289
ユーザーズガイド コマンドラインインタフェース編 Firmware version 1.82 対応] センチュリー・システムズ株式会社

CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

  • Upload
    others

  • View
    0

  • Download
    0

Embed Size (px)

Citation preview

Page 1: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

ユーザーズガイド

コマンドラインインタフェース編

[Firmware version 1.82対応]

センチュリー・システムズ株式会社

Page 2: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

 

Page 3: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

目次

目次

目次 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

第 1章 はじめに 5

1.1 CS-SEIL-510/Cの特長 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.2 ユーザーズガイドの種類について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.3 本ユーザーズガイドの読み方 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1.4 CS-SEIL-510/Cのご利用について . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

第 2章 安全にお使いいただくために 13

2.1 安全のための表示と図記号 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

第 3章 お使いになる前に 21

3.1 梱包内容の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

3.2 本体の名称と働き . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3.3 モードの切り替え方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

第 4章 ケーブルのつなぎ方 27

4.1 インターネットに接続する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

4.2 CS-SEIL-510/Cを LANに接続する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

4.3 電源を入れる . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

第 5章 初期設定 31

5.1 コンピュータのネットワーク設定について . . . . . . . . . . . . . . . . . . . . . . . . 32

5.2 telnetでのログイン方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

5.3 Webブラウザでの閲覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

5.4 パスワードを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

第 6章 設定と管理、運用 37

6.1 コマンドライン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

6.2 設定コマンドを利用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

1

Page 4: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

目次

6.2.1 接続設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

6.2.2 ARP設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

6.2.3 ルーティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

6.2.4 セキュリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

6.2.5 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

6.2.6 回線トレース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

6.2.7 NAT/NAPT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

6.2.8 帯域制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

6.2.9 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

6.2.10 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

6.2.11 ルータ広告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

6.2.12 プロトコル変換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

6.2.13 サーバの起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

6.2.14 時刻設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

6.2.15 管理設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

6.3 管理コマンドを利用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

6.3.1 設定内容の保存・読込 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

6.3.2 設定の初期化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

6.3.3 ファームウェアの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

6.3.4 動的な情報のクリア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

6.3.5 接続確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

6.3.6 システム時刻の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

6.3.7 管理者権限への移行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

6.3.8 ログアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

6.3.9 接続/切断 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

6.3.10 その他 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

6.4 参照コマンドを利用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

6.4.1 設定情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

6.4.2 動作情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

6.4.3 ログの参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

6.4.4 システム情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

6.4.5 現在時刻の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

6.4.6 ユーザ情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

6.4.7 各種情報一括取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

6.5 ファームウェアを更新する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

2

Page 5: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

目次

6.6 INITボタンによる設定の初期化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

第 7章 ネットワークでの利用例 79

7.1 LANをインターネットに接続する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

7.1.1 PPPoEを使用して接続する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . 81

7.1.2 unnumbered PPPoEを使用して接続する場合 . . . . . . . . . . . . . . . . . . . 87

7.1.3 DHCPを使用して接続する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

7.1.4 LAN内でグローバルアドレスを使用する場合 . . . . . . . . . . . . . . . . . . . 97

7.2 IPv4ネットワークを経由して IPv6ネットワークに接続する . . . . . . . . . . . . . . 101

7.2.1 IPv6 over IPv4 tunnelを使って接続する場合 . . . . . . . . . . . . . . . . . . . . 101

7.3 LAN内のサーバをインターネットに公開する . . . . . . . . . . . . . . . . . . . . . . 108

7.3.1 公開するサーバにグローバルアドレスを割り当てる場合 . . . . . . . . . . . . . . 108

7.3.2 公開するサーバにプライベートアドレスを割り当てる場合 . . . . . . . . . . . . 111

7.3.3 サーバを LAN内からグローバルアドレスで参照する . . . . . . . . . . . . . . . 114

7.4 外部からのアクセスを制限する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

7.4.1 外部から LANへのアクセスを制限するフィルタリングを設定する . . . . . . . . 119

7.4.2 動的にアクセスを許可するフィルタリングを設定する . . . . . . . . . . . . . . . 127

7.4.3 IPアドレスの詐称を防ぐフィルタリング (uRPF)を設定する . . . . . . . . . . . 133

7.5 MACアドレスによるフィルタリングを行う . . . . . . . . . . . . . . . . . . . . . . . 136

7.5.1 MACアドレスの個別設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

7.5.2 外部ホワイトリストによる設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

7.6 ルーティングを動的に行う~動的ルーティングの設定~ . . . . . . . . . . . . . . . . 145

7.6.1 RIPを利用した動的ルーティング~比較的小規模なネットワーク~ . . . . . . . 145

7.6.2 OSPFを利用した動的ルーティング~中規模以上のネットワーク~ . . . . . . . 151

7.6.3 複数のルーティングプロトコルを同時に使う~経路情報の再配布~ . . . . . . . 155

7.6.4 PIM-SMを利用した IPv4/IPv6マルチキャストルーティング . . . . . . . . . . . 158

7.7 目的別のルーティングを行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

7.7.1 静的経路の監視を行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

7.7.2 ポリシーベースのルーティングを行う . . . . . . . . . . . . . . . . . . . . . . . 166

7.8 VPNを構築する~IPsecの設定~ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

7.8.1 ポリシーベース IPsecトンネル . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

7.8.2 ルーティングベース IPsecトンネル . . . . . . . . . . . . . . . . . . . . . . . . 180

7.8.3 自アドレスが動的 IPアドレスの場合 . . . . . . . . . . . . . . . . . . . . . . . . 201

7.8.4 動的 IPアドレスからの接続を受け付ける場合 . . . . . . . . . . . . . . . . . . . 210

7.9 L2VPNを構築する~L2TPv3の設定~ . . . . . . . . . . . . . . . . . . . . . . . . . 219

3

Page 6: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

目次

7.9.1 L2TPv3を利用した L2トンネルの設定 . . . . . . . . . . . . . . . . . . . . . . . 219

7.10 遠隔地のコンピュータからリモートアクセスを行う . . . . . . . . . . . . . . . . . . . 227

7.10.1 PPTPを利用したリモートアクセスを受け入れる設定 . . . . . . . . . . . . . . . 227

7.10.2 遠隔地のコンピュータから SEILへのリモートアクセス . . . . . . . . . . . . . 235

7.11 CS-SEIL-510/Cを冗長化する~VRRPの設定~ . . . . . . . . . . . . . . . . . . . . 239

7.11.1 機器の故障時に自動的にバックアップ回線に切り替える . . . . . . . . . . . . . . 239

7.11.2 回線障害を検出して自動的にバックアップ回線に切り替える . . . . . . . . . . . 243

7.12 データの送信を制御する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248

7.12.1 CBQの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248

第 8章 資料・付録 257

8.1 仕様について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257

8.1.1 機能一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257

8.1.2 初期設定値(工場出荷状態)一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . 260

8.1.3 ハードウェア仕様 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262

8.1.4 ネットマスク/ポート番号一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265

8.1.5 ポート番号一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266

8.2 ネットワーク用語集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267

第 9章 トラブル・シューティング 279

9.1 LEDの点灯状態 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279

9.2 故障かな?と思ったとき . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

9.2.1 不具合時の確認手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282

9.3 自己診断テスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285

4

Page 7: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 1章はじめに

第 1 章 はじめに

この度は、CS-SEIL-510/Cをお買い上げいただきまして誠にありがとうございます。

CS-SEIL-510/Cは、WANサービスでは IP-VPNでのアクセスルータとして、あるいは広域 LANサー

ビスのローカルルータ/帯域制御装置として、様々な用途にご利用いただけます。アクセス回線も

ADSL、FTTH、CATV、光専用線と多種回線に対応しております。

また、CS-SEIL-510/Cは IPv6も完全実装しており、IPv4/IPv6混在環境など多様なネットワークに

柔軟に対応できる「新世代型高機能ルータ」です。洗練されたユーザインタフェース、容易なマネージ

メント機能を装備し、複雑化するお客様のネットワークに柔軟に対応する新しいタイプのネットワーク

接続装置です。

ご利用の前に、CS-SEIL-510/Cの機能・性能を充分にご理解いただき、効果的にお使いいただくため

に、本ユーザーズガイドを必ずお読みください。

本製品の電源が切れていると、接続されているコンピュータなどの機器を使用し

ての通信は一切できませんのでご注意ください。

5

Page 8: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 1章はじめに

1.1. CS-SEIL-510/Cの特長

1.1 CS-SEIL-510/Cの特長

CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型高機能ルータ」です。ここで

は、CS-SEIL-510/Cの各特長を紹介します。

•インターネット接続に最適CS-SEIL-510/C は、インターネット接続に必要十分な機能と、IPsec、帯域制御への対応な

ど先進的な機能を搭載しています。

• IPv6完全実装

IPv4/IPv6を統一したユーザインタフェースにて提供していますので、IPv6の設定/運用もス

ムーズに行えます。また、IPv6ネットワークへの移行を容易にするトンネリング機能も搭載

しています。

• PPPoE, DHCPクライアント機能

PPPoE をサポートしているため、ADSL などの高速回線用ルータとして最適です。また、

DHCPクライアント機能を持つので CATV回線にも使用できます。

•豊富なセキュリティ機能IPsec/IKEを使用した VPN環境が構築できるほか、Secure Shellによる安全なネットワーク

の管理/運用が行えます。

•パケットフィルタリング機能を搭載インタフェースやデータの入出力方向ごとにフィルタを指定することができ、

Source/Destination に対するアドレス、ポート単位指定や、TCP Established/SYN に

対しても指定可能な多機能なフィルタリング機能を提供します。

•帯域制御機能を搭載トラフィックの集中する環境においてデータ転送にボトルネックが生じる状況でも、特定の

トラフィックに対して一定の帯域を確保することが可能です。

IPsec通信の際にも、暗号化する前のデータに対して帯域制御を行うことが可能です。

•グラフ表示機能を搭載回線使用率、帯域制御状態、システム負荷など多彩なグラフ表示機能により、ネットワーク

の稼働状況を即座に確認できます。

• IPv4/IPv6マルチキャストルーティング(PIM-SM)機能を搭載

大容量の動画データなどを低コストで配信することができ、ネットワーク利用の効率化を図

ることができます。

• UPnP機能を搭載

VoIPアダプタやWindows Messengerなどを NAT環境下で利用可能です。

6

Page 9: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 1章はじめに

1.2. ユーザーズガイドの種類について

• NTPサーバ・クライアント機能を搭載

時刻同期サーバとの間で時刻の同期を行う NTPクライアント機能だけでなく、時刻同期サー

バとしての機能も搭載しています。

• SNMPエージェント機能を搭載

動作情報を外部から取得できる SNMPエージェント機能に加え、インタフェースの up/down

検出時や再起動時にトラップを送出する機能を搭載し、SNMP管理ツールを用いたルータの

集中管理にも対応しています。

•ロギング機能を搭載メモリ内部にログを保持するだけでなく、外部にログを転送する機能を装備しています。

• DHCPサーバ機能を搭載

IPアドレスの割り当てを自動的に行うことができ、効率的なネットワークの運用を可能とし

ます。

• SMFに対応

CS-SEIL-510/Cはモードを SMFモードへ変更することにより、SMFに対応したルータとな

ります(※ SMFとは、ネットワーク機器の構築、設定、運用、保守における作業をユーザ専

用WEBサイトから一元的に行なえるようにするサービスです。)本サービスを利用すること

により煩雑なルータ設定などを自動化でき、ネットワーク構築や設定変更の作業を大幅に削

減できます。

(サービスへの申し込みが別途必要です。)

1.2 ユーザーズガイドの種類について

CS-SEIL-510/C のユーザーズガイドは以下の 2 種類があります。ご利用状況にあわせてご参照くだ

さい。

•「コマンドラインインタフェース編」本ユーザーズガイドです。設定、管理、運用法などを、主にコマンドラインインタフェース

を用いて解説します。コマンドラインインタフェースでは、SEILに用意されている全ての機

能の設定が行えます。

•「Webインタフェース編」

Webブラウザを用いた簡易設定、管理、運用法について解説します。Webインタフェースで

は、よく使われる機能について簡単に設定が可能なほか、帯域使用状況などのグラフ表示を

参照することができます。

7

Page 10: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 1章はじめに

1.3. 本ユーザーズガイドの読み方

1.3 本ユーザーズガイドの読み方

■ 各章の説明

第 1章 はじめに SEIL の特長や本ユーザーズガイドについて説明しま

す。

第 2章 安全にお使いいただくために SEILを安全に正しくお使いいただき、危害や損害を未

然に防止するために、守っていただきたい事項を説明

します。

第 3章 お使いになる前に SEILの各部の名称や働き、設置してからお使いになる

までの準備について説明します。

第 4章 ケーブルのつなぎ方 SEIL と HUB、コンピュータなど周辺機器との基本的

な配線方法について説明します。

第 5章 初期設定 SEILの利用に必要なコンピュータの設定と SEIL 本体

の設定について説明します。

第 6章 設定と管理、運用 本章では、SEIL を利用する上で使用する、設定メニ

ュー、管理メニュー、運用メニューについて説明しま

す。

第 7章 ネットワークでの利用例 ネットワーク(LAN)内からインターネットを利用す

る方法やインターネットにコンピュータ(サーバなど)

を公開する方法を、実例を挙げて説明します。

第 8章 資料・付録 SEILの仕様や、ネットワークを利用する際によく使わ

れる専門用語などについて分かりやすく説明します。

第 9章 トラブル・シューティング SEILの設定や SEILを使用してインターネット接続で

きない場合など、困ったときの対策について説明しま

す。

8

Page 11: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 1章はじめに

1.3. 本ユーザーズガイドの読み方

■ マークについて

本文で使用している表示と図記号の意味は次の通りです。内容をよく理解してから、本文をお読みく

ださい。

※ : 操作上の注意点や用語の説明、補足を示します。

ó� : 詳しい説明のある参照ページです。

※ 本ユーザーズガイドの画像は、Internet Explorer 6.0を使用したものです。

※ Webブラウザは最新のものをご利用ください。お使いいただくブラウザにより、画面表示状態が

異なったり、正しく表示されなかったりする場合があります。

9

Page 12: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 1章はじめに

1.4. CS-SEIL-510/Cのご利用について

1.4 CS-SEIL-510/Cのご利用について

■ 日常のお手入れ

SEILの表面は、柔らかい布に水または洗剤を含ませて軽く拭いてください。ベンジン、シンナーな

どの揮発性の薬品は絶対に使用しないでください。変形、変色の原因となります。

■ アフターサービスについて

• 万一装置に故障が発生した場合は、修理依頼書に必要事項をご記入の上、お買い上げの販売店へお送りください。

※ 修理費用は規定の費用をお支払いいただきます。ただし、ご購入されてから1年以内の故障

につきましては、保証書に記載された保証規定に従い、無料で修理いたします。

• この製品の補修用性能部品(性能維持のために必要な部品)は、製造終了後約5年間保有しております。

• 本ユーザーズガイドには、SEILの運用に関する大切な情報が含まれていますので、いつでも参

照できるように必ず保管してください。

■ 廃棄方法について

詳細は、各地方自治体へお問い合わせください。

■ 輸出する際のご注意

本装置が外国為替および外国貿易管理法の規定により戦略物資等に該当する場合

には、日本国外に輸出する際に日本政府の許可が必要です。

10

Page 13: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 1章安全にお使いいただくために

■ ご注意

1. 本ユーザーズガイドの内容の一部または全部を無断で転載することは禁止

されています。

2. 本ユーザーズガイドの内容については、将来予告なしに変更することがあ

ります。

3. 本ユーザーズガイドの内容について万全を期しておりますが、万一ご不審

な点や誤り、記載漏れなどお気づきのことがありましたら、お手数でも、

お買い上げの販売店までご連絡くださいますようお願いいたします。

4. 当社では、本装置の運用を理由とする損失、逸失利益等の請求につきまし

ては、(3)項に関わらずいかなる責任も負いかねますので、予めご了承く

ださい。

5. 本装置は、医療機器、原子力設備や機器、航空宇宙機器、輸送設備や機器な

ど、人命に関わる設備や機器、および高度な信頼性を必要とする設備や機

器としての使用またはこれらに組み込んでの使用を意図しておりません。

これら、設備や機器、制御システムなどに本装置を使用され、当社製品の

故障により、人身事故、火災事故、社会的な損害などが生じても、当社で

はいかなる責任も負いかねます。設備や機器、制御システムなどにおいて

は、冗長設計、火災延焼対策設計、誤動作防止設計など、安全設計に万全

を期されるようご注意願います。

11

Page 14: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型
Page 15: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 2章安全にお使いいただくために

2.1. 安全のための表示と図記号

第 2 章 安全にお使いいただくために

本章では、CS-SEIL-510/Cを安全に正しくお使いいただき、お客様やほかの人々への危害や、財産へ

の損害を未然に防止するために、守っていただきたい事項をご説明します。

2.1 安全のための表示と図記号

本文で使用している表示と図記号の意味は次の通りです。

内容をよく理解してから、本文をお読みください。

警告この表示を無視して、誤った取扱いをすると、人が死亡または重傷を負う可能性

が想定される内容を示しています。

注意この表示を無視して、誤った取扱いをすると、人が傷害を負う可能性が想定され

る内容および物的損害が想定される内容を示しています。

誤った取扱いをすると、発火の可能性が想定されることを示しています。

誤った取扱いをすると、感電の可能性が想定されることを示しています。

誤った取扱いをすると、けがを負う可能性が想定されることを示しています。

安全のため、水場での機器の使用を禁止することを示しています。

安全のため、機器の分解を禁止することを示しています。

安全のため、電源コードのプラグを必ず ACコンセントから抜くように指示する

ものです。

13

Page 16: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 2章安全にお使いいただくために

2.1. 安全のための表示と図記号

警告

■ 電源について

付属の専用 AC アダプタ (DC5V)以外のものは、絶対に使用しないでください。

火災、感電、故障の原因となります。

SEILの電源は、AC100V± 10% (50/60Hz)の電源以外では、絶対に使用しない

でください。異なる電圧で使用すると、火災、感電の原因となります。

電源プラグは ACコンセントに確実に差し込んでください。電源プラグの刃に金

属などが触れると火災、感電の原因となります。

電源コードの接続は、テーブルタップや分岐コンセント、分岐ソケットを使用し

たタコ足配線にしないでください。ACコンセントが過熱し、火災、感電の原因

となります。

電源コードを加工したり、傷つけたり、無理に曲げたり、ねじったり、引っ張っ

たりしないでください。コードの破損による火災、感電の原因となります。

電源コードの上にものを載せないでください。コードの破損による火災、感電の

原因となります。

14

Page 17: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 2章安全にお使いいただくために

2.1. 安全のための表示と図記号

■ 次のような場所には置かないでください

SEILをふろ場や加湿器のそばなど、湿度の高いところ(湿度 90%以上)では使

用しないでください。火災、感電の原因となります。

■ 装置について

SEIL に水などの液体が入ったり、SEIL をぬらしたりしないようご注意くださ

い。火災、感電、故障の原因となります。

SEILの上や近くに花びん、植木鉢、コップ、化粧品、薬品など、液体の入った容

器を置かないでください。液体が SEIL にこぼれたり、SEIL の中に入ったりし

た場合、火災、感電、故障の原因となります。

SEILの配線は、必ず屋内配線としてください。屋外にわたる配線は、感電の原

因となります。

SEIL内部の点検、調整、清掃、修理は、危険ですから絶対にしないでください。

SEILの内部には電圧の高い部分があり、感電の原因となります。SEIL内部の点

検、調整、清掃、修理は、お買い上げの販売店に依頼してください。

SEILの分解・改造は絶対にしないでください。火災、感電、故障の原因となり

ます。

15

Page 18: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 2章安全にお使いいただくために

2.1. 安全のための表示と図記号

■ こんなときには

電源コードが傷んだときは、すぐに電源プラグを ACコンセントから抜いて、お

買い上げの販売店に修理を依頼してください。そのまま使用すると、火災、感電

の原因となります。

万一、SEILから煙が出ている、変な臭いがするなどの異常状態が現れたときは、

すぐに電源プラグを ACコンセントから抜き、煙が出なくなるのを確認して、お

買い上げの販売店にご連絡ください。そのまま使用すると、火災、感電の原因と

なります。

万一、SEILを落としたり、破損したりした場合、電源プラグを ACコンセントか

ら抜いて、お買い上げの販売店にご連絡ください。そのまま使用すると火災、感

電、故障の原因となります。

万一、SEILの内部に水などの液体が入った場合は、電源プラグを ACコンセン

トから抜いて、お買い上げの販売店にご連絡ください。そのまま使用すると、火

災、感電、故障の原因となります。

万一、異物が SEIL の内部に入った場合は、電源プラグを ACコンセントから抜

いて、お買い上げの販売店にご連絡ください。そのまま使用すると火災、感電、

故障の原因となります。

16

Page 19: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 2章安全にお使いいただくために

2.1. 安全のための表示と図記号

注意

■ 電源について

電源プラグを抜くときは、必ずプラグを持って抜いてください。コードの損傷に

よる火災、感電の原因となることがあります。

ぬれた手で電源プラグを ACコンセントに抜き差ししないでください。感電の原

因となることがあります。

電源プラグを ACコンセントに接続してあるときは、ぬれた手で本体に触らない

でください。感電の原因となります。

■ 次のような場所には置かないでください

SEILを直射日光の当たる所や、温度の高い所(40℃以上)に置かないでくださ

い。内部の温度が上がり、火災の原因となることがあります。

SEILを油飛びや湯気があたるような場所、ほこりの多い場所に置かないでくだ

さい。火災、感電、故障の原因となることがあります。

SEILを不安定な場所(ぐらついた台の上や傾いた所など)に置かないでくださ

い。落ちたりして、けがの原因となることがあります。

SEILを振動、衝撃の多い場所に置かないでください。落ちたりして、けがの原

因となることがあります。

SEILや電源コードを火気やストーブなどの熱器具の近くに置かないでください。

キャビネットや電源コードの被覆が溶けて、火災、感電、故障の原因となること

があります。

17

Page 20: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 2章お使いになる前に

■ 装置について

SEILは、ゴム足が下になるように置いてください。倒れたり、落ちたりして、け

がの原因となることがあります。

SEILの通風孔など開口部から、内部に金属類や燃えやすいものなどの異物を入

れないでください。そのまま使用すると火災、感電、故障の原因となることがあ

ります。

機器を接続する場合には、必ず電源プラグを AC コンセントから抜いてくださ

い。電源プラグを ACコンセントに接続したまま、機器の接続をすると、感電の

原因となることがあります。

SEILをご使用にならないときは、安全のため必ず電源プラグを ACコンセント

から抜いてください。

SEILのお手入れをする際は、安全のため必ず電源プラグを ACコンセントから

抜いてください。

SEILの上にものを載せたり、SEILに乗ったりしないでください。特に、小さな

お子様のいるご家庭ではご注意ください。壊れたりしてけがの原因となることが

あります。

SEILを布や布団などでおおったり包んだりしないでください。熱がこもり火災

や故障の原因となります。

SEILの通風孔をふさがないでください。通風孔をふさぐと内部の温度が上がり、

火災の原因になることがあります。

18

Page 21: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 2章お使いになる前に

■ こんなときには

落雷の恐れのあるときは、SEILの電源を切り、必ず電源プラグを ACコンセン

トから抜いてご使用をお控えください。雷によっては、火災、感電の原因となる

ことがあります。

雷が鳴っているときは、電源プラグに触れたり、機器の接続をしたりしないでく

ださい。感電の原因となることがあります。

19

Page 22: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型
Page 23: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 3章お使いになる前に

3.1. 梱包内容の確認

第 3 章 お使いになる前に

本章では、CS-SEIL-510/Cの各部の働きや取り付けてからお使いになるまでの準備についてご説明し

ます。

3.1 梱包内容の確認

■本体 ■ ACアダプタ

■ RJ-45⇔ Dsub9ピン変換アダプタ ■ UTPケーブル(ストレート)

■はじめにお読みください ■ SMFモード設定変更手順

■海外使用禁止シート ■保証書

21

Page 24: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 3章お使いになる前に

3.2. 本体の名称と働き

3.2 本体の名称と働き

■ 前面

1 2

1. 7セグメント LED

  SEILの動作状態を表示します。点灯場所によって以下の状態を表しています。

a

b c

d

ef

g

h

• 点灯なし何も接続されていない状態です。

• ”h”セグメントが点滅

システムが動作している状態です。

• ”d”セグメントが点灯

LAN0 ポートが接続されている状態です。

• ”g”セグメントが点灯

LAN1 ポートが接続されている状態です。

• ”b”セグメントが点灯

SMF モードで情報を取得中です。

• ”b”セグメントが点灯、”c”セグメントが点滅

SEIL が異常を検知しています。電源を入れなおしても状況に改善が見られない場合は、お買い上げの

販売店にご連絡ください。

2. SERIAL0ポート

 コンソールを接続します。

22

Page 25: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 3章お使いになる前に

3.2. 本体の名称と働き

その他詳しい表示内容については、 ó� [8.1仕様について¤ ¡P.257£ ¢]をご覧ください。

■ 背面

1 2 3 4

5 6 7

1. 電源コネクタ

  ACアダプタを接続します。

2. LAN0ポート

Ethernetケーブルを使ってコンピュータあるいは LANと接続します。

3. LAN1ポート

Ethernetケーブルを使ってメディアコンバータや ADSLモデム等と接続します。

4. SERIAL1ポート

使用しません。

5. LINK/ACT LED(緑)

Ethernetポートの状態を表示します。

LANケーブルが正常に接続されているときに点灯し、データ通信時は点滅します。

6. 100M LED(橙)

Ethernetポートの通信速度を表示します。

100Base-TXで接続した時に点灯し、10Base-TXで接続した場合に消灯します。

7. INITボタン

ルータモード・SMFモードの切り替えや、工場出荷時の設定に戻すときに使用します。

23

Page 26: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 3章お使いになる前に

3.2. 本体の名称と働き

INITボタンで工場出荷設定に戻す方法については、 ó� [6.6 INIT ボタンによる設定の初期化¤ ¡P.78£ ¢

]をご覧ください。

24

Page 27: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 3章お使いになる前に

3.3. モードの切り替え方法

3.3 モードの切り替え方法

SEILには、以下の4つのモードがあります。

• ルータモード設定を手動で行います。

• SMF-PPPoEモード

PPPoEが使用可能な環境で SMFサービスを使用します。

• SMF-DHCPモード

DHCPが使用可能な環境で SMFサービスを使用します。

• SMF-LANモード

SMF-LANが使用可能な環境で SMFサービスを使用します。

※ SMFとは

ネットワーク機器の構築、設定、運用、保守における作業をユーザ専用 WEBサイトから一元的

に行なえるようにするサービスです。

■ 現在のモード表示

SEILの現在のモード設定を表示するには、本体が起動している状態で、INITボタンを以下のように

操作します。

通常状態

↓ 2秒以上押す

設定モード(LEDが”8”を表示)

↓ 2秒以上押す

現在値表示

※ 7セグメント LEDは、LED ”a”セグメントを上として表示します。

※ それぞれの値が表示するモードは以下の通りです。

0:ルータモード

1:SMF-PPPoEモード

25

Page 28: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 3章ケーブルのつなぎ方

2:SMF-DHCPモード

3:SMF-LANモード

■ モードの切り替え

SEILのモード設定を変更するには、本体が起動している状態で、INITボタンを以下のように操作し

ます。

通常状態

↓ 2秒以上押す

設定モード(LEDが”8”を表示)

↓ 2秒以上押す

現在値表示

↓ 3秒以上押す

設定変更(LEDが 0→ 1→ 2→ 3の順に表示)

↓設定する値でボタンを離す

設定を保存(値が点滅)

↓設定に成功

通常状態

設定の変更後、SEILを再起動すると、設定したモードで起動します。

26

Page 29: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 4章ケーブルのつなぎ方

4.1. インターネットに接続する

第 4 章 ケーブルのつなぎ方

本章では、CS-SEIL-510/Cと HUB、コンピュータなどの周辺機器との基本的な配線方法についてご

説明します。

4.1 インターネットに接続する

■ CS-SEIL-510/Cをメディアコンバータ/ADSLモデムなどと接続する

CS-SEIL-510/Cの LAN1ポートと、メディアコンバータや ADSLモデムなどの Ethernetポート(LAN

ポート)を、Ethernetケーブルでつなぎます。なお、コネクタは各ポートにカチッと音がするまで差し

込んでください。(ケーブルの極性は自動判別します。)

※ メディアコンバータや ADSLモデムなどは必ず LAN1ポートに接続してください。

※ ここで言う「Ethernetケーブル」とは、「10BASE-T/100BASE-TXストレートケーブル」を示し

ます。

27

Page 30: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 4章ケーブルのつなぎ方

4.2. CS-SEIL-510/Cを LANに接続する

警告

 配線は、必ず屋内配線としてください。

屋外にわたる配線は、感電の原因となります。

4.2 CS-SEIL-510/Cを LANに接続する

SEILの LAN0ポートとご利用の HUBの任意のポートをつなぎます。次に、HUBとコンピュータの

Ethernet(あるいは LAN)ポートをつなぎます。コネクタは各ポートにカチッと音がするまで差し込ん

でください。(ケーブルの極性は自動判別します。)

※ HUBおよびコンピュータとの接続には、市販の Ethernetケーブル(カテゴリ 5以上を推奨して

います)をご利用ください。

※ コンピュータ側には LANボード/カードが必要になります。

※ ここで言う「Ethernetケーブル」とは、「10BASE-T/100BASE-TXストレートケーブル」を示し

ます。

警告

 配線は、必ず屋内配線としてください。

屋外にわたる配線は、感電の原因となります。

28

Page 31: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 4章ケーブルのつなぎ方

4.3. 電源を入れる

4.3 電源を入れる

SEILの電源コネクタ【DC in(5V)】と ACコンセントを、SEILに付属の ACアダプタでつなぎます。

SEILの電源が ONになり 7セグメント LEDが点灯し、自己診断テストが行なわれます( ó� [9.3

自己診断テスト¤ ¡P.285£ ¢])。

※ 電源を OFFにするには、ACアダプタを ACコンセントから抜き取ります。

29

Page 32: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 4章初期設定

警告

 付属の ACアダプタ(DC 5V)以外のものは、絶対に使用しないでください。

火災、感電、故障の原因となります。

SEILの電源は、100V± 10%(50/60Hz)の電源以外では、絶対に使用しないで

ください。

異なる電圧で使用すると、火災、感電の原因となります。

電源プラグは ACコンセントに確実に差し込んでください。

電源プラグの刃に金属などが触れると火災、感電の原因となります。

電源コードの接続は、テーブルタップや分岐コンセント、分岐ソケットを使用し

たタコ足配線にしないでください。

ACコンセントが加熱し、火災、感電の原因となります。

30

Page 33: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 5章初期設定

第 5 章 初期設定

本章では、CS-SEIL-510/Cの利用に必要なコンピュータの設定と、CS-SEIL-510/C本体の設定につ

いてご説明します。

SEILの設定を行うには、SEILと任意のコンピュータを接続する必要があります。SEILとコンピュー

タをネットワークに接続した後( ó� [4ケーブルのつなぎ方¤ ¡P.27£ ¢])、下記の手順で SEILと、接続

したコンピュータを 1台だけ起動し、SEILを設定してください。

SEILとコンピュータのケーブル接続を確認

SEILの起動

SEILと接続したコンピュータの起動

コンピュータのネットワークに関する設定

コンピュータの再起動

SEILの設定

※ SEILの設定に使用するコンピュータ以外は設定完了後に起動してください。

※ SEILを起動する前にコンピュータと正しく接続されていることを確認してください。接続を確

認後、SEIL の AC アダプタをコンセントに差し込み、電源を入れてください(SEIL が起動し

ます)。

※ SEILの 7セグメント LEDが点灯し、起動中のランプ点灯( ó� [9.3自己診断テスト¤ ¡P.285£ ¢]

)が行われていることを確認してから、コンピュータを起動してください。

31

Page 34: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 5章初期設定

5.1. コンピュータのネットワーク設定について

5.1 コンピュータのネットワーク設定について

■ コンピュータが DHCPクライアント機能をサポートしている場合

SEILには DHCPサーバ機能が内蔵されており、工場出荷状態では有効になっています。コンピュー

タが DHCPクライアント機能をサポートしている場合は、DHCPクライアント機能を有効にすること

でネットワークに接続するために必要な項目を自動的に設定できます。

SEIL

■ コンピュータが DHCPクライアント機能をサポートしていない場合

コンピュータが DHCPクライアント機能をサポートしていない場合は、ネットワークに接続するため

に必要な項目を手動で設定する必要があります。SEILは工場出荷状態では IPアドレス「192.168.0.1」、

ネットマスク「/24」に設定されています。

SEIL

IP

192.168.0.2/24

IP

192.168.0.1/24

32

Page 35: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 5章初期設定

5.2. telnetでのログイン方法

5.2 telnetでのログイン方法

SEILと LAN接続されているコンピュータから telnetクライアントを利用して、SEILに telnet接続

を行います。以下の手順に従ってログインを行ってください。また、SEILでは、telnetに加えてシリア

ルコンソールからの設定や、Secure Shellを使っての設定にも対応しています。シリアルコンソールを

使用する場合には、別売のコンソールケーブルが必要となります。Secure Shellは工場出荷状態では無

効になっていますが、Secure Shellを使用するとより安全に SEILにログインすることができます。詳

細は ó� [6.2.13サーバの起動¤ ¡P.55£ ¢]をご覧ください。

1. login:”と表示されますので、「user」もしくは「admin」と入力してください。¶ ³login: adminµ ´※ userは一般アカウント、adminは管理者アカウントとなります。上記では、例として admin

と入力しています。userでログインすると、そのままでは設定/動作情報の参照しかできま

せん。各種設定を行うには、administratorコマンドで管理者権限に移行する必要があります

( ó� [6.3.7管理者権限への移行¤ ¡P.64£ ¢])。

2. パスワードが設定されていれば、”Password:”と表示されますので、設定したパスワードを入力し

てください。パスワードを設定してなければ、表示されずに次に進みます。”Login incorrect”と

表示された場合は、ユーザ名もしくはパスワードが間違っていますので、入力をやり直してくだ

さい。¶ ³Password:µ ´

3. プロンプトが表示されます。表示されるプロンプトはユーザによって変わります。ユーザが

adminの場合は”#”、userの場合は”>”となります。

4. ログイン完了です。この状態から、コマンドを入力することができます。

5. 終了するには、exit等のコマンドを入力してください。

Windowsコマンドプロンプトでログインする場合、改行コードの違いによりいくつかのコマンドが

正常に実行できない場合があります。あらかじめ以下の手順で改行コードの変更を行ってください。

1. Windowsコマンドプロンプトを開き、telnetクライアントを起動します。

2.「unset crlf」と入力し、改行モードを変更します。¶ ³Microsoft Telnet> unset crlf

ラインフィード モード - リターンキーで CR を送信します

Microsoft Telnet>µ ´

33

Page 36: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 5章初期設定

5.3. Webブラウザでの閲覧

5.3 Webブラウザでの閲覧

SEILはWebブラウザを使って、簡易設定や、システム管理、動作状況の確認を行うことができます。

閲覧を行うためには、SEILと閲覧用コンピュータをネットワークに接続し、コンピュータのWebブラ

ウザを使います。

SEIL

www www

※ ケーブルの接続方法や、閲覧用のコンピュータの接続方法については、「 ó� [4ケーブルのつな

ぎ方¤ ¡P.27£ ¢]」や「 ó� [5.1コンピュータのネットワーク設定について

¤ ¡P.32£ ¢]」をご覧くだ

さい。

※ 閲覧に使用する Webブラウザは Internet Explorer 6.0以降、または Netscape Navigator 7.0以

降を推奨します。

コンピュータから SEILへアクセスする手順を説明します。

1. コンピュータの Web ブラウザを起動します。使用する Web ブラウザは必ず「Proxy サーバ機

能」を使用しない設定にしてください。設定方法については Webブラウザのヘルプをご参照く

ださい。

2. URL入力欄に「http://192.168.0.1/」と入力してください。

※ 工場出荷状態では、閲覧のためにアクセスするURLは「http://192.168.0.1/」になります。”in-

terface lan0 address”コマンドで IPアドレスを設定変更している場合は、”192.168.0.1”の部

分を設定した値に変更してアクセスしてください。

3. ”user”、”admin”両方のパスワードが設定されている場合、SEIL にアクセスすると以下の画面が

表示されます。それぞれの欄に必要な事項を入力すると、メイン画面が表示されます。

34

Page 37: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 5章初期設定

5.3. Webブラウザでの閲覧

「管理者アカウント」でアクセスする場合

•「ユーザー名 (U)」欄に「admin」と入力

•「パスワード (P)」欄に「管理者アカウント」で設定したパスワードを入力

「一般アカウント」でアクセスする場合

•「ユーザー名 (U)」欄に「user」と入力

•「パスワード (P)」欄に「一般アカウント」で設定したパスワードを入力

※ 工場出荷状態では、パスワードは設定されていません。

※ パスワードは「*」(アスタリスク)もしくは「・」(ドット)で表示されます。

35

Page 38: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 5章設定と管理、運用

5.4 パスワードを設定する

SEILはすべての設定変更、参照が可能な「管理者アカウント」と、現在の設定と装置の状態のみ参照

可能な「一般アカウント」の 2つのアカウントを用意しています。工場出荷状態では、「管理者アカウ

ント」と「一般アカウント」に対するパスワードは設定されていません。

ネットワークセキュリティの観点から、「管理者アカウント」と「一般アカウント」の両方に対してパ

スワードを設定することをお勧めします。

※ 設定したパスワードは SEIL保守管理担当者以外には決して教えないようにしてください。

1. telnetまたはシリアルコンソールで SEILに adminでログインします。

2. passwordコマンドを実行します。引数に adminを指定してください。¶ ³# password admin

New password:µ ´New password: のプロンプトが出ますのでパスワードを入力します。

3. 適切なパスワードを入力すると以下のプロンプトが出ます。入力に間違いがなかったかどうかを

確認するためのものですので再度同じパスワードを入力してください。¶ ³Retype new password:µ ´

4. 同様に一般アカウント用のパスワードも設定します。passwordコマンドに引数 userをつけて実

行してください。¶ ³# password user

New password:

Retype new password:µ ´5. 設定を SEIL本体に保存します。以下のコマンドを実行してください( ó� [6.3.1設定内容の保

存・読込¤ ¡P.61£ ¢])。¶ ³

# save-to flashromµ ´※ セキュリティ上の観点からパスワード設定の際は必ず、「管理者アカウント」と「一般アカウン

ト」双方を設定することをお勧めします。どちらか一方のみ設定した場合、未設定のアカウント

からのアクセスが許可されてしまいます。

36

Page 39: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.1. コマンドライン

第 6 章 設定と管理、運用

CS-SEIL-510/Cのコマンドは、設定、管理、および参照に分かれています。

設定コマンドとは、それぞれの機能の動作を決定するコマンドです。設定コマンドは、管理者のみが

実行可能です。管理コマンドとは、CS-SEIL-510/C の管理を行う上で必要なコマンドを集めたもので

す。管理者のみ実行可能なコマンドと、一般ユーザも実行可能なコマンドがあります。参照コマンドと

は、現在働いているシステムの情報、設定情報、動作情報を表示するものです。管理者や一般ユーザと

いった、アクセスレベルに関係なく実行可能です。

コマンドには IPv4と IPv6に共通するコマンド、IPv4と IPv6とで異なるコマンド、IPv6には対応し

ていないコマンドがあります。

ここでは、それぞれのコマンドについてご説明します。

アクセスレベル 管理者 一般ユーザ

設定 ○ ×

管理 ○ ○(一部のみ)

参照 ○ ○

※ 一般ユーザでは設定変更が行えないため、各種設定変更を行うには administrator コマンドによ

り管理者権限に移行する必要があります( ó� [6.3.7管理者権限への移行¤ ¡P.64£ ¢])。

※ セキュリティ上の観点から、管理者権限でログインするためのパスワードは、保守管理担当者以

外には決して教えないようにしてください。

6.1 コマンドライン

SEILでは、ログイン後は tcshや bash等の UNIXシェルと同様に文字を入力・削除することができ、

コマンドの履歴参照やコマンド行を編集することも可能です。ここでは、コマンド入力に使用する文字

や規則、コマンドの補完機能、コマンドの履歴参照機能、コマンドの基本型についてご説明します。

■使用する文字

• 入力は ASCII文字のみとなります。日本語等では入力できません。

37

Page 40: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.1. コマンドライン

• キーワードや予約語は、大文字と小文字が区別されます。• 文字列文字列には、英数字(ABC…Zabc…z012…9)と記号が使用可能となります。使用できる記号に

