SD-WAN を使用することで、ネットワーク接続のパフォーマンスに基づいて、Firebox でトラフィックが動的にルーティングされるようにすることができます。VoIP、RDP、ビデオ会議アプリケーションなど、ネットワーク パフォーマンスに影響が発生しやすいアプリケーションの場合は、SD-WAN を利用することで、そのアプリケーションのパフォーマンスと可用性を確保することができます。
この例では、サイト間で VoIP トラフィックを使用している企業が、セキュアな接続を通した高品質かつ高信頼性の音声通話をユーザーが利用できるようにすることを望んでいると仮定します。この目標を達成するために、同社は VoIP トラフィック専用の MPLS リンクを備えました。同社は、MPLS リンクで高喪失、高レイテンシー、高ジッターなどのネットワークの問題が発生した場合は、VoIP トラフィックを別のインターフェイスへフェールオーバーすることを望んでいます。同社はコストを削減するために、セカンダリ MPLS リンクではなく、BOVPN 仮想インターフェイス トンネルをバックアップ接続として使用することを考えています。
この構成例には、ハイブリッド WAN 接続を備えた分散型エンタープライズ ネットワークでのメトリックベースの SD-WAN ルーティングが示されています。サイト A (本社) には Firebox があります。サイト B (支社) には、Firebox またはサードパーティ製ファイアウォールがあります。
この構成を実装するには、Firebox で Fireware v12.4 以降を実行している必要があります。
ネットワーク トポロジ
この図は、この例のネットワーク トポロジを示したものです。サイト B (支社) には、Firebox またはサードパーティ製ファイアウォールがあります。
仕組み
VoIP ポリシーと SD-WAN アクションにより、MPLS リンク経由で VoIP トラフィックがルーティングされます。
Firebox から Link Monitor プローブがリモート ホストに送信され、MPLS リンクの可用性とネットワーク パフォーマンスが監視されます。ネットワーク パフォーマンス メトリックには、損失、レイテンシー、およびジッターが含まれます。1 つまたは複数のメトリックを使用することを選択して、メトリックの値を指定することができます。
MPLS リンクが使用できなくなった場合、またはメトリックが指定値を超過した場合に、VoIP トラフィックの BOVPN 仮想インターフェイスへのフェールオーバーが発生します。
MPLS リンクが再び使用可能になった場合、またはメトリックが指定値を下回った場合:
- MPLS インターフェイスが再び優先インターフェイスとなります。
- SD-WAN アクションで 即時フェールバック オプションが選択されている場合は、すべての VoIP トラフィックが直ちに MPLS インターフェイスにフェールバックします。
構成
この例では、両方のサイトから VoIP トラフィックが開始されると想定しています。たとえば、サイト A の VoIP デバイスからサイト B へのトラフィックが開始されます。サイト B の VoIP デバイスからもサイト A へのトラフィックが開始されます。お使いのネットワークでは、片方のサイトからのみトラフィックが開始されるようになっている可能性があります。
サイト A の Firebox とサイト B のファイアウォールに以下のインターフェイスを構成します。
- MPLS リンク用に構成された内部インターフェイス
- リモート サイトへの BOVPN 仮想インターフェイス (VIF) トンネル
サイト A の Firebox
MPLS 接続の内部インターフェイスを構成します。この例では、このインターフェイス名は MPLS.to.SiteB とします。
リモート サイトへの BOVPN 仮想インターフェイス トンネルを構成します。この例では、このインターフェイス名は BovpnVif.to.SiteB とします。
BOVPN 仮想インターフェイス設定では、仮想 IP アドレスを構成する必要があります。仮想 IP アドレスを設定しない限り、BOVPN 仮想インターフェイスを Link Monitor に追加することはできません。すでにネットワークに接続されている仮想 IP アドレスと競合しない IP アドレスを指定することができます。
MPLS.to.SiteB と BovpnVif.to.SiteB インターフェイスを構成したら、これらのインターフェイスを Link Monitor に追加する必要があります。
