Cisco 4700 シリーズ Application Control Engine Appliance Device Manager GUI コンフィギュレー ション ガイド
ネットワーク アクセスの設定
ネットワーク アクセスの設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

ネットワーク アクセスの設定

ポート チャネル インターフェイスの設定

ギガビット イーサネット インターフェイスの設定

仮想コンテキスト VLAN インターフェイスの設定

すべての VLAN インターフェイスの表示

VLAN インターフェイス オプションの設定

VLAN インターフェイス ポリシー マップ使用の設定

VLAN インターフェイス アクセス コントロールの設定

VLAN インターフェイス スタティック ARP エントリの設定

VLAN インターフェイス NAT プールの設定

VLAN インターフェイス DHCP リレーの設定

仮想コンテキスト BVI インターフェイスの設定

コンテキスト別の全 BVI インターフェイスの表示

仮想コンテキスト スタティック ルートの設定

コンテキスト別の全スタティック ルートの表示

グローバル IP DHCP の設定

ネットワーク アクセスの設定

ACE Applianceには物理イーサネット インターフェイス ポートが 4 つあります。すべての VLAN を物理ポートに割り当てます。VLAN の割り当て後、対応する VLAN インターフェイスをルーテッドまたはブリッジドで使用するものとして設定できます。インターフェイス上で IP アドレスを設定すると、ACE Applianceが自動的に、そのインターフェイスをルーテッド モード インターフェイスにします。

同様に、インターフェイス VLAN 上でブリッジ グループを設定すると、ACE Applianceが自動的に、そのインターフェイスをブリッジド モード インターフェイスにします。その後、BVI(ブリッジ グループ仮想インターフェイス)をブリッジ グループに関連付けます。

ACE Applianceは共有 VLAN、つまり同じサブネット内の同じ VLAN 上にある異なるコンテキストに属す複数のインターフェイスもサポートします。VLAN を共有できるのは、ルーテッド インターフェイスだけです。共有 VLAN が設定されている場合でも、複数のコンテキストにまたがるルーティングは行われないことに注意してください。

ルーテッド モードでは、ACE はネットワーク上のルータ ホップと見なされます。Admin コンテキストまたはユーザ コンテキストで ACE がサポートするのは、スタティック ルートだけです。ACE はロード バランシングのために、最大 8 つの等コスト ルートをサポートします。

関連トピック

「ポート チャネル インターフェイスの設定」

「ギガビット イーサネット インターフェイスの設定」

「仮想コンテキスト VLAN インターフェイスの設定」

「VLAN インターフェイス オプションの設定」

「仮想コンテキスト BVI インターフェイスの設定」

「仮想コンテキスト スタティック ルートの設定」

「グローバル IP DHCP の設定」

ポート チャネル インターフェイスの設定

ACE 上の物理ポートをグループにまとめ、ポート チャネルという論理レイヤ 2 インターフェイスを形成できます。同じポート チャネルに属すすべてのポートに、同じ値を設定する必要があります。たとえば、ポート パラメータ、VLAN メンバシップ、トランク設定などです。チャネル グループで使用できるポート チャネルは 1 つだけです。また、物理ポートが所属できるポート チャネル インターフェイスは 1 つだけです。


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Network] > [Port Channel Interfaces] の順に選択します。[Port Channel Interfaces] テーブルが表示されます。

ステップ 2 [Add] をクリックしてポート チャネル インターフェイスを追加するか、または既存のポート チャネル インターフェイスを選択し、 [Edit] をクリックして変更します。


[Edit] をクリックしても、すべてのフィールドを変更できるわけではありません。


ステップ 3 ポート チャネル インターフェイスのアトリビュートを入力します( 表 8-1 を参照)。

 

表 8-1 ポート チャネル インターフェイスのアトリビュート

フィールド
説明

[Interface Number]

1 ~ 255 で、ポート チャネル インターフェイスのチャネル番号を指定します。

[Description]

このインターフェイスの簡単な説明を入力します。

[Fault Tolerance VLAN]

フォールト トレラント(FT)グループのメンバ間の通信に使用する FT VLAN を指定します。

[Admin Status]

インターフェイスをアップにするのかダウンにするのかを指定します。

[Load Balancing Method]

次のロード バランシング方式の 1 つを指定します。

[Dst-IP]:宛先 IP アドレスに基づく負荷分散

[Dst-MAC]:宛先 MAC アドレスに基づく負荷分散

[Dst-Port]:宛先 TCP または UDP ポートに基づく負荷分散

[Src-Dst-IP]:送信元または宛先 IP アドレスに基づく負荷分散

[Src-Dst-MAC]:送信元または宛先 MAC アドレスに基づく負荷分散

[Src-Dst-Port]:送信元または宛先ポートに基づく負荷分散

[Src-IP]:送信元 IP アドレスに基づく負荷分散

[Src-MAC]:送信元 MAC アドレスに基づく負荷分散

[Src-Port]:TCP または UDP 送信元ポートに基づく負荷分散

[Switch Port Type]

インターフェイスのスイッチポート タイプを指定します。

[N/A]:スイッチポート タイプを指定しないという意味です。

[Access]:ポート インターフェイスがアクセス ポートであることを指定します。[Access VLAN] フィールドに、アクセス ポートとして VLAN を指定する必要があります。

