2.28. URLオフロードの設定
特定の宛先(URL/IPアドレス)向けのトラフィックのみを通常と異なる経路に転送できます。
データセンタを経由してインターネットを利用する環境において、クラウドサービス通信のみを直接インターネット経由でアクセスさせることによって、データセンタへのトラフィックの集中を軽減することができます。
また、NetMeister連携時にUDPなどのHTTPS以外のすべてのプロトコルでオフロードすることができます。ただし、NetMeisterのURLオフロード画面上のチェックボックスで選択された宛先・追加URL欄にIPアドレスで宛先を記載された場合にかぎります。追加URL欄にURL等で記載した場合は対象となりません。
プロキシサーバーがある構成でURLオフロードを使用する場合、PCなどの端末側に「プロキシ例外」の設定が必要になります。この際、端末側での「プロキシの例外」設定の自動化を行うことができます。
2.28.1. URLオフロード機能概要
特定の宛先(URL/IPアドレス)向けのトラフィックに対して、通常と異なるルーティングを行います。以降、この動作を「オフロード」と呼びます。
オフロード対象となる宛先(URL/IPアドレス)は、外部定義ファイルから読み込み、装置内にデータベースを作成します。定期的に定義ファイルを読み込むことで、定義ファイルの更新にも対応できます。
URLリストを使用することでオフロード対象となる宛先を任意で設定することができます。また、定義ファイルでオフロード対象となっている宛先をオフロード対象外にすることができます。
HTTPS通信だけでなくHTTP通信(TCP/80)もオフロードすることができます。
外部定義ファイルをNetMeisterと連携することで受信することができます。NetMeisterと連携中であれば、UDPなどを含むすべてのプロトコルをオフロード対象にすることができます。
図 2.28.1 URLオフロードの動作
パケットの宛先(URL/IPアドレス)を、データベース上の情報と比較して、データベースと一致したパケットをオフロードします。
なお、インターネットアクセスにプロキシサーバーを使用している場合、パケットの宛先IPアドレスはすべてプロキシサーバーのアドレスとなり、オフロード対象かどうかを判定することができません。このため、プロキシサーバーを使用している場合は、端末側で「プロキシの例外」を設定する必要があります。
プロキシの自動構成スクリプト配信に対応しています。端末側での「プロキシの例外」設定が自動化できます。
UTMサーバーおよびNetMeisterサーバー宛の通信はオフロード対象になりません。
NetMeister子機からのNetMeisterサーバー宛の通信はオフロード対象になりません。
2.28.2. 制限事項
IPv6通信はオフロードされません。
HTTPS/HTTP通信は、プロキシサーバーを使用していない構成時の設定の場合、最初の通信は通常の経路での通信となり、以降のセッションからオフロードされます。
オフロード対象は、IPv4のHTTPS通信、HTTP通信を対象にすることができます。HTTPS/HTTP以外(FTPなど)の通信はオフロードされません。ただし、NetMeister連携時にかぎりHTTPS/HTTP以外の通信もオフロード対象にすることができます。
定義ファイルの形式は、XMLベースのURLリストに対応しています。
IPv6アドレスは未対応です。
URLには以下の制限があります。
末尾のワイルドカードには未対応です。
インターネットアクセスにプロキシサーバーを使用している場合、端末側で「プロキシの例外」を設定する必要があります。「プロキシの例外」設定は自動化できます。
URLリストの評価順は、IPアドレスの評価の後、ドメインおよびanyを評価します。
定義ファイルの最大サイズは1Mbyteです。
2.28.3. 基本設定
URLオフロード機能を利用するためのコマンドは以下のとおりです。設定変更を即時反映するには、url-offload updateの実行が必要です。
グローバルコンフィグモード
項目
説明
url-offload dns-snooping protocol
URLオフロードのDNSスヌーピング対象プロトコルの設定
url-offload profile
URLオフロードプロファイルの作成
インタフェースコンフィグモード
項目
説明
ip url-offload profile
URLオフロード判定の有効化
ルートマップコンフィグモード
項目
説明
match ip url-offload
URLオフロードデータベース条件
DHCPコンフィグモード
項目
説明
wpad
プロキシ自動設定ファイルのURL指定
URLオフロードコンフィグモード
項目
説明
url
URLオフロード定義ファイルの指定
list
URLリストの指定
proxy-config
プロキシサーバーやプロキシ定義ファイルの指定
offload-protocol
URLオフロード対象プロトコルの指定
offload-scheme
URLスキームチェックの設定
source-interface
送信元インタフェースの設定
ssl-protocol
SSLプロトコルの設定
transport
通信プロトコルの設定
update-interval
更新周期の変更
2.28.3.1. 外部定義ファイルの利用
起動後に外部定義ファイルを取得し、装置内にデータベースを作成します。作成したデータベースを使用してオフロード対象の判定を行います。
