はじめに
近年、クラウド化が進むにあたり仮想ルータの必要性も高まっている。
よくある構成として、クラウド側にサーバを配置、拠点側のクライアントがサイト間VPNを通して
サーバ側に通信するというもの。
その際にクラウド側は仮想ルータ、拠点側は物理のルータ機器を導入するパターンがある。
クラウド側は高可用性が保たれているが、拠点側は物理ルータ1台や回線1本の場合そのどちらに障害発生してしまった場合
その時点で通信が途絶えてしまうことになる。
今回はそのような状態を回避する、より可用性の高い構成を構築したので備忘録として記載。
前提
・クラウド側仮想ルータ(SEIL/x86)
・拠点側ルータ(RTX830)×2台
・インターネット回線2本
・常時、2本の拠点間VPN(IPsec)を構成
・マスター側に障害のあった場合。サブ側経路に切り替え
構成概要
・IPsec VPN×2は問題無く張れている前提で。
・経路切替を以下の方法で実装する
【SEILx86側】
・対向のLANのインターフェース(マスター・サブ)にkeepaliveで死活監視
・keepaliveのダウンをトリガーに該当するルーティングを削除
・通常時はマスター側が常に優先されるように、distance設定でルーティングの重みづけ
【RTX側】
・2台のルータでVRRPを構成
・VRRPのshutdown トリガーをSEILのLAN側へのkeepaliveに設定
・上記が動作した場合、VIPが遷移し障害の無い方のルータへクライアントのGWとなるIPが遷移するように設定
【通常時】
【障害時】
設定内容
全てを記載すると長くなってしまうので、今回はSEIL側の以下の設定のみ紹介することにします。
●ルーティング設定(keepalive設定)
route add [RTXマスターLANIP/32] ipsec0 ※keepalive用
route add [RTXサブLANIP/32] ipsec1 ※keepalive用
route add 192.168.1.0/24 ipsec0 distance 10 keepalive on target [RTXマスターLANIP] src [SEIL LANIP]
route add 192.168.1.0/24 ipsec1 distance 100 keepalive on target [RTXサブLANIP] src [SEIL LANIP]
上記のルート設定が上手く動作している場合、SEIL側の経路確認は以下となる。
●通常時ルート
show status route
Destination Gateway Interface Flags Dist.
default ********** lan0 S* 1
192.168.1.0/24 ipsec0 ipsec0 S* 10
RTXマスターLANIP/32 ipsec0 ipsec0 S* 1
RTXサブLANIP/32 ipsec1 ipsec1 S* 1
●障害時ルート※192.168.1.0/24のGWがipsec0→ipsec1
show status route
Destination Gateway Interface Flags Dist.
default ********** lan0 S* 1
192.168.1.0/24 ipsec1 ipsec1 S* 100
RTXマスターLANIP/32 ipsec0 ipsec0 S* 1
RTXサブLANIP/32 ipsec1 ipsec1 S* 1
以上仮想ルータ(SEILx86)における、VPN回線冗長構成の一部の紹介でした。
近年今回のパターンのみならず、クラウドーオンプレミス間の回線冗長構成は必須要件となってくる可能性が高く
他のクラウドやソリューションを使用しての回線冗長構成も学ぶ必要があると思うので、次回は他の構成パターンを記載できるように
しようと思います。