メトリックス ベースのフェールオーバーの BOVPN 仮想インターフェイス
ルートを使用して、BOVPN 仮想インターフェイス経由でどのトラフィックを送信するかを定義するため、複数の BOVPN 仮想インターフェイスを作成して、同じネットワークで複数のルートに異なるメトリックを設定することができます。こうすることで、プライマリ トンネルが利用できない場合に、プライマリ トンネル経由の BOVPN 仮想インターフェイスのルートを、BOVPN 仮想インターフェイスが別のトンネルを経由するようにフェールオーバーを構成することができます。
シナリオ例
この例では、サイト A とサイト B の Firebox 間の 2 つの BOVPN 仮想インターフェイスの設定を構成する方法が示されています。この構成では、BOVPN 仮想インターフェイス構成に異なるルート メトリックを使用して、どちらの BOVPN 仮想インターフェイスのルートを優先するかを制御します。
この例では、サイト A のデバイスに 2 つの外部インターフェイスがあり、一方の外部インターフェイスがサイト B への送信トラフィックにおける優先ルートであることを前提としています。こちらを優先する理由は、そのインターフェイスのほうが低コストであるか、またはより高速なスループットを持っているかのいずれかとします。プライマリ外部インターフェイスが利用できない場合にのみ、VPN トラフィックでセカンダリ外部インターフェイスが使用されます。
サイト A の Firebox
この例では、サイト A の Firebox に 2 つの外部インターフェイス、1 つの信頼済みネットワーク、および 1 つの任意ネットワークがあるとします。
| インターフェイス | 種類 | 名前 | IP アドレス |
|---|---|---|---|
| 0 | 外部 | 外部 | 203.0.113.2/24 |
| 1 | 信頼済み | 信頼済み | 10.0.1.1/24 |
| 2 | 任意 | Optional-1 | 10.0.2.1/24 |
| 3 | 外部 | 外部-2 | 190.0.2.2/24 |
サイト B の Firebox
この例では、サイト B の Firebox に 1 つの外部インターフェイスおよび 1 つの信頼済みネットワークがあるとします。
| インターフェイス | 種類 | 名前 | IP アドレス |
|---|---|---|---|
| 0 | 外部 | 外部 | 198.51.100.2/24 |
| 1 | 信頼済み | 信頼済み | 10.50.1.1/24 |
BOVPN 仮想インターフェイス構成レポート
各サイトの Fireboxes には、2 つの BOVPN 仮想インターフェイスが構成されている必要があります。1 つの BOVPN 仮想インターフェイスはサイト A のデバイスでインターフェイス 0(外部)を使用し、2 番目の BOVPN 仮想インターフェイスはサイト A のデバイスでインターフェイス 3(外部-2)を使用します。このデバイス間の VPN トラフィックにおいてはインターフェイス 0 が優先インターフェイスであるため、インターフェイス 0 を使用するプライマリ BOVPN 仮想インターフェイスには低メトリックのルートがあります。これにより、その仮想インターフェイスが利用可能な状態であれば、プライマリ BOVPN 仮想インターフェイス経由が最優先のルートとなります。優先度の低い外部インターフェイスを使用する BOVPN 仮想インターフェイスの同じルートにはそれぞれ高いメトリックが設定されているため、他の BOVPN 仮想インターフェイス経由のルートが利用できない場合のみに、これらのルートが使用されます。
各 Firebox の BOVPN 仮想インターフェイスは、同じ設定を使用するように構成する必要があります。この例では、サイト A とサイト B が、事前共有キーを使用することに合意していることを前提としています。他すべての BOVPN 仮想インターフェイスの設定は、既定値のままです。
サイト A の BOVPN 仮想インターフェイス
サイト A のプライマリ BOVPN 仮想インターフェイスには、以下のゲートウェイ設定が用いられます。
-
- 認証メソッド では、2 つのサイトが合意した事前共有キーを使用します。
- ゲートウェイ Endpoint リストには、1 つのゲートウェイ Endpoint のペアが含まれます:
- 外部インターフェイス:外部
- ローカル ゲートウェイ:203.0.113.2(サイト A の Firebox における最初の外部インターフェイスの IP アドレス)
