Cato Networks 送信元IPアドレスの固定について

先の投稿で、送信元IPアドレスの方式については2つのパターンを説明させていただきました。

• Dedicated IP(SASE側で提供する送信元IPアドレス)
• Anchored IP(ユーザーが所有している送信元IPアドレス)

Cato Networks(以下Cato)はどちらの方式に対応しているのかを詳しく見ていきたいと思います。

IP Allocation

Catoの機能の1つにIP Allocationと呼ばれる機能があります。 こちらの機能は、Catoが保有するPoP上でIPアドレスを取得するための設定です。

IP Allocationから任意のPoPロケーションを選択すると、自動的にグローバルIPがアサインされます。

選択できるPoPはサービスを提供しているロケーションが選べます。途中で変更も可能です。

このIPアドレスについては、契約しているユーザーのみに利用できるIPアドレスとなっていて、Catoを経由した際の送信元IPアドレスやIPSec接続時のサービス用IPアドレスなど使うことができます。

つまり、Dedicated IPとして利用するためのグローバルIPアドレスであり、Catoでは標準で3つのIPアドレスを好きな地域から選択して利用できます。 ※アドレスを追加することも可能です。（1IP単位）

標準で3つのIPアドレスがあるため、可用性を高めるためには、異なるロケーションのIPを選択することで、BCP対策としての利用も可能（例:東京と大阪）、さらに接続するサービスに近い場所を選択することもできるため、様々な用途があります。

Backhauling Site

もう一つ注目するべき機能が、Backhaulingと呼ばれる機能です。 Backhaulingとは、Catoのサイト機能と併用される機能で、直接CatoのPoPからインターネット上のサービスへアクセスするのではなく、Backhauling Siteを経由して経由してインターネットサイトへアクセスするためのルーティング機能です。

Backhauling機能を使うことで、サイト側で契約しているグローバルIPを使って、インターネットアクセスができます。つまり、Anchored IPとして利用する際の機能となります。 設定としては、サイトをBackhauling Siteとして設定するだけです。

画面例はLocal Gatewayという方法でサイトの別のインターネット回線を経由するように設定するためのゲートウェイIPを設定しています。

Network Rules

個人的に、Catoの好きな機能を1つ上げろと言われるとおそらくこの"Network Rules"を選ぶと思います。

この機能は、Catoで提供された世界中のPoPを使ったルーティングによる制御機能であり、直感的かつ柔軟なルール設定が可能です。

先ほど紹介した、IP AllocationやBackhaulingについては、このNetwork Rulesを使うことで送信元IPアドレスをコントロールできます。

Dedicated IPとして利用する場合

インターネット上のサービスへアクセスする際、Catoで提供される固定化されたIPアドレスを使うことができます。

設定の流れは以下の通りです。 まず、Network Rulesを追加し、インターネット向けの通信の条件をセットします。 例では、"ipaddress.my"というドメイン宛の通信を指定しています。 Routing Methodという部分に注目します。Route/NATの設定を"NAT"に切り替えると、IP Allocationで確保したIPアドレスが選択できます。 （IPアドレスは取得した時間等によって変わる場合があります）

実際にアクセスして見ると以下の通りです。

Catoで払い出されたグローバルIPを使っていて、なおかつIP Allocationで指定したIPを使っていることが確認できます。

Anchored IPとして利用する場合

インターネット上のサービスへアクセスする際、ユーザーが保有するグローバルIPアドレスを使うことができます。

設定の流れは以下の通りです。 設定自体は変わりませんが、Routing MethodをNAT→Backhaul Viaという設定に変更しました。

両者の設定を見て頂いた通り、どちらの基本の設定は同じとなり、最後のNATをするか、Backhaulingをするかの違いで変わってきます。

結果は想像の通りですがデータセンターで契約しているグローバルIPアドレスを使っています。 経路としては、一度Catoを経由し、データセンターが契約しているインターネット回線を使って通信しています。

Catoでは、Dedicate IPもAnchored IPもどちらにも対応することができて、その設定や運用についても非常にシンプルだと言うことがわかります。 更に追加の費用などもかからないというのも特徴です。

グローバルIPアドレスの使い分けについて

Catoの場合、どちらの送信元IPアドレス固定の機能も使えるため、実際の運用時にはどちらを使うべきか迷うこともあります。

1. 基本的にはIP Allocationを利用 IP Allocationは上記でも説明した通り、CatoのPoP上で提供されるグローバルIPアドレスです。ユーザー自身でIPアドレスの管理・運用をする必要もないため、IPアドレスの固定が必要な場合はこちらがおすすめです。

利用する場合は少なくても、2つのロケーションからIPアドレスを割り当てて、万一のPoP障害にも対応できます。

2. 顧客との取引において、従来のグローバルIPアドレスを使い続ける必要がある 基本的にはIP AllocationによるNATを使うほうがメリットがありますが、顧客との取引がすでに行われていて、IPの変更が変更ができないケースなどが考えられます。

IP Allocationに関する考察

CatoのIP Allocationは使いやすい機能です。ただし1点注意する必要があるのが、Catoから払い出されるIPアドレスの属性です。

こちらは、Catoを経由した際に割り当てられるIPアドレスのWhoisを調べた結果です。

国内プロバイダーで払い出されるグローバルIPは概ねJPNICで管理されている範囲から払い出されるケースが多いと思います。

よくあるのが、Web上のサービスが国内アクセスに制限するために".htaccess"などに"JPNIC"や"APNIC"といったところで公開されているIPアドレスの一覧を使って制限をかけている場合です。

このような制限では、Catoから払い出されたグローバルIPからアクセスすると、たとえ国内PoP経由であっても接続できない場合があります。 このように、Cato経由になった場合は、Catoが所有しているIPアドレスであり、JPNICやAPNICといった国内で流通しているIPでは現状はありませんので、SaaSとの接続や顧客との接続時は少し配慮する必要があります。

まとめ

2回にわたって、SASE/SSEの送信元IPアドレスについて説明をしました。 SASE/SSE製品を選択する際に、単に機能の有無をチェックするだけでなく、現状の環境及び今後の運用のイメージをしながら、少し細かく機能を見ていくと、製品選定がしやすくなることもあります。 各メーカーはさまざまな方法で送信元IPアドレスを固定化する方法と提供していますが、CatoにおけるIP AllocationとBackhauling機能はよく考えられていて、ユーザーの環境に合わせて利用を選択できるという強みがわかりました。 どちらの機能もまだまだ深堀りできる点があるのですが、今回はここまでです。