既存ルーター・FWを残したまま、インターネット回線を冗長化する方法
設定変更ゼロで導入できる「透過型マルチWAN」という選択肢
こんな課題はありませんか
- 本社や拠点のインターネット回線を二重化したいが、既存のファイアウォールやルーターの設定は触りたくない
- SD-WAN製品に興味はあるが、ゲートウェイごと置き換えるのは影響範囲が大きすぎる
- 構成変更にはセキュリティポリシーの再審査や社内申請が発生し、導入のハードルが高い
- 回線障害で業務が止まるリスクは下げたい。でもIPアドレスやVPN設定は変えたくない
結論から言えばこれらはすべて
既存ルーターとセキュリティ機器の間にPeplinkルーターを挟むという方法で解決できます!
Dropinモードの動作原理
Dropinモードは、既存のネットワーク構成を変更せずに組み込むための特殊な動作モードです。
通常のルーター(NATモード)との違いは次の通りです。
| 項目 | 通常のNATルーターモード | Drop-in Mode |
|---|---|---|
| IPアドレス変換 | 行う(NAT) | 行わない |
| LAN側機器から見えるIP | プライベートIP | 既存のグローバルIPがそのまま見える |
| 既存FWのWAN IP | 変わる | 変わらない |
| 既存FWのデフォルトゲートウェイ | 変更必要 | 変更不要(ISPルーターのまま) |
ポイントはDropinモードが自身のWANポートとLANポートで同一のIPを共有し、両ポート間でNAT変換をせずにトラフィックを転送する点です。
L2ブリッジではなく、NATを行わず、IPを共有しながら透過的に中継する専用モードと理解するのが正確です。
この仕組みにより、既存ルーター/FWからはPeplinkルーターが存在しないかのように見え、周辺機器の設定変更ゼロでネットワークに組み込めるというメリットが生まれます。
複数WANとフェイルオーバーの仕組み
Dropinモードに設定できるWANポートは1つのみです。
残りのWANポート(サブ回線・LTE・5G等)は通常のNATモードで動作し、Dropin WANと組み合わせて冗長化・負荷分散を担います。
主回線が障害になった際の動作は次の通りです。
PeplinkはプロキシARP(ARP代理応答)によって、元のISPルーターのIP宛のARPリクエストに自身のMACアドレスで代わりに応答する。
これにより、既存FWはデフォルトゲートウェイが依然として応答していると認識し続け、上流側の障害を検知しない
一方、PeplinkはARP代理応答で受け取ったパケットを内部で経路切替し、サブ回線(NAT WAN)からNATして送出する。
つまりインターネット側から見た送信元IPは、主回線のグローバルIPからサブ回線側のグローバルIPに切り替わる
既存FWやLAN側機器の設定変更は一切不要
このLAN側へはプロキシARPで元のISPルーターIPを偶装し、WAN側へはサブ回線でNATして出るという二重の隅離動作が、Dropinモードのフェイルオーバーの本質です。
この仕組みから来る制約
NATでサブ回線に迂回するため、以下の制約が発生します。
- インバウンド通信は主回線のグローバルIP宛には届かない(主回線自体がダウンしているため)。 ポートフォワード、公開サーバ、VPN終端を主回線のIPで運用している場合は着信が途絶する
- 外部サービスのIP許可リスト(IP allowlist)で主回線のグローバルIPを登録している場合、サブ回線経由のアクセスは許可リストから外れて弾かれる
- 送信元IPベースでセッション管理している一部のアプリケーションはセッションが切れる
これらの制約を許容できない場合は、SpeedFusion(Peplink独自のVPN技術)で、別途用意したグローバルIPを持つ対向機にトンネルを張る構成が選択肢になります。
この方式では、拠点側のWAN回線がどちらに切り替わっても、インターネットから見える公開用IPを対向機側の固定IPに集約できます。
外部サービスのIP許可リストや公開サーバの宛先IPはこの固定IPで統一する運用に切り替える必要がありますが、一度切り替えてしまえばフェイルオーバーで送信元IPが揺れることはなくなります。
Dropinモード導入前に確認すべき4点
- 現行の回線接続方式 — 固定IP / PPPoE /のどれか
- グローバルIPの数と用途 — VPN終端、公開サーバ、特定サービスのIP制限など
- インバウンド通信の重要度 — 主回線ダウン時に外部からの着信が途絶してよいか(業務VPN・公開サービス等)
- 切替時の許容動作 — フェイルオーバー時にセッションが切れてよいか
特に 3 が重要です。
主回線ダウン時のインバウンド途絶が許容できない場合は、SpeedFusionで固定グローバルIPを持つ対向機(物理ルーター、SFC、FusionHub)にトンネルを張る構成が必要になります。
この構成により、サブ回線経由のフェイルオーバー時もインターネットから見える公開用IPを対向機側の固定IPに集約でき、外部からの着信やIP許可リストの問題を回避できます。
まとめ
「既存構成を壊さず、影響範囲を最小限にして、インターネット回線を冗長化したい」
——このニーズに対して、PeplinkのDropinモードは最も現実的な解となります。
ルーターを置き換える場合とは異なり、既存のFW・ルーター・IPアドレス設計・VPN設定をすべてそのまま残したまま、回線の二重化と自動切替を後付けで実現できます。
自社環境で最適なパターンを見極めるには、回線契約内容と現行構成図を基にした個別診断が有効です。
導入したい、検証をしてみたいという方はお気軽にお問い合わせください。