Comments
Description
Transcript
cfg/net/route/rip
Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レンス ド キ ュ メ ン ト 番号 : 217014-B-JA, 2005 年 12 月 2 Copyright © Nortel Networks Limited 2005. All rights reserved. ド キ ュ メ ン ト 番号 : 217014-B-JA 本書は著作権で保護 さ れてお り 、 使用、 複製、 配布、 再編成を制限す る ラ イ セ ン ス契約に基づ いて配布 さ れます。 ノ ーテルの書面に よ る 事前の許諾がない限 り 、 形式 と 手段を問わず、 ど の よ う な方法であれ、 本書のいかな る 部分 も 複製す る こ と は許 さ れません。 本書は 「現状」 で提 供 さ れてお り 、 明示 と 暗示を問わず、 侵害がない こ と を保証 し た り 、 商品性ま たは特定の目的 に対す る 適合性を保証 し た り は し ません。 米国政府のエン ド ユーザー : 本書は FAR 2.101 (1995 年 10 月) で定め ら れた 「民生品」 に当 た り 、 「商用技術デー タ 」 を含んでい ます。 ま た、 FAR 12.211-12.212 (1995 年 10 月) で定め ら れた 「民生用 ソ フ ト ウ ェ ア マニ ュ アル」 に当た り ます。 政府のエン ド ユーザーは、 FAR 12.21112.212 (1995 年 10 月)、 DFARS 227.7202 (1995 年 6 月) お よ び DFARS 252.227-7015 (1995 年 11 月) に定め ら れた権利 と 制限に従っ た場合にのみ、 本書の使用が許 さ れます。 ノ ーテルは、 いついかな る と き も 、 こ こ に記載 さ れた製品を予告な く 変更す る 権利を有 し ます。 ノ ーテルは、 こ こ に記載 さ れた製品の使用に よ っ て発生す る 事象に対 し て一切の責任を負い ま せん。 ただ し 、 ノ ーテルの書面に よ る 合意が明示的に得 ら れてい る 場合はその限 り ではあ り ま せん。 こ の製品の利用 と 購入に よ っ て、 ノ ーテルの特許権、 商標権、 お よ びその他のあ ら ゆ る 知的所有権が譲渡 さ れ る こ と はあ り ません。 米国 と その他の諸国において、 Nortel Switched Firewall、 Nortel 5014、 5016、 6400、 6600、 Nortel Firewall Director、 Firewall OS、 Nortel Firewall Accelerator、 お よ び Nortel Accelerator OS は Nortel Networks, Inc. の商標です。 Check Point、 SecureXL、 SmartCenter、 SmartDashboard、 SmartView Tracker、 OPSEC、 お よ び SmartView Monitor は、 Check Point Software Technologies Ltd. の商標です。 FireWall-1 と VPN-1 は、 Check Point Software Technologies Ltd. の登録商標です。 本書に記載 さ れたほかの商標は、 関 係各社の所有物です。 Originated in the USA. 輸出について 本製品、 ソ フ ト ウ ェ ア、 な ら びに関連技術の輸出に関 し ては、 米国輸出管理規則に従 う も の と し ま す。 米国以外の場合、 その国の輸出入規定に従 う も の と し ま す。 本製品、 ソ フ ト ウ ェ ア、 な ら びに関連技術の購入者は、 こ れ ら の法律や規定に厳密に従 う も の と し ます。 本製品、 ソ フ ト ウ ェ ア、 な ら びに関連技術を輸出ま たは再輸出す る 際に、 米国商務省の許可が必要にな る 場 合があ り ます。 ラ イ セ ン スについて 本製品には、 Check Point Software Technologies (http://www.checkpoint.com) に よ っ て開発 さ れ た ソ フ ト ウ ェ アが含まれます。 他社が開発 し た ソ フ ト ウ ェ ア も 本製品に含まれます。 詳細については、 付録 D、 「 ソ フ ト ウ ェ ア ラ イ セ ン ス」 を参照 し て く だ さ い。 217014-B-JA 3 共通基準認定 ソ フ ト ウ ェ ア 詳細については、 Appendix E、 「Common Criteria Certified Software」 を参照 し て く だ さ い。 本書 『Nortel Switched Firewall 4.4.1 User's Guide and Command Reference』 日本語版は、 ご利用者 のために 『Nortel Switched Firewall 4.4.1 User's Guide and Command Reference (Part No. 217014-B, July 2005) 』 (英語) を翻訳 し た も ので、 英文の本文に代わ る も のではあ り ません。 あ く ま で も 英語版がオ リ ジナルであ り 、 日本語版 と 英語版 と の間に相違があ っ た場合は英語版の文言が優 先 さ れます。 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 4 217014-B-JA 目次 は じ めに 13 本書の対象読者 14 本書の内容 14 第 1 部 : ス タ ー ト ガ イ ド 14 第 2 部 : コ マン ド リ フ ァ レ ン ス 第 3 部 : 付録 15 関連 ド キ ュ メ ン ト 16 技術サポー ト 16 表記規則 17 第 1 部 : ス ター ト ガイ ド 15 19 第 1 章 : 概要 21 NSF 4.4.1 の新機能 21 Nortel Switched Firewall の基本 25 基本動作 27 ポー ト フ ィ ル タ リ ン グ 27 ト ポ ロ ジーの仕様 28 セキ ュ リ テ ィ 処理 29 第 2 章 : 初期セ ッ ト ア ッ プ 31 初期セ ッ ト ア ッ プ作業の概要 32 基本的なシ ス テ ム情報の収集 32 ネ ッ ト ワー ク 例 33 基本構成用のセ ッ ト ア ッ プの使用 34 ラ イ セ ン スお よ び イ ン タ フ ェース の設定 38 Check Point 管理ツールの イ ン ス ト ール 40 フ ァ イ ア ウ ォール ポ リ シーの構成お よ び イ ン ス ト ール 49 作業の概要 49 SmartDashboard 管理ツールへの ロ グ イ ン 49 Nortel Switched Firewall オブジ ェ ク ト の定義 51 Secure Internal Communications の確立 53 中央 ラ イ セ ン ス の使用 55 フ ァ イ ア ウ ォール ポ リ シーの作成お よ び イ ン ス ト ール 57 5 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.1.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 第 3 章 : Dynamic Host Configuration Protocol 61 DHCP リ レー エージ ェ ン ト 62 DHCP リ レー エージ ェ ン ト の構成 63 第 4 章 : Routing Information Protocol 65 デ ィ ス タ ン ス ベ ク タ ー プ ロ ト コ ル 65 安定性 65 RIP お よ び NSF 66 ルーテ ィ ン グ更新 66 ルー ト 再配信の構成 67 第 5 章 : Open Shortest Path First 71 OSPF の概要 72 OSPF エ リ アの タ イ プ 72 OSPF ルーテ ィ ン グ デバ イ ス の タ イ プ 73 ネ イ バ と 隣接 74 リ ン ク ス テー ト デー タ ベース 75 Shortest Path First ツ リ ー 75 認証 76 内部ルーテ ィ ン グ と 外部ルーテ ィ ン グ 76 Nortel Switched Firewall OSPF の導入 77 設定可能なパ ラ メ ー タ 77 エ リ アの定義 78 イ ン タ フ ェ ース コ ス ト 80 指定ルー タ ー と バ ッ ク ア ッ プの選択 80 ルー ト の要約 80 仮想 リ ン ク 81 ルー タ ー ID 81 認証 82 GRE ト ン ネルのサポー ト 83 OSPF ルー ト マ ッ プ 83 こ の リ リ ース でサポー ト さ れない OSPF 機能 83 OSPF の構成例 84 例 1 : 単純な OSPF ド メ イ ン 85 例 2 : 仮想 リ ン ク 86 例 3 : ルー ト の要約 91 例 4 : ルー ト の再配信 93 例 5 : GRE ト ン ネルの構成 95 OSPF サポー ト の検証 98 第 6 章 : Protocol Independent Multicast のサポー ト 99 概要 100 PIM-SM の概念お よ び用語 101 共有ツ リ ー 103 最短パス ツ リ ー 104 NSF 4.4.1 PIM の実装 104 PIM-SM の構成例 105 6 目次 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.1.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 構成の前提要件 107 PIM-SM サポー ト の構成 108 PIM-SM 構成の検証 109 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 113 拡張 DoS プ ロ テ ク シ ョ ン と は 114 セキ ュ リ テ ィ 検査の ワー ク フ ロ ー 114 その他の タ イ プのセキ ュ リ テ ィ 検査 115 IP ア ド レ ス のア ク セ ス制御 リ ス ト 116 ACL と フ ィ ル タ の比較 116 仕組み 116 ア ク セ ス制御 リ ス ト の構成 117 IP ACL 統計情報の表示 117 UDP ブ ラ ス ト 攻撃か ら の保護 118 UDP ブ ラ ス ト 統計情報の表示 119 一般的なサービ ス拒否攻撃か ら の保護 120 DoS プ ロ テ ク シ ョ ン を使用 し たポー ト の構成 120 DoS 統計情報の表示 120 DoS 攻撃の タ イ プについて 121 その他の タ イ プの DoS 攻撃の防止 123 プ ロ ト コ ルベース の レー ト 制限 124 時間枠 と レー ト 制限 124 ホール ド 時間 124 UDP お よ び ICMP の レー ト 制限 125 TCP の レー ト 制限 125 プ ロ ト コ ルベース の レー ト 制限フ ィ ル タ の構成 126 プ ロ ト コ ルベース の レー ト 制限の検証 132 TCP ま たは UDP のパ タ ーン マ ッ チン グ 133 パ タ ーン基準 133 パ タ ーン グループのマ ッ チン グ 135 パ タ ーン マ ッ チン グの検証 141 第 8 章 : IDS サーバーのロー ド バラ ン シ ング 143 IDS ロ ー ド バ ラ ン シ ン グの仕組み 144 IDS サーバーの ロ ー ド バ ラ ン シ ン グ例 145 例 1 145 例 2 148 第 9 章 : ク ラ ス タ の拡張 153 2 番めの Firewall Accelerator の追加 154 要件 155 新 し い Firewall Accelerator の イ ン ス ト ール 155 新 し い Firewall Accelerator の構成 156 217014-B-JA, 2005 年 12 月 目次 7 Nortel Switched Firewall 4.1.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Firewall Director の追加 158 要件 158 新 し い Firewall Director の イ ン ス ト ール 159 新 し い Firewall Director の構成 160 手動に よ る Firewall Director の追加 167 Firewall Director の同期 169 Firewall Accelerator ポー ト の変更 172 ア ク セ ラ レー タ 間のポー ト の構成 172 Firewall Director ア ッ プ リ ン ク ポー ト の構成 173 ネ ッ ト ワー ク ポー ト の構成 173 第 10 章 : ア プ リ ケーシ ョ ン 175 レ イ ヤ 2 お よ びレ イ ヤ 3 フ ァ イ ア ウ ォール 176 概要 176 レ イ ヤ 2 ブ リ ッ ジ モー ド フ ァ イ ア ウ ォールの構成 179 ブ リ ッ ジ ン グ フ ァ イ ア ウ ォール に関す る 制限 181 レ イ ヤ 2 - レ イ ヤ 3 フ ァ イ ア ウ ォールの構成 181 Firewall Director の ロ ー ド バ ラ ン シ ン グ 183 加重 ロ ー ド バ ラ ン シ ン グ 183 Firewall Director への ト ラ フ ィ ッ ク のブ ロ ッ ク 183 フ ェ イ ルオーバー構成 184 ロ ー ド バ ラ ン シ ン グ用の Firewall Director の構成 184 無停電電源装置 185 UPS サポー ト の構成 185 UPS 構成の表示 190 RADIUS 認証 191 ゲー ト ウ ェ イ の固定化 193 VPN サポー ト 194 NSF VPN について 194 VPN サポー ト 用の NSF のセ ッ ト ア ッ プ 195 第 11 章 : ソ フ ト ウ ェ アのア ッ プグ レー ド 197 ア ッ プグ レー ド 作業の概要 198 互換性 198 ア ッ プグ レー ド の タ イ プ 199 標準ア ッ プグ レー ド 201 マ イ ナー / メ ジ ャ ー リ リ ース のア ッ プグ レー ド ソ フ ト ウ ェ アの イ ン ス ト ール 201 ソ フ ト ウ ェ ア ア ッ プグ レー ド パ ッ ケージのア ク テ ィ ブ化 203 ヒ ッ ト レ ス ア ッ プグ レー ド 206 ア ッ プグ レー ド の開始 207 ア ッ プグ レー ド 後 208 ソ フ ト ウ ェ アの再 イ ン ス ト ール 209 8 目次 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.1.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 第 12 章 : 基本的な シ ス テム管理 211 管理ツール 212 ユーザーお よ びパ ス ワー ド Single System Image 214 213 第 2 部 : コ マ ン ド リ フ ァ レ ン ス 215 第 13 章 : コ マ ン ド ラ イ ン イ ン タ フ ェ ース 217 コ マ ン ド ラ イ ン イ ン タ フ ェ ースへのア ク セ ス 218 ロ ーカル シ リ アル ポー ト の使用 218 管理 イ ン タ フ ェース の定義 218 リ モー ト ア ク セ ス リ ス ト の定義 219 Telnet の使用 221 セキ ュ ア シ ェ ルの使用 223 コ マ ン ド ラ イ ン イ ン タ フ ェ ース の使用 226 基本的な操作 226 メ イ ン メ ニ ュ ー 227 ア イ ド ル タ イ ム ア ウ ト 227 複数の管理セ ッ シ ョ ン 227 グ ロ ーバル コ マ ン ド 228 コ マ ン ド ラ イ ン履歴の取得お よ び編集 230 コ マ ン ド ラ イ ンのシ ョ ー ト カ ッ ト 231 第 14 章 : [Main Menu] 233 Information Menu 236 Network Display Menu 240 Hitless Upgrade Menu 249 Advanced Security Menu 249 Boot Menu 250 Software Management Menu 252 Maintenance Menu 256 Diagnostics Tools Menu 258 Debug Information Menu 259 Tech Support Dump Menu 278 SFA Flow Control Configuration Menu 279 Backup Restore Menu 280 第 15 章 : 設定 メ ニ ュ ー 281 [Configuration Menu] 281 [System Menu] 284 [SFD IP and Firewall License Menu] 334 [Accelerator Configuration Menu] 336 [Security Configuration Menu] 343 [Network Configuration Menu] 346 [Firewall Configuration Menu] 444 217014-B-JA, 2005 年 12 月 目次 9 Nortel Switched Firewall 4.1.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス [Application Configuration Menu] 451 [Miscellaneous Settings Menu] 454 第 3 部 : 付録 455 付録 A: 一般的な タ ス ク 457 Check Point 中央 ラ イ セ ン ス の管理 458 SmartUpdate を使用 し た中央 ラ イ セ ン ス の イ ン ス ト ール 458 中央 ラ イ セ ン ス の削除ま たは再 イ ン ス ト ール 458 フ ァ イ ア ウ ォール設定のバ ッ ク ア ッ プ と 復元 459 5016 におけ る USB サポー ト の有効化 461 フ ァ イ ア ウ ォールでの USB サポー ト の確認 461 BIOS におけ る USB サポー ト の有効化 462 NSF パケ ッ ト の ト レース 465 構文 466 SSH を使用 し た リ モー ト ロ グ イ ン 467 Firewall Director への フ ロ ッ ピー デ ィ ス ク のマ ウ ン ト 468 Firewall Director への CD-ROM のマ ウ ン ト 469 USB ポー ト のマ ウ ン ト 470 Firewall Accelerator の手動ア ッ プグ レー ド 471 Check Point NG パフ ォーマ ン ス の調整 472 同時接続の増加 472 NAT 接続の増加 473 シ ス テ ム メ モ リ 情報の読み込み 474 VNIC 設定の確認 474 ロ ッ ク ア ウ ト か ら の回復 475 付録 B: Event Logging API 477 Check Point 管理サーバーの設定 478 Firewall Director の設定 482 Check Point SmartView Tracker 484 付録 C: ト ラ ブルシ ュ ーテ ィ ン グ 485 Firewall Accelerator が見つか ら ない 486 管理ス テーシ ョ ン と Firewall Director の間で信頼を確立で き ない 487 Firewall Director で通信のチ ェ ッ ク ま たはポ リ シーのダ ウ ン ロ ー ド がで き な い 489 他のデバ イ ス と 使用 し た場合にパフ ォーマ ン ス が低下す る 490 SmartClient か ら SmartCenter ス テーシ ョ ンに ロ グ イ ンで き ない 490 Check Point か ら Firewall Director に接続失敗 メ ッ セージが送信 さ れ る 491 ト ラ フ ィ ッ ク の混雑時にパフ ォーマ ン ス が低下す る 491 デフ ォ ル ト ゲー ト ウ ェ イ に接続で き ない 492 ロ グ メ ッ セージが表示 さ れない 493 ポ リ シーを適用で き ない 494 サポー ト チケ ッ ト を開 く 前に 495 10 目次 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.1.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 付録 D: ソ フ ト ウ ェ ア ラ イ セ ン ス 497 Apache Software Licence 497 mod_ssl License 498 OpenSSL and SSLeay Licenses 499 OpenSSL License 499 Original SSLeay License 500 PHP License 501 SMTPclient License 502 GNU General Public License 503 索引 509 217014-B-JA, 2005 年 12 月 目次 11 Nortel Switched Firewall 4.1.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 12 目次 217014-B-JA, 2005 年 12 月 は じ めに こ の 『User's Guide and Command Reference』 では、 4.4.1 以降の ソ フ ト ウ ェ ア が設定 さ れた Nortel Switched Firewall シ ス テ ム について説明 し ます。 こ のガ イ ド では、 シ ス テ ムの コ ン ポーネ ン ト と その機能について説明 し 、 シ ス テ ム の初期セ ッ ト ア ッ プ、 構 成、 保守の方法について も 説明 し ます。 こ こ で扱 う ト ピ ッ ク は以下の と お り です。 「本書の対象読者」 (14 ページ) 「本書の内容」 (14 ページ) 「関連 ド キ ュ メ ン ト 」 (16 ページ) 「技術サポー ト 」 (16 ページ) 「表記規則」 (17 ページ) 13 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 本書の対象読者 こ の 『User's Guide and Command Reference』 は、 ネ ッ ト ワー ク の イ ン ス ト ール担当者 お よ びネ ッ ト ワ ー ク の構成 と 保守を担当す る シ ス テ ム管理者を対象 と し てい ます。 本 書の読者は Ethernet の概念 と IP ア ド レ ス の仕組みに詳 し い こ と を前提 と し て書かれ てい ます。 本書の内容 本書は以下の章か ら 構成 さ れてい ます。 第 1 部 : スター ト ガイ ド 第 1 章、 「概要」 では、 Nortel Switched Firewall の主要な機能の概要について説明 し ます。 各 コ ン ポーネ ン ト の物理的な レ イ ア ウ ト や、 各 コ ン ポーネ ン ト の操作に 関す る 基本的な概念について も 説明 し ます。 第 2 章、 「初期セ ッ ト ア ッ プ」 では、 Nortel Switched Firewall の初期設定の方法に ついて説明 し ます。 第 3 章、 「Dynamic Host Configuration Protocol」 では、 DHCP サポー ト 用に Nortel Switched Firewall を設定す る 方法について説明 し ます。 第 4 章、「Routing Information Protocol」 では、RIP ルーテ ィ ン グ用に Nortel Switched Firewall を設定す る 方法について説明 し ます。 第 5 章、「Open Shortest Path First」 では、OSPF ルーテ ィ ン グ用に Nortel Switched Firewall を設定す る 方法について説明 し ます。 第 8 章、 「IDS サーバーのロー ド バ ラ ン シ ン グ」 では、 Nortel Switched Firewall を 設定 し て IDS サーバーの負荷を分散す る 方法について説明 し ます。 第 9 章、 「ク ラ ス タ の拡張」 では、 コ ン ポーネ ン ト を ク ラ ス タ に追加 し て、 ハ イ アベ イ ラ ビ リ テ ィ 、 処理能力の向上、 お よ びス テー ト フル フ ェ イ ルオーバーを可 能にす る 方法について説明 し ます。 第 11 章、 「ソ フ ト ウ ェ アのア ッ プグ レー ド 」 では、 Nortel Switched Firewall のシ ス テ ム コ ン ポーネ ン ト ソ フ ト ウ ェ アのア ッ プ グ レ ー ド 方法お よ び再 イ ン ス ト ール 方法について説明 し ます。 第 12 章、 「基本的な シ ス テム管理」 では、 シ ス テ ム管理に使用す る さ ま ざ ま な ツールについて説明 し ます。シ ス テ ム管理の基本的な概念について も 説明 し ます。 14 は じ めに 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 第 2 部 : コ マン ド リ フ ァ レンス 第 13 章、 「 コ マ ン ド ラ イ ン イ ン タ フ ェ ース」 では、 テ キ ス ト ベース のシ ス テ ム 管理 イ ン タ フ ェ ースへのア ク セ ス方法 と その使用方法について説明 し ます。 こ の イ ン タ フ ェース を使用 し て シ ス テ ム情報を収集 し 、 シ ス テ ム構成を行い ます。 第 14 章、 「[Main Menu]」 では、 [Main Menu] お よ び以下の 3 つのサブ メ ニ ュ ーの コ マ ン ド について説明 し ます。 Information Menu、 Boot Menu、 お よ び Maintenance Menu 第 15 章、 「設定 メ ニ ュ ー」 では、 [Configuration Menu] の コ マ ン ド を説明 し ます。 第 3 部 : 付録 付録 B、 「Event Logging API」 では、 Check Point SmartView Tracker を使用 し て Nortel Switched Firewall の ロ グ メ ッ セージ を表示す る 方法について説明 し ます。 付録 A、「一般的な タ ス ク」 では、よ く 使用す る シ ス テ ム管理機能について説明 し ます。 付録 C、 「 ト ラ ブルシ ュ ーテ ィ ン グ」 では、 基本的な問題の解決方法について説明 し ます。 付録 D、 「 ソ フ ト ウ ェ ア ラ イ セ ン ス」 では、 こ の製品で使用 し てい る ソ フ ト ウ ェ アの ラ イ セ ン ス情報について説明 し ます。 217014-B-JA, 2005 年 12 月 は じ めに 15 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 関連 ド キ ュ メ ン ト Nortel Switched Firewall の機能お よ び設定に関す る 詳細な情報については、 以下の ド キ ュ メ ン ト を参照 し て く だ さ い。 『Nortel Switched Firewall 4.1.1 Hardware Installation Guide ( ド キ ュ メ ン ト 番号 : 217016-B)』 2005 年 7 月発行 『Nortel Switched Firewall 4.1.1 Browser-Based Interface Users Guide ( ド キ ュ メ ン ト 番号 : 215710-B)』 2005 年 7 月発行 技術サポー ト ノ ーテルの代理店 ま たは ノ ーテルが認定す る 再販業者を通 じ て ノ ーテル製品のサー ビ ス契約を締結 し てい る 場合、 技術サポー ト に関す る 情報はそち ら の代理店ま たは再 販業者にお問い合わせ く だ さ い。 16 は じ めに 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表記規則 表 1 は、 本書で使用 さ れてい る 表記規則について説明 し た も のです。 表 1 表記規則 書体 / 記号 意味 例 AaBbCc123 本文中の コ マ ン ド 名、 フ ァ イ ル名、 デ ィ レ ク ト リ 名に使用 さ れます。 readme.txt フ ァ イ ル を 表示 し ま たは、 画面上に表示 さ れ る コ ン ピ ュ ー タ 出力お よ びプ ロ ンプ ト を表 し ます。 Main# AaBbCc123 太字体は、 コ マ ン ド の例文を表記す る 場 合に使用 さ れます。 太字体が使用 さ れて い る 場合、 そのテ キ ス ト は表記どお り に 正確に入力す る 必要があ り ます。 Main# sys <AaBbCc123> ゴ シ ッ ク 体は、 コ マ ン ド 例文でのパ ラ メ ー タ の代替文字を表す場合に使用 さ れ ます。 表記 さ れてい る 文字は、 コ マ ン ド を使用す る 際には該当す る 実際の名前ま たは値に置 き 換え る 必要があ り ます。 か っ こ は入力 し ません。 Telnet セ ッ シ ョ ン を 確立す る に は、 以下の よ う に入力 し ます。 host# telnet <IP ア ド レ ス > ゴ シ ッ ク 体は、 ド キ ュ メ ン ト 名、 特別な 用語、 強調す る 必要のあ る 語句に も 使用 さ れます。 『User's Guide』 を よ く お読み く だ さ い。 こ のか っ こ 内に表記 さ れてい る コ マ ン ド ア イ テ ムはオプシ ョ ンです。 状況に応 じ て、 使用す る か除去 し て く だ さ い。 か っ こ は入力 し ません。 host# ls [-a] [ ] 217014-B-JA, 2005 年 12 月 ます。 は じ めに 17 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 18 は じ めに 217014-B-JA, 2005 年 12 月 第 1 部 : ス ター ト ガイ ド こ のセ ク シ ョ ン では、フ ァ イ ア ウ ォールの基本的な機能お よ び Nortel Switched Firewall の コ ン ポーネ ン ト について説明 し ます。 こ のセ ク シ ョ ン の内容は以下の と お り です。 Nortel Switched Firewall の概要 初期セ ッ ト ア ッ プ ルーテ ィ ン グのプ ロ ト コ ル : DHCP Relay、 RIP、 お よ び OSPF フ ァ イ ア ウ ォ ールの設定 IDS サーバーの ロ ー ド バ ラ ン シ ン グ ソ フ ト ウ ェ アのア ッ プグ レー ド ク ラ ス タ の拡張 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 20 ス タ ー ト ガ イ ド 217014-B-JA, 2005 年 12 月 第1章 概要 Nortel Switched Firewall (NSF) は ネ ッ ト ワ ー ク セ キ ュ リ テ ィ 用 の 高性能 フ ァ イ ア ウ ォ ール シ ス テ ム です。 こ のシ ス テ ム では用途の広いマルチ コ ン ポーネ ン ト 方式を 採用す る こ と で、 比類のない フ ァ イ ア ウ ォ ール処理性能 と 信頼性、 拡張性を実現 し て い ます。 こ の章では、 Nortel Switched Firewall 6616、 6416、 6614、 6414 の各シ ス テ ム を対象に以下の ト ピ ッ ク について説明 し ます。 NSF 4.4.1 の新機能 「Nortel Switched Firewall の基本」 (25 ページ) NSF 4.4.1 の新機能 前回の メ ジ ャ ー リ リ ー ス 以降、 Nortel Switched Firewall リ リ ー ス 4.4.1 には以下の機 能が追加 さ れてい ます。 ソ フ ト ウ ェ ア サポー ト 以下の ソ フ ト ウ ェ ア を備え た Check Point™ FireWall-1® NG を サポー ト し てい ます。 Application Intelligence R55 お よ び Hotfix Accumulator 512(HFA_512) ソ フ ト ウ ェ ア Application Intelligence R54 お よ び Hotfix Accumulator 414(HFA_414) ソ フ ト ウ ェ ア 新 し いハー ド ウ ェ ア サポー ト 新 し い Firewall Director 5016-NE1 お よ び 5026-NE1 を サ ポー ト し て い ま す。 こ の た め、 NSF 6616、 6416、 6626、 6426 の 4 つの Nortel Switched Firewall シ ス テ ム も 新たに サポー ト し てい ます。 サポー ト 対象ハー ド ウ ェ アの詳細については、『Nortel Switched Firewall 4.4.1 Hardware Installation Guide (217016-B)』 を参照 し て く だ さ い。 21 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ルーテ ィ ングおよびブ リ ッ ジ ング 純正の レ イ ヤ 2 お よびレ イ ヤ 3 フ ァ イ アウ ォ ールのサポー ト マルチキ ャ ス ト Protocol Independent Multicast-Sparse Mode (PIM-SM) のサポー ト Open Shortest Path First (OSPF) ルー ト マ ッ プのサポー ト OSPF ルー ト マ ッ プは、OSPF と 他のプ ロ ト コ ル間のルー ト (RIP、 ス タ テ ィ ッ ク 、 OSPF、 接続な ど) の再配信を制御す る 場合に使用 し ます。 グ ロ ーバル構成のルー ト マ ッ プは、 ルーテ ィ ン グ ポ リ シーを実装す る 場合に使用 し ます。 信頼性および冗長性 ゲー ト ウ ェ イの固定化 複数の ISP リ ン ク を使用す る シナ リ オでは、 ゲー ト ウ ェ イ の固定化機能に よ り 、 所定の接続に対す る 要求 と 応答が常に同 じ ゲー ト ウ ェ イ を通っ てパケ ッ ト が転送 さ れ る よ う にな り ます。 APC 無停電電源装置 (UPS) モデルのサポー ト に よ る 電源管理 UPS は USB と SNMP を介 し てサポー ト さ れます。 USB ス ト レージ ス テ ィ ッ ク のサポー ト USB ポー ト は、 tsdump、 バ ッ ク ア ッ プ、 構成、 Check Point ロ グ な ど あ ら ゆ る ア ッ プ ロ ー ド の格納に使用で き ます。 ス タ ン ド ア ロ ン構成お よ びハ イ アベ イ ラ ビ リ テ ィ 構成での RADIUS 認証のサ ポー ト 複数の RADIUS サーバーを使用 し て冗長構成にす る こ と がで き ます。 SCP/SFTP を介 し た安全な フ ァ イ ル転送のサポー ト SCP/SFTP では、 認証にユーザー名 と パ ス ワ ー ド を使用 し ます。 22 第 1 章 : 概要 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ユーザビ リ テ ィ の拡張 ア ウ ト オブバン ド 管理ポー ト ア ウ ト オブバン ド 管理ポー ト では、 自動的に BBI を使用 し て フ ァ イ ア ウ ォ ールを 構成で き ます。管理ポー ト イ ン タ フ ェース を使用 し て BBI を開始 し てか ら フ ァ イ ア ウ ォ ールを構成 し ますが、 ア ウ ト オブバン ド 管理ポー ト を構成 し た場合は、BBI の使用を開始す る よ う CLI を設定す る 必要は基本的にあ り ません。 詳細について は、 37 ページ を参照 し て く だ さ い。 拡張 ロ ギ ン グ エ ラ ーが発生す る と 、そのエ ラ ーに関す る 詳細情報が CLI と BBI の両方にただち に表示 さ れ ます。 構成 ウ ィ ザー ド 構成 を簡単にす る ため、 新 し い改良型のブ ラ ウ ザベー ス イ ン タ フ ェ ー ス (BBI) で ウ ィ ザー ド が用意 さ れてい ます。 こ れ ら の ウ ィ ザー ド は、 フ ァ イ ア ウ ォ ールの セ ッ ト ア ッ プ、 VLAN や イ ン タ フ ェ ース の追加、 ルー ト 、 ゲー ト ウ ェ イ 、 GRE ト ン ネル、 DHCP リ レー、 OSPF、 RIP、 PIM、 リ モー ト ア ク セ ス、 ELA ロ グ デーモ ン の構成、 ハ イ アベ イ ラ ビ リ テ ィ の設定に利用で き ます。 詳細については、 『NSF 4.4.1 Browser-Based Interface Users Guide (215710-B)』 を 参照 し て く だ さ い。 セキ ュ リ テ ィ Nortel Switched Firewall 4.4.1 では詳細なパケ ッ ト 検査が可能です。 こ れに よ り 、 以下 の機能を実現 し てい ます。 DoS 攻撃か ら フ ァ イ ア ウ ォ ールを保護 Firewall Accelerator に送信 さ れ る ARP、 ICMP、 TCP、 UDP の 1 秒あ た り のパケ ッ ト 最大数を管理 UDP ブ ラ ス ト に対す る 保護 ク ラ イ ア ン ト IP ア ド レ ス のブ ロ ッ ク TCP、 UDP、 ICMP セ ッ シ ョ ン の レー ト 制限 パ タ ーン マ ッ チン グに基づ く TCP ま たは UDP ト ラ フ ィ ッ ク の拒否 Firewall Director のロー ド バラ ン シ ング Firewall Director の ロ ー ド バ ラ ン シ ン グでは、ク ラ ス タ 内にあ る Firewall Director ご と に異な る 重み (相対的な重要性の尺度) を設定で き ます。IP ハ ッ シ ュ と IP ポー ト ハ ッ シ ュ に基づいた ロ ー ド バ ラ ン シ ン グのほか、 Firewall Director の重みに応 じ て負荷が 均等に分散 さ れ ます。 217014-B-JA, 2005 年 12 月 第 1 章 : 概要 23 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ア ッ プグ レー ド ヒ ッ ト レ ス ア ッ プグ レ ー ド はハ イ アベ イ ラ ビ リ テ ィ 環境でサポー ト さ れ、 ア ッ プグ レー ド プ ロ セ ス 中にネ ッ ト ワ ー ク ト ラ フ ィ ッ ク がで き る だけ中断 さ れずに流れ る よ う に し ます。 障害が発生 し た場合は、 ヒ ッ ト レ ス ア ッ プグ レー ド に よ り 、 ト ラ フ ィ ッ ク に影響を 与え る こ と な く 以前のバージ ョ ン に円滑に ロ ールバ ッ ク す る こ と がで き ます。 NSF 4.4.1 では、CD-ROM ま たは USB ポー ト か ら 新 し い イ メ ージ を ロ ー ド で き ます。 ト ラ ブルシ ュ ーテ ィ ング パケ ッ ト 取得 コ マ ン ド asfcapture を使用す る と 、 Nortel Switched Firewall 上の各種 デバ イ ス やモ ジ ュ ール を通過す る パケ ッ ト を ト レ ー ス で き ま す。 以前の リ リ ー ス で は、 い く つかのパケ ッ ト 取得 コ マ ン ド (ethereal、 tcpdump、 debug) を個別に使 用 し て、 カーネル内の さ ま ざ ま な場所にあ る パケ ッ ト を取得お よ び ト レースす る 必要 が あ り ま し た。 asfcapture コ マ ン ド は root ロ グ イ ン か ら のみ使用で き ま す。 詳 細については、 465 ページ を参照 し て く だ さ い。 24 第 1 章 : 概要 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Nortel Switched Firewall の基本 図 1-1 に、 Nortel Switched Firewall を利用 し た基本的なネ ッ ト ワ ー ク を示 し ます。 Nortel Switched Firewall: Firewall Director 䈍䉋䈶 Firewall Accelerator Nortel Nortel Switched Firewall 䊥䊝䊷䊃㩷 䊨䊷䉦䊦㩷䉮䊮䉸䊷䊦 䉮䊮䉸䊷䊦 Check Point ▤ℂ䉰䊷䊋䊷 SmartCenter 㕖ା㗬㩷 䉪䊤䉟䉝䊮䊃 Client 䉟䊮䉺䊷䊈䉾䊃 ା㗬䊈䉾䊃䊪䊷䉪 㕖ା㗬㩷 䉪䊤䉟䉝䊮䊃 Networks DMZ 䉰䊷䊋䊷 11353EA 図 1-1 Nortel Switched Firewall のネ ッ ト ワー ク エ レ メ ン ト ネ ッ ト ワー ク 信頼ネ ッ ト ワー ク こ れは、不正ア ク セ ス か ら 保護 し なければな ら ない内部ネ ッ ト ワ ー ク リ ソ ース を 指 し ます。 信頼ネ ッ ト ワー ク は通常、 企業の イ ン ト ラ ネ ッ ト な ど の内部サービ ス や、 公共の e- コ マース Web サ イ ト な ど の外部 ク ラ イ ア ン ト が利用で き る 重要な アプ リ ケーシ ョ ン を提供 し てい ます。 半信頼ネ ッ ト ワー ク セキ ュ リ テ ィ を向上 さ せ る ため、 主に外部 ク ラ イ ア ン ト 向けのサービ ス は個別の ネ ッ ト ワ ー ク に置かれ る こ と が よ く あ り ます。 こ れに よ り 、 不正ア ク セ ス が発生 し て も 企業の内部ネ ッ ト ワー ク に影響が出ない よ う に し ます。 こ の よ う に隔離 さ れたネ ッ ト ワー ク は、 非武装地帯 (DMZ) と も 呼ばれ ます。 非信頼ネ ッ ト ワー ク こ れは、 イ ン タ ーネ ッ ト な ど危険に曝 さ れてい る と 想定 さ れ る 外部ネ ッ ト ワ ー ク を指 し ます。 217014-B-JA, 2005 年 12 月 第 1 章 : 概要 25 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス フ ァ イ アウ ォ ール Nortel Switched Firewall Nortel Switched Firewall は、 さ ま ざ ま な信頼ネ ッ ト ワ ー ク 、 半信頼ネ ッ ト ワ ー ク 、 非信頼ネ ッ ト ワ ー ク の間のパ ス に置かれ ます。 こ の フ ァ イ ア ウ ォールは、 接続 さ れたネ ッ ト ワー ク 間でのあ ら ゆ る ト ラ フ ィ ッ ク 移動を検査 し 、 管理者が定義 し た セ キ ュ リ テ ィ ポ リ シ ー に従 っ て ト ラ フ ィ ッ ク を 許可 ま た は ブ ロ ッ ク し ま す。 Nortel Switched Firewall は、 複数の Firewall Director お よ び Firewall Accelerator コ ン ポーネ ン ト で構成 さ れ ます。 こ れ ら は ま と めて ク ラ ス タ 化 さ れ、 1 つのシ ス テ ム と し て動作 し ます。 Firewall Director Firewall Director は コ ン パ ク ト で 高 性 能 な コ ン ピ ュ ー テ ィ ン グ デ バ イ ス で、 Firewall Operating System (OS) ソ フ ト ウ ェ ア を実行 し ます。 Firewall Director は組 み込 ま れた Check Point FireWall-1 NG ソ フ ト ウ ェ ア を使用 し て ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を検査 し 、 フ ァ イ ア ウ ォール ポ リ シーを適用 し ます。 フ ァ イ ア ウ ォー ルの処理能力を高め る ため、 追加の Firewall Director を ク ラ ス タ に接続す る こ と がで き ます。 Firewall Accelerator Firewall Accelerator は、Accelerator OS ソ フ ト ウ ェ ア を実行す る ノ ーテルの ス イ ッ チです。 Firewall Accelerator は Firewall Director か ら のセキ ュ リ テ ィ 保護 さ れた ト ラ フ ィ ッ ク の処理負担を軽減 し 、 フ ァ イ ア ウ ォ ールのパフ ォ ーマ ン ス を向上 さ せ ます。 ハ イ アベ イ ラ ビ リ テ ィ 構成の場合、 Firewall Accelerator や Firewall Director を も う 1 つ ク ラ ス タ に接続で き ます。 管理イ ン タ フ ェ ース NSF ロー カル コ ン ソ ール ロ ーカル コ ン ソ ールは、初期構成時に基本的なネ ッ ト ワ ー ク 情報を入力す る 場合 に使用 し ます。 シ ス テ ム構成の完了後は、 ロ ーカル コ ン ソ ールを使用 し てテ キ ス ト ベース の コ マ ン ド ラ イ ン イ ン タ フ ェース (CLI) にア ク セ ス し 、 シ ス テ ム情報 を 収集 し た り 追加構成 を 実行 し た り で き ま す。 NSF コ ン ソ ールは、 フ ァ イ ア ウ ォ ール ポ リ シーの管理や イ ン ス ト ールには使用 し ません。 NSF リ モー ト コ ン ソ ール 管理者は信頼 さ れ る ユーザーの リ ス ト に対 し 、NSF CLI への Telnet ま たは Secure Shell (SSH) ア ク セ スや、 NSF ブ ラ ウ ザベース イ ン タ フ ェースへの HTTP ま たは SSL ア ク セ ス を個別に許可 し た り 拒否 し た り で き ます。 リ モー ト ア ク セ ス機能は シ ス テ ム情報の収集や追加構成の実行に使用で き ますが、 フ ァ イ ア ウ ォ ール ポ リ シーの管理や イ ン ス ト ールには使用で き ません。 Check Point SmartCenter™ SmartCenter は、 ネ ッ ト ワ ー ク 内のすべての フ ァ イ ア ウ ォ ールに関す る マ ス タ ポ リ シー デー タ ベー ス を 保持 し ま す。 SmartCenter の役割は、 有効な各 フ ァ イ ア ウ ォ ール と の Secure Internal Communication (SIC) 接続 を 確立 し 、 各 フ ァ イ ア ウ ォ ールに適切なセキ ュ リ テ ィ ポ リ シーを ロ ー ド す る こ と です。 26 第 1 章 : 概要 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Check Point SmartConsole および管理 ク ラ イ ア ン ト SmartDashboard™ な ど の Check Point 管理 ク ラ イ ア ン ト ソ フ ト ウ ェ アは、 ネ ッ ト ワ ー ク 上の 1 つ以上の管理者用 ワー ク ス テーシ ョ ン に イ ン ス ト ールで き ます。 こ の ソ フ ト ウ ェ アには通常、 フ ァ イ ア ウ ォ ール ポ リ シーの作成、 変更、 監視を行 う ためのグ ラ フ ィ カル ユーザー イ ン タ フ ェ ー ス が備わ っ てい ま す。 セ キ ュ リ テ ィ 上の理由か ら 、 管理 ク ラ イ ア ン ト は フ ァ イ ア ウ ォ ール と 直接には連携 し ま せん。 その代わ り 、 管理 ク ラ イ ア ン ト で行われたポ リ シー変更が SmartCenter に転送 さ れ、 SmartCenter か ら フ ァ イ ア ウ ォ ールに ロ ー ド さ れ ま す。 利便性のため、 管理 ク ラ イ ア ン ト は SmartCenter 上に イ ン ス ト ールす る こ と がで き ます。 基本動作 従来の フ ァ イ ア ウ ォ ール ソ リ ュ ーシ ョ ン では、汎用 OS を備え た ワ ー ク ス テーシ ョ ン ま たはサーバー上で フ ァ イ ア ウ ォ ール ソ フ ト ウ ェ ア を実行す る 必要があ り ま し た。こ の よ う な汎用 OS ソ リ ュ ーシ ョ ンにはセキ ュ リ テ ィ ホールがあ り 、汎用 OS 上で動作 す る ソ フ ト ウ ェ ア フ ァ イ ア ウ ォ ール ソ リ ュ ーシ ョ ンはパフ ォ ーマ ン ス が低い と い う 欠点 が あ り ま す。 こ の よ う な 問題 を 解決す る べ く 開発 さ れ た の が Nortel Switched Firewall です。 Nortel Switched Firewall は専用のハー ド ウ ェ ア と ソ フ ト ウ ェ ア (堅牢な OS、 セ キ ュ リ テ ィ ア プ リ ケーシ ョ ン、 ネ ッ ト ワ ーキ ン グ テ ク ノ ロ ジー) を組み合わせた も ので、 セキ ュ リ テ ィ 、 パフ ォ ーマ ン ス、 使い勝手のニーズに対応 し てい ます。 多 く の機能に対応で き る よ う に、 Nortel Switched Firewall はマルチ コ ン ポーネ ン ト ソ リ ュ ーシ ョ ンにな っ てい ます。ハー ド ウ ェ アは Firewall Accelerator と Firewall Director を組み合わせた も ので、 ソ フ ト ウ ェ アは Accelerator OS と Check Point FireWall-1 NG を組み合わせた も のです。 Check Point 検査エ ン ジ ン に よ っ て制御 さ れ る ギ ガ ビ ッ ト ス イ ッ チの ス ループ ッ ト を使用す る こ と で、 フ ァ イ ア ウ ォ ールの速度は飛躍的に向上 し ます。 1 秒あ た り の接続数を増や し たい場合は、 Firewall Director を追加す る こ と が で き ます。 ポー ト フ ィ ル タ リ ング Firewall Accelerator は、 さ ま ざ ま な ア ド レ ス 特性やプ ロ ト コ ル特性に基づい て ト ラ フ ィ ッ ク を許可ま たは拒否す る ワ イ ヤ ス ピー ド のパケ ッ ト フ ィ ル タ を特長 と し てい ま す。 こ れ ら のポー ト フ ィ ル タ は、 パケ ッ ト が フ ァ イ ア ウ ォ ール検査エ ン ジ ン に到 達す る 前にパケ ッ ト を選別 し ま す。 こ れ ら の フ ィ ル タ の ロ ギ ン グ情報を Check Point ELA ロ グに渡 し 、 Check Point SmartView Tracker™ で確認す る こ と がで き ます。 Nortel ポー ト フ ィ ル タ を使用す る と 、セキ ュ リ テ ィ と 速度を大幅に向上 さ せ る こ と が で き ます。 217014-B-JA, 2005 年 12 月 第 1 章 : 概要 27 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ト ポロ ジーの仕様 従来の ソ フ ト ウ ェ ア フ ァ イ ア ウ ォ ール モデルは、 セ キ ュ リ テ ィ と 速度を低下 さ せ る 場合が あ り ま し た。 一般に、 あ る ネ ッ ト ワ ー ク カー ド か ら 入っ て き たデー タ はポ リ シー検査エ ン ジ ン を通 り 、 別のネ ッ ト ワ ー ク カー ド に渡 さ れ ま す。 こ の よ う に、 シ ス テ ムが提供す る 単一の処理パ ス に頼っ てい る 場合は、 速度や拡張性に関 し て大 き な 制約が発生 し ます。 Nortel Switched Firewall ソ リ ュ ーシ ョ ンは、 セキ ュ リ テ ィ と 速度の低下問題を克服 し 、 さ ら にデー タ 速度の向上 も 実現 し ま し た。 図 1-2 を参照 し て く だ さ い。 䉰䊷䊋䊷㩷䉪䊤䉴䉺 ᓥ᧪䈱䊐䉜䉟䉝䉡䉤䊷䊦䈱䉲䊅䊥䉥 䊐䉜䉟䉝䉡䉤䊷䊦 䉪䊤䉟䉝䊮䊃 ឵ᯏ 䊦䊷䉺䊷 䉟䊮䉺䊷䊈䉾䊃 䉰䊷䊋䊷㩷䉪䊤䉴䉺 Nortel Switched Firewall 䉸䊥䊠䊷䉲䊢䊮 Nortel Switched Firewall 䊐䉜䉟䉝䉡䉤䊷䊦㩷䉝䉪䉶䊤䊧䊷䉲䊢䊮 䉪䊤䉟䉝䊮䊃 䊦䊷䉺䊷 䉟䊮䉺䊷䊈䉾䊃 Firewall Accelerator 䊨䊷䊄㩷䊋䊤䊮䉲䊮䉫 䈮䉋䉎䊐䉜䉟䉝䉡䉤䊷䊦㩷 䊃䊤䊐䉞䉾䉪䈱䉮䊮䊃䊨䊷䊦 Firewall Directors 㕖ା㗬䊈䉾䊃䊪䊷䉪 ା㗬䊈䉾䊃䊪䊷䉪 図 1-2 従来の フ ァ イ アウ ォ ール と Nortel Switched Firewall の比較 Check Point FireWall-1 NG は ス テー ト フル イ ン スペ ク シ ョ ン フ ァ イ ア ウ ォ ールです。 Nortel Switched Firewall は、新 し い接続要求があ る たびにポ リ シー チ ェ ッ ク を実行 し 、 接続テーブルを管理 し 、 セ ッ シ ョ ン内の後続パケ ッ ト を処理す る ためのルールを指定 し ます。 セ ッ シ ョ ン がア ク テ ィ ブにな る と 、 Firewall Accelerator に よ っ てパケ ッ ト の ポ リ シー チ ェ ッ ク が処理 さ れます。 Firewall Accelerator の各ポー ト は大容量のマルチギ ガ ビ ッ ト バ ッ ク プ レ ーン に接続 さ れ ます。 Firewall Accelerator は、 ど のポー ト を通 る デー タ に対 し て も 並列処理を実 行 し ます。 Firewall Accelerator に入っ て き たデー タ が ど のポー ト を通っ たかに関係な く 、 4 つのプ ロ セ ッ サはすべて連携 し ます。 28 第 1 章 : 概要 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス セキ ュ リ テ ィ 処理 Firewall Director 接続テーブルは Firewall Accelerator に よ っ て ミ ラ ー リ ン グ さ れ ます。 こ の ミ ラ ー リ ン グは Nortel Appliance Acceleration Protocol (NAAP) を介 し て実行 さ れ ます。 Firewall Director 検査エ ン ジ ン がセ ッ シ ョ ン内のセ ッ ト ア ッ プ パケ ッ ト を受け入れ る と 、Firewall Director を介 さ ずに Firewall Accelerator に よ っ てそのセ ッ シ ョ ン に属す る 後続パケ ッ ト が検査 さ れ、 転送 さ れ ます。 こ の ソ リ ュ ーシ ョ ン ではデー タ の約 90% を ワ イ ヤ ス ピー ド で加速で き る ため、 フ ァ イ ア ウ ォ ールのパ フ ォ ーマ ン ス が大幅に向 上 し ます。 従来は、 ス テー ト フル イ ン スペ ク シ ョ ン フ ァ イ ア ウ ォ ールがパケ ッ ト ご と に応答指 令信号を送 る か、 簡略モー ド ま たは高速モー ド (最初のパケ ッ ト を検査 し た後、 その パケ ッ ト が受け入れ ら れた ら 、 そのセ ッ シ ョ ン が終了す る ま ですべての後続パケ ッ ト を検査な し で許可す る 方式) で動作す る かのいずれかで し た。 高速ス イ ッ チをハー ド ウ ェ ア ア ク セ ラ レ ー タ と し て使用す る と 、 セ キ ュ リ テ ィ 上の危険に曝 さ れ る こ と な く ギガ ビ ッ ト ス ピー ド で こ の検査を行 う こ と が可能です。 217014-B-JA, 2005 年 12 月 第 1 章 : 概要 29 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 30 第 1 章 : 概要 217014-B-JA, 2005 年 12 月 第2章 初期セ ッ ト ア ッ プ こ の章で は、 Nortel Switched Firewall の最小構成 (1 つの Firewall Director と 1 つの Firewall Accelerator) に対す る 初期セ ッ ト ア ッ プの実行方法について説明 し ます。 こ こ では、 コ ン ポーネ ン ト の設置、 ネ ッ ト ワ ー ク ケーブルの接続、 電源の投入、 コ ン ソ ール端末の接続 を 含め、 『Nortel Switched Firewall Hardware Installation Guide』 の 説明に従っ て Nortel Switched Firewall ハー ド ウ ェ ア を設置済みであ る こ と を前提 と し ます。 こ の章で扱 う ト ピ ッ ク は以下の と お り です。 「初期セ ッ ト ア ッ プ作業の概要」 (2-32 ページ) 「基本的な シ ス テム情報の収集」 (2-32 ページ) 「ネ ッ ト ワー ク例」 (2-33 ページ) 「基本構成用のセ ッ ト ア ッ プの使用」 (2-34 ページ) 「ラ イ セ ン スお よび イ ン タ フ ェ ースの設定」 (2-38 ページ) 「Check Point 管理ツールのイ ン ス ト ール」 (2-40 ページ) 「フ ァ イ アウ ォ ール ポ リ シーの構成および イ ン ス ト ール」 (2-49 ページ) 注 - 複数の Firewall Director ま たは Firewall Accelerator を使用 し て構成す る 場合は、 まず 『Nortel Switched Firewall Hardware Installation Guide』 の説明に従っ て最小構成の シ ス テ ム を設置 し てか ら 、 こ の章の説明に従っ て初期セ ッ ト ア ッ プ を実行 し て く だ さ い。 最小シ ス テ ム の構成が完了 し た ら 、 第 9 章、 「ク ラ ス タ の拡張」 (153 ページ) の 説明に従っ て コ ン ポーネ ン ト を追加 し 、 セ ッ ト ア ッ プ し て く だ さ い。 31 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 初期セ ッ ト ア ッ プ作業の概要 初期セ ッ ト ア ッ プでは以下の作業が必要にな り ます。 こ の章の以降のセ ク シ ョ ン で、 各作業について詳 し く 説明 し ます。 基本的な シ ス テ ム情報の収集 (32 ページ) ネ ッ ト ワ ー ク 例についての理解 (33 ページ) CLI セ ッ ト ア ッ プ ユーテ ィ リ テ ィ を使用 し た基本構成 (34 ページ) CLI を使用 し た Check Point NG ラ イ セ ン スお よ びネ ッ ト ワー ク 詳細の設定 (38 ページ) 別の管理ス テーシ ョ ンへの Check Point 管理ツールの イ ン ス ト ール (40 ページ) 管理ツールを使用 し た フ ァ イ ア ウ ォ ール ポ リ シーの構成お よ び イ ン ス ト ール (49 ページ) シ ス テ ム ソ フ ト ウ ェ アの更新 (必要な場合) 基本的なシ ス テム情報の収集 Nortel Switched Firewall を構成す る 前に、 以下の も のが必要です。 ク ラ ス タ 内の各 Firewall Director に対す る Check Point ラ イ セ ン ス Nortel Switched Firewall を内部使用す る ために割 り 当て ら れた 1 つのサブネ ッ ト 。 こ のサブネ ッ ト は、 以下の IP ア ド レ ス で構成 さ れてい る 必要があ り ます。 1 つの 管理 IP (MIP) ア ド レ ス。 こ のア ド レ ス は、 Nortel Switched Firewall ク ラ ス タ 全体の メ イ ン ア ク セ ス ポ イ ン ト と し て使用 さ れ ます。 ク ラ ス タ 内の各 Firewall Director に対す る IP ア ド レ ス ク ラ ス タ 内の各 Firewall Accelerator に対す る IP ア ド レ ス 注 - サ ブ ネ ッ ト 範囲内で最上位の IP ア ド レ ス と 最下位の IP ア ド レ ス はブ ロ ー ド キ ャ ス ト 用に予約 さ れてお り 、 特定の ク ラ ス タ デバ イ ス に割 り 当て る こ と はで き ま せん。 内部サブネ ッ ト 用の フ ァ イ ア ウ ォ ールで ス タ テ ィ ッ ク 構成 さ れ る サブネ ッ ト の リ ス ト と 、 こ れ ら のサブネ ッ ト 用のルー ト を処理す る 内部ルー タ ーの IP ア ド レ ス Nortel Switched Firewall か ら イ ン タ ーネ ッ ト へ移動す る デー タ 用のデフ ォ ル ト ゲー ト ウ ェ イ の IP ア ド レ ス フ ァ イ ア ウ ォ ールに直接接続す る それぞれの信頼ネ ッ ト ワ ー ク 、 非信頼ネ ッ ト ワ ー ク 、 半信頼ネ ッ ト ワ ー ク 上の Nortel Switched Firewall 用に予約 さ れた IP ア ド レス 32 第 2 章 : 初期セ ッ ト ア ッ プ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Firewall Accelerator に接蔵 さ れたいずれかのネ ッ ト ワー ク 上にあ る Check Point SmartCenter ス テーシ ョ ン と 管理 コ ン ソ ール ク ラ イ ア ン ト SmartDashboard 注 - Firewall Accelerator と Firewall Director 上で ソ フ ト ウ ェ ア を ア ッ プ グ レ ー ド す る 前に、 こ の章の説明に従っ て初期セ ッ ト ア ッ プ手順を実行す る 必要があ り ます。 初期 セ ッ ト ア ッ プ完了後の詳細については、 第 11 章、 「ソ フ ト ウ ェ アのア ッ プグ レ ー ド 」 (197 ページ) を参照 し て く だ さ い。 ネ ッ ト ワー ク例 図 2-1 のネ ッ ト ワー ク 例は、 こ の章で説明す る 手順を示 し てい ます。 Nortel Switched Firewall MIP: 10.10.1.10 䊈䉾䊃䊪䊷䉪㩷㪘䋨㕖ା㗬䋩 Firewall Accelerator IP: 10.10.1.2 䉭䊷䊃䉡䉢䉟: 20.1.1.2 2 IF1 䉟䊮䉺䊷䊈䉾䊃 IP: 20.1.1.1 䊦䊷䉺䊷 ౝㇱ䉟䊮䉺䊐䉢䊷䉴㩷㪄 IP: 20.1.1.2 IF2 3 IP: 30.1.1.1 䊈䉾䊃䊪䊷䉪㩷㪙䋨ା㗬䋩 IP: 30.1.1.0/16 䉭䊷䊃䉡䉢䉟: 30.1.1.1 11 Firewall Director IP: 10.10.1.1 Check Point SmartCenter IP: 30.1.1.10 図 2-1 初期セ ッ ト ア ッ プ用のネ ッ ト ワー ク 例 こ の ト ポ ロ ジーを使用 し た場合、 以下の情報が必要 と な り ます。 Nortel Switched Firewall ク ラ ス タ の MIP ア ド レ ス : 10.10.1.10 Firewall Accelerator の IP ア ド レ ス : 10.10.1.2 Firewall Director の IP ア ド レ ス : 10.10.1.1 フ ァ イ ア ウ ォ ールのデフ ォ ル ト ゲー ト ウ ェ イ の IP ア ド レ ス : 20.1.1.2 (ルー タ ー イ ン タ フ ェース) ネ ッ ト ワ ー ク A (非信頼) の IP ア ド レ ス : 20.1.1.0/24 (20.1.1.1 はフ ァ イ ア ウ ォー ル用に予約) ネ ッ ト ワ ー ク B (信頼) の IP ア ド レ ス : 30.1.1.0/16 (30.1.1.1 はフ ァ イ ア ウ ォー ル用に予約) Check Point SmartCenter の IP ア ド レ ス : 30.1.1.10 (ネ ッ ト ワー ク B 上に存在) ネ ッ ト ワ ー ク 情報を収集 し た ら 、 セ ッ ト ア ッ プ ユーテ ィ リ テ ィ を使用 し て基本的な シ ス テ ム構成を開始 し ます。 217014-B-JA, 2005 年 12 月 第 2 章 : 初期セ ッ ト ア ッ プ 33 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 基本構成用のセ ッ ト ア ッ プの使用 初期構成の実行時には、 Firewall Director コ ン ソ ール接続 を 使用 し て Nortel Switched Firewall にア ク セ ス し ます。 『Nortel Switched Firewall Hardware Installation Guide』 の説 明に従 っ て、 Firewall Director 上の シ リ アル ポー ト と 端末エ ミ ュ レ ーシ ョ ン ソ フ ト ウ ェ ア を備え た コ ン ピ ュ ー タ のシ リ アルポー ト を付属の コ ン ソ ール ケーブルで接続 し て く だ さ い。 コ ン ソ ール端末で [Enter] キーを押 し て、 接続を確立 し ます。 Nortel Switched Firewall の ロ グ イ ン プ ロ ン プ ト が表示 さ れます。 デフ ォ ル ト の ロ グ イ ン名 (admin) と デフ ォ ル ト のパ ス ワ ー ド (admin) を入力 し て く だ さ い。 Nortel Switched Firewall が出荷時 設定のデフ ォ ル ト に設定 さ れてい る 場合は、 特殊なセ ッ ト ア ッ プ ユーテ ィ リ テ ィ メ ニ ュ ーが表示 さ れ ます。 login:admin Password:admin (非表示) Welcome to the Nortel Switched Firewall initialization. -----------------------------------------------------------[Setup Menu] join - Join an existing SFD cluster new - Initialize SFD as a new installation restore - Restore this SFD from a backup taken earlier offline - Initialize SFD for offline switchless maintenance boot - Boot Menu naap - Set NAAP VLAN id exit - Exit >> Setup# 注 - [Setup Menu] が表示 さ れない場合は、 Firewall Director を ク ラ ス タ か ら 切 り 離 し 、 /boot/delete コ マ ン ド を使用 し て出荷時設定のデフ ォ ル ト 状態に リ セ ッ ト し て く だ さ い (251 ページ を参照)。 以下の例は、 セ ッ ト ア ッ プ ユーテ ィ リ テ ィ プ ロ ン プ ト と 構成を示 し てい ます。 こ の 例に従っ て、 新 し い イ ン ス ト ールを初期化 し て く だ さ い。 セ ッ ト ア ッ プに関す る 各種 の質問に答え る と 、 組み込まれた Check Point ソ フ ト ウ ェ アが初期化 さ れます。 1. 「新規 (new)」 イ ン ス ト ールを選択 し ます。 >> Setup# new Setup will guide you through the initial configuration of a new NSF cluster. 2. こ の Firewall Director のネ ッ ト ワー ク IP ア ド レ ス を入力 し ます。 Enter an IP address for this SFD: 10.10.1.1 34 第 2 章 : 初期セ ッ ト ア ッ プ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 注 - こ の ス テ ッ プ以降に示す IP ア ド レ ス は、 33 ページのネ ッ ト ワ ー ク 例か ら 引用 し た も のです。実際には、使用す る ネ ッ ト ワー ク 構成に関す る 情報を入力 し て く だ さ い。 3. ク ラ ス タ サブネ ッ ト 全体のネ ッ ト ワー ク マス ク を入力 し ます。 Enter a network mask or /bit count [255.255.255.0 or /24]: /24 こ の例では、 ク ラ ス タ ネ ッ ト ワー ク の範囲は 10.10.1.0/24 にな り ます。 4. 他のネ ッ ト ワー クの IP ア ド レ ス情報を入力 し ます。 こ れ ら のア ド レ ス は、 ク ラ ス タ サブネ ッ ト の範囲内になければな り ません。 Enter the cluster Master IP address (MIP): 10.10.1.10 5. 大陸名または海洋名、 国名、 地域名を順に選択 し 、 タ イ ム ゾーン を設定 し ます。 以下に例を示 し ます。 Timezone setting 1 - Africa 2 - America 3 - Antarctica 4 - Arctic 5 - Asia 6 - Atlantic 7 - Australia 8 - Europe 9 - Indian 10 - Pacific Select a continent or an ocean, or enter a full timezone name: 2 217014-B-JA, 2005 年 12 月 第 2 章 : 初期セ ッ ト ア ッ プ 35 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Countries: 1 - Antigua&Barbuda 18 - Ecuador 2 - Anguilla 19 - Grenada 3 - Antilles 20 - French Guiana 4 - Argentina 21 - Greenland 5 - Aruba 22 - Guadeloupe 6 - Barbados 23 - Guatemala 7 - Bolivia 24 - Guyana 8 - Brazil 25 - Honduras 9 - Bahamas 26 - Haiti 10 - Belize 27 - Jamaica 11 - Canada 28 - St Kitts&Nevis 12 - Chile 29 - Cayman Islands 13 - Colombia 30 - St Lucia 14 - Costa Rica 31 - Martinique 15 - Cuba 32 - Montserrat 16 - Dominica 33 - Mexico 17 - Dom.Republic 34 - Nicaragua Select a country: 44 Regions & cities: 1 - Adak 2 - Anchorage 3 - Boise 4 - Chicago 5 - Denver 6 - Detroit 7 - Indiana/Knox 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 - 8 - Indiana/Marengo 9 - Indiana/Vevay 10 - Indianapolis 11 - Juneau 18 12 - Kentucky/Monticello 13 - Los Angeles 14 - Louisville Panama Peru St Pierre & Miquelon Puerto Rico Paraguay Suriname El Salvador Turks & Caicos Is Trinidad & Tobago United States Uruguay St Vincent Venezuela Virgin Islands (UK) Virgin Islands (US) 15 - Menominee 16 - New York 17 - Nome - North Dakota/Center 19 - Phoenix 20 - Shiprock 21 - Yakutat Select a region or city: 13 Selected timezone:America/Los_Angeles 6. 現在の日付 と 時刻を設定 し ます。 Enter the current local date (YYY-MM-DD) [2001-07-10]:<[Enter] キー > Enter the current local time (24-hour, HH:MM:SS) [14:21:23]:<[Enter] キー > 7. 新 し い管理者パスワー ド を設定 し ます。 Enter new admin user password:admin (非表示) Enter password again:admin (非表示) 8. セキ ュ リ テ ィ 保護 さ れた リ モー ト 管理セ ッ シ ョ ン に使用する新 し い Secure Shell (SSH) ホス ト キーを生成 し ます。 Generate a new ssh host key? ([y]/n) y ノ ーテルでは、 SSH ク ラ イ ア ン ト を使用 し て Nortel Switched Firewall に接続す る 際に 高 レベルのセ キ ュ リ テ ィ を維持す る ため、 新 し い SSH キーを生成す る こ と をお勧め し ます。 [y] キーま たは [n] キーを押 し て、 プ ロ ン プ ト に答え ます。 [Enter] キーは押 さ ないで く だ さ い。 36 第 2 章 : 初期セ ッ ト ア ッ プ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 9. Check Point のワ ン タ イ ム パスワー ド を設定 し ます。 Enter CheckPoint SIC one-time password:<SIC パスワー ド > (非表示) Enter password again:<SIC パスワー ド > (非表示) こ こ で入力 し た ワ ン タ イ ム パ ス ワー ド は、 後で SmartCenter と Firewall Director 間の Secure Internal Communications (SIC) 接続を確立す る 際に必要 と な り ます。 10. 使用する Firewall Accelerator を指定 し ます。 Accelerators Supported 1) 6600 2) 6400 Select the default type: 1 11. アウ ト オブバン ド 管理ポー ト を設定 し ます。 こ れに よ り 自動的に、CLI に ロ グ イ ン し な く て も ブ ラ ウ ザベース イ ン タ フ ェース を使 用 し て フ ァ イ ア ウ ォ ールを構成で き る よ う にな り ます。BBI の初期セ ッ ト ア ッ プ ウ ィ ザー ド では、 管理 イ ン タ フ ェ ー ス の IP ア ド レ ス を使用 し て フ ァ イ ア ウ ォ ールを簡単 に構成で き ます。 Would you like to configure a management interface on GE2 port of the Director?This will provide a dedicated, out of band network for the CP management server, CP GUI clients, and Web UI clients ([y]/n):y Enter the management interface IP address: 30.30.1.11 Enter the management interface net mask:[255.255.255.0 or /24]: /24 Starting SSI BBI の使用法の詳細については、『Nortel Switched Firewall 4.1.1 Browser-Based Interface Users Guide ( ド キ ュ メ ン ト 番号 215710-B)』 を参照 し て く だ さ い。 12. 自動構成の完了を許可 し ます。 基本的な構成情報を入力す る と 、 シ ス テ ムは自動構成 と 初期化の段階に入 り ます。 こ の段階で、 一連の メ ッ セージが表示 さ れます。 以下の メ ッ セージが表示 さ れた ら 、 自 動構成段階は完了です。 Setup successful.Please relogin to configure. こ のセ ッ ト ア ッ プ プ ロ セ ス が完了 し た ら 、 ロ グ イ ン を行い、 次のセ ク シ ョ ン に示す Check Point ラ イ セ ン ス を設定す る 必要があ り ます。 217014-B-JA, 2005 年 12 月 第 2 章 : 初期セ ッ ト ア ッ プ 37 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ラ イ セ ン スおよび イ ン タ フ ェ ースの設定 初期化プ ロ セ ス の こ の部分では、 追加の イ ン タ フ ェ ース と Check Point ラ イ セ ン ス を イ ン ス ト ールす る 必要があ り ます。 セ ッ ト ア ッ プ ユーテ ィ リ テ ィ を使用 し た基本的な シ ス テ ム構成が完了す る と 、 それ 以降の ロ グ イ ン 時には も う セ ッ ト ア ッ プ メ ニ ュ ーは表示 さ れず、 代わ り に CLI の [Main Menu] が表示 さ れます。 [Main Menu] info cfg boot maint diff validate security apply revert paste help exit - Information Menu Configuration Menu Boot Menu Maintenance Menu Show pending config changes Validate configuration Display security status Apply pending config changes Revert pending config changes Restore saved config with key Show command help Exit [global command, always [global command] [global command] [global command] [global command] [global command] available] >> Main# 以下の CLI コ マ ン ド を使用 し て、 Check Point ラ イ セ ン ス を イ ン ス ト ール し 、 ネ ッ ト ワ ー ク に関す る 情報を設定 し ます。 1. ロー カル ラ イ セ ン ス を使用する場合は、Firewall Director に関する Check Point ラ イ セ ン ス情報を入力 し ます。 注 - 中央 ラ イ セ ン ス を使用す る 場合は、 こ の手順を省略 し て く だ さ い。 中央 ラ イ セ ン ス を使用す る と 、 後の ス テ ッ プで SmartCenter か ら ラ イ セ ン ス が発行 さ れ ます。 こ の ラ イ セ ン ス情報は、 ご使用の Check Point パ ッ ケージの一部です。 以下の よ う な 情報が必要 と な り ます。 有効期限 : 02aug2004 機能文字列 : CPSUITE-EVAL-3DES-NG CK-CHECK-POINT ラ イ セ ン ス文字列 : aBZUeTWHR-FyxGGcdej-QiiS89a6N-isMP6Ywnn 管理者ア カ ウ ン ト を使用 し て、Firewall Director に ロ グ イ ン し ます。必ず、実際の Check Point ラ イ セ ン ス に示 さ れてい る と お り に情報を入力 し て く だ さ い。 >> # /cfg/pnp/add Enter the IP Address:10.10.1.1 (Firewall Director のア ド レ ス) Enter the Expiry date for the License:< 有効期限 > Enter the Feature string:< 機能文字列 > Enter the License string:< ラ イ セ ン ス文字列 > Successfully added license/IP 38 第 2 章 : 初期セ ッ ト ア ッ プ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 注 - ロ ーカル ラ イ セ ン ス の イ ン ス ト ールには CLI を使用す る 必要があ り ます。 ルー ト ロ グ イ ンや SmartUpdate を使用 し て ロ ーカル ラ イ セ ン ス を イ ン ス ト ール し ないで く だ さ い。 こ れを行 う と 、 ラ イ セ ン ス が自動的に削除 さ れて し ま い ます。 2. 接続 さ れた Firewall Accelerator に関する情報を設定 し ます。 >> SFD IP and Firewall License# /cfg/acc/ac1 >> Accelerator 1# addr 10.10.1.2 注 - [Accelerator 1 Configuration] メ ニ ュ ーで MAC ア ド レ ス を指定す る こ と も で き ま す。 ただ し 、 自動検出機能が有効にな っ てい る 場合は、 Nortel Switched Firewall に よ っ て Firewall Accelerator の MAC ア ド レ ス が自動的に決定 さ れます。 自動検出はデフ ォ ル ト に よ り オ ン にな っ てい ますが、 /cfg/acc/auto コ マ ン ド を使用す る と オ ン / オ フ を切 り 替え る こ と がで き ます。 3. 接続 さ れたネ ッ ト ワー クのポー ト と イ ン タ フ ェ ース を設定 し ます。 こ の例では、 2 つのネ ッ ト ワー ク が Firewall Accelerator に接続 さ れてい ます。 ネ ッ ト ワ ー ク A はポー ト 2、 ネ ッ ト ワー ク B はポー ト 3 です。 こ れ ら のネ ッ ト ワ ー ク は、 IP イ ン タ フ ェース (IF) を使用 し て以下の よ う に構成 さ れてい ます。 >> >> >> >> >> >> >> >> >> >> >> >> >> >> Accelerator 1# /cfg/net/port 2 Port 2# ena Port 2# ../if 1 Interface 1# addr 20.1.1.1 Interface 1# mask 255.255.255.0 Interface 1# ena Interface 1# port/add 2 Interface Ports # /cfg/net/port 3 Port 3# ena Port 3# ../if 2 Interface 2# addr 30.1.1.1 Interface 2# mask 255.255.0.0 Interface 2# ena Interface 2# port/add 3 (ネ ッ ト ワー ク A にポー ト 2 を選択) (ポー ト 1 を有効にする) (ネ ッ ト ワー ク A に IF 1 を選択) (IF 1 のア ド レ ス を設定) (IF 1 のマス ク を設定) (IF 1 を有効にする) (ネ ッ ト ワー ク A のポー ト を IF 1 に追加) (ネ ッ ト ワー ク B にポー ト 3 を選択) (ポー ト 2 を有効にする) (ネ ッ ト ワー ク B に IF 2 を選択) (IF 2 のア ド レ ス を設定) (IF 2 のマス ク を設定) (IF 2 を有効にする) (ネ ッ ト ワー ク B のポー ト を IF 2 に追加) 注 - イ ン タ フ ェ ー ス のブ ロ ー ド キ ャ ス ト ア ド レ ス は、 手動で設定 し ない限 り ネ ッ ト ワ ー ク マ ス ク か ら 自動的に計算 さ れ ます。 4. 外部ネ ッ ト ワー ク に対するデ フ ォ ル ト ゲー ト ウ ェ イ またはス タ テ ィ ッ ク ルー ト を設 定 し ます。 イ ン タ ーネ ッ ト へ向か う ト ラ フ ィ ッ ク は、 次のホ ッ プへ渡 さ れ る 必要があ り ます。 こ の例では、 デフ ォ ル ト ゲー ト ウ ェ イ が使用 さ れてい ます。 >> Interface 1# /cfg/net/route/gate/gw 1 >> Default gateway 1# addr 20.1.1.2 >> Default gateway 1# ena 217014-B-JA, 2005 年 12 月 (デ フ ォ ル ト ゲー ト ウ ェ イ 1 を選択) (ゲー ト ウ ェ イの IP ア ド レ ス を設定) (ゲー ト ウ ェ イ を有効にする) 第 2 章 : 初期セ ッ ト ア ッ プ 39 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 5. 構成の変更内容を適用 し ます。 >> Default gateway 1# apply こ の コ マ ン ド に よ っ て、 構成の変更内容が Firewall Director と Firewall Accelerator に 対 し て適用 さ れ ます (Firewall Accelerator に対す る 手動構成は不要です)。 The Firewall Director は必要に応 じ て Firewall Accelerator ソ フ ト ウ ェ アのア ッ プグ レー ド も 行い ま す。 適用プ ロ セ ス が完了す る と 、 正 し く 構成 さ れたポー ト の リ ン ク LED イ ン ジ ケー タ が 緑色にな り ます。 ネ ッ ト ワ ー ク 例では、 ポー ト LED を検査す る こ と で Firewall Accelerator の構成が更 新 さ れてい る こ と を確認で き ます。 こ れが完了 し た ら 次のセ ク シ ョ ンに進み、 管理ス テーシ ョ ン に Check Point 管理ツー ルを イ ン ス ト ール し て く だ さ い。 Check Point 管理ツールのイ ン ス ト ール Nortel Switched Firewall では標準の Check Point 管理ツール(http://www.checkpoint.com で Check Point か ら 入手可能) を使用 し て、 フ ァ イ ア ウ ォール ポ リ シーの イ ン ス ト ー ル、 保守、 監視を行い ます。 ご使用のネ ッ ト ワー ク 上の適切な管理者用ワー ク ス テー シ ョ ンに、 以下の Check Point ツールを イ ン ス ト ールす る必要があ り ます。 Check Point SmartCenter ス テーシ ョ ン こ の ソ フ ト ウ ェ アは、 すべての フ ァ イ ア ウ ォールに対応す る 中央デー タ ベース と し て機能 し ま す。 SmartCenter は、 すべて の Check Point フ ァ イ ア ウ ォ ール と セ キ ュ リ テ ィ 保護 さ れた通信を確立 し 、すべての フ ァ イ ア ウ ォール ポ リ シーを格納 し 、 それ ら のポ リ シーを必要に応 じ て適切な フ ァ イ ア ウ ォールにア ッ プ ロ ー ド し ます。 SmartCenter は、 (Nortel Switched Firewall コ ン ポーネ ン ト 上ではな く ) 個別 の管理者用 ワー ク ス テーシ ョ ン に イ ン ス ト ールす る 必要があ り ます。 Check Point SmartDashboard 管理 ク ラ イ ア ン ト 管理 ク ラ イ ア ン ト ソ フ ト ウ ェ アは SmartCenter と 連携 し て、 フ ァ イ ア ウ ォ ールの セキ ュ リ テ ィ ポ リ シーを作成、 編集、 監視す る ためのグ ラ フ ィ カル ユーザー イ ン タ フ ェ ー ス (GUI) を提供 し ま す。 こ の ソ フ ト ウ ェ アは SmartCenter に イ ン ス ト ールす る か、 ま たは (Nortel Switched Firewall コ ン ポーネ ン ト 上ではな く ) ネ ッ ト ワー ク 内の管理者用 ワー ク ス テーシ ョ ン に イ ン ス ト ールす る こ と がで き ます。 ご使用のネ ッ ト ワ ー ク 内の ワ ー ク ス テーシ ョ ン に適切な Check Point SmartCenter と SmartDashboard がすでに イ ン ス ト ール さ れて い る 場合は、 「 フ ァ イ ア ウ ォ ール ポ リ シーの構成および イ ン ス ト ール」 (49 ページ) に進んで く だ さ い。 40 第 2 章 : 初期セ ッ ト ア ッ プ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス こ の手順では、 Application Intelligence (R55) 付属の Check Point 管理ツール (SmartServer お よ び SmartConsole) NG を イ ン ス ト ールす る 方法について概説 し ま す。 管理 ク ラ イ ア ン ト ツールは SmartCenter ス テーシ ョ ンに イ ン ス ト ール さ れます が、 こ れ ら の ツールは リ モー ト ス テーシ ョ ンに イ ン ス ト ールす る こ と も 可能です。 こ の詳細ま たは他のバージ ョ ン の Check Point ソ フ ト ウ ェ アの詳細については、 http://www.checkpoint.com/support/technical/documents/index.html (ID と パ ス ワ ー ド が必要) で Check Point の完全版 ド キ ュ メ ン ト を参照 し て く だ さ い。 1. ご使用の SmartCenter ス テーシ ョ ンが最小要件を満た し てい る こ と を確認 し ます。 Check Point SmartCenter では、 以下の も の を 備え た ワ ー ク ス テーシ ョ ン ま たはサー バーが必要です。 オペレーテ ィ ン グ シ ス テ ム : Windows NT 4.0 SP6a ま たは Windows 2000 Server お よ び Advanced Server (SP2) 2. プ ロ セ ッ サ : Intel Pentium II 300 MHz 以上 デ ィ ス ク 空 き 容量 : 40 MB メ モ リ : 256 MB Check Point NG の CD-ROM Firewall Accelerator に接続 さ れたいずれかのサブネ ッ ト 上にネ ッ ト ワ ー ク が存在 する こ と Check Point ソ フ ト ウ ェ アの CD-ROM を SmartCenter ス テーシ ョ ンの ド ラ イ ブに挿入 し ます。 イ ン ス ト ール プ ロ グ ラ ムが自動的に起動 し ます。 こ れ以降の手順では、 重要なプ ロ ン プ ト と 、 それに対 し て必要 と さ れ る 返答について 説明 し ます。 こ れ ら の ス テ ッ プで扱われないプ ロ ン プ ト については、 画面上の指示に 従っ て く だ さ い。 3. [New Installation] を選択 し 、 [Next] ボ タ ン を ク リ ッ ク し ます。 217014-B-JA, 2005 年 12 月 第 2 章 : 初期セ ッ ト ア ッ プ 41 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 4. イ ン ス ト ールする コ ン ポーネ ン ト を指定 し ます。 以下の項目のチ ェ ッ ク ボ ッ ク ス を オ ンに し 、 [Next] を ク リ ッ ク し ます。 SmartCenter SmartConsole [Policy Server] がオ フ にな っ てい る こ と を確認 し て く だ さ い。 SmartConsole の選択に は、 フ ァ イ ア ウ ォ ール上の Check Point 機能を管理す る SMART Client に必要な GUI ク ラ イ ア ン ト ツール も すべて含まれ ます。 5. コ ンポーネ ン ト のイ ン ス ト ールを確定 し 、 [Next] を ク リ ッ ク し ます。 こ の時点で、各 コ ン ポーネ ン ト の イ ン ス ト ールが開始 さ れます。 まず、SVN Foundation と 呼ばれ る 共通の Check Point コ ン ポーネ ン ト が自動的に イ ン ス ト ール さ れ、 構成 さ れ ます。 こ れが完了す る と 、 SmartCenter ソ フ ト ウ ェ アが イ ン ス ト ール さ れ、 最後に SmartConsole コ ン ポーネ ン ト が イ ン ス ト ール さ れます。 Application Intelligence ソ フ ト ウ ェ アは、 後の ス テ ッ プで自動的に イ ン ス ト ール さ れます。 42 第 2 章 : 初期セ ッ ト ア ッ プ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 6. イ ン ス ト ールする製品の タ イ プ と し て [Management Server] を選択 し 、 [Next] ボ タ ン を ク リ ッ ク し ます。 こ の時点で、 SVN Foundation ソ フ ト ウ ェ ア (標準) 、 SmartCenter (選択 し た場合) 、 SmartConsole コ ン ポーネ ン ト が イ ン ス ト ール さ れ ま す。 [Installation Status] ウ ィ ン ド ウ に イ ン ス ト ール状況が表示 さ れます。 7. プ ロ ン プ ト が表示 さ れた ら、 [Next] を ク リ ッ ク し て続行 し ます。 8. 製品の タ イ プ と し て [Primary SmartCenter] を選択 し 、 [Next] を ク リ ッ ク し ます。 217014-B-JA, 2005 年 12 月 第 2 章 : 初期セ ッ ト ア ッ プ 43 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 9. ソ フ ト ウ ェ アのイ ン ス ト ール先を指定 し ます。 SmartCenter の イ ン ス ト ールが開始 し ます。 10. プ ロ ン プ ト が表示 さ れた ら、 [Next] を ク リ ッ ク し て続行 し ます。 11. プ ロ ン プ ト が表示 さ れた ら、 イ ン ス ト ールする SmartConsole コ ン ポーネ ン ト を指定 し ます。 Check Point Enterprise/Pro では、すべての SmartConsole コ ン ポーネ ン ト が事前に選択 さ れ ます。 Check Point Express では、 上か ら 4 つの コ ン ポーネ ン ト が事前に選択 さ れ ます。 こ の選択の根拠については、 Check Point の Web サ イ ト (下記) を参照 し て く だ さ い。 http://www.checkpoint.com/products/enterprise/smartcenter.html 注 - 以前のバージ ョ ンの Check Point 管理ツール ソ フ ト ウ ェ アでは、旧バージ ョ ン と の互換性はオプシ ョ ン で し た。 R55 では旧バージ ョ ン と の互換性は標準機能で あ り 、 バ ッ ク グ ラ ウ ン ド で イ ン ス ト ール さ れ ます。 44 第 2 章 : 初期セ ッ ト ア ッ プ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 12. イ ン ス ト ールする SmartConsole GUI ク ラ イ ア ン ト を指定する よ う 求め られる ま では、 画面上のプ ロ ン プ ト に従 っ て く だ さ い。 チ ェ ッ ク ボ ッ ク ス をすべてオ ン に し 、 [Next] を ク リ ッ ク し て、 管理 ク ラ イ ア ン ト ソ フ ト ウ ェ ア を イ ン ス ト ール し ます。 13. ソ フ ト ウ ェ アがイ ン ス ト ール さ れた ら、 [OK] ボ タ ン を ク リ ッ ク し 、 ラ イ セ ン ス を設定 し ます。 14. プ ロ ン プ ト が表示 さ れた ら、 SmartCenter Server に対する有効な Check Point ラ イ セ ン ス を指定 し ます。 [Fetch From File...] ボ タ ン または [Add...] ボ タ ン (左下) を選択 し 、 適切な ラ イ セ ン ス デー タ を指定 し ます (右下)。 ラ イ セ ン ス デー タ を入力 し た ら 、 [OK]、 [Next] の順に ク リ ッ ク し ます。 217014-B-JA, 2005 年 12 月 第 2 章 : 初期セ ッ ト ア ッ プ 45 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 15. プ ロ ン プ ト が表示 さ れた ら、 [Add...] ボ タ ン (左下) を ク リ ッ ク し 、 SmartCenter 管理 者のロ グ イ ン情報を入力 し ます (右下)。 管理者情報を入力 し た ら 、 [OK]、 [Next] の順に ク リ ッ ク し ます。 16. プ ロ ン プ ト が表示 さ れた ら 、リ モー ト 管理 ク ラ イ ア ン ト (SMART Client と も 呼ばれる) を追加 し ます。 「localhost」 と 入力す る か、 GUI ク ラ イ ア ン ト が SmartCenter Server と 同 じ ホ ス ト 上に あ る 場合はホ ス ト の IP ア ド レ ス を入力 し ま す。 さ ら に、 こ の管理 ス テーシ ョ ン と 連 携で き る 他の管理 ク ラ イ ア ン ト の DNS ホ ス ト 名 ま た は IP ア ド レ ス も 指定 し ま す。 [Next] を ク リ ッ ク し て続行 し ます。 46 第 2 章 : 初期セ ッ ト ア ッ プ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 17. プ ロ ン プ ト が表示 さ れた ら、 暗号 SEED に使用する任意の文字列を入力 し ます。 注 - 文字を あ ま り 速 く タ イ プ し ないで く だ さ い。それに よ り 入力バ ッ フ ァ がオーバー フ ロ ーす る と 、 処理に若干時間がかか る 場合があ り ます。 暗号 SEED が生成 さ れた ら 、 [Next] ボ タ ン を ク リ ッ ク し て続行 し ます。 18. 認証局を初期設定 し ます。 FQDN で正 し い場合は、 [Send to CA] ボ タ ン を ク リ ッ ク し ます。 認証局の初期設定後は、 管理 ス テーシ ョ ン の IP ア ド レ ス や名前を変更 し ないで く だ さ い。 217014-B-JA, 2005 年 12 月 第 2 章 : 初期セ ッ ト ア ッ プ 47 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 19. [Export to file...] を ク リ ッ ク し 、 SmartCenter の フ ィ ン ガープ リ ン ト を記録 し ます。 こ の フ ィ ン ガープ リ ン ト は、 セキ ュ リ テ ィ 手段 と し て後の手順で管理者が偽称 さ れて いない こ と を確認す る ために必要 と な り ます。 20. プ ロ ン プ ト が表示 さ れた ら、 管理ス テーシ ョ ン を再起動 し ます。 ス テーシ ョ ンが再起動 さ れた ら 、 SmartCenter と SmartDashboard の イ ン ス ト ールは完 了です。 次は、 SmartDashboard を使用 し て フ ァ イ ア ウ ォ ール ポ リ シーを定義 し て イ ン ス ト ール し ます。 48 第 2 章 : 初期セ ッ ト ア ッ プ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス フ ァ イ ア ウ ォ ール ポ リ シ ーの構成お よ び イ ン ス ト ール 作業の概要 フ ァ イ ア ウ ォ ール ポ リ シーの初期構成には、 以下の作業が必要 と な り ます。 SmartDashboard 管理ツールに ロ グ イ ン し ます。 SmartDashboard 管理ツールで フ ァ イ ア ウ ォール オブジ ェ ク ト を定義 し ます。 SmartCenter と Firewall Director の間で信頼 さ れた Secure Internal Communications (SIC) リ ン ク を確立 し ます。 中央 ラ イ セ ン ス を使用す る 場合は、 フ ァ イ ア ウ ォ ール オブジ ェ ク ト の ラ イ セ ン ス を入力 し ます。 セキ ュ リ テ ィ ポ リ シーを作成 し 、 Firewall Director に イ ン ス ト ール し ます。 以降のセ ク シ ョ ン で、 こ れ ら の各作業について説明 し ます。 Check Point ツールの使 用法の詳細については、 http://www.checkpoint.com/support/technical/documents/index.html (ID と パ ス ワ ー ド が必要) で Check Point の完全版 ド キ ュ メ ン ト を参照 し て く だ さ い。 SmartDashboard 管理ツールへのログ イ ン 1. SmartDashboard ソ フ ト ウ ェ ア を起動 し ます。 [Check Point Management Clients] デ ィ レ ク ト リ か ら [SmartDashboard] ア イ コ ン を選択 す る か、 [ ス タ ー ト ] → [ すべてのプ ロ グ ラ ム ] → [Check Point SmartConsole R55] → [SmartDashboard] の順に ク リ ッ ク し ます。 2. 管理者ア カ ウ ン ト を使用 し て ロ グ イ ン し ます。 手順 15 (46 ページ) で SmartCenter ツールの イ ン ス ト ール時に設定 し たユーザー名 / パ ス ワ ー ド の組合せのいずれか を入力 し ます。 217014-B-JA, 2005 年 12 月 第 2 章 : 初期セ ッ ト ア ッ プ 49 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス さ ら に、 SmartCenter Server の IP ア ド レ ス を指定 し 、 [OK] を ク リ ッ ク し ます。 注 - SMART Client が フ ァ イ ア ウ ォ ールにア ク セ ス で き る よ う に、 こ の IP ア ド レ ス を ク ラ イ ア ン ト ア ク セ ス リ ス ト に追加 し ておいて く だ さ い。 3. Check Point フ ィ ン ガープ リ ン ト を確認 し ます。 こ の時点で、 SmartDashboard ツールが SmartCenter にア ク セ ス し ます。 こ れが最初の ア ク セ ス なので、 現在の フ ィ ン ガープ リ ン ト を確認す る よ う 求め る プ ロ ンプ ト が表示 さ れ ます。 手順 19 (48 ページ) で SmartCenter ツールを イ ン ス ト ール し た と き に取得 し た フ ィ ン ガープ リ ン ト と 同 じ であ る こ と を確認 し た ら 、 [Approve] ボ タ ン を ク リ ッ ク し ます。 50 第 2 章 : 初期セ ッ ト ア ッ プ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Nortel Switched Firewall オブ ジ ェ ク ト の定義 1. 新 し く イ ン ス ト ール し た Firewall Director を表す新 し いゲー ト ウ ェ イ オブ ジ ェ ク ト を 作成 し ます。 SmartDashboard の メ ニ ュ ー バーか ら [Manage] → [Network Objects] を 選択 し ま す。 [Network Objects] ウ ィ ン ド ウ が表示 さ れた ら [New] ボ タ ン を ク リ ッ ク し 、 リ ス ト か ら [Check Point] → [Gateway] を選択 し ます。 2. [Check Point installed Gateway creation] ウ ィ ン ド ウが表示 さ れた ら、 [Classic mode] を 選択 し ます。 3. Firewall Director オブ ジ ェ ク ト パ ラ メ ー タ を定義 し ます。 217014-B-JA, 2005 年 12 月 第 2 章 : 初期セ ッ ト ア ッ プ 51 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 以下の情報を入力 し ます。 Name : 新 し く イ ン ス ト ール し た Firewall Director の名前。 IP Address : 新 し く イ ン ス ト ール し た Firewall Director のア ド レ ス。 こ の例では、 ア ド レ ス は 10.10.10.1 です。 Check Point Products : [NG with Application Intelligence] を選択 し ます。 FireWall-1 : リ ス ト ウ ィ ン ド ウ か ら こ の項目にチ ェ ッ ク マー ク を付け ます。 注 - こ の製品で現在サポー ト さ れてい る のは FireWall-1 のみです。VPN-1® は使用 さ れ ません。 [Workstation Properties] ウ ィ ン ド ウ は次の ス テ ッ プで使用 し ますので、 開いた ま ま に し て く だ さ い。 52 第 2 章 : 初期セ ッ ト ア ッ プ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Secure Internal Communications の確立 1. SmartCenter と Firewall Director の間で信頼を確立 し ます。 Check Point FireWall-1 NG では、 構成済みオブジ ェ ク ト と SmartCenter の間で Secure Internal Comminutions (SIC) を開始す る 際に ワ ン タ イ ム パ ス ワ ー ド を使用 し ます。 SIC を確立す る には、 [Workstation Properties] ウ ィ ン ド ウ で [Communication] ボ タ ン を ク リ ッ ク し ます。 [Communications] ウ ィ ン ド ウ が表示 さ れ ます。 手順 9 (37 ページ) の Firewall Director 初期セ ッ ト ア ッ プで定義 し た も の と 同 じ ワ ン タ イ ム SIC パ ス ワー ド を入力 し 、 [Initialize] を ク リ ッ ク し ます。 SmartCenter は Firewall Director に ア ク セ ス し て セ キ ュ リ テ ィ 情報を 交換 し よ う と し ます。 成功す る と 、 ウ ィ ン ド ウ に 「Trust established」 と 表示 さ れます。 2. [Communication] ウ ィ ン ド ウ を閉 じ ます。 3. Firewall Director オブ ジ ェ ク ト のイ ン タ フ ェ ース を取得 し ます。 217014-B-JA, 2005 年 12 月 第 2 章 : 初期セ ッ ト ア ッ プ 53 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス [Check Point Gateway] ウ ィ ン ド ウ の [Topology] セ ク シ ョ ン で、 [Get Topology] を ク リ ッ ク し ます。 こ のボ タ ン を ク リ ッ ク す る と 、 Firewall Director か ら 構成済みの イ ン タ フ ェ ース が取得 さ れ ます。 [Get Topology] には、 リ ン ク 済みの有効なネ ッ ト ワ ー ク の みが表示 さ れます。 注 - ア ンチ ス プーフ ィ ン グ を使用 し てい る 場合は、 [Get Topology] 機能が完全には成 功 し なか っ た こ と を示す メ ッ セージが表示 さ れ る 可能性があ り ます。 こ の メ ッ セージ が表示 さ れた場合は、 「その イ ン タ フ ェース の背後にあ る IP ア ド レ ス」 が未定義であ る こ と を意味 し ます。 こ の場合は、 各 イ ン タ フ ェ ース を選択 し 、 [Edit] ボ タ ン を使用 し て 未定義の ア ド レ ス を 手動で設定 し て く だ さ い。 こ の ア ド レ ス は、 そ の イ ン タ フ ェ ー ス を介 し て接続 さ れ る 有効な ソ ー ス IP ア ド レ ス の完全な範囲を表 し ていな け ればな り ません。 こ れ ら のア ド レ ス は、 ポ リ シーを Firewall Director に ロ ー ド す る 前 に設定 し てお く 必要があ り ます。 4. [Workstation Properties] ウ ィ ン ド ウ を閉 じ ます。 5. SmartDashboard ツールの メ ニ ュ ー バーか ら [File] → [Save] を選択 し ます。 54 第 2 章 : 初期セ ッ ト ア ッ プ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 中央ラ イ セ ン スの使用 中央 ラ イ セ ン ス は、 以下の よ う に Check Point 管理ツールの SmartUpdate モジ ュ ール を使用 し て容易に イ ン ス ト ール、 管理、 ま たは削除す る こ と がで き ます。 注 - 手順 1 (38 ページ) で イ ン タ フ ェ ース の構成時に ロ ーカル ラ イ セ ン ス を使用 し た場合は、 「 フ ァ イ アウ ォ ール ポ リ シーの作成お よび イ ン ス ト ール」 (57 ページ) に 進んで く だ さ い。 1. 管理ク ラ イ ア ン ト ス テーシ ョ ン (SmartCenter) で SmartUpdate 管理ツールを起動 し ます。 2. SmartUpdate の メ ニ ュ ー バーか ら [Licenses] → [New Licenses] を選択 し ます。 3. [Add Manually] を ク リ ッ ク し ます。 以下の画面が表示 さ れ ます。 実際の Check Point ラ イ セ ン ス に示 さ れてい る と お り に情報を入力 し て く だ さ い。 4. SmartUpdate の メ ニ ュ ー バーで [License] タ ブ を ク リ ッ ク し ます。 イ ン ス ト ール済み Firewall Director の リ ス ト が表示 さ れ ます。 5. [Firewall Director] を右 ク リ ッ ク し 、 [Attach Licenses] を選択 し ます。 現在入力 さ れてい る ラ イ セ ン ス の リ ス ト が表示 さ れ ます。 6. ス テ ッ プ 3 で イ ン ス ト ール し た ラ イ セ ン ス を選択 し ます。 こ の ラ イ セ ン ス は自動的に Check Point Management Console ラ イ セ ン ス リ ポ ジ ト リ に送信 さ れた後、 Firewall Director に イ ン ス ト ール さ れ ます。 217014-B-JA, 2005 年 12 月 第 2 章 : 初期セ ッ ト ア ッ プ 55 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 7. 画面上のプ ロ ン プ ト に従 っ て、 イ ン ス ト ールを完了 し て く だ さ い。 8. イ ン ス ト ール し た ラ イ セ ン ス を確認 し ます。 中央 ラ イ セ ン ス が 正 し く イ ン ス ト ー ル さ れ て い る こ と を 確認す る に は、 Firewall Director に root と し て ロ グ イ ン し 、 以下の コ マ ン ド を実行 し ます。 cplic print -x -type こ の コ マ ン ド の出力 と し て、 イ ン ス ト ール済み ラ イ セ ン ス の情報が表示 さ れ ます。 中央 ラ イ セ ン ス の イ ン ス ト ール方法の詳細については、 http://www.checkpoint.com/support/technical/documents/index.html (ID と パ ス ワ ー ド が必要) で Check Point の完全版 ド キ ュ メ ン ト を参照 し て く だ さ い。 56 第 2 章 : 初期セ ッ ト ア ッ プ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス フ ァ イ アウ ォ ール ポ リ シーの作成および イ ン ス ト ール 1. フ ァ イ アウ ォ ール ポ リ シーのテ ス ト ルールを作成 し ます。 初期セ ッ ト ア ッ プの こ の時点で、 テ ス ト を実行 し 、 シ ス テ ム コ ン ポーネ ン ト が正 し く 構成 さ れてい る こ と を確認す る こ と をお勧め し ます。 こ のテ ス ト を行 う ために、 任 意お よ びすべて の ト ラ フ ィ ッ ク が フ ァ イ ア ウ ォ ール を通過す る こ と を 許可す る ポ リ シー ルールを作成 し ま す。 後で フ ァ イ ア ウ ォ ールの動作が確認 さ れた ら 、 望 ま し く な い ト ラ フ ィ ッ ク を 制限す る フ ァ イ ア ウ ォ ール セ キ ュ リ テ ィ ルール を 作成で き ま す。 SmartDashboard ツールの メ ニ ュ ー バーか ら [Rules] → [Add Rule] → [Top] を選択 し ま す。 新 し いルールがルールベー ス に追加 さ れ ま す。 新 し いルールのデフ ォ ル ト ア ク シ ョ ンは [drop] です。 こ れは、 ど の送信元か ら ど の宛先へ も すべての ト ラ フ ィ ッ ク が フ ァ イ ア ウ ォ ールを通過 し ない こ と を意味 し ます。 [drop] ア ク シ ョ ン ア イ コ ン を 右 ク リ ッ ク し 、 新 し い ア ク シ ョ ン と し て リ ス ト か ら [accept] を選択 し て、 新 し いルールのア ク シ ョ ン を [accept] に変更 し ます。 さ ら に、 [none] 設定を右 ク リ ッ ク し 、新 し い ト ラ ッ ク 設定 と し てポ ッ プア ッ プ リ ス ト か ら [log] を選択 し て、 ト ラ ッ ク 設定を [log] に変更 し ます。 217014-B-JA, 2005 年 12 月 第 2 章 : 初期セ ッ ト ア ッ プ 57 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 2. ポ リ シーを Firewall Director に適用 し ます。 メ ニ ュ ー バーか ら [Policy] → [Install] を選択 し ます。[Install Policy] ウ ィ ン ド ウ が表示 さ れた ら 、 フ ァ イ ア ウ ォ ール ク ラ ス タ オブジ ェ ク ト を選択 し 、 [OK] ボ タ ン を ク リ ッ ク し ます。 注 - Check Point ア ンチ ス プーフ ィ ン グ機能が有効にな っ ていない場合は、 警告 メ ッ セージが表示 さ れ ます。 ご使用の フ ァ イ ア ウ ォ ールにア ンチ ス プーフ ィ ン グが必要 か ど う か を判断す る には、 社内のセキ ュ リ テ ィ ポ リ シー と 、 http://www.checkpoint.com/support/technical/documents/index.html (ID と パ ス ワ ー ド が必要) で Check Point の ド キ ュ メ ン ト を参照 し て く だ さ い。 [OK] を ク リ ッ ク し 、 ルールベース の イ ン ス ト ールを開始 し ます。 ポ リ シーの適用に失敗 し た場合は、 [Show Errors] を ク リ ッ ク し ます。 エ ラ ーの原因 と し て よ く あ る のは ラ イ セ ン ス の期限切れです。 こ れに該当す る 場合は、 SmartUpdate を使用 し て SmartCenter Server 上の ラ イ セ ン ス を更新 し 、 ポ リ シーを再度適用 し て く だ さ い。 プ ロ セ ス が完了 し た ら 、 [Install Policy] ウ ィ ン ド ウ を閉 じ ます。 3. SmartView Tracker プ ロ グ ラ ムを使用 し て、 Firewall Director が正 し く 動作 し ている こ と を確認 し ます。 SmartView Tracker では、 処理中、 受け入れ中、 破棄中な どすべての ト ラ フ ィ ッ ク が リ ス ト さ れ ます。 Nortel Switched Firewall が正 し く 構成 さ れてい る こ と を確認す る には、 [SmartView Tracker Active Mode] を選択 し ます。 ク ラ イ ア ン ト ス テーシ ョ ン を使用 し て、 フ ァ イ ア ウ ォ ールに対 し て ping を実行 し て く だ さ い。 SmartView Tracker に ping ト ラ フ ィ ッ ク のエ ン ト リ が表示 さ れた場合は、 構成に問題は あ り ま せん。 フ ァ イ ア ウ ォ ール に 対 し て ping を 実行す る 前 に、 [Global properties] タ ブ の [Accept ICMP Replies] フ ィ ール ド を必ず有効に し て く だ さ い。 58 第 2 章 : 初期セ ッ ト ア ッ プ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 注 - SmartView Tracker は、 セキ ュ リ テ ィ ルールのデバ ッ グ と 拡張を行 う ための優れ た ツールです。 こ の ツールの詳細については、 http://www.checkpoint.com/support/technical/documents/index.html (ID と パ ス ワ ー ド が必要) で Check Point の完全版 ド キ ュ メ ン ト を参照 し て く だ さ い。 4. SmartDashboard ツールを使用 し て、 手順 1 で生成 し たテ ス ト ルールを削除 し ます。 5. 完全な フ ァ イ アウ ォ ール セキ ュ リ テ ィ ルールを作成 し 、 イ ン ス ト ール し ます。 セキ ュ リ テ ィ ポ リ シーに適用す る ルールは、 ご使用のネ ッ ト ワ ー ク のセ キ ュ リ テ ィ ニーズに よ っ て異な り ます。 通常の場合、 特に必要のない ト ラ フ ィ ッ ク はすべて破 棄 し て く だ さ い。 効果的なセキ ュ リ テ ィ ポ リ シーの作成方法 と 保守方法の詳細につ いては、 社内のセ キ ュ リ テ ィ ポ リ シー と 、 http://www.checkpoint.com/support/technical/documents/index.html (ID と パ ス ワ ー ド が必要) で Check Point の ド キ ュ メ ン ト を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 2 章 : 初期セ ッ ト ア ッ プ 59 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 60 第 2 章 : 初期セ ッ ト ア ッ プ 217014-B-JA, 2005 年 12 月 第3章 Dynamic Host Configuration Protocol Dynamic Host Configuration Protocol (DHCP) は、 大規模 TCP/IP ネ ッ ト ワ ー ク におい て他の IP ホ ス ト や ク ラ イ ア ン ト に IP ア ド レ ス と 構成情報 を自動的に割 り 当て る た めの フ レーム ワ ー ク と な る 伝送プ ロ ト コ ルです。 DHCP を使用 し ない場合は、 ネ ッ ト ワ ー ク デバ イ ス ご と に IP ア ド レ ス を手動で入力 し なければな り ません。 DHCP を使 用す る と 、ネ ッ ト ワ ー ク 管理者は中央ポ イ ン ト か ら IP ア ド レ ス を配布 し 、ネ ッ ト ワー ク 内のあ る デバ イ ス が別の場所に接続 さ れた と き には新 し い IP ア ド レ ス が自動的に 送信 さ れ る よ う にす る こ と がで き ます。 DHCP は、 Bootstrap Protocol (BOOTP) と い う 別のネ ッ ト ワ ー ク IP 管理プ ロ ト コ ル を拡張 し て、 ク ラ イ ア ン ト オペレーシ ョ ン用に再使用可能なネ ッ ト ワ ー ク ア ド レ ス と 構成パ ラ メ ー タ を動的に割 り 振 る こ と がで き る 機能を追加 し た も のです。 DHCP は ク ラ イ ア ン ト / サーバー モデルに組み込まれてお り 、 IP ネ ッ ト ワー ク 上の ホ ス ト ま たは ク ラ イ ア ン ト がそれぞれの構成を DHCP サーバーか ら 取得で き る ため、 ネ ッ ト ワ ー ク 管理の負担が軽減 さ れ ます。 ク ラ イ ア ン ト がサーバーか ら 受け取 る 最 も 重要な構成は、 ク ラ イ ア ン ト の必須 IP ア ド レ ス です (その他のオプシ ョ ン パ ラ メ ー タ には、 起動 さ れ る 「汎用」 フ ァ イ ル名、 デ フ ォ ル ト ゲー ト ウ ェ イ のア ド レ ス な ど があ り ます)。 ノ ーテルの DHCP リ レー エージ ェ ン ト を使用す る と 、サブネ ッ ト ご と に DHCP/BOOTP サーバー を 用意す る 必要が な く な り ま す。 管理者は、 ネ ッ ト ワ ー ク に導入す る DHCP サーバーの数を減 ら し て一元管理す る こ と がで き ます。DHCP リ レー エージ ェ ン ト を使 用 し ない場合は、 ホ ス ト が DHCP 要求を実行す る 必要のあ る サブネ ッ ト ご と に、 1 つ以 上の DHCP サーバーを導入す る 必要があ り ます。 61 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス DHCP リ レー エージ ェ ン ト RFC 2131 で は DHCP、 RFC 1542 で は Nortel Switched Firewall で サ ポ ー ト さ れ る DHCP リ レー エージ ェ ン ト について定め ら れてい ます。 DHCP では、 伝送プ ロ ト コ ル と し て UDP を使用 し ます。 ク ラ イ ア ン ト はポー ト 67 でサーバーに メ ッ セージ を送信 し 、 サーバーはポー ト 68 で ク ラ イ ア ン ト に メ ッ セージ を送信 し ます。 DHCP では、あ る IP ア ド レ ス を ク ラ イ ア ン ト に限 ら れた リ ース期間だけ割 り 当て、後 でその IP ア ド レ ス を別の ク ラ イ ア ン ト に再度割 り 当て ら れ る よ う にす る 方式が定義 さ れてい ます。 ま た、 ク ラ イ ア ン ト が TCP/IP ネ ッ ト ワー ク 内で操作す る 必要のあ る 他の IP 構成パ ラ メ ー タ を収集す る ための メ カ ニズ ム も 備わっ てい ます。 DHCP 環境では、 Nortel Switched Firewall は リ レ ー エージ ェ ン ト と し て動作 し ま す。 DHCP リ レー機能 (/cfg/net/dhcprl) を使用す る と 、 フ ァ イ ア ウ ォールが ク ラ イ ア ン ト か ら の IP ア ド レ ス要求を、Nortel Switched Firewall 上で IP ア ド レ ス が設定済みの DHCP サーバーに転送で き る よ う にな り ます。 Nortel Switched Firewall が、IP ア ド レ ス を要求す る DHCP ク ラ イ ア ン ト か ら ポー ト 67 で UDP ブ ロ ー ド キ ャ ス ト を受信す る と 、 その要求が UDP ユニ キ ャ ス ト MAC レ イ ヤ メ ッ セージ と し て、 フ ァ イ ア ウ ォ ール上で IP ア ド レ ス が設定 さ れてい る DHCP サー バーに転送 さ れます。 サーバーは UDP ユニ キ ャ ス ト メ ッ セージで フ ァ イ ア ウ ォ ール に応答 し 、ク ラ イ ア ン ト のデフ ォ ル ト ゲー ト ウ ェ イ と IP ア ド レ ス を通知 し ます。サー バー応答に含まれ る 宛先 IP ア ド レ ス は、ク ラ イ ア ン ト 要求を受信 し た Nortel Switched Firewall 上の イ ン タ フ ェ ース ア ド レ ス です。 こ の イ ン タ フ ェー ス ア ド レ ス に よ っ て、 ど の VLAN 上 で ク ラ イ ア ン ト に サ ー バ ー 応 答 を 送 信 す べ き か が Nortel Switched Firewall に通知 さ れ ます。 62 第 3 章 : Dynamic Host Configuration Protocol 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス DHCP リ レー エージ ェ ン ト の構成 Nortel Switched Firewall が DHCP の転送側 と な る には、 フ ァ イ ア ウ ォ ール上で DHCP サーバーの IP ア ド レ ス を設定す る 必要があ り ます。 ク ラ イ ア ン ト サブネ ッ ト に接続 さ れ る イ ン タ フ ェース上で、 DHCP リ レーを有効にす る 必要があ り ます。 図 3-1 に、 基本的な DHCP ネ ッ ト ワー ク の例を示 し ます。 䊗䉴䊃䊮 䉝䊃䊤䊮䉺 20.1.1.1 10.1.1.0 DHCP 䉪䊤䉟䉝䊮䊃 Nortel Switched Firewall DHCP 䊥䊧䊷㩷䉣䊷䉳䉢䊮䊃 DHCP 䉰䊷䊋䊷 10.1.1.2 図 3-1 DHCP リ レー エージ ェ ン ト の構成 ク ラ イ ア ン ト 要求は、フ ァ イ ア ウ ォ ール上で構成 さ れたすべての DHCP サーバーに送 信 さ れ ます。 2 つのサーバーを使用す る と フ ェ イ ルオーバーの冗長性が実現 さ れます が、 ヘル ス チ ェ ッ ク はサポー ト さ れません。 DHCP リ レー機能は イ ン タ フ ェ ース ご と に割 り 当て ら れ ます。 DHCP に対 し ては少な く と も 1 つ以上のサーバー と イ ン タ フ ェ ー ス を 有効にす る 必要が あ り ま す。 Nortel Switched Firewall を DHCP リ レー エージ ェ ン ト と し て構成す る には、以下の コ マ ン ド を使用 し ます。 1. DHCP リ レーを グ ローバルで有効に し ます。 >> # /cfg/net/dhcprl >> DHCP Relay# ena 2. DHCP 要求が こ のイ ン タ フ ェ ースに入る よ う 設定 し ます。 >> DHCP Relay# if 1 >> DHCP Relay Interface 1# ena 3. (DHCP 要求を許可) DHCP サーバー情報を設定 し ます。 >> >> >> >> >> >> # /cfg/net/dhcprl/server 1 DHCP Server 1# addr 10.1.1.1 DHCP Server 1# ena DHCP Server 1# ../server 2 DHCP Server 2# addr 10.1.1.2 DHCP Server 2# ena 217014-B-JA, 2005 年 12 月 (1 番めの DHCP サーバーの IP ア ド レ ス を設定) (DHCP サーバーを有効にする) (2 番めの DHCP サーバーの IP ア ド レ ス を設定) (2 番めの DHCP サーバーの IP ア ド レ ス を設定) (DHCP サーバーを有効にする) 第 3 章 : Dynamic Host Configuration Protocol 63 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 4. 現在の構成を表示 し ます。 >> # /cfg/net/dhcprl/cur 5. (現在の構成を表示) 変更内容を適用 し て保存 し ます。 >> DHCP Relay# apply 64 第 3 章 : Dynamic Host Configuration Protocol 217014-B-JA, 2005 年 12 月 第4章 Routing Information Protocol ルーテ ィ ン グ環境では、 ルー タ ー同士が通信 し て使用可能ルー ト を追跡 し ます。 ルー タ ーは Routing Information Protocol (RIP) を使用す る こ と で、 使用可能ルー ト を動的 に学習す る こ と がで き ます。 デ ィ ス タ ンス ベク タ ー プロ ト コル RIP はデ ィ ス タ ン ス ベ ク タ ー プ ロ ト コ ルです。 ベ ク タ ー と はネ ッ ト ワ ー ク 番号 と ネ ク ス ト ホ ッ プ を表 し 、 デ ィ ス タ ン ス と はネ ッ ト ワ ー ク 番号 と 関連付け ら れた コ ス ト を 表 し ま す。 RIP は コ ス ト に基づい て ネ ッ ト ワ ー ク 到達可能性 を 識別 し 、 コ ス ト は ホ ッ プ カ ウ ン ト と し て定義 さ れ ま す。 1 ホ ッ プは あ る デバ イ ス か ら 次のデバ イ ス ま でのデ ィ ス タ ン ス と みな さ れ、 通常は 1 で表 さ れ ます。 こ の コ ス ト つ ま り ホ ッ プ カ ウ ン ト を メ ト リ ッ ク と 呼びます。 MIP が設定 さ れてい る Firewall Director が受信 し たルーテ ィ ン グ更新に、 新規ま たは 変更 さ れた宛先ネ ッ ト ワ ー ク エ ン ト リ が含 ま れてい る 場合、 MIP が設定 さ れてい る Firewall Director はその更新で示 さ れてい る メ ト リ ッ ク 値に 1 を加算 し 、 そのネ ッ ト ワ ー ク をルーテ ィ ン グ テーブルに入れます。送信側の IP ア ド レ ス はネ ク ス ト ホ ッ プ と し て使用 さ れ ます。 安定性 RIP バージ ョ ン 1 は、 イ ン タ ーネ ッ ト の初期に普及 し た も ので、 サブネ ッ ト マ ス キ ン グ を行わずにデフ ォ ル ト の ク ラ ス ア ド レ ス を ア ド バ タ イ ズ し てい ま し た。RIP は安定 性が高 く 、 広 く サポー ト さ れていて、 構成が容易です。 ス タ ブ ネ ッ ト ワ ー ク や、 冗 長パ ス がそれほ ど多 く ない小規模な自律シ ス テ ム では RIP を使用 し ます。 RIP には、多 く のルーテ ィ ン グ プ ロ ト コ ルに共通す る その他の安定性機能 も 多数組み 込ま れてい ます。 た と えば、 RIP では ス プ リ ッ ト ホ ラ イ ズ ン と ホール ド ダ ウ ンの メ カ ニ ズ ム を使用 し て、 誤っ たルーテ ィ ン グ情報の配信を防いでい ます。 ま た、 送信元か ら 宛先 ま でのパ ス 内で許可 さ れ る ホ ッ プ数を 制限す る こ と で、 ルー テ ィ ン グ ループが無限に継続す る の を防いでい ます。1 つのパ ス におけ る 最大ホ ッ プ 数は 15 です。 メ ト リ ッ ク 値が 1 増え た こ と で メ ト リ ッ ク が 16 (つま り 無限) にな っ た場合は、その宛先ネ ッ ト ワー ク へは到達不能 と みな さ れ ます。 こ れに よ り 、RIP ネ ッ ト ワー ク の最大直径が 16 ホ ッ プ未満に制限 さ れ ます。 65 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス RIP および NSF NSF では、 RIP v1 お よ び v2 ルーテ ィ ン グ プ ロ ト コ ルのサポー ト が追加 さ れてい ま す。 こ の機能を使用す る と 、 RIP の有効 / 無効を グ ロ ーバルお よ び VLAN ご と に設定 す る こ と がで き ま す。 ま た、 有効にす る RIP のバージ ョ ン を VLAN ご と 、 グ ロ ーバ ル、 あ る いはその両方で選択す る こ と も 可能です。 こ の よ う な RIP の実装に よ り 、 現在では合計ルー ト (デ フ ォ ル ト ルー ト 、 イ ン タ フ ェース、 ス タ テ ィ ッ ク ルー ト 、 お よ び RIP、 Open Shortest Path First (OSPF) 、 あ る いはその両方か ら 動的に学習 さ れたルー ト を含む) を最大 8K ま で使用で き る よ う にな っ てい ます。 ループ防止は ス プ リ ッ ト ホ ラ イ ズ ン アルゴ リ ズ ム を使用 し て実行 さ れ、 1 つのルー ト が同 じ イ ン タ フ ェース に繰 り 返 し ブ ロ ー ド キ ャ ス ト さ れ る の を防ぎ ます。 ポ イ ズ ン リ バース は、デ ッ ド ルー ト に対 し て ホ ッ プ カ ウ ン ト 16 のルーテ ィ ン グ更新を送信す る 場合に使用 し ます。 ルーテ ィ ング更新 RIP では、一定間隔お よ びネ ッ ト ワー ク ト ポ ロ ジーの変更時にルーテ ィ ン グ更新 メ ッ セージ を送信 し ます。RIP ではブ ロ ー ド キ ャ ス ト の User Datagram Protocol (UDP) デー タ パケ ッ ト を使用 し てルーテ ィ ン グ情報を交換 し ま す。 各ルー タ ーは、 ルーテ ィ ン グ情報の更新 を 30 秒 ご と に送信す る こ と でルーテ ィ ン グ情報 を ア ド バ タ イ ズ し ま す。 ルー タ ーは、 90 秒以内に別のルー タ ーか ら の更新を受信で き ない と 、 更新 し て い ないルー タ ーか ら 提供 さ れたルー ト を 使用不能 と し て マー ク し ま す。 ルー タ ーが 240 秒以内に何の更新 も 受信 し ない場合は、 更新 し ていないルー タ ーに関す る すべて のルーテ ィ ン グ テーブル エ ン ト リ が削除 さ れます。 ルー タ ーはエ ン ト リ の変更が含まれたルーテ ィ ン グ更新を受信す る と 、 新 し いルー ト を反映 し てルーテ ィ ン グ テーブルを更新 し ま す。 パ ス の メ ト リ ッ ク 値は 1 増え、 送 信側はネ ク ス ト ホ ッ プ と し て示 さ れ ます。 RIP ルー タ ーは、 宛先 ま でのベ ス ト ルー ト ( メ ト リ ッ ク 値の最 も 低いルー ト ) のみを保守 し ます。 66 第 4 章 : Routing Information Protocol 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ルー ト 再配信の構成 Nortel Switched Firewall では、 他のプ ロ ト コ ルか ら のルー ト を RIP ま たは OSPF ド メ イ ンに再配信す る こ と がで き ます。 NSF では接続ルー ト 、 OSPF ルー ト 、 ス タ テ ィ ッ ク ルー ト 、 デフ ォ ル ト ゲー ト ウ ェ イ ルー ト 、 お よ び仮想ルー ト を RIP ルー ト に再配 信で き ます。 図 4-1 は、NSF が OSPF ルー ト を RIP ド メ イ ン に再配信す る 様子を示 し てい ます。 OSPF 䊄䊜䉟䊮 䉣䊥䉝 0.0.0.0 100.100.2.1 䊦䊷䉺䊷 1 100.100.2.80 RIP 䊄䊜䉟䊮 ASBR 100.100.3.1 䊦䊷䉺䊷 2 100.100.3.150 Nortel Switched Firewall OSPF 䊦䊷䊃 RIP 䊦䊷䊃 図 4-1 RIP への OSPF ルー ト の再配信 図 4-1 では、 Nortel Switched Firewall は 2 つの ド メ イ ン (OSPF と RIP) 間の ASBR と し て構成 さ れてい ま す。 NSF は 2 つのルー タ ー (OSPF ド メ イ ン内のルー タ ー 1 と RIP ド メ イ ン内のルー タ ー 2) に接続 さ れてい ま す。 OSPF ド メ イ ン か ら RIP ド メ イ ン に OSPF ルー ト を ア ド バ タ イ ズす る には、 NSF が必要です。 こ の例では、 NSF 上に 2 つの IP イ ン タ フ ェース (100.100.2.0/24 上の OSPF ド メ イ ン用 と 100.100.3.0/24 上 の RIP ド メ イ ン用) が必要です。 1. Nortel Switched Firewall のポー ト 1 に接続 さ れた OSPF ド メ イ ン用バ ッ ク ボーン ルー タ ー と の IP イ ン タ フ ェ ース を設定 し ます。 >> # /cfg/net/if 1 >> Interface 1 # addr 100.100.2.1 >> >> >> >> Interface Interface Interface Interface 217014-B-JA, 2005 年 12 月 1 1 1 1 # # # # mask 255.255.255.0 broad 100.100.2.255 ena port/add 1 (IP イ ン タ フ ェ ース 1 用の メ ニ ュ ーを 選択) (バ ッ ク ボーン ネ ッ ト ワー ク上の IP ア ド レ ス を設定) (サブネ ッ ト マス ク を設定) (ブ ロー ド キ ャ ス ト ア ド レ ス を設定) (IP イ ン タ フ ェ ース 1 を有効にする) (ポー ト 1 を イ ン タ フ ェ ース 1 に追加) 第 4 章 : Routing Information Protocol 67 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 2. Nortel Switched Firewall のポー ト 2 に接続 さ れた RIP ド メ イ ン用の IP イ ン タ フ ェ ー ス を設定 し ます。 >> # /cfg/net/if 2 >> Interface 2 # addr 100.100.3.1 >> >> >> >> >> 3. 2 2 2 2 2 # # # # # mask 255.255.255.0 broad 100.100.3.255 vlan 22 ena port/add 2 ポー ト を VLAN に追加 し ます。 >> >> >> >> 4. Interface Interface Interface Interface Interface # /cfg/net/vlan 22 VLAN 22 # ena VLAN 22 # port VLAN 22 Ports # add 2 (OSPF をグローバルに有効にする) VLAN 22 に対 し て RIP を有効に し 、 必要に応 じ て RIP バージ ョ ン を指定 し ます。 >> # /cfg/net/route/rip/vlan 22 >> RIP VLAN 22 # ena 7. (イ ン タ フ ェ ース 1 用に OSPF を有効 にする) OSPF を グ ローバルに有効に し ます。 >> # /cfg/net/route/ospf/ena 6. (VLAN 22 を選択) (VLAN を有効にする) ([Port] メ ニ ュ ーを選択) (ポー ト 2 を VLAN 22 に追加) イ ン タ フ ェ ース 1 に対 し て OSPF を有効に し ます。 >> # /cfg/net/route/ospf/if 1/ena 5. (IP イ ン タ フ ェ ース 2 用の メ ニ ュ ーを 選択) (RIP ド メ イ ン用の IP ア ド レ ス を 指定) (サブネ ッ ト マス ク を設定) (ブ ロー ド キ ャ ス ト ア ド レ ス を設定) (RIP ド メ イ ン用の VLAN を指定) (IP イ ン タ フ ェ ース 2 を有効にする) (ポー ト 2 を イ ン タ フ ェ ース 2 に追加) (VLAN 22 を選択) (VLAN 22 用に RIP を有効にする) RIP を グ ローバルに有効に し ます。 >> # /cfg/net/route/rip/ena (RIP を グローバルに有効にする) ルー タ ー 1 で OSPF を設定 し 、 Nortel Switched Firewall と ルー タ ー 1 の間でルー ト の 送受信がで き る か ど う か を確認 し ま す。 OSPF ルー ト を Nortel Switched Firewall に送 信す る よ う ルー タ ー 1 を設定 し て く だ さ い。次に、ルー タ ー 2 上のルーテ ィ ン グ テー ブル を確認 し ま す。 ルー タ ー 2 は OSPF ルー タ ーではないので、 こ れ ら のルー ト は ルー タ ー 2 にはア ド バ タ イ ズお よ び イ ン ス ト ール さ れていない こ と を確認 し て く だ さ い。 68 第 4 章 : Routing Information Protocol 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 8. OSPF ルー ト を RIP ルー ト に変換する よ う NSF を設定 し ます。 >> # /cfg/net/route/rip/redist/ospf/ena (OSPF ルー ト を RIP に再配信) ルー ト が再配信 さ れた ら 、 受信プ ロ ト コ ルを認識す る メ ト リ ッ ク を定義す る 必要が あ り ます。 再配信 さ れ る ルー ト の メ ト リ ッ ク を変更す る 場合は、 /cfg/net/route/rip/redist/ospf/metric で新 し い メ ト リ ッ ク を入力 し て く だ さ い。 9. 構成の変更を適用 し ます。 >> RIP OSPF Route Redistribution# apply ルー タ ー 2 が OSPF ド メ イ ン か ら のルー ト をすべて認識で き る か ど う か を確認 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 4 章 : Routing Information Protocol 69 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 70 第 4 章 : Routing Information Protocol 217014-B-JA, 2005 年 12 月 第5章 Open Shortest Path First Nortel Switched Firewall 4.4.1 では、 Open Shortest Path First (OSPF) ルーテ ィ ン グ プ ロ ト コ ル を サ ポー ト し て い ま す。 こ の導入は Internet RFC 2328 で詳述 さ れ て い る OSPF バージ ョ ン 2 の仕様に準拠 し た も のです。以降の各セ ク シ ョ ン で、現在の OSPF サポー ト について説明 し ます。 「OSPF の概要」 (72 ページ)。 こ こ では、 OSPF エ リ アの タ イ プ、 ルーテ ィ ン グ デ バ イ ス の タ イ プ、 ネ イ バ、 隣接、 リ ン ク ス テー ト デー タ ベース、 認証、 内部ルー テ ィ ン グ と 外部ルーテ ィ ン グ と い っ た OSPF の さ ま ざ ま な概念について説明 し ま す。 「Nortel Switched Firewall OSPF の導入」 (77 ページ)。 こ こ では、 構成パ ラ メ ー タ 、 指定ルー タ ーの選択、 ルー ト の要約な ど、 OSPF におけ る Nortel Switched Firewall の導入に固有の情報を記載 し ます。 「OSPF の構成例」 (84 ページ)。 こ こ では以下の 5 種類の構成例を挙げて、構成の 手順について説明 し ます。 単純な OSPF ド メ イ ンの作成 仮想 リ ン ク の作成 ルー ト の要約 ルー ト の再配信 GRE ト ン ネル サポー ト の構成 71 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス OSPF の概要 OSPF は、 自律シ ス テ ム (AS) と 呼ばれ る 単一の IP ド メ イ ン内の ト ラ フ ィ ッ ク をルー テ ィ ン グす る こ と を目的 と し てい ます。 AS はエ リ ア と 呼ばれ る 小 さ な論理単位に分 割 さ れ ます。 すべてのルーテ ィ ン グ デバ イ ス は、それぞれの リ ン ク ス テー ト デー タ ベース (LSDB) で リ ン ク 情報を保守 し ます。1 つのエ リ ア内にあ る すべてのルーテ ィ ン グ デバ イ ス の LSDB は同一ですが、 異な る エ リ ア間で交換 さ れ る こ と はあ り ません。 エ リ ア間で交 換 さ れ る のはルーテ ィ ン グ更新のみで あ る ため、 大規模な ダ イ ナ ミ ッ ク ネ ッ ト ワ ー ク 上で も ルーテ ィ ン グ情報を保守す る 際のオーバーヘ ッ ド を大幅に低減で き ます。 以降の各セ ク シ ョ ン で、 OSPF の主な概念について説明 し ます。 OSPF エ リ アの タ イ プ AS はエ リ ア と 呼ばれ る 論理単位に分割で き ます。 複数のエ リ ア を持つど の AS で も 、 1 つのエ リ ア を バ ッ ク ボー ン と 呼ばれ る エ リ ア 0 と し て指定す る 必要が あ り ま す。 バ ッ ク ボーンは OSPF の中心エ リ ア と し て機能 し ます。 AS 内のそれ以外のエ リ アは すべてバ ッ ク ボーンに接続す る 必要があ り ます。 各エ リ アはバ ッ ク ボーンにルーテ ィ ン グ情報の要約を渡 し 、 必要に応 じ てバ ッ ク ボーン か ら 他のエ リ アにその情報が配信 さ れ ます。 図 5-1 (73 ページ) に示す よ う に、 OSPF では以下の タ イ プのエ リ アが定義 さ れてい ます。 ス タ ブ エ リ ア - 他の 1 つのエ リ アにのみ接続 さ れ る エ リ アです。 ス タ ブ エ リ ア には外部ルー ト 情報は配信 さ れ ません。 Not-So-Stubby-Area (NSSA) - ス タ ブ エ リ ア と 似てい ますが追加機能があ り 、 NSSA 内か ら 発す る ルー ト を、 隣接す る ト ラ ン ジ ッ ト エ リ ア と バ ッ ク ボーン エ リ アに配信で き ます。 AS の外か ら 発す る 外部ルー ト は NSSA 内にア ド バ タ イ ズ で き ますが、 他のエ リ アには配信 さ れ ません。 72 第 5 章 : Open Shortest Path First 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ト ラ ン ジ ッ ト エ リ ア - エ リ アの要約情報をルーテ ィ ン グ デバ イ ス間で交換で き る エ リ アです。 バ ッ ク ボーン (エ リ ア 0)、 2 つのエ リ ア を接続す る 仮想 リ ン ク が 含ま れたエ リ ア、お よ びス タ ブ エ リ ア ま たは NSSA 以外のエ リ アはすべて ト ラ ン ジ ッ ト エ リ ア と みな さ れます。 䊋䉾䉪䊗䊷䊮 䉣䊥䉝 0 䋨หᤨ䈮䊃䊤䊮䉳䉾䊃㩷䉣䊥䉝䋩 ABR ABR ABR ౝㇱ LSA 䊦䊷䊃 䉴䉺䊑㩷䉣䊥䉝 NSSA 䊋䉾䉪䊗䊷䊮䈎䉌䈱 ᄖㇱ䊦䊷䊃䈭䈚 㧔Not-So-Stubby Area㧕 䊃䊤䊮䉳䉾䊃㩷 䉣䊥䉝 ᗐ 䊥䊮䉪 ABR ᄖㇱ LSA 䊦䊷䊃 ASBR 㕖 OSPF 䉣䊥䉝 RIP/BGP AS ABR 䋽䉣䊥䉝Ⴚ⇇䊦䊷䉺䊷 ASBR 䋽⥄ᓞ䉲䉴䊁䊛Ⴚ⇇ 㩷㩷㩷㩷㩷㩷㩷㩷㩷㩷㩷㩷㩷䊦䊷䉺䊷 䉴䉺䊑㩷䉣䊥䉝䇮NSSA䇮䉁䈢䈲 䊃䊤䊮䉳䉾䊃㩷䉣䊥䉝 ᗐ䊥䊮䉪⚻↱䈪 䊋䉾䉪䊗䊷䊮䈮ធ⛯ 図 5-1 OSPF エ リ アの タ イ プ OSPF ルーテ ィ ング デバイ スの タ イ プ 図 5-2 (74 ページ) に示す よ う に、 OSPF では以下の タ イ プのルーテ ィ ン グ デバ イ ス を使用 し ます。 内部ルー タ ー (IR) - 同一エ リ ア内の イ ン タ フ ェ ース をすべて備え たルー タ ーで す。 IR は、 ロ ーカル エ リ ア内の他のルーテ ィ ン グ デバ イ ス と 同 じ LSDB を保守 し ます。 エ リ ア境界ルー タ ー(ABR) - 複数のエ リ ア内の イ ン タ フ ェース を備え たルー タ ー です。 ABR は接続 さ れた エ リ ア ご と に 1 つの LSDB を保守 し 、 エ リ ア間でルー テ ィ ン グ情報を配信 し ます。 217014-B-JA, 2005 年 12 月 第 5 章 : Open Shortest Path First 73 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 自律シ ス テ ム境界ルー タ ー (ASBR) - OSPF ド メ イ ン と 非 OSPF ド メ イ ン (RIP、 BGP、ス タ テ ィ ッ ク ルー ト な ど)間のゲー ト ウ ェ イ と し て機能す る ルー タ ーです。 OSPF ⥄ᓞ䉲䉴䊁䊛 䊋䉾䉪䊗䊷䊮㩷 䉣䊥䉝 0 BGP ᄖㇱ䊦䊷䊃 䉣䊥䉝 3 䉣䊥䉝㑆䊦䊷䊃 䋨䉰䊙䊥㩷䊦䊷䊃䋩 ASBR RIP ABR ASBR 䉣䊥䉝 1 ABR ABR ౝㇱ 䊦䊷䉺䊷 䉣䊥䉝 2 図 5-2 OSPF ド メ イ ン と 自律シ ス テム ネ イバ と 隣接 2 つ以上のルーテ ィ ン グ デバ イ ス を持つエ リ アでは、 ネ イバ と 隣接が形成 さ れます。 ネ イ バ と は、 互いの保全状態に関す る 情報を保守す る ルーテ ィ ン グ デバ イ ス の こ と です。 ネ イ バ関係を確立す る ために、 ルーテ ィ ン グ デバ イ ス 同士は定期的に各 イ ン タ フ ェ ース上に hello パケ ッ ト を送信 し ます。 共通のネ ッ ト ワ ー ク セグ メ ン ト を共有 し 、 同 じ エ リ ア内に存在 し 、 同 じ ヘル ス パ ラ メ ー タ (hello 間隔お よ び dead 間隔) と 認証パ ラ メ ー タ を持つルーテ ィ ン グ デバ イ ス はすべて、 互いの hello パケ ッ ト に応 答 し て ネ イ バにな り ま す。 ネ イ バは定期的に hello パケ ッ ト を送信 し 続け る こ と で、 それぞれの保全状態を他のネ イ バにア ド バ タ イ ズ し ます。ま た、ネ イ バは hello パケ ッ ト を リ ス ニ ン グす る こ と で、 他のネ イ バの保全状態を判断 し た り 、 新 し いネ イ バ と の 接点を確立 し た り し ます。 隣接 と は、 OSPF デー タ ベース情報を交換す る ネ イ バを言い ます。 デー タ ベース交換 の数を制限す る ため、 1 つのエ リ ア (IP ネ ッ ト ワー ク ) 内の一部のネ イ バだけが互い に隣接関係に な る こ と がで き ま す。 hello プ ロ セ ス は、 エ リ ア の指定ルー タ ー (DR) と な る ネ イ バ と 、 エ リ アのバ ッ ク ア ッ プ指定ルー タ ー (BDR) と な る ネ イ バを選択す る ために使用 さ れます。 DR は他のすべてのネ イ バ と 隣接関係にあ り 、 デー タ ベー ス交換用の中央の接点 と し て機能 し ます。 各ネ イ バはデー タ ベー ス 情報を DR に送信 し 、 DR か ら その情報が他 のネ イ バに リ レー さ れ ます。 障害が発生 し た場合は新 し い DR を 確立す る ためのオーバーヘ ッ ド が必要に な る た め、 hello プ ロ セ ス ではバ ッ ク ア ッ プ指定ルー タ ー (BDR) も 選択 さ れ ま す。 BDR は (DR を含む) 他のすべてのネ イ バ と 隣接関係にあ り ます。 DR の場合 と 同様、 各ネ イ バはデー タ ベース情報を BDR に送信 し ますが、 BDR は こ のデー タ を単に格納す る だ けで配信は行い ません。 DR に障害が発生す る と 、 デー タ ベース 情報を他のネ イ バに 配信す る タ ス ク を BDR が引 き 継ぎ ます。 74 第 5 章 : Open Shortest Path First 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス リ ン ク ス テー ト デー タ ベース OSPF は リ ン ク ス テー ト ルーテ ィ ン グ プ ロ ト コ ルです。 リ ン ク と は、 ルーテ ィ ン グ デバ イ ス か ら の イ ン タ フ ェース (ま たはルー ト 可能パ ス) を表 し ます。 OSPF エ リ ア 内の各ルーテ ィ ン グ デバ イ ス は、 DR と の隣接関係を確立す る こ と に よ り 、 そのエ リ ア の ネ ッ ト ワ ー ク ト ポ ロ ジ ー を 記 述 し た 同 一 の リ ン ク ス テ ー ト デー タ ベ ー ス (LSDB) を保守 し ます。 各ルーテ ィ ン グ デバ イ ス は、 各 イ ン タ フ ェ ー ス上に リ ン ク ス テー ト ア ド バ タ イ ズ メ ン ト (LSA) を 送信 し ま す。 LSA は各ルーテ ィ ン グ デバ イ ス の LSDB に入 り ま す。 OSPF では、 フ ラ ッ デ ィ ン グ を利用 し てルーテ ィ ン グ デバ イ ス 間で LSA を配信 し ま す。 LSA に よ っ てルーテ ィ ン グ デバ イ ス の LSDB に変更が加え ら れ る と 、 ルーテ ィ ン グ デバ イ ス はその変更内容を他のネ イ バに配信す る ために隣接ネ イ バ (DR と BDR) に 転送 し ます。 OSPF のルーテ ィ ン グ更新は、定期的ではな く 変更が発生 し た と き にのみ行われます。 新 し い各ルー ト につい ては、 そのルー ト に隣接関係が あ る 場合に (た と えば、 ス タ テ ィ ッ ク ルー ト を受信す る よ う 構成 さ れていて、 新 し いルー ト が実際に ス タ テ ィ ッ ク であ る 場合な ど) 、 その新 し いルー ト が含まれた更新 メ ッ セージが隣接に送信 さ れ ま す。 ルーテ ィ ン グ テーブルか ら 削除 さ れた各ルー ト については、 そのルー ト がす でに隣接に送信 さ れてい る 場合に、 取 り 消すルー ト が含まれた更新 メ ッ セージが送信 さ れ ます。 Shortest Path First ツ リ ー ルーテ ィ ン グ デバ イ ス は リ ン ク ス テー ト アルゴ リ ズ ム (Dijkstra のアルゴ リ ズ ム) を 使用 し て、 宛先に到達す る のに必要な累積 コ ス ト を基に、 既知の全宛先ま での最短パ ス を計算 し ます。 OSPF におけ る 各 イ ン タ フ ェース の コ ス ト は、 その イ ン タ フ ェ ース を介 し てパケ ッ ト を送信す る のに必要なオーバーヘ ッ ド を示 し てい ます。 こ の コ ス ト は イ ン タ フ ェ ース の帯域幅に反比例 し 、 コ ス ト が低いほ ど帯域幅が高 く な り ます。 217014-B-JA, 2005 年 12 月 第 5 章 : Open Shortest Path First 75 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 認証 OSPF ではパケ ッ ト 認証 も 可能で、パケ ッ ト の送受信時には IP マルチキ ャ ス ト を使用 し ます。 こ れに よ り 、 OSPF パケ ッ ト を リ ス ニ ン グ し ないルーテ ィ ン グ デバ イ ス に対 す る 処理が少な く な り ます。 内部ルーテ ィ ング と 外部ルーテ ィ ング ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク を効率的に処理す る ためには、 ネ ッ ト ワ ー ク 上の各ルー テ ィ ン グ デバ イ ス が、 ネ ッ ト ワー ク 上の他の ロ ケーシ ョ ン / 宛先にパケ ッ ト を (直 接的ま たは間接的に) 送信す る 方法を認識 し てい る 必要があ り ます。 こ れを内部ルー テ ィ ン グ と 言い ます。 内部ルーテ ィ ン グは ス タ テ ィ ッ ク ルー ト と と も に実行す る か、 ア ク テ ィ ブな内部ルーテ ィ ン グ プ ロ ト コ ル (OSPF、 RIP、 RIPv2 な ど) を使用 し て実 行す る こ と がで き ます。 ま た、 内部ルーテ ィ ン グ を利用 し て、 ネ ッ ト ワ ー ク 外のルー タ ー (ア ッ プ ス ト リ ーム プ ロ バ イ ダ ま たはピ ア) にネ ッ ト ワー ク 内のア ク セ ス先ルー ト について通知す る こ と も 可能です。 自律シ ス テ ム間でルーテ ィ ン グ情報を共有す る こ と を外部ルーテ ィ ン グ と 呼びます。 一般に、 1 つの AS は 1 つ以上の境界ルー タ ー (他の OSPF ネ ッ ト ワー ク と ルー ト を 交換す る ピ ア ルー タ ー) と 、AS 内の各ルー タ ーがその AS 内の他のすべてのルー タ ー と 宛先に到達で き る よ う にす る 内部ルーテ ィ ン グ シ ス テ ム を備え てい ます。 ルーテ ィ ン グ デバ イ ス が他の自律シ ス テ ム上の境界ルー タ ーにルー ト を ア ド バ タ イ ズす る と き には、 ア ド バ タ イ ズす る ルー ト 内の IP ス ペー ス にデー タ を効率的に搬送 し ま す。 た と えば、 ルーテ ィ ン グ デバ イ ス が 192.204.4.0/24 を ア ド バ タ イ ズす る 際 に、 こ のデバ イ ス は、 別のルー タ ーが 192.204.4.0/24 の範囲内のア ド レ ス を宛先 と す る デー タ を 送信す る 場合にそのデー タ を 当該宛先に搬送す る こ と を宣言す る こ と に な り ます。 76 第 5 章 : Open Shortest Path First 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Nortel Switched Firewall OSPF の導入 以下の各セ ク シ ョ ン で、 NSF 4.4.1 ソ フ ト ウ ェ アにおけ る OSPF の導入に固有の問題 について説明 し ます。 設定可能なパ ラ メ ー タ 「エ リ アの定義」 (78 ページ) 「イ ン タ フ ェ ース コ ス ト 」 (80 ページ) 「指定ルー タ ー と バ ッ ク ア ッ プの選択」 (80 ページ) 「ルー ト の要約」 (80 ページ) 「仮想 リ ン ク」 (81 ページ) 「ルー タ ー ID」 (81 ページ) 「認証」 (82 ページ) 「GRE ト ン ネルのサポー ト 」 (83 ページ) 「OSPF ルー ト マ ッ プ」 (83 ページ) 「 こ の リ リ ースでサポー ト さ れない OSPF 機能」 (83 ページ) 設定可能なパラ メ ー タ Nortel Switched Firewall 4.4.1 では、 コ マ ン ド ラ イ ン イ ン タ フ ェース (CLI) ま たはブ ラ ウ ザベース イ ン タ フ ェース (BBI) を使用 し て OSPF パ ラ メ ー タ を設定で き ます。 