BOVPN 仮想インターフェイスについて

仮想インターフェイスとして Branch Office VPN (BOVPN) を構成することで、より高い柔軟性とネットワーク機能が得られます。BOVPN 仮想インターフェイスにより、構成でインターフェイスのように扱われる BOVPN トンネルが定義されます。Firebox はルート テーブルを使用して、パケットを BOVPN 仮想インターフェイス経由でルーティングするか、または別のインターフェイス経由でルーティングするかを決定します。

構成例については、次を参照してください: BOVPN 仮想インターフェイスの例

BOVPN 仮想インターフェイスを構成する、次を参照してください: BOVPN 仮想インターフェイスを構成する

Firebox と Firebox の間

任意の 2 つの Firebox 間に BOVPN 仮想インターフェイス トンネルを構成することができます。

Firebox とサードパーティ Endpoint の間

GRE があるかないかに関わらず、サードパーティ製 VPN endpoint またはクラウドベースの endpoint に BOVPN 仮想インターフェイスを構成することができます。サポートされている endpoint には、Microsoft Azure や Amazon AWS、Cisco VTI endpoint などのクラウドベースの仮想ネットワークが含まれます。

サポートされているシナリオ

BOVPN 仮想インターフェイスでは、以下を行うことができます。

  • BOVPN 仮想インターフェイスの静的ルートを追加する。
  • IP アドレスを BOVPN 仮想インターフェイスに割り当てる (動的ルートに必要とされ、いずれかの endpoint が NAT デバイスの背後にある場合に推奨される)。
  • 動的ルート構成で BOVPN 仮想 IP アドレスを使用する。
  • IPv6 アドレスを使用するには BOVPN 仮想インターフェイス ゲートウェイ endpoint を構成します (Fireware v12.4 以降)。
  • BOVPN 仮想インターフェイス経由でトラフィックを送信するようにポリシーを構成する。
  • 単一の BOVPN 仮想インターフェイスを使用するには SD-WAN を構成します (Fireware v12.3 以降)。
  • 複数の BOVPN 仮想インターフェイスを使ったり、損失やレイテンシー、ジッター メトリックを基にフェールオーバーするには、SD-WAN を構成します (Fireware v12.4 以降)。
  • オプショナル インターフェイス経由で 2 つの Firebox 間に BOVPN を構成する。
  • GRE を使用するサードパーティ製 VPN endpoint と Firebox の間に BOVPN を構成します。
  • GRE なしで、Microsoft Azure や Cisco VTI などのサードパーティ製 VPN endpoint またはクラウドベースの endpoint と Firebox の間に BOVPN を構成します。ワイルドカード トラフィック セレクタがサポートされています。
  • ゲートウェイの冗長外部 IP アドレスを含む Amazon AWS 仮想ネットワークと Firebox の間に BOVPN を構成します。
  • ローカル管理の Firebox と WatchGuard Cloud で管理されている Firebox の間で BOVPN を構成する
  • Firebox の各ゲートウェイ endpoint に異なる事前共有キーを指定します。
  • 動的ルートの IP アドレスとネットマスクをサードパーティの VPN endpoint に割り当てます。
  • リモートゲートウェイへの接続には IKEv2 を使用します。
  • ECDSA (EC) 証明書を指定します (Fireware v12.5 以降)。
  • 最大転送ユニット (MTU) を指定します (Fireware v12.5 以降)。
  • 16 進数の事前共有キーを指定します (Fireware v12.5.4 以降)。
  • VPN ピア検証用のルートまたは中間 CA 証明書を指定します (Fireware v12.6.2 以降)

Fireware v12.2.1 以前では、BOVPN 仮想インターフェイスを使用するようにポリシーベースのルーティングを構成することができます。BOVPN 仮想インターフェイスからのフェールオーバー、または BOVPN 仮想インターフェイスへのフェールオーバーのためにポリシーベースのルーティングを構成することはできません。Fireware v12.3 以降では、ポリシーベースのルーティングが SD-WAN に置き換えられています。

Firebox では BOVPN ゲートウェイとトンネル、および BOVPN 仮想インターフェイスを構成することができます。Branch Office VPN ゲートウェイまたは BOVPN 仮想インターフェイスに各 BOVPN ゲートウェイ endpoint のペアを構成することができますが、同時に両方を構成することはできません。

動的ネットワークがある組織では、BOVPN 仮想インターフェイスにより、より優れたスケーラビリティが得られます。これは、BOVPN トンネルの一端または両側にネットワークの変更が加えられても、BOVPN トンネル ルートの構成は変更する必要がないためです。ローカル ネットワークがルータ経由で学習する Firebox の配下にあり、BOVPN 経由でこれらのネットワークにアクセスできるようにする場合、これは特に価値があります。

BOVPN 仮想インターフェイスは、マルチキャスト ルーティングはサポートしていますが、ブロードキャストルーティングはサポートしていません。

関連情報:

BOVPN 仮想インターフェイスの例

BOVPN 仮想インターフェイスを構成する

最大転送ユニット (MTU) 値を構成する

楕円曲線 DSA (楕円曲線デジタル署名アルゴリズム/ECDSA) 証明書について