NetScreen 概念と用例 : 第 7 部 : 仮想システム

NetScreen 概念と用例
ScreenOS リファレンスガイド
第 7 部 : 仮想システム
ScreenOS 5.0.0
品番 093-0930-000-JP
改訂 E
Copyright Notice
Copyright © 2004 NetScreen Technologies, Inc. All rights reserved.
NetScreen, NetScreen Technologies, GigaScreen, NetScreen-Global PRO,
ScreenOS and the NetScreen logo are registered trademarks of NetScreen
Technologies, Inc. in the United States and certain other countries.
NetScreen-5GT, NetScreen-5GT Extended, NetScreen-5XP, NetScreen-5XT,
NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208,
NetScreen-500, NetScreen-500 GPRS, NetScreen-5200, NetScreen-5400,
NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote,
NetScreen-Remote Security Client, NetScreen-Remote VPN Client,
NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, NetScreen-IDP
1000, NetScreen-SA 1000, NetScreen-SA 3000, NetScreen-SA 5000,
NetScreen-SA Central Manager, NetScreen-SM 3000, NetScreen-Security
Manager, NetScreen-Security Manager 2004, NetScreen-Hardware Security
Client, NetScreen ScreenOS, NetScreen Secure Access Series, NetScreen
Secure Access Series FIPS, NetScreen-IDP Manager, GigaScreen ASIC,
GigaScreen-II ASIC, Neoteris, Neoteris Secure Access Series, Neoteris Secure
Meeting Series, Instant Virtual Extranet, and Deep Inspection are trademarks of
NetScreen Technologies, Inc. All other trademarks and registered trademarks
are the property of their respective companies.
Information in this document is subject to change without notice.
No part of this document may be reproduced or transmitted in any form or by
any means, electronic or mechanical, for any purpose, without receiving written
permission from:
NetScreen Technologies, Inc.
Building #3
805 11th Avenue
Sunnyvale, CA 94089
www.netscreen.com
FCC Statement
The following information is for FCC compliance of Class A devices: This
equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to
provide reasonable protection against harmful interference when the equipment
is operated in a commercial environment. The equipment generates, uses, and
can radiate radio-frequency energy and, if not installed and used in accordance
with the instruction manual, may cause harmful interference to radio
communications. Operation of this equipment in a residential area is likely to
cause harmful interference, in which case users will be required to correct the
interference at their own expense.
The following information is for FCC compliance of Class B devices: The
equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with NetScreen’s installation
instructions, it may cause interference with radio and television reception. This
equipment has been tested and found to comply with the limits for a Class B
digital device in accordance with the specifications in part 15 of the FCC rules.
These specifications are designed to provide reasonable protection against
such interference in a residential installation. However, there is no guarantee
that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television
reception, which can be determined by turning the equipment off and on, the
user is encouraged to try to correct the interference by one or more of the
following measures:
• Reorient or relocate the receiving antenna.
• Increase the separation between the equipment and receiver.
• Consult the dealer or an experienced radio/TV technician for help.
• Connect the equipment to an outlet on a circuit different from that to
which the receiver is connected.
Caution: Changes or modifications to this product could void the user's
warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE
ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION
PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED
HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE
SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR
NETSCREEN REPRESENTATIVE FOR A COPY.
目次
目次
はじめに........................................................................ iii
共有インターフェース.......................................... 15
規則について ............................................................. iv
物理インターフェースのインポートとエクスポート .. 18
CLI の規則 .................................................................... iv
WebUI の規則................................................................ v
説明図の規則 ...............................................................vii
ネーミング規則および文字タイプ ...............................viii
NetScreen のドキュメント ........................................ ix
第 1 章 仮想システム.....................................................1
Vsys オブジェクトの作成 ............................................3
例 : 物理インターフェースを仮想システムにイン
ポートする ........................................................... 18
例 : 仮想システムから物理インターフェースを
エクスポートする................................................. 19
VLAN ベースのトラフィック分類 ..............................21
VLAN ........................................................................... 22
サブインターフェースと VLAN タグの定義 ................. 23
例 : Vsys オブジェクトと vsys 管理者 ......................3
例 : 3 つのサブインターフェースと VLAN タグを
定義する............................................................... 25
仮想ルーター ................................................................6
仮想システム間の通信 ................................................ 28
ゾーン ...........................................................................7
例 : vsys 間通信..................................................... 28
インターフェース .........................................................8
IP ベースのトラフィック分類....................................33
トラフィックの振り分け...........................................10
例 : IP ベースのトラフィック分類を設定する ....... 35
NetScreen デバイス宛のトラフィック ........................10
vsys 管理者としてログオン .......................................38
通過トラフィック .......................................................11
専用および共有インターフェース ...............................15
専用インターフェース ..........................................15
NetScreen 概念と用例 – 第 7 部 : 仮想システム
例 : ログオンとパスワードを変更する.................. 38
索引 ............................................................................ IX-I
i
目次
NetScreen 概念と用例 – 第 7 部 : 仮想システム
ii
はじめに
NetScreen セキュリティシステムを論理的に、複数の仮想システムに分割して、マルチテナントサービスを提供することが
できます。vsys ( 各仮想システム ) は独立したセキュリティドメインであり、それぞれに管理者 (「仮想システム管理者
(Virtual system administrator)」あるいは略して「vsys 管理者」) を立てることができます。管理者は、アドレス帳、ユー
ザーリスト、カスタムサービス、VPN、ポリシーなどを設定して、独自のセキュリティドメインを構築できます。
第 7 部、「仮想システム」では、仮想システム、専用 / 共有インターフェース、VLAN ベースおよび IP ベースのトラフィッ
ク分類について解説します。また、vsys の作成手順 ( ルートレベル管理者権限が必要です )、vsys 管理者の定義方法につい
ても説明します。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
iii
はじめに
規則について
規則について
本編はいくつかのタイプの規則を使用しており、それらは次のセクションで導入されています。
•
•
•
•
CLI の規則
v ページ「WebUI の規則」
vii ページ「説明図の規則」
viii ページ「ネーミング規則および文字タイプ」
CLI の規則
次の規則は、コマンドラインインターフェース (CLI) コマンドの構文を記述する際に使用されます。
•
角括弧 [ ] 内にあるものはすべてオプションです。
•
中括弧 { } 内にあるものはすべて必須です。
•
選択肢が複数ある場合、各選択肢はパイプ ( | ) で区切られています。たとえば、
set interface { ethernet1 | ethernet2 | ethernet3 } manage
は、「ethernet 1、ethernet 2、または ethernet 3 インターフェースの管理オプションを設定する」という意味です。
•
