[index] AT-AR2050V/AT-AR3050S/AT-AR4050S/AT-AR4050S-5G コマンドリファレンス 5.5.2

UTM / UTMオフロード

Note

UTMオフロード機能はAT-AR4050S、AT-AR4050S-5Gでのみサポートです。AT-AR3050S、AT-AR2050Vでは使用できません。

Note

UTMオフロード機能を使用するにはアニュアルライセンスが必要です。
ライセンスのインストール方法については「運用・管理」/「システム」の「ライセンスキーのインストール」をご参照ください。

用語

• フォワーディングデバイス
  UTMオフロード機能においては本製品を指します。
  
  
• オフロードデバイス
  UTM処理の委託先。本製品のオフロードインターフェースに直結したPXEブート可能なx86マシン（物理マシンまたは仮想マシン）を指します。
  
  
• オフロードインターフェース
  オフロードデバイスを接続する本製品のインターフェース（eth1、eth2のどちらか）を指します。
  
  
• オフロードサブネット
  フォワーディングデバイス（本製品）とオフロードデバイスの間で通信を行うための専用サブネット。運用ネットワークと重複しないアドレスを割り当てます。
  
  
• PXE（Preboot eXecution Environment）
  ハードディスクやCD-ROMなどのローカルストレージではなく、DHCPとTFTPを用いてネットワーク経由でシステムを起動するための仕組み。
  実際に起動を行うPXEクライアント側の機能はネットワークインターフェースカード（NIC）に搭載されており、起動を支援するPXEサーバー側はDHCPサーバーとTFTPサーバーで構成します。
  UTMオフロード機能では、フォワーディングデバイス（本製品）がオフロードインターフェースにおいてPXEサーバー（DHCPサーバー＋TFTPサーバー）として動作し、同インターフェースに接続されたオフロードデバイス（PXEクライアント）が起動するために必要な情報（IPアドレス、TFTPサーバーアドレス、イメージファイル名）とオフロードデバイスイメージを提供します。
  
  
• オフロードデバイスイメージ
  UTMオフロード機能において、オフロードデバイスでUTM処理の一部を実行するためのオペレーティングシステム（OS）をオフロードデバイスイメージと呼びます。
  UTMオフロード機能が有効なフォワーディングデバイス（本製品）はインターネット経由で最新のオフロードデバイスイメージをチェック・取得し、TFTP経由でオフロードデバイスに提供します。
  

仕様

全般仕様

• UTMオフロード機能は初期状態では無効です。
  
  
• オフロードデバイスを接続できるのはeth1、eth2のどちらか一方のみです。オフロードデバイスを接続したインターフェースをオフロードインターフェースと呼びます。このインターフェースはオフロードデバイスとの通信専用で他の用途には使用できません。
  
  
• オフロードできるのは下記UTM機能の処理です。これらの機能が1つも有効になっていない場合、UTMオフロードは動作しません。
  
  • 侵入防御（IPS）
    
  • IPレピュテーション（IPアドレスブラックリスト）
    
  • マルウェアプロテクション（ストリーム型アンチウイルス）
    
  • URLフィルター（URLブラックリスト）
    
  
  
• オフロード動作時は、原則としてオフロードインターフェース以外のインターフェースで受信したすべてのパケットがオフロードデバイスに送られます。
  ただし、トンネルインターフェースで受信したパケットは、グローバルコンフィグモードのtunnel security-reprocessingコマンドを有効にしていないかぎりオフロードデバイスには送信されません。
  
  
• オフロードデバイスに送られたパケットは、本製品本体のどの機能よりも先に処理されます。
  
  
• フォワーディングデバイス（本製品）はオフロードデバイスの状態を定期的に監視します。
  
  
• UTMオフロード機能が有効でも、オフロードデバイスが稼働状態にないと判断した場合は次の動作になります。
  トラフィック停止に関しては、オフロードデバイスの早期復旧、オフロード機能の無効化、別経路の準備などの対策を事前に検討してください。
  
  • フォワーディングデバイス（本製品）の管理機能とは通信可能です。
    
  • フォワーディングデバイス（本製品）を経由するトラフィックは同一サブネット内（L2スイッチング）を除きすべて破棄されます。
    

フォワーディングデバイスの要件

• インターネット接続 - オフロードデバイスイメージを取得するため、インターネット接続が必要です。
  

オフロードデバイスの要件

UTMオフロードの初期設定

1. オフロードデバイスはフォワーディングデバイス（本製品）をNTPサーバーとみなして時刻同期するため、本製品がNTPサーバーとして動作するよう設定しておく必要があります。そのためにはntp serverコマンドで他のNTPサーバーに同期するよう設定するか、あるいはntp masterコマンドで単独のNTPサーバーとして動作させてください。
   
   
2. フォワーディングデバイス（本製品）のeth1かeth2のどちらかに電源オフ状態のオフロードデバイスを直結します。
   オフロードデバイスとして物理マシンを使用する場合は同マシンの物理NICを、仮想マシンを使用する場合は仮想NICに1対1で割り当てた、UTMオフロード専用の物理NICを直接接続してください。
   

   

   
   
3. フォワーディングデバイス（本製品）でutm-offloadコマンドを実行し、UTMオフロード機能を有効にします。
   このとき、interfaceパラメーターにはオフロードデバイスを接続したインターフェース（オフロードインターフェース）を、subnetパラメーターにはオフロードデバイスとの間で使用するIPサブネットの範囲を指定してください。
   

   awplus(config)# utm-offload interface eth2 subnet 10.0.0.0/24 ↓
   

   Note

   オフロードサブネットのIPアドレス空間は、本製品（フォワーディングデバイス）とオフロードデバイスとの間の通信に用いられる内部的なアドレスです。運用ネットワークのアドレスと重複しないように設定してください。