MPLS.to.SiteB インターフェイスの Link Monitor 設定:
- 次のホップの IP アドレスを指定することをお勧めします。この例では、MPLS ルータのローカル側である 10.0.2.2 を指定します。次のホップにより、このインターフェイスが使用される SD-WAN トラフィックのルーティング先が Firebox に伝達されます。次のホップを指定しない場合は、ネットワーク > ルート ページで静的ルートを追加する必要があります。詳細については、静的ルート セクションを参照してください。
- Link Monitor ターゲットをリモート サイトのホストに追加します。この例では、 Link Monitor ターゲットはサイト B のファイアウォールの MPLS インターフェイスとなります。IP アドレスは 10.50.2.1 です。
BOVPN 仮想インターフェイスを Link Monitor に追加すると、Firebox では自動的にピア IP アドレスに ping ターゲットが追加されます。このターゲットを編集または削除することはできません。
Link Monitor ターゲットを構成したら、SD-WAN アクションを追加します。アクションで、インターフェイスを追加し、メトリックを構成し、そしてフェールバック オプションを選択します。
この例では、MPLS.to.SiteB と BovpnVif.to.SiteB インターフェイスを SDWAN.action.MPLS-VIF という名前の SD-WAN アクションに追加します。
メトリックに基づいてトラフィックをルーティングするには、以下のメトリックを 1 つまたは複数選択する必要があります。
- 損失
- レイテンシー
- ジッター
この例では、既定の選択と値を維持します。どのメトリックと値を構成するかについては、VoIP ベンダーに相談することをお勧めします。当社は一般的なガイドラインを提供していますが、ネットワークに異なるメトリックと値を構成する必要がある可能性があります。
| SD-WAN 測定値 | 良い | 影響されるパフォーマンス | 大きく影響されるパフォーマンス | 効果的にダウン |
|---|---|---|---|---|
| 損失 | <1% | 1–2% | 2–5% | >5% |
| レイテンシー | <100ms | 100–200ms | 200–400ms | >400ms |
| ジッター | <20ms | 20–50ms | 50–100ms | >100ms |
次に、フェールバック オプションを指定します。接続が常に MPLS インターフェイスにフェールバックされるようにする場合は、即時フェールバック を選択します。それ以外の場合は、フェールバックなし を選択します。VoIP トラフィックの場合には、段階的フェールバック を選択しないことをお勧めします。
両方のサイトの Firebox に SD-WAN を構成する場合は、SD-WAN アクションを一致させる必要があります。たとえば、サイト A の Firebox で ジッター が選択されて、15 ミリ秒と指定されている場合は、サイト B の Firebox でも ジッター を選択して、15 ミリ秒と指定する必要があります。
サイト A のローカル ネットワーク 10.0.1.0/24 からサイト B のローカル ネットワーク 10.0.50.0/24 への送信 VoIP 接続を許可するポリシーを構成します。
ポリシーに含めるポートを決定する際は、VoIP プロバイダの資料を参照してください。この例では、SIP-ALG ポリシーにより、ポート 5060 で送信 UDP と TCP が許可されるようにします。
ポリシーで、作成されている SD-WAN アクションを選択します。SD-WAN アクションにより、MPLS リンク経由でトラフィックがルーティングされます。
サイト B からサイト A への VoIP トラフィックが開始される場合は、その受信トラフィックを許可するようにサイト A の Firebox に別のポリシーを構成します。たとえば、サイト B のローカル ネットワーク 10.0.50.0/24 からサイト A のローカル ネットワーク 10.0.1.0/24 への VoIP トラフィックが許可されるように SIP-ALG ポリシーを設定します。このポリシーに SD-WAN アクションを指定する必要はありません。
静的ルートが推奨されるか、または静的ルートが必要かは、さまざまな要因によって決まります。
- トラフィックを開始するサイト — 両方のサイトに SD-WAN アクションが構成された Firebox がある場合は、ほとんどの場合、トラフィックが開始される Firebox に静的ルートを追加する必要はありません。
