icon-zia.svg
セキュア インターネットとSaaSアクセス(ZIA)

GREトンネルの展開に関するベストプラクティス

Zscalerは、組織がGREトンネル、PACファイルサロゲートIPZscaler Client Connectorを組み合わせて、Zscalerサービスへトラフィックを転送することを推奨しています。この記事では、GREトンネルをデプロイするためのベストプラクティスを提供します。

この記事で提供されているサンプル設定値を、あなたのデプロイのニーズに合わせて必ず変更してください。

GREトンネルのデプロイ

GREをデプロイする際のベストプラクティスを以下に示します。

  • Zscalerは、ファイアウォール内の内部ルーターからZIA Public Service Edgesに2つのGREトンネルを構成することを推奨します。詳細については、「ZIAクラウドアーキテクチャについて」および「GREの展開シナリオ」を参照してください。
  • Zscalerは、すべてのインターネット出力拠点から、また該当する場合は各インターネットサービスプロバイダから、プライマリおよびバックアップのGREトンネルを構築することを要求します。
  • Zscalerは、GREトンネルの設定を受け取るために、サポートチケットを提出する必要があります。Zscalerは、お客様のジオロケーション情報に基づいてトンネルのエンドポイントを特定します。Zscalerサポートに連絡して、トンネルの別の場所を要求することができます。
  • Zscalerは、WANインターフェースのMTUとMSSの設定に基づいて、GREトンネルの最大伝送単位(MTU)と最大セグメントサイズ(MSS)の値を計算することを推奨しています。MTUが正しく設定されていない場合、フラグメンテーションが大きくなり、パフォーマンスの低下につながります。

GREトンネルでサポートされる帯域幅

Zscalerは、内部IPアドレスがNATの後ろにない場合、各GREトンネルの最大帯域幅を1Gbpsでサポートします。Zscalerは、内部IPアドレスを使用して、複数のサーバー上のGREトラフィックの負荷分散を行います。内部サブネットがNATの背後にある場合、Zscalerは各トンネルのトラフィックを最大250Mbpsまでしかサポートできません。1Gbps以上のトラフィックを転送したい場合は、異なるパブリックソースIPアドレスでより多くのGREトンネルを構成することを推奨します。たとえば、2Gbpsのトラフィックを転送する場合、2つのプライマリGREトンネルと2つのバックアップGREトンネルを設定できます。3Gbpsのトラフィックを転送する場合、3つのプライマリGREトンネルと3つのバックアップGREトンネルを設定できます。

Zscalerが帯域幅の上限を1Gbpsに設定したのは、インターネットインフラのかなりの部分が1Gbpsのネットワークリンクを使用しているためです。LACP(Link Aggregation Control Protocol)などのマルチリンク技術は、依然として複数の1Gbpsインタフェースの集約に依存しているため、単一のソースIPアドレスから1Gbps以上のトラフィックが発生すると、ボトルネックになってしまいます。

GREトンネルの監視

Zscalerでは、GREトンネルを監視し、トンネルがダウンした場合にプライマリおよびバックアップトンネル間のフェイルオーバーを起動させることが要求されます。

GREトンネルインターフェースは、トンネルがダウンしたときに検出するためのビルトインメカニズムを持っていません。基本的な検出メカニズムとして機能するように、GRE キープアライブを有効にします。GREキープアライブは、物理インターフェイスまたは論理インターフェイスに設定することができます。GREキープアライブは、インターフェイスを監視しますが、インターフェイスの先のサービスは監視しません。

サービス監視を行うには、レイヤ7ヘルスチェックをサポートしているベンダーがあれば、それを導入します。(ベンダがレイヤ7ヘルスチェックをサポートしていない場合は、ICMPやPACベースのフェイルオーバーなど、レイヤ4ヘルスチェックを導入してください)。

Cisco社の大半のデバイスは、IPSLAを使用したレイヤ7ヘルスチェックをサポートしています。Juniperの一部のデバイスは、RPM(リアルタイムパフォーマンスモニタリング)を使用したヘルスチェックをサポートしています。

これらのレイヤー7のヘルスチェックは、www.google.comなど、よく訪問されるウェブサイトでは実行しないでください。これを行うと、Googleは、ZscalerのIPアドレスを拒否リストに追加し、これらのZscalerのIPアドレスから来るすべてのユーザーに対してGoogle Captchaを強制適用することになります。

以下のURLにHTTP Raw Requestを実行します。

http://gateway.<Zscaler Cloud>.net/vpntest

< Zscaler Cloud>を自分のクラウド名で置き換えてください。クラウド名の見つけ方については、「ZIAの私のクラウド名は何ですか?」を参照してください。

      • この例には、1つのテストしか含まれていません。展開に必要であれば、複数のテストを構成することができます。
      • クライアントとZscalerデータセンター間で観測された応答時間に基づいて、遅延しきい値を設定します。
      • delay downコマンドは、接続の短時間フラップによる頻繁なフェイルオーバーを防止します。このコマンドは、複数の接続ドロップが連続して観測された場合にのみ、フェイルオーバーが発生するようにします。HTTP SLAのプローブは60秒に1回生成されます。次の例では、IP SLAテストをダウンとしてマークするための遅延時間を120秒に設定しています。オブジェクトをアップとマークするための遅延時間は、180秒に設定されています。ルーターは、60秒に1回、HTTP SLAプローブを生成します。これは、ルーターが接続をダウンとマークする前に2回連続して失敗するのを待ち、接続をアップとマークする前に3回連続して成功するのを待つことを意味します。
      閉じる
    track 1 ip sla 1
 delay down 120 180

ip sla 1
 http raw http://<185.46.212.88>​​​:80
 timeout 5000
 threshold <Round Trip Time>
 http-raw-request
  GET http://gateway.<Zscaler Cloud Name>.net/vpntest HTTP/1.0\r\n
  User-Agent: Cisco IP SLA\r\n
  end\r\n
  \r\n
  exit
ip sla schedule 1 life forever start-time now

track 2 ip sla 2
 delay down 120 180

ip sla 2
 http raw http://<185.46.212.89>:80 
 timeout 5000
 threshold <Round Trip Time>
 http-raw-request
  GET http://gateway.<Zscaler Cloud Name>.net/vpntest HTTP/1.0\r\n
  User-Agent: Cisco IP SLA\r\n
  end\r\n
  \r\n
  exit
ip sla schedule 2 life forever start-time now
    閉じる

GREトンネルのフェイルオーバーの設定

Zscalerでは、トンネルモニタリングとトンネルフェイルオーバーを接続する必要があります。サービス監視が停止した場合、プライマリトンネルはバックアップトンネルにフェイルオーバーし、監視が可能になったらプライマリトンネルにスイッチバックする必要があります。

関連記事s
汎用ルーティング カプセル化(GRE)の紹介GREの展開シナリオGREトンネルの展開に関するベストプラクティスAbout GRE TunnelsGREトンネルの自己プロビジョニングGREトンネルの設定Juniper SRX用GRE設定ガイドCisco 881 ISR用GRE設定ガイドLocating the Virtual IP Addresses for ZIA Public Service Edges