企業にとってネットワークのダウンは、業務停止につながる重大な問題です。そこで求められるのは、信頼性が高く、高性能なシステムです。
トラフィック増大への対応や、コスト削減と同時に、安定稼動し続けるためのソリューションが、現在、新たな課題となっています。

こういったご要望に対応すべく、F100,F1000、またF100/F1000以降に発売された機器では、回線やルータの障害が発生しても、リカバリー可能な多彩な冗長構成をご提供いたします。

IPsec通信における冗長機能は、大きく分けて以下の３つの機能に分類されます。

　　1．IPsec冗長機能
　　2．Layer3監視機能を用いた冗長機能（F100 Ver1系のみサポート）
　　3．VRRPを用いた冗長機能（F100 Ver1系は未サポート）

「1．IPsec冗長機能」は、メイン経路での通信時と、バックアップ経路での通信時で、IPsec通信を行う相手（VPNピア）が異なる場合に使います。
「2．Layer３監視機能を用いた冗長機能」は、VPNピアが同一の場合や、バックアップ通信を平文で行う場合、あるいは、F100とFITELnet-E30（以後E30と記します）または、F100を２台でグループ化（＊１）したい場合に使います。
「3．VRRPを用いた冗長機能」は、ルータを２台でグループ化して、機器冗長を行いたい場合に使います。

＊１：F100を２台でグループ化する機能は、F100のV01.14のファームウェアからのサポートとなります。


以下に各機能の詳細を説明します。

以下のファームウェアバージョンから、IPsec冗長機能をサポートしました。

対象機種	ファームウェア
FITELnet F60	V01.00(00)(初版) -
FITELnet-F80	V01.00(00)(初版) -
FITELnet-F100 ＊２	V01.05 -
FITELnet-F140	V01.00(00)(初版) -
FITELnet F200	V01.00(00)(初版) -
FITELnet-F1000	V01.00(初版) -
FITELnet F2000　＊３	V01.00(00)(初版) -
FITELnet F2200　＊３	V01.00(00)(初版) -

＊２：IPsec冗長に関する一部の機能については対応バージョンが異なる場合があります。詳細はリリースノートをご参照下さい。
＊３：拠点側のIPsec冗長機能は、F2000,F2200では未サポートです。

SA keep alive機能とは、SAが確立されているかどうかを確認するためのもので、これにより経路の切り替え、切り戻しをを行います。メインSAに障害が生じた場合、拠点側では、keep alive機能により経路障害を検出し、自動でバックアップSAに切り替えます（その際メインSAは開放（削除）します）。
また、バックアップSAによる通信中でも、メインSAのkeep alive動作を継続し、障害が復旧し、メインSAが確立した場合には、バックアップSAを開放し、通信を自動的にメインSAへ切り戻します。

下図の例では、拠点側のF100から、SA監視用のkeep aliveパケットを定期送信し、そのリプライの有無により障害を検知します。keep aliveパケットに対するリプライがない場合、メインSAの障害と判断し、バックアップSAを「F100（バックアップインターフェース）→　F1000#2」へ確立します。

F100,F1000、またF100/F1000以降に発売された機器では、IKEプロトコルのkeep alive機能とICMP echoのkeep alive機能をサポートしています。
F100,F1000、またF100/F1000以降に発売された機器は、デフォルトでIKEのkeep aliveが動作するようになっています（＊４）。
ただし、IKEのkeep aliveを利用する場合は、SAを確立する相手のVPNピアも、IKEのkeep alive機能をサポートしている必要があります。

＊４：F100はV01.11、F1000はV01.04のファームウェアから、IPsec IKE Dead Peer Detection (DPD) 機能に変更になっています（それ以前のファームでは、独自仕様のIKE keep aliveとなっています）。

なお、IPsec冗長機能では、ICMP echoのkeep alive機能を使っています。
keep aliveとしてICMPを利用する場合は、keepaliveコマンドでicmpを指定し、keepalive-icmpコマンドを使用します。

 