外部定義ファイル取得後は、一定の周期で外部定義ファイルを取得し、データベースを更新します。一度取得に成功した後は、その後の外部定義ファイルの取得に失敗した場合でも、その時点で保持しているデータベースを使用し、オフロード処理を行います。
外部定義ファイルを取得するには以下の設定が必要です。また、NetMeisterから取得することも可能です。
NetMeisterからすぐに定義ファイルを反映する場合は、先にnm updateコマンドによりNetMeister情報を更新してから、url-offload updateコマンドを実行する必要があります。
起動後に外部定義ファイルを取得し、装置内にデータベースを作成します。作成したデータベースを使用してオフロード対象の判定を行います。
起動後、外部定義ファイルを取得しデータベース構築に成功するまでは、60秒周期に取得処理を行います。定義ファイルを取得できていない状態では、オフロード対象が存在しない状態の動作となります。
定義ファイルを取得できていない状態での動作:
プロキシサーバーなし
オフロード対象のパケットは通常のルーティングに従い送信されます。
プロキシサーバーあり
オフロード対象のパケットは廃棄されます。
2.28.3.1.1. Microsoft 365 ® の利用について
本機能はXMLベースのURLリストに対応しております。Microsoft 365 ® のURLリストは、2018年10月以降XMLベースからJSONベースのwebサービスに変更されており、そのままの設定では利用できません。
クラウドサービス「NetMeister」ではMicrosoft社のリストをXML方式に変換するサービスを運用しておりますので、URLリストの入手先を変更いただければMicrosoft社のURLリストを継続利用することが可能になります。(NetMeisterへのユーザー登録は不要です。)
2.28.3.2. 内部URLリストの利用
URLリストを利用することで、外部定義ファイルのオフロード対象を削除したり、追加したりすることができます。内部URLリストのみでオフロードすることも可能です。
URLリストの詳細説明は、URLフィルタリング機能を参照してください。ドメインをpermitで指定するとオフロード対象に、denyで指定するとオフロード対象外になります。
URLリストは外部定義ファイルよりも先に適用されるため、URLリストでpermit指定した通信は外部定義ファイルの内容に関わらずオフロード対象となり、URLリストでdeny指定した通信は外部定義ファイルの内容に関わらずオフロード対象外となります。
URLリストでオフロード対象を追加・削除 url-list urll-1 deny domain *.example1.com url-list urll-1 permit domain *.example2.com url-offload profile urlo-prof url https://example.com/OffloadList.xml list urll-1
この設定例では以下のとおり動作します。
*.example1.comの通信は、外部定義ファイルの設定によらずオフロードしません。
*.example2.comの通信は、外部定義ファイルの設定によらずオフロードします。
その他の通信は、外部定義ファイルに従います。
2.28.3.3. URLオフロードの設定
URLオフロードの判定には、経路制御処理とフィルタ処理の2つの処理があります。経路制御処理は、ポリシールーティングを使用してオフロード対象の経路変更を行います。フィルタ処理は、オフロード対象ドメインのIPアドレスキャッシュの作成や、オフロード対象外パケットの廃棄を行います。
経路制御処理として、ポリシールーティングの条件にURLオフロードを指定 フィルタ処理として、Tunnel0.0にURLオフロード設定を追加 route-map urlo-map permit 1 match ip url-offload urlo-prof set interface GigaEthernet0.1 interface GigaEthernet2.0 description LAN ip policy route-map urlo-map interface Tunnel0.0 description VPN ip url-offload profile urlo-prof
URLオフロードデータベース条件(match ip url-offload)の設定にURLリスト名またはアプリケーション名を指定することができ、特定の通信をURLオフロード対象にすることができます。また、複数ルートマップを作成することで、アプリーション単位で別々のインタフェースに振り分けることができます。
注釈
アプリケーション名を使用する場合、URLオフロードデータベースの指定コマンド(url)で"netmeister"をデータベースとして指定する必要があります。
URLオフロードデータベース条件へのアプリケーション名、URLリスト名の設定 route-map urlo-map-1 permit 10 match ip url-offload urlo-prof app office set interface GigaEthernet1.0 route-map urlo-map-1 permit 11 match ip url-offload urlo-prof url-list my_list set interface GigaEthernet2.0
設定可能なアプリケーション名は以下になります。
NetMeister画面表示上の名称
