Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
ローカルブレイクアウト機能説明資料
2021年6月古河電気工業株式会社
古河ネットワークソリューション株式会社
All Rights Reserved, Copyright© FURUKAWA ELECTRIC CO., LTD. 2021
第5版
※本資料に記載の会社名、製品名、サービス名は、各社の商標または登録商標です。
All Rights Reserved, Copyright© FURUKAWA ELECTRIC CO., LTD. 2021 2
更新履歴本説明資料の更新履歴
初版 2020年2月 新規作成 第2版 2020年6月 ProxyDNS機能を併用可能としたことにより更新 第3版 2020年8月 ローカルブレイクアウト機能の対応バージョンの情報を更新 第4版 2021年1月 全体的に見直し修正 第5版 2021年6月 HTTP snooping(Proxy環境下におけるLBO)の説明、
コンフィグ例、エンハンス予定、アプリケーション動作確認実績を追加既存のLBOの説明をDNS snoopingの括りで再構成
All Rights Reserved, Copyright© FURUKAWA ELECTRIC CO., LTD. 2021 3
対応バージョン ローカルブレイクアウト機能の対応バージョン
F70/F71 V01.01(01):ローカルブレイクアウト機能に対応
ローカルブレイクアウト機能とProxyDNS機能の併用動作に対応LBO経路登録上限数を設定するコマンドを追加
V01.02(00):LBO経路の有効期間の指定に対応 V01.04(00):下記の機能に対応
・Proxy環境下のLBO機能 ・複数プロファイル指定・LBO経路のdistance値指定 ・LBO先にnullインタフェース指定
F220/F221 V01.01(00):ローカルブレイクアウト機能に対応 V01.02(00):ローカルブレイクアウト機能とProxyDNS機能の併用動作に対応 V01.03(00):LBO経路登録上限数を設定するコマンドを追加 V01.04(00):LBO経路の有効期間の指定に対応 V01.06(00):下記の機能に対応
・Proxy環境下のLBO機能 ・複数プロファイル指定・LBO経路のdistance値指定 ・LBO先にnullインタフェース指定
F220 EX/F221 EX V10.00(00):F220/F221 V01.04(00)相当の機能に対応 V10.02(00):F220/F221 V01.06(00)相当の機能に対応
All Rights Reserved, Copyright© FURUKAWA ELECTRIC CO., LTD. 2021 4
ローカルブレイクアウトが必要な理由 近年、Microsoft 365などSaaSへのアクセスが増大したため、企業ネットワークのWANを圧迫され問題となっています
SaaSへのアクセスなど特定のトラフィックを直接インターネットに通すブレークアウト技術が注目されています
FITELnetは、次の2つの方式に対応しています DNS snooping方式 HTTP snooping方式
拠点拠点 拠点
データセンター(本社)
拠点拠点 拠点
データセンター(本社)
ローカルブレイクアウト導入前 ローカルブレイクアウト導入後
InternetGW
EdgeRouter
InternetSaaS SaaS Internet
All Rights Reserved, Copyright© FURUKAWA ELECTRIC CO., LTD. 2021 5
DNS snooping方式概要1. DNS responseパケットを中継する際、パケットの中身をチェックし、CLIで指定したドメインと一致する
場合は、対応するアドレスをLBO対象経路として登録2. MicrosoftのWeb公開情報に記載されているアドレスをLBO対象経路として登録。かつDNS
responseパケットの中身が、Office365エンドポイント情報に記載のドメインの場合は、対応するアドレスをLBO対象経路として登録
#domain *.zoom.us#domain *.box#…
2:FITELnet自身がMicrosoft 365公開情報を取得し、装置に反映
1:ドメイン指定
FITELnetの設定
#o365 enable
設定が簡単!定義ファイルやスクリプトは必要なし
All Rights Reserved, Copyright© FURUKAWA ELECTRIC CO., LTD. 2021 6
DNS snooping-1:ドメイン指定によるLBO下図のようにDNS snoopingによりLBO経路の登録を行います。LBO対象ドメインへの中継はLBO経路登録にしたがって行われます。
DNSserver
①DNS queryを中継
②DNS responseを中継/snooping
③ DNS responseのドメインがlbo-profileのドメインに一致した場合:ドメインに対応するIPアドレスを、LBO経路として登録
lbo-profile:CLIにて指定domain *.zoom.usdomain *.box…
・Web会議(Zoom等)・オンラインファイルサーバ(box等)
LBO対象ドメイン
LBO対象外ドメイン
FITELnet
InternetGW
④ LBO経路登録にしたがって中継
閉域網/VPN網
Internet
LAN
