FutureNet
NXR,VXRシリーズ
ルーティング編
7. DNSインターセプト+PBR設定
7-2. DNSインターセプト+PBR設定2
この設定例ではDNSインターセプト機能とポリシーベースルーティング機能を併用し、特定の通信をローカルブレイクアウトすることでインターネットアクセス用の回線とは別の回線からアクセスするようにします。
【 DNSインターセプト機能対応機種 】
NXR-1300シリーズ,NXR-650,NXR-610Xシリーズ,NXR-530,NXR-160/LW,NXR-G180/L-CA,NXR-G200シリーズ,NXR-G110シリーズ,NXR-G050シリーズ,VXRシリーズ(2023/2現在)
設定例で使用している機能の対応状況は、各製品の更新履歴やユーザーズガイドをご確認ください。
コンテンツ | |||||
構成図 | 設定例 | 設定例解説 | 端末の設定例 | 補足 | 付録 |
【 構成図 】
- この例ではISP_A回線のインタフェースをppp0、ISP_B回線のインタフェースをeth2とします。
- DNSインターセプト用リストファイルでFQDN名「*.example.com」を定義します。
リストファイルの作成例はこちら。また、Microsoft 365(Office 365)リスト取得例はこちら。 - 「*.example.com」のHTTP(TCP80),HTTPS(TCP443)宛の通信はISP_A経由、それ以外の通信はISP_B経由で行います。
- DNSインターセプト対象のDNSサーバアドレスはeth2で取得したISP_BのDNSサーバアドレスとします。
【 設定例 】
nxr530(config)#ip dns-intercept setname DNSI file disk0:[DNSインターセプト用リストファイル名]
nxr530(config)#dns-intercept 0
nxr530(config-dns-intercept)#match ip setname DNSI
nxr530(config-dns-intercept)#exit
nxr530(config)#class access-list DNSI_ACL ip any dns-set DNSI tcp any 80
nxr530(config)#class access-list DNSI_ACL ip any dns-set DNSI tcp any 443
nxr530(config)#route-map INTERCEPT permit 1
nxr530(config-route-map)#match ip address DNSI_ACL
nxr530(config-route-map)#set mark 1
nxr530(config-route-map)#exit
nxr530(config)#route-map eth0_PBR permit 1
nxr530(config-route-map)#match ip mark 1
nxr530(config-route-map)#set interface ppp 0
nxr530(config-route-map)#exit
nxr530(config)#interface ethernet 0
nxr530(config-if)#ip address 192.168.10.1/24
nxr530(config-if)#classify input route-map INTERCEPT
nxr530(config-if)#ip policy route-map eth0_PBR
nxr530(config-if)#exit
nxr530(config)#ppp account username [ISP_A接続用ユーザID] password [ISP_A接続用パスワード]
nxr530(config)#interface ppp 0
nxr530(config-ppp)#ip address negotiated
nxr530(config-ppp)#ip masquerade
nxr530(config-ppp)#ip spi-filter
nxr530(config-ppp)#ip tcp adjust-mss auto
nxr530(config-ppp)#ppp username [ISP_A接続用ユーザID]
nxr530(config-ppp)#ppp ipcp dns reject
nxr530(config-ppp)#exit
nxr530(config)#interface ethernet 1
nxr530(config-if)#no ip address
nxr530(config-if)#pppoe-client ppp 0
nxr530(config-if)#exit
nxr530(config)#interface ethernet 2
nxr530(config-if)#ip address dhcp
nxr530(config-if)#ip masquerade
nxr530(config-if)#ip spi-filter
nxr530(config-if)#ip tcp adjust-mss auto
nxr530(config-if)#ip dns-intercept 0
nxr530(config-if)#exit
nxr530(config)#dns
nxr530(config-dns)#service enable
nxr530(config-dns)#exit
nxr530(config)#fast-forwarding enable
nxr530(config)#exit
nxr530#save config
【 設定例解説 】
1. <DNSインターセプト用リストファイル取得設定>
DNSインターセプトのセットネーム、および外部ストレージ(disk0)上のDNSインターセプト用リストファイルをインポートします。
2. <DNSインターセプト設定>
DNSインターセプトを設定します。
DNSインターセプト用のセットネームを設定します。
3. <クラスアクセスリスト設定>
nxr530(config)#class access-list DNSI_ACL ip any dns-set DNSI tcp any 443
