Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

ブレークアウト プロファイルとブレークアウト プロファイルの概要

テナントのスポーク サイト間のサイトツーサイト トラフィックは、テナント トポロジーに応じて、またはハブまたはエンタープライズ ハブを介して、1 つのサイトから別のサイトに直接(オーバーレイ トンネル上で)送信されます。ただし、インターネットにバインドされたトラフィックやSaaS(Software as a Service)トラフィックの場合、さまざまな方法でトラフィックをブレークアウトできます。

  • ローカル ブレークアウト — トラフィックはサイトから直接 VPN を出て、宛先に向かう。

    メモ:

    アンダーレイBGPがWANリンクに対して有効になっている場合、BGPから学習したルートがローカルブレークアウトにインストールされます。CSOは静的デフォルトルートを生成しません。

  • バックホールまたは中央ブレークアウト - トラフィックは、プロバイダ ハブまたはエンタープライズ ハブ(エンタープライズ ハブがスポーク サイトに関連付けられている場合)で VPN を出て、宛先に移動します。

  • クラウド ブレイクアウト — トラフィックはアンダーレイを介して送信されるトラフィックではなく、サイトから指定されたクラウドベースのセキュリティ プラットフォームに送信されます。

    メモ:

    CSOリリース4.1.0以降、Zscalerはサポートされている唯一のクラウドベースのセキュリティプラットフォームです。

CSO リリース 4.0 では、ローカル ブレークアウトと中央ブレークアウト(バックホール)のみがサポートされ、ブレークアウト オプションはサイト レベルでのみ有効になっています。ただし、CSOリリース4.1.0以降では、SD-WANポリシーインテントを使用して適用されるブレークアウトプロファイルを使用することで、サイト、部門、アプリケーション(キャッシュ可能のみ)レベルでブレイクアウトがサポートされています。キャッシュできないアプリケーションは、SD-WANポリシーインテントで設定されたサイト固有または部門固有の動作に従います。

メモ:

CSOリリース4.1.0以降に追加されたサイトでは、サイトレベルで 直接 ブレークアウトを設定することはできないため、SD-WANポリシーインテントで参照されるブレークアウトプロファイルを使用する必要があります。

クラウド ブレイクアウト

CSOリリース5.1.0以前のリリースでは、Zscalerにトンネリングされたブレークアウトを提供する一環として、トンネルソースパブリックIPアドレスはWANインターフェイスからしか取得されていませんでした。リリース5.1.0以降でプールベースNATがサポートされている場合、Zscalerへのトンネル作成(プールベースNATが設定されている場合)は、WANリンクのNATプールからソースアドレスを取得します。

WANインターフェイスに複数のZscalerトンネルが必要な場合(プライマリおよびセカンダリクラウドブレークアウトノードが設定されている場合など)、これらのトンネルに対応できる十分な大きさのプールIPアドレスが必要です。複数のZscalerトンネルの場合、同じソースIPアドレスを持つZscalerトンネルは2つもありません。ただし、Zscaler トンネルの送信元アドレスとして使用される IP アドレスは、NAT プールでも使用できます。

ブレークアウト プロファイル

CSO では、以下の 3 種類のブレークアウト プロファイルがサポートされています。

  • ローカル ブレークアウト(アンダーレイ)

  • バックホール(中央ブレークアウト)

  • クラウド ブレイクアウト

ブレークアウト プロファイルを追加した後、ソース(サイト、サイト グループ、部門)、アプリケーション、および該当するブレークアウト プロファイルを指定する SD-WAN ポリシー インテントを作成する必要があります。

ブレークアウト向けSD-WANポリシーインテント

異なるソースエンドポイントで設定されたSD-WANポリシーインテントの場合、以下が適用されます。

  • サイト — サイトレベルで設定されたポリシーインテントがサイト内のすべての部門に適用されます。さらに、デフォルトでは、サイトレベルの構成もアプリケーションのデフォルト設定が 「任意」であるため、すべてのアプリケーションに適用されます。

  • 部門—部門レベルで設定されたポリシーインテント(ネットワークのセグメント化が有効なテナント用)は、サイトレベルで設定されたポリシーインテントを上書きします。サイトレベルのポリシーインテントの動作と同様に、デフォルトでは、部門レベルのポリシーインテントもすべてのアプリケーションに適用されます。これは、アプリケーションのデフォルト設定が 「任意」であるためです。

  • アプリケーション(キャッシュ可能のみ)— 1つ以上のキャッシュ可能なアプリケーションを指定するポリシーインテント(アプリケーションレベル)は、部門レベルまたは指定したアプリケーションのサイトレベル でのみ 指定されたポリシーインテントを上書きします。

ブレークアウト プロファイルのメリット

  • (SD-WAN ポリシーインテントを介して)インテントベースのインターネットブレークアウトポリシーで使用されるブレークアウトプロファイルにより、ユーザーは特定のアプリケーションのインターネットブレークアウト動作をきめ細かく制御できます。

関連ドキュメント