アプリケーション名
Office365
Office365
Skype/Teams
Skype/Teams
Windows Update
WindowsUpdate
Box
Box
G Suite
GSuite
Adobe Creative Cloud
AdobeCreativeCloud
Salesforce
Salesforce
Zoom
Zoom
WebEX
WebEX
ユーザー定義
UserDefined
注釈
XML形式のデータベース内容または、PACファイルURLをポリシールーティングの対象にする場合、URLオフロードデータベース条件の設定にdefaultを指定する必要があります。
route-map urlo-map-1 permit 10
match ip url-offload urlo-prof url-list default
set interface GigaEthernet1.0
2.28.3.4. URLオフロード対象の設定
オフロード対象に『HTTPS通信のみ』、『HTTPS通信とHTTP通信の両方』、『全プロトコル』を指定することができます。ただし、HTTPSとHTTP以外の通信に対して実際にオフロードが動作するのはNetMeisterと連携しているときのみとなります。
コマンドは以下のとおりです。
2.28.4. 基本動作
URLオフロード機能の基本動作は以下となります。
2.28.4.1. オフロード対象
オフロード対象とオフロード動作については以下となります。
種別 |
データベース |
プロトコル |
動作 |
URL |
NetMeister URLリスト (DNSスヌーピングあり) |
HTTPS/HTTP |
最初の通信からオフロード |
QUIC |
最初の通信からオフロード |
||
上記以外 |
未サポート |
||
NetMeister URLリスト (DNSスヌーピングなし) |
HTTPS/HTTP |
2番目の通信からオフロード |
|
QUIC |
未サポート |
||
上記以外 |
未サポート |
||
外部データ |
HTTPS/HTTP |
2番目の通信からオフロード |
|
QUIC |
未サポート |
||
上記以外 |
未サポート |
||
IP |
NetMeister URLリスト 外部データ |
HTTPS/HTTP |
最初の通信からオフロード |
QUIC |
最初の通信からオフロード |
||
上記以外 |
最初の通信からオフロード |
2.28.4.2. ルートマップ
ルートマップのmatch条件にURLオフロードプロファイルを設定した場合は以下の動作になります。
セッションキャッシュを参照し、存在する場合はmatchしない
アドレスキャッシュを参照し、「positive」が存在する場合はオフロード
アドレスキャッシュを参照し、「negative」が存在する場合はmatchしない
IPアドレスのデータベースを参照し、該当する場合はアドレスキャッシュを「positive」で作成してオフロード
その他の場合は、matchしない
ルートマップにmatchしない場合は、次のシーケンスのルートマップを参照します。次がない場合は、ルーティングに従って転送されます。
2.28.4.3. URLオフロードプロファイル設定(インタフェース)
インタフェースにルートマップのmatch条件にURLオフロードプロファイルを設定した場合は以下の動作になります。
データベースに該当する場合は、アドレスキャッシュを「positive」で作成(HTTP/HTTPSの場合はセッションキャッシュを作成)
データベースに該当しない場合は、アドレスキャッシュを「negative」で作成
オプション指定時の対象プロトコル、動作は以下のとおりです。
オプション
対象
種別
unmatch-action discard
HTTP/HTTPS
データベースに該当しない場合は廃棄
unmatch-action discard no-negative-cache
すべて
データベースに該当しない場合は廃棄し、アドレスキャッシュ「negative」は作成しない
match-action ignore-filter
すべて
データベースに該当する場合は、フィルタを無視して通過
2.28.4.4. DNSスヌーピング
項目
説明
url-offload dns-snooping protocol
注釈
IX-Rが名前解決を行う必要があるため、プロキシDNSを使用し、端末のDNSサーバはIX-Rを指定してください。
名前解決を行わない場合は、従来の動作となります。
装置を再起動した場合は、端末側が名前解決を行わない場合があります。この場合は、DNSスヌーピングは利用できません。
セキュアDNSを使用している場合は、応答を参照できないため、DNSスヌーピングは動作しません。
2.28.5. 構成別設定例
URLオフロード機能は、プロキシサーバーのあり/なしで設定方法が異なります。
下図の構成を例として、プロキシサーバーなし/ありの場合それぞれについて説明します。
図 2.28.2 構成例
2.28.5.1. プロキシサーバー利用なし
すべてのインターネットアクセス通信をTunnel0.0にルーティングするように設定したうえで、オフロード対象の通信のみ、ポリシールーティングで出力インタフェースを変更します。ポリシールーティングの対象を指定するためのmatch条件にはurl-offloadを指定します。また、Tunnel0.0を通過するトラフィックがオフロード対象かを判断するために、Tunnel0.0にURLオフロードを設定します。
