専用回線からのフェールオーバーのために Branch Office VPN を使用する (OSPF)

このトピックでは、branch office VPN に対して OSPF を使用する専用回線から、フェールオーバーを構成する方法の例を示しています。Branch Office VPN へのフェールオーバーの概要については、以下を参照してください:専用回線からのフェールオーバーに Branch Office VPN を構成する

この例では、サイト 1 とサイト 2 の 2 つ のサイトで Firebox を接続する専用回線を持つ組織を想定します。専用回線用のルータは各サイトの信頼済みネットワークに接続されています。この組織のネットワーク管理者は 2 つのサイト間で branch office VPN 接続を構成し、専用回線接続が利用不可能になった場合のフェールオーバーに使用したいと考えています。

この図は、この例で各サイトに適用する構成設定を示しています。

サイト 1 と サイト 2 で使用される IP アドレスを示すネットワーク図

サイト 1 ネットワーク構成

サイト 1 の WatchGuard Firebox:

  • 外部インターフェイスの IP アドレス:203.0.113.2/24
  • 既定のゲートウェイ IP アドレス:203.0.113.1
  • 信頼済み-1 インターフェイス IP アドレス:10.0.1.1/24 — サイト 1 の信頼済みネットワークに接続
  • 信頼済みネットワーク IP アドレス:10.0.1.0/24
  • 信頼済み-2 インターフェイス IP アドレス:10.0.2.1/30 - ルーターに接続

専用回線および、サイト 1 のオプショナル インターフェイスに接続されたルーター:

  • LAN IP アドレス:10.0.2.2/30
  • WAN IP アドレス:172.16.0.1

サイト 2 ネットワーク構成

サイト 2 の WatchGuard Firebox:

  • 外部インターフェイスの IP アドレス:198.51.100.2/24
  • 既定のゲートウェイ IP アドレス:198.51.100.2.1
  • 信頼済み-1 インターフェイス IP アドレス:10.50.1.1/24 — サイト 2 の信頼済みネットワークに接続
  • 信頼済みネットワーク IP アドレス:10.50.1.0/24
  • 信頼済み-2 インターフェイス IP アドレス:10.50.2.1/30 - ルーターに接続

専用回線とサイト 2 の信頼済みネットワークに接続されているルータ:

  • LAN IP アドレス:10.50.2.2/30
  • WAN IP アドレス:172.16.0.2

静的ルート

2 つの Firebox 間の専用回線の各終端にルータがあります。各サイトで、2 つのネットワーク間でトラフィックが正しくルーティングされるように、Firebox の静的ルートを構成する必要があります。

各サイトの Firebox およびルーター上で必要とされる静的ルートは以下のとおりです。

サイト 1 の静的ルート

  サイト1 の Firebox の場合 サイト 1 のルーター上
サイト 2 の Firebox にルーティング

ルーティング先:10.50.2.0/30
ゲートウェイ:10.0.2.2

ネットワーク:10.50.2.0/30
次のホップ:172.16.0.2
サイト 1 の信頼済みのネットワークへのルート

 

ネットワーク:10.0.1.0/24
次のホップ:10.0.2.1
サイト 2 の信頼済みのネットワークへのルート  

ネットワーク:10.50.1.0/24

次のホップ:172.16.0.2

サイト B の静的ルート

  サイト2 の Firebox の場合 サイト 2 のルーター上
サイト 1 の Firebox にルーティング

ルーティング先:10.0.2.0/30
ゲートウェイ:10.50.2.2

ネットワーク:10.0.2.0/30
次のホップ:172.16.0.1
サイト 1 の信頼済みのネットワークへのルート  

ネットワーク:10.0.1.0/24
次のホップ:172.16.0.1
サイト 2 の信頼済みのネットワークへのルート  

ネットワーク:10.50.1.0/24

次のホップ:10.50.2.1

Firebox に静的ルートを追加する方法の詳細については、次を参照してください:静的ルートを追加する

静的ルートを構成し、デバイスが相互に接続されることを確認した後に、プライベート ネットワーク リンク全体で動的ルートを構成することができます。

サイト 1 での動的ルート構成

フェールオーバー用の Branch Office VPN 接続を利用するには、各サイトの Firebox で動的ルートを有効化する必要があります。サポートされている動的ルーティング プロトコル (RIP v1、 RIP v2、 OSPF、またはBGP v4) ならどれでも使用できます。この例では、OSPF を使用します。

