ダウンロード - CENTURY SYSTEMS

ユーザーズガイド
コマンドラインインタフェース編
[Firmware version 1.82 対応]
センチュリー・システムズ株式会社
目次
目次
目次
第1章
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
はじめに
5
1.1
CS-SEIL-510/C の特長 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
1.2
ユーザーズガイドの種類について . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
1.3
本ユーザーズガイドの読み方 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
1.4
CS-SEIL-510/C のご利用について . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
安全にお使いいただくために
13
安全のための表示と図記号 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
お使いになる前に
21
3.1
梱包内容の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
3.2
本体の名称と働き . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
3.3
モードの切り替え方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
ケーブルのつなぎ方
27
4.1
インターネットに接続する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
4.2
CS-SEIL-510/C を LAN に接続する . . . . . . . . . . . . . . . . . . . . . . . . . . . .
28
4.3
電源を入れる . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
初期設定
31
5.1
コンピュータのネットワーク設定について . . . . . . . . . . . . . . . . . . . . . . . .
32
5.2
telnet でのログイン方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
5.3
Web ブラウザでの閲覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
5.4
パスワードを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
36
設定と管理、運用
37
6.1
コマンドライン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
6.2
設定コマンドを利用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
42
第2章
2.1
第3章
第4章
第5章
第6章
1
目次
6.3
6.4
6.5
2
6.2.1 接続設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
6.2.2 ARP 設定
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
6.2.3 ルーティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
6.2.4 セキュリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
6.2.5 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
6.2.6 回線トレース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
6.2.7 NAT/NAPT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
52
6.2.8 帯域制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
6.2.9 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
6.2.10 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
54
6.2.11 ルータ広告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
6.2.12 プロトコル変換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
6.2.13 サーバの起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
6.2.14 時刻設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
6.2.15 管理設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
管理コマンドを利用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59
6.3.1 設定内容の保存・読込 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
6.3.2 設定の初期化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
6.3.3 ファームウェアの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
6.3.4 動的な情報のクリア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
63
6.3.5 接続確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
63
6.3.6 システム時刻の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
64
6.3.7 管理者権限への移行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
64
6.3.8 ログアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
65
6.3.9 接続/切断 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
65
6.3.10 その他 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66
参照コマンドを利用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
68
6.4.1 設定情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
69
6.4.2 動作情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
71
6.4.3 ログの参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
72
6.4.4 システム情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
6.4.5 現在時刻の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
6.4.6 ユーザ情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
6.4.7 各種情報一括取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74
ファームウェアを更新する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
目次
6.6
第7章
7.1
7.2
7.3
7.4
7.5
7.6
7.7
7.8
7.9
INIT ボタンによる設定の初期化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
78
ネットワークでの利用例
79
LAN をインターネットに接続する . . . . . . . . . . . . . . . . . . . . . . . . . . . .
81
7.1.1 PPPoE を使用して接続する場合 . . . . . . . . . . . . . . . . . . . . . . . . . .
81
7.1.2 unnumbered PPPoE を使用して接続する場合 . . . . . . . . . . . . . . . . . . .
87
7.1.3 DHCP を使用して接続する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . .
94
7.1.4 LAN 内でグローバルアドレスを使用する場合 . . . . . . . . . . . . . . . . . . .
97
IPv4 ネットワークを経由して IPv6 ネットワークに接続する . . . . . . . . . . . . . .
101
7.2.1 IPv6 over IPv4 tunnel を使って接続する場合 . . . . . . . . . . . . . . . . . . . .
101
LAN 内のサーバをインターネットに公開する . . . . . . . . . . . . . . . . . . . . . .
108
7.3.1 公開するサーバにグローバルアドレスを割り当てる場合 . . . . . . . . . . . . . .
108
7.3.2 公開するサーバにプライベートアドレスを割り当てる場合 . . . . . . . . . . . .
111
7.3.3 サーバを LAN 内からグローバルアドレスで参照する . . . . . . . . . . . . . . .
114
外部からのアクセスを制限する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
119
7.4.1 外部から LAN へのアクセスを制限するフィルタリングを設定する . . . . . . . .
119
7.4.2 動的にアクセスを許可するフィルタリングを設定する . . . . . . . . . . . . . . .
127
7.4.3 IP アドレスの詐称を防ぐフィルタリング (uRPF) を設定する . . . . . . . . . . .
133
MAC アドレスによるフィルタリングを行う . . . . . . . . . . . . . . . . . . . . . . .
136
7.5.1 MAC アドレスの個別設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
136
7.5.2 外部ホワイトリストによる設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
141
ルーティングを動的に行う∼動的ルーティングの設定∼
. . . . . . . . . . . . . . . .
145
7.6.1 RIP を利用した動的ルーティング ∼比較的小規模なネットワーク∼ . . . . . . .
145
7.6.2 OSPF を利用した動的ルーティング ∼中規模以上のネットワーク∼ . . . . . . .
151
7.6.3 複数のルーティングプロトコルを同時に使う ∼経路情報の再配布∼ . . . . . . .
155
7.6.4 PIM-SM を利用した IPv4/IPv6 マルチキャストルーティング . . . . . . . . . . .
158
目的別のルーティングを行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
162
7.7.1 静的経路の監視を行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
162
7.7.2 ポリシーベースのルーティングを行う . . . . . . . . . . . . . . . . . . . . . . .
166
VPN を構築する ∼IPsec の設定∼ . . . . . . . . . . . . . . . . . . . . . . . . . . . .
170
7.8.1 ポリシーベース IPsec トンネル . . . . . . . . . . . . . . . . . . . . . . . . . . .
170
7.8.2 ルーティングベース IPsec トンネル . . . . . . . . . . . . . . . . . . . . . . . .
180
7.8.3 自アドレスが動的 IP アドレスの場合 . . . . . . . . . . . . . . . . . . . . . . . .
201
7.8.4 動的 IP アドレスからの接続を受け付ける場合 . . . . . . . . . . . . . . . . . . .
210
L2VPN を構築する ∼L2TPv3 の設定∼
. . . . . . . . . . . . . . . . . . . . . . . . .
219
3
目次
7.10
7.11
7.12
第8章
219
遠隔地のコンピュータからリモートアクセスを行う . . . . . . . . . . . . . . . . . . .
227
7.10.1 PPTP を利用したリモートアクセスを受け入れる設定 . . . . . . . . . . . . . . .
227
7.10.2 遠隔地のコンピュータから SEIL へのリモートアクセス
. . . . . . . . . . . . .
235
. . . . . . . . . . . . . . . . . . . .
239
7.11.1 機器の故障時に自動的にバックアップ回線に切り替える . . . . . . . . . . . . . .
239
7.11.2 回線障害を検出して自動的にバックアップ回線に切り替える . . . . . . . . . . .
243
CS-SEIL-510/C を冗長化する ∼VRRP の設定∼
データの送信を制御する
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
248
7.12.1 CBQ の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
248
資料・付録
257
仕様について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
257
8.1.1 機能一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
257
8.1.2 初期設定値(工場出荷状態)一覧 . . . . . . . . . . . . . . . . . . . . . . . . . .
260
8.1.3 ハードウェア仕様 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
262
8.1.4 ネットマスク/ポート番号一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
265
8.1.5 ポート番号一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
266
ネットワーク用語集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
267
トラブル・シューティング
279
9.1
LED の点灯状態 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
279
9.2
故障かな?と思ったとき . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
281
9.2.1 不具合時の確認手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
282
自己診断テスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
285
8.1
8.2
第9章
9.3
4
7.9.1 L2TPv3 を利用した L2 トンネルの設定 . . . . . . . . . . . . . . . . . . . . . . .
第 1 章 はじめに
第 1 章 はじめに
この度は、CS-SEIL-510/C をお買い上げいただきまして誠にありがとうございます。
CS-SEIL-510/C は、WAN サービスでは IP-VPN でのアクセスルータとして、あるいは広域 LAN サー
ビスのローカルルータ/帯域制御装置として、様々な用途にご利用いただけます。アクセス回線も
ADSL、FTTH、CATV、光専用線と多種回線に対応しております。
また、CS-SEIL-510/C は IPv6 も完全実装しており、IPv4/IPv6 混在環境など多様なネットワークに
柔軟に対応できる「新世代型高機能ルータ」です。洗練されたユーザインタフェース、容易なマネージ
メント機能を装備し、複雑化するお客様のネットワークに柔軟に対応する新しいタイプのネットワーク
接続装置です。
ご利用の前に、CS-SEIL-510/C の機能・性能を充分にご理解いただき、効果的にお使いいただくため
に、本ユーザーズガイドを必ずお読みください。
本製品の電源が切れていると、接続されているコンピュータなどの機器を使用し
ての通信は一切できませんのでご注意ください。
5
第 1 章 はじめに
1.1. CS-SEIL-510/C の特長
1.1 CS-SEIL-510/C の特長
CS-SEIL-510/C は、あらゆるネットワークのニーズに応える「新世代型高機能ルータ」です。ここで
は、CS-SEIL-510/C の各特長を紹介します。
• インターネット接続に最適
CS-SEIL-510/C は、インターネット接続に必要十分な機能と、IPsec、帯域制御への対応な
ど先進的な機能を搭載しています。
• IPv6 完全実装
IPv4/IPv6 を統一したユーザインタフェースにて提供していますので、IPv6 の設定/運用もス
ムーズに行えます。また、IPv6 ネットワークへの移行を容易にするトンネリング機能も搭載
しています。
• PPPoE, DHCP クライアント機能
PPPoE をサポートしているため、ADSL などの高速回線用ルータとして最適です。また、
DHCP クライアント機能を持つので CATV 回線にも使用できます。
• 豊富なセキュリティ機能
IPsec/IKE を使用した VPN 環境が構築できるほか、Secure Shell による安全なネットワーク
の管理/運用が行えます。
• パケットフィルタリング機能を搭載
インタフェースやデータの入出力方向ごとにフィルタを指定することができ、
Source/Destination に 対 す る ア ド レ ス 、ポ ー ト 単 位 指 定 や 、TCP Established/SYN に
対しても指定可能な多機能なフィルタリング機能を提供します。
• 帯域制御機能を搭載
トラフィックの集中する環境においてデータ転送にボトルネックが生じる状況でも、特定の
トラフィックに対して一定の帯域を確保することが可能です。
IPsec 通信の際にも、暗号化する前のデータに対して帯域制御を行うことが可能です。
• グラフ表示機能を搭載
回線使用率、帯域制御状態、システム負荷など多彩なグラフ表示機能により、ネットワーク
の稼働状況を即座に確認できます。
• IPv4/IPv6 マルチキャストルーティング(PIM-SM)機能を搭載
大容量の動画データなどを低コストで配信することができ、ネットワーク利用の効率化を図
ることができます。
• UPnP 機能を搭載
VoIP アダプタや Windows Messenger などを NAT 環境下で利用可能です。
6
第 1 章 はじめに
1.2. ユーザーズガイドの種類について
• NTP サーバ・クライアント機能を搭載
時刻同期サーバとの間で時刻の同期を行う NTP クライアント機能だけでなく、時刻同期サー
バとしての機能も搭載しています。
• SNMP エージェント機能を搭載
動作情報を外部から取得できる SNMP エージェント機能に加え、インタフェースの up/down
検出時や再起動時にトラップを送出する機能を搭載し、SNMP 管理ツールを用いたルータの
集中管理にも対応しています。
• ロギング機能を搭載
メモリ内部にログを保持するだけでなく、外部にログを転送する機能を装備しています。
• DHCP サーバ機能を搭載
IP アドレスの割り当てを自動的に行うことができ、効率的なネットワークの運用を可能とし
ます。
• SMF に対応
CS-SEIL-510/C はモードを SMF モードへ変更することにより、SMF に対応したルータとな
ります(※ SMF とは、ネットワーク機器の構築、設定、運用、保守における作業をユーザ専
用 WEB サイトから一元的に行なえるようにするサービスです。)本サービスを利用すること
により煩雑なルータ設定などを自動化でき、ネットワーク構築や設定変更の作業を大幅に削
減できます。
(サービスへの申し込みが別途必要です。)
1.2
ユーザーズガイドの種類について
CS-SEIL-510/C のユーザーズガイドは以下の 2 種類があります。ご利用状況にあわせてご参照くだ
さい。
• 「コマンドラインインタフェース編」
本ユーザーズガイドです。設定、管理、運用法などを、主にコマンドラインインタフェース
を用いて解説します。コマンドラインインタフェースでは、SEIL に用意されている全ての機
能の設定が行えます。
• 「Web インタフェース編」
Web ブラウザを用いた簡易設定、管理、運用法について解説します。Web インタフェースで
は、よく使われる機能について簡単に設定が可能なほか、帯域使用状況などのグラフ表示を
参照することができます。
7
第 1 章 はじめに
1.3. 本ユーザーズガイドの読み方
1.3
本ユーザーズガイドの読み方
■ 各章の説明
第 1章
はじめに
SEIL の特長や本ユーザーズガイドについて説明しま
す。
第 2章
安全にお使いいただくために
SEIL を安全に正しくお使いいただき、危害や損害を未
然に防止するために、守っていただきたい事項を説明
します。
第 3章
お使いになる前に
SEIL の各部の名称や働き、設置してからお使いになる
までの準備について説明します。
第 4章
ケーブルのつなぎ方
SEIL と HUB、コンピュータなど周辺機器との基本的
な配線方法について説明します。
第 5章
初期設定
SEIL の利用に必要なコンピュータの設定と SEIL 本体
の設定について説明します。
第 6章
設定と管理、運用
本章では、SEIL を利用する上で使用する、設定メニ
ュー、管理メニュー、運用メニューについて説明しま
す。
第 7章
ネットワークでの利用例
ネットワーク(LAN)内からインターネットを利用す
る方法やインターネットにコンピュータ(サーバなど)
を公開する方法を、実例を挙げて説明します。
第 8章
資料・付録
SEIL の仕様や、ネットワークを利用する際によく使わ
れる専門用語などについて分かりやすく説明します。
第 9章
トラブル・シューティング
SEIL の設定や SEIL を使用してインターネット接続で
きない場合など、困ったときの対策について説明しま
す。
8
第 1 章 はじめに
1.3. 本ユーザーズガイドの読み方
■ マークについて
本文で使用している表示と図記号の意味は次の通りです。内容をよく理解してから、本文をお読みく
ださい。
※
ó–
: 操作上の注意点や用語の説明、補足を示します。
: 詳しい説明のある参照ページです。
※ 本ユーザーズガイドの画像は、Internet Explorer 6.0 を使用したものです。
※ Web ブラウザは最新のものをご利用ください。お使いいただくブラウザにより、画面表示状態が
異なったり、正しく表示されなかったりする場合があります。
9
第 1 章 はじめに
1.4. CS-SEIL-510/C のご利用について
1.4 CS-SEIL-510/C のご利用について
■ 日常のお手入れ
SEIL の表面は、柔らかい布に水または洗剤を含ませて軽く拭いてください。ベンジン、シンナーな
どの揮発性の薬品は絶対に使用しないでください。変形、変色の原因となります。
■ アフターサービスについて
• 万一装置に故障が発生した場合は、修理依頼書に必要事項をご記入の上、お買い上げの販売店へ
お送りください。
※ 修理費用は規定の費用をお支払いいただきます。ただし、ご購入されてから1年以内の故障
につきましては、保証書に記載された保証規定に従い、無料で修理いたします。
• この製品の補修用性能部品(性能維持のために必要な部品)は、製造終了後約5年間保有してお
ります。
• 本ユーザーズガイドには、SEIL の運用に関する大切な情報が含まれていますので、いつでも参
照できるように必ず保管してください。
■ 廃棄方法について
詳細は、各地方自治体へお問い合わせください。
■ 輸出する際のご注意
本装置が外国為替および外国貿易管理法の規定により戦略物資等に該当する場合
には、日本国外に輸出する際に日本政府の許可が必要です。
10
第 1 章 安全にお使いいただくために
■ ご注意
1. 本ユーザーズガイドの内容の一部または全部を無断で転載することは禁止
されています。
2. 本ユーザーズガイドの内容については、将来予告なしに変更することがあ
ります。
3. 本ユーザーズガイドの内容について万全を期しておりますが、万一ご不審
な点や誤り、記載漏れなどお気づきのことがありましたら、お手数でも、
お買い上げの販売店までご連絡くださいますようお願いいたします。
4. 当社では、本装置の運用を理由とする損失、逸失利益等の請求につきまし
ては、
(3)項に関わらずいかなる責任も負いかねますので、予めご了承く
ださい。
5. 本装置は、医療機器、原子力設備や機器、航空宇宙機器、輸送設備や機器な
ど、人命に関わる設備や機器、および高度な信頼性を必要とする設備や機
器としての使用またはこれらに組み込んでの使用を意図しておりません。
これら、設備や機器、制御システムなどに本装置を使用され、当社製品の
故障により、人身事故、火災事故、社会的な損害などが生じても、当社で
はいかなる責任も負いかねます。設備や機器、制御システムなどにおいて
は、冗長設計、火災延焼対策設計、誤動作防止設計など、安全設計に万全
を期されるようご注意願います。
11
第 2 章 安全にお使いいただくために
2.1. 安全のための表示と図記号
第 2 章 安全にお使いいただくために
本章では、CS-SEIL-510/C を安全に正しくお使いいただき、お客様やほかの人々への危害や、財産へ
の損害を未然に防止するために、守っていただきたい事項をご説明します。
2.1
安全のための表示と図記号
本文で使用している表示と図記号の意味は次の通りです。
内容をよく理解してから、本文をお読みください。
警告
注意
この表示を無視して、誤った取扱いをすると、人が死亡または重傷を負う可能性
が想定される内容を示しています。
この表示を無視して、誤った取扱いをすると、人が傷害を負う可能性が想定され
る内容および物的損害が想定される内容を示しています。
誤った取扱いをすると、発火の可能性が想定されることを示しています。
誤った取扱いをすると、感電の可能性が想定されることを示しています。
誤った取扱いをすると、けがを負う可能性が想定されることを示しています。
安全のため、水場での機器の使用を禁止することを示しています。
安全のため、機器の分解を禁止することを示しています。
安全のため、電源コードのプラグを必ず AC コンセントから抜くように指示する
ものです。
13
第 2 章 安全にお使いいただくために
2.1. 安全のための表示と図記号
警告
■ 電源について
付属の専用 AC アダプタ (DC5V) 以外のものは、絶対に使用しないでください。
火災、感電、故障の原因となります。
SEIL の電源は、AC100V ± 10 % (50/60Hz) の電源以外では、絶対に使用しない
でください。異なる電圧で使用すると、火災、感電の原因となります。
電源プラグは AC コンセントに確実に差し込んでください。電源プラグの刃に金
属などが触れると火災、感電の原因となります。
電源コードの接続は、テーブルタップや分岐コンセント、分岐ソケットを使用し
たタコ足配線にしないでください。AC コンセントが過熱し、火災、感電の原因
となります。
電源コードを加工したり、傷つけたり、無理に曲げたり、ねじったり、引っ張っ
たりしないでください。コードの破損による火災、感電の原因となります。
電源コードの上にものを載せないでください。コードの破損による火災、感電の
原因となります。
14
第 2 章 安全にお使いいただくために
2.1. 安全のための表示と図記号
■ 次のような場所には置かないでください
SEIL をふろ場や加湿器のそばなど、湿度の高いところ(湿度 90 %以上)では使
用しないでください。火災、感電の原因となります。
■ 装置について
SEIL に水などの液体が入ったり、SEIL をぬらしたりしないようご注意くださ
い。火災、感電、故障の原因となります。
SEIL の上や近くに花びん、植木鉢、コップ、化粧品、薬品など、液体の入った容
器を置かないでください。液体が SEIL にこぼれたり、SEIL の中に入ったりし
た場合、火災、感電、故障の原因となります。
SEIL の配線は、必ず屋内配線としてください。屋外にわたる配線は、感電の原
因となります。
SEIL 内部の点検、調整、清掃、修理は、危険ですから絶対にしないでください。
SEIL の内部には電圧の高い部分があり、感電の原因となります。SEIL 内部の点
検、調整、清掃、修理は、お買い上げの販売店に依頼してください。
SEIL の分解・改造は絶対にしないでください。火災、感電、故障の原因となり
ます。
15
第 2 章 安全にお使いいただくために
2.1. 安全のための表示と図記号
■ こんなときには
電源コードが傷んだときは、すぐに電源プラグを AC コンセントから抜いて、お
買い上げの販売店に修理を依頼してください。そのまま使用すると、火災、感電
の原因となります。
万一、SEIL から煙が出ている、変な臭いがするなどの異常状態が現れたときは、
すぐに電源プラグを AC コンセントから抜き、煙が出なくなるのを確認して、お
買い上げの販売店にご連絡ください。そのまま使用すると、火災、感電の原因と
なります。
万一、SEIL を落としたり、破損したりした場合、電源プラグを AC コンセントか
ら抜いて、お買い上げの販売店にご連絡ください。そのまま使用すると火災、感
電、故障の原因となります。
万一、SEIL の内部に水などの液体が入った場合は、電源プラグを AC コンセン
トから抜いて、お買い上げの販売店にご連絡ください。そのまま使用すると、火
災、感電、故障の原因となります。
万一、異物が SEIL の内部に入った場合は、電源プラグを AC コンセントから抜
いて、お買い上げの販売店にご連絡ください。そのまま使用すると火災、感電、
故障の原因となります。
16
第 2 章 安全にお使いいただくために
2.1. 安全のための表示と図記号
注意
■ 電源について
電源プラグを抜くときは、必ずプラグを持って抜いてください。コードの損傷に
よる火災、感電の原因となることがあります。
ぬれた手で電源プラグを AC コンセントに抜き差ししないでください。感電の原
因となることがあります。
電源プラグを AC コンセントに接続してあるときは、ぬれた手で本体に触らない
でください。感電の原因となります。
■ 次のような場所には置かないでください
SEIL を直射日光の当たる所や、温度の高い所(40 ℃以上)に置かないでくださ
い。内部の温度が上がり、火災の原因となることがあります。
SEIL を油飛びや湯気があたるような場所、ほこりの多い場所に置かないでくだ
さい。火災、感電、故障の原因となることがあります。
SEIL を不安定な場所(ぐらついた台の上や傾いた所など)に置かないでくださ
い。落ちたりして、けがの原因となることがあります。
SEIL を振動、衝撃の多い場所に置かないでください。落ちたりして、けがの原
因となることがあります。
SEIL や電源コードを火気やストーブなどの熱器具の近くに置かないでください。
キャビネットや電源コードの被覆が溶けて、火災、感電、故障の原因となること
があります。
17
第 2 章 お使いになる前に
■ 装置について
SEIL は、ゴム足が下になるように置いてください。倒れたり、落ちたりして、け
がの原因となることがあります。
SEIL の通風孔など開口部から、内部に金属類や燃えやすいものなどの異物を入
れないでください。そのまま使用すると火災、感電、故障の原因となることがあ
ります。
機器を接続する場合には、必ず電源プラグを AC コンセントから抜いてくださ
い。電源プラグを AC コンセントに接続したまま、機器の接続をすると、感電の
原因となることがあります。
SEIL をご使用にならないときは、安全のため必ず電源プラグを AC コンセント
から抜いてください。
SEIL のお手入れをする際は、安全のため必ず電源プラグを AC コンセントから
抜いてください。
SEIL の上にものを載せたり、SEIL に乗ったりしないでください。特に、小さな
お子様のいるご家庭ではご注意ください。壊れたりしてけがの原因となることが
あります。
SEIL を布や布団などでおおったり包んだりしないでください。熱がこもり火災
や故障の原因となります。
SEIL の通風孔をふさがないでください。通風孔をふさぐと内部の温度が上がり、
火災の原因になることがあります。
18
第 2 章 お使いになる前に
■ こんなときには
落雷の恐れのあるときは、SEIL の電源を切り、必ず電源プラグを AC コンセン
トから抜いてご使用をお控えください。雷によっては、火災、感電の原因となる
ことがあります。
雷が鳴っているときは、電源プラグに触れたり、機器の接続をしたりしないでく
ださい。感電の原因となることがあります。
19
第 3 章 お使いになる前に
3.1. 梱包内容の確認
第 3 章 お使いになる前に
本章では、CS-SEIL-510/C の各部の働きや取り付けてからお使いになるまでの準備についてご説明し
ます。
3.1
梱包内容の確認
■ 本体
■ AC アダプタ
■ RJ-45 ⇔ Dsub9 ピン変換アダプタ
■ UTP ケーブル(ストレート)
■ はじめにお読みください
■ SMF モード設定変更手順
■ 海外使用禁止シート
■ 保証書
21
第 3 章 お使いになる前に
3.2. 本体の名称と働き
3.2
本体の名称と働き
■ 前面
1
2
1. 7 セグメント LED
SEIL の動作状態を表示します。点灯場所によって以下の状態を表しています。
b
a
g
f
h
c
d
e
• 点灯なし
何も接続されていない状態です。
• ”h”セグメントが点滅
システムが動作している状態です。
• ”d”セグメントが点灯
LAN0 ポートが接続されている状態です。
• ”g”セグメントが点灯
LAN1 ポートが接続されている状態です。
• ”b”セグメントが点灯
SMF モードで情報を取得中です。
• ”b”セグメントが点灯、”c”セグメントが点滅
SEIL が異常を検知しています。電源を入れなおしても状況に改善が見られない場合は、お買い上げの
販売店にご連絡ください。
2. SERIAL0 ポート
コンソールを接続します。
22
第 3 章 お使いになる前に
3.2. 本体の名称と働き
¤
¡
その他詳しい表示内容については、 ó– [8.1 仕様について £P.257 ¢ ]をご覧ください。
■ 背面
1
2
3
4
5 6
7
1. 電源コネクタ
AC アダプタを接続します。
2. LAN0 ポート
Ethernet ケーブルを使ってコンピュータあるいは LAN と接続します。
3. LAN1 ポート
Ethernet ケーブルを使ってメディアコンバータや ADSL モデム等と接続します。
4. SERIAL1 ポート
使用しません。
5. LINK/ACT LED(緑)
Ethernet ポートの状態を表示します。
LAN ケーブルが正常に接続されているときに点灯し、データ通信時は点滅します。
6. 100M LED(橙)
Ethernet ポートの通信速度を表示します。
100Base-TX で接続した時に点灯し、10Base-TX で接続した場合に消灯します。
7. INIT ボタン
ルータモード・SMF モードの切り替えや、工場出荷時の設定に戻すときに使用します。
23
第 3 章 お使いになる前に
3.2. 本体の名称と働き
¤
¡
INIT ボタンで工場出荷設定に戻す方法については、 ó– [6.6 INIT ボタンによる設定の初期化 £P.78 ¢
]をご覧ください。
24
第 3 章 お使いになる前に
3.3. モードの切り替え方法
3.3
モードの切り替え方法
SEIL には、以下の4つのモードがあります。
• ルータモード
設定を手動で行います。
• SMF-PPPoE モード
PPPoE が使用可能な環境で SMF サービスを使用します。
• SMF-DHCP モード
DHCP が使用可能な環境で SMF サービスを使用します。
• SMF-LAN モード
SMF-LAN が使用可能な環境で SMF サービスを使用します。
※ SMF とは
ネットワーク機器の構築、設定、運用、保守における作業をユーザ専用 WEB サイトから一元的
に行なえるようにするサービスです。
■ 現在のモード表示
SEIL の現在のモード設定を表示するには、本体が起動している状態で、INIT ボタンを以下のように
操作します。
通常状態
↓ 2 秒以上押す
設定モード(LED が”8”を表示)
↓ 2 秒以上押す
現在値表示
※ 7 セグメント LED は、LED ”a” セグメントを上として表示します。
※ それぞれの値が表示するモードは以下の通りです。
0:ルータモード
1:SMF-PPPoE モード
25
第 3 章 ケーブルのつなぎ方
2:SMF-DHCP モード
3:SMF-LAN モード
■ モードの切り替え
SEIL のモード設定を変更するには、本体が起動している状態で、INIT ボタンを以下のように操作し
ます。
通常状態
↓ 2 秒以上押す
設定モード(LED が”8”を表示)
↓ 2 秒以上押す
現在値表示
↓ 3 秒以上押す
設定変更(LED が 0 → 1 → 2 → 3 の順に表示)
↓ 設定する値でボタンを離す
設定を保存(値が点滅)
↓ 設定に成功
通常状態
設定の変更後、SEIL を再起動すると、設定したモードで起動します。
26
第 4 章 ケーブルのつなぎ方
4.1. インターネットに接続する
第 4 章 ケーブルのつなぎ方
本章では、CS-SEIL-510/C と HUB、コンピュータなどの周辺機器との基本的な配線方法についてご
説明します。
4.1
インターネットに接続する
■ CS-SEIL-510/C をメディアコンバータ/ADSL モデムなどと接続する
CS-SEIL-510/C の LAN1 ポートと、メディアコンバータや ADSL モデムなどの Ethernet ポート(LAN
ポート)を、Ethernet ケーブルでつなぎます。なお、コネクタは各ポートにカチッと音がするまで差し
込んでください。(ケーブルの極性は自動判別します。)
※ メディアコンバータや ADSL モデムなどは必ず LAN1 ポートに接続してください。
※ ここで言う「Ethernet ケーブル」とは、
「10BASE-T/100BASE-TX ストレートケーブル」を示し
ます。
27
第 4 章 ケーブルのつなぎ方
4.2. CS-SEIL-510/C を LAN に接続する
警告
配線は、必ず屋内配線としてください。
屋外にわたる配線は、感電の原因となります。
4.2 CS-SEIL-510/C を LAN に接続する
SEIL の LAN0 ポートとご利用の HUB の任意のポートをつなぎます。次に、HUB とコンピュータの
Ethernet(あるいは LAN)ポートをつなぎます。コネクタは各ポートにカチッと音がするまで差し込ん
でください。(ケーブルの極性は自動判別します。)
※ HUB およびコンピュータとの接続には、市販の Ethernet ケーブル(カテゴリ 5 以上を推奨して
います)をご利用ください。
※ コンピュータ側には LAN ボード/カードが必要になります。
※ ここで言う「Ethernet ケーブル」とは、
「10BASE-T/100BASE-TX ストレートケーブル」を示し
ます。
警告
配線は、必ず屋内配線としてください。
屋外にわたる配線は、感電の原因となります。
28
第 4 章 ケーブルのつなぎ方
4.3. 電源を入れる
4.3
電源を入れる
SEIL の電源コネクタ【DC in(5V)】と AC コンセントを、SEIL に付属の AC アダプタでつなぎます。
SEIL の電源が ON になり 7 セグメント LED が点灯し、自己診断テストが行なわれます( ó– [9.3
¤
¡
自己診断テスト £P.285 ¢ ])。
※ 電源を OFF にするには、AC アダプタを AC コンセントから抜き取ります。
29
第 4 章 初期設定
警告
付属の AC アダプタ(DC 5V)以外のものは、絶対に使用しないでください。
火災、感電、故障の原因となります。
SEIL の電源は、100V ± 10%(50/60Hz)の電源以外では、絶対に使用しないで
ください。
異なる電圧で使用すると、火災、感電の原因となります。
電源プラグは AC コンセントに確実に差し込んでください。
電源プラグの刃に金属などが触れると火災、感電の原因となります。
電源コードの接続は、テーブルタップや分岐コンセント、分岐ソケットを使用し
たタコ足配線にしないでください。
AC コンセントが加熱し、火災、感電の原因となります。
30
第 5 章 初期設定
第 5 章 初期設定
本章では、CS-SEIL-510/C の利用に必要なコンピュータの設定と、CS-SEIL-510/C 本体の設定につ
いてご説明します。
SEIL の設定を行うには、SEIL と任意のコンピュータを接続する必要があります。SEIL とコンピュー
¤
¡
、下記の手順で SEIL と、接続
タをネットワークに接続した後 ( ó– [4 ケーブルのつなぎ方 £P.27 ¢ ])
したコンピュータを 1 台だけ起動し、SEIL を設定してください。
SEIL とコンピュータのケーブル接続を確認
↓
SEIL の起動
↓
SEIL と接続したコンピュータの起動
↓
コンピュータのネットワークに関する設定
↓
コンピュータの再起動
↓
SEIL の設定
※ SEIL の設定に使用するコンピュータ以外は設定完了後に起動してください。
※ SEIL を起動する前にコンピュータと正しく接続されていることを確認してください。接続を確
認後、SEIL の AC アダプタをコンセントに差し込み、電源を入れてください(SEIL が起動し
ます)。
¤
¡
※ SEIL の 7 セグメント LED が点灯し、起動中のランプ点灯( ó– [9.3 自己診断テスト £P.285 ¢ ]
)が行われていることを確認してから、コンピュータを起動してください。
31
第 5 章 初期設定
5.1. コンピュータのネットワーク設定について
5.1
コンピュータのネットワーク設定について
■ コンピュータが DHCP クライアント機能をサポートしている場合
SEIL には DHCP サーバ機能が内蔵されており、工場出荷状態では有効になっています。コンピュー
タが DHCP クライアント機能をサポートしている場合は、DHCP クライアント機能を有効にすること
でネットワークに接続するために必要な項目を自動的に設定できます。
Ṟ ἅὅἦἷὊἑឪѣ
ṟ ἟ἕἚὁὊἁᚨ‫ܭ‬ऴ‫إ‬ᙲ൭
Ṡ ἟ἕἚὁὊἁᚨ‫ܭ‬ऴ‫̓إ‬ዅ
ṡ ἟ἕἚὁὊἁᚨ‫ܦܭ‬ʕὲ
SEIL
ἅὅἦἷὊἑ
■ コンピュータが DHCP クライアント機能をサポートしていない場合
コンピュータが DHCP クライアント機能をサポートしていない場合は、ネットワークに接続するため
に必要な項目を手動で設定する必要があります。SEIL は工場出荷状態では IP アドレス「192.168.0.1」
、
ネットマスク「/24」に設定されています。
৖ѣỂᚨ‫ܭ‬
IPỴἛἾἋ
192.168.0.2/24
SEIL
32
IPỴἛἾἋ
192.168.0.1/24
ἅὅἦἷὊἑ
第 5 章 初期設定
5.2. telnet でのログイン方法
5.2
telnet でのログイン方法
SEIL と LAN 接続されているコンピュータから telnet クライアントを利用して、SEIL に telnet 接続
を行います。以下の手順に従ってログインを行ってください。また、SEIL では、telnet に加えてシリア
ルコンソールからの設定や、Secure Shell を使っての設定にも対応しています。シリアルコンソールを
使用する場合には、別売のコンソールケーブルが必要となります。Secure Shell は工場出荷状態では無
効になっていますが、Secure Shell を使用するとより安全に SEIL にログインすることができます。詳
¤
¡
細は ó– [6.2.13 サーバの起動 £P.55 ¢ ]をご覧ください。
1. login:”と表示されますので、「user」もしくは「admin」と入力してください。
¶
³
login: admin
µ
´
※ user は一般アカウント、admin は管理者アカウントとなります。上記では、例として admin
と入力しています。user でログインすると、そのままでは設定/動作情報の参照しかできま
せん。各種設定を行うには、administrator コマンドで管理者権限に移行する必要があります
¤
¡
( ó– [6.3.7 管理者権限への移行 £P.64 ¢ ])。
2. パスワードが設定されていれば、”Password:”と表示されますので、設定したパスワードを入力し
てください。パスワードを設定してなければ、表示されずに次に進みます。”Login incorrect”と
表示された場合は、ユーザ名もしくはパスワードが間違っていますので、入力をやり直してくだ
さい。
¶
³
Password:
µ
´
3. プロンプトが表示されます。表示されるプロンプトはユーザによって変わります。ユーザが
admin の場合は”#”、user の場合は”>”となります。
4. ログイン完了です。この状態から、コマンドを入力することができます。
5. 終了するには、exit 等のコマンドを入力してください。
Windows コマンドプロンプトでログインする場合、改行コードの違いによりいくつかのコマンドが
正常に実行できない場合があります。あらかじめ以下の手順で改行コードの変更を行ってください。
1. Windows コマンドプロンプトを開き、telnet クライアントを起動します。
2.「unset crlf」と入力し、改行モードを変更します。
¶
³
Microsoft Telnet> unset crlf
ラインフィード モード - リターンキーで CR を送信します
Microsoft Telnet>
µ
´
33
第 5 章 初期設定
5.3. Web ブラウザでの閲覧
5.3 Web ブラウザでの閲覧
SEIL は Web ブラウザを使って、簡易設定や、システム管理、動作状況の確認を行うことができます。
閲覧を行うためには、SEIL と閲覧用コンピュータをネットワークに接続し、コンピュータの Web ブラ
ウザを使います。
wwwἇὊἢ
SEIL
wwwἨἻỸἈ
ἅὅἦἷὊἑ
※ ケーブルの接続方法や、閲覧用のコンピュータの接続方法については、
「 ó– [4 ケーブルのつな
¤
¡
¤
¡
ぎ方 £P.27 ¢ ]」や「 ó– [5.1 コンピュータのネットワーク設定について £P.32 ¢ ]」をご覧くだ
さい。
※ 閲覧に使用する Web ブラウザは Internet Explorer 6.0 以降、または Netscape Navigator 7.0 以
降を推奨します。
コンピュータから SEIL へアクセスする手順を説明します。
1. コンピュータの Web ブラウザを起動します。使用する Web ブラウザは必ず「Proxy サーバ機
能」を使用しない設定にしてください。設定方法については Web ブラウザのヘルプをご参照く
ださい。
2. URL 入力欄に「http://192.168.0.1/」と入力してください。
※ 工場出荷状態では、閲覧のためにアクセスする URL は「http://192.168.0.1/」になります。”in-
terface lan0 address”コマンドで IP アドレスを設定変更している場合は、”192.168.0.1”の部
分を設定した値に変更してアクセスしてください。
3. ”user”、”admin”両方のパスワードが設定されている場合、SEIL にアクセスすると以下の画面が
表示されます。それぞれの欄に必要な事項を入力すると、メイン画面が表示されます。
34
第 5 章 初期設定
5.3. Web ブラウザでの閲覧
「管理者アカウント」でアクセスする場合
•「ユーザー名 (U)」欄に「admin」と入力
•「パスワード (P)」欄に「管理者アカウント」で設定したパスワードを入力
「一般アカウント」でアクセスする場合
•「ユーザー名 (U)」欄に「user」と入力
•「パスワード (P)」欄に「一般アカウント」で設定したパスワードを入力
※ 工場出荷状態では、パスワードは設定されていません。
※ パスワードは「*」(アスタリスク)もしくは「・」(ドット)で表示されます。
35
第 5 章 設定と管理、運用
5.4
パスワードを設定する
SEIL はすべての設定変更、参照が可能な「管理者アカウント」と、現在の設定と装置の状態のみ参照
可能な「一般アカウント」の 2 つのアカウントを用意しています。工場出荷状態では、「管理者アカウ
ント」と「一般アカウント」に対するパスワードは設定されていません。
ネットワークセキュリティの観点から、
「管理者アカウント」と「一般アカウント」の両方に対してパ
スワードを設定することをお勧めします。
※ 設定したパスワードは SEIL 保守管理担当者以外には決して教えないようにしてください。
1. telnet またはシリアルコンソールで SEIL に admin でログインします。
2. password コマンドを実行します。引数に admin を指定してください。
¶
³
# password admin
New password:
µ
´
New password: のプロンプトが出ますのでパスワードを入力します。
3. 適切なパスワードを入力すると以下のプロンプトが出ます。入力に間違いがなかったかどうかを
確認するためのものですので再度同じパスワードを入力してください。
¶
³
Retype new password:
µ
´
4. 同様に一般アカウント用のパスワードも設定します。password コマンドに引数 user をつけて実
行してください。
¶
³
# password user
New password:
Retype new password:
µ
´
5. 設定を SEIL 本体に保存します。以下のコマンドを実行してください( ó– [6.3.1 設定内容の保
¤
¡
存・読込 £P.61 ¢ ])。
¶
# save-to flashrom
µ
※ セキュリティ上の観点からパスワード設定の際は必ず、「管理者アカウント」と「一般アカウン
ト」双方を設定することをお勧めします。どちらか一方のみ設定した場合、未設定のアカウント
からのアクセスが許可されてしまいます。
36
³
´
第 6 章 設定と管理、運用
6.1. コマンドライン
第 6 章 設定と管理、運用
CS-SEIL-510/C のコマンドは、設定、管理、および参照に分かれています。
設定コマンドとは、それぞれの機能の動作を決定するコマンドです。設定コマンドは、管理者のみが
実行可能です。管理コマンドとは、CS-SEIL-510/C の管理を行う上で必要なコマンドを集めたもので
す。管理者のみ実行可能なコマンドと、一般ユーザも実行可能なコマンドがあります。参照コマンドと
は、現在働いているシステムの情報、設定情報、動作情報を表示するものです。管理者や一般ユーザと
いった、アクセスレベルに関係なく実行可能です。
コマンドには IPv4 と IPv6 に共通するコマンド、IPv4 と IPv6 とで異なるコマンド、IPv6 には対応し
ていないコマンドがあります。
ここでは、それぞれのコマンドについてご説明します。
アクセスレベル
管理者
一般ユーザ
設定
○
×
管理
○
○(一部のみ)
参照
○
○
※ 一般ユーザでは設定変更が行えないため、各種設定変更を行うには administrator コマンドによ
¤
¡
り管理者権限に移行する必要があります( ó– [6.3.7 管理者権限への移行 £P.64 ¢ ])。
※ セキュリティ上の観点から、管理者権限でログインするためのパスワードは、保守管理担当者以
外には決して教えないようにしてください。
6.1
コマンドライン
SEIL では、ログイン後は tcsh や bash 等の UNIX シェルと同様に文字を入力・削除することができ、
コマンドの履歴参照やコマンド行を編集することも可能です。ここでは、コマンド入力に使用する文字
や規則、コマンドの補完機能、コマンドの履歴参照機能、コマンドの基本型についてご説明します。
■ 使用する文字
• 入力は ASCII 文字のみとなります。日本語等では入力できません。
37
第 6 章 設定と管理、運用
6.1. コマンドライン
• キーワードや予約語は、大文字と小文字が区別されます。
• 文字列
文字列には、英数字(ABC…Zabc…z012…9)と記号が使用可能となります。使用できる記号に
ついてはコマンドリファレンスをご覧ください。また、空文字列は何も文字を入れない入力で、
連続したダブルクオート(””)で入力することができます。
• 数値
数値は、10 進法(012…9)または 16 進法(012…9abc…f)で入力します。先頭に”0x” を付けた
数値は 16 進法として、それ以外は 10 進法として扱われます。
38
第 6 章 設定と管理、運用
6.1. コマンドライン
■ 制御文字と特殊文字
Space
カーソル位置に空白を入力します。
BackSpace
カーソルが一文字前に移動し、その文字を削除します。
Ctrl-H
”BackSpace”と同様の動作をします。
DEL
”BackSpace”と同様の動作をします。
Ctrl-D
カーソル位置にある文字を削除します。行末にある場合は”?”と同様の動作
をします。
Tab
入力中のキーワードが 1 つに特定可能であれば、キーワードを補完します。
?
現在のコマンドラインで入力可能なキーワードやパラメータを表示したり、
help を表示したりします。
Enter
現在のコマンド行を実行します。
Ctrl-M
”Enter”と同様の動作をします。
Ctrl-J
”Enter”と同様の動作をします。
Ctrl-C
実行中のコマンドをキャンセルします。
Ctrl-F, →
カーソルが一文字後に移動します。
Ctrl-B, →
カーソルが一文字前に移動します。
Ctrl-A
カーソルが行頭に移動します。
Ctrl-E
カーソルが行末に移動します。
Ctrl-T
カーソル位置とその一文字前の文字を入れ替えて、カーソルを一文字進めま
す。
Ctrl-P, ↑
コマンド履歴を前方参照します。
Ctrl-N, ↓
コマンド履歴を後方参照します。
Ctrl-Space
切り取りの開始文字を指定します。
Ctrl-W
切り取りの終了文字を指定します。選択した範囲は切り取られます。
Ctrl-K
カーソル以降を切り取ります。
Ctrl-Y
切り取った文字列をカーソル位置に貼り付けます。
Ctrl-U
すべての入力を取り消して、プロンプトのみの状態にします。
Ctrl-V
”?”など特別な意味を持つ文字を通常の文字として入力することができます。
ただし、制御文字 (印刷できない文字) はコマンド処理の前に取り除かれま
す。
Ctrl-L
画面のクリアを行います。
’
囲んだ文字列(空白を含む)を 1 つの文字列として扱います。
”
’と同様の動作をします。
\(Y)
” または ’を通常の文字と同様に扱います。
※ 使用するコンピュータやターミナルソフトウェアの設定により、表の特殊文字と実際の動作が異
なる場合があります
39
第 6 章 設定と管理、運用
6.1. コマンドライン
■コマンドの補完機能
SEIL では、次に入力するコマンドのキーワードを忘れてしまった場合、Tab キーを使用してキーワー
ドを補完することができます。キーワードを一文字しか覚えていない場合でも、キーワードが 1 つに特
定可能であれば正しいキーワードを表示します。また、「?」を入力すると、キーワードやパラメータの
入力候補を表示させることもできます。
• キーワードを補完する
「interface p」に続く文字を忘れてしまった場合、
「interface p」と入力し、Tab キーまたは Ctrl+I キーを押します。
¶
³
interface p <Tab>
µ
´
「interface pppoe」と補完されたキーワードが表示されます。
¶
³
interface pppoe
µ
´
• キーワードやパラメータの入力候補を表示する
「interface pppoe」に続くパラメータを忘れてしまった場合、
「interface pppoe」と入力し、?キーまたは Ctrl+D キーを押します。
¶
³
interface pppoe?
