インターネットブレイクアウト
1.ネットワーク定義の設定
2.カスタムトラフィック定義の設定
3.トラフィッククラス定義の設定
4.IP フィルター(ブレイクアウト)定義の設定
5.インターネットブレイクアウトポリシー定義の設定
6.LANポート設定
インターネットブレイクアウト
設定の順序
インターネットブレイクアウトを設定する場合には事前に各設定情報の参照先を定義する必要があります。設定項目における設定手順及び相関関係は下図の通りです。
- ネットワーク定義の設定
- カスタムトラフィック定義の設定
- トラフィッククラス定義の設定
- IP フィルター定義の設定
- インターネットブレイクアウトポリシー定義の設定
- LANポート設定
1.ネットワーク定義の設定
- インターネットブレイクアウトの設定を行うには、最初に「ネットワーク」定義を作成します。すでに作成済みの「ネットワーク」定義の設定があればそちらを活用ください。
設定手順
ここではブレイクアウト機能で利用するネットワーク設定について説明します。
- TOP画面 > ネットワーク > ネットワーク一覧 > ネットワーク作成をクリック
設定項目の設定値は以下となります。
項目 | 内容 | |
名前 | 作成するカスタムトラフィック定義の名称を入力 | |
メモ | 備考欄として利用 最大60文字まで入力可能 |
パラメータ値
名前
設定値:[ネットワーク定義の名称のテキスト]
新たに作成するネットワーク定義の名称を入力します。
例:SDWANネットワーク
メモ
設定値:備考欄としてのテキスト
作成するネットワーク定義の備考/補足説明してテキストを入力します。
最大60文字まで入力可能です。
2.カスタムトラフィック定義の設定
ブレイクアウト機能で制御したい個別の通信をカスタムトラフィック設定として定義するための設定となります。
ここで定義した通信は「トラフィッククラス」の中の「アプリケーション選択」に表示、選択することができるようになります。
設定手順
- TOP画面 > ブレイクアウト > テナント選択 > インターネットブレイクアウトポリシー > ポリシー構成 > カスタムトラフィック > [+カスタムトラフィック作成]
設定項目の設定値は以下となります。
項目 | 内容 | |
名前 | 作成するカスタムトラフィック定義の名称を入力 | |
メモ |
備考欄として利用 |
|
DSCP値 |
サポート外となります。 |
|
内容 | 宛先IPアドレス | 対象とする宛先のIPアドレスもしくはネットワークアドレスを指定 |
宛先ポート番号 |
対象とする宛先のポート番号を指定 |
|
有効にする |
有効化 |
|
TCP / UDP / ICMP |
対象プロトコルの選択 |
|
送信元IPアドレス | 対象とする送信元のIPアドレスもしくはネットワークアドレスを指定 | |
送信元ポート番号 |
対象とする送信元のポート番号を指定 |
パラメータ値
名前
設定値:[カスタムトラフィック定義の名称のテキスト]
新たに作成するカスタムトラフィック定義の名称を入力します。
例:Simple-Traffic-APP
メモ
設定値:備考欄としてのテキスト
作成するカスタムトラフィック定義の備考/補足説明してテキストを入力します。
最大60文字まで入力可能です。
例:Simple-Traffic-APP
DSCP値
サポート外となります
宛先 IPアドレス
設定値:宛先のIPアドレスのテキスト
条件として宛先のIPアドレス ( HOST ) もしくはネットワークアドレスを指定します。
例:192.168.100.1 もしくは 192.168.100.0/24
宛先ポート番号
設定値:宛先ポート番号のテキスト
条件として宛先ポート番号を指定します。ポート番号は[+Add Item]により追加可能です。
1つのカスタムトラフィック定義あたり、10個まで作成が可能です。
1つの宛先ポート番号あたり、512連番までの範囲指定が可能です。
例:80
有効化
設定値:[チェックボックス]
チェックボックスをクリックすることでカスタムトラフィック定義を有効化します。
TCP/UDP/ICMP
設定値:[TCP / UDP / ICMP]
条件としてプロトコルを選択します。
送信元 IPアドレス
設定値:送信元のIPアドレスのテキスト
条件として送信元のIPアドレス ( HOST ) もしくはネットワークアドレスを指定します。
例:192.168.200.1 もしくは 192.168.200.0/24
送信元ポート番号
設定値:宛先ポート番号のテキスト
条件として宛先ポート番号を指定します。ポート番号は[+Add Item]により追加可能です。
1つのカスタムトラフィック定義あたり、10個まで作成が可能です。
1つの宛先ポート番号あたり、512連番までの範囲指定が可能です。
例:5000-5511
留意事項
- icmpを指定される場合には、宛先 / 送信元ポート番号を設定することはできません。
3.トラフィッククラス定義の設定
当該エッジ装置がインターネットブレイクアウト機能を用いて通信を行う場合に、組み込まれたアプリケーションや個別に設定したカスタムトラフィック定義を参照するためにクラス定義を作成します。