[Trunk]:ポート インターフェイスがトランク ポートであることを指定します。[Trunk] を選択した場合は、次のフィールドに入力する必要があります。

[Trunk Native VLAN]:トランクとして 802.1Q ネイティブ VLAN を指定します。

[Trunk Allowed VLANs]:個々の VLAN を選択してトランク リンクに割り当てます。

ステップ 4 次のいずれかをクリックします。

[Deploy Now] :入力を保存して [Port Channel Interface] テーブルに戻ります。

[Cancel] :設定変更を保存しないでこの手順を終了し、[Port Channel Interface] テーブルに戻ります。

[Next] :入力を保存し、次のポート チャネル インターフェイスを追加します。


 

ギガビット イーサネット インターフェイスの設定

ACE Appliance には、サーバ、PC、ルータ、およびその他のデバイスを ACE に接続するための物理イーサネット ポートが 4 つ備わっています。ACE はレイヤ 2 スイッチングを実行できるように、レイヤ 2 イーサネット ポートを 4 つサポートします。10 Mbps、100 Mbps、または 1000 Mbps ネットワークに接続するインターフェイスが得られるように、4 つのイーサネット ポートを設定できます。各レイヤ 2 イーサネット ポートはイーサネット LAN 上で自動ネゴシエーション、全二重、または半二重動作をサポートし、指定された VLAN 内でトラフィックを伝送できます。

レイヤ 2 イーサネット ポートは、次のものとして設定できます。

ポート チャネル グループのメンバ:ポートは、ポート チャネル グループのメンバとして設定されます。ポート チャネル グループは、ACE 上の物理ポートを論理ポートに関連付け、ポート チャネル論理インターフェイスを作成します。VLAN アソシエーションは、ポート チャネルの設定に基づいて行われます。ポートはレイヤ 2 EtherChannel として設定され、各 EtherChannel が個々の物理イーサネット データ ポートを束ねて 1 つの論理リンクを形成します。論理リンクは最大で、ACE 上の 4 つの物理リンクを合わせた帯域幅を提供します。

アクセス VLAN:ポートは 1 つの VLAN に割り当てられます。このポートはアクセス ポートと呼ばれ、エンド ユーザまたはルータ、サーバなどのノード デバイスに接続します。

トランク ポート:ポートは IEEE 802.1Q カプセル化ベースの VLAN トランキングと関連付けられます。ポートに VLAN が割り当てられ、ACE 上のレイヤ 2 イーサネット データ ポートまたはレイヤ 2 EtherChannel(ポート チャネル)グループで定義されたすべてのチャネルのスイッチ間で VLAN 情報(VLAN 識別情報を含む)の受け渡しが行われます。

ギガビット イーサネット インターフェイスの設定順は、次のとおりです。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Network] > [Gigabit Ethernet Interfaces] の順に選択します。[GigabitEthernet Interfaces] テーブルが表示されます。

ステップ 2 既存のギガビット イーサネット インターフェイスを選択し、 [Edit] をクリックして変更します。

ステップ 3 ギガビット イーサネット物理インターフェイスのアトリビュートを入力します( 表 8-2 を参照)。

 

表 8-2 ギガビット イーサネット物理インターフェイスのアトリビュート

フィールド
説明

[Interface Name]

ギガビット インターフェイスの名前。 slot_number / port_number で表します。 slot_number は、指定のポートに対応する ACE 上の物理スロットです。 port_number は指定のポートに対応する ACE 上の物理イーサネット データ ポートです。

[Description]

このインターフェイスの簡単な説明を入力します。

[Admin Status]

インターフェイスをアップにするのかダウンにするのかを指定します。

[Speed]

次のいずれかでポート速度を指定します。

[Auto]:他のデバイスとの自動ネゴシエーション

[10 Mbps]

[100 Mbps]

[1000 Mbps]

[Duplex]

次のいずれかで、インターフェイスのデュプレックス モードを指定します。

[Auto]:指定されたイーサネット ポートをリセットし、着信信号のポート速度およびデュプレックスとの自動ネゴシエーションを行います。これは、デフォルト設定です。

[Half]:指定のイーサネット ポートを半二重動作として設定します。半二重の設定によって、任意の 1 時点で、データの流れが 1 方向だけであることが保証されます。

[Full]:指定のイーサネット ポートを全二重動作として設定します。両方向に同時にデータを流せます。

[Port Operation Mode]

次のいずれかで、ポートの動作モードを指定します。

[N/A]:このオプションを使用しないという意味です。

[Channel-group]:ポートをポート チャネルにマッピングすることを指定します。次の情報を指定する必要があります。

[Port Channel Group Number]:ポート チャネル グループ番号を指定します。

[Fault Tolerant VLAN]:FT グループのメンバ間の通信に使用する FT VLAN を指定します。

[Switch Port]:インターフェイスのスイッチポート タイプを指定します。

[Access]:ポート インターフェイスがアクセス ポートであることを指定します。[Access VLAN] フィールドに、アクセス ポートとして VLAN を指定する必要があります。

[Trunk]:ポート インターフェイスがトランク ポートであることを指定します。[Trunk] を選択した場合は、次のフィールドの一方または両方に入力する必要があります。

[Trunk Native VLAN]:トランクとして 802.1Q ネイティブ VLAN を指定します。

[Trunk Allowed VLANs]:個々の VLAN を選択してトランク リンクに割り当てます。

[Fault Tolerant VLAN]

FT グループのメンバ間の通信に使用する FT VLAN を指定します。

[Carrier Delay]

トランジション タイムの問題に対処できるように、各種ピアに基づいて、物理ポート レベルでの設定可能な遅延を追加します。有効値は 0 ~ 120 秒です。デフォルトは 0(キャリア遅延なし)です。

