ハイブリッド Branch Office VPN アーキテクチャ (パーシャル メッシュ)
サンプル構成ファイル — WSM v11.10.1で作成
改訂 — 2018/01/23
ユースケース
この構成例では、規模の異なる複数のサイトを持つ組織が、各サイトのネットワークに接続することを希望していると仮定します。この組織には、組織全体が使用する共有ネットワーク リソースをホストするサイトがいくつかあります。また、共有ネットワーク リソースに接続する必要があるスモール オフィスが存在します。この組織は、共有ネットワーク リソースをホストするサイト間の直接接続が必要です。また、スモール オフィスからの接続を信頼性の高いセントラル ロケーションに集約したいと考えています。複数のサイトに分散しているリソース、またはハイブリッド VPN アーキテクチャに適したビジネス プロセスがある可能性があります。
この構成例は、参考のために提供されています。ネットワーク環境によっては、構成の追加設定が必要になるか、それが適切な場合があります。
解決方法の概要
パーシャル メッシュ とも呼ばれるハイブリッド VPN 構成では、一部のサイトが相互に直接接続 (メッシュ構成) されますが、その他のサイトはセントラル ロケーションに接続されます (ハブ アンド スポーク)。
プライマリ サイト間のメッシュ
このソリューションでは、共有ネットワーク リソースをホストするサイトはプライマリ サイトとみなされます。プライマリ サイト間の VPN 接続はメッシュとして構成されています。つまり、これらのサイトはすべて直接 VPN 接続しているということです。この構成は、固有のネットワーク リソースをホストするプライマリ サイトの信頼性に大きく依存します。これは、ユーザーがこれらのリソースに接続できる信頼性の高い接続性を備えている必要があるためです。組織にリモート ロケーションが増えた場合は、プライマリ サイトの容量を拡張する必要性が生じる可能性があります。この構成では、単一サイトにおける障害が直接そのサービスに依存するサービスにしか影響しないため、プライマリ サイトに回復力があります。
セカンダリ サイトと中央ハブ間のハブ アンド スポーク
このソリューションでは、スモール オフィスはセカンダリ サイトとみなされます。セカンダリ サイトへの VPN 接続は、ハブ アンド スポークとして構成されます。プライマリ サイトの 1 つであるコロケーション サイトは、スモール オフィスへの VPN 接続の中央ハブとなります。中央ハブでは、トンネル スイッチングを使用して、各セカンダリ サイトと他すべてのサイトとの間の VPN トラフィックがルーティングされます。スモール オフィスは、中央ハブの信頼性に大きく依存します。それが、これらのセカンダリ サイトからの VPN トンネルの単一障害点となる可能性があるためです。組織にリモート ロケーションが増えた場合は、中央ハブの容量を拡張する必要性が生じる可能性があります。
ほとんどの共有ネットワーク リソースが単一のロケーションに配置されている場合は、集中型 (ハブ アンド スポーク) VPN アーキテクチャがより優れたソリューションとなる可能性があります。ネットワーク リソースが主にリモート サイトに分散されている場合は、分散型 (フル メッシュ) VPN アーキテクチャがより優れたソリューションとなる場合があります。
仕組み
各プライマリ サイトの Firebox で、他すべてのプライマリ サイトの Firebox との VPN 接続が確立されます。中央ハブの Firebox (コロケーション) は、すべてのセカンダリ サイトからの VPN トンネルのプライマリ ゲートウェイとして機能します。セントラル ロケーションで、セカンダリ サイトに転送されるすべてのデータを受信します。リソースのために意図されていない接続がセントラル ロケーションで受信されると、セントラル ロケーションのデバイスによりそのトラフィックが宛先のトンネルにリダイレクトされます。これは、トンネル スイッチングと呼ばれるものです。
要件
信頼性の高い接続性
これはフォールト トレラント設計ですが、そのロケーションに固有のリソースをホストするサイトには、ホストするリソースに適した信頼性の高い接続性が必要です。
信頼性の高いセントラル ロケーション
セントラル ロケーションで、集約されたすべての VPN 接続が処理されます。スモール オフィスからのすべての VPN トラフィックは、このサイトの可用性に依存します。
十分な帯域幅
スイッチド トンネルでは、発信元に帯域幅、宛先、およびセントラル ロケーションが必要です。前の図に示されているように、HQ からトラフィックを受信するスモール オフィスでは、HQ のアップストリーム帯域幅、コロケーションのアップストリーム帯域幅とダウンストリーム帯域幅、およびスモール オフィスのダウンストリーム帯域幅が使用されます。暗号化とカプセル化のオーバーヘッドのために、VPN 帯域幅は回線速度よりも低い速度で測定されます。
