AT-NFV-APL / 準備

ここでは、AT-NFV-APLシリーズでvFirewallを利用するための初期設定について説明します。

利用開始までの流れ

AT-NFV-APLシリーズでvFirewallの利用を開始するまでのおおまかな流れを次に示します。
  1. AT-NFV-APLの設置
    AT-NFV-APLを設置・接続し、起動します。

  2. AT-NFV-APLのGUIにアクセス
    WebブラウザーでAT-NFV-APLのGUI設定画面にアクセスします。

  3. AT-NFV-APLの初期設定
    AT-NFV-APLのGUI設定画面から、AT-NFV-APLの初期設定(IPアドレス変更、インターフェース構成変更など)を行います。

  4. vFirewallインスタンスの作成・起動
    AT-NFV-APLのGUI設定画面から、vFirewallアプリケーションインスタンスを作成して起動します。

  5. vFirewallのGUI/CLIにアクセスして設定開始
    WebブラウザーかSSHクライアントでvFirewallアプリケーションのGUI/CLIにアクセスし、ルーター/ファイアウォールとしての設定を行います。

本ページでは、AT-NFV-APLの設置(手順1)が完了していることを前提に、Webブラウザーを使ってAT-NFV-APLのGUI設定画面にアクセスし、vFirewallアプリケーションを起動するまでの作業手順(上記手順2~4)を説明します。

AT-NFV-APLの設置(手順1)については、弊社ホームページに掲載されている「AT-NFV-APLシリーズ ユーザーマニュアル」をご参照ください。

また、vFirewallの設定(手順5)については、本マニュアルの「運用・管理」/「システム」以降の各章、各ページをご参照ください。

AT-NFV-APLのGUI設定画面へのアクセス

Webブラウザーを使ってAT-NFV-APLのGUI設定画面にアクセスする方法を説明します。

クライアント要件

AT-NFV-APLに対する設定は、設定用コンピューターのWebブラウザーからGUI(Graphical User Interface)にアクセスして行います。
サポートするWebブラウザーは次のとおりです。

ご購入時設定

AT-NFV-APLのご購入時設定は次のとおりです。
IPアドレス 192.168.1.1/24
ただし、ネットワーク上にDHCPサーバーがある場合は、DHCPサーバーから取得したIPアドレスが設定されます
(ソフトウェアブリッジ上のvlan1に接続された論理ポート br0 に設定)
ブリッジ ソフトウェアブリッジにより全ポートがvlan1にブリッジ接続(レイヤー2接続)されています
ユーザー名 manager
パスワード friend


設定画面へのログイン

ここでは、設定用コンピューターとAT-NFV-APLとを直接ケーブルで接続して、AT-NFV-APLのGUI設定画面にログインする方法を説明します。
  1. 設定用コンピューターのIPアドレスを、AT-NFV-APLの初期IPアドレス192.168.1.1/24と同じIPサブネット内のアドレスに設定します。
    ここでは、192.168.1.30/24に設定するものとします。

  2. 設定用コンピューターとAT-NFV-APLのネットワークポートを適切なケーブルで接続します。
    ご購入時の状態では全ポートがvlan1にブリッジ接続されているため、初期設定時には設定用コンピューターをどのポートに接続してもかまいません。


  3. 設定用コンピューターでWebブラウザーを起動し、次のURLを入力します。
    https://192.168.1.1

  4. アクセスに成功するとログイン画面が表示されますので、ユーザー名とパスワードを入力して、「サインイン」ボタンをクリックします。
    入力したパスワードは、「●」で表示されます。


  5. ログインに成功すると、AT-NFV-APLのダッシュボード画面が表示されます。


AT-NFV-APLの初期設定

AT-NFV-APLのGUI設定画面にログインできたら、AT-NFV-APL自体の初期設定を行って、vFirewallアプリケーションをセットアップするための準備をします。

ネットワーク構成の検討

前述のとおり、AT-NFV-APLのご購入時設定ではすべての物理ポートがソフトウェアブリッジのvlan1に接続されており、AT-NFV-APLの初期IPアドレス192.168.1.1も同じブリッジ上の論理インターフェースbr0に設定されています。設定用コンピューターを含めた現在のネットワーク構成図を再掲すると次のようになります。


一般的に、ルーター機能を提供するvFirewallアプリケーションを動作させるには、少なくとも2系統のインターフェース(仮想インターフェース)を同アプリケーションに割り当てる必要がありますが、ご購入時には割り当て可能なインターフェースが1系統(vlan1)しかないため、ソフトウェアブリッジの設定を変更して割り当て可能なインターフェースを増やす必要があります。

vFirewallアプリケーションの仮想インターフェースには、割り当て方法によって次の2種類があります。
これらはネットワーク環境にあわせて自由に設定できますが、インターネットや閉域網など外部接続に使うWAN側インターフェースにはPhysicalを、LAN側などその他のインターフェースにはVirtualを使用するというのが基本的な考え方になります。

