インターネットブレイクアウト
1.ネットワーク定義の設定
2.カスタムトラフィック定義の設定
3.トラフィッククラス定義の設定
4.IP フィルター(ブレイクアウト)定義の設定
5.インターネットブレイクアウトポリシー定義の設定
6.LANポート設定
インターネットブレイクアウト
設定の順序
インターネットブレイクアウトを設定する場合には事前に各設定情報の参照先を定義する必要があります。設定項目における設定手順及び相関関係は下図の通りです。
- ネットワーク定義の設定
- カスタムトラフィック定義の設定
- トラフィッククラス定義の設定
- IP フィルター定義の設定
- インターネットブレイクアウトポリシー定義の設定
- LANポート設定
1.ネットワーク定義の設定
- インターネットブレイクアウトの設定を行うには、最初に「ネットワーク」定義を作成します。すでに作成済みの「ネットワーク」定義の設定があればそちらを活用ください。
- 利用する「ネットワーク」定義に「割り当てIPアドレス帯」を設定します。
- 「割り当てIPアドレス帯」は、ネットワーク定義を設定する全てのエッジ装置のブレイクアウトの内部処理用のサブネットとして自動的に利用します。1拠点に使用するエッジ装置のブレイクアウトの内部処理用のサブネットは、/30のサブネットとして4つのIPアドレス(例. 192.168.1.0/30 の場合、4つのIPアドレス(192.168.1.0, 192.168.1.1, 192.168.1.3, 192.168.1.4))が必要となります。ご利用する拠点数×4つのIPアドレス数を確保した1つサブネット範囲を「割り当てIPアドレス帯」に指定ください。
- 「割り当てIPアドレス帯」は、お客様の全てのLAN側IPアドレスと重複しない(現在お客様ネットワークで利用していない)サブネットを指定ください。重複した場合の動作はサポート外です。
- 「割り当てIPアドレス帯」に設定するサブネット範囲と、拠点数の関係は下表のとおりです。必ずお客様拠点数よりブレイクアウト設定上限 拠点数が多くなるように「割り当てIPアドレス」を設定して下さい。
- 「割り当てIPアドレス帯」は、/1~/24の範囲で指定が必要です。
| 凡例 | お客様拠点数 | 割り当てIPアドレス帯 | ブレイクアウト設定上限 拠点数 |
| 1 | 5 | 192.168.1.0/24 ※最小/24のため |
ブレイクアウト設定上限 8拠点 <32個(/27のIPアドレス)÷4個(/30のIPアドレス)=8拠点分> |
| 2 | 10 |
192.168.1.0/24 |
ブレイクアウト設定上限 16拠点 <64個(/26のIPアドレス)÷4個(/30のIPアドレス)=16拠点分> |
| 3 | 50 | 192.168.1.0/24 |
ブレイクアウト設定上限 64拠点 <256個(/24のIPアドレス)÷4個(/30のIPアドレス)=64拠点分> |
| 4 | 100 | 192.168.0.0/23 |
ブレイクアウト設定上限 128拠点 <512個(/28のIPアドレス)÷4個(/30のIPアドレス)=128拠点分> |
| 5 | 200(最大) | 192.168.0.0/22 |
ブレイクアウト設定上限 200拠点(拠点数上限のため) <1024個(/22のIPアドレス)÷4個(/30のIPアドレス)=256拠点分> |
※上表の凡例では「192.168.1.0」のIPアドレスを利用しましたが、実際の割り当てIPアドレス帯は、お客様の全てのLAN側IPアドレスと重複しない(現在お客様ネットワークで利用していない)サブネットを指定ください。
設定手順
ここではブレイクアウト機能で利用するネットワーク設定について説明します。
- TOP画面 > ネットワーク > ネットワーク一覧 > ネットワーク作成をクリック
設定項目の設定値は以下となります。
| 項目 | 内容 | |
| 名前 | 作成するカスタムトラフィック定義の名称を入力 | |
| メモ | 備考欄として利用 最大60文字まで入力可能 |
|
パラメータ値
名前
設定値:[ネットワーク定義の名称のテキスト]
新たに作成するネットワーク定義の名称を入力します。
例:SDWANネットワーク
メモ
設定値:備考欄としてのテキスト
作成するネットワーク定義の備考/補足説明してテキストを入力します。
最大60文字まで入力可能です。
設定手順
作成したネットワーク定義にブレイクアウトの内部処理用のサブネットを指定します。
- TOP画面 > ネットワーク > ネットワーク一覧 > 作成したネットワーク名をクリック > 割り当てIPアドレス帯 追加 をクリック
設定項目の設定値は以下となります。
| 項目 | 内容 | |
