セキュアSD-WAN設定ガイド（マルチPPPoE編）

セキュア SD-WAN

設定ガイド

～マルチ PPPoE セッション編～

Version 1.00

フォーティネットジャパン株式会社

2018 年 8 月

免責事項

本ドキュメントに関する著作権は、フォーティネットジャパン株式会社へ帰属します。 フォーティネットジャパン株式会社が事前に承諾している場合を除き、形態及び手段を 問わず本ドキュメントまたはその一部を複製する事は禁じられています。 また本内容は参考例となります。個別のセキュリティ対策に関する要件を満たすには、 ご利用者様ごとにプランニングおよび設定の調整が必要となりますので、予めご了承 下さい。尚、本ドキュメントの作成にあたっては最新の注意を払っておりますが、その 記述内容は予告なしに変更される事があります。

目次：

第１章： はじめに P4 第 2 章： マルチ PPPoE セッションの設定 P7 第 3 章： SD-WAN の設定 P10 第 4 章： 最小品質（SLA） P15 第 5 章： ベストなクオリティ P26 改訂履歴 P30

1. はじめに

この設定ガイドは FortiOS 5.6 から追加された新機能、マルチ PPPoE セッション機能 と ISDB を利用した通信制御の設定ガイドです。 マルチ PPPoE セッション機能とは、物理的に 1 つのインターフェースで複数の PPPoE セッションをサポートする機能です。本設定ガイドでは、ぞれぞれの PPPoE 接続を一つはインターネット通信用、もう 1 一つは Office365 と Salesforce へのク ラウドアプリケーション通信専用として設定をしています。

ISDB（Internet Service Database）とは、Office365 など約 300 種類のクラウドア プリケーションで使用されている IP アドレスやポート番号（TCP/UDP）情報のデー タベースのことです。FortiGuard ラボがデータベース化し、自動的にアップデートさ れます。FortiGate の SD-WAN 機能で、ルーティングエントリやリンク・ロードバラ ンスの宛先オブジェクトとして指定することができます。管理画面でキーワード検索 が可能なため、FortiGate での設定も容易です。

1-1.

利用機器と OS バージョン

FortiGate FortiGate 60E 6.0.1

1-2.

物理構成

※本設定ガイドでは Ubuntu 18.04 TLS を使用し、PPPoE サーバ環境を疑似的に構築してい ます。（点線囲み部分） ※実環境では、サービスプロバイダから提供される ONU 機器と FortiGate 間を結線します。

1-3.

論理構成

※FortiGate の管理画面にはブラウザで https://192.168.1.99 を入力し、アクセスします。 ※各 PC は FortiGate から DHCP でアドレスを付与されています。

1-4.

参考資料

本設定ガイドで紹介している設定は公式な設定ガイドに基づいています。より詳細な 情報が必要な場合は以下も合わせてご参照ください。

 FortiGate

What’s New in FortiOS 5.6.4

Support multiple PPPoE connections on a single interface

https://docs.fortinet.com/d/fortigate-what-s-new-in-fortios-5.6

FortiOS Handbook - Networking

https://docs.fortinet.com/d/fortigate-networking-60

FortiOS 6.0 CLI Reference – system pppoe-interface / system virtual-wan-link

https://docs.fortinet.com/d/fortigate-cli-ref-60

FortiGate FortiOS 6.0 SD-WAN Demo

https://www.youtube.com/watch?v=jaNZiFFg-38

なお、FortiGate の基本設定については、「セキュア SD-LAN 設定ガイド SOHO 向 け」をご参照ください。

2. マルチ PPPoE セッションの設定

第２章では、マルチ PPPoE セッションの設定について説明しています。

マルチ PPPoE セッションとは 1 つの WAN インターフェース上に複数の PPPoE を設 定し、同時接続を可能とさせる技術のことです。

2-1.

配線

FortiGate の WAN1 ポートと PPPoE サーバ間の配線をします。

2-2.

