BOVPN 仮想インターフェイスの例
Branch Office VPN を仮想インターフェイスとして構成すると、Firebox ではパケットの送信インターフェイスに基づいて、トンネル経由でパケットが送信されます。BOVPN 仮想インターフェイスはルーティング テーブルにあり、VPN トンネル経由でトラフィックを送信するかどうかに関する決定には、静的・動的ルートおよび SD-WAN ルーティングが影響します。これにより、BOVPN トンネルを使用するように Firebox を構成する方法において柔軟性が高まります。
BOVPN 仮想インターフェイスは構成ではインターフェイスとしてみなされるため、柔軟な構成方法とルーティング オプションを選択することができます。このトピックには次の構成オプションが含まれています:
- ルーティング テーブル メトリクスに基づくフェールオーバーとフェールバック
- 動的ルート
- SD-WAN ルーティング (メトリックに基づくフェールオーバーあり)
- SD-WAN ルーティング (フェールオーバーなし)
- クラウド管理下の Firebox への BOVPN 仮想インターフェイス
- サードパーティの統合
いずれかの endpoint が NAT デバイスの背後にある場合は、仮想 IP アドレスを構成することをお勧めします。仮想 IP アドレスの詳細については、次を参照してください: BOVPN 仮想インターフェイスの IP アドレスを構成する。
Fireware v12.3 以降では、ポリシーベースのルーティングが SD-WAN に置き換えられています。Fireware v12.2.1 以前では、トラフィックを別の外部インターフェイスにルーティングする場合は、ポリシーベースのルーティングを使用する必要があります。Fireware v12.3 以降にアップグレードすると、フェールオーバーなしのポリシーベースのルーティングが、単一のインターフェイスの SD-WAN アクションに変換されます。フェイルオーバーありのポリシーベースのルーティングは、複数インターフェイスの SD-WAN アクションに変換されます。Fireware OS 旧バージョンとの後方互換性のために、Policy Manager でポリシーベースのルーティング設定を引き続き使用することができます。ポリシーベースのルーティングの詳細については、WatchGuard ナレッジ ベースの Fireware v12.2.1 以前でポリシーベースのルーティングを構成する を参照してください。
ルーティング テーブル メトリクスに基づくフェールオーバーとフェールバック
目的
MPLS リンクで接続された 2 つのサイトにおいて、トラフィックが IP ネットワークを介して自動的にセカンダリ Branch Office VPN 接続にフェールオーバーおよびフェールバックするようにします。
構成の概要
- MPLS ネットワークを介して 2 つのサイト間をプライマリ接続する外部インターフェイスを構成します。プライマリ接続には動的ルートが使用されているか、またはそれが BOVPN 仮想インターフェイスとして構成されている必要があります。プライマリ ルートに高いメトリックが設定されるように、またはプライマリ接続が利用できない場合にルーティング テーブルから削除されるようにするために、これを行う必要があります。
- 2 つのサイト間のセカンダリ リンク用に BOVPN 仮想インターフェイスを構成します。
- BOVPN 仮想インターフェイスの静的ルートを追加して、ルートに高いメトリック (200 など) を設定します。
詳細な構成例については、次を参照してください:メトリックス ベースのフェールオーバーの BOVPN 仮想インターフェイス。
仕組み
この構成では、2 つのサイト間に 2 つのルートがあります。
- MPLS ネットワーク経由のルート
- BOVPN 仮想インターフェイス経由の別の静的ルート
2 つのルートが利用可能である場合には、どちらのルートに高い優先度(メトリックが低い)があるかに基づいて、パケットが進む経路に関する最終決定が下されます。BOVPN 仮想インターフェイスのルートはメトリックが高いため、MPLS リンクが利用可能な場合には、Firebox では MPLS リンク経由のプライマリ ルートが使用されます。MPLS リンクが利用可能でない場合は、プライマリ ルートがルーティング テーブルから削除されるか、またはセカンダリ BOVPN 仮想インターフェイスのルートよりも高いメトリックがプライマリ ルートに割り当てられます。そうすると、セカンダリ BOVPN 仮想インターフェイスのルート メトリックが最も低くなるため、Firebox ではセカンダリ BOVPN 仮想インターフェイス経由のルートが使用されることになります。MPLS ルートが再び利用可能になると、そのメトリックが低いため、Firebox で自動的に再びそのルートが使用されるようになります。