ついてはコマンドリファレンスをご覧ください。また、空文字列は何も文字を入れない入力で、

連続したダブルクオート(””)で入力することができます。

• 数値数値は、10進法(012…9)または 16進法(012…9abc…f)で入力します。先頭に”0x”を付けた

数値は 16進法として、それ以外は 10進法として扱われます。

38

Page 41: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.1. コマンドライン

■制御文字と特殊文字

Space カーソル位置に空白を入力します。

BackSpace カーソルが一文字前に移動し、その文字を削除します。

Ctrl-H ”BackSpace”と同様の動作をします。

DEL ”BackSpace”と同様の動作をします。

Ctrl-D カーソル位置にある文字を削除します。行末にある場合は”?”と同様の動作

をします。

Tab 入力中のキーワードが 1つに特定可能であれば、キーワードを補完します。

? 現在のコマンドラインで入力可能なキーワードやパラメータを表示したり、

helpを表示したりします。

Enter 現在のコマンド行を実行します。

Ctrl-M ”Enter”と同様の動作をします。

Ctrl-J ”Enter”と同様の動作をします。

Ctrl-C 実行中のコマンドをキャンセルします。

Ctrl-F,→ カーソルが一文字後に移動します。

Ctrl-B,→ カーソルが一文字前に移動します。

Ctrl-A カーソルが行頭に移動します。

Ctrl-E カーソルが行末に移動します。

Ctrl-T カーソル位置とその一文字前の文字を入れ替えて、カーソルを一文字進めま

す。

Ctrl-P,↑ コマンド履歴を前方参照します。

Ctrl-N,↓ コマンド履歴を後方参照します。

Ctrl-Space 切り取りの開始文字を指定します。

Ctrl-W 切り取りの終了文字を指定します。選択した範囲は切り取られます。

Ctrl-K カーソル以降を切り取ります。

Ctrl-Y 切り取った文字列をカーソル位置に貼り付けます。

Ctrl-U すべての入力を取り消して、プロンプトのみの状態にします。

Ctrl-V ”?”など特別な意味を持つ文字を通常の文字として入力することができます。

ただし、制御文字 (印刷できない文字) はコマンド処理の前に取り除かれま

す。

Ctrl-L 画面のクリアを行います。

’ 囲んだ文字列(空白を含む)を 1つの文字列として扱います。

” ’と同様の動作をします。

\(Y) ”または’を通常の文字と同様に扱います。

※ 使用するコンピュータやターミナルソフトウェアの設定により、表の特殊文字と実際の動作が異

なる場合があります

39

Page 42: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.1. コマンドライン

■コマンドの補完機能

SEILでは、次に入力するコマンドのキーワードを忘れてしまった場合、Tabキーを使用してキーワー

ドを補完することができます。キーワードを一文字しか覚えていない場合でも、キーワードが 1つに特

定可能であれば正しいキーワードを表示します。また、「?」を入力すると、キーワードやパラメータの

入力候補を表示させることもできます。

• キーワードを補完する「interface p」に続く文字を忘れてしまった場合、

「interface p」と入力し、Tabキーまたは Ctrl+Iキーを押します。¶ ³interface p <Tab>µ ´

「interface pppoe」と補完されたキーワードが表示されます。¶ ³interface pppoeµ ´

• キーワードやパラメータの入力候補を表示する「interface pppoe」に続くパラメータを忘れてしまった場合、

「interface pppoe」と入力し、?キーまたは Ctrl+Dキーを押します。

¶ ³interface pppoe?µ ´

「pppoe0」「pppo1」「pppoe2」「pppoe3」とパラメータの入力候補が表示されます。¶ ³interface pppoe

ˆ

pppoe0 pppoe1 pppoe2 pppoe3µ ´

40

Page 43: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.1. コマンドライン

■コマンドの履歴参照

SEILでは、ユーザがログインしてから実行したコマンドの履歴を参照することができます。履歴を

参照することで、一度実行したコマンドは再度コマンドを入力しなくても実行可能となります。

show users

show date

show config

show status

show log

show date

show system

Ctrl P+

Ctrl N+

• コマンドの前方参照Ctrl-Pあるいは矢印キー(↑)を押すごとに、実行したコマンドを 1つずつ遡って表示します。

コマンドを 1 つも実行していない場合には何も表示されません。コマンドが表示された時点で

Enterキーを押すと、表示されているコマンドを実行することができます。

• コマンドの後方参照Ctrl-Pあるいは矢印キー(↑)によってコマンドの履歴を参照している際、Ctrl-Nあるいは矢印

キー(↓)を押すごとに、それまで参照したコマンドを 1つずつ進めて表示します。コマンドを

1つも実行していない場合には、何も表示されません。コマンドが表示された時点で Enterキー

を押すと、表示されているコマンドを実行することができます。

■コマンドの基本型

コマンドの基本型は以下の構成となります。¶ ³<トップレベルコマンド> <キーワード 0> <パラメータ 0> <キーワード 1> <パラメータ 1> …µ ´

41

Page 44: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

なお、「add」「delete」「modify」を利用することができます。

例)¶ ³<トップレベルコマンド> <キーワード 0> add/delete/modify <パラメータ 0> <キーワード 1> …µ ´add/ delete:動的に項目を増減させることが可能となります。

modify:項目を増減させることなく変更することが可能となります。

項目には、追加した項目を一意に指定することが可能な名前が必ず付与されます。

※ 一部のコマンドでは「add」「delete」「modify」を使用することができません。詳細についてはコ

マンドリファレンスをご覧ください。

6.2 設定コマンドを利用する

設定コマンドはさまざまな機能の設定を行うことができます。IPv4 と IPv6 に共通するコマンド、

IPv4と IPv6とで異なるコマンド、IPv6に対応していないコマンドがありますので、ご確認の上、設定

を行ってください。ここでは、各コマンドの設定内容についてご説明します。詳しい設定方法はコマン

ドリファレンスをご覧ください。

※ 設定コマンドは管理者アカウントでのみ使用可能となります。一般ユーザでアクセスしている場

合、administratorコマンドで管理者権限に移行する必要があります( ó� [6.3.7管理者権限へ

の移行¤ ¡P.64£ ¢])。

42

Page 45: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

■ アクセスレベル対応表

アクセスレベル項番号 コマンド

管理者 一般ユーザ

6.2.1接続設定 interface ○ ×

ppp ○ ×

bridge ○ ×

6.2.2 ARP設定 arp ○ ×

6.2.3ルーティング route ○ ×

route6 ○ ×

vrrp ○ ×

6.2.4セキュリティ filter ○ ×

filter6 ○ ×

macfilter ○ ×

6.2.5 VPN ipsec ○ ×

ike ○ ×

l2tp ○ ×

6.2.6回線トレース trace ○ ×

6.2.7 NAT/NAPT nat ○ ×

6.2.8帯域制御 cbq ○ ×

6.2.9 DHCP dhcp ○ ×

dhcp6 ○ ×

6.2.10 DNS dns ○ ×

resolver ○ ×

6.2.11ルータ広告 rtadvd ○ ×

6.2.12プロトコル変換 translator ○ ×

6.2.13サーバの起動 httpd ○ ×

telnetd ○ ×

sshd ○ ×

6.2.14時刻設定 ntp ○ ×

timezone ○ ×

6.2.15管理設定 snmp ○ ×

syslog ○ ×

hostname ○ ×

password ○ ×

environment ○ ×

option ○ ×

○:設定可能

×:設定不可能

43

Page 46: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

■ IPv4/IPv6対応表

IPv4/IPv6対応項番号 コマンド

IPv4 IPv6

6.2.1接続設定 interface ○ ○

ppp ○ ○

bridge ○ ○

6.2.2 ARP設定 arp ○ -

6.2.3ルーティング route ○ -

route6 - ○

vrrp ○ ×

6.2.4セキュリティ filter ○ -

filter6 - ○

macfilter - -

6.2.5 VPN ipsec ○ ○

ike ○ ○

l2tp ○ ×

6.2.6回線トレース trace - -

6.2.7 NAT/NAPT nat ○ -

6.2.8帯域制御 cbq ○ ○

6.2.9 DHCP dhcp ○ -

dhcp6 - ○

6.2.10 DNS dns ○ ○

resolver ○ ○

6.2.11ルータ広告 rtadvd - ○

6.2.12プロトコル変換 translator ○ ○

6.2.13サーバの起動 httpd ○ ○

telnetd ○ ○

sshd ○ ○

6.2.14時刻設定 ntp ○ ○

timezone - -

6.2.15管理設定 snmp ○ ○

syslog ○ ○

hostname - -

password - -

environment - -

option ○ ○

○:対応している、×:対応していない、-:IPv4/IPv6 対応とは無関係

44

Page 47: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

■ 6.2.1 接続設定

■ interface

interface コマンドにより、IP アドレスの設定や、メディアの設定、トンネルの設定、VLAN の設定

等、インタフェースに関する設定を行うことができます。以下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

add IPアドレスのエイリアスの追加

address IPアドレスの設定

delete IPアドレスの削除

description インタフェースの説明の設定

l2tp L2TPの設定の選択

media LANインタフェースの回線速度の設定

mdi LANインタフェースの MDI/MDI-Xの設定

mtu インタフェースの MTU値の設定

over PPPoE接続に使う LANインタフェース名の設定

ppp-configuration PPP設定の選択

queue インタフェースのキューイング方式の設定

tag VLANタグの設定

tcp-mss インタフェースの TCP MSS値の設定

tunnel トンネルの設定

unnumbered unnumbered接続の設定

■ ppp

pppコマンドにより、PPPで使用するパラメータの設定を行うことができます。以下にサブコマンド

と設定内容を示します。

サブコマンド 設定内容

add PPP設定の追加

modify PPP設定の変更

delete PPP設定の削除

■ bridge

bridgeコマンドにより、ブリッジの設定等を行うことができます。以下にサブコマンドと設定内容を

示します。

45

Page 48: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

サブコマンド 設定内容

disable ブリッジ機能の無効化

enable ブリッジ機能の有効化

group add ブリッジグループ設定の追加

group delete ブリッジグループ設定の削除

group modify ブリッジグループ設定の変更

interface ブリッジに用いるインタフェースの設定

ip-bridging IPv4ブルータの設定

ipv6-bridging IPv6ブルータの設定

vman-tpid VMAN TPIDの設定

■ 6.2.2 ARP設定

■ arp

arpコマンドにより、静的な ARPエントリの追加、NAT連動 ProxyARP設定を行うことができます。

以下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

add 静的 ARPエントリの追加

delete 静的 ARPエントリの削除

modify 静的 ARPエントリの変更

reply-nat NAT連動 ProxyARPの設定

■ 6.2.3 ルーティング

■ route

routeコマンドにより、静的経路の設定や、認証鍵の設定、RIP/OSPFに関する設定、経路フィルタ

の設定等、ルーティングに関する設定を行うことができます。以下にサブコマンドと設定内容を示し

ます。

46

Page 49: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

サブコマンド 設定内容

add 静的経路の追加

modify 静的経路の変更

delete 静的経路の削除

dynamic auth-key add 認証鍵の追加

dynamic auth-key delete 認証鍵の削除

dynamic rip enable RIPの有効化

dynamic rip disable RIPの無効化

dynamic rip interface RIP のインタフェースごとの使用/不使用の

設定

dynamic rip interface version RIPバージョンの設定

dynamic rip interface authentication RIPv2認証の使用/不使用の設定

dynamic rip interface route-filter RIPでの経路フィルタの使用/不使用の設定

dynamic rip default-route-originate RIPのデフォルト経路配布の設定

dynamic rip update-timer RIPのタイマー設定

dynamic ospf enable OSPFの有効化

dynamic ospf disable OSPFの無効化

dynamic ospf router-id OSPFルータ IDの設定

dynamic ospf area add エリアの追加

dynamic ospf area delete エリアの削除

dynamic ospf link add リンクの追加

dynamic ospf link delete リンクの削除

dynamic ospf link modify リンクの変更

dynamic ospf administrative-distance 経路生成時のデフォルトの distanceの設定

dynamic ospf default-route-originate enable OSPFのデフォルト経路配布の有効化

dynamic ospf default-route-originate disable OSPFのデフォルト経路配布の無効化

dynamic pim-sparse enable PIM-SMの有効化

dynamic pim-sparse disable PIM-SMの無効化

dynamic pim-sparse interface enable PIM-SMのインタフェース毎の有効化

dynamic pim-sparse interface disable PIM-SMのインタフェース毎の無効化

dynamic route-filter add 経路フィルタの設定

dynamic route-filter delete 経路フィルタの削除

dynamic redistribute 再配布の設定

47

Page 50: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

■ route6

route6コマンドにより、IPv6経路、RIPng、マルチキャストルーティングに関する設定を行うことが

できます。以下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

add IPv6の静的経路の追加

modify IPv6の静的経路の変更

delete IPv6の静的経路の削除

dynamic ripng enable RIPngの有効化

dynamic ripng disable RIPngの無効化

dynamic ripng interface RIPngの動作の設定

dynamic ripng interface aggregate add RIPngの経路集約の設定

dynamic ripng interface aggregate delete RIPngの経路集約の削除

dynamic redistribute 再配布の設定

dynamic pim-sparse enable PIM-SMの有効化

dynamic pim-sparse disable PIM-SMの無効化

dynamic pim-sparse interface enable PIM-SMのインタフェース毎の有効化

dynamic pim-sparse interface disable PIM-SMのインタフェース毎の無効化

■ vrrp

vrrpコマンドにより、VRRP機能の設定等を行うことができます。以下にサブコマンドと設定内容を

示します。

サブコマンド 設定内容

add vrid VRID設定の追加

delete vrid VRID設定の削除

watch-group add 監視グループの追加

watch-group delete 監視グループの削除

48

Page 51: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

■ 6.2.4 セキュリティ

■ filter

filterコマンドにより、フィルタの設定や、フィルタの有効/無効の設定等を行うことができます。以

下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

add フィルタの追加

modify フィルタの変更

delete フィルタの削除

enable フィルタの有効化

disable フィルタの無効化

move フィルタの評価順位の変更

■ filter6

filter6コマンドにより、IPv6フィルタの設定や、IPv6フィルタの有効/無効の設定等を行うことがで

きます。以下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

add IPv6フィルタの追加

modify IPv6フィルタの変更

delete IPv6フィルタの削除

enable IPv6フィルタの有効化

disable IPv6フィルタの無効化

move IPv6フィルタの評価順位の変更

■ macfilter

macfilterコマンドにより、LAN0で受信したパケットに対して MACアドレスでフィルタリングを行

うことができます。以下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

add MACアドレスフィルタの追加

delete MACアドレスフィルタの削除

modify MACアドレスフィルタの変更

49

Page 52: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

■ 6.2.5 VPN

■ ipsec

ipsecコマンドにより、セキュリティアソシエーションプロポーザルの設定、セキュリティアソシエー

ションの設定、セキュリティポリシーの設定、セキュリティポリシーの有効/無効の設定等を行うことが

できます。以下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

security-association proposal add セキュリティアソシエーションプロポーザルの追加

security-association proposal modify セキュリティアソシエーションプロポーザルの変更

security-association proposal delete セキュリティアソシエーションプロポーザルの削除

security-association add セキュリティアソシエーションの追加

security-association modify セキュリティアソシエーションの変更

security-association delete セキュリティアソシエーションの削除

security-policy add セキュリティポリシーの追加

security-policy modify セキュリティポリシーの変更

security-policy delete セキュリティポリシーの削除

security-policy enable セキュリティポリシーの有効化

security-policy disable セキュリティポリシーの無効化

security-policy move セキュリティポリシーの評価順位の変更

■ ike

ikeコマンドにより、IKE Peerの設定や、IKEプロポーザルの設定、IKE事前共有鍵の設定等を行う

ことができます。以下にサブコマンドと設定内容を示します。

50

Page 53: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

サブコマンド 設定内容

retry IKEの再送回数の設定

interval IKEの再送間隔の設定

phase1-timeout フェーズ 1でのタイムアウト時間の設定

phase2-timeout フェーズ 2でのタイムアウト時間の設定

per-send 送信パケット数の設定

randomize-padding-value パディング値ランダム化の有無の設定

randomize-padding-length パディング長ランダム化の有無の設定

maximum-padding-length ランダム化したパディング長の最大値の設定

strict-padding-byte-check パディング長がランダム化されていない受信パケット

を破棄するか否かの設定

exclusive-tail パディング末尾へのパディング長の設定

peer add IKE Peerの追加

peer modify IKE Peerの変更

peer delete IKE Peerの削除

proposal add IKEプロポーザルの追加

proposal modify IKEプロポーザルの変更

proposal delete IKEプロポーザルの削除

preshared-key add IKE事前共有鍵の追加

preshared-key modify IKE事前共有鍵の変更

preshared-key delete IKE事前共有鍵の削除

■ l2tp

l2tpコマンドにより、L2TPv3機能の設定を行うことができます。以下にサブコマンドと設定内容を

示します。

サブコマンド 設定内容

add l2tp設定の追加

delete l2tp設定の削除

modif l2tp設定の変更

hostname local hostnameの設定

router-id local router-idの設定

■ 6.2.6 回線トレース

■ trace

traceコマンドにより、lan1 上で授受されるデータをモニターする回線トレース機能の設定ができま

す。以下にサブコマンドと設定内容を示します。

51

Page 54: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

サブコマンド 設定内容

enable 回線トレース機能の有効化

disable 回線トレース機能の無効化

■ 6.2.7 NAT/NAPT

■ nat

natコマンドにより、NATに関する設定や、NAPTに関する設定等を行うことができます。以下にサ

ブコマンドと設定内容を示します。

サブコマンド 設定内容

static add 静的 NATの追加

static delete 静的 NATの削除

dynamic add private 動的 NATの対象プライベート IPアドレス(範囲)の追加

dynamic delete private 動的 NATの対象プライベート IPアドレス(範囲)の削除

dynamic add global 動的 NATのグローバル IPアドレス(範囲)の追加

dynamic delete global 動的 NATのグローバル IPアドレス(範囲)の削除

napt add private 静的 NAPTの追加

napt delete private 静的 NAPTの削除

napt add global NAPTのグローバル IPアドレス(範囲)の追加

napt delete global NAPTのグローバル IPアドレス(範囲)の削除

snapt add 静的 NAPTの追加

snapt delete 静的 NAPTの削除

snapt enable 静的 NAPTの有効化

snapt disable 静的 NAPTの無効化

proxy sip add SIPサーバのポート番号の追加

proxy sip delete SIPサーバのポート番号の削除

timeout NATタイマの設定

timeout protocol NATセッションタイマのプロトコルごとの設定

logging NATのログ出力の使用/不使用の設定

reflect add interface Reflection NAT設定の追加

reflect delete interface Reflection NAT設定の削除

upnp on UPnP機能の有効化

upnp off UPnP機能の無効化

upnp interface UPnPを使用するインタフェースの設定

52

Page 55: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

■ 6.2.8 帯域制御

■ cbq

cbqコマンドにより、CBQクラス情報の設定や、クラス分けフィルタ情報の設定等を行うことができ

ます。以下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

class add CBQのクラス情報の追加

class modify CBQのクラス情報の変更

class delete CBQのクラス情報の削除

filter add CBQのクラス分けフィルタ情報の追加

filter modify CBQのクラス分けフィルタ情報の変更

filter delete CBQのクラス分けフィルタ情報の削除

filter enable CBQのクラス分けフィルタの有効化

filter disable CBQのクラス分けフィルタの無効化

filter move CBQのクラス分けフィルタの評価順序の変更

bandwidth CBQの計算上の回線速度の設定

■ 6.2.9 DHCP

■ dhcp

dhcpコマンドにより、DHCPの使用/不使用の設定や、DHCPで配布する IPアドレスや DNSサーバ

アドレス、ドメイン名、デフォルト経路、NTPサーバアドレスに関する設定等を行うことができます。

以下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

enable DHCPの有効化

disable DHCPの無効化

mode DHCPの動作の設定

interface インタフェースごとの DHCPサーバ/リレーエージェントの設定

■ dhcp6

dhcp6 コマンドにより、DHCPv6 の使用/不使用の設定や、動作するインタフェースの設定、Rapid

Commitオプション、Reconfigure Acceptオプション、Prefix Delegationの設定等を行うことができま

す。以下にサブコマンドと設定内容を示します。

53

Page 56: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

サブコマンド 設定内容

client enable DHCPv6クライアントの有効化

client disable DHCPv6クライアントの無効化

client rapid-commit Rapid Commitオプションの設定

client reconf-accept Reconfigure Acceptオプションの設定

client prefix-delegation サブネットごとの SLA IDの設定

■ 6.2.10 DNS

■ dns

dnsコマンドにより、DNS中継機能の使用/不使用の設定や、DNS要求の中継先サーバの設定等を行

うことができます。以下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

forwarder enable DNS中継機能の有効化

forwarder disable DNS中継機能の無効化

forwarder add DNS要求の中継先サーバの追加

forwarder delete DNS要求の中継先サーバの削除

forwarder query-translation enable IPv4-IPv6変換機能の有効化

forwarder query-translation disable IPv4-IPv6変換機能の無効化

forwarder query-translation prefix IPv4アドレスに付加するプレフィクスの設定

■ resolver

resolver コマンドにより、DNS による名前解決の使用/不使用の設定や、使用する DNS サーバの設

定、DNSへ問い合わせるデフォルトドメイン名の設定等を行うことができます。以下にサブコマンド

と設定内容を示します。

サブコマンド 設定内容

enable DNSによる名前解決の有効化

disable DNSによる名前解決の無効化

address add 使用する DNSサーバの追加

address delete 使用する DNSサーバの削除

domain ドメイン名の設定

54

Page 57: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

■ 6.2.11 ルータ広告

■ rtadvd

rtadvdコマンドにより、ルータ広告の使用/不使用の設定や、ルータ広告で配布するプレフィクスの設

定を行うことができます。以下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

enable ルータ広告の有効化

disable ルータ広告の無効化

interface インタフェースに配布するプレフィクスの設定

■ 6.2.12 プロトコル変換

■ translator

translatorコマンドにより、IPv6から IPv4、またはその逆のプロトコル変換を行うためのアドレス対

応とその対象ポート番号の設定や、プロトコル変換タイマの設定等を行うことができます。以下にサブ

コマンドと設定内容を示します。

サブコマンド 設定内容

add プロトコル変換のアドレス対応の追加

delete プロトコル変換のアドレス対応の削除

add prefix プロトコル変換のアドレスに付加するプレフィクスの追加

delete prefix プロトコル変換のアドレスに付加するプレフィクスの削除

add port プロトコル変換を行うポートの追加

delete port プロトコル変換を行うポートの削除

timeout プロトコル変換タイマの設定

■ 6.2.13 サーバの起動

■ httpd

httpdコマンドにより、Webによる設定機能の使用/不使用の設定を行うことができます。以下にサブ

コマンドと設定内容を示します。

サブコマンド 設定内容

enable Webインタフェースの有効化

disable Webインタフェースの無効化

55

Page 58: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

■ telnetd

telnetd コマンドにより、telnet サーバ機能の使用/不使用の設定を行うことができます。以下にサブ

コマンドと設定内容を示します。

サブコマンド 設定内容

enable telnetサーバの有効化

disable telnetサーバの無効化

■ sshd

sshdコマンドにより、Secure Shellサーバ機能の使用/不使用の設定や、Secure Shellで使用するホ

ストキーの設定を行うことができます。以下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

enable Secure Shellサーバの有効化

disable Secure Shellサーバの無効化

hostkey Secure Shellのホストキーの設定

authorized-key Secure Shellの公開鍵の設定

■ 6.2.14 時刻設定

■ ntp

ntpコマンドにより、NTPの使用/不使用の設定や、NTPサーバの設定等を行うことができます。以

下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

enable NTPの有効化

disable NTPの無効化

server add NTPサーバの追加

server delete NTPサーバの削除

peer add NTP peerの追加

peer delete NTP peerの削除

■ timezone

timezoneコマンドにより、タイムゾーンの設定を行うことができます。以下にコマンドと設定内容

を示します。

56

Page 59: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

コマンド 設定内容

timezone タイムゾーンの設定

■ 6.2.15 管理設定

■ snmp

snmpコマンドにより、SNMPサーバ機能の使用/不使用の設定や、SNMPトラップ使用/不使用の設

定等を行うことができます。以下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

enable SNMPサーバ機能の有効化

disable SNMPサーバ機能の無効化

community SNMP communityの設定

sysname SNMP sysnameの設定

location SNMP locationの設定

contact SNMP contactの設定

user SNMPユーザの設定

trap enable SNMPトラップの有効化

trap disable SNMPトラップの無効化

trap add SNMPトラップの送信先ホストの追加

trap delete SNMPトラップの送信先ホストの削除

trap src SNMPトラップの送信元アドレスの指定

trap watch add SNMP死活監視対象ホストの追加

trap watch delete SNMP死活監視対象ホストの削除

■ syslog

syslogコマンドにより、デバッグログ記録機能の使用/不使用の設定や、ログ転送時に関する設定等を

行うことができます。以下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

alternate-timestamp ログ転送時の時刻フォーマットの変更の設定

clear-password コマンドログ記録機能使用時のパスワード記録の有無の設定

command-log 実行コマンドのログ記録の設定

debug-level デバッグログ記録機能の使用/不使用の設定

sequence-number ログ転送時のシーケンス番号付与の設定

remote ログ転送機能の使用/不使用の設定

add ログを転送するリモートホストの追加

delete ログを転送するリモートホストの削除

facility ログ転送時のファシリティの設定

57

Page 60: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.2. 設定コマンドを利用する

■ hostname

hostname コマンドにより、ホスト名の設定を行うことができます。パラメータを省略した場合は、

現在のホスト名が表示されます。以下にコマンドと設定内容を示します。

コマンド 設定内容

hostname ホスト名の設定

■ password

passwordコマンドにより、SEILにログインするためのパスワードの設定を行うことができます。パ

スワードは、一般ユーザと管理者に分かれており、それぞれに対する設定が可能です。以下にコマンド

と設定内容を示します。

コマンド 設定内容

password パスワードの設定

※ 入力されたパスワードは、encrypted-password(暗号化されたパスワード)として保存されます。

■ environment

environmentコマンドにより、コマンドラインインタフェース環境の動作設定を行うことができます。

以下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

login-timer 自動ログアウト時間の設定

pager ページャーの使用、不使用の設定

terminal 端末の行数、列数の指定および自動取得の設定

58

Page 61: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.3. 管理コマンドを利用する

■ option

optionコマンドにより、専用の設定コマンドを持たない、各種機能の設定を行うことができます。以

下にサブコマンドと設定内容を示します。

サブコマンド 設定内容

ip mask-reply ICMPアドレスマスク要求への応答設定

ip monitor-linkstate インタフェースの Up/down監視の設定

ip redirects ICMP echoリダイレクトの設定

ip update-connected-route LinkDown時の IPv4 connected route動的削除の設定

ipv6 monitor-linkstate インタフェースの Up/down監視の設定

ipv6 redirects ICMP echoリダイレクトの設定

ipv6

update-connected-route

LinkDown時の IPv6 connected route動的削除の設定

ip unicast-rpf IPv4 uRPFチェックの設定

ipv6 unicast-rpf IPv6 uRPFチェックの設定

6.3 管理コマンドを利用する

管理コマンドには、設定の保存や再起動等 SEIL の管理を行う上で必要な項目が集められています。

IPv4と IPv6に共通するコマンド、IPv4と IPv6とで異なるコマンド、IPv6に対応していないコマンド

がありますので、ご確認の上で設定を行ってください。

ここでは、各コマンドの動作についてご説明します。詳しい設定方法は、コマンドリファレンスをご

覧ください。

※ 管理コマンドには管理者アカウントでのみ実行可能な設定があります。一般ユーザでアクセスし

ている場合、administratorコマンドで管理者権限に移行する必要があります( ó� [6.3.7管理

者権限への移行¤ ¡P.64£ ¢])。

59

Page 62: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.3. 管理コマンドを利用する

■ アクセスレベル対応表

アクセスレベル項番号 コマンド

管理者 一般ユーザ

6.3.1設定内容の保存・読込 save-to ○ ×

load-from ○ ×

6.3.2設定の初期化 factory-config ○ ×

6.3.3ファームウェアの更新 update ○ ×

6.3.4動的な情報のクリア clear ○ ×

6.3.5接続確認 ping ○ ○

ping6 ○ ○

traceroute ○ ○

traceroute6 ○ ○

6.3.6システム時刻の設定 date ○ ×

6.3.7管理者権限への移行 administrator × ○

6.3.8ログアウト bye ○ ○

exit ○ ○

logout ○ ○

quit ○ ○

6.2.1接続設定 connect ○ ×

disconnect ○ ×

reconnect ○ ×

6.3.10その他 reboot ○ ×

help ○ ○

remote-console ○ ×

telnet ○ ○

○:実行可能

×:実行不可能

60

Page 63: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.3. 管理コマンドを利用する

■ IPv4/IPv6対応表

IPv4/IPv6対応項番号 コマンド

IPv4 IPv6

6.3.1設定内容の保存・読込 save-to ○ ○

load-from ○ ○

6.3.2設定の初期化 factory-config - -

6.3.3ファームウェアの更新 update ○ ○

6.3.4動的な情報のクリア clear - -

6.3.5接続確認 ping ○ ×

ping6 × ○

traceroute ○ ×

traceroute6 × ○

6.3.6システム時刻の設定 date - -

6.3.7管理者権限への移行 administrator - -

6.3.8ログアウト bye - -

exit - -

logout - -

quit - -

6.2.1接続/切断 connect - -

disconnect - -

reconnect - -

6.3.10その他 reboot - -

help - -

remote-console - -

telnet ○ ○

○:対応している

×:対応していない

-: IPv4/IPv6 対応とは無関係

■ 6.3.1 設定内容の保存・読込

■ save-to

save-toコマンドにより、SEILのメモリ上にあるユーザ設定内容の保存、出力を行うことができます。

保存、出力先には、フラッシュメモリ、遠隔ホスト、コンソールが選択できます。以下にサブコマンド

と動作を示します。

61

Page 64: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.3. 管理コマンドを利用する

サブコマンド 動作

flashrom フラッシュメモリへの保存

remote 遠隔ホストへの保存

stdout コンソールへの出力

※ このコマンドは、管理者アカウントでのみ実行可能となります。

■ load-from

load-fromコマンドにより、SEILのメモリ上にあるユーザ設定内容を読み込み、動作に反映させるこ

とができます。入力元には、フラッシュメモリ、遠隔ホスト、コンソールが選択できます。以下にサブ

コマンドと動作を示します。

サブコマンド 動作

flashrom フラッシュメモリからの設定読み込み

remote 遠隔ホストからの設定読み込み

stdin コンソールからの設定読み込み

※ このコマンドは、管理者アカウントでのみ実行可能となります。

■ 6.3.2 設定の初期化

■ factory-config

factory-configコマンドにより、SEILのフラッシュメモリ上の設定内容を工場出荷時の設定に戻すこ

とができます。コマンドを実行した後、再起動を行う必要があります。以下にコマンドと動作を示し

ます。

コマンド 動作

factory-config 設定の初期化

※ このコマンドは、管理者アカウントでのみ実行可能となります。

■ 6.3.3 ファームウェアの更新

■ update

update コマンドにより、ファームウェアを更新することができます。更新方法の詳細については、

ó� [6.5ファームウェアを更新する¤ ¡P.75£ ¢]をご覧ください。以下にコマンドと動作を示します。

62

Page 65: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.3. 管理コマンドを利用する

コマンド 動作

update firmware ファームウェアの更新

※ このコマンドは、管理者アカウントでのみ実行可能となります。

■ 6.3.4 動的な情報のクリア

■ clear

clearコマンドにより、キャッシュやログ等、SEILの持つ動的な情報を消去することができます。以

下にサブコマンドと消去内容を示します。

サブコマンド 消去内容

arp-cache ARPキャッシュの消去

ndp-cache NDPキャッシュの消去

nat-session NAT により動的に生成された、すべての IP アドレス変換の組の

消去

log ログの消去

route all IPv4経路の消去

route6 all IPv6経路の消去

ike IKEフェーズ 1で確立した、IKEセキュリティアソシエーション

の消去

ipsec security-association IKEで確立した、IPsecセキュリティアソシエーションの消去

ipsec security-policy IKEで確立した、IPsecセキュリティポリシーの消去

counter インタフェースのカウンタのクリア

l2tp L2TPのトンネル/セッション情報の消去

※ このコマンドは、管理者アカウントでのみ実行可能となります。

■ 6.3.5 接続確認

■ ping

pingコマンドにより、SEILと指定した相手との接続を確認することができます。以下にコマンドと

動作を示します。

コマンド 動作

ping SEILと相手先ホストの IPv4アドレスでの接続確認

63

Page 66: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.3. 管理コマンドを利用する

■ ping6

ping6コマンドにより、SEILと指定した相手との接続を確認することができます。以下にコマンドと

動作を示します。

コマンド 動作

ping6 SEILと相手先ホストの IPv6アドレスでの接続確認

■ traceroute

traceroute コマンドにより、SEIL から指定した相手へパケットを送る経路を確認することができま

す。以下にコマンドと動作を示します。

コマンド 動作

traceroute SEILと相手先ホストの IPv4アドレスでの経路確認

■ traceroute6

traceroute6コマンドにより、SEILから指定した相手へパケットを送る経路を確認することができま

す。以下にコマンドと動作を示します。

コマンド 動作

traceroute6 SEILと相手先ホストの IPv6アドレスでの経路確認

■ 6.3.6 システム時刻の設定

■ date

date コマンドにより、SEIL のシステム時刻の設定を行うことができます。ccyyMMDDhhmm.ss 形

式による時刻の直接指定、もしくは ntp serverコマンドで指定された NTPサーバから現在時刻を取得

することもできます( ó� [6.2.14時刻設定¤ ¡P.56£ ¢])。以下にコマンドと設定内容を示します。

コマンド 設定内容

date 時刻の設定、参照

■ 6.3.7 管理者権限への移行

■ administrator

administrator コマンドにより、管理者権限に移行することができます。管理者権限に移行した後に

exit等のログアウトコマンドを使用すると、元のユーザに戻ることができます。以下にコマンドと動作

を示します。

64

Page 67: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.3. 管理コマンドを利用する

コマンド 動作

administrator 管理者権限への移行

■ 6.3.8 ログアウト

■ bye, exit, logout, quit

bye、exit、logout、quitコマンドにより、SEILへの接続を終了することができます。いずれのコマン

ドを使用しても、同様の結果となります。一般ユーザでログイン後、administratorコマンドにより管理

者権限に移行していた場合は、一般ユーザ権限に戻ります。以下にコマンドと動作を示します。

コマンド 動作

bye ログアウトを行う

exit ログアウトを行う

logout ログアウトを行う

quit ログアウトを行う

■ 6.3.9 接続/切断

■ connect

connect コマンドにより、PPPoE の接続を手動で行うことができます。以下にコマンドと動作を示

します。

コマンド 動作

connect 回線の接続を行う

※ このコマンドは、管理者アカウントでのみ実行可能となります。

■ disconnect

disconnectコマンドにより、PPPoEの接続を切断することができます。切断後は、connectコマン

ド、reconnectコマンド、又は再起動を行うまで再接続をしません。以下にコマンドと動作を示します。

コマンド 動作

disconnect 回線の切断を行う

※ このコマンドは、管理者アカウントでのみ実行可能となります。

65

Page 68: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.3. 管理コマンドを利用する

■ reconnect

reconnectコマンドにより、PPPoEの接続を一旦切断し、再接続することができます。以下にコマン

ドと動作を示します。

コマンド 動作

reconnect 回線の再接続を行う

※ このコマンドは、管理者アカウントでのみ実行可能となります。

■ 6.3.10 その他

■ reboot

rebootコマンドにより、再起動を行うことができます。再起動後は、最後にフラッシュメモリに保存

された設定内容で起動します。以下にコマンドと動作を示します。

コマンド 動作

reboot 再起動を行う

※ このコマンドは、管理者アカウントでのみ実行可能となります。

■ help

helpコマンドにより、SEILのコマンドの書式とその簡単な説明を表示させることができます。以下

にコマンドと動作を示します。

コマンド 動作

help コマンドに対する簡易説明の表示

■ remote-console

remote-consoleコマンドにより、モデム経由で遠隔地から SEILを保守できるようになります。以下

にコマンドと動作を示します。

コマンド 動作

remote-console モデム経由での SEIL管理の設定

※ このコマンドは、管理者アカウントでのみ実行可能となります。

66

Page 69: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.3. 管理コマンドを利用する

■ telnet

telnet コマンドにより、SEIL から指定した相手へ TELNET プロトコルで接続することができます。

以下にコマンドと動作を示します。

コマンド 動作

telnet SEILから他の機器への telnet接続

67

Page 70: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.4. 参照コマンドを利用する

6.4 参照コマンドを利用する

参照コマンドは、SEILの設定や動作状況をさまざまな項目で参照することができます。参照コマン

ドは、一部を除き管理者権限や一般ユーザ権限といったアクセスレベルに関係なく、また IPv4、IPv6の

どちらでも使用することができます。ここでは、各コマンドの参照内容についてご説明します。詳しい

参照方法は、コマンドリファレンスをご覧ください。

■ アクセスレベル対応表

アクセスレベル項番号 コマンド

管理者 一般ユーザ

6.4.1設定情報の参照 show config ○ ○(一部×)