Virtualはブリッジ上のVLANを、Physicalはブリッジに所属しない単独の物理ポートをvFirewallに割り当てるものとも考えられるため、vFirewallに割り当て可能なインターフェースを増やすには、一部のブリッジポートをvlan1以外の所属に変更して利用可能なVLANを増やすか、特定の物理ポートをブリッジから外して単独ポートにするかのどちらかの方法をとることになります。

これらを踏まえた、LAN、WANインターフェースを1系統ずつ持つインターネット接続用ルーターの典型的な構成は次のようになります。

この例では、物理ポートを1つ(図ではeth10)ブリッジから外すことで、利用可能なインターフェースをブリッジ上のvlan1と単独ポートeth10の2系統に増やしています。その上で、vFirewallのLAN側インターフェースとしてブリッジ上のvlan1を「Virtual」で、WAN側インターフェースとして単独ポートのeth10を「Physical」で割り当てています(vFirewall側でのインターフェース名は割り当て順にeth0、eth1、...となります)。

以下では、この基本構成を例として、本製品のご購入時構成からvFirewallを運用するための構成に作り替えるための設定手順を説明します。
ここでは前述のLAN、WAN各1系統の構成例を示しますが、ご使用のネットワーク環境に合わせてブリッジ設定やvFirewallへのインターフェース割り当てを適宜変更してください。

AT-NFV-APLの管理IPアドレス変更

最初に、AT-NFV-APLの管理IPアドレスを初期設定の192.168.1.1/24から192.168.10.254/24に変更します。
これは、のちほど vFirewallのLAN側IPアドレスを192.168.10.1/24に設定することを前提に、LAN側の設定用コンピューターからAT-NFV-APL、vFirewallの両方にアクセスできるようにするためです。

設定用コンピューターからAT-NFV-APLのGUI設定画面にログインし、次の手順でAT-NFV-APLの管理アドレスを変更します。
また、AT-NFV-APLの管理アドレスを変更すると、設定用コンピューターからアクセスできなくなるため、設定用コンピューターのIPアドレスも変更します。
  1. メニュー欄から「ネットワーク基本設定」 > 「インターフェース管理」の順に選択して、「インターフェース管理」画面を開き、br0インターフェースの「編集」ボタンをクリックします。


  2. 「インターフェース br0 の編集」ダイアログが開いたら、「固定IP」を選択します。


  3. 「固定IP」を選択すると、「IPアドレス」と「セカンダリーIPアドレス」欄が現れるので、「IPアドレス」欄の内容を「192.168.10.254/24」に変更して「適用」ボタンをクリックします。


  4. IPアドレスが変更されたことにより、設定用コンピューターとAT-NFV-APLの接続が切断されるので、設定用コンピューターのIPアドレスを、AT-NFV-APLの新アドレス「192.168.10.254/24」と同一サブネット内のものに変更します。
    ここでは、192.168.10.30/24に設定するものとします。

  5. 設定用コンピューターのWebブラウザーに次のURLを入力して、AT-NFV-APLの新アドレスに接続します。
    https://192.168.10.254

  6. 接続できたら再度ログインします。

  7. 再度メニュー欄から「ネットワーク基本設定」 > 「インターフェース管理」の順に選択して、「インターフェース管理」画面でbr0インターフェースのIPアドレスが変更されていることを確認します。


  8. 画面右上の「保存」ボタンをクリックして、IPアドレスの変更を保存します。
    未保存の設定内容があるときは「保存」ボタンの背景色が赤になります。設定を保存すると背景色は白に戻ります。


vFirewallのWAN側として使用する物理ポートをブリッジから外す

次にvFirewallアプリケーションのWAN側インターフェースとして使用するAT-NFV-APLの物理ポートをソフトウェアブリッジから外します。
これは、同ポートをPhysicalインターフェースとしてvFirewallに直接割り当てるためです。

ここではAT-NFV-APL-GTXを想定し、10G/1000/100BASE-Tポートのeth10をブリッジから外す方法を説明します。
他のポートをWANインターフェースとして使う場合は対象インターフェース名を適宜読み替えてください。
  1. メニュー欄から「ネットワーク基本設定」 > 「ブリッジング」の順に選択して、「ブリッジング」画面を開きます。


