複数 WAN について
既定では、モデムで複数 WAN は有効化されません。複数 WAN は BOVPN やインバウンド トラフィックに影響しません。
複数 WAN の必要条件
複数 WAN 構成オプションのほとんどは使用の際、2 番目のインターネット接続と複数の外部インターフェイスが必要です。
複数 WAN を使用するための必要条件には以下のものが含まれます。
- 個別の外部インターフェイス エイリアスで構成されたポリシーが構成にある場合、エイリアス Any-External または外部インターフェイス用に構成する別のエイリアスを使用するために構成を変更する必要があります。この変更を行わないと、ファイアウォール ポリシーによって接続の一部が拒否される場合があります。
- 複数 WAN 設定は受信接続には適用されません。受信接続のためにポリシーを構成するときは、複数 WAN のすべての設定を無視できます。
- 会社で使用される完全修飾ドメイン名を最下位の外部インターフェイスの IP アドレスにマッピングします。Management Server configuration に複数 WAN の Firebox を追加する場合、追加時に最下位の外部インターフェイスを使用してデバイスを識別する必要があります。
- 複数 WAN を使用するには、ネットワークの構成にミックス ルーティング モードを使用する必要があります。この機能は、ドロップインまたはブリッジ モードのネットワークの構成に実行できません。
4 つの複数 WAN 構成オプションの 1 つを使用してネットワーク接続を管理できます。各オプションの詳細については、次を参照してください: 複数 WAN 方式について。
複数 WAN を有効にすると、Firebox は各外部インターフェイスのステータスをモニタします。必ず、各インターフェイスに Link Monitor ホストを定義してください。各インターフェイスで 2 つのリンクを構成することをお勧めします。
詳細については、Link Monitor について を参照してください。
Firebox T10 では、複数 WAN はサポートされません。複数 WAN は、Fireware v12.3 以降を搭載した T15 デバイスでサポートされています。Firebox T10 と T15 ではモデム フェールオーバーがサポートされています。これは、Fireware v12.1 以降にアップグレードした後 (モデムが外部インターフェイスに変換される) でも同様です。詳細については、モデム フェールオーバーを構成する を参照してください。
複数 WAN および参加インターフェイス
複数 WAN 構成では、複数 WAN に加える外部インターフェイスを選択することができます。複数 WAN に加える場合は、少なくとも 2 つのインターフェイスを選択する必要があります。複数 WAN 構成で選択されているすべてのインターフェイスがダウンしている場合、Firebox では、ルーティング メトリックが最も低い、参加していない外部インターフェイス経由でアウトバウンド接続がルーティングされます。
複数 WAN および SD-WAN
複数の外部インターフェイスを構成した後、特定の外部インターフェイスに発信接続を送信するポリシーを作成できます。ポリシーが適用された接続では、ポリシーの SD-WAN のルーティング設定が複数 WAN 構成の設定をオーバーライドします。
SD-WAN の詳細については、次を参照してください:SD-WAN について。
Fireware v12.3 以降では、ポリシーベースのルーティングが SD-WAN に置き換えられています。Fireware v12.2.1 以前では、トラフィックを別の外部インターフェイスにルーティングする場合は、ポリシーベースのルーティングを使用する必要があります。Fireware v12.3 以降にアップグレードすると、フェールオーバーなしのポリシーベースのルーティングが、単一のインターフェイスの SD-WAN アクションに変換されます。フェイルオーバーありのポリシーベースのルーティングは、複数インターフェイスの SD-WAN アクションに変換されます。Fireware OS 旧バージョンとの後方互換性のために、Policy Manager でポリシーベースのルーティング設定を引き続き使用することができます。ポリシーベースのルーティングの詳細については、WatchGuard ナレッジ ベースの Fireware v12.2.1 以前でポリシーベースのルーティングを構成する を参照してください。
複数 WAN および DNS
DNS サーバーはすべての WAN からアクセスできるようにしてください。このようにしない場合は、すべての WAN からアクセスできるように DNS ポリシーを変更する必要があります。
- 送信元 リストには Firebox が含まれます。
- DNS サーバーに到達できる WAN インターフェイスが含まれる SD-WAN アクションが選択されます。
1 つの WAN だけが DNS サーバーにアクセスできる場合
WAN インターフェイスを含む SD-WAN アクションを選択します。
Web UI で SD-WAN タブを選択し、続いて SD-WAN アクションを選択します。Policy Manager で、次を使用して送信トラフィックをルートする > SD-WAN ベースのルーティング を選択します。
複数の WAN が DNS サーバーにアクセスできる場合
DNS サーバーに到達できる WAN インターフェイスが含まれる SD-WAN アクションを選択できます。
SD-WAN アクションでは、一覧の最初のインターフェイスがプライマリ インターフェイスです。プライマリ インターフェイスが起動していて、SD-WAN アクションで指定した値を超過しないメトリックを持つ場合は、プライマリ インターフェイスが優先されます。インターフェイスをリスト内で上下に移動させれば、プライマリ インターフェイスを変更することができます。
SD-WAN 構成の詳細については、次を参照してください:SD-WAN を構成する。
複数 WAN および FireCluster
FireCluster 機能を持つ複数 WAN フェールオーバーを使用できますが、これらは別々に構成されます。FireCluster フェールオーバーは、 Link Monitor ホストへの接続失敗によって発生した複数 WAN フェールオーバーによってトリガされることはありません。FireCluster フェールオーバーは、物理インターフェイスがダウンしたり、応答しない場合にだけ発生します。FireCluster フェールオーバーは複数 WAN フェールオーバーに優先されます。