Fortigate直収IPoE回線でのIPsecVPN SD-WAN構成不可
こんにちは。ネットワークソリューション特集 編集部です。
今回は、Fortigate直収IPoE回線でのIPsecVPN SD-WAN構成不可の事例についてご紹介します。
事象
Fortigate直収のIPoE回線を複数収容し各回線でIPsecVPNを張った場合にトンネルを束ねて1本としてMPLS回線と負荷分散等のSD-WAN動作させる事は出来なかった。
原因/回避方法
Fortigateの仕様と思われ回避方法が無かった。
IPsecVPNトンネルを終端するインターフェースがIPoEの為にvneインターフェースとなるがvneインターフェースは各VDOM上に出てくるためSD-WANゾーンと紐づけができない。
対応/参考
- IPoE回線を使用する場合には事前に把握して設計する
今回はIPsecVPNトンネル複数を束ねてのSD-WAN使用しない構成とした - PPPoE回線に変更する
- 前段にIPoEルータ経由にするなどIPoE直収にしない
- SD-WAN紐づけは出来ないがインターネット向けとしてはIPoE回線を複数束ねる事は可能
まとめ
- IPoE直収は他メーカ、製品でもトラブル要素となるため直収せずにIPoEルータ経由を推奨
- SD-WAN機能は事前検証しての導入を推奨
今回はFortigate直収IPoE回線でのIPsecVPN SD-WAN構成不可の事例についてご紹介しました。
