設定例集#7: ブリッジモードでのUTM機能


構成
ルーターの設定
設定の保存
ルーターのコンフィグ



ブリッジモードでUTM機能を使用するための設定をします。
既存のルーターとスイッチの間に、ブリッジとして動作するよう設定した本製品を設置することにより、ネットワークの設定等を変更せずにUTM機能を利用可能です。

Note - ブリッジ構成(ブリッジポート)で使用できるUTM機能は、本設定例で使用している侵入防御(IPS)とIPレピュテーション(IPアドレスブラックリスト)だけです。他のUTM機能はルーティング用インターフェースでしか使用できません。
Note - IPレピュテーション(IPアドレスブラックリスト)機能はAT-AR2050Vでは使用できません。
Note - IPレピュテーション(IPアドレスブラックリスト)機能を使用するにはアニュアルライセンスが必要です。

構成


ルーターの設定

  1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
    スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。

    no spanning-tree rstp enable
    

  2. ソフトウェアブリッジ「1」を作成します。これには、bridgeコマンドを使います。
    ブリッジングの詳細は「ブリッジング」/「一般設定」をご覧ください。

    bridge 1
    

  3. ソフトウェアブリッジ「1」にWANポートeth1をブリッジポートとして追加します。これにはbridge-groupコマンドを使います。

    interface eth1
     bridge-group 1
    

  4. ソフトウェアブリッジ「1」にvlan1をブリッジポートとして追加します。これにはbridge-groupコマンドを使います。

    interface vlan1
     bridge-group 1
    

  5. 侵入防御(IPS)機能の設定を行います。
    これには、ipsprotectの各コマンドを使います。
    この設定では、異常なイベントをログに記録するだけですが、category actionコマンドによって、特定のイベントを検出したときに該当パケットを破棄する設定も可能です。
    侵入防御(IPS)の詳細は「UTM」/「侵入防御(IPS)」をご覧ください。

    ips
     protect
    

  6. IPレピュテーション(IPアドレスブラックリスト)機能の設定を行います。
    これには、ip-reputationprovider emerging-threatsprotectの各コマンドを使います。
    IPレピュテーション(IPアドレスブラックリスト)の詳細は「UTM」/「IPレピュテーション」をご覧ください。

    ip-reputation
     provider emerging-threats
     protect
    

  7. IPレピュテーション(IPアドレス・ブラックリスト)機能のIPレピュテーションデータベースを定期的に更新するため、ソフトウェアブリッジ「1」全体を表すブリッジインターフェース「br1」にIPアドレスを設定します。これにはip addressコマンドを使います。
    IPインターフェースの詳細は「IPルーティング」/「IPインターフェース」をご覧ください。

    interface br1
     ip address 192.168.1.254/24
    

  8. IPレピュテーションデータベースをダウンロードするために必要な名前解決用のDNSサーバーを手動設定します。これには、ip name-serverコマンドとip domain-lookupコマンドを使います。
    ここではDNSサーバーアドレスとして、DNSリレー機能が動作している既設ルーターのLAN側IPアドレスを指定しています。

    ip name-server 192.168.1.1
    ip domain-lookup
    

  9. デフォルト経路を既存ルーターに向けて設定します。これには、ip routeコマンドを使います。
    IP経路設定の詳細は「IPルーティング」/「経路制御」をご覧ください。

    ip route 0.0.0.0/0 192.168.1.1
    

  10. 以上で設定は完了です。

    end
    


設定の保存

■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。

awplus# copy running-config startup-config
Building configuration...
[OK]


また、write fileコマンド、write memoryコマンドでも同じことができます。

awplus# write memory
Building configuration...
[OK]


その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ルーターのコンフィグ

!
no spanning-tree rstp enable
!
bridge 1
!
interface eth1
 bridge-group 1
!
interface vlan1
 bridge-group 1
!
ips
 protect
!
ip-reputation
 provider emerging-threats
 protect
!
interface br1
 ip address 192.168.1.254/24
!
ip name-server 192.168.1.1
ip domain-lookup
!
ip route 0.0.0.0/0 192.168.1.1
!
end




(C) 2015 - 2016 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.J