＞＞（コマンド例）

Router(config)# crypto isakmp policy 1

Router(config-isakmp)# keepalive icmp
　ICMPのkeep aliveを行う

Router(config-isakmp)# keepalive-icmp source-interface lan 1
　ICMPのkeep aliveパケットの送信元アドレスにLANインターフェースのIPアドレスを使用する

Router(config-isakmp)# keepalive-icmp redundancy interface pppoe 1
　ICMPのkeep aliveを送信するインターフェースをpppoe 1にする

 

またICMPを利用する場合には、タイマ値／送信回数等を設定することができます。

パラメータ：ICMP送信パケット数

　　設定内容：１回（１セット）のkeep aliveで送信するICMPのパケット数

　　設定範囲：1　-　15

　　デフォルト値：4パケット／セット

パラメータ：ICMP失敗パケット数

　　設定内容：１回（１セット）のkeep aliveで送信したICMPパケット数

　　　　　　　　のうち、応答を受取れなかったときにSAの障害と判定する

　　　　　　　　パケット数

　　設定範囲：1　-　15

　　デフォルト値：3パケット／セット

パラメータ：受信セット数

　　設定内容：SA障害が発生したと判断する受信できなかったセット数

　　設定範囲：1　-　10

　　デフォルト値：１セット

パラメータ：送信間隔

　　設定内容：ICMP keep aliveの送信（セット）間隔（秒）

　　設定範囲：5　-　1000

　　デフォルト値：60秒

パラメータ：タイムアウト時間

　　設定内容：１回（１セット）のICMP keep aliveでの、応答待ち間隔（秒）

　　設定範囲：3　-　60

　　デフォルト値：3秒

パラメータ：SA異常時の受信セット数

　　設定内容：SA障害が復旧したと判断する、受信セット数

　　設定範囲：−（固定）

　　デフォルト値：１セット

 

＞＞（コマンド例）

Router(config)# crypto security-association Router(config-crypto-sa)# alive count 4 3
　1回のkeep aliveで4パケットのICMPを送信し、3パケットの応答を受取れなかった場合にSA障害とみなす

Router(config-crypto-sa)# alive timeout 3
　ICMPのkeep aliveのタイムアウト時間を3秒とする

Router(config-crypto-sa)# alive freq 60
　ICMPのkeep aliveを60秒に1回（１セット）の時間間隔で送信する

 

下図に、デフォルト設定時の、ICMPによるkeep alive動作時の、切り替わり／切り戻しタイムチャートの概略図を示します。
（下図は一例を示したものであり、実通信での切り替わり／切り戻し時間は、他のパラメータの設定や異常発生・復旧のタイミングにより異なることがあります）

 

SAの確立／開放に関する情報を、logに残したり電子メールにより通知する機能を備えています。これらの機能により、メイン／バックアップSAの状態を把握することができます。
SAの確立／開放情報はvpnlogに残すことができます。

 

＞＞（コマンド例）

 Router(config)# vpnlog enable

電子メールによる通知では、

　・経路障害が発生し、バックアップ経路へ切替わった時
　・障害発生していたメイン経路が復旧し、切戻った時

に、あらかじめ設定された電子メールアドレスに対し電子メールを送信します。
送信先アドレスは最大５つまで指定可能です。


＞＞（コマンド例）
Router(config)# mail to adminA@xxx.co.jp redundancy
Router(config)# mail to adminB@xxx.co.jp redundancy
Router(config)# mail to adminC@xxx.co.jp redundancy
　3つの電子メールアドレスに対しIPsec冗長に関する情報を送信する

SA keep alive機能で、拠点側のF100は経路異常を自動で検知し、バックアップ経路に切り替えますが、特にセンター側が２台からなる冗長構成の場合、経路異常発生時にセンタ側でも拠点側の切り替わりに連動して異常を把握し、拠点側へのルート情報を更新する必要があります。F100,F1000、またF100/F1000以降に発売された機器では「SAアップルート機能」によりこれを実現します。

VPNのSAが存在する場合、F1000はVPN接続している相手のルート情報をルーティングテーブルにアップし、更にその内容をダイナミックルーティング（RIPv1、RIPv2、BGP4）にてLAN側に通知することができます。

