集中型 Branch Office VPN アーキテクチャ (ハブ アンド スポーク)
サンプル構成ファイル — WSM v11.10.1 で作成
改訂 — 2018/01/23
ユースケース
この構成例では、規模の異なる複数のサイトを持つ組織が、各サイトのネットワークを相互接続することを希望していると仮定します。この組織は、セントラル ロケーションでデータを確認して管理することを希望しています。さらに、リソースのための信頼できるセントラル ロケーションが必要かもしれません。または、集中型アーキテクチャが必要なビジネス プロセスが存在する可能性もあります。
この構成例は、参考のために提供されています。ネットワーク環境によっては、構成の追加設定が必要になるか、それが適切な場合があります。
解決方法の概要
集中型 VPN 構成(ハブ アンド スポークとも呼ばれる)では、すべての VPN トンネルが 1 つの場所に集中します。これを利用することで、セントラル ロケーションでグローバルなデータを確認して管理することができます。このソリューションにより、すべての共有リソースを、適切に維持される信頼性の高い場所に保管することができるため、リソースの可用性を維持することもできます。
セントラル ロケーションが VPN トンネルの単一障害点となる可能性があるため、この構成はこのセントラル ロケーションに大きく依存します。組織のリモート ロケーションの数が増えた場合は、セントラル ロケーションの容量を拡張する必要があります。ネットワーク リソースが主にリモート サイトに分散されている場合は、分散型アーキテクチャがより優れたソリューションになる場合があります。
仕組み
セントラル ロケーションの Firebox は、リモートネットワーク サイトからの VPN トンネルのプライマリ ゲートウェイとして機能します。セントラル ロケーションで、サイト間で転送されるすべてのデータを受信します。リソースのために意図されていないトラフィックがセントラル ロケーションで受信されると、セントラル ロケーションのデバイスによりそのトラフィックが正しい宛先のトンネルにリダイレクトされます。これは、トンネル スイッチングと呼ばれるものです。
要件
信頼性の高いセントラル ロケーション
セントラル ロケーションで、集約されたすべての VPN 接続が処理されます。すべての VPN トラフィックは、このサイトの可用性に依存します。
十分な帯域幅
スイッチド トンネルでは、発信元に帯域幅、宛先、およびセントラル ロケーションが必要です。前の図に示されているように、HQ からトラフィックを受信するスモール オフィスでは、HQ のアップストリーム帯域幅、コロケーションのアップストリーム帯域幅とダウンストリーム帯域幅、およびスモール オフィスのダウンストリーム帯域幅が使用されます。暗号化とカプセル化のオーバーヘッドのために、VPN 帯域幅は回線速度よりも低い速度で測定されます。
各ロケーションに適した Firebox
Firebox の機能はモデルによって異なります。VPN 構成では、各モデルの VPN スループットとトンネル容量を考慮する必要があります。ネットワーク環境や構成オプションなどの要素も、各サイトに最適なモデルを決定する上で役立ちます。
VPN スループットは、VPN 経由で 1 秒当たりに渡されるデータの量です。セントラル ロケーションではスイッチド トラフィックが 2 回処理されます。
VPN トンネル数は、接続されているネットワークの数 (トンネル ルートに構成) によって決まります。オフィスでは、これは一般的にローカル ネットワークの数にリモートネットワークの数を掛けた数値となります。セントラル ロケーションでは、これは他すべてのロケーションにおけるトンネル数の合計数となります。
各 Firebox モデルで使用可能な VPN スループットと Branch Office VPN トンネル容量の詳細については、製品データシートを参照してください (http://www.watchguard.com/wgrd-resource-center/product-resources)。
構成例
このユースケースを説明するために、コロケーション施設 (Colo)、企業オフィス (Corp)、流通センター (Dist)、スモール オフィス (RMT) の 4 つの拠点を持つ組織の例を示します。また、このソリューションは拡張して、追加のオフィス、物流センター、スモール オフィスをサポートすることができます。
トポロジ
この構成のサイトの IP アドレス:
| Colo | Corp | Dist | RMT | |
|---|---|---|---|---|
| 外部インターフェイスの IP アドレス | 192.0.2.8/24 | 198.51.100.8/24 | 203.0.113.9/24 | DHCP |
| 既定のゲートウェイの IP アドレス | 192.0.2.1 | 198.51.100.1 | 203.0.113.1 | DHCP |
| サイトに割り当てられるプライベート ネットワーク | 172.16.0.0/16 | 10.8.0.0/16 | 10.9.0.0/16 | 10.192.1.0/24 |
| サイトに割り当てられるルーティングされていないネットワーク | 該当なし | 該当なし | 192.168.9.0/24 | 192.168.192.0/24 |
サンプル構成ファイル
参考のため、このドキュメントにはサンプル構成ファイルが含まれています。Policy Manager で開いて、サンプルの構成ファイルの詳細を調べることができます。4 つのサンプル構成ファイル (この例の各ロケーションに 1 つずつ) が含まれています。
| 構成ファイル名 | 説明 |
|---|---|
| Centralized-Colo.xml | VPN のセントラル ロケーション、コロケーション施設 |
| Centralized-Corp.xml | 企業オフィス |
| Centralized-Dist.xml | 流通センター |
| Centralized-RMT.xml | スモール オフィス |
構成の説明
Branch Office VPN ゲートウェイ
