Untitled

4-1Layer3 冗長化

〇本章で言う冗長化の発想
→複数のノードを1個の仮想ノードにグループ化して、１個が落ちたら同グループの別のやつに
　フェイルオーバーできるようにすること。

まず、デフォルトゲートウェイの冗長化を考えてみる。
※実用上はほとんどL3スイッチで行われているが、Lab用だとルータを使って説明することもある。
　なんでか：ルータはそのままポートにipが割り振れるが、スイッチはVLANにIPを振るのでひと手間かかるから。

複数のL3デバイスを冗長化するプロトコル群をまとめて、First Hop Redundancy Protocol: FHRPという。
FHRPには何種類もあるが根本は一緒で、物理デバイスをグループ化した１個の「仮想デバイス」をつくり、
その仮想デバイスのIPアドレス(MACアドレスも含む)をホストのDGWにする。
元の物理ルータには、仮想ルータへパケットを転送する転送ルータと、
障害時にその代わりとなる代替ルータとしての役割が割り振られる。
フェイルオーバーが起こると、転送ルータの交代が生じ、
グループ内の別ルータがその仮想ルータの同一のIP/MACを引き継ぐので、
障害時にも何事も生じなかったように可用性が保たれる。

現在の企業で導入されているFHRPの代表は下記３点。CCNAではHSRPをやるよ。
HSRP: Hot Standby Routing Protocol →Cicso独自。RFC2281。転送役ルータは１台。
VRRP: Virtual Router Redundancy Protocol→独自でない。RFC5798。
　　　 仮想IPに物理IPとは別のを振れるし、仮想IPにマスタールータのIPも振れる。転送役ルータは１台。
GLBP: Gateway Load Balancing Protocol→Cisco独自。なんと１個の設定で転送役ルータを複数台に設定でき、ロードバランシングできる。
　　　※HSRPでも後述するMHSRPでロードバランシングは可能。

4-2 HSRP

要するに、このコマンドを打つがよい。

R1     (Standbyにしたい)
Router(config-if)#standby 10 ip 192.168.1.200
Router(config-if)#standby 10 priority 50
Router(config-if)#standby 10 preempt
Router(config-if)#end

R2　（Activeにしたい)
Router(config-if)#standby 10 ip 192.168.1.200
Router(config-if)#standby 10 priority 200
Router(config-if)#standby 10 preempt
Router(config-if)#end

設定を確認したい：
#sh standby
#sh standby bri
#debug standby


・なんでHSRPなるものが考案されたか。
→キャンパスネットワークで物理L3デバイスは冗長化できるのだが、ホスト側にしてみると
　DGWはあくまで１個しか設定できないので、物理デバイスが余剰にあっても
　設定がそのままじゃフェイルオーバー出来ないから。
→なら、その１個のDGWを仮想IPにしてしまって、物理的にいくつあっても問題ない状態にしよう！

★HSRPグルーピングのルール
　・同一サブネット上に「HSRPグループ（スタンバイグループとも）」をつくる
　・そのサブネット内で、ホストアドレスに使用されて「ない」IPアドレスを仮想ルータに割り当て、DGWとする。
　・１つのHSRPグループ内で、アクティブルータ：転送役と、スタンバイルータ(代替役)はそれぞれ１台ずつ。
　・１グループにルータが３台以上あるとき、残りのルータは「Others」として、Active/Standbyの両方が落ちた時の代替役とする。
　・アクティブ、スタンバイの決定方法はプライオリティ値(Def:100) 大きい方がアクティブになるので注意。STPとは逆。
　　※デフォルト状態ですでにアクティブが決まっている場合は、障害時を除くと値を変更しても動的には交代しないが、
　　Preemption機能をオンにすると、動的にアクティブルータを再選出できるようになる。
　　グループ内にプライオリティ値の大きなルータが現れるか、後述するinterface trackingでプライオリティ値が変動したなど。

　仮想MACアドレスは、先頭5bitはすでに決まっていて0000.0c07.acまで固定。残りの1bitをHSRPのグループ番号にする。
　つまり、HSRP(version1)では00-ff、0～255までグループを作れるということに。
　HSRP(version2)では4096まで拡張されている。