| 割り当てIPアドレス帯 | サブネットを/1~/24の範囲で指定ください。 | |
| 種別 |
service |
|
パラメータ値
割り当てIPアドレス帯
設定値:サブネット
そのテナントで利用する全拠点のブレイクアウト内部処理用のサブネットを指定します。
例:192.168.1.0/24
種別
設定値:service
ここは変更不要です。Serviceのまま設定下さい。
2.カスタムトラフィック定義の設定
ブレイクアウト機能で制御したい個別の通信をカスタムトラフィック設定として定義するための設定となります。
ここで定義した通信は「トラフィッククラス」の中の「アプリケーション選択」に表示、選択することができるようになります。
設定手順
- TOP画面 > ブレイクアウト > テナント選択 > インターネットブレイクアウトポリシー > ポリシー構成 > カスタムトラフィック > [+カスタムトラフィック作成]
設定項目の設定値は以下となります。
| 項目 | 内容 | |
| 名前 | 作成するカスタムトラフィック定義の名称を入力 | |
| メモ |
備考欄として利用 |
|
| DSCP値 |
サポート外となります。 |
|
| 内容 | 宛先IPアドレス | 対象とする宛先のIPアドレスもしくはネットワークアドレスを指定 |
| 宛先ポート番号 |
対象とする宛先のポート番号を指定 |
|
| 有効にする |
有効化 |
|
| TCP / UDP / ICMP |
対象プロトコルの選択 |
|
| 送信元IPアドレス | 対象とする送信元のIPアドレスもしくはネットワークアドレスを指定 | |
| 送信元ポート番号 |
対象とする送信元のポート番号を指定 |
|
パラメータ値
名前
設定値:[カスタムトラフィック定義の名称のテキスト]
新たに作成するカスタムトラフィック定義の名称を入力します。
例:Simple-Traffic-APP
メモ
設定値:備考欄としてのテキスト
作成するカスタムトラフィック定義の備考/補足説明してテキストを入力します。
最大60文字まで入力可能です。
例:Simple-Traffic-APP
DSCP値
サポート外となります
宛先 IPアドレス
設定値:宛先のIPアドレスのテキスト
条件として宛先のIPアドレス ( HOST ) もしくはネットワークアドレスを指定します。
例:192.168.100.1 もしくは 192.168.100.0/24
宛先ポート番号
設定値:宛先ポート番号のテキスト
条件として宛先ポート番号を指定します。ポート番号は[+Add Item]により追加可能です。
1つのカスタムトラフィック定義あたり、10個まで作成が可能です。
1つの宛先ポート番号あたり、512連番までの範囲指定が可能です。
例:80
有効化
設定値:[チェックボックス]
チェックボックスをクリックすることでカスタムトラフィック定義を有効化します。
TCP/UDP/ICMP
設定値:[TCP / UDP / ICMP]
条件としてプロトコルを選択します。
送信元 IPアドレス
設定値:送信元のIPアドレスのテキスト
条件として送信元のIPアドレス ( HOST ) もしくはネットワークアドレスを指定します。
例:192.168.200.1 もしくは 192.168.200.0/24
送信元ポート番号
設定値:宛先ポート番号のテキスト
条件として宛先ポート番号を指定します。ポート番号は[+Add Item]により追加可能です。
1つのカスタムトラフィック定義あたり、10個まで作成が可能です。
1つの宛先ポート番号あたり、512連番までの範囲指定が可能です。
例:5000-5511
留意事項
- icmpを指定される場合には、宛先 / 送信元ポート番号を設定することはできません。
3.トラフィッククラス定義の設定
当該エッジ装置がインターネットブレイクアウト機能を用いて通信を行う場合に、組み込まれたアプリケーションや個別に設定したカスタムトラフィック定義を参照するためにクラス定義を作成します。
設定手順
- TOP画面 > ブレイクアウト > テナント選択 > インターネットブレイクアウトポリシー > ポリシー構成 > [トラフィッククラス] >[+トラフィッククラス作成]
設定項目の設定値は以下となります。
| 項目 | 内容 |
| 名前 | 作成するクラス定義の名称を入力 |
| メモ |
備考欄として利用 |
| アプリケーション選択 |
作成したカスタムアプリケーション、または組み込みのアプリケーションまたは通信プロトコルを選択 |
パラメータ値
名前
設定値:トラフィッククラス定義の名称のテキスト
新たに作成するトラフィッククラス定義の名称を入力します。
特定通信を指定する設定例(任意):Simple-Traffic-CLASS