6.4.2動作情報の参照 show status ○ ○

6.4.3ログの参照 show log ○ ○

6.4.4システム情報の参照 show system ○ ○

6.4.5現在時刻の参照 show date ○ ○

6.4.6ユーザ情報の参照 show users ○ ○

6.4.7各種情報一括取得 show tech-support ○ ×

○:実行可能

×:実行不可能

■ IPv4/IPv6対応表

IPv4/IPv6対応項番号 コマンド

IPv4 IPv6

6.4.1設定情報の参照 show config - -

6.4.2動作情報の参照 show status - -

6.4.3ログの参照 show log - -

6.4.4システム情報の参照 show system - -

6.4.5現在時刻の参照 show date - -

6.4.6ユーザ情報の参照 show users - -

6.4.7各種情報一括取得 show tech-support - -

○:対応している

×:対応していない

-: IPv4/IPv6 対応とは無関係

68

Page 71: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.4. 参照コマンドを利用する

■ 6.4.1 設定情報の参照

show configコマンドにより、SEILの設定内容を参照することができます。サブコマンドを省略した

ときには、すべての設定情報が表示されます。以下にサブコマンドと参照内容を示します。

69

Page 72: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.4. 参照コマンドを利用する

サブコマンド 参照内容 一般ユーザでの参照

current 現在のメモリ上の設定情報 ○

environment コマンドラインインタフェース設定 ○

flashrom フラッシュメモリ内に保存されている設定情報 ×

arp ARP設定 ○

bridge ブリッジ設定 ○

cbq 帯域制御設定 ○

dhcp DHCP設定 ○

dhcp6 DHCPv6設定 ○

dns DNS中継設定 ○

filter IPv4フィルタ設定 ○

filter6 IPv6フィルタ設定 ○

hostname ホスト名設定 ○

httpd Web機能設定 ○

ike IKE設定 △

interface インタフェース設定 ○

ipsec ipsec設定 △

l2tp l2tp設定 ○

macfilter MACアドレスフィルタ設定 ○

nat NAT設定 ○

ntp NTP設定 ○

option オプション設定 ○

ppp PPP設定 ○

remote-console 遠隔監視機能設定 ○

resolver DNS設定 ○

route IPv4ルーティング設定 △

route6 IPv6ルーティング設定 ○

rtadvd ルータ広告設定 ○

snmp SNMP設定 ○

sshd SSH設定 △

syslog syslog設定 ○

telnetd telnet設定 ○

timezone タイムゾーン設定 ○

translator トランスレータ設定 ○

vrrp VRRP設定 ○

○:参照可能   

△:一部参照不可能

×:参照不可能  

70

Page 73: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.4. 参照コマンドを利用する

※ 一般ユーザでのアクセスでは一部参照不可能な設定情報があります。一般ユーザでアクセスして

いる場合、administratorコマンドで管理者権限に移行する必要があります( ó� [6.3.7管理者

権限への移行¤ ¡P.64£ ¢])。

フラッシュメモリ内に保存されている設定情報およびパスワードは一般ユーザでアクセスした場合は

参照不可能であり、画面に表示されません。また、ike、ipsec、route、sshdはコマンド行の一部が画面

に表示されません。一般ユーザでは表示されない箇所を、管理者でアクセスした場合の画面表示例に示

します。

設定内容 管理者でアクセスした場合の画面表示例

password encrypted-password admin <password>

encrypted-password user <password>

ike ike preshared-key add <psk name> <key>

ipsec ipsec security-association add <SA name> tunnel

<start IPaddress> <end IPaddress>

to-encap esp-auth <spi> <esp algorithm> <esp key>

<auth algorithm> <auth key>

from-encap esp-auth <spi> <esp algorithm> <esp key>

<auth algorithm> <auth key>

to-auth ah <spi> <ah auth algorithm> <auth key>

from-auth ah <spi> <ah auth algorithm> <auth key>

route route dynamic auth-key add <key-name> type md5 keyid

<keyid> password <password>

route dynamic auth-key add <key-name> type plain-text

password <password>

sshd sshd hostkey <algorithm> <hostkey>

※ < >で囲まれた部分は設定内容となります。

※ 一般ユーザで ipsecを参照すると、下線部が表示されません。

■ 6.4.2 動作情報の参照

show statusコマンドにより、SEILの動作情報を参照することができます。以下にサブコマンドと参

照内容を示します。

71

Page 74: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.4. 参照コマンドを利用する

サブコマンド 参照内容

arp 現在の ARPテーブル

bridge ブリッジの動作情報

cbq 帯域制御の動作情報

dhcp DHCPのリース情報

dhcp6 DHCPv6の動作情報

dns dns forwarderの動作情報

filter IPパケットのフィルタリング情報

filter6 IPv6パケットのフィルタリング情報

function 各機能の動作状態

httpd Web機能の動作状態

ike IKE設定の動作情報

interface 各インタフェースの動作情報

ipsec IPsecの動作情報

ipsec security-association IPsecセキュリティアソシエーションの動作情報

ipsec security-policy IPsecセキュリティポリシーの動作情報

l2tp L2TPの動作情報

macfilter MACアドレスフィルタの動作情報

nat 動的アドレス変換のマッピング情報

ndp 現在の NDPテーブル

ntp NTPの動作情報

option オプション機能の動作情報

ppp PPP接続情報

resolver DNSの動作情報

route IPv4経路テーブル

route6 IPv6経路テーブル

rtadvd ルータ広告の動作情報

snmp SNMPの動作情報

sshd SSH機能の動作情報

telnetd TELNET機能の動作情報

translator トランスレータの動作情報

vrrp VRRPの動作情報

■ 6.4.3 ログの参照

show logコマンドにより、SEILが動作中に出力したログ情報を参照することができます。パラメー

タを省略したときにはすべてのログ情報が表示されます。以下にコマンドと参照内容を示します。

72

Page 75: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.4. 参照コマンドを利用する

コマンド 参照内容

show log ログの参照

show log function 機能ごとのログの参照

show log level レベルごとのログ参照

■ 6.4.4 システム情報の参照

show systemコマンドにより、SEILのシステム情報を参照することができます。サブコマンドを省

略したときには、すべてのシステム情報が表示されます。以下にサブコマンドと参照内容を示します。

サブコマンド 参照内容

arch ハードウェア情報

cpustat CPU動作情報

hostname ホスト名

date 現在のシステム時刻

uptime 起動してからの時間と起動時刻

load 現在のシステム負荷率

memory 現在のメモリ使用率

version ファームウェアと IPLのバージョン

users 現在ログインしているユーザ情報

■ 6.4.5 現在時刻の参照

show dateコマンドにより、現在のシステム時刻を参照することができます。以下にコマンドと参照

内容を示します。

コマンド 参照内容

show date 現在のシステム時刻

■ 6.4.6 ユーザ情報の参照

show usersコマンドにより、ログインしているユーザ情報を参照することができます。以下にコマ

ンドと参照内容を示します。

コマンド 参照内容

show users 現在ログインしているユーザ情報

73

Page 76: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.4. 参照コマンドを利用する

■ 6.4.7 各種情報一括取得

report-toコマンドにより、状況把握に必要な、設定情報、動作情報などを一括取得することができま

す。以下にコマンドと参照内容を示します。

コマンド 参照内容

report-to 状況把握に必要な様々な情報

74

Page 77: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.5. ファームウェアを更新する

6.5 ファームウェアを更新する

ファームウェアを更新するには、以下の手順で設定を行ってください。ファームウェア更新の前に、

万一のトラブルに備え、現在の設定をバックアップしておくことをお勧めします。( ó� [6.3.1設定内

容の保存・読込¤ ¡P.61£ ¢])

※ コマンドラインインタフェースからファームウェアの更新を行う場合には ftp,http,tftp サーバの

いずれかを用意しなければなりませんが、Webインタフェースであればその必要はありません。

Web インタフェースを用いてファームウェアの更新をする方法については「ユーザーズガイド

Webインタフェース編」をご覧ください。

1. FTPサーバあるいは HTTPサーバを用意してください。FTPサーバの場合、匿名(anonymous)

アカウントが設定可能であれば匿名アカウントを用意してください。匿名アカウントが設定でき

ない場合には、一般ユーザのアカウントを用意してください。ここでは、例としてサーバのアド

レスを 192.168.0.2として説明します。

2. 以下のページから、最新版のファームウェアをダウンロードしてください。

CS-SEIL-510/C 製品サポートページ http://www.centurysys.co.jp/support/csseil510c.html

3. 2.でダウンロードしたファームウェアを、1.で用意したサーバにコピーします。なお、ファーム

ウェア取得時に指定するパス名および URLの最大長は 1023 文字となります。コピーする際に

最大長を越えないようご注意ください。

4. SEILに管理者権限でログインし、update firmwareコマンドを実行してファームウェアを更新し

ます。更新には、以下の 2つの方法があります。それぞれの更新方法についてご説明します。ご

利用の環境に合わせて、更新方法を選択してください。

A.update firmware <FTPサーバ IP アドレス >

B.update firmware <URL>

注意

ファームウェアの更新時、SEILが再起動するまでは絶対に電源を切らないでく

ださい。ファームウェア更新中に電源を切ると、SEILを起動できなくなります。

※ 万一電源を入れなおしても起動できなくなった場合、お買い上げの販売店

にご相談ください。

75

Page 78: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.5. ファームウェアを更新する

■ A.update firmware <FTPサーバ IPアドレス >

FTPサーバの IPアドレスを指定する方法で、FTPによってファームウェアを取得します。以下の手

順に従ってください。¶ ³# update firmware 192.168.0.2

filename [seilfirm.img]:seilfirm.img

username [anonymous]:seiluser

Password:

total 3590366 bytes received

write to flash ROM?[y/N] y

erasing 3590221/3590221

done.

writing 3590221/3590221

done.µ ´※ ”[]”内は、入力省略時の値となります。

※ 上記の入力フォームは例であり、表示内容はファームウェアのバージョンによって異なります。

1. FTPサーバの IPアドレスを入力します。その際、ファームウェアのパス名、ユーザ名、パスワー

ドの入力も必要となります。用意したサーバの設定に応じた値を入力してください。入力が正し

ければ SEILがファームウェアのダウンロードを開始します。

2. フラッシュメモリを更新するかどうかを選択します。更新を行う場合、「y」または「Y」を入力

するとフラッシュメモリの内容を消去後、更新を開始します。更新を行わない場合には、「n」ま

たは「N」を入力してください。

※ フラッシュメモリ消去・更新時には、SEILでは LED ”a~g”セグメントが点灯します。消去中お

よび更新中は、絶対に電源を切らないでください。

76

Page 79: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章設定と管理、運用

6.5. ファームウェアを更新する

■ B.update firmware <URL>

URLを指定する方法で、HTTP、FTP、TFTPによってファームウェアを取得します。以下の手順に

従ってください。

HTTPによる入力例¶ ³# update firmware http://192.168.0.2/seilfirm.img

total 3590366 bytes received

write to flash ROM?[y/N] y

erasing 3590221/3590221

done.

writing 3590221/3590221

done.µ ´FTPによる入力例¶ ³# update firmware ftp://192.168.0.2/seilfirm.img

Password:

total 3590366 bytes received

write to flash ROM?[y/N] y

erasing 3590221/3590221

done.

writing 3590221/3590221

done.µ ´TFTPによる入力例¶ ³# update firmware tftp://192.168.0.2/seilfirm.img

Password:

total 3590366 bytes received

write to flash ROM?[y/N] y

erasing 3590221/3590221

done.

writing 3590221/3590221

done.µ ´※ ”[]”内は、入力省略時の値となります。

※ 上記の入力フォームは例であり、表示内容はファームウェアのバージョンによって異なります。

1. URL を入力します。その際、サーバの設定によってはパスワードの入力が必要となることがあ

77

Page 80: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 6章ネットワークでの利用例

ります。その場合、用意したサーバの設定に応じた値を入力してください。入力が正しければ

SEILがファームウェアのダウンロードを開始します。

2. フラッシュメモリを更新するかどうかを選択します。更新を行う場合、「y」または「Y」を入力

するとフラッシュメモリの内容を消去後、更新を開始します。更新を行わない場合には、「n」ま

たは「N」を入力してください。

※ フラッシュメモリ消去・更新時には、SEILでは LED ”a~g”セグメントが点灯します。消去中お

よび更新中は、絶対に電源を切らないでください。

6.6 INITボタンによる設定の初期化

SEILの設定内容を工場出荷時の状態に戻したい場合、管理コマンドの factory-config( ó�[6.3.2設

定の初期化¤ ¡P.62£ ¢])で初期化を行うことができますが、何らかの理由によりコマンドを利用しての初

期化ができなくなった場合、本体の INITボタンによる初期化を行うことができます。INITボタンによ

る初期化の手順は以下の通りです。

1. 本体底面の INITボタン( ó� [3.2本体の名称と働き¤ ¡P.22£ ¢])を押しながら電源プラグをコン

セントに差し込み、電源を入れます。

2. SEILの 7セグメント LEDが数秒間赤色点滅したら初期化完了です。SEILは工場出荷状態の設

定で起動します。

※ 初期化時の設定内容については、 ó� [8.1仕様について¤ ¡P.257£ ¢]をご覧ください。

78

Page 81: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

第 7 章 ネットワークでの利用例

本章では、ネットワーク(LAN)内からインターネットを利用する方法やインターネットにコンピュー

タ(サーバなど)を公開する方法を、実例を挙げてご説明します。

■ 第 7章目次

7.1 LANをインターネットに接続する . . . . . . . . . . . . . . . . . . . . . . . . . . . .81

7.1.1 PPPoEを使用して接続する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . .81

7.1.2 unnumbered PPPoEを使用して接続する場合 . . . . . . . . . . . . . . . . . . . . 87

7.1.3 DHCPを使用して接続する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . .94

7.1.4 LAN内でグローバルアドレスを使用する場合 . . . . . . . . . . . . . . . . . . . 97

7.2 IPv4ネットワークを経由して IPv6ネットワークに接続する . . . . . . . . . . . . . .101

7.2.1 IPv6 over IPv4 tunnelを使って接続する場合 . . . . . . . . . . . . . . . . . . . .101

7.3 LAN内のサーバをインターネットに公開する . . . . . . . . . . . . . . . . . . . . . .108

7.3.1 公開するサーバにグローバルアドレスを割り当てる場合 . . . . . . . . . . . . .108

7.3.2 公開するサーバにプライベートアドレスを割り当てる場合 . . . . . . . . . . . .111

7.3.3 サーバを LAN 内からグローバルアドレスで参照する . . . . . . . . . . . . . . .114

7.4 外部からのアクセスを制限する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119

7.4.1 外部から LAN へのアクセスを制限するフィルタリングを設定する . . . . . . . 119

7.4.2 動的にアクセスを許可するフィルタリングを設定する . . . . . . . . . . . . . . .127

7.4.3 IPアドレスの詐称を防ぐフィルタリング (uRPF)を設定する . . . . . . . . . . .133

7.5 MACアドレスによるフィルタリングを行う . . . . . . . . . . . . . . . . . . . . . . .136

7.5.1 MACアドレスの個別設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .136

7.5.2 外部ホワイトリストによる設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .141

7.6 ルーティングを動的に行う~動的ルーティングの設定~ . . . . . . . . . . . . . . . . .145

7.6.1 RIPを利用した動的ルーティング~比較的小規模なネットワーク~ . . . . . . . 145

7.6.2 OSPFを利用した動的ルーティング~中規模以上のネットワーク~ . . . . . . . 151

7.6.3 複数のルーティングプロトコルを同時に使う~経路情報の再配布~ . . . . . . . 155

7.6.4 PIM-SMを利用した IPv4/IPv6マルチキャストルーティング . . . . . . . . . . .158

7.7 目的別のルーティングを行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .162

7.7.1 静的経路の監視を行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .162

7.7.2 ポリシーベースのルーティングを行う . . . . . . . . . . . . . . . . . . . . . . .166

7.8 VPNを構築する~IPsecの設定~ . . . . . . . . . . . . . . . . . . . . . . . . . . . .170

7.8.1 ポリシーベース IPsecトンネル . . . . . . . . . . . . . . . . . . . . . . . . . . .170

79

Page 82: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8.2 ルーティングベース IPsecトンネル . . . . . . . . . . . . . . . . . . . . . . . . .180

7.8.3 自アドレスが動的 IPアドレスの場合 . . . . . . . . . . . . . . . . . . . . . . . .201

7.8.4 動的 IPアドレスからの接続を受け付ける場合 . . . . . . . . . . . . . . . . . . .210

7.9 L2VPNを構築する~L2TPv3の設定~ . . . . . . . . . . . . . . . . . . . . . . . . .219

7.9.1 L2TPv3を利用した L2トンネルの設定 . . . . . . . . . . . . . . . . . . . . . . .219

7.10 遠隔地のコンピュータからリモートアクセスを行う . . . . . . . . . . . . . . . . . . .227

7.10.1 PPTPを利用したリモートアクセスを受け入れる設定 . . . . . . . . . . . . . . .227

7.10.2 遠隔地のコンピュータから SEILへのリモートアクセス . . . . . . . . . . . . .235

7.11 CS-SEIL-510/Cを冗長化する~VRRPの設定~ . . . . . . . . . . . . . . . . . . . .239

7.11.1 機器の故障時に自動的にバックアップ回線に切り替える . . . . . . . . . . . . .239

7.11.2 回線障害を検出して自動的にバックアップ回線に切り替える . . . . . . . . . . .243

7.12 データの送信を制御する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248

7.12.1 CBQの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248

80

Page 83: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

7.1 LANをインターネットに接続する

本節では CS-SEIL-510/Cを用いて、LANをネットワークに接続するための設定方法についてご説明

します。セキュリティに関する設定などは ó� [7.4外部からのアクセスを制限する¤ ¡P.119£ ¢]以降を

参考に、各自の設定方針に応じて設定を行ってください。

■ 7.1.1 PPPoEを使用して接続する場合

PPPoEを使用してインターネットに接続する基本的な設定例です。この例では以下のような構成の

ネットワークを前提にご説明します。PPPoEは IPv4、IPv6両方に対応していますが、ここでは IPv4

での設定方法についてご説明します。

LAN

192.168.0.1

WAN

PPPoE

192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5

192.168.0.0/24

81

Page 84: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

 設定の流れ

(1)LAN1インタフェースを設定する

LAN1インタフェースのメディアタイプを設定します。

(2)PPPoEのエントリーを設定する

PPPoE による接続を行うために、契約したプロバイダから割り当てられた認証 ID や認証パス

ワードなどを設定します。

(3)PPPoEのインタフェースを設定する

PPPoEによる接続を行うインタフェースの設定を行います。

(4)PPPoEが動作する物理インタフェースを設定する

論理インタフェースである「PPPoE」と、物理インタフェースである「LAN1」との関連付けを

設定します。

(5)LAN0インタフェースを設定する

LAN0インタフェースを設定します。

(6)NAPTを設定する

プライベートアドレスとして使用するアドレスの範囲を設定します。

(7)PPPoEを接続する

PPPoEによる接続を開始します。

(8)設定を保存するすべての設定を保存します。

 設定手順

(1)LAN1インタフェースを設定する

SEILに管理者アカウントでログインし、LAN1インタフェースのメディアタイプを設定します。

ここでは、例として「auto」(自動認識)に設定します。以下の設定を行ってください。

設定項目 パラメータ

インタフェース lan1

メディアタイプ auto

■記述例¶ ³# interface lan1 media autoµ ´

■パラメータ解説

interface lan1

インタフェースとして「lan1」を設定します。

82

Page 85: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

media auto

続けて、メディアタイプは「auto」(自動認識)を設定します。

(2)PPPoEのエントリーを設定する

PPPoE による接続を行うために、契約したプロバイダから割り当てられた認証 ID や認証パス

ワードなどを設定します。以下の設定を行ってください。

設定項目 パラメータ

エントリー名 Century

IPCPの有効/無効 enable

IPCPアドレスオプション on

IPCP DNSオプション on

IPv6CPの有効/無効 disable

認証方法 PAP

認証 ID xxxxxx

認証パスワード yyyyyy

TCP MSS auto

■記述例¶ ³# ppp add Century ipcp enable ipcp-address on ipcp-dns on ipv6cp disable

authentication-method pap identifier xxxxxx passphrase yyyyyy tcp-mss autoµ ´■パラメータ解説

ppp add Century

エントリー名として「Century」を設定します。

ipcp enable

IPCPを有効に設定します。

ipcp-address on

IPCPアドレスオプションを有効に設定します。

ipcp-dns on

IPCP DNSオプションを有効に設定します。

ipv6cp disable

IPv6CPを無効に設定します。

authentication-method pap

認証方式を「pap」に設定します。

83

Page 86: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

identifier xxxxxx

認証 IDを「xxxxxx」に設定します。

passphrase yyyyyy

認証パスワードを「yyyyyy」に設定します。

tcp-mss auto

TCP MSSを「auto」に設定します。

(3)PPPoEのインタフェースを設定する

PPPoEのインタフェースを設定します。以下の設定を行ってください。

設定項目 パラメータ

インタフェース pppoe0

エントリー名 Century

■記述例¶ ³# interface pppoe0 ppp-configuration Centuryµ ´

■パラメータ解説

interface pppoe0

インタフェースとして「pppoe0」を設定します。

ppp-configuration Century

エントリー名として「Century」を設定します。

(4)PPPoEが動作する物理インタフェースを設定する

論理インタフェースである「PPPoE」と、物理インタフェースである「LAN1」との関連付けを

設定します。以下の設定を行ってください。

設定項目 パラメータ

設定項目 パラメータ

インタフェース pppoe0

物理インタフェース lan1

84

Page 87: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

■記述例¶ ³# interface pppoe0 over lan1µ ´

■パラメータ解説

interface pppoe0

インタフェースとして「pppoe0」を設定します。

over lan1

物理インタフェースとして「lan1」を設定します。

(5)LAN0インタフェースを設定する

LAN0インタフェースを設定します。工場出荷状態ではメディアタイプが「自動認識」、IPv4ア

ドレスが「192.168.0.1」と設定されていますので今回構成するネットワーク例では LAN0 イン

タフェースの設定は不要です。

(6)NAPTを設定する

NAPTは IPv4にのみ対応しています。IPv6でインターネットに接続した場合でも、LAN内のプ

ライベートアドレスは IPv4のものになります。以下の設定を行ってください。

設定項目 パラメータ

対象プライベート IPアドレス範囲 192.168.0.0~ 192.168.255.255

インタフェース pppoe0

■記述例¶ ³# nat napt add private 192.168.0.0-192.168.255.255 interface pppoe0µ ´

■パラメータ解説

nat napt add private 192.168.0.0-192.168.255.255

NAPT の対象プライベート IP アドレス範囲として「192.168.0.0-192.168.255.255」

を設定します。

interface pppoe0

続けて、NAPTを使用するインタフェースとして「pppoe0」を設定します。

(7)PPPoEを接続する

85

Page 88: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

PPPoEにより、インターネットに接続します。以下の設定を行ってください。

設定項目 パラメータ

インタフェース pppoe0

■記述例¶ ³# connect pppoe0µ ´

■パラメータ解説

connect pppoe0

接続する PPPoEインタフェースとして「pppoe0」を設定します。

(8)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で、PPPoEを使用する場合の設定は完了です。変更した設定はバックアップをとっておく

ことをお勧めします。

86

Page 89: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

■ 7.1.2 unnumbered PPPoEを使用して接続する場合

unnumbered PPPoEを使用してインターネットに接続する設定例です。この例では以下のような構

成のネットワークを前提にご説明します。PPPoE は IPv4、IPv6 両方に対応していますが、ここでは

IPv4での設定方法についてご説明します。

LAN

172.16.0.1

WAN

unnumbered PPPoE

172.16.0.2 172.16.0.3 172.16.0.4 172.16.0.5

172.16.0.0/24

※ 本節では説明のため、「172.16.0.0~172.16.255.255」のアドレスをグローバルアドレスとして表

現しています。

※ unnumbered PPPoE設定は、プロバイダより複数の IPアドレスの払い出しを受ける際に使用し

ます。ここでは、グローバル IP アドレスとして 172.16.0.0/24 を割り当てられているものとし

ます。

87

Page 90: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

 設定の流れ

(1)LAN1インタフェースを設定する

LAN1インタフェースのメディアタイプを設定します。

(2)PPPoEのエントリーを設定する

PPPoE による接続を行うために、契約したプロバイダから割り当てられた認証 ID や認証パス

ワードなどを設定します。

(3)PPPoEのインタフェースを設定する

PPPoEによる接続を行うインタフェースの設定を行います。

(4)PPPoEが動作する物理インタフェースを設定する

論理インタフェースである「PPPoE」と、物理インタフェースである「LAN1」との関連付けを

設定します。

(5)LAN0インタフェースを設定する

LAN0インタフェースを設定します。

(6)LAN0インタフェースの IPアドレスを削除する

不要になった LAN0側のインタフェースのアドレスを削除します。

(7)PPPoEを接続する

PPPoEによる接続を開始します。

(8)設定を保存するすべての設定を保存します。

 設定手順

(1)LAN1インタフェースを設定する

SEILに管理者アカウントでログインし、LAN1インタフェースのメディアタイプを設定します。

ここでは、例として「auto」(自動認識)に設定します。以下の設定を行ってください。

設定項目 パラメータ

インタフェース lan1

メディアタイプ auto

■記述例¶ ³# interface lan1 media autoµ ´

■パラメータ解説

interface lan1

インタフェースとして「lan1」を設定します。

88

Page 91: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

media auto

続けて、メディアタイプは「auto」(自動認識)を設定します。

(2)PPPoEのエントリーを設定する

PPPoE による接続を行うために、契約したプロバイダから割り当てられた認証 ID や認証パス

ワードなどを設定します。以下の設定を行ってください。

unnumbered でない、numbered PPPoE の場合は IPCP アドレスオプションが on でしたが、

unnumberedの場合は offにします。

設定項目 パラメータ

エントリー名 Century

IPCPの有効/無効 enable

IPCPアドレスオプション off

IPCP DNSオプション on

IPv6CPの有効/無効 disable

認証方法 PAP

認証 ID xxxxxx

認証パスワード yyyyyy

TCP MSS auto

■記述例¶ ³# ppp add Century ipcp enable ipcp-address off ipcp-dns on ipv6cp disable authentica

tion-method pap identifier xxxxxx passphrase yyyyyy tcp-mss autoµ ´■パラメータ解説

ppp add Century

エントリー名として「Century」を設定します。

ipcp enable

IPCPを有効に設定します。

ipcp-address off

IPCPアドレスオプションを無効に設定します。

ipcp-dns on

IPCP DNSオプションを有効に設定します。

ipv6cp disable

IPv6CPを無効に設定します。

89

Page 92: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

authentication-method pap

認証方式を「pap」に設定します。

identifier xxxxxx

認証 IDを「xxxxxx」に設定します。

passphrase yyyyyy

認証パスワードを「yyyyyy」に設定します。

tcp-mss auto

TCP MSSを「auto」に設定します。

(3)PPPoEのインタフェースを設定する

PPPoEのインタフェースを設定します。以下の設定を行ってください。

設定項目 パラメータ

インタフェース pppoe0

エントリー名 Century

■記述例¶ ³# interface pppoe0 ppp-configuration Centuryµ ´

■パラメータ解説

interface pppoe0

インタフェースとして「pppoe0」を設定します。

ppp-configuration Century

エントリー名として「Century」を設定します。

次に、インタフェースの unnumbered設定をします。以下の設定を行ってください。

設定項目 パラメータ

インタフェース pppoe0

unnumbered 有効

90

Page 93: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

■記述例¶ ³# interface pppoe0 unnumberedµ ´

■パラメータ解説

interface pppoe0 unnumbered

インタフェース「pppoe0」を unnumberedに設定します。

(4)PPPoEが動作する物理インタフェースを設定する

論理インタフェースである「PPPoE」と、物理インタフェースである「LAN1」との関連付けを

設定します。以下の設定を行ってください。

設定項目 パラメータ

インタフェース pppoe0

物理インタフェース lan1

■記述例¶ ³# interface pppoe0 over lan1µ ´

■パラメータ解説

interface pppoe0

インタフェースとして「pppoe0」を設定します。

over lan1

物理インタフェースとして「lan1」を設定します。

(5)LAN0インタフェースを設定する

LAN0インタフェースに IPv4アドレスを設定します。以下の設定を行ってください。

設定項目 パラメータ

インタフェース lan0

変更/追加 add

IPv4アドレス 172.16.0.1/24

91

Page 94: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

■記述例¶ ³# interface lan0 add 172.16.0.1/24µ ´

■パラメータ解説

interface lan0

インタフェースとして「lan0」を設定します。

add 172.16.0.1/24

続けて、アドレスを追加するため「add」を設定し、IPv4アドレスとして「172.16.0.1/24」

を設定します。

(6)LAN0インタフェースの IPアドレスを削除する

工場出荷状態で設定されている IPアドレスを削除します。手順 5.で設定した IPv4アドレスで

SEILに管理者アカウントでアクセスし直し、以下の設定を行ってください。

※ IPアドレスを削除する場合には、削除する IPアドレスを使って SEIL にアクセスしないで

ください。

設定項目 パラメータ

インタフェース lan0

変更/追加 delete

IPv4アドレス 192.168.0.1/24

■記述例¶ ³# interface lan0 delete 192.168.0.1/24µ ´

■パラメータ解説

interface lan0

インタフェースとして「lan0」を設定します。

add 172.16.0.1/24

続けて、アドレスを削除するため「delete」を設定し、IPv4 アドレスとして

「192.168.0.1/24」を設定します。

(7)PPPoEを接続する

PPPoEにより、インターネットに接続します。以下の設定を行ってください。

92

Page 95: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

設定項目 パラメータ

インタフェース pppoe0

■記述例¶ ³# connect pppoe0µ ´

■パラメータ解説

connect pppoe0

接続する PPPoEインタフェースとして「pppoe0」を設定します。

(8)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で、PPPoEを使用する場合の設定は完了です。変更した設定はバックアップをとっておく

ことをお勧めします。

93

Page 96: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

■ 7.1.3 DHCPを使用して接続する場合

DHCP を使用してインターネットに接続する基本的な設定例です。この例では以下のような構成の

ネットワークを前提にご説明します。

LAN

192.168.0.1

WAN

DHCP

192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5

192.168.0.0/24

 設定の流れ

(1)LAN1インタフェースを設定する

LAN1インタフェースのメディアタイプを設定します。

(2)LAN0インタフェースを設定する

LAN0インタフェースを設定します。

94

Page 97: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

(3)NAPTを設定する

プライベートアドレスとして使用するアドレスの範囲を設定します。

(4)DHCPで接続する

DHCPによる接続を開始します。

(5)設定を保存するすべての設定を保存します。

 設定手順

(1)LAN1インタフェースを設定する

SEILに管理者アカウントでログインし、LAN1インタフェースのメディアタイプを設定します。

ここでは、例として「auto」(自動認識)に設定します。以下の設定を行ってください。

設定項目 パラメータ

インタフェース lan1

メディアタイプ auto

■記述例¶ ³# interface lan1 media autoµ ´

■パラメータ解説

interface lan1

インタフェースとして「lan1」を設定します。

media auto

続けて、メディアタイプは「auto」(自動認識)を設定します。

(2)LAN0インタフェースを設定する

LAN0インタフェースを設定します。工場出荷状態ではメディアタイプが「自動認識」、IPv4 ア

ドレスが「192.168.0.1」と設定されていますので今回構成するネットワーク例では LAN0 イン

タフェースの設定は不要です。

(3)NAPTを設定する

NAPTは IPv4にのみ対応しています。IPv6でインターネットに接続した場合でも、LAN内のプ

ライベートアドレスは IPv4のものになります。以下の設定を行ってください。

95

Page 98: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

設定項目 パラメータ

対象プライベート IPアドレス範囲 192.168.0.0~ 192.168.255.255

インタフェース lan1

■記述例¶ ³# nat napt add private 192.168.0.0-192.168.255.255 interface lan1µ ´

■パラメータ解説

nat napt add private 192.168.0.0-192.168.255.255

NAPTの対象プライベート IPアドレス範囲として「192.168.0.0-192.168.255.255」を

設定します。

interface lan1

続けて、NAPTを使用するインタフェースとして「lan1」を設定します。

(4)DHCPで接続する

DHCPにより、インターネットに接続します。以下の設定を行ってください。

設定項目 パラメータ

インタフェース lan1

■記述例¶ ³# interface lan1 add dhcpµ ´

■パラメータ解説

interface lan1

インタフェースとして「lan1」を設定します。

add dhcp

DHCPでアドレスを取得します。

(5)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で、DHCPを使用する場合の設定は完了です。変更した設定はバックアップをとっておくこ

とをお勧めします。

96

Page 99: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

■ 7.1.4 LAN内でグローバルアドレスを使用する場合

LAN内でグローバルアドレスを使用してインターネットに接続する基本的な設定例です。この例では

以下のような構成のネットワークを前提にご説明します。IPv4、IPv6両方に対応していますが、ここで

は IPv4での設定方法についてご説明します。

LAN

172.16.0.1

WAN

10.0.0.1

172.16.0.2 172.16.0.3 172.16.0.4 172.16.0.5

LAN

172.16.0.0/24

WAN

10.0.0.0/24

※ 本節では説明のため、「10.0.0.0~10.255.255.255」「172.16.0.0~172.16.255.255」までのアド

レスをグローバルアドレスとして表現しています。

97

Page 100: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

 設定の流れ

(1)LAN1インタフェースを設定する

LAN1インタフェースのメディアタイプを設定します。

(2)LAN1インタフェースに IPv4アドレスを追加する

プロバイダなどから割り当てられたアドレスに合わせて、LAN1 側のインタフェースを設定し

ます。

(3)LAN0インタフェースを設定する

プロバイダなどから割り当てられたアドレスに合わせて、LAN0 側のインタフェースを設定し

ます。

(4)LAN0インタフェースのアドレスを削除する

不要になった LAN0側のインタフェースのアドレスを削除します。

(5)設定を保存するすべての設定を保存します。

 設定手順

(1)LAN1インタフェースを設定する

LAN1インタフェースのメディアタイプを設定します。ここでは、例として「auto」(自動認識)

に設定します。SEILに管理者アカウントでログインし、以下の設定を行ってください。

設定項目 パラメータ

インタフェース lan1

メディアタイプ auto

■記述例¶ ³# interface lan1 media autoµ ´

■パラメータ解説

interface lan1

インタフェースとして「lan1」を設定します。

media auto

続けて、メディアタイプは「auto」(自動認識)を設定します。

(2)LAN1インタフェースに IPv4アドレスを追加する

LAN1インタフェースに IPv4アドレスを設定します。以下の設定を行ってください。

98

Page 101: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

設定項目 パラメータ

インタフェース lan1

変更/追加 add

IPv4アドレス 10.0.0.1/24

■記述例¶ ³# interface lan1 add 10.0.0.1/24µ ´

■パラメータ解説

interface lan1

インタフェースとして「lan1」を設定します。

add 10.0.0.1/24

続けて、アドレスを追加するため「add」を設定し、IPv4アドレスとして「10.0.0.1/24」

を設定します。

(3)LAN0インタフェースを設定する

LAN0インタフェースに IPv4アドレスを設定します。以下の設定を行ってください。

設定項目 パラメータ

インタフェース lan0

変更/追加 add

IPv4アドレス 172.16.0.1/24

■記述例¶ ³# interface lan0 add 172.16.0.1/24µ ´

■パラメータ解説

interface lan0

インタフェースとして「lan0」を設定します。

add 172.16.0.1/24

続けて、アドレスを追加するため「add」を設定し、IPv4アドレスとして「172.16.0.1/24」

を設定します。

(4)LAN0インタフェースの IPアドレスを削除する

99

Page 102: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.1. LANをインターネットに接続する

工場出荷状態で設定されている IPアドレスを削除します。手順 3. で設定した IPv4アドレスで

SEILに管理者アカウントでアクセスし直して、以下の設定を行ってください。

※ IPアドレスを削除する場合には、削除する IPアドレスを使って SEILにアクセスしないで

ください。

設定項目 パラメータ

インタフェース lan0

変更/追加 delete

IPv4アドレス 192.168.0.1/24

■記述例¶ ³# interface lan0 delete 192.168.0.1/24µ ´

■パラメータ解説

interface lan0

インタフェースとして「lan0」を設定します。

delete 192.168.0.1/24

続けて、アドレスを削除するため「delete」を設定し、IPv4 アドレスとして

「192.168.0.1/24」を設定します。

(5)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で、LAN内においてグローバルアドレスを使用する場合の設定は完了です。変更した設定は

バックアップをとっておくことをお勧めします。

100

Page 103: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.2. IPv4ネットワークを経由して IPv6ネットワークに接続する

7.2 IPv4ネットワークを経由して IPv6ネットワークに接続する

各事業所内を IPv6アドレスでネットワーク構築したとき、事業所間を結ぶ際に IPv4アドレスのネッ

トワークを使用しなければならない場合があります。CS-SEIL-510/Cでは、トンネルという機能を利用

することにより、IPv4ネットワークを通して IPv6ネットワーク同士を結ぶことができます。

■ 7.2.1 IPv6 over IPv4 tunnelを使って接続する場合

本節では、トンネルの基本的な設定方法を、以下のような構成のネットワークを前提にご説明します。

x:x:x::/48 と y:y:y::/48 の 2 つの IPv6 ネットワークの間に、IPv4 ネットワークが存在します。IPv6

ネットワークと IPv4 インターネットとの境界に SEIL A、B を用い、この間で IPv6 over IPv4 トンネ

ルを構築します。SEIL A の IPv4 インターネット側には 10.0.1.1 というアドレスを、トンネルには

z:z:z::1というアドレスを使用します。同様に SEIL Bの IPv4インターネット側には 10.0.2.2というア

ドレスを、トンネルには z:z:z::2というアドレスを使用します。

101

Page 104: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.2. IPv4ネットワークを経由して IPv6ネットワークに接続する

SEIL B

SEIL A

IPv4IPv6

z:z:z::1

IPv4

10.0.1.1

z:z:z::2

IPv4

10.0.2.2

B

IPv6

y:y:y::/48

A

IPv6

x:x:x::/48

※ 本節では説明のため、「10.0.0.0~10.255.255.255」「172.16.0.0~172.16.255.255」までのアド

レスをグローバルアドレスとして表現しています。

※「x:x:x::/48」、「y:y:y::/48」、「z:z:z::1」、「z:z:z::2」、「IPv4アドレス」は、ご加入のプロバイダより

配布されたアドレスをご利用ください。

設定の前に、「 ó�[6.3.5接続確認¤ ¡P.63£ ¢]」を参考にして、SEIL A(10.0.1.1)と SEIL B(10.0.2.2)

の間で通信ができることを確認しておいてください。

 設定の流れ

(1)SEIL Aのトンネルインタフェースを設定する

トンネルアドレスとして、IPv4アドレスと IPv6アドレスを設定します。

102

Page 105: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.2. IPv4ネットワークを経由して IPv6ネットワークに接続する

(2)SEIL Aの静的ルーティングを設定する

IPv6経路をトンネルへと向かわせるため、静的ルートを変更します。

(3)SEIL Aの設定を保存する

すべての設定を保存します。

(4)SEIL Bのトンネルインタフェースを設定する

トンネルアドレスとして、IPv4アドレスと IPv6アドレスを設定します。

(5)SEIL Bの静的ルーティングを設定する

IPv6経路をトンネルへと向かわせるため、静的ルートを変更します。

(6)SEIL Bの設定を保存する

すべての設定を保存します。

 設定手順

(1)SEIL Aのトンネルインタフェースを設定する

SEIL Aとなる SEILに管理者アカウントでログインし、IPv4アドレスのトンネルアドレスを設

定します。以下の設定を行ってください。

設定項目 パラメータ

トンネルインタフェース tunnel0

始点 IPアドレス 10.0.1.1

終点 IPアドレス 10.0.2.2

■記述例¶ ³# interface tunnel0 tunnel 10.0.1.1 10.0.2.2µ ´

■パラメータ解説

interface tunnel0

トンネルインタフェースとして「tunnel0」を設定します。

tunnel 10.0.1.1 10.0.2.2

続けて、トンネルの始点 IPアドレスとして「10.0.1.1」を、終点 IPアドレスとして

「10.0.2.2」を設定します。

トンネルインタフェースに IPv6アドレスを設定します。以下の設定を行ってください。

103

Page 106: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.2. IPv4ネットワークを経由して IPv6ネットワークに接続する

設定項目 パラメータ

インタフェース tunnel0

IPアドレス z:z:z::1

対向ルータの IPアドレス z:z:z::2

■記述例¶ ³# interface tunnel0 add z:z:z::1 remote z:z:z::2µ ´

■パラメータ解説

interface tunnel0

インタフェースとして「tunnel0」を設定します。

add z:z:z::1 remote z:z:z::2

続けて、インタフェースの IPアドレスとして「z:z:z::1」を、対向ルータの IPアドレ

スとして「z:z:z::2」を設定します。

※ 実際には「z:z:z::1」「z:z:z::2」は入力できません。ご加入のプロバイダより配付された IPv6

アドレスをご利用ください。

(2)SEIL Aの静的ルーティングを設定する

IPv6 通信をトンネル経由で行うため、IPv6 経路をトンネルへと向かわせます。以下の設定を

行ってください。

設定項目 パラメータ

送信先ネットワークまたはホストの IPアドレス y:y:y::/48

対向ルータの IPアドレス z:z:z::2

104

Page 107: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.2. IPv4ネットワークを経由して IPv6ネットワークに接続する

■記述例¶ ³# route6 add y:y:y::/48 z:z:z::2µ ´

■パラメータ解説

route6 add y:y:y::/48 z:z:z::2

送信先ネットワークまたはホストの IPアドレスとして「y:y:y::/48」を設定します。さ

らに、対向ルータの IPアドレスとして「z:z:z::2」を設定します。

※ 実際には「y:y:y::/48」「z:z:z::2」は入力できません。ご加入のプロバイダより配付された

IPv6アドレスをご利用ください。

※ 対向ルータの IPアドレスの代わりに、インタフェース(tunnel0)を設定することもできま

す。その場合、トンネルインタフェースに IPv6アドレスを設定する必要はありません。

(3)SEIL Aの設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容の保存をします。詳細は、「 ó�

[6.3.1設定内容の保存・読込¤ ¡P.61£ ¢]」をご覧ください。

以上で、SEIL A 側のトンネルの設定は完了です。変更した設定はバックアップをとっておくこ

とをお勧めします。

(4)SEIL Bのトンネルインタフェースを設定する

SEIL Bとなる SEILに管理者アカウントでログインし、IPv4アドレスのトンネルアドレスを設

定します。以下の設定を行ってください。

設定項目 パラメータ

トンネルインタフェース tunnel0

始点 IPアドレス 10.0.2.2

終点 IPアドレス 10.0.1.1

■記述例¶ ³# interface tunnel0 tunnel 10.0.2.2 10.0.1.1µ ´

■パラメータ解説

interface tunnel0

トンネルインタフェースとして「tunnel0」を設定します。

105

Page 108: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.2. IPv4ネットワークを経由して IPv6ネットワークに接続する

tunnel 10.0.2.2 10.0.1.1

続けて、トンネルの始点 IPアドレスとして「10.0.2.2」を、終点 IPアドレスとして

「10.0.1.1」を設定します。

トンネルインタフェースに IPv6アドレスを設定します。以下の設定を行ってください。

設定項目 パラメータ

インタフェース tunnel0

IPアドレス z:z:z::2

対向ルータの IPアドレス z:z:z::1

■記述例¶ ³# interface tunnel0 add z:z:z::2 remote z:z:z::1µ ´

■パラメータ解説

interface tunnel0

インタフェースとして「tunnel0」を設定します。

add z:z:z::2 remote z:z:z::1

続けて、インタフェースの IPアドレスとして「z:z:z::2」を、対向ルータの IPアドレ

スとして「z:z:z::1」を設定します。

※ 実際には「z:z:z::1」「z:z:z::2」は入力できません。ご加入のプロバイダより配付された IPv6

アドレスをご利用ください。

(5)SEIL Bの静的ルーティングを設定する

IPv6 通信をトンネル経由で行うため、IPv6 経路をトンネルへと向かわせます。以下の設定を

行ってください。

設定項目 パラメータ

送信先ネットワークまたはホストの IPアドレス x:x:x::/48

対向ルータの IPアドレス z:z:z::1

106

Page 109: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.2. IPv4ネットワークを経由して IPv6ネットワークに接続する

