3 Minutes Networking Step-by-Step
No.15

ネットワークなぜなに講座

構築第15回内部LANの設定を見直そう

■ 構築問題 第十五問

おねーさん

おね〜さんと、

ほげたん

ほげたんのっ!!

おねーさん

3 Minutes Networking、

ほげたん

Step by Step !!

おねーさん

さてさて〜っと。前回で基本形が出来上がって、設定も終わったわけね。

ほげたん

そだね。FWがあって、DMZがあって、外部接続ルータがあって…って状態、これが基本ってことでしょ。

おねーさん

そうそう。そうね、テクニカルエンジニア(ネットワーク)の午後問題でいえば、セントラルオフィスがこの形になっていることがほとんどね。

ほげたん

セントラルオフィス? ……あぁ、本社?

おねーさん

また身も蓋もないいいかたよね。でも、問題的には「本社」かな、確かに。
で、今後はこれにいろいろくっつけたりするわけよ。

ほげたん

いろいろって?

おねーさん

IP-VPNとか、モバイルアクセスとか、IDCとかよ。
で、今回は何をつけてもらおうかしら?……高可用性なんてどう?

ほげたん

高可用性をつける? どこの? サーバ?

おねーさん

外部接続への経路、にしましょう。

外部接続の高可用性を確保しなさい

第十五問

[FigureSS15-01:第十五問]

  • 内部LANからの外部への接続の信頼性を高めなさい
ほげたん

可用性の確保……。

おねーさん

やって欲しいのは、内部LANから外部接続までの経路の高可用性の確保ね。
つまり、ファイアウォールから先は考えなくていいわ、今回は。

解答は非表示になっています。自分なりの答えができた方は表示させてください

■ 構築問題 第十五問 解答

ほげたん

えぇ〜っと。外部接続への経路の高可用性…。
ってことは、この部分だよね。

可用性を高める部分

[FigureSS15-02:可用性を高める部分]

おねーさん

そうね、そうなるわね。

ほげたん

可用性を高めるには……、もちろん冗長化だよね。

おねーさん

うん、いいわね。
次は?

ほげたん

この場合、冗長化する必要があるのは……、ルータの冗長化と、ルータ〜FW間の経路の冗長化かな?

おねーさん

ふむふむ?

ほげたん

ルータの冗長化、つまり内部LANのワークグループのPCのデフォルトゲートウェイを冗長化することに他ならないっ!!

おねーさん

断言しちゃってかっこいいわね、ほげたん。

ほげたん

つまり、HSRP!!

おねーさん

なんでそこでCisco人の発想なのよ。
標準化してよ。

ほげたん

標準化標準化……VRRP

ほげたんの解答

[FigureSS15-03:ほげたんの解答]

おねーさん

ふ〜ん。

ほげたん

あれ? 反応が薄い? 間違った?

おねーさん

いえ、VRRPで問題ないわよ。でも、ほげたんの図だけじゃダメ。
どういう設定にするのか、が問題よ。

ほげたん

設定…。設定…。

VRRP設定・図

[FigureSS15-04:VRRP設定・図]

ルータインタフェースIPアドレスVRRPグループプライオリティ
ルータAE0172.16.0.1  
E1172.16.1.111254
E2172.16.2.112254
ルータBE0172.16.0.2  
E1172.16.1.1211
E2172.16.2.1221
仮想ルータXE1172.16.1.11 
E2172.16.2.22 

[TableSS15-01:VRRP設定]

ほげたん

こんな感じ?
プライオリティは高い方がアクティブルータね。

おねーさん

うん、いいんじゃないかな。VRRPグループ別に書くとこんな感じなわけでしょ?

VRRPグループ仮想IPアドレスルータインタフェース・IPアドレスプライオリティ
1172.16.1.1ルータAE1/172.16.1.11254
ルータBE1/172.16.1.121
2172.16.2.1ルータAE2/172.16.2.11254
ルータBE2/172.16.2.121

[TableSS15-02:VRRP設定・グループ]

おねーさん

そうねぇ、これでもいいけど。
これだと、どっちのネットワーク(VRRPグループ)でもルータAがアクティブでしょ? 負荷分散考えてみてよ。

ほげたん

ろーどばらんしんぐ? え?
……負荷分散装置を置く、とか?

