SD-WAN ルーティングを使った BOVPN 仮想インターフェイス
この構成例では、企業に BOVPN 仮想インターフェイス トンネルによって接続された 2 つのサイトがあります。サイト A には 1 つの外部ネットワーク接続があります。サイト B にはレイテンシーが異なる 2 つの外部ネットワーク接続があります。この企業は SD-WAN を使って VoIP トラフィックなどのレイテンシー感度の高いトラフィックを、低レイテンシー トンネルを介して送信することを希望しています。
この例では損失、レイテンシーおよびジッター メトリックに基づく SD-WAN ルーティングとフェールオーバーを示していません。フェールオーバーでのメトリックに基づく SD-WAN ルーティングの例を表示するには、BOVPN 仮想インターフェイス トンネルへの MPLS リンクからの SD-WAN フェールオーバー を参照してください。
この例で示された構成には Fireware v12.4 以降が必要です。
Fireware v12.3 以降では、ポリシーベースのルーティングが SD-WAN に置き換えられています。Fireware v12.2.1 以前では、トラフィックを別の外部インターフェイスにルーティングする場合は、ポリシーベースのルーティングを使用する必要があります。Fireware v12.3 以降にアップグレードすると、フェールオーバーなしのポリシーベースのルーティングが、単一のインターフェイスの SD-WAN アクションに変換されます。フェイルオーバーありのポリシーベースのルーティングは、複数インターフェイスの SD-WAN アクションに変換されます。Fireware OS 旧バージョンとの後方互換性のために、Policy Manager でポリシーベースのルーティング設定を引き続き使用することができます。ポリシーベースのルーティングの詳細については、WatchGuard ナレッジ ベースの Fireware v12.2.1 以前でポリシーベースのルーティングを構成する を参照してください。
ネットワーク トポロジ
この図はこの構成例のネットワーク トポロジを示しています。
仕組み
この例では、各 Firebox にピア Firebox への 2 つの BOVPN 仮想インターフェイスがあるとします。各 Firebox のカスタム SIP パケット フィルタ ポリシーは、レイテンシーが最も低い BOVPN 仮想インターフェイスを介して VoIP トラフィックをルーティングします。SD-WAN ルーティングは、他の複数 WAN (マルチ WAN) または BOVPN 仮想インターフェイスのルートよりも優先されます。
構成
サイト A の Firebox で、低レイテンシー トンネルに対し以下の設定を指定します:
- インターフェイス名— この例では BovpnVif.low-latency の名前を使用します。
- リモート Endpoint タイプ — Firebox
- ゲートウェイ アドレス ファミリー — IPv4 アドレス
- 認証メソッド — 事前共有キーの使用
- ゲートウェイ Endpoint
- インターフェイス — 外部
- ローカル ゲートウェイ — この Firebox の 外部 インターフェイスの IP アドレスこの例では 203.0.113.2 を使用します。
- リモートゲートウェイ — サイト B の Firebox における 外部-1 インターフェイスの IP アドレスこの例では 198.51.100.2 を使用します。これがサイト B での低レイテンシー接続のインターフェイスです。
- VPN ルート タブ — 仮想インターフェイスの IP アドレスを指定しますが、これは BOVPN 仮想インターフェイスを Link Monitor に追加する前に行う必要があります。ローカル IP アドレスはサイト B の Firebox で構成されたピア IP アドレスに一致する必要があります。ピア IP アドレスはサイト B の Firebox で構成されたローカル IP アドレスに一致する必要があります。仮想インターフェイスの IP アドレスがいかなる外部または内部ネットワークにも属さないようにしてください。
サイト A の Firebox で、高レイテンシー トンネルに対し以下の設定を指定します:
- インターフェイス名— この例では BovpnVif.high-latency の名前を使用します。
- リモート Endpoint タイプ — Firebox
- ゲートウェイ アドレス ファミリー — IPv4 アドレス
- 認証メソッド — 事前共有キーの使用
- ゲートウェイ Endpoint
- インターフェイス — 外部
- ローカル ゲートウェイ — この Firebox の 外部 インターフェイスの IP アドレス (203.0.113.2))。
- リモートゲートウェイ — サイト B の Firebox における 外部-1 インターフェイスの IP アドレスこの例では 192.0.2.2 を使用します。
- VPN ルート タブ — 仮想インターフェイスの IP アドレスを指定しますが、これは BOVPN 仮想インターフェイスを Link Monitor に追加する前に行う必要があります。ローカル IP アドレスはサイト B の Firebox で構成されたピア IP アドレスに一致する必要があります。ピア IP アドレスはサイト B の Firebox で構成されたローカル IP アドレスに一致する必要があります。仮想インターフェイスの IP アドレスがいかなる外部または内部ネットワークにも属さないようにしてください。
低レイテンシー トンネルに以下の設定を指定します:
- インターフェイス名 — BovpnVif.low-latency
- リモート Endpoint タイプ — Firebox
- ゲートウェイ アドレス ファミリー — IPv4 アドレス
- 認証メソッド — 事前共有キー
- ゲートウェイ Endpoint
- インターフェイス — 外部-1
- ローカル ゲートウェイ — この Firebox の 外部-1 インターフェイスの IP アドレス (198.51.100.2))