- リモートゲートウェイ:198.51.100.2(サイト B の Firebox における外部インターフェイスの IP アドレス)
Fireware Web UI におけるサイト A のプライマリ BOVPN 仮想インターフェイスの構成済みゲートウェイ endpoint ペア
Policy Manager におけるサイト A のプライマリ BOVPN 仮想インターフェイスの構成済みゲートウェイ endpoint ペア
サイト A のプライマリ BOVPN 仮想インターフェイスには、サイト B の信頼済みネットワークへの 1 つの VPN ルートがあります。
- ルーティング先:10.50.1.0/24、メトリック 1
Fireware Web UI におけるサイト A のプライマリ BOVPN 仮想インターフェイスの構成済み VPN ルート
Policy Manager におけるサイト A のプライマリ BOVPN 仮想インターフェイスの構成済み VPN ルート
サイト A のセカンダリ BOVPN 仮想インターフェイスには、以下のゲートウェイ設定が用いられます。
- Fireware v11.12 以降では、リモート Endpoint タイプ ドロップダウン リストが表示され、それには Firebox と クラウド VPN またはサードパーティ ゲートウェイ の 2 つのオプションが含まれています。2 つの Firebox の間にトンネルを構成する場合は、GRE プロトコルを使用して IPSec トンネルをカプセル化する Firebox endpoint タイプを選択します。
- 認証メソッド では、2 つのサイトが合意した事前共有キーを使用します。
- ゲートウェイ Endpoint リストには、1 つのゲートウェイ Endpoint のペアが含まれます:
- 外部インターフェイス:外部-2
- ローカル ゲートウェイ:190.0.2.2(サイト A の Firebox における 2 番目の外部インターフェイスの IP アドレス)
- リモートゲートウェイ:198.51.100.2(サイト B の Firebox における外部インターフェイスの IP アドレス)
Fireware Web UI におけるサイト A のセカンダリ BOVPN 仮想インターフェイスの構成済みゲートウェイ endpoint ペア
Policy Manager におけるサイト A のセカンダリ BOVPN 仮想インターフェイスの構成済みゲートウェイ endpoint ペア
サイト A のセカンダリ BOVPN 仮想インターフェイスには、サイト B の信頼済みネットワークへの 1 つの VPN ルートがあります。
- ルーティング先:10.50.1.0/24、メトリック 200
Fireware Web UI におけるサイト A のセカンダリ BOVPN 仮想インターフェイスの構成済み VPN ルート
Policy Manager におけるサイト A のセカンダリ BOVPN 仮想インターフェイスの構成済み VPN ルート
サイト B の BOVPN 仮想インターフェイス
サイト B のデバイスには、2 つの BOVPN 仮想インターフェイスがあります。
サイト B のプライマリ BOVPN 仮想インターフェイスには、以下のゲートウェイ設定が使用されます。
- Fireware v11.12 以降では、リモート Endpoint タイプ ドロップダウン リストが表示され、それには Firebox と クラウド VPN またはサードパーティ ゲートウェイ の 2 つのオプションが含まれています。2 つの Firebox の間にトンネルを構成する場合は、GRE プロトコルを使用して IPSec トンネルをカプセル化する Firebox endpoint タイプを選択します。
- 認証メソッド では、2 つのサイトが合意した事前共有キーを使用します。
- ゲートウェイ Endpoint リストには、1 つのゲートウェイ Endpoint のペアが含まれます:
- ローカル ゲートウェイ:198.51.100.2(サイト B の Firebox における外部インターフェイスの IP アドレス)
- リモートゲートウェイ:203.0.113.2(サイト A の Firebox における最初の外部インターフェイスの IP アドレス)
Fireware Web UI におけるサイト B のプライマリ BOVPN 仮想インターフェイスのゲートウェイ endpoint ペア
Policy Manager におけるサイト B のプライマリ BOVPN 仮想インターフェイスのゲートウェイ endpoint ペア
