マルチキャスト機能を使う
120
マルチキャスト機能を使う
121
[本装置3]
• マルチキャストパケットを転送するインタフェースとして LAN0, LAN1 を使用し、それぞれ、ETHER1、
ETHER2 に割り当てる
• LAN0のIPアドレス :192.168.5.1/24
• LAN1のIPアドレス :192.168.3.2/24
上記の設定条件に従って設定を行う場合のコマンド例を示します。
● コマンド
[本装置1]
ETHERポートを削除する
# delete ether
LANインタフェースを削除する
# delete lan
ETHER1~3ポートを設定する
# ether 1 vlan untag 1
# ether 2 vlan untag 2
# ether 3 vlan untag 3
192.168.1.0/24のネットワークを設定する
# lan 0 vlan 1
# lan 0 ip address 192.168.1.1/24 3
# lan 0 ip multicast mode static
192.168.2.0/24のネットワークを設定する
# lan 1 vlan 2
# lan 1 ip address 192.168.2.1/24 3
# lan 1 ip multicast mode static
192.168.3.0/24のネットワークを設定する
# lan 2 vlan 3
# lan 2 ip address 192.168.3.1/24 3
# lan 2 ip multicast mode static
マルチキャスト・スタティックルーティングの設定をする
# multicast ip route 0 192.168.1.2 239.255.1.1 lan0 lan1-lan2 設定終了# save
# commit
マルチキャスト機能を使う
122
[本装置2]
[本装置3]
ETHERポートを削除する
# delete ether
LANインタフェースを削除する
# delete lan
ETHER1、2ポートを設定する
# ether 1 vlan untag 1
# ether 2 vlan untag 2
192.168.4.0/24のネットワークを設定する
# lan 0 vlan 1
# lan 0 ip address 192.168.4.1/24 3
# lan 0 ip multicast mode static
192.168.2.0/24のネットワークを設定する
# lan 1 vlan 2
# lan 1 ip address 192.168.2.2/24 3
# lan 1 ip multicast mode static
マルチキャスト・スタティックルーティングの設定をする
# multicast ip route 0 192.168.1.2 239.255.1.1 lan1 lan0 設定終了# save
# commit
ETHERポートを削除する
# delete ether
LANインタフェースを削除する
# delete lan
ETHER1、2ポートを設定する
# ether 1 vlan untag 1
# ether 2 vlan untag 2
192.168.5.0/24のネットワークを設定する
# lan 0 vlan 1
# lan 0 ip address 192.168.5.1/24 3
# lan 0 ip multicast mode static
192.168.3.0/24のネットワークを設定する
# lan 1 vlan 2
# lan 1 ip address 192.168.3.2/24 3
# lan 1 ip multicast mode static
マルチキャスト・スタティックルーティングの設定をする
# multicast ip route 0 192.168.1.2 239.255.1.1 lan1 lan0 設定終了# save
# commit
IPフィルタリング機能を使う
123
28 IP フィルタリング機能を使う
本装置を経由してインターネットに送出されるパケット、またはインターネットから受信したパケットをIPアド レスとポート番号の組み合わせで制御することによって、ネットワークのセキュリティを向上させることができ ます。
IP フィルタリングの条件
本装置では、ACL番号で指定したACL定義の中で、以下の条件を指定することによってデータの流れを制御でき ます。
• プロトコル
• 送信元情報(IPアドレス/アドレスマスク/ポート番号)
• あて先情報(IPアドレス/アドレスマスク/ポート番号)
• IPパケットのTOS値/DSCP値
◆IPアドレスとアドレスマスクの決め方
IPフィルタリング条件の要素には「IPアドレス」と「アドレスマスク」があります。制御対象となるパケッ トは、本装置に届いたパケットのIPアドレスとアドレスマスクの論理積の結果が、指定したIPアドレスと一 致したものに限ります。
適用機種 全機種
機能説明書「2.34 IPフィルタリング機能」(P.115)
Internet
悪意のある利用者
法的に好ましくないサーバ
アクセスを許可された利用者
一般のサーバ
IPフィルタリング
意図しない接続
誤ったアクセス
遮断
遮断
遮断
透過
透過
ルータ
IPフィルタリング機能を使う
124
IP フィルタリングの設計方針
IPフィルタリングの設計方針には大きく分類して以下の2つがあります。
A. 基本的にパケットをすべて遮断し、特定の条件のものだけを透過させる B. 基本的にパケットをすべて透過させ、特定の条件のものだけを遮断する
ここでは、設計方針Aの例として、以下の設定例について説明します。
• 外部の特定サービスへのアクセスだけを許可する
• 外部から特定サーバへのアクセスだけを許可する
また、設計方針Bの例として、以下の設定例について説明します。
• 外部の特定サーバへのアクセスだけを禁止する
• 外部から特定サーバへのpingだけを禁止する
• IPフィルタリングでDHCP(ポート番号67、68)でのアクセスを制限する設定を行った場合、DHCP機能が使用で きなくなる場合があります。
• IPフィルタリング条件が複数存在する場合、それぞれの条件に優先順位がつき、数値の小さいものから優先的に採用 されます。設定内容によっては通信できなくなる場合がありますので、優先順位を意識して設定してください。
IPフィルタリング機能を使う
125