| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第2章 機能 | > 2.2 アドレス変換機能 | > 2.2.3 仮想アドレス |
設定した仮想アドレスを使用して、外部ネットワークとの通信を行う場合、仮想アドレス宛てのIPパケットは、本システムまで配送される必要があります。
仮想アドレス広報機能は、内部の特定のホストに割り当てた仮想アドレスに対して、外部ネットワークからのアクセスが可能となるように、その仮想アドレス情報を外部ネットワークに広報します。これにより、広報された仮想アドレスへのパケットは、本製品のアドレス変換機能で受信し、結果、必要なアドレス変換が行われ、内部ネットワーク上のホストとの通信が可能となります。
以下に、仮想アドレス広報機能の概要について示します。
本製品では、この仮想アドレス宛てのパケットが本システムまで配送されるよう、以下の機能を提供しています。
仮想アドレス経路制御
仮想アドレス解決機能
ただし、上記機能を利用できない以下の構成の場合、外部ネットワーク上のホスト(ルータ含む)は、設定した仮想アドレスに対する経路情報を静的に設定する必要があります。
仮想アドレス経路制御で広報される仮想アドレス宛てのホスト経路情報を認識できない場合
以下に、それぞれの機能について説明する。
外部ネットワーク上の経路制御機能に対して、設定された仮想アドレスに関するホスト経路情報を、RIPプロトコル(RIP V1)を使用して広報します。
これにより、外部ネットワーク上の経路制御機能は、広報された仮想アドレス宛てのホスト経路情報を受信することで、仮想アドレス宛てのIPパケットを、本システムに配送すべきであることを認識することができます。
なお、本機能を利用する場合、外部ネットワーク上の経路制御機能は、RIP V1プロトコルによる、ホスト経路情報を解釈できる必要があります。
設定された仮想アドレスが、本システムのインタフェースのネットワークアドレスに含まれる場合(本システムのネットワークインタフェースに割り当てられたサブネットと同一のサブネットの場合)、仮想アドレスに対するデータリンクアドレスを解決する必要があります。また、仮想アドレス広報機能では、ホスト宛の経路情報として仮想アドレス情報を広報しますが、当該ホスト/ルータ上の経路制御機能では、ホスト経路よりサブネット経路が優先される場合があります。
このような場合、IPアドレスとデータリンクアドレスとの対応は、IPv4ではARP、IPv6では近隣探索プロトコルで仮想アドレスのアドレス解決を行います。
「Interstage Security Director (Solaris版)」の場合、プラットフォームOSの機能を利用し、設定した仮想アドレスに対する自システムのMAC アドレスを登録してください。
IPv4の場合
|
arp -s 仮想アドレス MACアドレス pub |
IPv6の場合
|
ifconfig 論理インタフェース名 inet6 plumb ifconfig 論理インタフェース名 inet6 仮想アドレス ifconfig 論理インタフェース名 inet6 up |
論理インタフェース名
仮想アドレスを付加する論理インタフェース名を設定します。
たとえば、hme0に付加する場合、hme0:2のように設定します。
「Interstage Security Director (Windows版)」の場合、直接ARP パケットにより仮想アドレス宛てのパケットを本製品に送信することを学習することができるため、ホスト経路を明に設定する必要はありません。
これにより、本システムのインタフェースと同じネットワークに接続されたホスト(ルータ含む)は、直接当該IPパケットを本製品に転送できるようになります。
|
目次
索引
|