<目次>
・トラフィッククラス
・トラフィッククラスの定義
-トラフィッククラスの関連図
-トラフィックグラフに表示されるアプリケーション情報
-トラフィッククラスの作成
-カスタムトラフィックと、独自のトラフィッククラスの作成
-特殊なトラフィッククラス(__default__)
・トラフィッククラスの利用
・トラフィッククラスの判定精度
-アプリケーション識別の方法と精度
-トラフィック制御に対応したアプリケーションの種類(Office 365、Windows Update)
-アプリケーションの固有動作
-Proxyとの併用
・制限事項
トラフィッククラス
アプリケーションレイヤの通信制御は制御するアプリケーションや複数のアプリケーションのまとまりを、「トラフィッククラス」として定義します。トラフィッククラスをインターネットブレイクアウトやハイブリッドWAN、QoSなどの機能に紐づけることによりそれぞれの通信制御を実現します。
インターネットブレイクアウトやハイブリッドWAN、QoSなどの機能を利用いただく際には、CloudWANのエッジ装置に事前に組み込まれているトラフィッククラスを利用いただく以外に、独自のトラフィッククラスを定義することができ、組み込みのトラフィッククラスと同様に利用することができます。コントロールパネルから作成した独自のトラフィッククラスは、テナント単位で共有されます。
トラフィッククラスの定義
トラフィッククラスの関連図
トラフィッククラスの構成は以下の図のとおりです。
トラフィックグラフに表示されるアプリケーション情報
CloudWANのエッジ装置には、事前に定義された組み込みのプロトコル・アプリケーション定義を持っています。下記表が組み込みプロトコル・アプリケーションの一例となります。
トラフィックのグラフで表示されるアプリケーションの一例は以下の通りです。
また、制御可能なアプリケーションについては、制御に対応したアプリケーションを参照ください
※画像を拡大するには、「右クリック > 新しいタブで画像を開く、画像だけを表示 など」を実施ください。
なお、記載のトラフィッククラスは予告なく追加、変更、削除される場合があります。
トラフィッククラスの作成
トラフィッククラスは、複数のプロトコル・アプリケーションをまとめて1つのトラフィッククラスとして定義します。定義の作成は「トラフィッククラス作成」において、任意の名称を指定したうえで、アプリケーション選択にて、既存のアプリケーション定義(もしくは後述するカスタムトラフィック)を指定により有効になります。
設定項目の設定値は以下となります。また、最大設定項目数は30個までとなります。
項目 | 内容 |
名前 | 作成するクラス定義の名称を入力 |
メモ | 備考欄として利用 |
アプリケーション選択 | 作成したカスタムトラフィックまたは組み込みのアプリケーション定義を選択(複数指定可) |
「アプリケーション選択」には、複数のプロトコル・アプリケーションをまとめて登録できますので、必要な識別情報のパッケージ化されたトラフィッククラスを作成することができます。
カスタムトラフィックと、独自のトラフィッククラスの作成
トラフィッククラスとして制御するアプリケーション定義を、お客様指定のプロトコル(主にIPプロトコルおよびポート番号)にて作成することができます。作成は以下の手順になります。
- 「カスタムトラフィック作成」により、個別のプロトコルを定義(複数可)
- 「トラフィッククラス作成」にて作成したカスタムトラフィックを「アプリケーション選択」から指定
組み込みのプロトコルやアプリケーションを利用するトラフィッククラスの作成と同様に、「アプリケーション選択」では、独自に作成されたプロトコルや組み込みのアプリケーション定義も含めて、まとめて登録できますので、お客様独自のパッケージ化されたトラフィッククラスを作成することができます。
お客様が自由に設定可能なカスタムトラフィックの設定項目は以下となります。
項目 | 内容 | |
名前 | 作成するカスタムトラフィック定義の名称を入力 | |
メモ |
備考欄として利用 |
|
内容 | TCP / UDP / ICMP / 指定しない(全てのプロトコル) |
対象プロトコルの選択 |
宛先IPアドレス | 対象とする宛先のIPアドレスもしくはネットワークアドレスを指定 | |
宛先ポート番号 |
対象とする宛先のポート番号を指定 |
|
送信元IPアドレス | 対象とする送信元のIPアドレスもしくはネットワークアドレスを指定 | |