   Note

   ファイアウォールを併用している場合は、オフロードサブネット上の通信を許可するよう設定してください。

   
   
4. 前記設定により、フォワーディングデバイス（本製品）はインターネット経由で最新のオフロードデバイスイメージを取得します。
   また、オフロードインターフェースには指定したサブネット内からIPアドレスが自動設定され、DHCPサーバーとTFTPサーバー機能が自動的に有効になります。
   

   Note

   ファイアウォールを併用している場合は、オフロードデバイスイメージを取得・更新するため、フォワーディングデバイス（本製品）からインターネットへのDNS/HTTPS/SSL/TCP通信を許可してください。

   
   
5. オフロードデバイスの電源をオンにします。
   なお、PXEブートが無効になっている場合はBIOS設定でPXEブートを有効にした後、オフロードデバイスを再起動してください。
   PXEブート機能により、オフロードデバイスはフォワーディングデバイス（本製品）のオフロードインターフェースで稼働しているDHCPサーバーから、IPアドレスとオフロードデバイスイメージファイルの情報を取得し、同じくオフロードインターフェース上で稼働しているTFTPサーバーからイメージファイルをダウンロードして起動します。
   
   
6. オフロードデバイスの起動が完了すると、UTMオフロード機能が通常動作状態になります。
   いったん通常動作に入った後は、UTMオフロード機能を使用していないとき同じようにUTM各機能の設定を行ってください。
   オフロードデバイスに対して設定を行う必要はありません。
   

   Note

   オフロードデバイスの直接操作は未サポートです。コンソールなどからオフロードデバイスを操作しないでください。

   UTM各機能の設定方法については、それぞれの解説ページをご覧ください。
   

オフロードデバイスイメージの更新

オフロードデバイスの状態確認

付録：仮想マシンの作成手順

Note

ここでは、仮想化環境であるVMware vSphere Hypervisor自体のセットアップについては触れていません。これについては同製品のマニュアルをご覧ください。また、仮想マシンの必要動作環境については、「オフロードデバイスの要件」をご覧ください。

1. 作成開始
   vSphere HypervisorのWeb管理画面にて「仮想マシンの作成/登録」をクリックします。
   これにより「新規仮想マシン」ウィザードが開きます。
   

   

   
   
2. 作成タイプの選択
   「新規仮想マシンの作成」を選択し、「次へ」をクリックします。
   

   

   
   
3. 名前とゲストOSの選択
   

   

   (1) 任意の仮想マシンの名前（本例では「UTM-Offload」）を入力します。
   (2) 「互換性」で使用するESXiサーバーのバージョンを選択します。
   (3) 「ゲストOSファミリ」で「Linux」を選択します。
   (4) 「ゲストOSのバージョン」で「その他のLinux(64ビット)」を選択します。
   (5) 「次へ」をクリックします。
   

   Note

   「その他のLinux (64ビット)」以外のOSはサポート対象外です。

   
   
4. ストレージの選択
   どのデータストアに仮想マシンをインストールするかを選択し、「次へ」をクリックします（データストアの選択は、ご使用のESXi構成によって異なります）。
   

   

   
   
5. 設定のカスタマイズ
   

   

   (1) 「CPU」で「1」を選択します。
   (2) 「メモリ」に「2048MB」以上の値を入力します。
   (3) 「ハードディスク」に「4GB」以上の値を入力します。
   (4) 「USBコントローラ1」、「CD/DVDドライブ1」は不要なため削除します。
   
   

   

   (5) 上部メニューから「その他のデバイスの追加」をクリックし、「シリアルポート」を選択します。
   (6) 追加された「新規シリアルポート」にて、左側の矢印をクリックして展開し、「物理シリアルポートを使用」を選択します。
   (7) 「パワーオン時に接続」のチェックを外します。
   (8) 使用する物理シリアルポートを選択します。
   
   

   

   (9) 「ネットワークアダプタ1」にて仮想マシンのネットワークインターフェースカード(NIC)を指定します。
   (10) 「ネットワークアダプタ1」の左側の矢印をクリックして展開し、NICに適切なネットワークを選択してください。また、「パワーオン時に接続」がチェックされていることを確認します。
   (11) 「次へ」をクリックします。
   
   
6. 設定の確認
   確認画面の内容を確認し、「完了」をクリックします。
   

   

   
   
7. 仮想スイッチのMTU変更
   フォワーディングデバイス（本製品）・オフロードデバイス間では通常よりサイズの大きいパケットで通信を行う必要があるため、
   仮想マシンの仮想NICと物理NICをつなぐ仮想スイッチ（vSwitch）のMTUを変更します。
   

   

   (1) vSphere HypervisorのWeb管理画面左メニューから「ネットワーク」を選択するとネットワーク情報が表示されます。作成した仮想マシンが接続されているvSwitch名をクリックしてください。
   
   

   

   (2) vSwitchの設定画面が表示されます。「アクション」から「設定の編集」をクリックしてください。
   
   

   

   (3) 「MTU」を「1582」に変更し、「保存」をクリックします。
   
   
8. 作成完了
   以上で仮想マシンの作成は完了です。
   仮想マシンを起動するには、作成した仮想マシンのチェックボックスにチェックを入れ、「パワーオン」をクリックします。
   

   

(C) 2015 - 2022 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.AT