HSRP/VRRP設計で必ず確認すべきトラッキング設定

HSRPやVRRPで冗長化したのに、

• 回線が落ちているのに切り替わらない
• インターネットだけ通信できない
• 片系にトラフィックが偏る
• 障害時に全断する

このようなトラブルが発生していませんか？

原因の多くは「トラッキング設定不足」です。

HSRP/VRRPはデフォルトでは“インターフェースのリンク状態しか見ていない”ため、 実際の到達性までは保証していません。

本記事では、トラッキング設定の本質・よくある設計ミス・具体的な確認方法・正しい設計例まで徹底解説します。

1. なぜトラッキングが必要なのか

基本動作の落とし穴

HSRP/VRRPは通常、

• 物理リンクDown → 優先度低下 → 切替

という動作をします。

しかし実際の障害は：

• 上位ルータが停止
• ISP回線断
• FW停止
• ルーティング不整合

リンクはUpのままです。

つまり、切り替わらずブラックホールが発生します。

2. よくある事故パターン

① ISP断なのに切り替わらない

• WANインターフェースはUp
• 上位GW到達不可

結果：全ユーザ通信停止

② FW停止でもHSRPは切り替わらない

• コアSWは正常
• FWへの経路断

結果：

• インターネット通信不能
• 内部通信は正常

③ スタティックルートのみ監視していない

デフォルトルートが無効になっても、 HSRPは反応しません。

3. 必ず確認すべきトラッキング項目

① 上位ゲートウェイ到達性

最重要項目です。

確認ポイント

• IP SLA設定済みか
• trackオブジェクト紐付け済みか
• 優先度減算値は適切か

正しい例（Cisco系）

ip sla 1
 icmp-echo 8.8.8.8 source-interface Gig1/0
 frequency 5
ip sla schedule 1 life forever start-time now

track 1 ip sla 1 reachability

interface Vlan10
 standby 1 track 1 decrement 50

到達不能になった瞬間に優先度が下がり、確実に切替。

② デフォルトルート存在確認

ルートが消えてもリンクはUpのまま。

確認

• track ip route 0.0.0.0/0

③ FWへの到達性

FW経由が必須なら、FWのIPを監視。

原則：出口装置を直接監視する。

④ 物理リンクだけに依存しない

単なる：

standby 1 track Gig1/0

では不十分です。

4. トラッキング設計の判断基準

監視対象	必要性
上位GW	必須
FW	出口制御時必須
ISP DNS	回線監視用
物理リンクのみ	不十分

5. 優先度設計の落とし穴

減算値が小さすぎる

例：

• Primary priority 110
• Secondary priority 100
• decrement 5

→ 110 – 5 = 105 → 切り替わらない

原則

確実に逆転する値を設定する。

6. フェイルバック設計も重要

preempt有効時：

• 回復後すぐ切替
• セッション断発生

対策

• preempt delay設定
• 十分な収束時間確保

7. 実践テスト手順（必須）

設計だけで安心してはいけません。

テスト① 上位GW遮断

• 切替までの時間測定
• 通信断時間確認

テスト② ISP断シミュレーション

• 実回線停止試験

テスト③ FW停止試験

実機テストなしの冗長は、冗長ではありません。

8. まとめ

HSRP/VRRP設計で最も重要なのは：

「リンクではなく到達性を監視すること」

• IP SLAで外部監視
• trackで優先度制御
• 十分な減算値設定
• preempt delay考慮
• 必ず切替試験実施

これを満たせば、

• 回線断でも即切替
• ブラックホール防止
• 安定冗長構成実現

今一度、現在の設定を確認してください。 トラッキングが甘いと、障害時に必ず後悔します。