マルチ PPPoE セッションの設定

マルチ PPPoE セッションの設定は FortiGate の GUI 管理画面上での設定をサポート していません。GUI 管理画面右上の「>_」をクリックして CLI にアクセスし、各サ ービスプロバイダから配布されているユーザ名とパスワードを入力します。 ※本設定ガイドでは、疑似的に PPPoE サーバを構築し、以下のユーザ名とパスワードで認証を する設定にしています。インターフェース名は自由に設定をすることが可能です。 PPPoE 接続設定情報 サービスプロバイダ インターフェース名 ユーザ名 パスワード プロバイダ A pppoe1 testuser1 password プロバイダ B pppoe2 testuser2 password

FGT60E # config system pppoe-interface

FGT60E (pppoe-interface) # edit pppoe1 new entry 'pppoe1' added

FGT60E (pppoe1) # set device wan1

FGT60E (pppoe1) # set username testuser1 FGT60E (pppoe1) # set password password FGT60E (pppoe1) # next

FGT60E (pppoe-interface) # edit pppoe2 new entry 'pppoe2' added

FGT60E (pppoe2) # set device wan1

FGT60E (pppoe2) # set username testuser2 FGT60E (pppoe2) # set password password FGT60E (pppoe2) # end

※本ガイドで紹介したコマンド以外のコマンドは CLI リファレンスの system pppoe-interface を参照してください。

2-3.

マルチ PPPoE セッションの確認

左メニュー「ネットワーク」→「インターフェース」をクリックします。 先ほど設定した PPPoE インターフェースが作成されていることを確認をします。 インターフェース名 利用する WAN インターフェース ユーザ名 パスワード インターフェース名 利用する WAN インターフェース ユーザ名 パスワード

「pppoe1」インターフェースをクリックします。 PPPoE サーバから IP アドレス、DNS、デフォルトゲートウェイの情報を取得してい ることを確認できます。 同様に、「pppoe2」インターフェースをクリックして確認します。 ※「internal」インターフェースから各 PPPoE 回線を利用し、インターネット接続をするには ファイアウォールのポリシー設定が必要です。左メニュー「ポリシー＆オブジェクト」→ 「IPv4 ポリシー」から新規作成をします。本ガイドではこの設定は使用しません。

3. SD-WAN の設定

第 3 章では、ISDB を利用した通信制御の設定を説明しています。 ここでは、通常のインターネット通信は pppoe1 を優先して使用し、Office365 と salesforce への通信は pppoe2 を優先して使用する設定にします。

3-1.

SD-WAN の設定

左メニュー「ネットワーク」→「SD-WAN」をクリックします。 ステータス「有効」をクリックし、SD-WAN インターフェースメンバーに、第 2 章で 作成した PPPoE インターフェースを参加させます。プルダウンメニューからインター フェースを選択し、選択したインターフェースのゲートウェイを入力し、最後に「適 用」をクリックします。 ※設定画面の GUI は次のページにあります。

3-2.

IPv4 ポリシーの編集

左メニュー「ポリシー＆オブジェクト」→「IPv4 ポリシー」をクリックしてくださ い。一般的に、ファイアウォールでは「暗黙の Deny」が存在するため、明示的に許 可しなければパケットの転送ができません。FortiGate 60E ではデフォルトで 「internal」インターフェースから「wan1」インターフェースへの通信を許可するポ リシーが作成されているので、このポリシーを編集します。

ポリシーに名前「internal_to_sdwan」を入力し、「wan1」を「SD-WAN」に変更 し、セキュリティプロファイルを有効にします。ログで確認しやすくするため、許可 トラフィックを「すべてのセッション」にし、「OK」をクリックします。

ポリシーの編集が終了したら、ポート 1 に接続した PC からインターネット接続がで きるか確認をしましょう。また、左メニュー「ネットワーク」→「SD-WAN」の 「SD-WAN 使用量」もしくは、左メニュー「モニタ」→「SD-WAN モニタ」から各 インターフェースの利用状況を確認することができます。 ※左メニュー「ネットワーク」→「SD-WAN」内の「SD-WAN 使用量」において、GUI 上で 各インターフェースが「↓」と表示されるのは FortiOS 6.0.1 の表示ミスです。

3-3.