CLI では、 イ ン タ フ ェ ース出力 コ ス ト 、 イ ン タ フ ェ ース優先度、 dead 間隔 と hello 間 隔、 再送間隔、 イ ン タ フ ェース送信遅延の各パ ラ メ ー タ をサポー ト し てい ます。 さ ら に、 以下の指定 も 可能です。 Shortest Path First (SPF) 間隔 - Dijkstra のアルゴ リ ズ ム を使用 し て最短パ ス ツ リ ーを計算す る 時間間隔を指定で き ます。 ス タ ブ エ リ ア メ ト リ ッ ク - 数値 メ ト リ ッ ク を送信す る よ う ス タ ブ エ リ ア を設定 し て、 その ス タ ブ エ リ ア を介 し て受信 さ れ る すべてのルー ト が、 ルーテ ィ ン グ決 定に影響を与え る 可能性のあ る 設定済み メ ト リ ッ ク を伝送で き る よ う に し ます。 217014-B-JA, 2005 年 12 月 第 5 章 : Open Shortest Path First 77 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス エ リ アの定義 OSPF ド メ イ ン内で複数のエ リ ア を構成す る 場合は、 いずれかのエ リ ア をバ ッ ク ボー ン と 呼ばれ る エ リ ア 0 と し て指定す る 必要が あ り ま す。 バ ッ ク ボーン は中心 と な る OSPF エ リ アで、 通常は他のすべてのエ リ アに物理的に接続 さ れてい ます。 各エ リ ア はバ ッ ク ボーン にルーテ ィ ン グ情報を渡 し 、 バ ッ ク ボーン か ら 他のエ リ アにその情報 が配信 さ れ ます。 バ ッ ク ボーンはネ ッ ト ワー ク 内のすべてのエ リ アに接続す る ため、 隣接エ リ アでなけ ればな り ません。 (おそ ら く 別個の OSPF ネ ッ ト ワ ー ク を結合 し た結果 と し て) バ ッ ク ボーン がパーテ ィ シ ョ ン分割 さ れてい る 場合は、 AS の各部分が到達不能 と な る た め、 仮想 リ ン ク を構成 し てパーテ ィ シ ョ ン分割 さ れたエ リ ア を再接続す る 必要があ り ます (「仮想 リ ン ク」 (81 ページ) を参照)。 1 つの Nortel Switched Firewall ク ラ ス タ には最大 16 の OSPF エ リ ア を接続で き ます。 エ リ ア を構成す る には、 OSPF 番号を定義 し た後、 Nortel Switched Firewall 上のネ ッ ト ワ ー ク イ ン タ フ ェ ー ス に関連付け る 必要があ り ま す。 以降の各セ ク シ ョ ン で、 詳細 なプ ロ セ ス について説明 し ます。 OSPF エ リ ア を定義す る には、 エ リ ア イ ンデ ッ ク ス と エ リ ア ID の 2 つの情報を割 り 当て ます。 OSPF エ リ ア を定義す る コ マ ン ド は以下の と お り です。 >> # /cfg/net/route/ospf/aindex < エ リ ア イ ンデ ッ ク ス >/id < エ リ ア ID 番号 > 注 - 上記の例の aindex オプシ ョ ンは Nortel Switched Firewall でのみ使用 さ れ る 任意 の イ ンデ ッ ク ス であ り 、 実際の OSPF エ リ ア番号を表す も のではあ り ません。 実際の OSPF エ リ ア番号は、次のセ ク シ ョ ン で説明す る コ マ ン ド の id 部分で定義 さ れ ます。 エ リ ア イ ンデ ッ ク スの割 り 当て aindex < エ リ ア イ ンデ ッ ク ス > オプシ ョ ンは、Nortel Switched Firewall でのみ使用 さ れ る 任意の イ ンデ ッ ク ス (1 ~ 16) にすぎ ません。 こ の イ ンデ ッ ク ス は必ず し も OSPF エ リ ア番号を表す も のではあ り ません。 た と えば、 以下の コ マ ン ド は OSPF エ リ ア 1 を定義 し ます。 任意のエ リ ア イ ンデ ッ ク ス と エ リ ア ID が一致 し な く て も 、こ の情報が コ マ ン ド のエ リ ア ID 部分に入っ てい る ためです。 >> # /cfg/net/route/ospf/aindex 2/id 0.0.0.1 (イ ンデ ッ ク ス 2 を使用 し て エ リ ア 1 を設定) 注 - バ ッ ク ボーン エ リ ア 0 は、id 0.0.0.0 で ト ラ ン ジ ッ ト エ リ ア と し て自動的に 設定 さ れ ます。 78 第 5 章 : Open Shortest Path First 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス エ リ ア ID によ る OSPF エ リ ア番号の割 り 当て OSPF エ リ ア番号は、id <IP ア ド レ ス > オプシ ョ ン で定義 さ れます。OSPF ネ ッ ト ワー ク ベン ダで使用 さ れ る 2 種類の表記法に対応で き る よ う に、 オ ク テ ッ ト 形式が使用 さ れてい ます。 エ リ ア ID を指定す る には以下の 2 と お り の方法が有効です。 最後のオ ク テ ッ ト にエ リ ア番号を指定 (0.0.0.n) 一般的な OSPF ベン ダの多 く は、エ リ ア ID 番号を 1 つの番号で表 し てい ます。た と えば、 Cisco IOS ベー ス のルー タ ー コ マ ン ド 「network 1.1.1.0 0.0.0.255 area 1」 はエ リ ア番号 を 単に 「area 1」 で定義 し ま す。 Nortel Switched Firewall では、 エ リ ア ID 「area 1」 に最後のオ ク テ ッ ト を使用す る こ と と 「id 0.0.0.1」 は同 じ です。 マルチオ ク テ ッ ト (IP ア ド レ ス) エ リ ア ID 番号を マルチオ ク テ ッ ト 形式で表す OSPF ベン ダ も あ り ま す。 た と え ば、 「area 2.2.2.2」 は OSPF エ リ ア 2 を 表 し 、 Nortel Switched Firewall 上 で 「id 2.2.2.2」 と し て直接指定で き ます。 注 - 上記のエ リ ア ID 形式は ど ち ら も サポー ト さ れてい ますが、 1 つのエ リ ア全体で エ リ ア ID 形式を統一す る よ う に し て く だ さ い。 エ リ ア と ネ ッ ト ワー ク の関連付け OSPF エ リ ア を定義 し た ら 、 それを ネ ッ ト ワー ク と 関連付け る 必要があ り ます。 エ リ ア を ネ ッ ト ワ ー ク に関連付け る には、 そのエ リ アに参加 し てい る IP イ ン タ フ ェ ー ス に OSPF エ リ ア イ ンデ ッ ク ス を割 り 当て る 必要があ り ま す。 コ マ ン ド 形式は以下の と お り です。 >> # /cfg/net/route/ospf/if < イ ン タ フ ェ ース番号 >/aindex < エ リ ア イ ンデ ッ ク ス > た と えば、 IP イ ン タ フ ェ ー ス 14 が 10.10.10.1/24 ネ ッ ト ワ ー ク に存在す る よ う 設定 し 、Nortel Switched Firewall 上で イ ンデ ッ ク ス 2 を使用 し て OSPF エ リ ア 1 を定義 し 、 こ のエ リ ア を ネ ッ ト ワ ー ク に関連付け る には、 以下の コ マ ン ド を使用 し ます。 (IP イ ン タ フ ェ ース 14 用の メ ニ ュ ー を選択) Interface 14# addr 10.10.10.1 (バ ッ ク ボーン上の IP ア ド レ ス を 定義) Interface 14# ena (IP イ ン タ フ ェ ース 14 を有効に する) Interface 14# ../route/ospf/aindex 2 (エ リ ア イ ンデ ッ ク ス 2 用の を選択) OSPF Area Index 2 # id 0.0.0.1 (エ リ ア ID を OSPF エ リ ア 1 と し て 定義) OSPF Area Index 2 # ena (エ リ ア イ ンデ ッ ク ス 2 を有効に する) OSPF Area Index 2 # ../if 14 (イ ン タ フ ェ ース 14 用の OSPF メ ニ ュ ーを選択) OSPF Interface 14# aindex 2 (エ リ ア を ネ ッ ト ワー ク イ ン タ フ ェ ース 14 に関連付け) OSPF Interface 14# ena (エ リ ア イ ンデ ッ ク ス 2 に対 し て イ ン タ フ ェ ース 14 を有効にする) >> # /cfg/net/if 14 >> >> >> >> >> >> >> >> 217014-B-JA, 2005 年 12 月 第 5 章 : Open Shortest Path First 79 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス イ ン タ フ ェ ース コ ス ト OSPF リ ン ク ス テー ト アルゴ リ ズ ム (Dijkstra のアルゴ リ ズ ム) では、 各ルーテ ィ ン グ デバ イ ス を ツ リ ーのルー ト に置 き 、 各宛先に到達す る のに必要な累積 コ ス ト を判 断 し ます。 通常、 こ の コ ス ト は イ ン タ フ ェース の帯域幅に反比例 し 、 コ ス ト が低いほ ど帯域幅が高 く な り ます。 出力ルー ト の コ ス ト を手動で入力す る には、 以下の コ マ ン ド を使用 し ます。 >> # /cfg/net/route/ospf/if < イ ン タ フ ェ ース番号 > >> # cost < コ ス ト 値 (1 ~ 65535) > 指定ルー タ ー と バ ッ ク ア ッ プの選択 3 つ以上のルーテ ィ ン グ デバ イ ス を持つエ リ アでは、ネ イ バ間でのデー タ ベース交換 の中心接点 と し て指定ルー タ ー (DR) が選択 さ れ、 DR に障害が発生 し た場合に備え てバ ッ ク ア ッ プ指定ルー タ ー (BDR) が選択 さ れ ます。 DR と BDR の選択は hello プ ロ セ ス に よ っ て行われ ます。 OSPF イ ン タ フ ェ ー ス に優 先度値を割 り 当て る こ と で、 こ の選択に影響を与え る こ と がで き ます。 コ マ ン ド は以 下の と お り です。 >> # /cfg/net/route/ospf/if < イ ン タ フ ェ ース番号 > >> # prio < 優先度値 (0 ~ 255) > 優先度値 255 が最 も 高 く 、 1 が最 も 低 く な り ます。 優先度値 0 は、 その イ ン タ フ ェー ス を DR と BDR の ど ち ら に も 使用で き な い こ と を 示 し ま す。 優先度が同 じ 場合は、 ルー タ ー ID が高い方のルーテ ィ ン グ デバ イ ス が優先 さ れ ます。 ルー ト の要約 ルー ト の要約 と は、 ルーテ ィ ン グ情報を要約 し た も の (サマ リ ルー ト ) です。 サマ リ ルー ト が定義 さ れていない場合、 OSPF ネ ッ ト ワ ー ク 内の各ルーテ ィ ン グ デバ イ ス では、 そのネ ッ ト ワ ー ク 内の各サブネ ッ ト へのルー ト が保持 さ れ ます。 サマ リ ルー ト の要約が定義 さ れてい る と 、 ルーテ ィ ン グ デバ イ ス ではい く つかのルー ト を単一 のア ド バ タ イ ジ ン グ に ま と め る こ と がで き ま す。 それに よ っ て、 ルーテ ィ ン グ デバ イ ス の負荷が軽減 さ れ、 ネ ッ ト ワー ク の複雑 さ が緩和 さ れ ます。 ネ ッ ト ワ ー ク の規模 が大 き く な る ほ ど、 サマ リ ルー ト の定義が重要にな り ます。 サマ リ ルー ト は最大 256 の IP ア ド レ ス範囲に対 し て定義で き 、 定義には以下の コ マ ン ド を使用 し ます。 >> # /cfg/net/route/ospf/range < 範囲番号 > >> # addr <IP ア ド レ ス >/mask < サブネ ッ ト マス ク > こ こ で、 範囲番号には 1 ~ 256 の数値、 IP ア ド レ スには こ の範囲の基本 IP ア ド レ ス、 サブネ ッ ト マ ス ク には こ の範囲の IP ア ド レ ス マ ス ク が入 り ます。詳 し い構成例につ いては、 「例 3 : ルー ト の要約」 (91 ページ) を参照 し て く だ さ い。 80 第 5 章 : Open Shortest Path First 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 仮想 リ ン ク 一般に、 OSPF AS 内のエ リ アはすべて物理的にバ ッ ク ボーン に接続 さ れてい ます。 こ れが不可能な場合には、 仮想 リ ン ク を使用で き ます。 仮想 リ ン ク は、 あ る エ リ アか ら 別の非バ ッ ク ボーン エ リ ア を通っ てバ ッ ク ボーン に接続す る 際に作成 し ます (図 51 (73 ページ) を参照)。 仮想 リ ン ク が含 ま れたエ リ アは ト ラ ン ジ ッ ト エ リ ア と な り 、 完全なルーテ ィ ン グ情 報を持つ必要があ り ます。ス タ ブ エ リ ア ま たは NSSA 内に仮想 リ ン ク を設定す る こ と はで き ません。 以下の コ マ ン ド を使用 し て、 エ リ ア タ イ プ を transit と し て定義す る 必要があ り ます。 >> # /cfg/net/route/ospf/aindex < エ リ ア イ ンデ ッ ク ス > >> # type transit 仮想 リ ン ク は、 その仮想 リ ン ク の各エ ン ド ポ イ ン ト にあ る ルーテ ィ ン グ デバ イ ス上 で設定す る 必要があ り ま すが、 複数のルーテ ィ ン グ デバ イ ス を経由 さ せ る こ と も で き ます。 仮想 リ ン ク の一方のエ ン ド ポ イ ン ト と し て Nortel Switched Firewall を設定す る には、 以下の コ マ ン ド を使用 し ます。 >> # /cfg/net/route/ospf/virt < リ ン ク 番号 > >> # aindex < エ リ ア イ ンデ ッ ク ス > >> # nbr < ルー タ ー ID> こ こ で、 リ ン ク番号には 1 ~ 64 の間の数値、 エ リ ア イ ンデ ッ ク スには ト ラ ン ジ ッ ト エ リ アの OSPF エ リ ア イ ンデ ッ ク ス、ルー タ ー ID には タ ーゲ ッ ト エ ン ド ポ イ ン ト の ルーテ ィ ン グ デバ イ ス であ る 仮想ネ イ バ (nbr) のルー タ ー ID が入 り ます。 も う 一方 の方向に仮想 リ ン ク を設定す る 場合は、 別のルー タ ー ID が必要です。 Nortel Switched Firewall にルー タ ー ID を指定す る には、 「ルー タ ー ID」 セ ク シ ョ ンの構成例を参照 し て く だ さ い。 詳 し い構成例については、 「例 2 : 仮想 リ ン ク」 (86 ページ) を参照 し て く だ さ い。 ルー タ ー ID OSPF エ リ ア内のルーテ ィ ン グ デバ イ ス はルー タ ー ID に よ っ て識別 さ れ ます。 ルー タ ー ID は IP ア ド レ ス形式で表 さ れます。 ルー タ ー ID の IP ア ド レ ス が任意の IP イ ン タ フ ェ ース範囲ま たは任意の OSPF エ リ アに含まれてい る 必要はあ り ません。 ルー タ ー ID の設定には、 以下の 2 と お り の方法があ り ます。 ス タ テ ィ ッ ク 構成 - 以下の コ マ ン ド を使用 し て、 ルー タ ー ID を手動で設定 し ま す。 >> # /cfg/net/route/ospf/rtrid <IP ア ド レ ス > 217014-B-JA, 2005 年 12 月 第 5 章 : Open Shortest Path First 81 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ダ イ ナ ミ ッ ク 構成 - OSPF プ ロ ト コ ルに よ り 、IP イ ン タ フ ェース の最下位の IP ア ド レ ス がルー タ ー ID と し て設定 さ れ ま す。 こ れがデフ ォ ル ト です。 ス タ テ ィ ッ ク 構成で設定 し た後でダ イ ナ ミ ッ ク ルー タ ー ID を使用す る には、ルー タ ー ID を 0.0.0.0 に設定 し ます。 その後、 OSPF を無効に し てか ら 、 再度 OSPF を有効に し ます。 認証 信頼 さ れ る デバ イ ス のみが参加で き る よ う に、 OSPF プ ロ ト コ ル交換に対 し ては認証 が行われます。 Nortel Switched Firewall 4.4.1 では、 同一のエ リ ア内で近隣関係にあ る 複数のルーテ ィ ン グ デバ イ ス間で、 簡易認証 (プ レーン テ キ ス ト のパ ス ワ ー ド ベー ス) お よ び MD5 に よ る 堅牢認証 (暗号化 さ れたデー タ と パ ス ワー ド ベース) を行 う こ と がで き ます。 単純認証 OSPF 単純パ ス ワー ド は、 定義 さ れ る イ ン タ フ ェ ース と 仮想 リ ン ク ご と に個々に設定 さ れ、 有効にな り ます。 テ キ ス ト 形式のパ ス ワー ド に使用で き る 文字数は最大 8 文字 です。 イ ン タ フ ェース に対 し 、 以下の CLI コ マ ン ド を使用で き ます。 >> # /cfg/net/route/ospf/if < イ ン タ フ ェ ース番号 >(OSPF イ ン タ フ ェ ース を選択) >> OSPF Interface# auth password|none (単純認証のオン / オ フ を設定) >> OSPF Interface# key < パスワー ド > (テキス ト 形式パスワー ド を設定) 仮想 リ ン ク に対 し 、 以下の CLI コ マ ン ド を使用で き ます。 >> # /cfg/net/route/ospf/virt < リ ン ク 番号 > (OSPF 仮想 リ ン ク を選択) >> OSPF Virtual Link# auth password|none (単純認証のオン / オ フ を設定) >> OSPF Virtual Link# key < パスワー ド > (テキス ト 形式パスワー ド を設定) MD5 認証 OSPF MD5 パ ス ワー ド では、 デー タ と パ ス ワー ド を保護す る 堅牢な暗号方式を使用 し ます。 セ キ ュ リ テ ィ を維持す る ため、MD5 パ ス ワー ド は頻繁に変更す る こ と をお勧め し ます。 MD5 パ ス ワー ド は、 定義 さ れ る イ ン タ フ ェ ース と 仮想 リ ン ク ご と に個々に設定 さ れ、 有効にな り ます。 MD5 パ ス ワー ド はキー ID (1 ~ 255) と と も に定義 さ れ ます。 パ ス ワ ー ド に使用で き る 文字数は最大 16 文字です。 イ ン タ フ ェース に対 し 、 以下の CLI コ マ ン ド を使用で き ます。 >> # /cfg/net/route/ospf/if < イ ン タ フ ェ ース番号 >(OSPF イ ン タ フ ェ ース を選択) >> OSPF Interface# auth md5|none (MD5 のオン / オ フ を設定) >> OSPF Interface# md5key < キー > (MD5 パスワー ド を設定) 82 第 5 章 : Open Shortest Path First 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 同様に仮想 リ ン ク に対 し 、 以下の CLI コ マ ン ド を使用で き ます。 >> # /cfg/net/route/ospf/virt < リ ン ク番号 > >> OSPF Virtual Link# auth md5|none >> OSPF Virtual Link# md5key < キー > (仮想 リ ン ク を選択) (MD5 のオン / オ フ を設定) (MD5 パスワー ド を設定) GRE ト ン ネルのサポー ト NSF 4.4.1 では、 すべての Firewall Director で Generic Routing Encapsulation (GRE) を サポー ト し てい ます。 GRE はポ イ ン ト ツーポ イ ン ト ト ン ネ リ ン グ プ ロ ト コ ルで、 あ る ネ ッ ト ワ ー ク シ ス テ ム か ら 受け取っ たパケ ッ ト を ピ ア ツーピ ア構成の別のネ ッ ト ワ ー ク シ ス テ ム か ら 来た フ レームに入れ ます。 一般に、 GRE は IP バ ッ ク ボーン経由 で従来の レ イ ヤ 3 プ ロ ト コ ルを伝送す る 際に使用 さ れ ます。 こ の リ リ ー ス の NSF で は、 GRE over OSPF のみサポー ト さ れてい ます。 OSPF ネ ッ ト ワ ー ク 上では、 最大 5 つの GRE ト ン ネル を構成で き ま す。 GRE-OSPF パケ ッ ト はすべて管理 IP ア ド レ ス (MIP) に転送 さ れ ます。 GRE パケ ッ ト が IPSec の 場合は、 IPSec-GRE-OSPF 暗号化パケ ッ ト が Check Point ソ フ ト ウ ェ アに よ っ て解読 さ れた後、 GRE に よ っ て MIP に転送 さ れます。 こ の リ リ ー ス では、 CLI を使用 し て GRE ス タ テ ィ ッ ク ルー ト を ユ ニ キ ャ ス ト ルー テ ィ ン グ テーブルに配信す る こ と はで き ま せん。 ま た、 GRE ループバ ッ ク イ ン タ フ ェース も サポー ト さ れてい ません。 OSPF ルー ト マ ッ プ OSPF ルー ト マ ッ プは、 OSPF と 他のプ ロ ト コ ル間のルー ト (RIP、 ス タ テ ィ ッ ク 、 OSPF、 接続な ど) の再配信を制御 し ます。 ルー ト マ ッ プ を使用す る と 、 あ ら か じ め 設定 し た論理条件に基づいたルーテ ィ ン グ ポ リ シーを柔軟に実行す る こ と がで き ま す。 ルー ト マ ッ プの論理条件は、 ア ク セ ス リ ス ト (/cfg/net/route/rmap/alist) に基 づいてプ ロ グ ラ ミ ン グ さ れ ます。 こ れに よ り 、 所定の IP ア ド レ ス と ネ ッ ト マ ス ク の ペア を permit ま たは deny のいずれかに設定す る こ と がで き ます。 ルー ト マ ッ プ のア ク セ ス リ ス ト の詳細については、 「[RMAP Access List Menu]」 (377 ページ) を参 照 し て く だ さ い。 NSF 4.1.1 では 10 種類のルー ト マ ッ プを使用で き ます。各ルー ト マ ッ プには最大で 25 の ア ク セ ス リ ス ト を設定で き ます。 デフ ォ ル ト では、 ルー ト マ ッ プ 0 は OSPF 再配信オプ シ ョ ン に割 り 当て ら れてい ま す。 OSPF 下の再配信 メ ニ ュ ー (cfg/net/route/ospf/redist) では、 グ ロ ーバル構成 さ れたルー ト マ ッ プのいずれかを使用 し てルーテ ィ ン グ ポ リ シー を実行 し ます。 詳細については、 「[Route Redistribution Menu]」 (404 ページ) を参照 し て く だ さ い。 こ の リ リ ースでサポー ト さ れない OSPF 機能 等 コ ス ト ルー ト の ロ ー ド バ ラ ン シ ン グ。 ト ラ フ ィ ッ ク 転送中に、 最初に設定 さ れた 等 コ ス ト ルー ト が削除 さ れた場合は、 ラ イ ン内で次のルー ト が選択 さ れ ます。 217014-B-JA, 2005 年 12 月 第 5 章 : Open Shortest Path First 83 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス OSPF の構成例 こ こ では、 Nortel Switched Firewall 上で OSPF を構成す る ための基本 ス テ ッ プの概要 について説明 し ます。各ス テ ッ プの詳 し い説明は、以降の各セ ク シ ョ ンに記載 し ます。 1. IP イ ン タ フ ェ ース を設定 し ます。 Nortel Switched Firewall 上の OSPF エ リ ア に割 り 当て ら れてい る 各ネ ッ ト ワ ー ク (IP ア ド レ ス の範囲) に対 し て 1 つの IP イ ン タ フ ェース が必要です。 2. (オプ シ ョ ン) ルー タ ー ID を設定 し ます。 ルー タ ー ID は、 仮想 リ ン ク を構成す る 際に必要 と な り ます。 3. Nortel Switched Firewall 上で OSPF を有効に し ます。 4. OSPF エ リ ア を定義 し ます。 5. OSPF イ ン タ フ ェ ースのパラ メ ー タ を設定 し ます。 IP イ ン タ フ ェース は、ネ ッ ト ワー ク を さ ま ざ ま なエ リ アに接続す る 場合に使用 さ れ ま す。 6. (オプ シ ョ ン) OSPF エ リ ア間のルー ト 要約を設定 し ます。 7. (オプ シ ョ ン) 仮想 リ ン ク を構成 し ます。 こ のセ ク シ ョ ン に記載す る 例は以下の と お り です。 「例 1 : 単純な OSPF ド メ イ ン」 (85 ページ) 「例 2 : 仮想 リ ン ク」 (86 ページ) 「例 3 : ルー ト の要約」 (91 ページ) 「例 4 : ルー ト の再配信」 (93 ページ) 「例 5 : GRE ト ン ネルの構成」 (95 ページ) 84 第 5 章 : Open Shortest Path First 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 例 1 : 単純な OSPF ド メ イ ン 図 5-3 の例では、 2 つの OSPF エ リ アが定義 さ れ、 一方がバ ッ ク ボーン に、 も う 一方 が ス タ ブ エ リ アにな り ます。 ス タ ブ エ リ アでは外部ルー ト のア ド バ タ イ ズ メ ン ト が 許可 さ れないため、 デー タ ベース のサ イ ズが小 さ く な り ます。 ス タ ブ エ リ アには、 IP ア ド レ ス 0.0.0.0 のデフ ォ ル ト のサマ リ ルー ト が自動的に挿入 さ れ ます。ス タ ブ エ リ ア外の IP ア ド レ ス宛先に対す る ト ラ フ ィ ッ ク は、ス タ ブ エ リ アの IP イ ン タ フ ェ ース に転送 さ れた後、 バ ッ ク ボーン に送 ら れます。 䊋䉾䉪䊗䊷䊮 䉴䉺䊑㩷䉣䊥䉝 䉣䊥䉝 0 䉣䊥䉝 1 (0.0.0.0) (0.0.0.1) IF 1 IF 2 10.10.7.1 10.10.12.1 䊈䉾䊃䊪䊷䉪 10.10.7.0/24 䊈䉾䊃䊪䊷䉪 10.10.12.0/24 図 5-3 単純な OSPF ド メ イ ン 図 5-3 に示す よ う な OSPF サポー ト を設定す る には、 こ の手順を実行 し ます。 1. OSPF エ リ アに接続 さ れる各ネ ッ ト ワー ク上で IP イ ン タ フ ェ ース を設定 し ます。 こ の例では、2 つの IP イ ン タ フ ェ ース (10.10.7.0/24 上のバ ッ ク ボーン ネ ッ ト ワ ー ク 用 と 10.10.12.0/24 上の ス タ ブ エ リ ア ネ ッ ト ワ ー ク 用) が必要です。 >> # /cfg/net/if 1 >> Interface 1 # addr 10.10.7.1 >> Interface 1 # mask 255.255.255.0 >> Interface 1 # broad 10.10.7.255 >> Interface 1 # ena >> Interface 1 # ../if 2 >> Interface 2 # addr 10.10.12.1 >> Interface 2 # mask 255.255.255.0 >> Interface 2 # broad 10.10.12.255 >> Interface 2 # ena 2. (IP イ ン タ フ ェ ース 1 用の メ ニ ュ ーを 選択) (バ ッ ク ボーン ネ ッ ト ワー ク 上の IP ア ド レ ス を設定) (バ ッ ク ボーン ネ ッ ト ワー ク 上の IP マス ク を設定) (ブ ロー ド キ ャ ス ト ア ド レ ス を設定) (IP イ ン タ フ ェ ース 1 を有効にする) (IP イ ン タ フ ェ ース 2 用の メ ニ ュ ー を選択) (ス タ ブ エ リ ア ネ ッ ト ワー ク上の IP ア ド レ ス を設定) (ス タ ブ エ リ ア ネ ッ ト ワー ク上の IP マス ク を設定) (ブ ロー ド キ ャ ス ト ア ド レ ス を設定) (IP イ ン タ フ ェ ース 2 を有効にする) OSPF を有効に し ます。 >> Interface 2 # /cfg/net/route/ospf/ena 217014-B-JA, 2005 年 12 月 (NSF 上で OSPF を有効にする) 第 5 章 : Open Shortest Path First 85 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 3. ス タ ブ エ リ ア を定義 し ます。 (エ リ ア イ ンデ ッ ク ス 1 用の メ ニ ュ ーを 選択) (OSPF エ リ ア 1 のエ リ ア ID を設定) (エ リ ア を ス タ ブ タ イ プ と し て定義) (エ リ ア を有効にする) >> OSPF Area index 1 # ../aindex 1 >> OSPF Area index 1 # id 0.0.0.1 >> OSPF Area index 1 # type stub >> OSPF Area index 1 # ena 4. ネ ッ ト ワー ク イ ン タ フ ェ ース を ト ラ ン ジ ッ ト エ リ アに接続 し ます。 (IP イ ン タ フ ェ ース 1 用の OSPF メ ニ ュ ー を選択) (バ ッ ク ボーン イ ン タ フ ェ ースの有効に する) >> OSPF Area 2 # ../if 1 >> OSPF Interface 1 # ena 5. ネ ッ ト ワー ク イ ン タ フ ェ ース を ス タ ブ エ リ アに接続 し ます。 (IP イ ン タ フ ェ ース 2 用の OSPF メ ニ ュ ー を選択) (ネ ッ ト ワー ク を ス タ ブ エ リ ア イ ンデ ッ ク スに接続) (ス タ ブ エ リ ア イ ン タ フ ェ ース を有効に する) >> OSPF Interface 1 # ../if 2 >> OSPF Interface 2 # aindex 1 >> OSPF Interface 2 # ena 6. 構成の変更を適用 し ます。 >> OSPF Interface 2 # apply 例 2 : 仮想 リ ン ク 図 5-4 の例では、 エ リ ア 2 はバ ッ ク ボーンに物理的に接続 さ れてい ません。 通常は物 理接続が必要ですが、 その代わ り にエ リ ア 2 はエ リ ア 1 を通 る 仮想 リ ン ク に よ っ て バ ッ ク ボーンに接続 さ れ ます。 仮想 リ ン ク は各エ ン ド ポ イ ン ト で構成す る 必要があ り ます。 䊋䉾䉪䊗䊷䊮 䉣䊥䉝 0 (0.0.0.0) 䊃䊤䊮䉳䉾䊃㩷䉣䊥䉝 䉣䊥䉝 1 ASF 1 䉴䉺䊑㩷䉣䊥䉝 ASF 2 (0.0.0.1) 䉣䊥䉝 2 (0.0.0.2) IF 1 IF 2 IF 1 IF 2 10.10.7.1 10.10.12.1 10.10.12.2 10.10.24.1 ᗐ䊥䊮䉪 1 10.10.7.0/24 䊈䉾䊃䊪䊷䉪 䊦䊷䉺䊷 ID: 10.10.10.1 10.10.12.0/24 䊈䉾䊃䊪䊷䉪 䊦䊷䉺䊷 ID: 10.10.14.1 10.10.24.0/24 䊈䉾䊃䊪䊷䉪 図 5-4 仮想 リ ン クの設定 86 第 5 章 : Open Shortest Path First 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス NSF 1 上の仮想 リ ン ク に対する OSPF の構成 1. Nortel Switched Firewall に接続 さ れる各ネ ッ ト ワー ク上で IP イ ン タ フ ェ ース を設定 し ます。 こ の例では、 NSF 1 上に 2 つの IP イ ン タ フ ェ ー ス (10.10.7.0/24 上のバ ッ ク ボーン ネ ッ ト ワ ー ク 用 と 10.10.12.0/24 上の ト ラ ン ジ ッ ト エ リ ア ネ ッ ト ワー ク 用) が必要で す。 >> # /cfg/net/if 1 >> Interface 1 # addr 10.10.7.1 >> >> >> >> Interface Interface Interface Interface 1 1 1 1 # # # # mask 255.255.255.0 broad 10.10.7.255 ena ../if 2 >> Interface 2 # addr 10.10.12.1 >> Interface 2 # mask 255.255.255.0 >> Interface 2 # broad 10.10.12.255 >> Interface 2 # ena 2. (IP イ ン タ フ ェ ース 1 用の メ ニ ュ ーを 選択) (バ ッ ク ボーン ネ ッ ト ワー ク 上の IP ア ド レ ス を設定) (サブネ ッ ト マス ク を設定) (ブ ロー ド キ ャ ス ト ア ド レ ス を設定) (IP イ ン タ フ ェ ース 1 を有効にする) (IP イ ン タ フ ェ ース 2 用の メ ニ ュ ー を選択) ( ト ラ ン ジ ッ ト エ リ ア上の IP ア ド レ ス を設定) (サブネ ッ ト マス ク を設定) (ブ ロー ド キ ャ ス ト ア ド レ ス を設定) (イ ン タ フ ェ ース 2 を有効にする) ルー タ ー ID を設定 し ます。 ルー タ ー ID は、 仮想 リ ン ク を構成す る 際に必要 と な り ます。 後で NSF 2 上で仮想 リ ン ク の も う 一方のエ ン ド ポ イ ン ト を 設定す る 際に、 こ こ で指定 し たルー タ ー ID が タ ーゲ ッ ト の仮想ネ イ バ (nbr) ア ド レ ス と し て使用 さ れます。 >> Interface 2 # /cfg/net/route/ospf >> OSPF # rtrid 10.10.10.1 3. (OSPF メ ニ ュ ーを選択) (NSF 1 上のス タ テ ィ ッ ク ルー タ ー ID を設定) OSPF を有効に し ます。 OSPF がすで に有効に な っ て い る 場合は、 ア ク テ ィ ブ にす る ルー タ ー ID に対 し て OSPF をい っ たん無効に し てか ら 有効に し なおす必要があ り ます。 >> OSPF # ena 4. (NSF 1 上で OSPF を有効にする) ト ラ ン ジ ッ ト エ リ ア を構成 し ます。 仮想 リ ン ク が含ま れたエ リ アのエ リ ア ID を設定 し ます。 >> OSPF Area index 1 # ../aindex 1 >> OSPF Area index 1 # id 0.0.0.1 >> OSPF Area index 1 # ena 217014-B-JA, 2005 年 12 月 (エ リ ア イ ンデ ッ ク ス 1 用の メ ニ ュ ー を選択) (OSPF エ リ ア 1 のエ リ ア ID を設定) (エ リ ア を有効にする) 第 5 章 : Open Shortest Path First 87 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 5. ネ ッ ト ワー ク イ ン タ フ ェ ース をバ ッ ク ボーン に接続 し ます。 >> OSPF Area index 2 # ../if 1 >> OSPF Interface 1 # ena 6. ネ ッ ト ワー ク イ ン タ フ ェ ース を ト ラ ン ジ ッ ト エ リ アに接続 し ます。 >> OSPF Interface 1 # ../if 2 >> OSPF Interface 2 # aindex 1 >> OSPF Interface 2 # ena 7. (IP イ ン タ フ ェ ース 1 用の OSPF メ ニ ュ ーを選択) (バ ッ ク ボーン イ ン タ フ ェ ースの 有効にする) (IP イ ン タ フ ェ ース 2 用の OSPF メ ニ ュ ーを選択) (ネ ッ ト ワー ク を ト ラ ン ジ ッ ト エ リ ア イ ンデ ッ ク スに接続) ( ト ラ ンジ ッ ト エ リ ア イ ン タ フ ェ ース を有効にする) 仮想 リ ン ク を設定 し ます。 >> OSPF Interface 2 # ../virt 1 >> OSPF Virtual Link 1 # aindex 1 >> OSPF Virtual Link 1 # nbr 10.10.14.1 >> OSPF Virtual Link 1 # ena (仮想 リ ン ク番号を指定) (仮想 リ ン クの ト ラ ン ジ ッ ト エ リ ア を指定) (受信側のルー タ ー ID を指定) (仮想 リ ン ク を有効にする) こ の ス テ ッ プで設定 し た nbr ルー タ ー ID は、 手順 2 (89 ページ) で NSF 2 に対 し て 設定す る ルー タ ー ID と 同 じ でなければな り ません。 8. 構成の変更を適用 し ます。 >> OSPF Virtual Link 1 # apply 88 第 5 章 : Open Shortest Path First 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス NSF 2 上の仮想 リ ン ク に対する OSPF の構成 1. OSPF エ リ アに接続 さ れる各ネ ッ ト ワー ク上で IP イ ン タ フ ェ ース を設定 し ます。 こ こ では、 NSF 2 上に 2 つの IP イ ン タ フ ェース (10.10.12.0/24 上の ト ラ ン ジ ッ ト エ リ ア ネ ッ ト ワ ー ク 用 と 10.10.24.0/24 上の ス タ ブ エ リ ア ネ ッ ト ワ ー ク 用) が必要で す。 >> # /cfg/net/if 1 >> Interface 1 # addr 10.10.12.2 >> IP Interface 1 # mask 255.255.255.0 >> IP Interface 1 # broad 10.10.12.255 >> IP Interface 1 # ena >> IP Interface 1 # ../if 2 >> IP Interface 2 # addr 10.10.24.1 >> IP Interface 1 # mask 255.255.255.0 >> IP Interface 1 # broad 10.10.24.255 >> IP Interface 2 # ena 2. (IP イ ン タ フ ェ ース 1 用の メ ニ ュ ー を選択) ( ト ラ ン ジ ッ ト エ リ ア ネ ッ ト ワー ク 上の IP ア ド レ ス を設定) ( ト ラ ン ジ ッ ト エ リ ア ネ ッ ト ワー ク マス ク を設定) ( ト ラ ン ジ ッ ト エ リ ア ネ ッ ト ワー ク ブ ロー ド キ ャ ス ト を設定) (IP イ ン タ フ ェ ース 1 を有効にする) (IP イ ン タ フ ェ ース 2 用の メ ニ ュ ー を選択) (ス タ ブ エ リ ア ネ ッ ト ワー ク上の IP ア ド レ ス を設定) ( ト ラ ン ジ ッ ト エ リ ア ネ ッ ト ワー ク マス ク を設定) ( ト ラ ン ジ ッ ト エ リ ア ネ ッ ト ワー ク ブ ロー ド キ ャ ス ト を設定) (IP イ ン タ フ ェ ース 2 を有効にする) ルー タ ー ID を設定 し ます。 ルー タ ー ID は、 仮想 リ ン ク を構成す る 際に必要 と な り ます。 こ のルー タ ー ID は、 手 順 7 (88 ページ) で NSF 1 上の タ ーゲ ッ ト 仮想ネ イ バ (nbr) と し て指定 し た も の と 同 じ でなければな り ません。 >> IP Interface 2 # /cfg/net/route/ospf >> OSPF # rtrid 10.10.14.1 3. (OSPF メ ニ ュ ーを選択) (NSF 2 上のス タ テ ィ ッ ク ルー タ ー ID を設定) OSPF を有効に し ます。 OSPF がすで に有効に な っ て い る 場合は、 ア ク テ ィ ブ にす る ルー タ ー ID に対 し て OSPF をい っ たん無効に し てか ら 有効に し なおす必要があ り ます。 >> OSPF # ena 4. (NSF 2 上で OSPF を有効にする) ト ラ ン ジ ッ ト エ リ ア を構成 し ます。 >> OSPF Area Index 0 # ../aindex 1 >> OSPF Area Index 1 # id 0.0.0.1 >> OSPF Area Index 1 # ena 217014-B-JA, 2005 年 12 月 (エ リ ア イ ンデ ッ ク ス 1 用の メ ニ ュ ーを選択) (OSPF エ リ ア 1 のエ リ ア ID を 設定) (エ リ ア を有効にする) 第 5 章 : Open Shortest Path First 89 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 5. ス タ ブ エ リ ア を定義 し ます。 >> OSPF Area Index 1 # ../aindex 2 >> OSPF Area Index 2 # id 0.0.0.2 >> OSPF Area Index 2 # type stub >> OSPF Area Index 2 # ena 6. ネ ッ ト ワー ク イ ン タ フ ェ ース をバ ッ ク ボーン に接続 し ます。 >> OSPF Area Index 2 # ../if 1 >> OSPF Interface 1 # aindex 1 >> OSPF Interface 1 # ena 7. (IP イ ン タ フ ェ ース 1 用の OSPF メ ニ ュ ーを選択) (ネ ッ ト ワー ク を ト ラ ン ジ ッ ト エ リ ア イ ンデ ッ ク スに接続) ( ト ラ ンジ ッ ト エ リ ア イ ン タ フ ェ ース を有効にする) ネ ッ ト ワー ク イ ン タ フ ェ ース を ト ラ ン ジ ッ ト エ リ アに接続 し ます。 >> OSPF Interface 1 # ../if 2 >> OSPF Interface 2 # aindex 2 >> OSPF Interface 2 # ena 8. (エ リ ア イ ンデ ッ ク ス 2 用の メ ニ ュ ー を選択) (OSPF エ リ ア 2 のエ リ ア ID を設定) (エ リ ア を ス タ ブ タ イ プ と し て定義) (エ リ ア を有効にする) (IP イ ン タ フ ェ ース 2 用の OSPF メ ニ ュ ーを選択) (ネ ッ ト ワー ク を ス タ ブ エ リ ア イ ンデ ッ ク スに接続) (ス タ ブ エ リ ア イ ン タ フ ェ ース を 有効にする) 仮想 リ ン ク を設定 し ます。 こ の ス テ ッ プで設定 し た nbr ルー タ ー ID は、 手順 2 (87 ページ) で NSF 1 に対 し て設定 し たルー タ ー ID と 同 じ でなければな り ません。 >> OSPF Interface 2 # ../virt 1 >> OSPF Virtual Link 1 # aindex 1 >> OSPF Virtual Link 1 # nbr 10.10.10.1 >> OSPF Virtual Link 1 # ena 9. (仮想 リ ン ク 番号を指定) (仮想 リ ン ク の ト ラ ン ジ ッ ト エ リ ア を指定) (受信側のルー タ ー ID を指定) (仮想 リ ン ク を有効にする) 構成の変更内容を適用 し て保存 し ます。 >> OSPF Interface 2 # apply 仮想 リ ン ク のエ ン ド ポ イ ン ト のみが設定 さ れ ます。 エ ン ド ポ イ ン ト 間にルー ト 可能パ ス が あ る 限 り 、 仮想 リ ン ク パ ス はエ リ ア内のルー タ ーを い く つで も 通 る こ と がで き ます。 90 第 5 章 : Open Shortest Path First 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 例 3 : ルー ト の要約 デフ ォ ル ト では、ABR はあ る エ リ アか ら 別のエ リ アへすべての OSPF ルー ト を ア ド バ タ イ ズ し ます。ルー ト 要約を使用す る と 、ア ド バ タ イ ズ さ れたア ド レ ス を ま と め、ネ ッ ト ワー ク について認識 さ れてい る 複雑性を軽減す る こ と がで き ます。 あ る エ リ ア内のネ ッ ト ワ ー ク IP ア ド レ ス が、 連続 し たサブネ ッ ト 範囲に割 り 当て ら れてい る 場合は、 そのエ リ ア内の各 IP ア ド レ ス をすべて含む 1 つのサマ リ ルー ト を ア ド バ タ イ ズす る よ う ABR を設定で き ます。 図 5-4 は、 エ リ ア 1 (ス タ ブ エ リ ア) か ら エ リ ア 0 (バ ッ ク ボーン) へ向か う 1 つ のサマ リ ルー ト を表 し てい ます。 こ のサマ リ ルー ト には、 36.128.192.0 か ら 36.128.254.255 を通 る すべての IP ア ド レ ス が含ま れてい ます。 䊋䉾䉪䊗䊷䊮 䉴䉺䊑㩷䉣䊥䉝 䉣䊥䉝 0 䉣䊥䉝 1 (0.0.0.0) (0.0.0.1) IF 1 IF 2 10.10.7.1 36.128.192.1 䉰䊙䊥㩷䊦䊷䊃 ABR 10.10.7.0/24 䊈䉾䊃䊪䊷䉪 36.128.255.255/24 to 36.128.255.0/24 36.128.192.0/18 䊈䉾䊃䊪䊷䉪 図 5-5 ルー ト の要約 注 - ま た、 [OSPF Summary Range Menu] で hide オプショ ン を 使用し て、 ア ド バタ イ ズを 禁止する ア ド レ ス 範囲を 指定する こ と も 可能です。 図 5-5 に示す よ う な OSPF サポー ト を設定す る には、 こ の手順を実行 し ます。 1. OSPF エ リ アに接続 さ れる各ネ ッ ト ワー ク用の IP イ ン タ フ ェ ース を設定 し ます。 >> # /cfg/net/if 1 >> Interface 1 # addr 10.10.7.1 >> >> >> >> Interface Interface Interface Interface 1 1 1 1 # # # # mask 255.255.255.0 broad 10.10.7.255 ena ../if 2 >> Interface 2 # addr 36.128.192.1 >> Interface 1 # mask 255.255.255.0 >> Interface 1 # broad 36.128.192.255 >> Interface 2 # ena 2. (IP イ ン タ フ ェ ース 1 用の メ ニ ュ ーを 選択) (バ ッ ク ボーン ネ ッ ト ワー ク上の IP ア ド レ ス を設定) (サブネ ッ ト マス ク を設定) (ブ ロー ド キ ャ ス ト ア ド レ ス を設定) (IP イ ン タ フ ェ ース 1 を有効にする) (IP イ ン タ フ ェ ース 2 用の メ ニ ュ ーを 選択) (ス タ ブ エ リ ア ネ ッ ト ワー ク上の IP ア ド レ ス を設定) (サブネ ッ ト マス ク を設定) (ブ ロー ド キ ャ ス ト ア ド レ ス を設定) (IP イ ン タ フ ェ ース 2 を有効にする) OSPF を有効に し ます。 >> IP Interface 2 # /cfg/net/route/ospf/ena (NSF 上で OSPF を有効にする) 217014-B-JA, 2005 年 12 月 第 5 章 : Open Shortest Path First 91 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 3. エ リ ア 1 (ス タ ブ エ リ ア) を定義 し ます。 >> OSPF Area index 1 # ../aindex 2 >> OSPF Area index 2 # id 0.0.0.1 >> OSPF Area index 2 # type stub >> OSPF Area index 2 # ena 4. ネ ッ ト ワー ク イ ン タ フ ェ ース をバ ッ ク ボーン に接続 し ます。 >> OSPF Area index 2 # ../if 1 >> OSPF Interface 1 # ena 5. >> OSPF Interface 2 # aindex 2 >> OSPF Interface 2 # ena (IP イ ン タ フ ェ ース 2 用の OSPF メ ニ ュ ーを選択) (ネ ッ ト ワー ク を ス タ ブ エ リ ア イ ンデ ッ ク スに接続) (ス タ ブ エ リ ア イ ン タ フ ェ ース を 有効にする) 要約する ア ド レ ス範囲の開始ア ド レ ス と マ ス ク を指定 し 、 ルー ト 要約を設定 し ます。 >> >> >> >> >> 7. (IP イ ン タ フ ェ ース 1 用の OSPF メ ニ ュ ーを選択) (バ ッ ク ボーン イ ン タ フ ェ ースの有効 にする) ネ ッ ト ワー ク イ ン タ フ ェ ース を ス タ ブ エ リ アに接続 し ます。 >> OSPF Interface 1 # ../if 2 6. (エ リ ア イ ンデ ッ ク ス 2 用の メ ニ ュ ー を選択) (OSPF エ リ ア 1 のエ リ ア ID を設定) (エ リ ア を ス タ ブ タ イ プ と し て定義) (エ リ ア を有効にする) OSPF OSPF OSPF OSPF OSPF Interface Range 1 # Range 1 # Range 1 # Range 1 # 2 # ../range 1 addr 36.128.192.0 mask 255.255.192.0 aindex 1 ena (要約範囲用の メ ニ ュ ーを選択) (範囲の基本 IP ア ド レ ス を設定) (要約範囲のマス ク ア ド レ ス を設定) (サマ リ ルー ト をバ ッ ク ボーンに送信) (要約範囲を有効にする) 構成の変更を適用 し ます。 >> OSPF Summary Range 1 # apply 92 第 5 章 : Open Shortest Path First 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 例 4 : ルー ト の再配信 Nortel Switched Firewall では、 他のプ ロ ト コ ルか ら のルー ト を RIP ま たは OSPF ド メ イ ンに再配信す る こ と がで き ます。 NSF では接続ルー ト 、 OSPF ルー ト 、 ス タ テ ィ ッ ク ルー ト 、 デフ ォ ル ト ゲー ト ウ ェ イ ルー ト 、 お よ び仮想ルー ト を RIP ルー ト に再配 信で き ます。 ま た、 NSF では接続ルー ト 、 ス タ テ ィ ッ ク ルー ト 、 RIP ルー ト 、 デフ ォ ル ト ゲー ト ウ ェ イ ルー ト を OSPF ルー ト に再配信す る こ と も 可能です。 図 5-5 は、 NSF が RIP ルー ト を OSPF ド メ イ ン に再配信す る 様子を示 し てい ます。 OSPF 䊄䊜䉟䊮 䉣䊥䉝 0.0.0.0 ASBR 100.100.2.1 䊦䊷䉺䊷 1 100.100.2.80 RIP 䊄䊜䉟䊮 100.100.3.1 䊦䊷䉺䊷 2 100.100.3.150 Nortel Switched Firewall OSPF 䊦䊷䊃 RIP 䊦䊷䊃 図 5-6 OSPF への RIP ルー ト の再配信 図 5-6 では、 Nortel Switched Firewall は 2 つの ド メ イ ン (RIP と OSPF) 間の ASBR と し て構成 さ れてい ま す。 NSF は 2 つのルー タ ー (OSPF ド メ イ ン内のルー タ ー 1 と RIP ド メ イ ン内のルー タ ー 2) に接続 さ れてい ま す。 RIP ド メ イ ン か ら OSPF に RIP ルー ト を ア ド バ タ イ ズす る には、 NSF が必要です。 こ の例では、 NSF 上に 2 つの IP イ ン タ フ ェース (100.100.2.0/24 上の OSPF ド メ イ ン用 と 100.100.3.0/24 上の RIP ド メ イ ン用) が必要です。 1. Nortel Switched Firewall のポー ト 1 に接続 さ れた OSPF ド メ イ ン用バ ッ ク ボーン ルー タ ー と の IP イ ン タ フ ェ ース を設定 し ます。 >> # /cfg/net/if 1 >> Interface 1 # addr 100.100.2.1 >> >> >> >> Interface Interface Interface Interface 217014-B-JA, 2005 年 12 月 1 1 1 1 # # # # mask 255.255.255.0 broad 100.100.2.255 ena port/add 1 (IP イ ン タ フ ェ ース 1 用の メ ニ ュ ーを 選択) (バ ッ ク ボーン ネ ッ ト ワー ク上の IP ア ド レ ス を設定) (サブネ ッ ト マス ク を設定) (ブ ロー ド キ ャ ス ト ア ド レ ス を設定) (IP イ ン タ フ ェ ース 1 を有効にする) (ポー ト 1 を イ ン タ フ ェ ース 1 に追加) 第 5 章 : Open Shortest Path First 93 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 2. Nortel Switched Firewall のポー ト 2 に接続 さ れた RIP ド メ イ ン用の IP イ ン タ フ ェ ー ス を設定 し ます。 >> # /cfg/net/if 2 >> >> >> >> >> 3. Interface Interface Interface Interface Interface 2 2 2 2 2 # # # # # addr 100.100.3.1 mask 255.255.255.0 broad 100.100.3.255 ena port/add 2 ア ク セ ラ レ ー タ の IP ア ド レ ス を設定 し ます。 >> # /cfg/acc/ac1/addr 10.10.1.45 4. (VLAN 2 用に RIP を有効にする) ポー ト を VLAN 2 に追加 し ます。 >> # /cfg/net/vlan 2/port 2 8. (OSPF を グローバルに有効にする) VLAN 2 に対 し て RIP を有効に し 、 必要に応 じ て RIP バージ ョ ン を指定 し ます。 >> # /cfg/net/route/rip/vlan 2/ena 7. (イ ン タ フ ェ ース 1 用に OSPF を有効 にする) OSPF を グ ローバルに有効に し ます。 >> # /cfg/net/route/ospf/ena 6. (ア ク セ ラ レー タ の IP ア ド レ ス を指定) イ ン タ フ ェ ース 1 に対 し て OSPF を有効に し ます。 >> # /cfg/net/route/ospf/if 1/ena 5. (IP イ ン タ フ ェ ース 2 用の メ ニ ュ ーを 選択) (RIP ド メ イ ン用の IP ア ド レ ス を指定) (サブネ ッ ト マス ク を設定) (ブ ロー ド キ ャ ス ト ア ド レ ス を設定) (IP イ ン タ フ ェ ース 2 を有効にする) (ポー ト 2 を イ ン タ フ ェ ース 2 に追加) (ポー ト 2 を VLAN 2 に追加) RIP を グ ローバルに有効に し ます。 >> # /cfg/net/route/rip/ena (RIP を グローバルに有効にする) ルー タ ー 2 で RIP を設定 し 、 Nortel Switched Firewall と ルー タ ー 2 の間でルー ト の送 受信がで き る か ど う か を確認 し ま す。 RIP ルー ト を Nortel Switched Firewall に送信す る よ う ルー タ ー 2 を設定 し て く だ さ い。 次に、 ルー タ ー 1 上のルーテ ィ ン グ テーブ ル を確認 し ま す。 ルー タ ー 1 は RIP ルー タ ーではないため、 こ れ ら のルー ト はルー タ ー 1 にはア ド バ タ イ ズお よ び イ ン ス ト ール さ れていない こ と を確認 し て く だ さ い。 94 第 5 章 : Open Shortest Path First 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 9. 学習 し た RIP ルー ト を再配信する よ う NSF を設定 し ます。 >> # /cfg/net/route/ospf/redist/rip/ena (RIP ルー ト を OSPF に再配信) ルー ト が再配信 さ れた ら 、 受信プ ロ ト コ ルを認識す る メ ト リ ッ ク を定義す る 必要が あ り ます。 再配信 さ れ る ルー ト の メ ト リ ッ ク を変更す る 場合は、 /cfg/net/route/ospf/redist/rip/metric で新 し い メ ト リ ッ ク を入力 し て く だ さ い。 10. 構成の変更を適用 し ます。 >> OSPF RIP Route Redistribution# apply ルー タ ー 1 が RIP ド メ イ ン か ら のルー ト をすべて認識で き る か ど う か を確認 し て く だ さ い。 例 5 : GRE ト ン ネルの構成 図 5-7 (95 ページ) は、 GRE ト ン ネ リ ン グのサポー ト 用に構成 さ れた、 NSF-California と NSF-New York の 2 つの Nortel Switched Firewall を示 し てい ます。 2 つの フ ァ イ ア ウ ォ ールは GRE ト ン ネルで OSPF パケ ッ ト を ト ン ネ リ ン グす る よ う 構成 さ れてい る ため、 イ ン タ ーネ ッ ト 上の他のルー タ ーが OSPF につい て学習す る 必要は あ り ま せ ん。 図 5-7 (95 ページ) では、 OSPF ネ ッ ト ワー ク が GRE イ ン タ フ ェ ース 50.1.1.0/24 上 にあ り 、 GRE ト ン ネルのエ ン ド ポ イ ン ト が物理 イ ン タ フ ェース 3 上にあ り ます。 ASF California ASF NewYork Firewall Accelerator 6600 Firewall Director 5014 Firewall Accelerator 6400 Firewall Director 5014 30.1.1.2/8 If 3: 30.1.1.1/8 20.1.1.2/8 䉟䊮䉺䊷䊈䉾䊃 If 3: 20.1.1.1/8 GRE 䊃䊮䊈䊦 GRE 1 SIP: 50.1.1.1 DIP: 50.1.1.2 䊥䊝䊷䊃㩷䉝䊄䊧䉴: 20.1.1.1 OSPF 䊈䉾䊃䊪䊷䉪 GRE 䊃䊮䊈䊦㩷 䉣䊮䊄㩷䊘䉟䊮䊃 GRE 1 SIP: 50.1.1.2 DIP: 50.1.1.1 䊥䊝䊷䊃㩷䉝䊄䊧䉴: 30.1.1.1 図 5-7 GRE ト ン ネル サポー ト の構成 217014-B-JA, 2005 年 12 月 第 5 章 : Open Shortest Path First 95 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス GRE ト ン ネ リ ン グのサポー ト を構成す る には、 NSF-California と NSF-New York の各 フ ァ イ ア ウ ォ ール上で以下の ス テ ッ プ を実行 し ます。 1. NSF-California と NSF-New York の 2 つの フ ァ イ アウ ォ ールを基本オペ レ ーシ ョ ン用 に構成 し ます。 2. IP イ ン タ フ ェース を設定 し ます。 OSPF エ リ ア を定義 し ます。 OSPF イ ン タ フ ェース のパ ラ メ ー タ を設定 し ます。 GRE イ ン タ フ ェース上で OSPF を有効に し ます (物理 イ ン タ フ ェ ース 3 では OSPF を有効に し ないで く だ さ い)。 NSF-California で GRE ト ン ネル 1 のサポー ト を設定 し ます。 >> >> >> >> # /cfg/net/gre 1 GRE 1# name tunnel_one GRE 1# phyif 3 GRE 1# remoteaddr 20.1.1.1 >> >> >> >> GRE GRE GRE GRE 1# 1# 1# 1# sip 50.1.1.1 dip 50.1.1.2 mask 255.255.255.255 ena y (GRE ト ン ネル 1 を選択) (GRE 1 の名前を割 り 当て) (GRE 1 の物理イ ン タ フ ェ ース を割 り 当て) (NSF-New York の GRE ト ン ネル エ ン ド ポ イ ン ト を割 り 当て) (送信元 IP ア ド レ ス を割 り 当て) (宛先 IP ア ド レ ス を割 り 当て) (マス ク を割 り 当て) (GRE 1 を有効にする) 注 - 物理 イ ン タ フ ェ ー ス は GRE ト ン ネル エ ン ド ポ イ ン ト 用に設定す る 必要が あ り ます。 図 5-7 では、 GRE ト ン ネル エ ン ド ポ イ ン ト 20.1.1.1 と 30.1.1.1 のそれぞれに 対 し て物理 イ ン タ フ ェ ース 3 が設定 さ れてい ます。 3. NSF-California で OSPF を有効に し ます。 >> # /cfg/net/route/ospf >> OSPF# ena 4. NSF-California で OSPF に対 し て GRE 1 を有効に し ます。 >> # /cfg/net/route/ospf/gre 1 >> GRE 1# ena 5. (OSPF メ ニ ュ ーを選択) (OSPF を有効にする) (GRE 1 を選択) (OSPF ルー ト に対 し て GRE を有効にする) NSF-New York で GRE ト ン ネル 1 のサポー ト を設定 し ます。 >> >> >> >> # /cfg/net/gre 1 GRE 1# name tunnel_one GRE 1# phyif 3 GRE 1# remoteaddr 30.1.1.1 >> >> >> >> GRE GRE GRE GRE 1# 1# 1# 1# sip 50.1.1.2 dip 50.1.1.1 mask 255.255.255.255 ena 96 第 5 章 : Open Shortest Path First (GRE ト ン ネル 1 を選択) (GRE 1 の名前を割 り 当て) (GRE 1 の物理イ ン タ フ ェ ース を割 り 当て) (NSF-California の GRE ト ン ネル エ ン ド ポ イ ン ト を割 り 当て) (送信元 IP ア ド レ ス を割 り 当て) (宛先 IP ア ド レ ス を割 り 当て) (マス ク を割 り 当て) (GRE 1 を有効にする) 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 6. NSF-New York で OSPF を有効に し ます。 (OSPF メ ニ ュ ーを選択) (OSPF を有効にする) >> # /cfg/net/route/ospf >> OSPF# ena 注 - OSPF が GRE ト ン ネル イ ン タ フ ェ ース (50.1.1.0) のみで有効にな っ てい る こ と を確認 し て く だ さ い。 無限ループ を避け る ため、 20.1.1.1/8 ま たは 30.1.1.1/8 ネ ッ ト ワ ー ク 上では OSPF を設定 し ないで く だ さ い。 詳細については、 「GRE ト ン ネルにお け るループの回避」 (97 ページ) を参照 し て く だ さ い。 7. NSF-New York で OSPF に対 し て GRE 1 を有効に し ます。 (GRE 1 を選択) (OSPF ルー ト に対 し て GRE を有効にする) >> # /cfg/net/route/ospf/gre 1 >> GRE 1# ena GRE ト ン ネルにおけるループの回避 パケ ッ ト が GRE ト ン ネルでループに陥 ら ない よ う に、 ネ ッ ト ワ ー ク を慎重に設計 し て く だ さ い。 図 5-7 (95 ページ) に示す例では、 ユーザーが NSF-New York 上の GRE ト ン ネル エ ン ド ポ イ ン ト ( イ ン タ フ ェ ース 3) と GRE 送信元 - 宛先ア ド レ ス の両方 で OSPF を有効に し た場合に、NSF-California に対 し て以下のルー ト が提示 さ れます。 >> # /i/n/gre GRE Tunnel Information Num GRETunnel Phylcl Phyrmte GRElcl === ======= ===== ====== ===== ===== 1 tunnel_one 30.1.1.1 20.1.1.1 50.1.1.1 >> # /i/n/r/table Route Table Information 30 total routes: Num Destination === =========== 1 default 2 11.0.0.0/8 3 20.0.0.0/8 Gateway ======= 30.1.1.2 50.1.1.2 50.1.1.2 Metric ====== gw 20 20 GRErmte ====== 50.1.1.2 Source ====== 30 ospf ospf GREMask 255.255.255.255 Vlan Vnic ==== ==== v30 <unreachable?> <unreachable?> こ の画面は、GRE ト ン ネル エ ン ド ポ イ ン ト (50.1.1.2 サブネ ッ ト ) と OSPF サブネ ッ ト (20.0.0.0 サブネ ッ ト ) 上のデー タ パケ ッ ト に同 じ 宛先があ る ためにループが存在 す る こ と を示 し てい ます。 217014-B-JA, 2005 年 12 月 第 5 章 : Open Shortest Path First 97 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス OSPF サポー ト の検証 ご使用の NSF で OSPF 情報を検証す る には、 以下の コ マ ン ド を使用 し ます。 /info/net/route/ospf/routes /info/net/route/ospf/lsa /info/net/route/ospf/neigh /info/net/route/ospf/if /info/net/route/ospf/fib /info/net/route/ospf/spf 98 第 5 章 : Open Shortest Path First 217014-B-JA, 2005 年 12 月 第6章 Protocol Independent Multicast の サ ポー ト IP マルチキ ャ ス ト では、 送信元か ら WAN 内の複数の宛先に一度に情報を送信す る こ と がで き ます。 送信元では帯域幅を大幅に節約 し なが ら 、 効率の よ い処理を実現で き ます。 こ の章では、 Nortel Switched Firewall (NSF) で Protocol Independent MulticastSparse Mode (PIM-SM) を ど の よ う にサポー ト す る か を説明 し ます。 こ の章で扱 う ト ピ ッ ク は以下の と お り です。 「概要」 (100 ページ) 「PIM-SM の構成例」 (105 ページ) 「構成の前提要件」 (107 ページ) 「PIM-SM サポー ト の構成」 (108 ページ) 「PIM-SM 構成の検証」 (109 ページ) 99 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 概要 IP マルチキ ャ ス ト では、 一度に複数の受信先に メ ッ セージが送信 さ れ ます。 こ の 1 対 多の配信 メ カ ニ ズ ムはブ ロ ー ド キ ャ ス テ ィ ン グに似てい ますが、 マルチキ ャ ス テ ィ ン グは特定のグループに送信す る のに対 し 、 ブ ロ ー ド キ ャ ス テ ィ ン グはすべての宛先に 送信す る 点が異な り ます。 マルチキ ャ ス ト では 1 つのデー タ ス ト リ ーム のみを ネ ッ ト ワー ク に送信 し 、 そ こ か ら 多数の受信先にデー タ が複製 さ れ る ため、 帯域幅を大幅 に節約す る こ と がで き ます。 IP マルチキ ャ ス ト では、 1 回の送信で複数の宛先に情報を配信 し た り 、 ク ラ イ ア ン ト か ら サーバーを要求す る な ど のサービ ス を提供 し てい ま す。 IP マルチキ ャ ス ト サー ビ ス は、ビデオ会議、デー タ グ ラ ム情報の配信、大勢の受信先への メ ール ま たはニ ュ ー ス配信な ど の用途に利用 さ れてい ます。 Protocol Independent Multicast-Sparse Mode (PIM-SM) は RFC 2362 に規定 さ れてい る と お り 、 企業や イ ン タ ーネ ッ ト の大規模なエ リ アにマルチキ ャ ス ト グループが点在 す る よ う な環境に対応で き る よ う 設計 さ れてい ます。 密モー ド のプ ロ ト コ ル と は違い PIM-SM では、 マルチキ ャ ス ト グループに明示的に参加 し てい る ルー タ ーのみにマル チキ ャ ス ト ト ラ フ ィ ッ ク が送信 さ れます。 こ の技術に よ り 、 WAN リ ン ク を経由す る ト ラ フ ィ ッ ク フ ロ ーが減 り 、 不要な マルチ キ ャ ス ト パ ケ ッ ト の処理にかか る オー バーヘ ッ ド コ ス ト を削減す る こ と がで き ます。 PIM-SM で は、 特定の マ ルチ キ ャ ス ト グ ループ に属 し て い て、 な おかつ そ の ト ラ フ ィ ッ ク の受信を選択 し てい る ルー タ ーにだけマルチキ ャ ス ト ト ラ フ ィ ッ ク が送信 さ れ る ため、 ネ ッ ト ワー ク 内で特定のデー タ を必要 と し てい る ユーザーが少ない場合 は、 他のプ ロ ト コ ル よ り も PIM-SM を利用す る 方が効率的です。 PIM-SM は特定のユニ キ ャ ス ト ルーテ ィ ン グ プ ロ ト コ ルに依存 し ま せんが、 RIP や OSPF な ど のユニ キ ャ ス ト ルーテ ィ ン グ プ ロ ト コ ル(ス タ テ ィ ッ ク ま たはダ イ ナ ミ ッ ク ) が存在す る 必要があ り ま す。 PIM-SM はユニ キ ャ ス ト ルーテ ィ ン グ テーブルか ら の情報を使用 し て、 マルチキ ャ ス ト ツ リ ーの作成 と 保守を行い ます。 こ れに よ り 、 PIM 対応ルー タ ーが通信で き る よ う にな り ます。 こ のセ ク シ ョ ン で扱 う ト ピ ッ ク は以 下の と お り です。 「PIM-SM の概念お よび用語」 (101 ページ) 「共有ツ リ ー」 (103 ページ) 「受信先に よ る グループへの参加」 (103 ページ) 「受信先に よ る グループか らの脱退」 (104 ページ) 「マルチキ ャ ス ト グループの登録」 (104 ページ) 「最短パス ツ リ ー」 (104 ページ) 100 第 6 章 : Protocol Independent Multicast のサポー ト 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス PIM-SM の概念および用語 一般に、 PIM-SM ネ ッ ト ワ ー ク は複数のマルチポ イ ン ト デー タ ス ト リ ーム で構成 さ れてお り 、それぞれが イ ン タ ーネ ッ ト ワ ー ク 内の少数の LAN を対象に し てい ます。た と えば、ネ ッ ト ワー ク を構成す る 複数のホ ス ト が異な る LAN 上にあ る 場合、そのネ ッ ト ワー ク のユーザーは PIM-SM を利用す る こ と で、別のサブネ ッ ト 上で ビデオ会議な ど の ビデオ デー タ ス ト リ ーム に同時にア ク セ ス で き る よ う にな り ます。 ホス ト ホ ス ト にな り 得 る のは、 送信元、 受信先、 あ る いはその両方です。 送信元は、 マルチキ ャ ス ト デー タ を宛先 (マルチキ ャ ス ト グループ) に送信 し ます。 受信先は、 1 つ以上の送信元か ら マルチキ ャ ス ト デー タ を受信 し ます。 PIM-SM ド メ イ ン PIM-SM は、 PIM-SM が有効にな っ てい る 連続 し たルー タ ーの ド メ イ ン内で動作 し ま す。 こ れ ら のルー タ ーはすべて、 PIM マルチキ ャ ス ト 境界ルー タ ー (PMBR) に よ っ て定義 さ れた共通の境界内で動作す る よ う 設定 さ れてい ます。 各 PIM-SM ド メ イ ンは、 以下のルー タ ーで構成 さ れ ます。 ラ ンデブー ポ イ ン ト (RP) ルー タ ー ブー ト ス ト ラ ッ プ ルー タ ー (BSR) 指定ルー タ ー (DR) 1 つの PIM-SM ド メ イ ン で使用で き る ア ク テ ィ ブ RP ルー タ ー と ア ク テ ィ ブ BSR は 1 つずつですが、 以下の よ う な追加ルー タ ーを構成す る こ と が可能です。 ラ ンデブー ポ イ ン ト 候補 (RP 候補) ルー タ ー ブー ト ス ト ラ ッ プ候補 (BSR 候補) ルー タ ー 候補ルー タ ーは、プ ラ イ マ リ RP ま たは BSR ルー タ ーに障害が発生 し た場合にバ ッ ク ア ッ プ保護を行い ます。 一般に、 1 つのルー タ ーが BSR 候補 と RP 候補の両方 と し て 設定 さ れ ます。 ラ ンデブー ポ イ ン ト (RP) ルー タ ー PIM-SM ド メ イ ン では、 受信先は ラ ンデブー ポ イ ン ト (RP) ルー タ ーを介 し てマルチ キ ャ ス ト の送信元について学習 し ます。1 つのマルチキ ャ ス ト グループに使用で き る ア ク テ ィ ブ RP ルー タ ーは 1 つのみです。 RP ルー タ ーは共有ツ リ ーのルー ト と し て 動作 し ます。 こ の共有ツ リ ーで、 受信先は RP ルー タ ーに接続 し 、 送信元は RP ルー タ ーに登録 し ます。 こ れに よ り 、 受信先は送信元を検出で き る よ う にな り ます。 RP ルー タ ーは以下の タ ス ク を実行 し ます。 自身の存在を アナ ウ ン スす る 送信元を登録 し 、デー タ を グループ メ ンバーに送信 し ます。 そのグループへのデー タ を受信す る 受信先に接続 し ます。 217014-B-JA, 2005 年 12 月 第 6 章 : Protocol Independent Multicast のサポー ト 101 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ラ ンデブー ポ イ ン ト 候補ルー タ ー 一連のルー タ ーを、 RP ルー タ ーのバ ッ ク ア ッ プ と し て機能す る ラ ンデブー ポ イ ン ト 候補 (RP 候補) ルー タ ー と し て設定で き ます。 RP に障害が発生 し た場合は、 ド メ イ ン 内のすべて のルー タ ーが同一の ア ル ゴ リ ズ ム を 適用 し て、 RP 候補ルー タ ーの グ ループか ら 新 し い RP ルー タ ーを選出 し ます。 すべてのルー タ ーが完全な RP 候補 リ ス ト を持っ てい る こ と を確認す る ため、 RP 候補ルー タ ーは定期的にユニ キ ャ ス ト ア ド バ タ イ ズ メ ン ト メ ッ セージ を ブー ト ス ト ラ ッ プ ルー タ ー (BSR) に送信 し ます。 最 も 一般的な実装方法 と し ては、 PIM-SM ルー タ ーを RP 候補 と BSR 候補の両方 と し て 設定 し ます。 ブー ト ス ト ラ ッ プ ルー タ ー BSR は、 ユニ キ ャ ス ト を介 し て RP 候補か ら の RP 候補ルー タ ー ア ド バ タ イ ズ メ ン ト を受信 し ま す。 その後、 BSR は こ れ ら 一連の RP 候補 (RP セ ッ ト ) と その グループ プ レ フ ィ ッ ク ス を組み込みます。PIM-SM ド メ イ ン ご と に存在す る BSR は 1 つのみで す。 BSR は ド メ イ ン内のすべてのルー タ ーに、 完全な RP ルー タ ー セ ッ ト が含まれた ブー ト ス ト ラ ッ プ メ ッ セージ を定期的に送信 し ます。 ブー ト ス ト ラ ッ プ候補ルー タ ー PIM-SM ド メ イ ン では、 少数のルー タ ーを BSR 候補 と し て設定で き ます。 最 も 高い優 先度が設定 さ れた BSR 候補が、 その ド メ イ ンの BSR と な り ます。 優先度の同 じ BSR 候補が 2 つあ る 場合は、 よ り 高い IP ア ド レ ス を持つ候補が BSR と な り ます。 さ ら に 高い優先度の BSR 候補を新たに ド メ イ ン に追加 し た場合は、 それが自動的に新 し い BSR と な り ます。 指定ルー タ ー (DR) 指定ルー タ ー (DR) と は LAN 上で最上位の IP ア ド レ ス を持つルー タ ーの こ と で、 接 続方法に応 じ て以下の タ ス ク を実行 し ます。 送信元に直接接続 さ れてい る 場合 DR は register メ ッ セージ (ユニ キ ャ ス ト IP パケ ッ ト にカプセル化 さ れたマルチ キ ャ ス ト デー タ ) を RP ルー タ ーに送信 し ます。 受信先に直接接続 さ れてい る 場合 join/prune メ ッ セージ を RP ルー タ ーに送信 し ます。 最初のマルチキ ャ ス ト デー タ パケ ッ ト を送信元か ら 受信 し 、送信元へ向か う SPT ツ リ ーを作成 し た後は、 送信元に直接接続 し ます。 Join/Prune メ ッ セージ DR は受信先か ら の join/prune メ ッ セージ を RP ルー タ ーへ送信 し 、共有ツ リ ーか ら の 分岐を接続 (join) ま たは削除 (prune) し ます。 1 つの メ ッ セージには、 join と prune の両方の リ ス ト が含 ま れてい ま す。 こ の リ ス ト には、 最短パ ス ツ リ ー ま たはホ ス ト が接続 し たい共有ツ リ ーを示す送信元ア ド レ ス の一覧が含ま れてい ます。 DR は、 送 信元ま たは RP ルー タ ーま でのパ ス上にあ る 各 PIM ルー タ ーへ join/prune メ ッ セージ を 1 ホ ッ プずつ送信 し てい き ます。 102 第 6 章 : Protocol Independent Multicast のサポー ト 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Register および Register-Stop メ ッ セージ register メ ッ セージ と register-stop メ ッ セージは、 RP ルー タ ー と 送信元の DR と の間 で発生 し ます。 送信元に直接接続 さ れてい る 場合、 送信元の DR は register メ ッ セー ジ を RP ルー タ ーに送信 し ます。 最初に、 DR はデー タ を register メ ッ セージにカプセ ル化 し 、 それを RP ルー タ ーにユニ キ ャ ス ト し ます。 RP ルー タ ーは、 以下のいずれか の条件に該当す る 場合に register-stop を送信 し ます。 グループに受信先が存在 し ない場合 グループに受信先が存在す る 場合は、 RP ルー タ ーが register を カプセル解除 し て 受信先に送信 し ます。 ま た、 RP ルー タ ーは (Source, Group) join を送信元に送信 し ま す。 RP ルー タ ーは、 (Source, Group) ツ リ ーか ら デー タ の受信 を 開始す る と 、 register-stop メ ッ セージ を送信元に送信 し ます。 送信元の DR は最初の register-stop メ ッ セージ を受信す る と 、 register suppression タ イ マ を起動 し ます。 register suppression タ イ ム ア ウ ト 期間 (デフ ォ ル ト は 60 秒) の間 は、 以下の イ ベン ト が発生 し ます。 送信元の DR は、 register suppression タ イ マが切れ る 前に RP ルー タ ーに probe パ ケ ッ ト を送信 し ます。 probe パケ ッ ト は、 register パケ ッ ト が必要か ど う か を判断 す る よ う RP ルー タ ーに求め ます。 RP ルー タ ーが送信元の DR の probe メ ッ セージに対 し て register-stop メ ッ セー ジで応答 し な く な る と 、 register suppression タ イ マが切れ、 DR か ら RP ルー タ ー にカプセル化 さ れたマルチキ ャ ス ト パケ ッ ト が送信 さ れ ます。 RP ルー タ ーは こ の方法で、 新 し い メ ンバーがグループに加わっ た こ と を DR に通知 し ます。 共有ツ リ ー PIM-SM ド メ イ ン では、デー タ パケ ッ ト を受信先に配信す る 際に共有ツ リ ーが使用 さ れ ます。 PIM-SM ド メ イ ン 内の受信先は、 送信元か ら 共有 ツ リ ー を 介 し て最初のい く つかの デー タ パケ ッ ト を受信 し ま す。 共有ツ リ ーは一連のパ ス で構成 さ れ、 こ れに よ り マ ルチ キ ャ ス ト グ ループのすべて の受信先 と 送信元が RP ルー タ ーに接続 さ れ ま す。 PIM では、 送信元 と 受信先が join メ ッ セージ と register メ ッ セージ を RP ルー タ ーに 送信 し た と き に共有ツ リ ーが作成 さ れます。 受信先によ るグループへの参加 以下の ス テ ッ プで、 受信先がマルチキ ャ ス ト グループに参加す る 仕組みを説明 し ま す。 1. 受信先が参加 し たいグループに IGMP v2 host membership メ ッ セージ を マルチキ ャ ス ト し ます。 2. DR は新 し いグループに対する IGMP メ ッ セージ を受信する と 、 関連付け られたア ク テ ィ ブ RP ルー タ ーを検索 し 、 マルチキ ャ ス ト 転送テーブルに (*,G) ルー ト エ ン ト リ を作成 し て、 (*,G) join を RP ルー タ ーに送信 し ます。 217014-B-JA, 2005 年 12 月 第 6 章 : Protocol Independent Multicast のサポー ト 103 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 受信先によ るグループから の脱退 受信先はマルチキ ャ ス ト グループか ら 脱退す る 前に、IGMP v2 leave メ ッ セージ を DR に送信 し ま す。 マルチキ ャ ス ト グループの直接接続 メ ンバーがすべて脱退 し 、 ダ ウ ン ス ト リ ーム メ ンバーが残 ら な く な る と 、 DR は (*, G) prune メ ッ セージ を ア ッ プ ス ト リ ーム で RP ルー タ ーに送信 し ます。 マルチキ ャ ス ト グループの登録 以下の ス テ ッ プで、 送信元がマルチキ ャ ス ト パケ ッ ト を グループに送信す る 仕組み を説明 し ます。 1. VLAN に直接接続 さ れた送信元は、 マルチキ ャ ス ト デー タ を DR にブ リ ッ ジ し ます。 VLAN 用の DR (最上位の IP ア ド レ ス を持つルー タ ー) は、各パケ ッ ト を register メ ッ セージに カ プ セル化 し 、 ユニキ ャ ス ト メ ッ セージ を RP ルー タ ーに直接送信 し て、 受 信先ま で配信 し ます。 2. マルチキ ャ ス ト の受信先が存在する場合、 RP ルー タ ーは (S,G) join を送信元の DR に 送信 し 、 デー タ を ダウ ン ス ト リ ームで RP ルー タ ー ツ リ ーに転送 し ます。 3. マルチキ ャ ス ト ト ラ フ ィ ッ ク を受信 し たい受信先が存在 し ない場合は、 RP ルー タ ー か ら DR に register-stop メ ッ セージが送信 さ れます。 最短パス ツ リ ー RP ルー タ ー ツ リ ーが送信元 と 受信先の間で最 も 効率的なルー ト と はな ら ない場合 も あ り ます。 最初のパケ ッ ト を受信 し た後、 受信先の DR が (S,G) join を送信元に直接 送信す る 場合があ り ます。 こ れに よ り 、 送信元へ向か う 最短パス ツ リ ー (SPT) が作 成 さ れ ま す。 最短パ ス ツ リ ーに切 り 替え る と 、 受信先 と 送信元の間で直接ルー ト が 作成 さ れ ます。 NSF 4.4.1 PIM の実装 NSF 4.4.1 では 63 のマルチキ ャ ス ト ルー ト を サポー ト し てお り 、 さ ら に各ルー ト を 最大 29 の発信 VLAN に分け る こ と がで き ます。 104 第 6 章 : Protocol Independent Multicast のサポー ト 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス PIM-SM の構成例 NSF フ ァ イ ア ウ ォ ールで PIM-SM を構成す る 最 も 簡単な方法は、 /cfg/net/route/pim/vlan コ マ ン ド を使用 し て 2 つ以上の VLAN で PIM を有効にす る こ と です。 図 6-1 は、 稼 働中の PIM-SM 構成の例を示 し てい ます。 CLI コ マ ン ド については、 「PIM-SM サポー ト の構成」 (108 ページ) を参照 し て く だ さ い。 RP䇮C-BSR 䈍䉋䈶 C-RP Passport 8600 䉁䈢䈲 NSF #31 2 7 10 eth3 111.111.111.1 v11 111.111.111.31 1 eth1 33.33.33.1 ㅍାర 䉣䉾䉳㩷䊦䊷䉺䊷 eth2 66.66.66.1 v2 v50 55.55.55.31 8 SPT 9 6 v70 77.77.77.11 v70 77.77.77.21 v6 66.66.66.11 v50 55.55.55.21 13 5 䊃䊤䊮䉳䉾䊃㩷䊦䊷䉺䊷 NSF #21 ฃାవ 図 6-1 PIM セ ッ ト ア ッ プの例 217014-B-JA, 2005 年 12 月 第 6 章 : Protocol Independent Multicast のサポー ト 105 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス こ の構成例では、 受信先、 送信元の順に以下の イ ベン ト が発生 し ます。 1. BSR が選択 さ れます。 2. RP 候補ルー タ ーが RP ルー タ ー情報を BSR にユニキ ャ ス ト し ます。 3. 選択 さ れた BSR が RP ルー タ ー情報を ネ ッ ト ワー ク内のすべての PIM ルー タ ーに配 信 し ます。 4. 各 PIM ルー タ ーがすべてのグループ を対象に RP ルー タ ーを計算 し ます。 5. 受信先が起動 し 、 IGMP v2 メ ンバーシ ッ プ レ ポー ト を DR に送信 し ます。 6. 受信先の DR が (*,G) join を RP ルー タ ーに送信 し ます。 7. 送信元がア ク テ ィ ブにな り 、 DR へのデー タ 送信を開始 し ます。 8. 送信元の DR がデー タ を カ プ セル化 し 、 RP ルー タ ーにユニキ ャ ス ト し ます。 9. RP ルー タ ーが送信元のデー タ を受信先に転送 し ます。 10. RP ルー タ ーが送信元へ向か う (S, G) join を作成 し ます。 11. RP ルー タ ーが (S,G) から のデー タ 受信を開始 し ます。 12. RP ルー タ ーが register-stop を受信先の DR に送信 し ます。 13. 受信先の DR が送信元へ向か う SPT を作成 し て、 join を送信元へ直接送信 し ます。 106 第 6 章 : Protocol Independent Multicast のサポー ト 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 構成の前提要件 PIM-SM を構成す る 前に、 フ ァ イ ア ウ ォ ールを以下の よ う に準備 し てお く 必要があ り ます。 1. IP イ ン タ フ ェ ース と VLAN を構成 し ます。 2. 以下のルー ト を使用 し てネ ッ ト ワー ク を構成 し 、 送信元、 受信先、 および RP ルー タ ーが ユニキ ャ ス ト ルーテ ィ ン グで到達可能である こ と を確認 し ます。 ス タ テ ィ ッ ク ルー ト RIP や OSPF な ど のダ イ ナ ミ ッ ク ユニ キ ャ ス ト ルー ト RIP お よ び OSPF については、 第 4 章、 「Routing Information Protocol」 お よ び第 5 章、 「Open Shortest Path First」 を 参照 し て く だ さ い。 基本的に、 RP ルー タ ー、 送信元、 受信先は、 PIM ド メ イ ン内のすべての PIM 対応ルー タ ーでユニ キ ャ ス ト プ ロ ト コ ル (ス タ テ ィ ッ ク ま たはダ イ ナ ミ ッ ク ) を介 し て到達可能であ る 必要があ り ます。 3. NSF フ ァ イ アウ ォ ール上の PIM-SM を ト ラ ン ジ ッ ト ルー タ ー と し て構成する には、 以下の設定が必要です。 4. PIM-SM を グ ロ ーバルに有効に し ます。 各 VLAN 上で PIM-SM を有効に し ます。 (オプ シ ョ ン) RP 候補ルー タ ー と BSR 候補を設定 し ます。 注 - RP 候補ルー タ ー と BSR 候補は、 同 じ フ ァ イ ア ウ ォールま たはルー タ ーに対 し て 設定す る こ と をお勧め し ます。 NSF フ ァ イ ア ウ ォ ールを BSR 候補 と し て設定 し 、 RP ルー タ ー情報を ネ ッ ト ワー ク 上のすべての PIM 対応デバ イ ス に配信 し ます。 NSF フ ァ イ ア ウ ォ ールを RP 候補ルー タ ー と し て設定 し ます。 /cfg/net/route/pim/RPcand/advprefixes コ マ ン ド を 使用 し て、 マルチ キ ャ ス ト グループのプ レ フ ィ ッ ク ス ア ド レ ス が RP 候補ルー タ ーで ア ド バ タ イ ズ さ れ る よ う 設定 し ます。 た と えば、 ネ ッ ト ワ ー ク ア ド レ ス 224.0.0.0 と マ ス ク 240.0.0.0 を使用す る と 、マルチキ ャ ス ト グループ全体を ア ド バ タ イ ズで き ます。 217014-B-JA, 2005 年 12 月 第 6 章 : Protocol Independent Multicast のサポー ト 107 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス PIM-SM サポー ト の構成 ノ ーテルでは、 ご使用の NSF を ト ラ ン ジ ッ ト ルー タ ー と し て構成 し 、 Passport 8600 を RP 候補ルー タ ーお よ び BSR 候補 と し て構成す る こ と をお勧め し ま す。 ご使用の NSF フ ァ イ ア ウ ォ ールを PIM-SM サポー ト 用に構成す る には(構成は図 6-1(105 ペー ジ) に基づいてい ます)、 以下の手順を実行 し ます。 1. 以下の コ マ ン ド を使用 し て、 ト ラ ン ジ ッ ト ルー タ ー (NSF#21) を構成 し ます。 /cfg/net/route/pim/vlan 50/ena /cfg/net/route/pim/vlan 70/ena /cfg/net/route/pim/ena 2. 以下の コ マ ン ド を使用 し て、 RP ルー タ ー (NSF#31) を構成 し ます。 /cfg/net/route/pim/vlan 50/ena /cfg/net/route/pim/vlan 111/ena /cfg/net/route/pim/RPcand/localaddr 111.111.111.31/ena /cfg/net/route/pim/RPcand/advprefixes/add 224.0.0.0 4 /cfg/net/route/pim/BSRcand/localaddr 111.111.111.31/ena /cfg/net/route/pim/ena 108 第 6 章 : Protocol Independent Multicast のサポー ト 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス PIM-SM 構成の検証 こ こ では、 ト ラ ン ジ ッ ト ルー タ ー (図 6-1 (105 ページ) の NSF #21) 上に表示 さ れ る 出力内容を示 し ます。 1. PIM ネ イバ と PIM 対応 VLAN の構成が以下のよ う にな っ ている こ と を確認 し ます。 PIM デーモ ンの場合 >> MRoute Information# /info/net/route/mroute/vif/pim Virtual Interface Table Vif Local-Address Subnet Thresh 0 55.55.55.21 55.55.55/24 1 1 77.77.77.21 77.77.77/24 1 2 55.55.55.21 register_vif0 1 Flags PIM QR DR PIM REGISTER Neighbors 55.55.55.31 77.77.77.11 PIM デーモ ン は vif (仮想 イ ン タ フ ェ ー ス) と VLAN と のマ ッ ピ ン グ を 保守 し ま す。 register_vif は PIM register パケ ッ ト のカプセル化に使用 さ れ ます。 表 6-1 は、 PIM ネ イ バ / 仮想 イ ン タ フ ェ ース テーブルに表示 さ れ る フ ラ グ を示 し てい ます。 表 6-1 仮想イ ン タ フ ェ ース テーブルの フ ラ グ フ ラグ 説明 DR LAN の指定ルー タ ー NO-NBR こ の LAN 上に PIM ネ イ バが存在 し ない。 PIM こ の LAN 上で PIM ネ イ バが検出 さ れた。 QR イ ン タ フ ェ ース は IGMP ク エ リ ア ま たは LAN であ る 。 REGISTER register パケ ッ ト のカプセル化 / カプセル解除に使用する Register vif ( ト ラ ブルシ ュ ーテ ィ ン グ用のオプシ ョ ン) Config デーモ ンの場合 >> Virtual Interface Table Information# /info/net/route/mroute/vif/table Cfgd Multicast VIF Table Information 3 total vifs: IfIndex IfName ===== ====== 9 v2 10 v5 12 v11 217014-B-JA, 2005 年 12 月 PimVif ====== 0 1 2 第 6 章 : Protocol Independent Multicast のサポー ト 109 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 2. 以下の コ マ ン ド を使用 し て、 RP ルー タ ーが構成済みで到達可能であ る こ と を確認 し ます。 >> Main# /info/net/route/mroute/rpset ---------------------------RP-Set---------------------------Current BSR address: 111.111.111.31 RP-address Incoming Group prefix Priority Holdtime 111.111.111.31 3 224/4 20 60 3. マルチキ ャ ス ト ルー ト を表示 し ます。 マルチキ ャ ス ト ルー ト が以下のよ う にな っ ている こ と を確認 し ます。 >> Filter PIM MRT# /info/net/route/mroute/mrt/table Multicast Route Table Information 5 total routes: Num Type Group Src RP Stale InVlan OutVlan === ==== ==== === === === ==== 1 igmp 224.0.0.1 false 2 igmp 224.0.0.2 false 3 igmp 224.0.0.5 false 4 igmp 224.0.0.6 false 5 igmp 224.0.0.13 false 6 pim 225.1.1.1 33.33.33.3 111.111.111.31 false 50 (v5 55.55.55.21/24) 70 (v7 77.77.77.21/24) 最後の行 (6) は、 送信元 と 受信先が起動 し ていて、 VLAN 50 と VLAN 70 上でデー タ を送受信 し てい る こ と を示 し てい ます。 stale フ ラ グは製品の ト ラ ブルシ ュ ーテ ィ ン グに使用 し ます。 通常の状態では stale フ ラ グは false にな っ てい ま す。 こ れは、 そのルー ト が ま だ Firewall Accelerator 内にあ る こ と を 意味 し ま す。 一般に、 ルー ト はデ フ ォ ル ト の時間 (120 秒) だ け Firewall Accelerator 内に保持 さ れます。 Firewall Accelerator 内にルー ト を保持す る 時間を設定 す る には、 /cfg/net/route/misc/ftimer 下の false timer コ マ ン ド を 使用 し ま す。 こ れは MIP の移行中で も 使用で き る ため、 ト ラ フ ィ ッ ク が途切れ る こ と はあ り ま せん。 110 第 6 章 : Protocol Independent Multicast のサポー ト 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス PIM テーブル内のマルチキ ャ ス ト ルー ト に関す る 詳細情報を表示す る には、 pim_det、 pim_sum、 pim_grp の各 コ マ ン ド を以下の よ う に使用 し ます。 pim_det コ マ ン ド は、 マルチキ ャ ス ト ルー ト に関す る 詳細情報を表示 し ます。 >> Virtual Interface Table Information# /info/net/route/mroute/mrt/pim_det Multicast Routing Table Source Group RP-addr Flags RPF-Nbr-UP ------------------------------(*,G)---------------------------INADDR_ANY 225.1.1.1 111.111.111.31 WC RP CACHE 55.55.55.31 Joined oifs:.j. Pruned oifs: ... ~(S,G,RP) oifs: ... Leaves oifs: ... Asserted oifs: ... Outgoing oifs:.o. Incoming :I.. TIMERS:Entry 160 JP RS Assert VIFS: 15 0 0 0 1 2 0 60 0 ------------------ Kernel Cache -- FOR -- (*,G)------------------33.33.33.3 225.1.1.1 111.111.111.31 WC RP CACHE 55.55.55.31 Joined oifs:.j. Pruned oifs: ... ~(S,G,RP) oifs: ... Leaves oifs: ... Asserted oifs: ... Outgoing oifs:.o. Incoming :I.. TIMERS:Entry 160 JP RS Assert VIFS: 15 0 0 0 1 2 0 60 0 -------------------------------(*,*,RP)--------------------------Number of Groups: 1 Number of Cache MIRRORs: 0 217014-B-JA, 2005 年 12 月 第 6 章 : Protocol Independent Multicast のサポー ト 111 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 6-2 は、 マルチキ ャ ス ト ルーテ ィ ン グ テーブルに表示 さ れ る フ ラ グ を示 し てい ま す。 表 6-2 マルチキ ャ ス ト ルーテ ィ ン グ テーブルの フ ラ グ フ ラグ 説明 WC (*,G) エン ト リ SG (S,G) エン ト リ RP RP へ向か う iif SPT 送信元へ向か う iif と 転送デー タ を持つ (S,G) エン ト リ REG P Register suppression タ イ マが作動 し てい る 送信元の DR REG J Register suppression タ イ マが作動 し ていない送信元の DR IIF_REG RP の着信 イ ン タ フ ェース が register イ ン タ フ ェース であ る 。 RP ルー タ ーは こ のエン ト リ で register メ ッ セージ を リ ス ニ ン グする 。 NULL_OIF Null 発信 イ ン タ フ ェース リ ス ト ASSERTED イ ン タ フ ェ ース で受信 し た アサー ト CACHE こ の特定の (*,G) ま たは (S,G) 用 SFA に発行 さ れ る エン ト リ マルチキ ャ ス ト ルーテ ィ ン グ テーブルの Kernel Cache セ ク シ ョ ンには、 着信 イ ン タ フ ェース (iif) が登録済み イ ン タ フ ェース (iif=register_iif) にな っ てい る エ ン ト リ を除 く 、 Firewall Accelerator に発行 さ れたエ ン ト リ が リ ス ト さ れ ます。 oifs に含まれてい る 各 ド ッ ト は、 /i/net/route/mroute/vif/pim 下に リ ス ト さ れた 仮想 イ ン タ フ ェ ース (vif) を表 し てい ます。 た と えば、 Joined oifs: .j. に含まれてい る 各 ド ッ ト は、 vif 0 と vif 2 を表 し (109 ページ の仮想 イ ン タ フ ェース テーブルを参照)、 「j」 は vif 1 ま たはダ ウ ン ス ト リ ームの受信 先を持つ イ ン タ フ ェース を表 し てい ます。 ~ (S,G,RP) エ ン ト リ は、 (S,G) RPT pruned oifs を表 し てい ます。 マルチキ ャ ス ト ルーテ ィ ン グ テーブルの Timers セ ク シ ョ ン には、以下の情報が示 さ れてい ます。 表 6-3 Timer 変数 Timer 変数 説明 Entry Entry タ イ マ JP ア ッ プ ス ト リ ーム の join/prune タ イ マ RS Register suppression タ イ マ Assert Assert タ イ マ VIF タ イ マ 有効な各 vif に対す る ダ ウ ン ス ト リ ーム の vif タ イ マ 112 第 6 章 : Protocol Independent Multicast のサポー ト 217014-B-JA, 2005 年 12 月 第7章 拡張 DoS プ ロ テ ク シ ョ ン こ の章では、 Nortel Switched Firewall の拡張 DoS プ ロ テ ク シ ョ ン機能について説明 し ます。 こ の機能を使用す る と 、 幅広いネ ッ ト ワ ー ク 攻撃を阻止す る こ と がで き ます。 こ こ で説明す る 機能は、 新 し いセ キ ュ リ テ ィ メ ニ ュ ー コ マ ン ド に含ま れ ます。 こ の 章は以下のセ ク シ ョ ン か ら 構成 さ れてい ます。 「拡張 DoS プ ロ テ ク シ ョ ン と は」 (114 ページ) では、 拡張 DoS プ ロ テ ク シ ョ ン を 提供す る ための基本原理 と 、 従来の フ ァ イ ア ウ ォ ールが悪意のあ る ネ ッ ト ワ ー ク 攻撃を阻止す る 際に こ れ ら の機能が ど う 役立つかについて説明 し ます。 「IP ア ド レ スのア ク セス制御 リ ス ト 」 (116 ページ) では、 大規模な範囲の IP ア ド レ ス のブ ロ ッ ク を設定す る 方法について説明 し ます。 「UDP ブ ラ ス ト 攻撃か らの保護」 (118 ページ) では、 UDP ポー ト 上の ト ラ フ ィ ッ ク を監視 し 、 1 秒あ た り の最大接続数ま でに制限す る 方法について説明 し ます。 「一般的なサービ ス拒否攻撃か ら の保護」 (120 ページ) では、 一般的なサービ ス 拒否 (DoS) 攻撃が、安全でないネ ッ ト ワー ク に接続 さ れた フ ァ イ ア ウ ォ ール ポー ト に侵入す る の を防 ぐ 方法について説明 し ます。 「プ ロ ト コ ルベースのレー ト 制限」 (124 ページ) では、 UDP、 ICMP、 ま たは TCP の着信 ト ラ フ ィ ッ ク を監視 し 、 設定可能な時間枠内に制限す る 方法について説明 し ます。 「TCP または UDP のパ タ ーン マ ッ チ ン グ」 (133 ページ) では、 IP パケ ッ ト に埋 め込まれたバ イ ナ リ ま たは ASCII パ タ ーン のマ ッ チン グ を行い、 こ れ ら のパ タ ー ン が含 ま れた ト ラ フ ィ ッ ク を拒否す る フ ィ ル タ に適用 さ れ る パ タ ーン グループ に組み込む方法について説明 し ます。 113 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 拡張 DoS プ ロ テ ク シ ョ ン と は 拡張 DoS プ ロ テ ク シ ョ ン機能セ ッ ト は、 Nortel Switched Firewall の機能を拡張 し て、 アプ リ ケーシ ョ ン イ ン テ リ ジ ェ ン ト な フ ァ イ ア ウ ォ ール と し て動作す る よ う に し た も のです。 こ の章で説明す る 諸機能を使用す る と 、 悪意のあ る コ ン テ ン ツ を詳 し く 検 査 し てブ ロ ッ ク す る よ う NSF 4.4.1 を設定で き ます。た と えば、新型の ウ ィ ル ス、 ワー ム、 悪意のあ る コ ー ド 、 バグの多いアプ リ ケーシ ョ ン、 サ イ バー攻撃な ど の多 く は、 HTTP ポー ト 80 経由で フ ァ イ ア ウ ォ ールを通過す る ト ン ネ リ ン グ を行 う か、 攻撃を SSL ト ン ネルにカプセル化す る こ と で、 アプ リ ケーシ ョ ンやプ ロ ト コ ルの脆弱性をね ら い ます。標準のネ ッ ト ワ ー ク フ ァ イ ア ウ ォ ールは HTTP ポー ト 80 へのア ク セ ス を 開閉す る よ う 設定 さ れてい る だけなので、 こ の よ う なパケ ッ ト は検出 さ れずに通過 し て し ま い ます。 多 く の攻撃 (nullscan、 xmascan、 scan SYNFIN な ど) は、 不法な フ ィ ー ル ド を IP ヘ ッ ダーに組み込んで意図的に奇形化 し たパケ ッ ト を使用 し て作成 さ れ ま す。 セキ ュ リ テ ィ 検査のワー ク フ ロー 以下に、 セ キ ュ リ テ ィ 検査を処理す る アプ リ ケーシ ョ ン フ ァ イ ア ウ ォ ールの一般的 な ワー ク フ ロ ーについて説明 し ます。 1. Nortel Switched Firewall は事前定義 さ れたルール セ ッ ト で構成 さ れています。 検査の パ フ ォ ーマ ン ス を高める ため、 オ フ セ ッ ト 値を使用 し て複雑なパ タ ーン検査ルールを 定義で き ます。 こ う する と 、 検査エ ン ジ ンが検査対象のロ ケーシ ョ ン に直接ア ク セス で き る よ う にな り ます。 ウ ィ ルス パ タ ー ンは、 IP ペ イ ロ ー ド 内に複数のパ タ ーンが 組み合わ さ っ て い る こ と がよ く あ り ま す。 複数のパ タ ー ン を 検査 し 、 それ ら を ペ イ ロ ー ド 内の さ ま ざ ま な オ フ セ ッ ト で見つけ る よ う ア プ リ ケーシ ョ ン フ ァ イ ア ウ ォ ー ルを設定する こ と が可能です。 2. パケ ッ ト が Nortel Switched Firewall に入 り ます。 3. Nortel Switched Firewall は、 パケ ッ ト の内容 と ルールを比較 し てパケ ッ ト を検査 し ま す。 4. 攻撃パ タ ーンが一致する と 、 ア プ リ ケーシ ョ ン フ ァ イ アウ ォ ールは こ のパケ ッ ト を 破棄 し 、 フ ァ イ アウ ォ ール内にセ ッ シ ョ ン を作成 し て、 さ ら にルール検査を実行 し な く て も 同 じ セ ッ シ ョ ン (TCP の場合) の後続パケ ッ ト が破棄 さ れる よ う に し ます。 114 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス その他の タ イ プのセキ ュ リ テ ィ 検査 Nortel Switched Firewall では検査エ ン ジ ン を使用す る こ と で、 複雑なプ ロ ト コ ル (ダ イ ナ ミ ッ ク ポー ト を使用 し て ク ラ イ ア ン ト 間の通信を確立す る ピ ア ツーピ ア プ ロ グ ラ ム で使用 さ れ る プ ロ ト コ ルな ど) に対す る レー ト 制限機能を提供 し てい ます。 レ イ ヤ 4 ポー ト レ ベルではプ ロ ト コ ル署名が見え ないため、 標準フ ァ イ ア ウ ォ ールでは こ れ ら のプ ロ グ ラ ム を検出で き ません。 こ の よ う なプ ロ ト コ ルの多 く は署名が HTTP ヘ ッ ダーに埋め込 ま れてい る か、 場合に よ っ てはデー タ ペ イ ロ ー ド 自体に埋め込 ま れてい ます。 詳細については、 「TCP または UDP のパ タ ーン マ ッ チ ン グ」 (133 ペー ジ) を参照 し て く だ さ い。 Nortel Switched Firewall では、こ れ ら のプ ロ グ ラ ム に よ っ て生成 さ れた合計 ト ラ フ ィ ッ ク の量を レ ー ト 制限す る こ と も 可能です。 レ ー ト 制限は、 ピ ア ツーピ ア プ ロ グ ラ ム が到達で き る のが合計 ト ラ フ ィ ッ ク の 70% 程度の ケーブル ISP や大学施設に特に有 効です。 詳細については、 「プ ロ ト コ ルベースのレ ー ト 制限」 (124 ページ) を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 115 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス IP ア ド レ スのア ク セス制御 リ ス ト Nortel Switched Firewall の構成には、 フ ァ イ ア ウ ォ ールへのア ク セ ス が拒否 さ れ る ク ラ イ ア ン ト IP ア ド レ ス範囲か ら な る IP ア ク セ ス制御 リ ス ト (ACL) を使用で き ます。 ト ラ フ ィ ッ ク が フ ァ イ ア ウ ォ ールに入っ て く る と 、 ク ラ イ ア ン ト の送信元 IP ア ド レ ス が こ のア ド レ ス プール と 照合 さ れ ま す。 一致が検出 さ れ る と 、 その ク ラ イ ア ン ト の ト ラ フ ィ ッ ク がブ ロ ッ ク さ れます。 ACL と フ ィ ル タ の比較 ア ク セ ス 制御 リ ス ト (ACL) は、 ど の IP ア ド レ ス がネ ッ ト ワ ー ク にア ク セ ス で き る か を制御す る のに使用 さ れます。 フ ィ ル タ と は違い、 Nortel Switched Firewall の ACL 機能は deny ア ク シ ョ ン し か実行で き ません。 ト ラ フ ィ ッ ク を拒否す る か ど う かの決 定は、 ク ラ イ ア ン ト IP と ACL の間で一致が検出 さ れたか ど う かのみに基づ き ます。 IP ア ク セ ス制御 リ ス ト (ipacl) コ マ ン ド を使用す る と 、 最大 5000 のブ ロ ッ ク 可能 IP ア ド レ ス か ら な る プールを構成で き ます。 フ ィ ル タ は IP ア ド レ ス 範囲を ブ ロ ッ ク す る こ と で同 じ 機能を実行で き ま すが、 フ ィ ル タ には送信元 IP ア ド レ ス のほかに も 情報が含 ま れてお り 、 ト ラ フ ィ ッ ク を許可す る か、 拒否す る か、 リ ダ イ レ ク ト す る か を決定す る 前に、 着信 ト ラ フ ィ ッ ク に対 し て こ れ ら の情報のマ ッ チン グ も 行 う 必要があ り ます。 注 - IP ACL 機能はグ ロ ーバルお よ びポー ト レベルご と に設定で き ます。 仕組み IP ACL 機能はハ ッ シ ュ テーブルを使用 し て、設定 さ れた IP ア ド レ ス範囲を効率的に ブ ロ ッ ク し ます。 ア ク セ ス制御 リ ス ト はグ ロ ーバル リ ス ト です。 デフ ォ ル ト に よ り 、 フ ァ イ ア ウ ォ ールに対 し ては無効にな っ てお り 、 ポー ト ご と に有効にな っ てい ます。 IP ア ク セ ス 制御 リ ス ト 処理で有効に な っ て い る ポー ト にパ ケ ッ ト が入 っ て く る と 、 フ ァ イ ア ウ ォ ールは ク ラ イ ア ン ト の送信元 IP ア ド レ ス と 、 IP ア ド レ ス が含まれた内 部ハ ッ シ ュ テーブル と を比較 し ます。 一致 し た IP ア ド レ ス を持つパケ ッ ト は破棄 さ れ ま す。 ど のハ ッ シ ュ テーブルで も ア ド レ ス の一致が検出 さ れなか っ た場合は、 パ ケ ッ ト が通過で き ます。 116 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ア ク セス制御 リ ス ト の構成 1. ブ ロ ッ ク する IP ア ド レ ス を追加 し ます。 以下の例では、 IP ア ド レ ス 10.1.1.0 か ら の ト ラ フ ィ ッ ク が拒否 さ れ ます。 ([IP ACL] メ ニ ュ ーを選択) >>Main# /cfg/sec/ipacl >> IP ACL# add Enter IP address:10.1.1.0 (ブ ロ ッ ク する ネ ッ ト ワー ク ア ド レ ス を 入力) (適切なマス ク を入力) Enter subnet mask:255.255.255.0 2. 破棄する必要のあ る IP ア ド レ スがほかに も あ る場合は、 ス テ ッ プ 1 を繰 り 返 し て設 定 し ます。 3. 着信ポー ト 6 で IP ACL 処理を有効に し ます。 >> Main# /cfg/net/port 6/sec >> Security# ipacl Current value:n Enable (y|n)?:y 4. (ポー ト 6 で IP ACL を有効にする) 構成内容を適用 し て保存 し ます。 IP ACL 統計情報の表示 IP ア ド レ ス / マ ス ク のペア ご と に累積 さ れたブ ロ ッ ク 済みパケ ッ ト を表示す る には、 以下の コ マ ン ド を入力 し ます。 >> /info/security/dump (IP ACL 統計情報を ダ ン プ) >> Advanced Security# dump -----------------------------------------------------------------IP ACL stats: Source IP Address/Mask Type Blocked Packets ------------------------------- ----- --------------30.30.30.105/0.0.255.255 user 11226348 ----------------------------------------------------------------->> Advanced Security# 217014-B-JA, 2005 年 12 月 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 117 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス UDP ブ ラ ス ト 攻撃からの保護 UDP プ ロ ト コ ル ポー ト を介 し た悪意のあ る 攻撃は、 実際のサーバーを ダ ウ ン さ せ る 一般的な手段にな り つつあ り ます。 Nortel Switched Firewall では、 任意の UDP ポー ト 上で許可 さ れ る ト ラ フ ィ ッ ク の量を制限す る よ う 設定 し て、 バ ッ ク エ ン ド サーバー がデー タ で溢れない よ う にす る こ と が可能です。 UDP ブ ラ ス ト はグ ロ ーバルお よ びポー ト ご と に設定で き ます。CLI では、一連の UDP ポー ト 範囲 と 、 その範囲に対 し て許可 さ れ る パケ ッ ト の上限を指定 し ます。 こ の範囲 外の UDP ポー ト は、 こ のプ ロ テ ク シ ョ ン の対象外 と な り ま す。 1 秒あ た り のパケ ッ ト 最大数に達す る と 、 こ れ ら のポー ト 上で UDP ト ラ フ ィ ッ ク がシ ャ ッ ト ダ ウ ン さ れ ます。 UDP ブ ラ ス ト プ ロ テ ク シ ョ ン を設定す る には、 以下の手順を実行 し ます。 1. UDP 攻撃から 保護する UDP ポー ト 番号または UDP ポー ト 範囲を設定 し ます。 >> /cfg/sec/udpblast 2. ([UDP Blast Protection] メ ニ ュ ーにア ク セス) UDP ポー ト 234 に対する 1 秒あた り の最大パケ ッ ト レ ー ト を 1024 パケ ッ ト / 秒に 制限 し ます。 >> UDP Blast# add Enter UDP port number (1 to 65535): 234 Enter max packet rate per second (1 to 20000000):1024 Nortel Switched Firewall では、 1 ~ 65535 の任意の整数を 使用 し て最大 5000 の UDP ポー ト 番号を指定で き ます。 ポー ト 範囲全体で、 最大ポー ト 番号 と 最小ポー ト 番号 と の差は 5000 以下でなければな り ません。 た と えば、 1000 pps で UDP ポー ト 1001 ~ 2000、 2000 pps で UDP ポー ト 2001 ~ 4000、 5000 pps で UDP ポー ト 4001 ~ 6000 な ど を設定 し ます。 3. ポー ト 6 で UDP ブ ラ ス ト プ ロ テ ク シ ョ ン を有効に し ます。 /cfg/net/port 6/sec >> Security# udpblast Current value:n Enable (y|n)?:y 4. (ポー ト 6 で UDP ブ ラ ス ト を有効にする) 構成内容を適用 し て保存 し ます。 118 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス UDP ブ ラ ス ト 統計情報の表示 UDP ポー ト ご と に累積 さ れたブ ロ ッ ク 済みパケ ッ ト を表示す る には、以下の コ マ ン ド を入力 し ます。 >> /info/security/dump UDP Port Blocked Packets Current Packet Rate/Second -------------------------------------------------4000 11204864 0 4098 3685652 0 ------------------------------------------------------------ 217014-B-JA, 2005 年 12 月 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 119 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 一般的なサービ ス拒否攻撃からの保護 Nortel Switched Firewall では、Port Smurf、LandAttack、Fraggle、Blat、Nullscan、Xmascan、 PortZero、 Scan SynFin な ど の さ ま ざ ま なサービ ス拒否 (DoS) 攻撃か ら ポー ト を保護 で き ま す。 安全でないネ ッ ト ワ ー ク に接続 さ れ る すべてのポー ト に対 し て DoS プ ロ テ ク シ ョ ン を有効に し て く だ さ い。 DoS 攻撃対策は、 ポー ト ご と にオ ン / オ フ を切 り 替え る こ と がで き ます。 DoS プ ロ テ ク シ ョ ン を使用 し たポー ト の構成 DoS 攻撃か ら の保護機能は、 安全でないネ ッ ト ワー ク に接続 さ れてい る すべての フ ァ イ ア ウ ォ ール ポー ト に対 し て有効にす る 必要があ り ま す。 こ の機能を有効に し た場 合は、 サポー ト さ れてい る タ イ プの DoS 攻撃を含むパケ ッ ト を自動的に検出 し 、 破 棄 し ます。 1. ポー ト 6 で DoS プ ロ テ ク シ ョ ン を適用 し ます。 >> Main# /cfg/net/port 6/sec >> Security# dos Current value:n Enable (y|n)?:y (ポー ト 6 で DoS プ ロ テ ク シ ョ ン を有効にする) 注 - ク ラ ス A ま たは ク ラ ス B のサブネ ッ ト 向けパケ ッ ト を転送す る ポー ト に対 し て は、 DoS 攻撃保護機能を有効に し ないで く だ さ い。 宛先 IP ア ド レ ス が x.x.x.255 と い う 形式で あれば、 ク ラ ス A ま たは ク ラ ス B のサブネ ッ ト を使用 し てい ます。 DoS 攻 撃保護機能が有効にな っ てい る ポー ト に到着 し たデー タ パケ ッ ト の宛先 IP ア ド レ ス が x.x.x.255 形式の場合、 そのパケ ッ ト は破棄 さ れ ます。 2. DoS プ ロ テ ク シ ョ ン を適用するポー ト がほかに も あ る場合は、 手順 1 を繰 り 返 し ま す。 3. 構成内容を適用 し て保存 し ます。 DoS 統計情報の表示 フ ァ イ ア ウ ォ ール ま たは特定のポー ト で DoS 攻撃が検出 さ れた と き にパケ ッ ト が破 棄 さ れた回数を確認す る こ と がで き ます。 攻撃が検出 さ れ る と 、 フ ァ イ ア ウ ォ ールか ら 以下の よ う な メ ッ セージ が生成 さ れ ま す。 Jun 18 22:33:32 ALERT security:DoS Attack:Fraggle sip:192.115.106.200 dip:192.115.106.255 ingress port:1 120 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 以下の コ マ ン ド を使用す る と 、 特定のポー ト についてのみ DoS プ ロ テ ク シ ョ ン の統 計情報が表示 さ れ ます。 >> /info/security/dump -----------------------------------------------------------------Protocol anomaly and DoS attack prevention statistics for port 6: Smurf:634949791 LandAttack:633480305 Fraggle: 637075623 Nullscan:980918977 Xmascan:980919182 ScanSynFin: 980919261 PortZero:1286451629 Blat: 980918619 -----------------------------------------------------------------Protocol anomaly and DoS attack prevention statistics for port 1: Smurf:0 LandAttack:0 Fraggle: 0 Nullscan:0 Xmascan:0 ScanSynFin: 0 PortZero:0 Blat: 0 -----------------------------------------------------------------Protocol anomaly and DoS attack prevention statistics for port 6: Smurf:634949791 LandAttack:633480305 Fraggle: 637075623 Nullscan:980918977 Xmascan:980919182 ScanSynFin: 980919261 PortZero:1286451629 Blat: 980918619 ----------------------------------------------------------------->> Advanced Security# DoS 攻撃の タ イ プについて NSF 4.1.1 で適切な ポー ト に対 し て DOS プ ロ テ ク シ ョ ン を有効にす る と 、 フ ァ イ ア ウ ォ ールは着信パケ ッ ト に対 し て以下の よ う なチ ェ ッ ク を実行 し ます。 Smurf 説明 : 攻撃者が ICMP ping 要求を複数のブ ロ ー ド キ ャ ス ト 宛先 IP (x.x.x.255) に 送信 し ます。 パケ ッ ト には、 被害者の偽の送信元 IP が含ま れてい ます。 フ ァ イ ア ウ ォ ール ア ク シ ョ ン : すべてのパケ ッ ト を対象に、 フ ィ ル タ でブ ロ ー ド キ ャ ス ト ア ド レ ス に設定 さ れた宛先 IP をチ ェ ッ ク し 、 一致す る パケ ッ ト をすべ て破棄 し ます。 影響を受け る プ ロ ト コ ル : ICMP LandAttack 説明 : 送信元 IP ア ド レ ス (sip) を持つパケ ッ ト が宛先 IP (dip) ア ド レ ス と 同 じ にな り ます。 フ ァ イ ア ウ ォ ール ア ク シ ョ ン : フ ァ イ ア ウ ォ ールはパケ ッ ト 内の sip=dip を チ ェ ッ ク し て、 一致す る パケ ッ ト をすべて破棄 し ます。 影響を受け る プ ロ ト コ ル : TCP/UDP/ICMP 217014-B-JA, 2005 年 12 月 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 121 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Fraggle 説明 : Smurf 攻撃 と 同様に、 攻撃がブ ロ ー ド キ ャ ス ト ア ド レ ス に向け ら れ ますが、 送信 さ れ る パケ ッ ト が ICMP ではな く UDP であ る 点が異な り ます。 フ ァ イ ア ウ ォ ール ア ク シ ョ ン : 宛先ア ド レ ス がブ ロ ー ド キ ャ ス ト ア ド レ ス に設 定 さ れた UDP パケ ッ ト をすべて拒否 し ます。 注 - Fraggle 攻撃を有効にす る と 、 ス イ ッ チが着信 RIP v1 パケ ッ ト を破棄す る 可能性 があ り ます。 影響を受け る プ ロ ト コ ル : UDP NULLscan 説明 : TCP シーケ ン ス番号が 0 にな り 、 制御ビ ッ ト も すべて 0 にな り ます。 フ ァ イ ア ウ ォ ール ア ク シ ョ ン : フ ィ ル タ ま たは ク ラ イ ア ン ト 処理の前にすべての パケ ッ ト をチ ェ ッ ク し 、 一致す る パケ ッ ト をすべて破棄 し ます。 影響を受け る プ ロ ト コ ル : TCP Xmascan 説明 : シーケ ン ス番号が 0 にな り 、 FIN ビ ッ ト 、 URG ビ ッ ト 、 PSH ビ ッ ト が設定 さ れ ます。 フ ァ イ ア ウ ォ ール ア ク シ ョ ン : フ ィ ル タ ま たは ク ラ イ ア ン ト 処理の前にすべての パケ ッ ト をチ ェ ッ ク し 、 一致す る パケ ッ ト をすべて破棄 し ます。 影響を受け る プ ロ ト コ ル : TCP Scan SYNFIN 説明 : パケ ッ ト 内に SYN ビ ッ ト と FIN ビ ッ ト が設定 さ れ ます。 フ ァ イ ア ウ ォ ール ア ク シ ョ ン : フ ィ ル タ ま たは ク ラ イ ア ン ト 処理の前にすべての パケ ッ ト をチ ェ ッ ク し 、 一致す る パケ ッ ト をすべて破棄 し ます。 影響を受け る プ ロ ト コ ル : TCP PortZero 説明 : 攻撃者が送信元ポー ト ま たは宛先ポー ト (dport) が 0 の TCP ま たは UDP パケ ッ ト を送信 し ます。 フ ァ イ ア ウ ォ ール ア ク シ ョ ン : dport=0 ま たは sport=0 に設定 さ れたすべての TCP ま たは UDP パケ ッ ト をチ ェ ッ ク し 、一致す る パケ ッ ト をすべて破棄 し ます。 影響を受け る プ ロ ト コ ル : TCP、 UDP 122 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Blat 説明 : 送信元 IP ア ド レ ス (sip) を持つパケ ッ ト は宛先 IP ア ド レ ス (dip) と 異な り ますが、 送信元ポー ト (sport) が宛先ポー ト (dport) と 同 じ にな り ます。 フ ァ イ ア ウ ォ ール ア ク シ ョ ン : フ ァ イ ア ウ ォ ールは送信元 IP ≠宛先 IP 、 sport=dport をチ ェ ッ ク し 、 一致す る パケ ッ ト をすべて破棄 し ます。 影響を受け る プ ロ ト コ ル : TCP その他の タ イ プの DoS 攻撃の防止 こ こ では、 その他の タ イ プの DoS 攻撃を防止す る 方法について説明 し ます。 Ping Flood 説明:大量の ICMP パケ ッ ト を故意に送信 し 、サーバーを停止 さ せます。サーバー はすべての ping に応答を試みてい る 間、 サービ ス を提供で き な く な り ます。 ユーザー ア ク シ ョ ン : 「Ping Flood を阻止する レー ト 制限 フ ィ ル タ 」 (131 ページ) の説明に従っ て、 ICMP パケ ッ ト を制限す る よ う 設定 し て く だ さ い。 Ping of Death 説明 : Ping of Death 攻撃は、 フ ラ グ メ ン ト 化 さ れた ICMP エ コ ー要求パケ ッ ト を 送信 し ます。 こ れ ら のパケ ッ ト が リ アセ ン ブル さ れ る と 、 IP プ ロ ト コ ルで許可 さ れ る 65536 バ イ ト パケ ッ ト を超え る サ イ ズにな り ます。サ イ ズオーバーのパケ ッ ト に よ り サーバーの入力バ ッ フ ァ でオーバーフ ロ ーが発生 し 、 シ ス テ ム の ク ラ ッ シ ュ 、 停止、 ま たは再起動が発生す る 可能性があ り ます。 ユーザー ア ク シ ョ ン : 「大き なパケ ッ ト のマ ッ チ ン グお よび拒否 - ICMP Ping of Death の例」 (139 ページ) の説明に従っ て設定 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 123 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス プ ロ ト コ ルベースのレー ト 制限 Nortel Switched Firewall では、 特定の種類のプ ロ ト コ ルベー ス 攻撃を検出 し 、 ブ ロ ッ ク す る こ と がで き ま す。 こ れ ら の攻撃では大量の ト ラ フ ィ ッ ク を サーバーに送 り つ け、パフ ォ ーマ ン ス を大幅に低下 さ せた り 、サーバーを完全にダ ウ ン さ せた り し ます。 プ ロ ト コ ルベー ス の レ ー ト 制限は フ ィ ル タ を 介 し て実装 さ れ ま す。 Nortel Switched Firewall では現在の と こ ろ、 TCP、 UDP、 ICMP の各プ ロ ト コ ルに対 し て レー ト 制限を サポー ト し てい ます。各フ ィ ル タ は こ れ ら 3 つのプ ロ ト コ ルのいずれか を使用 し て設 定 さ れ、 レー ト 制限の有効 / 無効は [Filtering Advanced] メ ニ ュ ーで設定 さ れます。 TCP の レー ト 制限:新 し い TCP 接続要求つま り SYN パケ ッ ト を制限 し ます。フ ァ イ ア ウ ォ ールは着信 TCP 接続要求の レー ト を監視 し 、既知の IP ア ド レ ス セ ッ ト を 持つ ク ラ イ ア ン ト 要求 を 制限 し ま す。 詳細につい て は、 「TCP の レ ー ト 制限」 (125 ページ) を参照 し て く だ さ い。 UDP お よ び ICMP の レー ト 制限 : ク ラ イ ア ン ト か ら 受信 し たパケ ッ ト をすべて カ ウ ン ト し 、 設定済みの最大 し き い値 と 比較 し ます。 特定の時間枠の間に設定済み の最大 し き い値に到達 し た場合は、 設定済みの ホール ド 時間が経過す る ま でパ ケ ッ ト がすべて破棄 さ れ ま す。 詳細については、 「UDP お よ び ICMP のレ ー ト 制 限」 (125 ページ) を参照 し て く だ さ い。 時間枠 と レー ト 制限 時間枠 と は、 パケ ッ ト 受信が可能な期間 (秒単位) の設定を言い ます。 レー ト 制限は、 TCP 接続要求の最大数 と し て定義 さ れ る か (TCP の レー ト 制限の場合)、 設定 さ れた 時間枠内に特定の ク ラ イ ア ン ト か ら 受信 し た UDP ま たは ICMP パケ ッ ト の最大数 と し て定義 さ れ ます。 ホール ド 時間 フ ァ イ ア ウ ォ ールは新 し い TCP 接続数 (TCP の レー ト 制限の場合) ま たは受信 し た UDP/ICMP パケ ッ ト 数 (UDP/ICMP の レー ト 制限の場合) を監視 し ます。 新 し い接続 数ま たはパケ ッ ト 数が設定済みの制限値を上回 る と 、 その ク ラ イ ア ン ト か ら 新たに送 信 さ れ る TCP 接続要求ま たは UDP/ICMP パケ ッ ト がブ ロ ッ ク さ れます。 ブ ロ ッ ク が 発生す る と 、 ク ラ イ ア ン ト はホール ド 状態にな り ます。 ク ラ イ ア ン ト は分単位で指定 し た時間が経過す る ま でホール ド さ れ、 その状態が解除 さ れ る と 、 その ク ラ イ ア ン ト か ら 新たに送信 さ れ る TCP 接続要求ま たはパケ ッ ト が再び通過を許可 さ れ ます。 注 - 時間枠 と ホール ド 時間は、 フ ィ ル タ ご と に個別に設定で き ます。 124 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス UDP および ICMP のレー ト 制限 UDP お よ び ICMP ト ラ フ ィ ッ ク に対 し て レ ー ト 制限 を 実行す る よ う Nortel Switched Firewall フ ィ ル タ を設定で き ます。 UDP と ICMP は ス テー ト レ ス プ ロ ト コ ルであ る た め、 最大 し き い値 (maxcon コ マ ン ド ) は特定の ク ラ イ ア ン ト IP ア ド レ ス か ら 受信 さ れ る パケ ッ ト の最大数であ る と 解釈 し ます。 特定の時間枠の間に最大 し き い値に到達 し た場合は、設定済みのホール ド (holddur) 時間が経過す る ま で、 設定 し たプ ロ ト コ ルのパケ ッ ト がすべて破棄 さ れます。 TCP のレー ト 制限 フ ァ イ ア ウ ォ ールは指定 し た TCP レ ー ト フ ィ ル タ と 一致す る 着信 SYN パケ ッ ト を 調べ る こ と で、 新 し い TCP 接続 を 監視 し ま す。 フ ィ ル タ と 一致す る 最初の SYN パ ケ ッ ト が検出 さ れ る と 、セ ッ シ ョ ン テーブルに TCP レー ト セ ッ シ ョ ンが作成 さ れま す。 同 じ ク ラ イ ア ン ト か ら の後続 SYN パ ケ ッ ト が同 じ フ ィ ル タ と 一致す る たびに、 TCP レー ト セ ッ シ ョ ン カ ウ ン タ の値が増え ます。TCP レー ト セ ッ シ ョ ンが時間切れ にな る 前にカ ウ ン タ が し き い値に達す る と 、 ホール ド 状態に入 り ます。 ホール ド 時間 中は、 こ の フ ィ ル タ と 一致す る こ の ク ラ イ ア ン ト か ら の新 し い TCP セ ッ シ ョ ン が禁 止 さ れ ます。 ホール ド 時間が経過す る と 、次の SYN パケ ッ ト が許可 さ れ、新 し い TCP レー ト セ ッ シ ョ ンが作成 さ れます。 図 7-1 (126 ページ) は、 送信元 IP ア ド レ ス に基づいて TCP レー ト 制限が設定 さ れ た 4 つの ク ラ イ ア ン ト を示 し てい ます。 ク ラ イ ア ン ト 1 と 4 はど ち ら も 、 1 秒あ た り の接続数 10 の TCP レー ト 制限が設定 さ れてい ます。 ク ラ イ ア ン ト 2 には、 1 秒あ た り の接続数 20 の TCP レー ト 制限が設定 さ れてい ます。 ク ラ イ ア ン ト 3 には、 1 秒あ た り の接続数 30 の TCP レー ト 制限が設定 さ れてい ます。 ク ラ イ ア ン ト 1、 2、 3、 4 か ら の新 し い TCP 接続の レー ト が設定済み し き い値に達す る と 、 あ ら か じ め定義 さ れた時間が経過す る ま で ク ラ イ ア ン ト か ら の新規接続要求が すべてブ ロ ッ ク さ れ ま す。 ク ラ イ ア ン ト の IP ア ド レ ス と 設定済みフ ィ ル タ が一致 し ない場合は、 デフ ォ ル ト の フ ィ ル タ が適用 さ れます。 217014-B-JA, 2005 年 12 月 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 125 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 図 7-1 で、 Any に設定 さ れたデフ ォ ル ト フ ィ ル タ 2048 は、 他のすべての接続要求に 適用 さ れ ます。 䉪䊤䉟䉝䊮䊃 1 㒢: 10 ធ⛯㪆⑽ 䉪䊤䉟䉝䊮䊃 2 㒢: 20 ធ⛯㪆⑽ 䉪䊤䉟䉝䊮䊃 䉪䊤䉟䉝䊮䊃 3 㒢: 30 ធ⛯㪆⑽ 䉪䊤䉟䉝䊮䊃 4 㒢: 10 ធ⛯㪆⑽ 1 ታ䉰䊷䊋䊷 Nortel Switched Firewall 2 ࠗࡦ࠲ࡀ࠶࠻ 3 4 䊐䉞䊦䉺 10: 10 ធ⛯㪆⑽ 䊐䉞䊦䉺 20: 20 ធ⛯㪆⑽ 䊐䉞䊦䉺 30: 30 ធ⛯㪆⑽ 䊐䉞䊦䉺 2048: 䈇䈒䈧䈪䉅น 図 7-1 さ ま ざ ま な レー ト での ク ラ イ ア ン ト 構成 プ ロ ト コ ルベースのレー ト 制限フ ィ ル タ の構成 レー ト 制限フ ィ ル タ は、 TCP、 UDP、 ICMP の各プ ロ ト コ ルでのみサポー ト さ れてい ま す。 プ ロ ト コ ルベー ス の レ ー ト 制限は、 すべて の フ ィ ル タ タ イ プ (allow、 deny、 redir、 SIP、 inspect、 DIP) と パ ラ メ ー タ に対 し て設定で き ます。 特定の ク ラ イ ア ン ト ま たは ク ラ イ ア ン ト グループ を監視す る には、 フ ィ ル タ 構成 メ ニ ュ ーで送信元 IP ア ド レ ス と マ ス ク オプシ ョ ン を指定 し て く だ さ い。宛先 IP ア ド レ ス と マ ス ク オプシ ョ ンは、特定の仮想 IP ア ド レ ス ま たは仮想 IP ア ド レ ス グループへの接続を監視す る 際 に使用 さ れ ます。 TCP、 UDP、 ま たは ICMP 用の レー ト 制限フ ィ ル タ を指定す る には、 フ ィ ル タ 自体で プ ロ ト コ ルを設定 し 、 [Filtering Advanced] メ ニ ュ ーに進んで レー ト 制限パ ラ メ ー タ を 設定 し ます。 以下の例は、 サポー ト さ れ る プ ロ ト コ ルベース の レー ト 制限構成のいず れに も 応用で き ます。 「基本的な レ ー ト 制限 フ ィ ル タ 」 (127 ページ) 「Firewall Accelerator への ト ラ フ ィ ッ ク の制限」 (128 ページ) 「送信元 IP ア ド レ スに基づ く レ ー ト 制限 フ ィ ル タ 」 (129 ページ) 「仮想サーバー IP ア ド レ スに基づ く レ ー ト 制限 フ ィ ル タ 」 (130 ページ) 「Ping Flood を阻止する レ ー ト 制限 フ ィ ル タ 」 (131 ページ) 126 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 基本的な レー ト 制限フ ィ ル タ 以下の例は、 図 7-1 に示すフ ィ ル タ 11 に対 し て レー ト 制限を設定す る 方法を示 し て い ます。 1. フ ィ ル タ 11 に着信する ト ラ フ ィ ッ ク に対 し て レ ー ト 制限を有効に し ます。 ([filter 11 Adv] メ ニ ュ ーを選択) >> Main# /cfg/net/adv/filt 11/adv >> Adv Filter # rlimit >> Enhanced Rate Limiting # ena 2. (フ ィ ル タ に対 し て レー ト 制限を 有効にする) 最大接続数を設定 し ます。 値 1 は TCP 接続 (またはセ ッ シ ョ ン) の合計数が 10 であ る こ と を意味 し ます。 >> Enhanced Rate Limiting # maxcon 3 (10 単位で設定) 値 1 は TCP 接続ま たはセ ッ シ ョ ンの合計数が 10 であ る こ と を表 し ます。 3. 時間枠を秒単位で設定 し ます。 >> Enhanced Rate Limiting # timewin 3 (3 秒の時間枠を指定) 注 - 指定 し た時間枠にわた る 最大接続数 と し て定義 さ れた レー ト 制限は、3 秒ご と の TCP 接続数 30 (1 秒あ た り の TCP 接続数 10) です。 4. holddur パ ラ メ ー タ を分単位で設定 し ます。 >> Enhanced Rate Limiting # holddur 4 ク ラ イ ア ン ト が レー ト 制限を超え る と 、新 し い TCP 接続ま たは UDP/ICMP パケ ッ ト を 4 分間作成で き な く な り ます。 以下の 2 つの構成例は、 プ ロ ト コ ルベース の レー ト 制限を使用 し 、送信元 IP ア ド レ ス と 仮想 IP ア ド レ ス に基づいてユーザー ア ク セ ス を 制限す る 方法を示 し てい ます。 5. ス テ ッ プ 1 ~ 4 を繰 り 返 し て、 図 7-1 (126 ページ) に示すその他の フ ィ ル タ を構成 し ます。 6. 構成内容を適用 し て保存 し ます。 217014-B-JA, 2005 年 12 月 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 127 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Firewall Accelerator への ト ラ フ ィ ッ ク の制限 こ の機能は、 Firewall Accelerator が ト ラ フ ィ ッ ク で溢れ る の を防 ぐ こ と を目的 と し て い ます。 こ のため、 Firewall Accelerator が停止 し ない よ う に、 Firewall Accelerator へ向 か う ARP/ICMP/UDP/TCP ト ラ フ ィ ッ ク は レー ト 制限 さ れます。 Firewall Accelerator への ARP ト ラ フ ィ ッ ク を 1024 で制限 し ます。 >> Main# /cfg/acc/mpr >> MP Rate Limiter Configuration # arp Current value: 128 Enter new ARP count (0-65535): 1024 Firewall Accelerator への ICMP ト ラ フ ィ ッ ク を 2048 で制限 し ます。 >> Main# /cfg/acc/mpr >> MP Rate Limiter Configuration # icmp Current value: 1024 Enter new ICMP count (0-65535): 2048 (ICMP ト ラ フ ィ ッ ク の制限) Firewall Accelerator への TCP ト ラ フ ィ ッ ク を 5000 で制限 し ます。 >> Main# /cfg/acc/mpr >> MP Rate Limiter Configuration # tcp Current value: 1024 Enter new TCP count (0-65535): 5000 (ARP ト ラ フ ィ ッ ク の制限) (TCP ト ラ フ ィ ッ クの制限) Firewall Accelerator への UDP ト ラ フ ィ ッ ク を 7800 で制限 し ます。 >> Main# /cfg/acc/mpr >> MP Rate Limiter Configuration # udp Current value: 1024 Enter new UDP count (0-65535): 7800 128 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン (UDP ト ラ フ ィ ッ クの制限) 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 送信元 IP ア ド レ スに基づ く レー ト 制限フ ィ ル タ 以下の例は、IP ア ド レ ス が 30.30.30.x の ク ラ イ ア ン ト を対象に、1 秒あ た り の TCP 最 大接続数を 150、UDP ま たは ICMP 最大パケ ッ ト 数を 150 ま でに制限す る フ ィ ル タ の 定義方法を示 し てい ます。 1. フ ィ ル タ を以下のよ う に設定 し ます。 >> # /cfg/net/adv/filt 100/ena >> Filter 100 # sip 30.30.30.0 >> Filter 100 # smask 255.255.255.0 >> Filter 100 # proto <any|<number>|<name>> >> Filter 100 # adv/ratelim >> Rate Limiting # ena >> Rate Limiting # maxconn 15 >> Rate Limiting # timewin 1 >> Rate Limiting # holddur 10 2. (フ ィ ル タ を有効にする) (送信元 IP ア ド レ ス を指定) (送信元 IP ア ド レ ス マス ク を 指定) (TCP、 UDP、 または ICMP プ ロ ト コ ルを指定) ([Rate Limiting Adv.] メ ニ ュ ーを 選択) (TCP に対 し て レー ト 制限を 有効にする) (10 の倍数で最大接続数を指定) (時間枠を秒単位で設定) (ホール ド 時間を分単位で設定) 時間枠= 1 秒 ホール ド 時間= 10 分 最大レー ト = maxconn/timewin = 150 接続 /1 秒 = 150 接続 / 秒 構成内容を適用 し て保存 し ます。 送信元 IP ア ド レ ス が 30.30.30.x の ク ラ イ ア ン ト は、1 つの宛先に対 し 1 秒あ た り 150 の新規 TCP 接続 (ま たは UDP/ICMP パケ ッ ト ) を作成す る こ と がで き ます。 レー ト 制限の 150 に達す る と 、 ホール ド 時間が有効にな り ます。 こ の場合、 ク ラ イ ア ン ト は 同 じ 宛先に対す る 送信セ ッ シ ョ ン ま たは接続が 10 分間禁止 さ れ ます。 217014-B-JA, 2005 年 12 月 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 129 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 仮想サーバー IP ア ド レ スに基づ く レー ト 制限 フ ィ ル タ こ の例では、 ク ラ イ ア ン ト か ら 特定の宛先 (VIP 10.10.10.100) に対す る 1 秒あ た り の TCP 接続数を 100、 1 秒あ た り の UDP ま たは ICMP セ ッ シ ョ ン数を 100 に制限す る フ ィ ル タ を定義 し ます。 ク ラ イ ア ン ト が こ の制限を超え る と 、 その宛先に対 し て新 規 TCP 接続要求を開始 し た り 、 UDP ま たは ICMP ト ラ フ ィ ッ ク を送信す る こ と が 40 分間で き な く な り ます。 図 7-2 は、 こ の機能を使用 し て ク ラ イ ア ン ト か ら 特定の宛先 へのア ク セ ス を制限す る 方法を示 し てい ます。 䉪䊤䉟䉝䊮䊃 䉪䊤䉟䉝䊮䊃 1 1 2 2 䉪䊤䉟䉝䊮䊃 1䇮2䇮3䇮4 䉪䊤䉟䉝䊮䊃 1䇮2䇮3䇮4 䈲䈲 ᗐ 䉝䊄䊧䉴䈮ኻ䈚䈩䈲 ᗐ IP IP 䉝䊄䊧䉴䈮ኻ䈚䈩䈲 ធ⛯/⑽䈮㒢䈘䉏䈩䈇䉎 100100 ធ⛯/⑽䈮㒢䈘䉏䈩䈇䉎 ታ䉰䊷䊋䊷 ታ䉰䊷䊋䊷 S1S1 Nortel Application Nortel Application Switch Switch 䉟䊮䉺䊷䊈䉾䊃 䉟䊮䉺䊷䊈䉾䊃 3 3 4 4 VIP: 10.10.10.100 VIP: 10.10.10.100 䊐䉞䊦䉺 100: ធ⛯㪆⑽ 䊐䉞䊦䉺 100: 100100 ធ⛯㪆⑽ S2S2 図 7-2 サーバーへのユーザー ア ク セスの制限 フ ァ イ ア ウ ォ ールに対 し て以下の設定を行い ます。 1. フ ィ ル タ を以下のよ う に設定 し ます。 >> >> >> >> # /cfg/net/adv/filt 100/ena Filter 100 # dip 10.10.10.100 Filter 100 # dmask 255.255.255.255 Filter 100 # proto <any|<number>|<name>> >> Filter 100 # adv/ratelim >> Rate Limiting # ena >> Rate Limiting # maxconn 20 >> Rate Limiting # timewin 2 >> Rate Limiting # holddur 40 時間枠= 2 秒 ホール ド 時間= 40 分 最大レー ト = maxconn/ 時間枠= 100 接続 / 秒 200 接続 /2 秒= 100 接続 / 秒 (フ ィ ル タ を有効にする) (TCP、 UDP、 または ICMP プ ロ ト コ ルを指定) ([Rate Limiting Adv.] メ ニ ュ ーを 選択) (TCP に対 し て レー ト 制限を 有効にする) (10 の倍数で最大接続数を指定) (時間枠を秒単位で設定) (ホール ド 時間を分単位で設定) こ の 設 定 に よ り 、 す べ て の ク ラ イ ア ン ト か ら サ ー バ ー へ の 新 規 T C P (ま た は UDP/ICMP パケ ッ ト ) が 1 秒あ た り 100 ま でに制限 さ れ ま す。 ク ラ イ ア ン ト が こ の レー ト を超え る と 、 仮想サーバーに対す る 送信セ ッ シ ョ ン ま たは接続が 40 分間禁止 さ れ ます。 130 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 2. フ ァ イ アウ ォ ール上の着信ポー ト に フ ィ ル タ を追加 し ます。 >> Enhanced Rate Limiting # /cfg/net/port 2/enf y >> Enhanced Rate Limiting # /cfg/net/port 2/filt/add 100 3. 構成内容を適用 し て保存 し ます。 Ping Flood を阻止する レー ト 制限フ ィ ル タ こ の例は、 ア プ リ ケーシ ョ ン フ ァ イ ア ウ ォ ールの背後に あ る 任意の宛先へ送信 さ れ る ICMP ping の量を制限す る フ ィ ル タ の定義方法を示 し てい ます。 Ping Flood は大量 の ping パケ ッ ト を サーバーに送 り つけ、 サーバーが各 ping に応答を試みてい る 間、 サービ ス を提供で き ない よ う に し ます。 1. フ ァ イ アウ ォ ールに対 し て以下の フ ィ ル タ を設定 し ます。 >> >> >> >> >> >> >> 2. # /cfg/net/adv/filt 30/ena Filter Definition 30# proto icmp Filter Definition 30# action inspect Filter Definition 30# adv Adv Filter# rlimit Enhanced Rate Limiting# ena Rate Limiting # maxcon 10 フ ァ イ アウ ォ ール上の着信ポー ト に フ ィ ル タ を追加 し ます。 >> Rate Limiting # /cfg/net/port 2 >> Port 2# enf y Current port 2 filtering:disabled New port 2 filtering:enabled >> Port 2# filt/add 30 Filter 30 added to port 2. 3. (ICMP プ ロ ト コ ルを指定) (ICMP ト ラ フ ィ ッ ク を検査) ([Advance] メ ニ ュ ーを選択) ([Rate Limiting] メ ニ ュ ーを選択) (レー ト 制限を有効にする) (10 の倍数で最大接続数を指定) (適切な着信ポー ト を選択) (ポー ト 上で フ ィ ル タ リ ン グを有効にする) (レー ト 制限フ ィ ル タ をポー ト に追加) 構成内容を適用 し て保存 し ます。 217014-B-JA, 2005 年 12 月 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 131 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス プ ロ ト コ ルベースのレー ト 制限の検証 レー ト 制限の統計情報を検証す る には、 以下の 1 つ以上の コ マ ン ド を使用 し ます。 /info/security/dump >> Main# /info/security/dump -----------------------------------------------------------------Rate limiting stats: TCP: Total hold downs triggered: Current per-client state entries: 0 0 UDP: Total hold downs triggered: Current per-client state entries: 0 0 ICMP: Total hold downs triggered: Current per-client state entries: 0 0 /stats/security/ratelim >> Security Statistics# /stats/security/ratelim -----------------------------------------------------------------Rate limiting stats: TCP: Total hold downs triggered: Current per-client state entries: 20 100 UDP: Total hold downs triggered: Current per-client state entries: 0 0 ICMP: Total hold downs triggered: Current per-client state entries: 0 0 132 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス TCP または UDP のパ タ ーン マ ッ チ ング こ の機能を使用す る と 、バ ッ ク エ ン ド サーバー上で着信パケ ッ ト を ス キ ャ ン し て、一 般的な TCP ま たは UDP 攻撃に含 ま れてい る パ タ ーン がないか ど う か を調べ る こ と がで き ま す。 