Cisco IronPort AsyncOS 7.8 for Security Management ユーザ ガイド
ネットワークと IP アドレスの割り当て
ネットワークと IP アドレスの割り当て
発行日;2012/08/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

ネットワークと IP アドレスの割り当て

イーサネット インターフェイス

IP アドレスとネットマスクの選択

インターフェイス設定のサンプル

IP アドレス、インターフェイス、およびルーティング

サマリー

アプライアンスの接続時の戦略

ネットワークと IP アドレスの割り当て

この付録では、ネットワーク アドレスと IP アドレスの割り当てに関する一般的なルールについて説明し、ネットワークに Cisco IronPort アプライアンスを接続するための戦略の一部を示します。

この付録の内容は、次のとおりです。

「イーサネット インターフェイス」

「IP アドレスとネットマスクの選択」

「Cisco IronPort アプライアンスの接続時の戦略」

イーサネット インターフェイス

Cisco IronPort X1050、C650、および C350 アプライアンスには、構成(オプションの光ネットワーク インターフェイスがあるかどうか)に応じて最大 4 個のイーサネット インターフェイスがシステムの背面パネルにあります。次のラベルが付いています。

Management

Data1

Data2

Data3

Data4

IP アドレスとネットマスクの選択

ネットワークを設定するとき、Cisco IronPort アプライアンスは発信パケットを送信するために一意のインターフェイスを選択できなければなりません。この要件によって、イーサネット インターフェイスの IP アドレスとネットマスクの選択に関して、いくつかのことが決まります。単一のネットワークに配置できるインターフェイスは 1 つのみというのがルールです(ネットマスクがインターフェイスの IP アドレスに適用されることでそのように定められます)。

IP アドレスは、指定されたネットワークの物理インターフェイスを識別します。物理イーサネット インターフェイスは、パケットを受け取る IP アドレスを複数持つことができます。複数の IP アドレスを持つイーサネット インターフェイスは、パケットの送信元アドレスとしていずれか 1 つの IP アドレスを使用して、インターフェイスからパケットを送信できます。このプロパティは、仮想ゲートウェイ テクノロジーの実装で使用されます。

ネットマスクの目的は、IP アドレスをネットワーク アドレスとホスト アドレスに分割することです。ネットワーク アドレスは、IP アドレスのネットワーク部分(ネットマスクと一致するビット)と見なすことができます。ホスト アドレスは、IP アドレスの残りのビットです。4 オクテット アドレス内の有効なビット数は、クラスレス ドメイン間ルーティング(CIDR)形式で表現されることがあります。これは、スラッシュ記号、後にビット数(1 ~ 32)が続きます。

ネットマスクは、単純にバイナリの 1 を数える方法で表現できます。 255.255.255.0 は「 /24 」になり、 255.255.240.0 は「 /20 」になります。

インターフェイス設定のサンプル

ここでは、いくつかの代表的なネットワークに基づいたインターフェイスの設定例を示します。この例では、Int1 と Int2 の 2 つのインターフェイスを使用します。Cisco IronPort アプライアンスの場合は、これらのインターフェイス名を、3 つの Cisco IronPort インターフェイス(Management、Data1、Data2)の中の 2 つのインターフェイスで表現できます。

ネットワーク 1:

個別のインターフェイスは別のネットワーク上に存在するように示す必要があります。

インターフェイス
IP アドレス
ネットマスク
ネット アドレス

Int1

192.168.1.10

255.255.255.0

192.168.1.0/24

Int2

192.168.0.10

255.255.255.0

192.168.0.0/24

192.168.1.X にアドレス指定されたデータ(ここで X は 1 ~ 255 の任意の番号。ただし、自身のアドレス(この場合は 10)を除く)は、Int1 から送出されます。 192.168.0.X にアドレス指定されたデータは、Int2 から送出されます。この形式ではない他のアドレス(最も考えられるのは WAN またはインターネット上)に向かうパケットは、デフォルト ゲートウェイに送信されます。デフォルト ゲートウェイはこれらのネットワークのどちらかの上に存在する必要があります。その後、デフォルト ゲートウェイがパケットを転送します。

ネットワーク 2:

