仮想ルーティング冗長プロトコルVRRP-デュアルシステムホットバックアップの基礎

I.概要

バックグラウンド

インターネットの発展に伴い、人々はネットワークの信頼性に対する要求をますます高めています。特にエンドユーザーにとって、ネットワークの他の部分とリアルタイムで連絡を取り合うことができることは非常に重要です。一般的に、ホストはデフォルトのゲートウェイを設定することで外部ネットワークと通信します。

ホストは、外部ネットワークに送信されたメッセージをゲートウェイに送信します。ゲートウェイは、ゲートウェイによって外部ネットワークに渡され、ホストと外部ネットワーク間の通信を実現します。通常の状況では、ホストはゲートウェイの動作を完全に信頼できますが、ゲートウェイが故障すると、ホストと外界との間の通信が中断されます。ネットワーク中断の問題を解決するには、ゲートウェイの追加に依存して解決できます。ただし、ほとんどのホストではデフォルトゲートウェイの構成しか許可されていないため、ネットワーク管理者はネットワーク構成に手動で介入して、ホストが新しいゲートウェイを使用して通信できるようにする必要があります。 RIP、OSPFなどの実行や、IRDPの使用など、ネットワーク障害の問題を解決するために動的ルーティングプロトコルを使用する場合があります。ただし、これらのプロトコルは、構成が複雑であるか、セキュリティパフォーマンスが低いため、ユーザーのニーズを満たすことができません。

ネットワーク中断の問題をより適切に解決するために、ネットワーク開発者はVRRPを提案しました。これは、ネットワークの状況を変更する必要も、ホストでの構成も必要ありません。関連するルーターでいくつかのコマンドを構成するだけで済みます。ネクストホップゲートウェイのバックアップは、ホストに負担をかけることなく実現できます。他の方法と比較して、VRRPはユーザーのニーズをよりよく満たすことができます。

VRRPの紹介

VRRP（Virtual Router Redundancy Protocol）は、フォールトトレラントプロトコルです。通常、ネットワーク内のすべてのホストがデフォルトのルートを設定します。仮想ルーターの責任をLAN上のVRRPルーターの1つに動的に割り当てることができます。仮想ルーターのIPアドレスを制御するVRRPルーターはマスタールーターと呼ばれ、これらの仮想IPアドレスにパケットを転送する役割を果たします。プライマリルーターが使用できなくなると、この選択プロセスにより動的フェイルオーバーメカニズムが提供され、仮想ルーターのIPアドレスをエンドホストのデフォルトのファーストホップルーターにすることができます。VRRPを使用する利点は、各エンドホストで動的ルーティングまたはルート検出プロトコルを構成する必要がなく、デフォルトのパスの可用性が高くなることです。VRRPパケットはIPパケットにカプセル化されて送信され（最下層はIPプロトコルに基づいています）、さまざまな上位層プロトコルをサポートします。

関連する概念

• VRID：仮想ルーターの識別子。同じVRIDを持つルーターのグループは、仮想ルーターを構成します。

• 仮想ルーター：マスタールーターと複数のバックアップルーターで構成されます。ホストは、仮想ルーターをデフォルトのゲートウェイとして使用します。

• マスター（マスター）ルーター：仮想ルーターでのメッセージ転送を担当するルーター。

• バックアップルーター：マスタールーターに障害が発生したときにマスタールーターを置き換えることができるルーター。

• 仮想IPアドレス：仮想ルーターのIPアドレス。仮想ルーターは、1つ以上のIPアドレスを持つことができます。

• IPアドレス所有者：インターフェースIPアドレスが仮想IPアドレスと同じルーターは、IPアドレス所有者と呼ばれます。

• 仮想MACアドレス：仮想ルーターには仮想MACアドレスがあります。仮想MACアドレスの形式は00-00-5E-00-01- {VRID}です。通常の状況では、仮想ルーターは仮想MACアドレスを使用してARP要求に応答します。仮想ルーターが特別に構成されている場合にのみ、仮想ルーターはインターフェースの実際のMACアドレスに応答します。

