DNSセキュリティとは
DNSセキュリティとCloudWANの組み合わせパターン
- 全てのエッジ装置でインターネットブレイクアウト設定を適用する前提となります。
- インターネットブレイクアウト設定が適用されていない拠点は、各エッジ装置間でのオーバレイ経由での拠点間の通信のみが出来ます。
- 全てのエッジ装置のLAN側にデフォルトルート(0.0.0.0/0)は設定しないで下さい。拠点からのインターネット向け通信は、各拠点でブレイクアウト経由で通信が行われる前提となります。
設定した場合の動作はサポート外となります。
CloudWANとDNSセキュリティの組み合わせは下表の組み合わせをサポートしています。
下表以外の利用方法についてはサポート外となります。
Local DNSサーバ |
DNSセキュリティ |
CloudWAN |
||
パターン① |
・Local DNSサーバ無 |
・DNSセキュリティのクライアントソフトをインストールする |
・インターネットブレイクアウト設定
|
|
パターン② |
・Local DNSサーバ有 |
・DNSセキュリティのクライアントソフトをインストールする |
・インターネットブレイクアウト設定 |
|
パターン③ |
・Local DNSサーバ有 |
・DNSセキュリティのクライアントソフトをインストールしない |
・インターネットブレイクアウト設定 ・LAN側DHCP機能でLocal DNSサーバアドレスを配布する |
設定手順
インターネットブレイクアウトを設定する場合には事前に各設定情報の参照先を定義する必要があります。設定項目における設定手順は以下の通りです。
パターン①は手順1~4まで、パターン②③は手順1~5まで実施頂く必要がございます。
- トラフィッククラス定義の設定
- IP フィルター定義の設定
- インターネットブレイクアウトポリシー定義の設定
- ネットワーク設定(IPアドレスおよびインターネットブレイクアウトポリシー適用)
- ネットワーク設定(DHCP機能の設定)
1. トラフィッククラス定義の設定
当該エッジ装置がインターネットブレイクアウト機能を用いて通信を行う場合に、全ての通信をインターネットブレイクアウトする設定を行う必要があります。
設定手順
- TOP画面 > ブレイクアウト > テナント選択 > インターネットブレイクアウトポリシー > ポリシー構成 > [トラフィッククラス] >[+トラフィッククラス作成]
設定項目の設定値は以下となります。
項目 | 内容 |
名前 |
作成するクラス定義の名称を入力 |
メモ |
備考欄として利用 |
アプリケーション選択 |
選択不要です。 |
パラメータ値
名前
設定値:トラフィッククラス定義の名称のテキスト
新たに作成するトラフィッククラス定義の名称を入力します。ここでは全ての通信を意味する「__default__」を入力する必要があります。
例: __(アンダーバー2つ)default__ (アンダーバー2つ)
メモ
設定値:備考欄としてのテキスト
新たに作成するトラフィッククラス定義の備考/補足説明して任意のテキストを入力します。
最大60文字まで入力が可能です。特に入力しなくても問題ありません。
デフォルトルート選択用の特殊設定例(指定):リモートブレイクアウト用
アプリケーション選択
設定値:[組み込みプロトコル / カスタムトラフィック定義]
特定通信を指定する条件として宛先ポート番号を指定しますが、ここでは選択しないでください。
入力後の設定画面
最後に「作成」をクリックしてください。
2. IP フィルター(ブレイクアウト)定義の設定
当該エッジ装置がインターネットブレイクアウト通信を行う場合に、ルールやポリシーを参照するためにIPフィルター(ブレイクアウト)を作成します。この「IPフィルター(ブレイクアウト)」では、local(自拠点のエッジ装置のWAN側)からインターネットブレイクアウトする際にIPFilterの設定が可能です。ここでは全ての通信を許可する設定を行います。
設定手順
- TOP画面 > ブレイクアウト > テナント選択 > インターネットブレイクアウトポリシー > ポリシー構成 > IPフィルター >[+IPフィルター作成]
入力後の設定画面
設定項目の設定値は以下となります。
項目 | 内容 | ||
IPフィルターの名前 | 新たに作成するIPフィルタ定義の名称を入力 例. all_permit |
||
IPフィルタのルール |
動作 | deny | 選択しないでください |
accept | こちらを選択してください | ||
送信元セグメント | 「0.0.0.0/0」を入力 | ||
宛先セグメント | 「0.0.0.0/0」を入力 | ||
通信方向 | out | outを選択してください | |
プロトコル又はポート番号 | 入力しないでください。 | ||
ステータス | 有効 | こちらを選択してください(デフォルトのまま) | |
無効 | 選択しないでください |
