HSRP 基礎編:(14) HSRP ルーターの認証

HSRP では、スタンバイ・グループに参加するルーターに共通の文字列を設定することでルーターの簡易認証を行うことができます。

a

認証用の文字列を明示的に設定しない場合、デフォルトの文字列 "cisco" が使われます。

認証文字列は、standby authentication コマンドで設定します。

認証文字列は、Hello メッセージに格納されて送信されます。異なる認証文字列を持つHello メッセージを受信すると、ルーターは警告メッセージを表示します。
警告されますが文字列が異なるルーターを隔離する手段はありません。結果、スタンバイ・グループに複数のアクティブ・ルーターが存在することになってしまいます。

結果、同じIP アドレスを持つ複数のルーターが存在することとなります。

hsrp-a14-1.png

そのような状態でバーチャルIP アドレス宛にPing を実行すると、両方のルーターからリプライが返ってきます。
端末とルーターの間にレイヤー2 スイッチなどのラーニング・ブリッジが存在すると、同じバーチャルMAC アドレスが二つのポートの間を短時間に往復しているように見えます。
スイッチの実装によっては、ループが存在すると判断してポートを無効化することがあります。

hsrp-a14-2.png

HSRP における認証は、許可されないルーターが存在することを防ぐというよりは、管理者の知らないルーターが接続されたことを検出するための手段、と言うことができます。