デフォルトルート選択用の特殊設定例(指定): __(アンダーバー2つ)default__ (アンダーバー2つ)
メモ
設定値:備考欄としてのテキスト
新たに作成するトラフィッククラス定義の備考/補足説明して任意のテキストを入力します。
最大60文字まで入力が可能です。
特定通信を指定する設定例 (任意) :シンプルなトラフィック制御用のクラス定義
デフォルトルート選択用の特殊設定例(指定):リモートブレイクアウト用
カスタムトラフィック
設定値:[組み込みプロトコル / カスタムトラフィック定義]
特定通信を指定する条件として宛先ポート番号を指定します。
組み込みプロトコル (例.HTTPなど) や事前に定義したカスタムトラフィック定義を選択することも可能です。
ポート番号は[+Add Item]により追加可能です。
また、ここでリモートブレイクアウトのためのオブジェクトを定義する必要があります。
- 特定通信を指定する設定例(任意): [組み込みプロトコル / カスタムトラフィック定義] を選択
- デフォルトルート選択用の特殊設定例(指定): なし(カスタムトラフィックプロトコルを削除してください)
トラフィッククラスの初期選択プロトコルを(-)ボタンをクリックして削除してください。
トラフィッククラスの初期選択アプリケーションが消えたことを確認して、「作成」をクリックしてください。
以下の 制御可能なアプリケーションを指定したい場合、1つのトラフィッククラスに、複数のアプリケーション選択を含めて登録しなければならない場合があります。以下をご確認ください。
| 項目 | アプリケーション選択 |
| Office 365 |
以下の全てのアプリを1つのトラフィッククラスに含めて |
以下の beta版のアプリケーションを指定したい場合、1つのトラフィッククラスに、複数のアプリケーション選択を含めて登録しなければならない場合があります。以下をご確認ください。
| 項目 | アプリケーション選択 |
| Teams |
以下の全てのアプリを1つのトラフィッククラスに含めて |
| Zoom |
「Zoom-beta_app」 |
| Webex |
「Webex-beta_app」 |
| B-Boom |
「B-room-beta_app」 |
| Google Drive |
「GoogleDrive-beta_app」 |
| SmartPBX |
「Smart-PBX-01_app」、「Smart-PBX-02_app」、「Smart-PBX-03_app」 |
留意事項
- 個別に制御したいIPアドレスやポート番号がある場合には、事前にカスタムトラフィク定義が必要となります。
4.IP フィルター(ブレイクアウト)定義の設定
当該エッジ装置がインターネットブレイクアウト通信を行う場合に、ルールやポリシーを参照するためにIPフィルター(ブレイクアウト)を作成します。
IPフィルタではlocal(自拠点のエッジ装置のWAN側)からインターネットブレイクアウトする際にIPFilterの設定が可能です。この設定により、意図しない通信を遮断することができます。
そして、今までの定義を利用して、 インターネットブレイクアウトの通信ポリシーを定義します。
設定手順
- TOP画面 > ブレイクアウト > テナント選択 > インターネットブレイクアウトポリシー > ポリシー構成 > IPフィルター >[+IPフィルター作成]
設定項目の設定値は以下となります。
| 項目 | 内容 | ||
| IPフィルターの名前 | 新たに作成するIPフィルタ定義の名称を入力 | ||
|
IPフィルタのルール |
動作 | deny | 選択しないでください |
| accept | こちらを選択してください | ||
| 送信元セグメント | 「0.0.0.0/0」を入力 | ||
| 宛先セグメント | 「0.0.0.0/0」を入力 | ||
| 通信方向 | out | outを選択してください | |
| プロトコル又はポート番号 | ALLを選択してください | ||
| ポート指定 | 開始ポート番号 | 1 (デフォルトのまま) | |
| 終了ポート番号 | 65535 (デフォルトのまま) | ||
| ステータス | 有効 | こちらを選択してください(デフォルトのまま) | |
| 無効 | 選択しないでください | ||
パラメータ値
IPフィルターの名前
設定値:IPフィルター定義の名称のテキスト
新たに作成するIPフィルター定義の名称を入力します。
例:Internet-Breakout-RULE
動作
設定値:[Deny / Accept]
条件に合致した際の動作を選択します。
送信元セグメント
設定値:送信元のネットワークアドレスのテキスト
Filter条件として送信元のネットワークアドレスを指定します。