  2. 「br0 - VLAN対応ブリッジ」の右側にある「編集」(鉛筆)ボタンをクリックします。


  3. 「ブリッジ編集」画面が開くので、eth10の「削除」(ゴミ箱)ボタンをクリックします。


  4. eth10が消えたことを確認して「適用」ボタンをクリックし、「ブリッジ編集」画面を閉じます。


  5. ブリッジポート一覧からeth10が消えたことを確認します。


  6. 画面右上の「保存」ボタンをクリックして、ブリッジポートの設定変更を保存します。


vFirewallインスタンスの作成と起動

AT-NFV-APLの初期設定が終わったら、vFirewallアプリケーションインスタンスを作成して起動します。
初期状態ではvFirewallアプリケーションインスタンスは設定されていませんので、以下の手順にしたがって作成してください。
vFirewallアプリケーションインスタンスの作成は2つの画面から行えます。

すべてのインスタンスを汎用的な「コンテナサービス」画面から作成・管理することもできますが、vFirewallインスタンスを1つだけ使用する場合は、vFirewallアプリケーションに特化した「AW+ vFirewall」画面から作成・管理するほうが便利です。

また、vFirewallインスタンスを複数使用する場合も、1つ目を「AW+ vFirewall」画面、2つ目以降を「コンテナサービス」画面で作成・管理するのが標準的です。

以下、それぞれの手順について説明します。

AW+ vFirewall画面から作成する

vFirewallインスタンスを1つだけ使用する場合を含め、1つ目のインスタンスは 「AW+ vFirewall」画面から以下の手順で作成します。
同画面で作成したインスタンスの名前は「AT-vFW-app」になります。
  1. AT-NFV-APLのGUI設定画面のメニュー欄から「AW+ vFirewall」を選択して、「AW+ vFirewall」画面を開きます。

  2. 「有効化」ボタンをクリックします。


  3. 「アプリケーション設定」ダイアログでインスタンスの作成に必要な情報を指定します。設定項目は次表をご覧ください。背景が黄色の項目は、選択、指定または初期値からの変更が必要です。
    設定項目
    設定内容
    初期値
    コンピュートID アプリケーション実行環境の識別子 AT-NFV-APLのシリアル番号
    イメージバージョン プリインストールされているvFirewallのバージョン プリインストールされているvFirewallのバージョン
    ストレージサイズ (MB) 4096以上(推奨値32768) 未指定
    詳細設定
     メモリー制限 (MB) 指定不要 未指定(制限なし)
     CPUコア制限 (コアインデックス) 指定不要 未指定(制限なし)
     環境変数 設定不要 未設定
     ネットワークモード 変更不要 プライベート
    ネットワーク
     「ネットワーク追加」を クリックして入力欄を追加し、下記項目を適宜設定
     ■ 1つ目(LAN側インターフェース = vFirewall上では仮想インターフェース eth0)
      インターフェースタイプ Virtual Virtual
      外部ネットワークVLAN ID 1 1
      MACアドレス (オプション) 指定不要 未指定
      IPv4アドレス 192.168.10.1/24 未設定
      ゲートウェイアドレス 指定不要(vFirewall側で設定するため) 未設定
      IPv6アドレス 指定不要 未設定
      IPv6ゲートウェイ 指定不要 未設定
      DHCPを使用 チェックなし チェックなし
      SLAACを使用する チェックなし チェックなし
     ■ 2つ目(WAN側インターフェース = vFirewall上では仮想インターフェース eth1)
      インターフェースタイプ Physical Virtual
      ホストインターフェース ブリッジ未所属のインターフェース(例ではeth10) 構成に依存
      IPv4アドレス 指定不要(vFirewall側で設定するため) 未設定
      ゲートウェイアドレス 指定不要(vFirewall側で設定するため) 未設定
      IPv6アドレス 指定不要 未設定
      IPv6ゲートウェイ 指定不要 未設定
      DHCPを使用 チェックなし チェックなし
      SLAACを使用する チェックなし チェックなし
     DNSサーバー追加 追加不要(vFirewall側で設定するため)

    • 「ストレージサイズ (MB)」に「4096」以上の値(推奨値は「32768」)を入力します。

    • 「ネットワーク」の下向き矢印をクリックして展開し、次のとおりvFirewallインスタンスのLAN側、WAN側のネットワークインターフェースを設定します。

      • 「ネットワーク追加」をクリック。「インターフェースタイプ」が「Virtual」、「外部ネットワークVLAN ID」が「1」であることを確認し、LAN側インターフェースの「IPv4アドレス」として「192.168.10.1/24」を入力します。

      • 「ネットワーク追加」をクリック。「インターフェースタイプ」を「Physical」に変更し、「ホストインターフェース」に前の手順でブリッジから外しておいたWAN側インターフェース用の物理ポート(本例ではeth10)を選択します。WAN側の「IPv4アドレス」はvFirewall側で設定するため入力不要です。