通常のパケットはTunnel0.0に出力。 オフロード対象のパケットの場合はGigaEthernet0.1に出力。 ip route default Tunnel0.0 url-offload profile urlo-prof url https://example.com/OffloadList.xml ! ルートマップのmatch条件にURLオフロードを指定 route-map urlo-map permit 1 match ip url-offload urlo-prof set interface GigaEthernet0.1 interface GigaEthernet0.1 description Internet encapsulation pppoe ppp binding ppp1 ip address ipcp ip napt enable ! LAN側インタフェースで、ポリシールーティングを有効 interface GigaEthernet2.0 description LAN ip address 192.168.1.254/24 ip policy route-map urlo-map ! Tunnel0.0にURLオフロードを指定 interface Tunnel0.0 description VPN tunnel mode ipsec ip unnumbered GigaEthernet2.0 ip url-offload profile urlo-prof
2.28.5.2. プロキシサーバー利用構成
あらかじめ端末側でオフロード対象に対する「プロキシの例外」を設定しておきます。ver9.6以降では、プロキシの自動構成スクリプトを使うことで、「プロキシの例外」の設定を自動的に行うことができます。
プロキシ宛てを含むイントラネット内の通信をTunnel0.0に、インターネット宛ての通信をGigaEthernet0.1にルーティングすることで、「プロキシの例外」の通信をオフロード対象としてインターネットに直接ルーティングします。
また、本来オフロード対象ではない通信がインターネットに直接ルーティングされないように、GigaEthernet0.1にURLオフロードを設定します。URLオフロード機能によって、オフロード対象ではない通信を破棄します。なお、URLオフロード機能ではHTTPS通信またはHTTP通信しか識別できないため、それ以外の通信を制限したい場合は、アクセスリストによって明示的に制限します。例ではHTTPSとVPN以外の通信がインターネットに直接ルーティングされないように制限しています。「match-action ignore-filter」を設定することにより、オフロード対象の通信の場合は、アクセスリストにて許可していない場合でも、通信が許可されます。
イントラネット内のパケットはTunnel0.0に出力。 その他のパケットはGigaEthernet0.1に出力 オフロード対象に該当しないパケットをGigaEthernet0.1に出力した場合は廃棄 ip route default GigaEthernet0.1 ip route 192.168.0.0/16 Tunnel0.0 ip access-list urlo-acl permit 50 src any dest any ip access-list urlo-acl permit udp src any sport eq 500 dest any dport any ip access-list urlo-acl permit udp src any sport any dest any dport eq 500 ip access-list urlo-acl permit udp src any sport eq 4500 dest any dport any ip access-list urlo-acl permit udp src any sport any dest any dport eq 4500 ip access-list urlo-acl deny ip src any dest any url-offload profile urlo-prof url https://example.com/OffloadList.xml ! インターネット側インタフェースで、 ! 廃棄オプションを有効にしてURLオフロードを設定 interface GigaEthernet0.1 description Internet encapsulation pppoe ppp binding ppp1 ip address ipcp ip napt enable ip filter urlo-acl 1 out ip url-offload profile urlo-prof unmatch-action discard no-negative-cache match-action ignore-filter interface Tunnel0.0 description VPN tunnel mode ipsec ip unnumbered GigaEthernet2.0
2.28.6. プロキシ例外設定の自動化
プロキシサーバー利用構成では、端末側にプロキシ例外の設定が必要になります。プロキシ例外の設定は、端末に直接設定する以外に、PACファイルと呼ばれる「プロキシ例外条件を記述したファイル」を端末に読み込ませることでも設定できます。