• 優先度：VRRPは、優先度に基づいて仮想ルーター内の各ルーターのステータスを決定します。

• 非プリエンプティブモード：バックアップルーターが非プリエンプティブモードで動作する場合、マスタールーターに障害が発生しない限り、バックアップルーターは、後でより高い優先度で構成されても、マスタールーターにはなりません。

• プリエンプションモード：バックアップルーターがプリエンプションモードで動作している場合、VRRPパケットを受信すると、その優先度をアドバタイズメントパケットの優先度と比較します。その優先度が現在のマスタールーターの優先度よりも高い場合、それはアクティブにマスタールーターになるためにプリエンプトします。そうでない場合、バックアップ状態を維持します。

2.VRRPのメッセージ構造

VRRPプロトコルには、VRRPパケット（アドバタイズメントパケット）という1種類のパケットしかありません。VRRPパケットは、マスターデバイスの優先度とステータスを同じ仮想ルーター内のすべてのVRRPルーターにアドバタイズするために使用されます。

VRRPパケットはIPパケットにカプセル化され、VRRPに割り当てられたIPv4マルチキャストアドレスに送信されます。IPパケットヘッダーでは、送信元アドレスはパケットを送信するメインインターフェイスアドレス（仮想アドレスや補助アドレスではありません）、宛先アドレスは224.0.0.18、TTLは255、プロトコル番号は112です。VRRPメッセージの構造を図1に示します。

VRRPパケットはIPパケットにカプセル化されます。専用のVRRPIPv4マルチキャストアドレス（プロトコル番号112、マルチキャストアドレス224.0.0.18）を使用します

IANAによってVRRPに割り当てられたIPプロトコル番号は112（10進数）です。

IANAによってVRRPに割り当てられたIPマルチキャストアドレスは224.0.0.18です。これはローカル範囲のマルチキャストアドレスです。TTL値に関係なく、ルーターはこのアドレスを宛先アドレスとしてパケットを転送することを禁止されています。

VRRPパケットのIPヘッダーでは、TTLは255である必要があります。場合VRRPルータがそのTTL 255に等しくないVRRPプロトコルパケットを受信し、それを捨てなければなりません。

• バージョン：4ビット、プロトコルバージョン番号、現在のVRRPはバージョン2です。

• タイプ：4ビット。VRRPパケットのタイプを定義します。このバージョンのプロトコルは1つのメッセージタイプのみを定義し、フィールド値は1：ADVERTISEMENTです。タイプが不明なメッセージは破棄する必要があります。

• 仮想RtrID：8ビット。仮想ルーター識別（VRID）フィールドは、このメッセージによってステータスが報告される仮想ルーターを識別します。設定可能な範囲は1〜255です。デフォルト値はありません。

• 優先度：8ビット。[優先度]フィールドは、このメッセージを送信するVRRPルーターの優先度を宣言します。値が高いほど、優先度が高くなります。このフィールドは8ビットの符号なし整数です。

  VRRPルーターが仮想ルーターアドレスのIPアドレス所有者である場合、その優先順位は自動的に最大値の255になります。バックアップVRRPルーターの優先度は1〜254でなければなりません。0は、デバイスがVRRPへの参加を停止することを意味します。これは、タイマーの期限が切れるのを待たずに、バックアップルーターをできるだけ早くプライマリルーターにするために使用されます。デフォルトのVRRPルーターの優先度は100です。

• IPアドレスのカウント：8ビット、このVRRPブロードキャストアナウンスに含まれるIPアドレスの数。

• 認証タイプ：8ビット。認証タイプフィールドは、使用する認証方法を識別するために使用されます。認証タイプは、仮想ルーターグループ内で一意です。認証タイプフィールドは、8ビットの符号なし整数です。パケットに不明な認証タイプが含まれている場合、または認証タイプがローカルで構成された認証方法と一致しない場合は、パケットを破棄する必要があります。

  現在定義されている認証方法は次のとおりです。

  • 0-認証なし

    この認証タイプは、VRRPプロトコルパケットの交換に認証が不要であることを示します。VRRPプロトコルメッセージを送信する場合、[認証データ]フィールドは0に設定されます。プロトコルメッセージを受信する場合、[認証データ]フィールドは無視されます。