送信元ポート番号 |
対象とする送信元のポート番号を指定 |
特殊なトラフィッククラス(__default__)
インターネットブレイクアウトやハイブリッドWANなど、通信を制御する際に「指定外のデフォルトの通信」の指定ために特殊な定義が存在します。これは「トラフィッククラス作成」を行っていただき、その設定において以下2つの指定により有効になります。
設定項目の設定値は以下となります。
項目 | 内容 |
名前 | __default__(アンダーバー2つ”default”アンダーバー2つ) |
メモ | 備考欄として利用(入力不要) |
アプリケーション選択 | 空欄 |
トラフィッククラスの利用
各機能でのトラフィッククラスの利用
インターネットブレイクアウトやハイブリッドWAN、QoSなどの機能でトラフィッククラスを指定することになりますが、組み込みのトラフィッククラスと独自のトラフィッククラスは差分なく表示され利用できます。
また、トラフィックグラフなど、アプリケーション毎のトラフィック情報についても、独自トラフィックを作成した場合には独自トラフィックに紐づけて取得・表示が可能です。
なお、インターネットブレイクアウト、ハイブリッドWAN、QoSに、同じトラフィッククラスを選択しないでください。設定した場合動作不安定となり、サポート外となります。
また、異なるトラフィッククラスを選択している場合でも、他のトラフィッククラスですでに指定されているものと同じアプリケーション (組み込みのプロトコルやアプリケーション、カスタムトラフィック ) や通信条件として重複する場合も同様です。
トラフィッククラスの判定精度
アプリケーション識別の方法と精度
組み込みのプロトコルやアプリケーションの識別のうち、特にアプリケーションの識別においては、複数の実装方式から、アプリケーション毎に最適な方式を選択しています。
主な判定方法を以下のとおりです。
項目 | 内容 | 注意事項 |
指定FQDN(ドメイン) | Microsoftなどアプリケーション提供元が公開しているFQDN(ドメイン)を判定条件とします。 Microsoft Office 365とWindows Updateの2つが対象です。
|
公開FQDN(ドメイン)に変更が発生した場合に、エッジ装置の情報更新にタイムラグがあるため、正しく判定が行えない期間があります。 |
パケット内容・シグネチャ | パケット内容のうち、データ内容やシグネチャを判定条件とします。 |
アプリケーション特定のために、複数パケットの内容をトレースする必要があるため、特定までのいくつかの初期パケットが判定できない場合があります。 |
IPプロトコル | パケット内容のうち、IPレイヤでのTCPやUDP、ポート番号により判定条件とします。 |
主だった注意事項はありません。 |
なお、上記実装方式は予告なく変更する場合がございます。そのため、識別や判定の精密さや正確さは保証するものではありません。
トラフィック制御に対応した、アプリケーションの種類
コントロールパネルから設定可能なトラフィックの制御に対応したアプリケーションは以下の通りです。
トラフィックの制御の種類
サービスタイプ | 項目 |
オーバーレイタイプ | インターネットブレイクアウト |
セキュアパッケージタイプ |
制御に対応したアプリケーション
Master’sONE CloudWAN オーバーレイタイプに限り、Web会議サービス等をインターネットブレイクアウトできるようにするため、beta提供としてアプリケーションを追加し、2020年7月よりリリースします。
アプリケーション |
詳細 |
|
Office365 | Office Online | Word |
Excel | ||
PowerPoint | ||
OneDrive | ||
メール | ||
SharePoint | ||
Exchange | ||
Teams(beta版) |
||
ローカルにインストールしたアプリケーション |
Exchange ※以下のアプリケーションにて、動作確認済み |
|
Windows Update |
以下OSにて動作確認済み
|
|
GoogleDrive(beta版) |
Webブラウザ、およびローカルアプリケーションからの操作にて、動作確認済み |
|
Zoom(beta版) |
パソコン版のZoomアプリケーション、および「接続タイプ:Zoom ウェブサイト」のみ対象となります。 |
|