変数は斜体 で表示されます。例えば、次のように表示されます。
set admin user name password
CLI コマンドが文のコンテキスト内に記載されている場合には、太字 で表示されます ( 変数は例外で、必ず斜体 です )。例え
ば、次のように表示されます。「NetScreen デバイスのシリアルナンバーを表示するには、get system コマンドを使用しま
す。
」
注記 : キーワード入力時には、単語を間違いなく識別できる数の文字を入力すれば十分です。たとえば、set admin user
joe j12fmt54 のコマンドを入力する際には、set adm u joe j12fmt54 と入力するだけで十分です。コマンドを入力する際に
はこのショートカットが使用できますが、本編に記載されたコマンドはすべて本来の形式で記載されています。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
iv
はじめに
規則について
WebUI の規則
本編を通して、シェブロン ( > ) はメニューオプションやリンクをクリックする WebUI のナビゲーションを示しています。
たとえば、アドレス構成ダイアログボックスを開く手順は、Objects > Addresses > List > New と示されます。以下では、
このナビゲーションの手順を紹介します。
4
1
2
3
1. メニュー列の Objects をクリックします。
Objects メニューの選択項目が表示されます。
2. (Applet メニュー ) マウスカーソルを Addresses
に合わせます。
(DHTML メニュー ) Addresses をクリックします。
Addresses メニューの選択項目が表示されます。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
3. List をクリックします。
アドレスのリストが表示されます。
4. 右上隅 New リンクをクリックします。
新規アドレスの構成ページが表示されます。
v
はじめに
規則について
WebUI で作業を行うには、まず該当するナビゲーションを行ってダイアログボックスを表示させ、そこからオブジェクトの
定義とパラメータの設定を行います。各作業の指示は、ナビゲーションパスおよび構成詳細の 2 つに分かれます。たとえば、
次の指示はアドレス構成ダイアログボックスへのパス、および構成する設定からなります。
Objects > Addresses > List > New: 次の内容を入力して OK をクリックします。
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: ( 選択 ), 10.2.2.5/32
Zone: Untrust
Address Name: addr_1
注記：Comment フィールド
に対する指示が無いため、
そのままにしておきます。
IP Address Name/Domain Name:
IP/Netmask: ( 選択 ), 10.2.2.5/32
Zone: Untrust
OK をクリックする。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
vi
はじめに
規則について
説明図の規則
次の図形は、本編を通して説明図に使用されている画像の基本的なものです。
汎用 NetScreen デバイス
単一サブネットの LAN
( ローカルエリアネットワーク )
( 例 : 10.1.1.0/24)
仮想ルーティングドメイン
インターネット
動的 IP (DIP) プール
セキュリティゾーン
セキュリティゾーンインターフェース
白 = 保護されたゾーンインターフェース
（例 : Trust ゾーン )
黒 = 外部ゾーンインターフェース
（例 : Untrust ゾーン )
トンネル インターフェース
デスクトップコンピュータ
ラップトップコンピュータ
汎用ネットワークデバイス
( 例 : NAT サーバー、
アクセスコンセントレータ )
VPN トンネル
ルーターアイコン
サーバー
スイッチアイコン
NetScreen 概念と用例 – 第 7 部 : 仮想システム
vii
はじめに
規則について
ネーミング規則および文字タイプ
ScreenOS は、ScreenOS 構成で定義されるアドレス、管理ユーザー、認証サーバー、IKE ゲートウェイ、仮想システム、
VPN トンネル、およびゾーンなどのオブジェクトの名前に関して、次の規則を適用しています。
•
•
•
•
名前文字列に 1 つまたは複数のスペースが含まれる場合は、文字列全体を二重引用符 ( “ ) で囲む必要があります。
たとえば、set address trust “local LAN” 10.1.1.0/24 のようにします。
NetScreen は、二重引用符で囲まれた文字列の先頭または末尾のスペースを取り除きます。たとえば、“ local LAN ”は
“local LAN”となります。
NetScreen は、連続する複数のスペースを単一のスペースとして扱います。
CLI キーワードの多くはケースセンシティブではありませんが、名前文字列はケースセンシティブです。例えば、
“local LAN” は “local lan” とは異なります。
ScreenOS は、次の文字タイプをサポートします。
•
1 バイト文字セット (SBCS) およびマルチバイト文字セット (MBCS)。SBCS の例に、ASCII、欧州言語、およびヘ
ブライ語があります。2 バイト文字セット (DBCS) とも呼ばれる MBCS の例に、中国語、韓国語、および日本語が
あります。
注記 : コンソール接続では、SBCS のみがサポートされます。ご利用の Web ブラウザがサポートする文字セット
に応じて、WebUI は SBCS および MBCS の両方をサポートします。
•
ASCII 文字の 32 (16 進数の 0x20) から 255 (0xff)。ただし二重引用符 ( “ ) は、スペースを含む名前文字列の先頭と末
尾を示す特殊な意味をもつため、例外とします。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
viii
NetScreen のドキュメント
はじめに
NETSCREEN のドキュメント
NetScreen の製品の技術文書については、www.netscreen.com/resources/manuals/ にアクセスしてください。
NetScreen ソフトウェアの最新バージョンを入手するには、www.netscreen.com を参照してください。ソフトウェアをダウ
ンロードするには、まず認定ユーザーとして登録する必要があります。
本編の内容に間違いや欠落などがあった場合には、以下の E メールアドレスまでご連絡ください。
[email protected]
NetScreen 概念と用例 – 第 7 部 : 仮想システム
ix
はじめに
NetScreen 概念と用例 – 第 7 部 : 仮想システム
NetScreen のドキュメント
x
ëÊ1èÕ
仮想システム
1
マルチテナントサービスを提供するために、1 つの NetScreen セキュリティシステム1 を論理的に複数の仮想システムに分割
することができます。vsys ( 各仮想システム ) は固有のセキュリティドメインであり、それぞれ管理者を有することができま
す。(「仮想システム管理者 (Virtual system administrator)」あるいは略して「vsys 管理者」と呼ばれています。) 管理者は、
アドレス帳、ユーザーリスト、カスタムサービス、VPN、ポリシーなどを設定して、独自のセキュリティドメインを構築で
きます。ただし、ファイアウォールのセキュリティ機能の設定、仮想システム管理者の登録、インターフェースやサブイン
ターフェースの定義は、ルート管理者にしかできません。
注記 : NetScreen に組み込まれた管理者レベルについては 3 -36 ページ「管理レベル」を参照してください。
NetScreen 仮想システムには、VLAN ベースおよび IP ベースの 2 種類のトラフィック分類をサポートします。一方だけを使
用することも、並行して同時に使用することも可能です。本章では以下の仮想システムの概念と実装について解説します。
•
•
1.
3 ページ「Vsys オブジェクトの作成」
–
6 ページ「仮想ルーター」
–
7 ページ「ゾーン」
–
8 ページ「インターフェース」
10 ページ「トラフィックの振り分け」
–
10 ページ「NetScreen デバイス宛のトラフィック」
–
11 ページ「通過トラフィック」
–
15 ページ「専用および共有インターフェース」
–
18 ページ「物理インターフェースのインポートとエクスポート」
NetScreen デバイスの機種には、セキュリティシステムとアプライアンスの 2 つの汎用カテゴリーに分類されます。仮想システムをサポートすることが可能なのは、
NetScreen セキュリティシステムだけです。どのプラットフォームがこの機能をサポートするかについては、NetScreen マーケティング文書を参照してください。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
1
第 1 章 仮想システム
•
21 ページ「VLAN ベースのトラフィック分類」
–
22 ページ「VLAN」
–
23 ページ「サブインターフェースと VLAN タグの定義」
–
28 ページ「仮想システム間の通信」
•
33 ページ「IP ベースのトラフィック分類」
•
38 ページ「vsys 管理者としてログオン」
NetScreen 概念と用例 – 第 7 部 : 仮想システム
2
第 1 章 仮想システム
Vsys オブジェクトの作成
VSYS オブジェクトの作成
ルート管理者、ルートレベル読取 / 書込管理者は、次の手順で vsys オブジェクトを作成できます。
•
仮想システムの定義。
•
( 必要に応じ ) vsys 管理者の定義 ( 複数でも可 ) 。
•
仮想ルーターの選択。vsys ではこれを、Trust-vsysname ゾーン、Untrust-Tun-vsysname ゾーン、Global-vsysname
ゾーンで使います。
2
ルートレベル管理者は、vsys が目的とする機能を果たせるよう、次の設定を行います。サブインターフェースあるいはイン
ターフェースを設定し、また場合によっては共有仮想ルーター、共有セキュリティゾーンを設定する必要があります。これ
らの設定は、vsys が VLAN ベースあるいは IP ベースのトラフィック分類、または両者の組み合わせをサポートするように
意図されているかによります。これらの設定を行った後、ルートレベル管理者は仮想システムをログアウトし、( オプション
) vsys 管理者にログオンを許可し、アドレス、ユーザー、サービス、VPN、ルート、ポリシーの構成を許可します。
例 : Vsys オブジェクトと vsys 管理者
この例では、ルートレベル管理者として、vsys1、vsys2、vsys3 の 3 つの vsys オブジェクトを作成します。vsys1 の vsys 管
3
理者として Alice を割り当て、パスワードを wIEaS1v1 とします 。同様に、vsys2 の vsys 管理者は Bob、パスワードは
pjF56Ms2 とします。vsys3 には vsys 管理者を作成しません。NetScreen デバイスが自動生成する管理者定義のままとしま
す。具体的には、vsys 管理者名 “vsys_vsys3”、パスワード “vsys_vsys3” となります。
注記 : vsys 名、管理者名、パスワードは、ケースセンシティブです。したがって、たとえば “Vsys abc” と
“vsys ABC” と異なります。
vsys1 および vsys2 ではデフォルト仮想ルーターを使います。vsys3 では共有ルートレベル untrust-vr を選択します。
2.
ルートレベル管理者は、読取 / 書込特権を持つ vsys 管理者、読取専用特権を持つ vsys 管理者を、vsys ごとに 1 人ずつ割り当てることができます。
3.
vsys 管理者のユーザー名やパスワードを設定できるのはルートレベル管理者だけです。NetScreen デバイスは、どのユーザーがどの vsys に属するかをユーザー名で判断す
るようになっているので、vsys 管理者がユーザー名を変更することはできません。ただし自分自身のパスワードは変更できます。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
3
第 1 章 仮想システム
Vsys オブジェクトの作成
WebUI 上で vsys を作成した後も、ルートシステムにログインし続けることになります。新たに作成された vsys にログイン
するには、次のような操作が必要です。
[Vsys:] に列挙されている仮想システム名から選択して Enter をクリックします。
ログインした vsys に該当する WebUI ページが現れます。情報表示領域の上部には、vsys 名が「Vsys:Name」とい
う形で表示されます。
CLI で vsys を作成した場合はただちに、ここで作成した vsys にログインした状態になります ( 作成済みの vsys にルートレ
ベルからログインするには、enter vsys name_str というコマンドを使います )。vsys にログインしたら CLI コマンドプロン
プトを変更して、仮想システム名が表示されるようにするとよいでしょう。
WebUI
1.
vsys1
Vsys > New: 以下を入力して OK をクリックします。
Vsys Name: vsys1
Vsys Admin Name: Alice
Vsys Admin New Password: wIEaS1v1
Confirm New Password: wIEaS1v1
Virtual Router:
Create a default virtual router: ( 選択 )
2.
vsys2
Vsys > New: 以下を入力して OK をクリックします。
Vsys Name: vsys2
Vsys Admin Name: Bob
Vsys Admin New Password: pjF56Ms2
Confirm New Password: pjF56Ms2
Virtual Router:
Create a default virtual router: ( 選択 )
NetScreen 概念と用例 – 第 7 部 : 仮想システム
4
第 1 章 仮想システム
3.
Vsys オブジェクトの作成
vsys3
Vsys > New: 以下を入力して OK をクリックします。
Vsys Name: vsys3
Virtual Router:
Select an existing virtual router: ( 選択 ), untrust-vr
CLI
1.
vsys1
ns-> set vsys vsys1
ns(vsys1)-> set admin name Alice
ns(vsys1)-> set admin password wIEaS1v1
ns(vsys1)-> save4
ns(vsys1)-> exit
2.
vsys2
ns-> set vsys vsys2
ns(vsys2)-> set admin name Bob
ns(vsys2)-> set admin password pjF56Ms2
ns(vsys2)-> save
ns(vsys2)-> exit
3.
vsys3
ns-> set vsys vsys3 vrouter share untrust-vr
ns(vsys3)-> save
4.