PACファイルを利用して端末側でのプロキシ例外設定の自動化を行うことができます。URLオフロード対象のプロキシ例外の条件を記述したPACファイルをIX-Rルータ内に自動的に生成し、端末に配信します。
端末側では、IX-Rルータ内のPACファイルのURL(http://<IX-RルータのIPアドレス>:<ポート番号>/proxy.pac)を設定する必要がありますが、DHCPを利用している環境であれば、PACファイルのURLをDHCPで端末に通知することもできます。
2.28.6.1. PACファイルの生成
URLオフロード対象をプロキシの例外とするためのPACファイルを自動的に生成します。URLオフロード対象の例外設定だけを含むPACファイルを新規に生成したり、既存のPACファイルをもとにしてURLオフロード対象の例外設定を追加したPACファイルを生成したりできます。
URLオフロード対象の例外設定だけを含むPACファイルを新規に生成する場合は、通常のインターネットアクセス時に使用するプロキシサーバーのアドレスを設定します。
プロキシサーバーのアドレスを指定 url-offload profile urlo-prof proxy-config server 192.168.80.80:8080
新規にPACファイルを生成する場合、下記のようなPACファイルが生成されます。
function FindProxyForURL (url, host) { if (isPlainHostName(host)) { return "DIRECT"; } /* URL-OFFLOAD */ if ((url.startsWith("https:") || url.startsWith("wss:")) && ( isInNet(host, "172.16.0.0", "255.255.0.0") || : shExpMatch(host, "*.offload.com") || : )) { return "DIRECT"; } return "PROXY 192.168.80.80:8080"; }
既存のPACファイルをもとにしてURLオフロード対象の例外設定を追加したPACファイルを生成する場合は、既存PACファイルのURLを設定します。IX-Rルータから、当該のPACファイルにアクセスできる必要があります。
既存のPACファイルを指定 url-offload profile urlo-prof proxy-config pac-file http://example.com/proxy.pac
既存のPACファイルに例外を追加する場合、既存PACファイルの「FindProxyForURL()関数」の先頭にURLオフロード対象の例外設定が追加されます。例外設定を追加する位置をファイル内で指定したい場合は、既存PACファイルに「/* URL-OFFLOAD */」というコメント行を追加します。追加したコメント行の直後にURLオフロード対象の例外設定が追加されます。
挿入位置指定なし function FindProxyForURL (url, host) { if (既存の判定文) { return "PROXY proxy.example.com:8080"; } return "PROXY 192.168.80.80:8080"; }function FindProxyForURL (url, host) { /* URL-OFFLOAD */ if ((url.startsWith("https:") || url.startsWith("wss:")) && ( isInNet(host, "172.16.0.0", "255.255.0.0") || : shExpMatch(host, "*.offload.com") || : )) { return "DIRECT"; } if (既存の判定文) { return "PROXY proxy.example.com:8080"; } return "PROXY 192.168.80.80:8080"; }挿入位置指定あり function FindProxyForURL (url, host) { if (既存の判定文) { return "PROXY proxy.example.com:8080"; } /* URL-OFFLOAD */ return "PROXY 192.168.80.80:8080"; }function FindProxyForURL (url, host) { if (既存の判定文) { return "PROXY proxy.example.com:8080"; } /* URL-OFFLOAD */ if ((url.startsWith("https:") || url.startsWith("wss:")) && ( isInNet(host, "172.16.0.0", "255.255.0.0") || : shExpMatch(host, "*.offload.com") || : )) { return "DIRECT"; } return "PROXY 192.168.80.80:8080"; }
URLオフロード用のPACファイル生成は、外部定義ファイルを取得した直後に行われます。既存のPACファイルを参照する場合は、PACファイル生成時に最新の既存PACファイルを取得してからPACファイルを生成します。外部定義ファイルの取得に失敗した場合や、既存のPACファイルの取得に失敗した場合は、PACファイルは再生成せずに、すでに生成済みのPACファイルを維持します。
2.28.6.2. スキームチェックの設定
