Link Monitor について
インターフェイス ステータスは、Firebox 上の複数 WAN および SD-WAN によって使用されます。
- フェールオーバー モードの複数 WAN では、プライマリ インターフェイスが非アクティブの場合、トラフィックは別のインターフェイスにフェールオーバーします。
- 他のすべての複数 WAN モードでは、プライマリ インターフェイスが非アクティブである場合、そのインターフェイスは複数 WAN インターフェイスとして使用できなくなります。
- 複数のインターフェースがある SD-WAN 構成では、優先インターフェースが非アクティブの場合、トラフィックは別のインターフェイスにフェールオーバーします。
Fireware v12.2.1 以前では、 Link Monitor 設定は複数 WAN 構成に表示されます。 Link Monitor ターゲットを構成するには、複数 WAN を有効にする必要があります。インターフェイスに対して最大 2 つの Link Monitor ターゲットを構成できます。Fireware v12.2.1 以前で Link Monitor ターゲットを構成するには、WatchGuard ナレッジ ベースの Fireware v12.1 から v12.2.1 への Link Monitor の構成 および Fireware v12.0.2 以前でのモデム フェールオーバーと Link Monitor の構成 を参照してください。
サポートされるインターフェイス
Link Monitor には、以下の種類のインターフェイスを追加できます:
外部インターフェイス
Fireware v12.4 以降では、外部インターフェイスを監視するには、それを Link Monitor に手動で追加する必要があります。外部インターフェイスを Link Monitor に追加すると、ターゲットは Firebox の次のホップとなる、既定のゲートウェイになります。意味のある運用データを得るには、既定のゲートウェイのターゲットをよりアップストリームにある別の Link Monitor ターゲットに置き換えることをお勧めします。Link Monitor ターゲットの選択方法については、ターゲットの推奨事項 を参照してください。
外部インターフェイスでメトリックベースの SD-WAN ルーティングを構成するには、それらのインターフェイスの Link Monitor ターゲットを構成する必要があります。
Firebox に外部インターフェイスが 1 つしかない場合、Fireware v12.3 以降 (Web UI) または Fireware v12.4 以降 (Policy Manager および Web UI) の Link Monitor にインターフェイスを追加できます。Fireware v12.2.1 以前では、1 つのインターフェイスのみに対して Link Monitor を有効にすることはできません。
外部インターフェイスが FireCluster 構成のメンバーである場合、 Link Monitor ホストへの接続失敗によって発生した複数 WAN フェールオーバーによって、FireCluster フェールオーバーがトリガされることはありません。FireCluster フェールオーバーは、物理インターフェイスがダウンしたり、応答しない場合にだけ発生します。
外部インターフェイスにはモデムが含まれます。
内部インターフェイス (Fireware v12.4 以降)
内部インターフェイスとは、信頼済みインターフェイス、任意インターフェイス、またはカスタム インターフェイスです。内部インターフェイスを監視するには、それを Link Monitor に手動で追加する必要があります。
内部インターフェイスを Link Monitor に追加する場合、SD-WAN アクションでインターフェイスを使用する前に、ネクストホップ IP アドレスまたはカスタム ターゲットを追加する必要があります。次のホップの IP アドレスを指定することをお勧めします。次のホップの IP アドレスにより、インターフェイスの Link Monitor トラフィックと SD-WAN トラフィックのルーティング方法が Firebox に伝達されます。ネクストホップ IP アドレスを指定しない場合、Firebox ルーティング テーブルがトラフィックのルーティングに使用されます。
ネクストホップ IP アドレスを追加すると、ネクストホップ IP アドレスへの ping ターゲットが自動的に追加されます。このターゲットを保持するか、カスタム ping、TCP、または DNS ターゲットを別のホストに追加できます。
内部インターフェイスを Link Monitor に追加したものの、ネクストホップ IP アドレスまたはカスタム ターゲットを指定しない場合、SD-WAN アクションにインターフェイスを追加できません。
BOVPN 仮想インターフェイス (Fireware v12.4 以降)
BOVPN 仮想インターフェイスを Link Monitor に追加するには、最初に BOVPN 仮想インターフェイス設定で仮想ピア IP アドレスを構成する必要があります。ネットマスクではなく、ピア IP アドレスを指定する必要があります。次に、インターフェイスを Link Monitor に手動で追加する必要があります。
BOVPN 仮想インターフェイスを Link Monitor に追加すると、Firebox では自動的にピア IP アドレスに ping ターゲットが追加されます。このターゲットを編集または削除することはできません。
サポートされるターゲット
Link Monitor は、以下の種類のターゲットをサポートしています:
- Ping — IP アドレスまたはドメイン名を ping します
- TCP — TCP プローブを IP アドレスまたはドメイン名、およびポート番号に送信します
- DNS — 指定したドメイン名の DNS サーバーの IP アドレスをクエリします (Fireware v12.3 以降)
