セキュリティゲートウェイ/セキュリティグループのISP冗長性

重要- ダイナミックルーティングが設定されている場合、ISP冗長性はサポートされません（既知の制限 PMTR-68991）。

注- クラスタのISP冗長性についてはR81.20 ClusterXL Administration Guide> 高度な機能と手順の章 > セクション クラスタ上のISP冗長性

はじめに

ISP冗長性接続セキュリティ・ゲートウェイ／Scalable Platform・セキュリティ・グループは、冗長化されたインターネット・サービス・プロバイダー（ISP）リンクを通じてインターネットに接続される。

ISP冗長性はISPリンクをモニタし、現在の最良のリンクを選択する。

注：

ISP冗長性には最低2つの外部インタフェースが必要で、最大10インタフェースをサポートします。

2つ以上のISPリンクを設定するには、管理サーバとセキュリティ・ゲートウェイ / Scalable Platform・セキュリティ・グループは、R81.10以上のバージョンが必要です。
ISP冗長性は、内部ネットワークからインターネットに向かうトラフィックを対象としています。

単一のISPリンクによる典型的なデプロイメント例

項目	説明
1	内部ネットワーク
2	セキュリティゲートウェイまたはScalable Platformセキュリティグループ
3	プロバイダ
4	インターネット

2つのISPリンク用に2つの専用物理インタフェースを持つ典型的なデプロイメント例

ベストプラクティス- 1つの専用物理インタフェースを使用したデプロイメントよりもシンプルなため、このデプロイメントをお勧めします。

項目	説明
1	内部ネットワーク
2	セキュリティゲートウェイまたはScalable Platformセキュリティグループ
3	ISP A
4	ISP B
5	インターネット

2つのISPリンクに1つの専用物理インタフェースを使用する典型的なデプロイメント例

Security ゲートウェイ / Scalable Platform Security Groupで利用可能な外部インタフェースが1つだけの場合、同じ外部インタフェース上に2つのサブネットを設定することができます。

参照R81.20 Gaia Administration Guide> ネットワーク管理の章 > セクションネットワークインタフェース> セクション エイリアス)

2つのISPリンクは同じセキュリティゲートウェイ／Scalable Platformセキュリティグループインタフェースに接続されるが、通常はスイッチを介して異なるネクストホップルータに接続されます。

項目	説明
1	内部ネットワーク
2	セキュリティゲートウェイまたはScalable Platformセキュリティグループ
3	スイッチ
4	ISP A
5	ISP B
6	インターネット

ISP冗長性モード

ISP冗長性モードは、内部クライアントからインターネットへの発信接続の動作を制御します：

モード	説明
Load Sharing	すべてのリンクを使用して接続の負荷を分散する。着信接続は交互に行われる。リンクに最適な相対負荷を設定することができます（より多くの負荷を処理するために、より高速なリンクを設定します）。新しい接続はランダムにリンクに割り当てられる。片方のリンクが故障した場合、もう片方のリンクが負荷を引き受ける。このモードでは、着信コネクションはどのISPリンクからでもアプリケーションサーバに到達できる。セキュリティ・ゲートウェイ / Scalable Platform・セキュリティ・グループは、両方のISPからのIPアドレスを持つ内部サーバのIPアドレスに対するDNSリクエストに、その順番を交互に変えて答えることができる。
Primary/Backup	接続に1つのリンクを使用。プライマリ・リンクに障害が発生すると、バックアップ・リンクに切り替わる。プライマリリンクが復元されると、新しいコネクションが割り当てられる。既存の接続は、それが完了するまでバックアップリンクで継続される。このモードでは、（インターネットからDMZまたは内部ネットワーク内のアプリケーションサーバへの）着信接続にもメリットがあります。セキュリティ・ゲートウェイ / Scalable Platform・セキュリティ・グループ接続が開始されたのと同じISPリンクを使用してパケットを返す。

モード

説明

Load Sharing

すべてのリンクを使用して接続の負荷を分散する。

着信接続は交互に行われる。

リンクに最適な相対負荷を設定することができます（より多くの負荷を処理するために、より高速なリンクを設定します）。

新しい接続はランダムにリンクに割り当てられる。

片方のリンクが故障した場合、もう片方のリンクが負荷を引き受ける。

このモードでは、着信コネクションはどのISPリンクからでもアプリケーションサーバに到達できる。セキュリティ・ゲートウェイ / Scalable Platform・セキュリティ・グループは、両方のISPからのIPアドレスを持つ内部サーバのIPアドレスに対するDNSリクエストに、その順番を交互に変えて答えることができる。

Primary/Backup

接続に1つのリンクを使用。

プライマリ・リンクに障害が発生すると、バックアップ・リンクに切り替わる。

プライマリリンクが復元されると、新しいコネクションが割り当てられる。

既存の接続は、それが完了するまでバックアップリンクで継続される。

このモードでは、（インターネットからDMZまたは内部ネットワーク内のアプリケーションサーバへの）着信接続にもメリットがあります。セキュリティ・ゲートウェイ / Scalable Platform・セキュリティ・グループ接続が開始されたのと同じISPリンクを使用してパケットを返す。

ベストプラクティス：

すべてのISPリンクが基本的に同じである場合は、負荷分散モードを使用して、すべてのISPリンクを最大限に活用できるようにします。
料金や信頼性の面でより費用対効果の高いISPリンクのいずれかを使用することを好むかもしれません。

