PBRで透過型プロキシを実現する

管理番号:YMHSW-24287

設定概要

複数の通信が混在するネットワークを最適化する設定例です。
トラフィックの種類(宛先ポート番号)に応じて、最適な経路への転送を実現します。

本設定例は、PBR(ポリシーベースルーティング)を使用して、HTTP および HTTPS による通信だけをプロキシサーバーに転送します(透過型プロキシ)。

透過型プロキシとは、各端末(PC)にプロキシの設定をしなくても、プロキシサーバー経由でインターネットにアクセスさせる仕組みです。外部へのアクセスを一括管理するため、セキュリティーリスクを低減し、管理者の負担を軽減できます。
なお、HTTPS通信に透過型プロキシを適用すると、ブラウザーに警告が表示される場合があります。プロキシの機能や設定をよく理解した上でご利用ください。

ここでは、プロキシサーバーのIPアドレスが、192.168.100.200 であることを前提とします。

構成図

対応機種

10ギガビット/マルチギガビットスイッチ ギガビットスイッチ
L3スイッチ SWX3220 SWX3200 SWX3100

技術情報

10ギガビット/マルチギガビットスイッチ ギガビットスイッチ
ポリシーベースルーティング SWX3220 SWX3200 SWX3100
アクセスリスト SWX3220 SWX3200 SWX3100

スイッチの設定例

コマンド設定

設定内容

ゲートウェイの設定 ip route 0.0.0.0/0 192.168.100.1
ACLの設定
# 注釈1
access-list 1 10 permit tcp 192.168.100.0 0.0.0.255 any eq 80
access-list 1 20 permit tcp 192.168.100.0 0.0.0.255 any eq 443
PBRの設定 route-map 1 permit 10
  match access-list 1
  set ip next-hop 192.168.100.200
  exit

interface vlan1
  ip policy route-map 1
  exit

[注釈の説明]

注釈1:
ACLを使用して、以下の通信を制御します。
・HTTP (ポート番号:80)
・HTTPS (ポート番号:443)

設定の確認

・「show access-list」コマンド

[コンソール]
SWX3220#show access-list
IPv4 access list 1
    10 permit tcp 192.168.100.0 0.0.0.255 any eq 80
    20 permit tcp 192.168.100.0 0.0.0.255 any eq 443
SWX3220#
[解説]
生成したアクセスリストを表示します。
コマンドの詳細は、生成したアクセスリストの表示をご覧ください。

・「show ip route pbr」コマンド

[コンソール]
SWX3220#show ip route pbr
Policy Routing
vlan1
  Route Map 1
    10 permit
      match access-list 1
      set ip next-hop 192.168.100.200

SWX3220#
[解説]
適用されたルートマップの情報を確認します。
コマンドの詳細は、IPv4 PBR 情報の表示をご覧ください。
Web GUI設定

設定の概要

アクセスリストの作成

1. スイッチのWeb GUIを開きます。

図 説明画像

2.「詳細設定」をクリックします。

図 説明画像

3.「アクセスリスト」をクリックします。

図 説明画像

4.「アクセスリストの作成」をクリックします。

図 説明画像

5.「新規」をクリックします。

図 説明画像

6.「追加」をクリックします。

図 説明画像

7.「制御条件の設定」を設定して、「確定」をクリックします。

動作 許可する
送信元アドレス ネットワークアドレスを指定する
192.168.100.0/24
宛先アドレス すべてのアドレス
プロトコル TCP
プロトコル > 宛先ポート番号 80
図 説明画像

8.「追加」をクリックします。

図 説明画像

9.「制御条件の設定」を設定して、「確定」をクリックします。

動作 許可する
送信元アドレス ネットワークアドレスを指定する
192.168.100.0/24
宛先アドレス すべてのアドレス
プロトコル TCP
プロトコル > 宛先ポート番号 443
図 説明画像

10.「確認」をクリックします。

図 説明画像

11. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

12. アクセスリストが作成されました。

図 説明画像

ルートマップの作成

1.「PBR」をクリックします。

図 説明画像

2.「ルートマップの作成」をクリックします。

図 説明画像

3.「新規」をクリックします。

図 説明画像

4.「追加」をクリックします。

図 説明画像

5.「選択」をクリックします。

図 説明画像

6. アクセスリストを選択して、「確定」をクリックします。

図 説明画像

7.「エントリーの設定」を設定して、「確定」をクリックします。

処理内容 パケットを転送する
 転送先 (IPv4 アドレス または IPv6 アドレス)
 192.168.100.200
図 説明画像

8.「確認」をクリックします。

図 説明画像

9. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

10. ルートマップが作成されました。

図 説明画像

ルートマップの適用

1.「ルートマップの適用」をクリックします。

図 説明画像

2.「設定」をクリックします。

図 説明画像

3. 適用するルートマップ (IPv4) の「選択」をクリックします。

図 説明画像

4. ルートマップを選択して、「確定」をクリックします。

図 説明画像

5.「確認」をクリックします。

図 説明画像

6. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

7. ルートマップが適用されました。

図 説明画像

ルーティングの設定

1.「ルーティング」をクリックします。

図 説明画像

2.「新規」をクリックします。

図 説明画像

3.「ルーティング」を設定して、「確認」をクリックします。

宛先ネットワーク デフォルトゲートウェイ
ゲートウェイ IPアドレスを指定
 192.168.100.1
図 説明画像

4. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

5. ルーティングテーブルが設定されました。以上で、スイッチの設定は完了です。

図 説明画像

※上記操作による設定(Config)を取り出すことができます。

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更(スイッチ)を推奨します。


【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