Comments
Description
Transcript
ダウンロード - CENTURY SYSTEMS
ユーザーズガイド コマンドラインインターフェイス編 [Firmware version 1.78 対応] センチュリー・システムズ株式会社 目次 目次 目次 第1章 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 はじめに 5 1.1 CS-SEIL-510/C の特長 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 1.2 ユーザーズガイドの種類について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 1.3 本ユーザーズガイドの読み方 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.4 CS-SEIL-510/C のご利用について . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 安全にお使いいただくために 13 安全のための表示と図記号 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 お使いになる前に 21 3.1 梱包内容の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.2 本体の名称と働き . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.3 モードの切り替え方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 ケーブルのつなぎ方 27 4.1 インターネットに接続する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.2 CS-SEIL-510/C を LAN に接続する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4.3 電源を入れる . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 初期設定 31 5.1 コンピュータのネットワーク設定について . . . . . . . . . . . . . . . . . . . . . . . . 32 5.2 telnet でのログイン方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 5.3 Web ブラウザでの閲覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 5.4 パスワードを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 設定と管理、運用 39 6.1 コマンドライン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 6.2 設定コマンドを利用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 第2章 2.1 第3章 第4章 第5章 第6章 1 目次 6.3 6.4 2 6.2.1 接続設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 6.2.2 ARP 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 6.2.3 ルーティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 6.2.4 セキュリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 6.2.5 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 6.2.6 回線トレース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 6.2.7 NAT/NAPT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 6.2.8 帯域制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 6.2.9 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 6.2.10 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 6.2.11 ルータ広告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 6.2.12 プロトコル変換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 6.2.13 サーバの起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 6.2.14 時刻設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 6.2.15 管理設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 管理コマンドを利用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 6.3.1 設定内容の保存・読込 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 6.3.2 設定の初期化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 6.3.3 ファームウェアの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 6.3.4 動的な情報のクリア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 6.3.5 接続確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 6.3.6 システム時刻の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 6.3.7 管理者権限への移行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 6.3.8 ログアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 6.3.9 接続/切断 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 6.3.10 その他 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 参照コマンドを利用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 6.4.1 設定情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 6.4.2 動作情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 6.4.3 ログの参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 6.4.4 トレースログの参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 6.4.5 システム情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 6.4.6 現在時刻の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 6.4.7 ユーザ情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 6.4.8 ライセンス情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 目次 6.4.9 サポート用情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 6.4.10 各種情報一括取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 6.5 ファームウェアを更新する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 6.6 INIT ボタンによる設定の初期化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 ネットワークでの利用例 83 LAN をインターネットに接続する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 7.1.1 PPPoE を使用して接続する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . 85 7.1.2 unnumbered PPPoE を使用して接続する場合 . . . . . . . . . . . . . . . . . . . 91 7.1.3 DHCP を使用して接続する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 7.1.4 LAN 内でグローバルアドレスを使用する場合 . . . . . . . . . . . . . . . . . . . 101 IPv4 ネットワークを経由して IPv6 ネットワークに接続する . . . . . . . . . . . . . . 105 7.2.1 IPv6 over IPv4 tunnel を使って接続する場合 . . . . . . . . . . . . . . . . . . . . 105 LAN 内のサーバをインターネットに公開する . . . . . . . . . . . . . . . . . . . . . . 112 7.3.1 公開するサーバにグローバルアドレスを割り当てる場合 . . . . . . . . . . . . . . 112 7.3.2 公開するサーバにプライベートアドレスを割り当てる場合 . . . . . . . . . . . . 115 7.3.3 サーバを LAN 内からグローバルアドレスで参照する . . . . . . . . . . . . . . . 118 外部からのアクセスを制限する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 7.4.1 外部から LAN へのアクセスを制限するフィルタリングを設定する . . . . . . . . 122 7.4.2 動的にアクセスを許可するフィルタリングを設定する . . . . . . . . . . . . . . . 130 7.4.3 IP アドレスの詐称を防ぐフィルタリング (uRPF) を設定する . . . . . . . . . . . 136 MAC アドレスによるフィルタリングを行う . . . . . . . . . . . . . . . . . . . . . . . 139 7.5.1 MAC アドレスの個別設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 7.5.2 外部ホワイトリストによる設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 第7章 7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8 . . . . . . . . . . . . . . . . 148 7.6.1 RIP を利用した動的ルーティング ∼比較的小規模なネットワーク∼ . . . . . . . 148 7.6.2 OSPF を利用した動的ルーティング ∼中規模以上のネットワーク∼ . . . . . . . 153 7.6.3 複数のルーティングプロトコルを同時に使う ∼経路情報の再配布∼ . . . . . . . 157 7.6.4 PIM-SM を利用した IPv4/IPv6 マルチキャストルーティング . . . . . . . . . . . 160 目的別のルーティングを行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 7.7.1 静的経路の監視を行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 7.7.2 ポリシーベースのルーティングを行う . . . . . . . . . . . . . . . . . . . . . . . 168 VPN を構築する ∼IPsec の設定∼ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 7.8.1 ポリシーベース IPsec トンネル . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 7.8.2 ルーティングベース IPsec トンネル . . . . . . . . . . . . . . . . . . . . . . . . 181 ルーティングを動的に行う∼動的ルーティングの設定∼ 3 目次 7.9 7.10 7.11 第8章 201 7.8.4 動的 IP アドレスからの接続を受け付ける場合 . . . . . . . . . . . . . . . . . . . 210 . . . . . . . . . . . . . . . . . . . . . . . . . 219 7.9.1 L2TPv3 を利用した L2 トンネルの設定 . . . . . . . . . . . . . . . . . . . . . . . 219 L2VPN を構築する ∼L2TPv3 の設定∼ . . . . . . . . . . . . . . . . . . . . 227 7.10.1 機器の故障時に自動的にバックアップ回線に切り替える . . . . . . . . . . . . . . 227 7.10.2 回線障害を検出して自動的にバックアップ回線に切り替える . . . . . . . . . . . 231 CS-SEIL-510/C を冗長化する ∼VRRP の設定∼ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 7.11.1 CBQ の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 データの送信を制御する 資料・付録 245 仕様について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 8.1.1 機能一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 8.1.2 初期設定値(工場出荷状態)一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . 248 8.1.3 ハードウェア仕様 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 8.1.4 ネットマスク/ポート番号一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 8.1.5 ポート番号一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 ネットワーク用語集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 トラブル・シューティング 267 9.1 LED の点灯状態 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 9.2 故障かな?と思ったとき . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 9.2.1 不具合時の確認手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 自己診断テスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 8.1 8.2 第9章 9.3 4 7.8.3 自アドレスが動的 IP アドレスの場合 . . . . . . . . . . . . . . . . . . . . . . . . 第 1 章 はじめに 第 1 章 はじめに この度は、CS-SEIL-510/C をお買い上げいただきまして誠にありがとうございます。 CS-SEIL-510/C は、WAN サービスでは IP-VPN でのアクセスルータとして、あるいは広域 LAN サー ビスのローカルルータ/帯域制御装置として、様々な用途にご利用いただけます。アクセス回線も ADSL、FTTH、CATV、光専用線と多種回線に対応しております。 また、CS-SEIL-510/C は IPv6 も完全実装しており、IPv4/IPv6 混在環境など多様なネットワークに 柔軟に対応できる「新世代型高機能ルータ」です。洗練されたユーザインターフェイス、容易なマネー ジメント機能を装備し、複雑化するお客様のネットワークに柔軟に対応する新しいタイプのネットワー ク接続装置です。 ご利用の前に、CS-SEIL-510/C の機能・性能を充分にご理解いただき、効果的にお使いいただくため に、本ユーザーズガイドを必ずお読みください。 本製品の電源が切れていると、接続されているコンピュータなどの機器を使用し ての通信は一切できませんのでご注意ください。 5 第 1 章 はじめに 1.1. CS-SEIL-510/C の特長 1.1 CS-SEIL-510/C の特長 CS-SEIL-510/C は、あらゆるネットワークのニーズに応える「新世代型高機能ルータ」です。ここで は、CS-SEIL-510/C の各特長を紹介します。 • インターネット接続に最適 CS-SEIL-510/C は、インターネット接続に必要十分な機能と、IPsec、帯域制御への対応な ど先進的な機能を搭載しています。 • IPv6 完全実装 IPv4/IPv6 を統一したユーザインターフェイスにて提供していますので、IPv6 の設定/運用も スムーズに行えます。また、IPv6 ネットワークへの移行を容易にするトンネリング機能も搭 載しています。 • PPPoE, DHCP クライアント機能 PPPoE をサポートしているため、ADSL などの高速回線用ルータとして最適です。また、 DHCP クライアント機能を持つので CATV 回線にも使用できます。 • 豊富なセキュリティ機能 IPsec/IKE を使用した VPN 環境が構築できるほか、Secure Shell による安全なネットワーク の管理/運用が行えます。 • パケットフィルタリング機能を搭載 インターフェイスやデータの入出力方向ごとにフィルタを指定することができ、 Source/Destination に対するアドレス、ポート単位指定や、TCP Established/SYN に対して も指定可能な多機能なフィルタリング機能を提供します。 • 帯域制御機能を搭載 トラフィックの集中する環境においてデータ転送にボトルネックが生じる状況でも、特定の トラフィックに対して一定の帯域を確保することが可能です。 IPsec 通信の際にも、暗号化する前のデータに対して帯域制御を行うことが可能です。 • グラフ表示機能を搭載 回線使用率、帯域制御状態、システム負荷など多彩なグラフ表示機能により、ネットワーク の稼働状況を即座に確認できます。 • IPv4/IPv6 マルチキャストルーティング(PIM-SM)機能を搭載 大容量の動画データなどを低コストで配信することができ、ネットワーク利用の効率化を図 ることができます。 • UPnP 機能を搭載 VoIP アダプタや Windows Messenger などを NAT 環境下で利用可能です。 6 第 1 章 はじめに 1.2. ユーザーズガイドの種類について • NTP サーバ・クライアント機能を搭載 時刻同期サーバとの間で時刻の同期を行う NTP クライアント機能だけでなく、時刻同期サー バとしての機能も搭載しています。 • SNMP エージェント機能を搭載 動作情報を外部から取得できる SNMP エージェント機能に加え、インターフェイスの up/down 検出時や再起動時にトラップを送出する機能を搭載し、SNMP 管理ツールを用いた ルータの集中管理にも対応しています。 • ロギング機能を搭載 メモリ内部にログを保持するだけでなく、外部にログを転送する機能を装備しています。 • DHCP サーバ機能を搭載 IP アドレスの割り当てを自動的に行うことができ、効率的なネットワークの運用を可能とし ます。 • SMF に対応 CS-SEIL-510/C はモードを SMF モードへ変更することにより、SMF に対応したルータとな ります(※ SMF とは、ネットワーク機器の構築、設定、運用、保守における作業をユーザ専 用 WEB サイトから一元的に行なえるようにするサービスです。)本サービスを利用すること により煩雑なルータ設定などを自動化でき、ネットワーク構築や設定変更の作業を大幅に削 減できます。 (サービスへの申し込みが別途必要です。) 1.2 ユーザーズガイドの種類について CS-SEIL-510/C のユーザーズガイドは以下の 2 種類があります。ご利用状況にあわせてご参照くだ さい。 • 「コマンドラインインターフェイス編」 本ユーザーズガイドです。設定、管理、運用法などを、主にコマンドラインインターフェイ スを用いて解説します。コマンドラインインターフェイスでは、SEIL に用意されている全て の機能の設定が行えます。 • 「Web インターフェイス編」 Web ブラウザを用いた簡易設定、管理、運用法について解説します。Web インターフェイス では、よく使われる機能について簡単に設定が可能なほか、帯域使用状況などのグラフ表示 を参照することができます。 7 第 1 章 はじめに 1.3. 本ユーザーズガイドの読み方 1.3 本ユーザーズガイドの読み方 ■ 各章の説明 第 1章 はじめに SEIL の特長や本ユーザーズガイドについて説明しま す。 第 2章 安全にお使いいただくために SEIL を安全に正しくお使いいただき、危害や損害を未 然に防止するために、守っていただきたい事項を説明 します。 第 3章 お使いになる前に SEIL の各部の名称や働き、設置してからお使いになる までの準備について説明します。 第 4章 ケーブルのつなぎ方 SEIL と HUB、コンピュータなど周辺機器との基本的 な配線方法について説明します。 第 5章 初期設定 SEIL の利用に必要なコンピュータの設定と SEIL 本体 の設定について説明します。 第 6章 設定と管理、運用 本章では、SEIL を利用する上で使用する、設定メニ ュー、管理メニュー、運用メニューについて説明しま す。 第 7章 ネットワークでの利用例 ネットワーク(LAN)内からインターネットを利用す る方法やインターネットにコンピュータ(サーバなど) を公開する方法を、実例を挙げて説明します。 第 8章 資料・付録 SEIL の仕様や、ネットワークを利用する際によく使わ れる専門用語などについて分かりやすく説明します。 第 9章 トラブル・シューティング SEIL の設定や SEIL を使用してインターネット接続で きない場合など、困ったときの対策について説明しま す。 8 第 1 章 はじめに 1.3. 本ユーザーズガイドの読み方 ■ マークについて 本文で使用している表示と図記号の意味は次の通りです。内容をよく理解してから、本文をお読みく ださい。 ※ ó : 操作上の注意点や用語の説明、補足を示します。 : 詳しい説明のある参照ページです。 ※ 本ユーザーズガイドの画像は、Internet Explorer 6.0 を使用したものです。 ※ Web ブラウザは最新のものをご利用ください。お使いいただくブラウザにより、画面表示状態が 異なったり、正しく表示されなかったりする場合があります。 9 第 1 章 はじめに 1.4. CS-SEIL-510/C のご利用について 1.4 CS-SEIL-510/C のご利用について ■ 日常のお手入れ SEIL の表面は、柔らかい布に水または洗剤を含ませて軽く拭いてください。ベンジン、シンナーな どの揮発性の薬品は絶対に使用しないでください。変形、変色の原因となります。 ■ アフターサービスについて • 万一装置に故障が発生した場合は、修理依頼書に必要事項をご記入の上、お買い上げの販売店へ お送りください。 ※ 修理費用は規定の費用をお支払いいただきます。ただし、ご購入されてから1年以内の故障 につきましては、保証書に記載された保証規定に従い、無料で修理いたします。 • この製品の補修用性能部品(性能維持のために必要な部品)は、製造終了後約5年間保有してお ります。 • 本ユーザーズガイドには、SEIL の運用に関する大切な情報が含まれていますので、いつでも参 照できるように必ず保管してください。 ■ 廃棄方法について 詳細は、各地方自治体へお問い合わせください。 ■ 輸出する際のご注意 本装置が外国為替および外国貿易管理法の規定により戦略物資等に該当する場合 には、日本国外に輸出する際に日本政府の許可が必要です。 10 第 1 章 安全にお使いいただくために ■ ご注意 1. 本ユーザーズガイドの内容の一部または全部を無断で転載することは禁止 されています。 2. 本ユーザーズガイドの内容については、将来予告なしに変更することがあ ります。 3. 本ユーザーズガイドの内容について万全を期しておりますが、万一ご不審 な点や誤り、記載漏れなどお気づきのことがありましたら、お手数でも、 お買い上げの販売店までご連絡くださいますようお願いいたします。 4. 当社では、本装置の運用を理由とする損失、逸失利益等の請求につきまし ては、 (3)項に関わらずいかなる責任も負いかねますので、予めご了承く ださい。 5. 本装置は、医療機器、原子力設備や機器、航空宇宙機器、輸送設備や機器な ど、人命に関わる設備や機器、および高度な信頼性を必要とする設備や機 器としての使用またはこれらに組み込んでの使用を意図しておりません。 これら、設備や機器、制御システムなどに本装置を使用され、当社製品の 故障により、人身事故、火災事故、社会的な損害などが生じても、当社で はいかなる責任も負いかねます。設備や機器、制御システムなどにおいて は、冗長設計、火災延焼対策設計、誤動作防止設計など、安全設計に万全 を期されるようご注意願います。 11 第 2 章 安全にお使いいただくために 2.1. 安全のための表示と図記号 第 2 章 安全にお使いいただくために 本章では、CS-SEIL-510/C を安全に正しくお使いいただき、お客様やほかの人々への危害や、財産へ の損害を未然に防止するために、守っていただきたい事項をご説明します。 2.1 安全のための表示と図記号 本文で使用している表示と図記号の意味は次の通りです。 内容をよく理解してから、本文をお読みください。 警告 注意 この表示を無視して、誤った取扱いをすると、人が死亡または重傷を負う可能性 が想定される内容を示しています。 この表示を無視して、誤った取扱いをすると、人が傷害を負う可能性が想定され る内容および物的損害が想定される内容を示しています。 誤った取扱いをすると、発火の可能性が想定されることを示しています。 誤った取扱いをすると、感電の可能性が想定されることを示しています。 誤った取扱いをすると、けがを負う可能性が想定されることを示しています。 安全のため、水場での機器の使用を禁止することを示しています。 安全のため、機器の分解を禁止することを示しています。 安全のため、電源コードのプラグを必ず AC コンセントから抜くように指示する ものです。 13 第 2 章 安全にお使いいただくために 2.1. 安全のための表示と図記号 警告 ■ 電源について 付属の専用 AC アダプタ (DC5V) 以外のものは、絶対に使用しないでください。 火災、感電、故障の原因となります。 SEIL の電源は、AC100V ± 10 % (50/60Hz) の電源以外では、絶対に使用しない でください。異なる電圧で使用すると、火災、感電の原因となります。 電源プラグは AC コンセントに確実に差し込んでください。電源プラグの刃に金 属などが触れると火災、感電の原因となります。 電源コードの接続は、テーブルタップや分岐コンセント、分岐ソケットを使用し たタコ足配線にしないでください。AC コンセントが過熱し、火災、感電の原因 となります。 電源コードを加工したり、傷つけたり、無理に曲げたり、ねじったり、引っ張っ たりしないでください。コードの破損による火災、感電の原因となります。 電源コードの上にものを載せないでください。コードの破損による火災、感電の 原因となります。 14 第 2 章 安全にお使いいただくために 2.1. 安全のための表示と図記号 ■ 次のような場所には置かないでください SEIL をふろ場や加湿器のそばなど、湿度の高いところ(湿度 90 %以上)では使 用しないでください。火災、感電の原因となります。 ■ 装置について SEIL に水などの液体が入ったり、SEIL をぬらしたりしないようご注意くださ い。火災、感電、故障の原因となります。 SEIL の上や近くに花びん、植木鉢、コップ、化粧品、薬品など、液体の入った容 器を置かないでください。液体が SEIL にこぼれたり、SEIL の中に入ったりし た場合、火災、感電、故障の原因となります。 SEIL の配線は、必ず屋内配線としてください。屋外にわたる配線は、感電の原 因となります。 SEIL 内部の点検、調整、清掃、修理は、危険ですから絶対にしないでください。 SEIL の内部には電圧の高い部分があり、感電の原因となります。SEIL 内部の点 検、調整、清掃、修理は、お買い上げの販売店に依頼してください。 SEIL の分解・改造は絶対にしないでください。火災、感電、故障の原因となり ます。 15 第 2 章 安全にお使いいただくために 2.1. 安全のための表示と図記号 ■ こんなときには 電源コードが傷んだときは、すぐに電源プラグを AC コンセントから抜いて、お 買い上げの販売店に修理を依頼してください。そのまま使用すると、火災、感電 の原因となります。 万一、SEIL から煙が出ている、変な臭いがするなどの異常状態が現れたときは、 すぐに電源プラグを AC コンセントから抜き、煙が出なくなるのを確認して、お 買い上げの販売店にご連絡ください。そのまま使用すると、火災、感電の原因と なります。 万一、SEIL を落としたり、破損したりした場合、電源プラグを AC コンセントか ら抜いて、お買い上げの販売店にご連絡ください。そのまま使用すると火災、感 電、故障の原因となります。 万一、SEIL の内部に水などの液体が入った場合は、電源プラグを AC コンセン トから抜いて、お買い上げの販売店にご連絡ください。そのまま使用すると、火 災、感電、故障の原因となります。 万一、異物が SEIL の内部に入った場合は、電源プラグを AC コンセントから抜 いて、お買い上げの販売店にご連絡ください。そのまま使用すると火災、感電、 故障の原因となります。 16 第 2 章 安全にお使いいただくために 2.1. 安全のための表示と図記号 注意 ■ 電源について 電源プラグを抜くときは、必ずプラグを持って抜いてください。コードの損傷に よる火災、感電の原因となることがあります。 ぬれた手で電源プラグを AC コンセントに抜き差ししないでください。感電の原 因となることがあります。 電源プラグを AC コンセントに接続してあるときは、ぬれた手で本体に触らない でください。感電の原因となります。 ■ 次のような場所には置かないでください SEIL を直射日光の当たる所や、温度の高い所(40 ℃以上)に置かないでくださ い。内部の温度が上がり、火災の原因となることがあります。 SEIL を油飛びや湯気があたるような場所、ほこりの多い場所に置かないでくだ さい。火災、感電、故障の原因となることがあります。 SEIL を不安定な場所(ぐらついた台の上や傾いた所など)に置かないでくださ い。落ちたりして、けがの原因となることがあります。 SEIL を振動、衝撃の多い場所に置かないでください。落ちたりして、けがの原 因となることがあります。 SEIL や電源コードを火気やストーブなどの熱器具の近くに置かないでください。 キャビネットや電源コードの被覆が溶けて、火災、感電、故障の原因となること があります。 17 第 2 章 お使いになる前に ■ 装置について SEIL は、ゴム足が下になるように置いてください。倒れたり、落ちたりして、け がの原因となることがあります。 SEIL の通風孔など開口部から、内部に金属類や燃えやすいものなどの異物を入 れないでください。そのまま使用すると火災、感電、故障の原因となることがあ ります。 機器を接続する場合には、必ず電源プラグを AC コンセントから抜いてくださ い。電源プラグを AC コンセントに接続したまま、機器の接続をすると、感電の 原因となることがあります。 SEIL をご使用にならないときは、安全のため必ず電源プラグを AC コンセント から抜いてください。 SEIL のお手入れをする際は、安全のため必ず電源プラグを AC コンセントから 抜いてください。 SEIL の上にものを載せたり、SEIL に乗ったりしないでください。特に、小さな お子様のいるご家庭ではご注意ください。壊れたりしてけがの原因となることが あります。 SEIL を布や布団などでおおったり包んだりしないでください。熱がこもり火災 や故障の原因となります。 SEIL の通風孔をふさがないでください。通風孔をふさぐと内部の温度が上がり、 火災の原因になることがあります。 18 第 2 章 お使いになる前に ■ こんなときには 落雷の恐れのあるときは、SEIL の電源を切り、必ず電源プラグを AC コンセン トから抜いてご使用をお控えください。雷によっては、火災、感電の原因となる ことがあります。 雷が鳴っているときは、電源プラグに触れたり、機器の接続をしたりしないでく ださい。感電の原因となることがあります。 19 第 3 章 お使いになる前に 3.1. 梱包内容の確認 第 3 章 お使いになる前に 本章では、CS-SEIL-510/C の各部の働きや取り付けてからお使いになるまでの準備についてご説明し ます。 3.1 梱包内容の確認 ■ 本体 ■ AC アダプタ ■ RJ-45 ⇔ Dsub9 ピン変換アダプタ ■ UTP ケーブル(ストレート) ■ はじめにお読みください ■ SMF モード設定変更手順 ■ 海外使用禁止シート ■ 保証書 21 第 3 章 お使いになる前に 3.2. 本体の名称と働き 3.2 本体の名称と働き ■ 前面 1 2 1. 7 セグメント LED SEIL の動作状態を表示します。点灯場所によって以下の状態を表しています。 b a g f h c d e • 点灯なし 何も接続されていない状態です。 • ”h”セグメントが点滅 システムが動作している状態です。 • ”d”セグメントが点灯 LAN0 ポートが接続されている状態です。 • ”g”セグメントが点灯 LAN1 ポートが接続されている状態です。 • ”b”セグメントが点灯 SMF モードで情報を取得中です。 • ”b”セグメントが点灯、”c”セグメントが点滅 SEIL が異常を検知しています。電源を入れなおしても状況に改善が見られない場合は、お買い上げの 販売店にご連絡ください。 2. SERIAL0 ポート コンソールを接続します。 22 第 3 章 お使いになる前に 3.2. 本体の名称と働き ¤ ¡ その他詳しい表示内容については、 ó [8.1 仕様について £P.245 ¢ ]をご覧ください。 ■ 背面 1 2 3 4 5 6 7 1. 電源コネクタ AC アダプタを接続します。 2. LAN0 ポート Ethernet ケーブルを使ってコンピュータあるいは LAN と接続します。 3. LAN1 ポート Ethernet ケーブルを使ってメディアコンバータや ADSL モデム等と接続します。 4. SERIAL1 ポート 使用しません。 5. LINK/ACT LED(緑) Ethernet ポートの状態を表示します。 LAN ケーブルが正常に接続されているときに点灯し、データ通信時は点滅します。 6. 100M LED(橙) Ethernet ポートの通信速度を表示します。 100Base-TX で接続した時に点灯し、10Base-TX で接続した場合に消灯します。 7. INIT ボタン ルータモード・SMF モードの切り替えや、工場出荷時の設定に戻すときに使用します。 23 第 3 章 お使いになる前に 3.2. 本体の名称と働き ¤ ¡ INIT ボタンで工場出荷設定に戻す方法については、 ó [6.6 INIT ボタンによる設定の初期化 £P.81 ¢ ]をご覧ください。 24 第 3 章 お使いになる前に 3.3. モードの切り替え方法 3.3 モードの切り替え方法 SEIL には、以下の4つのモードがあります。 • ルータモード 設定を手動で行います。 • SMF-PPPoE モード PPPoE が使用可能な環境で SMF サービスを使用します。 • SMF-DHCP モード DHCP が使用可能な環境で SMF サービスを使用します。 • SMF-LAN モード SMF-LAN が使用可能な環境で SMF サービスを使用します。 ※ SMF とは ネットワーク機器の構築、設定、運用、保守における作業をユーザ専用 WEB サイトから一元的 に行なえるようにするサービスです。 ■ 現在のモード表示 SEIL の現在のモード設定を表示するには、本体が起動している状態で、INIT ボタンを以下のように 操作します。 通常状態 ↓ 2 秒以上押す 設定モード(LED が”8”を表示) ↓ 2 秒以上押す 現在値表示 ※ 7 セグメント LED は、LED ”a” セグメントを上として表示します。 ※ それぞれの値が表示するモードは以下の通りです。 0:ルータモード 1:SMF-PPPoE モード 25 第 3 章 ケーブルのつなぎ方 2:SMF-DHCP モード 3:SMF-LAN モード ■ モードの切り替え SEIL のモード設定を変更するには、本体が起動している状態で、INIT ボタンを以下のように操作し ます。 通常状態 ↓ 2 秒以上押す 設定モード(LED が”8”を表示) ↓ 2 秒以上押す 現在値表示 ↓ 3 秒以上押す 設定変更(LED が 0 → 1 → 2 → 3 の順に表示) ↓ 設定する値でボタンを離す 設定を保存(値が点滅) ↓ 設定に成功 通常状態 設定の変更後、CS-SEIL-510/C を再起動すると、設定したモードで起動します。 26 第 4 章 ケーブルのつなぎ方 4.1. インターネットに接続する 第 4 章 ケーブルのつなぎ方 本章では、CS-SEIL-510/C と HUB、コンピュータなどの周辺機器との基本的な配線方法についてご 説明します。 4.1 インターネットに接続する ■ CS-SEIL-510/C をメディアコンバータ/ADSL モデムなどと接続する SEIL の LAN1 ポートと、メディアコンバータや ADSL モデムなどの Ethernet ポート(LAN ポート) を、Ethernet ケーブルでつなぎます。なお、コネクタは各ポートにカチッと音がするまで差し込んでく ださい。 (ケーブルの極性は自動判別します。) ※ メディアコンバータや ADSL モデムなどは必ず LAN1 ポートに接続してください。 ※ ここで言う「Ethernet ケーブル」とは、 「10BASE-T/100BASE-TX ストレートケーブル」を示し ます。 27 第 4 章 ケーブルのつなぎ方 4.2. CS-SEIL-510/C を LAN に接続する 警告 配線は、必ず屋内配線としてください。 屋外にわたる配線は、感電の原因となります。 4.2 CS-SEIL-510/C を LAN に接続する SEIL の LAN0 ポートとご利用の HUB の任意のポートをつなぎます。次に、HUB とコンピュータの Ethernet(あるいは LAN)ポートをつなぎます。コネクタは各ポートにカチッと音がするまで差し込ん でください。 (ケーブルの極性は自動判別します。) ※ HUB およびコンピュータとの接続には、市販の Ethernet ケーブル(カテゴリ 5 以上を推奨して います)をご利用ください。 ※ コンピュータ側には LAN ボード/カードが必要になります。 ※ ここで言う「Ethernet ケーブル」とは、 「10BASE-T/100BASE-TX ストレートケーブル」を示し ます。 警告 配線は、必ず屋内配線としてください。 屋外にわたる配線は、感電の原因となります。 28 第 4 章 初期設定 4.3 電源を入れる SEIL の電源コネクタ【DC in(5V)】と AC コンセントを、SEIL に付属の AC アダプタでつなぎます。 SEIL の電源が ON になり 7 セグメント LED が点灯し、自己診断テストが行なわれます( ó [9.3 ¤ ¡ 自己診断テスト £P.273 ¢ ])。 ※ 電源を OFF にするには、AC アダプタを AC コンセントから抜き取ります。 警告 29 第 4 章 初期設定 付属の AC アダプタ(DC 5V)以外のものは、絶対に使用しないでください。 火災、感電、故障の原因となります。 SEIL の電源は、100V ± 10%(50/60Hz)の電源以外では、絶対に使用しないで ください。 異なる電圧で使用すると、火災、感電の原因となります。 電源プラグは AC コンセントに確実に差し込んでください。 電源プラグの刃に金属などが触れると火災、感電の原因となります。 電源コードの接続は、テーブルタップや分岐コンセント、分岐ソケットを使用し たタコ足配線にしないでください。 AC コンセントが加熱し、火災、感電の原因となります。 30 第 5 章 初期設定 第 5 章 初期設定 本章では、CS-SEIL-510/C の利用に必要なコンピュータの設定と、CS-SEIL-510/C 本体の設定につ いてご説明します。 SEIL の設定を行うには、SEIL と任意のコンピュータを接続する必要があります。SEIL とコンピュー ¤ ¡ タをネットワークに接続した後 ( ó [4 ケーブルのつなぎ方 £P.27 ¢ ]) 、下記の手順で SEIL と、接続 したコンピュータを 1 台だけ起動し、SEIL を設定してください。 SEIL とコンピュータのケーブル接続を確認 ↓ SEIL の起動 ↓ SEIL と接続したコンピュータの起動 ↓ コンピュータのネットワークに関する設定 ↓ コンピュータの再起動 ↓ SEIL の設定 ※ SEIL の設定に使用するコンピュータ以外は設定完了後に起動してください。 ※ SEIL を起動する前にコンピュータと正しく接続されていることを確認してください。接続を確 認後、SEIL の AC アダプタをコンセントに差し込み、電源を入れてください(SEIL が起動し ます) 。 ¤ ¡ ※ SEIL の 7 セグメント LED が点灯し、起動中のランプ点灯( ó [9.3 自己診断テスト £P.273 ¢ ] )が行われていることを確認してから、コンピュータを起動してください。 31 第 5 章 初期設定 5.1. コンピュータのネットワーク設定について 5.1 コンピュータのネットワーク設定について ■ コンピュータが DHCP クライアント機能をサポートしている場合 SEIL には DHCP サーバ機能が内蔵されており、工場出荷状態では有効になっています。コンピュー タが DHCP クライアント機能をサポートしている場合は、DHCP クライアント機能を有効にすること でネットワークに接続するために必要な項目を自動的に設定できます。 Ṟ ἅὅἦἷὊἑឪѣ ṟ ἕἚὁὊἁᚨܭऴإᙲ൭ Ṡ ἕἚὁὊἁᚨܭऴ̓إዅ ṡ ἕἚὁὊἁᚨܦܭʕὲ SEIL ἅὅἦἷὊἑ ■ コンピュータが DHCP クライアント機能をサポートしていない場合 コンピュータが DHCP クライアント機能をサポートしていない場合は、ネットワークに接続するため に必要な項目を手動で設定する必要があります。SEIL は工場出荷状態では IP アドレス「192.168.0.1」 、 ネットマスク「/24」に設定されています。 ѣỂᚨܭ IPỴἛἾἋ 192.168.0.2/24 SEIL 32 IPỴἛἾἋ 192.168.0.1/24 ἅὅἦἷὊἑ 第 5 章 初期設定 5.2. telnet でのログイン方法 5.2 telnet でのログイン方法 SEIL と LAN 接続されているコンピュータから telnet クライアントを利用して、SEIL に telnet 接続 を行います。以下の手順に従ってログインを行ってください。また、SEIL では、telnet に加えてシリア ルコンソールからの設定や、Secure Shell を使っての設定にも対応しています。シリアルコンソールを 使用する場合には、別売のコンソールケーブルが必要となります。Secure Shell は工場出荷状態では無 効になっていますが、Secure Shell を使用するとより安全に SEIL にログインすることができます。詳 ¤ ¡ 細は ó [6.2.13 サーバの起動 £P.58 ¢ ]をご覧ください。 1. login:”と表示されますので、「user」もしくは「admin」と入力してください。 ¶ ³ login: admin µ ´ ※ user は一般アカウント、admin は管理者アカウントとなります。上記では、例として admin と入力しています。user でログインすると、そのままでは設定/動作情報の参照しかできま せん。各種設定を行うには、administrator コマンドで管理者権限に移行する必要があります ¤ ¡ ( ó [6.3.7 管理者権限への移行 £P.67 ¢ ]) 。 2. パスワードが設定されていれば、”Password:”と表示されますので、設定したパスワードを入力し てください。パスワードを設定してなければ、表示されずに次に進みます。”Login incorrect”と 表示された場合は、ユーザ名もしくはパスワードが間違っていますので、入力をやり直してくだ さい。 ¶ ³ Password: µ ´ 3. プロンプトが表示されます。表示されるプロンプトはユーザによって変わります。ユーザが admin の場合は”#”、user の場合は”>”となります。 4. ログイン完了です。この状態から、コマンドを入力することができます。 5. 終了するには、exit 等のコマンドを入力してください。 33 第 5 章 初期設定 5.2. telnet でのログイン方法 Windows コマンドプロンプトで TELNET ログインする場合 Windows コマンドプロンプトを TELNET クライアントとして使用する場合、CS-SEIL-510/C との改行 コードの違いにより、いくつかのコマンドが正常に実行できない場合があります。Windows コマンド プロンプトをご使用になる場合は、あらかじめ以下の手順で改行コードの変更を行ってください。 1. Windows コマンドプロンプトを開き、telnet クライアントを起動します。 ¶ ³ C:¥> telnet Microsoft Telnet クライアントへようこそ エスケープ文字は ’CTRL+]’ です Microsoft Telnet> µ 2.「unset crlf」と入力し、改行モードを変更します。 ¶ Microsoft Telnet> unset crlf ラインフィード モード - リターンキーで CR を送信します Microsoft Telnet> µ 以降は通常の操作と同様に入力できます。 34 ´ ³ ´ 第 5 章 初期設定 5.3. Web ブラウザでの閲覧 5.3 Web ブラウザでの閲覧 SEIL は Web ブラウザを使って、簡易設定や、システム管理、動作状況の確認を行うことができます。 閲覧を行うためには、SEIL と閲覧用コンピュータをネットワークに接続し、コンピュータの Web ブラ ウザを使います。 wwwἇὊἢ SEIL wwwἨἻỸἈ ἅὅἦἷὊἑ ※ ケーブルの接続方法や、閲覧用のコンピュータの接続方法については、 「 ó [4 ケーブルのつな ¤ ¡ ¤ ¡ ぎ方 £P.27 ¢ ]」や「 ó [5.1 コンピュータのネットワーク設定について £P.32 ¢ ]」をご覧くだ さい。 ※ 閲覧に使用する Web ブラウザは Internet Explorer 6.0 以降、または Netscape Navigator 7.0 以 降を推奨します。 コンピュータから SEIL へアクセスする手順を説明します。 1. コンピュータの Web ブラウザを起動します。使用する Web ブラウザは必ず「Proxy サーバ機 能」を使用しない設定にしてください。設定方法については Web ブラウザのヘルプをご参照く ださい。 2. URL 入力欄に「http://192.168.0.1/」と入力してください。 ※ 工場出荷状態では、閲覧のためにアクセスする URL は「http://192.168.0.1/」になります。”in- terface lan0 address”コマンドで IP アドレスを設定変更している場合は、”192.168.0.1”の部 分を設定した値に変更してアクセスしてください。 3. ”user”、”admin”両方のパスワードが設定されている場合、SEIL にアクセスすると以下の画面が 表示されます。それぞれの欄に必要な事項を入力すると、メイン画面が表示されます。 35 第 5 章 初期設定 5.3. Web ブラウザでの閲覧 「管理者アカウント」でアクセスする場合 •「ユーザー名 (U)」欄に「admin」と入力 •「パスワード (P)」欄に「管理者アカウント」で設定したパスワードを入力 「一般アカウント」でアクセスする場合 •「ユーザー名 (U)」欄に「user」と入力 •「パスワード (P)」欄に「一般アカウント」で設定したパスワードを入力 ※ 工場出荷状態では、パスワードは設定されていません。 ※ パスワードは「*」 (アスタリスク)もしくは「・」(ドット)で表示されます。 36 第 5 章 設定と管理、運用 5.4 パスワードを設定する SEIL はすべての設定変更、参照が可能な「管理者アカウント」と、現在の設定と装置の状態のみ参照 可能な「一般アカウント」の 2 つのアカウントを用意しています。工場出荷状態では、 「管理者アカウ ント」と「一般アカウント」に対するパスワードは設定されていません。 ネットワークセキュリティの観点から、 「管理者アカウント」と「一般アカウント」の両方に対してパ スワードを設定することをお勧めします。 ※ 設定したパスワードは SEIL 保守管理担当者以外には決して教えないようにしてください。 1. telnet またはシリアルコンソールで SEIL に admin でログインします。 2. password コマンドを実行します。引数に admin を指定してください。 ¶ ³ # password admin New password: µ ´ New password: のプロンプトが出ますのでパスワードを入力します。 3. 適切なパスワードを入力すると以下のプロンプトが出ます。入力に間違いがなかったかどうかを 確認するためのものですので再度同じパスワードを入力してください。 ¶ ³ Retype new password: µ ´ 4. 同様に一般アカウント用のパスワードも設定します。password コマンドに引数 user をつけて実 行してください。 ¶ ³ # password user New password: Retype new password: µ ´ 5. 設定を SEIL 本体に保存します。以下のコマンドを実行してください( ó [6.3.1 設定内容の保 ¤ ¡ 存・読込 £P.64 ¢ ])。 ¶ ³ # save-to flashrom µ ´ ※ セキュリティ上の観点からパスワード設定の際は必ず、 「管理者アカウント」と「一般アカウン ト」双方を設定することをお勧めします。どちらか一方のみ設定した場合、未設定のアカウント からのアクセスが許可されてしまいます。 37 第 6 章 設定と管理、運用 6.1. コマンドライン 第 6 章 設定と管理、運用 CS-SEIL-510/C のコマンドは、設定、管理、および参照に分かれています。 設定コマンドとは、それぞれの機能の動作を決定するコマンドです。設定コマンドは、管理者のみが 実行可能です。管理コマンドとは、CS-SEIL-510/C の管理を行う上で必要なコマンドを集めたもので す。管理者のみ実行可能なコマンドと、一般ユーザも実行可能なコマンドがあります。参照コマンドと は、現在働いているシステムの情報、設定情報、動作情報を表示するものです。管理者や一般ユーザと いった、アクセスレベルに関係なく実行可能です。 コマンドには IPv4 と IPv6 に共通するコマンド、IPv4 と IPv6 とで異なるコマンド、IPv6 には対応し ていないコマンドがあります。 ここでは、それぞれのコマンドについてご説明します。 アクセスレベル 管理者 一般ユーザ 設定 ○ × 管理 ○ ○(一部のみ) 参照 ○ ○ ※ 一般ユーザでは設定変更が行えないため、各種設定変更を行うには administrator コマンドによ ¤ ¡ り管理者権限に移行する必要があります( ó [6.3.7 管理者権限への移行 £P.67 ¢ ]) 。 ※ セキュリティ上の観点から、管理者権限でログインするためのパスワードは、保守管理担当者以 外には決して教えないようにしてください。 6.1 コマンドライン SEIL では、ログイン後は tcsh や bash 等の UNIX シェルと同様に文字を入力・削除することができ、 コマンドの履歴参照やコマンド行を編集することも可能です。ここでは、コマンド入力に使用する文字 や規則、コマンドの補完機能、コマンドの履歴参照機能、コマンドの基本型についてご説明します。 ■ 使用する文字 • 入力は ASCII 文字のみとなります。日本語等では入力できません。 39 第 6 章 設定と管理、運用 6.1. コマンドライン • キーワードや予約語は、大文字と小文字が区別されます。 • 文字列 文字列には、英数字(ABC…Zabc…z012…9)と記号が使用可能となります。使用できる記号に ついてはコマンドリファレンスをご覧ください。また、空文字列は何も文字を入れない入力で、 連続したダブルクオート(””)で入力することができます。 • 数値 数値は、10 進法(012…9)または 16 進法(012…9abc…f)で入力します。先頭に”0x” を付けた 数値は 16 進法として、それ以外は 10 進法として扱われます。 40 第 6 章 設定と管理、運用 6.1. コマンドライン ■ 制御文字と特殊文字 Space カーソル位置に空白を入力します。 BackSpace カーソルが一文字前に移動し、その文字を削除します。 Ctrl-H ”BackSpace”と同様の動作をします。 DEL ”BackSpace”と同様の動作をします。 Ctrl-D カーソル位置にある文字を削除します。行末にある場合は”?”と同様の動作を します。 Tab 入力中のキーワードが 1 つに特定可能であれば、キーワードを補完します。 ? 現在のコマンドラインで入力可能なキーワードやパラメータを表示したり、 help を表示したりします。 Enter 現在のコマンド行を実行します。 Ctrl-M ”Enter”と同様の動作をします。 Ctrl-J ”Enter”と同様の動作をします。 Ctrl-C 実行中のコマンドをキャンセルします。 Ctrl-F カーソルが一文字後に移動します。 → ”Ctrl-F”と同様の動作をします。 Ctrl-B カーソルが一文字前に移動します。 ← ”Ctrl-B”と同様の動作をします。 Ctrl-A カーソルが行頭に移動します。 Ctrl-E カーソルが行末に移動します。 Ctrl-T カーソル位置とその一文字前の文字を入れ替えて、カーソルを一文字進めます。 Ctrl-P コマンド履歴を前方参照します。 ↑ ”Ctrl-P”と同様の動作をします。 Ctrl-N コマンド履歴を後方参照します。 ↓ ”Ctrl-N”と同様の動作をします。 Ctrl-Space 切り取りの開始文字を指定します。 Ctrl-W 切り取りの終了文字を指定します。選択した範囲は切り取られます。 Ctrl-K カーソル以降を切り取ります。 Ctrl-Y 切り取った文字列をカーソル位置に貼り付けます。 Ctrl-U すべての入力を取り消して、プロンプトのみの状態にします。 Ctrl-L 画面のクリアを行います。 ’ 囲んだ文字列(空白を含む)を 1 つの文字列として扱います。 ” ’と同様の動作をします。 \(Y) ” または ’を通常の文字と同様に扱います。 41 第 6 章 設定と管理、運用 6.1. コマンドライン ■コマンドの補完機能 SEIL では、次に入力するコマンドのキーワードを忘れてしまった場合、Tab キーを使用してキーワー ドを補完することができます。キーワードを一文字しか覚えていない場合でも、キーワードが 1 つに特 定可能であれば正しいキーワードを表示します。また、「?」を入力すると、キーワードやパラメータの 入力候補を表示させることもできます。 • キーワードを補完する 「interface p」に続く文字を忘れてしまった場合、 「interface p」と入力し、Tab キーまたは Ctrl+I キーを押します。 ¶ ³ interface p <Tab> µ ´ 「interface pppoe」と補完されたキーワードが表示されます。 ¶ ³ interface pppoe µ ´ • キーワードやパラメータの入力候補を表示する 「interface pppoe」に続くパラメータを忘れてしまった場合、 「interface pppoe」と入力し、?キーまたは Ctrl+D キーを押します。 ¶ ³ interface pppoe? µ ´ 「pppoe0」 「pppo1」 「pppoe2」「pppoe3」とパラメータの入力候補が表示されます。 ¶ interface pppoe ˆ pppoe0 pppoe1 µ 42 pppoe2 ³ pppoe3 ´ 第 6 章 設定と管理、運用 6.1. コマンドライン ■ コマンドの履歴参照 SEIL では、ユーザがログインしてから実行したコマンドの履歴を参照することができます。履歴を 参照することで、一度実行したコマンドは再度コマンドを入力しなくても実行可能となります。 Ctrl + P show date show config 㸡 show status show system show date show log Ctrl + N show users 㸣 • コマンドの前方参照 Ctrl-P あるいは矢印キー(↑)を押すごとに、実行したコマンドを 1 つずつ遡って表示します。 コマンドを 1 つも実行していない場合には何も表示されません。コマンドが表示された時点で Enter キーを押すと、表示されているコマンドを実行することができます。 • コマンドの後方参照 Ctrl-P あるいは矢印キー(↑)によってコマンドの履歴を参照している際、Ctrl-N あるいは矢印 キー(↓)を押すごとに、それまで参照したコマンドを 1 つずつ進めて表示します。コマンドを 1 つも実行していない場合には、何も表示されません。コマンドが表示された時点で Enter キー を押すと、表示されているコマンドを実行することができます。 ■ コマンドの基本型 コマンドの基本型は以下の構成となります。 ¶ ³ <トップレベルコマンド> <キーワード 0> <パラメータ 0> <キーワード 1> <パラメータ 1> … µ ´ 43 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する なお、 「add」「delete」 「modify」を利用することができます。 例) ¶ ³ <トップレベルコマンド> <キーワード 0> add/delete/modify <パラメータ 0> <キーワード 1> … µ ´ add / delete:動的に項目を増減させることが可能となります。 modify :項目を増減させることなく変更することが可能となります。 項目には、追加した項目を一意に指定することが可能な名前が必ず付与されます。 ※ 一部のコマンドでは「add」 「delete」 「modify」を使用することができません。詳細についてはコ マンドリファレンスをご覧ください。 6.2 設定コマンドを利用する 設定コマンドはさまざまな機能の設定を行うことができます。IPv4 と IPv6 に共通するコマンド、 IPv4 と IPv6 とで異なるコマンド、IPv6 に対応していないコマンドがありますので、ご確認の上、設定 を行ってください。ここでは、各コマンドの設定内容についてご説明します。詳しい設定方法はコマン ドリファレンスをご覧ください。 ※ 設定コマンドは管理者アカウントでのみ使用可能となります。一般ユーザでアクセスしている場 合、administrator コマンドで管理者権限に移行する必要があります( ó [6.3.7 管理者権限へ ¤ ¡ の移行 £P.67 ¢ ]) 。 44 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する ■ アクセスレベル対応表 項番号 コマンド アクセスレベル 管理者 一般ユーザ interface ○ × ppp ○ × bridge ○ × 6.2.2 ARP 設定 arp ○ × 6.2.3 ルーティング route ○ × route6 ○ × vrrp ○ × filter ○ × filter6 ○ × macfilter ○ × ipsec ○ × ike ○ × l2tp ○ × 6.2.6 回線トレース trace ○ × 6.2.7 NAT/NAPT nat ○ × 6.2.8 帯域制御 cbq ○ × 6.2.9 DHCP dhcp ○ × dhcp6 ○ × dns ○ × resolver ○ × 6.2.11 ルータ広告 rtadvd ○ × 6.2.12 プロトコル変換 translator ○ × 6.2.13 サーバの起動 httpd ○ × telnetd ○ × sshd ○ × ntp ○ × timezone ○ × snmp ○ × syslog ○ × hostname ○ × password ○ × environment ○ × option ○ × 6.2.1 接続設定 6.2.4 セキュリティ 6.2.5 VPN 6.2.10 DNS 6.2.14 時刻設定 6.2.15 管理設定 ○: 設定可能 ×: 設定不可能 45 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する ■ IPv4/IPv6 対応表 項番号 コマンド IPv4/IPv6 対応 IPv4 IPv6 interface ○ ○ ppp ○ ○ bridge ○ ○ 6.2.2 ARP 設定 arp ○ − 6.2.3 ルーティング route ○ − route6 − ○ vrrp ○ × filter ○ − filter6 − ○ macfilter − − ipsec ○ ○ ike ○ ○ l2tp ○ × 6.2.6 回線トレース trace − − 6.2.7 NAT/NAPT nat ○ − 6.2.8 帯域制御 cbq ○ ○ 6.2.9 DHCP dhcp ○ − dhcp6 − ○ dns ○ ○ resolver ○ ○ 6.2.11 ルータ広告 rtadvd − ○ 6.2.12 プロトコル変換 translator ○ ○ 6.2.13 サーバの起動 httpd ○ ○ telnetd ○ ○ sshd ○ ○ ntp ○ ○ timezone − − snmp ○ ○ syslog ○ ○ hostname − − password − − environment − − option ○ ○ 6.2.1 接続設定 6.2.4 セキュリティ 6.2.5 VPN 6.2.10 DNS 6.2.14 時刻設定 6.2.15 管理設定 ○: 対応している、×:対応していない、−:IPv4/IPv6 対応とは無関係 46 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する ■ 6.2.1 接続設定 ■ interface interface コマンドにより、IP アドレスの設定や、メディアの設定、トンネルの設定、VLAN の設定等、 インターフェイスに関する設定を行うことができます。以下にサブコマンドと設定内容を示します。 サブコマンド 設定内容 add IP アドレスのエイリアスの追加 address IP アドレスの設定 delete IP アドレスの削除 description インターフェイスの説明の設定 l2tp L2TP の設定の選択 media LAN インターフェイスの回線速度の設定 mdi LAN インターフェイスの MDI/MDI-X の設定 mtu インターフェイスの MTU 値の設定 over PPPoE 接続に使う LAN インターフェイス名の設定 ppp-configuration PPP 設定の選択 queue インターフェイスのキューイング方式の設定 tag VLAN タグの設定 tcp-mss インターフェイスの TCP MSS 値の設定 tunnel トンネルの設定 unnumbered unnumbered 接続の設定 ■ ppp ppp コマンドにより、PPP で使用するパラメータの設定を行うことができます。以下にサブコマンド と設定内容を示します。 サブコマンド 設定内容 add PPP 設定の追加 modify PPP 設定の変更 delete PPP 設定の削除 ■ bridge bridge コマンドにより、ブリッジの設定等を行うことができます。以下にサブコマンドと設定内容を 示します。 47 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する サブコマンド 設定内容 disable ブリッジ機能の無効化 enable ブリッジ機能の有効化 group add ブリッジグループ設定の追加 group delete ブリッジグループ設定の削除 group modify ブリッジグループ設定の変更 interface ブリッジに用いるインターフェイスの設定 ip-bridging IPv4 ブルータの設定 ipv6-bridging IPv6 ブルータの設定 vman-tpid VMAN TPID の設定 pppoe-bridging PPPoE パケットのブリッジングの設定 default-bridging その他パケットのブリッジングの設定 ■ 6.2.2 ARP 設定 ■ arp arp コマンドにより、静的な ARP エントリの追加、NAT 連動 ProxyARP 設定を行うことができます。 以下にサブコマンドと設定内容を示します。 サブコマンド 設定内容 add 静的 ARP エントリの追加 delete 静的 ARP エントリの削除 modify 静的 ARP エントリの変更 reply-nat NAT 連動 ProxyARP の設定 ■ 6.2.3 ルーティング ■ route route コマンドにより、静的経路の設定や、認証鍵の設定、RIP/OSPF に関する設定、経路フィルタ の設定等、ルーティングに関する設定を行うことができます。以下にサブコマンドと設定内容を示し ます。 48 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する サブコマンド 設定内容 add 静的経路の追加 modify 静的経路の変更 delete 静的経路の削除 dynamic auth-key add 認証鍵の追加 dynamic auth-key delete 認証鍵の削除 dynamic rip enable RIP の有効化 dynamic rip disable RIP の無効化 dynamic rip interface RIP のインターフェイスごとの使用/不使用 の設定 dynamic rip interface version RIP バージョンの設定 dynamic rip interface authentication RIPv2 認証の使用/不使用の設定 dynamic rip interface route-filter RIP での経路フィルタの使用/不使用の設定 dynamic rip default-route-originate RIP のデフォルト経路配布の設定 dynamic rip update-timer RIP のタイマー設定 dynamic ospf enable OSPF の有効化 dynamic ospf disable OSPF の無効化 dynamic ospf router-id OSPF ルータ ID の設定 dynamic ospf area add エリアの追加 dynamic ospf area delete エリアの削除 dynamic ospf link add リンクの追加 dynamic ospf link delete リンクの削除 dynamic ospf link modify リンクの変更 dynamic ospf administrative-distance 経路生成時のデフォルトの distance の設定 dynamic ospf default-route-originate enable OSPF のデフォルト経路配布の有効化 dynamic ospf default-route-originate disable OSPF のデフォルト経路配布の無効化 dynamic pim-sparse enable PIM-SM の有効化 dynamic pim-sparse disable PIM-SM の無効化 dynamic pim-sparse interface enable PIM-SM のインターフェイス毎の有効化 dynamic pim-sparse interface disable PIM-SM のインターフェイス毎の無効化 dynamic pim-sparse static-rp add PIM-SM の静的ランデブーポイントの追加 dynamic pim-sparse static-rp delete PIM-SM の静的ランデブーポイントの削除 dynamic route-filter add 経路フィルタの設定 dynamic route-filter delete 経路フィルタの削除 dynamic redistribute 再配布の設定 49 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する ■ route6 route6 コマンドにより、IPv6 経路、RIPng、マルチキャストルーティングに関する設定を行うことが できます。以下にサブコマンドと設定内容を示します。 サブコマンド 設定内容 add IPv6 の静的経路の追加 modify IPv6 の静的経路の変更 delete IPv6 の静的経路の削除 dynamic ripng enable RIPng の有効化 dynamic ripng disable RIPng の無効化 dynamic ripng interface RIPng の動作の設定 dynamic ripng interface route-filter RIPng での経路フィルタの設定 dynamic ripng default-route-originate RIPng でのデフォルト経路配布の設定 dynamic ripng interface aggregate add RIPng の経路集約の設定 dynamic ripng interface aggregate delete RIPng の経路集約の削除 dynamic redistribute 再配布の設定 dynamic pim-sparse enable PIM-SM の有効化 dynamic pim-sparse disable PIM-SM の無効化 dynamic pim-sparse interface enable PIM-SM のインターフェイス毎の有効化 dynamic pim-sparse interface disable PIM-SM のインターフェイス毎の無効化 dynamic pim-sparse static-rp add PIM-SM の静的ランデブーポイントの追加 dynamic pim-sparse static-rp delete PIM-SM の静的ランデブーポイントの削除 dynamic route-filter add 経路フィルタの設定 dynamic route-filter delete 経路フィルタの削除 ■ vrrp vrrp コマンドにより、VRRP 機能の設定等を行うことができます。以下にサブコマンドと設定内容を 示します。 50 サブコマンド 設定内容 add vrid VRID 設定の追加 delete vrid VRID 設定の削除 watch-group add 監視グループの追加 watch-group delete 監視グループの削除 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する ■ 6.2.4 セキュリティ ■ filter filter コマンドにより、フィルタの設定や、フィルタの有効/無効の設定等を行うことができます。以 下にサブコマンドと設定内容を示します。 サブコマンド 設定内容 add フィルタの追加 modify フィルタの変更 delete フィルタの削除 enable フィルタの有効化 disable フィルタの無効化 move フィルタの評価順位の変更 ■ filter6 filter6 コマンドにより、IPv6 フィルタの設定や、IPv6 フィルタの有効/無効の設定等を行うことがで きます。以下にサブコマンドと設定内容を示します。 サブコマンド 設定内容 add IPv6 フィルタの追加 modify IPv6 フィルタの変更 delete IPv6 フィルタの削除 enable IPv6 フィルタの有効化 disable IPv6 フィルタの無効化 move IPv6 フィルタの評価順位の変更 ■ macfilter macfilter コマンドにより、LAN0 で受信したパケットに対して MAC アドレスでフィルタリングを行 うことができます。以下にサブコマンドと設定内容を示します。 サブコマンド 設定内容 add MAC アドレスフィルタの追加 delete MAC アドレスフィルタの削除 modify MAC アドレスフィルタの変更 51 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する ■ 6.2.5 VPN ■ ipsec ipsec コマンドにより、セキュリティアソシエーションプロポーザルの設定、セキュリティアソシエー ションの設定、セキュリティポリシーの設定、セキュリティポリシーの有効/無効の設定等を行うことが できます。以下にサブコマンドと設定内容を示します。 サブコマンド 設定内容 security-association proposal add セキュリティアソシエーションプロポーザルの追加 security-association proposal modify セキュリティアソシエーションプロポーザルの変更 security-association proposal delete セキュリティアソシエーションプロポーザルの削除 security-association add セキュリティアソシエーションの追加 security-association modify セキュリティアソシエーションの変更 security-association delete セキュリティアソシエーションの削除 security-policy add セキュリティポリシーの追加 security-policy modify セキュリティポリシーの変更 security-policy delete セキュリティポリシーの削除 security-policy enable セキュリティポリシーの有効化 security-policy disable セキュリティポリシーの無効化 security-policy move セキュリティポリシーの評価順位の変更 ■ ike ike コマンドにより、IKE Peer の設定や、IKE プロポーザルの設定、IKE 事前共有鍵の設定等を行う ことができます。以下にサブコマンドと設定内容を示します。 52 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する サブコマンド 設定内容 retry IKE の再送回数の設定 interval IKE の再送間隔の設定 phase1-timeout フェーズ 1 でのタイムアウト時間の設定 phase2-timeout フェーズ 2 でのタイムアウト時間の設定 per-send 送信パケット数の設定 randomize-padding-value パディング値ランダム化の有無の設定 randomize-padding-length パディング長ランダム化の有無の設定 maximum-padding-length ランダム化したパディング長の最大値の設定 strict-padding-byte-check パディング長がランダム化されていない受信パケット を破棄するか否かの設定 exclusive-tail パディング末尾へのパディング長の設定 peer add IKE Peer の追加 peer modify IKE Peer の変更 peer delete IKE Peer の削除 proposal add IKE プロポーザルの追加 proposal modify IKE プロポーザルの変更 proposal delete IKE プロポーザルの削除 preshared-key add IKE 事前共有鍵の追加 preshared-key modify IKE 事前共有鍵の変更 preshared-key delete IKE 事前共有鍵の削除 auto-initiation IKE の自動接続設定 ■ l2tp l2tp コマンドにより、L2TPv3 機能の設定を行うことができます。以下にサブコマンドと設定内容を 示します。 サブコマンド 設定内容 add l2tp 設定の追加 delete l2tp 設定の削除 modify l2tp 設定の変更 hostname local hostname の設定 router-id local router-id の設定 53 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する ■ 6.2.6 回線トレース ■ trace trace コマンドにより、lan1 上で授受されるデータをモニターする回線トレース機能の設定ができま す。以下にサブコマンドと設定内容を示します。 サブコマンド 設定内容 enable 回線トレース機能の有効化 disable 回線トレース機能の無効化 ■ 6.2.7 NAT/NAPT ■ nat nat コマンドにより、NAT に関する設定や、NAPT に関する設定等を行うことができます。以下にサ ブコマンドと設定内容を示します。 54 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する サブコマンド 設定内容 static add 静的 NAT の追加 static delete 静的 NAT の削除 dynamic add private 動的 NAT の対象プライベート IP アドレス(範囲)の追加 dynamic delete private 動的 NAT の対象プライベート IP アドレス(範囲)の削除 dynamic add global 動的 NAT のグローバル IP アドレス(範囲)の追加 dynamic delete global 動的 NAT のグローバル IP アドレス(範囲)の削除 dynamic delete all 動的 NAT の全削除 napt add private 静的 NAPT の追加 napt delete private 静的 NAPT の削除 napt add global NAPT のグローバル IP アドレス(範囲)の追加 napt delete global NAPT のグローバル IP アドレス(範囲)の削除 napt delete all NAPT 設定の全削除 snapt add 静的 NAPT の追加 snapt delete 静的 NAPT の削除 snapt enable 静的 NAPT の有効化 snapt disable 静的 NAPT の無効化 proxy sip add SIP サーバのポート番号の追加 proxy sip delete SIP サーバのポート番号の削除 timeout NAT タイマの設定 timeout dynamic 動的 NAT タイマーの設定 timeout protocol NAT セッションタイマのプロトコルごとの設定 logging NAT のログ出力の使用/不使用の設定 reflect add interface Reflection NAT 設定の追加 reflect delete interface Reflection NAT 設定の削除 upnp on UPnP 機能の有効化 upnp off UPnP 機能の無効化 upnp interface UPnP を使用するインターフェイスの設定 ■ 6.2.8 帯域制御 ■ cbq cbq コマンドにより、CBQ クラス情報の設定や、クラス分けフィルタ情報の設定等を行うことができ ます。以下にサブコマンドと設定内容を示します。 55 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する サブコマンド 設定内容 class add CBQ のクラス情報の追加 class modify CBQ のクラス情報の変更 class delete CBQ のクラス情報の削除 filter add CBQ のクラス分けフィルタ情報の追加 filter modify CBQ のクラス分けフィルタ情報の変更 filter delete CBQ のクラス分けフィルタ情報の削除 filter enable CBQ のクラス分けフィルタの有効化 filter disable CBQ のクラス分けフィルタの無効化 filter move CBQ のクラス分けフィルタの評価順序の変更 link-bandwidth CBQ の計算上の回線速度の設定 ■ 6.2.9 DHCP ■ dhcp dhcp コマンドにより、DHCP の使用/不使用の設定や、DHCP で配布する IP アドレスや DNS サーバ アドレス、ドメイン名、デフォルト経路、NTP サーバアドレスに関する設定等を行うことができます。 以下にサブコマンドと設定内容を示します。 サブコマンド 設定内容 enable DHCP の有効化 disable DHCP の無効化 mode DHCP の動作の設定 interface インターフェイスごとの DHCP サーバ/リレーエージェントの設 定 ■ dhcp6 dhcp6 コマンドにより、DHCPv6 の使用/不使用の設定や、動作するインターフェイスの設定、Rapid Commit オプション、Reconfigure Accept オプション、Prefix Delegation の設定等を行うことができま す。以下にサブコマンドと設定内容を示します。 56 サブコマンド 設定内容 client enable DHCPv6 クライアントの有効化 client disable DHCPv6 クライアントの無効化 client interface DHCPv6 クライアントの動作するインターフェイスの設定 client rapid-commit Rapid Commit オプションの設定 client reconf-accept Reconfigure Accept オプションの設定 client prefix-delegation サブネットごとの SLA ID の設定 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する ■ 6.2.10 DNS ■ dns dns コマンドにより、DNS 中継機能の使用/不使用の設定や、DNS 要求の中継先サーバの設定等を行 うことができます。以下にサブコマンドと設定内容を示します。 サブコマンド 設定内容 forwarder enable DNS 中継機能の有効化 forwarder disable DNS 中継機能の無効化 forwarder add DNS 要求の中継先サーバの追加 forwarder delete DNS 要求の中継先サーバの削除 forwarder query-translation enable IPv4-IPv6 変換機能の有効化 forwarder query-translation disable IPv4-IPv6 変換機能の無効化 forwarder query-translation prefix IPv4 アドレスに付加するプレフィクスの設定 ■ resolver resolver コマンドにより、DNS による名前解決の使用/不使用の設定や、使用する DNS サーバの設 定、DNS へ問い合わせるデフォルトドメイン名の設定等を行うことができます。以下にサブコマンド と設定内容を示します。 サブコマンド 設定内容 enable DNS による名前解決の有効化 disable DNS による名前解決の無効化 address add 使用する DNS サーバの追加 address delete 使用する DNS サーバの削除 domain ドメイン名の設定 ■ 6.2.11 ルータ広告 ■ rtadvd rtadvd コマンドにより、ルータ広告の使用/不使用の設定や、ルータ広告で配布するプレフィクスの設 定を行うことができます。以下にサブコマンドと設定内容を示します。 サブコマンド 設定内容 enable ルータ広告の有効化 disable ルータ広告の無効化 interface インターフェイスに配布するプレフィクスの設定 57 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する ■ 6.2.12 プロトコル変換 ■ translator translator コマンドにより、IPv6 から IPv4、またはその逆のプロトコル変換を行うためのアドレス対 応とその対象ポート番号の設定や、プロトコル変換タイマの設定等を行うことができます。以下にサブ コマンドと設定内容を示します。 サブコマンド 設定内容 add プロトコル変換のアドレス対応の追加 delete プロトコル変換のアドレス対応の削除 add prefix プロトコル変換のアドレスに付加するプレフィクスの追加 delete prefix プロトコル変換のアドレスに付加するプレフィクスの削除 add port プロトコル変換を行うポートの追加 delete port プロトコル変換を行うポートの削除 delete all トランスレータ設定の全削除 timeout プロトコル変換タイマの設定 ■ 6.2.13 サーバの起動 ■ httpd httpd コマンドにより、Web による設定機能の使用/不使用の設定を行うことができます。以下にサブ コマンドと設定内容を示します。 サブコマンド 設定内容 enable Web インターフェイスの有効化 disable Web インターフェイスの無効化 ■ telnetd telnetd コマンドにより、telnet サーバ機能の使用/不使用の設定を行うことができます。以下にサブ コマンドと設定内容を示します。 58 サブコマンド 設定内容 enable telnet サーバの有効化 disable telnet サーバの無効化 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する ■ sshd sshd コマンドにより、Secure Shell サーバ機能の使用/不使用の設定や、Secure Shell で使用するホ ストキーの設定を行うことができます。以下にサブコマンドと設定内容を示します。 サブコマンド 設定内容 enable Secure Shell サーバの有効化 disable Secure Shell サーバの無効化 hostkey Secure Shell のホストキーの設定 authorized-key Secure Shell の公開鍵の設定 ■ 6.2.14 時刻設定 ■ ntp ntp コマンドにより、NTP の使用/不使用の設定や、NTP サーバの設定等を行うことができます。以 下にサブコマンドと設定内容を示します。 サブコマンド 設定内容 enable NTP の有効化 disable NTP の無効化 server add NTP サーバの追加 server delete NTP サーバの削除 peer add NTP peer の追加 peer delete NTP peer の削除 ■ timezone timezone コマンドにより、タイムゾーンの設定を行うことができます。以下にコマンドと設定内容 を示します。 コマンド 設定内容 timezone タイムゾーンの設定 ■ 6.2.15 管理設定 ■ snmp snmp コマンドにより、SNMP サーバ機能の使用/不使用の設定や、SNMP トラップ使用/不使用の設 定等を行うことができます。以下にサブコマンドと設定内容を示します。 59 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する サブコマンド 設定内容 enable SNMP サーバ機能の有効化 disable SNMP サーバ機能の無効化 community SNMP community の設定 sysname SNMP sysname の設定 location SNMP location の設定 contact SNMP contact の設定 user SNMP ユーザの設定 trap enable SNMP トラップの有効化 trap disable SNMP トラップの無効化 trap add SNMP トラップの送信先ホストの追加 trap delete SNMP トラップの送信先ホストの削除 trap src SNMP トラップの送信元アドレスの指定 trap watch add SNMP 死活監視対象ホストの追加 trap watch delete SNMP 死活監視対象ホストの削除 ■ syslog syslog コマンドにより、デバッグログ記録機能の使用/不使用の設定や、ログ転送時に関する設定等を 行うことができます。以下にサブコマンドと設定内容を示します。 サブコマンド 設定内容 alternate-timestamp ログ転送時の時刻フォーマットの変更の設定 clear-password コマンドログ記録機能使用時のパスワード記録の有無の設定 command-log 実行コマンドのログ記録の設定 debug-level デバッグログ記録機能の使用/不使用の設定 sequence-number ログ転送時のシーケンス番号付与の設定 remote ログ転送機能の使用/不使用の設定 add ログを転送するリモートホストの追加 delete ログを転送するリモートホストの削除 facility ログ転送時のファシリティの設定 ■ hostname hostname コマンドにより、ホスト名の設定を行うことができます。パラメータを省略した場合は、 現在のホスト名が表示されます。以下にコマンドと設定内容を示します。 60 コマンド 設定内容 hostname ホスト名の設定 第 6 章 設定と管理、運用 6.2. 設定コマンドを利用する ■ password password コマンドにより、SEIL にログインするためのパスワードの設定を行うことができます。パ スワードは、一般ユーザと管理者に分かれており、それぞれに対する設定が可能です。以下にコマンド と設定内容を示します。 コマンド 設定内容 password パスワードの設定 ※ 入力されたパスワードは、encrypted-password(暗号化されたパスワード)として保存されます。 ■ environment environment コマンドにより、コマンドラインインターフェイス環境の動作設定を行うことができま す。以下にサブコマンドと設定内容を示します。 サブコマンド 設定内容 login-timer 自動ログアウト時間の設定 pager ページャーの使用、不使用の設定 terminal 端末の行数、列数の指定および自動取得の設定 61 第 6 章 設定と管理、運用 6.3. 管理コマンドを利用する ■ option option コマンドにより、専用の設定コマンドを持たない、各種機能の設定を行うことができます。以 下にサブコマンドと設定内容を示します。 サブコマンド 設定内容 ip mask-reply ICMP アドレスマスク要求への応答設定 ip monitor-linkstate インターフェイスの Up/down 監視の設定 ip redirects ICMP echo リダイレクトの設定 ip update-connected-route LinkDown 時の IPv4 connected route 動的削除の設定 ipv6 monitor-linkstate インターフェイスの Up/down 監視の設定 ipv6 redirects ICMP echo リダイレクトの設定 ipv6 LinkDown 時の IPv6 connected route 動的削除の設定 update-connected-route ip unicast-rpf IPv4 uRPF チェックの設定 ipv6 unicast-rpf IPv6 uRPF チェックの設定 6.3 管理コマンドを利用する 管理コマンドには、設定の保存や再起動等 SEIL の管理を行う上で必要な項目が集められています。 IPv4 と IPv6 に共通するコマンド、IPv4 と IPv6 とで異なるコマンド、IPv6 に対応していないコマンド がありますので、ご確認の上で設定を行ってください。 ここでは、各コマンドの動作についてご説明します。詳しい設定方法は、コマンドリファレンスをご 覧ください。 ※ 管理コマンドには管理者アカウントでのみ実行可能な設定があります。一般ユーザでアクセスし ている場合、administrator コマンドで管理者権限に移行する必要があります( ó [6.3.7 管理 ¤ ¡ 者権限への移行 £P.67 ¢ ])。 62 第 6 章 設定と管理、運用 6.3. 管理コマンドを利用する ■ アクセスレベル対応表 項番号 コマンド アクセスレベル 管理者 一般ユーザ save-to ○ × load-from ○ × 6.3.2設定の初期化 factory-config ○ × 6.3.3ファームウェアの更新 update ○ × 6.3.4動的な情報のクリア clear ○ × 6.3.5接続確認 ping ○ ○ ping6 ○ ○ traceroute ○ ○ traceroute6 ○ ○ 6.3.6システム時刻の設定 date ○ × 6.3.7管理者権限への移行 administrator × ○ 6.3.8ログアウト bye ○ ○ exit ○ ○ logout ○ ○ quit ○ ○ connect ○ × disconnect ○ × reconnect ○ × reboot ○ × help ○ ○ remote-console ○ × telnet ○ ○ 6.3.1設定内容の保存・読込 6.2.1接続設定 6.3.10その他 ○: 実行可能 ×: 実行不可能 63 第 6 章 設定と管理、運用 6.3. 管理コマンドを利用する ■ IPv4/IPv6 対応表 項番号 コマンド IPv4/IPv6 対応 IPv4 IPv6 save-to ○ ○ load-from ○ ○ 6.3.2設定の初期化 factory-config − − 6.3.3ファームウェアの更新 update ○ ○ 6.3.4動的な情報のクリア clear − − 6.3.5接続確認 ping ○ × ping6 × ○ traceroute ○ × traceroute6 × ○ 6.3.6システム時刻の設定 date − − 6.3.7管理者権限への移行 administrator − − 6.3.8ログアウト bye − − exit − − logout − − quit − − connect − − disconnect − − reconnect − − reboot − − help − − remote-console − − telnet ○ ○ 6.3.1設定内容の保存・読込 6.2.1接続/切断 6.3.10その他 ○: 対応している ×: 対応していない −: IPv4/IPv6 対応とは無関係 ■ 6.3.1 設定内容の保存・読込 ■ save-to save-to コマンドにより、SEIL のメモリ上にあるユーザ設定内容の保存、出力を行うことができます。 保存、出力先には、フラッシュメモリ、遠隔ホスト、コンソールが選択できます。以下にサブコマンド と動作を示します。 64 第 6 章 設定と管理、運用 6.3. 管理コマンドを利用する サブコマンド 動作 flashrom フラッシュメモリへの保存 remote 遠隔ホストへの保存 stdout コンソールへの出力 ※ このコマンドは、管理者アカウントでのみ実行可能となります。 ■ load-from load-from コマンドにより、SEIL のメモリ上にあるユーザ設定内容を読み込み、動作に反映させるこ とができます。入力元には、フラッシュメモリ、遠隔ホスト、コンソールが選択できます。以下にサブ コマンドと動作を示します。 サブコマンド 動作 flashrom フラッシュメモリからの設定読み込み remote 遠隔ホストからの設定読み込み stdin コンソールからの設定読み込み ※ このコマンドは、管理者アカウントでのみ実行可能となります。 ■ 6.3.2 設定の初期化 ■ factory-config factory-config コマンドにより、SEIL のフラッシュメモリ上の設定内容を工場出荷時の設定に戻すこ とができます。コマンドを実行した後、再起動を行う必要があります。以下にコマンドと動作を示し ます。 コマンド 動作 factory-config 設定の初期化 ※ このコマンドは、管理者アカウントでのみ実行可能となります。 ■ 6.3.3 ファームウェアの更新 ■ update update コマンドにより、ファームウェアを更新することができます。更新方法の詳細については、 ó ¤ ¡ [6.5 ファームウェアを更新する £P.78 ¢ ]をご覧ください。以下にコマンドと動作を示します。 65 第 6 章 設定と管理、運用 6.3. 管理コマンドを利用する コマンド 動作 update firmware ファームウェアの更新 ※ このコマンドは、管理者アカウントでのみ実行可能となります。 ■ 6.3.4 動的な情報のクリア ■ clear clear コマンドにより、キャッシュやログ等、SEIL の持つ動的な情報を消去することができます。以 下にサブコマンドと消去内容を示します。 サブコマンド 消去内容 arp-cache ARP キャッシュの消去 ndp-cache NDP キャッシュの消去 nat-session NAT により動的に生成された、すべての IP アドレス変換の組の 消去 log ログの消去 trace トレースログの消去 route all IPv4 経路の消去 route6 all IPv6 経路の消去 ike IKE フェーズ 1 で確立した、IKE セキュリティアソシエーション の消去 ipsec security-association IKE で確立した、IPsec セキュリティアソシエーションの消去 ipsec security-policy IKE で確立した、IPsec セキュリティポリシーの消去 counter インターフェイスのカウンタのクリア l2tp L2TP のトンネル/セッション情報の消去 ※ このコマンドは、管理者アカウントでのみ実行可能となります。 ■ 6.3.5 接続確認 ■ ping ping コマンドにより、SEIL と指定した相手との接続を確認することができます。以下にコマンドと 動作を示します。 66 コマンド 動作 ping SEIL と相手先ホストの IPv4 アドレスでの接続確認 第 6 章 設定と管理、運用 6.3. 管理コマンドを利用する ■ ping6 ping6 コマンドにより、SEIL と指定した相手との接続を確認することができます。以下にコマンドと 動作を示します。 コマンド 動作 ping6 SEIL と相手先ホストの IPv6 アドレスでの接続確認 ■ traceroute traceroute コマンドにより、SEIL から指定した相手へパケットを送る経路を確認することができま す。以下にコマンドと動作を示します。 コマンド 動作 traceroute SEIL と相手先ホストの IPv4 アドレスでの経路確認 ■ traceroute6 traceroute6 コマンドにより、SEIL から指定した相手へパケットを送る経路を確認することができま す。以下にコマンドと動作を示します。 コマンド 動作 traceroute6 SEIL と相手先ホストの IPv6 アドレスでの経路確認 ■ 6.3.6 システム時刻の設定 ■ date date コマンドにより、SEIL のシステム時刻の設定を行うことができます。ccyyMMDDhhmm.ss 形 式による時刻の直接指定、もしくは ntp server コマンドで指定された NTP サーバから現在時刻を取得 ¤ ¡ することもできます( ó [6.2.14 時刻設定 £P.59 ¢ ]) 。以下にコマンドと設定内容を示します。 コマンド 設定内容 date 時刻の設定、参照 ■ 6.3.7 管理者権限への移行 ■ administrator administrator コマンドにより、管理者権限に移行することができます。管理者権限に移行した後に exit 等のログアウトコマンドを使用すると、元のユーザに戻ることができます。以下にコマンドと動作 を示します。 67 第 6 章 設定と管理、運用 6.3. 管理コマンドを利用する コマンド 動作 administrator 管理者権限への移行 ■ 6.3.8 ログアウト ■ bye, exit, logout, quit bye、exit、logout、quit コマンドにより、SEIL への接続を終了することができます。いずれのコマン ドを使用しても、同様の結果となります。一般ユーザでログイン後、administrator コマンドにより管理 者権限に移行していた場合は、一般ユーザ権限に戻ります。以下にコマンドと動作を示します。 コマンド 動作 bye ログアウトを行う exit ログアウトを行う logout ログアウトを行う quit ログアウトを行う ■ 6.3.9 接続/切断 ■ connect connect コマンドにより、PPPoE の接続を手動で行うことができます。以下にコマンドと動作を示 します。 コマンド 動作 connect 回線の接続を行う ※ このコマンドは、管理者アカウントでのみ実行可能となります。 ■ disconnect disconnect コマンドにより、PPPoE の接続を切断することができます。切断後は、connect コマン ド、reconnect コマンド、又は再起動を行うまで再接続をしません。以下にコマンドと動作を示します。 コマンド 動作 disconnect 回線の切断を行う ※ このコマンドは、管理者アカウントでのみ実行可能となります。 68 第 6 章 設定と管理、運用 6.3. 管理コマンドを利用する ■ reconnect reconnect コマンドにより、PPPoE の接続を一旦切断し、再接続することができます。以下にコマン ドと動作を示します。 コマンド 動作 reconnect 回線の再接続を行う ※ このコマンドは、管理者アカウントでのみ実行可能となります。 ■ 6.3.10 その他 ■ reboot reboot コマンドにより、再起動を行うことができます。再起動後は、最後にフラッシュメモリに保存 された設定内容で起動します。以下にコマンドと動作を示します。 コマンド 動作 reboot 再起動を行う ※ このコマンドは、管理者アカウントでのみ実行可能となります。 ■ help help コマンドにより、SEIL のコマンドの書式とその簡単な説明を表示させることができます。以下 にコマンドと動作を示します。 コマンド 動作 help コマンドに対する簡易説明の表示 ■ remote-console remote-console コマンドにより、モデム経由で遠隔地から SEIL を保守できるようになります。以下 にコマンドと動作を示します。 コマンド 動作 remote-console モデム経由での SEIL 管理の設定 ※ このコマンドは、管理者アカウントでのみ実行可能となります。 69 第 6 章 設定と管理、運用 6.3. 管理コマンドを利用する ■ telnet telnet コマンドにより、SEIL から指定した相手へ TELNET プロトコルで接続することができます。 以下にコマンドと動作を示します。 70 コマンド 動作 telnet SEIL から他の機器への telnet 接続 第 6 章 設定と管理、運用 6.4. 参照コマンドを利用する 6.4 参照コマンドを利用する 参照コマンドは、SEIL の設定や動作状況をさまざまな項目で参照することができます。参照コマン ドは、一部を除き管理者権限や一般ユーザ権限といったアクセスレベルに関係なく、また IPv4、IPv6 の どちらでも使用することができます。ここでは、各コマンドの参照内容についてご説明します。詳しい 参照方法は、コマンドリファレンスをご覧ください。 ■ アクセスレベル対応表 項番号 コマンド アクセスレベル 管理者 一般ユーザ 6.4.1設定情報の参照 show config ○ ○ (一部×) 6.4.2動作情報の参照 show status ○ ○ 6.4.3ログの参照 show log ○ ○ 6.4.5システム情報の参照 show system ○ ○ 6.4.6現在時刻の参照 show date ○ ○ 6.4.7ユーザ情報の参照 show users ○ ○ 6.4.10各種情報一括取得 show tech-support ○ × ○: 実行可能 ×: 実行不可能 ■ IPv4/IPv6 対応表 項番号 コマンド IPv4/IPv6 対応 IPv4 IPv6 6.4.1設定情報の参照 show config − − 6.4.2動作情報の参照 show status − − 6.4.3ログの参照 show log − − 6.4.5システム情報の参照 show system − − 6.4.6現在時刻の参照 show date − − 6.4.7ユーザ情報の参照 show users − − 6.4.10各種情報一括取得 show tech-support − − ○: 対応している ×: 対応していない −: IPv4/IPv6 対応とは無関係 71 第 6 章 設定と管理、運用 6.4. 参照コマンドを利用する ■ 6.4.1 設定情報の参照 show config コマンドにより、SEIL の設定内容を参照することができます。サブコマンドを省略した ときには、すべての設定情報が表示されます。以下にサブコマンドと参照内容を示します。 72 第 6 章 設定と管理、運用 6.4. 参照コマンドを利用する サブコマンド 参照内容 一般ユーザでの参照 current 現在のメモリ上の設定情報 ○ environment コマンドラインインターフェイス設定 ○ flashrom フラッシュメモリ内に保存されている設定情報 × arp ARP 設定 ○ bridge ブリッジ設定 ○ cbq 帯域制御設定 ○ dhcp DHCP 設定 ○ dhcp6 DHCPv6 設定 ○ dns DNS 中継設定 ○ filter IPv4 フィルタ設定 ○ filter6 IPv6 フィルタ設定 ○ hostname ホスト名設定 ○ httpd Web 機能設定 ○ ike IKE 設定 △ interface インターフェイス設定 ○ ipsec ipsec 設定 △ l2tp l2tp 設定 ○ macfilter MAC アドレスフィルタ設定 ○ nat NAT 設定 ○ ntp NTP 設定 ○ option オプション設定 ○ ppp PPP 設定 ○ remote-console 遠隔監視機能設定 ○ resolver DNS 設定 ○ route IPv4 ルーティング設定 △ route6 IPv6 ルーティング設定 ○ rtadvd ルータ広告設定 ○ snmp SNMP 設定 ○ sshd SSH 設定 △ syslog syslog 設定 ○ telnetd telnet 設定 ○ timezone タイムゾーン設定 ○ trace トレース設定 ○ translator トランスレータ設定 ○ vrrp VRRP 設定 ○ ○: 参照可能 △: 一部参照不可能 ×: 参照不可能 73 第 6 章 設定と管理、運用 6.4. 参照コマンドを利用する ※ 一般ユーザでのアクセスでは一部参照不可能な設定情報があります。一般ユーザでアクセスして いる場合、administrator コマンドで管理者権限に移行する必要があります( ó [6.3.7 管理者 ¤ ¡ 権限への移行 £P.67 ¢ ]) 。 