アプリケーションごとに経路選択とフィルタリング(DPIを利用) : コマンド設定例 + RTX830 Web GUI設定例

管理番号:YMHRT-19603

本設定例では、IPsecトンネル機能とDPIを使用しています。

IPsecトンネル機能の対応機種は、RTX5000RTX3500RTX1210RTX830NVR700WFWX120です。

DPIの対応機種は、RTX830(Rev.15.02.13以降)です。

構成図

アプリケーション制御「DPI」を利用する設定例です。

拠点のトラフィックが増加する中、従来のように拠点からのすべてのパケットをセンター経由でインターネットへアクセスすると、センター側でインターネット回線の輻輳を招く恐れがあります。
「DPI」を利用すると、ルーターのWeb GUIで、かんたんに、アプリケーションのインターネットブレイクアウトが実現できます。また、各アプリケーションの通信量(通信状況)をWeb GUIのダッシュボードで可視化できるため、通信トラブルの解決への近道となります。

技術情報:DPI

本設定例では、アプリケーション制御として次の内容を設定しています。

アプリケーション 設定
Office365 インターネットブレイクアウト
Windows/Apple Update インターネットブレイクアウト
動画&音楽配信 振り分けない(センター経由)
ゲーム 破棄
P2P 破棄
SNS 振り分けない(センター経由)

アプリケーション制御の設定を行うと、ルーターのWeb GUIのダッシュボードで、ルーター配下の通信トラフィックを見える化できるようになります。表示内容として、以下のようなものがあります。
 ・すべての通信トラフィック
 ・通信トラフィックの多いアプリケーション
 ・通信トラフィックの多い端末

図 説明画像

たとえば、インターネット回線が遅いと感じたとき、「いつ」「誰が」「どのアプリケーションを」「どのくらい」使っているか、すぐに把握できます。通信トラブルを解決するための、判断材料としてお使いいただけます。
※外部メモリーを使用すると、長期間の統計情報を蓄積できます。

DPIをご利用いただくためには、インターネットの接続設定が必要です。
光回線に接続するためには、別途ONUが必要です。

対応機種のうち、設定例を掲載している機種は、以下のとおりです。

機種 掲載内容 備考
センター RTX5000 RTX3500 RTX1210 コマンド設定例 IPsecトンネル機能
拠点 RTX830 コマンド設定例
Web GUI設定例
IPsecトンネル機能、
DPI

センター ルーターの設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

インターネット接続+VPN接続
ゲートウェイの設定 ip route default gateway pp 1
ip route 192.168.101.0/24 gateway tunnel 1
LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.100.1/24
WANインターフェースの設定
(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP1に接続するID) (ISP1に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ppp ccp type none
ip pp address (センターの固定グローバルIPアドレス)
ip pp secure filter in 1020 1030 1040 1041 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
ip pp nat descriptor 1
pp enable 1
VPN(IPsec)の設定 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text (事前共有鍵)
ipsec ike remote address 1 (拠点の固定グローバルIPアドレス)
ip tunnel tcp mss limit auto
tunnel enable 1
VPN(IPsec)の設定
(共通項目)
ipsec auto refresh on
フィルターの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.100.0/24 *
ip filter 1030 pass * 192.168.0.0/16 icmp
ip filter 1040 pass (拠点の固定グローバルIPアドレス) * udp * 500
ip filter 1041 pass (拠点の固定グローバルIPアドレス) * esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
NATの設定 nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.100.1 udp 500
nat descriptor masquerade static 1 2 192.168.100.1 esp
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.100/24
DNSの設定 dns server (ISP1から指定されたDNSサーバーのアドレス)
dns private address spoof on

拠点 RTX830の設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

インターネット接続+VPN接続
ゲートウェイの設定 ip route default gateway tunnel 1
ip route (センターの固定グローバルIPアドレス) gateway pp 1
LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.101.1/24
WANインターフェースの設定
(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP2に接続するID) (ISP2に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ppp ccp type none
ip pp address (拠点の固定グローバルIPアドレス)
ip pp nat descriptor 1
pp enable 1
VPN(IPsec)の設定 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.101.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text (事前共有鍵)
ipsec ike remote address 1 (センターの固定グローバルIPアドレス)
tunnel enable 1
VPN(IPsec)の設定
(共通項目)
ipsec auto refresh on
NATの設定 nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.101.1 udp 500
nat descriptor masquerade static 1 2 192.168.101.1 esp
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.100/24
DNSの設定 dns server 192.168.100.1
dns private address spoof on

アプリケーション制御の設定

※RTX830 に、外部メモリーを挿します。本設定例では、USBメモリーを使用しています。

1. RTX830 の設定画面を開きます。

図 説明画像

2.「かんたん設定」をクリックします。

図 説明画像

3.「アプリケーション制御」をクリックします。

図 説明画像

4.「機器の使用」の「設定」をクリックします。

図 説明画像

5.「使用する」を選択して、「次へ」をクリックします。

図 説明画像

6. 各アプリケーションのフィルタリングと経路を設定して、「次へ」をクリックします。
  なお、本設定例では、以下の内容を設定しています。

アプリケーション フィルタリング 経路
Office365 チェックOFF WAN/PP[01]
Windows/Apple Update チェックOFF WAN/PP[01]
動画&音楽配信 チェックOFF アプリケーションごとの振り分けをしない
ゲーム チェックON アプリケーションごとの振り分けをしない
P2P チェックON アプリケーションごとの振り分けをしない
SNS チェックOFF アプリケーションごとの振り分けをしない
図 説明画像

7. 必要な設定を入力して、「次へ」をクリックします。

シグネチャーを外部メモリーに保存する チェックON
保存先
(ドロップダウンリスト)
「事前準備」で接続した外部メモリー
保存先
(テキストボックス)
任意のディレクトリーパス

※ ルートディレクトリーを指定する場合は、「/」を入力します。
※「参照」をクリックすると、Web GUIでディレクトリーを選択できます。
図 説明画像

8. 利用規約を確認して、「はい」をクリックします。

図 説明画像

9. 設定内容を確認します。問題がなければ、「設定の確定」をクリックします。

図 説明画像

10. アプリケーション制御の準備が行われます。
  すべての処理が完了したことを確認して、「OK」をクリックします。

図 説明画像

11. アプリケーション制御の設定が完了しました。

図 説明画像

統計機能の利用

1.「ダッシュボード」をクリックします。

図 説明画像

2.「History」をクリックします。

図 説明画像

3.「設定」をクリックします。

図 説明画像

4. 以下の項目を入力して、「設定の確定」をクリックします。
※すでに、統計情報が有効な場合であっても、この手順を実行してください。

統計情報の記録 有効
保存先 「事前準備」で接続した外部メモリー
ファイル名のプレフィックス 任意の文字列
ファイルの暗号化 ファイルを暗号化しない

※ 統計情報を記録するファイルを暗号化するかどうかの設定です。
 トラフィック情報の暗号化ではありませんので、ご注意ください。
図 説明画像

5.「閉じる」をクリックします。以上で、統計機能の利用設定は完了です。

図 説明画像

統計情報の確認

[ダッシュボード] - [history] - [ガジェット] で 以下を選択すると、各アプリケーションの統計情報を確認できます。
※ [ガジェット] は、アプリケーション制御の設定が完了すると表示されます。

  • トラフィック情報(アプリケーション)

[設定直後の表示サンプル (管理PCのトラフィック情報だけを表示)]

図 説明画像

[社内ネットワークに導入後の表示サンプル (すべてのPCのトラフィック情報を表示)]

図 説明画像

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。