ISP 冗長化およびロード バランシングの設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Configure ISP Redundancy and Load Balancing
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-ISP-Redundancy-and-Load...

 

定義

  • ISP ロード バランシングは 1 つ以上のインターネット プロバイダがファイアウォールに接続している場合に使用されます。ポリシー ベース フォワーディング (PBF) は送信元サブネットに基づいてトラフィックを転送するために使用されます。
  • ISP 冗長化は、1 つのサービス プロバイダがダウンし、すべてのトラフィックがその他のサービス プロバイダにルーティングされる必要がある場合に使用されます。

 

通常、ファイアウォールはパケット中の宛先 IP アドレスを使用して出力インターフェイスを決定します。ファイアウォールは、そのインターフェイスが接続している仮想ルータに関連するルーティング テーブルを使用してルートのルックアップを行います。ポリシー ベース フォワーディング (PBF) を使用することにより、ユーザーは、ルーティング テーブルをオーバーライドして、送信元/宛先 IP アドレスやトラフィックのタイプのような特定のパラメータに基づいて出力インターフェイスを指定することができます。

 

次のトポロジーは以下を含んでいます:

2 つの内部サブネット

  • サブネット1: 192.168.1.0/24
  • サブネット2: 172.16.1.0/24

2 つの ISP ゲートウェイ

  • ISP1: 10.30.6.254
  • ISP2: 10.30.1.254

doc-3579-001.png

 

覚えておくべき 2 つの重要事項:

  • PBF ルールは 1 つ目のパケット (SYN) または 1 つ目のパケットに対する最初のレスポンス (SYN/ACK) のいずれかに適用されます。アプリケーション固有のルールを PBF と併用することは推奨されません。
  • アドレス変換 (NAT) ルールは、セキュリティ ルールがコネクションにマッチしなかった場合は適用されません。そのため、アドレス変換が正常に行われるためにはセキュリティ ルールが適切に設定されている必要があります。

 


冗長化の設定

プライマリ ISP の設定:

  • デフォルト ゲートウェイにトラフィックを転送する PBF ルールを作成する。
  • トンネル モニター プロファイルを追加して、アクションを「失敗した場合は無効」となるよう設定します。

pastedImage_20.png

モニター プロファイル:

doc-3579-02.jpg

 

この設定は、192.168.1.0/24 サブネットから送信されたすべてのトラフィックを強制的に Ethernet 1/3 から送出します。

モニター プロファイルは、IP アドレスをモニターするために設定します。このテスト コンフィグでは、モニター ファイル "multiple isp" はパブリック DNS 8.8.8.8 をモニターするために使用します。

 

モニターがこの IP アドレスに到達できなくなると、定義したアクション (fail-over) が発生します。PBF ルールは無効化され、下記にあるように、ファイアウォールは仮想ルータに作成されているスタティック ルートにフォールバックします。Path Monitoring が IP アドレスへの接続性を確認することで、ファイアウォールはトラフィックを代替ルートへ転送することが可能になります。ファイアウォールは、指定の IP アドレスが到達可能であることを確認するためにハートビートとして ICMP ping を使用します。

 

モニター プロファイルにて、IP アドレスが到達可能かどうかを判断するためのハートビート数のしきい値を指定できます。モニター対象の IP アドレスが到達不能な場合、ユーザーは PBF ルールを無効にするか、fail-over アクションか、wait-recover アクションを指定することができます。PBF ルールを無効にすると、仮想ルータがルーティングの決定を引き継ぐことができます。
 

セカンダリー ISP の設定

  • 通常のメトリックでスタティック ルートを作成する

 


ロード シェアリングの設定

 

例 1: バックアップなしのロード バランシング

この場合、PBF は、異なるサブネットからのトラフィックが各 ISP を経由して送信されるようにするために使用されます。このシナリオでは、サブネット 192.168.1.0/24 からのトラフィックはすべて Ethernet 1/3 から転送され、サブネット 172.16.1.0/24 からのトラフィックはすべて Ethernet 1/4 から転送されます。

 

ルール:

    • Rule 1: サブネット 192.168.1.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 1
    • Rule 2: サブネット 172.16.1.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 2

doc-3579-03.png

 

例 2: ロード バランシングと冗長化

この場合、PBF は、送信元に基づいて特定のインターフェイスからトラフィックを転送するために使用されます。

ISP がダウンした場合のバックアップを設定します。

 

ルール:

    • Rule 1: サブネット 192.168.0.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 1
    • Rule 2: サブネット 172.16.0.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 2
    • Backup for Rule 1: サブネット 192.168.0.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 2
    • Backup for Rule 2: サブネット 172.16.0.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 1

pastedImage_22.png

Rule 1 と Rule 2 は、例 1 と同じアクションを実行します。

バックアップ ルールにより、どちらかの ISP の接続が失敗した場合にトラフィックが接続性のある ISP を経由することが可能になります。

 

VPN を設定する場合 (IPSec または GlobalProtect)、VPN の設定方法に関する情報については下記ドキュメントを参照してください:

GlobalProtect Client Issues with Multiple ISPs

How to Configure Dual VPNs with Dual ISPs from a Single Firewall to a Remote Site

Administrator Guide: PBF Section

PBF Step by Step configuration

Use Case for PBF

 

著者: dpalani