設定例集#107: Webリダイレクト・プロキシーモードによるOffice365トラフィックのプロキシー回避
拠点側から外部への通信をセンター経由で行う構成において、センター側のルーターAでWebリダイレクト・プロキシーモードを使用し、拠点から外部への通信は原則としてプロキシーサーバーにリダイレクトしながら、Office365の通信だけは例外的にプロキシーサーバーを経由させず、ルーターAから直接ゲートウェイルーターに転送する設定例です。
本例ではルーターAを本製品とし、ルーターBは弊社AT-AR4050Sを想定しています。
これは次の流れで実現されます。
- ルーターAのDPI機能でOffice365のアプリケーションを判別する
- ルーターAのDPI学習機能でOffice365のアプリケーションの情報を記憶する
- 学習後に開始されたOffice365通信は、ルーターAのWebリダイレクト対象から除外され、プロキシーサーバーを経由せずルーターAから直接ゲートウェイルーターに転送されてOffice365サーバーに到達する
この例では、アプリケーションコントロール(DPI)機能において、製品内蔵のアプリケーションシグネチャデータベースを用いていますが、サンドバイン社が提供するアプリケーションシグネチャデータベースを使う場合の設定については、備考をご覧ください。
サンドバイン社が提供するアプリケーションシグネチャデータベースを使用するにはアニュアルライセンスが必要です
構成
| |
ルーターA
(センター) |
ルーターB
(拠点) |
| ルーターの基本設定 |
| WAN側物理インターフェース |
eth2 |
eth1 |
| WAN側(eth2/eth1)IPアドレス |
10.0.0.1/24 |
10.0.0.2/24 |
| LAN側(eth0)IPアドレス |
192.168.10.1/24 |
|
| LAN側(eth1/vlan1)IPアドレス |
192.168.20.1/24 |
192.168.100.1/24 |
| DNSサーバー |
192.168.20.100 |
192.168.20.100 |
[プロキシーサーバー]
- IPアドレス:192.168.10.100
- ポート:3128
AT-NFV-APLの事前設定
本設定例は、あらかじめ AT-NFV-APL側で以下のような設定を行っていることを前提としています。
使用するインターフェースの番号や数は適宜変更してかまいません。
事前設定の流れについては「AT-NFV-APL」/「準備」をご覧ください。
10ポート構成(eth1~eth10)のAT-NFV-APL-GTXを想定した例になっていますので、6ポート(eth1~eth6)構成のAT-NFV-APL-GTをご使用の場合は、使用するポートを適宜読み替えてください。
管理IPアドレス
詳細は「AT-NFV-APL」/「ネットワーク基本設定」をご覧ください。
| インターフェース |
IPアドレス |
| br0 |
192.168.10.254/24 |
ブリッジ
詳細は「AT-NFV-APL」/「ネットワーク基本設定」をご覧ください。
| ポート |
所属VLAN |
ネイティブVLAN |
| eth1~eth6 |
1 |
1 |
| eth7~eth9 |
2 |
2 |
| eth10 |
未所属 |
仮想インターフェース割り当て
vFirewallアプリケーションインスタンスの初期設定時には、下記のように仮想インターフェースを割り当てます。
詳細は「AT-NFV-APL」/「AW+ vFirewall」をご覧ください。
vFirewallの
インターフェース名 |
インターフェース
タイプ |
外部ネットワーク
VLAN ID |
ホスト
インターフェース |
IPv4アドレス |
| eth0 |
Virtual |
1 |
- |
192.168.10.1/24 |
| eth1 |
Virtual |
2 |
- |
未指定 |
| eth2 |
Physical |
- |
eth10 |
未指定 |
ルーターA(本製品)の設定
- WAN側インターフェースeth2にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
interface eth2
ip address 10.0.0.1/24
- LAN側インターフェースeth0のIPアドレスは、AT-NFV-APLの事前設定時に設定済みのため、次のコマンドを手で入力する必要はありません。
interface eth0
ip address 192.168.10.1/24
- LAN側インターフェースvlan20にIPアドレスを設定します。
interface eth1
ip address 192.168.20.1/24
- アプリケーションコントロール(DPI)およびDPI学習機能の設定を行います。
また、エンティティー別詳細統計(アプリケーションごとの送信パケット数、受信パケット数、送信バイト数、受信バイト数)も有効にします。
これには、dpi、provider、counters detailed、learning、enableの各コマンドを使います。
アプリケーションコントロール(DPI)の詳細は「UTM」/「アプリケーションコントロール(DPI)」をご覧ください。
dpi
provider built-in
counters detailed
learning
enable