フラッシュメモリ内に保存されている設定情報およびパスワードは一般ユーザでアクセスした場合は 参照不可能であり、画面に表示されません。また、ike、ipsec、route、sshd はコマンド行の一部が画面 に表示されません。一般ユーザでは表示されない箇所を、管理者でアクセスした場合の画面表示例に示 します。 設定内容 管理者でアクセスした場合の画面表示例 password encrypted-password admin <password> encrypted-password user <password> ike ike preshared-key add <psk name> <key> ipsec ipsec security-association add <SA name> tunnel <start IPaddress> <end IPaddress> to-encap esp-auth <spi> <esp algorithm> <esp key> <auth algorithm> <auth key> from-encap esp-auth <spi> <esp algorithm> <esp key> <auth algorithm> <auth key> to-auth ah <spi> <ah auth algorithm> <auth key> from-auth ah <spi> <ah auth algorithm> <auth key> route route dynamic auth-key add <key-name> type md5 keyid <keyid> password <password> route dynamic auth-key add <key-name> type plain-text password <password> sshd sshd hostkey <algorithm> <hostkey> ※ < >で囲まれた部分は設定内容となります。 ※ 一般ユーザで ipsec を参照すると、下線部が表示されません。 ■ 6.4.2 動作情報の参照 show status コマンドにより、SEIL の動作情報を参照することができます。以下にサブコマンドと参 照内容を示します。 74 第 6 章 設定と管理、運用 6.4. 参照コマンドを利用する サブコマンド 参照内容 arp 現在の ARP テーブル bridge ブリッジの動作情報 cbq 帯域制御の動作情報 dhcp DHCP のリース情報 dhcp6 DHCPv6 の動作情報 dns dns forwarder の動作情報 filter IP パケットのフィルタリング情報 filter6 IPv6 パケットのフィルタリング情報 function 各機能の動作状態 httpd Web 機能の動作状態 ike IKE 設定の動作情報 interface 各インターフェイスの動作情報 ipsec IPsec の動作情報 ipsec security-association IPsec セキュリティアソシエーションの動作情報 ipsec security-policy IPsec セキュリティポリシーの動作情報 l2tp L2TP の動作情報 macfilter MAC アドレスフィルタの動作情報 nat 動的アドレス変換のマッピング情報 ndp 現在の NDP テーブル ntp NTP の動作情報 option オプション機能の動作情報 ppp PPP 接続情報 resolver DNS の動作情報 route IPv4 経路テーブル route6 IPv6 経路テーブル rtadvd ルータ広告の動作情報 snmp SNMP の動作情報 sshd SSH 機能の動作情報 telnetd TELNET 機能の動作情報 translator トランスレータの動作情報 vrrp VRRP の動作情報 ■ 6.4.3 ログの参照 show log コマンドにより、SEIL が動作中に出力したログ情報を参照することができます。パラメー タを省略したときにはすべてのログ情報が表示されます。以下にコマンドと参照内容を示します。 75 第 6 章 設定と管理、運用 6.4. 参照コマンドを利用する コマンド 参照内容 show log ログの参照 show log function 機能ごとのログの参照 show log level レベルごとのログ参照 ■ 6.4.4 トレースログの参照 show trace コマンドにより、SEIL の WAN 側インターフェイスに流れたパケットのトレース情報を 参照することができます。以下にコマンドと参照内容を示します。 コマンド 参照内容 show trace トレースログの参照 ■ 6.4.5 システム情報の参照 show system コマンドにより、SEIL のシステム情報を参照することができます。サブコマンドを省 略したときには、すべてのシステム情報が表示されます。以下にサブコマンドと参照内容を示します。 サブコマンド 参照内容 arch ハードウェア情報 cpustat CPU 動作情報 hostname ホスト名 date 現在のシステム時刻 uptime 起動してからの時間と起動時刻 load 現在のシステム負荷率 memory 現在のメモリ使用率 version ファームウェアと IPL のバージョン users 現在ログインしているユーザ情報 ■ 6.4.6 現在時刻の参照 show date コマンドにより、現在のシステム時刻を参照することができます。以下にコマンドと参照 内容を示します。 76 コマンド 参照内容 show date 現在のシステム時刻 第 6 章 設定と管理、運用 6.4. 参照コマンドを利用する ■ 6.4.7 ユーザ情報の参照 show users コマンドにより、ログインしているユーザ情報を参照することができます。以下にコマ ンドと参照内容を示します。 コマンド 参照内容 show users 現在ログインしているユーザ情報 ■ 6.4.8 ライセンス情報の参照 show license コマンドにより、ファームウェアに含まれるソフトウェアに関するライセンス情報を参 照することができます。以下にコマンドと参照内容を示します。 コマンド 参照内容 show license ライセンス情報 ■ 6.4.9 サポート用情報の参照 show tech-support コマンドにより、サポートを受けるときに最低限必要な情報を表示することがで きます。以下にコマンドと参照内容を示します。 コマンド 参照内容 show tech-support サポート用情報 ■ 6.4.10 各種情報一括取得 report-to コマンドにより、状況把握に必要な、設定情報、動作情報などを一括取得することができま す。以下にコマンドと参照内容を示します。 コマンド 参照内容 report-to 状況把握に必要な様々な情報 77 第 6 章 設定と管理、運用 6.5. ファームウェアを更新する 6.5 ファームウェアを更新する ファームウェアを更新するには、以下の手順で設定を行ってください。ファームウェア更新の前に、 万一のトラブルに備え、現在の設定をバックアップしておくことをお勧めします。 ( ó [6.3.1 設定内 ¤ ¡ 容の保存・読込 £P.64 ¢ ]) ※ コマンドラインインターフェイスからファームウェアの更新を行う場合には ftp,http,tftp サーバ のいずれかを用意しなければなりませんが、Web インターフェースであればその必要はありませ ん。Web インターフェイスを用いてファームウェアの更新をする方法については「ユーザーズガ イド Web インターフェイス編」をご覧ください。 1. FTP サーバあるいは HTTP サーバを用意してください。FTP サーバの場合、匿名(anonymous) アカウントが設定可能であれば匿名アカウントを用意してください。匿名アカウントが設定でき ない場合には、一般ユーザのアカウントを用意してください。ここでは、例としてサーバのアド レスを 192.168.0.2 として説明します。 2. 以下のページから、最新版のファームウェアをダウンロードしてください。 CS-SEIL-510/C 製品サポートページ http://www.centurysys.co.jp/support/csseil510c.html 3. 2. でダウンロードしたファームウェアを、1. で用意したサーバにコピーします。なお、ファーム ウェア取得時に指定するパス名および URL の最大長は 1023 文字となります。コピーする際に 最大長を越えないようご注意ください。 4. SEIL に管理者権限でログインし、update firmware コマンドを実行してファームウェアを更新し ます。更新には、以下の 2 つの方法があります。それぞれの更新方法についてご説明します。ご 利用の環境に合わせて、更新方法を選択してください。 A.update firmware <FTP サーバ IP アドレス > B.update firmware <URL> 注意 ファームウェアの更新時、SEIL が再起動するまでは絶対に電源を切らないでく ださい。ファームウェア更新中に電源を切ると、SEIL を起動できなくなります。 ※ 万一電源を入れなおしても起動できなくなった場合、お買い上げの販売店 にご相談ください。 78 第 6 章 設定と管理、運用 6.5. ファームウェアを更新する ■ A.update firmware <FTP サーバ IP アドレス > FTP サーバの IP アドレスを指定する方法で、FTP によってファームウェアを取得します。以下の手 順に従ってください。 ¶ ³ # update firmware 192.168.0.2 filename [seilfirm.img]:seilfirm.img username [anonymous]:seiluser Password: total 3590366 bytes received write to flash ROM?[y/N] y erasing 3590221/3590221 done. writing 3590221/3590221 done. µ ´ ※ ”[ ]”内は、入力省略時の値となります。 ※ 上記の入力フォームは例であり、表示内容はファームウェアのバージョンによって異なります。 1. FTP サーバの IP アドレスを入力します。その際、ファームウェアのパス名、ユーザ名、パスワー ドの入力も必要となります。用意したサーバの設定に応じた値を入力してください。入力が正し ければ SEIL がファームウェアのダウンロードを開始します。 2. フラッシュメモリを更新するかどうかを選択します。更新を行う場合、「y」または「Y」を入力 するとフラッシュメモリの内容を消去後、更新を開始します。更新を行わない場合には、 「n」ま たは「N」を入力してください。 ※ フラッシュメモリ消去・更新時には、SEIL では LED ”a∼g” セグメントが点灯します。消去中お よび更新中は、絶対に電源を切らないでください。 79 第 6 章 設定と管理、運用 6.5. ファームウェアを更新する ■ B.update firmware <URL> URL を指定する方法で、HTTP、FTP、TFTP によってファームウェアを取得します。以下の手順に 従ってください。 HTTP による入力例 ¶ # update firmware http://192.168.0.2/seilfirm.img total 3590366 bytes received write to flash ROM?[y/N] y erasing 3590221/3590221 done. writing 3590221/3590221 done. µ ³ ´ FTP による入力例 ¶ # update firmware ftp://192.168.0.2/seilfirm.img Password: total 3590366 bytes received write to flash ROM?[y/N] y erasing 3590221/3590221 done. writing 3590221/3590221 done. µ ³ ´ TFTP による入力例 ¶ # update firmware tftp://192.168.0.2/seilfirm.img Password: total 3590366 bytes received write to flash ROM?[y/N] y erasing 3590221/3590221 done. writing 3590221/3590221 done. µ ※ ”[ ]”内は、入力省略時の値となります。 ※ 上記の入力フォームは例であり、表示内容はファームウェアのバージョンによって異なります。 1. URL を入力します。その際、サーバの設定によってはパスワードの入力が必要となることがあ 80 ³ ´ 第 6 章 ネットワークでの利用例 ります。その場合、用意したサーバの設定に応じた値を入力してください。入力が正しければ SEIL がファームウェアのダウンロードを開始します。 2. フラッシュメモリを更新するかどうかを選択します。更新を行う場合、「y」または「Y」を入力 するとフラッシュメモリの内容を消去後、更新を開始します。更新を行わない場合には、 「n」ま たは「N」を入力してください。 ※ フラッシュメモリ消去・更新時には、SEIL では LED ”a∼g” セグメントが点灯します。消去中お よび更新中は、絶対に電源を切らないでください。 6.6 INIT ボタンによる設定の初期化 SEIL の設定内容を工場出荷時の状態に戻したい場合、管理コマンドの factory-config( ó [6.3.2 設 ¤ ¡ 定の初期化 £P.65 ¢ ])で初期化を行うことができますが、何らかの理由によりコマンドを利用しての初 期化ができなくなった場合、本体の INIT ボタンによる初期化を行うことができます。INIT ボタンによ る初期化の手順は以下の通りです。 ¤ ¡ 1. 本体底面の INIT ボタン( ó [3.2 本体の名称と働き £P.22 ¢ ])を押しながら電源プラグをコン セントに差し込み、電源を入れます。 2. SEIL の 7 セグメント LED が数秒間赤色点滅したら初期化完了です。SEIL は工場出荷状態の設 定で起動します。 ¤ ¡ ※ 初期化時の設定内容については、 ó [8.1 仕様について £P.245 ¢ ]をご覧ください。 81 第 7 章 ネットワークでの利用例 第 7 章 ネットワークでの利用例 本章では、ネットワーク(LAN)内からインターネットを利用する方法やインターネットにコンピュー タ(サーバなど)を公開する方法を、実例を挙げてご説明します。 ■ 第 7 章 目次 7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8 LAN をインターネットに接続する . . . . . . . . . . . . . . . . . . . . . 7.1.1 PPPoE を使用して接続する場合 . . . . . . . . . . . . . . . . . . . 7.1.2 unnumbered PPPoE を使用して接続する場合 . . . . . . . . . . . 7.1.3 DHCP を使用して接続する場合 . . . . . . . . . . . . . . . . . . . 7.1.4 LAN 内でグローバルアドレスを使用する場合 . . . . . . . . . . . . IPv4 ネットワークを経由して IPv6 ネットワークに接続する . . . . . . . 7.2.1 IPv6 over IPv4 tunnel を使って接続する場合 . . . . . . . . . . . . LAN 内のサーバをインターネットに公開する . . . . . . . . . . . . . . . 7.3.1 公開するサーバにグローバルアドレスを割り当てる場合 . . . . . . 7.3.2 公開するサーバにプライベートアドレスを割り当てる場合 . . . . . 7.3.3 サーバを LAN 内からグローバルアドレスで参照する . . . . . . . . 外部からのアクセスを制限する . . . . . . . . . . . . . . . . . . . . . . . 7.4.1 外部から LAN へのアクセスを制限するフィルタリングを設定する 7.4.2 動的にアクセスを許可するフィルタリングを設定する . . . . . . . . 7.4.3 IP アドレスの詐称を防ぐフィルタリング (uRPF) を設定する . . . . MAC アドレスによるフィルタリングを行う . . . . . . . . . . . . . . . . 7.5.1 MAC アドレスの個別設定 . . . . . . . . . . . . . . . . . . . . . . 7.5.2 外部ホワイトリストによる設定 . . . . . . . . . . . . . . . . . . . . ルーティングを動的に行う∼動的ルーティングの設定∼ . . . . . . . . . . 7.6.1 RIP を利用した動的ルーティング ∼比較的小規模なネットワーク∼ 7.6.2 OSPF を利用した動的ルーティング ∼中規模以上のネットワーク∼ 7.6.3 複数のルーティングプロトコルを同時に使う ∼経路情報の再配布∼ 7.6.4 PIM-SM を利用した IPv4/IPv6 マルチキャストルーティング . . . 目的別のルーティングを行う . . . . . . . . . . . . . . . . . . . . . . . . 7.7.1 静的経路の監視を行う . . . . . . . . . . . . . . . . . . . . . . . . . 7.7.2 ポリシーベースのルーティングを行う . . . . . . . . . . . . . . . . VPN を構築する ∼IPsec の設定∼ . . . . . . . . . . . . . . . . . . . . . 7.8.1 ポリシーベース IPsec トンネル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 85 91 98 101 105 105 112 112 115 118 122 122 130 136 139 139 144 148 148 153 157 160 164 164 168 172 172 83 第 7 章 ネットワークでの利用例 7.9 7.10 7.11 84 7.8.2 ルーティングベース IPsec トンネル . . . . . . . . . . . . . 7.8.3 自アドレスが動的 IP アドレスの場合 . . . . . . . . . . . . . 7.8.4 動的 IP アドレスからの接続を受け付ける場合 . . . . . . . . L2VPN を構築する ∼L2TPv3 の設定∼ . . . . . . . . . . . . . . 7.9.1 L2TPv3 を利用した L2 トンネルの設定 . . . . . . . . . . . CS-SEIL-510/C を冗長化する ∼VRRP の設定∼ . . . . . . . . . 7.10.1 機器の故障時に自動的にバックアップ回線に切り替える . . 7.10.2 回線障害を検出して自動的にバックアップ回線に切り替える データの送信を制御する . . . . . . . . . . . . . . . . . . . . . . . 7.11.1 CBQ の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 201 210 219 219 227 227 231 236 236 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する 7.1 LAN をインターネットに接続する 本節では CS-SEIL-510/C を用いて、LAN をネットワークに接続するための設定方法についてご説明 ¤ ¡ します。セキュリティに関する設定などは ó [7.4 外部からのアクセスを制限する £P.122 ¢ ]以降を 参考に、各自の設定方針に応じて設定を行ってください。 ■ 7.1.1 PPPoE を使用して接続する場合 PPPoE を使用してインターネットに接続する基本的な設定例です。この例では以下のような構成の ネットワークを前提にご説明します。PPPoE は IPv4、IPv6 両方に対応していますが、ここでは IPv4 での設定方法についてご説明します。 ỶὅἑὊἕἚ WANͨ ἂἿὊἢἽỴἛἾἋ PPPoEỂӕࢽ л࢘ἕἚὁὊἁỴἛἾἋ 192.168.0.0/24 ἩἻỶἫὊἚỴἛἾἋ 192.168.0.2 ἩἻỶἫὊἚỴἛἾἋ 192.168.0.3 LANͨ ἩἻỶἫὊἚỴἛἾἋ 192.168.0.1 ἩἻỶἫὊἚỴἛἾἋ 192.168.0.4 ἩἻỶἫὊἚỴἛἾἋ 192.168.0.5 85 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する 設定の流れ (1)LAN1 インターフェイスを設定する LAN1 インターフェイスのメディアタイプを設定します。 (2)PPPoE のエントリーを設定する PPPoE による接続を行うために、契約したプロバイダから割り当てられた認証 ID や認証パス ワードなどを設定します。 (3)PPPoE のインターフェイスを設定する PPPoE による接続を行うインターフェイスの設定を行います。 (4)PPPoE が動作する物理インターフェイスを設定する 論理インターフェイスである「PPPoE」と、物理インターフェイスである「LAN1」との関連付 けを設定します。 (5)LAN0 インターフェイスを設定する LAN0 インターフェイスを設定します。 (6)NAPT を設定する プライベートアドレスとして使用するアドレスの範囲を設定します。 (7)PPPoE を接続する PPPoE による接続を開始します。 (8)設定を保存する すべての設定を保存します。 設定手順 (1)LAN1 インターフェイスを設定する SEIL に管理者アカウントでログインし、LAN1 インターフェイスのメディアタイプを設定しま す。ここでは、例として「auto」(自動認識)に設定します。以下の設定を行ってください。 設定項目 パラメータ インターフェイス lan1 メディアタイプ auto ■ 記述例 ¶ # interface lan1 media auto µ ■ パラメータ解説 interface lan1 インターフェイスとして「lan1」を設定します。 86 ³ ´ 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する media auto 続けて、メディアタイプは「auto」(自動認識)を設定します。 (2)PPPoE のエントリーを設定する PPPoE による接続を行うために、契約したプロバイダから割り当てられた認証 ID や認証パス ワードなどを設定します。以下の設定を行ってください。 設定項目 パラメータ エントリー名 Century IPCP の有効/無効 enable IPCP アドレスオプション on IPCP DNS オプション on IPv6CP の有効/無効 disable 認証方法 PAP 認証 ID xxxxxx 認証パスワード yyyyyy TCP MSS auto ■ 記述例 ¶ ³ # ppp add Century ipcp enable ipcp-address on ipcp-dns on ipv6cp disable authentication-method pap identifier xxxxxx passphrase yyyyyy tcp-mss auto µ ´ ■ パラメータ解説 ppp add Century エントリー名として「Century」を設定します。 ipcp enable IPCP を有効に設定します。 ipcp-address on IPCP アドレスオプションを有効に設定します。 ipcp-dns on IPCP DNS オプションを有効に設定します。 ipv6cp disable IPv6CP を無効に設定します。 authentication-method pap 認証方式を「pap」に設定します。 87 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する identifier xxxxxx 認証 ID を「xxxxxx」に設定します。 passphrase yyyyyy 認証パスワードを「yyyyyy」に設定します。 tcp-mss auto TCP MSS を「auto」に設定します。 (3)PPPoE のインターフェイスを設定する PPPoE のインターフェイスを設定します。以下の設定を行ってください。 設定項目 パラメータ インターフェイス pppoe0 エントリー名 Century ■ 記述例 ¶ ³ # interface pppoe0 ppp-configuration Century µ ´ ■ パラメータ解説 interface pppoe0 インターフェイスとして「pppoe0」を設定します。 ppp-configuration Century エントリー名として「Century」を設定します。 (4)PPPoE が動作する物理インターフェイスを設定する 論理インターフェイスである「PPPoE」と、物理インターフェイスである「LAN1」との関連付 けを設定します。以下の設定を行ってください。 88 設定項目 パラメータ 設定項目 パラメータ インターフェイス pppoe0 物理インターフェイス lan1 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する ■ 記述例 ¶ ³ # interface pppoe0 over lan1 µ ´ ■ パラメータ解説 interface pppoe0 インターフェイスとして「pppoe0」を設定します。 over lan1 物理インターフェイスとして「lan1」を設定します。 (5)LAN0 インターフェイスを設定する LAN0 インターフェイスを設定します。工場出荷状態ではメディアタイプが「自動認識」、IPv4 アドレスが「192.168.0.1」と設定されていますので今回構成するネットワーク例では LAN0 イ ンターフェイスの設定は不要です。 (6)NAPT を設定する NAPT は IPv4 にのみ対応しています。IPv6 でインターネットに接続した場合でも、LAN 内のプ ライベートアドレスは IPv4 のものになります。以下の設定を行ってください。 設定項目 パラメータ 対象プライベート IP アドレス範囲 192.168.0.0 ∼ 192.168.255.255 インターフェイス pppoe0 ■ 記述例 ¶ ³ # nat napt add private 192.168.0.0-192.168.255.255 interface pppoe0 µ ´ ■ パラメータ解説 nat napt add private 192.168.0.0-192.168.255.255 NAPT の対象プライベート IP アドレス範囲として「192.168.0.0-192.168.255.255」 を設定します。 interface pppoe0 続けて、NAPT を使用するインターフェイスとして「pppoe0」を設定します。 (7)PPPoE を接続する 89 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する PPPoE により、インターネットに接続します。以下の設定を行ってください。 設定項目 パラメータ インターフェイス pppoe0 ■ 記述例 ¶ ³ # connect pppoe0 µ ´ ■ パラメータ解説 connect pppoe0 接続する PPPoE インターフェイスとして「pppoe0」を設定します。 (8)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で、PPPoE を使用する場合の設定は完了です。変更した設定はバックアップをとっておく ことをお勧めします。 90 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する ■ 7.1.2 unnumbered PPPoE を使用して接続する場合 unnumbered PPPoE を使用してインターネットに接続する設定例です。この例では以下のような構 成のネットワークを前提にご説明します。PPPoE は IPv4、IPv6 両方に対応していますが、ここでは IPv4 での設定方法についてご説明します。 ỶὅἑὊἕἚ WANͨ unnumbered PPPoE л࢘ἕἚὁὊἁỴἛἾἋ 172.16.0.0/24 ἂἿὊἢἽỴἛἾἋ 172.16.0.2 ἂἿὊἢἽỴἛἾἋ 172.16.0.3 LANͨ ἂἿὊἢἽỴἛἾἋ 172.16.0.1 ἂἿὊἢἽỴἛἾἋ 172.16.0.4 ἂἿὊἢἽỴἛἾἋ 172.16.0.5 ※ 本節では説明のため、 「172.16.0.0∼172.16.255.255」のアドレスをグローバルアドレスとして表 現しています。 ※ unnumbered PPPoE 設定は、プロバイダより複数の IP アドレスの払い出しを受ける際に使用し ます。ここでは、グローバル IP アドレスとして 172.16.0.0/24 を割り当てられているものとし ます。 91 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する 設定の流れ (1)LAN1 インターフェイスを設定する LAN1 インターフェイスのメディアタイプを設定します。 (2)PPPoE のエントリーを設定する PPPoE による接続を行うために、契約したプロバイダから割り当てられた認証 ID や認証パス ワードなどを設定します。 (3)PPPoE のインターフェイスを設定する PPPoE による接続を行うインターフェイスの設定を行います。 (4)PPPoE が動作する物理インターフェイスを設定する 論理インターフェイスである「PPPoE」と、物理インターフェイスである「LAN1」との関連付 けを設定します。 (5)LAN0 インターフェイスを設定する LAN0 インターフェイスを設定します。 (6)LAN0 インターフェイスの IP アドレスを削除する 不要になった LAN0 側のインターフェイスのアドレスを削除します。 (7)PPPoE を接続する PPPoE による接続を開始します。 (8)設定を保存する すべての設定を保存します。 設定手順 (1)LAN1 インターフェイスを設定する SEIL に管理者アカウントでログインし、LAN1 インターフェイスのメディアタイプを設定しま す。ここでは、例として「auto」(自動認識)に設定します。以下の設定を行ってください。 設定項目 パラメータ インターフェイス lan1 メディアタイプ auto ■ 記述例 ¶ # interface lan1 media auto µ ■ パラメータ解説 interface lan1 インターフェイスとして「lan1」を設定します。 92 ³ ´ 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する media auto 続けて、メディアタイプは「auto」(自動認識)を設定します。 (2)PPPoE のエントリーを設定する PPPoE による接続を行うために、契約したプロバイダから割り当てられた認証 ID や認証パス ワードなどを設定します。以下の設定を行ってください。 unnumbered でない、numbered PPPoE の場合は IPCP アドレスオプションが on でしたが、 unnumbered の場合は off にします。 設定項目 パラメータ エントリー名 Century IPCP の有効/無効 enable IPCP アドレスオプション off IPCP DNS オプション on IPv6CP の有効/無効 disable 認証方法 PAP 認証 ID xxxxxx 認証パスワード yyyyyy TCP MSS auto ■ 記述例 ¶ ³ # ppp add Century ipcp enable ipcp-address off ipcp-dns on ipv6cp disable authentication-method pap identifier xxxxxx passphrase yyyyyy tcp-mss auto µ ´ ■ パラメータ解説 ppp add Century エントリー名として「Century」を設定します。 ipcp enable IPCP を有効に設定します。 ipcp-address off IPCP アドレスオプションを無効に設定します。 ipcp-dns on IPCP DNS オプションを有効に設定します。 ipv6cp disable IPv6CP を無効に設定します。 93 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する authentication-method pap 認証方式を「pap」に設定します。 identifier xxxxxx 認証 ID を「xxxxxx」に設定します。 passphrase yyyyyy 認証パスワードを「yyyyyy」に設定します。 tcp-mss auto TCP MSS を「auto」に設定します。 (3)PPPoE のインターフェイスを設定する PPPoE のインターフェイスを設定します。以下の設定を行ってください。 設定項目 パラメータ インターフェイス pppoe0 エントリー名 Century ■ 記述例 ¶ ³ # interface pppoe0 ppp-configuration Century µ ´ ■ パラメータ解説 interface pppoe0 インターフェイスとして「pppoe0」を設定します。 ppp-configuration Century エントリー名として「Century」を設定します。 次に、インターフェイスの unnumbered 設定をします。以下の設定を行ってください。 94 設定項目 パラメータ インターフェイス pppoe0 unnumbered 有効 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する ■ 記述例 ¶ ³ # interface pppoe0 unnumbered µ ´ ■ パラメータ解説 interface pppoe0 unnumbered インターフェイス「pppoe0」を unnumbered に設定します。 (4)PPPoE が動作する物理インターフェイスを設定する 論理インターフェイスである「PPPoE」と、物理インターフェイスである「LAN1」との関連付 けを設定します。以下の設定を行ってください。 設定項目 パラメータ インターフェイス pppoe0 物理インターフェイス lan1 ■ 記述例 ¶ ³ # interface pppoe0 over lan1 µ ´ ■ パラメータ解説 interface pppoe0 インターフェイスとして「pppoe0」を設定します。 over lan1 物理インターフェイスとして「lan1」を設定します。 (5)LAN0 インターフェイスを設定する LAN0 インターフェイスに IPv4 アドレスを設定します。以下の設定を行ってください。 設定項目 パラメータ インターフェイス lan0 変更/追加 add IPv4 アドレス 172.16.0.1/24 95 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する ■ 記述例 ¶ ³ # interface lan0 add 172.16.0.1/24 µ ´ ■ パラメータ解説 interface lan0 インターフェイスとして「lan0」を設定します。 add 172.16.0.1/24 続けて、アドレスを追加するため「add」を設定し、IPv4 アドレスとして「172.16.0.1/24」 を設定します。 (6)LAN0 インターフェイスの IP アドレスを削除する 工場出荷状態で設定されている IP アドレスを削除します。手順 5. で設定した IPv4 アドレスで SEIL に管理者アカウントでアクセスし直し、以下の設定を行ってください。 ※ IP アドレスを削除する場合には、削除する IP アドレスを使って SEIL にアクセスしないで ください。 設定項目 パラメータ インターフェイス lan0 変更/追加 delete IPv4 アドレス 192.168.0.1/24 ■ 記述例 ¶ ³ # interface lan0 delete 192.168.0.1/24 µ ´ ■ パラメータ解説 interface lan0 インターフェイスとして「lan0」を設定します。 add 172.16.0.1/24 続 け て 、ア ド レ ス を 削 除 す る た め「delete」を 設 定 し 、IPv4 ア ド レ ス と し て 「192.168.0.1/24」を設定します。 (7)PPPoE を接続する PPPoE により、インターネットに接続します。以下の設定を行ってください。 96 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する 設定項目 パラメータ インターフェイス pppoe0 ■ 記述例 ¶ ³ # connect pppoe0 µ ´ ■ パラメータ解説 connect pppoe0 接続する PPPoE インターフェイスとして「pppoe0」を設定します。 (8)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で、PPPoE を使用する場合の設定は完了です。変更した設定はバックアップをとっておく ことをお勧めします。 97 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する ■ 7.1.3 DHCP を使用して接続する場合 DHCP を使用してインターネットに接続する基本的な設定例です。この例では以下のような構成の ネットワークを前提にご説明します。 ỶὅἑὊἕἚ WANͨ ἂἿὊἢἽỴἛἾἋ DHCPỂӕࢽ л࢘ἕἚὁὊἁỴἛἾἋ 192.168.0.0/24 ἩἻỶἫὊἚỴἛἾἋ 192.168.0.2 ἩἻỶἫὊἚỴἛἾἋ 192.168.0.3 LANͨ ἩἻỶἫὊἚỴἛἾἋ 192.168.0.1 ἩἻỶἫὊἚỴἛἾἋ 192.168.0.4 設定の流れ (1)LAN1 インターフェイスを設定する LAN1 インターフェイスのメディアタイプを設定します。 (2)LAN0 インターフェイスを設定する LAN0 インターフェイスを設定します。 98 ἩἻỶἫὊἚỴἛἾἋ 192.168.0.5 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する (3)NAPT を設定する プライベートアドレスとして使用するアドレスの範囲を設定します。 (4)DHCP で接続する DHCP による接続を開始します。 (5)設定を保存する すべての設定を保存します。 設定手順 (1)LAN1 インターフェイスを設定する SEIL に管理者アカウントでログインし、LAN1 インターフェイスのメディアタイプを設定しま す。ここでは、例として「auto」(自動認識)に設定します。以下の設定を行ってください。 設定項目 パラメータ インターフェイス lan1 メディアタイプ auto ■ 記述例 ¶ ³ # interface lan1 media auto µ ´ ■ パラメータ解説 interface lan1 インターフェイスとして「lan1」を設定します。 media auto 続けて、メディアタイプは「auto」(自動認識)を設定します。 (2)LAN0 インターフェイスを設定する LAN0 インターフェイスを設定します。工場出荷状態ではメディアタイプが「自動認識」、IPv4 アドレスが「192.168.0.1」と設定されていますので今回構成するネットワーク例では LAN0 イ ンターフェイスの設定は不要です。 (3)NAPT を設定する NAPT は IPv4 にのみ対応しています。IPv6 でインターネットに接続した場合でも、LAN 内のプ ライベートアドレスは IPv4 のものになります。以下の設定を行ってください。 99 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する 設定項目 パラメータ 対象プライベート IP アドレス範囲 192.168.0.0 ∼ 192.168.255.255 インターフェイス lan1 ■ 記述例 ¶ ³ # nat napt add private 192.168.0.0-192.168.255.255 interface lan1 µ ´ ■ パラメータ解説 nat napt add private 192.168.0.0-192.168.255.255 NAPT の対象プライベート IP アドレス範囲として「192.168.0.0-192.168.255.255」を 設定します。 interface lan1 続けて、NAPT を使用するインターフェイスとして「lan1」を設定します。 (4)DHCP で接続する DHCP により、インターネットに接続します。以下の設定を行ってください。 設定項目 パラメータ インターフェイス lan1 ■ 記述例 ¶ ³ # interface lan1 add dhcp µ ´ ■ パラメータ解説 interface lan1 インターフェイスとして「lan1」を設定します。 add dhcp DHCP でアドレスを取得します。 (5)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で、DHCP を使用する場合の設定は完了です。変更した設定はバックアップをとっておくこ とをお勧めします。 100 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する ■ 7.1.4 LAN 内でグローバルアドレスを使用する場合 LAN 内でグローバルアドレスを使用してインターネットに接続する基本的な設定例です。この例では 以下のような構成のネットワークを前提にご説明します。IPv4、IPv6 両方に対応していますが、ここで は IPv4 での設定方法についてご説明します。 ỶὅἑὊἕἚ WANͨἕἚὁὊἁỴἛἾἋ 10.0.0.0/24 WANͨ ἂἿὊἢἽỴἛἾἋ 10.0.0.1 LANͨ ἂἿὊἢἽỴἛἾἋ 172.16.0.1 LANͨἕἚὁὊἁỴἛἾἋ 172.16.0.0/24 ἂἿὊἢἽỴἛἾἋ 172.16.0.2 ἂἿὊἢἽỴἛἾἋ 172.16.0.3 ἂἿὊἢἽỴἛἾἋ 172.16.0.4 ἂἿὊἢἽỴἛἾἋ 172.16.0.5 ※ 本節では説明のため、「10.0.0.0∼10.255.255.255」 「172.16.0.0∼172.16.255.255」までのアド レスをグローバルアドレスとして表現しています。 101 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する 設定の流れ (1)LAN1 インターフェイスを設定する LAN1 インターフェイスのメディアタイプを設定します。 (2)LAN1 インターフェイスに IPv4 アドレスを追加する プロバイダなどから割り当てられたアドレスに合わせて、LAN1 側のインターフェイスを設定し ます。 (3)LAN0 インターフェイスを設定する プロバイダなどから割り当てられたアドレスに合わせて、LAN0 側のインターフェイスを設定し ます。 (4)LAN0 インターフェイスのアドレスを削除する 不要になった LAN0 側のインターフェイスのアドレスを削除します。 (5)設定を保存する すべての設定を保存します。 設定手順 (1)LAN1 インターフェイスを設定する LAN1 インターフェイスのメディアタイプを設定します。ここでは、例として「auto」(自動認 識)に設定します。SEIL に管理者アカウントでログインし、以下の設定を行ってください。 設定項目 パラメータ インターフェイス lan1 メディアタイプ auto ■ 記述例 ¶ # interface lan1 media auto µ ■ パラメータ解説 interface lan1 インターフェイスとして「lan1」を設定します。 media auto 続けて、メディアタイプは「auto」 (自動認識)を設定します。 (2)LAN1 インターフェイスに IPv4 アドレスを追加する LAN1 インターフェイスに IPv4 アドレスを設定します。以下の設定を行ってください。 102 ³ ´ 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する 設定項目 パラメータ インターフェイス lan1 変更/追加 add IPv4 アドレス 10.0.0.1/24 ■ 記述例 ¶ ³ # interface lan1 add 10.0.0.1/24 µ ´ ■ パラメータ解説 interface lan1 インターフェイスとして「lan1」を設定します。 add 10.0.0.1/24 続けて、アドレスを追加するため「add」を設定し、IPv4 アドレスとして「10.0.0.1/24」 を設定します。 (3)LAN0 インターフェイスを設定する LAN0 インターフェイスに IPv4 アドレスを設定します。以下の設定を行ってください。 設定項目 パラメータ インターフェイス lan0 変更/追加 add IPv4 アドレス 172.16.0.1/24 ■ 記述例 ¶ ³ # interface lan0 add 172.16.0.1/24 µ ´ ■ パラメータ解説 interface lan0 インターフェイスとして「lan0」を設定します。 add 172.16.0.1/24 続けて、アドレスを追加するため「add」を設定し、IPv4 アドレスとして「172.16.0.1/24」 を設定します。 (4)LAN0 インターフェイスの IP アドレスを削除する 103 第 7 章 ネットワークでの利用例 7.1. LAN をインターネットに接続する 工場出荷状態で設定されている IP アドレスを削除します。手順 3. で設定した IPv4 アドレスで SEIL に管理者アカウントでアクセスし直して、以下の設定を行ってください。 ※ IP アドレスを削除する場合には、削除する IP アドレスを使って SEIL にアクセスしないで ください。 設定項目 パラメータ インターフェイス lan0 変更/追加 delete IPv4 アドレス 192.168.0.1/24 ■ 記述例 ¶ ³ # interface lan0 delete 192.168.0.1/24 µ ´ ■ パラメータ解説 interface lan0 インターフェイスとして「lan0」を設定します。 delete 192.168.0.1/24 続 け て 、ア ド レ ス を 削 除 す る た め「delete」を 設 定 し 、IPv4 ア ド レ ス と し て 「192.168.0.1/24」を設定します。 (5)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で、LAN 内においてグローバルアドレスを使用する場合の設定は完了です。変更した設定は バックアップをとっておくことをお勧めします。 104 第 7 章 ネットワークでの利用例 7.2. IPv4 ネットワークを経由して IPv6 ネットワークに接続する 7.2 IPv4 ネットワークを経由して IPv6 ネットワークに接続する 各事業所内を IPv6 アドレスでネットワーク構築したとき、事業所間を結ぶ際に IPv4 アドレスのネッ トワークを使用しなければならない場合があります。CS-SEIL-510/C では、トンネルという機能を利用 することにより、IPv4 ネットワークを通して IPv6 ネットワーク同士を結ぶことができます。 ■ 7.2.1 IPv6 over IPv4 tunnel を使って接続する場合 本節では、トンネルの基本的な設定方法を、以下のような構成のネットワークを前提にご説明します。 x:x:x::/48 と y:y:y::/48 の 2 つの IPv6 ネットワークの間に、IPv4 ネットワークが存在します。IPv6 ネットワークと IPv4 インターネットとの境界に SEIL A、B を用い、この間で IPv6 over IPv4 トンネ ルを構築します。SEIL A の IPv4 インターネット側には 10.0.1.1 というアドレスを、トンネルには z:z:z::1 というアドレスを使用します。同様に SEIL B の IPv4 インターネット側には 10.0.2.2 というア ドレスを、トンネルには z:z:z::2 というアドレスを使用します。 105 第 7 章 ネットワークでの利用例 7.2. IPv4 ネットワークを経由して IPv6 ネットワークに接続する ἕἚὁὊἁA IPv6ἕἚὁὊἁ x:x:x::/48 SEIL A ἚὅἽỴἛἾἋ z:z:z::1 IPv4ỴἛἾἋ 10.0.1.1 IPv6ἚὅἽ IPv4 ỶὅἑὊἕἚ IPv4ỴἛἾἋ 10.0.2.2 ἚὅἽỴἛἾἋ z:z:z::2 SEIL B ἕἚὁὊἁB IPv6ἕἚὁὊἁ y:y:y::/48 ※ 本節では説明のため、 「10.0.0.0∼10.255.255.255」 「172.16.0.0∼172.16.255.255」までのアド レスをグローバルアドレスとして表現しています。 ※「x:x:x::/48」 、 「y:y:y::/48」 、 「z:z:z::1」 、 「z:z:z::2」 、 「IPv4 アドレス」は、ご加入のプロバイダより 配布されたアドレスをご利用ください。 ¤ ¡ 設定の前に、「 ó [6.3.5 接続確認 £P.66 ¢ ]」を参考にして、SEIL A(10.0.1.1)と SEIL B(10.0.2.2) の間で通信ができることを確認しておいてください。 設定の流れ (1)SEIL A のトンネルインターフェイスを設定する トンネルアドレスとして、IPv4 アドレスと IPv6 アドレスを設定します。 106 第 7 章 ネットワークでの利用例 7.2. IPv4 ネットワークを経由して IPv6 ネットワークに接続する (2)SEIL A の静的ルーティングを設定する IPv6 経路をトンネルへと向かわせるため、静的ルートを変更します。 (3)SEIL A の設定を保存する すべての設定を保存します。 (4)SEIL B のトンネルインターフェイスを設定する トンネルアドレスとして、IPv4 アドレスと IPv6 アドレスを設定します。 (5)SEIL B の静的ルーティングを設定する IPv6 経路をトンネルへと向かわせるため、静的ルートを変更します。 (6)SEIL B の設定を保存する すべての設定を保存します。 設定手順 (1)SEIL A のトンネルインターフェイスを設定する SEIL A となる SEIL に管理者アカウントでログインし、IPv4 アドレスのトンネルアドレスを設 定します。以下の設定を行ってください。 設定項目 パラメータ トンネルインターフェイス tunnel0 始点 IP アドレス 10.0.1.1 終点 IP アドレス 10.0.2.2 ■ 記述例 ¶ ³ # interface tunnel0 tunnel 10.0.1.1 10.0.2.2 µ ´ ■ パラメータ解説 interface tunnel0 トンネルインターフェイスとして「tunnel0」を設定します。 tunnel 10.0.1.1 10.0.2.2 続けて、トンネルの始点 IP アドレスとして「10.0.1.1」を、終点 IP アドレスとして 「10.0.2.2」を設定します。 トンネルインターフェイスに IPv6 アドレスを設定します。以下の設定を行ってください。 107 第 7 章 ネットワークでの利用例 7.2. IPv4 ネットワークを経由して IPv6 ネットワークに接続する 設定項目 パラメータ インターフェイス tunnel0 IP アドレス z:z:z::1 対向ルータの IP アドレス z:z:z::2 ■ 記述例 ¶ ³ # interface tunnel0 add z:z:z::1 remote z:z:z::2 µ ´ ■ パラメータ解説 interface tunnel0 インターフェイスとして「tunnel0」を設定します。 add z:z:z::1 remote z:z:z::2 続けて、インターフェイスの IP アドレスとして「z:z:z::1」を、対向ルータの IP アド レスとして「z:z:z::2」を設定します。 ※ 実際には「z:z:z::1」 「z:z:z::2」は入力できません。ご加入のプロバイダより配付された IPv6 アドレスをご利用ください。 (2)SEIL A の静的ルーティングを設定する IPv6 通信をトンネル経由で行うため、IPv6 経路をトンネルへと向かわせます。以下の設定を 行ってください。 108 設定項目 パラメータ 送信先ネットワークまたはホストの IP アドレス y:y:y::/48 対向ルータの IP アドレス z:z:z::2 第 7 章 ネットワークでの利用例 7.2. IPv4 ネットワークを経由して IPv6 ネットワークに接続する ■ 記述例 ¶ ³ # route6 add y:y:y::/48 z:z:z::2 µ ´ ■ パラメータ解説 route6 add y:y:y::/48 z:z:z::2 送信先ネットワークまたはホストの IP アドレスとして「y:y:y::/48」を設定します。さ らに、対向ルータの IP アドレスとして「z:z:z::2」を設定します。 ※ 実際には「y:y:y::/48」「z:z:z::2」は入力できません。ご加入のプロバイダより配付された IPv6 アドレスをご利用ください。 ※ 対向ルータの IP アドレスの代わりに、インターフェイス(tunnel0)を設定することもでき ます。その場合、トンネルインターフェイスに IPv6 アドレスを設定する必要はありません。 (3)SEIL A の設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、「 ó ¤ ¡ [6.3.1 設定内容の保存・読込 £P.64 ¢ ]」をご覧ください。 以上で、SEIL A 側のトンネルの設定は完了です。変更した設定はバックアップをとっておくこ とをお勧めします。 (4)SEIL B のトンネルインターフェイスを設定する SEIL B となる SEIL に管理者アカウントでログインし、IPv4 アドレスのトンネルアドレスを設 定します。以下の設定を行ってください。 設定項目 パラメータ トンネルインターフェイス tunnel0 始点 IP アドレス 10.0.2.2 終点 IP アドレス 10.0.1.1 ■ 記述例 ¶ ³ # interface tunnel0 tunnel 10.0.2.2 10.0.1.1 µ ´ ■ パラメータ解説 interface tunnel0 トンネルインターフェイスとして「tunnel0」を設定します。 