URLのスキームの対象はデフォルトでhttpsとwssをオフロード対象にしています。新しいURLスキームに対応したい場合や、除外したいURLスキームがある場合、以下のように設定してください。
httpとftpをURLスキームのチェック対象に設定する url-offload profile urlo-prof offload-schem permit http ftp
2.28.6.3. PACファイルの配信
IX-Rルータ内に生成されたPACファイルは、"http://<IX-RルータのIPアドレス>:<ポート番号>/proxy.pac"にアクセスすることで端末から参照できます(IX-RルータでHTTPサーバー機能を有効にする必要があります。また、HTTPサーバーのポート番号を変更した場合はPACファイルへのアクセス時のポート番号も変更後のポート番号になります)。 IX-RルータのDHCPサーバー機能を利用している場合、IX-Rルータが生成したPACファイルの上記URLをDHCPで端末に配信することができます。上記URLを端末利用者が端末に直接設定することも可能です。
2.28.6.4. 端末側の設定
端末側の設定は、端末のOSやアプリケーションに依存します。例として、Windows 10におけるInternet Explorer 11の設定を紹介します。
「ツール」から「インターネット オプション」を選択する
「インターネット オプション」ダイアログの「接続」タブを選択する
「LANの設定」を選択する
DHCPでPACファイルURL通知を行う場合は、自動構成欄の「設定を自動的に検出する」にチェックする。PACファイルのURLを直接設定する場合は、自動構成欄の「自動構成スクリプトを使用する」にチェックし、アドレス欄に「http://<IX-RルータのIPアドレス>:<ポート番号>/proxy.pac」を入力する。
「OK」を選択して設定を完了する。
上記の設定後、端末はIX-Rルータ内のPACファイルを参照して例外設定に従って動作します。
2.28.6.5. 設定例
PACファイルを生成して、IX-Rルータ内のPACファイルURLをDHCPで端末に配信する場合の設定例を紹介します。
URLオフロードの例外設定のみを含むPACファイルを新規に生成する場合 ! DHCPでPACファイルURL通知を有効化 ip dhcp profile dhcp-prof wpad auto ! プロキシサーバーのアドレスを指定 url-offload profile urlo-prof proxy-config server 192.168.80.80:8080 ! DHCPとHTTPサーバーを有効化 interface GigaEthernet2.0 description LAN ip dhcp binding dhcp-prof http-server ip enable既存PACファイルにURLオフロードの例外を追加してPACファイルを生成する場合 ! DHCPでPACファイルURLを通知 ip dhcp profile dhcp-prof wpad auto ! 既存のPACファイルを指定 url-offload profile urlo-prof proxy-config pac-file http://example.com/proxy.pac ! DHCPとHTTPサーバーを有効化 interface GigaEthernet2.0 description LAN ip dhcp binding dhcp-prof http-server ip enable
2.28.7. 運用情報
2.28.7.1. アクセスログの取得
ロギング機能を使用することにより、オフロードされた通信のログを残すことが可能です。なお以下のログを残すには、ロギングレベルをwarnではなくnoticeに設定する必要があります。
ある宛先に対して最初に通信を始める場合、apa - 024が表示されます。それ以降の通信では、apa - 025が表示されます。
プロキシサーバー利用なしの場合、apa - 024の通信はまだオフロードされておらず、apa - 025の通信のみがオフロードされています。プロキシサーバー利用構成では、apa - 024とapa - 025ともにオフロードされています。
syslog function apa notice2024-08-27T14:34:12.316626+09:00 apa - 024 - Start offload, 192.168.160.1:63609 > 172.16.200.187:443, www.example2.com, application undefined 2024-08-27T14:34:13.084931+09:00 apa - 025 - Do offload, prot tcp, 192.168.160.1:63614 > 172.16.200.187:443, application undefined
2.28.7.2. オフロード対象の取得
オフロード対象の宛先は以下で確認することができます。
CLIの場合
show running-config url-list
show url-offload database
前者のコマンドで、装置内に設定しているURLリストの内容を表示します。後者のコマンドで、外部定義ファイルをもとに生成したオフロード用URLリストを表示します。
Webコンソールの場合
URLオフロード(保守管理)
装置内に設定しているURLリストの内容と、外部定義ファイルをもとに生成したオフロード用URLリストを、合わせて表示します。