2.1.30. NG設定集

Managed Firewall 、 Managed UTM のNG設定例をご説明します。

2.1.30.1. DHCPの無効化(HA)

DHCP機能が「無効」の場合には、弊社ネットワークにおいてソースのアドレスが0.0.0.0でARPリクエストが実施されます。

この場合、弊社提供のロードバランサー、Managed FW/UTM等にてARPリプライを返さないことが確認されており、VRRPによる冗長化に影響し、切替わり時に通信断が継続する可能性があります。

VRRP利用時は、接続するロジカルネットワークのDHCP機能(アドレス設定機能)を「有効」としていただくようお願い致します。

2.1.30.2. MAC Address重複(HA)1

Managed Firewall/UTMからみて、同一のVRRP ID(同一のMAC Address【00:00:5e:00:01:01】)が、自分自身のPort4とPort5に存在します。

その為、Managed Firewall/UTMは正常にPacketを処理する事が出来ません。

・自分自身で重複するMAC Addressを持ってはいけない

Managed Firewall/UTMのインターフェースに設定するVRRPは1、２のように別々の値を設定してください。

2.1.30.3. MAC Address重複(HA)2

Managed Firewall/UTMからみて、同一のVRRP ID(同一のMAC Address【00:00:5e:00:01:01】)が、自分自身のPort4とPort4の先に存在します。

また、同一のVRRP ID(同一のMAC Address【00:00:5e:00:01:02】)が、自分自身のPort5とPort5の先に存在します。

その為、Managed Firewall/UTMは正常にPacketを処理する事が出来ません。

HA構成の場合、本メニューが接続するロジカルネットワークおよび、コロケーション接続(CIC)などの同一L2ネットワーク上のVRRP IDは、重複しないように設定してください。

2.1.30.4. MAC Address重複

1つのロジカルネットワークにSubnetを2つ作成し、Managed Firewall/UTMに接続すると、Port4とPort5の両方にARPが届いてしまいます。

これによりMAC Addressの重複が発生する為、正常にPacketを処理する事が出来ません。

2.1.30.5. 非対称経路

Managed Firewall/UTMは、非対称経路に対応しておりません。

行き/帰りのPacketともに、同一経路を通過するよう設定願います。

2.1.30.6. Source NAT Objectの制限

Managed Firewall/UTMに、Source NAT Objectを作成すると、設定したIP AddressはManaged Firewall/UTM自身が保持する事になります。

上記の様に、Source NAT Objectに、実際に存在する10.0.0.100のIP Addressを設定すると、Server01(10.0.0.100)への通信を処理する事は出来なくなります。

また、例として10.0.0.200への通信を10.0.0.100のIPにNATした場合も実際の機器とのMACの奪い合いになり、通信が上手くいかない事になります。

必ず、他の機器で使用していないIP Addressを設定して頂きますようお願いします。

2.1.30.7. Destination NAT Objectの制限

Managed Firewall/UTMに、Destination NAT Objectを作成すると、設定したIP AddressはManaged Firewall/UTM自身が保持する事になります。

上記の様に、Destination NAT ObjectのExternal IPに、実際に存在する10.0.0.200のIP Addressを設定すると、Server04(10.0.0.200)への通信を処理する事は出来ないだけでなく、Destination NATとしても機能しません。

また、実際に存在するServer04(10.0.0.200)からの通信も阻害致します。

※MAC Addressの奪い合いやIP/MACのConflictionが発生。

必ず、他の機器で使用していないIP Addressを設定して頂きますようお願いします。

2.1.30.8. Destination NAT Objectの制限2

Managed Firewall/UTMに、Destination NAT Objectを作成する場合、External IPとMapped IPが同一のIPAddressで設定する事で、他のFirewall Policyに影響を及ぼします。

Ext IPと Map IPを同一にする事は、NATしない、と同意になりますので、この様な設定は実施しないようお願いします。

2.1.30.9. Routingの制限

Managed Firewall/UTMに、2つ(以上)のDefaultRouteを設定する事は出来ません。

また、Static Routeも同一のDestination IP/Maskで別のGatewayを設定する事は出来ません。

この様な設定を実施すると、正常にPacketを処理出来ず、お客様通信に影響を及ぼします。

また、Source Routingや、Policy Routingについても設定頂けません。

目次

• 1. オーダー/Order
  • 1.1. Managed Firewall / Managed UTM Version2
  • 1.1. Managed Firewall / Managed UTM Version3
  • 1.2. Managed WAF Version2
  • 1.2. Managed WAF Version3
• 2. オペレーション/Operation
  • 2.1. Managed Firewall / Managed UTM Version2
  • 2.1. Managed Firewall / Managed UTM Version3
  • 2.2. Managed WAF Version2
  • 2.2. Managed WAF Version3

---

2.1.29. パケット処理フロー

2.1.31. NATユースケース