フ ァ イ ア ウ ォ ールの設定に 1 つ以上の フ ィ ル タ を使用 し て、 最初の IP パケ ッ ト を ス キ ャ ン し 、 設定済みパ タ ーン のいずれか ま たはすべて を検出 し た場合に 破棄す る こ と がで き ます。 一致が検出 さ れない場合は、 パケ ッ ト の通過が許可 さ れま す。 パ タ ーン マ ッ チン グは、 レ イ ヤ 7 の内容を検証す る よ う 設定 さ れた他の フ ィ ル タ と ほぼ同 じ 方法で構成 さ れます。 パ タ ーン基準 TCP ま たは UDP 攻撃の多 く は、IP パケ ッ ト デー タ の中に共通 し た署名やパ タ ーン を 含んでい ま す。 IP パケ ッ ト を先頭か ら 、 IP パケ ッ ト 内の特定のオ フ セ ッ ト 値 (開始 点) か ら 、 ま たは指定 し た深 さ (文字数) か ら (あ る いは こ れ ら すべてか ら ) 検証す る よ う フ ァ イ ア ウ ォ ールを設定す る こ と がで き ます。 検証後はマ ッ チン グ演算が実行 さ れ ます。 図 7-3 (134 ページ) は IP パケ ッ ト の フ ォーマ ッ ト を示 し てい ます。 フ ァ イ ア ウ ォー ルは IP パケ ッ ト の先頭 (IP バージ ョ ン番号) か ら 、 1500 バ イ ト の IP パケ ッ ト ペ イ ロ ー ド を追跡す る こ と がで き ます。 IP パケ ッ ト 内の各行は 4 バ イ ト です。 パ タ ーン パ タ ーンは、 ASCII 文字に よ る 通常表現の文字列パ タ ーン にす る か、 16 進表記のバ イ ナ リ パ タ ーン にす る こ と がで き ます。バ イ ナ リ パ タ ーン の場合は 16 進表記で指定 し て く だ さ い。 た と えば、 バ イ ナ リ パ タ ーン 1111 1100 0010 1101 を指定す る に は、 「FC2D」 と 入力 し ます。 一般に、 正規表現 「*」 は、 前出の正規表現の 0 個以上の繰 り 返 し と 一致 し ます。 繰 り 返 し は何回で も 可能です。 た と えば、 ge*gle は ggle、 gegle、 geegle のいずれ と も 一 致 し ます。ただ し NSF 4.4.1 では、ge*gle と い う パ タ ーン マ ッ チ文字列を設定す る と 、 gegle、 geegle (つま り 、 前出の正規表現が 1 回以上繰 り 返 さ れてい る 文字列) のみ と 一致 し 、 ggle (前出の正規表現が 0 回繰 り 返 さ れてい る 文字列) と は一致 し ません。 217014-B-JA, 2005 年 12 月 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 133 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス オフセ ッ ト オ フ セ ッ ト 値 と は、 検索ま たは比較演算が実行 さ れ る 、 IP ヘ ッ ダーの先頭か ら のバ イ ト カ ウ ン ト を言い ま す。 オ フ セ ッ ト 値が設定 さ れていない場合、 オ フ セ ッ ト 値はゼ ロ (0) と 想定 さ れ、 IP パケ ッ ト の先頭バ イ ト か ら パケ ッ ト が検証 さ れ ます。 た と えば、 オ フ セ ッ ト が 12 に指定 さ れてい る 場合、 フ ァ イ ア ウ ォ ールは 13 番めのバ イ ト か ら バ イ ナ リ 文字列の 16 進表現の検証を開始 し ます。 IP パケ ッ ト では、 13 番め のバ イ ト は IP ペ イ ロ ー ド の送信元 IP ア ド レ ス部分か ら 始ま り ます。 IP 䊓䉾䉻䊷 䊋䊷䉳䊢䊮 㐳䈘 䉰䊷䊎䉴 䉺䉟䊒 ID ሽ⛯ᤨ㑆 ว⸘䈱㐳䈘 䊐䊤䉫 䊒䊨䊃䉮䊦 䊐䊤䉫䊜䊮䊃䈱 䉥䊐䉶䉾䊃 各行の長 さ は 4 バイ ト です。 パ タ ー ン マ ッ チ ン グ で は、 パ ケ ッ ト の IP ペ イ ロー ド 部分の先 頭から検証が行われます。 䊓䉾䉻䊷䈱䉼䉢䉾䉪䉰䊛 IP ペ イ ロー ド ㅍାర IP 䉝䊄䊧䉴 ተవ IP 䉝䊄䊧䉴 IP 䉥䊒䉲䊢䊮䋨⋭⇛น䋩 ၒ䉄ㄟ䉂 䊂䊷䉺 図 7-3 IP パケ ッ ト の フ ォ ーマ ッ ト 深さ 深 さ と は、 パケ ッ ト の先頭ま たはオ フ セ ッ ト 値か ら 検証 さ れ る 、 IP パケ ッ ト 内のバ イ ト 数を言い ます。 た と えば、 オ フ セ ッ ト が 12、 深 さ が 8 に指定 さ れてい る 場合は、 IP パケ ッ ト の 13 番めのバ イ ト か ら 検索が開始 さ れ、8 バ イ ト がマ ッ チン グ さ れます。図 7-3 か ら わか る よ う に、 オ フ セ ッ ト が 12 で深 さ が 8 の場合、 IP ペ イ ロ ー ド の送信元 IP ア ド レ ス フ ィ ール ド と 宛先 IP ア ド レ ス フ ィ ール ド が対象 と な り ます。 深 さ が指定 さ れていない場合は、 オ フ セ ッ ト 値か ら パ タ ーン の最後ま でがすべてマ ッ チン グ さ れ ます。 134 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 演算 演算は、 パ タ ーン、 オ フ セ ッ ト 、 お よ び深 さ の基準を解釈す る 方法を フ ァ イ ア ウ ォー ルに通知 し ます。 文字列パ タ ーン の場合は、 文字列の内容を マ ッ チン グす る ための演算 eq (等 し い) を使用 し ます。 指定 し たバ イ ナ リ 値 と 比較 し て lt ( よ り 小 さ い)、 gt ( よ り 大 き い)、 ま たは eq (等 し い) 値を検索す る 演算を使用 し ま す。 演算が指定 さ れていない場合は、 パ タ ーンが無効にな り ます。 lt 演算 と gt 演算は、 1 つ以上のバ イ ト が一定の値 よ り 小 さ く ま たは大 き く な る よ う な攻撃署名に利用で き ます。 構文 : >> /cfg/net/adv/addstr パ タ ーン グループのマ ッ チ ン グ ウ ィ ル ス な ど の攻撃に複数のパ タ ーンや文字列が含まれてい る 場合は、それ ら を 1 つ の グループに ま と め、 覚えやすい名前を付け る と 便利です。 パ タ ーン グループが拒 否フ ィ ル タ に適用 さ れ る と 、 フ ァ イ ア ウ ォ ールはパケ ッ ト の拒否や破棄を行 う 前に、 そのグループに含まれ る すべての文字列ま たはパ タ ーン と マ ッ チン グ し ます。 最大で 5 つのパ タ ーン を組み合わせて、 1 つのパ タ ーン グループ と し て設定で き ます。 バ イ ナ リ ま たは ASCII パ タ ーン文字列を設定 し 、 それ ら を 1 つのパ タ ーン グループに ま と めて グループ名を付けた ら 、 そのグループ を フ ィ ル タ に適用 し ます。 フ ィ ル タ リ ン グ コ マ ン ド を使用す る と 、 管理者はパ タ ーン グループ を定義 し て、 パ タ ーン を グループに入れ る こ と がで き ます。 パ タ ーンやグループ を拒否フ ィ ル タ に適 用す る と 、 パケ ッ ト の内容を検出 し て、 ネ ッ ト ワー ク へのア ク セ ス を拒否す る こ と が で き ます。 217014-B-JA, 2005 年 12 月 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 135 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス UDP パ タ ーン グループのマ ッ チ ングおよび拒否 以下の例は、1 つのバ イ ナ リ パ タ ーン と 1 つの ASCII 文字列パ タ ーン を追加す る 方法 を示 し てい ます。 バ イ ナ リ パ タ ーンは 16 進表記で記述 さ れてい ます。 1. バイ ナ リ パ タ ーン と オ フ セ ッ ト のペアが含まれたパ タ ーン文字列の リ ス ト を設定 し ます。 >> /cfg/net/adv/addstr Enter Pattern Match String number [1-254]: 3 >> Layer7 Pattern Match String 3:mpattern binary(最初のパ タ ーン を追加) >> Layer7 Pattern Match String 3:mstr 014F (こ のバイ ナ リ パ タ ーンが 対象) >> Layer7 Pattern Match String 3:start 2 (3 番めのバイ ト から開始) >> Layer7 Pattern Match String 3:depth 0 (パ タ ーンの検索長) >> Layer7 Pattern Match String 3:oper eq (こ のバイ ナ リ パ タ ーン と 等 し い値が対象) >> /cfg/net/adv/addstr Enter Pattern Match String number [1-254]:4(2 番めのパ タ ーン を追加) >> Layer7 Pattern Match String 4:mpattern ascii(ASCII マ ッ チ ング を選択) >> Layer7 Pattern Match String 4:mstr /default.htm( この ASCII 文字列を マ ッ チ ング) >> Layer7 Pattern Match String 4:start 44 (45 番めのバイ ト から 検索) >> Layer7 Pattern Match String 4:depth 30 (30 番めのバイ ト ま で) >> Layer7 Pattern Match String 4:oper eq (こ のバイ ナ リ パ タ ーン と 等 し い値が対象) 2. こ のパ タ ーン をパ タ ーン マ ッ チ ン グ グループに割 り 当て ます。 >> /cfg/net/adv/pgroup 1/strid >> String ID# add 3 >> String ID# add 4 3. (パ タ ーン グループ 1 を作成) (パ タ ーン 3 をパ タ ーン グループ 1 に割 り 当て) (パ タ ーン 4 をパ タ ーン グループ 1 に割 り 当て) 定義済み文字列の ID を識別 し ます。 >> /cfg/net/adv# cur 4. パ タ ーン グループ を設定 し 、 そのグループに関連性があ り 覚えやすい名前を付けま す。 >> /cfg/net/adv/pgroup 1/grpname Current pattern group name: Enter new pattern group name:virus_x 136 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン (パ タ ーン グループ 1 の名前を指定) (グループ名を指定) 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 5. ID 番号を使用 し て、 新 し いパ タ ーン / オ フ セ ッ ト のペア をパ タ ーン グループに追加 し ます。 SLB 文字列 と 関連付けた ID 番号を確認 し たい場合は、 手順 3 に戻っ て cur コ マ ン ド を入力 し た場所を参照 し て く だ さ い。 >> /cfg/net/adv/pgroup 1/strid >> String ID# add 3 >> String ID# add 4 6. (最初のバイ ナ リ パ タ ーン を追加) (ASCII 文字列パ タ ーン を追加) パ タ ーン を検出する フ ィ ル タ と 適切な プ ロ ト コ ルを設定 し ます。 ([Filter 90] メ ニ ュ ーにア ク セス) >> /cfg/net/adv/filt 90 >> Filter Definition 90# proto tcp 7. フ ィ ル タ の送信元ポー ト と 宛先ポー ト を設定 し ます。 (任意の TCP 送信元ポー ト から ) (HTTP 宛先ポー ト へ) >> Filter Definition 90# sport 0 0 >> Filter Definition 90# dport 80 80 8. 検査する フ ィ ル タ を設定 し ます。 >> Filter Definition 90# action inspect (フ ィ ル タ ア ク シ ョ ン を inspect に 設定) Current action:none Pending new action:inspect 9. 手順 4 と 手順 5 で設定 し たパ タ ーン グループ を フ ィ ル タ に適用 し ます。 >> Main# /cfg/net/adv/filt 90/adv/pmatch/pgm/add 1 (パ タ ーン グループ 1 を フ ィ ル タ に適用) Pattern Group 1 added. 10. フ ィ ル タ 上でパ タ ーン マ ッ チ ン グ を有効に し ます。 以下の コ マ ン ド を使用す る と 、 フ ィ ル タ 上で レ イ ヤ 7 の検索が自動的に有効にな り ま す。 >> /cfg/net/adv/filt 90/adv/pmatch/pmatch e (パ タ ーン マ ッ チ ングを有効 にする) Current Pattern Match:disabled New Pattern Match:enabled 217014-B-JA, 2005 年 12 月 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 137 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 11. フ ィ ル タ を ク ラ イ ア ン ト ポー ト に適用 し ます。 着信 ク ラ イ ア ン ト 要求がポー ト 3 で フ ァ イ ア ウ ォ ールに入 る 場合は、 こ の フ ィ ル タ を ポー ト 3 に追加 し て く だ さ い。 >> # /cfg/net/port 3 >> Port 3# enf y >> Port 3# filt/add 90 (ク ラ イ ア ン ト ポー ト を選択) (ク ラ イ ア ン ト ポー ト 上で フ ィ ル タ リ ングを有効 にする) (ク ラ イ ア ン ト ポー ト に フ ィ ル タ #90 を追加) 12. 構成内容を適用 し て保存 し ます。 グループ内の全パ タ ーンのマ ッ チ ング フ ィ ル タ がパケ ッ ト を拒否す る 前に、 フ ァ イ ア ウ ォ ールでパ タ ーン グループ内の全 パ タ ーン を対象にマ ッ チ ン グ を行 う こ と がで き ます。 matchall コ マ ン ド を使用す る と 、 deny ア ク シ ョ ン を実行す る 前に、 グループ内の全パ タ ーン を マ ッ チ ン グす る よ う フ ィ ル タ に指示で き ます。 1. 「UDP パ タ ーン グループのマ ッ チ ン グおよび拒否」 (136 ページ) の基本構成を使用 し ます。 2. [Filter] メ ニ ュ ーで、 全基準のマ ッ チ ン グ を有効に し ます。 >> /cfg/net/adv/filt 90/adv/pmatch/matchall e (全基準のマ ッ チ ングを有効 にする) Current Match-all Criteria:disabled New Match-all Criteria:enabled こ の時点で、 パケ ッ ト が拒否お よ び破棄 さ れ る 前に、 上記の例で設定 さ れた両方のパ タ ーンが一致 し ていなければな り ません。 3. ID 文字列 8 BINMATCH=014F, offset=2, depth=0, op=eq, cont 256 9 STRMATCH=/default.htm offset=44, depth=30, op=eq, cont 256 構成内容を適用 し て保存 し ます。 138 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 大き なパケ ッ ト のマ ッ チ ングおよび拒否 - ICMP Ping of Death の例 Ping of Death 攻撃は、フ ラ グ メ ン ト 化 さ れた ICMP エ コ ー要求パケ ッ ト を送信 し ます。 こ れ ら のパケ ッ ト が リ アセ ン ブル さ れ る と 、IP プ ロ ト コ ルで許可 さ れ る 65536 バ イ ト パケ ッ ト を超え る サ イ ズにな り ます。 サ イ ズオーバーのパケ ッ ト に よ り サーバーの入 力バ ッ フ ァ でオーバーフ ロ ーが発生 し 、 シ ス テ ム の ク ラ ッ シ ュ 、 停止、 ま たは再起動 が発生す る 可能性があ り ます。 ICMP Ping of Death 攻撃な ど に見 ら れ る 大 き な ICMP パケ ッ ト を ブ ロ ッ ク す る には、 拒否フ ィ ル タ と バ イ ナ リ パ タ ーン の組合せを使用 し ま す。 こ れは、 IP フ ラ グで送信 さ れ る 0 以外の IP オ フ セ ッ ト や More-Fragment ビ ッ ト を フ ィ ル タ リ ン グす る 際に利 用 さ れ ます。 以下の よ う な場合は、 IP パケ ッ ト が IP フ ラ グ メ ン ト であ る と 判断 さ れ ます。 (a) IP ヘ ッ ダーにあ る 13 ビ ッ ト の フ ラ グ メ ン ト オ フ セ ッ ト フ ィ ール ド が 0 以外の 場合 (b) IP ヘ ッ ダーにあ る 3 ビ ッ ト の フ ラ グ フ ィ ール ド に More Fragments ビ ッ ト が設定 さ れてい る 場合 フ ラ グ フ ィ ール ド は IP パケ ッ ト の 7 番めのバ イ ト か ら 始ま り 、 フ ラ グ メ ン ト のオ フ セ ッ ト は こ の フ ィ ール ド の直後にな り ま す。 2 つの フ ィ ール ド の合計は 2 バ イ ト で す。 0000 よ り 大 き く 4000 よ り 小 さ い値を検索す る こ と で、 フ ァ イ ア ウ ォ ールは (a)、 (b)、 ま たはその両方を検索 し ます。 以下の構成は、 「UDP パ タ ー ン グループのマ ッ チ ン グお よ び拒否」 (136 ページ) お よ び 「グループ内の全パ タ ーンのマ ッ チ ン グ」 (138 ページ) の例 と 類似 し てい ます。 1. 0 以外の IP オ フ セ ッ ト を フ ィ ル タ リ ン グする文字列パ タ ーン を作成 し ます。 値は 16 進表記で入力 し て く だ さ い。 >> /cfg/net/adv/addstr Enter Pattern Match String number [1-254]:5 >> Layer7 Pattern Match String >> Layer7 Pattern Match String >> Layer7 Pattern Match String >> Layer7 Pattern Match String >> Layer7 Pattern Match String 217014-B-JA, 2005 年 12 月 (1 番めのパ タ ーン を 追加) 5:mpattern binary (バイ ナ リ マ ッ チ ングを 選択) 5:mstr 0000 (0 以外の IP オ フ セ ッ ト ) 5:start 6 (7 番めのバイ ト か ら 検索) 5:depth 0 (パ タ ーンの最後ま で) 5:oper gt (0000 よ り 大き い値が 対象) 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 139 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 2. More Fragments ビ ッ ト を フ ィ ル タ リ ン グする別の文字列パ タ ーン を作成 し ます。 >> /cfg/net/adv/addstr Enter Pattern Match String number [1-254]:6 (パ タ ーン を追加) >> Layer7 Pattern Match String 6:mpattern binary (バイ ナ リ マ ッ チ ング を選択) >> Layer7 Pattern Match String 6:mstr 4000 (More-Fragments ビ ッ ト の設定) >> Layer7 Pattern Match String 6:start 6 (7 番めのバイ ト か ら 検索) >> Layer7 Pattern Match String 6:depth 0 (パ タ ーンの最後ま で) >> Layer7 Pattern Match String 6:oper lt (4000 よ り 小 さ い値が 対象) 3. 新 し い構成内容を適用 し ます。 >> Layer7 Pattern Match String 6# apply 4. 定義済みパ タ ーンの ID を識別 し ます。 >> /cfg/net/adv# cur 5. パ タ ーン グループ を設定 し 、 そのグループに関連性があ っ てわか り やすい名前を付 けます。 (パ タ ーン グループ 1 の名前を 指定) >> /cfg/net/adv/pgroup 2/grpname Current pattern group name: Enter new pattern group name:pingofdeath 6. 定義済みパ タ ーン をパ タ ーン グループに追加 し ます。 >> /cfg/net/adv/pgroup 2/strid >> String ID# add 5 >> String ID# add 6 7. (パ タ ーン グループ 2 の名前を 入力) (パ タ ーン グループ 1 を作成) (パ タ ーン 5 をパ タ ーン グループ 2 に割 り 当て) (パ タ ーン 6 をパ タ ーン グループ 2 に割 り 当て) パ タ ーン を検出する フ ィ ル タ と 適切な プ ロ ト コ ルを設定 し ます。 こ の場合は icmp プ ロ ト コ ルを指定 し ます。 >> /cfg/net/adv/filt 190 >> Filter Definition 190# proto icmp 8. ([Filter 190] メ ニ ュ ーにア ク セス) フ ィ ル タ ア ク シ ョ ン を inspect に設定 し ます。 >> Filter Definition 190 # action inspect (フ ィ ル タ ア ク シ ョ ン を inspect に設定) Current action:none Pending new action:inspect 140 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 9. 手順 5 と 手順 6 で設定 し たパ タ ーン グループ を フ ィ ル タ に適用 し ます。 >> Main# /cfg/net/adv/filt 90/adv/pmatch/pgm/add 2 (パ タ ーン グループ 2 を フ ィ ル タ に適用) Pattern Group 2 added. 10. フ ィ ル タ 上でパ タ ーン マ ッ チ ン グ を有効に し ます。 >> /cfg/net/adv/filt 190/adv/pmatch/pmatch e (パ タ ーン マ ッ チ ング を有効 にする) Current Pattern Match:disabled New Pattern Match:enabled 11. matchall 基準を有効に し 、 フ ィ ル タ がパ タ ーン グループ内の全パ タ ーン に対 し て マ ッ チ ン グ を行 う よ う に し ます。 >> Security# matchall ena Current Match-all Criteria:disabled New Match-all Criteria:enabled 12. フ ィ ル タ を ク ラ イ ア ン ト ポー ト に適用 し ます。 こ の例では、 ポー ト 22 で ク ラ イ ア ン ト 接続を行 う も の と 想定 さ れてい ます。 >> # /cfg/net/port 22 >> Port 22# enf y >> Port 22# filt/add 190 (ク ラ イ ア ン ト ポー ト を選択) ( ク ラ イ ア ン ト ポー ト 上で フ ィ ル タ リ ング を有効にする) (ク ラ イ ア ン ト ポー ト に フ ィ ル タ #190 を追加) 13. 構成内容を適用 し て保存 し ます。 パ タ ーン マ ッ チ ングの検証 パ タ ーン マ ッ チン グ を検証す る には、 以下の コ マ ン ド を使用 し ます。 >> Security Statistics# /stats/security/pgroup -----------------------------------------------------------------Pattern Match Group stats: ID Name Hits 1 frag 6 >> info/security/dump ----------------------------------------------------Pattern Match Group stats: ID Name Hits 1 0 2 0 3 0 4 0 5 0 ----------------------------------------------------------------->> Advanced Security# 217014-B-JA, 2005 年 12 月 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 141 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 142 第 7 章 : 拡張 DoS プ ロ テ ク シ ョ ン 217014-B-JA, 2005 年 12 月 第8章 IDS サーバーのロー ド バラ ン シ ング こ の章では、 侵入検知シ ス テ ム (IDS) を サ ポー ト す る よ う Nortel Switched Firewall (NSF) を設定す る 方法について説明 し ます。 IDS は、 コ ン ピ ュ ー タ やネ ッ ト ワー ク の セ キ ュ リ テ ィ 管理シ ス テ ム の一種です。 個々のサーバーはギ ガ ビ ッ ト ス ピー ド で処 理 さ れ る 情報を拡張で き ないため、IDS サーバーの ロ ー ド バ ラ ン シ ン グは侵入検知シ ス テ ムの拡張に役立ち ます。 侵入検知シ ス テ ム は コ ン ピ ュ ー タ やネ ッ ト ワ ー ク 内の さ ま ざ ま な エ リ ア か ら 情報 を 収集 し て分析 し 、 侵入 (組織外部か ら の攻撃) や悪用 (組織内部か ら の攻撃) の両方 を含むセキ ュ リ テ ィ 違反を識別 し ます。 IDS サーバーは詳細な ト ラ フ ィ ッ ク 分析を行 う こ と で ト ラ フ ィ ッ ク を監視 し 、 ネ ッ ト ワ ー ク 上の不適切、 不正、 ま たは異常な ア ク テ ィ ビ テ ィ を検出 し ます。 侵入検知機能 には、 以下の よ う な も のがあ り ます。 ユーザー ア ク テ ィ ビ テ ィ と シ ス テ ム ア ク テ ィ ビ テ ィ の両方を監視 し 、 分析す る シ ス テ ム構成 と 脆弱性を分析す る シ ス テ ム と フ ァ イ ルの整合性を評価す る 一般的な攻撃のパ タ ーン を認識す る 異常な ア ク テ ィ ビ テ ィ パ タ ーン を分析す る ユーザー ポ リ シー違反を追跡す る 143 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス IDS ロー ド バラ ン シ ン グの仕組み 侵入検知デバ イ ス は、 ネ ッ ト ワ ー ク に入っ て く る すべてのパケ ッ ト を事前に検査 し 、 攻撃の兆候がないか ど う か を調べます。 将来の攻撃を阻止す る ため と 侵入者に関す る 情報を記録す る ため、 検出 さ れた攻撃は ロ グに記録 さ れます。 Nortel Switched Firewall を使用す る と 、 ス イ ッ チが IP パケ ッ ト を侵入検知サーバーに 転送で き る よ う にな り ま す。 ユーザーはポー ト 上で IDS サーバーの ロ ー ド バ ラ ン シ ン グ を有効に し 、IDS サーバーが含まれ る IDS サーバー グループ を割 り 振 る 必要があ り ます。 IDS SLB 対応の フ ァ イ ア ウ ォ ールは、 すべての着信パケ ッ ト を侵入検知サー バーのグループに コ ピー し ます。 フ ァ イ ア ウ ォールへの接続があ る たびに、 ハ ッ シ ュ ア ル ゴ リ ズ ム を 使用 し て ク ラ イ ア ン ト と サーバーの IP ア ド レ ス に基づ き IDS サー バーが選択 さ れ ます。 IDS サーバーは、 宛先のデバ イ ス に転送 さ れ る すべての処理対象フ レームの コ ピーを 受信 し ま す。 所定のセ ッ シ ョ ン の全 フ レ ーム が同 じ IDS サーバーに転送 さ れ る よ う に、 セ ッ シ ョ ン エ ン ト リ が保守 さ れ ま す。 NSF は着信お よ び発信 ト ラ フ ィ ッ ク の負 荷を IDS サーバー グループ間で分散 さ せます。 NSF は リ ン ク ス テー ト を使用 し て IDS サーバーの保全状態を判断す る ため、 各 IDS サーバーはそれぞれ異な る Firewall Accelerator ポー ト に直接接続す る 必要が あ り ま す。 ト ラ フ ィ ッ ク は IDS ポー ト に ミ ラ ー リ ン グ さ れ る ため、 ハブ ま たは レ イ ヤ 2 ス イ ッ チを介 し て複数の IDS サーバーを 1 つの Accelerator ポー ト に接続す る と 、 ロ ー ド シ ェ ア リ ン グ と は対照的にすべての IDS サーバーが同 じ ト ラ フ ィ ッ ク を分析す る こ と にな り ます。 IDS ロ ー ド バ ラ ン シ ン グに対 し て強制ポー ト 、 NAAP ポー ト 、 ま たは監視ポー ト を有 効にす る こ と はで き ません。 ま た、 いずれかの IDS グループの メ ンバーにな っ てい る ポー ト を別の IDS グループに追加す る こ と も で き ません。 1 つの IDS グループで複数 の VLAN か ら の ト ラ フ ィ ッ ク を監視で き ます。 自動 VLAN に対 し て IDS グループ を 指定す る こ と はで き ません。 144 第 8 章 : IDS サーバーのロー ド バラ ン シ ン グ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス IDS サーバーのロー ド バラ ン シ ン グ例 こ こ では、 IDS ロ ー ド バ ラ ン シ ン グの基本的な構成例を 2 つ示 し ます。 最初の例は、 1 つの IDS サーバー グループが同 じ VLAN 上にあ る 2 つの ク ラ イ ア ン ト を監視す る 様子を示 し てい ます。 2 番めの例では、 1 つの IDS サーバー グループが複数の VLAN を監視 し てい ま す。 ど ち ら の例で も 、 ハ ッ シ ュ アルゴ リ ズ ム を使用 し て、 所定の IP ア ド レ ス ペア ( ク ラ イ ア ン ト と サーバーの IP ア ド レ ス) に対す る 全フ レームが同 じ IDS サーバーに送信 さ れ ます。 例1 こ の例は、 1 つ の VLAN 上 で IDS サーバー グ ルー プ へ向 か う ク ラ イ ア ン ト ト ラ フ ィ ッ ク を負荷分散す る ための基本構成を示 し てい ます。 図 8-1 では、 IDS サーバー 1 と 2 が ク ラ イ ア ン ト 1 と 2 の着信 / 発信 ト ラ フ ィ ッ ク を監視 し てい ます。 ク ラ イ ア ン ト ト ラ フ ィ ッ ク は レ イ ヤ 2 ス イ ッ チ ま たはルー タ ー を通っ て フ ァ イ ア ウ ォ ールに入 り ます。 IDS 䉰䊷䊋䊷 2 ▤ℂ䉮䊮䉸䊷䊦 192.168.1.41 IDS 䉰䊷䊋䊷 1 IF 1: 192.168.1.1/24 2 3 5 11 12 6 10 Nortel Switched Firewall IF 2: 20.20.20.1 IF 3: 30.30.30.1 䉪䊤䉟䉝䊮䊃 1 20.20.20.88 䉰䊷䊋䊷 1 30.30.30.66 䉪䊤䉟䉝䊮䊃 2 20.20.20.90 䉰䊷䊋䊷 2 30.30.30.67 図 8-1 IDS サーバーのロー ド バ ラ ン シ ン グ 217014-B-JA, 2005 年 12 月 第 8 章 : IDS サーバーのロー ド バ ラ ン シ ン グ 145 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス IDS サーバーの ロ ー ド バ ラ ン シ ン グ用に ス イ ッ チを設定す る には、以下の手順を実行 し ます。 1. ス イ ッ チの基本オペ レ ーシ ョ ン を設定 し ます。 Nortel Switched Firewall で、 管理ネ ッ ト ワ ー ク 用、 ク ラ イ ア ン ト ネ ッ ト ワ ー ク 用、 サーバー ネ ッ ト ワー ク 用に 3 つの イ ン タ フ ェース を設定 し ます。 Firewall Accelerator には、 ス イ ッ チン グ サービ ス を受信す る すべての実サーバー ま での IP ルー ト が必要です。 こ の例の IP イ ン タ フ ェース を設定す る には、 こ の 手順の説明に従っ て CLI か ら コ マ ン ド を入力 し て く だ さ い。 2. ク ラ イ ア ン ト と サーバー用の VLAN を設定 し ます。 IDS サーバーを設定 し ます。 VLAN を監視す る IDS グループ を設定 し ます。 IDS サーバーを Firewall Accelerator ポー ト に接続 し ます。 注 - 各 IDS サーバーはそれぞれ異な る ス イ ッ チ ポー ト に直接接続す る 必要があ り ま す。 IDS サーバーの ス テー タ ス を確認す る ため、 リ ン ク のヘル ス チ ェ ッ ク が実行 さ れ ます。 Firewall Accelerator 6600 では、 IDS サーバー 1 を ポー ト 5、 IDS サーバー 2 を ポー ト 6 に接続 し て く だ さ い。 3. 管理 コ ン ソ ールの IP イ ン タ フ ェ ース を設定 し ます。 >> # /cfg/net/if 1 (IP イ ン タ フ ェ ース 1 を選択) >> IP Interface 1# addr 192.168.1.1/24 (SmartConsole の IP ア ド レ ス を割 り 当て) >> IP Interface 1# ena (IP イ ン タ フ ェ ース 1 を有効にする) 4. ク ラ イ ア ン ト ネ ッ ト ワー ク の IP イ ン タ フ ェ ース を設定 し ます。 >> # /cfg/net/if 2 >> IP Interface 2# addr 20.20.20.1 >> IP Interface 2# mask 24 >> IP Interface 2# ena 5. (IP イ ン タ フ ェ ース 2 を選択) (ク ラ イ ア ン ト ネ ッ ト ワー ク の IP ア ド レ ス を割 り 当て) (IP イ ン タ フ ェ ース 2 を有効にする) サーバー ネ ッ ト ワー クの IP イ ン タ フ ェ ース を設定 し ます。 >> # /cfg/net/if 3 >> IP Interface 3# addr 30.30.30.1 >> IP Interface 3# mask 24 >> IP Interface 3# ena 146 第 8 章 : IDS サーバーのロー ド バラ ン シ ン グ (IP イ ン タ フ ェ ース 3 を選択) (サーバー ネ ッ ト ワー ク の IP ア ド レ ス を割 り 当て) (IP イ ン タ フ ェ ース 3 を有効にする) 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 6. ク ラ イ ア ン ト ネ ッ ト ワー ク の VLAN を設定 し ます。 図 8-1 の例では、 VLAN 10 に対 し てポー ト 2 を設定 し ます。 (ポー ト 2 を VLAN 10 に追加) >> # /cfg/net/vlan 10/port/add 2 7. VLAN 10 を イ ン タ フ ェ ース 2 に追加 し ます。 (VLAN 10 を イ ン タ フ ェ ースに追加) >> # /cfg/net/if 2/vlan 10 8. ポー ト 3 を イ ン タ フ ェ ース 3 に割 り 当て ます。 >> # /cfg/net/if 3/port/add 3 9. (ポー ト 3 を イ ン タ フ ェ ース 3 に追加) フ ァ イ アウ ォ ール上で、 IDS ロー ド バ ラ ン シ ン グ を グ ローバルで有効に し ます。 (IDS を グローバルで有効にする) >> # /cfg/net/idslb/ena 10. IDS サーバーのロー ド バ ラ ン シ ン グ用のグループ を定義 し ます。 >> # /cfg/net/idslb/group 1 (グループ を定義) 11. IDS ポー ト を IDS グループに追加 し ます。 >> # /cfg/net/idslb/group 1/port/add 5 (IDS サーバー 1 のポー ト をグループ1 に追加) >> # /cfg/net/idslb/group 1/port/add 6 (IDS サーバー 2 のポー ト をグループ 1 に追加) 12. IDS グループ 1 に対 し て IDS ロー ド バラ ン シ ン グ を有効に し ます。 >> # /cfg/net/idslb/group 1/ena (グループ 1 に対 し て IDS を有効にする) 13. IDS グループ 1 を VLAN 10 の監視用に設定 し ます。 >> # /cfg/net/vlan 10/idsgrp 1 (IDS グループ 1 を VLAN 10 の監視用 に有効にする) 14. IDS ポー ト 5 と 6 を有効に し ます。 (ポー ト 5 を有効にする) (ポー ト 6 を有効にする) >> # /cfg/net/port 5/ena >> # /cfg/net/port 6/ena 15. 変更内容を適用 し て保存 し ます。 >> Port 6# apply 217014-B-JA, 2005 年 12 月 第 8 章 : IDS サーバーのロー ド バ ラ ン シ ン グ 147 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ク ラ イ ア ン ト ト ラ フ ィ ッ ク の負荷は 2 つの IDS サーバー間で分散 さ れます。 送信元 と 宛先の両方の IP ア ド レ ス を扱 う ハ ッ シ ン グ アルゴ リ ズ ム に よ り 、 ク ラ イ ア ン ト 1 か ら のすべての着信 / 発信 ト ラ フ ィ ッ ク が IDS サーバー 1 に コ ピー さ れ、ク ラ イ ア ン ト 2 か ら のすべての着信 / 発信 ト ラ フ ィ ッ ク が IDS サーバー 2 に コ ピー さ れ る よ う にな り ます。 例2 1 つの IDS グループで複数の VLAN か ら の ト ラ フ ィ ッ ク を監視で き ます。 こ の例は、 IDS サーバー グループが複数の VLAN を監視す る よ う なハ イ アベ イ ラ ビ リ テ ィ 環境 の フ ァ イ ア ウ ォ ール構成を示 し てい ます。 IDS サーバーに送信 さ れ る ミ ラ ー リ ン グ さ れた ト ラ フ ィ ッ ク には VLAN タ グが付け ら れ る ため、IDS サーバーは VLAN タ グの付 いた ト ラ フ ィ ッ ク を処理で き なければな り ません。 こ の例では、ア ク セ ラ レー タ 上の IDS ポー ト に VLAN タ グが付いてい ます。 ま た、IDS ロ ー ド バ ラ ン シ ン グ が有効にな っ てい る 場合は、 ア ク セ ラ レ ー タ 間のポー ト も 必ず タ グ付け さ れ ます。 ただ し 、 タ グ付けは Nortel Switched Firewall に よ っ て内部的に行 われ ます。 IDS ポー ト ま たはア ク セ ラ レー タ 間のポー ト に対 し て VLAN の タ グ付け を 手動で有効に し ないで く だ さ い。 IDS グ ループ に ポー ト を 追加す る と 、 両方の Firewall Accelerator 上の ポー ト が IDS ポー ト と し て設定 さ れ ます。 こ の特定のポー ト 上で、 IDS サーバーをいずれかのア ク セ ラ レー タ に接続す る こ と がで き ます。 IDS ハ イ アベ イ ラ ビ リ テ ィ 構成の場合は、 両 方のア ク セ ラ レー タ で少な く と も 1 つの IDS サーバーに接続す る 必要があ り ます。 148 第 8 章 : IDS サーバーのロー ド バラ ン シ ン グ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 図 8-2 は、 冗長構成で イ ン ス ト ール さ れた 2 つの Firewall Accelerator 6600 を示 し て い ます。ど ち ら の フ ァ イ ア ウ ォ ール も 、2 つの IDS サーバーを持つ 2 つの異な る VLAN 上の ク ラ イ ア ン ト ト ラ フ ィ ッ ク を監視 し てい ます。 ク ラ イ ア ン ト ト ラ フ ィ ッ ク は レ イ ヤ 2 ス イ ッ チ を 通 っ て フ ァ イ ア ウ ォ ー ル に 入 り ま す。 こ の 例 で は、 Firewall Accelerator (マ ス タ ) が着信 と 発信の両方の ク ラ イ ア ン ト ト ラ フ ィ ッ ク に対 し て IDS ロ ー ド バ ラ ン シ ン グ を実行 し ます。 䉪䊤䉟䉝䊮䊃 1 (VLAN 10) 20.20.20.88 Firewall Accelerator 䋨䊙䉴䉺䋩 10.10.1.101 5 10 4 䉪䊤䉟䉝䊮䊃 2 (VLAN 20) 25.25.25.60 2 3 5 Firewall Accelerator 䋨䊋䉾䉪䉝䉾䊒䋩 10.10.1.102 IDS 䉰䊷䊋䊷 1 (IDS 䉫䊦䊷䊒 1) IDS 䉰䊷䊋䊷 2 (IDS 䉫䊦䊷䊒 1) Firewall Director 1 10.10.1.91 Firewall Director 2 10.10.1.92 䉰䊷䊋䊷 2 30.30.30.67 ▤ℂ䉮䊮䉸䊷䊦 192.168.1.41 䉰䊷䊋䊷 1 30.30.30.66 図 8-2 複数の VLAN に対する IDS ロー ド バ ラ ン シ ン グ 217014-B-JA, 2005 年 12 月 第 8 章 : IDS サーバーのロー ド バ ラ ン シ ン グ 149 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス IDS サーバーの ロ ー ド バ ラ ン シ ン グ用に ス イ ッ チを設定す る には、以下の手順を実行 し ます。 1. ス イ ッ チの基本オペ レ ーシ ョ ン を設定 し ます。 Nortel Switched Firewall で、 管理ネ ッ ト ワ ー ク 用、 ク ラ イ ア ン ト ネ ッ ト ワ ー ク 用、 サーバー ネ ッ ト ワー ク 用に 4 つの イ ン タ フ ェース を設定 し ます。 Firewall Accelerator には、 ス イ ッ チン グ サービ ス を受信す る すべての実サーバー ま での IP ルー ト が必要です。 こ の例の IP イ ン タ フ ェ ー ス を設定す る には、 CLI か ら コ マ ン ド を入力 し ます。 2. ク ラ イ ア ン ト と サーバー用の VLAN を設定 し ます。 IDS サーバーを設定 し ます。 VLAN を監視す る IDS グループ を設定 し ます。 IDS サーバーを Firewall Accelerator ポー ト に接続 し ます。 IDS サーバー 1 を マ ス タ Firewall Accelerator 6600 上のポー ト 5 に接続 し 、 IDS サー バー 2 をバ ッ ク ア ッ プ Firewall Accelerator 6600 上のポー ト 5 に接続 し ます。 注 - 各 IDS サーバーはそれぞれ異な る ス イ ッ チ ポー ト に直接接続す る 必要があ り ま す。 IDS サーバーの ス テー タ ス を確認す る ため、 リ ン ク のヘル ス チ ェ ッ ク が実行 さ れ ます。 3. 管理 コ ン ソ ールの IP イ ン タ フ ェ ース 1 を設定 し ます。 >> # /cfg/net/if 1 >> IP Interface 1# addr 192.168.1.1/24 >> IP Interface 1# mask 24 >> IP Interface 1# ena 4. (IP イ ン タ フ ェ ース 1 を有効にする) ク ラ イ ア ン ト 1 ネ ッ ト ワー ク の IP イ ン タ フ ェ ース 2 を設定 し ます。 >> # /cfg/net/if 2 >> IP Interface 2# addr 20.20.20.1 >> IP Interface 2# mask 24 >> IP Interface 2# ena 5. (IP イ ン タ フ ェ ース 1 を選択) (SmartConsole の IP ア ド レ ス を割 り 当て) (IP イ ン タ フ ェ ース 2 を選択) ( ク ラ イ ア ン ト 1 ネ ッ ト ワー ク の IP ア ド レ ス を割 り 当て) (IP イ ン タ フ ェ ース 2 を有効にする) VLAN 10 に対 し てポー ト 2 を設定 し ます。 >> # /cfg/net/vlan 10/port/add 2 >> # /cfg/net/if 2/vlan 10 150 第 8 章 : IDS サーバーのロー ド バラ ン シ ン グ (ポー ト 2 を VLAN 10 に割 り 当て) (イ ン タ フ ェ ース 2 を VLAN 10 に追加) 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 6. ク ラ イ ア ン ト 2 ネ ッ ト ワー ク の IP イ ン タ フ ェ ース 3 を設定 し ます。 >> # /cfg/net/if 3 >> IP Interface 3# addr 25.25.25.1 >> IP Interface 3# mask 24 >> IP Interface 3# ena 7. (ポー ト 3 を VLAN 20 に割 り 当て) (イ ン タ フ ェ ース 3 を VLAN 20 に追加) サーバー ネ ッ ト ワー クの IP イ ン タ フ ェ ース 4 を設定 し ます。 >> # /cfg/net/if 4 >> IP Interface 4# addr 30.30.30.1 >> IP Interface 4# mask 24 >> IP Interface 4# ena 9. (IP イ ン タ フ ェ ース 3 を有効にする) VLAN 20 に対 し てポー ト 3 を設定 し ます。 >> # /cfg/net/vlan 20/port/add 3 >> # /cfg/net/if 3/vlan 20 8. (IP イ ン タ フ ェ ース 3 を選択) (ク ラ イ ア ン ト 2 ネ ッ ト ワー クの IP ア ド レ ス を割 り 当て) (IP イ ン タ フ ェ ース 4 を選択) (サーバー ネ ッ ト ワー クの IP ア ド レ ス を割 り 当て) (IP イ ン タ フ ェ ース 4 を有効にする) ポー ト 4 を イ ン タ フ ェ ース 4 に設定 し ます。 >> # /cfg/net/if 4/port/add 4 (ポー ト 4 を イ ン タ フ ェ ース 4 に追加) 10. フ ァ イ アウ ォ ール上で、 IDS ロー ド バ ラ ン シ ン グ を グ ローバルで有効に し ます。 (IDS を グローバルで有効にする) >> # /cfg/net/idslb/ena 11. IDS サーバーのロー ド バ ラ ン シ ン グ用のグループ を定義 し ます。 >> # /cfg/net/idslb/group 1 (グループ を定義) 12. IDS ポー ト 5 を IDS グループに追加 し ます。 >> # /cfg/net/idslb/group 1/port/add 5 (IDS サーバー 1 のポー ト をグループ 1 に追加) 13. IDS グループ 1 に対 し て IDS ロー ド バラ ン シ ン グ を有効に し ます。 >> # /cfg/net/idslb/group 1/ena (グループ 1 に対 し て IDS を有効に する) 14. IDS グループ 1 を VLAN 10 の監視用に設定 し ます。 >> # /cfg/net/vlan 10/idsgrp 1 217014-B-JA, 2005 年 12 月 (IDS グループ 1 を VLAN 10 の監視用 に有効にする) 第 8 章 : IDS サーバーのロー ド バ ラ ン シ ン グ 151 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 15. IDS グループ 1 を VLAN 20 の監視用に設定 し ます。 >> # /cfg/net/vlan 20/idsgrp 1 (IDS グループ 1 を VLAN 20 の監視 用に有効にする) 16. IDS ポー ト 5 を有効に し ます。 >> # /cfg/net/port 5/ena (ポー ト 5 を有効にする) 17. ハイ アベ イ ラ ビ リ テ ィ を有効に し ます。 >> # /cfg/acc/ha y る) (ハイ アベ イ ラ ビ リ テ ィ を有効にす 18. 各 IP イ ン タ フ ェ ース上で VRRP を設定 し ます。 こ の ス テ ッ プでは、 各 IP イ ン タ フ ェース に固有の仮想ルー タ ー ID (VRID) が与え ら れ、 2 つの Firewall Accelerator のそれぞれに対す る 仮想ルー タ ー IP (VRIP) ア ド レ ス が割 り 当て ら れ ます。 各 VRIP ア ド レ ス は、 IP イ ン タ フ ェース と 同 じ サブネ ッ ト 内で 固有の IP ア ド レ ス でなければな り ません。 た と えば、 図 8-2 (149 ページ) に示 し たネ ッ ト ワ ー ク では、 2 つの VLAN (VLAN 10 と 20) が 2 つ の IP イ ン タ フ ェ ー ス 上 で 監視 さ れ ま す (IP イ ン タ フ ェ ー ス #2 は 20.20.20.1 を使用 し 、 IP イ ン タ フ ェ ース #3 は 25.25.25.1 を使用 し ます)。 各 IP イ ン タ フ ェース上で VRRP を設定す る には、 手順 5 (157 ページ) の例に示す コ マ ン ド を 参照 し て く だ さ い。 すべての仮想ルー タ ーに固有の VRRP グループ ID が設定 さ れてい る こ と を確認 し て く だ さ い。 VRRP グループ ID は、 NSF の構成内だけでな く 、 NSF と 同 じ セ グ メ ン ト 上にあ る 他の VRRP デバ イ ス の間で も 固有にす る 必要があ り ます。VRRP グループ ID を設定す る には、 cfg/net/adv/vrrp/vrid コ マ ン ド を使用 し ます。 こ の コ マ ン ド の詳細については、 「[Advanced VRRP Configuration Menu]」 (441 ページ) を参照 し て く だ さ い。 19. 変更内容を適用 し て保存 し ます。 >> Filter 1# apply ク ラ イ ア ン ト ト ラ フ ィ ッ ク の負荷は 2 つの IDS サーバー間で分散 さ れます。 送信元 と 宛先の両方の IP ア ド レ ス を扱 う ハ ッ シ ン グ アルゴ リ ズ ム に よ り 、 VLAN 10 ( ク ラ イ ア ン ト 1 ネ ッ ト ワ ー ク ) と VLAN 20 ( ク ラ イ ア ン ト 2 ネ ッ ト ワ ー ク ) か ら のすべ ての着信 / 発信 ト ラ フ ィ ッ ク が IDS グループ 1 のサーバーに コ ピー さ れ る よ う にな り ます。 152 第 8 章 : IDS サーバーのロー ド バラ ン シ ン グ 217014-B-JA, 2005 年 12 月 第9章 ク ラ ス タ の拡張 こ の章では、 Nortel Switched Firewall ク ラ ス タ を基本構成以上に拡張す る 方法につい て説明 し ます。 ク ラ ス タ は さ ま ざ ま な方法で拡張で き ます。 冗長型 Firewall Accelerator と さ ら に Firewall Director を追加 し て、 ハ イ アベ イ ラ ビ リ テ ィ フ ァ イ ア ウ ォ ール を 作成で き ま す。 ハ イ アベ イ ラ ビ リ テ ィ ソ リ ュ ー シ ョ ン を使用す る と 、 1 つの コ ン ポーネ ン ト ま たはネ ッ ト ワー ク リ ン ク で障害が 発生 し て も 、 フ ァ イ ア ウ ォ ールに障害が発生す る こ と はあ り ません。 Firewall Director を ク ラ ス タ にシーム レ ス に追加 し て、 シ ス テ ム を オ フ ラ イ ンにす る こ と な く フ ァ イ ア ウ ォールの処理容量を増やす こ と がで き ます。 複数の Firewall Director を同期化 し 、 セ ッ シ ョ ン の ス テー ト フル フ ェ イ ルオー バーを行 う こ と がで き ま す。 いずれかの Firewall Director に障害が発生 し た場合 で も 、 その時点で実行中のセ ッ シ ョ ンは、 こ の同期化機能に よ っ て正常な Firewall Director へ と 透過的に割 り 当て ら れます。 以下のセ ク シ ョ ン で、 こ れ ら の拡張方法について説明 し ます。 「2 番めの Firewall Accelerator の追加」 (154 ページ) 「Firewall Director の追加」 (158 ページ) 「Firewall Director の同期」 (169 ページ) 「Firewall Accelerator ポー ト の変更」 (172 ページ) 153 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 2 番めの Firewall Accelerator の追加 ハ イ アベ イ ラ ビ リ テ ィ フ ァ イ ア ウ ォ ールの一部 と し て、 冗長型 Firewall Accelerator を ク ラ ス タ に追加す る 必要があ り ま す。 図 9-1 は、 一般的なハ イ アベ イ ラ ビ リ テ ィ フ ァ イ ア ウ ォ ールのネ ッ ト ワ ー ク ト ポ ロ ジーを示 し てい ます。 Nortel Switched Firewall 䊊䉟㩷䉝䊔䉟䊤䊎䊥䊁䉞㩷䉪䊤䉴䉺 ା㗬䊈䉾䊃䊪䊷䉪䈍䉋䈶 䉰䊷䊋䊷㩷䊐䉜䊷䊛 䉟䊮䉺䊷䊈䉾䊃 VRRP 䈍䉋䈶 䊧䉟䊟 2 䉟䊮䉺䊐䉢䊷䉴䉕 䉅䈧䊦䊷䉺䊷 䊧䉟䊟 2 ឵ᯏ Firewall Accelerator 㬍 2 Firewall Director 㬍 4 Check Point ▤ℂ䉮䊮䉸䊷䊦 SmartCenter 図 9-1 ハイ アベ イ ラ ビ リ テ ィ フ ァ イ アウ ォ ールの ト ポロ ジー ハ イ アベ イ ラ ビ リ テ ィ の場合、 各 Firewall Accelerator は同 じ ポー ト を使用 し て同 じ ネ ッ ト ワ ー ク に接続 さ れ、 それぞれが 1 つ以上の Firewall Director を備え てい ま す。 こ のネ ッ ト ワ ー ク 内のいずれかの Firewall Accelerator がマ ス タ に な り 、 それ以外が バ ッ ク ア ッ プ と し て機能 し ます。マ ス タ の選択には Virtual Router Redundancy Protocol (VRRP) が使用 さ れ ます。 マ ス タ Firewall Accelerator は、 バ ッ ク ア ッ プに接続 さ れてい る も の も 含め ク ラ ス タ 内 で ア ク テ ィ ブなすべての Firewall Director に対 し て ロ ー ド バ ラ ン シ ン グ サービ ス と フ ァ イ ア ウ ォ ー ル ア ク セ ラ レ ー シ ョ ン サ ー ビ ス を 提供 し ま す。 マ ス タ Firewall Accelerator が正常な間、 バ ッ ク ア ッ プはパ ッ シ ブ状態に な り 、 接続 さ れ た Firewall Director と マ ス タ Firewall Accelerator の間の接続 を 提供す る にす ぎ ま せん。 バ ッ ク ア ッ プはマ ス タ 上のセ ッ シ ョ ン を ミ ラ ー リ ン グ し 、 マ ス タ に障害が発生 し た場合は処 理を引 き 継ぎ ます。 154 第 9 章 : ク ラ ス タ の拡張 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 要件 冗長型 Firewall Accelerator の イ ン ス ト ールは、 既存の ク ラ ス タ の拡張 と し て扱われ、 以下の こ と が必要 と な り ます。 『Nortel Switched Firewall Hardware Installation Guide』 の説明に従っ て、 基本 ク ラ ス タ (Firewall Director 1 つ と Firewall Accelerator 1 つ) を物理的に イ ン ス ト ール し てお く 必要があ り ます。 第 2 章、 「初期セ ッ ト ア ッ プ」 の説明に従っ て、 基本パ ラ メ ー タ を使用 し て基本 ク ラ ス タ を設定 し てお く 必要があ り ます。 (オプシ ョ ン) 基本 ク ラ ス タ には、 「Firewall Director の追加」 (158 ページ) の説明 に従っ て イ ン ス ト ール さ れた追加の Firewall Director (マ ス タ Firewall Accelerator に接続 さ れた も の) を含め る こ と がで き ます。 追加す る 冗長型 Firewall Accelerator は、 既存の Firewall Accelerator と 同 じ にす る 必要があ り ます。 同 じ ク ラ ス タ 内で異な る モデルの Firewall Accelerator を混在 さ せ る こ と はで き ません。 新 し い Firewall Accelerator のイ ン ス ト ール 注 - 冗長型 Firewall Accelerator を は じ め て イ ン ス ト ールお よ び構成 し て い る 間は、 Firewall Director を接続 し ないで く だ さ い。 冗長型 Firewall Accelerator を物理的に イ ン ス ト ールす る には、 以下の手順を実行 し ま す。 1. 基本ク ラ ス タ がオ ン にな っ ていて稼働中であ る こ と を確認 し ます。 2. 新 し い Firewall Accelerator ハー ド ウ ェ ア を ラ ッ ク に搭載 し ます。 『Nortel Switched Firewall Hardware Installation Guide』 の説明に従 っ て、 ラ ッ ク 搭載時 の注意事項を守 り なが ら 新 し い Firewall Accelerator を搭載 し ます。 3. 新 し い Firewall Accelerator の電源ケーブルを接続 し ます。 ただ し 、 まだ電源は入れな いで く だ さ い。 『Nortel Switched Firewall Hardware Installation Guide』 の説明に従 っ て、 電源に関す る 注意事項を守 り なが ら 電源を接続 し ます。 4. ア ク セ ラ レ ー タ 間のポー ト (IAP) を接続 し ます。 IAP ポー ト の詳細については、 「ア ク セ ラ レ ー タ 間のポー ト の構成」 (172 ページ) を 参照 し て く だ さ い。 IAP でデ ュ アル式の物理 コ ネ ク タ が使用可能な場合は、 ギガ ビ ッ ト LC 光フ ァ イ バ コ ネ ク タ 、 10/100/1000 Mbps RJ-45 銅 コ ネ ク タ 、 ま たはその両方を使用 し て接続で き ま す。両方が接続 さ れてい る 場合は、ギガ ビ ッ ト 光 リ ン ク が優先 リ ン ク と し て使用 さ れ、 銅線 リ ン ク がバ ッ ク ア ッ プ と し て使用 さ れ ます。 次に、 冗長 コ ネ ク タ のルールに従っ て ア ク テ ィ ブ リ ン ク が選択 さ れ ま す ( 『Nortel Switched Firewall Hardware Installation Guide』 を参照)。 217014-B-JA, 2005 年 12 月 第 9 章 : ク ラ ス タ の拡張 155 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 5. 信頼ネ ッ ト ワー ク、 非信頼ネ ッ ト ワー ク、 半信頼ネ ッ ト ワー ク フ ィ ー ド を新 し い Firewall Accelerator に接続 し ます。 注 - 冗長型オペ レ ーシ ョ ン の場合は、 マ ス タ Firewall Accelerator に接続 さ れた同 じ ネ ッ ト ワ ー ク が冗長型 Firewall Accelerator に接続 さ れてい る 必要があ り ます。 各ネ ッ ト ワー ク を両方の Firewall Accelerator 上の同 じ ポー ト に接続 し て く だ さ い。 こ の例では、 ネ ッ ト ワ ー ク A がマ ス タ Firewall Accelerator のポー ト 1、 ネ ッ ト ワ ー ク B がポー ト 2 上にあ る ため、 バ ッ ク ア ッ プ上で も ネ ッ ト ワー ク A を ポー ト 1、 ネ ッ ト ワ ー ク B を ポー ト 2 に接続す る 必要があ り ます。 6. 新 し い Firewall Accelerator の電源を入れます。 新 し い Firewall Accelerator の構成 注 - Firewall Accelerator の構成に専用の コ ン ソ ール ポー ト を使用す る こ と はで き ま せん。 代わ り に、 コ マ ン ド ラ イ ン イ ン タ フ ェ ース (CLI) を使用す る か (第 13 章を 参照)、 ブ ラ ウ ザベース イ ン タ フ ェース (BBI) を使用 し て く だ さ い (『Nortel Switched Firewall Browser-based Interface Guide』 を参照)。 以下の手順では、 CLI を使用 し た方 法について説明 し ます。 1. CLI に接続 し 、 管理者 と し て ロ グ イ ン し ます。 Firewall Director の任意のシ リ アル ポー ト か ら ロ ーカルで ク ラ ス タ の CLI にア ク セ ス す る か、 ク ラ ス タ の管理 IP (MIP) ア ド レ ス への Telnet ま たは SSH セ ッ シ ョ ン を確 立 し て リ モー ト か ら ア ク セ ス し ます。 2. 冗長型 Firewall Accelerator の MAC ア ド レ スが検出 さ れている こ と を確認 し ます。 以下の コ マ ン ド を使用 し て、 自動検出が有効にな っ てい る か ど う か を確認 し 、 検出 さ れた MAC ア ド レ ス を表示 し ます。 >> # /info/det MAC ア ド レ ス が正 し く 検出 さ れた場合は、 手順 3 に進みます。 ただ し 、 自動検出が 無効に な っ て い る 場合は、 以下の コ マ ン ド を 使用 し て新 し い Firewall Accelerator の MAC ア ド レ ス を設定す る こ と がで き ます。 >> # /cfg/acc >> Accelerator Configuration# ac2/mac <MAC ア ド レ ス > こ こ で、 MAC ア ド レ スは 16 進法の XX:XX:XX:XX:XX 形式で指定 さ れます。 3. ク ラ ス タ に対 し ハイ アベ イ ラ ビ リ テ ィ を有効に し ます。 >> Accelerator Configuration# /cfg/acc/ha y 156 第 9 章 : ク ラ ス タ の拡張 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 4. 新 し い Firewall Accelerator の IP ア ド レ ス を設定 し ます。 >> Accelerator Configuration# ac2/addr <IP ア ド レ ス > 冗長型 Firewall Accelerator の IP ア ド レ ス は、 マ ス タ Firewall Accelerator と 同 じ サブ ネ ッ ト 上で固有のア ド レ ス でなければな り ません。 5. 各 IP イ ン タ フ ェ ース上で VRRP を設定 し ます。 ク ラ ス タ の初期セ ッ ト ア ッ プで、Firewall Accelerator に接続 さ れた信頼ネ ッ ト ワー ク 、 非信頼ネ ッ ト ワ ー ク 、 半信頼ネ ッ ト ワ ー ク のそれぞれに対 し て IP イ ン タ フ ェ ー ス が 設定 さ れてい ます。 こ の ス テ ッ プでは、 各 IP イ ン タ フ ェ ー ス に固有の仮想ルー タ ー ID (VRID) が与え ら れ、 2 つの Firewall Accelerator のそれぞれに対す る 仮想ルー タ ー IP (VRIP) ア ド レ ス が割 り 当て ら れ ます。 各 VRIP ア ド レ ス は、 IP イ ン タ フ ェース と 同 じ サブネ ッ ト 内で固有の IP ア ド レ ス でなければな り ません。 た と えば、 図 2-1 (33 ページ) に示 し たネ ッ ト ワ ー ク では、 2 つの IP イ ン タ フ ェ ー ス が存在 し ます (IP イ ン タ フ ェ ース #1 はネ ッ ト ワー ク A の 10.1.1.1 を使用 し 、 IP イ ン タ フ ェ ース #2 はネ ッ ト ワ ー ク B の 10.2.0.1 を使用 し ます) 。 以下の構成 コ マ ン ド を使用で き ます。 (イ ン タ フ ェ ース 1 用の VRRP メ ニ ュ ー) vrid 1 (固有の VRID を 1 に設定) ip1 10.1.1.100 (ア ク セ ラ レー タ 1 用の VRIP を 設定) ip2 10.1.1.101 (ア ク セ ラ レー タ 2 用の VRIP を 設定) /cfg/net/if 2/vrrp (イ ン タ フ ェ ース 2 用の VRRP メ ニ ュ ー) vrid 2 (固有の VRID を 2 に設定) ip1 10.2.0.100 (ア ク セ ラ レー タ 1 用の VRIP を 設定) ip2 10.2.0.101 (ア ク セ ラ レー タ 2 用の VRIP を 設定) >> # /cfg/net/if 1/vrrp >> VRRP Configuration# >> VRRP Configuration# >> VRRP Configuration# >> VRRP Configuration# >> VRRP Configuration# >> VRRP Configuration# >> VRRP Configuration# すべての仮想ルー タ ーに固有の VRRP グループ ID が設定 さ れてい る こ と を確認 し て く だ さ い。 VRRP グループ ID は、 NSF の構成内だけでな く 、 NSF と 同 じ セ グ メ ン ト 上にあ る 他の VRRP デバ イ ス の間で も 固有にす る 必要があ り ます。VRRP グループ ID を設定す る には、 cfg/net/adv/vrrp/vrid コ マ ン ド を使用 し ます。 こ の コ マ ン ド の詳細については、 「[Advanced VRRP Configuration Menu]」 (441 ページ) を参照 し て く だ さ い。 6. 変更内容を適用 し ます。 >> VRRP Configuration# apply 217014-B-JA, 2005 年 12 月 第 9 章 : ク ラ ス タ の拡張 157 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Firewall Director の追加 複数の Firewall Director を ク ラ ス タ にシーム レ ス に追加 し て、 シ ス テ ム を オ フ ラ イ ン に す る こ と な く フ ァ イ ア ウ ォ ー ル の 処理容量 を 増やす こ と が で き ま す。 Firewall Director がマ ス タ と バ ッ ク ア ッ プの ど ち ら の Firewall Accelerator に接続 さ れてい る か にかかわ ら ず、 ク ラ ス タ 内のすべて の Firewall Director 間で フ ァ イ ア ウ ォ ール ト ラ フ ィ ッ ク の負荷が分散 さ れます。 要件 追加 Firewall Director の イ ン ス ト ールは、 既存の ク ラ ス タ の拡張 と し て扱われ、 以下 の こ と が必要 と な り ます。 『Nortel Switched Firewall Hardware Installation Guide』 の説明に従っ て、 基本 ク ラ ス タ (Firewall Director 1 つ と Firewall Accelerator 1 つ) を物理的に イ ン ス ト ール し てお く 必要があ り ます。 第 2 章、 「初期セ ッ ト ア ッ プ」 の説明に従っ て、 基本パ ラ メ ー タ を使用 し て基本 ク ラ ス タ を設定 し てお く 必要があ り ます。 (オプシ ョ ン) ク ラ ス タ には、 「2 番めの Firewall Accelerator の追加」 (154 ページ) の説明に従っ て イ ン ス ト ールお よ び構成 さ れた冗長型 Firewall Accelerator を含め る こ と がで き ます。 追加す る 冗長型 Firewall Director は、 既存の Firewall Director と 同 じ にす る 必要が あ り ます。 以下の基準は、 新 し い機器 と 確立済みの ク ラ ス タ を正 し く 統合す る ために必要 と な り ます。 ! 注意 - ク ラ ス タ に追加す る Firewall Director は、 ク ラ ス タ 内の も う 一方の Firewall Director と Firewall OS のバージ ョ ン を同 じ にす る 必要があ り ます。 詳細については、 第 11 章、 「 ソ フ ト ウ ェ アのア ッ プグ レ ー ド 」 を参照 し て く だ さ い。 注意 - ま た、 ク ラ ス タ に追加す る Firewall Director は出荷時のデフ ォ ル ト モー ド に設 定 さ れてい る 必要があ り ます。 以前に構成 し た Firewall Director を別の確立済み ク ラ ス タ か ら 移動す る 場合は、 まず前の ク ラ ス タ か ら Firewall Director を削除 し て構成を リ セ ッ ト す る 必要があ り ます。詳細については、290 ページで [Cluster Host] メ ニ ュ ー の delete コ マ ン ド の説明を参照 し て く だ さ い。 158 第 9 章 : ク ラ ス タ の拡張 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 新 し い Firewall Director のイ ン ス ト ール 追加の Firewall Director を物理的に イ ン ス ト ールす る には、以下の手順を実行 し ます。 1. 基本ク ラ ス タ がオ ン にな っ ていて稼働中であ る こ と を確認 し ます。 2. 新 し い Firewall Director ハー ド ウ ェ ア を ラ ッ ク に搭載 し ます。 『Nortel Switched Firewall Hardware Installation Guide』 の説明に従 っ て、 ラ ッ ク 搭載時 の注意事項を守 り なが ら 新 し い Firewall Accelerator を搭載 し ます。 3. 新 し い Firewall Director の電源ケーブルを接続 し ます。 ただ し 、 まだ電源は入れない で く だ さ い。 『Nortel Switched Firewall Hardware Installation Guide』 の説明に従 っ て、 電源に関す る 注意事項を守 り なが ら 電源を接続 し ます。 4. 新 し い Firewall Director を Firewall Accelerator に接続 し ます。 デフ ォ ル ト に よ り 、 Firewall Accelerator のポー ト 11 と 12 は Firewall Director 接続用 に予約 さ れてい ます。デフ ォ ル ト を使用す る 場合は、 Firewall Director のア ッ プ リ ン ク ポー ト を任意の Firewall Accelerator 上で使用可能な ポー ト 11 ま たは 12 に接続 し て く だ さ い。 ア ッ プ リ ン ク ポー ト にはギ ガ ビ ッ ト 光 フ ァ イ バ LC コ ネ ク タ を使用 し ま す。 通常の場合、 RJ-45 コ ネ ク タ を Firewall Director の接続に使用す る こ と はお勧め し ません。 Firewall Accelerator の ア ッ プ リ ン ク ポー ト の変更につい て は、 「Firewall Accelerator ポー ト の変更」 (172 ページ) を参照 し て く だ さ い。 注 - ケーブルについては、 『Nortel Switched Firewall Hardware Installation Guide』 を参 照 し て く だ さ い。 5. 新 し い Firewall Director の電源を入れます。 注 - 新 し く 追加 し た Firewall Director が完全に機能す る のは、 構成が完了 し (「新 し い Firewall Director の構成」 (160 ページ) を参照) 、 Check Point 管理 コ ン ソ ールで信頼 が確立 さ れ、 フ ァ イ ア ウ ォ ール ポ リ シーが ロ ー ド さ れてか ら です。 217014-B-JA, 2005 年 12 月 第 9 章 : ク ラ ス タ の拡張 159 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 新 し い Firewall Director の構成 ク ラ ス タ プ ロパテ ィ の構成 新 し く イ ン ス ト ール し た Firewall Director は手動で構成す る か、 ま たは確立済み ク ラ ス タ でプ ラ グ ア ン ド プ レ イ プ ロ セ ス を使用 し て自動で構成す る こ と がで き ます。 プ ラ グ ア ン ド プ レ イ を利用す る には、 使用可能な IP ア ド レ ス の リ ス ト か ら な る リ ソ ース情報を使用 し て、 ク ラ ス タ を事前に構成 し てお く 必要があ り ます。 ロ ーカル ラ イ セ ン ス を使用す る 場合は、 Check Point ラ イ セ ン ス も 追加す る 必要が あ り ま す。 そ の後、 新 し い各 Firewall Director が検出 さ れ る と 、 ク ラ ス タ に事前構成 さ れた リ ソ ー ス が自動的に割 り 当て ら れ、 新 し いデバ イ ス が ク ラ ス タ に入れ ら れ ます。 デフ ォ ル ト に よ り 、プ ラ グ ア ン ド プ レ イ 機能は リ ソ ース な し で有効にな っ てい ます。 プ ラ グ ア ン ド プ レ イ を有効に し て リ ソ ース を追加す る には、 以下の手順を実行 し ま す。 新 し い Firewall Director を手動で構成 し たい場合は、 「手動に よ る Firewall Director の追加」 (167 ページ) を参照 し て く だ さ い。 1. ク ラ ス タ の MIP ア ド レ スに管理者 と し て ロ グ イ ン し ます。 構成には コ マ ン ド ラ イ ン イ ン タ フ ェース (CLI) を使用す る か (第 13 章を参照)、 ブ ラ ウ ザベー ス イ ン タ フ ェ ー ス (BBI) を 使用で き ま すが ( 『Nortel Switched Firewall Browser-based Interface Guide』 を参照) 、 以降の手順では CLI を使用 し た方法につい て説明 し ます。 注 - プ ラ グ ア ン ド プ レ イ を 使 用 す る 場 合 は、 新 し く イ ン ス ト ー ル し た Firewall Director のシ リ アル ポー ト には ロ グ イ ンせずに、確立済みの機器を使用 し て ク ラ ス タ の MIP ア ド レ ス に接続 し て く だ さ い。 2. プ ラ グ ア ン ド プ レ イが有効にな っ ている こ と を確認 し ます。 プ ラ グ ア ン ド プ レ イ が有効か ど う か、 未使用の リ ソ ース が使用可能か ど う か を確認 す る には、 以下の コ マ ン ド を使用 し ます。 >> # /cfg/pnp/cur プ ラ グ ア ン ド プ レ イ が 有効 で、 有効 な IP ア ド レ ス と Check Point ラ イ セ ン ス が unused と し て リ ス ト さ れてい る 場合は、 リ ソ ース の事前構成が済んでい る ので、「新 し い Firewall Director に関するポ リ シーの追加」 (162 ページ) に進みます。 プ ラ グ ア ン ド プ レ イ が無効な場合は、 こ れ を有効にす る か、 ま たは新 し い Firewall Director を手動で構成す る 必要があ り ます。手動構成については、「手動に よ る Firewall Director の追加」 (167 ページ) を参照 し て く だ さ い。 プ ラ グ ア ン ド プ レ イ を有効に す る には、 以下の コ マ ン ド を使用 し ます。 >> SFD IP and Firewall License# ena 160 第 9 章 : ク ラ ス タ の拡張 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 3. 新 し い Firewall Director の リ ソ ース を追加 し ます。 以下の コ マ ン ド を入力 し ます。 >> SFD IP and Firewall License# add 以下の情報を求め る プ ロ ン プ ト 画面が表示 さ れ ます。 IP ア ド レ ス。 新 し い Firewall Director の IP ア ド レ ス を入力 し ます。 こ の IP ア ド レ ス は、 ク ラ ス タ の MIP ア ド レ ス と 同 じ サブネ ッ ト に属 し てい る 必要が あ り ま す。 ワ ン タ イ ム パ ス ワ ー ド 。 こ こ で入力 し た ワ ン タ イ ム パ ス ワー ド は、 後で管理ス テーシ ョ ン (SmartCenter) と Firewall Director 間の Secure Internal Communications (SIC) 接続を確立す る 際に必要 と な り ます。 4. ラ イ セ ン ス の追加。 こ れについては次の ス テ ッ プで説明 し ます。 ロー カル ラ イ セ ン ス を使用する場合は、新 し い Firewall Director に関する Check Point ラ イ セ ン ス情報を入力 し ます。 こ の時点で、 Check Point ラ イ セ ン ス を追加す る か ど う か を問 う プ ロ ン プ ト が表示 さ れ ます。 Do you want to add a license (y/n)? 注 - 中央 ラ イ セ ン ス を使用す る 場合は、 こ のプ ロ ン プ ト で 「n」 と 入力 し ます。 中央 ラ イ セ ン ス を使用す る 場合は、 フ ァ イ ア ウ ォ ール ポ リ シーを イ ン ス ト ールす る 前に、 管理サーバーか ら ラ イ セ ン ス を発行す る 必要があ り ます。 詳細については、 第 2 章、 「初期セ ッ ト ア ッ プ」 の手順 8 (55 ページ) を参照 し て く だ さ い。 ロ ーカル ラ イ セ ン ス を使用す る 場合は、 こ のプ ロ ンプ ト で 「y」 と 入力 し ます。 以下 の情報を指定す る よ う 求め ら れ ます。 Enter the Expiry date for the License:< 有効期限 > Enter the Feature string:< 機能文字列 > Enter the License string:< ラ イ セ ン ス文字列 > Cannot validate this license now because the target host is not up and running now.Do you want to add it any way? y Successfully added License/IP... こ の ラ イ セ ン ス情報は、 ご使用の Check Point パ ッ ケージの一部です。 以下の例の よ う な情報が必要にな り ます。 有効期限 : 02aug2003 機能文字列 : CPSUITE-EVAL-3DES-NG CK-CHECK-POINT ラ イ セ ン ス文字列 : aBZUeTWHR-FyxGGcdej-QiiS89a6N-isMP6Ywnn 必ず、 実際の Check Point ラ イ セ ン ス に示 さ れてい る と お り に情報を入力 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 9 章 : ク ラ ス タ の拡張 161 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 注 - Firewall Director ご と に個別の ラ イ セ ン ス が必要です。 新 し い Firewall Director に関するポ リ シーの追加 1. Check Point 管理 ク ラ イ ア ン ト で SmartDashboard ソ フ ト ウ ェ ア を起動 し 、 管理者ア カ ウ ン ト を使用 し て ロ グ イ ン し ます。 2. 新 し く イ ン ス ト ール し た Firewall Director を表す新 し いワー ク ス テーシ ョ ン オブ ジ ェ ク ト を作成 し ます。 SmartDashboard の メ ニ ュ ー バーか ら [Manage] → [Network Objects] を 選択 し ま す。 [Network Objects] ウ ィ ン ド ウ が表示 さ れた ら [New] を ク リ ッ ク し 、 ポ ッ プア ッ プ リ ス ト か ら [Workstation] を選択 し ます。 3. Firewall Director オブ ジ ェ ク ト パ ラ メ ー タ を定義 し ます。 以下の情報を入力 し ます。 Name : 新 し く イ ン ス ト ール し た Firewall Director の名前。 IP Address : 新 し く イ ン ス ト ール し た Firewall Director のア ド レ ス。 こ の例では、 ア ド レ ス は 10.10.1.2 です。 Version : NG with Application Intelligence FireWall-1 : リ ス ト ウ ィ ン ド ウ か ら こ の項目にチ ェ ッ ク マー ク を付け ます。 [Workstation Properties] ウ ィ ン ド ウ は次の ス テ ッ プで使用す る ので、 開いた ま ま に し て く だ さ い。 4. SmartCenter と Firewall Director の間で信頼を確立 し ます。 Check Point FireWall-1 NG で は、 構 成 済 み オ ブ ジ ェ ク ト と 管 理 ス テ ー シ ョ ン (SmartCenter) の間で Secure Internal Comminutions (SIC) を開始す る 際に ワ ン タ イ ム パ ス ワ ー ド を使用 し ます。 162 第 9 章 : ク ラ ス タ の拡張 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス SIC を確立す る には、 [Workstation Properties] ウ ィ ン ド ウ で [Communication] ボ タ ン を ク リ ッ ク し ます。 [Communications] ウ ィ ン ド ウ が表示 さ れ ます。 手順 3 (161 ページ) で新 し い Firewall Director を ク ラ ス タ に追加 し た際に定義 し た も の と 同 じ ワ ン タ イ ム SIC パ ス ワー ド を入力 し 、 [Initialize] を ク リ ッ ク し ます。 管理 ス テーシ ョ ン (SmartCenter) は、 Firewall Director にア ク セ ス し てセ キ ュ リ テ ィ 情報を交換 し よ う と し ます。 成功す る と 、 ウ ィ ン ド ウ に 「Trust established」 と 表示 さ れ ます。 注 - ク ラ ス タ のフ ァ イ ア ウ ォール ソ フ ト ウ ェ アが無効にな っ てい る と (/cfg/fw/dis)、 信頼を確立で き ません。 5. [Communications] ウ ィ ン ド ウ と [Workstation Properties] ウ ィ ン ド ウ を閉 じ ます。 6. SmartDashboard の メ ニ ュ ー バーか ら [File] → [Save] を選択 し ます。 7. 中央ラ イ セ ン ス を使用する場合は、Firewall Director オブ ジ ェ ク ト の ラ イ セ ン ス を イ ン ス ト ール し ます。 注 - 手順 4 (161 ページ) で新 し い Firewall Director を ク ラ ス タ に追加 し た際に ロ ー カル ラ イ セ ン ス を使用 し た場合は、 こ の ス テ ッ プ を省略 し て く だ さ い。 中央 ラ イ セ ン ス を入力す る には、 SmartUpdate モジ ュ ールを使用 し ます。 ラ イ セ ン ス の イ ン ス ト ールの詳細については、 「中央 ラ イ セ ン スの使用」 (2-55 ページ) を参照 し て く だ さ い。 中央 ラ イ セ ン ス が 正 し く イ ン ス ト ー ル さ れ て い る こ と を 確認す る に は、 Firewall Director に root と し て ロ グ イ ン し 、 以下の コ マ ン ド を実行 し ます。 cplic print -x -type こ の コ マ ン ド の出力 と し て、 イ ン ス ト ール済み ラ イ セ ン ス の情報が表示 さ れ ます。 217014-B-JA, 2005 年 12 月 第 9 章 : ク ラ ス タ の拡張 163 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 8. 必要に応 じ て、 ゲー ト ウ ェ イ ク ラ ス タ オブ ジ ェ ク ト を作成 し ます。 ク ラ ス タ 内のすべての Firewall Director に同 じ ポ リ シーが イ ン ス ト ール さ れていな け ればな り ません。 ゲー ト ウ ェ イ ク ラ ス タ オブジ ェ ク ト を使用す る と 、 管理者は ク ラ ス タ 内のすべての Firewall Director を 1 つのグループ と し て更新で き ます。 確立済み ク ラ ス タ に Firewall Director をは じ めて追加す る 場合は、 ゲー ト ウ ェ イ ク ラ ス タ オブジ ェ ク ト を作成す る 必要が あ り ま す。 以前の イ ン ス ト ール時にゲー ト ウ ェ イ ク ラ ス タ オブジ ェ ク ト を作成 し た場合は、 こ の ス テ ッ プ を繰 り 返す必要はあ り ま せん。 新 し いゲー ト ウ ェ イ ク ラ ス タ オブ ジ ェ ク ト を作成す る には、 [Check Points] を右 ク リ ッ ク し て [New] を選択 し 、ウ ィ ン ド ウ の左側に表示 さ れ る [Network Objects] ツ リ ー で [Gateway Cluster] を選択 し ます。[Gateway Cluster properties] タ ブが表示 さ れます。 以下の情報を入力 し ます。 Name : ゲー ト ウ ェ イ ク ラ ス タ を表す任意の名前。 IP Address : 外部ネ ッ ト ワー ク の イ ン タ フ ェ ース IP ア ド レ ス。 Version : [NG with Application Intelligence] を選択 し ます。 164 第 9 章 : ク ラ ス タ の拡張 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 9. Firewall Director メ ンバーをゲー ト ウ ェ イ ク ラ ス タ オブ ジ ェ ク ト を追加 し ます。 [Gateway Cluster properties] ウ ィ ン ド ウ にア ク セ ス し ま す。 ウ ィ ン ド ウ が ま だ表示 さ れていない場合は、ゲー ト ウ ェ イ ク ラ ス タ オブジ ェ ク ト を右 ク リ ッ ク し 、ポ ッ プア ッ プ メ ニ ュ ーか ら [Properties] を選択 し ます。 [Cluster Members] タ ブ を ク リ ッ ク し 、 Firewall Director を ク ラ ス タ メ ンバー と し て追 加 し ます。 Firewall Director を選択 し 、 [OK] を ク リ ッ ク し ます。 こ の手順を繰 り 返 し て、 ク ラ ス タ 内のすべての Firewall Director を メ ンバー と し て追加 し ます。 [Security - Standard] タ ブ を選択 し 、表の [INSTALL ON] 列を右 ク リ ッ ク し ます。[Add] → [Targets] を選択す る と 、 ゲー ト ウ ェ イ ク ラ ス タ の リ ス ト が表示 さ れ ます。 Nortel Switched Firewall ゲー ト ウ ェ イ ク ラ ス タ オブジ ェ ク ト を選択 し 、[OK] を ク リ ッ ク し ます。 217014-B-JA, 2005 年 12 月 第 9 章 : ク ラ ス タ の拡張 165 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 10. [3rd Party Configuration] タ ブ を ク リ ッ ク し 、 サー ド パーテ ィ の ソ リ ュ ーシ ョ ン を指定 し ます。 [Gateway Cluster properties] タ ブが表示 さ れます。 11. [Specify Cluster operating mode] で ク ラ ス タ の動作モー ド と し て [Load Sharing] を ク リ ッ ク し ます。 ロ ー ド シ ェ ア リ ン グ で は、 すべ て の フ ァ イ ア ウ ォ ールが ト ラ フ ィ ッ ク を 処理 し 、 Firewall Accelerator 間で ト ラ フ ィ ッ ク が共有 さ れます。 こ れで、 新 し い Firewal Director にポ リ シーを追加す る 手順は完了です。 166 第 9 章 : ク ラ ス タ の拡張 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 手動に よ る Firewall Director の追加 ク ラ ス タ 上 で プ ラ グ ア ン ド プ レ イ が 無効 な 場合は、 新 し く イ ン ス ト ール さ れ た Firewall Director を手動で構成す る 必要があ り ます。 ク ラ ス タ に対 し てプ ラ グ ア ン ド プ レ イ を有効にす る には、 /cfg/pnp/ena コ マ ン ド を使用 し ま す。 無効にす る 場合 は、 /cfg/pnp/dis コ マ ン ド を使用 し ま す。 プ ラ グ ア ン ド プ レ イ はデフ ォ ル ト で 有効にな っ てい ますが、 IP ア ド レ ス は手動で設定す る 必要があ り ます。 ク ラ ス タ 上の プ ラ グ ア ン ド プ レ イ 機能の ス テー タ ス を確認す る には、/cfg/pnp/cur コ マ ン ド を 使用 し ます。 以下の手順を実行す る には、 「新 し い Firewall Director のイ ン ス ト ール」 (159 ページ) の説明に従 っ て Firewall Director を 物理的に イ ン ス ト ール し てお く 必要が あ り ま す。 こ れには、 デバ イ ス の搭載、 電源の投入、 既存の ク ラ ス タ への接続が含まれます。 1. 新 し い Firewall Director のシ リ アル ポー ト に直接接続 し ます。 注 - ク ラ ス タ の MIP ア ド レ ス を使用 し て、 新 し い Firewall Director を手動で構成す る こ と はで き ません。 イ ン ス ト ールす る デバ イ ス のシ リ アル ポー ト を使用 し て、 CLI に 直接ア ク セ ス し て く だ さ い ( 『Nortel Switched Firewall Hardware Installation Guide』 を 参照)。 2. デ フ ォ ル ト の管理者ア カ ウ ン ト を使用 し て ロ グ イ ン し ます。 コ ン ソ ール端末で [Return] キーを押 し て、 接続を確立 し ま す。 ロ グ イ ン プ ロ ン プ ト が表示 さ れ た ら 、 デ フ ォ ル ト の ロ グ イ ン 名 (admin) と デ フ ォ ル ト の パ ス ワ ー ド (admin) を入力 し て く だ さ い。 login:admin Password:admin (非表示) 注 - 新 し い Firewall Director は ま だ出荷時のデフ ォ ル ト に設定 さ れてい る ため、 ク ラ ス タ の残 り でパ ス ワ ー ド が変更 さ れてい る か否か を問わず、 デフ ォ ル ト の admin パ ス ワー ド を使用す る 必要があ り ます。 特殊なセ ッ ト ア ッ プ ユーテ ィ リ テ ィ メ ニ ュ ーが表示 さ れ ます。 Welcome to the Nortel Switched Firewall initialization. -----------------------------------------------------------[Setup Menu] join - Join an existing iSD cluster new - Initialize iSD as a new installation restore - Restore this SFD from a backup taken earlier offline - Initialize iSD for offline switchless maintenance boot - Boot Menu naap - Set NAAP VLAN id exit - Exit >> Setup# 217014-B-JA, 2005 年 12 月 第 9 章 : ク ラ ス タ の拡張 167 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 3. 新 し い Firewall Director を既存の ク ラ ス タ に連結 し ます。 >> Setup# join 4. 画面上のプ ロ ン プ ト に従 っ て、 新 し い Firewall Director を手動で構成 し ます。 Enter cluster admin user password:admin (非表示) Enter password again:admin (非表示) Enter this SFD's IP: 10.10.1.2 Enter the cluster Master IP (MIP): 10.10.1.10 Enter Check Point SIC one-time password:<SIC パスワー ド > (非表示) Enter password again:<SIC パスワー ド > ...... Cluster has been joined successfully. Please relogin if any further setup is necessary. 5. ロー カル ラ イ セ ン ス を使用する場合は、 Check Point ラ イ セ ン ス を入力 し ます。 以下に例を示 し ます。 >> # /cfg/pnp/add Enter the IP Address: 10.10.1.2 Enter the Expiry date for the License:25Oct2003 Enter the Feature string:cpsuite-eval-3des-ng CK-FDFA9AA20D27 Enter the License string:aWkxm4Pj6-zbcfsY7Ju-AUsu8FKvS-KrsokXokv 6. ポ リ シーを イ ン ス ト ール し て、 構成を完了 し ます。 新 し い Firewall Director を手動で追加 し た後は、 ポ リ シーを イ ン ス ト ールす る 必要が あ り ます。 こ のプ ロ セ ス の次の ス テ ッ プについては、 「新 し い Firewall Director に関す るポ リ シーの追加」 (162 ページ) を参照 し て く だ さ い。 168 第 9 章 : ク ラ ス タ の拡張 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Firewall Director の同期 複数の Firewall Director を同期化 し 、 セ ッ シ ョ ン の ス テー ト フル フ ェ イ ルオーバーを 行 う こ と がで き ます。 いずれかの Firewall Director に障害が発生 し た場合で も 、 その 時点で実行中のセ ッ シ ョ ンは、 こ の同期化機能に よ っ て正常な Firewall Director へ と 透過的に割 り 当て ら れ ます。 Firewall Director を同期す る 際には、Firewall Director で専用ポー ト (10/100/1000 Mbps ポー ト 2) を使用 し て同期 ト ラ フ ィ ッ ク を分離す る こ と をお勧め し ます。 専用ポー ト を使用す る 場合は さ ら にケーブル配線が必要ですが、 ト ラ フ ィ ッ ク 量が多い状況下で のパフ ォ ーマ ン ス が向上 し ます。 VPN の構成シナ リ オでは、 Firewall Accelerator ポー ト を使用 し て同期を実行す る と 、 Nortel Switched Firewall に よ っ てパケ ッ ト が破棄 さ れ る 可能性があ り ます。 ス テ ー ト フ ル フ ェ イ ルオーバー を 実現す る には、 Nortel Switched Firewall と Check Point 管理サーバーの両方で以下の よ う に同期を設定す る 必要があ り ます。 1. Nortel Switched Firewall の同期がオ フ にな っ てい る こ と を確認 し ます。 管理者ア カ ウ ン ト を使用 し て Nortel Switched Firewall ク ラ ス タ の MIP ア ド レ ス に ロ グ イ ン し 、 以下の コ マ ン ド を入力 し ます。 >> # /cfg/fw/sync/cur 2. 同期 ト ラ フ ィ ッ ク で使用する ネ ッ ト ワー ク を定義 し 、 専用ポー ト と 同期化 し ます。 専用ポー ト を使用す る 場合は、 同期 ト ラ フ ィ ッ ク に固有のネ ッ ト ワ ー ク ア ド レ ス を 使用 し て く だ さ い。こ のネ ッ ト ワー ク が MIP と 同 じ サブネ ッ ト 上にあ っ てはな り ませ ん。 以下に例を示 し ます。 >> Sync Configuration# net 192.168.2.0 注 - 同期ネ ッ ト ワー ク は NSF 内部サブネ ッ ト 用に指定 さ れたサブネ ッ ト マ ス ク を使 用 し て、 同期ネ ッ ト ワ ー ク の範囲を定義 し ます。 3. 同期ネ ッ ト ワー ク を有効に し 、 変更内容を適用 し ます。 >> Sync Configuration# ena >> Sync Configuration# apply 同期を有効にす る と 、 Firewall Director が自動的に再起動 し ます。 217014-B-JA, 2005 年 12 月 第 9 章 : ク ラ ス タ の拡張 169 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 4. SmartDashboard 管理ツールを使用 し て、フ ァ イ アウ ォ ールのイ ン タ フ ェ ース情報を更 新 し ます。 管理 ク ラ イ ア ン ト ス テーシ ョ ン で SmartDashboard ア プ リ ケーシ ョ ン を起動 し ま す。 SmartDashboard か ら 、 ク ラ ス タ 内の Firewall Director を選択 し 、 そのプ ロ パテ ィ を編 集 し ます。 [Properties] ウ ィ ン ド ウ の [Topology] タ ブ を選択 し 、 [Get Interfaces] ボ タ ン を ク リ ッ ク し ます。 検出 さ れた イ ン タ フ ェ ー ス の リ ス ト に、 手順 2 で定義 し た同期ネ ッ ト ワ ー ク 上の IP ア ド レ ス を持つ適切な Ethernet デバ イ ス が含 ま れてい る こ と を確認 し ま す。 た と え ば、 NSF 5014 に適 し た Ethernet デバ イ ス は FE2 です。 ク ラ ス タ 内の各 Firewall Director に対 し て、 こ の ス テ ッ プ を繰 り 返 し ます。 5. SmartDashboard ツールか ら、 Check Point フ ァ イ アウ ォ ールの同期を有効に し ます。 [SmartDashboard] ウ ィ ン ド ウ の 左 側 に 表 示 さ れ る [Network Objects] ツ リ ー で、 [Gateway Cluster] を選択 し ます。 [Gateway Cluster] の前にあ る マ イ ナ ス記号 ( - ) の ア イ コ ン を ク リ ッ ク す る と 、 その中のオブジ ェ ク ト が表示 さ れます。 Nortel Switched Firewall を 表すゲー ト ウ ェ イ ク ラ ス タ オブ ジ ェ ク ト を確認 し て く だ さ い。 こ のオブジ ェ ク ト は、 新 し い Firewall Director が既存の ク ラ ス タ に最初に追加 さ れた と き に作成 さ れた も のです。 オブジ ェ ク ト が存在 し ない場合は、 手順 8 ~手順 9 (164 ページ) を参照 し て く だ さ い。 6. ゲー ト ウ ェ イ ク ラ ス タ オブ ジ ェ ク ト を右 ク リ ッ ク し 、ポ ッ プ ア ッ プ メ ニ ュ ーか ら [Edit] を選択 し ます。 プ ロパテ ィ ダ イ ア ロ グ ボ ッ ク スが表示 さ れた ら 、 [Synchronization] タ ブ を選択 し 、 [Use State Synchronization] チ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 定義済みの同期ネ ッ ト ワー ク がすでにあ る 場合は、 それ ら を削除 し て く だ さ い。 170 第 9 章 : ク ラ ス タ の拡張 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス [Add] ボ タ ン を ク リ ッ ク し て同期ネ ッ ト ワー ク を追加 し 、 以下の情報を入力 し ます。 Network Name : 同期対象のネ ッ ト ワ ー ク を表す任意のネ ッ ト ワ ー ク 名を入力 し ま す。 IP Address : 同期に使用 さ れ る 基本ネ ッ ト ワ ー ク IP ア ド レ ス を入力 し ます。 こ れ は、 手順 2 で指定 し た ア ド レ ス と 同 じ でなければな り ません。 [OK] を ク リ ッ ク し 、 構成済みの同期ネ ッ ト ワー ク を追加 し ます。 7. SmartDashboard ツールか ら、 フ ァ イ アウ ォ ール ク ラ ス タ にセキ ュ リ テ ィ ポ リ シーを 再イ ン ス ト ール し ます。 8. 専用の同期ポー ト を使用する場合は、 すべての Firewall Director SyncNet ポー ト を接 続 し ます。 ク ラ ス タ 内のすべての Firewall Director で同期ポー ト 2 を接続 し ます。 こ れ ら のポー ト を直接接続す る には、 ク ロ ス オーバー ネ ッ ト ワ ー ク ケーブルを使用 し ます。 ハブ ま たは レ イ ヤ 2 ス イ ッ チ を介 し て ポー ト を接続す る 場合は、 ス ト レ ー ト ス ルー ネ ッ ト ワー ク ケーブルを使用 し ます。 ク ラ ス タ 内に Firewall Director が 3 つ以上あ る 場合は、 ス ト レー ト ス ルー ネ ッ ト ワー ク ケーブルを使用 し 、 ハブ ま たは レ イ ヤ 2 ス イ ッ チ を介 し て それ ら を接続 し て く だ さ い。 こ の よ う な場合は、 すべての Firewall Director の同期ポー ト 2 をハブ ま たは レ イ ヤ 2 ス イ ッ チに接続す る 必要があ り ます。 217014-B-JA, 2005 年 12 月 第 9 章 : ク ラ ス タ の拡張 171 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Firewall Accelerator ポー ト の変更 ア ク セ ラ レー タ 間のポー ト の構成 ア ク セ ラ レ ー タ 間のポー ト (IAP) は、 ハ イ アベ イ ラ ビ リ テ ィ ク ラ ス タ でマ ス タ と バ ッ ク ア ッ プの Firewall Accelerator を接続す る 際に使用 し ます。IAP ポー ト は一般に、 Firewall Accelerator 6600 で は ポ ー ト 12、 Firewall Accelerator 6400 で は ポ ー ト 28 に な っ てい ますが、別の Firewall Accelerator ポー ト を使用す る よ う に IAP を設定す る こ と も 可能です (ただ し 、 他のポー ト を使用す る ために も お勧めはで き ません) 。 IAP ポー ト を設定す る 前に、 /cfg/acc/ac1/iap メ ニ ュ ーで cur コ マ ン ド を実行 し て く だ さ い。 IAP ポー ト はポー ト 0 と し て表示 さ れ ます。 IAP 番号は両方の Firewall Accelerator で同 じ にす る 必要があ り ます。 IAP ポー ト を設 定す る には、 以下の コ マ ン ド を使用 し ます。 >> >> >> >> # # # # /cfg/acc/ac1/iap < ポー ト 番号 > /cfg/acc/ac2/iap < ポー ト 番号 > /cfg/net/port < ポー ト 番号 >/naap y /cfg/net/port < ポー ト 番号 >/vtag y IAP でデ ュ アル式の物理 コ ネ ク タ が使用可能な場合は、 ギガ ビ ッ ト LC 光フ ァ イ バ コ ネ ク タ 、 10/100/1000 Mbps RJ-45 銅 コ ネ ク タ 、 ま たはその両方を使用 し て接続で き ま す。両方が接続 さ れてい る 場合は、ギガ ビ ッ ト 光 リ ン ク が優先 リ ン ク と し て使用 さ れ、 10/100/1000 Mbps 銅線 リ ン ク がバ ッ ク ア ッ プ と し て使用 さ れ ま す。 次に、 冗長 コ ネ ク タ のルールに従っ て ア ク テ ィ ブ リ ン ク が選択 さ れ ま す ( 『Nortel Switched Firewall Hardware Installation Guide』 を参照)。 優先 リ ン ク を選択す る 場合 >> # /cfg/net/port < ポー ト 番号 >/pref copper|fiber こ こ で、 fiber はギガ ビ ッ ト 光 リ ン ク 、 copper は 10/100/1000 Mbps 銅線 リ ン ク を指定 し ます。 バ ッ ク ア ッ プ リ ン ク を選択す る 場合 >> # /cfg/net/port < ポー ト 番号 >/back copper|fiber 172 第 9 章 : ク ラ ス タ の拡張 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Firewall Director ア ッ プ リ ン ク ポー ト の構成 デフ ォ ル ト に よ り 、 Firewall Accelerator 6600 ではポー ト 11 と 12、 Firewall Accelerator 6400 ではポー ト 1、 24、 27、 28 が Firewall Director の接続用に予約 さ れてい ます。 た だ し 、 Firewall Director は、 NAAP が 有 効 に な っ て い る 任 意 の ポ ー ト 上 で Firewall Accelerator に接続で き ます。 Firewall Director で使用す る 任意の Firewall Accelerator ポー ト を設定す る には、以下の コ マ ン ド を使用 し ます。 >> # /cfg/net/port < ポー ト 番号 >/naap y >> # /cfg/net/port < ポー ト 番号 >/ena ネ ッ ト ワー ク ポー ト の構成 一部の Firewall Accelerator ポー ト はデフ ォ ル ト に よ り NAAP が無効にな っ てお り 、信 頼 / 非信頼 / 半信頼ネ ッ ト ワー ク の接続用に予約 さ れてい ます。 Firewall Accelerator 6400 ではポー ト 2 ~ 23、 25、 26、 Firewall Accelerator 6600 ではポー ト 1 ~ 10 が こ れ ら の信頼 / 非信頼 / 半信頼ネ ッ ト ワー ク の接続用に予約 さ れてい ます。 注 - デ フ ォ ル ト に よ り 、 NAAP は Firewall Accelerator 6600 の ポ ー ト 12、 Firewall Accelerator 6400 のポー ト 28 で有効にな っ てい ます。ポー ト 12 やポー ト 28 を ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク 用に使用す る 場合は、 こ れ ら のポー ト 上で NAAP を必ず無効に し て く だ さ い。 ただ し 、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク は、 NAAP が無効にな っ てい る 任意のポー ト 上で Firewall Accelerator に接続で き ます。 信頼 / 非信頼 / 半信頼ネ ッ ト ワー ク で使用す る 任意の Firewall Accelerator ポー ト を設定す る には、 以下の コ マ ン ド を使用 し て NAAP を無効に し ます。 >> # /cfg/net/port < ポー ト 番号 >/naap n 217014-B-JA, 2005 年 12 月 第 9 章 : ク ラ ス タ の拡張 173 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 174 第 9 章 : ク ラ ス タ の拡張 217014-B-JA, 2005 年 12 月 第 10 章 ア プ リ ケーシ ョ ン こ の章では、 Nortel Switched Firewall 4.4.1 がサポー ト す る い く つかのアプ リ ケーシ ョ ン について説明 し ます。 「レ イヤ 2 およびレ イヤ 3 フ ァ イ アウ ォ ール」 (176 ページ) 「Firewall Director のロー ド バ ラ ン シ ン グ」 (183 ページ) 「無停電電源装置」 (185 ページ) 「RADIUS 認証」 (191 ページ) 「ゲー ト ウ ェ イの固定化」 (193 ページ) 「VPN サポー ト 」 (194 ページ) 175 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス レ イヤ 2 およびレ イヤ 3 フ ァ イ アウ ォ ール NSF 4.4.1 では、 ブ リ ッ ジ モー ド で フ ァ イ ア ウ ォールを構成で き ます。 こ こ では、 レ イ ヤ 2 お よ びレ イ ヤ 3 フ ァ イ ア ウ ォ ール用に Nortel Switched Firewall を構成す る 方法 について説明 し ます。 「概要」 (176 ページ) 「レ イヤ 2 ブ リ ッ ジ モー ド フ ァ イ アウ ォ ールの構成」 (179 ページ) 「レ イヤ 2 - レ イヤ 3 フ ァ イ アウ ォ ールの構成」 (181 ページ) 概要 ブ リ ッ ジは、 プ ロ ト コ ルに依存 し ない方法で 2 つの異な る ネ ッ ト ワ ー ク セ グ メ ン ト を接続 し ま す。 ネ ッ ト ワ ー ク ト ポ ロ ジー全体を構成 し なおす こ と な く 構成内容を変 更 し たい場合は、 ブ リ ッ ジ ン グ フ ァ イ ア ウ ォ ールを導入 し ます。 ブ リ ッ ジ ン グ フ ァ イ ア ウ ォ ールは、 ネ ッ ト ワー ク 上では完全に見え ない状態にあ る ため、 ト ラ ン スペア レ ン ト フ ァ イ ア ウ ォ ール ま たは ス テル ス フ ァ イ ア ウ ォ ール と も 呼ばれます。 転送は レ イ ヤ 2 で行われ る ため、 プ ロ ト コ ルはすべてブ リ ッ ジ を自動的に通過 し ま す。 パ ケ ッ ト は IP ア ド レ ス で は な く Ethernet ア ド レ ス に基づい て 転送 さ れ ま す。 Ethernet ブ リ ッ ジは、1 つのポー ト か ら の Ethernet フ レーム を ブ リ ッ ジ イ ン タ フ ェー ス に関連付け ら れた他のポー ト に配信 し ます。 NSF 4.4.1 では、 標準 NSF (レ イ ヤ 3 フ ァ イ ア ウ ォ ール) と ブ リ ッ ジ NSF (レ イ ヤ 2 フ ァ イ ア ウ ォ ール) の 2 つの フ ァ イ ア ウ ォ ール モー ド を サポー ト し てい ま す。 こ の 章では、 標準 NSF (レ イ ヤ 3 フ ァ イ ア ウ ォ ール) と ブ リ ッ ジ NSF (レ イ ヤ 2 フ ァ イ ア ウ ォ ール) の機能を 1 つの製品に ま と め る 方法について説明 し ます。 こ う す る と 、 両方の機能をすべて使用で き る だけでな く 、 混合モー ド の フ ァ イ ア ウ ォ ールを実行す る こ と も 可能です。VLAN には、レ イ ヤ 2 フ ァ イ ア ウ ォ ール と し て使用で き る も の と 、 レ イ ヤ 3 フ ァ イ ア ウ ォ ール と し て使用で き る も のがあ り ます。 ただ し 、 こ れ ら は同 じ Check Point ポ リ シーを共有 し ます。 NSF 4.4.1 では、 レ イ ヤ 2 フ ァ イ ア ウ ォ ール用に以下の拡張が行われてい ます。 レ イ ヤ 2 フ ァ イ ア ウ ォ ールでは、 VPN と NAT がサポー ト さ れてい ます。 こ の場 合、 フ ァ イ ア ウ ォ ールは ARP 要求に応答す る ため、 不可視状態にはな ら ない こ と に注意 し て く だ さ い。 QOS ビ ッ ト は レ イ ヤ 2 フ ァ イ ア ウ ォールで保持 さ れます。 レ イ ヤ 2 フ ァ イ ア ウ ォールでは、 ポー ト ミ ラ ー リ ン グ と IDS ロ ー ド バ ラ ン シ ン グ をサポー ト し てい ます。 レ イ ヤ 2 と レ イ ヤ 3 の フ ァ イ ア ウ ォ ール管理は同 じ です。 176 第 10 章 : ア プ リ ケーシ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス レ イ ヤ 2 VLAN へのイ ン タ フ ェ ースの割 り 当て NSF 4.4.1 では、 レ イ ヤ 2 専用に構成 さ れた VLAN に対 し て イ ン タ フ ェース を割 り 当 て る こ と がで き ます。 こ れには、 管理 IP ア ド レ ス、 NAT 用ア ド レ ス、 ま たは VPN 用 ア ド レ ス を 使用で き ま す。 NSF 上のすべ て の イ ン タ フ ェ ー ス と 同様、 こ の イ ン タ フ ェース も ルーテ ィ ン グに組み込まれます。 こ の VLAN 上の ト ラ フ ィ ッ ク は フ ァ イ ア ウ ォ ールを介 し て渡 さ れ、 こ の VLAN 内で ブ リ ッ ジ ン グ さ れ ま すが、 他の VLAN にルーテ ィ ン グ さ れ る こ と はあ り ま せん。 デ フ ォ ル ト では、 自動作成 さ れた VLAN を除 く すべての VLAN で こ のプ ロ パテ ィ が有 効にな っ てい ます。 Firewall Accelerator 上の管理ポー ト へのア ク セス Firewall Accelerator 6600 ではポー ト 13、 Firewall Accelerator 6400 ではポー ト 29 で管 理ポー ト にア ク セ ス し ます。 ポー ト の構成は、 Firewall Accelerator 上の他のポー ト と 類似 し てい ます。 ただ し パフ ォ ーマ ン ス上の理由か ら 、 管理ポー ト を ト ラ ン キ ン グ し て他のポー ト と 同 じ VLAN 上に常駐 さ せた り 、管理ポー ト が割 り 当て ら れた VLAN を レ イ ヤ 2 フ ァ イ ア ウ ォ ール機能に対 し て有効にす る こ と はで き ません。 注 - デフ ォ ル ト ではすべてのポー ト で フ ロ ー管理が有効にな っ てい る ため、管理ポー ト 上の フ ロ ー管理を無効に し て く だ さ い。 レ イ ヤ 2 - レ イ ヤ 3 フ ァ イ アウ ォ ールでの NAT サポー ト 以下の 2 タ イ プの NAT は、VLAN 上で イ ン タ フ ェース な し でサポー ト さ れてい ます。 ゲー ト ウ ェ イの背後での非公開 : VLAN 上で イ ン タ フ ェース を持つフ ァ イ ア ウ ォ ールの背後のルー タ ーには、 非公開にす る ためのパブ リ ッ ク IP ア ド レ ス が 設定 さ れてい ます。 非公開ネ ッ ト ワ ー ク の送信元 IP ア ド レ ス を持つ着信パケ ッ ト は、 送信元 IP が設定済み IP ア ド レ ス に変更 さ れます。 こ のセ ッ シ ョ ンの戻 り パケ ッ ト は、 宛先 IP ア ド レ ス が非公開 IP ア ド レ ス に変更 さ れ ます。 フ ァ イ ア ウ ォ ールはブ リ ッ ジ モー ド で機能 し てい る ため、 パケ ッ ト の MAC ア ド レ ス は変 更 し ません。 ルー タ ーはパブ リ ッ ク ア ド レ ス を ア ド バ タ イ ズす る ため、 パケ ッ ト はそのルー タ ーに経路指定 さ れます。 注 - こ の タ イ プの NAT は、 レ イ ヤ 2 - レ イ ヤ 3 フ ァ イ ア ウ ォールでサポー ト さ れて い ます。 ユーザーが当該 VLAN に イ ン タ フ ェース を追加す る 必要があ る ため、 純粋な レ イ ヤ 2 フ ァ イ ア ウ ォ ールではサポー ト さ れてい ません。 ス タ テ ィ ッ ク NAT : こ のシナ リ オでは、 フ ァ イ ア ウ ォ ールに よ っ てパブ リ ッ ク IP ア ド レ ス がプ ラ イ ベー ト IP ア ド レ ス に置 き 換え ら れます。ポー ト の変換 も 可能で すが、 静的に行 う 必要があ り ます。 こ れが レ イ ヤ 2 VLAN 上でサポー ト さ れ る に は、 こ の VLAN を介 し て宛先 IP ア ド レ ス に到達す る こ と を発信者が知っ てい る 必要があ り ます。 レ イ ヤ 2 VLAN に も IP ア ド レ ス が割 り 当て ら れていない限 り 、 NSF 上の イ ン タ フ ェース ア ド レ ス をパブ リ ッ ク IP ア ド レ ス にす る こ と はで き ま せん。 217014-B-JA, 2005 年 12 月 第 10 章 : ア プ リ ケーシ ョ ン 177 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス レ イヤ 2 フ ィ ルタ レ イ ヤ 2 フ ィ ル タ は、 レ イ ヤ 2 フ ァ イ ア ウ ォ ールが有効にな っ てい る VLAN に割 り 当て ら れ ます。 つま り こ の よ う な VLAN の場合、 非 IP お よ び非 ARP ト ラ フ ィ ッ ク は レ イ ヤ 2 フ ィ ル タ に よ っ て明示的に許可 さ れない限 り ブ ロ ッ ク さ れ ま す。 レ イ ヤ 2 フ ァ イ ア ウ ォ ールが有効にな っ ていない VLAN 内では、 ト ラ フ ィ ッ ク がチ ェ ッ ク さ れ ずに渡 さ れ ます。 レ イヤ 3 フ ィ ルタ NSF 4.4.1 では、 フ ィ ル タ 処理を高速化す る 新 し いア ク シ ョ ン と し て GOTO をサポー ト し てい ます。 無限ループ を避け る ため、 定義す る フ ィ ル タ ID は GOTO フ ィ ル タ 自 体の ID よ り も 大 き く なければな り ません。 こ の よ う に、UDP お よ び TCP 関連の フ ィ ル タ は ま と めて グループ化 さ れ る ため、 TCP パケ ッ ト に対 し て UDP フ ィ ル タ を試行 す る 必要はあ り ません。 UDP パケ ッ ト を ス キ ッ プす る よ う GOTO フ ィ ル タ を設定で き ます。 新 し い INSPECT ア ク シ ョ ン を使用 し た フ ィ ル タ のパケ ッ ト マ ッ チン グは、 フ ァ イ ア ウ ォ ールに よ っ て検査 さ れます (ど の フ ィ ル タ と も 一致 し ないパケ ッ ト と 同様) 。 こ のア ク シ ョ ンは、 フ ィ ル タ 記述の表現能力を高め る 目的で導入 さ れ ま し た。 た と えば catch all フ ィ ル タ があ る 場合、 INSPECT フ ィ ル タ を使用す る と 、 フ ァ イ ア ウ ォ ールに よ っ て検査 さ れ る catch all の例外を定義す る こ と がで き ます。 UDP パケ ッ ト が ど の UDP フ ィ ル タ と も 一致 し なか っ た場合、 後続の フ ィ ル タ は TCP パ ケ ッ ト に のみ使用 さ れ、 UDP フ ィ ル タ の後すべ て の UDP パ ケ ッ ト と 一致す る INSPECT フ ィ ル タ と 置 き 換え ら れ ます。 こ れに よ り 、 後続の フ ィ ル タ がすべて ス キ ッ プ さ れ ます。 178 第 10 章 : ア プ リ ケーシ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス レ イヤ 2 ブ リ ッ ジ モー ド フ ァ イ アウ ォ ールの構成 図 10-1 に、レ イ ヤ 2 ブ リ ッ ジ モー ド フ ァ イ ア ウ ォ ールを構成す る ためのネ ッ ト ワー ク ト ポ ロ ジーを示 し ま す。 NSF#1 と NSF#2 の両方のポー ト 2 と 5 は、 レ イ ヤ 2 ブ リ ッ ジ モー ド フ ァ イ ア ウ ォール用に構成 さ れてい ます。 レ イ ヤ 2 ブ リ ッ ジは、 最初 の例では自動 VLAN 上、 2 番めの例では VLAN 45 上で構成 さ れてい ます。 䉟䊮䉺䊷䊈䉾䊃 172.35.2.6 172.35.2.5 MIP: 172.16.2.145 NSF#1 172.16.2.143 5 5 7 7 2 2 NSF#2 172.16.2.144 172.35.2.147 䊐䉜䉟䉝䉡䉤䊷䊦㩷䉮䊮䉸䊷䊦 ▤ℂ䉴䊁䊷䉲䊢䊮 䊖䉴䊃 2 䊖䉴䊃 1 172.16.5.11 172.16.5.12 䊖䉴䊃 3 172.16.5.13 䊖䉴䊃 4 172.16.5.14 図 10-1 レ イヤ 2 ブ リ ッ ジ ン グ フ ァ イ アウ ォ ールの構成 217014-B-JA, 2005 年 12 月 第 10 章 : ア プ リ ケーシ ョ ン 179 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス レ イ ヤ 2 ブ リ ッ ジ ン グ フ ァ イ ア ウ ォ ールを構成す る には、 以下の手順を実行 し ます。 1. Nortel Switched Firewall で、 2 つ以上の物理ポー ト を有効に し ます。 ブ リ ッ ジ ン グ フ ァ イ ア ウ ォ ールに参加す る ポー ト を指定 し て く だ さ い。 >> # Port Port Port Port 2. /cfg/net/port 2 2# ena 2# ../port 5 5# ena 5# apply (ポー ト 2 がブ リ ッ ジに参加) (ポー ト 5 がブ リ ッ ジに参加) レ イ ヤ 2 フ ァ イ アウ ォ ール構成を検証 し ます。 ポー ト 2 と 5 はデフ ォ ル ト の レ イ ヤ 2 フ ァ イ ア ウ ォ ール VLAN に属 し ます。 >> # /info/net/vlan VLAN Information VLAN ID Name Jumbo L2FW IDS Group Port(s) ======= ====== ===== ==== ========= =================== 1 Unused no no none 3 4 7 9 10 2 vlan 2 no no none 1 9 mgmt no no none 9 3 vlan 3 no no none 6 4 vlan 4 no no none 13 a no yes none 2 5 5 4094 <naap> no no none 27-28 a. 自動 VLAN には 「*」 のマー ク が付 き ます。 3. (オプ シ ョ ン) 有効なポー ト 用に別の VLAN を構成 し ます。 それ ら のポー ト が他の イ ン タ フ ェース で も 使用 さ れてい る 場合は、VLAN ID を設定 し て く だ さ い。 ブ リ ッ ジ ポー ト は構成済みの VLAN し か リ ス ニ ン グ し ません。 >> # VLAN VLAN VLAN /cfg/net/vlan 45 45# ena Ports# add 2 Ports# add 5 (VLAN 45 を有効にする) (ポー ト 2 がブ リ ッ ジに参加) (ポー ト 5 がブ リ ッ ジに参加) >> # /info/net/vlan VLAN Information VLAN ID Name Jumbo L2FW IDS Group Port(s) ======= ====== ===== ==== ========= =================== 1 Unused no no none 3 4 7 9 10 2 vlan 2 no no none 1 9 mgmt no no none 9 3 vlan 3 no no none 6 4 vlan 4 no no none 13 45 vlan 45 no yes none 2 5 4094 <naap> no no none 27-28 こ れで、 レ イ ヤ 2 ブ リ ッ ジ モー ド フ ァ イ ア ウ ォ ールの構成は完了です。 180 第 10 章 : ア プ リ ケーシ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ブ リ ッ ジ ング フ ァ イ アウ ォ ール に関する制限 可視状態の IP ア ド レ ス がない場合は、ブ リ ッ ジ ン グ フ ァ イ ア ウ ォ ール に対 し て以下 の よ う な多数の制限が課せ ら れます。 フ ァ イ ア ウ ォ ール ポ リ シーが ARP パケ ッ ト に適用 さ れません。 あ る VLAN か ら の ト ラ フ ィ ッ ク を別の VLAN に転送す る こ と はで き ません。 ARP パケ ッ ト と IP パケ ッ ト のみが処理 さ れ ます。 それ以外のパケ ッ ト はすべて 破棄 さ れ ます。 TCP プ ロ キ シはサポー ト さ れません。 SYN Defender はサポー ト さ れ ません。 レ イヤ 2 - レ イ ヤ 3 フ ァ イ アウ ォ ールの構成 1. レ イ ヤ 2 ブ リ ッ ジ モー ド フ ァ イ アウ ォ ールの構成ス テ ッ プ を実行 し ます。 「レ イ ヤ 2 ブ リ ッ ジ モー ド フ ァ イ アウ ォ ールの構成」 (179 ページ) を参照 し て く だ さ い。 2. イ ン タ フ ェ ース を設定 し 、 レ イ ヤ 3 フ ァ イ アウ ォ ールに参加するポー ト を指定 し ま す。 それ ら のポー ト が他の イ ン タ フ ェース で も 使用 さ れてい る 場合は、VLAN ID を設定 し て く だ さ い。 >> # /cfg/net/if 30 Interface 30# addr 172.65.5.5 Interface 30# port Interface 30 Port# add 2 Interface 30 Port# add 5 Interface 30 Port# ../vlan 45 Interface 30# ena (レ イヤ 3 フ ァ イ アウ ォ ールのア ド レ ス を設定) (ポー ト を イ ン タ フ ェ ースに割 り 当て) ( こ のイ ン タ フ ェ ース用の VLAN を指定) (イ ン タ フ ェ ース を有効にする) 注 - ポー ト を介 し て直接送信 さ れ る パケ ッ ト は、レ イ ヤ 2 フ ァ イ ア ウ ォ ールの構成を 使用 し ます。 宛先 MAC ア ド レ ス を持つパケ ッ ト は、 レ イ ヤ 3 フ ァ イ ア ウ ォールの構 成を使用 し ます。 217014-B-JA, 2005 年 12 月 第 10 章 : ア プ リ ケーシ ョ ン 181 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 3. CLI を使用 し て、 フ ァ イ アウ ォ ール上に構成 さ れている その他のイ ン タ フ ェ ース を検 証 し ます。 管理ネ ッ ト ワ ー ク と 同期構成は イ ン タ フ ェ ース 1 を介 し て接続 さ れ、外部ネ ッ ト ワー ク は イ ン タ フ ェ ース 2 を介 し て接続 さ れます。 >> VLAN Ports# /info/net/port Port Information Num Name Link Type Interface(s) === ==== ================= ==== 1 up 1Gb/s rx+tx FC ENFC 2 up 100Mb/s ENFC 3 disabled 4 disabled 5 up 100Mb/s ENFC 6 up 1Gb/s rx+tx FC ENFC 7 disabled 8 up 1Gb/s rx+tx FC NAAP 9 disabled 10 disabled 11 down NAAP 12 down NAAP 13 up 100Mb/s half ENFC 182 第 10 章 : ア プ リ ケーシ ョ ン Vlan(s) Tag GWP Bounce Trunk Filters ============ ======= === === ======= 2 2 No No No 1 45 No No No - 3 45 3 No No No No No No - - - - - - - - - 1 auto No No No - - 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Firewall Director のロー ド バラ ン シ ング NSF 4.4.1 では、Firewall Director の ロ ー ド バ ラ ン シ ン グに関 し て以下のオプシ ョ ン を サポー ト し てい ます。 表 10-1 Firewall Director のロー ド バ ラ ン シ ン グ ロー ド バラ ン シ ング オプ シ ョ ン コ マン ド cfg/sys/lbopts/metric サポー ト 対象プ ロ ト コ ル IP ハ ッ シ ュ iphash VPN、 NAT、 RTP、 RTCP、 お よ び マルチ ス ト リ ーム プ ロ ト コ ル (FTP、 RTSP な ど) ipporthash シ ン グル ス ト リ ーム プ ロ ト コ ル (HTTP、 DNS、 SMTP、 NNTP な ど) ( メ ガプ ロ キ シ ト ラ フ ィ ッ ク は こ の オプシ ョ ンで解決 さ れます) (sip+dip) IP お よ びポー ト ハ ッ シ ュ (sip+dip+sport+dport) 加重ロー ド バラ ン シ ング 加重 ロ ー ド バ ラ ン シ ン グでは、 ク ラ ス タ 内にあ る Firewall Director ご と に異な る 重み (相対的な重要性の尺度) を設定で き ま す。 表 10-1 で説明 し た ロ ー ド バ ラ ン シ ン グ オプシ ョ ンは別 と し て、Firewall Director に割 り 当て ら れた重みに応 じ て負荷が均等に 分散 さ れ ます。 大容量 Firewall Director の場合は、 各 Firewall Director の重みを増やす こ と がで き ます。 MIP が設定 さ れ て い る Firewall Director は ロ ー ド バ ラ ン シ ン グ か ら 除外で き ま す。 MIP 加重 (cfg/sys/lbopts/mipweight) と 呼ばれ る オ プ シ ョ ン を 設定す る と 、 MIP が設定 さ れてい る Firewall Director の負荷を軽減で き ます。 Firewall Director への ト ラ フ ィ ッ ク のブ ロ ッ ク Firewall Director への ト ラ フ ィ ッ ク を完全にブ ロ ッ ク す る には、 重み値を 0 に設定 し ます。 こ れに よ り Firewall Director がハ ッ シ ュ テーブルか ら 除外 さ れ、 ト ラ フ ィ ッ ク が送信 さ れない よ う にな り ます。 ただ し 、 すべての Firewall Director の重み値を 0 に す る と 、デフ ォ ル ト 値の 15 に設定 さ れた場合 と 同様にすべてが管理対象 と な り ます。 217014-B-JA, 2005 年 12 月 第 10 章 : ア プ リ ケーシ ョ ン 183 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス フ ェ イルオーバー構成 2 つの Firewall Director を使用 し た ア ク テ ィ ブ - ア ク テ ィ ブ ま たはア ク テ ィ ブ - ス タ ンバ イ 構成では、両方の Firewall Director に対 し て重み 0 (cfg/sys/lbopts/host) を設定 し 、 MIP が設定 さ れてい る Firewall Director に 0 以外の値を設定す る (お よ び mipweight コ マ ン ド を有効にす る ) こ と がで き ます。 こ れに よ り 、 MIP が設定 さ れ てい る Firewall Director がア ク テ ィ ブ、他の Firewall Director が ス タ ンバ イ と し て機能 す る よ う に な り ま す。 ア ク テ ィ ブ Firewall Director に障害が発生す る と 、 2 番め の Firewall Director が ア ク テ ィ ブにな り 、 ト ラ フ ィ ッ ク がそ こ に送 ら れ ま す。 後で MIP も 、 新 し い ア ク テ ィ ブ Firewall Director に 移行 さ れ ま す。 障害 が 発生 し た Firewall Director が復旧 し て も 、 新 し いア ク テ ィ ブ Firewall Director はア ク テ ィ ブ状態を維持 し ます。 複数の Firewall Director を一時的に ス タ ンバ イ 状態に設定す る には、 重み値 「0」 を割 り 当て、 後で元の重み値を設定 し て ア ク テ ィ ブ状態に戻 し ます。 すべてのア ク テ ィ ブ Firewall Director に障害が発生 し た場合は、バ ッ ク ア ッ プ Firewall Director が ア ク テ ィ ブにな り 、 ト ラ フ ィ ッ ク の処理を開始 し ます。 ロー ド バラ ン シ ング用の Firewall Director の構成 Firewall Director の ロ ー ド バ ラ ン シ ン グ を行 う には、 以下の手順を実行 し ます。 ロ ー ド バ ラ ン シ ン グ メ ト リ ッ ク の設定 >> # /cfg/sys/lbopts/metric Current value:ipporthash Enter load balancing metric (iphash|ipporthash): 加重 ロ ー ド バ ラ ン シ ン グ オプシ ョ ン こ のシナ リ オでは、 Firewall Director 2 がセ ッ シ ョ ン数の半分を処理 し ます。 >> # /cfg/sys/lbopts/host 1 >> Host Weight 1# weight Current value: 15 Enter new weight [0-15]: 10 >> Host Weight 1# ../host 2 >> Host Weight 2# weight Current value: 15 Enter new weight [0-15]: 5 MIP が設定 さ れてい る Firewall Director への ト ラ フ ィ ッ ク のブ ロ ッ ク >> # /cfg/sys/lbopts >> Load-balancing Options# mipweight Current value:none Enter new MIP weight [0-15 or none]: 0 184 第 10 章 : ア プ リ ケーシ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 無停電電源装置 Nortel Switched Firewall 4.4.1 では、 American Power Corporation (APC) の UPS デーモ ン をサポー ト し てい ます。 こ れを使用す る と 、 停電中で も フ ァ イ ア ウ ォ ールを機能 さ せ る こ と がで き ます。 NSF 4.4.1 は、 以下のデバ イ ス と と も に UPS をサポー ト し てい ます。 USB ポー ト SNMP 経由の Ethernet 電源障害時には、APC UPS デーモ ン が フ ァ イ ア ウ ォ ールに対 し 電源障害が発生 し た こ と を知 ら せ、 シ ス テ ムがシ ャ ッ ト ダ ウ ンす る 可能性があ る こ と を知 ら せます。 電源が 回復 し ない場合は、 バ ッ テ リ を使い切っ た と き 、 タ イ ム ア ウ ト (秒) にな っ た と き 、 ま た は APC の内部計算に基づい て ラ ン タ イ ム が時間切れに な っ た と き に シ ス テ ム シ ャ ッ ト ダ ウ ン が発生 し ます。 NSF 4.4.1 では、 バ ッ テ リ メ ー タ ーやア ラ ーム を使用 し て電源を監視 し 、 最終的に UPS バ ッ テ リ を使い切っ た と き に フ ァ イ ア ウ ォ ールが シ ャ ッ ト ダ ウ ン し ます。 シ ス テ ム のシ ャ ッ ト ダ ウ ン プ ロ セ ス 中に電源が回復す る 場合 も あ り ま す。 ほ と ん ど の UPS デバ イ ス は電源の供給があ る 限 り シ ャ ッ ト ダ ウ ン し ま せんが、 こ れがデ ッ ド ロ ッ ク を引 き 起 こ す場合が あ り ま す (シ ス テ ム は再起動す る ま で停止状態にな り ま す) 。 ただ し 、 NSF 4.4.1 の UPS デーモ ンは UPS を シ ャ ッ ト ダ ウ ンす る だけでな く 、 中止ス ク リ プ ト の終了直前に電源 ラ イ ン をチ ェ ッ ク し ます。 電源が回復 し た こ と が検 出 さ れ る と 、 フ ァ イ ア ウ ォールが再起動 さ れ ます。 ま た、 UPS か ら の低バ ッ テ リ 信号 を検出 し た と き に、 フ ァ イ ア ウ ォ ール を ただち にシ ャ ッ ト ダ ウ ンす る こ と も 可能で す。 UPS サポー ト の構成 UPS をサポー ト す る よ う フ ァ イ ア ウ ォ ールを構成す る には、UPS モー ド を指定す る 必 要があ り ます。 UPS モー ド に応 じ て、 その他のパ ラ メ ー タ を指定す る プ ロ ン プ ト が表 示 さ れ ます。 こ こ では、 以下の 3 種類の UPS 構成について説明 し ます。 「ス タ ン ド ア ロ ン モー ド の UPS の構成」 (186 ページ) 「USB ポー ト を使用 し た UPS の構成」 (187 ページ) 「SNMP を使用 し た UPS の構成」 (188 ページ) 217014-B-JA, 2005 年 12 月 第 10 章 : ア プ リ ケーシ ョ ン 185 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ス タ ン ド ア ロ ン モー ド の UPS の構成 図 10-1 は、 USB ポー ト を使用 し た基本的な ス タ ン ド ア ロ ン モー ド で UPS サポー ト 用に構成 さ れた Switched Firewall を示 し てい ます。 Firewall Director 上の USB ポー ト と UPS デバ イ ス と が USB ケーブルで接続 さ れてい ます。 Firewall Director と Firewall Accelerator の ど ち ら の電源ケーブル も UPS デバ イ ス に接続 さ れてい ます。 䊐䉜䉟䉝䉡䉤䊷䊦㩷䉮䊮䉸䊷䊦 UPS ⵝ⟎ USB 㔚Ḯ䉬䊷䊑䊦 Nortel Switched Firewall 図 10-2 ス タ ン ド ア ロ ン モー ド の UPS の構成 図 10-1 の よ う に フ ァ イ ア ウ ォ ールを構成す る には、 以下の コ マ ン ド を使用 し て く だ さ い。 1. UPS の タ イ プ を選択 し ます。 >> # /cfg/sys/ups/type Current value:usb Enter UPS type [usb/snmp]:usb 2. フ ァ イ アウ ォ ールがシ ャ ッ ト ダウ ンする と きの UPS デバイ スのバ ッ テ リ レ ベル (0 ~ 100%) を指定 し ます。 >> # /cfg/sys/ups/level Current value:5 Enter battery level (%): 3. (バ ッ テ リ レ ベルを指定) UPS モ ニ タ を有効に し ます。 >> # /cfg/sys/ups/ena 186 第 10 章 : ア プ リ ケーシ ョ ン (APC UPS モニ タ を有効にする) 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス USB ポー ト を使用 し た UPS の構成 図 10-3 は、 USB ポー ト を使用 し たマ ス タ ス レーブ モー ド で UPS サポー ト 用に構成 さ れた Switched Firewall を示 し てい ます。 Firewall Director 上の USB ポー ト と UPS デ Nortel Switched Firewall #1 䊙䉴䉺 UPS ⵝ⟎ USB 㔚Ḯ䉬䊷䊑䊦 䊑䊦 䉬䊷 Ḯ 㔚 Nortel Switched Firewall #2 䉴䊧䊷䊑 バ イ ス と が USB ケーブルで接続 さ れてい ます。Firewall Director と Firewall Accelerator の ど ち ら の電源ケーブル も UPS デバ イ ス に接続 さ れてい ます。 図 10-3 USB ポー ト を使用 し たマ ス タ ス レーブ モー ド の UPS の構成 図 10-3 の よ う に フ ァ イ ア ウ ォ ールを構成す る には、 以下の コ マ ン ド を使用 し て く だ さ い。 1. UPS の タ イ プ を選択 し ます。 >> # /cfg/sys/ups/type Current value:usb Enter UPS type [usb/snmp]:usb 2. UPS デバイ スのマ ス タ フ ァ イ アウ ォ ールを指定 し ます。 ハ イ アベ イ ラ ビ リ テ ィ セ ッ ト ア ッ プでは、USB ケーブルを介 し て UPS に直接接続 さ れ る フ ァ イ ア ウ ォ ールの IP ア ド レ ス がマ ス タ IP ア ド レ ス にな り ます。 マ ス タ IP ア ド レ ス が設定 さ れ る と 、 UPS に直接接続 さ れて い な い NSF がマ ス タ IP ア ド レ ス を ポー リ ン グ し 、 UPS ス テー タ ス を取得 し ます。 >> # /cfg/sys/ups/master Current value: 0.0.0.0 UPS Master IP address: 217014-B-JA, 2005 年 12 月 (マス タ IP ア ド レ ス を入力) 第 10 章 : ア プ リ ケーシ ョ ン 187 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 3. フ ァ イ アウ ォ ールがシ ャ ッ ト ダウ ンする と きの UPS デバイ スのバ ッ テ リ レ ベル (0 ~ 100%) を指定 し ます。 >> # /cfg/sys/ups/level Current value:5 Enter battery level (%): 4. (バ ッ テ リ レ ベルを指定) UPS モ ニ タ を有効に し ます。 (APC UPS モニ タ を有効にする) >> # /cfg/sys/ups/ena SNMP を使用 し た UPS の構成 図 10-4 は、 SNMP 経由の Ethernet ポー ト を使用 し たマ ス タ ス レーブ モー ド で UPS サ ポ ー ト 用 に 構 成 さ れ た Switched Firewall を 示 し て い ま す。 Firewall Director と Firewall Accelerator の ど ち ら の電源ケーブル も UPS デバ イ ス に接続 さ れてい ます。 Nortel Switched Firewall #1 UPS ⵝ⟎ 䊙䉴䉺 䉟䊷䉰䊈䉾䊃㩷 䊘䊷䊃 㔚Ḯ䉬䊷䊑䊦 䊑䊦 䉬䊷 Ḯ 㔚 Nortel Switched Firewall #2 䉴䊧䊷䊑 図 10-4 SNMP を使用 し たマ ス タ ス レーブ モー ド の UPS の構成 APC UPS モデルにはネ ッ ト ワ ー ク ポー ト を備え た追加のカー ド が付属 し てお り 、 こ れ を SNMP ベー ス のサポー ト に使用で き ま す。 Ethernet 接続は、 Firewall Director 経 由ま たは Firewall Accelerator 上の管理ポー ト 経由で行 う こ と がで き ます。 図 10-4 の よ う に フ ァ イ ア ウ ォ ールを構成す る には、 以下の コ マ ン ド を使用 し て く だ さ い。 1. UPS の タ イ プ を選択 し ます。 >> # /cfg/sys/ups/type Current value:usb Enter UPS type [usb/snmp]:snmp こ のシナ リ オでは、 ク ラ ス タ 内の両方の フ ァ イ ア ウ ォ ールが Ethernet ポー ト 経由で UPS ス テー タ ス を直接取得す る ため、 マ ス タ IP ア ド レ ス を指定す る 必要はあ り ませ ん。 188 第 10 章 : ア プ リ ケーシ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 2. UPS デバイ スの SNMP ホス ト を指定 し ます。 >> # /cfg/sys/ups/snmphost Current value: 0.0.0.0 Enter IP address of the UPS: 3. UPS デバイ スの SNMP ポー ト を指定 し ます。 >> # /cfg/sys/ups/snmpport Current value: 161 Enter SNMP port: 4. (SNMP UPS で使用 さ れるポー ト を設定) UPS デバイ スの SNMP コ ミ ュ ニ テ ィ 文字列を指定 し ます。 >> # /cfg/sys/ups/snmpcomm Current value:none Enter SNMP community string: 5. (SNMP UPS の IP ア ド レ ス を設定) (UPS の コ ミ ュ ニ テ ィ 文字列を設定) フ ァ イ アウ ォ ールがシ ャ ッ ト ダウ ンする と きの UPS デバイ スのバ ッ テ リ レ ベル (0 ~ 100%) を指定 し ます。 >> # /cfg/sys/ups/level Current value:5 Enter battery level (%): 6. (バ ッ テ リ レ ベルを指定) UPS モ ニ タ を有効に し ます。 >> # /cfg/sys/ups/ena 217014-B-JA, 2005 年 12 月 (APC UPS モニ タ を有効にする) 第 10 章 : ア プ リ ケーシ ョ ン 189 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス UPS 構成の表示 NSF 4.4.1 では、 「バ ッ テ リ 残量」 と 「残 り 時間」 に基づいて Firewall Director を シ ャ ッ ト ダ ウ ンす る タ イ ミ ン グ を設定で き ま す。 ただ し 、 UPS シ ス テ ム に よ っ て、 「バ ッ テ リ 残量」 の設定のみ と 連携す る も の も あれば、 「残 り 時間」 の設定のみ と 連携す る も の も あ り ま す。 ご使用の UPS モデルの動作方法に応 じ て、 適切な値を使用 し て く だ さ い。 以下の コ マ ン ド を使用 し て、 UPS 構成を検証 し て く だ さ い。 >> Main# /info/ups (APC UPS のス テー タ ス を表示) a10-10-1-3 UPS model:SNMP UPS Driver Status:Online (a/c power source) Load on UPS:44% of capacity Battery remaining:100%. (configured to shutdown below -1%) Time remaining:14.0 Minutes.(configured to shutdown below 3 Minutes) Cumulative time on battery:0 seconds a10-10-1-4 UPS model:SNMP UPS Driver Status:Online (a/c power source) Load on UPS:44% of capacity Battery remaining:100%. (configured to shutdown below -1%) Time remaining:14.0 Minutes.(configured to shutdown below 3 Minutes) Cumulative time on battery:0 seconds 190 第 10 章 : ア プ リ ケーシ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス RADIUS 認証 Nortel Switched Firewall 4.4.1 では、 RADIUS 認証を使用 し て フ ァ イ ア ウ ォ ールに ロ グ イ ン で き ま す。 Switched Firewall 上の RADIUS ク ラ イ ア ン ト は、 認証用に構成 さ れた 1 つま たは複数の RADIUS サーバーに RADIUS メ ッ セージ を転送 し ます。 RADIUS 認 証は、 ス タ ン ド ア ロ ン構成 と ク ラ ス タ 構成の両方に適用 さ れます。 RADIUS サポー ト 用に フ ァ イ ア ウ ォ ールを構成す る には、 以下の コ マ ン ド を使用 し て く だ さ い。 1. ユーザーを追加 し ます。 >> # /cfg/sys/user >> User# add Name of user to add:tester1 2. グループ を選択 し ます。 手順 1 で作成 し たユーザーを編集 し 、 グループ を 「admin」 ま たは 「oper」 と し て指 定 し て く だ さ い。 >> User# edit tester1 >> User tester1# groups >> Groups# add Enter group name:admin 3. パスワー ド を設定 し ます。 ユーザー 「tester1」 のパ ス ワ ー ド を指定 し て く だ さ い。 >> User# edit tester1 >> User tester1# password Enter admin's current password: Enter new password for tester1: Re-enter to confirm: 4. 変更内容を適用 し ます。 >> User tester1# apply 5. RADIUS サーバーを構成 し ます。 >> # /cfg/sys/adm/auth/servers >> RADIUS Authentication Servers# add IP address to add:30.30.30.30 Port (default is 1812): Enter shared secret:secret123 217014-B-JA, 2005 年 12 月 (RADIUS サーバーの IP ア ド レ ス を 指定) (RADIUS サーバーの共有シー ク レ ッ ト 値を指定) 第 10 章 : ア プ リ ケーシ ョ ン 191 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 6. RADIUS 認証を有効に し ます。 RADIUS 認証を使用す る よ う Switched Firewall を設定 し て く だ さ い。 >> # /cfg/sys/adm/auth >> Authentication# ena 7. 構成を適用 し ます。 >> Authentication# apply 注 - RADIUS サーバーには、 CLI で設定 し たユーザー名 と パ ス ワー ド を設定 し て く だ さ い。 ハ イ アベ イ ラ ビ リ テ ィ 構成で RADIUS サーバーを セ ッ ト ア ッ プす る こ と も で き ます。 現在のマ ス タ にあ る コ ン ソ ール セ ッ シ ョ ン が継承 さ れ、 コ ン ソ ール と BBI を介 し た ロ グ イ ン が可能にな り ます。 フ ェ イ ルオーバーが発生す る と 、 Web セ ッ シ ョ ンが ロ グ ア ウ ト す る 場合があ り ます。 その場合は再認証が必要にな り ます。 192 第 10 章 : ア プ リ ケーシ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ゲー ト ウ ェ イの固定化 ゲー ト ウ ェ イ の固定化機能に よ り 、 所定の接続に対す る 要求 と 応答が常に同 じ ゲー ト ウ ェ イ を通 り 、 こ の接続に関す る すべてのパケ ッ ト が Nortel Switched Firewall に転送 さ れ る よ う にな り ます。 ゲー ト ウ ェ イ 固定化ポー ト と し て設定 さ れた フ ァ イ ア ウ ォー ル ポー ト は、最初の接続パケ ッ ト を転送 し たゲー ト ウ ェ イ を記憶 し 、同 じ ゲー ト ウ ェ イ を介 し て逆方向に返答を送信 し ます。 一般に、 こ のゲー ト ウ ェ イ と な る のはア ッ プ ス ト リ ーム ルー タ ーです。 注 - こ の機能を 適用でき る のは、ラ ウ ン ド ロ ビ ン メ ト リ ッ ク( cfg/net/route/gate/metric) を 使用し て複数のデフ ォ ルト ゲート ウ ェ イ を 構成し ている 場合に限ら れま す。 ポー ト 1 上でゲー ト ウ ェ イ の固定化機能を有効にす る には、以下の コ マ ン ド を実行 し ます。 >> # /cfg/net/port 1 >> Port 1# gwp Current value:n Enable (y|n)? NAAP が有効にな っ てい る ポー ト に対 し ては、 ゲー ト ウ ェ イ 固定化機能を有効に し な いで く だ さ い。 ト ラ ン ク グループのマ ス タ ポー ト に対 し てゲー ト ウ ェ イ 固定化機能 を有効に し た場合は、 グループのすべての メ ンバー ポー ト に対 し て こ の機能が自動 的に有効にな り ます。 217014-B-JA, 2005 年 12 月 第 10 章 : ア プ リ ケーシ ョ ン 193 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス VPN サポー ト こ こ では、 複数の Director を持つ Nortel Switched Firewall 4.4.1 を VPN サポー ト 用に 構成す る 方法について説明 し ます。 NSF VPN について Nortel Switched Firewall では、 VPN 接続に関連す る すべてのパケ ッ ト が Director に転 送 さ れ ます。 