Skip to main content

LBO管理サービス

LBO管理サービス

LBO管理サービスは、FITELnetルータのローカルブレイクアウト(LBO)機能を、Fらくねっとを利用して管理・運用するためのサービスです。 FITELnetルータのLBO機能については、ローカルブレイクアウト説明資料をご参照ください。

本サービスでは、LBO対象のSaaS判別のためのデータ(ドメインおよびIPアドレス)を管理と、FITELnetルータへの適用を行います。LBO対象SaaSの通信量等、LBO統計情報の可視化にも対応しております。

LBO管理サービスを利用するためには、以下の設定が必要です。

  1. LBOプロファイルの設定
  2. LBOポリシーの設定
  3. LBOプロファイルの適用

利用条件

  • 以下の機種については、ファームウェアは、以下に記載のバージョンにアップデートしてください。
    • F70, F71:V01.07(00)以降
    • F220, F221:V01.09(00)以降
    • F220 EX, F221 EX:V10.07(00)以降
  • 以下のファームウェアにアップデートすれば、LBO統計情報における非LBO対象SaaSの統計情報監視、ならびに、トラフィック可視化を併せてお使いいただくことも可能です。
    • F70, F71:V01.12以降(f-rakunet appdbコマンド不使用の場合はV01.11(01)より可)
    • F220, F221:V01.14以降(f-rakunet appdbコマンド不使用の場合はV01.13(01)より可)
    • F225:V01.02以降(f-rakunet appdbコマンド不使用の場合はV01.01(01)より可)
    • F310:V01.02以降(f-rakunet appdbコマンド不使用の場合はV01.01(01)より可)
    • F220 EX, F221 EX:V10.12以降

用語

本書では、以下のように用語を定義します。

用語意味
LBOポリシーサービス毎のURL群のこと。
サービスで提供するポリシー(O365, BOXなど)と、お客様で独自に設定するポリシーがあります。
LBOプロファイルLBOの対象とするサービス群のこと。
お客様にて指定します。組み合わせは自由。
プロファイル名称は、機器のCLI設定と合わせる必要があります。

機器の設定

Fらくねっとで LBOプロファイルを利用するためには、お使いの方式(DNS snooping、HTTP snooping)に合わせて、機器に以下の設定をしてください。<LBOプロファイル名>の部分が、Fらくねっとサービスで指定するLBOプロファイル名と一致している必要があります。

DNS snoopingをお使いの場合

以下の①②は、どちらも同様のLBO動作を行います。

  • LBO統計情報における非LBO対象SaaSの統計情報監視、ならびにトラフィック可視化を併せてお使いいただく場合は、①にてご利用ください。また、今後のLBO機能に関するエンハンスは①のコマンドにて行いますので、これからLBO機能をお使いになる場合は、①の設定を推奨します。
  • LBO統計情報における非LBO対象SaaSの統計情報監視、ならびにトラフィック可視化を使われない場合は、②の設定にてご利用いただけます。

①非LBO対象の監視、ならびにトラフィック可視化を併用するケース

以下のように設定を行えば、LBO統計情報における非LBO対象SaaSの統計情報監視、ならびにトラフィック可視化を併せてお使いいただけます。

f-rakunet app enable
!
app enable
!
local-breakout enable
local-breakout app-list 1 ipv4 <ネクストホップ>
!
app-profile <機器プロファイル名(*1)>
 f-rakunet appdb(*2)                ###可視化対象かつLBO非対象
 f-rakunet id <LBOプロファイル名(*3)> app-list 1  ###可視化かつLBO対象 
 dns-snooping enable
exit
!
interface <インタフェース名> <インタフェース番号(*4)>
 dns-snooping enable
exit
!
sflow-agent address <IPアドレス> (*5)
!
sflow app enable
!
sflow profile 1
 collector address local
 collector address f-rakunet
exit
!
sflow interface lan sflow-profile 1 sampling-rate <サンプリングレート(*6)>
!