2 つの BOVPN 仮想インターフェイス間の自動フェールオーバーとフェールバックを有効にする際も、同様の構成を使用することができます。自動フェールオーバーとフェールバックを有効にするには、それぞれの静的ルートで、2 つの BOVPN 仮想インターフェイスを作成し、バックアップの BOVPN ルートよりも低いメトリックを優先する BOVPN ルートに設定します。
動的ルートの BOVPN 仮想インターフェイス
目的
2 つのサイト間で、セキュアな VPN トンネルを介して、複数のローカル ネットワークに関する情報を動的に交換できるようにします。この構成では、各サイトにおけるすべてのプライベート ネットワーク間で、明示的に構成されたルートを手動で追加および維持する必要がありません。
BGP を使用する動的ルートを Microsoft Azure に構成するには、Microsoft PowerShell を使用する必要があります。OSPF を使用した Microsoft Azure 仮想ネットワークへの動的ルートはサポートされていません。詳細については、Microsoft Azure への動的ルートの BOVPN 仮想インターフェイス を参照してください。
OSPF を使用した Amazon Web Services 仮想ネットワークへの動的ルートはサポートされていません。Amazon Web Services (AWS) への動的ルートの BOVPN 仮想インターフェイス の詳細については、次を参照してください:
構成の概要
- 2 つのサイト間における Branch Office VPN を BOVPN 仮想インターフェイスとして構成します。VPN ルート タブで、仮想 IP アドレスを構成します。非アクティブの際に、フェーズ 1 トンネルを開始する チェックボックスが選択されていることを確認します。
- 2 つのサイト間の動的ルートを有効化します。動的ルート構成で、ピア ネットワーク IP アドレスとして仮想 IP アドレスを使用します。
- OSPF では、ネットワーク コマンドを使用して、/32 ネットマスクでピア仮想 IP アドレスを構成します。
たとえば、network <peer_virtual_ip>/32 area 0.0.0.0 - BGP では、ネイバー コマンド、およびピア仮想 IP アドレスを使用します
たとえば、neighbor <peer_virtual_ip> remote-as 65535
- OSPF では、ネットワーク コマンドを使用して、/32 ネットマスクでピア仮想 IP アドレスを構成します。
- 各デバイスがルートをどのローカル ネットワークに伝播するかを構成する場合は、動的ルート コマンドを使用します。動的ルートを制御するには、OSPF の インターフェイス コスト または BGP の ローカルの基本設定 を使用することができます。OSPF では、インターフェイス コストが低いほど、ルートの優先度が高くなります。BGP では、ローカルの基本設定が高いほど、ルートの優先度が高くなります。
動的ルートでの BOVPN 構成の詳細な例については、次を参照してください:
- 動的ルートの BOVPN 仮想インターフェイス
- Cisco への動的ルートの BOVPN 仮想インターフェイス
- Microsoft Azure への動的ルートの BOVPN 仮想インターフェイス
- Amazon Web Services (AWS) への動的ルートの BOVPN 仮想インターフェイス
仕組み
BOVPN 仮想インターフェイスにより、2 つのサイト間における接続が確立されます。各サイトは、動的ルート構成に基づいて、ローカル ネットワークのルートを伝播します。動的ルーティング プロトコルにより、各ゲートウェイは BOVPN トンネルの他方にあるゲートウェイの配下のローカル ネットワークへのルートを自動的に学習することができます。選択された動的ルーティング プロトコルに応じて、ルートの優先度がインターフェイス コストかローカルの基本設定のいずれかに基づくか、またはその両方に基づくかが決定されます。