All Rights Reserved, Copyright© FURUKAWA ELECTRIC CO., LTD. 2021 7
DNS snooping-2:Microsoft 365のLBOMicrosoft 365トラフィックについては、
MicrosoftのWeb公開情報に記載されているMicrosoft 365エンドポイント情報を用いることで、LBOを実現します。(https://endpoints.office.com/endpoints/worldwide)。
「o365 enable」を設定することにより、上記URLに対し、FITELnetがMicrosoft 365エンドポイント情報を取得しにいきます。
[{"id": 1,"serviceArea": "Exchange","serviceAreaDisplayName": "Exchange Online","urls": ["outlook.office.com","outlook.office365.com"
],"ips": ["13.107.6.152/31","13.107.18.10/31","13.107.128.0/22","23.103.160.0/20","40.96.0.0/13","40.104.0.0/15","52.96.0.0/14","131.253.33.215/32","132.245.0.0/16","150.171.32.0/22","191.234.140.0/22","204.79.197.215/32","2603:1006::/40","2603:1016::/40","2603:1026::/40","2603:1026:200::/39","2603:1026:400::/39","2603:1026:600::/44","2603:1026:620::/44","2603:1026:800::/44",
urls:DNS responseに書かれたドメインと比較するため、LBO対象ドメインとして内部テーブルに登録
ips :エンドポイント情報を取得したタイミングでLBO用の経路として登録。
Microsoft 365エンドポイント情報(一部抜粋)
All Rights Reserved, Copyright© FURUKAWA ELECTRIC CO., LTD. 2021
HTTP snooping:Proxy環境下におけるLBO
8
Proxy環境下では、ProxyサーバがDNS解決を行うため、DNS snooping方式を利用できません。 Proxy環境下では、HTTP snooping方式(エッジでTCPを強制変換)をご利用ください。 DプレーンでTCPセッション変換を実施するため、Cプレーンで終端する方式と比べて性能で有利です DNS snooping方式と同様、設定は簡単です
3Way-HS
Proxy DNSedge
拠点LAN センタ/DC/キャリア
①覗き見/TCPパラメータ取得端末⇔エッジ間で疑似TCP確立
LBOエントリ登録
②覗き見/LBO対象サイトであればエッジがDNSを実施
CONNECT
③対象サイトとTCP確立/端末にCONNECT Estabd送信CONNECT Estab
CLIENT Hello ①と③のTCPセッションを変換して通信
①の疑似TCP ③のTCP
3Way-HS
3Way-HS
Proxy DNSedge
拠点LAN センタ/DC/キャリア
①覗き見/TCPパラメータ取得端末⇔エッジ間で疑似TCP確立
②覗き見/LBO対象サイトでなければスルー
CONNECT
CONNECT Estab
CLIENT Hello
3Way-HS
端末⇔ProxyのTCP Proxy⇔サイトのTCP
通常のProxy環境下の通信と同じ
LBO対象フローの動作 LBO非対象フローの動作
SaaS SaaS
DプレーンでTCPセッション変換
All Rights Reserved, Copyright© FURUKAWA ELECTRIC CO., LTD. 2021
HTTP snooping コンフィグ例(1/2)
9
HTTP snooping のコンフィグ例を提示します(抜粋/太字はHTTP snooping対応にて追加したコマンド)access-list 100 permit udp 192.0.2.1 0.0.0.0 eq 500 any eq 500access-list 100 permit 50 192.0.2.1 0.0.0.0 any!ip route 0.0.0.0 0.0.0.0 tunnel 2ip name-server <DNSサーバ>本装置のDNS問い合わせ先を設定します。
ip nat list 1 any!local-breakout enablelocal-breakout proxy-server ip any port <ポート番号>宛先IPv4アドレス:any、宛先ポート番号:<ポート番号> のプロキシサーバ宛パケットをLBOの対象とします。
local-breakout LBO tunnel 1!lbo-profile LBOhttp-snooping enable
HTTP/HTTPSパケット中継時にパケットの中身をチェックして、<LBO対象ドメイン>の場合はセッションを登録して<LBO nexthop>に転送します(F70/F71 V01.04 と F220/F221 V01.06 はHTTPSのみ)。
domain <LBO対象ドメイン1>domain <LBO対象ドメイン2>…
exit!