設定手順
- TOP画面 > ブレイクアウト > テナント選択 > インターネットブレイクアウトポリシー > ポリシー構成 > [トラフィッククラス] >[+トラフィッククラス作成]
設定項目の設定値は以下となります。
項目 | 内容 |
名前 | 作成するクラス定義の名称を入力 |
メモ |
備考欄として利用 |
アプリケーション選択 |
作成したカスタムアプリケーション、または組み込みのアプリケーションまたは通信プロトコルを選択 |
パラメータ値
名前
設定値:トラフィッククラス定義の名称のテキスト
新たに作成するトラフィッククラス定義の名称を入力します。
特定通信を指定する設定例(任意):Simple-Traffic-CLASS
デフォルトルート選択用の特殊設定例(指定): __(アンダーバー2つ)default__ (アンダーバー2つ)
メモ
設定値:備考欄としてのテキスト
新たに作成するトラフィッククラス定義の備考/補足説明して任意のテキストを入力します。
最大60文字まで入力が可能です。
特定通信を指定する設定例 (任意) :シンプルなトラフィック制御用のクラス定義
デフォルトルート選択用の特殊設定例(指定):リモートブレイクアウト用
カスタムトラフィック
設定値:[組み込みプロトコル / カスタムトラフィック定義]
特定通信を指定する条件として宛先ポート番号を指定します。
組み込みプロトコル (例.HTTPなど) や事前に定義したカスタムトラフィック定義を選択することも可能です。
ポート番号は[+Add Item]により追加可能です。
また、ここでリモートブレイクアウトのためのオブジェクトを定義する必要があります。
- 特定通信を指定する設定例(任意): [組み込みプロトコル / カスタムトラフィック定義] を選択
- デフォルトルート選択用の特殊設定例(指定): なし(カスタムトラフィックプロトコルを削除してください)
トラフィッククラスの初期選択プロトコルを(-)ボタンをクリックして削除してください。
トラフィッククラスの初期選択アプリケーションが消えたことを確認して、「作成」をクリックしてください。
以下の 制御可能なアプリケーションを指定したい場合、1つのトラフィッククラスに、複数のアプリケーション選択を含めて登録しなければならない場合があります。以下をご確認ください。
項目 | アプリケーション選択 |
Office 365 |
以下の全てのアプリを1つのトラフィッククラスに含めて |
以下の beta版のアプリケーションを指定したい場合、1つのトラフィッククラスに、複数のアプリケーション選択を含めて登録しなければならない場合があります。以下をご確認ください。
項目 | アプリケーション選択 |
Teams |
以下の全てのアプリを1つのトラフィッククラスに含めて |
Zoom |
「Zoom-beta_app」 |
Webex |
「Webex-beta_app」 |
B-Boom |
「B-room-beta_app」 |
Google Drive |
「GoogleDrive-beta_app」 |
SmartPBX |
「Smart-PBX-01_app」、「Smart-PBX-02_app」、「Smart-PBX-03_app」 |
留意事項
- 個別に制御したいIPアドレスやポート番号がある場合には、事前にカスタムトラフィク定義が必要となります。
4.IP フィルター(ブレイクアウト)定義の設定
当該エッジ装置がインターネットブレイクアウト通信を行う場合に、ルールやポリシーを参照するためにIPフィルター(ブレイクアウト)を作成します。
IPフィルタではlocal(自拠点のエッジ装置のWAN側)からインターネットブレイクアウトする際にIPFilterの設定が可能です。この設定により、意図しない通信を遮断することができます。
そして、今までの定義を利用して、 インターネットブレイクアウトの通信ポリシーを定義します。
設定手順
- TOP画面 > ブレイクアウト > テナント選択 > インターネットブレイクアウトポリシー > ポリシー構成 > IPフィルター >[+IPフィルター作成]
設定項目の設定値は以下となります。
項目 | 内容 | ||
IPフィルターの名前 | 新たに作成するIPフィルタ定義の名称を入力 | ||
IPフィルタのルール |
動作 | deny | インターネット抜けを禁止するアドレス帯がある場合は、以下の送信元セグメント・宛先セグメントで定義して設定下さい。 |
accept | インターネット抜けをさせたいアドレス帯を以下の送信元セグメント・宛先セグメントで定義して設定下さい。 | ||
送信元セグメント | 例 「0.0.0.0/0」(全てのアドレス帯の場合) | ||
宛先セグメント | 例 「0.0.0.0/0」(全てのアドレス帯の場合) | ||
プロトコル又はポート番号 | ALLを選択してください | ||
ポート指定 | 開始ポート番号 | 1 (デフォルトのまま) | |
終了ポート番号 | 65535 (デフォルトのまま) | ||
ステータス | 有効 | こちらを選択してください(デフォルトのまま) | |
無効 | 選択しないでください |