　実通信では、ホストが外部NWへアクセスするためにARPを発信し、アクティブルータが仮想ルータのMACアドレスを返答する。
　その後、ホストから仮想MAC宛に発信されたパケットを、アクティブルータが転送する。
　※tracertだと、アクティブルータの物理MACが表示されるので注意。

★アクティブ/スタンバイの動作
　そもそもHSRPルータの状態には下記のものがある。
　・Initial : HSRP開始時の状態。設定を変更するか、I/Fを有効化した直後。
　・Listening: Hello msgを受信している。
   ・Learning: 仮想IPを認識してない。まだHello msgを受信してない。
　・Speak: Hello msgを定期的に送信し、Active/Standbyの選定に参加中
　・Standby: Hello msgを定期的に送信、Activeにいつでも替われるよう大気中
　・Active : Hello msgを定期的に送信、仮想MAC宛のパケットを転送する。
　※LearningとSpeakは一過性の状態
　※※Other routersは基本的にリスニングステート。(helloを受信するだけ。)

　アクティブになったルータは、仮想MACを送信元にしたHello msgをグループにマルチキャストする。
　プロトコルはUDP、宛先は224.0.0.2、宛先ポート1985,感覚はデフォルトで3秒。
　なお、HSRP ver2だと宛先は224.0.0.102、宛先ポートは一緒、仮想MACは0000.0c9f.fxxxになる。

　スタンバイのルータは、Hello msgが届かなくなるとHoldタイマー(デフォ10秒)を発動し、
　超えるとアクティブへ交代する。

　なお、スタンバイがアクティブへ変わるときに自ら発するmsgを、Coup(クー) msgという。

★プラスアルファの機能

　・HSRP認証:認証文字列を使って、認証されてないL3デバイスがHSRPグループに参加するのを防ぐ。
　 プレーンテキストを使う： conf)#standby 10 authentication blurblurblur
　 MD5で暗号化する場合　：conf)#standby 10 authentication md5 key-string blurblurblur

　・Interface Tracking: アクティブルータ内で、HSRPグループに直で設定したI/Fじゃないんだけど、
　　　　　　　　　　　　パケットの目的地につながる別のI/Fがダウンした場合、結局パケットが目的地に到達しない事になる。
　　　　　　　　　　　　でもデフォルト状態だと、ルータはアクティブのまま。
　　　　　　　　　　　　→こういうのもアクティブルータのダウンとして検知してフェイルオーバーを発生させたい。
　　→対象I/Fを追跡対象に指定し、そのI/Fがダウンしたときにそのルータのプライオリティ値を減らし、
　　　それをHello msgでマルチキャストするようにすればよい。
　　こうして出来たのがHSRPインターフェーストラッキング。
　　例えば、fa0/1をトラッキングしといて、ダウンしたらプ値を110減らしたいとなれば下記のコマンドを打つがよい。
　　conf-if)#standby 10 track fastethernet 0/1 110

      ※decrement値を設定しない場合、デフォルトの10が適用。10減るってこと。

　　複数ifをオブジェクトとして捉え、まとめて追跡する方法もあるがここでは深入りしない。
　　オブジェクトトラッキングという。

★HSRPロードバランシング(応用)：Multiple HSRPを利用。

  L3デバイス２台の冗長構成を考えるとして
　それぞれのデバイスごとに２つのHSRPグループを設定し、２つの仮想DGWを設定して、片方をActive、片方をStandbyにする。
　黒本P267の図を見よ。

　 ホスト４台用意して、２台分は仮想DGWの一方、もう２台分は仮想DGWのもう片方を使う。
　L3デバイスが２台とも生きている間は、それぞれのL3デバイスにトラフィックが流れてくれて、
　L3デバイスの１個が死んだときは生きている方のHSRPグループが２つともActiveになって、
　４台分のトラフィックを捌き出す。


 問題
1.　A,D,E
2.　A,B,E,F
3.　B
4.　D
5.　D(decrement設定なくね
6.　B
7.　D,E　(※1つに２グループならB正解）
8.   A