- ベストアンサー
IP-VPNの冗長可
IP-VPNの冗長化の方法や実際にこうやってるという情報があれば教えてください。基本的にBGP4を使えばできるのでしょうが、バックアップ回線がISDNとかの場合どうすればできるのでしょうか?(もちろん自動切換えができる冗長化です)
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
> ・拠点はIP-VPN網に対してSTATICに経路を切る > ---省略--- > > 以上の方法で拠点の障害時、センターは自動、拠点は手動、構成 > により自動で切り替えられるのではないでしょうか? > また、この構成では拠点が、センター側のIP-VPNの障害時を感知 > することができないことは承知しています。必ず、拠点は手動で切り > 替え(ルータの取り替え)が必要ということは。 > > 以上でどうでしょう?なんとかできそうじゃないでしょうか? http://www.i-p-net.co.jp/tech/rensai/ipvpn/4th.htm ここの情報がベースですね。おそらく実現可能だと思えますが、 ここまで高度な設計したこと無いです。 → 実現可能性に関しては、私自身十分に調査しないと断言できま せん。冷たいようですが、ここのアドバイス(ボランティアの範疇) では調査まではご容赦願います。 少々あくどい方法ですが、大手のSIerに相談し見積もりの提示 を求める等のアクションを取ると(結果的に)無料で実現可能性 を調査してもらえると思います。 前のアドバイスで言葉足らずだった部分を補足します。 バックアップ回線としてのISDN網は現在の通信情報量を考えると 伝送能力不足だと思ってます。 迂回路としてのインターネットVPNは論理ネットワーク上では常設 WANとして位置付けます。 貴社のイメージですと [通常WAN:IP-VPN網]-[本社]-[障害時WAN:インターネットVPN] 障害監視はネットワーク監視ツール(例えばHPのOPENVIEW等)で 実施し、回線障害発生時はN/W管理者へのメール&パトライトで通知 します。 注)パトライトは下記URLにあるものです。 http://www.patlite.co.jp/product/light.html 障害発生後、速やかに障害発生拠点へ連絡し、拠点側のルータを 手動で切り替えてもらいます。 本社側での、ネットワーク切替に対するイメージは「障害発生拠点 全体が通常WANから消え、障害時WAN上に出現する」ようになり ます。 蛇足 IP-VPNも一部で(評価用に)利用してますが、将来的には広域ether (L2ベース)に全面移行を考えています。 → 現時点での広域etherはキャリア間相互乗り入れが実現されてま せんが、近い将来相互乗り入れが実現されるはずです。 こちらのメリットは、 ・二次側インタフェイスがLAN(RJ45)で提供されること =高価なリモートルータ不要(L3SW直で十分) ・L2でのネットワークのため、利用可能はルーティングプロトコルが 多彩であること ・通信費用はIP-VPN同程度と手頃であること です。 現時点でIP-VPN網の充実に対する投資が妥当であるかも考慮する 必要があるのではないでしょうか?
