第7回 CatoSASEクラウドの検証#0 環境構築

  • セキュリティ
  • Cato

最終更新⽇:

掲載⽇:

# はじめに

 ICTインフラソリューション部の小玉です。
 今回からはCatoのSASEクラウドの検証環境を構築し、Catoの機能や動作について実際の管理画面を見ながら解説していけたらと思います。
 実際の管理画面を用いての解説は複数回に分けて配信する予定ですが、今回は実機を用いてクラウド接続までの環境構築を行います。

# 検証環境構築

<準備物>
今回の検証で使用するものは以下の通りです。
  ・Cato Socket(X1500) ※製品仕様は後述します
  ・L2SW
  ・モバイルルータ
  ・端末(PC) ※複数台

<検証環境>
以下のような構成で検証を行います。

security-vol0007_01.png

 社内にはSocketと呼ばれる専用のアプライアンスを設置します。その配下にL2SWを設置して、端末をL2SWに接続します。
Socketは拠点やデータセンター用のアプライアンスとなっています。
社内からインターネットへの接続として、今回は検証環境の都合上、モバイルルータを使用してインターネットへ出られるようにしています。
お客様環境ではプロバイダからのケーブルをSocketに接続する形となります。

 また、構成図の右側に記載しているように社外からの接続を想定した端末を複数台準備しています。
1台はCato専用のVPNクライアントをインストールした端末でもう1台はクライアントレスの端末となっています。

<参考:Socketについて>
Socketの仕様は以下の通りです。

security-vol0007_02.png

仕様

X1500

X1600

X1700

寸法

165mm x 105.5mm x 43mm

(Wx Dx H)

256mm x 200mm x 44mm

(Wx Dx H)

1U

CPU

Intel® Atom™ processor

Intel® Atom™ CPU C3558

Intel® 4th Generation Core™ Processors

システム

メモリ

4GB

4GB

8GB, up to 32GB

ストレージ

16G of Micro SD class 10

16GB eMMC SSD

2 X 320G (swappable, redundant)

Ethernet

ポート

4 x 1GbE

4 x 2.5GbE

2 x 10G SFP+

2 x 1GbE Combo Ports(RJ45/SFP)

8 x 1GbE + Management Port

拡張ネットワーク

-

-

4 x 1GbE

2 x 1Gb Fiber

2 x 10Gb Fiber

スループット

500 Mbps

1 Gbps

2 Gbps

冗長化

VRRP, PoP Orchestrated

VRRP, PoP Orchestrated

 Socketは拠点、データセンター用の接続アプライアンスです。ラストマイル接続(1本または複数)を経由して最も近いCato PoPに自動で接続されます。Active/Activeの2回線接続による冗長構成にも対応しています。
 また、AWS、Azure、VMware(ESXi)に対応している仮想アプライアンスのvSocketというものもあります。

<実物の写真>
今回の検証ではCato SocketのX1500を使用します。こちらが実際の機器の写真となります。

security-vol0007_03.png

 ポート側は以下のようになっています。左から順にポート1,2がLANポート、3,4がWANポートとなっています。WAN回線を2本接続することでWANの冗長化も可能となっています。ちなみにLAN側のポート1,2は基本的には同セグにはできませんが、LAGを組むことで同セグの設定が可能です。

security-vol0007_04.png
 大きさの比較として横にマウスを置いていますが、本体は非常にコンパクトなものとなっています。
security-vol0007_05.png


<初期起動>
 では、Socketの電源を投入してみます。ポート側に電源ケーブルを差し込むだけで電源が投入されます。機器が起動すると前面の電源LEDが緑点灯します。

security-vol0007_06.png

<結線>
 アップリンクとダウンリンクの接続をします。ポート3(WAN)がアップリンク、ポート1がダウンリンクです。結線を行うと、機器前面・背面のLEDが点灯(または点滅)します。

security-vol0007_07.png

security-vol0007_08.png

<参考:接続条件>
Cato SocketがCatoクラウド通信するための接続条件としては以下となります。
 ・インターネットと通信可能なこと
 ・TCP/443,UDP/443,UDP/53のポートが解放されていること
 ・以下の名前解決ができること
  - vpn.catonetworks.net
  - cc2.catonetworks.com
  - steering.catonetworks.com

事前にご確認をお願いします。

<SocketをGUIで確認>
 Socketを接続したらGUIから接続状況を見てみましょう。弊社環境ではSocketとアカウントの紐づけが完了していますが、紐づけが完了していない場合はメーカーにて紐づけを実施してもらう必要がありますので事前に購入先にお問い合わせください。
 また、弊社環境ではモバイルルータからDHCPでIPアドレスを取得していますが、グローバルアドレスIPアドレスを固定IPとして振りたい場合は、Socketのローカルページにログインして事前に設定する必要があります。個別の事前設定方法については別記事でご紹介できればと思います。


さて、GUIにログインすると、Notifactions(右上のベルのマーク)に"Activate New Socket"の通知が出ているので"Accept"を選択します。※赤枠箇所

security-vol0007_09.png
"Accept"を選択すると "Assign Site"画面が出てくるので任意のSiteにSocketを割り当て、OKボタンを押します。

security-vol0007_10.png

画面上部に "Site assigned successfully"と表示されれば割り当ては完了です。

security-vol0007_11.png

 "Administration"> "Sockets Inventory"画面で対象のSocketのStatusがConnectになります。※弊社ではSocketが複数台ありますので3台分表示されています

security-vol0007_12.png
 Connectになっていた場合、上記画面から対象機器のSiteをクリックすると、"Network Analytics"画面に遷移します。遷移後の画面で、StatusがConnectedになっていることを確認してください。こちらの画面でConnectedになっていない場合、クラウドと接続できていませんので設定の見直しが必要です。security-vol0007_13.png

 以上が、Socket接続までの大まかな流れとなります。その他、L2SW等のLAN側の設定を行った上でPCを接続して、通信確認を行っていきます。通信確認は次回の記事でGUIの説明も交えながら確認していければと思います。

 今回は以上となります。