VRRP

$Date: 2009/04/01 03:04:49 $
対象ファームウェア: Rev.6.01以降

VRRPは、動的経路制御が利用できない環境で複数のルータのバックアップを行 うためのプロトコルです。

VRRPには仮想のIPアドレスとMACアドレスを持つ仮想ルータが存在します。 VRRPが動作している複数のルータのうちマスターとなっている1台が仮想ルー タのIPアドレス/MACアドレスを利用して動作します。他のルータはバックアッ プとして動作し、マスターがダウンした場合には速やかに仮想IPアドレス/MAC アドレスを引き継いで仮想ルータが存在し続けているように動作します。ホス トは、仮想ルータをデフォルトゲートウェイとして設定することでマスターが ダウンしてもバックアップ経由で通信を続けることができます。

                  +-----+      +-----+
                  | MR1 |      | BR1 |
                  |     |      |     |
                  |     |      |     |
     VRID=1       +-----+      +-----+
     IP A ---------->*            *<--------- IP B
                     |            |
                     |            |
                     |            |
   ------------------+------------+-----+--------+--------+--------+--
                                        ^        ^        ^        ^
                                        |        |        |        |
                                      (IP A)   (IP A)   (IP A)   (IP A)
                                        |        |        |        |
                                     +--+--+  +--+--+  +--+--+  +--+--+
                                     |  H1 |  |  H2 |  |  H3 |  |  H4 |
                                     +-----+  +-----+  +--+--+  +--+--+

• VRID=1のVRRPグループには2台のVRRPルータが所属し、仮想ルータのIPアド レスは(IP A)となる
• ホストHxはすべて(IP A)をデフォルトゲートウェイとして設定する
• 通常は、マスタールータであるMR1がホストからのトラフィックを処理する
• MR1がシャットダウンした時には、BR1がバックアップとして動作し、通信を 継続する

用語

VRRPルータ

VRRPプロトコルをサポートし、動作させているルータ

仮想ルータ

VRRPプロトコルにより実現される、仮想的なルータ。VRRPを走らせてい る環境では、デフォルトゲートウェイとしてこの仮想ルータを指定する

マスタールータ

仮想ルータの役割を果たす複数のVRRPルータのうち、実際にパケット配 送を行うルータ

バックアップルータ

仮想ルータの役割を果たす複数のVRRPルータのうち、マスターが落ちた 時にはそのバックアップになるルータ

VRRPグループ

VRRPルータのグループ。VRRPグループ一つにつき仮想ルータが1台となる

VRID

VRRPグループの識別子で、1〜255の整数

VRRP広告

マスタールータがLANに送信するVRRPデータ。バックアップルータはこれ を受信することでマスタールータが動作していることを知る

シャットダウン

マスタールータがVRRP広告の送信を止めること

VRRPグループ

VRRPでは、VRRPルータのグループをVRIDにより識別します。VRIDが同一である VRRPルータは同一グループに属し、その中の一台だけがマスターとしてパケッ トの配送を行います。他のルータはバックアップとしてマスターがシャットダ ウンしたら即座に動作を引き継ぎます。

VRIDが異なると違うVRRPグループとみなされます。同一LAN上に複数のVRRPグ ループが存在することができ、お互いはまったく独立に動作します。また、一 つのルータが複数のVRRPグループに属することも可能です。例えば、2台のルー タa、bと2つのVRRPグループA、Bがあって、a、bともにA、Bの双方に所属し、A のマスターがa、Bのマスターがbという設定にしておくことができます。この 場合、PCのデフォルトゲートウェイとしてはA、Bいずれの仮想ルータでも設定 でき、2台のVRRPルータはお互いのバックアップを兼ねつつ、トラフィックを ロードバランシングして処理することができます。

                  +-----+      +-----+
                  | MR1 |      | MR2 |
                  |  &  |      |  &  |
                  | BR2 |      | BR1 |
     VRID=1       +-----+      +-----+         VRID=2
     IP A ---------->*            *<---------- IP B
                     |            |
                     |            |
                     |            |
   ------------------+------------+-----+--------+--------+--------+--
                                        ^        ^        ^        ^
                                        |        |        |        |
                                      (IP A)   (IP A)   (IP B)   (IP B)
                                        |        |        |        |
                                     +--+--+  +--+--+  +--+--+  +--+--+
                                     |  H1 |  |  H2 |  |  H3 |  |  H4 |
                                     +-----+  +-----+  +--+--+  +--+--+

