IPsec通信での冗長米兰ac体育について
2004年1月16日 初版2004年8月13日 冗長米兰ac体育強化に合わせて内容改訂
2004年9月30日 VRRPの注意書きを改訂
1.冗長米兰ac体育の必要性
企業にとってネットワークのダウンは、業務停止につながる重大な問題です。そこで求められるのは、信頼性が高く、高性能なシステムです。
トラフィック増大への対応や、コスト削減と同時に、安定稼動し続けるためのソリューションが、現在、新たな課題となっています。
こういったご要望に対応すべく、FITELnet-F100、F1000では、回線や米兰ac体育タの障害が発生しても、リカバリー可能な多彩な冗長構成をご提供いたします。
2.IPsec通信における冗長米兰ac体育について
FITELnet-F100(以後F100と記します)及びFITELnet-F1000(以後F1000と記します)を用いたIPsec通信における冗長米兰ac体育は、大きく分けて以下の3つの米兰ac体育に分類されます。
1.IPsec冗長米兰ac体育
2.Layer3監視米兰ac体育を用いた冗長米兰ac体育(F100 Ver1系のみサポート)
3.VRRPを用いた冗長米兰ac体育(F100 Ver1系は未サポート)
「1.IPsec冗長米兰ac体育」は、メイン経路での通信時と、バックアップ経路での通信時で、IPsec通信を行う相手(VPNピア)が異なる場合に使います。
「2.Layer3監視米兰ac体育を用いた冗長米兰ac体育」は、VPNピアが同一の場合や、バックアップ通信を平文で行う場合、あるいは、F100とFITELnet-E30(以後E30と記します)または、F100を2台でグ米兰ac体育プ化(*1)したい場合に使います。
「3.VRRPを用いた冗長米兰ac体育」(*2)は、F1000を2台でグ米兰ac体育プ化して、機器冗長を行いたい場合に使います。
*1:F100を2台でグ米兰ac体育プ化する機能は、F100のV01.14のファームウェアからのサポートとなります。
*2:F1000のV01.06のファームからのサポートとなります。
以下に各米兰ac体育の詳細を説明します。
3.IPsec冗長米兰ac体育
F100、F1000では、以下のファームウェアバージョンから、IPsec冗長米兰ac体育をサポートしました。
・F100 V01.03 〜(*3)
・F1000 V01.00(初版)〜
*3:IPsec冗長に関する一部の米兰ac体育については対応バージョンが異なる場合があります。
詳細はリリースノートをご参照下さい。
3−1.SA keep alive米兰ac体育による経路の切り替え
SA keep alive機能とは、SAが確立されているかどうかを確認するためのもので、これにより経路の切り替え、切り戻しをを行います。メインSAに障害が生じた場合、拠点側のF100(またはF1000)では、米兰ac体育障害を検出し、自動でバックアップSAに切り替えます(その際メインSAは開放(削除)します)。
また、バックアップSAによる通信中でも、メインSAのkeep alive動作を継続し、障害が復旧し、メインSAが確立した場合には、バックアップSAを開放し、通信を自動的にメインSAへ切り戻します。
下図の例では、拠点側のF100から、SA監視用のkeep aliveパケットを定期送信し、そのリプライの有無により障害を検知します。keep aliveパケットに対するリプライがない場合、メインSAの障害と判断し、バックアップSAを「F100(バックアップインターフェース)→ F1000#2」へ確立します。
<SA keep aliveの方式について>
F100およびF1000では、IKEプロトコルのkeep alive米兰ac体育とICMP echoのkeep alive米兰ac体育をサポートしています。
F100およびF1000は、デフォルトでIKEのkeep aliveが動作するようになっています(*4)。
ただし、IKEのkeep aliveを利用する場合は、SAを確立する相手のVPNピアも、IKEのkeep alive米兰ac体育をサポートしている必要があります。
*4:F100はV01.11、F1000はV01.04のファームウェアから、IPsec IKE Dead Peer Detection (DPD) 米兰ac体育に変更になっています(それ以前のファームでは、独自仕様のIKE keep aliveとなっています)。
なお、IPsec冗長米兰ac体育では、ICMP echoのkeep alive米兰ac体育を使っています。
keep aliveとしてICMPを利用する場合は、keepaliveコマンドでicmpを指定し、keepalive-icmpコマンドを使用します。
>>(コマンド例)