  1. ネットワーク > 動的ルート の順に選択します。
    動的ルートの設定 ページが表示されます
  2. 動的ルートを有効にする チェックボックスをオンにします。
  3. OSPF タブを選択します。
  4. 有効 チェックボックスをオンにします。
  5. OSPF タブ テキスト ボックスに、 ルーティング デーモン構成ファイルのテキストを貼り付けます。

サイト 1 では、OSPF ルーティング デーモン構成ファイルに次のテキストを記載します。

router ospf
ospf router-id 10.0.2.1
network 10.0.2.0/24 area 0
network 10.0.1.0/24 area 0

  1. 保存 をクリックします。
    動的ルートが有効化されると、OSPF が使用する予約済みマルチキャスト アドレスへのトラフィックを許可するポリシーが自動的に追加されます。
  2. サイト 1 の専用回線に接続されているルータを設定し、動的ルート用の OSPF を有効化します。

例えば、サイト 1 が Cisco のルータを使用している場合、ルータ構成ファイルに次のラインを追加します。

router ospf 1
log-adjacency-changes
network 172.16.0.0 0.0.0.255 area 0
network 10.0.2.0 0.0.0.255 area 0

  1. ルーターを構成した後、システム ステータス > ルート の順に選択して、Firebox とルーターが接続されて、互いに更新を送信できることを確認します。
  1. ネットワーク > 動的ルート の順に選択します。
    動的ルート設定 ダイアログ ボックスが表示されます。
  2. 動的ルートを有効にする チェックボックスをオンにします。
  3. OSPF タブを選択します。
  4. OSPF 有効 チェックボックスをオンにします。
  5. OSPF タブ テキスト ボックスに、 ルーティング デーモン構成ファイルのテキストを貼り付けるか、または インポート をクリックして構成ファイルをインポートします。

サイト 1 では、OSPF ルーティング デーモン構成ファイルに次のテキストを記載します。

router ospf
ospf router-id 10.0.2.1
network 10.0.2.0/24 area 0
network 10.0.1.0/24 area 0

  1. 保存 をクリックします。
    動的ルートが有効化されると、OSPF が使用する予約済みマルチキャスト アドレスへのトラフィックを許可するポリシーが自動的に追加されます。
  2. サイト 1 の専用回線に接続されているルータを設定し、動的ルート用の OSPF を有効化します。

例えば、サイト 1 が Cisco のルータを使用している場合、ルータ構成ファイルに次のラインを追加します。

router ospf 1
log-adjacency-changes
network 172.16.0.0 0.0.0.255 area 0
network 10.0.2.0 0.0.0.255 area 0

  1. ルーターが構成されたら、次を開きます:トラフィックおよびパフォーマンスの統計情報 (ステータス レポート)
  2. 動的ルート セクションで、Firebox とルーターが接続されて、互いに更新を送信できることを確認します。

動的ルートが構成されたら、認証を構成して、OSPF ポリシーが正しいインターフェイスだけでリスンするように制限することができます。

サイト 2 の動的ルート構成

サイト 2 で動的ルートを構成する場合は、動的ルートの構成で適切なアドレスを使用して、同じ手順を繰り返します。

  1. ネットワーク > 動的ルート の順に選択して、サイト 2 の Firebox に OSPF を搭載した動的ルートを有効化します。

サイト 2 では、OSPF ルーティング デーモン構成ファイルに次のテキストを記載します。

router ospf

ospf router-id 10.50.2.1

network 10.50.2.0/24 area 0

network 10.50.1.0/24 area 0

  1. サイト 2 の専用回線へ接続するルータを設定し、動的ルート用 OSPF を有効化します。

例えば、Cisco のルータを使用している場合、ルータ構成ファイルに次のラインを追加します。

router ospf 1

log-adjacency-changes

network 172.16.0.0 0.0.0.255 area 0

network 10.50.2.0 0.0.0.255 area 0

  1. ルーターを構成した後、システム ステータス > ルート の順に選択して、Firebox とルーターが接続されて、互いに更新を送信できることを確認します。
  1. ネットワーク > 動的ルート の順に選択して、サイト 2 の Firebox に OSPF を搭載した動的ルートを有効化します。

サイト 2 では、OSPF ルーティング デーモン構成ファイルに次のテキストを記載します。

router ospf
ospf router-id 10.50.2.1
network 10.50.2.0/24 area 0
network 10.50.1.0/24 area 0