SD-WAN ルーティングを使った BOVPN 仮想インターフェイス (メトリクス ベースのフェールオーバー)
目的
VoIP 通話などのレイテンシーに敏感なトラフィックで高質のサービスをユーザーが経験できるよう徹底します。Fireware v12.4 以降では、BOVPN 仮想インターフェイス フェールオーバーにパフォーマンス メトリクスを使用する SD-WAN ルーティングにより、これを達成することができます。
構成の概要
BOVPN 仮想インターフェイス トンネルへの MPLS リンクからの SD-WAN フェールオーバー および SD-WAN を構成する を参照してください。
SD-WAN ルーティングを使った BOVPN 仮想インターフェイス (フェールオーバーなし)
目的
1 つのサイト (サイト A) に、単一の外部インターフェイスと 2 つの外部インターフェイスがある別のサイト (サイト B) への 2 つの Branch Office VPN ゲートウェイがあるとします。サイト B の 2 つのネットワーク接続の品質とコストは異なっています。目的は、VoIP などのレイテンシーの影響を受けやすいトラフィックをネットワーク上のトンネルを介して最小レイテンシーで送信し、FTP などの他のトラフィックすべてを他のトンネル ルート経由で送信することです。
Fireware v12.3 以降では、ポリシーベースのルーティングが SD-WAN に置き換えられています。SD-WAN のしくみの詳細については、次を参照してください:SD-WAN について。
構成の概要
サイト A のデバイス:
- サイト A とサイト B の低レイテンシー リンクを使用する外部インターフェイス間に BOVPN 仮想インターフェイスを構成します。VPN ルート タブで、ルートを追加する必要はありません。最初の BOVPN 仮想インターフェイスは bvpn1 となります。BOVPN 仮想インターフェイス構成で、非アクティブの際に、フェーズ 1 トンネルを開始する チェックボックスが選択されていることを確認します。
- サイト A とサイト B の 2 番目の外部インターフェイス間に別の BOVPN 仮想インターフェイスを構成します。2 番目の BOVPN 仮想インターフェイスは bvpn2 となります。その他のトラフィックにルートを追加することができます。
- VoIP トラフィックの SIP ポリシーを編集します。
- 送信元 リストに、このポリシーの送信元によりトラフィックが処理されるローカル ネットワークのネットワーク アドレスを追加します。
- 送信先 リストに、このポリシーの転送元によりトラフィックが処理されるリモート サイトの信頼済みネットワークまたは任意ネットワークのネットワーク アドレスを追加します。
- (Fireware v12.2.1 以前) ポリシーベースのルーティングを有効にします。このポリシーのレイテンシーが低いほうの BOVPN 仮想インターフェイスを選択します。
- (Fireware v12.3 以降) 低レイテンシーの BOVPN 仮想インターフェイスを使用する SD-WAN アクションを選択するか追加します。
- 他のすべてのトラフィックでは、静的ルートか動的ルートのいずれかを定義し、レイテンシーがより高い他の BOVPN 仮想インターフェイスを使用することができます。
サイト B のデバイス:
- サイト B とサイト A の最初の外部インターフェイス間で BOVPN 仮想インターフェイスを構成します。VPN ルート タブで、ルートを追加する必要はありません。これは bvpn1 で、この例では低レイテンシーのリンクです。非アクティブの際に、フェーズ 1 トンネルを開始する チェックボックスが選択されていることを確認します。
- サイト A とサイト B の 2 番目の外部インターフェイス間に BOVPN 仮想インターフェイスを構成します。これは、bvpn2 となります。その他のトラフィックにルートを追加することができます。
- VoIP トラフィックの SIP ポリシーを編集します。
- 送信元 リストに、このポリシーの送信元によりトラフィックが処理されるローカル ネットワークのネットワーク アドレスを追加します。
- 送信先 リストに、このポリシーの転送元によりトラフィックが処理されるリモート サイトの信頼済みネットワークまたは任意ネットワークのネットワーク アドレスを追加します。
- (Fireware v12.2.1 以前) ポリシーベースのルーティングを有効にします。このポリシーのレイテンシーが低いほうの BOVPN 仮想インターフェイスを選択します。
