Transit Router IPsec-VPN connection の Active/Standby 構成を検証してみました

はじめに

Alibaba CloudのIPsec-VPN connectionには、VPN Gatewayに関連付けるタイプとTransit Routerに関連付けるタイプの2種類があります。どちらも1つのconnectionでデュアルトンネルをサポートしていますが、以下のような違いがあります。

・VPN Gatewayに関連付けた場合：デュアルトンネルはActive/Standby構成になります。

・Transit Routerに関連付けた場合：デュアルトンネルはECMP（等価コストマルチパスルーティング）になります。

Active/Standby構成を求める場合にはVPN Gatewayを使用しても問題ありませんが、接続先のVPC数が増えると、それぞれのVPCに対してVPN Gatewayを用意する必要があり、コストやルーティング設計が複雑になります。

これに対し、CENのTransit Routerに関連付けた場合、オンプレミス環境からCENに接続されたすべてのVPCへ手軽にアクセスできるメリットがあります。そのため、2つのTransit Router IPsec-VPN connectionを利用してActive/Standby構成を実現できないかと考え、検証してみました。

概要構成図

検証環境について簡単に説明します。

オンプレミス環境（VPCで模擬）には、2台のECSにFortiGateを構築し、冗長構成のゲートウェイとしてシミュレーションをおこないます。

クラウド環境のVPCはCENにアタッチし、そのCEN上に2つのTransit Router IPsec-VPN connectionを作成します。それぞれのIPsec-VPN connectionがオンプレミス環境のゲートウェイとの間でIPsecトンネルを確立します。本来、IPsec-VPN connectionはデュアルトンネル（Tunnel1とTunnel2）の設定が可能ですが、今回はシングルトンネル（Tunnel1のみ使用）として利用します。

1．オンプレミスとクラウド環境の構築

下記手順を繰り返して、2セットの環境を作成します。

※本検証では、オンプレミス環境をVPCで模擬します。

1-1. CIDRを指定してVPCを作成します。

1-2. VPCの内、CIDRを指定してVSwitchを作成します。

1-3. VSwitch配下に、ECSのプライベートIPを指定してECSインスタンスを作成します。

2．CEN環境とIPsec-VPN接続の構築

以前の記事「Alibaba Cloud CEN の IPsec-VPN connection を使ってみました」で詳細な作成手順を紹介していますので、参照してください。

2-1. CENとTransit Router（TR）を作成します。

2-2. クラウド環境のVPCをTRにアタッチします。

2-3. TR IPsec connection_A を作成します。

2-4. TR IPsec connection_B を作成します。

3．FortiGateの設定手順

3-1. FortiGate_Aにログインします。

3-2. 手順2-3で作成したTR IPsec connection_Aに向けてIPsecトンネルを作成します。

3-3. TR IPsec connection_A向けのStatic Routeを作成します。

3-4. TR IPsec connection_Aとの通信を許可するFirewall Policy を作成します。

3-5. 手順3-1から3-4を繰り返して、FortiGate_BにもTR IPsec connection_B向けのIPsec tunnel の設定を行います。

3-6.Alibaba CloudコンソールでTR IPsec connection_AとTR IPsec connection_Bの両方が正常に接続されていることを確認します。

※前述の通り、今回はそれぞれのTunnel1のみ使用しますので、Tunnel2はDownになっています。

4. デフォルト構成のルーティング確認

4-1. TRのルートテーブルを確認し、10.0.0.0/24への通信がECMP（等価コストマルチパスルーティング）で構成されていることを確認します。

・宛先：10.0.0.0/24　状態：Available　NextHop：TR IPsec connection_A

・宛先：10.0.0.0/24　状態：Available　NextHop：TR IPsec connection_B

4-2. クラウド側のECSからFortiGate_AおよびFortiGate_Bへの疎通確認を行います。

・FortiGate_AへのPing：通ったり通らなかったりします。通信がTR IPsec connection_Aに向いた場合は通りますが、TR IPsec connection_Bに向いた場合は通りません。

・FortiGate_BへのPing：同様にTR IPsec connection_Bに向いた場合は通りますが、TR IPsec connection_Aに向いた場合は通りません。

デフォルト設定ではECMP（等価コストマルチパスルーティング）が使用されるため、Active/Standby構成にはなりません。

Active/Standby構成にするには、以下の設定を実施します。

5. Active/Standby構成のルーティング設定

ルーティングポリシーで特に指定しない場合、各エントリーのRoute priorityはデフォルトで50になります。数値が小さいほど優先度が高くなりますので、ルーティングポリシーでTR IPsec connection_AのRoute priorityを1に設定することで、TR IPsec connection_BのデフォルトRoute priorityの50よりも優先されます。

5-1. TRのルーティングポリシーにて、以下のポリシーを作成します。

Policy Priority: 1
Direction: Ingress Regional Gateway
Source Instance ID: TR IPsec connection_A
Policy Action: Allow
Route Priority: 1

5-2. TRのルートテーブルを確認し、10.0.0.0/24への通信がActive/Standbyに変わったことを確認します。

・宛先：10.0.0.0/24　状態：Available　NextHop：TR IPsec connection_A

・宛先：10.0.0.0/24　状態：Candidate　NextHop：TR IPsec connection_B

5-3. クラウド側のECSからFortiGate_AおよびFortiGate_Bへの疎通確認を行います。

・FortiGate_AへのPing: 通ります。

・FortiGate_BへのPing: 通りません。

5-4. FortiGate_A側でIPsec tunnelを切断後、TRのルートテーブルを確認し、Candidateエントリーが自動的にAvailableに切り替わることを確認します。

・宛先：10.0.0.0/24　状態：Available　NextHop：TR IPsec connection_B

※TR IPsec connection_Aへのエントリーは消えました。

5-5. クラウド側のECSからFortiGate_AおよびFortiGate_Bへの疎通確認を行います。

・FortiGate_AへのPing: 通りません。

・FortiGate_BへのPing: 通ります。

5-6. FortiGate_A側でIPsec tunnelを復活後、10.0.0.0/24への通信がActive/Standbyに戻ったことを確認します。

・宛先：10.0.0.0/24　状態：Available　NextHop：TR IPsec connection_A

・宛先：10.0.0.0/24　状態：Available　NextHop：TR IPsec connection_B

5-7. クラウド側のECSからFortiGate_AおよびFortiGate_Bへの疎通確認を行います。

・FortiGate_AへのPing: 通ります。

・FortiGate_BへのPing: 通りません。

まとめ

今回の検証では、Alibaba CloudのTransit Router IPsec-VPN connectionを使用したActive/Standby構成について詳細に説明し、その効果を確認しました。

ECMP（等価コストマルチパスルーティング）とActive/Standby構成の違いを理解し、適切なルーティングポリシーを設定することで、期待するネットワーク動作を実現できることがわかりました。

接続先の数が増えた場合のコストやルーティング設計の複雑さを考慮すると、Transit Routerを利用して広範なVPC間のアクセスを効率的に管理できる点は非常に有用です。

最後に、実際のネットワーク運用においても今回の検証結果を活用し、ネットワーク最適化を行う際の参考にしていただければ幸いです。

関連サービス