各ロケーションに適した Firebox
Firebox の機能はモデルによって異なります。VPN 構成では、各モデルの VPN スループットとトンネル容量を考慮する必要があります。ネットワーク環境や構成オプションなどの要素も、各サイトに最適なモデルを決定する上で役立ちます。
VPN スループットは、VPN 経由で 1 秒当たりに渡されるデータの量です。セントラル ロケーションではスイッチド トラフィックが 2 回処理されます。
VPN トンネル数は、接続されているネットワークの数 (トンネル ルートに構成) によって決まります。オフィスでは、これは一般的にローカル ネットワークの数にリモートネットワークの数を掛けた数値となります。セントラル ロケーションでは、これは他すべてのロケーションにおけるトンネル数の合計数となります。
各 Firebox モデルで使用可能な VPN スループットと Branch Office VPNトンネル容量の詳細については、製品データシートを参照してください (http://www.watchguard.com/products/resources/datasheets.asp)。
構成例
このユースケースを説明するために、コロケーション施設 (Colo)、企業オフィス (Corp)、流通センター (Dist)、スモール オフィス (RMT) の4つの拠点を持つ組織の例を示します。また、このソリューションは拡張して、追加のオフィス、物流センター、スモール オフィスをサポートすることができます。
トポロジ
この構成のサイトの IP アドレス:
| Colo | Corp | Dist | RMT | |
|---|---|---|---|---|
| 外部インターフェイスの IP アドレス | 192.0.2.8/24 | 198.51.100.8/24 | 203.0.113.9/24 | DHCP |
| 既定のゲートウェイの IP アドレス | 192.0.2.1 | 198.51.100.1 | 203.0.113.1 | DHCP |
| サイトに割り当てられるプライベート ネットワーク | 172.16.0.0/16 | 10.8.0.0/16 | 10.9.0.0/16 | 10.192.1.0/24 |
| サイトに割り当てられるルーティングされていないネットワーク | 該当なし | 該当なし | 192.168.9.0/24 | 192.168.192.0/24 |
サンプル構成ファイル
参考のため、このドキュメントにはサンプル構成ファイルが含まれています。Policy Manager で開いて、サンプルの構成ファイルの詳細を調べることができます。4 つのサンプル構成ファイル (この例の各ロケーションに 1 つずつ) が含まれています。
| 構成ファイル名 | 説明 |
|---|---|
| Hybrid-Colo.xml | VPN のセントラル ロケーション、コロケーション施設 |
| Hybrid-Corp.xml | 企業オフィス |
| Hybrid-Dist.xml | 流通センター |
| Hybrid-RMT.xml | スモール オフィス |
構成の説明
サンプル構成ファイルには、各サイト間の VPN 接続用に定義されている Branch Office ゲートウェイと Branch Office トンネルが含まれています。各サイトには、3 つの Branch Office VPN ゲートウェイと 3 つの Branch Office VPN トンネルが構成されます。
Branch Office VPN ゲートウェイを確認するには、以下の手順を実行します:
- Firebox の Policy Manager を起動します。
- VPN > Branch Officeゲートウェイ の順に選択します。
Branch Office VPN トンネルを確認するには、以下の手順を実行します:
- Firebox の Policy Manager を起動します。
- VPN > Branch Office トンネル の順に選択します。
コロケーション サイト (Colo) の構成
HQ 企業ネットワーク (Corp) の構成
流通センター (Dist) の構成
スモール オフィス (RMT) の構成
サンプル構成ファイルでは、各トンネルの名前が、管理するローカル ネットワークとリモートネットワークを表す名称になっています。括弧内の識別子はトンネルで使用されるゲートウェイです。Colo には 3 つのゲートウェイ (他の各プライマリ サイトに 1 つずつ、セカンダリサイトに 1 つ)、プライマリ サイトには 2 つのゲートウェイ (他の各プライマリ サイトに 1 つずつ)、セカンダリ サイトには 1 つのゲートウェイ (Colo) があります。
