今回は、PBRを使ったLocal Breakout (ローカルブレイクアウト)の設定方法を解説します。フルトンネルの設定の前に、ローカルブレイクアウトをさせたい通信を選ぶだけなので、設定はとても簡単です。
今回は、youtube.com宛の通信だけをローカルブレイクアウトする設定をしてみます。
1. 特定のFQDN宛(今回はyoutube.com)の通信のエイリアス設定をする
Mobility Controllerを設定している人にはお馴染みの、エイリアスの設定(netdestinationの設定)をします。
SECURITY > エイリアス > ネットワークエイリアスで「+」をクリックします。
名前は任意で構いません。
タイプでname、IPアドレスの部分にはFQDN(今回はyoutube.com)を入力します。
2. ローカルブレイクアウトのPBRポリシーを設定する
フルトンネルの時と同様にPBRの設定をします。
ROUTING > ボリシーベースルーティングで新しいポリシーを作成します。
ポリシーは上から順に適用されるので、
- youtube をbreakoutするポリシー
- フルトンネルのポリシー
の順に設定します。
breakoutのポリシーの設定は、以下の様にAliasで先ほど作成した宛先を選択し、アクションでForwarding Regularlyを選択します。
フルトンネルの設定はこちらをご参照ください。
3. ポリシーをローカルVLANに適用する
あとは、フルトンネルの時と同様に、PBRのポリシーをローカルVLANに適用します。
SECURITY > ポリシーの適用でローカルVLANを選択し、ROUTE ACLでbreakout用に作成したPBRのポリシーを適用します。
これで設定は完了です。
3. 動作確認
こちらもフルトンネルと同様に、デバイスレベルの概要 > セッションで確認できます。
端末から、youtube.comと8.8.8.8にPingを打ち続けてみると、
youtube.comはRフラグが無く、8.8.8.8だけRフラグが付いています。
Rフラグは、Redirectの意味で、IPSecトンネルに通信が流れていることを意味しています。