109 第 7 章 ネットワークでの利用例 7.2. IPv4 ネットワークを経由して IPv6 ネットワークに接続する tunnel 10.0.2.2 10.0.1.1 続けて、トンネルの始点 IP アドレスとして「10.0.2.2」を、終点 IP アドレスとして 「10.0.1.1」を設定します。 トンネルインターフェイスに IPv6 アドレスを設定します。以下の設定を行ってください。 設定項目 パラメータ インターフェイス tunnel0 IP アドレス z:z:z::2 対向ルータの IP アドレス z:z:z::1 ■ 記述例 ¶ ³ # interface tunnel0 add z:z:z::2 remote z:z:z::1 µ ´ ■ パラメータ解説 interface tunnel0 インターフェイスとして「tunnel0」を設定します。 add z:z:z::2 remote z:z:z::1 続けて、インターフェイスの IP アドレスとして「z:z:z::2」を、対向ルータの IP アド レスとして「z:z:z::1」を設定します。 ※ 実際には「z:z:z::1」 「z:z:z::2」は入力できません。ご加入のプロバイダより配付された IPv6 アドレスをご利用ください。 (5)SEIL B の静的ルーティングを設定する IPv6 通信をトンネル経由で行うため、IPv6 経路をトンネルへと向かわせます。以下の設定を 行ってください。 110 設定項目 パラメータ 送信先ネットワークまたはホストの IP アドレス x:x:x::/48 対向ルータの IP アドレス z:z:z::1 第 7 章 ネットワークでの利用例 7.2. IPv4 ネットワークを経由して IPv6 ネットワークに接続する ■ 記述例 ¶ ³ # route6 add x:x:x::/48 z:z:z::1 µ ´ ■ パラメータ解説 route6 add x:x:x::/48 z:z:z::1 送信先ネットワークまたはホストの IP アドレスとして「x:x:x::/48」を設定します。さ らに、対向ルータの IP アドレスとして「z:z:z::1」を設定します。 ※ 実際には「x:x:x::/48」「z:z:z::1」は入力できません。ご加入のプロバイダより配付された IPv6 アドレスをご利用ください。 ※ 対向ルータの IP アドレスの代わりに、インターフェイス(tunnel0)を設定することもでき ます。その場合、トンネルインターフェイスに IPv6 アドレスを設定する必要はありません。 (6)SEIL B の設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、「 ó ¤ ¡ [6.3.1 設定内容の保存・読込 £P.64 ¢ ]」をご覧ください。 以上で、SEIL B 側のトンネルの設定は完了です。変更した設定はバックアップをとっておくこ とをお勧めします。 111 第 7 章 ネットワークでの利用例 7.3. LAN 内のサーバをインターネットに公開する 7.3 LAN 内のサーバをインターネットに公開する サーバをインターネットに公開する場合、サーバに対してグローバルアドレスを割り当てる必要があ ります。LAN 内でグローバルアドレスを使用している場合はそのまま外部にサーバを公開できますが、 LAN 内でプライベートアドレスを使用している場合、そのままでは外部にサーバを公開することができ ません。 CS-SEIL-510/C はグローバルアドレスとプライベートアドレスを固定的に 1 対 1 で対応させる静的 NAT 機能と、CS-SEIL-510/C に対するアクセスをポート単位で転送する静的 NAPT 機能を持っている ため、LAN 内でプライベートアドレスを使用している場合でもインターネットに公開するサーバを LAN 内に設置することが可能です。また、Reflection NAT 機能を利用することで、静的 NAT で公開したサー バを LAN 内からグローバルアドレスで参照することが可能となります。 本節では CS-SEIL-510/C の静的 NAT 機能と静的 NAPT 機能を利用してインターネットへサーバを 公開する設定例と Reflection NAT の設定例をご説明します。 ■ 7.3.1 公開するサーバにグローバルアドレスを割り当てる場合 ∼静的 NAT 機能の利用∼ インターネットへ公開するサーバにグローバルアドレスを割り当てることが可能であれば、 「 ó ¤ ¡ [7.1.1 PPPoE を使用して接続する場合 £P.85 ¢ ]」の例のようにプライベートアドレスを使用してイン ターネットに接続している LAN 内に、インターネットへ公開するサーバをおくことが可能です。これ を実現するためには SEIL が持つ、グローバルアドレスとプライベートアドレスを固定的に 1 対 1 で対 応させる静的 NAT 機能を利用します。 本節では、SEIL が持つ静的 NAT 機能を使ってインターネットにサーバを公開する例について、次 ページのような構成のネットワークを前提にご説明します。 ※ 本節ではインターネットとの接続インターフェイスに pppoe0 を使用しています。 112 第 7 章 ネットワークでの利用例 7.3. LAN 内のサーバをインターネットに公開する ※ 本節では説明のため、「10.0.0.0∼10.255.255.255」 「172.16.0.0∼172.16.255.255」までのアド レスをグローバルアドレスとして表現しています。 設定の流れ (1)静的 NAT を設定する NAT の対象とするプライベートアドレス、それに対応づけるグローバルアドレスを設定します。 (2)設定を保存する すべての設定を保存します。 113 第 7 章 ネットワークでの利用例 7.3. LAN 内のサーバをインターネットに公開する 設定手順 (1)静的 NAT を設定する SEIL に管理者アカウントでログインし、外部に公開するサーバのプライベートアドレスとグロー バルアドレスの設定を行います。以下の設定を行ってください。 設定項目 パラメータ プライベート IP アドレス 192.168.0.2 グローバル IP アドレス 172.16.0.2 インターフェイス pppoe0 ■ 記述例 ¶ ³ # nat static add 192.168.0.2 172.16.0.2 interface pppoe0 µ ´ ■ パラメータ解説 nat static add 192.168.0.2 172.16.0.2 NAT の対象とするプライベート IP アドレスとして「192.168.0.2」を、そのプライ ベート IP アドレスに対応づけるグローバル IP アドレスとして「172.16.0.2」を設定 します。 interface pppoe0 続けて、NAT を使用するインターフェイスとして「pppoe0」を設定します。 (2)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で、静的 NAT を用いてサーバをインターネットに公開する場合の設定は完了です。これに より外部から 192.168.0.2 の Web サーバへ 172.16.0.2 でアクセス可能となります。変更した設 定はバックアップをとっておくことをお勧めします。 114 第 7 章 ネットワークでの利用例 7.3. LAN 内のサーバをインターネットに公開する ■ 7.3.2 公開するサーバにプライベートアドレスを割り当てる場合 ∼静的 NAPT 機能の利用∼ ¤ ¡ 「 ó [7.3.1 公開するサーバにグローバルアドレスを割り当てる場合 £P.112 ¢ ]」で挙げた例は、サー バ専用のグローバルアドレスを割り当てることが可能な場合でした。インターネットへ公開するサーバ にサーバ専用のグローバルアドレスを割り当てることができない場合でも、SEIL を使用することでイ ンターネットへサーバを公開することが可能です。 SEIL に対するアクセスをポート単位で他のサーバへ転送する静的 NAPT 機能を持っているため、外 部に対して SEIL 自身がインターネットに公開したいサーバであるかのように見せることが可能です。 本節では、SEIL の静的 NAPT 機能を利用してインターネットへサーバを公開する設定例について、以 下のような構成のネットワークを前提にご説明します。 ※ 本節ではインターネットとの接続インターフェイスに pppoe0 を使用しています。 115 第 7 章 ネットワークでの利用例 7.3. LAN 内のサーバをインターネットに公開する ※ 本節では説明のため、 「10.0.0.0∼10.255.255.255」までのアドレスをグローバルアドレスとして 表現しています。 設定の流れ (1)静的 NAPT を設定する 静的 NAPT を行うポート番号とアドレス、およびインターフェイスについて設定を行います。 (2)設定を保存する すべての設定を保存します。 116 第 7 章 ネットワークでの利用例 7.3. LAN 内のサーバをインターネットに公開する 設定手順 (1)静的 NAPT を設定する SEIL に管理者アカウントでログインし、静的 NAPT の設定をします。以下の設定を行ってくだ さい。 設定項目 パラメータ プロトコル tcp Listen ポート番号 80 インターフェイス pppoe0 プライベート IP アドレス 192.168.0.2 ポート番号 80 有効/無効 enable ■ 記述例 ¶ ³ # nat snapt add protocol tcp listen 80 interface pppoe0 forward 192.168.0.2 80 enable µ ´ ■ パラメータ解説 nat snapt add protocol tcp プロトコルとして「tcp」を設定します。 listen 80 続けて、Listen ポート番号として、HTTP のポート番号である「80」を設定します。 interface pppoe0 続けて、インターフェイスとして「pppoe0」を設定します。 forward 192.168.0.2 80 続けて、転送先のプライベート IP アドレスとポート番号として、公開する Web サー バの IP アドレスである「192.168.0.2」と、そのポート番号である「80」を設定します。 enable 続けて、設定を有効にするため「enable」を設定します。 (2)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 117 第 7 章 ネットワークでの利用例 7.3. LAN 内のサーバをインターネットに公開する 以上で、静的 NAPT を用いてサーバをインターネットに公開する場合の設定は完了です。これに より外部から 192.168.0.2 の Web サーバへ 10.0.0.1 でアクセス可能となります。変更した設定 はバックアップをとっておくことをお勧めします。 ■ 7.3.3 サーバを LAN 内からグローバルアドレスで参照する 静的 NAT を使ってサーバを公開した場合、そのサーバはルータの外からはグローバルアドレスで参 照され、LAN 内からはプライベートアドレスで参照されることになります。反対に、LAN 内からのグ ローバルアドレスでの参照はできません。Reflection NAT を使用すると、LAN 内からもグローバルアド レスで参照させることができるようになります。 本節では、SEIL の Reflection NAT 機能を利用して「 ó [7.3.1 公開するサーバにグローバルアドレ ¤ ¡ スを割り当てる場合 £P.112 ¢ ]」での設定例を元に、静的 NAT で公開したサーバを LAN 内からグローバ ルアドレスで参照する設定例について、次ページのような構成のネットワークを前提にご説明します。 静的 NAT で公開されたサーバを、LAN 内のプライベートアドレスを持つホストから参照する場合、 LAN 内からはプライベートアドレスで普通にアクセスできますが、グローバルアドレスでアクセスする と、行きは SEIL を通りますがサーバからの返信パケットは SEIL を経由しない経路を通ってしまうた め、アドレスの食い違いが生じてしまいます。Reflection NAT を使用することで、帰りの経路も SEIL を通るよう行きのパケットを NAT 変換し、行きも帰りも常に SEIL を経由した経路を通らせることが可 能となります。 118 第 7 章 ネットワークでの利用例 7.3. LAN 内のサーバをインターネットに公開する ※ 本節では説明のため、「10.0.0.0∼10.255.255.255」 「172.16.0.0∼172.16.255.255」までのアド レスをグローバルアドレスとして表現しています。 設定の流れ (1)静的 NAT を設定する NAT の対象とするプライベートアドレス、それに対応づけるグローバルアドレスを設定します。 (2)NAPT を設定する NAPT のアドレス変換の設定をします。 (3)Reflection NAT を設定する Reflection NAT を行うインターフェイスを設定します。 (4)設定を保存する すべての設定を保存します。 119 第 7 章 ネットワークでの利用例 7.3. LAN 内のサーバをインターネットに公開する 設定手順 (1)静的 NAT を設定する SEIL に管理者アカウントでログインし、外部に公開するサーバのプライベートアドレスとグロー バルアドレスの設定を行います。以下の設定を行ってください。 設定項目 パラメータ プライベート IP アドレス 192.168.0.2 グローバル IP アドレス 172.16.0.2 インターフェイス pppoe0 ■ 記述例 ¶ ³ # nat static add 192.168.0.2 172.16.0.2 interface pppoe0 µ ´ ■ パラメータ解説 nat static add 192.168.0.2 172.16.0.2 NAT の対象とするプライベート IP アドレスとして「192.168.0.2」を、そのプライ ベート IP アドレスに対応づけるグローバル IP アドレスとして「172.16.0.2」を設定 します。 interface pppoe0 続けて、NAT を使用するインターフェイスとして「pppoe0」を設定します。 (2)NAPT を設定する 192.168.0.3 等のホストが、サーバ側から見てグローバルアドレスであるように見せかけるため、 NAPT のアドレス変換の設定をします。以下の設定を行ってください。 設定項目 パラメータ プライベート IP アドレス範囲 192.168.0.0 ∼ 192.168.255.255 インターフェイス pppoe0 ■ 記述例 ¶ ³ # nat napt add private 192.168.0.0-192.168.255.255 interface pppoe0 µ ´ ■ パラメータ解説 nat napt add private 192.168.0.0-192.168.255.255 NAPT の対象プライベート IP アドレス範囲として「192.168.0.0-192.168.255.255」を 設定します。 120 第 7 章 ネットワークでの利用例 7.3. LAN 内のサーバをインターネットに公開する interface pppoe0 続けて、NAPT を使用するインターフェイスとして「pppoe0」を設定します。 (3)Reflection NAT を設定する NAT/NAPT において、lan0 側で跳ね返る(reflection)ことができるように設定します。以下の設 定を行ってください。 設定項目 パラメータ インターフェイス lan0 ■ 記述例 ¶ ³ # nat reflect add interface lan0 µ ´ ■ パラメータ解説 nat reflect add interface lan0 Reflection NAT を使用するインターフェイスとして「lan0」を設定します。 (4)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で、Reflection NAT を用いて、静的 NAT で公開したサーバを LAN 内部からグローバルア ドレスで参照する場合の設定は完了です。これにより外部、内部どちらからでも 192.168.0.2 の Web サーバへ 10.0.0.1 でアクセス可能となります。変更した設定はバックアップをとっておく ことをお勧めします 121 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する 7.4 外部からのアクセスを制限する LAN をインターネットに接続した場合、インターネットからの不正アクセスを受けることを想定して おく必要があります。ネットワークの安定した運用を行うためには、外部からの不正アクセスを防止す るためにフィルタを設定しておく必要があります。 ■ 7.4.1 外部から LAN へのアクセスを制限するフィルタリングを設 定する 本節では基本的なフィルタの設定例として、外部から LAN 内部へは Web サーバに対する HTTP に よるアクセスだけを許可し、それ以外のアクセスを禁止するという設定例について、以下のような構成 のネットワークを前提にご説明します。なお、SEIL シリーズは、IPv4、IPv6 両方に対応していますが、 ここでは IPv4 での設定方法についてご説明します。 122 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する ※ 本節ではインターネットとの接続インターフェイスに pppoe0 を使用しています。 ※ 本節では説明のため、「10.0.0.0∼10.255.255.255」 「172.16.0.0∼172.16.255.255」までのアド レスをグローバルアドレスとして表現しています。 ※ インターネットからの接続要求を許可するフィルタを設定した場合、 許可を受けたポート番号を 偽造して不正な接続を行われる可能性が生じます。このような事態を防止するために、SEIL の フィルタリング機能だけではなく、他のセキュリティ手法も加えて、ネットワークセキュリティ を向上させることをお勧めします。 設定の流れ (1)フィルタを設計する どのようなアクセスを許可し、どのようなアクセスを遮断するのかを決めます。 (2)フィルタを設定する 設計に基づき、フィルタの設定を行います。 (3)設定を保存する すべての設定を保存します。 設定手順 (1)フィルタを設計する 123 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する 次のようなアクセス制限を行うものとします。 A. 外部から Web サーバへのアクセスは許可 B. 内部から外部に対するアクセスの返答は TCP のみ許可 C. 外部から SEIL へのアクセスは ICMP 以外すべて禁止 D. 外部から内部のホストには A.によるもの以外はすべて禁止 これを実現するためには、次のようなフィルタが必要になります。 a. 外部から Web サーバ (172.16.0.2) に対する TCP を使ったアクセスで送信先のポート番号が 80 番のものを通すフィルタ b. 外部から LAN に割り当てているグローバルアドレス空間 (172.16.0.0/24) に対する TCP を 使ったアクセスで、確立済み (TCP Established) のものを通すフィルタ c. 外部から SEIL(10.0.0.1) に対する ICMP によるアクセスをすべて通すフィルタ d. 外部からのアクセスをすべて遮断するフィルタ ※ 内部から外部への TCP を使ったアクセスを許可するためには b. のフィルタを設定しておく 必要があります。 b. のフィルタを設定していない場合、内部のクライアントが外部のサー バにアクセスする様な場合でも、その返答が d. のフィルタによって遮断されます。 ※ 許可したいアクセスが d. のフィルタで遮断されてしまわないように、d. のフィルタの優先 順位を 1 番低くする必要があります。 ※ フィルタの処理は NAT/NAPT 処理が行われたあとに実行されます。NAT/NAPT 機能を使用 している場合は、グローバルアドレスではなく NAT/NAPT 変換後のアドレスに対してフィ ルタをかける必要があります。 (2)フィルタを設定する フィルタの設計が完了すると、次はフィルタの設定を行います。フィルタを設定する順番は、優 先順位さえ正しく設定されていればどのような順番で設定しても問題ありません。この設定例で はフィルタの設計で示した a.から d.の順番で行うこととします。 ここでは a.について設定手順を説明します。b.以降も同様にフィルタの追加を行ってくだ さい。 SEIL に管理者アカウントでログインし、a. のフィルタを追加します。以下の設定を行ってくだ さい。 124 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する 設定項目 パラメータ フィルタ名 httppass アクション pass インターフェイス pppoe0 方向 in プロトコル tcp 送信先 IP アドレス 172.16.0.2/32 送信先ポート番号 80 ログの取得 off 優先順位 top 有効/無効 enable ■ 記述例 ¶ ³ # filter add httppass action pass interface pppoe0 direction in protocol tcp dst 172.16.0.2/32 dstport 80 logging off top enable µ ´ ■ パラメータ解説 filter add httppass フィルタ名として「httppass」を設定します。 action pass 続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」 を設定します。 interface pppoe0 続けて、インターフェイスとして「pppoe0」を設定します。 direction in 続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。 protocol tcp 続けて、プロトコルとして、対象が HTTP を使ったアクセスであるため「tcp」を設定 します。 dst 172.16.0.2/32 dstport 80 続けて、送信先 IP アドレスとして、Web サーバ用のグローバルアドレスである 「172.16.0.2/32」を設定します。ネットマスク長の値は、ネットワークではなく Web サーバ自身を指定するため「32」となります。さらに、送信先 IP アドレスのポート番 号として「80」を設定します。 125 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する logging off 続けて、ログの取得は行わないため「off」を設定します。 top 続けて、優先順位として、この段階ではフィルタが 1 つも設定されていないため「top」 を設定します。 enable 続けて、設定を有効にするため「enable」を設定します。 b.のフィルタを設定する場合、以下の設定を行ってください。 設定項目 パラメータ フィルタ名 estabpass アクション pass インターフェイス pppoe0 方向 in プロトコル tcp-established 送信先 IP アドレス 172.16.0.0/24 ログの取得 off 優先順位 below httppass (a の次)) 有効/無効 enable ■ 記述例 ¶ ³ # filter add estabpass action pass interface pppoe0 direction in protocol tcp-established dst 172.16.0.0/24 logging off below httppass enable µ ´ ■ パラメータ解説 filter add estabpass フィルタ名として「estabpass」を設定します。 action pass 続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」 を設定します。 interface pppoe0 続けて、インターフェイスとして「pppoe0」を設定します。 direction in 続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。 126 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する protocol tcp-established 続けて、プロトコルとして、対象が確立済みの TCP を使ったアクセスであるため 「tcp-established」を設定します。 dst 172.16.0.0/24 続 け て 、送 信 先 IP ア ド レ ス と し て 、LAN 側 の グ ロ ー バ ル ア ド レ ス で あ る 「172.16.0.0/24」を設定します。ネットマスク長の値は、LAN 側のネットワークを指 定するため「24」となります。 logging off 続けて、ログの取得は行わないため「off」を設定します。 below httppass 続けて、優先順位として、a. のフィルタよりも優先順位を低くするため「below httppass」を設定します。 enable 続けて、設定を有効にするため「enable」を設定します。 c. のフィルタを設定する場合、以下の設定を行ってください。 設定項目 パラメータ フィルタ名 icmppass アクション pass インターフェイス pppoe0 方向 in プロトコル icmp 送信先 IP アドレス 10.0.0.1/32 ログの取得 off 優先順位 below estabpass (b の次)) 有効/無効 enable ■ 記述例 ¶ ³ # filter add icmppass action pass interface pppoe0 direction in protocol icmp dst 10.0.0.1/32 logging off below estabpass enable µ ´ ■ パラメータ解説 filter add icmppass フィルタ名として「icmppass」を設定します。 127 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する action pass 続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」 を設定します。 interface pppoe0 続けて、インターフェイスとして「pppoe0」を設定します。 direction in 続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。 protocol icmp 続けて、プロトコルとして、対象が ICMP を使ったアクセスであるため「icmp」を設 定します。 dst 10.0.0.1/32 続けて、送信先 IP アドレスとして、SEIL のグローバルアドレスである「10.0.0.1/32」 を設定します。ネットマスク長の値は、ネットワークではなく SEIL 自身を指定する ため「32」となります。 logging off 続けて、ログの取得は行わないため「off」を設定します。 below estabpass 続けて、優先順位として、b. のフィルタよりも優先順位を低くするため「below estabpass」を設定します。 enable 続けて、設定を有効にするため「enable」を設定します。 d. のフィルタを設定する場合、以下の設定を行ってください。 128 設定項目 パラメータ フィルタ名 allblock アクション block インターフェイス pppoe0 方向 in プロトコル any ログの取得 off 優先順位 bottom 有効/無効 enable 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する ■ 記述例 ¶ ³ # filter add allblock action block interface pppoe0 direction in protocol any logging off bottom enable µ ´ ■ パラメータ解説 filter add allblock フィルタ名として「allblock」を設定します。 action block 続けて、アクションとして、条件に合致したパケットのアクセスを遮断するため 「block」を設定します。 interface pppoe0 続けて、インターフェイスとして「pppoe0」を設定します。 direction in 続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。 protocol any 続けて、プロトコルとして、a. から c. までのフィルタの対象とならなかったすべての パケットを遮断するため「any」を設定します。 logging off 続けて、ログの取得は行わないため「off」を設定します。 bottom 続けて、優先順位として、a.から c.までのフィルタよりも優先順位を低くするため 「bottom」を設定します。 enable 続けて、設定を有効にするため「enable」を設定します。 (3)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、 ¤ ¡ [6.3.1 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 ó 以上でフィルタの設定は完了です。変更した設定内容はバックアップをとっておくことをお勧め します。 129 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する ■ 7.4.2 動的にアクセスを許可するフィルタリングを設定する 本節では動的フィルタの設定例として、LAN 内部から外部へ FTP アクセスを許可し、外部から LAN 内部への全てのアクセスを禁止するという設定例について、下記のような構成のネットワークを前提に ご説明します。なお、SEIL は、IPv4、IPv6 両方に対応していますが、ここでは IPv4 での設定方法につ いてご説明します。 ※ 本節ではインターネットとの接続インターフェイスに pppoe0 を使用しています。 ỶὅἑὊἕἚ ἂἿὊἢἽỴἛἾἋ 10.0.0.1 ἂἿὊἢἽỴἛἾἋ 172.16.0.1 л࢘ἕἚὁὊἁỴἛἾἋ 172.16.0.1/24 ἂἿὊἢἽỴἛἾἋ 172.16.0.3 ἂἿὊἢἽỴἛἾἋ 172.16.0.4 ※ 本節では説明のため、 「10.0.0.0∼10.255.255.255」 「172.16.0.0∼172.16.255.255」までのアド レスをグローバルアドレスとして表現しています。 ※ インターネットからの接続要求を許可するフィルタを設定した場合、 許可を受けたポート番号を 130 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する 偽造して不正な接続を行われる可能性が生じます。このような事態を防止するために、SEIL の フィルタリング機能だけではなく、他のセキュリティ手法も加えて、ネットワークセキュリティ を向上させることをお勧めします。 設定の流れ (1)フィルタを設計する どのようなアクセスを許可し、どのようなアクセスを遮断するのかを決めます。 (2)フィルタを設定する 設計に基づき、フィルタの設定を行います。 (3)設定を保存する すべての設定を保存します。 設定手順 (1)フィルタを設計する 次のようなアクセス制限を行うものとします。 A. 内部から外部に対するアクセスは FTP のみ許可 B. 外部から SEIL へのアクセスは ICMP 以外すべて禁止 C. 外部から内部のホストへのアクセスは A.によるもの以外はすべて禁止 これを実現するためには、次のようなフィルタが必要になります。 a. LAN に割り当てているグローバルアドレス空間 (172.16.0.0/24) から外部に対する FTP を 使ったアクセスをすべて通す動的フィルタ b. 外部から SEIL(10.0.0.1) に対する ICMP によるアクセスをすべて通すフィルタ c. 外部からのアクセスをすべて遮断するフィルタ FTP はあらかじめ 21 番ポートを用いて接続したあとにサーバ-クライアント間で通信を行って互 いに合意したポートをデータ転送に使用するため、静的フィルタでは上記のようなアクセス制限 を行うことは不可能です。そのため、a.にて動的フィルタ機能を用います。 ※ 許可したいアクセスが c. のフィルタで遮断されてしまわないように、c. のフィルタの優先 順位を 1 番低くする必要があります。 ※ フィルタの処理は NAT/NAPT 処理が行われたあとに実行されます。NAT/NAPT 機能を使用 している場合は、グローバルアドレスではなく NAT/NAPT 変換後のアドレスに対してフィ ルタをかける必要があります。 (2)フィルタを設計する フィルタの設計が完了すると、次はフィルタの設定を行います。フィルタを設定する順番は、優 先順位さえ正しく設定されていればどのような順番で設定しても問題ありません。この設定例で はフィルタの設計で示した a.から c.の順番で行うこととします。 131 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する ここでは a.について設定手順を説明します。b.以降も同様にフィルタの追加を行ってくだ さい。 SEIL に管理者アカウントでログインし、a. のフィルタを追加します。以下の設定を行ってく だい。 設定項目 パラメータ フィルタ名 ftppass アクション pass インターフェイス pppoe0 方向 out プロトコル tcp 送信元 IP アドレス 172.16.0.0/24 ポート番号 21 動的フィルタ設定 enable ログの取得 off 優先順位 top 有効/無効 enable ■ 記述例 ¶ ³ # filter add ftppass action pass interface pppoe0 direction out protocol tcp src 172.16.0.0/24 dstport 21 state enable logging off top enable µ ´ ■ パラメータ解説 filter add ftppass フィルタ名として「ftppass」を設定します。 action pass 続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」 を設定します。 interface pppoe0 続けて、インターフェイスとして「pppoe0」を設定します。 direction out 続けて、方向として、対象が内部から外部へのアクセスであるため「out」を設定し ます。 protocol tcp 続けて、プロトコルとして、FTP を使ったアクセスであるため「tcp」を設定します。 132 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する src 172.16.0.0/24 dstport 21 続 け て 、送 信 元 IP ア ド レ ス と し て 、LAN 側 の グ ロ ー バ ル ア ド レ ス で あ る 「172.16.0.0/24」を設定します。ネットマスク長の値は、LAN 側のネットワークを指 定するため「24」となります。さらに、送信先ポート番号として「21」を設定します。 state enable 続けて、動的フィルタ機能を有効にするため「state enable」を設定します。 logging off 続けて、ログの取得は行わないため「off」を設定します。 top 続けて、優先順位として、最優先にするため「top」を設定します。 enable 続けて、設定を有効にするため「enable」を設定します。 b. のフィルタを設定する場合、以下の設定を行ってください。 設定項目 パラメータ フィルタ名 icmppass アクション pass インターフェイス pppoe0 方向 in プロトコル icmp 送信先 IP アドレス 10.0.0.1/32 ログの取得 off 優先順位 below ftppass (a の次) 有効/無効 enable ■ 記述例 ¶ ³ # filter add icmppass action pass interface pppoe0 direction in protocol icmp dst 10.0.0.1/32 logging off below ftppass enable µ ´ ■ パラメータ解説 filter add icmppass フィルタ名として「icmppass」を設定します。 action pass 続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」 を設定します。 133 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する interface pppoe0 続けて、インターフェイスとして「pppoe0」を設定します。 direction in 続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。 protocol icmp 続けて、プロトコルとして、対象が ICMP を使ったアクセスであるため「icmp」を設 定します。 dst 10.0.0.1/32 続けて、送信先 IP アドレスとして、SEIL のグローバルアドレスである「10.0.0.1/32」 を設定します。ネットマスク長の値は、ネットワークではなく SEIL 自身を指定する ため「32」となります。 logging off 続けて、ログの取得は行わないため「off」を設定します。 below ftppass 続けて、優先順位として、a.のフィルタよりも優先順位を低くするため「below ftppass」を設定します。 enable 続けて、設定を有効にするため「enable」を設定します。 c. のフィルタを設定する場合、以下の設定を行ってください。 134 設定項目 パラメータ フィルタ名 allblock アクション block インターフェイス pppoe0 方向 in プロトコル any ログの取得 off 優先順位 bottom 有効/無効 enable 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する ■ 記述例 ¶ ³ # filter add allblock action block interface pppoe0 direction in protocol any logging off bottom enable µ ´ ■ パラメータ解説 filter add allblock フィルタ名として「allblock」を設定します。 action block 続けて、アクションとして、条件に合致したパケットのアクセスを遮断するため 「block」を設定します。 interface pppoe0 続けて、インターフェイスとして「pppoe0」を設定します。 direction in 続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。 protocol any 続けて、プロトコルとして、a. から c. までのフィルタの対象とならなかったすべての パケットを遮断するため「any」を設定します。 logging off 続けて、ログの取得は行わないため「off」を設定します。 bottom 続けて、優先順位として、a.から b.までのフィルタよりも優先順位を低くするため 「bottom」を設定します。 enable 続けて、設定を有効にするため「enable」を設定します。 (3)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、 ¤ ¡ [6.3.1 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 ó 以上でフィルタの設定は完了です。変更した設定内容はバックアップをとっておくことをお勧め します。 135 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する ■ 7.4.3 IP アドレスの詐称を防ぐフィルタリング (uRPF) を設定する 本節では uRPF(Unicast Reverse Path Forwarding) 機能を用いて、IP アドレスが詐称されたパケット が LAN 内部に流入することを防ぐ設定について説明します。以下、IPv4 パケットのみを対象として説 明します。IPv6 パケットも対象としたい場合は、別途 IPv6 についても同様に設定して下さい。 ỶὅἑὊἕἚ ἂἿὊἢἽỴἛἾἋ 10.0.0.1 ἂἿὊἢἽỴἛἾἋ 172.16.0.1 л࢘ἕἚὁὊἁỴἛἾἋ 172.16.0.1/24 ἅὅἦἷὊἑA 設定の流れ (1)ルーティングを設定する 静的もしくは動的ルーティングを設定する (2)uRPF を設定する uRPF 機能を有効にします。 136 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する (3)設定を保存する すべての設定を保存します。 設定手順 (1)ルーティングを設定する uRPF はルーティングに基づいてパケットをフィルタリングします。したがって、uRPF を設定 する前にルーティングを正しく設定しておく必要があります。SEIL に管理者アカウントでログ インし、ルーティングの設定を行ってください。ルーティング設定の詳細については他の節を参 照してください。 (2)uRPF を設定する uRPF のパラメータとして、対象の IP プロトコルバージョン、uRPF モード、ログ出力の有無を 設定できます。IP プロトコルバージョンは IPv4、uRPF モードは strict、ログ出力は有りとしま す。以下の設定を行ってください。 設定項目 パラメータ IP プロトコル ip モード strict ログ出力 on ■ 記述例 ¶ ³ # option ip unicast-rpf strict logging on µ ´ ■ パラメータ解説 option ip 対象とする IP プロトコルは IPv4 なので「ip」を設定します。 unicast-rpf strict uRPF モードとして「strict」を設定します。 logging on パケットをブロックした場合にログに残すため「on」を設定します。 137 第 7 章 ネットワークでの利用例 7.4. 外部からのアクセスを制限する (3)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で、uRPF を使用する場合の設定は完了です。変更した設定はバックアップをとっておくこ とをお勧めします。 138 第 7 章 ネットワークでの利用例 7.5. MAC アドレスによるフィルタリングを行う 7.5 MAC アドレスによるフィルタリングを行う LAN をインターネットに接続した場合、LAN 内に接続される機器のうち、特定の機器のみ外部への 接続を許可し、他の機器は外部への接続を禁止したい場合があります。 CS-SEIL-510/C では、特定の MAC アドレスを持つ機器だけが CS-SEIL-510/C を介して外部と通信 できる機能を提供しています。MAC アドレスの指定方法は、1 つずつ個別に設定を行う方法と、MAC アドレスのリストを外部から取得して適用する方法があり、両者を併用して適用することができます。 ■ 7.5.1 MAC アドレスの個別設定 本節では基本的な MAC アドレスフィルタの設定例として、外部への通信を許可する MAC アドレス のリストを SEIL に直接設定する方法を解説します。 ỶὅἑὊἕἚ ἅὅἦἷὊἑA 00:11:22:33:44:55 ἅὅἦἷὊἑB 00:aa:bb:cc:de:f0 139 第 7 章 ネットワークでの利用例 7.5. MAC アドレスによるフィルタリングを行う 設定の流れ (1)MAC アドレスフィルタを設計する どの機器からのパケットを許可するかを決めます。 (2)MAC アドレスフィルタを設定する 設計に基づき、MAC アドレスフィルタの設定を行います。 (3)設定を確認する 設定が正しくなされているか確認します。 (4)設定を保存する すべての設定を保存します。 設定手順 (1)MAC アドレスフィルタを設計する 次のようなアクセス制限を行うものとします。 A. コンピュータ A(00:11:22:33:44:55) から外部への通信を許可する B. コンピュータ B(00:aa:bb:cc:dd:ee) から外部への通信を許可する C. コンピュータ A、コンピュータ B 以外の機器から外部への通信は遮断する ※ MAC アドレスフィルタは設定された順番で評価されます。よって、C. のフィルタが最初に 設定されていると、全てのパケットが遮断されてしまいその後に設定された A. や B. のフィ ルタが評価されないことになります。 ※ MAC アドレスフィルタは lan0 インターフェイスで受信したパケットでのみ評価されます。 lan0 インターフェイスへの出力や、lan1 インターフェイスから受信したパケットに対して 適用することはできません。 ※ MAC アドレスフィルタは Ethernet フレームのうち、送信元 MAC アドレスのみを検査する ことができます。送信先 MAC アドレスや、Ethernet タイプなどを元に判定を行うことはで きません。 (2)MAC アドレスフィルタを設定する MAC アドレスフィルタの設計が完了すると、次は MAC アドレスフィルタの設定を行います。 MAC アドレスフィルタは、設定された順番で評価されます。このため、設定を行う順番は A. か ら C. の順番で行うこととします。 SEIL に管理者アカウントでログインし、A. のフィルタを追加します。以下の設定を行ってくだ さい。 140 第 7 章 ネットワークでの利用例 7.5. MAC アドレスによるフィルタリングを行う 設定項目 パラメータ フィルタ名 pcapass アクション pass 送信元 MAC アドレス 00:11:22:33:44:55 ログの取得 off ■ 記述例 ¶ ³ macfilter add pcapass action pass src 00:11:22:33:44:55 logging off µ ´ ■ パラメータ解説 macfilter add pcapass フィルタ名として「pcapass」を設定します。 action pass 続けて、アクションとして、条件に合致したパケットを許可するため「pass」を設定 します。 src 00:11:22:33:44:55 続けて、送信元 MAC アドレスとして「00:11:22:33:44:55」を設定します。 logging off 続けて、ログの取得は行わないため「off」を設定します。 B. のフィルタを設定します。以下の設定を行ってください。 設定項目 パラメータ フィルタ名 pcbpass アクション pass 送信元 MAC アドレス 00:aa:bb:cc:dd:ee ログの取得 off ■ 記述例 ¶ ³ macfilter add pcbpass action pass src 00:aa:bb:cc:dd:ee logging off µ ´ ■ パラメータ解説 macfilter add pcbpass フィルタ名として「pcbpass」を設定します。 141 第 7 章 ネットワークでの利用例 7.5. MAC アドレスによるフィルタリングを行う action pass 続けて、アクションとして、条件に合致したパケットを許可するため「pass」を設定 します。 src 00:aa:bb:cc:dd:ee 続けて、送信元 MAC アドレスとして「00:aa:bb:cc:dd:ee」を設定します。 logging off 続けて、ログの取得は行わないため「off」を設定します。 C. のフィルタを設定します。以下の設定を行ってください。 設定項目 パラメータ フィルタ名 allblock アクション block 送信元 MAC アドレス any ログの取得 off ■ 記述例 ¶ ³ macfilter add allblock action block src any logging off µ ´ ■ パラメータ解説 macfilter add allblock フィルタ名として「allblock」を設定します。 action block 続けて、アクションとして、条件に合致したパケットを遮断するため「block」を設定 します。 src any 続けて、全ての送信元 MAC アドレスを対象とするため「any」を設定します。 logging off 続けて、ログの取得は行わないため「off」を設定します。 (3)設定を確認する 以上の設定が終了したら、show status macfilter コマンドにて MAC アドレスフィルタの動作情 報を確認します。詳細はコマンドリファレンスをご覧ください。 142 第 7 章 ネットワークでの利用例 7.5. MAC アドレスによるフィルタリングを行う ¶ ³ show status macfilter µ ´ (4)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、 ¤ ¡ [6.3.1 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 ó 以上で MAC アドレスフィルタの設定は完了です。変更した設定内容はバックアップをとってお くことをお勧めします。 143 第 7 章 ネットワークでの利用例 7.5. MAC アドレスによるフィルタリングを行う ■ 7.5.2 外部ホワイトリストによる設定 本節では、外部の Web サーバに配置された MAC アドレスのリストを元にフィルタを設定する方法を 解説します。 設定の流れ (1)フィルタ対象となる MAC アドレスのリストを外部 Web サーバに用意する MAC アドレスが列挙されたファイルを用意し、Web サーバ上に配置します。 (2)MAC アドレスフィルタを設定する 外部 Web サーバ上の MAC アドレスリストを元に、MAC アドレスフィルタの設定を行います。 144 第 7 章 ネットワークでの利用例 7.5. MAC アドレスによるフィルタリングを行う (3)設定を確認する 設定が正しくなされているか確認します。 (4)設定を保存する すべての設定を保存します。 設定手順 (1)フィルタ対象となる MAC アドレスのリストを外部 Web サーバに用意する SEIL がアクセス可能な外部の Web サーバ上に、アクセスを許可する MAC アドレスを列挙した 下記のようなファイルを用意します。 ¶ ³ 00:11:22:33:44:55 00:aa:bb:cc:de:f0 ... 00:ff:ee:00:01:22 µ ´ このファイルを、http://10.0.0.1/maclist.txt という URL でアクセスできるようにしておきます。 ※ HTTP 以外にも、HTTPS、FTP プロトコルも使用可能です。 ※ MAC アドレスリストに対して BASIC 認証をかけている場合、 「http://user:[email protected]/maclist.txt」といった形式で URL を指定してください。 (2)MAC アドレスフィルタを設定する MAC アドレスリストの設置が完了すると、次は MAC アドレスフィルタの設定を行います。 SEIL に管理者アカウントでログインし、MAC アドレスリストの取得を行うための設定を行って ください。 設定項目 パラメータ フィルタ名 listpass アクション pass 送信元 MAC アドレス http://10.0.0.1/maclist.txt から取得 取得間隔 1 時間ごと ログの取得 off 145 第 7 章 ネットワークでの利用例 7.5. MAC アドレスによるフィルタリングを行う ■ 記述例 ¶ ³ macfilter add listpass action pass src http://10.0.0.1/maclist.txt interval 1h logging off µ ´ ■ パラメータ解説 macfilter add listpass フィルタ名として「listpass」を設定します。 action pass 続けて、アクションとして、条件に合致したパケットを許可するため「pass」を設定 します。 src http://10.0.0.1/maclist.txt 続 け て 、送 信 元 MAC ア ド レ ス の リ ス ト を 取 得 す る た め の URL と し て 「http://10.0.0.1/maclist.txt」を設定します。 interval 1h 続けて、送信元 MAC アドレスリストの取得間隔として「1h(1 時間)」を設定します。 logging off 続けて、ログの取得は行わないため「off」を設定します。 MAC アドレスリストに含まれないパケットを遮断するフィルタを設定します。以下の設定を 行ってください。 設定項目 パラメータ フィルタ名 allblock アクション block 送信元 MAC アドレス any ログの取得 off ■ 記述例 ¶ ³ macfilter add allblock action block src any logging off µ ´ ■ パラメータ解説 macfilter add allblock フィルタ名として「allblock」を設定します。 146 第 7 章 ネットワークでの利用例 7.5. MAC アドレスによるフィルタリングを行う action block 続けて、アクションとして、条件に合致したパケットを遮断するため「block」を設定 します。 src any 続けて、全ての送信元 MAC アドレスを対象とするため「any」を設定します。 logging off 続けて、ログの取得は行わないため「off」を設定します。 (3)設定を確認する 以上の設定が終了したら、show status macfilter コマンドにて MAC アドレスフィルタの動作情 報を確認します。詳細はコマンドリファレンスをご覧ください。 ¶ ³ show status macfilter µ ´ (4)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、 ¤ ¡ [6.3.1 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 ó 以上で MAC アドレスフィルタの設定は完了です。