(注) ACE を Catalyst 6500 シリーズ スイッチに接続する場合、Catalyst の設定に STP(スパニング ツリー プロトコル)が含まれている可能性があります。しかし、ACE は STP をサポートしません。この場合、レイヤ 2 のコンバージェンス タイムが物理ポートのアップタイムよりはるかに長引くことがあります。たとえば、物理ポートは通常、3 秒以内にアップしますが、STP がフォワード ステートに移るには、約 30 秒かかります。このトランジション タイムの間に ACE がポートのアップを宣言しても、トラフィックは流れません。この場合は、キャリア遅延を指定します。

[QoS Trust COS]

物理イーサネット ポートに対して QoS(Quality of Service)をイネーブルにします。デフォルトでは、QoS は ACE 上の各物理イーサネット ポートに対してディセーブルです。

設定された物理インターフェイス ポートの QoS は、VLAN CoS(サービス クラス)ビット(8 種類のサービス クラスにトラフィックを分けるプライオリティ ビット)に基づきます。ポートで QoS がイネーブルの場合(trusted port)、トラフィックはそれぞれの VLAN CoS ビットに基づいてさまざまな入力キューにマッピングされます。VLAN CoS ビットが存在しない場合、またはポート上で QoS がイネーブルになっていない場合(untrusted port)、トラフィックはプライオリティが最下位のキューにマッピングされます。

耐障害性が設定されたイーサネット ポートに対して QoS をイネーブルにできます。この場合、ハートビート パケットは必ず、CoS ビットを 7(High の重み)に設定してタグ付けされます。

(注) FT VLAN ポート上で QoS をイネーブルにして、FT トラフィックのプライオリティを高くすることを推奨します。

ステップ 4 次のいずれかをクリックします。

[Deploy Now] :入力を保存して [Physical Interface] テーブルに戻ります。

[Cancel] :設定変更を保存しないでこの手順を終了し、[Physical Interface] テーブルに戻ります。

[Next] または [Previous] :次または前の物理チャネルに進みます。

[Delete] :[Physical Interface] テーブルからこのエントリを削除し、テーブルに戻ります。


 

関連トピック

「仮想コンテキスト VLAN インターフェイスの設定」

「仮想コンテキスト BVI インターフェイスの設定」

「仮想コンテキスト スタティック ルートの設定」

仮想コンテキスト VLAN インターフェイスの設定

ACE Appliance Device Manager では、クラス マップおよびポリシー マップを使用して、トラフィックを分類(フィルタリング)し、さまざまなコンテキストに振り分けます。仮想コンテキストでは、VLAN を使用してそのコンテキストに分類されたパケットを受け取ります。


) 仮想コンテキスト用の新しい VLAN インターフェイスを作成するときには、任意のユーザ コンテキストで 1 つ以上の VLAN インターフェイスを設定してから、[Allocate-Interface VLANs] フィールドによって、仮想コンテキストの関連ユーザ コンテキストにそれらの VLAN インターフェイスを割り当てることができます(「仮想コンテキストの作成」を参照)。


仮想コンテキスト用の VLAN インターフェイスを設定する手順は、次のとおりです。

手順


ステップ 1 仮想コンテキストを設定するには、 [Config] > [Virtual Contexts] > [ context ] > [Network] > [VLAN Interfaces] の順に選択します。[VLAN Interface] テーブルが表示されます。

ステップ 2 [Add] をクリックして新しい VLAN インターフェイスを追加するか、または既存の VLAN インターフェイスを選択し、 [Edit] をクリックして変更します。


[Edit] をクリックしても、すべてのフィールドを変更できるわけではありません。


ステップ 3 VLAN インターフェイスのアトリビュートを入力します(表 8-3 を参照)。その他の VLAN インターフェイス アトリビュートにアクセスするには、 [More Settings] をクリックします。デフォルトでは、ACE Appliance の Device Manager では、デフォルトの VLAN インターフェイス アトリビュートと、あまり使用されない VLAN インターフェイス アトリビュートは非表示になっています。


) FT VLAN を作成した場合、その VLAN を他のネットワーク トラフィックには使用しないでください。


 

表 8-3 VLAN インターフェイスのアトリビュート

フィールド
説明

[VLAN]

自動的に増分されたエントリを受け入れるか、または別の値を入力します。有効な入力は 2 ~ 4094 の整数です。

[Description]

このインターフェイスの簡単な説明を入力します。

[IP Address]

このインターフェイスに割り当てる IP アドレスを入力します。

[Alias IP Address]

このインターフェイスと関連付けるエイリアスの IP アドレスを入力します。

[Peer IP Address]

リモート ピアの IP アドレスを入力します。

[Netmask]

使用するサブネット マスクを選択します。

[Admin Status]

インターフェイスをアップにするのかダウンにするのかを指定します。

[Enable MAC Sticky]

ダイナミック MAC アドレスをスティッキ セキュア MAC アドレスに変換し、その情報を実行設定に追加することを ACE Applianceに指示する場合は、チェックボックスをオンにします。

ダイナミック MAC アドレスをスティッキ セキュア MAC アドレスに変換しないことを ACE Applianceに指示する場合は、チェックボックスの選択を解除します。

[Enable Normalization]

このインターフェイス上で正規化をイネーブルにする場合は、チェックボックスをオンにします。このインターフェイス上で正規化をディセーブルにする場合は、チェックボックスの選択を解除します。