■記述例¶ ³# route6 add x:x:x::/48 z:z:z::1µ ´

■パラメータ解説

route6 add x:x:x::/48 z:z:z::1

送信先ネットワークまたはホストの IPアドレスとして「x:x:x::/48」を設定します。さ

らに、対向ルータの IPアドレスとして「z:z:z::1」を設定します。

※ 実際には「x:x:x::/48」「z:z:z::1」は入力できません。ご加入のプロバイダより配付された

IPv6アドレスをご利用ください。

※ 対向ルータの IPアドレスの代わりに、インタフェース(tunnel0)を設定することもできま

す。その場合、トンネルインタフェースに IPv6アドレスを設定する必要はありません。

(6)SEIL Bの設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容の保存をします。詳細は、「 ó�

[6.3.1設定内容の保存・読込¤ ¡P.61£ ¢]」をご覧ください。

以上で、SEIL B 側のトンネルの設定は完了です。変更した設定はバックアップをとっておくこ

とをお勧めします。

107

Page 110: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.3. LAN内のサーバをインターネットに公開する

7.3 LAN内のサーバをインターネットに公開する

サーバをインターネットに公開する場合、サーバに対してグローバルアドレスを割り当てる必要があ

ります。LAN内でグローバルアドレスを使用している場合はそのまま外部にサーバを公開できますが、

LAN内でプライベートアドレスを使用している場合、そのままでは外部にサーバを公開することができ

ません。

CS-SEIL-510/Cはグローバルアドレスとプライベートアドレスを固定的に 1対 1で対応させる静的

NAT機能と、CS-SEIL-510/Cに対するアクセスをポート単位で転送する静的 NAPT機能を持っている

ため、LAN内でプライベートアドレスを使用している場合でもインターネットに公開するサーバを LAN

内に設置することが可能です。また、Reflection NAT機能を利用することで、静的 NATで公開したサー

バを LAN内からグローバルアドレスで参照することが可能となります。

本節では CS-SEIL-510/C の静的 NAT 機能と静的 NAPT 機能を利用してインターネットへサーバを

公開する設定例と Reflection NATの設定例をご説明します。

■ 7.3.1 公開するサーバにグローバルアドレスを割り当てる場合

~静的 NAT機能の利用~

インターネットへ公開するサーバにグローバルアドレスを割り当てることが可能であれば、「 ó�

[7.1.1PPPoEを使用して接続する場合¤ ¡P.81£ ¢]」の例のようにプライベートアドレスを使用してイン

ターネットに接続している LAN内に、インターネットへ公開するサーバをおくことが可能です。これ

を実現するためには SEILが持つ、グローバルアドレスとプライベートアドレスを固定的に 1対 1で対

応させる静的 NAT機能を利用します。

本節では、SEIL が持つ静的 NAT 機能を使ってインターネットにサーバを公開する例について、次

ページのような構成のネットワークを前提にご説明します。

※ 本節ではインターネットとの接続インタフェースに pppoe0を使用しています。

108

Page 111: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.3. LAN内のサーバをインターネットに公開する

※ 本節では説明のため、「10.0.0.0~10.255.255.255」「172.16.0.0~172.16.255.255」までの

アドレスをグローバルアドレスとして表現しています。

 設定の流れ

(1)静的 NATを設定する

NATの対象とするプライベートアドレス、それに対応づけるグローバルアドレスを設定します。

(2)設定を保存するすべての設定を保存します。

109

Page 112: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.3. LAN内のサーバをインターネットに公開する

 設定手順

(1)静的 NATを設定する

SEILに管理者アカウントでログインし、外部に公開するサーバのプライベートアドレスとグロー

バルアドレスの設定を行います。以下の設定を行ってください。

設定項目 パラメータ

プライベート IPアドレス 192.168.0.2

グローバル IPアドレス 172.16.0.2

インタフェース pppoe0

■記述例¶ ³# nat static add 192.168.0.2 172.16.0.2 interface pppoe0

µ ´■パラメータ解説

nat static add 192.168.0.2 172.16.0.2

NATの対象とするプライベート IPアドレスとして「192.168.0.2」を、そのプライベート

IPアドレスに対応づけるグローバル IPアドレスとして「172.16.0.2」を設定します。

interface pppoe0

続けて、NATを使用するインタフェースとして「pppoe0」を設定します。

(2)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で、静的 NATを用いてサーバをインターネットに公開する場合の設定は完了です。これに

より外部から 192.168.0.2のWebサーバへ 172.16.0.2でアクセス可能となります。変更した設

定はバックアップをとっておくことをお勧めします。

110

Page 113: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.3. LAN内のサーバをインターネットに公開する

■ 7.3.2 公開するサーバにプライベートアドレスを割り当てる場合

~静的 NAPT機能の利用~

「 ó� [7.3.1公開するサーバにグローバルアドレスを割り当てる場合¤ ¡P.108£ ¢]」で挙げた例は、サー

バ専用のグローバルアドレスを割り当てることが可能な場合でした。インターネットへ公開するサーバ

にサーバ専用のグローバルアドレスを割り当てることができない場合でも、SEILを使用することでイ

ンターネットへサーバを公開することが可能です。

SEILに対するアクセスをポート単位で他のサーバへ転送する静的 NAPT機能を持っているため、外

部に対して SEIL 自身がインターネットに公開したいサーバであるかのように見せることが可能です。

本節では、SEILの静的 NAPT機能を利用してインターネットへサーバを公開する設定例について、以

下のような構成のネットワークを前提にご説明します。

※ 本節ではインターネットとの接続インタフェースに pppoe0を使用しています。

111

Page 114: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.3. LAN内のサーバをインターネットに公開する

※ 本節では説明のため、「10.0.0.0~10.255.255.255」までのアドレスをグローバルアドレスとして

表現しています。

 設定の流れ

(1)静的 NAPTを設定する

静的 NAPTを行うポート番号とアドレス、およびインタフェースについて設定を行います。

(2)設定を保存するすべての設定を保存します。

112

Page 115: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.3. LAN内のサーバをインターネットに公開する

 設定手順

(1)静的 NAPTを設定する

SEILに管理者アカウントでログインし、静的 NAPTの設定をします。以下の設定を行ってくだ

さい。

設定項目 パラメータ

プロトコル tcp

Listenポート番号 80

インタフェース pppoe0

プライベート IPアドレス 192.168.0.2

ポート番号 80

有効/無効 enable

■記述例¶ ³# nat snapt add protocol tcp listen 80 interface pppoe0 forward 192.168.0.2 80

enable

µ ´■パラメータ解説

nat snapt add protocol tcp

プロトコルとして「tcp」を設定します。

listen 80

続けて、Listenポート番号として、HTTPのポート番号である「80」を設定します。

interface pppoe0

続けて、インタフェースとして「pppoe0」を設定します。

forward 192.168.0.2 80

続けて、転送先のプライベート IPアドレスとポート番号として、公開するWebサー

バの IPアドレスである「192.168.0.2」と、そのポート番号である「80」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

(2)設定を保存する

113

Page 116: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.3. LAN内のサーバをインターネットに公開する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で、静的 NAPTを用いてサーバをインターネットに公開する場合の設定は完了です。これに

より外部から 192.168.0.2のWebサーバへ 10.0.0.1でアクセス可能となります。変更した設定

はバックアップをとっておくことをお勧めします。

■ 7.3.3 サーバを LAN内からグローバルアドレスで参照する

静的 NATを使ってサーバを公開した場合、そのサーバはルータの外からはグローバルアドレスで参

照され、LAN内からはプライベートアドレスで参照されることになります。反対に、LAN内からのグ

ローバルアドレスでの参照はできません。Reflection NATを使用すると、LAN内からもグローバルアド

レスで参照させることができるようになります。

本節では、SEILの Reflection NAT機能を利用して「 ó� [7.3.1公開するサーバにグローバルアドレ

スを割り当てる場合¤ ¡P.108£ ¢]」での設定例を元に、静的 NATで公開したサーバを LAN内からグローバ

ルアドレスで参照する設定例について、次ページのような構成のネットワークを前提にご説明します。

静的 NAT で公開されたサーバを、LAN 内のプライベートアドレスを持つホストから参照する場合、

LAN内からはプライベートアドレスで普通にアクセスできますが、グローバルアドレスでアクセスする

と、行きは SEILを通りますがサーバからの返信パケットは SEILを経由しない経路を通ってしまうた

め、アドレスの食い違いが生じてしまいます。Reflection NATを使用することで、帰りの経路も SEIL

を通るよう行きのパケットを NAT変換し、行きも帰りも常に SEILを経由した経路を通らせることが可

能となります。

114

Page 117: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.3. LAN内のサーバをインターネットに公開する

※ 本節では説明のため、「10.0.0.0~10.255.255.255」「172.16.0.0~172.16.255.255」までの

アドレスをグローバルアドレスとして表現しています。

 設定の流れ

(1)静的 NATを設定する

NATの対象とするプライベートアドレス、それに対応づけるグローバルアドレスを設定します。

(2)NAPTを設定する

NAPTのアドレス変換の設定をします。

(3)Reflection NATを設定する

Reflection NATを行うインタフェースを設定します。

(4)設定を保存するすべての設定を保存します。

115

Page 118: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.3. LAN内のサーバをインターネットに公開する

 設定手順

(1)静的 NATを設定する

SEILに管理者アカウントでログインし、外部に公開するサーバのプライベートアドレスとグロー

バルアドレスの設定を行います。以下の設定を行ってください。

設定項目 パラメータ

プライベート IPアドレス 192.168.0.2

グローバル IPアドレス 172.16.0.2

インタフェース pppoe0

■記述例¶ ³# nat static add 192.168.0.2 172.16.0.2 interface pppoe0

µ ´■パラメータ解説

nat static add 192.168.0.2 172.16.0.2

NATの対象とするプライベート IPアドレスとして「192.168.0.2」を、

そのプライベート IPアドレスに対応づけるグローバル IPアドレスとして「172.16.0.2」

を設定します。

interface pppoe0

続けて、NATを使用するインタフェースとして「pppoe0」を設定します。

(2)NAPTを設定する

192.168.0.3等のホストが、サーバ側から見てグローバルアドレスであるように見せかけるため、

NAPTのアドレス変換の設定をします。以下の設定を行ってください。

設定項目 パラメータ

プライベート IPアドレス範囲 192.168.0.0~ 192.168.255.255

インタフェース pppoe0

116

Page 119: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.3. LAN内のサーバをインターネットに公開する

■記述例¶ ³# nat napt add private 192.168.0.0-192.168.255.255 interface pppoe0

µ ´■パラメータ解説

nat napt add private 192.168.0.0-192.168.255.255

NAPTの対象プライベート IPアドレス範囲として「192.168.0.0-192.168.255.255」を設

定します。

interface pppoe0

続けて、NAPTを使用するインタフェースとして「pppoe0」を設定します。

(3)Reflection NATを設定する

NAT/NAPTにおいて、lan0側で跳ね返る(reflection)ことができるように設定します。以下の設

定を行ってください。

設定項目 パラメータ

インタフェース lan0

■記述例¶ ³# nat reflect add interface lan0

µ ´■パラメータ解説

nat reflect add interface lan0

Reflection NATを使用するインタフェースとして「lan0」を設定します。

(4)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

117

Page 120: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.3. LAN内のサーバをインターネットに公開する

以上で、Reflection NAT を用いて、静的 NAT で公開したサーバを LAN 内部からグローバルア

ドレスで参照する場合の設定は完了です。これにより外部、内部どちらからでも 192.168.0.2の

Webサーバへ 10.0.0.1でアクセス可能となります。変更した設定はバックアップをとっておく

ことをお勧めします

118

Page 121: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

7.4 外部からのアクセスを制限する

LANをインターネットに接続した場合、インターネットからの不正アクセスを受けることを想定して

おく必要があります。ネットワークの安定した運用を行うためには、外部からの不正アクセスを防止す

るためにフィルタを設定しておく必要があります。

■ 7.4.1 外部から LAN へのアクセスを制限するフィルタリングを設

定する

本節では基本的なフィルタの設定例として、外部から LAN 内部へは Web サーバに対する HTTP に

よるアクセスだけを許可し、それ以外のアクセスを禁止するという設定例について、以下のような構成

のネットワークを前提にご説明します。なお、SEILシリーズは、IPv4、IPv6両方に対応していますが、

ここでは IPv4での設定方法についてご説明します。

119

Page 122: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

※ 本節ではインターネットとの接続インタフェースに pppoe0を使用しています。

※ 本節では説明のため、「10.0.0.0~10.255.255.255」「172.16.0.0~172.16.255.255」までのアド

レスをグローバルアドレスとして表現しています。

※ インターネットからの接続要求を許可するフィルタを設定した場合、許可を受けたポート番号を

偽造して不正な接続を行われる可能性が生じます。このような事態を防止するために、SEIL の

フィルタリング機能だけではなく、他のセキュリティ手法も加えて、ネットワークセキュリティ

を向上させることをお勧めします。

 設定の流れ

(1)フィルタを設計するどのようなアクセスを許可し、どのようなアクセスを遮断するのかを決めます。

(2)フィルタを設定する設計に基づき、フィルタの設定を行います。

(3)設定を保存するすべての設定を保存します。

 設定手順

(1)フィルタを設計する

120

Page 123: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

次のようなアクセス制限を行うものとします。

A. 外部からWebサーバへのアクセスは許可

B. 内部から外部に対するアクセスの返答は TCPのみ許可

C. 外部から SEILへのアクセスは ICMP以外すべて禁止

D. 外部から内部のホストには A.によるもの以外はすべて禁止

これを実現するためには、次のようなフィルタが必要になります。

a. 外部からWebサーバ (172.16.0.2)に対する TCPを使ったアクセスで送信先のポート番号が

80番のものを通すフィルタ

b. 外部から LANに割り当てているグローバルアドレス空間 (172.16.0.0/24)に対する TCPを

使ったアクセスで、確立済み (TCP Established)のものを通すフィルタ

c. 外部から SEIL(10.0.0.1)に対する ICMPによるアクセスをすべて通すフィルタ

d. 外部からのアクセスをすべて遮断するフィルタ

※ 内部から外部への TCPを使ったアクセスを許可するためには b. のフィルタを設定しておく

必要があります。 b. のフィルタを設定していない場合、内部のクライアントが外部のサー

バにアクセスする様な場合でも、その返答が d. のフィルタによって遮断されます。

※ 許可したいアクセスが d. のフィルタで遮断されてしまわないように、d. のフィルタの優先

順位を 1番低くする必要があります。

※ フィルタの処理は NAT/NAPT処理が行われたあとに実行されます。NAT/NAPT機能を使用

している場合は、グローバルアドレスではなく NAT/NAPT 変換後のアドレスに対してフィ

ルタをかける必要があります。

(2)フィルタを設定する

フィルタの設計が完了すると、次はフィルタの設定を行います。フィルタを設定する順番は、優

先順位さえ正しく設定されていればどのような順番で設定しても問題ありません。この設定例で

はフィルタの設計で示した a.から d.の順番で行うこととします。

ここでは a.について設定手順を説明します。b.以降も同様にフィルタの追加を行ってくだ

さい。

SEIL に管理者アカウントでログインし、a.のフィルタを追加します。以下の設定を行ってくだ

さい。

121

Page 124: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

設定項目 パラメータ

フィルタ名 httppass

アクション pass

インタフェース pppoe0

方向 in

プロトコル tcp

送信先 IPアドレス 172.16.0.2/32

送信先ポート番号 80

ログの取得 off

優先順位 top

有効/無効 enable

■記述例¶ ³# filter add httppass action pass interface pppoe0 direction in

protocol tcp dst 172.16.0.2/32 dstport 80 logging off top enableµ ´■パラメータ解説

filter add httppass

フィルタ名として「httppass」を設定します。

action pass

続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」

を設定します。

interface pppoe0

続けて、インタフェースとして「pppoe0」を設定します。

direction in

続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。

protocol tcp

続けて、プロトコルとして、対象が HTTPを使ったアクセスであるため「tcp」を設定

します。

dst 172.16.0.2/32 dstport 80

続けて、送信先 IP アドレスとして、Web サーバ用のグローバルアドレスである

「172.16.0.2/32」を設定します。ネットマスク長の値は、ネットワークではなくWeb

サーバ自身を指定するため「32」となります。さらに、送信先 IPアドレスのポート番

号として「80」を設定します。

122

Page 125: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

logging off

続けて、ログの取得は行わないため「off」を設定します。

top

続けて、優先順位として、この段階ではフィルタが 1つも設定されていないため「top」

を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

b.のフィルタを設定する場合、以下の設定を行ってください。

設定項目 パラメータ

フィルタ名 estabpass

アクション pass

インタフェース pppoe0

方向 in

プロトコル tcp-established

送信先 IPアドレス 172.16.0.0/24

ログの取得 off

優先順位 below httppass (aの次))

有効/無効 enable

■記述例¶ ³# filter add estabpass action pass interface pppoe0 direction in

protocol tcp-established dst 172.16.0.0/24 logging off

below httppass enableµ ´■パラメータ解説

filter add estabpass

フィルタ名として「estabpass」を設定します。

action pass

続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」

を設定します。

interface pppoe0

続けて、インタフェースとして「pppoe0」を設定します。

direction in

続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。

123

Page 126: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

protocol tcp-established

続けて、プロトコルとして、対象が確立済みの TCP を使ったアクセスであるため

「tcp-established」を設定します。

dst 172.16.0.0/24

続けて、送信先 IP アドレスとして、LAN 側のグローバルアドレスである

「172.16.0.0/24」を設定します。ネットマスク長の値は、LAN側のネットワークを指

定するため「24」となります。

logging off

続けて、ログの取得は行わないため「off」を設定します。

below httppass

続けて、優先順位として、a. のフィルタよりも優先順位を低くするため「below

httppass」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

c.のフィルタを設定する場合、以下の設定を行ってください。

設定項目 パラメータ

フィルタ名 icmppass

アクション pass

インタフェース pppoe0

方向 in

プロトコル icmp

送信先 IPアドレス 10.0.0.1/32

ログの取得 off

優先順位 below estabpass (bの次))

有効/無効 enable

■記述例¶ ³# filter add icmppass action pass interface pppoe0 direction in

protocol icmp dst 10.0.0.1/32 logging off below estabpass enableµ ´■パラメータ解説

filter add icmppass

フィルタ名として「icmppass」を設定します。

124

Page 127: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

action pass

続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」

を設定します。

interface pppoe0

続けて、インタフェースとして「pppoe0」を設定します。

direction in

続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。

protocol icmp

続けて、プロトコルとして、対象が ICMPを使ったアクセスであるため「icmp」を設

定します。

dst 10.0.0.1/32

続けて、送信先 IPアドレスとして、SEILのグローバルアドレスである「10.0.0.1/32」

を設定します。ネットマスク長の値は、ネットワークではなく SEIL自身を指定する

ため「32」となります。

logging off

続けて、ログの取得は行わないため「off」を設定します。

below estabpass

続けて、優先順位として、b. のフィルタよりも優先順位を低くするため「below

estabpass」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

d.のフィルタを設定する場合、以下の設定を行ってください。

設定項目 パラメータ

フィルタ名 allblock

アクション block

インタフェース pppoe0

方向 in

プロトコル any

ログの取得 off

優先順位 bottom

有効/無効 enable

125

Page 128: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

■記述例¶ ³# filter add allblock action block interface pppoe0 direction in

protocol any logging off bottom enableµ ´■パラメータ解説

filter add allblock

フィルタ名として「allblock」を設定します。

action block

続けて、アクションとして、条件に合致したパケットのアクセスを遮断するため

「block」を設定します。

interface pppoe0

続けて、インタフェースとして「pppoe0」を設定します。

direction in

続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。

protocol any

続けて、プロトコルとして、a.から c.までのフィルタの対象とならなかったすべての

パケットを遮断するため「any」を設定します。

logging off

続けて、ログの取得は行わないため「off」を設定します。

bottom

続けて、優先順位として、a.から c.までのフィルタよりも優先順位を低くするため

「bottom」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

(3)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容の保存をします。詳細は、 ó�

[6.3.1設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上でフィルタの設定は完了です。変更した設定内容はバックアップをとっておくことをお勧め

します。

126

Page 129: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

■ 7.4.2 動的にアクセスを許可するフィルタリングを設定する

本節では動的フィルタの設定例として、LAN内部から外部へ FTPアクセスを許可し、外部から LAN

内部への全てのアクセスを禁止するという設定例について、下記のような構成のネットワークを前提に

ご説明します。なお、SEILは、IPv4、IPv6両方に対応していますが、ここでは IPv4での設定方法につ

いてご説明します。

※ 本節ではインターネットとの接続インタフェースに pppoe0を使用しています。

172.16.0.1

10.0.0.1

172.16.0.3 172.16.0.4

172.16.0.1/24

※ 本節では説明のため、「10.0.0.0~10.255.255.255」「172.16.0.0~172.16.255.255」までのアド

レスをグローバルアドレスとして表現しています。

※ インターネットからの接続要求を許可するフィルタを設定した場合、許可を受けたポート番号を

127

Page 130: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

偽造して不正な接続を行われる可能性が生じます。このような事態を防止するために、SEIL の

フィルタリング機能だけではなく、他のセキュリティ手法も加えて、ネットワークセキュリティ

を向上させることをお勧めします。

 設定の流れ

(1)フィルタを設計するどのようなアクセスを許可し、どのようなアクセスを遮断するのかを決めます。

(2)フィルタを設定する設計に基づき、フィルタの設定を行います。

(3)設定を保存するすべての設定を保存します。

 設定手順

(1)フィルタを設計する

次のようなアクセス制限を行うものとします。

A. 内部から外部に対するアクセスは FTPのみ許可

B. 外部から SEILへのアクセスは ICMP以外すべて禁止

C. 外部から内部のホストへのアクセスは A.によるもの以外はすべて禁止

これを実現するためには、次のようなフィルタが必要になります。

a. LAN に割り当てているグローバルアドレス空間 (172.16.0.0/24) から外部に対する FTP を

使ったアクセスをすべて通す動的フィルタ

b. 外部から SEIL(10.0.0.1)に対する ICMPによるアクセスをすべて通すフィルタ

c. 外部からのアクセスをすべて遮断するフィルタ

FTPはあらかじめ 21番ポートを用いて接続したあとにサーバ-クライアント間で通信を行って互

いに合意したポートをデータ転送に使用するため、静的フィルタでは上記のようなアクセス制限

を行うことは不可能です。そのため、a.にて動的フィルタ機能を用います。

※ 許可したいアクセスが c. のフィルタで遮断されてしまわないように、c. のフィルタの優先

順位を 1番低くする必要があります。

※ フィルタの処理は NAT/NAPT処理が行われたあとに実行されます。NAT/NAPT 機能を使用

している場合は、グローバルアドレスではなく NAT/NAPT 変換後のアドレスに対してフィ

ルタをかける必要があります。

(2)フィルタを設計する

フィルタの設計が完了すると、次はフィルタの設定を行います。フィルタを設定する順番は、優

先順位さえ正しく設定されていればどのような順番で設定しても問題ありません。この設定例で

はフィルタの設計で示した a.から c.の順番で行うこととします。

128

Page 131: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

ここでは a.について設定手順を説明します。b.以降も同様にフィルタの追加を行ってくだ

さい。

SEIL に管理者アカウントでログインし、a. のフィルタを追加します。以下の設定を行ってく

だい。

設定項目 パラメータ

フィルタ名 ftppass

アクション pass

インタフェース pppoe0

方向 out

プロトコル tcp

送信元 IPアドレス 172.16.0.0/24

ポート番号 21

動的フィルタ設定 enable

ログの取得 off

優先順位 top

有効/無効 enable

■記述例¶ ³# filter add ftppass action pass interface pppoe0 direction out

protocol tcp src 172.16.0.0/24 dstport 21 state enable logging off

top enableµ ´■パラメータ解説

filter add ftppass

フィルタ名として「ftppass」を設定します。

action pass

続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」

を設定します。

interface pppoe0

続けて、インタフェースとして「pppoe0」を設定します。

direction out

続けて、方向として、対象が内部から外部へのアクセスであるため「out」を設定し

ます。

protocol tcp

続けて、プロトコルとして、FTPを使ったアクセスであるため「tcp」を設定します。

129

Page 132: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

src 172.16.0.0/24 dstport 21

続けて、送信元 IP アドレスとして、LAN 側のグローバルアドレスである

「172.16.0.0/24」を設定します。ネットマスク長の値は、LAN側のネットワークを指

定するため「24」となります。さらに、送信先ポート番号として「21」を設定します。

state enable

続けて、動的フィルタ機能を有効にするため「state enable」を設定します。

logging off

続けて、ログの取得は行わないため「off」を設定します。

top

続けて、優先順位として、最優先にするため「top」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

b.のフィルタを設定する場合、以下の設定を行ってください。

設定項目 パラメータ

フィルタ名 icmppass

アクション pass

インタフェース pppoe0

方向 in

プロトコル icmp

送信先 IPアドレス 10.0.0.1/32

ログの取得 off

優先順位 below ftppass (aの次)

有効/無効 enable

■記述例¶ ³# filter add icmppass action pass interface pppoe0 direction in

protocol icmp dst 10.0.0.1/32 logging off below ftppass enableµ ´■パラメータ解説

filter add icmppass

フィルタ名として「icmppass」を設定します。

action pass

続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」

を設定します。

130

Page 133: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

interface pppoe0

続けて、インタフェースとして「pppoe0」を設定します。

direction in

続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。

protocol icmp

続けて、プロトコルとして、対象が ICMPを使ったアクセスであるため「icmp」を設

定します。

dst 10.0.0.1/32

続けて、送信先 IPアドレスとして、SEILのグローバルアドレスである「10.0.0.1/32」

を設定します。ネットマスク長の値は、ネットワークではなく SEIL自身を指定する

ため「32」となります。

logging off

続けて、ログの取得は行わないため「off」を設定します。

below ftppass

続けて、優先順位として、a.のフィルタよりも優先順位を低くするため「below

ftppass」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

c.のフィルタを設定する場合、以下の設定を行ってください。

設定項目 パラメータ

フィルタ名 allblock

アクション block

インタフェース pppoe0

方向 in

プロトコル any

ログの取得 off

優先順位 bottom

有効/無効 enable

131

Page 134: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

■記述例¶ ³# filter add allblock action block interface pppoe0 direction in

protocol any logging off bottom enableµ ´■パラメータ解説

filter add allblock

フィルタ名として「allblock」を設定します。

action block

続けて、アクションとして、条件に合致したパケットのアクセスを遮断するため

「block」を設定します。

interface pppoe0

続けて、インタフェースとして「pppoe0」を設定します。

direction in

続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。

protocol any

続けて、プロトコルとして、a.から c.までのフィルタの対象とならなかったすべての

パケットを遮断するため「any」を設定します。

logging off

続けて、ログの取得は行わないため「off」を設定します。

bottom

続けて、優先順位として、a.から b.までのフィルタよりも優先順位を低くするため

「bottom」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

(3)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容の保存をします。詳細は、 ó�

[6.3.1設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上でフィルタの設定は完了です。変更した設定内容はバックアップをとっておくことをお勧め

します。

132

Page 135: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

■ 7.4.3 IPアドレスの詐称を防ぐフィルタリング (uRPF)を設定する

本節では uRPF(Unicast Reverse Path Forwarding)機能を用いて、IPアドレスが詐称されたパケット

が LAN内部に流入することを防ぐ設定について説明します。以下、IPv4パケットのみを対象として説

明します。IPv6パケットも対象としたい場合は、別途 IPv6についても同様に設定して下さい。

172.16.0.1

10.0.0.1

A

172.16.0.1/24

 設定の流れ

(1)ルーティングを設定する静的もしくは動的ルーティングを設定する

(2)uRPFを設定する

uRPF機能を有効にします。

133

Page 136: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

(3)設定を保存するすべての設定を保存します。

 設定手順

(1)ルーティングを設定する

uRPFはルーティングに基づいてパケットをフィルタリングします。したがって、uRPFを設定

する前にルーティングを正しく設定しておく必要があります。SEIL に管理者アカウントでログ

インし、ルーティングの設定を行ってください。ルーティング設定の詳細については他の節を参

照してください。

(2)uRPFを設定する

uRPFのパラメータとして、対象の IPプロトコルバージョン、uRPFモード、ログ出力の有無を

設定できます。IPプロトコルバージョンは IPv4、uRPFモードは strict、ログ出力は有りとしま

す。以下の設定を行ってください。

設定項目 パラメータ

IPプロトコル ip

モード strict

ログ出力 on

■記述例¶ ³# option ip unicast-rpf strict logging onµ ´

■パラメータ解説

option ip

対象とする IPプロトコルは IPv4なので「ip」を設定します。

unicast-rpf strict

uRPFモードとして「strict」を設定します。

logging on

パケットをブロックした場合にログに残すため「on」を設定します。

134

Page 137: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.4. 外部からのアクセスを制限する

(3)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で、uRPFを使用する場合の設定は完了です。変更した設定はバックアップをとっておくこ

とをお勧めします。

135

Page 138: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.5. MACアドレスによるフィルタリングを行う

7.5 MACアドレスによるフィルタリングを行う

LANをインターネットに接続した場合、LAN内に接続される機器のうち、特定の機器のみ外部への

接続を許可し、他の機器は外部への接続を禁止したい場合があります。

CS-SEIL-510/Cでは、特定の MACアドレスを持つ機器だけが CS-SEIL-510/Cを介して外部と通信

できる機能を提供しています。MACアドレスの指定方法は、1つずつ個別に設定を行う方法と、MAC

アドレスのリストを外部から取得して適用する方法があり、両者を併用して適用することができます。

■ 7.5.1 MACアドレスの個別設定

本節では基本的な MACアドレスフィルタの設定例として、外部への通信を許可する MACアドレス

のリストを SEILに直接設定する方法を解説します。

A

00:11:22:33:44:55

B

00:aa:bb:cc:de:f0

136

Page 139: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.5. MACアドレスによるフィルタリングを行う

 設定の流れ

(1)MACアドレスフィルタを設計する

どの機器からのパケットを許可するかを決めます。

(2)MACアドレスフィルタを設定する

設計に基づき、MACアドレスフィルタの設定を行います。

(3)設定を確認する設定が正しくなされているか確認します。

(4)設定を保存するすべての設定を保存します。

 設定手順

(1)MACアドレスフィルタを設計する

次のようなアクセス制限を行うものとします。

A. コンピュータ A(00:11:22:33:44:55)から外部への通信を許可する

B. コンピュータ B(00:aa:bb:cc:dd:ee)から外部への通信を許可する

C. コンピュータ A、コンピュータ B以外の機器から外部への通信は遮断する

※ MACアドレスフィルタは設定された順番で評価されます。よって、C.のフィルタが最初に

設定されていると、全てのパケットが遮断されてしまいその後に設定された A.や B.のフィ

ルタが評価されないことになります。

※ MAC アドレスフィルタは lan0 インタフェースで受信したパケットでのみ評価されます。

lan0 インタフェースへの出力や、lan1 インタフェースから受信したパケットに対して適用

することはできません。

※ MACアドレスフィルタは Ethernetフレームのうち、送信元 MACアドレスのみを検査する

ことができます。送信先 MACアドレスや、Ethernetタイプなどを元に判定を行うことはで

きません。

(2)MACアドレスフィルタを設定する

MAC アドレスフィルタの設計が完了すると、次は MAC アドレスフィルタの設定を行います。

MACアドレスフィルタは、設定された順番で評価されます。このため、設定を行う順番は A.か

ら C.の順番で行うこととします。

SEILに管理者アカウントでログインし、A.のフィルタを追加します。以下の設定を行ってくだ

さい。

137

Page 140: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.5. MACアドレスによるフィルタリングを行う

設定項目 パラメータ

フィルタ名 pcapass

アクション pass

送信元 MACアドレス 00:11:22:33:44:55

ログの取得 off

■記述例¶ ³macfilter add pcapass action pass src 00:11:22:33:44:55 logging offµ ´

■パラメータ解説

macfilter add pcapass

フィルタ名として「pcapass」を設定します。

action pass

続けて、アクションとして、条件に合致したパケットを許可するため「pass」を設定

します。

src 00:11:22:33:44:55

続けて、送信元 MACアドレスとして「00:11:22:33:44:55」を設定します。

logging off

続けて、ログの取得は行わないため「off」を設定します。

B.のフィルタを設定します。以下の設定を行ってください。

設定項目 パラメータ

フィルタ名 pcbpass

アクション pass

送信元 MACアドレス 00:aa:bb:cc:dd:ee

ログの取得 off

■記述例¶ ³macfilter add pcbpass action pass src 00:aa:bb:cc:dd:ee logging offµ ´

■パラメータ解説

macfilter add pcbpass

フィルタ名として「pcbpass」を設定します。

138

Page 141: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.5. MACアドレスによるフィルタリングを行う

action pass

続けて、アクションとして、条件に合致したパケットを許可するため「pass」を設定

します。

src 00:aa:bb:cc:dd:ee

続けて、送信元 MACアドレスとして「00:aa:bb:cc:dd:ee」を設定します。

logging off

続けて、ログの取得は行わないため「off」を設定します。

C.のフィルタを設定します。以下の設定を行ってください。

設定項目 パラメータ

フィルタ名 allblock

アクション block

送信元 MACアドレス any

ログの取得 off

■記述例¶ ³macfilter add allblock action block src any logging offµ ´

■パラメータ解説

macfilter add allblock

フィルタ名として「allblock」を設定します。

action block

続けて、アクションとして、条件に合致したパケットを遮断するため「block」を設定

します。

src any

続けて、全ての送信元 MACアドレスを対象とするため「any」を設定します。

logging off

続けて、ログの取得は行わないため「off」を設定します。

(3)設定を確認する

以上の設定が終了したら、show status macfilterコマンドにて MACアドレスフィルタの動作情

報を確認します。詳細はコマンドリファレンスをご覧ください。

139

Page 142: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.5. MACアドレスによるフィルタリングを行う

¶ ³show status macfilterµ ´

(4)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容の保存をします。詳細は、 ó�

[6.3.1設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で MACアドレスフィルタの設定は完了です。変更した設定内容はバックアップをとってお

くことをお勧めします。

140

Page 143: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.5. MACアドレスによるフィルタリングを行う

■ 7.5.2 外部ホワイトリストによる設定

本節では、外部のWebサーバに配置されたMACアドレスのリストを元にフィルタを設定する方法を

解説します。

 設定の流れ

(1)フィルタ対象となる MACアドレスのリストを外部Webサーバに用意する

MACアドレスが列挙されたファイルを用意し、Webサーバ上に配置します。

(2)MACアドレスフィルタを設定する

外部Webサーバ上の MACアドレスリストを元に、MACアドレスフィルタの設定を行います。

141

Page 144: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.5. MACアドレスによるフィルタリングを行う

(3)設定を確認する設定が正しくなされているか確認します。

(4)設定を保存するすべての設定を保存します。

 設定手順

(1)フィルタ対象となるMACアドレスのリストを外部Webサーバに用意する

SEILがアクセス可能な外部のWebサーバ上に、アクセスを許可する MACアドレスを列挙した

下記のようなファイルを用意します。¶ ³00:11:22:33:44:55

00:aa:bb:cc:de:f0

...