  1. サイト 2 の専用回線へ接続するルータを設定し、動的ルート用 OSPF を有効化します。

例えば、Cisco のルータを使用している場合、ルータ構成ファイルに次のラインを追加します。

router ospf 1
log-adjacency-changes
network 172.16.0.0 0.0.0.255 area 0
network 10.50.2.0 0.0.0.255 area 0

  1. ルーターが構成されたら、次を開きます:トラフィックおよびパフォーマンスの統計情報 (ステータス レポート)
  2. 動的ルート セクションで、Firebox とルーターが接続されて、互いに更新を送信できることを確認します。

サイト 1 のBranch Office VPN 構成

この例では、既定のフェーズ 1 およびフェーズ 2 設定を使用します。

サイト 1 で、サイト 2 への Branch Office VPN ゲートウェイを構成します。

  1. VPN > Branch Office VPN の順に選択します。
  2. ゲートウェイ リストの隣にある、追加 をクリックします。
    ゲートウェイの設定 ページが表示されます。
  3. ゲートウェイ名 テキスト ボックスで、このゲートウェイを識別する名前を入力します。

    たとえば、サイト 2 へのゲートウェイ と入力します。
  4. 事前共有済みキーを使用 を選択します。両方のデバイスを使用するため、共有キーを入力します。
  5. ゲートウェイ Endpoint セクション で、追加 をクリックします。
    ゲートウェイ Endpoint の設定 ダイアログ ボックスが表示されます。

ゲートウェイ Endpoint の設定 ダイアログ ボックス、ローカル ゲートウェイ タブのスクリーンショット

  1. ローカル ゲートウェイ タブの IP アドレスで指定 テキスト ボックスに、サイト 1 の Firebox の外部インターフェイスの IP アドレス、203.0.113.2 を入力します。
  2. リモートゲートウェイ タブを選択します。

ゲートウェイ Endpoint の設定 ダイアログ ボックス、リモートゲートウェイ タブのスクリーンショット

  1. リモートゲートウェイ タブ で、リモートゲートウェイ IP アドレスにサイト 2 の Firebox の外部インターフェイスの IP アドレス、198.51.100.2 を入力します。
  2. リモートゲートウェイ セクションのゲートウェイ ID に、サイト 2 の Firebox の外部インターフェイスの IP アドレス、198.51.100.2 を入力します。
  3. OK をクリックします。

    新しいゲートウェイ ダイアログ ボックスに追加したゲートウェイ Endpoint が表示されます。
  4. 保存 をクリックします。
  1. VPN > Branch Office ゲートウェイ の順に選択します。
  2. 追加 をクリックします。
    新しいゲートウェイ ダイアログ ボックスが表示されます。
  3. ゲートウェイ名 テキスト ボックスで、このゲートウェイを識別する名前を入力します。
    例えば、[サイト 2 へのゲートウェイ] と入力します。
  4. 事前共有済みキーを使用 を選択します。両方のデバイスを使用するため、共有キーを入力します。
  5. ゲートウェイ Endpoint セクション で、追加 をクリックします。
    新しいゲートウェイ Endpoint ダイアログ ボックスが表示されます。

新しいゲートウェイ Endpoint の設定 ダイアログ ボックスのスクリーンショット

  1. ローカル ゲートウェイ セクションの IP アドレス テキスト ボックスに、サイト 1 の Firebox の外部インターフェイスの IP アドレス、203.0.113.2 を入力します。
  2. リモートゲートウェイ タブを選択します。
  3. リモートゲートウェイ セクションのリモートゲートウェイ IP アドレスに、サイト 2 の Firebox の外部インターフェイスの IP アドレス、198.51.100.2 を入力します。
  4. リモートゲートウェイ セクションのゲートウェイ ID に、サイト 2 の Firebox の外部インターフェイスの IP アドレス、198.51.100.2 を入力します。
  5. OK をクリックします。
    新しいゲートウェイ ダイアログ ボックスに追加したゲートウェイ Endpoint が表示されます。
  6. OK をクリックします。

サイト 1 で、サイト 2 への Branch Office VPN トンネルを構成します。

  1. VPN > Branch Office トンネル の順に選択します。
  2. 追加 をクリックします。

    新しいトンネル ダイアログ ボックスが表示されます。
  3. トンネル名 テキスト ボックスに、トンネルの名前を入力します。
  4. 追加 をクリックします。