Director は ソ フ ト ウ ェ ア ま たは VPN ア ク セ ラ レー タ カー ド (NSF 5024 や 5026 で提供 さ れてい る カー ド な ど) を使用 し て、 暗号化 と 解読の処理を行い ます。 複数の Director 複数の Director を持つ VPN ゲー ト ウ ェ イ の場合、 1 つの接続に関す る 暗号化パケ ッ ト を別々の Director に送信す る こ と がで き ます。 ま た、同一の接続に関す る ク リ ア テ キ ス ト パケ ッ ト と 暗号化パケ ッ ト を別々の Director に送信す る こ と も 可能です。 し たがっ て、 Director 間では SA (Security Associates) (IPSec お よ び IKE) な ど の接続情 報を同期す る 必要があ る ため、 ゲー ト ウ ェ イ ク ラ ス タ 内の任意の Director が任意の VPN パケ ッ ト を処理で き ます。 こ のためには、 複数の Director を持つ NSF ク ラ ス タ で機能す る VPN に対 し 、 Check Point 同期を有効にす る 必要があ り ます。 NSF VPN でのパケ ッ ト の ト レース VPN ド メ イ ン内のマシ ンか ら ク リ ア テ キ ス ト パケ ッ ト が来 る と 、 Accelerator は こ の パケ ッ ト をいずれかの Director に転送 し ます。 こ のパケ ッ ト に対す る 接続が存在す る 場合は、 こ の接続を 作成 し た Director にパ ケ ッ ト が転送 さ れ ま す。 それ以外の場合 は、 送 信 元 と 宛 先 の IP ア ド レ ス に 基 づ い た ハ ッ シ ュ ア ル ゴ リ ズ ム を 使 用 し て Director が選択 さ れ ます。 Director はパケ ッ ト を保持 し 、 IKE Phase-I お よ び II ネ ゴ シ エーシ ョ ン を実行 し て IKE を交換 し ます (IPSec SA が ま だ実行 さ れていない場合は、 IPSec SA も 交換 し ます)。Director は暗号化接続を Accelerator にオ フ ロ ー ド し ます(ま だオ フ ロ ー ド さ れていない場合)。 その後、 Director はパケ ッ ト を暗号化 し 、 ク ラ ス タ 内の他の Director と 情報を同期 し て、 暗号化パケ ッ ト を ピ ア ゲー ト ウ ェ イ に送信 し ます。 暗号化パケ ッ ト が ピ ア ゲー ト ウ ェ イ か ら 到着 し た と き に、 Accelerator に こ の暗号化 接続が存在す る 場合は、 暗号化接続を作成 し た Director にパケ ッ ト が転送 さ れ ます。 Accelerator に暗号化接続が存在 し ない場合は、 送信元 と 宛先の IP ア ド レ ス を使用 し たハ ッ シ ュ アルゴ リ ズ ムに基づいて、 パケ ッ ト が Director に転送 さ れ ます。 Director はパケ ッ ト を解読 し て ク リ ア テ キ ス ト 接続を Accelerator にオ フ ロ ー ド し 、 ク ラ ス タ 内の他の Director と 情報を同期 し て、ク リ ア テ キ ス ト パケ ッ ト を宛先に転送 し ます。 VPN 構成では、VNIC ポー ト 経由の HA/Sync が設定 さ れてい る と 、NSF に よ っ て FTP パ ケ ッ ト が ド ロ ッ プ さ れ る 可能性が あ り ま す。 Check Point 管理 ス テーシ ョ ン には、 ユーザー ピ アに対 し て有効な SA がないためにパケ ッ ト が ド ロ ッ プ さ れた こ と が示 さ れ ま す。 フ ァ イ ア ウ ォ ールは FTP パケ ッ ト を ド ロ ッ プ し 続け ま すが、 シ ス テ ム は 専用ポー ト 経由の HA/Sync と 問題な く 連携 し ます。 194 第 10 章 : ア プ リ ケーシ ョ ン 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス VPN サポー ト 用の NSF のセ ッ ト ア ッ プ 使用す る Director の数を問わず、 Director 用のゲー ト ウ ェ イ ク ラ ス タ オブジ ェ ク ト を作成す る 必要があ り ます。ゲー ト ウ ェ イ ク ラ ス タ の IP ア ド レ ス は、外部ネ ッ ト ワー ク ( イ ン タ ーネ ッ ト ) の イ ン タ フ ェ ース と な り ます。複数の Director を持つ VPN ゲー ト ウ ェ イ では、 Checkpoint 同期を有効にす る 必要があ り ます。 Director のセ ッ ト ア ッ プ 1. Director を セ ッ ト ア ッ プする ための標準的な手順を実行 し ます。 2. 1 つのゲー ト ウ ェ イ で複数の Director を使用する場合は、 Check Point 同期が有効に な っ ていて、 正 し く 機能 し てい る こ と を確認 し て く だ さ い。 管理ス テーシ ョ ンのセ ッ ト ア ッ プ NSF 4.4.1 では、1 つの VPN ゲー ト ウ ェ イ で複数の Director を ア ク テ ィ ブ モー ド にす る こ と がで き ます。 Application Intelligence (R54) 付属の Check Point FireWall-1® NG を実行 し てい る 管理ス テーシ ョ ン で、 以下の変更を行 う 必要があ り ます。 管理ス テーシ ョ ン で以下の変更を実行 し 、 VPN サポー ト を有効に し ます。 1. ポ リ シー エデ ィ タ を開き、 ク ラ ス タ オブ ジ ェ ク ト を作成 し て、 ポ リ シーを保存 し ま す。 2. cpstop を実行 し ます。 3. $FWDIR/conf/objects_5_0.c フ ァ イルを編集 し て保存 し ます。 管理 ス テーシ ョ ン で ク ラ ス タ オブジ ェ ク ト を作成す る 際には、 以下の フ ラ グ を更新 す る 必要があ り ます。 4. 更新前 更新後 use_limited_flushnack (false) use_limited_flushnack (true) cpstart を実行 し 、 ポ リ シーを ダウ ン ロー ド し ます。 注 - 管理ス テーシ ョ ン で新 し い ク ラ ス タ オブジ ェ ク ト を作成す る たびに、 手順 2 ~ 4 を繰 り 返 し ます。 217014-B-JA, 2005 年 12 月 第 10 章 : ア プ リ ケーシ ョ ン 195 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Provider-1 管理ス テーシ ョ ンのセ ッ ト ア ッ プ NSF 4.4.1 では、1 つの VPN ゲー ト ウ ェ イ で複数の Director を ア ク テ ィ ブ モー ド にす る こ と がで き ます。 Provider-1™ を使用 し てい る 場合は、 以下の変更を行 う 必要があ り ます。 現在の と こ ろ、 Provider-1 は Solaris のみでサポー ト さ れてい ま す。 MDS で以下の変 更を実行 し 、 VPN を有効に し ます。 1. ポ リ シー エデ ィ タ を開き、 ポ リ シーを作成 し て保存 し ます。 2. mdsstop を実行 し ます。 3. VPN ゲー ト ウ ェ イ を管理 し ている CMA ご と に、objects_5_0.C を編集 し て保存 し ます。 mdsenv <CMA_name> を実行 し 、 $FWDIR を変更 し ます。 echo $FWDIR を実行 し 、 FW デ ィ レ ク ト リ が必要な CMA に属 し てい る こ と を確認 し ます。 4. フ ァ イ ル内の フ ラ グ を以下に示す よ う に更新 し ます。 更新前 更新後 use_limited_flushnack (false) use_limited_flushnack (true) mdsstart を実行 し 、 ポ リ シーを ダウ ン ロー ド し ます。 196 第 10 章 : ア プ リ ケーシ ョ ン 217014-B-JA, 2005 年 12 月 第 11 章 ソ フ ト ウ ェ アのア ッ プグ レー ド Firewall Accelerator、 Firewall Director、 お よ び Check Point 管理デバ イ ス上で動作す る Nortel Switched Firewall 4.4.1 ソ フ ト ウ ェ アが正 し く 機能す る よ う に、 1 つ以上の ソ フ ト ウ ェ ア コ ン ポーネ ン ト を適宜ア ッ プグ レー ド す る 必要があ り ます。 こ の章では、 さ ま ざ ま な タ イ プの ソ フ ト ウ ェ ア ア ッ プ グ レ ー ド について説明 し 、 必要に応 じ て詳 し い手順を説明 し ます。 こ の章で扱 う ト ピ ッ ク は以下の と お り です。 「ア ッ プグ レ ー ド 作業の概要」 (198 ページ) 「互換性」 (198 ページ) 「ア ッ プグ レ ー ド の タ イ プ」 (199 ページ) 「標準ア ッ プグ レー ド 」 (201 ページ) 「マ イ ナー/ メ ジ ャ ー リ リ ースのア ッ プグ レー ド ソ フ ト ウ ェ アのイ ン ス ト ー ル」 (201 ページ) 「ソ フ ト ウ ェ ア ア ッ プグ レ ー ド パ ッ ケージのア ク テ ィ ブ化」 (203 ページ) 「 ヒ ッ ト レ ス ア ッ プグ レ ー ド 」 (206 ページ) 「ア ッ プグ レ ー ド の開始」 (207 ページ) 「ア ッ プグ レ ー ド 後」 (208 ページ) 「ソ フ ト ウ ェ アの再イ ン ス ト ール」 (209 ページ) 197 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ア ッ プグ レー ド 作業の概要 ご使用の Nortel Switched Firewall で ソ フ ト ウ ェ ア を ア ッ プグ レー ド す る には、 以下の 作業を実行 し て く だ さ い。 互換性を確認 し ます。 イ ン ス ト ールす る ア ッ プグ レー ド の タ イ プ を特定 し ます。 新 し い ソ フ ト ウ ェ ア ア ッ プグ レー ド パ ッ ケージ ま たは イ ン ス ト ール イ メ ージ を 以下のいずれかの メ デ ィ アに ロ ー ド し ます。 ネ ッ ト ワ ー ク 上の FTP/TFTP/SCP/SFTP サーバー CD-ROM デバ イ ス USB メ モ リ ス テ ィ ッ ク 以下のいずれかの メ デ ィ ア を使用 し て、 FTP/TFTP/SCP/SFTP サーバーか ら ご使 用の Nortel Switched Firewall に新 し い ソ フ ト ウ ェ ア を ダ ウ ン ロ ー ド し ます。 ネ ッ ト ワ ー ク 上の FTP/TFTP/SCP/SFTP サーバー CD-ROM デバ イ ス USB メ モ リ ス テ ィ ッ ク Nortel Switched Firewall ク ラ ス タ 上で新 し い ソ フ ト ウ ェ ア イ メ ージ を ア ク テ ィ ブ に し ます。 互換性 ソ フ ト ウ ェ ア コ ン ポーネ ン ト のア ッ プグ レー ド 時には、適切な互換性のあ る バージ ョ ン の ソ フ ト ウ ェ ア が イ ン ス ト ール さ れて い る こ と を 確認 し て く だ さ い。 必ず付属の Readme フ ァ イ ル と リ リ ース ノ ー ト をチ ェ ッ ク し て、 ソ フ ト ウ ェ アの互換性お よ び特 別な イ ン ス ト ールに関す る 説明を確認 し て く だ さ い。 こ の リ リ ース には、 以下のバージ ョ ン の ソ フ ト ウ ェ アが必要です。 Nortel Switched Firewall リ リ ース 4.4.1 こ の ソ フ ト ウ ェ アは、 ク ラ ス タ 内の各 Firewall Director お よ び Firewall Accelerator に常駐 し ます。 Nortel Switched Firewall コ ン ポーネ ン ト に付属の CD-ROM に収録 さ れてい る バージ ョ ン が、デバ イ ス にあ ら か じ め イ ン ス ト ール さ れてい ます。ア ッ プ グ レ ー ド は Nortel Switched Firewall の Single System Image (SSI) を使用 し て実 行 さ れ、すべての ク ラ ス タ ソ フ ト ウ ェ アが同時に更新 さ れます。SSI には、Firewall OS、 Accelerator OS、 お よ び組み込み Check Point フ ァ イ ア ウ ォ ール ソ フ ト ウ ェ アが含まれてい ます。 Check Point SmartCenter こ の ソ フ ト ウ ェ アは、 (Nortel Switched Firewall ではな く ) ネ ッ ト ワー ク 内の管理 者用ワ ー ク ス テーシ ョ ン に常駐 し ます。 こ れは、 すべてのネ ッ ト ワー ク フ ァ イ ア ウ ォ ールのセキ ュ リ テ ィ ポ リ シーを イ ン ス ト ール、 保守、 お よ び監視す る 際に使 用 さ れ ます。 1 つ以上の Check Point 管理 ク ラ イ ア ン ト (SmartDashboard な ど) と と も に、 1 つの Check Point SmartCenter ス テーシ ョ ンが必要です。 198 第 11 章 : ソ フ ト ウ ェ アのア ッ プグ レ ー ド 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Check Point FireWall-1 NG Application Intelligence (AI) ソ フ ト ウ ェ ア Check Point SmartCenter お よ び管理 ク ラ イ ア ン ト を実行す る ワ ー ク ス テーシ ョ ン に必要な ソ フ ト ウ ェ ア ア ッ プグ レー ド です。 ア ッ プグ レー ド の タ イ プ Nortel Switched Firewall の保守に必要 と な る 可能性のあ る ソ フ ト ウ ェ ア ア ッ プグ レー ド は主に、Nortel Switched Firewall SSI に影響を与え る ア ッ プグ レー ド 、Nortel Switched Firewall の組み込み Check Point フ ァ イ ア ウ ォ ール ソ フ ト ウ ェ ア のみ を 対象 と す る ア ッ プグ レー ド 、 ク ラ ス タ 外の Check Point 管理ス テーシ ョ ン上に イ ン ス ト ール さ れ る ア ッ プグ レー ド の 3 つの ク ラ ス があ り ます。 Nortel Switched Firewall SSI のア ッ プグ レー ド 以下のア ッ プグ レー ド は、 Nortel Switched Firewall SSI に影響 し ます。 メ ジ ャ ー リ リ ース : こ の タ イ プのア ッ プグ レー ド には、 Nortel Switched Firewall に と っ て重要な ソ フ ト ウ ェ ア修正や機能強化が含ま れてい る 場合があ り ます。 メ ジ ャ ー ア ッ プグ レー ド は、任意ま たはすべての SSI コ ン ポーネ ン ト (Firewall OS、 Accelerator OS、 ま たは組み込み Check Point フ ァ イ ア ウ ォ ール ソ フ ト ウ ェ ア) に 影響を与え る 可能性があ り ます。 Nortel Switched Firewall は、 メ ジ ャ ー ア ッ プ グ レー ド の後、 新 し い機能を初期化 す る ために自動的に再起動 し ま す。 構成デー タ はすべて保持 さ れ ま す。 表 11-1 に、 NSF 4.4.1 でサポー ト さ れ る ア ッ プグ レー ド プ ロ セ ス を示 し ます。 表 11-1 ア ッ プグ レ ー ド タ イ プ ア ッ プ グ レ ー ド 説明 タ イプ 標準ア ッ プ グ レー ド 参照先 ト ラ フ ィ ッ ク が完全に停止 し ます。 ダ ウ ン 「標準ア ッ プグ レ ー ド 」 タ イ ム を計画に入れ、 ア ッ プグ レー ド が失 (201 ページ) 敗 し た場合の代替計画 も 考慮す る 必要があ り ます。 ヒ ッ ト レス ア ッ プグ レー ド プ ロ セ ス中 も ト ラ フ ィ ッ ク 「 ヒ ッ ト レ ス ア ッ プグ ア ッ プグ レー ド は中断せず、 ア ッ プグ レー ド に失敗 し た場 レー ド 」 (206 ページ) 合で も 、 ほ と ん ど (あ る いは ま っ た く ) ト ラ フ ィ ッ ク に影響を与えずに以前のバー ジ ョ ンに円滑に ロ ールバ ッ ク で き ます。 ヒ ッ ト レ ス ア ッ プグ レー ド は、 ハ イ アベ イ ラ ビ リ テ ィ 環境でのみ有効です。 マ イ ナー リ リ ース : こ の タ イ プのア ッ プグ レー ド は一般に、Nortel Switched Firewall に関す る 軽微な ソ フ ト ウ ェ ア問題を修正す る も のです。 ア ッ プ グ レ ー ド を イ ン ス ト ール し た後は ク ラ ス タ を再起動す る 必要があ り ます。構成デー タ はすべて保持 さ れます。 217014-B-JA, 2005 年 12 月 第 11 章 : ソ フ ト ウ ェ アのア ッ プグ レー ド 199 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス パ ッ チ : こ の タ イ プのア ッ プグ レー ド は、 Nortel Switched Firewall に関す る 個々の ソ フ ト ウ ェ ア問題を修正す る も のです。 パ ッ チは一般にサ イ ズが非常に小 さ く 、 SSI 内の特定のサブ フ ァ イ ルを対象に し てい ま す。 パ ッ チは一般に ク ラ ス タ を再 起動せずに イ ン ス ト ールで き 、 通常運用の ト ラ フ ィ ッ ク が止ま る こ と はあ り ませ ん。 構成デー タ はすべて保持 さ れ ます。 組み込みフ ァ イ アウ ォ ール ソ フ ト ウ ェ アのア ッ プグ レー ド Check Point Hotfix のア ッ プグ レー ド は Check Point と は別に入手で き 、Nortel Switched Firewall の組み込み Check Point ソ フ ト ウ ェ ア の強化に利用で き ま す。 こ の タ イ プの ア ッ プグ レー ド は、Nortel Switched Firewall に組み込まれた Check Point ソ フ ト ウ ェ ア におけ る 軽微な ソ フ ト ウ ェ ア問題を修正す る も のです。 Hotfix の イ ン ス ト ール後は、 ク ラ ス タ を再起動す る 必要があ り ます。 構成デー タ はすべて保持 さ れ ます。 Check Point ソ フ ト ウ ェ ア ツール ス テーシ ョ ンのア ッ プグ レー ド SmartCenter ま たは管理 ク ラ イ ア ン ト の Check Point 機能パ ッ ク SmartCenter ま たは管理 ク ラ イ ア ン ト の Hotfix 200 第 11 章 : ソ フ ト ウ ェ アのア ッ プグ レ ー ド 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 標準ア ッ プグ レー ド 標準ア ッ プ グ レ ー ド プ ロ セ ス では、 ト ラ フ ィ ッ ク が完全に停止 し ま す。 停止時間を 計画に入れ、 ア ッ プグ レー ド が失敗 し た場合の代替計画 も 考慮す る 必要があ り ます。 すべて の Firewall Director が同時に ア ッ プ グ レ ー ド さ れ、 再起動 さ れ ま す。 Firewall Director のア ッ プグ レー ド が成功す る と 、 同時に Firewall Accelerator も ア ッ プグ レー ド さ れます。 マ イ ナー / メ ジ ャ ー リ リ ースのア ッ プグ レー ド ソ フ ト ウ ェ アのイ ン ス ト ール Nortel Switched Firewall にマ イ ナー ま たは メ ジ ャ ー リ リ ー ス の ア ッ プ グ レ ー ド ソ フ ト ウ ェ ア を イ ン ス ト ールす る には、 以下の こ と が必要です。 Nortel Switched Firewall が ソ フ ト ウ ェ ア バージ ョ ン 4.0.2 以降を実行 し てい る こ と。 コ マ ン ド ラ イ ン イ ン タ フ ェ ース (CLI) か ら 、 ロ ーカル コ ン ソ ール端末を介 し て Nortel Switched Firewall にア ク セ ス で き る か、 Telnet ま たは SSH (Secure Shell) の リ モー ト 接続を介 し て ク ラ ス タ の MIP ア ド レ ス にア ク セ ス で き る こ と 。 ただ し 、Telnet 接続 と SSH 接続はデフ ォ ル ト に よ り 無効にな っ てい る こ と に注意 し て く だ さ い。 必要であれば、 最初の ク ラ ス タ のセ ッ ト ア ッ プ後に手動で設定す る 必要があ り ます。 Telnet 接続 と SSH 接続の有効化の詳細については、 第 13 章、 「 コ マ ン ド ラ イ ン イ ン タ フ ェ ース」 (217 ページ) を参照 し て く だ さ い。 バージ ョ ン 4.4.1 の ソ フ ト ウ ェ ア ア ッ プグ レー ド パ ッ ケージ (拡張子 .pkg で 識別) がネ ッ ト ワ ー ク 上の FTP/TFTP/SCP/SFTP サーバーに ロ ー ド さ れてい る こ と 。 サーバーが匿名 ロ グ イ ン を許可す る 必要があ り ます。 FTP/TFTP/SCP/SFTP サーバーのホ ス ト 名ま たは IP ア ド レ ス。 ホ ス ト 名を指定 す る 場合は、 DNS パ ラ メ ー タ の設定が必要であ る こ と に注意 し て く だ さ い。 詳細 については、 「[DNS Servers Menu]」 (288 ページ) を参照 し て く だ さ い。 フ ァ イ ア ウ ォ ール ルールに よ っ て、 FTP/TFTP/SCP/SFTP ト ラ フ ィ ッ ク (お よ び、 ホ ス ト 名を使用 し てい る 場合は DNS ト ラ フ ィ ッ ク ) が Firewall Director へ着 信 (お よ び Firewall Director か ら 発信) で き る こ と 。 ア ッ プグ レー ド に関す る その他の制限や制約については、 製品の Readme フ ァ イ ルを参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 11 章 : ソ フ ト ウ ェ アのア ッ プグ レー ド 201 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ク ラ ス タ 規模の ソ フ ト ウ ェ ア ア ッ プグ レー ド すべての ク ラ ス タ コ ン ポーネ ン ト が連携 し て 1 つのシ ス テ ム ビ ュ ーを提供 し ま す。 し たが っ て、 ク ラ ス タ の MIP ア ド レ ス に接続すれば、 ク ラ ス タ 規模の ソ フ ト ウ ェ ア ア ッ プグ レー ド を実行で き ます。ア ッ プグ レー ド 時に稼働 し てい る すべて の ク ラ ス タ コ ン ポーネ ン ト に、 ア ッ プ グ レ ー ド が自動的に拡張 さ れ ま す。 構成 デー タ はすべて保持 さ れます。 一般 に、 ク ラ ス タ の Firewall Accelerator ソ フ ト ウ ェ ア は、 ク ラ ス タ の Firewall Director と と も に自動的に ア ッ プ グ レ ー ド さ れ ま す。 ただ し Firewall Accelerator を 手動で ア ッ プ グ レ ー ド す る 場合は、 「Firewall Accelerator の手動ア ッ プ グ レ ー ド 」 (471 ページ) を参照 し て く だ さ い。 ア ッ プグ レー ド の イ ン ス ト ールを開始す る には、 以下の手順を実行 し ます。 1. シ ス テムが完全に機能 し ている状態か ら開始 し ます。 Nortel Switched Firewall と Check Point SmartCenter コ ン ポーネ ン ト ま たは SmartDashboard 管理ツールの間で信頼が確立 さ れてい る こ と を確認 し ます。 ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク が フ ァ イ ア ウ ォールを正 し く 通過す る か ど う か を検証 し て く だ さ い。 2. 必要に応 じ て、 Check Point SmartCenter と 管理 ク ラ イ ア ン ト を ア ッ プグ レ ー ド し ま す。 Nortel Switched Firewall で Check Point Feature Pack-2 ま た は Check Point Feature Pack-3 を使用 し てい る 場合は、 NG Application Intelligence ソ フ ト ウ ェ ア を使用す る た めに、 Check Point SmartCenter ま たは管理 ク ラ イ ア ン ト を 実行 し て い る すべて の ス テーシ ョ ン を ア ッ プグ レー ド す る 必要があ り ま す。 ア ッ プグ レー ド 手順については、 http://www.checkpoint.com/support/technical/documents/index.html (ID と パ ス ワ ー ド が必要) で Check Point の完全版 ド キ ュ メ ン ト を参照 し て く だ さ い。 3. CLI に ロ グ イ ン し 、 Nortel Switched Firewall 4.4.1 のア ッ プグ レ ー ド パ ッ ケージ を Nortel Switched Firewall に ロー ド し ます。 >> Main# /boot/software/download 4. プ ロ ン プ ト が表示 さ れた ら、 プ ロ ト コ ルを入力 し て ア ッ プグ レ ー ド パ ッ ケージ を ダ ウ ン ロー ド し ます。 ア ッ プグ レー ド パ ッ ケージ フ ァ イ ルは 32MB を超え る ため、 TFTP は機能 し ません。 Select [scp/sftp/tftp/ftp]:ftp 5. サーバーのホス ト 名または IP ア ド レ ス を入力 し ます。 Enter FTP server host:< ホス ト 名または IP ア ド レ ス > 6. サーバー上の新 し い ソ フ ト ウ ェ ア フ ァ イルの名前を入力 し ます。 Enter filename on server:< フ ァ イル名 .pkg> 202 第 11 章 : ソ フ ト ウ ェ アのア ッ プグ レ ー ド 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 7. ユーザー名 と パスワー ド を入力 し てサーバーにア ク セス し ます。 8. ソ フ ト ウ ェ アのロー ド が完了する ま で待ち ます。 問題が何 も 検出 さ れなければ、 ソ フ ト ウ ェ アがダ ウ ン ロ ー ド を開始 し 、 所定の時間に ソ フ ト ウ ェ アが何パーセ ン ト ダ ウ ン ロ ー ド さ れたかが表示 さ れ ま す。 ダ ウ ン ロ ー ド が完了す る と 、 ダ ウ ン ロ ー ド さ れた フ ァ イ ルのサ イ ズが報告 さ れ、 続いて 「ok」 メ ッ セージ と CLI メ ニ ュ ー プ ロ ン プ ト が表示 さ れ ます。 Received 13056048 bytes in 27.2 seconds ok >> Software Management# ア ッ プグ レー ド が ロ ー ド さ れた ら 、 次のセ ク シ ョ ンの説明に従っ て ア ッ プグ レー ド を ア ク テ ィ ブにす る 必要があ り ます。 ソ フ ト ウ ェ ア ア ッ プグ レー ド パ ッ ケージのア ク テ ィ ブ化 Nortel Switched Firewall では、 同 じ メ ジ ャ ー ソ フ ト ウ ェ ア リ リ ース のバージ ョ ン を同 時に 2 つま で持つ こ と がで き ます (バージ ョ ン 4.4.1.1 と バージ ョ ン 4.0.2 な ど)。 現 在の ソ フ ト ウ ェ ア ス テー タ ス を表示す る には、 /boot/software/cur コ マ ン ド を 使用 し ま す。 新 し いバージ ョ ン の ソ フ ト ウ ェ ア が Nortel Switched Firewall に ダ ウ ン ロ ー ド さ れ る と 、 ソ フ ト ウ ェ ア パ ッ ケ ー ジ が 自動的 に 解凍 さ れ、 ス テ ー タ ス が unpacked と 表示 さ れ ま す。 unpacked ス テー タ ス の ソ フ ト ウ ェ ア バージ ョ ン を ア ク テ ィ ブ にす る と ( こ れに よ り Nortel Switched Firewall が再起動 さ れ る 場合が あ り ま す) 、 ソ フ ト ウ ェ ア バージ ョ ン の ス テー タ ス が permanent と 表示 さ れ ま す。 以前に permanent と 表示 さ れていた ソ フ ト ウ ェ ア バージ ョ ンは、 old にな り ます。 マ イ ナーお よ び メ ジ ャ ー リ リ ー ス の場合は、 ソ フ ト ウ ェ アの変更が ク ラ ス タ 内の コ ン ポーネ ン ト 間で同時に発生 し ます。 ソ フ ト ウ ェ アのア ッ プグ レー ド 時に稼働 し てい ない コ ン ポーネ ン ト は、 起動時に自動的に新 し いバージ ョ ン でア ッ プグ レー ド さ れま す。 注 - Firewall Accelerator ま たは Firewall Director が稼働 し ていない間に複数の ソ フ ト ウ ェ ア ア ッ プ グ レ ー ド が ク ラ ス タ に対 し て実行 さ れた場合は、 その ク ラ ス タ で現在 使用 し てい る ソ フ ト ウ ェ ア バージ ョ ン でデバ イ ス を再 イ ン ス ト ールす る 必要があ り ます。 詳細については、 「ソ フ ト ウ ェ アの再イ ン ス ト ール」 (209 ページ) を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 11 章 : ソ フ ト ウ ェ アのア ッ プグ レー ド 203 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ソ フ ト ウ ェ ア ア ッ プグ レー ド パ ッ ケージ を ダ ウ ン ロ ー ド 済みの場合は、 以下の コ マ ン ド を 使用 し てパ ッ ケージの ス テー タ ス を調べ、 パ ッ ケージ を ア ク テ ィ ブにで き ま す。 1. ソ フ ト ウ ェ アのス テー タ ス を調べます。 >> Main# /boot/software/cur Version Name ---------4.1.1.0_R55 tng 4.0.2.0 tng Status -----unpacked permanent ダ ウ ン ロ ー ド し た ソ フ ト ウ ェ ア ア ッ プグ レー ド パ ッ ケージの ス テー タ ス は unpacked と 表示 さ れ ます。 ソ フ ト ウ ェ ア バージ ョ ンは、 4 つの ス テー タ ス値のい ずれかで表示で き ます。 こ れ ら の ス テー タ ス値の意味は以下の と お り です。 2. unpacked は、 ソ フ ト ウ ェ ア ア ッ プグ レー ド パ ッ ケージがダ ウ ン ロ ー ド さ れ、 自 動的に解凍 さ れた こ と を意味 し ます。 current は、 old ま たは unpacked と 表示 さ れた ソ フ ト ウ ェ ア バージ ョ ン がア ク テ ィ ブにな っ た こ と を意味 し ます。 シ ス テ ム が必要なヘル ス チ ェ ッ ク を実行す る と す ぐ に、 current ス テー タ ス が permanent に変わ り ます。 permanent は、 ソ フ ト ウ ェ アが稼働中で、 シ ス テ ムの再起動後 も 存続す る こ と を 意味 し ます。 old は、 ソ フ ト ウ ェ ア バージ ョ ンは存続 し てい る が、 現在は稼働中でない こ と を 意味 し ます。 old と 示 さ れた ソ フ ト ウ ェ ア バージ ョ ン が使用可能な場合は、 こ れ を再度ア ク テ ィ ブにす る こ と で、 こ のバージ ョ ン に切 り 替え る こ と がで き ます。 必要な ソ フ ト ウ ェ ア パ ッ ケージ を ア ク テ ィ ブに し ます。 >> Software Management# activate 4.1.1.0_R55 Confirm action 'activate'?[y/n]:y Activate ok, relogin Restarting system. login: 注 - 新 し いバージ ョ ン を ア ク テ ィ ブにす る と 、 Firewall Director が再起動 し ま す。 再 起動が完了 し て も 、 新 し い メ ニ ュ ーが ま だ初期化 さ れていないために多少時間がかか る 場合が あ り ま す。 こ の よ う な場合は、 ロ グ イ ン プ ロ ン プ ト が再度表示 さ れ る ま で 待っ て く だ さ い。 シ ス テ ム が再起動す る か ど う かに も よ り ますが、 こ れには最大で 2 分ほ ど かか る 場合があ り ます。 204 第 11 章 : ソ フ ト ウ ェ アのア ッ プグ レ ー ド 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 3. 再度ロ グ イ ン し 、 ソ フ ト ウ ェ ア ス テー タ ス を も う 一度チ ェ ッ ク し ます。 >> Main# /boot/software/cur Version Name ---------4.1.1.0_R55 tng 4.0.2.0 tng Status -----permanent old こ の例では、 バージ ョ ン 4.1.1.0 が現在稼働中で あ り 、 シ ス テ ム の再起動後 も 存続 し ま す。 一方、 前に permanent と 表示 さ れていた ソ フ ト ウ ェ ア バージ ョ ン は、 現在は old にな っ てい ます。 注 - こ の時点で フ ァ イ ア ウ ォ ールは稼働 し てい ますが、 フ ァ イ ア ウ ォ ール ア ク セ ラ レーシ ョ ンはオ フ にな っ てい る 場合があ り ます。 Check Point ソ フ ト ウ ェ ア ア ッ プグ レー ド 後、 Firewall Director が再起動す る ま で待っ て く だ さ い。 4. 管理ク ラ イ ア ン ト 上の SmartDashboard 管理ツールで、フ ァ イ アウ ォ ール ク ラ ス タ オ ブ ジ ェ ク ト のバージ ョ ン ID を変更 し ます。 5. ア ッ プグ レ ー ド し た Nortel Switched Firewall ク ラ ス タ にポ リ シーを適用 し ます。 6. ト ラ フ ィ ッ クが再度 フ ァ イ アウ ォ ールを通過する こ と を確認 し ます。 注 - 新 し い ソ フ ト ウ ェ ア バージ ョ ン の稼働中に重大な問題が発生 し た場合は、 前の ソ フ ト ウ ェ ア バージ ョ ン (現在 old と 表示 さ れてい る も の) に戻す こ と がで き ます。 こ れを行 う には、old と 表示 さ れてい る ソ フ ト ウ ェ ア バージ ョ ン 番号を ア ク テ ィ ブに し ま す。 old ソ フ ト ウ ェ ア バージ ョ ン を ア ク テ ィ ブに し た後、 再度 ロ グ イ ンす る と 、 少 し の間だけ ス テー タ ス が current と 表示 さ れ ます。 約 1 分後、 シ ス テ ムが必要なヘ ル ス チ ェ ッ ク を実行す る と current ス テー タ ス が permanent に変わ り ます。 217014-B-JA, 2005 年 12 月 第 11 章 : ソ フ ト ウ ェ アのア ッ プグ レー ド 205 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ヒ ッ ト レ ス ア ッ プグ レー ド 標準ア ッ プ グ レ ー ド プ ロ セ ス では、 ト ラ フ ィ ッ ク が完全に停止 し ま す。 停止時間を 計画に入れ、 ア ッ プグ レー ド が失敗 し た場合の代替計画 も 考慮す る 必要があ り ます。 ただ し ヒ ッ ト レ ス ア ッ プグ レー ド では、 ア ッ プグ レー ド プ ロ セ ス中 も ト ラ フ ィ ッ ク は中断せず、 ア ッ プグ レー ド に失敗 し た場合で も 、 ほ と ん ど (あ る いは ま っ た く ) ト ラ フ ィ ッ ク に影響を与えずに以前のバージ ョ ンに円滑に ロ ールバ ッ ク で き ます。 標準ア ッ プグ レー ド プ ロ セ ス では、 すべての Firewall Director が同時にア ッ プグ レー ド さ れ、 再起動 さ れ ま す。 Firewall Director のア ッ プ グ レ ー ド が成功す る と 、 同時に Firewall Accelerator も ア ッ プグ レー ド さ れ ます。 注 - ヒ ッ ト レ ス ア ッ プグ レー ド は、 ハ イ アベ イ ラ ビ リ テ ィ 環境でのみ有効です。 注 - ヒ ッ ト レ ス ア ッ プグ レー ド で MIP を移行す る 場合、 OSPF、 RIP、 PIM な ど のダ イ ナ ミ ッ ク ルーテ ィ ン グ対応プ ロ ト コ ルのア ッ プ グ レー ド 時に ト ラ フ ィ ッ ク が失わ れ ま す。 ト ラ フ ィ ッ ク 損失が特に問題でな ければ、 ヒ ッ ト レ ス ア ッ プ グ レ ー ド のダ ウ ン タ イ ム の方が通常のア ッ プグ レー ド よ り も 少な く て済みます。 ス タ テ ィ ッ ク お よ びデ フ ォ ル ト のゲー ト ウ ェ イ ルー ト は、 ヒ ッ ト レ ス ア ッ プ グ レ ー ド で問題な く サ ポー ト さ れ ます。 2 つの Firewall Accelerator と 2 つの Firewall Director を 使用 し た ハ イ アベ イ ラ ビ リ テ ィ のシナ リ オでは、 ヒ ッ ト レ ス ア ッ プ グ レ ー ド は以下の よ う に動作 し ま す (最初 は NSF#1 がマ ス タ 、 NSF#2 がバ ッ ク ア ッ プにな り ます)。 1. NSF#1 (Firewall Accelerator 1 - Firewall Director 1) がネ ッ ト ワー ク ト ラ フ ィ ッ ク を処 理 し ます。 2. ア ッ プグ レ ー ド が問題な く 完了 し た ら、 Firewall Director 2 が Firewall Accelerator 2 を ア ッ プグ レ ー ド し ます。 3. NSF#2 を VRRP マ ス タ 、 NSF#1 を VRRP バ ッ ク ア ッ プにする ために、 VRRP エ ラ ーが ト リ ガ さ れます。 4. ネ ッ ト ワー ク ト ラ フ ィ ッ ク が新 し い VRRP マ ス タ (NSF#2) に リ ダ イ レ ク ト さ れ、 NSF#1 が VRRP バ ッ ク ア ッ プにな り ます。 5. NSF#2 が ト ラ フ ィ ッ ク を引き継ぐ と 、Firewall Accelerator 1 - Firewall Director 1 がア ッ プグ レー ド さ れ、 NSF ク ラ ス タ に組み込まれます。 ア ッ プグ レー ド プ ロ セ ス 中は、 Firewall Accelerator 1 と 2 が 2 種類の NSF バージ ョ ン を実行 し ます。 206 第 11 章 : ソ フ ト ウ ェ アのア ッ プグ レ ー ド 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ア ッ プグ レー ド の開始 ヒ ッ ト レ ス ア ッ プ グ レ ー ド の進行中は、 CLI ま たは BBI を使用 し て構成変更を行 う こ と はで き ません。 ヒ ッ ト レ ス ア ッ プ グ レ ー ド 方式を使用 し て ア ッ プ グ レ ー ド を開始す る と き には、 管 理 IP ア ド レ ス (MIP) へのア ク セ ス権があ り ません。 新 し い Firewall Director イ メ ー ジが、ア ッ プグ レー ド プ ロ セ ス中に稼働 し てい る Firewall Accelerator イ メ ージ と 互換 性があ る こ と を確認 し て く だ さ い。 ヒ ッ ト レ ス ア ッ プグ レー ド プ ロ セ ス を開始す る には、以下の コ マ ン ド を実行 し ます。 >> Main# /boot/software/hitless/activate WARNING:Your CLI/BBI connections to MIP may not work properly during hitless upgrade. If you have dynamic routing protocols enabled, there is an impact on the traffic.It is strongly recommended that you connect to each SFD using telnet/ssh. =============================================== Do you want to activate hitless upgrade?The image to be activated is 4.1.0.25_R55.Enter (y/n):y ア ッ プグ レー ド し ない フ ァ イ アウ ォ ールの除外 ア ッ プグ レー ド プ ロ セ ス か ら 除外す る Firewall Director を選択 し ます。 >> Hitless Upgrade# exclude Enter SFD IP address you want to exclude from hitless upgrade process: ヒ ッ ト レ ス ア ッ プグ レー ド ス テー タ スの表示 ノ ーテルでは、 2 つの異な る Telnet セ ッ シ ョ ン (Firewall Director ご と に 1 つ) を開 始 し 、 status コ マ ン ド を使用 し て、 Firewall Director の現行テーブルを表示す る こ と をお勧め し ます。 テーブルは 30 秒ご と に更新 さ れます。 >> Main# /info/hu/status Last update:Jun 29 10:02:25 Upgrade master: 10.10.1.4 ------------------------------------------------List of SFD(s) and Status: 1: 10.10.1.3 Upgrade initiated 2: 10.10.1.4 Upgrade initiated ------------------------------------------------List of SFA(s) and Status: 00:11:f9:ce:5a:00 10.10.1.201 Backup Upgrade Initiated... 00:13:0a:52:80:00 10.10.1.202 Active Upgrade Initiated... 217014-B-JA, 2005 年 12 月 第 11 章 : ソ フ ト ウ ェ アのア ッ プグ レー ド 207 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 異な る Check Point バージ ョ ンへのア ッ プグ レー ド ヒ ッ ト レ ス ア ッ プ グ レ ー ド に異な る Check Point バージ ョ ンへの ア ッ プ グ レ ー ド が 含ま れ る 場合は、 以下の手順を実行 し て Check Point ポ リ シーを手動で移行す る 必要 があ り ます。 1. 信頼を再確立 し ます。 2. 管理ス テーシ ョ ンか ら Check Point フ ァ イ アウ ォ ール ポ リ シーを適用 し ます。 ポ リ シーの適用後す ぐ に ヒ ッ ト レ ス ア ッ プグ レー ド プ ロ セ ス が続行 さ れます。 ただ し 、Check Point のポ リ シーが適用 さ れ る のは ク ラ ス タ の一方のみです。次のセ ク シ ョ ン の説明に従っ て ア ッ プグ レー ド 手順を完了 し た ら 、 こ のプ ロ セ ス を繰 り 返 し て く だ さ い。 ア ッ プグ レー ド 後 異な る Check Point バージ ョ ン にア ッ プグ レー ド し た場合は、 以下の手順を実行 し ま す。 た と えば、 4.1.1.1_R55 か ら 4.1.1.2_R55 にア ッ プグ レー ド し た場合は、 以下の手 順は必要あ り ません。 1. 管理ス テーシ ョ ンか ら Check Point フ ァ イ アウ ォ ール ポ リ シーを適用 し ます。 2. Check Point 同期が稼働 し ている こ と を確認 し ます。 208 第 11 章 : ソ フ ト ウ ェ アのア ッ プグ レ ー ド 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ソ フ ト ウ ェ アの再イ ン ス ト ール ソ フ ト ウ ェ アの再 イ ン ス ト ールが必要にな る こ と は まずあ り ません。 通常、 こ れが必 要にな る のは、 深刻な動作不良が発生 し た後や、 異な る ソ フ ト ウ ェ ア バージ ョ ン を 使用す る ク ラ ス タ に新 し い Firewall Director を追加 し た場合のみです。 再 イ ン ス ト ールを行 う と 、Firewall Director の設定が出荷時のデフ ォ ル ト に リ セ ッ ト さ れ ます。 前のバージ ョ ン の ソ フ ト ウ ェ ア イ メ ージやア ッ プグ レー ド パ ッ ケージ を含 め、 前のデー タ と ソ フ ト ウ ェ アがすべて消去 さ れます。 Firewall OS ソ フ ト ウ ェ ア を再 イ ン ス ト ールす る には、 以下の手順を実行 し ます。 1. 管理者ア カ ウ ン ト を使用 し て、 Firewall Director に ロ グ イ ン し ます。 2. Nortel Switched Firewall のブー ト 可能な CD-ROM を取得 し 、 Firewall Director の CDROM ド ラ イ ブに挿入 し ます。 3. Firewall Director を再起動 し 、 以下の コ マ ン ド を実行および確認 し ます。 >> # /boot/reboot 4. シ ス テムの再起動時に、 root で ロ グ イ ン し ます (CD-ROM か ら起動する場合はパス ワー ド 不要です)。 root 5. 以下のイ ン ス ト ール コ マ ン ド を実行 し ます。 install-tng install-tng install-tng install-tng install-tng nsf-5014-x305 nsf-5016-ne1 nsf-5024-x305 nsf-5026-ne1 nsf auto-detect (NSF 6614 および 6414 の場合) (NSF 6616 および 6416 の場合) (NSF 6624 および 6424 の場合) (NSF 6626 および 6426 の場合) (ソ フ ト ウ ェ アがハー ド ウ ェ ア を検出) 注 - コ マ ン ド は小文字で入力す る 必要があ り ます。 6. イ ン ス ト ール ス ク リ プ ト が完了する ま で待ち ます。 Firewall Director が自動的に再起 動 し ない場合は、 ソ フ ト ウ ェ ア CD-ROM を取 り 出 し てか ら Firewall Director を再起動 し ます。 7. 管理者ア カ ウ ン ト を使用 し て ロ グ イ ン し ます。 こ れで イ ン ス ト ールは完了です。 こ れで、 新 し い Firewall Director を新 し い ク ラ ス タ の一部 と し て イ ン ス ト ールす る か (第 2 章、 「初期セ ッ ト ア ッ プ」 (31 ページ) を参照) 、 既存の ク ラ ス タ に追加で き ま す (第 9 章、 「 ク ラ ス タ の拡張」 (153 ページ) を参照)。 217014-B-JA, 2005 年 12 月 第 11 章 : ソ フ ト ウ ェ アのア ッ プグ レー ド 209 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 210 第 11 章 : ソ フ ト ウ ェ アのア ッ プグ レ ー ド 217014-B-JA, 2005 年 12 月 第 12 章 基本的な シ ス テム管理 こ の章では、 Nortel Switched Firewall 上のシ ス テ ム管理機能にア ク セ ス す る 方法につ いて説明 し ます。 管理ア ク セ ス は、 シ ス テ ム情報の収集、 初期セ ッ ト ア ッ プ以外のシ ス テ ム パ ラ メ ー タ の設定、 フ ァ イ ア ウ ォ ール セ キ ュ リ テ ィ ポ リ シーの確立、 ポ リ シーの有効性の監視な ど に必要 と な り ます。 こ の章で扱 う ト ピ ッ ク は以下の と お り です。 「管理ツール」 (212 ページ) 「ユーザーおよびパスワー ド 」 (213 ページ) 「Single System Image」 (214 ページ) 211 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 管理ツール Nortel Switched Firewall には、 以下のシ ス テ ム管理ツールが備わ っ てい ます。 コ マ ン ド ラ イ ン イ ン タ フ ェ ース (CLI) CLI は単純な テ キ ス ト ベース の メ ニ ュ ー シ ス テ ム を提供 し ます。 シ ス テ ム情報の 収集やシ ス テ ム パ ラ メ ー タ の設定に使用で き ます。シ ス テ ムの初期セ ッ ト ア ッ プ 時には、 CLI を 使用す る 必要が あ り ま す。 CLI へは、 任意の Firewall Director で ロ ーカ ル ア ク セ ス す る か、 Telnet ま たは Secure Shell (SSH) を 介 し て リ モー ト ア ク セ スす る こ と がで き ます。 詳細については、 こ のガ イ ド の第 2 部: コ マ ン ド リ フ ァ レ ン ス を参照 し て く だ さ い。 ブ ラ ウ ザベース イ ン タ フ ェ ース (BBI) BBI では、 ご使用の Web ブ ラ ウ ザ を介 し て管理を行 う こ と がで き ます。 BBI は、 初期セ ッ ト ア ッ プの完了後に CLI を 介 し て有効にす る 必要が あ り ま す。 有効に な っ た後は、ア ク セ ス リ ス ト に含ま れてい る ワ ー ク ス テーシ ョ ン か ら BBI にア ク セ ス で き ま す。 BBI を使用す る と 、 機能が豊富な グ ラ フ ィ カル ユーザー イ ン タ フ ェース を使用 し てルーチン の構成やデー タ 収集を容易に行 う こ と がで き ます。 詳細については、 『Nortel Switched Firewall Browser-based Interface Guide』 を参照 し て く だ さ い。 Check Point FireWall-1 NG イ ン タ フ ェース 付属の Check Point ソ フ ト ウ ェ アは、 リ モー ト の Check Point 管理ツール と 連携 し ます。 必須の Check Point SmartCenter と 、 SmartDashboard な ど の管理 ク ラ イ ア ン ト を 使用す る と 、 Nortel Switched Firewall の ポ リ シ ー を 管理 し た り 、 フ ァ イ ア ウ ォ ールの ロ グや動作ス テー タ ス を表示す る こ と がで き ます。 詳細については、 http://www.checkpoint.com/support/technical/documents/index.html (ID と パ ス ワ ー ド が必要) で Check Point の ド キ ュ メ ン ト を参照 し て く だ さ い。 212 第 12 章 : 基本的な シ ス テム管理 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ユーザーおよびパスワー ド Nortel Switched Firewall 機能へのア ク セ ス は、 固有のユーザー名 と パ ス ワ ー ド の入力 に よ っ て管理 さ れ ます。 ロ ーカル コ ン ソ ール、 リ モー ト の Telnet、 SSH、 ま たは Web ブ ラ ウ ザを介 し てシ ス テ ム接続を確立す る と 、 ロ グ イ ン プ ロ ン プ ト が表示 さ れます。 ロ グ イ ンす る には、 有効なユーザー名 と それに対応す る パ ス ワー ド を入力す る 必要が あ り ま す。 シ ス テ ム管理お よ びユーザー ア カ ウ ン タ ビ リ テ ィ 向上のため、 4 種類の ユーザー タ イ プ と 、 それぞれに異な る シ ス テ ム ア ク セ ス レ ベルが用意 さ れて い ま す。 表 12-1 に、 ア ク セ ス レ ベル ご と のデ フ ォ ル ト のユーザー名 と パ ス ワ ー ド を 示 し ま す。 ユーザー名 と パ ス ワー ド は大文字 / 小文字が区別 さ れ ます。 表 12-1 ユーザー ア ク セス レ ベル ユーザー名 パスワー ド 説明および実行 さ れる タ ス ク oper oper オペレ ー タ ロ グ イ ン は、 CLI お よ び BBI を介 し て使用で き ま す。 オペレー タ は、 シ ス テ ム管理に対す る 直接的な責任を持ち ません。 オペレー タ は構成情報 と 動作に関す る ス タ テ ィ ス テ ィ ッ ク ス のす べて を見 る こ と がで き ますが、 構成を変更す る こ と はで き ません。 admin admin 管理者 ロ グ イ ンは、 CLI お よ び BBI を介 し て使用で き ます。 管理 者は、 ユーザーの追加権限やパ ス ワ ー ド の変更権限を含め、 シ ス テ ム上のすべての メ ニ ュ ー、 情報、 お よ び構成 コ マ ン ド への完全 な ア ク セ ス権を持ち ます。 boot ForgetMe ブー ト ロ グ イ ンは、 ロ ーカル コ ン ソ ール端末を介 し てのみ使用で き ま す。 ブ ー ト ユ ー ザ ー は、 他 の ア ク セ ス 手段 が な い 場合 に Firewall Director ソ フ ト ウ ェ ア を再 イ ン ス ト ールす る こ と でデフ ォ ル ト パ ス ワ ー ド を復元で き ます ( 「ロ ッ ク アウ ト か ら の回復」 (475 ページ) を参照)。 すべてのパ ス ワー ド が変更 さ れて失われ た場合で も 、 1 つの ア ク セ ス 手段だけはいつで も 使用で き る よ う に、 ブー ト ユーザーのパ ス ワー ド は変更で き ない よ う にな っ てい ます。 root ForgetMe ルー ト ロ グ イ ンは、 ロ ーカル コ ン ソ ール端末を介 し てのみ使用で き ます。 ルー ト ユーザーは、 オペレーテ ィ ン グ シ ス テ ム と ソ フ ト ウ ェ アへの完全な内部ア ク セ ス権を持ち ます。 ルー ト ユーザーの 機能については、 こ の ド キ ュ メ ン ト では扱っ てい ません。 注 - 初期構成後、 お よ びご使用のネ ッ ト ワ ー ク セキ ュ リ テ ィ ポ リ シーでの必要に応 じ 、 定期的にすべてのデフ ォ ル ト パ ス ワ ー ド を変更す る こ と をお勧め し ま す。 詳細 については、 「[User Menu]」 (324 ページ) の CLI コ マ ン ド に関す る 説明ま たは 『Nortel Switched Firewall Browser-based Interface Guide』 の BBI フ ォ ーム に関す る 説明を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 12 章 : 基本的な シ ス テム管理 213 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Single System Image Nortel Switched Firewall シ ス テ ム では、 Single System Image (SSI) を採用 し てい ま す。 シ ス テ ムは複数の Firewall Director お よ び Firewall Accelerator コ ン ポーネ ン ト で構成 で き ますが、 SSI を使用す る と 、 すべての コ ン ポーネ ン ト を 1 つの ま と ま り と し て構 成お よ び更新で き る よ う にな り ます。 CLI ま たは BBI の任意のポ イ ン ト で構成を変更 す る と 、 変更内容が必要に応 じ て他の コ ン ポーネ ン ト に自動的に同期 さ れ る ため、 管 理プ ロ セ ス を簡素化す る こ と がで き ます。 SSI を使用 し た場合、ほ と ん ど の構成 コ マ ン ド が Nortel Switched Firewall ク ラ ス タ 全体 に影響を与え ます。 一般に、 個々の Firewall Director ご と に機能を有効ま たは無効に す る こ と はで き ません。 SSI はシ ス テ ム ソ フ ト ウ ェ アの更新時に も 利用 さ れ ます。 構成変更 と 同様に、 CLI ま たは BBI の任意の管理ポ イ ン ト で イ ン ス ト ール さ れた ソ フ ト ウ ェ ア更新が、必要に応 じ て他のすべての コ ン ポーネ ン ト に自動的に イ ン ス ト ール さ れます。 214 第 12 章 : 基本的な シ ス テム管理 217014-B-JA, 2005 年 12 月 第 2 部 : コ マン ド リ フ ァ レ ンス こ のセ ク シ ョ ン では、 すべての コ マ ン ド ラ イ ン イ ン タ フ ェ ース (CLI) に関す る 詳細 な情報 と メ ニ ュ ー項目を、 CLI と 同 じ 形式で記述 し ます。 最初にグ ロ ーバル コ マ ン ド の例を説明 し ます。 グ ロ ーバル コ マ ン ド はど の メ ニ ュ ー プ ロ ン プ ト か ら で も 入力で き ます。 次に残 り の コ マ ン ド を階層順に説明 し てい き ます。 コ マ ン ド ラ イ ン イ ン タ フ ェ ースへのア ク セ ス [Main Menu] ( メ イ ン メ ニ ュ ー) [Configuration Menu] (構成 メ ニ ュ ー) 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 216 コ マ ン ド リ フ ァ レ ン ス 217014-B-JA, 2005 年 12 月 第 13 章 コ マ ン ド ラ イ ン イ ン タ フ ェ ース コ マ ン ド ラ イ ン イ ン タ フ ェ ース (CLI : Command Line Interface) は、 Nortel Switched Firewall に関す る 情報を表示す る 方法 と し ては、 最 も 直接的な方法です。 さ ら に、 シ ス テ ム設定を あ ら ゆ る レベルで実行す る 場合に も CLI を使用で き ます。 こ の章では、 CLI へのア ク セ ス 方法 と し て、 Firewall Director の任意のシ リ アル ポー ト を 使用 し て ロ ー カ ルに ア ク セ ス す る 方法、 お よ び Telnet ク ラ イ ア ン ト か Secure Shell (SSH) ク ラ イ ア ン ト を使用 し て リ モー ト にア ク セ スす る 方法について説明 し ま す。 ま た、 CLI 内のあ ら ゆ る メ ニ ュ ーか ら 使用で き る 便利な コ マ ン ド お よ びシ ョ ー ト カ ッ ト の リ ス ト も 紹介 し ます。 CLI については次の節で説明 し ます。 「 コ マ ン ド ラ イ ン イ ン タ フ ェ ースへのア ク セス」 (218 ページ) 「 コ マ ン ド ラ イ ン イ ン タ フ ェ ースの使用」 (226 ページ) 注 - CLI を使用す る には、 第 2 章、 「初期セ ッ ト ア ッ プ」 (31 ページ) に記載 さ れて い る 最低限の設定作業を完了 し てお く 必要があ り ます。 217 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス コ マ ン ド ラ イ ン イ ン タ フ ェ ースへのア ク セス CLI はテ キ ス ト ベース であ り 、 基本的な端末を使用 し て表示で き ます。 各種の コ マ ン ド が、 一連の メ ニ ュ ーやサ ブ メ ニ ュ ーに論理的に グ ループ化 さ れ て い ま す。 各 メ ニ ュ ーには、 使用可能な コ マ ン ド ま たはサブ メ ニ ュ ーあ る いはその両方の リ ス ト が、 各 コ マ ン ド 機能の概要 と と も に表示 さ れ ま す。 各 メ ニ ュ ーの下にはプ ロ ン プ ト が あ り 、 その メ ニ ュ ーに対応す る コ マ ン ド を 入力で き ま す。 デ フ ォ ル ト では、 Telnet と SSH は無効にな っ ていて、 BBI のみが使用可能にな っ てい ます。 ロー カル シ リ アル ポー ト の使用 任意の Firewall Director のシ リ アル ポー ト を使用す る と 、 CLI に ロ ーカルでア ク セ ス し て Nortel Switched Firewall を管理す る こ と がで き ます。 コ ン ソ ール タ ー ミ ナルを シ リ アル ポー ト に接続 し 、 通信接続を確立す る 方法の詳細については、 Nortel Switched Firewall の 『Hardware Installation Guide』 を参照 し て く だ さ い。 接続が開始す る と プ ロ ン プ ト が表示 さ れ、 有効なパ ス ワー ド を入力 し て ロ グ イ ンす る よ う 求め ら れ ま す。 さ ま ざ ま な ア ク セ ス レ ベル と 接続時のパ ス ワ ー ド の詳細につい ては、 「ユーザーおよびパスワー ド 」 (213 ページ) を参照 し て く だ さ い。 ロ グ イ ン の 検証 が 完了す る と 、 CLI の [Main Menu] が 表示 さ れ ま す ( 「 メ イ ン メ ニ ュ ー」 (227 ページ) を参照)。 管理イ ン タ フ ェ ースの定義 管理 イ ン タ フ ェ ース (/cfg/net/mgif/host) が定義 さ れてい る 場合は、 Telnet セ ッ シ ョ ン ま たは SSH セ ッ シ ョ ン に よ っ て Firewall Director のネ ッ ト ワ ー ク イ ン タ フ ェ ー ス カー ド (NIC : Network Interface Card) を管理で き ます。 218 第 13 章 : コ マ ン ド ラ イ ン イ ン タ フ ェ ース 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス リ モー ト ア ク セス リ ス ト の定義 The Nortel Switched Firewall は、 Telnet、 SSH、 ま たは BBI を使用 し て リ モー ト か ら 管 理す る こ と がで き ます。 セ キ ュ リ テ ィ 上の理由に よ り 、 リ モー ト 管理機能へのア ク セ ス は、 リ モー ト ア ク セ ス リ ス ト に よ り 制限 さ れます。 管理者は、 リ モー ト ア ク セ ス リ ス ト を使用 し て シ ス テ ムへの リ モー ト ア ク セ ス を許 可す る 複数の IP ア ド レ ス ま たはア ド レ ス の範囲を指定す る こ と がで き ます。 すべて の リ モー ト 管理機能に よ っ て共有 さ れ る リ モー ト ア ク セ ス リ ス ト は 1 つ し か存在 し ません。 リ モー ト ア ク セ ス リ ス ト に指定 さ れていない IP ア ド レ ス を持つ ク ラ イ ア ン ト が リ モー ト 管理ア ク セ ス を要求 し た場合、 その要求は拒否 さ れ ます。 デフ ォ ル ト では、 管 理ネ ッ ト ワ ー ク か ら のア ク セ ス が許可 さ れ る リ モー ト ア ク セ ス リ ス ト は 1 つです。 た と え ば、 MIP ア ド レ ス が 10.10.1.10 の 場 合、 リ モ ー ト ア ク セ ス リ ス ト に は 10.10.1.0/24 と い う エ ン ト リ が含ま れ、 10.10.1.0 のネ ッ ト ワ ー ク か ら のア ク セ ス が許 可 さ れ ます。 ユーザーが BBI を使用 し て NSF を設定で き る よ う にオプシ ョ ン を選択 し た場合は、 こ のエ ン ト リ 以外に も う 1 つ別のエ ン ト リ が含まれ ます。 ク ラ イ ア ン ト の IP ア ド レ ス が リ モー ト ア ク セ ス リ ス ト に追加 さ れてい る 場合は、 ク ラ イ ア ン ト に対 し て有効に な っ てい る すべて の リ モー ト 管理機能に ア ク セ ス す る こ と が許可 さ れます。 た と えば、 Telnet 機能のみが有効にな っ てい る 場合、 その ク ラ イ ア ン ト は Telnet を使用 し て CLI にア ク セ ス で き ます。 Telnet に加え て BBI も 有効に な っ てい る 場合は、 リ モー ト ア ク セ ス リ ス ト のエ ン ト リ を変更 し な く て も 、 その ク ラ イ ア ン ト は Web ブ ラ ウ ザを使用 し て シ ス テ ム を管理で き ます。 注 - リ モー ト 管理機能が有効にな っ ていて も 、 ア ク セ ス リ ス ト が空白の ま ま だ と ア ク セ ス は許可 さ れ ません。 任意の リ モー ト 管理機能をは じ めて有効にす る 際には、 信 頼 さ れ る 管理 ク ラ イ ア ン ト をすべて リ モー ト ア ク セ ス リ ス ト に追加 し て く だ さ い。 ア ク セ ス リ ス ト を定期的に見直 し 、 常に最新に維持す る こ と も 重要です。 リ モー ト ア ク セス リ ス ト の表示 リ モー ト ア ク セ ス リ ス ト を表示す る には、 以下の CLI コ マ ン ド を実行 し ます。 >> # /cfg/sys/accesslist/list 217014-B-JA, 2005 年 12 月 第 13 章 : コ マ ン ド ラ イ ン イ ン タ フ ェ ース 219 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ア ク セス リ ス ト への項目の追加 リ モー ト 管理ア ク セ ス を許可す る IP ア ド レ ス を個別に、 ま たは一連のア ド レ ス 範囲 で指定す る には、 以下の CLI コ マ ン ド を使用 し ます。 1. [Access List] メ ニ ュ ーを選択 し ます。 >> # /cfg/sys/accesslist 2. 信頼 さ れる リ モー ト ク ラ イ ア ン ト の IP ア ド レ ス を リ ス ト に追加 し ます。 >> Access List# add < 許可するベース IP ア ド レ ス > < ネ ッ ト ワー ク マス ク の範囲 > add コ マ ン ド は、 必要な リ モー ト マネージ ャ の数だけ繰 り 返す こ と がで き ま す。 た と えば、 リ モー ト 管理機能に対 し て IP ア ド レ ス の 201.10.14.7 と 214.139.0.0/24 のア ク セ ス を許可す る には、 以下の コ マ ン ド を使用で き ます。 (ア ク セス リ ス ト メ ニ ュ ー を選択) >> Access List# add 201.10.14.7 255.255.255.255 (1 つのア ド レ ス を追加) >> Access List# add 214.139.0.0 255.255.255.0 (一連のア ド レ スの範囲を 追加) >> # /cfg/sys/accesslist 注 - リ モー ト 管理機能 (Telnet、 SSH、 お よ び BBI) は、 個別に有効 ま たは無効にで き ますが、 すべて同 じ ア ク セ ス リ ス ト を共有 し ます。 リ モー ト ア ク セ ス リ ス ト 上の ア ド レ ス を使用す る と 、 有効にな っ てい る すべての管理機能へのア ク セ ス が許可 さ れ ます。 SSH を有効にす る ア ド レ ス、 Telnet を有効にす る ア ド レ ス の よ う に切 り 分け る こ と はで き ません。 3. 変更内容を適用 し ます。 >> Access List# apply 220 第 13 章 : コ マ ン ド ラ イ ン イ ン タ フ ェ ース 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Telnet の使用 Telnet 接続は、 ネ ッ ト ワ ー ク に接続 し て い る 任意の ワ ー ク ス テーシ ョ ン か ら Nortel Switched Firewall を管理す る 場合に便利です。 Telnet ア ク セ ス には、 ロ ーカル シ リ ア ル ポー ト か ら 使用で き る も の と 同 じ 管理オプシ ョ ンが用意 さ れてい ます。 デフ ォ ル ト では、 Telnet ア ク セ ス は無効にな っ てお り 、 リ モー ト ア ク セ ス はすべて制 限 さ れてい ます。 実際のセ キ ュ リ テ ィ ポ リ シーの重要度に応 じ て Telnet ア ク セ ス を 有効に し 、 1 つま たは複数の信頼 さ れ る ク ラ イ ア ン ト ス テーシ ョ ン に対 し て、 リ モー ト か ら の ア ク セ ス を 許可す る こ と がで き ま す。 root ま た は boot と し て ロ グ イ ン し Telnet を使用す る こ と は許可 さ れません。 注 - Telnet は、 セ キ ュ ア な プ ロ ト コ ル で は あ り ま せ ん。 Telnet と Nortel Switched Firewall 間のすべてのデー タ (パ ス ワ ー ド も 含む) は、 暗号化 も 認証 も さ れ ません。 セ キ ュ リ テ ィ が確保 さ れた リ モー ト ア ク セ ス が必須の場合は、 Secure Shell (SSH) の使 用を検討 し ます (「セキ ュ ア シ ェ ルの使用」 (223 ページ) を参照)。 Telnet に よ る ア ク セスの有効化 Telnet ア ク セ ス を可能にす る には、 シ リ アル ポー ト を使用 し て事前に一部の設定を 行っ てお く 必要があ り ます。 1. ロー カル シ リ アル ポー ト を使用 し て、 管理者 と し て ロ グ イ ン し ます。 2. Firewall Director が正 し い IP ア ド レ スで設定 さ れている こ と を確認 し ます。 各 Firewall Director には、 固有の IP ア ド レ ス に加え て、 Nortel Switched Firewall ク ラ ス タ 全体を示す 1 つの MIP ア ド レ ス を割 り 当て る 必要があ り ます。 こ れ ら の IP ア ド レ ス は、 ク ラ ス タ を最初にセ ッ ト ア ッ プす る と き に設定 し ます (第 2 章、 「初期セ ッ ト ア ッ プ」 (31 ページ) を参照)。 3. Telnet ア ク セス を有効に し ます。 セ キ ュ リ テ ィ 上の理由に よ り 、 Telnet ア ク セ ス は初期設定では無効にな っ てい ます。 ク ラ ス タ に対 し て Telnet を明示的に有効にす る には、 以下の コ マ ン ド を実行 し ます。 >> # /cfg/sys/adm/telnet/ena >> Administration Applications# apply 注 - telnet コ マ ン ド は、Nortel Switched Firewall ク ラ ス タ 全体に適用 さ れます。 特定 の Firewall Director に対 し て Telnet ア ク セ ス を有効に し た り 無効にす る こ と はで き ま せん。 217014-B-JA, 2005 年 12 月 第 13 章 : コ マ ン ド ラ イ ン イ ン タ フ ェ ース 221 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 4. リ モー ト ア ク セス リ ス ト を使用 し て、 信頼 さ れる ク ラ イ ア ン ト に対 し て リ モー ト ア ク セス を許可 し ます。 SSH ま たは BBI に対 し て リ モー ト ア ク セ ス リ ス ト をすでに設定 し た場合には、 再度 設定を行 う 必要はあ り ません。 設定 し ていない場合には、 「 リ モー ト ア ク セス リ ス ト の定義」 (219 ページ) を参照 し て、 信頼 さ れ る ク ラ イ ア ン ト のみにア ク セ ス を許可 し ます。 5. 管理ク ラ イ ア ン ト 上の Check Point SmartDashboard を使用 し て、 Telnet ト ラ フ ィ ッ ク を許可する セキ ュ リ テ ィ ポ リ シーを追加 し ます。 こ の フ ァ イ ア ウ ォール ポ リ シーには次の情報を定義す る 必要があ り ます。 Source : 管理 ク ラ イ ア ン ト の IP ア ド レ ス、 ま たは管理ネ ッ ト ワー ク の IP ア ド レ ス範囲 Destination : ク ラ ス タ の MIP ア ド レ ス Service : Telnet Action : Allow Telnet セ ッ シ ョ ンの開始 リ モー ト Telnet ア ク セ ス には、 Telnet ク ラ イ ア ン ト ソ フ ト ウ ェ アの イ ン ス ト ール さ れてい る ワ ー ク ス テーシ ョ ン が必要です。 Telnet セ ッ シ ョ ン を確立す る には、 Telnet ク ラ イ ア ン ト ソ フ ト ウ ェ ア を実行 し て、 ワ ー ク ス テーシ ョ ン で Telnet コ マ ン ド を発 行 し ます。 telnet <MIP ア ド レ ス > ク ラ ス タ の MIP ア ド レ ス に接続 し ます。 MIP ア ド レ ス を使用す る と 、 ク ラ ス タ 全体に 対す る 設定変更を一括で行 う こ と がで き ます。 ま た、 各 CLI ホ ス ト メ ニ ュ ーを使用 し て、 ク ラ ス タ 内の特定の Firewall Director を一時停止ま たは リ ブー ト し た り 、 その 設定を出荷時のデフ ォ ル ト 設定値に リ セ ッ ト し た り す る こ と も 可能です。 その際、 特 定の Firewall Director の IP ア ド レ ス に接続す る 必要はあ り ません。 Telnet セ ッ シ ョ ンが開始す る と プ ロ ン プ ト が表示 さ れ、 有効なパ ス ワー ド を入力 し て ロ グ イ ンす る よ う 求め ら れ ま す。 さ ま ざ ま な ア ク セ ス レ ベルお よ び初期パ ス ワ ー ド の詳細については、 「ユーザーおよびパスワー ド 」 (213 ページ) を参照 し て く だ さ い。 ロ グ イ ン が有効 と 認め ら れ る と 、 CLI の [Main Menu] が表示 さ れ ま す ( 「 メ イ ン メ ニ ュ ー」 (227 ページ) を参照)。 222 第 13 章 : コ マ ン ド ラ イ ン イ ン タ フ ェ ース 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス セキ ュ ア シ ェ ルの使用 SSH 接続は、 そのネ ッ ト ワー ク に接続 さ れてい る 限 り 、 ど の ワー ク ス テーシ ョ ンか ら で も Nortel Switched Firewall に対す る 利便性の高いセキ ュ ア管理を可能に し ます。SSH ア ク セ ス に も 、 ロ ーカル シ リ アル ポー ト か ら 使用で き る も の と 同 じ 管理オプシ ョ ン が用意 さ れてい ます。 root ま たは boot と し て ロ グ イ ン し 、 SSH を使用す る こ と は許 可 さ れ ません。 SSH ア ク セ ス には、 以下のセキ ュ リ テ ィ 上の利点があ り ます。 サーバー ホ ス ト 認証 管理 メ ッ セージの暗号化 ユーザー認証用パ ス ワ ー ド の暗号化 リ モー ト ユーザーの ロ グ イ ン デフ ォ ル ト では、 SSH ア ク セ ス は無効にな っ てお り 、 リ モー ト ア ク セ ス はすべて制 限 さ れてい ます。 実際のセ キ ュ リ テ ィ ポ リ シーの重要度に応 じ て SSH ア ク セ ス を有 効に し 、 1 つま たは複数の信頼 さ れ る ク ラ イ ア ン ト ス テーシ ョ ンに対 し て、 リ モー ト か ら のア ク セ ス を許可す る こ と がで き ます。 Nortel Switched Firewall 上での SSH ア ク セスの有効化 SSH ア ク セ ス を可能にす る には、 シ リ アル ポー ト ま たは有効に さ れてい る リ モー ト 管理機能を使用 し て、 事前に一部の設定を行っ てお く 必要があ り ます。 1. 管理者 と し て ロ グ イ ン し ます。 2. Firewall Director が正 し い IP ア ド レ スで設定 さ れている こ と を確認 し ます。 各 Firewall Director には、 固有の IP ア ド レ ス に加え て、 Nortel Switched Firewall ク ラ ス タ 全体を示す 1 つの MIP を割 り 当て る 必要があ り ま す。 こ れ ら の IP ア ド レ ス は、 ク ラ ス タ の初期セ ッ ト ア ッ プ時に設定 し ます (第 2 章、 「初期セ ッ ト ア ッ プ」 (31 ペー ジ) を参照)。 3. SSH ア ク セス を有効に し ます。 セキ ュ リ テ ィ 上の理由に よ り 、 SSH ア ク セ ス は初期設定では無効にな っ てい ます。 ク ラ ス タ に対 し て SSH を明示的に有効にす る には、 以下の コ マ ン ド を実行 し ます。 >> # /cfg/sys/adm/ssh/ena >> Administration Applications# apply 注 - ssh コ マ ン ド は、 Nortel Switched Firewall ク ラ ス タ 全体に適用 さ れ ます。 特定の Firewall Director に対 し て SSH ア ク セ ス を 有効に し た り 無効にす る こ と はで き ま せ ん。 217014-B-JA, 2005 年 12 月 第 13 章 : コ マ ン ド ラ イ ン イ ン タ フ ェ ース 223 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 4. 必要に応 じ て、 新 し い SSH キーを生成 し ます。 Nortel Switched Firewall を最初にセ ッ ト ア ッ プす る 際、 新 し い SSH ホ ス ト キーを生成 す る ためのオプシ ョ ン を選択 し てお く こ と をお勧め し ます。 新 し い SSH ホ ス ト キー を生成す る 場合は、 SSH ク ラ イ ア ン ト か ら Nortel Switched Firewall への接続時に高度 なセ キ ュ リ テ ィ レベルを確保す る 必要があ り ます。 使用 し て い る SSH ホ ス ト キーが侵害 さ れて い る 心配が あ る 場合、 ま たはセ キ ュ リ テ ィ ポ リ シーに よ っ て指定 さ れ る 場合にはいつで も 以下の CLI コ マ ン ド を 使用 し て、 SSH ホ ス ト キーを新たに作成す る こ と がで き ます。 >> # /cfg/sys/adm/ssh/gensshkey >> Administration Applications# apply 新 し いホ ス ト キーの生成後に Nortel Switched Firewall に再接続す る 場合、 SSH ク ラ イ ア ン ト では、 ホ ス ト 識別 (すなわち、 ホ ス ト キー) が変更 さ れた旨の警告が表示 さ れます。 5. リ モー ト ア ク セス リ ス ト を使用 し て、 信頼 さ れる ク ラ イ ア ン ト に対 し て リ モー ト ア ク セス を許可 し ます。 Telnet ま たは BBI に対 し て リ モー ト ア ク セ ス リ ス ト をすでに設定 し た場合には、 再 度設定を行 う 必要はあ り ません。 設定 し ていない場合には、 「 リ モー ト ア ク セス リ ス ト の定義」 (219 ページ) を参照 し て、 信頼 さ れ る ク ラ イ ア ン ト のみにア ク セ ス を許 可 し ます。 6. 管理ク ラ イ ア ン ト 上の Check Point SmartDashboard を使用 し て、SSH ト ラ フ ィ ッ ク を 許可する セキ ュ リ テ ィ ポ リ シーを追加 し ます。 フ ァ イ ア ウ ォ ール ポ リ シーは、 以下の よ う に設定 し ます。 Source : 管理 ク ラ イ ア ン ト の IP ア ド レ ス、 ま たは管理ネ ッ ト ワー ク の IP ア ド レ ス範囲 Destination : ク ラ ス タ の MIP ア ド レ ス Service : SSH Action : Allow 224 第 13 章 : コ マ ン ド ラ イ ン イ ン タ フ ェ ース 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス SSH セ ッ シ ョ ンの開始 リ モー ト SSH ア ク セ ス には、 SSH ク ラ イ ア ン ト ソ フ ト ウ ェ アの イ ン ス ト ール さ れて い る ワ ー ク ス テーシ ョ ン が必要です。 Nortel Switched Firewall と の SSH 接続を確立す る には、 以下の SSH コ マ ン ド を実行 し て、 ワー ク ス テーシ ョ ン の SSH プ ロ グ ラ ム を 実行 し ます。 ssh -l < ユーザー名 > <MIP ア ド レ ス > オプシ ョ ン -l (小文字の L) の直後に、 ロ グ イ ン し たユーザー名 (admin、 oper な ど) と ク ラ ス タ の MIP ア ド レ ス を指定 し ます。 注 - SSH を使用す る 場合には、 boot ま たは root と し ては ロ グ イ ン で き ません。 MIP ア ド レ ス を使用す る と 、 ク ラ ス タ 全体に対す る 設定変更を一括で行 う こ と がで き ま す。 ま た、 ク ラ ス タ 内の Firewall Director ご と に設定 を 変更す る こ と も 可能です。 その際、 特定の Firewall Director の IP ア ド レ ス に接続す る 必要はあ り ません。 SSH セ ッ シ ョ ン が開始す る と プ ロ ン プ ト が表示 さ れ、 有効なパ ス ワ ー ド を入力 し て ロ グ イ ンす る よ う 求め ら れ ま す。 さ ま ざ ま な ア ク セ ス レ ベルお よ び初期パ ス ワ ー ド の 詳細については、 「ユーザーおよびパスワー ド 」 (213 ページ) を参照 し て く だ さ い。 ロ グ イ ン が有効 と 認め ら れ る と 、 CLI の [Main Menu] が表示 さ れ ま す ( 「 メ イ ン メ ニ ュ ー」 (227 ページ) を参照)。 SSH に よ る リ モー ト ロ グ イ ン NSF 4.4.1 は、 リ モー ト ユーザーが NSF に ロ グ イ ン し て ト ラ ブルシ ュ ーテ ィ ン グや メ ン テナン ス を実行で き る 機能を備え てい ます。ただ し 、 こ の機能を使用 し た場合には、 リ モー ト のユーザーが SSH を使用 し て ロ グ イ ン し 、 Linux シ ェ ルにア ク セ ス で き る よ う にな る ため、 注意が必要です。 root パ ス ワ ー ド が設定 さ れた リ モー ト ユーザーは、 Linux ユーテ ィ リ テ ィ su を使用 し て 「su root」 を実行で き ます。 セキ ュ リ テ ィ を最大限に確保す る ために、 以下の保護機能が組み込まれてい ます。 ロ グ イ ンす る ユーザーは、 公開キー / 秘密キー方式を使用 し て認証を受け る 必要 があ り ます。 DSA ま たは RSA キーのペア を使用で き ますが、 必ず OpenSSH 形式 のバージ ョ ン 2 形式でなければな り ません。パ ス ワ ー ド ベース の認証はで き ませ ん。 リ モー ト ユーザーの IP ア ド レ ス が リ モー ト ア ク セ ス リ ス ト に含まれていない 場合、 ア ク セ ス は許可 さ れ ません。 Check Point のポ リ シーを、 リ モー ト ユーザーが SSH に よ っ て NSF と 接続で き る よ う に定義す る 必要があ り ます。 SSH 接続を使用す る リ モー ト ユーザーを管理す る には、 以下の CLI コ マ ン ド を実行 し ます。 >> # /cfg/sys/user/adv/user 217014-B-JA, 2005 年 12 月 第 13 章 : コ マ ン ド ラ イ ン イ ン タ フ ェ ース 225 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス コ マ ン ド ラ イ ン イ ン タ フ ェ ースの使用 基本的な操作 CLI を使用す る と 、 以下の よ う な操作に よ っ て Nortel Switched Firewall を管理す る こ と がで き ます。 管理者は、 一連の メ ニ ュ ーお よ びサブ メ ニ ュ ーか ら 項目を選択 し 、 パ ラ メ ー タ を 変更 し て適切な値を設定で き ます。 変更のほ と ん どは保留扱い と さ れ、 ただちには有効にな ら ず、 永続的に保存 も さ れ ません。 入力時に有効にな る 変更は、 ユーザーやパ ス ワー ド に対す る 変更な ど 少数に限 ら れ ます。 ただちに効力を も つ コ マ ン ド については、 コ マ ン ド の説明に 記載 さ れてい ます (第 14 章、 「[Main Menu]」) を参照。 グ ロ ーバルな cur コ マ ン ド を使用 し て、現在の メ ニ ュ ーの コ マ ン ド に対す る 最新 の設定内容を表示す る こ と がで き ます。 変更内容を保存 し 、 有効にす る には、 管理者はグ ロ ーバルな apply コ マ ン ド を使 用す る 必要があ り ます。 こ れに よ り 管理者は、一連の変更を全体的に行っ てか ら 、 すべて を一度に有効にす る こ と がで き ます。 ま た、 [Main Menu] の validate コ マ ン ド を使用す る と 、 設定を適用す る 前に問 題がないか ど う か を検証で き ま す。 変更 し た設定に問題が あ る ため無効な場合、 apply コ マ ン ド は実行で き ません。 保留状態の変更内容を適用前に表示す る には、グ ロ ーバル コ マ ン ド diff を実行 し ます。 保留中の変更内容をすべて ク リ アす る 場合、 管理者は、 グ ロ ーバルな revert コ マ ン ド を使用 し た後に設定セ ッ シ ョ ン を継続す る か、 グ ロ ーバルな exit コ マ ン ド を使用 し て、 シ ス テ ムか ら ロ グ ア ウ ト す る こ と がで き ます。 リ モー ト セ ッ シ ョ ン を閉 じ れば保留中の変更は廃棄 さ れ ますが、 手動で終了す る 方が一般的です。 注 - CLI ま たは BBI の管理者セ ッ シ ョ ン を同時に複数開い てい る 場合には、 diff、 revert、ま たは exit の各 コ マ ン ド の影響を受け る のは、現在のセ ッ シ ョ ン時に行っ た保留中の変更に限 ら れ ま す。 ただ し 、 複数の CLI ま たは BBI の管理者が、 同 じ パ ラ メ ー タ のセ ッ ト に同時に変更を適用 し た場合は、 最後に適用 さ れた変更が優先 さ れ ます。 226 第 13 章 : コ マ ン ド ラ イ ン イ ン タ フ ェ ース 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス メ イ ン メ ニュー シ ス テ ム の初期セ ッ ト ア ッ プ完了後に、 ユーザーが接続を確立 し て ロ グ イ ンす る と 、 CLI の [Main Menu] が表示 さ れ ます。図 13-1 は、管理者権限で使用可能な [Main Menu] のサブ メ ニ ュ ー と コ マ ン ド です。 [Main Menu] info cfg boot maint diff validate security apply revert paste help exit - Information Menu Configuration Menu Boot Menu Maintenance Menu Show pending config changes Validate configuration Display security status Apply pending config changes Revert pending config changes Restore saved config with key Show command help Exit [global command, always [global command] [global command] [global command] [global command] [global command] available >> Main# 図 13-1 管理者用 メ イ ン メ ニ ュ ー シ ス テ ム の初期セ ッ ト ア ッ プの詳細につい ては、 第 2 章、 「初期セ ッ ト ア ッ プ」 (31 ページ) を参照 し て く だ さ い。 CLI へのア ク セ ス 方法の詳細については、 「 コ マ ン ド ラ イ ン イ ン タ フ ェ ースへのア ク セス」 (218 ページ) を参照 し て く だ さ い。 ア イ ド ル タ イ ムアウ ト デフ ォ ル ト では、 10 分間操作や動作がない場合には CLI セ ッ シ ョ ン の接続が切 ら れ ます。 こ の機能は、 以下の コ マ ン ド に示 さ れ る ア イ ド ル タ イ ム ア ウ ト パ ラ メ ー タ に よ っ て制御 さ れ ます。 >> # /cfg/sys/adm/idle < タ イムアウ ト 時間 > タ イ ムアウ ト 時間パ ラ メ ー タ には、 分単位の タ イ ム ア ウ ト 時間 と し て 5 ~ 60 の整数 を指定 し ます。 複数の管理セ ッ シ ョ ン CLI ま たは BBI 管理者セ ッ シ ョ ンは、 一度に複数開 く こ と がで き ます。 同時に実行 さ れてい る 管理者セ ッ シ ョ ンはそれぞれ独立 し てい ますが、 ク ラ ス タ で共有 さ れてい る Single Software Image (SSI) 内に設定の変更内容が保存 さ れた場合には、 その変更内容 がすべてのユーザー セ ッ シ ョ ンに反映 さ れ ます。 ただ し 、 複数の CLI ま たは BBI の 管理者が、 同 じ パ ラ メ ー タ のセ ッ ト に同時に変更を適用 し た場合は、 最後に適用 さ れ た変更が優先 さ れ ます。 217014-B-JA, 2005 年 12 月 第 13 章 : コ マ ン ド ラ イ ン イ ン タ フ ェ ース 227 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス グローバル コ マ ン ド 一部の基本的な コ マ ン ド は、 メ ニ ュ ー階層全体にわた っ て認識 さ れてい ます。 こ れ ら の コ マ ン ド は、 オ ン ラ イ ン ヘルプの取得、 メ ニ ュ ー間の操作、 設定変更の適用 と 保 存を行 う 場合に便利です。 表 13-1 を参照 し て く だ さ い。 表 13-1 グ ローバル CLI コ マ ン ド コマン ド アクシ ョ ン help [< コ マ ン ド >] 現在の メ ニ ュ ーの特定の コ マ ン ド に関す る 詳細情報が得 ら れ ます。 コ マ ン ド パ ラ メ ー タ を指定せずに実行 し た場合は、 グ ロ ーバル コ マ ン ド の概要が表示 さ れます。 . 現在の メ ニ ュ ーに戻 り ます。 .. ま たは up メ ニ ュ ー階層の 1 つ上の レベルに移動 し ます。 / コ マ ン ド の先頭で指定す る と 、 [Main Menu] に進みます。 それ以外 の場合は、同 じ 行に指定 さ れてい る 複数の コ マ ン ド を区切 る ために 使用 さ れます。 apply 保留中の設定変更を適用 し 、 保存 し ます。 diff 保留中の設定変更を表示 し ます。 exit CLI か ら 抜けて、 ロ グ ア ウ ト し ます。 cur 現在の メ ニ ュ ーの コ マ ン ド に対す る 設定内容 を 表示 し ま す。 cur コ マ ン ド の出力は表示に限定 さ れます。 フ ァ イ ルに取 り 込んで後か ら 復元す る こ と はで き ません。後か ら 復元す る ために設定を保存す る 場合は、 dump コ マ ン ド ま たは ptcfg コ マ ン ド を使用 し ます。 lines <n> 一度に画面上に表示 さ れ る 行数 (n) を設定 し ます。 デフ ォ ル ト は 24 行です。 値を指定 し ないで使用す る と 、 現在の設定が表示 さ れ ます。 nslookup ネ ッ ト ワ ー ク デバ イ ス の IP ア ド レ ス ま たは ホ ス ト 名 を検索 し ま す。 コ マ ン ド の形式は以下の と お り です。 nslookup < ホス ト 名 |IP ア ド レ ス > こ の コ マ ン ド を実行す る には、DNS サーバーを使用す る よ う に ク ラ ス タ を設定 し てお く 必要が あ り ま す。 初期セ ッ ト ア ッ プ手順時に DNS サーバーを指定 し なかっ た場合で も 、/cfg/sys/dns/add コ マ ン ド を使用 し て、 いつで も DNS サーバーを追加す る こ と がで き ます。 paste 暗号化 さ れた秘密キーを格納す る 、 保存 さ れた設定ダ ン プ フ ァ イ ルを復元す る ためのパ ス ワー ド を設定 し ます。 ping こ の コ マ ン ド を使用 し て、ネ ッ ト ワー ク を経由す る ス テーシ ョ ン間 の接続を確認 し ます。 こ の コ マ ン ド は、 以下の形式で実行 し ます。 ping < ホス ト > ホス ト には、デバ イ ス のホ ス ト 名ま たは IP ア ド レ ス を指定 し ます。 ホ ス ト 名を指定 し た場合は、DNS パ ラ メ ー タ を設定す る 必要があ り ます (「[DNS Servers Menu]」 (288 ページ) を参照)。 pwd 現在の メ ニ ュ ーにア ク セ ス す る ために使用す る コ マ ン ド パ ス を表 示 し ます。 228 第 13 章 : コ マ ン ド ラ イ ン イ ン タ フ ェ ース 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 13-1 グ ローバル CLI コ マ ン ド コマン ド アクシ ョ ン revert すべての保留中の設定変更を取 り 消 し ます。 traceroute こ の コ マ ン ド を使用 し て、ネ ッ ト ワー ク を経由す る ス テーシ ョ ン間 の接続に使用 さ れ る ルー ト を特定 し ます。 こ の コ マ ン ド は、 以下の 形式で実行 し ます。 traceroute < ホス ト > ホス ト には、 タ ーゲ ッ ト ス テーシ ョ ンのホ ス ト 名ま たは IP ア ド レ ス を指定 し ます。 ping の場合の よ う に、 ホ ス ト 名を指定す る 場合 には DNS パ ラ メ ー タ を設定 し てお く 必要があ り ます。 verbose <n> 画面上に表示 さ れ る 情報の レベルを設定 し ます。 0 = Quiet:エ ラ ー以外は何 も (プ ロ ンプ ト も )表示 さ れません。 1 = Normal : プ ロ ン プ ト お よ び要求 し た出力は表示 さ れ ま す が、 メ ニ ュ ーは表示 さ れません。 2 = Verbose : すべてが表示 さ れます。 値を指定 し ないで使用す る と 、 現在の設定が表示 さ れます。 デフ ォ ル ト の情報表示レベルは 2 です。 217014-B-JA, 2005 年 12 月 第 13 章 : コ マ ン ド ラ イ ン イ ン タ フ ェ ース 229 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス コ マ ン ド ラ イ ン履歴の取得および編集 CLI では、 キーボー ド でい く つかのキーを押すだけで、 以前に入力 し た コ マ ン ド を画 面に読み込んだ り 、 それを変更す る こ と がで き ます。 表 13-2 に、 すべての コ マ ン ド ラ イ ン で使用可能なオプシ ョ ン を示 し ます。 表 13-2 コ マ ン ド ラ イ ン履歴および編集オプ シ ョ ン オプ シ ョ ン 説明 history 最後に入力 さ れた 10 個の コ マ ン ド を番号付 き リ ス ト で表示 し ます。 !! 最後に入力 し た コ マ ン ド を呼び出 し ます。 !<n> 履歴 リ ス ト に表示 さ れてい る n 番めの コ マ ン ド を呼び出 し ます。 <[Ctrl] + [p] キー > (上矢印キー も 同 じ ) 履歴 リ ス ト の前の コ マ ン ド を呼び出 し ます。 こ の オプシ ョ ン を複数回使用 し て、 最後の 10 個の コ マ ン ド を最近の コ マ ン ド か ら さ かのぼ る よ う に実行す る こ と がで き ます。呼び出 し た コ マ ン ド はその ま ま入力す る こ と も 、以下のオプシ ョ ン を使用 し て編集す る こ と も で き ます。 <[Ctrl] + [n] キー > (下矢印キー も 同 じ ) 履歴 リ ス ト の次の コ マ ン ド を呼び出 し ます。 こ の オプシ ョ ン を複数回使用 し て、 最後の 10 個の コ マ ン ド を古い方か ら 実 行す る こ と がで き ま す。 呼び出 し た コ マ ン ド はその ま ま 入力す る こ と も 、 以下のオプシ ョ ン を使用 し て編集す る こ と も で き ます。 <[Ctrl] + [a] キー > コ マ ン ド ラ イ ンの先頭にカー ソ ルを移動 し ます。 <[Ctrl] + [e] キー > コ マ ン ド ラ イ ンの最後にカー ソ ルを移動 し ます。 <[Ctrl] + [b] キー > (左矢印キー も 同 じ ) カー ソ ルを左に 1 つ戻 し ます。 <[Ctrl] + [f] キー > (右矢印キー も 同 じ ) カー ソ ルを右に 1 つ進めます。 <[Backspace] キー > ([Delete] キー も 同 じ ) カー ソ ル位置の左にあ る 文字を 1 文字消去 し ま す。 <[Ctrl] + [d] キー > カー ソ ル位置にあ る 文字を 1 文字消去 し ます。 <[Ctrl] + [k] キー > カー ソ ル位置か ら コ マ ン ド ラ イ ン の最後 ま での文字をすべて削除 し ま す。 <[Ctrl] + [l] キー > 画面を更新 し ます。 <[Ctrl] + [u] キー > 1 行全体を ク リ ア し ます。 その他のキー カー ソ ル位置に新 し い文字を挿入 し ます。 230 第 13 章 : コ マ ン ド ラ イ ン イ ン タ フ ェ ース 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス コ マ ン ド ラ イ ンのシ ョ ー ト カ ッ ト コ マン ド ス タ ッ ク シ ョ ー ト カ ッ ト と し て、 コ マ ン ド を ス ラ ッ シ ュ (/) で区切っ て、 1 行に複数入力す る こ と がで き ま す。 目的の メ ニ ュ ー オプシ ョ ン にア ク セ ス す る ために必要なだけの コ マ ン ド を連結す る こ と がで き ます。 た と えば、 [Main#] プ ロ ン プ ト か ら ク ラ ス タ 設 定 メ ニ ュ ーにア ク セ スす る コ マ ン ド ス タ ッ ク は、 以下の よ う にな り ます。 >> Main# cfg/sys/cluster コ マ ン ド の省略 多 く の コ マ ン ド は、 同一の メ ニ ュ ー内ま たはサブ メ ニ ュ ー内の他の コ マ ン ド と 区別で き る 頭文字を入力すれば、 後続の文字は省略す る こ と がで き ます。 た と えば、 上記の コ マ ン ド は以下の よ う に入力す る こ と も で き ます。 >> Main# c/s/cl タ ブによ る コ マ ン ド 入力 メ ニ ュ ー プ ロ ン プ ト で コ マ ン ド の先頭文字を入力 し てか ら [Tab] キーを押す と 、入力 し た文字で始ま る メ ニ ュ ーの コ マ ン ド がすべて表示 さ れ ます。 入力す る 文字を多 く す る と 、 表示す る コ マ ン ド ま たはオプシ ョ ン の リ ス ト を さ ら に絞 り 込んで表示す る こ と がで き ます。 [Tab] キーを押 し た と き に入力 し た文字 と 一致す る コ マ ン ド が 1 つ し か 存在 し ない場合は、 その コ マ ン ド が コ マ ン ド ラ イ ン上に指定 さ れ ま す。 その コ マ ン ド は [Enter] キ ー を 押 し て 実行で き ま す。 コ マ ン ド ラ イ ン に何 も 入力せずに [Tab] キーを押す と 、 現在ア ク テ ィ ブな メ ニ ュ ーが表示 さ れ ます。 217014-B-JA, 2005 年 12 月 第 13 章 : コ マ ン ド ラ イ ン イ ン タ フ ェ ース 231 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 232 第 13 章 : コ マ ン ド ラ イ ン イ ン タ フ ェ ース 217014-B-JA, 2005 年 12 月 第 14 章 [Main Menu] 初期シ ス テ ム セ ッ ト ア ッ プが完了 し 、 ユーザーの接続 と ロ グ イ ン が正常に終了す る と 、 コ マ ン ド ラ イ ン イ ン タ フ ェース の [Main Menu] が表示 さ れます。 表 14-1 を参照 し て く だ さ い。 [Main Menu] info cfg boot maint diff validate security apply revert paste help exit - Information Menu Configuration Menu Boot Menu Maintenance Menu Show pending config changes Validate configuration Display security status Apply pending config changes Revert pending config changes Restore saved config with key Show command help Exit [global command, always [global command] [global command] [global command] [global command] [global command] [global command] [global command] available 表 14-1 [Main Menu] コ マ ン ド 構文 と 使用法 info [Information Menu] を使用 し て、 Nortel Switched Firewall の現在の ス テー タ ス に関 す る 情報を表示 し ます。 メ ニ ュ ー項目については、 236 ページ を参照 し て く だ さ い。 cfg [Configuration Menu] を使用 し て Nortel Switched Firewall を設定 し ます。一部の コ マ ン ド は、 管理者 ロ グ イ ン を し た場合に限 り 使用可能です。 メ ニ ュ ー項目については、 281 ページ を参照 し て く だ さ い。 boot [Boot Menu] を使用 し て Nortel Switched Firewall ソ フ ト ウ ェ ア を ア ッ プグ レー ド し 、 必要に応 じ て再起動 し ます。 メ ニ ュ ー項目については、 250 ページ を参照 し て く だ さ い。 maint [Maintenance Menu] はシ ス テ ム診断に使用 し ます。 こ の メ ニ ュ ーは、 ノ ーテル技 術サポー ト か ら 要求 さ れた場合にのみ使用 し て く だ さ い。 メ ニ ュ ー項目については、 256 ページ を参照 し て く だ さ い。 233 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 14-1 [Main Menu] コ マ ン ド 構文 と 使用法 diff こ のグ ロ ーバル コ マ ン ド は、 任意の メ ニ ュ ーま たはサブ メ ニ ュ ーか ら 使用で き ま す。 適用 さ れてい る 設定 (シ ス テ ム が現在使用 し てい る 設定) と 保留中の設 定 (未適用の有効で も 無効で も ない設定) の間の違い を表示 し ます。 現在の管理者セ ッ シ ョ ン中に行われた保留中の変更のみが含まれます。他の CLI や BBI の管理者セ ッ シ ョ ン で行われた保留中の変更は含まれません。 validate こ の コ マ ン ド は、 現在の管理者セ ッ シ ョ ン中に行われた保留中の設定変更を検 証す る 場合に使用 し ます。 こ の コ マ ン ド は、 同時に実行 さ れてい る 他の CLI ま た は BBI の管理者セ ッ シ ョ ン に よ っ て行われ た保留中の変更は対象に し ま せ ん。 validate コ マ ン ド を入力す る と 、 保留中の変更が検査 さ れ、 変更に整合性が あ る こ と が確認 さ れ ます。 問題が検出 さ れ る と 、 警告 メ ッ セージやエ ラ ー メ ッ セージが表示 さ れ ます。 Warnings は特別に注意が必要な状態ではあ る も のの、 apply コ マ ン ド を入力 し た と き にエ ラ ーを起 こ さ ないか、 適用の実行を妨げない状態を表 し ます。 Errors は設定についての問題の う ち、訂正 し なければ変更を適用で き ないほ ど重 大な も の を表 し ます。 エ ラ ーを修正 し ない と 、 apply コ マ ン ド の失敗の原因 と な り ます。 valdate コ マ ン ド に よ り 、警告 メ ッ セージやエ ラ ー メ ッ セージが返 さ れた場合 は、 メ ッ セージに注意を払い、 必要な設定変更をすべて行い ます。 security こ の コ マ ン ド は、 Telnet、 SSH、 ク ラ ス タ 用 BBI な ど、 リ モー ト 管理機能の ス テー タ ス (有効 ま たは無効) を リ ス ト 表示 し ま す。 ま た、 変更の必要なデフ ォ ル ト のパ ス ワー ド を現在 も 使用 し てい る ユーザーがいれば リ ス ト 表示 し ます。 apply こ のグ ロ ーバル コ マ ン ド は、 任意の メ ニ ュ ーま たはサブ メ ニ ュ ーか ら 使用で き ま す。 現在の管理者セ ッ シ ョ ン中に行っ た設定変更を適用 し て保存す る 場合に 使用 し ま す。 変更は保留中 と し て扱われ、 こ の コ マ ン ド が実行 さ れ る ま では有 効にな り ません。 他の CLI や BBI の管理者セ ッ シ ョ ン で行われた保留中の変更 は影響を受け ません。 apply コ マ ン ド が実行 さ れ る と 、 まずセ ッ シ ョ ン で保留 さ れてい る 変更の妥当 性を確認 し ます。 問題が検出 さ れ る と 、 該当す る 警告 メ ッ セージやエ ラ ー メ ッ セージが表示 さ れ ます。 エ ラ ーは重大な問題であ り 、 apply コ マ ン ド が失敗 し て変更が適用 さ れない原因 と な り ま す。 エ ラ ーが検出 さ れなか っ た場合 (警告 は許容 さ れます)、 変更は保存 さ れて有効にな り ます。 警告 メ ッ セージは、 /cfg/misc/warn コ マ ン ド (454 ページ を参照) を使用 し て非表示にで き ます。 ただ し 、 複数の CLI 管理者ま たは BBI 管理者が、 同 じ パ ラ メ ー タ のセ ッ ト に同 時に変更を適用 し た場合は、 最後に適用 し た変更が優先 さ れ ます。 グ ロ ーバルな revert コ マ ン ド は保留 さ れてい る 変更を ク リ ア し ますが、 一度 apply コ マ ン ド が実行 さ れた後は、 その前の内容に設定を復元す る こ と は し ま せん。 234 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 14-1 [Main Menu] コ マ ン ド 構文 と 使用法 revert こ のグ ロ ーバル コ マ ン ド は、 任意の メ ニ ュ ーま たはサブ メ ニ ュ ーか ら 使用で き ま す。 現在の管理セ ッ シ ョ ン中に行っ た保留中の設定変更を、 すべて取 り 消 し ます。適用済みの変更は影響を受け ません。他の実行中の CLI や BBI のセ ッ シ ョ ン で行われた保留中の変更は影響を受け ません。 paste こ のグ ロ ーバル コ マ ン ド は、 任意の メ ニ ュ ーま たはサブ メ ニ ュ ーか ら 使用で き ます。 暗号化 さ れた秘密キーが格納 さ れてい る 保存済み設定ダ ン プ フ ァ イ ルを 復元 し ます。 設定ダ ン プ フ ァ イ ル (/cfg/dump) の作成時に、 設定ダ ン プ フ ァ イ ルに秘密 キーが含 ま れていた場合は、 秘密キーを暗号化す る ためパ ス ワ ー ド の指定を要 求 さ れ ます。 paste コ マ ン ド の実行時には、 その と き と 同 じ パ ス ワ ー ド を指定 す る よ う にプ ロ ン プ ト で求め ら れ ま す。 パ ス ワ ー ド を 指定 し た ら テ キ ス ト エ デ ィ タ で設定ダ ン プ フ ァ イ ルを開 き 、 情報を コ ピー し て CLI ウ ィ ン ド ウ にペー ス ト す る こ と がで き ます。 ペース ト を終了す る と 、設定内容が Nortel Switched Firewall に よ っ てバ ッ チ処理 さ れ ま す。 ペー ス ト さ れた コ マ ン ド は保留状態 と 同 じ 形式で入力 さ れ、 含 ま れ てい る 秘密キーが解読 さ れ ます。 バ ッ チ処理の結果であ る 保留中の設定変更は、 グ ロ ーバルの diff コ マ ン ド を使用 し て表示で き ま す。 保留中の設定変更を適 用す る には、 グ ロ ーバルの apply コ マ ン ド を使用 し ます。 paste のパ ス ワ ー ド は、 ク リ アす る ま で有効です。 パ ス ワ ー ド を ク リ アす る に は、 paste コ マ ン ド を再度入力 し ます。 help [< メ ニ ュ ー コ マ ン ド >] こ のグ ロ ーバル コ マ ン ド は、 任意の メ ニ ュ ーま たはサブ メ ニ ュ ーか ら 使用で き ま す。 現在の メ ニ ュ ーの各 コ マ ン ド に関す る 簡単な説明を表示す る こ と がで き ます。 パ ラ メ ー タ を指定 し ないで使用す る と 、 help コ マ ン ド は、 グ ロ ーバル コ マ ン ド を リ ス ト 表示 し ます。 exit こ のグ ロ ーバル コ マ ン ド は、 任意の メ ニ ュ ーま たはサブ メ ニ ュ ーか ら 使用で き ます。 CLI か ら 抜け、 現在のセ ッ シ ョ ン か ら ロ グ ア ウ ト し ます。 現在のセ ッ シ ョ ン の間に行っ た保留中の変更は、 適用前であれば失われ ます。 こ の コ マ ン ド は、 他の実行中の CLI ま たは BBI のセ ッ シ ョ ン には影響 し ません。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 235 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /info Information Menu [Information Menu] capability clu host det alarms net ups syslog traffic fw log lic acc telnet ssh snmp web time asfnet fwmon ethereal sensor hu security - 236 第 14 章 : [Main Menu] Display capabilities of the NSF Display runtime information of all SFDs Display runtime information of one SFD Display detected Accelerator(s) List pending alarms Network Information Menu Show UPS configuration Display syslog entries Display Sessions, Port traffic Display firewall configuration Display Platform Logging configuration Display installed license(s) Display Accelerator configuration Display Telnet configuration Display SSH configuration Display SNMP configuration Display Web configuration Display Time Settings Display NSF Internal Network configuration Show FW Monitor Show Ethereal Monitor Show sensor information Hitless Upgrade Menu Advanced Security Statistics 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス [Information Menu] は、 Nortel Switched Firewall の現在の ス テー タ ス に関す る 情報の表 示に使用 し ます。 表 14-2 を参照 し て く だ さ い。 表 14-2 Information Menu (/info) コ マ ン ド 構文 と 使用法 capability こ の コ マ ン ド は、 イ ン タ フ ェ ース の最大数、 ポー ト 数、VLANS、デフ ォ ル ト ゲー ト ウ ェ イ 、 ト ラ ン ク 、 フ ィ ル タ 、 接続な ど、 フ ァ イ ア ウ ォ ールの機能を表示 し ます。 た と えば、 フ ァ イ ア ウ ォールの機能は以下の よ う に表示 さ れ ます。 Accelerator ports: 13 total, 1 FE, 4 copper gig, 4 fiber gig, 4 FE|fiber gig VLANs: 252, VLAN IDs 0-4094 (0, 4092, 4094 reserved) Interfaces: 253, 0 when partial vma is enabled Unicast routes: 8192 Gateways: 4 Connections: Check Point 25000, AIM 250000, accelerator 500000 Trunks: 4, up to 8 ports per trunk Filters: 2048 Proxy ARPs: 2000, safe limit is 256 clu こ の コ マ ン ド は、 ク ラ ス タ のすべての Firewall Director の ラ ン タ イ ム情報を表示 し ます。 表示 さ れ る 情報には、 ク ラ ス タ メ ンバーのヘル ス チ ェ ッ ク お よ び同期 ネ ッ ト ワ ー ク に関す る 詳細情報 (同期が有効な場合) が含まれます。 ま た、 CPU 使用率、ハー ド デ ィ ス ク 使用率、重要な アプ リ ケーシ ョ ン (Web サーバー、 フ ァ イ ア ウ ォ ール、 Inet サーバーな ど) の ス テー タ ス、 お よ びフ ァ イ ア ウ ォ ール ア ク セ ラ レーシ ョ ン の ス テー タ ス も 含ま れ ます。 host <Firewall Director の IP ア ド レ ス > こ の コ マ ン ド は、 選択 さ れた Firewall Director の ラ ン タ イ ム情報を表示 し ます。 表示 さ れ る 情報には、 CPU 使用率、 ハー ド デ ィ ス ク 使用率、 重要な アプ リ ケー シ ョ ン (Web サーバー、 フ ァ イ ア ウ ォ ール、 Inet サーバーな ど) の ス テー タ ス、 お よ びフ ァ イ ア ウ ォ ール ア ク セ ラ レーシ ョ ンの ス テー タ ス が含ま れ ます。 det こ の コ マ ン ド は、 設定済みのデフ ォ ル ト ゲー ト ウ ェ イ 、 NSF ポー ト 、 MAC ア ド レ ス、お よ びフ ァ イ ア ウ ォ ール ア ク セ ラ レーシ ョ ン用に Firewall Director で使用 さ れてい る Firewall Accelerator の ス テー タ ス に関す る 情報を表示 し ます。 alarms こ の コ マ ン ド は、 ア ラ ーム の リ ス ト と ア ラ ーム形式を表示 し ま す。 こ れ ら のア ラ ーム は、 ユーザーに注意を促すエ ラ ー状態を表 し ま す。 た と えば、 リ ン ク の 切断、 高い CPU 使用率な ど です。 エ ラ ー状態が解消 さ れ る と 、 ア ラ ームは リ ス ト か ら 自動的に削除 さ れます。 net [Network Display Menu] は、Nortel Switched Firewall ク ラ ス タ の現在のネ ッ ト ワー ク 情報を表示す る 場合に使用 し ます。 表示 さ れ る 情報には、 ネ ッ ト ワー ク ポー ト 、 ト ラ ン キ ン グ、 イ ン タ フ ェース、 お よ びルーテ ィ ン グが含ま れ ます。 メ ニ ュ ー項目については、 240 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 237 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 14-2 Information Menu (/info) コ マ ン ド 構文 と 使用法 ups こ の コ マ ン ド は、 UPS ス テー タ ス を表示 し ます。 syslog こ の コ マ ン ド は、 最新の syslog メ ッ セージ を 表示 し ま す。 10 個の syslog メ ッ セージが表示 さ れ る ご と に、 (y を入力 し て) 表示を続行す る か、 (n を入力 し て) 表示を終了す る か選択す る よ う に求め ら れ ます。 traffic こ の コ マ ン ド は、 各 Firewall Director で送受信 さ れたパ ケ ッ ト の数 を 表示 し ま す。 ま た、 各 Firewall Director の毎秒のセ ッ シ ョ ン数 と 同時セ ッ シ ョ ン合計数、 お よ びポー ト ご と の ス ループ ッ ト 合計 も 表示 し ます。 fw こ の コ マ ン ド は、 現在の フ ァ イ ア ウ ォ ール設定を表示 し ま す。 表示 さ れ る 情報 には、 フ ァ イ ア ウ ォ ール ス テー タ ス (有効ま たは無効)、 管理 IP ア ド レ ス、 お よ び同期ネ ッ ト ワー ク 設定が含まれます。表示 さ れ る 情報は、/cfg/fw/cur コ マ ン ド を使用 し て表示 さ れ る 情報 と 同 じ です。 log こ の コ マ ン ド は、 現在のシ ス テ ム メ ッ セージ ロ グの設定を表示 し ます。 表示 さ れ る 情報は、 /cfg/sys/log/cur コ マ ン ド を使用 し て表示 さ れ る 情報 と 同 じ です。 lic <Firewall Director の IP ア ド レ ス > こ の コ マ ン ド は、 選択 さ れた Firewall Director の現在の Check Point ラ イ セ ン ス 情報を表示 し ます。 表示 さ れ る 情報には、 ホ ス ト IP ア ド レ ス、 ラ イ セ ン ス の有 効 期 限、 署 名 文 字 列、 お よ び 機 能 文 字 列 が あ り ま す。 こ の メ ニ ュ ー に は、 CLI/WebUI か ら 入力 さ れた ラ イ セ ン ス だけでな く 、SmartUpdate を使用 し て適用 さ れた ラ イ セ ン ス や root プ ロ ン プ ト か ら 入力 さ れた ラ イ セ ン ス も 表示 さ れ ま す。 表示 さ れ る 情報は、 /cfg/pnp/cur コ マ ン ド を使用 し て表示 さ れ る 情報 と 同 じ です。 acc こ の コ マ ン ド は、 現在の Firewall Accelerator 設定を表示 し ま す。 表示 さ れ る 情 報 に は、 自 動 検 出 と ハ イ ア ベ イ ラ ビ リ テ ィ の 設 定、 ア ク テ ィ ブ F i r e w a l l Accelerator の MAC ア ド レ ス と IP ア ド レ ス の リ ス ト 、 優先 Firewall Accelerator、 お よ びヘル ス チ ェ ッ ク 設定が含まれ ます。 表示 さ れ る 情報は、 /cfg/acc/cur コ マ ン ド を使用 し て表示 さ れ る 情報 と 同 じ です。 telnet こ の コ マ ン ド は、 現在の Telnet 構成の設定 (有効 ま たは無効) を 表示 し ま す。 表示 さ れ る 情報は、 /cfg/sys/adm/telnet/cur コ マ ン ド を使用 し て表示 さ れ る 情報 と 同 じ です。 ssh こ の コ マ ン ド は、 現在の Telnet 構成の設定 (有効 ま たは無効) を 表示 し ま す。 表示 さ れ る 情報は、 /cfg/sys/adm/ssh/cur コ マ ン ド を使用 し て表示 さ れ る 情報 と 同 じ です。 238 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 14-2 Information Menu (/info) コ マ ン ド 構文 と 使用法 snmp こ の コ マ ン ド は、現在の SNMP 設定を表示 し ます。表示 さ れ る 情報には、 ト ラ ッ プ ホ ス ト の リ ス ト 、 お よ び イ ベン ト と ア ラ ーム メ ッ セージの ス テー タ ス が含ま れ ます。 表示 さ れ る 情報は、 /cfg/sys/adm/snmp/cur コ マ ン ド を使用 し て 表示 さ れ る 情報 と 同 じ です。 web こ のコ マン ド は、 現在の BBI 構成の設定を 表示し ま す。 表示さ れる 情報には、 HTTP と HTTPS( SSL 付き ) のス テータ ス( 有効ま たは無効) と サービ ス ポート 番号、 およ び SSL の証明書情報が含ま れま す。 表示さ れる 情報は、 /cfg/sys/adm/web/cur コ マン ド を 使用し て表示さ れる 情報と 同じ です。 time こ の コ マ ン ド は、 NTP サーバー設定を含む現在の日時設定を表示 し ます。 表示 さ れ る 情報は、 /cfg/sys/time/cur コ マ ン ド を使用 し て表示 さ れ る 情報 と 同 じ です。 asfnet こ の コ マ ン ド は、 Nortel Switched Firewall ク ラ ス タ と ホ ス ト の現在のネ ッ ト ワー ク 設定を表示 し ます。 表示 さ れ る 情報は、 /cfg/sys/cluster/cur コ マ ン ド を使用 し て表示 さ れ る 情報 と 同 じ です。 fwmon こ の コ マ ン ド を 使用す る と 、 Check Point の 「fw monitor」 ツ ール を 使用 し て、 フ ァ イ ア ウ ォ ール モジ ュ ールに よ り パケ ッ ト フ ロ ーを キ ャ プチ ャ で き ます。 コ マ ン ド を実行す る と 、 現在の Firewall Director の リ ス ト が表示 さ れます。 Firewall Director を選択 し 、 フ ィ ル タ パ ラ メ ー タ と 期間 (秒単位) を指定 し 、 フ ァ イ ア ウ ォ ー ル モ ニ タ ツ ー ル を 実行 し ま す。 出力 は CLI に 表示 さ れ る か、 TFTP (FTP/SFTP) サーバーま たは USB ポー ト に保存 さ れ ます。 ethereal こ の コ マ ン ド を使用す る と 、 CLI か ら ethereal パケ ッ ト キ ャ プチ ャ ツールを実 行で き ます。 コ マ ン ド を実行す る と 、 現在の Firewall Director の リ ス ト が表示 さ れます。 Firewall Director を選択 し 、 フ ィ ル タ す る デバ イ ス、 フ ィ ル タ オプシ ョ ン、 お よ び期間 (秒単位) を指定 し 、 ethereal ツールを実行 し ます。 出力は CLI に表示す る か、TFTP (FTP/SFTP) サーバーま たは USB ポー ト に保存で き ます。 sensor こ の コ マ ン ド は、 ボー ド /CPU の温度 と Firewall Director の現在の RPM 値を表 示 し ます。 hu こ の コ マ ン ド は、 [Hitless Upgrade Menu] を表示 し ます。 メ ニ ュ ー項目については、 249 ページ を参照 し て く だ さ い。 security こ の コ マ ン ド は、 [Advanced Security Menu] を表示 し ます。 メ ニ ュ ー項目については、 249 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 239 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /info/net Network Display Menu [Network Display sfdports port trunk if vlan gre route dhcprl dump Menu] - Display link state of Director ports - Display configured ports - Display configured trunks - Display configured interfaces - Display VLAN information - Display GRE tunnel interfaces - Route Information Menu - DHCP Relay Information Menu - Display all network configuration [Network Display Menu] は、 Nortel Switched Firewall ク ラ ス タ の現在のネ ッ ト ワー ク 情 報を表示す る 場合に使用 し ま す。 表示 さ れ る 情報には、 ネ ッ ト ワ ー ク ルー ト 、 ポー ト 、 イ ン タ フ ェース、 VLAN、 ト ラ ン ク 、 DHCP、 お よ びゲー ト ウ ェ イ が含まれ ます。 表 14-3 を参照 し て く だ さ い。 表 14-3 Network Display Menu (/info/net) コ マ ン ド 構文 と 使用法 sfdports こ の コ マ ン ド は、 リ ン ク 状態、 自動ネ ゴ シ エー シ ョ ン、 速度、 モー ド な ど の Firewall Director ポー ト の リ ン ク 状態プ ロ パテ ィ を表示 し ます。 port こ の コ マ ン ド は、Firewall Accelerator に設定 さ れたすべてのポー ト に関す る 情報 を表示 し ます。 表示 さ れ る 情報には、 ポー ト 名、 タ イ プ (IP ま たは NAAP)、 割 り 当て ら れた イ ン タ フ ェ ー ス、 VLAN、 VLAN の タ グ付け ス テー タ ス、 ゲー ト ウ ェ イ の固定化、 ト ラ ン キ ン グ、 お よ びフ ィ ル タ が含まれ ます。 trunk こ の コ マ ン ド は、 Firewall Accelerator に設定 さ れたすべてのポー ト ト ラ ン ク に 関す る 情報を表示 し ます。 表示 さ れ る 情報には、 ト ラ ン ク ご と の ト ラ ン ク 番号、 マ ス タ ポー ト 、 お よ び ト ラ ン ク に属す る 他のポー ト の リ ス ト が含まれます。 if こ の コ マ ン ド は、 シ ス テ ムに設定 さ れてい る すべての IP イ ン タ フ ェ ース に関す る 情報を表示 し ます。 表示 さ れ る 情報には、 IP ア ド レ ス、 マ ス ク 、 VLAN、 お よ び IP イ ン タ フ ェ ー ス の割 り 当 て 先ポー ト が含 ま れ ま す。 ま た、 各 IP イ ン タ フ ェース に自動作成 さ れ る イ ン タ フ ェース デバ イ ス の名前 も 表示 さ れ ます。 vlan こ の コ マ ン ド は、 シ ス テ ム に設定 さ れてい る すべての VLAN に関す る 情報を表 示 し ます。 表示 さ れ る 情報には、 VLAN の ID と 名前、 レ イ ヤ 2 フ ァ イ ア ウ ォー ル、 Firewall Director グループ、 お よ び設定 さ れたポー ト が含まれます。 240 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 14-3 Network Display Menu (/info/net) コ マ ン ド 構文 と 使用法 gre こ の コ マ ン ド は、 シ ス テ ム に 設 定 さ れ て い る す べ て の G e n e r i c R o u t i n g Encapsulation (GRE) ト ン ネル イ ン タ フ ェ ー ス に関す る 情報を表示 し ま す。 表 示 さ れ る 情報には、 GRE ト ン ネル番号、 GRE ト ン ネル名、 ロ ーカル と リ モー ト の GRE ト ン ネル物理 イ ン タ フ ェ ー ス、 お よ び ロ ーカル と リ モー ト の GRE ト ン ネル エ ン ド ポ イ ン ト が含まれ ます。 route [Route Information Menu] は、 Nortel Switched Firewall と と も に使用 さ れ る さ ま ざ ま なルーテ ィ ン グ プ ロ ト コ ルに関す る 現在の情報 を 表示す る 場合に使用 し ま す。表示 さ れ る 情報には、 ス タ テ ィ ッ ク ルー ト 、デフ ォ ル ト ゲー ト ウ ェ イ 、RIP、 お よ び OSPF 設定が含まれ ます。 メ ニ ュ ー項目については、 242 ページ を参照 し て く だ さ い。 dhcprl [DHCP Relay Information Menu] は、 Nortel Switched Firewall と と も に使用 さ れ る DHCP サーバーに関す る 現在の情報を表示す る 場合に使用 し ます。 メ ニ ュ ー項目については、 248 ページ を参照 し て く だ さ い。 dump こ の コ マ ン ド は、[Information Menu] の各オプシ ョ ン の情報をすべて表示 し ます。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 241 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /info/net/route Route Information Menu [Route Information Menu] static - Display configured static routes gw - Display default gateways rip - RIP Router Menu ospf - OSPF Router Menu table - Display complete unicast route table find - Find a route in unicast table mroute - Multicast Route Information Menu [Route Information Menu] は、Nortel Switched Firewall ク ラ ス タ と と も に使用 さ れ る さ ま ざ ま なルーテ ィ ン グ プ ロ ト コ ルに関す る 現在の情報を表示す る 場合に使用 し ます。表 14-4 を参照 し て く だ さ い。 表 14-4 Route Information Menu (/info/net/route) コ マ ン ド 構文 と 使用法 static こ の コ マ ン ド は、 シ ス テ ム上で設定 さ れてい る ス タ テ ィ ッ ク ルー ト をすべて表 示 し ます。 gw こ の コ マ ン ド は、シ ス テ ム上で設定 さ れ、有効にな っ てい る すべてのゲー ト ウ ェ イ を表示 し ます。 rip [RIP Router Information Menu] は、 現在の RIP 情報を表示す る 場合に使用 し ます。 メ ニ ュ ー項目については、 243 ページ を参照 し て く だ さ い。 ospf [OSPF Router Information Menu] は、 現在の OSPF 情報を表示す る 場合に使用 し ます。 メ ニ ュ ー項目については、 244 ページ を参照 し て く だ さ い。 table こ の コ マ ン ド は、 シ ス テ ム にあ る すべてのユニ キ ャ ス ト ルー ト の リ ス ト を表示 し ます。 find こ の コ マ ン ド では、 ユニ キ ャ ス ト ルーテ ィ ン グ テーブルのルー ト を検索で き ま す。 mroute こ の コ マ ン ド では、 マルチキ ャ ス ト ルーテ ィ ン グ テーブルのルー ト を検索で き ます。 メ ニ ュ ー項目については、 245 ページ を参照 し て く だ さ い。 242 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /info/net/route/rip RIP Router Information Menu [RIP Router Information Menu] routes - Display RIP routes fib - Display RIP router FIB [RIP Router Information Menu] は、RIP ルーテ ィ ン グ情報を表示す る 場合に使用 し ます。 表 14-5 RIP Router Information Menu (/info/net/route/rip) コ マ ン ド 構文 と 使用法 routes こ の コ マ ン ド は、 ユニ キ ャ ス ト テーブルか ら 出てい る RIP ルー ト をすべて表示 し ます。 fib こ の コ マ ン ド は、Nortel Switched Firewall が通知 し た Forwarding Information-Base (FIB) に格納 さ れてい る RIP ルー ト すべて を表示 し ま す。 表示には、 他のプ ロ ト コ ルか ら 再配信 さ れたルー ト も 含ま れ ます。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 243 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /info/net/route/ospf OSPF Router Information Menu [OSPF Router Information Menu] routes - Display OSPF routes lsa - Display OSPF LSA information dbcnt - Display OSPF LSA database count neigh - Display OSPF neighbor information infonbr - Display detailed OSPF neighbor information spf - Display OSPF spf table if - Display OSPF interface information fib - Display OSPF router FIB [OSPF Router Information Menu] は、 OSPF ルー ト 、 リ ン ク 、 ネ イ バ、 お よ び イ ン タ フ ェース に関す る 情報を取得す る 場合に使用 し ます。 表 14-6 OSPF Router Information Menu (/info/net/route/ospf) コ マ ン ド 構文 と 使用法 routes こ の コ マ ン ド は、 ユニ キ ャ ス ト テーブルか ら 出てい る OSPF ルー ト をすべて表 示 し ます。 lsa こ の コ マ ン ド は、 OSPF リ ン ク ス テー ト ア ド バ タ イ ズ メ ン ト (LSA) テーブル を表示 し ます。 dbcnt こ の コ マ ン ド は、 各エ リ アの異な る LSA タ イ プの数 (ルー タ ー、 ネ ッ ト ワー ク 、 ABR サマ リ 、 お よ び ASBR サマ リ ) お よ び ド メ イ ン の LSA 外部ルー ト の数を表 示 し ます。 neigh こ の コ マ ン ド は、 フ ァ イ ア ウ ォ ールの OSPF ネ イ バに関す る 簡単なサマ リ を表 示 し ます。 ネ イバは、 互いのヘル ス に関す る 情報を保持す る ルーテ ィ ン グ デバ イ ス です。 infonbr こ の コ マ ン ド は、 すべての OSPF ネ イ バに関す る 詳細情報を表示 し ます。 spf こ の コ マ ン ド は、 OSPF ネ ッ ト ワ ー ク ルーテ ィ ン グ テーブル、 OSPF ルー タ ー ルーテ ィ ン グ テーブル、お よ び OSPF 外部ルーテ ィ ン グ テーブルを表示 し ます (SPF の計算後)。 OSPF 外部ルーテ ィ ン グ テーブルの外部 LSA はエ リ ア固有で はな く 、 OSPF ド メ イ ン全体に共通 し ます。 if こ の コ マ ン ド は、 設定済み OSPF イ ン タ フ ェ ース に関す る 情報を表示 し ます。 fib こ の コ マ ン ド は、Nortel Switched Firewall が通知 し た Forwarding Information-Base (FIB) に格納 さ れてい る OSPF ルー ト をすべて表示 し ま す。 表示には、 他のプ ロ ト コ ルか ら 再配信 さ れたルー ト も 含まれ ます。 244 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /info/net/route/mroute Multicast Route Information Menu [MRoute Information Menu] rpset - Display RP set table from pim nbr - Display pimd nbr/vif table vif - Virtual Interface Table Information mrt - Multicast Route Table Information [Multicast Route Information Menu] には、PIM-SM のマルチキ ャ ス ト ルー ト 情報が表示 さ れ ます。 NSF 4.4.1 では、63 個のマルチキ ャ ス ト ルー ト をサポー ト し ます。各ルー ト は最大 31 個の送信 VLAN に分割で き ます。 表 14-7 Multicast Route Information Menu (/info/net/route/mroute) コ マ ン ド 構文 と 使用法 rpset こ の コ マ ン ド は、 PIM か ら 利用で き る RP ルー タ ー セ ッ ト テーブルを表示 し ま す。 nbr こ の コ マ ン ド は、 PIM ネ イ バを表示 し ます。 vif こ の コ マ ン ド は、 仮想 イ ン タ フ ェース テーブルを表示 し ます。 メ ニ ュ ー項目については、 246 ページ を参照 し て く だ さ い。 mrt こ の コ マ ン ド は、 マルチキ ャ ス ト ルーテ ィ ン グ テーブル情報を表示 し ます。 メ ニ ュ ー項目については、 246 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 245 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /info/net/route/mroute/vif Virtual Interface Table Information Menu [Virtual Interface Table Information Menu] pim - Display pimd vif table table - Display cfgd vif table [Virtual Interface Table Information Menu] には、 PIM と cfg デーモ ンの ロ ーカル イ ン タ フ ェース が表示 さ れ ます。 表示 さ れた フ ラ グの詳細情報を入手す る には、 グ ロ ーバル help コ マ ン ド (た と えば、 help pim) を使用 し て く だ さ い。 表 14-8 Virtual Interface Table Information Menu (/info/net/route/mroute/vif) コ マ ン ド 構文 と 使用法 pim こ の コ マ ン ド は、 PIM デーモ ンの仮想 イ ン タ フ ェース テーブルを表示 し ます。 table こ の コ マ ン ド は、 config デーモ ンの仮想 イ ン タ フ ェ ース を表示 し ます。 246 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /info/net/route/mroute/mrt [Multicast Route Table Information Menu] [Multicast Route Table Information Menu] table - Display pim table from cfgd mcast table pim_det - Display detail pimd multicast route table pim_sum - Display summary pimd multicast route table pim_grp - Display pimd multicast route table for specific group [Multicast Route Table Information Menu] には、 PIM と cfgd デーモ ンのマルチ キ ャ ス ト ルー ト 情報の ト ラ ブルシ ュ ーテ ィ ン グ を行 う デバ ッ グ コ マ ン ド が表示 さ れ ま す。 最 初の 3 つの コ マ ン ド は、 cfgd テーブルに表示 さ れ る 各 (S,G) (*,G) エ ン ト リ に対す る 結合、 削除、 受信、 送信の各 イ ン タ フ ェ ー ス と タ イ マ を 表示 し ま す。 ま た、 PIM デー タ ベース全体 も ダ ン プ し ます。 情報の表示方法は コ マ ン ド に よ っ て異な り ます。 表示 さ れた フ ラ グの詳細情報を入手す る には、 グ ロ ーバル help コ マ ン ド (た と えば、 help pim_det) を使用 し て く だ さ い。 表 14-9 Multicast Route Information Menu (/info/net/route/mroute/mrt) コ マ ン ド 構文 と 使用法 table こ の コ マ ン ド は、 マルチキ ャ ス ト テーブル全体を表示 し ます。 こ の コ マ ン ド は、 info/net/route/table コ マ ン ド で表示 さ れ る ユニ キ ャ ス ト テーブル ダ ン プに似て い ます。 pim_det こ の コ マ ン ド は、 マルチキ ャ ス ト ルーテ ィ ン グ テーブルの詳細情報を表示 し ま す。 pim_sum こ の コ マ ン ド は、 マルチ キ ャ ス ト ルーテ ィ ン グ テーブルのサマ リ を 表示 し ま す。 pim_grp こ の コ マ ン ド は、 特定のグループのマルチキ ャ ス ト ルーテ ィ ン グ テーブル情報 を表示 し ます。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 247 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /info/net/dhcprl DHCP Relay Information Menu [DHCP Relay Information Menu] settings - Current DHCP Relay Settings locstats - Local DHCP Relay Stats mipstats - DHCP Relay Stats on MIP [DHCP Relay Information Menu] は、Nortel Switched Firewall ク ラ ス タ と と も に使用 さ れ る DHCP プ ロ ト コ ルに関す る 現在の情報を表示す る 場合に使用 し ます。 表 14-10 DHCP Relay Information Menu (/info/net/dhcprl) コ マ ン ド 構文 と 使用法 settings こ の コ マ ン ド は、 現在の DHCP リ レー設定を表示 し ます。 locstats こ の コ マ ン ド は、シ ス テ ム に設定 さ れ、有効にな っ てい る ロ ーカル DHCP リ レー ス タ テ ィ ス テ ィ ッ ク ス を表示 し ます。 mipstats こ の コ マ ン ド は、 MIP に設定 さ れ、 有効にな っ てい る DHCP リ レー ス タ テ ィ ス テ ィ ッ ク ス を表示 し ます。 248 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /info/hu Hitless Upgrade Menu [Hitless Upgrade Menu] status - Display Hitless Upgrade status 表 14-11 Hitless Upgrade Menu (/info/hu) コ マ ン ド 構文 と 使用法 status こ の コ マ ン ド は、 ヒ ッ ト レ ス ア ッ プグ レー ド プ ロ セ ス の ス テー タ ス を表示 し ま す。 /info/security Advanced Security Menu [Advanced Security Menu] dump - Display Security Stats 表 14-12 Advanced Security Menu (/info/security) コ マ ン ド 構文 と 使用法 dump こ の コ マ ン ド は、 IP ACL リ ス ト 、 UDP Blast 保護、 TCP/UDP パ タ ーン マ ッ チ グループ ス タ テ ィ ス テ ィ ッ ク ス、 お よ びレー ト 制限ス タ テ ィ ス テ ィ ッ ク ス に関 す る ス タ テ ィ ス テ ィ ッ ク ス を表示 し ます。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 249 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /boot Boot Menu [Boot Menu] software halt reboot delete - Software Management Menu Halt the Firewall Director Reboot the Firewall Director Delete the Firewall Director [Boot Menu] は、 必要に応 じ て、 Nortel Switched Firewall ソ フ ト ウ ェ アのア ッ プグ レー ド お よ び再起動を行 う 場合に使用 し ます。 注 - オペ レ ー タ ア カ ウ ン ト を 使用 し て い る 場合、 [Software Management Menu] オプ シ ョ ンは利用で き ません。 表 14-13 Boot Menu (/boot) コ マ ン ド 構文 と 使用法 software [Software Management Menu] は、 Nortel Switched Firewall ソ フ ト ウ ェ ア ア ッ プグ レー ド パ ッ ケージの ロ ー ド 、 有効化、 ま たは削除に使用 し ます。 メ ニ ュ ー項目については、 252 ページ を参照 し て く だ さ い。 halt こ の コ マ ン ド は、 タ ーゲ ッ ト Firewall Director が ク ラ ス タ か ら 分離 さ れてお り 、 通常使用す る /cfg/sys/clu/host < ホス ト 番号 >/halt コ マ ン ド では停止で き ない場合にのみ使用 し ます。 確認後、 こ の コ マ ン ド は、 Telnet、 SSH、 ま たは コ ン ソ ール端末経由で接続 し て いた特定の Firewall Director を停止 し ます。Telnet ま たは SSH を使用 し てい る 場 合は、 特定の Firewall Director に個別に割 り 当て ら れた IP ア ド レ ス に接続 し て い る と き に限 り 、 こ の コ マ ン ド を使用 し ます。 管理 IP (MIP) ア ド レ ス に接続 し た場合、 halt コ マ ン ド は使用 し ないで く だ さ い。 250 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 14-13 Boot Menu (/boot) コ マ ン ド 構文 と 使用法 reboot こ の コ マ ン ド は、 タ ーゲ ッ ト Firewall Director が ク ラ ス タ か ら 分離 さ れてお り 、 通常使用す る /cfg/sys/clu/host < ホス ト 番号 >/reboot コ マ ン ド では再 起動で き ない場合にのみ使用 し ます。 確認後、 こ の コ マ ン ド は、 Telnet、 SSH、 ま たは コ ン ソ ール端末経由で接続 し て いた特定の Firewall Director を再起動 し ます。Telnet ま たは SSH を使用 し てい る 場合は、 特定の Firewall Director に個別に割 り 当て ら れた IP ア ド レ ス に接続 し てい る と き に限 り 、 こ の コ マ ン ド を使用 し ます。 管理 IP (MIP) ア ド レ ス に接続 し た場合、 reboot コ マ ン ド は使用 し ないで く だ さ い。 delete こ の コ マ ン ド は、 タ ーゲ ッ ト Firewall Director が ク ラ ス タ か ら 分離 さ れてお り 、 通常使用す る /cfg/sys/clu/host < ホス ト 番号 >/delete コ マ ン ド では削除 で き ない場合にのみ使用 し ます。 確認後、 こ の コ マ ン ド は、 Telnet、 SSH、 ま たは コ ン ソ ール端末経由で接続 し て い た特定の Firewall Director を 削除 し ま す。 ま た、 削除 さ れた Firewall Director を出荷時のデフ ォ ル ト 設定に リ セ ッ ト し ます。 Telnet ま たは SSH を使用 し てい る 場合は、 Firewall Director の個々に割 り 当て ら れた IP ア ド レ ス に接続 し た と き に限 り 、 こ の コ マ ン ド を使用 し ます。 ク ラ ス タ 管理 IP (MIP) ア ド レ ス に接続 し た場合、 delete コ マ ン ド は使用 し ないで く だ さ い。 ク ラ ス タ に他の Firewall Director があ る 場合も 、 ク ラ ス タ MIP ア ド レ ス ( ロ ーカ ル ま たはリ モート ) に接続し 、 /cfg/sys/cluster/host < ホスト 番号 >/delete コ マン ド を 使用し て、削除さ れた Firewall Director 設定を ク ラ ス タ から パージする 必 要があ り ま す。 ク ラ ス タ か ら Firewall Director を削除す る と 、 ロ ーカル シ リ アル ポー ト に直接 接続 さ れた コ ン ソ ール端末か ら し かデバ イ ス にはア ク セ ス で き ま せん。 その場 合、 管理ア カ ウ ン ト (admin) と デ フ ォ ル ト のパ ス ワ ー ド (admin) を使用 し て ロ グ イ ン し 、 [Setup Menu] にア ク セ ス で き ます。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 251 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /boot/software Software Management Menu [Software Management Menu] cur - Display current software status activate - Select software version to run download - Download a new software package via TFTP/FTP/SCP/SFTP cdrom - Get a new software package via CD-ROM usb - Get a new software package via USB del - Remove downloaded (unpacked) releases patch - Software Patches Menu hitless - Hitless Upgrade Menu [Software Management Menu] は、Nortel Switched Firewall ソ フ ト ウ ェ ア ア ッ プグ レー ド パ ッ ケージの ロ ー ド 、 有効化、 ま たは削除に使用 し ます。 表 14-14 Software Management Menu (/boot/software) コ マ ン ド 構文 と 使用法 cur こ の コ マ ン ド は、 現在 Telnet、 SSH、 ま たは コ ン ソ ール端末が接続 さ れてい る 特 定の Firewall Director の ソ フ ト ウ ェ ア ス テー タ ス を表示 し ます。 activate < ソ フ ト ウ ェ ア バージ ョ ン > こ の コ マ ン ド は、 ダ ウ ン ロ ー ド し て解凍 さ れた Nortel Switched Firewall ソ フ ト ウ ェ ア ア ッ プグ レー ド パ ッ ケージ を有効に し ます。 ダ ウ ン ロ ー ド し て解凍 さ れ た ソ フ ト ウ ェ ア パ ッ ケージのバージ ョ ン を調べ る には、 cur コ マ ン ド を使用 し ま す。 ソ フ ト ウ ェ ア を有効にす る 前に、 確認を要求す る プ ロ ン プ ト 画面が表示 さ れ ます。 新 し い ソ フ ト ウ ェ ア バー ジ ョ ン の実行時に深刻 な 問題が発生 し た場合には、 old と い う ラ ベルの付いた ソ フ ト ウ ェ ア バージ ョ ン を有効に し て、 以前のバー ジ ョ ンに戻す こ と がで き ます。 activate コ マ ン ド を確認 し た後は ロ グ ア ウ ト す る こ と に注意 し て く だ さ い。 download < プ ロ ト コ ル > こ の コ マ ン ド を使用す る と 、 プ ロ ト コ ル (FTP/TFTP/SCP/SFTP) を指定 し て、 匿名 ロ グ イ ン で き る FTP/TFTP/SCP/SFTP サ ーバー か ら NSF ソ フ ト ウ ェ ア ア ッ プ グ レ ー ド パ ッ ケ ージ を ダ ウ ン ロ ー ド で き ま す。 NSF イ メ ー ジ は TFTP サーバーには大 き すぎ る ため、 FTP を指定す る こ と をお勧め し ます。 プ ロ ト コ ル を 指定 し た後、 FTP サーバーの ホ ス ト 名 ま たは IP ア ド レ ス、 お よ び ソ フ ト ウ ェ ア ア ッ プ グ レ ー ド パ ッ ケージの フ ァ イ ル名を要求す る プ ロ ン プ ト 画面が 表示 さ れ ます。 こ の機能を使用す る には、 管理 ス テーシ ョ ン と Firewall Director 間の FTP ト ラ フ ィ ッ ク を許可す る フ ァ イ ア ウ ォ ール ルールを イ ン ス ト ールす る 必要があ り ま す。 cdrom こ の コ マ ン ド を使用す る と 、 CD-ROM ド ラ イ ブ を使用 し て新 し い ソ フ ト ウ ェ ア パ ッ ケージ を ダ ウ ン ロ ー ド で き ます。 