コマンドの実行後は、save コマンドを実行してから exit してください。そうでないと変更した内容が保存されません。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
5
第 1 章 仮想システム
Vsys オブジェクトの作成
仮想ルーター
ルートレベル管理者が vsys オブジェクトを作成すると、自動的に次の仮想ルーターが使えるようになっています。
•
すべての共有ルートレベル仮想ルーター (untrust-vr など )
vsys とルートシステムは、Untrust ゾーンばかりでなく、untrust-vr や、その他の仮想ルーター ( ルートレベル
で共有可能と定義したもの ) も共有します。
•
自分自身の仮想ルーター
vsys レベル仮想ルーター名は、初期状態では vsysname-vr となっています。もちろん、もっと意味のある名
前に変更することもできます。これは vsys ごとに用意される仮想ルーターで、初期状態では、
Trust-vsysname ゾーンのルーティングテーブルを管理するようになっています。vsys レベル仮想ルーターは
どれも共有できません。
vsys のデフォルト仮想ルーターとして、共有仮想ルーターでも、vsys レベル仮想ルーターでも選択できます。デフォルト仮想
ルーターを変更するには、vsys にログインし、set vrouter name default-vrouter という CLI コマンドを実行してください。
ルートレベル管理者は、vsys ゾーンをすべて untrust-vr ルーテイングドメインにしたい ( たとえば Trust-vsysname ゾーンに
向かうインターフェースがすべて Route モードである場合など ) のであれば、vsys レベルセキュリティゾーンバインディン
グを vsysname-vr から untrust-vr に変更することにより、vsysname-vr を使わずに済ますことができます。仮想ルーターにつ
いて詳しくは 6 -1 ページ「仮想ルーター」を参照してください。
注記 : 現行の ScreenOS は、仮想システムでユーザー定義の仮想ルーターが使えます。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
6
第 1 章 仮想システム
Vsys オブジェクトの作成
ゾーン
vsys ( 仮想システム ) はそれぞれが独立したセキュリティドメインであり、ルートシステムとセキュリティゾーンを共有で
きるほか、独自のセキュリティゾーンを定義することもできます。ルートレベル管理者が vsys オブジェクトを作成すると、
次のゾーンが自動的に引き継がれるか、作成されます。
•
•
•
•
•
すべての共有ゾーン ( ルートシステムから引き継がれる )
共有 Null ゾーン ( ルートシステムから引き継がれた )
Trust-vsys_name ゾーン
Untrust-Tun-vsys_name ゾーン
Global-vsys_name ゾーン
注記 : 各ゾーンタイプについて詳しくは 2 -45 ページ「ゾーン」を参照してください。
vsys ごとに、上記とは別にユーザー定義のセキュリティゾーンを使用することもできます。このゾーンを、ルートレベルで
定義された共有仮想ルーターや、当該 vsys 専用の仮想ルーターにバインドできます。vsys1 という名前のセキュリティゾー
ンを作成する手順を以下に示します。
WebUI
Vsys > Enter (vsys1)
Network > Zones > New: 以下を入力して OK をクリックします。
Zone Name: ( ゾーン名を入力 )
Virtual Router Name: ( ドロップダウンリストから仮想ルーターを選択 )
Zone Type: Layer 3
CLI
ns-> enter vsys vsys1
ns(vsys1)-> set zone name name_str
ns(vsys1)-> set zone vrouter vrouter
ns(vsys1)-> save
NetScreen 概念と用例 – 第 7 部 : 仮想システム
7
第 1 章 仮想システム
Vsys オブジェクトの作成
vsys やルートシステムに定義できるセキュリティゾーンの数には、デバイスレベルで設定可能なセキュリティゾーン数によ
る制限しかありません5。ルート管理者またはルートレベル読取 / 書込管理者は、セキュリティゾーンをすべて、特定の vsys
に割り当てることも可能です。逆に、どの仮想システムもルートレベルセキュリティゾーンを共有し、ユーザー定義の vsys
レベルゾーンを使わないのであれば、セキュリティゾーンをすべてルートレベルで使えることになります。
インターフェース
vsys は、Untrust ゾーンおよび Trust ゾーンに、次の 3 種類のインターフェースを設定できます。
Untrust ゾーン用のインターフェースタイプ
Trust ゾーン用のインターフェースタイプ
• 専用物理インターフェース
• 専用物理インターフェース
• サブインターフェース ( インバウンドおよびアウ • サブインターフェース (VLAN タグ機能を備える )
トバウンドトラフィックの中継* 手段として VLAN
タグ機能を備える )
• ルートシステムとの共有インターフェース ( 物理イ • ルートシステム ( と IP ベーストラフィック分類† )
ンターフェース、サブインターフェース、冗長イ
との共有物理インターフェース
ンターフェース、集約インターフェース )
*
VLAN タグおよび中継 ( トランク ) について詳しくは、22 ページ「VLAN」を参照してください。
†
IP ベースのトラフィック分類について詳しくは、33 ページ「IP ベースのトラフィック分類」を参照してください。
上記インターフェースタイプは、同時にいくつかをセキュリティゾーンにバインドすることもできます。さらに、同じタイ
プのインターフェースを複数バインドすることも可能です。
5.
デバイスレベルで設定可能なユーザー定義 ( カスタム ) セキュリティゾーンの総数は、ルートレベルのカスタムゾーン数 ( ゾーンライセンスキーで定義 ) と、vsys ライセン
スキーで許可されたカスタムゾーン数の和になります。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
8
第 1 章 仮想システム
Vsys オブジェクトの作成
trust-vr
Finance
untrust-vr
DMZ
Mail
ルートと vsys1 の共有
インターフェース
Eng
Trust
ルートシステム
vsys1-vr
Trust-vsys1
Untrust vsys2 専用
サブインター
フェース
vsys1
vsys2
vsys2-vr
Trust-vsys2
vsys3 専用物理
インターフェース
vsys3
vsys3-vr
Trust-vsys3
注 : 城型アイコンは、セキュリティゾーンインターフェースを表します。
本マニュアルに使われているアイコンについては vii ページ「説明図の規則」
を参照してください。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
9
第 1 章 仮想システム
トラフィックの振り分け
トラフィックの振り分け
NetScreen デバイスは、受け取ったパケットを正しく振り分け、適切なシステムに転送しなければなりません。NetScreen
デバイスが受け取るユーザートラフィックには以下の 2 種類があり、振り分け方法も 2 とおりあります。
•
当該デバイスに設定された IP アドレス宛のトラフィック。暗号化 VPN トラフィック、MIP や VIP を宛先とするト
ラフィックなど。
•
当該デバイス以外の IP アドレスに宛てたトラフィック。
NetScreen デバイス宛のトラフィック
NetScreen デバイスに設定されたオブジェクト (VPN、MIP、VIP) 宛のトラフィックについては、各オブジェクトを設定した
システムとの関連で、どのシステムに送ればよいかを判断します。
インバウンドトラフィックが
共有インターフェースに到達。
ethernet1/2、Untrust ゾーン - Root、vsys1、
vsys1、vsys2、vsys3 は、
このインターフェースを共有。
ROOT
VPN オブジェクトは vsys1 で設定されたので、
VPN 宛のトラフィックは vsys1 で処理。
VPN
MIP オブジェクトは vsys2 で設定されたので、
MIP 宛のトラフィックは vsys2 で処理。
MIP
VIP オブジェクトは、vsys3 で設定されたので、
VIP 宛のトラフィックは vsys3 で処理。
VIP
VSYS1
VSYS2
VSYS3
インバウンドトラフィックは VPN トンネル経由で仮想システムに接続することが可能です。ただし、出力インターフェース
が共有インターフェースの場合、そのインターフェースはルートシステムが、AutoKey IKE トンネルで接続している同一の
リモートサイトに対する AutoKey IKE VPN トンネルを作成することはできません。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
10
第 1 章 仮想システム
トラフィックの振り分け
通過トラフィック
トラフィックの宛先が NetScreen デバイス以外の IP アドレスである場合 ( 通過トラフィック ) の分類方法には、VLAN ベー
6
スと IP ベースの、2 つの方式があります。VLAN ベースのトラフィック分類とは、フレームヘッダー中の VLAN タグ を使っ
て、インバウンドトラフィックをどのシステムで処理するか判定する方式です。一方 IP ベースのトラフィック分類とは、IP
パケットヘッダー中の宛先 IP アドレスによって分類する方式です。その具体的な手順は以下のとおりです。
1.
ingress インターフェース / ソース IP トラフィック分類
NetScreen デバイスは、ingress が専用インターフェースか共有インターフェースかを確認します7。
1. ingress インターフェースが vsys 専用であれば ( 例 : “v-i”)、このインターフェースを専有するシステムにトラ
フィックの処理を委ねます。
2. 逆に共有インターフェースであれば、IP ベースの分類方式により、ソース IP アドレスが特定の vsys に関連付
けられていないかどうか確認します。
– どの vsys にも関連付けられていなければ、ingress IP 分類は失敗します。
–
2.
特定の vsys に関連付けられていれば、ingress IP 分類は成功です。
egress インターフェース / 宛先 IP トラフィック分類
NetScreen デバイスは、egress が専用インターフェースか共有インターフェースかを確認します。
1. egress インターフェースが vsys 専用であれば ( 例 : “v-e”)、このインターフェースを専有するシステムにトラ
フィックの処理を委ねます。
2. 逆に共有インターフェースであれば、IP ベースの分類方式により、宛先 IP アドレスが特定の vsys に関連付け
られていないかどうか確認します。destination IP address is associated with a particular vsys. ます。
–
どの vsys にも関連付けられていなければ、egress IP 分類は失敗します。
–
特定の vsys に関連付けられていれば、egress IP 分類は成功です。
6.
