VPNを構築したのに正常な通信を確立できない場合は、ネットワーク機器に残されているログなどを手掛かりにしながら、一つ一つの設定を細かく見直していくことが重要であると、これまで説明してきました。
しかし、拠点間通信などにおいては、インターネット回線を使っているので、障害や災害発生などが原因で、通信が遮断されるような状況も発生してしまいます。そのような場合に備えて、別回線をバックアップ回線として用意しておくとよいでしょう。
そこで今回は、もしもの時に備えるためのバックアップ回線の構築について解説していきます。
拠点間VPN接続で回線に障害が発生するとどうなる?
今回取り上げるネットワーク構成は、次のようなものです。
- IPSecによる拠点間VPN接続をセンタールータ1台で構成。
- センタールータと拠点ルータの間には、2つのインターネット回線を敷設。つまり、メイン回線以外に、バックアップ経路となるバックアップ回線を追加する(これは、一般的に冗長化と呼ばれる)。
- メイン回線に何らかの障害が発生してネットワークが遮断された時、自動的にバックアップ回線に切り替わり、インターネット接続およびVPN接続が継続される仕組みとする。
例えば、拠点側でメイン回線に障害が発生すると、次のような状態となります。
拠点2とインターネットを接続するメイン回線がダウンすると、拠点2のルータはバックアップ回線を使ってセンタールータとの接続を試みる。この時、センターと拠点2のVPN接続も一時的に不通になるが、バックアップ回線によるインターネット接続が復旧すると、センタールータとのトンネルを生成しにいく。
メイン回線が復旧すると、インターネット接続も自動的にメイン回線に切り替わる。この時も、VPN接続は一時的に不通になるが、復旧したメイン回線でトンネルが生成され、通常運用に戻ることになる。
一方、センター側でメイン回線に障害が発生すると、次のような状態となります。
センターとインターネットを接続するメイン回線がダウンした場合、センタールータはバックアップ回線を使って、インターネット接続を開始する。
それぞれの拠点では、センタールータとのVPNトンネルが切断されたことを検知して、自動的にバックアップトンネルを起動し、センタールータと拠点1ルータ、センタールータと拠点2ルータのそれぞれにVPNトンネルを生成する。
メイン回線が復旧すると、それぞれの拠点とセンタールータのVPNトンネルも復旧する。復旧したトンネルを使ってVPN接続を行うようになり、通常運用に戻ることになる。
VPNトンネルのバックアップの設定方法
それでは、ルータへのバックアップ設定について説明していきましょう。
まず、メイン回線用、バックアップ回線用と、2つのインターネット接続を設定し、さらに2つのIPSecの設定を行います。VPNの設定は、単一回線での設定と大きな違いはありませんが、次の点に注意してください。
メイン回線とバックアップ回線で同じインターネットプロバイダーを利用すると、プロバイダー側で障害が発生した時に共倒れになってしまう。メイン回線とバックアップ回線は異なるインターネットプロバイダーを用意するほうがよい。
インターネット接続回線を2本持つことになるため、ppインタフェースもメイン回線とバックアップ回線のそれぞれに設定する必要がある。
インターネット接続回線が2本あるということは、WAN側IPアドレスも2つ存在することになる。静的IPフィルタでは、固定的にIPアドレスを指定しているため、WAN側IPアドレスが異なる2種類のフィルタ設定をIPSec用に用意して、それぞれ対応するppインタフェースに適用する必要がある。
VPNトンネルは、メイン回線とバックアップ回線のそれぞれに設定する必要があるので、tunnelインタフェースで用いるセキュリティゲートウェイ識別子や、IPSec SA設定のポリシーIDが重複しないように設定する必要がある。事前共有鍵はすべて同じでも問題ないが、異なるものにしておいたほうが安全。
2つのインターネット接続、2つのIPSec設定を行ったあと、以下のように、それぞれのルータでバックアップの設定を行います。
-
メイン回線のpp接続設定で次のように指定し、異常時にpp 2インタフェースに切り替えるようにする。これは、センタールータ、拠点1ルータ、拠点2ルータのすべてにおいて行う。
pp select 1 pp backup pp 2
-
メイン回線の拠点1向けのトンネル設定で次のように指定し、異常時、バックアップトンネルのtunnel 2に切り替えるように指示する。
tunnel select 1 tunnel backup tunnel 2 switch-interface=on
同様に、拠点2向けのトンネル設定も、異常時、バックアップトンネルのtunnel 4に切り替えるように指示する。
tunnel select 3
tunnel backup tunnel 4 switch-interface=on
拠点バックアップ回線に切り替わったとき、ルーティングやDNSサーバも切り替わるように設定する。設定例は以下の通り。
ip route default gateway pp 1 filter 100 gateway pp 2 filter 2 gateway pp 1
dns server select 101 pp 1 any . restrict pp 1
dns server select 102 pp 2 any . restrict pp 2
以上でバックアップの設定は完了です。もし、回線に障害が発生して、インターネット回線やトンネルのどちらが有効になっているかを確認する場合は、show status backupコマンドを使うことができます。メイン回線を使っている場合はSTATEにmasterと表示され、バックアップ回線を使っている場合はSTATEにbackupと表示されます。
今回は、VPN回線が遮断されてしまった時の対策として、別回線をバックアップ回線として用意し、トンネルや経路のバックアップを作っておく方法について説明しました。昨今、ネットワークが停止すると、業務に支障を来してしまいます。障害が起きた時に瞬時に対応できるようにしておくことに加え、ネットワークの冗長化も取り入れておきたい対策の1つです。