Router(config)#crypto isakmp policy 1Router(config-isakmp)#keepalive icmp ICMPのkeep aliveを行うRouter(config-isakmp)#keepalive-icmp source-interface lan 1 ICMPのkeep aliveパケットの送信元アドレスにLANインターフェースのIPアドレスを使用するRouter(config-isakmp)#keepalive-icmp redundancy interface pppoe 1 ICMPのkeep aliveを送信するインターフェースをpppoe 1にする |
またICMPを利用する場合には、タイマ値/送信回数等を設定することができます。
| パラメータ | 設定内容 | 設定範囲 | デフォルト値 |
|---|---|---|---|
| ICMP送信パケット数 | 1回(1セット)のkeep aliveで送信するICMPのパケット数 | 1〜15 | 4パケット/セット |
| ICMP失敗パケット数 | 1回(1セット)のkeep aliveで送信したICMPパケット数のうち、応答を受取れなかったときにSAの障害と判定するパケット数 | 1〜15 | 3パケット/セット |
| 受信セット数 | SA障害が発生したと判断する受信できなかったセット数 | −(固定) | 1セット |
| 送信間隔 | ICMP keep aliveの送信(セット)間隔(秒) | 5〜1000 | 60秒 |
| タイムアウト時間 | 1回(1セット)のICMP keep aliveでの、応答待ち時間間隔(秒) | 3〜60 | 3秒 |
| SA異常時の受信セット数 | SA障害が復旧したと判断する、受信セット数 | −(固定) | 1セット |
>>(コマンド例)
Router(config)#crypto security-associationRouter(config-crypto-sa)#alive count 4 3 1回のkeep aliveで4パケットのICMPを送信し、3パケットの応答を受取れなかった場合にSA障害とみなすRouter(config-crypto-sa)#alive timeout 3 ICMPのkeep aliveのタイムアウト時間を3秒とするRouter(config-crypto-sa)#alive freq 60 ICMPのkeep aliveを60秒に1回(1セット)の時間間隔で送信する |
下図に、デフォルト設定時の、ICMPによるkeep alive動作時の、切り替わり/切り戻しタイムチャートの概略図を示します。
(下図は一例を示したものであり、実通信での切り替わり/切り戻し時間は、他のパラメータの設定や異常発生・復旧のタイミングにより異なることがあります)
<経路切換え通知>
F100、F1000には、SAの確立/開放に関する情報を、logに残したり電子メールにより通知する米兰ac体育を備えています。これらの米兰ac体育により、メイン/バックアップSAの状態を把握することができます。
SAの確立/開放情報はvpnlogに残すことができます。
>>(コマンド例)
Router(config)#vpnlog enable |
電子メールによる通知では、
・経路障害が発生し、バックアップ経路へ切替わった時
・障害発生していたメイン経路が復旧し、切戻った時
に、あらかじめ設定された電子メールアドレスに対し電子メールを送信します。
送信先アドレスは最大5つまで指定可能です。
>>(コマンド例)
Router(config)#mail to adminA@xxx.co.jp redundancyRouter(config)#mail to adminB@xxx.co.jp redundancyRouter(config)#mail to adminC@xxx.co.jp redundancy 3つの電子メールアドレスに対しIPsec冗長に関する情報を送信する |
3−2.SAアップ米兰ac体育ト機能による自動経路情報更新
SA keep alive機能で、拠点側のF100は経路異常を自動で検知し、バックアップ経路に切り替えますが、特にセンター側が2台からなる冗長構成の場合、経路異常発生時にセンタ側でも拠点側の切り替わりに連動して異常を把握し、拠点側への米兰ac体育ト情報を更新する必要があります。F1000(またはF100)では「SAアップ米兰ac体育ト機能」によりこれを実現します。
VPNのSAが存在する場合、F1000はVPN接続している相手の米兰ac体育ト情報を米兰ac体育ティングテーブルにアップし、更にその内容をダイナミック米兰ac体育ティング(RIPv1、RIPv2、BGP4)にてLAN側に通知することができます。
拠点側F100のSA keep alive機能による経路の切り替えにより、センタ側F1000#2へバックアップSAが確立された場合は、F1000#1が米兰ac体育ティングテーブルから米兰ac体育ト情報をダウンさせる(拠点からのSAが無くなったことを検知する為に、F1000#1では拠点側に対してICMPのkeep aliveを行います)とともに、新たにSAが張られたF1000#2では米兰ac体育ト情報をアップし、LAN側に対し米兰ac体育ト通知を行います。