- リモートゲートウェイ — サイト A の Firebox における 外部 インターフェイスの IP アドレス (203.0.113.2)
- VPN ルート タブ — 仮想インターフェイス IP アドレスを指定します。仮想 IP アドレスを設定しない限り、BOVPN 仮想インターフェイスを Link Monitor に追加することはできません。ローカル IP アドレスはサイト A の Firebox で構成されたピア IP アドレスに一致する必要があります。ピア IP アドレスはサイト A の Firebox で構成されたローカル IP アドレスに一致する必要があります。仮想インターフェイスの IP アドレスがいかなる外部または内部ネットワークにも属さないようにしてください。
高レイテンシー トンネルに以下の設定を指定します:
- インターフェイス名— BovpnVif.high-latency
- リモート Endpoint タイプ — Firebox
- ゲートウェイ アドレス ファミリー — IPv4 アドレス
- 認証メソッド — 事前共有キー
- ゲートウェイ Endpoint
- インターフェイス — 外部-2
- ローカル ゲートウェイ — サイト B の Firebox における 外部-2 インターフェイスの IP アドレス (192.0.2.2)。
- リモートゲートウェイ — サイト A の Firebox における 外部 インターフェイスの IP アドレス (203.0.113.2)。
- VPN ルート タブ — 仮想インターフェイス IP アドレスを指定します。仮想 IP アドレスを設定しない限り、BOVPN 仮想インターフェイスを Link Monitor に追加することはできません。ローカル IP アドレスはサイト A の Firebox で構成されたピア IP アドレスに一致する必要があります。ピア IP アドレスはサイト A の Firebox で構成されたローカル IP アドレスに一致する必要があります。仮想インターフェイスの IP アドレスがいかなる外部または内部ネットワークにも属さないようにしてください。
外部インターフェイスと BOVPN 仮想インターフェイスを Link Monitor に追加することをお勧めします。インターフェイスの論理リンク障害を検出するには、Firebox は Link Monitor ターゲットとの通信を試みられる必要があります。Link Monitor ターゲットがないと、Firebox は物理的な切断後のみに、または有効な IP アドレスがインターフェイスに割り当てられていない場合(インターフェイスが動的な場合) にしか接続障害を検出しません。
BOVPN 仮想インターフェイスを Link Monitor に追加するには、Firebox が Fireware v12.4 以降である必要があります。BOVPN 仮想インターフェイスを Link Monitor に追加する際に、Firebox は自動的に ping ターゲットを VPN ピアの IP アドレスに追加します。このターゲットを編集または削除することはできません。
サイト A の場合、 Link Monitor 構成には次の 3 つのインターフェイスが含まれます:
サイト B の場合、 Link Monitor 構成には次の 4 つのインターフェイスが含まれます:
BOVPN 仮想インターフェイスを Link Monitor に追加できない場合は、BOVPN 仮想インターフェイスの構成に仮想インターフェイス IP アドレスが含まれていることを確認してください。詳細については、BOVPN 仮想インターフェイスの IP アドレスを構成する を参照してください。
BOVPN 仮想インターフェイスを更生後、これら 2 つのサイトは静的、動的または SD-WAN ルーティングを追加し、いずれかのトンネルを介してトラフィックを送信できるようになります。
いずれかのネットワークから送信される VoIP トラフィックが常に低レイテンシーのトンネルを使用するようにするには、以下の手順を実行します。
- BovpnVif.low-latency 仮想インターフェイスを指定する SD-WAN アクションを追加します。
- SIP (VoIP) ポリシーで追加した SD-WAN アクションを指定します。
SD-WAN アクションを追加する (サイト A)
SD-WAN アクションは追加した BOVPN 仮想インターフェイスを指定します。
VoIP ポリシーを追加する (サイト A)
カスタム SIP パケット フィルタ ポリシーを追加することをお勧めします。
このポリシーには、サイト A の Firebox に次の設定があります:
- 送信元 — Any-Trusted。または、SIP トラフィックが発信されるインターフェイスまたはローカル ネットワークを指定します。
- 送信先 — サイト B の信頼済みネットワークのネットワーク IP アドレス。この例では 10.0.100.0/24 を使用します。
- 以下を使った送信トラフィックのルーティング — 選択済み
- SD-WAN アクション — 追加した SD-WAN アクションの名前。この例では、それは BovpnVif.low-latency です。
SD-WAN アクションを追加する (サイト B)
サイト B の SD-WAN アクションには、サイト A の SD-WAN アクションと同じ設定があります。
SIP ポリシーを追加する (サイト B)
カスタム SIP パケット フィルタ ポリシーを追加することをお勧めします。
サイト B のポリシーの設定は以下の通りです:
- 送信元 — Any-Trusted。または、SIP トラフィックが発信されるインターフェイスまたはローカル ネットワークを指定します。
- 送信先 — サイト A の信頼済みネットワークのネットワーク IP アドレス。この例では 10.0.1.0/24 を使用します。
- 以下を使った送信トラフィックのルーティング — 選択済み
- SD-WAN アクション — 追加した SD-WAN アクションの名前。この例では、それは BovpnVif.low-latency です。