マルチアップリンク IPsec VPN
このドキュメントは原文を 2025年08月01日付けで翻訳したものです。
最新の情報は原文をご確認ください。
マルチアップリンク IPsec VPN
概要
マルチアップリンク IPsec VPN トンネルは、すべての利用可能なアップリンクを使って同じリモートピアに同時接続を確立することで、ネットワークの帯域幅と信頼性を最大化します。単一アップリンク上でプライマリ/バックアップトンネルを使う場合は帯域幅が十分に活用できない可能性がありますが、この機能では複数の並列 IPsec VPN トンネルを作成し、パフォーマンスと冗長性を強化します。
前提条件
-
MX ファームウェア 19.2.x を実行
-
IKEv2
-
ルーティング設定は「スタティック」。ダイナミック/BGP は非対応です。
機能
Active Active IPsec を有効にすると、システムはすべての利用可能なアップリンクで指定したリモートピアへの IPsec トンネルを自動的に確立します。トラフィックは正常なすべてのトンネル間でインテリジェントにロードバランスされ、パフォーマンスの向上と冗長化が実現されます。いずれかのトンネルが利用できなくなった場合でも、トラフィックは残りのアクティブな接続へシームレスに再分配されます。
この機能は主に Secure Internet のユースケースで複数のインターネット接続の帯域幅を最大限活用したい組織や、SSE PoP への接続を目的とした環境向けです。
主なメリット
- 帯域幅の向上:複数のアップリンクの帯域幅を集約して、より高いスループットを実現します。
- 信頼性の向上:トラフィックが正常なトンネル間で自動的に分散され、個別のアップリンクで問題が発生しても接続性を維持できます。
- SASE/SSE 接続の最適化:Secure Access Service Edge(SASE)や Security Service Edge(SSE)の POP へ接続する際、最適な帯域幅利用が重要となる組織に特に有効です。
- インテリジェントなロードバランス:利用可能な帯域幅に基づいてすべてのアクティブなトンネルにトラフィックが自動で分散され、手動の介入なしでリソース利用を最適化します。
マルチアップリンク IPsec の有効化
この機能は主に SASE/SSE プロバイダーとの Secure Internet ユースケース向けです。すべての正常なトンネル間でトラフィックがロードバランスされるため、リモート SASE/SSE ピアが受信したトンネルから戻りトラフィックを同じトンネルで返すように構成されていることが重要です。
マルチアップリンク IPsec を有効にする手順:
- IPsec ピアの新規作成または編集を行います
- 下図のように、ピアの設定画面でMulti-Uplink IPsec VPNオプションを有効化します。
Multi-Uplink IPsec を有効化すると、同じ IPsec ピアが他の利用可能な WAN リンクにも確立されます。上記画像では、WAN2 に追加トンネルが形成され、アクティブトンネル間でのロードバランスがデフォルトで有効です。
ロードバランス動作
同じリモートピアに対して 2 本以上の正常なトンネルが形成された場合にのみロードバランスが有効になります。リモートピアへのアクティブトンネルが 1 本だけの場合は、ロードバランスは自動的に無効になります。
トラフィックは、ルーティングされたトラフィックの送信元 IP/ポートおよび宛先 IP/ポートに基づきロードバランスされます。
フェイルオーバー動作
フェイルオーバー動作は、ネイティブのプライマリ/セカンダリ IPsec 機能で定義されている内容と同じです。
マルチアップリンク IPsec のフェイルオーバー時には、既存のフローは現在のトンネル上に残り、新しいフローは新しく形成されたトンネルを利用します。アクティブトンネルが 1 本のみの場合、すべてのトラフィックはその唯一のトンネルを通ります。