パラメータ値
IPフィルターの名前
設定値:IPフィルター定義の名称のテキスト
新たに作成するIPフィルター定義の名称を入力します。
例:all_permit
動作
設定値:[Deny / Accept]
条件に合致した際の動作を選択します。ここでは「Accept」を選択してください。
送信元セグメント
設定値:送信元のネットワークアドレスのテキスト
Filter条件として送信元のネットワークアドレスを指定します。
ここではデフォルト値の「0.0.0.0/0」を入力してください。
例:0.0.0.0/0
宛先セグメント
設定値:宛先のネットワークアドレスのテキスト
Filter条件として宛先のネットワークアドレスを指定します。
ここではデフォルト値の「0.0.0.0/0」を入力してください。
例:0.0.0.0/0
通信方向
設定値:[out]
Filter条件として通信の向きを定義するために「out」を選択します。
プロトコル又はポート番号
設定値:[対象となるプロトコル]
ここでは入力不要です。
3. インターネットブレイクアウトポリシー定義の設定
トラフィッククラス定義やIPフィルター定義を1つのインターネットブレイクアウトポリシー定義として関連づけるための設定を行います。
設定手順
- TOP画面 > ブレイクアウト > テナント選択 > インターネットブレイクアウトポリシー > [+インターネットブレイクアウトポリシー作成]
入力後の設定画面
設定項目の設定値は以下となります。
項目 | 内容 |
インターネットブレイクアウトポリシー名 | 新たに作成するインターネットブレイクアウトポリシー定義の名称を入力 |
IPフィルター選択 | 参照するIPフィルター定義を選択 |
URLフィルター | サポート外となります |
ブレイクアウト(remote/local) | Local or Remote を選択 |
トラフィッククラス | 作成したトラフィッククラス定義の名称を選択 |
パラメータ値
インターネットブレイクアウトポリシー名
設定値:インターネットブレイクアウトポリシー定義の名称のテキスト
新たに作成するインターネットブレイクアウトポリシー定義の名称を入力します。
例:Internet_Breakout_policy
IPフィルター選択
設定値:[IPフィルター定義]
Filterの条件を参照するため、事前に作成したIPフィルター定義を選択します。
例:Internet-Breakout-RULE
URLフィルター
設定値:サポート外となります。
ブレイクアウト
設定値:local / remoteを選択
インターネットブレイクアウトを自拠点(Local)又は他拠点(remote)で実施するか選択します。
ここでは「local」を選択します。
トラフィッククラス
設定値:[Class定義]
事前に作成したトラフィッククラス定義を参照するために指定します。
ここではトラフィッククラスに「__default__」を選択します。
4. ネットワーク設定(IPアドレスおよびインターネットブレイクアウトポリシー適用)
当該エッジ装置のLAN I / Fにネットワーク設定およびネットワーク定義の選択を行います。
この際に事前に設定した「インターネットブレイクアウトポリシー」を参照します。
設定手順
- TOP画面 > 拠点 > テナント選択 > 対象テナントを選択 > 対象拠点名を選択 > LANポート画面[lan-1/lan-2の編集ボタン] > [Port作成]
入力後の画面
l
設定項目の設定値は以下となります。
項目 | 内容 |
ネットワーク選択 | 所属するネットワークを指定します。 |
インターネットブレイクアウトポリシー | 作成したインターネットブレイクアウトポリシーを指定します。 |
LANネットワークアドレス/サブネットマスク | 利用ネットワークアドレス サブネットマスクを含めて入力 |
LANインターフェースのプライマリIPアドレス | エッジ装置のLAN側 I / FのIPアドレスを入力 |
LANインターフェースのセカンダリIPアドレス(非サポート) | サポート外となります。 |
パラメータ値
ネットワーク選択
設定値:[Network定義]
インターネットブレイクアウト用に定義したNetworkを指定します。
当該エッジ装置が通信を行うNetwork定義を指定する。同一のVPN契約であっても、このNetwork定義が異なるエッジ装置間での通信は行えません。Network定義の作成方法はこちら(コントロールパネル(オーバーレイタイプ):LAN-IP設定)をご確認ください。
例:拠点間ネットワーク
インターネットブレイクアウトポリシー
設定値:[インターネットブレイクアウトポリシー定義]
インターネットブレイクアウトポリシーで定義したポリシーを適用します。
先ほど作成したインターネットブレイクアウトポリシーを選択してください。
例:Internet_Breakout_policy
LANネットワークアドレス/サブネットマスク
