設定例集#103: Webリダイレクト・プロキシーモードによるOffice365トラフィックのインターネットブレークアウト

構成
AT-NFV-APLの事前設定
管理IPアドレス
ブリッジ
仮想インターフェース割り当て
ルーターA(AR4050S)の設定
ルーターB(本製品)の設定
備考:サンドバイン社のアプリケーションシグネチャデータベースを使う場合
設定の保存
ファイアウォールログについて
ルーターA(AR4050S)のコンフィグ
ルーターB(本製品)のコンフィグ

設定例集#103: [ 設定例集目次 ] ページ内目次

Webリダイレクト・プロキシーモードにより、Office365の通信はセンターを経由せず拠点側から直接Office365サーバーにアクセスさせ、Office365以外の外部への通信はセンター側のプロキシーサーバーを経由するようにします。
本例ではルーターBを本製品とし、ルーターAは弊社AT-AR4050Sを想定しています。

これを実現するため、拠点側のルーターBでは次の設定を行います。
この例では、アプリケーションコントロール(DPI)機能において、製品内蔵のアプリケーションシグネチャデータベースを用いていますが、サンドバイン社が提供するアプリケーションシグネチャデータベースを使う場合の設定については、備考をご覧ください。
Note
サンドバイン社が提供するアプリケーションシグネチャデータベースを使用するにはアニュアルライセンスが必要です

構成

設定例集#103: [ 設定例集目次 ] ページ内目次

 
ルーターA
(センター)
(AR4050S)
ルーターB
(拠点)
(本製品)
ルーターの基本設定
WAN側物理インターフェース eth1 eth1
WAN側(eth1)IPアドレス 10.0.0.1/32 10.0.0.2/32
LAN側(vlan1/eth0)IPアドレス 192.168.10.1/24 192.168.100.1/24
DNSサーバー   192.168.11.100

[プロキシーサーバー]

AT-NFV-APLの事前設定

設定例集#103: [ 設定例集目次 ] ページ内目次
本設定例は、あらかじめ AT-NFV-APL側で以下のような設定を行っていることを前提としています。
使用するインターフェースの番号や数は適宜変更してかまいません。
事前設定の流れについては「AT-NFV-APL」/「準備」をご覧ください。

Note
10ポート構成(eth1~eth10)のAT-NFV-APL-GTXを想定した例になっていますので、6ポート(eth1~eth6)構成のAT-NFV-APL-GTをご使用の場合は、使用するポートを適宜読み替えてください。

管理IPアドレス

詳細は「AT-NFV-APL」/「ネットワーク基本設定」をご覧ください。
インターフェース
IPアドレス
br0 192.168.100.254/24

ブリッジ

詳細は「AT-NFV-APL」/「ネットワーク基本設定」をご覧ください。
ポート
所属VLAN
ネイティブVLAN
eth1~eth9 1 1
eth10
未所属

仮想インターフェース割り当て

vFirewallアプリケーションインスタンスの初期設定時には、下記のように仮想インターフェースを割り当てます。
詳細は「AT-NFV-APL」/「AW+ vFirewall」をご覧ください。
vFirewallの
インターフェース名
インターフェース
タイプ
外部ネットワーク
VLAN ID
ホスト
インターフェース
IPv4アドレス
eth0 Virtual 1 - 192.168.100.1/24
eth1 Physical - eth10 未指定

ルーターA(AR4050S)の設定

設定例集#103: [ 設定例集目次 ] ページ内目次
  1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
    スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
    no spanning-tree rstp enable
  2. WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface eth1
 encapsulation ppp 0
  3. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

    ・LCP EchoによるPPP接続状態の確認(keepalive
    ・ユーザー名(ppp username
    ・パスワード(ppp password
    ・IPアドレスの固定設定(ip address
    ・MSS書き換え(ip tcp adjust-mss

    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface ppp0
 keepalive
 ppp username user@isp01
 ppp password passwd01
 ip address 10.0.0.1/32
 ip tcp adjust-mss pmtu
  4. LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
    IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
    interface vlan1
 ip address 192.168.10.1/24
  5. ファイアウォールのルール作成時に使うエンティティー(通信主体)を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