*1 機器のapp-profileモードにつける名称。FらくねっとのLBOプロファイル名と合わせる必要はありません。
*2 このコマンドにより、お客様指定のSaaS/アプリケーションが無くても、代表的なSaaS/アプリケーションを可視化対象とすることが可能です。
*3 Fらくねっとで指定するLBOプロファイル名と合わせてください。
※ f-rakunet appdbとf-rakunet idでSaaS/アプリケーションのドメインもしくはIPアドレスが重複する場合は、f-rakunet id優先となります。

*4 DNS responseパケットを受信するインタフェースです。
*5 機器のsFlowエージェントとしてのIPアドレスを指定してください。
*6 サンプリングレートとして指定したパケット数ごとにフローサンプリングを行います。

※ 非LBO対象SaaSの統計情報監視は行うが、トラフィック可視化を行わない場合は、sflow-agent address, sflow app enable, sflow profile, sflow interfaceの各設定は不要となります。

②非LBO対象の監視、ならびにトラフィック可視化を併用しないケース

LBO統計情報における非LBO対象SaaSの統計情報監視、ならびにトラフィック可視化を利用しない場合は、以下の設定にてお使いいただけます。

f-rakunet lbo enable
!
local-breakout enable
local-breakout <機器プロファイル名(*1)> <ネクストホップ>
!
lbo-profile <機器プロファイル名(*1)>
 f-rakunet id <LBOプロファイル名(*2)>
 dns-snooping enable
exit
!
interface <インタフェース名> <インタフェース番号(*3)>
 dns-snooping enable
exit

*1 機器のlbo-profileモードにつける名称。FらくねっとのLBOプロファイル名と合わせる必要はありません。
*2 Fらくねっとで指定するLBOプロファイル名と合わせてください。
*3 DNS responseパケットを受信するインタフェースです。

HTTP snoopingをお使いの場合

以下の①②は、どちらも同様のLBO動作を行います。

  • LBO統計情報における非LBO対象SaaSの統計情報監視、ならびにトラフィック可視化を併せてお使いいただく場合は、①にてご利用ください。また、今後のLBO機能に関するエンハンスは①のコマンドにて行いますので、これからLBO機能をお使いになる場合は、①の設定を推奨します。
  • LBO統計情報における非LBO対象SaaSの統計情報監視、ならびにトラフィック可視化を使われない場合は、②の設定にてご利用いただけます。

①非LBO対象の監視、ならびにトラフィック可視化を併用するケース

以下のように設定を行えば、LBO統計情報における非LBO対象SaaSの統計情報監視、ならびにトラフィック可視化を併せてお使いいただけます。

f-rakunet app enable
!
app enable
app proxy-server ip any port <ポート番号>
!
local-breakout enable
local-breakout app-list 1 ipv4 <ネクストホップ>
!
app-profile <機器プロファイル名(*1)>
 f-rakunet appdb(*2)                ###可視化対象かつLBO非対象
 f-rakunet id <LBOプロファイル名(*3)> app-list 1  ###可視化かつLBO対象
 http-snooping enable with-route
exit
!
interface <インタフェース名> <インタフェース番号(*4)>
 http-snooping enable
 mss <MSS(*5)>
exit
!
sflow-agent address <IPアドレス> (*6)
!
sflow app enable
!
sflow profile 1
 collector address local
 collector address f-rakunet
exit
!
sflow interface lan sflow-profile 1 sampling-rate <サンプリングレート(*7)>
!

*1 機器のapp-profileモードにつける名称。FらくねっとのLBOプロファイル名と合わせる必要はありません。
*2 このコマンドにより、お客様指定のSaaS/アプリケーションが無くても、代表的なSaaS/アプリケーションを可視化対象とすることが可能です。
*3 Fらくねっとで指定するLBOプロファイル名と合わせてください。
※ f-rakunet appdbとf-rakunet idでSaaS/アプリケーションのドメインもしくはIPアドレスが重複する場合は、f-rakunet id優先となります。

*4 端末からのTCP接続要求(SYNパケット)を受信するインタフェースです(通常LANインタフェースとなります)。
*5 LBO回線よりも小さい値とすることが必要です。
*6 機器のsFlowエージェントとしてのIPアドレスを指定してください。
*7 サンプリングレートとして指定したパケット数ごとにフローサンプリングを行います。

