オーバーレイVPN
エッジ装置間でトンネル接続を行い、暗号化されたVPNを構築する機能です。
インターネットに接続できる環境であれば、アクセス回線に依存することなくVPNを構築できます。
<目次>
-接続方式とネットワークトポロジ
・接続区間と方式
・ネットワークトポロジ
・経路数の上限
-動作環境
・WAN側接続方式でPPPoEを利用する際のご留意事項
・WAN側接続方式でDHCPを利用する際のご留意事項
・ZTP(ゼロ・タッチ・プロビジョニング)実行時に必要な通信先ポート番号一覧
・オーケストレーターおよび他拠点のエッジ装置との接続に必要な通信先ポート番号一覧
-ヘッドレスモード
・ヘッドレスモードとは
・ヘッドレスモードとなる例
・ヘッドレスモードでのエッジ装置の動作
・ヘッドレスモードが動作しているか確認方法
・対処方法
接続方式とネットワークトポロジ
接続区間と方式
エッジ装置はオーケストレータおよび他拠点のエッジ装置とトンネル接続を行います。
通信はデータグラム通信の暗号化プロトコルであるDatagram Transport Layer Security(DTLS)により暗号化されます。
オーケストレーターおよび他拠点のエッジ装置とのトンネル接続はエッジ装置の起動時に自動で開始され、常時接続を行います。ご利用中に環境に新規のエッジ装置を追加する場合も、そのエッジ装置のWAN設定を行うと自動でトンネル接続されVPNを構築します。
接続区間 | 通信内容 | プロトコル |
オーケストレーター~エッジ装置 | 制御通信 (Cプレーン) | DTLS |
エッジ装置~エッジ装置 | お客さまデータ通信 (Dプレーン) | DTLS |
ネットワークトポロジ
VPNのトポロジは「フルメッシュトポロジ」のみとなります。「フルメッシュトポロジ」はすべての拠点同士で直接トンネル接続を行うトポロジであり、通信が1拠点に集中する可能性が低く信頼性の高いトポロジとなります。
拠点数の上限は次のとおりです。
上限単位 | お客様ネットワーク構成 | 最大収容拠点数 |
1テナント あたり |
WAN×1ポート、LAN×1ポートの構成の場合 |
200拠点 |
WAN-1:インターネット、WAN-2:閉域ネットワーク、 |
200拠点 | |
WAN-1:インターネット+WAN-2:インターネット |
100拠点 |
経路数の上限
エッジ装置1台に対して設定できる静的経路(Staticルート)は最大60経路 (LAN側IFが属する経路を含めると最大61経路) となります。
また、VPNあたりの最大経路数は合計2,000経路までとなります。
1拠点あたり10経路程度の利用を想定しております。
上限単位 | 最大ご利用経路数 |
1エッジ装置あたり Staticルートご利用時 |
61経路(LAN-I/Fセグメント含む) |
1VPNあたり | 2,000経路 |
動作環境
-
オーケストレーターや他拠点のエッジ装置との接続はインターネット環境を経由します。インターネットに接続可能な回線をご用意ください。
トンネル接続の際に、複数のグローバルIPアドレスや、FQDNによる名前解決と解決されたIPアドレスに対する通信が行われます。 -
お客さま宅内ルータやファイアウォール、インターネットサービスプロバイダ(ISP)側のキャリアグレードNATの設定により、NAT方式がSymmetricNATの場合は動作しないことがあります。
動作するNATの組み合わせは以下の通りです。(拠点Aー拠点Bで通信をしているものとします)
拠点B Full Cone NAT Address Restrict Cone NAT Port Restrict Cone NAT Symmetric NAT 拠点A Full Cone NAT 〇 〇 〇 〇 Address Restrict Cone NAT 〇 〇 〇 〇 Port Restrict Cone NAT 〇 〇 〇 Dプレーントンネルが確立しません Symmetric NAT 〇 〇 〇 Dプレーントンネルが確立しません - MSS調整機能(MSSクランプ)が有効ではない環境では動作しないことがあります。
- ZTP時には1GB程度の最新ファームウェアをダウンロードいたしますので、ご利用される回線は最低でも1Mbps程度のスループットが期待できる回線をご利用ください。
WAN側接続方式でPPPoEを利用する際のご留意事項