2 つの異なるインターフェイスのネットワーク アドレス(IP アドレスのネットワーク部分)は同じにすることができません。

イーサネット インターフェイス
IP アドレス
ネットマスク
ネット アドレス

Int1

192.168.1.10

255.255.0.0

192.168.0.0/16

Int2

192.168.0.10

255.255.0.0

192.168.0.0/16

これは、2 つのイーサネット インターフェイスが同じネットワーク アドレスを持つという、競合した状態を表しています。Cisco IronPort アプライアンスからのパケットが 192.168.1.11 に送信された場合、パケットの配信にどのイーサネット インターフェイスを使用する必要があるかを決定する方法はありません。2 つのイーサネット インターフェイスが 2 つの物理ネットワークに別々に接続されている場合、パケットは誤ったネットワークに配信される可能性があり、そうするとそのパケットの送信先を見つけることはできません。Cisco IronPort アプライアンスでは、競合するネットワークを設定できません。

2 つのイーサネット インターフェイスを同じ物理ネットワークに接続することはできますが、Cisco IronPort アプライアンスが一意の配信インターフェイスを選択できるように IP アドレスとネットマスクを設定する必要があります。

IP アドレス、インターフェイス、およびルーティング

GUI または CLI で、インターフェイスを選択可能なコマンドや関数を実行する際にインターフェイスを選択した場合(たとえば、AsyncOS のアップグレードや DNS の設定など)、ルーティング(デフォルト ゲートウェイ)が選択した内容よりも優先されます。

たとえば、3 つのネットワーク インターフェイスがそれぞれ別のネットワーク セグメントに設定された次のような Cisco IronPort アプライアンスがあるとします(すべて /24 と仮定)。

イーサネット
IP
Management

192.19.0.100

Data1

192.19.1.100

Data2

192.19.2.100

デフォルト ゲートウェイは 192.19.0.1 です。

ここで、AsyncOS のアップグレード(またはインターフェイスを選択できる他のコマンドや関数)を実行し、Data1 上の IP(192.19.1.100)を選択した場合、すべての TCP トラフィックが Data1 イーサネット インターフェイス経由になると予想されることと思います。しかし、実際には、デフォルト ゲートウェイとして設定されているインターフェイス(ここでは Management)からトラフィックが送出されます。ただし、トラフィックの送信元アドレスには Data1 の IP が設定されています。

サマリー

Cisco IronPort アプライアンスは、配信可能なパケットが経由する一意のインターフェイスを常に識別できなければなりません。この決定を行うために、Cisco IronPort アプライアンスは、パケットの宛先 IP アドレスと、そのイーサネット インターフェイスのネットワークおよび IP アドレス設定を組み合わせて使用します。次の表に、ここまで説明してきた例をまとめます。

同じネットワーク
異なるネットワーク
同じ物理インターフェイス

許可

許可

異なる物理インターフェイス

不可

許可

Cisco IronPort アプライアンスの接続時の戦略

Cisco IronPort アプライアンスを接続する際には、次の点に留意してください。

通常、管理トラフィック(CLI、Web インターフェイス、ログ配信)は、電子メール トラフィックよりもはるかに少量です。

2 つのイーサネット インターフェイスが同じネットワーク スイッチに接続されているが最終的にダウンストリームの別のホスト上の単一インターフェイスと通信するだけの場合、あるいはすべてのデータがすべてのポートにエコーされるネットワーク ハブにそれらが接続されている場合、2 つのインターフェイスを使用しても得られる利点はありません。

1000Base-T で動作しているインターフェイスでの SMTP カンバセーションは、100Base-T で動作している同じインターフェイスでのカンバセーションよりも少し高速ですが、速くなるのは理想的な条件下でのみです。

配信ネットワークの別の箇所にボトルネックがある場合、ネットワークへの接続を最適化しても意味はありません。ボトルネックは、インターネットへの接続および接続プロバイダーのさらにアップストリームで最も頻繁に発生します。

接続に使用する Cisco IronPort アプライアンス インターフェイスの数とそれらへのアドレス指定の方法は、基礎となるネットワークの複雑性によって決める必要があります。複数インターフェイスの接続は、ネットワーク トポロジやデータ ボリュームで要求されなければ必要ありません。また、最初は単純な接続にしておき、ゲートウェイに慣れてきたら、ボリュームやネットワーク トポロジでの必要に応じて接続を増やすこともできます。