ネットワーク機器トップ
>
製品ラインナップ
>
FITELnet-Fシリーズ
>
FITELnet-F40
・
FITELnet-F100・1000
>
技術情報
> IPsec負荷分散機能について
IPsec負荷分散機能について
2003年10月30日
2003年12月24日 構成例1-3を追加、その他細部の修正
(FITELnet-F100 V01.09、F1000 V01.02でのサポート内容を追加)
2004年 1月16日 FITELnet-F1000に関する内容を追加
2004年 2月 2日 パケットを振り分ける割合について記載
(FITELnet-F100 V01.10、F1000 V01.03でのサポート内容を追加)
FITELnet-F100・F1000では、以下のファームウェアバージョンからIPsec負荷分散機能をサポート しました。
FITELnet-F100 V01.08〜
FITELnet-F1000 V01.00(初版)〜
IPsec負荷分散機能は、IPsecでのサブネット間通信にて、経路(SA)を2つ同時に使用でき、1経路に対する負荷の軽減と、経路障害時に残りの経路(SA)で通信することによりネットワークの耐障害性を向上させる機能です。
以下に想定している構成、注意事項について記載します。
1.想定している構成
設定例につきましては、
こちら
をご参照ください。
本構成例は、FITELnet-F1000〜FITELnet-F100の組み合わせで記載されていますが、F1000〜F1000・F100〜F100の組み合わせでも、これらの構成に対応しています。
1-1 1台2回線と1台2回線の構成
IPsecパケットの振り分けはF1000、F100それぞれで、ユーザデータのsrcアドレス、dstアドレスの組み合わせ毎に自動的に実施されます。また振り分ける割合を設定することもできます。
設定コマンド match address <IPsec access-list番号> multi-pass balance (A)
match address <IPsec access-list番号> multi-pass balance (B)
・F100 V01.09以前、F1000 V01.02以前のバージョン:(A)(B)に入れられる数値は、1〜9の整数
・F100 V01.10以降、F1000 V01.03以降のバージョン:(A)(B)に入れられる数値は、0〜10の整数
((A)と(B)の和は、10にならなくても可)
※1-1構成の場合、SAを確立しに行く側のどちらか1回線(相手のEWAN2側とSAを確立する回線)は、固定アドレスとする必要があります。
(F1000のファームウェアバージョンV01.00〜V01.01とF100のファームウェアバージョンV01.08の場合です)
(F1000のファームウェアバージョンV01.02〜とF100のファームウェアバージョンV01.09〜の場合、2回線とも不定アドレスとすることができます)
1-2 2台各1回線と1台2回線の構成
拠点B→拠点A方向のIPsecパケットの振り分けは、1−1構成と同様です。
拠点A→拠点B方向は、sa-upルート機能で生成されたルート情報に従います。
1-3 2台各1回線と1台1回線の構成
拠点B→拠点A方向のIPsecパケットの振り分けは、1−1構成と同様です。
拠点A→拠点B方向のIPsecパケットの振り分けは、1−2構成と同様です。
※1-3構成は、拠点Bの装置のファームウェアバージョンが、F1000の場合V01.02以降、F100の場合V01.09以降でのサポートになります。
2.注意事項
IPsec負荷分散機能を使う場合、負荷分散対象パケットに対して、学習フィルタリング(dynamic)機能を使うことはできません。
一方の拠点のF100(F1000)側でVPN-NAT機能を設定していると、もう一方の拠点のF100(F1000)側でIPsec負荷分散機能を設定できません。
IPsec負荷分散先のpeerに対して、IPsec負荷分散対象以外のSAを設定することはできません。
以 上
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2004