拠点側F100のSA keep alive機能による経路の切り替えにより、センタ側F1000#2へバックアップSAが確立された場合は、F1000#1がルーティングテーブルからルート情報をダウンさせる（拠点からのSAが無くなったことを検知する為に、F1000#1では拠点側に対してICMPのkeep aliveを行います）とともに、新たにSAが張られたF1000#2ではルート情報をアップし、LAN側に対しルート通知を行います。

また、メイン経路復旧時には、拠点側ではSA keep alive機能により経路をメイン側に切り戻しますが、その際、バックアップ側のF1000#2に対し、SAを開放することを告知します（delete message send機能）。これによりF1000#2ではバックアップ経路のSAが開放されることを認識し、LAN側に対しルート情報の変更を通知します。
このように、拠点側のSA keep alive機能と、センタ側のSAアップルート機能により、IPsecでの冗長通信が実現できるようになります。

なお、F1000では、V1.06のファームウェアからVRRPをサポートしましたので、上図に示したセンター側の経路制御用のF100（ルータあるいはL3スイッチ）を設置する必要がなくなりました。

SAアップルートを利用する場合、sa-up routeコマンドによりnexthopを設定します。

＞＞（コマンド例）

Router(config)# crypto map Tokyo 1

Router(config-crypto-map)# sa-up route address 192.168.3.8
　SAアップルートのnexthopに192.168.3.8を指定する

 

SA keep aliveにより、経路切り替えを行う（拠点側の）装置で、バックアップ側のSAに対して設定します。delete message sendを設定することにより、バックアップ回線からメイン回線に復帰するときに、バックアップのVPNピアに対して、Phase1、Phase2のSAのdelete messageを送信します。これにより、メイン回線に復旧する時間を早めることができます。

＞＞（コマンド例）

Router(config)# crypto map 1

Router(config-crypto-map)# set redundancy delete-message-send

メイン経路での通信時とバックアップ経路での通信時で、IPsec通信を行うVPNピアが同一の場合や、バックアップ通信を平文で行うなどの場合には、Layer3監視機能による経路監視と、ユニキャストRIP機能による経路切り替えを行います。
Layer3監視機能では、センター側へのメイン経路を、ルータ内部から一定間隔でpingを送信して監視します。ping応答がなくなったときに経路障害と判断し、バックアップ用のルートへ経路を切り替えます。またping応答の復旧により、経路が回復したと判断し、メイン経路へ切り戻します。
以下の構成例では、拠点側F100からのLayer3監視機能により経路障害を監視しています。

なお、F1000ではLayer3監視機能をサポートしておりません。

pingの送信間隔、ping応答がどれだけ途切れたら障害とみなすか、障害時の送信間隔、ping応答が復旧してから、どれだけ受信したら経路が回復したと判断するか、といったタイマ値を設定することが可能です。

 

パラメータ：送信パケット数

　　設定内容：1回（１セット）の経路監視で送信するLayer3監視

　　　　　　　パケット数（このうち１パケットでも応答があれば、そのセット

　　　　　　　の監視は成功したと見なされます）

　　設定範囲：1　-　16

　　デフォルト値：2パケット／セット

パラメータ：受信セット数

　　設定内容：経路障害が発生したと判断する、受信できなかったセット数

　　設定範囲：2　-　120

　　デフォルト値：4セット

パラメータ：監視パケットの送信間隔

　　設定内容：経路障害が発生していない間のLayer3監視パケットの

　　　　　　　　送信間隔（秒）

　　設定範囲：30　-　1800

　　デフォルト値：30秒

パラメータ：経路異常時の監視パケットの送信間隔

　　設定内容：経路障害が発生している間のLayer3監視パケットの

　　　　　　　　送信間隔（秒）

　　設定範囲：30　-　1800

　　デフォルト値：30秒

パラメータ：経路異常時の受信セット数

　　設定内容：経路障害が復旧したと判断する、受信セット数

　　設定範囲：3　-　180

　　デフォルト値：10セット

 

＞＞（コマンド例）

Router(config)# redundancy pathcheck-list 1

Router(red-pathcheck-list 1)# ip address 192.168.100.100
　Layer3監視を行う相手のIPアドレスを192.168.100.100とする