WAN側接続方式でDHCPを利用する際のご留意事項
オーケストレーター #5以降をご利用のお客様
ZTP(ゼロ・タッチ・プロビジョニング)実行時に必要な通信先ポート番号一覧
送信元IPアドレス |
送信元ポート番号 | 宛先IPアドレス/FQDN | 宛先ポート番号 |
自拠点のWAN-IP |
UDP(任意のポート)※1 |
DNSサーバ (DHCP払い出しアドレス) |
UDP 53 |
自拠点のWAN-IP |
TCP(任意のポート)※1 | ztpserver.cloudwan.io ※2 | TCP 443 |
自拠点のWAN-IP |
TCP(任意のポート)※1 | 34.146.141.105/32 | TCP 443 |
自拠点のWAN-IP |
TCP(任意のポート)※1 | 34.146.141.105/32 | TCP 8444 |
オーケストレーターおよび他拠点のエッジ装置との接続に必要な通信先ポート番号一覧
送信元IPアドレス |
送信元ポート番号 | 宛先IPアドレス/FQDN | 宛先ポート番号 |
自拠点のWAN-IP |
UDP(任意のポート)※1 |
DNSサーバ |
UDP 53 |
自拠点のWAN-IP |
UDP(任意のポート)※1 | stun.l.google.com ※2 | UDP 19302 |
自拠点のWAN-IP |
UDP(任意のポート)※1 |
34.97.222.188/32 |
UDP 443 |
自拠点のWAN-IP |
TCP(任意のポート)※1 | 34.146.141.105/32 | TCP 443 |
自拠点のWAN-IP |
TCP(任意のポート)※1 | 34.146.141.105/32 | TCP 8444 |
自拠点のWAN-IP |
UDP(任意のポート)※1 | 対向拠点のWAN-IP | UDP(任意のポート)※1 |
自拠点のWAN-IP |
UDP 123 | ntp.ubuntu.com ※2 | UDP 123 |
自拠点のWAN-IP |
TCP(任意のポート)※1 |
iso-server.onewan.cloud ※2 180.55.188.255/32, |
TCP 443 |
※1 Well Known Port(0-1023)以外でランダムにポートが選択されます。
※2 FQDNからDNSで解決されるIPアドレスは予告なく変更される場合があります。FQDNに基付いた動的な判定が必要となります。
ヘッドレスモード
ヘッドレスモードとは
エッジ装置はCプレーンとDプレーン、2種類のトンネルを確立します。Cプレーントンネルはオーケストレータと確立し、サービスを提供するために必要な制御通信(エッジ装置やネットワークの状態、設定値や経路情報などの授受)を行います。一方で、エッジ装置間で確立し、拠点間通信を行うためのトンネルがDプレーントンネルです。
Dプレーントンネルが確立した状態で、Cプレーントンネルのみが切断された状態に陥る場合があります。この状態を「ヘッドレスモード」と言います。ヘッドレスモードでは制御系通信ができていないため、特定条件を満たすとDプレーントンネルも切れて通信断が発生します。
ヘッドレスモードとなる例
WAN1ポートにインターネット回線を、WAN2ポートに閉域網を接続している回線冗長の構成、
かつWAN1ポートの回線故障によりインターネット通信ができず、WAN2ポートのみで拠点間通信ができている状態
ヘッドレスモードでのエッジ装置の動作
「ヘッドレスモード」に移行した状態で以下のいずれかの条件に該当すると通信ができなくなります。
- ヘッドレスモード移行後、48時間経過
-
エッジ装置の再起動
いずれの場合もCプレーントンネル切断前に保持していた情報が削除され、通信できなくなります。
ヘッドレスモードの確認方法
以下の状態の場合、エッジ装置がヘッドレスモードに陥っている可能性がございます。
- 拠点監視アラームを検出しているが、その拠点と通信ができている
- コントロールパネルではエッジ装置のステータスが「Down」であるが、その拠点と通信ができている
対処方法
ヘッドレスモードとなってしまった場合(Cプレーントンネル切断)、まずはインターネット回線の復旧対処が必要となります。
お申込みプランや事象により復旧手順が異なりますため、 具体的な復旧手順はこちらをご確認ください。
コメント
0件のコメント
記事コメントは受け付けていません。