252 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 14-14 Software Management Menu (/boot/software) コ マ ン ド 構文 と 使用法 usb こ の コ マ ン ド を 使用す る と 、 USB ポー ト を 使用 し て新 し い ソ フ ト ウ ェ ア パ ッ ケージ を ダ ウ ン ロ ー ド で き ます。 del こ の コ マ ン ド を使用す る と 、 ftp コ マ ン ド を使用 し て ダ ウ ン ロ ー ド し た ソ フ ト ウ ェ ア ア ッ プ グ レ ー ド パ ッ ケージ を削除す る こ と がで き ま す。 こ の コ マ ン ド は、 すべてのア ッ プグ レー ド を削除 し 、 Firewall Director を 「新規」 状態に変更 し ます。 patch [Software Patches Menu] は、 小規模な修復用の ソ フ ト ウ ェ ア要素を NSF に イ ン ス ト ールす る 場合に使用 し ます。 メ ニ ュ ー項目については、 254 ページ を参照 し て く だ さ い。 hitless こ の コ マ ン ド を使用す る と 、 ハ イ アベ イ ラ ビ リ テ ィ 構成で ト ラ フ ィ ッ ク の損失 を最小限に抑え、 新 し いパ ッ ケージ を有効にで き ます。 メ ニ ュ ー項目については、 255 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 253 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /boot/software/patch Software Patches Menu [Software Patches Menu] install - Install a software patch remove - Remove an installed patch cur - List currently installed patches [Software Patches Menu] は、 小規模な Nortel Switched Firewall ソ フ ト ウ ェ ア パ ッ チを イ ン ス ト ール ま たは削除す る 場合に使用 し ます。 表 14-15 Software Patches Menu (/boot/software/patch) コ マ ン ド 構文 と 使用法 install <FTP ホス ト 名または IP ア ド レ ス > < パ ッ チ フ ァ イル名 > こ の コ マ ン ド を 使用す る と 、 FTP サーバーか ら Nortel Switched Firewall ソ フ ト ウ ェ ア パ ッ チを ダ ウ ン ロ ー ド で き ます。FTP サーバーのホ ス ト 名ま たは IP ア ド レ ス、 お よ び ソ フ ト ウ ェ ア パ ッ チの フ ァ イ ル名を指定す る 必要があ り ます。 remove < パ ッ チ フ ァ イル名 > こ の コ マ ン ド を使用す る と 、install コ マ ン ド を使用 し て イ ン ス ト ール し た ソ フ ト ウ ェ ア ア ッ プグ レー ド パ ッ ケージ を削除で き ます。 cur こ の コ マ ン ド は、現在 イ ン ス ト ール さ れてい る NSF ソ フ ト ウ ェ ア パ ッ チ名の リ ス ト を表示 し ます。 254 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /boot/software/hitless Hitless Upgrade Menu [Hitless Upgrade activate stop abort exclude Menu] - Activate Hitless - Stop hitless process - Abort Hitless - Exclude SFD from hitless process [Hitless Upgrade Menu] は、 ハ イ アベ イ ラ ビ リ テ ィ 構成で ト ラ フ ィ ッ ク の損失を最小 限に抑え、 新 し いパ ッ ケージ を有効にす る 場合に使用 し ます。 表 14-16 Hitless Upgrade Menu (/boot/software/hitless) コ マ ン ド 構文 と 使用法 activate こ の コ マ ン ド は、 ア ッ プ グ レ ー ド プ ロ セ ス を開始 し ま す。 ア ッ プ グ レ ー ド 中、 ト ラ フ ィ ッ ク は停止 し ま せん。 実行が失敗 し た場合、 前のバージ ョ ン に正常に ロ ールバ ッ ク し 、 ト ラ フ ィ ッ ク にはほ と ん ど 影響 し ま せん。 詳細につい て は、 「 ヒ ッ ト レ ス ア ッ プグ レ ー ド 」 (206 ページ) を参照 し て く だ さ い。 stop 確認後、 こ の コ マ ン ド は、 Firewall Director ですべての ヒ ッ ト レ ス ア ッ プグ レー ド プ ロ セ ス を停止 し ます。 Firewall Director か Firewall Accelerator がすでにア ッ プ グ レ ー ド さ れてい る 場合、 プ ロ セ ス は前のバージ ョ ン に ロ ールバ ッ ク さ れ ま す。 abort abort は、 ヒ ッ ト レ ス ア ッ プグ レー ド を停止す る 最後の手段 と し て使用 し て く だ さ い。 各 Firewall Director で abort を実行す る 必要があ り ます。 exclude こ の コ マ ン ド を 使用す る と 、 ア ッ プ グ レ ー ド プ ロ セ ス か ら 除外す る Firewall Director を選択で き ます。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 255 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint Maintenance Menu [Maintenance Menu] diag debug tsdump swfc backup logdetail chkcfg Diagnostic Tools Menu Debug Information Menu Tech Support Dump Menu SFA Flow Control Configuration Menu Backup/Restore Firewall Director Menu Obtain extensive detail about the log/error code dumped - Check applied configuration [Maintenance Menu] は、 シ ス テ ム診断、 お よ び FTP サーバーへの技術サポー ト ダ ン プの送信に使用 し ます。 ! 注意 - [Maintenance Menu] と そのサブ メ ニ ュ ーのすべての コ マ ン ド は、 通常使用 し ま せん。 ノ ーテル技術サポー ト か ら の指示がない限 り 、 使用 し ないで く だ さ い。 表 14-17 Maintenance Menu (/maint) コ マ ン ド 構文 と 使用法 diag [Diagnostics Tools Menu] は、 NSF で診断ツールを実行す る 場合に使用 し ます。 メ ニ ュ ー項目については、 258 ページ を参照 し て く だ さ い。 debug [Debug Information Menu] は、 NSF におけ る デバ ッ グ情報を表示 し ます。 メ ニ ュ ー項目については、 259 ページ を参照 し て く だ さ い。 tsdump [Tech Support Dump Menu] は、技術サポー ト 用のダ ン プ を用意す る 場合に使用 し ます。 メ ニ ュ ー項目については、 278 ページ を参照 し て く だ さ い。 swfc [Firewall Accelerator Flow Control Configuration Menu] は、 DOS 攻 撃 か ら Accelerator を保護す る ソ フ ト ウ ェ ア フ ロ ー管理設定を行 う 場合に使用 し ます。 メ ニ ュ ー項目については、 279 ページ を参照 し て く だ さ い。 backup [Backup/Restore Firewall Director Menu] を 使用す る と 、 Director 設定 を バ ッ ク ア ッ プ し 、 後で同 じ 状態に復元で き ます。 メ ニ ュ ー項目については、 280 ページ を参照 し て く だ さ い。 256 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 14-17 Maintenance Menu (/maint) コ マ ン ド 構文 と 使用法 logdetail こ の コ マ ン ド を使用す る と 、 ロ グ メ ッ セージの詳細情報を取得で き ます。 詳細 を取得す る には、 CFGD_<xxx> な ど の ロ グ ID を入力す る 必要があ り ます。 chkcfg list | [all-isds | one-isd] [item...] こ の コ マ ン ド を使用す る と 、 適用 さ れてい る 設定を検証で き ます。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 257 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/diag Diagnostics Tools Menu [Diagnostics Tools sync ldplcy unldplcy - Menu] Test sync network Load Check Point policy Unload Check Point policy [Diagnostic Tools Menu] は、 NSF で診断ツールを実行す る 場合に使用 し ます。 表 14-18 Diagnostics Tools Menu (/maint/diag) コ マ ン ド 構文 と 使用法 sync こ の コ マ ン ド を使用す る と 、 診断ユーテ ィ リ テ ィ を実行 し 、 同期ネ ッ ト ワ ー ク の接続をチ ェ ッ ク で き ます。 こ の コ マ ン ド は、 同期ネ ッ ト ワ ー ク の IP ア ド レ ス ご と に ARP 要求を送信 し 、同期ネ ッ ト ワ ー ク 経由でその IP ア ド レ ス に接続で き る か ど う か を通知 し ます。 ldplcy こ の コ マ ン ド は、 Check Point fw fetch localhost コ マ ン ド を使用 し て、 イ ン ス ト ール さ れたポ リ シーを ロ ー ド し ます。ポ リ シーは ク ラ ス タ の特定の Director ま たはすべての Director で ロ ー ド で き ます。 uldplcy こ の コ マ ン ド は、 Check Point fw unloadlocal コ マ ン ド を使用 し て、 イ ン ス ト ール さ れ た ポ リ シ ー を ア ン ロ ー ド し ま す。 ポ リ シ ー は ク ラ ス タ の 特定 の Director ま たはすべての Director でア ン ロ ー ド で き ます。 258 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/debug Debug Information Menu [Debug Information Menu] aim - AIM Statistics fw - FW-1 Statistics ac1 - Accelerator 1 Information ac2 - Accelerator 2 Information dbgroute - Debug routes send via ISD-SFA communication mroute - Multicast route Information ospf - OSPF Debug Menu pim - PIM Debug Menu rip - RIP Debug Menu [Debug Information Menu] は、 NSF におけ る デバ ッ グ情報を表示す る 場合に使用 し ま す。 表 14-19 Debug Information Menu (/maint/debug) コ マ ン ド 構文 と 使用法 aim こ の コ マ ン ド は、 ア ク セ ラ レー タ イ ン タ フ ェース モジ ュ ールのデバ ッ グ情報を 表示 し ます。 メ ニ ュ ー項目については、 261 ページ を参照 し て く だ さ い。 fw こ の コ マ ン ド は、[FW-1 Statistics Menu] を表示 し ます。こ の メ ニ ュ ーでは、Check Point Firewall の一部の コ マ ン ド を 実行 し 、 そ の結果 を 表示で き ま す。 こ の メ ニ ュ ーは、 Check Point Firewall に関 し て詳 し い知識が あ る ユーザーに役立ち ま す。 メ ニ ュ ー項目については、 263 ページ を参照 し て く だ さ い。 ac1 こ の コ マ ン ド は、 Firewall Accelerator 1 のデバ ッ グ 情報 を 表示 し ま す。 ま た、 Firewall Accelerator で一般に使用 さ れ る コ マ ン ド を実行で き ます。 メ ニ ュ ー項目については、 264 ページ を参照 し て く だ さ い。 ac2 こ の コ マ ン ド は、 Firewall Accelerator 2 のデバ ッ グ 情報 を 表示 し ま す。 ま た、 Firewall Accelerator で一般に使用 さ れ る コ マ ン ド を実行で き ます。 こ の メ ニ ュ ー は ac1 と 同 じ も のですが、 2 番めの Firewall Accelerator (存在す る 場合) に関す る 情報を表示 し ます。 メ ニ ュ ー項目については、 266 ページ を参照 し て く だ さ い。 dbgroute こ の コ マ ン ド は、 Firewall Director か ら Firewall Accelerator に送信 さ れ る デバ ッ グ ルー ト を表示 し ます。 メ ニ ュ ー項目については、 268 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 259 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 14-19 Debug Information Menu (/maint/debug) コ マ ン ド 構文 と 使用法 mroute こ の コ マ ン ド は、 マルチキ ャ ス ト ルー ト 情報を表示 し ます。 メ ニ ュ ー項目については、 270 ページ を参照 し て く だ さ い。 ospf こ の コ マ ン ド は、 OSPF に関す る 情報を表示 し ます。 メ ニ ュ ー項目については、 270 ページ を参照 し て く だ さ い。 pim こ の コ マ ン ド を使用す る と 、 PIM-SM のデバ ッ グ を有効に し 、 PIM デバ ッ グ フ ラ グ を設定で き ます。 メ ニ ュ ー項目については、 270 ページ を参照 し て く だ さ い。 rip こ の コ マ ン ド は、 RIP に関す る 情報を表示 し ます。 メ ニ ュ ー項目については、 277 ページ を参照 し て く だ さ い。 260 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/debug/aim AIM Statistics Menu [AIM Statistics Menu] cur - Current AIM state (from /proc/aim/cur) conns - AIM connection table (from /proc/aim/conns) naap - NAAP Statistics (from /proc/aim/naap) accel - Acceleration State (from /proc/aim/accel) acp - AIM Control Packets statistics (from /proc/aim/acp) app - AIM Data Packets statistics (from /proc/aim/app) tng - TNG Statistics (from /proc/net/tng) [AIM Statistics Menu] を使用す る と 、 一部の Firewall Director コ マ ン ド を実行 し て結果 を表示で き ます。 表 14-20 AIM Statistics Menu (/maint/debug/aim) コ マ ン ド 構文 と 使用法 cur こ の コ マ ン ド は、 AIM の現在の状態を表示 し ます。 Firewall Director の /proc/aim/cur コ マ ン ド に相当 し ます。 conns こ の コ マ ン ド は、 AIM 接続テーブルに関す る 情報を表示 し ます。 Firewall Director の /proc/aim/conns コ マ ン ド に相当 し ます。 naap こ の コ マ ン ド は、 NAAP ス タ テ ィ ス テ ィ ッ ク ス を表示 し ます。 Firewall Director の /proc/aim/naap コ マ ン ド に相当 し ます。 accel こ の コ マ ン ド は、 ア ク セ ラ レーシ ョ ン ス タ テ ィ ス テ ィ ッ ク ス を表示 し ます。 Firewall Director の /proc/aim/accel コ マ ン ド に相当 し ます。 acp こ の メ ニ ュ ーは、 AIM 制御パケ ッ ト の ス タ テ ィ ス テ ィ ッ ク ス を表示 し ます。 メ ニ ュ ー項目については、 262 ページ を参照 し て く だ さ い。 app こ の コ マ ン ド は、 AIM デー タ パケ ッ ト の ス タ テ ィ ス テ ィ ッ ク ス を表示 し ます。 Firewall Director の /proc/aim/app コ マ ン ド に相当 し ます。 tng こ の コ マ ン ド は、 TNG ス タ テ ィ ス テ ィ ッ ク ス を表示 し ます。 Firewall Director の /proc/net/tng コ マ ン ド に相当 し ます。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 261 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/debug/aim/acp AIM Control Packets Menu [AIM Control Packets Menu] api - Secure XL API Call Statistics conns - AIM Connection Statistics ctxt - AIM Call Context Statistics err - AIM Error Statistics ha - AIM High Availability Statistics tbl - AIM Database Usage Statistics [AIM Control Packets Menu] を使用す る と 、 AIM 制御パケ ッ ト の ス タ テ ィ ス テ ィ ッ ク ス を表示で き ます。 表 14-21 AIM Control Packets Menu (/maint/debug/aim/acp) コ マ ン ド 構文 と 使用法 api こ の コ マ ン ド は、 Secure XL API コ ール ス タ テ ィ ス テ ィ ッ ク ス を表示 し ます。 Director の /proc/aim/acp/api コ マ ン ド に相当 し ます。 conns こ の コ マ ン ド は、 AIM 接続テーブルに関す る 情報を表示 し ます。 Director の /proc/aim/acp/conns コ マ ン ド に相当 し ます。 ctxt こ の コ マ ン ド は、AIM コ ール コ ン テ キ ス ト ス タ テ ィ ス テ ィ ッ ク ス を表示 し ます。 Director の /proc/aim/acp/ctxt コ マ ン ド に相当 し ます。 err こ の コ マ ン ド は、 AIM エ ラ ー ス タ テ ィ ス テ ィ ッ ク ス を表示 し ます。 Director の /proc/aim/acp/err コ マ ン ド に相当 し ます。 ha こ の コ マ ン ド は、AIM ハ イ アベ イ ラ ビ リ テ ィ ス タ テ ィ ス テ ィ ッ ク ス を表示 し ま す。 Director の /proc/aim/acp/ha コ マ ン ド に相当 し ます。 tbl こ の コ マ ン ド は、 AIM デー タ ベー ス 使用状況 ス タ テ ィ ス テ ィ ッ ク ス を表示 し ま す。 Director の /proc/aim/acp/tbl コ マ ン ド に相当 し ます。 262 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/debug/fw FW-1 Statistics Menu [FW-1 Statistics ver stat lic ctlpstat Menu] - Check Point Version - FW-1 Statistics - Check Point Licenses - FW-1 Kernel Statistics [FW-1 Statistics Menu] を使用す る と 、 一部の Check Point Firewall コ マ ン ド を実行 し 、 結果を表示で き ます。 表 14-22 FW-1 Statistics Menu (/maint/debug/fw) コ マ ン ド 構文 と 使用法 ver こ の コ マ ン ド は、 バージ ョ ン情報を表示 し ます。 Check Point の fw ver コ マ ン ド に相当 し ます。 stat こ の コ マ ン ド は、 イ ン ス ト ール さ れ た ポ リ シ ーに関す る 情報 を 表示 し ま す。 Check Point の fw stat コ マ ン ド に相当 し ます。 lic こ の コ マ ン ド は、 イ ン ス ト ール さ れた ラ イ セ ン ス を表示 し ます。 Check Point の cplic print -x コ マ ン ド に相当 し ます。 ctlpstat こ の コ マ ン ド は、 Check Point Firewall イ ン タ ーナル ス タ テ ィ ス テ ィ ッ ク ス を表 示 し ます。 Check Point の fw ctl pstat コ マ ン ド に相当 し ます。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 263 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/debug/ac1 Accelerator 1 Information Menu [Accelerator 1 Information Menu] sys - System information for SFA1 boot - Boot settings for SFA1 naap - NAAP statistics for SFA1 vrrp - VRRP info for SFA1 sess - Session table dump for SFA1 prtstat - Port statistics for SFA1 btinfo - Boot information for SFA1 clear - Clear all statistics on SFA1 back - Make SFA1 the backup accelerator reboot - Reboot SFA1 [Accelerator 1 Information Menu] を使用す る と 、 Firewall Accelerator で CLI コ マ ン ド を 実行 し てその結果を表示で き ます。 表 14-23 Accelerator 1 Information Menu (/maint/debug/ac1) コ マ ン ド 構文 と 使用法 sys こ の コ マ ン ド は、 Firewall Accelerator か ら の /info/sys (シ ス テ ム情報) コ マ ン ド の出力を表示 し ます。 boot こ の コ マ ン ド は、 Firewall Accelerator か ら の /boot/cur (起動設定) コ マ ン ド の出力を表示 し ます。 naap こ の コ マ ン ド は、 Firewall Accelerator か ら の /info/naap/dump (NAAP ス テー タ ス) コ マ ン ド の出力を表示 し ます。 vrrp こ の コ マ ン ド は、 Firewall Accelerator か ら の /info/vrrp (VRRP ス テー タ ス) コ マ ン ド の出力を表示 し ます。 sess こ の コ マ ン ド は、Firewall Accelerator か ら の /info/slb/sess/dump(セ ッ シ ョ ン テーブル) コ マ ン ド の出力を表示 し ます。 prtstat こ の コ マ ン ド は、 Firewall Accelerator か ら の /stats/slb/port <#>/maint (ポー ト 保守ス テー タ ス) コ マ ン ド の出力を表示 し ます。 btinfo こ の コ マ ン ド は、 Firewall Accelerator か ら の /maint/btinfo コ マ ン ド の出力 を表示 し ます。 こ の出力には、 最近の再起動の理由 (パ ワー サ イ ク ル、 コ ン ソ ー ルか ら の リ セ ッ ト 、 パニ ッ ク な ど)、 お よ びパニ ッ ク ダ ン プが存在す る か ど う か が記録 さ れ ます。 clear こ の コ マ ン ド は、 Firewall Accelerator 1 のすべての ス タ テ ィ ス テ ィ ッ ク ス を ク リ ア し ます。 264 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 14-23 Accelerator 1 Information Menu (/maint/debug/ac1) コ マ ン ド 構文 と 使用法 back こ の コ マ ン ド は、Firewall Accelerator 1 をバ ッ ク ア ッ プ状態に し ます。Accelerator に 対 し て /oper/vrrp/back コ マ ン ド が 使用 さ れ、 Accelerator は強制的 に バ ッ ク ア ッ プ状態にな り ます。 reboot こ の コ マ ン ド では、/boot/reset コ マ ン ド を使用 し て Firewall Accelerator 1 を 再起動 し ます。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 265 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/debug/ac2 Accelerator 2 Information Menu [Accelerator 2 Information Menu] sys - System information for SFA2 boot - Boot settings for SFA2 naap - NAAP statistics for SFA2 vrrp - VRRP info for SFA2 sess - Session table dump for SFA2 prtstat - Port statistics for SFA2 btinfo - Boot information for SFA2 clear - Clear all statistics on SFA2 back - Make SFA2 the backup accelerator reboot - Reboot SFA2 [Accelerator 2 Information Menu] を使用す る と 、 Firewall Accelerator で CLI コ マ ン ド を 実行 し てその結果を表示で き ます。 表 14-24 Accelerator 2 Information Menu (/maint/debug/ac2) コ マ ン ド 構文 と 使用法 sys こ の コ マ ン ド は、 Firewall Accelerator か ら の /info/sys (シ ス テ ム情報) コ マ ン ド の出力を表示 し ます。 boot こ の コ マ ン ド は、 Firewall Accelerator か ら の /boot/cur (起動設定) コ マ ン ド の出力を表示 し ます。 naap こ の コ マ ン ド は、Firewall Accelerator か ら の /info/naap/dump (NAAP ス テー タ ス) コ マ ン ド の出力を表示 し ます。 vrrp こ の コ マ ン ド は、 Firewall Accelerator か ら の /info/vrrp (VRRP ス テー タ ス) コ マ ン ド の出力を表示 し ます。 sess こ の コ マ ン ド は、 Firewall Accelerator か ら の /info/slb/sess/dump (セ ッ シ ョ ン テーブル) コ マ ン ド の出力を表示 し ます。 prtstat こ の コ マ ン ド は、 Firewall Accelerator か ら の /stats/slb/port <#>/maint (ポー ト 保守ス テー タ ス) コ マ ン ド の出力を表示 し ます。 btinfo こ の コ マ ン ド は、 Firewall Accelerator か ら の /maint/btinfo コ マ ン ド の出力 を表示 し ます。 こ の出力には、 最近の再起動の理由 (パ ワー サ イ ク ル、 コ ン ソ ー ルか ら の リ セ ッ ト 、 パニ ッ ク な ど)、 お よ びパニ ッ ク ダ ン プが存在す る か ど う か が記録 さ れ ます。 clear こ の コ マ ン ド は、 Firewall Accelerator 2 のすべての ス タ テ ィ ス テ ィ ッ ク ス を ク リ ア し ます。 266 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 14-24 Accelerator 2 Information Menu (/maint/debug/ac2) コ マ ン ド 構文 と 使用法 back こ の コ マ ン ド は、Firewall Accelerator 2 をバ ッ ク ア ッ プ状態に し ます。Accelerator に 対 し て /oper/vrrp/back コ マ ン ド が 使用 さ れ、 Accelerator は強制的 に バ ッ ク ア ッ プ状態にな り ます。 reboot こ の コ マ ン ド では、/boot/reset コ マ ン ド を使用 し て Firewall Accelerator 2 を 再起動 し ます。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 267 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/debug/dbgroute Debug Route Information Menu [Debug Route Information Menu] uni - Display complete igmp - Display complete pim - Display complete naap - NAAP Information unicast route table send to accels IGMP route table send to accels PIM route table send to accels menu [Debug Route Information Menu] には、Firewall Director か ら Firewall Accelerator に適用 さ れたユニ キ ャ ス ト 、 IGMP お よ び PIM ルー ト が表示 さ れ ます。 表 14-25 Debug Route Information Menu (/maint/debug/dbgroute) コ マ ン ド 構文 と 使用法 uni こ の コ マ ン ド は、 Firewall Accelerator に送信 さ れたユニ キ ャ ス ト ルー ト を表示 し ます。 igmp こ の コ マ ン ド は、 Firewall Accelerator に送信 さ れた IGMP ルー ト を表示 し ます。 pim こ の コ マ ン ド は、 Firewall Accelerator に送信 さ れた PIM ルー ト を表示 し ます。 naap こ の コ マ ン ド は、 NAAP デバ ッ グ ルー ト 情報 メ ニ ュ ーを表示 し ます。 メ ニ ュ ー項目については、 269 ページ を参照 し て く だ さ い。 268 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/debug/dbgroute/naap NAAP Debug Route Information Menu [NAAP Information Menu] peers - List NAAP peers verbose - List NAAP peers verbosely [NAAP Information Menu] には、 2 つの異な る 方法で NAAP ピ アの リ ス ト が表示 さ れま す。 表 14-26 NAAP Debug Route Information Menu (/maint/debug/dbgroute/naap) コ マ ン ド 構文 と 使用法 peers こ の コ マ ン ド は、 Firewall Accelerator に送信 さ れたユニ キ ャ ス ト ルー ト を表示 し ます。 verbose こ の コ マ ン ド は、 Firewall Accelerator に送信 さ れた IGMP ルー ト を表示 し ます。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 269 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/debug/mroute Debug Multicast Menu [Dbg MRoute Information Menu] pim - Debug PIM igmp - Debug IGMP [Multicast Debug Menu] には、 マルチキ ャ ス ト ルー ト をデバ ッ グす る 情報が表示 さ れ ます。 表 14-27 Multicast Debug Menu (/maint/debug/mroute) コ マ ン ド 構文 と 使用法 pim こ の コ マ ン ド を 使用す る と 、 PIM-SM マ ル チ キ ャ ス ト ルー ト お よ び イ ン タ フ ェース をデバ ッ グで き ます。 メ ニ ュ ー項目については、 271 ページ を参照 し て く だ さ い。 igmp こ の コ マ ン ド を使用す る と 、 ロ ーカル イ ン タ フ ェース で IGMP joins をデバ ッ グ で き ます。 メ ニ ュ ー項目については、 275 ページ を参照 し て く だ さ い。 270 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/debug/mroute/pim PIM Debug Menu [PIM Debug Menu] mrt - Multicast Route Table Information vif - Virtual Interface Table Information [PIM Multicast Debug Menu] には、 Firewall Director のカーネルを ト ラ ブルシ ュ ーテ ィ ン グす る 情報が表示 さ れます。 表 14-28 Multicast Debug Menu (/maint/debug/mroute/pim) コ マ ン ド 構文 と 使用法 mrt こ の コ マ ン ド を 使用す る と 、 フ ァ イ ア ウ ォ ールで利用で き る カ ーネル マルチ キ ャ ス ト ルー ト をデバ ッ グで き ます。 メ ニ ュ ー項目については、 272 ページ を参照 し て く だ さ い。 vif こ の コ マ ン ド は、 カーネルの仮想 イ ン タ フ ェース テーブルを表示 し ます。 メ ニ ュ ー項目については、 274 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 271 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/debug/mroute/pim/mrt Debug Multicast Route Menu [Dbg mrt Menu] kernel - Kernel MRT Information [Debug Multicast Route table Information Menu] には、PIM デーモ ン か ら カーネル情報の ト ラ ブルシ ュ ーテ ィ ン グ を行 う デバ ッ グ コ マ ン ド が表示 さ れ ます。 カーネル キ ャ ッ シ ュ エ ン ト リ は、 Firewall Accelerator にオ フ ロ ー ド さ れ、 cfgd テーブルに表示 さ れ る エ ン ト リ です。 表 14-29 Multicast Route Information Menu (/maint/debug/mroute/pim/mrt) コ マ ン ド 構文 と 使用法 kernel こ の コ マ ン ド は、 Firewall Director のカーネル テーブル情報を表示 し ます。 マル チキ ャ ス ト ルー ト の ト ラ ブルシ ュ ーテ ィ ン グには、こ の コ マ ン ド を使用 し ます。 こ の コ マ ン ド には、 cfgd デーモ ン以外のエ ン ト リ も あ り ま す。 こ れ ら のエ ン ト リ は、 encap/decap の登録に使用 さ れ ます。 メ ニ ュ ー項目については、 273 ページ を参照 し て く だ さ い。 272 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/debug/mroute/pim/mrt/kernel Kernel Multicast Route Menu [Kernel MRT Information Menu] table - Display kernel multicast route table cache - Display kernel multicast cache [Kernel Multicast Route table Information Menu] には、 PIM デーモ ン か ら カーネル情報 の ト ラ ブルシ ュ ーテ ィ ン グ を行 う デバ ッ グ コ マ ン ド を表示 さ れ ます。 表 14-30 Multicast Route Information Menu (/maint/debug/mroute/pim/mrt/kernel) コ マ ン ド 構文 と 使用法 table こ の コ マ ン ド は、 マルチキ ャ ス ト vif テーブルを表示 し ます。 cache こ の コ マ ン ド は、 Firewall Director のカーネル テーブル情報を表示 し ます。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 273 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/debug/mroute/pim/vif Debug Virtual Interface Table Menu [Dbg vif Menu] kernel - Display kernel vif table [Virtual Interface Table Information Menu] には、マルチキ ャ ス ト イ ン タ フ ェ ース が表示 さ れ ます。 マルチキ ャ ス ト VLAN は仮想 イ ン タ フ ェース と し て保持 さ れます。 各ルー ト は最大 31 個の送信 VLAN に分割で き ます。 表 14-31 Virtual Interface Table Information Menu (/maint/debug/mroute/pim/vif) コ マ ン ド 構文 と 使用法 kernel こ の コ マ ン ド は、 Firewall Director のカーネル仮想 イ ン タ フ ェース テーブルを表 示 し ます。 マルチキ ャ ス ト イ ン タ フ ェース の ト ラ ブルシ ュ ーテ ィ ン グに使用 し ます。 274 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/debug/mroute/igmp kernel IGMP Information Menu [kernel IGMP Information Menu] proc - Display /proc/net/igmp table maddr - Displays kernel multicast table [kernel IGMP Information Menu] には、 IGMP が結合す る ロ ーカル イ ン タ フ ェース が表 示 さ れ ます。 NSF 4.4.1 がエ ッ ジ ルー タ ー と し て設定 さ れてい る 場合、 こ の コ マ ン ド が役立ち ます。 表 14-32 Kernel IGMP Information Menu (/maint/debug/mroute/igmp) コ マ ン ド 構文 と 使用法 proc こ の コ マ ン ド は、 マルチキ ャ ス ト グループ メ ンバーシ ッ プ情報を表示 し ます。 maddr こ の コ マ ン ド は、 マルチキ ャ ス ト テーブルの IP ア ド レ ス情報を表示 し ます。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 275 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/debug/pim PIM Debug Menu [PIM Debug Menu] info igmp kern hello register joinprune ipdetail bootstrap assert candrp pimrte timer rpf detail misc asfdebug all msgs cur - Set log all INFO events Set log IGMP events Set log PIM kernel events Set log PIM hello events Set log PIM Register events Set log PIM Join/Prune events Set log PIM Join/Prune detail events Set log PIM bootstrap events Set log PIM assert events Set log PIM CandRP events Set log PIM route events Set log PIM timer events Set log PIM RPF events Set log PIM detail events Set log Multicast trace,timeout,pkt packets Set More debug info for ASF Set log all multicast events View last 100 debug messages Display current settings [PIM Debug Information Menu] を使用す る と 、PIM イ ベン ト をデバ ッ グす る フ ラ グ を オ ン にで き ます。 276 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/debug/rip RIP Debug Menu [RIP Debug Menu] events - Set log RIP events packets - Set log RIP packets msgs - View last 100 debug messages [RIP Debug Information Menu] は、 RIP のデバ ッ グ情報を表示す る 場合に使用 し ます。 表 14-33 RIP Debug Menu (/maint/debug/rip) コ マ ン ド 構文 と 使用法 events こ の コ マ ン ド を使用す る と 、 RIP イ ベン ト を オ ン にで き ます。 packets こ の コ マ ン ド は、 RIP パケ ッ ト に関す る 詳細情報を表示 し ます。 msgs こ の コ マ ン ド は、 ロ グ フ ァ イ ルか ら 最新の 100 件の メ ッ セージ を表示 し ます。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 277 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/tsdump Tech Support Dump Menu [Tech Support dump exdump export cur Menu] - Create a Tech Support dump - Create a Tech Support dump including logs - Copy the tsdump file to floppy/usb/tftp/ftp/scp/sftp - Current Tech Support Information [Tech Support Dump Menu] は、技術サポー ト 用のダ ン プ を作成す る 場合に使用 し ます。 表 14-34 Tech Support Dump Menu (/maint/tsdump) コ マ ン ド 構文 と 使用法 dump こ の コ マ ン ド は、 ロ グ を含めずに技術サポー ト ダ ン プ を作成 し ます。 通常、 ダ ンプはフ ロ ッ ピー デ ィ ス ク に収ま る サ イ ズです。 exdump こ の コ マ ン ド は、 入手で き る すべての ロ グ を含めて技術サポー ト ダ ン プ を作成 し ます。 通常、 ダ ン プのサ イ ズは 1 MB を超え ます。 export こ の コ マ ン ド を使用す る と 、 フ ロ ッ ピー デ ィ ス ク ま たは USB メ モ リ ス テ ィ ッ ク に tsdump フ ァ イ ルを コ ピーで き ます。 ま た、 TFTP/FTP/SCP/SFTP サーバー に フ ァ イ ルを転送す る こ と も で き ます。 ダ ン プ フ ァ イ ル (.tgz) は、 フ ロ ッ ピー デ ィ ス ク ま たは USB メ モ リ ス テ ィ ッ ク に コ ピー さ れます。 cur ダ ン プ フ ァ イ ル シ ス テ ム デー タ (フ ァ イ ル名、作成日、 サ イ ズ) を表示 し ます。 278 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/swfc SFA Flow Control Configuration Menu [SFA Flow Control Configuration Menu] window - Set Window Size sync - Set Sync Interval ena - Enable SFA Flow Control dis - Disable SFA Flow Control [SFA Flow Control Configuration Menu] (SFA : Switched Firewall Accelerator) は、DOS 攻 撃か ら フ ァ イ ア ウ ォ ールを保護す る 設定を指定す る 場合に使用 し ます。 表 14-35 SFA Flow Control Configuration Menu (/maint/swfc) コ マ ン ド 構文 と 使用法 window こ の コ マ ン ド は、 フ ロ ー管理の 「 ウ ィ ン ド ウ 」 サ イ ズ を設定 し ま す。 こ の コ マ ン ド は、 TCP 伝送の ウ ィ ン ド ウ 概念 と 同様に機能 し ま す。 Firewall Accelerator は、 Director への未解決の要求が こ の制限内にあ る こ と を確認 し ます。 制限を超 え る と 、 Firewall Accelerator はその Firewall Director 宛のパケ ッ ト の破棄を開始 し ます。 デフ ォ ル ト 値は 1000 です。 sync こ の コ マ ン ド は、 Firewall Accelerator お よ び Firewall Director が フ ロ ー管理情報 を交換す る 間隔を設定 し ます。 デフ ォ ル ト 値は 1 秒です。 ena こ の コ マ ン ド は、 SFA フ ロ ー管理を有効に し ます。 dis こ の コ マ ン ド は、 SFA フ ロ ー管理を無効に し ます。 217014-B-JA, 2005 年 12 月 第 14 章 : [Main Menu] 279 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /maint/backup Backup Restore Menu [Backup Restore Menu] create - Create a backup of the firewall director export - Copy the backup file to floppy/usb/tftp/ftp/scp/sftp cur - Current backup file information [Backup Restore Menu] を使用す る と 、 Director 設定をバ ッ ク ア ッ プ し 、 後で同 じ 状態 に復元で き ます。 バ ッ ク ア ッ プ と 復元機能は Director 専用であ り 、 ク ラ ス タ 用ではあ り ません。 ク ラ ス タ 全体をバ ッ ク ア ッ プす る には、 各 Director に ロ グ イ ン し 、 別々にバ ッ ク ア ッ プ を作 成す る 必要があ り ます。 ク ラ ス タ のあ る メ ンバーか ら 作成 し たバ ッ ク ア ッ プ を使用 し て、 別の メ ンバーを復元す る こ と はで き ません。 特定の Director か ら 作成 し たバ ッ ク ア ッ プは、 同 じ Director を復元す る か、 その Director に置 き 換え る 場合にのみ使用で き ます。 Director 設定のバ ッ ク ア ッ プ方法の詳細については、「 フ ァ イ アウ ォ ール設定のバ ッ ク ア ッ プ と 復元」 (459 ページ) を参照 し て く だ さ い。 表 14-36 Backup Restore Menu (/maint/backup) コ マ ン ド 構文 と 使用法 create こ の コ マ ン ド を実行す る と 、 Firewall Director 設定のバ ッ ク ア ッ プの作成を要求 す る プ ロ ン プ ト 画面が表示 さ れます。 export こ の コ マ ン ド を実行す る と 、 フ ロ ッ ピー デ ィ ス ク 、 USB メ モ リ ス テ ィ ッ ク 、 ま たは TFTP/FTP/SCP/SFTP サーバーにバ ッ ク ア ッ プ フ ァ イ ルの コ ピ ー作成 を 要求す る プ ロ ン プ ト 画面が表示 さ れ ま す。 サーバーは匿名 ロ グ イ ン が可能で あ る 必要があ り ます。 cur こ の コ マ ン ド は、 現在のバ ッ ク ア ッ プ フ ァ イ ルに関す る 情報を表示 し ます。 280 第 14 章 : [Main Menu] 217014-B-JA, 2005 年 12 月 第 15 章 設定 メ ニ ュ ー こ の章では、 Nortel Switched Firewall を設定す る ための コ マ ン ド ラ イ ン イ ン タ フ ェー ス の設定 メ ニ ュ ーについて説明 し ます。 /cfg [Configuration Menu] [Configuration Menu] sys - System-wide Parameter Menu pnp - SFD IP and Firewall License Menu acc - Accelerator Configuration Menu sec - Security Configuration net - Network Configuration Menu fw - Firewall Configuration Menu apps - Third party applications ptcfg - Backup current configuration to TFTP/FTP/SCP/SFTP server gtcfg - Restore current configuration from TFTP/FTP/SCP/SFTP server misc - Miscellaneous Settings Menu dump - Dump configuration on screen for copy-and-paste 281 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス [Configuration Menu] は、 Nortel Switched Firewall の設定に使用 し ま す。 一部の コ マ ン ド は管理者 と し て ロ グ イ ン し た場合にのみ使用で き ます。 表 15-1 [Configuration Menu] (/cfg) コ マ ン ド 構文 と 使用法 sys [System Menu] は、シ ス テ ム全体のパ ラ メ ー タ を各 ク ラ ス タ ベース で設定す る 場 合に使用 し ます。 メ ニ ュ ー項目については、 284 ページ を参照 し て く だ さ い。 pnp [SFD IP and Firewall License Menu] (Plug N Play メ ニ ュ ー) は、 ク ラ ス タ に新 し く 追加 さ れ る コ ン ポーネ ン ト の自動設定に使用 さ れ る リ ソ ー ス を、 あ ら か じ め 設定す る 場合に使用 し ます。 こ の メ ニ ュ ーか ら 設定可能な リ ソ ー ス には、 IP ア ド レ スお よ び Check Point ラ イ セ ン ス のプールが含まれ ます。 メ ニ ュ ー項目については、 334 ページ を参照 し て く だ さ い。 acc [Accelerator Configuration Menu] は、 ク ラ ス タ の Firewall Accelerator に関す る パ ラ メ ー タ の設定に使用 し ます。 こ の メ ニ ュ ーには、 Firewall Accelerator の IP ア ド レ ス と MAC ア ド レ ス、 お よ びハ イ アベ イ ラ ビ リ テ ィ と 自動検出機能に関す る オプシ ョ ン を設定す る ためのサブ メ ニ ュ ーが含ま れます。 メ ニ ュ ー項目については、 336 ページ を参照 し て く だ さ い。 sec [Security Configuration Menu] は、 ク ラ ス タ の Firewall Accelerator に関す る セキ ュ リ テ ィ パ ラ メ ー タ の設定に使用 し ます。 こ の メ ニ ュ ー内の コ マ ン ド を使用す る と 、 LandAttack、 Nullscan、 Xmasscan、 ScanSynFin、 Smurf Attack、 Port Zero、 Blat、 お よ び Fraggle 攻撃か ら フ ァ イ ア ウ ォ ールを保護す る こ と がで き ます。 メ ニ ュ ー項目については、 343 ページ を参照 し て く だ さ い。 net [Network Configuration Menu] は、フ ァ イ ア ウ ォ ールを経由 し てネ ッ ト ワー ク を流 れ る ト ラ フ ィ ッ ク の設定に使用 し ます。 メ ニ ュ ー項目については、 346 ページ を参照 し て く だ さ い。 fw [Firewall Configuration Menu] は、 フ ァ イ ア ウ ォ ールの有効化や Check Point の Secure Internal Communications (SIC) の リ セ ッ ト と い っ た、 フ ァ イ ア ウ ォ ール関 連オプシ ョ ンの設定に使用 し ます。 メ ニ ュ ー項目については、 444 ページ を参照 し て く だ さ い。 apps [Application Configuration Menu] は、 他社製 ア プ リ ケ ー シ ョ ン 用の セ キ ュ ア な ルー ト の設定に使用 し ます。 メ ニ ュ ー項目については、 451 ページ を参照 し て く だ さ い。 282 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-1 [Configuration Menu] (/cfg) コ マ ン ド 構文 と 使用法 ptcfg <TFTP/FTP/SCP/SFTP プ ロ ト コ ル > < サーバー名または IP ア ド レ ス > < フ ァ イル名 > こ の コ マ ン ド は、 選択 さ れてい る TFTP/FTP/SCP/SFTP サーバー上の フ ァ イ ル に、 現在の設定を秘密キーお よ び証明書 と と も に保存 し ま す。 情報はプ レーン テ キ ス ト フ ァ イ ルに保存 さ れ、 gtcfg コ マ ン ド を使用 し て後か ら 復元す る こ と がで き ます。 デフ ォ ル ト のプ ロ ト コ ル サーバーは TFTP です。 情報を TFTP/FTP/SCP/SFTP サーバーへ送信す る 前に、 プ ロ ン プ ト でパ ス ワー ド を指定す る よ う に求め ら れ ま す。 パ ス ワ ー ド は、 格納 さ れてい る 秘密キーを すべて暗号化す る ために使用 さ れ ます。 設定情報を gtcfg コ マ ン ド を使用 し て 後か ら 復元す る 場合は、 プ ロ ン プ ト でパ ス ワ ー ド を再入力す る よ う に求め ら れ ます。 gtcfg <TFTP/FTP/SCP/SFTP プ ロ ト コ ル > < サーバー名または IP ア ド レ ス > < フ ァ イル名 > こ の コ マ ン ド は、選択 さ れてい る TFTP/FTP/SCP/SFTP サーバーか ら 、設定フ ァ イ ルを秘密キーお よ び証明書 と と も に取 り 出 し て適用 し ます。 ptcfg コ マ ン ド を使用 し て設定フ ァ イ ルを作成 し た と き のパ ス ワ ー ド を入力す る よ う にプ ロ ン プ ト で求め ら れます。 デフ ォ ル ト のプ ロ ト コ ル サーバーは TFTP です。 misc [Miscellaneous Settings Menu] は、設定警告 メ ッ セージ を表示 / 非表示にす る 場合 に使用 し ます。 メ ニ ュ ー項目については、 454 ページ を参照 し て く だ さ い。 dump こ の コ マ ン ド は、 現在の設定パ ラ メ ー タ 情報を CLI 互換形式で表示 し ます。 コ ピー ア ン ド ペー ス ト 操作を実行 し て画面表示を取 り 込み、 テ キ ス ト エデ ィ タ フ ァ イ ルに設定内容を保存で き ます。 設定内容は、 保存 し た テ キ ス ト フ ァ イ ル の内容を CLI の任意の コ マ ン ド プ ロ ン プ ト にペース ト す る こ と で、 後で復元す る こ と がで き ます。 ペース ト を終了す る と 、設定内容が Nortel Switched Firewall に よ っ てバ ッ チ処理 さ れ ます。 バ ッ チ処理の結果であ る 保留中の設定変更を表示す る には、 diff コ マ ン ド を使用 し ます。 保留中の設定変更を適用す る には、 apply コ マ ン ド を使 用 し ます。 設定ダ ン プに秘密キーを含め る 場合は、 パ ス ワー ド を指定す る 必要があ り ます。 指定 し たパ ス ワ ー ド は、すべての秘密情報を暗号化す る ために使用 さ れ ます。秘 密情報を含む設定を復元す る 場合には、 グ ロ ーバルの paste コ マ ン ド を使用 し ま す。 設定内容のペー ス ト 前に、 パ ス ワ ー ド を再入力す る よ う にプ ロ ン プ ト で 求め ら れ ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 283 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys [System Menu] [System Menu] time dns cluster accesslist adm log user lbopts ups - Date and Time Menu DNS Servers Menu Cluster Menu Access List Menu Administrative Applications Menu Platform Logging Menu User access control menu Load-balancing options APC UPS Menu [System Menu] は、 シ ス テ ム全体のパ ラ メ ー タ を各 ク ラ ス タ ベース で設定す る 場合に 使用 し ます。 表 15-2 [System Menu] (/cfg/sys) コ マ ン ド 構文 と 使用法 time [Date and Time Menu] は、 ク ラ ス タ シ ス テ ム の日付、 時刻、 タ イ ム ゾーン、 お よ び NTP オプシ ョ ン を設定す る 場合に使用 し ます。 メ ニ ュ ー項目については、 286 ページ を参照 し て く だ さ い。 dns [DNS Servers Menu] を使用す る と 、 ド メ イ ン ネーム シ ス テ ム (DNS) のパ ラ メ ー タ を変更で き ます。 メ ニ ュ ー項目については、 288 ページ を参照 し て く だ さ い。 cluster [Cluster Menu] は、 ク ラ ス タ 管理ア ド レ ス を 割 り 当て た り 、 各 Firewall Director メ ニ ュ ーにア ク セ スす る 場合に使用 し ます。 メ ニ ュ ー項目については、 289 ページ を参照 し て く だ さ い。 accesslist [Access List Menu] は、 Nortel Switched Firewall 管理機能に対す る リ モー ト ア ク セ ス を制限す る 場合に使用 し ます。 信頼 さ れ る ク ラ イ ア ン ト の IP ア ド レ ス を ア ク セ ス リ ス ト に追加 し て、 Telnet、 SSH、 ま たは BBI に よ る NSF シ ス テ ムへの ア ク セ ス を許可 し た り 、 ア ク セ ス リ ス ト か ら IP ア ド レ ス を削除 し た り 、 ア ク セ ス リ ス ト を表示 し た り す る こ と がで き ます。 ア ク セ ス リ ス ト が設定 さ れていな い場合には、 リ モー ト 管理機能が有効にな っ ていて も 、 リ モー ト ユーザーはそ れ ら の機能にア ク セ ス で き ません。 メ ニ ュ ー項目については、 293 ページ を参照 し て く だ さ い。 adm [Administrative Applications Menu] は、 Nortel Switched Firewall の リ モー ト 管理機 能 (Telnet、 SSH、 SNMP、 BBI な ど) の設定に使用 し ます。 メ ニ ュ ー項目については、 294 ページ を参照 し て く だ さ い。 284 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-2 [System Menu] (/cfg/sys) コ マ ン ド 構文 と 使用法 log [Platform Logging Menu] は、シ ス テ ム メ ッ セージの ロ ギ ン グ機能の設定に使用 し ま す。 シ ス テ ム メ ッ セージは、 シ ス テ ム の コ ン ソ ール タ ー ミ ナルで あ る ELA フ ァ シ リ テ ィ に ロ グ と し て記録 し 、 フ ァ イ ルにアーカ イ ブ し て電子 メ ールで自 動送信す る こ と がで き ます。 メ ニ ュ ー項目については、 319 ページ を参照 し て く だ さ い。 user [User Menu] は、 Nortel Switched Firewall のユーザー ア カ ウ ン ト の追加、 変更、 削除、 リ ス ト 表示、 お よ びパ ス ワー ド の変更を行 う 場合に使用 し ます。 メ ニ ュ ー項目については、 324 ページ を参照 し て く だ さ い。 lbopts [Load Balancing Options Menu] は、 メ ト リ ッ ク と 重み (相対的な重要性の尺度) に応 じ て Firewall Director の ロ ー ド バ ラ ン シ ン グ を行 う 場合に使用 し ます。 メ ニ ュ ー項目については、 330 ページ を参照 し て く だ さ い。 ups [APC UPS Menu] は、 UPS サポー ト の設定に使用 し ます。 メ ニ ュ ー項目については、 332 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 285 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/time [Date and Time Menu] [Date and Time Menu] date - Set system date time - Set system time tzone - Set Timezone ntp - Configure NTP servers [Date and Time Menu] は、 ク ラ ス タ シ ス テ ム の日付、 時刻、 タ イ ム ゾ ー ン、 お よ び NTP オプシ ョ ン を設定す る 場合に使用 し ます。 こ の メ ニ ュ ーか ら 実行 し たすべての変 更内容はただちに適用 さ れます。 apply コ マ ン ド を実行す る 必要はあ り ません。 表 15-3 [Date and Time Menu] (/cfg/sys/time) コ マ ン ド 構文 と 使用法 date <YYYY-MM-DD> こ の コ マ ン ド は、 指定 さ れた形式に従っ て シ ス テ ム日付を設定 し ます。 time <HH:MM:SS> こ の コ マ ン ド は、 24 時間形式でシ ス テ ム時間を設定 し ます。 tzone [< タ イ ム ゾーン値 >] こ の コ マ ン ド は、 シ ス テ ム タ イ ム ゾーン を設定 し ます。 パ ラ メ ー タ を指定せず に こ の コ マ ン ド を入力す る と 、 大陸 / 大洋、 国、 お よ び地域 (該当す る 場合) の リ ス ト か ら ユーザーの所在地に該当す る 項目を選択す る よ う 求め ら れ ま す。 前 回 こ の コ マ ン ド を 使用 し た と き に選択 し た タ イ ム ゾ ー ン がわか っ て い る 場合 は、 その タ イ ム ゾーン値を引用符で囲んで直接設定す る こ と がで き ます。 ntp [NTP Servers Menu] は、 シ ス テ ム時刻 と NTP サーバーを同期 さ せ る 場合に使用 し ます。 メ ニ ュ ー項目については、 287 ページ を参照 し て く だ さ い。 286 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/time/ntp [NTP Servers Menu] [NTP Servers Menu] list - List all values del - Delete a value by number add - Add a new value [NTP Servers Menu] は、シ ス テ ム時刻 と 同期 さ せ る NTP サーバーを追加ま たは削除す る 場合に使用 し ます。 注 - こ の機能を使用す る には、サーバー と Firewall Director 間の NTP ト ラ フ ィ ッ ク を 許可す る フ ァ イ ア ウ ォ ール ルールを組み込む必要があ り ます。 表 15-4 [NTP Servers Menu] (/cfg/sys/time/ntp) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、設定済みのすべての NTP サーバーの イ ンデ ッ ク ス番号 と IP ア ド レ ス を リ ス ト 表示 し ます。 del < イ ンデ ッ ク ス番号 > こ の コ マ ン ド を使用す る と 、 指定 し た イ ンデ ッ ク ス番号が設定 さ れた NTP サー バーを削除で き ます。list コ マ ン ド を使用 し て、設定 さ れてい る NTP サーバー の イ ンデ ッ ク ス番号 と IP ア ド レ ス を表示 し ます。 add <NTP サーバー IP ア ド レ ス > こ の コ マ ン ド を使用す る と 、 NTP サーバーを追加で き ます。 指定 し た IP ア ド レ ス が設定 さ れた NTP サーバーが、 Nortel Switched Firewall シ ス テ ム ク ロ ッ ク と の同期に使用 さ れ る NTP サーバーの リ ス ト に追加 さ れ ます。 サーバー間の矛盾 を補正す る ために、 複数の NTP サーバー (少な く と も 3 台) を使用可能に し て お き ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 287 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/dns [DNS Servers Menu] [DNS Servers Menu] list - List all values del - Delete a value by number add - Add a new value insert - Insert a new value move - Move a value by number [DNS Servers Menu] を使用す る と 、 ド メ イ ン ネーム シ ス テ ム (DNS) のパ ラ メ ー タ を 変更で き ます。 注 - こ の機能を使用す る には、サーバー と Firewall Director 間の DNS ト ラ フ ィ ッ ク を 許可す る フ ァ イ ア ウ ォ ール ルールを組み込む必要があ り ます。 表 15-5 [DNS Servers Menu] (/cfg/sys/dns) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 すべての DNS サーバーを、 その イ ンデ ッ ク ス 番号 と IP ア ド レ ス で表示 し ます。 del < イ ンデ ッ ク ス番号 > こ の コ マ ン ド を 使用す る と 、 イ ン デ ッ ク ス 番号で DNS サーバー を 削除で き ま す。 list コ マ ン ド を使用 し て、 追加 さ れてい る DNS サーバーの イ ンデ ッ ク ス 番号 と IP ア ド レ ス を表示 し ます。 add <DNS サーバー IP ア ド レ ス > こ の コ マ ン ド を使用す る と 、 DNS サーバーを追加で き ます。 指定 し た IP ア ド レ ス の DNS サーバーが追加 さ れ ます。 insert < イ ンデ ッ ク ス番号 > <IP ア ド レ ス > こ の コ マ ン ド を 使用す る と 、 リ ス ト 内の指定 し た イ ン デ ッ ク ス 位置に新 し い DNS サーバーを追加で き ます。 指定 し た イ ンデ ッ ク ス 番号お よ びそれ以降の番 号が設定 さ れた既存のサーバーについては、 それぞれの イ ンデ ッ ク ス 番号に 1 が足 さ れ ます。 move <from イ ンデ ッ ク ス番号 > <to イ ンデ ッ ク ス番号 > こ の コ マ ン ド は、 指定 さ れた from イ ンデ ッ ク ス 番号の DNS サーバーを削除 し た後、 指定 さ れた to イ ンデ ッ ク ス番号の位置に挿入 し ます。 288 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/cluster [Cluster Menu] [Cluster Menu] mip host - Set management IP (MIP) address - SFD Host Menu [Cluster Menu] は、 ク ラ ス タ 管理 ア ド レ ス を 割 り 当 て た り 、 各 Firewall Director メ ニ ュ ーにア ク セ スす る 場合に使用 し ます。 表 15-6 [Cluster Menu] (/cfg/sys/cluster) コ マ ン ド 構文 と 使用法 mip < ク ラ ス タ 管理 IP ア ド レ ス > こ の コ マ ン ド は、 ク ラ ス タ の管理 IP (MIP) ア ド レ ス を変更 し ます。 MIP ア ド レ ス は、 ネ ッ ト ワー ク 上の ク ラ ス タ を識別す る ための情報です。 こ のア ド レ ス は、 Telnet、 SSH、 BBI な ど の リ モー ト 管理機能にア ク セ スす る 場合に使用 さ れます。 ネ ッ ト ワ ー ク 上で一意のア ド レ ス を指定す る 必要があ り ます。 host <SFD ホス ト 名 > [Cluster Host 1 Menu] を表示 し ます。 こ の メ ニ ュ ーは、 指定 し た ホ ス ト 番号が設 定 さ れた特定の Firewall Director に対す る ア ク シ ョ ン を 実行す る 場合に使用 し ます。 各 Firewall Director のホ ス ト 番号を リ ス ト 表示す る には、 cur コ マ ン ド を 使用 し ます。 [Cluster Host Menu] を使用す る と 、 指定 し た Firewall Director に対 し 、 マ ス タ ま たは ス レーブ モー ド への切 り 替え、IP ア ド レ ス の設定、一時停止ま たは再起動、 あ る いは出荷時のデフ ォ ル ト 設定値への リ セ ッ ト を実行 し て、 ク ラ ス タ か ら 削 除可能な状態にす る こ と がで き ます。 メ ニ ュ ー項目については、 290 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 289 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/cluster/host < ホス ト 番号 > [Cluster Host Menu] [Cluster Host 1 Menu] type - Set type of the Firewall Director ip - Set IP address name - Set System name hwplatform - Display hardware platform halt - Halt the Firewall Director reboot - Reboot the Firewall Director delete - Remove Firewall Director Host こ の メ ニ ュ ーは、 ホ ス ト 番号で指定 し た Firewall Director に対 し て さ ま ざ ま な ア ク シ ョ ン を実行す る 場合に使用 し ます。 ホ ス ト 番号は、/cfg/sys/cluster/cur コ マ ン ド を使用 し て取得す る こ と がで き ます。 290 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-7 [Cluster Host Menu] (/cfg/sys/cluster/host) コ マ ン ド 構文 と 使用法 type master|slave こ の コ マ ン ド を使用す る と 、 現在選択 さ れてい る Firewall Director を、 マ ス タ ま たは ス レーブ と し て設定で き ます。 マ ス タ では、 ク ラ ス タ の MIP ア ド レ ス を管 理す る こ と がで き ます。 同一の ク ラ ス タ 内では最大 4 つのマ ス タ を作成で き ま す。 ア ク テ ィ ブな マ ス タ に障害が発生 し た場合は、 残 り のマ ス タ のいずれか 1 つが ア ク テ ィ ブ に な っ て MIP ア ド レ ス を 管理 し ま す。 ク ラ ス タ 内の Firewall Director の 合計数お よ び必要 な 冗長性 レ ベル に 応 じ て、 2 ~ 4 つ の Firewall Director ホ ス ト を マ ス タ と し て設定す る こ と をお勧め し ます。 [Setup Menu] で [new] を選択 し て新 し い ク ラ ス タ に最初の Firewall Director を イ ン ス ト ールす る と 、 その Firewall Director は自動的にマ ス タ と し て設定 さ れ ま す。 [Setup Menu] で [join] を 選択 し て同一 ク ラ ス タ に複数の Firewall Director を追加す る 場合、 最初の 3 つの Firewall Director がマ ス タ と し て設定 さ れ ます。 すでに 4 つのマ ス タ が組み込 ま れてい る ク ラ ス タ に 1 つ ま たは複数の Firewall Director を追加す る 場合、 追加 し た Firewall Director は自動的に ス レーブ と し て 設定 さ れ ます。 通常、 マ ス タ ま たは ス レ ーブの タ イ プ設定の変更が必要 と な る のは、 ク ラ ス タ か ら 1 つま たは複数のマ ス タ Firewall Director を削除 し た と き だけです。その場 合、 ク ラ ス タ 内に ス レーブの Firewall Director があれば、 そのいずれか を マ ス タ に変更す る こ と がで き ます。 現在ど の Firewall Director が MIP ア ド レ ス を管理 し てい る か を確認す る には、 /info/clu コ マ ン ド を使用 し ます。 ク ラ ス タ 内の各 Firewall Director のホ ス ト 番号を表示す る には、 /cfg/sys/cluster/cur コ マ ン ド を使用 し ます。 ip <Firewall Director IP address> こ の コ マ ン ド は、 現在選択 さ れてい る Firewall Director の IP ア ド レ ス を設定 し ます。 こ の コ マ ン ド で IP ア ド レ ス を変更 し て も 、 ク ラ ス タ 自体を定義す る MIP ア ド レ ス に影響はあ り ません。 IP ア ド レ ス は、 ド ッ ト 付 き 10 進表記で指定 し ま す。 新 し い IP ア ド レ ス を適用す る と 、 ユーザーはその Firewall Director か ら 自動的 に ロ グ ア ウ ト さ れ る こ と に注意 し て く だ さ い。 name こ の コ マ ン ド を 使用す る と 、 ユーザーに と っ て わか り やすい名前 を 各 Firewall Director に付け る こ と がで き ま す。 Firewall Director に admin ユーザー と し て ロ グ イ ンす る と 、 その Firewall Director の名前がバナーの一部分に表示 さ れ ます。 こ の表示に よ り 、 Firewall Director を簡単に識別で き ます。 hwplatform こ の コ マ ン ド は、 Firewall Director の タ イ プ を表示 し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 291 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-7 [Cluster Host Menu] (/cfg/sys/cluster/host) コ マ ン ド 構文 と 使用法 halt 確認応答 の 後、 現在選択 さ れ て い る Firewall Director を 停止 し ま す。 Firewall Director の電源を オ フ にす る 前に、 必ず こ の コ マ ン ド を実行 し て く だ さ い。 ま た、 停止 し たい Firewall Director が ク ラ ス タ か ら 除外 さ れてい る 場合に halt コ マ ン ド を実行す る と 、 エ ラ ー メ ッ セージが表示 さ れ ます。 その場合、 対象の Firewall Director 自体のシ リ アル ポー ト を使用 し て(ま たはその Firewall Director 固有の IP ア ド レ ス への Telnet 接続ま たは SSH 接続に よ っ て) Firewall Director に ロ グ イ ン し てか ら 、 /boot/halt コ マ ン ド を実行 し て停止 さ せ る こ と がで き ます。 reboot 確認応答の後、 現在選択 さ れてい る Firewall Director を再起動 し ます。 再起動 し た い Firewall Director が ク ラ ス タ か ら 除外 さ れ て い る 場合に reboot コ マ ン ド を実行す る と 、 エ ラ ー メ ッ セージが表示 さ れ ます。 その場合、 対象の Firewall Director のシ リ アル ポー ト を使用 し て (ま たはその Firewall Director の IP ア ド レ ス への Telnet 接続 ま たは SSH 接続に よ っ て) Firewall Director に ロ グ イ ン し てか ら 、 /boot/reboot コ マ ン ド を使用 し ます。 delete こ の コ マ ン ド を使用す る と 、 現在選択 さ れてい る Firewall Director を、 ク ラ ス タ か ら 完全に削除 し て出荷時のデ フ ォ ル ト 設定値に リ セ ッ ト す る こ と が で き ま す。 こ の コ マ ン ド は、 ク ラ ス タ 内のその他の Firewall Director には影響 し ません。 目的の Firewall Director が削除 さ れた こ と を確認す る には、cur コ マ ン ド を実行 し て現在の設定を表示 し ます。 ク ラ ス タ 内のすべての Firewall Director のホ ス ト 番号、 タ イ プ (マ ス タ ま たは ス レ ーブ) 、 お よ び IP ア ド レ ス を表示す る には、 /cfg/sys/cluster/cur コ マ ン ド を使用 し ます。 delete コ マ ン ド を実行 し て Firewall Director を ク ラ ス タ か ら 削除 し た場合、 こ の Firewall Director にア ク セ ス で き る のは、そのシ リ アル ポー ト に直接接続 さ れ た コ ン ソ ール端末だけにな り ます。 次に、 管理用ア カ ウ ン ト (admin) と デフ ォ ル ト のパ ス ワー ド (admin) を入力 し て、 [Setup Menu] を表示 し ます。 ク ラ ス タ 内 に 複数 の Firewall Director が 組み込 ま れ て い て、 そ の 中 で ヘル ス チ ェ ッ ク ス テ ー タ ス が [up] を 示す も の が 1 つ し か な い 場合、 そ の Firewall Director を削除す る こ と はで き ま せん。 こ の場合に delete コ マ ン ド を実行す る と 、 エ ラ ー メ ッ セ ー ジ が表示 さ れ ま す。 他の ク ラ ス タ メ ン バーがすべ て [down] ス テー タ ス の場合に ク ラ ス タ か ら Firewall Director を削除す る には、 250 ページの /boot/delete コ マ ン ド の説明を参照 し て く だ さ い。 292 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/accesslist [Access List Menu] [Access List Menu] list - List all values del - Delete a value by number add - Add a new value Nortel Switched Firewall は、 Telnet、 SSH、 ま たは BBI を使用 し て リ モー ト で管理で き ます。 セキ ュ リ テ ィ 上の理由に よ り 、 リ モー ト 管理機能へのア ク セ ス は、 ア ク セ ス リ ス ト に よ り 制限 さ れ ます。 管理者は、 リ モー ト ア ク セ ス リ ス ト を使用 し て シ ス テ ムへの リ モー ト ア ク セ ス を許 可す る 複数の IP ア ド レ ス ま たはア ド レ ス の範囲を指定す る こ と がで き ます。 すべて の リ モー ト 管理機能に よ っ て共有 さ れ る リ モー ト ア ク セ ス リ ス ト は 1 つ し か存在 し ません。 IP ア ド レ ス が リ モー ト ア ク セ ス リ ス ト に存在 し ない ク ラ イ ア ン ト か ら の リ モー ト 管 理ア ク セ ス要求は、 破棄 さ れます。 デフ ォ ル ト では、 ア ク セ ス リ ス ト は空白です。 し たがっ て、デフ ォ ル ト 設定の ま ま では、 リ モー ト 管理ア ク セ ス は一切許可 さ れ ません。 あ る ク ラ イ ア ン ト の IP ア ド レ ス を ア ク セ ス リ ス ト に追加す る と 、 その ク ラ イ ア ン ト には、 現在有効なすべての リ モー ト 管理機能へのア ク セ ス が許可 さ れ ます。 ただ し 、 実際に ア ク セ ス す る た め には、 適切 な ト ラ フ ィ ッ ク の タ イ プ を 許可す る フ ァ イ ア ウ ォ ール ルールが定義 さ れてい る こ と 、 お よ びその ク ラ イ ア ン ト のユーザーが所定 のパ ス ワ ー ド を入力す る こ と が必要です。 表 15-8 に、 [Access List Menu] で使用で き る オプシ ョ ン コ マ ン ド について説明 し ま す。 表 15-8 [Access List Menu] (/cfg/sys/accesslist) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 有効にな っ てい る リ モー ト 管理機能にア ク セ ス 可能なすべて の信頼 さ れ る ク ラ イ ア ン ト の イ ン デ ッ ク ス と IP ア ド レ ス 情報 を すべて表示 し ます。 del < イ ンデ ッ ク ス番号 > こ の コ マ ン ド を使用す る と 、 イ ンデ ッ ク ス番号でア ク セ ス エ ン ト リ を削除で き ます。 list コ マ ン ド を使用 し て、 ア ク セ ス エ ン ト リ の イ ンデ ッ ク ス番号 と IP ア ド レ ス を表示 し ます。 add < ユーザー IP ア ド レ ス > <IP サブネ ッ ト マス ク > こ の コ マ ン ド を使用す る と 、 リ モー ト ア ク セ ス リ ス ト に新 し い IP ア ド レ ス ま たは IP ア ド レ ス の範囲を追加で き ます。 IP ア ド レ ス を追加 し た ク ラ イ ア ン ト は すべて信頼 さ れ る ク ラ イ ア ン ト と みな さ れ、 有効にな っ てい る 任意の リ モー ト 管理機能にア ク セ ス で き る よ う にな り ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 293 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm [Administrative Applications Menu] [Administrative Applications Menu] idle - Set CLI idle timeout telnet - Telnet Administration Menu ssh - SSH Administration Menu snmp - SNMP Administration Menu web - Web Administration Menu audit - Audit Settings Menu auth - Authentication Menu [Administrative Applications Menu] は、 Nortel Switched Firewall の リ モ ー ト 管 理 機 能 (Telnet、 SSH、 SNMP、 BBI な ど) の設定に使用 し ます。 表 15-9 [Administrative Application Menu] (/cfg/sys/adm) コ マ ン ド 構文 と 使用法 idle <CLI タ イ ムアウ ト 時間 (300 ~ 3600 秒) > こ の コ マ ン ド は、 ロ ーカル ま たは リ モー ト の非ア ク テ ィ ブな CLI セ ッ シ ョ ンが、 自動的に ロ グ ア ウ ト さ れ る ま でその状態を継続で き る 時間を設定 し ま す。 こ の 時間は秒単位で、 300 ~ 3600 の範囲の値を指定 し ます。 デフ ォ ル ト 値は 600 秒 (10 分) です。 telnet [Telnet Administration Menu] は、 Nortel Switched Firewall 管理 CLI に リ モー ト ア ク セ スす る ための Telnet を有効ま たは無効にす る 場合に使用 し ます。 メ ニ ュ ー項目については、 296 ページ を参照 し て く だ さ い。 ssh [SSH Administration Menu] は、 NSF 管理 CLI に リ モー ト ア ク セ ス す る た め の SSH を有効 ま たは無効にす る 場合に使用 し ま す。 こ の メ ニ ュ ーは、 SSH ホ ス ト キーの生成に も 使用 し ます。 メ ニ ュ ー項目については、 297 ページ を参照 し て く だ さ い。 snmp [SNMP Administration Menu] は、Nortel Switched Firewall の リ モー ト 管理時に使用 す る SNMP を有効ま たは無効にす る 場合に使用 し ます。 こ の メ ニ ュ ーは、 SNMP 情報、 許可レベル、 お よ び ト ラ ッ プ を定義す る ために も 使用 し ます。 メ ニ ュ ー項目については、 300 ページ を参照 し て く だ さ い。 web [Web Administration Menu] は、 BBI を設定す る 場合に使用 し ます。 BBI は、 Web ブ ラ ウ ザ を使用す る Nortel Switched Firewall の リ モー ト 管理に対す る HTTP ア ク セ ス ま たは SSL ア ク セ ス を可能に し ます。 メ ニ ュ ー項目については、 307 ページ を参照 し て く だ さ い。 294 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-9 [Administrative Application Menu] (/cfg/sys/adm) コ マ ン ド 構文 と 使用法 audit [Audit Settings Menu] は、 CLI お よ び Web UI で実行 さ れた コ マ ン ド に関す る ロ グ メ ッ セージ を受信す る よ う にサーバーを設定す る 場合に使用 し ます。 メ ニ ュ ー項目については、 314 ページ を参照 し て く だ さ い。 auth [Authentication Menu] は、 RADIUS 認証を設定す る 場合に使用 し ます。 See メ ニ ュ ー項目については、 317 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 295 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/telnet [Telnet Administration Menu] [Telnet Administration Menu] ena - Enable Telnet dis - Disable Telnet [Telnet Administration Menu] は、Nortel Switched Firewall CLI への リ モー ト Telnet ア ク セ ス を有効ま たは無効にす る 場合に使用 し ます。 デフ ォ ル ト では、 Telnet ア ク セ ス は 無効にな っ てい ます。 実際のセ キ ュ リ テ ィ ポ リ シーの重大度に応 じ て Telnet ア ク セ ス を有効に し 、そのア ク セ ス を 1 台以上の信頼 さ れ る ク ラ イ ア ン ト に制限す る こ と が で き ます。 注 - Telnet は、 セ キ ュ ア な プ ロ ト コ ル で は あ り ま せ ん。 Telnet と Nortel Switched Firewall 間のすべてのデー タ (パ ス ワ ー ド も 含む) は、 暗号化 も 認証 も さ れ ません。 セ キ ュ リ テ ィ の確保 さ れた リ モー ト ア ク セ ス が必須の場合は、 「セキ ュ ア シ ェ ルの使 用」 (223 ページ) を参照 し て く だ さ い。 Telnet 機能の詳細については、 「Telnet の使 用」 (221 ページ) を参照 し て く だ さ い。 表 15-10 [Telnet Administration Menu] (/cfg/sys/adm/telnet) コ マ ン ド 構文 と 使用法 ena こ の コ マ ン ド は、 Telnet 管理機能を有効に し ます。 こ の機能を有効にす る と 、 ク ラ ス タ のア ク セ ス リ ス ト に追加 さ れてい る 信頼 さ れ る ク ラ イ ア ン ト が、 Telnet ア ク セ ス に よ っ て ク ラ ス タ の MIP ア ド レ ス に ア ク セ ス で き る よ う に な り ま す (「 リ モー ト ア ク セス リ ス ト の定義」 (219 ページ) を参照)。 dis こ の コ マ ン ド は、 Telnet 管理機能を無効に し ま す。 こ の機能を無効に し た場合 で も 、 ア ク テ ィ ブ な Telnet 管理セ ッ シ ョ ン お よ び MIP ア ド レ ス に送信 さ れた Telnet 要求はすべて ア ク テ ィ ブな状態で保持 さ れ ます。 デフ ォ ル ト では、 Telnet ア ク セ ス は無効にな っ てい ます。 296 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/ssh [SSH Administration Menu] [SSH Administration Menu] ena - Enable SSH dis - Disable SSH sshkeys - SSH host keys menu [SSH Administration Menu] は、 Nortel Switched Firewall 管理 CLI への リ モー ト ア ク セ ス を行 う SSH を有効 ま たは無効にす る 場合に使用 し ま す。 こ の メ ニ ュ ーは、 SSH ホ ス ト キーの生成に も 使用 し ます。 SSH 接続はそのネ ッ ト ワー ク に接続 さ れていれば、 ど の ワー ク ス テーシ ョ ン か ら で も Nortel Switched Firewall のセ キ ュ ア管理を可能に し ま す。 SSH ア ク セ ス は、 サーバー ホ ス ト 認証、 管理 メ ッ セージの暗号化、 お よ びユーザー認証用のパ ス ワー ド の暗号化 を可能に し ます。 デフ ォ ル ト では、 SSH は無効にな っ てい ます。 注 - こ の機能を使用す る には、 ワ ー ク ス テーシ ョ ン と Firewall Director 間の SSH ト ラ フ ィ ッ ク を許可す る フ ァ イ ア ウ ォ ール ルールを組み込む必要があ り ます。 SSH 機能の詳細については、 「セキ ュ ア シ ェ ルの使用」 (223 ページ) を参照 し て く だ さ い。 表 15-11 [SSH Administration Menu] (/cfg/sys/adm/ssh) コ マ ン ド 構文 と 使用法 ena こ の コ マ ン ド は、 SSH 管理機能を有効に し ま す。 こ の機能を有効にす る と 、 ク ラ ス タ のア ク セ ス リ ス ト に追加 さ れてい る 信頼 さ れ る ク ラ イ ア ン ト が、 SSH ア ク セ ス に よ っ て ク ラ ス タ の MIP ア ド レ ス にア ク セ ス で き る よ う にな り ます (「 リ モー ト ア ク セス リ ス ト の定義」 (219 ページ) を参照)。 dis こ の コ マ ン ド は、 SSH 管理機能を無効に し ま す。 こ の コ マ ン ド に よ る 設定はデ フ ォ ル ト です。 SSH を無効にす る と 、 ア ク テ ィ ブなすべての SSH 管理セ ッ シ ョ ン が自動的に終了 し 、 MIP ア ド レ ス に送信 さ れ る すべての SSH 要求が破棄 さ れ ます。 sshkeys こ の コ マ ン ド を使用す る と 、 SSH ホ ス ト キーの設定お よ び管理がで き ます。 メ ニ ュ ー項目については、 298 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 297 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/ssh/sshkeys [SSH Host Keys Menu] [SSH Host Keys Menu] generate - Generate new SSH host keys for the cluster show - Show current SSH host keys for the cluster knownhosts - SSH known host keys menu [SSH Host Keys Menu] は、 SSH ホ ス ト キーの生成 と 管理を行 う 場合に使用 し ます。 表 15-12 [SSH Host Keys Menu] (/cfg/sys/adm/ssh/sshkeys) コ マ ン ド 構文 と 使用法 generate こ の コ マ ン ド は、 新 し い SSH ホ ス ト キーを生成す る 場合に使用 し ます。 show こ の コ マ ン ド は、 ク ラ ス タ の現在の SSH ホ ス ト キーを示 し ます。 knownhosts こ の コ マ ン ド は、 リ モー ト ホ ス ト の SSH ホ ス ト キーを管理す る 場合に使用 し ます。 メ ニ ュ ー項目については、 299 ページ を参照 し て く だ さ い。 298 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/ssh/sshkeys/knownhosts [SSH Known Host Keys Menu] [SSH Known Host Keys Menu] list - List known SSH keys of remote hosts del - Delete known SSH host key by index add - Add a new SSH host key import - Retrieve SSH key from remote host [SSH Known Host Keys Menu] は、 リ モー ト ホ ス ト の SSH ホ ス ト キーを管理す る 場合 に使用 し ます。 表 15-13 [SSH Known Host Keys Menu] (/cfg/sys/adm/ssh/sshkeys/knownhosts) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 リ モー ト ホ ス ト の既知の SSH キーを リ ス ト 表示す る 場合に使 用 し ます。 del こ の コ マ ン ド は、 イ ンデ ッ ク ス値に基づいて SSH ホ ス ト キーを削除 し ます。 add こ の コ マ ン ド を使用す る と 、 新 し い SSH ホ ス ト キーを追加で き ます。 import こ の コ マ ン ド を使用す る と 、 リ モー ト ホ ス ト の SSH ホ ス ト キーを取得で き ま す。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 299 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/snmp [SNMP Administration Menu] [SNMP Administration Menu] ena - Enable SNMP dis - Disable SNMP model - Set security model level - Set usm security level access - Set read access control events - Set trap events alarms - Set trap alarms rcomm - Set v2c read community wcomm - Set v2c write community users - SNMP USM Users Menu hosts - Trap Hosts Menu system - SNMP System Information Menu adv - Advanced SNMP Options Menu Nortel Switched Firewall ソ フ ト ウ ェ アは、 SNMP の要素を サポー ト し ます。 ネ ッ ト ワー ク 上で SNMP ネ ッ ト ワ ー ク 管理 ス テ ー シ ョ ン を 実行 し て い る 場合は、 以下に示す SNMP の Managed Information Base (MIB) を使用 し て、 NSF 設定情報の読み取 り と 書 き 込み、 お よ び統計情報の収集がで き ます。 MIB II (RFC 1213) Ethernet MIB (RFC 1643) Bridge MIB (RFC 1493) 注 - こ の機能を使用す る には、 管理ス テーシ ョ ン と Firewall Director 間の SNMP ト ラ フ ィ ッ ク を許可す る フ ァ イ ア ウ ォ ール ルールを組み込む必要があ り ます。 表 15-14 [SNMP Administration Menu Options] (/cfg/sys/adm/snmp) コ マ ン ド 構文 と 使用法 ena こ の コ マ ン ド は、 SNMP 機能を有効に し ます。 dis こ の コ マ ン ド は、 SNMP 機能を無効に し ます。 こ の コ マ ン ド に よ る 設定はデフ ォ ル ト です。 model v1|v2c|usm こ の コ マ ン ド は、 NSF が使用す る SNMP セ キ ュ リ テ ィ の形式を指定す る 場合に 使用 し ます。 : SNMP Version 1C のセキ ュ リ テ ィ モデルを使用 し ます。 v2c : SNMP Version 2C のセ キ ュ リ テ ィ モデルを使用 し ます (デフ ォ ル ト )。 usm : SNMP Version 3 のユーザーベース セキ ュ リ テ ィ モデル (USM : Userbased Security Model) を使用 し ます。 v1c 300 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-14 [SNMP Administration Menu Options] (/cfg/sys/adm/snmp) コ マ ン ド 構文 と 使用法 level none|auth|priv こ の コ マ ン ド は、 usm が選択 さ れてい る 場合に限 り 使用 し ます。 こ の コ マ ン ド に よ り 、 SNMPv3 のセキ ュ リ テ ィ モデル (USM) について、 必要なセキ ュ リ テ ィ レベルを指定で き ます。 none : SNMPv3 の暗号化お よ び認証は行われ ません。 auth : SNMPv3 の認証のみが行われ ます。 SNMP ユーザー パ ス ワ ー ド を確認 し てか ら 、 SNMP ア ク セ ス を許可 し ま す。 SNMP 情報はプ レーン テ キ ス ト で 送信 さ れ ます。 priv : SNMPv3 の認証 と 暗号化が行われます。 SNMP ユーザー パ ス ワー ド を 確認 し てか ら SNMP ア ク セ ス を許可 し 、 ユーザーの個別キーを使用 し てすべ ての SNMP 情報を暗号化 し ます (デフ ォ ル ト )。 USM ユーザー名は、 そのパ ス ワ ー ド と 暗号化キー と と も に [SNMP Users Menu] (/cfg/sys/adm/snmp/users) で定義 さ れ ます。 access d|r|rw こ の コ マ ン ド は、 SNMP ア ク セ ス を以下のいずれかのオプシ ョ ン で制御 し ます。 d : SNMP 読み取 り ア ク セ ス を無効に し ます。 ユーザーには、 有効にな っ てい る イ ベン ト メ ッ セージ と ア ラ ーム メ ッ セージのみが送信 さ れ、 NSF か ら の SNMP 情報の読み取 り は許可 さ れ ません (デフ ォ ル ト )。 r : SNMP 読み取 り ア ク セ ス を有効に し ます。 ユーザーには、 有効にな っ てい る イ ベン ト メ ッ セージ と ア ラ ーム メ ッ セージが送信 さ れ、NSF がサポー ト す る MIB か ら の SNMP 情報の読み取 り も 許可 さ れ ます。 rw : SNMP 読み取 り ア ク セ ス と 書 き 込みア ク セ ス を有効に し ます。 ユーザー には、有効にな っ てい る イ ベン ト メ ッ セージ と ア ラ ーム メ ッ セージが送信 さ れ、 NSF がサポー ト す る MIB に対す る SNMP 情報の読み取 り と 書 き 込み も 許 可 さ れます。 events y|n こ の コ マ ン ド は、 SNMP ト ラ ッ プ ホ ス ト に対す る ク ラ ス タ の イ ベン ト メ ッ セー ジの送信を有効 ま たは無効に し ま す。 有効にす る と 、 一般的な イ ベン ト (新 し い コ ン ポーネ ン ト の検出な ど) に関す る メ ッ セージが送信 さ れ ま す。 デフ ォ ル ト では無効にな っ てい ます。 alarms y|n こ の コ マ ン ド は、 SNMP ト ラ ッ プ ホ ス ト に対す る ク ラ ス タ のア ラ ーム メ ッ セー ジの送信を有効ま たは無効に し ます。 ア ラ ーム メ ッ セージは、 管理ア ク シ ョ ン が必要な可能性の あ る 重大な状態を通知 し ま す。 デフ ォ ル ト では無効にな っ て い ます。 rcomm < 読み取 り コ ミ ュ ニ テ ィ ス ト リ ン グ > こ の コ マ ン ド は、セキ ュ リ テ ィ モデル と し て v2c を指定 し た場合にのみ使用 し ます。こ の コ マ ン ド で読み取 り コ ミ ュ ニ テ ィ ス ト リ ン グ を指定す る こ と に よ り 、 ク ラ ス タ への 「get」 SNMP ア ク セ ス を制御 し ます。 コ ミ ュ ニ テ ィ ス ト リ ン グの 最大長は、 32 文字です。 デ フ ォ ル ト の読み取 り コ ミ ュ ニ テ ィ ス ト リ ン グ は public であ る ため、 セ キ ュ リ テ ィ 上、 変更す る 必要があ り ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 301 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-14 [SNMP Administration Menu Options] (/cfg/sys/adm/snmp) コ マ ン ド 構文 と 使用法 wcomm < 書き込みコ ミ ュ ニ テ ィ ス ト リ ング > こ の コ マ ン ド は、セキ ュ リ テ ィ モデル と し て v2c を指定 し た場合にのみ使用 し ま す。 こ のコ マン ド で書き 込みコ ミ ュ ニテ ィ ス ト リ ン グ を 指定する こ と によ り 、 ク ラ ス タ への「 set」 SNMP ア ク セス を 制御し ま す。 コ ミ ュ ニテ ィ ス ト リ ン グ の最大 長は、 32 文字です。 デフ ォ ルト の書き 込みコ ミ ュ ニティ ス ト リ ン グ は public で あ る ため、 セキ ュ リ ティ 上、 private に変更する 必要があ り ま す。 users [SNMP Users Menu] は、 USM ユーザーの リ ス ト 表示、 追加、 削除を行 う 場合に 使用 し ます。 セキ ュ リ テ ィ モデル と し て usm を指定 し た場合は、 [SNMP Users Menu] で定義 し たユーザー と パ ス ワ ー ド に対 し て SNMP ア ク セ ス が許可 さ れ ま す。 メ ニ ュ ー項目については、 303 ページ を参照 し て く だ さ い。 hosts [Trap Hosts Menu] は、ク ラ ス タ の イ ベン ト メ ッ セージ ま たはア ラ ーム メ ッ セー ジ を受信す る ホ ス ト を追加、 削除、 ま たは リ ス ト 表示す る 場合に使用 し ます。 メ ニ ュ ー項目については、 304 ページ を参照 し て く だ さ い。 system [SNMP System Information Menu] は、 サポー ト 連絡先名、 シ ス テ ム名、 シ ス テ ム ロ ケーシ ョ ン な ど の基本的な識別情報を設定す る 場合に使用 し ます。 メ ニ ュ ー項目については、 305 ページ を参照 し て く だ さ い。 adv [SNMP Advanced Settings Menu] は、 一般性の低い SNMP オプシ ョ ン の設定に使 用 し ます。 メ ニ ュ ー項目については、 306 ページ を参照 し て く だ さ い。 302 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/snmp/users [SNMP Users Menu] [SNMP Users Menu] list - List all users del - Delete a user by name add - Add a new user [SNMP Users Menu] は、 USM ユーザーの リ ス ト 表示、 追加、 削除を行 う 場合に使用 し ます。 /cfg/sys/adm/snmp/model で、 セキ ュ リ テ ィ モデル と し て usm を選択 し た場合は、 こ の メ ニ ュ ーで定義 し たユーザー と パ ス ワー ド に対 し て SNMP ア ク セ ス が 許可 さ れ ます。 表 15-15 [SNMP Users Menu Options] (/cfg/sys/adm/snmp/users) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 設定 さ れてい る すべての USM ユーザーを リ ス ト 表示 し ます。 del < ユーザー名 > こ の コ マ ン ド を使用す る と 、 ク ラ ス タ 設定か ら 任意の USM ユーザーを削除で き ます。 list コ マ ン ド を使用 し て、 設定 さ れてい る USM ユーザーを表示 し ます。 add < ユーザー名 > こ の コ マ ン ド を使用す る と 、 USM ユーザーを追加で き ます。 コ マ ン ド を実行す る と 、 以下の情報を入力す る よ う にプ ロ ン プ ト で求め ら れます。 get と trap の一方ま たは両方 : SNMP get 要求の実行ま たは有効に さ れた trap の イ ベン ト メ ッ セージ と ア ラ ーム メ ッ セージの受信、 あ る いはその両方 を行え る よ う にユーザーに権限を与え る か ど う か を指定 し ます。 両方を許可 す る には、 get trap を入力 し ます。 ユーザー パ ス ワー ド (お よ びその確認入力) : ユーザーがア ク セ ス時に入力す る 必要のあ る パ ス ワー ド を指定 し ます。 NSF 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 303 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/snmp/hosts [Trap Hosts Menu] [Trap Hosts Menu] list - List all values del - Delete a value by number add - Add a new value [Trap Hosts Menu] は、 ク ラ ス タ か ら の SNMP イ ベ ン ト メ ッ セージ ま た は ア ラ ー ム メ ッ セージ を受信す る ホ ス ト を追加、削除、ま たは リ ス ト 表示す る 場合に使用 し ます。 表 15-16 [Trap Hosts Menu] (/cfg/sys/adm/snmp/hosts) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 ク ラ ス タ か ら の SNMP イ ベ ン ト メ ッ セージ ま た は ア ラ ー ム メ ッ セージ を受信す る よ う 設定 さ れてい る すべての ト ラ ッ プ ホ ス ト を リ ス ト 表 示 し ます。 del < イ ンデ ッ ク ス番号 > こ の コ マ ン ド を使用す る と 、 指定 し た イ ンデ ッ ク ス番号が設定 さ れた SNMP ト ラ ッ プ ホ ス ト を、 ク ラ ス タ 設定か ら 削除で き ます。 list コ マ ン ド を使用 し て、 設定 さ れてい る ト ラ ッ プ ホ ス ト の イ ンデ ッ ク ス 番号 と IP ア ド レ ス を表示 し ま す。 add < ト ラ ッ プ ホス ト の IP ア ド レ ス > < ポー ト 番号 > < コ ミ ュ ニ テ ィ ス ト リ ング > < ト ラ ッ プ ユーザー (usm)> こ の コ マ ン ド を使用す る と 、 SNMP ト ラ ッ プ ホ ス ト を追加で き ます。 指定 し た IP ア ド レ ス が設定 さ れた ト ラ ッ プ ホ ス ト は、 有効にな っ てい る SNMP メ ッ セー ジ を ク ラ ス タ か ら 受信 し ます。 イ ベン ト メ ッ セージ と ア ラ ーム メ ッ セージは、 [SNMP Administration Menu] (300 ページ を参照) で、 それぞれ有効 ま たは無効 にで き ます。 デフ ォ ル ト では、 ポー ト 番号は 162 に、 コ ミ ュ ニ テ ィ ス ト リ ン グ は v2c に設定 さ れます。 ト ラ ッ プ メ ッ セージが SNMPv1 ま たは SNMPv2c で送信 さ れ る 場合は、そのバー ジ ョ ン の コ ミ ュ ニ テ ィ ス ト リ ン グ を設定す る 必要があ り ます。 フ ァ イ ア ウ ォ ー ルでサポー ト さ れ る SNMP のバージ ョ ンは 1 つのみであ る ため、 メ ッ セージに そ のバージ ョ ン の コ ミ ュ ニ テ ィ ス ト リ ン グ が使用 さ れて い る か ど う かが NSF の設定に よ っ て判別 さ れます (つま り 、 NSF を v1 ま たは v2 に設定 し た場合は、 該当の コ ミ ュ ニ テ ィ ス ト リ ン グ を指定す る 必要があ り ます)。 ト ラ ッ プ メ ッ セージ が SNMPv3 (USM) で送信 さ れ る 場合は、 ト ラ ッ プ ユー ザーを指定 し ます。ト ラ ッ プ ユーザーを指定す る 必要があ る のは、セキ ュ リ テ ィ モデル と し て usm を指定 し た場合だけです。 304 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/snmp/system [SNMP System Information Menu] [SNMP System Information Menu] contact - Set Contact name - Set Name loc - Set Location [SNMP System Information Menu] は、 サポー ト 連絡先名、 シ ス テ ム名、 シ ス テ ム ロ ケー シ ョ ン な ど の基本的な識別情報を設定す る 場合に使用 し ます。 表 15-17 [SNMP System Information Menu] (/cfg/sys/adm/snmp/system) コ マ ン ド 構文 と 使用法 contact < 新 し い文字列 (最大 64 文字) > シ ス テ ム に関す る 連絡先の名前を設定 し ます。 連絡先の最大長は、 64 文字です。 name < 新 し い文字列 (最大 64 文字) > シ ス テ ム の名前を設定 し ます。 シ ス テ ム名の最大長は、 64 文字です。 loc < 新 し い文字列 (最大 64 文字) > シ ス テ ム ロ ケーシ ョ ン の名前を設定 し ます。 ロ ケーシ ョ ン名の最大長は、 64 文 字です。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 305 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/snmp/adv [SNMP Advanced Settings Menu] [SNMP Advanced Settings Menu] allinf - Set allow snmp requests through all interfaces trapsrcip - Set source IP of traps minorsess - Set threshold for minor trap on sessions in cluster majorsess - Set threshold for major trap on sessions in cluster [SNMP Advanced Settings Menu] は、一般性の低い SNMP オプシ ョ ン の設定に使用 し ま す。 表 15-18 [SNMP Advanced Settings Menu] (/cfg/sys/adm/snmp/adv) コ マ ン ド 構文 と 使用法 allinf y|n こ の コ マ ン ド は、 SNMP 要求を受け入れ る イ ン タ フ ェース を指定 し ます。 こ のオ プシ ョ ン を有効に し た場合 (y) は、 すべての イ ン タ フ ェース で SNMP 要求が受 け入れ ら れ ま す。 無効に し た場合 (n) は、 ク ラ ス タ の MIP ア ド レ ス ま たは各 Firewall Director の IP ア ド レ ス でのみ SNMP 要求が受け入れ ら れ ます。デフ ォ ル ト では、 こ のオプシ ョ ンは無効にな っ てい ます。 trapsrcip auto|unique|mip こ の コ マ ン ド は、 Nortel Switched Firewall か ら 生成 さ れた SNMP ト ラ ッ プ と と も に使用 さ れ る 送信元 IP ア ド レ ス を設定す る 場合に使用 し ます。 auto : 送信 イ ン タ フ ェース の IP ア ド レ ス を使用 し ます。 こ のオプシ ョ ンは デフ ォ ル ト で設定 さ れます。 unique : 個別の Firewall Director の IP ア ド レ ス を使用 し ます。 mip : ク ラ ス タ MIP の IP ア ド レ ス を使用 し ます。 こ の設定は、 デバ イ ス を 1 つの IP ア ド レ ス に限定す る 必要のあ る アプ リ ケーシ ョ ン (一部のバージ ョ ン の HP OpenView な ど) で役立ち ます。 minorsess こ の コ マ ン ド を使用す る と 、 ク ラ ス タ 内のセ ッ シ ョ ン に関す る 重要性の低い ト ラ ッ プ メ ッ セージの数の し き い値を設定で き ます。 majorsess こ の コ マ ン ド を使用す る と 、 ク ラ ス タ 内のセ ッ シ ョ ン に関す る 重要性の高い ト ラ ッ プ メ ッ セージの数の し き い値を設定で き ます。 306 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/web [Web Administration Menu] [Web Administration Menu] http - HTTP Configuration Menu ssl - SSL Configuration Menu [Web Administration Menu] は、 BBI を設定す る 場合に使用 し ます。 BBI は、 Web ブ ラ ウ ザを使用す る Nortel Switched Firewall に対す る 詳細でわか り やすい リ モー ト 管理を 可能に し ます。 BBI は、 HTTP (非セキ ュ ア) ま たは SSL を使用 し た HTTPS、 あ る い はその両方を使用す る よ う に設定で き ます。 注 - こ の機能を使用す る には、 ワー ク ス テーシ ョ ン と Firewall Director 間の HTTP ま たは HTTPS ト ラ フ ィ ッ ク を 許可す る フ ァ イ ア ウ ォ ール ルール を組み込む必要が あ り ます。 詳細については、 『Nortel Switched Firewall Browser-based Interface Guide』 を参照 し て く だ さ い。 表 15-19 [Web Administration Menu] (/cfg/sys/adm/web) コ マ ン ド 構文 と 使用法 http [HTTP Configuration Menu] は、 HTTP (非セキ ュ ア) を使用す る BBI ア ク セ ス を 設定す る 場合に使用 し ます。 メ ニ ュ ー項目については、 308 ページ を参照 し て く だ さ い。 ssl [SSL Configuration Menu] は、 HTTPS (SSL を使用) に よ る BBI ア ク セ ス を設定 す る 場合に使用 し ま す。 セ キ ュ リ テ ィ 上の理由か ら 、 BBI ア ク セ ス には SSL を 使用す る こ と を強 く お勧め し ます。 メ ニ ュ ー項目については、 309 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 307 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/web/http [HTTP Configuration Menu] [HTTP Configuration Menu] port - Set HTTP Port number ena - Enable HTTP dis - Disable HTTP [HTTP Configuration Menu] は、 HTTP を使用す る BBI ア ク セ ス を設定す る 場合に使用 し ます。 デフ ォ ル ト では HTTP ア ク セ ス は有効にな っ てい ますが、 信頼 さ れ る ク ラ イ ア ン ト だ け に制限 さ れ て い ま す。 実際の セ キ ュ リ テ ィ ポ リ シーの重大度に応 じ て HTTP ア ク セ ス を無効に し 、 信頼 さ れ る ク ラ イ ア ン ト の リ ス ト を絞 り 込む こ と がで き ます。 注 - HTTP はセ キ ュ ア な プ ロ ト コ ルでは あ り ま せん。 HTTP ク ラ イ ア ン ト と Nortel Switched Firewall 間のすべてのデー タ (パ ス ワ ー ド も 含む) は、 暗号化 も 認証 も さ れ て い ま せん。 セ キ ュ リ テ ィ の確保 さ れた リ モー ト ア ク セ ス が必須の場合は、 「[SSL Configuration Menu]」 (309 ページ) を参照 し て く だ さ い。 BBI の使用方法の詳細につい て は、 『Nortel Switched Firewall Browser-based Interface Guide』 を参照 し て く だ さ い。 表 15-20 [HTTP Configuration Menu] (/cfg/sys/adm/web/http) コ マ ン ド 構文 と 使用法 port <HTTP ポー ト 番号 > こ の コ マ ン ド は、 組み込み BBI Web サーバーに使用 さ れ る 論理 HTTP ポー ト を 設定 し ま す。 デフ ォ ル ト では、 Web サーバーには一般的な HTTP ポー ト 80 が 設定 さ れ ます。 こ の コ マ ン ド を使用す る と 任意のポー ト 番号に変更で き ますが、 他のサービ ス に使用 さ れてい る ポー ト 番号を設定す る こ と はで き ません。 ena こ の コ マ ン ド は、 BBI への HTTP ア ク セ ス を有効に し ま す。 こ の コ マ ン ド に よ る 設定はデフ ォ ル ト です。 こ の機能を有効にす る と 、 ク ラ ス タ のア ク セ ス リ ス ト に追加 さ れてい る 信頼 さ れ る ク ラ イ ア ン ト が、HTTP ア ク セ ス に よ っ て ク ラ ス タ の MIP ア ド レ ス にア ク セ ス で き る よ う にな り ます (「 リ モー ト ア ク セス リ ス ト の定義」 (219 ページ) を参照)。 dis こ の コ マ ン ド は、 BBI への HTTP ア ク セ ス を 無効に し ま す。 無効に し た場合、 MIP ア ド レ スへの HTTP 要求は破棄 さ れます。 308 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/web/ssl [SSL Configuration Menu] [SSL Configuration port ena dis tls sslv2 sslv3 certs - Menu] Set SSL port number Enable SSL Disable SSL Set TLS Set SSL version 2 Set SSL version 3 Certificate Management Menu [SSL Configuration Menu] は、 HTTPS を使用す る BBI ア ク セ ス を設定す る 場合に使用 し ます。 HTTPS では、 SSL を使用す る こ と に よ り 、 サーバー ホ ス ト 認証、 管理 メ ッ セージの暗号化、 お よ びユーザー認証用パ ス ワー ド の暗号化を可能に し ます。 セキ ュ リ テ ィ 上の理由か ら 、BBI ア ク セ ス には SSL を使用す る こ と を強 く お勧め し ます。SSL はデフ ォ ル ト で無効にな っ てい ますが、 有効に し た場合には信頼 さ れ る ク ラ イ ア ン ト のみに限定 さ れ ます。 HTTPS 機能の有効化、 無効化以外に も 、 こ の メ ニ ュ ーを使用す る と 、 HTTPS ポー ト の設定、 SSL バージ ョ ンの設定、 お よ び SSL 証明書の生成用 メ ニ ュ ーへア ク セ ス で き ます。 BBI の使用方法の詳細につい て は、 『Nortel Switched Firewall Browser-based Interface Guide』 を参照 し て く だ さ い。 表 15-21 [SSL Configuration Menu] (/cfg/sys/adm/web/ssl) コ マ ン ド 構文 と 使用法 port <HTTPS ポー ト 番号 > こ の コ マ ン ド は、 組み込み BBI Web サーバーに使用 さ れ る 論理 HTTPS ポー ト を設定 し ます。 デフ ォ ル ト では、 Web サーバーには一般的な HTTPS ポー ト 443 が設定 さ れ ま す。 こ の コ マ ン ド を使用す る と 任意のポー ト 番号に変更で き ま す が、 他のサービ ス に使用 さ れてい る ポー ト 番号を設定す る こ と はで き ません。 ena こ の コ マ ン ド は、 BBI への HTTPS ア ク セ ス を有効に し ます。 こ の機能を有効に す る と 、 ク ラ ス タ のア ク セ ス リ ス ト に追加 さ れてい る 信頼 さ れ る ク ラ イ ア ン ト が、 HTTPS ア ク セ ス に よ っ て ク ラ ス タ の MIP ア ド レ ス にア ク セ ス で き る よ う に な り ます (「 リ モー ト ア ク セス リ ス ト の定義」 (219 ページ) を参照)。 HTTPS を機能 さ せ る には、 あ ら か じ め [Certificate Management Menu] の certs コ マ ン ド を使用 し て SSL 証明書を作成 し てお く 必要があ り ます。 dis こ の コ マ ン ド は、 BBI への HTTPS ア ク セ ス を無効に し ます。 デフ ォ ル ト では無 効にな っ てい ます。 無効に し た場合、 MIP ア ド レ スへの HTTPS 要求は破棄 さ れ ます。 tls y|n こ の コ マ ン ド は、 SSL の ト ラ ン ス ポー ト レベル セキ ュ リ テ ィ (TLS : Transport Level Security) を有効 ま たは無効に し ま す。 デ フ ォ ル ト では有効にな っ てい ま す。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 309 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-21 [SSL Configuration Menu] (/cfg/sys/adm/web/ssl) コ マ ン ド 構文 と 使用法 sslv2 y|n こ の コ マ ン ド は、 SSL Version 2 を有効ま たは無効に し ます。 デフ ォ ル ト では有 効にな っ てい ます。 sslv3 y|n こ の コ マ ン ド は、 SSL Version 3 を有効ま たは無効に し ます。 デフ ォ ル ト では有 効にな っ てい ます。 certs [Certificate Management Menu] は、 SSL に必要なサーバー証明書 と 外部認証局証 明書を設定す る 場合に使用 し ます。 メ ニ ュ ー項目については、 311 ページ を参照 し て く だ さ い。 310 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/web/ssl/certs [Certificate Management Menu] [Certificate Management Menu] serv - Server Certificate Management Menu ca - Certificate Authority Management Menu [Certificate Management Menu] は、SSL に必要なサーバー証明書 と 外部認証局証明書を 追加ま たは削除で き ます。 表 15-22 [Certificate Management Menu] (/cfg/sys/adm/web/ssl/certs) コ マ ン ド 構文 と 使用法 serv [Server Certificate Management Menu] は、 証明書要求ま たは自己署名証明書の生 成を行 う 場合に使用 し ます。 メ ニ ュ ー項目については、 312 ページ を参照 し て く だ さ い。 ca [CA Certificate Management Menu] は、 認証局 (CA : Certification Authority) 発行 の証明書を管理す る 場合に使用 し ま す。 こ の コ マ ン ド は、 外部認証局に よ っ て 発行 さ れたサーバー証明書を使用す る 場合に必要です。 メ ニ ュ ー項目については、 313 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 311 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/web/ssl/certs/serv [Server Certificate Management Menu] [Server Certificate Management Menu] gen - Generate certificate request - this erases old key exp - Export certificate request list - List server certificates del - Delete a server certificate add - Add a server certificate [Server Certificate Management Menu] は、SSL サーバー証明書を管理す る 場合に使用 し ます。 表 15-23 [Server Certificate Management Menu] (/cfg/sys/adm/web/ssl/certs/serv) コ マ ン ド 構文 と 使用法 gen < 一般名 > < 国 コ ー ド > < キーのサイ ズ > こ の コ マ ン ド は、 証明書要求 ま たは自己署名証明書を生成 し ま す。 パ ラ メ ー タ には、 証明書の名前、 2 文字の国 コ ー ド 、 お よ びキー サ イ ズ (512、 1024、 ま た は 2048) を指定 し ます。 exp こ の コ マ ン ド は、 外部認証局に証明書要求を エ ク ス ポー ト す る 場合に使用 し ま す。 こ の コ マ ン ド が生成す る 出力は、 テ キ ス ト フ ァ イ ルに コ ピー ア ン ド ペー ス ト し 、 署名のため外部認証局に送信す る こ と がで き ます。 こ の コ マ ン ド は、 自 己署名証明書の生成には使用 し ないで く だ さ い。 外部認証局か ら PEM 符号化証 明書が送 ら れて き た ら 、add コ マ ン ド を使用 し て こ の証明書を シ ス テ ム に投入 し ます。 list こ の コ マ ン ド は、 設定 さ れてい る サーバー証明書を リ ス ト 表示す る 場合に使用 し ます。 del こ の コ マ ン ド は、 サーバー証明書を削除す る 場合に使用 し ます。 add こ の コ マ ン ド は、 署名 さ れたサーバー証明書を追加す る 場合に使用 し ま す。 こ の コ マ ン ド の入力を終了す る と 、ユーザーは PEM 符号化証明書を CLI にペース ト す る よ う に要求 さ れ ま す。 証明書をペー ス ト し 、 ピ リ オ ド を 3 つ (...) 追加 し て [Enter] キーを押す と 、 CLI の画面に戻 り ます。 312 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/web/ssl/certs/ca [CA Certificate Management Menu] [CA Certificate Management Menu] list - List CA certificates del - Delete a CA certificate add - Add a CA certificate [CA Certificate Management Menu] は、 SSL 外部認証局証明書を管理す る 場合に使用 し ます。 表 15-24 [CA Certificate Management Menu] (/cfg/sys/adm/web/ssl/certs/ca) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 設定 さ れてい る 認証局証明書をすべて リ ス ト 表示 し ます。 del こ の コ マ ン ド は、 ク ラ ス タ 設定か ら 認証局の証明書を削除す る 場合に使用 し ま す。 add こ の コ マ ン ド は、 サーバー証明書を削除す る 場合に使用 し ま す。 こ の コ マ ン ド の入力を終了す る と 、ユーザーは PEM 符号化証明書を CLI にペース ト す る よ う に要求 さ れます。 証明書をペース ト し 、 ピ リ オ ド を 3 つ (...) 追加 し て [Enter] キーを押す と 、 CLI の画面に戻 り ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 313 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/audit [Audit Menu] [Audit Menu] servers vendorid vendortype ena dis - Radius Servers Menu Set vendor id for audit attribute Set vendor type for audit attribute Enable Server Disable Server [Audit Menu] は、 CLI ま たは Web ユーザー イ ン タ フ ェ ース で実行 さ れた コ マ ン ド に 関す る ロ グ メ ッ セージ を受信で き る よ う RADIUS サーバーを設定す る 場合に使用 し ます。監査機能を有効にす る と 、設定済みの RADIUS サーバーが存在 し ない場合で も 、 こ れ ら の コ マ ン ド に関す る イ ベン ト が イ ベン ト ロ グ フ ァ イ ル と syslog サーバー (設 定 さ れてい る 場合) に記録 さ れ、 監査情報が /var/log/audit.log フ ァ イ ルに保存 さ れま す。 監査機能は、 デフ ォ ル ト では無効にな っ てい ます。 イ ベン ト は、 ユーザーが ロ グ イ ンや ロ グ ア ウ ト を行っ た と き 、 ま たは CLI セ ッ シ ョ ン か ら コ マ ン ド を実行 し た と き には必ず生成 さ れます。イ ベン ト には、ユーザー名、セ ッ シ ョ ン ID、 お よ び実行 さ れた コ マ ン ド の名前が含 ま れ ま す。 RFC 2866 (RADIUS 課 金) に従っ た監査証跡 ロ ギ ン グの場合、 こ の イ ベン ト の RADIUS サーバーへの送信は オプシ ョ ン にな り ます。 表 15-25 [Audit Menu] (/cfg/sys/adm/audit) コ マ ン ド 構文 と 使用法 servers こ の コ マ ン ド は、 [RADIUS Audit Servers Menu] を表示 し ます。 メ ニ ュ ー項目については、 316 ページ を参照 し て く だ さ い。 vendorid 標 準 化 団 体 I n t e r n e t A s s i g n e d N u m b e r s A u t h o r i t y (I A N A ) に よ っ て http://www.iana.org/assignments/enterprise-numbers フ ァ イ ルに定義 さ れ て い る SMI Network Management Private Enterprise Code を、ベン ダ固有の属性 (VendorId) に割 り 当て ます。 Vendor-Id (民間企業番号で表 さ れ る ) は、 RADIUS ベン ダ固有属性の一つです。 デフ ォ ル ト の Vendor-Id は、 1872 ( ノ ーテル) に設定 さ れてい ます。 注 : 別の Vendor-Id を使用 し てい る RADIUS シ ス テ ム の場合は、 vendorid コ マ ン ド を使用 し て、 リ モー ト RADIUS シ ス テ ム が使用 し てい る 値にその RADIUS 設定を一致 さ せ る こ と がで き ま す。 詳細については、 担当の RADIUS シ ス テ ム 管理者にお問い合わせ く だ さ い。 314 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-25 [Audit Menu] (/cfg/sys/adm/audit) コ マ ン ド 構文 と 使用法 vendortype RADIUS で使用 さ れ る ベン ダ固有の属性(Vendor Type) に、番号を割 り 当て ます。 Vendor-Id 番号 と 組み合わせて使用す る と 、 Vendor Type 番号に よ り 、 監査情報 を含む監査属性が指定 さ れ ます。 デフ ォ ル ト の Vendor Type 値は、 2 に設定 さ れてい ます。 ヒ ン ト : RADIUS サーバー ロ グ におけ る 監査エ ン ト リ の検索は、 RADIUS サー バー デ ィ ク シ ョ ナ リ に適切な文字列 (た と えば、 Nortel-NSF-Audit-Trail) を定 義 し 、 その文字列を Vendor Type 値にマ ッ ピ ン グす る こ と に よ っ て簡単に行 う こ と がで き ます。 注:別の Vendor Type 番号を使用 し てい る RADIUS シ ス テ ムの場合は、vendortype コ マ ン ド を使用 し て、 リ モー ト RADIUS シ ス テ ムが使用 し てい る 値に、 そ の RADIUS 設定を一致 さ せ る こ と がで き ます。 詳細については、 担当の RADIUS シ ス テ ム管理者にお問い合わせ く だ さ い。 ena こ の コ マ ン ド は、 RADIUS サーバーを有効に し ます。 dis こ の コ マ ン ド は、 RADIUS サーバーを無効に し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 315 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/audit/servers [Radius Audit Servers Menu] [Radius Audit Servers Menu] list - List all values del - Delete a value by number add - Add a new value [Radius Audit Servers Menu] は、 RADIUS 監査サーバーに関す る 情報の追加、 変更、 お よ び削除を行 う 場合に使用 し ます。 表 15-26 [Radius Audit Servers Menu] (/cfg/sys/adm/audit/servers) コ マ ン ド 構文 と 使用法 list 対応す る イ ン デ ッ ク ス 番号 と と も に、 現在設定 さ れ て い る RADIUS 監査サー バーの IP ア ド レ ス を リ ス ト 表示 し ます。 del 設定か ら 、 指定 さ れた RADIUS 監査サーバーを削除 し ます。 list コ マ ン ド を使 用 し て、 追加 さ れてい る すべての RADIUS 監査サーバーの イ ンデ ッ ク ス 番号を 表示 し ます。 add <IP ア ド レ ス > <TCP ポー ト 番号 > < 共有秘密キー > 設定に RADIUS 監査サーバーを追加 し ます。 IP ア ド レ ス、 TCP ポー ト 番号、 お よ び共有秘密キーを指定 し ま す。 次に使用可能な イ ンデ ッ ク ス 番号は、 シ ス テ ム が自動的に割 り 当て ます。 複数の RADIUS 監査サーバーをバ ッ ク ア ッ プ と し て追加で き ます。 NSF は、 ま ず一番小 さ い イ ンデ ッ ク ス 番号 を使用 し て、 RADIUS 監査サーバー と 通信 し ま す。 通信が確立で き なか っ た場合、 NSF は順番に次の イ ンデ ッ ク ス 番号を使用 し てサーバー と の通信を試みます。 注 : RADIUS 監査に使用 さ れ る デフ ォ ル ト のポー ト 番号は、 1813 です。 316 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/auth [Authentication Menu] [Authentication Menu] servers - RADIUS Authentication Servers menu timeout - Set RADIUS server timeout fallback - Use local password as fallback ena - Enable RADIUS Authentication dis - Disable RADIUS Authentication [Authentication Menu] は、 RADIUS 認証 を 設定す る 場合に使用 し ま す。 RADIUS 認証 は、 デフ ォ ル ト では無効にな っ てい ます。 表 15-27 [Authentication Menu] (/cfg/sys/adm/auth) コ マ ン ド 構文 と 使用法 servers こ の コ マ ン ド は、 [RADIUS Authentication Servers Menu] を表示 し ます。 メ ニ ュ ー項目については、 318 ページ を参照 し て く だ さ い。 timeout こ の コ マ ン ド を使用す る と 、RADIUS サーバーの タ イ ム ア ウ ト 時間を設定で き ま す。 デフ ォ ル ト 値は 10 秒です。 fallback こ の コ マ ン ド に on を指定 し た場合 (デフ ォ ル ト )、 NSF では ロ ーカル パ ス ワー ド に よ る ユーザー認証が行われます。 off を指定 し た場合、 NSF では Radius 認証 のみを使用 し てユーザー認証が行われ ます。 ena こ の コ マ ン ド は、 RADIUS 認証を有効に し ます。 dis こ の コ マ ン ド は、 RADIUS 認証を無効に し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 317 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/adm/auth/servers [Radius Authentication Servers Menu] [Radius Authentication Servers Menu] list - List all values del - Delete a value by number add - Add a new value insert - Insert a new value move - Move a value by number [RADIUS Authentication Servers Menu] は、 RADIUS 認証サーバーに関す る 情報の追加、 変更、 お よ び削除を行 う 場合に使用 し ます。 表 15-28 [Radius Authentication Servers Menu] (/cfg/sys/adm/auth/servers) コ マ ン ド 構文 と 使用法 list 対応す る イ ン デ ッ ク ス 番号 と と も に、 現在設定 さ れ て い る RADIUS 認証サー バーの IP ア ド レ ス を リ ス ト 表示 し ます。 del 設定か ら 、 指定 し た RADIUS 認証サーバーを削除 し ます。 list コ マ ン ド を使用 し て、 追加 さ れてい る すべての RADIUS 認証サーバーの イ ンデ ッ ク ス 番号を表 示 し ます。 add <IP ア ド レ ス > <TCP ポー ト 番号 > < 共有秘密キー > RADIUS 認証サーバーを設定に追加 し ます。 IP ア ド レ ス、 TCP ポー ト 番号、 お よ び共有秘密キーを指定 し ま す。 次に使用可能な イ ンデ ッ ク ス 番号は、 シ ス テ ム が自動的に割 り 当て ます。 複数の RADIUS 認証サーバーをバ ッ ク ア ッ プ と し て追加で き ます。 NSF は、 ま ず一番小 さ い イ ンデ ッ ク ス 番号 を使用 し て、 RADIUS 監査サーバー と 通信 し ま す。 接続が確立で き なか っ た場合、 NSF は後続の イ ンデ ッ ク ス 番号を持つサー バーへ と 、 順番に接続を試みます。 注 : RADIUS 認証サーバーに使用 さ れ る デフ ォ ル ト のポー ト 番号は 1813 です。 insert < 挿入場所のイ ンデ ッ ク ス番号 > < 追加する RADIUS 認証サーバーの IP ア ド レ ス > 追加す る RADIUS 認証サーバーに特定の イ ンデ ッ ク ス 番号を割 り 当て ま す。 指 定す る イ ンデ ッ ク ス 番号は、 使用中の も ので あ る 必要が あ り ま す。 イ ンデ ッ ク ス 番号 を 指定す る と 、 それ以上の イ ン デ ッ ク ス 番号 を 持つ RADIUS 認証サー バーの現在の イ ンデ ッ ク ス番号は 1 だけ大 き く な り ます。 move < 移動元のイ ンデ ッ ク ス番号 > < 移動先のイ ンデ ッ ク ス番号 > 既存の RADIUS 認証サーバーの リ ス ト 内で、 特定のサーバーを上位 ま たは下位 に移動 し ま す。 指定す る イ ンデ ッ ク ス 番号は、 使用中の も ので あ る 必要があ り ます。 list コ マ ン ド を使用 し て、 設定に現在追加 さ れてい る サーバーをすべて 表示 し ます。 318 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/log [Platform Logging Menu] [Platform Logging Menu] syslog - Syslog Logging Menu ela - ELA Logging Menu arch - Log Archiving Menu debug - Set syslog debugging srcip - Set syslog source IP mode [Platform Logging Menu] は、シ ス テ ム メ ッ セージの ロ ギ ン グ機能の設定に使用 し ます。 シ ス テ ム メ ッ セージは、 シ ス テ ムの コ ン ソ ール タ ー ミ ナルであ る Nortel ELA フ ァ シ リ テ ィ に ロ グ と し て記録 し 、 フ ァ イ ルにアーカ イ ブ し て電子 メ ールで自動送信 し 、 デ バ ッ グに使用す る こ と がで き ます。 表 15-29 [Platform Logging Menu] (/cfg/sys/log) コ マ ン ド 構文 と 使用法 syslog [System Logging Menu] は、 syslog サーバーを設定す る 場合に使用 し ます。 Nortel Switched Firewall ソ フ ト ウ ェ アは、指定 さ れた syslog ホ ス ト に ロ グ メ ッ セージ を 送信で き ます。 メ ニ ュ ー項目については、 320 ページ を参照 し て く だ さ い。 ela [ELA Logging Menu] は、 Event Logging API (ELA) の設定に使用 し ます。 ELA を 使用す る と 、 ク ラ ス タ の ロ グ メ ッ セージ を任意の Check Point 管理サーバーに 送信 し 、 Check Point SmartView Tracker で表示す る こ と がで き ます。 メ ニ ュ ー項目については、 321 ページ を参照 し て く だ さ い。 arch [Log Archiving Menu] は、 フ ァ イ ルが特定のサ イ ズ ま たは保有期間に達 し た と き に ロ グ フ ァ イ ル を アーカ イ ブす る 場合に使用 し ま す。 ロ グ交換が発生す る と 、 現在の ロ グ フ ァ イ ルは保存 さ れ る か、 ま たは指定 さ れた ア ド レ ス に電子 メ ール で送信 さ れ、 新 し い ロ グ フ ァ イ ルを使用 し て ロ ギ ン グが開始 さ れます。 メ ニ ュ ー項目については、 323 ページ を参照 し て く だ さ い。 debug y|n こ の コ マ ン ド は、 特別用途のデバ ッ グ ロ グ メ ッ セージ を有効ま たは無効にす る 場合に使用 し ま す。 デフ ォ ル ト では無効にな っ てい ま す。 ノ ーテル技術サポー ト に よ る 指示がない限 り 有効に し ないで く だ さ い。 srcip auto|unique|mip こ の コ マ ン ド は、 Nortel Switched Firewall か ら 生成 さ れた ロ グ と と も に使用 さ れ る 送信元 IP ア ド レ ス を設定す る 場合に使用 し ます。 auto : 送信 イ ン タ フ ェース の IP ア ド レ ス を使用 し ます。 こ のオプシ ョ ンは デフ ォ ル ト で設定 さ れます。 unique : 個別の Firewall Director の IP ア ド レ ス を使用 し ます。 mip : ク ラ ス タ MIP の IP ア ド レ ス を使用 し ます。 こ の設定は、 デバ イ ス を 1 つの IP ア ド レ ス に限定す る 必要のあ る アプ リ ケーシ ョ ン (一部のバージ ョ ン の HP OpenView な ど) で役立ち ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 319 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/log/syslog [System Logging Menu] [System Logging Menu] list - List all values del - Delete a value by number add - Add a new value insert - Insert a new value move - Move a value by number [System Logging Menu] は、 syslog サ ー バ ー を 設 定 す る 場 合 に 使 用 し ま す。 Nortel Switched Firewall ソ フ ト ウ ェ アは、 指定 さ れた syslog ホ ス ト に ロ グ メ ッ セージ を送信 で き ます。 表 15-30 [System Logging Menu] (/cfg/sys/log/syslog) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 設定 さ れてい る すべての syslog サーバーを、 その イ ンデ ッ ク ス番号、 IP ア ド レ ス、 お よ びフ ァ シ リ テ ィ 番号別に表示 し ます。 del <syslog イ ンデ ッ ク ス番号 > こ の コ マ ン ド を使用す る と 、 パ ラ メ ー タ に指定 し た イ ンデ ッ ク ス 番号の syslog サーバーを、 ク ラ ス タ 設定か ら 削除で き ます。 add <syslog サーバー IP ア ド レ ス > < 重大度レ ベル > < フ ァ シ リ テ ィ > こ の コ マ ン ド は、新 し い syslog サーバーを、 その IP ア ド レ ス と ロ ーカル フ ァ シ リ テ ィ 番号 と と も に追加で き ま す。 ロ ー カ ル フ ァ シ リ テ ィ 番号 を 使用 し て、 syslog エ ン ト リ を一意に指定で き ます。 詳細については、 UNIX の ド キ ュ メ ン ト の syslog.conf のページ を参照 し て く だ さ い。 < 重大度レベル > には、 ロ グに記録す る メ ッ セージの重大度レベルを指定 し ま す。 指定 さ れた重大度レベル以上の メ ッ セージは、 すべて ELA に ロ ギ ン グ さ れ ま す。 指定可能 な 重大度 レ ベ ル は、 emerg、 alert、 crit、 err、 notice、 info、 ま たは debug です。 デフ ォ ル ト では err に設定 さ れます。 insert < イ ンデ ッ ク ス番号 > <IP ア ド レ ス > < 重大度レ ベル > こ の コ マ ン ド を使用す る と 、 ア ク セ ス リ ス ト 内の指定 し た イ ンデ ッ ク ス位置に 新 し いサーバーを追加で き ま す。 指定 し た イ ンデ ッ ク ス 番号お よ びそれ以降の 番号が設定 さ れた既存のサーバーについては、 それぞれの イ ンデ ッ ク ス 番号に 1 が足 さ れ ます。 イ ンデ ッ ク ス番号は、 上記の list コ マ ン ド で表示 さ れ る リ ス ト か ら 選択 し ます。 < 重大度レベル > には、 ロ グに記録す る メ ッ セージの重大度レベルを指定 し ま す。 指定 さ れた重大度レベル以上の メ ッ セージは、 すべて ELA に ロ ギ ン グ さ れ ま す。 指定可能 な 重大度 レ ベ ル は、 emerg、 alert、 crit、 err、 notice、 info、 ま たは debug です。 デフ ォ ル ト では err に設定 さ れます。 move <from イ ンデ ッ ク ス番号 > <to イ ンデ ッ ク ス番号 > こ の コ マ ン ド は、 指定 さ れた from イ ンデ ッ ク ス番号の ト ラ ッ プ ホ ス ト IP ア ド レ ス を削除 し た後、 リ モー ト ア ク セ ス リ ス ト の指定 さ れた to イ ンデ ッ ク ス番 号の位置に挿入 し ます。 320 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/log/ela [ELA Logging Menu] [ELA Logging Menu] ena - Enable ELA dis - Disable ELA addr - Set management station IP address sev - Set minimum logging severity dn - Set management station DN pull - Pull SIC certificate [ELA Logging Menu] は、 ELA 機能の設定に使用 し ます。 ELA を使用す る と 、 ク ラ ス タ の ロ グ メ ッ セ ー ジ を 任 意 の Check Point 管 理 サ ー バ ー に 送 信 し 、 Check Point SmartView Tracker で表示す る こ と がで き ます。 ELA を設定す る 場合は、 Nortel Switched Firewall と Check Point 管理サーバーの両方 で設定手順を実行す る 必要があ り ます。 