SD-WAN ルールの確認

左メニュー「ネットワーク」→「SD-WAN ルール」をクリックしてください。SD-WAN には ID が空欄の「暗黙ルール」があります。 この「暗黙ルール」をクリックすると、デフォルトのロードバランスアルゴリズムを 確認、変更することができます。デフォルトは「送信元 IP」です。送信元 IP によっ て宛先インターフェースがロードバランスされます。

FortiGate のポート 1 に接続している PC の IP アドレスを確認しましょう。 ※本試験環境では、192.168.1.110 が付与されています。 左メニュー「ログ＆レポート」→「転送トラフィック」をクリックします。リストの タイトル部を右クリックし、利用可能なカラムから「宛先インターフェース」を追加 し、カラムを並べ替え、見やすくします。 送信元 IP ごとに宛先インターフェースが変わっていることを確認できます。 192.168.1.110 -> pppoe1 192.168.1.111 -> pppoe2 FortiGate の SD-WAN では、出力インターフェースを決める方法（ストラテジー）が 二種類あります。一つは SLA を基準（クライテリア）とする方法、もう一つは、回線

4. 最小品質(SLA)

4-1.

ISDB を利用した SD-WAN ルールの作成 – パフォーマンス SLA

3-3 で PC(192.168.1.110)は pppoe1 を利用していることがわかりました。次に、 Office365 と Salesforce を利用する場合は、pppoe2 を優先して利用する設定にしま す。左メニュー「ネットワーク」→「パフォーマンス SLA」をクリックし、新規作成 をします。 名前： SaaS_SLA プロトコル： HTTP サーバ： www.office.com www.salesforce.com 参加インターフェース： pppoe1, pppoe2 SLA ターゲット： ターゲット１ 遅延しきい値： 100ms ジッターしきい値： 30ms パケットロスしきい値： 0%

※ここで設定する SLA ターゲットは 4-2 SD-WAN ルールにおいて、最小品質(SLA) を選択した場合にのみ利用されます。 ※一つのパフォーマンス SLA では、複数の SLA ターゲットを作成することができま す。ただし、一つの SD-WAN ルールの中で利用可能な SLA ターゲットは一つです。 例）ターゲット 2 を追加した場合、4-2 SD-WAN ルールではターゲット 1 （SaaS_SLA#1）もしくはターゲット 2（SaaS_SLA#2）のどちらかしか選択できま せん。 ※本ガイドの SLA ターゲット値は一例ですので環境に合わせて変更してください。

「OK」をクリックすると、作成した SLA のサマリ情報の画面が表示されます。

ステータスが「？」になっていますが、左メニュー「ネットワーク」→「パフォーマ ンス SLA」をもう一度クリックして画面をリフレッシュすると、パケットロスの割 合、遅延やジッターの状況を確認することができるようになります。

4-2.

ISDB を利用した SD-WAN ルールの作成 – SD-WAN ルール

左メニュー「ネットワーク」→「SD-WAN ルール」をクリックし、新規作成をしま す。 名前： SaaS 送信元アドレス： all 宛先： インターネットサービスを選択 “Microsoft”を検索して該当するすべてのサービス “Salesforce“を検索して該当するすべてのサービス 出力インターフェース： ストラテジー： 最小品質（SLA） 優先するインターフェース： pppoe2, pppoe1 必要な SLA ターゲット： SaaS_SLA#1 ※優先するインターフェースは必ず、「pppoe2」を選択した後に「pppoe1」を追加 してください。選択した順にインターフェースの優先順位付けがされます。 ※本ガイドで使用している ISDB のバージョンは 5.00314 です。 バージョンは左メニュー「システム」→「FortiGuard」から「インターネットサー ビスデータベースの定義」から確認できます。 ※設定画面の GUI は次のページにあります。

4-3.

