HSRP 実践編:(8) HSRP のスタンバイ・グループに参加するルーターの認証

HSRP のスタンバイ・グループに参加するルーターに、共通の合言葉を設定します。

a

※ 『HSRPを究める:実践編 (7) HSRP のタイマーを変更する』で設定したHello Time とHold Time は、デフォルト値に戻しておいてください。


デフォルトの合言葉は"cisco" に設定されています(running-config には表示されません)。

hsrp-b8-1.png

三台のルーター(Router-A、B、C)に、standby 10 authentication test を設定します。
Router-A#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router-A(config)#interface ethernet 0/0
Router-A(config-if)#standby 10 authentication test
Router-A(config-if)#^Z
Router-A#

設定変更中、Router-C のコンソールに次のようなメッセージが表示されます。

Router-C(config-if)#
Feb 7 02:12:31.013: %STANDBY-3-BADAUTH: Bad authentication from 192.168.1.101, group 10, remote state Active
Feb 7 02:12:38.021: %STANDBY-6-STATECHANGE: Ethernet0/0 Group 10 state Standby -> Active

それまで同じ合言葉だったRouter-Aが別な合言葉を使い始めたのを検出し、認証失敗を警告します。

認証に失敗すると、グループ番号は同じ10であっても別なスタンバイ・グループと判断して、Router-C はスタンバイ・ルーターからアクティブ・ルーターに移行します。

Router-A はアクティブ・ルーターであり続けるため、同じスタンバイ・グループの中に同じバーチャルIP アドレスを持った二台のアクティブ・ルーター が出現します。

この状態はすべてのルーターに同じ合言葉(認証文字列)を設定すると解消します。

全てのルーターで設定が終わると、下図のようになります。

hsrp-b8-2.png


認証文字列の異なるルーターを接続してみる

ここで、認証文字列がデフォルト("Cisco")のままのRouter-X を接続してみます。

hsrp-b8-3.png

Router-A のコンソールに、IP アドレス(バーチャルIP アドレス)が重複していることを警告するメッセージが表示されます。

Router-A#
Feb 7 02:18:09.846: %IP-4-DUPADDR: Duplicate address 192.168.1.1 on Ethernet0/0, sourced by 0000.0c07.ac00
Router-A#

Router-X は新たに接続されたルーターなので、Bad Auth とはならず最初から別物扱いされます。
別なグループ扱いなのは先の例と同じで、重複するバーチャルIP アドレスを持ったアクティブ・ルーターとなってしまいます。