その場合、プライマリ/バックアップモードを使用し、より費用対効果の高いISPをプライマリISPリンクとして設定する。

発信コネクション

モード	説明
Load Sharing	を出る発信トラフィック。セキュリティ・ゲートウェイ / Scalable Platform・セキュリティ・グループインターネットに向かう途中、ISPリンクの間で分配される。各ISPリンクをどの程度使用させたいか、相対的な重みを設定することができる。たとえば、1つのリンクが高速であれば、そのISPリンクに他のリンクよりも多くのトラフィックをルーティングするように設定できる。
Primary/Backup	発信トラフィックはアクティブなプライマリリンクを使用する。 Hide NATは、送信パケットの送信元アドレスを、そのパケットが経由するインタフェースのアドレスに変更するために使用される。セキュリティ・ゲートウェイ / Scalable Platform・セキュリティ・グループ。これにより、リターンパケットは、宛先アドレスが正しいリンクのアドレスであるため、自動的に同じISPリンクを経由するようになる。管理者は、Hide NAT 設定を構成します。

モード

説明

Load Sharing

を出る発信トラフィック。セキュリティ・ゲートウェイ / Scalable Platform・セキュリティ・グループインターネットに向かう途中、ISPリンクの間で分配される。

各ISPリンクをどの程度使用させたいか、相対的な重みを設定することができる。

たとえば、1つのリンクが高速であれば、そのISPリンクに他のリンクよりも多くのトラフィックをルーティングするように設定できる。

Primary/Backup

発信トラフィックはアクティブなプライマリリンクを使用する。

Hide NATは、送信パケットの送信元アドレスを、そのパケットが経由するインタフェースのアドレスに変更するために使用される。セキュリティ・ゲートウェイ / Scalable Platform・セキュリティ・グループ。

これにより、リターンパケットは、宛先アドレスが正しいリンクのアドレスであるため、自動的に同じISPリンクを経由するようになる。

管理者は、Hide NAT 設定を構成します。

着信コネクション

外部ユーザが着信接続を行うには、管理者は以下のことを行う必要がある：

各アプリケーションサーバに、ISPごとに1つのルーティング可能なIPアドレスを与える。
ルーティング可能なアドレスを実際のサーバアドレスに変換するために、スタティックNATを設定する。

サーバが異なるサービス（例えば、HTTPとFTP）を扱う場合、NATを使って、すべての公開サーバにルーティング可能なIPアドレスだけを採用することができる。

外部クライアントは、割り当てられたIPアドレスのいずれかを使用する。接続するためには、クライアントはサーバのDNS名を正しいIPアドレスに解決できなければならない。

例

注-以下の例は、2つのISPリンクの場合である。サブネット172.16.0.0/24と 192.168.0.0/24は、パブリック・ルーティング可能なIPアドレスを表す。

Webサーバwww.example.com、各ISPからIPアドレスが割り当てられる：

ISP Aからの192.168.1.2
ISP Bからの172.16.2.2

ISPリンクAがダウンしている場合、IPアドレス192.168.1.2は利用できなくなり、クライアントはURLwww.example.comをIPアドレス172.16.2.2に解決できなければならない。

この例では、着信接続は以下の順序で確立される：

インターネット上の外部クライアントがwww.example.com、クライアントはこのURLのIPアドレスに対してDNSクエリーを送信する。

DNSクエリはセキュリティ・ゲートウェイ / Scalable Platform・セキュリティ・グループ。

割り当てられたロールのセキュリティ・ゲートウェイ / セキュリティ・グループにはミニDNSサーバが組み込まれており、そのドメイン内のサーバに対するDNSクエリ(タイプA)をインターセプトするように設定できる。
ISPリンクの1つに属するインタフェースに到着したDNSクエリは、次のようにインターセプトされる。セキュリティ・ゲートウェイ / セキュリティ・グループ。
もしセキュリティ・ゲートウェイ / セキュリティ・グループがホスト名を認識すると、以下のいずれかの応答を送信する：
- ISP冗長性Primary/Backup モードでは、次のようになります。セキュリティ・ゲートウェイ / セキュリティ・グループプライマリISPリンクがアクティブである限り、プライマリISPリンクに関連付けられたIPアドレスのみでリプライする。
- ISP冗長性Load Sharing モードでは、次のようになります。セキュリティ・ゲートウェイ / セキュリティ・グループは2つのIPアドレスを交互に返信する。
もしセキュリティ・ゲートウェイ / セキュリティ・グループがDNSリクエストを処理できない場合（例えば、ホスト名を認識できない場合など）、DNSクエリを元の宛先またはドメインexample.comのDNSサーバに渡す。
外部クライアントは、DNSクエリに対する応答を受信すると、コネクションをオープンする。パケットがセキュリティ・ゲートウェイ / セキュリティ・グループそのセキュリティ・ゲートウェイ / セキュリティ・グループは、宛先IPアドレス192.168.1.2または172.16.2.2を実サーバIPアドレス10.0.0.2に変換するスタティックNATを使用します。
割り当てられたロールのセキュリティ・ゲートウェイ / セキュリティ・グループは、サーバからクライアントへのリプライパケットを、接続を開始したときと同じISPリンクを経由してルーティングする。