その他の回答 (4)
- stsu
- ベストアンサー率62% (83/132)
> 以上からどんな構成がBESTなんでしょう? 自動切換えは難しいですね。 現実的な案としては、 1.バックアップの必要な拠点に新規にBフレッツ回線を引き 込み、IPsecVPN対応ルータ(YAHAHAのRT1000等)を設置 する。 2.本社側のインターネット接続環境にIPsecのインターネッ トVPNアクセス環境を追加する。 3.障害発生時は拠点側のメインスイッチ~リモートルータ のケーブルを手動で1のルータに切り替える。 → もしも拠点側のクライアント設定がDHCPで無ければ IPアドレス自動取得に切り替えて頂く作業まで発生 してしまいますが・・・。 なお、正規ルートと迂回路ではIPアドレス体系を分 けておくと全体のルーティングテーブルへの影響は 最小化できます。 障害対応時に混乱しないようマニュアル化しておく 必要があります。 この際「最小の費用でダウンタイムを最短化するには」と 割り切って考えた方が良い結果が導かれるように思えます ね。
お礼
ありがとうございます。非常に貴重なアドバイスとなり助かります。 http://www.atmarkit.co.jp/fnetwork/tokusyuu/17ipevent/ipevent03.html や http://www.i-p-net.co.jp/tech/rensai/ipvpn/4th.htmを参考に勉強してみたんですが、以下の構成はどうでしょう? ・拠点はIP-VPN網に対してSTATICに経路を切る(メイン、BKともに) ・拠点の障害時経路切り替えは手動、もしくはLAN内にOSPF等ダイナミックルーティングプロトコルを使用。(RIPはポップ数が同じになるので無理か?)Ciscoで統一可能ならHSRPの選択もあり。 ・センター側は拠点の障害(IP-VPNの障害)を知るため、IP-VPNと接しているルータはBGP4を利用。 ・また、センター側はINS1500用ルータでBK回線として使用。 ・センターのIP-VPN用ルータとINS1500ルータ間でOSPF等ダイナミックルーティングプロトコル、もしくはHSRPで冗長化し、BGP4によりIP-VPNの障害連絡を受けた経路についてはINS1500ルータへ流れる。 以上の方法で拠点の障害時、センターは自動、拠点は手動、構成により自動で切り替えられるのではないでしょうか?また、この構成では拠点が、センター側のIP-VPNの障害時を感知することができないことは承知しています。必ず、拠点は手動で切り替え(ルータの取り替え)が必要ということは。 以上でどうでしょう?なんとかできそうじゃないでしょうか?
- stsu
- ベストアンサー率62% (83/132)
IP-VPNでの冗長化ですか? IP-VPNに限らず、一種キャリアの通信サービスは基幹網 内において二重化、三重化されているので原則として冗 長化不要と考えています。 → 但し、基幹網から先の部分(具体的にはアクセス ポイントから契約事業所までの専用線部分)だけ が唯一二重化されていないウィークポイントです。 ここの部分に関してバックアップ回線を準備する 必要ありと考えますが、実際には完璧なバックア ップ回線は準備できないケースが多いです。 アクセスポイント~契約事業所の専用回線を複数の 別ルートで敷設できるケースは稀有です。 可能性として別々のキャリアを採用する程度しか 独立したアクセス線の確保は困難だとお考え下さ い。 某社のWANの事例ですが、 1.基幹回線:全国網を中継系NCC、アクセス線を地域系 NCCをそれぞれ採用 2.バックアップ回線:NTTのISDN網を採用 3.基幹回線に障害発生時はバックアップ回線に自動切換 え というネットワーク設計を提示しましたが、1.のみの実 現に留まりました。 → このケースでは全国対応のモバイルアクセス網で 回線障害に対応させたためです。 質問内容に対する直接回答でないですが、 「IP-VPNで冗長化を図るよりは、障害時借り換え対応 可能なバックアップ回線を準備する」 方策を考えた方が賢明だと思われます。 → 現時点だとBフレッツ等を利用したインターネット VPN辺りが最も有力候補です。 なお、蛇足ですがキャリアによってIP-VPNの仕様が異 なりますので、注意が必要です。 → BGP4はわかりませんが、例えばOSPFですとKDDIの IP-VPNでは利用不能(ルーティング情報が伝送で きない)ですが、JT(おそらくNTTも)のサービス では利用可能です。 この辺りの詳細情報は各キャリアの技術担当に確認 する必要があります。
お礼