  4. 「アプリケーション設定」ダイアログで必要な情報を指定しおえたら、「適用」ボタンをクリックしてください。インスタンスの作成が開始されます。
    インスタンスの作成にはしばらく時間がかかります。作成中は、「デプロイ済みアプリケーション一覧」の状態欄が「展開中」→「作成中」と推移します。
    作成が完了して実行状態になると同欄が「実行中」の表示になります。


  5. 画面右上の「保存」ボタンをクリックして、vFirewallアプリケーションの設定を保存します。


vFirewallアプリケーションインスタンス「AT-vFW-app」の作成と起動は以上で完了です。

これ以降は、「運用・管理」/「システム」を参照して、「AT-vFW-app」インスタンスの管理インターフェースにアクセスし、ルーター/ファイアウォールとしての設定を行ってください。
さまざまな環境における具体的な設定例を集めた設定例集もご参照ください。

コンテナサービス画面から作成する(複数インスタンス)

vFirewallインスタンスを複数使用する場合、2つ目以降のインスタンスは「コンテナサービス」画面から以下の手順で作成します。
  1. AT-NFV-APLのGUI設定画面のメニュー欄から「システム」>「コンテナサービス」の順に選択して、「コンテナサービス」画面を開きます。

  2. 「インスタンス作成」ボタンをクリックします。


  3. 「インスタンス作成」ダイアログでインスタンスの作成に必要な情報を指定します。設定項目は次表をご覧ください。背景が黄色の項目は、選択、指定または初期値からの変更が必要です。
    設定項目
    設定内容
    初期値
    名称 インスタンス名 未指定
    コンピュートID AT-NFV-APL本体のシリアル番号 未選択
    イメージ vfw 未選択
    イメージバージョン プリインストールされているvFirewallのバージョン 未選択
    ストレージサイズ (MB) 4096以上(推奨値32768) 未指定
    詳細設定
     メモリー制限 (MB) 指定不要 未指定(制限なし)
     CPUコア制限 (コアインデックス) 指定不要 未指定(制限なし)
     環境変数 設定不要 未設定
     ネットワークモード 変更不要 プライベート
    ネットワーク
     「ネットワーク追加」を クリックして入力欄を追加し、下記項目を適宜設定
     ■ 1つ目(LAN側インターフェース = vFirewall上では仮想インターフェース eth0)
      インターフェースタイプ Virtual Virtual
      外部ネットワークVLAN ID 1 1
      MACアドレス (オプション) 指定不要 未指定
      IPv4アドレス 192.168.10.2/24 未設定
      ゲートウェイアドレス 指定不要(vFirewall側で設定するため) 未設定
      IPv6アドレス 指定不要 未設定
      IPv6ゲートウェイ 指定不要 未設定
      DHCPを使用 チェックなし チェックなし
      SLAACを使用する チェックなし チェックなし
     ■ 2つ目以降のインターフェースはネットワーク構成に応じて適宜設定
     DNSサーバー追加 追加不要(vFirewall側で設定するため)

    • 「名称」に任意のインスタンス名を入力します。

    • 「コンピュートID」からAT-NFV-APL本体のシリアル番号を選択します。
      本体のシリアル番号は画面上部に表示されています。


    • 「イメージ」から「vfw」(vFirewallアプリケーション)を選択します。

    • 「イメージバージョン」からvFirewallアプリケーションのバージョンを選択します。

    • 「ストレージサイズ (MB)」に「4096」以上の値(推奨値は「32768」)を入力します。

    • 「ネットワーク」の下向き矢印をクリックして展開し、次のとおりvFirewallインスタンスのネットワークインターフェースを設定します。

      • 「ネットワーク追加」をクリック。「インターフェースタイプ」が「Virtual」、「外部ネットワークVLAN ID」が「1」であることを確認し、LAN側インターフェースの「IPv4アドレス」として「192.168.10.2/24」を入力します。

      • 2つ目以降のインターフェースはネットワーク構成に応じて適宜設定してください。
        インスタンスを複数使用する場合の内部ネットワーク構成例としては、設定例#126: 「vFirewall複数インスタンス構成」をご参照ください。

  4. 「インスタンス作成」ダイアログで必要な情報を指定しおえたら、「適用」ボタンをクリックしてください。

  5. インスタンスが「オフライン」状態で追加されるので、「起動」ボタンをクリックしてください。


    「デプロイ済みアプリケーション一覧」の状態欄が「展開中」→「作成中」と推移し、実行状態になると同欄が「実行中」の表示になります。


  6. 画面右上の「保存」ボタンをクリックして、インスタンスの設定を保存します。


コンテナサービス画面からインスタンスを作成して起動するまでの手順は以上です。

これ以降は、「運用・管理」/「システム」を参照して、作成したvFirewallインスタンスの管理インターフェースにアクセスし、ルーター/ファイアウォールとしての設定を行ってください。
さまざまな環境における具体的な設定例を集めた設定例集もご参照ください。