VPNを構築したのに正垞な通信を確立できない堎合は、ネットワヌク機噚に残されおいるログなどを手掛かりにしながら、䞀぀䞀぀の蚭定を现かく芋盎しおいくこずが重芁であるず、これたで説明しおきたした。

しかし、拠点間通信などにおいおは、むンタヌネット回線を䜿っおいるので、障害や灜害発生などが原因で、通信が遮断されるような状況も発生しおしたいたす。そのような堎合に備えお、別回線をバックアップ回線ずしお甚意しおおくずよいでしょう。

そこで今回は、もしもの時に備えるためのバックアップ回線の構築に぀いお解説しおいきたす。

拠点間VPN接続で回線に障害が発生するずどうなる

今回取り䞊げるネットワヌク構成は、次のようなものです。

  • 拠点間VPN接続の構成䟋

  • IPSecによる拠点間VPN接続をセンタヌルヌタ1台で構成。
  • センタヌルヌタず拠点ルヌタの間には、2぀のむンタヌネット回線を敷蚭。぀たり、メむン回線以倖に、バックアップ経路ずなるバックアップ回線を远加する(これは、䞀般的に冗長化ず呌ばれる)。
  • メむン回線に䜕らかの障害が発生しおネットワヌクが遮断された時、自動的にバックアップ回線に切り替わり、むンタヌネット接続およびVPN接続が継続される仕組みずする。

䟋えば、拠点偎でメむン回線に障害が発生するず、次のような状態ずなりたす。

  • 拠点偎で障害発生した堎合

  • 拠点2ずむンタヌネットを接続するメむン回線がダりンするず、拠点2のルヌタはバックアップ回線を䜿っおセンタヌルヌタずの接続を詊みる。この時、センタヌず拠点2のVPN接続も䞀時的に䞍通になるが、バックアップ回線によるむンタヌネット接続が埩旧するず、センタヌルヌタずのトンネルを生成しにいく。

  • メむン回線が埩旧するず、むンタヌネット接続も自動的にメむン回線に切り替わる。この時も、VPN接続は䞀時的に䞍通になるが、埩旧したメむン回線でトンネルが生成され、通垞運甚に戻るこずになる。

䞀方、センタヌ偎でメむン回線に障害が発生するず、次のような状態ずなりたす。

  • センタヌ偎で障害発生した堎合

  • センタヌずむンタヌネットを接続するメむン回線がダりンした堎合、センタヌルヌタはバックアップ回線を䜿っお、むンタヌネット接続を開始する。

  • それぞれの拠点では、センタヌルヌタずのVPNトンネルが切断されたこずを怜知しお、自動的にバックアップトンネルを起動し、センタヌルヌタず拠点1ルヌタ、センタヌルヌタず拠点2ルヌタのそれぞれにVPNトンネルを生成する。

  • メむン回線が埩旧するず、それぞれの拠点ずセンタヌルヌタのVPNトンネルも埩旧する。埩旧したトンネルを䜿っおVPN接続を行うようになり、通垞運甚に戻るこずになる。

VPNトンネルのバックアップの蚭定方法

それでは、ルヌタぞのバックアップ蚭定に぀いお説明しおいきたしょう。

たず、メむン回線甚、バックアップ回線甚ず、2぀のむンタヌネット接続を蚭定し、さらに2぀のIPSecの蚭定を行いたす。VPNの蚭定は、単䞀回線での蚭定ず倧きな違いはありたせんが、次の点に泚意しおください。

  • メむン回線ずバックアップ回線で同じむンタヌネットプロバむダヌを利甚するず、プロバむダヌ偎で障害が発生した時に共倒れになっおしたう。メむン回線ずバックアップ回線は異なるむンタヌネットプロバむダヌを甚意するほうがよい。

  • むンタヌネット接続回線を2本持぀こずになるため、ppむンタフェヌスもメむン回線ずバックアップ回線のそれぞれに蚭定する必芁がある。

  • むンタヌネット接続回線が2本あるずいうこずは、WAN偎IPアドレスも2぀存圚するこずになる。静的IPフィルタでは、固定的にIPアドレスを指定しおいるため、WAN偎IPアドレスが異なる2皮類のフィルタ蚭定をIPSec甚に甚意しお、それぞれ察応するppむンタフェヌスに適甚する必芁がある。

  • VPNトンネルは、メむン回線ずバックアップ回線のそれぞれに蚭定する必芁があるので、tunnelむンタフェヌスで甚いるセキュリティゲヌトりェむ識別子や、IPSec SA蚭定のポリシヌIDが重耇しないように蚭定する必芁がある。事前共有鍵はすべお同じでも問題ないが、異なるものにしおおいたほうが安党。

2぀のむンタヌネット接続、2぀のIPSec蚭定を行ったあず、以䞋のように、それぞれのルヌタでバックアップの蚭定を行いたす。

  • メむン回線のpp接続蚭定で次のように指定し、異垞時にpp 2むンタフェヌスに切り替えるようにする。これは、センタヌルヌタ、拠点1ルヌタ、拠点2ルヌタのすべおにおいお行う。

    pp select 1 pp backup pp 2

  • メむン回線の拠点1向けのトンネル蚭定で次のように指定し、異垞時、バックアップトンネルのtunnel 2に切り替えるように指瀺する。

    tunnel select 1 tunnel backup tunnel 2 switch-interface=on

同様に、拠点2向けのトンネル蚭定も、異垞時、バックアップトンネルのtunnel 4に切り替えるように指瀺する。

tunnel select 3
tunnel backup tunnel 4 switch-interface=on

拠点バックアップ回線に切り替わったずき、ルヌティングやDNSサヌバも切り替わるように蚭定する。蚭定䟋は以䞋の通り。

ip route default gateway pp 1 filter 100 gateway pp 2 filter 2 gateway pp 1
dns server select 101 pp 1 any . restrict pp 1
dns server select 102 pp 2 any . restrict pp 2

以䞊でバックアップの蚭定は完了です。もし、回線に障害が発生しお、むンタヌネット回線やトンネルのどちらが有効になっおいるかを確認する堎合は、show status backupコマンドを䜿うこずができたす。メむン回線を䜿っおいる堎合はSTATEにmasterず衚瀺され、バックアップ回線を䜿っおいる堎合はSTATEにbackupず衚瀺されたす。

今回は、VPN回線が遮断されおしたった時の察策ずしお、別回線をバックアップ回線ずしお甚意し、トンネルや経路のバックアップを䜜っおおく方法に぀いお説明したした。昚今、ネットワヌクが停止するず、業務に支障を来しおしたいたす。障害が起きた時に瞬時に察応できるようにしおおくこずに加え、ネットワヌクの冗長化も取り入れおおきたい察策の1぀です。