00:ff:ee:00:01:22µ ´このファイルを、http://10.0.0.1/maclist.txtという URLでアクセスできるようにしておきます。

※ HTTP以外にも、HTTPS、FTPプロトコルも使用可能です。

※ MACアドレスリストに対して BASIC認証をかけている場合、

「http://user:[email protected]/maclist.txt」といった形式で URLを指定してください。

(2)MACアドレスフィルタを設定する

MACアドレスリストの設置が完了すると、次は MACアドレスフィルタの設定を行います。

SEILに管理者アカウントでログインし、MACアドレスリストの取得を行うための設定を行って

ください。

設定項目 パラメータ

フィルタ名 listpass

アクション pass

送信元 MACアドレス http://10.0.0.1/maclist.txtから取得

取得間隔 1時間ごと

ログの取得 off

142

Page 145: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.5. MACアドレスによるフィルタリングを行う

■記述例¶ ³macfilter add listpass action pass src http://10.0.0.1/maclist.txt

interval 1h logging offµ ´■パラメータ解説

macfilter add listpass

フィルタ名として「listpass」を設定します。

action pass

続けて、アクションとして、条件に合致したパケットを許可するため「pass」を設定

します。

src http://10.0.0.1/maclist.txt

続けて、送信元 MAC アドレスのリストを取得するための URL として

「http://10.0.0.1/maclist.txt」を設定します。

interval 1h

続けて、送信元 MACアドレスリストの取得間隔として「1h(1時間)」を設定します。

logging off

続けて、ログの取得は行わないため「off」を設定します。

MAC アドレスリストに含まれないパケットを遮断するフィルタを設定します。以下の設定を

行ってください。

設定項目 パラメータ

フィルタ名 allblock

アクション block

送信元 MACアドレス any

ログの取得 off

■記述例¶ ³macfilter add allblock action block src any logging offµ ´

■パラメータ解説

macfilter add allblock

フィルタ名として「allblock」を設定します。

143

Page 146: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.5. MACアドレスによるフィルタリングを行う

action block

続けて、アクションとして、条件に合致したパケットを遮断するため「block」を設定

します。

src any

続けて、全ての送信元 MACアドレスを対象とするため「any」を設定します。

logging off

続けて、ログの取得は行わないため「off」を設定します。

(3)設定を確認する

以上の設定が終了したら、show status macfilterコマンドにて MACアドレスフィルタの動作情

報を確認します。詳細はコマンドリファレンスをご覧ください。¶ ³show status macfilterµ ´

(4)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容の保存をします。詳細は、 ó�

[6.3.1設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で MACアドレスフィルタの設定は完了です。変更した設定内容はバックアップをとってお

くことをお勧めします。

144

Page 147: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

7.6 ルーティングを動的に行う~動的ルーティングの設定~

本節では CS-SEIL-510/Cを用いて動的にルーティングを行う場合の設定例をご説明します。

静的なルーティングと違い、動的なルーティングを行うことで、どこかのルートに障害が起きたとき、

自動的にルートを変更し、適切なルートをたどって通信を行うことができます。

本節では、Unicastルーティングとして、RIPを用いた方法とOSPFを用いた方法の 2つと、Multicast

ルーティングとして、 PIM-SM(IPv4/IPv6)を用いた方法を解説します。

■ 7.6.1 RIPを利用した動的ルーティング

~比較的小規模なネットワーク~

本節では、RIPを用いた動的ルーティングの設定例をご説明します。

172.16.1.1/24

10.0.1.1

172.16.2.1/24

SEIL A

SEIL B

10.0.2.2

145

Page 148: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

今回の設定例では、インターネット上での接続にそれぞれ SEIL A と SEIL B を用い、SEIL A には

10.0.1.1、SEIL B には 10.0.2.2 というアドレスが割り当てられているとします。その間で動的にルー

ティングを行うために、RIPを設定するものとします。

なお、本節では SEIL Aの設定についてご説明します。SEIL Bの設定を行う場合でも、SEIL Aの設

定を行った場合と異なる点はありません。同様に設定を行ってください。

※ 本節では説明のため、「10.0.0.0~10.255.255.255」「172.16.0.0~172.16.255.255」までの

アドレスをグローバルアドレスとして表現しています。

 設定の流れ

(1)SEIL Aに RIPを設定する

LAN0インタフェースおよび LAN1インタフェースに RIPを設定します。

(2)SEIL Aの RIPを有効にする

設定した RIPを有効化します。

(3)SEIL Aの設定を確認する

設定が正しくなされているか確認します。

(4)SEIL Aの設定を保存する

すべての設定を保存します。

 設定手順

(1)SEIL Aに RIPを設定する

SEIL Aとなる SEILに管理者アカウントでログインし、LANインタフェースに RIPの設定をし

ます。

以下の設定を行ってください。

設定項目 パラメータ

インタフェース lan0

経路情報の送受信 enable

146

Page 149: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

■記述例¶ ³# route dynamic rip interface lan0 enable

µ ´■パラメータ解説

route dynamic rip interface lan0

RIPを使用するインタフェースとして「lan0」を設定します。

enable

続けて、RIP情報の送受信を行うため「enable」を設定します。

RIPバーションの設定をします。以下の設定を行ってください。

設定項目 パラメータ

インタフェース lan0

RIPのバージョン RIPv2

■記述例¶ ³# route dynamic rip interface lan0 version ripv2

µ ´■パラメータ解説

route dynamic rip interface lan0

RIPを使用するインタフェースとして「lan0」を設定します。

version ripv2

続けて、RIPのバージョンとして「ripv2」を設定します。

RIPv2認証の設定をします。以下の設定を行ってください。

設定項目 パラメータ

インタフェース lan0

RIPv2の認証 disable

147

Page 150: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

■記述例¶ ³# route dynamic rip interface lan0 authentication disable

µ ´■パラメータ解説

route dynamic rip interface lan0

RIPを使用するインタフェースとして「lan0」を設定します。

authentication disable

続けて、RIPv2の認証を行わないため「disable」を設定します。

LAN1インタフェースについても、同様に設定を行います。

最初に LAN1インタフェースに RIPの設定をします。以下の設定を行ってください。

設定項目 パラメータ

インタフェース lan1

経路情報の送受信 enable

■記述例¶ ³# route dynamic rip interface lan1 enable

µ ´■パラメータ解説

route dynamic rip interface lan1

RIPを使用するインタフェースとして「lan1」を設定します。

enable

続けて、RIP情報の送受信を行うため「enable」を設定します。

RIPバーションの設定をします。以下の設定を行ってください。

設定項目 パラメータ

インタフェース lan1

RIPのバージョン RIPv2

148

Page 151: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

■記述例¶ ³# route dynamic rip interface lan1 version ripv2

µ ´■パラメータ解説

route dynamic rip interface lan1

RIPを使用するインタフェースとして「lan1」を設定します。

version ripv2

続けて、RIPのバージョンとして「ripv2」を設定します。

RIPv2認証の設定をします。以下の設定を行ってください。

設定項目 パラメータ

インタフェース lan1

RIPv2の認証 disable

■記述例¶ ³# route dynamic rip interface lan1 authentication disable

µ ´■パラメータ解説

route dynamic rip interface lan1

RIPを使用するインタフェースとして「lan1」を設定します。

authentication disable

続けて、RIPv2の認証を行わないため「disable」を設定します。

(2)SEIL Aの RIPを有効にする

以下の設定を行ってください。

設定項目 パラメータ

有効/無効 enable

149

Page 152: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

■記述例¶ ³# route dynamic rip enable

µ ´■パラメータ解説

route dynamic rip enable

RIPを有効にするため「enable」を設定します。

(3)SEIL Aの設定を確認する

以上の設定が終了したら、show statusコマンドにより、相手ネットワークの経路が来ているか

確認します。詳細はコマンドリファレンスをご覧ください。

■記述例¶ ³# show status route

µ ´(4)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で、SEIL A側の RIPの設定は完了です。

変更した設定内容はバックアップをとっておくことをお勧めします。

150

Page 153: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

■ 7.6.2 OSPFを利用した動的ルーティング

~中規模以上のネットワーク~

本節では、OSPFを用いた動的ルーティングの設定例をご説明します。OSPFは RIPと違い、回線の

帯域を基にしてルートを動的に変更することが可能であり、大規模なネットワークのルーティングに最

適です。

172.16.1.1/24

10.0.1.1

172.16.2.1/24

10.0.2.2

SEIL A

SEIL B

今回の設定例では、インターネット上での接続にそれぞれ SEIL A と SEIL B を用い、SEIL A には

10.0.1.1、SEIL B には 10.0.2.2 というアドレスが割り当てられているとします。その間で動的にルー

ティングを行うために、OSPFを設定するものとします。

なお、本節では SEIL Aの設定についてご説明します。SEIL Bの設定については、SEIL Aの設定内容

と異なる設定項目には注記してあります。注記の設定内容に従って設定を行ってください。注記のない

151

Page 154: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

設定項目は SEIL Aの設定内容と異なる点はありませんので、SEIL Aと同様に設定を行ってください。

※ 本節では説明のため、「10.0.0.0~10.255.255.255」「172.16.0.0~172.16.255.255」

までのアドレスをグローバルアドレスとして表現しています。

 設計

(1) エリアを決定する

ここでは stub areaを使用するかどうか、また、使用するならば no summaryを使用するかどう

かを決めます。本項の設定例では stub areaを使用しません。

(2) リンクを決定する

ここでは OSPFでの通信を行う相手との通信方法を決めます。本節の設定例では、インタフェー

スに相手のルータと接続するインタフェース lan1を設定し、OSPF情報の送受信は送信/受信共

に行い、認証は行わないものとします。OSPFは、インタフェース lan0とインタフェース lan1

の両方で有効にします。

(3)SEIL A、SEIL Bそれぞれのルータ IDを設定する

OSPF で通信を行うそれぞれの SEIL にルータ ID を設定します。ここではそれぞれのアドレス

をルータ IDとして割り当てます。

 設定の流れ

(1)SEIL Aにエリアを設定する

stub areaの使用/不使用を設定します。

(2)SEIL Aにリンクを設定する

OSPFを有効にするインタフェースと、リンクの属するエリア IDを設定します。

(3)SEIL Aに OSPFルータ IDを設定する

OSPFルータ IDを設定します。

(4)SEIL Aの OSPFを有効にする

設定した OSPFを有効化します。

(5)SEIL Aの設定を確認する

設定が正しくなされているか確認します。

(6)SEIL Aの設定を保存する

すべての設定を保存します。

 設定手順

(1)SEIL Aにエリアを設定する

152

Page 155: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

SEIL A となる SEIL に管理者アカウントでログインし、エリアの設定をします。以下の設定を

行ってください。

設定項目 パラメータ

エリア ID 0.0.0.0

スタブエリア disable

■記述例¶ ³# route dynamic ospf area add 0.0.0.0 stub disable

µ ´■パラメータ解説

route dynamic ospf area add 0.0.0.0

エリア IDとして「0.0.0.0」を設定します。

stub disable

続けて、エリアをスタブエリアとしないため「disable」を設定します。

(2)SEIL Aにリンクを設定する

次にリンクを追加します。以下の設定を行ってください。インタフェースには unnumbered イ

ンタフェースを指定することも可能です。

設定項目 パラメータ

インタフェース lan0

リンクの属するエリア ID 0.0.0.0

■記述例¶ ³# route dynamic ospf link add lan0 area 0.0.0.0

µ ´■パラメータ解説

route dynamic ospf link add lan0

OSPFを有効にするインタフェースとして「lan0」を設定します。

153

Page 156: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

area 0.0.0.0

続けて、リンクの属するエリア IDとして「0.0.0.0」を設定します。

※ 同様の設定を、LAN1インタフェースに対しても行ってください。

(3)SEIL AにOSPFルータ IDを設定する

以下の設定を行ってください。

設定項目 パラメータ

OSPFルータ ID 10.0.1.1

■記述例¶ ³# route dynamic ospf router-id 10.0.1.1

µ ´■パラメータ解説

route dynamic ospf router-id 10.0.1.1

OSPFルータ IDとして「10.0.1.1」を設定します。

※ SEIL Bの設定を行う場合、以下の通りとなります。

設定項目 パラメータ

OSPFルータ ID 10.0.2.2

(4)SEIL AのOSPFを有効にする

以下の設定を行ってください。

設定項目 パラメータ

有効/無効 enable

■記述例¶ ³# route dynamic ospf enable

µ ´■パラメータ解説

route dynamic ospf enable

154

Page 157: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

OSPFを有効にするため「enable」を設定します。

(5)SEIL Aの設定を確認する

以上の設定が終了したら、show statusコマンドにより、相手ネットワークの経路が来ているか

確認します。詳細はコマンドリファレンスをご覧ください。

■記述例¶ ³# show status route

µ ´(6)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で、SEIL A側の OSPFの設定は完了です。

変更した設定内容はバックアップをとっておくことをお勧めします。

■ 7.6.3 複数のルーティングプロトコルを同時に使う

~経路情報の再配布~

本節では SEILを用いて、異なるルーティングを設定した 2つのネットワーク間で通信を行う場合の

設定例をご説明します。

本節のネットワーク例では、SEIL A側の LANには OSPFが使用され、SEIL A、B間と SEIL B側の

LANには RIPを使用しています。

本節での設定例は SEIL Aで RIPと OSPF間の経路情報の再配布を行う例となります。

155

Page 158: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

SEIL A lan0

192.168.1.1

SEILA lan1

192.168.0.1

SEIL B lan0

192.168.2.1

SEIL A

SEIL B

OSPF

RIP

A

192.168.1.0/24

B

192.168.2.0/24

SEIL B lan1

192.168.0.2

 設定の流れ

(1)SEIL Aに再配布 (OSPF→ RIP)を設定する

OSPFから RIPへの再配布の設定をします。

(2)SEIL Aに再配布 (RIP→ OSPF)を設定する

RIPから OSPFへの再配布の設定をします。

(3)SEIL Aの設定を確認する

設定が正しくなされているか確認します。

(4)SEIL Aの設定を保存する

すべての設定を保存します。

156

Page 159: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

 設定手順

(1)SEIL Aに再配布 (OSPF→ RIP)を設定する

SEIL Aとなる SEILに管理者アカウントでログインし、OSPFから RIPへの再配布の設定をし

ます。以下の設定を行ってください。

設定項目 パラメータ

再配布のタイプ ospf-to-rip

有効/無効 enable

■記述例¶ ³# route dynamic redistribute ospf-to-rip enable

µ ´■パラメータ解説

route dynamic redistribute ospf-to-rip

OSPFで受信した経路を RIPで配布する設定を行うため、「ospf-to-rip」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

(2)SEIL Aに再配布 (RIP→OSPF)を設定する

RIPから OSPFへの再配布の設定をします。以下の設定を行ってください。

設定項目 パラメータ

再配布のタイプ rip-to-ospf

有効/無効 enable

■記述例¶ ³# route dynamic redistribute rip-to-ospf enable

µ ´■パラメータ解説

route dynamic redistribute rip-to-ospf

157

Page 160: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

RIPで受信した経路を OSPFで配布する設定を行うため、「rip-to-ospf」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

(3)SEIL Aの設定を確認する

以上の設定が終了したら、show status コマンドにより経路を確認します。 詳細はコマンドリ

ファレンスをご覧ください。

■記述例¶ ³# show status route

µ ´(4)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で、SEIL A 側の再配布の設定は完了です。変更した設定内容はバックアップをとっておく

ことをお勧めします。

■ 7.6.4 PIM-SMを利用した IPv4/IPv6マルチキャストルーティング

本節では、PIM-SM for IPv4/IPv6を用いたマルチキャストルーティングの設定例をご説明します。

今回の設定例では、インターネット上での接続に SEIL Aを用い、SEIL Aの lan0/lan1には IPv6グ

ローバルアドレスが割り当てられているとします。

インターネット上の他ルータとの間でのマルチキャストルーティングを行うために、PIM-SMを設定

するものとします。

※ 本機は、RP(Rendezvous Point), BSR(Boot Strap Router)には対応していません。

Multicastネットワーク上に必ず RP, BSRを設置するようにしてください。

158

Page 161: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

IPv6

Global Address

SEIL

Reciever

Sender

RP & BSR

Router

IPv6

Global Address

IPv6

Global Address

IPv6

Global Address

Multicast

Routing

 設定の流れ

(1)SEILに PIM-SMを設定する

lan0/lan1インタフェースにて PIM-SMを設定します。

(2)SEILの PIM-SMを有効にする

設定した PIM-SMを有効化します。

(3)SEILの設定を確認する

設定が正しくなされているか確認します。

(4)SEILの設定を保存する

すべての設定を保存します。

159

Page 162: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

 設定手順

(1)SEILに PIM-SMを設定する

SEILに管理者アカウントでログインし、LANインタフェースに PIM-SMの設定をします。

以下の設定を行ってください。

設定項目 パラメータ

インタフェース lan0

経路情報の送受信 enable

■記述例¶ ³# route6 dynamic pim-sparse interface lan0 enable

µ ´■パラメータ解説

route6 dynamic pim-sparse interface lan0

PIM-SMを使用するインタフェースとして「lan0」を設定します。

enable

続けて、PIM-SM経路情報の送受信を行うため「enable」を設定します。

LAN1インタフェースについても、同様に設定を行います。

設定項目 パラメータ

インタフェース lan1

経路情報の送受信 enable

■記述例¶ ³# route6 dynamic pim-sparse interface lan1 enable

µ ´■パラメータ解説

route6 dynamic pim-sparse interface lan1

PIM-SMを使用するインタフェースとして「lan1」を設定します。

160

Page 163: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.6. ルーティングを動的に行う~動的ルーティングの設定~

enable

続けて、PIM-SM経路情報の送受信を行うため「enable」を設定します。

(2)SEILの PIM-SMを有効にする

以下の設定を行ってください。

設定項目 パラメータ

有効/無効 enable

■記述例¶ ³# route6 dynamic pim-sparse enable

µ ´■パラメータ解説

route6 dynamic pim-sparse enable

PIM-SMを有効にするため「enable」を設定します。

(3)SEILの設定を確認する

以上の設定が終了したら、show statusコマンドにより、Multicastグループの経路が来ているか

確認します。詳細はコマンドリファレンスをご覧ください。

■記述例¶ ³# show status route6 dynamic pim-sparse

µ ´(4)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で SEILの PIM-SM設定は完了です。変更した設定内容はバックアップをとっておくことを

お勧めします。

161

Page 164: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.7. 目的別のルーティングを行う

7.7 目的別のルーティングを行う

本節では、CS-SEIL-510/Cを用いてルーティングに関する様々な機能を用いる場合の設定例を説明し

ます。

■ 7.7.1 静的経路の監視を行う

SEILは、静的経路の中継先として指定されたアドレスに対して pingによる死活監視を行い、規定条

件に達したときに経路の削除・付加を行うことができます。本節では、この機能を用いて、以下のよう

な構成のネットワークにおいてバックアップ経路への切り替えを自動的に行う設定例を説明します。

以下の構成で、SEILは通常は「メイン」のルータを経由して通信しているものとし、「メイン」のルー

タに障害が発生した場合には、死活監視によって「バックアップ」のルータを経由して通信を行うよう

切り替わります。

172.16.0.1

B( )

172.16.0.254

A( )

172.16.0.2

162

Page 165: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.7. 目的別のルーティングを行う

 設定の流れ

(1)ネットワークを設計するどのような経路を設定し、どのような条件で経路を切り替えるかを決めます。

(2)SEILにメインへの経路を設定する

メイン側のルータに対する経路設定を行います。

(3)SEILにバックアップへの経路を設定する

バックアップ側のルータに対する経路設定を行います。

(4)SEILの設定を確認する

設定が正しくなされているか確認します。

(5)SEILの設定を保存する

すべての設定を保存します。

 設定手順

(1)ネットワークを設計する

次のような経路を設定するものとします。

A. SEILのデフォルト経路は通常、メイン側に向ける

B. メイン側のルータ (172.16.0.2)に対して監視を行う

C. メイン側のルータに障害が発生した場合には、バックアップ側を経由して通信を行う

D. バックアップ側の経路は通常時は使用しないので、distance を高く設定して優先度を低く

する

(2)SEILにメインへの経路を設定する

SEILに管理者アカウントでログインし、メインへの経路を設定します。以下の設定を行ってく

ださい。

設定項目 パラメータ

宛先ネットワーク default

ゲートウェイ 172.16.0.2

静的経路監視 on

監視パケット送信間隔 10秒

送信エラー時のダウン検出回数 5回

163

Page 166: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.7. 目的別のルーティングを行う

■記述例¶ ³# route add default 172.16.0.2 kepalive on send-interval 10 down-count 5µ ´

■パラメータ解説

route add default 172.16.0.2

デフォルト経路の宛先として「172.16.0.2」を設定します。

keepalive on

続けて、死活監視を有効にするため「keepalive on」を設定します。

send-interval 10

続けて、pingの送信間隔として「10秒」を設定します。

down-count 5

続けて、pingの送信失敗時にダウンと検出する回数を「5」に設定します。この場合、

10秒間隔で 5回連続に pingの送信に失敗した場合、ダウンと検出されることになり

ます。

※ ゲートウェイアドレスと監視先が異なる場合は、「target」パラメータにて監視先アドレスを

指定可能です。「target」パラメータが省略された場合は、ゲートウェイアドレスに対して

pingを送信します。

(3)SEILにバックアップへの経路を設定する

バックアップ側の経路を設定します。以下の設定を行ってください。

設定項目 パラメータ

宛先ネットワーク default

ゲートウェイ 172.16.0.254

distance 100

■記述例¶ ³# route add default 172.16.0.254 distance 100µ ´

■パラメータ解説

route add default 172.16.0.254

バックアップ側デフォルト経路の宛先として「172.16.0.254」を設定します。

164

Page 167: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.7. 目的別のルーティングを行う

distance 100

続けて、バックアップ側デフォルト経路の distanceとして「100」を設定します。

(4)SEILの設定を確認する

メイン側の経路が何らかの原因でダウンすると、ping による死活監視によって経路が削除され

ます。経路が削除された場合には以下のようなログが記録されます。ログを確認するためには

show logコマンドを使用してください。¶ ³2 Jan 2 04:11:29 notice system lanbackupd: target 172.16.0.2 down.µ ´

実際にメイン側のデフォルト経路が消えて、バックアップ側のデフォルト経路が経路表に表れて

いることを show status routeコマンドにて確認できます。

メイン側の経路が復旧した場合は以下のようなログが記録されます。¶ ³2 Jan 2 04:11:29 notice system lanbackupd: target 172.16.0.2 up.µ ´

実際にメイン側のデフォルト経路が復旧し、バックアップ側のデフォルト経路が経路表から削除

されていることを show status routeにて確認できます。

(5)SEILの設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容の保存をします。詳細は、 ó�

[6.3.1設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で静的経路監視の設定は完了です。変更した設定内容はバックアップをとっておくことをお

勧めします。

165

Page 168: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.7. 目的別のルーティングを行う

■ 7.7.2 ポリシーベースのルーティングを行う

SEILでは、ルーティングを行う際、経路を決定するポリシーとして送信先のネットワーク以外にも、

任意のポリシーをフィルタによって作成して柔軟に適用することができます。本節では、この機能を用

いて、以下のような構成のネットワークにおいてポリシーベースのルーティングを行う設定を説明し

ます。

B

10.0.0.254/24

A

10.0.0.2/24

WAN

10.0.0.1/24

LAN

172.16.0.0/24

 設定の流れ

(1)ネットワークを設計するどのような経路を設定し、どのようなポリシーを適用するかを決めます。

166

Page 169: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.7. 目的別のルーティングを行う

(2)送信元アドレスが 172.16.0.0/24となっているパケットに対する経路を設定する

適用したポリシーに従い、フィルタの設定を行います。

(3)デフォルトの経路を設定する適用したポリシーに従い、デフォルト経路の設定を行います。

(4)SEILの設定を確認する

設定が正しくなされているか確認します。

(5)SEILの設定を保存する

すべての設定を保存します。

 設定手順

(1)ネットワークを設計する

次のような経路を設定するものとします。

A. SEIL の LAN0 に到達するパケットに対して、送信元アドレスが 172.16.0.0/24 の範囲にあ

るパケットは、ルータ Aに転送する

B. SEIL の LAN0 に到達するパケットに対して、送信元アドレスが 172.16.0.0/24 の範囲に無

いパケットは、ルータ Bに転送する

(2)送信元アドレスが 172.16.0.0/24となっているパケットに対する経路を設定する

SEILに管理者アカウントでログインし、ポリシーを設定します。以下の設定を行ってください。

設定項目 パラメータ

フィルタ名 routefwd

アクション forward

インタフェース lan0

中継先 10.0.0.2(ルータ A)

方向 in

送信元 IPアドレス 172.16.0.0/24

■記述例¶ ³# filter add routefwd action forward 10.0.0.2 src 172.16.0.0/24

direction in interface lan0µ ´■パラメータ解説

filter add routefwd

フィルタ名として「routefwd」を設定します。

167

Page 170: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.7. 目的別のルーティングを行う

action forward 10.0.0.2

続けて、アクションとして、条件に合致したパケットのアクセスを「10.0.0.2」に中継

するよう設定します。

src 172.16.0.0/24

続けて、対象とするパケットの送信元 IPアドレスを「172.16.0.0/24」に含むものとし

て設定します。

direction in

続けて、方向として、対象が内部から外部へのアクセスであるため「in」を設定します。

interface lan0

続けて、インタフェースとして「lan0」を設定します。

(3)デフォルトの経路を設定する

ポリシーに合致しないパケットは、デフォルトの経路に向けて中継するよう設定します。以下の

設定を行ってください。

設定項目 パラメータ

宛先ネットワーク default

ゲートウェイ 10.0.0.254

■記述例¶ ³# route add default 10.0.0.254µ ´

■パラメータ解説

route add default 10.0.0.254

ポリシーに合致しないパケットのデフォルト中継先として「10.0.0.254」を設定し

ます。

(4)SEILの設定を確認する

ポリシールーティングは、通常の IPルーティングよりも優先度が高いので、デフォルト経路が

存在しても、172.16.0.0/24からのパケットはポリシーに従って 192.168.0.2へ中継されます。

ポリシールーティングで中継されているかどうかの確認は、対向機器にてパケットダンプを行う

か、show status filterにて countの値が増えていることを確認してください。¶ ³page 1 id policy forward 10.0.0.2 in log on lan0 proto any from

172.16.0.0/24 to any count 6µ ´168

Page 171: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.7. 目的別のルーティングを行う

フィルタ設定で logging onを指定した場合には、show logコマンドによりパケット通過の際に

出力されるログを確認することができます。¶ ³info filter lan0 @1:0[policy] f 172.16.0.1 -> 10.0.0.2 PR icmp type 8

code 0 len 20 84 INµ ´(5)SEILの設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容の保存をします。詳細は、 ó�

[6.3.1設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上でポリシーベースのルーティング設定は完了です。変更した設定内容はバックアップをとっ

ておくことをお勧めします。

169

Page 172: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

7.8 VPNを構築する~IPsecの設定~

遠隔地の事業所間をネットワークで結ぶ際に、通常のインターネットによる接続ではなく直接 LAN

型の接続を行いたい場合があります。

CS-SEIL-510/Cは、IPsec機能を利用した VPN(Virtual Private Network:インターネットを利用し

て仮想的に確立する LAN型接続)の構築をサポートしています。

■ 7.8.1 ポリシーベース IPsecトンネル

本節では、IKEを使用した VPNの設定方法について、以下のような構成のネットワークを前提にご

説明します。IPv4、IPv6両方に対応していますが、ここでは IPv4での設定方法についてご説明します

(IPv4と IPv6の設定で異なるのは、アドレスが違う点のみです)。

なお、本節では SEIL Aの設定についてご説明します。SEIL Bの設定については、SEIL Aの設定内容

と異なる設定項目には注記してあります。注記の設定内容に従って設定を行ってください。注記のない

設定項目は SEIL Aの設定内容と異なる点はありませんので、SEIL Aと同様に設定を行ってください。

170

Page 173: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

192.168.2.1

10.0.2.2

192.168.1.1/24

SEIL B

SEIL A

B

192.168.2.0/24

A

192.168.1.0/24

IPsec

PPPoE

※ 本節では説明のため、「10.0.0.0~10.255.255.255」「172.16.0.0~172.16.255.255」までの

アドレスをグローバルアドレスとして表現しています。

 設計

(1)IKEパラメータを決定する

IKEを使用した設定を行う場合、はじめに通信を行う両側で鍵を交換する条件や、鍵の認証方法等

を合わせる必要があります。特に合わせるべき設定項目としては、プロポーザルにおいて対向ホ

ストを認証するときの方式を指定する認証メソッド、認証アルゴリズム(ハッシュアルゴリズム)、

暗号化アルゴリズム、そして鍵交換アルゴリズムで用いるパラメータであるDH(Diffie-Hellman)

Groupがあります。認証メソッドには事前共有鍵がサポートされ、認証アルゴリズムには MD5

と SHA1が、暗号化アルゴリズムには DES、3DES、BLOWFISH、CAST128、AESがサポートさ

れています。なお DH Groupにおいては、Group1(modp768)、Group2(modp1024)、Group5

171

Page 174: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

(modp1536)が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になります

が、計算時間が長くなるという特徴があります。

(2) セキュリティアソシエーションプロポーザルを決定する

ここでは、セキュリティアソシエーションの有効期間を設定するライフタイムの長さ、認証、暗

号化の両アルゴリズムに関してはどのアルゴリズムをどのような優先順位で用いるのか、更に

DH鍵交換アルゴリズムで用いるパラメータである PFS GROUPにはどれを使用するかを決めま

す。なお PFS GROUPには、Group1(modp768)、Group2(modp1024)、Group5(modp1536)

が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が

長くなるという特徴があります。

(3) セキュリティアソシエーションを決定する

IKEを使用した IPsecトンネルを構築する場合に決める必要がある項目は、IPsecのモード、使

用するプロトコル、相手に提示するセキュリティアソシエーションプロポーザルです。ここで

は、モードは tunnel モードを使用し、暗号化プロトコルである ESP を使用するものとします。

また、セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているも

のではなく新たに登録したものを使用するものとします。

(4) セキュリティポリシーを決定する

次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用するかを

決めます。

これをセキュリティポリシーと呼びます。

この例では、192.168.1.0/24と 192.168.2.0/24の間のすべてのトラフィックに対して、

先に決めたセキュリティアソシエーションを使用するものとします。

 設定の流れ

(1)SEIL Aに IKEを設定する

決定した IKEパラメータに従って設定を行います。

(2)SEIL Aにセキュリティアソシエーションプロポーザルを設定する

決定したセキュリティアソシエーションプロポーザルに従って設定を行います。

(3)SEIL Aにセキュリティアソシエーションを設定する

決定したセキュリティアソシエーションに従って設定を行います。

(4)SEIL Aにセキュリティポリシーを設定する

決定したセキュリティアポリシーに従って設定を行います。

(5)SEIL Aの設定を確認する

設定が正しくなされているか確認します。

(6)SEIL Aの設定を保存する

すべての設定を保存します。

172

Page 175: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

 設定手順

(1)SEIL Aに IKEを設定する

決定した IKEパラメータに従って設定を行います。

SEIL A に管理者アカウントでログインし、事前共有鍵を設定します。以下の設定を行ってくだ

さい。

設定項目 パラメータ

識別子 10.0.2.2

鍵文字列 opensesame

■記述例¶ ³# ike preshared-key add 10.0.2.2 opensesame

µ ´■パラメータ解説

ike preshared-key add 10.0.2.2 opensesame

事前共有鍵の識別子として「10.0.2.2」を、鍵文字列として「opensesame」を設定します。

※ 事前共有鍵は通信相手が用意したものを設定することになります。あらかじめ通信を行う相

手と相談し、鍵の設定を行ってください。

※ 今回の設定では、SEIL Aと SEIL Bそれぞれに、お互いが用意した鍵を設定します。

※ SEIL Bの設定を行う場合、設定は以下の通りです。

設定項目 パラメータ

識別子 10.0.1.1

鍵文字列 opensesame

IKEプロポーザルの設定をします。以下の設定を行ってください。

設定項目 パラメータ

IKEプロポーザル名 ikeprop01

認証メソッド preshared-key

暗号化アルゴリズム 3des

認証アルゴリズム sha1

Diffie-Hellmanグループ modp1536

ライフタイム 3600

173

Page 176: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

■記述例¶ ³# ike proposal add ikeprop01 authentication preshared-key encryption 3des hash

sha1 dh-group modp1536 lifetime-of-time 3600

µ ´■パラメータ解説

ike proposal add ikeprop01

IKEプロポーザル名として、「ikeprop01」を設定します。

authentication preshared-key

続けて、認証メソッドとして「preshared-key」を設定します。

encryption 3des hash sha1 dh-group modp1536

続けて、IKEで使用する暗号化アルゴリズムとして「3des」を、

認証アルゴリズムとして「sha1」を設定、Diffie-Hellmanグループとして「modp1536」を

設定します。

lifetime-of-time 3600

続けて、IKE セキュリティアソシエーションの有効時間として「3600」(秒)を設定し

ます。

IKE Peerの設定をします。以下の設定を行ってください。

設定項目 パラメータ

IKE Peer名 seilb

モード main

プロポーザルリスト ikeprop01

リモート IPアドレス 10.0.2.2

自己識別子 address

相手識別子 address

174

Page 177: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

■記述例¶ ³# ike peer add seilb exchange-mode main proposal ikeprop01 address 10.0.2.2

my-identifier address peers-identifier address

µ ´■パラメータ解説

ike peer add seilb

IKE Peer名として、「seilb」を設定します。

exchange-mode main

続けて、フェーズ 1で使用するモードとして「main」を設定します。

proposal ikeprop01

続けて、プロポーザルリストとして「ikeprop01」を設定します。

address 10.0.2.2

続けて、IKEで使用するリモート IPアドレスとして「10.0.2.2」を設定します。

my-identifier address peers-identifier address

続けて、自己識別子、相手識別子ともに「address」を設定します。

※ SEIL Bの設定を行う場合、設定は以下の通りです。

設定項目 パラメータ

IKE Peer名 seila

モード main

プロポーザルリスト ikeprop01

リモート IPアドレス 10.0.1.1

自己識別子 address

相手識別子 address

(2)SEIL Aにセキュリティアソシエーションプロポーザルを設定する

IKEの設定が完了したら、セキュリティアソシエーションプロポーザルの設定を行います。以下

の設定を行ってください。

175

Page 178: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

設定項目 パラメータ

セキュリティアソシエーションプロポーザル名 saprop01

認証アルゴリズム hmac-sha1、hmac-md5

暗号化アルゴリズム 3des、des

有効時間 3600

PFSグループ modp768

■記述例¶ ³# ipsec security-association proposal add saprop01 authentication-algorithm

hmac-sha1,hmac-md5 encryption-algorithm 3des,des lifetime-of-time 3600

pfs-group modp768

µ ´■パラメータ解説

ipsec security-association proposal add saprop01

セキュリティアソシエーションプロポーザル名として「saprop01」を設定します。

authentication-algorithm hmac-sha1,hmac-md5

encryption-algorithm 3des,des

続けて、AHで使用する認証アルゴリズムとして「hmac-sha1」「hmac-md5」を、ESP

で使用する暗号化アルゴリズムとして「3des」「des」を設定します。

lifetime-of-time 3600

続けて、IKE利用時の IPsecセキュリティアソシエーションの有効時間として「3600」

(秒)を設定します。

pfs-group modp768

続けて、PFSグループとして「modp768」を設定します。

(3)SEIL Aにセキュリティアソシエーションを設定する

セキュリティアソシエーションプロポーザルの設定が完了したら、セキュリティアソシエーショ

ンの設定を行います。以下の設定を行ってください。

176

Page 179: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

設定項目 パラメータ

セキュリティアソシエーション名 sa03

IPsecのモード tunnel

始点 IPアドレス 10.0.1.1

終点 IPアドレス 10.0.2.2

セキュリティアソシエーションプロポーザル名 saprop01

AH disable

ESP enable

■記述例¶ ³# ipsec security-association add sa03 tunnel 10.0.1.1 10.0.2.2 ike saprop01

ah disable esp enable

µ ´■パラメータ解説

ipsec security-association add sa03

セキュリティアソシエーション名として「sa03」を設定します。

tunnel 10.0.1.1 10.0.2.2

続けて、IPsecに「tunnel」モードを設定します。さらに、IPsecで認証、暗号化を行

う始点 IPアドレスとして「10.0.1.1」を、終点 IPアドレスとして「10.0.2.2」を設定

します。

ike saprop01

続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」

を設定します。

177

Page 180: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

ah disable esp enable

続けて、AHの使用/不使用は「disable」を、ESPの使用/不使用は「enable」を設定し

ます。

※ SEIL Bの設定を行う場合、設定は以下の通りです。

設定項目 パラメータ

セキュリティアソシエーション名 sa03

IPsecのモード tunnel

始点 IPアドレス 10.0.2.2

終点 IPアドレス 10.0.1.1

セキュリティアソシエーションプロポーザル名 saprop01

AH disable

ESP enable

(4)SEIL Aにセキュリティポリシーを設定する

セキュリティアソシエーションの設定が完了したら、続いてセキュリティポリシーの設定をしま

す。以下の設定を行ってください。

設定項目 パラメータ

セキュリティポリシー名 sp03

セキュリティアソシエーション名 sa03

送信元 IPアドレス/ネットマスク長 192.168.1.0/24

送信先 IPアドレス/ネットマスク長 192.168.2.0/24

プロトコル any

有効/無効 enable

■記述例¶ ³# ipsec security-policy add sp03 security-association sa03 src 192.168.1.0/24

dst 192.168.2.0/24 protocol any enable

µ ´■パラメータ解説

ipsec security-policy add sp03

セキュリティポリシー名として「sp03」を設定します。

security-association sa03

続けて、対象となるセキュリティアソシエーション名として「sa03」を設定します。

178

Page 181: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

src 192.168.1.0/24 dst 192.168.2.0/24

続けて、送信元と送信先の IPアドレスを設定します。「src」は送信元 IPアドレスと

ネットマスク長、「dst」は送信先 IPアドレスとネットマスク長を意味します。送信元

IPアドレス/ネットマスク長として「192.168.1.0/24」を、送信先 IPアドレス/ネット

マスク長として「192.168.2.0/24」を設定します。

protocol any

続けて、プロトコルとして、すべてのパケットを対象とするため「any」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

※ SEIL Bの設定を行う場合、設定は以下の通りです。

設定項目 パラメータ

セキュリティポリシー名 sp03

セキュリティアソシエーション名 sa03

送信元 IPアドレス/ネットマスク長 192.168.2.0/24

送信先 IPアドレス/ネットマスク長 192.168.1.0/24

プロトコル any

有効/無効 enable

(5)SEIL Aの設定を確認する

以上の設定が終了したら、show statusコマンドにより IPsecおよび IKEの動作情報を確認しま

す。詳細はコマンドリファレンスをご覧ください。¶ ³# show status ipsecµ ´¶ ³# show status ike

µ ´(6)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で、SEIL A側の IKEとセキュリティアソシエーションプロポーザル、セキュリティアソシ

エーション、セキュリティポリシーの設定は完了です。

変更した設定はバックアップをとっておくことをお勧めします。

179

Page 182: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

■ 7.8.2 ルーティングベース IPsecトンネル

本節では、IKEを使用したルーティングベース VPNの設定方法について、以下のような構成のネッ

トワークを前提にご説明します。

IPv4、IPv6 両方に対応していますが、ここでは IPv4 での設定方法についてご説明します(IPv4 と

IPv6の設定で異なるのは、アドレスが違う点のみです)。

本機は IPsecトンネルを lan0や lan1と同様のインタフェースとして提供する機能を持っています。

このインタフェースを IPsecインタフェースと呼びます。「 ó� [7.8.1ポリシーベース IPsecトンネル¤ ¡P.170£ ¢]」の説明では、セキュリティアソシエーションを適用するトラフィックを選択するために、セキュリティポリシーを設定する必要がありました。IPsecインタフェースを利用した場合には、セキュ

リティアソシエーションを適用するトラフィックを本機のルーティング機能により選択します。これに

より、より柔軟な VPNの構築・運用が可能となります。

本機のルーティング機能の詳細については「 ó� [6.2.3ルーティング¤ ¡P.46£ ¢]」をご覧ください。

180

Page 183: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

10.0.2.2

192.168.1.1/24

10.0.1.1

SEIL B

SEIL A

B

192.168.2.0/24

A

192.168.1.0/24

SEIL C

C

192.168.3.0/24

10.0.3.1

192.168.3.1

192.168.2.1

IPsec

※ ルーティングベース IPsecトンネルはポリシーベース IPsecトンネルに比べて

多くのリソースを必要とするため、パフォーマンスが低下する可能性があります。

なお、本節では SEIL Aの設定についてご説明します。SEIL B,SEIL Cの設定については、SEIL Aの

設定内容と異なる設定項目には注記してあります。注記の設定内容に従って設定を行ってください。注

記のない設定項目は SEIL Aの設定内容と異なる点はありませんので、SEIL Aと同様に設定を行ってく

ださい。

※ 本節では説明のため、「10.0.0.0~10.255.255.255」までのアドレスをグローバルアドレスとして

表現しています。

181

Page 184: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

 設計

(1) 使用する IPsecインタフェースを決定する

ルーティングベース IPsecトンネルを使用する場合、はじめに IPsecトンネルを提供する

IPsecインタフェースを決定します。

本機は ipsec0から ipsec63までの 64個の IPsecインタフェースを持っています。

各インタフェースに機能上の違いはありません。

IPsecインタフェースを利用するためには、IPsecトンネルの両端のアドレスと

IPsecインタフェースに割り当てるアドレスを設定する必要があります。

ここでは、SEIL Aと SEIL B、SEIL Aと SEIL C、SEIL Bと SEIL Cの間でそれぞれ IPsecトン

ネルを構築するものとします。

この例では、SEIL A、SEIL B、SEIL Cそれぞれで以下の IPsecインタフェースを使用するもの

とします。

SEIL Aで使用する IPsecインタフェース

接続相手 IPsecインタフェース名

SEIL B ipsec0

SEIL C ipsec1

SEIL Bで使用する IPsecインタフェース

接続相手 IPsecインタフェース名

SEIL A ipsec0

SEIL C ipsec1

SEIL Cで使用する IPsecインタフェース

接続相手 IPsecインタフェース名

SEIL A ipsec0

SEIL B ipsec1

それぞれの IPsec インタフェースでは、以下のアドレスで IPsec トンネルを構築するものとし

ます。

SEIL Aの IPsecトンネルの両端アドレス

IPsecインタフェース名 ローカル側 リモート側

ipsec0 10.0.1.1 10.0.2.2

ipsec1 10.0.1.1 10.0.3.3

SEIL Bの IPsecトンネルの両端アドレス

IPsecインタフェース名 ローカル側 リモート側

ipsec0 10.0.2.2 10.0.1.1

ipsec1 10.0.2.2 10.0.3.3

182

Page 185: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

SEIL Cの IPsecトンネルの両端アドレス

IPsecインタフェース名 ローカル側 リモート側

ipsec0 10.0.3.3 10.0.1.1

ipsec1 10.0.3.3 10.0.2.2

各 IPsecインタフェースでは、以下のようにアドレスを割り当てるものとします。

SEIL Aの IPsecインタフェースのアドレス

IPsecインタフェース名 ローカル側 リモート側

ipsec0 192.168.10.1 192.168.10.2

ipsec1 192.168.20.1 192.168.20.3

SEIL Bの IPsecインタフェースのアドレス

IPsecインタフェース名 ローカル側 リモート側

ipsec0 192.168.10.2 192.168.10.1

ipsec1 192.168.30.2 192.168.30.3

SEIL Cの IPsecインタフェースのアドレス

IPsecインタフェース名 ローカル側 リモート側

ipsec0 192.168.20.3 192.168.20.1

ipsec1 192.168.30.3 192.168.30.2

(2)IKEパラメータを決定する

IKEを使用した設定を行う場合、はじめに通信を行う両側で鍵を交換する条件や、鍵の認証方法

等を合わせる必要があります。

特に合わせるべき設定項目としては、ルーティングベース IPsec トンネルの利用の指定、プロ

ポーザルにおいて対向ホストを認証するときの方式を指定する認証メソッド、認証アルゴリズム

(ハッシュアルゴリズム)、暗号化アルゴリズム、そして Diffie-Hellman (DH)鍵交換アルゴリズム

で用いるパラメータである DH Groupがあります。

認証メソッドには事前共有鍵がサポートされ、認証アルゴリズムには MD5と SHA1が、暗号化

アルゴリズムには DES、3DES、BLOWFISH、CAST128、AESがサポートされています。

なお DH Groupにおいては、Group1(modp768)、Group2(modp1024)、Group5(modp1536)