Fireware v12.3 以降では、インターフェイスに対して最大 3 つの Link Monitor ターゲットを設定できます。ターゲットには、同じ種類、または複数の種類の組み合わせを使用できます。たとえば、1 つのインターフェイスに対して 3 つの ping ターゲットを構成できます。または、インターフェイスの ping ターゲット、TCP ターゲット、および DNS ターゲットを構成できます。
ターゲットの推薦事項
ネットワークの問題が発生した際にトラフィックが別のインターフェイスにフェールオーバーされるようにするには、次を実行することをお勧めします:
- 外部インターフェイスごとに Link Monitor ターゲットを少なくとも 2 つ構成します。
- 有効な Link Monitor ターゲットを選択します。ほとんどの場合、既定のゲートウェイ以外の Link Monitor ターゲットを選択することが推奨されます。
- ISP がホストするサーバーなどの可用性が高いレコードをもつホストを選択します。
- 各外部インターフェイスで異なる Link Monitor ホストを指定してください。
インターフェイスの Link Monitor を有効にしているものの、カスタム Link Monitor のターゲットを構成していない場合、Firebox はインターフェイスの既定のゲートウェイに ping を送信して、インターフェイス ステータスを確認します。既定のゲートウェイは、インターネット サービス プロバイダ (ISP) モデム、またはルータです。以下の理由により、既定のゲートウェイは信頼性の高いターゲットではありません:
- モデムのすぐ外側にある ISP 装置がインターネットに接続できなくても、既定のゲートウェイが ping に応答する限り、Firebox はインターフェイスが非アクティブであることを検知できません。これは、そのゲートウェイが唯一の接続テストであるため発生します。そのため、複数 WAN のモードによってはトラフィック ロスが発生する可能性があります。接続先のモデムまたはルーターが ping に応答する以上、Firebox はアクティブと表示される非アクティブなインターフェイス経由でパケットの送信を続けるからです。
- 一部の ISP 装置は、ping に応答しないよう構成されていることがあります。
ping ターゲットの推薦事項
- 良好な Link Monitor ターゲットを検索するには、外部 IP アドレスに対して traceroute コマンド (Windows では tracert) を実行します。ISP ネットワーク上では、モデムまたはルーターの先 2 ~ 3 ホップの ping ターゲットを使用することをお勧めします。ISP から提供された DNS サーバーが適しているかもしれません。
- クレジットカード処理サイトやビジネス パートナーなど、ビジネス活動に欠かせないリモート サイトがある場合、そのサイトの管理者に、そのサイトへの接続を検証するため、デバイスを監視できるかどうかをお尋ねください。
- ドメイン名の代わりに IP アドレスを ping します。ドメイン名への ping は DNS を必要とします。DNS サーバーの問題により、インターフェイスの障害の状態が誤って示される可能性があります。
- 各外部インターフェイスで異なる Link Monitor ホストを指定してください。すべての外部インターフェイスで同じ IP アドレスまたはドメイン名を指定している場合は、そのリモートホストに障害が発生すると、すべての外部インターフェイスが失敗します。
TCP ターゲットの推薦事項
- TCP Link Monitor の対象をホストする業者の同意がない限り、その対象を指定しないでください。TCP を指定してリモート ホストへのリンクを監視する場合、リモート ホストを管理する会社が Firebox からのトラフィックをブロックすることがあります。これは、会社がアイドル状態の TCP 接続を潜在的なスキャンまたは攻撃とみなすために起こります。
ping または TCP Link Monitor の対象としてドメイン名を指定し、かつ外部インターフェイスが静的 IP アドレスで構成されている場合、DNS サーバーを構成する必要があります。DNS サーバーは、 Link Monitor の対象のドメイン名を解決します。外部インターフェイスが DHCP または PPPoE 用に構成されている場合、DNS サーバーを構成する必要はありません。詳細については、ネットワーク DNS および WINS サーバーを構成する を参照してください。
DNS ターゲットの推薦事項
- 一部の DNS サーバーや ISP 装置では、長時間続く ping はブロックされます。この問題を回避するには、ping ターゲットの代わりに DNS ターゲットを構成します。
プローブ間隔設定
Link Monitor ターゲットを追加する場合、Firebox がターゲットをプローブする頻度を指定する必要があります。Firebox は、これらのプローブ試行の結果を使用し、インターフェイスがアクティブか非アクティブかを判断します。損失、レイテンシー、ジッターを測定するよう選択した場合、Firebox はプローブの結果を使用してこれらのメトリックを計算します。
Link Monitor では、各インターフェイスに対し次の設定を構成できます:
- プローブ間隔 — 各 ping、TCP、または DNS プローブ試行間の秒数。既定値は 5 です。
- 無効化前の失敗回数 — インターフェイスを非アクティブであると見なすために必要なプローブが連続で失敗した数。既定値は 3 です。
- 再有効化前の成功回数 — インターフェイスをアクティブであると見なすために必要なプローブが連続で成功した数。既定値は 3 です。
