Cisco Global Site Selector アドミニストレーション ガイド Software Version 2.0
アクセス リストの設定および GSS トラフィックのフィルタ リング
アクセス リストの設定および GSS トラフィックのフィルタリング
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

アクセス リストの設定および GSS トラフィックのフィルタリング

アクセス リストによる GSS トラフィックのフィルタリング

アクセス リストの概要

アクセス リストの作成

アクセス リストと GSS インターフェイスの関連付け

アクセス リストと GSS インターフェイスの関連付け解消

アクセス リストへの規則の追加

アクセス リストからの規則の削除

イーサネット インターフェイス別 GSS トラフィックの分割

アクセス リストの表示

GSS 装置をファイアウォールの背後に配置する場合

GSS のファイアウォール配置概要

ファイアウォールの背後に配置する GSS 装置の設定

アクセス リストの設定および GSS トラフィックのフィルタリング

アクセス リストを使用することによって、Global Site Selector(GSS)が受信した着信トラフィックをフィルタリングできます。アクセス リストは、各 GSS 装置の CLI で作成します。この章では、アクセス リストおよびアクセス グループを作成して、GSS トラフィックをフィルタリングする方法について説明します。

この章の構成は、次のとおりです。

アクセス リストによる GSS トラフィックのフィルタリング

GSS 装置をファイアウォールの背後に配置する場合

アクセス リストによる GSS トラフィックのフィルタリング

ここで説明する内容は、次のとおりです。

アクセス リストの概要

アクセス リストの作成

アクセス リストと GSS インターフェイスの関連付け

アクセス リストと GSS インターフェイスの関連付け解消

アクセス リストへの規則の追加

アクセス リストからの規則の削除

イーサネット インターフェイス別 GSS トラフィックの分割

アクセス リストの表示

アクセス リストの概要

GSS 上のパケット フィルタリング ツールが、次のような条件の組み合わせに基づいて、個々のパケットを許可するか拒否するかを各装置に指示します。

パケットの宛先ポート

要求側ホスト

使用するプロトコル(TCP、UDP、または ICMP)

GSS CLI から、アクセス リストというパケット フィルタリング ツールを作成します。アクセス リストは、 access-list CLI コマンドを使用して作成する、フィルタリング ツールの集合です。各アクセス リストは、ルーティングされたパケットを GSS に転送させるかブロックさせるかを制御するために、送信元ネットワーク IP アドレスに適用する許可および拒否条件を順番に指定したシーケンシャル コレクションです。GSS は各パケットを検証し、アクセス リストに指定された条件に基づいて、各パケットを転送するかドロップするかを決定します。

個々の GSS 装置上で任意の数のアクセス リストを作成できます。アクセス リストの作成後、いつでもリストに規則を追加したり、リストから規則を削除したりできます。一方または両方の GSS イーサネット インターフェイスにアクセス リストを適用するには、 access-group コマンドを使用します。

GSS は、追加された各条件文をアクセス リスト文の末尾に付加します。作成後は個々の文を削除できないことに注意してください。可能なのは、アクセス リスト全体の削除だけです。

アクセス リスト文の順番は非常に重要です。GSS はパケットを転送するか、それともブロックするかを決定するときに、作成された順番に従って、各条件文に基づいてパケットをテストします。一致すると、その他の条件文はチェックされません。

すべてのトラフィックを明示的に許可する条件文を作成した場合、その明示的許可の文以後に追加された文を GSS がチェックすることはなく、すべてのトラフィックを許可します。文を追加する必要がある場合は、アクセス リストを削除し、新しいエントリとして入力し直します。

GSS がアクセス リストを正しく処理できるように、各 GSS 装置が通常使用するポートとプロトコルを指定します。 表5-1 に、GSS が受信することが想定されるインバウンド トラフィックのタイプを示します。


) アウトバウンド トラフィックはアクセス リストの影響を受けません。ただし、GSS のアクセス リストはステートフルではないので、リターン インバウンド トラフィックを明示的に許可する必要があります。


 