Webex(beta版) | Cisco Webex Meetings をインストールした通信のみ対象となります。 Cisco Webex をブラウザ上で実行する通信は、対象外となります。 |
|
B-Room(beta版) | Webブラウザからの操作にて、動作確認済み | |
Arcstar Smart PBX | IP電話端末、スマートフォン、ソフトフォンにて、動作確認済み |
エッジ装置内部には、トラフィックを識別するための“ドメイン名のリスト”を保持しており、ドメイン名により対応アプリケーションを判定します。
ドメイン名による判定
ドメイン名による名前解決結果をエッジ装置が学習することにより、対応する“グローバルIPアドレスのリスト”を生成します。リストの生成には以下の条件を満たす必要があります。
- 通信の宛先と、エッジ装置が保持するドメイン名のリストが合致する
- Dプレーントンネルを経由して、エッジ装置配下の端末が対象アプリケーションの名前解決を行う
(カスタムトラフィックでの指定により、名前解決の通信がブレイクアウトした場合は対象外となります)
リストのグローバルIPアドレスと、エッジ装置配下の端末が通信する際の宛先IPアドレスと合致した際に、トラフィックが制御されます。対象のアプリケーションに含まれる、すべてのドメイン名は保持しておりません。弊社での検証結果から、保持するドメイン名を以下の通り選定しております。
アプリケーション |
トラフィッククラスに表示される アプリケーション選択の表示 |
ドメイン名選定ルール |
Office 365
|
Office365_app |
Microsoft社が提供する下記Webサイトから、選定ルールに則りドメイン名リストを設定しております。 ■ドメイン名リスト 選定ルール
|
Office365-01_app |
Microsoft社が提供する下記Webサイトから、選定ルールに則りドメイン名およびグローバルIPアドレスリストを設定しております。 ■グローバルIPアドレスリスト 選定ルール
|
|
Office 365 Teams(beta版) |
Teams-beta-01_app |
Microsoft社が提供する下記Webサイトから、選定ルールに則りドメイン名およびグローバルIPアドレスリストを設定しております。 ■ドメイン名リスト 選定ルール
■グローバルIPアドレスリスト 選定ルール
|
Windows Update |
WindowsUpdate_app |
Microsoft社が提供する下記Webサイトから、ドメイン名リストを設定しております。 https://blogs.technet.microsoft.com/jpwsus/2017/02/27/wu-mu-list/ |
Google Drive(beta版) |
GoogleDrive-beta_app |
Google社が提供する下記Webサイトから、ドメイン名リストを設定しております。 |
Zoom(beta版) |
Zoom-beta_app |
Zoom社が提供するサイトから、ドメイン名リスト(Zoom ウェブサイト)を設定しております。 |
Webex(beta版) |
Webex-beta_app |
Cisco社が提供するサイトから、ドメイン名リスト(ホワイトリストに追加する必要のあるドメイン) 、及び *.quovadisglobal.com を設定しております。 |
B-Room(beta版) |
B-Room-beta_app |
登録されたドメイン名リスト |
Arcstar Smart PBX |
Smart-PBX-01_app |
登録されたドメイン名リストおよび特定グローバルIPアドレス向けのRTP/UDP通信が対象 *.smart-pbx.jp |
例: インターネットブレイクアウトにおける、ドメイン名による判定の仕組み
アプリケーションの固有動作
アプリケーションの識別において、「一般的に想定される使用方法」をベースに動作を確認しています。そのため、アプリケーションの特定操作のおいて個別の通信が発生した際に検知できない場合があります。
Proxyとの併用
HTTPやHTTPSなどの通信においてWebProxyを利用されている場合、送信先IPアドレスがProxyサーバーあてとなるため、Office365やWindows Updateなどの指定グローバルIPアドレスで検知を行うアプリケーション識別は利用できません。
制限事項
