■ 構築問題 第十五問
おね〜さんと、
ほげたんのっ!!
3 Minutes Networking、
Step by Step !!
さてさて〜っと。前回で基本形が出来上がって、設定も終わったわけね。
そだね。FWがあって、DMZがあって、外部接続ルータがあって…って状態、これが基本ってことでしょ。
そうそう。そうね、テクニカルエンジニア(ネットワーク)の午後問題でいえば、セントラルオフィスがこの形になっていることがほとんどね。
セントラルオフィス? ……あぁ、本社?
また身も蓋もないいいかたよね。でも、問題的には「本社」かな、確かに。
で、今後はこれにいろいろくっつけたりするわけよ。
いろいろって?
IP-VPNとか、モバイルアクセスとか、IDCとかよ。
で、今回は何をつけてもらおうかしら?……高可用性なんてどう?
高可用性をつける? どこの? サーバ?
外部接続への経路、にしましょう。
外部接続の高可用性を確保しなさい
[FigureSS15-01:第十五問]
- 内部LANからの外部への接続の信頼性を高めなさい
- 現在のネットワーク構成は第十四回の問題と同じとする
可用性の確保……。
やって欲しいのは、内部LANから外部接続までの経路の高可用性の確保ね。
つまり、ファイアウォールから先は考えなくていいわ、今回は。
■ 構築問題 第十五問 解答
えぇ〜っと。外部接続への経路の高可用性…。
ってことは、この部分だよね。
[FigureSS15-02:可用性を高める部分]
そうね、そうなるわね。
可用性を高めるには……、もちろん冗長化だよね。
うん、いいわね。
次は?
この場合、冗長化する必要があるのは……、ルータの冗長化と、ルータ〜FW間の経路の冗長化かな?
ふむふむ?
ルータの冗長化、つまり内部LANのワークグループのPCのデフォルトゲートウェイを冗長化することに他ならないっ!!
断言しちゃってかっこいいわね、ほげたん。
つまり、HSRP!!
なんでそこでCisco人の発想なのよ。
標準化してよ。
標準化標準化……VRRP?
[FigureSS15-03:ほげたんの解答]
ふ〜ん。
あれ? 反応が薄い? 間違った?
いえ、VRRPで問題ないわよ。でも、ほげたんの図だけじゃダメ。
どういう設定にするのか、が問題よ。
設定…。設定…。
[FigureSS15-04:VRRP設定・図]
| ルータ | インタフェース | IPアドレス | VRRPグループ | プライオリティ |
|---|---|---|---|---|
| ルータA | E0 | 172.16.0.1 | ||
| E1 | 172.16.1.11 | 1 | 254 | |
| E2 | 172.16.2.11 | 2 | 254 | |
| ルータB | E0 | 172.16.0.2 | ||
| E1 | 172.16.1.12 | 1 | 1 | |
| E2 | 172.16.2.12 | 2 | 1 | |
| 仮想ルータX | E1 | 172.16.1.1 | 1 | |
| E2 | 172.16.2.2 | 2 |
[TableSS15-01:VRRP設定]
こんな感じ?
プライオリティは高い方がアクティブルータね。
うん、いいんじゃないかな。VRRPグループ別に書くとこんな感じなわけでしょ?
| VRRPグループ | 仮想IPアドレス | ルータ | インタフェース・IPアドレス | プライオリティ |
|---|---|---|---|---|
| 1 | 172.16.1.1 | ルータA | E1/172.16.1.11 | 254 |
| ルータB | E1/172.16.1.12 | 1 | ||
| 2 | 172.16.2.1 | ルータA | E2/172.16.2.11 | 254 |
| ルータB | E2/172.16.2.12 | 1 |
[TableSS15-02:VRRP設定・グループ]
そうねぇ、これでもいいけど。
これだと、どっちのネットワーク(VRRPグループ)でもルータAがアクティブでしょ? 負荷分散考えてみてよ。
ろーどばらんしんぐ? え?
……負荷分散装置を置く、とか?
