IPSec-VPNモニタリング機能
VPN接続をする際に冗長性を持たせるためにメイン/バックアップの2つのトンネルを用意することがしばしばあります。
接続先の障害で切り替わりしますが、ルーティングのメトリックのようなIPでの確認切り替わりだけでなく、トンネルのダウンがおきた時点で可能な限りすぐに切り替わってほしいのでモニタリング機能を整理しました。
設定方法
基本設定
モニタリング設定は「vpn ipsec phase1-interface」内のインタフェース設定で行います。
設定例
config vpn ipsec phase1-interface
edit "VPN_main"
set interface "port1"
set peertype any
set net-device disable
set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
set dpd on-idle
set remote-gw x.x.x.x <-- メインセンタのリモートIP(GIP)
set psksecret XXX
next
edit "VPN_backup"
set interface "port10"
set peertype any
set net-device disable
set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
set dpd on-idle
set remote-gw y.y.y.y <-- バックアップセンタのリモートIP(GIP)
set monitor "VPN_main" <-- モニタ対象のインタフェース
set psksecret ENC XXX
next
end
基本的な設定としてはバックアップ側の設定にモニタ対象のインタフェース名を指定することで有効になります。
復旧時の動作
バックアップに切り替わった後、メイン側が復旧したときの動作を指定できます。
冗長機能などではよく自動/手動の切り戻し方式が選択できますが、本機能は自動切り戻しだけになります。
切り戻しタイミングのみ設定可能です。
| タイミング | 内容 |
|---|---|
| 即時(immediate) | すぐにメインに切り戻す |
| 遅延(delay) | 一定時間(秒)待機後、メインに切り戻す |
| 時間指定(time) | 指定した曜日(or 毎日)/時間になったらメインに切り戻す |
時間指定は説明だけだとわかりにくいので具体例を挙げます。
例1 月曜日の昼(12:00)にバックアップに切り倒し、20時に復旧した場合
| 設定 | 動作 |
|---|---|
| 毎日 0:00 | 火曜日の0時に切り戻し |
| 毎週月曜日 23:00 | 当日の23時に切り戻し |
| 毎週日曜日 0:00 | 6日後の日曜日0時に切り戻し |
例2 月曜日の昼(12:00)にバックアップに切り倒し、23時1分に復旧した場合
| 設定 | 動作 |
|---|---|
| 毎日 0:00 | 火曜日の0時に切り戻し |
| 毎週月曜日 23:00 | 翌週月曜日の23時に切り戻し |
| 毎週日曜日 0:00 | 6日後の日曜日0時に切り戻し |
例3 月曜日の昼(12:00)にバックアップに切り倒し、翌日(火曜日)5時に復旧した場合
| 設定 | 動作 |
|---|---|
| 毎日 0:00 | 水曜日の0時に切り戻し |
| 毎週月曜日 23:00 | 翌週月曜日の23時に切り戻し |
| 毎週日曜日 0:00 | 6日後の日曜日0時に切り戻し |
モニタリング設定値
| 設定値 | 設定内容 | デフォルト値 | 設定範囲 | 備考 |
|---|---|---|---|---|
| set monitor | モニタ機能の有効化、モニタ対象の指定 | 無(未設定) | インタフェース名を指定 | |
| set monitor-hold-down-type | モニター対象のトンネルが再接続した場合の回復時間方式 | immediate | immediate:復旧後即時 delay:一定時間待機 time:指定日時待機 |
|
| set monitor-hold-down-delay | 復旧から切り戻しまでの待機時間(秒) | 0 | 0~31536000 | hold-down-typeが「delay」の時のみ設定可 |
| set monitor-hold-down-time | 復旧している場合の切り戻し時間 | 00:00 | hh:mm (24時間表記) | hold-down-typeが「time」の時のみ設定可 |
| set monitor-hold-down-weekday | 復旧している場合の切り戻し曜日 | sunday | everyday(毎日) sunday(日曜) monday(月曜) tuesday(火曜) wednesday(水曜) thursday(木曜) friday(金曜) saturday(土曜) |
hold-down-typeが「time」の時のみ設定可 |
補足事項
モニタリング機能を有効化した場合、メイン/バックアップのどちらか一つしか「UP」状態にすることができません。
切り倒しが発生したタイミングでメインは「DOWN」、バックアップが「UP」になり、メイン復旧後も切り戻しが発生するまでメインは「DOWN」のままになります。
※トンネルインタフェースのUP/DOWNを管理している場合は注意が必要です
参考
Technical Tip: IPsec VPN: Site-to-Site tunnel monitor
FortiGate v7.0 CLI Reference