- Webリダイレクト・プロキシーモードの設定を行います。LAN側からのWebアクセスをセンター側のプロキシーサーバーに透過的に転送する設定です。
・Webリダイレクトの設定開始(web-redirect)
・プロキシーモードへの切り替え(mode)
・プロキシーサーバーの指定(proxy-host)
・Office365アプリケーション通信の除外(exclude app)
・Webリダイレクト機能の有効化(enable)
Webリダイレクトの詳細は「トラフィック制御」/「Webリダイレクト」をご覧ください。
web-redirect
mode proxy
proxy-host 192.168.10.100 port 3128
exclude app office365
enable
- デフォルト経路(0.0.0.0/0)とルーターBのLAN側(192.168.100.0/24)への経路を設定します。これにはip routeコマンドを使います。
ip route 0.0.0.0/0 192.168.20.100
ip route 192.168.100.0/24 10.0.0.2
- 以上で設定は完了です。
end
ルーターB(AR4050S)の設定
- LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
no spanning-tree rstp enable
- eth1、vlan1インターフェースにそれぞれIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
interface eth1
ip address 10.0.0.2/24
interface vlan1
ip address 192.168.100.1/24
- DNSリレー機能の転送先DNSサーバーアドレスを手動設定します。これには、ip name-serverコマンドを使います。
ip name-server 192.168.20.100
- デフォルト経路をルーターAに向けます。これにはip routeコマンドを使います。
ip route 0.0.0.0/0 10.0.0.1
- DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
ip dns forwarding
- 以上で設定は完了です。
end
備考:サンドバイン社のアプリケーションシグネチャデータベースを使う場合
製品内蔵のアプリケーションシグネチャデータベースではなく、サンドバイン社が提供するデータベースを使用する場合は一部の設定を変更する必要があります。
サンドバイン社が提供するアプリケーションシグネチャデータベースを使用するにはアニュアルライセンスが必要です
以下、変更点だけを示します。
- アプリケーションシグネチャデータベースの提供元をサンドバイン社(procera)に変更します。
dpi
provider procera
counters detailed
learning
enable
- Webリダイレクト・プロキシーモードの動作対象から除外するアプリケーション名を「office365」から「office」に変更します。
web-redirect
mode proxy
proxy-host 192.168.10.100 port 3128
exclude app office
enable
設定の保存
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config ↓
Building configuration...
[OK]
また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory ↓
Building configuration...
[OK]
その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。
ルーターA(本製品)のコンフィグ
!
interface eth2
ip address 10.0.0.1/24
!
interface eth0
ip address 192.168.10.1/24
!
interface eth1
ip address 192.168.20.1/24
!
dpi
provider built-in
counters detailed
learning
enable
!
web-redirect
mode proxy
proxy-host 192.168.10.100 port 3128
exclude app office365
enable
!
ip route 0.0.0.0/0 192.168.20.100
ip route 192.168.100.0/24 10.0.0.2
!
end
ルーターB(AR4050S)のコンフィグ
!
no spanning-tree rstp enable
!
interface eth1
ip address 10.0.0.2/24
interface vlan1
ip address 192.168.100.1/24
!
ip name-server 192.168.20.100
!
ip route 0.0.0.0/0 10.0.0.1
!
ip dns forwarding
!
end
(C) 2021 - 2022 アライドテレシスホールディングス株式会社
PN: 613-002993 Rev.D