  • 1-予約済み

  • 2-予約済み

  説明：
  VRRPの初期バージョンでは、いくつかの認証タイプが定義されていました[RFC2338]。これらの認証タイプの定義は、このドキュメントでは削除されています。これは、実際の経験では、これらの認証方法は実際のセキュリティ保証を提供せず、VRRPグループ内の複数のマスターのみを引き起こすためです。

• Adver Int：8ビット、VRRP通知間隔時間（秒単位）。デフォルトは1秒です。このフィールドは主に、ルーターが正しく構成されていない場合の障害の場所と解決に使用されます。

• チェックサム：16ビット。チェックサムフィールドは、VRRPメッセージのデータが間違っているかどうかを検出するために使用されます。

  チェックサムは、バージョンフィールドから始まるVRRPメッセージ全体の1の16ビット補数合計です。（RFC1071は、チェックサム計算の詳細を説明しています）。

• IPアドレス：32ビット。IPアドレスフィールドは、仮想ルーターの1つ以上のIPアドレスです。IPアドレスの数は、「CountIPAddrs」フィールドに記載されています。IPアドレスフィールドは、ルーターが正しく構成されていない場合に障害を特定して解決するために使用されます。

• 認証データ：32ビット、認証文字列はRFC2338との下位互換性のためにのみ使用されます。このフィールドは、VRRPメッセージを送信するときは0に設定する必要があり、VRRPメッセージを受信するときは無視する必要があります。

第三に、VRRPのステートマシン

VRRPプロトコルでは、初期状態（初期化）、アクティブ状態（マスター）、およびバックアップ状態（バックアップ）の3つの状態マシンが定義されています。その中で、アクティブなデバイスのみが仮想IPアドレスに送信されたパケットを転送できます。

• 初期化

初期化状態はVRRPの初期状態です。インターフェイスがVRRPで構成された後、インターフェイスがダウンしている場合（たとえば、インターフェイスがシャットダウンされているか、ケーブルが接続されていない場合）、インターフェイスのVRRP状態は初期化で停滞します。

インターフェイスがアップした後、スタートアップへのメッセージのVRRP優先度が255の場合（これは、インターフェイスの実際のIPアドレスがVRRP仮想IPアドレスである場合に発生します）、インターフェイスのVRRP状態が初期化からマスターに切り替わります。インターフェイスのVRRP優先度が255でない場合、バックアップ状態になります。

• マスター、ルーターがマスター状態の場合、次のことを行います。

  • VRRPパケットを定期的に送信します。デフォルトの時間間隔は1秒です。

  • 仮想IPアドレスのARP要求に仮想MACアドレスで応答します。

  • 宛先MACアドレスが仮想MACアドレスであるIPパケットを転送します。

  • この仮想IPアドレスの所有者である場合、宛先IPアドレスがこの仮想IPアドレスであるIPパケットを受信します。それ以外の場合は、IPパケットを破棄します。

  • 自身よりも優先度の高いパケットを受信すると、バックアップ状態に切り替わります（VRRPはデフォルトでプリエンプションモードを有効にします）。

  • 自分と同じ優先度のパケットを受信し、送信者のプライマリIPアドレスが自分のプライマリIPアドレスよりも大きい場合、そのパケットはバックアップ状態に変わります。

  • インターフェイスのShutdownイベントを受信すると、Initializeに変わります。

• バックアップ：ルーターがバックアップ状態の場合、次の処理を実行します。

  • マスターから送信されたVRRPパケットを受信して​​、マスターのステータスが正常かどうかを判断します。

  • 仮想IPアドレスのARP要求には応答しません。

  • 宛先MACアドレスが仮想MACアドレスであるIPパケットを破棄します。

  • 宛先IPアドレスが仮想IPアドレスであるIPパケットを破棄します。

  • バックアップ状態では、優先度の低いパケットを受信した場合、タイマーをリセットせずに破棄します。同じ優先度のパケットを受信した場合、IPアドレスを比較せずにタイマーをリセットします。

