社内VPNとして利用されているBIG-IP Access Policy Managerを用いたSSL-VPNの構成を変更し、指定のアクセス先に対する通信はVPNを経由させないといった、いわゆるローカルブレイクアウトの設定を行いました。
背景と要件:
インフラ環境の運用変更に伴って、各種VoIP通信やアップデートサーバへのアクセスなど、データセンターのインターネット帯域を逼迫する可能性のある通信を社内VPNを経由せずにローカル回線から直接アクセスさせつつ、それ以外の通信はDC経由させることで管理をしたいと要望頂きました。
この要件に対応するため、専用のVPNプロファイルを作成し、VPE(Visual Policy Editor)を使用してポリシーを設定する必要がありました。
設定と調整:
BIG-IP APMを使用して、指定のアクセス先はローカルブレイクアウト、それ以外のすべて通信はVPNを経由させる設定を行いました。
また、プロファイルの作成やポリシーの設定変更のみではなく、大幅な通信経路の変更に対応するため、ファイアウォールやデータセンター内部の通信に関する調査や調整もあわせて実施しました。
柔軟な対応:
さらに、追加要件として、Active DirectoryのユーザーグループやWindowsのレジストリ設定などによる条件分けでポリシーを切り替える設定も柔軟に対応しました。
これにより、特定の条件下でVPNプロファイルやACLなどのリソースをコントロールすることが可能となりました。
成果と利点:
このプロジェクトにより、DC内の通信を逼迫させずに、柔軟かつセキュアに社内のインターネット通信を管理することを可能としました。
設定を導入したことで、アクセスの制御を効果的に行うことができ、セキュリティと可用性を向上させることができました。