表5-1 インバウンド トラフィックの GSS 関連ポートおよびプロトコル

送信元ポート
(リモート装置)
宛先ポート
(GSS)
プロトコル
詳細

*

20 ~ 23

TCP

GSS 上の FTP、SSH、および Telnet サーバ サービス

20 ~ 23

*

TCP

FTP のリターン トラフィック、Secure Copy(SCP)、および Telnet GSS CLI コマンド

49 またはユーザ設定

*

TCP

TACACS+ のリターン トラフィック

*

53

UDP、TCP

GSS DNS サーバ トラフィック

53

*

UDP

GSS ソフトウェア逆ルックアップ、[dnslookup]クエリー、およびネーム サーバ フォワーディングのリターン トラフィック

123

123

UDP

Network Time Protocol(NTP; ネットワーク タイム プロトコル)アップデート

*

161

UDP

SNMP(簡易ネットワーク管理プロトコル)トラフィック

*

443

TCP

プライマリ Global Site Selector Manager(GSSM)GUI

1304

1304

UDP

CRA キープアライブ

1974

1974

UDP

Director Response Protocol(DRP)プロトコル トラフィック

*

2000

UDP

GSS 間の定期ステータス レポート

*

2001 ~ 2005

TCP

GSS 間通信

2001 ~ 2005

*

TCP

GSS 間通信のリターン トラフィック

*

3002 ~ 3008

TCP

GSS 間通信

3002 ~ 3008

*

TCP

GSS 間通信のリターン トラフィック

*

5001

TCP

Global Sticky Mesh プロトコル トラフィック

5001

*

TCP

Global Sticky Mesh プロトコル トラフィックのリターン トラフィック

5002

*

UDP

KAL-AP キープアライブのリターン トラフィック

 
* 任意の有効なポート番号

アクセス リストの作成

グローバル コンフィギュレーション モードで access-list コマンドを使用すると、アクセス リストを作成できます。GSS 装置用のアクセス リストを作成するには、その装置の CLI にアクセスできなければなりません。

access-list コマンドの構文は、次のとおりです。

access-list name { permit | deny } protocol [ source-address source-netmask | host source-address | any ] operator port [ port ] [ destination-port operator port [ port ]]

キーワードおよび引数は、次のとおりです。

name ― 作成するアクセス リストを特定するための英数字による名前

permit ― パケットが条件に一致した場合に、接続が許可されます。一致するには、条件のすべての規定を満たす必要があります。

deny ― パケットが条件に一致した場合に、接続が禁止されます。一致するには、条件のすべての規定を満たす必要があります。

protocol ― トラフィック タイプに対応するプロトコル。認識される IP プロトコルは、 tcp (Transmission Control Protocol)、 udp (User Datagram Protocol; ユーザ データ プロトコル)、および icmp (Internet Control Message Protocol; インターネット制御メッセージ プロトコル)です。

source-address ― パケット発信元のネットワーク IP アドレス。GSS ソフトウェアは source-address および source-netmask 引数を使用し、送信元ネットワークに対して着信パケットを照合します。

source-netmask ― パケットの起点ネットワークのサブネット マスク。ソフトウェアは source-address および source-netmask 引数を使用し、送信元ネットワークに対して着信パケットを照合します。

host ― パケットの送信元ホスト マシンを指定します。

source-address ― パケット送信元装置の IP アドレス

any ― パケット送信元に対応するワイルドカード値。 source-address source-netmask 、または host source-address 値の代わりに any を使用した場合、GSS はあらゆる送信元からのパケットを一致させます。

operator ― パケット内の任意のバイト。 operator は、次のいずれか 1 つの値にできます。 eq (等しい)、 neq (等しくない)、または range (範囲)です。

port ― パケットの送信元ポートまたは宛先ポート

destination-port ― パケットの宛先ポートとアクセス条件を比較します。

たとえば、GSS 装置のポート 443 上で TCP プロトコルを使用するあらゆるトラフィックを許可する規則を指定した、アクセス リスト alist1 を設定する場合、次のように入力します。

gss1.example.com# config
gss1.example.com(config)# access-list alist1 permit tcp any destination-port eq 443
 

この GSS 装置に追加するアクセス リストごとに、 access-list コマンドを使用します。既存のアクセス リストに対して、規則を追加する手順については、「アクセス リストへの規則の追加」を参照してください。