  • バックアップは、MASTER_DOWN_TIMERタイマーが期限切れになるイベントを受信すると、マスターになります。

  • インターフェイスのShutdownイベントを受信すると、Initializeに変わります。

第四に、VRRPにおけるマスターの選出と作業プロセス

マスタールーター選挙

VRRPグループでは、通常の状況ではマスタールーターは1つしか存在できません。VRRPは、優先度とIPアドレスに基づいて、マスターとして機能するルーターを決定します。優先度の範囲は0〜255です。優先度が高いほど優れており、ルーターがマスターになる可能性が高くなります。その中で、0と255は2つの特別な優先順位であり、直接構成することはできません。

• 優先度は255です。ルーターのインターフェースIPアドレスがVRRP仮想IPアドレスと同じ場合、その優先度は自動的に最大値の255になります。このとき、ルーターはIPアドレス所有者と呼ばれます。

• 優先度0：マスタールーターがマスターの役割を積極的に放棄した場合に表示されます。たとえば、インターフェイスのVRRP構成が手動で削除された場合、マスタールーターは優先度0のVRRPパケットをすぐに送信して、ネットワーク内のバックアップに通知します。ルーター。

VRRPでアクティブ化されたインターフェイスがアップの場合、インターフェイスのVRRP優先度が255の場合、そのVRRP状態は初期化（初期状態）からマスター（マスター状態）に直接切り替わります。インターフェイスのVRRP優先度が255でない場合、次に、最初にバックアップ（バックアップ状態）に切り替え、次に競合結果に応じてマスターに切り替えるかどうかを決定します。

同じブロードキャストドメインの同じVRRPグループに2つのマスタールーターがある場合、それらは相互に優先度を比較します。優先度の値が高いデバイスが勝ち、マスター状態を維持し続けますが、競合に失敗したルーターはバックアップ状態に切り替えます。2つのマスタールーターの優先度が等しい場合、インターフェイスIPアドレスが大きいルーターインターフェイスはマスター状態のままになり、もう一方のデバイスはバックアップ状態に切り替わります。もちろん、ネットワークが安定して動作している場合、同じVRRPグループに同時に2つのマスタールーターがあってはなりません。

マスター状態のルーターは定期的にVRRPパケットを送信し、その優先度、IPアドレス、およびその他の情報をパケットに記述します。同じブロードキャストドメイン内で、同じVRRPグループのバックアップルーターがこれらのパケットをリッスンします。この時点で新しいバックアップルーター（現在のマスタールーターよりも優先度が高い）がネットワークに表示され、プリエンプション機能がアクティブになっている場合、受信したVRRPパケットを無視し、マスターに切り替えてリッスンし、同時に独自のVRRPを送信します。メッセージには、優先度やその他の情報も記載されています。VRRPメッセージを受信すると、前のマスタールーターがバックアップ状態に切り替わります。

作業過程

通常の仕事

VRRP機能を有効にした後、ルーターは優先度に基づいてバックアップグループでの役割を決定します。優先度の高いルーターがマスタールーターになり、優先度の低いルーターがバックアップルーターになります。マスタールーターは定期的にVRRPアドバタイズメントメッセージを送信して、バックアップグループ内の他のルーターに正常に動作していることを通知します。バックアップルーターはタイマーを開始して、アドバタイズメントメッセージの到着を待機します。

• プリエンプションモードでは、バックアップルーターがVRRPアドバタイズメントメッセージを受信すると、その優先度をアドバタイズメントメッセージの優先度と比較します。アドバタイズメントメッセージの優先度よりも大きい場合はマスタールーターになり、それ以外の場合はバックアップ状態のままになります。

• 非プリエンプティブモードでは、マスタールーターに障害が発生しない限り、バックアップグループ内のルーターは常にマスターまたはバックアップ状態を維持し、バックアップルーターは、後でより高い優先度で構成されてもマスタールーターにはなりません。

バックアップルーターのタイマーが切れてもマスタールーターからVRRPアドバタイズメントメッセージが届かない場合は、マスタールーターが正常に動作していないと考えられます。このとき、バックアップルーターは自身をマスタールーターとみなし、VRRPアドバタイズメントメッセージを送信します。バックアップグループ内のルーターは、優先度に応じてマスタールーターを選択し、パケット転送機能を実行します。

VRRPフェイルオーバー

マスタールーターは定期的にVRRPパケットを送信して、仮想ルーターの構成情報（優先度など）と動作ステータスを通知します。バックアップルーターは、VRRPパケットを受信することにより、マスタールーターが正常に動作しているかどうかを判断します。