VLAN タグの処理にはサブインターフェースが必要です。サブインターフェースは当該システム専用でなければなりません。すべてのシステムが共用する、共有インター
フェースとは異なります。
7.
共有インターフェース、専用インターフェースについては、15 ページ「専用および共有インターフェース」を参照してください。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
11
第 1 章 仮想システム
トラフィックの振り分け
仮想システムが設定された NetScreen デバイスは、届いたパケットに関連
付ける vsys を、以下のような手順で判定します。
1
ingress インターフェース / ソース
IP トラフィック分類
ingress インター
フェースの確認
いいえ
ingress インターフェース vsys
(“v-i”) と関連付け
ソース IP 分類の確認
ソース
IP は分類
できるか
はい
ingress インターフェース / ソース
IP トラフィック分類
egress インター
フェースの確認
共有
インター
フェースか
はい
2
共有
インター
フェースか
はい
いいえ
egress インターフェース vsys
(“v-e”) と関連付け
宛先 IP 分類の確認
いいえ
ingress インターフェース /
ソース IP 分類は失敗
分類された IP vsys (“v-i”)
と関連付け
NetScreen 概念と用例 – 第 7 部 : 仮想システム
宛先
IP は分類
できるか
はい
いいえ
egress インターフェース /
宛先 IP 分類は失敗
分類された IP vsys (“v-e”) と
関連付け
12
第 1 章 仮想システム
3.
トラフィックの振り分け
vsys トラフィックの割り当て
ingress インターフェース / ソース IP (I/S) および egress インターフェース / 宛先 IP (E/D) のトラフィック分類結果に
もとづき、NetScreen は、トラフィックがどの vsys に属するかを判断します。
– I/S トラフィック分類に成功、しかし E/D トラフィック分類には失敗した場合、ingress インターフェースま
たはソース IP アドレスに対応する vsys ( たとえば「v-i」) のポリシー群やルートテーブルを使います。
I/S トラフィック分類が特に有用なのは、vsys から公開ネットワーク ( インターネットなど ) へのアウトバウ
ンドトラフィックを許可する場合です。
– E/D トラフィック分類に成功、しかし I/S トラフィック分類には失敗した場合、egress インターフェースまた
は宛先 IP アドレスに対応する vsys ( たとえば “v-e”) のポリシー群やルートテーブルを使います。
E/D トラフィック分類が特に有用なのは、公開ネットワーク ( インターネットなど ) から vsys へのインバウン
ドトラフィックを許可する場合です。
– どちらの分類にも成功し、対応する vsys が同じであれば、その vsys のポリシー群やルートテーブルを使
います。
I/S および E/D の両方の IP トラフィック分類を使用すると、あるゾーンの特定のアドレスから、同じ vsys に
属する別のゾーンの特定のアドレスに向かうトラフィックを許可することができます。
– どちらの分類にも成功したけれども、対応する仮想システムが異なる場合、インターフェースの向かう先が
同じ共有セキュリティゾーンであれば、まず I/S vsys、次に E/D vsys のポリシー群やルートテーブルを使
います。
NetScreen は、ゾーン内の vsys 間トラフィックも、同じ共有ゾーンに現れるものであれば処理できます。
NetScreen デバイスはまず “v-i” のポリシー群やルートテーブルを使い、Untrust インターフェースにトラ
フィックをループバックした上で、“v-e” のポリシー群やルートテーブルを適用します。このようなゾーン内ト
ラフィックは、部門ごとに別々の仮想システムから成る共有内部ゾーンを運用している企業で、部門間のトラ
フィックを許可する場合には普通に現れます。
– どちらの分類にも成功したけれども、対応する仮想システムが異なる場合、インターフェースの向かう先が
別々の共有セキュリティゾーンであれば、パケットを破棄します。
NetScreen デバイスは、共有セキュリティゾーン間の vsys 間トラフィックには対応していません。
– どちらの分類にも成功したけれども、対応する仮想システムが異なる場合、ingress および egress インター
フェースの向かう先が異なる仮想システムのゾーンであれば、NetScreen デバイスはまず、
「v-i」のポリシー
群やルートテーブルを適用します。次に、Untrust インターフェースにトラフィックをループバックした上で、
“v-e” のポリシー群やルートテーブルを適用します (28 ページ「例 : vsys 間通信」を参照 )。
NetScreen デバイスは、専用セキュリティゾーン間の vsys 間トラフィックにも対応しています。
– どちらの分類にも失敗した場合はパケットを破棄します。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
13
第 1 章 仮想システム
3
トラフィックの振り分け
ingress インターフェース / ソース IP (I/S) および egress インターフェース / 宛先 IP (E/D) のトラフィック分類結果に
もとづき、トラフィックがどの vsys に属するかを判断します。
いいえ
I/S 分類に
成功したか
はい
E/D 分類に
成功したか
いいえ
いいえ
E/D 分類に
成功したか
はい
vsys “v-i” の
ポリシー群や
ルートテーブルを使用
はい
破棄
vsys “v-e” の
ポリシー群や
ルートテーブルを使用
いいえ
同じ
vsys か
はい
vsys「v-i/v-e」の
ポリシー群や
ルートテーブルを使用
共有
ゾーンか
はい
ゾーン内
トラフィック
か
いいえ
vsys “v-i”、次いで “v-e” の
ポリシー群やルートテーブルを使用
いいえ
はい
破棄
vsys “v-i”、次いで “v-e” のポリシー群や
ルートテーブルを使用
NetScreen 概念と用例 – 第 7 部 : 仮想システム
14
第 1 章 仮想システム
トラフィックの振り分け
専用および共有インターフェース
NetScreen デバイスが、インバウンドトラフィックを正確に、正しいシステムにソートする仕方に影響を与える、専用およ
び共有の 2 種類のインターフェースがあります。
専用インターフェース
仮想システム、ルートシステムとも、専有的に使用する複数のインターフェースあるいはサブインターフェースを有するこ
とができます。これらのインターフェースは、他のシステムによって共有可能ではありません。インターフェースを以下のよ
うにしてシステムに専用化することができます。
•
•
•
ルートシステムに物理インターフェース、サブインターフェース、冗長インターフェース、集約インターフェース
を設定し、非共有ゾーンにバインドすれば、このインターフェースはルートシステム専用になります。
物理インターフェース、集約インターフェースを vsys にインポートし、共有 Untrust ゾーンまたは
Trust-vsys_name ゾーンにバインドすれば、このインターフェースは vsys 専用になります。
vsys のサブインターフェースを設定すると、これは当該 vsys 専用になります。
注記 : システムに専用サブインターフェースがあれば、NetScreen デバイスは VLAN ベースのトラフィック分類により、
インバウンドトラフィックを適切に振り分けます。
共有インターフェース
仮想システム、およびルートシステムは、他のシステムとインターフェースを共有することができます。インターフェース
が共用可能となるためには、インターフェースをルートレベルで構成し、共有仮想ルーターの共有ゾーンにバインドしなけ
ればなりません。デフォルトでは、untrust-vr が共有仮想ルーター、Untrust が共有ゾーンとして定義済みです。したがって、
ルートレベルの物理インターフェース、サブインターフェース、冗長インターフェース、集約インターフェースを Untrust
ゾーンにバインドすれば、vsys 間で共有が可能になります。
Untrust 以外のゾーンに共有インターフェースを作成するためには、これをルートレベルで、共有ゾーンとして定義しなけれ
ばなりません8。そのためには、ゾーンが共有仮想ルーター (untrust-vr、共有可能と定義したルートレベルの仮想ルーターな
ど ) に属している必要があります。この場合、ルートレベルインターフェースを共有ゾーンにバインドすれば、自動的に共有
インターフェースになります。
注記 : 仮想ルーターを作成するためには vsys ライセンスキーを入手する必要があります。これは、仮想システム、仮想
ルーター、セキュリティゾーンを、vsys やルートシステムに定義するために必要です。
8.
共有ゾーン機能を使用するためには、NetScreen デバイスが Layer 3 で動作していなければなりません。すなわち、少なくとも 1 つのルートレベルインターフェースに、IP
アドレスを割り当てている必要があります。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
15
第 1 章 仮想システム
トラフィックの振り分け
共有仮想ルーターは、共有、非共有の、どちらのルートレベルセキュリティゾーンにも対応しています。共有仮想ルーター
にバインドされるルートレベルゾーンは、共有可能または共有不可のどちらとしても定義できます。共有仮想ルーターにバ
インドし、共有可能と定義したルートレベルゾーンは、共有ゾーンとなり、仮想システムでも使えるようになります。共有
仮想ルーターにバインドし、共有不可と定義したルートレベルゾーンは、ルートシステムの専用ゾーンになります。vsys 専
用の仮想ルーターまたはルートシステムで作成した共有仮想ルーターにバインドした vsys レベルゾーンは、当該 vsys の専
用ゾーンになります。
共有ゾーンには、共有インターフェース、専用インターフェースのどちらも設定できます。共有ゾーンにバインドしたルー
トレベルインターフェースは、共有インターフェースとなり、仮想システムでも使えます。共有ゾーンにバインドした vsys
レベルインターフェースは、当該 vsys の専用インターフェースになります。
共有不可としたゾーンは、それを作成したシステムのみが使え、当該システム用の専用インターフェースしか設定できませ
ん。vsys レベルゾーンはすべて共有不可です。
共有インターフェースを作成するためには、共有仮想ルーターを作成 ( または定義済みの untrust-vr を使用 ) し、共有セキュ
リティゾーンを作成 ( または定義済みの Untrust ゾーンを使用 ) した上で、この共有ゾーンにインターフェースをバインドし
ます。以上の操作はすべてルートシステム上で実行しなければなりません。
WebUI および CLI それぞれの操作手順を以下に示します。
1.