クラスアクセスリストDNSI_ACLを以下のルールで設定します。
- 宛先DNSインターセプトセットネームDNSI、宛先TCPポート80番
- 宛先DNSインターセプトセットネームDNSI、宛先TCPポート443番
4. <ルートマップ設定>
ルートマップ名をINTERCEPTとし、No.1のルールを作成します。
マッチ条件としてクラスアクセスリストDNSI_ACLを設定します。
条件にマッチした際にはマーク値1を設定します。
ルートマップ名をeth0_PBRとし、No.1のルールを作成します。
マッチ条件としてマーク値1を設定します。
条件にマッチした際の出力インタフェースとしてppp0インタフェースを設定します。
5. <ethernet0インタフェース設定>
nxr530(config-if)#ip address 192.168.10.1/24
ethernet0インタフェースのIPアドレスを設定します。
パケット受信時、マーキング用に定義したルートマップ名INTERCEPTを設定します。
(☞) クラスアクセスリストに基づいたマーキングを行います。
PBR用に定義したルートマップ名eth0_PBRを設定します。
6. <PPPアカウント設定>
ISP_A接続用ユーザID,パスワードを設定します。
7. <WAN側(ppp0)インタフェース設定>
nxr530(config-ppp)#ip address negotiated
ppp0インタフェースのIPアドレスにnegotiatedを設定します。
nxr530(config-ppp)#ip spi-filter
IPマスカレード、ステートフルパケットインスペクションを有効にします。
TCP MSSの調整機能をオートに設定します。
ISP_A接続用ユーザIDを設定します。
DNSサーバアドレスを取得しないように設定します。
8. <ethernet1インタフェース設定>
nxr530(config-if)#no ip address
nxr530(config-if)#pppoe-client ppp 0
PPPoEクライアントにppp0を設定します。
9. <WAN側(ethernet2)インタフェース設定>
nxr530(config-if)#ip address dhcp
ethernet2インタフェースのIPアドレスにdhcpを設定します。
nxr530(config-if)#ip spi-filter
IPマスカレード、ステートフルパケットインスペクションを有効にします。
TCP MSSの調整機能をオートに設定します。
DNSインターセプトを設定します。
10. <DNS設定>
nxr530(config-dns)#service enable
DNSサービスを有効にします。
11. <ファストフォワーディング設定>
ファストフォワーディングを有効にします。
12. <設定の保存>
設定内容を保存します。
【 端末の設定例 】
IPアドレス | 192.168.10.100 |
サブネットマスク | 255.255.255.0 |
デフォルトゲートウェイ | 192.168.10.1 |
DNSサーバ | 192.168.10.1 |
【 補足 】
〔 DNSインターセプト用リストファイル作成例 〕
<作成例1>
末尾がexample.comに該当するFQDNを対象とします。
(☞) 対象となるFQDN例
www.example.com , smtp.example.com など
<作成例2>
203.0.113.1
末尾がexample.co.jpに該当するFQDN、およびIPアドレス 203.0.113.1 を対象とします。
〔 Microsoft 365(Office 365)リスト取得例 〕
Microsoft 365(Office 365)の通信を振り分ける場合、弊社ホームページからリストファイルを取得することができます。
Microsoft 365 , Office 365は、Microsoft Corporationの米国およびその他の国における商標または登録商標です。
<DNSインターセプト用定義ファイル取得設定>
DNSインターセプトのセットネーム、および弊社ホームページ上からMicrosoft 365(Office 365)用のリストファイルをインポートします。
<スケジュールによる定期更新設定>
1:00に弊社ホームページ上からMicrosoft 365(Office 365)用のリストファイルを取得します。
【 付録 】
目次
更新情報
→ 一覧へ- 2024.10.01NXR,VXR
ネットイベント編
3-19. DDNSクライアントの有効/無効化設定 - 2024.10.01NXR,VXR
運用管理編
11-3. センチュリー・テクニカルサポート情報の取得と転送 - 2024.09.18NXR,VXR
REST-API編
2-18. センチュリー・テクニカルサポート情報の取得(maint/century-tech-support) - 2024.09.18NXR,VXR
REST-API編
2-17. デバッグタイマの実行(maint/debug) - 2024.09.18NXR,VXR
REST-API編
12-10. SSHクライアント設定(ssh-client)
カテゴリ
タグ
- CRG
- DDNS
- DHCP
- DNAT
- DNSインターセプト
- Ethernet
- IIJモバイル
- IKE Modeconfig
- IKEv2 Configuration Payload
- IPinIP
- IPoE
- IPv6
- KDDI
- L2TPv3
- MAP-E
- NGN
- NTTドコモ
- PBR
- Policy Based IPsec
- PPP
- PPPoE
- QoS
- RADIUS連携
- RAシリーズ
- Route Based IPsec
- SMS
- SNAT
- SoftBank
- UPnP
- URL転送
- VLAN
- VRRP
- Web認証
- WiMAX
- コンフィグロールバック
- ネットイベント
- フィルタ
- ブリッジ
- モニタログ
- ワイモバイル
- 仮想スイッチ
- 冗長化
- 無線LAN