• マスタールーターがマスターのステータスをアクティブに放棄すると（たとえば、マスタールーターが仮想ルーターを終了すると）、優先度0のVRRPパケットが送信され、バックアップルーターがすぐにマスタールーターに切り替わります。この切り替え時間はスキュー時間と呼ばれ、計算方法は次のとおりです。（256-バックアップルーターの優先度）/ 256秒単位（バックアップルーターの優先度が高いほど、時間は短くなります）。

• ネットワーク障害のためにマスタールーターがVRRPパケットの送信に失敗した場合、バックアップルーターはその動作ステータスをすぐに知ることができません。バックアップルーターが一定時間待機した後、VRRPパケットを受信して​​いない場合、マスタールーターは正常に動作していないと見なし、マスタールーターにアップグレードして、VRRPパケットを定期的に送信します。バックアップルーターのデフォルトの待機時間はMaster_Down_Intervalと呼ばれ、値は次のとおりです。（3×VRRPパケット送信間隔）+スキュー時間（秒単位）。この時点で複数のバックアップルーターがマスタールーターの位置をめぐって競合する場合、マスタールーターが優先的に選択されます。

パフォーマンスが十分に安定していないネットワークでは、ネットワークの輻輳が原因で、バックアップルーターがMaster_Down_Interval中にマスタールーターからメッセージを受信せず、マスターとしての位置を積極的にプリエンプトする場合があります。この時点で元のマスタールーターのメッセージが到着すると、メッセージが表示されます。仮想ルーターのメンバーは、マスターをプリエンプトすることがよくあります。この現象の発生を軽減するために、遅延待機タイマーが特別に作成されています。Master_Down_Intervalを待機した後、バックアップルーターに遅延待機時間を待機させることができます。この期間中にVRRPパケットがまだ受信されない場合、バックアップルーターはマスタールーターに切り替わり、VRRPパケットを外部に送信します。

VRRP認証方式

VRRPには、次の3つの認証方法があります。

• 認証なし：VRRPメッセージの合法性の認証は実行されず、セキュリティ保証も提供されません。

• 単純文字認証：セキュリティの脅威にさらされる可能性のあるネットワークでは、認証方法を単純文字認証に設定できます。VRRPパケットを送信するルーターは、VRRPパケットに認証キーを入力し、VRRPパケットを受信するルーターは、受信したVRRPパケットの認証キーをローカルに構成された認証キーと比較します。認証キーが同じである場合、受信したメッセージは正当なVRRPメッセージであると見なされ、そうでない場合、受信したメッセージは不正なメッセージであると見なされます。

• MD5認証：非常に安全でないネットワークでは、認証方法をMD5認証に設定できます。VRRPメッセージを送信するルーターは、認証キーとMD5アルゴリズムを使用してVRRPメッセージを暗号化し、暗号化されたメッセージはAuthenticationHeader（認証ヘッダー）に格納されます。VRRPパケットを受信するルーターは、認証キーを使用してパケットを復号化し、パケットの正当性を確認します。

5.VRRPが提供する機能

一次バックアップ

これは、VRRPがIPアドレスのバックアップを提供する基本的な方法です。マスターバックアップモードでは、マスターといくつかのバックアップデバイスを含む仮想ルーターを確立する必要があります。