ISDB を利用した SD-WAN ルールの確認

左メニュー「ログ＆レポート」→「転送トラフィック」をクリックして宛先インター フェースを確認します。送信元アドレス 192.168.1.110 でフィルタリングして確認 しやすくします。

Office365, Salesforce 宛の通信は pppoe2 を利用し、それ以外の通信は pppoe1 を 利用していることがわかります。

4-4.

ISDB を利用した SD-WAN ルールの確認 – SLA のしきい値(1)

4-1 で設定をした SLA を pppoe2 が満たさなくなると、リンクがどう切り替わるのか を確認します。4-3 までの設定で PC(192.168.1.110)からの通信は以下のようになっ ています。

Office365, Salesforce への通信 → pppoe2 Office365, Salesforce 以外の通信 → pppoe1

次に、PPPoE サーバで pppoe2 に対して 200ms の遅延を生じさせる設定をします。 左メニュー「ネットワーク」→「パフォーマンス SLA」をクリックし、遅延状況を確 認します。

PC から Office365, Salesforce へアクセスをし、左メニュー「ログ＆レポート」→ 「転送トラフィック」をクリックして、宛先インターフェースを確認します。 Office365, Salesforce への通信は pppoe1 に切り替わっています。

結論：設定した SLA ターゲット(遅延しきい値、ジッターしきい値、パケットロスし きい値)を一つでも超えると、リンクは切り替わる

4-5.

ISDB を利用した SD-WAN ルールの確認 – SLA のしきい値(2)

4-1 で設定をした SLA を pppoe1, pppoe2 の両方とも満たさなくなると、リンクが どう切り替わるのかを確認します。4-4 までの設定で PC(192.168.1.110)からの通信 は以下のようになっています。

Office365, Salesforce への通信 → pppoe1 Office365, Salesforce 以外の通信 → pppoe1

次に、PPPoE サーバで pppoe1 に対して 150ms の遅延を生じさせる設定をします。 左メニュー「ネットワーク」→「パフォーマンス SLA」をクリックし、遅延状況を確 認します。

PC から Office365, Salesforce へアクセスをし、左メニュー「ログ＆レポート」→ 「転送トラフィック」をクリックして、宛先インターフェースを確認します。 Office365, Salesforce への通信は pppoe2 に切り替わっています。

結論：すべてのメンバーが設定した SLA ターゲット(遅延しきい値、ジッターしきい 値、パケットロスしきい値)を一つでも超えると、リンクはプライオリティの高いリン ク(pppoe2)を利用する。また、他に回線品質の良いリンク(pppoe1)がある場合で も、プライオリティの高いリンク(pppoe2)を利用する。

4-6.

ISDB を利用した SD-WAN ルールの確認 – SLA のしきい値(3)

最後に、SD-WAN ルールの中で複数のパフォーマンス SLA を選択した場合に、リン クがどう切り替わるのかを確認します。PPPoE サーバに設定している遅延設定を削除 し、環境を 4-3 まで戻します。PC(192.168.1.110)からの通信は以下のようになって います。

Office365, Salesforce への通信 → pppoe2 Office365, Salesforce 以外の通信 → pppoe1

左メニュー「ネットワーク」→「パフォーマンス SLA」をクリックし、新規作成をし ます。 名前： DNS_SLA プロトコル： Ping サーバ： 1.1.1.1, 1.0.0.1 参加インターフェース： pppoe1, pppoe2 SLA ターゲット： ターゲット１ 遅延しきい値： 300ms ジッターしきい値： 30ms パケットロスしきい値： 0%

