|
HSRPのHelloタイマー( default3秒 )とHoldタイマー(
default10秒 )は変更することができます。
 HSRPの認証設定
HSRPでは同一のグループ内でのHSRP認証が行えます。同じグループ内で認証文字列が一致
上記のHSRP設定は平分認証です。HSRP認証をよりセキュアにするためにMD5による認証も可能。 MD5による認証は、「key-string」を使用する方法、「key-chain」を使用する方法の2つがあります。 - key-stingによるダイレクトな鍵生成 -
- key-chainによる間接的な鍵生成 -
HSRPの仮想MACアドレス設定仮想MACアドレスはデフォルトで [ 000.0c07.acXX ] で構成されます。「XXはHSRPグループ番号」。 仮想MACアドレスは手動による定義も可能です。これは、例えばAPPNのネットワークで役立ちます。
仮想MACアドレスに、I/Fの実MACアドレスを使用することも可能です。このコマンドはトークンリング インターフェースでHSRPの仮想MACアドレスに機能アドレスを使用する場合の制限を克服するために 実装されました。但し、プロキシARPの使用不可、HSRPのグループ制限( IOS12.0(.3.4)T以前 ) の 問題があります。[ scope interface ] を指定しない場合、全てのサブインターフェースに適用されます。
※ Ethernetコントローラに旧式のLance, PQUICCを使用している機器で、複数のHSRPを作成する時にも使用されます。 ICMPリダイレクトのディセーブルICMPリダイレクトメッセージにより、パケットの送信元ホストは最適なネクストホップを学習する ことになり、HSRP環境においてもActive、Standbyルータの位置づけに関係なく、送信される ICMPリダイレクトメッセージのネクストホップアドレスに従い、ネクストホップアドレスを変更して しまいます。その場合、HSRPの冗長構成は損なわれるのでこの機能を無効にするのが推奨。 ※ 但し、ip redirectはインターフェース上でHSRPの設定が行われている場合は自動的にディセーブルにされます。
あるいは、ICMPリダイレクトメッセージのHSRPフィルタリングという手法もあります。その場合は 例えばstandby redirect enableと定義すればredirectメッセージにVIPを送信できるというHSRPと ICMPリダイレクトメッセージのコラボレーションも実現することができます。詳細はこちらをご参照。
MHSRP ( Multiple HSRP ) の設定1つのルータを、1つのセグメント上の複数のHSRPグループのメンバーにすることができます。 複数のHSRPグループを設定することにより、冗長性とロードシェアリングの機能が高まります。 MHSRPにより、1つのルータがあるHSRPグループではアクティブにトラフィックを転送しながら 別のグループではスタンバイ状態になることができます。以下の表の実装が下図となります。
※ この実装により、ホストAはR1へパケットを転送して、R1がダウンするとR2へ転送するようになります。それに対し ホストBはR2へパケットを転送して、R2がダウンするとR2へ転送するようになり、冗長性と負荷分散が実現します。 
※ Active側にtrackインターフェースの設定がない場合は、実際にはStandby側では [ preempt ] の設定の必要性はありません。 Resource : CatalystLANスイッチ教科書 LANスイッチング Configuring HSRP HSRP FAQ Cat3560 HSRP HSRPの機能 |
||||||||||||||||||||||