µ
´
「pppoe0」「pppo1」「pppoe2」「pppoe3」とパラメータの入力候補が表示されます。
¶
interface pppoe
ˆ
pppoe0
pppoe1
µ
40
pppoe2
³
pppoe3
´
第 6 章 設定と管理、運用
6.1. コマンドライン
■ コマンドの履歴参照
SEIL では、ユーザがログインしてから実行したコマンドの履歴を参照することができます。履歴を
参照することで、一度実行したコマンドは再度コマンドを入力しなくても実行可能となります。
Ctrl
+
P
show date
show config
㸡
show status
show system
show date
show log
Ctrl
+
N
show users
㸣
• コマンドの前方参照
Ctrl-P あるいは矢印キー(↑)を押すごとに、実行したコマンドを 1 つずつ遡って表示します。
コマンドを 1 つも実行していない場合には何も表示されません。コマンドが表示された時点で
Enter キーを押すと、表示されているコマンドを実行することができます。
• コマンドの後方参照
Ctrl-P あるいは矢印キー(↑)によってコマンドの履歴を参照している際、Ctrl-N あるいは矢印
キー(↓)を押すごとに、それまで参照したコマンドを 1 つずつ進めて表示します。コマンドを
1 つも実行していない場合には、何も表示されません。コマンドが表示された時点で Enter キー
を押すと、表示されているコマンドを実行することができます。
■ コマンドの基本型
コマンドの基本型は以下の構成となります。
¶
³
<トップレベルコマンド> <キーワード 0> <パラメータ 0> <キーワード 1> <パラメータ 1> …
µ
´
41
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
なお、「add」「delete」「modify」を利用することができます。
例)
¶
³
<トップレベルコマンド> <キーワード 0> add/delete/modify <パラメータ 0> <キーワード 1> …
µ
´
add / delete:動的に項目を増減させることが可能となります。
modify :項目を増減させることなく変更することが可能となります。
項目には、追加した項目を一意に指定することが可能な名前が必ず付与されます。
※ 一部のコマンドでは「add」
「delete」
「modify」を使用することができません。詳細についてはコ
マンドリファレンスをご覧ください。
6.2
設定コマンドを利用する
設定コマンドはさまざまな機能の設定を行うことができます。IPv4 と IPv6 に共通するコマンド、
IPv4 と IPv6 とで異なるコマンド、IPv6 に対応していないコマンドがありますので、ご確認の上、設定
を行ってください。ここでは、各コマンドの設定内容についてご説明します。詳しい設定方法はコマン
ドリファレンスをご覧ください。
※ 設定コマンドは管理者アカウントでのみ使用可能となります。一般ユーザでアクセスしている場
合、administrator コマンドで管理者権限に移行する必要があります( ó– [6.3.7 管理者権限へ
¤
¡
の移行 £P.64 ¢ ])。
42
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
■ アクセスレベル対応表
項番号
コマンド
アクセスレベル
管理者
一般ユーザ
interface
○
×
ppp
○
×
bridge
○
×
6.2.2 ARP 設定
arp
○
×
6.2.3 ルーティング
route
○
×
route6
○
×
vrrp
○
×
filter
○
×
filter6
○
×
macfilter
○
×
ipsec
○
×
ike
○
×
l2tp
○
×
6.2.6 回線トレース
trace
○
×
6.2.7 NAT/NAPT
nat
○
×
6.2.8 帯域制御
cbq
○
×
6.2.9 DHCP
dhcp
○
×
dhcp6
○
×
dns
○
×
resolver
○
×
6.2.11 ルータ広告
rtadvd
○
×
6.2.12 プロトコル変換
translator
○
×
6.2.13 サーバの起動
httpd
○
×
telnetd
○
×
sshd
○
×
ntp
○
×
timezone
○
×
snmp
○
×
syslog
○
×
hostname
○
×
password
○
×
environment
○
×
option
○
×
6.2.1 接続設定
6.2.4 セキュリティ
6.2.5 VPN
6.2.10 DNS
6.2.14 時刻設定
6.2.15 管理設定
○: 設定可能
×: 設定不可能
43
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
■ IPv4/IPv6 対応表
項番号
コマンド
IPv4/IPv6 対応
IPv4
IPv6
interface
○
○
ppp
○
○
bridge
○
○
6.2.2 ARP 設定
arp
○
−
6.2.3 ルーティング
route
○
−
route6
−
○
vrrp
○
×
filter
○
−
filter6
−
○
macfilter
−
−
ipsec
○
○
ike
○
○
l2tp
○
×
6.2.6 回線トレース
trace
−
−
6.2.7 NAT/NAPT
nat
○
−
6.2.8 帯域制御
cbq
○
○
6.2.9 DHCP
dhcp
○
−
dhcp6
−
○
dns
○
○
resolver
○
○
6.2.11 ルータ広告
rtadvd
−
○
6.2.12 プロトコル変換
translator
○
○
6.2.13 サーバの起動
httpd
○
○
telnetd
○
○
sshd
○
○
ntp
○
○
timezone
−
−
snmp
○
○
syslog
○
○
hostname
−
−
password
−
−
environment
−
−
option
○
○
6.2.1 接続設定
6.2.4 セキュリティ
6.2.5 VPN
6.2.10 DNS
6.2.14 時刻設定
6.2.15 管理設定
○: 対応している、×:対応していない、−:IPv4/IPv6 対応とは無関係
44
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
■ 6.2.1
接続設定
■ interface
interface コマンドにより、IP アドレスの設定や、メディアの設定、トンネルの設定、VLAN の設定
等、インタフェースに関する設定を行うことができます。以下にサブコマンドと設定内容を示します。
サブコマンド
設定内容
add
IP アドレスのエイリアスの追加
address
IP アドレスの設定
delete
IP アドレスの削除
description
インタフェースの説明の設定
l2tp
L2TP の設定の選択
media
LAN インタフェースの回線速度の設定
mdi
LAN インタフェースの MDI/MDI-X の設定
mtu
インタフェースの MTU 値の設定
over
PPPoE 接続に使う LAN インタフェース名の設定
ppp-configuration
PPP 設定の選択
queue
インタフェースのキューイング方式の設定
tag
VLAN タグの設定
tcp-mss
インタフェースの TCP MSS 値の設定
tunnel
トンネルの設定
unnumbered
unnumbered 接続の設定
■ ppp
ppp コマンドにより、PPP で使用するパラメータの設定を行うことができます。以下にサブコマンド
と設定内容を示します。
サブコマンド
設定内容
add
PPP 設定の追加
modify
PPP 設定の変更
delete
PPP 設定の削除
■ bridge
bridge コマンドにより、ブリッジの設定等を行うことができます。以下にサブコマンドと設定内容を
示します。
45
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
サブコマンド
設定内容
disable
ブリッジ機能の無効化
enable
ブリッジ機能の有効化
group add
ブリッジグループ設定の追加
group delete
ブリッジグループ設定の削除
group modify
ブリッジグループ設定の変更
interface
ブリッジに用いるインタフェースの設定
ip-bridging
IPv4 ブルータの設定
ipv6-bridging
IPv6 ブルータの設定
vman-tpid
VMAN TPID の設定
■ 6.2.2
ARP 設定
■ arp
arp コマンドにより、静的な ARP エントリの追加、NAT 連動 ProxyARP 設定を行うことができます。
以下にサブコマンドと設定内容を示します。
サブコマンド
設定内容
add
静的 ARP エントリの追加
delete
静的 ARP エントリの削除
modify
静的 ARP エントリの変更
reply-nat
NAT 連動 ProxyARP の設定
■ 6.2.3
ルーティング
■ route
route コマンドにより、静的経路の設定や、認証鍵の設定、RIP/OSPF に関する設定、経路フィルタ
の設定等、ルーティングに関する設定を行うことができます。以下にサブコマンドと設定内容を示し
ます。
46
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
サブコマンド
設定内容
add
静的経路の追加
modify
静的経路の変更
delete
静的経路の削除
dynamic auth-key add
認証鍵の追加
dynamic auth-key delete
認証鍵の削除
dynamic rip enable
RIP の有効化
dynamic rip disable
RIP の無効化
dynamic rip interface
RIP のインタフェースごとの使用/不使用の
設定
dynamic rip interface version
RIP バージョンの設定
dynamic rip interface authentication
RIPv2 認証の使用/不使用の設定
dynamic rip interface route-filter
RIP での経路フィルタの使用/不使用の設定
dynamic rip default-route-originate
RIP のデフォルト経路配布の設定
dynamic rip update-timer
RIP のタイマー設定
dynamic ospf enable
OSPF の有効化
dynamic ospf disable
OSPF の無効化
dynamic ospf router-id
OSPF ルータ ID の設定
dynamic ospf area add
エリアの追加
dynamic ospf area delete
エリアの削除
dynamic ospf link add
リンクの追加
dynamic ospf link delete
リンクの削除
dynamic ospf link modify
リンクの変更
dynamic ospf administrative-distance
経路生成時のデフォルトの distance の設定
dynamic ospf default-route-originate enable
OSPF のデフォルト経路配布の有効化
dynamic ospf default-route-originate disable
OSPF のデフォルト経路配布の無効化
dynamic pim-sparse enable
PIM-SM の有効化
dynamic pim-sparse disable
PIM-SM の無効化
dynamic pim-sparse interface enable
PIM-SM のインタフェース毎の有効化
dynamic pim-sparse interface disable
PIM-SM のインタフェース毎の無効化
dynamic route-filter add
経路フィルタの設定
dynamic route-filter delete
経路フィルタの削除
dynamic redistribute
再配布の設定
47
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
■ route6
route6 コマンドにより、IPv6 経路、RIPng、マルチキャストルーティングに関する設定を行うことが
できます。以下にサブコマンドと設定内容を示します。
サブコマンド
設定内容
add
IPv6 の静的経路の追加
modify
IPv6 の静的経路の変更
delete
IPv6 の静的経路の削除
dynamic ripng enable
RIPng の有効化
dynamic ripng disable
RIPng の無効化
dynamic ripng interface
RIPng の動作の設定
dynamic ripng interface aggregate add
RIPng の経路集約の設定
dynamic ripng interface aggregate delete
RIPng の経路集約の削除
dynamic redistribute
再配布の設定
dynamic pim-sparse enable
PIM-SM の有効化
dynamic pim-sparse disable
PIM-SM の無効化
dynamic pim-sparse interface enable
PIM-SM のインタフェース毎の有効化
dynamic pim-sparse interface disable
PIM-SM のインタフェース毎の無効化
■ vrrp
vrrp コマンドにより、VRRP 機能の設定等を行うことができます。以下にサブコマンドと設定内容を
示します。
48
サブコマンド
設定内容
add vrid
VRID 設定の追加
delete vrid
VRID 設定の削除
watch-group add
監視グループの追加
watch-group delete
監視グループの削除
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
■ 6.2.4
セキュリティ
■ filter
filter コマンドにより、フィルタの設定や、フィルタの有効/無効の設定等を行うことができます。以
下にサブコマンドと設定内容を示します。
サブコマンド
設定内容
add
フィルタの追加
modify
フィルタの変更
delete
フィルタの削除
enable
フィルタの有効化
disable
フィルタの無効化
move
フィルタの評価順位の変更
■ filter6
filter6 コマンドにより、IPv6 フィルタの設定や、IPv6 フィルタの有効/無効の設定等を行うことがで
きます。以下にサブコマンドと設定内容を示します。
サブコマンド
設定内容
add
IPv6 フィルタの追加
modify
IPv6 フィルタの変更
delete
IPv6 フィルタの削除
enable
IPv6 フィルタの有効化
disable
IPv6 フィルタの無効化
move
IPv6 フィルタの評価順位の変更
■ macfilter
macfilter コマンドにより、LAN0 で受信したパケットに対して MAC アドレスでフィルタリングを行
うことができます。以下にサブコマンドと設定内容を示します。
サブコマンド
設定内容
add
MAC アドレスフィルタの追加
delete
MAC アドレスフィルタの削除
modify
MAC アドレスフィルタの変更
49
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
■ 6.2.5
VPN
■ ipsec
ipsec コマンドにより、セキュリティアソシエーションプロポーザルの設定、セキュリティアソシエー
ションの設定、セキュリティポリシーの設定、セキュリティポリシーの有効/無効の設定等を行うことが
できます。以下にサブコマンドと設定内容を示します。
サブコマンド
設定内容
security-association proposal add
セキュリティアソシエーションプロポーザルの追加
security-association proposal modify
セキュリティアソシエーションプロポーザルの変更
security-association proposal delete
セキュリティアソシエーションプロポーザルの削除
security-association add
セキュリティアソシエーションの追加
security-association modify
セキュリティアソシエーションの変更
security-association delete
セキュリティアソシエーションの削除
security-policy add
セキュリティポリシーの追加
security-policy modify
セキュリティポリシーの変更
security-policy delete
セキュリティポリシーの削除
security-policy enable
セキュリティポリシーの有効化
security-policy disable
セキュリティポリシーの無効化
security-policy move
セキュリティポリシーの評価順位の変更
■ ike
ike コマンドにより、IKE Peer の設定や、IKE プロポーザルの設定、IKE 事前共有鍵の設定等を行う
ことができます。以下にサブコマンドと設定内容を示します。
50
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
サブコマンド
設定内容
retry
IKE の再送回数の設定
interval
IKE の再送間隔の設定
phase1-timeout
フェーズ 1 でのタイムアウト時間の設定
phase2-timeout
フェーズ 2 でのタイムアウト時間の設定
per-send
送信パケット数の設定
randomize-padding-value
パディング値ランダム化の有無の設定
randomize-padding-length
パディング長ランダム化の有無の設定
maximum-padding-length
ランダム化したパディング長の最大値の設定
strict-padding-byte-check
パディング長がランダム化されていない受信パケット
を破棄するか否かの設定
exclusive-tail
パディング末尾へのパディング長の設定
peer add
IKE Peer の追加
peer modify
IKE Peer の変更
peer delete
IKE Peer の削除
proposal add
IKE プロポーザルの追加
proposal modify
IKE プロポーザルの変更
proposal delete
IKE プロポーザルの削除
preshared-key add
IKE 事前共有鍵の追加
preshared-key modify
IKE 事前共有鍵の変更
preshared-key delete
IKE 事前共有鍵の削除
■ l2tp
l2tp コマンドにより、L2TPv3 機能の設定を行うことができます。以下にサブコマンドと設定内容を
示します。
サブコマンド
設定内容
add
l2tp 設定の追加
delete
l2tp 設定の削除
modif
l2tp 設定の変更
hostname
local hostname の設定
router-id
local router-id の設定
■ 6.2.6
回線トレース
■ trace
trace コマンドにより、lan1 上で授受されるデータをモニターする回線トレース機能の設定ができま
す。以下にサブコマンドと設定内容を示します。
51
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
サブコマンド
設定内容
enable
回線トレース機能の有効化
disable
回線トレース機能の無効化
■ 6.2.7
NAT/NAPT
■ nat
nat コマンドにより、NAT に関する設定や、NAPT に関する設定等を行うことができます。以下にサ
ブコマンドと設定内容を示します。
52
サブコマンド
設定内容
static add
静的 NAT の追加
static delete
静的 NAT の削除
dynamic add private
動的 NAT の対象プライベート IP アドレス(範囲)の追加
dynamic delete private
動的 NAT の対象プライベート IP アドレス(範囲)の削除
dynamic add global
動的 NAT のグローバル IP アドレス(範囲)の追加
dynamic delete global
動的 NAT のグローバル IP アドレス(範囲)の削除
napt add private
静的 NAPT の追加
napt delete private
静的 NAPT の削除
napt add global
NAPT のグローバル IP アドレス(範囲)の追加
napt delete global
NAPT のグローバル IP アドレス(範囲)の削除
snapt add
静的 NAPT の追加
snapt delete
静的 NAPT の削除
snapt enable
静的 NAPT の有効化
snapt disable
静的 NAPT の無効化
proxy sip add
SIP サーバのポート番号の追加
proxy sip delete
SIP サーバのポート番号の削除
timeout
NAT タイマの設定
timeout protocol
NAT セッションタイマのプロトコルごとの設定
logging
NAT のログ出力の使用/不使用の設定
reflect add interface
Reflection NAT 設定の追加
reflect delete interface
Reflection NAT 設定の削除
upnp on
UPnP 機能の有効化
upnp off
UPnP 機能の無効化
upnp interface
UPnP を使用するインタフェースの設定
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
■ 6.2.8
帯域制御
■ cbq
cbq コマンドにより、CBQ クラス情報の設定や、クラス分けフィルタ情報の設定等を行うことができ
ます。以下にサブコマンドと設定内容を示します。
サブコマンド
設定内容
class add
CBQ のクラス情報の追加
class modify
CBQ のクラス情報の変更
class delete
CBQ のクラス情報の削除
filter add
CBQ のクラス分けフィルタ情報の追加
filter modify
CBQ のクラス分けフィルタ情報の変更
filter delete
CBQ のクラス分けフィルタ情報の削除
filter enable
CBQ のクラス分けフィルタの有効化
filter disable
CBQ のクラス分けフィルタの無効化
filter move
CBQ のクラス分けフィルタの評価順序の変更
bandwidth
CBQ の計算上の回線速度の設定
■ 6.2.9
DHCP
■ dhcp
dhcp コマンドにより、DHCP の使用/不使用の設定や、DHCP で配布する IP アドレスや DNS サーバ
アドレス、ドメイン名、デフォルト経路、NTP サーバアドレスに関する設定等を行うことができます。
以下にサブコマンドと設定内容を示します。
サブコマンド
設定内容
enable
DHCP の有効化
disable
DHCP の無効化
mode
DHCP の動作の設定
interface
インタフェースごとの DHCP サーバ/リレーエージェントの設定
■ dhcp6
dhcp6 コマンドにより、DHCPv6 の使用/不使用の設定や、動作するインタフェースの設定、Rapid
Commit オプション、Reconfigure Accept オプション、Prefix Delegation の設定等を行うことができま
す。以下にサブコマンドと設定内容を示します。
53
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
サブコマンド
設定内容
client enable
DHCPv6 クライアントの有効化
client disable
DHCPv6 クライアントの無効化
client rapid-commit
Rapid Commit オプションの設定
client reconf-accept
Reconfigure Accept オプションの設定
client prefix-delegation
サブネットごとの SLA ID の設定
■ 6.2.10
DNS
■ dns
dns コマンドにより、DNS 中継機能の使用/不使用の設定や、DNS 要求の中継先サーバの設定等を行
うことができます。以下にサブコマンドと設定内容を示します。
サブコマンド
設定内容
forwarder enable
DNS 中継機能の有効化
forwarder disable
DNS 中継機能の無効化
forwarder add
DNS 要求の中継先サーバの追加
forwarder delete
DNS 要求の中継先サーバの削除
forwarder query-translation enable
IPv4-IPv6 変換機能の有効化
forwarder query-translation disable
IPv4-IPv6 変換機能の無効化
forwarder query-translation prefix
IPv4 アドレスに付加するプレフィクスの設定
■ resolver
resolver コマンドにより、DNS による名前解決の使用/不使用の設定や、使用する DNS サーバの設
定、DNS へ問い合わせるデフォルトドメイン名の設定等を行うことができます。以下にサブコマンド
と設定内容を示します。
54
サブコマンド
設定内容
enable
DNS による名前解決の有効化
disable
DNS による名前解決の無効化
address add
使用する DNS サーバの追加
address delete
使用する DNS サーバの削除
domain
ドメイン名の設定
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
■ 6.2.11
ルータ広告
■ rtadvd
rtadvd コマンドにより、ルータ広告の使用/不使用の設定や、ルータ広告で配布するプレフィクスの設
定を行うことができます。以下にサブコマンドと設定内容を示します。
サブコマンド
設定内容
enable
ルータ広告の有効化
disable
ルータ広告の無効化
interface
インタフェースに配布するプレフィクスの設定
■ 6.2.12
プロトコル変換
■ translator
translator コマンドにより、IPv6 から IPv4、またはその逆のプロトコル変換を行うためのアドレス対
応とその対象ポート番号の設定や、プロトコル変換タイマの設定等を行うことができます。以下にサブ
コマンドと設定内容を示します。
サブコマンド
設定内容
add
プロトコル変換のアドレス対応の追加
delete
プロトコル変換のアドレス対応の削除
add prefix
プロトコル変換のアドレスに付加するプレフィクスの追加
delete prefix
プロトコル変換のアドレスに付加するプレフィクスの削除
add port
プロトコル変換を行うポートの追加
delete port
プロトコル変換を行うポートの削除
timeout
プロトコル変換タイマの設定
■ 6.2.13
サーバの起動
■ httpd
httpd コマンドにより、Web による設定機能の使用/不使用の設定を行うことができます。以下にサブ
コマンドと設定内容を示します。
サブコマンド
設定内容
enable
Web インタフェースの有効化
disable
Web インタフェースの無効化
55
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
■ telnetd
telnetd コマンドにより、telnet サーバ機能の使用/不使用の設定を行うことができます。以下にサブ
コマンドと設定内容を示します。
サブコマンド
設定内容
enable
telnet サーバの有効化
disable
telnet サーバの無効化
■ sshd
sshd コマンドにより、Secure Shell サーバ機能の使用/不使用の設定や、Secure Shell で使用するホ
ストキーの設定を行うことができます。以下にサブコマンドと設定内容を示します。
サブコマンド
設定内容
enable
Secure Shell サーバの有効化
disable
Secure Shell サーバの無効化
hostkey
Secure Shell のホストキーの設定
authorized-key
Secure Shell の公開鍵の設定
■ 6.2.14
時刻設定
■ ntp
ntp コマンドにより、NTP の使用/不使用の設定や、NTP サーバの設定等を行うことができます。以
下にサブコマンドと設定内容を示します。
サブコマンド
設定内容
enable
NTP の有効化
disable
NTP の無効化
server add
NTP サーバの追加
server delete
NTP サーバの削除
peer add
NTP peer の追加
peer delete
NTP peer の削除
■ timezone
timezone コマンドにより、タイムゾーンの設定を行うことができます。以下にコマンドと設定内容
を示します。
56
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
コマンド
設定内容
timezone
タイムゾーンの設定
■ 6.2.15
管理設定
■ snmp
snmp コマンドにより、SNMP サーバ機能の使用/不使用の設定や、SNMP トラップ使用/不使用の設
定等を行うことができます。以下にサブコマンドと設定内容を示します。
サブコマンド
設定内容
enable
SNMP サーバ機能の有効化
disable
SNMP サーバ機能の無効化
community
SNMP community の設定
sysname
SNMP sysname の設定
location
SNMP location の設定
contact
SNMP contact の設定
user
SNMP ユーザの設定
trap enable
SNMP トラップの有効化
trap disable
SNMP トラップの無効化
trap add
SNMP トラップの送信先ホストの追加
trap delete
SNMP トラップの送信先ホストの削除
trap src
SNMP トラップの送信元アドレスの指定
trap watch add
SNMP 死活監視対象ホストの追加
trap watch delete
SNMP 死活監視対象ホストの削除
■ syslog
syslog コマンドにより、デバッグログ記録機能の使用/不使用の設定や、ログ転送時に関する設定等を
行うことができます。以下にサブコマンドと設定内容を示します。
サブコマンド
設定内容
alternate-timestamp
ログ転送時の時刻フォーマットの変更の設定
clear-password
コマンドログ記録機能使用時のパスワード記録の有無の設定
command-log
実行コマンドのログ記録の設定
debug-level
デバッグログ記録機能の使用/不使用の設定
sequence-number
ログ転送時のシーケンス番号付与の設定
remote
ログ転送機能の使用/不使用の設定
add
ログを転送するリモートホストの追加
delete
ログを転送するリモートホストの削除
facility
ログ転送時のファシリティの設定
57
第 6 章 設定と管理、運用
6.2. 設定コマンドを利用する
■ hostname
hostname コマンドにより、ホスト名の設定を行うことができます。パラメータを省略した場合は、
現在のホスト名が表示されます。以下にコマンドと設定内容を示します。
コマンド
設定内容
hostname
ホスト名の設定
■ password
password コマンドにより、SEIL にログインするためのパスワードの設定を行うことができます。パ
スワードは、一般ユーザと管理者に分かれており、それぞれに対する設定が可能です。以下にコマンド
と設定内容を示します。
コマンド
設定内容
password
パスワードの設定
※ 入力されたパスワードは、encrypted-password(暗号化されたパスワード)として保存されます。
■ environment
environment コマンドにより、コマンドラインインタフェース環境の動作設定を行うことができます。
以下にサブコマンドと設定内容を示します。
58
サブコマンド
設定内容
login-timer
自動ログアウト時間の設定
pager
ページャーの使用、不使用の設定
terminal
端末の行数、列数の指定および自動取得の設定
第 6 章 設定と管理、運用
6.3. 管理コマンドを利用する
■ option
option コマンドにより、専用の設定コマンドを持たない、各種機能の設定を行うことができます。以
下にサブコマンドと設定内容を示します。
サブコマンド
設定内容
ip mask-reply
ICMP アドレスマスク要求への応答設定
ip monitor-linkstate
インタフェースの Up/down 監視の設定
ip redirects
ICMP echo リダイレクトの設定
ip update-connected-route
LinkDown 時の IPv4 connected route 動的削除の設定
ipv6 monitor-linkstate
インタフェースの Up/down 監視の設定
ipv6 redirects
ICMP echo リダイレクトの設定
ipv6
LinkDown 時の IPv6 connected route 動的削除の設定
update-connected-route
ip unicast-rpf
IPv4 uRPF チェックの設定
ipv6 unicast-rpf
IPv6 uRPF チェックの設定
6.3
管理コマンドを利用する
管理コマンドには、設定の保存や再起動等 SEIL の管理を行う上で必要な項目が集められています。
IPv4 と IPv6 に共通するコマンド、IPv4 と IPv6 とで異なるコマンド、IPv6 に対応していないコマンド
がありますので、ご確認の上で設定を行ってください。
ここでは、各コマンドの動作についてご説明します。詳しい設定方法は、コマンドリファレンスをご
覧ください。
※ 管理コマンドには管理者アカウントでのみ実行可能な設定があります。一般ユーザでアクセスし
ている場合、administrator コマンドで管理者権限に移行する必要があります( ó– [6.3.7 管理
¤
¡
者権限への移行 £P.64 ¢ ])。
59
第 6 章 設定と管理、運用
6.3. 管理コマンドを利用する
■ アクセスレベル対応表
項番号
コマンド
アクセスレベル
管理者
一般ユーザ
save-to
○
×
load-from
○
×
6.3.2設定の初期化
factory-config
○
×
6.3.3ファームウェアの更新
update
○
×
6.3.4動的な情報のクリア
clear
○
×
6.3.5接続確認
ping
○
○
ping6
○
○
traceroute
○
○
traceroute6
○
○
6.3.6システム時刻の設定
date
○
×
6.3.7管理者権限への移行
administrator
×
○
6.3.8ログアウト
bye
○
○
exit
○
○
logout
○
○
quit
○
○
connect
○
×
disconnect
○
×
reconnect
○
×
reboot
○
×
help
○
○
remote-console
○
×
telnet
○
○
6.3.1設定内容の保存・読込
6.2.1接続設定
6.3.10その他
○: 実行可能
×: 実行不可能
60
第 6 章 設定と管理、運用
6.3. 管理コマンドを利用する
■ IPv4/IPv6 対応表
項番号
コマンド
IPv4/IPv6 対応
IPv4
IPv6
save-to
○
○
load-from
○
○
6.3.2設定の初期化
factory-config
−
−
6.3.3ファームウェアの更新
update
○
○
6.3.4動的な情報のクリア
clear
−
−
6.3.5接続確認
ping
○
×
ping6
×
○
traceroute
○
×
traceroute6
×
○
6.3.6システム時刻の設定
date
−
−
6.3.7管理者権限への移行
administrator
−
−
6.3.8ログアウト
bye
−
−
exit
−
−
logout
−
−
quit
−
−
connect
−
−
disconnect
−
−
reconnect
−
−
reboot
−
−
help
−
−
remote-console
−
−
telnet
○
○
6.3.1設定内容の保存・読込
6.2.1接続/切断
6.3.10その他
○: 対応している
×: 対応していない
−: IPv4/IPv6 対応とは無関係
■ 6.3.1
設定内容の保存・読込
■ save-to
save-to コマンドにより、SEIL のメモリ上にあるユーザ設定内容の保存、出力を行うことができます。
保存、出力先には、フラッシュメモリ、遠隔ホスト、コンソールが選択できます。以下にサブコマンド
と動作を示します。
61
第 6 章 設定と管理、運用
6.3. 管理コマンドを利用する
サブコマンド
動作
flashrom
フラッシュメモリへの保存
remote
遠隔ホストへの保存
stdout
コンソールへの出力
※ このコマンドは、管理者アカウントでのみ実行可能となります。
■ load-from
load-from コマンドにより、SEIL のメモリ上にあるユーザ設定内容を読み込み、動作に反映させるこ
とができます。入力元には、フラッシュメモリ、遠隔ホスト、コンソールが選択できます。以下にサブ
コマンドと動作を示します。
サブコマンド
動作
flashrom
フラッシュメモリからの設定読み込み
remote
遠隔ホストからの設定読み込み
stdin
コンソールからの設定読み込み
※ このコマンドは、管理者アカウントでのみ実行可能となります。
■ 6.3.2
設定の初期化
■ factory-config
factory-config コマンドにより、SEIL のフラッシュメモリ上の設定内容を工場出荷時の設定に戻すこ
とができます。コマンドを実行した後、再起動を行う必要があります。以下にコマンドと動作を示し
ます。
コマンド
動作
factory-config
設定の初期化
※ このコマンドは、管理者アカウントでのみ実行可能となります。
■ 6.3.3
ファームウェアの更新
■ update
update コマンドにより、ファームウェアを更新することができます。更新方法の詳細については、
ó–
62
¤
¡
[6.5 ファームウェアを更新する £P.75 ¢ ]をご覧ください。以下にコマンドと動作を示します。
第 6 章 設定と管理、運用
6.3. 管理コマンドを利用する
コマンド
動作
update firmware
ファームウェアの更新
※ このコマンドは、管理者アカウントでのみ実行可能となります。
■ 6.3.4
動的な情報のクリア
■ clear
clear コマンドにより、キャッシュやログ等、SEIL の持つ動的な情報を消去することができます。以
下にサブコマンドと消去内容を示します。
サブコマンド
消去内容
arp-cache
ARP キャッシュの消去
ndp-cache
NDP キャッシュの消去
nat-session
NAT により動的に生成された、すべての IP アドレス変換の組の
消去
log
ログの消去
route all
IPv4 経路の消去
route6 all
IPv6 経路の消去
ike
IKE フェーズ 1 で確立した、IKE セキュリティアソシエーション
の消去
ipsec security-association
IKE で確立した、IPsec セキュリティアソシエーションの消去
ipsec security-policy
IKE で確立した、IPsec セキュリティポリシーの消去
counter
インタフェースのカウンタのクリア
l2tp
L2TP のトンネル/セッション情報の消去
※ このコマンドは、管理者アカウントでのみ実行可能となります。
■ 6.3.5
接続確認
■ ping
ping コマンドにより、SEIL と指定した相手との接続を確認することができます。以下にコマンドと
動作を示します。
コマンド
動作
ping
SEIL と相手先ホストの IPv4 アドレスでの接続確認
63
第 6 章 設定と管理、運用
6.3. 管理コマンドを利用する
■ ping6
ping6 コマンドにより、SEIL と指定した相手との接続を確認することができます。以下にコマンドと
動作を示します。
コマンド
動作
ping6
SEIL と相手先ホストの IPv6 アドレスでの接続確認
■ traceroute
traceroute コマンドにより、SEIL から指定した相手へパケットを送る経路を確認することができま
す。以下にコマンドと動作を示します。
コマンド
動作
traceroute
SEIL と相手先ホストの IPv4 アドレスでの経路確認
■ traceroute6
traceroute6 コマンドにより、SEIL から指定した相手へパケットを送る経路を確認することができま
す。以下にコマンドと動作を示します。
コマンド
動作
traceroute6
SEIL と相手先ホストの IPv6 アドレスでの経路確認
■ 6.3.6
システム時刻の設定
■ date
date コマンドにより、SEIL のシステム時刻の設定を行うことができます。ccyyMMDDhhmm.ss 形
式による時刻の直接指定、もしくは ntp server コマンドで指定された NTP サーバから現在時刻を取得
¤
¡
することもできます( ó– [6.2.14 時刻設定 £P.56 ¢ ])。以下にコマンドと設定内容を示します。
コマンド
設定内容
date
時刻の設定、参照
■ 6.3.7
管理者権限への移行
■ administrator
administrator コマンドにより、管理者権限に移行することができます。管理者権限に移行した後に
exit 等のログアウトコマンドを使用すると、元のユーザに戻ることができます。以下にコマンドと動作
を示します。
64
第 6 章 設定と管理、運用
6.3. 管理コマンドを利用する
コマンド
動作
administrator
管理者権限への移行
■ 6.3.8
ログアウト
■ bye, exit, logout, quit
bye、exit、logout、quit コマンドにより、SEIL への接続を終了することができます。いずれのコマン
ドを使用しても、同様の結果となります。一般ユーザでログイン後、administrator コマンドにより管理
者権限に移行していた場合は、一般ユーザ権限に戻ります。以下にコマンドと動作を示します。
コマンド
動作
bye
ログアウトを行う
exit
ログアウトを行う
logout
ログアウトを行う
quit
ログアウトを行う
■ 6.3.9
接続/切断
■ connect
connect コマンドにより、PPPoE の接続を手動で行うことができます。以下にコマンドと動作を示
します。
コマンド
動作
connect
回線の接続を行う
※ このコマンドは、管理者アカウントでのみ実行可能となります。
■ disconnect
disconnect コマンドにより、PPPoE の接続を切断することができます。切断後は、connect コマン
ド、reconnect コマンド、又は再起動を行うまで再接続をしません。以下にコマンドと動作を示します。
コマンド
動作
disconnect
回線の切断を行う
※ このコマンドは、管理者アカウントでのみ実行可能となります。
65
第 6 章 設定と管理、運用
6.3. 管理コマンドを利用する
■ reconnect
reconnect コマンドにより、PPPoE の接続を一旦切断し、再接続することができます。以下にコマン
ドと動作を示します。
コマンド
動作
reconnect
回線の再接続を行う
※ このコマンドは、管理者アカウントでのみ実行可能となります。
■ 6.3.10
その他
■ reboot
reboot コマンドにより、再起動を行うことができます。再起動後は、最後にフラッシュメモリに保存
された設定内容で起動します。以下にコマンドと動作を示します。
コマンド
動作
reboot
再起動を行う
※ このコマンドは、管理者アカウントでのみ実行可能となります。
■ help
help コマンドにより、SEIL のコマンドの書式とその簡単な説明を表示させることができます。以下
にコマンドと動作を示します。
コマンド
動作
help
コマンドに対する簡易説明の表示
■ remote-console
remote-console コマンドにより、モデム経由で遠隔地から SEIL を保守できるようになります。以下
にコマンドと動作を示します。
コマンド
動作
remote-console
モデム経由での SEIL 管理の設定
※ このコマンドは、管理者アカウントでのみ実行可能となります。
66
第 6 章 設定と管理、運用
6.3. 管理コマンドを利用する
■ telnet
telnet コマンドにより、SEIL から指定した相手へ TELNET プロトコルで接続することができます。
以下にコマンドと動作を示します。
コマンド
動作
telnet
SEIL から他の機器への telnet 接続
67
第 6 章 設定と管理、運用
6.4. 参照コマンドを利用する
6.4
参照コマンドを利用する
参照コマンドは、SEIL の設定や動作状況をさまざまな項目で参照することができます。参照コマン
ドは、一部を除き管理者権限や一般ユーザ権限といったアクセスレベルに関係なく、また IPv4、IPv6 の
どちらでも使用することができます。ここでは、各コマンドの参照内容についてご説明します。詳しい
参照方法は、コマンドリファレンスをご覧ください。
■ アクセスレベル対応表
項番号
コマンド
アクセスレベル
管理者
一般ユーザ
6.4.1設定情報の参照
show config
○
○(一部×)
6.4.2動作情報の参照
show status
○
○
6.4.3ログの参照
show log
○
○
6.4.4システム情報の参照
show system
○
○
6.4.5現在時刻の参照
show date
○
○
6.4.6ユーザ情報の参照
show users
○
○
6.4.7各種情報一括取得
show tech-support
○
×
○: 実行可能
×: 実行不可能
■ IPv4/IPv6 対応表
項番号
コマンド
IPv4/IPv6 対応
IPv4
IPv6
6.4.1設定情報の参照
show config
−
−
6.4.2動作情報の参照
show status
−
−
6.4.3ログの参照
show log
−
−
6.4.4システム情報の参照
show system
−
−
6.4.5現在時刻の参照
show date
−
−
6.4.6ユーザ情報の参照
show users
−
−
6.4.7各種情報一括取得
show tech-support
−
−
○: 対応している
×: 対応していない
−: IPv4/IPv6 対応とは無関係
68
第 6 章 設定と管理、運用
6.4. 参照コマンドを利用する
■ 6.4.1
設定情報の参照
show config コマンドにより、SEIL の設定内容を参照することができます。サブコマンドを省略した
ときには、すべての設定情報が表示されます。以下にサブコマンドと参照内容を示します。
69
第 6 章 設定と管理、運用
6.4. 参照コマンドを利用する
サブコマンド
参照内容
一般ユーザでの参照
current
現在のメモリ上の設定情報
○
environment
コマンドラインインタフェース設定
○
flashrom
フラッシュメモリ内に保存されている設定情報
×
arp
ARP 設定
○
bridge
ブリッジ設定
○
cbq
帯域制御設定
○
dhcp
DHCP 設定
○
dhcp6
DHCPv6 設定
○
dns
DNS 中継設定
○
filter
IPv4 フィルタ設定
○
filter6
IPv6 フィルタ設定
○
hostname
ホスト名設定
○
httpd
Web 機能設定
○
ike
IKE 設定
△
interface
インタフェース設定
○
ipsec
ipsec 設定
△
l2tp
l2tp 設定
○
macfilter
MAC アドレスフィルタ設定
○
nat
NAT 設定
○
ntp
NTP 設定
○
option
オプション設定
○
ppp
PPP 設定
○
remote-console
遠隔監視機能設定
○
resolver
DNS 設定
○
route
IPv4 ルーティング設定
△
route6
IPv6 ルーティング設定
○
rtadvd
ルータ広告設定
○
snmp
SNMP 設定
○
sshd
SSH 設定
△
syslog
syslog 設定
○
telnetd
telnet 設定
○
timezone
タイムゾーン設定
○
translator
トランスレータ設定
○
vrrp
VRRP 設定
○
○: 参照可能 △: 一部参照不可能
×: 参照不可能 70
第 6 章 設定と管理、運用
6.4. 参照コマンドを利用する
※ 一般ユーザでのアクセスでは一部参照不可能な設定情報があります。一般ユーザでアクセスして
いる場合、administrator コマンドで管理者権限に移行する必要があります( ó– [6.3.7 管理者
¤
¡
権限への移行 £P.64 ¢ ])。
フラッシュメモリ内に保存されている設定情報およびパスワードは一般ユーザでアクセスした場合は
参照不可能であり、画面に表示されません。また、ike、ipsec、route、sshd はコマンド行の一部が画面
に表示されません。一般ユーザでは表示されない箇所を、管理者でアクセスした場合の画面表示例に示
します。
設定内容
管理者でアクセスした場合の画面表示例
password
encrypted-password admin <password>
encrypted-password user <password>
ike
ike preshared-key add <psk name> <key>
ipsec
ipsec security-association add <SA name> tunnel
<start IPaddress> <end IPaddress>
to-encap esp-auth <spi> <esp algorithm> <esp key>
<auth algorithm> <auth key>
from-encap esp-auth <spi> <esp algorithm> <esp key>
<auth algorithm> <auth key>
to-auth ah <spi> <ah auth algorithm> <auth key>
from-auth ah <spi> <ah auth algorithm> <auth key>
route
route dynamic auth-key add <key-name> type md5 keyid
<keyid> password <password>
route dynamic auth-key add <key-name> type plain-text
password <password>
sshd
sshd hostkey <algorithm> <hostkey>
※ < >で囲まれた部分は設定内容となります。
※ 一般ユーザで ipsec を参照すると、下線部が表示されません。
■ 6.4.2
動作情報の参照
show status コマンドにより、SEIL の動作情報を参照することができます。以下にサブコマンドと参
照内容を示します。
71
第 6 章 設定と管理、運用
6.4. 参照コマンドを利用する
サブコマンド
参照内容
arp
現在の ARP テーブル
bridge
ブリッジの動作情報
cbq
帯域制御の動作情報
dhcp
DHCP のリース情報
dhcp6
DHCPv6 の動作情報
dns
dns forwarder の動作情報
filter
IP パケットのフィルタリング情報
filter6
IPv6 パケットのフィルタリング情報
function
各機能の動作状態
httpd
Web 機能の動作状態
ike
IKE 設定の動作情報
interface
各インタフェースの動作情報
ipsec
IPsec の動作情報
ipsec security-association
IPsec セキュリティアソシエーションの動作情報
ipsec security-policy
IPsec セキュリティポリシーの動作情報
l2tp
L2TP の動作情報
macfilter
MAC アドレスフィルタの動作情報
nat
動的アドレス変換のマッピング情報
ndp
現在の NDP テーブル
ntp
NTP の動作情報
option
オプション機能の動作情報
ppp
PPP 接続情報
resolver
DNS の動作情報
route
IPv4 経路テーブル
route6
IPv6 経路テーブル
rtadvd
ルータ広告の動作情報
snmp
SNMP の動作情報
sshd
SSH 機能の動作情報
telnetd
TELNET 機能の動作情報
translator
トランスレータの動作情報
vrrp
VRRP の動作情報
■ 6.4.3
ログの参照
show log コマンドにより、SEIL が動作中に出力したログ情報を参照することができます。パラメー
タを省略したときにはすべてのログ情報が表示されます。以下にコマンドと参照内容を示します。
72
第 6 章 設定と管理、運用
6.4. 参照コマンドを利用する
コマンド
参照内容
show log
ログの参照
show log function
機能ごとのログの参照
show log level
レベルごとのログ参照
■ 6.4.4
システム情報の参照
show system コマンドにより、SEIL のシステム情報を参照することができます。サブコマンドを省
略したときには、すべてのシステム情報が表示されます。以下にサブコマンドと参照内容を示します。
サブコマンド
参照内容
arch
ハードウェア情報
cpustat
CPU 動作情報
hostname
ホスト名
date
現在のシステム時刻
uptime
起動してからの時間と起動時刻
load
現在のシステム負荷率
memory
現在のメモリ使用率
version
ファームウェアと IPL のバージョン
users
現在ログインしているユーザ情報
■ 6.4.5
現在時刻の参照
show date コマンドにより、現在のシステム時刻を参照することができます。以下にコマンドと参照
内容を示します。
コマンド
参照内容
show date
現在のシステム時刻
■ 6.4.6
ユーザ情報の参照
show users コマンドにより、ログインしているユーザ情報を参照することができます。以下にコマ
ンドと参照内容を示します。
コマンド
参照内容
show users
現在ログインしているユーザ情報
73
第 6 章 設定と管理、運用
6.4. 参照コマンドを利用する
■ 6.4.7
各種情報一括取得
report-to コマンドにより、状況把握に必要な、設定情報、動作情報などを一括取得することができま
す。以下にコマンドと参照内容を示します。
74
コマンド
参照内容
report-to
状況把握に必要な様々な情報
第 6 章 設定と管理、運用
6.5. ファームウェアを更新する
6.5
ファームウェアを更新する
ファームウェアを更新するには、以下の手順で設定を行ってください。ファームウェア更新の前に、
万一のトラブルに備え、現在の設定をバックアップしておくことをお勧めします。( ó– [6.3.1 設定内
¤
¡
容の保存・読込 £P.61 ¢ ])
※ コマンドラインインタフェースからファームウェアの更新を行う場合には ftp,http,tftp サーバの
いずれかを用意しなければなりませんが、Web インタフェースであればその必要はありません。
Web インタフェースを用いてファームウェアの更新をする方法については「ユーザーズガイド
Web インタフェース編」をご覧ください。
1. FTP サーバあるいは HTTP サーバを用意してください。FTP サーバの場合、匿名(anonymous)
アカウントが設定可能であれば匿名アカウントを用意してください。匿名アカウントが設定でき
ない場合には、一般ユーザのアカウントを用意してください。ここでは、例としてサーバのアド
レスを 192.168.0.2 として説明します。
2. 以下のページから、最新版のファームウェアをダウンロードしてください。
CS-SEIL-510/C 製品サポートページ http://www.centurysys.co.jp/support/csseil510c.html
3. 2. でダウンロードしたファームウェアを、1. で用意したサーバにコピーします。なお、ファーム
ウェア取得時に指定するパス名および URL の最大長は 1023 文字となります。コピーする際に
最大長を越えないようご注意ください。
4. SEIL に管理者権限でログインし、update firmware コマンドを実行してファームウェアを更新し
ます。更新には、以下の 2 つの方法があります。それぞれの更新方法についてご説明します。ご
利用の環境に合わせて、更新方法を選択してください。
A.update firmware <FTP サーバ IP アドレス >
B.update firmware <URL>
注意
ファームウェアの更新時、SEIL が再起動するまでは絶対に電源を切らないでく
ださい。ファームウェア更新中に電源を切ると、SEIL を起動できなくなります。
※ 万一電源を入れなおしても起動できなくなった場合、お買い上げの販売店
にご相談ください。
75
第 6 章 設定と管理、運用
6.5. ファームウェアを更新する
■ A.update firmware <FTP サーバ IP アドレス >
FTP サーバの IP アドレスを指定する方法で、FTP によってファームウェアを取得します。以下の手
順に従ってください。
¶
³
# update firmware 192.168.0.2
filename [seilfirm.img]:seilfirm.img
username [anonymous]:seiluser
Password:
total 3590366 bytes received
write to flash ROM?[y/N] y
erasing 3590221/3590221
done.
writing 3590221/3590221
done.