注意 正規化をディセーブルにすると、ACE Applianceおよびネットワークでセキュリティ リスクが生じる可能性があります。正規化は、トラフィックが変形されていないか、不正に分割されていないかを検証する、厳格なセキュリティ ポリシーを適用することによって、攻撃者からネットワーキング環境を保護します。

[More Settings]

[ARP Inspection Type]

ARP インスペクションはデフォルトで、すべてのインターフェイスでディセーブルであり、あらゆる ARP パケットが ACE を通過できます。ARP インスペクションをイネーブルにした場合、ACE Applianceは着信 ARP パケットの IP アドレスとインターフェイス ID(iID)を ARP テーブルへの索引として使用します。ARP インスペクションが機能するのは、入力ブリッジド インターフェイス上に限られます。

ARP インスペクションは、不正ユーザによる他のホストまたはルータの偽装、つまり ARP スプーフィングを防止します。ARP スプーフィングによって、「man-in-the-middle」(中間者)攻撃が可能になります。たとえば、ホストからゲートウェイ ルータに ARP 要求を送信します。ゲートウェイ ルータはゲートウェイ ルータの MAC アドレスで応答します。

(注) ARP インスペクションに失敗した場合、ACE は送信元 MAC を検証しません。

オプションは次のとおりです。

[N/A]:ARP インスペクションはディセーブルです。

[Flood]:不一致の ARP パケットの ARP フォワーディングが可能です。ACE Applianceはブリッジ グループのすべてのインターフェイスにすべての ARP パケットを転送します。これは、デフォルト設定です。スタティック ARP エントリがない場合、このオプションによってすべてのパケットがブリッジングされます。

[No-flood]:インターフェイスの ARP フォワーディングをディセーブルにして、不一致 ARP パケットを廃棄します。スタティック ARP エントリがない場合、このオプションを指定すると、どのパケットもブリッジングされません。

[Max.Fragment Chains Allowed]

ACE Applianceが再構成のために受け付けることになっているのと同じパケットに属すフラグメントの最大数を入力します。有効な入力は 1 ~ 256 の整数です。

[Min.Fragment MTU Value]

VLAN インターフェイスの再構成のために ACE Applianceが受け付けるフラグメントの最小サイズを入力します。有効な入力は 28 ~ 9216 の整数バイトです。

[MTU Value]

最大伝送ユニット(maximum transmission unit; MTU)のバイト数を入力します。有効な入力は 68 ~ 9216 の整数で、デフォルトは 1500 です。

[Reassembly Timeout (Seconds)]

ACE Applianceが現在のフラグメント チェーンの未処理フラグメント(つまり、同じパケットに属すフラグメント)を受信しなかった場合に、フラグメント再構成プロセスを放棄するまでに待機する秒数を入力します。有効な値は 1 ~ 30 秒です。

[Reverse Path Forwarding (RPF)]

逆ルートがない場合、またはパケットが到着したインターフェイスとルートが一致しない場合に、IP パケットを廃棄することを ACE Applianceに指示する場合は、チェックボックスをオンにします。

送信元 IP アドレス検証機能に基づくパケットのフィルタリングまたは廃棄を行わないことを ACE Applianceに指示する場合は、チェックボックスの選択を解除します。

[Bridge Group Number]

この VLAN 上で設定するブリッジ グループの番号を入力します。VLAN 上でブリッジ グループを設定すると、ACE Applianceが自動的にブリッジ型にします。有効な入力は 1 ~ 4094 です。

[Enable MAC Address Autogenerate]

VLAN インターフェイスに別の MAC アドレスを設定できます。

[Enable ICMP Guard]

ACE Appliance上で ICMP Guard をイネーブルにする場合は、チェックボックスをオンにします。ACE Appliance上で ICMP Guard をイネーブルにしない場合は、チェックボックスの選択を解除します。


注意 ICMP セキュリティ チェックをディセーブルにすると、ACE Applianceおよびネットワークでセキュリティ リスクが生じる可能性があります。ICMP Guard をディセーブルにすると、ACE Applianceはエラー パケットの ICMP ヘッダーおよびペイロードに対して Network Address Translation(NAT; ネットワーク アドレス変換)変換を実行しないため、攻撃者に実ホストの IP アドレスが明かになる可能性があります。

[Enable DHCP Relay]

このインターフェイスでクライアントからの DHCP 要求を受け付け、DHCP リレー エージェントをイネーブルにすることを ACE Applianceに指示する場合は、チェックボックスをオンにします。

DHCP 要求を受け付けない、または DHCP リレー エージェントをイネーブルにしないことを ACE Applianceに指示する場合は、チェックボックスの選択を解除します。

[Action For DF Bit]

IP ヘッダーに DF(Don't Fragment)ビットが設定されているパケットを ACE Applianceにどのように処理させるかを指定します。

[Allow]:ACE Applianceに DF ビットが設定されたパケットを許可させます。パケットがネクストホップ MTU より大きい場合、ACE Applianceはそのパケットを廃棄し、ICMP 到達不能メッセージを送信元ホストに送信します。

[Clear]:ACE Applianceが DF ビットを消去してパケットを許可するようにします。パケットがネクストホップ MTU より大きい場合、ACE Applianceはそのパケットを分割します。

デフォルトは [Allow] です。

[Action For IP Header Options]