- インターネットブレイクアウト、ハイブリッドWAN、QoSに、同じトラフィッククラスを選択しないでください。設定した場合動作不安定となります。また、異なるトラフィッククラスを選択している場合でも、他のトラフィッククラスですでに指定されているものと同じアプリケーション ( 組み込みのプロトコルやアプリケーション、カスタムトラフィック ) を指定した場合も同様です。
- トラフィッククラスを作成すると接続されているすべてのエッジ装置へ作成したトラフィッククラスの設定が反映されます。仮に作成したトラフィッククラスをインターネットブレイクアウトやハイブリッドWANなどの各ポリシーに設定していなくても、作成したトラフィッククラスの通信条件にマッチした場合、元々設定していたインターネットブレイクアウトやハイブリッドWANポリシーが正しく動作しない可能性がございます。そのため、不要なトラフィッククラスは削除ください。
- IPフラグメントされた状態でエッジ装置 LAN側ポートに到着したパケットは、正しくトラフィック分類されません。LAN側でパケットがフラグメントされないようにご留意ください。
- 制御に対応したアプリケーション(Office365、WIndows Update)をトラフィッククラスに設定する場合、カスタムトラフィックの設定内容が競合しないようご注意ください。通信に影響を及ぼす可能性があります。
- ご利用いただいているISPのCDNの方式などにより、Windows UpdateやOffice365などのアプリケーション識別率が低くなる場合がございます。
- 組み込みのプロトコルやアプリケーションの識別率の目標値は定めておりません。
beta版利用時の留意事項
- Master'sONE CloudWANを契約中のお客様に対し、テスト中の一部または全部の機能(以下、「β提供サービス」と言います。)を提供いたします。beta提供サービスはMaster‘sONE CloudWANの中で提供される一部のサービスであり、Master’sONE利用規約、及び以下のMaster‘sONE CloudWAN beta提供サービス利用条件が適用されます。お客様は、本利用条件に同意した場合に限り、β提供サービスを利用することができます。
- beta提供サービスは、正式リリース前の評価版であり、beta版提供サービスの機能は無償でご利用いただけます。
- beta提供サービスが提供される機能は、コントロールパネルや本サポートサイトに「β提供サービス」の機能と表示している機能に限ります。
- beta提供サービスをご利用される際には、事前にテストしてご利用いただくことを強くお勧めしております。
- beta提供サービスは、開発中の機能であり、バグや瑕疵、誤動作など、正常に稼働できない症状等の不具合を含み得えます。当社は、その正確性・完全性・有用性・信頼性・無害性等に関していかなる保証もしないものとします。
- beta提供にかかる機能などの設定情報は、予告なく一部または全部が削除されたり、変更する場合があるものとします。
- beta提供サービスは、Master'sONE CloudWANにて提供するSLAの対象外となります。
- 随時beta提供サービスの機能を変更します。コンテンツ、サービスおよびソフトウェアは、自動的かつ予告なく変更されることがあるものとします。かかる変更は自動アップデートまたは手動アップグレードによることがあり、その結果、機能性または有用性の喪失が生じることがあるものとし、お客様は、beta提供サービスに基づき当社がかかる変更を行うこと、および法令に別段の定めがない限り当社は機能性および有用性の喪失について、責任を負わないことについて同意するものとします。
- お客様がbeta提供サービスを利用したことにより何らかの不具合、損害等が発生した場合でも、当社はこれらに対する責任(補償や賠償を含むが、これらに限られない)は一切行わないものとします。
- 当社は、設備の点検や緊急の保守・点検作業などにより、当社の判断で、いつでもβ提供サービスの一部または全部を中止することができるものとします。
- 当社は、お客様がbeta提供サービスまたはMaster‘sONEの規約に違反していると当社が判断した場合には、当社または第三者の利益を保護するために必要なあらゆる措置をとることができるものとします。
※Windows、Office 365、Word、Excel、PowerPoint、OneDrive、SharePointおよびExchangeは、米国Microsoft Corporationの、米国およびその他の国における登録商標または商標です。
コメント
0件のコメント
記事コメントは受け付けていません。