14. URLオフロード設定
14.1. NetMeisterを利用したURLオフロード
特定の宛先(URL/IPアドレス)のみ通常と異なる経路に転送したい場合は、URLオフロードを使用します。
通常はセンターのファイアウォールを経由してインターネット接続しますが、拠点側は特定の宛先のみ直接拠点ルーターからインターネット接続させる例です。
URLオフロードに使用するURLリストは、本例ではNetMeisterを参照します。
グループIDとグループパスワードは、以下の内容でNetMeisterに登録済みとします。
設定
センターの設定
Router# configure
Router(config)# hostname center
center(config)# ip route default 192.168.0.253
center(config)# ip route 192.168.1.0/24 Tunnel0.0
center(config)# ip name-server 10.1.1.1
center(config)# proxy-dns server 10.1.1.1
center(config)# ikev2 authentication psk id keyid id-a key char key-a
center(config)# ikev2 authentication psk id keyid id-b key char key-b
center(config)# nm ip enable
center(config)# nm account sample-gr password plain sample-pw
center(config)# nm sitename tokyo
center(config)# nm outgoing-interface GigaEthernet0.1
center(config)# ppp profile ppp-prof
center(config-ppp-ppp-prof)# authentication myname user-a@example.com
center(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
center(config-ppp-ppp-prof)# exit
center(config)# ip dhcp profile dhcp-prof
center(config-dhcp-lan1)# dns-server 192.168.0.254
center(config-dhcp-lan1)# exit
center(config)# ikev2 default-profile
center(config-ikev2-dprof)# local-authentication psk id keyid id-a
center(config-ikev2-dprof)# exit
center(config)# interface GigaEthernet2.0
center(config-GigaEthernet2.0)# ip address 192.168.0.254/24
center(config-GigaEthernet2.0)# ip dhcp enable
center(config-GigaEthernet2.0)# ip dhcp binding dhcp-prof
center(config-GigaEthernet2.0)# proxy-dns ip enable
center(config-GigaEthernet2.0)# no shutdown
center(config-GigaEthernet2.0)# exit
center(config)# interface GigaEthernet0.1
center(config-GigaEthernet0.1)# encapsulation pppoe
center(config-GigaEthernet0.1)# ppp binding ppp-prof
center(config-GigaEthernet0.1)# ip address 10.0.0.1/32
center(config-GigaEthernet0.1)# no shutdown
center(config-GigaEthernet0.1)# exit
center(config)# interface Tunnel0.0
center(config-Tunnel0.0)# tunnel mode ipsec-ikev2
center(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
center(config-Tunnel0.0)# ip tcp adjust-mss auto
center(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
center(config-Tunnel0.0)# ikev2 peer any authentication psk id keyid id-b
center(config-Tunnel0.0)# no shutdown
center(config-Tunnel0.0)# exit
center(config)#
拠点の設定
Router# configure
Router(config)# hostname site
site(config)# ip route default Tunnel0.0
site(config)# ikev2 authentication psk id keyid id-a key char key-a
site(config)# ikev2 authentication psk id keyid id-b key char key-b
site(config)# nm ip enable
site(config)# nm account sample-gr password plain sample-pw
site(config)# nm sitename osaka
site(config)# nm outgoing-interface GigaEthernet0.1
site(config)# route-map urlo-map permit 10
site(config-route-map-urlo-map-10)# match ip url-offload urlo-prof
site(config-route-map-urlo-map-10)# set interface GigaEthernet0.1
site(config-route-map-urlo-map-10)# exit
site(config)# ppp profile ppp-prof
site(config-ppp-ppp-prof)# authentication myname user-b@example.com
site(config-ppp-ppp-prof)# authentication password user-b@example.com password-b
site(config-ppp-ppp-prof)# exit
site(config)# ip dhcp profile dhcp-prof
site(config-dhcp-lan1)# dns-server 192.168.1.254
site(config-dhcp-lan1)# exit
site(config)# ikev2 default-profile
site(config-ikev2-dprof)# local-authentication id keyid id-b
site(config-ikev2-dprof)# exit
site(config)# url-offload profile urlo-prof
site(config-url-offload-profile-urlo-prof)# url netmeister
site(config-url-offload-profile-urlo-prof)# offload-protocol any
site(config-url-offload-profile-urlo-prof)# exit
site(config)# interface GigaEthernet2.0
site(config-GigaEthernet2.0)# ip address 192.168.1.254/24
site(config-GigaEthernet2.0)# ip dhcp enable
site(config-GigaEthernet2.0)# ip dhcp binding dhcp-prof
site(config-GigaEthernet2.0)# ip policy route-map urlo-map
site(config-GigaEthernet2.0)# proxy-dns ip enable
site(config-GigaEthernet2.0)# no shutdown
site(config-GigaEthernet2.0)# exit
site(config)# interface GigaEthernet0.1
site(config-GigaEthernet0.1)# encapsulation pppoe
site(config-GigaEthernet0.1)# ppp binding ppp-prof
site(config-GigaEthernet0.1)# ip address ipcp
site(config-GigaEthernet0.1)# ip napt enable
site(config-GigaEthernet0.1)# no shutdown
site(config-GigaEthernet0.1)# exit
site(config)# interface Tunnel0.0
site(config-Tunnel0.0)# tunnel mode ipsec-ikev2
site(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
site(config-Tunnel0.0)# ip url-offload profile urlo-prof
site(config-Tunnel0.0)# ikev2 connect-type auto
site(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
site(config-Tunnel0.0)# ikev2 peer 10.0.0.1 authentication psk id keyid id-a
site(config-Tunnel0.0)# no shutdown
site(config-Tunnel0.0)# exit
site(config)#
解説
センターの解説
ip route default 192.168.0.253
ip route 192.168.1.0/24 Tunnel0.0
デフォルトルートをファイアウォール向けに設定します。
IPsec接続先をトンネルインタフェースに設定します。
ip name-server 10.1.1.1
センタールーター自身の名前解決に使用するDNSサーバーを設定します。
NetMeisterへ接続するために、センタールーター自身で名前解決できる必要があります。
nm outgoing-interface GigaEthernet0.1
NetMeisterへの通信がファイアウォール経由とならないように、nm outgoing-interfaceコマンドで送信インタフェースを固定します。
拠点の解説
nm outgoing-interface GigaEthernet0.1
NetMeisterへの通信がセンター経由とならないように、nm outgoing-interfaceコマンドで送信インタフェースを固定します。
route-map urlo-map permit 10
match ip url-offload urlo-prof
set interface GigaEthernet0.1
urlo-map という名前のルートマップを作成します。値 :
10 はシーケンス番号です。match ip url-offloadコマンドにより、URLオフロード判定(IPアドレス)が行えます。
オフロード対象のパケットは、インタフェース :
GE0.1 から出力されます。url-offload profile urlo-prof
url netmeister
offload-protocol any
urlo-prof という名前のURLオフロードのプロファイルを作成します。本例では外部定義ファイルはNetMeisterを指定し、全てのプロトコルをオフロード対象にします。
interface GigaEthernet2.0
ip policy route-map urlo-map
ルートマップを
GE2.0 に適用します。GE2.0 で受信したパケットがポリシールーティングの評価対象になります。interface Tunnel0.0
ip url-offload profile urlo-prof
URLオフロード判定(URL)の設定です。