- (Fireware v12.3 以降) 低レイテンシーの BOVPN 仮想インターフェイスを使用する SD-WAN アクションを選択するか追加します。
- 他のすべてのトラフィックでは、静的ルートか動的ルートのいずれかを定義し、レイテンシーがより高い他の BOVPN 仮想インターフェイスを使用することができます。
仕組み
2 つの BOVPN 仮想インターフェイスにより、それぞれ 2 つのサイト間における接続が確立されます。送信元アドレスと宛先アドレスは、ポリシー (この例の場合は SIP ポリシー) により指定されます。BOVPN 仮想インターフェイス設定ではルートは定義されていませんが、SIP ポリシーは SD-WAN ルーティング (Fireware v12.3 以降) またはポリシーベースのルーティング (Fireware v12.2.1 以前) を使用して、低レイテンシー接続のトンネル経由でトラフィックをリダイレクトします。パケットは暗号化され、トンネル経由でトラフィックが送信されます。
この構成例は、他のトンネルへのフェールオーバーを提供するものではありません。ただし、Fireware v12.4 以降では、SD-WAN を使って、損失やレイテンシー、ジッター メトリックを基に BOVPN 仮想インターフェイスの間でのフェールオーバーを構成することができます。SD-WAN について および SD-WAN を構成する を参照してください。
クラウド管理下の Firebox への BOVPN 仮想インターフェイス
クラウド管理下の Firebox への BOVPN を構成するには、以下の設定で BOVPN 仮想インターフェイスを追加します。
- リモート Endpoint タイプ — クラウド VPN またはサードパーティ Gateway を選択します。
- フェーズ 1 設定 — フェーズ 1 設定で IKEv2 を選択します。
その他の設定は、クラウド管理下の Firebox の VPN 設定に合わせて構成します。
- リモート ゲートウェイ — クラウド管理の Firebox の外部ドメイン名または IP アドレスを指定します。
- 認証メソッド — 以下の 2 つのオプションのいずれかを選択します。
- 事前共有キー — クラウド管理の Firebox の BOVPN 設定で構成した事前共有キーを指定します。
- 証明書 — トンネル認証に使用する IPSec Firebox 証明書を指定します。
- 仮想 IP アドレス — クラウド管理の Firebox の BOVPN 設定で指定した仮想 IP アドレスです。
- フェーズ 1 設定 — IKEv2 を使用するようにリモート endpoint を構成し、クラウド管理の Firebox の BOVPN 設定で指定された認証、暗号化、SA の有効期限、およびキーの有効期限の設定を指定します。
- フェーズ 2 設定 — ESP (セキュリティ ペイアウトのカプセル化) を使用するようにリモート endpoint を構成し、クラウド管理の Firebox の BOVPN 構成で指定された認証、暗号化、およびキーの有効期限の設定を指定します。
- ネットワーク リソース — VPN 経由で Firebox のネットワーク リソースにトラフィックをルーティングするようにリモート endpoint を構成します。
クラウド管理下の Firebox の VPN 設定では、構成する必要がある VPN 設定が示されている VPN ガイドを表示することができます。
クラウド管理下の Firebox で VPN を構成し、BOVPN ガイドを表示する方法については、次を参照してください:ローカル管理の Firebox またはサードパーティ VPN endpoint に対して BOVPN を構成する。
サードパーティの統合
Firebox からサードパーティ endpoint に BOVPN 仮想インターフェイス接続を構成するには、以下を参照してください:
Microsoft Azure
Amazon AWS
- Amazon Web Services (AWS) への動的ルートの BOVPN 仮想インターフェイス
- Amazon Web Services (AWS) への静的ルーティングの BOVPN 仮想インターフェイス
Cisco
その他のサードパーティ endpoint
関連情報:
WatchGuard ナレッジ ベースの Fireware v12.2.1 以前でポリシーベースのルーティングを構成する