µ
´
※ ”[ ]”内は、入力省略時の値となります。
※ 上記の入力フォームは例であり、表示内容はファームウェアのバージョンによって異なります。
1. FTP サーバの IP アドレスを入力します。その際、ファームウェアのパス名、ユーザ名、パスワー
ドの入力も必要となります。用意したサーバの設定に応じた値を入力してください。入力が正し
ければ SEIL がファームウェアのダウンロードを開始します。
2. フラッシュメモリを更新するかどうかを選択します。更新を行う場合、「y」または「Y」を入力
するとフラッシュメモリの内容を消去後、更新を開始します。更新を行わない場合には、「n」ま
たは「N」を入力してください。
※ フラッシュメモリ消去・更新時には、SEIL では LED ”a∼g” セグメントが点灯します。消去中お
よび更新中は、絶対に電源を切らないでください。
76
第 6 章 設定と管理、運用
6.5. ファームウェアを更新する
■ B.update firmware <URL>
URL を指定する方法で、HTTP、FTP、TFTP によってファームウェアを取得します。以下の手順に
従ってください。
HTTP による入力例
¶
³
# update firmware http://192.168.0.2/seilfirm.img
total 3590366 bytes received
write to flash ROM?[y/N] y
erasing 3590221/3590221
done.
writing 3590221/3590221
done.
µ
´
FTP による入力例
¶
³
# update firmware ftp://192.168.0.2/seilfirm.img
Password:
total 3590366 bytes received
write to flash ROM?[y/N] y
erasing 3590221/3590221
done.
writing 3590221/3590221
done.
µ
´
TFTP による入力例
¶
³
# update firmware tftp://192.168.0.2/seilfirm.img
Password:
total 3590366 bytes received
write to flash ROM?[y/N] y
erasing 3590221/3590221
done.
writing 3590221/3590221
done.
µ
´
※ ”[ ]”内は、入力省略時の値となります。
※ 上記の入力フォームは例であり、表示内容はファームウェアのバージョンによって異なります。
1. URL を入力します。その際、サーバの設定によってはパスワードの入力が必要となることがあ
77
第 6 章 ネットワークでの利用例
ります。その場合、用意したサーバの設定に応じた値を入力してください。入力が正しければ
SEIL がファームウェアのダウンロードを開始します。
2. フラッシュメモリを更新するかどうかを選択します。更新を行う場合、「y」または「Y」を入力
するとフラッシュメモリの内容を消去後、更新を開始します。更新を行わない場合には、「n」ま
たは「N」を入力してください。
※ フラッシュメモリ消去・更新時には、SEIL では LED ”a∼g” セグメントが点灯します。消去中お
よび更新中は、絶対に電源を切らないでください。
6.6 INIT ボタンによる設定の初期化
SEIL の設定内容を工場出荷時の状態に戻したい場合、管理コマンドの factory-config( ó– [6.3.2 設
¤
¡
定の初期化 £P.62 ¢ ])で初期化を行うことができますが、何らかの理由によりコマンドを利用しての初
期化ができなくなった場合、本体の INIT ボタンによる初期化を行うことができます。INIT ボタンによ
る初期化の手順は以下の通りです。
¤
¡
1. 本体底面の INIT ボタン( ó– [3.2 本体の名称と働き £P.22 ¢ ])を押しながら電源プラグをコン
セントに差し込み、電源を入れます。
2. SEIL の 7 セグメント LED が数秒間赤色点滅したら初期化完了です。SEIL は工場出荷状態の設
定で起動します。
¤
¡
※ 初期化時の設定内容については、 ó– [8.1 仕様について £P.257 ¢ ]をご覧ください。
78
第 7 章 ネットワークでの利用例
第 7 章 ネットワークでの利用例
本章では、ネットワーク(LAN)内からインターネットを利用する方法やインターネットにコンピュー
タ(サーバなど)を公開する方法を、実例を挙げてご説明します。
■ 第 7 章 目次
7.1
7.2
7.3
7.4
7.5
7.6
7.7
7.8
LAN をインターネットに接続する . . . . . . . . . . . . . . . . . . . . .
7.1.1 PPPoE を使用して接続する場合 . . . . . . . . . . . . . . . . . . . .
7.1.2 unnumbered PPPoE を使用して接続する場合 . . . . . . . . . . . . .
7.1.3 DHCP を使用して接続する場合 . . . . . . . . . . . . . . . . . . . .
7.1.4 LAN 内でグローバルアドレスを使用する場合 . . . . . . . . . . . .
IPv4 ネットワークを経由して IPv6 ネットワークに接続する . . . . . . .
7.2.1 IPv6 over IPv4 tunnel を使って接続する場合 . . . . . . . . . . . . .
LAN 内のサーバをインターネットに公開する . . . . . . . . . . . . . . .
7.3.1 公開するサーバにグローバルアドレスを割り当てる場合 . . . . . .
7.3.2 公開するサーバにプライベートアドレスを割り当てる場合 . . . . .
7.3.3 サーバを LAN 内からグローバルアドレスで参照する . . . . . . . .
外部からのアクセスを制限する . . . . . . . . . . . . . . . . . . . . . . .
7.4.1 外部から LAN へのアクセスを制限するフィルタリングを設定する
7.4.2 動的にアクセスを許可するフィルタリングを設定する . . . . . . . .
7.4.3 IP アドレスの詐称を防ぐフィルタリング (uRPF) を設定する . . . .
MAC アドレスによるフィルタリングを行う . . . . . . . . . . . . . . . .
7.5.1 MAC アドレスの個別設定 . . . . . . . . . . . . . . . . . . . . . . .
7.5.2 外部ホワイトリストによる設定 . . . . . . . . . . . . . . . . . . . .
ルーティングを動的に行う∼動的ルーティングの設定∼ . . . . . . . . . .
7.6.1 RIP を利用した動的ルーティング ∼比較的小規模なネットワーク∼
7.6.2 OSPF を利用した動的ルーティング ∼中規模以上のネットワーク∼
7.6.3 複数のルーティングプロトコルを同時に使う ∼経路情報の再配布∼
7.6.4 PIM-SM を利用した IPv4/IPv6 マルチキャストルーティング . . . .
目的別のルーティングを行う . . . . . . . . . . . . . . . . . . . . . . . .
7.7.1 静的経路の監視を行う . . . . . . . . . . . . . . . . . . . . . . . . .
7.7.2 ポリシーベースのルーティングを行う . . . . . . . . . . . . . . . .
VPN を構築する ∼IPsec の設定∼ . . . . . . . . . . . . . . . . . . . . .
7.8.1 ポリシーベース IPsec トンネル . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
81
81
87
94
97
101
101
108
108
111
114
119
119
127
133
136
136
141
145
145
151
155
158
162
162
166
170
170
79
第 7 章 ネットワークでの利用例
7.9
7.10
7.11
7.12
80
7.8.2 ルーティングベース IPsec トンネル . . . . . .
7.8.3 自アドレスが動的 IP アドレスの場合 . . . . .
7.8.4 動的 IP アドレスからの接続を受け付ける場合
L2VPN を構築する ∼L2TPv3 の設定∼ . . . . . .
7.9.1 L2TPv3 を利用した L2 トンネルの設定 . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
遠隔地のコンピュータからリモートアクセスを行う . . . . . . . .
7.10.1 PPTP を利用したリモートアクセスを受け入れる設定 . . . .
7.10.2 遠隔地のコンピュータから SEIL へのリモートアクセス . .
CS-SEIL-510/C を冗長化する ∼VRRP の設定∼ . . . . . . . . .
7.11.1 機器の故障時に自動的にバックアップ回線に切り替える . .
7.11.2 回線障害を検出して自動的にバックアップ回線に切り替える
データの送信を制御する . . . . . . . . . . . . . . . . . . . . . . .
7.12.1 CBQ の設定 . . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
180
201
210
219
219
227
227
235
239
239
243
248
248
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
7.1
LAN をインターネットに接続する
本節では CS-SEIL-510/C を用いて、LAN をネットワークに接続するための設定方法についてご説明
¤
¡
します。セキュリティに関する設定などは ó– [7.4 外部からのアクセスを制限する £P.119 ¢ ]以降を
参考に、各自の設定方針に応じて設定を行ってください。
■ 7.1.1
PPPoE を使用して接続する場合
PPPoE を使用してインターネットに接続する基本的な設定例です。この例では以下のような構成の
ネットワークを前提にご説明します。PPPoE は IPv4、IPv6 両方に対応していますが、ここでは IPv4
での設定方法についてご説明します。
ỶὅἑὊ἟ἕἚ
WANͨ
ἂἿὊἢἽỴἛἾἋ
PPPoEỂӕࢽ
л࢘἟ἕἚὁὊἁỴἛἾἋ
192.168.0.0/24
ἩἻỶἫὊἚỴἛἾἋ
192.168.0.2
ἩἻỶἫὊἚỴἛἾἋ
192.168.0.3
LANͨ
ἩἻỶἫὊἚỴἛἾἋ
192.168.0.1
ἩἻỶἫὊἚỴἛἾἋ
192.168.0.4
ἩἻỶἫὊἚỴἛἾἋ
192.168.0.5
81
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
設定の流れ
(1)LAN1 インタフェースを設定する
LAN1 インタフェースのメディアタイプを設定します。
(2)PPPoE のエントリーを設定する
PPPoE による接続を行うために、契約したプロバイダから割り当てられた認証 ID や認証パス
ワードなどを設定します。
(3)PPPoE のインタフェースを設定する
PPPoE による接続を行うインタフェースの設定を行います。
(4)PPPoE が動作する物理インタフェースを設定する
論理インタフェースである「PPPoE」と、物理インタフェースである「LAN1」との関連付けを
設定します。
(5)LAN0 インタフェースを設定する
LAN0 インタフェースを設定します。
(6)NAPT を設定する
プライベートアドレスとして使用するアドレスの範囲を設定します。
(7)PPPoE を接続する
PPPoE による接続を開始します。
(8)設定を保存する
すべての設定を保存します。
設定手順
(1)LAN1 インタフェースを設定する
SEIL に管理者アカウントでログインし、LAN1 インタフェースのメディアタイプを設定します。
ここでは、例として「auto」(自動認識)に設定します。以下の設定を行ってください。
設定項目
パラメータ
インタフェース
lan1
メディアタイプ
auto
■ 記述例
¶
# interface lan1 media auto
µ
■ パラメータ解説
interface lan1
インタフェースとして「lan1」を設定します。
82
³
´
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
media auto
続けて、メディアタイプは「auto」(自動認識)を設定します。
(2)PPPoE のエントリーを設定する
PPPoE による接続を行うために、契約したプロバイダから割り当てられた認証 ID や認証パス
ワードなどを設定します。以下の設定を行ってください。
設定項目
パラメータ
エントリー名
Century
IPCP の有効/無効
enable
IPCP アドレスオプション
on
IPCP DNS オプション
on
IPv6CP の有効/無効
disable
認証方法
PAP
認証 ID
xxxxxx
認証パスワード
yyyyyy
TCP MSS
auto
■ 記述例
¶
³
# ppp add Century ipcp enable ipcp-address on ipcp-dns on ipv6cp disable
authentication-method pap identifier xxxxxx passphrase yyyyyy tcp-mss auto
µ
´
■ パラメータ解説
ppp add Century
エントリー名として「Century」を設定します。
ipcp enable
IPCP を有効に設定します。
ipcp-address on
IPCP アドレスオプションを有効に設定します。
ipcp-dns on
IPCP DNS オプションを有効に設定します。
ipv6cp disable
IPv6CP を無効に設定します。
authentication-method pap
認証方式を「pap」に設定します。
83
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
identifier xxxxxx
認証 ID を「xxxxxx」に設定します。
passphrase yyyyyy
認証パスワードを「yyyyyy」に設定します。
tcp-mss auto
TCP MSS を「auto」に設定します。
(3)PPPoE のインタフェースを設定する
PPPoE のインタフェースを設定します。以下の設定を行ってください。
設定項目
パラメータ
インタフェース
pppoe0
エントリー名
Century
■ 記述例
¶
³
# interface pppoe0 ppp-configuration Century
µ
´
■ パラメータ解説
interface pppoe0
インタフェースとして「pppoe0」を設定します。
ppp-configuration Century
エントリー名として「Century」を設定します。
(4)PPPoE が動作する物理インタフェースを設定する
論理インタフェースである「PPPoE」と、物理インタフェースである「LAN1」との関連付けを
設定します。以下の設定を行ってください。
84
設定項目
パラメータ
設定項目
パラメータ
インタフェース
pppoe0
物理インタフェース
lan1
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
■ 記述例
¶
³
# interface pppoe0 over lan1
µ
´
■ パラメータ解説
interface pppoe0
インタフェースとして「pppoe0」を設定します。
over lan1
物理インタフェースとして「lan1」を設定します。
(5)LAN0 インタフェースを設定する
LAN0 インタフェースを設定します。工場出荷状態ではメディアタイプが「自動認識」、IPv4 ア
ドレスが「192.168.0.1」と設定されていますので今回構成するネットワーク例では LAN0 イン
タフェースの設定は不要です。
(6)NAPT を設定する
NAPT は IPv4 にのみ対応しています。IPv6 でインターネットに接続した場合でも、LAN 内のプ
ライベートアドレスは IPv4 のものになります。以下の設定を行ってください。
設定項目
パラメータ
対象プライベート IP アドレス範囲
192.168.0.0 ∼ 192.168.255.255
インタフェース
pppoe0
■ 記述例
¶
³
# nat napt add private 192.168.0.0-192.168.255.255 interface pppoe0
µ
´
■ パラメータ解説
nat napt add private 192.168.0.0-192.168.255.255
NAPT の対象プライベート IP アドレス範囲として「192.168.0.0-192.168.255.255」
を設定します。
interface pppoe0
続けて、NAPT を使用するインタフェースとして「pppoe0」を設定します。
(7)PPPoE を接続する
85
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
PPPoE により、インターネットに接続します。以下の設定を行ってください。
設定項目
パラメータ
インタフェース
pppoe0
■ 記述例
¶
³
# connect pppoe0
µ
´
■ パラメータ解説
connect pppoe0
接続する PPPoE インタフェースとして「pppoe0」を設定します。
(8)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で、PPPoE を使用する場合の設定は完了です。変更した設定はバックアップをとっておく
ことをお勧めします。
86
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
■ 7.1.2
unnumbered PPPoE を使用して接続する場合
unnumbered PPPoE を使用してインターネットに接続する設定例です。この例では以下のような構
成のネットワークを前提にご説明します。PPPoE は IPv4、IPv6 両方に対応していますが、ここでは
IPv4 での設定方法についてご説明します。
ỶὅἑὊ἟ἕἚ
WANͨ
unnumbered PPPoE
л࢘἟ἕἚὁὊἁỴἛἾἋ
172.16.0.0/24
ἂἿὊἢἽỴἛἾἋ
172.16.0.2
ἂἿὊἢἽỴἛἾἋ
172.16.0.3
LANͨ
ἂἿὊἢἽỴἛἾἋ
172.16.0.1
ἂἿὊἢἽỴἛἾἋ
172.16.0.4
ἂἿὊἢἽỴἛἾἋ
172.16.0.5
※ 本節では説明のため、
「172.16.0.0∼172.16.255.255」のアドレスをグローバルアドレスとして表
現しています。
※ unnumbered PPPoE 設定は、プロバイダより複数の IP アドレスの払い出しを受ける際に使用し
ます。ここでは、グローバル IP アドレスとして 172.16.0.0/24 を割り当てられているものとし
ます。
87
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
設定の流れ
(1)LAN1 インタフェースを設定する
LAN1 インタフェースのメディアタイプを設定します。
(2)PPPoE のエントリーを設定する
PPPoE による接続を行うために、契約したプロバイダから割り当てられた認証 ID や認証パス
ワードなどを設定します。
(3)PPPoE のインタフェースを設定する
PPPoE による接続を行うインタフェースの設定を行います。
(4)PPPoE が動作する物理インタフェースを設定する
論理インタフェースである「PPPoE」と、物理インタフェースである「LAN1」との関連付けを
設定します。
(5)LAN0 インタフェースを設定する
LAN0 インタフェースを設定します。
(6)LAN0 インタフェースの IP アドレスを削除する
不要になった LAN0 側のインタフェースのアドレスを削除します。
(7)PPPoE を接続する
PPPoE による接続を開始します。
(8)設定を保存する
すべての設定を保存します。
設定手順
(1)LAN1 インタフェースを設定する
SEIL に管理者アカウントでログインし、LAN1 インタフェースのメディアタイプを設定します。
ここでは、例として「auto」(自動認識)に設定します。以下の設定を行ってください。
設定項目
パラメータ
インタフェース
lan1
メディアタイプ
auto
■ 記述例
¶
# interface lan1 media auto
µ
■ パラメータ解説
interface lan1
インタフェースとして「lan1」を設定します。
88
³
´
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
media auto
続けて、メディアタイプは「auto」(自動認識)を設定します。
(2)PPPoE のエントリーを設定する
PPPoE による接続を行うために、契約したプロバイダから割り当てられた認証 ID や認証パス
ワードなどを設定します。以下の設定を行ってください。
unnumbered でない、numbered PPPoE の場合は IPCP アドレスオプションが on でしたが、
unnumbered の場合は off にします。
設定項目
パラメータ
エントリー名
Century
IPCP の有効/無効
enable
IPCP アドレスオプション
off
IPCP DNS オプション
on
IPv6CP の有効/無効
disable
認証方法
PAP
認証 ID
xxxxxx
認証パスワード
yyyyyy
TCP MSS
auto
■ 記述例
¶
³
# ppp add Century ipcp enable ipcp-address off ipcp-dns on ipv6cp disable authentica
tion-method pap identifier xxxxxx passphrase yyyyyy tcp-mss auto
µ
´
■ パラメータ解説
ppp add Century
エントリー名として「Century」を設定します。
ipcp enable
IPCP を有効に設定します。
ipcp-address off
IPCP アドレスオプションを無効に設定します。
ipcp-dns on
IPCP DNS オプションを有効に設定します。
ipv6cp disable
IPv6CP を無効に設定します。
89
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
authentication-method pap
認証方式を「pap」に設定します。
identifier xxxxxx
認証 ID を「xxxxxx」に設定します。
passphrase yyyyyy
認証パスワードを「yyyyyy」に設定します。
tcp-mss auto
TCP MSS を「auto」に設定します。
(3)PPPoE のインタフェースを設定する
PPPoE のインタフェースを設定します。以下の設定を行ってください。
設定項目
パラメータ
インタフェース
pppoe0
エントリー名
Century
■ 記述例
¶
³
# interface pppoe0 ppp-configuration Century
µ
´
■ パラメータ解説
interface pppoe0
インタフェースとして「pppoe0」を設定します。
ppp-configuration Century
エントリー名として「Century」を設定します。
次に、インタフェースの unnumbered 設定をします。以下の設定を行ってください。
90
設定項目
パラメータ
インタフェース
pppoe0
unnumbered
有効
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
■ 記述例
¶
³
# interface pppoe0 unnumbered
µ
´
■ パラメータ解説
interface pppoe0 unnumbered
インタフェース「pppoe0」を unnumbered に設定します。
(4)PPPoE が動作する物理インタフェースを設定する
論理インタフェースである「PPPoE」と、物理インタフェースである「LAN1」との関連付けを
設定します。以下の設定を行ってください。
設定項目
パラメータ
インタフェース
pppoe0
物理インタフェース
lan1
■ 記述例
¶
³
# interface pppoe0 over lan1
µ
´
■ パラメータ解説
interface pppoe0
インタフェースとして「pppoe0」を設定します。
over lan1
物理インタフェースとして「lan1」を設定します。
(5)LAN0 インタフェースを設定する
LAN0 インタフェースに IPv4 アドレスを設定します。以下の設定を行ってください。
設定項目
パラメータ
インタフェース
lan0
変更/追加
add
IPv4 アドレス
172.16.0.1/24
91
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
■ 記述例
¶
³
# interface lan0 add 172.16.0.1/24
µ
´
■ パラメータ解説
interface lan0
インタフェースとして「lan0」を設定します。
add 172.16.0.1/24
続けて、アドレスを追加するため「add」を設定し、IPv4 アドレスとして「172.16.0.1/24」
を設定します。
(6)LAN0 インタフェースの IP アドレスを削除する
工場出荷状態で設定されている IP アドレスを削除します。手順 5. で設定した IPv4 アドレスで
SEIL に管理者アカウントでアクセスし直し、以下の設定を行ってください。
※ IP アドレスを削除する場合には、削除する IP アドレスを使って SEIL にアクセスしないで
ください。
設定項目
パラメータ
インタフェース
lan0
変更/追加
delete
IPv4 アドレス
192.168.0.1/24
■ 記述例
¶
³
# interface lan0 delete 192.168.0.1/24
µ
´
■ パラメータ解説
interface lan0
インタフェースとして「lan0」を設定します。
add 172.16.0.1/24
続 け て 、ア ド レ ス を 削 除 す る た め「delete」を 設 定 し 、IPv4 ア ド レ ス と し て
「192.168.0.1/24」を設定します。
(7)PPPoE を接続する
PPPoE により、インターネットに接続します。以下の設定を行ってください。
92
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
設定項目
パラメータ
インタフェース
pppoe0
■ 記述例
¶
³
# connect pppoe0
µ
´
■ パラメータ解説
connect pppoe0
接続する PPPoE インタフェースとして「pppoe0」を設定します。
(8)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で、PPPoE を使用する場合の設定は完了です。変更した設定はバックアップをとっておく
ことをお勧めします。
93
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
■ 7.1.3
DHCP を使用して接続する場合
DHCP を使用してインターネットに接続する基本的な設定例です。この例では以下のような構成の
ネットワークを前提にご説明します。
ỶὅἑὊ἟ἕἚ
WANͨ
ἂἿὊἢἽỴἛἾἋ
DHCPỂӕࢽ
LANͨ
ἩἻỶἫὊἚỴἛἾἋ
192.168.0.1
л࢘἟ἕἚὁὊἁỴἛἾἋ
192.168.0.0/24
ἩἻỶἫὊἚỴἛἾἋ
192.168.0.2
ἩἻỶἫὊἚỴἛἾἋ
192.168.0.3
ἩἻỶἫὊἚỴἛἾἋ
192.168.0.4
設定の流れ
(1)LAN1 インタフェースを設定する
LAN1 インタフェースのメディアタイプを設定します。
(2)LAN0 インタフェースを設定する
LAN0 インタフェースを設定します。
94
ἩἻỶἫὊἚỴἛἾἋ
192.168.0.5
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
(3)NAPT を設定する
プライベートアドレスとして使用するアドレスの範囲を設定します。
(4)DHCP で接続する
DHCP による接続を開始します。
(5)設定を保存する
すべての設定を保存します。
設定手順
(1)LAN1 インタフェースを設定する
SEIL に管理者アカウントでログインし、LAN1 インタフェースのメディアタイプを設定します。
ここでは、例として「auto」(自動認識)に設定します。以下の設定を行ってください。
設定項目
パラメータ
インタフェース
lan1
メディアタイプ
auto
■ 記述例
¶
³
# interface lan1 media auto
µ
´
■ パラメータ解説
interface lan1
インタフェースとして「lan1」を設定します。
media auto
続けて、メディアタイプは「auto」(自動認識)を設定します。
(2)LAN0 インタフェースを設定する
LAN0 インタフェースを設定します。工場出荷状態ではメディアタイプが「自動認識」、IPv4 ア
ドレスが「192.168.0.1」と設定されていますので今回構成するネットワーク例では LAN0 イン
タフェースの設定は不要です。
(3)NAPT を設定する
NAPT は IPv4 にのみ対応しています。IPv6 でインターネットに接続した場合でも、LAN 内のプ
ライベートアドレスは IPv4 のものになります。以下の設定を行ってください。
95
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
設定項目
パラメータ
対象プライベート IP アドレス範囲
192.168.0.0 ∼ 192.168.255.255
インタフェース
lan1
■ 記述例
¶
³
# nat napt add private 192.168.0.0-192.168.255.255 interface lan1
µ
´
■ パラメータ解説
nat napt add private 192.168.0.0-192.168.255.255
NAPT の対象プライベート IP アドレス範囲として「192.168.0.0-192.168.255.255」を
設定します。
interface lan1
続けて、NAPT を使用するインタフェースとして「lan1」を設定します。
(4)DHCP で接続する
DHCP により、インターネットに接続します。以下の設定を行ってください。
設定項目
パラメータ
インタフェース
lan1
■ 記述例
¶
³
# interface lan1 add dhcp
µ
´
■ パラメータ解説
interface lan1
インタフェースとして「lan1」を設定します。
add dhcp
DHCP でアドレスを取得します。
(5)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で、DHCP を使用する場合の設定は完了です。変更した設定はバックアップをとっておくこ
とをお勧めします。
96
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
■ 7.1.4
LAN 内でグローバルアドレスを使用する場合
LAN 内でグローバルアドレスを使用してインターネットに接続する基本的な設定例です。この例では
以下のような構成のネットワークを前提にご説明します。IPv4、IPv6 両方に対応していますが、ここで
は IPv4 での設定方法についてご説明します。
ỶὅἑὊ἟ἕἚ
WANͨ἟ἕἚὁὊἁỴἛἾἋ
10.0.0.0/24
WANͨ
ἂἿὊἢἽỴἛἾἋ
10.0.0.1
LANͨ
ἂἿὊἢἽỴἛἾἋ
172.16.0.1
LANͨ἟ἕἚὁὊἁỴἛἾἋ
172.16.0.0/24
ἂἿὊἢἽỴἛἾἋ
172.16.0.2
ἂἿὊἢἽỴἛἾἋ
172.16.0.3
ἂἿὊἢἽỴἛἾἋ
172.16.0.4
ἂἿὊἢἽỴἛἾἋ
172.16.0.5
※ 本節では説明のため、「10.0.0.0∼10.255.255.255」「172.16.0.0∼172.16.255.255」までのアド
レスをグローバルアドレスとして表現しています。
97
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
設定の流れ
(1)LAN1 インタフェースを設定する
LAN1 インタフェースのメディアタイプを設定します。
(2)LAN1 インタフェースに IPv4 アドレスを追加する
プロバイダなどから割り当てられたアドレスに合わせて、LAN1 側のインタフェースを設定し
ます。
(3)LAN0 インタフェースを設定する
プロバイダなどから割り当てられたアドレスに合わせて、LAN0 側のインタフェースを設定し
ます。
(4)LAN0 インタフェースのアドレスを削除する
不要になった LAN0 側のインタフェースのアドレスを削除します。
(5)設定を保存する
すべての設定を保存します。
設定手順
(1)LAN1 インタフェースを設定する
LAN1 インタフェースのメディアタイプを設定します。ここでは、例として「auto」(自動認識)
に設定します。SEIL に管理者アカウントでログインし、以下の設定を行ってください。
設定項目
パラメータ
インタフェース
lan1
メディアタイプ
auto
■ 記述例
¶
# interface lan1 media auto
µ
■ パラメータ解説
interface lan1
インタフェースとして「lan1」を設定します。
media auto
続けて、メディアタイプは「auto」(自動認識)を設定します。
(2)LAN1 インタフェースに IPv4 アドレスを追加する
LAN1 インタフェースに IPv4 アドレスを設定します。以下の設定を行ってください。
98
³
´
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
設定項目
パラメータ
インタフェース
lan1
変更/追加
add
IPv4 アドレス
10.0.0.1/24
■ 記述例
¶
³
# interface lan1 add 10.0.0.1/24
µ
´
■ パラメータ解説
interface lan1
インタフェースとして「lan1」を設定します。
add 10.0.0.1/24
続けて、アドレスを追加するため「add」を設定し、IPv4 アドレスとして「10.0.0.1/24」
を設定します。
(3)LAN0 インタフェースを設定する
LAN0 インタフェースに IPv4 アドレスを設定します。以下の設定を行ってください。
設定項目
パラメータ
インタフェース
lan0
変更/追加
add
IPv4 アドレス
172.16.0.1/24
■ 記述例
¶
³
# interface lan0 add 172.16.0.1/24
µ
´
■ パラメータ解説
interface lan0
インタフェースとして「lan0」を設定します。
add 172.16.0.1/24
続けて、アドレスを追加するため「add」を設定し、IPv4 アドレスとして「172.16.0.1/24」
を設定します。
(4)LAN0 インタフェースの IP アドレスを削除する
99
第 7 章 ネットワークでの利用例
7.1. LAN をインターネットに接続する
工場出荷状態で設定されている IP アドレスを削除します。手順 3. で設定した IPv4 アドレスで
SEIL に管理者アカウントでアクセスし直して、以下の設定を行ってください。
※ IP アドレスを削除する場合には、削除する IP アドレスを使って SEIL にアクセスしないで
ください。
設定項目
パラメータ
インタフェース
lan0
変更/追加
delete
IPv4 アドレス
192.168.0.1/24
■ 記述例
¶
³
# interface lan0 delete 192.168.0.1/24
µ
´
■ パラメータ解説
interface lan0
インタフェースとして「lan0」を設定します。
delete 192.168.0.1/24
続 け て 、ア ド レ ス を 削 除 す る た め「delete」を 設 定 し 、IPv4 ア ド レ ス と し て
「192.168.0.1/24」を設定します。
(5)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で、LAN 内においてグローバルアドレスを使用する場合の設定は完了です。変更した設定は
バックアップをとっておくことをお勧めします。
100
第 7 章 ネットワークでの利用例
7.2. IPv4 ネットワークを経由して IPv6 ネットワークに接続する
7.2
IPv4 ネットワークを経由して IPv6 ネットワークに接続する
各事業所内を IPv6 アドレスでネットワーク構築したとき、事業所間を結ぶ際に IPv4 アドレスのネッ
トワークを使用しなければならない場合があります。CS-SEIL-510/C では、トンネルという機能を利用
することにより、IPv4 ネットワークを通して IPv6 ネットワーク同士を結ぶことができます。
■ 7.2.1
IPv6 over IPv4 tunnel を使って接続する場合
本節では、トンネルの基本的な設定方法を、以下のような構成のネットワークを前提にご説明します。
x:x:x::/48 と y:y:y::/48 の 2 つの IPv6 ネットワークの間に、IPv4 ネットワークが存在します。IPv6
ネットワークと IPv4 インターネットとの境界に SEIL A、B を用い、この間で IPv6 over IPv4 トンネ
ルを構築します。SEIL A の IPv4 インターネット側には 10.0.1.1 というアドレスを、トンネルには
z:z:z::1 というアドレスを使用します。同様に SEIL B の IPv4 インターネット側には 10.0.2.2 というア
ドレスを、トンネルには z:z:z::2 というアドレスを使用します。
101
第 7 章 ネットワークでの利用例
7.2. IPv4 ネットワークを経由して IPv6 ネットワークに接続する
἟ἕἚὁὊἁA
IPv6἟ἕἚὁὊἁ
x:x:x::/48
SEIL A
Ἒὅ἟ἽỴἛἾἋ
z:z:z::1
IPv4ỴἛἾἋ
10.0.1.1
IPv6Ἒὅ἟Ἵ
IPv4
ỶὅἑὊ἟ἕἚ
IPv4ỴἛἾἋ
10.0.2.2
Ἒὅ἟ἽỴἛἾἋ
z:z:z::2
SEIL B
἟ἕἚὁὊἁB
IPv6἟ἕἚὁὊἁ
y:y:y::/48
※ 本節では説明のため、「10.0.0.0∼10.255.255.255」「172.16.0.0∼172.16.255.255」までのアド
レスをグローバルアドレスとして表現しています。
※「x:x:x::/48」
、
「y:y:y::/48」
、
「z:z:z::1」
、
「z:z:z::2」
、
「IPv4 アドレス」は、ご加入のプロバイダより
配布されたアドレスをご利用ください。
¤
¡
設定の前に、「 ó– [6.3.5 接続確認 £P.63 ¢ ]」を参考にして、SEIL A(10.0.1.1)と SEIL B(10.0.2.2)
の間で通信ができることを確認しておいてください。
設定の流れ
(1)SEIL A のトンネルインタフェースを設定する
トンネルアドレスとして、IPv4 アドレスと IPv6 アドレスを設定します。
102
第 7 章 ネットワークでの利用例
7.2. IPv4 ネットワークを経由して IPv6 ネットワークに接続する
(2)SEIL A の静的ルーティングを設定する
IPv6 経路をトンネルへと向かわせるため、静的ルートを変更します。
(3)SEIL A の設定を保存する
すべての設定を保存します。
(4)SEIL B のトンネルインタフェースを設定する
トンネルアドレスとして、IPv4 アドレスと IPv6 アドレスを設定します。
(5)SEIL B の静的ルーティングを設定する
IPv6 経路をトンネルへと向かわせるため、静的ルートを変更します。
(6)SEIL B の設定を保存する
すべての設定を保存します。
設定手順
(1)SEIL A のトンネルインタフェースを設定する
SEIL A となる SEIL に管理者アカウントでログインし、IPv4 アドレスのトンネルアドレスを設
定します。以下の設定を行ってください。
設定項目
パラメータ
トンネルインタフェース
tunnel0
始点 IP アドレス
10.0.1.1
終点 IP アドレス
10.0.2.2
■ 記述例
¶
³
# interface tunnel0 tunnel 10.0.1.1 10.0.2.2
µ
´
■ パラメータ解説
interface tunnel0
トンネルインタフェースとして「tunnel0」を設定します。
tunnel 10.0.1.1 10.0.2.2
続けて、トンネルの始点 IP アドレスとして「10.0.1.1」を、終点 IP アドレスとして
「10.0.2.2」を設定します。
トンネルインタフェースに IPv6 アドレスを設定します。以下の設定を行ってください。
103
第 7 章 ネットワークでの利用例
7.2. IPv4 ネットワークを経由して IPv6 ネットワークに接続する
設定項目
パラメータ
インタフェース
tunnel0
IP アドレス
z:z:z::1
対向ルータの IP アドレス
z:z:z::2
■ 記述例
¶
³
# interface tunnel0 add z:z:z::1 remote z:z:z::2
µ
■ パラメータ解説
interface tunnel0
インタフェースとして「tunnel0」を設定します。
add z:z:z::1 remote z:z:z::2
続けて、インタフェースの IP アドレスとして「z:z:z::1」を、対向ルータの IP アドレ
スとして「z:z:z::2」を設定します。
※ 実際には「z:z:z::1」
「z:z:z::2」は入力できません。ご加入のプロバイダより配付された IPv6
アドレスをご利用ください。
(2)SEIL A の静的ルーティングを設定する
IPv6 通信をトンネル経由で行うため、IPv6 経路をトンネルへと向かわせます。以下の設定を
行ってください。
104
設定項目
パラメータ
送信先ネットワークまたはホストの IP アドレス
y:y:y::/48
対向ルータの IP アドレス
z:z:z::2
´
第 7 章 ネットワークでの利用例
7.2. IPv4 ネットワークを経由して IPv6 ネットワークに接続する
■ 記述例
¶
³
# route6 add y:y:y::/48 z:z:z::2
µ
´
■ パラメータ解説
route6 add y:y:y::/48 z:z:z::2
送信先ネットワークまたはホストの IP アドレスとして「y:y:y::/48」を設定します。さ
らに、対向ルータの IP アドレスとして「z:z:z::2」を設定します。
※ 実際には「y:y:y::/48」「z:z:z::2」は入力できません。ご加入のプロバイダより配付された
IPv6 アドレスをご利用ください。
※ 対向ルータの IP アドレスの代わりに、インタフェース(tunnel0)を設定することもできま
す。その場合、トンネルインタフェースに IPv6 アドレスを設定する必要はありません。
(3)SEIL A の設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、「 ó–
¤
¡
[6.3.1 設定内容の保存・読込 £P.61 ¢ ]」をご覧ください。
以上で、SEIL A 側のトンネルの設定は完了です。変更した設定はバックアップをとっておくこ
とをお勧めします。
(4)SEIL B のトンネルインタフェースを設定する
SEIL B となる SEIL に管理者アカウントでログインし、IPv4 アドレスのトンネルアドレスを設
定します。以下の設定を行ってください。
設定項目
パラメータ
トンネルインタフェース
tunnel0
始点 IP アドレス
10.0.2.2
終点 IP アドレス
10.0.1.1
■ 記述例
¶
³
# interface tunnel0 tunnel 10.0.2.2 10.0.1.1
µ
´
■ パラメータ解説
interface tunnel0
トンネルインタフェースとして「tunnel0」を設定します。
105
第 7 章 ネットワークでの利用例
7.2. IPv4 ネットワークを経由して IPv6 ネットワークに接続する
tunnel 10.0.2.2 10.0.1.1
続けて、トンネルの始点 IP アドレスとして「10.0.2.2」を、終点 IP アドレスとして
「10.0.1.1」を設定します。
トンネルインタフェースに IPv6 アドレスを設定します。以下の設定を行ってください。
設定項目
パラメータ
インタフェース
tunnel0
IP アドレス
z:z:z::2
対向ルータの IP アドレス
z:z:z::1
■ 記述例
¶
³
# interface tunnel0 add z:z:z::2 remote z:z:z::1
µ
■ パラメータ解説
interface tunnel0
インタフェースとして「tunnel0」を設定します。
add z:z:z::2 remote z:z:z::1
続けて、インタフェースの IP アドレスとして「z:z:z::2」を、対向ルータの IP アドレ
スとして「z:z:z::1」を設定します。
※ 実際には「z:z:z::1」
「z:z:z::2」は入力できません。ご加入のプロバイダより配付された IPv6
アドレスをご利用ください。
(5)SEIL B の静的ルーティングを設定する
IPv6 通信をトンネル経由で行うため、IPv6 経路をトンネルへと向かわせます。以下の設定を
行ってください。
106
設定項目
パラメータ
送信先ネットワークまたはホストの IP アドレス
x:x:x::/48
対向ルータの IP アドレス
z:z:z::1
´
第 7 章 ネットワークでの利用例
7.2. IPv4 ネットワークを経由して IPv6 ネットワークに接続する
■ 記述例
¶
³
# route6 add x:x:x::/48 z:z:z::1
µ
´
■ パラメータ解説
route6 add x:x:x::/48 z:z:z::1
送信先ネットワークまたはホストの IP アドレスとして「x:x:x::/48」を設定します。さ
らに、対向ルータの IP アドレスとして「z:z:z::1」を設定します。
※ 実際には「x:x:x::/48」「z:z:z::1」は入力できません。ご加入のプロバイダより配付された
IPv6 アドレスをご利用ください。
※ 対向ルータの IP アドレスの代わりに、インタフェース(tunnel0)を設定することもできま
す。その場合、トンネルインタフェースに IPv6 アドレスを設定する必要はありません。
(6)SEIL B の設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、「 ó–
¤
¡
[6.3.1 設定内容の保存・読込 £P.61 ¢ ]」をご覧ください。
以上で、SEIL B 側のトンネルの設定は完了です。変更した設定はバックアップをとっておくこ
とをお勧めします。
107
第 7 章 ネットワークでの利用例
7.3. LAN 内のサーバをインターネットに公開する
7.3 LAN 内のサーバをインターネットに公開する
サーバをインターネットに公開する場合、サーバに対してグローバルアドレスを割り当てる必要があ
ります。LAN 内でグローバルアドレスを使用している場合はそのまま外部にサーバを公開できますが、
LAN 内でプライベートアドレスを使用している場合、そのままでは外部にサーバを公開することができ
ません。
CS-SEIL-510/C はグローバルアドレスとプライベートアドレスを固定的に 1 対 1 で対応させる静的
NAT 機能と、CS-SEIL-510/C に対するアクセスをポート単位で転送する静的 NAPT 機能を持っている
ため、LAN 内でプライベートアドレスを使用している場合でもインターネットに公開するサーバを LAN
内に設置することが可能です。また、Reflection NAT 機能を利用することで、静的 NAT で公開したサー
バを LAN 内からグローバルアドレスで参照することが可能となります。
本節では CS-SEIL-510/C の静的 NAT 機能と静的 NAPT 機能を利用してインターネットへサーバを
公開する設定例と Reflection NAT の設定例をご説明します。
■ 7.3.1
公開するサーバにグローバルアドレスを割り当てる場合
∼静的 NAT 機能の利用∼
インターネットへ公開するサーバにグローバルアドレスを割り当てることが可能であれば、「
ó–
¤
¡
[7.1.1 PPPoE を使用して接続する場合 £P.81 ¢ ]」の例のようにプライベートアドレスを使用してイン
ターネットに接続している LAN 内に、インターネットへ公開するサーバをおくことが可能です。これ
を実現するためには SEIL が持つ、グローバルアドレスとプライベートアドレスを固定的に 1 対 1 で対
応させる静的 NAT 機能を利用します。
本節では、SEIL が持つ静的 NAT 機能を使ってインターネットにサーバを公開する例について、次
ページのような構成のネットワークを前提にご説明します。
※ 本節ではインターネットとの接続インタフェースに pppoe0 を使用しています。
108
第 7 章 ネットワークでの利用例
7.3. LAN 内のサーバをインターネットに公開する
※ 本節では説明のため、「10.0.0.0∼10.255.255.255」「172.16.0.0∼172.16.255.255」までの
アドレスをグローバルアドレスとして表現しています。
設定の流れ
(1)静的 NAT を設定する
NAT の対象とするプライベートアドレス、それに対応づけるグローバルアドレスを設定します。
(2)設定を保存する
すべての設定を保存します。
109
第 7 章 ネットワークでの利用例
7.3. LAN 内のサーバをインターネットに公開する
設定手順
(1)静的 NAT を設定する
SEIL に管理者アカウントでログインし、外部に公開するサーバのプライベートアドレスとグロー
バルアドレスの設定を行います。以下の設定を行ってください。
設定項目
パラメータ
プライベート IP アドレス
192.168.0.2
グローバル IP アドレス
172.16.0.2
インタフェース
pppoe0
■ 記述例
¶
³
# nat static add 192.168.0.2 172.16.0.2 interface pppoe0
µ
´
■ パラメータ解説
nat static add 192.168.0.2 172.16.0.2
NAT の対象とするプライベート IP アドレスとして「192.168.0.2」を、そのプライベート
IP アドレスに対応づけるグローバル IP アドレスとして「172.16.0.2」を設定します。
interface pppoe0
続けて、NAT を使用するインタフェースとして「pppoe0」を設定します。
(2)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で、静的 NAT を用いてサーバをインターネットに公開する場合の設定は完了です。これに
より外部から 192.168.0.2 の Web サーバへ 172.16.0.2 でアクセス可能となります。変更した設
定はバックアップをとっておくことをお勧めします。
110
第 7 章 ネットワークでの利用例
7.3. LAN 内のサーバをインターネットに公開する
■ 7.3.2
公開するサーバにプライベートアドレスを割り当てる場合
∼静的 NAPT 機能の利用∼
¤
¡
「 ó– [7.3.1 公開するサーバにグローバルアドレスを割り当てる場合 £P.108 ¢ ]」で挙げた例は、サー
バ専用のグローバルアドレスを割り当てることが可能な場合でした。インターネットへ公開するサーバ
にサーバ専用のグローバルアドレスを割り当てることができない場合でも、SEIL を使用することでイ
ンターネットへサーバを公開することが可能です。
SEIL に対するアクセスをポート単位で他のサーバへ転送する静的 NAPT 機能を持っているため、外
部に対して SEIL 自身がインターネットに公開したいサーバであるかのように見せることが可能です。
本節では、SEIL の静的 NAPT 機能を利用してインターネットへサーバを公開する設定例について、以
下のような構成のネットワークを前提にご説明します。
※ 本節ではインターネットとの接続インタフェースに pppoe0 を使用しています。
111
第 7 章 ネットワークでの利用例
7.3. LAN 内のサーバをインターネットに公開する
※ 本節では説明のため、
「10.0.0.0∼10.255.255.255」までのアドレスをグローバルアドレスとして
表現しています。
設定の流れ
(1)静的 NAPT を設定する
静的 NAPT を行うポート番号とアドレス、およびインタフェースについて設定を行います。
(2)設定を保存する
すべての設定を保存します。
112
第 7 章 ネットワークでの利用例
7.3. LAN 内のサーバをインターネットに公開する
設定手順
(1)静的 NAPT を設定する
SEIL に管理者アカウントでログインし、静的 NAPT の設定をします。以下の設定を行ってくだ
さい。
設定項目
パラメータ
プロトコル
tcp
Listen ポート番号
80
インタフェース
pppoe0
プライベート IP アドレス
192.168.0.2
ポート番号
80
有効/無効
enable
■ 記述例
¶
³
# nat snapt add protocol tcp listen 80 interface pppoe0 forward 192.168.0.2 80
enable
µ
´
■ パラメータ解説
nat snapt add protocol tcp
プロトコルとして「tcp」を設定します。
listen 80
続けて、Listen ポート番号として、HTTP のポート番号である「80」を設定します。
interface pppoe0
続けて、インタフェースとして「pppoe0」を設定します。
forward 192.168.0.2 80
続けて、転送先のプライベート IP アドレスとポート番号として、公開する Web サー
バの IP アドレスである「192.168.0.2」と、そのポート番号である「80」を設定します。
enable
続けて、設定を有効にするため「enable」を設定します。
(2)設定を保存する
113
第 7 章 ネットワークでの利用例
7.3. LAN 内のサーバをインターネットに公開する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で、静的 NAPT を用いてサーバをインターネットに公開する場合の設定は完了です。これに
より外部から 192.168.0.2 の Web サーバへ 10.0.0.1 でアクセス可能となります。変更した設定
はバックアップをとっておくことをお勧めします。
■ 7.3.3
サーバを LAN 内からグローバルアドレスで参照する
静的 NAT を使ってサーバを公開した場合、そのサーバはルータの外からはグローバルアドレスで参
照され、LAN 内からはプライベートアドレスで参照されることになります。反対に、LAN 内からのグ
ローバルアドレスでの参照はできません。Reflection NAT を使用すると、LAN 内からもグローバルアド
レスで参照させることができるようになります。
本節では、SEIL の Reflection NAT 機能を利用して「 ó– [7.3.1 公開するサーバにグローバルアドレ
¤
¡
スを割り当てる場合 £P.108 ¢ ]」での設定例を元に、静的 NAT で公開したサーバを LAN 内からグローバ
ルアドレスで参照する設定例について、次ページのような構成のネットワークを前提にご説明します。
静的 NAT で公開されたサーバを、LAN 内のプライベートアドレスを持つホストから参照する場合、
LAN 内からはプライベートアドレスで普通にアクセスできますが、グローバルアドレスでアクセスする
と、行きは SEIL を通りますがサーバからの返信パケットは SEIL を経由しない経路を通ってしまうた
め、アドレスの食い違いが生じてしまいます。Reflection NAT を使用することで、帰りの経路も SEIL
を通るよう行きのパケットを NAT 変換し、行きも帰りも常に SEIL を経由した経路を通らせることが可
能となります。
114
第 7 章 ネットワークでの利用例
7.3. LAN 内のサーバをインターネットに公開する
※ 本節では説明のため、「10.0.0.0∼10.255.255.255」「172.16.0.0∼172.16.255.255」までの
アドレスをグローバルアドレスとして表現しています。
設定の流れ
(1)静的 NAT を設定する
NAT の対象とするプライベートアドレス、それに対応づけるグローバルアドレスを設定します。
(2)NAPT を設定する
NAPT のアドレス変換の設定をします。
(3)Reflection NAT を設定する
Reflection NAT を行うインタフェースを設定します。
(4)設定を保存する
すべての設定を保存します。
115
第 7 章 ネットワークでの利用例
7.3. LAN 内のサーバをインターネットに公開する
設定手順
(1)静的 NAT を設定する
SEIL に管理者アカウントでログインし、外部に公開するサーバのプライベートアドレスとグロー
バルアドレスの設定を行います。以下の設定を行ってください。
設定項目
パラメータ
プライベート IP アドレス
192.168.0.2
グローバル IP アドレス
172.16.0.2
インタフェース
pppoe0
■ 記述例
¶
³
# nat static add 192.168.0.2 172.16.0.2 interface pppoe0
µ
´
■ パラメータ解説
nat static add 192.168.0.2 172.16.0.2
NAT の対象とするプライベート IP アドレスとして「192.168.0.2」を、
そのプライベート IP アドレスに対応づけるグローバル IP アドレスとして「172.16.0.2」
を設定します。
interface pppoe0
続けて、NAT を使用するインタフェースとして「pppoe0」を設定します。
(2)NAPT を設定する
192.168.0.3 等のホストが、サーバ側から見てグローバルアドレスであるように見せかけるため、
NAPT のアドレス変換の設定をします。以下の設定を行ってください。
116
設定項目
パラメータ
プライベート IP アドレス範囲
192.168.0.0 ∼ 192.168.255.255
インタフェース
pppoe0
第 7 章 ネットワークでの利用例
7.3. LAN 内のサーバをインターネットに公開する
■ 記述例
¶
³
# nat napt add private 192.168.0.0-192.168.255.255 interface pppoe0
µ
´
■ パラメータ解説
nat napt add private 192.168.0.0-192.168.255.255
NAPT の対象プライベート IP アドレス範囲として「192.168.0.0-192.168.255.255」を設
定します。
interface pppoe0
続けて、NAPT を使用するインタフェースとして「pppoe0」を設定します。
(3)Reflection NAT を設定する
NAT/NAPT において、lan0 側で跳ね返る(reflection)ことができるように設定します。以下の設
定を行ってください。
設定項目
パラメータ
インタフェース
lan0
■ 記述例
¶
³
# nat reflect add interface lan0
µ
´
■ パラメータ解説
nat reflect add interface lan0
Reflection NAT を使用するインタフェースとして「lan0」を設定します。
(4)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
117
第 7 章 ネットワークでの利用例
7.3. LAN 内のサーバをインターネットに公開する
以上で、Reflection NAT を用いて、静的 NAT で公開したサーバを LAN 内部からグローバルア
ドレスで参照する場合の設定は完了です。これにより外部、内部どちらからでも 192.168.0.2 の
Web サーバへ 10.0.0.1 でアクセス可能となります。変更した設定はバックアップをとっておく
ことをお勧めします
118
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
7.4
外部からのアクセスを制限する
LAN をインターネットに接続した場合、インターネットからの不正アクセスを受けることを想定して
おく必要があります。ネットワークの安定した運用を行うためには、外部からの不正アクセスを防止す
るためにフィルタを設定しておく必要があります。
■ 7.4.1
外部から LAN へのアクセスを制限するフィルタリングを設
定する
本節では基本的なフィルタの設定例として、外部から LAN 内部へは Web サーバに対する HTTP に
よるアクセスだけを許可し、それ以外のアクセスを禁止するという設定例について、以下のような構成
のネットワークを前提にご説明します。なお、SEIL シリーズは、IPv4、IPv6 両方に対応していますが、
ここでは IPv4 での設定方法についてご説明します。
119
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
※ 本節ではインターネットとの接続インタフェースに pppoe0 を使用しています。
※ 本節では説明のため、「10.0.0.0∼10.255.255.255」「172.16.0.0∼172.16.255.255」までのアド
レスをグローバルアドレスとして表現しています。
※ インターネットからの接続要求を許可するフィルタを設定した場合、 許可を受けたポート番号を
偽造して不正な接続を行われる可能性が生じます。このような事態を防止するために、SEIL の
フィルタリング機能だけではなく、他のセキュリティ手法も加えて、ネットワークセキュリティ
を向上させることをお勧めします。
設定の流れ
(1)フィルタを設計する
どのようなアクセスを許可し、どのようなアクセスを遮断するのかを決めます。
(2)フィルタを設定する
設計に基づき、フィルタの設定を行います。
(3)設定を保存する
すべての設定を保存します。
設定手順
(1)フィルタを設計する
120
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
次のようなアクセス制限を行うものとします。
A.