この設定は、インターフェイスに対し構成したすべての Link Monitor ターゲットに適用されます。たとえば、ping ターゲットと TCP ターゲットを設定し、プローブ間隔を 5 秒に指定した場合、両方のターゲットで 5 秒のプローブ間隔が使用されます。
特定のケースでは、Firebox は プローブ間隔、無効化前の失敗回数、および 無効化前の失敗回数 の設定を無視します。
- 物理リンクの切断または再接続 — たとえば、インターフェイス ケーブルが接続されていない場合、Firebox はインターフェイスが非アクティブであるとすぐに判断します。ケーブルが再び接続されると、Firebox は、プローブが 1 回成功した後にインターフェイスがアクティブであると見なします。
- Link Monitor の構成の変更 — たとえば、 Link Monitor ターゲットの IP アドレスを変更すると、Firebox はすぐにターゲットをプローブし、インターフェイス ステータスをアクティブまたは非アクティブとして更新します。
Fireware v12.2 以前では、物理リンクの切断または再接続、または Link Monitor 構成の変更において、Firebox は、プローブが指定された回数成功または失敗した後にのみインターフェイス ステータスを更新します。
外部インターフェイスのルート テーブルの更新
外部インターフェイスの場合、インターフェイスの可用性が変更されると、Firebox はルート テーブルを更新します。外部インターフェイスのルート メトリックのみが更新されます。内部インターフェイス (信頼済みネットワーク、任意ネットワーク、およびカスタム ネットワーク)、および BOVPN 仮想インターフェイスのルート メトリックは更新されません。
たとえば、論理リンク障害が発生した場合、プローブが指定した回数連続で失敗した後に Link Monitor ターゲットが応答しない場合、Firebox は以下のことを行います:
- インターフェイスを非アクティブとみなします。
- そのインターフェイスのルート テーブルのルート メトリックを 100 に更新します。
- Link Monitor プローブをターゲットに送信し続けます。
同じターゲットが再び応答し始めると、Firebox は:
- プローブが指定した回数連続成功した後、インターフェイスがアクティブであると見なします。
- ルート テーブルのルート メトリックを元のメトリックに更新します。
Firebox が物理インターフェイスの切断を検出した場合、更新プロセスははるかに高速になります。
- Firebox はすぐにインターフェイスを非アクティブと見なします。
- Firebox は、ルート テーブルのルート メトリックをすぐに更新します。
- Firebox がイーサネット接続が再び確立されたことを検出すると、Firebox はインターフェイスがアクティブであるとすぐに判断し、ルート テーブルを更新します。
複数 WAN に参加しない外部インターフェイスの場合、元のメトリックは 20 です。複数 WAN に参加する外部インターフェイスの場合、元のメトリックは複数 WAN 構成に依存します。
複数 WAN 方式 | 元のメトリック |
---|---|
ルーティング テーブル |
5 |
ラウンド ロビン | 5 |
インターフェイス オーバーフロー | 5 |
フェールオーバー |
10 |
フェールオーバー (セカンダリ外部インターフェイス) | 11 問 |
追加のセカンダリ外部インターフェイスごとに、メトリック値を 1 ずつ増やします。たとえば、3 つのセカンダリ外部インターフェイスがある場合、メトリックは 11、12、13 です。
ルート テーブルの詳細については、次を参照してください: Firebox ルート テーブルを読み取る。
Link Monitor なしの複数 WAN および SD-WAN インターフェイス
複数 WAN および SD-WAN インターフェイスを Link Monitor に追加しない場合、Firebox はこれらのインターフェイスの論理リンク障害を検出できません。Link Monitor ターゲットがない場合、フェールオーバーは物理的な切断後、または有効な IP アドレスがインターフェイスに割り当てられていない場合にのみ発生します (インターフェイスが動的な場合)。これにより、特定の場合にネットワークが停止する可能性があります。
たとえば、優先される外部インターフェイスのケーブルを切断すると、接続は別の外部インターフェイスにフェールオーバーします。これは、Firebox で物理的な切断が検出されたため発生します。
ただし、ネットワーク外の問題が理由で優先インターフェイスが使用できなくなった場合、Firebox では論理リンク障害が検出されないため、フェールオーバーは発生しません。Firebox で論理リンク障害を検出するには、 Link Monitor ターゲットが必要です。この場合、Firebox は WAN が利用できないインターフェイスにトラフィックを送信し続けるため、ネットワークが停止する可能性があります。
FireCluster
アクティブ/アクティブ FireCluster がある場合、両方のクラスタ メンバーが Link Monitor プローブを送信します。
アクティブ/パッシブ FireCluster がある場合、マスター クラスタ メンバーのみが Link Monitor プローブを送信します。フェールオーバーが発生すると、以前のクラスタ マスターは Link Monitor プローブを送信しなくなります。新しいクラスタ マスターは、代わりに Link Monitor プローブを送信します。
外部インターフェイスが FireCluster 構成のメンバーである場合、 Link Monitor ホストへの接続失敗によって発生した複数 WAN フェールオーバーによって、FireCluster フェールオーバーがトリガされることはありません。FireCluster フェールオーバーは、物理インターフェイスがダウンしたり、応答しない場合にだけ発生します。