VPN-1ゲートウェイ上でISPの冗長性を設定する場合は、ゲートウェイ上の1つのISPリンクに障害
が発生しても暗号化されたVPN接続を継続できます。ISPの冗長性は、ゲートウェイ間VPNおよび
SecuRemote/SecureClientとのリモート・アクセスVPNの両方で使用できます。
[ISP Redundancy]ウィンドウで設定した値はデフォルトで[Link Selection]ページに適用され、
既存の設定は上書きされます。 プライマリ/バックアップ・モードが設定されている場合は、この 設定が[Link Selection]でも継続されます。
VPN-1ゲートウェイ上でISPの冗長性を設定するには、以下の手順に従います。
1. [VPN]>[Topology]>[ISP Redundancy]を選択します。 [ISP Redundancy]ウィンド ウが開きます。
2. [ISP Redundancy]ウィンドウで該当する設定を行います。 ISPの冗長性を設定した場合、
[Link Selection]ページのデフォルト設定は[Use ongoing probing]ですが、リンク選択は
[ISP Redundancy]ウィンドウで設定したISPのみをプロービングします。この機能により、
ゲートウェイ・インタフェースの1つが接続不能になっても、VPNトンネルの接続フェイル オーバーが可能になります。
2つのISPに2つのゲートウェイが接続されている場合は、リンク選択に対して異なる設定が必要 です(図 4-7)。
図 4-7 2つのISPに接続された2つのゲートウェイ
このシナリオの構成
• ゲートウェイA、B、およびCが2つのISPに接続しています。
• [ISP Redundancy]がゲートウェイAで設定されています。
• ゲートウェイAは、ゲートウェイBに接続するためにISP1を使用し、ゲートウェイCに接続 するためにISP2を使用する必要があります。いずれかのISPが使用不能になった場合は、もう 1つのISPが使用できる必要があります。
設定の詳細については、『バーチャル・プライベート・ネットワーク』の「リンク選択」の章を参 照してください。
ISP の冗長性とサード・パーティの VPN
サード・パーティのVPNデバイスがISPリンクの障害を検出できるかどうかは、サード・パーティ・
デバイスの実装方法によって異なります。ISPリンクの障害は、以下の2つの理由でVPNの障害の 原因になる可能性があります。
1. サード・パーティ・デバイスは、ゲートウェイの2番目のリンクから送信される暗号化された 着信トラフィックを認識できない場合があります。
2. サード・パーティ・デバイスはISPリンクの障害を検出できない場合があり、障害が発生した リンクに暗号化したトラフィックを送信し続ける可能性があります。
ISP リンクの冗長性に関する考慮事項
導入方法の選択
組織のニーズに最も適した導入方法の選択肢は、通常すぐに分かります。以下に推奨方法を示し ます。
• 最も単純な構成は、図 4-3に示すようにISPリンクごとに異なるインタフェースを使用する構 成です。
• VPN-1ゲートウェイで1つの外部インタフェースのみが使用可能な場合は、図 4-4に示すよう
に、同じインタフェース上にISPごとに1つずつ、2つのサブネットを定義して、両方のISPを 同じインタフェースに接続できます。
• いずれかのISPリンクが、バックアップで使用するダイヤルアップ・ネットワーク(モデム 接続)である場合は、図 4-5に表示された導入方法を使用し、プライマリ/バックアップ動作 モードを選択します。
• ISPリンクがVPN-1ゲートウェイ・クラスタに接続されている場合は、図 4-6に表示されて
いる導入方法を使用します。
冗長性モードの選択
両方のISPが基本的に同じである場合は、負荷共有モードを使用して両方のISPを最も有効に活用 できるようにします。
2つのISPのうち料金と信頼性の面で費用対効果が優れている方のISPを優先的に使いたい場合が
あります。この場合は、プライマリ/バックアップ・モードを使用して、費用対効果が優れたISPを プライマリISPリンクとして使用します。
ISP リンクの冗長性の設定
このセクションの構成
ISP リンクの冗長性の設定について
以下のISPの冗長性設定を使用すると、VPN-1ゲートウェイの背後からインターネットへの発信接続、
およびインターネットからVPN-1ゲートウェイの背後にあるネットワークへの着信接続が可能に なります。
ドメインの登録と IP アドレスの取得
VPN-1ゲートウェイまたはその背後にあるDNSサーバは、DNSクエリに応答し、DMZ(または他
の内部ネットワーク)内のパブリック・アクセスが可能なサーバに属するIPアドレスを解決する必 要があります。 VPN-1ゲートウェイがDNSクエリを傍受するように設定できるので、実際のDNS サーバを用意する必要はありません。
ドメインを登録してIPアドレスを取得するには、以下の手順に従います。
1. DNSサーバまたはDNSクエリを傍受するVPN-1ゲートウェイ用のルーティング可能なIPア ドレスを、各ISPから1つずつ取得します。 ルーティング可能なIPアドレスを使用できない場 合は、手動NATを使用してインターネットからDNSサーバにアクセスできるようにします
(手順15)。
2. 両方のISPにドメイン(たとえばexample.com)を登録します。
3. example.comドメインに関するDNSクエリに応答するDNSサーバの2つのアドレスを両方の ISPに通知します。