パラメータ値
IPフィルターの名前
設定値:IPフィルター定義の名称のテキスト
新たに作成するIPフィルター定義の名称を入力します。
例:Internet-Breakout-RULE
動作
設定値:[Deny / Accept]
条件に合致した際の動作を選択します。
送信元セグメント
設定値:送信元のネットワークアドレスのテキスト
Filter条件として送信元のネットワークアドレスを指定します。
例:192.168.100.0/24
宛先セグメント
設定値:宛先のネットワークアドレスのテキスト
Filter条件として宛先のネットワークアドレスを指定します。
例:192.168.200.0/24
プロトコル名
設定値:[対象となるプロトコル]
Filter条件としてプロトコルを定義するために選択します。
ALL:すべての通信を対象とします。すべての通信をインターネットブレイクアウトさせる場合に選択します。
プロトコル指定:HTTPなど、特定のプロトコルを対象とします。プロトコル (HTTPなど) を指定した場合には、自動的に対象となるポート番号 (80) の割り当てが行われます。仮にポート番号を指定しても無視されます。
TCPカスタム:特定のTCP通信を対象とします。この場合Port rangeでポート番号も指定してください。
UDPカスタム:特定のUDP通信を対象とします。この場合Port rangeでポート番号も指定してください。
ポート指定
設定値:TCP/UDPカスタムをプロトコル名で選択する際に入力するポート番号のテキスト
開始ポート番号:ポート番号の範囲を指定する場合の開始番号となります
終了ポート番号:ポート番号の範囲を指定する場合の終了番号となります。
1つのポート番号だけ指定する場合には開始ポート番号及び終了ポート番号に同じポート番号を指定してください。
留意事項
- TCP/UDPカスタムを利用する場合、必ずPort rangeを指定してください。デフォルトでは1~65535となっています。
- ALL_ICMPを利用する場合、ポート番号を指定頂く必要はございません。
- ALL_ICMP、PINGの動作に差異はございません。ALL_ICMPを設定ください。
5.インターネットブレイクアウトポリシー定義の設定
トラフィッククラス定義やIPフィルター定義を1つのインターネットブレイクアウトポリシー定義として関連づけるための設定を行います。
ブレイクアウトポリシーは、最大60個まで作成できます。
設定手順
- TOP画面 > ブレイクアウト > テナント選択 > インターネットブレイクアウトポリシー > [+インターネットブレイクアウトポリシー作成]
設定項目の設定値は以下となります。
項目 | 内容 |
インターネットブレイクアウトポリシー名 | 新たに作成するインターネットブレイクアウトポリシー定義の名称を入力 |
IPフィルター選択 | 参照するIPフィルター定義を選択 |
ブレイクアウト(remote/local) | Local or Remote を選択 |
トラフィッククラス | 作成したトラフィッククラス定義の名称を選択 |
パラメータ値
インターネットブレイクアウトポリシー名
設定値:インターネットブレイクアウトポリシー定義の名称のテキスト
新たに作成するインターネットブレイクアウトポリシー定義の名称を入力します。
例:Internet-Breakout-POLICY
IPフィルター選択
設定値:[IPフィルター定義]
Filterの条件を参照するため、事前に作成したIPフィルター定義を選択します。
例:Internet-Breakout-RULE
ブレイクアウト
設定値:local / remoteを選択
インターネットブレイクアウトを自拠点(Local)又は他拠点(remote)で実施するか選択します。
以下の4パターンが設定できます。
① インターネット向け通信全てを他拠点から通信させたい(全てリモートブレイクアウトさせたい)
② インターネット向け通信全てを自拠点から通信させたい(全てローカルブレイクアウトさせたい)
③ インターネット向け通信は、一部を自拠点、その他を他拠点から通信させたい。
④ インターネット向け通信は、一部を他拠点、その他を自拠点から通信させたい。
①の場合 (全てリモートブレイクアウトさせたい)
該当拠点でのブレイクアウト設定は不要です。他拠点側のエッジ装置のlan側にインターネット環境があり、Static route(0.0.0.0/0)または、Lan側BGP設定によるデフォルトルート(0.0.0.0/0) が予め設定され、デフォルトルートを自拠点まで経路広告させる必要がありますが、該当拠点でのブレイクアウト設定は不要です。設定してしまうと、自拠点にデフォルトルートが生成されてしまうため、設定しないでください。
②の場合 (全てローカルブレイクアウトさせたい)
インターネットブレイクアウトポリシーのトラフィッククラス定義に「__default__」を指定し、breakoutに「local」を指定ください。ローカル拠点(自拠点のエッジ装置)のエッジ装置のネットワークにインターネットブレイクアウトポリシーを適用したタイミングで自動的にwan-1にデフォルトルートが設定されます。