共有仮想ルーターの作成 :
WebUI
Network > Routing > Virtual Routers > New: Shared and accessible by other vsys をオンにし、Apply をクリックし
ます。
CLI
set vrouter name name_str
set vrouter name_str shared
( 既存の共有仮想ルーターを非共有に変更するためには、仮想システムをすべて削除しておく必要があります。逆に
非共有から共有への変更はいつでも可能です )
NetScreen 概念と用例 – 第 7 部 : 仮想システム
16
第 1 章 仮想システム
2.
トラフィックの振り分け
共有ゾーンの作成 ( ルートレベルで実行 ):
WebUI
注記 : 現行バージョンでは、共有ゾーンは CLI でしか定義できません。
CLI
set zone name name_str
set zone zone vrouter sharable_vr_name_str
set zone zone shared
3.
共有インターフェースの作成 ( ルートレベルで実行 ):
WebUI
Network > Interfaces > New ( 既存のインターフェースを開く場合は Edit ): インターフェースを設定し、共有ゾーンに
バインドして OK をクリックします。
CLI
set interface interface zone shared_zone_name_str
複数のシステムがインターフェースを共有する場合、インバウンドトラフィックを適切に振り分けるためには、IP
ベースのトラフィック分類を使用する必要があります (IP ベースのトラフィック分類および vsys での設定例について
は 33 ページ「IP ベースのトラフィック分類」を参照 )。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
17
第 1 章 仮想システム
トラフィックの振り分け
物理インターフェースのインポートとエクスポート
物理インターフェースをある vsys の専用にすることができます。これは、ルートシステムから仮想システムに、物理イン
ターフェースをインポートする形で行います。インポートされた物理インターフェースは、当該 vsys が専有できます。
注記 : 仮想システムにインポートするインターフェースは、ルートレベルの Null ゾーンに属するものでなければりません。
例 : 物理インターフェースを仮想システムにインポートする
この例では、ルート管理者となって、物理インターフェース ethernet4/1 を vsys1 にインポートします。次に、これを
Untrust ゾーンにバインドし、IP アドレス 1.1.1.1/24 を割り当てます。
WebUI
1.
vsys1 にログイン
vsys: (vsys1 の ) Enter をクリックします。
2.
インターフェースのインポートと定義
Network > Interfaces: Import をクリック (ethernet4/1 を選択 )。
Network > Interfaces > Edit (ethernet4/1): 以下を入力して OK をクリックします。
Zone Name: Untrust
IP Address/Netmask: 1.1.1.1/24
3.
vsys1 からのログアウト
( メニューの一番下にある ) Exit Vsys ボタンをクリックします。ルートレベルに戻ります。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
18
第 1 章 仮想システム
トラフィックの振り分け
CLI
1.
vsys1 にログイン
ns-> enter vsys vsys1
2.
インターフェースのインポートと定義
ns(vsys1)->
ns(vsys1)->
ns(vsys1)->
ns(vsys1)->
3.
set interface ethernet4/1 import
set interface ethernet4/1 zone untrust
set interface ethernet4/1 ip 1.1.1.1/24
save
vsys1 からのログアウト
ns(vsys1)-> exit
例 : 仮想システムから物理インターフェースをエクスポートする
この例では、物理インターフェース ethernet4/1 を vsys1 の Null ゾーンにバインドし、IP アドレス 0.0.0.0/0 を割り当てて、
ethernet4/1 をルートシステムにエクスポートします。
WebUI
1.
vsys1 にログイン
vsys: (vsys1 の ) Enter をクリックします。
2.
インターフェースのエクスポート
Network > Interfaces > Edit (ethernet4/1): 以下を入力して OK をクリックします。
Zone Name: Null
IP Address/Netmask: 0.0.0.0/0
Network > Interfaces: Export をクリック (ethernet4/1 を選択 )。
( これで ethernet4/1 はルートシステムや他の vsys で使える状態になりました。)
NetScreen 概念と用例 – 第 7 部 : 仮想システム
19
第 1 章 仮想システム
3.
トラフィックの振り分け
vsys1 からのログアウト
( メニューの一番下にある ) Exit Vsys ボタンをクリックします。ルートレベルに戻ります。
CLI
1.
vsys1 にログイン
ns-> enter vsys vsys1
2.
インターフェースのエクスポート
ns(vsys1)-> unset interface
ns(vsys1)-> unset interface
ns(vsys1)-> unset interface
This command will remove all
ns(vsys1)-> save
ethernet4/1 ip
ethernet4/1 zone
ethernet4/1 import
objects associated with interface, continue? y/[n] y
( これで ethernet4/1 はルートシステムや他の vsys で使える状態になりました。)
3.
vsys1 からのログアウト
ns(vsys1)-> exit
NetScreen 概念と用例 – 第 7 部 : 仮想システム
20
第 1 章 仮想システム
VLAN ベースのトラフィック分類
VLAN ベースのトラフィック分類
VLAN ベースのトラフィック分類の場合、NetScreen デバイスは VLAN タグ9 を参照して、各システムに向かうサブインター
10
フェースにトラフィックを振り分けます 。デフォルトでは、vsys は、共有 Untrust ゾーンとその vsys 用の Trust ゾーンの 2
つのセキュリティゾーンを有します。各 vsys は Untrust ゾーンインターフェースを、ルートシステムと他の仮想システムと
共有できます。vsys には、Untrust ゾーンに向かう、自分自身のサブインターフェースや ( ルートシステムからインポートし
た ) 専用物理インターフェースがあります。
VLAN 対応内部スイッチ
VLAN1 (vsys1) へ
VLAN2 (vsys2) へ
VLAN3 (vsys3) へ
外部ルーターへ
トランクポート
注 : 城型アイコンは、セキュリティゾーン
インターフェースを表します。
vsys ごとの Trust ゾーンと
vsys ごとの仮想ルーター
UNTRUST-VR
共有 Untrust ゾーン
インターネット
ルート
vlan1
Trustvsys1
vsys1-vr
vlan2
Trustvsys2
vsys2-vr
vlan3
Trustvsys3
vsys3-vr
Vsys1
Vsys2
Vsys3
注 : すべての仮想システムが、Untrust ゾーンインターフェー
スを共有していることを示します。各仮想システムに、サブ
インターフェースや専用物理インターフェースを設定するこ
ともできます。
9.
NetScreen は、IEEE 802.1Q VLAN 規格に準拠する VLAN に対応しています。
10. 物理インターフェースは、ルートシステムから仮想システムにインポートすることにより、仮想システムの専用とすることができます (18 ページ「物理インターフェース
のインポートとエクスポート」を参照 )。物理インターフェースを使用する場合、これを通過するトラフィックに VLAN タグは不要です。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
21
第 1 章 仮想システム
VLAN ベースのトラフィック分類
VLAN
各 VLAN はサブインターフェース経由でシステムにバインドされます。vsys がルートシステムと Untrust ゾーンインター
フェースを共有し、そのサブインターフェースが Trust-vsys_name ゾーンにバインドされている場合、vsys は
Trust-vsys_name ゾーンの VLAN と関連付けなければなりません。vsys に Untrust ゾーンにバインドされた固有のサブイン
ターフェースもあるならば、Untrust ゾーンにある他の VLAN とも関連付けなければなりません。
物理インターフェースから生じるサブインターフェースは、トランクポートとして動作します。トランクポートは、Layer 2
ネットワークデバイスが、1 つの物理ポートを経由する、複数の VLAN からのトラフィックをバンドルできます。各パケッ
トは、フレームヘッダー中の VLAN 識別子 (VID) を手掛かりに振り分けます。VLAN トランク処理により、1 つの物理イン
ターフェースで、複数の論理サブインターフェースをサポートできるようになります。各々のサブインターフェースは 固有
の VLAN タグによって識別されなければなりません。受信 ethernet フレーム上の VLAN 識別子 ( タグ ) により、使用するサ
ブインターフェース ( および結果的使用するシステム ) を判別します。VLAN をインターフェースまたはサブインターフェー
スと関連付けると、NetScreen デバイスは自動的に、物理ポートをトランクポートとして定義します。VLAN を透過モードの
ルートレベルで使用する場合は、CLI コマンド set interface vlan1 vlan trunk により、物理ポートをすべて、トランクポー
トとして明示的に定義しなければなりません。
VLAN 対応デバイス
Untrust ゾーン
( 共有 )
外部
ルーター
外部
スイッチ
内部
スイッチ
内部
ルーター
NetScreen デバイス
LAN
Trust ゾーン
( ルート )
ルート
インターネット
vlan1
vsys1
Trust-vsys1
ゾーン
vsys2
vlan2
Trust-vsys2
ゾーン
注 : vsys はルートシステムとルーターを共有することも、専用のルーターを
使用することもできます。仮想システムに、Untrust/Trust-vsys_name ゾー
ンにバインドされたサブインターフェースを設定する場合、外部スイッチや
内部スイッチは VLAN に対応したものを使用する必要があります。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