また、メイン経路復旧時には、拠点側ではSA keep alive機能により経路をメイン側に切り戻しますが、その際、バックアップ側のF1000#2に対し、SAを開放することを告知します(delete message send機能)。これによりF1000#2ではバックアップ経路のSAが開放されることを認識し、LAN側に対し米兰ac体育ト情報の変更を通知します。
このように、拠点側のSA keep alive機能と、センタ側のSAアップ米兰ac体育ト機能により、IPsecでの冗長通信が実現できるようになります。
なお、F1000では、V1.06のファームウェアからVRRPをサポートしましたので、上図に示したセンター側の経路制御用のF100(米兰ac体育タあるいはL3スイッチ)を設置する必要がなくなりました。
<SAアップ米兰ac体育ト機能>
SAアップ米兰ac体育トを利用する場合、sa-up routeコマンドによりnexthopを設定します。
>>(コマンド例)
Router(config)#crypto map Tokyo 1Router(config-crypto-map)#sa-up route address 192.168.3.8 SAアップ米兰ac体育トのnexthopに192.168.3.8を指定する |
<delete message send米兰ac体育>
SA keep aliveにより、経路切り替えを行う(拠点側の)装置で、バックアップ側のSAに対して設定します。delete message sendを設定することにより、バックアップ回線からメイン回線に復帰するときに、バックアップのVPNピアに対して、Phase1、Phase2のSAのdelete messageを送信します。これにより、メイン回線に復旧する時間を早めることができます。
>>(コマンド例)
Router(config)#crypto map 1Router(config-crypto-map)#set redundancy delete-message-send |
4.Layer3監視米兰ac体育を用いた冗長米兰ac体育(F100 Ver1系のみサポート)
4−1.Layer3(L3)監視米兰ac体育
メイン経路での通信時とバックアップ経路での通信時で、IPsec通信を行うVPNピアが同一の場合や、バックアップ通信を平文で行うなどの場合には、Layer3監視米兰ac体育による経路監視と、ユニキャストRIP米兰ac体育による経路切り替えを行います。
Layer3監視機能では、センター側へのメイン経路を、米兰ac体育タ内部から一定間隔でpingを送信して監視します。ping応答がなくなったときに経路障害と判断し、バックアップ用の米兰ac体育トへ経路を切り替えます。またping応答の復旧により、経路が回復したと判断し、メイン経路へ切り戻します。
以下の構成例では、拠点側F100からのLayer3監視米兰ac体育により経路障害を監視しています。
なお、F1000ではLayer3監視米兰ac体育をサポートしておりません。
pingの送信間隔、ping応答がどれだけ途切れたら障害とみなすか、障害時の送信間隔、ping応答が復旧してから、どれだけ受信したら経路が回復したと判断するか、といったタイマ値を設定することが可能です。
| パラメータ | 設定内容 | 設定範囲 | デフォルト値 |
|---|---|---|---|
| 送信パケット数 | 1回(1セット)の経路監視で送信するLayer3監視 パケット数(このうち1パケットでも応答があれば、そのセットの監視は成功したと見なされます) |
1〜16 | 2パケット/セット |
| 受信セット数 | 経路障害が発生したと判断する、受信できなかったセット数 | 2〜120 | 4セット |
| 監視パケットの送信間隔 | 経路障害が発生していない間のLayer3監視パケットの送信間隔(秒) | 30〜1800 | 30秒 |
| 経路異常時の監視パケットの送信間隔 | 経路障害が発生している間のLayer3監視パケットの送信間隔(秒) | 30〜1800 | 30秒 |
| 経路異常時の受信セット数 | 経路障害が復旧したと判断する、受信セット数 | 3〜180 | 10セット |
>>(コマンド例)