③の場合 (一部を自拠点、その他を他拠点から通信させたい。)
トラヒッククラス単位でlocalとremoteをそれぞれ両方設定します。
1つ目に local設定 :特定のトラフィッククラスを指定
2つ目に remote設定:「__default__」を指定します。
④の場合 (一部を他拠点、その他を自拠点から通信させたい。)
トラヒッククラス単位でlocalとremoteをそれぞれ両方設定します。
1つ目に remote設定:特定のトラフィッククラスを指定
2つ目に local設定 :「__default__」を指定します。
※remote設定は、local/remote併用したい場合のみに使用します。
トラフィッククラス
設定値:[Class定義]
事前に作成したトラフィッククラス定義を参照するために指定します。
また、トラフィッククラスに「__default__」を参照させることにより、ブレイクアウトで選択したデフォルトルートをLocal / remoteのどちらを優先するか定義することが出来ます。Local(自拠点のエッジ装置)でICMPのみブレイクアウトさせ、それ以外(デフォルトルート)はRemote(他拠点のエッジ装置)へ通信させる場合は次の図の設定となります。
留意事項
- お客さまにより作成されたトラフィッククラスは、インターネットブレイクアウトポリシーに設定されているか否かを問わず、変更および削除が可能です。
設定済みのトラフィッククラスを削除した場合、当該ポリシーのトラフィッククラスが選択されない状態 ( Nothing selected ) となります。
6.LANポート設定
当該エッジ装置のLAN I / Fにネットワーク定義の紐付けを行います。この際に事前に設定した「ネットワーク(1. ネットワーク定義の設定)」「インターネットブレイクアウトポリシー(5.インターネットブレイクアウトポリシー定義の設定)」を参照します。
エッジ装置毎に個別にブレイクアウトポリシーは設定する事が出来ます。また、LAN I / Fも個別に LAN-1、LAN-2など自由に指定可能であり、セグメンテーションによりネットワークを分けている場合でも問題なく設定できます。
設定手順
- TOP画面 > 拠点 > テナント選択 > 対象テナントを選択 > 対象拠点名を選択 > LANポート画面[lan-1/lan-2の編集ボタン] > [Port作成]
設定項目の設定値は以下となります。
項目 | 内容 |
ネットワーク選択 | 所属するネットワークを指定します。 「1. ネットワーク定義の設定」で作成したネットワーク定義を指定します。 |
インターネットブレイクアウトポリシー | 作成したインターネットブレイクアウトポリシーを指定します。 「5.インターネットブレイクアウトポリシー定義の設定」で作成したポリシーを指定します。 |
LANネットワークアドレス/サブネットマスク | 利用ネットワークアドレス サブネットマスクを含めて入力 |
LANインターフェースのプライマリIPアドレス | エッジ装置のLAN側 I / FのIPアドレスを入力 |
LANインターフェースのセカンダリIPアドレス(非サポート) | サポート外となります。 |
パラメータ値
ネットワーク選択
設定値:[Network定義]
インターネットブレイクアウト用に定義したネットワーク定義(「1. ネットワーク定義の設定」で作成したネットワーク定義)を指定します。
当該エッジ装置が通信を行うネットワーク定義を指定する。同一のVPN契約であっても、このネットワーク定義が異なるエッジ装置間での通信は行えません。
例:SDWANネットワーク
インターネットブレイクアウトポリシー
設定値:[インターネットブレイクアウトポリシー定義]
インターネットブレイクアウトポリシーで定義したポリシー(「5.インターネットブレイクアウトポリシー定義の設定」で作成したポリシー)を適用します。インターネットブレイクアウトポリシーの定義は「コントロールパネルマニュアル:インターネットブレイクアウト」を参照してください。
LANネットワークアドレス/サブネットマスク
設定値:LAN-I/Fで利用するIPアドレスのテキスト
クラスA、クラスCおよびお客さまが正規に申請されたグローバルIPアドレスのみ指定が可能となります。入力値としてその他の値も入力可能ですが、 動作保証はしません。
例:192.168.100.0/24
LANインターフェースのプライマリIPアドレス
設定値:LAN-I/Fで利用するIPアドレスのテキスト
[Prefix]で指定したクラスセグメントから1つのアドレスを指定して入力します。このアドレスがエッジ装置のLAN-I/FのIPアドレスとして設定されます。
ホットスタンバイ構成の場合は、Primary側のIPアドレスとして設定されます。
例:192.168.100.1
LANインターフェースのセカンダリIPアドレス
設定値:LAN I / Fで利用するIPアドレスのテキスト
シングル構成及びコールドスタンバイ構成時には利用しません。
ホットスタンバイ構成のSecondary側のIPアドレスとして設定されます。
以上で設定は完了です。
コメント
0件のコメント
記事コメントは受け付けていません。