次に、完全なアクセス リスト(alist1)の例を示します。

gss1.example.com(config)# show access-list
 
access-list: alist1
access-list alist1 permit tcp any destination-port range 20 23
access-list alist1 permit tcp any eq 20
access-list alist1 permit tcp any eq 21
access-list alist1 permit tcp any eq 23
access-list alist1 permit tcp any eq 49
access-list alist1 permit tcp any destination-port eq 53
access-list alist1 permit udp any destination-port eq 53
access-list alist1 permit udp any eq 53
access-list alist1 permit udp any eq 123 destination-port eq 123
access-list alist1 permit udp any destination-port eq 161
access-list alist1 permit tcp any destination-port eq 443
access-list alist1 permit udp any eq 1304 destination-port eq 1304
access-list alist1 permit udp any destination-port eq 2000
access-list alist1 permit tcp any destination-port range 2001 2005
access-list alist1 permit tcp any range 2001 2005
access-list alist1 permit tcp any destination-port range 3002 3008
access-list alist1 permit tcp any range 3002 3008
access-list alist1 permit udp any destination-port eq 5002
access-list alist1 permit udp any eq 1974 destination-port eq 1974
access-list alist1 permit tcp any destination-port eq 5001
access-list alist1 permit tcp any eq 5001
access-list alist1 permit icmp any
 
Kernel output
access-list alist1 on interface eth0 (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:20:23
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:23
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:49
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:123 dpt:123
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:161
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:1304 dpt:1304
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:2000
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:2001:2005
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:2001:2005
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:3002:3008
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:3002:3008
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:5002
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:1974 dpt:1974
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5001
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:5001
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0

アクセス リストと GSS インターフェイスの関連付け

アクセス リストの作成後、一方または両方の GSS イーサネット インターフェイスにそのアクセス リストを関連付けてからでなければ、アクセス リストを使用して、インターフェイスで受信した着信トラフィックをフィルタリングすることはできません。インターフェイスにアクセス リストが関連付けられていない場合、そのインターフェイスではあらゆる着信トラフィックが許可されます。アクセス リストの適用後は、アクセス リストによって明示的に許可されたトラフィック タイプだけが許可されます。それ以外のトラフィックはすべて許可されません。

グローバル コンフィギュレーション モードで access-group コマンドを使用して、アクセス リストを GSS インターフェイスに関連付けます。GSS インターフェイスにアクセス リストを関連付けるには、各 GSS 装置の CLI にアクセスできなければなりません。

access-group コマンドの構文は、次のとおりです。

access-group name interface { eth0 | eth1 }

キーワードおよび引数は、次のとおりです。

name ― 既存アクセス リストの名前

interface ― アクセス リストを割り当てる、GSS 上のインターフェイスを指定します。

eth0 ― GSS 装置上の第 1 イーサネット インターフェイスを指定します。

eth1 ― GSS 装置上の第 2 イーサネット インターフェイスを指定します。

GSS 装置上の両方のイーサネット インターフェイスに、既存の同じアクセス リストを割り当てることはできません。 access-group CLI コマンドを使用して、イーサネット 0 とイーサネット 1 の両方に同じアクセス リストを割り当てようとすると、次のエラー メッセージが表示されます。

%access-list list1 is already assigned to interface eth1.
 

このエラー メッセージが表示された場合は、GSS 装置上の第 2 イーサネット インターフェイスにまったく同じアクセス リストを作成します。

たとえば、アクセス リスト alist1 を GSS 装置の第 1 インターフェイスに関連付ける場合、次のように入力します。

gss1.example.com# config
gss1.example.com(config)# access-group alist1 interface eth0
 

インターフェイスに関連付けるアクセス リストごとに、 access-group コマンドを使用します。

アクセス リストと GSS インターフェイスの関連付け解消

no 形式の access-group コマンドを使用すると、対応する GSS インターフェイスからアクセス リストの関連付けを解消できます。インターフェイスからアクセス リストの関連付けを解消すると、イーサネット インターフェイスに適用されていたすべてのコンストレイントが削除されます。GSS インターフェイスとアクセス リストの関連付けを解消するには、各 GSS 装置の CLI にアクセスできなければなりません。