    内部ネットワークを表すゾーン「private」を作成します。
    これには、zonenetworkip subnetの各コマンドを使います。
    zone private
 network branch
  ip subnet 192.168.100.0/24
 network proxy
  ip subnet 0.0.0.0/0 interface vlan1
  ip subnet 192.168.10.0/24
  ip subnet 192.168.11.0/24
 network tunnel_if
  ip subnet 172.16.100.0/30
  6. 外部ネットワークを表すゾーン「public」を作成します。
    これには、前記コマンドに加え、hostip addressの各コマンドを使います。
    zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host routerA
   ip address 10.0.0.1
  host routerB
   ip address 10.0.0.2
  7. ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    これには、applicationprotocoldportの各コマンドを使います。
    アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

    IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。 
    application esp
 protocol 50
  8. ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。 
    application isakmp
 protocol udp
 dport 500
  9. ファイアウォール機能の設定を行います。
    これには、firewallruleprotectの各コマンドを使います。

    ・rule 10 - 内部ネットワーク間の通信を許可します
    ・rule 20 - 内部ネットワークから外部への通信を許可します
    ・rule 30, 40 - ISAKMPパケットを許可します
    ・rule 50, 60 - IPsec(ESP)パケットを許可します

    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    firewall
 rule 10 permit any from private to private no-state-enforcement
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.routerA to public.wan.routerB
 rule 40 permit isakmp from public.wan.routerB to public.wan.routerA
 rule 50 permit esp from public.wan.routerA to public.wan.routerB
 rule 60 permit esp from public.wan.routerB to public.wan.routerA
 protect
  10. 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    crypto isakmp key secret address 10.0.0.2
  11. IPsecトンネルインターフェースtunnel0を作成します。
    トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

    これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

    ・トンネルインターフェースのMTU(mtu
    ・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source
    ・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination
    ・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec
    ・トンネリング方式(tunnel mode ipsec
    ・トンネルインターフェースのIPアドレス(ip address
    ・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss
    interface tunnel0
 mtu 1300
 tunnel source 10.0.0.1
 tunnel destination 10.0.0.2
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.100.1/30
 ip tcp adjust-mss 1260
  12. デフォルト経路とルーターBのWAN側インターフェースおよびルーターBのLAN側ネットワークへの経路をスタティックに設定します。
    ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    ip route 0.0.0.0/0 192.168.10.100
ip route 10.0.0.2/32 ppp0
ip route 192.168.100.0/24 tunnel0
ip route 192.168.100.0/24 null 254
  13. 以上で設定は完了です。
    end

ルーターB(本製品)の設定

設定例集#103: [ 設定例集目次 ] ページ内目次
  1. WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface eth1
 encapsulation ppp 0
  2. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

    ・LCP EchoによるPPP接続状態の確認(keepalive
    ・ユーザー名(ppp username
    ・パスワード(ppp password
    ・IPアドレスの固定設定(ip address
    ・MSS書き換え(ip tcp adjust-mss

    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface ppp0
 keepalive
 ppp username user@isp02
 ppp password passwd02
 ip address 10.0.0.2/32
 ip tcp adjust-mss pmtu
  3. LAN側インターフェースeth0のIPアドレスは、AT-NFV-APLの事前設定時に設定済みのため、次のコマンドを手で入力する必要はありません。
    interface eth0
 ip address 192.168.100.1/24
  4. ファイアウォールのルール作成時に使うエンティティー(通信主体)を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

    内部ネットワークを表すゾーン「private」を作成します。
    これには、zonenetworkip subnetの各コマンドを使います。
    zone private
 network lan
  ip subnet 192.168.100.0/24
 network proxy
  ip subnet 192.168.10.0/24
  ip subnet 192.168.11.0/24
 network tunnel
  ip subnet 0.0.0.0/0 interface tunnel0
 network tunnel_if
  ip subnet 172.16.100.0/30
  5. 外部ネットワークを表すゾーン「public」を作成します。
    これには、前記コマンドに加え、hostip addressの各コマンドを使います。
    zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host routerA
   ip address 10.0.0.1
  host routerB
   ip address 10.0.0.2
  6. ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    これには、applicationprotocoldportの各コマンドを使います。
    アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

    IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。 
    application esp
 protocol 50
  7. ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。 
    application isakmp
 protocol udp
 dport 500
  8. ファイアウォール機能の設定を行います。
    これには、firewallruleprotectの各コマンドを使います。
    ここではおもに、LAN側クライアントのインターネットアクセスを制限するためにファイアウォールを使用しています。