外部から Web サーバへのアクセスは許可
B.
内部から外部に対するアクセスの返答は TCP のみ許可
C. 外部から SEIL へのアクセスは ICMP 以外すべて禁止
D.
外部から内部のホストには A.によるもの以外はすべて禁止
これを実現するためには、次のようなフィルタが必要になります。
a.
外部から Web サーバ (172.16.0.2) に対する TCP を使ったアクセスで送信先のポート番号が
80 番のものを通すフィルタ
b.
外部から LAN に割り当てているグローバルアドレス空間 (172.16.0.0/24) に対する TCP を
使ったアクセスで、確立済み (TCP Established) のものを通すフィルタ
c.
外部から SEIL(10.0.0.1) に対する ICMP によるアクセスをすべて通すフィルタ
d.
外部からのアクセスをすべて遮断するフィルタ
※ 内部から外部への TCP を使ったアクセスを許可するためには b. のフィルタを設定しておく
必要があります。 b. のフィルタを設定していない場合、内部のクライアントが外部のサー
バにアクセスする様な場合でも、その返答が d. のフィルタによって遮断されます。
※ 許可したいアクセスが d. のフィルタで遮断されてしまわないように、d. のフィルタの優先
順位を 1 番低くする必要があります。
※ フィルタの処理は NAT/NAPT 処理が行われたあとに実行されます。NAT/NAPT 機能を使用
している場合は、グローバルアドレスではなく NAT/NAPT 変換後のアドレスに対してフィ
ルタをかける必要があります。
(2)フィルタを設定する
フィルタの設計が完了すると、次はフィルタの設定を行います。フィルタを設定する順番は、優
先順位さえ正しく設定されていればどのような順番で設定しても問題ありません。この設定例で
はフィルタの設計で示した a.から d.の順番で行うこととします。
ここでは a.について設定手順を説明します。b.以降も同様にフィルタの追加を行ってくだ
さい。
SEIL に管理者アカウントでログインし、a. のフィルタを追加します。以下の設定を行ってくだ
さい。
121
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
設定項目
パラメータ
フィルタ名
httppass
アクション
pass
インタフェース
pppoe0
方向
in
プロトコル
tcp
送信先 IP アドレス
172.16.0.2/32
送信先ポート番号
80
ログの取得
off
優先順位
top
有効/無効
enable
■ 記述例
¶
³
# filter add httppass action pass interface pppoe0 direction in
protocol tcp dst 172.16.0.2/32 dstport 80 logging off top enable
µ
´
■ パラメータ解説
filter add httppass
フィルタ名として「httppass」を設定します。
action pass
続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」
を設定します。
interface pppoe0
続けて、インタフェースとして「pppoe0」を設定します。
direction in
続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。
protocol tcp
続けて、プロトコルとして、対象が HTTP を使ったアクセスであるため「tcp」を設定
します。
dst 172.16.0.2/32 dstport 80
続けて、送信先 IP アドレスとして、Web サーバ用のグローバルアドレスである
「172.16.0.2/32」を設定します。ネットマスク長の値は、ネットワークではなく Web
サーバ自身を指定するため「32」となります。さらに、送信先 IP アドレスのポート番
号として「80」を設定します。
122
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
logging off
続けて、ログの取得は行わないため「off」を設定します。
top
続けて、優先順位として、この段階ではフィルタが 1 つも設定されていないため「top」
を設定します。
enable
続けて、設定を有効にするため「enable」を設定します。
b.のフィルタを設定する場合、以下の設定を行ってください。
設定項目
パラメータ
フィルタ名
estabpass
アクション
pass
インタフェース
pppoe0
方向
in
プロトコル
tcp-established
送信先 IP アドレス
172.16.0.0/24
ログの取得
off
優先順位
below httppass (a の次))
有効/無効
enable
■ 記述例
¶
³
# filter add estabpass action pass interface pppoe0 direction in
protocol tcp-established dst 172.16.0.0/24 logging off
below httppass enable
µ
´
■ パラメータ解説
filter add estabpass
フィルタ名として「estabpass」を設定します。
action pass
続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」
を設定します。
interface pppoe0
続けて、インタフェースとして「pppoe0」を設定します。
direction in
続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。
123
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
protocol tcp-established
続けて、プロトコルとして、対象が確立済みの TCP を使ったアクセスであるため
「tcp-established」を設定します。
dst 172.16.0.0/24
続 け て 、送 信 先 IP ア ド レ ス と し て 、LAN 側 の グ ロ ー バ ル ア ド レ ス で あ る
「172.16.0.0/24」を設定します。ネットマスク長の値は、LAN 側のネットワークを指
定するため「24」となります。
logging off
続けて、ログの取得は行わないため「off」を設定します。
below httppass
続けて、優先順位として、a. のフィルタよりも優先順位を低くするため「below
httppass」を設定します。
enable
続けて、設定を有効にするため「enable」を設定します。
c. のフィルタを設定する場合、以下の設定を行ってください。
設定項目
パラメータ
フィルタ名
icmppass
アクション
pass
インタフェース
pppoe0
方向
in
プロトコル
icmp
送信先 IP アドレス
10.0.0.1/32
ログの取得
off
優先順位
below estabpass (b の次))
有効/無効
enable
■ 記述例
¶
³
# filter add icmppass action pass interface pppoe0 direction in
protocol icmp dst 10.0.0.1/32 logging off below estabpass enable
µ
´
■ パラメータ解説
filter add icmppass
フィルタ名として「icmppass」を設定します。
124
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
action pass
続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」
を設定します。
interface pppoe0
続けて、インタフェースとして「pppoe0」を設定します。
direction in
続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。
protocol icmp
続けて、プロトコルとして、対象が ICMP を使ったアクセスであるため「icmp」を設
定します。
dst 10.0.0.1/32
続けて、送信先 IP アドレスとして、SEIL のグローバルアドレスである「10.0.0.1/32」
を設定します。ネットマスク長の値は、ネットワークではなく SEIL 自身を指定する
ため「32」となります。
logging off
続けて、ログの取得は行わないため「off」を設定します。
below estabpass
続けて、優先順位として、b. のフィルタよりも優先順位を低くするため「below
estabpass」を設定します。
enable
続けて、設定を有効にするため「enable」を設定します。
d. のフィルタを設定する場合、以下の設定を行ってください。
設定項目
パラメータ
フィルタ名
allblock
アクション
block
インタフェース
pppoe0
方向
in
プロトコル
any
ログの取得
off
優先順位
bottom
有効/無効
enable
125
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
■ 記述例
¶
³
# filter add allblock action block interface pppoe0 direction in
protocol any logging off bottom enable
µ
´
■ パラメータ解説
filter add allblock
フィルタ名として「allblock」を設定します。
action block
続けて、アクションとして、条件に合致したパケットのアクセスを遮断するため
「block」を設定します。
interface pppoe0
続けて、インタフェースとして「pppoe0」を設定します。
direction in
続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。
protocol any
続けて、プロトコルとして、a. から c. までのフィルタの対象とならなかったすべての
パケットを遮断するため「any」を設定します。
logging off
続けて、ログの取得は行わないため「off」を設定します。
bottom
続けて、優先順位として、a.から c.までのフィルタよりも優先順位を低くするため
「bottom」を設定します。
enable
続けて、設定を有効にするため「enable」を設定します。
(3)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、
¤
¡
[6.3.1 設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
ó–
以上でフィルタの設定は完了です。変更した設定内容はバックアップをとっておくことをお勧め
します。
126
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
■ 7.4.2
動的にアクセスを許可するフィルタリングを設定する
本節では動的フィルタの設定例として、LAN 内部から外部へ FTP アクセスを許可し、外部から LAN
内部への全てのアクセスを禁止するという設定例について、下記のような構成のネットワークを前提に
ご説明します。なお、SEIL は、IPv4、IPv6 両方に対応していますが、ここでは IPv4 での設定方法につ
いてご説明します。
※ 本節ではインターネットとの接続インタフェースに pppoe0 を使用しています。
ỶὅἑὊ἟ἕἚ
ἂἿὊἢἽỴἛἾἋ
10.0.0.1
ἂἿὊἢἽỴἛἾἋ
172.16.0.1
л࢘἟ἕἚὁὊἁỴἛἾἋ
172.16.0.1/24
ἂἿὊἢἽỴἛἾἋ
172.16.0.3
ἂἿὊἢἽỴἛἾἋ
172.16.0.4
※ 本節では説明のため、「10.0.0.0∼10.255.255.255」「172.16.0.0∼172.16.255.255」までのアド
レスをグローバルアドレスとして表現しています。
※ インターネットからの接続要求を許可するフィルタを設定した場合、 許可を受けたポート番号を
127
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
偽造して不正な接続を行われる可能性が生じます。このような事態を防止するために、SEIL の
フィルタリング機能だけではなく、他のセキュリティ手法も加えて、ネットワークセキュリティ
を向上させることをお勧めします。
設定の流れ
(1)フィルタを設計する
どのようなアクセスを許可し、どのようなアクセスを遮断するのかを決めます。
(2)フィルタを設定する
設計に基づき、フィルタの設定を行います。
(3)設定を保存する
すべての設定を保存します。
設定手順
(1)フィルタを設計する
次のようなアクセス制限を行うものとします。
A.
内部から外部に対するアクセスは FTP のみ許可
B.
外部から SEIL へのアクセスは ICMP 以外すべて禁止
C. 外部から内部のホストへのアクセスは A.によるもの以外はすべて禁止
これを実現するためには、次のようなフィルタが必要になります。
a.
LAN に割り当てているグローバルアドレス空間 (172.16.0.0/24) から外部に対する FTP を
使ったアクセスをすべて通す動的フィルタ
b.
外部から SEIL(10.0.0.1) に対する ICMP によるアクセスをすべて通すフィルタ
c.
外部からのアクセスをすべて遮断するフィルタ
FTP はあらかじめ 21 番ポートを用いて接続したあとにサーバ-クライアント間で通信を行って互
いに合意したポートをデータ転送に使用するため、静的フィルタでは上記のようなアクセス制限
を行うことは不可能です。そのため、a.にて動的フィルタ機能を用います。
※ 許可したいアクセスが c. のフィルタで遮断されてしまわないように、c. のフィルタの優先
順位を 1 番低くする必要があります。
※ フィルタの処理は NAT/NAPT 処理が行われたあとに実行されます。NAT/NAPT 機能を使用
している場合は、グローバルアドレスではなく NAT/NAPT 変換後のアドレスに対してフィ
ルタをかける必要があります。
(2)フィルタを設計する
フィルタの設計が完了すると、次はフィルタの設定を行います。フィルタを設定する順番は、優
先順位さえ正しく設定されていればどのような順番で設定しても問題ありません。この設定例で
はフィルタの設計で示した a.から c.の順番で行うこととします。
128
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
ここでは a.について設定手順を説明します。b.以降も同様にフィルタの追加を行ってくだ
さい。
SEIL に管理者アカウントでログインし、a. のフィルタを追加します。以下の設定を行ってく
だい。
設定項目
パラメータ
フィルタ名
ftppass
アクション
pass
インタフェース
pppoe0
方向
out
プロトコル
tcp
送信元 IP アドレス
172.16.0.0/24
ポート番号
21
動的フィルタ設定
enable
ログの取得
off
優先順位
top
有効/無効
enable
■ 記述例
¶
³
# filter add ftppass action pass interface pppoe0 direction out
protocol tcp src 172.16.0.0/24 dstport 21 state enable logging off
top enable
µ
´
■ パラメータ解説
filter add ftppass
フィルタ名として「ftppass」を設定します。
action pass
続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」
を設定します。
interface pppoe0
続けて、インタフェースとして「pppoe0」を設定します。
direction out
続けて、方向として、対象が内部から外部へのアクセスであるため「out」を設定し
ます。
protocol tcp
続けて、プロトコルとして、FTP を使ったアクセスであるため「tcp」を設定します。
129
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
src 172.16.0.0/24 dstport 21
続 け て 、送 信 元 IP ア ド レ ス と し て 、LAN 側 の グ ロ ー バ ル ア ド レ ス で あ る
「172.16.0.0/24」を設定します。ネットマスク長の値は、LAN 側のネットワークを指
定するため「24」となります。さらに、送信先ポート番号として「21」を設定します。
state enable
続けて、動的フィルタ機能を有効にするため「state enable」を設定します。
logging off
続けて、ログの取得は行わないため「off」を設定します。
top
続けて、優先順位として、最優先にするため「top」を設定します。
enable
続けて、設定を有効にするため「enable」を設定します。
b. のフィルタを設定する場合、以下の設定を行ってください。
設定項目
パラメータ
フィルタ名
icmppass
アクション
pass
インタフェース
pppoe0
方向
in
プロトコル
icmp
送信先 IP アドレス
10.0.0.1/32
ログの取得
off
優先順位
below ftppass (a の次)
有効/無効
enable
■ 記述例
¶
³
# filter add icmppass action pass interface pppoe0 direction in
protocol icmp dst 10.0.0.1/32 logging off below ftppass enable
µ
´
■ パラメータ解説
filter add icmppass
フィルタ名として「icmppass」を設定します。
action pass
続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」
を設定します。
130
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
interface pppoe0
続けて、インタフェースとして「pppoe0」を設定します。
direction in
続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。
protocol icmp
続けて、プロトコルとして、対象が ICMP を使ったアクセスであるため「icmp」を設
定します。
dst 10.0.0.1/32
続けて、送信先 IP アドレスとして、SEIL のグローバルアドレスである「10.0.0.1/32」
を設定します。ネットマスク長の値は、ネットワークではなく SEIL 自身を指定する
ため「32」となります。
logging off
続けて、ログの取得は行わないため「off」を設定します。
below ftppass
続けて、優先順位として、a.のフィルタよりも優先順位を低くするため「below
ftppass」を設定します。
enable
続けて、設定を有効にするため「enable」を設定します。
c. のフィルタを設定する場合、以下の設定を行ってください。
設定項目
パラメータ
フィルタ名
allblock
アクション
block
インタフェース
pppoe0
方向
in
プロトコル
any
ログの取得
off
優先順位
bottom
有効/無効
enable
131
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
■ 記述例
¶
³
# filter add allblock action block interface pppoe0 direction in
protocol any logging off bottom enable
µ
´
■ パラメータ解説
filter add allblock
フィルタ名として「allblock」を設定します。
action block
続けて、アクションとして、条件に合致したパケットのアクセスを遮断するため
「block」を設定します。
interface pppoe0
続けて、インタフェースとして「pppoe0」を設定します。
direction in
続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。
protocol any
続けて、プロトコルとして、a. から c. までのフィルタの対象とならなかったすべての
パケットを遮断するため「any」を設定します。
logging off
続けて、ログの取得は行わないため「off」を設定します。
bottom
続けて、優先順位として、a.から b.までのフィルタよりも優先順位を低くするため
「bottom」を設定します。
enable
続けて、設定を有効にするため「enable」を設定します。
(3)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、
¤
¡
[6.3.1 設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
ó–
以上でフィルタの設定は完了です。変更した設定内容はバックアップをとっておくことをお勧め
します。
132
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
■ 7.4.3
IP アドレスの詐称を防ぐフィルタリング (uRPF) を設定する
本節では uRPF(Unicast Reverse Path Forwarding) 機能を用いて、IP アドレスが詐称されたパケット
が LAN 内部に流入することを防ぐ設定について説明します。以下、IPv4 パケットのみを対象として説
明します。IPv6 パケットも対象としたい場合は、別途 IPv6 についても同様に設定して下さい。
ỶὅἑὊ἟ἕἚ
ἂἿὊἢἽỴἛἾἋ
10.0.0.1
ἂἿὊἢἽỴἛἾἋ
172.16.0.1
л࢘἟ἕἚὁὊἁỴἛἾἋ
172.16.0.1/24
ἅὅἦἷὊἑA
設定の流れ
(1)ルーティングを設定する
静的もしくは動的ルーティングを設定する
(2)uRPF を設定する
uRPF 機能を有効にします。
133
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
(3)設定を保存する
すべての設定を保存します。
設定手順
(1)ルーティングを設定する
uRPF はルーティングに基づいてパケットをフィルタリングします。したがって、uRPF を設定
する前にルーティングを正しく設定しておく必要があります。SEIL に管理者アカウントでログ
インし、ルーティングの設定を行ってください。ルーティング設定の詳細については他の節を参
照してください。
(2)uRPF を設定する
uRPF のパラメータとして、対象の IP プロトコルバージョン、uRPF モード、ログ出力の有無を
設定できます。IP プロトコルバージョンは IPv4、uRPF モードは strict、ログ出力は有りとしま
す。以下の設定を行ってください。
設定項目
パラメータ
IP プロトコル
ip
モード
strict
ログ出力
on
■ 記述例
¶
³
# option ip unicast-rpf strict logging on
µ
´
■ パラメータ解説
option ip
対象とする IP プロトコルは IPv4 なので「ip」を設定します。
unicast-rpf strict
uRPF モードとして「strict」を設定します。
logging on
パケットをブロックした場合にログに残すため「on」を設定します。
134
第 7 章 ネットワークでの利用例
7.4. 外部からのアクセスを制限する
(3)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で、uRPF を使用する場合の設定は完了です。変更した設定はバックアップをとっておくこ
とをお勧めします。
135
第 7 章 ネットワークでの利用例
7.5. MAC アドレスによるフィルタリングを行う
7.5 MAC アドレスによるフィルタリングを行う
LAN をインターネットに接続した場合、LAN 内に接続される機器のうち、特定の機器のみ外部への
接続を許可し、他の機器は外部への接続を禁止したい場合があります。
CS-SEIL-510/C では、特定の MAC アドレスを持つ機器だけが CS-SEIL-510/C を介して外部と通信
できる機能を提供しています。MAC アドレスの指定方法は、1 つずつ個別に設定を行う方法と、MAC
アドレスのリストを外部から取得して適用する方法があり、両者を併用して適用することができます。
■ 7.5.1
MAC アドレスの個別設定
本節では基本的な MAC アドレスフィルタの設定例として、外部への通信を許可する MAC アドレス
のリストを SEIL に直接設定する方法を解説します。
ỶὅἑὊ἟ἕἚ
ἅὅἦἷὊἑA
00:11:22:33:44:55
136
ἅὅἦἷὊἑB
00:aa:bb:cc:de:f0
第 7 章 ネットワークでの利用例
7.5. MAC アドレスによるフィルタリングを行う
設定の流れ
(1)MAC アドレスフィルタを設計する
どの機器からのパケットを許可するかを決めます。
(2)MAC アドレスフィルタを設定する
設計に基づき、MAC アドレスフィルタの設定を行います。
(3)設定を確認する
設定が正しくなされているか確認します。
(4)設定を保存する
すべての設定を保存します。
設定手順
(1)MAC アドレスフィルタを設計する
次のようなアクセス制限を行うものとします。
A.
コンピュータ A(00:11:22:33:44:55) から外部への通信を許可する
B.
コンピュータ B(00:aa:bb:cc:dd:ee) から外部への通信を許可する
C. コンピュータ A、コンピュータ B 以外の機器から外部への通信は遮断する
※ MAC アドレスフィルタは設定された順番で評価されます。よって、C. のフィルタが最初に
設定されていると、全てのパケットが遮断されてしまいその後に設定された A. や B. のフィ
ルタが評価されないことになります。
※ MAC アドレスフィルタは lan0 インタフェースで受信したパケットでのみ評価されます。
lan0 インタフェースへの出力や、lan1 インタフェースから受信したパケットに対して適用
することはできません。
※ MAC アドレスフィルタは Ethernet フレームのうち、送信元 MAC アドレスのみを検査する
ことができます。送信先 MAC アドレスや、Ethernet タイプなどを元に判定を行うことはで
きません。
(2)MAC アドレスフィルタを設定する
MAC アドレスフィルタの設計が完了すると、次は MAC アドレスフィルタの設定を行います。
MAC アドレスフィルタは、設定された順番で評価されます。このため、設定を行う順番は A. か
ら C. の順番で行うこととします。
SEIL に管理者アカウントでログインし、A. のフィルタを追加します。以下の設定を行ってくだ
さい。
137
第 7 章 ネットワークでの利用例
7.5. MAC アドレスによるフィルタリングを行う
設定項目
パラメータ
フィルタ名
pcapass
アクション
pass
送信元 MAC アドレス
00:11:22:33:44:55
ログの取得
off
■ 記述例
¶
³
macfilter add pcapass action pass src 00:11:22:33:44:55 logging off
µ
´
■ パラメータ解説
macfilter add pcapass
フィルタ名として「pcapass」を設定します。
action pass
続けて、アクションとして、条件に合致したパケットを許可するため「pass」を設定
します。
src 00:11:22:33:44:55
続けて、送信元 MAC アドレスとして「00:11:22:33:44:55」を設定します。
logging off
続けて、ログの取得は行わないため「off」を設定します。
B. のフィルタを設定します。以下の設定を行ってください。
設定項目
パラメータ
フィルタ名
pcbpass
アクション
pass
送信元 MAC アドレス
00:aa:bb:cc:dd:ee
ログの取得
off
■ 記述例
¶
³
macfilter add pcbpass action pass src 00:aa:bb:cc:dd:ee logging off
µ
´
■ パラメータ解説
macfilter add pcbpass
フィルタ名として「pcbpass」を設定します。
138
第 7 章 ネットワークでの利用例
7.5. MAC アドレスによるフィルタリングを行う
action pass
続けて、アクションとして、条件に合致したパケットを許可するため「pass」を設定
します。
src 00:aa:bb:cc:dd:ee
続けて、送信元 MAC アドレスとして「00:aa:bb:cc:dd:ee」を設定します。
logging off
続けて、ログの取得は行わないため「off」を設定します。
C. のフィルタを設定します。以下の設定を行ってください。
設定項目
パラメータ
フィルタ名
allblock
アクション
block
送信元 MAC アドレス
any
ログの取得
off
■ 記述例
¶
³
macfilter add allblock action block src any logging off
µ
´
■ パラメータ解説
macfilter add allblock
フィルタ名として「allblock」を設定します。
action block
続けて、アクションとして、条件に合致したパケットを遮断するため「block」を設定
します。
src any
続けて、全ての送信元 MAC アドレスを対象とするため「any」を設定します。
logging off
続けて、ログの取得は行わないため「off」を設定します。
(3)設定を確認する
以上の設定が終了したら、show status macfilter コマンドにて MAC アドレスフィルタの動作情
報を確認します。詳細はコマンドリファレンスをご覧ください。
139
第 7 章 ネットワークでの利用例
7.5. MAC アドレスによるフィルタリングを行う
¶
³
show status macfilter
µ
´
(4)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、
¤
¡
[6.3.1 設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
ó–
以上で MAC アドレスフィルタの設定は完了です。変更した設定内容はバックアップをとってお
くことをお勧めします。
140
第 7 章 ネットワークでの利用例
7.5. MAC アドレスによるフィルタリングを行う
■ 7.5.2
外部ホワイトリストによる設定
本節では、外部の Web サーバに配置された MAC アドレスのリストを元にフィルタを設定する方法を
解説します。
設定の流れ
(1)フィルタ対象となる MAC アドレスのリストを外部 Web サーバに用意する
MAC アドレスが列挙されたファイルを用意し、Web サーバ上に配置します。
(2)MAC アドレスフィルタを設定する
外部 Web サーバ上の MAC アドレスリストを元に、MAC アドレスフィルタの設定を行います。
141
第 7 章 ネットワークでの利用例
7.5. MAC アドレスによるフィルタリングを行う
(3)設定を確認する
設定が正しくなされているか確認します。
(4)設定を保存する
すべての設定を保存します。
設定手順
(1)フィルタ対象となる MAC アドレスのリストを外部 Web サーバに用意する
SEIL がアクセス可能な外部の Web サーバ上に、アクセスを許可する MAC アドレスを列挙した
下記のようなファイルを用意します。
¶
³
00:11:22:33:44:55
00:aa:bb:cc:de:f0
...
00:ff:ee:00:01:22
µ
´
このファイルを、http://10.0.0.1/maclist.txt という URL でアクセスできるようにしておきます。
※ HTTP 以外にも、HTTPS、FTP プロトコルも使用可能です。
※ MAC アドレスリストに対して BASIC 認証をかけている場合、
「http://user:[email protected]/maclist.txt」といった形式で URL を指定してください。
(2)MAC アドレスフィルタを設定する
MAC アドレスリストの設置が完了すると、次は MAC アドレスフィルタの設定を行います。
SEIL に管理者アカウントでログインし、MAC アドレスリストの取得を行うための設定を行って
ください。
142
設定項目
パラメータ
フィルタ名
listpass
アクション
pass
送信元 MAC アドレス
http://10.0.0.1/maclist.txt から取得
取得間隔
1 時間ごと
ログの取得
off
第 7 章 ネットワークでの利用例
7.5. MAC アドレスによるフィルタリングを行う
■ 記述例
¶
³
macfilter add listpass action pass src http://10.0.0.1/maclist.txt
interval 1h logging off
µ
´
■ パラメータ解説
macfilter add listpass
フィルタ名として「listpass」を設定します。
action pass
続けて、アクションとして、条件に合致したパケットを許可するため「pass」を設定
します。
src http://10.0.0.1/maclist.txt
続 け て 、送 信 元 MAC ア ド レ ス の リ ス ト を 取 得 す る た め の URL と し て
「http://10.0.0.1/maclist.txt」を設定します。
interval 1h
続けて、送信元 MAC アドレスリストの取得間隔として「1h(1 時間)」を設定します。
logging off
続けて、ログの取得は行わないため「off」を設定します。
MAC アドレスリストに含まれないパケットを遮断するフィルタを設定します。以下の設定を
行ってください。
設定項目
パラメータ
フィルタ名
allblock
アクション
block
送信元 MAC アドレス
any
ログの取得
off
■ 記述例
¶
³
macfilter add allblock action block src any logging off
µ
´
■ パラメータ解説
macfilter add allblock
フィルタ名として「allblock」を設定します。
143
第 7 章 ネットワークでの利用例
7.5. MAC アドレスによるフィルタリングを行う
action block
続けて、アクションとして、条件に合致したパケットを遮断するため「block」を設定
します。
src any
続けて、全ての送信元 MAC アドレスを対象とするため「any」を設定します。
logging off
続けて、ログの取得は行わないため「off」を設定します。
(3)設定を確認する
以上の設定が終了したら、show status macfilter コマンドにて MAC アドレスフィルタの動作情
報を確認します。詳細はコマンドリファレンスをご覧ください。
¶
³
show status macfilter
µ
´
(4)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、
¤
¡
[6.3.1 設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
ó–
以上で MAC アドレスフィルタの設定は完了です。変更した設定内容はバックアップをとってお
くことをお勧めします。
144
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
7.6
ルーティングを動的に行う∼動的ルーティングの設定∼
本節では CS-SEIL-510/C を用いて動的にルーティングを行う場合の設定例をご説明します。
静的なルーティングと違い、動的なルーティングを行うことで、どこかのルートに障害が起きたとき、
自動的にルートを変更し、適切なルートをたどって通信を行うことができます。
本節では、Unicast ルーティングとして、RIP を用いた方法と OSPF を用いた方法の 2 つと、Multicast
ルーティングとして、 PIM-SM(IPv4/IPv6) を用いた方法を解説します。
■ 7.6.1
RIP を利用した動的ルーティング
∼比較的小規模なネットワーク∼
本節では、RIP を用いた動的ルーティングの設定例をご説明します。
ἂἿὊἢἽỴἛἾἋ
172.16.2.1/24
ኺែऴ‫إ‬ʩ੭
SEIL B
ἂἿὊἢἽỴἛἾἋ
10.0.2.2
ἂἿὊἢἽỴἛἾἋ
10.0.1.1
SEIL A
ኺែऴ‫إ‬ʩ੭
ἂἿὊἢἽỴἛἾἋ
172.16.1.1/24
145
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
今回の設定例では、インターネット上での接続にそれぞれ SEIL A と SEIL B を用い、SEIL A には
10.0.1.1、SEIL B には 10.0.2.2 というアドレスが割り当てられているとします。その間で動的にルー
ティングを行うために、RIP を設定するものとします。
なお、本節では SEIL A の設定についてご説明します。SEIL B の設定を行う場合でも、SEIL A の設
定を行った場合と異なる点はありません。同様に設定を行ってください。
※ 本節では説明のため、「10.0.0.0∼10.255.255.255」「172.16.0.0∼172.16.255.255」までの
アドレスをグローバルアドレスとして表現しています。
設定の流れ
(1)SEIL A に RIP を設定する
LAN0 インタフェースおよび LAN1 インタフェースに RIP を設定します。
(2)SEIL A の RIP を有効にする
設定した RIP を有効化します。
(3)SEIL A の設定を確認する
設定が正しくなされているか確認します。
(4)SEIL A の設定を保存する
すべての設定を保存します。
設定手順
(1)SEIL A に RIP を設定する
SEIL A となる SEIL に管理者アカウントでログインし、LAN インタフェースに RIP の設定をし
ます。
以下の設定を行ってください。
146
設定項目
パラメータ
インタフェース
lan0
経路情報の送受信
enable
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
■ 記述例
¶
³
# route dynamic rip interface lan0 enable
µ
´
■ パラメータ解説
route dynamic rip interface lan0
RIP を使用するインタフェースとして「lan0」を設定します。
enable
続けて、RIP 情報の送受信を行うため「enable」を設定します。
RIP バーションの設定をします。以下の設定を行ってください。
設定項目
パラメータ
インタフェース
lan0
RIP のバージョン
RIPv2
■ 記述例
¶
³
# route dynamic rip interface lan0 version ripv2
µ
´
■ パラメータ解説
route dynamic rip interface lan0
RIP を使用するインタフェースとして「lan0」を設定します。
version ripv2
続けて、RIP のバージョンとして「ripv2」を設定します。
RIPv2 認証の設定をします。以下の設定を行ってください。
設定項目
パラメータ
インタフェース
lan0
RIPv2 の認証
disable
147
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
■ 記述例
¶
³
# route dynamic rip interface lan0 authentication disable
µ
´
■ パラメータ解説
route dynamic rip interface lan0
RIP を使用するインタフェースとして「lan0」を設定します。
authentication disable
続けて、RIPv2 の認証を行わないため「disable」を設定します。
LAN1 インタフェースについても、同様に設定を行います。
最初に LAN1 インタフェースに RIP の設定をします。以下の設定を行ってください。
設定項目
パラメータ
インタフェース
lan1
経路情報の送受信
enable
■ 記述例
¶
³
# route dynamic rip interface lan1 enable
µ
´
■ パラメータ解説
route dynamic rip interface lan1
RIP を使用するインタフェースとして「lan1」を設定します。
enable
続けて、RIP 情報の送受信を行うため「enable」を設定します。
RIP バーションの設定をします。以下の設定を行ってください。
148
設定項目
パラメータ
インタフェース
lan1
RIP のバージョン
RIPv2
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
■ 記述例
¶
³
# route dynamic rip interface lan1 version ripv2
µ
´
■ パラメータ解説
route dynamic rip interface lan1
RIP を使用するインタフェースとして「lan1」を設定します。
version ripv2
続けて、RIP のバージョンとして「ripv2」を設定します。
RIPv2 認証の設定をします。以下の設定を行ってください。
設定項目
パラメータ
インタフェース
lan1
RIPv2 の認証
disable
■ 記述例
¶
³
# route dynamic rip interface lan1 authentication disable
µ
´
■ パラメータ解説
route dynamic rip interface lan1
RIP を使用するインタフェースとして「lan1」を設定します。
authentication disable
続けて、RIPv2 の認証を行わないため「disable」を設定します。
(2)SEIL A の RIP を有効にする
以下の設定を行ってください。
設定項目
パラメータ
有効/無効
enable
149
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
■ 記述例
¶
³
# route dynamic rip enable
µ
´
■ パラメータ解説
route dynamic rip enable
RIP を有効にするため「enable」を設定します。
(3)SEIL A の設定を確認する
以上の設定が終了したら、show status コマンドにより、相手ネットワークの経路が来ているか
確認します。詳細はコマンドリファレンスをご覧ください。
■ 記述例
¶
³
# show status route
µ
´
(4)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で、SEIL A 側の RIP の設定は完了です。
変更した設定内容はバックアップをとっておくことをお勧めします。
150
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
■ 7.6.2
OSPF を利用した動的ルーティング
∼中規模以上のネットワーク∼
本節では、OSPF を用いた動的ルーティングの設定例をご説明します。OSPF は RIP と違い、回線の
帯域を基にしてルートを動的に変更することが可能であり、大規模なネットワークのルーティングに最
適です。
ἂἿὊἢἽỴἛἾἋ
172.16.2.1/24
ኺែऴ‫إ‬ʩ੭
SEIL B
ἂἿὊἢἽỴἛἾἋ
10.0.2.2
ἂἿὊἢἽỴἛἾἋ
10.0.1.1
SEIL A
ኺែऴ‫إ‬ʩ੭
ἂἿὊἢἽỴἛἾἋ
172.16.1.1/24
今回の設定例では、インターネット上での接続にそれぞれ SEIL A と SEIL B を用い、SEIL A には
10.0.1.1、SEIL B には 10.0.2.2 というアドレスが割り当てられているとします。その間で動的にルー
ティングを行うために、OSPF を設定するものとします。
なお、本節では SEIL A の設定についてご説明します。SEIL B の設定については、SEIL A の設定内容
と異なる設定項目には注記してあります。注記の設定内容に従って設定を行ってください。注記のない
151
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
設定項目は SEIL A の設定内容と異なる点はありませんので、SEIL A と同様に設定を行ってください。
※ 本節では説明のため、「10.0.0.0∼10.255.255.255」「172.16.0.0∼172.16.255.255」
までのアドレスをグローバルアドレスとして表現しています。
設計
(1) エリアを決定する
ここでは stub area を使用するかどうか、また、使用するならば no summary を使用するかどう
かを決めます。本項の設定例では stub area を使用しません。
(2) リンクを決定する
ここでは OSPF での通信を行う相手との通信方法を決めます。本節の設定例では、インタフェー
スに相手のルータと接続するインタフェース lan1 を設定し、OSPF 情報の送受信は 送信/受信 共
に行い、認証は行わないものとします。OSPF は、インタフェース lan0 とインタフェース lan1
の両方で有効にします。
(3) SEIL A、SEIL B それぞれのルータ ID を設定する
OSPF で通信を行うそれぞれの SEIL にルータ ID を設定します。ここではそれぞれのアドレス
をルータ ID として割り当てます。
設定の流れ
(1)SEIL A にエリアを設定する
stub area の使用/不使用を設定します。
(2)SEIL A にリンクを設定する
OSPF を有効にするインタフェースと、リンクの属するエリア ID を設定します。
(3)SEIL A に OSPF ルータ ID を設定する
OSPF ルータ ID を設定します。
(4)SEIL A の OSPF を有効にする
設定した OSPF を有効化します。
(5)SEIL A の設定を確認する
設定が正しくなされているか確認します。
(6)SEIL A の設定を保存する
すべての設定を保存します。
設定手順
(1)SEIL A にエリアを設定する
152
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
SEIL A となる SEIL に管理者アカウントでログインし、エリアの設定をします。以下の設定を
行ってください。
設定項目
パラメータ
エリア ID
0.0.0.0
スタブエリア
disable
■ 記述例
¶
³
# route dynamic ospf area add 0.0.0.0 stub disable
µ
´
■ パラメータ解説
route dynamic ospf area add 0.0.0.0
エリア ID として「0.0.0.0」を設定します。
stub disable
続けて、エリアをスタブエリアとしないため「disable」を設定します。
(2)SEIL A にリンクを設定する
次にリンクを追加します。以下の設定を行ってください。インタフェースには unnumbered イ
ンタフェースを指定することも可能です。
設定項目
パラメータ
インタフェース
lan0
リンクの属するエリア ID
0.0.0.0
■ 記述例
¶
³
# route dynamic ospf link add lan0 area 0.0.0.0
µ
´
■ パラメータ解説
route dynamic ospf link add lan0
OSPF を有効にするインタフェースとして「lan0」を設定します。
153
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
area 0.0.0.0
続けて、リンクの属するエリア ID として「0.0.0.0」を設定します。
※ 同様の設定を、LAN1 インタフェースに対しても行ってください。
(3)SEIL A に OSPF ルータ ID を設定する
以下の設定を行ってください。
設定項目
パラメータ
OSPF ルータ ID
10.0.1.1
■ 記述例
¶
³
# route dynamic ospf router-id 10.0.1.1
µ
´
■ パラメータ解説
route dynamic ospf router-id 10.0.1.1
OSPF ルータ ID として「10.0.1.1」を設定します。
※ SEIL B の設定を行う場合、以下の通りとなります。
設定項目
パラメータ
OSPF ルータ ID
10.0.2.2
(4)SEIL A の OSPF を有効にする
以下の設定を行ってください。
設定項目
パラメータ
有効/無効
enable
■ 記述例
¶
³
# route dynamic ospf enable
µ
■ パラメータ解説
route dynamic ospf enable
154
´
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
OSPF を有効にするため「enable」を設定します。
(5)SEIL A の設定を確認する
以上の設定が終了したら、show status コマンドにより、相手ネットワークの経路が来ているか
確認します。詳細はコマンドリファレンスをご覧ください。
■ 記述例
¶
³
# show status route
µ
´
(6)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で、SEIL A 側の OSPF の設定は完了です。
変更した設定内容はバックアップをとっておくことをお勧めします。
■ 7.6.3
複数のルーティングプロトコルを同時に使う
∼経路情報の再配布∼
本節では SEIL を用いて、異なるルーティングを設定した 2 つのネットワーク間で通信を行う場合の
設定例をご説明します。
本節のネットワーク例では、SEIL A 側の LAN には OSPF が使用され、SEIL A、B 間と SEIL B 側の
LAN には RIP を使用しています。
本節での設定例は SEIL A で RIP と OSPF 間の経路情報の再配布を行う例となります。
155
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
SEIL B lan0
192.168.2.1
἟ἕἚὁὊἁB
192.168.2.0/24
SEIL B
SEIL B lan1
192.168.0.2
SEILA lan1
192.168.0.1
RIP
SEIL A
ኺែऴ‫إ‬ϐᣐࠋ
SEIL A lan0
192.168.1.1
OSPF
設定の流れ
(1)SEIL A に再配布 (OSPF → RIP) を設定する
OSPF から RIP への再配布の設定をします。
(2)SEIL A に再配布 (RIP → OSPF) を設定する
RIP から OSPF への再配布の設定をします。
(3)SEIL A の設定を確認する
設定が正しくなされているか確認します。
(4)SEIL A の設定を保存する
すべての設定を保存します。
156
἟ἕἚὁὊἁA
192.168.1.0/24
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
設定手順
(1)SEIL A に再配布 (OSPF → RIP) を設定する
SEIL A となる SEIL に管理者アカウントでログインし、OSPF から RIP への再配布の設定をし
ます。以下の設定を行ってください。
設定項目
パラメータ
再配布のタイプ
ospf-to-rip
有効/無効
enable
■ 記述例
¶
³
# route dynamic redistribute ospf-to-rip enable
µ
´
■ パラメータ解説
route dynamic redistribute ospf-to-rip
OSPF で受信した経路を RIP で配布する設定を行うため、「ospf-to-rip」を設定します。
enable
続けて、設定を有効にするため「enable」を設定します。
(2)SEIL A に再配布 (RIP → OSPF) を設定する
RIP から OSPF への再配布の設定をします。以下の設定を行ってください。
設定項目
パラメータ
再配布のタイプ
rip-to-ospf
有効/無効
enable
■ 記述例
¶
³
# route dynamic redistribute rip-to-ospf enable
µ
´
■ パラメータ解説
route dynamic redistribute rip-to-ospf
157
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
RIP で受信した経路を OSPF で配布する設定を行うため、「rip-to-ospf」を設定します。
enable
続けて、設定を有効にするため「enable」を設定します。
(3)SEIL A の設定を確認する
以上の設定が終了したら、show status コマンドにより経路を確認します。 詳細はコマンドリ
ファレンスをご覧ください。
■ 記述例
¶
³
# show status route
µ
´
(4)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で、SEIL A 側の再配布の設定は完了です。変更した設定内容はバックアップをとっておく
ことをお勧めします。
■ 7.6.4
PIM-SM を利用した IPv4/IPv6 マルチキャストルーティング
本節では、PIM-SM for IPv4/IPv6 を用いたマルチキャストルーティングの設定例をご説明します。
今回の設定例では、インターネット上での接続に SEIL A を用い、SEIL A の lan0/lan1 には IPv6 グ
ローバルアドレスが割り当てられているとします。
インターネット上の他ルータとの間でのマルチキャストルーティングを行うために、PIM-SM を設定
するものとします。
※ 本機は、RP(Rendezvous Point), BSR(Boot Strap Router) には対応していません。
Multicast ネットワーク上に必ず RP, BSR を設置するようにしてください。
158
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
IPv6
Global Address
RP & BSR
Router
IPv6
Global Address
Sender
ỶὅἑὊ἟ἕἚ
IPv6
Global Address
Multicast
Routing
Reciever
SEIL
IPv6
Global Address
設定の流れ
(1)SEIL に PIM-SM を設定する
lan0/lan1 インタフェースにて PIM-SM を設定します。
(2)SEIL の PIM-SM を有効にする
設定した PIM-SM を有効化します。
(3)SEIL の設定を確認する
設定が正しくなされているか確認します。
(4)SEIL の設定を保存する
すべての設定を保存します。
159
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
設定手順
(1)SEIL に PIM-SM を設定する
SEIL に管理者アカウントでログインし、LAN インタフェースに PIM-SM の設定をします。
以下の設定を行ってください。
設定項目
パラメータ
インタフェース
lan0
経路情報の送受信
enable
■ 記述例
¶
³
# route6 dynamic pim-sparse interface lan0 enable
µ
´
■ パラメータ解説
route6 dynamic pim-sparse interface lan0
PIM-SM を使用するインタフェースとして「lan0」を設定します。
enable
続けて、PIM-SM 経路情報の送受信を行うため「enable」を設定します。
LAN1 インタフェースについても、同様に設定を行います。
設定項目
パラメータ
インタフェース
lan1
経路情報の送受信
enable
■ 記述例
¶
³
# route6 dynamic pim-sparse interface lan1 enable
µ
■ パラメータ解説
route6 dynamic pim-sparse interface lan1
PIM-SM を使用するインタフェースとして「lan1」を設定します。
160
´
第 7 章 ネットワークでの利用例
7.6. ルーティングを動的に行う∼動的ルーティングの設定∼
enable
続けて、PIM-SM 経路情報の送受信を行うため「enable」を設定します。
(2)SEIL の PIM-SM を有効にする
以下の設定を行ってください。
設定項目
パラメータ
有効/無効
enable
■ 記述例
¶
³
# route6 dynamic pim-sparse enable
µ
´
■ パラメータ解説
route6 dynamic pim-sparse enable
PIM-SM を有効にするため「enable」を設定します。
(3)SEIL の設定を確認する
以上の設定が終了したら、show status コマンドにより、Multicast グループの経路が来ているか
確認します。詳細はコマンドリファレンスをご覧ください。
■ 記述例
¶
³
# show status route6 dynamic pim-sparse
µ
´
(4)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で SEIL の PIM-SM 設定は完了です。変更した設定内容はバックアップをとっておくことを
お勧めします。
161
第 7 章 ネットワークでの利用例
7.7. 目的別のルーティングを行う
7.7
目的別のルーティングを行う
本節では、CS-SEIL-510/C を用いてルーティングに関する様々な機能を用いる場合の設定例を説明し
ます。
■ 7.7.1
静的経路の監視を行う
SEIL は、静的経路の中継先として指定されたアドレスに対して ping による死活監視を行い、規定条
件に達したときに経路の削除・付加を行うことができます。本節では、この機能を用いて、以下のよう
な構成のネットワークにおいてバックアップ経路への切り替えを自動的に行う設定例を説明します。
以下の構成で、SEIL は通常は「メイン」のルータを経由して通信しているものとし、
「メイン」のルー
タに障害が発生した場合には、死活監視によって「バックアップ」のルータを経由して通信を行うよう
切り替わります。
ỶὅἑὊ἟ἕἚ
ἽὊἑA(ἳỶὅ)
ἂἿὊἢἽỴἛἾἋ
172.16.0.2
ἽὊἑB(ἢἕἁỴἕἩ)
ἂἿὊἢἽỴἛἾἋ
172.16.0.254
ἂἿὊἢἽỴἛἾἋ
172.16.0.1
162
第 7 章 ネットワークでの利用例
7.7. 目的別のルーティングを行う
設定の流れ
(1)ネットワークを設計する
どのような経路を設定し、どのような条件で経路を切り替えるかを決めます。
(2)SEIL にメインへの経路を設定する
メイン側のルータに対する経路設定を行います。
(3)SEIL にバックアップへの経路を設定する
バックアップ側のルータに対する経路設定を行います。
(4)SEIL の設定を確認する
設定が正しくなされているか確認します。
(5)SEIL の設定を保存する
すべての設定を保存します。
設定手順
(1)ネットワークを設計する
次のような経路を設定するものとします。
A.