- トラフィックを受信するサイト — トラフィックを受信するサイトの Firebox に静的ルートを追加することをお勧めします。Firebox では、静的ルートが使用され、トラフィックを開始したサイトに応答トラフィックが返されます。
この例では、両方のサイトから VoIP トラフィックが開始されます。ネットワーク上で、サイト A への VoIP トラフィックがサイト B から開始されないのであれば、サイト A の Firebox に静的ルートを追加する必要はありません。
内部インターフェイスに次のホップの IP アドレスが指定されていない場合は、静的ルートを追加する必要があります。有効なルートが存在しない場合は、Firebox でトラフィックが破棄されます。
静的ルートの構成
この例では、サイト B の VoIP デバイスからサイト A へのトラフィックが開始されます。応答トラフィックがサイト B に返されるように、サイト A の Firebox に静的ルートを追加することをお勧めします。この例では、以下の静的ルートを追加します。
10.0.50.0/24 via MPLS.to.SiteB metric 1
10.0.50.0/24 via bvpn1 metric 50
MPLS インターフェイスのルート メトリックのほうが低いため、これがルート テーブルの優先インターフェイスとなります。しかし、SD-WAN インターフェイスの優先順位が、ルート テーブルのメトリックよりも優先されます。たとえば、MPLS インターフェイスが SD-WAN アクションで最初にリストされている場合は、これがプライマリ インターフェイスとなります。また、これが使用可能な状態で、かつパフォーマンス メトリックが指定値を超過していない場合は、これが優先インターフェイスとなります。
IP スプーフィング攻撃対策
グローバル スプーフィング攻撃の防御 設定を有効化すると、Firebox では、内部と外部インターフェイスの受信トラフィックで IP スプーフィング攻撃が監視されます。受信トラフィックが到着すると、Firebox で発信元 IP アドレスとインターフェイスの確認が行われます。Firebox では、発信元 IP アドレスを使用してルート テーブルが検索され、ルーティング結果のインターフェイスが受信インターフェイスと一致することが確認されます。
内部インターフェイスの場合は、これが一致しないと、Firebox では受信トラフィックが IP スプーフィング攻撃とみなされます。Firebox で受信トラフィックが破棄されます。たとえば、SD-WAN アクションにより、MPLS リンク経由でサイト B からサイト A にトラフィックが送信されます。しかし、MPLS リンクのメトリックが BOVPN 仮想インターフェイスのメトリックよりも高いため、応答トラフィックのルート選択が受信トラフィックで使用されたインターフェイスと一致しません。
10.0.50.0/24 via MPLS.to.SiteB metric 50
10.0.50.0/24 via bvpn1 metric 1
この場合は、Firebox で IP スプーフィング防御が開始されるため、応答トラフィックがサイト B に返されません。
Firebox でトラフィックが IP スプーフィング攻撃ではないと判断された場合は、Firebox から受信インターフェイスと同じインターフェイス経由で応答トラフィックが送信されます。
IP スプーフィング防御は内部と外部インターフェイスに適用されますが、BOVPN 仮想インターフェイスには適用されません。この例では以下のようになります。
- SD-WAN において MPLS リンク経由でサイト B からサイト A へのトラフィックが開始され、サイト A ルーティング テーブルの優先ルートが BOVPN 仮想インターフェイスである場合は、Firebox では IP スプーフィング防御がトリガされます。
- SD-WAN において MPLS リンク経由でサイト B からサイト A へのトラフィックが開始され、サイト A ルーティング テーブルの優先ルートが MPLS リンクである場合は、Firebox では IP スプーフィング防御がトリガされます。
- SD-WAN において BOVPN 仮想インターフェイス リンク経由でサイト B からサイト A へのトラフィックが開始され、優先ルートが MPLS リンクである場合は、Firebox では IP スプーフィング防御がトリガされません。
サイト B のファイアウォール (Firebox またはサードパーティ製デバイス)