All Rights Reserved, Copyright© FURUKAWA ELECTRIC CO., LTD. 2021
HTTP snooping コンフィグ例(2/2)
10
HTTP snooping のコンフィグ例を提示します(抜粋/太字はHTTP snooping対応にて追加したコマンド)
interface Tunnel 1description WAN-LBO本コンフィグ例ではPPPoEトンネルをLBO回線としています
ip access-group 100 inip access-group default spiip nat inside source list 1 interfacetunnel mode pppoe profile PPPOE_PROFpppoe interface gigaethernet 2/1
exit!interface Tunnel 2description WAN-Default本コンフィグ例ではIPsecトンネルをDefault回線としています
tunnel mode ipsec map MAPexit!
interface GigaEthernet 1/1description LANvlan-id 11bridge-group 11channel-group 11
exit!interface GigaEthernet 2/1description WANvlan-id 21bridge-group 21pppoe enable
exit!interface Port-channel 1description LANip address 192.168.10.11 255.255.255.0http-snooping enable
LAN側インタフェースにも http-snooping enable を設定しますexit!
All Rights Reserved, Copyright© FURUKAWA ELECTRIC CO., LTD. 2021 11
ローカルブレイクアウト確認コマンド/制限事項下記の情報表示コマンドがございます。
show local break-out: LBO動作状況を確認可能show ip route, show ipv6 route: LBO経路登録状況を確認可能show local-breakout session: HTTP snoopingによりLBOしたTCPセッションを確認可能
show ip route, show ipv6 routeについて LBO経路については、先頭に「L >」が表示されます。
F221#show ip route(中略)L > * xxx.xxx.xxx.xxx/32 [0/0] is directly connected, Tunnel1
パケットの宛先が先頭「L >」の経路に包含される場合に、当該パケットはブレイクアウトします。
合わせて「コマンドリファレンス-運用管理編」をご参照ください。
下記はエンハンス予定です。 Proxy環境下の、HTTPパケットのLBO動作(HTTPSパケットは対応済) Proxyサーバアドレス指定コマンド対応 VRF対応
All Rights Reserved, Copyright© FURUKAWA ELECTRIC CO., LTD. 2021 12
アプリケーション動作確認実績下記のアプリケーションのLBO動作確認実績がございます(○:動作確認済、△:動作確認中、-:動作確認未実施)
設定例がございますので、ご参照くださいhttps://www.furukawa.co.jp/fitelnet/product/setting/lbo-list.htmlローカルブレイクアウト機能を使う
設定例や動作確認実績の無いアプリケーションについてはご相談ください
アプリケーション DNS snooping HTTP snoopingYouTube △ △Microsoft Teams ○ △Windows Update動作 ○ ー (※)Zoom ○ ○Webex ○ △box ○ ー※:Windows UpdateはHTTPを使用するため、前ページのエンハンス予定機能に該当します。