設定例集#103: Webリダイレクト・プロキシーモードによるOffice365トラフィックのインターネットブレークアウト
Webリダイレクト・プロキシーモードにより、Office365の通信はセンターを経由せず拠点側から直接Office365サーバーにアクセスさせ、Office365以外の外部への通信はセンター側のプロキシーサーバーを経由するようにします。
これを実現するため、拠点側のルーターBでは次の設定を行います。
- Webリダイレクト・プロキシーモードによって、LAN側クライアントPC(プロキシー設定なし)からのHTTP/HTTPS通信をセンター側のプロキシーサーバーに中継する(プロキシー経由のリクエストになるように適宜変換も行う)
- アプリケーションコントロール(DPI)でOffice365アプリケーションの通信を判別する
- DPI学習機能でOffice365アプリケーションの通信に関する情報を記憶する
- Office365アプリケーションをWebリダイレクト・プロキシーモードの対象から除外する設定を行う。これにより、DPI学習後に開始されたOffice365アプリケーションの通信は、センター側のプロキシーサーバーを経由せず、ポリシーベースルーティングによって直接Office365サーバーに到達する
構成
(センター) |
(拠点) |
|
| WAN側物理インターフェース | eth1 | eth1 |
| WAN側(eth1)IPアドレス | 10.0.0.1/32 | 10.0.0.2/32 |
| LAN側(vlan1)IPアドレス | 192.168.10.1/24 | 192.168.100.1/24 |
| DNSサーバー | 192.168.11.100 | |
[プロキシーサーバー]
- IPアドレス:192.168.10.100
- ポート:3128
設定開始前に
自動設定の確認と削除
本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態(スタートアップコンフィグなしで起動した状態)から入力することを前提としています。そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。
ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。
これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。
- ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
- 自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。
システム時刻の設定
ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。
- 手動で設定する方法 - 「運用・管理」/「システム」
- NTPで自動設定する方法 - 「運用・管理」/「NTP」
ルーターAの設定
- LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
no spanning-tree rstp enable
- WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface eth1 encapsulation ppp 0
- PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
・LCP EchoによるPPP接続状態の確認(keepalive)
・ユーザー名(ppp username)
・パスワード(ppp password)
・IPアドレスの固定設定(ip address)
・MSS書き換え(ip tcp adjust-mss)
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface ppp0 keepalive ppp username user@isp01 ppp password passwd01 ip address 10.0.0.1/32 ip tcp adjust-mss pmtu
- LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
interface vlan1 ip address 192.168.10.1/24
- ファイアウォールのルール作成時に使うエンティティー(通信主体)を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
zone private network branch ip subnet 192.168.100.0/24 network proxy ip subnet 0.0.0.0/0 interface vlan1 ip subnet 192.168.10.0/24 ip subnet 192.168.11.0/24 network tunnel_if ip subnet 172.16.100.0/30
- 外部ネットワークを表すゾーン「public」を作成します。
これには、前記コマンドに加え、host、ip addressの各コマンドを使います。
zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host routerA ip address 10.0.0.1 host routerB ip address 10.0.0.2
- ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、dportの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
application esp protocol 50
- ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
application isakmp protocol udp dport 500
- ファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。
・rule 10 - 内部ネットワーク間の通信を許可します
・rule 20 - 内部ネットワークから外部への通信を許可します
・rule 30, 40 - ISAKMPパケットを許可します
・rule 50, 60 - IPsec(ESP)パケットを許可します
ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
firewall rule 10 permit any from private to private no-state-enforcement rule 20 permit any from private to public rule 30 permit isakmp from public.wan.routerA to public.wan.routerB rule 40 permit isakmp from public.wan.routerB to public.wan.routerA rule 50 permit esp from public.wan.routerA to public.wan.routerB rule 60 permit esp from public.wan.routerB to public.wan.routerA protect
- 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
crypto isakmp key secret address 10.0.0.2
- IPsecトンネルインターフェースtunnel0を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。
これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
・トンネルインターフェースのMTU(mtu)
・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source)
・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination)
・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec)
・トンネリング方式(tunnel mode ipsec)
・トンネルインターフェースのIPアドレス(ip address)
・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss)
interface tunnel0 mtu 1300 tunnel source 10.0.0.1 tunnel destination 10.0.0.2 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.100.1/30 ip tcp adjust-mss 1260
- デフォルト経路とルーターBのWAN側インターフェースおよびルーターBのLAN側ネットワークへの経路をスタティックに設定します。
ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
ip route 0.0.0.0/0 192.168.10.100 ip route 10.0.0.2/32 ppp0 ip route 192.168.100.0/24 tunnel0 ip route 192.168.100.0/24 null 254
- 以上で設定は完了です。
end
ルーターBの設定
- LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
no spanning-tree rstp enable
- WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface eth1 encapsulation ppp 0
- PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
・LCP EchoによるPPP接続状態の確認(keepalive)
・ユーザー名(ppp username)
・パスワード(ppp password)
・IPアドレスの固定設定(ip address)
・MSS書き換え(ip tcp adjust-mss)
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface ppp0 keepalive ppp username user@isp02 ppp password passwd02 ip address 10.0.0.2/32 ip tcp adjust-mss pmtu
- LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
interface vlan1 ip address 192.168.100.1/24
- ファイアウォールのルール作成時に使うエンティティー(通信主体)を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
zone private network lan ip subnet 192.168.100.0/24 network proxy ip subnet 192.168.10.0/24 ip subnet 192.168.11.0/24 network tunnel ip subnet 0.0.0.0/0 interface tunnel0 network tunnel_if ip subnet 172.16.100.0/30
- 外部ネットワークを表すゾーン「public」を作成します。
これには、前記コマンドに加え、host、ip addressの各コマンドを使います。
zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host routerA ip address 10.0.0.1 host routerB ip address 10.0.0.2
- ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、dportの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
application esp protocol 50
- ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
application isakmp protocol udp dport 500
- ファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。
ここではおもに、LAN側クライアントのインターネットアクセスを制限するためにファイアウォールを使用しています。
・rule 10 - 内部ネットワーク間の通信を許可します
・rule 20 - 内部ネットワークから外部への通信を許可します
・rule 30, 40 - ISAKMPパケットを許可します
・rule 50, 60 - IPsec(ESP)パケットを許可します
・rule 70 - ルーターBのWAN側インターフェースから外部へのDPIで判別されていない通信を許可します
・rule 80 - 外部からルーターBのWAN側インターフェースへのDPIで判別されていない通信を許可します
ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
firewall rule 10 permit any from private to private no-state-enforcement rule 20 permit any from private to public rule 30 permit isakmp from public.wan.routerB to public.wan.routerA rule 40 permit isakmp from public.wan.routerA to public.wan.routerB rule 50 permit esp from public.wan.routerB to public.wan.routerA rule 60 permit esp from public.wan.routerA to public.wan.routerB rule 70 permit undecided from public.wan.routerB to public.wan rule 80 permit undecided from public.wan to public.wan.routerB protect
- LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
これには、nat、rule、enableの各コマンドを使います。
NATの詳細は「UTM」/「NAT」をご覧ください。
nat rule 10 masq any from private to public enable
- 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
crypto isakmp key secret address 10.0.0.1
- IPsecトンネルインターフェースtunnel0を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。
これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
・トンネルインターフェースのMTU(mtu)
・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source)
・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination)
・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec)
・トンネリング方式(tunnel mode ipsec)
・トンネルインターフェースのIPアドレス(ip address)
・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss)
interface tunnel0 mtu 1300 tunnel source 10.0.0.2 tunnel destination 10.0.0.1 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.100.2/30 ip tcp adjust-mss 1260
- アプリケーションコントロール(DPI)およびDPI学習機能の設定を行います。
また、エンティティー別詳細統計(アプリケーションごとの送信パケット数、受信パケット数、送信バイト数、受信バイト数)も有効にします。
これには、dpi、provider、counters detailed、learning、enableの各コマンドを使います。
アプリケーションコントロール(DPI)の詳細は「UTM」/「アプリケーションコントロール(DPI)」をご覧ください。
dpi provider built-in counters detailed learning enable
- Webリダイレクト・プロキシーモードの設定を行います。LAN側からのWebアクセスをセンター側のプロキシーサーバーに透過的に転送する設定です。
・Webリダイレクトの設定開始(web-redirect)
・プロキシーモードへの切り替え(mode)
・プロキシーサーバーの指定(proxy-host)
・Office365アプリケーション通信の除外(exclude app)
・Webリダイレクト機能の有効化(enable)
Webリダイレクトの詳細は「トラフィック制御」/「Webリダイレクト」をご覧ください。
web-redirect mode proxy proxy-host 192.168.10.100 port 3128 exclude app office365 enable
- ポリシーベースルーティング(PBR)を有効化し、LAN側からのOffice 365アプリケーション通信を ppp0(インターネット)経由で直接転送するよう設定します。
これには、policy-based-routing、application-decision、ip policy-route、policy-based-routing enableの各コマンドを使います。
ポリシーベースルーティングの詳細は「トラフィック制御」/「ポリシーベースルーティング」をご覧ください。
policy-based-routing application-decision once-only ip policy-route 1 match office365 to private.tunnel nexthop ppp0 policy-based-routing enable
- DNSリレー機能の転送先DNSサーバーアドレスを手動設定します。これには、ip name-serverコマンドを使います。
ip name-server 192.168.11.100
- デフォルト経路とルーターAのWAN側インターフェースへの経路をスタティックに設定します。
ただし、ルーター間のVPN接続が有効になるまでは、ルーターA経由となるデフォルト経路は使用できないように設定します。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
ip route 0.0.0.0/0 tunnel1 ip route 0.0.0.0/0 null 254 ip route 10.0.0.1/32 ppp0
- DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
ip dns forwarding
- 以上で設定は完了です。
end
備考:サンドバイン社のアプリケーションシグネチャデータベースを使う場合
製品内蔵のアプリケーションシグネチャデータベースではなく、サンドバイン社が提供するデータベースを使用する場合は一部の設定を変更する必要があります。以下、変更点だけを示します。
- アプリケーションシグネチャデータベースの提供元をサンドバイン社(procera)に変更します。
dpi provider procera counters detailed learning enable
- Webリダイレクト・プロキシーモードの動作対象から除外するアプリケーション名を「office365」から「office」に変更します。
web-redirect mode proxy proxy-host 192.168.10.100 port 3128 exclude app office enable
- 同様にPBRルールの対象アプリケーション名を「office365」から「office」に変更します。
policy-based-routing application-decision once-only ip policy-route 1 match office to private.tunnel nexthop ppp0 policy-based-routing enable
設定の保存
設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。awplus# copy running-config startup-config
Building configuration...