Router(red-pathcheck-list 1)# ping trial 2
　1回（1セット）の経路監視で2個のLayer3監視パケットを送出する

Router(red-pathcheck-list 1)# pathcheck-fail 4
　Layer3監視パケットの応答を4セット受信できなかった場合に経路障害とみなす

Router(red-pathcheck-list 1)# pathcheck-interval 60
　Layer3監視パケットを60秒間隔で送信する

Router(red-pathcheck-list 1)# restcheck-interval 120
　経路障害発生中はLayer3監視パケットを120秒間隔で送信する

Router(red-pathcheck-list 1)# restcheck-success 20
　Layer3監視パケットの応答を20セット受信できたら経路障害の復旧とみなす

Router(red-pathcheck-list 1)# route pppoe 1
　経路監視対象へのnexthopをpppoe 1とする

Router(red-pathcheck-list 1)# source-interface lan 1
　経路監視パケットの送信元IPアドレスに使用するインターフェースをlan 1とする

Router(config)# redundancy pathfilter-list 1

Router(config-red-pathfilter-list 1)# destination 10.0.0.0 255.0.0.0
　バックアップ対象ネットワークを指定する

Router(config-red-pathfilter-list 1)# pathcheck-list 1
　経路監視相手先の設定としてpathcheck-list 1を結び付ける

Router(config-red-pathfilter-list 1)# 1st pppoe 1
　メイン経路インターフェースをpppoe 1に指定する

Router(config-red-pathfilter-list 1)# 2nd pppoe 5
　バックアップ経路インターフェースをpppoe 5に指定する

 

下図に、デフォルト設定時の、Layer3監視動作時の、切り替わり／切り戻しタイムチャートの概略図を示します。
（下図は一例を示したものであり、実通信での切り替わり／切り戻し時間は、他のパラメータの設定や異常発生・復旧のタイミングにより異なることがあります）

 

ユニキャストRIP機能は、あらかじめ決められた相手にのみRIP情報を送信する機能のことで、この機能を利用することによりIPsec経由でのダイナミックルーティングを実現でき、スタティックルーティングと併用することにより、センター側装置でも障害発生、復旧を認識することができます。

以下の例ではLayer3監視機能とユニキャストRIP機能の両方を利用する場合を示しています。また拠点側では、F100とE30の２台を設置し、グループ化機能を用いることで、機器も含めた冗長構成が可能になっています。

＞＞（コマンド例）
　　（ここではユニキャストRIP機能のコマンド例のみ示します）

 

Router(config)# router rip

Router(config-rip)# neighbor 192.168.100.1
　ユニキャストRIPの相手先アドレスを192.168.100.1に設定する

Router(config-rip)# network pppoe 1
　RIPサービスを提供するインターフェースをpppoe 1に指定する

Router(config-rip)# unicastrip
　ユニキャストRIPの送受信を許可する

Router(config-rip)# version 2
　RIPのバージョンを指定する

もう１台のF100（＊５）あるいはE30と連携して、機器まで含めた冗長構成を取ることができます。これを実現するために、LAN側でルータグループを形成して、ルータ同士でLayer3監視の状態をやり取りすることにより、経路が異常になった場合のバックアップへの切り替え、および、復旧時の切り戻しを行います。LANの端末からは、ルータグループが仮想的に１つのルータとして動作しているように見えます。

＊５：F100のV01.14のファームウェアからサポートしています。

なお、F1000ではグループ化機能をサポートしておりません（F1000でサポートしているVRRPとは異なる機能です。この機能は、古河独自の仮想ルータ機能となります）。

グループ化機能による構成例を以下に示します。

 

F100とE30をグループ化した場合

＊E30をメイン、F100をバックアップとすることはできません。

 

 

