HSRP 実践編:(17) HSRP の設定用コマンド(3)

HSRP 関連のコマンド一覧です。

  • standby authentication
  • standby authentication md5 key-string 
  • standby authentication md5 key-chain

a
[no] standby [Group Number] authentication [text] [Word]

認証用の文字列を設定します。IOS バージョン10.0 から使用可能です。

Group Number

スタンバイ・グループ番号です。IOS version 10.3 から、グループ番号を指定できるようになりました。
0から255まで指定できます。指定しない場合は0 が選択されます。
IOS バージョン12.3(4)T からサポートされるHSRP バージョン2 を使用する場合は、0 から4095 まで指定できます。

text

認証文字列が暗号化されていない平文(プレイン・テキスト)であることを指定します。省略可能です。
IOS バージョン12.1 から使用可能になりました。IOS version 12.1 以降でも、省略して文字列を直接入力することもできます。

Word

認証文字列を設定します。半角で101文字までです。
英数字と、? 以外の記号 -=\`!@#$%^&*()_+|~[]{};':",./<> が使用できます。

コマンドの先頭にno を付けると、設定を削除できます。



[no] standby [Group Number] authentication md5 key-string [0 | 7] [Word] [Timeout] [Value]

ハッシュアルゴリズムにMD5 を使って、認証文字列の暗号化を行います。IOS バージョン12.3(2)T から使用可能です。

Group Number

スタンバイ・グループ番号です。IOS version 10.3 から、グループ番号を指定できるようになりました。
0から255まで指定できます。指定しない場合は0 が選択されます。
IOS バージョン12.3(4)T からサポートされるHSRP バージョン2 を使用する場合は、0 から4095 まで指定できます。

0

キーを暗号化しないことを指定します。省略した場合も暗号化しないことを意味します。

7

キーを暗号化することを指定します。省略した場合は暗号化しないことを意味します。

Word

キー文字列を入力します。半角で64文字までです。
英数字と、? 以外の記号 -=\`!@#$%^&*()_+|~[]{};':",./<> が使用できます。

Timeout

キーを変更する際はアクティブ・ルーター以外のルーターを先に変更し、最後にアクティブ・ルーター変更する必要があります。
Timeout は、キーの設定を変更している間、アクティブ・ルーターから受け取る古い(変更前の)キーを何秒間許容するかを指定します。
許容している秒数が経過すると、認証に失敗したことを意味するメッセージを出力して、アクティブ・ルーターになろうとします。
つまり、スタンバイ・グループに所属するすべてのルーターでキーを変更し終えるのに必要な時間を、指定する必要があります。

許容されるのは、アクティブ・ルーターからの古いキーだけです。
アクティブ・ルーターからの新しいキーは許容されないため、アクティブ・ルーターからキーの変更を始めると、他のルーターは即座に認証失敗のメッセージを表示してアクティブ・ルーターになろうとします。

他のルーターからの新しいキーは即座に認証失敗と判断されてメッセージが表示されますが、アクティブ・ルーターとの間で同じキーを使っている限りアクティブ・ルーターになろうとはしないので問題ありません。

Cisco は、Active Router でキーの変更をした場合、古いキーを保持するのは(Timeout で設定した値ではなく)Hold Time の間だけと述べていますが、実際にはTimeout 値の方が有効なようです。
しかし、結局のところ、アクティブ・ルーターのキーを先に変更すると、他のルーターが即座にアクティブ・ルーターになろうとしてしまうので、やはりアクティブ・ルーターのキーは最後に設定しなければなりません。

The active router should have its key string changed no later than one holdtime period, specified by the standby timers interface configuration command, after the non-active routers.

IOS バージョン12.4 で確認したところ、記号の! で始まるkey-string を指定すると、Timeout オプションが表示されません(そのほかの記号は大丈夫です)。
 ! で始まるKey-string が使えないわけではありません。

Router-A(config-if)#standby 10 authentication md5 key-string !test-key ?
0 Specifies an UNENCRYPTED key string will follow
7 Specifies a HIDDEN key string will follow
WORD Key string (64 chars max)

Router-A(config-if)#standby 10 authentication md5 key-string !test-key


Timeout は表示されませんが、直接入力することは可能です。

Router-A(config-if)#standby 10 authentication md5 key-string !key ?
  0     Specifies an UNENCRYPTED key string will follow
  7     Specifies a HIDDEN key string will follow
  WORD  Key string (64 chars max)

Router-A(config-if)#standby 10 authentication md5 key-string !key timeout 10
Router-A(config-if)#

Value

0 から32767 の間で指定可能です。

コマンドの先頭にno を付けると、設定を削除できます。

Cisco は、Key の長さを16文字以上にすることを推奨しています。

The key can contain up to 64 characters. We recommend using at least 16 characters. 



[no] standby [Group Number] authentication md5 key-chain [Word]

ハッシュアルゴリズムにMD5 を使って、認証文字列の暗号化を行います。key chain コマンドで事前に作成したキーチェインを用いる場合に使用します。
IOS バージョン12.3(2)T から使用可能です。

Group Number

スタンバイ・グループ番号です。IOS version 10.3 から、グループ番号を指定できるようになりました。
0から255まで指定できます。指定しない場合は0 が選択されます。
IOS バージョン12.3(4)T からサポートされるHSRP バージョン2 を使用する場合は、0 から4095 まで指定できます。

Word

key chain コマンドで作成したキーチェインの名前を指定します。

コマンドの先頭にno を付けると、設定を削除できます。