たとえば、アクセス リスト alist1 と GSS 装置の第 1 インターフェイス間の関連付けを解消する場合、次のように入力します。

gss1.example.com# config
gss1.example.com(config)# no access-group alist1 interface eth0
 

access-group コマンド構文の例については、「アクセス リストと GSS インターフェイスの関連付け」を参照してください。

アクセス リストへの規則の追加

1つまたは複数のアクセス リストを作成したあとで、いつでもそれらのリストに規則を追加できます。 access-list コマンドを使用して、既存のアクセス リストに新しい規則を追加します。

たとえば、ホスト 192.168.1.101 からのあらゆるトラフィックをブロックする、アクセス リスト alist1 に新しい規則を追加する場合、次のように入力します。

gss1.example.com# config
gss1.example.com(config)# access-list alist1 deny tcp host 192.168.1.101
 

access-list コマンド構文の例については、「アクセス リストの作成」を参照してください。

show access-list コマンドを使用して、アクセス リストに規則が追加されていることを確認します。

gss1.example.com(config)# show access-list
access-list:alist1
access-list alist1 permit tcp any destination-port eq 443
access-list alist1 deny tcp host 192.168.1.101

アクセス リストからの規則の削除

アクセス リストには 1 つまたは複数の規則を指定する必要があります。アクセス リストの最後の規則を削除すると、リストそのものが GSS から削除されます。既存のアクセス リストから規則を削除するには、グローバル コンフィギュレーション モードで no 形式の access-list コマンドを使用します。

たとえば、ホスト 192.168.1.101 からのあらゆるトラフィックをブロックする、アクセス リスト alist1 から規則を削除する場合、次のように入力します。

gss1.example.com# config
gss1.example.com(config)# no access-list alist1 deny tcp host 192.168.1.101
 

access-list コマンド構文の例については、「アクセス リストの作成」を参照してください。

show access-list コマンドを使用して、アクセス リストから規則が削除されたことを確認します。

gss1.example.com(config)# show access-list
access-list:alist1
access-list alist1 permit tcp any destination-port eq 443

イーサネット インターフェイス別 GSS トラフィックの分割

デフォルトでは、GSS 装置は GSS イーサネット インターフェイス 0 および 1 の両方で DNS トラフィックを待ち受けます。GSS 間通信の場合、GSS 装置は一方のインターフェイス上でのみ、コンフィギュレーションとステータスのアップデートを待ち受けます。イーサネット インターフェイス 0 がデフォルトです。

GSS ネットワーク上の GSS 間通信に使用するインターフェイスの設定を変更するには、 gss-communications コマンドを使用します。詳細については、『 Cisco Global Site Selector Getting Started Guide 』を参照してください。

セキュリティ上の理由で、GSS トラフィックを一方のインターフェイスに限定する、または特定のトラフィック タイプを指定したインターフェイスに限定してトラフィックを分割することができます。前述の access-list コマンドおよび access-group コマンドを使用すると、2 つの GSS イーサネット インターフェイスのどちらか一方にトラフィックを限定するアクセス リストを定義できます。

たとえば、Telnet、SSH、FTP などのリモート管理サービスは、すべてのアクティブ インターフェイス上で待機します。これらのリモート管理サービスに、第 2 GSS イーサネット インターフェイス上でのみ待機させるには、次のように入力します。

gss1.example.com# config

gss1.example.com(config)#

gss1.example.com(config)# access-list alist1 permit tcp any destination-port ftp

gss1.example.com(config)# access-list alist1 permit tcp any destination-port ssh

gss1.example.com(config)# access-list alist1 permit tcp any destination-port telnet

gss1.example.com(config)# access-group alist1 interface eth1

 

上記のコマンドによって、第 2 イーサネット インターフェイス(eth1)が特定のトラフィックに限定されます。そのインターフェイスでは、その他のトラフィックはすべて拒否されます。