SEIL のデフォルト経路は通常、メイン側に向ける
B.
メイン側のルータ (172.16.0.2) に対して監視を行う
C. メイン側のルータに障害が発生した場合には、バックアップ側を経由して通信を行う
D.
バックアップ側の経路は通常時は使用しないので、distance を高く設定して優先度を低く
する
(2)SEIL にメインへの経路を設定する
SEIL に管理者アカウントでログインし、メインへの経路を設定します。以下の設定を行ってく
ださい。
設定項目
パラメータ
宛先ネットワーク
default
ゲートウェイ
172.16.0.2
静的経路監視
on
監視パケット送信間隔
10 秒
送信エラー時のダウン検出回数
5回
163
第 7 章 ネットワークでの利用例
7.7. 目的別のルーティングを行う
■ 記述例
¶
³
# route add default 172.16.0.2 kepalive on send-interval 10 down-count 5
µ
´
■ パラメータ解説
route add default 172.16.0.2
デフォルト経路の宛先として「172.16.0.2」を設定します。
keepalive on
続けて、死活監視を有効にするため「keepalive on」を設定します。
send-interval 10
続けて、ping の送信間隔として「10 秒」を設定します。
down-count 5
続けて、ping の送信失敗時にダウンと検出する回数を「5」に設定します。この場合、
10 秒間隔で 5 回連続に ping の送信に失敗した場合、ダウンと検出されることになり
ます。
※ ゲートウェイアドレスと監視先が異なる場合は、「target」パラメータにて監視先アドレスを
指定可能です。「target」パラメータが省略された場合は、ゲートウェイアドレスに対して
ping を送信します。
(3)SEIL にバックアップへの経路を設定する
バックアップ側の経路を設定します。以下の設定を行ってください。
設定項目
パラメータ
宛先ネットワーク
default
ゲートウェイ
172.16.0.254
distance
100
■ 記述例
¶
# route add default 172.16.0.254 distance 100
µ
■ パラメータ解説
route add default 172.16.0.254
バックアップ側デフォルト経路の宛先として「172.16.0.254」を設定します。
164
³
´
第 7 章 ネットワークでの利用例
7.7. 目的別のルーティングを行う
distance 100
続けて、バックアップ側デフォルト経路の distance として「100」を設定します。
(4)SEIL の設定を確認する
メイン側の経路が何らかの原因でダウンすると、ping による死活監視によって経路が削除され
ます。経路が削除された場合には以下のようなログが記録されます。ログを確認するためには
show log コマンドを使用してください。
¶
2 Jan
2 04:11:29
³
notice system lanbackupd: target 172.16.0.2 down.
µ
´
実際にメイン側のデフォルト経路が消えて、バックアップ側のデフォルト経路が経路表に表れて
いることを show status route コマンドにて確認できます。
メイン側の経路が復旧した場合は以下のようなログが記録されます。
¶
2 Jan
2 04:11:29
³
notice system lanbackupd: target 172.16.0.2 up.
µ
´
実際にメイン側のデフォルト経路が復旧し、バックアップ側のデフォルト経路が経路表から削除
されていることを show status route にて確認できます。
(5)SEIL の設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、
¤
¡
[6.3.1 設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
ó–
以上で静的経路監視の設定は完了です。変更した設定内容はバックアップをとっておくことをお
勧めします。
165
第 7 章 ネットワークでの利用例
7.7. 目的別のルーティングを行う
■ 7.7.2
ポリシーベースのルーティングを行う
SEIL では、ルーティングを行う際、経路を決定するポリシーとして送信先のネットワーク以外にも、
任意のポリシーをフィルタによって作成して柔軟に適用することができます。本節では、この機能を用
いて、以下のような構成のネットワークにおいてポリシーベースのルーティングを行う設定を説明し
ます。
ỶὅἑὊ἟ἕἚ
ἽὊἑA
ἂἿὊἢἽỴἛἾἋ
10.0.0.2/24
ἽὊἑB
ἂἿὊἢἽỴἛἾἋ
10.0.0.254/24
WANͨ
ἂἿὊἢἽỴἛἾἋ
10.0.0.1/24
LANͨ἟ἕἚὁὊἁỴἛἾἋ
172.16.0.0/24
設定の流れ
(1)ネットワークを設計する
どのような経路を設定し、どのようなポリシーを適用するかを決めます。
166
第 7 章 ネットワークでの利用例
7.7. 目的別のルーティングを行う
(2)送信元アドレスが 172.16.0.0/24 となっているパケットに対する経路を設定する
適用したポリシーに従い、フィルタの設定を行います。
(3)デフォルトの経路を設定する
適用したポリシーに従い、デフォルト経路の設定を行います。
(4)SEIL の設定を確認する
設定が正しくなされているか確認します。
(5)SEIL の設定を保存する
すべての設定を保存します。
設定手順
(1)ネットワークを設計する
次のような経路を設定するものとします。
A.
SEIL の LAN0 に到達するパケットに対して、送信元アドレスが 172.16.0.0/24 の範囲にあ
るパケットは、ルータ A に転送する
B.
SEIL の LAN0 に到達するパケットに対して、送信元アドレスが 172.16.0.0/24 の範囲に無
いパケットは、ルータ B に転送する
(2)送信元アドレスが 172.16.0.0/24 となっているパケットに対する経路を設定する
SEIL に管理者アカウントでログインし、ポリシーを設定します。以下の設定を行ってください。
設定項目
パラメータ
フィルタ名
routefwd
アクション
forward
インタフェース
lan0
中継先
10.0.0.2(ルータ A)
方向
in
送信元 IP アドレス
172.16.0.0/24
■ 記述例
¶
³
# filter add routefwd action forward 10.0.0.2 src 172.16.0.0/24
direction in interface lan0
µ
´
■ パラメータ解説
filter add routefwd
フィルタ名として「routefwd」を設定します。
167
第 7 章 ネットワークでの利用例
7.7. 目的別のルーティングを行う
action forward 10.0.0.2
続けて、アクションとして、条件に合致したパケットのアクセスを「10.0.0.2」に中継
するよう設定します。
src 172.16.0.0/24
続けて、対象とするパケットの送信元 IP アドレスを「172.16.0.0/24」に含むものとし
て設定します。
direction in
続けて、方向として、対象が内部から外部へのアクセスであるため「in」を設定します。
interface lan0
続けて、インタフェースとして「lan0」を設定します。
(3)デフォルトの経路を設定する
ポリシーに合致しないパケットは、デフォルトの経路に向けて中継するよう設定します。以下の
設定を行ってください。
設定項目
パラメータ
宛先ネットワーク
default
ゲートウェイ
10.0.0.254
■ 記述例
¶
# route add default 10.0.0.254
µ
³
´
■ パラメータ解説
route add default 10.0.0.254
ポリシーに合致しないパケットのデフォルト中継先として「10.0.0.254」を設定し
ます。
(4)SEIL の設定を確認する
ポリシールーティングは、通常の IP ルーティングよりも優先度が高いので、デフォルト経路が
存在しても、172.16.0.0/24 からのパケットはポリシーに従って 192.168.0.2 へ中継されます。
ポリシールーティングで中継されているかどうかの確認は、対向機器にてパケットダンプを行う
か、show status filter にて count の値が増えていることを確認してください。
¶
³
page 1 id policy forward 10.0.0.2 in log on lan0 proto any from
172.16.0.0/24 to any count 6
µ
168
´
第 7 章 ネットワークでの利用例
7.7. 目的別のルーティングを行う
フィルタ設定で logging on を指定した場合には、show log コマンドによりパケット通過の際に
出力されるログを確認することができます。
¶
³
info filter lan0 @1:0[policy] f 172.16.0.1 -> 10.0.0.2 PR icmp type 8
code 0 len 20 84 IN
µ
´
(5)SEIL の設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、
¤
¡
[6.3.1 設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
ó–
以上でポリシーベースのルーティング設定は完了です。変更した設定内容はバックアップをとっ
ておくことをお勧めします。
169
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
7.8 VPN を構築する ∼IPsec の設定∼
遠隔地の事業所間をネットワークで結ぶ際に、通常のインターネットによる接続ではなく直接 LAN
型の接続を行いたい場合があります。
CS-SEIL-510/C は、IPsec 機能を利用した VPN(Virtual Private Network:インターネットを利用し
て仮想的に確立する LAN 型接続)の構築をサポートしています。
■ 7.8.1
ポリシーベース IPsec トンネル
本節では、IKE を使用した VPN の設定方法について、以下のような構成のネットワークを前提にご
説明します。IPv4、IPv6 両方に対応していますが、ここでは IPv4 での設定方法についてご説明します
(IPv4 と IPv6 の設定で異なるのは、アドレスが違う点のみです)。
なお、本節では SEIL A の設定についてご説明します。SEIL B の設定については、SEIL A の設定内容
と異なる設定項目には注記してあります。注記の設定内容に従って設定を行ってください。注記のない
設定項目は SEIL A の設定内容と異なる点はありませんので、SEIL A と同様に設定を行ってください。
170
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
἟ἕἚὁὊἁA
192.168.1.0/24
ἩἻỶἫὊἚỴἛἾἋ
192.168.1.1/24
SEIL A
ἂἿὊἢἽỴἛἾἋ
PPPoEỂѣႎỆл࢘
IPsecἚὅ἟Ἵ
ỶὅἑὊ἟ἕἚ
ἂἿὊἢἽỴἛἾἋ
10.0.2.2
SEIL B
ἩἻỶἫὊἚỴἛἾἋ
192.168.2.1
἟ἕἚὁὊἁB
192.168.2.0/24
※ 本節では説明のため、「10.0.0.0∼10.255.255.255」「172.16.0.0∼172.16.255.255」までの
アドレスをグローバルアドレスとして表現しています。
設計
(1) IKE パラメータを決定する
IKE を使用した設定を行う場合、はじめに通信を行う両側で鍵を交換する条件や、鍵の認証方法等
を合わせる必要があります。特に合わせるべき設定項目としては、プロポーザルにおいて対向ホ
ストを認証するときの方式を指定する認証メソッド、認証アルゴリズム(ハッシュアルゴリズム)
、
暗号化アルゴリズム、そして鍵交換アルゴリズムで用いるパラメータである DH(Diffie-Hellman)
Group があります。認証メソッドには事前共有鍵がサポートされ、認証アルゴリズムには MD5
と SHA1 が、暗号化アルゴリズムには DES、3DES、BLOWFISH、CAST128、AES がサポートさ
れています。なお DH Group においては、Group1(modp768)
、Group2(modp1024)
、Group5
171
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
(modp1536)が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になります
が、計算時間が長くなるという特徴があります。
(2) セキュリティアソシエーションプロポーザルを決定する
ここでは、セキュリティアソシエーションの有効期間を設定するライフタイムの長さ、認証、暗
号化の両アルゴリズムに関してはどのアルゴリズムをどのような優先順位で用いるのか、更に
DH 鍵交換アルゴリズムで用いるパラメータである PFS GROUP にはどれを使用するかを決めま
す。なお PFS GROUP には、Group1(modp768)
、Group2(modp1024)
、Group5(modp1536)
が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が
長くなるという特徴があります。
(3) セキュリティアソシエーションを決定する
IKE を使用した IPsec トンネルを構築する場合に決める必要がある項目は、IPsec のモード、使
用するプロトコル、相手に提示するセキュリティアソシエーションプロポーザルです。ここで
は、モードは tunnel モードを使用し、暗号化プロトコルである ESP を使用するものとします。
また、セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているも
のではなく新たに登録したものを使用するものとします。
(4) セキュリティポリシーを決定する
次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用するかを
決めます。
これをセキュリティポリシーと呼びます。
この例では、192.168.1.0/24 と 192.168.2.0/24 の間のすべてのトラフィックに対して、
先に決めたセキュリティアソシエーションを使用するものとします。
設定の流れ
(1)SEIL A に IKE を設定する
決定した IKE パラメータに従って設定を行います。
(2)SEIL A にセキュリティアソシエーションプロポーザルを設定する
決定したセキュリティアソシエーションプロポーザルに従って設定を行います。
(3)SEIL A にセキュリティアソシエーションを設定する
決定したセキュリティアソシエーションに従って設定を行います。
(4)SEIL A にセキュリティポリシーを設定する
決定したセキュリティアポリシーに従って設定を行います。
(5)SEIL A の設定を確認する
設定が正しくなされているか確認します。
(6)SEIL A の設定を保存する
すべての設定を保存します。
172
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
設定手順
(1)SEIL A に IKE を設定する
決定した IKE パラメータに従って設定を行います。
SEIL A に管理者アカウントでログインし、事前共有鍵を設定します。以下の設定を行ってくだ
さい。
設定項目
パラメータ
識別子
10.0.2.2
鍵文字列
opensesame
■ 記述例
¶
³
# ike preshared-key add 10.0.2.2 opensesame
µ
´
■ パラメータ解説
ike preshared-key add 10.0.2.2 opensesame
事前共有鍵の識別子として「10.0.2.2」を、鍵文字列として「opensesame」を設定します。
※ 事前共有鍵は通信相手が用意したものを設定することになります。あらかじめ通信を行う相
手と相談し、鍵の設定を行ってください。
※ 今回の設定では、SEIL A と SEIL B それぞれに、お互いが用意した鍵を設定します。
※ SEIL B の設定を行う場合、設定は以下の通りです。
設定項目
パラメータ
識別子
10.0.1.1
鍵文字列
opensesame
IKE プロポーザルの設定をします。以下の設定を行ってください。
設定項目
パラメータ
IKE プロポーザル名
ikeprop01
認証メソッド
preshared-key
暗号化アルゴリズム
3des
認証アルゴリズム
sha1
Diffie-Hellman グループ
modp1536
ライフタイム
3600
173
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
■ 記述例
¶
³
# ike proposal add ikeprop01 authentication preshared-key encryption 3des hash
sha1 dh-group modp1536 lifetime-of-time 3600
µ
´
■ パラメータ解説
ike proposal add ikeprop01
IKE プロポーザル名として、「ikeprop01」を設定します。
authentication preshared-key
続けて、認証メソッドとして「preshared-key」を設定します。
encryption 3des hash sha1 dh-group modp1536
続けて、IKE で使用する暗号化アルゴリズムとして「3des」を、
認証アルゴリズムとして「sha1」を設定、Diffie-Hellman グループとして「modp1536」を
設定します。
lifetime-of-time 3600
続けて、IKE セキュリティアソシエーションの有効時間として「3600」(秒)を設定し
ます。
IKE Peer の設定をします。以下の設定を行ってください。
174
設定項目
パラメータ
IKE Peer 名
seilb
モード
main
プロポーザルリスト
ikeprop01
リモート IP アドレス
10.0.2.2
自己識別子
address
相手識別子
address
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
■ 記述例
¶
³
# ike peer add seilb exchange-mode main proposal ikeprop01 address 10.0.2.2
my-identifier address peers-identifier address
µ
´
■ パラメータ解説
ike peer add seilb
IKE Peer 名として、「seilb」を設定します。
exchange-mode main
続けて、フェーズ 1 で使用するモードとして「main」を設定します。
proposal ikeprop01
続けて、プロポーザルリストとして「ikeprop01」を設定します。
address 10.0.2.2
続けて、IKE で使用するリモート IP アドレスとして「10.0.2.2」を設定します。
my-identifier address peers-identifier address
続けて、自己識別子、相手識別子ともに「address」を設定します。
※ SEIL B の設定を行う場合、設定は以下の通りです。
設定項目
パラメータ
IKE Peer 名
seila
モード
main
プロポーザルリスト
ikeprop01
リモート IP アドレス
10.0.1.1
自己識別子
address
相手識別子
address
(2)SEIL A にセキュリティアソシエーションプロポーザルを設定する
IKE の設定が完了したら、セキュリティアソシエーションプロポーザルの設定を行います。以下
の設定を行ってください。
175
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
設定項目
パラメータ
セキュリティアソシエーションプロポーザル名
saprop01
認証アルゴリズム
hmac-sha1、hmac-md5
暗号化アルゴリズム
3des、des
有効時間
3600
PFS グループ
modp768
■ 記述例
¶
³
# ipsec security-association proposal add saprop01 authentication-algorithm
hmac-sha1,hmac-md5 encryption-algorithm 3des,des lifetime-of-time 3600
pfs-group modp768
µ
´
■ パラメータ解説
ipsec security-association proposal add saprop01
セキュリティアソシエーションプロポーザル名として「saprop01」を設定します。
authentication-algorithm hmac-sha1,hmac-md5
encryption-algorithm 3des,des
続けて、AH で使用する認証アルゴリズムとして「hmac-sha1」
「hmac-md5」を、ESP
で使用する暗号化アルゴリズムとして「3des」「des」を設定します。
lifetime-of-time 3600
続けて、IKE 利用時の IPsec セキュリティアソシエーションの有効時間として「3600」
(秒)を設定します。
pfs-group modp768
続けて、PFS グループとして「modp768」を設定します。
(3)SEIL A にセキュリティアソシエーションを設定する
セキュリティアソシエーションプロポーザルの設定が完了したら、セキュリティアソシエーショ
ンの設定を行います。以下の設定を行ってください。
176
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
設定項目
パラメータ
セキュリティアソシエーション名
sa03
IPsec のモード
tunnel
始点 IP アドレス
10.0.1.1
終点 IP アドレス
10.0.2.2
セキュリティアソシエーションプロポーザル名
saprop01
AH
disable
ESP
enable
■ 記述例
¶
³
# ipsec security-association add sa03 tunnel 10.0.1.1 10.0.2.2 ike saprop01
ah disable esp enable
µ
´
■ パラメータ解説
ipsec security-association add sa03
セキュリティアソシエーション名として「sa03」を設定します。
tunnel 10.0.1.1 10.0.2.2
続けて、IPsec に「tunnel」モードを設定します。さらに、IPsec で認証、暗号化を行
う始点 IP アドレスとして「10.0.1.1」を、終点 IP アドレスとして「10.0.2.2」を設定
します。
ike saprop01
続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」
を設定します。
177
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
ah disable esp enable
続けて、AH の使用/不使用は「disable」を、ESP の使用/不使用は「enable」を設定し
ます。
※ SEIL B の設定を行う場合、設定は以下の通りです。
設定項目
パラメータ
セキュリティアソシエーション名
sa03
IPsec のモード
tunnel
始点 IP アドレス
10.0.2.2
終点 IP アドレス
10.0.1.1
セキュリティアソシエーションプロポーザル名
saprop01
AH
disable
ESP
enable
(4)SEIL A にセキュリティポリシーを設定する
セキュリティアソシエーションの設定が完了したら、続いてセキュリティポリシーの設定をしま
す。以下の設定を行ってください。
設定項目
パラメータ
セキュリティポリシー名
sp03
セキュリティアソシエーション名
sa03
送信元 IP アドレス/ネットマスク長
192.168.1.0/24
送信先 IP アドレス/ネットマスク長
192.168.2.0/24
プロトコル
any
有効/無効
enable
■ 記述例
¶
³
# ipsec security-policy add sp03 security-association sa03 src 192.168.1.0/24
dst 192.168.2.0/24 protocol any enable
µ
´
■ パラメータ解説
ipsec security-policy add sp03
セキュリティポリシー名として「sp03」を設定します。
security-association sa03
続けて、対象となるセキュリティアソシエーション名として「sa03」を設定します。
178
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
src 192.168.1.0/24 dst 192.168.2.0/24
続けて、送信元と送信先の IP アドレスを設定します。「src」は送信元 IP アドレスと
ネットマスク長、「dst」は送信先 IP アドレスとネットマスク長を意味します。送信元
IP アドレス/ネットマスク長として「192.168.1.0/24」を、送信先 IP アドレス/ネット
マスク長として「192.168.2.0/24」を設定します。
protocol any
続けて、プロトコルとして、すべてのパケットを対象とするため「any」を設定します。
enable
続けて、設定を有効にするため「enable」を設定します。
※ SEIL B の設定を行う場合、設定は以下の通りです。
設定項目
パラメータ
セキュリティポリシー名
sp03
セキュリティアソシエーション名
sa03
送信元 IP アドレス/ネットマスク長
192.168.2.0/24
送信先 IP アドレス/ネットマスク長
192.168.1.0/24
プロトコル
any
有効/無効
enable
(5)SEIL A の設定を確認する
以上の設定が終了したら、show status コマンドにより IPsec および IKE の動作情報を確認しま
す。詳細はコマンドリファレンスをご覧ください。
¶
³
# show status ipsec
µ
¶
´
³
# show status ike
µ
´
(6)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で、SEIL A 側の IKE とセキュリティアソシエーションプロポーザル、セキュリティアソシ
エーション、セキュリティポリシーの設定は完了です。
変更した設定はバックアップをとっておくことをお勧めします。
179
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
■ 7.8.2
ルーティングベース IPsec トンネル
本節では、IKE を使用したルーティングベース VPN の設定方法について、以下のような構成のネッ
トワークを前提にご説明します。
IPv4、IPv6 両方に対応していますが、ここでは IPv4 での設定方法についてご説明します(IPv4 と
IPv6 の設定で異なるのは、アドレスが違う点のみです)。
本機は IPsec トンネルを lan0 や lan1 と同様のインタフェースとして提供する機能を持っています。
このインタフェースを IPsec インタフェースと呼びます。「 ó– [7.8.1 ポリシーベース IPsec トンネル
¤
¡
£P.170 ¢ ]」の説明では、セキュリティアソシエーションを適用するトラフィックを選択するために、セ
キュリティポリシーを設定する必要がありました。IPsec インタフェースを利用した場合には、セキュ
リティアソシエーションを適用するトラフィックを本機のルーティング機能により選択します。これに
より、より柔軟な VPN の構築・運用が可能となります。
¤
¡
本機のルーティング機能の詳細については「 ó– [6.2.3 ルーティング £P.46 ¢ ]」をご覧ください。
180
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
἟ἕἚὁὊἁA
192.168.1.0/24
ἩἻỶἫὊἚỴἛἾἋ
192.168.1.1/24
SEIL A
ἂἿὊἢἽỴἛἾἋ
10.0.1.1
IPsecἚὅ἟Ἵ
ἂἿὊἢἽỴἛἾἋ
10.0.2.2
ỶὅἑὊ἟ἕἚ
ἂἿὊἢἽỴἛἾἋ
10.0.3.1
SEIL B
SEIL C
ἩἻỶἫὊἚỴἛἾἋ
192.168.3.1
ἩἻỶἫὊἚỴἛἾἋ
192.168.2.1
἟ἕἚὁὊἁC
192.168.3.0/24
἟ἕἚὁὊἁB
192.168.2.0/24
※ ルーティングベース IPsec トンネルはポリシーベース IPsec トンネルに比べて
多くのリソースを必要とするため、パフォーマンスが低下する可能性があります。
なお、本節では SEIL A の設定についてご説明します。SEIL B,SEIL C の設定については、SEIL A の
設定内容と異なる設定項目には注記してあります。注記の設定内容に従って設定を行ってください。注
記のない設定項目は SEIL A の設定内容と異なる点はありませんので、SEIL A と同様に設定を行ってく
ださい。
※ 本節では説明のため、
「10.0.0.0∼10.255.255.255」までのアドレスをグローバルアドレスとして
表現しています。
181
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
設計
(1) 使用する IPsec インタフェースを決定する
ルーティングベース IPsec トンネルを使用する場合、はじめに IPsec トンネルを提供する
IPsec インタフェースを決定します。
本機は ipsec0 から ipsec63 までの 64 個の IPsec インタフェースを持っています。
各インタフェースに機能上の違いはありません。
IPsec インタフェースを利用するためには、IPsec トンネルの両端のアドレスと
IPsec インタフェースに割り当てるアドレスを設定する必要があります。
ここでは、SEIL A と SEIL B、SEIL A と SEIL C、SEIL B と SEIL C の間でそれぞれ IPsec トン
ネルを構築するものとします。
この例では、SEIL A、SEIL B、SEIL C それぞれで以下の IPsec インタフェースを使用するもの
とします。
SEIL A で使用する IPsec インタフェース
接続相手
IPsec インタフェース名
SEIL B
ipsec0
SEIL C
ipsec1
SEIL B で使用する IPsec インタフェース
接続相手
IPsec インタフェース名
SEIL A
ipsec0
SEIL C
ipsec1
SEIL C で使用する IPsec インタフェース
接続相手
IPsec インタフェース名
SEIL A
ipsec0
SEIL B
ipsec1
それぞれの IPsec インタフェースでは、以下のアドレスで IPsec トンネルを構築するものとし
ます。
SEIL A の IPsec トンネルの両端アドレス
IPsec インタフェース名
ローカル側
リモート側
ipsec0
10.0.1.1
10.0.2.2
ipsec1
10.0.1.1
10.0.3.3
SEIL B の IPsec トンネルの両端アドレス
182
IPsec インタフェース名
ローカル側
リモート側
ipsec0
10.0.2.2
10.0.1.1
ipsec1
10.0.2.2
10.0.3.3
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
SEIL C の IPsec トンネルの両端アドレス
IPsec インタフェース名
ローカル側
リモート側
ipsec0
10.0.3.3
10.0.1.1
ipsec1
10.0.3.3
10.0.2.2
各 IPsec インタフェースでは、以下のようにアドレスを割り当てるものとします。
SEIL A の IPsec インタフェースのアドレス
IPsec インタフェース名
ローカル側
リモート側
ipsec0
192.168.10.1
192.168.10.2
ipsec1
192.168.20.1
192.168.20.3
SEIL B の IPsec インタフェースのアドレス
IPsec インタフェース名
ローカル側
リモート側
ipsec0
192.168.10.2
192.168.10.1
ipsec1
192.168.30.2
192.168.30.3
SEIL C の IPsec インタフェースのアドレス
IPsec インタフェース名
ローカル側
リモート側
ipsec0
192.168.20.3
192.168.20.1
ipsec1
192.168.30.3
192.168.30.2
(2) IKE パラメータを決定する
IKE を使用した設定を行う場合、はじめに通信を行う両側で鍵を交換する条件や、鍵の認証方法
等を合わせる必要があります。
特に合わせるべき設定項目としては、ルーティングベース IPsec トンネルの利用の指定、プロ
ポーザルにおいて対向ホストを認証するときの方式を指定する認証メソッド、認証アルゴリズム
(ハッシュアルゴリズム)
、暗号化アルゴリズム、そして Diffie-Hellman (DH) 鍵交換アルゴリズム
で用いるパラメータである DH Group があります。
認証メソッドには事前共有鍵がサポートされ、認証アルゴリズムには MD5 と SHA1 が、暗号化
アルゴリズムには DES、3DES、BLOWFISH、CAST128、AES がサポートされています。
なお DH Group においては、Group1(modp768)
、Group2(modp1024)
、Group5(modp1536)
が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が
長くなるという特徴があります。
(3) セキュリティアソシエーションプロポーザルを決定する
ここでは、セキュリティアソシエーションの有効期間を設定するライフタイムの長さ、認証、暗
号化の両アルゴリズムに関してはどのアルゴリズムをどのような優先順位で用いるのか、更に
DH 鍵交換アルゴリズムで用いるパラメータである PFS GROUP にはどれを使用するかを決め
ます。
なお PFS GROUP には、Group1(modp768)
、Group2(modp1024)
、Group5(modp1536)が
用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が長
くなるという特徴があります。
183
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
(4) セキュリティアソシエーションを決定する
ルーティングベース IPsec トンネルを使用する場合に決める必要がある項目は、使用する IPsec
インタフェース、使用するプロトコルと相手に提示するセキュリティアソシエーションプロポー
ザルです。ここでは、IPsec インタフェースは ipsec0 および ipsec1 を使用し、暗号化プロトコ
ルである ESP を使用するものとします。
また、セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているも
のではなく新たに登録したものを使用するものとします。
(5) ルーティング方式を決定する
次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用するかを
決めます。
この例では、SEIL A と SEIL B、SEIL A と SEIL C、SEIL B と SEIL C との間でそれぞれ IPsec
トンネルを構築し、RIP によりプライベートネットワークの経路情報を交換するものとします。
これにより、何らかの理由で IPsec トンネルのどれか一つが使用できなくなった場合でも、RIP
により自動的に迂回経路が選択され、プライベートネットワーク間の通信が遮断されることがな
くなります。
最適なルーティング方式はネットワーク構成により大きく異なります。詳しくは、「
¤
¡
ルーティング £P.46 ¢ ]」をご覧ください。
設定の流れ
(1)SEIL A の IPsec インタフェースを設定する
決定した IPsec インタフェースを使用するように設定を行います。
(2)SEIL A に IKE を設定する
決定した IKE パラメータに従って設定を行います。
(3)SEIL A にセキュリティアソシエーションプロポーザルを設定する
決定したセキュリティアソシエーションプロポーザルに従って設定を行います。
(4)SEIL A にセキュリティアソシエーションを設定する
決定したセキュリティアソシエーションに従って設定を行います。
(5)SEIL A にルーティングを設定する
決定したルーティング方式に従って設定を行います。
(6)SEIL A の設定を確認する
設定が正しくなされているか確認します。
(7)SEIL A の設定を保存する
すべての設定を保存します。
184
ó–
[6.2.3
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
設定手順
(1)SEIL A の IPsec インタフェースを設定する
SEIL A に管理者アカウントでログインし、SEIL B との間に構築する IPsec トンネルの両端のア
ドレスを設定します。以下の設定を行ってください。
設定項目
パラメータ
IPsec インタフェース名
ipsec0
トンネルの始点アドレス
10.0.1.1
トンネルの終点アドレス
10.0.2.2
■ 記述例
¶
³
# interface ipsec0 tunnel 10.0.1.1 10.0.2.2
µ
´
■ パラメータ解説
interface ipsec0 tunnel 10.0.1.1 10.0.2.2
ipsec0 インタフェースを利用して、アドレス「10.0.1.1」とアドレス「10.0.2.2」の間で
IPsec トンネルを構築します。
SEIL C との間に構築する IPsec トンネルの両端のアドレスを設定します。以下の設定を行って
ください。
設定項目
パラメータ
IPsec インタフェース名
ipsec1
トンネルの始点アドレス
10.0.1.1
トンネルの終点アドレス
10.0.3.3
■ 記述例
¶
³
# interface ipsec1 tunnel 10.0.1.1 10.0.3.3
µ
´
■ パラメータ解説
interface ipsec1 tunnel 10.0.1.1 10.0.3.3
185
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
ipsec1 インタフェースを利用して、アドレス「10.0.1.1」とアドレス「10.0.3.3」の間で
IPsec トンネルを構築します。
ipsec0 インタフェースのアドレスを設定します。以下の設定を行ってください。
設定項目
パラメータ
IPsec インタフェース名
ipsec0
ローカルアドレス
192.168.10.1/30
リモートアドレス
192.168.10.2
■ 記述例
¶
³
# interface ipsec0 address 192.168.10.1/30 remote 192.168.10.2
µ
´
■ パラメータ解説
interface ipsec0 address 192.168.10.1/30
ipsec0 インタフェースのローカルアドレス(SEIL A のアドレス)を「192.168.10.1」に
設定します。同時に、ネットマスク長として「30」を割り当てます。
remote 192.168.10.2
ipsec0 インタフェースのリモートアドレス(SEIL B のアドレス)を「192.168.10.2」
に設定します。リモートアドレスにはネットマスク長の指定は必要ありません。
ipsec1 インタフェースのアドレスを設定します。以下の設定を行ってください。
設定項目
パラメータ
IPsec インタフェース名
ipsec1
ローカルアドレス
192.168.20.1/30
リモートアドレス
192.168.20.3
■ 記述例
¶
³
# interface ipsec1 address 192.168.20.1/30 remote 192.168.20.3
µ
■ パラメータ解説
interface ipsec1 address 192.168.20.1/30
186
´
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
ipsec1 インタフェースのローカルアドレス(SEIL A のアドレス)を「192.168.20.1」に
設定します。
同時に、ネットマスク長として「30」を割り当てます。
remote 192.168.20.3
ipsec1 インタフェースのリモートアドレス(SEIL C のアドレス)を「192.168.20.3」に
設定します。
リモートアドレスにはネットマスク長の指定は必要ありません。
※ SEIL B の設定を行う場合、設定は以下の通りです。
設定項目
パラメータ
IPsec インタフェース名
ipsec0
トンネルの始点アドレス
10.0.2.2
トンネルの終点アドレス
10.0.1.1
設定項目
パラメータ
IPsec インタフェース名
ipsec1
トンネルの始点アドレス
10.0.2.2
トンネルの終点アドレス
10.0.3.3
設定項目
パラメータ
IPsec インタフェース名
ipsec0
ローカルアドレス
192.168.10.2/30
リモートアドレス
192.168.10.1
設定項目
パラメータ
IPsec インタフェース名
ipsec1
ローカルアドレス
192.168.30.2/30
リモートアドレス
192.168.30.3
※ SEIL C の設定を行う場合、設定は以下の通りです。
設定項目
パラメータ
IPsec インタフェース名
ipsec0
トンネルの始点アドレス
10.0.3.3
トンネルの終点アドレス
10.0.1.1
187
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
設定項目
パラメータ
IPsec インタフェース名
ipsec1
トンネルの始点アドレス
10.0.3.3
トンネルの終点アドレス
10.0.2.2
設定項目
パラメータ
IPsec インタフェース名
ipsec0
ローカルアドレス
192.168.20.3/30
リモートアドレス
192.168.20.1
設定項目
パラメータ
IPsec インタフェース名
ipsec1
ローカルアドレス
192.168.30.3/30
リモートアドレス
192.168.30.2
(2)SEIL A に IKE を設定する
決定した IKE パラメータに従って設定を行います。IKE パラメータは SEIL B、SEIL C それぞれ
について必要です。
SEIL B と通信するための設定を行います。以下の設定を行ってください。
設定項目
パラメータ
識別子
10.0.2.2
鍵文字列
opensesame-b
■ 記述例
¶
³
# ike preshared-key add 10.0.2.2 opensesame-b
µ
´
■ パラメータ解説
ike preshared-key add 10.0.2.2 opensesame-b
事前共有鍵の識別子として「10.0.2.2」を、鍵文字列として「opensesame-b」を設定し
ます。
SEIL C と通信するための設定を行います。以下の設定を行ってください。
188
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
設定項目
パラメータ
識別子
10.0.3.3
鍵文字列
opensesame-c
■ 記述例
¶
³
# ike preshared-key add 10.0.3.3 opensesame-c
µ
´
■ パラメータ解説
ike preshared-key add 10.0.3.3 opensesame-c
事前共有鍵の識別子として「10.0.3.3」を、鍵文字列として「opensesame-c」を設定し
ます。
※ 事前共有鍵は通信相手が用意したものを設定することになります。あらかじめ通信を行う相
手と相談し、鍵の設定を行ってください。
※ 今回の設定では、SEIL A と SEIL B それぞれに、お互いが用意した鍵を設定します。
※ ここでは、簡単のため事前共有鍵にごく簡単な文字列を用いていますが、セキュリティ上、
事前共有鍵は他者に推測し難い文字列を利用してください。また、SEIL B と SEIL C とで、
全く違う文字列を事前共有鍵として採用することをお勧めします。
※ SEIL B の設定を行う場合、設定は以下の通りです。
設定項目
パラメータ
識別子
10.0.1.1
鍵文字列
opensesame-b
設定項目
パラメータ
識別子
10.0.3.3
鍵文字列
opensesame-c
※ SEIL C の設定を行う場合、設定は以下の通りです。
設定項目
パラメータ
識別子
10.0.1.1
鍵文字列
opensesame-c
設定項目
パラメータ
識別子
10.0.2.2
鍵文字列
opensesame-b
189
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
IKE プロポーザルの設定をします。ここでは、SEIL B、SEIL C ともに同じ IKE プロポーザルを
利用するので、IKE プロポーザルは一つだけ設定します。以下の設定を行ってください。
設定項目
パラメータ
IKE プロポーザル名
ikeprop01
認証メソッド
preshared-key
暗号化アルゴリズム
3des
認証アルゴリズム
sha1
Diffie-Hellman グループ
modp1536
ライフタイム
3600
■ 記述例
¶
³
# ike proposal add ikeprop01 authentication preshared-key encryption 3des
hash sha1 dh-group modp1536 lifetime-of-time 3600
µ
´
■ パラメータ解説
ike proposal add ikeprop01
IKE プロポーザル名として、「ikeprop01」を設定します。
authentication preshared-key
続けて、認証メソッドとして「preshared-key」を設定します。
encryption 3des hash sha1 dh-group modp1536
続けて、IKE で使用する暗号化アルゴリズムとして「3des」を、認証アルゴリズムと
して「sha1」を設定、Diffie-Hellman グループとして「modp1536」を設定します。
lifetime-of-time 3600
続けて、IKE セキュリティアソシエーションの有効時間として「3600」
(秒)を設定し
ます。
IKE Peer の設定をします。SEIL B, SEIL C それぞれに対する設定が必要です。
SEIL B に対する IKE Peer の設定を行います。以下の設定を行ってください。
190
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
設定項目
パラメータ
IKE Peer 名
seilb
モード
main
プロポーザルリスト
ikeprop01
リモート IP アドレス
10.0.2.2
自己識別子
address
相手識別子
address
ルーティングベース IPsec トンネル
有効
■ 記述例
¶
³
# ike peer add seilb exchange-mode main proposal ikeprop01 address 10.0.2.2
my-identifier address peers-identifier address tunnel-interface enable
µ
´
■ パラメータ解説
ike peer add seilb
IKE Peer 名として、「seilb」を設定します。
exchange-mode main
続けて、フェーズ 1 で使用するモードとして「main」を設定します。
proposal ikeprop01
続けて、プロポーザルリストとして「ikeprop01」を設定します。
address 10.0.2.2
続けて、IKE で使用するリモート IP アドレスとして「10.0.2.2」を設定します。
my-identifier address peers-identifier address
続けて、自己識別子、相手識別子ともに「address」を設定します。
tunnel-interface enable
続けて、ルーティングベース IPsec トンネルを有効にします。
SEIL C に対する IKE Peer の設定を行います。以下の設定を行ってください。
191
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
設定項目
パラメータ
IKE Peer 名
seilc
モード
main
プロポーザルリスト
ikeprop01
リモート IP アドレス
10.0.3.3
自己識別子
address
相手識別子
address
ルーティングベース IPsec トンネル
有効
■ 記述例
¶
³
# ike peer add seilc exchange-mode main proposal ikeprop01 address 10.0.3.3
my-identifier address peers-identifier address tunnel-interface enable
µ
´
■ パラメータ解説
ike peer add seilc
IKE Peer 名として、「seilc」を設定します。
exchange-mode main
続けて、フェーズ 1 で使用するモードとして「main」を設定します。
proposal ikeprop01
続けて、プロポーザルリストとして「ikeprop01」を設定します。
address 10.0.3.3
続けて、IKE で使用するリモート IP アドレスとして「10.0.3.3」を設定します。
my-identifier address peers-identifier address
続けて、自己識別子、相手識別子ともに「address」を設定します。
192
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
tunnel-interface enable
続けて、ルーティングベース IPsec トンネルを有効にします。
※ SEIL B の設定を行う場合、設定は以下の通りです。
設定項目
パラメータ
IKE Peer 名
seila
モード
main
プロポーザルリスト
ikeprop01
リモート IP アドレス
10.0.1.1
自己識別子
address
相手識別子
address
ルーティングベース IPsec トンネル
有効
設定項目
パラメータ
IKE Peer 名
seilc
モード
main
プロポーザルリスト
ikeprop01
リモート IP アドレス
10.0.3.3
自己識別子
address
相手識別子
address
ルーティングベース IPsec トンネル
有効
※ SEIL C の設定を行う場合、設定は以下の通りです。
設定項目
パラメータ
IKE Peer 名
seila
モード
main
プロポーザルリスト
ikeprop01
リモート IP アドレス
10.0.1.1
自己識別子
address
相手識別子
address
ルーティングベース IPsec トンネル
有効
193
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
設定項目
パラメータ
IKE Peer 名
seilb
モード
main
プロポーザルリスト
ikeprop01
リモート IP アドレス
10.0.2.2
自己識別子
address
相手識別子
address
ルーティングベース IPsec トンネル
有効
(3)SEIL A にセキュリティアソシエーションプロポーザルを設定する
IKE の設定が完了したら、セキュリティアソシエーションプロポーザルの設定を行います。ここ
では、SEIL B、SEIL C ともに同じセキュリティアソシエーションプロポーザルを利用するので、
