[index] AT-AR2050V/AT-AR3050S/AT-AR4050S コマンドリファレンス 5.4.9
始点IP/IPv6アドレス | 送信元エンティティー | エンティティー定義 |
終点IP/IPv6アドレス | 宛先エンティティー | |
DSCP値 | ||
IPプロトコル番号 | ||
始点TCP/UDPポート番号 | ||
終点TCP/UDPポート番号 | ||
ICMPタイプ/コード |
NoteDSCP値はQoSおよびポリシーベースルーティング(PBR)でのみサポートです。各機能については「トラフィック制御」/「Quality of Service」、「トラフィック制御」/「ポリシーベースルーティング」をご覧ください。
from public to dmz.servernet.web
from private.wireless to private.wired
from private.wired.adminpc to dmz
Note有効なゾーンには最低1つのネットワークが存在し、また、該当ネットワークには最低1つのサブネットアドレスを関連付けておく必要があります。
Noteエンティティー定義名(ゾーン、ネットワーク、ホスト定義名)は大文字小文字を区別します。
awplus(config)# zone public ↓ awplus(config-zone)# network internet ↓ awplus(config-network)# ip subnet 0.0.0.0/0 interface ppp0 ↓ awplus(config-network)# ipv6 subnet ::/0 interface ppp1 ↓ awplus(config-network)# host myself ↓ awplus(config-host)# ip address 10.1.1.1 ↓ awplus(config-host)# exit ↓ awplus(config-network)# host vpngw ↓ awplus(config-host)# ip address 10.2.2.2 ↓ awplus(config-host)# exit ↓ awplus(config-network)# exit ↓ awplus(config-zone)# exit ↓
awplus(config)# zone dmz ↓ awplus(config-zone)# network servernet ↓ awplus(config-network)# ip subnet 172.16.10.0/24 ↓ awplus(config-network)# ipv6 subnet 2001:db8:1000:10::/64 ↓ awplus(config-network)# host web ↓ awplus(config-host)# ip address 172.16.10.1 ↓ awplus(config-host)# ipv6 address 2001:db8:1000:10::1 ↓ awplus(config-host)# exit ↓ awplus(config-network)# host dns ↓ awplus(config-host)# ip address 172.16.10.2 ↓ awplus(config-host)# ipv6 address 2001:db8:1000:10::2 ↓ awplus(config-host)# exit ↓ awplus(config-network)# host mail ↓ awplus(config-host)# ip address 172.16.10.3 ↓ awplus(config-host)# ipv6 address 2001:db8:1000:10::3 ↓ awplus(config-host)# exit ↓ awplus(config-network)# exit ↓ awplus(config-zone)# exit ↓
awplus(config)# zone private ↓ awplus(config-zone)# network wired ↓ awplus(config-network)# ip subnet 192.168.10.0/24 ↓ awplus(config-network)# ipv6 subnet 2001:db8:10:10::/64 ↓ awplus(config-network)# host adminpc ↓ awplus(config-host)# ip address 192.168.10.254 ↓ awplus(config-host)# ipv6 address 2001:db8:10:10::fe ↓ awplus(config-host)# exit ↓ awplus(config-network)# host dbserver ↓ awplus(config-host)# ip address 192.168.10.2 ↓ awplus(config-host)# exit ↓ awplus(config-network)# exit ↓ awplus(config-zone)# network wireless ↓ awplus(config-network)# ip subnet 192.168.20.0/24 ↓ awplus(config-network)# ipv6 subnet 2001:db8:10:20::/64 ↓ awplus(config-network)# exit ↓ awplus(config-zone)# network branch ↓ awplus(config-network)# ip subnet 192.168.100.0/24 ↓ awplus(config-network)# exit ↓ awplus(config-zone)# network vpn ↓ awplus(config-network)# ip subnet 192.168.254.0/24 ↓ awplus(config-network)# exit ↓ awplus(config-zone)# exit ↓ awplus(config)#
Noteゾーン定義名は大文字小文字を区別します。
awplus(config)# zone private ↓ awplus(config-zone)#
awplus# configure terminal ↓ awplus(config)# no zone private ↓
Noteネットワーク定義名は大文字小文字を区別します。
awplus(config)# zone private ↓ awplus(config-zone)# network wired ↓ awplus(config-network)# ip subnet 192.168.10.0/24 ↓ awplus(config-network)# ipv6 subnet 2001:db8:10:10::/64 ↓
awplus(config)# zone private ↓ awplus(config-zone)# no network wired ↓
Noteホスト定義名は大文字小文字を区別します。
awplus(config)# zone dmz ↓ awplus(config-zone)# network servernet ↓ awplus(config-network)# ip subnet 172.16.10.0/24 ↓ awplus(config-network)# ipv6 subnet 2001:db8:1000:10::/64 ↓ awplus(config-network)# host web ↓ awplus(config-host)# ip address 172.16.10.1 ↓ awplus(config-host)# ipv6 address 2001:db8:1000:10::1 ↓
awplus(config)# zone dmz ↓ awplus(config-zone)# network servernet ↓ awplus(config-network)# no host web ↓
NoteFQDN指定のホスト定義は、ファイアウォール、NAT、QoS、ポリシーベースルーティング(PBR)で使用できます。Webコントロールでは使用できません。
Noteこれらの条件を満たしていない状態でFQDNホスト定義を使用することはサポート対象外です。