第 1 イーサネット インターフェイス(eth0)上で同じトラフィックを拒否するには、次のように入力します。

gss1.example.com(config)#

gss1.example.com(config)# access-list alist1 deny tcp any destination-port ftp

gss1.example.com(config)# access-list alist1 deny tcp any destination-port ssh

gss1.example.com(config)# access-list alist1 deny tcp any destination-port telnet

gss1.example.com(config)# access-group alist1 eth0

アクセス リストの表示

show access-list コマンドを使用すると、設定されているすべてのアクセス リストを表示できます。

gss1.example.com(config)#show access-list
 
access-list: alist1
access-list alist1 permit tcp any destination-port range 20 23
access-list alist1 permit tcp any eq 20
access-list alist1 permit tcp any eq 21
access-list alist1 permit tcp any eq 23
access-list alist1 permit tcp any eq 49
access-list alist1 permit tcp any destination-port eq 53
access-list alist1 permit udp any destination-port eq 53
access-list alist1 permit udp any eq 53
access-list alist1 permit udp any eq 123 destination-port eq 123
access-list alist1 permit udp any destination-port eq 161
access-list alist1 permit tcp any destination-port eq 443
access-list alist1 permit udp any eq 1304 destination-port eq 1304
access-list alist1 permit udp any destination-port eq 2000
access-list alist1 permit tcp any destination-port range 2001 2005
access-list alist1 permit tcp any range 2001 2005
access-list alist1 permit tcp any destination-port range 3002 3008
access-list alist1 permit tcp any range 3002 3008
access-list alist1 permit udp any destination-port eq 5002
access-list alist1 permit udp any eq 1974 destination-port eq 1974
access-list alist1 permit tcp any destination-port eq 5001
access-list alist1 permit tcp any eq 5001
access-list alist1 permit icmp any
 
Kernel output
access-list alist1 on interface eth0 (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:20:23
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:23
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:49
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:123 dpt:123
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:161
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:1304 dpt:1304
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:2000
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:2001:2005
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:2001:2005
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:3002:3008
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:3002:3008
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:5002
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:1974 dpt:1974
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5001
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:5001
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0
 

GSS イーサネット インターフェイス 0 および 1 に対応付けられているアクセス リストの一覧を表示するには、 show access-group コマンドを使用します。

gss1.example.com(config)#show access-group
access group alist1 interface eth0

GSS 装置をファイアウォールの背後に配置する場合

ここでは、ファイアウォールの背後に配置できるように GSS を設定する方法について説明します。ここで説明する内容は、次のとおりです。

GSS のファイアウォール配置概要

ファイアウォールの背後に配置する GSS 装置の設定

GSS のファイアウォール配置概要

access-list コマンドおよび access-group コマンドのパケット フィルタリング機能(「アクセス リストによる GSS トラフィックのフィルタリング」を参照)に加え、企業ネットワークに設置されているファイアウォールの背後に GSS 装置を配置することもできます。

ファイアウォールの背後に設置できるように GSS を設定する場合は、DNS トラフィックが装置を通過できるようにする必要があります。装置間のトラフィックがファイアウォールをパススルーしなければならない形で、複数の GSS 装置を配置する場合は、GSS 間通信と GSS 間ステータス レポートが可能になるようにファイアウォールを設定します。GSS の設定によっては、他のトラフィックにファイアウォールをパススルーさせることもできます。この要件は、GSS の設定(TCP ベースまたは KAL-AP キープアライブを使用するかどうかなど)、およびファイアウォールを通過して特定の GSS サービス(SNMP など)にアクセスする能力によって決まります。

GSS は、GSS 間通信対応として NAT の背後に装置を配置することはサポートしません。GSS 装置間の通信に、NAT の背後の中継装置を含めることはできません。パケットのペイロードに、装置の実 IP アドレスが埋め込まれるからです。

GSS 装置と組み合わせて動作するように、ファイアウォールを設定するには、 表5-2 および 表5-3 のガイドラインに従って、特定の GSS ポートとの間で送受信されるインバウンドおよびアウトバウンド トラフィックを許可します。ステートフル ファイアウォールを使用する場合、 表5-2 および 表5-3 に記載されているリターン トラフィックの規則が不要なこともあります。

さらに、 access-list コマンドおよび access-group コマンドを使用して、認可された GSS トラフィックが指定のポートに到達できるようにすることも可能です。デフォルトでは、アクセス リストとイーサネット インターフェイスが関連付けられた場合、GSS インターフェイスはアクセス リストで明示的に許可されていないすべてのポートをブロックします。