• VRRPルータである2台のルータはVRID=1、2の2つのVRRPグループに所属し、仮 想ルータのIPアドレスはそれぞれ(IP A)、(IP B)となる
• ホストも2つのグループに分かれ、H1/H2は(IP A)を、H3/H4は(IP B)をデフォ ルトゲートウェイとして設定する
• 通常はMR1/MR2がホストからの通信を処理し、負荷分散を行う
• MR1がダウンした時にはBR1がバックアップとして、MR2がダウンした時には BR2がバックアップとして動作する

仮想ルータ

仮想ルータのIPアドレスは自由に設定できるので、以下の2つのケースが考え られます。

1. 仮想ルータのIPアドレスとして、VRRPグループに所属するVRRPルータのうち の1台のIPアドレスを利用する。

   この場合、仮想ルータのIPアドレスを持つVRRPルータが必ずマスターとなり、 他のルータはバックアップになる。

2. 仮想ルータのIPアドレスとして、まったく別のIPアドレスを利用する。

   この場合、マスタールータはあらかじめVRRPルータに設定された優先度に応 じて自動的に決定される。優先度は1〜254の整数で、大きい方が優先される。 優先度が同じVRRPルータの間ではIPアドレスの大きい方が優先される。

仮想ルータのMACアドレスは、VRRPグループ毎に決められたユニキャストアド レスを利用します。

マスタールータのシャットダウン

マスタールータはLANから切り離されたり、電源が落ちたりした場合には不可 避的にシャットダウンしますが、回線側での通信が何らかの理由でできなくなっ た場合に積極的にシャットダウンし、バックアップルータに切り替えることも できます。

優先度

VRRPルータはそれぞれ優先度を持ち、優先度の高いルータがマスタールータと なり、他のルータはバックアップとなります。優先度は1〜255の数値で設定し ますが、スムーズなマスター/バックアップ切り替えのためにはできるだけ優 先度は大きな差をつけておくのがいいでしょう。

また、優先度はまったく同じ値を設定してもよいことになっていますが、その 場合、各VRRPルータのLANインタフェースのIPアドレスの大小によって優先さ れるべきVRRPルータが決まりますが、複数のルータが同時にマスタールータに なろうとしますので、その間の調整でマスタールータがばたばたすることが起 こりえます。やはり優先度はできるだけ大きな差をつけて設定すべきです。

プリエンプトモード

VRRPの動作モードの一つに、プリエンプトモードがあります。プリエンプトモー ドか否かでマスタールータ選出の方法が変わってきます。

非プリエンプトモードでは、先に優先度の低いVRRPルータがマスタールータと なっていた場合には、そこに後から優先度の高いVRRPルータが参加してもマス タールータの切り替わりは起こらず、従来からのマスタールータがマスターと して動作し続けます。一方、プリエンプトモードで動作している場合には、優 先度の高いVRRPルータが加わると必ずそちらにマスタールータが切り替わりま す。

通常は、プリエンプトモードで運用します。非プリエンプトモードは、マスター ルータが頻繁にダウンする場合に利用できます。

動的経路制御

VRRPを設定しているLANインタフェースでは動的経路制御は動作させない方が よいでしょう。一方、VRRPを設定していないインタフェースで動的経路制御を 動作させ、その状態によってマスタールータを切り替えるという形はありえま す。

コマンド

• VRRPを利用する

  [入力形式]

  ip INTERFACE vrrp VRID IP-ADDRESS [priority=PRIORITY] [preempt=PREEMPT] [auth=AUTH]
  no ip INTERFACE vrrp VRID [...]

  [パラメータ]

  INTERFACE ...	LANインタフェース名
  VRID ...	VRRPグループID、1〜255
  IP-ADDRESS ...	仮想ルータのIPアドレス
  PRIORITY ...	優先度、1〜254
  PREEMPT ...	プリエンプトモード、'on'または'off'
  AUTH ...	8文字以内のテキスト認証文字列

  [説明]

  指定したVRRPグループを利用することを設定する。
  同じVRRPグループに所属するルータの間では、VRID及び仮想ルータのIP アドレスを一致させておかなくてはいけない。これらが食い違った時の 動作は予測できない。
  "auth="パラメータを指定しない時には、認証なしとして動作する。