設定の詳細については、 付録 B、 「Event Logging API」 (477 ページ) を参照 し て く だ さ い。 [ELA Logging Menu] には、 以下のオプシ ョ ンがあ り ます。 表 15-31 [ELA Logging Menu] (/cfg/sys/log/ela) コ マ ン ド 構文 と 使用法 ena こ の コ マ ン ド は、 ELA 機能を有効にす る 場合に使用 し ま す。 こ の機能を有効に し た場合、 シ ス テ ム の ロ グ メ ッ セージは Check Point 管理サーバーに送信 さ れ ます。 dis こ の コ マ ン ド は、 ELA を無効にす る 場合に使用 し ま す。 こ の コ マ ン ド に よ る 設 定はデフ ォ ル ト です。 addr <IP ア ド レ ス > ク ラ ス タ ロ グ メ ッ セージの送信先 と す る 管理サーバーの IP ア ド レ ス を設定 し ます。 IP ア ド レ ス は、 ド ッ ト 付 き 10 進表記で指定 し ます。 デフ ォ ル ト のア ド レ ス は 0.0.0.0 に設定 さ れ ます。 sev emerg|alert|crit|err|notice|info|debug こ の コ マ ン ド は、Check Point 管理サーバーに送信 さ れ る ロ グ メ ッ セージの重大 度を設定す る 場合に使用 し ます。 指定 さ れた重大度レベル以上の メ ッ セージは、 すべて ELA に ロ ギ ン グ さ れ ます。 デフ ォ ル ト では err に設定 さ れ ます。 以下の リ ス ト に、 重大度の値が高い も のか ら 順に示 し ます。 emerg : 緊急 alert : 警告 crit : 重要 err : エ ラ ー notice : 通知 info : 情報 debug : デバ ッ グ 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 321 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-31 [ELA Logging Menu] (/cfg/sys/log/ela) コ マ ン ド 構文 と 使用法 dn <OPSEC SIC 名 > こ の コ マ ン ド は、 管理サーバーの識別名 (DN : Distinguished Name) を設定す る 場合に使用 し ます。DN は、Check Point SmartDashboard ツール内で管理サーバー プ ロ パ テ ィ に ア ク セ ス し て 定義 し ま す。 [DN] フ ィ ール ド は、 画面の [Secure Internal Communication] (SIC) エ リ アにあ り ます。 pull こ の コ マ ン ド は、 セ キ ュ ア な通信のための証明書を管理サーバーか ら 取得す る 場合に使用 し ます。 322 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/log/arch [Log Archiving Menu] [Log Archiving Menu] email - Set smtp - Set int - Set size - Set e-mail address to send log SMTP server address log archive interval maximum size of archived log [Log Archiving Menu] は、 フ ァ イ ルが特定のサ イ ズ ま たは保有期間に達 し た と き に ロ グ フ ァ イ ルを アーカ イ ブす る 場合に使用 し ま す。 ロ グ交換が発生す る と 、 現在の ロ グ フ ァ イ ルは保存 さ れ る か、 ま たは指定 さ れた ア ド レ ス に電子 メ ールで送信 さ れ、新 し い ロ グ フ ァ イ ルを使用 し て ロ ギ ン グが開始 さ れ ます。 ロ グ交換サ イ ズが正に設定 さ れてい る 場合、 ロ グ交換は ロ グが交換サ イ ズ を超え た時 点か、 ま たは ロ グ交換 イ ン タ ーバルに達 し た時点で行われます。 ロ グ交換サ イ ズがゼ ロ に設定 さ れてい る 場合、 フ ァ イ ル サ イ ズは無視 さ れ、 ロ グ交換 イ ン タ ーバルだけ が使用 さ れ ます。 電子 メ ール ア ド レ スお よ び SMTP サーバー IP ア ド レ ス が設定 さ れ てい る 場合、 ロ グ交換が発生す る と 電子 メ ールで ロ グ フ ァ イ ルが送信 さ れ ます。 表 15-32 [Log Archiving Menu] (/cfg/sys/log/arch) コ マ ン ド 構文 と 使用法 email < 電子 メ ールア ド レ ス > こ の コ マ ン ド は、ロ グ交換 イ ン タ ーバルま たは最大 ロ グ サ イ ズに達 し た と き に、 ロ グ フ ァ イ ルが送信 さ れ る 電子 メ ール ア ド レ ス を設定す る 場合に smtp と と も に使用 し ます。 smtp <SMTP サーバー IP ア ド レ ス > こ の コ マ ン ド は、 email コ マ ン ド で指定 さ れた電子 メ ール ア ド レ ス を保持す る SMTP メ ール サーバーの IP ア ド レ ス を設定す る 場合に使用 し ます。IP ア ド レ ス は、 ド ッ ト 付 き 10 進表記で指定す る 必要があ り ま す。 デフ ォ ル ト の IP ア ド レ ス は 0.0.0.0 に設定 さ れ ます。 指定す る SMTP サーバーは、 ク ラ ス タ か ら の メ ッ セージ を受信で き る よ う に設 定 さ れてい る 必要が あ り ま す。 ま た、 それ ら の メ ッ セージが フ ァ イ ア ウ ォ ール を通過で き る よ う にす る Check Point ポ リ シー も 必要です。 int < 日数 > < 時間数 > こ の コ マ ン ド は、 ロ グ フ ァ イ ルを交換す る イ ン タ ーバル時間を設定す る 場合に 使用 し ま す。 こ の イ ン タ ーバルは、 日数 と 時間数で指定 し ま す。 デフ ォ ル ト で は、 1 日 と 0 時間に設定 さ れます。 size < 最大サイ ズ (kb) > こ の コ マ ン ド は、 ロ グ フ ァ イ ル交換が開始 さ れ る ロ グ フ ァ イ ルの最大サ イ ズ を 設定す る 場合に使用 し ます。 サ イ ズは、 キ ロ バ イ ト 単位で指定 し ます。 0 に設定 す る と 、 フ ァ イ ル サ イ ズは無視 さ れ、 イ ン タ ーバル時間 (int) のみが ロ グ フ ァ イ ル交換の決定のために使用 さ れます。 デフ ォ ル ト 値は 0 です。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 323 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/user [User Menu] [User Menu] passwd expire list del add edit adv - Change own password Set password expire time interval List all users Delete a user Add a new user Edit a user Advanced User Configuration Menu [User Menu] は、 Nortel Switched Firewall のユーザー ア カ ウ ン ト の追加、 変更、 削除、 リ ス ト 表示、 お よ びパ ス ワー ド の変更を行 う 場合に使用 し ます。 ただ し 、 admin、 oper、 root、 お よ び boot の 4 つのデフ ォ ル ト のユーザー ア カ ウ ン ト の う ち、 削除で き る のは oper ユーザーのみです。 デフ ォ ル ト のパ ス ワー ド と 権 限の詳細については、 「ユーザーお よびパスワー ド 」 (213 ページ) を参照 し て く だ さ い。 パ ス ワー ド を変更で き る のは管理者だけです。 boot ユーザーのパ ス ワ ー ド は変更で き ません。 こ れは、 すべてのシ ス テ ム パ ス ワー ド がわか ら な く な っ て し ま っ た場合で も 、 boot ユーザーが ロ ーカルのシ リ アル ポー ト か ら シ ス テ ム にア ク セ ス で き る よ う にす る ためです。 表 15-33 [User Menu] (/cfg/sys/user) コ マ ン ド 構文 と 使用法 passwd こ の コ マ ン ド は、 管理者パ ス ワ ー ド の変更に使用 し ます。 admin ユーザーのみ が、 こ の操作を実行で き ま す。 現在の管理者パ ス ワ ー ド を入力す る よ う にプ ロ ン プ ト で求め ら れ ま す。 次に、 新 し い管理者パ ス ワ ー ド を入力 し て確認す る よ う にプ ロ ン プ ト で求め ら れ ます。 expire [< 日数 >d][< 時間数 >h][< 分数 >m][< 秒数 >s] こ の コ マ ン ド は、 ユーザー パ ス ワ ー ド が期限切れにな る ま での イ ン タ ーバルを 設定 し ます。 こ の イ ン タ ーバルは、 秒数 (s)、 分数 (m)、 時間数 (h)、 ま たは 日数 (d) で指定 し ます。 ユーザーが期限切れのパ ス ワ ー ド で ロ グ イ ン し よ う と す る と 、 パ ス ワ ー ド の変更を求め る プ ロ ン プ ト が表示 さ れ ま す。 期限切れ イ ン タ ーバルの値を 0 (ゼ ロ ) に し た場合、 パ ス ワー ド は無期限で使用可能にな り ま す。 デフ ォ ル ト 値は 0 です。 list こ の コ マ ン ド は、編集可能なすべてのユーザー ア カ ウ ン ト を リ ス ト 表示 し ます。 boot ユーザーは変更で き ないため表示 さ れ ません。 del < ユーザー名 > こ の コ マ ン ド を使用す る と 、 ユーザー ア カ ウ ン ト を削除で き ます。 admin ユー ザーのみが、 こ の操作 を 実行で き ま す。 4 つのデ フ ォ ル ト ユーザー (admin、 oper、 root、 boot) の う ち、 削除で き る のは oper ユーザーのみです。 324 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-33 [User Menu] (/cfg/sys/user) コ マ ン ド 構文 と 使用法 add < ユーザー名 > こ の コ マ ン ド を使用す る と 、 ユーザー ア カ ウ ン ト を追加で き ます。 admin ユー ザーのみが、 こ の操作 を 実行で き ま す。 ユーザー ア カ ウ ン ト の追加後、 [Edit User Menu] (edit コ マ ン ド ) を使用 し て、 そのア カ ウ ン ト を グループに割 り 当 て る こ と も 必要です。 edit < ユーザー名 > [Edit User Menu] は、ユーザー パ ス ワー ド の変更 と グループ権限の割 り 当てに使 用 し ます。 メ ニ ュ ー項目については、 326 ページ を参照 し て く だ さ い。 adv [Advanced User Configuration Menu] は、 リ モー ト SSH ユーザーの管理に使用 し ます。 メ ニ ュ ー項目については、 329 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 325 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/user/edit < ユーザー名 > [Edit User Menu] [User name Menu] password - Login password groups - Groups menu [Edit User Menu] は、 < ユーザー名 > で指定 さ れたユーザー ア カ ウ ン ト のパ ス ワ ー ド の変更お よ びグループ権限の割 り 当て を行 う 場合に使用 し ます。 表 15-34 [Edit User Menu] (/cfg/sys/user/edit) コ マ ン ド 構文 と 使用法 password admin ユーザーのみが、 こ の コ マ ン ド を使用で き ます。 こ の コ マ ン ド を使用す る と 、 admin ユーザーのパ ス ワ ー ド を変更で き ます。 プ ロ ン プ ト に従っ て、 ま ず現在の管理者パ ス ワ ー ド を入力 し てか ら 新 し いパ ス ワ ー ド を入力 し 、 確認の ために再入力す る 必要があ り ます。 groups < グループ名 > こ の コ マ ン ド を使用す る と 、 指定 し たユーザーを任意のグループに割 り 当て る こ と がで き ます。 admin、 oper、 お よ び root の 3 つは、 あ ら か じ め定義 さ れ たデフ ォ ル ト のグループです。 各グループの権限については、 「ユーザーおよび パスワー ド 」 (213 ページ) を参照 し て く だ さ い。 必要に応 じ 、 独自のグループ を定義す る こ と も で き ま す。 あ ら か じ め定義 さ れ た グループ以外のグループに割 り 当てたユーザーには、oper 権限のみが設定 さ れます。 メ ニ ュ ー項目については、 327 ページ を参照 し て く だ さ い。 326 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/user/edit < ユーザー >/groups [Groups Menu] [Groups Menu] list del add - List all values - Delete a value by number - Add a new value [Groups Menu] は、 指定 し たユーザーを 1 つま たは複数のグループに割 り 当て る 場合 に使用 し ます。 admin、 oper、 お よ び root の 3 つは、 あ ら か じ め定義 さ れたデフ ォ ル ト のグルー プです。 各グループの権限については、 「ユーザーお よ びパスワー ド 」 (213 ページ) を参照 し て く だ さ い。 必要に応 じ 、 独自のグループ を定義す る こ と も で き ます。 あ ら か じ め定義 さ れた グループ以外のグループに割 り 当て たユーザーには、 oper 権限の みが設定 さ れます。 表 15-35 [Groups Menu] (/cfg/sys/user/edit < ユーザー >/groups) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 指定 し たユーザーが割 り 当て ら れてい る すべての設定済みグ ループ を、 イ ンデ ッ ク ス番号 と と も に リ ス ト 表示 し ます。 del < グループ イ ンデ ッ ク ス番号 > こ の コ マ ン ド を使用す る と 、 指定 し た イ ンデ ッ ク ス 番号のグループか ら 、 ユー ザーを削除で き ます。 add < グループ名 > こ の コ マ ン ド を使用す る と 、 指定 し た グループにユーザーを割 り 当て る こ と が で き ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 327 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/user/adv [Advanced User Configuration Menu] [Advanced User Configuration Menu] user - SSH User Menu こ の メ ニ ュ ーでは、 高度なユーザー パ ラ メ ー タ を設定で き ます。 表 15-36 [Advanced User Configuration Menu] (/cfg/sys/user/adv) コ マ ン ド 構文 と 使用法 User こ の コ マ ン ド を使用す る と 、 リ モー ト の SSH ユーザーを管理す る こ と がで き ま す。 メ ニ ュ ー項目については、 329 ページ を参照 し て く だ さ い。 328 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/user/adv/user [SSH User < ユーザー名 > Menu] [SSH User <user name> Menu] name - Set Full name of User pubkey - Set RSA/DSA Public Key for User ena - Enable User Account dis - Disable User Account del - Remove SSH User こ の メ ニ ュ ーでは、 リ モー ト ユーザーが NSF に ロ グ イ ン し て ト ラ ブルシ ュ ーテ ィ ン グや メ ン テナン ス を実行で き る よ う に し ます。ただ し 、 こ の機能を使用 し た場合には、 リ モー ト のユーザーが SSH を使用 し て ロ グ イ ン し 、 Linux シ ェ ルにア ク セ ス で き る よ う にな る ため、 注意が必要です。 root パ ス ワ ー ド が設定 さ れた リ モー ト ユーザーは、 Linux ユーテ ィ リ テ ィ su を使用 し て 「su root」 を実行で き ます。 デフ ォ ル ト では、 リ モー ト ユーザー ア カ ウ ン ト は無効にな っ てい ます。 セキ ュ リ テ ィ を最大限に確保す る ために、 以下の保護機能が組み込まれてい ます。 ロ グ イ ンす る ユーザーは、 公開キー / 秘密キー方式を使用 し て認証を受け る 必要 があ り ます。 DSA ま たは RSA キーのペア を使用で き ますが、 必ず OpenSSH 形式 のバージ ョ ン 2 形式でなければな り ません。パ ス ワ ー ド ベース の認証はで き ませ ん。 リ モー ト ユーザーの IP ア ド レ ス が リ モー ト ア ク セ ス リ ス ト に含まれていない 場合、 ア ク セ ス は許可 さ れ ません。 Check Point のポ リ シーを、 リ モー ト ユーザーが SSH に よ っ て NSF と 接続で き る よ う に定義す る 必要があ り ます。 表 15-37 [SSH User Menu] (/cfg/sys/user/adv/user) コ マ ン ド 構文 と 使用法 name こ の コ マ ン ド は、 ユーザーの フルネーム を設定 し ます。 pubkey こ の コ マ ン ド を使用す る と 、ユーザー用の RSA ま たは DSA 公開キーを設定で き ま す。 こ の値が正 し く 設定 さ れ、 対応す る 秘密キーに よ る 認証がで き る よ う に SSH ク ラ イ ア ン ト が設定 さ れ る ま で、 該当のユーザーは ロ グ イ ン で き ま せん。 RSA ま たは DSA キーは、 OpenSSH v2 形式のみ有効です。 ena こ の コ マ ン ド は、 ユーザー ア カ ウ ン ト を有効に し ます。 dis こ の コ マ ン ド は、 ユーザー ア カ ウ ン ト を無効に し ます。 del こ の コ マ ン ド は、 ユーザー ア カ ウ ン ト を削除 し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 329 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/lbopts [Load-Balancing Options Menu] [Load-Balancing Options Menu] metric - Set load balancing metric for directors host - Director specific weight for load-balancing mipweight - Set weight of MIP owner (overrides director's weight) [Load Balancing Options Menu] は、 処理能力の異な る 複数の Firewall Director を ロ ー ド バ ラ ン シ ン グ し 、 メ ガ プ ロ キ シ構成に対応可能にす る 場合に使用 し ま す。 Firewall Director を ロ ー ド バ ラ ン シ ン グす る には、 プ ロ ト コ ルに応 じ て 2 種類の メ ト リ ッ ク (iphash、 ipporthash) のいずれか を使用 し ます。 表 15-38 [Load-balancing Options Menu] (/cfg/sys/lbopts) コ マ ン ド 構文 と 使用法 metric iphash|ipporthash こ の コ マ ン ド は、 Firewall Director を ロ ー ド バ ラ ン シ ン グす る ための メ ト リ ッ ク を指定す る 場合に使用 し ます。 デフ ォ ル ト の メ ト リ ッ ク 値は iphash です。 以 下のいずれかの メ ト リ ッ ク を指定で き ます。 iphash : こ の メ ト リ ッ ク では、 送信元 と 宛先の IP ア ド レ ス に よ る ハ ッ シ ュ アルゴ リ ズ ム を使用 し て Firewall Director が選択 さ れ ます。 VPN、 マルチ ス ト リ ーム プ ロ ト コ ル (FTP、 RTSP な ど)、 お よ び NAT プ ロ ト コ ルを使用 し てい る 場合には、 こ の メ ト リ ッ ク が便利です。 ただ し こ の メ ト リ ッ ク では、 すべ ての メ ガ プ ロ キ シ ト ラ フ ィ ッ ク が同一の Firewall Director に渡 さ れます。 ま た、 ア ド レ ス パ タ ーン に よ っ ては、 使用可能な Firewall Director のサブセ ッ ト に ト ラ フ ィ ッ ク が渡 さ れ る 場合があ り ます。 ipporthash : こ の メ ト リ ッ ク では、 送信元 と 宛先の IP ア ド レ ス と ポー ト 番 号に よ る ハ ッ シ ュ アルゴ リ ズ ム を使用 し て Firewall Director が選択 さ れ ます。 こ の メ ト リ ッ ク は、 HTTP、 DNS、 SMTP、 NNTP な ど のシ ン グル ス ト リ ーム プ ロ ト コ ルを使用す る 場合にのみ指定 し て く だ さ い。 host < ホス ト 番号 > こ の コ マ ン ド は、 Firewall Director ご と に重みを設定 し 、 その重みに応 じ た配分 で ト ラ フ ィ ッ ク を ロ ー ド バ ラ ン シ ン グす る 場合に使用 し ます。 メ ニ ュ ー項目については、 331 ページ を参照 し て く だ さ い。 mipweight <0 ~ 15>|none こ の コ マ ン ド は、 MIP が設定 さ れた Firewall Director に重みを指定 し 、 その重み に基づ く ロ ー ド バ ラ ン シ ン グ を有効にす る 場合に使用 し ます。有効に し た場合、 MIP が設定 さ れた Firewall Director には、 mipweight の値 よ り 小 さ い重みの値 と 、その Firewall Director に実際に設定 さ れてい る 重みの値が適用 さ れます。MIP が設定 さ れた Firewall Director にはマルチキ ャ ス ト や GRE ト ン ネルな ど の処理 がすでに割 り 当て ら れてい る 場合があ る ため、 こ の方法で ロ ー ド バ ラ ン シ ン グ す る こ と に よ り 、 渡 さ れ る ト ラ フ ィ ッ ク を 軽減で き ま す。 MIP が設定 さ れ た Firewall Director に渡 さ れ る ト ラ フ ィ ッ ク を 完全 に ブ ロ ッ ク す る に は、 mipweight 値を 0 に し ます。 330 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/lbopts/host < ホス ト 番号 > [Host Weight 1 Menu] [Host Weight 1 Menu] weight - Set weight for traffic load balancing [Host Weight 1 Menu] は、Firewall Director ご と に重みを設定 し 、各 Firewall Director の 重みに応 じ た配分で ト ラ フ ィ ッ ク を ロ ー ド バ ラ ン シ ン グす る 場合に使用 し ま す。 重 みの設定方法の詳細については、「Firewall Director のロー ド バラ ン シ ン グ」 (183 ペー ジ) を参照 し て く だ さ い。 表 15-39 [Host Weight 1 Menu] (/cfg/sys/lbopts/host) コ マ ン ド 構文 と 使用法 weight 各 Firewall Director に 適用 さ れ る デ フ ォ ル ト 値 は 15 で す。 処 理 能 力 の 高 い Firewall Director に対 し ては、 こ れ よ り 大 き い値を指定で き ます。 た と えば、 NSF 5014 と 5016 を同一 ク ラ ス タ に構成 し て あ る 場合は、 NSF 5014 の重みを 10 に、 NSF 5016 の重みを 15 に指定で き ます。 こ の よ う に設定す る と 、 NSF 5016 では NSF 5014 よ り も 多 く の ト ラ フ ィ ッ ク が処理 さ れます。 特定の Firewall Director への ト ラ フ ィ ッ ク を完全にブ ロ ッ ク す る には、 重みを 0 に 設 定 し ま す。 重 み の 値 が 0 に 設 定 さ れ た Firewall Director は、 Firewall Accelerator に よ っ て ハ ッ シ ュ テーブルか ら 除外 さ れ ま す。 た だ し 、 すべて の Firewall Director に 0 を設定 し た場合は、 いずれ も デフ ォ ル ト の重みの値 15 が 設定 さ れてい る も の と みな さ れ ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 331 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sys/ups [APC UPS Menu] [APC UPS Menu] type snmphost snmpport snmpcomm level master ena dis - Set UPS type - Set IP address of SNMP UPS - Set port used by SNMP UPS - Set SNMP community string of the UPS - Set battery level (%) at which director shuts down - Set UPS Master IP address - Enable APC UPS Monitor - Disable APC UPS Monitor [APC UPS Menu] を使用す る と 、Nortel Switched Firewall 上で UPS サポー ト を設定す る こ と がで き ます。 こ の メ ニ ュ ー項目に よ っ て、 Switched Firewall か ら UPS に通信す る 場合に使用 さ れ る 通信 タ イ プ を指定で き ます。 表 15-40 [APC UPS Menu] (/cfg/sys/ups) コ マ ン ド 構文 と 使用法 type usb|snmp こ の コ マ ン ド を使用す る と 、 ク ラ ス タ の UPS サポー ト の設定に使用 さ れ る UPS 通信 タ イ プ を指定で き ます。 Switched Firewall が USB ケーブルに よ っ て UPS に 接続 さ れてい る 場合には、「usb」 タ イ プ を指定 し ます。Switched Firewall が SNMP を使用 し た イ ーサネ ッ ト 接続に よ っ て UPS と 通信す る 場合には、 「snmp」 を指 定 し ます。 snmphost <IP ア ド レ ス > こ の コ マ ン ド を使用す る と 、 UPS シ ス テ ム の IP ア ド レ ス を指定で き ます。 こ の コ マ ン ド は、 UPS タ イ プが SNMP 経由で フ ァ イ ア ウ ォ ール と 通信す る よ う に設 定 さ れてい る 場合に使用 し ます。 snmpport < ポー ト 番号 > こ の コ マ ン ド を使用す る と 、UPS SNMP が リ ッ ス ンす る ポー ト 番号を指定で き ま す。 デフ ォ ル ト 値は、 標準的な SNMP プ ロ ト コ ル番号の 161 です。 snmpcomm < コ ミ ュ ニ テ ィ ス ト リ ング > こ の コ マ ン ド は、 UPS シ ス テ ム と の通信に使用 さ れ る SNMP コ ミ ュ ニ テ ィ 名を 設定 し ます。 level <0 ~ 100%> こ の コ マ ン ド を 使用す る と 、 UPS のバ ッ テ リ レ ベル を 指定で き ま す。 UPS が バ ッ テ リ で動作 し てい る 場合、 こ の値は最小 し き い値 と し て使用 さ れ ます。バ ッ テ リ レ ベルが こ の値 を 下回 る と 、 UPS は接続 さ れて い る フ ァ イ ア ウ ォ ール を シ ャ ッ ト ダ ウ ン し ます。 デフ ォ ル ト 値は 5% です。 master <IP ア ド レ ス > こ の コ マ ン ド を使用す る と 、 ク ラ ス タ 内の ど の Switched Firewall を UPS シ ス テ ム と の通信マ ス タ と す る か を指定で き ます。 UPS タ イ プ が 「USB」 と 選択 さ れ てい る 場合は、 USB ケーブル経由で UPS に直結 さ れてい る フ ァ イ ア ウ ォ ールを マ ス タ に設定 し ます。 UPS タ イ プが 「snmp」 と 設定 さ れてい る 場合は、 ク ラ ス タ 内の任意の フ ァ イ ア ウ ォ ールを マ ス タ に設定で き ます。 332 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-40 [APC UPS Menu] (/cfg/sys/ups) コ マ ン ド 構文 と 使用法 ena こ の コ マ ン ド は、 ク ラ ス タ の UPS 監視サポー ト を有効に し ます。 dis こ の コ マ ン ド は、 ク ラ ス タ の UPS 監視サポー ト を無効に し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 333 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/pnp [SFD IP and Firewall License Menu] [SFD IP and Firewall License Menu] list - List detailed status of current IPs and Licenses del - Delete IP address and firewall license add - Add new IP address and firewall license ena - Enable Plug N Play dis - Disable Plug N Play [SFD IP and Firewall License Menu] は、 ク ラ ス タ に追加 さ れ る 新規 Firewall Director の 自動設定に使用 さ れ る リ ソ ース を あ ら か じ め設定す る 場合に使用 し ます。 こ の メ ニ ュ ーか ら 設定可能な リ ソ ース には、 IP ア ド レ スお よ び Check Point ラ イ セ ン ス のプールが含ま れ ます。Plug N Play が有効にな っ ていて リ ソ ース が使用可能な場合 には、 ク ラ ス タ に新 し く 追加 さ れた Firewall Director が自動的に設定 さ れて稼働を開 始 し ます。 詳細については、 「Firewall Director の追加」 (158 ページ) を参照 し て く だ さ い。 表 15-41 [SFD IP and Firewall License Menu] (/cfg/pnp) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、Plug N Play リ ソ ース プールに現在登録 さ れてい る IP ア ド レ ス と Check Point ラ イ セ ン ス を リ ス ト 表示す る 場合に使用 し ます。表示 さ れ る デー タ には、 ラ イ セ ン ス の有効期限 も 含ま れ ます。 Check Point の中央 ラ イ セ ン ス メ カ ニ ズ ム を使用 し て設定 さ れた ラ イ セ ン ス は、 こ の コ マ ン ド では リ ス ト 表示 さ れません。 del こ の コ マ ン ド は、 Plug N Play リ ソ ー ス プ ール か ら IP ア ド レ ス ま た は Check Point ラ イ セ ン ス、 あ る いはその両方を削除す る 場合に使用 し ます。 プールか ら 削除す る IP ア ド レ ス を入力す る よ う 、 プ ロ ンプ ト で求め ら れます。 ただ し 、 削 除で き る のは未使用の リ ソ ー ス だ け です。 現在 ク ラ ス タ に組み込 ま れ て い る Firewall Director を 削 除 す る 場 合 は、 292 ペ ー ジ の [Cluster Host Menu] の delete コ マ ン ド の説明を参照 し て く だ さ い。 add こ の コ マ ン ド は、 Plug N Play リ ソ ース プールに IP ア ド レ ス ま たは Check Point ラ イ セ ン ス、 あ る いは そ の両方 を 追加す る 場合に使用 し ま す。 IP ア ド レ ス と Check Point ラ イ セ ン ス の情報を入力す る よ う 求め ら れ ます。 334 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-41 [SFD IP and Firewall License Menu] (/cfg/pnp) コ マ ン ド 構文 と 使用法 ena こ の コ マ ン ド は、 Plug N Play 機能を オ ン にす る 場合に使用 し ま す。 こ の コ マ ン ド に よ る 設定はデフ ォ ル ト です。 Plug N Play 機能を オ ン に し た場合、 add コ マ ン ド に よ っ て使用可能な リ ソ ー ス が設定 さ れていれば、 ク ラ ス タ に新 し く 追加 さ れた Firewall Director が自動的に検出 さ れて ク ラ ス タ の メ ン バー と し て設定 さ れ、 フ ァ イ ア ウ ォ ール処理への参加が開始 さ れ ます。 dis こ の コ マ ン ド は、 Plug N Play 機能 を オ フ にす る 場合に使用 し ま す。 Plug N Play 機能を オ フ に し た場合は、 ク ラ ス タ に新 し く 追加す る 個々の Firewall Director を 手動で設定す る 必要があ り ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 335 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/acc [Accelerator Configuration Menu] [Accelerator Configuration Menu] auto - Set auto discovery ha - Set high availability vma - Set VMA-based performance rearp - Set re-ARP period in minutes passwd - Set accelerator password ac1 - Accelerator 1 Menu ac2 - Accelerator 2 Menu master - preferred HA master det - Display detected accelerators hc - Health Check Menu mprlimit - MP Rate limiter Configuration Menu mgmtnet - Set higher priority management network [Accelerator Configuration Menu] は、ク ラ ス タ の Firewall Accelerator に関す る パ ラ メ ー タ の設定に使用 し ます。こ の メ ニ ュ ーには、Firewall Accelerator の IP ア ド レ ス と MAC ア ド レ ス、 お よ びハ イ アベ イ ラ ビ リ テ ィ と 自動検出機能に関す る オプシ ョ ン を設定 す る ためのサブ メ ニ ュ ーが含ま れ ます。 表 15-42 [Accelerator Configuration Menu] (/cfg/acc) コ マ ン ド 構文 と 使用法 auto y|n こ の コ マ ン ド は、 自動検出機能の設定に使用 し ま す。 こ の機能を有効に し た場 合は、 Firewall Director の起動時に接続 さ れてい る Firewall Accelerator が自動的 に検出 さ れ、 フ ァ イ ア ウ ォ ール ソ フ ト ウ ェ アの起動時のア ク セ ラ レーシ ョ ン に 使用 さ れ ます。 デフ ォ ル ト では、 こ の機能は有効にな っ てい ます。 自動検出機能 を 無効に し た場合は、 フ ァ イ ア ウ ォ ール処理 を 加速す る た め に Firewall Director に使用 さ れ る Firewall Accelerator の MAC ア ド レ ス を、 管理者 が手動で設定す る 必要があ り ます (ac1 お よ び ac2 コ マ ン ド の説明を参照)。 ha y|n こ の コ マ ン ド は、 ハ イ アベ イ ラ ビ リ テ ィ 機能を有効ま たは無効にす る 場合に使 用 し ます。 デフ ォ ル ト では、 こ の機能は無効にな っ てい ます。 ハ イ アベ イ ラ ビ リ テ ィ を実現す る には、2 つの Firewall Accelerator を冗長構成で イ ン ス ト ール し てお く 必要があ り ます。 詳細については、 第 9 章、 「 ク ラ ス タ の拡張」 (153 ペー ジ) を参照 し て く だ さ い。 336 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-42 [Accelerator Configuration Menu] (/cfg/acc) コ マ ン ド 構文 と 使用法 vma on|off こ の コ マ ン ド は、 Firewall Accelerator の Virtual Matrix Architecture (VMA) 機能 の設定に使用 し ます。 on : セ ッ シ ョ ンの リ ソ ース情報はすべての Firewall Accelerator ポー ト で共有 さ れ ま す。 こ の値は主に、 ネ ッ ト ワ ー ク 環境が複雑で、 セ ッ シ ョ ン に使用 さ れ る ポー ト パ ス が要求時 と 応答時で異な る 場合に使用 し ます。 デフ ォ ル ト で は、 VMA 機能はオ ンに設定 さ れ ます。 off : すべての Firewall Accelerator ポー ト は、 自分自身のセ ッ シ ョ ン情報を管 理 し ます。 こ の場合、 フ ァ イ ア ウ ォ ールの処理速度は向上 し ますが、 セ ッ シ ョ ン の要求時 と 応答時に同 じ ポー ト パ ス が使用 さ れ る 単純なネ ッ ト ワー ク 構造 が必要 と な り ます。 rearp < 時間 (2 ~ 120 分) > こ の コ マ ン ド は、 ARP 再要求 イ ン タ ー バ ル を 分単位 で 設定 し ま す。 Nortel Switched Firewall は、 ARP 要求を定期的に送信す る こ と に よ っ て ア ド レ ス デー タ ベー ス を リ フ レ ッ シ ュ し ま す。 こ の コ マ ン ド を使用す る と 、 デー タ ベー ス 内 で次の IP ア ド レ ス の ARP 再要求が行われ る ま での イ ン タ ーバル を設定で き ま す。 デフ ォ ル ト 値は 10 分です。 passwd こ の コ マ ン ド を使用す る と 、 Firewall Accelerator コ ン ソ ール ポー ト に直接ア ク セ ス す る た めのパ ス ワ ー ド を 変更で き ま す。 こ のパ ス ワ ー ド はデ フ ォ ル ト で admin に設定 さ れてい ま すが、 セ キ ュ リ テ ィ 上、 必要に応 じ て変更で き ま す。 こ の コ マ ン ド を実行す る と 、 新 し いパ ス ワ ー ド の入力 と 確認のための再入力を 求め ら れ ます。 ac1 [Accelerator 1 Menu] は、 ク ラ ス タ 内の 1 番めの Firewall Accelerator の MAC ア ド レ ス と IP ア ド レ ス を設定す る 場合に使用 し ます。 メ ニ ュ ー項目については、 339 ページ を参照 し て く だ さ い。 ac2 [Accelerator 2 Menu] は、 ク ラ ス タ 内の 2 番めの Firewall Accelerator の MAC ア ド レ ス と IP ア ド レ ス を設定す る 場合に使用 し ます。 こ の設定は、 ハ イ アベ イ ラ ビ リ テ ィ の構成でのみ必要です。 メ ニ ュ ー項目については、 340 ページ を参照 し て く だ さ い。 master 1|2 こ の コ マ ン ド は、 ハ イ アベ イ ラ ビ リ テ ィ の構成で、 フ ァ イ ア ウ ォ ールのア ク セ ラ レ ーシ ョ ン に ど ち ら の Firewall Accelerator を使用す る か を指定す る 場合に使 用 し ま す。 自動検出機能が有効にな っ てい る 場合には、 こ の設定は無視 さ れ ま す (336 ページの auto コ マ ン ド の説明を参照)。 ac1 で 設定 し た Firewall Accelerator を 使用す る に は 1 を、 ac2 で 設定 し た Firewall Accelerator を使用す る には 2 を指定 し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 337 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-42 [Accelerator Configuration Menu] (/cfg/acc) コ マ ン ド 構文 と 使用法 det 自動検出機能が auto コ マ ン ド で有効にな っ てい る 場合は、 ハ イ アベ イ ラ ビ リ テ ィ の構成で最初に検出 さ れた Firewall Accelerator が フ ァ イ ア ウ ォ ールのア ク セ ラ レ ー シ ョ ン に使用 さ れ ま す。 こ の コ マ ン ド を 実行す る と 、 現在 フ ァ イ ア ウ ォ ール の ア ク セ ラ レ ー シ ョ ン に使用 さ れ て い る ア ク テ ィ ブ な Firewall Accelerator の MAC ア ド レ ス と IP ア ド レ ス が表示 さ れます。 hc [Health Check Parameters Menu] は、Firewall Accelerator が稼働 し てい る か ど う か をチ ェ ッ ク す る イ ン タ ーバルの設定に使用 し ます。 メ ニ ュ ー項目については、 341 ページ を参照 し て く だ さ い。 mprlimit [MP Rate Limiter Configuration Menu] は、 Firewall Accelerator に 渡 さ れ る ARP、 ICMP、 TCP、 お よ び UDP セ ッ シ ョ ン を制限す る 場合に使用 し ます。 メ ニ ュ ー項目については、 342 ページ を参照 し て く だ さ い。 mgmtnet < 管理ネ ッ ト ワー ク IP ア ド レ ス > < サブネ ッ ト マス ク > こ の コ マ ン ド は、 Nortel Switched Firewall に関す る 優先管理ネ ッ ト ワ ー ク の設定 に使用 し ま す。 優先管理ネ ッ ト ワ ー ク 上の ト ラ フ ィ ッ ク は、 フ ァ イ ア ウ ォ ール ロ ー ド が過大な状況で も 破棄 さ れない よ う 保護 さ れ ま す。 こ の コ マ ン ド を使用 す る と 、 Dos 攻撃を受けた場合に Nortel Switched Firewall が管理ツール と の接続 を失 う の を防 ぐ こ と がで き ます。 デフ ォ ル ト では、 IP ア ド レ ス は 0.0.0.0、 マ ス ク ア ド レ ス は 255.0.0.0 に設定 さ れ ます。 338 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/acc/ac1 [Accelerator 1 Menu] [Accelerator 1 Menu] mac - Set MAC Address addr - Set IP Address iap - Set inter-accelerator Port [Accelerator 1 Menu] は、 ク ラ ス タ 内の 1 番めの Firewall Accelerator の MAC ア ド レ ス と IP ア ド レ ス を設定す る 場合に使用 し ます。 表 15-43 [Accelerator 1 Menu] (/cfg/acc/ac1) コ マ ン ド 構文 と 使用法 mac <MAC ア ド レ ス > こ の コ マ ン ド は、ク ラ ス タ 内の 1 番めの Firewall Accelerator の MAC ア ド レ ス を 手動で設定す る 場合に使用 し ます。 こ の コ マ ン ド は、自動検出機能が無効にな っ てい る 場合にのみ使用 し ま す。 自動検出機能が有効にな っ てい る 場合、 こ の コ マ ン ド での設定は無視 さ れ ます。 詳細については、 336 ページの auto コ マ ン ド の説明を参照 し て く だ さ い。 addr <Firewall Accelerator IP ア ド レ ス > こ の コ マ ン ド は、 ク ラ ス タ 内の 1 番めの Firewall Accelerator の IP ア ド レ ス を設 定す る 場合に使用 し ます。 ク ラ ス タ の MIP ア ド レ ス と 同 じ サブネ ッ ト 内の IP ア ド レ ス を、 ド ッ ト 付 き 10 進表記で指定す る 必要があ り ます。 iap < ア ク セ ラ レー タ 間のポー ト > こ の コ マ ン ド は、 ハ イ ア ベ イ ラ ビ リ テ ィ の 構 成 に お い て、 複 数 の Firewall Accelerator を 相 互 に 接 続 す る た め の ポ ー ト を 指 定 す る 場 合 に 使 用 し ま す。 Firewall Accelerator 6600 の 場 合 は IAP ポ ー ト を 指 定 す る 必 要 が あ り ま す。 Firewall Accelerator のポー ト はどれで も IAP と し て使用で き ますが、 NAAP を有 効に し てお く 必要があ り ます。 可能であれば、 ポー ト 12 を IAP ポー ト と し て設 定す る こ と をお勧め し ます。 Firewall Accelerator 6400 の場合は IAP ポー ト を指 定す る 必要があ り ます。Firewall Accelerator のポー ト はどれで も IAP と し て使用 で き ますが、 NAAP を有効に し てお く 必要があ り ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 339 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/acc/ac2 [Accelerator 2 Menu] [Accelerator 2 Menu] mac - Set MAC Address addr - Set IP Address iap - Set inter-accelerator Port [Accelerator 2 Menu] は、 ク ラ ス タ 内の 2 番めの Firewall Accelerator の MAC ア ド レ ス と IP ア ド レ ス を設定す る 場合に使用 し ます。 こ の設定は、 ハ イ アベ イ ラ ビ リ テ ィ の 構成でのみ必要です。 表 15-44 [Accelerator 2 Menu] (/cfg/acc/ac2) コ マ ン ド 構文 と 使用法 mac <MAC ア ド レ ス > こ の コ マ ン ド は、ク ラ ス タ 内の 2 番めの Firewall Accelerator の MAC ア ド レ ス を 手動で設定す る 場合に使用 し ます。 こ の コ マ ン ド は、自動検出機能が無効にな っ てい る 場合にのみ使用 し ま す。 自動検出機能が有効にな っ てい る 場合、 こ の コ マ ン ド での設定は無視 さ れ ます。 詳細については、 336 ページの auto コ マ ン ド の説明を参照 し て く だ さ い。 addr <Firewall Accelerator IP ア ド レ ス > こ の コ マ ン ド は、 ク ラ ス タ 内の 2 番めの Firewall Accelerator の IP ア ド レ ス を設 定す る 場合に使用 し ます。 ク ラ ス タ の MIP ア ド レ ス と 同 じ サブネ ッ ト 内の IP ア ド レ ス を、 ド ッ ト 付 き 10 進表記で指定す る 必要があ り ます。 iap < ア ク セ ラ レー タ 間のポー ト > こ の コ マ ン ド は、 ハ イ ア ベ イ ラ ビ リ テ ィ の 構 成 に お い て、 複 数 の Firewall Accelerator を 相 互 に 接 続 す る た め の ポ ー ト を 指 定 す る 場 合 に 使 用 し ま す。 Firewall Accelerator 6600 の 場 合 は IAP ポ ー ト を 指 定 す る 必 要 が あ り ま す。 Firewall Accelerator のポー ト はどれで も IAP と し て使用で き ますが、 NAAP を有 効に し てお く 必要があ り ます。 可能であれば、 ポー ト 12 を IAP ポー ト と し て設 定す る こ と をお勧め し ます。 Firewall Accelerator 6400 の場合は IAP ポー ト を指 定す る 必要があ り ます。Firewall Accelerator のポー ト はどれで も IAP と し て使用 で き ますが、 NAAP を有効に し てお く 必要があ り ます。 340 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/acc/hc [Health Check Parameters Menu] [Health Check Parameters Menu] ret - Set retry count int - Set health check interval in seconds [Health Check Parameters Menu] は、 Firewall Accelerator が稼働 し て い る か ど う か を チ ェ ッ ク す る イ ン タ ーバルの設定に使用 し ます。 こ のヘル ス チ ェ ッ ク では、 各 Firewall Accelerator が互いの ス テー タ ス を テ ス ト し ま す。 こ れは、 設定 さ れた イ ン タ ーバルで定期的に実行 さ れ ま す。 ヘル ス チ ェ ッ ク が 設定 さ れた回数にわた っ て連続 し て失敗 し た場合、 その Firewall Accelerator はダ ウ ン し て い る と み な さ れ ま す。 ハ イ ア ベ イ ラ ビ リ テ ィ の 構 成 で マ ス タ の F i r e w a l l Accelerator がダ ウ ン し た場合は、バ ッ ク ア ッ プ用の Firewall Accelerator がマ ス タ と し て機能 し ます。 表 15-45 [Health Check Parameter Menu] (/cfg/acc/hc) コ マ ン ド 構文 と 使用法 ret < 再試行の回数 (1 ~ 63) > こ の コ マ ン ド は、 Firewall Accelerator がダ ウ ン し てい る と みなす基準 と し て、 ヘ ル ス チ ェ ッ ク が連続で失敗す る 回数を指定す る 場合に使用 し ます。 デフ ォ ル ト 値は 30 です。 int < イ ン タ ーバル (1 ~ 60 秒) > こ の コ マ ン ド は、ヘル ス チ ェ ッ ク の実行間隔の指定に使用 し ます。こ の イ ン タ ー バルは秒単位です。 デフ ォ ル ト 値は 1 です。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 341 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/acc/mprlimit [MP Rate limiter Configuration Menu] [MP Rate limiter arp icmp tcp udp Configuration Menu] - Set ARP count/sec - Set ICMP count/sec - Set TCP count/sec - Set UDP count/sec [MP Rate Limiter Configuration Menu] は、 Firewall Accelerator MP を 使 用 す る ト ラ フ ィ ッ ク を 制限す る 場合に使用 し ま す。 ト ラ フ ィ ッ ク を 制限す る こ と で、 Firewall Accelerator MP に大量の ト ラ フ ィ ッ ク が殺到 し て フ ァ イ ア ウ ォール機能が低下す る の を防ぐ こ と がで き ます。Firewall Accelerator に向か う ト ラ フ ィ ッ ク (ARP、ICMP、UDP、 TCP) は、 MP に過大な負荷がかか ら ない流量レー ト で制御 さ れます。 表 15-46 [MP Rate Limiter Configuration Menu] (/cfg/acc/mprlimit) コ マ ン ド 構文 と 使用法 arp <0 ~ 65535> こ の コ マ ン ド は、 Firewall Accelerator に向か う ARP ト ラ フ ィ ッ ク を、 指定 し た 値で制限す る 場合に使用 し ます。 デフ ォ ル ト 値は 128 です。 icmp <0 ~ 65535> こ の コ マ ン ド は、 Firewall Accelerator に向か う ICMP ト ラ フ ィ ッ ク を、 指定 し た 値で制限す る 場合に使用 し ます。 デフ ォ ル ト 値は 1024 です。 tcp <0 ~ 65535> こ の コ マ ン ド は、 Firewall Accelerator に向か う TCP ト ラ フ ィ ッ ク を、 指定 し た 値で制限す る 場合に使用 し ます。 デフ ォ ル ト 値は 1024 です。 udp <0 ~ 65535> こ の コ マ ン ド は、 Firewall Accelerator に向か う UDP ト ラ フ ィ ッ ク を、 指定 し た 値で制限す る 場合に使用 し ます。 デフ ォ ル ト 値は 1024 です。 342 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sec [Security Configuration Menu] [Security Configuration Menu] ipacl - IP ACL Menu udpblast - UDP Blast Menu [Security Configuration Menu] は、 ク ラ ス タ の Firewall Accelerator に関す る セ キ ュ リ テ ィ パ ラ メ ー タ の設定に使用 し ます。 詳細については、 第 7 章、 「拡張 DoS プ ロ テ ク シ ョ ン」 を参照 し て く だ さ い。 表 15-47 [Security Configuration Menu] (/cfg/sec) コ マ ン ド 構文 と 使用法 ipacl こ の コ マ ン ド は、送信元 IP ア ド レ ス を基準 と し た ア ク セ ス リ ス ト を設定す る 場 合に使用 し ます。 着信パケ ッ ト の送信元 IP ア ド レ ス が IP ACL 内のいずれかの エ ン ト リ と 一致 し た場合、 そ のパ ケ ッ ト は破棄 さ れ ま す。 IP ACL には、 最大 5,000 組の IP ア ド レ ス と マ ス ク ア ド レ ス を定義で き ます。IP ACL はポー ト ご と にオ ン ま たはオ フ にす る こ と がで き ます。 メ ニ ュ ー項目については、 344 ページ を参照 し て く だ さ い。 udpblast こ の コ マ ン ド は、 サーバーが UDP 攻撃 を 受け な い よ う に UDP レ ー ト を 宛先 ポー ト ご と に制限す る 場合に使用 し ます。 メ ニ ュ ー項目については、 345 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 343 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sec/ipacl [IP ACL Menu] [IP ACL Menu] list del add insert move - List all values Delete a value by number Add a new value Insert a new value Move a value by number [IP ACL Menu] は、 送信元 IP ア ド レ ス を基準 と し た ア ク セ ス リ ス ト の設定に使用 し ます。着信パケ ッ ト の送信元 IP ア ド レ ス が IP ACL 内のいずれかのエ ン ト リ と 一致 し た場合、 そのパケ ッ ト は破棄 さ れます。 IP ACL には、 最大 5,000 組の IP ア ド レ ス と マ ス ク ア ド レ ス を定義で き ます。 IP ACL はポー ト ご と にオ ン ま たはオ フ にす る こ と がで き ます。 表 15-48 [IP ACL Menu] (/cfg/sec/ipacl) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 リ ス ト 内のすべての送信元 IP ア ド レ ス と イ ンデ ッ ク ス番号を 表示 し ます。 del < イ ンデ ッ ク ス番号 > こ の コ マ ン ド を使用す る と 、 指定 し た イ ンデ ッ ク ス番号の送信元 IP ア ド レ ス を ア ク セ ス リ ス ト か ら 削除で き ま す。 list コ マ ン ド を使用 し て、 追加 さ れてい る 送信元 IP ア ド レ ス の イ ンデ ッ ク ス番号 と IP ア ド レ ス を表示 し ます。 add < 送信元 IP ア ド レ ス > < サブネ ッ ト マス ク > こ の コ マ ン ド を使用す る と 、新 し い送信元 IP ア ド レ ス を ア ク セ ス リ ス ト に追加 で き ます。 insert < イ ンデ ッ ク ス番号 > <IP ア ド レ ス > < サブネ ッ ト マス ク > こ の コ マ ン ド を使用す る と 、 ア ク セ ス リ ス ト 内の指定 し た イ ンデ ッ ク ス位置に 新 し い送信元 IP ア ド レ ス を追加で き ます。 指定 し た イ ンデ ッ ク ス番号お よ びそ れ以降の番号が設定 さ れた既存のサーバーについては、 それぞれの イ ンデ ッ ク ス番号に 1 が足 さ れます。 move <from イ ンデ ッ ク ス番号 > <to イ ンデ ッ ク ス番号 > こ の コ マ ン ド は、 指定 さ れた from イ ンデ ッ ク ス 番号の DNS サーバーを削除 し た後、 指定 さ れた to イ ンデ ッ ク ス番号の位置に挿入 し ます。 344 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/sec/udpblast [UDP Blast Menu] [UDP Blast Menu] list del add insert move - List all values Delete a value by number Add a new value Insert a new value Move a value by number [UDP Blast Menu] は、 サーバーが UDP 攻撃を受けない よ う にポー ト の UDP レー ト を 制限す る 場合に使用 し ます。 それに よ り 、 UDP ポー ト に向か う 個々の UDP パケ ッ ト を UDP 攻撃か ら 保護す る こ と がで き ます。指定 し た最大レー ト を上回 る UDP パケ ッ ト は、 こ の保護の対象外 と な り ます。 UDP Blast 機能はポー ト ご と にオ ン ま たはオ フ にす る こ と がで き ます。 表 15-49 [UDP Blast Menu] (/cfg/sec/udpblast) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 すべての UDP ポー ト の イ ンデ ッ ク ス番号を表示 し ます。 del < イ ンデ ッ ク ス番号 > こ の コ マ ン ド を使用す る と 、 指定 し た イ ンデ ッ ク ス番号の UDP ポー ト を削除で き ます。 list コ マ ン ド を使用 し て、 追加 さ れてい る UDP ポー ト の イ ンデ ッ ク ス番号 と UDP ポー ト 番号を表示 し ます。 add <udp ポー ト 番号 (1 ~ 65535) > <1 秒あた り の最大パケ ッ ト レー ト (1 ~ 20000000) > こ の コ マ ン ド を使用す る と 、 指定 し た宛先ポー ト の最大 UDP レー ト を設定で き ます。 insert <udp ポー ト 番号 (1 ~ 65535) > <1 秒あた り の最大パケ ッ ト レー ト (1 ~ 20000000) > こ の コ マ ン ド を使用す る と 、 UDP ポー ト の リ ス ト 内の指定 し た イ ンデ ッ ク ス位 置に新 し い UDP ポー ト を追加で き ます。 指定 し た イ ンデ ッ ク ス番号お よ びそれ 以降の番号が設定 さ れた既存のサーバーについては、 それぞれの イ ンデ ッ ク ス 番号に 1 が足 さ れ ます。 move <from イ ンデ ッ ク ス番号 > <to イ ンデ ッ ク ス番号 > こ の コ マ ン ド は、 指定 さ れた from イ ンデ ッ ク ス 番号の UDP ポー ト を削除 し た 後、 指定 さ れた to イ ンデ ッ ク ス番号の位置に挿入 し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 345 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net [Network Configuration Menu] [Network Configuration Menu] port - Port Menu vlan - VLAN Menu if - Interface Menu gre - GRE Tunnel Menu route - Routing Settings Menu dhcprl - DHCP Relay Menu mirr - Port Mirroring Menu idslb - IDS Load Balancing Menu adv - Advanced Settings Menu mgif - Management Interface Menu [Network Configuration Menu] は、 フ ァ イ ア ウ ォ ールを経由 し てネ ッ ト ワー ク を流れ る ト ラ フ ィ ッ ク の設定に使用 し ます。 表 15-50 [Network Configuration Menu] (/cfg/net) コ マ ン ド 構文 と 使用法 port < ポー ト 番号 > [Port Menu] は、 指定 さ れた物理ポー ト を Firewall Accelerator 上に設定す る 場合 に使用 し ま す。 ポー ト の有効化 ま たは無効化、 お よ びポー ト の リ ン ク 特性の指 定がで き る ほかに、 ポー ト フ ィ ル タ も 適用で き ます。 メ ニ ュ ー項目については、 348 ページ を参照 し て く だ さ い。 vlan <VLAN 番号 (1 ~ 4093) > [VLAN Menu] は、 VLAN に関す る 設定に使用 し ます。 単一の Firewall Accelerator ポー ト に複数のネ ッ ト ワ ー ク が接続 さ れてい る 場合、 ま たは VLAN の タ グ付け が使用 さ れてい る ネ ッ ト ワー ク にポー ト を追加す る 場合には、VLAN を設定す る 必要があ り ます。 設定可能な VLAN の最大数は 253 ですが、 各 VLAN には 1 ~ 4093 ま での識別 番号を設定で き ます。 ただ し 、 VLAN 4092 は内部用に予約 さ れてい る 番号です。 VLAN 1 の設定後、 さ ら に 252 の VLAN を設定す る こ と がで き ます。 メ ニ ュ ー項目については、 359 ページ を参照 し て く だ さ い。 if <IP イ ン タ フ ェ ース番号 (1 ~ 255) > [Interface Menu] は、 IP イ ン タ フ ェース の設定に使用 し ます。 IP イ ン タ フ ェ ース は、 ク ラ ス タ に接続 さ れ る ネ ッ ト ワ ー ク ご と に 1 つ設定す る 必要があ り ます。最 大で 255 の IP イ ン タ フ ェース を設定で き ます。 メ ニ ュ ー項目については、 363 ページ を参照 し て く だ さ い。 gre [GRE Tunnel Menu] は、 Nortel Switched Firewall での GRE ト ン ネル機能に関す る 設定に使用 し ます。 メ ニ ュ ー項目については、 367 ページ を参照 し て く だ さ い。 346 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-50 [Network Configuration Menu] (/cfg/net) コ マ ン ド 構文 と 使用法 route [Routing Settings Menu] は、 デフ ォ ル ト IP ゲー ト ウ ェ イ 、 ス タ テ ィ ッ ク ルー ト 、 RIP、 お よ び OSPF に関す る パ ラ メ ー タ の設定に使用 し ます。 メ ニ ュ ー項目については、 369 ページ を参照 し て く だ さ い。 dhcprl [DHCP Relay Menu] は、 Nortel Switched Firewall に よ る DHCP リ レー機能の設定 に使用 し ます。 メ ニ ュ ー項目については、 415 ページ を参照 し て く だ さ い。 mirr [Port Mirroring Menu] は、診断対象のポー ト を監視す る ための設定に使用 し ます。 メ ニ ュ ー項目については、 418 ページ を参照 し て く だ さ い。 idslb [IDS Load Balancing Menu] は、IDS サーバーの ロ ー ド バ ラ ン シ ン グの設定に使用 し ます。 メ ニ ュ ー項目については、 421 ページ を参照 し て く だ さ い。 adv [Advanced Settings Menu] は、 ド メ イ ン 名、 ポー ト フ ィ ル タ 、 ロ ーカ ル ルー ト キ ャ ッ シ ュ 、 VRRP、 お よ びプ ロ キ シ ARP に関す る パ ラ メ ー タ の設定に使用 し ま す。 メ ニ ュ ー項目については、 424 ページ を参照 し て く だ さ い。 mgif [Management Interface Menu] は、 管理 イ ン タ フ ェ ー ス に関す る IP ア ド レ ス と マ ス ク ア ド レ ス の設定に使用 し ます。 メ ニ ュ ー項目については、 442 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 347 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/port < ポー ト 番号 > [Port Menu] [Port 1 Menu] name copper fiber pref back naap trunk ena dis del o--o - --When gwp bounce sec filt enf vtag - Set port name Copper Physical Link Menu Fiber Physical Link Menu Set preferred physical connector Set backup physical connector Set NAAP Set trunk membership Enable port Disable Port Remove Port trunked, items below are set by the master port-Enable Gateway Persistency Enable bouncing after fail-over Security Menu Port Filters Menu Set filtering Set VLAN tagging [Port Menu] は、指定 さ れた物理ポー ト を Firewall Accelerator 上に設定す る 場合に使用 し ます。 ポー ト の有効化 / 無効化がで き る ほか、 ポー ト の リ ン ク 特性の指定、 ポー ト フ ィ ル タ の適用、 お よ び複数のポー ト の ト ラ ン キ ン グ も 可能です。 デフ ォ ル ト では、 ポー ト は無効にな っ てい ます。 物理ポー ト の コ ネ ク タ の特徴 Firewall Accelerator は、 モデルに よ っ てポー ト の コ ネ ク タ の種類が異な り ます。 表 15-51 Firewall Accelerator ポー ト モデル Firewall Accelerator RJ-45 (銅) LC (フ ァ イバ ギガ ビ ッ ト ) デ ュ アル : RJ-45 お よび LC 管理ポー ト (10/100) 6600 ポー ト 1 ~ 8 (ギガ ビ ッ ト ) ポー ト 3 ~ 6 ポー ト 9 ~ 12 ポー ト 3 ~ 6 ポー ト 13 6400 ポー ト 1 ~ 24 ポー ト 25 ~ 28 なし ポー ト 29 LC 光フ ァ イ バー コ ネ ク タ は、 ギガ ビ ッ ト イ ーサネ ッ ト (1000Base-SX) セグ メ ン ト を ポー ト に接続す る 場合に使用 し ます。 RJ-45 銅 コ ネ ク タ は、 10/100/1000 Mbps イ ー サネ ッ ト (10Base-T、 100Base-TX、 ま たは 1000Base-TX) セ グ メ ン ト を 接続す る 場 合に使用 し ます。 物理 コ ネ ク タ を 2 つ備え たポー ト では、 シ ス テ ム に接続す る ネ ッ ト ワ ー ク デバ イ ス に応 じ て、 ど ち ら の コ ネ ク タ で も 使用で き ます。 リ ン ク の冗長性を確保す る ために、 デ ュ ア ル ホ ー ミ ン グ テ ク ノ ロ ジ ーが採用 さ れ て い る デバ イ ス を 接続す る 場合は、 デ ュ アル コ ネ ク タ の一方を優先 リ ン ク と し て使用 し 、 も う 一方を バ ッ ク ア ッ プ用 と し て使用す る こ と がで き ます。 348 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 物理 コ ネ ク タ が 1 つのみのポー ト に対 し ては、 [Port Menu] お よ びそのサブ メ ニ ュ ー に記載 さ れ て い る オ プ シ ョ ン の一部が使用で き な い場合が あ り ま す。 すべ て の メ ニ ュ ー オプシ ョ ンは Firewall Accelerator の全モデルで表示 さ れ ますが、ポー ト に使用 で き ないオプシ ョ ンの設定値は無視 さ れます。 物 理 ポ ー ト の 仕 様 お よ び LED 表 示 の 意 味 に つ い て は、 『Nortel Switched Firewall Hardware Installation Guide』 を参照 し て く だ さ い。 [Port Menu] 表 15-52 [Port Menu] (/cfg/net/port) コ マ ン ド 構文 と 使用法 name < ポー ト 名 > こ の コ マ ン ド は、 ポー ト の名前を設定 し ま す。 こ の コ マ ン ド で割 り 当て た ポー ト 名は、 さ ま ざ ま な情報画面でポー ト 番号 と と も に表示 さ れ ま す。 デフ ォ ル ト では None に設定 さ れ ます。 copper [Copper Physical Link Menu] は、RJ-45 コ ネ ク タ を備え た Firewall Accelerator ポー ト の リ ン ク 特性の設定に使用 し ます。 ポー ト リ ン ク について、 ポー ト 速度、 二 重モー ド 、 フ ロ ー管理方式、 お よ びネ ゴ シエーシ ョ ン モー ド の設定がで き ます。 メ ニ ュ ー項目については、 354 ページ を参照 し て く だ さ い。 fiber [Fiber Physical Link Menu] は、 LC コ ネ ク タ を備え た Firewall Accelerator ポー ト の リ ン ク 特性の設定に使用 し ます。 ポー ト の フ ロ ー管理方式の設定やポー ト リ ン ク のネ ゴ シエーシ ョ ン モー ド の設定がで き ます。 メ ニ ュ ー項目については、 356 ページ を参照 し て く だ さ い。 pref copper|fiber 物理 コ ネ ク タ を 2 つ備え たポー ト について、 リ ン ク に使用す る 優先 コ ネ ク タ を 設定 し ます。 以下のいずれかのオプシ ョ ン を指定す る 必要があ り ます。 copper : 高速 イ ーサネ ッ ト ポー ト 、 RJ-45 コ ネ ク タ fiber : ギガ ビ ッ ト イ ーサネ ッ ト ポー ト 、 LC フ ァ イ バ コ ネ ク タ (デフ ォ ル ト 設定) back copper|fiber 物理 コ ネ ク タ を 2 つ備え たポー ト について、 優先 コ ネ ク タ が障害発生な ど で使 用で き な く な っ た と き の代用 と す る 物理 コ ネ ク タ を指定 し ま す。 以下のいずれ かのオプシ ョ ン を指定す る 必要があ り ます。 217014-B-JA, 2005 年 12 月 copper : 高速 イ ーサネ ッ ト ポー ト 、 RJ-45 コ ネ ク タ fiber : ギガ ビ ッ ト イ ーサネ ッ ト ポー ト 、 LC フ ァ イ バ コ ネ ク タ 第 15 章 : 設定 メ ニ ュ ー 349 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-52 [Port Menu] (/cfg/net/port) コ マ ン ド 構文 と 使用法 naap y|n こ の コ マ ン ド は、 ポー ト に対 し て NAAP を有効 ま たは無効に し ま す。 1 つ ま た は複数の Firewall Director に接続 さ れてい る Firewall Accelerator ポー ト について は、 NAAP を有効にす る 必要があ り ます。 信頼ネ ッ ト ワー ク 、 非信頼ネ ッ ト ワー ク 、 ま たは半信頼ネ ッ ト ワ ー ク に接続 さ れてい る Firewall Accelerator ポー ト に ついては、 NAAP を無効にす る 必要があ り ます。 Firewall Accelerator 6600 のデフ ォ ル ト 設定は、 ポー ト 番号に よ っ て異な り ます。 ポー ト 1 ~ 10 はデフ ォ ル ト でネ ッ ト ワ ー ク ト ラ フ ィ ッ ク 用に予約 さ れ、 NAAP が無効にな っ てい ます。 ポー ト 11 と 12 はデフ ォ ル ト で Firewall Director と の接続用に予約 さ れ、 NAAP が有効にな っ てい ます。 Firewall Accelerator 6400 のデフ ォ ル ト 設定は以下の と お り です。 ポー ト 27 と 28 は Firewall Director と の接続、 ま たは冗長構成での 2 つの Firewall Accelerator と の接続用に予約 さ れ、 NAAP が有効にな っ てい ます。 ポー ト 2 ~ 23、25、26 はデフ ォ ル ト でネ ッ ト ワ ー ク ト ラ フ ィ ッ ク 用に予約 さ れ、 NAAP が無効にな っ てい ます。 ポー ト がいずれかの ト ラ ン ク グループに属 し てい る 場合、 そのポー ト にはマ ス タ ト ラ ン ク ポー ト の設定値が適用 さ れます。 trunk < マス タ ポー ト 番号 >|no|master こ の コ マ ン ド は、 対象ポー ト の ト ラ ン ク グループへの参加状況を管理 し ま す。 デフ ォ ル ト では、 ト ラ ン ク グループの メ ンバーシ ッ プは no に設定 さ れてい ま す。 以下のいずれかのオプシ ョ ン を指定で き ます。 : 対象ポー ト を、 指定 し たマ ス タ ポー ト を持つ ト ラ ン ク グ ループに割 り 当て ます。 こ れに よ り 、 指定 し たマ ス タ ポー ト のすべての フ ィ ル タ 設定、 NAAP 設定、 お よ び VLAN の タ グ付け設定が、 対象ポー ト に適用 さ れ ます。 no : 対象ポー ト を、 属 し てい る ト ラ ン ク グループか ら 除外 し ます。 マ ス タ ポー ト が ト ラ ン ク か ら 削除 さ れてい る 場合は、 別のポー ト を指定す る 必要が あ り ます。 master:対象ポー ト を、割 り 当て ら れてい る ト ラ ン ク グループのマ ス タ ポー ト と し て定義 し ます。 その ト ラ ン ク に属 し てい る その他すべてのポー ト には、 変更後のマ ス タ ポー ト のすべての フ ィ ル タ 設定、 NAAP 設定、 お よ び VLAN の タ グ付け設定が自動的に適用 さ れ ます。 マス タ ポー ト 番号 詳細については、 「ポー ト の ト ラ ン ク化」 (353 ページ) を参照 し て く だ さ い。 ena こ の コ マ ン ド は、 ポー ト を有効に し ます。 dis こ の コ マ ン ド は、 ポー ト を無効に し ます。 デフ ォ ル ト では、 ポー ト は無効にな っ てい ます。 del こ の コ マ ン ド は、ポー ト のパ ラ メ ー タ をデフ ォ ル ト 値に リ セ ッ ト し てか ら 、ポー ト を無効に し ます。 ポー ト の再設定 と 再有効化はいつで も 実行で き ます。 350 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-52 [Port Menu] (/cfg/net/port) コ マ ン ド 構文 と 使用法 gwp こ の コ マ ン ド は、 ポー ト に対 し てゲー ト ウ ェ イ 固定化機能を有効に し ま す。 こ の機能では、 Nortel Switched Firewall に対す る 個々の接続について、 その接続に 関す る すべての要求 と 応答が、 接続時のパケ ッ ト が転送 さ れた と き と 同 じ ゲー ト ウ ェ イ 経由で送信 さ れます。 NAAP が有効にな っ てい る ポー ト に対 し ては、ゲー ト ウ ェ イ 固定化機能を有効に し ないで く だ さ い。 ト ラ ン ク グループのマ ス タ ポー ト に対 し てゲー ト ウ ェ イ 固 定化機能を有効に し た場合は、 グループのすべての メ ンバー ポー ト に対 し て こ の機能が自動的に有効にな り ます。 bounce こ の コ マ ン ド は、Firewall Accelerator がバ ッ ク ア ッ プ用 と し て稼働を開始 し た時 点で、 そのポー ト を使用す る リ ン ク を強制的に停止 し ま す。 あ る ポー ト に対 し て 「bounce」 を 有効にす る と 、 バ ッ ク ア ッ プ用に な っ た Firewall Accelerator の ポー ト 上の リ ン ク が短時間の間自動的に停止 し ま す。 接続 さ れてい る デバ イ ス で、 NSF フ ェ イ ルオーバー後の ARP キ ャ ッ シ ュ ま たは FDB テーブルの更新が 長時間に及ぶ場合には、 こ の機能を有効に し て く だ さ い。 こ の機能を有効にす る と 、 あ る Firewall Accelerator か ら ス タ ンバ イ 中の Firewall Accelerator への フ ェ イ ルオーバーが行われた と き に、ネ ク ス ト ホ ッ プ ルー タ ー / ス イ ッ チに接続 さ れてい る イ ーサネ ッ ト ポー ト 上の リ ン ク 状態が NSF ソ フ ト ウ ェ アに記録 さ れ ます。 こ れに よ り 、接続 さ れてい る ルー タ ー / ス イ ッ チは NSF フ ェ イ ルオーバーを感知 し て、 ルー タ ー / ス イ ッ チ自体を その (現在ア ク テ ィ ブな Firewall Accelerator に接続 さ れてい る ) バ ッ ク ア ッ プ コ ン ポーネ ン ト へ と フ ェ イ ルオーバー し ます。 sec [Security Menu] は、 DoS 攻撃、 IP ACL に定義 し た ク ラ イ ア ン ト 、 お よ び UDP 攻 撃を ブ ロ ッ ク す る 機能を設定 し て、 フ ァ イ ア ウ ォ ールを ポー ト レベルで保護す る 場合に使用 し ま す。 フ ァ イ ア ウ ォ ール を保護す る 方法の詳細については、 第 7 章、 「拡張 DoS プ ロ テ ク シ ョ ン」 を参照 し て く だ さ い。 メ ニ ュ ー項目については、 357 ページ を参照 し て く だ さ い。 filt [Port Filters Menu] は、 対象ポー ト のポー ト フ ィ ル タ の割 り 当て、 削除、 ま たは リ ス ト 表示を行 う 場合に使用 し ま す。 特定のポー ト に フ ィ ル タ を割 り 当て る に は、 [Filter Definition Menu] を使用 し て事前に フ ィ ル タ を作成 し てお く 必要があ り ます (426 ページ を参照)。 ポー ト がいずれかの ト ラ ン ク グループに属 し てい る 場合、 そのポー ト にはマ ス タ ト ラ ン ク ポー ト の設定値が適用 さ れ ます。 [Port Filters Menu] の メ ニ ュ ー項目については、358 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 351 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-52 [Port Menu] (/cfg/net/port) コ マ ン ド 構文 と 使用法 enf y|n こ の コ マ ン ド は、 対象ポー ト の フ ィ ル タ 設定を有効 ま たは無効に し ま す。 有効 に し た場合は、 [Port Filters Menu] (filt コ マ ン ド ) で割 り 当てた フ ィ ル タ が対 象ポー ト の ト ラ フ ィ ッ ク に適用 さ れ ます。 無効に し た場合 (デフ ォ ル ト )、 対象 ポー ト では Firewall Accelerator に よ る フ ィ ル タ リ ン グは実行 さ れ ま せん。 ポー ト がいずれかの ト ラ ン ク グループに属 し てい る 場合、 そのポー ト にはマ ス タ ト ラ ン ク ポー ト の設定値が適用 さ れ ます。 詳細については、 「[Filter Definition Menu]」 (426 ページ) を参照 し て く だ さ い。 vtag y|n こ の コ マ ン ド は、 対象ポー ト の VLAN の タ グ付け を有効 ま たは無効に し ま す。 こ の機能は、 デフ ォ ル ト では無効にな っ てい ます。 ポー ト が 複数の VLAN に関 連 し てい る 場合は、 VLAN の タ グ付け を有効にす る 必要があ り ます。 ポー ト がい ずれかの ト ラ ン ク グループに属 し てい る 場合、 そのポー ト にはマ ス タ ト ラ ン ク ポー ト の設定値が適用 さ れます。 352 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ポー ト の ト ラ ン ク 化 ポー ト を ト ラ ン ク 化す る と 、NSF と その他の ト ラ ン ク 対応デバ イ ス を非常に広い帯域 幅で接続で き ます。 ト ラ ン ク と は、 複数のポー ト が合同で機能す る グループの こ と で す。 ト ラ ン ク 化に よ っ て、 各ポー ト の帯域幅が統合 さ れ、 固有の障害許容力を持つ大 容量の単一ポー ト が構成 さ れます。 ポー ト の ト ラ ン ク 化には以下の よ う な条件があ り ます。 作成可能な ト ラ ン ク グループ数には上限があ り ます。Firewall Accelerator 6600 で は最大 4 つ、Firewall Accelerator 6400 では最大 12 の ト ラ ン ク ポー ト を マ ス タ ト ラ ン ク ポー ト と し て設定で き ます。 Firewall Accelerator の物理ポー ト を複数の ト ラ ン ク グループに割 り 当て る こ と は で き ません。 ト ラ ン ク グループあ た り のポー ト 数には上限があ り ます。 Firewall Accelerator 6600 では最大 8 ポー ト 、 Firewall Accelerator 6400 では最大 24 ポー ト を同一の ト ラ ン ク に割 り 当て る こ と がで き ます。 最大のパフ ォ ーマ ン ス を得 る には、 同一 ト ラ ン ク 内のポー ト をすべて同 じ 速度に 設定す る 必要があ り ます。 NSF 以外のデバ イ ス のポー ト を ト ラ ン ク 化す る 場合は、 RFC 802.1Q ま たは Cisco® EtherChannel® テ ク ノ ロ ジーに準拠 し てい る 必要があ り ます。 ト ラ ン ク グループ内の 1 つの物理ポー ト を マ ス タ と し て定義す る 必要が あ り ま す。 ト ラ ン ク 内の全 ポー ト で統一す る 必要の あ る ポー ト 設定、 つ ま り フ ィ ル タ リ ン グ (filt お よ び enf コ マ ン ド ) 、 NAAP (naap コ マ ン ド ) 、 お よ び VLAN の タ グ付け (vtag コ マ ン ド ) に関す る 設定は、 常にマ ス タ ポー ト に よ っ て制御 し ます。 こ れ ら のオプシ ョ ン については、 ポー ト が ト ラ ン ク に属 し てい る 間、 マ ス タ ポー ト 以外の ポー ト の設定値はマ ス タ ポー ト の設定値に よ っ て置 き 換え ら れ ま す。 ポー ト が ト ラ ン ク か ら 除外 さ れ る と 、 そのポー ト には本来のポー ト 設定値が復元 さ れ ます。 ポー ト 速度やフ ロ ー管理方式な ど の物理 リ ン ク オプシ ョ ン については、 ト ラ ン ク 内のポー ト ご と に異な る 値を設定で き ます。 た と えば、 ポー ト 1、 2、 3 に よ る ト ラ ン ク グループ を作成 し てポー ト 1 を マ ス タ に す る には、 コ マ ン ド を以下の よ う に実行 し ます。 >> >> >> >> >> >> >> # /cfg/net/port 1 Port 1# trunk master Port 1# ../port 2 Port 2# trunk 1 Port 2# ../port 3 Port 3# trunk 1 Port 3# apply (Accelerator ポー ト 1 を選択) ( ト ラ ン ク マス タ と し てポー ト 1 を選択) (ポー ト 2 を選択) ( ポー ト 2 を マス タ ポー ト 1 に ト ラ ン ク化) (ポー ト 3 を選択) ( ポー ト 3 を マス タ ポー ト 1 に ト ラ ン ク化) (設定変更を適用) 注 - ト ラ ン ク 化す る ポー ト を マ ス タ ポー ト 以外のポー ト に割 り 当て た場合、 ま たは マ ス タ ポー ト を定義 し なか っ た場合に apply コ マ ン ド を実行す る と 、 CLI に よ っ て 設定エ ラ ーが レ ポー ト さ れて apply コ マ ン ド は失敗 し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 353 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/port < ポー ト 番号 >/copper [Copper Physical Link Menu] [Copper Physical speed mode fctl auto Link Menu] - Set link speed - Set full or half duplex mode - Set flow control - Set autonegotiation [Copper Physical Link Menu] は、Firewall Accelerator ポー ト の RJ-45 銅 コ ネ ク タ を使用 す る 場合の リ ン ク 特性の設定に使用 し ます。 ポー ト リ ン ク について、 ポー ト 速度、 二 重モー ド 、 フ ロ ー管理方式、 お よ びネ ゴ シエーシ ョ ン モー ド の設定がで き ます。 注 - 指定 し た ポ ー ト が RJ-45 コ ネ ク タ を 備 え て い な い場合、 [Copper Physical Link Menu] のオプシ ョ ン設定は無視 さ れ ます。 表 15-53 [Copper Physical Link Menu] (/cfg/net/port <#>/copper) コ マ ン ド 構文 と 使用法 speed 10|100|1000|any 自動ネ ゴ シエーシ ョ ン (auto) を無効に し た場合は、 こ の コ マ ン ド を使用 し て リ ン ク 速度を指定 し ます。 以下のオプシ ョ ン を指定で き ます。 10: 10 Mbps 100: 100 Mbps 1000: 1000 Mbps any : 自動検出 (デフ ォ ル ト ) mode full|half|any 自動ネ ゴ シエーシ ョ ン (auto) を無効に し た場合は、 こ の コ マ ン ド を使用 し て 二重稼働モー ド を指定 し ます。 以下のオプシ ョ ン を指定で き ます。 full : 全二重 half : 半二重 any : 自動ネ ゴ シエーシ ョ ン (デフ ォ ル ト ) 354 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-53 [Copper Physical Link Menu] (/cfg/net/port <#>/copper) (続き) コ マ ン ド 構文 と 使用法 fctl rx|tx|both|none 自動ネ ゴ シエーシ ョ ン (auto) を無効に し た場合は、 こ の コ マ ン ド を使用 し て フ ロ ー管理方式を指定 し ます。 以下のオプシ ョ ン を指定で き ます。 rx : フ ロ ー管理信号を受信 tx : フ ロ ー管理信号を送信 both : フ ロ ー管理信号を送受信 (デフ ォ ル ト ) none : フ ロ ー管理信号を使用 し ない auto y|n こ の コ マ ン ド は、 対象ポー ト での自動ネ ゴ シエーシ ョ ン機能を有効 ま たは無効 に し ま す。 自動ネ ゴ シエーシ ョ ン は、 デフ ォ ル ト では有効にな っ てい ま す。 こ の機能を有効に し た場合、 Firewall Accelerator は、 そのポー ト に接続 さ れてい る デバ イ ス と ネ ゴ シエー ト し て最適な ポー ト 速度、 二重モー ド 、 お よ びフ ロ ー管 理方式を判別 し 、 [speed]、 [mode]、 お よ び [fctl] の手動設定値を上書 き し ま す。 無効に し た場合は手動設定値が使用 さ れ ます。 他のネ ッ ト ワ ー ク デバ イ ス と の リ ン ク 確立に問題が あ る 場合は、 自動ネ ゴ シ エーシ ョ ン機能を オ フ に し て、 そのポー ト のプ ロ パテ ィ を手動で設定 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 355 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/port < ポー ト 番号 >/fiber [Fiber Physical Link Menu] [Fiber Physical Link Menu] fctl - Set flow control auto - Set autonegotiation [Fiber Physical Link Menu] は、 Firewall Accelerator ポー ト の LC 光フ ァ イ バー コ ネ ク タ を使用す る 場合の リ ン ク 特性の設定に使用 し ます。 ポー ト の フ ロ ー管理方式の設定 やポー ト リ ン ク のネ ゴ シエーシ ョ ン モー ド の設定がで き ます。 注 - 指定 し た ポー ト が LC コ ネ ク タ を備え ていない場合、 [Fiber Physical Link Menu] のオプシ ョ ン設定は無視 さ れ ます。 表 15-54 [Fiber Physical Link Menu] (/cfg/net/port <#>/fiber) コ マ ン ド 構文 と 使用法 fctl rx|tx|both|none 自動ネ ゴ シエーシ ョ ン (auto) を無効に し た場合は、 こ の コ マ ン ド を使用 し て フ ロ ー管理方式を指定 し ます。 以下のオプシ ョ ン を指定で き ます。 rx : フ ロ ー管理信号を受信 tx : フ ロ ー管理信号を送信 both : フ ロ ー管理信号を送受信 (デフ ォ ル ト ) none : フ ロ ー管理信号を使用 し ない auto y|n こ の コ マ ン ド は、 対象ポー ト での自動ネ ゴ シエーシ ョ ン機能を有効 ま たは無効 に し ま す。 自動ネ ゴ シエーシ ョ ン は、 デフ ォ ル ト では有効にな っ てい ま す。 こ の機能を有効に し た場合、Firewall Accelerator はそのポー ト に接続 さ れてい る デ バ イ ス と ネ ゴ シエー ト し て最適なポー ト 速度を判別 し 、 [fctl] の手動設定値を 上書 き し ます。 無効に し た場合は、 [fctl] の手動設定値が使用 さ れ ます。 他のネ ッ ト ワ ー ク デバ イ ス と の リ ン ク 確立に問題が あ る 場合は、 自動ネ ゴ シ エーシ ョ ン機能を オ フ に し て、 そのポー ト のプ ロ パテ ィ を手動で設定 し て く だ さ い。 356 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/port < ポー ト 番号 >/sec [Security Menu] [Security Menu] dos ipacl udpblast - Set Enable/disable DoS attack detection - Set Enable/disable IP ACL processing - Set Enable/disable UDP Blast processing [Security Menu] は、 DoS 攻撃ブ ロ ッ ク 機能、 IP ACL に よ る ク ラ イ ア ン ト ブ ロ ッ ク 機 能、お よ び UDP 攻撃ブ ロ ッ ク 機能を、 ポー ト レベルで有効にす る 場合に使用 し ます。 こ の メ ニ ュ ーの 3 つの コ マ ン ド はいずれ も 、[Security Configuration Menu] (cfg/sec) でグ ロ ーバルに有効にす る こ と がで き ます。 フ ァ イ ア ウ ォ ールを グ ロ ーバルに保護す る 方法については、 343 ページ を参照 し て く だ さ い。 詳細については、 第 7 章、 「拡 張 DoS プ ロ テ ク シ ョ ン」 を参照 し て く だ さ い。 デフ ォ ル ト では、 こ れ ら の 3 つの機 能がすべて無効にな っ てい ます。 表 15-55 [Security Menu] (/cfg/net/port <#>/sec) コ マ ン ド 構文 と 使用法 dos こ の コ マ ン ド を使用す る と 、フ ァ イ ア ウ ォールを DoS 攻撃か ら 保護す る 機能を、 ポー ト レベルで有効にす る こ と がで き ます。 DoS 攻撃か ら の保護機能は、 安全 でないネ ッ ト ワ ー ク に接続 さ れてい る すべての フ ァ イ ア ウ ォ ール ポー ト に対 し て有効にす る 必要が あ り ま す。 こ の機能を有効に し た場合は、 サポー ト さ れて い る タ イ プの DoS 攻撃を含むパケ ッ ト を自動的に検出 し 、 破棄 し ます。 ク ラ ス A ま たは ク ラ ス B のサブネ ッ ト 向けパケ ッ ト を転送す る ポー ト に対 し て は、 DoS 攻撃保護機能を有効に し ないで く だ さ い。 宛先 IP ア ド レ ス が x.x.x.255 と い う 形式であれば、ク ラ ス A ま たは ク ラ ス B のサブネ ッ ト を使用 し てい ます。 DoS 攻撃保護機能が有効にな っ てい る ポー ト に到着 し たデー タ パケ ッ ト の宛先 IP ア ド レ ス が x.x.x.255 形式の場合、 そのパケ ッ ト は破棄 さ れ ます。 ipacl こ の コ マ ン ド を使用す る と 、IP ACL を ポー ト レベルで有効にす る こ と がで き ま す。 IP ACL 処理が有効にな っ てい る ポー ト にパケ ッ ト が到着す る と 、 フ ァ イ ア ウ ォ ールでは、 そのパケ ッ ト を送信 し た ク ラ イ ア ン ト の IP ア ド レ ス と 内部ハ ッ シ ュ テーブル内の IP ア ド レ ス と が照合 さ れます。 一致 し た IP ア ド レ ス を持つ パケ ッ ト は破棄 さ れます。 udpblast こ の コ マ ン ド を使用す る と 、 任意の UDP ポー ト に渡 さ れ る ト ラ フ ィ ッ ク の量を Nortel Switched Firewall ポー ト で制限す る こ と がで き ます。 こ れに よ り 、 バ ッ ク エ ン ド サーバーが大量のデー タ に よ っ てオーバーフ ロ ーす る の を防 ぐ こ と がで き ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 357 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/port < ポー ト 番号 >/filt [Port Filters Menu] [Port Filters Menu] list - List all values del - Delete a value by number add - Add a new value [Port Filters Menu] は、 指定 し たポー ト のポー ト フ ィ ル タ の割 り 当て、 削除、 ま たは リ ス ト 表示を行 う 場合に使用 し ま す。 ポー ト フ ィ ル タ を使用す る と 、 さ ま ざ ま な ア ド レ スお よ びプ ロ ト コ ルの指定に基づいて ト ラ フ ィ ッ ク を許可ま たは拒否で き ます。 表 15-56 [Port Filters Menu] (/cfg/net/port <#>/filt) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 対象ポー ト に割 り 当て ら れてい る すべての フ ィ ル タ を、 イ ン デ ッ ク ス番号で表示 し ます。 del < イ ンデ ッ ク ス番号 > こ の コ マ ン ド を使用す る と 、 指定 し た イ ンデ ッ ク ス 番号の フ ィ ル タ を対象ポー ト か ら 削除で き ます。 list コ マ ン ド を使用 し て、 こ のポー ト に割 り 当て ら れて い る すべての フ ィ ル タ の イ ンデ ッ ク ス番号を表示 し ます。 add < フ ィ ル タ 番号 > こ の コ マ ン ド を使用す る と 、 指定 し た イ ンデ ッ ク ス 番号の フ ィ ル タ を対象ポー ト に割 り 当て る こ と がで き ま す。 フ ィ ル タ を割 り 当て る には、 [Filter Definition Menu] を使用 し て事前に フ ィ ル タ を作成 し てお く 必要があ り ます (426 ページ を 参照)。 358 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/vlan <VLAN 番号 > [VLAN Menu] [VLAN 1 Menu] name port jumbo idsgrp l2fw ena dis del - Set VLAN Name VLAN Ports Menu Set Jumbo Frames Set IDS group to which traffic will be mirrored Set Enable L2FW Enable VLAN Disable VLAN Remove VLAN [VLAN Menu] は、 VLAN に関す る 設定に使用 し ます。 デフ ォ ル ト では、 VLAN は無効 にな っ てい ま す。 VLAN は通常、 ネ ッ ト ワ ー ク ユーザーの グループ を管理可能なブ ロ ー ド キ ャ ス ト ド メ イ ン に分割 し た り 、 複数の ワ ー ク グループの論理セ グ メ ン ト を 作成 し た り 、 論理セ グ メ ン ト 間にセ キ ュ リ テ ィ ポ リ シーを適用 し た り す る 手段 と し て利用 さ れ ま す。 Nortel Switched Firewall では、 VLAN を設定す る 要因は さ ま ざ ま で す。 た と えば、 以下の よ う な も のがあ り ます。 ク ラ ス タ に接続 さ れてい る ネ ッ ト ワ ー ク が VLAN の タ グ付け を使用 し てい る 場 合は、 VLAN を設定 し 、 VLAN 参加ポー ト に対 し て VLAN の タ グ付け を有効にす る 必要があ り ます。 2 つの異な る ネ ッ ト ワ ー ク に属 し てい る 2 種類の IP イ ン タ フ ェース が同一ポー ト 上にあ る 場合は、 各 IP イ ン タ フ ェ ー ス を別個の VLAN に配備す る 必要があ り ます。 その よ う にな っ ていない場合は、 自動的に設定 さ れ ます。 設定可能な VLAN の最大数は 253 ですが、各 VLAN には 1 ~ 4093 ま での識別番号を 設定で き ます。 ただ し 、 VLAN 4092 は内部用に予約 さ れてい る 番号です。 VLAN 1 の 設定後、 さ ら に 252 の VLAN を設定す る こ と がで き ます。 デフ ォ ル ト の VLAN 番号は 0 です。 ただ し 、 VLAN は管理者が設定 し な く て も か ま い ません。 未設定の VLAN には、 1 ~ 4093 の範囲で適切な VLAN 番号が自動的に割 り 当て ら れます。 VLAN はポー ト ご と に割 り 当て ら れ ます。 Firewall Accelerator 上の各ポー ト は 1 つま た は複数の VLAN に所属す る こ と が で き 、 各 VLAN には そ の メ ン バー シ ッ プ内の Firewall Accelerator ポー ト を い く つで も 割 り 当て る こ と がで き ます。 ただ し 、 複数の VLAN に所属す る ポー ト に対 し ては VLAN の タ グ付け を有効に し てお く 必要が あ り ます (「[Port Menu]」 (348 ページ) を参照)。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 359 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス [VLAN Menu] の メ ニ ュ ー項目 と オプシ ョ ンは以下の と お り です。 表 15-57 [VLAN Menu] (/cfg/net/vlan) コ マ ン ド 構文 と 使用法 name <VLAN 名 > こ の コ マ ン ド は、VLAN に名前を割 り 当て る か、 既存の名前を変更す る 場合に使 用 し ます。 VLAN 名を ク リ アす る には、 デフ ォ ル ト 値 none を指定 し ます。 port [VLAN Ports Menu] は、 対象 VLAN の Firewall Accelerator ポー ト の割 り 当て、 削 除、 ま たは リ ス ト 表示を行 う 場合に使用 し ます。 メ ニ ュ ー項目については、 362 ページ を参照 し て く だ さ い。 jumbo y|n こ の コ マ ン ド は、 対象 VLAN での Jumbo Frame 対応機能を有効ま たは無効に し ま す。 デ フ ォ ル ト では無効に な っ てい ま す。 こ の機能 を有効に し た場合、 NSF では、 イ ーサネ ッ ト 標準の最大フ レーム サ イ ズ (9018 オ ク テ ッ ト ) よ り も は る かに大 き いサ イ ズの フ レ ーム を処理で き る よ う にな る ため、 ホ ス ト の フ レ ーム 処理のオーバーヘ ッ ド を削減す る こ と がで き ます。 イ ーサネ ッ ト の最大フ レーム サ イ ズ よ り 大 き い フ レーム を処理で き ないデバ イ ス が使用 さ れてい る VLAN に対 し ては、 Jumbo Frame 対応機能を有効に し ない で く だ さ い。 その場合は別の VLAN を使用 し て、 Jumbo Frame の ト ラ フ ィ ッ ク と 標準フ レーム の ト ラ フ ィ ッ ク を振 り 分け る 必要があ り ます。 Jumbo Frame がサポー ト さ れ る のは、 NSF 6600 ではポー ト 9 ~ 12、 NSF 6400 で はポー ト 25 ~ 28 に限 ら れます。 ただ し 、Jumbo Frame に対応す る こ れ ら のポー ト の う ち 2 つは Firewall Director と IAP の接続用に NAAP が有効にな っ てい る ため、 実際に Jumbo Frame 対応機能を有効にで き る のは残 り の 2 つのポー ト だ けにな り ます。 ま た、 こ の機能を有効お よ び無効にす る には、Firewall Accelerator を再起動す る 必要があ り ます。 idsgrp <IDS グループ番号 > こ の コ マ ン ド を使用す る と 、 対象 VLAN の IDS グループ を設定で き ます。 対象 VLAN を流れ る ト ラ フ ィ ッ ク は、 定義 し た IDS グループに よ っ て監視 さ れ ます。 <IDS グループ番号 > には 1 ~ 5 の番号を指定で き ます。デフ ォ ル ト 値は 0 です。 こ れは IDS グループが指定 さ れていない こ と を示 し ます。 1 つの IDS グ ループ で複数の VLAN の ト ラ フ ィ ッ ク を 監視で き ま す。 Firewall Accelerator の IDS ポー ト には、 自動的に VLAN タ グ付けが有効にな り ます。 IDS の ロ ー ド バ ラ ン シ ン グの定義に使用す る その他の コ マ ン ド については、 421 ページ を参照 し て く だ さ い。 l2fw こ の コ マ ン ド は、 レ イ ヤ 2 の フ ァ イ ア ウ ォ ールを有効に し ます。 詳細について は、 「レ イ ヤ 2 お よ び レ イ ヤ 3 フ ァ イ アウ ォ ール」 (176 ページ) を参照 し て く だ さ い。 デフ ォ ル ト では、 こ の機能は有効にな っ てい ます。 ena こ の コ マ ン ド は、 対象 VLAN を有効に し ます。 360 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-57 [VLAN Menu] (/cfg/net/vlan) コ マ ン ド 構文 と 使用法 dis こ の コ マ ン ド は、 対象 VLAN を無効に し ます。 del こ の コ マ ン ド は、 設定か ら 対象 VLAN を削除 し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 361 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/vlan <VLAN 番号 >/port [VLAN Ports Menu] [VLAN Ports Menu] list - List all values del - Delete a value by number add - Add a new value [VLAN Ports Menu] は、 対象 VLAN の Firewall Accelerator ポー ト の割 り 当て、 削除、 ま たは リ ス ト 表示を行 う 場合に使用 し ます。 表 15-58 [VLAN Ports Menu] (/cfg/net/vlan <#>/port) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 対象 VLAN に割 り 当て ら れてい る すべてのポー ト の イ ンデ ッ ク ス番号を表示 し ます。 del < イ ンデ ッ ク ス番号 > こ の コ マ ン ド を使用す る と 、 指定 し た イ ンデ ッ ク ス 番号のポー ト を VLAN か ら 削除で き ます。 list コ マ ン ド を使用 し て、 割 り 当て ら れてい る すべてのポー ト の イ ンデ ッ ク ス番号を表示 し ます。 add < フ ィ ル タ 番号 > こ の コ マ ン ド を使用す る と 、 指定 し たポー ト を VLAN に割 り 当て る こ と がで き ます。 注 - 各ポー ト を 1 つ以上の VLAN に割 り 当て る 必要があ り ま す。 いずれかの VLAN か ら 削除 し たポー ト がその他の VLAN の メ ンバーではない場合、そのポー ト には固有 の VLAN 番号が自動的に割 り 当て ら れ ます。 ま た、 VLAN タ グ付けが無効にな っ てい る ポー ト を複数の VLAN に割 り 当て る こ と はで き ません (352 ページの vtag コ マ ン ド の説明を参照)。 362 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/if <IP イ ン タ フ ェ ース番号 > [Interface Menu] [Interface 1 Menu] port - Interface Ports Menu addr - Set IP address mask - Set subnet mask broad - Set broadcast address vlan - Set VLAN number vrrp - VRRP Menu ena - Enable interface dis - Disable interface del - Remove Interface [Interface Menu] は、 ク ラ ス タ の IP イ ン タ フ ェース の設定に使用 し ます。 通常、 各 IP イ ン タ フ ェース は、 Firewall Accelerator に接続 さ れてい る 1 つのネ ッ ト ワ ー ク に対応 し てい ま す。 最大で 255 の IP イ ン タ フ ェ ー ス を設定で き ま す。 デフ ォ ル ト では、 IP イ ン タ フ ェース は無効にな っ てい ます。 基本的には、 IP イ ン タ フ ェ ー ス は一般的な フ ァ イ ア ウ ォ ールの NIC と 同様の役割を 果た し ま す。 通常、 一般的な フ ァ イ ア ウ ォ ールで使用 さ れ る NIC は 2 つです。 1 つ は、 フ ァ イ ア ウ ォールの外側にあ る 非信頼ネ ッ ト ワ ー ク と の接続用、 そ し て も う 1 つ は、 内側の信頼ネ ッ ト ワ ー ク と の接続用です。 NIC を使用す る こ と で、 物理ポー ト に よ る フ ァ イ ア ウ ォ ール接続が可能にな り ます。 ま た、 NIC の IP ア ド レ ス は、 NIC に 接続 さ れ て い る ネ ッ ト ワ ー ク デバ イ ス のデ フ ォ ル ト ゲ ー ト ウ ェ イ と し て、 ト ラ フ ィ ッ ク を フ ァ イ ア ウ ォールに渡す場合に使用 さ れ ます。 Nortel Switched Firewall の IP イ ン タ フ ェース は NIC と 似てい ますが、 よ り 広い用途で 使用す る こ と がで き ます。 最大で 255 の IP イ ン タ フ ェ ース を定義で き 、 それぞれの IP イ ン タ フ ェ ー ス は Firewall Accelerator の複数の物理ポー ト に割 り 当て る こ と がで き ます。 こ れに よ り 、 同一の ク ラ ス タ が多数のネ ッ ト ワー ク に対応で き ます。 一般の NIC の場合 と 同様、 Firewall Accelerator のポー ト に接続 さ れてい る ネ ッ ト ワ ー ク デバ イ ス はすべて、 いずれかの IP イ ン タ フ ェ ース をデフ ォ ル ト ゲー ト ウ ェ イ と し て使用 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 363 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス す る よ う に設定す る 必要があ り ます。 ク ラ ス タ の MIP ア ド レ スお よ び ク ラ ス タ サブ ネ ッ ト の IP ア ド レ ス は、 ネ ッ ト ワ ー ク のデフ ォ ル ト ゲー ト ウ ェ イ と し て使用 し ない で く だ さ い。 表 15-59 [Interface Menu] (/cfg/net/if) コ マ ン ド 構文 と 使用法 port [Interface Ports Menu] は、 指定 し た IP イ ン タ フ ェ ース のポー ト の割 り 当て、 削 除、 ま たは リ ス ト 表示を行 う 場合に使用 し ます。 メ ニ ュ ー項目については、 365 ページ を参照 し て く だ さ い。 addr < イ ン タ フ ェ ース IP ア ド レ ス (例 : 192.4.17.101) > こ の コ マ ン ド は、 IP イ ン タ フ ェ ース の IP ア ド レ ス を、 ド ッ ト 付 き 10 進表記で 指定 し ま す。 こ れに よ り 、 接続 し てい る 信頼ネ ッ ト ワ ー ク 、 非信頼ネ ッ ト ワ ー ク 、 ま たは半信頼ネ ッ ト ワ ー ク に準ず る ネ ッ ト ワ ー ク に対 し て、 ク ラ ス タ が対 応可能にな り ます。 接続 し てい る ネ ッ ト ワー ク 上のデバ イ ス には こ の IP ア ド レ ス をデフ ォ ル ト ゲー ト ウ ェ イ と し て使用 し 、 各デバ イ ス か ら のア ウ ト バ ウ ン ド ト ラ フ ィ ッ ク が フ ァ イ ア ウ ォ ールに渡 さ れ る よ う にす る 必要が あ り ま す。 デ フ ォ ル ト のア ド レ ス は 0.0.0.0 に設定 さ れ ます。 mask <IP サブネ ッ ト マス ク (例 : 255.255.255.0) > こ の コ マ ン ド は、IP イ ン タ フ ェ ース の IP サブネ ッ ト ア ド レ ス のマ ス ク を、 ド ッ ト 付 き 10 進表記で指定 し ます。 デフ ォ ル ト のマ ス ク は 0.0.0.0 に設定 さ れ ます。 broad < ブ ロー ド キ ャ ス ト ア ド レ ス (例 : 192.4.17.255) > こ の コ マ ン ド は、 IP イ ン タ フ ェ ー ス の IP ブ ロ ー ド キ ャ ス ト ア ド レ ス を、 ド ッ ト 付 き 10 進表記で指定 し ま す。 デ フ ォ ル ト の ブ ロ ー ド キ ャ ス ト ア ド レ ス は 0.0.0.0 に設定 さ れ ます。 vlan <VLAN 番号 > こ の コ マ ン ド は、 IP イ ン タ フ ェ ース の VLAN 番号を設定 し ます。 各 VLAN には 複数の IP イ ン タ フ ェ ース を割 り 当て る こ と がで き ますが、 各 イ ン タ フ ェース を 複数の VLAN に割 り 当て る こ と はで き ません。 デフ ォ ル ト の VLAN 番号は 0 で す。 vrrp [VRRP Menu] は、 2 つの Firewall Accelerator を使用 し てい る 場合、 ハ イ アベ イ ラ ビ リ テ ィ を確保す る ための IP イ ン タ フ ェ ース の設定に使用 し ます。 ア ク テ ィ ブ な Firewall Accelerator に障害が発生 し た場合で も 、 VRRP を 使用す る こ と に よ っ て、 も う 1 つの Firewall Accelerator がその機能を確実に代行で き る よ う に な り ます。 ハ イ アベ イ ラ ビ リ テ ィ の構成では、 含ま れてい る IP イ ン タ フ ェ ース ご と に VRRP を設定す る 必要があ り ます。 See メ ニ ュ ー項目については、 366 ページ を参照 し て く だ さ い。 ena こ の コ マ ン ド は、 対象の IP イ ン タ フ ェース を有効に し ます。 dis こ の コ マ ン ド は、 対象の IP イ ン タ フ ェース を無効に し ます。 del こ の コ マ ン ド は、 ク ラ ス タ 設定か ら 対象の IP イ ン タ フ ェ ース を削除 し ます。 364 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/if <IP イ ン タ フ ェ ース番号 >/port [Interface Ports Menu] [Interface Ports Menu] list - List all values del - Delete a value by number add - Add a new value [Interface Ports Menu] は、 指定 し た IP イ ン タ フ ェース のポー ト の割 り 当て、 削除、 ま たは リ ス ト 表示を行 う 場合に使用 し ます。 表 15-60 [Interface Ports Menu] (/cfg/net/if <#>/port) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 指定 し た IP イ ン タ フ ェ ー ス に割 り 当て ら れて い る すべて の ポー ト を、 イ ンデ ッ ク ス番号で表示 し ます。 del < イ ンデ ッ ク ス番号 > こ の コ マ ン ド を 使用す る と 、 指定 し た イ ン デ ッ ク ス 番号のポー ト を IP イ ン タ フ ェース か ら 削除で き ます。 list コ マ ン ド を使用 し て、 割 り 当て ら れてい る す べてのポー ト の イ ンデ ッ ク ス番号を表示 し ます。 add < ポー ト 番号 > こ の コ マ ン ド を使用す る と 、 指定 し たポー ト を IP イ ン タ フ ェ ース に割 り 当て る こ と がで き ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 365 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/if <IP イ ン タ フ ェ ース番号 >/vrrp [VRRP Menu] [VRRP Menu] vrid ip1 ip2 - Set virtual router ID - Set IP1 - Set IP2 [VRRP Menu] は、 2 つの Firewall Accelerator を使用 し てい る 場合に、 ク ラ ス タ のハ イ ア ベ イ ラ ビ リ テ ィ を 確 保 す る た め の 設 定 に 使 用 し ま す。 ア ク テ ィ ブ な Firewall Accelerator に障害が発生 し た場合で も 、 VRRP を使用す る こ と に よ っ て、 も う 1 つの Firewall Accelerator がその機能を確実に代行で き る よ う にな り ます。 ハ イ アベ イ ラ ビ リ テ ィ の構成では、 含 ま れてい る IP イ ン タ フ ェ ー ス ご と に、 固有の VRRP パ ラ メ ー タ を使用 し て設定す る 必要があ り ます。 [Accelerator Configuration Menu] か ら ha コ マ ン ド を使用 し て、 VRRP を ク ラ ス タ 全体 で有効ま たは無効に し ます (336 ページ を参照)。 VRRP を有効にす る と 、 IP イ ン タ フ ェ ース は仮想ルー タ ー と し て機能 し ます。 こ の場 合、IP イ ン タ フ ェ ース の IP ア ド レ ス は両方の Firewall Accelerator に共有 さ れますが、 実際にはマ ス タ の Firewall Accelerator 上のア ド レ ス だけが有効にな り ます。IP イ ン タ フ ェ ー ス を仮想ルー タ ー と し て機能 さ せ、 なおかつ共有 IP ア ド レ ス がネ ッ ト ワ ー ク 上の 2 つの物理デバ イ ス で重複 し ない よ う にす る には、 IP イ ン タ フ ェ ー ス に 2 つの サブア ド レ ス を割 り 当て ます。 その場合、 各 Firewall Accelerator に対 し て、 IP イ ン タ フ ェ ース と 同 じ サブネ ッ ト 上の新 し い IP ア ド レ ス を 1 つずつ割 り 当て る 必要があ り ます。 表 15-61 [VRRP Menu] (/cfg/net/if/vrrp) コ マ ン ド 構文 と 使用法 vrid < 仮想ルー タ ー ID (1 ~ 255) > こ の コ マ ン ド は、 IP イ ン タ フ ェ ース に仮想ルー タ ー ID を割 り 当て ます。 vrid にはネ ッ ト ワー ク 上で一意の ID を指定す る 必要があ り ます。 デフ ォ ル ト の仮想 ルー タ ー ID は 1 です。 ip1 <IP ア ド レ ス > こ の コ マ ン ド は、 設定 し た仮想ルー タ ー内の Firewall Accelerator #1 に使用す る IP ア ド レ ス を定義 し ます。 こ の IP ア ド レ ス には、 IP イ ン タ フ ェース と 同一のサ ブネ ッ ト 内のア ド レ ス を、 ド ッ ト 付 き 10 進表記で指定す る 必要があ り ます。 ip1 のデフ ォ ル ト の IP ア ド レ ス は 0.0.0.0 に設定 さ れます。 ip2 <IP ア ド レ ス > こ の コ マ ン ド は、 設定 し た仮想ルー タ ー内の Firewall Accelerator #2 に使用す る IP ア ド レ ス を定義 し ます。 こ の IP ア ド レ ス には、 IP イ ン タ フ ェース と 同一のサ ブネ ッ ト 内のア ド レ ス を、 ド ッ ト 付 き 10 進表記で指定す る 必要があ り ます。 ip2 のデフ ォ ル ト の IP ア ド レ ス は 0.0.0.0 に設定 さ れます。 366 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/gre <gre_ ト ン ネル番号 > [GRE Tunnel Menu] [GRE Tunnel <tunnel_number> Menu] name - Set GRE Tunnel Name phyif - Set Physical Interface number remoteaddr - Set Remote IP address sip - Set 32 bit tunnel source IP address dip - Set 32 bit tunnel destination IP address mask - Set Tunnel IP mask ena - Enable GRE Tunnel dis - Disable GRE Tunnel del - Remove GRE Tunnel [GRE Tunnel Menu] は、 各種の GRE ト ン ネル パ ラ メ ー タ を設定 し た り 、 1 つの OSPF ネ ッ ト ワ ー ク 上に GRE ト ン ネルを作成す る 場合に使用 し ます。 最大で 10 の GRE ト ン ネルを設定で き ます。 表 15-62 [GRE Tunnel Menu] (/cfg/net/gre) コ マ ン ド 構文 と 使用法 name <gre_ ト ン ネル名 (1 ~ 16 文字) > こ の コ マ ン ド を使用す る と 、 最大長 16 文字の一意名を定義で き ます。 デフ ォ ル ト の名前は GRE-Tunnel です。 phyif < 物理イ ン タ フ ェ ース番号 > こ の コ マ ン ド は、 ロ ーカルの GRE ト ン ネル エ ン ド ポ イ ン ト を定義す る 場合に 使用 し ます。 デフ ォ ル ト 値は 1 です。 remoteaddr こ の コ マ ン ド は、 リ モー ト の GRE ト ン ネル エ ン ド ポ イ ン ト ア ド レ ス を定義す る 場合に使用 し ます。 デフ ォ ル ト 値は 0.0.0.0 です。 sip <IP ア ド レ ス > こ の コ マ ン ド は、ロ ーカルの GRE ト ン ネル エ ン ド ポ イ ン ト の GRE IP ア ド レ ス を定義す る 場合に使用 し ます。 た と えば、 GRE 上で OSPF を実行 し てい る 場合、 sip は ロ ーカル シ ス テ ム の OSPF イ ン タ フ ェ ー ス IP ア ド レ ス と な り ま す。 デ フ ォ ル ト 値は 0.0.0.0 です。 dip <IP ア ド レ ス > こ の コ マ ン ド は、 リ モー ト の ト ン ネル エ ン ド ポ イ ン ト の GRE IP ア ド レ ス を定 義す る 場合に使用 し ます。 た と えば、 GRE 上で OSPF を実行 し てい る 場合、 dip は リ モー ト シ ス テ ムの OSPF イ ン タ フ ェース の IP ア ド レ ス と な り ます。デフ ォ ル ト 値は 0.0.0.0 です。 mask こ の コ マ ン ド は、 GRE ト ン ネル イ ン タ フ ェース のマ ス ク を定義す る 場合に使用 し ます。 デフ ォ ル ト 値は 0.0.0.0 です。 ena こ の コ マ ン ド は、 GRE ト ン ネルを有効にす る 場合に使用 し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 367 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-62 [GRE Tunnel Menu] (/cfg/net/gre) (続き) コ マ ン ド 構文 と 使用法 dis こ の コ マ ン ド は、 対象 GRE ト ン ネルを無効に し ます。 デフ ォ ル ト では、 GRE ト ン ネルは無効にな っ てい ます。 del こ の コ マ ン ド は、 設定か ら 対象 GRE ト ン ネルを削除 し ます。 368 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route [Routing Settings Menu] [Routing Settings Menu] gate - Default Gateways Menu static - Static Routing Table Menu rmap - RMAP Menu rip - RIP Routing Menu ospf - Open Shortest Path First (OSPF) Menu pim - PIM-SM Routing Menu misc - Miscellaneous Routing Settings Menu [Routing Settings Menu] は、 ルーテ ィ ン グ パ ラ メ ー タ の設定に使用 し ま す。 Firewall Accelerator 6600 で は 各 種 ル ー ト を 合 計 8000 ル ー ト ま で サ ポ ー ト し 、 Firewall Accelerator 6400 では合計 4096 ルー ト ま でサポー ト し ま す。 こ れ ら のルー ト は、 デ フ ォ ル ト ゲー ト ウ ェ イ 、 ス タ テ ィ ッ ク ルー ト 、 RIP ルー ト 、 お よ び OSPF ルー ト と し て定義で き ます。 表 15-63 [Routing Settings Menu] (/cfg/net/route) コ マ ン ド 構文 と 使用法 gate [Default Gateways Menu] は、 ク ラ ス タ のデフ ォ ル ト の IP ゲー ト ウ ェ イ を設定す る 場合に使用 し ます。 メ ニ ュ ー項目については、 371 ページ を参照 し て く だ さ い。 static < ス タ テ ィ ッ ク ルー ト 番号 (1 ~ 8192) > [Static Route 1 Menu] は、 ス タ テ ィ ッ ク ルー ト の追加、 削除、 リ ス ト 表示を行 う 場合に使用 し ま す。 ク ラ ス タ は、 こ れ ら のルー ト を使用 し て、 接続 さ れた ネ ッ ト ワー ク 内でパケ ッ ト をルーテ ィ ン グ し ます。 メ ニ ュ ー項目については、 374 ページ を参照 し て く だ さ い。 rmap <rmap 番号 (1 ~ 10) > [RMAP Menu] は、 OSPF に対す る その他すべてのプ ロ ト コ ル (RIP、 ス タ テ ィ ッ ク 、 接続な ど) か ら のルー ト の再分配を フ ィ ル タ リ ン グす る 場合に使用 し ます。 ルー ト マ ッ プ を使用す る と 、 あ ら か じ め設定 し た論理条件に基づいたルーテ ィ ン グ ポ リ シーを柔軟に実行す る こ と がで き ます。 NSF 4.1.1 では 10 種類のルー ト マ ッ プ を使用で き ます。 各ルー ト マ ッ プには最大で 25 のア ク セ ス リ ス ト を 設定で き ます。 メ ニ ュ ー項目については、 376 ページ を参照 し て く だ さ い。 rip [RIP 1 Menu] は、 RIP バージ ョ ン 1 お よ び RIP バージ ョ ン 2 (マルチキ ャ ス テ ィ ン グ) のネ ッ ト ワー ク に関す る RIP (Router Interface Protocol) パ ラ メ ー タ を設 定す る 場合に使用 し ます。 メ ニ ュ ー項目については、 378 ページ を参照 し て く だ さ い。 ospf [OSPF Menu] は、 NSF を OSPF ルーテ ィ ン グ プ ロ ト コ ル と と も に使用す る ため の設定に使用 し ます。 メ ニ ュ ー項目については、 390 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 369 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-63 [Routing Settings Menu] (/cfg/net/route) (続き) コ マ ン ド 構文 と 使用法 pim [PIM Routing Menu] は、NSF を PIM-SM ルー タ ー と し て設定す る 場合に使用 し ま す。 メ ニ ュ ー項目については、 409 ページ を参照 し て く だ さ い。 misc [Miscellaneous Routing Settings Menu] は、 config デーモ ン に 「擬似 タ イ マ」 を設 定 し 、 MIP Firewall Director の フ ェ イ ルオーバー中で も ルー ト を その ま まデーモ ン で保持す る 場合に使用 し ます。 メ ニ ュ ー項目については、 414 ページ を参照 し て く だ さ い。 370 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/gate [Default Gateways Menu] [Default Gateways Menu] gw - Default gateway menu metric - Set default gateway metric [Default Gateways Menu] は、 デフ ォ ル ト の IP ゲー ト ウ ェ イ (最大で 4 つ) を設定す る 場合に使用 し ます。 デフ ォ ル ト の IP ゲー ト ウ ェ イ は、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク のルーテ ィ ン グに使用 さ れます。 表 15-64 [Default Gateways Menu] (/cfg/net/route/gate) コ マ ン ド 構文 と 使用法 gw < ゲー ト ウ ェ イ番号 (1 ~ 4) > [Default Gateway Menu] は、 ク ラ ス タ のデ フ ォ ル ト の IP ゲー ト ウ ェ イ (最大 4 つ) を 設定す る 場合に使用 し ま す。 デ フ ォ ル ト の IP ゲー ト ウ ェ イ は、 ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク のルーテ ィ ン グに使用 さ れます。 メ ニ ュ ー項目については、 372 ページ を参照 し て く だ さ い。 metric strict|roundrobin こ の コ マ ン ド は、 デフ ォ ル ト ゲー ト ウ ェ イ の ロ ー ド バ ラ ン シ ン グ を制御す る 場 合に使用 し ます。 デフ ォ ル ト の メ ト リ ッ ク 値は strict です。 複数の設定済み デフ ォ ル ト ゲー ト ウ ェ イ が有効にな っ てい る 場合は、 以下の メ ト リ ッ ク に よ っ てデフ ォ ル ト ゲー ト ウ ェ イ の選択基準を指定で き ます。 strict : ゲー ト ウ ェ イ 番号に よ っ て、 ゲー ト ウ ェ イ の優先度を決定 し ます。 一連のゲー ト ウ ェ イ の う ち、 ゲー ト ウ ェ イ #1 が最優先のデフ ォ ル ト IP ゲー ト ウ ェ イ と し て機能 し 、 ゲー ト ウ ェ イ #1 が故障す る か無効にな っ た時点で、 次の番号のゲー ト ウ ェ イ がデ フ ォ ル ト IP ゲー ト ウ ェ イ の役割 を 引 き 継ぎ ま す。 roundrobin : 基本的な ロ ー ド バ ラ ン シ ン グ方法に よ っ て、 ゲー ト ウ ェ イ の 優先度を決定 し ます。 NSF に よ っ て新 し いゲー ト ウ ェ イ 要求が発行 さ れ る た びに、 有効で正常な一連のゲー ト ウ ェ イ の う ち、 次の優先度のゲー ト ウ ェ イ にその要求が送信 さ れ ます。 同一の宛先 IP ア ド レ ス に対す る ゲー ト ウ ェ イ 要 求は、 すべて同一のゲー ト ウ ェ イ に送信 さ れます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 371 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/gate/gw < ゲー ト ウ ェ イ番 号> [Default Gateways Menu] [Default gateway <gateway_number> Menu] addr - Set IP address intr - Set interval between ping attempts in seconds retry - Set number of failed attempts to declare gateway DOWN arp - Set ARP-only health checks ena - Enable default gateway dis - Disable default gateway del - Remove Default Gateway [Default Gateway Menu] は、 デフ ォ ル ト の IP ゲー ト ウ ェ イ (最大で 4 つ) を設定す る 場合に使用 し ます。 デフ ォ ル ト の IP ゲー ト ウ ェ イ は、 フ ァ イ ア ウ ォ ールを通過す る ト ラ フ ィ ッ ク のルーテ ィ ン グに使用 さ れ ます。 た と えば、 内部ネ ッ ト ワー ク か ら フ ァ イ ア ウ ォ ールに到着 し たパケ ッ ト が外部の宛先ア ド レ ス を持つ場合、 そのパケ ッ ト は 通常、 外部ルー タ ーに向か う ためのネ ク ス ト ホ ッ プ と し てデフ ォ ル ト ゲー ト ウ ェ イ に送信 さ れ ます。 新規に作成 し たゲー ト ウ ェ イ は、 デフ ォ ル ト では無効にな っ てい ま す。 複数 の ゲ ー ト ウ ェ イ が 設定 さ れ て い て そ の すべ て が 正常 な 場合、 ク ラ ス タ で は [Default Gateways Menu] (/cfg/net/route/gate) の metric オプシ ョ ン (371 ペー ジ を参照) の値に基づいて、 適切なデフ ォ ル ト ゲー ト ウ ェ イ が選択 さ れます。 注 - こ のメ ニ ュ ーで設定する デフ ォ ルト ゲート ウ ェ イ は、 ト ラ フ ィ ッ ク を フ ァ イ ア ウ ォ ールから 宛先に向け て ルーテ ィ ン グ する た めのも ので、 フ ァ イ ア ウ ォ ールへの ルーテ ィ ン グ 用ではあ り ま せん。 Firewall Accelerator に接続し て いる ネッ ト ワ ーク の ト ラ フ ィ ッ ク がフ ァ イ ア ウ ォ ールに渡さ れる 際には、 そのネッ ト ワ ーク のデフ ォ ルト ゲート ウ ェ イ 用の IP イ ン タ フ ェ ース が使用さ れま す。 詳細について は、 「[Interface Menu]」 (363 ページ) を 参照し てく ださ い。 表 15-65 [Default Gateway Menu] (/cfg/net/route/gate/gw) コ マ ン ド 構文 と 使用法 addr < デ フ ォル ト ゲー ト ウ ェ イのア ド レ ス > こ の コ マ ン ド は、 デフ ォ ル ト の IP ゲー ト ウ ェ イ の IP ア ド レ ス を、 ド ッ ト 付 き 10 進表記で指定 し ま す。 デ フ ォ ル ト の IP ゲー ト ウ ェ イ ア ド レ ス は 0.0.0.0 で す。 intr < ヘルス チ ェ ッ クのイ ン タ ーバル (0 ~ 60 秒 )> ク ラ ス タ は、 デフ ォ ル ト の IP ゲー ト ウ ェ イ に対 し て ping を実行す る こ と に よ り 、 ゲー ト ウ ェ イ が稼働 し てい る こ と を確認 し ます。 intr のオプシ ョ ン には、 こ のヘル ス チ ェ ッ ク の実行間隔を指定 し ます。 有効値の範囲は 1 ~ 60 秒です。 デフ ォ ル ト では 2 秒に設定 さ れます。 372 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-65 [Default Gateway Menu] (/cfg/net/route/gate/gw) コ マ ン ド 構文 と 使用法 retry < 試行回数 (1 ~ 120) > こ の コ マ ン ド は、 ヘル ス チ ェ ッ ク の失敗回数を指定 し ます。 失敗回数が こ の値 に達す る と 、 シ ス テ ムはデフ ォ ル ト IP ゲー ト ウ ェ イ が動作不能であ る と 判断 し ます。 有効値の範囲は 1 ~ 120 回です。 デフ ォ ル ト では 8 回に設定 さ れ ます。 arp y|n こ の コ マ ン ド は、 ARP 専用ヘル ス チ ェ ッ ク を有効ま たは無効に し ます。 デフ ォ ル ト では、 こ のオプシ ョ ンは無効にな っ てい ます。 ena こ の コ マ ン ド は、 対象のデフ ォ ル ト IP ゲー ト ウ ェ イ を有効に し ます。 dis こ の コ マ ン ド は、 対象のデフ ォ ル ト IP ゲー ト ウ ェ イ を無効に し ます。 del こ の コ マ ン ド は、 設定か ら 対象のデフ ォ ル ト IP ゲー ト ウ ェ イ を削除 し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 373 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/static < ルー ト _ 番号 > [Static Route 1 Menu] [Static Route 1 Menu] addr - Set destination host or network address mask - Set destination subnet mask gw - Set gateway IP address comment - Set description for the static route ena - Enable this static route dis - Disable this static route del - Remove static route [Static Route 1 Menu] は、 ス タ テ ィ ッ ク ルー ト の追加、 削除、 リ ス ト 表示を行 う 場合 に使用 し ます。 こ れ ら のルー ト は、 接続 さ れたネ ッ ト ワー ク 内でパケ ッ ト をルーテ ィ ン グす る 場合に使用 さ れます。 NSF のルーテ ィ ン グ テーブルは、 ス タ テ ィ ッ ク ルー ト と ダ イ ナ ミ ッ ク ルー ト に よ っ て共有 さ れ ます。 ス タ テ ィ ッ ク ルー ト の設定数を増 やす と 、 その分だけダ イ ナ ミ ッ ク ルー ト の設定数が少な く な り ます。 Firewall Accelerators 6600 では、 ス タ テ ィ ッ ク ルー ト お よ びダ イ ナ ミ ッ ク ルー ト を合 計 8,000 ルー ト ま で設定で き ます。 Firewall Accelerators 6400 では、 ス タ テ ィ ッ ク ルー ト お よ びダ イ ナ ミ ッ ク ルー ト を合計 4,000 ルー ト ま で設定で き ま す。 ルーテ ィ ン グ テ ーブ ル に は、 NSF 上 の イ ン タ フ ェ ー ス ご と に 3 つの エ ン ト リ が追加 さ れ ま す。 Firewall Accelerator の イ ン タ フ ェ ース は、 Firewall Director 上のユーザー定義の イ ン タ フ ェース よ り も 1 つ多 く な り ます。 表 15-66 [Static Route 1 Menu] (/cfg/net/route/static) コ マ ン ド 構文 と 使用法 addr < 宛先 IP ア ド レ ス > こ の コ マ ン ド は、 宛先 IP ア ド レ ス に基づいて ス タ テ ィ ッ ク ルー ト を追加 し ま す。 ア ド レ ス は、 すべて ド ッ ト 付 き 10 進表記で指定 し ま す。 デ フ ォ ル ト 値は 0.0.0.0 です。 mask < 宛先マス ク > こ の コ マ ン ド は、 宛先サブネ ッ ト マ ス ク に基づいて ス タ テ ィ ッ ク ルー ト を追加 し ます。 ア ド レ ス は、 すべて ド ッ ト 付 き 10 進表記で指定 し ます。 デフ ォ ル ト 値 は 0.0.0.0 です。 gw < ゲー ト ウ ェ イ IP ア ド レ ス > こ の コ マ ン ド は、ゲー ト ウ ェ イ IP ア ド レ ス に基づいて ス タ テ ィ ッ ク ルー ト を追 加 し ます。 ア ド レ ス は、 すべて ド ッ ト 付 き 10 進表記で指定 し ます。 デフ ォ ル ト 値は 0.0.0.0 です。 comment こ の コ マ ン ド は、 ス タ テ ィ ッ ク ルー ト に関す る 説明を追加 し ます。 ena こ の コ マ ン ド は、ク ラ ス タ での ス タ テ ィ ッ ク ルー ト に よ る 転送を有効に し ます。 374 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-66 [Static Route 1 Menu] (/cfg/net/route/static) (続き) コ マ ン ド 構文 と 使用法 dis こ の コ マ ン ド は、ク ラ ス タ での ス タ テ ィ ッ ク ルー ト に よ る 転送を無効に し ます。 デフ ォ ル ト では、 ス タ テ ィ ッ ク ルー ト は無効にな っ てい ます。 del こ の コ マ ン ド は、 ス タ テ ィ ッ ク ルー ト を削除 し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 375 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/rmap < 番号 > [RMAP 1 Menu] [RMAP 1 Menu] alist ena dis del - RMAP Accesslist Menu Enable RMAP Disable RMAP Remove RMAP [RMAP 1 Menu] は、ルー ト マ ッ プ を リ ス ト 表示 し て有効ま たは無効にす る 場合に使用 し ます。 OSPF ルー ト マ ッ プは、 OSPF に対す る その他すべてのプ ロ ト コ ル (RIP、 ス タ テ ィ ッ ク 、 接続な ど) か ら のルー ト の再分配を フ ィ ル タ リ ン グす る 場合に使用 し ま す。 最大で 10 のルー ト マ ッ プ を設定で き ます。 表 15-67 [RMAP 1 Menu] (/cfg/net/route/rmap) コ マ ン ド 構文 と 使用法 alist こ の コ マ ン ド を使用す る と 、 設定済みのすべてのルー ト を、 イ ンデ ッ ク ス 番号 と IP ア ド レ ス情報に基づいて リ ス ト 表示、 追加、 ま たは削除す る こ と がで き ま す。 [OSPF Menu] 下の [Route Redistribution Menu] (cfg/net/route/ospf/redist) で は、 グ ロ ーバル定義 さ れてい る ルー ト マ ッ プのいずれか を使用す る よ う に設定 し 、 ルー ト の再分配時に フ ィ ル タ を適用す る こ と がで き ま す。 1 つの ア ク セ ス リ ス ト には、 最大で 25 のエ ン ト リ を設定で き ます。 [RMAP Access List Menu] の メ ニ ュ ー項目については、 377 ページ を参照 し て く だ さ い。 ena こ の コ マ ン ド は、 ク ラ ス タ で使用 さ れ る ルー ト マ ッ プ設定を有効に し ます。 こ の コ マ ン ド を実行す る と 、 指定 し たルー ト マ ッ プのア ク セ ス リ ス ト に基づいて OSPF に よ る ルー ト 再分配が行われ ます。 dis こ の コ マ ン ド は、 ク ラ ス タ の RMAP 設定を無効に し 、 それ ら のルー ト マ ッ プが 使用 さ れない よ う に し ます。デフ ォ ル ト では、ルー ト マ ッ プの使用は無効にな っ てい ます。 del こ の コ マ ン ド は、 ルー ト マ ッ プ を削除 し ます。 376 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/rmap < 番号 >/alist [RMAP Access List Menu] [RMAP access list Menu] list - List all values del - Delete a value by number add - Add a new value [RMAP Access List Menu] は、 ルー ト マ ッ プの フ ィ ル タ ポ リ シーの追加、 削除、 リ ス ト 表示を行 う 場合に使用 し ま す。 ルー ト マ ッ プ を使用す る と 、 あ ら か じ め設定 し た 条件に基づいて フ ィ ル タ を柔軟に適用で き ま す。 ルー ト マ ッ プ内の論理条件は、 特 定の IP ア ド レ ス と ネ ッ ト マ ス ク の組合せを許可 (permit) ま たは拒否 (deny) す る た めの ア ク セ ス リ ス ト に基づい て プ ロ グ ラ ム さ れ ま す。 「すべて を 拒否」 す る デ フ ォ ル ト のア ク セ ス リ ス ト は、 一連のア ク セ ス リ ス ト の最後に自動的に追加 さ れ ま す。 表 15-68 [RMAP Access List Menu] (/cfg/net/route/rmap/alist) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 設定済みのすべてのア ク セ ス リ ス ト の イ ンデ ッ ク ス番号 と IP ア ド レ ス情報を リ ス ト 表示 し ます。 del < イ ンデ ッ ク ス番号 > こ の コ マ ン ド を使用す る と 、 指定 し た イ ンデ ッ ク ス 番号のア ク セ ス リ ス ト を、 ク ラ ス タ の設定か ら 削除で き ます。 list コ マ ン ド を使用 し て、 設定 さ れてい る すべてのア ク セ ス リ ス ト の イ ンデ ッ ク ス番号を表示 し ます。 add <IP ア ド レ ス > < マス ク > < 許可 / 拒否 > こ の コ マ ン ド は、 指定 し た IP ア ド レ ス、 サブネ ッ ト マ ス ク 、 お よ び実行ア ク シ ョ ン に基づい て新 し い ア ク セ ス リ ス ト を追加 し ま す。 ア ク シ ョ ン は permit、 deny のいずれか を指定で き ます。 ア ド レ ス は、 すべて ド ッ ト 付 き 10 進表記で指 定 し ます。 各ルー ト マ ッ プには最大で 25 のア ク セ ス リ ス ト エ ン ト リ を設定で き ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 377 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/rip [RIP Menu] [RIP Menu] vlan version redist metric distance update timeout ena dis - RIP Vlan Menu Set default RIP version Route Redistribute Menu Set Default RIP metric Set Default RIP distance Set RIP Update broad/multicast interval Set RIP route timeout Enable RIP Disable RIP [RIP Menu] は、 RIP パ ラ メ ー タ の設定に使用 し ます。 Nortel Switched Firewall は、 RIP バージ ョ ン 1 ま たは RIP バージ ョ ン 2 (マルチキ ャ ス テ ィ ン グ) のネ ッ ト ワー ク に対 応 し てい ます。 表 15-69 [RIP Menu] (/cfg/net/route/rip) コ マ ン ド 構文 と 使用法 vlan <1 ~ 4093> [RIP VLAN Menu] は、 VLAN を RIP と と も に使用す る ための設定に使用 し ます。 VLAN ID 4092 は内部専用で あ る た め、 設定変更はで き ま せん。 最大で 253 の VLAN を設定す る こ と がで き ます。VLAN 1 を設定 し た場合、さ ら に 252 の VLAN を設定す る こ と がで き ます。 メ ニ ュ ー項目については、 380 ページ を参照 し て く だ さ い。 version v1|v2 こ の コ マ ン ド は、 Nortel Switched Firewall で使用 さ れ る RIP のバージ ョ ン を指定 す る 場合に使用 し ま す。 バージ ョ ン 1 (v1) ま たはマルチキ ャ ス ト のバージ ョ ン 2 (v2) のいずれか を指定す る 必要があ り ます。 デフ ォ ル ト 値は v2 です。 redist [Route Redistribution Menu] は、 他のプ ロ ト コ ルか ら のルー ト を RIP で使用す る ための変更方法を定義す る 場合に使用 し ます。 メ ニ ュ ー項目については、 383 ページ を参照 し て く だ さ い。 metric < デ フ ォル ト の RIP メ ト リ ッ ク 値 (1 ~ 16) > こ の コ マ ン ド は、 RIP ルー ト のア ド バ タ イ ジ ン グに使用 さ れ る デフ ォ ル ト の RIP メ ト リ ッ ク を設定 し ます。 デフ ォ ル ト 値は 1 です。 distance < デ フ ォル ト の RIP 距離値 (1 ~ 255) > こ の コ マ ン ド は、ルー ト の選択に使用 さ れ る 管理上の距離を設定 し ます。デフ ォ ル ト 値は 120 です。 管理上の距離の値は、 (ア ド バ タ イ ジ ン グに よ っ て) 新 し い ルー ト が取得 さ れ る と 更新 さ れ、 従来のルー ト に設定 さ れてい る 値はその ま ま 保持 さ れ ます。管理上の距離が最短のルー ト は、 ルーテ ィ ン グ情報ベース (RIB : routing information base) / 転送情報ベース (FIB : forwarding information base) テー ブルに選択肢 と し て登録 さ れ ます。 378 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-69 [RIP Menu] (/cfg/net/route/rip) (続き) コ マ ン ド 構文 と 使用法 update <RIP 更新イ ン タ ーバル (1 ~ 600 秒) > こ の コ マ ン ド は、 RIP 更新ブ ロ ー ド キ ャ ス ト 間の イ ン タ ーバルを設定 し ます。 デ フ ォ ル ト では 30 秒に設定 さ れます。 timeout <RIP ルー ト タ イ ムアウ ト 時間 (6 ~ 3600 秒) > こ の コ マ ン ド は、RIP ルー ト が無効にな る ま でにア イ ド ル状態で保持 さ れ る 時間 を設定 し ます。 こ の時間が経過 し て無効にな っ たルー ト には、 ホ ッ プ数 16 (無 限ホ ッ プ数) が設定 さ れ ます。 デフ ォ ル ト では 180 秒に設定 さ れ ます。 ena こ の コ マ ン ド は、 ク ラ ス タ での RIP に よ る 転送を有効に し ます。 dis こ の コ マ ン ド は、 ク ラ ス タ での RIP に よ る 転送を無効に し ます。 デフ ォ ル ト で は、 RIP は無効にな っ てい ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 379 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/rip/vlan <vlan 番号 > [RIP VLAN Menu] [RIP VLAN 1 Menu] splithz listen txver rxver auth key md5key ena dis - Set Split-horizon Set Listen-only Set Version of Transmitted RIP packets Set Version of Received RIP packets Set Authentication type Set password authentication key MD5 authentication keychain Enable VLAN Disable VLAN [RIP VLAN Menu] は、VLAN を RIP と と も に使用す る ための設定に使用 し ます。VLAN は、 ク ラ ス タ に接続 さ れてい る ネ ッ ト ワ ー ク ご と に設定す る 必要があ り ます。 ま た、 RIP はデフ ォ ル ト では無効にな っ てい る ため、 VLAN ご と に有効にす る 必要があ り ま す。 表 15-70 [RIP VLAN Menu] (/cfg/net/route/rip/vlan) コ マ ン ド 構文 と 使用法 splithz y|n こ の コ マ ン ド は、 設定す る VLAN に対 し て 「ス プ リ ッ ト ホ ラ イ ズ ンお よ びポ イ ズ ン リ バー ス」 を有効 ま たは無効に し ま す。 ス プ リ ッ ト ホ ラ イ ズ ン アルゴ リ ズ ムは、 ブ ロ ー ド キ ャ ス ト ループの回避に役立ち ます。 有効に し た場合 (y) 、 VLAN で取得 さ れたルー ト 情報が、それを ア ド バ タ イ ジ ン グ し たルー タ ーに逆に ア ド バ タ イ ジ ン グ さ れ る こ と はあ り ま せん。 デフ ォ ル ト では有効にな っ てい ま す (y) 。 無効に し た場合 (n) は、 こ の コ マ ン ド に よ っ てポ イ ズ ン リ バース が 実行 さ れ ま す。 