22
第 1 章 仮想システム
VLAN ベースのトラフィック分類
vsys が Trust-vsys_name ゾーンに関連付けられる ( 専用物理インターフェースではない ) サブインターフェースを使用する
場合、Trust-vsys_name ゾーンの内部スイッチや内部ルーターは、VLAN に対応したものでなければなりません。物理イン
ターフェース上に複数のサブインターフェースを設定する場合、接続スイッチポートをトランクポートとして定義し、使用
するすべての VLAN のメンバーにする必要があります。
vsys が、共有 Untrust ゾーンに関連付けられるサブインターフェース ( 共有インターフェースでも専用物理インターフェー
スでもない ) を使用する場合、インバウンド / アウトバウンドトラフィックを受け取る外部スイッチや外部ルーターは、
VLAN 機能を有しなければなりません。ルーターは NetScreen デバイスに到達する時、受信されたフレームが正しいサブイ
ンターフェースに転送されるためにそのフレームをタグ付けします。
vsys は透過モードではそんざいすることができません。これは、特有のインターフェースあるいはサブインターフェース IP
11
アドレスを求めるので、ルートシステムは透過モードとなります 。透過モードで動作する際にルートシステムが VLAN をサ
ポートするには、次の CLI コマンドを使用することで、トランクポートとして動作する Layer 2 セキュリティゾーンに物理イ
ンターフェースがバインド可能となります : set interface vlan1 vlan trunk 。
サブインターフェースと VLAN タグの定義
Trust-vsys_name ゾーンサブインターフェースには、vsys をその内部 VLAN にリンクする働きがあります。Untrust ゾーンサ
ブインターフェースは、vsys をパブリック WAN ( 通常はインターネット ) にリンクします。サブインターフェースには次の
ような属性があります。
•
固有の VLAN ID (1 ～ 4095)
•
公開 IP アドレスまたはプライベート IP アドレス ( デフォルトによりプライベートです。)
•
サブネットクラス (A、B、C) に応じたネットマスク
•
関連付けられた VLAN
12
vsys には、1 つの Untrust ゾーンサブインターフェースのほか、複数の Trust-vsys_name ゾーンサブインターフェースを設
定できます。仮想システムに独自の Untrust ゾーンサブインターフェースがない場合は、ルートレベル Untrust ゾーンイン
ターフェースを共有します。NetScreen デバイスは、ルートレベルでサブインターフェースと VLAN に対応しています。
11. ルートシステムが透過モードの場合、仮想システムには対応できません。しかし透過モードにしている間、ルートレベル VLAN には対応できます。
、2 -80 ページ「非公開 IP アドレス」を参照してください。
12. 公開 IP アドレス、プライベート IP アドレスについて詳しくは、2 -79 ページ「公開 IP アドレス」
NetScreen 概念と用例 – 第 7 部 : 仮想システム
23
第 1 章 仮想システム
vsys1 は Untrust ゾーンインターフェースを
ルートシステムと共有します。
vsys2 と vsys100 には、自分自身の Untrust
ゾーンにバインドされた、専用サブイン
ターフェースがあります。
ルートシステムには、Trust ゾーンにバインド
された物理インターフェースとサブインター
フェースがあります。
vsys1 には、Trust-vsys1 ゾーンにバインド
された 3 つのサブインターフェースがあり、
それぞれ異なる VLAN につながっています。
VLAN ベースのトラフィック分類
if = 物理インターフェース
sif = サブインターフェース
NetScreen デバイス
if
インターネット
sif
vsys100 には、Trust-vsys100 ゾーンに
バインドされた 1 つのサブインターフェース
があります。
if
sif
LAN
VLAN.1
vsys1
sif
sif
sif
VLAN.2
VLAN.3
VLAN.4
sif
sif
VLAN.5
VLAN.6
sif
VLAN.292
vsys2
...
vsys2 には、Trust-vsys2 ゾーンにバインド
された 2 つのサブインターフェースがあり、
それぞれ異なる VLAN につながっています。
ルート
sif
vsys100
注 : VLAN ID はすべて、物理インターフェース
ごとに固有でなければなりません。
NetScreen デバイスは、IEEE 802.1Q 準拠の VLAN タグに対応しています。タグとは、ethernet フレームヘッダーに追加さ
れたビットで、どの VLAN に属しているか識別するためのものです。VLAN を vsys にバインドすることにより、フレームが
どの vsys に属し、したがってどのポリシーが適用されるか、の判断にタグを使います。VLAN が vsys にバインドされていな
ければ、NetScreen デバイスのルートシステムで設定されたポリシーを適用することになります。
ルートレベル管理者は、VLAN を作成し、メンバーを割り当て、vsys にバインドすることができます ( メンバー割り当ての
基準には、プロトコルタイプ、MAC アドレス、ポート番号などがありますが、本マニュアルでは扱いません )。vsys 管理者
がいれば、アドレス、ユーザー、サービス、VPN、ポリシーを作成して、vsys を管理します。いない場合はルートレベル管
理者がこのような作業を行います。
注記 : ルートレベル管理者が VLAN を vsys と関連付けていない場合、VLAN は NetScreen デバイスのルートシステム内
で動作します。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
24
第 1 章 仮想システム
VLAN ベースのトラフィック分類
vsys のために VLAN を作成するために、ルートレベル管理者が行う必要のあるタスクには 3 段階あります。仮想システムへ
のログイン、サブインターフェースの定義、VLAN と関連付けることです。
注記 : vsys 以下のサブネットはすべて分離している必要があります。すなわち、同一 vsys のサブネット間で重複する IP
アドレスが存在することは許可されません。例えば、Subinterface1 － 10.2.2.1 255.255.255.0 と、Subinterface2 －
10.2.3.1 255.255.255.0 は分離しているため、設定可能なサブネットとして認識されます。
しかし、以下の サブインターフェース設定を持つサブネット間では、重複する IP アドレスが存在するため、同一 vsys 以
下で設定が許可されません。subinterface1 － 10.2.2.1 255.255.0.0、subinterface2 － 10.2.3.1 255.255.0.0
異なる仮想システム間では、サブネットのアドレス範囲を重複させることが可能です。
例 : 3 つのサブインターフェースと VLAN タグを定義する
この例では、3 ページ「例 : Vsys オブジェクトと vsys 管理者」で作成した 3 つの仮想システム (vsys1、vsys2、vsys3) に、
サブインターフェースと VLAN タグを定義します。1 番目と 2 番目のサブインターフェースは、NAT モードで動作するプラ
イベート仮想システム用、3 番目のサブインターフェースは Route モードで動作するパブリック仮想システム用です。サブ
インターフェースはそれぞれ 10.1.1.1/24、10.2.2.1/24、1.3.3.1/24 です。どれも ethernet3/2 上に作成します。
どの仮想システムも、Untrust ゾーンおよびインターフェース (ethernet1/1; 1.1.1.1/24) をルートシステムと共有します。
Untrust ゾーンは untrust-vr ルーティングドメインにあります。
WebUI
1.
vsys1 のサブインターフェースと VLAN タグ
vsys: (vsys1 の ) Enter をクリックします。
Network > Interfaces > New Sub-IF (ethernet3/2): 以下を入力して OK をクリックします。
Interface Name: ethernet3/2.1
Zone Name: Trust-vsys1
NetScreen 概念と用例 – 第 7 部 : 仮想システム
25
第 1 章 仮想システム
VLAN ベースのトラフィック分類
IP Address/Netmask: 10.1.1.1/24
VLAN Tag: 1
2.
13
vsys2 のサブインターフェースと VLAN タグ
vsys: (vsys2 の ) Enter をクリックします。
Network > Interfaces > New Sub-IF (ethernet3/2): 以下を入力して OK をクリックします。
Interface Name: ethernet3/2.2
Zone Name: Trust-vsys2
IP Address/Netmask: 10.2.2.1/24
VLAN Tag: 2
3.
vsys3 のサブインターフェースと VLAN タグ
vsys: (vsys3 の ) Enter をクリックします。
Network > Interfaces > New Sub-IF (ethernet3/2): 以下を入力して Apply をクリックします。
Interface Name: ethernet3/2.3
Zone Name: Trust-vsys3
IP Address/Netmask: 1.3.3.1/24
VLAN Tag: 3
Interface Mode: Route を選択して OK をクリックします。
Exit Vsys ボタンをクリックします。ルートレベルに戻ります。
13. 仮想システムは、ルートモードまたは NAT モードで動作するよう定義できます。初期状態では NAT モードになっているので、この例の場合、1 番目と 2 番目のサブイン
ターフェースを作成する際に指定する必要はありません。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
26
第 1 章 仮想システム
VLAN ベースのトラフィック分類
CLI
1.
vsys1 のサブインターフェースと VLAN タグ
ns-> enter vsys vsys1
ns(vsys1)-> set interface ethernet3/2.1 zone trust-vsys1
ns(vsys1)-> set interface ethernet3/2.1 ip 10.1.1.1/24 tag 114
ns(vsys1)-> save
ns(vsys1)-> exit
2.
vsys2 のサブインターフェースと VLAN タグ
ns-> enter vsys vsys2
ns(vsys2)-> set interface ethernet3/2.2 zone trust-vsys2
ns(vsys2)-> set interface ethernet3/2.2 ip 10.2.2.1/24 tag 2
ns(vsys2)-> save
ns(vsys2)-> exit
3.