変更した設定内容はバックアップをとってお くことをお勧めします。 147 第 7 章 ネットワークでの利用例 7.6. ルーティングを動的に行う∼動的ルーティングの設定∼ 7.6 ルーティングを動的に行う∼動的ルーティングの設定∼ 本節では CS-SEIL-510/C を用いて動的にルーティングを行う場合の設定例をご説明します。 静的なルーティングと違い、動的なルーティングを行うことで、どこかのルートに障害が起きたとき、 自動的にルートを変更し、適切なルートをたどって通信を行うことができます。 本節では、Unicast ルーティングとして、RIP を用いた方法と OSPF を用いた方法の 2 つと、Multicast ルーティングとして、 PIM-SM(IPv4/IPv6) を用いた方法を解説します。 ■ 7.6.1 RIP を利用した動的ルーティング ∼比較的小規模なネットワーク∼ 本節では、RIP を用いた動的ルーティングの設定例をご説明します。 ἂἿὊἢἽỴἛἾἋ 172.16.2.1/24 ኺែऴإʩ੭ SEIL B ἂἿὊἢἽỴἛἾἋ 10.0.2.2 ἂἿὊἢἽỴἛἾἋ 10.0.1.1 SEIL A ኺែऴإʩ੭ ἂἿὊἢἽỴἛἾἋ 172.16.1.1/24 148 第 7 章 ネットワークでの利用例 7.6. ルーティングを動的に行う∼動的ルーティングの設定∼ 今回の設定例では、インターネット上での接続にそれぞれ SEIL A と SEIL B を用い、SEIL A には 10.0.1.1、SEIL B には 10.0.2.2 というアドレスが割り当てられているとします。その間で動的にルー ティングを行うために、RIP を設定するものとします。 なお、本節では SEIL A の設定についてご説明します。SEIL B の設定を行う場合でも、SEIL A の設 定を行った場合と異なる点はありません。同様に設定を行ってください。 ※ 本節では説明のため、「10.0.0.0∼10.255.255.255」 「172.16.0.0∼172.16.255.255」までのアド レスをグローバルアドレスとして表現しています。 設定の流れ (1)SEIL A に RIP を設定する LAN0 インターフェイスおよび LAN1 インターフェイスに RIP を設定します。 (2)SEIL A の RIP を有効にする 設定した RIP を有効化します。 (3)SEIL A の設定を確認する 設定が正しくなされているか確認します。 (4)SEIL A の設定を保存する すべての設定を保存します。 設定手順 (1)SEIL A に RIP を設定する SEIL A となる SEIL に管理者アカウントでログインし、LAN インターフェイスに RIP の設定を します。 以下の設定を行ってください。 設定項目 パラメータ インターフェイス lan0 経路情報の送受信 enable ■ 記述例 ¶ ³ # route dynamic rip interface lan0 enable µ ´ ■ パラメータ解説 route dynamic rip interface lan0 RIP を使用するインターフェイスとして「lan0」を設定します。 149 第 7 章 ネットワークでの利用例 7.6. ルーティングを動的に行う∼動的ルーティングの設定∼ enable 続けて、RIP 情報の送受信を行うため「enable」を設定します。 RIP バーションの設定をします。以下の設定を行ってください。 設定項目 パラメータ インターフェイス lan0 RIP のバージョン RIPv2 ■ 記述例 ¶ ³ # route dynamic rip interface lan0 version ripv2 µ ´ ■ パラメータ解説 route dynamic rip interface lan0 RIP を使用するインターフェイスとして「lan0」を設定します。 version ripv2 続けて、RIP のバージョンとして「ripv2」を設定します。 RIPv2 認証の設定をします。以下の設定を行ってください。 設定項目 パラメータ インターフェイス lan0 RIPv2 の認証 disable ■ 記述例 ¶ ³ # route dynamic rip interface lan0 authentication disable µ ´ ■ パラメータ解説 route dynamic rip interface lan0 RIP を使用するインターフェイスとして「lan0」を設定します。 authentication disable 続けて、RIPv2 の認証を行わないため「disable」を設定します。 LAN1 インターフェイスについても、同様に設定を行います。 最初に LAN1 インターフェイスに RIP の設定をします。以下の設定を行ってください。 150 設定項目 パラメータ インターフェイス lan1 経路情報の送受信 enable 第 7 章 ネットワークでの利用例 7.6. ルーティングを動的に行う∼動的ルーティングの設定∼ ■ 記述例 ¶ ³ # route dynamic rip interface lan1 enable µ ´ ■ パラメータ解説 route dynamic rip interface lan1 RIP を使用するインターフェイスとして「lan1」を設定します。 enable 続けて、RIP 情報の送受信を行うため「enable」を設定します。 RIP バーションの設定をします。以下の設定を行ってください。 設定項目 パラメータ インターフェイス lan1 RIP のバージョン RIPv2 ■ 記述例 ¶ ³ # route dynamic rip interface lan1 version ripv2 µ ´ ■ パラメータ解説 route dynamic rip interface lan1 RIP を使用するインターフェイスとして「lan1」を設定します。 version ripv2 続けて、RIP のバージョンとして「ripv2」を設定します。 RIPv2 認証の設定をします。以下の設定を行ってください。 設定項目 パラメータ インターフェイス lan1 RIPv2 の認証 disable ■ 記述例 ¶ ³ # route dynamic rip interface lan1 authentication disable µ ´ ■ パラメータ解説 route dynamic rip interface lan1 RIP を使用するインターフェイスとして「lan1」を設定します。 151 第 7 章 ネットワークでの利用例 7.6. ルーティングを動的に行う∼動的ルーティングの設定∼ authentication disable 続けて、RIPv2 の認証を行わないため「disable」を設定します。 (2)SEIL A の RIP を有効にする 以下の設定を行ってください。 設定項目 パラメータ 有効/無効 enable ■ 記述例 ¶ ³ # route dynamic rip enable µ ´ ■ パラメータ解説 route dynamic rip enable RIP を有効にするため「enable」を設定します。 (3)SEIL A の設定を確認する 以上の設定が終了したら、show status コマンドにより、相手ネットワークの経路が来ているか 確認します。詳細はコマンドリファレンスをご覧ください。 ■ 記述例 ¶ ³ # show status route µ ´ (4)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で、SEIL A 側の RIP の設定は完了です。 変更した設定内容はバックアップをとっておくことをお勧めします。 152 第 7 章 ネットワークでの利用例 7.6. ルーティングを動的に行う∼動的ルーティングの設定∼ ■ 7.6.2 OSPF を利用した動的ルーティング ∼中規模以上のネットワーク∼ 本節では、OSPF を用いた動的ルーティングの設定例をご説明します。OSPF は RIP と違い、回線の 帯域を基にしてルートを動的に変更することが可能であり、大規模なネットワークのルーティングに最 適です。 ἂἿὊἢἽỴἛἾἋ 172.16.2.1/24 ኺែऴإʩ੭ SEIL B ἂἿὊἢἽỴἛἾἋ 10.0.2.2 ἂἿὊἢἽỴἛἾἋ 10.0.1.1 SEIL A ኺែऴإʩ੭ ἂἿὊἢἽỴἛἾἋ 172.16.1.1/24 今回の設定例では、インターネット上での接続にそれぞれ SEIL A と SEIL B を用い、SEIL A には 10.0.1.1、SEIL B には 10.0.2.2 というアドレスが割り当てられているとします。その間で動的にルー ティングを行うために、OSPF を設定するものとします。 なお、本節では SEIL A の設定についてご説明します。SEIL B の設定については、SEIL A の設定内容 と異なる設定項目には注記してあります。注記の設定内容に従って設定を行ってください。注記のない 153 第 7 章 ネットワークでの利用例 7.6. ルーティングを動的に行う∼動的ルーティングの設定∼ 設定項目は SEIL A の設定内容と異なる点はありませんので、SEIL A と同様に設定を行ってください。 ※ 本節では説明のため、 「10.0.0.0∼10.255.255.255」 「172.16.0.0∼172.16.255.255」までのアド レスをグローバルアドレスとして表現しています。 設計 (1) エリアを決定する ここでは stub area を使用するかどうか、また、使用するならば no summary を使用するかどう かを決めます。本項の設定例では stub area を使用しません。 (2) リンクを決定する ここでは OSPF での通信を行う相手との通信方法を決めます。本節の設定例では、インターフェ イスに相手のルータと接続するインターフェイス lan1 を設定し、OSPF 情報の送受信は 送信/受 信 共に行い、認証は行わないものとします。OSPF は、インターフェイス lan0 とインターフェ イス lan1 の両方で有効にします。 (3) SEIL A、SEIL B それぞれのルータ ID を設定する OSPF で通信を行うそれぞれの SEIL にルータ ID を設定します。ここではそれぞれのアドレス をルータ ID として割り当てます。 設定の流れ (1)SEIL A にエリアを設定する stub area の使用/不使用を設定します。 (2)SEIL A にリンクを設定する OSPF を有効にするインターフェイスと、リンクの属するエリア ID を設定します。 (3)SEIL A に OSPF ルータ ID を設定する OSPF ルータ ID を設定します。 (4)SEIL A の OSPF を有効にする 設定した OSPF を有効化します。 (5)SEIL A の設定を確認する 設定が正しくなされているか確認します。 (6)SEIL A の設定を保存する すべての設定を保存します。 設定手順 (1)SEIL A にエリアを設定する 154 第 7 章 ネットワークでの利用例 7.6. ルーティングを動的に行う∼動的ルーティングの設定∼ SEIL A となる SEIL に管理者アカウントでログインし、エリアの設定をします。以下の設定を 行ってください。 設定項目 パラメータ エリア ID 0.0.0.0 スタブエリア disable ■ 記述例 ¶ ³ # route dynamic ospf area add 0.0.0.0 stub disable µ ´ ■ パラメータ解説 route dynamic ospf area add 0.0.0.0 エリア ID として「0.0.0.0」を設定します。 stub disable 続けて、エリアをスタブエリアとしないため「disable」を設定します。 (2)SEIL A にリンクを設定する 次にリンクを追加します。以下の設定を行ってください。インターフェイスには unnumbered イ ンターフェイスを指定することも可能です。 設定項目 パラメータ インターフェイス lan0 リンクの属するエリア ID 0.0.0.0 ■ 記述例 ¶ ³ # route dynamic ospf link add lan0 area 0.0.0.0 µ ´ ■ パラメータ解説 route dynamic ospf link add lan0 OSPF を有効にするインターフェイスとして「lan0」を設定します。 area 0.0.0.0 続けて、リンクの属するエリア ID として「0.0.0.0」を設定します。 ※ 同様の設定を、LAN1 インターフェイスに対しても行ってください。 (3)SEIL A に OSPF ルータ ID を設定する 155 第 7 章 ネットワークでの利用例 7.6. ルーティングを動的に行う∼動的ルーティングの設定∼ 以下の設定を行ってください。 設定項目 パラメータ OSPF ルータ ID 10.0.1.1 ■ 記述例 ¶ ³ # route dynamic ospf router-id 10.0.1.1 µ ´ ■ パラメータ解説 route dynamic ospf router-id 10.0.1.1 OSPF ルータ ID として「10.0.1.1」を設定します。 ※ SEIL B の設定を行う場合、以下の通りとなります。 設定項目 パラメータ OSPF ルータ ID 10.0.2.2 (4)SEIL A の OSPF を有効にする 以下の設定を行ってください。 設定項目 パラメータ 有効/無効 enable ■ 記述例 ¶ ³ # route dynamic ospf enable µ ´ ■ パラメータ解説 route dynamic ospf enable OSPF を有効にするため「enable」を設定します。 (5)SEIL A の設定を確認する 156 第 7 章 ネットワークでの利用例 7.6. ルーティングを動的に行う∼動的ルーティングの設定∼ 以上の設定が終了したら、show status コマンドにより、相手ネットワークの経路が来ているか 確認します。詳細はコマンドリファレンスをご覧ください。 ■ 記述例 ¶ ³ # show status route µ ´ (6)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で、SEIL A 側の OSPF の設定は完了です。 変更した設定内容はバックアップをとっておくことをお勧めします。 ■ 7.6.3 複数のルーティングプロトコルを同時に使う ∼経路情報の再配布∼ 本節では SEIL を用いて、異なるルーティングを設定した 2 つのネットワーク間で通信を行う場合の 設定例をご説明します。 本節のネットワーク例では、SEIL A 側の LAN には OSPF が使用され、SEIL A、B 間と SEIL B 側の LAN には RIP を使用しています。 本節での設定例は SEIL A で RIP と OSPF 間の経路情報の再配布を行う例となります。 157 第 7 章 ネットワークでの利用例 7.6. ルーティングを動的に行う∼動的ルーティングの設定∼ SEIL B lan0 192.168.2.1 ἕἚὁὊἁB 192.168.2.0/24 SEIL B SEIL B lan1 192.168.0.2 SEILA lan1 192.168.0.1 RIP SEIL A ኺែऴإϐᣐࠋ SEIL A lan0 192.168.1.1 OSPF 設定の流れ (1)SEIL A に再配布 (OSPF → RIP) を設定する OSPF から RIP への再配布の設定をします。 (2)SEIL A に再配布 (RIP → OSPF) を設定する RIP から OSPF への再配布の設定をします。 (3)SEIL A の設定を確認する 設定が正しくなされているか確認します。 (4)SEIL A の設定を保存する すべての設定を保存します。 158 ἕἚὁὊἁA 192.168.1.0/24 第 7 章 ネットワークでの利用例 7.6. ルーティングを動的に行う∼動的ルーティングの設定∼ 設定手順 (1)SEIL A に再配布 (OSPF → RIP) を設定する SEIL A となる SEIL に管理者アカウントでログインし、OSPF から RIP への再配布の設定をし ます。以下の設定を行ってください。 設定項目 パラメータ 再配布のタイプ ospf-to-rip 有効/無効 enable ■ 記述例 ¶ ³ # route dynamic redistribute ospf-to-rip enable µ ´ ■ パラメータ解説 route dynamic redistribute ospf-to-rip OSPF で受信した経路を RIP で配布する設定を行うため、 「ospf-to-rip」を設定します。 enable 続けて、設定を有効にするため「enable」を設定します。 (2)SEIL A に再配布 (RIP → OSPF) を設定する RIP から OSPF への再配布の設定をします。以下の設定を行ってください。 設定項目 パラメータ 再配布のタイプ rip-to-ospf 有効/無効 enable ■ 記述例 ¶ ³ # route dynamic redistribute rip-to-ospf enable µ ´ ■ パラメータ解説 route dynamic redistribute rip-to-ospf RIP で受信した経路を OSPF で配布する設定を行うため、 「rip-to-ospf」を設定します。 159 第 7 章 ネットワークでの利用例 7.6. ルーティングを動的に行う∼動的ルーティングの設定∼ enable 続けて、設定を有効にするため「enable」を設定します。 (3)SEIL A の設定を確認する 以上の設定が終了したら、show status コマンドにより経路を確認します。 詳細はコマンドリ ファレンスをご覧ください。 ■ 記述例 ¶ ³ # show status route µ ´ (4)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で、SEIL A 側の再配布の設定は完了です。変更した設定内容はバックアップをとっておく ことをお勧めします。 ■ 7.6.4 PIM-SM を利用した IPv4/IPv6 マルチキャストルーティング 本節では、PIM-SM for IPv4/IPv6 を用いたマルチキャストルーティングの設定例をご説明します。 今回の設定例では、インターネット上での接続に SEIL A を用い、SEIL A の lan0/lan1 には IPv6 グ ローバルアドレスが割り当てられているとします。 インターネット上の他ルータとの間でのマルチキャストルーティングを行うために、PIM-SM を設定 するものとします。 ※ 本機は、RP(Rendezvous Point), BSR(Boot Strap Router) には対応していません。Multicast ネッ トワーク上に必ず RP, BSR を設置するようにしてください。 160 第 7 章 ネットワークでの利用例 7.6. ルーティングを動的に行う∼動的ルーティングの設定∼ IPv6 Global Address RP & BSR Router IPv6 Global Address Sender ỶὅἑὊἕἚ IPv6 Global Address Multicast Routing Reciever SEIL IPv6 Global Address 設定の流れ (1)SEIL に PIM-SM を設定する lan0/lan1 インターフェイスにて PIM-SM を設定します。 (2)SEIL の PIM-SM を有効にする 設定した PIM-SM を有効化します。 (3)SEIL の設定を確認する 設定が正しくなされているか確認します。 (4)SEIL の設定を保存する すべての設定を保存します。 161 第 7 章 ネットワークでの利用例 7.6. ルーティングを動的に行う∼動的ルーティングの設定∼ 設定手順 (1)SEIL に PIM-SM を設定する SEIL に管理者アカウントでログインし、LAN インターフェイスに PIM-SM の設定をします。 以下の設定を行ってください。 設定項目 パラメータ インターフェイス lan0 経路情報の送受信 enable ■ 記述例 ¶ ³ # route6 dynamic pim-sparse interface lan0 enable µ ´ ■ パラメータ解説 route6 dynamic pim-sparse interface lan0 PIM-SM を使用するインターフェイスとして「lan0」を設定します。 enable 続けて、PIM-SM 経路情報の送受信を行うため「enable」を設定します。 LAN1 インターフェイスについても、同様に設定を行います。 設定項目 パラメータ インターフェイス lan1 経路情報の送受信 enable ■ 記述例 ¶ ³ # route6 dynamic pim-sparse interface lan1 enable µ ´ ■ パラメータ解説 route6 dynamic pim-sparse interface lan1 PIM-SM を使用するインターフェイスとして「lan1」を設定します。 enable 続けて、PIM-SM 経路情報の送受信を行うため「enable」を設定します。 (2)SEIL の PIM-SM を有効にする 162 第 7 章 ネットワークでの利用例 7.6. ルーティングを動的に行う∼動的ルーティングの設定∼ 以下の設定を行ってください。 設定項目 パラメータ 有効/無効 enable ■ 記述例 ¶ ³ # route6 dynamic pim-sparse enable µ ´ ■ パラメータ解説 route6 dynamic pim-sparse enable PIM-SM を有効にするため「enable」を設定します。 (3)SEIL の設定を確認する 以上の設定が終了したら、show status コマンドにより、Multicast グループの経路が来ているか 確認します。詳細はコマンドリファレンスをご覧ください。 ■ 記述例 ¶ ³ # show status route6 dynamic pim-sparse µ ´ (4)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で SEIL の PIM-SM 設定は完了です。変更した設定内容はバックアップをとっておくことを お勧めします。 163 第 7 章 ネットワークでの利用例 7.7. 目的別のルーティングを行う 7.7 目的別のルーティングを行う 本節では、CS-SEIL-510/C を用いてルーティングに関する様々な機能を用いる場合の設定例を説明し ます。 ■ 7.7.1 静的経路の監視を行う SEIL は、静的経路の中継先として指定されたアドレスに対して ping による死活監視を行い、規定条 件に達したときに経路の削除・付加を行うことができます。本節では、この機能を用いて、以下のよう な構成のネットワークにおいてバックアップ経路への切り替えを自動的に行う設定例を説明します。 以下の構成で、SEIL は通常は「メイン」のルータを経由して通信しているものとし、 「メイン」のルー タに障害が発生した場合には、死活監視によって「バックアップ」のルータを経由して通信を行うよう 切り替わります。 ỶὅἑὊἕἚ ἽὊἑA(ἳỶὅ) ἂἿὊἢἽỴἛἾἋ 172.16.0.2 ἽὊἑB(ἢἕἁỴἕἩ) ἂἿὊἢἽỴἛἾἋ 172.16.0.254 ἂἿὊἢἽỴἛἾἋ 172.16.0.1 164 第 7 章 ネットワークでの利用例 7.7. 目的別のルーティングを行う 設定の流れ (1)ネットワークを設計する どのような経路を設定し、どのような条件で経路を切り替えるかを決めます。 (2)SEIL にメインへの経路を設定する メイン側のルータに対する経路設定を行います。 (3)SEIL にバックアップへの経路を設定する バックアップ側のルータに対する経路設定を行います。 (4)SEIL の設定を確認する 設定が正しくなされているか確認します。 (5)SEIL の設定を保存する すべての設定を保存します。 設定手順 (1)ネットワークを設計する 次のような経路を設定するものとします。 A. SEIL のデフォルト経路は通常、メイン側に向ける B. メイン側のルータ (172.16.0.2) に対して監視を行う C. メイン側のルータに障害が発生した場合には、バックアップ側を経由して通信を行う D. バックアップ側の経路は通常時は使用しないので、distance を高く設定して優先度を低く する (2)SEIL にメインへの経路を設定する SEIL に管理者アカウントでログインし、メインへの経路を設定します。以下の設定を行ってく ださい。 設定項目 パラメータ 宛先ネットワーク default ゲートウェイ 172.16.0.2 静的経路監視 on 監視パケット送信間隔 10 秒 送信エラー時のダウン検出回数 5回 165 第 7 章 ネットワークでの利用例 7.7. 目的別のルーティングを行う ■ 記述例 ¶ ³ # route add default 172.16.0.2 kepalive on send-interval 10 down-count 5 µ ´ ■ パラメータ解説 route add default 172.16.0.2 デフォルト経路の宛先として「172.16.0.2」を設定します。 keepalive on 続けて、死活監視を有効にするため「keepalive on」を設定します。 send-interval 10 続けて、ping の送信間隔として「10 秒」を設定します。 down-count 5 続けて、ping の送信失敗時にダウンと検出する回数を「5」に設定します。この場合、 10 秒間隔で 5 回連続に ping の送信に失敗した場合、ダウンと検出されることになり ます。 ※ ゲートウェイアドレスと監視先が異なる場合は、「target」パラメータにて監視先アドレスを 指定可能です。 「target」パラメータが省略された場合は、ゲートウェイアドレスに対して ping を送信します。 (3)SEIL にバックアップへの経路を設定する バックアップ側の経路を設定します。以下の設定を行ってください。 設定項目 パラメータ 宛先ネットワーク default ゲートウェイ 172.16.0.254 distance 100 ■ 記述例 ¶ # route add default 172.16.0.254 distance 100 µ ■ パラメータ解説 route add default 172.16.0.254 バックアップ側デフォルト経路の宛先として「172.16.0.254」を設定します。 166 ³ ´ 第 7 章 ネットワークでの利用例 7.7. 目的別のルーティングを行う distance 100 続けて、バックアップ側デフォルト経路の distance として「100」を設定します。 (4)SEIL の設定を確認する メイン側の経路が何らかの原因でダウンすると、ping による死活監視によって経路が削除され ます。経路が削除された場合には以下のようなログが記録されます。ログを確認するためには show log コマンドを使用してください。 ¶ 2 Jan 2 04:11:29 ³ notice system lanbackupd: target 172.16.0.2 down. µ ´ 実際にメイン側のデフォルト経路が消えて、バックアップ側のデフォルト経路が経路表に表れて いることを show status route コマンドにて確認できます。 メイン側の経路が復旧した場合は以下のようなログが記録されます。 ¶ 2 Jan 2 04:11:29 ³ notice system lanbackupd: target 172.16.0.2 up. µ ´ 実際にメイン側のデフォルト経路が復旧し、バックアップ側のデフォルト経路が経路表から削除 されていることを show status route にて確認できます。 (5)SEIL の設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、 ¤ ¡ [6.3.1 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 ó 以上で静的経路監視の設定は完了です。変更した設定内容はバックアップをとっておくことをお 勧めします。 167 第 7 章 ネットワークでの利用例 7.7. 目的別のルーティングを行う ■ 7.7.2 ポリシーベースのルーティングを行う SEIL では、ルーティングを行う際、経路を決定するポリシーとして送信先のネットワーク以外にも、 任意のポリシーをフィルタによって作成して柔軟に適用することができます。本節では、この機能を用 いて、以下のような構成のネットワークにおいてポリシーベースのルーティングを行う設定を説明し ます。 ỶὅἑὊἕἚ ἽὊἑA ἂἿὊἢἽỴἛἾἋ 10.0.0.2/24 ἽὊἑB ἂἿὊἢἽỴἛἾἋ 10.0.0.254/24 WANͨ ἂἿὊἢἽỴἛἾἋ 10.0.0.1/24 LANͨἕἚὁὊἁỴἛἾἋ 172.16.0.0/24 設定の流れ (1)ネットワークを設計する どのような経路を設定し、どのようなポリシーを適用するかを決めます。 168 第 7 章 ネットワークでの利用例 7.7. 目的別のルーティングを行う (2)送信元アドレスが 172.16.0.0/24 となっているパケットに対する経路を設定する 適用したポリシーに従い、フィルタの設定を行います。 (3)デフォルトの経路を設定する 適用したポリシーに従い、デフォルト経路の設定を行います。 (4)SEIL の設定を確認する 設定が正しくなされているか確認します。 (5)SEIL の設定を保存する すべての設定を保存します。 設定手順 (1)ネットワークを設計する 次のような経路を設定するものとします。 A. SEIL の LAN0 に到達するパケットに対して、送信元アドレスが 172.16.0.0/24 の範囲にあ るパケットは、ルータ A に転送する B. SEIL の LAN0 に到達するパケットに対して、送信元アドレスが 172.16.0.0/24 の範囲に無 いパケットは、ルータ B に転送する (2)送信元アドレスが 172.16.0.0/24 となっているパケットに対する経路を設定する SEIL に管理者アカウントでログインし、ポリシーを設定します。以下の設定を行ってください。 設定項目 パラメータ フィルタ名 routefwd アクション forward インターフェイス lan0 中継先 10.0.0.2(ルータ A) 方向 in 送信元 IP アドレス 172.16.0.0/24 ■ 記述例 ¶ ³ # filter add routefwd action forward 10.0.0.2 src 172.16.0.0/24 direction in interface lan0 µ ´ ■ パラメータ解説 filter add routefwd フィルタ名として「routefwd」を設定します。 169 第 7 章 ネットワークでの利用例 7.7. 目的別のルーティングを行う action forward 10.0.0.2 続けて、アクションとして、条件に合致したパケットのアクセスを「10.0.0.2」に中継 するよう設定します。 src 172.16.0.0/24 続けて、対象とするパケットの送信元 IP アドレスを「172.16.0.0/24」に含むものとし て設定します。 direction in 続けて、方向として、対象が内部から外部へのアクセスであるため「in」を設定します。 interface lan0 続けて、インターフェイスとして「lan0」を設定します。 (3)デフォルトの経路を設定する ポリシーに合致しないパケットは、デフォルトの経路に向けて中継するよう設定します。以下の 設定を行ってください。 設定項目 パラメータ 宛先ネットワーク default ゲートウェイ 10.0.0.254 ■ 記述例 ¶ # route add default 10.0.0.254 µ ³ ´ ■ パラメータ解説 route add default 10.0.0.254 ポリシーに合致しないパケットのデフォルト中継先として「10.0.0.254」を設定し ます。 (4)SEIL の設定を確認する ポリシールーティングは、通常の IP ルーティングよりも優先度が高いので、デフォルト経路が 存在しても、172.16.0.0/24 からのパケットはポリシーに従って 192.168.0.2 へ中継されます。 ポリシールーティングで中継されているかどうかの確認は、対向機器にてパケットダンプを行う か、show status filter にて count の値が増えていることを確認してください。 ¶ ³ page 1 id policy forward 10.0.0.2 in log on lan0 proto any from 172.16.0.0/24 to any count 6 µ 170 ´ 第 7 章 ネットワークでの利用例 7.7. 目的別のルーティングを行う フィルタ設定で logging on を指定した場合には、show log コマンドによりパケット通過の際に 出力されるログを確認することができます。 ¶ ³ info filter lan0 @1:0[policy] f 172.16.0.1 -> 10.0.0.2 PR icmp type 8 code 0 len 20 84 IN µ ´ (5)SEIL の設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、 ¤ ¡ [6.3.1 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 ó 以上でポリシーベースのルーティング設定は完了です。変更した設定内容はバックアップをとっ ておくことをお勧めします。 171 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 7.8 VPN を構築する ∼IPsec の設定∼ 遠隔地の事業所間をネットワークで結ぶ際に、通常のインターネットによる接続ではなく直接 LAN 型の接続を行いたい場合があります。 CS-SEIL-510/C は、IPsec 機能を利用した VPN(Virtual Private Network:インターネットを利用し て仮想的に確立する LAN 型接続)の構築をサポートしています。 ■ 7.8.1 ポリシーベース IPsec トンネル 本節では、IKE を使用した VPN の設定方法について、以下のような構成のネットワークを前提にご 説明します。IPv4、IPv6 両方に対応していますが、ここでは IPv4 での設定方法についてご説明します (IPv4 と IPv6 の設定で異なるのは、アドレスが違う点のみです) 。 なお、本節では SEIL A の設定についてご説明します。SEIL B の設定については、SEIL A の設定内容 と異なる設定項目には注記してあります。注記の設定内容に従って設定を行ってください。注記のない 設定項目は SEIL A の設定内容と異なる点はありませんので、SEIL A と同様に設定を行ってください。 172 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ἕἚὁὊἁA 192.168.1.0/24 ἩἻỶἫὊἚỴἛἾἋ 192.168.1.1/24 SEIL A ἂἿὊἢἽỴἛἾἋ PPPoEỂѣႎỆл࢘ IPsecἚὅἽ ỶὅἑὊἕἚ ἂἿὊἢἽỴἛἾἋ 10.0.2.2 SEIL B ἩἻỶἫὊἚỴἛἾἋ 192.168.2.1 ἕἚὁὊἁB 192.168.2.0/24 ※ 本節では説明のため、「10.0.0.0∼10.255.255.255」 「172.16.0.0∼172.16.255.255」までのアド レスをグローバルアドレスとして表現しています。 設計 (1) IKE パラメータを決定する IKE を使用した設定を行う場合、はじめに通信を行う両側で鍵を交換する条件や、鍵の認証方法等 を合わせる必要があります。特に合わせるべき設定項目としては、プロポーザルにおいて対向ホ ストを認証するときの方式を指定する認証メソッド、認証アルゴリズム(ハッシュアルゴリズム) 、 暗号化アルゴリズム、そして鍵交換アルゴリズムで用いるパラメータである DH(Diffie-Hellman) Group があります。認証メソッドには事前共有鍵がサポートされ、認証アルゴリズムには MD5 と SHA1 が、暗号化アルゴリズムには DES、3DES、BLOWFISH、CAST128、AES がサポートさ れています。なお DH Group においては、Group1(modp768) 、Group2(modp1024) 、Group5 173 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ (modp1536)が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になります が、計算時間が長くなるという特徴があります。 (2) セキュリティアソシエーションプロポーザルを決定する ここでは、セキュリティアソシエーションの有効期間を設定するライフタイムの長さ、認証、暗 号化の両アルゴリズムに関してはどのアルゴリズムをどのような優先順位で用いるのか、更に DH 鍵交換アルゴリズムで用いるパラメータである PFS GROUP にはどれを使用するかを決めま す。なお PFS GROUP には、Group1(modp768) 、Group2(modp1024) 、Group5(modp1536) が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が 長くなるという特徴があります。 (3) セキュリティアソシエーションを決定する IKE を使用した IPsec トンネルを構築する場合に決める必要がある項目は、IPsec のモード、使 用するプロトコル、相手に提示するセキュリティアソシエーションプロポーザルです。ここで は、モードは tunnel モードを使用し、暗号化プロトコルである ESP を使用するものとします。 また、セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているも のではなく新たに登録したものを使用するものとします。 (4) セキュリティポリシーを決定する 次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用す るかを決めます。これをセキュリティポリシーと呼びます。この例では、192.168.1.0/24 と 192.168.2.0/24 の間のすべてのトラフィックに対して、先に決めたセキュリティアソシエーショ ンを使用するものとします。 設定の流れ (1)SEIL A に IKE を設定する 決定した IKE パラメータに従って設定を行います。 (2)SEIL A にセキュリティアソシエーションプロポーザルを設定する 決定したセキュリティアソシエーションプロポーザルに従って設定を行います。 (3)SEIL A にセキュリティアソシエーションを設定する 決定したセキュリティアソシエーションに従って設定を行います。 (4)SEIL A にセキュリティポリシーを設定する 決定したセキュリティアポリシーに従って設定を行います。 (5)SEIL A の設定を確認する 設定が正しくなされているか確認します。 (6)SEIL A の設定を保存する すべての設定を保存します。 174 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 設定手順 (1)SEIL A に IKE を設定する 決定した IKE パラメータに従って設定を行います。 SEIL A に管理者アカウントでログインし、事前共有鍵を設定します。以下の設定を行ってくだ さい。 設定項目 パラメータ 識別子 10.0.2.2 鍵文字列 opensesame ■ 記述例 ¶ ³ # ike preshared-key add 10.0.2.2 opensesame µ ´ ■ パラメータ解説 ike preshared-key add 10.0.2.2 opensesame 事前共有鍵の識別子として「10.0.2.2」を、鍵文字列として「opensesame」を設定し ます。 ※ 事前共有鍵は通信相手が用意したものを設定することになります。あらかじめ通信を行う相 手と相談し、鍵の設定を行ってください。 ※ 今回の設定では、SEIL A と SEIL B それぞれに、お互いが用意した鍵を設定します。 ※ SEIL B の設定を行う場合、設定は以下の通りです。 設定項目 パラメータ 識別子 10.0.1.1 鍵文字列 opensesame IKE プロポーザルの設定をします。以下の設定を行ってください。 設定項目 パラメータ IKE プロポーザル名 ikeprop01 認証メソッド preshared-key 暗号化アルゴリズム 3des 認証アルゴリズム sha1 Diffie-Hellman グループ modp1536 ライフタイム 3600 175 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ■ 記述例 ¶ ³ # ike proposal add ikeprop01 authentication preshared-key encryption 3des hash sha1 dh-group modp1536 lifetime-of-time 3600 µ ´ ■ パラメータ解説 ike proposal add ikeprop01 IKE プロポーザル名として、「ikeprop01」を設定します。 authentication preshared-key 続けて、認証メソッドとして「preshared-key」を設定します。 encryption 3des hash sha1 dh-group modp1536 続けて、IKE で使用する暗号化アルゴリズムとして「3des」を、認証アルゴリズムと して「sha1」を設定、Diffie-Hellman グループとして「modp1536」を設定します。 lifetime-of-time 3600 続けて、IKE セキュリティアソシエーションの有効時間として「3600」 (秒)を設定し ます。 IKE Peer の設定をします。以下の設定を行ってください。 設定項目 パラメータ IKE Peer 名 seilb モード main プロポーザルリスト ikeprop01 リモート IP アドレス 10.0.2.2 自己識別子 address 相手識別子 address ■ 記述例 ¶ ³ # ike peer add seilb exchange-mode main proposal ikeprop01 address 10.0.2.2 my-identifier address peers-identifier address µ ´ ■ パラメータ解説 ike peer add seilb IKE Peer 名として、「seilb」を設定します。 exchange-mode main 続けて、フェーズ 1 で使用するモードとして「main」を設定します。 176 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ proposal ikeprop01 続けて、プロポーザルリストとして「ikeprop01」を設定します。 address 10.0.2.2 続けて、IKE で使用するリモート IP アドレスとして「10.0.2.2」を設定します。 my-identifier address peers-identifier address 続けて、自己識別子、相手識別子ともに「address」を設定します。 ※ SEIL B の設定を行う場合、設定は以下の通りです。 設定項目 パラメータ IKE Peer 名 seila モード main プロポーザルリスト ikeprop01 リモート IP アドレス 10.0.1.1 自己識別子 address 相手識別子 address (2)SEIL A にセキュリティアソシエーションプロポーザルを設定する IKE の設定が完了したら、セキュリティアソシエーションプロポーザルの設定を行います。以下 の設定を行ってください。 設定項目 パラメータ セキュリティアソシエーションプロポーザル名 saprop01 認証アルゴリズム hmac-sha1、hmac-md5 暗号化アルゴリズム 3des、des 有効時間 3600 PFS グループ modp768 ■ 記述例 ¶ ³ # ipsec security-association proposal add saprop01 authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des lifetime-of-time 3600 pfs-group modp768 µ ´ ■ パラメータ解説 ipsec security-association proposal add saprop01 セキュリティアソシエーションプロポーザル名として「saprop01」を設定します。 177 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des 続けて、AH で使用する認証アルゴリズムとして「hmac-sha1」 「hmac-md5」を、ESP で使用する暗号化アルゴリズムとして「3des」「des」を設定します。 lifetime-of-time 3600 続けて、IKE 利用時の IPsec セキュリティアソシエーションの有効時間として「3600」 (秒)を設定します。 pfs-group modp768 続けて、PFS グループとして「modp768」を設定します。 (3)SEIL A にセキュリティアソシエーションを設定する セキュリティアソシエーションプロポーザルの設定が完了したら、セキュリティアソシエーショ ンの設定を行います。以下の設定を行ってください。 設定項目 パラメータ セキュリティアソシエーション名 sa03 IPsec のモード tunnel 始点 IP アドレス 10.0.1.1 終点 IP アドレス 10.0.2.2 セキュリティアソシエーションプロポーザル名 saprop01 AH disable ESP enable ■ 記述例 ¶ ³ # ipsec security-association add sa03 tunnel 10.0.1.1 10.0.2.2 ike saprop01 ah disable esp enable µ ´ ■ パラメータ解説 ipsec security-association add sa03 セキュリティアソシエーション名として「sa03」を設定します。 tunnel 10.0.1.1 10.0.2.2 続けて、IPsec に「tunnel」モードを設定します。さらに、IPsec で認証、暗号化を行 う始点 IP アドレスとして「10.0.1.1」を、終点 IP アドレスとして「10.0.2.2」を設定 します。 178 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ike saprop01 続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」 を設定します。 ah disable esp enable 続けて、AH の使用/不使用は「disable」を、ESP の使用/不使用は「enable」を設定し ます。 ※ SEIL B の設定を行う場合、設定は以下の通りです。 設定項目 パラメータ セキュリティアソシエーション名 sa03 IPsec のモード tunnel 始点 IP アドレス 10.0.2.2 終点 IP アドレス 10.0.1.1 セキュリティアソシエーションプロポーザル名 saprop01 AH disable ESP enable (4)SEIL A にセキュリティポリシーを設定する セキュリティアソシエーションの設定が完了したら、続いてセキュリティポリシーの設定をしま す。以下の設定を行ってください。 設定項目 パラメータ セキュリティポリシー名 sp03 セキュリティアソシエーション名 sa03 送信元 IP アドレス/ネットマスク長 192.168.1.0/24 送信先 IP アドレス/ネットマスク長 192.168.2.0/24 プロトコル any 有効/無効 enable ■ 記述例 ¶ ³ # ipsec security-policy add sp03 security-association sa03 src 192.168.1.0/24 dst 192.168.2.0/24 protocol any enable µ ´ ■ パラメータ解説 ipsec security-policy add sp03 セキュリティポリシー名として「sp03」を設定します。 179 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ security-association sa03 続けて、対象となるセキュリティアソシエーション名として「sa03」を設定します。 src 192.168.1.0/24 dst 192.168.2.0/24 続けて、送信元と送信先の IP アドレスを設定します。 「src」は送信元 IP アドレスと ネットマスク長、「dst」は送信先 IP アドレスとネットマスク長を意味します。送信元 IP アドレス/ネットマスク長として「192.168.1.0/24」を、送信先 IP アドレス/ネット マスク長として「192.168.2.0/24」を設定します。 protocol any 続けて、プロトコルとして、すべてのパケットを対象とするため「any」を設定します。 enable 続けて、設定を有効にするため「enable」を設定します。 ※ SEIL B の設定を行う場合、設定は以下の通りです。 設定項目 パラメータ セキュリティポリシー名 sp03 セキュリティアソシエーション名 sa03 送信元 IP アドレス/ネットマスク長 192.168.2.0/24 送信先 IP アドレス/ネットマスク長 192.168.1.0/24 プロトコル any 有効/無効 enable (5)SEIL A の設定を確認する 以上の設定が終了したら、show status コマンドにより IPsec および IKE の動作情報を確認しま す。詳細はコマンドリファレンスをご覧ください。 ¶ ³ # show status ipsec µ ¶ ´ ³ # show status ike µ ´ (6)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で、SEIL A 側の IKE とセキュリティアソシエーションプロポーザル、セキュリティアソシ エーション、セキュリティポリシーの設定は完了です。 変更した設定はバックアップをとっておくことをお勧めします。 180 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ■ 7.8.2 ルーティングベース IPsec トンネル 本節では、IKE を使用したルーティングベース VPN の設定方法について、以下のような構成のネッ トワークを前提にご説明します。 IPv4、IPv6 両方に対応していますが、ここでは IPv4 での設定方法についてご説明します(IPv4 と IPv6 の設定で異なるのは、アドレスが違う点のみです)。 本機は IPsec トンネルを lan0 や lan1 と同様のインターフェイスとして提供する機能を持っていま す。このインターフェイスを IPsec インターフェイスと呼びます。 「 ó [7.8.1 ポリシーベース IPsec ¤ ¡ トンネル £P.172 ¢ ]」の説明では、セキュリティアソシエーションを適用するトラフィックを選択するた めに、セキュリティポリシーを設定する必要がありました。IPsec インターフェイスを利用した場合に は、セキュリティアソシエーションを適用するトラフィックを本機のルーティング機能により選択しま す。これにより、より柔軟な VPN の構築・運用が可能となります。 ¤ ¡ 本機のルーティング機能の詳細については「 ó [6.2.3 ルーティング £P.48 ¢ ]」をご覧ください。 181 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ἕἚὁὊἁA 192.168.1.0/24 ἩἻỶἫὊἚỴἛἾἋ 192.168.1.1/24 SEIL A ἂἿὊἢἽỴἛἾἋ 10.0.1.1 IPsecἚὅἽ ỶὅἑὊἕἚ ἂἿὊἢἽỴἛἾἋ 10.0.2.2 ἂἿὊἢἽỴἛἾἋ 10.0.3.1 SEIL B SEIL C ἩἻỶἫὊἚỴἛἾἋ 192.168.3.1 ἩἻỶἫὊἚỴἛἾἋ 192.168.2.1 ἕἚὁὊἁC 192.168.3.0/24 ἕἚὁὊἁB 192.168.2.0/24 ※ ルーティングベース IPsec トンネルはポリシーベース IPsec トンネルに比べて多くのリソースを 必要とするため、パフォーマンスが低下する可能性があります。 なお、本節では SEIL A の設定についてご説明します。SEIL B,SEIL C の設定については、SEIL A の 設定内容と異なる設定項目には注記してあります。注記の設定内容に従って設定を行ってください。注 記のない設定項目は SEIL A の設定内容と異なる点はありませんので、SEIL A と同様に設定を行ってく ださい。 ※ 本節では説明のため、 「10.0.0.0∼10.255.255.255」までのアドレスをグローバルアドレスとして 表現しています。 182 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 設計 (1) 使用する IPsec インターフェイスを決定する ルーティングベース IPsec トンネルを使用する場合、はじめに IPsec トンネルを提供する IPsec インターフェイスを決定します。 本機は ipsec0 から ipsec63 までの 64 個の IPsec インターフェイスを持っています。各インター フェイスに機能上の違いはありません。 IPsec インターフェイスを利用するためには、IPsec トンネルの両端のアドレスと IPsec イン ターフェイスに割り当てるアドレスを設定する必要があります。 ここでは、SEIL A と SEIL B、SEIL A と SEIL C、SEIL B と SEIL C の間でそれぞれ IPsec トン ネルを構築するものとします。この例では、SEIL A、SEIL B、SEIL C それぞれで以下の IPsec インターフェイスを使用するものとします。 