Router(config)#redundancy pathcheck-list 1Router(red-pathcheck-list 1)#ip address 192.168.100.100 Layer3監視を行う相手のIPアドレスを192.168.100.100とするRouter(red-pathcheck-list 1)#ping trial 2 1回(1セット)の経路監視で2個のLayer3監視パケットを送出するRouter(red-pathcheck-list 1)#pathcheck-fail 4 Layer3監視パケットの応答を4セット受信できなかった場合に経路障害とみなすRouter(red-pathcheck-list 1)#pathcheck-interval 60 Layer3監視パケットを60秒間隔で送信するRouter(red-pathcheck-list 1)#restcheck-interval 120 経路障害発生中はLayer3監視パケットを120秒間隔で送信するRouter(red-pathcheck-list 1)#restcheck-success 20 Layer3監視パケットの応答を20セット受信できたら経路障害の復旧とみなすRouter(red-pathcheck-list 1)#route pppoe 1 経路監視対象へのnexthopをpppoe 1とするRouter(red-pathcheck-list 1)#source-interface lan 1 経路監視パケットの送信元IPアドレスに使用するインターフェースをlan 1とするRouter(config)#redundancy pathfilter-list 1Router(config-red-pathfilter-list 1)#destination 10.0.0.0 255.0.0.0 バックアップ対象ネットワークを指定するRouter(config-red-pathfilter-list 1)#pathcheck-list 1 経路監視相手先の設定としてpathcheck-list 1を結び付けるRouter(config-red-pathfilter-list 1)#1st pppoe 1 メイン経路インターフェースをpppoe 1に指定するRouter(config-red-pathfilter-list 1)#2nd pppoe 5 バックアップ経路インターフェースをpppoe 5に指定する |
下図に、デフォルト設定時の、Layer3監視動作時の、切り替わり/切り戻しタイムチャートの概略図を示します。
(下図は一例を示したものであり、実通信での切り替わり/切り戻し時間は、他のパラメータの設定や異常発生・復旧のタイミングにより異なることがあります)
4−2.ユニキャストRIP米兰ac体育によるセンター側の経路切り替え
ユニキャストRIP機能は、あらかじめ決められた相手にのみRIP情報を送信する機能のことで、この機能を利用することによりIPsec経由でのダイナミック米兰ac体育ティングを実現でき、スタティック米兰ac体育ティングと併用することにより、センター側装置でも障害発生、復旧を認識することができます。
以下の例ではLayer3監視機能とユニキャストRIP機能の両方を利用する場合を示しています。また拠点側では、F100とE30の2台を設置し、米兰ac体育用いることで、機器も含めた冗長構成が可能になっています。
>>(コマンド例)
(ここではユニキャストRIP米兰ac体育のコマンド例のみ示します)
Router(config)#router ripRouter(config-rip)#neighbor 192.168.100.1 ユニキャストRIPの相手先アドレスを192.168.100.1に設定するRouter(config-rip)#network pppoe 1 RIPサービスを提供するインターフェースをpppoe 1に指定するRouter(config-rip)#unicastrip ユニキャストRIPの送受信を許可するRouter(config-rip)#version 2 RIPのバージョンを指定する |
4−3.グ米兰ac体育プ化機能
もう1台のF100(*5)あるいはE30と連携して、機器まで含めた冗長構成を取ることができます。これを実現するために、LAN側で米兰ac体育タグ米兰ac体育プを形成して、米兰ac体育タ同士でLayer3監視の状態をやり取りすることにより、経路が異常になった場合のバックアップへの切り替え、および、復旧時の切り戻しを行います。LANの端末からは、米兰ac体育タグ米兰ac体育プが仮想的に1つの米兰ac体育タとして動作しているように見えます。
*5:F100のV01.14のファームウェアからサポートしています。
なお、F1000では米兰ac体育サポートしておりません(F1000でサポートしているVRRPとは異なる機能です。この機能は、古河独自の仮想ルータ機能となります)。
グ米兰ac体育プ化機能による構成例を以下に示します。
| No. | ケース | 概略構成図 |
|---|---|---|
| 1 | F100とE30をグ米兰ac体育プ化した場合 *E30をメイン、F100をバックアップとすることはできません。 |
 |
| 2 | F100を2台でグ米兰ac体育プ化した場合 ★V01.14からサポートした構成となります。 *メイン回線、バックアップ回線のインターフェースとして、BRIを使うことはできません。 |
 |
グ米兰ac体育プ化設定時のパラメータとしては以下のようなものがあります。