例:192.168.100.0/24
宛先セグメント
設定値:宛先のネットワークアドレスのテキスト
Filter条件として宛先のネットワークアドレスを指定します。
例:192.168.200.0/24
通信方向
設定値:[both / to-internet / from-internet]
Filter条件として通信の向きを定義するために選択します。
Both:双方向の通信を対象とします
to-internet:LANセグメントからインターネットへのアウトバウント通信を対象とします。
from-internet:インターネットからLANセグメントへのインバウント通信を対象とします。
プロトコル名
設定値:[対象となるプロトコル]
Filter条件としてプロトコルを定義するために選択します。
ALL:すべての通信を対象とします。すべての通信をインターネットブレイクアウトさせる場合に選択します。
プロトコル指定:HTTPなど、特定のプロトコルを対象とします。プロトコル (HTTPなど) を指定した場合には、自動的に対象となるポート番号 (80) の割り当てが行われます。仮にポート番号を指定しても無視されます。
TCPカスタム:特定のTCP通信を対象とします。この場合Port rangeでポート番号も指定してください。
UDPカスタム:特定のUDP通信を対象とします。この場合Port rangeでポート番号も指定してください。
ポート指定
設定値:TCP/UDPカスタムをプロトコル名で選択する際に入力するポート番号のテキスト
開始ポート番号:ポート番号の範囲を指定する場合の開始番号となります
終了ポート番号:ポート番号の範囲を指定する場合の終了番号となります。
1つのポート番号だけ指定する場合には開始ポート番号及び終了ポート番号に同じポート番号を指定してください。
留意事項
- TCP/UDPカスタムを利用する場合、必ずPort rangeを指定してください。デフォルトでは1~65535となっています。
- ALL_ICMPを利用する場合、ポート番号を指定頂く必要はございません。
- ALL_ICMP、PINGの動作に差異はございません。ALL_ICMPを設定ください。
5.インターネットブレイクアウトポリシー定義の設定
トラフィッククラス定義やIPフィルター定義を1つのインターネットブレイクアウトポリシー定義として関連づけるための設定を行います。
ブレイクアウトポリシーは、最大60個まで作成できます。
設定手順
- TOP画面 > ブレイクアウト > テナント選択 > インターネットブレイクアウトポリシー > [+インターネットブレイクアウトポリシー作成]
設定項目の設定値は以下となります。
| 項目 | 内容 |
| インターネットブレイクアウトポリシー名 | 新たに作成するインターネットブレイクアウトポリシー定義の名称を入力 |
| IPフィルター選択 | 参照するIPフィルター定義を選択 |
| URLフィルター | サポート外となります |
| ブレイクアウト(remote/local) | Local or Remote を選択 |
| トラフィッククラス | 作成したトラフィッククラス定義の名称を選択 |
パラメータ値
インターネットブレイクアウトポリシー名
設定値:インターネットブレイクアウトポリシー定義の名称のテキスト
新たに作成するインターネットブレイクアウトポリシー定義の名称を入力します。
例:Internet-Breakout-POLICY
IPフィルター選択
設定値:[IPフィルター定義]
Filterの条件を参照するため、事前に作成したIPフィルター定義を選択します。
例:Internet-Breakout-RULE
URLフィルター
設定値:サポート外となります。
ブレイクアウト
設定値:local / remoteを選択
インターネットブレイクアウトを自拠点(Local)又は他拠点(remote)で実施するか選択します。 「remote」を選択する場合には、他拠点側のエッジ装置のlan側にインターネット環境があり、Static route(0.0.0.0/0)が予め設定され、デフォルトルートを自拠点まで経路広告させる必要があります。
また、リモート拠点(他拠点のエッジ装置)のLAN側のインターネット向けのデフォルトルートを優先させる場合には、remoteを選択するだけでなく、トラフィッククラスに「__default__」を指定してください。それにより、自拠点のデフォルトルートより、経路広告で他拠点から受信するデフォルトルートを優先して通信させることができます。