こ の動作では、 取得 さ れたルー ト 情報が、 それを ア ド バ タ イ ジ ン グ し たルー タ ーに メ ト リ ッ ク 16 付 き で逆にア ド バ タ イ ジ ン グ さ れ ます。 listen y|n こ の コ マ ン ド は、 設定す る VLAN に対 し て 「 リ ス ニ ン グのみ」 を有効ま たは無 効に し ます。 有効に し た場合 (y) 、 VLAN は他のルー タ ーか ら ア ド バ タ イ ジ ン グ さ れ る ルー ト 情報を取得 し ますが、 RIP 更新情報は送信 し ません。 無効に し た 場合 (n) 、 VLAN はルー ト 情報を取得 し て更新情報を送信 し ます。 デフ ォ ル ト では無効にな っ てい ます。 txver default|v1|v2|v1v2 こ の コ マ ン ド は、 VLAN が RIP 更新情報の送信に使用す る RIP バージ ョ ン を設 定 し ます。 default: [RIP Menu]( /cfg/net/route/rip/version) で指定し たバー ジョ ン が使用さ れま す。 v1 : RIP バージ ョ ン 1 が使用 さ れます。 v2 : RIP バージ ョ ン 2 が使用 さ れます。 v1v2 : RIP バージ ョ ン 1 と RIP バージ ョ ン 2 の両方が使用 さ れます。 380 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-70 [RIP VLAN Menu] (/cfg/net/route/rip/vlan) コ マ ン ド 構文 と 使用法 rxver default|v1|v2|v1v2 こ の コ マ ン ド は、 VLAN が RIP 更新のために受け入れ る RIP バージ ョ ン を設定 し ます。 default: [RIP Menu]( /cfg/net/route/rip/version) で指定し たバー ジョ ン が受け入れら れま す。 v1 : RIP バージ ョ ン 1 が受け入れ ら れます。 v2 : RIP バージ ョ ン 2 が受け入れ ら れます。 v1v2 : RIP バージ ョ ン 1 と RIP バージ ョ ン 2 の両方が受け入れ ら れます。 auth none|password|md5 こ の コ マ ン ド は、VLAN の認証 タ イ プ を以下のいずれかのオプシ ョ ン で設定 し ま す。 none は、 RIP 認証を オ フ に し ます。 こ のオプシ ョ ンはデフ ォ ル ト で設定 さ れ ます。 password は、 プ レーン テ キ ス ト パ ス ワー ド 認証を オ ン に し ます。 パ ス ワー ド は key オプシ ョ ン を使用 し て設定 し ます。 md5 は、 MD5 (堅牢な暗号) パ ス ワー ド 認証を オ ン に し ます。 詳細について は、 「RIP 認証」 (382 ページ) を参照 し て く だ さ い。 key < プ レーン テキス ト パスワー ド (1 ~ 8 文字) > こ のオプ シ ョ ン は、 RIP の auth オプ シ ョ ン と と も に使用 し ま す。 auth オプ シ ョ ンが password に設定 さ れてい る 場合、 key オプシ ョ ンは、 対象 VLAN で の RIP 認証に使用す る パ ス ワー ド を設定 し ます。 最長 8 文字のプ レーン テ キ ス ト パ ス ワー ド を指定 し ます。 キーを ク リ アす る には、 値 と し て none を指定 し ます。 md5key <MD5 認証キー (1 ~ 16 文字) > [RIP VLAN MD5 Keychain Menu] は、MD5 に よ る パ ス ワー ド の定義に使用 し ます。 MD5 は、RIP デー タ と パ ス ワー ド の保護に使用 さ れ る 堅牢な暗号化技術です。詳 細については、 「RIP 認証」 (382 ページ) を参照 し て く だ さ い。 ena こ の コ マ ン ド は、 VLAN を RIP ネ ッ ト ワ ー ク に対 し て有効に し ます。 dis こ の コ マ ン ド は、 VLAN を RIP ネ ッ ト ワ ー ク に対 し て無効に し ま す。 こ れはデ フ ォ ル ト で設定 さ れ ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 381 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス RIP 認証 RIP プ ロ ト コ ル交換で認証を行 う よ う に設定す る と 、 関連す る デバ イ ス を信頼 さ れ る デバ イ ス のみに制限す る こ と がで き ます。 Nortel Switched Firewall 4.4.1 では、 同一の エ リ ア内で近隣関係に あ る 複数のルーテ ィ ン グ デバ イ ス 間で、 簡易認証 (プ レ ーン テ キ ス ト のパ ス ワー ド ベース) お よ び MD5 に よ る 堅牢認証 (暗号化 さ れたデー タ と パ ス ワ ー ド ベース) を行 う こ と がで き ます。 RIP 簡易認証は、 定義済みの イ ン タ フ ェ ー ス ご と に以下の CLI コ マ ン ド を使用 し て、 個別に有効ま たは無効に し ます。 >> # /cfg/net/route/rip/vlan <vlan 番号 > (VLAN 番号を選択) >> RIP VLAN# auth password|none (簡易認証を有効化 / 無効化) RIP MD5 パ ス ワ ー ド 認証では、堅牢な暗号化方式に よ っ てデー タ と パ ス ワ ー ド を保護 で き ます。 MD5 パ ス ワ ー ド 認証は、 定義済みの VLAN ご と に以下の CLI コ マ ン ド を使用 し て、 個別に有効ま たは無効に し ます。 >> # /cfg/net/route/rip/vlan <vlan 番号 > (VLAN 番号を選択) >> RIP VLAN# auth md5|none (MD5 認証を有効化 / 無効化) MD5 パ ス ワ ー ド は、 以下の CLI コ マ ン ド を使用 し て最長 16 文字で指定 し ます。 >> RIP VLAN# md5key < パスワー ド > (MD5 パスワー ド を設定) 382 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/rip/redist [Route Redistribution Menu] [Route Redistribution Menu] connected - Connected Route Redistribution Menu static - Static Route Redistribution Menu ospf - OSPF Route Redistribution Menu defaultgw - Default Gateway Redistribution Menu fictitious - Fictitious Route Redistribution Menu [Route Redistribution Menu] は、他のプ ロ ト コ ルか ら のルー ト を RIP にア ド バ タ イ ジ ン グす る 場合に使用 し ま す。 デフ ォ ル ト では、 接続、 ス タ テ ィ ッ ク 、 OSPF、 お よ びデ フ ォ ル ト ゲー ト ウ ェ イ か ら のルー ト の再分配機能は無効にな っ てい ます。 表 15-71 [Route Redistribution Menu] (/cfg/net/route/rip/redist) コ マ ン ド 構文 と 使用法 connected [RIP Connected Route Redistribution Menu] は、 RIP を介 し て接続ルー ト を ア ド バ タ イ ジ ン グす る 場合に使用 し ます。 メ ニ ュ ー項目については、 384 ページ を参照 し て く だ さ い。 static [RIP Static Route Redistribution Menu] は、 RIP を介 し て ス タ テ ィ ッ ク ルー ト を ア ド バ タ イ ジ ン グす る 場合に使用 し ます。 メ ニ ュ ー項目については、 385 ページ を参照 し て く だ さ い。 ospf [RIP OSPF Route Redistribution Menu] は、 RIP を介 し て OSPF ルー ト を ア ド バ タ イ ジ ン グす る 場合に使用 し ます。 メ ニ ュ ー項目については、 386 ページ を参照 し て く だ さ い。 defaultgw [RIP Default Gateway Route Redistribution Menu] は、RIP を介 し てデフ ォ ル ト ゲー ト ウ ェ イ ルー ト を ア ド バ タ イ ジ ン グす る 場合に使用 し ます。 メ ニ ュ ー項目については、 387 ページ を参照 し て く だ さ い。 fictitious [RIP Fictitious Route Redistribution Menu] は、 組み込 ま れていないルー ト を ト ラ ブルシ ュ ーテ ィ ン グす る ための診断ツール と し て使用 し ます。 メ ニ ュ ー項目については、 388 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 383 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/rip/redist/connected [RIP Connected Route Redistribution Menu] [RIP Connected Route Redistribution Menu] metric - Set metric assigned to connected routes ena - Enable redistribution of connected routes dis - Disable redistribution of connected routes [RIP Connected Route Redistribution Menu] は、 接続ルー ト を RIP に再分配す る 場合に 使用 し ます。 デフ ォ ル ト では、接続ルー ト のア ド バ タ イ ジ ン グは無効にな っ てい ます。 表 15-72 [RIP Connected Route Redistribution Menu] (/cfg/net/route/rip/redist/connected) コ マ ン ド 構文 と 使用法 metric < 値 (0 ~ 16) > こ の コ マ ン ド は、 ア ド バ タ イ ジ ン グ さ れ る 接続ルー ト の メ ト リ ッ ク を設定 し ま す。 メ ト リ ッ ク の値は、 0 ~ 16 の範囲で、 ルー ト の相対的な コ ス ト に応 じ て指 定 し ます。 こ の コ ス ト が高 く な る ほ ど、 ルー ト の優先度は低 く な り ます。 デフ ォ ル ト 値は 1 です。 enable こ の コ マ ン ド は、 接続ルー ト のア ド バ タ イ ジ ン グ機能を有効に し ます。 disable こ の コ マ ン ド は、 接続ルー ト のア ド バ タ イ ジ ン グ機能を無効に し ます。 384 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/rip/redist/static [RIP Static Route Redistribution Menu] [RIP Static Route Redistribution Menu] metric - Set metric assigned to static routes ena - Enable redistribution of static routes dis - Disable redistribution of static routes [RIP Static Route Redistribution Menu] は、 ス タ テ ィ ッ ク ルー ト を RIP に再分配す る 場 合に使用 し ま す。 デフ ォ ル ト では、 ス タ テ ィ ッ ク ルー ト のア ド バ タ イ ジ ン グは無効 にな っ てい ます。 表 15-73 [RIP Static Route Redistribution Menu] (/cfg/net/route/rip/redist/static) コ マ ン ド 構文 と 使用法 metric < 値 (0 ~ 16) > こ の コ マ ン ド は、 ア ド バ タ イ ジ ン グ さ れ る ス タ テ ィ ッ ク ルー ト の メ ト リ ッ ク を 設定 し ます。 メ ト リ ッ ク の値は、 0 ~ 16 の範囲で、 ルー ト の相対的な コ ス ト に 応 じ て指定 し ま す。 こ の コ ス ト が大 き く な る ほ ど、 ルー ト の優先度は低 く な り ます。 デフ ォ ル ト 値は 1 です。 enable こ の コ マ ン ド は、ス タ テ ィ ッ ク ルー ト のア ド バ タ イ ジ ン グ機能を有効に し ます。 disable こ の コ マ ン ド は、ス タ テ ィ ッ ク ルー ト のア ド バ タ イ ジ ン グ機能を無効に し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 385 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/rip/redist/ospf [RIP OSPF Route Redistribution Menu] [RIP OSPF Route Redistribution Menu] metric - Set metric assigned to OSPF routes ena - Enable redistribution of OSPF routes dis - Disable redistribution of OSPF routes [RIP OSPF Route Redistribution Menu] は、 OSPF ルー ト を RIP に再分配す る 場合に使 用 し ます。 デフ ォ ル ト では、 OSPF ルー ト のア ド バ タ イ ジ ン グは無効にな っ てい ます。 表 15-74 [RIP OSPF Route Redistribution Menu] (/cfg/net/route/rip/redist/ospf) コ マ ン ド 構文 と 使用法 metric < 値 (0 ~ 16) > こ の コ マ ン ド は、 ア ド バ タ イ ジ ン グ さ れ る OSPF ルー ト の メ ト リ ッ ク を設定 し ます。 メ ト リ ッ ク の値は、 0 ~ 16 の範囲で、 ルー ト の相対的な コ ス ト に応 じ て 指定 し ま す。 コ ス ト が高いルー ト ほ ど優先度は低い こ と を意味 し ま す。 デフ ォ ル ト 値は 1 です。 enable こ の コ マ ン ド は、 OSPF ルー ト のア ド バ タ イ ジ ン グ機能を有効に し ます。 disable こ の コ マ ン ド は、 OSPF ルー ト のア ド バ タ イ ジ ン グ機能を無効に し ます。 386 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/rip/redist/defaultgw [RIP Default Gateway Route Redistribution Menu] [RIP Default Gateway Route Redistribution Menu] metric - --Default gateway routes use the default metric-ena - Enable redistribution of default gateway routes dis - Disable redistribution of default gateway routes [RIP Default Gateway Route Redistribution Menu] は、 デフ ォ ル ト ゲー ト ウ ェ イ ルー ト を RIP に再分配す る 場合に使用 し ま す。 デフ ォ ル ト では、 デフ ォ ル ト ゲー ト ウ ェ イ ルー ト のア ド バ タ イ ジ ン グは無効にな っ てい ます。 表 15-75 [RIP Default Gateway Route Redistribution Menu] (/cfg/net/route/rip/redist/defaultgw) コ マ ン ド 構文 と 使用法 metric こ の コ マ ン ド は、 ア ド バ タ イ ジ ン グ さ れ る デフ ォ ル ト ゲー ト ウ ェ イ ルー ト の メ ト リ ッ ク を 使用 し ま す。 デ フ ォ ル ト ゲ ー ト ウ ェ イ ルー ト の メ ト リ ッ ク は、 cfg/net/route/gate/metric で定義 し ます。 こ の メ ト リ ッ ク の詳細につい ては、 371 ページ を参照 し て く だ さ い。 enable こ の コ マ ン ド は、 デフ ォ ル ト ゲー ト ウ ェ イ ルー ト のア ド バ タ イ ジ ン グ機能を有 効に し ます。 disable こ の コ マ ン ド は、 デフ ォ ル ト ゲー ト ウ ェ イ ルー ト のア ド バ タ イ ジ ン グ機能を無 効に し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 387 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/rip/redist/fictitious [RIP Fictitious Route Redistribution Menu] [RIP Fictitious Route Redistribution Menu] metric - --All fictitious routes use the default metric-networks - Fictitious reachable networks list ena - Enable redistribution of fictitious routes dis - Disable redistribution of fictitious routes [RIP Fictitious Route Redistribution Menu] は、 RIP ド メ イ ンに組み込ま れていないルー ト (仮想ルー ト ) を ト ラ ブルシ ュ ーテ ィ ン グす る ための診断ツール と し て使用 し ます。 デフ ォ ル ト では、 仮想ルー ト のア ド バ タ イ ジ ン グは無効にな っ てい ます。 表 15-76 [RIP Fictitious Route Redistribution] (/cfg/net/route/rip/redist/fictitious) コ マ ン ド 構文 と 使用法 metric こ の コ マ ン ド は、 ア ド バ タ イ ジ ン グ さ れ る RIP 仮想ルー ト の メ ト リ ッ ク を使用 し ま す。 RIP 仮想ルー ト の メ ト リ ッ ク は、 cfg/net/route/gate/metric で 定義 し ます。こ の メ ト リ ッ ク の詳細については、371 ページ を参照 し て く だ さ い。 networks こ の コ マ ン ド は、 ア ク セ ス可能な仮想ネ ッ ト ワー ク を リ ス ト 表示 し ます。 メ ニ ュ ー項目については、 389 ページ を参照 し て く だ さ い。 enable こ の コ マ ン ド は、 仮想ルー ト のア ド バ タ イ ジ ン グ機能を有効に し ます。 disable こ の コ マ ン ド は、 仮想ルー ト のア ド バ タ イ ジ ン グ機能を無効に し ます。 388 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/rip/redist/fictitious/networks [Fictitious RIP Reachable Networks Menu] [Fictitious RIP Reachable Networks Menu] list - List all values del - Delete a value by number add - Add a new value [Fictitious RIP Reachable Networks Menu] は、 現在設定 さ れてい る ネ ッ ト ワ ー ク に対 し て、 仮想ネ ッ ト ワー ク を追加お よ び削除す る 場合に使用 し ます。 表 15-77 [Fictitious RIP Reachable Networks Menu] (/cfg/net/route/rip/redist/fictitious/networks) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 現在設定 さ れてい る すべてのネ ッ ト ワ ー ク を リ ス ト 表示 し ま す。 del こ の コ マ ン ド は、 設定済みのネ ッ ト ワー ク を削除 し ます。 add <IP ア ド レ ス (例 : 10.10.10.1、 マス ク : 255.255.255.0) > こ の コ マ ン ド は、 オプシ ョ ン に指定 し た ネ ッ ト ワ ー ク を、 現在設定 さ れてい る ネ ッ ト ワ ー ク に追加 し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 389 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/ospf [OSPF Menu] [OSPF Menu] aindex range if gre virt redist metric rtrid spf ena dis - OSPF Area (index) Menu OSPF Summary Range Menu OSPF Interface Menu OSPF GRE Tunnel Menu OSPF Virtual Link Menu Route Redistribution Menu Set default metric Set OSPF router ID Set time interval between two SPF calculations Enable OSPF Disable OSPF [OSPF Menu] は、 NSF を OSPF ルーテ ィ ン グ プ ロ ト コ ル と と も に使用す る ための設 定に使用 し ます。 OSPF では、 ルー タ ー間で リ ン ク 状態の更新情報を交換す る ために、 フ ラ ッ デ ィ ン グが使用 さ れます。 ルーテ ィ ン グ情報の変更内容は、 同一エ リ ア内にあ る ネ ッ ト ワ ー ク 上のすべてのルー タ ーに フ ラ ッ ド さ れ ま す。 デフ ォ ル ト では、 OSPF は無効にな っ てい ます。 OSPF の使用方法の詳細については、 第 5 章、 「Open Shortest Path First」 を参照 し て く だ さ い。 表 15-78 [OSPF Menu] (/cfg/net/route/ospf) コ マ ン ド 構文 と 使用法 aindex < エ リ ア イ ンデ ッ ク ス (1 ~ 16) > [OSPF Area Index Menu] は、 OSPF エ リ ア番号 と パ ラ メ ー タ を定義す る 場合に使 用 し ます。 メ ニ ュ ー項目については、 392 ページ を参照 し て く だ さ い。 range < 範囲番号 (1 ~ 256) > [OSPF Summary Range Menu] は、 OSPF サマ リ ルー ト を定義 し た り 、 OSPF ルー テ ィ ン グ情報を要約す る 場合に使用 し ます。 メ ニ ュ ー項目については、 393 ページ を参照 し て く だ さ い。 if <IP イ ン タ フ ェ ース番号 (1 ~ 255) > [OSPF Interface Menu] は、 OSPF エ リ アに IP イ ン タ フ ェ ース ネ ッ ト ワー ク を接 続す る 場合に使用 し ます。 メ ニ ュ ー項目については、 395 ページ を参照 し て く だ さ い。 gre < ト ン ネル番号 (1 ~ 5) > [OSPF GRE Tunnel Menu] は、 GRE イ ン タ フ ェース に OSFP ネ ッ ト ワ ー ク を接続 す る 場合に使用 し ます。 メ ニ ュ ー項目については、 398 ページ を参照 し て く だ さ い。 390 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-78 [OSPF Menu] (/cfg/net/route/ospf) (続き) コ マ ン ド 構文 と 使用法 virt < 仮想 リ ン ク番号 (1 ~ 64) > [OSPF Virtual Link Menu] は、 区切 ら れた複数のエ リ ア を相互に接続す る 場合に 使用 し ます。 メ ニ ュ ー項目については、 401 ページ を参照 し て く だ さ い。 redist こ の コ マ ン ド は、 [Route Redistribution Menu] を表示 し ます。 メ ニ ュ ー項目については、 404 ページ を参照 し て く だ さ い。 metric < メ ト リ ッ ク値 (0 ~ 16777214) > | none> こ の コ マ ン ド は、 同一のエ リ アに複数の ABR ま たは ASBR が設置 さ れてい る 場 合に NSF が選択す る デフ ォ ル ト ルー ト の優先度を設定 し ます。 none を指定 し た場合は、 「デ フ ォ ル ト ルー ト な し 」 に設定 さ れ ます。 デフ ォ ル ト 値 none は、 メ ト リ ッ ク コ ス ト を 1 に設定 し ます。 こ の値は、 ス タ テ ィ ッ ク / 接続 /RIP ルー ト を OSPF に再分配す る ためのグ ロ ー バル デフ ォ ル ト メ ト リ ッ ク です。 グ ロ ーバル デフ ォ ル ト メ ト リ ッ ク 値は、 再 分配固有の メ ト リ ッ ク 値に よ っ て上書 き さ れ ま す。 metric には再分配固有の メ ト リ ッ ク 値を設定す る こ と をお勧め し ます。 rtrid <IP ア ド レ ス (例 : 10.10.10.1) > こ の コ マ ン ド は、こ の NSF ク ラ ス タ の ス タ テ ィ ッ ク ルー タ ー ID を設定 し ます。 ルー タ ー ID は、 ド ッ ト 付 き 10 進表記の IP ア ド レ ス形式で指定 し ます。 デフ ォ ル ト 値は 0.0.0.0 です。 OSPF が有効にな る と 、 ルー タ ー ID を使用 し てルーテ ィ ン グ デバ イ ス を特定 し ます。 ルー タ ー ID が指定 さ れていないか、 あ る いはデフ ォ ル ト の 0.0.0.0 に設 定 さ れてい る 場合、 NSF を再起動す る と 、 ルー タ ー ID と し て ク ラ ス タ 上のア ク テ ィ ブな IP イ ン タ フ ェース のア ド レ ス が動的に選択 さ れ ます。 ただ し 、 OSPF 仮想 リ ン ク を使用 し てい る 場合は、 ルー タ ー ID を必ず指定 し て く だ さ い。 OSPF がすでに有効にな っ てい る 場合、 更新 し たルー タ ー ID を有効 にす る には、 OSPF をい っ たん無効に し てか ら 有効に し なおす必要があ り ます。 spf <spf 計算イ ン タ ーバル (0 ~ 65535 秒) spf 計算結果の保存時間 (0 ~ 65535 秒) > こ の コ マ ン ド は、 最短パ ス ツ リ ーの各計算間の イ ン タ ーバル時間を秒単位で設 定 し ます。 デフ ォ ル ト では、 spf 計算 イ ン タ ーバルは 5 秒、 spf 計算結果の保存 時間は 10 秒に設定 さ れてい ます。 ena こ の コ マ ン ド は、 OSPF を グ ロ ーバルにオ ンに し ます。 dis こ の コ マ ン ド は、 OSPF を グ ロ ーバルにオ フ に し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 391 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/ospf/aindex < エ リ ア イ ン デッ クス > [OSPF Area Index Menu] [OSPF Area Index 1 Menu] id - Set area ID type - Set area type metric - Set stub area metric ena - Enable area dis - Disable area del - Remove OSPF Area Index [OSPF Area Index Menu] は、 OSPF エ リ アの番号 と パ ラ メ ー タ を定義す る 場合に使用 し ます。 デフ ォ ル ト では、 OSPF エ リ アは無効にな っ てい ます。 OSPF の使用方法の詳細については、 第 5 章、 「Open Shortest Path First」 を参照 し て く だ さ い。 表 15-79 [OSPF Area Index Menu Options] (/cfg/net/route/ospf/aindex) コ マ ン ド 構文 と 使用法 id < エ リ ア ID (例 : 0.0.0.0) > こ の コ マ ン ド は、 ド ッ ト 付 き 10 進表記で OSPF エ リ ア の番号 を 指定 し ま す。 OSPF エ リ アの番号は、 ラ ス ト オ ク テ ッ ト 形式 (エ リ ア 1 の場合は 0.0.0.1) ま たはマルチ オ ク テ ッ ト 形式 (1.1.1.1) で指定で き ま す。 ただ し 、 1 つのエ リ ア 内では同一の形式を使用す る 必要があ り ます。 デフ ォ ル ト 値は 0.0.0.0 です。 type transit|stub|nssa こ の コ マ ン ド は、 以下のオプシ ョ ン でエ リ ア タ イ プ を設定 し ます。 transit : バ ッ ク ボーン エ リ ア、 ま たは仮想 リ ン ク を含む任意のエ リ ア stub : 外部ルー ト を含ま ない任意のエ リ ア nssa : 外部ルー ト を処理で き る が、 そのエ リ アの外部か ら 取得 し た外部ルー ト はア ド バ タ イ ジ ン グ し ない任意のエ リ ア。 デフ ォ ル ト のエ リ ア タ イ プは transit です。 metric < メ ト リ ッ ク > < タ イ プ > こ の コ マ ン ド は、 ス タ ブ エ リ アの メ ト リ ッ ク を設定 し ます。 他のルーテ ィ ン グ デバ イ ス は、 それぞれの SPF ツ リ ーの構築時に、 こ の メ ト リ ッ ク 値を こ の ス タ ブ エ リ アへのルーテ ィ ン グ コ ス ト に加算 し ま す。 デ フ ォ ル ト では、 metric は 10、 type は t1 に設定 さ れ ます。 ena こ の コ マ ン ド は、 こ のエ リ ア を有効に し ます。 dis こ の コ マ ン ド は、 こ のエ リ ア を無効に し ます。 del こ の コ マ ン ド は、 設定か ら こ のエ リ ア イ ンデ ッ ク ス を削除 し ます。 392 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/ospf/range < 範囲番号 > [OSPF Summary Range Menu] [OSPF Summary addr mask aindex hide ena dis del Range 1 Menu] - Set IP address - Set IP mask - Set area index - Set range hiding - Enable range - Disable range - Remove OSPF Summary Range [OSPF Summary Range Menu] は、 OSPF サ マ リ ルー ト の定義に使用 し ま す。 サ マ リ ルー ト が定義 さ れていない場合、 OSPF ネ ッ ト ワ ー ク 内の各ルーテ ィ ン グ デバ イ ス で は、 そのネ ッ ト ワ ー ク 内の各サブネ ッ ト へのルー ト が保持 さ れ ま す。 サマ リ ルー ト が定義 さ れてい る と 、 ルーテ ィ ン グ デバ イ ス ではい く つかのルー ト を単一のア ド バ タ イ ジ ン グ に ま と め る こ と がで き ま す。 それに よ っ て、 ルーテ ィ ン グ デバ イ ス の負 荷が軽減 さ れ、 ネ ッ ト ワ ー ク の複雑 さ が緩和 さ れ ます。 ネ ッ ト ワー ク の規模が大 き く な る ほ ど、 サマ リ ルー ト の定義が重要にな り ます。 デフ ォ ル ト では、 OSPF サマ リ 範 囲は無効にな っ てい ます。 OSPF の使用方法の詳細については、 第 5 章、 「Open Shortest Path First」 を参照 し て く だ さ い。 表 15-80 [OSPF Summary Range Menu Options] (/cfg/net/route/ospf/range) コ マ ン ド 構文 と 使用法 addr <IP ア ド レ ス (例 : 10.10.10.1) > こ の コ マ ン ド は、 サマ リ 範囲用の基本 IP ア ド レ ス を、 ド ッ ト 付 き 10 進表記で 指定 し ます。 デフ ォ ル ト の IP ア ド レ ス は 0.0.0.0 に設定 さ れます。 mask <IP マス ク (例 : 255.255.255.0) > こ の コ マ ン ド は、 サマ リ 範囲用の IP マ ス ク を、 ド ッ ト 付 き 10 進表記で指定 し ます。 デフ ォ ル ト のマ ス ク は 0.0.0.0 に設定 さ れます。 aindex < エ リ ア イ ンデ ッ ク ス (1 ~ 16) > こ の コ マ ン ド は、サマ リ 範囲を導入す る エ リ ア イ ンデ ッ ク ス番号を設定 し ます。 デフ ォ ル ト 値は 1 です。 hide y|n こ の コ マ ン ド に y を指定 し た場合、 定義 し たエ リ アに挿入 さ れてい る その他の サマ リ エ リ アか ら 、 対象ア ド レ ス範囲が削除 さ れ ます。 こ の コ マ ン ド は、 完全 に連続 し ていないサマ リ 範囲、 つ ま り ギ ャ ッ プが含 ま れてい る 大 き なサマ リ 範 囲か ら 複数のセ ク シ ョ ン を削除す る 場合に便利です。 デフ ォ ル ト では、 こ のオ プシ ョ ンは無効に設定 さ れてい ます。 ena こ の コ マ ン ド は、 対象範囲を有効に し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 393 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-80 [OSPF Summary Range Menu Options] (/cfg/net/route/ospf/range) (続 き) コ マ ン ド 構文 と 使用法 dis こ の コ マ ン ド は、 対象範囲を無効に し ます。 del こ の コ マ ン ド は、 設定か ら 対象範囲を削除 し ます。 394 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/ospf/if < イ ン タ フ ェ ース 番号 > [OSPF Interface Menu] [OSPF Interface aindex prio cost hello dead trans retra auth key md5key ena dis 1 Menu] Set area index Set interface router priority Set interface cost Set hello interval in seconds Set dead interval in seconds Set transmit delay in seconds Set retransmit delay in seconds Set authentication type - Set password authentication key Set MD5 authentication key - Enable interface - Disable interface [OSPF Interface Menu] は、 IP イ ン タ フ ェ ー ス ネ ッ ト ワ ー ク を OSPF エ リ アに接続す る 場合に使用 し ます。 デフ ォ ル ト では、 OSPF エ リ アは無効にな っ てい ます。 OSPF の使用方法の詳細については、 第 5 章、 「Open Shortest Path First」 を参照 し て く だ さ い。 注 - hello イ ン タ ーバル (hello) 、 dead イ ン タ ーバル (dead) 、 送信 イ ン タ ーバル (trans) 、 お よ び再送 イ ン タ ーバル (retra) は、 エ リ ア内のすべての OSPF ルー テ ィ ン グ デバ イ ス で同 じ にす る 必要があ り ます。 デバ イ ス間で値が異な っ てい る と 、 デバ イ ス同士の隣接関係が形成 さ れなか っ た り 、 ルーテ ィ ン グ更新がループす る 可能 性があ り ます。 [OSPF Interface Menu] の メ ニ ュ ー項目は以下の と お り です。 表 15-81 [OSPF Interface Menu] (/cfg/net/route/ospf/if) コ マ ン ド 構文 と 使用法 aindex < エ リ ア イ ンデ ッ ク ス (0 ~ 16) > こ の コ マ ン ド は、 現在の IP イ ン タ フ ェース のネ ッ ト ワー ク に接続す る OSPF エ リ ア イ ンデ ッ ク ス を設定 し ます。 デフ ォ ル ト 値は 0 です。 prio < 優先度値 (0 ~ 255) > こ の コ マ ン ド は、エ リ アに指定ルー タ ー (DR) お よ びバ ッ ク ア ッ プ指定ルー タ ー (BDR) を選択す る 場合に使用 さ れ る IP イ ン タ フ ェース (IF) 優先度値を設定 し ま す。 デ フ ォ ル ト 値は 0 (優先度な し ) です。 値が 0 の場合、 選択 し た イ ン タ フ ェ ー ス は DROTHER と な り 、 DR と BDR の ど ち ら に も 使用で き ない こ と を示 し ます。 cost < 出力 コ ス ト (1 ~ 65535) > こ の コ マ ン ド は、対象 イ ン タ フ ェース上の送信ルー ト の コ ス ト を設定 し ます。 コ ス ト は、 自律シ ス テ ム (AS) 全体におけ る 最短パ ス ツ リ ーの算出に使用 さ れま す。 コ ス ト は帯域幅をベー ス に し ま す。 コ ス ト が低いほ ど帯域幅が高 く な り ま す。 デフ ォ ル ト 値は 0 です。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 395 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-81 [OSPF Interface Menu] (/cfg/net/route/ospf/if) (続き) コ マ ン ド 構文 と 使用法 hello <hello イ ン タ ーバル (1 ~ 65535) > こ の コ マ ン ド は、 秒単位で hello イ ン タ ーバルを設定 し ます。 MIP が設定 さ れた Firewall Director は、 hello メ ッ セージ を送信 し て リ ン ク が正常に機能 し てい る こ と を ネ イ バに通知 し ます。 デフ ォ ル ト では 10 秒に設定 さ れます。 こ の値は、 同 一エ リ ア内のすべてのルーテ ィ ン グ デバ イ ス で同 じ にす る 必要があ り ます。 dead <dead イ ン タ ーバル (1 ~ 65535) > こ の コ マ ン ド は、 秒単位で dead イ ン タ ーバルを設定 し ます。 MIP が設定 さ れた Firewall Director は、 設定 さ れた dead イ ン タ ーバルの間に IP イ ン タ フ ェース で hello メ ッ セージ を受信 し なか っ た場合、 その イ ン タ フ ェ ース が機能 し ていな い こ と を通知 し ま す。 通常、 dead 値は hello 値の 4 倍です。 デフ ォ ル ト では 40 秒に設定 さ れ ます。 こ の値は、 同一エ リ ア内のすべてのルーテ ィ ン グ デバ イ ス で同 じ にす る 必要があ り ます。 trans < 送信遅延 (1 ~ 3600) > こ の コ マ ン ド は、 秒単位で送信遅延を設定 し ま す。 こ れは、 送信遅延 と 配信遅 延を考慮に入れた、 こ の イ ン タ フ ェ ー ス 上の隣接関係を確立 し たルー タ ーへの LSA 送信所要時間の推定値 と な り ま す。 デ フ ォ ル ト では 1 秒に設定 さ れ ま す。 こ の値は、 同一エ リ ア内のすべてのルーテ ィ ン グ デバ イ ス で同 じ にす る 必要が あ り ます。 retra < イ ン タ ーバル時間 (3 ~ 3600) > こ の コ マ ン ド は、 こ の イ ン タ フ ェ ー ス 上の隣接関係 を 確立 し た ルー タ ーへの LSA の各送信間の イ ン タ ーバル時間を秒単位で設定 し ま す。 デ フ ォ ル ト 値は 5 秒です。 こ の値は、 同一エ リ ア内のすべてのルーテ ィ ン グ デバ イ ス で同 じ にす る 必要があ り ます。 auth none|password|md5 こ の コ マ ン ド は、 対象 イ ン タ フ ェ ー ス の認証 タ イ プ を、 以下のいずれかのオプ シ ョ ン で設定 し ます。 none は OSPF 認証を オ フ に し ます。こ のオプシ ョ ンはデフ ォ ル ト で設定 さ れ ます。 password は、 プ レーン テ キ ス ト パ ス ワー ド 認証を オ ン に し ます。 パ ス ワー ド は key オプシ ョ ン を使用 し て設定 し ます。 md5 は、 MD5 (堅牢な暗号) パ ス ワー ド 認証を オ ンに し ます。 パ ス ワ ー ド は、 md5key オプシ ョ ン を使用 し て設定 し ます。 詳細については、 「認証」 (76 ページ) を参照 し て く だ さ い。 key < プ レーン テキス ト パスワー ド > こ のオプシ ョ ンは、 OSPF の auth オプシ ョ ン と と も に使用 し ます。 auth オプ シ ョ ン が password に設定 さ れてい る 場合、 key オプシ ョ ン は、 対象 IP イ ン タ フ ェ ー ス の OSPF 認証に使用 さ れ る パ ス ワ ー ド を設定 し ます。 最長 8 文字の プ レーン テ キ ス ト パ ス ワ ー ド を指定 し ます。 キーを ク リ アす る には、 値 と し て none を指定 し ます。 396 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-81 [OSPF Interface Menu] (/cfg/net/route/ospf/if) (続き) コ マ ン ド 構文 と 使用法 md5key <MD5 認証キー (最大 16 文字) > こ のオプシ ョ ンは、 IP イ ン タ フ ェ ース の OSPF 認証時のパ ス ワ ー ド を定義す る 場合に使用 し ます。 割 り 当て たパ ス ワー ド は、 MD5 認証が auth オプシ ョ ン で有効にな る ま で無視 さ れ ます。 ena こ の コ マ ン ド は、 対象 イ ン タ フ ェース を有効に し ます。 dis こ の コ マ ン ド は、 対象 イ ン タ フ ェース を無効に し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 397 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/ospf/gre < ト ン ネル番号 > [OSPF GRE Tunnel Menu] [OSPF GRE Tunnel 1 Menu] aindex - Set area index prio - Set interface router priority cost - Set interface cost hello - Set hello interval in seconds dead - Set dead interval in seconds trans - Set transmit delay in seconds retra - Set retransmit delay in seconds auth - Set authentication type key - Set password authentication key md5key - Set MD5 authentication key ena - Enable interface dis - Disable interface [OSPF GRE Tunnel Menu] は、 OSPF エ リ アに GRE ト ン ネル イ ン タ フ ェース を接続す る 場合に使用 し ま す。 OSPF の使用方法の詳細については、 第 5 章、 「Open Shortest Path First」 を参照 し て く だ さ い。 注 - hello イ ン タ ーバル(hello)、dead イ ン タ ーバル(dead)、送信遅延時間(trans)、 お よ び再送遅延時間 (retra) は、 エ リ ア内のすべての OSPF ルーテ ィ ン グ デバ イ ス で同 じ にす る 必要があ り ます。 デバ イ ス間で値が異な っ てい る と 、 デバ イ ス同士の 隣接関係が形成 さ れなか っ た り 、 ルーテ ィ ン グ更新がループす る 可能性があ り ます。 [OSPF GRE Tunnel Menu] の メ ニ ュ ー項目は以下の と お り です。 表 15-82 [OSPF GRE Tunnel Configuration Menu] (/cfg/net/route/ospf/gre) コ マ ン ド 構文 と 使用法 aindex < エ リ ア イ ンデ ッ ク ス (0 ~ 16) > こ の コ マ ン ド は、 現在の IP イ ン タ フ ェース のネ ッ ト ワー ク に接続す る OSPF エ リ ア イ ンデ ッ ク ス を設定 し ます。 デフ ォ ル ト 値は 0 です。 prio < 優先度値 (0 ~ 255) > こ の コ マ ン ド は、エ リ アに指定ルー タ ー (DR) お よ びバ ッ ク ア ッ プ指定ルー タ ー (BDR) を選択す る 場合に使用 さ れ る IP イ ン タ フ ェース (IF) 優先度値を設定 し ます。 デフ ォ ル ト 値は none (最低の優先度) です。 値が 0 の場合、 選択 し た イ ン タ フ ェ ー ス は DROTHER と な り 、 DR と BDR の ど ち ら に も 使用で き ない こ と を示 し ます。 cost < 出力 コ ス ト (1 ~ 65535) > こ の コ マ ン ド は、対象 イ ン タ フ ェース上の送信ルー ト の コ ス ト を設定 し ます。 コ ス ト は、 AS 全体におけ る 最短パ ス ツ リ ーの算出に使用 さ れ ます。 コ ス ト は帯域 幅をベー ス に し ま す。 コ ス ト が低いほ ど帯域幅が高 く な り ま す。 デフ ォ ル ト 値 は 10 です。 398 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-82 [OSPF GRE Tunnel Configuration Menu] (/cfg/net/route/ospf/gre) (続 き) コ マ ン ド 構文 と 使用法 hello <hello イ ン タ ーバル (1 ~ 65535) > こ の コ マ ン ド は、 秒単位で hello イ ン タ ーバルを設定 し ます。 MIP が設定 さ れた Firewall Director は、 hello メ ッ セージ を送信 し て リ ン ク が正常に機能 し てい る こ と を ネ イ バに通知 し ます。 デフ ォ ル ト では 10 秒に設定 さ れます。 こ の値は、 同 一エ リ ア内のすべてのルーテ ィ ン グ デバ イ ス で同 じ にす る 必要があ り ます。 dead <dead イ ン タ ーバル (1 ~ 65535) > こ の コ マ ン ド は、 秒単位で dead イ ン タ ーバルを設定 し ます。 MIP が設定 さ れた Firewall Director は、 設定 さ れた dead イ ン タ ーバルの間に IP イ ン タ フ ェース で hello メ ッ セージ を受信 し なか っ た場合、 その イ ン タ フ ェ ース が機能 し ていな い こ と を通知 し ま す。 通常、 dead 値は hello 値の 4 倍です。 デフ ォ ル ト では 40 秒に設定 さ れ ます。 こ の値は、 同一エ リ ア内のすべてのルーテ ィ ン グ デバ イ ス で同 じ にす る 必要があ り ます。 trans < 送信遅延 (0 ~ 3600) > こ の コ マ ン ド は、 秒単位で送信遅延を設定 し ま す。 こ れは、 送信遅延 と 配信遅 延を考慮に入れた、 こ の イ ン タ フ ェ ー ス 上の隣接関係を確立 し たルー タ ーへの LSA 送信所要時間の推定値 と な り ま す。 デ フ ォ ル ト では 1 秒に設定 さ れ ま す。 こ の値は、 同一エ リ ア内のすべてのルーテ ィ ン グ デバ イ ス で同 じ にす る 必要が あ り ます。 retra < イ ン タ ーバル時間 (0 ~ 3600) > こ の コ マ ン ド は、 こ の イ ン タ フ ェ ー ス 上の隣接関係 を 確立 し た ルー タ ーへの LSA の各送信間の イ ン タ ーバル時間を秒単位で設定 し ま す。 デ フ ォ ル ト 値は 5 秒です。 こ の値は、 同一エ リ ア内のすべてのルーテ ィ ン グ デバ イ ス で同 じ にす る 必要があ り ます。 auth none|password|md5 こ の コ マ ン ド は、 対象 イ ン タ フ ェ ー ス の認証 タ イ プ を、 以下のいずれかのオプ シ ョ ン で設定 し ます。 none は OSPF 認証を オ フ に し ます。 password は、 プ レーン テ キ ス ト パ ス ワー ド 認証を オ ン に し ます。 パ ス ワー ド は key オプシ ョ ン を使用 し て設定 し ます。 md5 は、 MD5 (堅牢な暗号) パ ス ワー ド 認証を オ ンに し ます。 パ ス ワ ー ド は、 md5key オプシ ョ ン を使用 し て設定 し ます。 詳細については、 「認証」 (76 ページ) を参照 し て く だ さ い。 key < プ レーン テキス ト パスワー ド > こ のオプ シ ョ ン は、 OSPF の auth オプシ ョ ン と と も に使用 し ま す。 auth オプ シ ョ ン が password に設定 さ れてい る 場合、 key オプシ ョ ン は、 対象 IP イ ン タ フ ェ ー ス の OSPF 認証に使用 さ れ る パ ス ワ ー ド を設定 し ます。 最長 8 文字の プ レーン テ キ ス ト パ ス ワー ド を指定 し ます。 キーを ク リ アす る には、 値 と し て none を指定 し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 399 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-82 [OSPF GRE Tunnel Configuration Menu] (/cfg/net/route/ospf/gre) (続 き) コ マ ン ド 構文 と 使用法 md5key <MD5 認証キー > こ のオプシ ョ ンは、 IP イ ン タ フ ェ ース の OSPF 認証時のパ ス ワ ー ド を定義す る 場合に使用 し ます。 割 り 当て たパ ス ワー ド は、 MD5 認証が auth オプシ ョ ン で有効にな る ま で無視 さ れ ます。 ena こ の コ マ ン ド は、 対象 イ ン タ フ ェース を有効に し ます。 dis こ の コ マ ン ド は、 対象 イ ン タ フ ェース を無効に し ます。 400 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/ospf/virt < リ ン ク番号 > [OSPF Virtual Link Menu] [OSPF Virtual aindex nbr hello dead trans retra auth key md5key ena dis del Link 1 Menu] - Set area index - Set virtual neighbor router - Set hello interval in seconds - Set dead interval in seconds - Set transmit delay in seconds - Set retransmit delay in seconds - Set authentication type - Set password authentication key - Set MD5 authentication key - Enable virtual link - Disable virtual link - Remove OSPF Virtual Link 仮想 リ ン ク は通常、 あ る エ リ ア を別の非バ ッ ク ボーン エ リ ア を介 し てバ ッ ク ボーン に接続す る 場合に作成 し ます。 仮想 リ ン ク は、 その仮想 リ ン ク のエ ン ド ポ イ ン ト ご と に設定す る 必要があ り ま すが、 複数のルーテ ィ ン グ デバ イ ス を経由 さ せ る こ と も で き ます。 デフ ォ ルト では、 仮想リ ン ク は無効になっ ていま す。 仮想 リ ン ク を設定す る には、最低で も こ の メ ニ ュ ーの aindex コ マ ン ド と nbr コ マ ン ド 、 お よ び [OSPF Menu] (390 ページ を参照) の rtrid コ マ ン ド のオプシ ョ ン を設 定す る 必要があ り ます。 OSPF の使用方法の詳細については、 第 5 章、 「Open Shortest Path First」 を参照 し て く だ さ い。 注 - hello イ ン タ ーバル(hello)、dead イ ン タ ーバル(dead)、送信遅延時間(trans)、 お よ び再送遅延時間 (retra) は、 エ リ ア内のすべての OSPF ルーテ ィ ン グ デバ イ ス で同 じ にす る 必要があ り ます。 デバ イ ス間で値が異な っ てい る と 、 デバ イ ス同士の 隣接関係が形成 さ れなか っ た り 、 ルーテ ィ ン グ更新がループす る 可能性があ り ます。 表 15-83 [OSPF Virtual Link Menu Options] (/cfg/net/route/ospf/virt) コ マ ン ド 構文 と 使用法 aindex < エ リ ア 番号 (1 ~ 16) > こ の コ マ ン ド は、 仮想 リ ン ク が通過す る OSPF エ リ ア イ ンデ ッ ク ス を設定 し ま す。 デフ ォ ル ト のエ リ ア イ ンデ ッ ク ス は 1 です。 nbr < ルー タ ー ID (例 : 192.4.17.101) > こ の コ マ ン ド は、 近隣関係の受信側ネ イ バ (仮想 リ ン ク のエ ン ド ポ イ ン ト ) の ルー タ ー ID を設定 し ます。 近隣関係の受信側ルー タ ー ID は、 ド ッ ト 付 き 10 進 表記で指定 し ます。 デフ ォ ル ト のルー タ ー ID は 0.0.0.0 に設定 さ れ ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 401 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-83 [OSPF Virtual Link Menu Options] (/cfg/net/route/ospf/virt) コ マ ン ド 構文 と 使用法 hello < 値 (1 ~ 65535) > こ の コ マ ン ド は、 秒単位で hello イ ン タ ーバルを設定 し ます。 MIP が設定 さ れた Firewall Director は、 hello メ ッ セージ を送信 し て リ ン ク が正常に機能 し てい る こ と を その他のネ ッ ト ワ ー ク デバ イ ス に通知 し ま す。 デフ ォ ル ト では 10 秒に設 定 さ れ ます。 こ の値は、 同一エ リ ア内のすべてのルーテ ィ ン グ デバ イ ス で同 じ にす る 必要があ り ます。 dead <dead イ ン タ ーバル (1 ~ 65535) > こ の コ マ ン ド は、 秒単位で dead イ ン タ ーバルを設定 し ます。 MIP が設定 さ れた Firewall Director は、 設定 さ れた dead イ ン タ ーバルの間に IP イ ン タ フ ェース で hello メ ッ セージ を受信 し なか っ た場合、 その仮想 リ ン ク が機能 し ていない こ と を通知 し ます。 通常、 dead 値は hello 値の 4 倍です。 デフ ォ ル ト では 40 秒に設 定 さ れ ます。 こ の値は、 同一エ リ ア内のすべてのルーテ ィ ン グ デバ イ ス で同 じ にす る 必要があ り ます。 trans < 送信遅延 (1 ~ 3600) > こ の コ マ ン ド は、 秒単位で送信遅延を設定 し ま す。 こ れは、 送信遅延 と 配信遅 延を考慮に入れた、 隣接関係を確立 し たルー タ ーへの LSA 送信所要時間の推定 値 と な り ます。 デフ ォ ル ト では 1 秒に設定 さ れ ます。 こ の値は、 同一エ リ ア内 のすべてのルーテ ィ ン グ デバ イ ス で同 じ にす る 必要があ り ます。 retra < イ ン タ ーバル時間 (3 ~ 3600) > こ の コ マ ン ド は、 隣接関係を確立 し たルー タ ーへの LSA の各送信間の イ ン タ ー バル時間を秒単位で設定 し ま す。 デフ ォ ル ト では 5 秒に設定 さ れ ます。 こ の値 は、 同一エ リ ア内のすべてのルーテ ィ ン グ デバ イ ス で同 じ にす る 必要があ り ま す。 auth none|password|md5 こ の コ マ ン ド は、 対象 イ ン タ フ ェ ー ス の認証 タ イ プ を、 以下のいずれかのオプ シ ョ ン で設定 し ます。 none は OSPF 認証を オ フ に し ます。こ のオプシ ョ ンはデフ ォ ル ト で設定 さ れ ます。 password は、 プ レーン テ キ ス ト パ ス ワー ド 認証を オ ン に し ます。 パ ス ワー ド は key オプシ ョ ン を使用 し て設定 し ます。 md5 は、 MD5 (堅牢な暗号) パ ス ワー ド 認証を オ ンに し ます。 パ ス ワ ー ド は、 md5key オプシ ョ ン を使用 し て定義 し ます。 詳細については、 「認証」 (76 ページ) を参照 し て く だ さ い。 key < プ レーン テキス ト パスワー ド > こ のオプシ ョ ンは、 OSPF の auth オプシ ョ ン と と も に使用 し ます。 auth オプ シ ョ ン が password に設定 さ れてい る 場合、 key オプシ ョ ン は、 対象 IP イ ン タ フ ェ ー ス の OSPF 認証に使用 さ れ る パ ス ワ ー ド を設定 し ます。 最長 8 文字の プ レーン テ キ ス ト パ ス ワ ー ド を指定 し ます。 キーを ク リ アす る には、 値 と し て none を指定 し ます。 402 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-83 [OSPF Virtual Link Menu Options] (/cfg/net/route/ospf/virt) コ マ ン ド 構文 と 使用法 md5key <MD5 認証キー (1 ~ 16 文字) > こ のオプシ ョ ンは、 IP イ ン タ フ ェ ース の OSPF 認証時のパ ス ワ ー ド を定義す る 場合に使用 し ます。 割 り 当て たパ ス ワー ド は、 MD5 認証が auth オプシ ョ ン で有効にな る ま で無視 さ れ ます。 ena こ の コ マ ン ド は、 対象の仮想 リ ン ク を有効に し ます。 dis こ の コ マ ン ド は、 対象の仮想 リ ン ク を無効に し ます。 del こ の コ マ ン ド は、 こ の仮想 リ ン ク を設定か ら 削除 し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 403 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/ospf/redist [Route Redistribution Menu] [Route Redistribution Menu] connected - Connected Route Redistribution Menu static - Static Route Redistribution Menu rip - RIP Route Redistribution Menu defaultgw - Default Gateway Redistribution Menu [Route Redistribution Menu] は、 ス タ テ ィ ッ ク ルー ト 、 RIP ルー ト 、 接続ルー ト 、 お よ びデフ ォ ル ト ゲー ト ウ ェ イ ルー ト を、OSPF に よ っ て再分配す る こ と がで き ます。 あ る ルーテ ィ ン グ プ ロ ト コ ルか ら 取得 さ れ る ルー ト を ネ ッ ト ワ ー ク 上で再分配す る に は、 そのプ ロ ト コ ルを有効にす る 必要があ り ます。 デフ ォ ル ト では、 すべての再分配 が無効にな っ てい ます。 表 15-84 [Route Redistribution Menu] (/cfg/net/route/ospf/redist) コ マ ン ド 構文 と 使用法 connected [Connected Route Redistribution Menu] は、 OSPF を介 し て接続ルー ト を ア ド バ タ イ ジ ン グす る 場合に使用 し ます。 メ ニ ュ ー項目については、 405 ページ を参照 し て く だ さ い。 static [Static Route Redistribution Menu] は、OSPF を介 し て ス タ テ ィ ッ ク ルー ト を ア ド バ タ イ ジ ン グす る 場合に使用 し ます。 メ ニ ュ ー項目については、 406 ページ を参照 し て く だ さ い。 rip [Route Redistribution Menu] は、OSPF を介 し て RIP ルー ト を ア ド バ タ イ ジ ン グす る 場合に使用 し ます。 メ ニ ュ ー項目については、 407 ページ を参照 し て く だ さ い。 defaultgw [OSPF Default Gateway Route Redistribution Menu] は、 OSPF を介 し てデフ ォ ル ト ゲー ト ウ ェ イ ルー ト を ア ド バ タ イ ジ ン グす る 場合に使用 し ます。 メ ニ ュ ー項目については、 408 ページ を参照 し て く だ さ い。 404 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/ospf/redist/connected [OSPF Connected Route Redistribution Menu] [OSPF Connected Route Redistribution Menu] metric - Set metric assigned to connected routes rmap - Set OSPF Connected Redistribute RMAP Number ena - Enable redistribution of connected routes dis - Disable redistribution of connected routes [OSPF Connected Route Redistribution Menu] は、 接続 さ れてい る ルー ト を OSPF 内に 再配布す る 場合に使用 し ます。 デフ ォ ル ト では、 接続ルー ト の再分配は無効にな っ て い ます。 表 15-85 [OSPF Connected Route Redistribution Menu] (/cfg/net/route/ospf/redist/connected) コ マ ン ド 構文 と 使用法 metric < 値 (0 ~ 16777214) > < タ イ プ (t1 | t2) > こ の コ マ ン ド は、 ア ド バ タ イ ジ ン グ さ れ る 接続ルー ト の メ ト リ ッ ク を設定 し ま す。 メ ト リ ッ ク の値は、 0 ~ 16777214 の範囲で、 ルー ト の相対的な コ ス ト に応 じ て指定 し ます。 こ の コ ス ト が高 く な る ほ ど、 ルー ト の優先度は低 く な り ます。 デ フ ォ ル ト の メ ト リ ッ ク 値は 10 です。 0 は null メ ト リ ッ ク 値 を 示 し ま す。 デ フ ォ ル ト の メ ト リ ッ ク タ イ プは t1 です。 t1 : OSPF 外部ルー ト の タ イ プ 1 メ ト リ ッ ク を設定 し ます。 t2 : OSPF 外部ルー ト の タ イ プ 2 メ ト リ ッ ク を設定 し ます。 rmap こ の コ マ ン ド は、 OSPF に再分配 さ れ る 接続ルー ト の RMAP 番号を設定 し ます。 デフ ォ ル ト 値は 1 です。 enable こ の コ マ ン ド は、 接続ルー ト のア ド バ タ イ ジ ン グ機能を有効に し ます。 disable こ の コ マ ン ド は、 接続ルー ト のア ド バ タ イ ジ ン グ機能を無効に し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 405 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/ospf/redist/static [OSPF Static Route Redistribution Menu] [OSPF Static Route Redistribution Menu] metric - Set metric assigned to static routes rmap - Set OSPF Static Redistribute RMAP Number ena - Enable redistribution of static routes dis - Disable redistribution of static routes [OSPF Static Route Redistribution Menu] は、 ス タ テ ィ ッ ク ルー ト を OSPF に再分配す る 場合に使用 し ま す。 デフ ォ ル ト では、 ス タ テ ィ ッ ク ルー ト の再分配は無効にな っ てい ます。 表 15-86 [OSPF Static Route Redistribution Menu] (/cfg/net/route/ospf/redist/static) コ マ ン ド 構文 と 使用法 metric < 値 (0 ~ 16777214) > こ の コ マ ン ド は、 ア ド バ タ イ ジ ン グ さ れ る ス タ テ ィ ッ ク ルー ト の メ ト リ ッ ク を 設定 し ます。 メ ト リ ッ ク の値は、 1 ~ 16777214 の範囲で、 ルー ト の相対的な コ ス ト に応 じ て指定 し ま す。 こ の コ ス ト が高 く な る ほ ど、 ルー ト の優先度は低 く な り ます。 デフ ォ ル ト の メ ト リ ッ ク 値は 10 です。 0 は null メ ト リ ッ ク 値を示 し ます。 rmap こ の コ マ ン ド は、 OSPF に再分配 さ れ る ス タ テ ィ ッ ク ルー ト の RMAP 番号を設 定 し ます。 デフ ォ ル ト 値は 0 です。 enable こ の コ マ ン ド は、ス タ テ ィ ッ ク ルー ト のア ド バ タ イ ジ ン グ機能を有効に し ます。 disable こ の コ マ ン ド は、ス タ テ ィ ッ ク ルー ト のア ド バ タ イ ジ ン グ機能を無効に し ます。 406 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/ospf/redist/rip [OSPF RIP Route Redistribution Menu] [OSPF RIP Route Redistribution Menu] metric - Set metric assigned to routes originating from RIP rmap - Set OSPF RIP Redistribute RMAP Number ena - Enable redistribution of RIP routes dis - Disable redistribution of RIP routes [OSPF RIP Route Redistribution Menu] は、 RIP ルー ト を OSPF に再分配す る 場合に使 用 し ます。 デフ ォ ル ト では、 RIP ルー ト の再分配は無効にな っ てい ます。 表 15-87 [OSPF RIP Route Redistribution Menu] (/cfg/net/route/ospf/redist/rip) コ マ ン ド 構文 と 使用法 metric < 値 (0 ~ 16777214) > < タ イ プ (t1 | t2) > こ の コ マ ン ド は、 ア ド バ タ イ ジ ン グ さ れ る RIP ルー ト の メ ト リ ッ ク を設定 し ま す。 メ ト リ ッ ク の値は、 1 ~ 16777214 の範囲で、 ルー ト の相対的な コ ス ト に応 じ て指定 し ます。 こ の コ ス ト が高 く な る ほ ど、 ルー ト の優先度は低 く な り ます。 デ フ ォ ル ト の メ ト リ ッ ク 値は 10 です。 0 は null メ ト リ ッ ク 値 を 示 し ま す。 デ フ ォ ル ト の メ ト リ ッ ク タ イ プは t1 です。 t1 : OSPF 外部ルー ト の タ イ プ 1 メ ト リ ッ ク を設定 し ます。 t2 : OSPF 外部ルー ト の タ イ プ 2 メ ト リ ッ ク を設定 し ます。 rmap こ の コ マ ン ド は、 OSPF に再分配 さ れ る RIP ルー ト の RMAP 番号を設定 し ます。 デフ ォ ル ト 値は 0 です。 enable こ の コ マ ン ド は、 RIP ルー ト のア ド バ タ イ ジ ン グ機能を有効に し ます。 disable こ の コ マ ン ド は、 RIP ルー ト のア ド バ タ イ ジ ン グ機能を無効に し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 407 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/ospf/redist/defaultgw [OSPF Default Gateway Route Redistribution Menu] [OSPF Default Gateway Route Redistribution Menu] metric - Set metric assigned to default gateway routes ena - Enable redistribution of default gateway routes dis - Disable redistribution of default gateway routes [OSPF Default Gateway Route Redistribution Menu] は、 デフ ォ ル ト ゲー ト ウ ェ イ ルー ト を OSPF に再分配す る 場合に使用 し ます。デフ ォ ル ト では、デフ ォ ル ト ゲー ト ウ ェ イ ルー ト の再分配は無効にな っ てい ます。 表 15-88 [OSPF Default Gateway Route Redistribution Menu] (/cfg/net/route/ospf/redist/defaultgw) コ マ ン ド 構文 と 使用法 metric < 値 (0 ~ 16777214) > こ の コ マ ン ド は、 ア ド バ タ イ ジ ン グ さ れ る デフ ォ ル ト ゲー ト ウ ェ イ ルー ト の メ ト リ ッ ク を設定 し ます。 メ ト リ ッ ク の値は、 1 ~ 6777214 の範囲で、 ルー ト の相 対的な コ ス ト に応 じ て指定 し ま す。 こ の コ ス ト が高 く な る ほ ど、 ルー ト の優先 度は低 く な り ます。 デフ ォ ル ト の メ ト リ ッ ク 値は 10 です。 0 は null メ ト リ ッ ク 値を示 し ます。 enable こ の コ マ ン ド は、 デフ ォ ル ト ゲー ト ウ ェ イ ルー ト のア ド バ タ イ ジ ン グ機能を有 効に し ます。 disable こ の コ マ ン ド は、 デフ ォ ル ト ゲー ト ウ ェ イ ルー ト のア ド バ タ イ ジ ン グ機能を無 効に し ます。 408 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/pim [PIM Routing Menu] [pimd Menu] vlan RPcand BSRcand ena dis - Multicast VLAN Menu RPcand menu BSRcand menu Enable PIM Routing Disable PIM Routing [PIM Routing Menu] は、 NSF フ ァ イ ア ウ ォールに対 し て PIM-SM を設定す る 場合に使 用 し ます。 最 も 単純な設定方法は、 最低 2 つの VLAN に対 し て PIM を有効にす る 方 法です。 表 15-89 [PIM Routing Menu] (/cfg/net/route/pim) コ マ ン ド 構文 と 使用法 vlan <1 ~ 4093> こ の コ マ ン ド は、 PIM に対 し て VLAN を 割 り 当 て る 場合に使用 し ま す。 ま ず cfg/net/vlan メ ニ ュ ー コ マ ン ド を使用 し て最低 2 つの VLAN を設定 し てか ら 、 こ の メ ニ ュ ーでそれ ら の VLAN を受信お よ び送信 PIM ト ラ フ ィ ッ ク 用に指 定 し ます。 メ ニ ュ ー項目については、 410 ページ を参照 し て く だ さ い。 RPcand こ の コ マ ン ド は、 ラ ンデブー ポ イ ン ト 候補 (RP 候補) ルー タ ーの設定に使用 し ま す。 こ のルー タ ーは共有ツ リ ーのルー ト と な る ため、 最大容量のルー タ ーを 指定す る 必要があ り ます。 メ ニ ュ ー項目については、 411 ページ を参照 し て く だ さ い。 BSRcand こ の コ マ ン ド は、 NSF フ ァ イ ア ウ ォールを ブー ト ス ト ラ ッ プ候補 (BSR 候補) と し て設定す る 場合に使用 し ます。 RP 候補 と BSR 候補は、 同一のルー タ ーに設定 す る こ と をお勧め し ます。 メ ニ ュ ー項目については、 413 ページ を参照 し て く だ さ い。 ena PIM ルーテ ィ ン グ を有効に し ます。 dis PIM ルーテ ィ ン グ を無効に し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 409 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/pim/vlan <vlan 番号 > [PIM VLAN Menu] [PIM VLAN <vlan_#> Menu] ena - Enable pimd routing on VLAN dis - Disable pimd routing on VLAN [PIM VLAN Menu] は、 指定 し た VLAN に対 し て PIM ルーテ ィ ン グ を有効ま たは無効 にす る 場合に使用 し ます。 表 15-90 [PIM VLAN Menu] (/cfg/net/route/pim/vlan) コ マ ン ド 構文 と 使用法 ena 指定 し た VLAN に対 し て PIM ルーテ ィ ン グ を有効に し ます。 dis 指定 し た VLAN に対 し て PIM ルーテ ィ ン グ を無効に し ます。 410 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/pim/RPcand [Candidate RP Menu] [Candidate RP Menu] localaddr - Set Local Address to be used in Cand RP msgs time - Set How often to send Cand-RP message priority - Set smaller value means higher priority advprefixe - Advertise prefixes in Candidate RP messages ena - Enable pimd to be Candidate RP dis - Disable pimd to be Candidate RP [Candidate RP Menu] は、 NSF フ ァ イ ア ウ ォ ールが RP ルー タ ー候補 と し て機能す る よ う に設定す る 場合に使用 し ます。 RP 候補 と BSR 候補は、 同一のルー タ ーに設定す る こ と をお勧め し ます。[RPcand] コ マ ン ド の「RP」は大文字で入力す る 必要があ り ます。 表 15-91 [Candidate RP Menu] (/cfg/net/route/pim/rpcand) コ マ ン ド 構文 と 使用法 localaddr こ の コ マ ン ド は、 設定済みの NSF イ ン タ フ ェ ー ス の いずれか の ア ド レ ス を、 cand-RP のア ド レ ス と し て指定す る 場合に使用 し ます。 time <10 ~ 3600> こ の コ マ ン ド は、cand-RP メ ッ セージの送信 イ ン タ ーバルを秒単位で設定す る 場 合に使用 し ます。 デフ ォ ル ト 値は 30 秒です。 priority <0 ~ 255> こ の コ マ ン ド は、 こ の cand-RP ルー タ ーの優先度を設定す る 場合に使用 し ます。 値が小 さ いほ ど優先度が高 く な り ます。 デフ ォ ル ト 値は 20 です。 advprefixe こ の コ マ ン ド は、 cand-RP ルー タ ー用のア ド バ タ イ ジ ン グ プ レ フ ィ ッ ク ス を設 定す る 場合に使用 し ます。 メ ニ ュ ー項目については、 412 ページ を参照 し て く だ さ い。 ena cand-RP を有効に し ます。 dis cand-RP を無効に し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 411 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/pim/RPcand/advprefix [Cand RP Advertise Prefixes Menu] [Cand RP Advertise list del add insert move - Prefixes Menu] List all values Delete a value by number Add a new value Insert a new value Move a value by number [Cand RP Advertise Prefixes Menu] は、 cand-RP ルー タ ー用の ア ド バ タ イ ジ ン グ プ レ フ ィ ッ ク ス マルチキ ャ ス ト グループ を設定す る 場合に使用 し ます。 表 15-92 [Cand RP Advertise Prefixes Menu] (/cfg/net/route/pim/rpcand/advprefix) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 すべての cand-RP ルー タ ーを、 その イ ンデ ッ ク ス番号 と IP ア ド レ ス で表示 し ます。 del < イ ンデ ッ ク ス番号 > こ の コ マ ン ド を使用す る と 、 指定 し た イ ンデ ッ ク ス 番号の cand-RP ルー タ ーを 削除で き ま す。 list コ マ ン ド を使用 し て、 すべての cand-RP ルー タ ーの イ ン デ ッ ク ス番号 と IP ア ド レ ス を表示 し ます。 addr <IP ア ド レ ス > < マス ク > こ の コ マ ン ド を使用す る と 、 ア ド バ タ イ ジ ン グ さ せ る 新 し い cand-RP ルー タ ー を追加で き ま す。 ネ ッ ト ワ ー ク ア ド レ ス に 224.0.0.0、 マ ス ク に 240.0.0.0 を指 定 し て、 マルチキ ャ ス ト グループ全体を指定す る こ と をお勧め し ます。 insert < ア ド バ タ イ ズするグループ プ レ フ ィ ッ ク ス > < グループ プ レ フ ィ ッ ク スのネ ッ ト ワー ク マス ク > こ の コ マ ン ド を使用す る と 、新 し い cand-RP ルー タ ーを リ ス ト に追加で き ます。 指定 し た イ ンデ ッ ク ス 番号お よ びそれ以降の番号が設定 さ れた既存のサーバー については、 それぞれの イ ンデ ッ ク ス番号に 1 が足 さ れ ます。 move <from イ ンデ ッ ク ス番号 > <to イ ンデ ッ ク ス番号 > こ の コ マ ン ド は、指定 さ れた from イ ンデ ッ ク ス番号の cand-RP ルー タ ー番号を 削除 し た後、 指定 さ れた to イ ンデ ッ ク ス番号の位置に挿入 し ます。 412 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/pim/BSRcand [Candidate BootStrap Menu] [Candidate BootStrap Menu] localaddr - Set Local Address to be used in Cand BootStrap msgs priority - Set larger value means higher priority ena - Enable pimd to be Candidate BSR dis - Disable pimd to be Candidate BSR [Candidate BootStrap Menu] は、 NSF フ ァ イ ア ウ ォ ールが BSR 候補 と し て機能す る よ う に設定す る 場合に使用 し ます。 RP 候補 と BSR 候補は、 同一のルー タ ーに設定す る こ と をお勧め し ます。 [BSRcand] コ マ ン ド の 「BSR」 は大文字で入力す る 必要があ り ます。 表 15-93 [Candidate BootStrap Menu] (/cfg/net/route/pim/bsrcand) コ マ ン ド 構文 と 使用法 localaddr こ の コ マ ン ド は、設定済みの NSF イ ン タ フ ェース のいずれかのア ド レ ス を、BSR 候補のア ド レ ス と し て指定す る 場合に使用 し ま す。 指定す る イ ン タ フ ェ ー ス と VLAN に対 し て、 PIM を有効に し てお く 必要があ り ます。 priority <0 ~ 255> こ の コ マ ン ド は、 こ の BSR 候補の優先度を設定す る 場合に使用 し ます。 値が大 き いほ ど優先度が高 く な り ます。 デフ ォ ル ト 値は 5 です。 ena こ の コ マ ン ド は、 PIM デーモ ン を BSR 候補 と し て有効に し ます。 dis こ の コ マ ン ド は、 PIM デーモ ン を BSR 候補 と し て無効に し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 413 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/route/misc [Miscellaneous Routing Settings Menu] [Miscellaneous Routing Settings Menu] ftime - Set Maximum route freeze time [Miscellaneous Routing Settings Menu] は、 config デーモ ン に 「擬似 タ イ マ」 を設定 し 、 MIP Firewall Director の フ ェ イ ルオーバー中 も ルー ト を その ま ま 保持す る 場合に使用 し ます。 表 15-94 [Miscellaneous Routing Settings Menu] (/cfg/net/route/misc) コ マ ン ド 構文 と 使用法 ftime <1 ~ 3600> こ の コ マ ン ド は、 ルー ト を config デーモ ン で保持す る 最長時間を秒単位で設定 す る 場合に使用 し ます。 デフ ォ ル ト 値は 120 秒です。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 414 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/dhcprl [DHCP Relay Menu] [DHCP Relay Menu] if server ena dis clrlocsts clrmipsts - DHCP Relay Interface Menu DHCP Server Menu Enable DHCP Relay Disable DHCP Relay Clear local DHCP Relay stats Clear DHCP Relay stats on MIP [DHCP Relay Menu] は、NSF に関す る DHCP リ レー コ マ ン ド の設定に使用 し ます。デ フ ォ ル ト では、 DHCP リ レー機能は無効にな っ てい ます。 表 15-95 [DHCP Relay Menu] (/cfg/net/dhcprl) コ マ ン ド 構文 と 使用法 if < 値 1 ~ 255> こ の コ マ ン ド は、 指定 し た イ ン タ フ ェ ース を介 し て DHCP 要求がネ ッ ト ワー ク に送信 さ れ る よ う に設定す る 場合に使用 し ます。 メ ニ ュ ー項目については、 416 ページ を参照 し て く だ さ い。 server < 値 1 ~ 8> こ の コ マ ン ド は、NSF 設定に DHCP サーバー情報を追加す る 場合に使用 し ます。 メ ニ ュ ー項目については、 417 ページ を参照 し て く だ さ い。 ena こ の コ マ ン ド は、 DHCP リ レー機能の使用を グ ロ ーバルに有効に し ます。 dis こ の コ マ ン ド は、 DHCP リ レー機能の使用を グ ロ ーバルに無効に し ます。 clrlocsts こ の コ マ ン ド は、ロ ーカルの Firewall Director 上の DHCP ス タ テ ィ ス テ ィ ッ ク ス デー タ を ク リ ア し ます。 clrmipsts こ の コ マ ン ド は、 MIP 上の DHCP ス タ テ ィ ス テ ィ ッ ク ス デー タ を ク リ ア し ま す。 すべての DHCP ス タ テ ィ ス テ ィ ッ ク ス デー タ は MIP に送信 さ れ ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 415 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/dhcprl/if < 番号 > [DHCP Relay Interface Menu] [DHCP Relay Interface 1 Menu] ena - Allow DHCP Relay on Interface dis - Disable DHCP Relay on Interface [DHCP Relay Interface Menu] は、 ネ ッ ト ワー ク への DHCP リ レー要求を設定す る 場合 に使用 し ます。デフ ォ ル ト では、DHCP リ レー イ ン タ フ ェース は無効にな っ てい ます。 表 15-96 [DHCP Relay Interface Menu] (/cfg/net/dhcprl/if) コ マ ン ド 構文 と 使用法 ena こ の コ マ ン ド を使用す る と 、 こ の イ ン タ フ ェ ー ス を介 し て、 DHCP ク ラ イ ア ン ト がネ ッ ト ワー ク にア ク セ スす る よ う 設定で き ます。 dis こ の コ マ ン ド を使用す る と 、 こ の イ ン タ フ ェ ース を介 し て DHCP ク ラ イ ア ン ト がネ ッ ト ワー ク にア ク セ ス し ない よ う 設定で き ます。 416 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/dhcprl/server < 番号 > [DHCP Server < 番号 > Menu] [DHCP Server 1 Menu] addr - Set DHCP Server IP address ena - Enable DHCP Server dis - Disable DHCP Server del - Remove DHCP Server [DHCP Server Menu] は、 NSF の設定に DHCP サーバーの情報を追加す る 場合に使用 し ます。 デフ ォ ル ト では、 DHCP サーバーは無効にな っ てい ます。 表 15-97 [DHCP Server Menu] (/cfg/net/dhcprl/server) コ マ ン ド 構文 と 使用法 addr <DHCP サーバーの IP ア ド レ ス > こ の コ マ ン ド は、 シ ス テ ム設定に DHCP サーバーを追加 し ます。 こ の コ マ ン ド で追加 し た DHCP サーバーは、 ネ ッ ト ワ ー ク にア ク セ スす る ク ラ イ ア ン ト に IP ア ド レ ス と デフ ォ ル ト ゲー ト ウ ェ イ を与え ます。 DHCP サーバーは ク ラ イ ア ン ト か ら IP ア ド レ ス要求を受信す る と 、 ク ラ イ ア ン ト の送信元ネ ッ ト ワ ー ク を 調べて有効な IP ア ド レ ス の範囲 を 特定 し ま す。 デ フ ォ ル ト 値は 0.0.0.0 に設定 さ れ ます。 ena こ の コ マ ン ド は、 指定 し た DHCP サーバーを使用可能に し ます。 dis こ の コ マ ン ド は、 指定 し た DHCP サーバーを使用不可に し ます。 del こ の コ マ ン ド は、 指定 し た DHCP サーバーを NSF の設定か ら 削除 し 、 使用で き ない よ う に し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 417 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/mirr [Port Mirroring Menu] [Port Mirroring ena dis monport Menu] - Enable Port Mirroring - Disable Port Mirroring - Monitoring Port-based PM Menu [Port Mirroring Menu] は、 ポー ト を監視す る ための設定に使用 し ます。 表 15-98 [Port Mirroring Menu] (/cfg/net/mirr) コ マ ン ド 構文 と 使用法 ena こ の コ マ ン ド は、 ポー ト の ミ ラ ー リ ン グ機能を有効に し ます。 dis こ の コ マ ン ド は、 ポー ト の ミ ラ ー リ ン グ機能を無効に し ます。 monport < ポー ト 番号 > [Monitoring Port Menu] は、 ポー ト の監視に関す る 設定に使用 し ます。 < ポー ト 番 号 > には、 Firewall Accelerator 上のネ ッ ト ワ ー ク ポー ト の番号を指定す る 必要 があ り ます。 メ ニ ュ ー項目については、 419 ページ を参照 し て く だ さ い。 418 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/mirr/monport [Monitoring Port Menu] [Monitoring Port <number> Menu] edit - Add/Delete Ports to be Mirrored del - Remove Monitoring Port [Monitoring Port Menu] は、 監視す る ポー ト の設定に使用 し ます。 表 15-99 [Monitoring Port Menu] (/cfg/net/mirr/monport) コ マ ン ド 構文 と 使用法 edit こ の コ マ ン ド は、 ミ ラ ー リ ン グ対象ポー ト を追加ま たは削除 し ます。 メ ニ ュ ー項目については、 420 ページ を参照 し て く だ さ い。 del こ の コ マ ン ド は、 監視対象ポー ト を削除 し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 419 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/mirr/monport/edit [Mirrored Ports Menu] [Mirrored Ports Menu] list - List all values del - Delete a value by number add - Add a new value [Mirrored Ports Menu] は、 監視す る ミ ラ ー リ ン グ対象ポー ト の設定に使用 し ます。 表 15-100 [Mirrored Ports Menu] (/cfg/net/mirr/monport/edit) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 ミ ラ ー リ ン グ対象ポー ト を リ ス ト 表示 し ます。 del こ の コ マ ン ド は、 ミ ラ ー リ ン グ対象ポー ト を削除 し ます。 add こ の コ マ ン ド は、 ポー ト を監視対象 と し て追加 し ます。 420 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/idslb [IDS Load Balancing Menu] [IDS Load Balancing Menu] group - IDS Server Group Menu ena - Enables IDS Load Balancing dis - Disables IDS Load Balancing [IDS Load Balancing Menu] は、 Firewall Accelerator に接続 さ れてい る IDS サーバーの ロ ー ド バ ラ ン シ ン グに関す る 設定に使用 し ま す。 デフ ォ ル ト では、 IDS ロ ー ド バ ラ ン シ ン グ機能は無効にな っ てい ます。 表 15-101 [IDS Load Balancing Menu] (/cfg/net/idslb) コ マ ン ド 構文 と 使用法 group <IDS グループ番号 (1 ~ 5) > [IDS Server Group Menu] は、IDS サーバーを ロ ー ド バ ラ ン シ ン グす る ためのポー ト を設定す る 場合に使用 し ます。 <IDS グループ番号 > には 1 ~ 5 の番号を指定 す る 必要があ り ます。 メ ニ ュ ー項目については、 422 ページ を参照 し て く だ さ い。 ena こ の コ マ ン ド は、 IDS ロ ー ド バ ラ ン シ ン グ機能を有効に し ます。 dis こ の コ マ ン ド は、 IDS ロ ー ド バ ラ ン シ ン グ機能を無効に し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 421 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/idslb/group < サーバー グループ 番号 > [IDS Server Group Menu] [IDS Server Group 1 Menu] port - IDS Group Member Ports Menu ena - Enable IDS group dis - Disable IDS group del - Remove IDS Server Group [IDS Server Group Menu] は、 IDS サーバーを ロ ー ド バ ラ ン シ ン グす る ためのポー ト を 設定す る 場合に使用 し ます。 デフ ォ ル ト では、 IDS サーバー グループは無効にな っ て い ます。 表 15-102 [IDS Server Group Menu] (/cfg/net/idslb/group) コ マ ン ド 構文 と 使用法 port こ の コ マ ン ド は、 < 番号 > で指定 し た IDS サーバー グループ内のポー ト を リ ス ト 表示 し ます。 メ ニ ュ ー項目については、 423 ページ を参照 し て く だ さ い。 ena こ の コ マ ン ド は、 IDS サーバー グループ を有効に し ます。 dis こ の コ マ ン ド は、 IDS サーバー グループ を無効に し ます。 del こ の コ マ ン ド は、 IDS サーバー グループ を削除 し ます。 422 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/idslb/group < 番号 >/port [IDS Group Ports Menu] [IDS Group <number> Ports Menu] list - List current ports in IDS group del - Remove port from IDS group add - Add ports to the IDS group [IDS Group Ports Menu] は、 指定 し た番号の IDS グループに関す る IDS ポー ト を定義 す る 場合に使用 し ます。 表 15-103 [IDS Group Ports Menu] (/cfg/net/idslb/group/port) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 < 番号 > で指定 し た IDS サーバー グループに現在含まれてい る IDS ポー ト を リ ス ト 表示 し ます。 del こ の コ マ ン ド は、 < 番号 > で指定 し た IDS サーバー グループか ら IDS ポー ト を 削除 し ます。 add こ の コ マ ン ド は、 < 番号 > で指定 し た IDS サーバー グループにポー ト を追加 し ます。ハ イ アベ イ ラ ビ リ テ ィ を実現す る シナ リ オでは、あ る IDS グループにポー ト を 追加す る と 、 そ の ポ ー ト 番号は 2 つ の Firewall Accelerator の両方 に IDS ポー ト と し て設定 さ れます。 1 つの IDS ポー ト は、 いずれか 1 つの IDS グルー プにのみ メ ンバー と し て設定で き ます。 1 つの IDS グループには、 最大で 10 の IDS ポー ト を設定で き ます。 NAAP ポー ト 、 実行ポー ト 、 お よ び監視ポー ト は、 いずれ も IDS ポー ト と し て は設定で き ません。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 423 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/adv [Advanced Settings Menu] [Advanced Settings domain filt addstr pgroup l2filter parp vrrp - Menu] Set Domain Name Filter Definition Menu Pattern Match String Pattern Match Group Layer 2 Filter Menu Proxy ARP Menu Advanced VRRP Configuration Menu [Advanced Settings Menu] は、 ド メ イ ン名、 ポー ト ト ラ フ ィ ッ ク フ ィ ル タ 、 プ ロ キ シ ARP オプシ ョ ン、 お よ びハ イ アベ イ ラ ビ リ テ ィ に関す る 設定に使用 し ます。 表 15-104 [Advanced Settings Menu] (/cfg/net/adv) コ マ ン ド 構文 と 使用法 domain < ド メ イ ン _ 名 > こ の コ マ ン ド は、 Check Point SMTP サーバーに使用 さ れ る NIS ド メ イ ン名を設 定す る 場合に使用 し ます。 filt < フ ィ ル タ 番号 (1 ~ 2048) > [Filter Definition Menu] は、ポー ト ト ラ フ ィ ッ ク フ ィ ル タ を作成ま たは変更す る 場合に使用 し ます。 ポー ト ト ラ フ ィ ッ ク フ ィ ル タ リ ン グは Firewall Accelerator の機能の 1 つで、 Check Point FireWall-1 NG ソ フ ト ウ ェ アに よ る 検査の前に実 行 さ れ ます。 メ ニ ュ ー項目については、 426 ページ を参照 し て く だ さ い。 addstr < 文字列番号 (1 ~ 254) > [Layer7 Pattern Match String Menu] を表示 し ます。 こ の メ ニ ュ ーは、 レ イ ヤ 7 の パ タ ーン文字列の定義に使用 し ます。 メ ニ ュ ー項目については、 435 ページ を参照 し て く だ さ い。 pgroup < パ タ ーン グループ番号 (1 ~ 255) > [Pattern Match Group Menu] を表示 し ます。 こ の メ ニ ュ ーは、 パ タ ーン グループ の定義に使用 し ます。 メ ニ ュ ー項目については、 436 ページ を参照 し て く だ さ い。 l2filter < フ ィ ル タ 定義番号 (1 ~ 4) > [Layer 2 Filter Definition Menu] は、 レ イ ヤ 2 の ト ラ フ ィ ッ ク の フ ィ ル タ の定義に 使用 し ます。 メ ニ ュ ー項目については、 438 ページ を参照 し て く だ さ い。 424 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-104 [Advanced Settings Menu] (/cfg/net/adv) (続き) コ マ ン ド 構文 と 使用法 parp こ の コ マ ン ド は、 ク ラ ス タ が NAT 機能の代わ り に応答す る 必要のあ る IP ア ド レ ス を設定す る 場合に使用 し ます。 メ ニ ュ ー項目については、 439 ページ を参照 し て く だ さ い。 vrrp [Advanced VRRP Configuration Menu] は、 仮想ルー タ ーのグループ ID、 お よ びブ ロ ー ド キ ャ ス ト さ れ る VRRP ア ド バ タ イ ジ ン グの イ ン タ ーバルを設定す る 場合 に使用 し ます。 メ ニ ュ ー項目については、 441 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 425 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/adv/filt < フ ィ ル タ 番号 > [Filter Definition Menu] [Filter Definition name smac dmac sip smask dip dmask proto sport dport action inv log cache gotoId adv ena dis del - 1 Menu] Set filter name Set source MAC address Set destination MAC address Set source IP address Set source IP mask Set destination IP address Set destination IP mask Set IP protocol Set source TCP/UDP port range Set destination TCP/UDP port range Set filter action Set inversion Set logging Set Enable/disable caching sessions that match filter Define filter ID of filter to try next Advanced Filter Menu Enable filter Disable filter Remove Filter Definition [Filter Definition Menu] は、 ポー ト ト ラ フ ィ ッ ク フ ィ ル タ の作成ま たは変更に使用 し ます。 Nortel Switched Firewall では、 最大 2048 のポー ト ト ラ フ ィ ッ ク フ ィ ル タ を使 用で き ます。 各フ ィ ル タ の設定に よ っ て、 さ ま ざ ま な ア ド レ スお よ びプ ロ ト コ ルの指 定に基づい て ト ラ フ ィ ッ ク を 許可 ま たは拒否す る こ と がで き ま す。 ま た、 それ ら の フ ィ ル タ を任意に組み合わせて使用で き る よ う に、 Firewall Accelerator の物理ポー ト を個別に設定で き ます。 デフ ォ ル ト では、 フ ィ ル タ は無効にな っ てい ます。 ポー ト ト ラ フ ィ ッ ク フ ィ ル タ リ ン グは Firewall Accelerator の機能の 1 つで、 Check Point FireWall-1 NG ソ フ ト ウ ェ アに よ る 検査の前に実行 さ れ ます。ポー ト ト ラ フ ィ ッ ク フ ィ ル タ で破棄 さ れた ト ラ フ ィ ッ ク は、 フ ァ イ ア ウ ォールに転送 さ れません。 ポー ト ト ラ フ ィ ッ ク フ ィ ル タ で許可 さ れた ト ラ フ ィ ッ ク は、 Check Point FireWall-1 NG で検査を受けた後、 フ ァ イ ア ウ ォ ールを経由 し て送信 さ れ ます。Check Point FireWall1 NG での検査のために フ ァ イ ア ウ ォ ールに渡 さ れ る のは、 ど のポー ト ト ラ フ ィ ッ ク フ ィ ル タ と も 一致 し なか っ た ト ラ フ ィ ッ ク だけです。 こ の フ ィ ル タ リ ン グ機能を使用す る には、 以下の よ う に設定す る 必要があ り ます。 フ ィ ル タ を適用す る ト ラ フ ィ ッ ク のア ド レ ス、 マ ス ク 、 プ ロ ト コ ルを、 必要に応 じ た組合せで設定 し ます。 フ ィ ル タ ア ク シ ョ ン (allow、deny、inspect、ま たは goto パ ラ メ ー タ ) を設定 し ます。 フ ィ ル タ を有効に し ます。 設定 し た フ ィ ル タ を いずれかの Firewall Accelerator ポー ト に追加 し ます。 その Firewall Accelerator ポー ト での フ ィ ル タ リ ン グ を有効に し ます。 426 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 注 - フ ィ ル タ リ ン グ条件のオプシ ョ ンは、 複数を組み合わせて設定で き ます。 こ の条 件オプシ ョ ン をすべてデフ ォ ル ト の設定値の ま ま に し た場合、 フ ィ ル タ の適合範囲が 広 く な り 多 く の ト ラ フ ィ ッ ク に フ ィ ル タ ア ク シ ョ ン が適用 さ れ ま す。 条件オプシ ョ ン に特定の値を指定す る ほ ど フ ィ ル タ の適合範囲は限定 さ れ る ため、 フ ィ ル タ ア ク シ ョ ンが適用 さ れ る ト ラ フ ィ ッ ク の量は少な く な り ます。 表 15-105 [Filter Definition Menu Options] (/cfg/net/adv/filt) コ マ ン ド 構文 と 使用法 name < フ ィ ル タ 名 > こ の コ マ ン ド は、 フ ィ ル タ 名を設定 し ま す。 フ ィ ル タ の機能がわか る よ う な名 前を指定す る と 便利です。 smac any|<MAC ア ド レ ス > 送信元 MAC ア ド レ ス を指定 し た場合は、その送信元か ら の ト ラ フ ィ ッ ク に フ ィ ル タ ア ク シ ョ ン が適用 さ れ ます。 デフ ォ ル ト 値は any です。 dmac any|<MAC ア ド レ ス > 宛先 MAC ア ド レ ス を指定 し た場合は、 その宛先への ト ラ フ ィ ッ ク に フ ィ ル タ ア ク シ ョ ン が適用 さ れ ます。 デフ ォ ル ト 値は any です。 sip any|<IP ア ド レ ス > 送信元 IP ア ド レ ス を指定 し た場合は、 その送信元か ら の ト ラ フ ィ ッ ク に フ ィ ル タ ア ク シ ョ ン が適用 さ れ ま す。 IP ア ド レ ス は、 ド ッ ト 付 き 10 進表記で指定 し ます。 値 any を指定す る こ と も で き ます。 一連の IP ア ド レ ス の範囲を生成す る には、 こ の コ マ ン ド と と も に、 次に説明す る smask コ マ ン ド を使用 し ます。 送 信元 MAC ア ド レ ス (smac) に any を指定 し た場合、 こ の コ マ ン ド のデフ ォ ル ト 値 も any と な り ます。 smask <IP ア ド レ ス > sip の設定に加え て、 こ の コ マ ン ド で IP ア ド レ ス マ ス ク を設定す る と 、 フ ィ ル タ ア ク シ ョ ン が適用 さ れ る 送信元 IP ア ド レ ス の範囲が設定 さ れます。こ のア ド レ ス 範囲の設定方法の詳細については、 「フ ィ ル タ を適用す る IP ア ド レ ス範囲 の定義」 (430 ページ) を参照 し て く だ さ い。 デフ ォ ル ト のア ド レ ス は 0.0.0.0 に 設定 さ れ ます。 dip any|<IP ア ド レ ス > 宛先 IP ア ド レ ス を指定 し た場合は、その宛先への ト ラ フ ィ ッ ク に フ ィ ル タ ア ク シ ョ ンが適用 さ れ ます。 IP ア ド レ ス は、 ド ッ ト 付 き 10 進表記で指定 し ます。 値 any を指定す る こ と も で き ます。 一連の IP ア ド レ ス の範囲を生成す る には、 こ の コ マ ン ド と と も に、 次に説明す る dmask コ マ ン ド を使用 し ます。 宛先 MAC ア ド レ ス (dmac) に any を指定 し た場合、 こ の コ マ ン ド のデフ ォ ル ト 値 も any と な り ます。 dmask <IP サブネ ッ ト マス ク (例 : 255.255.255.0) > dip の設定に加え て、 こ の コ マ ン ド で IP ア ド レ ス マ ス ク を設定す る と 、 フ ィ ル タ ア ク シ ョ ン を適用す る ト ラ フ ィ ッ ク を指定で き ます。 こ のア ド レ ス範囲の設 定方法の詳細については、 「フ ィ ル タ を適用す る IP ア ド レ ス範囲の定義」 (430 ページ) を参照 し て く だ さ い。デフ ォ ル ト のア ド レ ス は 0.0.0.0 に設定 さ れます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 427 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-105 [Filter Definition Menu Options] (/cfg/net/adv/filt) コ マ ン ド 構文 と 使用法 proto any|< 番号 >|< 名前 > プ ロ ト コ ルを指定 し た場合は、 そのプ ロ ト コ ルの ト ラ フ ィ ッ ク に フ ィ ル タ ア ク シ ョ ン が適用 さ れ ま す。 プ ロ ト コ ルの番号 ま たは名前を指定す る か、 any を指 定 し ます。 デフ ォ ル ト 値は any です。 一般的なプ ロ ト コ ルの例を以下に示 し ま す。 プ ロ ト コ ル番号 プ ロ ト コ ル名 プ ロ ト コ ル番号 プ ロ ト コ ル名 1 2 6 icmp igmp tcp 17 89 112 udp ospf vrrp sport < 開始ポー ト 番号 > < 終了ポー ト 番号 > 送信元ポー ト 番号の範囲を指定 し た場合は、 その範囲の TCP ま たは UDP ポー ト か ら の ト ラ フ ィ ッ ク に フ ィ ル タ ア ク シ ョ ンが適用 さ れます。 範囲ではな く 単一のポー ト を指定す る には、 その番号をパ ラ メ ー タ の start 番号 と end 番号の両方に指定 し ます。た と えば、ポー ト 80 にのみフ ィ ル タ ア ク シ ョ ン を適用す る には、 こ の コ マ ン ド を以下の よ う に指定 し ます。 sport 80 80 すべてのポー ト に フ ィ ル タ ア ク シ ョ ン を適用す る には (デフ ォ ル ト )、 こ の コ マ ン ド を以下の よ う に指定 し ます。 sport 0 0 一般的なポー ト の例を以下に示 し ます。 ポー ト 番号 20 ポー ト 名 ftp-data ポー ト 番号 111 ポー ト 名 sunrpc 21 ftp 119 nntp 22 ssh 123 ntp 23 telnet 143 imap 25 smtp 144 news 37 time 161 snmp 42 name 162 snmptrap 43 whois 179 bgp 53 domain 194 irc 69 tftp 220 imap3 70 gopher 389 ldap 79 finger 443 https 80 http 520 rip 109 pop2 554 rtsp 110 pop3 1985 hsrp dport any|< 名前 >|< ポー ト >|< ポー ト >-< ポー ト > 宛先ポー ト 番号の範囲を指定 し た場合は、 その範囲に該当す る 実際のサーバー の TCP ま たは UDP ポー ト への ト ラ フ ィ ッ ク に フ ィ ル タ ア ク シ ョ ンが適用 さ れ ます。 ポー ト の番号 ま たは名前を指定す る か、 any を指定 し ま す。 デフ ォ ル ト 値は any です。 428 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-105 [Filter Definition Menu Options] (/cfg/net/adv/filt) コ マ ン ド 構文 と 使用法 action 設定 し た フ ィ ル タ リ ン グ基準 と ト ラ フ ィ ッ ク が一致 し た場合に実行 さ れ る フ ィ ル タ ア ク シ ョ ン を指定 し ます。 allow 一致 し た ト ラ フ ィ ッ ク の フ レームについて、 後続の検査な し で フ ァ イ deny ア ウ ォ ールを通過す る こ と を許可 し ます。 一致 し た ト ラ フ ィ ッ ク の フ レーム を、 フ ァ イ ア ウ ォ ールでの検査な し で破棄 し ます (デフ ォ ル ト )。 inspect 一致 し た ト ラ フ ィ ッ ク の フ レーム を、 検査のため フ ァ イ ア ウ ォ ールに goto 転送 し ま す。 た と えば、 10.10.10.100 を 除い たサブネ ッ ト 10.10.10.x のすべての ト ラ フ ィ ッ ク を破棄す る には、 まず 10.10.10.100 のみを検 査に回すフ ィ ル タ を実行 し た後に、 10.10.10.x ト ラ フ ィ ッ ク を破棄す る フ ィ ル タ を実行す る よ う に設定 し ます。 指定 し た別の フ ィ ル タ にジ ャ ン プ し て、 後続の フ ィ ル タ 処理を実行 し ます。 goto コ マ ン ド は、 設定 し た一連の フ ィ ル タ の順序を無視 し て、 い く つか の フ ィ ル タ を ス キ ッ プす る 場合に使用 し ま す。 た と え ば、 HTTP ト ラ フ ィ ッ ク を抽出す る フ ィ ル タ に goto ア ク シ ョ ン を設定 し て、 HTTP ト ラ フ ィ ッ ク を さ ら に細か く 選別す る フ ィ ル タ にジ ャ ン プ さ せ る こ と がで き ます。 inv e|d こ の コ マ ン ド を使用す る と 、 フ ィ ル タ の ロ ジ ッ ク を逆転 さ せ る 機能を有効 ま た は無効にで き ます。 無効に し た場合 (デフ ォ ル ト )、 フ ィ ル タ の本来のア ク シ ョ ン が実行 さ れ ま す。 有効に し た場合は、 フ ィ ル タ リ ン グ 条件 と 一致す る ト ラ フ ィ ッ ク があ っ て も ア ク シ ョ ン は実行 さ れ ま せん。 逆に、 フ ィ ル タ リ ン グ条件 と 一致 し ない ト ラ フ ィ ッ ク に対 し て、 フ ィ ル タ に割 り 当て た ア ク シ ョ ン が実行 さ れ ます。 log e|d こ の コ マ ン ド は、対象フ ィ ル タ に関す る ロ グ機能を有効ま たは無効に し ます。有 効に し た場合は、 フ ィ ル タ ア ク シ ョ ンが実行 さ れ る たびにシ ス テ ム ロ グに メ ッ セージが送信 さ れ ます。 デフ ォ ル ト では、 こ の機能は無効にな っ てい ます。 cache こ の コ マ ン ド は、 対象フ ィ ル タ に関す る セ ッ シ ョ ン テーブルのキ ャ ッ シ ュ 機能 を無効に し ます。 こ の コ マ ン ド は、 セ ッ シ ョ ン テーブルがエ ン ト リ でい っぱい にな る の を防 ぐ 場合に使用 し ま す。 デフ ォ ル ト では、 キ ャ ッ シ ン グ機能はすべ ての フ ィ ル タ に対 し て有効にな っ てい ます。 gotoID こ の コ マ ン ド は、 ジ ャ ン プ先の フ ィ ル タ を指定 し ます。 adv こ の コ マ ン ド を 使用す る と 、 レ ー ト 制限に関す る パ ラ メ ー タ お よ びパ タ ー ン マ ッ チン グ用のパ タ ーン を定義で き ます。 メ ニ ュ ー項目については、 431 ページ を参照 し て く だ さ い。 ena こ の コ マ ン ド は、 こ の フ ィ ル タ を有効に し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 429 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-105 [Filter Definition Menu Options] (/cfg/net/adv/filt) コ マ ン ド 構文 と 使用法 dis こ の コ マ ン ド は、 こ の フ ィ ル タ を無効に し ます。 del こ の コ マ ン ド は、 ク ラ ス タ の設定か ら こ の フ ィ ル タ を削除 し ます。 フ ィ ル タ を適用する IP ア ド レ ス範囲の定義 送信元 IP ア ド レ ス と 宛先 IP ア ド レ ス に よ る ト ラ フ ィ ッ ク の フ ィ ル タ リ ン グ に使用 す る IP ア ド レ ス を、 一定の範囲で指定で き ます。 IP ア ド レ ス の範囲を生成す る には、 その範囲の基本 IP ア ド レ ス を sip (送信元) ま たは dip (宛先) に定義 し 、 範囲の 生成用に適用す る マ ス ク ア ド レ ス を smask (送信元) ま たは dmask (宛先) に定義 し ます。 た と えば、 ク ラ イ ア ン ト 要求の宛先 IP ア ド レ ス を許可すべ き か ど う か を判別す る に は、 宛先 IP ア ド レ ス を dmask 値でマ ス ク (ビ ッ ト ワ イ ズ AND) し てか ら 、 dip 値 と 照合 し ます。 別の方法 と し て、 2 種類の フ ィ ル タ を設定 し 、 それぞれの フ ィ ル タ で イ ン タ ーネ ッ ト ト ラ フ ィ ッ ク を半分ずつフ ィ ル タ リ ン グす る こ と も で き ます。 そのためには、 表 15106 に記載 さ れてい る パ ラ メ ー タ を定義 し ます。 表 15-106 IP ア ド レ ス範囲の フ ィ ル タ リ ン グ フ ィ ルタ イ ン タ ーネ ッ ト ア ド レ ス範囲 dip 値 dmask 値 #1 0.0.0.0 - 127.255.255.255 0.0.0.0 128.0.0.0 #2 128.0.0.0 - 255.255.255.255 128.0.0.0 128.0.0.0 430 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/adv/filt< 番号 >/adv [Adv Filter Menu] [Adv Filter Menu] rlimit - Enhanced Rate Limiting Menu pmatch - Pattern Matching Menu [Adv Filter Menu] は、 レー ト 制限お よ びパ タ ーン マ ッ チン グに関す る パ ラ メ ー タ の設 定に使用 し ます。 表 15-107 [Adv Filter Menu] (/cfg/net/adv/filt/adv) コ マ ン ド 構文 と 使用法 rlimit [Enhanced Rate Limiting Menu] を表示 し ます。 こ の メ ニ ュ ーは、 プ ロ ト コ ル ベー ス の レ ー ト 制限機能を使用す る 場合に使用 し ま す。 こ の制限機能は、 特定の ク ラ イ ア ン ト の IP ア ド レ ス に基づい て ク ラ イ ア ン ト か ら 到着す る ト ラ フ ィ ッ ク を制限 し ま す。 こ の機能を使用す る と 、 サーバーのパ フ ォ ーマ ン ス を低下 さ せ た り 機能を停止 さ せた り す る UDP ま たは ICMP ベー ス の DOS 攻撃を ス イ ッ チ で検知 し 、 ブ ロ ッ ク す る こ と がで き ま す。 現在、 ス イ ッ チでは TCP、 UDP、 お よ び ICMP プ ロ ト コ ルに対 し て レー ト 制限機能を有効にす る こ と がで き ます。 メ ニ ュ ー項目については、 432 ページ を参照 し て く だ さ い。 pmatch [Pattern Matching Menu] を表示 し ます。 メ ニ ュ ー項目については、 433 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 431 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/adv/filt< 番号 >/adv/rlimit [Enhanced Rate Limiting Menu] [Enhanced Rate Limiting Menu] maxconn - Set Max connections for Rate Limiting timewin - Set Time window for Rate Limiting holddur - Set Hold duration for Rate Limiting ena - Enable Rate Limiting dis - Disable Rate Limiting [Enhanced Rate Limiting Menu] は、 サーバーのパ フ ォ ーマ ン ス を低下 さ せた り 機能を 停止 さ せた り す る UDP ま たは ICMP ベース の DOS 攻撃を検知 し 、ブ ロ ッ ク す る 場合 に使用 し ます。 表 15-108 [Enhanced Rate Limiting Menu] (/cfg/net/adv/filt/adv/rlimit) コ マ ン ド 構文 と 使用法 maxconn < ユニ ッ ト の最大接続数 (0 ~ 255) > レー ト 制限で許可 さ れ る 最大の接続数を設定 し ます。 デフ ォ ル ト 値は 10 です。 timewin < 秒数 (1 ~ 65535) > レ ー ト 制限に使用す る 時間枠を設定 し ま す。 時間枠 と は、 パケ ッ ト の受信が許 可 さ れ る 時間を秒数で設定 し た も のです。 時間枠は フ ィ ル タ ご と に設定で き ま すが、 すべての フ ィ ル タ に対 し て グ ロ ーバルで設定す る こ と はで き ま せん。 デ フ ォ ル ト 値は 2 です。 holddur < 分数 (2 ~ 65535) > レ ー ト 制限に使用す る ホール ド 時間を設定 し ま す。 新 し い接続数 ま たはパケ ッ ト 数が設定済みの制限値を上回 る と 、 その ク ラ イ ア ン ト か ら 新たに送信 さ れ る TCP 接続要求ま たは UDP/ICMP パケ ッ ト がブ ロ ッ ク さ れ ます。 ブ ロ ッ ク が実行 さ れ る と 、 該当の ク ラ イ ア ン ト はホール ド 状態 と みな さ れ ま す。 ク ラ イ ア ン ト は分単位で指定 し た時間が経過す る ま で ホール ド さ れ、 その状態が解除 さ れ る と 、 その ク ラ イ ア ン ト か ら 新たに送信 さ れ る TCP 接続要求ま たはパケ ッ ト が再 び通過を許可 さ れ ま す。 ホール ド 時間は フ ィ ル タ ご と に設定で き ま すが、 すべ ての フ ィ ル タ に対 し て グ ロ ーバルで設定す る こ と はで き ま せん。 デフ ォ ル ト 値 は 2 です。 ena プ ロ ト コ ルを、 レ ー ト 制限の対象 と し て有効に し ま す。 こ の コ マ ン ド を実行す る と 、 フ ィ ル タ に設定 し たプ ロ ト コ ルに レー ト 制限が適用 さ れ ま す。 適用可能 なプ ロ ト コ ルは、 TCP、 UDP、 お よ び ICMP です。 dis TCP、 UDP、 ま たは ICMP への レー ト 制限を無効に し ます。 432 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/adv/filt< 番号 >/adv/pmatch [Pattern Matching Menu] [Pattern Matching Menu] pgm - Pattern Group Menu pmatch - Set Pattern Matching matchall - Set Match All parseall - Set Parse All [Pattern Matching Menu] は、 パ タ ーン マ ッ チン グに使用す る 文字列ま たはパ タ ーン の 設定に使用 し ます。 表 15-109 [Pattern Matching Menu] (/cfg/net/adv/filt/adv/pmatch) コ マ ン ド 構文 と 使用法 pgm [Pattern Group Menu] は、 パ タ ーン グループ を追加、 削除、 ま たは リ ス ト 表示す る 場合に使用 し ます。 メ ニ ュ ー項目については、 434 ページ を参照 し て く だ さ い。 pmatch d|en 対象フ ィ ル タ に対 し てパ タ ーン マ ッ チン グ機能を有効ま たは無効に し ます。 matchall d|e フ ィ ル タ が deny ア ク シ ョ ン を実行す る 前に、 設定 さ れてい る すべてのパ タ ーン マ ッ チン グ を実行す る 、 ま たは実行 し ない こ と を指定 し ます。 parseall d|e パ タ ー ン マ ッ チ ン グ が実行 さ れて い る セ ッ シ ョ ン のすべて のパ ケ ッ ト に対 し て、 パ タ ーン文字列の検査 (解析) を実行す る 、 ま たは実行 し ない こ と を指定 し ます。 デフ ォ ル ト では、 こ の コ マ ン ド は有効に設定 さ れ、 通常は 1 つのセ ッ シ ョ ンのすべてのデー タ パケ ッ ト が フ ィ ル タ に よ っ て検査 さ れ ます。 ただ し 、 セ ッ シ ョ ン に よ っ ては、 レ イ ヤ 7 の コ ン テ ン ツ を含む 1 つのパケ ッ ト のみが含ま れ る 場合があ り ます。 こ のパケ ッ ト が検出 さ れた場合、後続のパケ ッ ト は無視で き ま す。 parseall を無効に設定 し た場合は、 該当セ ッ シ ョ ン内の 後続パケ ッ ト に対す る パ タ ーン マ ッ チン グがオ フ にな り ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 433 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/adv/filt/adv/pmatch/pgm [pgrp Menu] [pgrp Menu] list del add - List all values - Delete a value by value - Add a new value [Pattern Group Menu] は、 パ タ ーン グループ を追加、 削除、 ま たは リ ス ト 表示す る 場 合に使用 し ます。 表 15-110 [pgrp Menu] (/cfg/net/adv/filt/adv/pmatch/pgm) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 設定済みのすべてのパ タ ーン グループ を イ ンデ ッ ク ス番号で 表示 し ます。 del < イ ンデ ッ ク ス番号 > こ の コ マ ン ド を使用す る と 、 指定 し た イ ンデ ッ ク ス番号を持つパ タ ーン グルー プ を削除で き ま す。 list コ マ ン ド を使用 し て、 設定済みのパ タ ーン グループ の イ ンデ ッ ク ス番号を表示 し ます。 add < パ タ ーン グループ番号 > こ の コ マ ン ド を使用す る と 、 指定 し たパ タ ーン グループ を追加で き ます。 434 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/adv/addstr < 番号 > [Layer 7 Pattern Match String Menu] [Layer7 Pattern Match String 1 Menu] mpattern - Set match pattern mstr - Set match string start - Set offset start depth - Set depth oper - Set operation del - Remove Layer7 Pattern Match String [Layer 7 Pattern Match String Menu] は、 パ タ ー ン マ ッ チ ン グ 用 に バ イ ナ リ ま た は ASCII パ タ ーン文字列を設定す る 場合に使用 し ます。 最大で 254 種類の文字列を設定 で き ます。 表 15-111 [Layer 7 Pattern Match String Menu] (/cfg/net/adv/addstr) コ マ ン ド 構文 と 使用法 mpattern binary|ascii 設定す る パ タ ーン文字列に応 じ て binary ま たは ascii を指定 し ます。 mstr <ASCII 文字列または HEX 値 (最大長 : 40) > パ タ ーン マ ッ チン グ用の文字列を定義 し ます。 start <0 ~ 1500> mstr コ マ ン ド で指定 し た コ ン テ ン ツ のパ タ ーン マ ッ チ ン グが開始 さ れ る オ フ セ ッ ト 位置を、 IP フ レームの先頭か ら のバ イ ト 数で指定 し ます。 depth <0 ~ 1500> mstr コ マ ン ド で指定 し た コ ン テ ン ツ が検索 さ れ る 深 さ ( ウ ィ ン ド ウ ) を、 IP フ レーム の先頭か ら 、 ま たは start コ マ ン ド で指定 し たオ フ セ ッ ト 位置か ら のバ イ ト 数で指定 し ます。 デフ ォ ル ト 値は 1500 です。 oper eq|lt|gt 定義 し た文字列に対す る 関係演算子 と し て、 等号 (eq)、 小な り (lt)、 ま たは大 な り (gt) を指定 し ます。 del レ イ ヤ 7 のパ タ ーン マ ッ チン グ文字列を削除 し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 435 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/adv/pgroup < 番号 > [Pattern Match Group Menu] [Pattern Match Group 1 Menu] grpname - Set Group Name strid - String ID del - Remove Pattern Match Group [Pattern Match Group Menu] は、 パ タ ーン グループの設定に使用 し ます。 最大で 5 つ のパ タ ーン を組み合わせて、 1 つのパ タ ーン グループ と し て設定で き ます。 表 15-112 [Pattern Match Group Menu] (/cfg/net/adv/pgroup) コ マ ン ド 構文 と 使用法 grpname わか り やすい名前を、 文字列の検索に使用 さ れ る パ タ ーン マ ッ チン グ グループ に設定 し ま す。 ウ ィ ル ス ま たはその他の攻撃パケ ッ ト に複数のパ タ ーンや文字 列が含 ま れ る 場合には、 それ ら を組み合わせて 1 つのグループ を作成 し 、 その グループの用途がひ と 目でわか る 名前を付け てお く と 便利です。 た と えば、 あ る パ タ ーン グループ を deny ア ク シ ョ ン フ ィ ル タ に適用 し た場合は、 ス イ ッ チ に よ っ て そのグループ内の文字列やパ タ ーン と パケ ッ ト が照合 さ れてか ら 、 一 致 し たパケ ッ ト が拒否ま たは破棄 さ れ ます。 strid こ の コ マ ン ド を使用す る と 、 パ タ ーン マ ッ チ ン グ グループに対 し て文字列 ID の追加や削除を行 う こ と がで き ます。 メ ニ ュ ー項目については、 437 ページ を参照 し て く だ さ い。 del パ タ ーン マ ッ チン グ グループ を削除 し ます。 436 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/adv/pgroup < 番号 >/strid [String ID Menu] [String ID Menu] list - List all values del - Delete a value by number add - Add a new value [String ID Menu] は、 パ タ ーン グループの文字列 ID を追加、 削除、 ま たは リ ス ト 表示 す る 場合に使用 し ます。 表 15-113 [String ID Menu] (/cfg/net/adv/pgroup/strid) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 設定済みのすべての文字列を イ ンデ ッ ク ス番号で表示 し ます。 del < イ ンデ ッ ク ス番号 > こ の コ マ ン ド を使用す る と 、 指定 し た イ ンデ ッ ク ス 番号の文字列を削除で き ま す。 list コ マ ン ド を使用 し て、 設定済み文字列の イ ンデ ッ ク ス番号を表示 し ま す。 add < 文字列 ID ( 1 ~ 254) > こ の コ マ ン ド を使用す る と 、指定 し た文字列 ID をパ タ ーン グループに追加で き ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 437 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/adv/l2filter < 番号 > [Layer 2 Filter Definition Menu] [Layer 2 Filter Definition 1 Menu] dmac - Set Destination MAC ethtype - Set Ether type ena - Enable filter dis - Disable filter del - Remove Layer 2 Filter Definition [Layer 2 Filter Definition Menu] は、 レ イ ヤ 2 ト ラ フ ィ ッ ク 用フ ィ ル タ の設定に使用 し ます。 最大で 4 つの ト ラ フ ィ ッ ク フ ィ ル タ を定義で き ます。 表 15-114 [Layer 2 Filter Definition Menu] (/cfg/net/adv/l2filter) コ マ ン ド 構文 と 使用法 dmac any|<MAC ア ド レ ス > こ の コ マ ン ド を使用す る と 、レ イ ヤ 2 ト ラ フ ィ ッ ク の宛先 MAC ア ド レ ス を定義 で き ます。 デフ ォ ル ト 値は any です。 ethtype こ の コ マ ン ド を 使用す る と 、 レ イ ヤ 2 ト ラ フ ィ ッ ク の非 IP パ ケ ッ ト お よ び非 ARP パケ ッ ト を許可す る ための イ ーサ タ イ プ を定義で き ます。デフ ォ ル ト では、 イ ーサ タ イ プ IP (0x0800) お よ び ARP (0x0806) のパケ ッ ト のみがブ リ ッ ジ ン グ さ れ ます。 IP お よ び ARP 以外のパケ ッ ト 、 た と えば IPX パケ ッ ト を ブ リ ッ ジ ン グす る には、 イ ーサ タ イ プ値に IPX (0x8137) を設定す る 必要があ り ます。 デ フ ォ ル ト 値は any です。 ena こ の コ マ ン ド は、 こ の フ ィ ル タ を有効に し ます。 dis こ の コ マ ン ド は、 こ の フ ィ ル タ を無効に し ます。 del こ の コ マ ン ド は、 こ の フ ィ ル タ を削除 し ます。 438 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/adv/parp [Proxy ARP Menu] [Proxy ARP Menu] parp - Proxy ARP List Menu sfd - Set proxying of SFD's IPs & MIP [Proxy ARP Menu] は、Check Point FireWall-1 NG ソ フ ト ウ ェ アに設定 さ れてい る NAT 機能の代わ り に ク ラ ス タ が応答す る べ き IP ア ド レ ス を設定す る 場合に使用 し ます。 表 15-115 [Proxy ARP Menu] (/cfg/net/adv/parp) コ マ ン ド 構文 と 使用法 parp [Proxy ARP List Menu] は、 ク ラ ス タ がプ ロ キ シ と な る IP ア ド レ ス を追加、 削除、 ま たは リ ス ト 表示す る 場合に使用 し ます。 メ ニ ュ ー項目については、 440 ページ を参照 し て く だ さ い。 sfd e|d こ の コ マ ン ド は、ク ラ ス タ の Firewall Director お よ び MIP ア ド レ ス に対す る ARP 要求に ク ラ ス タ が応答す る か し ないか を指定 し ま す。 デフ ォ ル ト では、 応答 し ない よ う に設定 さ れてい ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 439 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/adv/parp/parp [Proxy ARP List Menu] [Proxy ARP List Menu] list - List all values del - Delete a value by number add - Add a new value [Proxy ARP List Menu] は、 ク ラ ス タ がプ ロ キ シ と し て処理を代行す る IP ア ド レ ス を 追加、 削除、 ま たは リ ス ト 表示す る 場合に使用 し ます。 表 15-116 [Proxy ARP List Menu] (/cfg/net/adv/parp/parp) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 すべてのプ ロ キ シ ARP ア ド レ ス の イ ンデ ッ ク ス番号を表示 し ます。 del < イ ンデ ッ ク ス番号 > こ の コ マ ン ド を使用す る と 、 指定 し た イ ンデ ッ ク ス番号のプ ロ キ シ ARP ア ド レ ス を削除で き ます。 list コ マ ン ド を使用 し て、 プ ロ キ シ ARP ア ド レ ス の イ ン デ ッ ク ス番号を表示 し ます。 add <IP ア ド レ ス > こ の コ マ ン ド を使用す る と 、 指定 し たプ ロ キ シ ARP ア ド レ ス を追加で き ま す。 IP ア ド レ ス は、 ド ッ ト 付 き 10 進表記で指定 し ます。 追加で き る エ ン ト リ の最大 数は、 ク ラ ス タ 内の Firewall Director お よ び Firewall Accelerator ご と に 1 ずつを 2,000 か ら 差 し 引いた数です。 440 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/adv/vrrp [Advanced VRRP Configuration Menu] [Advanced VRRP Configuration Menu] vrid - Set virtual router group ID adver - Set advertisement interval [Advanced VRRP Configuration Menu] は、 詳細な VRRP プ ロ パテ ィ の設定に使用 し ま す。 表 15-117 [Advanced VRRP Configuration Menu] (/cfg/net/adv/vrrp) コ マ ン ド 構文 と 使用法 vrid < 仮想ルー タ ー グループ ID (1 ~ 255) > こ の コ マ ン ド は、 仮想ルー タ ーのグループ ID を設定 し ま す。 デフ ォ ル ト では、 仮想ルー タ ーのグループ ID は 255 に設定 さ れ ます。 adver < イ ン タ ーバル時間 (1 ~ 255) > こ の コ マ ン ド は、 VRRP ア ド バ タ イ ジ ン グが Nortel Switched Firewall か ら ブ ロ ー ド キ ャ ス ト さ れ る イ ン タ ーバルを設定 し ます。 デフ ォ ル ト 値は 1 です。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 441 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/mgif [Management Interface Menu] [Management Interface Menu] host - management address for host mask - Set subnet mask [Management Interface Menu] は、Firewall Director の管理ア ド レ ス の設定に使用 し ま す。 表 15-118 [Management Interface Menu] (/cfg/net/mgif) コ マ ン ド 構文 と 使用法 host < ホス ト 番号 > こ の コ マ ン ド を使用す る と 、 管理対象 と す る Firewall Director を設定で き ます。 メ ニ ュ ー項目については、 443 ページ を参照 し て く だ さ い。 mask < サブネ ッ ト マス ク > こ の コ マ ン ド を使用す る と 、 管理 イ ン タ フ ェース のサブネ ッ ト マ ス ク を設定で き ます。 デフ ォ ル ト 値は 0.0.0.0 です。 442 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/net/mgif/host < 番号 > [Host 1 Menu] [Host 1 Menu] mgmtdev addr - Set management device - Set Management IP address [Host 1 Menu] は、 Firewall Director の管理ア ド レ ス の設定に使用 し ます。 表 15-119 [Host 1 Menu] (/cfg/net/mgif/host) コ マ ン ド 構文 と 使用法 mgmtdev FEn|GEn こ の コ マ ン ド を使用す る と 、 管理 IP ア ド レ ス を設定す る デバ イ ス を指定で き ま す。 デフ ォ ル ト では、 NSF 5014 の場合は FE1、 NSF 5016 の場合は FE3 に設定 さ れ ます。 こ の設定に よ り 、 Firewall Director の NIC を Telnet セ ッ シ ョ ン、 SSH セ ッ シ ョ ン、 ま たは BBI ク ラ イ ア ン ト か ら 直接管理す る こ と がで き ます。 addr < 管理 IP ア ド レ ス > こ の コ マ ン ド を使用す る と 、 管理 IP ア ド レ ス を設定で き ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 443 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/fw [Firewall Configuration Menu] [Firewall Configuration Menu] ena - Enable firewall dis - Disable firewall sic - Reset Check Point SIC accel - Set automatic acceleration restart sync - Sync Configuration Menu software - Firewall Software Menu smart - SmartUpdate Configuration Menu sxl - SecureXL Configuration Menu [Firewall Configuration Menu] は、 フ ァ イ ア ウ ォ ールの有効化や Check Point の Secure Internal Communications (SIC) の リ セ ッ ト と い っ た、 フ ァ イ ア ウ ォ ール関連オプシ ョ ン の設定に使用 し ます。 デフ ォ ル ト では、 フ ァ イ ア ウ ォ ールは無効にな っ てい ます。 表 15-120 [Firewall Configuration Menu] (/cfg/fw) コ マ ン ド 構文 と 使用法 ena こ の コ マ ン ド は、ク ラ ス タ 内のすべての正常な Firewall Director に対 し て、Check Point FireWall-1 NG の処理を有効に し ます。 dis こ の コ マ ン ド は、 ク ラ ス タ に対 し て Check Point FireWall-1 NG の処理を無効に し 、 すべての Firewall Director を [down] ス テー タ ス と し てマー ク し ます。 Check Point 管理サーバーは、 無効にな っ てい る 状態では、 ク ラ ス タ の フ ァ イ ア ウ ォー ル ポ リ シーの管理に使用で き ません。 sic こ の コ マ ン ド は、 ク ラ ス タ 内 の特定の Firewall Director に 関す る Check Point Secure Internal Communication (SIC) ス テー タ ス を リ セ ッ ト す る 場合に使用 し ま す。 こ の コ マ ン ド を実行す る と 、 タ ーゲ ッ ト の Firewall Director の IP ア ド レ ス を、 ド ッ ト 付 き 10 進表記で入力す る よ う に要求す る プ ロ ン プ ト 画面が表示 さ れ ます。 accel y|n こ の コ マ ン ド は、Firewall Accelerator に対す る 自動 リ ス タ ー ト 機能を有効ま たは 無効にす る 場合に使用 し ます。 デフ ォ ル ト では、 無効にな っ てい ます。 sync [Sync Configuration Menu] は、 ク ラ ス タ 内の Firewall Director 間で行われ る セ ッ シ ョ ン の ス テー ト フル フ ェ イ ルオーバー機能を設定す る 場合に使用 し ます。 い ずれかの Firewall Director に障害が発生 し た場合で も 、 その時点で実行中のセ ッ シ ョ ンは、 こ の同期化機能に よ っ て正常な Firewall Director へ と 透過的に割 り 当 て ら れます。 メ ニ ュ ー項目については、 446 ページ を参照 し て く だ さ い。 444 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 表 15-120 [Firewall Configuration Menu] (/cfg/fw) コ マ ン ド 構文 と 使用法 software [Firewall Software Menu] は、組み込みの Check Point FireWall-1 NG ソ フ ト ウ ェ ア を更新す る 場合に使用 し ます。 メ ニ ュ ー項目については、 448 ページ を参照 し て く だ さ い。 smart こ の コ マ ン ド を使用す る と 、 管理ス テーシ ョ ンの Check Point SmartUpdate ツー ルを使用で き る よ う に設定す る こ と がで き ます。 メ ニ ュ ー項目については、 449 ページ を参照 し て く だ さ い。 sxl [Firewall Software Menu] は、 各 Firewall Director の接続テーブルのサ イ ズ を設定 す る 場合に使用 し ます。 メ ニ ュ ー項目については、 450 ページ を参照 し て く だ さ い。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 445 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/fw/sync [Sync Configuration Menu] [Sync Configuration Menu] ena - Enable sync dis - Disable sync net - Set sync network address host - Host Specific Sync Settings [Sync Configuration Menu] は、 同 期 デ バ イ ス を 設 定 し た り 、 ク ラ ス タ 内 の Firewall Director 間で行われ る セ ッ シ ョ ン の ス テー ト フ ル フ ェ イ ルオーバー機能を設定す る 場合に使用 し ます。 Firewall Director 5014 には 10/100/1000 Mbps イ ン タ フ ェース が 2 つ搭載 さ れてい る ため、 こ の メ ニ ュ ーか ら 同期デバ イ ス を設定で き ます。 こ の機能を 使用す る と 、 同期デバ イ ス の速度や自動ネ ゴ シエーシ ョ ン機能を設定で き ます。 いずれか の Firewall Director に障害が発生 し た場合で も 、 そ の時点で実行中の セ ッ シ ョ ンは、 こ の同期化機能に よ っ て正常な Firewall Director へ と 透過的に割 り 当て ら れ ます。ス テー ト フル フ ェ イ ルオーバーを実現す る には、ハー ド ウ ェ ア と Check Point ソ フ ト ウ ェ アの追加設定が必要な場合があ り ます。詳細については、「Firewall Director の同期」 (169 ページ) を参照 し て く だ さ い。 表 15-121 [Sync Configuration Menu] (/cfg/fw/sync) コ マ ン ド 構文 と 使用法 ena こ の コ マ ン ド は、 ク ラ ス タ 内の複数の Firewall Director 間で行われ る ス テー ト フ ル フ ェ イ ルオーバーの同期機能を有効にす る 場合に使用 し ます。 dis こ の コ マ ン ド は、 ス テー ト フル フ ェ イ ルオーバーの同期機能を無効にす る 場合 に使用 し ます。 こ れはデフ ォ ル ト で設定 さ れます。 net < ベース IP ア ド レ ス > こ の コ マ ン ド は、Firewall Director 同期ネ ッ ト ワ ー ク の基本 IP ア ド レ ス を設定す る 場合に使用 し ます。 フ ァ イ ア ウ ォール同期ネ ッ ト ワ ー ク の基本 IP ア ド レ ス の デフ ォ ル ト 値は 0.0.0.0 です。 host < ホス ト _ 番号 > こ の コ マ ン ド は、 Firewall Director に関す る 同期パ ラ メ ー タ を指定す る 場合に使 用 し ます。 メ ニ ュ ー項目については、 447 ページ を参照 し て く だ さ い。 446 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/fw/sync/host < ホス ト 番号 > [Host Sync Settings Menu] [Host Sync Settings 1 Menu] dev - Set Sync Device Name autoneg - Set autonegotiation speed - Set Speed mode - Set full or half duplex mode [Host Sync Settings Menu] は、 Firewall Director に関す る 同期パ ラ メ ー タ を指定す る 場 合に使用 し ます。 表 15-122 [Host Sync Settings Menu] (/cfg/fw/sync/host) コ マ ン ド 構文 と 使用法 dev < デバイ ス名 > こ の コ マ ン ド は、 同期デバ イ ス名を設定 し ます。 こ れには、 各 Firewall Director を同期ネ ッ ト ワ ー ク に接続す る ための銅線ネ ッ ト ワ ー ク イ ン タ フ ェ ー ス ポー ト ま た は ギ ガ ビ ッ ト ポ ー ト の名前 を 指定 し ま す。 デ フ ォ ル ト で は、 Firewall Director の背部にあ る ネ ッ ト ワー ク ポー ト 1 を示す 「FE2」 が設定 さ れます。 同 期化を実現す る には、 ク ラ ス タ 内のすべての Firewall Director が同一のポー ト を 使用 し てい る 必要があ り ます。 autoneg y|n こ の コ マ ン ド は、 Firewall Director の同期ポー ト に対 し て、 自動ネ ゴ シエーシ ョ ン機能を有効 ま たは無効に し ま す。 自動ネ ゴ シエーシ ョ ン は、 デフ ォ ル ト では 有効にな っ てい ます。 こ の機能を有効に し た場合、Firewall Director は、そのポー ト に接続 さ れてい る デバ イ ス と ネ ゴ シエー ト し て最適な ポー ト 速度、 二重モー ド 、 お よ びフ ロ ー管理方式を判別 し 、 [speed]、 [mode]、 お よ び [fctl] の手動設定 値を上書 き し ます。 無効に し た場合は手動設定値が使用 さ れ ます。 他の Firewall Director と の リ ン ク 確立に問題があ る 場合は、 自動ネ ゴ シエーシ ョ ン機能を オ フ に し て、 そのポー ト のプ ロ パテ ィ を手動で設定 し て く だ さ い。 speed 10|100|1000 自動ネ ゴ シエーシ ョ ン (autoneg) を無効に し た場合は、 こ の コ マ ン ド を使用 し て リ ン ク 速度を指定 し ます。 以下のオプシ ョ ン を指定で き ます。 10 : 10 Mbps 100 : 100 Mbps (デフ ォ ル ト ) 1000 : 1000 Mbps mode full|half 自動ネ ゴ シエーシ ョ ン (autoneg) を無効に し た場合は、 こ の コ マ ン ド を使用 し て二重稼働モー ド を指定 し ます。 以下のオプシ ョ ン を指定で き ます。 full : 全二重 (デフ ォ ル ト ) half : 半二重 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 447 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/fw/software [Firewall Software Menu] [Firewall Software Menu] cur - Display current version of firewall software [Firewall Software Menu] は、 組み込みの Check Point FireWall-1 NG ソ フ ト ウ ェ ア を更 新す る 場合に使用 し ます。 