設定値:LAN-I/Fで利用するIPアドレスのテキスト
クラスA、クラスCおよびお客さまが正規に申請されたグローバルIPアドレスのみ指定が可能となります。入力値としてその他の値も入力可能ですが、 動作保証はしません。
例:192.168.1.0/24
LANインターフェースのプライマリIPアドレス
設定値:LAN-I/Fで利用するIPアドレスのテキスト
[LANネットワークアドレス/サブネットマスク]で指定したセグメントから1つのアドレスを指定して入力します。このアドレスがエッジ装置のLAN-I/FのIPアドレスとして設定されます。
ホットスタンバイ構成の場合は、Primary側のIPアドレスとして設定されます。
例:192.168.1.254
LANインターフェースのセカンダリIPアドレス
設定値:LAN I / Fで利用するIPアドレスのテキスト
シングル構成及びコールドスタンバイ構成時には利用しません。
ホットスタンバイ構成のSecondary側のIPアドレスとして設定されます。
上記、入力完了後、「作成」を押してください。
パターン①の場合、CloudWANの設定は以上で終了です。
5. ネットワーク設定(DHCP機能の設定)
当該エッジ装置のLAN I / Fにネットワーク設定およびネットワーク定義の選択を行います。
この際に事前に設定した「インターネットブレイクアウトポリシー」を参照します。
設定手順
- TOP画面 > 拠点 > テナント選択 > 対象テナントを選択 > 対象拠点名を選択 > LANポート画面[lan-1/lan-2の編集ボタン] > [Port作成]
入力後の画面
設定項目の設定値は以下となります。
項目 | 値 | |
デフォルトリースタイム | デフォルトは600秒 端末がデフォルトリースタイムを要求した場合に利用されます。 |
|
DHCP Relay | 入力不要です。 | |
DHCPサーバーの有効化 |
DHCPサーバー機能を有効化するためにチェックを選択してください。 |
|
固定IP割り当ての指定 | IPアドレス | 入力不要 |
MACアドレス |
入力不要 |
|
最大リースタイム |
デフォルトは7200秒 |
|
ドメイン名 | 入力不要 | |
DNSサーバーIPアドレス |
DNSサーバーのIPアドレスを指定します。 |
|
NTPサーバーIPアドレス | 入力不要 | |
DHCP払い出しIPアドレスの範囲 | エッジ装置のLAN側のサブネットから端末に払い出すアドレス帯を入力ください。 | |
範囲:最初のIPアドレス | 払い出しIPアドレスの範囲指定 (開始) | |
範囲:最後のIPアドレス | 払い出しIPアドレスの範囲指定 (終了) |
パラメータ値
デフォルトリースタイム
設定値:DHCPのデフォルトリース時間のテキスト
DHCPクライアントがIPアドレスをリース要求してきた場合、リース時間指定がなかった際のリース時間の値です。デフォルト値は600秒となります。
例:600
DHCP Relay
設定値:入力不要
ここでは入力不要です。
DHCPサーバーの有効化
設定値:[チェックボックス]を選択
ここでは、DHCPサーバー機能が有効化するためにチェックボックスを選択してください。
固定IP割り当ての指定
設定値:入力不要
固定IPでの払い出しを実施したい場合にはこちらをご確認ください。
最大リースタイム
設定値:DHCPの最大リース時間のテキスト
DHCPクライアントにIPアドレスをリースする時間の最大リース時間です。
DHCPクライアントに対して本時間を超えるリース時間の割り当ては行いません。
デフォルト値は7200秒となっています。
例:7200
ドメイン名
設定値:入力不要
ここでは入力不要です。
DNSサーバーIPアドレス
設定値:DNSセキュリティにて払い出すDNSサーバアドレス(Primary)を入力
DNSセキュリティのIPアドレスを入力します。PrimaryとSecondaryの2つを入力してください。
NTPサーバーIPアドレス
設定値:入力不要
ここでは入力不要です。
DHCP払い出しIPアドレスの範囲
設定値:DHCPクライアントに払い出すIアドレスの範囲のテキスト
DHCPサーバーから払い出すIPアドレスの範囲を入力します。
範囲:最初のIPアドレス:DHCPサーバーが割り当てるIPアドレス範囲の開始IPアドレスを入力します。
例:192.168.1.50
範囲:最後のIPアドレス:DHCPサーバーが割り当てるIPアドレス範囲の終了IPアドレスを入力します。
例:192.168.1.99
上記、入力完了後、「作成」を押してください。
CloudWANの設定は以上で終了です。
留意事項
- DNSセキュリティとCloudWANを組み合わせる場合、全てのエッジ装置のLAN側にデフォルトルート(0.0.0.0/0)は設定しないで下さい。設定した場合の動作はサポート外となります。
コメント
0件のコメント
記事コメントは受け付けていません。