    ・rule 10 - 内部ネットワーク間の通信を許可します
    ・rule 20 - 内部ネットワークから外部への通信を許可します
    ・rule 30, 40 - ISAKMPパケットを許可します
    ・rule 50, 60 - IPsec(ESP)パケットを許可します
    ・rule 70 - ルーターBのWAN側インターフェースから外部へのDPIで判別されていない通信を許可します
    ・rule 80 - 外部からルーターBのWAN側インターフェースへのDPIで判別されていない通信を許可します

    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    firewall
 rule 10 permit any from private to private no-state-enforcement
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.routerB to public.wan.routerA
 rule 40 permit isakmp from public.wan.routerA to public.wan.routerB
 rule 50 permit esp from public.wan.routerB to public.wan.routerA
 rule 60 permit esp from public.wan.routerA to public.wan.routerB
 rule 70 permit undecided from public.wan.routerB to public.wan
 rule 80 permit undecided from public.wan to public.wan.routerB
 protect
  9. LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
    これには、natruleenableの各コマンドを使います。
    NATの詳細は「UTM」/「NAT」をご覧ください。
    nat
 rule 10 masq any from private to public
 enable
  10. 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    crypto isakmp key secret address 10.0.0.1
  11. IPsecトンネルインターフェースtunnel0を作成します。
    トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

    これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

    ・トンネルインターフェースのMTU(mtu
    ・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source
    ・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination
    ・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec
    ・トンネリング方式(tunnel mode ipsec
    ・トンネルインターフェースのIPアドレス(ip address
    ・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss
    interface tunnel0
 mtu 1300
 tunnel source 10.0.0.2
 tunnel destination 10.0.0.1
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.100.2/30
 ip tcp adjust-mss 1260
  12. アプリケーションコントロール(DPI)およびDPI学習機能の設定を行います。
    また、エンティティー別詳細統計(アプリケーションごとの送信パケット数、受信パケット数、送信バイト数、受信バイト数)も有効にします。
    これには、dpiprovidercounters detailedlearningenableの各コマンドを使います。
    アプリケーションコントロール(DPI)の詳細は「UTM」/「アプリケーションコントロール(DPI)」をご覧ください。
    dpi
 provider built-in
 counters detailed
 learning
 enable
  13. Webリダイレクト・プロキシーモードの設定を行います。LAN側からのWebアクセスをセンター側のプロキシーサーバーに透過的に転送する設定です。

    ・Webリダイレクトの設定開始(web-redirect
    ・プロキシーモードへの切り替え(mode
    ・プロキシーサーバーの指定(proxy-host
    ・Office365アプリケーション通信の除外(exclude app
    ・Webリダイレクト機能の有効化(enable

    Webリダイレクトの詳細は「トラフィック制御」/「Webリダイレクト」をご覧ください。
    web-redirect
 mode proxy
 proxy-host 192.168.10.100 port 3128
 exclude app office365
 enable
  14. ポリシーベースルーティング(PBR)を有効化し、LAN側からのOffice 365アプリケーション通信を ppp0(インターネット)経由で直接転送するよう設定します。
    これには、policy-based-routingapplication-decisionip policy-routepolicy-based-routing enableの各コマンドを使います。

    ポリシーベースルーティングの詳細は「トラフィック制御」/「ポリシーベースルーティング」をご覧ください。 
    policy-based-routing
 application-decision once-only
 ip policy-route 1 match office365 to private.tunnel nexthop ppp0
 policy-based-routing enable
  15. DNSリレー機能の転送先DNSサーバーアドレスを手動設定します。これには、ip name-serverコマンドを使います。
    ip name-server 192.168.11.100
  16. デフォルト経路とルーターAのWAN側インターフェースへの経路をスタティックに設定します。
    ただし、ルーター間のVPN接続が有効になるまでは、ルーターA経由となるデフォルト経路は使用できないように設定します。
    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    ip route 0.0.0.0/0 tunnel1
ip route 0.0.0.0/0 null 254
ip route 10.0.0.1/32 ppp0
  17. DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
    DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
    ip dns forwarding
  18. 以上で設定は完了です。
    end

備考:サンドバイン社のアプリケーションシグネチャデータベースを使う場合

設定例集#103: [ 設定例集目次 ] ページ内目次
製品内蔵のアプリケーションシグネチャデータベースではなく、サンドバイン社が提供するデータベースを使用する場合は一部の設定を変更する必要があります。
Note
サンドバイン社が提供するアプリケーションシグネチャデータベースを使用するにはアニュアルライセンスが必要です

