設定値] : 自分側セキュリティ･ゲートウェイの IP アドレス
  [初期値] : -
  
  INTERFACE
  [設定値] : LAN インタフェース名
  [初期値] : -
  
  VRID
  [設定値] : VRRP グループ ID(1..255)
  [初期値] : -
  
  PREFIX
  [設定値] : プレフィックス
  [初期値] : -
  
  PP_NUM
  [設定値] : PP インタフェース番号
  [初期値] : -
  
  
  [説明]
  自分側セキュリティ・ゲートウェイの IP アドレスを設定する。
  
  
  vrrp キーワードを指定する第 2 書式では、VRRP マスターとして動作している場合のみ、指定した LAN インタフェース/VRRP グループ ID の仮想 IP アドレスを自分側セキュリティ・ゲートウェイアドレスとして利用する。
  VRRP マスターでない場合には鍵交換は行わない。
  
  ipv6 キーワードを指定する第 3 書式では、IPv6 のダイナミックアドレスを指定する。
  
  ipcp キーワードを指定する第 4 書式では、IPCP アドレスを取得する PP インタフェースを指定する。これは Rev.8.03 系以降で使用可能である。
  
  
  [ノート]
  本コマンドが設定されていない場合には、相手側のセキュリティ・ゲートウェイに近いインタフェースの IP アドレスを用いて IKE を起動する。
  

• VRRPv3を利用する

  インタフェース毎の VRRPv3 の設定
  
  [書式]
  ipv6 INTERFACE vrrp VRID IPV6_ADDRESS [priority=PRIORITY] [preempt=PREEMPT] [auth=AUTH] [advertise-interval=TIME1] [down-interval=TIME2]
  no ipv6 INTERFACE vrrp VRID [VRID...]
  
  
  [設定値及び初期値]
  
  INTERFACE
  [設定値] : LAN インタフェース名
  [初期値] : - 
  
  VRID
  [設定値] : VRRPv3 グループ ID (1..255)
  [初期値] : - 
  
  IPV6_ADDRESS
  [設定値] : 仮想ルーターの IPv6 アドレス
  [初期値] : - 
  
  PRIORITY
  [設定値] : 優先度 (1..254)
  [初期値] : 100
  
  PREEMPT : プリエンプトモード
  [設定値] : 
  
    
  
      
  
        設定値
      
      
  
        説明
      
    
    
  
      
  
        on
      
      
  
        使用する
      
    
    
  
      
  
        off
      
      
  
        使用しない
      
    
  [初期値] : on
  
  AUTH
  [設定値] : テキスト認証文字列 (8 文字以内 )
  [初期値] : - 
  
  TIME1
  [設定値] : VRRPv3 広告の送信間隔 ( 秒 )
  [初期値] : 1
  
  TIME2
  [設定値] : マスターがダウンしたと判定するまでの時間 ( 秒 )
  [初期値] : 3
  
  [説明]
  指定した VRRPv3 グループを利用することを設定する。
  同じ VRRPv3 グループに所属するルーターの間では、VRID および仮想ルーターの IPv6 アドレスを一致させておかなくてはいけない。これらが食い違った場合の動作は予測できない。
  AUTH パラメータを指定しない場合には、認証なしとして動作する。
  
  TIME1 およびTIME2 パラメータで、マスターが VRRPv3 広告を送信する間隔と、バックアップがそれを監視してダウンと判定するまでの時間を設定する。トラフィックが多いネットワークではこれらの値を初期値より長めに設定すると動作が安定することがある。これらの値はすべての VRRPv3 ルーターで一致している必要がある。 
  
  
  [ノート]
  PRIORITY およびPREEMPT パラメータの設定は、仮想ルーターの IPv6 アドレスとして自分自身の LAN インタフェースに付与されているアドレスを指定している場合には無視される。この場合、優先度は最高の 255 となり、常にプリエンプトモードで動作する。
  
  RTX1200 のRev.10.01.59以降、RTX810 のRev.11.01.21以降、FWX120 のRev.11.03.08以降、RTX1210 のRev.14.01.05以降で使用可能、RTX830 のRev.15.02.01以降で使用可能。
  

