マルチキャスト機能を使う
121
マルチキャスト機能を使う
122
[本装置3]
• マルチキャストパケットを転送するインタフェースとして LAN0, LAN1 を使用し、それぞれ、ETHER1、
ETHER2 に割り当てる
• LAN0のIPアドレス :192.168.5.1/24
• LAN1のIPアドレス :192.168.3.2/24
上記の設定条件に従って設定を行う場合のコマンド例を示します。
● コマンド
[本装置1]
ETHERポートを削除する
# delete ether
LANインタフェースを削除する
# delete lan
ETHER1〜3ポートを設定する
# ether 1 vlan untag 1
# ether 2 vlan untag 2
# ether 3 vlan untag 3
192.168.1.0/24のネットワークを設定する
# lan 0 vlan 1
# lan 0 ip address 192.168.1.1/24 3
# lan 0 ip multicast mode static
192.168.2.0/24のネットワークを設定する
# lan 1 vlan 2
# lan 1 ip address 192.168.2.1/24 3
# lan 1 ip multicast mode static
192.168.3.0/24のネットワークを設定する
# lan 2 vlan 3
# lan 2 ip address 192.168.3.1/24 3
# lan 2 ip multicast mode static
マルチキャスト・スタティックルーティングの設定をする
# multicast ip route 0 192.168.1.2 239.255.1.1 lan0 lan1-lan2 設定終了# save
# commit
マルチキャスト機能を使う
123
[本装置2]
[本装置3]
ETHERポートを削除する
# delete ether
LANインタフェースを削除する
# delete lan
ETHER1、2ポートを設定する
# ether 1 vlan untag 1
# ether 2 vlan untag 2
192.168.4.0/24のネットワークを設定する
# lan 0 vlan 1
# lan 0 ip address 192.168.4.1/24 3
# lan 0 ip multicast mode static
192.168.2.0/24のネットワークを設定する
# lan 1 vlan 2
# lan 1 ip address 192.168.2.2/24 3
# lan 1 ip multicast mode static
マルチキャスト・スタティックルーティングの設定をする
# multicast ip route 0 192.168.1.2 239.255.1.1 lan1 lan0 設定終了# save
# commit
ETHERポートを削除する
# delete ether
LANインタフェースを削除する
# delete lan
ETHER1、2ポートを設定する
# ether 1 vlan untag 1
# ether 2 vlan untag 2
192.168.5.0/24のネットワークを設定する
# lan 0 vlan 1
# lan 0 ip address 192.168.5.1/24 3
# lan 0 ip multicast mode static
192.168.3.0/24のネットワークを設定する
# lan 1 vlan 2
# lan 1 ip address 192.168.3.2/24 3
# lan 1 ip multicast mode static
マルチキャスト・スタティックルーティングの設定をする
# multicast ip route 0 192.168.1.2 239.255.1.1 lan1 lan0 設定終了# save
# commit
IPフィルタリング機能を使う
124
29 IP フィルタリング機能を使う
本装置を経由してインターネットに送出されるパケット、またはインターネットから受信したパケットをIPアド レスとポート番号の組み合わせで制御することによって、ネットワークのセキュリティを向上させることができ ます。
IP フィルタリングの条件
本装置では、ACL番号で指定したACL定義の中で、以下の条件を指定することによってデータの流れを制御でき ます。
• プロトコル
• 送信元情報(IPアドレス/アドレスマスク/ポート番号)
• あて先情報(IPアドレス/アドレスマスク/ポート番号)
• IPパケットのTOS値/DSCP値
◆IPアドレスとアドレスマスクの決め方
IPフィルタリング条件の要素には「IPアドレス」と「アドレスマスク」があります。制御対象となるパケッ トは、本装置に届いたパケットのIPアドレスとアドレスマスクの論理積の結果が、指定したIPアドレスと一 致したものに限ります。
全機種
機能説明書
Internet
悪意のある利用者
法的に好ましくないサーバ
アクセスを許可された利用者
一般のサーバ
IPフィルタリング
意図しない接続
誤ったアクセス
遮断
遮断
遮断
透過
透過
ルータ
IPフィルタリング機能を使う
125
IP フィルタリングの設計方針
IPフィルタリングの設計方針には大きく分類して以下の2つがあります。
A. 基本的にパケットをすべて遮断し、特定の条件のものだけを透過させる B. 基本的にパケットをすべて透過させ、特定の条件のものだけを遮断する
ここでは、設計方針Aの例として、以下の設定例について説明します。
• 外部の特定サービスへのアクセスだけを許可する
• 外部から特定サーバへのアクセスだけを許可する
また、設計方針Bの例として、以下の設定例について説明します。
• 外部の特定サーバへのアクセスだけを禁止する
• 外部から特定サーバへのpingだけを禁止する
• IPフィルタリングでDHCP(ポート番号67、68)でのアクセスを制限する設定を行った場合、DHCP機能が使用で きなくなる場合があります。
• IPフィルタリング条件が複数存在する場合、それぞれの条件に優先順位がつき、数値の小さいものから優先的に採用 されます。設定内容によっては通信できなくなる場合がありますので、優先順位を意識して設定してください。
IPフィルタリング機能を使う
126