サイト B のプライマリ BOVPN 仮想インターフェイスには、サイト A の信頼済みネットワークと任意ネットワークへの 2 つの VPN ルートがあります。
- ルーティング先:10.0.1.0/24、メトリック 1
- ルーティング先:10.0.2.0/24、メトリック 1
Fireware Web UI におけるサイト B のプライマリ BOVPN 仮想インターフェイスの構成済み VPN ルート
Policy Manager におけるサイト B のプライマリ BOVPN 仮想インターフェイスの構成済み VPN ルート
サイト B のセカンダリ BOVPN 仮想インターフェイスには、以下のゲートウェイ設定が用いられます。
- Fireware v11.12 以降では、リモート Endpoint タイプ ドロップダウン リストが表示され、それには Firebox と クラウド VPN またはサードパーティ ゲートウェイ の 2 つのオプションが含まれています。2 つの Firebox の間にトンネルを構成する場合は、GRE プロトコルを使用して IPSec トンネルをカプセル化する Firebox endpoint タイプを選択します。
- 認証メソッド では、2 つのサイトが合意した事前共有キーを使用します。
- ゲートウェイ Endpoint リストには、1 つのゲートウェイ Endpoint のペアが含まれます:
- ローカル ゲートウェイ:198.51.100.2 (サイト B の Firebox における外部インターフェイスの IP アドレス)
- リモートゲートウェイ:190.0.2.2(サイト A の Firebox における 2 番目の外部インターフェイスの IP アドレス)
Fireware Web UI におけるサイト B のセカンダリ BOVPN 仮想インターフェイスの構成済みゲートウェイ endpoint ペア
Policy Manager におけるサイト B のセカンダリ BOVPN 仮想インターフェイスの構成済みゲートウェイ endpoint ペア
サイト B のセカンダリ BOVPN 仮想インターフェイスには、サイト A の信頼済みネットワークと任意ネットワークへの 2 つの VPN ルートがあります。
- ルーティング先:10.0.1.0/24、メトリック 200
- ルーティング先:10.0.2.0/24、メトリック 200
Fireware Web UI におけるサイト B のセカンダリ BOVPN 仮想インターフェイスの構成済み VPN ルート
Policy Manager におけるサイト B のセカンダリ BOVPN 仮想インターフェイスの構成済み VPN ルート
この構成の仕組み
この例では、各 Firebox にピア Firebox への 2 つの BOVPN 仮想インターフェイスがあるとします。メトリックを除き、両方の BOVPN 仮想インターフェイスに構成されているルートは同じです。Firebox は最小のメトリック(最高の優先度)のルートを使用します。したがって、以下のようになります。
両方の BOVPN 仮想インターフェイスが利用可能な場合
プライマリ BOVPN 仮想インターフェイスのルートは優先度が最も高いため(メトリックが最も低い)、Firebox はこれを経由するルートを使用します。
プライマリ BOVPN 仮想インターフェイスが利用可能でなく、セカンダリ BOVPN 仮想インターフェイスが利用可能な場合
Firebox は自動的に、プライマリ BOVPN 仮想インターフェイスを使用するルートのメトリックを 255 に変更します。これにより、このルートの優先度が最も低くなります。そして、メトリックが 200 のルートの優先度が最も高くなるため、Firebox は 2 番目の BOVPN 仮想インターフェイス経由のルートを使用することになります。
プライマリ BOVPN 仮想インターフェイスが再び利用可能になった場合
Firebox は自動的に、プライマリ BOVPN 仮想インターフェイス経由のルートのルート メトリックを構成済みのルート メトリック(この例では 1)に再び変更します。プライマリ BOVPN 仮想インターフェイスのルートは優先度が最も高いため、2 つのサイト間のトラフィックは自動的にプライマリ BOVPN 仮想インターフェイス経由のルートを使用します 。
必要に応じて、ルートがダウンしている際に、メトリックを増加するのではなく、Firebox から完全にルートを削除するように構成することができます。詳細については、グローバル VPN 設定について を参照してください。