ISPリンクの冗長性の設定について 147ページ ドメインの登録とIPアドレスの取得 147ページ 着信接続のためのDNSサーバの設定 148ページ 着信接続のためのダイヤルアップ・リンクの設定 149ページ
SmartDashboardの設定 149ページ
ISPの冗長性ゲートウェイのデフォルト・ルートの設定 152ページ
注:詳細な設定オプションについては、SecureKnowledgeソリューションsk23630
(https://secureknowledge.checkpoint.com/)を参照してください(ユーザ名とパスワードが 必要です)。
注: 以下の設定例では、サブネット192.168.1.0/24および172.16.2.0/24は、ルーティン 可能なパブリック・アドレスを表します。
4. 着信接続を許可するために、インターネットからアクセスされる各アプリケーション・サー バ用のルーティング可能なIPアドレスを各ISPから1つずつ取得します。たとえば、138ペー
ジの図 4-2では、DMZ-net内のWebサーバ用の2つのIPアドレスを取得します。公開サーバ
用にルーティング可能なIPアドレスを使用しない場合は、手順15を参照してください。
着信接続のための DNS サーバの設定
以下のセクションでは、着信接続のためのDNSサーバの設定について説明します。この設定では、
Webサーバ(たとえば、138ページの図 4-2のwww.example.com)に対するDNSクエリを傍受し、
ISPアドレス192.168.1.2と172.16.2.2を使用してクエリに応答するようにVPN-1を設定します。
着信接続のためのDNSサーバを設定するには、以下の手順に従います。
1. [ISP Redundancy]ウィンドウの[DNS Proxy]タブで、[Enable DNS proxy]を選択します。
2. VPN-1は、ISPリンクと冗長性モードのステータスに応じて、1つまたは2つのIPアドレスを
使用してDNSクエリに応答します。 この動作を設定するには、[DNS Proxy]タブの[Add]を
クリックして、各サーバ名にIPアドレスのペアにマップします。
3. [Host name]にホスト名(たとえばwww.example.com)を入力します。
4. ISP-1のIPアドレス(たとえば138ページの図 4-2の192.168.1.2)とISP-2のIPアドレス
(たとえば172.16.2.2)を追加します。
インターネット上のDNSサーバに古いアドレス情報が保存されていないことを確認する必要 があります。各DNS応答には、応答内の情報をキャッシュできる期間を受信者に示す[Time To Live (TTL)](保存期間)フィールドがあります。デフォルトでは、VPN-1の応答のTTLは
15秒です。 この時間は[DNS TTL]フィールドで変更できます。
着信接続のためのダイヤルアップ・リンクの設定
着信接続のためのダイヤルアップ・リンクを設定するには、以下の手順に従います。
1. いずれかのISPリンクがダイヤルアップ・ネットワークである場合は、
$FWDIR/bin/cpisp_updateにあるISPの冗長性スクリプトを編集します。
2. スクリプト内で、LinuxまたはSecurePlatformオペレーティング・システムのコマンドを使用 して、ダイヤルアップ・インタフェースを起動または停止します。
3. PPPoEまたはPPTP xDSLモデムを使用して、SecurePlatformをxDSLサービスを提供する
ISPに接続できます。これらの接続のいずれかを使用する場合は、SecurePlatformのPPPoE またはPPTPの設定で、[Use Peer Gateway]チェック・ボックスをオフにします。
SmartDashboard の設定
SmartDashboardを設定するには、以下の手順に従います。
1. domain_udpサービスを使用してVPN-1ゲートウェイ経由のDNSトラフィックを許可するセ
キュリティ・ルール・ベース・ルールを定義します。
2. [Check Point Gateway]ウィンドウの[Topology]ページで、ISPに接続するVPN-1イン タフェースを定義します。
3. [Topology]>[ISP Redundancy]を選択し、[Support ISP Redundancy]チェック・
ボックスをオンにします。
4. 「ISPリンクの自動設定」(手順5~手順8)または「ISPリンクの手動設定」(手順9~手順13)
を実行します。 自動設定は、正確に2つの外部インタフェースが[Topology]ページで定義さ れている場合にのみ機能します(ゲートウェイ・クラスタ・オブジェクトでは機能しません)。 ISPリンクの自動設定
5. [Automatic ISP Links configuration]をクリックして、ゲートウェイのルーティング・テー ブル、およびゲートウェイ・オブジェクトの[Topology]ページから取得した情報に基づい てISPリンクを設定します。
6. プライマリ/バックアップ・モードで操作するには、以下の手順に従います。
a. [Redundancy Mode]セクションで、[Primary/Backup]を選択します。
b. リンクを選択し[Edit]を選択して、プライマリにするリンクを定義します。
c. [ISP Link Properties]ウィンドウの[General]タブで、[Primary ISP]を選択します。
7. 自動的に設定されたISPリンクの設定が正しいかどうかを調べます。
8. 手順14に進みます。