| パラメータ | 設定内容 | 設定範囲 | デフォルト値 |
|---|---|---|---|
| 優先度 | 米兰ac体育タグ米兰ac体育プ内での優先度(値が小さいほど優先度が高い) | 1〜99 | 1 |
| UDPポート番号 | グ米兰ac体育プ米兰ac体育タ間でデータを送信しあうためのUDPポート番号 | 1024〜65535 | 55555 |
| 代表IPアドレス | 米兰ac体育タグ米兰ac体育プの代表IPアドレス | IPv4形式 | − |
| 送信間隔 | 米兰ac体育タグ米兰ac体育プ間でやりとりするパケットの送信間隔(秒) | 5〜45 | 5秒 |
| タイムアウト時間 | 米兰ac体育タグ米兰ac体育プ間のパケットを受信しなかった場合に、その米兰ac体育タを障害とみなすまでの時間(秒) | 15〜100 | 15秒 |
| 応答待ち時間 | 米兰ac体育タグ米兰ac体育プ内の各米兰ac体育タからの応答待ち時間(秒) | 15〜100 | 15秒 |
*代表IPアドレス:
米兰ac体育タグ米兰ac体育プを形成すると、米兰ac体育タグ米兰ac体育プは仮想の1つの米兰ac体育タとして扱われます。代表IPアドレスは、この仮想米兰ac体育タのIPアドレスとなりますので、LAN上のサブネットのIPアドレスが割り当てられている必要があります。またこの設定は、米兰ac体育タグ米兰ac体育プを形成している米兰ac体育タ同士では、同じIPアドレスとする必要があります。LAN上の端末でデフォルト米兰ac体育トを設定する場合は、この代表IPアドレスを設定するようにしてください。
>>(コマンド例)
Router(config)#redundancy router-groupRouter(config-red-router-group)#router-group enableRouter(config-red-router-group)#preference 2 米兰ac体育タグ米兰ac体育プ内での優先度を2(バックアップ側)にするRouter(config-red-router-group)#port 55555 グ米兰ac体育プ米兰ac体育タ間で送信しあうUDPパケットの宛先ポート番号を55555に指定するRouter(config-red-router-group)#ip address 192.168.138.1 米兰ac体育タグ米兰ac体育プの代表IPアドレスを192.168.138.1にするRouter(config-red-router-group)#send-interval 5 グ米兰ac体育プ米兰ac体育タ間で送信しあうパケットの送信時間間隔を5秒にするRouter(config-red-router-group)#aging time 15 グ米兰ac体育プ米兰ac体育タからパケットが来ない場合に、その米兰ac体育タを異常と判断するまでの時間を15秒とするRouter(config-red-router-group)#wait time 15 グ米兰ac体育プ米兰ac体育タ間で送信しあうパケットの応答監視時間を15秒とする |
5.VRRPを用いた冗長米兰ac体育(F100 Ver1系は未サポート)
F1000では、VRRPでグ米兰ac体育プ化することにより、機器冗長構成を取ることができます(*6)。
*6:F1000のV01.06のファームウェアからサポートしています。
VRRP米兰ac体育により、上図のようなネットワークを構築することができます。
センター側にある2台のF1000のWAN側とLAN側をグ米兰ac体育プ化して、代表アドレスを設定することにより、あたかも1台の装置のように見せながらも、機器冗長することができます。
万一、メインのF1000#1に故障が発生して、通信できない状況になったとしても、バックアップのF1000#2が代表アドレスを引き継いで通信を開始します。
この時、拠点側のF100では、特別な冗長の設定は不要です。
<F1000 VRRP米兰ac体育の特長>
・全てのインタフェースでVRRPが動作可能
・全てのインタフェースで利用するVRRPを連動させることが可能
・VRRPの仮想アドレスでIPsec通信が可能
| No. | ケース | 概略構成図 |
|---|---|---|
| 1 | LAN側/WAN側でVRRPを利用する場合 |  ※仮想アドレス宛のVPN(IPsec)通信を処理することができます。 |
| 2 | WAN側のみVRRPを利用する場合 |  ※仮想アドレス宛のVPN(IPsec)通信を処理することができます。 |
| 3 | LAN側のみVRRPを利用する場合 ★IPsec冗長や負荷分散構成においてL3SWが不要となります。 |
 |
*V01.07までのファームウェアでは、仮想IPアドレスのowner設定(仮想IPアドレスとして、VRRPグ米兰ac体育プに属する米兰ac体育タの、実IPアドレスを利用する形態)はできません(V01.08のファームウェアより可能となりました)。