いえ、そうじゃなくて。
こうするの。
| VRRPグループ | 仮想IPアドレス | ルータ | インタフェース・IPアドレス | プライオリティ |
|---|---|---|---|---|
| 1 | 172.16.1.1 | ルータA | E1/172.16.1.11 | 254 |
| ルータB | E1/172.16.1.12 | 1 | ||
| 2 | 172.16.2.1 | ルータB | E2/172.16.2.12 | 254 |
| ルータA | E2/172.16.2.11 | 1 |
[TableSS15-03:VRRP設定・負荷分散]
ルータBをVRRPグループ2のアクティブに?
そうすれば、障害が発生しない場合、VRRPグループ1はルータAに。VRRPグループ2はルータBに送るでしょ? 負荷分散するわけ。
あぁ、なるほど。
で、ほげたん?
私は「外部接続への経路を高可用性にしなさい」といったでしょ? 足りないわよ?
足りない? どこ?
自分で言ったじゃない。「ルータ〜FW間の経路の冗長化」って。
あ…。そうだった。
じゃあ、こう?
[FigureSS15-05:VRRP設定・2]
ん〜。まぁ、ちょっとツッコむ所あるけど、とりあえずこれでいいとしましょ。
どっか間違ってる?
それは最後で話すわ。とりあえず、VRRP設定してね。
なんだろ?
とりあえず、設定はこれ。
| ファイアウォール | インタフェース | IPアドレス | VRRPグループ | プライオリティ |
|---|---|---|---|---|
| FW-A | LAN | 172.16.0.251 | 11 | 254 |
| DMZ | 172.16.10.11 | 12 | 1 | |
| WAN | 200.100.10.2 | 13 | 254 | |
| FW-B | LAN | 172.16.0.252 | 11 | 1 |
| DMZ | 172.16.10.12 | 12 | 254 | |
| E2 | 200.100.10.3 | 13 | 1 | |
| 仮想FW-X | LAN | 172.16.0.254 | 11 | |
| DMZ | 172.16.10.1 | 12 | ||
| OUT | 172.16.10.14 | 13 |
[TableSS15-04:VRRP設定・2]
うん。ま、いいでしょ。
でね、ほげたん。ファイアウォールのVRRPによる冗長化は問題があるの。
問題? どんな?
セッションの問題、というかNAPTの問題ね。
[FigureSS15-06:FWフェイルオーバの問題点]
そうか、NAT・NAPTテーブルは個別に持つから、ダメになっちゃうんだ。
そう、セッションの情報までは共有する仕組みじゃないからね。
ルータならこういうことないからいいんだけど。
そだね。ルータならルーティングするだけだからね。
まぁ、ファイアウォールが個別で持ってるフェイルオーバ機能だったりすると、こういうセッションの問題も解決したりするんだけど。
それは製品別になっちゃうから、ま、いいわね。
へ〜。
そういえば、さっきいってたツッコミどころって何?
あぁ、うん。
さっきのほげたんのだと、スイッチが冗長化されてないから、完全に冗長化されているとは言えないのよ。
[FigureSS15-07:未冗長化部分]
あぅ。そういわれれば…。
なので、ホントは、STPも組み合わせてのこういう形がいいんじゃないかと。
[FigureSS15-08:冗長化構成]
赤い線が変更点ね。
うわ、線だらけ。
冗長化していくと、こうなっちゃうわよねぇ。
だよね。
今回は、VRRPを覚えておくことと、冗長化の場合の構成をどうするか、という話なわけ。
特に、冗長化構成の場合の、構成図ね。
線だらけにしろってことだね。
まぁ、結果的にそうなっちゃうけど、要は一ヶ所に集約しちゃう場所を無くす、ってことを念頭におきなさいってこと。
さっきの僕の構成図だと、ルータ〜FW間のスイッチで線が集約してるってことだね。
そういうこと。じゃまた次回ね。
おね〜さんと、
ほげたんのっ!!
3 Minutes Networking、
Step by Step !! でした〜〜〜っ!!
まったね〜〜〜!!