| ファイアウォール機能 テクニカルガイド |
|
目次
索引
|
| 第5章 FAQ | > 5.3 運用中のトラブル |
仮想アドレスを設定した場合の接続に失敗する原因として以下のことが考えられます。
仮想アドレスを設定したホストまたはネットワークに対する中継種別が透過条件となっていない。
クライアントから仮想アドレス宛のIPパケットを送信することができない設定になっている。
要因
仮想アドレス宛の中継を行う場合、条件設定は"透過(Trans)"で設定する必要があります。 透過設定になっていない場合("通過(PASS)")クライアントからサーバへの通過条件はサーバ 実アドレスへの条件となるため、仮想アドレス宛の中継は行われません。
調査(確認)方法
仮想アドレスへのパケットはBLOCKされます。
パケットモニタで"BLOCK"されていることを確認することができます。
以下のネットワーク構成例を用いて説明します。
要因
クライアントで動的経路制御が動作していない場合、仮想アドレス広報機能が送信した 情報を理解しないため、仮想アドレスへの経路がみつからない状態となります。 この場合、仮想アドレス宛の経路を静的に設定する必要があります。
上記ネットワーク構成の場合、仮想アドレス広報機能はサーバAとサーバBの仮想アドレス を以下のように送信します。
仮想アドレス広報機能が広報する経路情報
サーバAの仮想アドレスはネットワーク宛の経路情報(RIP Version1)として 広報します。これはサーバの仮想アドレスが202.216.161.0のネットワーク上 のアドレスと異なるため動的経路制御(routed等)によりネットワーク宛の経 路が設定可能なためです。
サーバBの仮想アドレスはホスト宛の経路情報(RIP Version1)として広報します。 これはサーバの仮想アドレスが202.216.161.0のネットワーク上のアドレスと同じで あるため動的経路制御でネットワーク宛の経路として設定不可能なためです。
クライアント1は、ルータを経由するため、サーバAおよびサーバBの仮想アドレスに 接続することができます。これは仮想アドレス広報機能が送信する仮想アドレス宛への 経路情報をルータが解釈(伝播)するからです。
クライアント2は、動的経路制御が行われている場合、仮想アドレスに接続することができます。 なお、動的経路制御が行われていない場合、仮想アドレスに対する静的経路を設定する必要があります。 この場合に設定する経路の宛先は、[ 仮想アドレス広報機能が広報する経路情報 ]で 記載した情報である必要があります。
ここで注意して頂きたいことは、サーバBに設定した仮想アドレスの経路を"ホスト経路"と して設定するということです。ちなみに、サーバAは"ネットワーク経路"を設定することに なります。
調査(確認)方法
クライアントまたはルータ上の経路情報を確認します。
以下の条件が設定されている必要があります。経路情報の出力形式が実際のものとは異なるかもしれません。 各システムの経路設定に関するマニュアルで確認してください。
【Windows NT/Windows 95/98の場合】
|
ネットワーク |
ネットマスク |
GWアドレス |
インタフェース |
Metric |
|---|---|---|---|---|
|
202.216.162.0 |
255.255.255.240 |
202.216.161.1 |
202.216.161.2 |
1 |
【Solaris, UXP/DSの場合】
|
ネットワーク |
GWアドレス |
Flags |
|
202.216.162.0 |
202.216.161.1 |
UG |
【Windows NT/Windows 95/98の場合】
|
ネットワーク |
ネットマスク |
GWアドレス |
インタフェース |
Metric |
|---|---|---|---|---|
|
202.216.161.10 |
255.255.255.255 |
202.216.161.1 |
202.216.161.2 |
1 |
【Solaris, UXP/DSの場合】
|
ネットワーク |
GWアドレス |
Flags |
|---|---|---|
|
202.216.161.10 |
202.216.161.1 |
UGH |
上記の経路が設定されていない場合、ARPパケットを送信してアドレス解決しようとします (ARPパケットはIPアドレスに対応するMACアドレスを獲得するためのプロトコルで同一ネットワーク上の ホストにIPパケットを送信する場合に送信されるパケットです)。
【Windows NT/Windows 95/98の場合】
|
ネットワーク |
ネットマスク |
GWアドレス |
インタフェース |
Metric |
|---|---|---|---|---|
|
202.216.162.0 |
255.255.255.240 |
202.216.161.1 |
202.216.161.3 |
1 |
【Solaris, UXP/DSの場合】
|
ネットワーク |
GWアドレス |
Flags |
|---|---|---|
|
202.216.162.0 |
202.216.161.1 |
UG |
【Windows NT/Windows 95/98の場合】
|
ネットワーク |
ネットマスク |
GWアドレス |
インタフェース |
Metric |
|---|---|---|---|---|
|
202.216.161.0 |
255.255.255.255 |
202.216.161.1 |
202.216.161.2 |
1 |
【Solaris, UXP/DSの場合】
|
ネットワーク |
GWアドレス |
Flags |
|---|---|---|
|
202.216.161.10 |
202.216.161.1 |
UGH |
*上記の経路が設定されていない場合、ARPパケットを送信してアドレス解決しようとします。
対処方法
隣接するルータまたは端末に仮想アドレスへの経路を設定してください。
なお、SolarisおよびUXP/DSでは自ホストのIPアドレス以外のARPリクエストパケット に対して、応答を返す設定が用意されています。ルータおよび端末にホスト経路を設 定できない場合には、この設定を利用することができます。
仮想アドレスにアクセスする端末(図中"クライアント2")側のインタフェースについて、MACアドレスを確認します。
【Solarisの場合】
|
# /usr/sbin/ifconfig hme0 hme1: flags=863 mtu 1500 inet 202.216.161.1 netmask fffffff0 broadcast 202.216.161.15 ether 0:80:0:0:0:1 |
【UXP/DSの場合】
|
# /usr/bin/getmaddr emd0 emd0: 使用アドレス 00:80:00:00:00:01 emd0: グローバルアドレス 00:80:00:00:00:01 |
仮想アドレス宛てのARPエントリ(published指定)を設定します。
|
# /usr/sbin/arp -s 202.216.161.10 00:80:00:00:00:01 pub |
仮想アドレス宛てのARPエントリが正しく設定されていることを確認します。
【Solarisの場合】
"Flags"に"P"が設定されていることを確認してください。
|
# arp -a Net to Media Table Device IP Address Mask Flags Phys Addr ------ ------------------ ------------ --- --------------- hme0 202.216.161.10 255.255.255.255 SP 00:80:00:00:00:01 |
【UXP/DSの場合】
"published"が設定されていることを確認してください。
|
# arp -a server_B (202.216.161.10) at 0:80:0:0:0:1 permanent published |
"pub"指定が正しく設定されていない場合には"arp -d"で削除し、再度設定して 下さい。なお、リブート後にも本設定が有効となるように、/etc/rc2.d 配下の 初期化スクリプトを作成し、上記(b)を実施するようにして下さい。
(注)
arp コマンドでARP応答を返す設定はWindowsでは公開されていません。 Windows版を使用している場合には、各ルータ、端末側でホスト経路を設定して下さい。なお、Windows版 Safegate V2.0L20では、仮想アドレスに対するARP応答を返す機能を提供(patch-id:TP03080)しています。
|
目次
索引
|