サイト B のデバイスは、Firebox またはサードパーティ製デバイスである可能性があります。この例では、Firebox の構成が示されています。
MPLS 接続の内部インターフェイスを構成します。この例では、このインターフェイス名は MPLS.to.SiteA とします。
リモート サイトへの BOVPN 仮想インターフェイス トンネルを構成します。この例では、このインターフェイス名は BovpnVif.to.SiteA とします。
BOVPN 仮想インターフェイス設定では、仮想 IP アドレスを構成する必要があります。仮想 IP アドレスを設定しない限り、BOVPN 仮想インターフェイスを Link Monitor に追加することはできません。すでにネットワークに接続されている仮想 IP アドレスと競合しない IP アドレスを指定することができます。
MPLS.to.SiteA と BovpnVif.to.SiteA インターフェイスを構成したら、これらのインターフェイスを Link Monitor に追加する必要があります。
BOVPN 仮想インターフェイスを Link Monitor に追加すると、Firebox では自動的にピア IP アドレスに ping ターゲットが追加されます。このターゲットを編集または削除することはできません。
MPLS.to.SiteA インターフェイスの Link Monitor 設定:
- 次のホップの IP アドレスを指定することをお勧めします。この例では、MPLS ルータのローカル側である 10.50.2.2 を指定します。次のホップにより、このインターフェイスが使用される SD-WAN トラフィックのルーティング先が Firebox に伝達されます。次のホップを指定しない場合は、ネットワーク > ルート ページで静的ルートを追加する必要があります。詳細については、静的ルート セクションを参照してください。
- Link Monitor ターゲットをリモート サイトの機器に追加します。この例では、 Link Monitor ターゲットはサイト A の Firebox の MPLS インターフェイスとなります。IP アドレスは 10.0.2.1 です。
サイト B のデバイスが Firebox で、サイト A への VoIP トラフィックがサイト B から開始される場合は、サイト B にメトリックベースの SD-WAN を構成することができます。
この例では以下を行います。
- SDWAN.action.MPLS-VIF という名前の SD-WAN アクションを追加します。
- MPLS.to.SiteA と BovpnVif.to.SiteA インターフェイスをアクションに追加します。
- 既定のメトリックと値を維持します。
- 即時フェールバック を選択します。
両方のサイトの Firebox に SD-WAN を構成する場合は、SD-WAN アクションを一致させる必要があります。たとえば、サイト A の Firebox で ジッター が選択されて、15 ミリ秒と指定されている場合は、サイト B の Firebox でも ジッター を選択して、15 ミリ秒と指定する必要があります。
サイト A のローカル ネットワーク 10.0.1.0/24 からサイト B のローカル ネットワーク 10.0.50.0/24 への受信 VoIP トラフィックが許可されるようにポリシーを構成します。このポリシーに SD-WAN アクションを指定する必要はありません。
サイト A への VoIP トラフィックがサイト B から開始される場合は、その送信トラフィックが SD-WAN でルーティングされるようにサイト B の Firebox に別のポリシーを構成します。たとえば、サイト B のローカル ネットワーク 10.0.50.0/24 からサイト A のローカル ネットワーク 10.0.1.0/24 への VoIP トラフィックが許可されるように SIP-ALG ポリシーを設定します。ポリシーの SD-WAN タブで、作成されている SD-WAN アクションを選択します。
この例では、サイト A の VoIP デバイスからサイト B へのトラフィックが開始されます。応答トラフィックがサイト A に返されるように、サイト B の Firebox に静的ルートを追加することをお勧めします。この例では、以下の静的ルートを追加します。
10.0.1.0/24 via MPLS.to.SiteB metric 1
10.0.1.0/24 via bvpn1 metric 50
静的ルートおよび IP スプーフィング防御の詳細については、サイト A の 静的ルート 情報を参照してください。