おねーさん

いえ、そうじゃなくて。
こうするの。

VRRPグループ仮想IPアドレスルータインタフェース・IPアドレスプライオリティ
1172.16.1.1ルータAE1/172.16.1.11254
ルータBE1/172.16.1.121
2172.16.2.1ルータBE2/172.16.2.12254
ルータAE2/172.16.2.111

[TableSS15-03:VRRP設定・負荷分散]

ほげたん

ルータBをVRRPグループ2のアクティブに?

おねーさん

そうすれば、障害が発生しない場合、VRRPグループ1はルータAに。VRRPグループ2はルータBに送るでしょ? 負荷分散するわけ。

ほげたん

あぁ、なるほど。

おねーさん

で、ほげたん?
私は「外部接続への経路を高可用性にしなさい」といったでしょ? 足りないわよ?

ほげたん

足りない? どこ?

おねーさん

自分で言ったじゃない。「ルータ〜FW間の経路の冗長化」って。

ほげたん

あ…。そうだった。
じゃあ、こう?

VRRP設定・2

[FigureSS15-05:VRRP設定・2]

おねーさん

ん〜。まぁ、ちょっとツッコむ所あるけど、とりあえずこれでいいとしましょ。

ほげたん

どっか間違ってる?

おねーさん

それは最後で話すわ。とりあえず、VRRP設定してね。

ほげたん

なんだろ?
とりあえず、設定はこれ。

ファイアウォールインタフェースIPアドレスVRRPグループプライオリティ
FW-ALAN172.16.0.25111254
DMZ172.16.10.11121
WAN200.100.10.213254
FW-BLAN172.16.0.252111
DMZ172.16.10.1212254
E2200.100.10.3131
仮想FW-XLAN172.16.0.25411 
DMZ172.16.10.112 
OUT172.16.10.1413 

[TableSS15-04:VRRP設定・2]

おねーさん

うん。ま、いいでしょ。
でね、ほげたん。ファイアウォールのVRRPによる冗長化は問題があるの。

ほげたん

問題? どんな?

おねーさん

セッションの問題、というかNAPTの問題ね。

[FigureSS15-06:FWフェイルオーバの問題点]

ほげたん

そうか、NAT・NAPTテーブルは個別に持つから、ダメになっちゃうんだ。

おねーさん

そう、セッションの情報までは共有する仕組みじゃないからね。
ルータならこういうことないからいいんだけど。

ほげたん

そだね。ルータならルーティングするだけだからね。

おねーさん

まぁ、ファイアウォールが個別で持ってるフェイルオーバ機能だったりすると、こういうセッションの問題も解決したりするんだけど。
それは製品別になっちゃうから、ま、いいわね。

ほげたん

へ〜。
そういえば、さっきいってたツッコミどころって何?

おねーさん

あぁ、うん。
さっきのほげたんのだと、スイッチが冗長化されてないから、完全に冗長化されているとは言えないのよ。

未冗長化部分

[FigureSS15-07:未冗長化部分]

ほげたん

あぅ。そういわれれば…。

おねーさん

なので、ホントは、STPも組み合わせてのこういう形がいいんじゃないかと。

冗長化構成

[FigureSS15-08:冗長化構成]

おねーさん

赤い線が変更点ね。

ほげたん

うわ、線だらけ。

おねーさん

冗長化していくと、こうなっちゃうわよねぇ。

ほげたん

だよね。

おねーさん

今回は、VRRPを覚えておくことと、冗長化の場合の構成をどうするか、という話なわけ。
特に、冗長化構成の場合の、構成図ね。

ほげたん

線だらけにしろってことだね。

おねーさん

まぁ、結果的にそうなっちゃうけど、要は一ヶ所に集約しちゃう場所を無くす、ってことを念頭におきなさいってこと。

ほげたん

さっきの僕の構成図だと、ルータ〜FW間のスイッチで線が集約してるってことだね。

おねーさん

そういうこと。じゃまた次回ね。
おね〜さんと、

ほげたん

ほげたんのっ!!

おねーさん

3 Minutes Networking、

ほげたん

Step by Step !! でした〜〜〜っ!!
まったね〜〜〜!!

3 Minutes Networking Step-by-Step No.15

管理人:aji-ssz(at)selene.is.dream.jp