vsys3 のサブインターフェースと VLAN タグ
ns-> enter vsys vsys3
ns(vsys3)-> set interface ethernet3/2.3 zone trust-vsys3
ns(vsys3)-> set interface ethernet3/2.3 ip 1.3.3.1/24 tag 3
ns(vsys3)-> set interface ethernet3/2.3 route
ns(vsys3)-> save
ns(vsys3)-> exit
14. 仮想システムは、Route モードまたは NAT モードで動作するよう定義できます。初期状態では NAT モードになっているので、この例の場合、1 番目と 2 番目のサブイン
ターフェースを作成する際に指定する必要はありません。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
27
第 1 章 仮想システム
VLAN ベースのトラフィック分類
仮想システム間の通信
vsys の VLAN メンバーは、互いの通信アクセスには制限はありません。通常、異なる vsys に属する VLAN メンバーは互い
に通信することはできませんが、2 つの vsys システムの管理者が互いに通信できるようポリシーを設定すれば、通信できる
ようになります。
ルートレベル VLAN 間のトラフィックは、ルートレベルのポリシーで設定されたパラメータが許す範囲で動作します。仮想
システム VLAN 間のトラフィックは、通過する仮想システムのポリシーのパラメータ設定内で動作します15。NetScreen デバ
イスは、送信側の仮想システムを通過することが可能で、さらに宛先側の仮想システムへ到達することが可能なトラフィッ
クだけが通過します。換言すれば、両仮想システムの vsys 管理者は、トラフィックが入力と出力で適切な方向で通信可能な
ポリシーを設定しなければなりません。
例 : vsys 間通信
この例では、vsys1 および vsys2 の管理者 (25 ページ「例 : 3 つのサブインターフェースと VLAN タグを定義する」を参照 )
が、VLAN 1 のワークステーション (work_js、IP アドレス 10.1.1.10/32) と、VLAN 2 のサーバー (ftp_server、IP アドレス
10.2.2.20/32) との間でトラフィックが行き来できるよう、ポリシーを設定します。次の 2 つの作業を行えば、接続が可能に
なります。
•
vsys1 の vsys 管理者が、Trust-vsys1 のワークステーションから Untrust ゾーン宛のトラフィックを許可するポリ
シーを設定。
•
vsys2 の vsys 管理者が、Untrust ゾーンにあるワークステーションから Trust-vsys2 のサーバー宛のトラフィックを
許可するポリシーを設定。
NetScreen デバイスの内部インターフェースに接続するネットワークデバイスが、Layer 2 スイッチであることに注意してく
ださい。これにより、VLAN 1 から VLAN 2 へスイッチを通過するトラフィックは、Layer 3 ルーティングのために強制的にス
イッチから NetScreen デバイスへ転送されます。これに対し VLAN1 と VLAN2 の間のトラフィックはルーター内部で通過可
能なため、NetScreen デバイス上に設定されたすべてのポリシーがバイパスされてしまいます。
vsys1 および vsys2 の管理者は、ルートも適切に設定しなければなりません。共有 Untrust ゾーンは untrust-vr にあり、Trust
ゾーンは vsys1 と vsys2 にあります。
15. ルートシステムで設定されたポリシーは、仮想システムで設定されるポリシーに影響しません。逆も同じです。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
28
第 1 章 仮想システム
VLAN ベースのトラフィック分類
NetScreen デバイス
Layer 2
スイッチ
Vsys1
work_js
10.1.1.10/32
VLAN 1
ftp_server
10.2.2.20/32
VLAN 2
Vsys2
WebUI
1.
vsys1
アドレス
Objects > Addresses > List > New: 以下を入力して OK をクリックします。
Address Name: work_js
IP Address/Domain Name:
IP/Netmask: ( 選択 ), 10.1.1.10/32
Zone: Trust-vsys1
Objects > Addresses > List > New: 以下を入力して OK をクリックします。
Address Name: ftp_server
IP Address/Domain Name:
IP/Netmask: ( 選択 ), 10.2.2.20/32
Zone: Untrust
NetScreen 概念と用例 – 第 7 部 : 仮想システム
29
第 1 章 仮想システム
VLAN ベースのトラフィック分類
ルート
Network > Routing > Routing Entries > untrust-vr New: 以下を入力して OK をクリックします。
Network Address/Netmask: 10.1.1.0/24
Next Hop Virtual Router Name: ( 選択 ), vsys1-vr
Network > Routing > Routing Entries > vsys1-vr New: 以下を入力して OK をクリックします。
Network Address/Netmask: 0.0.0.0/0
Gateway: ( 選択 )
Next Hop Virtual Router Name: ( 選択 ), untrust-vr
ポリシー
Policies > (From: Trust-vsys1, To: Untrust) New: 以下を入力して OK をクリックします。
Source Address:
Address Book Entry: ( 選択 ), work_js
Destination Address:
Address Book Entry: ( 選択 ), ftp_server
Service: FTP-Get
Action: Permit
2.
vsys2
アドレス
Objects > Addresses > List > New: 以下を入力して OK をクリックします。
Address Name: ftp_server
IP Address/Domain Name:
IP/Netmask: ( 選択 ), 10.2.2.2/032
Zone: Trust-vsys2
NetScreen 概念と用例 – 第 7 部 : 仮想システム
30
第 1 章 仮想システム
VLAN ベースのトラフィック分類
Objects > Addresses > List > New: 以下を入力して OK をクリックします。
Address Name: work_js
IP Address/Domain Name:
IP/Netmask: ( 選択 ), 10.1.1.10/32
Zone: Untrust
ルート
Network > Routing > Routing Entries > untrust-vr New: 以下を入力して OK をクリックします。
Network Address/Netmask: 10.2.2.0/24
Next Hop Virtual Router Name: ( 選択 ), vsys2-vr
Network > Routing > Routing Entries > vsys2-vr New: 以下を入力して OK をクリックします。
Network Address/Netmask: 0.0.0.0/0
Next Hop Virtual Router Name: ( 選択 ), untrust-vr
ポリシー
Policies > (From: Untrust, To: Trust-vsys2) New: 以下を入力して OK をクリックします。
Source Address:
Address Book Entry: ( 選択 ), work_js
Destination Address:
Address Book Entry: ( 選択 ), ftp_server
Service: FTP-Get
Action: Permit
NetScreen 概念と用例 – 第 7 部 : 仮想システム
31
第 1 章 仮想システム
VLAN ベースのトラフィック分類
CLI
1.
vsys1
アドレス
set address trust-vsys1 work_js 10.1.1.10/32
set address untrust ftp_server 10.2.2.20/32
ルート
set vrouter untrust-vr route 10.1.1.0/24 vrouter vsys1-vr
set vrouter vsys1-vr route 0.0.0.0/0 vrouter untrust-vr
ポリシー
set policy from trust-vsys1 to untrust work_js ftp_server ftp-get permit
save
2.
vsys2
アドレス
set address trust-vsys2 ftp_server 10.2.2.20/32
set address untrust work_js 10.1.1.10/32
3.
ルート
set vrouter untrust-vr route 10.2.2.0/24 vrouter vsys2-vr
set vrouter vsys2-vr route 0.0.0.0/0 vrouter untrust-vr
4.
vsys2 ポリシー
set policy from untrust to trust-vsys2 work_js ftp_server ftp-get permit
save
NetScreen 概念と用例 – 第 7 部 : 仮想システム
32
第 1 章 仮想システム
IP ベースのトラフィック分類
IP ベースのトラフィック分類
IP ベースのトラフィック分類により、VLAN なしで仮想システムを使用ことができます。NetScreen デバイスは、トラ
フィックをソートするために VLAN タグの代わりに IP アドレスを使用し、IP アドレスのサブネットあるいは範囲を特定の
システム ( ルートシステムまたは vsys) に関連付けます。IP ベースのトラフィック分類は排他的にトラフィックをソートする
ために使用するため、すべてのシステムはで以下を共有します。
•
untrust-vr およびユーザー定義の internal-vr
•
Untrust ゾーンおよびユーザー定義の内部ゾーン
•
Untrust ゾーンインターフェースおよびユーザー定義の内部ゾーンインターフェース16
内部スイッチ
vsys1 へ
vsys2 へ
vsys3 へ
外部ルーターへ
共有 UNTRUST-VR
共有
Untrust ゾーン
インターフェース
210.1.1.1/24
共有 Untrust ゾーン
インターネット
共有
内部ゾーン
インターフェース
10.1.0.1/16
共有 INTERNAL-VR
vsys1
10.1.1.0/24
ルート
vsys1
vsys2
10.1.2.0/24
共有内部
ゾーン
vsys2
vsys3
vsys3
10.1.3.0/24
注 : システムはすべて、Untrust および内部ゾーン、Untrust および
内部ゾーンインターフェース、untrust-vr、internal-vr を共有します。
16. 内部トラフィックのために VLAN ベーストラフィック分類を使用するときでも、外部トラフィックのための共有 Untrust ゾーンを使用し、さらに専用インターフェースを持
たない場合には、共有 Untrust ゾーンインターフェースも使用します。一方で共有インターフェースを使用し、他方で専用インターフェース (VLAN タギング ) を使用するこ
とは、混合アプローチを構成します。VLAN ベースおよび IP ベースのトラフィック分類は、同時に同じシステムあるいは異なるシステム内で存在することができます。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
33
第 1 章 仮想システム
IP ベースのトラフィック分類
サブネットあるいは IP アドレスの範囲を、ルートシステムあるいは既存の仮想システムに指定するには、次の CLI コマンド
うちいずれかを、ルートレベルで実行しなければなりません。
WebUI
Network > Zones > Edit ( zone ) > IP Classification: 以下を入力して OK をクリックします。
System: ( root または vsys_name_str を選択 )
Address Type: ( Subnet を選択して ip_addr/mask を入力、または Range を選択して
ip_addr1 - ip_addr2 を入力 )
CLI
set zone zone ip-classification net ip_addr/mask { root | vsys name_str }
set zone zone ip-classification range ip_addr1-ip_addr2 { root | vsys name_str }
IP ベースのトラフィック分類は共有セキュリティゾーンを使用する必要があるので、仮想システム間で重複する内部 アドレ
スを使用することはできません。(VLAN ベーストラフィック分類では可能 )。さらにすべてのシステムは同じ内部インター
フェースを共有するので、そのインターフェースの動作モードは NAT または Route のいずれかでなければなりません。シ
ステムによって NAT と Route が混在させることも不可能です。IP ベースのアドレス指定方式はこの点で、より一般的に使用
される VLAN ベースの方式ほど柔軟ではないといえるでしょう。
さらに、仮想ルーター、セキュリティゾーン、インターフェースの共有は、安全性の面でも、vsys ごとに専用の内部仮想
ルーター、内部セキュリティゾーン、内部 / 外部インターフェースを用意する方式に比べて劣ります。仮想システムがすべて
同じインターフェースを共有するならば、ある vsys の管理者が snoop コマンドを使って、別の vsys のトラフィック状況を
収集することもできてしまいます。また、内部的には IP スプーフィング ( なりすまし ) も可能なので、共有内部インター
フェースでは IP spoofing SCREEN オプションをオフにするようお勧めします。いずれのトラフィック分類方法を使用するか
を決める時、VLAN ベースアプローチにより提供されるセキュリティの向上とアドレス指定の柔軟性と、IP ベース アプロー
チにより提供される管理の容易さを比較して考慮してください。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
34
第 1 章 仮想システム
IP ベースのトラフィック分類
例 : IP ベースのトラフィック分類を設定する
この例では、3 ページ「例 : Vsys オブジェクトと vsys 管理者」で作成した 3 つの仮想システムを対象に、IP ベースのトラ
フィック分類を設定します。trust-vr は共有可能と定義します。新しいゾーンを作成して内部 と名付け、trust-vr にバインドし
ます。次に、この内部ゾーンを共有可能にします。ethernet3/2 を共有内部ゾーンにバインドし、IP アドレス 10.1.0.1/16 を割
り当て、NAT モードを選択します。
ethernet1/2 を共有 Untrust ゾーンにバインドし、IP アドレス 210.1.1.1/24 を割り当てます。Untrust ゾーンのデフォルトゲー
トウェイの IP アドレスは、210.1.1.250 です。内部ゾーン、Untrust ゾーンとも、共有 trust-vr ルーティングドメインに属し
ます。
サブネットと各 vsys を次のように対応付けます。
•
10.1.1.0/24 - vsys1
•
10.1.2.0/24 - vsys2
•
10.1.3.0/24 - vsys3
WebUI
1.