トンネル ルートは、サイトに定義されている個々のネットワークではなく、各サイトに割り当てられているサブネットで定義されています。この構成では、他の各サイトにおける信頼済みネットワークと任意ネットワークに接続するために、スモール オフィス (RMT) には (6 つではなく) 3 つのトンネル ルートしか必要ありません。各サイトに確立されたこの割り当ての新しいネットワークは、既存の Branch Office VPN でルーティングされます。
たとえば、トンネル ルートColo - RMT と RMT - Colo では、サブネット IP アドレス:172.16.0.0/16 が Colo ネットワークのアドレスとして使用されます。これにより、これらのトンネルで、スモール オフィス (RMT) ネットワーク、Colo 信頼済み (172.16.1.0) ネットワーク、任意 (172.16.2.0) ネットワーク間のすべてのトラフィックが処理されるようになります。
トンネル ルートを確認する際は、ローカル - リモート ペアがトンネル トラフィックの 2 つのエンドポイント ネットワークと相対的に定義されていることに注意してください。場合によっては、VPN トンネル ルートのローカル アドレスは、別の接続サイトのネットワーク アドレスとなります。たとえば、Colo 構成では、それが Colo サイトに物理的に配置されていなくても、Corp - RMT トンネル ルートで、Corp の信頼済みネットワークのネットワーク IP アドレスがローカルとして使用されます。
この図には、各ロケーション間に構成されているトンネル ルートのローカルとリモート IP アドレスがすべて示されています。
トンネル スイッチングの動作
ここでは、構成例を使用して、ある場所のユーザーがスイッチド トンネル経由で別の場所にあるリソースへの接続を確立したときに、パケットが移動するパスを追跡します。
スモール オフィス (10.192.0.100) のユーザーが、企業オフィス (10.8.240.80) のリソースへの接続を試みるとします。パケットは最初にスモール オフィスの RMT Firebox に到達します。RMT Firebox で、パケットの宛先が Colo ゲートウェイへの RMT - Corp トンネル経由で利用可能であることが判断されます。
RMT Firebox からこのパケットが RMT - Corp (Colo) トンネル経由で送信されます。
ローカル構成で Corp - RMT (RMT) トンネルの一部として特定されたこのトラフィックが Colo Firebox に届きます。Colo 構成ファイルのこのトンネル ルートのローカル ネットワーク IP アドレスは、Colo サイトではなく、Corp サイトにとってローカルとなります。
Colo Firebox で、復号化されたパケットの宛先が Corp ゲートウェイへの RMT - Corp (Corp) トンネル経由で利用可能であることが判断されます。
Colo Firebox で、 トラフィックが Corp - RMT (RMT) トンネルから RMT - Corp (Corp) トンネルに切り替えられます。
Corp - RMT (Colo) トンネルの一部として特定されたこのトラフィックが Corp Firebox に届き、復号化されたパケットが宛先 (企業オフィスのローカル ネットワークのサーバー) に送信されます。
結論
この構成例は、パーシャル メッシュ VPN ネットワーク トポロジを構成する方法を示すものです。この構成例では、各プライマリ サイトには、他すべてのプライマリ サイトへの直接 VPN 接続があります。パーシャル メッシュ トポロジでは、1 つのプライマリ サイトが、中央サイトに直接接続するセカンダリ サイトとプライマリ サイトとの間の VPN トラフィックのトンネル スイッチングを実行する中央ハブとして機能します。
このタイプの構成は、リソースがいくつかのサイトに分散している組織、またはハイブリッド アーキテクチャに適するビジネス プロセスに適しています。ここで説明されている構成は、追加のプライマリ サイトまたはセカンダリ サイトをサポートするように拡張することができます。
この構成例には、トンネル ルート構成でサブネット IP アドレスを使用して、各サイトのプライベート ネットワークに接続するために構成する必要のあるトンネル数を減らす方法も示されています。
Branch Office VPN を構成する方法の詳細については、Fireware ヘルプ を参照してください。