awplus(config)# ip dns forwarding ↓
awplus(config)# ip dns forwarding cache size 1000 ↓
awplus(config)# ip domain-lookup via-relay ↓
awplus(config)# zone public ↓ awplus(config-zone)# network eth1 ↓ awplus(config-network)# ip subnet 0.0.0.0/0 ↓ awplus(config-network)# ipv6 subnet 2000::/3 ↓ awplus(config-network)# host appsite ↓ awplus(config-host)# ip address dynamic fqdn app.example.com ↓ awplus(config-host)# ipv6 address dynamic fqdn app.example.com ↓
Noteここでは ip subnet、ipv6 subnetの両方のコマンドを使用していますが、実際にはルールで使用したいIPバージョン(IPv4、IPv6)に対応するものだけでかまいません。
Note配下の端末が本製品のDNSリレー機能を使わず、他のDNSサーバーに直接問い合わせを行った場合はアドレスリストが作成されないため、FQDNホスト定義を使ったルールは無効(存在しない)状態になります。
awplus# show entity ↓ Zone: dmz Network: dmz.servernet Subnet: 172.16.10.0/24 Subnet: 2001:db8:1000:10::/64 Host: dmz.servernet.dns Address: 172.16.10.2 Address: 2001:db8:1000:10::2 Host: dmz.servernet.mail Address: 172.16.10.3 Address: 2001:db8:1000:10::3 Host: dmz.servernet.web Address: 172.16.10.1 Address: 2001:db8:1000:10::1 Zone: private Network: private.branch Subnet: 192.168.100.0/24 Network: private.vpn Subnet: 192.168.254.0/24 Network: private.wired Subnet: 192.168.10.0/24 Subnet: 2001:db8:10:10::/64 Host: private.wired.adminpc Address: 192.168.10.254 Address: 2001:db8:10:10::fe Host: private.wired.dbserver Address: 192.168.10.2 Network: private.wireless Subnet: 192.168.20.0/24 Subnet: 2001:db8:10:20::/64 Zone: public Network: public.internet Subnet: 0.0.0.0/0 via ppp0 Subnet: ::/0 via ppp1 Host: public.internet.vpngw Address: 10.2.2.2 Host: public.internet.myself Address: 10.1.1.1
awplus# show entity private.wired ↓ Network: private.wired Subnet: 192.168.10.0/24 Subnet: 2001:db8:10:10::/64 Host: private.wired.adminpc Address: 192.168.10.254 Address: 2001:db8:10:10::fe Host: private.wired.dbserver Address: 192.168.10.2
awplus# show entity dmz.servernet.mail ↓ Host: dmz.servernet.mail Address: 172.16.10.3 Address: 2001:db8:1000:10::3
Noteアプリケーション定義名は大文字小文字を区別しませんが、エンティティー定義名(ゾーン、ネットワーク、ホスト定義名)は大文字小文字を区別しますので、ルールで指定するときはエンティティー定義名の大文字小文字を間違えないようにご注意ください。
awplus(config)# firewall ↓ awplus(config-firewall)# rule permit any from private to public ↓ awplus(config-firewall)# rule permit mydb from private to private.wired.dbserver ↓ awplus(config-firewall)# rule permit ssh from private.wired.adminpc to dmz.servernet ↓ awplus(config-firewall)# rule permit http from public to dmz.servernet.web log ↓ awplus(config-firewall)# rule permit isakmp from public.internet.vpngw to public.internet.myself ↓ awplus(config-firewall)# rule permit esp from public.internet.vpngw to public.internet.myself ↓ファイアウォールの詳細については、「UTM」/「ファイアウォール」をご覧ください。
awplus(config)# nat ↓ awplus(config-nat)# rule masq any from private to public ↓ awplus(config-nat)# rule portfwd http from public with dst dmz.servernet.web ↓NATの詳細については、「UTM」/「NAT」をご覧ください。
awplus(config)# web-control ↓ awplus(config-web-control)# rule permit Work from private ↓ awplus(config-web-control)# rule deny Blogs from private ↓ awplus(config-web-control)# rule deny Chat from private ↓ awplus(config-web-control)# rule deny "Crime, Weapons" from private ↓Webコントロールの詳細については、「UTM」/「Webコントロール」をご覧ください。
awplus(config)# traffic-control ↓ awplus(config-tc)# rule match photostorage from private to public.cloud policy MYQOS.LOW.A ↓QoSの詳細については、「トラフィック制御」/「Quality of Service」をご覧ください。
awplus(config)# policy-based-routing ↓ awplus(config-pbr)# ip policy-route match highprio from local.net to remote.net nexthop tunnel0 ↓ awplus(config-pbr)# ip policy-route match lowprio from local.net to remote.net nexthop tunnel1 ↓ポリシーベースルーティングの詳細については、「トラフィック制御」/「ポリシーベースルーティング」をご覧ください。
(C) 2015 - 2019 アライドテレシスホールディングス株式会社
PN: 613-002107 Rev.AA