コントロールパネル
[目次]
・インターネットブレイクアウト
-概要
-インターネットブレイクアウトの動作
-対象アプリケーション
-ファイアウォール機能
-デフォルトルート拠点との併用
-ブレイクアウトポリシーにより設定可能な通信の制御
-その他の機能との併用
-制限事項
インターネットブレイクアウト
VPNを経由せず、拠点エッジ装置からインターネットへ直接通信を行う機能を提供します。
すべてのインターネット向けの接続を直接インターネットに向ける設定や、指定したプロトコルや特定のアプリケーションのみインターネットへ通信させ、それ以外の通信はオーバレイネットワークへ通信させることができます。
概要
エッジ装置から直接インターネットへ通信を行う機能を提供します。この機能を使うと、すべてのインターネット向けの接続をエッジ装置から直接インターネットに通信させることや、特定の通信だけエッジ装置から直接インターネットに通信させることができます。
インターネットブレイクアウトの動作
- インターネットブレイクアウトはNAPTを用いてインターネット直接接続します。
NAPT動作に対するパラメータ設定機能は提供しておりません。 - WAN接続にPPPoEを利用している場合はPPPoEでネゴシエーションしたネクストホップ、DHCPの場合はDHCPで払い出されたオプションのデフォルトGWをブレイクアウト先として選択します。
- WANに接続されているインターネット向け回線を利用してブレイクアウトを実現します。
- WAN-1、WAN-2にそれぞれ両方にインターネット回線を接続した構成での、ブレイクアウト設定について
-宛先アドレス/送信元アドレス/ポート番号により、ランダムに振り分けられて、WAN-1/WAN-2両方の回線を使用してブレイクアウト致します。
-ハイブリッドWAN設定を併用することで、トラフィッククラス毎にブレイクアウトで利用するWAN回線を指定できます。
障害時に、もう一方のWANに迂回させるか、迂回させないか、も合わせて設定可能です。
例)通常時はWAN‐1を使ってブレイクアウト。WAN-1回線が利用できない場合に、WAN‐2回線を使ってブレイクアウトさせる。
詳細は、ハイブリッドWAN設定のページをご参照ください。 - インターネットブレイクアウトを設定しますと、エッジ装置は自動的にWAN-1ポートのインターネット経路に対してデフォルトルートを保持します。ただし、ここで設定されたデフォルトルートは他拠点に経路伝搬はされません。
対象アプリケーション
インターネットブレイクアウトで制御可能なアプリケーションについては「提供機能(オーバーレイタイプ):トラフィッククラス/カスタムアプリケーション」を参照してください。
ファイアウォール機能
ファイアウォール機能により、インターネット向け通信に対してフィルタリングを行うことができます。
このフィルタリング設定はインターネット向け通信に対してのみ適用され、LANセグメントやVPN向けの通信には適用されません。
設定項目の設定値は以下となります。
項目 | 内容 | ||
IPフィルターの名前 | 新たに作成するIPフィルタ定義の名称を入力 | ||
IPフィルタの ルール |
動作 | deny | 選択しないでください |
accept | こちらを選択してください | ||
送信元セグメント | 「0.0.0.0/0」を入力 | ||
宛先セグメント | 「0.0.0.0/0」を入力 | ||
通信方向 | out | outを選択してください | |
プロトコル又はポート番号 | ALLを選択してください | ||
ポート指定 | 開始ポート番号 | 1 (デフォルトのまま) | |
終了ポート番号 | 65535 (デフォルトのまま) | ||
ステータス | 有効 | こちらを選択してください(デフォルトのまま) | |
無効 | 選択しないでください |
デフォルトルート拠点との併用
他拠点のエッジ装置のLAN側のインターネット環境へ通信させ、特定の通信を自拠点のエッジ装置でブレイクアウトすることが可能です。
前提として、他拠点のLANにインターネット経路があり、他拠点エッジ装置でデフォルトルートが設定されますが、自拠点エッジ装置で、ファイアウォール機能により自動的にWAN-1に設定されるデフォルトルートと、 他拠点エッジ装置から広報されたデフォルトルートは等コストとなり、ロードバランスされます。
そのため、他拠点のエッジ装置のLANに設定したデフォルトルートを優先させるため、インターネットブレイクアウトポリシー定義にて、「ブレイクアウト」で「remote」を選択し、「トラフィッククラス」」に「__default__」に指定する必要があります。その際に「local」も必ず指定してください。
なお、他拠点エッジ装置側の故障等により、デフォルトルートが広報されなくなると、すべてのブレイクアウト通信は自拠点のデフォルトルートに転送されます。
トラフィックグラフおよび「__default__」の設定ついては「提供機能(オーバーレイタイプ):トラフィッククラス/カスタムトラフィック」を参照してください。
ブレイクアウトポリシーにより設定可能な通信の制御
設定内容 | remote (センター側) |
local (拠点側) |
|
設定例① |
特定の通信のみ、各拠点から直接インターネットに通信 その他通信は、センター側のデフォルトルートに則り通信 |
__default__ |
以下のアプリケーションを含むトラフィッククラス
|
設定例② | 従来のインターネットVPNのように、拠点間通信以外は、各拠点から直接インターネットへ通信 | 設定なし | __default__ |
以下の設定はサポートしておりません。設定しないようにご留意ください。
No | remote (センター側) | local (拠点側) |
例① |
以下のアプリケーションを含むトラフィッククラス
|
__default__ |
例② |
__default__ と、その他トラフィッククラスの組み合わせ |
以下のアプリケーションを含むトラフィッククラス
|
その他の機能との併用
- 自拠点エッジ装置で、インターネットブレイクアウト機能により自動的にWAN-1に設定されるデフォルトルートと、自拠点エッジ装置でStaticルート機能でデフォルトルートを設定した場合、デフォルトルートは等コストとなり、ロードバランスされますので設定しないでください。
制限事項
- WAN-2にデフォルトルートを設定した場合、WAN-1、WAN-2どちらからもブレイクアウト通信を行います。
- デフォルトルート拠点との併用の場合、以下の点にご留意ください。
- 一部トラフィックのみを自拠点(local)経由でブレイクアウト、その他通信をデフォルトルート拠点(remote)経由と設定した場合にも、自拠点~デフォルトルート拠点のDプレーントンネルが切断された場合、自拠点のデフォルトルートのみ有効となることにより、すべてのインターネット向け通信が自拠点からインターネットブレイクアウトする動作を行います。
- インターネットからLANへの通信は許可されておりません。
(例)FTPのPassiveモードはご利用できません。FTPをインターネットブレイクアウトでご利用する場合はActiveモードをご利用ください。
コメント
0件のコメント
記事コメントは受け付けていません。