セキュリティアソシエーションプロポーザルは一つだけ設定します。以下の設定を行ってくだ
さい。
設定項目
パラメータ
セキュリティアソシエーションプロポーザル名
saprop01
認証アルゴリズム
hmac-sha1、hmac-md5
暗号化アルゴリズム
3des、des
有効時間
3600
PFS グループ
modp768
■ 記述例
¶
³
# ipsec security-association proposal add saprop01
authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des
lifetime-of-time 3600 pfs-group modp768
µ
´
■ パラメータ解説
ipsec security-association proposal add saprop01
セキュリティアソシエーションプロポーザル名として「saprop01」を設定します。
authentication-algorithm hmac-sha1,hmac-md5
encryption-algorithm 3des,des
続けて、AH で使用する認証アルゴリズムとして「hmac-sha1」
「hmac-md5」を、ESP
で使用する暗号化アルゴリズムとして「3des」「des」を設定します。
194
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
lifetime-of-time 3600
続けて、IKE 利用時の IPsec セキュリティアソシエーションの有効時間として「3600」
(秒)を設定します。
pfs-group modp768
続けて、PFS グループとして「modp768」を設定します。
(4)SEIL A にセキュリティアソシエーションを設定する
セキュリティアソシエーションプロポーザルの設定が完了したら、セキュリティアソシエーショ
ンの設定を行います。セキュリティアソシエーションは SEIL B、SEIL C それぞれについて必要
です。
SEIL B に対するセキュリティアソシエーションの設定を行います。以下の設定を行ってくだ
さい。
設定項目
パラメータ
セキュリティアソシエーション名
sa03
IPsec のモード
tunnel-interface
IPsec インタフェース名
ipsec0
セキュリティアソシエーションプロポーザル名
saprop01
AH
disable
ESP
enable
■ 記述例
¶
³
# ipsec security-association add sa03 tunnel-interface ipsec0 ike saprop01
ah disable esp enable
µ
´
■ パラメータ解説
ipsec security-association add sa03
セキュリティアソシエーション名として「sa03」を設定します。
tunnel-interface ipsec0
続けて、IPsec に「tunnel-interface」モードを設定します。これは IPsec インタフェー
スを利用して、IPsec トンネルを構築することを意味します。さらに、利用する IPsec
インタフェースとして「ipsec0」を設定します。
195
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
ike saprop01
続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」
を設定します。
ah disable esp enable
続けて、AH の使用/不使用は「disable」を、ESP の使用/不使用は「enable」を設定し
ます。
SEIL C に対するセキュリティアソシエーションの設定を行います。以下の設定を行ってくだ
さい。
設定項目
パラメータ
セキュリティアソシエーション名
sa04
IPsec のモード
tunnel-interface
IPsec インタフェース名
ipsec1
セキュリティアソシエーションプロポーザル名
saprop01
AH
disable
ESP
enable
■ 記述例
¶
³
# ipsec security-association add sa04 tunnel-interface ipsec1 ike saprop01
ah disable esp enable
µ
´
■ パラメータ解説
ipsec security-association add sa04
セキュリティアソシエーション名として「sa04」を設定します。
tunnel-interface ipsec1
続けて、IPsec に「tunnel-interface」モードを設定します。これは IPsec インタフェー
スを利用して、IPsec トンネルを構築することを意味します。さらに、利用する IPsec
インタフェースとして「ipsec1」を設定します。
ike saprop01
続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」
を設定します。
196
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
ah disable esp enable
続けて、AH の使用/不使用は「disable」を、ESP の使用/不使用は「enable」を設定し
ます。
※ SEIL B の設定を行う場合、設定は以下の通りです。
設定項目
パラメータ
セキュリティアソシエーション名
sa03
IPsec のモード
tunnel-interface
IPsec インタフェース名
ipsec0
セキュリティアソシエーションプロポーザル名
saprop01
AH
disable
ESP
enable
設定項目
パラメータ
セキュリティアソシエーション名
sa05
IPsec のモード
tunnel-interface
IPsec インタフェース名
ipsec1
セキュリティアソシエーションプロポーザル名
saprop01
AH
disable
ESP
enable
※ SEIL C の設定を行う場合、設定は以下の通りです。
設定項目
パラメータ
セキュリティアソシエーション名
sa04
IPsec のモード
tunnel-interface
IPsec インタフェース名
ipsec0
セキュリティアソシエーションプロポーザル名
saprop01
AH
disable
ESP
enable
設定項目
パラメータ
セキュリティアソシエーション名
sa05
IPsec のモード
tunnel-interface
IPsec インタフェース名
ipsec1
セキュリティアソシエーションプロポーザル名
saprop01
AH
disable
ESP
enable
197
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
(5)SEIL A にルーティングの設定をする
セキュリティアソシエーションの設定が完了したら、続いてルーティングの設定をします。ここ
では、RIP による動的ルーティングを行います。
RIP による動的ルーティングを有効にします。以下の設定を行ってください。
設定項目
パラメータ
ルーティングプロトコル
rip
有効/無効
enable
■ 記述例
¶
³
# route dynamic rip enable
µ
´
■ パラメータ解説
route dynamic rip enable
RIP による動的ルーティングを有効にします。
RIP による動的ルーティングの対象に ipsec0 インタフェースを加えます。以下の設定を行って
ください。
設定項目
パラメータ
ルーティングプロトコル
rip
対象とするインタフェース名
ipsec0
有効/無効
enable
■ 記述例
¶
³
# route dynamic rip interface ipsec0 enable
µ
■ パラメータ解説
route dynamic rip
RIP による動的ルーティングの設定を行います。
198
´
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
interface ipsec0 enable
ipsec0 インタフェースを動的ルーティングの対象に加えます。
RIP による動的ルーティングの対象に ipsec1 インタフェースを加えます。以下の設定を行って
ください。
設定項目
パラメータ
ルーティングプロトコル
rip
対象とするインタフェース名
ipsec1
有効/無効
enable
■ 記述例
¶
³
# route dynamic rip interface ipsec1 enable
µ
´
■ パラメータ解説
route dynamic rip
RIP による動的ルーティングの設定を行います。
interface ipsec1 enable
ipsec1 インタフェースを動的ルーティングの対象に加えます。
(6)SEIL A の設定を確認する
以上の設定が終了したら、show status コマンドにより IPsec および IKE の動作情報を確認しま
す。詳細はコマンドリファレンスをご覧ください。
¶
³
# show status ipsec
µ
¶
´
³
# show status ike
µ
´
(7)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
199
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
以上で、SEIL A 側の IKE とセキュリティアソシエーションプロポーザル、セキュリティアソシ
エーション、ルーティングの設定は完了です。変更した設定はバックアップをとっておくことを
お勧めします。
200
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
■ 7.8.3
自アドレスが動的 IP アドレスの場合
本節では、動的 IP アドレスを使用した VPN の設定方法について、以下のような構成のネットワーク
を前提にご説明します。本機はインタフェースに付与されているアドレスを取得して、自動的に IPsec
トンネルを構築する機能を持っています。これにより、動的 IP アドレスを使用している場合であって
も、アドレスの変更に追従して IPsec トンネルを構築しなおすことが可能です。
IPv4、IPv6 両方に対応していますが、ここでは IPv4 での設定方法についてご説明します(IPv4 と
IPv6 の設定で異なるのは、アドレスが違う点のみです)。
なお、本節では SEIL A の設定についてご説明します。SEIL B の設定については、
「 ó– [7.8.4 動的
¤
¡
IP アドレスからの接続を受け付ける場合 £P.210 ¢ ]」をご覧ください。
἟ἕἚὁὊἁA
192.168.1.0/24
ἩἻỶἫὊἚỴἛἾἋ
192.168.1.1/24
SEIL A
ἂἿὊἢἽỴἛἾἋ
PPPoEỂѣႎỆл࢘
IPsecἚὅ἟Ἵ
ỶὅἑὊ἟ἕἚ
ἂἿὊἢἽỴἛἾἋ
10.0.2.2
SEIL B
ἩἻỶἫὊἚỴἛἾἋ
192.168.2.1
἟ἕἚὁὊἁB
192.168.2.0/24
201
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
設計
(1) IKE パラメータを決定する
IKE を使用した設定を行う場合、はじめに通信を行う両側で鍵を交換する条件や、鍵の認証方法
等を合わせる必要があります。
特に合わせるべき設定項目としては、プロポーザルの交換モード、対向ホストの識別子、プロ
ポーザルにおいて対向ホストを認証するときの方式を指定する認証メソッド、認証アルゴリズム
(ハッシュアルゴリズム)、暗号化アルゴリズム、そして鍵交換アルゴリズムで用いるパラメータ
である DH Group があります。
交換モードは、動的 IP アドレスを利用する場合は aggressive モードを選択する必要があります。
これは main モードは IP アドレスで接続相手を識別するため、動的 IP アドレスを利用した場合
には適切に接続相手を識別できなくなるためです。
同様の理由から、対向ホストの識別子は FQDN または USER-FQDN を選択する必要があります。
認証メソッドには事前共有鍵がサポートされ、認証アルゴリズムには MD5 と SHA1 が、暗号化
アルゴリズムには DES、3DES、BLOWFISH、CAST128、AES がサポートされています。
なお DH Group においては、Group1(modp768)
、Group2(modp1024)
、Group5(modp1536)
が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が
長くなるという特徴があります。
(2) セキュリティアソシエーションプロポーザルを決定する
ここでは、セキュリティアソシエーションの有効期間を設定するライフタイムの長さ、認証、暗
号化の両アルゴリズムに関してはどのアルゴリズムをどのような優先順位で用いるのか、更に
DH 鍵交換アルゴリズムで用いるパラメータである PFS GROUP にはどれを使用するかを決め
ます。
なお PFS GROUP には、Group1(modp768)
、Group2(modp1024)
、Group5(modp1536)が
用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が長
くなるという特徴があります。
(3) セキュリティアソシエーションを決定する
動的 IP アドレスを利用して IPsec トンネルを構築するためには、どのインタフェースのアドレ
スを利用して IPsec トンネルを構築するかを決める必要があります。
さらに、IKE を使用するために、使用するプロトコルと相手に提示するセキュリティアソシエー
ションプロポーザルを決める必要があります。
ここでは、pppoe0 インタフェースのアドレスを利用して IPsec トンネルを構築するものとしま
す。モードは tunnel モードを使用し、暗号化プロトコルである ESP を使用するものとします。
セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているものでは
なく新たに登録したものを使用するものとします。
(4) セキュリティポリシーを決定する
次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用す
るかを決めます。これをセキュリティポリシーと呼びます。この例では、192.168.1.0/24 と
192.168.2.0/24 の間のすべてのトラフィックに対して、先に決めたセキュリティアソシエーショ
202
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
ンを使用するものとします。
設定の流れ
(1)SEIL A に IKE を設定する
決定した IKE パラメータに従って設定を行います。
(2)SEIL A にセキュリティアソシエーションプロポーザルを設定する
決定したセキュリティアソシエーションプロポーザルに従って設定を行います。
(3)SEIL A にセキュリティアソシエーションを設定する
決定したセキュリティアソシエーションに従って設定を行います。
(4)SEIL A にセキュリティポリシーを設定する
決定したセキュリティアポリシーに従って設定を行います。
(5)SEIL A の設定を確認する
設定が正しくなされているか確認します。
(6)SEIL A の設定を保存する
すべての設定を保存します。
設定手順
(1)SEIL A に IKE を設定する
決定した IKE パラメータに従って設定を行います。
SEIL A に管理者アカウントでログインし、事前共有鍵を設定します。以下の設定を行ってくだ
さい。
設定項目
パラメータ
識別子
seila.seil.jp
鍵文字列
opensesame
■ 記述例
¶
³
# ike preshared-key add seila.seil.jp opensesame
µ
´
■ パラメータ解説
ike preshared-key add seila.seil.jp opensesame
203
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
事前共有鍵の識別子として「seila.seil.jp」を、鍵文字列として「opensesame」を設定し
ます。
※ 事前共有鍵は通信相手が用意したものを設定することになります。あらかじめ通信を行う相
手と相談し、鍵の設定を行ってください。
※ 今回の設定では、SEIL A と SEIL B それぞれに、お互いが用意した鍵を設定します。
IKE プロポーザルの設定をします。以下の設定を行ってください。
設定項目
パラメータ
IKE プロポーザル名
ikeprop01
認証メソッド
preshared-key
暗号化アルゴリズム
3des
認証アルゴリズム
sha1
Diffie-Hellman グループ
modp1536
ライフタイム
3600
■ 記述例
¶
³
# ike proposal add ikeprop01 authentication preshared-key encryption 3des
hash sha1 dh-group modp1536 lifetime-of-time 3600
µ
´
■ パラメータ解説
ike proposal add ikeprop01
IKE プロポーザル名として、「ikeprop01」を設定します。
authentication preshared-key
続けて、認証メソッドとして「preshared-key」を設定します。
encryption 3des hash sha1 dh-group modp1536
続けて、IKE で使用する暗号化アルゴリズムとして「3des」を、認証アルゴリズムと
して「sha1」を設定、Diffie-Hellman グループとして「modp1536」を設定します。
lifetime-of-time 3600
続けて、IKE セキュリティアソシエーションの有効時間として「3600」
(秒)を設定し
ます。
IKE Peer の設定をします。以下の設定を行ってください。
204
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
設定項目
パラメータ
IKE Peer 名
seilb
モード
aggressive
プロポーザルリスト
ikeprop01
リモート IP アドレス
10.0.2.2
自己識別子
fqdn seila.seil.jp
■ 記述例
¶
³
# ike peer add seilb exchange-mode aggressive proposal ikeprop01
address 10.0.2.2 my-identifier fqdn seila.seil.jp
µ
´
■ パラメータ解説
ike peer add seilb
IKE Peer 名として、「seilb」を設定します。
exchange-mode aggressive
続けて、フェーズ 1 で使用するモードとして「aggressive」を設定します。
proposal ikeprop01
続けて、プロポーザルリストとして「ikeprop01」を設定します。
address 10.0.2.2
続けて、IKE で使用するリモート IP アドレスとして「10.0.2.2」を設定します。
my-identifier fqdn seila.seil.jp
続けて、自己識別子の種別としてに「fqdn」を設定します。
さらに、自己識別子として「seila.seil.jp」を設定します。
※ 交換モードを aggressive にした場合、動的 IP アドレスであっても IPsec トンネルの構築が
可能になりますが、
aggressive モードではセキュリティは低下します。この設定を行う場合、事前共有鍵の管理
には特に気をつけてください。
205
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
固定 IP アドレスを利用できる場合は、交換モードは main モードを選択することを強くお勧
めします。
(2)SEIL A にセキュリティアソシエーションプロポーザルを設定する
IKE の設定が完了したら、セキュリティアソシエーションプロポーザルの設定を行います。以下
の設定を行ってください。
設定項目
パラメータ
セキュリティアソシエーションプロポーザル名
saprop01
認証アルゴリズム
hmac-sha1、hmac-md5
暗号化アルゴリズム
3des、des
有効時間
3600
PFS グループ
modp768
■ 記述例
¶
³
# ipsec security-association proposal add saprop01
authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des
lifetime-of-time 3600 pfs-group modp768
µ
´
■ パラメータ解説
ipsec security-association proposal add saprop01
セキュリティアソシエーションプロポーザル名として「saprop01」を設定します。
authentication-algorithm hmac-sha1,hmac-md5
encryption-algorithm 3des,des
続けて、AH で使用する認証アルゴリズムとして「hmac-sha1」
「hmac-md5」を、ESP
で使用する暗号化アルゴリズムとして「3des」「des」を設定します。
lifetime-of-time 3600
続けて、IKE 利用時の IPsec セキュリティアソシエーションの有効時間として「3600」
(秒)を設定します。
pfs-group modp768
続けて、PFS グループとして「modp768」を設定します。
(3)SEIL A にセキュリティアソシエーションを設定する
206
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
セキュリティアソシエーションプロポーザルの設定が完了したら、セキュリティアソシエーショ
ンの設定を行います。以下の設定を行ってください。
設定項目
パラメータ
セキュリティアソシエーション名
sa03
IPsec のモード
tunnel
始点インタフェース
pppoe0
終点 IP アドレス
10.0.2.2
セキュリティアソシエーションプロポーザル名
saprop01
AH
disable
ESP
enable
■ 記述例
¶
³
# ipsec security-association add sa03 tunnel pppoe0 10.0.2.2 ike saprop01
ah disable esp enable
µ
´
■ パラメータ解説
ipsec security-association add sa03
セキュリティアソシエーション名として「sa03」を設定します。
tunnel pppoe0 10.0.2.2
続けて、IPsec に「tunnel」モードを設定します。さらに、IPsec で認証、暗号化を行
う始点 IP アドレスとして「pppoe0」インタフェースに付与されているアドレス、終
点 IP アドレスとして「10.0.2.2」を設定します。
ike saprop01
続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」
を設定します。
ah disable esp enable
続けて、AH の使用/不使用は「disable」を、ESP の使用/不使用は「enable」を設定し
ます。
(4)SEIL A にセキュリティポリシーを設定する
セキュリティアソシエーションの設定が完了したら、続いてセキュリティポリシーの設定をしま
す。以下の設定を行ってください。
207
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
設定項目
パラメータ
セキュリティポリシー名
sp03
セキュリティアソシエーション名
sa03
送信元 IP アドレス/ネットマスク長
192.168.1.0/24
送信先 IP アドレス/ネットマスク長
192.168.2.0/24
プロトコル
any
有効/無効
enable
■ 記述例
¶
³
# ipsec security-policy add sp03 security-association sa03 src 192.168.1.0/24
dst 192.168.2.0/24 protocol any enable
µ
´
■ パラメータ解説
ipsec security-policy add sp03
セキュリティポリシー名として「sp03」を設定します。
security-association sa03
続けて、対象となるセキュリティアソシエーション名として「sa03」を設定します。
src 192.168.1.0/24 dst 192.168.2.0/24
続けて、送信元と送信先の IP アドレスを設定します。「src」は送信元 IP アドレスとネッ
トマスク長、
「dst」は送信先 IP アドレスとネットマスク長を意味します。
送信元 IP アドレス/ネットマスク長として「192.168.1.0/24」を、送信先 IP アドレス/ネッ
トマスク長として
「192.168.2.0/24」を設定します。
protocol any
続けて、プロトコルとして、すべてのパケットを対象とするため「any」を設定します。
enable
208
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
続けて、設定を有効にするため「enable」を設定します。
※ この設定を行っても、pppoe0 インタフェースにアドレスが付与されていない場合は、IPsec
トンネルは構築されません。
(5)SEIL A の設定を確認する
以上の設定が終了したら、show status コマンドにより IPsec および IKE の動作情報を確認しま
す。セキュリティアソシエーションに pppoe0 のアドレスが使われていれば、正常に IPsec トン
ネルが構築できています。そうでない場合には、pppoe0 が正しく接続されているか確認してく
ださい。詳細はコマンドリファレンスをご覧ください。
¶
³
# show status ipsec
µ
¶
´
³
# show status ike
µ
´
(6)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で、SEIL A 側の IKE とセキュリティアソシエーションプロポーザル、セキュリティアソシ
エーション、セキュリティポリシーの設定は完了です。変更した設定はバックアップをとってお
くことをお勧めします。
209
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
■ 7.8.4
動的 IP アドレスからの接続を受け付ける場合
本節では、動的 IP アドレスを使用した VPN の設定方法について、以下のような構成のネットワーク
を前提にご説明します。本機は動的 IP アドレスを持つノードからの IPsec トンネルの構築要求を受け
付ける機能を持っています。
IPv4、IPv6 両方に対応していますが、ここでは IPv4 での設定方法についてご説明します(IPv4 と
IPv6 の設定で異なるのは、アドレスが違う点のみです)。なお、本節では SEIL B の設定についてご説
¤
¡
明します。SEIL A の設定については、
「 ó– [7.8.3 自アドレスが動的 IP アドレスの場合 £P.201 ¢ ]」を
ご覧ください。
἟ἕἚὁὊἁA
192.168.1.0/24
ἩἻỶἫὊἚỴἛἾἋ
192.168.1.1/24
SEIL A
ἂἿὊἢἽỴἛἾἋ
PPPoEỂѣႎỆл࢘
IPsecἚὅ἟Ἵ
ỶὅἑὊ἟ἕἚ
ἂἿὊἢἽỴἛἾἋ
10.0.2.2
SEIL B
ἩἻỶἫὊἚỴἛἾἋ
192.168.2.1
἟ἕἚὁὊἁB
192.168.2.0/24
210
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
設計
(1) IKE パラメータを決定する
IKE を使用した設定を行う場合、はじめに通信を行う両側で鍵を交換する条件や、鍵の認証方法
等を合わせる必要があります。
特に合わせるべき設定項目としては、プロポーザルの交換モード、対向ホストの識別子、プロ
ポーザルにおいて対向ホストを認証するときの方式を指定する認証メソッド、認証アルゴリズム
(ハッシュアルゴリズム)、暗号化アルゴリズム、そして鍵交換アルゴリズムで用いるパラメータ
である DH Group があります。
交換モードは、動的 IP アドレスを利用する場合は aggressive モードを選択する必要があります。
これは main モードは IP アドレスで接続相手を識別するため、動的 IP アドレスを利用した場合
には適切に接続相手を識別できなくなるためです。
同様の理由から、対向ホストの識別子は FQDN または USER-FQDN を選択する必要があります。
認証メソッドには事前共有鍵がサポートされ、認証アルゴリズムには MD5 と SHA1 が、暗号化
アルゴリズムには DES、3DES、BLOWFISH、CAST128、AES がサポートされています。
なお DH Group においては、Group1(modp768)
、Group2(modp1024)
、Group5(modp1536)
が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が
長くなるという特徴があります。
(2) セキュリティアソシエーションプロポーザルを決定する
ここでは、セキュリティアソシエーションの有効期間を設定するライフタイムの長さ、認証、暗
号化の両アルゴリズムに関してはどのアルゴリズムをどのような優先順位で用いるのか、更に
DH 鍵交換アルゴリズムで用いるパラメータである PFS GROUP にはどれを使用するかを決め
ます。
なお PFS GROUP には、Group1(modp768)
、Group2(modp1024)
、Group5(modp1536)が
用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が長
くなるという特徴があります。
(3) セキュリティアソシエーションを決定する
動的 IP アドレスをもつ通信相手との間に IPsec トンネルを構築するためには、IPsec トンネル
の相手側のアドレスをあらかじめ知ることはできません。そのため、相手からの要求に応じてア
ドレスを決定する必要があります。
さらに、IKE を使用するために、使用するプロトコルと相手に提示するセキュリティアソシエー
ションプロポーザルを決める必要があります。
モードは tunnel モードを使用し、暗号化プロトコルである ESP を使用するものとします。
セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているものでは
なく新たに登録したものを使用するものとします。
(4) セキュリティポリシーを決定する
次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用するかを
決めます。これをセキュリティポリシーと呼びます。
この例では、192.168.1.0/24 と 192.168.2.0/24 の間のすべてのトラフィックに対して、先に決
211
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
めたセキュリティアソシエーションを使用するものとします。
設定の流れ
(1)SEIL B に IKE を設定する
決定した IKE パラメータに従って設定を行います。
(2)SEIL B にセキュリティアソシエーションプロポーザルを設定する
決定したセキュリティアソシエーションプロポーザルに従って設定を行います。
(3)SEIL B にセキュリティアソシエーションを設定する
決定したセキュリティアソシエーションに従って設定を行います。
(4)SEIL B にセキュリティポリシーを設定する
決定したセキュリティアポリシーに従って設定を行います。
(5)SEIL B の設定を確認する
設定が正しくなされているか確認します。
(6)SEIL B の設定を保存する
すべての設定を保存します。
設定手順
(1)SEIL A に IKE を設定する
決定した IKE パラメータに従って設定を行います。
SEIL A に管理者アカウントでログインし、事前共有鍵を設定します。以下の設定を行ってくだ
さい。
設定項目
パラメータ
識別子
seila.seil.jp
鍵文字列
opensesame
■ 記述例
¶
³
# ike preshared-key add seila.seil.jp opensesame
µ
■ パラメータ解説
ike preshared-key add seila.seil.jp opensesame
212
´
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
事前共有鍵の識別子として「seila.seil.jp」を、鍵文字列として「opensesame」を設定し
ます。
※ 事前共有鍵は通信相手が用意したものを設定することになります。あらかじめ通信を行う相
手と相談し、鍵の設定を行ってください。
※ 今回の設定では、SEIL A と SEIL B それぞれに、お互いが用意した鍵を設定します。
IKE プロポーザルの設定をします。以下の設定を行ってください。
設定項目
パラメータ
IKE プロポーザル名
ikeprop01
認証メソッド
preshared-key
暗号化アルゴリズム
3des
認証アルゴリズム
sha1
Diffie-Hellman グループ
modp1536
ライフタイム
3600
■ 記述例
¶
# ike proposal add ikeprop01 authentication preshared-key encryption
³
3des
hash sha1 dh-group modp1536 lifetime-of-time 3600
µ
´
■ パラメータ解説
ike proposal add ikeprop01
IKE プロポーザル名として、「ikeprop01」を設定します。
authentication preshared-key
続けて、認証メソッドとして「preshared-key」を設定します。
encryption 3des hash sha1 dh-group modp1536
続けて、IKE で使用する暗号化アルゴリズムとして「3des」を、認証アルゴリズムと
して「sha1」を設定、Diffie-Hellman グループとして「modp1536」を設定します。
lifetime-of-time 3600
続けて、IKE セキュリティアソシエーションの有効時間として「3600」
(秒)を設定し
ます。
IKE Peer の設定をします。以下の設定を行ってください。
213
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
設定項目
パラメータ
IKE Peer 名
seila
モード
aggressive
プロポーザルリスト
ikeprop01
リモート IP アドレス
dynamic
相手識別子
fqdn seila.seil.jp
■ 記述例
¶
³
# ike peer add seila exchange-mode aggressive proposal ikeprop01
address dynamic peer-identifier fqdn seila.seil.jp
µ
■ パラメータ解説
ike peer add seila
IKE Peer 名として、「seila」を設定します。
exchange-mode aggressive
続けて、フェーズ 1 で使用するモードとして「aggressive」を設定します。
proposal ikeprop01
続けて、プロポーザルリストとして「ikeprop01」を設定します。
address dynamic
続けて、IKE で使用するリモート IP アドレスが動的 IP アドレスであることを
意味する「dynamic」を設定します。
peer-identifier fqdn seila.seil.jp
続けて、相手識別子の種別としてに「fqdn」を設定します。
さらに、相手識別子として「seila.seil.jp」を設定します。
※ 交換モードを aggressive にした場合、動的 IP アドレスであっても IPsec トンネルの構築が
可能になりますが、
aggressive モードではセキュリティは低下します。
この設定を行う場合、事前共有鍵の管理には特に気をつけてください。
214
´
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
固定 IP アドレスを利用できる場合は、交換モードは main モードを選択することを強くお勧
めします。
(2)SEIL B にセキュリティアソシエーションプロポーザルを設定する
IKE の設定が完了したら、セキュリティアソシエーションプロポーザルの設定を行います。以下
の設定を行ってください。
設定項目
パラメータ
セキュリティアソシエーションプロポーザル名
saprop01
認証アルゴリズム
hmac-sha1、hmac-md5
暗号化アルゴリズム
3des、des
有効時間
3600
PFS グループ
modp768
■ 記述例
¶
³
# ipsec security-association proposal add saprop01
authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des
lifetime-of-time 3600 pfs-group modp768
µ
´
■ パラメータ解説
ipsec security-association proposal add saprop01
セキュリティアソシエーションプロポーザル名として「saprop01」を設定します。
authentication-algorithm hmac-sha1,hmac-md5
encryption-algorithm 3des,des
続けて、AH で使用する認証アルゴリズムとして「hmac-sha1」
「hmac-md5」を、ESP で
使用する暗号化アルゴリズムとして「3des」「des」を設定します。
lifetime-of-time 3600
続けて、IKE 利用時の IPsec セキュリティアソシエーションの有効時間として「3600」
(秒)を設定します。
pfs-group modp768
215
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
続けて、PFS グループとして「modp768」を設定します。
(3)SEIL B にセキュリティアソシエーションを設定する
セキュリティアソシエーションプロポーザルの設定が完了したら、セキュリティアソシエーショ
ンの設定を行います。以下の設定を行ってください。
設定項目
パラメータ
セキュリティアソシエーション名
sa03
IPsec のモード
tunnel
トンネルの始点/終点アドレス
dynamic
セキュリティアソシエーションプロポーザル名
saprop01
AH
disable
ESP
enable
■ 記述例
¶
³
# ipsec security-association add sa03 tunnel dynamic ike saprop01
ah disableesp enable
µ
´
■ パラメータ解説
ipsec security-association add sa03
セキュリティアソシエーション名として「sa03」を設定します。
tunnel dynamic
続けて、IPsec に「tunnel」モードを設定します。
さらに、IPsec トンネルのアドレス情報が対向相手からの要求に応じて決定されることを
意味する「dynamic」を設定します。
ike saprop01
続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」を設
定します。
ah disable esp enable
216
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
続けて、AH の使用/不使用は「disable」を、ESP の使用/不使用は「enable」を設定します。
※「tunnel dynamic」に設定した場合、IPsec トンネルの端点の IP アドレスは、以下の条件を
満たせば正当なものとして受け入れられます。
1) リモート側のアドレスが IKE Phase1 で利用された IP アドレスであること
2) ローカル側のアドレスが SEIL B のインタフェースのどれかに割り振られていること
上記の条件を満たせば運用上支障のある IP アドレスであっても受け入れられますので、対
向機器の設定には十分注意してください。
(4)SEIL B にセキュリティポリシーを設定する
セキュリティアソシエーションの設定が完了したら、続いてセキュリティポリシーの設定をしま
す。以下の設定を行ってください。
設定項目
パラメータ
セキュリティポリシー名
sp03
セキュリティアソシエーション名
sa03
送信元 IP アドレス/ネットマスク長
192.168.1.0/24
送信先 IP アドレス/ネットマスク長
192.168.2.0/24
プロトコル
any
有効/無効
enable
■ 記述例
¶
³
# ipsec security-policy add sp03 security-association sa03 src 192.168.1.0/24
dst 192.168.2.0/24 protocol any enable
µ
´
■ パラメータ解説
ipsec security-policy add sp03
セキュリティポリシー名として「sp03」を設定します。
security-association sa03
続けて、対象となるセキュリティアソシエーション名として「sa03」を設定します。
src 192.168.1.0/24 dst 192.168.2.0/24
続けて、送信元と送信先の IP アドレスを設定します。
217
第 7 章 ネットワークでの利用例
7.8. VPN を構築する ∼IPsec の設定∼
「src」は送信元 IP アドレスとネットマスク長、「dst」は送信先 IP アドレスとネットマス
ク長を意味します。
送信元 IP アドレス/ネットマスク長として「192.168.1.0/24」を、送信先 IP アドレス/ネッ
トマスク長として
「192.168.2.0/24」を設定します。
protocol any
続けて、プロトコルとして、すべてのパケットを対象とするため「any」を設定します。
enable
続けて、設定を有効にするため「enable」を設定します。
※ この設定を行っても、SEIL B が自分から IPsec トンネルを構築することはありません。
SEIL A からの接続要求を受け付けた場合のみ、IPsec トンネルを構築します。
(5)SEIL B の設定を確認する
以上の設定が終了したら、show status コマンドにより IPsec および IKE の動作情報を確認しま
す。詳細はコマンドリファレンスをご覧ください。
(6)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で、SEIL B 側の IKE とセキュリティアソシエーションプロポーザル、セキュリティアソシ
エーション、セキュリティポリシーの設定は完了です。変更した設定はバックアップをとってお
くことをお勧めします。
218
第 7 章 ネットワークでの利用例
7.9. L2VPN を構築する ∼L2TPv3 の設定∼
7.9
L2VPN を構築する ∼L2TPv3 の設定∼
遠隔地の事業所間のネットワークを構築する際に、IPsec のようなレイヤ 3(IP) ではなく、レ
イヤ 2(Ethernet) を直接接続したい場合があります。CS-SEIL-510/C は、L2TPv3 機能を利用した
L2VPN(Layer 2 Virtual Private Network) の構築をサポートしています。
■ 7.9.1
L2TPv3 を利用した L2 トンネルの設定
本節では、L2TPv3 を使用した VPN の設定方法について、以下のような構成のネットワークを前提に
ご説明します。L2TPv3 機能は、IPv4 のみに対応しています。なお、本節では SEIL A の設定について
ご説明します。SEIL B の設定については、SEIL A の設定内容と異なる設定項目について注記してあり
ます。注記の設定内容に従って設定を行ってください。注記のない設定項目は SEIL A の設定内容と異
なる点はありませんので、SEIL A と同様に設定を行ってください。
SEIL A
ἂἿὊἢἽỴἛἾἋ
10.0.1.1
ӷɟἍἂἳὅἚ
L2TPἚὅ἟Ἵ
ỶὅἑὊ἟ἕἚ
ἂἿὊἢἽỴἛἾἋ
10.0.2.2
SEIL B
219
第 7 章 ネットワークでの利用例
7.9. L2VPN を構築する ∼L2TPv3 の設定∼
※ 本節では説明のため、
「10.0.0.0∼10.255.255.255」までのアドレスをグローバルアドレスとして
表現しています。
設計
(1) L2TP パラメータを決定する
L2TPv3 を使用する設定を行う場合、通信を行う両側で L2TP トンネルを構築するための設定項
目を決定する必要があります。
L2TP トンネル名
対向機器の L2TP トンネルを識別する任意の文字列です。
hostname
L2TP トンネルのエンドポイントを識別するための任意の文字列です。自身を表す local
hostname と、対向機器を表す remote hostname あります。自身に設定した local hostname
と、対向機器で設定された remote hostname の値が一致する必要があります。
router-id
IP アドレス形式で表される ID です。自身を表す local router-id と、対向機器を表す remote
route-id があります。自身に設定した local router-id と、対向機器で設定された remote
router-id の値が一致する必要があります。
認証パスワード
L2TP トンネル接続の際に認証を用いるためのパスワード文字列です。対向機器同士で同一
の値を用いる必要があります。
※
L2TPv3 による通信は、暗号化されないことに注意してください。password の設定は
あくまでトンネル接続の認証を行うための手段です。通信を暗号化したい場合、IPsec
等のセキュリティプロトコルと組み合わせた運用が必要です。
cookie
データをカプセル化する際に Cookie を使用して識別を行うかどうかを指定します。L2TP
セッション単位での成りすまし等を防ぐことが可能です。対向機器で同一の設定にする必要
があります。
メッセージ再送回数
トンネル制御メッセージの再送回数を指定します。
Hello メッセージ送信間隔
トンネルの死活監視に用いる Hello パケットの送信間隔を秒単位で指定します。
(2) 使用する L2TP インタフェースを決定する
L2TP セッションの確立に使用する L2TP インタフェース名を決定します。ここでは、SEIL A、
SEIL B ともに l2tp0 インタフェースを使用します。
(3) L2TP インタフェースのパラメータを決定する
220
第 7 章 ネットワークでの利用例
7.9. L2VPN を構築する ∼L2TPv3 の設定∼
ここでは、L2TP インタフェースに L2TP トンネルの始点・終点アドレスを設定し、トンネルパ
ラメータとの関連付けを行います。また、以下の設定項目を決定します。
始点・終点アドレス
L2TP トンネルの始点・終点アドレスです。
L2TP トンネル名
設定した L2TP トンネルの識別子を指定します。
remote-end-id
L2TP トンネル確立後に生成される L2TP セッションの識別を行うための文字列です。対向
機器と同一の値を設定する必要があります。
(4) ブリッジグループのパラメータを決定する
ここでは、確立した L2TP セッションと物理インタフェースとを結びつけるためのブリッジグ
ループの設定を行います。この例では、l2tp0 インタフェースと lan0 インタフェースとのブリッ
ジ設定を行います。これにより、対向機器の lan0 インタフェース同士が同一のセグメントとし
て見えるようになります。
設定の流れ
(1)SEIL A に L2TP トンネルを設定する
決定した L2TP パラメータに従って設定を行います。
(2)SEIL A に L2TP インタフェースを設定する
決定した L2TP インタフェースのパラメータに従って設定を行います。
(3)SEIL A の設定を確認する
設定が正しくなされているか確認します。
(4)SEIL A の設定を保存する
すべての設定を保存します。
設定手順
(1)SEIL A に L2TP トンネルを設定する
決定した L2TP パラメータに従って設定を行います。
SEIL A に管理者アカウントでログインし、local hostname を設定します。以下の設定を行って
ください。
設定項目
パラメータ
local hostname
seil-a
221
第 7 章 ネットワークでの利用例
7.9. L2VPN を構築する ∼L2TPv3 の設定∼
■ 記述例
¶
³
# l2tp hostname seil-a
µ
´
■ パラメータ解説
l2tp hostname seil-a
local hostname として 「seil-a」を設定します。
local router-id を設定します。以下の設定を行ってください。
設定項目
パラメータ
local router-id
10.0.1.1
■ 記述例
¶
³
# l2tp router-id 10.0.1.1
µ
´
■ パラメータ解説
l2tp router-id 10.0.1.1
local router-id として「10.0.1.1」を設定します。
L2TP トンネルの設定を行います。
設定項目
パラメータ
L2TP トンネル名
SEIL-B
remote hostname
seil-b
remote router-id
10.0.2.2
認証パスワード
opensesame
cookie
off
メッセージ再送回数
10
Hello メッセージ送信間隔
30
■ 記述例
¶
³
# l2tp add SEIL-B hostname seil-b router-id 10.0.2.2 password
opensesame cookie off retry 10 hello-interval 30
µ
´
■ パラメータ解説
l2tp add SEIL-B
L2TP トンネル名として「SEIL-B」を設定します。
222
第 7 章 ネットワークでの利用例
7.9. L2VPN を構築する ∼L2TPv3 の設定∼
hostname seil-b
remote hostname として「seil-b」を設定します。
router-id 10.0.2.2
remote router-id として「10.0.2.2」を設定します。
password opensesame
認証パスワードとして「opensesame」を設定します。
cookie off
Cookie を使用しません。
retry 10
メッセージ再送回数を 10 回に設定します。
hello-interval 30
Hello メッセージの送信間隔を 30 秒に設定します。
※ SEIL B の設定を行う場合、設定は以下の通りです。
設定項目
パラメータ
local hostname
seil-b
設定項目
パラメータ
local router-id
10.0.2.2
設定項目
パラメータ
L2TP トンネル名
SEIL-A
remote hostname
seil-a
認証パスワード
opensesame
cookie
off
メッセージ再送回数
10
Hello メッセージ送信間隔
30
(2)SEIL A に L2TP インタフェースを設定する
L2TP インタフェースのアドレス設定を行います。
設定項目
パラメータ
始点アドレス
10.0.1.1
終点アドレス
10.0.2.2
223
第 7 章 ネットワークでの利用例
7.9. L2VPN を構築する ∼L2TPv3 の設定∼
■ 記述例
¶
³
# interface l2tp0 tunnel 10.0.1.1 10.0.2.2
µ
´
■ パラメータ解説
interface l2tp0 tunnel 10.0.1.1 10.0.2.2