• マスタールーター動作時のシャットダウントリガを設定する

  シャットダウントリガの設定
  
  [書式]
  ipv6 INTERFACE vrrp shutdown trigger VRID INTERFACE
  ipv6 INTERFACE vrrp shutdown trigger VRID pp PEER_NUM [dlci=DLCI]
  ipv6 INTERFACE vrrp shutdown trigger VRID tunnel TUNNEL_NUM
  ipv6 INTERFACE vrrp shutdown trigger VRID route NETWORK [NEXTHOP]
  no ipv6 INTERFACE vrrp shutdown trigger VRID [INTERFACE]
  no ipv6 INTERFACE vrrp shutdown trigger VRID [pp PEER_NUM]
  no ipv6 INTERFACE vrrp shutdown trigger VRID [tunnel TUNNEL_NUM]
  no ipv6 INTERFACE vrrp shutdown trigger VRID [route NETWORK]
  
  [設定値及び初期値]
  
  INTERFACE
  [設定値] : LAN インタフェース名
  [初期値] : -
  
  VRID
  [設定値] : VRRPv3 グループ ID (1..255)
  [初期値] : -
  
  PEER_NUM
  [設定値] : 相手先情報番号
  [初期値] : -
  
  DLCI
  [設定値] : DLCI 番号
  [初期値] : -
  
  TUNNEL_NUM
  [設定値] : tunnel インタフェース 番号
  [初期値] : -
  
  NETWORK
  [設定値] :
  ■IPv6 プレフィックス/プレフィックス長
  ■default
  [初期値] : -
  
  NEXTHOP
  [設定値] :
  ■インタフェース名
  ■IPv6 アドレス
  [初期値] : - 
  
  
  [説明]
  設定した VRRPv3 グループでマスタールーターとして動作している場合に、指定した条件によってシャットダウンすることを設定する。
  
    
  
      
  形式
      
  説明
    
    
  
      
  LAN インタフェース形式
      
  指定した LAN インタフェースがリンクダウンするか、あるいはlan keepalive でダウンが検知されると、シャットダウンする。
    
    
  
      
  pp 形式
      
  指定した相手先情報番号に該当する回線で通信できなくなった場合にシャットダウンする。通信できなくなるとは、ケーブルが抜けるなどレイヤ 1 が落ちた場合と、以下の場合である。
        
  
          
  回線が ISDN 回線である時は、呼が接続されていない場合
          
  回線が専用線である時には、LCP キープアライブによって通信相手が落ちたと判断した場合
          
  回線がフレームリレーであって”dlci=dlci”を指定している場合には、PVC状態確認手順によって指定した DLCI 番号が通信できないと判断した場合
          
  pp keepalive use 設定によりダウンが検出された場合
        
      
    
    
  
      
  tunnel 形式
      
  指定したtunnel インタフェースが以下の条件によりダウンした場合にシャットダウンする。
        
  
          
  IPsecトンネルで、ipsec ike keepalive use 設定によりダウンが検出された場合
          
  L2TP/IPsec、L2TPv3、L2TPv3/IPsecのいずれかのトンネルで、l2tp keepalive use 設定によりダウンが検出された場合
          
  PPTPトンネルで、pptp keepalive use 設定によりダウンが検出された場合
          
  IPIPトンネルで、ipip keepalive use 設定によりダウンが検出された場合
        
      
    
    
  
      
  route 形式
      
  指定した経路が経路テーブルに存在しないか、NEXTHOP で指定したインタフェースもしくはIPv6 アドレスで指定するゲートウェイに向いていない場合に、シャットダウンする。NEXTHOP を省略した場合には、経路がどのような先を向いていても存在する限りはシャットダウンしない。
    
  
  
  [ノート]
  RTX1200 のRev.10.01.59以降、RTX810 のRev.11.01.21以降、FWX120 のRev.11.03.08以降、RTX1210 のRev.14.01.05以降で使用可能、RTX830 のRev.15.02.01以降で使用可能。
  tunnel インタフェースはRTX1210 のRev.14.01.28以降、NVR700W のRev.15.00.14以降、RTX830 のRev.15.02.03以降で使用可能。
  

• VRRPの情報を表示する

  VRRP の情報の表示
  
  [書式]
  show status vrrp [INTERFACE [VRID]]
  
  
  [設定値及び初期値]
  INTERFACE
  
  [設定値] : LAN インタフェース名
  [初期値] : -
  
  VRID
  [設定値] : VRRP グループ ID(1..255)
  [初期値] : -
  
  
  [説明]
  VRRP の情報を表示する。