F100を２台でグループ化した場合

★V01.14からサポートした構成となります。

＊メイン回線、バックアップ回線のインターフェースとして、BRIを使うことはできません。

グループ化設定時のパラメータとしては以下のようなものがあります。

パラメータ：優先度

　　設定内容：ルータグループ内での優先度（値が小さいほど優先度が高い）

　　設定範囲：1 - 99

　　デフォルト値：1

パラメータ：UDPポート番号

　　設定内容：グループルータ間でデータを送信しあうための

                      UDPポート番号

　　設定範囲：1024 - 65535

　　デフォルト値：55555

パラメータ：代表IPアドレス

　　設定内容：ルータグループの代表IPアドレス

　　設定範囲：IPv4形式

　　デフォルト値：-

パラメータ：送信間隔

　　設定内容：ルータグループ間でやりとりするパケットの送信間隔（秒）

　　設定範囲：5 - 45

　　デフォルト値：5秒

パラメータ：タイムアウト時間

　　設定内容：ルータグループ間のパケットを受信しなかった場合に、

　　　　　　　　そのルータを障害とみなすまでの時間（秒）

　　設定範囲：15 - 100

　　デフォルト値：15秒

パラメータ：応答待ち時間

　　設定内容：ルータグループ内の各ルータからの応答待ち時間（秒）

　　設定範囲：15 - 100

　　デフォルト値：15秒

 

 

＊代表IPアドレス：
ルータグループを形成すると、ルータグループは仮想の１つのルータとして扱われます。代表IPアドレスは、この仮想ルータのIPアドレスとなりますので、LAN上のサブネットのIPアドレスが割り当てられている必要があります。またこの設定は、ルータグループを形成しているルータ同士では、同じIPアドレスとする必要があります。LAN上の端末でデフォルトルートを設定する場合は、この代表IPアドレスを設定するようにしてください。

＞＞（コマンド例）

Router(config)# redundancy router-group

Router(config-red-router-group)# router-group enable

Router(config-red-router-group)# preference 2
　ルータグループ内での優先度を2（バックアップ側）にする

Router(config-red-router-group)# port 55555
　グループルータ間で送信しあうUDPパケットの宛先ポート番号を55555に指定する

Router(config-red-router-group)# ip address 192.168.138.1
　ルータグループの代表IPアドレスを192.168.138.1にする

Router(config-red-router-group)# send-interval 5
　グループルータ間で送信しあうパケットの送信時間間隔を5秒にする

Router(config-red-router-group)# aging time 15
　グループルータからパケットが来ない場合に、そのルータを異常と判断するまでの時間を15秒とする

Router(config-red-router-group)# wait time 15
　グループルータ間で送信しあうパケットの応答監視時間を15秒とする

VRRPでグループ化することにより、機器冗長構成を取ることができます。

対象機種	ファームウェア
FITELnet-F60	V01.00(00)(初版) -
FITELnet-F80	V01.00(00)(初版) -
FITELnet-F100	V02.01(00) -
FITELnet-F140	V01.00(00)(初版) -
FITELnet F200	V01.00(00)(初版) -
FITELnet-F1000	V01.06 -
FITELnet F2000	V01.00(00)(初版) -

VRRP機能により、上図のようなネットワークを構築することができます。
センター側にある２台のF1000のWAN側とLAN側をグループ化して、代表アドレスを設定することにより、あたかも１台の装置のように見せながらも、機器冗長することができます。
万一、メインのF1000#1に故障が発生して、通信できない状況になったとしても、バックアップのF1000#2が代表アドレスを引き継いで通信を開始します。
この時、拠点側のF100では、特別な冗長の設定は不要です。

＜F1000 VRRP機能の特長＞

　・全てのインタフェースでVRRPが動作可能
　・全てのインタフェースで利用するVRRPを連動させることが可能
　・VRRPの仮想アドレスでIPsec通信が可能

 

1 . LAN側/WAN側でVRRPを利用する場合

2 . WAN側のみVRRPを利用する場合

3 . LAN側のみVRRPを利用する場合

★IPsec冗長や負荷分散構成においてL3SWが不要となります。
※F2000は負荷分散構成は対応しておりません。

＊F1000のV01.07までのファームウェアでは、仮想IPアドレスのowner設定（仮想IPアドレスとして、VRRPグループに属するルータの、実IPアドレスを利用する形態）はできません（V01.08のファームウェアより可能となりました）。