サンプル構成ファイルには、コロケーションの Firebox と他のサイトの Firebox の間の VPN 接続用に定義されている Branch Office ゲートウェイが含まれています。
Branch Office VPN ゲートウェイを確認するには、以下の手順を実行します:
- Policy Manager で、Firebox 構成を開きます。
- VPN > Branch Officeゲートウェイ の順に選択します。
Colo 構成には、3 つのゲートウェイ (他の各サイトに 1 つずつ) があります。他の各サイトの構成では、Colo サイトへのゲートウェイ 1 つのみとなります。
Branch Office VPN トンネル
サンプル構成ファイルには、各サイトのネットワーク間でトラフィックをルーティングするように定義されている Branch Office トンネルが含まれています。
Branch Office VPN トンネルを確認するには、以下の手順を実行します:
- Policy Manager で、Firebox 構成を開きます。
- VPN > Branch Office トンネル の順に選択します。
コロケーション (Colo) 構成には 9 つのトンネルがあり、スモール オフィス (RMT) には 3 つのトンネルがあります。
スモール オフィスには、ローカル ネットワークからリモート ネットワークへのルートのみが定義されているトンネルが必要です。一方で、コロケーション サイトには、相互接続されているすべてのネットワークが定義されているトンネルが必要です。サンプル構成ファイルでは、各トンネルの名前が、管理するローカル ネットワークとリモートネットワークを表す名称になっています。括弧内の識別子はトンネルで使用されるゲートウェイです。
トンネル ルートは、サイトに定義されている個々のネットワークではなく、各サイトに割り当てられているサブネットで定義されています。この構成では、他の各サイトにおける信頼済みネットワークと任意ネットワークに接続するために、スモール オフィス (RMT) には (6 つではなく) 3 つのトンネル ルートしか必要ありません。各サイトに確立されたこの割り当ての新しいネットワークは、既存の Branch Office VPN でルーティングされます。VPN トンネルをより詳細に管理するために、個々のネットワークを個別に定義することもできますが、これには追加のトンネル ルートと管理時間がかかります。
たとえば、トンネル ルートColo - RMT と RMT - Colo では、サブネット IP アドレス:172.16.0.0/16 が Colo ネットワークのアドレスとして使用されます。これにより、これらのトンネルで、スモール オフィス (RMT) ネットワーク、Colo 信頼済み (172.16.1.0) ネットワーク、任意 (172.16.2.0) ネットワーク間のすべてのトラフィックが処理されるようになります。
トンネル ルートを確認する際は、ローカル - リモート ペアがトンネル トラフィックの 2 つのエンドポイント ネットワークと相対的に定義されていることに注意してください。場合によっては、VPN トンネル ルートのローカル アドレスは、別の接続サイトのネットワーク アドレスとなります。たとえば、Colo 構成では、それが Colo サイトに物理的に配置されていなくても、Corp - RMT トンネル ルートで、Corp の信頼済みネットワークのネットワーク IP アドレスがローカルとして使用されます。
この図には、各ロケーション間に構成されているトンネル ルートのローカルとリモート IP アドレスがすべて示されています。
トンネル スイッチングの動作
ここでは、構成例を使用して、ある場所のユーザーがスイッチド トンネル経由で別の場所にあるリソースへの接続を確立したときに、パケットが移動するパスを追跡します。
スモール オフィス (10.192.0.100) のユーザーが、企業オフィス (10.8.240.80) のリソースへの接続を試みるとします。パケットは最初に RMT Firebox に到達します。RMT Firebox で、パケットの宛先が Colo ゲートウェイへの RMT - Corp トンネル経由で利用可能であることが判断されます。
RMT Firebox からこのパケットが RMT - Corp (Colo) トンネル経由で送信されます。
ローカル構成で Corp - RMT (RMT) トンネルの一部として特定されたこのトラフィックが Colo Firebox に届きます。Colo 構成ファイルのこのトンネル ルートのローカル ネットワーク IP アドレスは、Colo サイトではなく、Corp サイトにとってローカルとなります。
RMT Firebox で、復号化されたパケットの宛先が Corp ゲートウェイへの RMT - Corp (Corp) トンネル経由で利用可能であることが判断されます。
Colo Firebox で、 トラフィックが Corp - RMT (RMT) トンネルから RMT - Corp (Corp) トンネルに切り替えられます。
Corp - RMT (Colo) トンネルの一部として特定されたこのトラフィックが Corp Firebox に届き、復号化されたパケットが宛先 (企業オフィスのローカル ネットワークのサーバー) に送信されます。
結論
この構成例は、相互に直接接続されていないサイト間で VPN トラフィックをルーティングするために、ハブ アンド スポーク ネットワーク トポロジでトンネル スイッチングを構成する方法を示すものです。このタイプの構成は、複数のサイトがあり、ほとんどの共有ネットワーク リソースがセントラル ロケーションにある組織に最適です。ここで説明されている構成は、追加のリモート サイトをサポートするように拡張することができます。
この構成例には、トンネル ルート構成でサブネット IP アドレスを使用して、各サイトのプライベート ネットワークに接続するために構成する必要のあるトンネル数を減らす方法も示されています。
Branch Office VPN 設定を構成する方法の詳細については、Fireware ヘルプ を参照してください。