質問:
WSA へトラフィックを転送するには、Cisco マルチレイヤ スイッチまたはルータでどのようにポリシーベース ルーティング(PBR)を構成しますか。
環境:Cisco Webセキュリティアプライアンス(WSA)、トランスペアレントモード – L4スイッチ
L4スイッチを使用してWSAがトランスペアレントモードで設定されている場合、WSAでの設定は必要ありません。リダイレクトはL4スイッチ(またはルータ)によって制御されます。
ポリシーベースルーティング(PBR)を使用して、WebトラフィックをWSAにリダイレクトすることができます。これは、TCPポートに基づいて正しいトラフィックを照合し、このトラフィックをWSAにリダイレクトするようにルータ/スイッチに指示することで実現されます。
次の例では、WSAのデータ/プロキシインターフェイス(設定に応じてM1またはP1)はマルチレイヤスイッチ/ルータ(Vlan 3)の専用VLANインターフェイス上にあり、インターネットルータも専用VLANインターフェイス(Vlan4)上にあります。クライアントはVlan1とVlan2にあります。
初期設定(関連する部品のみ表示) |
interface Vlan1 ユーザVLAN 1の説明 ip address 10.1.1.1 255.255.255.0 ! インターフェイスVlan2 ユーザVLAN 2の説明 ip address 10.1.2.1 255.255.255.0 ! インターフェイスVlan3 説明Cisco WSA専用VLAN ip address 192.168.1.1 255.255.255.252 ! インターフェイスVlan4 descインターネットルータ専用VLAN ip address 192.168.2.1 255.255.255.252 ! ip route 0.0.0.0 0.0.0.0 192.168.2.2
|
上記の例と、IPアドレスが192.168.1.2であるCisco WSAについて、ポリシーベースルーティング(PBR)を設定するには、次のコマンドを追加します。
ステップ1:Webトラフィックの定義 |
!HTTPトラフィックの照合 access-list 100 permit tcp 10.1.1.0 0.0.0.255 any eq 80 access-list 100 permit tcp 10.1.2.0 0.0.0.255 any eq 80 !HTTPSトラフィックの照合 access-list 100 permit tcp 10.1.1.0 0.0.0.255 any eq 443 access-list 100 permit tcp 10.1.2.0 0.0.0.255 any eq 443 |
手順2:パケットの出力場所を制御するルートマップを定義します。 |
route-map ForwardWeb permit 10 match ip address 100 set ip next-hop 192.168.1.2 |
ステップ3:ルートマップを正しいインターフェイスに適用します。 |
!これは送信元インターフェイス(クライアント側)に適用する必要があることに注意してください。 interface Vlan1 ip policy route-map ForwardWeb(IPポリシールートマップForwardWeb) ! インターフェイスVlan2 ip policy route-map ForwardWeb(IPポリシールートマップForwardWeb) |
注:このトラフィックリダイレクション(PBR)方式にはいくつかの制限があります。この方法の主な問題は、アプライアンスに到達できない場合(たとえばネットワークの問題など)でも、トラフィックが常にWSAにリダイレクトされることです。したがって、フェールオーバーオプションはありません。
この問題を回避するには、次のいずれかを設定します。
- Ciscoルータ使用時のトラッキングオプションを備えたPBR。この機能は、トラフィックをリダイレクトする前にネクストホップの可用性を確認するために使用されます。
詳細については、次の記事を参照してください。
複数のトラッキング オプション機能を使用したポリシー ベース ルーティングの設定例
- トラッキングオプションは、Cisco Catalystスイッチでは使用できません。ただし、同じ動作を実現するための高度な回避策があります。
詳細については、次のCisco Wikiを参照してください。
Catalyst 3xxxスイッチ用のトラッキング付きポリシーベースルーティング(PBR):EEMを使用した回避策