    トンネル ルートの設定 ダイアログ ボックスが表示されます。

トンネル ルートの設定 ダイアログ ボックスのスクリーンショット

  1. ローカル IP セクションの 種類の選択 ドロップダウン リストから、ネットワーク IP を選択します。
  2. ネットワーク IP テキスト ボックスに、サイト 1 の信頼済みネットワーク IP アドレス、10.0.1.0/24 を入力します。
  3. リモート IP セクションの 種類の選択 ドロップダウン リストから、ネットワーク IP を選択します。
  4. ネットワーク IP テキスト ボックスに、サイト 2 の信頼済みネットワーク IP アドレス、10.50.1.0/24 を入力します。
  5. OK をクリックします。
    新しいトンネル ダイアログ ボックスにトンネルのルートが表示されます。
  1. VPN > Branch Office トンネル の順に選択します。
  2. 追加 をクリックします。
    新しいトンネル ダイアログ ボックスが表示されます。
  3. トンネル名 テキスト ボックスに、トンネルの名前を入力します。
  4. 追加 をクリックします。
    トンネル ルートの設定 ダイアログ ボックスが表示されます。

トンネル ルートの設定 ダイアログ ボックスのスクリーンショット

  1. ローカル テキスト ボックスに、サイト 1 の信頼済みネットワーク IP アドレス、10.0.1.0/24 を入力します。
  2. リモート テキスト ボックスに、サイト 2 の信頼済みネットワーク IP アドレス、10.50.1.0/24 を入力します。
  3. OK をクリックします。
    新しいトンネル ダイアログ ボックスにトンネルのルートが表示されます。

サイト 1 のグローバル VPN 設定で、VPN へのフェールオーバーを有効化します。

  1. VPN > グローバル設定 の順に選択します。
    グローバル VPN 設定 ダイアログ ボックスが表示されます。

[グローバル VPN 設定] ページの [IPSec 設定] セクションのスクリーンショット

  1. IPSec が使われている場合、ルートの決定に既定以外の(静的または動的)ルートの使用を有効にする チェックボックスを選択します。
  2. 保存 をクリックします。
  1. VPN > VPN 設定 の順に選択します。
    VPN 設定 ダイアログ ボックスが表示されます。

[VPN 設定] ダイアログ ボックスの [IPSec 設定] セクションのスクリーンショット

  1. IPSec が使われている場合、ルートの決定に既定以外の(静的または動的)ルートの使用を有効にする チェックボックスを選択します。
  2. OK をクリックします。
  3. 構成をデバイスに保存します。

サイト 2 での Branch Office VPN 構成

サイト 2 で、サイト 1 への Branch Office VPN ゲートウェイを構成します。

  1. VPN > Branch Office ゲートウェイ の順に選択します。
  2. 追加 をクリックします。

    新しいゲートウェイ ダイアログ ボックスが表示されます。
  3. ゲートウェイ名 テキスト ボックスで、このゲートウェイを識別する名前を入力します。

    たとえば、ゲートウェイ サイト 1 と入力します。
  4. 事前共有済みキーを使用 を選択します。両方のデバイスを使用するため、共有キーを入力します。
  5. ゲートウェイ Endpoint セクション で、追加 をクリックします。

    新しいゲートウェイ Endpoint ダイアログ ボックスが表示されます。

[ゲートウェイ Endpoint の設定] ダイアログ ボックスのスクリーンショット

  1. ローカル ゲートウェイ タブに、サイト 2 の Firebox の外部インターフェイスの IP アドレス、198.51.100.2 を入力します。
  2. リモートゲートウェイ タブを選択します。

ゲートウェイ Endpoint の設定 ダイアログ ボックス、リモートゲートウェイ タブのスクリーンショット

  1. リモートゲートウェイ のリモートゲートウェイ IP アドレスに、サイト 1 の Firebox の外部インターフェイスの IP アドレス、203.0.113.2 を入力します。
  2. ゲートウェイ IPに、サイト 1 の Firebox の外部インターフェイスの IP アドレス、203.0.113.2 を入力します。
  3. OK をクリックします。

    新しいゲートウェイ ダイアログ ボックスに追加したゲートウェイ Endpoint が表示されます。
  4. 保存 をクリックします。
  1. VPN > Branch Office ゲートウェイ の順に選択します。
  2. 追加 をクリックします。