パケットに IP オプションが設定されている場合に、ACE Applianceに実行させるアクションを選択します。

[Allow]:ACE Applianceに IP オプションが設定された IP パケットを許可させます。

[Clear]:ACE Applianceがパケットからすべての IP オプションを消去してパケットを許可するようにします。

[Clear-Invalid]:ACE Applianceがパケットから無効な IP オプションを消去してパケットを許可するようにします。

[Drop]:設定されているオプションに関係なく、ACE Applianceにパケットを廃棄させます。

[Min.TTL IP Header Value]

宛先に到達するまでに、パケットに認める最小ホップ数を入力します。有効な入力は 1 ~ 255 の整数です。

パケット パス上のルータごとに、TTL(存続可能時間)が 1 ずつ減少します。パケットが宛先に到達する前に、パケットの TTL がゼロになった場合、そのパケットは廃棄されます。

[Enable Syn Cookie Threshold Value]

初期接続のしきい値。このしきい値を上回ると、ACE が SYN クッキー DoS 保護を適用します。有効な入力は 1 ~ 65535 の整数です。

[UDP Config Commands]

UDP ブースト コマンドを選択します。

[N/A]:適用しない

[IP Destination Hash]:接続時に宛先 IP ハッシュを実行

[IP Source Hash]:接続ルックアップ時に送信元 IP ハッシュを実行

ステップ 4 次のいずれかをクリックします。

[Deploy Now] :入力を保存して [VLAN Interface] テーブルに戻ります。

[Cancel] :設定変更を保存しないでこの手順を終了し、[VLAN Interface] テーブルに戻ります。

[Next] :入力を保存し、次の VLAN インターフェイスを追加します。


 

関連トピック

「VLAN インターフェイス オプションの設定」

すべての VLAN インターフェイスの表示

すべての VLAN インターフェイスを表示する手順は、次のとおりです。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Network] > [VLAN Interfaces] の順に選択します。

選択した仮想コンテキストの VLAN インターフェイスをすべて示した [VLAN Interface] テーブルが表示されます。


 

関連トピック

「仮想コンテキスト VLAN インターフェイスの設定」

「VLAN インターフェイス オプションの設定」

「VLAN インターフェイス ポリシー マップ使用の設定」

VLAN インターフェイス オプションの設定

VLAN インターフェイスを追加すると、ポリシー マップの使用、アクセス グループ、スタティック ARP エントリなど、その他の VLAN インターフェイス アトリビュートを設定できます。新しい VLAN インターフェイスを追加すると、各アトリビュートに対応するタブが [VLAN Interface] テーブルの下または [VLAN Interface] 設定画面の下に表示されます。

VLAN インターフェイスの設定オプションは、次のとおりです。

「VLAN インターフェイス ポリシー マップ使用の設定」

「VLAN インターフェイス アクセス コントロールの設定」

「VLAN インターフェイス スタティック ARP エントリの設定」

「VLAN インターフェイス NAT プールの設定」

「VLAN インターフェイス DHCP リレーの設定」

VLAN インターフェイス ポリシー マップ使用の設定

次の手順で、ポリシー マップと VLAN インターフェイスを関連付けます。

前提

1 つ以上の VLAN インターフェイスが正常に設定されている必要があります(「仮想コンテキスト VLAN インターフェイスの設定」を参照)。

この仮想コンテキスト用にレイヤ 3/レイヤ 4 または管理ポリシー マップを設定しておく必要があります。詳細については、「トラフィック ポリシーの設定」を参照してください。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Network] > [VLAN Interfaces] の順に選択します。

[VLAN Interfaces] テーブルが表示されます。

ステップ 2 ポリシー マップと関連付ける VLAN インターフェイスを選択してから、[Policy] タブを選択します。[Policy] テーブルが表示されます。

ステップ 3 [Add] をクリックして、ポリシーを追加します。[Policy] 設定画面が表示されます。

ステップ 4 [Policy Map] フィールドで、この VLAN インターフェイスと関連付けるポリシー マップを選択します。


) VLAN インターフェイスに管理ポリシー マップが関連付けられている場合、Device Manager はそのインターフェイスを管理インターフェイスと見なします。「仮想コンテキストの作成」を参照してください。


ステップ 5 [Direction] フィールドへの入力値は自動的に指定されます。このポリシー マップはインターフェイスの着信方向、つまりこのインターフェイスで受信されたすべてのトラフィックに適用されます。

ステップ 6 次のいずれかをクリックします。

[Deploy Now] :入力を保存して [Policy] テーブルに戻ります。

[Cancel] をクリックすると、入力した内容を保存しないでこの手順は終了し、[Policy] テーブルに戻ります。

[Next] :入力を保存し、このインターフェイスに次のポリシーを追加します。


 

関連トピック

「VLAN インターフェイス アクセス コントロールの設定」

「VLAN インターフェイス スタティック ARP エントリの設定」

「VLAN インターフェイス NAT プールの設定」

「VLAN インターフェイス DHCP リレーの設定」

VLAN インターフェイス アクセス コントロールの設定

ACE Appliance Device Manager では Access Control List(ACL; アクセス コントロール リスト)を使用して、仮想コンテキストの VLAN インターフェイスへのアクセスおよび VLAN インターフェイスからのアクセスを制限します。VLAN インターフェイスのアクセス コントロールを設定する手順は、次のとおりです。

