設定例集#7: ブリッジモードでのUTM機能
ブリッジモードでUTM機能を使用するための設定をします。
既存のルーターと端末の間に、ブリッジとして動作するよう設定した本製品を設置することにより、ネットワークの設定等を変更せずにUTM機能を利用可能です。
構成
AT-NFV-APLの事前設定
本設定例は、あらかじめ AT-NFV-APL側で以下のような設定を行っていることを前提としています。使用するインターフェースの番号や数は適宜変更してかまいません。
事前設定の流れについては「AT-NFV-APL」/「準備」をご覧ください。
管理IPアドレス
詳細は「AT-NFV-APL」/「ネットワーク基本設定」をご覧ください。| br0 | 192.168.10.254/24 |
ブリッジ
詳細は「AT-NFV-APL」/「ネットワーク基本設定」をご覧ください。| eth1~eth6 | 1 | 1 |
| eth7~eth10 | ||
仮想インターフェース割り当て
vFirewallアプリケーションインスタンスの初期設定時には、下記のように仮想インターフェースを割り当てます。詳細は「AT-NFV-APL」/「AW+ vFirewall」をご覧ください。
インターフェース名 |
タイプ |
VLAN ID |
インターフェース |
|
| eth0 | Virtual | 1 | - | 192.168.10.1/24 |
| eth1 | Physical | - | eth7 | 未指定 |
| eth2 | Physical | - | eth8 | 未指定 |
| eth3 | Physical | - | eth9 | 未指定 |
| eth4 | Physical | - | eth10 | 未指定 |
ルーターの設定
- ソフトウェアブリッジ「1」を作成します。これには、bridgeコマンドを使います。
ブリッジングの詳細は「ブリッジング」/「一般設定」をご覧ください。
bridge 1
- 管理用インターフェースeth0のIPアドレスは、AT-NFV-APLの事前設定時に設定済みのため、次のコマンドを手で入力する必要はありません。
interface eth0 ip address 192.168.10.1/24
- ソフトウェアブリッジ「1」にeth1、eth2、eth3、eth4をブリッジポートとして追加します。これにはbridge-groupコマンドを使います。
interface eth1-4 bridge-group 1
- 侵入防御(IPS)機能の設定を行います。
これには、ips、protectの各コマンドを使います。
この設定では、異常なイベントをログに記録するだけですが、category actionコマンドによって、特定のイベントを検出したときに該当パケットを破棄する設定も可能です。
侵入防御(IPS)の詳細は「UTM」/「侵入防御(IPS)」をご覧ください。
ips protect
- IPレピュテーション(IPアドレスブラックリスト)機能の設定を行います。
これには、ip-reputation、provider、protectの各コマンドを使います。
IPレピュテーション(IPアドレスブラックリスト)の詳細は「UTM」/「IPレピュテーション」をご覧ください。
ip-reputation provider lac proofpoint protect
- IPレピュテーション(IPアドレス・ブラックリスト)機能のIPレピュテーションデータベースを定期的に更新するため、ソフトウェアブリッジ「1」全体を表すブリッジインターフェース「br1」にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
interface br1 ip address 192.168.1.254/24
- IPレピュテーションデータベースをダウンロードするために必要な名前解決用のDNSサーバーを手動設定します。これには、ip name-serverコマンドを使います。
ここではDNSサーバーアドレスとして、DNSリレー機能が動作している既設ルーターのLAN側IPアドレスを指定しています。
ip name-server 192.168.1.1
- デフォルト経路を既存ルーターに向けて設定します。これには、ip routeコマンドを使います。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
ip route 0.0.0.0/0 192.168.1.1
- 以上で設定は完了です。
end
設定の保存
設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。awplus# copy running-config startup-config
Building configuration...
[OK]
また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]
その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。
ルーターのコンフィグ
! bridge 1 ! interface eth0 ip address 192.168.10.1/24 ! interface eth1-4 bridge-group 1 ! ips protect ! ip-reputation provider lac proofpoint protect ! interface br1 ip address 192.168.1.254/24 ! ip name-server 192.168.1.1 ! ip route 0.0.0.0/0 192.168.1.1 ! end