2 つのパフォーマンス SLA を作成することができました。

次に、4-2 で作成した SD-WAN ルールに、この SLA を追加します。左メニュー「ネ ットワーク」→「SD-WAN ルール」をクリックします。「SaaS」をクリックし、必 要な SLA ターゲットに「DNS_SLA#1」を追加します。

では、4-4 と同様に PPPoE サーバで pppoe2 に対して 200ms の遅延を生じさせる設 定をします。左メニュー「ネットワーク」→「パフォーマンス SLA」をクリックし、 遅延状況を確認します。 この時点で、「SaaS_SLA」の遅延しきい値は超えていますが、「DNS_SLA」の遅延 しきい値は超えていません。PC から Office365, Salesforce へアクセスをし、左メニ ュー「ログ＆レポート」→「転送トラフィック」をクリックして、宛先インターフェ

Office365, Salesforce への通信は pppoe1 に切り替わっています。

結論：SD-WAN ルールに複数の SLA ターゲットを設定した場合、一つでも SLA ター ゲットを超えると、リンクは切り替わる

※PPPoE サーバで pppoe1,2 に対して 300ms の遅延を生じさせる設定をした場合、

Office365, Salesforce への通信はプライオリティの高いリンク（pppoe2）へと切り替わりま す。

5. ベストなクオリティ

5-1.

ISDB を利用した SD-WAN ルールの作成 – パフォーマンス SLA

3-3 で PC(192.168.1.110)は pppoe1 を利用していることがわかりました。次に、 Gmail を利用する場合は、品質の良い回線を利用する設定にします。左メニュー「ネ ットワーク」→「パフォーマンス SLA」をクリックし、新規作成をします。 名前： Gmail_SLA プロトコル： Ping サーバ： 8.8.8.8, 8.8.4.4 参加インターフェース： pppoe1, pppoe2

左メニュー「ネットワーク」→「パフォーマンス SLA」をもう一度クリックして画面 をリフレッシュすると、パケットロスの割合、遅延やジッターの状況を確認すること ができるようになります。

5-2.

ISDB を利用した SD-WAN ルールの作成 – SD-WAN ルール

左メニュー「ネットワーク」→「SD-WAN ルール」をクリックし、新規作成をしま す。 名前： Gmail 送信元アドレス： all 宛先： インターネットサービスを選択 「Google-Gmail」を追加 出力インターフェース： ストラテジー： ベストなクオリティ 優先するインターフェース： pppoe2, pppoe1 計測された SLA： Gmail_SLA クオリティクライテリア： 遅延 ※優先するインターフェースは pppoe1,2 のどちらを先に追加しても構いません。 ※設定画面の GUI は次のページにあります。

5-3.

ISDB を利用した SD-WAN ルールの確認

作成した SD-WAN ルールを確認します。クライテリアは遅延になっています。ま た、SD-WAN ルールはファイアウォールポリシーと同様に上から順にチェックしま す。

PC から Gmail へアクセスをし、左メニュー「ログ＆レポート」→「転送トラフィッ ク」をクリックして、宛先インターフェースを確認します。Gmail への通信は pppoe1 を利用しています。なぜなら、pppoe1 の方が pppoe2 よりも遅延していな いからです。 左メニュー「ネットワーク」→「パフォーマンス SLA」を確認します。pppoe1 の方 が遅延していないことがわかります。

5-4.

ISDB を利用した SD-WAN ルールの確認 – 遅延

PPPoE サーバで pppoe1 に対して 50ms の遅延を生じさせる設定をします。左メニュ ー「ネットワーク」→「パフォーマンス SLA」をクリックし、遅延状況を確認しま す。 PC から Gmail へアクセスをし、左メニュー「ログ＆レポート」→「転送トラフィッ ク」をクリックして、宛先インターフェースを確認します。Gmail への通信は pppoe2 へ切り替わりました。

改訂履歴

バージョン リリース日 改訂内容