l2tp0 インタフェースを利用して、アドレス「10.0.1.1」とアドレス「10.0.2.2」の間で
L2TP セッションを確立します。
L2TP インタフェースのパラメータ設定を行います。
設定項目
パラメータ
L2TP トンネル名
SEIL-B
remote-end-id
L2TP0
■ 記述例
¶
³
# interface l2tp0 l2tp SEIL-B remote-end-id L2TP0
µ
´
■ パラメータ解説
interface l2tp0 l2tp SEIL-B
l2tp コマンドを用いて作成した L2TP トンネルの識別子として「SEIL-B」を設定し
ます。
remote-end-id L2TP0
remote-end-id として「L2TP0」を設定します。
※ SEIL B の設定を行う場合、設定は以下の通りです。
設定項目
パラメータ
始点アドレス
10.0.2.2
終点アドレス
10.0.1.1
設定項目
パラメータ
L2TP トンネル名
SEIL-A
remote-end-id
L2TP0
(3)SEIL A にブリッジグループを設定する
224
第 7 章 ネットワークでの利用例
7.9. L2VPN を構築する ∼L2TPv3 の設定∼
決定したブリッジグループのパラメータに従って設定を行います。
まず、ブリッジグループの作成を行います。
設定項目
パラメータ
ブリッジグループ名
BDG1
STP の有効/無効
off
■ 記述例
¶
³
# bridge group add BDG1 stp off
µ
´
■ パラメータ解説
bridge group add BDG1
ブリッジグループに「BDG1」という名前を設定します。
stp off
STP を使用しないよう設定します。
続けて、ブリッジグループに対してインタフェースの紐付けを行います。
設定項目
パラメータ
紐付けるインタフェース名
l2tp0, lan0
STP の有効/無効
off
■ 記述例
¶
³
# bridge interface l2tp0 group BDG1 stp off
# bridge interface lan0 group BDG1 stp off
µ
´
■ パラメータ解説
bridge interface l2tp0 group BDG1 stp off
l2tp0 インタフェースを BDG1 ブリッジグループに紐付け、STP を使用しないように
設定します。
bridge interface lan0 group BDG1 stp off
lan0 インタフェースを BDG1 ブリッジグループに紐付け、STP を使用しないように
設定します。
※ SEIL B の設定を行う場合、設定は以下の通りです。
設定項目
パラメータ
ブリッジグループ名
BDG1
STP の有効/無効
off
225
第 7 章 ネットワークでの利用例
7.9. L2VPN を構築する ∼L2TPv3 の設定∼
設定項目
パラメータ
紐付けるインタフェース名
l2tp0, lan0
STP の有効/無効
off
(4)SEIL A の設定を確認する
以上の設定が終了したら、show status コマンドにより L2TP およびブリッジグループの動作情
報を確認します。詳細はコマンドリファレンスをご覧ください。
¶
³
# show status l2tp
# show status interface l2tp0
# show status bridge
µ
´
(5)SEIL A の設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、
¤
¡
[6.3.1 設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
ó–
以上で L2TP の設定は完了です。変更した設定内容はバックアップをとっておくことをお勧めし
ます。
226
第 7 章 ネットワークでの利用例
7.10. 遠隔地のコンピュータからリモートアクセスを行う
7.10 遠隔地のコンピュータからリモートアクセスを行う
PPP アクセスコンセントレータ (PPPAC) 機能及び認証機能を使用すると、遠隔地のコンピュータか
ら CS-SEIL-510/C へリモートアクセス接続を行い、LAN 内のコンピュータへアクセスすることができ
ます。
※ コンピュータから SEIL へリモートアクセスを行うには、コンピュータ側でもリモートアクセス
の設定を行う必要があります。
■ 7.10.1
PPTP を利用したリモートアクセスを受け入れる設定
本節では、PPP アクセスコンセントレータ機能を使用したリモートアクセス VPN の設定方法につい
て、以下の様な構成のネットワークを前提に説明します。
227
第 7 章 ネットワークでの利用例
7.10. 遠隔地のコンピュータからリモートアクセスを行う
※ 本節では、リモートアクセスに用いるトンネリングプロトコルに PPTP を使用します。
※ 本節では説明のため、
「10.0.0.0∼10.255.255.255」までのアドレスをグローバルアドレスとして
表現しています。
設定の流れ
(1)認証レルムの設定
SEIL の認証機能を設定します。
(2)ユーザアカウントの設定
リモートアクセスを利用するユーザのアカウントを設定します。
(3)アドレスプールの設定
クライアントコンピュータに払い出すアドレス割り当てを設定します。
(4)IPCP の設定
クライアントコンピュータとトンネル内で IP 通信するための折衝のパラメータを設定します。
(5)リモートアクセスに使用するプロトコルの設定
リモートアクセスで PPTP による接続を受け付けるためのパラメータを設定します。
(6)PPPAC インタフェースの設定
リモートコンピュータと通信するためのインタフェースとして、PPPAC インタフェースを設定
します。
(7)設定の関連付け
PPPAC インタフェースに、リモートアクセスに必要な設定を関連付けます。
(8)リモートアクセス経由のインターネット接続の設定
クライアントコンピュータから SEIL を経由するインターネット通信を利用可能にします。
(9)設定内容を確認する
正しく設定が反映されているか確認します。
動作情報を確認する
(10)
PPP アクセスコンセントレータ機能の動作状態を確認します。
設定を保存する
(11)
すべての設定を保存します。
設定手順
(1)認証レルムの設定
SEIL の認証機能を設定します。
SEIL に管理者アカウントでログインし、以下の手順に従い設定します。
228
第 7 章 ネットワークでの利用例
7.10. 遠隔地のコンピュータからリモートアクセスを行う
設定項目
パラメータ
識別子
LOCAL1
認証レルムの種類
local
■ 記述例
¶
³
# authentication realm add LOCAL1 type local
µ
´
■ パラメータ解説
authentication realm add LOCAL1
認証レルム設定の識別子として「LOCAL1」を設定します。
type local
認証レルムとしてローカル認証レルムを使用します。
(2)ユーザアカウントの設定
リモートアクセスを利用するユーザのアカウントを設定します。
設定項目
パラメータ
ユーザの所属する認証レルムの識別子
LOCAL1
ユーザのアカウント名
USERNAME
ユーザのパスワード
PASSWORD
■ 記述例
¶
³
# authentication local LOCAL1 user add USERNAME password PASSWORD
µ
´
■ パラメータ解説
authentication local LOCAL1
ユーザは「LOCAL1」として設定したローカル認証レルムに所属するよう設定します。
user add USERNAME
ユーザがリモートアクセスの際に使用するアカウント名を「USERNAME」と設定し
ます。
229
第 7 章 ネットワークでの利用例
7.10. 遠隔地のコンピュータからリモートアクセスを行う
password PASSWORD
ユーザがリモートアクセスの際に使用するパスワードを「PASSWORD」と設定し
ます。
(3)アドレスプールの設定
クライアントコンピュータに払い出すアドレス割り当てを設定します。
リモートアクセスの接続が成立すると、クライアントコンピュータはこのプール内から自動的に
IP アドレスが割り当てられます。
設定項目
パラメータ
アドレスプールの識別子
POOL1
割当範囲とするネットワークアドレス
192.168.128.0/24
■ 記述例
¶
³
# pppac pool add POOL1 address 192.168.128.0/24
µ
´
■ パラメータ解説
pppac pool add POOL1
アドレスプールの識別子として「POOL1」を設定します。
address 192.168.128.0/24
クライアントコンピュータへの割当に使用する IP アドレスの範囲をネットワークアド
レスで「192.168.128.0/24」と設定します。
(4)IPCP の設定
クライアントコンピュータとトンネル内で IP 通信するための折衝のパラメータを設定します。
230
設定項目
パラメータ
IPCP 設定の識別子
IPCP1
割当に使用するアドレスプール
POOL1
DNS 転送機能のアドレス通知
使用する
第 7 章 ネットワークでの利用例
7.10. 遠隔地のコンピュータからリモートアクセスを行う
■ 記述例
¶
³
# pppac ipcp-configuration add IPCP1 pool POOL1 dns-use-forwarder on
µ
´
■ パラメータ解説
pppac ipcp-configuration add IPCP1
IPCP 設定の識別子として「IPCP1」を設定します。
pool POOL1
クライアントコンピュータへ割り当てる IP アドレスのプールに「POOL1」を使用し
ます。
dns-use-forwarder on
クライアントコンピュータの DNS として、SEIL の DNS 転送機能を使用します。ク
ライアントコンピュータには、PPTP トンネルの終端 (SEIL 側) のアドレスが通知され
ます。
(5)リモートアクセスに使用するプロトコルの設定
リモートアクセスで PPTP による接続を受け付けるためのパラメータを設定します。
設定項目
パラメータ
使用するプロトコル
PPTP
プロトコル設定の識別子
PPTP1
リモートアクセスを受け付けるインタフェース
any
■ 記述例
¶
³
pppac protocol pptp add PPTP1 accept-interface any
µ
´
■ パラメータ解説
pppac protocol pptp
リモートアクセスで受け付けるプロトコルとして PPTP を設定します。
add PPTP1
プロトコル設定の識別子として「PPTP1」を設定します。
231
第 7 章 ネットワークでの利用例
7.10. 遠隔地のコンピュータからリモートアクセスを行う
accept-interface any
リモートアクセスを受け付けるインタフェースを制限しないため、any を設定します。
(6)PPPAC インタフェースの設定
リモートコンピュータと通信するためのインタフェースとして、PPPAC インタフェースを設定
します。
設定項目
パラメータ
使用するインタフェース
pppac0
トンネル終端アドレス
192.168.127.1
■ 記述例
¶
³
interface pppac0 tunnel-end-address 192.168.127.1
µ
´
■ パラメータ解説
interface pppac0
使用するインタフェースとして pppac0 を設定します。
tunnel-end-address 192.168.127.1
トンネル終端 (SEIL 側) の IP アドレスとして「192.168.127.1」を設定します。
(7)設定の関連付け
PPPAC インタフェースに、リモートアクセスに必要な設定を関連付けます。
設定項目
パラメータ
関連付けるインタフェース
pppac0
使用する IPCP 設定
IPCP1
使用するプロトコル設定
PPTP1
使用する認証レルム設定
LOCAL
■ 記述例
¶
³
# interface pppac0 ipcp-configuration IPCP1
# interface pppac0 bind-tunnel-protocol PPTP1
# interface pppac0 bind-realm LOCAL1
µ
´
■ パラメータ解説
interface pppac0
pppac0 インタフェースに設定を関連付けます。
232
第 7 章 ネットワークでの利用例
7.10. 遠隔地のコンピュータからリモートアクセスを行う
ipcp-configuration IPCP1
IPCP 設定として「IPCP1」を関連付けます。
bind-tunnel-protocol PPTP1
トンネルプロトコル設定として「PPTP1」を関連付けます。
bind-realm LOCAL1
認証レルム設定として「LOCAL1」を関連付けます。
(8)リモートアクセス経由のインターネット接続の設定
DNS 中継機能及び NAPT 機能を設定し、クライアントコンピュータから SEIL を経由するイン
ターネット通信を可能にします。クライアントコンピュータから SEIL を経由するインターネッ
ト通信を許可しない場合、設定は不要です。
設定項目
パラメータ
DNS 中継機能
使用する
DNS 中継先のアドレス
SEIL 自身の PPPoE 接続時に自動取得
NAPT 対象アドレス
192.168.128.0/24
NAPT 処理を行う WAN 側インタフェース
pppoe0
■ 記述例
¶
³
dns forwarder enable
dns forwarder add ipcp
nat napt add private 192.168.128.0-192.168.128.255 interface pppoe0
µ
´
■ パラメータ解説
dns forwarder enable
DNS 中継機能を有効に設定します。
dns forwarder add ipcp
中継先のアドレスとして、SEIL 自身が PPPoE 接続時にインターネットプロバイダか
ら IPCP により通知されたアドレスを使用するため、ipcp を設定します。
nat napt add private 192.168.128.0-192.168.128.255
NAPT 対象のアドレスとして、クライアントコンピュータへのアドレス割当範囲
(192.168.128.0/24) に相当する 192.168.128.0-192.168.128.255 を設定します。
233
第 7 章 ネットワークでの利用例
7.10. 遠隔地のコンピュータからリモートアクセスを行う
interface pppoe0
NAPT 処理を行うインタフェースとして、SEIL がインターネット接続に使用している
インタフェース (例では pppoe0) を設定します。
(9)設定を確認する
以上の設定が終了したら、show config コマンドにより設定した内容が正しく反映されているか
確認します。
¶
#
#
#
#
#
show
show
show
show
show
config
config
config
config
config
³
authentication
pppac
interface pppac0
dns
nat
µ
´
動作情報を確認する
(10)
設定作業が終了したら、show status コマンドにより PPP アクセスコンセントレータ機能の動作
情報を確認します。
¶
³
# show status pppac setting
# show status pppac
µ
´
設定を保存する
(11)
すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、
¤
¡
[6.3.1 設定内容の保存・読込 £P.61 ¢ ]を参照ください。
ó–
以上で SEIL の PPP アクセスコンセントレータの設定は完了です。
クライアントコンピュータ側のリモートアクセス設定については、「
ó–
¤
¡
ピュータから SEIL へのリモートアクセス £P.235 ¢ ]」を参照ください。
変更した設定内容はバックアップをとっておくことをお勧めします。
234
[7.10.2 遠隔地のコン
第 7 章 ネットワークでの利用例
7.10. 遠隔地のコンピュータからリモートアクセスを行う
■ 7.10.2
遠隔地のコンピュータから SEIL へのリモートアクセス
本節では、7.10.1で PPTP でのリモートアクセスを受け入れる設定を行った SEIL に対して、リモー
トアクセスを行うクライアントコンピュータの設定について説明します。
※ ここでは、リモートアクセスを行うクライアントコンピュータのオペレーティングシステムとし
て Windows XP を使用します。
※ クライアントコンピュータはインターネット接続の設定が既に完了しているものとします。
■ リモートアクセス用接続の作成
Step 1
「スタート」メニューから「コントロールパネル」を
選択します。
Step 2
「ネットワークとインターネット接続」をクリックし
ます。
Step 3
「職場のネットワークに接続する」をクリックします。
235
第 7 章 ネットワークでの利用例
7.10. 遠隔地のコンピュータからリモートアクセスを行う
Step 4
「仮想プライベートネットワーク接続」を選択し、
「次
へ」をクリックします。
Step 5
▼ 会社名
任意の名前を入力します。(例:office)
「次へ」をクリックします。
Step 6
▼ 最初の接続へのダイヤル
リモートアクセスの接続時に自動的にインターネッ
トへ接続する場合は「次の最初の接続に自動的にダ
イヤルする」を選択し、リストから使用する接続を
選択します。
クライアントコンピュータが常時インターネットに
接続されている場合は「最初の接続にダイヤルしな
い」を選択します。
※ ご利用のコンピュータの構成によっては、この画面
は表示されません。
「次へ」をクリックします。
Step 7
▼ ホスト名または IP アドレス
接続先の SEIL のグローバルアドレスまたはホスト
名を入力します。
「次へ」をクリックします。
236
第 7 章 ネットワークでの利用例
7.10. 遠隔地のコンピュータからリモートアクセスを行う
Step 8
「完了」をクリックします。
以上で基本的な設定は終了です。
■ リモートアクセス接続/切断の手順
Step 9
「スタート」メニューの「接続」から、前項で作成し
た接続(例:office)を選択します。
Step 10
▼ ユーザ名
認証レルムに設定したユーザアカウント(例:USER-
NAME)を入力します。
▼ パスワード
認証レルムに設定したユーザのパスワード(例:
PASSWORD)を入力します。
「接続」をクリックします。
Step 11
接続に成功すると、タスクトレイにアイコンが表示
されます。
237
第 7 章 ネットワークでの利用例
7.10. 遠隔地のコンピュータからリモートアクセスを行う
Step 12
アイコンをクリックします。
接続を切る場合は、「切断」をクリックします。
238
第 7 章 ネットワークでの利用例
7.11. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼
7.11
CS-SEIL-510/C を冗長化する ∼VRRP の設定∼
本節では VRRP を用いて冗長化を実現する場合の設定例を説明します。冗長構成を取っていれば、片
方の CS-SEIL-510/C が故障してももう片方の CS-SEIL-510/C を利用して通信を行うことができます。
また、回線を監視する設定を行うことで、機器故障時だけではなく回線に障害が発生した時にも、自動
的にバックアップ回線を利用するような構成も可能です。
■ 7.11.1
機器の故障時に自動的にバックアップ回線に切り替える
本節では VRRP を用いた冗長構成の設定方法について説明します。以下の例では、インターネッ
トへの接続に SEIL-A と SEIL-B という 2 台の SEIL を用いることにします。それぞれ、SEIL-A には
192.168.0.2、SEIL-B には 192.168.0.3 というプライベートアドレスを割り当て、VRRP 仮想アドレス
は 192.168.0.1 とします。クライアント PC のデフォルトゲートウェイには VRRP 仮想アドレスであ
る 192.168.0.1 を設定してください。
239
第 7 章 ネットワークでの利用例
7.11. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼
ỶὅἑὊ἟ἕἚ
SEIL B(ἢἕἁỴἕἩ)
ἂἿὊἢἽỴἛἾἋử
PPPoEỂӕࢽ
SEIL A(ἳỶὅ)
ἂἿὊἢἽỴἛἾἋử
PPPoEỂӕࢽ
SEIL B(ἢἕἁỴἕἩ)
ἩἻỶἫὊἚỴἛἾἋ
192.168.0.3
SEIL A(ἳỶὅ)
ἩἻỶἫὊἚỴἛἾἋ
192.168.0.2
VRRP
ˎेIPỴἛἾἋ
192.168.0.1
ἅὅἦἷὊἑA
設定の流れ
(1)メイン機器の VRRP を設定する
メイン機器に冗長構成を設定します。
(2)メイン機器の設定を保存する
すべての設定を保存します。
(3)バックアップ機器の VRRP を設定する
バックアップ機器に冗長構成を設定します。
(4)バックアップ機器の設定を保存する
すべての設定を保存します。
240
ἅὅἦἷὊἑB
第 7 章 ネットワークでの利用例
7.11. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼
設定手順
(1)メイン機器の VRRP を設定する
SEIL-A に管理者アカウントでログインし、VRRP の仮想ルータ ID、仮想アドレス、優先度の設
定を行います。以下の設定を行ってください。
設定項目
パラメータ
仮想ルータ ID
1
仮想アドレス
192.168.0.1/24
優先度
200
インタフェース
lan0
■ 記述例
¶
³
# vrrp lan0 vrid 1 address 192.168.0.1/24 priority 200
µ
´
■ パラメータ解説
vrrp lan
VRRP を動作させるインタフェースとして「lan0」を設定します。
vrid 1
仮想ルータ ID(Virtual Router ID) として「1」を設定します。
address 192.168.0.1/24
仮想 IP アドレスとして「192.168.0.1」を、ネットマスクとして lan0 のネットマスク
である「24」を設定します。
priority 200
優先度 (priority) として「200」を設定します。メイン機器の優先度はバックアップ機
器の優先度より大きくします。
(2)メイン機器の設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
(3)バックアップ機器の VRRP を設定する
SEIL-B に管理者アカウントでログインし、VRRP の仮想ルータ ID、仮想アドレス、優先度の設
定を行います。以下の設定を行ってください。
241
第 7 章 ネットワークでの利用例
7.11. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼
設定項目
パラメータ
仮想ルータ ID
1
仮想アドレス
192.168.0.1/24
優先度
100
インタフェース
lan0
■ 記述例
¶
³
# vrrp lan0 vrid 1 address 192.168.0.1/24 priority 100
µ
´
■ パラメータ解説
vrrp lan
VRRP を動作させるインタフェースとして「lan0」を設定します。
vrid 1
仮想ルータ ID(Virtual Router ID) として「1」を設定します。メイン機器と同じ ID を
指定する必要があります。
address 192.168.0.1/24
仮想 IP アドレスとして「192.168.0.1」を、ネットマスクとして lan0 のネットマスク
である「24」を設定します。メイン機器と同じ IP アドレス、ネットマスクを指定する
必要があります。
priority 100
優先度 (priority) として「100」を設定します。バックアップ機器の優先度はメイン機
器の優先度より小さくします。
(4)バックアップ機器の設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で、VRRP の設定は完了です。変更した設定はバックアップをとっておくことをお勧めし
ます。
242
第 7 章 ネットワークでの利用例
7.11. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼
■ 7.11.2
回線障害を検出して自動的にバックアップ回線に切り替
える
本節では回線障害を検出して VRRP の仮想ルータを切り替える場合の設定方法について説明します。
以下の例では、インターネットへの接続に SEIL-A と SEIL-B という 2 台の SEIL を用います。そして
SEIL-A は SEIL-C とルーティングベース IPsec トンネルを構成し、SEIL-B は SEIL-D とルーティング
ベース IPsec トンネルを構成するものとします。インターネット接続回線の障害を検出するために、
SEIL-A は SEIL-C のグローバルアドレスに対して Ping (ICMP Echo) を用いた監視を行います。
なお、今回バックアップ機器の SEIL-B は監視を行いません。なぜなら、(1)SEIL-A が利用可能な場
合は常に SEIL-A が利用されるため、SEIL-B 側回線を監視する必要がなく、(2)SEIL-A が利用できない
場合には SEIL-B 側回線に障害が発生したことを検出しても SEIL-A に切り替えることができないため
です。
243
第 7 章 ネットワークでの利用例
7.11. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼
SEIL D
ἂἿὊἢἽỴἛἾἋ
10.0.4.4
SEIL C
ἂἿὊἢἽỴἛἾἋ
10.0.3.3
ỶὅἑὊ἟ἕἚ
SEIL B(ἢἕἁỴἕἩ)
ἂἿὊἢἽỴἛἾἋ
10.0.2.2
SEIL A(ἳỶὅ)
ἂἿὊἢἽỴἛἾἋ
10.0.1.1
SEIL B(ἢἕἁỴἕἩ)
ἩἻỶἫὊἚỴἛἾἋ
192.168.0.3
SEIL A(ἳỶὅ)
ἩἻỶἫὊἚỴἛἾἋ
192.168.0.2
VRRP
ˎेIPỴἛἾἋ
192.168.0.1
ἅὅἦἷὊἑA
設定の流れ
(1)メイン機器の VRRP 監視グループを設定する
メイン機器に監視を設定します。
(2)メイン機器の VRRP を設定する
メイン機器に冗長構成を設定します。
(3)メイン機器の設定を保存する
すべての設定を保存します。
(4)バックアップ機器の VRRP を設定する
バックアップ機器に冗長構成を設定します。
(5)バックアップ機器の設定を保存する
244
ἅὅἦἷὊἑB
第 7 章 ネットワークでの利用例
7.11. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼
すべての設定を保存します。
設定手順
(1)メイン機器の VRRP 監視グループを設定する
SEIL-A に管理者アカウントでログインし、VRRP の監視グループを設定します。以下の設定を
行ってください。
設定項目
パラメータ
監視グループ名
SEIL-C
監視先 IP アドレス
10.0.3.3
■ 記述例
¶
³
# vrrp watch-group add SEIL-C keepalive 10.0.3.3
µ
´
■ パラメータ解説
vrrp watch-group add SEIL-C
監視グループ名として「SEIL-C」を設定します。
keepalive 10.0.3.3
Ping (ICMP Echo) の送信先 IP アドレスとして「10.0.3.3」を設定します。
(2)メイン機器の VRRP を設定する
SEIL-A に管理者アカウントでログインし、VRRP の仮想ルータ ID, 仮想アドレス、優先度の設定
を行います。以下の設定を行ってください。
設定項目
パラメータ
仮想ルータ ID
1
仮想アドレス
192.168.0.1/24
優先度
200
インタフェース
lan0
監視グループ
SEIL-C
245
第 7 章 ネットワークでの利用例
7.11. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼
■ 記述例
¶
³
# vrrp lan0 vrid 1 address 192.168.0.1/24 priority 200 watch SEIL-C
µ
´
■ パラメータ解説
vrrp lan0
VRRP を動作させるインタフェースとして「lan0」を設定します。
vrid 1
仮想ルータ ID(Virtual Router ID) として「1」を設定します。
address 192.168.0.1/24
仮想 IP アドレスとして「192.168.0.1」を、ネットマスクとして lan0 のネットマスク
である「24」を設定します。
priority 200
優先度 (priority) として「200」を設定します。
watch SEIL-C
監視グループとして「SEIL-C」を設定します。
(3)メイン機器の設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
(4)バックアップ機器の VRRP を設定する
SEIL-B に管理者アカウントでログインし、VRRP の仮想ルータ ID, 仮想アドレス、優先度の設定
を行います。以下の設定を行ってください。
246
設定項目
パラメータ
仮想ルータ ID
1
仮想アドレス
192.168.0.1/24
優先度
100
インタフェース
lan0
第 7 章 ネットワークでの利用例
7.11. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼
■ 記述例
¶
³
# vrrp lan0 vrid 1 address 192.168.0.1/24 priority 100
µ
´
■ パラメータ解説
vrrp lan0
VRRP を動作させるインタフェースとして「lan0」を設定します。
vrid 1
仮想ルータ ID(Virtual Router ID) として「1」を設定します。メイン機器と同じ ID を
指定する必要があります。
address 192.168.0.1/24
仮想 IP アドレスとして「192.168.0.1」を、ネットマスクとして lan0 のネットマスク
である「24」を設定します。メイン機器と同じ IP アドレス/ネットマスクを指定する
必要があります。
priority 100
優先度 (priority) として「100」を設定します。バックアップ機器の優先度はメイン機
器の優先度より小さくする必要があります。
(5)バックアップ機器の設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で、VRRP において回線障害を検出する場合の設定は完了です。変更した設定はバックアッ
プをとっておくことをお勧めします。
247
第 7 章 ネットワークでの利用例
7.12. データの送信を制御する
7.12 データの送信を制御する
インターネットでは、同一の経路を通過するトラフィック間でネットワークの帯域は共有されていま
す。そのため、Web サーバへアクセスしている最中に FTP サーバからのデータ転送を行うと、その影
響で Web サーバからデータを送るための帯域が減少してしまい、Web ページがスムーズに表示されな
くなるというような状況が起こる可能性があります。
CS-SEIL-510/C は CBQ(Class-Based Queueing) を用いた帯域制御機能を提供しています。CSSEIL-510/C の帯域制御機能を使用することで、特定のトラフィックに適切な帯域を割り当て、その帯
域までは他のトラフィックの影響を受けないようにするといった制御を行うことができます。
■ 7.12.1
CBQ の設定
本節では ADSL によるインターネット接続を想定して、全体のトラフィックを Web サーバへのアク
セス (http)、下りの TCP トラフィックに対する ACK(ack)、その他のトラフィック (other) の 3 つに分
け、それぞれに帯域を割り当てる場合の設定例をご説明します。IPv4、IPv6 両方に対応していますが、
ここでは IPv4 での設定方法についてご説明します。
※ SEIL で帯域制御の設定が行えるのは LAN1 側への出力だけです (PPPoE による LAN1 側への出
力も含まれます)。
設計
(1) 帯域を絞る
LAN1 側に接続されているメディアコンバータ (ADSL モデムなど) の先が 10Mbps 未満の場合、
それ以上の帯域で送信を行うと帯域制御の正しい効果が得られません。そのためメディアコン
バータ (ADSL モデムなど) の仕様に合わせて帯域を絞る必要があります。本節では、例として上
り 1Mbps の ADSL での設定をご説明します。
(2) 帯域の割り当てを設計する
帯域制御を行うトラフィックを分類します。分類したトラフィックをクラスと呼びます。この例
では、Web サーバへのアクセス、TCP の ACK、その他、というトラフィックをそれぞれ「http」
クラス、「ack」クラス、「other」クラスの 3 つに分類します。クラスが決まったら、クラスごと
に割り当てる帯域の量を決めます。割り当てる帯域の量は全帯域に対する割合 (%) で表します。
※ CS-SEIL-510/C では全帯域を 10Mbps と 100Mbps の 2 つから選択できます (デフォルトは
10Mbps です)。LAN1 側の通信速度が全帯域の設定値と同じになっていることを確認してく
ださい。
本節では、全体の帯域を「ADSL」クラス 10% に制限し、このクラスの中で更に
248
第 7 章 ネットワークでの利用例
7.12. データの送信を制御する
「http」クラス
3%
「ack」クラス
3%
「other」クラス 4%
と割り当てることにします。
設定の流れ
(1)クラスを設定する
設計した帯域割り当てに従ってクラスの設定を行います。
(2)各クラスにフィルタを設定する
設定したクラスに目的のトラフィックが分類されるようにフィルタの設定を行います。
(3)帯域制御を有効にする
帯域制御機能を有効化します。
(4)設定を保存する
すべての設定が終了したら、設定を保存します。
設定手順
(1)クラスを設定する
決定した帯域の割り当て方に従ってクラスの設定を行います。はじめに「ADSL」クラスの設定
手順を説明します。次に「http」クラスの手順を説明しますので、
「ack」クラス、
「other」クラス
も同様に設定してください。
SEIL に管理者アカウントでログインし、クラス情報の追加をします。以下の設定を行ってくだ
さい。
設定項目
パラメータ
クラス名
ADSL
親クラス名
default
帯域幅
10
borrow
off
■ 記述例
¶
³
# cbq class add ADSL parent default pbandwidth 10 borrow off
µ
´
■ パラメータ解説
cbq class add ADSL parent default
クラス名として「ADSL」を、親クラス名として「default」を設定します。
249
第 7 章 ネットワークでの利用例
7.12. データの送信を制御する
pbandwidth 10
続けて、割り当てる帯域幅として、adsl クラスに割り当てる帯域幅は全帯域に対して
10% に設計したため「10」を設定します。
borrow off
続けて、borrow は、設定した値より多くの帯域を消費しないように「off」を設定し
ます。
※ default クラスは帯域幅が 100
「http」クラスの設定を行います。以下の設定を行ってください。
設定項目
パラメータ
クラス名
http
親クラス名
ADSL
帯域幅
3
borrow
on
■ 記述例
¶
³
# cbq class add http parent ADSL pbandwidth 3 borrow on
µ
´
■ パラメータ解説
cbq class add http parent ADSL
続けて、クラス名として「http」を、親クラス名として「ADSL」を設定します。
pbandwidth 3
続けて、割り当てる帯域幅として、http クラスに割り当てる帯域幅は全帯域の 3% に
設計したため「3」を設定します。
borrow on
続けて、borrow は、親クラスから帯域を借りることができるように「on」を設定し
ます。
残りのクラスについても同様に、以下の設定を行ってください。
※「ack」クラスの設定を行う場合、
「http」クラスの設定を行った場合と異なる点は、クラス名
を「ack」とする点です。割り当てる帯域は、「http」クラスと同じ 3% に設計したので「3」
を指定します。
※「other」クラスの設定を行う場合、「http」クラスの設定を行った場合と異なる点は、クラス
名を「other」とする点です。割り当てる帯域は、4% に設計したので「4」を指定します。
「ack」クラスに関する設定項目は以下の通りです。
250
第 7 章 ネットワークでの利用例
7.12. データの送信を制御する
設定項目
パラメータ
クラス名
ack
親クラス名
ADSL
帯域幅
3
borrow
on
「other」クラスに関する設定項目は以下の通りです。
設定項目
パラメータ
クラス名
other
親クラス名
ADSL
帯域幅
4
borrow
on
(2)各クラスにフィルタを設定する
クラスの設定が終了したら、すべてのトラフィックが目的のクラスに分類されるようフィルタを
設定します。
「http」クラスにフィルタを設定します。以下の設定を行ってください。
設定項目
パラメータ
クラス分けフィルタ名
http filter
クラス名
http
パケットのカテゴリー
ip
プロトコル
tcp
送信元ポート番号
80
有効/無効
enable
■ 記述例
¶
³
# cbq filter add http filter class http category ip
protocol tcp srcport 80 enable
µ
´
■ パラメータ解説
cba filter add http filter
クラス分けフィルタ名を設定します。ここでは例として、HTTP 用のフィルタである
ことが分かるように「http filter」とします。
class http
続けて、関連づけるクラス名として「http」を設定します。
251
第 7 章 ネットワークでの利用例
7.12. データの送信を制御する
category ip
続けて、フィルタが適用されるパケットのカテゴリーとして「ip」を設定します。
※ IPv6 による通信をおこなう場合、カテゴリーとして「ipv6」を設定します。
protocol tcp srcport 80
続けて、HTTP のプロトコルとして「tcp」を、送信元ポート番号として「80」を設定
します。
enable
続けて、設定を有効にするため「enable」を設定します。
「ack」クラスについても同様に設定します。以下の設定を行ってください。
設定項目
パラメータ
クラス分けフィルタ名
ack filter
クラス名
ack
パケットのカテゴリー
ip
プロトコル
tcp-ack
有効/無効
enable
■ 記述例
¶
³
# cbq filter add ack filter class ack category ip
protocol tcp-ack enable
µ
´
■ パラメータ解説
cbq filter add ack filter
クラス分けフィルタ名を設定します。ここでは例として、ACK 用のフィルタであるこ
とが分かるように「ack filter」とします。
catgory ip
続けて、関連づけるクラス名として「ack」を設定します。
category ip
続けて、フィルタが適用されるパケットのカテゴリーとして「ip」を設定します。
※ IPv6 による通信をおこなう場合、カテゴリーとして「ipv6」を設定します。
protocol tcp-ack
続けて、ACK のみの TCP パケットを対象とするため、プロトコルとして「tcp-ack」
を設定します。
252
第 7 章 ネットワークでの利用例
7.12. データの送信を制御する
enable
続けて、設定を有効にするため「enable」を設定します。
「other」クラスの設定は、「http」クラス、「ack」クラスの設定とは多少異なります。「other」ク
ラスのフィルタには次の 3 つの異なるフィルタ種別が存在します。
• IPv4 による通信を行う場合
• IPv6 による通信を行う場合
• ブリッジ機能を使用する場合
これらのフィルタを追加してはじめて「other」クラスのクラス分けフィルタの定義が完了しま
す。フィルタ種別が IPv4/IPv6 におけるプロトコルが「すべて」、あるいは Ether における MAC
タイプが「すべて」のクラス分けフィルタは、各々のフィルタ種別におけるすべてのパケットの
クラス分けを行うために使用します。
※ 実際の設定においても、
「other」クラスに類するクラスを定義するためには、必ず IPv4、IPv6
および Ether のすべてのフィルタ種別について本事例のようなフィルタの記述をすることを
お勧めします。
「other」クラスにおけるフィルタ種別ごとの設定例を以下に示します。
IPv4 による通信を行う場合、以下の設定を行ってください。
設定項目
パラメータ
クラス分けフィルタ名
other filter01
クラス名
other
パケットのカテゴリー
ip
プロトコル
any
有効/無効
enable
■ 記述例
¶
³
# cbq filter add other filter01 class other category ip
protocol any enable
µ
´
■ パラメータ解説
cbq filter add other filter01
クラス分けフィルタ名を設定します。ここでは例として、HTTP と ACK 以外のトラ
フィックであることが分かるように「other filter01」とします。
class other
続けて、関連づけるクラスとして「other」を設定します。
category ip
続けて、フィルタが適用されるパケットのカテゴリーとして「ip」を設定します。
253
第 7 章 ネットワークでの利用例
7.12. データの送信を制御する
protocol any
続けて、プロトコルとして、http filter と ack filter の対象とならなかったすべてのパ
ケットを対象とするため「any」を設定します。
enable
続けて、設定を有効にするため「enable」を設定します。
IPv6 による通信を行う場合、以下の設定を行ってください。
設定項目
パラメータ
クラス分けフィルタ名
other filter02
クラス名
other
パケットのカテゴリー
ipv6
プロトコル
any
有効/無効
enable
■ 記述例
¶
³
# cbq filter add other filter02 class other category ipv6
protocol any enable
µ
´
■ パラメータ解説
cbq filter add other filter02
クラス分けフィルタ名を設定します。ここでは例として、HTTP と ACK 以外のトラ
フィックであることが分かるように「other filter02」とします。
class ack
続けて、関連づけるクラスとして「other」を設定します。
category ipv6
続けて、フィルタが適用されるパケットのカテゴリーとして「ipv6」を設定します。
protocol any
続けて、プロトコルとして、http filter と ack filter の対象とならなかったすべてのパ
ケットを対象とするため「any」を設定します。
enable
続けて、設定を有効にするため「enable」を設定します。
254
第 7 章 ネットワークでの利用例
7.12. データの送信を制御する
ブリッジ機能を使用する場合、以下の設定を行ってください。
設定項目
パラメータ
クラス分けフィルタ名
other filter03
クラス名
other
パケットのカテゴリー
ether
プロトコル
any
有効/無効
enable
■ 記述例
¶
³
# cbq filter add other filter03 class other category ether
protocol any enable
µ
´
■ パラメータ解説
cbq filter add other filter03
クラス分けフィルタ名を設定します。ここでは例として、HTTP と ACK 以外のトラ
フィックであることが分かるように「other filter03」とします。
class other
続けて、関連づけるクラスとして「other」を設定します。
category ether
続けて、フィルタが適用されるパケットのカテゴリーとして「ether」を設定します。
protocol any
続けて、プロトコルとして、http filter と ack filter の対象とならなかったすべてのパ
ケットを対象とするため「any」を設定します。
enable
続けて、設定を有効にするため「enable」を設定します。
※ クラス分けフィルタは、コンフィグの表示の上から順に評価が行われ、最初に一致するフィ
ルタによってクラス分けが行われます。どのフィルタにも一致しないデータは default クラ
スに分類されます。通常は本節の「other」クラスと同様の設定を行い、データが default ク
ラスに分類されないようにご注意ください。
(3)帯域制御を有効にする
以下の設定を行ってください。
設定項目
パラメータ
インタフェース名
lan1
キューイング方式
cbq
255
第 7 章 資料・付録
■ 記述例
¶
³
# interface lan1 queue cbq
µ
´
■ パラメータ解説
interface lan1
CBQ を使用するインタフェースとして「lan1」を設定します。
queue cbq
続けて、帯域制御を有効にするため、キューイング方式として「cbq」を設定します。
(4)設定を保存する
すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó– [6.3.1
¤
¡
設定内容の保存・読込 £P.61 ¢ ]をご覧ください。
以上で、帯域制御の設定は完了です。変更した設定内容はバックアップをとっておくことをお勧
めします。
256
第 8 章 資料・付録
8.1. 仕様について
第 8 章 資料・付録
CS-SEIL-510/C の仕様や、ネットワークを利用する際によく使われる専門用語( ó– [8.2 ネット
¤
¡
ワーク用語集 £P.267 ¢ ])などについて分かりやすくご説明します。
8.1
仕様について
■ 8.1.1
機能一覧
暗号処理
LAN
ハードウェア
CPU
IXP422 266MHz
メモリ
RAM 64MB, Flash ROM 16MB
インターフェイス
10BASE-T/100BASE-TX, Auto Negotiation, Auto
MDI/MDI-X, 固定設定可能, IEEE802.3 準拠 <RJ-45>
WAN
VLAN
最大 8 エントリ, IEEE802.1Q 準拠
インターフェイス
10BASE-T/100BASE-TX, Auto Negotiation, Auto
MDI/MDI-X, 固定設定可能, IEEE802.3 準拠 <RJ-45>
適応回線・適応接続サービス
Ethernet-WAN, CATV, ADSL/SDSL, FTTH,
その他ブロードバンドサービス
シリアルポート
コンソールポート <RJ-45>
プロトコル
IPv4, IPv6,
PPPoE(最大 4 セッション,Numbered/Unnumbered)
Bridge
Pure Bridge
IEEE802.1Q フレーム透過可能
Brouter
IPv4,IPv6 on/off 可能
MAC Address フィルタ
static(最大登録数 32)、リストベース ∗1
Static ARP
○
Proxy ARP
○
257
第 8 章 資料・付録
8.1. 仕様について
Routing
ルーティングプロトコル
static(最大登録数 IPv4, IPv6 各 512),
MultiPath
static, OSPF Equal-Cost MultiPath
Policy Routing
○ (IPv4)
マルチキャスト
IPv4 Multicast(PIM-SM)
RIP/RIP2, RIPng, OSPF
IPv6 Multicast(PIM-SM)
ルーティング性能
ルーティングテーブル
98 Mbps ∗2
最大経路数 IPv4, IPv6 各 4096
(静的経路含む)
IP Unnumbered
○
OSPF Unnumbered
○
discard 経路
○
static 経路自動切替
∗3
○
○
VRRP
VPN
IPsec(with IKE)
暗号化アルゴリズム
最大 64 対向, トンネル/トランスポート
DES∗4 ,3DES∗4 , Blowfish, CAST-128,
AES(Rijndael)∗4
認証アルゴリズム
HMAC-MD5∗4 ,HMAC-SHA1∗4 ,
KEYED-MD5, KEYED-SHA1
片端固定 IPsec
IP Tunnel
○
IPsec インターフェイス
○
VPN 性能
43Mbps ∗2
L2TPv3
○ (最大 64 対向)
IP トンネルプロトコル
IPv4-IPv4,IPv4-IPv6,IPv6-IPv4,IPv6-IPv6
(最大 64 対向)
○
IP Tunnel Unnumbered
IPv4,IPv6 デュアルスタック
IPv4-IPv6 トランスレータ
○
TRT
[IPv6-to-IPv4 transport relay translator]
Firewall
IP フィルタ
最大登録数 IPv4, IPv6 各 512
ステートフルパケットインスペクション
○
フィルタ項目
インターフェイス, 方向, プロトコル,
宛先/送信元アドレス, 宛先/送信元ポート
NAT
uRPF
○
Winny フィルタ
○
NAT/NAPT
○
Static NAT
最大登録数 256, 範囲指定可能
Static NAPT
最大登録数 256, ポート範囲指定可能
Reflection NAT
○
NAT 連動 Proxy ARP
NAT テーブル
○
最大 4096 セッション
(Static NAT/Static NAPT 含む)
258
UPnP
○
SIP 対応
○ (SIP transparent proxy)
IPsec 透過
1 セッション透過可能
PPTP 透過
複数セッション透過可能
第 8 章 資料・付録
8.1. 仕様について
QoS
CBQ
制御方式
帯域制御/優先制御
クラス
カテゴリ, プロトコル, アドレス, ポート,MAC タイプ,
パケット長,VLAN ID,VLAN Priority,ToS フィールド
DHCP
DHCPv6
DHCP サーバ
最大 1021 クライアント (WINS 対応)
DHCP クライアント
○
DHCP 中継
○
Prefix Delegation
○
ルータ広告
○
DNS 中継
○
NTP
NTP サーバ/NTP クライアント
インターフェイス状態監視
IPv4,IPv6,on/off 可能
ICMP リダイレクトメッセージ発行抑止
IPv4,IPv6
自動設定/遠隔保守/遠隔監視 ∗5
○
設定/運用/
telnet
管理
Secure Shell
telnet サーバ/telnet クライアント
Secure Shell Protocol Ver.1
Secure Shell Protocol Ver2.(RSA/DSA)
Web インターフェイス
簡易設定, 各種グラフ表示 ∗6
SNMP
SNMPv1,SNMPv2c,SNMPv3,MIB II,IPv6 MIB
syslog
その他
○
ログ情報一括採取,Terminal Server,
回線トレース, 死活監視 ∗7
認定/準拠
VCCI
Class A 準拠
寸法
外形寸法
81mm(W) x 117mm(D) x 32mm(H)
重量
約 300g(AC アダプタ含まず)
使用電源
AC 100 V, 50/60 Hz
皮相電力
約 15VA(最大)
環境
∗1
∗2
∗3
∗4
∗5
∗6
∗7
消費電力
約 7W(最大)
動作環境条件
0 ℃∼40 ℃, 10%∼85%(結露なきこと)
外部ホストから取得した MAC アドレスリストを元に、リストに一致した MAC アドレスからの通信を Pass 又は Block す