が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が

長くなるという特徴があります。

(3) セキュリティアソシエーションプロポーザルを決定する

ここでは、セキュリティアソシエーションの有効期間を設定するライフタイムの長さ、認証、暗

号化の両アルゴリズムに関してはどのアルゴリズムをどのような優先順位で用いるのか、更に

DH 鍵交換アルゴリズムで用いるパラメータである PFS GROUP にはどれを使用するかを決め

ます。

なお PFS GROUPには、Group1(modp768)、Group2(modp1024)、Group5(modp1536)が

用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が長

くなるという特徴があります。

183

Page 186: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

(4) セキュリティアソシエーションを決定する

ルーティングベース IPsecトンネルを使用する場合に決める必要がある項目は、使用する IPsec

インタフェース、使用するプロトコルと相手に提示するセキュリティアソシエーションプロポー

ザルです。ここでは、IPsecインタフェースは ipsec0および ipsec1を使用し、暗号化プロトコ

ルである ESPを使用するものとします。

また、セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているも

のではなく新たに登録したものを使用するものとします。

(5) ルーティング方式を決定する

次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用するかを

決めます。

この例では、SEIL Aと SEIL B、SEIL Aと SEIL C、SEIL Bと SEIL Cとの間でそれぞれ IPsec

トンネルを構築し、RIPによりプライベートネットワークの経路情報を交換するものとします。

これにより、何らかの理由で IPsecトンネルのどれか一つが使用できなくなった場合でも、RIP

により自動的に迂回経路が選択され、プライベートネットワーク間の通信が遮断されることがな

くなります。

最適なルーティング方式はネットワーク構成により大きく異なります。詳しくは、「 ó� [6.2.3

ルーティング¤ ¡P.46£ ¢]」をご覧ください。

 設定の流れ

(1)SEIL Aの IPsecインタフェースを設定する

決定した IPsecインタフェースを使用するように設定を行います。

(2)SEIL Aに IKEを設定する

決定した IKEパラメータに従って設定を行います。

(3)SEIL Aにセキュリティアソシエーションプロポーザルを設定する

決定したセキュリティアソシエーションプロポーザルに従って設定を行います。

(4)SEIL Aにセキュリティアソシエーションを設定する

決定したセキュリティアソシエーションに従って設定を行います。

(5)SEIL Aにルーティングを設定する

決定したルーティング方式に従って設定を行います。

(6)SEIL Aの設定を確認する

設定が正しくなされているか確認します。

(7)SEIL Aの設定を保存する

すべての設定を保存します。

184

Page 187: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

 設定手順

(1)SEIL Aの IPsecインタフェースを設定する

SEIL Aに管理者アカウントでログインし、SEIL Bとの間に構築する IPsecトンネルの両端のア

ドレスを設定します。以下の設定を行ってください。

設定項目 パラメータ

IPsecインタフェース名 ipsec0

トンネルの始点アドレス 10.0.1.1

トンネルの終点アドレス 10.0.2.2

■記述例¶ ³# interface ipsec0 tunnel 10.0.1.1 10.0.2.2

µ ´■パラメータ解説

interface ipsec0 tunnel 10.0.1.1 10.0.2.2

ipsec0インタフェースを利用して、アドレス「10.0.1.1」とアドレス「10.0.2.2」の間で

IPsecトンネルを構築します。

SEIL Cとの間に構築する IPsecトンネルの両端のアドレスを設定します。以下の設定を行って

ください。

設定項目 パラメータ

IPsecインタフェース名 ipsec1

トンネルの始点アドレス 10.0.1.1

トンネルの終点アドレス 10.0.3.3

■記述例¶ ³# interface ipsec1 tunnel 10.0.1.1 10.0.3.3

µ ´■パラメータ解説

interface ipsec1 tunnel 10.0.1.1 10.0.3.3

185

Page 188: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

ipsec1インタフェースを利用して、アドレス「10.0.1.1」とアドレス「10.0.3.3」の間で

IPsecトンネルを構築します。

ipsec0インタフェースのアドレスを設定します。以下の設定を行ってください。

設定項目 パラメータ

IPsecインタフェース名 ipsec0

ローカルアドレス 192.168.10.1/30

リモートアドレス 192.168.10.2

■記述例¶ ³# interface ipsec0 address 192.168.10.1/30 remote 192.168.10.2

µ ´■パラメータ解説

interface ipsec0 address 192.168.10.1/30

ipsec0インタフェースのローカルアドレス(SEIL Aのアドレス)を「192.168.10.1」に

設定します。同時に、ネットマスク長として「30」を割り当てます。

remote 192.168.10.2

ipsec0インタフェースのリモートアドレス(SEIL Bのアドレス)を「192.168.10.2」

に設定します。リモートアドレスにはネットマスク長の指定は必要ありません。

ipsec1インタフェースのアドレスを設定します。以下の設定を行ってください。

設定項目 パラメータ

IPsecインタフェース名 ipsec1

ローカルアドレス 192.168.20.1/30

リモートアドレス 192.168.20.3

■記述例¶ ³# interface ipsec1 address 192.168.20.1/30 remote 192.168.20.3

µ ´■パラメータ解説

interface ipsec1 address 192.168.20.1/30

186

Page 189: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

ipsec1インタフェースのローカルアドレス(SEIL Aのアドレス)を「192.168.20.1」に

設定します。

同時に、ネットマスク長として「30」を割り当てます。

remote 192.168.20.3

ipsec1インタフェースのリモートアドレス(SEIL Cのアドレス)を「192.168.20.3」に

設定します。

リモートアドレスにはネットマスク長の指定は必要ありません。

※ SEIL Bの設定を行う場合、設定は以下の通りです。

設定項目 パラメータ

IPsecインタフェース名 ipsec0

トンネルの始点アドレス 10.0.2.2

トンネルの終点アドレス 10.0.1.1

設定項目 パラメータ

IPsecインタフェース名 ipsec1

トンネルの始点アドレス 10.0.2.2

トンネルの終点アドレス 10.0.3.3

設定項目 パラメータ

IPsecインタフェース名 ipsec0

ローカルアドレス 192.168.10.2/30

リモートアドレス 192.168.10.1

設定項目 パラメータ

IPsecインタフェース名 ipsec1

ローカルアドレス 192.168.30.2/30

リモートアドレス 192.168.30.3

※ SEIL Cの設定を行う場合、設定は以下の通りです。

設定項目 パラメータ

IPsecインタフェース名 ipsec0

トンネルの始点アドレス 10.0.3.3

トンネルの終点アドレス 10.0.1.1

187

Page 190: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

設定項目 パラメータ

IPsecインタフェース名 ipsec1

トンネルの始点アドレス 10.0.3.3

トンネルの終点アドレス 10.0.2.2

設定項目 パラメータ

IPsecインタフェース名 ipsec0

ローカルアドレス 192.168.20.3/30

リモートアドレス 192.168.20.1

設定項目 パラメータ

IPsecインタフェース名 ipsec1

ローカルアドレス 192.168.30.3/30

リモートアドレス 192.168.30.2

(2)SEIL Aに IKEを設定する

決定した IKEパラメータに従って設定を行います。IKEパラメータは SEIL B、SEIL Cそれぞれ

について必要です。

SEIL Bと通信するための設定を行います。以下の設定を行ってください。

設定項目 パラメータ

識別子 10.0.2.2

鍵文字列 opensesame-b

■記述例¶ ³# ike preshared-key add 10.0.2.2 opensesame-b

µ ´■パラメータ解説

ike preshared-key add 10.0.2.2 opensesame-b

事前共有鍵の識別子として「10.0.2.2」を、鍵文字列として「opensesame-b」を設定し

ます。

SEIL Cと通信するための設定を行います。以下の設定を行ってください。

188

Page 191: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

設定項目 パラメータ

識別子 10.0.3.3

鍵文字列 opensesame-c

■記述例¶ ³# ike preshared-key add 10.0.3.3 opensesame-c

µ ´■パラメータ解説

ike preshared-key add 10.0.3.3 opensesame-c

事前共有鍵の識別子として「10.0.3.3」を、鍵文字列として「opensesame-c」を設定し

ます。

※ 事前共有鍵は通信相手が用意したものを設定することになります。あらかじめ通信を行う相

手と相談し、鍵の設定を行ってください。

※ 今回の設定では、SEIL Aと SEIL Bそれぞれに、お互いが用意した鍵を設定します。

※ ここでは、簡単のため事前共有鍵にごく簡単な文字列を用いていますが、セキュリティ上、

事前共有鍵は他者に推測し難い文字列を利用してください。また、SEIL Bと SEIL Cとで、

全く違う文字列を事前共有鍵として採用することをお勧めします。

※ SEIL Bの設定を行う場合、設定は以下の通りです。

設定項目 パラメータ

識別子 10.0.1.1

鍵文字列 opensesame-b

設定項目 パラメータ

識別子 10.0.3.3

鍵文字列 opensesame-c

※ SEIL Cの設定を行う場合、設定は以下の通りです。

設定項目 パラメータ

識別子 10.0.1.1

鍵文字列 opensesame-c

設定項目 パラメータ

識別子 10.0.2.2

鍵文字列 opensesame-b

189

Page 192: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

IKEプロポーザルの設定をします。ここでは、SEIL B、SEIL Cともに同じ IKEプロポーザルを

利用するので、IKEプロポーザルは一つだけ設定します。以下の設定を行ってください。

設定項目 パラメータ

IKEプロポーザル名 ikeprop01

認証メソッド preshared-key

暗号化アルゴリズム 3des

認証アルゴリズム sha1

Diffie-Hellmanグループ modp1536

ライフタイム 3600

■記述例¶ ³# ike proposal add ikeprop01 authentication preshared-key encryption 3des

hash sha1 dh-group modp1536 lifetime-of-time 3600

µ ´■パラメータ解説

ike proposal add ikeprop01

IKEプロポーザル名として、「ikeprop01」を設定します。

authentication preshared-key

続けて、認証メソッドとして「preshared-key」を設定します。

encryption 3des hash sha1 dh-group modp1536

続けて、IKEで使用する暗号化アルゴリズムとして「3des」を、認証アルゴリズムと

して「sha1」を設定、Diffie-Hellmanグループとして「modp1536」を設定します。

lifetime-of-time 3600

続けて、IKEセキュリティアソシエーションの有効時間として「3600」(秒)を設定し

ます。

IKE Peerの設定をします。SEIL B, SEIL Cそれぞれに対する設定が必要です。

SEIL Bに対する IKE Peerの設定を行います。以下の設定を行ってください。

190

Page 193: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

設定項目 パラメータ

IKE Peer名 seilb

モード main

プロポーザルリスト ikeprop01

リモート IPアドレス 10.0.2.2

自己識別子 address

相手識別子 address

ルーティングベース IPsecトンネル 有効

■記述例¶ ³# ike peer add seilb exchange-mode main proposal ikeprop01 address 10.0.2.2

my-identifier address peers-identifier address tunnel-interface enable

µ ´■パラメータ解説

ike peer add seilb

IKE Peer名として、「seilb」を設定します。

exchange-mode main

続けて、フェーズ 1で使用するモードとして「main」を設定します。

proposal ikeprop01

続けて、プロポーザルリストとして「ikeprop01」を設定します。

address 10.0.2.2

続けて、IKEで使用するリモート IPアドレスとして「10.0.2.2」を設定します。

my-identifier address peers-identifier address

続けて、自己識別子、相手識別子ともに「address」を設定します。

tunnel-interface enable

続けて、ルーティングベース IPsecトンネルを有効にします。

SEIL Cに対する IKE Peerの設定を行います。以下の設定を行ってください。

191

Page 194: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

設定項目 パラメータ

IKE Peer名 seilc

モード main

プロポーザルリスト ikeprop01

リモート IPアドレス 10.0.3.3

自己識別子 address

相手識別子 address

ルーティングベース IPsecトンネル 有効

■記述例¶ ³# ike peer add seilc exchange-mode main proposal ikeprop01 address 10.0.3.3

my-identifier address peers-identifier address tunnel-interface enable

µ ´■パラメータ解説

ike peer add seilc

IKE Peer名として、「seilc」を設定します。

exchange-mode main

続けて、フェーズ 1で使用するモードとして「main」を設定します。

proposal ikeprop01

続けて、プロポーザルリストとして「ikeprop01」を設定します。

address 10.0.3.3

続けて、IKEで使用するリモート IPアドレスとして「10.0.3.3」を設定します。

my-identifier address peers-identifier address

続けて、自己識別子、相手識別子ともに「address」を設定します。

192

Page 195: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

tunnel-interface enable

続けて、ルーティングベース IPsecトンネルを有効にします。

※ SEIL Bの設定を行う場合、設定は以下の通りです。

設定項目 パラメータ

IKE Peer名 seila

モード main

プロポーザルリスト ikeprop01

リモート IPアドレス 10.0.1.1

自己識別子 address

相手識別子 address

ルーティングベース IPsecトンネル 有効

設定項目 パラメータ

IKE Peer名 seilc

モード main

プロポーザルリスト ikeprop01

リモート IPアドレス 10.0.3.3

自己識別子 address

相手識別子 address

ルーティングベース IPsecトンネル 有効

※ SEIL Cの設定を行う場合、設定は以下の通りです。

設定項目 パラメータ

IKE Peer名 seila

モード main

プロポーザルリスト ikeprop01

リモート IPアドレス 10.0.1.1

自己識別子 address

相手識別子 address

ルーティングベース IPsecトンネル 有効

193

Page 196: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

設定項目 パラメータ

IKE Peer名 seilb

モード main

プロポーザルリスト ikeprop01

リモート IPアドレス 10.0.2.2

自己識別子 address

相手識別子 address

ルーティングベース IPsecトンネル 有効

(3)SEIL Aにセキュリティアソシエーションプロポーザルを設定する

IKEの設定が完了したら、セキュリティアソシエーションプロポーザルの設定を行います。ここ

では、SEIL B、SEIL Cともに同じセキュリティアソシエーションプロポーザルを利用するので、

セキュリティアソシエーションプロポーザルは一つだけ設定します。以下の設定を行ってくだ

さい。

設定項目 パラメータ

セキュリティアソシエーションプロポーザル名 saprop01

認証アルゴリズム hmac-sha1、hmac-md5

暗号化アルゴリズム 3des、des

有効時間 3600

PFSグループ modp768

■記述例¶ ³# ipsec security-association proposal add saprop01

authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des

lifetime-of-time 3600 pfs-group modp768

µ ´■パラメータ解説

ipsec security-association proposal add saprop01

セキュリティアソシエーションプロポーザル名として「saprop01」を設定します。

authentication-algorithm hmac-sha1,hmac-md5

encryption-algorithm 3des,des

続けて、AHで使用する認証アルゴリズムとして「hmac-sha1」「hmac-md5」を、ESP

で使用する暗号化アルゴリズムとして「3des」「des」を設定します。

194

Page 197: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

lifetime-of-time 3600

続けて、IKE利用時の IPsecセキュリティアソシエーションの有効時間として「3600」

(秒)を設定します。

pfs-group modp768

続けて、PFSグループとして「modp768」を設定します。

(4)SEIL Aにセキュリティアソシエーションを設定する

セキュリティアソシエーションプロポーザルの設定が完了したら、セキュリティアソシエーショ

ンの設定を行います。セキュリティアソシエーションは SEIL B、SEIL Cそれぞれについて必要

です。

SEIL B に対するセキュリティアソシエーションの設定を行います。以下の設定を行ってくだ

さい。

設定項目 パラメータ

セキュリティアソシエーション名 sa03

IPsecのモード tunnel-interface

IPsecインタフェース名 ipsec0

セキュリティアソシエーションプロポーザル名 saprop01

AH disable

ESP enable

■記述例¶ ³# ipsec security-association add sa03 tunnel-interface ipsec0 ike saprop01

ah disable esp enable

µ ´■パラメータ解説

ipsec security-association add sa03

セキュリティアソシエーション名として「sa03」を設定します。

tunnel-interface ipsec0

続けて、IPsecに「tunnel-interface」モードを設定します。これは IPsecインタフェー

スを利用して、IPsecトンネルを構築することを意味します。さらに、利用する IPsec

インタフェースとして「ipsec0」を設定します。

195

Page 198: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

ike saprop01

続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」

を設定します。

ah disable esp enable

続けて、AHの使用/不使用は「disable」を、ESPの使用/不使用は「enable」を設定し

ます。

SEIL C に対するセキュリティアソシエーションの設定を行います。以下の設定を行ってくだ

さい。

設定項目 パラメータ

セキュリティアソシエーション名 sa04

IPsecのモード tunnel-interface

IPsecインタフェース名 ipsec1

セキュリティアソシエーションプロポーザル名 saprop01

AH disable

ESP enable

■記述例¶ ³# ipsec security-association add sa04 tunnel-interface ipsec1 ike saprop01

ah disable esp enable

µ ´■パラメータ解説

ipsec security-association add sa04

セキュリティアソシエーション名として「sa04」を設定します。

tunnel-interface ipsec1

続けて、IPsecに「tunnel-interface」モードを設定します。これは IPsecインタフェー

スを利用して、IPsecトンネルを構築することを意味します。さらに、利用する IPsec

インタフェースとして「ipsec1」を設定します。

ike saprop01

続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」

を設定します。

196

Page 199: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

ah disable esp enable

続けて、AHの使用/不使用は「disable」を、ESPの使用/不使用は「enable」を設定し

ます。

※ SEIL Bの設定を行う場合、設定は以下の通りです。

設定項目 パラメータ

セキュリティアソシエーション名 sa03

IPsecのモード tunnel-interface

IPsecインタフェース名 ipsec0

セキュリティアソシエーションプロポーザル名 saprop01

AH disable

ESP enable

設定項目 パラメータ

セキュリティアソシエーション名 sa05

IPsecのモード tunnel-interface

IPsecインタフェース名 ipsec1

セキュリティアソシエーションプロポーザル名 saprop01

AH disable

ESP enable

※ SEIL Cの設定を行う場合、設定は以下の通りです。

設定項目 パラメータ

セキュリティアソシエーション名 sa04

IPsecのモード tunnel-interface

IPsecインタフェース名 ipsec0

セキュリティアソシエーションプロポーザル名 saprop01

AH disable

ESP enable

設定項目 パラメータ

セキュリティアソシエーション名 sa05

IPsecのモード tunnel-interface

IPsecインタフェース名 ipsec1

セキュリティアソシエーションプロポーザル名 saprop01

AH disable

ESP enable

197

Page 200: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

(5)SEIL Aにルーティングの設定をする

セキュリティアソシエーションの設定が完了したら、続いてルーティングの設定をします。ここ

では、RIPによる動的ルーティングを行います。

RIPによる動的ルーティングを有効にします。以下の設定を行ってください。

設定項目 パラメータ

ルーティングプロトコル rip

有効/無効 enable

■記述例¶ ³# route dynamic rip enable

µ ´■パラメータ解説

route dynamic rip enable

RIPによる動的ルーティングを有効にします。

RIPによる動的ルーティングの対象に ipsec0インタフェースを加えます。以下の設定を行って

ください。

設定項目 パラメータ

ルーティングプロトコル rip

対象とするインタフェース名 ipsec0

有効/無効 enable

■記述例¶ ³# route dynamic rip interface ipsec0 enable

µ ´■パラメータ解説

route dynamic rip

RIPによる動的ルーティングの設定を行います。

198

Page 201: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

interface ipsec0 enable

ipsec0インタフェースを動的ルーティングの対象に加えます。

RIPによる動的ルーティングの対象に ipsec1インタフェースを加えます。以下の設定を行って

ください。

設定項目 パラメータ

ルーティングプロトコル rip

対象とするインタフェース名 ipsec1

有効/無効 enable

■記述例¶ ³# route dynamic rip interface ipsec1 enable

µ ´■パラメータ解説

route dynamic rip

RIPによる動的ルーティングの設定を行います。

interface ipsec1 enable

ipsec1インタフェースを動的ルーティングの対象に加えます。

(6)SEIL Aの設定を確認する

以上の設定が終了したら、show statusコマンドにより IPsecおよび IKEの動作情報を確認しま

す。詳細はコマンドリファレンスをご覧ください。¶ ³# show status ipsec

µ ´¶ ³# show status ike

µ ´(7)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

199

Page 202: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

以上で、SEIL A側の IKEとセキュリティアソシエーションプロポーザル、セキュリティアソシ

エーション、ルーティングの設定は完了です。変更した設定はバックアップをとっておくことを

お勧めします。

200

Page 203: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

■ 7.8.3 自アドレスが動的 IPアドレスの場合

本節では、動的 IPアドレスを使用した VPNの設定方法について、以下のような構成のネットワーク

を前提にご説明します。本機はインタフェースに付与されているアドレスを取得して、自動的に IPsec

トンネルを構築する機能を持っています。これにより、動的 IPアドレスを使用している場合であって

も、アドレスの変更に追従して IPsecトンネルを構築しなおすことが可能です。

IPv4、IPv6 両方に対応していますが、ここでは IPv4 での設定方法についてご説明します(IPv4 と

IPv6の設定で異なるのは、アドレスが違う点のみです)。

なお、本節では SEIL Aの設定についてご説明します。SEIL Bの設定については、「 ó� [7.8.4動的

IP アドレスからの接続を受け付ける場合¤ ¡P.210£ ¢]」をご覧ください。

192.168.2.1

10.0.2.2

192.168.1.1/24

SEIL B

SEIL A

B

192.168.2.0/24

A

192.168.1.0/24

IPsec

PPPoE

201

Page 204: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

 設計

(1)IKEパラメータを決定する

IKEを使用した設定を行う場合、はじめに通信を行う両側で鍵を交換する条件や、鍵の認証方法

等を合わせる必要があります。

特に合わせるべき設定項目としては、プロポーザルの交換モード、対向ホストの識別子、プロ

ポーザルにおいて対向ホストを認証するときの方式を指定する認証メソッド、認証アルゴリズム

(ハッシュアルゴリズム)、暗号化アルゴリズム、そして鍵交換アルゴリズムで用いるパラメータ

である DH Groupがあります。

交換モードは、動的 IPアドレスを利用する場合は aggressiveモードを選択する必要があります。

これは mainモードは IPアドレスで接続相手を識別するため、動的 IPアドレスを利用した場合

には適切に接続相手を識別できなくなるためです。

同様の理由から、対向ホストの識別子は FQDNまたは USER-FQDNを選択する必要があります。

認証メソッドには事前共有鍵がサポートされ、認証アルゴリズムには MD5と SHA1が、暗号化

アルゴリズムには DES、3DES、BLOWFISH、CAST128、AESがサポートされています。

なお DH Groupにおいては、Group1(modp768)、Group2(modp1024)、Group5(modp1536)

が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が

長くなるという特徴があります。

(2) セキュリティアソシエーションプロポーザルを決定する

ここでは、セキュリティアソシエーションの有効期間を設定するライフタイムの長さ、認証、暗

号化の両アルゴリズムに関してはどのアルゴリズムをどのような優先順位で用いるのか、更に

DH 鍵交換アルゴリズムで用いるパラメータである PFS GROUP にはどれを使用するかを決め

ます。

なお PFS GROUPには、Group1(modp768)、Group2(modp1024)、Group5(modp1536)が

用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が長

くなるという特徴があります。

(3) セキュリティアソシエーションを決定する

動的 IPアドレスを利用して IPsecトンネルを構築するためには、どのインタフェースのアドレ

スを利用して IPsecトンネルを構築するかを決める必要があります。

さらに、IKEを使用するために、使用するプロトコルと相手に提示するセキュリティアソシエー

ションプロポーザルを決める必要があります。

ここでは、pppoe0インタフェースのアドレスを利用して IPsecトンネルを構築するものとしま

す。モードは tunnelモードを使用し、暗号化プロトコルである ESPを使用するものとします。

セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているものでは

なく新たに登録したものを使用するものとします。

(4) セキュリティポリシーを決定する

次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用す

るかを決めます。これをセキュリティポリシーと呼びます。この例では、192.168.1.0/24 と

192.168.2.0/24の間のすべてのトラフィックに対して、先に決めたセキュリティアソシエーショ

202

Page 205: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

ンを使用するものとします。

 設定の流れ

(1)SEIL Aに IKEを設定する

決定した IKEパラメータに従って設定を行います。

(2)SEIL Aにセキュリティアソシエーションプロポーザルを設定する

決定したセキュリティアソシエーションプロポーザルに従って設定を行います。

(3)SEIL Aにセキュリティアソシエーションを設定する

決定したセキュリティアソシエーションに従って設定を行います。

(4)SEIL Aにセキュリティポリシーを設定する

決定したセキュリティアポリシーに従って設定を行います。

(5)SEIL Aの設定を確認する

設定が正しくなされているか確認します。

(6)SEIL Aの設定を保存する

すべての設定を保存します。

 設定手順

(1)SEIL Aに IKEを設定する

決定した IKEパラメータに従って設定を行います。

SEIL A に管理者アカウントでログインし、事前共有鍵を設定します。以下の設定を行ってくだ

さい。

設定項目 パラメータ

識別子 seila.seil.jp

鍵文字列 opensesame

■記述例¶ ³# ike preshared-key add seila.seil.jp opensesame

µ ´■パラメータ解説

ike preshared-key add seila.seil.jp opensesame

203

Page 206: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

事前共有鍵の識別子として「seila.seil.jp」を、鍵文字列として「opensesame」を設定し

ます。

※ 事前共有鍵は通信相手が用意したものを設定することになります。あらかじめ通信を行う相

手と相談し、鍵の設定を行ってください。

※ 今回の設定では、SEIL Aと SEIL Bそれぞれに、お互いが用意した鍵を設定します。

IKEプロポーザルの設定をします。以下の設定を行ってください。

設定項目 パラメータ

IKEプロポーザル名 ikeprop01

認証メソッド preshared-key

暗号化アルゴリズム 3des

認証アルゴリズム sha1

Diffie-Hellmanグループ modp1536

ライフタイム 3600

■記述例¶ ³# ike proposal add ikeprop01 authentication preshared-key encryption 3des

hash sha1 dh-group modp1536 lifetime-of-time 3600

µ ´■パラメータ解説

ike proposal add ikeprop01

IKEプロポーザル名として、「ikeprop01」を設定します。

authentication preshared-key

続けて、認証メソッドとして「preshared-key」を設定します。

encryption 3des hash sha1 dh-group modp1536

続けて、IKEで使用する暗号化アルゴリズムとして「3des」を、認証アルゴリズムと

して「sha1」を設定、Diffie-Hellmanグループとして「modp1536」を設定します。

lifetime-of-time 3600

続けて、IKEセキュリティアソシエーションの有効時間として「3600」(秒)を設定し

ます。

IKE Peerの設定をします。以下の設定を行ってください。

204

Page 207: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

設定項目 パラメータ

IKE Peer名 seilb

モード aggressive

プロポーザルリスト ikeprop01

リモート IPアドレス 10.0.2.2

自己識別子 fqdn seila.seil.jp

■記述例¶ ³# ike peer add seilb exchange-mode aggressive proposal ikeprop01

address 10.0.2.2 my-identifier fqdn seila.seil.jp

µ ´■パラメータ解説

ike peer add seilb

IKE Peer名として、「seilb」を設定します。

exchange-mode aggressive

続けて、フェーズ 1で使用するモードとして「aggressive」を設定します。

proposal ikeprop01

続けて、プロポーザルリストとして「ikeprop01」を設定します。

address 10.0.2.2

続けて、IKEで使用するリモート IPアドレスとして「10.0.2.2」を設定します。

my-identifier fqdn seila.seil.jp

続けて、自己識別子の種別としてに「fqdn」を設定します。

さらに、自己識別子として「seila.seil.jp」を設定します。

※ 交換モードを aggressiveにした場合、動的 IPアドレスであっても IPsecトンネルの構築が

可能になりますが、

aggressiveモードではセキュリティは低下します。この設定を行う場合、事前共有鍵の管理

には特に気をつけてください。

205

Page 208: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

固定 IPアドレスを利用できる場合は、交換モードは mainモードを選択することを強くお勧

めします。

(2)SEIL Aにセキュリティアソシエーションプロポーザルを設定する

IKEの設定が完了したら、セキュリティアソシエーションプロポーザルの設定を行います。以下

の設定を行ってください。

設定項目 パラメータ

セキュリティアソシエーションプロポーザル名 saprop01

認証アルゴリズム hmac-sha1、hmac-md5

暗号化アルゴリズム 3des、des

有効時間 3600

PFSグループ modp768

■記述例¶ ³# ipsec security-association proposal add saprop01

authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des

lifetime-of-time 3600 pfs-group modp768

µ ´■パラメータ解説

ipsec security-association proposal add saprop01

セキュリティアソシエーションプロポーザル名として「saprop01」を設定します。

authentication-algorithm hmac-sha1,hmac-md5

encryption-algorithm 3des,des

続けて、AHで使用する認証アルゴリズムとして「hmac-sha1」「hmac-md5」を、ESP

で使用する暗号化アルゴリズムとして「3des」「des」を設定します。

lifetime-of-time 3600

続けて、IKE利用時の IPsecセキュリティアソシエーションの有効時間として「3600」

(秒)を設定します。

pfs-group modp768

続けて、PFSグループとして「modp768」を設定します。

(3)SEIL Aにセキュリティアソシエーションを設定する

206

Page 209: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

セキュリティアソシエーションプロポーザルの設定が完了したら、セキュリティアソシエーショ

ンの設定を行います。以下の設定を行ってください。

設定項目 パラメータ

セキュリティアソシエーション名 sa03

IPsecのモード tunnel

始点インタフェース pppoe0

終点 IPアドレス 10.0.2.2

セキュリティアソシエーションプロポーザル名 saprop01

AH disable

ESP enable

■記述例¶ ³# ipsec security-association add sa03 tunnel pppoe0 10.0.2.2 ike saprop01

ah disable esp enable

µ ´■パラメータ解説

ipsec security-association add sa03

セキュリティアソシエーション名として「sa03」を設定します。

tunnel pppoe0 10.0.2.2

続けて、IPsecに「tunnel」モードを設定します。さらに、IPsecで認証、暗号化を行

う始点 IPアドレスとして「pppoe0」インタフェースに付与されているアドレス、終

点 IPアドレスとして「10.0.2.2」を設定します。

ike saprop01

続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」

を設定します。

ah disable esp enable

続けて、AHの使用/不使用は「disable」を、ESPの使用/不使用は「enable」を設定し

ます。

(4)SEIL Aにセキュリティポリシーを設定する

セキュリティアソシエーションの設定が完了したら、続いてセキュリティポリシーの設定をしま

す。以下の設定を行ってください。

207

Page 210: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

設定項目 パラメータ

セキュリティポリシー名 sp03

セキュリティアソシエーション名 sa03

送信元 IPアドレス/ネットマスク長 192.168.1.0/24

送信先 IPアドレス/ネットマスク長 192.168.2.0/24

プロトコル any

有効/無効 enable

■記述例¶ ³# ipsec security-policy add sp03 security-association sa03 src 192.168.1.0/24

dst 192.168.2.0/24 protocol any enable

µ ´■パラメータ解説

ipsec security-policy add sp03

セキュリティポリシー名として「sp03」を設定します。

security-association sa03

続けて、対象となるセキュリティアソシエーション名として「sa03」を設定します。

src 192.168.1.0/24 dst 192.168.2.0/24

続けて、送信元と送信先の IPアドレスを設定します。「src」は送信元 IPアドレスとネッ

トマスク長、

「dst」は送信先 IPアドレスとネットマスク長を意味します。

送信元 IPアドレス/ネットマスク長として「192.168.1.0/24」を、送信先 IPアドレス/ネッ

トマスク長として

「192.168.2.0/24」を設定します。

protocol any

続けて、プロトコルとして、すべてのパケットを対象とするため「any」を設定します。

enable

208

Page 211: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

続けて、設定を有効にするため「enable」を設定します。

※ この設定を行っても、pppoe0インタフェースにアドレスが付与されていない場合は、IPsec

トンネルは構築されません。

(5)SEIL Aの設定を確認する

以上の設定が終了したら、show statusコマンドにより IPsecおよび IKEの動作情報を確認しま

す。セキュリティアソシエーションに pppoe0のアドレスが使われていれば、正常に IPsecトン

ネルが構築できています。そうでない場合には、pppoe0が正しく接続されているか確認してく

ださい。詳細はコマンドリファレンスをご覧ください。¶ ³# show status ipsec

µ ´¶ ³# show status ike

µ ´(6)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で、SEIL A側の IKEとセキュリティアソシエーションプロポーザル、セキュリティアソシ

エーション、セキュリティポリシーの設定は完了です。変更した設定はバックアップをとってお

くことをお勧めします。

209

Page 212: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

■ 7.8.4 動的 IPアドレスからの接続を受け付ける場合

本節では、動的 IPアドレスを使用した VPNの設定方法について、以下のような構成のネットワーク

を前提にご説明します。本機は動的 IPアドレスを持つノードからの IPsecトンネルの構築要求を受け

付ける機能を持っています。

IPv4、IPv6 両方に対応していますが、ここでは IPv4 での設定方法についてご説明します(IPv4 と

IPv6の設定で異なるのは、アドレスが違う点のみです)。なお、本節では SEIL Bの設定についてご説

明します。SEIL Aの設定については、「 ó� [7.8.3自アドレスが動的 IP アドレスの場合¤ ¡P.201£ ¢]」を

ご覧ください。

192.168.2.1

10.0.2.2

192.168.1.1/24

SEIL B

SEIL A

B

192.168.2.0/24

A

192.168.1.0/24

IPsec

PPPoE

210

Page 213: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

 設計

(1)IKEパラメータを決定する

IKEを使用した設定を行う場合、はじめに通信を行う両側で鍵を交換する条件や、鍵の認証方法

等を合わせる必要があります。

特に合わせるべき設定項目としては、プロポーザルの交換モード、対向ホストの識別子、プロ

ポーザルにおいて対向ホストを認証するときの方式を指定する認証メソッド、認証アルゴリズム

(ハッシュアルゴリズム)、暗号化アルゴリズム、そして鍵交換アルゴリズムで用いるパラメータ

である DH Groupがあります。

交換モードは、動的 IPアドレスを利用する場合は aggressiveモードを選択する必要があります。

これは mainモードは IPアドレスで接続相手を識別するため、動的 IPアドレスを利用した場合

には適切に接続相手を識別できなくなるためです。

同様の理由から、対向ホストの識別子は FQDNまたは USER-FQDNを選択する必要があります。

認証メソッドには事前共有鍵がサポートされ、認証アルゴリズムには MD5と SHA1が、暗号化

アルゴリズムには DES、3DES、BLOWFISH、CAST128、AESがサポートされています。

なお DH Groupにおいては、Group1(modp768)、Group2(modp1024)、Group5(modp1536)

が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が

長くなるという特徴があります。

(2) セキュリティアソシエーションプロポーザルを決定する

ここでは、セキュリティアソシエーションの有効期間を設定するライフタイムの長さ、認証、暗

号化の両アルゴリズムに関してはどのアルゴリズムをどのような優先順位で用いるのか、更に

DH 鍵交換アルゴリズムで用いるパラメータである PFS GROUP にはどれを使用するかを決め

ます。

なお PFS GROUPには、Group1(modp768)、Group2(modp1024)、Group5(modp1536)が

用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が長

くなるという特徴があります。

(3) セキュリティアソシエーションを決定する

動的 IPアドレスをもつ通信相手との間に IPsecトンネルを構築するためには、IPsecトンネル

の相手側のアドレスをあらかじめ知ることはできません。そのため、相手からの要求に応じてア

ドレスを決定する必要があります。

さらに、IKEを使用するために、使用するプロトコルと相手に提示するセキュリティアソシエー

ションプロポーザルを決める必要があります。

モードは tunnelモードを使用し、暗号化プロトコルである ESPを使用するものとします。

セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているものでは

なく新たに登録したものを使用するものとします。

(4) セキュリティポリシーを決定する

次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用するかを

決めます。これをセキュリティポリシーと呼びます。

この例では、192.168.1.0/24 と 192.168.2.0/24 の間のすべてのトラフィックに対して、先に決

211

Page 214: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

めたセキュリティアソシエーションを使用するものとします。

 設定の流れ

(1)SEIL Bに IKEを設定する

決定した IKEパラメータに従って設定を行います。

(2)SEIL Bにセキュリティアソシエーションプロポーザルを設定する

決定したセキュリティアソシエーションプロポーザルに従って設定を行います。

(3)SEIL Bにセキュリティアソシエーションを設定する

決定したセキュリティアソシエーションに従って設定を行います。

(4)SEIL Bにセキュリティポリシーを設定する

決定したセキュリティアポリシーに従って設定を行います。

(5)SEIL Bの設定を確認する

設定が正しくなされているか確認します。

(6)SEIL Bの設定を保存する

すべての設定を保存します。

 設定手順

(1)SEIL Aに IKEを設定する

決定した IKEパラメータに従って設定を行います。

SEIL A に管理者アカウントでログインし、事前共有鍵を設定します。以下の設定を行ってくだ

さい。

設定項目 パラメータ

識別子 seila.seil.jp

鍵文字列 opensesame

■記述例¶ ³# ike preshared-key add seila.seil.jp opensesame

µ ´■パラメータ解説

ike preshared-key add seila.seil.jp opensesame

212

Page 215: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

事前共有鍵の識別子として「seila.seil.jp」を、鍵文字列として「opensesame」を設定し

ます。

※ 事前共有鍵は通信相手が用意したものを設定することになります。あらかじめ通信を行う相

手と相談し、鍵の設定を行ってください。

※ 今回の設定では、SEIL Aと SEIL Bそれぞれに、お互いが用意した鍵を設定します。

IKEプロポーザルの設定をします。以下の設定を行ってください。

設定項目 パラメータ

IKEプロポーザル名 ikeprop01

認証メソッド preshared-key

暗号化アルゴリズム 3des

認証アルゴリズム sha1

Diffie-Hellmanグループ modp1536

ライフタイム 3600

■記述例¶ ³# ike proposal add ikeprop01 authentication preshared-key encryption 3des

hash sha1 dh-group modp1536 lifetime-of-time 3600

µ ´■パラメータ解説

ike proposal add ikeprop01

IKEプロポーザル名として、「ikeprop01」を設定します。

authentication preshared-key

続けて、認証メソッドとして「preshared-key」を設定します。

encryption 3des hash sha1 dh-group modp1536

続けて、IKEで使用する暗号化アルゴリズムとして「3des」を、認証アルゴリズムと

して「sha1」を設定、Diffie-Hellmanグループとして「modp1536」を設定します。

lifetime-of-time 3600

続けて、IKEセキュリティアソシエーションの有効時間として「3600」(秒)を設定し

ます。

IKE Peerの設定をします。以下の設定を行ってください。

213

Page 216: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

設定項目 パラメータ

IKE Peer名 seila

モード aggressive

プロポーザルリスト ikeprop01

リモート IPアドレス dynamic

相手識別子 fqdn seila.seil.jp

■記述例¶ ³# ike peer add seila exchange-mode aggressive proposal ikeprop01

address dynamic peer-identifier fqdn seila.seil.jp

µ ´■パラメータ解説

ike peer add seila

IKE Peer名として、「seila」を設定します。

exchange-mode aggressive

続けて、フェーズ 1で使用するモードとして「aggressive」を設定します。

proposal ikeprop01

続けて、プロポーザルリストとして「ikeprop01」を設定します。

address dynamic

続けて、IKEで使用するリモート IPアドレスが動的 IPアドレスであることを

意味する「dynamic」を設定します。

peer-identifier fqdn seila.seil.jp

続けて、相手識別子の種別としてに「fqdn」を設定します。

さらに、相手識別子として「seila.seil.jp」を設定します。

※ 交換モードを aggressiveにした場合、動的 IPアドレスであっても IPsecトンネルの構築が

可能になりますが、

aggressiveモードではセキュリティは低下します。

この設定を行う場合、事前共有鍵の管理には特に気をつけてください。

214

Page 217: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

固定 IPアドレスを利用できる場合は、交換モードは mainモードを選択することを強くお勧

めします。

(2)SEIL Bにセキュリティアソシエーションプロポーザルを設定する

IKEの設定が完了したら、セキュリティアソシエーションプロポーザルの設定を行います。以下

の設定を行ってください。

設定項目 パラメータ

セキュリティアソシエーションプロポーザル名 saprop01

認証アルゴリズム hmac-sha1、hmac-md5

暗号化アルゴリズム 3des、des

有効時間 3600

PFSグループ modp768

■記述例¶ ³# ipsec security-association proposal add saprop01

authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des

lifetime-of-time 3600 pfs-group modp768

µ ´■パラメータ解説

ipsec security-association proposal add saprop01

セキュリティアソシエーションプロポーザル名として「saprop01」を設定します。

authentication-algorithm hmac-sha1,hmac-md5

encryption-algorithm 3des,des

続けて、AHで使用する認証アルゴリズムとして「hmac-sha1」「hmac-md5」を、ESPで

使用する暗号化アルゴリズムとして「3des」「des」を設定します。

lifetime-of-time 3600

続けて、IKE 利用時の IPsec セキュリティアソシエーションの有効時間として「3600」

(秒)を設定します。

pfs-group modp768

215

Page 218: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

続けて、PFSグループとして「modp768」を設定します。

(3)SEIL Bにセキュリティアソシエーションを設定する

セキュリティアソシエーションプロポーザルの設定が完了したら、セキュリティアソシエーショ

ンの設定を行います。以下の設定を行ってください。

設定項目 パラメータ

セキュリティアソシエーション名 sa03

IPsecのモード tunnel

トンネルの始点/終点アドレス dynamic

セキュリティアソシエーションプロポーザル名 saprop01

AH disable

ESP enable

■記述例¶ ³# ipsec security-association add sa03 tunnel dynamic ike saprop01

ah disableesp enable

µ ´■パラメータ解説

ipsec security-association add sa03

セキュリティアソシエーション名として「sa03」を設定します。

tunnel dynamic

続けて、IPsecに「tunnel」モードを設定します。

さらに、IPsecトンネルのアドレス情報が対向相手からの要求に応じて決定されることを

意味する「dynamic」を設定します。

ike saprop01

続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」を設

定します。

ah disable esp enable

216

Page 219: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

続けて、AHの使用/不使用は「disable」を、ESPの使用/不使用は「enable」を設定します。

※「tunnel dynamic」に設定した場合、IPsecトンネルの端点の IPアドレスは、以下の条件を

満たせば正当なものとして受け入れられます。

1) リモート側のアドレスが IKE Phase1で利用された IPアドレスであること

2) ローカル側のアドレスが SEIL Bのインタフェースのどれかに割り振られていること

上記の条件を満たせば運用上支障のある IPアドレスであっても受け入れられますので、対

向機器の設定には十分注意してください。

(4)SEIL Bにセキュリティポリシーを設定する

セキュリティアソシエーションの設定が完了したら、続いてセキュリティポリシーの設定をしま

す。以下の設定を行ってください。

設定項目 パラメータ

セキュリティポリシー名 sp03

セキュリティアソシエーション名 sa03

送信元 IPアドレス/ネットマスク長 192.168.1.0/24

送信先 IPアドレス/ネットマスク長 192.168.2.0/24

プロトコル any

有効/無効 enable

■記述例¶ ³# ipsec security-policy add sp03 security-association sa03 src 192.168.1.0/24

dst 192.168.2.0/24 protocol any enable

µ ´■パラメータ解説

ipsec security-policy add sp03

セキュリティポリシー名として「sp03」を設定します。

security-association sa03

続けて、対象となるセキュリティアソシエーション名として「sa03」を設定します。

src 192.168.1.0/24 dst 192.168.2.0/24

続けて、送信元と送信先の IPアドレスを設定します。

217

Page 220: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.8. VPNを構築する~IPsecの設定~

