IOS-XE 17.18.2からMeraki Configuratoni CloudモードでVRRPがサポート開始となりましたので簡単に検証を行ってみました。
Merakiではメーカー(ここではCisco)独自の機能は限りなく排除し、標準的なプロトコルを実装することを基本としています。
ですので、MerakiにおけるFHRP(First Hop Redundancy Protocol)としてはCisco独自なHSRPでは無くVRRPとなるのがポイントです。
検証構成
今回はCatalyst9300を2台用意して検証を行いました。
C9300-C1 : 192.168.11.2(Primary)
C9300-C2 : 192.168.11.3(Seconday)
として設定を行うこととします。
VRRPの仮想IP(VIP)としては192.168.11.1として設定を行います。
このCatalyst9300の上位にMeraki Cloudへ疎通するためのMXが接続されていますが、VRRPの検証目的としては直接的に関係はありませんので構成は割愛します。
VRRP設定
VRRPの設定は「スイッチ > 設定 > ルーティング&DHCP」から行います。
Primary機(C9300-C1)の設定
スイッチまたはスイッチスタックからC9300-C1を選択し、VLAN#11として設定を行います。
これはSVI(VLAN 11)を作成する設定です。
次にSVIのIPアドレスの設定を行います。
C9300-C1の設定ですので、192.168.11.2として設定を行います。
次にVRRPの設定を行います。
High Availabilityを有効にし、仮想IPを192.168.11.1として設定し、C9300-C1はVRRPとしてのPrimary機となりますので、優先順位をHigh(100)として設定します。
また、Group IDはPrimary、Secondary共に共通なIDを設定します。
オプションとはなりますが、このVLAN#11のDHCPサーバは上位のMXにて行うこととしますので、DHCPリレーの設定も行なっておきます。
以上でPrimary機の作業は終了です。
Secondary機(C9300-C2)の設定
Primary機(C9300-C1)と同様に設定を行います。
VRRPのSecondayとして動作させますので、VRRPの優先順位をLow(50)として設定を行います。
Cloud CLIで設定を確認
GUIだけでは少し不安なのでCloud CLIを使ってInterface Vlan 11の設定を確認します。
Primary機(C9300-C1)
interface Vlan11
mac-address xxxx.xxxx.xxxx
ip address 192.168.11.2 255.255.255.0
ip helper-address 192.168.1.1
no ip redirects
no ip proxy-arp
ip access-group l3-v4-acl in
vrrp 11 address-family ipv4
priority 150
address 192.168.11.1 primary
exit-vrrp
end
Secondary機(C9300-C2)
interface Vlan11
mac-address xxxx.xxxx.xxxx
ip address 192.168.11.3 255.255.255.0
ip helper-address 192.168.1.1
no ip redirects
no ip proxy-arp
ip access-group l3-v4-acl in
vrrp 11 address-family ipv4
priority 50
address 192.168.11.1 primary
exit-vrrp
end
VRRPの状態確認
どうもMeraki Dashboard上ではVRRPの状態を確認する方法は存在しないようです。
Catalyst9000シリーズで動作していますので、Cloud CLIを使って確認を行います。
Primary機(C9300-C1)
Secondary機(C9300-C2)
通信確認
通信確認は下図の通りです。
C9300-C1、C2の配下にAccess Switchを設置し、Access SwitchではVLAN#11として設定しました。
C9300の上位にはMXを配置し、このMXに対してPing試験を行います。
MX側セグメント(192.168.1.0/24)にもVRRP設定を行っていますが、その詳細はこの記事では割愛します。
クライアントをAccess Switchに接続し、192.168.11.0/24でIPアドレスを取得していることを確認します。
MX(192.168.1.1)へ疎通が可能なことを確認し、Primary機(C9300-C1)の電源断を行います。
VRRPの切り替えとして数秒間のダウンが発生し、通信が復旧したことが確認できます。
注意すべきポイントとしては、Meraki DashboardのGUI上ではPreemptのEnable/Disable設定が出来ないようです。
VRRPにおいては、DefaultでPreemptが有効になっていますのでPrimary機が復旧した段階で、VRRPのVIPはPrimary機に戻ってしまうことに注意してください。
Meraki Documentにもその旨は記載されています。
上記CLIの中で、「vrrp preempt delay」のようなコマンドが投入されていないようですので、場合によっては電源復旧時に大きなパケットロスが発生することが容易に想像できます。
先ほどダウンさせたC9300-C1を改めて電源投入してみます。
想像通り、Primary機復旧時にPrimary機が完全動作する前にVRRPがC9300-C1に戻ってしまい、結果としてMXへのPingのロスが発生してしまいました。
Meraki Dashboard上のGUIとして設定項目が存在しない以上、これは今日現在での期待された動作となってしまうのでしょう。
Medaki Dashboard上の不具合も存在?
Meraki Dashboard上の表示上の不具合も存在するようです。
VRRP設定はCLIでも確認した通り正常に設定反映されていますが、Meraki Dashboard上では正しく表示されないようです。
インターフェース(SVI)のリストを見てみると、ipv4 VIPの項目が空白のままになっています。
設定の詳細を見てみると、VRRPの設定もDisableになっているように見えます。
ここで、注意しなければいけないのは、この状態でインターフェース設定を改めて保存してしまうとVRRP設定はDisableになってしまうということです。
インターフェース設定はそれほど頻繁に変更するものではないので、大きな問題にはならないとは思いますが、Descriptionを変更したい場合は改めてもう一度VRRP設定を入れ直してから保存ボタンをクリックするようにしなくてはいけません。
まとめ
MerakiにおけるIOS-XE Configuration CloudモードにおいてVRRPがサポート開始となったことを一通り簡単にまとめてみました。
Preemptの仕様上の問題点や不具合も存在するようですので、VRRPの利用は一通り検証し、動作を理解されてから実環境での導入が必要になるかも知れません。