 

表5-2 ファイアウォールを通過して GSS に到達するインバウンド トラフィック

送信元ポート
(リモート装置)
宛先ポート
(GSS)
プロトコル
詳細

*

20 ~ 23

TCP

FTP、SSH、および Telnet サービス

49 またはユーザ設定

*

TCP

TACACS+ のリターン トラフィック

*

53

UDP、TCP

GSS DNS サーバ トラフィック

53

*

UDP

GSS ソフトウェア逆ルックアップ、[dnslookup]クエリー、およびネーム サーバ フォワーディングのリターン トラフィック

80 または
ユーザ設定

*

TCP

TCP および HTTP キープアライブのリターン トラフィック

123

123

UDP

NTP アップデートのリターン トラフィック

*

161

UDP

SNMP トラフィック

*

443

TCP

プライマリ GSSM GUI

1304

1304

UDP

CRA キープアライブのリターン トラフィック

1974

1974

UDP

DRP プロトコル トラフィックのリターン トラフィック

*

2000

UDP

GSS 間の定期ステータス レポート

*

2001 ~ 2005

TCP

GSS 間通信

2001 ~ 2005

*

TCP

GSS 間通信のリターン トラフィック

*

3002 ~ 3008

TCP

GSS 間通信

3002 ~ 3008

*

TCP

GSS 間通信のリターン トラフィック

*

5001

TCP

Global Sticky Mesh プロトコル トラフィック

5001

*

TCP

Global Sticky Mesh プロトコル トラフィックのリターン トラフィック

5002

*

UDP

KAL-AP キープアライブのリターン トラフィック

 
* 任意の有効なポート番号

 

表5-3 GSS を起点とするアウトバウンド トラフィック

送信元ポート
(GSS)
宛先ポート
(リモート装置)
プロトコル
詳細

20 ~ 23

*

TCP

GSS 上の FTP、SSH、および Telnet サーバ サービスのリターン トラフィック

*

49 または
ユーザ設定

TCP

TACACS+

*

20 ~ 23

TCP

FTP、SCP、および Telnet GSS CLI コマンドのトラフィック

53

*

UDP、TCP

GSS DNS サーバ トラフィックのリターン トラフィック

*

53

UDP

GSS ソフトウェア逆ルックアップ、[dnslookup]クエリー、およびネーム サーバ フォワーディング

*

80 または
ユーザ設定

TCP

TCP および HTTP キープアライブ

123

123

UDP

NTP アップデート

161

*

UDP

SNMP(簡易ネットワーク管理プロトコル)トラフィックのリターン トラフィック

443

*

TCP

プライマリ GSSM GUI のリターン トラフィック

1304

1304

UDP

CRA キープアライブ

1974

1974

UDP

DRP プロトコル トラフィック

*

2000

UDP

GSS 間の定期ステータス レポート

*

2001 ~ 2005

TCP

GSS 間通信

2001 ~ 2005

*

TCP

GSS 間通信のリターン トラフィック

*

3002 ~ 3008

TCP

GSS 間通信

3002 ~ 3008

*

TCP

GSS 間通信のリターン トラフィック

*

5001

TCP

Global Sticky Mesh プロトコル トラフィック

5001

*

TCP

Global Sticky Mesh プロトコル トラフィックのリターン トラフィック

*

5002

UDP

KAL-AP キープアライブ

 
* 任意の有効なポート番号

ファイアウォールの背後に配置する GSS 装置の設定

ファイアウォールの背後で動作するように GSS 装置を設定する手順は、次のとおりです。

1. GSS 装置および GSSM 装置上で有効にする、アクセス レベルおよびサービスを決定します。次の決定が必要です。

FTP、SSH、および Telnet から GSS 装置にアクセスできるようにするかどうか

プライマリ GSSM への GUI アクセスを許可するかどうか
GSS を正しく動作させるために有効にしなければならない、GSS 関連のポートおよびプロトコルについては、 表5-2 および 表5-3 を参照してください。

2. GSS 装置に着信するトラフィック、および GSS 装置から発信するトラフィックをフィルタリングする、アクセス リストを作成します。詳細については、「アクセス リストの作成」を参照してください。