[OK]
また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]
その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。
ファイアウォールログについて
ファイアウォールのログをとるには、次のコマンド(log(filter))を実行します。awplus(config)# log buffered level informational facility local5
記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall
ルーターAのコンフィグ
! no spanning-tree rstp enable ! interface eth1 encapsulation ppp 0 ! interface ppp0 keepalive ppp username user@isp01 ppp password passwd01 ip address 10.0.0.1/32 ip tcp adjust-mss pmtu ! interface vlan1 ip address 192.168.10.1/24 ! zone private network branch ip subnet 192.168.100.0/24 network proxy ip subnet 0.0.0.0/0 interface vlan1 ip subnet 192.168.10.0/24 ip subnet 192.168.11.0/24 network tunnel_if ip subnet 172.16.100.0/30 ! zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host routerA ip address 10.0.0.1 host routerB ip address 10.0.0.2 ! application esp protocol 50 ! application isakmp protocol udp dport 500 ! firewall rule 10 permit any from private to private no-state-enforcement rule 20 permit any from private to public rule 30 permit isakmp from public.wan.routerA to public.wan.routerB rule 40 permit isakmp from public.wan.routerB to public.wan.routerA rule 50 permit esp from public.wan.routerA to public.wan.routerB rule 60 permit esp from public.wan.routerB to public.wan.routerA protect ! crypto isakmp key secret address 10.0.0.2 ! interface tunnel0 mtu 1300 tunnel source 10.0.0.1 tunnel destination 10.0.0.2 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.100.1/30 ip tcp adjust-mss 1260 ! ip route 0.0.0.0/0 192.168.10.100 ip route 10.0.0.2/32 ppp0 ip route 192.168.100.0/24 tunnel0 ip route 192.168.100.0/24 null 254 ! end
ルーターBのコンフィグ
! no spanning-tree rstp enable ! interface eth1 encapsulation ppp 0 ! interface ppp0 keepalive ppp username user@isp02 ppp password passwd02 ip address 10.0.0.2/32 ip tcp adjust-mss pmtu ! interface vlan1 ip address 192.168.100.1/24 ! zone private network lan ip subnet 192.168.100.0/24 network proxy ip subnet 192.168.10.0/24 ip subnet 192.168.11.0/24 network tunnel ip subnet 0.0.0.0/0 interface tunnel0 network tunnel_if ip subnet 172.16.100.0/30 ! zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host routerA ip address 10.0.0.1 host routerB ip address 10.0.0.2 ! application esp protocol 50 ! application isakmp protocol udp dport 500 ! firewall rule 10 permit any from private to private no-state-enforcement rule 20 permit any from private to public rule 30 permit isakmp from public.wan.routerB to public.wan.routerA rule 40 permit isakmp from public.wan.routerA to public.wan.routerB rule 50 permit esp from public.wan.routerB to public.wan.routerA rule 60 permit esp from public.wan.routerA to public.wan.routerB rule 70 permit undecided from public.wan.routerB to public.wan rule 80 permit undecided from public.wan to public.wan.routerB protect ! nat rule 10 masq any from private to public enable ! crypto isakmp key secret address 10.0.0.1 ! interface tunnel0 mtu 1300 tunnel source 10.0.0.2 tunnel destination 10.0.0.1 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.100.2/30 ip tcp adjust-mss 1260 ! dpi provider built-in counters detailed learning enable ! web-redirect mode proxy proxy-host 192.168.10.100 port 3128 exclude app office365 enable ! policy-based-routing application-decision once-only ip policy-route 1 match office365 to private.tunnel nexthop ppp0 policy-based-routing enable ! ip name-server 192.168.11.100 ! ip route 0.0.0.0/0 tunnel1 ip route 0.0.0.0/0 null 254 ip route 10.0.0.1/32 ppp0 ! ip dns forwarding ! end