VRRPとNAT併用時に通信が意図した経路を通っていない (バックアップルータ側を通って通信している)

【原因】NATを設定したインタフェース上でVRRPが複数動作しており、複数の装置がVRRPのマスタルータとして動作している。

VRRPとNATを併用した場合、NATアドレスに対するARP要求にはVRRPのマスタルータが応答します。
同一インタフェース上に複数のマスタルータが存在する場合、複数の装置がNATアドレスに対するARP要求に応答を返すため、正常な経路で通信が行えなくなります。

【解決策】

VRRPの仮想IPアドレスでトンネルを終端できない。

【原因】VRRPの仮想IPアドレス宛のパケットを受信する設定(virtual-host)が有効化されていない。

VRRPv2(IPv4)のデフォルト動作では、VRRPの仮想IPアドレス宛のパケットを廃棄します。

【解決策】
VRRPの仮想IPアドレスをトンネルの終端として利用する場合は、VRRPの仮想IPアドレス宛のパケットを受信する設定を追加する必要があります。

IPsecでVRRPの仮想IPアドレスをトンネルの終端としたい場合は、トンネルインタフェースに「ipsec source-address」コマンドを設定してください。

VRRPv3(IPv6)の場合は常にVRRPの仮想IPアドレス宛のパケットを受信できるため、VRRPの仮想IPアドレス宛のパケットを受信する設定(virtual-host)は不要です。

VRRPv3の仮想IPアドレスを使用してIPsecトンネルを終端する場合、IPv4と異なりVRRPを設定したインタフェースを指定します。

ネットワークモニタによる経路切り替えでVRRPをshutdownしたにも関わらず、VRRPの動作が継続している。

【原因】VRRPがアドレスオーナ(VRRPの仮想アドレスとインタフェースの実アドレスが同じ)として動作している。

VRRPの仮想アドレスとインタフェースの実アドレスを同一にした場合、ネットワークモニタでVRRPを停止させても、インタフェース側は動作しているため、仮想アドレスへのARP要求に実MACアドレスで応答を返してしまい、正常に通信ができない場合があります。

【解決策】
ネットワークモニタによる切り替え(VRRPのshutdown)を実施する場合、アドレスオーナの設定は行わないようにする必要があります。