「src」は送信元 IPアドレスとネットマスク長、「dst」は送信先 IPアドレスとネットマス

ク長を意味します。

送信元 IPアドレス/ネットマスク長として「192.168.1.0/24」を、送信先 IPアドレス/ネッ

トマスク長として

「192.168.2.0/24」を設定します。

protocol any

続けて、プロトコルとして、すべてのパケットを対象とするため「any」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

※ この設定を行っても、SEIL Bが自分から IPsecトンネルを構築することはありません。

SEIL Aからの接続要求を受け付けた場合のみ、IPsecトンネルを構築します。

(5)SEIL Bの設定を確認する

以上の設定が終了したら、show statusコマンドにより IPsecおよび IKEの動作情報を確認しま

す。詳細はコマンドリファレンスをご覧ください。

(6)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で、SEIL B側の IKEとセキュリティアソシエーションプロポーザル、セキュリティアソシ

エーション、セキュリティポリシーの設定は完了です。変更した設定はバックアップをとってお

くことをお勧めします。

218

Page 221: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.9. L2VPNを構築する~L2TPv3の設定~

7.9 L2VPNを構築する~L2TPv3の設定~

遠隔地の事業所間のネットワークを構築する際に、IPsec のようなレイヤ 3(IP) ではなく、レ

イヤ 2(Ethernet) を直接接続したい場合があります。CS-SEIL-510/C は、L2TPv3 機能を利用した

L2VPN(Layer 2 Virtual Private Network)の構築をサポートしています。

■ 7.9.1 L2TPv3を利用した L2トンネルの設定

本節では、L2TPv3を使用した VPNの設定方法について、以下のような構成のネットワークを前提に

ご説明します。L2TPv3機能は、IPv4のみに対応しています。なお、本節では SEIL Aの設定について

ご説明します。SEIL Bの設定については、SEIL Aの設定内容と異なる設定項目について注記してあり

ます。注記の設定内容に従って設定を行ってください。注記のない設定項目は SEIL Aの設定内容と異

なる点はありませんので、SEIL Aと同様に設定を行ってください。

10.0.2.2

10.0.1.1

SEIL B

SEIL A

L2TP

219

Page 222: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.9. L2VPNを構築する~L2TPv3の設定~

※ 本節では説明のため、「10.0.0.0~10.255.255.255」までのアドレスをグローバルアドレスとして

表現しています。

 設計

(1)L2TPパラメータを決定する

L2TPv3を使用する設定を行う場合、通信を行う両側で L2TPトンネルを構築するための設定項

目を決定する必要があります。

L2TPトンネル名

対向機器の L2TPトンネルを識別する任意の文字列です。

hostname

L2TP トンネルのエンドポイントを識別するための任意の文字列です。自身を表す local

hostnameと、対向機器を表す remote hostnameあります。自身に設定した local hostname

と、対向機器で設定された remote hostnameの値が一致する必要があります。

router-id

IPアドレス形式で表される IDです。自身を表す local router-idと、対向機器を表す remote

route-id があります。自身に設定した local router-id と、対向機器で設定された remote

router-idの値が一致する必要があります。

認証パスワード

L2TPトンネル接続の際に認証を用いるためのパスワード文字列です。対向機器同士で同一

の値を用いる必要があります。

※ L2TPv3 による通信は、暗号化されないことに注意してください。password の設定は

あくまでトンネル接続の認証を行うための手段です。通信を暗号化したい場合、IPsec

等のセキュリティプロトコルと組み合わせた運用が必要です。

cookie

データをカプセル化する際に Cookie を使用して識別を行うかどうかを指定します。L2TP

セッション単位での成りすまし等を防ぐことが可能です。対向機器で同一の設定にする必要

があります。

メッセージ再送回数

トンネル制御メッセージの再送回数を指定します。

Helloメッセージ送信間隔

トンネルの死活監視に用いる Helloパケットの送信間隔を秒単位で指定します。

(2) 使用する L2TPインタフェースを決定する

L2TP セッションの確立に使用する L2TP インタフェース名を決定します。ここでは、SEIL A、

SEIL Bともに l2tp0インタフェースを使用します。

(3)L2TPインタフェースのパラメータを決定する

220

Page 223: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.9. L2VPNを構築する~L2TPv3の設定~

ここでは、L2TPインタフェースに L2TPトンネルの始点・終点アドレスを設定し、トンネルパ

ラメータとの関連付けを行います。また、以下の設定項目を決定します。

始点・終点アドレス

L2TPトンネルの始点・終点アドレスです。

L2TPトンネル名

設定した L2TPトンネルの識別子を指定します。

remote-end-id

L2TPトンネル確立後に生成される L2TPセッションの識別を行うための文字列です。対向

機器と同一の値を設定する必要があります。

(4) ブリッジグループのパラメータを決定する

ここでは、確立した L2TP セッションと物理インタフェースとを結びつけるためのブリッジグ

ループの設定を行います。この例では、l2tp0インタフェースと lan0インタフェースとのブリッ

ジ設定を行います。これにより、対向機器の lan0 インタフェース同士が同一のセグメントとし

て見えるようになります。

 設定の流れ

(1)SEIL Aに L2TPトンネルを設定する

決定した L2TPパラメータに従って設定を行います。

(2)SEIL Aに L2TPインタフェースを設定する

決定した L2TPインタフェースのパラメータに従って設定を行います。

(3)SEIL Aの設定を確認する

設定が正しくなされているか確認します。

(4)SEIL Aの設定を保存する

すべての設定を保存します。

 設定手順

(1)SEIL Aに L2TPトンネルを設定する

決定した L2TPパラメータに従って設定を行います。

SEIL Aに管理者アカウントでログインし、local hostnameを設定します。以下の設定を行って

ください。

設定項目 パラメータ

local hostname seil-a

221

Page 224: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.9. L2VPNを構築する~L2TPv3の設定~

■記述例¶ ³# l2tp hostname seil-aµ ´

■パラメータ解説

l2tp hostname seil-a

local hostnameとして「seil-a」を設定します。

local router-idを設定します。以下の設定を行ってください。

設定項目 パラメータ

local router-id 10.0.1.1

■記述例¶ ³# l2tp router-id 10.0.1.1µ ´

■パラメータ解説

l2tp router-id 10.0.1.1

local router-idとして「10.0.1.1」を設定します。

L2TPトンネルの設定を行います。

設定項目 パラメータ

L2TPトンネル名 SEIL-B

remote hostname seil-b

remote router-id 10.0.2.2

認証パスワード opensesame

cookie off

メッセージ再送回数 10

Helloメッセージ送信間隔 30

■記述例¶ ³# l2tp add SEIL-B hostname seil-b router-id 10.0.2.2 password

opensesame cookie off retry 10 hello-interval 30µ ´■パラメータ解説

l2tp add SEIL-B

L2TPトンネル名として「SEIL-B」を設定します。

222

Page 225: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.9. L2VPNを構築する~L2TPv3の設定~

hostname seil-b

remote hostnameとして「seil-b」を設定します。

router-id 10.0.2.2

remote router-idとして「10.0.2.2」を設定します。

password opensesame

認証パスワードとして「opensesame」を設定します。

cookie off

Cookieを使用しません。

retry 10

メッセージ再送回数を 10回に設定します。

hello-interval 30

Helloメッセージの送信間隔を 30秒に設定します。

※ SEIL Bの設定を行う場合、設定は以下の通りです。

設定項目 パラメータ

local hostname seil-b

設定項目 パラメータ

local router-id 10.0.2.2

設定項目 パラメータ

L2TPトンネル名 SEIL-A

remote hostname seil-a

認証パスワード opensesame

cookie off

メッセージ再送回数 10

Helloメッセージ送信間隔 30

(2)SEIL Aに L2TPインタフェースを設定する

L2TPインタフェースのアドレス設定を行います。

設定項目 パラメータ

始点アドレス 10.0.1.1

終点アドレス 10.0.2.2

223

Page 226: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.9. L2VPNを構築する~L2TPv3の設定~

■記述例¶ ³# interface l2tp0 tunnel 10.0.1.1 10.0.2.2µ ´

■パラメータ解説

interface l2tp0 tunnel 10.0.1.1 10.0.2.2

l2tp0インタフェースを利用して、アドレス「10.0.1.1」とアドレス「10.0.2.2」の間で

L2TPセッションを確立します。

L2TPインタフェースのパラメータ設定を行います。

設定項目 パラメータ

L2TPトンネル名 SEIL-B

remote-end-id L2TP0

■記述例¶ ³# interface l2tp0 l2tp SEIL-B remote-end-id L2TP0µ ´

■パラメータ解説

interface l2tp0 l2tp SEIL-B

l2tp コマンドを用いて作成した L2TP トンネルの識別子として「SEIL-B」を設定し

ます。

remote-end-id L2TP0

remote-end-idとして「L2TP0」を設定します。

※ SEIL Bの設定を行う場合、設定は以下の通りです。

設定項目 パラメータ

始点アドレス 10.0.2.2

終点アドレス 10.0.1.1

設定項目 パラメータ

L2TPトンネル名 SEIL-A

remote-end-id L2TP0

(3)SEIL Aにブリッジグループを設定する

224

Page 227: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.9. L2VPNを構築する~L2TPv3の設定~

決定したブリッジグループのパラメータに従って設定を行います。

まず、ブリッジグループの作成を行います。

設定項目 パラメータ

ブリッジグループ名 BDG1

STPの有効/無効 off

■記述例¶ ³# bridge group add BDG1 stp offµ ´

■パラメータ解説

bridge group add BDG1

ブリッジグループに「BDG1」という名前を設定します。

stp off

STPを使用しないよう設定します。

続けて、ブリッジグループに対してインタフェースの紐付けを行います。

設定項目 パラメータ

紐付けるインタフェース名 l2tp0, lan0

STPの有効/無効 off

■記述例¶ ³# bridge interface l2tp0 group BDG1 stp off

# bridge interface lan0 group BDG1 stp offµ ´■パラメータ解説

bridge interface l2tp0 group BDG1 stp off

l2tp0インタフェースを BDG1ブリッジグループに紐付け、STPを使用しないように

設定します。

bridge interface lan0 group BDG1 stp off

lan0インタフェースを BDG1ブリッジグループに紐付け、STPを使用しないように

設定します。

※ SEIL Bの設定を行う場合、設定は以下の通りです。

設定項目 パラメータ

ブリッジグループ名 BDG1

STPの有効/無効 off

225

Page 228: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.9. L2VPNを構築する~L2TPv3の設定~

設定項目 パラメータ

紐付けるインタフェース名 l2tp0, lan0

STPの有効/無効 off

(4)SEIL Aの設定を確認する

以上の設定が終了したら、show status コマンドにより L2TP およびブリッジグループの動作情

報を確認します。詳細はコマンドリファレンスをご覧ください。¶ ³# show status l2tp

# show status interface l2tp0

# show status bridgeµ ´(5)SEIL Aの設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容の保存をします。詳細は、 ó�

[6.3.1設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で L2TPの設定は完了です。変更した設定内容はバックアップをとっておくことをお勧めし

ます。

226

Page 229: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.10. 遠隔地のコンピュータからリモートアクセスを行う

7.10 遠隔地のコンピュータからリモートアクセスを行う

PPPアクセスコンセントレータ (PPPAC)機能及び認証機能を使用すると、遠隔地のコンピュータか

ら CS-SEIL-510/Cへリモートアクセス接続を行い、LAN内のコンピュータへアクセスすることができ

ます。

※ コンピュータから SEILへリモートアクセスを行うには、コンピュータ側でもリモートアクセス

の設定を行う必要があります。

■ 7.10.1 PPTPを利用したリモートアクセスを受け入れる設定

本節では、PPPアクセスコンセントレータ機能を使用したリモートアクセス VPNの設定方法につい

て、以下の様な構成のネットワークを前提に説明します。

227

Page 230: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.10. 遠隔地のコンピュータからリモートアクセスを行う

※ 本節では、リモートアクセスに用いるトンネリングプロトコルに PPTPを使用します。

※ 本節では説明のため、「10.0.0.0~10.255.255.255」までのアドレスをグローバルアドレスとして

表現しています。

 設定の流れ

(1)認証レルムの設定SEILの認証機能を設定します。

(2)ユーザアカウントの設定リモートアクセスを利用するユーザのアカウントを設定します。

(3)アドレスプールの設定クライアントコンピュータに払い出すアドレス割り当てを設定します。

(4)IPCPの設定

クライアントコンピュータとトンネル内で IP通信するための折衝のパラメータを設定します。

(5)リモートアクセスに使用するプロトコルの設定リモートアクセスで PPTPによる接続を受け付けるためのパラメータを設定します。

(6)PPPACインタフェースの設定

リモートコンピュータと通信するためのインタフェースとして、PPPACインタフェースを設定

します。

(7)設定の関連付けPPPACインタフェースに、リモートアクセスに必要な設定を関連付けます。

(8)リモートアクセス経由のインターネット接続の設定クライアントコンピュータから SEILを経由するインターネット通信を利用可能にします。

(9)設定内容を確認する正しく設定が反映されているか確認します。

(10)動作情報を確認するPPPアクセスコンセントレータ機能の動作状態を確認します。

(11)設定を保存するすべての設定を保存します。

 設定手順

(1)認証レルムの設定

SEILの認証機能を設定します。

SEILに管理者アカウントでログインし、以下の手順に従い設定します。

228

Page 231: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.10. 遠隔地のコンピュータからリモートアクセスを行う

設定項目 パラメータ

識別子 LOCAL1

認証レルムの種類 local

■記述例¶ ³# authentication realm add LOCAL1 type localµ ´

■パラメータ解説

authentication realm add LOCAL1

認証レルム設定の識別子として「LOCAL1」を設定します。

type local

認証レルムとしてローカル認証レルムを使用します。

(2)ユーザアカウントの設定

リモートアクセスを利用するユーザのアカウントを設定します。

設定項目 パラメータ

ユーザの所属する認証レルムの識別子 LOCAL1

ユーザのアカウント名 USERNAME

ユーザのパスワード PASSWORD

■記述例¶ ³# authentication local LOCAL1 user add USERNAME password PASSWORDµ ´

■パラメータ解説

authentication local LOCAL1

ユーザは「LOCAL1」として設定したローカル認証レルムに所属するよう設定します。

user add USERNAME

ユーザがリモートアクセスの際に使用するアカウント名を「USERNAME」と設定し

ます。

229

Page 232: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.10. 遠隔地のコンピュータからリモートアクセスを行う

password PASSWORD

ユーザがリモートアクセスの際に使用するパスワードを「PASSWORD」と設定し

ます。

(3)アドレスプールの設定

クライアントコンピュータに払い出すアドレス割り当てを設定します。

リモートアクセスの接続が成立すると、クライアントコンピュータはこのプール内から自動的に

IPアドレスが割り当てられます。

設定項目 パラメータ

アドレスプールの識別子 POOL1

割当範囲とするネットワークアドレス 192.168.128.0/24

■記述例¶ ³# pppac pool add POOL1 address 192.168.128.0/24µ ´

■パラメータ解説

pppac pool add POOL1

アドレスプールの識別子として「POOL1」を設定します。

address 192.168.128.0/24

クライアントコンピュータへの割当に使用する IPアドレスの範囲をネットワークアド

レスで「192.168.128.0/24」と設定します。

(4)IPCPの設定

クライアントコンピュータとトンネル内で IP通信するための折衝のパラメータを設定します。

設定項目 パラメータ

IPCP設定の識別子 IPCP1

割当に使用するアドレスプール POOL1

DNS転送機能のアドレス通知 使用する

230

Page 233: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.10. 遠隔地のコンピュータからリモートアクセスを行う

■記述例¶ ³# pppac ipcp-configuration add IPCP1 pool POOL1 dns-use-forwarder onµ ´

■パラメータ解説

pppac ipcp-configuration add IPCP1

IPCP設定の識別子として「IPCP1」を設定します。

pool POOL1

クライアントコンピュータへ割り当てる IPアドレスのプールに「POOL1」を使用し

ます。

dns-use-forwarder on

クライアントコンピュータの DNSとして、SEILの DNS転送機能を使用します。ク

ライアントコンピュータには、PPTPトンネルの終端 (SEIL側)のアドレスが通知され

ます。

(5)リモートアクセスに使用するプロトコルの設定

リモートアクセスで PPTPによる接続を受け付けるためのパラメータを設定します。

設定項目 パラメータ

使用するプロトコル PPTP

プロトコル設定の識別子 PPTP1

リモートアクセスを受け付けるインタフェース any

■記述例¶ ³pppac protocol pptp add PPTP1 accept-interface anyµ ´

■パラメータ解説

pppac protocol pptp

リモートアクセスで受け付けるプロトコルとして PPTPを設定します。

add PPTP1

プロトコル設定の識別子として「PPTP1」を設定します。

231

Page 234: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.10. 遠隔地のコンピュータからリモートアクセスを行う

accept-interface any

リモートアクセスを受け付けるインタフェースを制限しないため、anyを設定します。

(6)PPPACインタフェースの設定

リモートコンピュータと通信するためのインタフェースとして、PPPACインタフェースを設定

します。

設定項目 パラメータ

使用するインタフェース pppac0

トンネル終端アドレス 192.168.127.1

■記述例¶ ³interface pppac0 tunnel-end-address 192.168.127.1µ ´

■パラメータ解説

interface pppac0

使用するインタフェースとして pppac0を設定します。

tunnel-end-address 192.168.127.1

トンネル終端 (SEIL側)の IPアドレスとして「192.168.127.1」を設定します。

(7)設定の関連付け

PPPACインタフェースに、リモートアクセスに必要な設定を関連付けます。

設定項目 パラメータ

関連付けるインタフェース pppac0

使用する IPCP設定 IPCP1

使用するプロトコル設定 PPTP1

使用する認証レルム設定 LOCAL

■記述例¶ ³# interface pppac0 ipcp-configuration IPCP1

# interface pppac0 bind-tunnel-protocol PPTP1

# interface pppac0 bind-realm LOCAL1µ ´■パラメータ解説

interface pppac0

pppac0インタフェースに設定を関連付けます。

232

Page 235: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.10. 遠隔地のコンピュータからリモートアクセスを行う

ipcp-configuration IPCP1

IPCP設定として「IPCP1」を関連付けます。

bind-tunnel-protocol PPTP1

トンネルプロトコル設定として「PPTP1」を関連付けます。

bind-realm LOCAL1

認証レルム設定として「LOCAL1」を関連付けます。

(8)リモートアクセス経由のインターネット接続の設定

DNS中継機能及び NAPT機能を設定し、クライアントコンピュータから SEILを経由するイン

ターネット通信を可能にします。クライアントコンピュータから SEILを経由するインターネッ

ト通信を許可しない場合、設定は不要です。

設定項目 パラメータ

DNS中継機能 使用する

DNS中継先のアドレス SEIL自身の PPPoE接続時に自動取得

NAPT対象アドレス 192.168.128.0/24

NAPT処理を行うWAN側インタフェース pppoe0

■記述例¶ ³dns forwarder enable

dns forwarder add ipcp

nat napt add private 192.168.128.0-192.168.128.255 interface pppoe0µ ´■パラメータ解説

dns forwarder enable

DNS中継機能を有効に設定します。

dns forwarder add ipcp

中継先のアドレスとして、SEIL自身が PPPoE接続時にインターネットプロバイダか

ら IPCPにより通知されたアドレスを使用するため、ipcpを設定します。

nat napt add private 192.168.128.0-192.168.128.255

NAPT 対象のアドレスとして、クライアントコンピュータへのアドレス割当範囲

(192.168.128.0/24)に相当する 192.168.128.0-192.168.128.255を設定します。

233

Page 236: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.10. 遠隔地のコンピュータからリモートアクセスを行う

interface pppoe0

NAPT処理を行うインタフェースとして、SEILがインターネット接続に使用している

インタフェース (例では pppoe0)を設定します。

(9)設定を確認する

以上の設定が終了したら、show configコマンドにより設定した内容が正しく反映されているか

確認します。¶ ³# show config authentication

# show config pppac

# show config interface pppac0

# show config dns

# show config natµ ´(10)動作情報を確認する

設定作業が終了したら、show statusコマンドにより PPPアクセスコンセントレータ機能の動作

情報を確認します。¶ ³# show status pppac setting

# show status pppacµ ´(11)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容の保存をします。詳細は、 ó�

[6.3.1設定内容の保存・読込¤ ¡P.61£ ¢]を参照ください。

以上で SEILの PPPアクセスコンセントレータの設定は完了です。

クライアントコンピュータ側のリモートアクセス設定については、「 ó� [7.10.2遠隔地のコン

ピュータから SEIL へのリモートアクセス¤ ¡P.235£ ¢]」を参照ください。

変更した設定内容はバックアップをとっておくことをお勧めします。

234

Page 237: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.10. 遠隔地のコンピュータからリモートアクセスを行う

■ 7.10.2 遠隔地のコンピュータから SEILへのリモートアクセス

本節では、7.10.1で PPTPでのリモートアクセスを受け入れる設定を行った SEILに対して、リモー

トアクセスを行うクライアントコンピュータの設定について説明します。

※ ここでは、リモートアクセスを行うクライアントコンピュータのオペレーティングシステムとし

てWindows XPを使用します。

※ クライアントコンピュータはインターネット接続の設定が既に完了しているものとします。

■ リモートアクセス用接続の作成

Step 1

「スタート」メニューから「コントロールパネル」を

選択します。

Step 2

「ネットワークとインターネット接続」をクリックし

ます。

Step 3

「職場のネットワークに接続する」をクリックします。

235

Page 238: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.10. 遠隔地のコンピュータからリモートアクセスを行う

Step 4

「仮想プライベートネットワーク接続」を選択し、「次

へ」をクリックします。

Step 5

▼ 会社名

任意の名前を入力します。(例:office)

 

「次へ」をクリックします。

Step 6

▼ 最初の接続へのダイヤル

リモートアクセスの接続時に自動的にインターネッ

トへ接続する場合は「次の最初の接続に自動的にダ

イヤルする」を選択し、リストから使用する接続を

選択します。

クライアントコンピュータが常時インターネットに

接続されている場合は「最初の接続にダイヤルしな

い」を選択します。

 

※ ご利用のコンピュータの構成によっては、この画面

は表示されません。

 

「次へ」をクリックします。

Step 7

▼ ホスト名または IPアドレス

接続先の SEIL のグローバルアドレスまたはホスト

名を入力します。

 

「次へ」をクリックします。

236

Page 239: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.10. 遠隔地のコンピュータからリモートアクセスを行う

Step 8

「完了」をクリックします。

 

以上で基本的な設定は終了です。

■ リモートアクセス接続/切断の手順

Step 9

「スタート」メニューの「接続」から、前項で作成し

た接続(例:office)を選択します。

Step 10

▼ ユーザ名

認証レルムに設定したユーザアカウント(例:USER-

NAME)を入力します。

▼ パスワード

認証レルムに設定したユーザのパスワード(例:

PASSWORD)を入力します。

 

「接続」をクリックします。

Step 11

接続に成功すると、タスクトレイにアイコンが表示

されます。

237

Page 240: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.10. 遠隔地のコンピュータからリモートアクセスを行う

Step 12

アイコンをクリックします。

接続を切る場合は、「切断」をクリックします。

238

Page 241: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.11. CS-SEIL-510/Cを冗長化する~VRRPの設定~

7.11 CS-SEIL-510/Cを冗長化する~VRRPの設定~

本節では VRRPを用いて冗長化を実現する場合の設定例を説明します。冗長構成を取っていれば、片

方の CS-SEIL-510/Cが故障してももう片方の CS-SEIL-510/Cを利用して通信を行うことができます。

また、回線を監視する設定を行うことで、機器故障時だけではなく回線に障害が発生した時にも、自動

的にバックアップ回線を利用するような構成も可能です。

■ 7.11.1 機器の故障時に自動的にバックアップ回線に切り替える

本節では VRRP を用いた冗長構成の設定方法について説明します。以下の例では、インターネッ

トへの接続に SEIL-A と SEIL-B という 2 台の SEIL を用いることにします。それぞれ、SEIL-A には

192.168.0.2、SEIL-Bには 192.168.0.3というプライベートアドレスを割り当て、VRRP仮想アドレス

は 192.168.0.1 とします。クライアント PC のデフォルトゲートウェイには VRRP 仮想アドレスであ

る 192.168.0.1を設定してください。

239

Page 242: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.11. CS-SEIL-510/Cを冗長化する~VRRPの設定~

SEIL A( )

PPPoE

A B

SEIL B( )

PPPoE

VRRP

IP

192.168.0.1

SEIL A( )

192.168.0.2

SEIL B( )

192.168.0.3

 設定の流れ

(1)メイン機器の VRRPを設定する

メイン機器に冗長構成を設定します。

(2)メイン機器の設定を保存するすべての設定を保存します。

(3)バックアップ機器の VRRPを設定する

バックアップ機器に冗長構成を設定します。

(4)バックアップ機器の設定を保存するすべての設定を保存します。

240

Page 243: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.11. CS-SEIL-510/Cを冗長化する~VRRPの設定~

 設定手順

(1)メイン機器の VRRPを設定する

SEIL-Aに管理者アカウントでログインし、VRRPの仮想ルータ ID、仮想アドレス、優先度の設

定を行います。以下の設定を行ってください。

設定項目 パラメータ

仮想ルータ ID 1

仮想アドレス 192.168.0.1/24

優先度 200

インタフェース lan0

■記述例¶ ³# vrrp lan0 vrid 1 address 192.168.0.1/24 priority 200µ ´

■パラメータ解説

vrrp lan

VRRPを動作させるインタフェースとして「lan0」を設定します。

vrid 1

仮想ルータ ID(Virtual Router ID)として「1」を設定します。

address 192.168.0.1/24

仮想 IPアドレスとして「192.168.0.1」を、ネットマスクとして lan0のネットマスク

である「24」を設定します。

priority 200

優先度 (priority)として「200」を設定します。メイン機器の優先度はバックアップ機

器の優先度より大きくします。

(2)メイン機器の設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

(3)バックアップ機器の VRRPを設定する

SEIL-Bに管理者アカウントでログインし、VRRPの仮想ルータ ID、仮想アドレス、優先度の設

定を行います。以下の設定を行ってください。

241

Page 244: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.11. CS-SEIL-510/Cを冗長化する~VRRPの設定~

設定項目 パラメータ

仮想ルータ ID 1

仮想アドレス 192.168.0.1/24

優先度 100

インタフェース lan0

■記述例¶ ³# vrrp lan0 vrid 1 address 192.168.0.1/24 priority 100µ ´

■パラメータ解説

vrrp lan

VRRPを動作させるインタフェースとして「lan0」を設定します。

vrid 1

仮想ルータ ID(Virtual Router ID)として「1」を設定します。メイン機器と同じ IDを

指定する必要があります。

address 192.168.0.1/24

仮想 IPアドレスとして「192.168.0.1」を、ネットマスクとして lan0のネットマスク

である「24」を設定します。メイン機器と同じ IPアドレス、ネットマスクを指定する

必要があります。

priority 100

優先度 (priority)として「100」を設定します。バックアップ機器の優先度はメイン機

器の優先度より小さくします。

(4)バックアップ機器の設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で、VRRP の設定は完了です。変更した設定はバックアップをとっておくことをお勧めし

ます。

242

Page 245: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.11. CS-SEIL-510/Cを冗長化する~VRRPの設定~

■ 7.11.2 回線障害を検出して自動的にバックアップ回線に切り替

える

本節では回線障害を検出して VRRPの仮想ルータを切り替える場合の設定方法について説明します。

以下の例では、インターネットへの接続に SEIL-Aと SEIL-Bという 2台の SEILを用います。そして

SEIL-Aは SEIL-Cとルーティングベース IPsecトンネルを構成し、SEIL-Bは SEIL-Dとルーティング

ベース IPsec トンネルを構成するものとします。インターネット接続回線の障害を検出するために、

SEIL-Aは SEIL-Cのグローバルアドレスに対して Ping (ICMP Echo)を用いた監視を行います。

なお、今回バックアップ機器の SEIL-Bは監視を行いません。なぜなら、(1)SEIL-Aが利用可能な場

合は常に SEIL-Aが利用されるため、SEIL-B側回線を監視する必要がなく、(2)SEIL-Aが利用できない

場合には SEIL-B 側回線に障害が発生したことを検出しても SEIL-Aに切り替えることができないため

です。

243

Page 246: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.11. CS-SEIL-510/Cを冗長化する~VRRPの設定~

SEIL A( )

10.0.1.1

A

SEIL B( )

10.0.2.2

SEIL A( )

192.168.0.2

VRRP

IP

192.168.0.1

SEIL C

10.0.3.3

SEIL D

10.0.4.4

B

SEIL B( )

192.168.0.3

 設定の流れ

(1)メイン機器の VRRP監視グループを設定する

メイン機器に監視を設定します。

(2)メイン機器の VRRPを設定する

メイン機器に冗長構成を設定します。

(3)メイン機器の設定を保存するすべての設定を保存します。

(4)バックアップ機器の VRRPを設定する

バックアップ機器に冗長構成を設定します。

(5)バックアップ機器の設定を保存する

244

Page 247: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.11. CS-SEIL-510/Cを冗長化する~VRRPの設定~

すべての設定を保存します。

 設定手順

(1)メイン機器の VRRP監視グループを設定する

SEIL-Aに管理者アカウントでログインし、VRRPの監視グループを設定します。以下の設定を

行ってください。

設定項目 パラメータ

監視グループ名 SEIL-C

監視先 IPアドレス 10.0.3.3

■記述例¶ ³# vrrp watch-group add SEIL-C keepalive 10.0.3.3µ ´

■パラメータ解説

vrrp watch-group add SEIL-C

監視グループ名として「SEIL-C」を設定します。

keepalive 10.0.3.3

Ping (ICMP Echo)の送信先 IPアドレスとして「10.0.3.3」を設定します。

(2)メイン機器の VRRPを設定する

SEIL-Aに管理者アカウントでログインし、VRRPの仮想ルータ ID,仮想アドレス、優先度の設定

を行います。以下の設定を行ってください。

設定項目 パラメータ

仮想ルータ ID 1

仮想アドレス 192.168.0.1/24

優先度 200

インタフェース lan0

監視グループ SEIL-C

245

Page 248: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.11. CS-SEIL-510/Cを冗長化する~VRRPの設定~

■記述例¶ ³# vrrp lan0 vrid 1 address 192.168.0.1/24 priority 200 watch SEIL-Cµ ´

■パラメータ解説

vrrp lan0

VRRPを動作させるインタフェースとして「lan0」を設定します。

vrid 1

仮想ルータ ID(Virtual Router ID)として「1」を設定します。

address 192.168.0.1/24

仮想 IPアドレスとして「192.168.0.1」を、ネットマスクとして lan0のネットマスク

である「24」を設定します。

priority 200

優先度 (priority)として「200」を設定します。

watch SEIL-C

監視グループとして「SEIL-C」を設定します。

(3)メイン機器の設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

(4)バックアップ機器の VRRPを設定する

SEIL-Bに管理者アカウントでログインし、VRRPの仮想ルータ ID,仮想アドレス、優先度の設定

を行います。以下の設定を行ってください。

設定項目 パラメータ

仮想ルータ ID 1

仮想アドレス 192.168.0.1/24

優先度 100

インタフェース lan0

246

Page 249: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.11. CS-SEIL-510/Cを冗長化する~VRRPの設定~

■記述例¶ ³# vrrp lan0 vrid 1 address 192.168.0.1/24 priority 100µ ´

■パラメータ解説

vrrp lan0

VRRPを動作させるインタフェースとして「lan0」を設定します。

vrid 1

仮想ルータ ID(Virtual Router ID)として「1」を設定します。メイン機器と同じ IDを

指定する必要があります。

address 192.168.0.1/24

仮想 IPアドレスとして「192.168.0.1」を、ネットマスクとして lan0のネットマスク

である「24」を設定します。メイン機器と同じ IPアドレス/ネットマスクを指定する

必要があります。

priority 100

優先度 (priority)として「100」を設定します。バックアップ機器の優先度はメイン機

器の優先度より小さくする必要があります。

(5)バックアップ機器の設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で、VRRPにおいて回線障害を検出する場合の設定は完了です。変更した設定はバックアッ

プをとっておくことをお勧めします。

247

Page 250: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.12. データの送信を制御する

7.12 データの送信を制御する

インターネットでは、同一の経路を通過するトラフィック間でネットワークの帯域は共有されていま

す。そのため、Webサーバへアクセスしている最中に FTPサーバからのデータ転送を行うと、その影

響でWebサーバからデータを送るための帯域が減少してしまい、Webページがスムーズに表示されな

くなるというような状況が起こる可能性があります。

CS-SEIL-510/C は CBQ(Class-Based Queueing) を用いた帯域制御機能を提供しています。CS-

SEIL-510/Cの帯域制御機能を使用することで、特定のトラフィックに適切な帯域を割り当て、その帯

域までは他のトラフィックの影響を受けないようにするといった制御を行うことができます。

■ 7.12.1 CBQの設定

本節では ADSLによるインターネット接続を想定して、全体のトラフィックをWebサーバへのアク

セス (http)、下りの TCPトラフィックに対する ACK(ack)、その他のトラフィック (other)の 3つに分

け、それぞれに帯域を割り当てる場合の設定例をご説明します。IPv4、IPv6両方に対応していますが、

ここでは IPv4での設定方法についてご説明します。

※ SEILで帯域制御の設定が行えるのは LAN1側への出力だけです (PPPoEによる LAN1側への出

力も含まれます)。

 設計

(1) 帯域を絞る

LAN1側に接続されているメディアコンバータ (ADSLモデムなど)の先が 10Mbps未満の場合、

それ以上の帯域で送信を行うと帯域制御の正しい効果が得られません。そのためメディアコン

バータ (ADSLモデムなど)の仕様に合わせて帯域を絞る必要があります。本節では、例として上

り 1Mbpsの ADSLでの設定をご説明します。

(2) 帯域の割り当てを設計する

帯域制御を行うトラフィックを分類します。分類したトラフィックをクラスと呼びます。この例

では、Webサーバへのアクセス、TCPの ACK、その他、というトラフィックをそれぞれ「http」

クラス、「ack」クラス、「other」クラスの 3つに分類します。クラスが決まったら、クラスごと

に割り当てる帯域の量を決めます。割り当てる帯域の量は全帯域に対する割合 (%)で表します。

※ CS-SEIL-510/Cでは全帯域を 10Mbpsと 100Mbpsの 2つから選択できます (デフォルトは

10Mbpsです)。LAN1側の通信速度が全帯域の設定値と同じになっていることを確認してく

ださい。

本節では、全体の帯域を「ADSL」クラス 10%に制限し、このクラスの中で更に

248

Page 251: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.12. データの送信を制御する

「http」クラス 3%

「ack」クラス 3%

「other」クラス 4%と割り当てることにします。

 設定の流れ

(1)クラスを設定する設計した帯域割り当てに従ってクラスの設定を行います。

(2)各クラスにフィルタを設定する設定したクラスに目的のトラフィックが分類されるようにフィルタの設定を行います。

(3)帯域制御を有効にする帯域制御機能を有効化します。

(4)設定を保存するすべての設定が終了したら、設定を保存します。

 設定手順

(1)クラスを設定する

決定した帯域の割り当て方に従ってクラスの設定を行います。はじめに「ADSL」クラスの設定

手順を説明します。次に「http」クラスの手順を説明しますので、「ack」クラス、「other」クラス

も同様に設定してください。

SEILに管理者アカウントでログインし、クラス情報の追加をします。以下の設定を行ってくだ

さい。

設定項目 パラメータ

クラス名 ADSL

親クラス名 default

帯域幅 10

borrow off

■記述例¶ ³# cbq class add ADSL parent default pbandwidth 10 borrow offµ ´

■パラメータ解説

cbq class add ADSL parent default

クラス名として「ADSL」を、親クラス名として「default」を設定します。

249

Page 252: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.12. データの送信を制御する

pbandwidth 10

続けて、割り当てる帯域幅として、adslクラスに割り当てる帯域幅は全帯域に対して

10%に設計したため「10」を設定します。

borrow off

続けて、borrow は、設定した値より多くの帯域を消費しないように「off」を設定し

ます。

※ defaultクラスは帯域幅が 100

「http」クラスの設定を行います。以下の設定を行ってください。

設定項目 パラメータ

クラス名 http

親クラス名 ADSL

帯域幅 3

borrow on

■記述例¶ ³# cbq class add http parent ADSL pbandwidth 3 borrow onµ ´

■パラメータ解説

cbq class add http parent ADSL

続けて、クラス名として「http」を、親クラス名として「ADSL」を設定します。

pbandwidth 3

続けて、割り当てる帯域幅として、httpクラスに割り当てる帯域幅は全帯域の 3%に

設計したため「3」を設定します。

borrow on

続けて、borrow は、親クラスから帯域を借りることができるように「on」を設定し

ます。

残りのクラスについても同様に、以下の設定を行ってください。

※「ack」クラスの設定を行う場合、「http」クラスの設定を行った場合と異なる点は、クラス名

を「ack」とする点です。割り当てる帯域は、「http」クラスと同じ 3%に設計したので「3」

を指定します。

※「other」クラスの設定を行う場合、「http」クラスの設定を行った場合と異なる点は、クラス

名を「other」とする点です。割り当てる帯域は、4%に設計したので「4」を指定します。

「ack」クラスに関する設定項目は以下の通りです。

250

Page 253: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.12. データの送信を制御する

設定項目 パラメータ

クラス名 ack

親クラス名 ADSL

帯域幅 3

borrow on

「other」クラスに関する設定項目は以下の通りです。

設定項目 パラメータ

クラス名 other

親クラス名 ADSL

帯域幅 4

borrow on

(2)各クラスにフィルタを設定する

クラスの設定が終了したら、すべてのトラフィックが目的のクラスに分類されるようフィルタを

設定します。

「http」クラスにフィルタを設定します。以下の設定を行ってください。

設定項目 パラメータ

クラス分けフィルタ名 http filter

クラス名 http

パケットのカテゴリー ip

プロトコル tcp

送信元ポート番号 80

有効/無効 enable

■記述例¶ ³# cbq filter add http filter class http category ip

protocol tcp srcport 80 enableµ ´■パラメータ解説

cba filter add http filter

クラス分けフィルタ名を設定します。ここでは例として、HTTP用のフィルタである

ことが分かるように「http filter」とします。

class http

続けて、関連づけるクラス名として「http」を設定します。

251

Page 254: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.12. データの送信を制御する

category ip

続けて、フィルタが適用されるパケットのカテゴリーとして「ip」を設定します。

※ IPv6による通信をおこなう場合、カテゴリーとして「ipv6」を設定します。

protocol tcp srcport 80

続けて、HTTPのプロトコルとして「tcp」を、送信元ポート番号として「80」を設定

します。

enable

続けて、設定を有効にするため「enable」を設定します。

「ack」クラスについても同様に設定します。以下の設定を行ってください。

設定項目 パラメータ

クラス分けフィルタ名 ack filter

クラス名 ack

パケットのカテゴリー ip

プロトコル tcp-ack

有効/無効 enable

■記述例¶ ³# cbq filter add ack filter class ack category ip

protocol tcp-ack enableµ ´■パラメータ解説

cbq filter add ack filter

クラス分けフィルタ名を設定します。ここでは例として、ACK用のフィルタであるこ

とが分かるように「ack filter」とします。

catgory ip

続けて、関連づけるクラス名として「ack」を設定します。

category ip

続けて、フィルタが適用されるパケットのカテゴリーとして「ip」を設定します。

※ IPv6による通信をおこなう場合、カテゴリーとして「ipv6」を設定します。

protocol tcp-ack

続けて、ACKのみの TCPパケットを対象とするため、プロトコルとして「tcp-ack」

を設定します。

252

Page 255: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.12. データの送信を制御する

enable

続けて、設定を有効にするため「enable」を設定します。

「other」クラスの設定は、「http」クラス、「ack」クラスの設定とは多少異なります。「other」ク

ラスのフィルタには次の 3つの異なるフィルタ種別が存在します。

• IPv4による通信を行う場合

• IPv6による通信を行う場合

• ブリッジ機能を使用する場合これらのフィルタを追加してはじめて「other」クラスのクラス分けフィルタの定義が完了しま

す。フィルタ種別が IPv4/IPv6におけるプロトコルが「すべて」、あるいは Etherにおける MAC

タイプが「すべて」のクラス分けフィルタは、各々のフィルタ種別におけるすべてのパケットの

クラス分けを行うために使用します。

※ 実際の設定においても、「other」クラスに類するクラスを定義するためには、必ず IPv4、IPv6

および Etherのすべてのフィルタ種別について本事例のようなフィルタの記述をすることを

お勧めします。

「other」クラスにおけるフィルタ種別ごとの設定例を以下に示します。

IPv4による通信を行う場合、以下の設定を行ってください。

設定項目 パラメータ

クラス分けフィルタ名 other filter01

クラス名 other

パケットのカテゴリー ip

プロトコル any

有効/無効 enable

■記述例¶ ³# cbq filter add other filter01 class other category ip

protocol any enableµ ´■パラメータ解説

cbq filter add other filter01

クラス分けフィルタ名を設定します。ここでは例として、HTTPと ACK以外のトラ

フィックであることが分かるように「other filter01」とします。

class other

続けて、関連づけるクラスとして「other」を設定します。

category ip

続けて、フィルタが適用されるパケットのカテゴリーとして「ip」を設定します。

253

Page 256: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.12. データの送信を制御する

protocol any

続けて、プロトコルとして、http filterと ack filterの対象とならなかったすべてのパ

ケットを対象とするため「any」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

IPv6による通信を行う場合、以下の設定を行ってください。

設定項目 パラメータ

クラス分けフィルタ名 other filter02

クラス名 other

パケットのカテゴリー ipv6

プロトコル any

有効/無効 enable

■記述例¶ ³# cbq filter add other filter02 class other category ipv6

protocol any enableµ ´■パラメータ解説

cbq filter add other filter02

クラス分けフィルタ名を設定します。ここでは例として、HTTPと ACK以外のトラ

フィックであることが分かるように「other filter02」とします。

class ack

続けて、関連づけるクラスとして「other」を設定します。

category ipv6

続けて、フィルタが適用されるパケットのカテゴリーとして「ipv6」を設定します。

protocol any

続けて、プロトコルとして、http filterと ack filterの対象とならなかったすべてのパ

ケットを対象とするため「any」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

254

Page 257: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章ネットワークでの利用例

7.12. データの送信を制御する

ブリッジ機能を使用する場合、以下の設定を行ってください。

設定項目 パラメータ

クラス分けフィルタ名 other filter03

クラス名 other

パケットのカテゴリー ether

プロトコル any

有効/無効 enable

■記述例¶ ³# cbq filter add other filter03 class other category ether

protocol any enableµ ´■パラメータ解説

cbq filter add other filter03

クラス分けフィルタ名を設定します。ここでは例として、HTTPと ACK以外のトラ

フィックであることが分かるように「other filter03」とします。

class other

続けて、関連づけるクラスとして「other」を設定します。

category ether

続けて、フィルタが適用されるパケットのカテゴリーとして「ether」を設定します。

protocol any

続けて、プロトコルとして、http filterと ack filterの対象とならなかったすべてのパ

ケットを対象とするため「any」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

※ クラス分けフィルタは、コンフィグの表示の上から順に評価が行われ、最初に一致するフィ

ルタによってクラス分けが行われます。どのフィルタにも一致しないデータは defaultクラ

スに分類されます。通常は本節の「other」クラスと同様の設定を行い、データが defaultク

ラスに分類されないようにご注意ください。

(3)帯域制御を有効にする

以下の設定を行ってください。

設定項目 パラメータ

インタフェース名 lan1

キューイング方式 cbq

255

Page 258: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 7章資料・付録

■記述例¶ ³# interface lan1 queue cbqµ ´

■パラメータ解説

interface lan1

CBQを使用するインタフェースとして「lan1」を設定します。

queue cbq

続けて、帯域制御を有効にするため、キューイング方式として「cbq」を設定します。

(4)設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�[6.3.1

設定内容の保存・読込¤ ¡P.61£ ¢]をご覧ください。

以上で、帯域制御の設定は完了です。変更した設定内容はバックアップをとっておくことをお勧

めします。

256

Page 259: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.1. 仕様について

第 8 章 資料・付録

CS-SEIL-510/C の仕様や、ネットワークを利用する際によく使われる専門用語( ó� [8.2ネット

ワーク用語集¤ ¡P.267£ ¢])などについて分かりやすくご説明します。

8.1 仕様について

■ 8.1.1 機能一覧

暗号処理 ハードウェア

CPU IXP422 266MHz

メモリ RAM 64MB, Flash ROM 16MB

LAN インターフェイス 10BASE-T/100BASE-TX, Auto Negotiation, Auto

MDI/MDI-X,固定設定可能, IEEE802.3準拠 <RJ-45>

VLAN 最大 8エントリ, IEEE802.1Q準拠

WAN インターフェイス 10BASE-T/100BASE-TX, Auto Negotiation, Auto

MDI/MDI-X,固定設定可能, IEEE802.3準拠 <RJ-45>

適応回線・適応接続サービス Ethernet-WAN, CATV, ADSL/SDSL, FTTH,

その他ブロードバンドサービス

シリアルポート コンソールポート <RJ-45>

プロトコル IPv4, IPv6,

PPPoE(最大 4セッション,Numbered/Unnumbered)

