MENU

通信経路可視化のための設計ポイント【冗長・FW・L3の見抜き方】

NW(CCNA)
  • URLをコピーしました!

ネットワーク障害対応・セキュリティ対策・構成管理を正しく行うためには、通信経路(パス)の正確な可視化が必須です。

しかし実務では、以下の理由で「正しい経路」を誤認するケースが多発します。

  • FW内のポリシールートやNATで経路が変化している
  • 冗長化(VRRP/HSRP)のActive/Standbyが逆転している
  • OSPF/BGPのルート優先度によって経路が切り替わる
  • 機器によってL3の境界が異なる

この記事では、通信経路を正しく可視化するための設計ポイントを、冗長構成・FW・L3ルーティングの観点でわかりやすくまとめます。

目次

1. 通信経路可視化が重要な理由

通信経路が正しく見えていないと、次のようなトラブルが発生します。

  • 障害時に原因機器を誤認する
  • FWを経由していると気づかず通信がブロックされる
  • 冗長構成の切り替えによる片系障害を見落とす
  • BGP/OSPFの経路が想定外の方向へ転送される

通信がどの機器を通り、どのポリシーで許可され、どのルート選択に従うかを把握することが最重要です。

2. 冗長構成(VRRP/ECMP)による経路変化の見抜き方

■ VRRP/HSRPのActive/Standby切り替え

L3ゲートウェイを冗長化している場合、実際にパケットを処理するルータは、次の条件で変化します。

  • Activeがダウン → Standbyへ切り替わる
  • 優先度(priority)の値変更
  • トラッキング(uplinkダウン検知)

見抜くチェック項目:

  • 現時点のActive機はどちらか?
  • 優先度設定は? preemptはONか?
  • 二つの方向でルートが変わっていないか?

■ L3冗長(ECMP / LACP)の経路

  • ECMP:ルートハッシュで分散(src/dst IP/port)
  • LACP:フロー単位の分散で実際の経路が異なる

「見えている構成」=「実際の通信経路」ではない」ことに注意が必要です。

3. FW経路の見抜き方(NAT/ポリシールート)

FWを経由する場合、通信経路は次の設定で大きく変わります。

■ NATの有無

  • SNATで送信元IPが変わる
  • DNATで宛先IPが変わる
  • NATがあると、tracerouteでは正しい経路が見えないことがある

■ ポリシールート(PBR)

FWで以下のように経路を強制できるため、通常のL3ルーティング図では経路が判らない。

  • 特定サブネットだけ別経路へ迂回
  • アプリ別に出口を変更

■ セッション情報が最重要

FWで通信経路を判断する際は、次の情報を見るのが正解です。

  • セッションテーブル(src/dst、NAT後IP、出口IF)
  • どのポリシーで許可されたか
  • どのゾーン間の通信か

FWの設定を見ないと正しい通信経路は絶対に特定できません。

4. L3ルーティングで使われている実際の経路の見抜き方

■ ルーティングプロトコルの優先度(AD)

プロトコルAD(優先度)
静的ルート1
OSPF110
BGP(eBGP)20
BGP(iBGP)200

■ トラブル時に見るべきポイント

  • show ip route の最終選択ルート(*>)
  • メトリック・コストの値
  • どのネクストホップが使われているか
  • デフォルトルートの広告元はどこか

■ traceroute の落とし穴

次の理由で traceroute は完全には信用できません。

  • FWやACLがICMPを止めている
  • NATでホップが変わって見える
  • ECMPで経路が変動する

最終的に頼るべきは 各機器のルーティングテーブル です。

5. 通信経路可視化のための設計テンプレート

■ テンプレ①:構成情報シート

  • IPアドレス・サブネット
  • L2/L3境界
  • FWのゾーン定義
  • NAT/PBR設定の一覧
  • VRRP/HSRP設定

■ テンプレ②:通信フロー図

Client → SW → FW(NAT/PBR) → L3SW → Server

■ テンプレ③:ホップ別確認ポイント

レイヤ確認内容
FWポリシー、NAT、セッション
L3ルーティング選択
L2VLAN、トランク、STP

6. 通信経路可視化に使えるツール

■ OSS/一般ツール

  • traceroute / mtr
  • tcpdump / Wireshark
  • NetBox(構成管理DB)

■ ベンダーツール

  • Cisco DNA Center(パストレース)
  • FortiGate:セッションビュー、フローログ
  • Palo Alto:App-ID+セッション情報

まとめ

通信経路の可視化は、単に図を書くことではなく、以下の情報を統合する作業です。

  • L2/L3ルーティング情報
  • FWのポリシー・セッション情報
  • 冗長構成(VRRP/ECMP)の状態
  • NATやPBRなどの例外ルール

これらを整理することで、障害対応やセキュリティ調査の精度が大幅に向上します。 この記事をベースに、自社向けの通信経路可視化基盤を標準化してみてください。

あわせて読みたい
Traceroute の使い方と経路調査・読み方 ネットワーク通信で問題が起きた際、「Ping は通らないが、どこで止まっているのか知りたい」という場面はよくあります。 そんなときに活躍するのが Traceroute(トレー…
あわせて読みたい
ネットワーク冗長化設計の全パターン比較【L2/L3・VRRP/ECMP/STP】 ネットワークの可用性を上げるための冗長化は、設計方針(L2中心かL3中心か)や規模、用途によって最適解が変わります。本記事は現場で判断・実装できるように、主要な…
あわせて読みたい
ファイアウォールポリシー整理と棚卸しの方法【定期メンテの実務】 企業ネットワークにおいて、ファイアウォール(FW)ポリシーの整理と棚卸しは、 年1〜2回必ず実施すべき重要メンテナンスです。 以下のような問題は、FWポリシーの「放…
NW(CCNA)
目次