|
◆ MIPの設定を深く理解するために・・・Globalゾーンとは
Globalゾーンは仮想IPアドレスで使用するゾーンです。仮想IPアドレスとは、先ほど紹介したVIPとMIPの
ことです。そしてGlobalゾーンはインターフェースに適用する必要がないゾーンです。ここがポイントです。
例えば下図のようにSSGで「2.2.2.2」というMIPを定義していた時にそのIPアドレスを含むネットワークが
I/Fに割り当てられていない構成でポリシーでゾーンを定義する場合、宛先ゾーンの指定でGlobal ゾーンを
指定する必要があります。しかし、逆に先ほど紹介した構成ではGlobalゾーンの指定は必須ではありません。
BフレッツのLAN型払い出し(/28)の場合、Untrustでその/28が割り当てられるだけなのですが、例えば
(/28)のグローバルIPアドレスを払い出し、なおかつISPルータと顧客ルータ間で(/30)のグローバルIP
が割り当てられる構成(上図)では、2.2.2.0/28がどのインターフェースにも割り当てられていないので、
「2.2.2.0/28」を使用したVIPやMIPを設定する際においてはGlobalゾーンを指定するのは必須となります。
SSG5-> set interface ethernet0/0 mip 2.2.2.2 host 192.168.1.11
SSG5-> set interface ethernet0/0 mip 2.2.2.3 host 192.168.1.12
SSG5-> set policy from Untrust to Global Any MIP(2.2.2.2) HTTP permit
SSG5-> set policy from Untrust to Global Any MIP(2.2.2.3) DNS permit
|
VIP/MIPを使用する際に宛先ゾーンにGlobalゾーンを指定しておけば、ほとんどのネットワーク構成において間違いないので、
一般的には、仮想IPアドレス(VIPやMIP)を使用する際には、宛先ゾーンの指定に「Globalゾーン」を指定しているのが多いです。
◆ MIPとNAT-srcの組み合わせ
MIPとNAT-srcの設定を組み合わせることで、宛先アドレスだけでなく、送信元アドレスも同時にアドレス
変換することも可能です。通常のMIPの設定の際にポリシーで nat src permit と設定することで実現します。
利用シーンとしては、社内ネットワークと準社内ネットワークとの相互通信、グループ企業間の相互通信で
双方にIPアドレスを知られたくない場合、またはルーティングポリシーを変えたくない場合に利用されます。
SSG5-> set interface ethernet0/0 zone Untrust
SSG5-> set interface ethernet0/0 ip 10.1.1.1/24
SSG5-> set interface ethernet0/0 route
SSG5-> set interface ethernet0/1 zone Trust
SSG5-> set interface ethernet0/1 ip 192.168.1.1/24
SSG5-> set interface ethernet0/1 route
SSG5-> set interface ethernet0/0 mip 10.1.1.5 host 192.168.2.10
SSG5-> set policy from Untrust to Global Any MIP(10.1.1.5) HTTP nat src permit
|
上記コンフィグの場合、10.1.2.0/24のネットワークから通信のみに上図のトラフィックフローとなります。
いわゆる双方向NAT(Twice NAT)を行いたい場合、上記設定とシンメトリーになるように設定をします。
下記コンフィグは「192.168.2.10/24がクライアントPC、10.1.2.10がWebサーバ」の想定としています。
※ インターフェースの設定は当然ながら同じとなりますので、MIPとポリシー設定の部分だけの抜粋です。
これにより192.168.2.10/24から発信した場合、上図トラフィックフローが反転します(アドレスは異なる)
SSG5-> set interface ethernet0/1 mip 192.168.1.5 host 10.1.2.10
SSG5-> set policy from Trust to Global Any MIP(192.168.1.5) HTTP nat src permit
|
インターフェースベースNAT、ポリシーベースNAT、MIP、VIPが組み合わせた設定では以下の優先順位で
適用。 1.MIPアドレス ⇒ 2.VIPアドレス ⇒ 3.ポリシーベースNAT ⇒ 4.インターフェースベースNATの順。
|