※この記事は以下の記事の日本語訳です。
How to Configure ISP Redundancy and Load Balancing
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-ISP-Redundancy-and-Load...
定義
通常、ファイアウォールはパケット中の宛先 IP アドレスを使用して出力インターフェイスを決定します。ファイアウォールは、そのインターフェイスが接続している仮想ルータに関連するルーティング テーブルを使用してルートのルックアップを行います。ポリシー ベース フォワーディング (PBF) を使用することにより、ユーザーは、ルーティング テーブルをオーバーライドして、送信元/宛先 IP アドレスやトラフィックのタイプのような特定のパラメータに基づいて出力インターフェイスを指定することができます。
次のトポロジーは以下を含んでいます:
2 つの内部サブネット
2 つの ISP ゲートウェイ
覚えておくべき 2 つの重要事項:
冗長化の設定
プライマリ ISP の設定:
モニター プロファイル:
この設定は、192.168.1.0/24 サブネットから送信されたすべてのトラフィックを強制的に Ethernet 1/3 から送出します。
モニター プロファイルは、IP アドレスをモニターするために設定します。このテスト コンフィグでは、モニター ファイル "multiple isp" はパブリック DNS 8.8.8.8 をモニターするために使用します。
モニターがこの IP アドレスに到達できなくなると、定義したアクション (fail-over) が発生します。PBF ルールは無効化され、下記にあるように、ファイアウォールは仮想ルータに作成されているスタティック ルートにフォールバックします。Path Monitoring が IP アドレスへの接続性を確認することで、ファイアウォールはトラフィックを代替ルートへ転送することが可能になります。ファイアウォールは、指定の IP アドレスが到達可能であることを確認するためにハートビートとして ICMP ping を使用します。
セカンダリー ISP の設定
ロード シェアリングの設定
例 1: バックアップなしのロード バランシング
この場合、PBF は、異なるサブネットからのトラフィックが各 ISP を経由して送信されるようにするために使用されます。このシナリオでは、サブネット 192.168.1.0/24 からのトラフィックはすべて Ethernet 1/3 から転送され、サブネット 172.16.1.0/24 からのトラフィックはすべて Ethernet 1/4 から転送されます。
ルール:
例 2: ロード バランシングと冗長化
この場合、PBF は、送信元に基づいて特定のインターフェイスからトラフィックを転送するために使用されます。
ISP がダウンした場合のバックアップを設定します。
ルール:
Rule 1 と Rule 2 は、例 1 と同じアクションを実行します。
バックアップ ルールにより、どちらかの ISP の接続が失敗した場合にトラフィックが接続性のある ISP を経由することが可能になります。
VPN を設定する場合 (IPSec または GlobalProtect)、VPN の設定方法に関する情報については下記ドキュメントを参照してください:
GlobalProtect Client Issues with Multiple ISPs
How to Configure Dual VPNs with Dual ISPs from a Single Firewall to a Remote Site
Administrator Guide: PBF Section
PBF Step by Step configuration
著者: dpalani