ありがとうございます。 >IP-VPNで冗長化を図るよりは、障害時借り換え対応 可能 >なバックアップ回線を準備する 私が質問したいことはこのことです。ちょっと表現があいまいですみません。 実は現在もうIP-VPNを利用しているのですがBK回線が課題でBGP4もしくはSTATICしかできないキャリアです。 また、拠点側は予算上BGP4未対応ルータを導入済みです。 まず、第一段階として拠点の自動BKアップ回線への切り替えを考えています。(普通逆か?)これは、障害時センターは手動でINS1500側へ経路を変更できても、拠点は数が多いのでいちいちINSのほうへ手動で経路変更できないためです。拠点のほとんどは1セグメントしかありません。 以上からどんな構成がBESTなんでしょう? stsuさんのおおすすめの インターネットVPNを用いたBK回線の場合、IPsec機能付FWを拠点に購入しなければいけない点、センターでポリシーの作成の煩雑な点からしてちょっとすぐ導入というわけにはいきません。(新規導入なら確かにBESTですね)
- zousandesu
- ベストアンサー率70% (19/27)
RIPですね。これだと30秒間隔でチェックですね。 ただ今回はメトリック値を変えて同一ルートの設定が必要となりますね。あと信頼ルータの設定をしないとRIP情報を取り込まない機種もありますので注意してください。
補足
IP-VPNにおいてRIPだけじゃ、動的切替の冗長化は絶対無理だと思います。相手のルータや、相手の足回り(アクセス回線)に障害があることを知るすべがありませんから。 やはり、片一方だけでもBGP4が必要だと思います。センターと複数拠点の場合、(拠点側の冗長化を考えるとして)、センターのメイン回線はIP-VPNでBGP4を使う。バックアップはPRIなどで複数INS回線を受け入れるようにする。そして、センター側LANはRIPをまわす。また、拠点のメイン回線もIP-VPNでスタティックでセンターの経路情報を書く。これはBGP4対応ルータが価格的に高いのでBGP4未対応を利用することを前提としています。そしてダイヤルアップルータなどでINSバックアップ回線をセンターと引く。同じく拠点LAN内はRIPをまわす。これで、センター側にはBGP4によって拠点の障害を検知でき、RIPによりPRIを使うようになる。もちろん拠点側もRIPが感知して動的にダイヤルアップルータに経路が流れる。しかし、この構成だと逆にセンター側に障害が発生した場合は、拠点側はBGP4を受けれないのでセンターの障害を知るすべがない。つまりいつまでもIP-VPNを利用しようとする。そのためにセンターの冗長化は2本IP-VPNに足を出す。もちろんBGP4で。 ただ、これでも実際はIP-VPN網自身の障害は2本ともやられるので完璧な冗長化にならないのですが。。。 やっぱり、LAN内までBGP4でやらないといけないんでしょうか?
- zousandesu
- ベストアンサー率70% (19/27)
どのルータにもある静的ルート登録を、高いメトリック値でINSルータのLAN側IPに切るだけと思います。 ルータの中にはWAN側イーサネットの他に、BRIを持つものが有り、1台でバックアップ回線の指定ができます。
お礼
ありがとうございます。補足の部分以下に訂正してください 拠点A(192.168.1.0)と拠点B(192.168.2.0)があった場合
補足
ありがとうございます。 できればルータは分けたいです。ルータの障害って意外と多いんで。あと障害時は自動的に切り替わることが条件です。 拠点A(192.168.2.0)と拠点B(192.168.2.0)があった場合 ・IP-VPNのCEルータ、PEルータ間はBGP4 ・ISDNのルータはスタティック ・上記2つのルータのLAN側はRIP で問題ないでしょうか?これなら、比較的安上がりなんですけど・・・。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_3_thumbnail_img_sm.png)
お礼
ありがとうございます。 どうしても、拠点数の多さがネックになりすぐにインターネットVPNを展開するのは無理な状態です。また一つの拠点の障害のためすべての拠点をBKルートに切り替えというのか手間とリスクがかかります。また、重要な通信のデータ量はINSでまかなえる等の条件からISDNバックアップ回線を考えております。 具体的に実現可能かどうかはSIerに聞いてみることにします。stsuさんのアドバイスも非常に的確で勉強になりました。今後も知恵をお借りできれば幸いです。 この度はありがとうございました。