設定例集#107: Webリダイレクト・プロキシーモードによるOffice365トラフィックのプロキシー回避
拠点側から外部への通信をセンター経由で行う構成において、センター側のルーターAでWebリダイレクト・プロキシーモードを使用し、拠点から外部への通信は原則としてプロキシーサーバーにリダイレクトしながら、Office365の通信だけは例外的にプロキシーサーバーを経由させず、ルーターAから直接ゲートウェイルーターに転送する設定例です。
本設定例はAT-AR4050S、AT-AR4050S-5G、AT-AR3050Sでのみサポートです。AT-AR2050Vでは使用できません(DPIをサポートしていないため)。
これは次の流れで実現されます。
- ルーターAのDPI機能でOffice365のアプリケーションを判別する
- ルーターAのDPI学習機能でOffice365のアプリケーションの情報を記憶する
- 学習後に開始されたOffice365通信は、ルーターAのWebリダイレクト対象から除外され、プロキシーサーバーを経由せずルーターAから直接ゲートウェイルーターに転送されてOffice365サーバーに到達する
この例では、アプリケーションコントロール(DPI)機能において、製品内蔵のアプリケーションシグネチャデータベースを用いていますが、サンドバイン社が提供するアプリケーションシグネチャデータベースを使う場合の設定については、備考をご覧ください。
サンドバイン社が提供するアプリケーションシグネチャデータベースを使用するにはアニュアルライセンスが必要です
構成
| |
ルーターA
(センター) |
ルーターB
(拠点) |
| ルーターの基本設定 |
| WAN側物理インターフェース |
eth1 |
eth1 |
| WAN側(eth1)IPアドレス |
10.0.0.1/24 |
10.0.0.2/24 |
| LAN側(vlan10)IPアドレス |
192.168.10.1/24 |
|
| LAN側(vlan20/vlan1)IPアドレス |
192.168.20.1/24 |
192.168.100.1/24 |
| DNSサーバー |
192.168.20.100 |
192.168.20.100 |
[プロキシーサーバー]
- IPアドレス:192.168.10.100
- ポート:3128
設定開始前に
自動設定の確認と削除
本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態(スタートアップコンフィグなしで起動した状態)から入力することを前提としています。
そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。
ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。
これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。
- ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
- 自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。
自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。
システム時刻の設定
ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。
ルーターAの設定
- LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
no spanning-tree rstp enable
- eth1インターフェースにIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
interface eth1
ip address 10.0.0.1/24
- VLANを作成します。
これには、vlan databaseコマンドとvlanコマンドを使います。
VLANの詳細は「L2スイッチング」/「バーチャルLAN」をご覧ください。
vlan database
vlan 10,20 state enable
- LANポート1.0.1~1.0.4をvlan10の、1.0.5~1.0.8をvlan20のタグなしポートに設定します。
これには、switchport access vlanコマンドを使います。
VLANについては「L2スイッチング」/「バーチャルLAN」をご覧ください。
interface port1.0.1-1.0.4
switchport access vlan 10
interface port1.0.5-1.0.8
switchport access vlan 20
- vlan10、vlan20インターフェースにそれぞれIPアドレスを設定します。
interface vlan10
ip address 192.168.10.1/24
interface vlan20
ip address 192.168.20.1/24
- アプリケーションコントロール(DPI)およびDPI学習機能の設定を行います。
また、エンティティー別詳細統計(アプリケーションごとの送信パケット数、受信パケット数、送信バイト数、受信バイト数)も有効にします。
これには、dpi、provider、counters detailed、learning、enableの各コマンドを使います。
アプリケーションコントロール(DPI)の詳細は「UTM」/「アプリケーションコントロール(DPI)」をご覧ください。
dpi
provider built-in
counters detailed
learning
enable
- Webリダイレクト・プロキシーモードの設定を行います。LAN側からのWebアクセスをセンター側のプロキシーサーバーに透過的に転送する設定です。
・Webリダイレクトの設定開始(web-redirect)
・プロキシーモードへの切り替え(mode)
・プロキシーサーバーの指定(proxy-host)
・Office365アプリケーション通信の除外(exclude app)
・Webリダイレクト機能の有効化(enable)
Webリダイレクトの詳細は「トラフィック制御」/「Webリダイレクト」をご覧ください。
web-redirect
mode proxy
proxy-host 192.168.10.100 port 3128
exclude app office365
enable
- デフォルト経路(0.0.0.0/0)とルーターBのLAN側(192.168.100.0/24)への経路を設定します。これにはip routeコマンドを使います。
ip route 0.0.0.0/0 192.168.20.100
ip route 192.168.100.0/24 10.0.0.2
- 以上で設定は完了です。
end
ルーターBの設定
- LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
no spanning-tree rstp enable
- eth1、vlan1インターフェースにそれぞれIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
interface eth1
ip address 10.0.0.2/24
interface vlan1
ip address 192.168.100.1/24
- DNSリレー機能の転送先DNSサーバーアドレスを手動設定します。これには、ip name-serverコマンドを使います。
ip name-server 192.168.20.100
- デフォルト経路をルーターAに向けます。これにはip routeコマンドを使います。
ip route 0.0.0.0/0 10.0.0.1
- DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
ip dns forwarding
- 以上で設定は完了です。
end
備考:サンドバイン社のアプリケーションシグネチャデータベースを使う場合
製品内蔵のアプリケーションシグネチャデータベースではなく、サンドバイン社が提供するデータベースを使用する場合は一部の設定を変更する必要があります。
サンドバイン社が提供するアプリケーションシグネチャデータベースを使用するにはアニュアルライセンスが必要です
以下、変更点だけを示します。
- アプリケーションシグネチャデータベースの提供元をサンドバイン社(procera)に変更します。
dpi
provider procera
counters detailed
learning
enable
- Webリダイレクト・プロキシーモードの動作対象から除外するアプリケーション名を「office365」から「office」に変更します。
web-redirect
mode proxy
proxy-host 192.168.10.100 port 3128
exclude app office
enable
設定の保存
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config ↓
Building configuration...
[OK]
また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory ↓
Building configuration...
[OK]
その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。
ルーターAのコンフィグ
!
no spanning-tree rstp enable
!
interface eth1
ip address 10.0.0.1/24
!
vlan database
vlan 10,20 state enable
!
interface port1.0.1-1.0.4
switchport access vlan 10
interface port1.0.5-1.0.8
switchport access vlan 20
!
interface vlan10
ip address 192.168.10.1/24
interface vlan20
ip address 192.168.20.1/24
!
dpi
provider built-in
counters detailed
learning
enable
!
web-redirect
mode proxy
proxy-host 192.168.10.100 port 3128
exclude app office365
enable
!
ip route 0.0.0.0/0 192.168.20.100
ip route 192.168.100.0/24 10.0.0.2
!
end
ルーターBのコンフィグ
!
no spanning-tree rstp enable
!
interface eth1
ip address 10.0.0.2/24
interface vlan1
ip address 192.168.100.1/24
!
ip name-server 192.168.20.100
!
ip route 0.0.0.0/0 10.0.0.1
!
ip dns forwarding
!
end
(C) 2015 - 2022 アライドテレシスホールディングス株式会社
PN: 613-002107 Rev.AT