SEIL A で使用する IPsec インターフェイス 接続相手 IPsec インターフェイス名 SEIL B ipsec0 SEIL C ipsec1 SEIL B で使用する IPsec インターフェイス 接続相手 IPsec インターフェイス名 SEIL A ipsec0 SEIL C ipsec1 SEIL C で使用する IPsec インターフェイス 接続相手 IPsec インターフェイス名 SEIL A ipsec0 SEIL B ipsec1 それぞれの IPsec インターフェイスでは、以下のアドレスで IPsec トンネルを構築するものとし ます。 SEIL A の IPsec トンネルの両端アドレス IPsec インターフェイス名 ローカル側 リモート側 ipsec0 10.0.1.1 10.0.2.2 ipsec1 10.0.1.1 10.0.3.3 SEIL B の IPsec トンネルの両端アドレス IPsec インターフェイス名 ローカル側 リモート側 ipsec0 10.0.2.2 10.0.1.1 ipsec1 10.0.2.2 10.0.3.3 183 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ SEIL C の IPsec トンネルの両端アドレス IPsec インターフェイス名 ローカル側 リモート側 ipsec0 10.0.3.3 10.0.1.1 ipsec1 10.0.3.3 10.0.2.2 各 IPsec インターフェイスでは、以下のようにアドレスを割り当てるものとします。 SEIL A の IPsec インターフェイスのアドレス IPsec インターフェイス名 ローカル側 リモート側 ipsec0 192.168.10.1 192.168.10.2 ipsec1 192.168.20.1 192.168.20.3 SEIL B の IPsec インターフェイスのアドレス IPsec インターフェイス名 ローカル側 リモート側 ipsec0 192.168.10.2 192.168.10.1 ipsec1 192.168.30.2 192.168.30.3 SEIL C の IPsec インターフェイスのアドレス IPsec インターフェイス名 ローカル側 リモート側 ipsec0 192.168.20.3 192.168.20.1 ipsec1 192.168.30.3 192.168.30.2 (2) IKE パラメータを決定する IKE を使用した設定を行う場合、はじめに通信を行う両側で鍵を交換する条件や、鍵の認証方法 等を合わせる必要があります。 特に合わせるべき設定項目としては、ルーティングベース IPsec トンネルの利用の指定、プロ ポーザルにおいて対向ホストを認証するときの方式を指定する認証メソッド、認証アルゴリズム (ハッシュアルゴリズム) 、暗号化アルゴリズム、そして Diffie-Hellman (DH) 鍵交換アルゴリズム で用いるパラメータである DH Group があります。 認証メソッドには事前共有鍵がサポートされ、認証アルゴリズムには MD5 と SHA1 が、暗号化 アルゴリズムには DES、3DES、BLOWFISH、CAST128、AES がサポートされています。 なお DH Group においては、Group1(modp768) 、Group2(modp1024) 、Group5(modp1536) が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が 長くなるという特徴があります。 (3) セキュリティアソシエーションプロポーザルを決定する ここでは、セキュリティアソシエーションの有効期間を設定するライフタイムの長さ、認証、暗 号化の両アルゴリズムに関してはどのアルゴリズムをどのような優先順位で用いるのか、更に DH 鍵交換アルゴリズムで用いるパラメータである PFS GROUP にはどれを使用するかを決め ます。 なお PFS GROUP には、Group1(modp768) 、Group2(modp1024) 、Group5(modp1536)が 用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が長 くなるという特徴があります。 184 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ (4) セキュリティアソシエーションを決定する ルーティングベース IPsec トンネルを使用する場合に決める必要がある項目は、使用する IPsec インターフェイス、使用するプロトコルと相手に提示するセキュリティアソシエーションプロ ポーザルです。ここでは、IPsec インターフェイスは ipsec0 および ipsec1 を使用し、暗号化プ ロトコルである ESP を使用するものとします。 また、セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているも のではなく新たに登録したものを使用するものとします。 (5) ルーティング方式を決定する 次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用するかを 決めます。 この例では、SEIL A と SEIL B、SEIL A と SEIL C、SEIL B と SEIL C との間でそれぞれ IPsec トンネルを構築し、RIP によりプライベートネットワークの経路情報を交換するものとします。 これにより、何らかの理由で IPsec トンネルのどれか一つが使用できなくなった場合でも、RIP により自動的に迂回経路が選択され、プライベートネットワーク間の通信が遮断されることがな くなります。 最適なルーティング方式はネットワーク構成により大きく異なります。詳しくは、 「 ¤ ¡ ルーティング £P.48 ¢ ]」をご覧ください。 ó [6.2.3 設定の流れ (1)SEIL A の IPsec インターフェイスを設定する 決定した IPsec インターフェイスを使用するように設定を行います。 (2)SEIL A に IKE を設定する 決定した IKE パラメータに従って設定を行います。 (3)SEIL A にセキュリティアソシエーションプロポーザルを設定する 決定したセキュリティアソシエーションプロポーザルに従って設定を行います。 (4)SEIL A にセキュリティアソシエーションを設定する 決定したセキュリティアソシエーションに従って設定を行います。 (5)SEIL A にルーティングを設定する 決定したルーティング方式に従って設定を行います。 (6)SEIL A の設定を確認する 設定が正しくなされているか確認します。 (7)SEIL A の設定を保存する すべての設定を保存します。 185 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 設定手順 (1)SEIL A の IPsec インターフェイスを設定する SEIL A に管理者アカウントでログインし、SEIL B との間に構築する IPsec トンネルの両端のア ドレスを設定します。以下の設定を行ってください。 設定項目 パラメータ IPsec インターフェイス名 ipsec0 トンネルの始点アドレス 10.0.1.1 トンネルの終点アドレス 10.0.2.2 ■ 記述例 ¶ ³ # interface ipsec0 tunnel 10.0.1.1 10.0.2.2 µ ´ ■ パラメータ解説 interface ipsec0 tunnel 10.0.1.1 10.0.2.2 ipsec0 インターフェイスを利用して、アドレス「10.0.1.1」とアドレス「10.0.2.2」の 間で IPsec トンネルを構築します。 SEIL C との間に構築する IPsec トンネルの両端のアドレスを設定します。以下の設定を行って ください。 設定項目 パラメータ IPsec インターフェイス名 ipsec1 トンネルの始点アドレス 10.0.1.1 トンネルの終点アドレス 10.0.3.3 ■ 記述例 ¶ ³ # interface ipsec1 tunnel 10.0.1.1 10.0.3.3 µ ´ ■ パラメータ解説 interface ipsec1 tunnel 10.0.1.1 10.0.3.3 ipsec1 インターフェイスを利用して、アドレス「10.0.1.1」とアドレス「10.0.3.3」の 間で IPsec トンネルを構築します。 ipsec0 インターフェイスのアドレスを設定します。以下の設定を行ってください。 186 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 設定項目 パラメータ IPsec インターフェイス名 ipsec0 ローカルアドレス 192.168.10.1/30 リモートアドレス 192.168.10.2 ■ 記述例 ¶ ³ # interface ipsec0 address 192.168.10.1/30 remote 192.168.10.2 µ ´ ■ パラメータ解説 interface ipsec0 address 192.168.10.1/30 ipsec0 インターフェイスのローカルアドレス(SEIL A のアドレス)を「192.168.10.1」 に設定します。同時に、ネットマスク長として「30」を割り当てます。 remote 192.168.10.2 ipsec0 インターフェイスのリモートアドレス(SEIL B のアドレス)を「192.168.10.2」 に設定します。リモートアドレスにはネットマスク長の指定は必要ありません。 ipsec1 インターフェイスのアドレスを設定します。以下の設定を行ってください。 設定項目 パラメータ IPsec インターフェイス名 ipsec1 ローカルアドレス 192.168.20.1/30 リモートアドレス 192.168.20.3 ■ 記述例 ¶ ³ # interface ipsec1 address 192.168.20.1/30 remote 192.168.20.3 µ ´ ■ パラメータ解説 interface ipsec1 address 192.168.20.1/30 ipsec1 インターフェイスのローカルアドレス(SEIL A のアドレス)を「192.168.20.1」 に設定します。同時に、ネットマスク長として「30」を割り当てます。 187 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ remote 192.168.20.3 ipsec1 インターフェイスのリモートアドレス(SEIL C のアドレス)を「192.168.20.3」 に設定します。リモートアドレスにはネットマスク長の指定は必要ありません。 ※ SEIL B の設定を行う場合、設定は以下の通りです。 設定項目 パラメータ IPsec インターフェイス名 ipsec0 トンネルの始点アドレス 10.0.2.2 トンネルの終点アドレス 10.0.1.1 設定項目 パラメータ IPsec インターフェイス名 ipsec1 トンネルの始点アドレス 10.0.2.2 トンネルの終点アドレス 10.0.3.3 設定項目 パラメータ IPsec インターフェイス名 ipsec0 ローカルアドレス 192.168.10.2/30 リモートアドレス 192.168.10.1 設定項目 パラメータ IPsec インターフェイス名 ipsec1 ローカルアドレス 192.168.30.2/30 リモートアドレス 192.168.30.3 ※ SEIL C の設定を行う場合、設定は以下の通りです。 188 設定項目 パラメータ IPsec インターフェイス名 ipsec0 トンネルの始点アドレス 10.0.3.3 トンネルの終点アドレス 10.0.1.1 設定項目 パラメータ IPsec インターフェイス名 ipsec1 トンネルの始点アドレス 10.0.3.3 トンネルの終点アドレス 10.0.2.2 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 設定項目 パラメータ IPsec インターフェイス名 ipsec0 ローカルアドレス 192.168.20.3/30 リモートアドレス 192.168.20.1 設定項目 パラメータ IPsec インターフェイス名 ipsec1 ローカルアドレス 192.168.30.3/30 リモートアドレス 192.168.30.2 (2)SEIL A に IKE を設定する 決定した IKE パラメータに従って設定を行います。IKE パラメータは SEIL B、SEIL C それぞれ について必要です。 SEIL B と通信するための設定を行います。以下の設定を行ってください。 設定項目 パラメータ 識別子 10.0.2.2 鍵文字列 opensesame-b ■ 記述例 ¶ ³ # ike preshared-key add 10.0.2.2 opensesame-b µ ´ ■ パラメータ解説 ike preshared-key add 10.0.2.2 opensesame-b 事前共有鍵の識別子として「10.0.2.2」を、鍵文字列として「opensesame-b」を設定 します。 SEIL C と通信するための設定を行います。以下の設定を行ってください。 設定項目 パラメータ 識別子 10.0.3.3 鍵文字列 opensesame-c 189 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ■ 記述例 ¶ ³ # ike preshared-key add 10.0.3.3 opensesame-c µ ´ ■ パラメータ解説 ike preshared-key add 10.0.3.3 opensesame-c 事前共有鍵の識別子として「10.0.3.3」を、鍵文字列として「opensesame-c」を設定 します。 ※ 事前共有鍵は通信相手が用意したものを設定することになります。あらかじめ通信を行う相 手と相談し、鍵の設定を行ってください。 ※ 今回の設定では、SEIL A と SEIL B それぞれに、お互いが用意した鍵を設定します。 ※ ここでは、簡単のため事前共有鍵にごく簡単な文字列を用いていますが、セキュリティ上、 事前共有鍵は他者に推測し難い文字列を利用してください。また、SEIL B と SEIL C とで、 全く違う文字列を事前共有鍵として採用することをお勧めします。 ※ SEIL B の設定を行う場合、設定は以下の通りです。 設定項目 パラメータ 識別子 10.0.1.1 鍵文字列 opensesame-b 設定項目 パラメータ 識別子 10.0.3.3 鍵文字列 opensesame-c ※ SEIL C の設定を行う場合、設定は以下の通りです。 設定項目 パラメータ 識別子 10.0.1.1 鍵文字列 opensesame-c 設定項目 パラメータ 識別子 10.0.2.2 鍵文字列 opensesame-b IKE プロポーザルの設定をします。ここでは、SEIL B、SEIL C ともに同じ IKE プロポーザルを 利用するので、IKE プロポーザルは一つだけ設定します。以下の設定を行ってください。 190 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 設定項目 パラメータ IKE プロポーザル名 ikeprop01 認証メソッド preshared-key 暗号化アルゴリズム 3des 認証アルゴリズム sha1 Diffie-Hellman グループ modp1536 ライフタイム 3600 ■ 記述例 ¶ ³ # ike proposal add ikeprop01 authentication preshared-key encryption 3des hash sha1 dh-group modp1536 lifetime-of-time 3600 µ ´ ■ パラメータ解説 ike proposal add ikeprop01 IKE プロポーザル名として、「ikeprop01」を設定します。 authentication preshared-key 続けて、認証メソッドとして「preshared-key」を設定します。 encryption 3des hash sha1 dh-group modp1536 続けて、IKE で使用する暗号化アルゴリズムとして「3des」を、認証アルゴリズムと して「sha1」を設定、Diffie-Hellman グループとして「modp1536」を設定します。 lifetime-of-time 3600 続けて、IKE セキュリティアソシエーションの有効時間として「3600」 (秒)を設定し ます。 IKE Peer の設定をします。SEIL B, SEIL C それぞれに対する設定が必要です。 SEIL B に対する IKE Peer の設定を行います。以下の設定を行ってください。 設定項目 パラメータ IKE Peer 名 seilb モード main プロポーザルリスト ikeprop01 リモート IP アドレス 10.0.2.2 自己識別子 address 相手識別子 address ルーティングベース IPsec トンネル 有効 191 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ■ 記述例 ¶ ³ # ike peer add seilb exchange-mode main proposal ikeprop01 address 10.0.2.2 my-identifier address peers-identifier address tunnel-interface enable µ ´ ■ パラメータ解説 ike peer add seilb IKE Peer 名として、「seilb」を設定します。 exchange-mode main 続けて、フェーズ 1 で使用するモードとして「main」を設定します。 proposal ikeprop01 続けて、プロポーザルリストとして「ikeprop01」を設定します。 address 10.0.2.2 続けて、IKE で使用するリモート IP アドレスとして「10.0.2.2」を設定します。 my-identifier address peers-identifier address 続けて、自己識別子、相手識別子ともに「address」を設定します。 tunnel-interface enable 続けて、ルーティングベース IPsec トンネルを有効にします。 SEIL C に対する IKE Peer の設定を行います。以下の設定を行ってください。 192 設定項目 パラメータ IKE Peer 名 seilc モード main プロポーザルリスト ikeprop01 リモート IP アドレス 10.0.3.3 自己識別子 address 相手識別子 address ルーティングベース IPsec トンネル 有効 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ■ 記述例 ¶ ³ # ike peer add seilc exchange-mode main proposal ikeprop01 address 10.0.3.3 my-identifier address peers-identifier address tunnel-interface enable µ ´ ■ パラメータ解説 ike peer add seilc IKE Peer 名として、「seilc」を設定します。 exchange-mode main 続けて、フェーズ 1 で使用するモードとして「main」を設定します。 proposal ikeprop01 続けて、プロポーザルリストとして「ikeprop01」を設定します。 address 10.0.3.3 続けて、IKE で使用するリモート IP アドレスとして「10.0.3.3」を設定します。 my-identifier address peers-identifier address 続けて、自己識別子、相手識別子ともに「address」を設定します。 tunnel-interface enable 続けて、ルーティングベース IPsec トンネルを有効にします。 ※ SEIL B の設定を行う場合、設定は以下の通りです。 設定項目 パラメータ IKE Peer 名 seila モード main プロポーザルリスト ikeprop01 リモート IP アドレス 10.0.1.1 自己識別子 address 相手識別子 address ルーティングベース IPsec トンネル 有効 193 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 設定項目 パラメータ IKE Peer 名 seilc モード main プロポーザルリスト ikeprop01 リモート IP アドレス 10.0.3.3 自己識別子 address 相手識別子 address ルーティングベース IPsec トンネル 有効 ※ SEIL C の設定を行う場合、設定は以下の通りです。 設定項目 パラメータ IKE Peer 名 seila モード main プロポーザルリスト ikeprop01 リモート IP アドレス 10.0.1.1 自己識別子 address 相手識別子 address ルーティングベース IPsec トンネル 有効 設定項目 パラメータ IKE Peer 名 seilb モード main プロポーザルリスト ikeprop01 リモート IP アドレス 10.0.2.2 自己識別子 address 相手識別子 address ルーティングベース IPsec トンネル 有効 (3)SEIL A にセキュリティアソシエーションプロポーザルを設定する IKE の設定が完了したら、セキュリティアソシエーションプロポーザルの設定を行います。ここ では、SEIL B、SEIL C ともに同じセキュリティアソシエーションプロポーザルを利用するので、 セキュリティアソシエーションプロポーザルは一つだけ設定します。以下の設定を行ってくだ さい。 194 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 設定項目 パラメータ セキュリティアソシエーションプロポーザル名 saprop01 認証アルゴリズム hmac-sha1、hmac-md5 暗号化アルゴリズム 3des、des 有効時間 3600 PFS グループ modp768 ■ 記述例 ¶ ³ # ipsec security-association proposal add saprop01 authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des lifetime-of-time 3600 pfs-group modp768 µ ´ ■ パラメータ解説 ipsec security-association proposal add saprop01 セキュリティアソシエーションプロポーザル名として「saprop01」を設定します。 authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des 続けて、AH で使用する認証アルゴリズムとして「hmac-sha1」 「hmac-md5」を、ESP で使用する暗号化アルゴリズムとして「3des」 「des」を設定します。 lifetime-of-time 3600 続けて、IKE 利用時の IPsec セキュリティアソシエーションの有効時間として「3600」 (秒)を設定します。 pfs-group modp768 続けて、PFS グループとして「modp768」を設定します。 (4)SEIL A にセキュリティアソシエーションを設定する セキュリティアソシエーションプロポーザルの設定が完了したら、セキュリティアソシエーショ ンの設定を行います。セキュリティアソシエーションは SEIL B、SEIL C それぞれについて必要 です。 SEIL B に対するセキュリティアソシエーションの設定を行います。以下の設定を行ってくだ さい。 195 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 設定項目 パラメータ セキュリティアソシエーション名 sa03 IPsec のモード tunnel-interface IPsec インターフェイス名 ipsec0 セキュリティアソシエーションプロポーザル名 saprop01 AH disable ESP enable ■ 記述例 ¶ ³ # ipsec security-association add sa03 tunnel-interface ipsec0 ike saprop01 ah disable esp enable µ ´ ■ パラメータ解説 ipsec security-association add sa03 セキュリティアソシエーション名として「sa03」を設定します。 tunnel-interface ipsec0 続けて、IPsec に「tunnel-interface」モードを設定します。これは IPsec インターフェ イスを利用して、IPsec トンネルを構築することを意味します。さらに、利用する IPsec インターフェイスとして「ipsec0」を設定します。 ike saprop01 続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」 を設定します。 ah disable esp enable 続けて、AH の使用/不使用は「disable」を、ESP の使用/不使用は「enable」を設定し ます。 SEIL C に対するセキュリティアソシエーションの設定を行います。以下の設定を行ってくだ さい。 196 設定項目 パラメータ セキュリティアソシエーション名 sa04 IPsec のモード tunnel-interface IPsec インターフェイス名 ipsec1 セキュリティアソシエーションプロポーザル名 saprop01 AH disable ESP enable 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ■ 記述例 ¶ ³ # ipsec security-association add sa04 tunnel-interface ipsec1 ike saprop01 ah disable esp enable µ ´ ■ パラメータ解説 ipsec security-association add sa04 セキュリティアソシエーション名として「sa04」を設定します。 tunnel-interface ipsec1 続けて、IPsec に「tunnel-interface」モードを設定します。これは IPsec インターフェ イスを利用して、IPsec トンネルを構築することを意味します。さらに、利用する IPsec インターフェイスとして「ipsec1」を設定します。 ike saprop01 続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」 を設定します。 ah disable esp enable 続けて、AH の使用/不使用は「disable」を、ESP の使用/不使用は「enable」を設定し ます。 ※ SEIL B の設定を行う場合、設定は以下の通りです。 設定項目 パラメータ セキュリティアソシエーション名 sa03 IPsec のモード tunnel-interface IPsec インターフェイス名 ipsec0 セキュリティアソシエーションプロポーザル名 saprop01 AH disable ESP enable 設定項目 パラメータ セキュリティアソシエーション名 sa05 IPsec のモード tunnel-interface IPsec インターフェイス名 ipsec1 セキュリティアソシエーションプロポーザル名 saprop01 AH disable ESP enable 197 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ※ SEIL C の設定を行う場合、設定は以下の通りです。 設定項目 パラメータ セキュリティアソシエーション名 sa04 IPsec のモード tunnel-interface IPsec インターフェイス名 ipsec0 セキュリティアソシエーションプロポーザル名 saprop01 AH disable ESP enable 設定項目 パラメータ セキュリティアソシエーション名 sa05 IPsec のモード tunnel-interface IPsec インターフェイス名 ipsec1 セキュリティアソシエーションプロポーザル名 saprop01 AH disable ESP enable (5)SEIL A にルーティングの設定をする セキュリティアソシエーションの設定が完了したら、続いてルーティングの設定をします。ここ では、RIP による動的ルーティングを行います。 RIP による動的ルーティングを有効にします。以下の設定を行ってください。 設定項目 パラメータ ルーティングプロトコル rip 有効/無効 enable ■ 記述例 ¶ ³ # route dynamic rip enable µ ´ ■ パラメータ解説 route dynamic rip enable RIP による動的ルーティングを有効にします。 RIP による動的ルーティングの対象に ipsec0 インターフェイスを加えます。以下の設定を行っ てください。 198 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 設定項目 パラメータ ルーティングプロトコル rip 対象とするインターフェイス名 ipsec0 有効/無効 enable ■ 記述例 ¶ ³ # route dynamic rip interface ipsec0 enable µ ´ ■ パラメータ解説 route dynamic rip RIP による動的ルーティングの設定を行います。 interface ipsec0 enable ipsec0 インターフェイスを動的ルーティングの対象に加えます。 RIP による動的ルーティングの対象に ipsec1 インターフェイスを加えます。以下の設定を行っ てください。 設定項目 パラメータ ルーティングプロトコル rip 対象とするインターフェイス名 ipsec1 有効/無効 enable ■ 記述例 ¶ ³ # route dynamic rip interface ipsec1 enable µ ´ ■ パラメータ解説 route dynamic rip RIP による動的ルーティングの設定を行います。 interface ipsec1 enable ipsec1 インターフェイスを動的ルーティングの対象に加えます。 (6)SEIL A の設定を確認する 以上の設定が終了したら、show status コマンドにより IPsec および IKE の動作情報を確認しま す。詳細はコマンドリファレンスをご覧ください。 ¶ ³ # show status ipsec µ ´ 199 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ¶ ³ # show status ike µ ´ (7)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で、SEIL A 側の IKE とセキュリティアソシエーションプロポーザル、セキュリティアソシ エーション、ルーティングの設定は完了です。変更した設定はバックアップをとっておくことを お勧めします。 200 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ■ 7.8.3 自アドレスが動的 IP アドレスの場合 本節では、動的 IP アドレスを使用した VPN の設定方法について、以下のような構成のネットワー クを前提にご説明します。本機はインターフェイスに付与されているアドレスを取得して、自動的に IPsec トンネルを構築する機能を持っています。これにより、動的 IP アドレスを使用している場合で あっても、アドレスの変更に追従して IPsec トンネルを構築しなおすことが可能です。 IPv4、IPv6 両方に対応していますが、ここでは IPv4 での設定方法についてご説明します(IPv4 と IPv6 の設定で異なるのは、アドレスが違う点のみです)。 なお、本節では SEIL A の設定についてご説明します。SEIL B の設定については、 「 ó [7.8.4 動的 ¤ ¡ IP アドレスからの接続を受け付ける場合 £P.210 ¢ ]」をご覧ください。 ἕἚὁὊἁA 192.168.1.0/24 ἩἻỶἫὊἚỴἛἾἋ 192.168.1.1/24 SEIL A ἂἿὊἢἽỴἛἾἋ PPPoEỂѣႎỆл࢘ IPsecἚὅἽ ỶὅἑὊἕἚ ἂἿὊἢἽỴἛἾἋ 10.0.2.2 SEIL B ἩἻỶἫὊἚỴἛἾἋ 192.168.2.1 ἕἚὁὊἁB 192.168.2.0/24 201 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 設計 (1) IKE パラメータを決定する IKE を使用した設定を行う場合、はじめに通信を行う両側で鍵を交換する条件や、鍵の認証方法 等を合わせる必要があります。 特に合わせるべき設定項目としては、プロポーザルの交換モード、対向ホストの識別子、プロ ポーザルにおいて対向ホストを認証するときの方式を指定する認証メソッド、認証アルゴリズム (ハッシュアルゴリズム)、暗号化アルゴリズム、そして鍵交換アルゴリズムで用いるパラメータ である DH Group があります。 交換モードは、動的 IP アドレスを利用する場合は aggressive モードを選択する必要があります。 これは main モードは IP アドレスで接続相手を識別するため、動的 IP アドレスを利用した場合 には適切に接続相手を識別できなくなるためです。 同様の理由から、対向ホストの識別子は FQDN または USER-FQDN を選択する必要があります。 認証メソッドには事前共有鍵がサポートされ、認証アルゴリズムには MD5 と SHA1 が、暗号化 アルゴリズムには DES、3DES、BLOWFISH、CAST128、AES がサポートされています。 なお DH Group においては、Group1(modp768) 、Group2(modp1024) 、Group5(modp1536) が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が 長くなるという特徴があります。 (2) セキュリティアソシエーションプロポーザルを決定する ここでは、セキュリティアソシエーションの有効期間を設定するライフタイムの長さ、認証、暗 号化の両アルゴリズムに関してはどのアルゴリズムをどのような優先順位で用いるのか、更に DH 鍵交換アルゴリズムで用いるパラメータである PFS GROUP にはどれを使用するかを決め ます。 なお PFS GROUP には、Group1(modp768) 、Group2(modp1024) 、Group5(modp1536)が 用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が長 くなるという特徴があります。 (3) セキュリティアソシエーションを決定する 動的 IP アドレスを利用して IPsec トンネルを構築するためには、どのインターフェイスのアド レスを利用して IPsec トンネルを構築するかを決める必要があります。 さらに、IKE を使用するために、使用するプロトコルと相手に提示するセキュリティアソシエー ションプロポーザルを決める必要があります。 ここでは、pppoe0 インターフェイスのアドレスを利用して IPsec トンネルを構築するものとし ます。モードは tunnel モードを使用し、暗号化プロトコルである ESP を使用するものとします。 セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているものでは なく新たに登録したものを使用するものとします。 (4) セキュリティポリシーを決定する 次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用す るかを決めます。これをセキュリティポリシーと呼びます。この例では、192.168.1.0/24 と 192.168.2.0/24 の間のすべてのトラフィックに対して、先に決めたセキュリティアソシエーショ 202 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ンを使用するものとします。 設定の流れ (1)SEIL A に IKE を設定する 決定した IKE パラメータに従って設定を行います。 (2)SEIL A にセキュリティアソシエーションプロポーザルを設定する 決定したセキュリティアソシエーションプロポーザルに従って設定を行います。 (3)SEIL A にセキュリティアソシエーションを設定する 決定したセキュリティアソシエーションに従って設定を行います。 (4)SEIL A にセキュリティポリシーを設定する 決定したセキュリティアポリシーに従って設定を行います。 (5)SEIL A の設定を確認する 設定が正しくなされているか確認します。 (6)SEIL A の設定を保存する すべての設定を保存します。 設定手順 (1)SEIL A に IKE を設定する 決定した IKE パラメータに従って設定を行います。 SEIL A に管理者アカウントでログインし、事前共有鍵を設定します。以下の設定を行ってくだ さい。 設定項目 パラメータ 識別子 seila.seil.jp 鍵文字列 opensesame 203 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ■ 記述例 ¶ ³ # ike preshared-key add seila.seil.jp opensesame µ ´ ■ パラメータ解説 ike preshared-key add seila.seil.jp opensesame 事前共有鍵の識別子として「seila.seil.jp」を、鍵文字列として「opensesame」を設定 します。 ※ 事前共有鍵は通信相手が用意したものを設定することになります。あらかじめ通信を行う相 手と相談し、鍵の設定を行ってください。 ※ 今回の設定では、SEIL A と SEIL B それぞれに、お互いが用意した鍵を設定します。 IKE プロポーザルの設定をします。以下の設定を行ってください。 設定項目 パラメータ IKE プロポーザル名 ikeprop01 認証メソッド preshared-key 暗号化アルゴリズム 3des 認証アルゴリズム sha1 Diffie-Hellman グループ modp1536 ライフタイム 3600 ■ 記述例 ¶ ³ # ike proposal add ikeprop01 authentication preshared-key encryption 3des hash sha1 dh-group modp1536 lifetime-of-time 3600 µ ´ ■ パラメータ解説 ike proposal add ikeprop01 IKE プロポーザル名として、「ikeprop01」を設定します。 authentication preshared-key 続けて、認証メソッドとして「preshared-key」を設定します。 encryption 3des hash sha1 dh-group modp1536 続けて、IKE で使用する暗号化アルゴリズムとして「3des」を、認証アルゴリズムと して「sha1」を設定、Diffie-Hellman グループとして「modp1536」を設定します。 204 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ lifetime-of-time 3600 続けて、IKE セキュリティアソシエーションの有効時間として「3600」 (秒)を設定し ます。 IKE Peer の設定をします。以下の設定を行ってください。 設定項目 パラメータ IKE Peer 名 seilb モード aggressive プロポーザルリスト ikeprop01 リモート IP アドレス 10.0.2.2 自己識別子 fqdn seila.seil.jp ■ 記述例 ¶ ³ # ike peer add seilb exchange-mode aggressive proposal ikeprop01 address 10.0.2.2 my-identifier fqdn seila.seil.jp µ ´ ■ パラメータ解説 ike peer add seilb IKE Peer 名として、「seilb」を設定します。 exchange-mode aggressive 続けて、フェーズ 1 で使用するモードとして「aggressive」を設定します。 proposal ikeprop01 続けて、プロポーザルリストとして「ikeprop01」を設定します。 address 10.0.2.2 続けて、IKE で使用するリモート IP アドレスとして「10.0.2.2」を設定します。 my-identifier fqdn seila.seil.jp 続けて、自己識別子の種別としてに「fqdn」を設定します。 さらに、自己識別子として「seila.seil.jp」を設定します。 ※ 交換モードを aggressive にした場合、動的 IP アドレスであっても IPsec トンネルの構築が 可能になりますが、aggressive モードではセキュリティは低下します。この設定を行う場 合、事前共有鍵の管理には特に気をつけてください。固定 IP アドレスを利用できる場合は、 交換モードは main モードを選択することを強くお勧めします。 (2)SEIL A にセキュリティアソシエーションプロポーザルを設定する IKE の設定が完了したら、セキュリティアソシエーションプロポーザルの設定を行います。以下 の設定を行ってください。 205 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 設定項目 パラメータ セキュリティアソシエーションプロポーザル名 saprop01 認証アルゴリズム hmac-sha1、hmac-md5 暗号化アルゴリズム 3des、des 有効時間 3600 PFS グループ modp768 ■ 記述例 ¶ ³ # ipsec security-association proposal add saprop01 authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des lifetime-of-time 3600 pfs-group modp768 µ ´ ■ パラメータ解説 ipsec security-association proposal add saprop01 セキュリティアソシエーションプロポーザル名として「saprop01」を設定します。 authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des 続けて、AH で使用する認証アルゴリズムとして「hmac-sha1」 「hmac-md5」を、ESP で使用する暗号化アルゴリズムとして「3des」「des」を設定します。 lifetime-of-time 3600 続けて、IKE 利用時の IPsec セキュリティアソシエーションの有効時間として「3600」 (秒)を設定します。 pfs-group modp768 続けて、PFS グループとして「modp768」を設定します。 (3)SEIL A にセキュリティアソシエーションを設定する セキュリティアソシエーションプロポーザルの設定が完了したら、セキュリティアソシエーショ ンの設定を行います。以下の設定を行ってください。 206 設定項目 パラメータ セキュリティアソシエーション名 sa03 IPsec のモード tunnel 始点インターフェイス pppoe0 終点 IP アドレス 10.0.2.2 セキュリティアソシエーションプロポーザル名 saprop01 AH disable ESP enable 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ■ 記述例 ¶ ³ # ipsec security-association add sa03 tunnel pppoe0 10.0.2.2 ike saprop01 ah disable esp enable µ ´ ■ パラメータ解説 ipsec security-association add sa03 セキュリティアソシエーション名として「sa03」を設定します。 tunnel pppoe0 10.0.2.2 続けて、IPsec に「tunnel」モードを設定します。さらに、IPsec で認証、暗号化を行 う始点 IP アドレスとして「pppoe0」インターフェイスに付与されているアドレス、終 点 IP アドレスとして「10.0.2.2」を設定します。 ike saprop01 続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」 を設定します。 ah disable esp enable 続けて、AH の使用/不使用は「disable」を、ESP の使用/不使用は「enable」を設定し ます。 (4)SEIL A にセキュリティポリシーを設定する セキュリティアソシエーションの設定が完了したら、続いてセキュリティポリシーの設定をしま す。以下の設定を行ってください。 設定項目 パラメータ セキュリティポリシー名 sp03 セキュリティアソシエーション名 sa03 送信元 IP アドレス/ネットマスク長 192.168.1.0/24 送信先 IP アドレス/ネットマスク長 192.168.2.0/24 プロトコル any 有効/無効 enable 207 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ■ 記述例 ¶ ³ # ipsec security-policy add sp03 security-association sa03 src 192.168.1.0/24 dst 192.168.2.0/24 protocol any enable µ ´ ■ パラメータ解説 ipsec security-policy add sp03 セキュリティポリシー名として「sp03」を設定します。 security-association sa03 続けて、対象となるセキュリティアソシエーション名として「sa03」を設定します。 src 192.168.1.0/24 dst 192.168.2.0/24 続けて、送信元と送信先の IP アドレスを設定します。 「src」は送信元 IP アドレスと ネットマスク長、「dst」は送信先 IP アドレスとネットマスク長を意味します。送信元 IP アドレス/ネットマスク長として「192.168.1.0/24」を、送信先 IP アドレス/ネット マスク長として「192.168.2.0/24」を設定します。 protocol any 続けて、プロトコルとして、すべてのパケットを対象とするため「any」を設定します。 enable 続けて、設定を有効にするため「enable」を設定します。 ※ この設定を行っても、pppoe0 インターフェイスにアドレスが付与されていない場合は、 IPsec トンネルは構築されません。 (5)SEIL A の設定を確認する 以上の設定が終了したら、show status コマンドにより IPsec および IKE の動作情報を確認しま す。セキュリティアソシエーションに pppoe0 のアドレスが使われていれば、正常に IPsec トン ネルが構築できています。そうでない場合には、pppoe0 が正しく接続されているか確認してく ださい。詳細はコマンドリファレンスをご覧ください。 ¶ ³ # show status ipsec µ ¶ ´ ³ # show status ike µ ´ (6)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 208 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 以上で、SEIL A 側の IKE とセキュリティアソシエーションプロポーザル、セキュリティアソシ エーション、セキュリティポリシーの設定は完了です。変更した設定はバックアップをとってお くことをお勧めします。 209 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ■ 7.8.4 動的 IP アドレスからの接続を受け付ける場合 本節では、動的 IP アドレスを使用した VPN の設定方法について、以下のような構成のネットワーク を前提にご説明します。本機は動的 IP アドレスを持つノードからの IPsec トンネルの構築要求を受け 付ける機能を持っています。 IPv4、IPv6 両方に対応していますが、ここでは IPv4 での設定方法についてご説明します(IPv4 と IPv6 の設定で異なるのは、アドレスが違う点のみです)。なお、本節では SEIL B の設定についてご説 ¤ ¡ 明します。SEIL A の設定については、 「 ó [7.8.3 自アドレスが動的 IP アドレスの場合 £P.201 ¢ ]」を ご覧ください。 ἕἚὁὊἁA 192.168.1.0/24 ἩἻỶἫὊἚỴἛἾἋ 192.168.1.1/24 SEIL A ἂἿὊἢἽỴἛἾἋ PPPoEỂѣႎỆл࢘ IPsecἚὅἽ ỶὅἑὊἕἚ ἂἿὊἢἽỴἛἾἋ 10.0.2.2 SEIL B ἩἻỶἫὊἚỴἛἾἋ 192.168.2.1 ἕἚὁὊἁB 192.168.2.0/24 210 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 設計 (1) IKE パラメータを決定する IKE を使用した設定を行う場合、はじめに通信を行う両側で鍵を交換する条件や、鍵の認証方法 等を合わせる必要があります。 特に合わせるべき設定項目としては、プロポーザルの交換モード、対向ホストの識別子、プロ ポーザルにおいて対向ホストを認証するときの方式を指定する認証メソッド、認証アルゴリズム (ハッシュアルゴリズム)、暗号化アルゴリズム、そして鍵交換アルゴリズムで用いるパラメータ である DH Group があります。 交換モードは、動的 IP アドレスを利用する場合は aggressive モードを選択する必要があります。 これは main モードは IP アドレスで接続相手を識別するため、動的 IP アドレスを利用した場合 には適切に接続相手を識別できなくなるためです。 同様の理由から、対向ホストの識別子は FQDN または USER-FQDN を選択する必要があります。 認証メソッドには事前共有鍵がサポートされ、認証アルゴリズムには MD5 と SHA1 が、暗号化 アルゴリズムには DES、3DES、BLOWFISH、CAST128、AES がサポートされています。 なお DH Group においては、Group1(modp768) 、Group2(modp1024) 、Group5(modp1536) が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が 長くなるという特徴があります。 (2) セキュリティアソシエーションプロポーザルを決定する ここでは、セキュリティアソシエーションの有効期間を設定するライフタイムの長さ、認証、暗 号化の両アルゴリズムに関してはどのアルゴリズムをどのような優先順位で用いるのか、更に DH 鍵交換アルゴリズムで用いるパラメータである PFS GROUP にはどれを使用するかを決め ます。 なお PFS GROUP には、Group1(modp768) 、Group2(modp1024) 、Group5(modp1536)が 用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が長 くなるという特徴があります。 (3) セキュリティアソシエーションを決定する 動的 IP アドレスをもつ通信相手との間に IPsec トンネルを構築するためには、IPsec トンネル の相手側のアドレスをあらかじめ知ることはできません。そのため、相手からの要求に応じてア ドレスを決定する必要があります。 さらに、IKE を使用するために、使用するプロトコルと相手に提示するセキュリティアソシエー ションプロポーザルを決める必要があります。 モードは tunnel モードを使用し、暗号化プロトコルである ESP を使用するものとします。 セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているものでは なく新たに登録したものを使用するものとします。 (4) セキュリティポリシーを決定する 次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用するかを 決めます。これをセキュリティポリシーと呼びます。 この例では、192.168.1.0/24 と 192.168.2.0/24 の間のすべてのトラフィックに対して、先に決 211 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ めたセキュリティアソシエーションを使用するものとします。 設定の流れ (1)SEIL B に IKE を設定する 決定した IKE パラメータに従って設定を行います。 (2)SEIL B にセキュリティアソシエーションプロポーザルを設定する 決定したセキュリティアソシエーションプロポーザルに従って設定を行います。 (3)SEIL B にセキュリティアソシエーションを設定する 決定したセキュリティアソシエーションに従って設定を行います。 (4)SEIL B にセキュリティポリシーを設定する 決定したセキュリティアポリシーに従って設定を行います。 (5)SEIL B の設定を確認する 設定が正しくなされているか確認します。 (6)SEIL B の設定を保存する すべての設定を保存します。 設定手順 (1)SEIL A に IKE を設定する 決定した IKE パラメータに従って設定を行います。 SEIL A に管理者アカウントでログインし、事前共有鍵を設定します。以下の設定を行ってくだ さい。 212 設定項目 パラメータ 識別子 seila.seil.jp 鍵文字列 opensesame 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ ■ 記述例 ¶ ³ # ike preshared-key add seila.seil.jp opensesame µ ´ ■ パラメータ解説 ike preshared-key add seila.seil.jp opensesame 事前共有鍵の識別子として「seila.seil.jp」を、鍵文字列として「opensesame」を設定 します。 ※ 事前共有鍵は通信相手が用意したものを設定することになります。あらかじめ通信を行う相 手と相談し、鍵の設定を行ってください。 ※ 今回の設定では、SEIL A と SEIL B それぞれに、お互いが用意した鍵を設定します。 IKE プロポーザルの設定をします。以下の設定を行ってください。 設定項目 パラメータ IKE プロポーザル名 ikeprop01 認証メソッド preshared-key 暗号化アルゴリズム 3des 認証アルゴリズム sha1 Diffie-Hellman グループ modp1536 ライフタイム 3600 ■ 記述例 ¶ # ike proposal add ikeprop01 authentication preshared-key encryption hash sha1 dh-group modp1536 lifetime-of-time 3600 ³ 3des µ ´ ■ パラメータ解説 ike proposal add ikeprop01 IKE プロポーザル名として、「ikeprop01」を設定します。 authentication preshared-key 続けて、認証メソッドとして「preshared-key」を設定します。 encryption 3des hash sha1 dh-group modp1536 続けて、IKE で使用する暗号化アルゴリズムとして「3des」を、認証アルゴリズムと して「sha1」を設定、Diffie-Hellman グループとして「modp1536」を設定します。 213 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ lifetime-of-time 3600 続けて、IKE セキュリティアソシエーションの有効時間として「3600」 (秒)を設定し ます。 IKE Peer の設定をします。以下の設定を行ってください。 設定項目 パラメータ IKE Peer 名 seila モード aggressive プロポーザルリスト ikeprop01 リモート IP アドレス dynamic 相手識別子 fqdn seila.seil.jp ■ 記述例 ¶ ³ # ike peer add seila exchange-mode aggressive proposal ikeprop01 address dynamic peer-identifier fqdn seila.seil.jp µ ´ ■ パラメータ解説 ike peer add seila IKE Peer 名として、「seila」を設定します。 exchange-mode aggressive 続けて、フェーズ 1 で使用するモードとして「aggressive」を設定します。 proposal ikeprop01 続けて、プロポーザルリストとして「ikeprop01」を設定します。 address dynamic 続けて、IKE で使用するリモート IP アドレスが動的 IP アドレスであることを意味す る「dynamic」を設定します。 peer-identifier fqdn seila.seil.jp 続けて、相手識別子の種別としてに「fqdn」を設定します。 さらに、相手識別子として「seila.seil.jp」を設定します。 ※ 交換モードを aggressive にした場合、動的 IP アドレスであっても IPsec トンネルの構築が 可能になりますが、aggressive モードではセキュリティは低下します。この設定を行う場 合、事前共有鍵の管理には特に気をつけてください。固定 IP アドレスを利用できる場合は、 交換モードは main モードを選択することを強くお勧めします。 (2)SEIL B にセキュリティアソシエーションプロポーザルを設定する 214 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ IKE の設定が完了したら、セキュリティアソシエーションプロポーザルの設定を行います。以下 の設定を行ってください。 設定項目 パラメータ セキュリティアソシエーションプロポーザル名 saprop01 認証アルゴリズム hmac-sha1、hmac-md5 暗号化アルゴリズム 3des、des 有効時間 3600 PFS グループ modp768 ■ 記述例 ¶ ³ # ipsec security-association proposal add saprop01 authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des lifetime-of-time 3600 pfs-group modp768 µ ´ ■ パラメータ解説 ipsec security-association proposal add saprop01 セキュリティアソシエーションプロポーザル名として「saprop01」を設定します。 authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des 続けて、AH で使用する認証アルゴリズムとして「hmac-sha1」 「hmac-md5」を、ESP で使用する暗号化アルゴリズムとして「3des」 「des」を設定します。 lifetime-of-time 3600 続けて、IKE 利用時の IPsec セキュリティアソシエーションの有効時間として「3600」 (秒)を設定します。 pfs-group modp768 続けて、PFS グループとして「modp768」を設定します。 (3)SEIL B にセキュリティアソシエーションを設定する セキュリティアソシエーションプロポーザルの設定が完了したら、セキュリティアソシエーショ ンの設定を行います。以下の設定を行ってください。 215 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 設定項目 パラメータ セキュリティアソシエーション名 sa03 IPsec のモード tunnel トンネルの始点/終点アドレス dynamic セキュリティアソシエーションプロポーザル名 saprop01 AH disable ESP enable ■ 記述例 ¶ ³ # ipsec security-association add sa03 tunnel dynamic ike saprop01 ah disableesp enable µ ´ ■ パラメータ解説 ipsec security-association add sa03 セキュリティアソシエーション名として「sa03」を設定します。 tunnel dynamic 続けて、IPsec に「tunnel」モードを設定します。さらに、IPsec トンネルのアドレス 情報が対向相手からの要求に応じて決定されることを意味する「dynamic」を設定し ます。 ike saprop01 続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」 を設定します。 ah disable esp enable 続けて、AH の使用/不使用は「disable」を、ESP の使用/不使用は「enable」を設定し ます。 ※「tunnel dynamic」に設定した場合、IPsec トンネルの端点の IP アドレスは、以下の条件を 満たせば正当なものとして受け入れられます。 1) リモート側のアドレスが IKE Phase1 で利用された IP アドレスであること 2) ローカル側のアドレスが SEIL B のインターフェイスのどれかに割り振られていること 上記の条件を満たせば運用上支障のある IP アドレスであっても受け入れられますので、対 向機器の設定には十分注意してください。 (4)SEIL B にセキュリティポリシーを設定する セキュリティアソシエーションの設定が完了したら、続いてセキュリティポリシーの設定をしま す。以下の設定を行ってください。 216 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ 設定項目 パラメータ セキュリティポリシー名 sp03 セキュリティアソシエーション名 sa03 送信元 IP アドレス/ネットマスク長 192.168.1.0/24 送信先 IP アドレス/ネットマスク長 192.168.2.0/24 プロトコル any 有効/無効 enable ■ 記述例 ¶ ³ # ipsec security-policy add sp03 security-association sa03 src 192.168.1.0/24 dst 192.168.2.0/24 protocol any enable µ ´ ■ パラメータ解説 ipsec security-policy add sp03 セキュリティポリシー名として「sp03」を設定します。 security-association sa03 続けて、対象となるセキュリティアソシエーション名として「sa03」を設定します。 src 192.168.1.0/24 dst 192.168.2.0/24 続けて、送信元と送信先の IP アドレスを設定します。 「src」は送信元 IP アドレスと ネットマスク長、「dst」は送信先 IP アドレスとネットマスク長を意味します。送信元 IP アドレス/ネットマスク長として「192.168.1.0/24」を、送信先 IP アドレス/ネット マスク長として「192.168.2.0/24」を設定します。 protocol any 続けて、プロトコルとして、すべてのパケットを対象とするため「any」を設定します。 enable 続けて、設定を有効にするため「enable」を設定します。 ※ この設定を行っても、SEIL B が自分から IPsec トンネルを構築することはありません。 SEIL A からの接続要求を受け付けた場合のみ、IPsec トンネルを構築します。 (5)SEIL B の設定を確認する 以上の設定が終了したら、show status コマンドにより IPsec および IKE の動作情報を確認しま す。詳細はコマンドリファレンスをご覧ください。 (6)設定を保存する 217 第 7 章 ネットワークでの利用例 7.8. VPN を構築する ∼IPsec の設定∼ すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で、SEIL B 側の IKE とセキュリティアソシエーションプロポーザル、セキュリティアソシ エーション、セキュリティポリシーの設定は完了です。変更した設定はバックアップをとってお くことをお勧めします。 218 第 7 章 ネットワークでの利用例 7.9. L2VPN を構築する ∼L2TPv3 の設定∼ 7.9 L2VPN を構築する ∼L2TPv3 の設定∼ 遠隔地の事業所間のネットワークを構築する際に、IPsec のようなレイヤ 3(IP) ではなく、レ イヤ 2(Ethernet) を直接接続したい場合があります。CS-SEIL-510/C は、L2TPv3 機能を利用した L2VPN(Layer 2 Virtual Private Network) の構築をサポートしています。 ■ 7.9.1 L2TPv3 を利用した L2 トンネルの設定 本節では、L2TPv3 を使用した VPN の設定方法について、以下のような構成のネットワークを前提に ご説明します。L2TPv3 機能は、IPv4 のみに対応しています。なお、本節では SEIL A の設定について ご説明します。SEIL B の設定については、SEIL A の設定内容と異なる設定項目について注記してあり ます。注記の設定内容に従って設定を行ってください。注記のない設定項目は SEIL A の設定内容と異 なる点はありませんので、SEIL A と同様に設定を行ってください。 SEIL A ἂἿὊἢἽỴἛἾἋ 10.0.1.1 ӷɟἍἂἳὅἚ L2TPἚὅἽ ỶὅἑὊἕἚ ἂἿὊἢἽỴἛἾἋ 10.0.2.2 SEIL B 219 第 7 章 ネットワークでの利用例 7.9. L2VPN を構築する ∼L2TPv3 の設定∼ ※ 本節では説明のため、 「10.0.0.0∼10.255.255.255」までのアドレスをグローバルアドレスとして 表現しています。 設計 (1) L2TP パラメータを決定する L2TPv3 を使用する設定を行う場合、通信を行う両側で L2TP トンネルを構築するための設定項 目を決定する必要があります。 L2TP トンネル名 対向機器の L2TP トンネルを識別する任意の文字列です。 hostname L2TP トンネルのエンドポイントを識別するための任意の文字列です。自身を表す local hostname と、対向機器を表す remote hostname あります。自身に設定した local hostname と、対向機器で設定された remote hostname の値が一致する必要があります。 router-id IP アドレス形式で表される ID です。自身を表す local router-id と、対向機器を表す remote route-id があります。自身に設定した local router-id と、対向機器で設定された remote router-id の値が一致する必要があります。 認証パスワード L2TP トンネル接続の際に認証を用いるためのパスワード文字列です。対向機器同士で同一 の値を用いる必要があります。 ※ L2TPv3 による通信は、暗号化されないことに注意してください。password の設定は あくまでトンネル接続の認証を行うための手段です。通信を暗号化したい場合、IPsec 等のセキュリティプロトコルと組み合わせた運用が必要です。 cookie データをカプセル化する際に Cookie を使用して識別を行うかどうかを指定します。L2TP セッション単位での成りすまし等を防ぐことが可能です。対向機器で同一の設定にする必要 があります。 メッセージ再送回数 トンネル制御メッセージの再送回数を指定します。 Hello メッセージ送信間隔 トンネルの死活監視に用いる Hello パケットの送信間隔を秒単位で指定します。 (2) 使用する L2TP インターフェイスを決定する L2TP セッションの確立に使用する L2TP インターフェイス名を決定します。ここでは、SEIL A、 SEIL B ともに l2tp0 インターフェイスを使用します。 (3) L2TP インターフェイスのパラメータを決定する 220 第 7 章 ネットワークでの利用例 7.9. L2VPN を構築する ∼L2TPv3 の設定∼ ここでは、L2TP インターフェイスに L2TP トンネルの始点・終点アドレスを設定し、トンネル パラメータとの関連付けを行います。また、以下の設定項目を決定します。 始点・終点アドレス L2TP トンネルの始点・終点アドレスです。 L2TP トンネル名 設定した L2TP トンネルの識別子を指定します。 remote-end-id L2TP トンネル確立後に生成される L2TP セッションの識別を行うための文字列です。対向 機器と同一の値を設定する必要があります。 (4) ブリッジグループのパラメータを決定する ここでは、確立した L2TP セッションと物理インターフェイスとを結びつけるためのブリッジグ ループの設定を行います。この例では、l2tp0 インターフェイスと lan0 インターフェイスとのブ リッジ設定を行います。これにより、対向機器の lan0 インターフェイス同士が同一のセグメン トとして見えるようになります。 設定の流れ (1)SEIL A に L2TP トンネルを設定する 決定した L2TP パラメータに従って設定を行います。 (2)SEIL A に L2TP インターフェイスを設定する 決定した L2TP インターフェイスのパラメータに従って設定を行います。 (3)SEIL A の設定を確認する 設定が正しくなされているか確認します。 (4)SEIL A の設定を保存する すべての設定を保存します。 設定手順 (1)SEIL A に L2TP トンネルを設定する 決定した L2TP パラメータに従って設定を行います。 SEIL A に管理者アカウントでログインし、local hostname を設定します。以下の設定を行って ください。 設定項目 パラメータ local hostname seil-a 221 第 7 章 ネットワークでの利用例 7.9. L2VPN を構築する ∼L2TPv3 の設定∼ ■ 記述例 ¶ ³ # l2tp hostname seil-a µ ´ ■ パラメータ解説 l2tp hostname seil-a local hostname として 「seil-a」を設定します。 local router-id を設定します。以下の設定を行ってください。 設定項目 パラメータ local router-id 10.0.1.1 ■ 記述例 ¶ ³ # l2tp router-id 10.0.1.1 µ ´ ■ パラメータ解説 l2tp router-id 10.0.1.1 local router-id として「10.0.1.1」を設定します。 L2TP トンネルの設定を行います。 設定項目 パラメータ L2TP トンネル名 SEIL-B remote hostname seil-b remote router-id 10.0.2.2 認証パスワード opensesame cookie off メッセージ再送回数 10 Hello メッセージ送信間隔 30 ■ 記述例 ¶ ³ # l2tp add SEIL-B hostname seil-b router-id 10.0.2.2 password opensesame cookie off retry 10 hello-interval 30 µ ´ ■ パラメータ解説 l2tp add SEIL-B L2TP トンネル名として「SEIL-B」を設定します。 222 第 7 章 ネットワークでの利用例 7.9. L2VPN を構築する ∼L2TPv3 の設定∼ hostname seil-b remote hostname として「seil-b」を設定します。 router-id 10.0.2.2 remote router-id として「10.0.2.2」を設定します。 password opensesame 認証パスワードとして「opensesame」を設定します。 cookie off Cookie を使用しません。 retry 10 メッセージ再送回数を 10 回に設定します。 hello-interval 30 Hello メッセージの送信間隔を 30 秒に設定します。 ※ SEIL B の設定を行う場合、設定は以下の通りです。 設定項目 パラメータ local hostname seil-b 設定項目 パラメータ local router-id 10.0.2.2 設定項目 パラメータ L2TP トンネル名 SEIL-A remote hostname seil-a 認証パスワード opensesame cookie off メッセージ再送回数 10 Hello メッセージ送信間隔 30 (2)SEIL A に L2TP インターフェイスを設定する L2TP インターフェイスのアドレス設定を行います。 設定項目 パラメータ 始点アドレス 10.0.1.1 終点アドレス 10.0.2.2 223 第 7 章 ネットワークでの利用例 7.9. L2VPN を構築する ∼L2TPv3 の設定∼ ■ 記述例 ¶ ³ # interface l2tp0 tunnel 10.0.1.1 10.0.2.2 µ ´ ■ パラメータ解説 interface l2tp0 tunnel 10.0.1.1 10.0.2.2 l2tp0 インターフェイスを利用して、アドレス「10.0.1.1」とアドレス「10.0.2.2」の間 で L2TP セッションを確立します。 L2TP インターフェイスのパラメータ設定を行います。 設定項目 パラメータ L2TP トンネル名 SEIL-B remote-end-id L2TP0 ■ 記述例 ¶ ³ # interface l2tp0 l2tp SEIL-B remote-end-id L2TP0 µ ´ ■ パラメータ解説 interface l2tp0 tunnel SEIL-B l2tp コマンドを用いて作成した L2TP トンネルの識別子として「SEIL-B」を設定し ます。 remote-end-id L2TP0 remote-end-id として「L2TP0」を設定します。 ※ SEIL B の設定を行う場合、設定は以下の通りです。 設定項目 パラメータ 始点アドレス 10.0.2.2 終点アドレス 10.0.1.1 設定項目 パラメータ L2TP トンネル名 SEIL-A remote-end-id L2TP0 (3)SEIL A にブリッジグループを設定する 224 第 7 章 ネットワークでの利用例 7.9. L2VPN を構築する ∼L2TPv3 の設定∼ 決定したブリッジグループのパラメータに従って設定を行います。 まず、ブリッジグループの作成を行います。 設定項目 パラメータ ブリッジグループ名 BDG1 STP の有効/無効 off ■ 記述例 ¶ ³ # bridge group add BDG1 stp off µ ´ ■ パラメータ解説 bridge group add BDG1 ブリッジグループに「BDG1」という名前を設定します。 stp off STP を使用しないよう設定します。 続けて、ブリッジグループに対してインターフェイスの紐付けを行います。 設定項目 パラメータ 紐付けるインターフェイス名 l2tp0, lan0 STP の有効/無効 off ■ 記述例 ¶ ³ # bridge interface l2tp0 group BDG1 stp off # bridge interface lan0 group BDG1 stp off µ ´ ■ パラメータ解説 bridge interface l2tp0 group BDG1 stp off l2tp0 インターフェイスを BDG1 ブリッジグループに紐付け、STP を使用しないよう に設定します。 bridge interface lan0 group BDG1 stp off lan0 インターフェイスを BDG1 ブリッジグループに紐付け、STP を使用しないよう に設定します。 ※ SEIL B の設定を行う場合、設定は以下の通りです。 設定項目 パラメータ ブリッジグループ名 BDG1 STP の有効/無効 off 225 第 7 章 ネットワークでの利用例 7.9. L2VPN を構築する ∼L2TPv3 の設定∼ 設定項目 パラメータ 紐付けるインターフェイス名 l2tp0, lan0 STP の有効/無効 off (4)SEIL A の設定を確認する 以上の設定が終了したら、show status コマンドにより L2TP およびブリッジグループの動作情 報を確認します。詳細はコマンドリファレンスをご覧ください。 ¶ ³ # show status l2tp0 # show status interface l2tp # show status bridge µ ´ (5)SEIL A の設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容の保存をします。詳細は、 ¤ ¡ [6.3.1 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 ó 以上で L2TP の設定は完了です。変更した設定内容はバックアップをとっておくことをお勧めし ます。 226 第 7 章 ネットワークでの利用例 7.10. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼ 7.10 CS-SEIL-510/C を冗長化する ∼VRRP の設定∼ 本節では VRRP を用いて冗長化を実現する場合の設定例を説明します。冗長構成を取っていれば、片 方の CS-SEIL-510/C が故障してももう片方の CS-SEIL-510/C を利用して通信を行うことができます。 また、回線を監視する設定を行うことで、機器故障時だけではなく回線に障害が発生した時にも、自動 的にバックアップ回線を利用するような構成も可能です。 ■ 7.10.1 機器の故障時に自動的にバックアップ回線に切り替える 本節では VRRP を用いた冗長構成の設定方法について説明します。以下の例では、インターネッ トへの接続に SEIL-A と SEIL-B という 2 台の SEIL を用いることにします。それぞれ、SEIL-A には 192.168.0.2、SEIL-B には 192.168.0.3 というプライベートアドレスを割り当て、VRRP 仮想アドレス は 192.168.0.1 とします。クライアント PC のデフォルトゲートウェイには VRRP 仮想アドレスであ る 192.168.0.1 を設定してください。 227 第 7 章 ネットワークでの利用例 7.10. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼ ỶὅἑὊἕἚ SEIL B(ἢἕἁỴἕἩ) ἂἿὊἢἽỴἛἾἋử PPPoEỂӕࢽ SEIL A(ἳỶὅ) ἂἿὊἢἽỴἛἾἋử PPPoEỂӕࢽ SEIL B(ἢἕἁỴἕἩ) ἩἻỶἫὊἚỴἛἾἋ 192.168.0.3 SEIL A(ἳỶὅ) ἩἻỶἫὊἚỴἛἾἋ 192.168.0.2 VRRP ˎेIPỴἛἾἋ 192.168.0.1 ἅὅἦἷὊἑA 設定の流れ (1)メイン機器の VRRP を設定する メイン機器に冗長構成を設定します。 (2)メイン機器の設定を保存する すべての設定を保存します。 (3)バックアップ機器の VRRP を設定する バックアップ機器に冗長構成を設定します。 (4)バックアップ機器の設定を保存する すべての設定を保存します。 228 ἅὅἦἷὊἑB 第 7 章 ネットワークでの利用例 7.10. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼ 設定手順 (1)メイン機器の VRRP を設定する SEIL-A に管理者アカウントでログインし、VRRP の仮想ルータ ID、仮想アドレス、優先度の設 定を行います。以下の設定を行ってください。 設定項目 パラメータ 仮想ルータ ID 1 仮想アドレス 192.168.0.1/24 優先度 200 インターフェイス lan0 ■ 記述例 ¶ ³ # vrrp lan0 vrid 1 address 192.168.0.1/24 priority 200 µ ´ ■ パラメータ解説 vrrp lan VRRP を動作させるインターフェイスとして「lan0」を設定します。 vrid 1 仮想ルータ ID(Virtual Router ID) として「1」を設定します。 address 192.168.0.1/24 仮想 IP アドレスとして「192.168.0.1」を、ネットマスクとして lan0 のネットマスク である「24」を設定します。 priority 200 優先度 (priority) として「200」を設定します。メイン機器の優先度はバックアップ機 器の優先度より大きくします。 (2)メイン機器の設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 (3)バックアップ機器の VRRP を設定する SEIL-B に管理者アカウントでログインし、VRRP の仮想ルータ ID、仮想アドレス、優先度の設 定を行います。以下の設定を行ってください。 229 第 7 章 ネットワークでの利用例 7.10. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼ 設定項目 パラメータ 仮想ルータ ID 1 仮想アドレス 192.168.0.1/24 優先度 100 インターフェイス lan0 ■ 記述例 ¶ ³ # vrrp lan0 vrid 1 address 192.168.0.1/24 priority 100 µ ´ ■ パラメータ解説 vrrp lan VRRP を動作させるインターフェイスとして「lan0」を設定します。 vrid 1 仮想ルータ ID(Virtual Router ID) として「1」を設定します。メイン機器と同じ ID を 指定する必要があります。 address 192.168.0.1/24 仮想 IP アドレスとして「192.168.0.1」を、ネットマスクとして lan0 のネットマスク である「24」を設定します。メイン機器と同じ IP アドレス、ネットマスクを指定する 必要があります。 priority 100 優先度 (priority) として「100」を設定します。バックアップ機器の優先度はメイン機 器の優先度より小さくします。 (4)バックアップ機器の設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で、VRRP の設定は完了です。変更した設定はバックアップをとっておくことをお勧めし ます。 230 第 7 章 ネットワークでの利用例 7.10. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼ ■ 7.10.2 回線障害を検出して自動的にバックアップ回線に切り替 える 本節では回線障害を検出して VRRP の仮想ルータを切り替える場合の設定方法について説明します。 以下の例では、インターネットへの接続に SEIL-A と SEIL-B という 2 台の SEIL を用います。そして SEIL-A は SEIL-C とルーティングベース IPsec トンネルを構成し、SEIL-B は SEIL-D とルーティング ベース IPsec トンネルを構成するものとします。インターネット接続回線の障害を検出するために、 SEIL-A は SEIL-C のグローバルアドレスに対して Ping (ICMP Echo) を用いた監視を行います。 なお、今回バックアップ機器の SEIL-B は監視を行いません。なぜなら、(1)SEIL-A が利用可能な場 合は常に SEIL-A が利用されるため、SEIL-B 側回線を監視する必要がなく、(2)SEIL-A が利用できない 場合には SEIL-B 側回線に障害が発生したことを検出しても SEIL-A に切り替えることができないため です。 231 第 7 章 ネットワークでの利用例 7.10. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼ SEIL D ἂἿὊἢἽỴἛἾἋ 10.0.4.4 SEIL C ἂἿὊἢἽỴἛἾἋ 10.0.3.3 ỶὅἑὊἕἚ SEIL B(ἢἕἁỴἕἩ) ἂἿὊἢἽỴἛἾἋ 10.0.2.2 SEIL A(ἳỶὅ) ἂἿὊἢἽỴἛἾἋ 10.0.1.1 SEIL B(ἢἕἁỴἕἩ) ἩἻỶἫὊἚỴἛἾἋ 192.168.0.3 SEIL A(ἳỶὅ) ἩἻỶἫὊἚỴἛἾἋ 192.168.0.2 VRRP ˎेIPỴἛἾἋ 192.168.0.1 ἅὅἦἷὊἑA 設定の流れ (1)メイン機器の VRRP 監視グループを設定する メイン機器に監視を設定します。 (2)メイン機器の VRRP を設定する メイン機器に冗長構成を設定します。 (3)メイン機器の設定を保存する すべての設定を保存します。 (4)バックアップ機器の VRRP を設定する バックアップ機器に冗長構成を設定します。 (5)バックアップ機器の設定を保存する 232 ἅὅἦἷὊἑB 第 7 章 ネットワークでの利用例 7.10. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼ すべての設定を保存します。 設定手順 (1)メイン機器の VRRP 監視グループを設定する SEIL-A に管理者アカウントでログインし、VRRP の監視グループを設定します。以下の設定を 行ってください。 設定項目 パラメータ 監視グループ名 SEIL-C 監視先 IP アドレス 10.0.3.3 ■ 記述例 ¶ ³ # vrrp watch-group add SEIL-C keepalive 10.0.3.3 µ ´ ■ パラメータ解説 vrrp watch-group add SEIL-C 監視グループ名として「SEIL-C」を設定します。 keepalive 10.0.3.3 Ping (ICMP Echo) の送信先 IP アドレスとして「10.0.3.3」を設定します。 (2)メイン機器の VRRP を設定する SEIL-A に管理者アカウントでログインし、VRRP の仮想ルータ ID, 仮想アドレス、優先度の設定 を行います。以下の設定を行ってください。 設定項目 パラメータ 仮想ルータ ID 1 仮想アドレス 192.168.0.1/24 優先度 200 インターフェイス lan0 監視グループ SEIL-C 233 第 7 章 ネットワークでの利用例 7.10. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼ ■ 記述例 ¶ ³ # vrrp lan0 vrid 1 address 192.168.0.1/24 priority 200 watch SEIL-C µ ´ ■ パラメータ解説 vrrp lan0 VRRP を動作させるインターフェイスとして「lan0」を設定します。 vrid 1 仮想ルータ ID(Virtual Router ID) として「1」を設定します。 address 192.168.0.1/24 仮想 IP アドレスとして「192.168.0.1」を、ネットマスクとして lan0 のネットマスク である「24」を設定します。 priority 200 優先度 (priority) として「200」を設定します。 watch SEIL-C 監視グループとして「SEIL-C」を設定します。 (3)メイン機器の設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 (4)バックアップ機器の VRRP を設定する SEIL-B に管理者アカウントでログインし、VRRP の仮想ルータ ID, 仮想アドレス、優先度の設定 を行います。以下の設定を行ってください。 234 設定項目 パラメータ 仮想ルータ ID 1 仮想アドレス 192.168.0.1/24 優先度 100 インターフェイス lan0 第 7 章 ネットワークでの利用例 7.10. CS-SEIL-510/C を冗長化する ∼VRRP の設定∼ ■ 記述例 ¶ ³ # vrrp lan0 vrid 1 address 192.168.0.1/24 priority 100 µ ´ ■ パラメータ解説 vrrp lan0 VRRP を動作させるインターフェイスとして「lan0」を設定します。 vrid 1 仮想ルータ ID(Virtual Router ID) として「1」を設定します。メイン機器と同じ ID を 指定する必要があります。 address 192.168.0.1/24 仮想 IP アドレスとして「192.168.0.1」を、ネットマスクとして lan0 のネットマスク である「24」を設定します。メイン機器と同じ IP アドレス/ネットマスクを指定する 必要があります。 priority 100 優先度 (priority) として「100」を設定します。バックアップ機器の優先度はメイン機 器の優先度より小さくする必要があります。 (5)バックアップ機器の設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で、VRRP において回線障害を検出する場合の設定は完了です。変更した設定はバックアッ プをとっておくことをお勧めします。 235 第 7 章 ネットワークでの利用例 7.11. データの送信を制御する 7.11 データの送信を制御する インターネットでは、同一の経路を通過するトラフィック間でネットワークの帯域は共有されていま す。そのため、Web サーバへアクセスしている最中に FTP サーバからのデータ転送を行うと、その影 響で Web サーバからデータを送るための帯域が減少してしまい、Web ページがスムーズに表示されな くなるというような状況が起こる可能性があります。 CS-SEIL-510/C は CBQ(Class-Based Queueing) を用いた帯域制御機能を提供しています。CSSEIL-510/C の帯域制御機能を使用することで、特定のトラフィックに適切な帯域を割り当て、その帯 域までは他のトラフィックの影響を受けないようにするといった制御を行うことができます。 ■ 7.11.1 CBQ の設定 本節では ADSL によるインターネット接続を想定して、全体のトラフィックを Web サーバへのアク セス (http)、下りの TCP トラフィックに対する ACK(ack)、その他のトラフィック (other) の 3 つに分 け、それぞれに帯域を割り当てる場合の設定例をご説明します。IPv4、IPv6 両方に対応していますが、 ここでは IPv4 での設定方法についてご説明します。 ※ SEIL で帯域制御の設定が行えるのは LAN1 側への出力だけです (PPPoE による LAN1 側への出 力も含まれます) 。 設計 (1) 帯域を絞る LAN1 側に接続されているメディアコンバータ (ADSL モデムなど) の先が 10Mbps 未満の場合、 それ以上の帯域で送信を行うと帯域制御の正しい効果が得られません。そのためメディアコン バータ (ADSL モデムなど) の仕様に合わせて帯域を絞る必要があります。本節では、例として上 り 1Mbps の ADSL での設定をご説明します。 (2) 帯域の割り当てを設計する 帯域制御を行うトラフィックを分類します。分類したトラフィックをクラスと呼びます。この例 では、Web サーバへのアクセス、TCP の ACK、その他、というトラフィックをそれぞれ「http」 クラス、 「ack」クラス、「other」クラスの 3 つに分類します。クラスが決まったら、クラスごと に割り当てる帯域の量を決めます。割り当てる帯域の量は全帯域に対する割合 (%) で表します。 ※ CS-SEIL-510/C では全帯域を 10Mbps と 100Mbps の 2 つから選択できます (デフォルトは 10Mbps です)。LAN1 側の通信速度が全帯域の設定値と同じになっていることを確認してく ださい。 本節では、全体の帯域を「ADSL」クラス 10% に制限し、このクラスの中で更に 236 第 7 章 ネットワークでの利用例 7.11. データの送信を制御する 「http」クラス 3% 「ack」クラス 3% 「other」クラス 4% と割り当てることにします。 設定の流れ (1)クラスを設定する 設計した帯域割り当てに従ってクラスの設定を行います。 (2)各クラスにフィルタを設定する 設定したクラスに目的のトラフィックが分類されるようにフィルタの設定を行います。 (3)帯域制御を有効にする 帯域制御機能を有効化します。 (4)設定を保存する すべての設定が終了したら、設定を保存します。 設定手順 (1)クラスを設定する 決定した帯域の割り当て方に従ってクラスの設定を行います。はじめに「ADSL」クラスの設定 手順を説明します。次に「http」クラスの手順を説明しますので、 「ack」クラス、 「other」クラス も同様に設定してください。 SEIL に管理者アカウントでログインし、クラス情報の追加をします。以下の設定を行ってくだ さい。 設定項目 パラメータ クラス名 ADSL 親クラス名 default 帯域幅 10 borrow off ■ 記述例 ¶ ³ # cbq class add ADSL parent default pbandwidth 10 borrow off µ ´ ■ パラメータ解説 cbq class add ADSL parent default クラス名として「ADSL」を、親クラス名として「default」を設定します。 237 第 7 章 ネットワークでの利用例 7.11. データの送信を制御する pbandwidth 10 続けて、割り当てる帯域幅として、adsl クラスに割り当てる帯域幅は全帯域に対して 10% に設計したため「10」を設定します。 borrow off 続けて、borrow は、設定した値より多くの帯域を消費しないように「off」を設定し ます。 ※ default クラスは帯域幅が 100 「http」クラスの設定を行います。以下の設定を行ってください。 設定項目 パラメータ クラス名 http 親クラス名 ADSL 帯域幅 3 borrow on ■ 記述例 ¶ ³ # cbq class add http parent ADSL pbandwidth 3 borrow on µ ´ ■ パラメータ解説 cbq class add http parent ADSL 続けて、クラス名として「http」を、親クラス名として「ADSL」を設定します。 pbandwidth 3 続けて、割り当てる帯域幅として、http クラスに割り当てる帯域幅は全帯域の 3% に 設計したため「3」を設定します。 borrow on 続けて、borrow は、親クラスから帯域を借りることができるように「on」を設定し ます。 残りのクラスについても同様に、以下の設定を行ってください。 ※「ack」クラスの設定を行う場合、 「http」クラスの設定を行った場合と異なる点は、クラス名 を「ack」とする点です。割り当てる帯域は、 「http」クラスと同じ 3% に設計したので「3」 を指定します。 ※「other」クラスの設定を行う場合、「http」クラスの設定を行った場合と異なる点は、クラス 名を「other」とする点です。割り当てる帯域は、4% に設計したので「4」を指定します。 「ack」クラスに関する設定項目は以下の通りです。 238 第 7 章 ネットワークでの利用例 7.11. データの送信を制御する 設定項目 パラメータ クラス名 ack 親クラス名 ADSL 帯域幅 3 borrow on 「other」クラスに関する設定項目は以下の通りです。 設定項目 パラメータ クラス名 other 親クラス名 ADSL 帯域幅 4 borrow on (2)各クラスにフィルタを設定する クラスの設定が終了したら、すべてのトラフィックが目的のクラスに分類されるようフィルタを 設定します。 「http」クラスにフィルタを設定します。以下の設定を行ってください。 設定項目 パラメータ クラス分けフィルタ名 http filter クラス名 http パケットのカテゴリー ip プロトコル tcp 送信元ポート番号 80 有効/無効 enable ■ 記述例 ¶ ³ # cbq filter add http filter class http category ip protocol tcp srcport 80 enable µ ´ ■ パラメータ解説 cba filter add http filter クラス分けフィルタ名を設定します。ここでは例として、HTTP 用のフィルタである ことが分かるように「http filter」とします。 class http 続けて、関連づけるクラス名として「http」を設定します。 239 第 7 章 ネットワークでの利用例 7.11. データの送信を制御する category ip 続けて、フィルタが適用されるパケットのカテゴリーとして「ip」を設定します。 ※ IPv6 による通信をおこなう場合、カテゴリーとして「ipv6」を設定します。 protocol tcp srcport 80 続けて、HTTP のプロトコルとして「tcp」を、送信元ポート番号として「80」を設定 します。 enable 続けて、設定を有効にするため「enable」を設定します。 「ack」クラスについても同様に設定します。以下の設定を行ってください。 設定項目 パラメータ クラス分けフィルタ名 ack filter クラス名 ack パケットのカテゴリー ip プロトコル tcp-ack 有効/無効 enable ■ 記述例 ¶ ³ # cbq filter add ack filter class ack category ip protocol tcp-ack enable µ ´ ■ パラメータ解説 cbq filter add ack filter クラス分けフィルタ名を設定します。ここでは例として、ACK 用のフィルタであるこ とが分かるように「ack filter」とします。 catgory ip 続けて、関連づけるクラス名として「ack」を設定します。 category ip 続けて、フィルタが適用されるパケットのカテゴリーとして「ip」を設定します。 ※ IPv6 による通信をおこなう場合、カテゴリーとして「ipv6」を設定します。 protocol tcp-ack 続けて、ACK のみの TCP パケットを対象とするため、プロトコルとして「tcp-ack」 を設定します。 240 第 7 章 ネットワークでの利用例 7.11. データの送信を制御する enable 続けて、設定を有効にするため「enable」を設定します。 「other」クラスの設定は、「http」クラス、 「ack」クラスの設定とは多少異なります。 「other」ク ラスのフィルタには次の 3 つの異なるフィルタ種別が存在します。 • IPv4 による通信を行う場合 • IPv6 による通信を行う場合 • ブリッジ機能を使用する場合 これらのフィルタを追加してはじめて「other」クラスのクラス分けフィルタの定義が完了しま す。フィルタ種別が IPv4/IPv6 におけるプロトコルが「すべて」、あるいは Ether における MAC タイプが「すべて」のクラス分けフィルタは、各々のフィルタ種別におけるすべてのパケットの クラス分けを行うために使用します。 ※ 実際の設定においても、 「other」クラスに類するクラスを定義するためには、必ず IPv4、IPv6 および Ether のすべてのフィルタ種別について本事例のようなフィルタの記述をすることを お勧めします。 「other」クラスにおけるフィルタ種別ごとの設定例を以下に示します。 IPv4 による通信を行う場合、以下の設定を行ってください。 設定項目 パラメータ クラス分けフィルタ名 other filter01 クラス名 other パケットのカテゴリー ip プロトコル any 有効/無効 enable ■ 記述例 ¶ ³ # cbq filter add other filter01 class ack category ip protocol any enable µ ´ ■ パラメータ解説 cbq filter add other filter01 クラス分けフィルタ名を設定します。ここでは例として、HTTP と ACK 以外のトラ フィックであることが分かるように「other filter01」とします。 class other 続けて、関連づけるクラスとして「other」を設定します。 category ip 続けて、フィルタが適用されるパケットのカテゴリーとして「ip」を設定します。 241 第 7 章 ネットワークでの利用例 7.11. データの送信を制御する protocol any 続けて、プロトコルとして、http filter と ack filter の対象とならなかったすべてのパ ケットを対象とするため「any」を設定します。 enable 続けて、設定を有効にするため「enable」を設定します。 IPv6 による通信を行う場合、以下の設定を行ってください。 設定項目 パラメータ クラス分けフィルタ名 other filter02 クラス名 other パケットのカテゴリー ipv6 プロトコル any 有効/無効 enable ■ 記述例 ¶ ³ # cbq filter add other filter02 class ack category ipv6 protocol any enable µ ´ ■ パラメータ解説 cbq filter add other filter02 クラス分けフィルタ名を設定します。ここでは例として、HTTP と ACK 以外のトラ フィックであることが分かるように「other filter02」とします。 class other 続けて、関連づけるクラスとして「other」を設定します。 category ip 続けて、フィルタが適用されるパケットのカテゴリーとして「ipv6」を設定します。 protocol any 続けて、プロトコルとして、http filter と ack filter の対象とならなかったすべてのパ ケットを対象とするため「any」を設定します。 enable 続けて、設定を有効にするため「enable」を設定します。 242 第 7 章 ネットワークでの利用例 7.11. データの送信を制御する ブリッジ機能を使用する場合、以下の設定を行ってください。 設定項目 パラメータ クラス分けフィルタ名 other filter03 クラス名 other パケットのカテゴリー ether プロトコル any 有効/無効 enable ■ 記述例 ¶ ³ # cbq filter add other filter02 class ack category ether protocol any enable µ ´ ■ パラメータ解説 cbq filter add other filter03 クラス分けフィルタ名を設定します。ここでは例として、HTTP と ACK 以外のトラ フィックであることが分かるように「other filter03」とします。 class other 続けて、関連づけるクラスとして「other」を設定します。 category ether 続けて、フィルタが適用されるパケットのカテゴリーとして「ether」を設定します。 protocol any 続けて、プロトコルとして、http filter と ack filter の対象とならなかったすべてのパ ケットを対象とするため「any」を設定します。 enable 続けて、設定を有効にするため「enable」を設定します。 ※ クラス分けフィルタは、コンフィグの表示の上から順に評価が行われ、最初に一致するフィ ルタによってクラス分けが行われます。どのフィルタにも一致しないデータは default クラ スに分類されます。通常は本節の「other」クラスと同様の設定を行い、データが default ク ラスに分類されないようにご注意ください。 (3)帯域制御を有効にする 以下の設定を行ってください。 設定項目 パラメータ インターフェイス名 lan1 キューイング方式 cbq 243 第 7 章 資料・付録 ■ 記述例 ¶ ³ # interface lan1 queue cbq µ ´ ■ パラメータ解説 interface lan1 CBQ を使用するインターフェイスとして「lan1」を設定します。 queue cbq 続けて、帯域制御を有効にするため、キューイング方式として「cbq」を設定します。 (4)設定を保存する すべての設定が終了したら、save-to コマンドにより設定内容を保存します。詳細は、 ó [6.3.1 ¤ ¡ 設定内容の保存・読込 £P.64 ¢ ]をご覧ください。 以上で、帯域制御の設定は完了です。変更した設定内容はバックアップをとっておくことをお勧 めします。 244 第 8 章 資料・付録 8.1. 仕様について 第 8 章 資料・付録 CS-SEIL-510/C の仕様や、ネットワークを利用する際によく使われる専門用語( ó [8.2 ネット ¤ ¡ ワーク用語集 £P.255 ¢ ])などについて分かりやすくご説明します。 8.1 仕様について ■ 8.1.1 機能一覧 暗号処理 LAN ハードウェア CPU IXP422 266MHz メモリ RAM 64MB, Flash ROM 16MB インターフェイス 10BASE-T/100BASE-TX, Auto Negotiation, Auto MDI/MDI-X, 固定設定可能, IEEE802.3 準拠 <RJ-45> WAN VLAN 最大 8 エントリ, IEEE802.1Q 準拠 インターフェイス 10BASE-T/100BASE-TX, Auto Negotiation, Auto MDI/MDI-X, 固定設定可能, IEEE802.3 準拠 <RJ-45> 適応回線・適応接続サービス Ethernet-WAN, CATV, ADSL/SDSL, FTTH, その他ブロードバンドサービス シリアルポート コンソールポート <RJ-45> プロトコル IPv4, IPv6, PPPoE(最大 4 セッション,Numbered/Unnumbered) Bridge Pure Bridge IEEE802.1Q フレーム透過可能 Brouter IPv4,IPv6 on/off 可能 MAC Address フィルタ static(最大登録数 32)、リストベース *1 Static ARP ○ Proxy ARP ○ 245 第 8 章 資料・付録 8.1. 仕様について Routing ルーティングプロトコル static(最大登録数 IPv4, IPv6 各 512), MultiPath static, OSPF Equal-Cost MultiPath Policy Routing ○ (IPv4) マルチキャスト IPv4 Multicast(PIM-SM) RIP/RIP2, RIPng, OSPF IPv6 Multicast(PIM-SM) ルーティング性能 ルーティングテーブル 98 Mbps *2 最大経路数 IPv4, IPv6 各 4096 (静的経路含む) static IP Unnumbered ○ OSPF Unnumbered ○ discard 経路 ○ 経路自動切替 *3 ○ ○ VRRP VPN IPsec(with IKE) 暗号化アルゴリズム 最大 64 対向, トンネル/トランスポート DES*4 ,3DES*4 , Blowfish, CAST-128, AES(Rijndael)*4 認証アルゴリズム HMAC-MD5*4 ,HMAC-SHA1*4 , KEYED-MD5, KEYED-SHA1 片端固定 IPsec IP Tunnel ○ IPsec インターフェイス ○ VPN 性能 43Mbps *2 L2TPv3 ○ (最大 64 対向) IP トンネルプロトコル IPv4-IPv4,IPv4-IPv6,IPv6-IPv4,IPv6-IPv6 (最大 64 対向) ○ IP Tunnel Unnumbered IPv4,IPv6 デュアルスタック IPv4-IPv6 トランスレータ ○ TRT [IPv6-to-IPv4 transport relay translator] Firewall IP フィルタ 最大登録数 IPv4, IPv6 各 512 ステートフルパケットインスペクション ○ フィルタ項目 インターフェイス, 方向, プロトコル, 宛先/送信元アドレス, 宛先/送信元ポート NAT uRPF ○ Winny フィルタ ○ NAT/NAPT ○ Static NAT 最大登録数 256, 範囲指定可能 Static NAPT 最大登録数 256, ポート範囲指定可能 Reflection NAT ○ NAT 連動 Proxy ARP NAT テーブル ○ 最大 4096 セッション (Static NAT/Static NAPT 含む) 246 UPnP ○ SIP 対応 ○ (SIP transparent proxy) IPsec 透過 1 セッション透過可能 PPTP 透過 複数セッション透過可能 第 8 章 資料・付録 8.1. 