前提

1 つ以上の VLAN インターフェイスが正常に設定されている必要があります(「仮想コンテキスト VLAN インターフェイスの設定」を参照)。

この仮想コンテキスト用の ACL を設定しておく必要があります。ACL 名を入力しても、ACL は設定されません。ACE Appliance 上で ACL を設定する必要があります。詳細については、「仮想コンテキスト エキスパート オプション設定」を参照してください。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Network] > [VLAN Interfaces] の順に選択します。

[VLAN Interfaces] テーブルが表示されます。

ステップ 2 ACL と関連付ける VLAN インターフェイスを選択してから、[Access Group] タブを選択します。[Access Group] テーブルが表示されます。

ステップ 3 [Add] をクリックして、新しい ACL を選択した VLAN インターフェイスに関連付けます。[Access Group] 設定画面が表示されます。

ステップ 4 [ACL Name] フィールドで、この VLAN インターフェイスと関連付ける ACL グループを選択します。

ステップ 5 [Direction] フィールドで、このアクセス グループを適用するトラフィックを選択します。

[Input]:このアクセス グループをインターフェイスの着信方向、つまりこのインターフェイスで受信したすべてのトラフィックに適用することを指定します。

[Output]:このアクセス グループをインターフェイスの発信方向、つまりこのインターフェイスから送信するすべてのトラフィックに適用することを指定します。

ステップ 6 次のいずれかをクリックします。

[Deploy Now] :入力を保存して [Access Group] テーブルに戻ります。

[Cancel] :入力を保存しないでこの手順を終了し、[Access Group] テーブルに戻ります。

[Next] :入力を保存し、このインターフェイスに次のアクセス グループを追加します。


 

関連トピック

「VLAN インターフェイス ポリシー マップ使用の設定」

「VLAN インターフェイス スタティック ARP エントリの設定」

「VLAN インターフェイス NAT プールの設定」

「VLAN インターフェイス DHCP リレーの設定」

VLAN インターフェイス スタティック ARP エントリの設定

VLAN インターフェイスのスタティック ARP エントリを設定する手順は、次のとおりです。

前提

1 つ以上の VLAN インターフェイスが正常に設定されている必要があります(「仮想コンテキスト VLAN インターフェイスの設定」を参照)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Network] > [VLAN Interfaces] の順に選択します。

[VLAN Interface] テーブルが表示されます。

ステップ 2 スタティック ARP エントリを設定する VLAN インターフェイスを選択してから、[Static ARP Entries] タブを選択します。[Static ARP Entries] テーブルが表示されます。

ステップ 3 [Add] をクリックして新しいエントリを追加します。[Static ARP Entries] 設定画面が表示されます。

ステップ 4 [ARP IP Address] フィールドに、ドット付き 10 進表記で IP アドレスを入力します(例:192.168.11.2)。

ステップ 5 [ARP MAC Address] フィールドに、ARP テーブル エントリのハードウェア MAC アドレスを入力します(例:00.02.9a.3b.94.d9)。

ステップ 6 次のいずれかをクリックします。

[Deploy Now] :入力を保存して [Static ARP Entries] テーブルに戻ります。

[Cancel] :入力を保存しないでこの手順を終了し、[Static ARP Entries] テーブルに戻ります。

[Next] :入力を保存し、次のスタティック ARP エントリを追加します。


 

関連トピック

「VLAN インターフェイス ポリシー マップ使用の設定」

「VLAN インターフェイス アクセス コントロールの設定」

「VLAN インターフェイス NAT プールの設定」

「VLAN インターフェイス DHCP リレーの設定」

VLAN インターフェイス NAT プールの設定

NAT(ネットワーク アドレス変換)の目的は、IP アドレスの簡素化と節約です。NAT によって、未登録 IP アドレスを使用するプライベート IP ネットワークをインターネットに接続できます。NAT はルータ上で動作し、通常は 2 つのネットワークを接続して、内部ネットワークのプライベート(グローバルに一意ではない)アドレスを正規のアドレスに変換してから、パケットを次のネットワークに転送します。

ACE Appliance Device Manager を使用すると、ネットワーク全体で 1 つのアドレスだけを外部にアドバタイズするように NAT を設定できます。これによって、そのアドレスの背後にある内部ネットワーク全体が巧妙に隠蔽されるため、セキュリティとアドレス節約の両方が実現します。

PAT(ポート アドレス変換)を NAT と組み合わせて使用すると、複数の内部アドレスを 1 つだけまたは少数の外部アドレスに変換できます。PAT によって、ポート レベルでスタティック アドレス変換を設定し、残りの IP アドレスを他の変換に使用できます。PAT は送信元ポートを各フローに関連付けることによって、NAT を 1 対 1 から多対 1 に効果的に拡張します。

VLAN インターフェイスの NAT プールを設定する手順は、次のとおりです。

前提

1 つ以上の VLAN インターフェイスが正常に設定されている必要があります(「仮想コンテキスト VLAN インターフェイスの設定」を参照)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Network] > [VLAN Interfaces] の順に選択します。

[VLAN Interface] テーブルが表示されます。

ステップ 2 NAT プールを設定する VLAN インターフェイスを選択してから、[NAT Pool] タブを選択します。[NAT Pool] テーブルが表示されます。

ステップ 3 [NAT Pool] テーブルで、 [Add] をクリックして新しいエントリを追加します。[NAT Pool] 設定画面が表示されます。

ステップ 4 [NAT Id] フィールドで、自動的に増分されたエントリを受け入れるか、またはこのプールを一意に識別できる新しい番号を入力します。有効な入力は 1 ~ 2147483647 の整数です。