る機能。リストには約 20,000 の MAC アドレスが記載可能。
実測値に基づく。VPN 性能は ESP-Auth(3DES+HMAC-SHA1) 利用時の実測値(1408 バイトフレーム送信時)。
静的経路の転送先 (gateway) を ICMP Echo Request により監視。監視条件に該当すると、経路表から削除する機能。
専用 IC によるハードウェア処理。
SMF サービスへの申込が必要。
帯域使用率、帯域制御状態、システム負荷、CPU 使用率、メモリ使用率。
LAN 内にあるホストを ICMP Echo Request により監視。障害検出時には syslog へログを保存し、snmp trap を任意のホス
トに送信。
259
第 8 章 資料・付録
8.1. 仕様について
■ 8.1.2
初期設定値(工場出荷状態)一覧
LAN0 側 IP アドレス/ネットマスク
192.168.0.1/24
ルーティング設定
pppoe0 へのデフォルトルート(IPv4 のみ)
フィルタリング設定
未設定
NAT 設定
未設定
NAPT 設定
変換対象アドレス
192.168.0.0∼192.168.255.255
変換対象インタフェース
pppoe0
NAT タイマ値
900 秒
UPnP 機能
OFF
DHCP サーバ機能
ON
DHCP
対象インタフェース
LAN0
配布パラメータ
リース先頭アドレス
192.168.0.2
リースアドレスの数
253
DNS サーバアドレス
192.168.0.1
有効時間
24 時間
DNS forwarder
IPCP 取得アドレスに転送
DNS resolver
未設定
NTP サーバ機能
OFF
IPsec 設定
未設定
IKE
次項 <IKE> 参照
帯域制御設定
未設定
DEBUG ログ取得
OFF
LAN1 側トレース情報取得
OFF
syslog
260
debug-level
OFF
remote 転送
OFF
facility
local1
SNMP 設定
未設定
Web/telnet パスワード
admin,user 共に未設定
動的ルーティング
未設定
IPv4 マルチキャスト
未設定
IPv6 マルチキャスト
未設定
Bridge
未設定
ルータ広告
OFF
トンネル
未設定
IPsec インタフェース
未設定
VLAN
未設定
PPPoE 設定
pppoe0 を LAN1 上で使用
PPPoE エントリ
次項 <PPPoE> 参照
httpd
enable
telnetd
enable
sshd
disable
第 8 章 資料・付録
8.1. 仕様について
■ IKE phase 1
設定 1
設定 2
暗号化アルゴリズム
3DES
ハッシュアルゴリズム
SHA1
認証メソッド
Preshared key
DH group
MODP1536
life time
24 時間
暗号化アルゴリズム
DES
ハッシュアルゴリズム
MD5
認証メソッド
Preshared key
DH group
MODP768
life time
8 時間
■ IKE phase 2
設定 1
PFS group
MODP1536
暗号化アルゴリズム
3DES,DES
認証アルゴリズム
HMAC-SHA1,HMAC-MD5
設定 2
life time
3 時間
PFS group
MODP768
暗号化アルゴリズム
DES,3DES
認証アルゴリズム
HMAC-MD5,HMAC-SHA1
life time
30 分
※ phase 1, phase 2 ともに、プロポーザルの設定が 2 つあります。
■ PPPoE 設定
エントリー名
pppoe-sample
IPCP の有効/無効
有効
IPCP アドレスオプション
有効
IPCP DNS オプション
有効
IPv6CP の有効/無効
有効
TCP MSS
auto
認証 ID
未設定
認証パスワード
未設定
認証方式
CHAP
261
第 8 章 資料・付録
8.1. 仕様について
■ 8.1.3
ハードウェア仕様
■ LAN0、LAN1 ポート仕様
12345678
12345678
LAN0
LAN1
MDI
262
MDI-X
Contact
Mark
Signal Name
Mark
Signal Name
1
TX+
Transmit Signal (+)
RX+
Receive Signal (+)
2
TX−
Transmit Signal (−)
RX−
Receive Signal (−)
3
RX+
Receive Signal (+)
TX+
Transmit Signal (+)
4
NC
Unused
NC
Unused
5
NC
Unused
NC
Unused
6
RX−
Receive Signal (−)
TX−
Transmit Signal (−)
7
NC
Unused
NC
Unused
8
NC
Unused
NC
Unused
項目
仕様
伝送速度
10/100Mbps
準拠規格
IEEE 802.3 (10BASE-T), IEEE 802.3u (100BASE-TX)
コネクタ
RJ-45 (MDI/MDI-X 自動認識可能)
第 8 章 資料・付録
8.1. 仕様について
■ シリアル・ポート仕様
項目
仕様
回線仕様
全二重、調歩同期方式
電気的仕様
V.28 準拠
I/F 仕様
RS-232C (DTE)
コネクタ
RJ-45
伝送速度 (bps)
4800, 9600, 14400, 19200, 28800, 38400, 57600,
115200 (工場出荷設定では 9600)
データ長
8bit
パリティ
なし
ストップビット
1
フロー制御
なし。リモートコンソール設定ポートのみ RS/CS フ
ロー制御
■ 7 セグメント LED 仕様
CS-SEIL-510/C 前面 7 セグメント LED の点灯状態の詳細です。
263
第 8 章 資料・付録
8.1. 仕様について
b
a
h
c
g
d
f
e
状態
a
b
c
d
e
f
g
h
消灯
消灯
消灯
消灯
消灯
消灯
消灯
消灯
電源オフ
-
-
-
-
-
-
-
点滅
firmware が動作中
点灯
点灯
点灯
点灯
点灯
点灯
点灯
-
FLASH ROM の消去または
書込み中
-
点灯
点滅周期 3
-
-
-
-
-
SDRAM チェックでエラー
が起きた
-
点灯
点滅周期 4
-
-
-
-
-
回復できない IPL のソフト
エラー (exception)
-
点灯
点滅周期 5
-
-
-
-
-
ブート時にファームの展開
に失敗した
-
点灯
点滅周期 6
-
-
-
-
-
ファームウェア領域が空だ
った
-
点灯
-
-
-
-
-
-
SMF で情報取得中
-
点灯
-
-
点灯
-
-
-
iSUP からのデータ取得失
敗
-
点灯
-
-
-
点灯
-
-
uSUP からのデータ取得失
敗
-
点灯
-
-
点灯
点灯
-
-
uSUP からのデータ取得失
敗 (uSUP キャッシュ使用)
-
-
-
-
-
-
点灯
-
LAN1 がリンクアップして
いる
-
-
-
点灯
-
-
-
-
LAN0 がリンクアップして
いる
表 8.1: LAN LED 仕様
264
第 8 章 資料・付録
8.1. 仕様について
■ 8.1.4
ネットマスク/ポート番号一覧
割当て IP アドレスとネットマスク値との対応一覧表です。プライベートアドレスの割当範囲の設定
などにご利用ください。
■ ネットマスク対応一覧表
設定値
ネットマスク
設定値
ネットマスク
/32
255.255.255.255
/16
255.255.0.0
/31
255.255.255.254
/15
255.254.0.0
/30
255.255.255.252
/14
255.252.0.0
/29
255.255.255.248
/13
255.248.0.0
/28
255.255.255.240
/12
255.240.0.0
/27
255.255.255.224
/11
255.224.0.0
/26
255.255.255.192
/10
255.192.0.0
/25
255.255.255.128
/9
255.128.0.0
/24
255.255.255.0
/8
255.0.0.0
/23
255.255.254.0
/7
254.0.0.0
/22
255.255.252.0
/6
252.0.0.0
/21
255.255.248.0
/5
248.0.0.0
/20
255.255.240.0
/4
240.0.0.0
/19
255.255.224.0
/3
224.0.0.0
/18
255.255.192.0
/2
192.0.0.0
/17
255.255.128.0
/1
128.0.0.0
265
第 8 章 資料・付録
8.1. 仕様について
■ 8.1.5
ポート番号一覧
通常利用される代表的なポート番号の一覧です。フィルタリング情報の設定などにご利用ください。
■ ポート番号一覧表
ポート番号
プロトコル
名 前
説 明
20
tcp
ftpdata
ftp によるデータ転送
21
tcp
ftp
一般的な FTP
22
tcp
ssh
一般的な SecuerShell
23
tcp
telnet
一般的な Telnet
25
tcp
smtp
メール送信
53
tcp・udp
domain
名前解決
80
tcp
http
一般的な HTTP
110
tcp
pop3
メール受信
119
tcp
nntp
News の配信
137
udp
netbios
Windows 系 OS のデータ送受信
138
udp
139
tcp
445
tcp・udp
Direct hosted SMB
Windows 系 OS のデータ送受信
143
tcp
imap4
IMAP4 によるメール受信
443
tcp
https
暗号化された http
67
udp
dhcps
コンピュータ設定情報の提供(サーバ
側)
68
udp
dhcpc
コンピュータ設定情報の取得(クライ
アント側)
266
123
udp
ntp
時刻同期
161
udp
snmp
ネットワーク管理
162
udp
snmp-trap
ネットワーク管理(トラップ)
500
udp
ike
IKE
520
udp
rip
RIP
521
udp
ripng
RIPng
514
udp
syslog
SYSLOG
第 8 章 資料・付録
8.2. ネットワーク用語集
8.2
ネットワーク用語集
用 語
説 明
10BASE-T/
LAN の規格として幅広く利用されているイーサネットの仕様です。
100BASE-TX
10/100Mbps の伝送速度でデータ伝送が可能で、伝送方式にベースバ
ンド方式を採用し、伝送媒体がツイストペアケーブルを用いています。
10BASE-T/100BASE-TX ポートがないコンピュータを接続する場合に
は LAN ボード/カードが必要になります。
3DES
Triple Data Encryption Standard(データ暗号標準)の略で、共通鍵暗号
方式で使用される暗号アルゴリズムのひとつです。
ACK
ACKnowledgement の略で、データ送受信時の確認を示す信号です。
データ転送を開始しようとするデバイスは、データの受信先にデータ
転送開始の要求を送ります。この要求に対して、受信側から送付される
「送信許可」信号が ACK です。
ADSL
Asymmetric Digital Subscriber Line の略で一般的な電話回線を利用して
高速デジタル通信を実現させる技術です。上りの伝送速度よりも下りの
伝送速度のほうが格段に早い非対称型の DSL 回線です。DSL というの
は Digital Subscriber Line の略でデジタル加入者線のことです。様々な
DSL 回線方式を総称して xDSL と呼びます。
AH
Authentication Header の略で、セキュリティプロトコルの一種です。IP
データグラムにハッシュ関数(一方向性関数)で処理した結果である
メッセージダイジェスト値を付加することで、 IP データグラムの送信
者認証と、IP データグラムに対する改変を検出する機能を提供します。
BLOWFISH
共通鍵暗号方式に利用される対称暗号アルゴリズムです。
CAST128
Carlisle Adams の開発した暗号アルゴリズムの一種で、DES に似た暗号
アルゴリズムです。
CATV 接続
CATV(Cable Television)が使っているケーブルをインターネットに接
続するための回線として利用します。ケーブルモデムを利用して周波数
の異なるテレビ映像のアナログデータとコンピュータによるデジタル
データを多重伝送します。
CBQ
Class-Based Queueing の略で、トラフィックをデータのパターンによっ
てクラスと呼ばれる単位に分類し、クラスごとにパケットをキューイン
グしながらスループットを監視して、各クラスが占める帯域を調整する
ための仕組みです。CBQ には未使用の帯域を他のクラスに振り分ける
ことができるという特長があり、クラスを階層化することによって柔軟
な帯域制御が可能です。
267
第 8 章 資料・付録
8.2. ネットワーク用語集
CSMA/CD
Carrier Sense Multiple Access with Collision Detection の略で LAN のア
クセス方式のひとつです。キャリア検知、多重アクセス、衝突検出の 3
つの方式から成り立っています。データ送信前にネットワーク内にデー
タが流れているかどうかを検知し、データが流れている場合はネット
ワークが空くのを待ってからデータ送信をはじめます。もしデータの衝
突が発生しデータが壊れた場合は、ネットワーク内のノードに対し衝突
検出の通知を出し、ランダム時間待機してからデータの再送を行います。
CSU
Channel Service Unit の略で、TA(Terminal Adapter)の一種です。
DES
Deta Encryption Standard の略で、データ暗号標準のことです。イン
ターネットで使われる暗号アルゴリズムの 1 つです。
DH
Diffie-Hellman Key Agreement の略で Diffie と Hellman によって発明さ
れた暗号アルゴリズムのことです。
DHCP
Dynamic Host Configuration Protocol の略で、ネットワークパラメータ
の自動設定を行うクライアント/サーバ型のプロトコルです。DHCP サー
バは DHCP クライアントに対して IP アドレスをはじめとして、サブ
ネットマスク、デフォルトゲートウェイのアドレス、DNS サーバのアド
レス、DHCP サーバアドレスなどを通知します。
DNS
Domain Name System の略で、数値で表現される IP アドレスと、分か
りやすい文字列で表現される名前(ホスト名)とを対応させるための分
散型データベースです。DNS はインターネット内で分散管理されてお
り、ドメイン名によって階層的に割り当てられます。
DSU
Digital Service Unit(デジタル回線接続装置)の略で、デジタル回線に端
末装置を接続するための装置のことです。
ESP
Encapsulating Security Payload の略で、セキュリティプロトコルの一
種です。IP データグラムのペイロード部分を暗号化することによって、
秘匿性を提供します。ESP 処理されたパケットは、ネットワークの途中
経路上でのデータの覗き見を防御します。
Ethernet
LAN 形式の一種です。Ethernet には数種類の仕様が規定されています
が、IEEE802 委員会が作成した CSMA/CD 形式が主流となっています。
使用するケーブル、伝送速度によって様々なタイプがあります。
FTP
File Transfer Protocol の略で、インターネット上でファイルを転送する
ためのプロトコルです。FTP によるファイルの送受信をサポートしてい
るサーバのことを FTP サーバといい、FTP サーバのあるネットワーク
では FTP を利用したファイルの送受信ができます。
FTTH
Fiber To The Home の略で、光ファイバを家庭に引き込み高速インター
ネット環境を実現する計画で、2001 年から本格的なサービスが開始しま
した。利用者宅内と集線局を光ファイバでつなぎ、集線局からインター
ネットに接続します。利用者宅内と集線局にそれぞれメディアコンバー
タと呼ばれる装置を設置する必要があります。メディアコンバータが、
電気信号と光信号のデータ変換を行います。
268
第 8 章 資料・付録
8.2. ネットワーク用語集
HTML
HyperText Markup Language の略でハイパーテキストを記述するための
言語です。”<”と”>”で挟んだ予約語を使って、テキストのレイアウトや、
画像ファイルなどの位置、リンク先などを記述します。WWW サーバが
蓄積している HTML 形式のデータを、WWW ブラウザを利用して読み込
むことで WWW ブラウジングが可能になります。
HTTP
Hyper Text Transfer Protocol の略で、WWW サーバと WWW クライア
ント間において、HTML ファイルなどの文書を転送するために用いられ
る通信プロトコルです。
HTTPS
Hyper Text Transfer Protocol Security の略で HTML ファイルの転送を行
う HTTP に SSL によるデータの暗号化機能を付加したプロトコルのこ
とです。サーバとブラウザの間の通信を暗号化し、個人情報やクレジッ
トカード番号など重要なデータの漏洩や盗聴を防ぎます。
HUB
複数のコンピュータを接続してネットワークを構築する際に使われる機
器です。10BASE-T/100BASE-TX のポートを 4∼8 個備えている機器で
あれば、かなり安価に購入することができますので、オフィス内などで
小規模なネットワークを構築する場合によく用いられます。
ICMP
Internet Control Message Protocol の略で、エラーの通知や通信状況の
判定を行う制御用のプロトコルです。エラー時には、パケットを送出し
た機器や 1 つ手前のルータに問題発生の状況を通知します。また、通信
相手の状況を問い合わせる機能も持ちます。シンプルに作られている IP
の脆弱な部分を補完し、信頼性を向上することが ICMP の役割です。
IEEE
The Institute of Electrical and Electronics Engineers の略で、電気や電子
関連の技術の標準化を行うアメリカの電気電子技術者協会のことです。
LAN に関する標準化については IEEE802 委員会が行っています。
IKE
Internet Key Exchange の略で、IPsec などで使用される秘密鍵や共有鍵
の自動交換に使われるプロトコルです。IKE を使うことで、IPsec で使
用する鍵の定期的な変更が容易になり、更に高いセキュリティを確保す
ることができます。
IMAP4
Internet Message Access Protocol version4 の略でメールサーバ上の電
子メールを閲覧・管理するプロトコルです。電子メールをサーバ上で管
理するため、異なる端末から 1 つの電子メール環境を管理することがで
き、モバイル環境に適した方式です。
IP
Internet Protocol の略で、インターネットを構成する通信機器が共通に
利用する プロトコルです。インターネットで通信を行うとき、データは
通信経路上のノードを中継して通信相手まで届けられますが、IP はこの
データ中継の役目を担います。IP はパケットが通信相手に届くように努
力はしますが、その到達性については保証しません。この IP の特質をベ
ストエフォート型と呼びます。
269
第 8 章 資料・付録
8.2. ネットワーク用語集
IPsec
IPsec はインターネットで標準となっているネットワーク層のセキュリ
ティを実現するためのプロトコルです。AH と ESP という 2 つのセキュ
リティプロトコルと IKE という鍵交換プロトコルから構成されます。
AH、ESP の機能を用いることで、IP データグラムのセキュリティを確
保します。
IPv4 アドレス
IPv4 はネットワークに接続されているホストを一意に表すためのプロト
コルです。インターネット上では、全世界でユニークな値(グローバル
アドレス)のみ使用することができます。これに対して、家庭内や社内
でのみ使用できる値(プライベートアドレス)があり、以下の範囲で使
用可能です。
・10.0.0.0 ∼ 10.255.255.255
・172.16.0.0 ∼172.31.255.255
・192.168.0.0 ∼192.168.255.255
IPv6 アドレス
IPv6 で接続されているホストを一意に表すための数値で、4 桁ずつ”:”で
区切った 16 進数で記述します。インターネット上で使える値(グロー
バルアドレス)
、そのセグメント内でのみ使える値(リンクローカルアド
レス)があり、リンクローカルアドレスを使う場合は、一般にどのセグ
メントかを選択するための識別子を指定する必要があります。
ITU-T
International Telecommunication Union Telecommunication Standardization Sector の略で、ITU(国際電気通信連合)の下部組織である電気
通信標準化部門のことです。主に電気通信技術の標準化を行います。
MD-5
Message Digest Algorithm-5 の略で、ハッシュ関数の 1 つです。
LAN
Local Area Network の略で比較的狭い地域内でのコンピュータネット
ワークのことです。ルータを介してインターネットに接続されます。
NAPT
Network Address Port Translation の略で、複数のプライベートアドレス
を 1 つのグローバルアドレスに対応付ける機能です。この機能を利用す
ることで、プライベートアドレスを使用している複数のコンピュータを
1 つのグローバルアドレスを使ってインターネットに接続させることが
可能になります。IP Masquerading とも呼ばれています。NAT では 1 つ
のプライベートアドレスを 1 つのグローバルアドレスに変換するのに対
して、NAPT では複数のプライベートアドレスを 1 つのグローバルアド
レスに変換することが可能です。
NAT
Network Address Translation の略で、インターネット上では使用できな
いプライベートアドレスを、インターネット上で使用できるグローバル
アドレスに変換する機能です。家庭内や社内でプライベートアドレスを
使用している場合、そのアドレスのままでは直接外部と通信することは
できません。NAT は、NAT 機能を備えた機器を通過するときにそのデー
タ内のアドレスを書き換えることによって、ユーザがプライベートアド
レスやグローバルアドレスの違いを意識することなく、インターネット
を利用できる仕組みを提供します。
270
第 8 章 資料・付録
8.2. ネットワーク用語集
NetBEUI
NetBIOS Extended User Interface の略で、NETBIOS の拡張プロトコル
です。
NetBIOS
Network Basic Input/Output System の略で米 IBM が定めました。LAN
を経由してアプリケーションがデータを読み書きする場合に使われる
セッション層の通信インタフェースです。
NNTP
Network News Transfer Protocol の略で、TCP セッション上のプロトコ
ルです。ニュースというシステムで交換されている記事をインターネッ
トを用いて転送するためのプロトコルです。
NTP
Network Time Protocol の略で、インターネット上での正確な時刻情報
を提供するためのプロトコルです。NTP を利用することで分散した多数
のコンピュータ間で時刻同期をとることができます。
NTP サーバ
NTP を用いて時刻情報を提供するサーバです。一般に NTP サーバは他
の NTP サーバのクライアントとなり階層構造状に時刻の同期が取られ
ます。
ONU
Optical Network Unit の略で、光ファイバ通信網に端末装置を接続する
ための装置のことです。
OSPF
Open Shortest Path First の略で、ルーティング情報を交換するためのプ
ロトコルです。複数の経路が存在する大規模な LAN でよく使用されま
す。
Ping
TCP/IP ネットワークにおける、ICMP を使った IP パケットの到達性を
調べるためのコマンドです。
POP3
Post Office Protocol version3 の略で、メールサーバ上のメッセージをダ
ウンロードする機能と削除する機能を提供しています。
PPPoE
PPP over Ethernet の略で、 Ethernet などのネットワーク上で PPP 接
続のような利用者のユーザ名、パスワードのチェックを行うために考案
された規格のことです。
RIP
Routing Information Protocol の略で、ルーティング情報を交換するため
のプロトコルです。比較的小規模な LAN でよく使用されます。
RIPng
IPv4 で使用されている RIP を IPv6 に対応させたものです。IPv6 をサ
ポートしている機器の多くが対応しています。
Secure Shell
遠隔地からコマンドツールを使用する際、通信経路をすべて暗号化する
ことで安全性を高めたリモートシェルです。
SHA-1
Secure Hash Algorithm-1 の略でインターネット上でよく利用される
ハッシュ関数の 1 つです。
SMTP
Simple Mail Transfer Protocol の略で、電子メールを配信・投函するため
のプロトコルです。SMTP は TCP を利用しており、SMTP クライアン
トと SMTP サーバがコマンドによる会話をしながら転送処理を行いま
す。
271
第 8 章 資料・付録
8.2. ネットワーク用語集
SNMP
Simple Network Management Protocol の略で、ネットワーク機器を管
理するためのプロトコルです。SNMP を使うとネットワーク機器の状態
をネットワークを使って収集することができます。
SNMP エージェント
SNMP を使って要求された情報を提供する機能を持ったネットワーク装
置、またはソフトウェアのことです。リクエストに対して現在機器がど
ういう状態にあるかという情報を送り返すだけでなく、SNMP トラップ
をネットワーク監視装置に対して送る機能も持っています。
SNMP トラップ
ネットワーク機器がネットワーク管理を行っている装置に対してシグナ
ルを送るために使用されます。通常は、ネットワーク装置の起動、終了、
異常状態の発生など、ネットワーク装置のトラブル、またはトラブルに
なりそうなことをネットワーク監視装置に通知する場合に使用します。
SPI
Security Parameters Index の略で、認証・復号処理の際に必要となる
情報を得るための指標値のことです。SPI は AH、ESP ヘッダ内にある
SPI フィールドによって運搬されます。IPsec を用いたセキュリティ通
信を行う装置は、自分が持っているセキュリティアソシエーションの
データベースから受け取った SPI を使って認証・復号処理を行うための
情報を引き出します。
SYSLOG
UNIX で標準的に使われているシステムのログを記録するシステムです。
ネットワークを使って他のコンピュータにログを記録することも可能で
す。
TCP
Transmission Control Protocol の略でアプリケーションプログラム同士
のデータ転送サービスを提供するトランスポート層のプロトコルです。
信頼性・確実性があるために、電子メール、WWW ブラウザ、FTP など
に利用されています。通信する場合、まず相手とコネクションと呼ばれ
る通信経路を確立し、データ転送中は通信相手の状況をみてデータ量や
転送速度の調整、データの再送を行います。
TCP/IP
ネットワーク層プロトコルの IP をベースに、トランスポート層で TCP
(Transmission Control Protocol)または UDP(User Datagram Protocol)
を使って通信するプロトコル群の総称です。電子メールや Web などイ
ンターネット上のサービスは、すべて TCP/IP に基づいています。
Telnet
Telecommunication Network の略で TCP セッション上のプロトコルで
す。サーバであるコンピュータに接続して文字などのキャラクタベース
の CUI を提供します。ユーザは Telnet を使うことで遠くに離れたホス
トにログインし、ユーザ端末からコマンドを入力し、リモートマシンを
コントロールすることができます。
Traceroute
TCP/IP ネットワークにおける IP パケットのルートをトレース・検査す
るコマンドです。
272
第 8 章 資料・付録
8.2. ネットワーク用語集
transport モード
IPsec で定義される 2 つの通信モードの一つで、端末と端末との通信に
対して認証や暗号化を行う場合に使用します。トランスポートモードで
は、基本的に送受信する IP パケットの IP ヘッダを除いた部分を暗号化
します。
tunnel モード
IPsec で定義される 2 つの通信モードの一つで、ネットワーク間の通信
に対して認証や暗号化を行う場合に使用します。トンネルモードでは、
IP パケット全体を暗号化させます。
UDP
User Datagram Protocol の略で、トランスポート層プロトコルとして
データ転送サービスを提供します。TCP のようなコネクションの概念を
持たないため、同一のデータを複数の相手に送信することができますが、
転送の信頼性はありません。UDP は DHCP、SNMP、RIP などの同報を
行うプロトコルや、インターネット電話などのストリーミングデータを
扱うアプリケーションなどに利用されています。
URL
Uniform Resource Locator の略で、インターネット上のリソースへのア
クセス方法とその場所を一括して指定する表記方法です。一般化する
と、<scheme>:<scheme-specific-part> のようになります。scheme は
アクセスする方式を表し、scheme-specific-part はリソースへのアクセ
スパスを表わします。
VLAN
Virtual LAN の略で、LAN において、ケーブルやコンピュータの物理的な
接続形態に関わらず、LAN 上の特定のノードだけで仮想的なネットワー
クの構築を可能にする技術です。
VPN
Virtual Private Network の略で、離れた拠点内にあるにプライベートネッ
トワーク同士を、パブリックネットワークであるインターネットを用い
て接続し、透過的に利用できる状態にあるネットワークを表わします。
WAN
Wide Area Network の略で、閉じられた狭い範囲ではなく、非常に広い
範囲に渡って結ばれた広域ネットワークのことです。通信事業者の提供
する公衆回線や専用線などを利用して、広域に端末を設置したり、離れ
た場所にある複数の LAN を接続したりするネットワークです。
Web/
World Wide Web の略でネットワーク上に置かれたコンテンツやリソー
WWW
スにアクセスするための仕組みです。ユーザはコンテンツが置かれた
WWW サーバにアクセスして、HTTP プロトコルによってサーバ上の
データを取得し、WWW ブラウザによって処理したデータを表示させる
ことで WWW ブラウジングを行います。
Web/
WWW を閲覧するためのアプリケーションで Netscape Navigator、In-
WWW ブラウザ
ternet Explorer が代表的です。Web ブラウザは取得した HTML 文書を
処理しフォーマットを整えて WWW の閲覧を実現します。
アカウント
コンピュータネットワーク上で利用者を識別するための ID となるもの
です。アカウントによってコンピュータやネットワーク上にある資源を
利用できる権利を制限することができます。
273
第 8 章 資料・付録
8.2. ネットワーク用語集
暗号化
ネットワーク上でデータをやり取りする際に第三者からデータを盗聴
されても理解できないようにするために、鍵と呼ばれるビット列を用い
てデータを暗号に変換することを暗号化と呼びます。逆に暗号化された
データを暗号化される前の元データに変換することを復号化と呼びま
す。
インタフェース
一般的に異なるコンピュータの装置間、プログラム間、あるいはユーザと
装置の間で情報を交換する方式や接続仕様を指します。異なる装置間、
プログラム間、ユーザと装置の間の境界にあたる部分がインタフェース
となります。
カスケード接続
ポートの増設をするために、ハブなどの接続機器同士のポートをケーブ
ルでつなぐ接続方法のことです。
共通鍵暗号方式
(秘密鍵暗号方式)
データを暗号化/復号化するためには鍵と呼ばれるビット列を利用します
が、データの暗号化と復号化に同じ鍵を使用する暗号方式のことを共通
鍵暗号方式と呼びます。共通鍵は通信する相手しか知らないため秘密鍵
暗号方式とも呼ばれます。共通鍵暗号方式で使用される暗号アルゴリズ
ムの代表的なものとして、DES、3DES、RC4 などがあります。共通鍵
暗号方式では通信相手と事前に鍵を共有しておく必要があり、共有され
た鍵は preshared key(事前共有鍵)などと呼ばれます。
クライアント/
サービスの要求を受けてサービスを提供する側(サーバ)とサービスを
サーバモデル
利用する側(クライアント)という二つの要素で成り立っている通信モ
デルをクライアント/サーバモデルと呼びます。インターネットのアプリ
ケーションは主にこのクライアント/サーバモデルという概念に基づいて
作られています。
グローバルアドレス
InterNIC や JPNIC などのドメイン名管理団体から正式に割り当てられ
た世界で一意な IP アドレスをグローバルアドレスと呼びます。
公開鍵暗号方式
データを暗号化/復号化するためには鍵と呼ばれるビット列を利用します
が、公開鍵暗号化方式では暗号鍵と復号鍵の 2 つの鍵のうちどちらかを
公開します。公開された鍵は「公開鍵」と呼ばれ、公開しない鍵は「秘
密鍵」と呼ばれます。公開鍵暗号化方式で使用される暗号アルゴリズム
の代表的なものとして、RSA があります。
静的ルーティング
あらかじめ管理者が明示的に経路設定を行うルーティング方法です。
セキュリティ
認証、暗号通信を行うために、双方で合意し確立されていなければなら
アソシエーション
ない情報のことをセキュリティアソシエーションといいます。セキュリ
ティアソシエーションが持つ情報には、認証アルゴリズム、暗号アルゴ
リズム、認証鍵、暗号鍵、鍵長などがあります。
セキュリティ
ファイアウォールやルータなどの設定のルールをセキュリティポリシー
ポリシー
と呼ぶ場合があり、本マニュアルではその意味で使っています。一般的
には、セキュリティ脅威への対策として全組織的に取りまとめた情報セ
キュリティに関する基本方針をセキュリティポリシーと呼びます。
274
第 8 章 資料・付録
8.2. ネットワーク用語集
専用線
利用者が電気通信事業者から必要とする特定の区間を指定して借り受
け、専用して使用する回線のことです。
ダウンロード
ネットワークで接続されているコンピュータ間で、接続先(リモート側)
コンピュータから接続元(ローカル側)コンピュータへデータやプログ
ラムなどを転送することをダウンロードと呼びます。その逆はアップ
ロードと呼ばれます。
帯域制御
1 つのリンクを共有する複数のトラフィックに、帯域という観点から
ネットワーク資源を計画的に分配するための制御のことをいいます。あ
るトラフィックに、どんな時も最低限これだけの帯域を割り当てたい、
というような要求がある場合、帯域制御機能を使用します。
デフォルトクラス
CBQ 使用時帯域幅が 100% の予め定義されている特別なクラスを指し
ます。初めてクラスを追加する場合に、親クラスとして指定することが
できます。
動的ルーティング
ルータ同士で経路情報などをやり取りして、最適な経路を選択するルー
ティング方法です。大規模なネットワークでは、動的ルーティングが一
般的です。
トラフィック
ネットワークの通信における通信量を指します。通信経路上を流れるト
ラフィックが多くなると、情報の遅延や損失の可能性が高くなります。
ネットワークのノードでは、情報遅延や損失を防ぐために、各経路のト
ラフィックを均等化するように経路を迂回したり、必要のない情報を流
さないように経路を選択したりといった対策が必要となります。
トンネリング
インターネット上に仮想的なリンクを設定するための技術で、VPN を
実現する際等に用いられます。IP パケットを IP パケットで包んで転送
し、途中のルータの影響を最小限に抑えると同時に、暗号化などにより
セキュリティを強化することも可能です。この機能により、離れたとこ
ろにある IPv6 ネットワークを、IPv4 ネットワークを使って通信させる
ことができます。
認証
データの安全性を確保するために、通信相手や通信データの完全性、正
確性を確認することを認証と呼びます。認証の方法としてパスワード方
式、秘密鍵暗号方式に基づく方式、公開鍵暗号方式に基づく方式などが
あります。認証のために利用する鍵を認証鍵と呼ぶこともあります。
ネットマスク
ネットワークで使用できる IPv4 アドレスの範囲を指定するもので
す 。例 え ば 、ネ ッ ト ワ ー ク ア ド レ ス「192.168.0.0」、ネ ッ ト マ ス ク
「255.255.255.248」の場合、そのネットワークの範囲は「192.168.0.0∼
192.168.0.7 」となります。
ネットワーク
アドレス
特 定 の ネ ッ ト ワ ー ク 全 体 を 指 す ア ド レ ス の こ と で す 。例 え ば
「192.168.0.1/24」という IP アドレスを持つコンピュータが属するネッ
トワークのネットワークアドレスは「192.168.0.0」になります。
275
第 8 章 資料・付録
8.2. ネットワーク用語集
パケット
送信したときにデータはコンピュータ内で細かい素片に分解され一定の
形式のフレームに整えられて転送されていきます。この分解された素片
のひとつひとつをパケットと呼びます。パケットには送信者/受信者の識
別子、データの大きさなど必要な情報が付加されます。
パケット
ルータが IP パケットの送信元や受信先の IP アドレス、ポート番号など
フィルタリング
から IP パケットの通信の許可・不許可を判断し、許可しないパケットを
通過させないようにする技術です。
パス
ファイルまたはディレクトリの場所を示すための文字列です。UNIX 系
の OS では”/”で、日本語版の MS-DOS や Windows では”Y”でディレク
トリ名を区切り、ディレクトリ名とファイル名を指定します。
ハッシュ関数
暗号の一種で元の情報の長さによらずデータを一定の長さに圧縮しま
す。ハッシュは一方向関数とも呼ばれ圧縮されたデータからは復号化が
不可能であるという特性をもちます。異なるデータからハッシュ処理を
行うと異なる圧縮データが生成されますが、同じデータを同じハッシュ
で圧縮すれば同じ圧縮データが生成されます。ハッシュによって圧縮さ
れたデータをメッセージダイジェストと呼びます。
パディング
データがあるフォーマットを構成する場合、データ量が足りない場合な
どに埋め合わせとして利用されるデータをパディングと呼びます。
光専用線
光ファイバの専用線のことです。波長を使って光信号を伝送することが
できる、ガラスやプラスチックによって作られた線です。光ファイバは
周波数をあげても波形が崩れないため、高速通信を実現することができ
ます。
ファームウェア
ハードウェアに保存されている基本ソフトです。
プライベート
IP アドレス管理団体への申請なしで企業内や学校内などのプライベート
アドレス
ネットワークにおいて自由に使用できる IP アドレスのことです。プラ
イベートアドレスはグローバルネットワーク内では利用できないため、
NAT/NAPT 機能を利用してプライベートアドレスをグローバルアドレス
に変換する必要があります。
ブリッジ
ネットワークを相互接続するためには、データのコントロールを行いな
がら中継する必要があります。ブリッジは、データリンク層で LAN のセ
グメント間を相互接続します。
プレフィクス長
ネットワーク上で使用できる IPv6 アドレスの範囲を指定するもの
です。例えば、ネットワークアドレスが”2001:240:fffe::”、プレフィッ
クス長が”/48”の場合、そのネットワークの範囲は、 2001:240:fffe::∼
2001:240:fffe:ffff:ffff:ffff:ffff:ffff となります。
276
第 8 章 資料・付録
8.2. ネットワーク用語集
プロキシサーバ
インターネットへのアクセスを中継するためのサーバです。プロキシは
代理という意味です。ネットワークの安全性や IP アドレスの設定の関
係からネットワーク内部から直接インターネットに接続できないような
場合、プロキシサーバがネットワーク内の機器を接続するように中継し
ます。また、ネットワーク内の利用者が別々に遠方の WWW サーバにア
クセスするとサーバにかかる負荷が高くなるため、適切なグループごと
にデータをキャッシュ(一時的にデータを保存)し、同じ WWW サーバ
へのアクセスを要求された場合、キャッシュサーバのデータを返して負
荷を軽減させます。
プロトコル
複数のコンピュータなどの機器が通信するときに使用する、メッセージ
のやり取りの方法や手順を定めた取り決めのことです。
プロバイダ
Internet Service Provider のことで ISP とも呼ばれます。電話回線や専
用線などを通じて、インターネット接続サービスを提供する通信事業者
です。
ポート番号
アプリケーションを特定するために用いられる概念がポートです。ポー
トにはポート番号が振られておりトランスポート層プロトコルの TCP
や UDP がポートによってアプリケーション層のプログラムとの関連付
けを行います。なお、サーバアプリケーション(サーバにより提供され
るアプリケーション)ではポート番号はすでに決められておりウェルノ
ウンポートと呼ばれています。
ボトルネック
システム全体の中でもっとも遅い部分のことをいいます。
メディアコンバータ
銅線ケーブルと光ファイバのように異なる伝送媒体を接続し、伝送信号
を相互変換するための装置のことです。
メディアタイプ
通信用の伝送メディアの種類のことです。ケーブルの種類などを指しま
す。
メトリック
ルーティングテーブルが持つ、最終経路の決定のために使う値のことで、
ルーティングメトリックとも呼ばれます。メトリックには、最終宛先ま
での距離、ホップ数、ネットワークの状態、パスコストなどが含まれて
います。
モデム
端末を電話回線に接続し、データを送受信するための装置です。コン
ピュータが処理するデジタル信号を電話回線が扱うアナログ信号に相互
変換します。
ライフタイム
パケットや認定項目の有効時間のことです。パケットの場合、有効時間
を過ぎても宛先に到達しなかったパケットは破棄されます。IPsec では、
SA にライフタイムの設定ができます。
ルータ広告
ルータ通知とも言います。ルータがプレフィックスなどの情報を定期的
に送信することで、そのセグメントに接続したホストは受け取った情報
から自動的にネットワーク設定を行い、通信をすることができます。
277
第 8 章 トラブル・シューティング
ルーティング
ネットワーク上の目的アドレスまでの転送経路を選択するプロセスを
ルーティングといいます。ルーティングは管理者が明示的に行う静的
ルーティングと、ルータ同士で経路情報などを交換して最適な経路を選
択する動的ルーティングがあります。動的ルーティングでは経路情報を
集め、最適経路を選択し、パケットを送信するという 3 つの処理が含ま
れます。パケットを中継するルータはルーティングテーブルを持ち、そ
れを比較することで経路選択を行います。ルーティングテーブルはルー
ティングプロトコルによって作成されます。
ループ
送信されたパケットが宛先に届かずに同じところを何度もまわりつづけ
る状態のことです。
ループバック
ネットワークの疎通確認などを行うためのテストです。機器自身を指す
IP アドレスであるループバックアドレスを使って行います。ループバッ
クアドレスは IPv4 では通常「127.0.0.1」が使われます。
ログ
コンピュータの利用状況の記録のことです。コンピュータの稼動中の動
作状況や更新情報、データの転送状況などが含まれます。システム障害
時や復旧時にログを参照することは障害原因の特定に役立ちます。ログ
を採取する機能をロギング機能と呼びます。
278
第 9 章 トラブル・シューティング
9.1. LED の点灯状態
第 9 章 トラブル・シューティング
本章では、CS-SEIL-510/C の設定や CS-SEIL-510/C を使用してインターネットに接続できない場合
など、困ったときの対策についてご説明します。
LED の点灯状態
9.1
SEIL は前面の 7 セグメント LED により動作状態を確認することができます。
b
a
h
c
g
f
d
e
■ 全消灯時
何も接続されていない状態です。
■ LED ”d” セグメントが点灯
LAN0 ポートが接続されている状態です。
※ LAN ケーブルが接続されているにもかかわらず、LAN0 ランプが点灯しない場合は、ケーブルの
不良か LAN 速度の不一致が考えられます。
■ LED ”g” セグメントが点灯
LAN1 ポートが接続されている状態です。
279
第 9 章 トラブル・シューティング
9.1. LED の点灯状態
※ LAN ケーブルが接続されているにもかかわらず、LAN1 ランプが点灯しない場合は、メディアコ
ンバータあるいは ADSL モデムなどとの接続不良が考えられます。接続をご確認ください。
■ LED ”a∼g” セグメントが点灯
ファームウェアの更新中です。
注意
LED ”a∼g” セグメント点灯時は、内蔵フラッシュメモリへ
の書き込みを行っています。LED が消灯するまでは、絶対
に電源を切らないでください。
※ 万一電源を入れなおしても起動できなくなった場合、お買い上げの販売店にご相談ください。
■ LED ”b” セグメントが点灯、”c” セグメントが点滅
SEIL が異常を検知しています。すみやかに電源を入れ直してください。状況に改善が見られない、
もしくは現象が頻発するようであれば、お買い上げの販売店にご連絡ください。
280
第 9 章 トラブル・シューティング
9.2. 故障かな?と思ったとき
9.2
故障かな?と思ったとき
※ SEIL の画面が開けない
※ インターネットに接続できない
このような場合は、各項のチャートに従って処置を行ってください。処置後も SEIL が正常に動作し
¤
¡
ない場合は、 ó– [9.3 自己診断テスト £P.285 ¢ ]をご覧ください。
警告
付属の専用 AC アダプタ(DC5V)以外のものは、絶対に使
用しないでください。火災、感電、故障の原因となります。
SEIL の電源は、AC100V ± 10 %(50/60Hz)の電源以外
では、絶対に使用しないでください。異なる電圧で使用す
ると、火災、感電の原因となります。
SEIL の内部の点検、調整、清掃、修理は、危険ですから絶
対にしないでください。SEIL の内部には電圧の高い部分
があり、感電の原因となります。SEIL の内部の点検、調
整、清掃、修理は、お買い上げの販売店に依頼してくださ
い。
注意
機器を接続する場合には、必ず電源プラグを AC コンセン
トから抜いてください。電源プラグを AC コンセントに接
続したまま、機器の接続をすると、感電の原因となること
があります。
281
第 9 章 トラブル・シューティング
9.2. 故障かな?と思ったとき
■ 9.2.1
不具合時の確認手順
■ 7 セグメント LED が点灯しないとき
AC䉝䉻䊒䉺䈱DC䊒䊤䉫䈲䇮SEIL
䈱㔚Ḯ䉮䊈䉪䉺䈮⏕ታ䈮Ꮕ䈚ㄟ䉁
䉏䈩䈇䉁䈜䈎䋿
䈇䈇䈋
DC䊒䊤䉫䉕⏕ታ䈮Ꮕ䈚ㄟ䉖䈪䈣䈘
䈇䇯
䈇䈇䈋
㔚Ḯ䊒䊤䉫䉕⏕ታ䈮Ꮕ䈚ㄟ䉖䈪䈒
䈣䈘䈇䇯
䈲䈇
AC䉝䉻䊒䉺䈱㔚Ḯ䊒䊤䉫䈲䇮AC
䉮䊮䉶䊮䊃䈮⏕ታ䈮Ꮕ䈚ㄟ䉁䉏䈩
䈇䉁䈜䈎䋿
䈲䈇
䉮䊮䊏䊠䊷䉺䈱䉰䊷䊎䉴䉮䊮䉶䊮䊃
䉕૶↪䈚䈩䈇䉎႐ว䇮䉮䊮䊏䊠䊷䉺
ᧄ૕䈱㔚Ḯ䈲౉䈦䈩䈇䉁䈜䈎䋿
䈇䈇䈋
䉮䊮䊏䊠䊷䉺ᧄ૕䈱㔚Ḯ䉕ON䈮䈚
䈩䈒䈣䈘䈇䇯䉮䊮䊏䊠䊷䉺䈱ᯏ⒳䈮
䉋䈦䈩䈲䇮ᧄ૕䈱㔚Ḯ䉕ON䈮䈚䈭
䈇䈫䉰䊷䊎䉴䉮䊮䉶䊮䊃䈮ㅢ㔚䈘
䉏䈭䈇ᯏ⒳䈏䈅䉍䉁䈜䇯
䈲䈇
஗㔚ਛ䈪䈲䈅䉍䉁䈞䉖䈎䋿
䈲䈇
஗㔚䈏ᓳᣥ䈜䉎䉁䈪䈍ᓙ䈤䈒䈣䈘
䈇䇯
282
䈇䈇䈋
䈍⾈䈇਄䈕䈱⽼ᄁᐫ䈻䈗ㅪ⛊䈒
䈣䈘䈇䇯
第 9 章 トラブル・シューティング
9.2. 故障かな?と思ったとき
■ CS-SEIL-510/C の画面が開けないとき
SEIL䈫䉮䊮䊏䊠䊷䉺䈲ᱜ䈚䈒ធ⛯䈘
䉏䈩䈇䉁䈜䈎䋿․䈮䉬䊷䊑䊦
䈲䇮䉦䉼䉾䈫㖸䈏䈜䉎䉁䈪⏕ታ䈮
Ꮕ䈚ㄟ䉂䉁䈚䈢䈎䋿
䈇䈇䈋
SEIL䈫䉮䊮䊏䊠䊷䉺䉕ᱜ䈚䈒ធ⛯䈚
䈩䈒䈣䈘䈇䇯
䈲䈇
HUB䉕⚻↱䈚䈩ⶄᢙ䈱䉮䊮䊏䊠䊷
䉺䈫ធ⛯䈜䉎႐ว䇮䈠䈱HUB䈱㔚
Ḯ䈲ON䈮䈭䈦䈩䈇䉁䈜䈎䋿
䈇䈇䈋
HUB䈱㔚Ḯ䉕ON䈮䈚䈩䈒䈣䈘䈇䇯
䈲䈇
䉮䊮䊏䊠䊷䉺䈎䉌WWW䊑䊤䉡䉱䈪
䉝䉪䉶䉴䈚䈢䈫䈐䇮SEIL೨㕙䈱
LAN0䊘䊷䊃 LINK/ACT LED䋨✛䋩
䈲ὐṌ䈚䈩䈇䉁䈜䈎䋿
䈇䈇䈋
䉬䊷䊑䊦䈱⇣Ᏹ䈏⠨䈋䉌䉏䉁䈜䇯
䉬䊷䊑䊦䉕੤឵䈚䇮䉅䈉৻ᐲ⹜䈚
䈩䈒䈣䈘䈇䇯
䈇䈇䈋
䉮䊮䊏䊠䊷䉺䈱TCP/IP⸳ቯ䉕ᱜ䈚
䈒ⴕ䈦䈩䈒䈣䈘䈇䇯
䈇䈇䈋
WWW䊑䊤䉡䉱䈱Proxy⸳ቯ䉕䇸૶
↪䈚䈭䈇䇹䈮⸳ቯ䈚䈩䇮䉅䈉৻ᐲ⹜
䈚䈩䈒䈣䈘䈇䇯
䈲䈇
䉮䊮䊏䊠䊷䉺䈱TCP/IP⸳ቯ䈲ᱜ
䈚䈒ⴕ䉒䉏䈩䈇䉁䈜䈎䋿
䈲䈇
WWW䊑䊤䉡䉱䈱Proxy⸳ቯ䈲䇸૶
↪䈚䈭䈇䇹䈮⸳ቯ䈘䉏䈩䈇䉁䈜
䈎䋿
䈲䈇
SEIL䈱⸳ቯ䉕ೋᦼൻ䈚䇮ᦨೋ䈎䉌
䉇䉍⋥䈚䈩䈒䈣䈘䈇䇯੹ᐲ䈲䇮SEIL
䈱↹㕙䈏㐿䈔䉁䈚䈢䈎䋿
㶎SEIL䈲䇮ೋᦼൻ䈜䉎䈫䈜䈼䈩
䈱⸳ቯ䈏Ꮏ႐಴⩄⁁ᘒ䈮ᚯ䉍䉁
䈜䇯
䈇䈇䈋
LED䈱ὐἮ⁁ᘒ䉕⏕⹺䈚䈩䈒䈣䈘
䈇䇯LED䈱⁁ᘒ䈏ᱜᏱ䈪䈭䈇႐
ว䈲䇮䈍⾈䈇਄䈕䈱⽼ᄁᐫ䈻䈗
ㅪ⛊ਅ䈘䈇䇯
283
第 9 章 トラブル・シューティング
9.2. 故障かな?と思ったとき
■インターネットに接続できないとき
䈇䈇䈋
SEIL䈱↹㕙䈲㐿䈔䉁䈜䈎䋿
೨㗄䇸SEIL䈱↹㕙䈏㐿䈔䈭䈇䈫
䈐䇹䈱䉼䉢䉾䉪䉕ⴕ䈦䈩䈒䈣䈘䈇䇯
䈲䈇
SEIL೨㕙䈱LAN1䊘䊷䊃
LINK/ACT LED䋨✛䋩䈱⴫␜⁁ᘒ
䈲䈬䈱䉋䈉䈮䈭䈦䈩䈇䉁䈜䈎䋿
ὐἮ䉅䈚䈒䈲ὐṌ
䊈䉾䊃䊪䊷䉪᭴ᚑ䉕⏕⹺䈚䇮⸳ቯ
䉕⷗⋥䈚䈩䈒䈣䈘䈇䇯
ᶖἮ
࿁✢䈏ᱜ䈚䈒ធ⛯䈘䉏䈩䈇䈭䈇น
⢻ᕈ䈏䈅䉍䉁䈜䇯SEIL䈫䊜䊂䉞䉝䉮
䊮䊋䊷䉺䇮䈅䉎䈇䈲ADSL䊝䊂䊛
㑆䈱㈩✢䉕⏕⹺䈚䈩䈒䈣䈘䈇䇯㈩
✢䈲ᱜ䈚䈒ធ⛯䈘䉏䈩䈇䉁䈜䈎䋿
䈇䈇䈋
䈲䈇
䇸╙䋴┨ 䉬䊷䊑䊦䈱䈧
䈭䈑ᣇ䇹䉕䈗ⷩ䈮䈭䉍䇮
ᱜ䈚䈒㈩✢䈚䈩䈒䈣䈘
䈇䇯
࿁✢㓚ኂ䈱น⢻ᕈ䈏䈅䉍䉁䈜䇯
䊒䊨䊋䉟䉻䈭䈬䈮䈍໧䈇ว䉒䈞䈒
䈣䈘䈇䇯
284
第 9 章 トラブル・シューティング
9.3. 自己診断テスト
9.3
自己診断テスト
SEIL は、電源を投入すると同時に自動的に自己診断を行います。
SEIL をつないだコンピュータからインターネット接続ができない、もしくは設定が正常に行えなかっ
¤
¡
た場合、あるいは ó– [9.2 故障かな?と思ったとき £P.281 ¢ ]の対処でも問題が解決できなかった場合
などは、下記の手順で SEIL の自己診断テストを行ってみてください。
1. SEIL の電源をつなぎます。
2. SEIL が自動的に自己診断テストを開始します。
次の項目を順にテストします。
• RAM
• フラッシュメモリ
• LAN デバイス
3. 自己診断テストが終了すると‥
• 診断結果が正常のときは、LED ”h” セグメントが点滅します。
• 異常があったときは、LED ”b” セグメントが点灯、LED ”c” セグメントが点滅します。
上記のような異常があった場合、SEIL を再起動しても状況に改善が見られない場合は、お買い上げ
の販売店にご相談ください。
285
発行元 センチュリー・システムズ株式会社
〒180-0022 東京都武蔵野市境1−15−14 宍戸ビル
本書は著作権法上の保護を受けています。
本書の一部あるいは全部について、著作権者からの許諾を得ずに、いかなる方法においても無断で複製、
翻案、公衆送信等することは禁じられています。
FutureNet は、センチュリー・システムズ株式会社の商標または登録商標です。
その他、本書に掲載されている商品名、会社名等は各会社の商号、商標または登録商標です。
r マークは表示しておりません。
本文中では、TM 、
Copyright (c) 2007 Century Systems Co., Ltd. All rights reserved.
本書に記載されている事柄は、将来予告なしに変更することがあります。