「local」を選択する場合は、ローカル拠点(自拠点のエッジ装置)のエッジ装置のネットワークにインターネットブレイクアウトポリシーを適用し、有効化されたタイミングで自動的にwan-1にデフォルトルートが設定されますが、他の拠点からくるデフォルトルートに影響されないように、インターネットブレイクアウトポリシーのトラフィッククラス定義に「__default__」を指定し、breakoutに「local」を指定してください。
トラフィッククラス
設定値:[Class定義]
事前に作成したトラフィッククラス定義を参照するために指定します。
また、トラフィッククラスに「__default__」を参照させることにより、ブレイクアウトで選択したデフォルトルートをLocal / remoteのどちらを優先するか定義することが出来ます。Local(自拠点のエッジ装置)でICMPのみブレイクアウトさせ、それ以外(デフォルトルート)はRemote(他拠点のエッジ装置)へ通信させる場合は次の図の設定となります。
留意事項
- お客さまにより作成されたトラフィッククラスは、インターネットブレイクアウトポリシーに設定されているか否かを問わず、変更および削除が可能です。
設定済みのトラフィッククラスを削除した場合、当該ポリシーのトラフィッククラスが選択されない状態 ( Nothing selected ) となります。
6.LANポート設定
当該エッジ装置のLAN I / Fにネットワーク定義の紐付けを行います。この際に事前に設定した「ネットワーク(1. ネットワーク定義の設定)」「インターネットブレイクアウトポリシー(5.インターネットブレイクアウトポリシー定義の設定)」を参照します。
エッジ装置毎に個別にブレイクアウトポリシーは設定する事が出来ます。また、LAN I / Fも個別に LAN-1、LAN-2など自由に指定可能であり、セグメンテーションによりネットワークを分けている場合でも問題なく設定できます。
設定手順
- TOP画面 > 拠点 > テナント選択 > 対象テナントを選択 > 対象拠点名を選択 > LANポート画面[lan-1/lan-2の編集ボタン] > [Port作成]
設定項目の設定値は以下となります。
| 項目 | 内容 |
| ネットワーク選択 | 所属するネットワークを指定します。 「1. ネットワーク定義の設定」で作成したネットワーク定義を指定します。 |
| インターネットブレイクアウトポリシー | 作成したインターネットブレイクアウトポリシーを指定します。 「5.インターネットブレイクアウトポリシー定義の設定」で作成したポリシーを指定します。 |
| LANネットワークアドレス/サブネットマスク | 利用ネットワークアドレス サブネットマスクを含めて入力 |
| LANインターフェースのプライマリIPアドレス | エッジ装置のLAN側 I / FのIPアドレスを入力 |
| LANインターフェースのセカンダリIPアドレス(非サポート) | サポート外となります。 |
パラメータ値
ネットワーク選択
設定値:[Network定義]
インターネットブレイクアウト用に定義したネットワーク定義(「1. ネットワーク定義の設定」で作成したネットワーク定義)を指定します。
当該エッジ装置が通信を行うネットワーク定義を指定する。同一のVPN契約であっても、このネットワーク定義が異なるエッジ装置間での通信は行えません。
例:SDWANネットワーク
インターネットブレイクアウトポリシー
設定値:[インターネットブレイクアウトポリシー定義]
インターネットブレイクアウトポリシーで定義したポリシー(「5.インターネットブレイクアウトポリシー定義の設定」で作成したポリシー)を適用します。インターネットブレイクアウトポリシーの定義は「コントロールパネルマニュアル:インターネットブレイクアウト」を参照してください。
LANネットワークアドレス/サブネットマスク
設定値:LAN-I/Fで利用するIPアドレスのテキスト
クラスA、クラスCおよびお客さまが正規に申請されたグローバルIPアドレスのみ指定が可能となります。入力値としてその他の値も入力可能ですが、 動作保証はしません。
例:192.168.100.0/24
LANインターフェースのプライマリIPアドレス
設定値:LAN-I/Fで利用するIPアドレスのテキスト
[Prefix]で指定したクラスセグメントから1つのアドレスを指定して入力します。このアドレスがエッジ装置のLAN-I/FのIPアドレスとして設定されます。
ホットスタンバイ構成の場合は、Primary側のIPアドレスとして設定されます。
例:192.168.100.1
LANインターフェースのセカンダリIPアドレス
設定値:LAN I / Fで利用するIPアドレスのテキスト
シングル構成及びコールドスタンバイ構成時には利用しません。
ホットスタンバイ構成のSecondary側のIPアドレスとして設定されます。
以上で設定は完了です。
コメント
0件のコメント
記事コメントは受け付けていません。