    新しいゲートウェイ ダイアログ ボックスが表示されます。
  3. ゲートウェイ名 テキスト ボックスで、このゲートウェイを識別する名前を入力します。
    例えば、[ゲートウェイ サイト 1] と入力します。
  4. 事前共有済みキーを使用 を選択します。両方のデバイスを使用するため、共有キーを入力します。
  5. ゲートウェイ Endpoint セクション で、追加 をクリックします。
    新しいゲートウェイ Endpoint ダイアログ ボックスが表示されます。

新しいゲートウェイ Endpoint の設定 ダイアログ ボックスのスクリーンショット

  1. ローカル ゲートウェイ セクションに、サイト 2 の Firebox の外部インターフェイスの IP アドレス、198.51.100.2 を入力します。
  2. リモートゲートウェイ タブを選択します。
  3. リモートゲートウェイ セクションのリモートゲートウェイ IP アドレスに、サイト 1 の Firebox の外部インターフェイスの IP アドレス、203.0.113.2 を入力します。
  4. ゲートウェイ IPに、サイト 1 の Firebox の外部インターフェイスの IP アドレス、203.0.113.2 を入力します。
  5. OK をクリックします。
    新しいゲートウェイ ダイアログ ボックスに追加したゲートウェイ Endpoint が表示されます。
  6. OK をクリックします。

サイト 2 で、サイト 1 への Branch Office VPN トンネルを構成します。

  1. VPN > Branch Office トンネル の順に選択します。
  2. 追加 をクリックします。

    新しいトンネル ダイアログ ボックスが表示されます。
  3. トンネル名 テキスト ボックスに、トンネルの名前を入力します。
  4. 追加 をクリックします。

    トンネル ルートの設定 ダイアログ ボックスが表示されます。

トンネル ルートの設定 ダイアログ ボックスのスクリーンショット

  1. ローカル IP セクションの 種類の選択 ドロップダウン リストから、ネットワーク IP を選択します。
  2. ネットワーク IP テキスト ボックスに、サイト 2 の信頼済みネットワーク IP アドレス、10.50.1.0/24 を入力します。
  3. リモート IP セクションの 種類の選択 ドロップダウン リストから、ネットワーク IP を選択します。
  4. ネットワーク IP テキスト ボックスに、サイト 1 の信頼済みネットワーク IP アドレス、10.0.1.0/24 を入力します。
  5. OK をクリックします。

    新しいトンネル ダイアログ ボックスにトンネルのルートが表示されます。
  1. VPN > Branch Office トンネル の順に選択します。
  2. 追加 をクリックします。
    新しいトンネル ダイアログ ボックスが表示されます。
  3. トンネル名 テキスト ボックスに、トンネルの名前を入力します。
  4. 追加 をクリックします。
    トンネル ルートの設定 ダイアログ ボックスが表示されます。

トンネル ルートの設定 ダイアログ ボックスのスクリーンショット

  1. ローカル テキスト ボックスに、サイト 2 の信頼済みネットワーク IP アドレス、10.50.1.0/24 を入力します。
  2. リモート テキスト ボックスに、サイト 1 の信頼済みネットワーク IP アドレス、10.0.1.0/24 を入力します。
  3. OK をクリックします。
    新しいトンネル ダイアログ ボックスにトンネルのルートが表示されます。

サイト 2 のグローバル VPN 設定で、VPN へのフェールオーバーを有効化します。

  1. VPN > グローバル設定 の順に選択します。
    グローバル VPN 設定 ダイアログ ボックスが表示されます。

[グローバル VPN 設定] ページの [IPSec 設定] セクションのスクリーンショット

  1. IPSec が使われている場合、ルートの決定に既定以外の(静的または動的)ルートの使用を有効にする チェックボックスを選択します。
  2. 保存 をクリックします。
  1. VPN > VPN 設定 の順に選択します。
    VPN 設定 ダイアログ ボックスが表示されます。

[VPN 設定] ダイアログ ボックスの [IPSec 設定] セクションのスクリーンショット

  1. IPSec が使われている場合、ルートの決定に既定以外の(静的または動的)ルートの使用を有効にする チェックボックスを選択します。
  2. OK をクリックします。
  3. 構成をデバイスに保存します。

関連情報:

専用回線からのフェールオーバーに Branch Office VPN を構成する

専用回線からのフェールオーバーのために Branch Office VPN を使用する (BGP)