一つに見えても、実はたくさんあるのでした:ファイアウォールを冗長化するプロトコル「VRRP」
はい、こんにちは!インターネットとの境界に設置され、内部セグメントを防御する「ファイアウォール」について、連続記事でご紹介しております。
前回は、「ファイアウォールの冗長化」の概要についてお話ししました。ファイアウォールの高可用性(HA)を確保するため、主系と待機系を設置して、主系に障害が起きたら、待機系に切り替える(フェールオーバする)のでしたね!
さて、今回は、ファイアウォール冗長化の続きとして、冗長化のためのプロトコル「VRRP」(Virtual Router Redundancy Protocol)についてお話ししますよ。
名前のとおり、「ルータ」を冗長化するプロトコルなので、ファイアウォールに対する利用に限ったプロトコルではありません。しかし、このプロトコルがファイアウォールの冗長化にも使われることをご紹介しようというわけです。
さあ、いってみよう!
複数の機器がまるで一つに!?VRRPとは?
VRRPは、ルータ(やファイアウォール)などのネットワーク機器に冗長性を提供してくれるプロトコルです。
もしかすると、デフォルトゲートウェイを冗長化するときのプロトコルとしての方が馴染みがあるのかもしれません。
このプロトコルは、複数台の機器を、「一つの仮想的な機器」に見せかけることができます。裏側では複数台の機器が故障に備えて待機をしていても、ユーザからは、あくまで一つの機器に見えるわけです。
本番で稼働させるルータをマスタルータ、それ以外で出番を待っているルータをバックアップルータなどと言ったりします。
マスタに障害が起きたら、バックアップに切り替わって可用性を維持します。ユーザは障害発生に(おそらく)気づきません。
まずは、VRRPは、仮想的に物理ルータを束ねて、仮想的に一つに見せる技術なんだなということは分かりました!
共通のアドレスを共有
さて、ファイアウォールの冗長化を具体的にどうするかを考えましょう。
仮想ルータを作るには、仮想的なIPアドレスとMACアドレスが必要そうですね?そうです、複数のファイアウォール間で、この共通の仮想アドレスが共有されます。
通常は、仮想のアドレスあての通信はマスタに紐づいているのですが、マスタに障害があると、仮想アドレスは、バックアップの方に紐づいて稼働を維持する仕組みです。
どうやって障害の発生を知るのか?
よし、仕組みは分かってきました。では、バックアップは、マスタの障害をどのようにして知るのでしょうか?障害が発生したら、速やかな切替が必要ですよね。
実は、「VRRPアドバタイズメント」という情報をマスタとバックアップは、周期的に交換しています。これが途絶えると、マスタに代わって、バックアップが昇格して、新たなマスタとして機能します。
ただ、複数あるバックアップのうち、どれが昇格するかをどう決めるのでしょうか。それは、事前に優先度を決めておくことで混乱なく、優先度の最も高いバックアップが昇格します。
はい、本日はここまで!今回は、ファイアウォール(というかルータ)の冗長化のプロトコルとして、VRRPを紹介しました。冗長化の仕組みって、奥が深いというか、よくできているというか…。毎度、感服いたします。
さて、次回は、境界防御とゼロトラストの話でもしますか!
では!
この記事が気に入ったらサポートをしてみませんか?