• 通常の状況では、すべてのビジネスはマスターによって行われます。
• マスターに障害が発生すると、バックアップデバイスが引き継ぎます。

負荷分散

1つのルーターで複数のバックアップを作成できるようになりました。負荷分散は、複数の仮想ルーター設定を通じて実現できます。

負荷分散とは、複数のルーターが同時にサービスを実行することを意味するため、2つ以上のバックアップグループを確立する必要があります。

負荷分散方式には以下の特徴があります。

- 每个备份组都包括一个Master设备和若干Backup设备。

• 各バックアップグループのマスターは異なる場合があります。

• 同じルーターが複数のバックアップグループに参加でき、バックアップグループが異なれば優先順位も異なります。
  

図に示すように、グループ1とグループ2の2つのバックアップグループを構成します。

• RouterAは、バックアップグループ1のマスターとして機能し、バックアップグループ2のバックアップとして機能します。

• RouterBは、バックアップグループ1と2の両方でバックアップとして機能します。

• ルーターCは、バックアップグループ2のマスターとして機能し、バックアップグループ1のバックアップとして機能します。

• 一部のホストはバックアップグループ1をゲートウェイとして使用し、他のホストはバックアップグループ2をゲートウェイとして使用します。

このように、データフローを共有し、相互にバックアップするという目的を達成するために。

モニタリング機能

アップリンクを監視する

VRRPネットワーク伝送機能では、作業を改善するために追加のテクノロジーが必要になる場合があります。たとえば、特定のネットワークへのマスタールーターのアップリンクが突然切断された場合、ホストはマスタールーターを介してネットワークにリモートアクセスできません。このとき、指定したインターフェースのアップリンク機能を監視することで、この問題を解決できます。マスタールーターは、アップリンクに障害があることを検出すると、その優先度を積極的に下げ（マスタールーターの優先度をバックアップルーターの優先度より低くします）、すぐにVRRPパケットを送信します。バックアップルーターは、それ自体よりも優先度の低いVRRPパケットを受信した後、Skew_Timeが新しいマスタールーターに切り替わるのを待ちます。これにより、このネットワークに到達できるバックアップルーターは、VRRPの新しいマスタールーターとして機能し、ホストがネットワーク通信を完了するのを支援します。

• VRRPは、アップリンクに接続されているインターフェイスのステータスを直接監視できます。アップリンクに接続されているインターフェイスがダウンすると、マスタールーターは指定された優先度だけ下げられます。VRRPの優先度は最低でも1に下げることができます。

• VRRPは、NQAテクノロジー（Network Quality Analyzerネットワーク品質分析、リアルタイムネットワークパフォーマンス検出および統計テクノロジー。応答時間、ネットワークジッタ、パケット損失率などのネットワーク情報に関する統計を実行できます）を使用して、リモートアップリンク接続を監視できます。ホストまたはネットワークのステータスを終了します。たとえば、マスターデバイスでNQAのICMPエコー検出機能を有効にして、リモートホストの到達可能性を検出します。ICMPエコー検出が失敗した場合、VRRP優先度を下げる目的を達成するために、検出結果をデバイスに通知できます。

• VRRPは、2つの転送ポイント間の障害を検出するために使用されるネットワークプロトコルであるBFDテクノロジー（双方向転送検出）も使用できます。ミリ秒レベルの検出を提供し、迅速なリンク検出を実現できます。BFDは通過して上位層になります。ルーティングプロトコルのリンケージにより、迅速なルーティングコンバージェンスを実現し、ビジネスの継続性を確保できます。）アップリンク接続のリモートホストまたはネットワークステータスを監視します。BFDの精度は10msに達する可能性があるため、BFDはリンクステータスの変化をすばやく検出でき、高速プリエンプションの目的を達成します。たとえば、マスタールーターでBFDテクノロジーを使用して、アップストリームデバイスの物理ステータスを監視できます。アップストリームデバイスが破損した後、変更がすばやく検出され、マスタールーターの優先度が下げられるため、バックアップルーターはスキュー時間を待機して新しいデバイスとしてプリエンプトします。マスタールーター。

バックアップはマスターの動作状態を監視します

マスタールーターが故障した後、バックアップルーターは通常Master_Down_Intervalが新しいマスター位置に切り替わるのを待つ必要があります。この間、パケットを転送するマスターデバイスがないため、ホストは正常に通信できません。このネットワーク障害を解決するために、バックアップデバイスはマスターの動作ステータスを監視する機能を提供します。これにより、マスタールーターが故障した後、バックアップはすぐに新しいマスタールーターに切り替えてネットワーク通信を維持できます。

バックアップルーターは、高速検出機能を備えたBFDテクノロジーを使用してマスタールーターを監視します。バックアップデバイスでこのテクノロジーを使用して、マスタールーターのステータスを監視します。マスタールーターに障害が発生すると、バックアップは自動的に新しいマスタールーターに切り替えて、切り替え時間をミリ秒に短縮します。