表 15-123 [Firewall Software Menu] (/cfg/fw/software) コ マ ン ド 構文 と 使用法 cur こ の コ マ ン ド は、 [Firewall Software Menu] の項目の現在の設定値を表示 し ます。 448 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/fw/smart [Smart Update Configuration Menu] [Smart Update Configuration Menu] ena - Enable Smart Update Mode dis - Disable Smart Update Mode [Smart Update Configuration Menu] は、 管理 ス テ ー シ ョ ン の Check Point SmartUpdate ツールを使用で き る よ う に設定す る 場合に使用 し ます。 デフ ォ ル ト では、 こ の ツール の使用は無効にな っ てい ます。 注 - Check Point SmartUpdate ツ ール を使用 し て更新処理を 開始す る には、 こ のオプ シ ョ ン を有効に し てお く 必要が あ り ま す。 更新が完了 し た ら 再び無効に し て く だ さ い。 表 15-124 [Smart Update Configuration Menu] (/cfg/fw/smart) コ マ ン ド 構文 と 使用法 ena こ の コ マ ン ド を使用す る と 、 管理 ス テーシ ョ ン の SmartUpdate ツールが使用で き る よ う にな り ます。 dis こ の コ マ ン ド を使用す る と 、 管理 ス テーシ ョ ン の SmartUpdate ツールが使用で き な く な り ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 449 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/fw/sxl [SecureXL Configuration Menu] [SecureXL Configuration Menu] conns - Set SecureXL Connection table size per Director [SecureXL Configuration Menu] は、各 Firewall Director の接続テーブルのサ イ ズ を設定 す る 場合に使用 し ます。 表 15-125 [SecureXL Configuration Menu] (/cfg/fw/sxl) コ マ ン ド 構文 と 使用法 conns <0 ~ 1000000> NSF 6614 ま たは 6414 については、 500,000 未満の値を指定 し ます。 NSF 6616 ま たは 6416 については、 125,000 未満の値を指定 し ます。 デフ ォ ル ト 値は、 Firewall Accelerator お よ び Firewall Director に よ っ て異な り ま す。 450 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/apps [Application Configuration Menu] [Application Configuration Menu] Securid - SecurID configuration [Application Configuration Menu] は、他社製アプ リ ケーシ ョ ン に関す る 設定に使用 し ま す。 表 15-126 [Application Configuration Menu] (/cfg/apps) コ マ ン ド 構文 と 使用法 securid こ の コ マ ン ド は、 他社製アプ リ ケーシ ョ ン用のセ キ ュ ア サーバーの設定に使用 し ます。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 451 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/apps/securid [SecurID Configuration Menu] [SecurID Configuration Menu] Servers - SecurID Server configuration import - Import sdconf.rec file from floppy [SecurID Configuration Menu] は、 SecurID サーバーに関す る 設定に使用 し ます。 表 15-127 [SecurID Configuration Menu] (/cfg/apps/securid) コ マ ン ド 構文 と 使用法 servers こ の コ マ ン ド は、 SecureID サーバー用のセ キ ュ ア なルー ト を設定す る 場合に使 用 し ます。 import こ の コ マ ン ド は、SecurID サーバーに よ っ て作成 さ れた dconf.rec フ ァ イ ルを フ ロ ッ ピー ド ラ イ ブか ら イ ン ポー ト す る 場合に使用 し ます。 452 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/apps/securid/servers [SecurID Server Configuration Menu] [SecurID Server Configuration Menu] list - List all values del - Delete a value by number add - Add a new value [SecurID Server Configuration Menu] は、 SecurID サーバーに関す る 設定に使用 し ます。 表 15-128 [SecurID Server Configuration Menu] (/cfg/apps/securid) コ マ ン ド 構文 と 使用法 list こ の コ マ ン ド は、 SecurID サーバーを リ ス ト 表示 し ます。 del < イ ンデ ッ ク ス番号 > こ の コ マ ン ド を使用す る と 、指定 し た イ ンデ ッ ク ス番号の SecurID サーバーを削 除で き ま す。 list コ マ ン ド を 使用 し て、 設定済みの SecurID サーバーの イ ン デ ッ ク ス番号を表示 し ます。 add <IP ア ド レ ス > こ の コ マ ン ド を使用す る と 、 指定 し た SecurID サーバーを追加で き ま す。 IP ア ド レ ス は、 ド ッ ト 付 き 10 進表記で指定 し ます。追加で き る エ ン ト リ の最大数は、 ク ラ ス タ 内の Firewall Director お よ び Firewall Accelerator ご と に 1 ずつを 2,000 か ら 差 し 引いた数です。 217014-B-JA, 2005 年 12 月 第 15 章 : 設定 メ ニ ュ ー 453 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス /cfg/misc [Miscellaneous Settings Menu] [Miscellaneous Settings Menu] warn - Set warnings when configuration is applied [Miscellaneous Settings Menu] は、 設定警告 メ ッ セージ を表示 / 非表示にす る 場合に使 用 し ます。 表 15-129 [Miscellaneous Settings Menu] (/cfg/misc) コ マ ン ド 構文 と 使用法 warn y|n こ の コ マ ン ド は、 警告 メ ッ セージ を表示 / 非表示にす る 場合に使用 し ます。 有 効 (デフ ォ ル ト ) にす る と 、 グ ロ ーバルの apply コ マ ン ド を実行 し た と き に保 留中の設定変更の内容に問題が生 じ る 場合には、 該当の警告 メ ッ セージがその つど表示 さ れ ます。警告 メ ッ セージが表示 さ れて も apply コ マ ン ド は失敗す る こ と な く 実行 さ れます。 メ ッ セージは設定上の問題管理に役立ち ます。 454 第 15 章 : 設定 メ ニ ュ ー 217014-B-JA, 2005 年 12 月 第 3 部 : 付録 付録 A、 「一般的な タ ス ク」 付録 B、 「Event Logging API」 付録 C、 「 ト ラ ブルシ ュ ーテ ィ ン グ」 付録 D、 「ソ フ ト ウ ェ ア ラ イ セ ン ス」 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 456 付録 217014-B-JA, 2005 年 12 月 付録 A 一般的な タ ス ク こ の付録では、 Nortel Switched Firewall の一般的な管理 タ ス ク について説明 し ます。 「Check Point 中央 ラ イ セ ン スの管理」 (458 ページ) 「フ ァ イ アウ ォ ール設定のバ ッ ク ア ッ プ と 復元」 (459 ページ) 「NSF パケ ッ ト の ト レ ース」 (465 ページ) 「SSH を使用 し た リ モー ト ロ グ イ ン」 (467 ページ) 「Firewall Director への フ ロ ッ ピー デ ィ ス ク のマウ ン ト 」 (468 ページ) 「Firewall Director への CD-ROM のマウ ン ト 」 (469 ページ) 「USB ポー ト のマウ ン ト 」 (470 ページ) 「Firewall Accelerator の手動ア ッ プグ レ ー ド 」 (471 ページ) 「Check Point NG パ フ ォ ーマ ン スの調整」 (472 ページ) 「シ ス テム メ モ リ 情報の読み込み」 (474 ページ) 「VNIC 設定の確認」 (474 ページ) 「ロ ッ ク アウ ト か ら の回復」 (475 ページ) 457 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Check Point 中央ラ イ セ ン スの管理 SmartUpdate を使用 し た中央ラ イ セ ン スのイ ン ス ト ール Check Point 中央 ラ イ セ ン ス を イ ン ス ト ールす る 最適な方法は、 管理 ク ラ イ ア ン ト で Check Point ツールを使用す る こ と です。 ラ イ セ ン ス は、 Check Point 管理 コ ン ソ ール ラ イ セ ン ス レ ポジ ト リ に自動的に送信 さ れ、 Firewall Director に イ ン ス ト ール さ れ ま す。 Check Point ラ イ セ ン ス ま たは Smart Dashboard や SmartUpdate な ど の ツールの詳 細につい て は、 http://www.checkpoint.com/support/technical/documents/index.html の 詳 し い Check Point ド キ ュ メ ン ト を参照 し て く だ さ い (ID と パ ス ワー ド が必要)。 Firewall Director に中央 ラ イ セ ン ス を イ ン ス ト ールす る には、 以下の手順を実行 し ま す。 新 し いゲー ト ウ ェ イ オブジ ェ ク ト を作成す る には、 手順 1 ~ 5 を実行 し ます。 す でにゲー ト ウ ェ イ オブジ ェ ク ト を作成 し てい る 場合は、 手順 5 に進み、 中央 ラ イ セ ン ス を イ ン ス ト ール し ます。 1. 管理ク ラ イ ア ン ト の [ ス タ ー ト ] メ ニ ュ ーで SmartDashboard 管理ツールを起動 し ま す。 2. Firewall Director 用の新 し いゲー ト ウ ェ イ オブ ジ ェ ク ト を作成 し ます。 [Network Objects] → [New] → [Gateway] を選択 し 、 その IP ア ド レ ス を割 り 当て ます。 3. 信頼 さ れる通信を確立 し ます。 [Communication] ボ タ ン を ク リ ッ ク し 、 Check Point SIC の一時パ ス ワ ー ド を入力 し ま す。 4. [OK] を ク リ ッ ク し 、 オブ ジ ェ ク ト を保存 し ます。 5. [ ス タ ー ト ] メ ニ ュ ーか ら SmartUpdate プ ロ グ ラ ムを起動 し ます。 6. SmartUpdate が起動 し た ら、 [Managed Modules] ウ ィ ン ド ウか ら タ ーゲ ッ ト Firewall Director を表すオブ ジ ェ ク ト を選択 し ます。 7. ラ イ セ ン ス フ ァ イルを イ ンポー ト し ます。 メ ニ ュ ー バーか ら 、 [Licenses] → [New License] → [Import File] を選択 し 、 ラ イ セ ン ス フ ァ イ ル (た と えば、 172.21.9.200_module.lic) を選択 し ます。 8. 画面上のプ ロ ン プ ト に従 っ て、 イ ン ス ト ールを完了 し て く だ さ い。 9. ラ イ セ ン スがイ ン ス ト ール さ れた ら 、 フ ァ イ アウ ォ ール ポ リ シーを Firewall Director に ロー ド し ます。 中央ラ イ セ ン スの削除または再イ ン ス ト ール Check Point 中央 ラ イ セ ン ス の管理には、 SmartUpdate ツ ールが最 も 適 し て い ま す。 SmartUpdate ま たはそ の他の Check Point 管理 ツ ールの使用方法の詳細につい て は、 http://www.checkpoint.com/support/technical/documents/index.html (ID と パ ス ワ ー ド が必要) の詳 し い Check Point ド キ ュ メ ン ト を参照 し て く だ さ い。 458 付録 A : 一般的な タ ス ク 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス フ ァ イ アウ ォ ール設定のバ ッ ク ア ッ プ と 復元 NSF 4.4.1 を使用す る と 、 Director 設定をバ ッ ク ア ッ プ し 、 後で同 じ 状態に復元で き ま す。 復元処理では、 レ ジ ス ト リ 、 Check Point SIC、 お よ びポ リ シーの設定が復元 さ れ ます。 バ ッ ク ア ッ プ と 復元機能は Director 専用であ り 、 ク ラ ス タ 用ではあ り ません。 ク ラ ス タ 全体をバ ッ ク ア ッ プす る には、 各 Director に ロ グ イ ン し 、 別々にバ ッ ク ア ッ プ を作 成す る 必要があ り ます。 ク ラ ス タ のあ る メ ンバーか ら 作成 し たバ ッ ク ア ッ プ を使用 し て、 別の メ ンバーを復元す る こ と はで き ません。 特定の Director か ら 作成 し たバ ッ ク ア ッ プは、 同 じ Director を復元す る か、 その Director を置 き 換え る 場合にのみ使用で き ます。 バ ッ ク ア ッ プの作成 Director のバ ッ ク ア ッ プ を作成す る には、 コ マ ン ド ラ イ ン イ ン タ フ ェース (CLI) を 使用 し て以下の操作を行い ます。 1. 「admin」 と し て ロ グ イ ン し 、 /maint/backup/backup コ マ ン ド を実行 し ます。 FTP サーバーの指定が要求 さ れます。 2. バ ッ ク ア ッ プする FTP サーバーの名前を指定 し ます。 FTP サーバーでは匿名 ロ グ イ ン を可能にす る 必要があ り ます。 Director の復元 復元プ ロ セ ス では、 破損 し た フ ァ イ ル シ ス テ ムは修正で き ません。 フ ァ イ ル シ ス テ ム破損のために Director が使用不能にな っ た場合、復元す る 前にボ ッ ク ス を再 イ メ ー ジ化 し ます。 復元方法 と し ては、 Director を再 イ メ ージ化 し て復元す る こ と をお勧め し ます。 し か し 、 以下の操作を行っ て Director を復元す る こ と も で き ます。 1. バ ッ ク ア ッ プ フ ァ イルを CD-ROM に コ ピー し ます。 ハー ド デ ィ ス ク の ロ ーカル フ ァ イ ルか ら 復元す る こ と も で き ますが、 デフ ォ ル ト で は、 復元プ ロ セ ス は CD-ROM のバ ッ ク ア ッ プ フ ァ イ ルをチ ェ ッ ク し ます。 2. Director がすでに ク ラ ス タ の一部にな っ ている場合、 ク ラ ス タ か ら Director を切断 し ます。 Director が ま だ ク ラ ス タ に接続 さ れてい る 間に /boot/delete を実行 し た場合、 ク ラ ス タ では Director を ク ラ ス タ の一部 と はみな さ な く な る ため、 Director は復元で き ません。 3. /boot/delete コ マ ン ド を使用 し て、 Director を出荷時のデ フ ォ ル ト 設定に復元 し ます。 Director は出荷時のデフ ォ ル ト 設定で し か復元で き ないため、こ れは必須の操作です。 4. admin と し て ロ グ イ ン し 、 [Setup] メ ニ ュ ーを表示 し ます。 217014-B-JA, 2005 年 12 月 付録 A : 一般的な タ ス ク 459 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 5. オプ シ ョ ンの リ ス ト か ら [restore] を選択 し ます。 CD-ROM の挿入が要求 さ れます。 6. CD-ROM を挿入 し 、 [Enter] キーを入力 し ます。 CD-ROM のルー ト デ ィ レ ク ト リ にあ る すべての .tar フ ァ イ ルの リ ス ト が表示 さ れ ま す。 7. バ ッ ク ア ッ プ フ ァ イルを選択 し ます。 フ ァ イ ル名を要求 さ れた ら 、 デフ ォ ル ト 値を承認す る か、 独自の名前を入力 し ます。 フ ァ イ ルはハー ド ド ラ イ ブに コ ピー さ れ、 CD は イ ジ ェ ク ト さ れ ます。 復元の完了ま で約 30 秒かか り ます。 復元が完了す る と 、 CLI か ら ロ グ ア ウ ト し ます。 8. も う 一度 admin と し て ロ グ イ ンする と 、 [Setup] メ ニ ュ ーの代わ り に [Configuration] メ ニ ュ ーが表示 さ れます。 460 付録 A : 一般的な タ ス ク 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 5016 における USB サポー ト の有効化 NSF 5016 ハー ド ウ ェ ア プ ラ ッ ト フ ォ ームにおけ る USB サポー ト は、デフ ォ ル ト では 無効にな っ てい ます。 し か し 、 NSF 4.4.1 では、 USB ポー ト を有効に し てお く こ と が 必須です。 こ れは、 tsdump、 バ ッ ク ア ッ プ設定、 USB ベー ス の UPS 機能な ど、 さ ま ざ ま なダ ウ ン ロ ー ド ま たはア ッ プ ロ ー ド で USB サポー ト が必要 と な る ためです。 注 - NSF の BIOS 構成は、 正 し く 設定 し ない と フ ァ イ ア ウ ォ ールの動作に影響す る 可 能性があ る ため、 慎重に変更す る 必要があ り ます。 こ のセ ク シ ョ ン で説明す る 手順に 従い ますが、 詳細情報が必要にな っ た場合には、 ノ ーテル技術サポー ト に連絡 し て く だ さ い。 フ ァ イ アウ ォ ールでの USB サポー ト の確認 BIOS 設定の変更に先立ち、 フ ァ イ ア ウ ォ ールの USB ポー ト が有効ま たは無効の ど ち ら にな っ てい る か を確認 し ます。 1. NSF 4.4.1 ソ フ ト ウ ェ アに、 フ ァ イ アウ ォ ールを ア ッ プグ レ ー ド し ます。 ア ッ プグ レー ド の詳細については、 「標準ア ッ プグ レ ー ド 」 (201 ページ) を参照 し て く だ さ い。 2. ア ッ プグ レ ー ド の後、 フ ァ イ アウ ォ ールを再起動 し ます。 USB サポー ト が BIOS で有効にな っ ていない場合は、ロ グ メ ッ セージ「USB Support is disabled in BIOS」 が コ ン ソ ール上に表示 さ れ ま す。 続いて、 指示に従っ て BIOS の USB サポー ト を変更 し ます。 上記の メ ッ セージが表示 さ れなか っ た場合、 ま たはブー ト メ ッ セージが表示 さ れな か っ た場合は、 /var/log/messages フ ァ イ ル内で メ ッ セージ を確認 し ま す。 ルー ト プ ロ ン プ ト か ら 、 以下の コ マ ン ド を入力 し ます。 cat /var/log/messages | grep -i "USB Support" ま たは、 BBI か ら /var/log/messages フ ァ イ ルを ダ ウ ン ロ ー ド し ([cluster] → [Logs])、 上記の文字列を検索 し ます。 217014-B-JA, 2005 年 12 月 付録 A : 一般的な タ ス ク 461 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス BIOS における USB サポー ト の有効化 1. モ ニ タ と キーボー ド を NSF 5016 Firewall Director に接続 し ます。 モ ニ タ と キ ーボー ド を Firewall Director に接続す る 方法の詳細につい て は、 『Nortel Switched Firewall Hardware Installation Guide (217016-B)』 を参照 し て く だ さ い。 以下に示す よ う なブー ト ア ッ プの初期画面が表示 さ れ ます。 2. [F1] キーを押 し て、 Configuration/Setup Utility に進みます。 以下に示す よ う な [Configuration/Setup Utility] 画面が表示 さ れ ます。 462 付録 A : 一般的な タ ス ク 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 3. [Devices and I/O Ports] オプ シ ョ ン を選択 し ます。 以下に示す よ う な [Devices and I/O Ports] 画面が表示 さ れます。 4. [USB Setup] オプ シ ョ ン をハイ ラ イ ト し てか ら 、 [Enter] キーを押 し ます。 [USB Setup] メ ニ ュ ーが表示 さ れ ます。 5. USB サポー ト を有効に し ます。 右矢印キーを使用 し て設定を ト グル し 、 以下に示す よ う に有効に し ます。 217014-B-JA, 2005 年 12 月 付録 A : 一般的な タ ス ク 463 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 6. [Esc] キーを 2 回押 し ます。 こ の操作に よ り 、 [USB Setup Menu] と [Configuration/Setup Utility] か ら 抜け ます。 以 下の よ う な [Exit Setup] ダ イ ア ロ グ ボ ッ ク ス が表示 さ れ ます。 7. [Yes, save and exit the Setup Utility] を選択 し てか ら、 [Enter] キーを押 し ます。 8. USB サポー ト が BIOS で有効にな っ た状態で、 フ ァ イ アウ ォ ールが再起動 し ます。 9. USB サポー ト が BIOS で有効にな っ てい る こ と を確認 し ます。 「フ ァ イ アウ ォ ールでの USB サポー ト の確認」 (461 ページ) を参照 し て く だ さ い。 464 付録 A : 一般的な タ ス ク 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス NSF パケ ッ ト の ト レース asfcapture ツールは、 Firewall Accelerator の入力ポー ト か ら フ ァ イ ア ウ ォール内へ のパケ ッ ト の動作 を ト レ ー ス し ま す。 こ の ツ ールでは、 さ ま ざ ま な場所で同時にパ ケ ッ ト を キ ャ プチ ャ で き る ため、Firewall Accelerator お よ び Firewall Director の さ ま ざ ま なデバ イ ス と モジ ュ ールを通過す る パケ ッ ト を ト レース で き ます。 Firewall Accelerator でモニ タ す る ポー ト を指定で き ます。ま た、tethereal、tcpdump な ど の コ マ ン ド で使用 さ れ る 標準 pcap フ ィ ル タ を使い、 キ ャ プチ ャ さ れ る パケ ッ ト の数を さ ら に減 ら す こ と がで き ます。 tethereal、 tcpdump、 debug な ど のパケ ッ ト キ ャ プチ ャ コ マ ン ド は、別々に使用 さ れ、カーネルの異な る 場所でパケ ッ ト を キ ャ プチ ャ し ます。 Firewall Director で発信 さ れたパケ ッ ト は、 NAAP ト ン ネルで Firewall Director を離れ る 前に フ ィ ル タ を通過 し 、 Firewall Accelerator を出 る 前に ま た フ ィ ル タ を通過 し ます (NAAP ト ン ネルのため、 Firewall Director の出力で一部のパケ ッ ト が フ ィ ル タ さ れな い こ と があ り ます) 。 出力ポー ト にキ ャ プチ ャ が設定 さ れてい る 場合、 フ ィ ル タ が選 択 さ れていないポー ト 経由で ス イ ッ チに入っ たパケ ッ ト は、 ス イ ッ チの出力でキ ャ プ チ ャ さ れ ます。 注 - Firewall Director ご と に 1 人のユーザー し か asfcapture を実行で き ません。 ク ラ ス タ では、 1 つの Firewall Director で し か、 Firewall Accelerator でキ ャ プチ ャ さ れた パケ ッ ト を受信 し ません。 asfcapture ツ ールでは、 tethereal コ マ ン ド を 使用 し てパ ケ ッ ト を キ ャ プチ ャ し 、 表示 し ます。 ま た、 tethereal コ マ ン ド と 同 じ フ ィ ル タ も 受け付け ます。 217014-B-JA, 2005 年 12 月 付録 A : 一般的な タ ス ク 465 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 構文 asfcapture ツールは、 root プ ロ ン プ ト か ら 以下の よ う に実行 し ます。 asfcapture [-sfd|sfa|all] [-w < フ ァ イル名 >] [-f "< フ ィ ル タ 式 >"] [-p <Firewall Accelerator のポー ト 範囲 >] [-c < カ ウ ン ト >] [-s < スナ ッ プの長 さ >] コ マ ン ド については、 表 15-130 で説明 し てい ます。 表 15-130 asfcapture のパ ラ メ ー タ コマン ド 説明 [sfd|sfa|all] sfd Firewall Director のみでパケ ッ ト を キ ャ プチ ャ し ます。 Firewall Accelerator では、 パケ ッ ト のマー ク のみを行い ます。 sfa Firewall Accelerator のみでパケ ッ ト を キ ャ プチ ャ し ます。 all Firewall Director と Firewall Accelerator の両方でパケ ッ ト を キ ャ プチ ャ し ます (デフ ォ ル ト 値)。 w < フ ァ イル名 > 出力フ ァ イ ルに書 き 込みます。 f "< フ ィ ル タ 式 >" tethereal (pcap) フ ィ ル タ 式を指定 し ま す。 フ ィ ル タ 式を引用 符 (" ") で囲み、 ' ('、 ') ' な ど の特殊シ ェ ル文字はエ ス ケープ し て く だ さ い。 p <Firewall Accelerator ポー ト 範 囲> キ ャ プチ ャ す る Firewall Accelerator ポー ト を指定 し ます。デフ ォ ル ト では、 キ ャ プチ ャ はア ク テ ィ ブな Firewall Accelerator のすべての エ ン フ ォ ース メ ン ト ポー ト お よ びス イ ッ チ間ポー ト で有効にな り ます。バ ッ ク ア ッ プ Firewall Accelerator は有効にな り ません。-p オ プシ ョ ンはデフ ォ ル ト 値を上書 き し 、ア ク テ ィ ブお よ びバ ッ ク ア ッ プの Firewall Accelerator に適用 さ れます。 -p オプシ ョ ンは複数回割 り 当て可能な こ と に注意 し て く だ さ い。 ポー ト 範囲は < ポー ト 番号 >-< ポー ト 番号 > ま たは単に < ポー ト 番 号 > と 指定 し ます。ポー ト 範囲内で スペース文字を使用 し ないで く だ さ い。 c < カ ウン ト > キ ャ プチ ャ す る パケ ッ ト の数。 s < スナ ッ プの長 さ > キ ャ プチ ャ す る バ イ ト の数。 フ ァ イ ルにキ ャ プチ ャ さ れたパケ ッ ト は、 後で Firewall Director で表示で き ます。 異 な る tethereal を使用 し て フ ァ イ ルが表示 さ れた場合、 キ ャ プチ ャ 情報は表示 さ れ ません。 ス ナ ッ プ し たパケ ッ ト の数が多すぎ る 場合、 verbose オプシ ョ ン では問題が 生 じ る こ と があ り ます。 し か し 、 その場合で も 、 -x オプシ ョ ン を使用す る と 、 別のシ ス テ ム でキ ャ プチ ャ 情報を表示で き ます。 キ ャ プチ ャ 情報はパケ ッ ト デー タ に ASCII 文字列 と し て追加 さ れ る ためです。 466 付録 A : 一般的な タ ス ク 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス SSH を使用 し た リ モー ト ログ イ ン NSF 4.4.1 は、 リ モー ト ユーザーが NSF に ロ グ イ ン し て ト ラ ブルシ ュ ーテ ィ ン グや メ ン テナン ス を実行で き る 機能を備え てい ます。 ただ し 、 こ の機能を使用 し た場合には、 リ モー ト のユーザーが SSH を使用 し て ロ グ イ ン し 、 Linux シ ェ ルにア ク セ ス で き る よ う にな る ため、 注意が必要です。 root パ ス ワ ー ド が設定 さ れた リ モー ト ユーザーは、 Linux ユーテ ィ リ テ ィ su を使用 し て 「su root」 を実行で き ます。 セキ ュ リ テ ィ を最大限に確保す る ために、 以下の保護策が組み込まれてい ます。 ロ グ イ ンす る ユーザーは、 公開キー / 秘密キー方式を使用 し て認証を受け る 必要 があ り ます。 DSA ま たは RSA キーのペア を使用で き ますが、 必ず OpenSSH 形式 のバージ ョ ン 2 形式でなければな り ません。パ ス ワ ー ド ベース の認証はで き ませ ん。 リ モー ト ユーザーの IP ア ド レ ス が リ モー ト ア ク セ ス リ ス ト に含まれていない 場合、 ア ク セ ス は許可 さ れ ません。 Check Point のポ リ シーを、 リ モー ト ユーザーが SSH に よ っ て NSF と 接続で き る よ う に定義す る 必要があ り ます。 217014-B-JA, 2005 年 12 月 付録 A : 一般的な タ ス ク 467 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Firewall Director への フ ロ ッ ピ ー デ ィ ス ク のマ ウン ト 以下の手順は、 Firewall Director に フ ロ ッ ピー デ ィ ス ク を マ ウ ン ト し て、 フ ァ イ ルの 読み込み、 書 き 込みを行 う 場合に実行 し ます。 1. Firewall Director に DOS フ ォ ーマ ッ ト フ ロ ッ ピーを挿入 し ます。 2. root で ロ グ イ ン し ます。 root 3. 以下の コ マ ン ド を入力 し ます。 # mount /mnt/floppy 4. フ ァ イルを コ ピー し ます (ロ グ フ ァ イルが必要な場合)。 た と えば、 以下のよ う に コ マ ン ド を入力 し ます。 # cp /var/log/message /mnt/floppy 5. フ ロ ッ ピー デ ィ ス ク を ア ン マウ ン ト する には、 以下の コ マ ン ド を入力 し ます。 # sync # umount /mnt/floppy 6. イ ジ ェ ク ト ボ タ ン を押 し て、 Firewall Director か ら フ ロ ッ ピー デ ィ ス ク を取 り 出 し ま す。 468 付録 A : 一般的な タ ス ク 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Firewall Director への CD-ROM のマウン ト Firewall Director で フ ァ イ ルを読み取 る ため、 CD-ROM を マ ウ ン ト す る には、 以下の 手順を実行 し ます。 1. Firewall Director に CD-ROM を挿入 し ます。 2. root で ロ グ イ ン し ます。 root 3. 以下の コ マ ン ド を入力 し ます。 # mount /mnt/cdrom 4. CD-ROM を ア ン マウ ン ト する には、 以下の コ マ ン ド を入力 し ます。 # sync # umount /mnt/cdrom 217014-B-JA, 2005 年 12 月 付録 A : 一般的な タ ス ク 469 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス USB ポー ト のマウン ト 通常、 ア ッ プ ロ ー ド やダ ウ ン ロ ー ド は、 USB ポー ト 上で自動的に行われ ます。 ア ッ プ ロ ー ド ま たはダ ウ ン ロ ー ド を要求す る と 、 USB ポー ト がマ ウ ン ト さ れ、 フ ァ イ ルの コ ピー後に自動的にア ン マ ウ ン ト さ れ ます。USB ポー ト を手動でマ ウ ン ト す る 必要のあ る 場合には、 以下の よ う に行い ます。 1. Firewall Director に CD-ROM を挿入 し ます。 2. root で ロ グ イ ン し ます。 root 3. 以下の コ マ ン ド を入力 し ます。 #usbmount 4. USB を ア ン マウ ン ト する には、 以下の コ マ ン ド を入力 し ます。 #usbumount 470 付録 A : 一般的な タ ス ク 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Firewall Accelerator の手動ア ッ プグ レー ド 通常、 ク ラ ス タ Firewall Accelerator ソ フ ト ウ ェ アは ク ラ ス タ Firewall Director と と も に自動的にア ッ プグ レー ド さ れ ます。 し か し 、 必要に応 じ て、 Firewall Accelerator ソ フ ト ウ ェ ア を手動でア ッ プグ レー ド ま たは再 ロ ー ド で き ます。 Firewall Accelerator ソ フ ト ウ ェ ア を手動で イ ン ス ト ールす る には、 以下の も のが必要です。 ASCII タ ー ミ ナル エ ミ ュ レーシ ョ ン ソ フ ト ウ ェ ア を実行 し てい る コ ン ピ ュ ー タ 。 オ ス DB9 コ ネ ク タ が付いた標準シ リ アル ケーブル (Firewall Director に付属) 。 ケーブル仕様については、 ド キ ュ メ ン ト の 46 ページ を参照 し て く だ さ い。 Firewall Accelerator のバ イ ナ リ ア ッ プグ レー ド イ メ ージ。 ア ッ プグ レー ド イ メ ージ を イ ン ス ト ールす る には、 以下の手順を実行 し ます。 1. Firewall Accelerator コ ン ソ ール ポー ト に直接 タ ー ミ ナルを接続 し ます。 以下の表に示す よ う に、 通信パ ラ メ ー タ を設定 し ます。 表2 2. 3. コ ン ソ ール設定パ ラ メ ー タ パラ メ ー タ 値 ボー レー ト デー タ ビ ッ ト パリティ ス ト ップ ビ ッ ト フ ロ ー管理 9600 8 なし 1 なし Firewall Accelerator を オ フ に し た後、 オ ン に戻 し ます。 Firewall Accelerator の起動中 (「AceSwitch BootMon...」 メ ッ セージの表示中)、 [Shift] + [F] キーを押 し ます。 4. ボー レ ー ト 57600 を使用する よ う に タ ー ミ ナルを再設定 し ます。 5. Xmodem プ ロ ト コ ルを使用 し て タ ー ミ ナルか ら Firewall Accelerator にバイ ナ リ ア ッ プグ レー ド イ メ ージ を転送 し ます。 た と えば、 ハ イ パー タ ー ミ ナルを使用す る 場合、 [Transfer] → [Send File] コ マ ン ド を 選択 し 、 プ ロ ト コ ル と し て [Xmodem] ま たは [1K- Xmodem] (高速) を選択 し ます。 6. 転送が完了 し た ら、 タ ー ミ ナルのボー レ ー ト を 9600 に戻 し ます。 7. Firewall Accelerator を オ フ に し た後、 オ ン に戻 し ます。 8. ハイ アベ イ ラ ビ リ テ ィ 設定を使用 し ている場合、冗長 Firewall Accelerator で こ のプ ロ セス を繰 り 返 し ます。 217014-B-JA, 2005 年 12 月 付録 A : 一般的な タ ス ク 471 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Check Point NG パフ ォ ーマ ン スの調整 フ ァ イ ア ウ ォ ールのパ フ ォ ーマ ン ス は、 Check Point NG ソ フ ト ウ ェ ア の以下のパ ラ メ ー タ を変更す る こ と で向上 さ せ る こ と がで き ます。 connections_limit connections_hashsize 多数の同時セ ッ シ ョ ン で NAT ポ リ シーが使用 さ れ て い る 場合、 以下の 2 つのパ ラ メ ー タ を変更す る 必要があ り ます。 nat_hash_size : デフ ォ ル ト は 16,384 (16K) です。 131,072 に増や し ます。 nat_limit : デフ ォ ル ト は 25,000 です。 180,000 に増や し ます。 同時接続の増加 Check Point では、 デ フ ォ ル ト で フ ァ イ ア ウ ォ ールの接続制限数 を 25000、 接続ハ ッ シ ュ サ イ ズ を 65536 (64K) に設定 し て い ま す。 接続制限数 と 接続ハ ッ シ ュ サ イ ズ フ ィ ール ド の値は、 表 A-1 に示す NSF モデルに よ っ て異な り ます。 表 A-1 接続の増加 ア ク セ ラ レー タ モデル connections_limit connections_hashsize 6600 500000 2097152 6400 500000 2097152 Application Intelligence 管理サーバーの接続制限数を増やすには、ゲー ト ウ ェ イ ク ラ ス タ オブジ ェ ク ト のプ ロ パテ ィ を編集 し ます。 NSF ク ラ ス タ を表すゲー ト ウ ェ イ ク ラ ス タ オブジ ェ ク ト を編集す る には、 以下の操作を行い ます。 1. [Capacity Optimization] タ ブに移動 し 、[Maximum concurrent connections] パ ラ メ ー タ の 値を増や し ます。 2. [Calculate connections hash size and memory pool] パ ラ メ ー タ を [Automatically] に設定 し ます。 472 付録 A : 一般的な タ ス ク 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス NAT 接続の増加 デフ ォ ル ト では、Check Point フ ァ イ ア ウ ォールの NAT 接続制限数は 25000 に設定 さ れてい ます。 値を増やすには、 Check Point で提供 さ れ る dbedit ユーテ ィ リ テ ィ を使 用 し ます。 NAT 制限数は NSF に設定 し た接続制限数ま で増やす こ と がで き ます。 1. すべての GUI ク ラ イ ア ン ト を閉 じ ます。 2. Check Point 管理ス テーシ ョ ンの MS DOS プ ロ ン プ ト で dbedit を実行 し ます。 c:\> dbedit Enter Server name:<Check Point ホス ト の IP ア ド レ ス > Enter User name:<admin ア カ ウン ト を使用 し て ログ イ ン > Enter User password: dbedit> modify properties firewall_properties nat_limit 180000 dbedit> modify properties firewall_properties nat_hashsize 1048576 dbedit> update properties firewall_properties dbedit> quit <[Ctrl] + [C] キーを押 さ ないで く だ さ い。 変更が中止 さ れます。 > 3. ポ リ シーを再イ ン ス ト ール し ます。 4. Nortel Switched Firewall に ロ グ イ ン し ます。 フ ァ イ アウ ォ ールを停止 し 、 開始 し ます。 注 - nat_limit パ ラ メ ー タ は、connection_limit よ り 小 さ い値に設定で き ます。 nat_hashsize が nat_limit に近い値で あ り 、 2 の累乗で あ る こ と を確認 し て く だ さ い。 た と えば、 nat_limit が 50000 で あ る 場合、 nat_hashsize は 65535 に す る 必要があ り ます。 217014-B-JA, 2005 年 12 月 付録 A : 一般的な タ ス ク 473 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス シス テム メ モ リ 情報の読み込み 一般的な Linux メ モ リ 情報 : free or vmstat < 秒 > or cat /proc/meminfo or top カーネル モジ ュ ール情報 : lsmod NG メ モ リ 情報 : fw ctl pstat VNIC 設定の確認 VNIC は仮想ネ ッ ト ワー ク イ ン タ フ ェ ース カー ド です。 1. すべての VNIC に関する情報を ダ ン プ し ます。 /opt/tng/bin/vnic dump 2. VNIC 1 に関する情報を ダ ン プ し ます。 /opt/tng/bin/vnic info v1 474 付録 A : 一般的な タ ス ク 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ロ ッ ク アウ ト からの回復 すべての フ ァ イ ア ウ ォ ール パ ス ワ ー ド が変更 さ れ る か失われ、 フ ァ イ ア ウ ォ ールか ら ロ ッ ク ア ウ ト さ れた場合、 boot ユーザー ア カ ウ ン ト を使用 し 、 Firewall Director ソ フ ト ウ ェ ア を再 イ ン ス ト ールす る 必要があ り ます。 boot ユーザー パ ス ワ ー ド は変更 で き ないため、 こ のア ク セ ス方法は常に利用で き ます。セキ ュ リ テ ィ を維持す る ため、 boot ユーザーに よ る ア ク セ ス は、 コ ン ソ ール ポー ト への直接ア ク セ ス に制限 さ れて い ます。 再 イ ン ス ト ールを実行す る と 、Firewall Director は出荷時のデフ ォ ル ト 設定に リ セ ッ ト さ れ ます。 古い ソ フ ト ウ ェ ア イ メ ージ バージ ョ ン ま たはア ッ プグ レー ド パ ッ ケージ を含め、 以前の設定デー タ と ソ フ ト ウ ェ アはすべて消去 さ れ ます。 注 - 再 イ ン ス ト ールに よ っ てすべての設定デー タ (ネ ッ ト ワー ク 設定を含む) が消去 さ れ る ため、 最初にすべての設定デー タ を FTP サーバー上に フ ァ イ ルで保存 し てお く こ と をお勧め し ます。 Firewall Director に ソ フ ト ウ ェ ア を再 イ ン ス ト ールす る には、 以下の操作が必要です。 シ リ アル ポー ト への直接接続を介 し て タ ーゲ ッ ト の Firewall Director にア ク セ ス し て く だ さ い。 リ モー ト の Telnet ま たは SSH 接続は、 ソ フ ト ウ ェ アの再 イ ン ス ト ールには使用で き ません。 ネ ッ ト ワ ー ク の FTP サーバーに イ ン ス ト ール イ メ ージが ロ ー ド さ れてい る 必要 があ り ます。 FTP サーバーのホ ス ト 名ま たは IP ア ド レ ス。 ホ ス ト 名を指定す る 場合は、 DNS パ ラ メ ー タ の設定が必要であ る こ と に注意 し て く だ さ い。詳細については、「[DNS Servers Menu]」 (288 ページ) を参照 し て く だ さ い。 有効な .img Firewall Director イ ン ス ト ール イ メ ージの名前。 ソ フ ト ウ ェ アの再 イ ン ス ト ールは以下の手順で実行 し ます。 1. boot ユーザー と し て ロ グ イ ン し ます。 パスワー ド は ForgetMe です。 2. 正常に ロ グ イ ン し た ら 、 画面上のプ ロ ン プ ト に従 っ て必要な情報を指定 し ます。 Firewall Director で以前にネ ッ ト ワ ー ク ア ク セ ス が設定 さ れていない場合は、 IP ア ド レ ス、 ネ ッ ト ワ ー ク マ ス ク 、 ゲー ト ウ ェ イ IP ア ド レ ス な ど のネ ッ ト ワー ク 設定に関 す る 情報を指定す る 必要があ り ま す。 新 し いブー ト イ メ ージが イ ン ス ト ール さ れ る と 、 Firewall Director が再起動 し 、 ロ グ イ ン プ ロ ン プ ト が表示 さ れた と き にデフ ォ ル ト パ ス ワー ド を使用 し て再度 ロ グ イ ン で き ます。 こ れで、 新 し い Firewall Director を新 し い ク ラ ス タ の一部 と し て イ ン ス ト ールす る か (第 2 章、 「初期セ ッ ト ア ッ プ」 (31 ページ) を参照) 、 既存の ク ラ ス タ に追加で き ま す (第 9 章、 「 ク ラ ス タ の拡張」 (153 ページ) を参照)。 217014-B-JA, 2005 年 12 月 付録 A : 一般的な タ ス ク 475 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 476 付録 A : 一般的な タ ス ク 217014-B-JA, 2005 年 12 月 付録 B Event Logging API Nortel Switched Firewall Event Logging API (ELA) は OPSEC™ アプ リ ケーシ ョ ン です。 Check Point SmartView Tracker に よ り 、Check Point 管理ス テーシ ョ ン にシ ス テ ム ロ グ メ ッ セージ を送信 し 、 表示で き ま す。 ロ グ メ ッ セージは、 セ キ ュ ア で暗号化 さ れた チ ャ ネル経由で管理サーバーに送信 さ れ ます。 Check Point に お け る OPSEC ア プ リ ケ ー シ ョ ン の 設 定 お よ び 管 理 に つ い て は、 http://www.checkpoint.com/support/technical/documents/index.html (ID と パ ス ワ ー ド が必要) の詳 し い Check Point FireWall-1 NG ド キ ュ メ ン ト 一式を参照 し て く だ さ い。 ELA を設定す る 場合は、Check Point 管理サーバーお よ び Nortel Switched Firewall の両 方で、 設定手順を実行す る 必要があ り ます。 各 ク ラ ス タ の Firewall Director に対 し て、 Check Point 管理サーバーで新 し い OPSEC アプ リ ケーシ ョ ン を作成 し 、Secure Internal Communication (SIC) を初期化 し ます。 各 Firewall Director に対 し て、 ELA が動作す る 前に SIC 関連の証明書を Firewall Director に取 り 込む必要があ り ます。 こ の章の以下のセ ク シ ョ ン では、 ELA の使用に必要な手順を詳 し く 説明 し ます。 「Check Point 管理サーバーの設定」 (478 ページ) 「Firewall Director の設定」 (482 ページ) 「Check Point SmartView Tracker」 (484 ページ) 477 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Check Point 管理サーバーの設定 ク ラ ス タ の Firewall Director ご と に異な る ELA OPSEC アプ リ ケーシ ョ ン を作成す る には、 管理サーバーで以下の手順を実行 し ます。 1. 新 し い OPSEC ア プ リ ケーシ ョ ン を作成 し ます。 左の タ ブ付 き メ ニ ュ ーで [OPSEC Applications] タ ブ を ク リ ッ ク し 、 [New OPSEC Application] を選択 し ます。 2. OPSEC ア プ リ ケーシ ョ ン を初期化 し ます。 478 付録 B : Event Logging API 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 以下の フ ィ ール ド に入力 し ます。 [Name] フ ィ ール ド には、 適切な名前を指定 し ます。 証明書を Firewall Director に 取 り 込む と き に、 こ の名前を使用 し ます。 [Host] フ ィ ール ド は、 Firewall Director を指す よ う に指定 し ます。 [Vendor] フ ィ ール ド は 「User defined」 と し ます。 [Client Entries] ボ ッ ク ス の 「ELA」 にチ ェ ッ ク マー ク を付け ます。 Secure Internal Communication を初期化す る 必要があ り ます (次の ス テ ッ プ を参 照)。 3. SIC を初期化 し ます。 [Communication...] ボ タ ン を ク リ ッ ク し 、表示 さ れたボ ッ ク ス でパ ス ワー ド を選択 し ま す。 後で証明書を Firewall Director に取 り 込む と き に、 こ のパ ス ワー ド を使用 し ます。 注 - 初期化が終了す る と 、 「Initialized but trust not established」 と い う 信頼ス テー ト が 表示 さ れ ます。 こ れは正常な状態で あ り 、 SIC 証明書が Check Point 管理サーバーか ら 取 り 込ま れた後で も 変わ り ません (手順 5 (483 ページ) を参照)。 217014-B-JA, 2005 年 12 月 付録 B : Event Logging API 479 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 4. ク ラ ス タ のすべての Firewall Director に対 し 、 処理を繰 り 返 し ます。 OPSEC タ ブ を選択す る と 、 Policy Manager に OPSEC アプ リ ケーシ ョ ンが表示 さ れ ま す。 ク ラ ス タ の Firewall Director ご と に 1 つのアプ リ ケーシ ョ ン を作成す る 必要があ り ます。 5. Firewall Director にポ リ シー ルールベース を イ ン ス ト ール し ます。 メ ニ ュ ー バーで、 [Policy] → [Install] を選択 し ます。 [Install Policy] ウ ィ ン ド ウ が表示 さ れた ら 、 ク ラ ス タ オブジ ェ ク ト を選択 し 、 [OK] ボ タ ン を ク リ ッ ク し ます。 注 - Check Point ア ンチ ス プーフ ィ ン グ機能が有効にな っ ていない場合は、 警告 メ ッ セージが表示 さ れ ます。 使用中の フ ァ イ ア ウ ォ ールにア ンチ ス プーフ ィ ン グが必要 か ど う か を確認す る には、 http://www.checkpoint.com/support/technical/documents/index.html (ID と パ ス ワ ー ド が必要) の Check Point ド キ ュ メ ン ト を参照 し て く だ さ い。 480 付録 B : Event Logging API 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス [OK] ボ タ ン を ク リ ッ ク し て、 ルールベース の イ ン ス ト ールを開始 し ます。 プ ロ セ ス が完了 し た ら 、 [Install Policy] ウ ィ ン ド ウ を閉 じ ます。 217014-B-JA, 2005 年 12 月 付録 B : Event Logging API 481 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Firewall Director の設定 すべての Firewall Director の設定は、 CLI ま たは BBI を使用 し て行い ます。 以下の手 順では、BBI 方法を使用 し ます。CLI を使用 し た ELA の設定については、「[ELA Logging Menu]」 (321 ページ) を参照 し て く だ さ い。 1. ク ラ ス タ MIP ア ド レ ス を使用 し て BBI に ロ グオ ン し ます。 2. [Cluster] / [ELA] フ ォ ームを選択 し 、 全般設定を定義 し ます。 以下の よ う に項目を設定 し ます。 [Status] には 「enabled」 を設定 し ます。 [Management Station IP] には、 ド ッ ト 付 き 10 進表記で Check Point 管理ス テー シ ョ ンの IP ア ド レ ス を設定 し ます。 レベルの設定を変更 し たい場合は、 [Minimum Severity] を設定 し ます。 指定 さ れた 重大度レベル以上の メ ッ セージは、 すべて ELA に ロ ギ ン グ さ れ ます。 サーバー識別名を指定 し ます (設定方法については、 次の手順を参照)。 482 付録 B : Event Logging API 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 3. サーバーの識別名を取得 し ます。 Check Point SmartDashboard 管理ツールで、表示 さ れた ア イ コ ン を ダブル ク リ ッ ク し 、 管理 サ ー バ ー の プ ロ パ テ ィ に ア ク セ ス し ま す。 識別名 (DN) は、 [Secure Internal Communication] エ リ アに存在 し ます。 [BBI] ウ ィ ン ド ウ で、 [Server Distinguished Name] を必ず設定 し ます。 4. [BBI Cluster] / [ELA] フ ォ ームで設定を保存 し 、 適用 し ます。 [Update] ボ タ ン を ク リ ッ ク し て変更を送信 し ます。 次に、 グ ロ ーバル [Apply] ボ タ ン を使用 し て変更を反映 さ せます。 5. 管理サーバーか ら SIC 証明書を取 り 込みます。 ELA が機能す る には、 SIC 通信用の証明書を各 Firewall Director に別々に イ ン ス ト ー ルす る 必要があ り ます。 [Cluster] / [ELA] フ ォ ームの [Pull SIC Certificate] セ ク シ ョ ン で、 パ ラ メ ー タ を以下の よ う に設定 し ます。 [Host IP] には更新対象の Firewall Director の IP ア ド レ ス (MIP ア ド レ ス ではあ り ません) を設定 し ます。 [Client SIC Name] には、 Check Point SmartDashboard 管理ツールで OPSEC アプ リ ケーシ ョ ン を 作成 し た と き に指定 し た名前 を 設定 し ま す。 各ホ ス ト は、 一意の OPSEC アプ リ ケーシ ョ ン にマ ッ ピ ン グす る 必要があ り ます。 こ の例では、OPSEC アプ リ ケーシ ョ ン の 「ela1」 に、 ホ ス ト 10.10.1.1 を設定 し てい ます。 OPSEC ア プリ ケ ーショ ン の SIC を 設定し たと き に指定し たパス ワ ード を 、こ のパ ス ワ ード に設定し ま す。 6. [Submit Certificate] ボ タ ン を ク リ ッ ク し て終了 し ます。 217014-B-JA, 2005 年 12 月 付録 B : Event Logging API 483 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Check Point SmartView Tracker ロ グ を表示す る には、 Check Point SmartView Tracker を開 き ます。 Check Point FireWall-1 NG の こ の リ リ ー ス では、 SmartView Tracker ツ ールの ロ グ の [Origin] は不正確な場合があ り ま す。 ロ グ メ ッ セージの送信元 Firewall Director を確 認す る 場合、 ロ グ メ ッ セージ自体のテ キ ス ト ( ソ ー ス Firewall Director を含み ま す) の方が信頼で き る 場合があ り ます。 ロ ギ ン グは、 フ ァ イ ア ウ ォ ール と レ ジ ス ト リ が Firewall Director で正常に機能 し てい ない限 り 実行 さ れ ません。 こ れは、 起動プ ロ セ ス の後半で行われ ます。 メ ッ セージは、 ELA logging server に送信可能 と な る ま で、 ロ ーカルのキ ャ ッ シ ュ に格納 さ れ ます。 し たがっ て、 再起動後に メ ッ セージが表示 さ れ る ま で、 し ば ら く 時間がかか る こ と があ り ます。 484 付録 B : Event Logging API 217014-B-JA, 2005 年 12 月 付録 C ト ラ ブルシ ュ ーテ ィ ング こ の付録には、 Nortel Switched Firewall の使用時に発生す る 可能性のあ る 問題 と その 解決策について説明 し ます。 「Firewall Accelerator が見つか ら ない」 (486 ページ) 「管理ス テーシ ョ ン と Firewall Director の間で信頼を確立で き ない」 (487 ページ) 「Firewall Director で通信のチ ェ ッ ク またはポ リ シーのダウ ン ロー ド がで き ない」 (489 ページ) 「他のデバイ ス と 使用 し た場合にパ フ ォ ーマ ン スが低下する」 (490 ページ) 「SmartClient か ら SmartCenter ス テーシ ョ ン に ロ グ イ ン で き ない」 (490 ページ) 「Check Point か ら Firewall Director に接続失敗 メ ッ セージが送信 さ れる」 (491 ページ) 「 ト ラ フ ィ ッ クの混雑時にパ フ ォ ーマ ン スが低下する」 (491 ページ) 「デ フ ォル ト ゲー ト ウ ェ イ に接続で き ない」 (492 ページ) 「ロ グ メ ッ セージが表示 さ れない」 (493 ページ) 「ポ リ シーを適用で き ない」 (494 ページ) 「サポー ト チケ ッ ト を開 く 前に」 (495 ページ) 485 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Firewall Accelerator が見つから ない こ の事例では、 Firewall Director が起動 し た と き 、 50 秒以内に Firewall Accelerator を 検出で き な い場合につい て説明 し ま す (auto discovery がオ ン に な っ て い る 場 合)。 /cfg/acc/det コ マ ン ド では、 Firewall Accelerator の MAC ア ド レ ス が表示 さ れ ません。 対処 Firewall Accelerator の電源を入れ ます。 Firewall Accelerator に Firewall Accelerator ソ フ ト ウ ェ アが イ ン ス ト ール さ れてい る こ と を確認 し ます。 Firewall Accelerator が出荷時のデフ ォ ル ト 設定で起動 し てい る こ と を確認 し ま す。 Firewall Director を Firewall Accelerator の NAAP ポー ト の 1 つに接続 し ます。 Firewall Director が接続 さ れた NAAP ポー ト を有効に し ます。 Firewall Accelerator の link と active イ ン ジ ケー タ ラ イ ト は 「オ ン」 にな り 、 点滅 し ないはずです。 Firewall Accelerator の NAAP ポー ト を Firewall Director の 1st Gig ポー ト に接続 し ます。 Firewall Director ポ ー ト の 詳 細 に つ い て は、 『Nortel Switched Firewall Hardware Installation Guide』 を参照 し て く だ さ い。 Firewall Director と Firewall Accelerator の電源を オ フ に し 、 オ ン に し ます。 486 付録 C : ト ラ ブルシ ュ ーテ ィ ン グ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 管理ス テ ー シ ョ ン と Firewall Director の間で信 頼を確立で き ない こ の事例では、 ユーザーが管理ス テーシ ョ ン と Firewall Director と の間で信頼を確立 で き ない問題を扱い ます。 対処 以下の手順を実行 し て信頼ス テー タ ス を確認 し ます。 通信ス テー タ ス をチ ェ ッ ク し ます。 Check Point SmartDashboard 管理 ツ ールで Firewall Director の プ ロ パ テ ィ を 表示 し 、[Communication] ボ タ ン を ク リ ッ ク し ます。[Trust Status] に [Trust Established] が表示 さ れない場合、 処理を続け ます。 SIC ス テー タ ス を テ ス ト し ます。 [Test-Sic-Status] を ク リ ッ ク し ま す。 その結果、 [communicating] が表示 さ れた場 合、 処理を続け ます。 ネ ッ ト ワ ー ク 接続を確認 し ます。 ホ ス ト 名を使用 し てい る 場合、 Firewall Director 名が正 し い IP ア ド レ ス に解決 さ れ る こ と を確認 し ます。 Firewall Director で フ ァ イ ア ウ ォ ール ソ フ ト ウ ェ アが有効にな っ てい る こ と を確 認 し ます。 管理者ア カ ウ ン ト を使用 し て Firewall Director に ロ グ イ ン し 、 以下の CLI コ マ ン ド を入力 し ます。 >> # /cfg/fw/cur フ ァ イ ア ウ ォ ールが有効に な っ て い な い場合、 以下の CLI コ マ ン ド を 入力 し ま す。 >> # /cfg/fw/ena >> # apply 注 - フ ァ イ ア ウ ォールを有効に し た後、完全に作動す る ま で数分かか る こ と があ り ま す。 フ ァ イ ア ウ ォ ールが作動 し た ら 、 SmartDashboard 管理ツールで通信ス テー タ ス と SIC ス テー タ ス を再チ ェ ッ ク し ます。 Firewall Director では、 管理ス テーシ ョ ン (SmartCenter) か ら の SIC 要求を処理 す る 余裕があ る こ と を確認 し ます。 ト ラ フ ィ ッ ク に対す る 負荷が大 き すぎ る 場合、 ト ラ フ ィ ッ ク を減 ら し 、 も う 一度 信頼の確立を試行 し ます。 217014-B-JA, 2005 年 12 月 付録 C : ト ラ ブルシ ュ ーテ ィ ン グ 487 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス イ ン タ フ ェース の更新を確認 し ます。 ト ポ ロ ジー を 更新 し た か、 IP イ ン タ フ ェ ー ス を 変更 し た場合、 更新 し た ト ポ ロ ジーに対 し て [Get Interfaces] を実行 し 、設定を確認 し ます。 リ ン ク が有効であ り 、 更新 さ れた イ ン タ フ ェ ース が表示 さ れ る こ と を確認 し ます。 Firewall Director が管理ス テーシ ョ ン か ら の ト ラ フ ィ ッ ク を破棄 し てい る か ど う か を確認 し ます。 root ア カ ウ ン ト を使用 し て Firewall Director に ロ グ イ ン し ます。 root ア カ ウ ン ト か ら 、 以下の コ マ ン ド を実行 し ます。 # fw monitor 管理 ス テーシ ョ ン か ら のパケ ッ ト が破棄 さ れてい る 場合、 admin と し て ロ グ イ ン し 、以下の CLI コ マ ン ド を使用 し て フ ァ イ ア ウ ォ ール ポ リ シーを ア ン ロ ー ド し ま す。 >> # /maint/diag/unldplcy フ ァ イ ア ウ ォ ール ポ リ シーがア ン ロ ー ド さ れた ら 、 も う 一度信頼の確立を試行 し ます。 SIC を リ セ ッ ト し ます。 SmartCenter ス テーシ ョ ン で、 Firewall Director オブジ ェ ク ト に対す る SIC を リ セ ッ ト し ます。 SmartDashboard か ら SIC を も う 一度初期化 し ます。 Firewall Director に対す る SIC を リ セ ッ ト し ます。 >> # /cfg/fw/sic Enter the host IP address:10.10.1.1 Enter the new Check Point SIC Password: Confirm password: Firewall Director、Check Point SmartCenter、お よ び Check Point SmartClient を再起 動 し ま す。 すべて のシ ス テ ム が再起動 し た ら 、 も う 一度 フ ァ イ ア ウ ォ ール ポ リ シーを ア ン ロ ー ド し ます。 1 分間待っ た後、 も う 一度信頼の確立を試行 し ます。 488 付録 C : ト ラ ブルシ ュ ーテ ィ ン グ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Firewall Director で 通信のチ ェ ッ ク ま たはポ リ シーのダウン ロー ド がで き ない ポ リ シーを Firewall Director にダ ウ ン ロ ー ド し た後は、 通信のチ ェ ッ ク を し た り 、 そ のポ リ シーを再度ダ ウ ン ロ ー ド し た り す る こ と はで き ません。 対処 Firewall Director と Check Point 管理サーバー間の リ ン ク が機能 し てい る こ と を確 認 し ます。 Check Point 管理サーバーの IP ア ド レ ス を確認 し ます。 管理サーバー オブジ ェ ク ト の IP ア ド レ ス が正 し い こ と を確認 し ます。 管理サー バーに複数の NIC ア ダプ タ があ る 場合、 IP ア ド レ ス は Firewall Director に接続 さ れた ア ダプ タ の も のであ る こ と を確認 し ます。 admin ア カ ウ ン ト を使用 し て Firewall Director に ロ グ イ ン し 、以下の CLI コ マ ン ド を使用 し て フ ァ イ ア ウ ォールの既存のポ リ シーを削除 し ます。 >> # /maint/diag/unldplcy 次に、 管理 ク ラ イ ア ン ト の イ ン タ フ ェース を取得 し ます。 通信をチ ェ ッ ク し 、 ポ リ シーを ダ ウ ン ロ ー ド し ます。 注 - Firewall Director コ ン ソ ールか ら イ ン タ フ ェース を add/delete し た後、 SmartDashboard 管理ツールの更新を忘れ る こ と が よ く あ り ます。 そ う す る と 、 誤っ た イ ン タ フ ェース が使用 さ れたために、 ア ンチ ス プーフ ィ ン グに よ っ て ト ラ フ ィ ッ ク がブ ロ ッ ク さ れ ます。 217014-B-JA, 2005 年 12 月 付録 C : ト ラ ブルシ ュ ーテ ィ ン グ 489 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 他のデバイ ス と 使用 し た場合にパフ ォ ーマ ン ス が低下する こ の事例で は、 Nortel Switched Firewall を 他のルー タ ー と と も に使用 し た 場合のパ フ ォ ーマ ン ス の低下について説明 し ます。 対処 Firewall Accelerator コ ン ソ ールか ら 以下の操作を行い ます。 他のデバ イ ス に接続す る ポー ト の リ ン ク パ ラ メ ー タ を手動で設定 し ます。 自動ネ ゴ シエーシ ョ ン を オ フ に し ます。 正 し い速度 (10、 100、 1000) を設定 し 、 二重モー ド (全、 半) に設定 し ます。 も う 一方のルー タ ーま たは Firewall Accelerator も 同 じ よ う に設定 し ます。 Firewall Accelerator を再起動 し ます。 SmartClient か ら SmartCenter ス テ ー シ ョ ン に ロ グ イ ン で き ない 管理 ク ラ イ ア ン ト が Check Point SmartCenter ス テーシ ョ ンに ロ グ イ ン で き ません。 対処 管理 ク ラ イ ア ン ト と SmartCenter ス テーシ ョ ン が同 じ ネ ッ ト ワー ク にない場合、 Check Point Management Interface (CPMI) が こ れ ら 2 つのネ ッ ト ワー ク を通過で き る よ う にす る ルールを追加 し ます。 SmartCenter ス テーシ ョ ン で cpconfig コ マ ン ド を入力 し 、 管理 ク ラ イ ア ン ト の IP ア ド レ ス が承認済み リ ス ト にあ る か ど う か を確認 し ます。 490 付録 C : ト ラ ブルシ ュ ーテ ィ ン グ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Check Point か ら Firewall Director に 接続失敗 メ ッ セージが送信 さ れる こ の事例で は、 セ ッ シ ョ ン 中に fwconn_record_conn: Id_set_wto(connections) failed メ ッ セージ を受け取っ た場合について説明 し ます。 こ の よ う な状況 は、 Check Point のセ ッ シ ョ ン限界に達 し た場合に起 こ り ま す。 デフ ォ ル ト の接続数 は 25000 です。 対処 SmartCenter ス テーシ ョ ンのセ ッ シ ョ ン制限数を増や し 、[Policy] → [Global Properties] メ ニ ュ ーの [Stateful Inspection] タ ブで TCP 終了 タ イ ム ア ウ ト (15 秒) の上限を減 ら し ま す。 ゲー ト ウ ェ イ ク ラ ス タ オ ブ ジ ェ ク ト の プ ロ パ テ ィ を 編集 し 、 Application Intelligence 管理サーバーの接続の制限数を増やすには、 「Check Point NG パ フ ォ ーマ ン スの調整」 (472 ページ) を参照 し て く だ さ い。 ト ラ フ ィ ッ クの混雑時にパフ ォ ーマ ン スが低下 する こ の事例では、 ト ラ フ ィ ッ ク の混雑時にパフ ォ ーマ ン ス が低下す る 場合について説明 し ます。 「Check Point NG パ フ ォ ーマ ン スの調整」 (472 ページ) の説明どお り に SmartCenter ス テーシ ョ ンが設定 さ れてい る こ と を確認 し ます。 管理者ア カ ウ ン ト を使用 し て ロ グ イ ン し 、 CLI か ら /info/clu コ マ ン ド を実行 し ま す。 Firewall Director の フ ァ イ ア ウ ォ ール ス テー タ ス がア ク セ ラ レ ーシ ョ ン さ れていない場合、/cfg/fw/accel y コ マ ン ド を実行 し ます。 フ ァ イ ア ウ ォー ル ア ク セ ラ レーシ ョ ンは、 一度有効にな る と 、 ユーザーの手動操作な し に自動的 に再開 さ れ ます。 217014-B-JA, 2005 年 12 月 付録 C : ト ラ ブルシ ュ ーテ ィ ン グ 491 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス デ フ ォル ト ゲー ト ウ ェ イ に接続で き ない こ の事例では、 ロ ーカル ポ リ シーに よ り NSF イ ン タ フ ェース で ICMP パケ ッ ト が許 可 さ れ て い な い た め、 デ フ ォ ル ト ゲ ー ト ウ ェ イ の リ タ ー ン パ ケ ッ ト が Firewall Accelerator に戻 さ れない場合について説明 し ます。 対処 Firewall Director で以下の コ マ ン ド を使用 し て、ヘル ス チ ェ ッ ク タ イ プ を ARP に 設定 し ます。 /cfg/net/route/gate/gw < ゲー ト ウ ェ イ番号 >/ arp y /info/acc コ マ ン ド を使用 し 、 ゲー ト ウ ェ イ が動作 し てい る か ど う か を確認 し ます。 別の Firewall Director か ら 、 次のホ ッ プ を ping し た と き 、 ホ ス ト ARP キ ャ ッ シ ュ に有効な ARP 応答を受け る こ と を確認 し ま す。 ARP 応答を受け て も ゲー ト ウ ェ イ が動作 し ていない場合、 NSF に重複す る ア ド レ ス を設定 し ていない こ と を確認 し ます。 /cfg/net/if x/addr n ま たは /cfg/net/if x vrrp/ip1 (ip2) を使用 し て追加ア ド レ ス を入力 し ます。 492 付録 C : ト ラ ブルシ ュ ーテ ィ ン グ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ロ グ メ ッ セージが表示 さ れない こ の事例では、 ロ グ メ ッ セージが Check Point ロ グ サーバーに表示 さ れない場合に ついて説明 し ます。 対処 管理サーバー と Firewall Director と の間の SIC 通信を確認 し ます。 確認で き な か っ た場合、 以下の コ マ ン ド を入力 し て Director を ア ン ロ ー ド し ます。 admin と し て ロ グ イ ン し 、 以下の よ う に入力 し ます。 /cfg/fw/accel/n root と し て ロ グ イ ン し 、 以下の よ う に入力 し ます。 fw unloadlocal 管理 イ ン タ フ ェ ー ス を ping し ま す。 ping は機能す る が SIC は機能 し ていない場 合、 すべてのデバ イ ス の SIC を リ セ ッ ト し 、 論理デー タ パ ス に通信を ブ ロ ッ ク す る ACL ま たは フ ァ イ ア ウ ォ ール ルールがない こ と を確認 し ま す。 SIC が ま だ機 能 し ない場合、 管理サーバーか ら オブジ ェ ク ト を削除 し 、 オブジ ェ ク ト を再作成 し て、 SIC の確立を試行 し ます。 SIC が機能 し てい る 場合、 以下の操作を行い ます。 (i) 管理サーバーで cpstop を実行 し 、 次に cpstart を実行 し ます。 (ii) CLI に ロ グ イ ン し 、 フ ァ イ ア ウ ォールを無効に し 、 有効に し ます。 (iii) 各フ ァ イ ア ウ ォ ールに root と し て ロ グ イ ン し 、 以下の よ う に管理サーバー か ら ポ リ シーを取得 し ます。 fw fetch ip < 管理サーバーの IP ア ド レ ス > (iv) 各 Firewall Director で手順 (iii) を実行 し ます。 217014-B-JA, 2005 年 12 月 付録 C : ト ラ ブルシ ュ ーテ ィ ン グ 493 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス ポ リ シーを適用で き ない こ の事例では、 管理 イ ン タ フ ェース と 接続で き ない場合について説明 し ます。 対処 NSF と 要求ホ ッ プ と の間のゲー ト ウ ェ イ ま たは次のホ ッ プが機能 し てお り 、 ア ク テ ィ ブであ る こ と を確認 し ます。 それには、 別のデバ イ ス か ら 次のホ ッ プ イ ン タ フ ェ ー ス を ping す る か、 Firewall Accelerator で /info/ip コ マ ン ド を使用 し ま す。 応答を受け取 ら ない場合、 「デ フ ォ ル ト ゲー ト ウ ェ イ に接続で き ない」 (492 ページ) に進んで く だ さ い。 以下の コ マ ン ド を入力 し 、 も う 一度管理 イ ン タ フ ェースへの接続を試行 し ます。 admin と し て ロ グ イ ン し 、 以下の よ う に入力 し ます。 /cfg/fw/accel/n root と し て ロ グ イ ン し 、 以下の よ う に入力 し ます。 fw unloadlocal 論理デー タ パ ス に通信を妨げ る ACL、 フ ィ ル タ 、 ま たはフ ァ イ ア ウ ォ ール ルー ルがない こ と を確認 し ます。 494 付録 C : ト ラ ブルシ ュ ーテ ィ ン グ 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス サポー ト チケ ッ ト を開 く 前に ノ ーテル カ ス タ マ サポー ト に問い合わせ る 前に、 技術サポー ト のプ ロ セ ス を迅速に 行 う ため、 以下の情報を収集 し て く だ さ い。 問題解決には さ ら に情報が必要な こ と が あ り ますが、 以下の情報を収集すれば、 ノ ーテル サポー ト チームは迅速に対応で き る よ う にな り ます。 1. 各 Firewall Director か らの EXDUMP /maint/tsdump/exdump コ マ ン ド を 使用 し て 情 報 を 収集 し ま す。 こ れ に よ り 、 /maint/tsdump/ftp コ マ ン ド を使用 し てデバ イ ス に フ ァ イ ルの FTP を開始す る 場合に必要なダ ン プが作成 さ れます。 ま た、 リ ソ ース の利用率が高いために EXDUMP が実行で き ない場合、 フ ロ ッ ピー デ ィ ス ク か ら TSDUMP ス ク リ プ ト を ロ ー ド し て実 行 し 、 ロ グか ら 必要なデー タ を自動的に抽出で き ます。 TSDUMP ス ク リ プ ト は、 ノ ー テル カ ス タ マ サポー ト チーム か ら 入手で き ます。 2. ネ ッ ト ワー ク図 こ の図では、 論理お よ び物理アーキ テ ク チ ャ を包含す る 必要があ り ます。 こ の要件を 満たすため、 必要に応 じ て 2 つの図を使用す る こ と も で き ます。 フ ァ イ ル サ イ ズ を で き る だけ小 さ く す る ため、 .jpg ま たは .gif 形式を使用す る こ と をお勧め し ます。 3. 問題の詳 し い説明を用意 し ます。 NSF ま たは NSF に接続 さ れたデバ イ ス か ら 収集 さ れた ト ラ ブルシ ュ ーテ ィ ン グに関 す る 情報は、 問題の早期特定に役立ち ます。 4. 管理ス テーシ ョ ンか ら の情報 Check Point 情報の収集中は GUI を閉 じ ます。 5. (オプ シ ョ ン) 問題発生時に Check Point ロ グ を エ ク スポー ト し ます。 Check Point Log Viewer か ら ロ グ を収集 し ます。 6. (オプ シ ョ ン) スニ フ ァ ト レース チケ ッ ト を開いた後、 問題の ス ニ フ ァ ト レ ー ス を キ ャ プチ ャ し ま す。 ト レ ー ス はす ぐ には必要ないか も し れ ま せんが、 初期デー タ の検討後に必要にな る こ と が あ り ま す。 上記の情報をすべて収集 し た後、 1-800-4NORTEL に連絡 し 、 オプシ ョ ン 1 を押 し 、 ERC 343 を使用 し ます。 新 し いチケ ッ ト を作成 し 、 件名にケース番号を示 し て、 電子 メ ールで [email protected] に情報を送信 し て く だ さ い。 217014-B-JA, 2005 年 12 月 付録 C : ト ラ ブルシ ュ ーテ ィ ン グ 495 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 496 付録 C : ト ラ ブルシ ュ ーテ ィ ン グ 217014-B-JA, 2005 年 12 月 付録 D ソ フ ト ウ ェ ア ラ イセンス Nortel Switched Firewall には、 以下の ラ イ セ ン ス が適用 さ れ る ソ フ ト ウ ェ アが含 ま れ てい ます。 Apache Software Licence The Apache Software License, Version 1.1 Copyright (c) 2000 The Apache Software Foundation. All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. The end-user documentation included with the redistribution, if any, must include the following acknowledgment: "This product includes software developed by the Apache Software Foundation (http://www.apache.org/)." Alternately, this acknowledgment may appear in the software itself, if and wherever such third-party acknowledgments normally appear. 4. The names "Apache" and "Apache Software Foundation" must not be used to endorse or promote products derived from this software without prior written permission. For written permission, please contact [email protected]. 5. Products derived from this software may not be called "Apache", nor may "Apache" appear in their name, without prior written permission of the Apache Software Foundation. THIS SOFTWARE IS PROVIDED "AS IS" AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE APACHE SOFTWARE FOUNDATION OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. This software consists of voluntary contributions made by many individuals on behalf of the Apache Software Foundation. For more information on the Apache Software Foundation, please see <http://www.apache.org/>. Portions of this software are based upon public domain software originally written at the National Center for Supercomputing Applications, University of Illinois, Urbana-Champaign. 497 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス mod_ssl License LICENSE The mod_ssl package falls under the Open-Source Software label because it's distributed under a BSD-style license. The detailed license information follows. Copyright (c) 1998-2001 Ralf S. Engelschall. All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgment: "This product includes software developed by Ralf S. Engelschall <[email protected]> for use in the mod_ssl project (http://www.modssl.org/)." 4. The names "mod_ssl" must not be used to endorse or promote products derived from this software without prior written permission. For written permission, please contact [email protected]. 5. Products derived from this software may not be called "mod_ssl" nor may "mod_ssl" appear in their names without prior written permission of Ralf S. Engelschall. 6. Redistributions of any form whatsoever must retain the following acknowledgment: "This product includes software developed by Ralf S. Engelschall <[email protected]> for use in the mod_ssl project (http://www.modssl.org/)." THIS SOFTWARE IS PROVIDED BY RALF S. ENGELSCHALL "AS IS" AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL RALF S. ENGELSCHALL OR HIS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. 498 付録 D : ソ フ ト ウ ェ ア ラ イ セ ン ス 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス OpenSSL and SSLeay Licenses LICENSE ISSUES The OpenSSL toolkit stays under a dual license, i.e. both the conditions of the OpenSSL License and the original SSLeay license apply to the toolkit. See below for the actual license texts. Actually both licenses are BSD-style Open Source licenses. In case of any license issues related to OpenSSL please contact [email protected]. OpenSSL License Copyright (c) 1998-2001 The OpenSSL Project. All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgment: "This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit.(http://www.openssl.org/)" 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to endorse or promote products derived from this software without prior written permission. For written permission, please contact [email protected]. 5. Products derived from this software may not be called "OpenSSL" nor may "OpenSSL" appear in their names without prior written permission of the OpenSSL Project. 6. Redistributions of any form whatsoever must retain the following acknowledgment: "This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit (http://www.openssl.org/)" THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT "AS IS" AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. This product includes cryptographic software written by Eric Young ([email protected]). This product includes software written by Tim Hudson ([email protected]). 217014-B-JA, 2005 年 12 月 付録 D : ソ フ ト ウ ェ ア ラ イ セ ン ス 499 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス Original SSLeay License Copyright (C) 1995-1998 Eric Young ([email protected]) All rights reserved. This package is an SSL implementation written by Eric Young ([email protected]). The implementation was written so as to conform with Netscapes SSL. This library is free for commercial and non-commercial use as long as the following conditions are adhered to. The following conditions apply to all code found in this distribution, be it the RC4, RSA, lhash, DES, etc., code; not just the SSL code. The SSL documentation included with this distribution is covered by the same copyright terms except that the holder is Tim Hudson ([email protected]). Copyright remains Eric Young's, and as such any Copyright notices in the code are not to be removed. If this package is used in a product, Eric Young should be given attribution as the author of the parts of the library used. This can be in the form of a textual message at program startup or in documentation (online or textual) provided with the package. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgement: "This product includes cryptographic software written by Eric Young ([email protected])" The word 'cryptographic' can be left out if the routines from the library being used are not cryptographic related. 4. If you include any Windows specific code (or a derivative thereof) from the apps directory (application code) you must include an acknowledgement: "This product includes software written by Tim Hudson ([email protected])" THIS SOFTWARE IS PROVIDED BY ERIC YOUNG "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. The licence and distribution terms for any publicly available version or derivative of this code cannot be changed. i.e. this code cannot simply be copied and put under another distribution licence [including the GNU Public Licence.] 500 付録 D : ソ フ ト ウ ェ ア ラ イ セ ン ス 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス PHP License The PHP License, version 2.02 Copyright (c) 1999, 2000 The PHP Group. All rights reserved. Redistribution and use in source and binary forms, with or without modification, is permitted provided that the following conditions are met: 1. 2. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. The name "PHP" must not be used to endorse or promote products derived from this software without prior permission from the PHP Group. This does not apply to add-on libraries or tools that work in conjunction with PHP. In such a case the PHP name may be used to indicate that the product supports PHP. 4. The PHP Group may publish revised and/or new versions of the license from time to time. Each version will be given a distinguishing version number. Once covered code has been published under a particular version of the license, you may always continue to use it under the terms of that version. You may also choose to use such covered code under the terms of any subsequent version of the license published by the PHP Group. No one other than the PHP Group has the right to modify the terms applicable to covered code created under this License. 5. Redistributions of any form whatsoever must retain the following acknowledgment: "This product includes PHP, freely available from http://www.php.net/". 6. The software incorporates the Zend Engine, a product of Zend Technologies, Ltd. ("Zend"). The Zend Engine is licensed to the PHP Association (pursuant to a grant from Zend that can be found at http://www.php.net/license/ZendGrant/) for distribution to you under this license agreement, only as a part of PHP. In the event that you separate the Zend Engine (or any portion thereof) from the rest of the software, or modify the Zend Engine, or any portion thereof, your use of the separated or modified Zend Engine software shall not be governed by this license, and instead shall be governed by the license set forth at http://www.zend.com/license/ZendLicense/. THIS SOFTWARE IS PROVIDED BY THE PHP DEVELOPMENT TEAM ``AS IS'' AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE PHP DEVELOPMENT TEAM OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. This software consists of voluntary contributions made by many individuals on behalf of the PHP Group. The PHP Group can be contacted via E-mail at [email protected]. For more information on the PHP Group and the PHP project, please see <http://www.php.net>. 217014-B-JA, 2005 年 12 月 付録 D : ソ フ ト ウ ェ ア ラ イ セ ン ス 501 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス SMTPclient License LICENSE SMTPclientsimple SMTP client Copyright (C) 1997 Ralf S. Engelschall, All Rights Reserved. This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version. This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details. You should have received a copy of the GNU General Public License in the file COPYING along with this program; if not, write to: Free Software Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA. Notice, that "free software" addresses the fact that this program is distributed under the term of the GNU General Public License and because of this, it can be redistributed and modified under the conditions of this license, but the software remains copyrighted by the author. Don't intermix this with the general meaning of Public Domain software or such a derivative distribution label. The author reserves the right to distribute following releases of this program under different conditions or license agreements. Ralf S. Engelschall [email protected] www.engelschall.com 502 付録 D : ソ フ ト ウ ェ ア ラ イ セ ン ス 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス GNU General Public License GNU GENERAL PUBLIC LICENSE Version 2, June 1991 Copyright (C) 1989, 1991 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed. Preamble The licenses for most software are designed to take away your freedom to share and change it. By contrast, the GNU General Public License is intended to guarantee your freedom to share and change free software--to make sure the software is free for all its users. This General Public License applies to most of the Free Software Foundation's software and to any other program whose authors commit to using it.(Some other Free Software Foundation software is covered by the GNU Library General Public License instead.)You can apply it to your programs, too. When we speak of free software, we are referring to freedom, not price. Our General Public Licenses are designed to make sure that you have the freedom to distribute copies of free software (and charge for this service if you wish), that you receive source code or can get it if you want it, that you can change the software or use pieces of it in new free programs; and that you know you can do these things. To protect your rights, we need to make restrictions that forbid anyone to deny you these rights or to ask you to surrender the rights. These restrictions translate to certain responsibilities for you if you distribute copies of the software, or if you modify it. For example, if you distribute copies of such a program, whether gratis or for a fee, you must give the recipients all the rights that you have. You must make sure that they, too, receive or can get the source code. And you must show them these terms so they know their rights. We protect your rights with two steps:(1) copyright the software, and (2) offer you this license which gives you legal permission to copy, distribute and/or modify the software. Also, for each author's protection and ours, we want to make certain that everyone understands that there is no warranty for this free software. If the software is modified by someone else and passed on, we want its recipients to know that what they have is not the original, so that any problems introduced by others will not reflect on the original authors' reputations. Finally, any free program is threatened constantly by software patents. We wish to avoid the danger that redistributors of a free program will individually obtain patent licenses, in effect making the program proprietary. To prevent this, we have made it clear that any patent must be licensed for everyone's free use or not licensed at all. The precise terms and conditions for copying, distribution and modification follow. 217014-B-JA, 2005 年 12 月 付録 D : ソ フ ト ウ ェ ア ラ イ セ ン ス 503 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス GNU GENERAL PUBLIC LICENSE TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION 0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law:that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language.(Hereinafter, translation is included without limitation in the term "modification".)Each licensee is addressed as "you". Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does. 1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program. You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee. 2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions: a) You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change. b) You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License. c) If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License.(Exception:if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.) These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it. Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program. In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License. 504 付録 D : ソ フ ト ウ ェ ア ラ イ セ ン ス 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following: a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or, b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or, c) Accompany it with the information you received as to the offer to distribute corresponding source code.(This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.) The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable. If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code. 4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance. 5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it. 6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License. 7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program. If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances. It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice. This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License. 217014-B-JA, 2005 年 12 月 付録 D : ソ フ ト ウ ェ ア ラ イ セ ン ス 505 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License. 9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns. Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation. 10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally. NO WARRANTY 11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION. 12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. END OF TERMS AND CONDITIONS 506 付録 D : ソ フ ト ウ ェ ア ラ イ セ ン ス 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス How to Apply These Terms to Your New Programs If you develop a new program, and you want it to be of the greatest possible use to the public, the best way to achieve this is to make it free software which everyone can redistribute and change under these terms. To do so, attach the following notices to the program. It is safest to attach them to the start of each source file to most effectively convey the exclusion of warranty; and each file should have at least the "copyright" line and a pointer to where the full notice is found. <one line to give the program's name and a brief idea of what it does.> Copyright (C) 19yy <name of author> This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version. This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details. You should have received a copy of the GNU General Public License along with this program; if not, write to the Free Software Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA Also add information on how to contact you by electronic and paper mail. If the program is interactive, make it output a short notice like this when it starts in an interactive mode: Gnomovision version 69, Copyright (C) 19yy name of author Gnomovision comes with ABSOLUTELY NO WARRANTY; for details type 'show w'. This is free software, and you are welcome to redistribute it under certain conditions; type 'show c' for details. The hypothetical commands 'show w' and 'show c' should show the appropriate parts of the General Public License. Of course, the commands you use may be called something other than 'show w' and 'show c'; they could even be mouse-clicks or menu items--whatever suits your program. You should also get your employer (if you work as a programmer) or your school, if any, to sign a "copyright disclaimer" for the program, if necessary. Here is a sample; alter the names: Yoyodyne, Inc., hereby disclaims all copyright interest in the program 'Gnomovision' (which makes passes at compilers) written by James Hacker. <signature of Ty Coon>, 1 April 1989 Ty Coon, President of Vice This General Public License does not permit incorporating your program into proprietary programs. If your program is a subroutine library, you may consider it more useful to permit linking proprietary applications with the library. If this is what you want to do, use the GNU Library General Public License instead of this License. 217014-B-JA, 2005 年 12 月 付録 D : ソ フ ト ウ ェ ア ラ イ セ ン ス 507 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 508 付録 D : ソ フ ト ウ ェ ア ラ イ セ ン ス 217014-B-JA, 2005 年 12 月 索引 記号 E /.......................................................... 228, 466 [ ] .................................................................17 EtherChannel ポー ト の ト ラ ン ク 化での使用................. 353 A F action (SLB フ ィ ル タ リ ン グ オプシ ョ ン) ...... 429 add RADIUS 監査サーバー メ ニ ュ ー コ マ ン ド 316 RADIUS 認証サーバー メ ニ ュ ー コ マ ン ド 318 ARP 「ア ド レ ス解決プ ロ ト コ ル」 を参照 Firewall Accelerator イ ン ス ト ール........................................ 155 構成..................................................... 156 Firewall Accelerator の イ ン ス ト ール............... 155 Firewall Director 追加..................................................... 158 同期..................................................... 169 Firewall Director の同期 ................................ 169 Fraggle ................................................. 120, 122 B Blat...................................................... 120, 123 C Check Point 管理ツール .............................................40 Check Point コ ン ポーネ ン ト SmartCenter.............................................26 管理 ク ラ イ ア ン ト ...................................27 CLI の使用 .................................................. 226 CLI へのア ク セ ス ........................................ 218 D del RADIUS 監査サーバー メ ニ ュ ー コ マ ン ド 316 RADIUS 認証サーバー メ ニ ュ ー コ マ ン ド 318 DHCP リ レー.................................................62 構成 .......................................................63 dip (フ ィ ル タ リ ン グ用の宛先 IP ア ド レ ス) ... 430 dmask フ ィ ル タ リ ン グ用の宛先マ ス ク .............. 430 DNS サーバー 設定済み情報の削除 ................ 288, 344, 345 設定済み情報の リ ス ト ............. 288, 344, 345 設定への追加 .......................... 288, 344, 345 DoS プ ロ テ ク シ ョ ン ............................ 120 - 141 DR (指定ルー タ ー)、 説明 ........................... 102 G GRE ト ン ネル................................................ 83 構成例.................................................... 96 I IDS サーバー 構成例........................................... 145, 148 ロ ー ド バ ラ ン シ ン グ ............................. 144 IDS サーバーの ロ ー ド バ ラ ン シ ン グ ............. 144 insert RADIUS 認証サーバー メ ニ ュ ー コ マ ン ド 318 install-tng コ マ ン ド ...................................... 209 IP ア ド レ ス 管理 IP ................................................... 32 フ ィ ル タ 範囲........................................ 430 IP パケ ッ ト の フ ォーマ ッ ト .......................... 134 L LandAttack ........................................... 120, 121 lines (表示オプシ ョ ン) ................................ 228 list RADIUS 監査サーバー メ ニ ュ ー コ マ ン ド 316 RADIUS 認証サーバー メ ニ ュ ー コ マ ン ド 318 509 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス M NAAP ポー ト ................................................. 173 Nortel Switched Firewall CLI の使用 ........................................... 226 IDS サーバー ........................................ 148 機能....................................................... 21 基本....................................................... 25 ク ラ ス タ の拡張 .................................... 154 構成要件 ................................................ 32 サポー ト 対象モデル................................ 21 セ ッ ト ア ッ プ.......................................... 34 NTP サーバー 設定済み情報の削除.................287, 303, 304 設定済み情報の リ ス ト .............287, 303, 304 設定への追加...........................287, 303, 304 NTP 設定 メ ニ ュ ー ....................................... 287 Nullscan ................................................120, 122 PMBR (PIM マルチキ ャ ス ト 境界ルー タ ー)、 説明 ........................................101 register メ ッ セージ ................................103 RIP、 構成 .............................................107 RP ( ラ ンデブー ポ イ ン ト )、 説明..........101 共有ツ リ ー............................................103 グ ロ ーバルでの有効化 .................... 108, 109 構成の前提要件 .....................................107 最短パ ス ツ リ ー ....................................104 受信先の join プ ロ セ ス ...........................103 受信先の脱退プ ロ セ ス ...........................104 説明 ...................................................... 99 送信元か ら グループへのパケ ッ ト 送信 ....104 ド メ イ ン ...............................................101 ホ ス ト ..................................................101 ping .............................................................228 Ping Flood ............................................. 123, 131 Ping of Death ................................ 123, 139 - 141 PMBR ..........................................................101 Port Smurf ....................................................120 PortZero ............................................... 120, 122 Protocol Independent Multicast-Sparse Mode pwd .............................................................228 O Q OSPF OSPF ド メ イ ンの定義 ............................. 85 仮想 リ ン ク の作成 ..............................81, 86 構成例 ................................................... 84 デー タ ベース .......................................... 75 認証....................................................... 82 ルー タ ー ID ............................................ 81 ルー タ ー タ イ プ ..................................... 73 ルー ト の再配信 .................................67, 93 ルー ト の要約.....................................80, 91 Quiet (画面表示オプシ ョ ン) ........................229 Main Menu ................................................... 233 matchall....................................................... 138 move RADIUS 認証サーバー メ ニ ュ ー コ マ ン ド 318 N P PIM-SM BSR (ブー ト ス ト ラ ッ プ ルー タ ー)、 説明 102 C-BSR (ブー ト ス ト ラ ッ プ候補ルー タ ー)、 説明 102 C-RP (RP 候補)、 説明 ............................ 102 DR (指定ルー タ ー)、 説明 .................... 102 join/prune メ ッ セージ ............................ 102 OSPF、 構成 ......................................... 107 510 索引 R RIP (Routing Information Protocol) UDP....................................................... 66 ア ド バ タ イ ズ メ ン ト ............................... 66 デ ィ ス タ ン ス ベ ク タ ー プ ロ ト コ ル.......... 65 バージ ョ ン 1 .......................................... 65 ホ ッ プ カ ウ ン ト ..................................... 65 メ ト リ ッ ク ............................................. 65 ルーテ ィ ン グ テーブル ........................... 66 ルー ト の再配信 ...................................... 67 Routing Information Protocol RP 候補ルー タ ー ..........................................102 S Scan SynFin ........................................... 120, 122 servers 監査 メ ニ ュ ー コ マ ン ド ................... 314, 317 SIP (フ ィ ル タ リ ン グ用の送信元 IP ア ド レ ス) 430 SmartCenter ........................................ 33, 40, 48 smask フ ィ ル タ リ ン グ用の送信元マ ス ク ...........430 Smurf ...........................................................121 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス SNMP メ ニ ュ ー オプシ ョ ン . 300, 303, 304, 305, 306 SSH............................................................. 219 T TCP 送信元お よ び宛先ポー ト ........................ 428 Telnet................................................... 219, 221 traceroute .................................................... 229 U UDP RIP .........................................................66 送信元お よ び宛先ポー ト ........................ 428 UDP ブ ラ ス ト プ ロ テ ク シ ョ ン ...................... 118 USB マ ウ ン ト ............................................... 470 V vendorid 監査 メ ニ ュ ー コ マ ン ド .......................... 314 vendortype 監査 メ ニ ュ ー コ マ ン ド .......................... 315 verbose........................................................ 229 VLAN タ グ付け........................................ 359, 362 ポー ト メ ンバー.................................... 359 VLAN の タ グ付け ポー ト の制限事項 ................................. 362 い イ ン ス ト ール ................................................ 34 コ マ ン ド .............................................. 209 マ イ ナー ま たは メ ジ ャ ー リ リ ー ス への ア ッ プグ レー ド .................................... 201 ラ イ セ ン ス ............................................. 38 え エ リ ア ID ...................................................... 79 エ リ ア イ ンデ ッ ク ス、 割 り 当て ..................... 78 お オ フ セ ッ ト .................................................. 134 オン ラ イ ン ヘルプ................................ 228, 466 か 仮想 リ ン ク .................................................... 81 設定例.................................................... 86 稼働モー ド の設定........................................ 354 管理 パ ス ワー ド ........................................... 213 ユーザー .............................................. 213 リ モー ト .............................................. 219 管理 IP (MIP) ........................................ 32, 160 管理ツール.................................................. 212 イ ン ス ト ール.......................................... 40 外部ルーテ ィ ン グ .......................................... 76 き X 機能文字列.................................................... 38 Xmascan ............................................... 120, 122 く あ クラスタ Firewall Director の追加.......................... 154 構成..................................................... 160 プ ロ パテ ィ ........................................... 160 ク ラ ス タ の拡張 ........................................... 154 グ ロ ーバル コ マ ン ド nslookup ............................................... 228 コマン ド グ ロ ーバル ............................. 228, 466 ア イ ドル タ イ ムアウ ト 概要 ..................................................... 227 ア イ ド ル タ イ ム ア ウ ト に よ る 切断 ................ 227 ア ク セ ラ レー タ 間のポー ト ........................... 172 ア ク テ ィ ブ化 ソ フ ト ウ ェ ア ア ッ プグ レー ド パ ッ ケージ.... 203 ソ フ ト ウ ェ ア バージ ョ ン....................... 203 ア ッ プグ レー ド ソ フ ト ウ ェ ア バージ ョ ンの処理............. 203 ソ フ ト ウ ェ ア パ ッ ケージのア ク テ ィ ブ化 204 ア ド レ ス解決プ ロ ト コ ル (ARP) イ ン タ ーバル ........................................ 337 暗号 SEED .....................................................47 217014-B-JA, 2005 年 12 月 索引 511 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス こ せ 構成 セキ ュ リ テ ィ DoS プ ロ テ ク シ ョ ン ..................... 120 - 141 IP ア ク セ ス制御 リ ス ト .................. 116 - 117 設定 稼働モー ド ............................................354 コ マ ン ド リ フ ァ レ ン ス ..........................281 フ ロ ー管理..................................... 355, 356 ポー ト の リ ン ク 速度 ..............................354 設定 メ ニ ュ ー...............................................281 DHCP リ レー.......................................... 63 Firewall Accelerator ................................ 156 GRE ト ン ネ リ ン グの例............................ 96 IDS サーバーの ロ ー ド バ ラ ン シ ン グ ...... 145 OSPF の例.............................................. 84 基本....................................................... 34 フ ァ イ ア ウ ォール ポ リ シー ..................... 49 ラ イ セ ン ス ............................................. 38 ラ イ セ ン スお よ び イ ン タ フ ェース ............ 38 ルー ト の再配信、 OSPF ........................... 93 ルー ト の再配信、 RIP .............................. 67 コ マン ド CLI の使用 ........................................... 231 Main Menu ............................................ 233 イ ン ス ト ール........................................ 209 省略..................................................... 231 シ ョ ー ト カ ッ ト .................................... 231 ス タ ッ ク .............................................. 231 タ ブに よ る 入力 .................................... 231 コ マ ン ド 構文 と 使用法 SSH 管理 メ ニ ュ ー ...........................298, 299 ユーザー メ ニ ュ ー ................................ 332 コ マ ン ド ラ イ ン イ ン タ フ ェース (CLI)........ 217 そ ソ フ ト ウ ェア ア ッ プグ レー ド 時のバージ ョ ン処理 .......203 再 イ ン ス ト ール .....................................209 ダ ウ ン ロ ー ド し た ア ッ プ グ レ ー ド パ ッ ケー ジのア ク テ ィ ブ化 ...........................204 ソ フ ト ウ ェ アの再 イ ン ス ト ール.....................209 た タ イ ムアウ ト ア イ ド ル接続 ........................................227 タ ブに よ る 入力 (CLI) .................................231 ち さ 中央 ラ イ セ ン ス............................................. 55 サーバーの ロ ー ド バ ラ ン シ ン グ IDS ...................................................... 143 つ 追加 し 指定ルー タ ー 出荷時のデフ ォ ル ト 設定 ソ フ ト ウ ェ アの再 イ ン ス ト ール後 ....209, 475 省略、 コ マ ン ド の (CLI).............................. 231 シ ョ ー ト カ ッ ト (CLI)................................. 231 シ リ アル ポー ト .......................................... 218 侵入検知シ ス テ ム (IDS).............................. 143 信頼の確立 ............................................ 53, 162 自動ネ ゴ シエーシ ョ ン ポー ト での有効化 / 無効化 ..............355, 356 自律シ ス テ ム (AS) ....................................... 76 す ス イ ッ チ ポー ト の VLAN メ ンバーシ ッ プ ..... 359 ス タ ッ ク 、 コ マ ン ド の (CLI) ....................... 231 Firewall Accelerator.................................155 Firewall Director .............................. 154, 158 て デバ イ ス のマ ウ ン ト USB ポー ト ...........................................470 と ト ン ネ リ ン グ、 GRE ...................................... 83 な 内部ルーテ ィ ン グ ......................................... 76 に 認証局.......................................................... 47 ね ネ ッ ト ワー ク ポー ト ....................................173 512 索引 217014-B-JA, 2005 年 12 月 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス は め パス ワー ド .................................................. 213 パ タ ーン グループ ....................................... 135 パ タ ーン マ ッ チン グ matchall................................................. 138 TCP ま たは UDP ................................... 133 演算 ..................................................... 135 オ フ セ ッ ト ........................................... 134 基準 ..................................................... 133 グループ............................................... 135 深 さ ..................................................... 134 メ イ ン メ ニ ュ ー .......................................... 227 ふ フ ァ イ ア ウ ォール ポ リ シー .......................... 162 作成 .......................................................57 フ ァ イ ア ウ ォール ポ リ シー、 イ ン ス ト ール .....49 フ ィ ルタ IP ア ド レ ス範囲 .................................... 430 フ ィ ルタ リ ング レー ト 制限 ........................................... 127 フ ロ ー管理 設定 .............................................. 355, 356 フ ロ ー管理信号の受信 .......................... 355, 356 フ ロ ー管理信号の送信 .......................... 355, 356 ブー ト ス ト ラ ッ プ候補ルー タ ー .................... 102 ブー ト ス ト ラ ッ プ ルー タ ー .......................... 102 ブ ラ ウ ザベース イ ン タ フ ェ ース .....................77 へ ? (ヘルプ) .......................................... 228, 466 ヘルプ ................................................. 228, 466 ほ ポー ト 物理 「switch ports」 を参照 NAAP ................................................... 173 ア ク セ ラ レー タ 間 ................................. 172 シ リ アル............................................... 218 ネ ッ ト ワー ク ........................................ 173 ポー ト の ト ラ ン ク 化 説明 ..................................................... 353 ま マ イ ナー ま たは メ ジ ャ ー リ リ ー ス への ア ッ プ グ レー ド .................................................. 201 マルチキ ャ ス ト PIM-SM ..................................................99 PIM-SM ド メ イ ン .................................. 101 PIM-SM ホ ス ト ...................................... 101 マルチキ ャ ス ト 境界ルー タ ー........................ 101 217014-B-JA, 2005 年 12 月 ゆ ユーザー名.................................................. 213 ら ラ イ セ ン ス...............................................38, 55 ラ ンデブー ポ イ ン ト ルー タ ー ..................... 101 り リ モー ト ア ク セ ス リ ス ト ............................ 219 リ ンク 速度の設定 ........................................... 354 リ ン ク ス テー ト デー タ ベース ........................ 75 リ ン ク 設定.................................................. 172 る ルー タ ー 境界....................................................... 76 ピ ア ....................................................... 76 ルー タ ー ID................................................... 81 ルーテ ィ ン グ 内部 と 外部 ............................................. 76 ルー ト 、 ア ド バ タ イ ズ ................................... 76 ルー ト の再配信、 OSPF.............................67, 93 ルー ト の再配信、 RIP ..................................... 67 ルー ト の要約 ................................................ 80 例 .......................................................... 91 ルー ト ロ グ イ ン .......................................... 213 れ レー ト 制限 TCP ..................................................... 125 UDP お よ び ICMP ................................. 125 時間枠.................................................. 124 フ ィ ル タ .............................................. 127 プ ロ ト コ ルベース .........................124 - 131 ホール ド 時間........................................ 124 ろ ロ グ イ ン ..................................................... 213 ロー ド バラ ンシング IDS ト ラ フ ィ ッ ク .................................. 143 索引 513 Nortel Switched Firewall 4.4.1 ユーザー ガ イ ド と コ マ ン ド リ フ ァ レ ン ス 514 : 索引 217014-B-JA, 2005 年 12 月