|
◆ VIP の設定方法
VIP (Virtual IP) は、宛先アドレスの変換を行う1対多マッピング技術です。グローバルIPアドレスの使用
を節約しなければいけない環境でDMZの公開サーバへのアクセスの際に使用されるアドレス変換技術です。
固定のグローバルIPアドレスが1つしかない環境にて、公開サーバへアクセスさせたい場合には必須の技術。
VIPは、Untrustゾーンのインターフェースでのみ使用可能であること、VIPアドレスはインターフェースに
設定したアドレスと同じサブネット上になければいけない2点がVIPの仕様です。VIPの設定は以下の1.と2.。
1. UntrustゾーンのインターフェースでVIPアドレスの設定
set interface interface vip global-ip port service private-ip
設定例の前提は set admin port number コマンドで、SSGへのHTTPの管理アクセスのポート番号を変えておくこと。例えば
set admin port 8888 と設定してSSGへhttps://x.x.x.x:8888/としてHTTPの管理アクセスできるようになり、そして、VIP通信
のためにポート80を使用できます。この設定がなければ以下のメッセージが表示されます。
⇒ Not supported service: (ip:x.x.x.x/port:80) is for management of the
box.
また、以下のようにポート53を指定する場合はDNSプロキシを有効にしている場合、set dns proxy enableは無効化する必要があり。
◆ 上図の設定例
SSG5-> set interface ethernet0/0 vip 1.1.1.10 80 http 192.168.1.11
SSG5-> set interface ethernet0/0 vip 1.1.1.10 53 dns 192.168.1.12
|
VIPのIPアドレスにSSGのインターフェースのIPを指定した場合、set int ethernet0/0 vip interface-ip
の構文に自動変換されます。
2. ポリシーの設定
set policy from zone to zone source-ip VIP(address) service permit
◆ 上図の設定例
SSG5-> set policy from Untrust to Global any VIP(ethernet0/0) HTTP permit
SSG5-> set policy from Untrust to Global any VIP(ethernet0/0) DNS permit
|
◇ 1.1.1.1/24がTrustゾーンのインターフェースにバインドされているので以下の設定でもOK
SSG5-> set policy from Untrust to Trust any VIP(ethernet0/0) HTTP permit
SSG5-> set policy from Untrust to Trust any VIP(ethernet0/0) DNS permit
|
VIPがSSGのI/FのIPでない場合、上記コマンドの「VIP(ethernet0/0)」のところを「VIP(1.1.1.10)」という書き方に変えます。
◆ MIPの設定方法
MIP (Mapped IP) は、1対1の静的マッピングを行い、送信側、受信側ともにセッション開始できる方式です。
MIPアドレスは外向けのI/Fで定義する必要がありますが、MIPアドレスはどのサブネットでも設定できます。
送信元アドレスの変換はTrustなどの内部からUntrustなどの外部ネットワークに送信された時に行われます。
宛先アドレスの変換は、Untrustなどの外部からTrustなどの内部ネットワークに送信された時に行われます。
1. MIPアドレスの定義 ( 一般的にUntrust(グローバル)ネットワークのインターフェースで設定 )
set interface interface mip global-ip host private-ip netmask netmask vr vr
◆ 上図の設定例
SSG5-> set interface ethernet0/0 mip 1.1.1.2 host 192.168.1.11 netmask 255.255.255.255
vr trust-vr
SSG5-> set interface ethernet0/0 mip 1.1.1.3 host 192.168.1.12 netmask 255.255.255.255
vr trust-vr
|
2. ポリシーの設定 ( 正確には、どのトラフィックにおいてMIPを有効化し、MIPアドレスへの変換プロセス起動させるか )
set policy from zone to zone source-ip MIP(address) service permit
◆ 上図の設定例 ( Globalゾーンとは仮想IPアドレスで使用するゾーン )
SSG5-> set policy from Untrust to Global any MIP(1.1.1.2) HTTP permit
SSG5-> set policy from Untrust to Global any MIP(1.1.1.3) DNS permit
|
◇ 1.1.1.0/28 がUntrustゾーンのインターフェースにバインドされているので以下の設定でもOK
SSG5-> set policy from Untrust to Trust any MIP(1.1.1.2) HTTP permit
SSG5-> set policy from Untrust to Trust any MIP(1.1.1.3) DNS permit
|
| 比較項目 |
VIP |
MIP |
| 必要なグローバルIPアドレス数 |
グローバルIPアドレス1つで可 |
公開サーバの数だけグローバルIPが必要 |
| アドレス変換の対象 |
宛先IPアドレス、宛先ポート番号 |
IPアドレス ( 双方向に通信開始可能 ) |
| アドレス変換の例 |
1.1.1.10:80 ⇒ 192.168.1.11
1.1.1.10:53 ⇒ 192.168.1.12 |
1.1.1.2 ⇒ 192.168.1.11
1.1.1.3 ⇒ 192.168.1.12 |
| それぞれの特徴 |
グローバルIPアドレス1つでも、複数の
サーバを公開可能。ただし公開サーバ
からの通信開始はできない。
|
ポート番号変換を行わないので、サーバ通信
における自由度が高い。公開サーバに対して
実装するアドレス変換としては推奨となる方式。
|
|