次の場合、BFDは検出された障害をインターフェイスボードに通知できるため、VRRPマスター/バックアップスイッチが高速化されます。

• バックアップグループに含まれているインターフェイスに障害が発生します。

• マスターとバックアップは直接接続されていません。

• マスターとバックアップは直接接続されていますが、中間リンクには伝送装置があります。

BFDは、バックアップとマスター間の実際のアドレス通信を検出します。通信が異常な場合、バックアップはマスターが使用不可であると見なし、マスターにアップグレードします。次の2つの場合、バックアップはマスターに変換されます。

• 2つのルーター間の直接接続がすべて切断されると、バックアップが主導権を握ってマスターにアップグレードし、アップストリームトラフィックを伝送します。

• マスターが再起動するか、マスターとスイッチ間のリンクが切断されるか、マスターに接続されているスイッチが再起動すると、バックアップはアクティブにマスターにアップグレードし、アップストリームトラフィックを伝送します。

VRRP高速スイッチングの環境要件：

• バックアップでは、BFDセッションによって検出されたインターフェイスがマスターデバイスに接続されている必要があります。

• マスターが使用できない場合、バックアップの優先度が高くなり、元のマスターの優先度よりも高くなり、マスターにすばやく切り替えるように求められます。

仮想IPアドレスのpingスイッチ

RFC3768は、仮想IPアドレスにpingを実行する必要があるかどうかを指定していません。仮想IPアドレスにpingを実行しないと、仮想ルーターの動作状態の監視に問題が発生します。仮想IPアドレスにpingを実行すると、仮想ルーターの動作状態の監視が容易になりますが、ICMPによって攻撃される可能性のある隠れた危険が発生します。ユーザーは、switchコマンドを開いてPing仮想IPアドレスを制御するかどうかを選択できます。

PS：
ICMPフラッド（つまり、ICMPフラッド攻撃）：ICMP pingによって生成された多数の応答要求がシステムの最大制限を超えると、システムは、効果的なネットワーク情報フローを処理できなくなるまで、応答するためにすべてのリソースを消費します。これがICMPフラッドです。攻撃。簡単に言うと、攻撃者は複数のICMPエコー要求パケットをサブネットのブロードキャストアドレスに送信します。そして、攻撃したいターゲットホストのアドレスとして送信元アドレスを偽装します。次に、サブネット上のすべてのホストがこのICMPエコー要求パケットに応答し、攻撃対象のターゲットホストにデータパケットを送信するため、このホストが攻撃され、ネットワークの輻輳が発生します。ICMPフラッド攻撃の主な目的は、ネットワークを麻痺させることです。これは、最も一般的で一般的に使用されるネットワーク攻撃の1つでもあります。

VGMPとmVRRPについては、他のブログ投稿で詳しく説明されています。

HSRPとVRRPの違い：

• 名前が違います。HSRPはアクティブでスタンバイです。VRRPはマスターとバックアップです。また、HSRPは1つのアクティブと1つのスタンバイのみを持つことができ、残りは監視状態にあります。VRRPはマスターを1つだけ持つことができ、残りはバックアップです。

• HSRP仮想ルーターのIPアドレスは、実際のルーターのIPアドレスと競合できませんが、VRRPは競合できます。VRRPでは、仮想ルーターのIPアドレスを実ルーターのIPアドレスに設定できます。IPは仮想ルーターにとって重要ではないため、最終的に転送されるデータは、仮想ルーターのMacアドレスに基づいて転送されます。

• HSRPのハロータイムはデフォルトで3秒で、ホールドタイムは10秒です。VRRPでは、Helloパケットは1秒でより速く収束し、ホールドタイムは3秒です。

• HSRPマルチキャストアドレスは224.0.0.2です。VRRPマルチキャストアドレスは224.0.0.18です

• HSRPは、デフォルトでプリエンプションを無効にします。VRRPは、デフォルトでプリエンプションを有効にします。

• HSRPはポートを直接追跡できます。VRRPはポートを直接追跡できませんが、オブジェクトを追跡できます。

• HSRPのアクティブとスタンバイの両方がHelloパケットを送信します。マスターのみがVRRPでHelloパケットを送信します。