ステップ 5 [Start IP Address] フィールドに、ドット付き 10 進表記で IP アドレスを入力します(例:192.168.11.2)。このエントリでは、単一の IP アドレスを指定するか、または IP アドレス範囲を使用する場合は、この NAT プールに対応するグローバル アドレス範囲の最初の IP アドレスを指定します。

ステップ 6 [End IP Address] フィールドに、この NAT プールに対応するグローバル IP アドレス範囲で最大の IP アドレスを入力します。ドット付き 10 進表記で IP アドレスを入力します(例:192.168.11.2)。

[Start IP Address] フィールドで単一 IP アドレスを指定する場合、このフィールドはブランクにしておきます。

ステップ 7 [Netmask] フィールドで、NAT プールのグローバル IP アドレスに対応するサブネット マスクを選択します。

ステップ 8 NAT に加えて PAT を実行することを ACE Applianceに指示する場合は、[PAT Enabled] チェックボックスを選択します。NAT とともに PAT を実行しないことを ACE Applianceに指示する場合は、チェックボックスの選択を解除します。

ステップ 9 次のいずれかをクリックします。

[Deploy Now] :入力を保存して [NAT Pool] テーブルに戻ります。

[Cancel] :入力を保存しないでこの手順を終了し、[NAT Pool] テーブルに戻ります。

[Next] :入力を保存し、次の NAT Pool エントリを追加します。


 

関連トピック

「VLAN インターフェイス ポリシー マップ使用の設定」

「VLAN インターフェイス アクセス コントロールの設定」

「VLAN インターフェイス スタティック ARP エントリの設定」

「VLAN インターフェイス DHCP リレーの設定」

VLAN インターフェイス DHCP リレーの設定

VLAN インターフェイスの DHCP リレーを設定する手順は、次のとおりです。

前提

1 つ以上の VLAN インターフェイスが正常に設定されている必要があります(「仮想コンテキスト VLAN インターフェイスの設定」を参照)。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Network] > [VLAN Interfaces] の順に選択します。

[VLAN Interfaces] テーブルが表示されます。

ステップ 2 DHCP リレーを設定する VLAN インターフェイスを選択してから、[DHCP Relay Configuration] タブを選択します。[DHCP Relay Configuration] テーブルが表示されます。

ステップ 3 [Add] をクリックして新しいエントリを追加します。[DHCP Relay] 設定画面が表示されます。

ステップ 4 [IP Address] フィールドに、DHCP リレー エージェントにクライアント要求を転送させる DHCP サーバの IP アドレスを入力します。ドット付き 10 進表記で IP アドレスを入力します(例:192.168.11.2)。

ステップ 5 次のいずれかをクリックします。

[Deploy Now] :入力を保存して [DHCP Relay Configuration] テーブルに戻ります。

[Cancel] :入力を保存しないでこの手順を終了し、[DHCP Relay Configuration] テーブルに戻ります。

[Next] :入力を保存し、次の DHCP リレー エントリを追加します。


 

関連トピック

「VLAN インターフェイス ポリシー マップ使用の設定」

「VLAN インターフェイス アクセス コントロールの設定」

「VLAN インターフェイス NAT プールの設定」

「VLAN インターフェイス スタティック ARP エントリの設定」

仮想コンテキスト BVI インターフェイスの設定

ACE Appliance Device Manager は、BVI(ブリッジ グループ仮想インターフェイス)が含まれている仮想コンテキストをサポートします。仮想コンテキストの BVI インターフェイスを設定する手順は、次のとおりです。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Network] > [BVI Interfaces] の順に選択します。

[BVI Interface] テーブルが表示されます。

ステップ 2 [Add] をクリックして新しい BVI インターフェイスを追加するか、または既存の BVI インターフェイスを選択し、 [Edit] をクリックして変更します。


[Edit] をクリックしても、すべてのフィールドを変更できるわけではありません。


ステップ 3 インターフェイスのアトリビュートを入力します(表 8-4 を参照)。

 

表 8-4 BVI インターフェイスのアトリビュート

フィールド
説明

[Bridge Group Number]

自動的に増分されたエントリを受け入れるか、または別の固有値を入力します。有効な入力は 1 ~ 4094 の整数です。

[Description]

このインターフェイスの簡単な説明を入力します。

[IP Address]

このインターフェイスに割り当てる IP アドレスを入力します。

[Alias IP Address]

このインターフェイスと関連付けるエイリアスの IP アドレスを入力します。

[Peer IP Address]

リモート ピアの IP アドレスを入力します。

[Netmask]

使用するサブネット マスクを選択します。

[Enable MAC Address Autogenerate]

BVI インターフェイスに別の MAC アドレスを設定できます。

[Admin Status]

インターフェイスをアップにするのかダウンにするのかを指定します。

ステップ 4 次のいずれかをクリックします。

[Deploy Now] :入力を保存して [BVI Interface] テーブルに戻ります。

[Cancel] :入力を保存しないでこの手順を終了し、[BVI Interface] テーブルに戻ります。

[Next] :入力を保存し、このインターフェイスに次の BVI インターフェイスを設定します。


 

関連トピック

「ネットワーク アクセスの設定」

「仮想コンテキスト プライマリ アトリビュートの設定」

「仮想コンテキスト VLAN インターフェイスの設定」

「仮想コンテキスト syslog ロギングの設定」

「トラフィック ポリシーの設定」

コンテキスト別の全 BVI インターフェイスの表示

特定の仮想コンテキストに関連付けられているすべての BVI インターフェイスを表示するには、 [Config] > [Virtual Contexts] > [ context ] > [Network] > [BVI Interfaces] の順に選択します。

