SonicOS Enhancedでハブ・アンド・スポーク サイト-to-サイト VPN の実装

Description

SonicOS Enhancedでハブ・アンド・スポーク サイト-to-サイト VPN の実装

Resolution

バックグラウンド

複数のブランチがハブを仲介して通信を行うことができるようにハブSonicWALL(企業の本部などの)と複数のスポークSonicWALL(支店)間でサイト-to-サイトVPNを確立することが可能です。このハブとスポークVPNを構成するのは、ファームウェア6.XSonicOSスタンダードとSonicOS Enhancedでは大きく異なります。このドキュメントの目的は、すべてSonicOS Enhancedを実行しているSonicWALLで、1個のハブと2つのスポークから成るVPNを構成するために必要なすべてのステップについて概説することです。すべての概念と指示をはっきりさせるために一つの例を用いて説明します。

ハブ・アンド・スポーク・ネットワークの例

ハブ・アンド・スポークVPNの作成を助けるために分かりやすいシナリオ例を使用します。この情報に基づいてネットワーク図を作成することはより詳しい手助けとなるかもしれません。この例の情報はこのドキュメントを通して一貫して使用されます。

この例のハブ・アンド・スポーク仕様

2つの支社 (ネットワーク AC) が本社(ネットワーク B)のハブに接続します。ネットワーク ACがハブを経由して相互に通信できるようにします。以下のテーブルの仕様を使用します。


 

支社 A

LAN A サブネット

10.0.1.0/24

 

WAN A IP アドレス

192.168.1.1/24

本社 (ハブ) B

LAN B サブネット

10.0.2.0/24

 

WAN B IP アドレス

192.168.2.1/24

支社 C

LAN C サブネット

10.0.3.0./24

 

WAN C IP アドレス

192.168.3.1./24

アドレス・オブジェクトとグループ オブジェクトの作成

アドレス・オブジェクトの数はサイト-to-サイト VPNの実装毎に必要です。この数がハブ・アンド・スポーク設定の場合より大きな数を必要とします。またグループ オブジェクトが必要となります。アドレス・オブジェクトはローカルとディスティネーションネットワークを記述します。相互にハブ・アンド・スポーク通信を許可するグループ毎に記述します。各々のファイアウォールのネットワーク > アドレス・オブジェクト ページにアクセスします。

アドレス・オブジェクトを作成

このVPN接続を可能にするために3つのファイウォールすべてで以下のようにアドレス・オブジェクトを設定する必要があります、

スポーク A上でネットワーク > アドレス・オブジェクト タブに行って以下のアドレス・オブジェクトを作成します:

  • 名前: LAN B サブネット

   ゾーン: VPN
   タイプ: ネットワーク
   IP アドレス: 10.0.2.0
   サブネット マスク: 255.255.255.0

  • 名前: LAN C サブネット

   ゾーン: VPN
   タイプ: ネットワーク
   IP アドレス: 10.0.3.0
   サブネット マスク: 255.255.255.0

ハブ B で以下のアドレス・オブジェクト作成してください:

  • 名前: LAN A サブネット

ゾーン: VPN 
タイプ: ネットワーク 
IP アドレス: 10.0.1.0 
サブネット マスク: 255.255.255.0

  • 名前: LAN C サブネット   

ゾーン : VPN
タイプ: ネットワーク
IP アドレス: 10.0.3.0
サブネット マスク: 255.255.255.0

ハブ Cで以下のアドレス・オブジェクト作成してください:

  • 名前: LAN A サブネット

   ゾーン: VPN
   タイプ: ネットワーク
   IP アドレス: 10.0.1.0
   サブネット マスク: 255.255.255.0

  • 名前: LAN B サブネット

   ゾーン: VPN
   タイプ: ネットワーク
   IP アドレス: 10.0.2.0
   サブネット マスク: 255.255.255.0

 グループ オブジェクトを作成します。

VPN ポリシー 設定 スクリーンでは一つのオブジェクトだけを選択できるので、複数のローカルネットワークとディスティネーションネットワークを作成するためにはアドレス オブジェクト グループを作成する必要があります。各々のファイアウォールで以下に記述したようにグループを作成し、アドレス・オブジェクトをグループに関連付けてください。

スポーク Aのグループ設定:

  • グループ名: ディスティネーションB
    メンバー: LAN B サブネット, LAN C サブネット

ハブ Bのグループ設定:

  • グループ名: ローカルB
    メンバー: LAN サブネット, LAN C サブネット
  • グループ名: ローカルAB
    メンバー: LAN サブネット, LAN A サブネット

スポーク Cのグループ設定:

  • グループ名:ディスティネーションAB
    メンバー: LAN A サブネット, LAN B サブネット

接続を作成

これですべてのアドレス・オブジェクトとグループ オブジェクトが関連付けられました。セキュリティアソシエーションを作成してハブ・アンド・スポーク VPNを許可することができます。各々のスポークはハブを指し示す一つのVPN ポリシーだけが必要です。ハブでは、スポーク毎の2つのVPNポリシーが必要です。各々のポリシーは、一般的なサイト-to-サイトVPNと同様、以下に示すようにVPN > 設定ページで作成します

Related Articles

  • How to configure Link Aggregation
    Read More
  • Web Proxy Forwarding is not Supported to a Server on the LAN
    Read More
  • アプリケーション制御を使用して ICMP(Ping)をブロックする方法
    Read More

Categories

Firewalls
SonicWall NSA Series
Firewalls
SonicWall SuperMassive 9000 Series
Firewalls
SonicWall SuperMassive E10000 Series
Firewalls
TZ Series
not finding your answers?
Ask the Community