仕様について QoS CBQ 制御方式 帯域制御/優先制御 クラス カテゴリ, プロトコル, アドレス, ポート,MAC タイプ, パケット長,VLAN ID,VLAN Priority,ToS フィールド DHCP DHCPv6 DHCP サーバ 最大 1021 クライアント (WINS 対応) DHCP クライアント ○ DHCP 中継 ○ Prefix Delegation ○ ルータ広告 ○ DNS 中継 ○ NTP NTP サーバ/NTP クライアント インターフェイス状態監視 IPv4,IPv6,on/off 可能 ICMP リダイレクトメッセージ発行抑止 IPv4,IPv6 自動設定/遠隔保守/遠隔監視 *5 ○ 設定/運用/ telnet 管理 Secure Shell telnet サーバ/telnet クライアント Secure Shell Protocol Ver.1 Secure Shell Protocol Ver2.(RSA/DSA) Web インターフェイス 簡易設定, 各種グラフ表示 *6 SNMP SNMPv1,SNMPv2c,SNMPv3,MIB II,IPv6 MIB syslog その他 ○ ログ情報一括採取,Terminal Server, 回線トレース, 死活監視 *7 認定/準拠 VCCI Class A 準拠 寸法 外形寸法 81mm(W) x 117mm(D) x 32mm(H) 重量 約 300g(AC アダプタ含まず) 使用電源 AC 100 V, 50/60 Hz 皮相電力 約 15VA(最大) 環境 *1 *2 *3 *4 *5 *6 *7 消費電力 約 7W(最大) 動作環境条件 0 ℃∼40 ℃, 10%∼85%(結露なきこと) 外部ホストから取得した MAC アドレスリストを元に、リストに一致した MAC アドレスからの通信を Pass 又は Block する機能。リストには約 20,000 の MAC アドレスが記載可能。 実測値に基づく。VPN 性能は ESP-Auth(3DES+HMAC-SHA1) 利用時の実測値(1408 バイトフレーム送信時)。 静的経路の転送先 (gateway) を ICMP Echo Request により監視。監視条件に該当すると、経路表から削除する機能。 専用 IC によるハードウェア処理。 SMF サービスへの申込が必要。 帯域使用率、帯域制御状態、システム負荷、CPU 使用率、メモリ使用率。 LAN 内にあるホストを ICMP Echo Request により監視。障害検出時には syslog へログを保存し、snmp trap を任意の ホストに送信。 247 第 8 章 資料・付録 8.1. 仕様について ■ 8.1.2 初期設定値(工場出荷状態)一覧 LAN0 側 IP アドレス/ネットマスク 192.168.0.1/24 ルーティング設定 pppoe0 へのデフォルトルート(IPv4 のみ) フィルタリング設定 未設定 NAT 設定 未設定 NAPT 設定 変換対象アドレス 192.168.0.0∼192.168.255.255 変換対象インターフェイス pppoe0 NAT タイマ値 900 秒 UPnP 機能 OFF DHCP サーバ機能 ON DHCP 対象インターフェイス LAN0 配布パラメータ リース先頭アドレス 192.168.0.2 リースアドレスの数 253 DNS サーバアドレス 192.168.0.1 有効時間 24 時間 DNS forwarder IPCP 取得アドレスに転送 DNS resolver 未設定 NTP サーバ機能 OFF IPsec 設定 未設定 IKE 次項 <IKE> 参照 帯域制御設定 未設定 DEBUG ログ取得 OFF LAN1 側トレース情報取得 OFF syslog 248 debug-level OFF remote 転送 OFF facility local1 SNMP 設定 未設定 Web/telnet パスワード admin,user 共に未設定 動的ルーティング 未設定 IPv4 マルチキャスト 未設定 IPv6 マルチキャスト 未設定 Bridge 未設定 ルータ広告 OFF トンネル 未設定 IPsec インターフェイス 未設定 VLAN 未設定 PPPoE 設定 pppoe0 を LAN1 上で使用 PPPoE エントリ 次項 <PPPoE> 参照 httpd enable telnetd enable sshd disable 第 8 章 資料・付録 8.1. 仕様について ■ IKE phase 1 設定 1 設定 2 暗号化アルゴリズム 3DES ハッシュアルゴリズム SHA1 認証メソッド Preshared key DH group MODP1536 life time 24 時間 暗号化アルゴリズム DES ハッシュアルゴリズム MD5 認証メソッド Preshared key DH group MODP768 life time 8 時間 ■ IKE phase 2 設定 1 PFS group MODP1536 暗号化アルゴリズム 3DES,DES 認証アルゴリズム HMAC-SHA1,HMAC-MD5 設定 2 life time 3 時間 PFS group MODP768 暗号化アルゴリズム DES,3DES 認証アルゴリズム HMAC-MD5,HMAC-SHA1 life time 30 分 ※ phase 1, phase 2 ともに、プロポーザルの設定が 2 つあります。 ■ PPPoE 設定 エントリー名 pppoe-sample キープアライブ 30 秒 IPCP の有効/無効 有効 IPCP アドレスオプション 有効 IPCP DNS オプション 有効 IPv6CP の有効/無効 有効 TCP MSS auto 認証 ID 未設定 認証パスワード 未設定 認証方式 CHAP 249 第 8 章 資料・付録 8.1. 仕様について ■ 8.1.3 ハードウェア仕様 ■ LAN0、LAN1 ポート仕様 12345678 12345678 LAN0 LAN1 MDI 250 MDI-X Contact Mark Signal Name Mark Signal Name 1 TX+ Transmit Signal (+) RX+ Receive Signal (+) 2 TX− Transmit Signal (−) RX− Receive Signal (−) 3 RX+ Receive Signal (+) TX+ Transmit Signal (+) 4 NC Unused NC Unused 5 NC Unused NC Unused 6 RX− Receive Signal (−) TX− Transmit Signal (−) 7 NC Unused NC Unused 8 NC Unused NC Unused 項目 仕様 伝送速度 10/100Mbps 準拠規格 IEEE 802.3 (10BASE-T), IEEE 802.3u (100BASE-TX) コネクタ RJ-45 (MDI/MDI-X 自動認識可能) 第 8 章 資料・付録 8.1. 仕様について ■ SERIAL0、SERIAL1 ポート仕様 項目 仕様 回線仕様 全二重、調歩同期方式 電気的仕様 V.28 準拠 I/F 仕様 RS-232C (DTE) コネクタ RJ-45 伝送速度 (bps) 4800, 9600, 14400, 19200, 28800, 38400, 57600, 115200 (工場出荷設定では 9600) データ長 8bit パリティ なし ストップビット 1 フロー制御 なし。リモートコンソール設定ポートのみ RS/CS フ ロー制御 ■ 7 セグメント LED 仕様 CS-SEIL-510/C 前面 7 セグメント LED の点灯状態の詳細です。 251 第 8 章 資料・付録 8.1. 仕様について b a h c g d f e 状態 a b c d e f g h 消灯 消灯 消灯 消灯 消灯 消灯 消灯 消灯 電源オフ - - - - - - - 点滅 firmware が動作中 点灯 点灯 点灯 点灯 点灯 点灯 点灯 - FLASH ROM の消去または 書込み中 - 点灯 点滅周期 3 - - - - - SDRAM チェックでエラー が起きた - 点灯 点滅周期 4 - - - - - 回復できない IPL のソフト エラー (exception) - 点灯 点滅周期 5 - - - - - ブート時にファームの展開 に失敗した - 点灯 点滅周期 6 - - - - - ファームウェア領域が空だ った - 点灯 - - - - - - SMF で情報取得中 - 点灯 - - 点灯 - - - iSUP からのデータ取得失 敗 - 点灯 - - - 点灯 - - uSUP からのデータ取得失 敗 - 点灯 - - 点灯 点灯 - - uSUP からのデータ取得失 敗 (uSUP キャッシュ使用) - - - - - - 点灯 - LAN1 がリンクアップして いる - - - 点灯 - - - - LAN0 がリンクアップして いる 表 8.1: LAN LED 仕様 252 第 8 章 資料・付録 8.1. 仕様について ■ 8.1.4 ネットマスク/ポート番号一覧 割当て IP アドレスとネットマスク値との対応一覧表です。プライベートアドレスの割当範囲の設定 などにご利用ください。 ■ ネットマスク対応一覧表 設定値 ネットマスク 設定値 ネットマスク /32 255.255.255.255 /16 255.255.0.0 /31 255.255.255.254 /15 255.254.0.0 /30 255.255.255.252 /14 255.252.0.0 /29 255.255.255.248 /13 255.248.0.0 /28 255.255.255.240 /12 255.240.0.0 /27 255.255.255.224 /11 255.224.0.0 /26 255.255.255.192 /10 255.192.0.0 /25 255.255.255.128 /9 255.128.0.0 /24 255.255.255.0 /8 255.0.0.0 /23 255.255.254.0 /7 254.0.0.0 /22 255.255.252.0 /6 252.0.0.0 /21 255.255.248.0 /5 248.0.0.0 /20 255.255.240.0 /4 240.0.0.0 /19 255.255.224.0 /3 224.0.0.0 /18 255.255.192.0 /2 192.0.0.0 /17 255.255.128.0 /1 128.0.0.0 253 第 8 章 資料・付録 8.1. 仕様について ■ 8.1.5 ポート番号一覧 通常利用される代表的なポート番号の一覧です。フィルタリング情報の設定などにご利用ください。 ■ ポート番号一覧表 ポート番号 プロトコル 名 前 説 明 20 tcp ftpdata ftp によるデータ転送 21 tcp ftp 一般的な FTP 22 tcp ssh 一般的な SecuerShell 23 tcp telnet 一般的な Telnet 25 tcp smtp メール送信 53 tcp・udp domain 名前解決 80 tcp http 一般的な HTTP 110 tcp pop3 メール受信 119 tcp nntp News の配信 137 udp netbios Windows 系 OS のデータ送受信 138 udp 139 tcp 445 tcp・udp Direct hosted SMB Windows 系 OS のデータ送受信 143 tcp imap4 IMAP4 によるメール受信 443 tcp https 暗号化された http 67 udp dhcps コンピュータ設定情報の提供(サーバ 側) 68 udp dhcpc コンピュータ設定情報の取得(クライ アント側) 254 123 udp ntp 時刻同期 161 udp snmp ネットワーク管理 162 udp snmp-trap ネットワーク管理(トラップ) 500 udp ike IKE 520 udp rip RIP 521 udp ripng RIPng 514 udp syslog SYSLOG 第 8 章 資料・付録 8.2. ネットワーク用語集 8.2 ネットワーク用語集 用 語 説 明 10BASE-T/ LAN の規格として幅広く利用されているイーサネットの仕様です。 100BASE-TX 10/100Mbps の伝送速度でデータ伝送が可能で、伝送方式にベースバ ンド方式を採用し、伝送媒体がツイストペアケーブルを用いています。 10BASE-T/100BASE-TX ポートがないコンピュータを接続する場合に は LAN ボード/カードが必要になります。 3DES Triple Data Encryption Standard(データ暗号標準)の略で、共通鍵暗号 方式で使用される暗号アルゴリズムのひとつです。 ACK ACKnowledgement の略で、データ送受信時の確認を示す信号です。 データ転送を開始しようとするデバイスは、データの受信先にデータ 転送開始の要求を送ります。この要求に対して、受信側から送付される 「送信許可」信号が ACK です。 ADSL Asymmetric Digital Subscriber Line の略で一般的な電話回線を利用して 高速デジタル通信を実現させる技術です。上りの伝送速度よりも下りの 伝送速度のほうが格段に早い非対称型の DSL 回線です。DSL というの は Digital Subscriber Line の略でデジタル加入者線のことです。様々な DSL 回線方式を総称して xDSL と呼びます。 AH Authentication Header の略で、セキュリティプロトコルの一種です。IP データグラムにハッシュ関数(一方向性関数)で処理した結果である メッセージダイジェスト値を付加することで、 IP データグラムの送信 者認証と、IP データグラムに対する改変を検出する機能を提供します。 BLOWFISH 共通鍵暗号方式に利用される対称暗号アルゴリズムです。 CAST128 Carlisle Adams の開発した暗号アルゴリズムの一種で、DES に似た暗号 アルゴリズムです。 CATV 接続 CATV(Cable Television)が使っているケーブルをインターネットに接 続するための回線として利用します。ケーブルモデムを利用して周波数 の異なるテレビ映像のアナログデータとコンピュータによるデジタル データを多重伝送します。 CBQ Class-Based Queueing の略で、トラフィックをデータのパターンによっ てクラスと呼ばれる単位に分類し、クラスごとにパケットをキューイン グしながらスループットを監視して、各クラスが占める帯域を調整する ための仕組みです。CBQ には未使用の帯域を他のクラスに振り分ける ことができるという特長があり、クラスを階層化することによって柔軟 な帯域制御が可能です。 255 第 8 章 資料・付録 8.2. ネットワーク用語集 CSMA/CD Carrier Sense Multiple Access with Collision Detection の略で LAN のア クセス方式のひとつです。キャリア検知、多重アクセス、衝突検出の 3 つの方式から成り立っています。データ送信前にネットワーク内にデー タが流れているかどうかを検知し、データが流れている場合はネット ワークが空くのを待ってからデータ送信をはじめます。もしデータの衝 突が発生しデータが壊れた場合は、ネットワーク内のノードに対し衝突 検出の通知を出し、ランダム時間待機してからデータの再送を行います。 CSU Channel Service Unit の略で、TA(Terminal Adapter)の一種です。 DES Deta Encryption Standard の略で、データ暗号標準のことです。イン ターネットで使われる暗号アルゴリズムの 1 つです。 DH Diffie-Hellman Key Agreement の略で Diffie と Hellman によって発明さ れた暗号アルゴリズムのことです。 DHCP Dynamic Host Configuration Protocol の略で、ネットワークパラメータ の自動設定を行うクライアント/サーバ型のプロトコルです。DHCP サー バは DHCP クライアントに対して IP アドレスをはじめとして、サブ ネットマスク、デフォルトゲートウェイのアドレス、DNS サーバのアド レス、DHCP サーバアドレスなどを通知します。 DNS Domain Name System の略で、数値で表現される IP アドレスと、分か りやすい文字列で表現される名前(ホスト名)とを対応させるための分 散型データベースです。DNS はインターネット内で分散管理されてお り、ドメイン名によって階層的に割り当てられます。 DSU Digital Service Unit(デジタル回線接続装置)の略で、デジタル回線に端 末装置を接続するための装置のことです。 ESP Encapsulating Security Payload の略で、セキュリティプロトコルの一 種です。IP データグラムのペイロード部分を暗号化することによって、 秘匿性を提供します。ESP 処理されたパケットは、ネットワークの途中 経路上でのデータの覗き見を防御します。 Ethernet LAN 形式の一種です。Ethernet には数種類の仕様が規定されています が、IEEE802 委員会が作成した CSMA/CD 形式が主流となっています。 使用するケーブル、伝送速度によって様々なタイプがあります。 FTP File Transfer Protocol の略で、インターネット上でファイルを転送する ためのプロトコルです。FTP によるファイルの送受信をサポートしてい るサーバのことを FTP サーバといい、FTP サーバのあるネットワーク では FTP を利用したファイルの送受信ができます。 FTTH Fiber To The Home の略で、光ファイバを家庭に引き込み高速インター ネット環境を実現する計画で、2001 年から本格的なサービスが開始しま した。利用者宅内と集線局を光ファイバでつなぎ、集線局からインター ネットに接続します。利用者宅内と集線局にそれぞれメディアコンバー タと呼ばれる装置を設置する必要があります。メディアコンバータが、 電気信号と光信号のデータ変換を行います。 256 第 8 章 資料・付録 8.2. ネットワーク用語集 HTML HyperText Markup Language の略でハイパーテキストを記述するため の言語です。”<”と”>”で挟んだ予約語を使って、テキストのレイアウト や、画像ファイルなどの位置、リンク先などを記述します。WWW サー バが蓄積している HTML 形式のデータを、WWW ブラウザを利用して読 み込むことで WWW ブラウジングが可能になります。 HTTP Hyper Text Transfer Protocol の略で、WWW サーバと WWW クライア ント間において、HTML ファイルなどの文書を転送するために用いられ る通信プロトコルです。 HTTPS Hyper Text Transfer Protocol Security の略で HTML ファイルの転送を行 う HTTP に SSL によるデータの暗号化機能を付加したプロトコルのこ とです。サーバとブラウザの間の通信を暗号化し、個人情報やクレジッ トカード番号など重要なデータの漏洩や盗聴を防ぎます。 HUB 複数のコンピュータを接続してネットワークを構築する際に使われる機 器です。10BASE-T/100BASE-TX のポートを 4∼8 個備えている機器で あれば、かなり安価に購入することができますので、オフィス内などで 小規模なネットワークを構築する場合によく用いられます。 ICMP Internet Control Message Protocol の略で、エラーの通知や通信状況の 判定を行う制御用のプロトコルです。エラー時には、パケットを送出し た機器や 1 つ手前のルータに問題発生の状況を通知します。また、通信 相手の状況を問い合わせる機能も持ちます。シンプルに作られている IP の脆弱な部分を補完し、信頼性を向上することが ICMP の役割です。 IEEE The Institute of Electrical and Electronics Engineers の略で、電気や電子 関連の技術の標準化を行うアメリカの電気電子技術者協会のことです。 LAN に関する標準化については IEEE802 委員会が行っています。 IKE Internet Key Exchange の略で、IPsec などで使用される秘密鍵や共有鍵 の自動交換に使われるプロトコルです。IKE を使うことで、IPsec で使 用する鍵の定期的な変更が容易になり、更に高いセキュリティを確保す ることができます。 IMAP4 Internet Message Access Protocol version4 の略でメールサーバ上の電 子メールを閲覧・管理するプロトコルです。電子メールをサーバ上で管 理するため、異なる端末から 1 つの電子メール環境を管理することがで き、モバイル環境に適した方式です。 IP Internet Protocol の略で、インターネットを構成する通信機器が共通に 利用する プロトコルです。インターネットで通信を行うとき、データは 通信経路上のノードを中継して通信相手まで届けられますが、IP はこの データ中継の役目を担います。IP はパケットが通信相手に届くように努 力はしますが、その到達性については保証しません。この IP の特質をベ ストエフォート型と呼びます。 257 第 8 章 資料・付録 8.2. ネットワーク用語集 IPsec IPsec はインターネットで標準となっているネットワーク層のセキュリ ティを実現するためのプロトコルです。AH と ESP という 2 つのセキュ リティプロトコルと IKE という鍵交換プロトコルから構成されます。 AH、ESP の機能を用いることで、IP データグラムのセキュリティを確 保します。 IPv4 アドレス IPv4 はネットワークに接続されているホストを一意に表すためのプロト コルです。インターネット上では、全世界でユニークな値(グローバル アドレス)のみ使用することができます。これに対して、家庭内や社内 でのみ使用できる値(プライベートアドレス)があり、以下の範囲で使 用可能です。 ・10.0.0.0 ∼ 10.255.255.255 ・172.16.0.0 ∼172.31.255.255 ・192.168.0.0 ∼192.168.255.255 IPv6 アドレス IPv6 で接続されているホストを一意に表すための数値で、4 桁ずつ”:”で 区切った 16 進数で記述します。インターネット上で使える値(グロー バルアドレス) 、そのセグメント内でのみ使える値(リンクローカルアド レス)があり、リンクローカルアドレスを使う場合は、一般にどのセグ メントかを選択するための識別子を指定する必要があります。 ITU-T International Telecommunication Union Telecommunication Standardization Sector の略で、ITU(国際電気通信連合)の下部組織である電気 通信標準化部門のことです。主に電気通信技術の標準化を行います。 MD-5 Message Digest Algorithm-5 の略で、ハッシュ関数の 1 つです。 LAN Local Area Network の略で比較的狭い地域内でのコンピュータネット ワークのことです。ルータを介してインターネットに接続されます。 NAPT Network Address Port Translation の略で、複数のプライベートアドレス を 1 つのグローバルアドレスに対応付ける機能です。この機能を利用す ることで、プライベートアドレスを使用している複数のコンピュータを 1 つのグローバルアドレスを使ってインターネットに接続させることが 可能になります。IP Masquerading とも呼ばれています。NAT では 1 つ のプライベートアドレスを 1 つのグローバルアドレスに変換するのに対 して、NAPT では複数のプライベートアドレスを 1 つのグローバルアド レスに変換することが可能です。 NAT Network Address Translation の略で、インターネット上では使用できな いプライベートアドレスを、インターネット上で使用できるグローバル アドレスに変換する機能です。家庭内や社内でプライベートアドレスを 使用している場合、そのアドレスのままでは直接外部と通信することは できません。NAT は、NAT 機能を備えた機器を通過するときにそのデー タ内のアドレスを書き換えることによって、ユーザがプライベートアド レスやグローバルアドレスの違いを意識することなく、インターネット を利用できる仕組みを提供します。 258 第 8 章 資料・付録 8.2. ネットワーク用語集 NetBEUI NetBIOS Extended User Interface の略で、NETBIOS の拡張プロトコル です。 NetBIOS Network Basic Input/Output System の略で米 IBM が定めました。LAN を経由してアプリケーションがデータを読み書きする場合に使われる セッション層の通信インターフェイスです。 NNTP Network News Transfer Protocol の略で、TCP セッション上のプロトコ ルです。ニュースというシステムで交換されている記事をインターネッ トを用いて転送するためのプロトコルです。 NTP Network Time Protocol の略で、インターネット上での正確な時刻情報 を提供するためのプロトコルです。NTP を利用することで分散した多数 のコンピュータ間で時刻同期をとることができます。 NTP サーバ NTP を用いて時刻情報を提供するサーバです。一般に NTP サーバは他 の NTP サーバのクライアントとなり階層構造状に時刻の同期が取られ ます。 ONU Optical Network Unit の略で、光ファイバ通信網に端末装置を接続する ための装置のことです。 OSPF Open Shortest Path First の略で、ルーティング情報を交換するためのプ ロトコルです。複数の経路が存在する大規模な LAN でよく使用されま す。 Ping TCP/IP ネットワークにおける、ICMP を使った IP パケットの到達性を 調べるためのコマンドです。 POP3 Post Office Protocol version3 の略で、メールサーバ上のメッセージをダ ウンロードする機能と削除する機能を提供しています。 PPPoE PPP over Ethernet の略で、 Ethernet などのネットワーク上で PPP 接 続のような利用者のユーザ名、パスワードのチェックを行うために考案 された規格のことです。 RIP Routing Information Protocol の略で、ルーティング情報を交換するため のプロトコルです。比較的小規模な LAN でよく使用されます。 RIPng IPv4 で使用されている RIP を IPv6 に対応させたものです。IPv6 をサ ポートしている機器の多くが対応しています。 Secure Shell 遠隔地からコマンドツールを使用する際、通信経路をすべて暗号化する ことで安全性を高めたリモートシェルです。 SHA-1 Secure Hash Algorithm-1 の略でインターネット上でよく利用される ハッシュ関数の 1 つです。 SMTP Simple Mail Transfer Protocol の略で、電子メールを配信・投函するため のプロトコルです。SMTP は TCP を利用しており、SMTP クライアン トと SMTP サーバがコマンドによる会話をしながら転送処理を行いま す。 259 第 8 章 資料・付録 8.2. ネットワーク用語集 SNMP Simple Network Management Protocol の略で、ネットワーク機器を管 理するためのプロトコルです。SNMP を使うとネットワーク機器の状態 をネットワークを使って収集することができます。 SNMP エージェント SNMP を使って要求された情報を提供する機能を持ったネットワーク装 置、またはソフトウェアのことです。リクエストに対して現在機器がど ういう状態にあるかという情報を送り返すだけでなく、SNMP トラップ をネットワーク監視装置に対して送る機能も持っています。 SNMP トラップ ネットワーク機器がネットワーク管理を行っている装置に対してシグナ ルを送るために使用されます。通常は、ネットワーク装置の起動、終了、 異常状態の発生など、ネットワーク装置のトラブル、またはトラブルに なりそうなことをネットワーク監視装置に通知する場合に使用します。 SPI Security Parameters Index の略で、認証・復号処理の際に必要となる 情報を得るための指標値のことです。SPI は AH、ESP ヘッダ内にある SPI フィールドによって運搬されます。IPsec を用いたセキュリティ通 信を行う装置は、自分が持っているセキュリティアソシエーションの データベースから受け取った SPI を使って認証・復号処理を行うための 情報を引き出します。 SYSLOG UNIX で標準的に使われているシステムのログを記録するシステムです。 ネットワークを使って他のコンピュータにログを記録することも可能で す。 TCP Transmission Control Protocol の略でアプリケーションプログラム同士 のデータ転送サービスを提供するトランスポート層のプロトコルです。 信頼性・確実性があるために、電子メール、WWW ブラウザ、FTP など に利用されています。通信する場合、まず相手とコネクションと呼ばれ る通信経路を確立し、データ転送中は通信相手の状況をみてデータ量や 転送速度の調整、データの再送を行います。 TCP/IP ネットワーク層プロトコルの IP をベースに、トランスポート層で TCP (Transmission Control Protocol)または UDP(User Datagram Protocol) を使って通信するプロトコル群の総称です。電子メールや Web などイ ンターネット上のサービスは、すべて TCP/IP に基づいています。 Telnet Telecommunication Network の略で TCP セッション上のプロトコルで す。サーバであるコンピュータに接続して文字などのキャラクタベース の CUI を提供します。ユーザは Telnet を使うことで遠くに離れたホス トにログインし、ユーザ端末からコマンドを入力し、リモートマシンを コントロールすることができます。 Traceroute TCP/IP ネットワークにおける IP パケットのルートをトレース・検査す るコマンドです。 260 第 8 章 資料・付録 8.2. ネットワーク用語集 transport モード IPsec で定義される 2 つの通信モードの一つで、端末と端末との通信に 対して認証や暗号化を行う場合に使用します。トランスポートモードで は、基本的に送受信する IP パケットの IP ヘッダを除いた部分を暗号化 します。 tunnel モード IPsec で定義される 2 つの通信モードの一つで、ネットワーク間の通信 に対して認証や暗号化を行う場合に使用します。トンネルモードでは、 IP パケット全体を暗号化させます。 UDP User Datagram Protocol の略で、トランスポート層プロトコルとして データ転送サービスを提供します。TCP のようなコネクションの概念を 持たないため、同一のデータを複数の相手に送信することができますが、 転送の信頼性はありません。UDP は DHCP、SNMP、RIP などの同報を 行うプロトコルや、インターネット電話などのストリーミングデータを 扱うアプリケーションなどに利用されています。 URL Uniform Resource Locator の略で、インターネット上のリソースへのア クセス方法とその場所を一括して指定する表記方法です。一般化する と、<scheme>:<scheme-specific-part> のようになります。scheme はアクセスする方式を表し、scheme-specific-part はリソースへのアク セスパスを表わします。 VLAN Virtual LAN の略で、LAN において、ケーブルやコンピュータの物理的な 接続形態に関わらず、LAN 上の特定のノードだけで仮想的なネットワー クの構築を可能にする技術です。 VPN Virtual Private Network の略で、離れた拠点内にあるにプライベートネッ トワーク同士を、パブリックネットワークであるインターネットを用い て接続し、透過的に利用できる状態にあるネットワークを表わします。 WAN Wide Area Network の略で、閉じられた狭い範囲ではなく、非常に広い 範囲に渡って結ばれた広域ネットワークのことです。通信事業者の提供 する公衆回線や専用線などを利用して、広域に端末を設置したり、離れ た場所にある複数の LAN を接続したりするネットワークです。 Web/ World Wide Web の略でネットワーク上に置かれたコンテンツやリソー WWW スにアクセスするための仕組みです。ユーザはコンテンツが置かれた WWW サーバにアクセスして、HTTP プロトコルによってサーバ上の データを取得し、WWW ブラウザによって処理したデータを表示させる ことで WWW ブラウジングを行います。 Web/ WWW を閲覧するためのアプリケーションで Netscape Navigator、In- WWW ブラウザ ternet Explorer が代表的です。Web ブラウザは取得した HTML 文書を 処理しフォーマットを整えて WWW の閲覧を実現します。 アカウント コンピュータネットワーク上で利用者を識別するための ID となるもの です。アカウントによってコンピュータやネットワーク上にある資源を 利用できる権利を制限することができます。 261 第 8 章 資料・付録 8.2. ネットワーク用語集 暗号化 ネットワーク上でデータをやり取りする際に第三者からデータを盗聴 されても理解できないようにするために、鍵と呼ばれるビット列を用い てデータを暗号に変換することを暗号化と呼びます。逆に暗号化された データを暗号化される前の元データに変換することを復号化と呼びま す。 インターフェイス 一般的に異なるコンピュータの装置間、プログラム間、あるいはユーザ と装置の間で情報を交換する方式や接続仕様を指します。異なる装置 間、プログラム間、ユーザと装置の間の境界にあたる部分がインター フェイスとなります。 カスケード接続 ポートの増設をするために、ハブなどの接続機器同士のポートをケーブ ルでつなぐ接続方法のことです。 共通鍵暗号方式 (秘密鍵暗号方式) データを暗号化/復号化するためには鍵と呼ばれるビット列を利用します が、データの暗号化と復号化に同じ鍵を使用する暗号方式のことを共通 鍵暗号方式と呼びます。共通鍵は通信する相手しか知らないため秘密鍵 暗号方式とも呼ばれます。共通鍵暗号方式で使用される暗号アルゴリズ ムの代表的なものとして、DES、3DES、RC4 などがあります。共通鍵 暗号方式では通信相手と事前に鍵を共有しておく必要があり、共有され た鍵は preshared key(事前共有鍵)などと呼ばれます。 クライアント/ サービスの要求を受けてサービスを提供する側(サーバ)とサービスを サーバモデル 利用する側(クライアント)という二つの要素で成り立っている通信モ デルをクライアント/サーバモデルと呼びます。インターネットのアプリ ケーションは主にこのクライアント/サーバモデルという概念に基づいて 作られています。 グローバルアドレス InterNIC や JPNIC などのドメイン名管理団体から正式に割り当てられ た世界で一意な IP アドレスをグローバルアドレスと呼びます。 公開鍵暗号方式 データを暗号化/復号化するためには鍵と呼ばれるビット列を利用します が、公開鍵暗号化方式では暗号鍵と復号鍵の 2 つの鍵のうちどちらかを 公開します。公開された鍵は「公開鍵」と呼ばれ、公開しない鍵は「秘 密鍵」と呼ばれます。公開鍵暗号化方式で使用される暗号アルゴリズム の代表的なものとして、RSA があります。 静的ルーティング あらかじめ管理者が明示的に経路設定を行うルーティング方法です。 セキュリティ 認証、暗号通信を行うために、双方で合意し確立されていなければなら アソシエーション ない情報のことをセキュリティアソシエーションといいます。セキュリ ティアソシエーションが持つ情報には、認証アルゴリズム、暗号アルゴ リズム、認証鍵、暗号鍵、鍵長などがあります。 セキュリティ ファイアウォールやルータなどの設定のルールをセキュリティポリシー ポリシー と呼ぶ場合があり、本マニュアルではその意味で使っています。一般的 には、セキュリティ脅威への対策として全組織的に取りまとめた情報セ キュリティに関する基本方針をセキュリティポリシーと呼びます。 262 第 8 章 資料・付録 8.2. ネットワーク用語集 専用線 利用者が電気通信事業者から必要とする特定の区間を指定して借り受 け、専用して使用する回線のことです。 ダウンロード ネットワークで接続されているコンピュータ間で、接続先(リモート側) コンピュータから接続元(ローカル側)コンピュータへデータやプログ ラムなどを転送することをダウンロードと呼びます。その逆はアップ ロードと呼ばれます。 帯域制御 1 つのリンクを共有する複数のトラフィックに、帯域という観点から ネットワーク資源を計画的に分配するための制御のことをいいます。あ るトラフィックに、どんな時も最低限これだけの帯域を割り当てたい、 というような要求がある場合、帯域制御機能を使用します。 デフォルトクラス CBQ 使用時帯域幅が 100% の予め定義されている特別なクラスを指し ます。初めてクラスを追加する場合に、親クラスとして指定することが できます。 動的ルーティング ルータ同士で経路情報などをやり取りして、最適な経路を選択するルー ティング方法です。大規模なネットワークでは、動的ルーティングが一 般的です。 トラフィック ネットワークの通信における通信量を指します。通信経路上を流れるト ラフィックが多くなると、情報の遅延や損失の可能性が高くなります。 ネットワークのノードでは、情報遅延や損失を防ぐために、各経路のト ラフィックを均等化するように経路を迂回したり、必要のない情報を流 さないように経路を選択したりといった対策が必要となります。 トンネリング インターネット上に仮想的なリンクを設定するための技術で、VPN を 実現する際等に用いられます。IP パケットを IP パケットで包んで転送 し、途中のルータの影響を最小限に抑えると同時に、暗号化などにより セキュリティを強化することも可能です。この機能により、離れたとこ ろにある IPv6 ネットワークを、IPv4 ネットワークを使って通信させる ことができます。 認証 データの安全性を確保するために、通信相手や通信データの完全性、正 確性を確認することを認証と呼びます。認証の方法としてパスワード方 式、秘密鍵暗号方式に基づく方式、公開鍵暗号方式に基づく方式などが あります。認証のために利用する鍵を認証鍵と呼ぶこともあります。 ネットマスク ネットワークで使用できる IPv4 アドレスの範囲を指定するもので す 。例 え ば 、ネ ッ ト ワ ー ク ア ド レ ス「192.168.0.0」、ネ ッ ト マ ス ク 「255.255.255.248」の場合、そのネットワークの範囲は「192.168.0.0∼ 192.168.0.7 」となります。 ネットワーク アドレス 特 定 の ネ ッ ト ワ ー ク 全 体 を 指 す ア ド レ ス の こ と で す 。例 え ば 「192.168.0.1/24」という IP アドレスを持つコンピュータが属するネッ トワークのネットワークアドレスは「192.168.0.0」になります。 263 第 8 章 資料・付録 8.2. ネットワーク用語集 パケット 送信したときにデータはコンピュータ内で細かい素片に分解され一定の 形式のフレームに整えられて転送されていきます。この分解された素片 のひとつひとつをパケットと呼びます。パケットには送信者/受信者の識 別子、データの大きさなど必要な情報が付加されます。 パケット ルータが IP パケットの送信元や受信先の IP アドレス、ポート番号など フィルタリング から IP パケットの通信の許可・不許可を判断し、許可しないパケットを 通過させないようにする技術です。 パス ファイルまたはディレクトリの場所を示すための文字列です。UNIX 系 の OS では”/”で、日本語版の MS-DOS や Windows では”Y”でディレク トリ名を区切り、ディレクトリ名とファイル名を指定します。 ハッシュ関数 暗号の一種で元の情報の長さによらずデータを一定の長さに圧縮しま す。ハッシュは一方向関数とも呼ばれ圧縮されたデータからは復号化が 不可能であるという特性をもちます。異なるデータからハッシュ処理を 行うと異なる圧縮データが生成されますが、同じデータを同じハッシュ で圧縮すれば同じ圧縮データが生成されます。ハッシュによって圧縮さ れたデータをメッセージダイジェストと呼びます。 パディング データがあるフォーマットを構成する場合、データ量が足りない場合な どに埋め合わせとして利用されるデータをパディングと呼びます。 光専用線 光ファイバの専用線のことです。波長を使って光信号を伝送することが できる、ガラスやプラスチックによって作られた線です。光ファイバは 周波数をあげても波形が崩れないため、高速通信を実現することができ ます。 ファームウェア ハードウェアに保存されている基本ソフトです。 プライベート IP アドレス管理団体への申請なしで企業内や学校内などのプライベート アドレス ネットワークにおいて自由に使用できる IP アドレスのことです。プラ イベートアドレスはグローバルネットワーク内では利用できないため、 NAT/NAPT 機能を利用してプライベートアドレスをグローバルアドレス に変換する必要があります。 ブリッジ ネットワークを相互接続するためには、データのコントロールを行いな がら中継する必要があります。ブリッジは、データリンク層で LAN のセ グメント間を相互接続します。 プレフィクス長 ネットワーク上で使用できる IPv6 アドレスの範囲を指定するもの です。例えば、ネットワークアドレスが”2001:240:fffe::”、プレフィッ クス長が”/48”の場合、そのネットワークの範囲は、 2001:240:fffe::∼ 2001:240:fffe:ffff:ffff:ffff:ffff:ffff となります。 264 第 8 章 資料・付録 8.2. ネットワーク用語集 プロキシサーバ インターネットへのアクセスを中継するためのサーバです。プロキシは 代理という意味です。ネットワークの安全性や IP アドレスの設定の関 係からネットワーク内部から直接インターネットに接続できないような 場合、プロキシサーバがネットワーク内の機器を接続するように中継し ます。また、ネットワーク内の利用者が別々に遠方の WWW サーバにア クセスするとサーバにかかる負荷が高くなるため、適切なグループごと にデータをキャッシュ(一時的にデータを保存)し、同じ WWW サーバ へのアクセスを要求された場合、キャッシュサーバのデータを返して負 荷を軽減させます。 プロトコル 複数のコンピュータなどの機器が通信するときに使用する、メッセージ のやり取りの方法や手順を定めた取り決めのことです。 プロバイダ Internet Service Provider のことで ISP とも呼ばれます。電話回線や専 用線などを通じて、インターネット接続サービスを提供する通信事業者 です。 ポート番号 アプリケーションを特定するために用いられる概念がポートです。ポー トにはポート番号が振られておりトランスポート層プロトコルの TCP や UDP がポートによってアプリケーション層のプログラムとの関連付 けを行います。なお、サーバアプリケーション(サーバにより提供され るアプリケーション)ではポート番号はすでに決められておりウェルノ ウンポートと呼ばれています。 ボトルネック システム全体の中でもっとも遅い部分のことをいいます。 メディアコンバータ 銅線ケーブルと光ファイバのように異なる伝送媒体を接続し、伝送信号 を相互変換するための装置のことです。 メディアタイプ 通信用の伝送メディアの種類のことです。ケーブルの種類などを指しま す。 メトリック ルーティングテーブルが持つ、最終経路の決定のために使う値のことで、 ルーティングメトリックとも呼ばれます。メトリックには、最終宛先ま での距離、ホップ数、ネットワークの状態、パスコストなどが含まれて います。 モデム 端末を電話回線に接続し、データを送受信するための装置です。コン ピュータが処理するデジタル信号を電話回線が扱うアナログ信号に相互 変換します。 ライフタイム パケットや認定項目の有効時間のことです。パケットの場合、有効時間 を過ぎても宛先に到達しなかったパケットは破棄されます。IPsec では、 SA にライフタイムの設定ができます。 ルータ広告 ルータ通知とも言います。ルータがプレフィックスなどの情報を定期的 に送信することで、そのセグメントに接続したホストは受け取った情報 から自動的にネットワーク設定を行い、通信をすることができます。 265 第 8 章 トラブル・シューティング ルーティング ネットワーク上の目的アドレスまでの転送経路を選択するプロセスを ルーティングといいます。ルーティングは管理者が明示的に行う静的 ルーティングと、ルータ同士で経路情報などを交換して最適な経路を選 択する動的ルーティングがあります。動的ルーティングでは経路情報を 集め、最適経路を選択し、パケットを送信するという 3 つの処理が含ま れます。パケットを中継するルータはルーティングテーブルを持ち、そ れを比較することで経路選択を行います。ルーティングテーブルはルー ティングプロトコルによって作成されます。 ループ 送信されたパケットが宛先に届かずに同じところを何度もまわりつづけ る状態のことです。 ループバック ネットワークの疎通確認などを行うためのテストです。機器自身を指す IP アドレスであるループバックアドレスを使って行います。ループバッ クアドレスは IPv4 では通常「127.0.0.1」が使われます。 ログ コンピュータの利用状況の記録のことです。コンピュータの稼動中の動 作状況や更新情報、データの転送状況などが含まれます。システム障害 時や復旧時にログを参照することは障害原因の特定に役立ちます。ログ を採取する機能をロギング機能と呼びます。 266 第 9 章 トラブル・シューティング 9.1. LED の点灯状態 第 9 章 トラブル・シューティング 本章では、CS-SEIL-510/C の設定や CS-SEIL-510/C を使用してインターネットに接続できない場合 など、困ったときの対策についてご説明します。 9.1 LED の点灯状態 SEIL は前面の 7 セグメント LED により動作状態を確認することができます。 b a h c g f d e ■ 全消灯時 何も接続されていない状態です。 ■ LED ”d” セグメントが点灯 LAN0 ポートが接続されている状態です。 ※ LAN ケーブルが接続されているにもかかわらず、LAN0 ランプが点灯しない場合は、ケーブルの 不良か LAN 速度の不一致が考えられます。 ■ LED ”g” セグメントが点灯 LAN1 ポートが接続されている状態です。 267 第 9 章 トラブル・シューティング 9.1. LED の点灯状態 ※ LAN ケーブルが接続されているにもかかわらず、LAN1 ランプが点灯しない場合は、メディアコ ンバータあるいは ADSL モデムなどとの接続不良が考えられます。接続をご確認ください。 ■ LED ”a∼g” セグメントが点灯 ファームウェアの更新中です。 注意 LED ”a∼g” セグメント点灯時は、内蔵フラッシュメモリへ の書き込みを行っています。LED が消灯するまでは、絶対 に電源を切らないでください。 ※ 万一電源を入れなおしても起動できなくなった場合、お買い上げの販売店にご相談ください。 ■ LED ”b” セグメントが点灯、”c” セグメントが点滅 SEIL が異常を検知しています。すみやかに電源を入れ直してください。状況に改善が見られない、 もしくは現象が頻発するようであれば、お買い上げの販売店にご連絡ください。 268 第 9 章 トラブル・シューティング 9.2. 故障かな?と思ったとき 9.2 故障かな?と思ったとき ※ SEIL の画面が開けない ※ インターネットに接続できない このような場合は、各項のチャートに従って処置を行ってください。処置後も SEIL が正常に動作し ¤ ¡ ない場合は、 ó [9.3 自己診断テスト £P.273 ¢ ]をご覧ください。 警告 付属の専用 AC アダプタ(DC5V)以外のものは、絶対に使 用しないでください。火災、感電、故障の原因となります。 SEIL の電源は、AC100V ± 10 %(50/60Hz)の電源以外 では、絶対に使用しないでください。異なる電圧で使用す ると、火災、感電の原因となります。 SEIL の内部の点検、調整、清掃、修理は、危険ですから絶 対にしないでください。SEIL の内部には電圧の高い部分 があり、感電の原因となります。SEIL の内部の点検、調 整、清掃、修理は、お買い上げの販売店に依頼してくださ い。 注意 機器を接続する場合には、必ず電源プラグを AC コンセン トから抜いてください。電源プラグを AC コンセントに接 続したまま、機器の接続をすると、感電の原因となること があります。 269 第 9 章 トラブル・シューティング 9.2. 故障かな?と思ったとき ■ 9.2.1 不具合時の確認手順 ■ 7 セグメント LED が点灯しないとき AC䉝䉻䊒䉺䈱DC䊒䊤䉫䈲䇮SEIL 䈱㔚Ḯ䉮䊈䉪䉺䈮⏕ታ䈮Ꮕ䈚ㄟ䉁 䉏䈩䈇䉁䈜䈎䋿 䈇䈇䈋 DC䊒䊤䉫䉕⏕ታ䈮Ꮕ䈚ㄟ䉖䈪䈣䈘 䈇䇯 䈇䈇䈋 㔚Ḯ䊒䊤䉫䉕⏕ታ䈮Ꮕ䈚ㄟ䉖䈪䈒 䈣䈘䈇䇯 䈲䈇 AC䉝䉻䊒䉺䈱㔚Ḯ䊒䊤䉫䈲䇮AC 䉮䊮䉶䊮䊃䈮⏕ታ䈮Ꮕ䈚ㄟ䉁䉏䈩 䈇䉁䈜䈎䋿 䈲䈇 䉮䊮䊏䊠䊷䉺䈱䉰䊷䊎䉴䉮䊮䉶䊮䊃 䉕↪䈚䈩䈇䉎႐ว䇮䉮䊮䊏䊠䊷䉺 ᧄ䈱㔚Ḯ䈲䈦䈩䈇䉁䈜䈎䋿 䈇䈇䈋 䉮䊮䊏䊠䊷䉺ᧄ䈱㔚Ḯ䉕ON䈮䈚 䈩䈒䈣䈘䈇䇯䉮䊮䊏䊠䊷䉺䈱ᯏ⒳䈮 䉋䈦䈩䈲䇮ᧄ䈱㔚Ḯ䉕ON䈮䈚䈭 䈇䈫䉰䊷䊎䉴䉮䊮䉶䊮䊃䈮ㅢ㔚䈘 䉏䈭䈇ᯏ⒳䈏䈅䉍䉁䈜䇯 䈲䈇 㔚ਛ䈪䈲䈅䉍䉁䈞䉖䈎䋿 䈲䈇 㔚䈏ᓳᣥ䈜䉎䉁䈪䈍ᓙ䈤䈒䈣䈘 䈇䇯 270 䈇䈇䈋 䈍⾈䈇䈕䈱⽼ᄁᐫ䈻䈗ㅪ⛊䈒 䈣䈘䈇䇯 第 9 章 トラブル・シューティング 9.2. 故障かな?と思ったとき ■ CS-SEIL-510/C の画面が開けないとき SEIL䈫䉮䊮䊏䊠䊷䉺䈲ᱜ䈚䈒ធ⛯䈘 䉏䈩䈇䉁䈜䈎䋿․䈮䉬䊷䊑䊦 䈲䇮䉦䉼䉾䈫㖸䈏䈜䉎䉁䈪⏕ታ䈮 Ꮕ䈚ㄟ䉂䉁䈚䈢䈎䋿 䈇䈇䈋 SEIL䈫䉮䊮䊏䊠䊷䉺䉕ᱜ䈚䈒ធ⛯䈚 䈩䈒䈣䈘䈇䇯 䈲䈇 HUB䉕⚻↱䈚䈩ⶄᢙ䈱䉮䊮䊏䊠䊷 䉺䈫ធ⛯䈜䉎႐ว䇮䈠䈱HUB䈱㔚 Ḯ䈲ON䈮䈭䈦䈩䈇䉁䈜䈎䋿 䈇䈇䈋 HUB䈱㔚Ḯ䉕ON䈮䈚䈩䈒䈣䈘䈇䇯 䈲䈇 䉮䊮䊏䊠䊷䉺䈎䉌WWW䊑䊤䉡䉱䈪 䉝䉪䉶䉴䈚䈢䈫䈐䇮SEIL೨㕙䈱 LAN0䊘䊷䊃 LINK/ACT LED䋨✛䋩 䈲ὐṌ䈚䈩䈇䉁䈜䈎䋿 䈇䈇䈋 䉬䊷䊑䊦䈱⇣Ᏹ䈏⠨䈋䉌䉏䉁䈜䇯 䉬䊷䊑䊦䉕឵䈚䇮䉅䈉৻ᐲ⹜䈚 䈩䈒䈣䈘䈇䇯 䈇䈇䈋 䉮䊮䊏䊠䊷䉺䈱TCP/IP⸳ቯ䉕ᱜ䈚 䈒ⴕ䈦䈩䈒䈣䈘䈇䇯 䈇䈇䈋 WWW䊑䊤䉡䉱䈱Proxy⸳ቯ䉕䇸 ↪䈚䈭䈇䇹䈮⸳ቯ䈚䈩䇮䉅䈉৻ᐲ⹜ 䈚䈩䈒䈣䈘䈇䇯 䈲䈇 䉮䊮䊏䊠䊷䉺䈱TCP/IP⸳ቯ䈲ᱜ 䈚䈒ⴕ䉒䉏䈩䈇䉁䈜䈎䋿 䈲䈇 WWW䊑䊤䉡䉱䈱Proxy⸳ቯ䈲䇸 ↪䈚䈭䈇䇹䈮⸳ቯ䈘䉏䈩䈇䉁䈜 䈎䋿 䈲䈇 SEIL䈱⸳ቯ䉕ೋᦼൻ䈚䇮ᦨೋ䈎䉌 䉇䉍⋥䈚䈩䈒䈣䈘䈇䇯ᐲ䈲䇮SEIL 䈱↹㕙䈏㐿䈔䉁䈚䈢䈎䋿 㶎SEIL䈲䇮ೋᦼൻ䈜䉎䈫䈜䈼䈩 䈱⸳ቯ䈏Ꮏ႐⩄⁁ᘒ䈮ᚯ䉍䉁 䈜䇯 䈇䈇䈋 LED䈱ὐἮ⁁ᘒ䉕⏕䈚䈩䈒䈣䈘 䈇䇯LED䈱⁁ᘒ䈏ᱜᏱ䈪䈭䈇႐ ว䈲䇮䈍⾈䈇䈕䈱⽼ᄁᐫ䈻䈗 ㅪ⛊ਅ䈘䈇䇯 271 第 9 章 トラブル・シューティング 9.2. 故障かな?と思ったとき ■インターネットに接続できないとき 䈇䈇䈋 SEIL䈱↹㕙䈲㐿䈔䉁䈜䈎䋿 ೨㗄䇸SEIL䈱↹㕙䈏㐿䈔䈭䈇䈫 䈐䇹䈱䉼䉢䉾䉪䉕ⴕ䈦䈩䈒䈣䈘䈇䇯 䈲䈇 SEIL೨㕙䈱LAN1䊘䊷䊃 LINK/ACT LED䋨✛䋩䈱␜⁁ᘒ 䈲䈬䈱䉋䈉䈮䈭䈦䈩䈇䉁䈜䈎䋿 ὐἮ䉅䈚䈒䈲ὐṌ 䊈䉾䊃䊪䊷䉪᭴ᚑ䉕⏕䈚䇮⸳ቯ 䉕⋥䈚䈩䈒䈣䈘䈇䇯 ᶖἮ ࿁✢䈏ᱜ䈚䈒ធ⛯䈘䉏䈩䈇䈭䈇น ⢻ᕈ䈏䈅䉍䉁䈜䇯SEIL䈫䊜䊂䉞䉝䉮 䊮䊋䊷䉺䇮䈅䉎䈇䈲ADSL䊝䊂䊛 㑆䈱㈩✢䉕⏕䈚䈩䈒䈣䈘䈇䇯㈩ ✢䈲ᱜ䈚䈒ធ⛯䈘䉏䈩䈇䉁䈜䈎䋿 䈇䈇䈋 䈲䈇 䇸╙䋴┨ 䉬䊷䊑䊦䈱䈧 䈭䈑ᣇ䇹䉕䈗ⷩ䈮䈭䉍䇮 ᱜ䈚䈒㈩✢䈚䈩䈒䈣䈘 䈇䇯 ࿁✢㓚ኂ䈱น⢻ᕈ䈏䈅䉍䉁䈜䇯 䊒䊨䊋䉟䉻䈭䈬䈮䈍䈇ว䉒䈞䈒 䈣䈘䈇䇯 272 第 9 章 トラブル・シューティング 9.3. 自己診断テスト 9.3 自己診断テスト SEIL は、電源を投入すると同時に自動的に自己診断を行います。 SEIL をつないだコンピュータからインターネット接続ができない、もしくは設定が正常に行えなかっ ¤ ¡ た場合、あるいは ó [9.2 故障かな?と思ったとき £P.269 ¢ ]の対処でも問題が解決できなかった場合 などは、下記の手順で SEIL の自己診断テストを行ってみてください。 1. SEIL の電源をつなぎます。 2. SEIL が自動的に自己診断テストを開始します。 次の項目を順にテストします。 • RAM • フラッシュメモリ • LAN デバイス 3. 自己診断テストが終了すると‥ • 診断結果が正常のときは、LED ”h” セグメントが点滅します。 • 異常があったときは、LED ”b” セグメントが点灯、LED ”c” セグメントが点滅します。 上記のような異常があった場合、SEIL を再起動しても状況に改善が見られない場合は、お買い上げ の販売店にご相談ください。 273 発行元 センチュリー・システムズ株式会社 本書は著作権法上の保護を受けています。 本書の一部あるいは全部について、著作権者からの許諾を得ずに、いかなる方法においても無断で複製、 翻案、公衆送信等することは禁じられています。 FutureNet は、センチュリー・システムズ株式会社の登録商標です。 その他、本書に掲載されている商品名、会社名等は各会社の商号、商標または登録商標です。 本文中では、™、®マークは表示しておりません。 ©2007 Century Systems Co., Ltd All rights reserved. 本書に記載されている事柄は、将来予告なしに変更することがあります。