表 8-5 の情報を示した [BVI Interface] テーブルが表示されます。

 

表 8-5 BVI インターフェイスのフィールド

フィールド
説明

[Bridge Group Number]

インターフェイスの名前

[Description]

このインターフェイスの説明

[IP Address]

このインターフェイスに割り当てる IP アドレス

[Netmask]

このインターフェイスのサブネット マスク

[Admin Status]

インターフェイスのステータス(アップまたはダウン)

関連トピック

「仮想コンテキスト VLAN インターフェイスの設定」

「仮想コンテキストの使用」

「仮想コンテキスト プライマリ アトリビュートの設定」

「仮想コンテキスト VLAN インターフェイスの設定」

「仮想コンテキスト syslog ロギングの設定」

「トラフィック ポリシーの設定」

仮想コンテキスト スタティック ルートの設定


) この機能を使用できるのは、管理仮想コンテキストに限られます。


Admin コンテキスト モードおよびユーザ コンテキスト モードはダイナミック ルーティングをサポートしないため、ネットワークと ACE Applianceの間にルータが配置されている場合など、ACE Applianceが直接接続されていないネットワークには、スタティック ルートを使用する必要があります。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Network] > [Static Routes] の順に選択します。

[Static Routes] テーブルが表示されます。

ステップ 2 このコンテキストのスタティック ルートを追加する場合は、[Add] をクリックします。


) 既存のスタティック ルートを変更することはできません。既存のスタティック ルートを変更するには、そのスタティック ルートを削除してから、もう一度追加する必要があります。


ステップ 3 [Destination Prefix] フィールドに、ルートを表す IP アドレスを入力します。スタティック ルートとして指定するアドレスは、ACE Applianceが受信してネットワーク アドレス変換を実行する前の、パケットに含まれているアドレスです。ドット付き 10 進 IP 表記でアドレスを入力します(例:192.168.11.2)。

ステップ 4 [Destination Prefix Mask] フィールドで、このルートに使用するサブネットを選択します。

ステップ 5 [Next Hop] フィールドに、このルートに対応するゲートウェイ ルータの IP アドレスを入力します。ゲートウェイ アドレスは、このコンテキストの VLAN インターフェイスと同じネットワークになければなりません。

ステップ 6 次のいずれかをクリックします。

[Deploy Now] :入力を保存して [Static Route] テーブルに戻ります。

[Cancel] :エントリを保存しないで手順を終了し、[Static Route] テーブルに戻る場合です。

[Next] :入力を保存し、次のスタティック ルートを追加します。


 

関連トピック

「仮想コンテキストの設定」

「仮想コンテキスト プライマリ アトリビュートの設定」

「ACE Applianceライセンスの管理」

「ハイ アベイラビリティの設定」

コンテキスト別の全スタティック ルートの表示

仮想コンテキストに関連付けられているすべてのスタティック ルートを表示する手順は、次のとおりです。

手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Network] > [Static Routes] の順に選択します。

次の情報を示した [Static Route] テーブルが表示されます。

宛先プレフィクス

宛先プレフィクス マスク

ネクスト ホップの IP アドレス


 

関連トピック

「仮想コンテキスト スタティック ルートの設定」

「仮想コンテキスト VLAN インターフェイスの設定」

グローバル IP DHCP の設定

ANM は、ACE 上で DHCP リレー エージェントを設定できます。DHCP リレー エージェントとして設定された ACE は、DHCP クライアントとサーバ間でネゴシエーションが行われる要求および応答の転送を引き受けます。デフォルトでは、DHCP リレー エージェントはディセーブルです。DHCP リレー エージェントをイネーブルにする場合は、DHCP サーバを設定する必要があります。

次に、DHCP リレー エージェントをコンテキスト レベルで設定し、コンテキストに関連付けられたすべてのインターフェイスにその設定が適用されるようにする手順を示します。


[Config] > [Virtual Contexts] > [context] の順に選択したときに表示されるオプションは、仮想コンテキストに関連付けられたデバイスおよびアカウントに関連付けられたロールによって異なります。


手順


ステップ 1 [Config] > [Virtual Contexts] > [ context ] > [Network] > [Global IP DHCP] の順に選択します。Global IP DHCP の設定テーブルが表示されます。

ステップ 2 [Enable DHCP Relay For The Context] をクリックし、コンテキストとそのコンテキストに関連付けられたすべてのインターフェイスに対して、DHCP リレーをイネーブルにします。

ステップ 3 リレー エージェント情報フォワーディング ポリシーを選択します。次のいずれかです。

[N/A]:転送メッセージにすでにリレー情報が含まれている場合に、何を実行するかを特定する、DHCP リレーを設定しないことを指定します。

[Keep]:既存の情報を DHCP リレー エージェントで変更しないことを指定します。

[Replace]:既存の情報を DHCP リレー エージェントで上書きすることを指定します。

ステップ 4 [IP DHCP Server] フィールドで、DHCP リレー エージェントにクライアント要求を転送させる IP DHCP サーバを選択します。

ステップ 5 次のいずれかをクリックします。

[Deploy Now] :この設定をただちに使用します。このオプションが表示されるのは、仮想コンテキストの場合です。

[Cancel] :入力を保存しないでこの手順を終了し、前のテーブルに戻ります。

[Next] :入力を適用し、次の DHCP リレー エントリを追加します。