以下、変更点だけを示します。
  1. アプリケーションシグネチャデータベースの提供元をサンドバイン社(procera)に変更します。
    dpi
 provider procera
 counters detailed
 learning
 enable
  2. Webリダイレクト・プロキシーモードの動作対象から除外するアプリケーション名を「office365」から「office」に変更します。
    web-redirect
 mode proxy
 proxy-host 192.168.10.100 port 3128
 exclude app office
 enable
  3. 同様にPBRルールの対象アプリケーション名を「office365」から「office」に変更します。
    policy-based-routing
 application-decision once-only
 ip policy-route 1 match office to private.tunnel nexthop ppp0
 policy-based-routing enable

設定の保存

設定例集#103: [ 設定例集目次 ] ページ内目次
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド(log(filter))を実行します。
awplus(config)# log buffered level informational facility local5

■ 記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall

ルーターA(AR4050S)のコンフィグ

設定例集#103: [ 設定例集目次 ] ページ内目次
!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 keepalive
 ppp username user@isp01
 ppp password passwd01
 ip address 10.0.0.1/32
 ip tcp adjust-mss pmtu
!
interface vlan1
 ip address 192.168.10.1/24
!
zone private
 network branch
  ip subnet 192.168.100.0/24
 network proxy
  ip subnet 0.0.0.0/0 interface vlan1
  ip subnet 192.168.10.0/24
  ip subnet 192.168.11.0/24
 network tunnel_if
  ip subnet 172.16.100.0/30
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host routerA
   ip address 10.0.0.1
  host routerB
   ip address 10.0.0.2
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 dport 500
!
firewall
 rule 10 permit any from private to private no-state-enforcement
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.routerA to public.wan.routerB
 rule 40 permit isakmp from public.wan.routerB to public.wan.routerA
 rule 50 permit esp from public.wan.routerA to public.wan.routerB
 rule 60 permit esp from public.wan.routerB to public.wan.routerA
 protect
!
crypto isakmp key secret address 10.0.0.2
!
interface tunnel0
 mtu 1300
 tunnel source 10.0.0.1
 tunnel destination 10.0.0.2
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.100.1/30
 ip tcp adjust-mss 1260
!
ip route 0.0.0.0/0 192.168.10.100
ip route 10.0.0.2/32 ppp0
ip route 192.168.100.0/24 tunnel0
ip route 192.168.100.0/24 null 254
!
end

ルーターB(本製品)のコンフィグ

設定例集#103: [ 設定例集目次 ] ページ内目次
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 keepalive
 ppp username user@isp02
 ppp password passwd02
 ip address 10.0.0.2/32
 ip tcp adjust-mss pmtu
!
interface eth0
 ip address 192.168.100.1/24
!
zone private
 network lan
  ip subnet 192.168.100.0/24
 network proxy
  ip subnet 192.168.10.0/24
  ip subnet 192.168.11.0/24
 network tunnel
  ip subnet 0.0.0.0/0 interface tunnel0
 network tunnel_if
  ip subnet 172.16.100.0/30
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host routerA
   ip address 10.0.0.1
  host routerB
   ip address 10.0.0.2
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 dport 500
!
firewall
 rule 10 permit any from private to private no-state-enforcement
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.routerB to public.wan.routerA
 rule 40 permit isakmp from public.wan.routerA to public.wan.routerB
 rule 50 permit esp from public.wan.routerB to public.wan.routerA
 rule 60 permit esp from public.wan.routerA to public.wan.routerB
 rule 70 permit undecided from public.wan.routerB to public.wan
 rule 80 permit undecided from public.wan to public.wan.routerB
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
crypto isakmp key secret address 10.0.0.1
!
interface tunnel0
 mtu 1300
 tunnel source 10.0.0.2
 tunnel destination 10.0.0.1
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.100.2/30
 ip tcp adjust-mss 1260
!
dpi
 provider built-in
 counters detailed
 learning
 enable
!
web-redirect
 mode proxy
 proxy-host 192.168.10.100 port 3128
 exclude app office365
 enable
!
policy-based-routing
 application-decision once-only
 ip policy-route 1 match office365 to private.tunnel nexthop ppp0
 policy-based-routing enable
!
ip name-server 192.168.11.100
!
ip route 0.0.0.0/0 tunnel1
ip route 0.0.0.0/0 null 254
ip route 10.0.0.1/32 ppp0
!
ip dns forwarding
!
end


設定例集#103: [ 設定例集目次 ] ページ内目次

(C) 2021 - 2022 アライドテレシスホールディングス株式会社

PN: 613-002993 Rev.D