  [ノート]

  PRIORITYおよびPREEMPTの指定は、仮想ルータのIPアドレスとして自分自 身のLANインタフェースに付与されているアドレスを指定している場合に は無視される。この場合、優先度は最高の255となり、常にプリエンプト モードで動作する。

  [デフォルト]

  PRIORITY=100
  PREEMPT=on
  AUTH: 認証なし

• マスタールータ動作時のシャットダウントリガを設定する

  [入力形式]

  ip INTERFACE vrrp shutdown trigger VRID LAN-INTERFACE
  ip INTERFACE vrrp shutdown trigger VRID pp PP-NUMBER [dlci=DLCI]
  ip INTERFACE vrrp shutdown trigger VRID route NETWORK [NEXTHOP]
  no ip INTERFACE vrrp shutdown trigger VRID LAN-INTERFACE
  no ip INTERFACE vrrp shutdown trigger VRID pp PP-NUMBER [...]
  no ip INTERFACE vrrp shutdown trigger VRID route NETWORK

  [パラメータ]

  INTERFACE ...	LANインタフェース名
  VRID ...	VRRPグループID、1〜255
  LAN-INTERFACE ...	LANインタフェース名
  PP-NUMBER ...	PP番号
  DLCI ...	DLCI番号
  NETWORK ...	ネットワークアドレス、"IPアドレス/マスク長"または'default'
  NEXTHOP ...	インタフェース名、もしくはIPアドレス

  [説明]

  指定したVRRPグループでマスタールータとして動作している時に、指定 した条件によってシャットダウンすることを設定する。

  • LANインタフェース形式

    指定したLANインタフェースのリンクが落ちるとシャットダウンする。

  • pp形式

    指定したPP番号に該当する回線で通信できなくなった時にシャットダ ウンする。通信できなくなるとは、ケーブルが抜けるなどレイヤ1が落 ちた場合と、以下の場合である。

    • 回線がISDN回線である場合は、呼が接続されていない時
    • 回線が専用線である場合には、LCPキープアライブによって通信相 手が落ちたと判断した時
    • 回線がFRであってdlci=DLCIを指定している場合には、PVC状態確 認手順によって指定したDLCI番号が通信できないと判断した時
  • route形式

    指定した経路が経路テーブルに存在しないか、NEXTHOPで指定したイン タフェースもしくはIPアドレスで指定するゲートウェイに向いていな い時に、シャットダウンする。NEXTHOPを省略した場合には、経路がど のような先を向いていても存在する限りはシャットダウンしない。

• 自分側セキュリティ・ゲートウェイのIPアドレスの設定

  [入力形式]

  ipsec ike local address GATEWAY_ID IP_ADDRESS
  ipsec ike local address GATEWAY_ID vrrp INTERFACE VRID
  no ipsec ike local address GATEWAY_ID [...]

  [パラメータ]

  GATEWAY_ID ...	セキュリティ・ゲートウェイの識別子となる1以上の数値 最大値は、RT300iで100、RT200i/RT140で20、その他は10
  IP_ADDRESS ...	自分側セキュリティゲートウェイのIPアドレス any ... 自動選択
  INTERFACE ...	LANインタフェース名
  VRID ...	VRRPグループID、1〜255

  [説明]

  自分側セキュリティ・ゲートウェイアドレスのIPアドレスを設定する。

  vrrpタイプの指定方式では、VRRPマスターとして動作している時のみ、 指定したLANインタフェース/VRRPグループIDの仮想IPアドレスを自分側 セキュリティ・ゲートウェイアドレスとして利用する。VRRPマスターで ない時には鍵交換は行わない。

• VRRPの情報を表示する

  [入力形式]

  show status vrrp [INTERFACE [VRID]]

  [パラメータ]

  INTERFACE ...	LANインタフェース名
  VRID ...	VRRPグループID、1〜255

  [説明]

  VRRPの情報を表示する。

NATとの連携

ヤマハルーターの仕様としてはVRRPの仮想IPアドレスとNATの外側アドレスが 同一であれば連携する（マスタ状態である場合にだけARPに応答する）ように なっています。 静的NATについても同じで、VRRPの仮想IPアドレスと一致する外側アドレスを もつエントリ1つだけがVRRPと連携します。 VRRPの仮想IPアドレスと一致しない静的NATの外側アドレスまでもVRRPに連携 させることはできません。