※ 非LBO対象SaaSの統計情報監視は行うが、トラフィック可視化を行わない場合は、sflow-agent address, sflow app enable, sflow profile, sflow interfaceの各設定は不要となります。

②非LBO対象の監視、ならびにトラフィック可視化を併用しないケース

LBO統計情報における非LBO対象SaaSの統計情報監視、ならびにトラフィック可視化を利用しない場合は、以下の設定にてお使いいただけます。

f-rakunet lbo enable
!
local-breakout enable
local-breakout proxy-server ip any port <ポート番号>
local-breakout <機器プロファイル名(*1)> <ネクストホップ>
!
lbo-profile <機器プロファイル名(*1)>
 f-rakunet id <LBOプロファイル名(*2)>
 http-snooping enable with-route
exit
!
interface <インタフェース名> <インタフェース番号(*3)>
 http-snooping enable
 mss <MSS(*4)>
exit

*1 機器のlbo-profileモードにつける名称。FらくねっとのLBOプロファイル名と合わせる必要はありません。
*2 Fらくねっとで指定するLBOプロファイル名と合わせてください。
*3 端末からのTCP接続要求(SYNパケット)を受信するインタフェースです(通常LANインタフェースとなります)。
*4 LBO回線よりも小さい値とすることが必要です。

Microsoft TeamsのLBOを行う場合

Microsoft Teams指定ドメインに含まれない、UDPポート番号3478-3481宛の通信が発生することが確認されています。DNS snoopingもしくはHTTP snoopingの設定と併せて、以下を設定してください。

access-list 101 permit udp any any range 3478 3481
!
interface GigaEthernet <LAN 物理IF番号(*1)>
 policy-route input PRMap_Teams
exit
!
Class-map CMap_101
 match ip access-group 101
exit
!
Policy-route-map PRMap_Teams
 !
 class CMap_101
  count
  action nexthop <ネクストホップ>
 exit
 !
exit

*1 複数の物理IFに設定可能です。

WebexのLBOを行う場合

Microsoft Teamsと同様、Webex指定ドメインに含まれない、UDPポート番号5004宛の通信が発生することが確認されています。DNS snoopingもしくはHTTP snoopingの設定と併せて、以下を設定してください。

access-list 102 permit udp any any eq 5004
!
interface GigaEthernet <LAN 物理IF番号(*1)>
 policy-route input PRMap_Webex
exit
!
Class-map CMap_102
 match ip access-group 102
exit
!
Policy-route-map PRMap_Webex
 !
 class CMap_102
  count
  action nexthop <ネクストホップ>
 exit
 !
exit

*1 複数の物理IFに設定可能です。

更に、プロキシ環境でお使いの場合は、セッション確立において通常のHTTP snoopingとは異なるMSS値の調整が必要となります。
以下の機種・ファームウェアバージョン以降にアップデートしてください。
・ F70/F71 V01.10(00)
・ F220/F221 V01.12(00)
・ F220 EX/F221 EX V10.10(00)

ファームアップ後、HTTP snoopingの設定と併せて以下を設定してください。

lbo-profile <機器プロファイル名(*1)>
 http-snooping propagate-mss disable
exit
!
interface Port-channel <LAN 物理IF番号(*2)>
 mss 1240(*3)
exit

*1 機器のlbo-profileモードにつける名称。FらくねっとのLBOプロファイル名と合わせる必要はありません。
*2 複数の物理IFに設定可能です。  
*3 Webexのhttp-snoopingでは、通常のhttp-snoopingとは異なる、MSS値の調整が必要となります。

FらくねっとのLBOプロファイルと併せてdomainコマンドを設定いただくことも可能です。

「o365 enable」コマンドは「f-rakunet id」と同一lbo-profileに設定できません。「o365 enable」を使用する場合は、「lbo-profile WORD」を複数用意して、「o365 enable」と「f-rakunet id」を互いに別々のlbo-profileに設定してください。