仮想ルーター、セキュリティゾーン、インターフェース
Network > Routing > Virtual Routers > Edit (trust-vr): Shared and accessible by other vsys チェックボックスをオン
にして OK をクリックします。
Network > Zones > New: 以下を入力して OK をクリックします。
Zone Name: 内部
Virtual Router Name: trust-vr
Zone Type: Layer 3
Network > Zones > Edit (Internet): Share Zone チェックボックスをオンにして OK をクリックします。
Network > Interfaces > Edit (ethernet3/2): 以下を入力して OK をクリックします。
Zone Name: Internet
IP Address/Netmask: 10.1.0.1/16
NetScreen 概念と用例 – 第 7 部 : 仮想システム
35
第 1 章 仮想システム
IP ベースのトラフィック分類
Network > Interfaces > Edit (ethernet1/2): 以下を入力して OK をクリックします。
Zone Name: Untrust
IP Address/Netmask: 210.1.1.1/24
2.
ルート
Network > Routing > Routing Entries > trust-vr New: 以下を入力して OK をクリックします。
Network Address/Netmask: 0.0.0.0/0
Gateway: ( 選択 )
Interface: ethernet1/2
Gateway IP Address: 210.1.1.250
3.
Trust ゾーンの IP 分類
Network > Zones > Edit (Internet) > IP Classification: 以下を入力して OK をクリックします。
System: vsys1
Address Type:
Subnet: ( 選択 ); 10.1.1.0/24
Network > Zones > Edit (Internet) > IP Classification: 以下を入力して OK をクリックします。
System: vsys2
Address Type:
Subnet: ( 選択 ); 10.1.2.0/24
Network > Zones > Edit (Internet) > IP Classification: 以下を入力して OK をクリックします。
System: vsys3
Address Type:
Subnet: ( 選択 ); 10.1.3.0/24
Network > Zones > Edit (Internet): IP Classification チェックボックスをオンにして OK をクリックします。
NetScreen 概念と用例 – 第 7 部 : 仮想システム
36
第 1 章 仮想システム
IP ベースのトラフィック分類
CLI
1.
仮想ルーター、セキュリティゾーン、インターフェース
set
set
set
set
set
set
set
set
2.
vrouter trust-vr shared
zone name Internal
zone Internal shared
interface ethernet3/2 zone Internal
interface ethernet3/2 ip 10.1.0.1/16
interface ethernet3/2 nat
interface ethernet1/2 zone untrust
interface ethernet1/2 ip 210.1.1.1/24
ルート
set vrouter trust-vr route 0.0.0.0/0 interface ethernet1/2 gateway 210.1.1.250
3.
Trust ゾーンの IP 分類
set zone
set zone
set zone
set zone
save
Internal
Internal
Internal
Internal
ip-classification net 10.1.1.0/24 vsys1
ip-classification net 10.1.2.0/24 vsys2
ip-classification net 10.1.3.0/24 vsys3
ip-classification
NetScreen 概念と用例 – 第 7 部 : 仮想システム
37
第 1 章 仮想システム
VSYS
vsys 管理者としてログオン
管理者としてログオン
ルートレベル管理者がルートレベルから vsys にログインするのに対して、vsys 管理者は自身の vsys に直接ログインしま
す。ルートレベル管理者が vsys からログアウトする際に、管理者はルートシステムへ移動します。vsys 管理者が vsys を終
了すると、接続が直ちに切断されます。
次の例は、vsys 管理者として、vsys にログオン、パスワードの変更、ログアウトの方法を示しています。
例 : ログオンとパスワードを変更する
この例では、vsys 管理者が、自分に割り当てられたログイン名 jsmith およびパスワード Pd50iH10 を入力して、vsys1 にロ
グオンする様子を示します。さらに、パスワードを I6Dls13guh に変更し、ログアウトします。
注記 : vsys 管理者は自分のログイン名 ( ユーザー名 ) を変更することはできません。NetScreen デバイスは、適切な vsys
へのログイン接続を識別するために、すべての vsys 管理者の中で固有のログイン名を使用するためです。
WebUI
1.
ログオン
Web ブラウザーの URL フィールドに、vsys1 の Untrust ゾーンインターフェース IP アドレスを入力。
Network Password ダイアログボックスが現れるので、以下を入力して OK をクリックします。
User Name: jsmith
Password: Pd50iH10
2.
パスワードの変更
Configuration > Admin > Administrators: 以下を入力して OK をクリックします。
Vsys Admin Old Password: Pd50iH10
Vsys Admin New Password: I6Dls13guh
Confirm New Password: I6Dls13guh
NetScreen 概念と用例 – 第 7 部 : 仮想システム
38
第 1 章 仮想システム
3.
vsys 管理者としてログオン
ログアウト
メニューの一番下にある Logout をクリックします。
CLI
1.
ログオン
SCS (Secure Command Shell)、Telnet、HyperTerminal のいずれかを使い、セッションコマンドラインプロンプトか
ら vsys1 の Untrust ゾーンインターフェース IP アドレスを入力します。
次のユーザー名とパスワードでログオンします。
2.
–
User Name: jsmith
–
Password: Pd50iH10
パスワードの変更
set admin password I6Dls13guh
save
3.
ログアウト
exit
NetScreen 概念と用例 – 第 7 部 : 仮想システム
39
第 1 章 仮想システム
NetScreen 概念と用例 – 第 7 部 : 仮想システム
vsys 管理者としてログオン
40
索引
索引
い
さ
インターフェース
vsys からのエクスポート 19
vsys へのインポート 18
共有 15, 33
専用 15, 33
サブインターフェース 23
vsys ごとの複数サブインターフェース 23
作成 (vsys) 23
設定 (vsys) 23
定義 25
か
せ
セキュリティーゾーン
ゾーンを参照
説明図
規則 vii
仮想システム 10
VLAN
VLAN ベースのトラフィック分類 21
作成 25–27
サブインターフェース 23
タグ 23, 24
透過モード 23, 22
トランク処理 22
別の VLAN との通信 28–32
VR
共有 15
共有 VR の作成 16
仮想システム 1–39
IP ベースのトラフィック分類 33–37
MIP 10
VIP 10
VLAN ベースのトラフィック分類 21–32
VR 6
vsys オブジェクトの作成 3
アドレス範囲の重複 34
インターフェース 8
管理者 1
管理者のパスワード変更 3, 38
管理性とセキュリティ 34
管理タイプ 3
基本機能要件 3
共有 VR 15
共有ゾーン 15
サブネットの重複 25
ゾーン 7
ソフトウェアキー 15
透過モード 22
トラフィックの振り分け 10–17
物理インターフェースのインポート 18
物理インターフェースのエクスポート 19
管理者 iii
管理
vsys 管理者 38
W
き
WebUI
規則 v
規則
C
CLI
規則 iv
I
IEEE 802.1Q VLAN 規格 21
IP ベースのトラフィック分類 33
M
MIP
仮想システム 10
S
ScreenOS
仮想システム、VR 6
仮想システム、ゾーン 7
V
VIP
NetScreen 概念と用例 – 第 7 部 : 仮想システム
そ
ゾーン
vsys 7
共有 15
ソフトウェア
キー、vsys 15
て
定義
サブインターフェース 25
と
トラフィック
通過トラフィック、vsys への振り分け 11–13
分類、IP ベース 33
分類、VLAN ベース 21
トランクポート 23
手動設定 22
定義済み 22
ね
CLI iv
WebUI v
説明図 vii
ネーミング viii
ネーミング
規則 viii
IX-I
索引
は
パスワード
vsys 管理者 38
ほ
ポート
トランク 23
も
文字タイプ、ScreenOS で使用できる viii
ろ
ログイン
vsys 33, 38
NetScreen 概念と用例 – 第 7 部 : 仮想システム
IX-II