Bridge Pure Bridge IEEE802.1Qフレーム透過可能

Brouter IPv4,IPv6 on/off可能

MAC Addressフィルタ static(最大登録数 32)、リストベース ∗1

Static ARP ○

Proxy ARP ○

257

Page 260: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.1. 仕様について

Routing ルーティングプロトコル static(最大登録数 IPv4, IPv6各 512),

RIP/RIP2, RIPng, OSPF

MultiPath static, OSPF Equal-Cost MultiPath

Policy Routing ○ (IPv4)

マルチキャスト IPv4 Multicast(PIM-SM)

IPv6 Multicast(PIM-SM)

ルーティング性能 98 Mbps ∗2

ルーティングテーブル 最大経路数 IPv4, IPv6各 4096

(静的経路含む)

IP Unnumbered ○

OSPF Unnumbered ○

discard経路 ○

static経路自動切替 ∗3 ○

VRRP ○

VPN IPsec(with IKE) 最大 64対向,トンネル/トランスポート

暗号化アルゴリズム DES∗4,3DES∗4, Blowfish, CAST-128,

AES(Rijndael)∗4

認証アルゴリズム HMAC-MD5∗4,HMAC-SHA1∗4,

KEYED-MD5, KEYED-SHA1

片端固定 IPsec ○

IPsecインターフェイス ○

VPN性能 43Mbps ∗2

L2TPv3 ○ (最大 64対向)

IP Tunnel IPトンネルプロトコル IPv4-IPv4,IPv4-IPv6,IPv6-IPv4,IPv6-IPv6

(最大 64対向)

IP Tunnel Unnumbered ○

IPv4,IPv6デュアルスタック ○

IPv4-IPv6トランスレータ TRT

[IPv6-to-IPv4 transport relay translator]

Firewall IPフィルタ 最大登録数 IPv4, IPv6各 512

ステートフルパケットインスペクション ○

フィルタ項目 インターフェイス,方向,プロトコル,

宛先/送信元アドレス,宛先/送信元ポート

uRPF ○

Winnyフィルタ ○

NAT NAT/NAPT ○

Static NAT 最大登録数 256,範囲指定可能

Static NAPT 最大登録数 256,ポート範囲指定可能

Reflection NAT ○

NAT連動 Proxy ARP ○

NATテーブル 最大 4096セッション

(Static NAT/Static NAPT含む)

UPnP ○

SIP対応 ○ (SIP transparent proxy)

IPsec透過 1セッション透過可能

PPTP透過 複数セッション透過可能

258

Page 261: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.1. 仕様について

QoS CBQ 制御方式 帯域制御/優先制御

クラス カテゴリ,プロトコル,アドレス,ポート,MACタイプ,

パケット長,VLAN ID,VLAN Priority,ToSフィールド

DHCP DHCPサーバ 最大 1021クライアント (WINS対応)

DHCPクライアント ○

DHCP中継 ○

DHCPv6 Prefix Delegation ○

ルータ広告 ○

DNS中継 ○

NTP NTPサーバ/NTPクライアント

インターフェイス状態監視 IPv4,IPv6,on/off可能

ICMPリダイレクトメッセージ発行抑止 IPv4,IPv6

自動設定/遠隔保守/遠隔監視 ∗5 ○

設定/運用/ telnet telnetサーバ/telnetクライアント

管理 Secure Shell Secure Shell Protocol Ver.1

Secure Shell Protocol Ver2.(RSA/DSA)

Webインターフェイス 簡易設定,各種グラフ表示 ∗6

SNMP SNMPv1,SNMPv2c,SNMPv3,MIB II,IPv6 MIB

syslog ○

その他 ログ情報一括採取,Terminal Server,

回線トレース,死活監視 ∗7

認定/準拠 VCCI Class A準拠

寸法 外形寸法 81mm(W) x 117mm(D) x 32mm(H)

重量 約 300g(ACアダプタ含まず)

環境 使用電源 AC 100 V, 50/60 Hz

皮相電力 約 15VA(最大)

消費電力 約 7W(最大)

動作環境条件 0℃~40℃, 10%~85%(結露なきこと)

∗1 外部ホストから取得した MAC アドレスリストを元に、リストに一致した MAC アドレスからの通信を Pass又は Blockする機能。リストには約 20,000のMAC アドレスが記載可能。

∗2 実測値に基づく。VPN性能は ESP-Auth(3DES+HMAC-SHA1)利用時の実測値(1408バイトフレーム送信時)。∗3 静的経路の転送先 (gateway)を ICMP Echo Requestにより監視。監視条件に該当すると、経路表から削除する機能。∗4 専用 ICによるハードウェア処理。∗5 SMFサービスへの申込が必要。∗6 帯域使用率、帯域制御状態、システム負荷、CPU使用率、メモリ使用率。∗7 LAN 内にあるホストを ICMP Echo Requestにより監視。障害検出時には syslogへログを保存し、snmp trapを任意のホストに送信。

259

Page 262: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.1. 仕様について

■ 8.1.2 初期設定値(工場出荷状態)一覧

LAN0側 IPアドレス/ネットマスク 192.168.0.1/24

ルーティング設定 pppoe0へのデフォルトルート(IPv4のみ)

フィルタリング設定 未設定

NAT設定 未設定

NAPT設定 変換対象アドレス 192.168.0.0~192.168.255.255

変換対象インタフェース pppoe0

NATタイマ値 900秒

UPnP機能 OFF

DHCPサーバ機能 ON

DHCP 対象インタフェース LAN0

配布パラメータ リース先頭アドレス 192.168.0.2

リースアドレスの数 253

DNSサーバアドレス 192.168.0.1

有効時間 24時間

DNS forwarder IPCP取得アドレスに転送

DNS resolver 未設定

NTPサーバ機能 OFF

IPsec設定 未設定

IKE 次項 <IKE>参照

帯域制御設定 未設定

DEBUGログ取得 OFF

LAN1側トレース情報取得 OFF

syslog debug-level OFF

remote転送 OFF

facility local1

SNMP設定 未設定

Web/telnetパスワード admin,user共に未設定

動的ルーティング 未設定

IPv4マルチキャスト 未設定

IPv6マルチキャスト 未設定

Bridge 未設定

ルータ広告 OFF

トンネル 未設定

IPsecインタフェース 未設定

VLAN 未設定

PPPoE設定 pppoe0を LAN1上で使用

PPPoEエントリ 次項 <PPPoE>参照

httpd enable

telnetd enable

sshd disable

260

Page 263: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.1. 仕様について

■ IKE phase 1

設定 1 暗号化アルゴリズム 3DES

ハッシュアルゴリズム SHA1

認証メソッド Preshared key

DH group MODP1536

life time 24時間

設定 2 暗号化アルゴリズム DES

ハッシュアルゴリズム MD5

認証メソッド Preshared key

DH group MODP768

life time 8時間

■ IKE phase 2

設定 1 PFS group MODP1536

暗号化アルゴリズム 3DES,DES

認証アルゴリズム HMAC-SHA1,HMAC-MD5

life time 3時間

設定 2 PFS group MODP768

暗号化アルゴリズム DES,3DES

認証アルゴリズム HMAC-MD5,HMAC-SHA1

life time 30分

※ phase 1, phase 2ともに、プロポーザルの設定が 2つあります。

■ PPPoE設定

エントリー名 pppoe-sample

IPCPの有効/無効 有効

IPCPアドレスオプション 有効

IPCP DNSオプション 有効

IPv6CPの有効/無効 有効

TCP MSS auto

認証 ID 未設定

認証パスワード 未設定

認証方式 CHAP

261

Page 264: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.1. 仕様について

■ 8.1.3 ハードウェア仕様

■ LAN0、LAN1ポート仕様

1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8

LAN0 LAN1

MDI MDI-X

Contact Mark Signal Name Mark Signal Name

1 TX+ Transmit Signal (+) RX+ Receive Signal (+)

2 TX− Transmit Signal (−) RX− Receive Signal (−)

3 RX+ Receive Signal (+) TX+ Transmit Signal (+)

4 NC Unused NC Unused

5 NC Unused NC Unused

6 RX− Receive Signal (−) TX− Transmit Signal (−)

7 NC Unused NC Unused

8 NC Unused NC Unused

項目 仕様

伝送速度 10/100Mbps

準拠規格 IEEE 802.3 (10BASE-T), IEEE 802.3u (100BASE-TX)

コネクタ RJ-45 (MDI/MDI-X自動認識可能)

262

Page 265: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.1. 仕様について

■シリアル・ポート仕様

項目 仕様

回線仕様 全二重、調歩同期方式

電気的仕様 V.28準拠

I/F仕様 RS-232C (DTE)

コネクタ RJ-45

伝送速度 (bps) 4800, 9600, 14400, 19200, 28800, 38400, 57600,

115200 (工場出荷設定では 9600)

データ長 8bit

パリティ なし

ストップビット 1

フロー制御 なし。リモートコンソール設定ポートのみ RS/CS フ

ロー制御

■ 7セグメント LED仕様

CS-SEIL-510/C前面 7セグメント LEDの点灯状態の詳細です。

263

Page 266: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.1. 仕様について

a

b c

d

ef

g

h

a b c d e f g h 状態

消灯 消灯 消灯 消灯 消灯 消灯 消灯 消灯 電源オフ

- - - - - - - 点滅 firmwareが動作中

点灯 点灯 点灯 点灯 点灯 点灯 点灯 - FLASH ROMの消去または

書込み中

- 点灯 点滅周期 3 - - - - - SDRAM チェックでエラー

が起きた

- 点灯 点滅周期 4 - - - - - 回復できない IPL のソフト

エラー (exception)

- 点灯 点滅周期 5 - - - - - ブート時にファームの展開

に失敗した

- 点灯 点滅周期 6 - - - - - ファームウェア領域が空だ

った

- 点灯 - - - - - - SMFで情報取得中

- 点灯 - - 点灯 - - - iSUP からのデータ取得失

- 点灯 - - - 点灯 - - uSUP からのデータ取得失

- 点灯 - - 点灯 点灯 - - uSUP からのデータ取得失

敗 (uSUPキャッシュ使用)

- - - - - - 点灯 - LAN1 がリンクアップして

いる

- - - 点灯 - - - - LAN0 がリンクアップして

いる

表 8.1: LAN LED仕様

264

Page 267: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.1. 仕様について

■ 8.1.4 ネットマスク/ポート番号一覧

割当て IPアドレスとネットマスク値との対応一覧表です。プライベートアドレスの割当範囲の設定

などにご利用ください。

■ネットマスク対応一覧表

設定値 ネットマスク 設定値 ネットマスク

/32 255.255.255.255 /16 255.255.0.0

/31 255.255.255.254 /15 255.254.0.0

/30 255.255.255.252 /14 255.252.0.0

/29 255.255.255.248 /13 255.248.0.0

/28 255.255.255.240 /12 255.240.0.0

/27 255.255.255.224 /11 255.224.0.0

/26 255.255.255.192 /10 255.192.0.0

/25 255.255.255.128 /9 255.128.0.0

/24 255.255.255.0 /8 255.0.0.0

/23 255.255.254.0 /7 254.0.0.0

/22 255.255.252.0 /6 252.0.0.0

/21 255.255.248.0 /5 248.0.0.0

/20 255.255.240.0 /4 240.0.0.0

/19 255.255.224.0 /3 224.0.0.0

/18 255.255.192.0 /2 192.0.0.0

/17 255.255.128.0 /1 128.0.0.0

265

Page 268: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.1. 仕様について

■ 8.1.5 ポート番号一覧

通常利用される代表的なポート番号の一覧です。フィルタリング情報の設定などにご利用ください。

■ポート番号一覧表

ポート番号 プロトコル 名 前 説 明

20 tcp ftpdata ftpによるデータ転送

21 tcp ftp 一般的な FTP

22 tcp ssh 一般的な SecuerShell

23 tcp telnet 一般的な Telnet

25 tcp smtp メール送信

53 tcp・udp domain 名前解決

80 tcp http 一般的な HTTP

110 tcp pop3 メール受信

119 tcp nntp Newsの配信

137 udp netbios Windows系 OSのデータ送受信

138 udp

139 tcp

445 tcp・udp Direct hosted SMB Windows系 OSのデータ送受信

143 tcp imap4 IMAP4によるメール受信

443 tcp https 暗号化された http

67 udp dhcps コンピュータ設定情報の提供(サーバ

側)

68 udp dhcpc コンピュータ設定情報の取得(クライ

アント側)

123 udp ntp 時刻同期

161 udp snmp ネットワーク管理

162 udp snmp-trap ネットワーク管理(トラップ)

500 udp ike IKE

520 udp rip RIP

521 udp ripng RIPng

514 udp syslog SYSLOG

266

Page 269: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.2. ネットワーク用語集

8.2 ネットワーク用語集

用 語 説 明

10BASE-T/

100BASE-TX

LAN の規格として幅広く利用されているイーサネットの仕様です。

10/100Mbps の伝送速度でデータ伝送が可能で、伝送方式にベースバ

ンド方式を採用し、伝送媒体がツイストペアケーブルを用いています。

10BASE-T/100BASE-TX ポートがないコンピュータを接続する場合に

は LANボード/カードが必要になります。

3DES Triple Data Encryption Standard(データ暗号標準)の略で、共通鍵暗号

方式で使用される暗号アルゴリズムのひとつです。

ACK ACKnowledgement の略で、データ送受信時の確認を示す信号です。

データ転送を開始しようとするデバイスは、データの受信先にデータ

転送開始の要求を送ります。この要求に対して、受信側から送付される

「送信許可」信号が ACKです。

ADSL Asymmetric Digital Subscriber Lineの略で一般的な電話回線を利用して

高速デジタル通信を実現させる技術です。上りの伝送速度よりも下りの

伝送速度のほうが格段に早い非対称型の DSL回線です。DSLというの

は Digital Subscriber Line の略でデジタル加入者線のことです。様々な

DSL回線方式を総称して xDSLと呼びます。

AH Authentication Headerの略で、セキュリティプロトコルの一種です。IP

データグラムにハッシュ関数(一方向性関数)で処理した結果である

メッセージダイジェスト値を付加することで、 IP データグラムの送信

者認証と、IPデータグラムに対する改変を検出する機能を提供します。

BLOWFISH 共通鍵暗号方式に利用される対称暗号アルゴリズムです。

CAST128 Carlisle Adamsの開発した暗号アルゴリズムの一種で、DESに似た暗号

アルゴリズムです。

CATV接続 CATV(Cable Television)が使っているケーブルをインターネットに接

続するための回線として利用します。ケーブルモデムを利用して周波数

の異なるテレビ映像のアナログデータとコンピュータによるデジタル

データを多重伝送します。

CBQ Class-Based Queueingの略で、トラフィックをデータのパターンによっ

てクラスと呼ばれる単位に分類し、クラスごとにパケットをキューイン

グしながらスループットを監視して、各クラスが占める帯域を調整する

ための仕組みです。CBQ には未使用の帯域を他のクラスに振り分ける

ことができるという特長があり、クラスを階層化することによって柔軟

な帯域制御が可能です。

267

Page 270: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.2. ネットワーク用語集

CSMA/CD Carrier Sense Multiple Access with Collision Detectionの略で LANのア

クセス方式のひとつです。キャリア検知、多重アクセス、衝突検出の 3

つの方式から成り立っています。データ送信前にネットワーク内にデー

タが流れているかどうかを検知し、データが流れている場合はネット

ワークが空くのを待ってからデータ送信をはじめます。もしデータの衝

突が発生しデータが壊れた場合は、ネットワーク内のノードに対し衝突

検出の通知を出し、ランダム時間待機してからデータの再送を行います。

CSU Channel Service Unitの略で、TA(Terminal Adapter)の一種です。

DES Deta Encryption Standard の略で、データ暗号標準のことです。イン

ターネットで使われる暗号アルゴリズムの 1つです。

DH Diffie-Hellman Key Agreementの略で Diffieと Hellmanによって発明さ

れた暗号アルゴリズムのことです。

DHCP Dynamic Host Configuration Protocolの略で、ネットワークパラメータ

の自動設定を行うクライアント/サーバ型のプロトコルです。DHCPサー

バは DHCP クライアントに対して IP アドレスをはじめとして、サブ

ネットマスク、デフォルトゲートウェイのアドレス、DNSサーバのアド

レス、DHCPサーバアドレスなどを通知します。

DNS Domain Name Systemの略で、数値で表現される IPアドレスと、分か

りやすい文字列で表現される名前(ホスト名)とを対応させるための分

散型データベースです。DNS はインターネット内で分散管理されてお

り、ドメイン名によって階層的に割り当てられます。

DSU Digital Service Unit(デジタル回線接続装置)の略で、デジタル回線に端

末装置を接続するための装置のことです。

ESP Encapsulating Security Payload の略で、セキュリティプロトコルの一

種です。IP データグラムのペイロード部分を暗号化することによって、

秘匿性を提供します。ESP処理されたパケットは、ネットワークの途中

経路上でのデータの覗き見を防御します。

Ethernet LAN 形式の一種です。Ethernet には数種類の仕様が規定されています

が、IEEE802委員会が作成した CSMA/CD形式が主流となっています。

使用するケーブル、伝送速度によって様々なタイプがあります。

FTP File Transfer Protocolの略で、インターネット上でファイルを転送する

ためのプロトコルです。FTPによるファイルの送受信をサポートしてい

るサーバのことを FTP サーバといい、FTP サーバのあるネットワーク

では FTPを利用したファイルの送受信ができます。

FTTH Fiber To The Homeの略で、光ファイバを家庭に引き込み高速インター

ネット環境を実現する計画で、2001年から本格的なサービスが開始しま

した。利用者宅内と集線局を光ファイバでつなぎ、集線局からインター

ネットに接続します。利用者宅内と集線局にそれぞれメディアコンバー

タと呼ばれる装置を設置する必要があります。メディアコンバータが、

電気信号と光信号のデータ変換を行います。

268

Page 271: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.2. ネットワーク用語集

HTML HyperText Markup Languageの略でハイパーテキストを記述するための

言語です。”<”と”>”で挟んだ予約語を使って、テキストのレイアウトや、

画像ファイルなどの位置、リンク先などを記述します。WWWサーバが

蓄積している HTML形式のデータを、WWWブラウザを利用して読み込

むことでWWWブラウジングが可能になります。

HTTP Hyper Text Transfer Protocol の略で、WWW サーバと WWW クライア

ント間において、HTMLファイルなどの文書を転送するために用いられ

る通信プロトコルです。

HTTPS Hyper Text Transfer Protocol Securityの略で HTMLファイルの転送を行

う HTTP に SSL によるデータの暗号化機能を付加したプロトコルのこ

とです。サーバとブラウザの間の通信を暗号化し、個人情報やクレジッ

トカード番号など重要なデータの漏洩や盗聴を防ぎます。

HUB 複数のコンピュータを接続してネットワークを構築する際に使われる機

器です。10BASE-T/100BASE-TXのポートを 4~8個備えている機器で

あれば、かなり安価に購入することができますので、オフィス内などで

小規模なネットワークを構築する場合によく用いられます。

ICMP Internet Control Message Protocol の略で、エラーの通知や通信状況の

判定を行う制御用のプロトコルです。エラー時には、パケットを送出し

た機器や 1つ手前のルータに問題発生の状況を通知します。また、通信

相手の状況を問い合わせる機能も持ちます。シンプルに作られている IP

の脆弱な部分を補完し、信頼性を向上することが ICMPの役割です。

IEEE The Institute of Electrical and Electronics Engineersの略で、電気や電子

関連の技術の標準化を行うアメリカの電気電子技術者協会のことです。

LANに関する標準化については IEEE802委員会が行っています。

IKE Internet Key Exchangeの略で、IPsecなどで使用される秘密鍵や共有鍵

の自動交換に使われるプロトコルです。IKE を使うことで、IPsec で使

用する鍵の定期的な変更が容易になり、更に高いセキュリティを確保す

ることができます。

IMAP4 Internet Message Access Protocol version4の略でメールサーバ上の電

子メールを閲覧・管理するプロトコルです。電子メールをサーバ上で管

理するため、異なる端末から 1つの電子メール環境を管理することがで

き、モバイル環境に適した方式です。

IP Internet Protocol の略で、インターネットを構成する通信機器が共通に

利用するプロトコルです。インターネットで通信を行うとき、データは

通信経路上のノードを中継して通信相手まで届けられますが、IPはこの

データ中継の役目を担います。IPはパケットが通信相手に届くように努

力はしますが、その到達性については保証しません。この IPの特質をベ

ストエフォート型と呼びます。

269

Page 272: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.2. ネットワーク用語集

IPsec IPsec はインターネットで標準となっているネットワーク層のセキュリ

ティを実現するためのプロトコルです。AHと ESPという 2つのセキュ

リティプロトコルと IKE という鍵交換プロトコルから構成されます。

AH、ESPの機能を用いることで、IP データグラムのセキュリティを確

保します。

IPv4アドレス IPv4はネットワークに接続されているホストを一意に表すためのプロト

コルです。インターネット上では、全世界でユニークな値(グローバル

アドレス)のみ使用することができます。これに対して、家庭内や社内

でのみ使用できる値(プライベートアドレス)があり、以下の範囲で使

用可能です。

 ・10.0.0.0~ 10.255.255.255

 ・172.16.0.0~172.31.255.255

 ・192.168.0.0~192.168.255.255

IPv6アドレス IPv6で接続されているホストを一意に表すための数値で、4桁ずつ”:”で

区切った 16 進数で記述します。インターネット上で使える値(グロー

バルアドレス)、そのセグメント内でのみ使える値(リンクローカルアド

レス)があり、リンクローカルアドレスを使う場合は、一般にどのセグ

メントかを選択するための識別子を指定する必要があります。

ITU-T International Telecommunication Union Telecommunication Standard-

ization Sectorの略で、ITU(国際電気通信連合)の下部組織である電気

通信標準化部門のことです。主に電気通信技術の標準化を行います。

MD-5 Message Digest Algorithm-5の略で、ハッシュ関数の 1つです。

LAN Local Area Network の略で比較的狭い地域内でのコンピュータネット

ワークのことです。ルータを介してインターネットに接続されます。

NAPT Network Address Port Translationの略で、複数のプライベートアドレス

を 1つのグローバルアドレスに対応付ける機能です。この機能を利用す

ることで、プライベートアドレスを使用している複数のコンピュータを

1つのグローバルアドレスを使ってインターネットに接続させることが

可能になります。IP Masqueradingとも呼ばれています。NATでは 1つ

のプライベートアドレスを 1つのグローバルアドレスに変換するのに対

して、NAPTでは複数のプライベートアドレスを 1つのグローバルアド

レスに変換することが可能です。

NAT Network Address Translationの略で、インターネット上では使用できな

いプライベートアドレスを、インターネット上で使用できるグローバル

アドレスに変換する機能です。家庭内や社内でプライベートアドレスを

使用している場合、そのアドレスのままでは直接外部と通信することは

できません。NATは、NAT機能を備えた機器を通過するときにそのデー

タ内のアドレスを書き換えることによって、ユーザがプライベートアド

レスやグローバルアドレスの違いを意識することなく、インターネット

を利用できる仕組みを提供します。

270

Page 273: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.2. ネットワーク用語集

NetBEUI NetBIOS Extended User Interfaceの略で、NETBIOSの拡張プロトコル

です。

NetBIOS Network Basic Input/Output System の略で米 IBM が定めました。LAN

を経由してアプリケーションがデータを読み書きする場合に使われる

セッション層の通信インタフェースです。

NNTP Network News Transfer Protocolの略で、TCPセッション上のプロトコ

ルです。ニュースというシステムで交換されている記事をインターネッ

トを用いて転送するためのプロトコルです。

NTP Network Time Protocol の略で、インターネット上での正確な時刻情報

を提供するためのプロトコルです。NTPを利用することで分散した多数

のコンピュータ間で時刻同期をとることができます。

NTPサーバ NTPを用いて時刻情報を提供するサーバです。一般に NTPサーバは他

の NTP サーバのクライアントとなり階層構造状に時刻の同期が取られ

ます。

ONU Optical Network Unit の略で、光ファイバ通信網に端末装置を接続する

ための装置のことです。

OSPF Open Shortest Path Firstの略で、ルーティング情報を交換するためのプ

ロトコルです。複数の経路が存在する大規模な LAN でよく使用されま

す。

Ping TCP/IPネットワークにおける、ICMPを使った IPパケットの到達性を

調べるためのコマンドです。

POP3 Post Office Protocol version3の略で、メールサーバ上のメッセージをダ

ウンロードする機能と削除する機能を提供しています。

PPPoE PPP over Ethernet の略で、 Ethernet などのネットワーク上で PPP 接

続のような利用者のユーザ名、パスワードのチェックを行うために考案

された規格のことです。

RIP Routing Information Protocolの略で、ルーティング情報を交換するため

のプロトコルです。比較的小規模な LANでよく使用されます。

RIPng IPv4 で使用されている RIP を IPv6 に対応させたものです。IPv6 をサ

ポートしている機器の多くが対応しています。

Secure Shell 遠隔地からコマンドツールを使用する際、通信経路をすべて暗号化する

ことで安全性を高めたリモートシェルです。

SHA-1 Secure Hash Algorithm-1 の略でインターネット上でよく利用される

ハッシュ関数の 1つです。

SMTP Simple Mail Transfer Protocolの略で、電子メールを配信・投函するため

のプロトコルです。SMTPは TCPを利用しており、SMTPクライアン

トと SMTP サーバがコマンドによる会話をしながら転送処理を行いま

す。

271

Page 274: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.2. ネットワーク用語集

SNMP Simple Network Management Protocol の略で、ネットワーク機器を管

理するためのプロトコルです。SNMPを使うとネットワーク機器の状態

をネットワークを使って収集することができます。

SNMPエージェント SNMPを使って要求された情報を提供する機能を持ったネットワーク装

置、またはソフトウェアのことです。リクエストに対して現在機器がど

ういう状態にあるかという情報を送り返すだけでなく、SNMPトラップ

をネットワーク監視装置に対して送る機能も持っています。

SNMPトラップ ネットワーク機器がネットワーク管理を行っている装置に対してシグナ

ルを送るために使用されます。通常は、ネットワーク装置の起動、終了、

異常状態の発生など、ネットワーク装置のトラブル、またはトラブルに

なりそうなことをネットワーク監視装置に通知する場合に使用します。

SPI Security Parameters Index の略で、認証・復号処理の際に必要となる

情報を得るための指標値のことです。SPIは AH、ESPヘッダ内にある

SPI フィールドによって運搬されます。IPsec を用いたセキュリティ通

信を行う装置は、自分が持っているセキュリティアソシエーションの

データベースから受け取った SPIを使って認証・復号処理を行うための

情報を引き出します。

SYSLOG UNIXで標準的に使われているシステムのログを記録するシステムです。

ネットワークを使って他のコンピュータにログを記録することも可能で

す。

TCP Transmission Control Protocolの略でアプリケーションプログラム同士

のデータ転送サービスを提供するトランスポート層のプロトコルです。

信頼性・確実性があるために、電子メール、WWWブラウザ、FTPなど

に利用されています。通信する場合、まず相手とコネクションと呼ばれ

る通信経路を確立し、データ転送中は通信相手の状況をみてデータ量や

転送速度の調整、データの再送を行います。

TCP/IP ネットワーク層プロトコルの IPをベースに、トランスポート層で TCP

(Transmission Control Protocol)または UDP(User Datagram Protocol)

を使って通信するプロトコル群の総称です。電子メールや Web などイ

ンターネット上のサービスは、すべて TCP/IPに基づいています。

Telnet Telecommunication Network の略で TCP セッション上のプロトコルで

す。サーバであるコンピュータに接続して文字などのキャラクタベース

の CUI を提供します。ユーザは Telnet を使うことで遠くに離れたホス

トにログインし、ユーザ端末からコマンドを入力し、リモートマシンを

コントロールすることができます。

Traceroute TCP/IPネットワークにおける IPパケットのルートをトレース・検査す

るコマンドです。

272

Page 275: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.2. ネットワーク用語集

transportモード IPsecで定義される 2つの通信モードの一つで、端末と端末との通信に

対して認証や暗号化を行う場合に使用します。トランスポートモードで

は、基本的に送受信する IPパケットの IPヘッダを除いた部分を暗号化

します。

tunnelモード IPsecで定義される 2つの通信モードの一つで、ネットワーク間の通信

に対して認証や暗号化を行う場合に使用します。トンネルモードでは、

IPパケット全体を暗号化させます。

UDP User Datagram Protocol の略で、トランスポート層プロトコルとして

データ転送サービスを提供します。TCPのようなコネクションの概念を

持たないため、同一のデータを複数の相手に送信することができますが、

転送の信頼性はありません。UDPは DHCP、SNMP、RIPなどの同報を

行うプロトコルや、インターネット電話などのストリーミングデータを

扱うアプリケーションなどに利用されています。

URL Uniform Resource Locatorの略で、インターネット上のリソースへのア

クセス方法とその場所を一括して指定する表記方法です。一般化する

と、<scheme>:<scheme-specific-part>のようになります。schemeは

アクセスする方式を表し、scheme-specific-part はリソースへのアクセ

スパスを表わします。

VLAN Virtual LANの略で、LANにおいて、ケーブルやコンピュータの物理的な

接続形態に関わらず、LAN上の特定のノードだけで仮想的なネットワー

クの構築を可能にする技術です。

VPN Virtual Private Networkの略で、離れた拠点内にあるにプライベートネッ

トワーク同士を、パブリックネットワークであるインターネットを用い

て接続し、透過的に利用できる状態にあるネットワークを表わします。

WAN Wide Area Networkの略で、閉じられた狭い範囲ではなく、非常に広い

範囲に渡って結ばれた広域ネットワークのことです。通信事業者の提供

する公衆回線や専用線などを利用して、広域に端末を設置したり、離れ

た場所にある複数の LANを接続したりするネットワークです。

Web/

WWW

World Wide Webの略でネットワーク上に置かれたコンテンツやリソー

スにアクセスするための仕組みです。ユーザはコンテンツが置かれた

WWW サーバにアクセスして、HTTP プロトコルによってサーバ上の

データを取得し、WWWブラウザによって処理したデータを表示させる

ことでWWWブラウジングを行います。

Web/

WWWブラウザ

WWW を閲覧するためのアプリケーションで Netscape Navigator、In-

ternet Explorer が代表的です。Web ブラウザは取得した HTML 文書を

処理しフォーマットを整えてWWWの閲覧を実現します。

アカウント コンピュータネットワーク上で利用者を識別するための ID となるもの

です。アカウントによってコンピュータやネットワーク上にある資源を

利用できる権利を制限することができます。

273

Page 276: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.2. ネットワーク用語集

暗号化 ネットワーク上でデータをやり取りする際に第三者からデータを盗聴

されても理解できないようにするために、鍵と呼ばれるビット列を用い

てデータを暗号に変換することを暗号化と呼びます。逆に暗号化された

データを暗号化される前の元データに変換することを復号化と呼びま

す。

インタフェース 一般的に異なるコンピュータの装置間、プログラム間、あるいはユーザと

装置の間で情報を交換する方式や接続仕様を指します。異なる装置間、

プログラム間、ユーザと装置の間の境界にあたる部分がインタフェース

となります。

カスケード接続 ポートの増設をするために、ハブなどの接続機器同士のポートをケーブ

ルでつなぐ接続方法のことです。

共通鍵暗号方式

(秘密鍵暗号方式)

データを暗号化/復号化するためには鍵と呼ばれるビット列を利用します

が、データの暗号化と復号化に同じ鍵を使用する暗号方式のことを共通

鍵暗号方式と呼びます。共通鍵は通信する相手しか知らないため秘密鍵

暗号方式とも呼ばれます。共通鍵暗号方式で使用される暗号アルゴリズ

ムの代表的なものとして、DES、3DES、RC4などがあります。共通鍵

暗号方式では通信相手と事前に鍵を共有しておく必要があり、共有され

た鍵は preshared key(事前共有鍵)などと呼ばれます。

クライアント/

サーバモデル

サービスの要求を受けてサービスを提供する側(サーバ)とサービスを

利用する側(クライアント)という二つの要素で成り立っている通信モ

デルをクライアント/サーバモデルと呼びます。インターネットのアプリ

ケーションは主にこのクライアント/サーバモデルという概念に基づいて

作られています。

グローバルアドレス InterNIC や JPNIC などのドメイン名管理団体から正式に割り当てられ

た世界で一意な IPアドレスをグローバルアドレスと呼びます。

公開鍵暗号方式 データを暗号化/復号化するためには鍵と呼ばれるビット列を利用します

が、公開鍵暗号化方式では暗号鍵と復号鍵の 2つの鍵のうちどちらかを

公開します。公開された鍵は「公開鍵」と呼ばれ、公開しない鍵は「秘

密鍵」と呼ばれます。公開鍵暗号化方式で使用される暗号アルゴリズム

の代表的なものとして、RSAがあります。

静的ルーティング あらかじめ管理者が明示的に経路設定を行うルーティング方法です。

セキュリティ

アソシエーション

認証、暗号通信を行うために、双方で合意し確立されていなければなら

ない情報のことをセキュリティアソシエーションといいます。セキュリ

ティアソシエーションが持つ情報には、認証アルゴリズム、暗号アルゴ

リズム、認証鍵、暗号鍵、鍵長などがあります。

セキュリティ

ポリシー

ファイアウォールやルータなどの設定のルールをセキュリティポリシー

と呼ぶ場合があり、本マニュアルではその意味で使っています。一般的

には、セキュリティ脅威への対策として全組織的に取りまとめた情報セ

キュリティに関する基本方針をセキュリティポリシーと呼びます。

274

Page 277: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.2. ネットワーク用語集

専用線 利用者が電気通信事業者から必要とする特定の区間を指定して借り受

け、専用して使用する回線のことです。

ダウンロード ネットワークで接続されているコンピュータ間で、接続先(リモート側)

コンピュータから接続元(ローカル側)コンピュータへデータやプログ

ラムなどを転送することをダウンロードと呼びます。その逆はアップ

ロードと呼ばれます。

帯域制御 1 つのリンクを共有する複数のトラフィックに、帯域という観点から

ネットワーク資源を計画的に分配するための制御のことをいいます。あ

るトラフィックに、どんな時も最低限これだけの帯域を割り当てたい、

というような要求がある場合、帯域制御機能を使用します。

デフォルトクラス CBQ 使用時帯域幅が 100% の予め定義されている特別なクラスを指し

ます。初めてクラスを追加する場合に、親クラスとして指定することが

できます。

動的ルーティング ルータ同士で経路情報などをやり取りして、最適な経路を選択するルー

ティング方法です。大規模なネットワークでは、動的ルーティングが一

般的です。

トラフィック ネットワークの通信における通信量を指します。通信経路上を流れるト

ラフィックが多くなると、情報の遅延や損失の可能性が高くなります。

ネットワークのノードでは、情報遅延や損失を防ぐために、各経路のト

ラフィックを均等化するように経路を迂回したり、必要のない情報を流

さないように経路を選択したりといった対策が必要となります。

トンネリング インターネット上に仮想的なリンクを設定するための技術で、VPN を

実現する際等に用いられます。IP パケットを IP パケットで包んで転送

し、途中のルータの影響を最小限に抑えると同時に、暗号化などにより

セキュリティを強化することも可能です。この機能により、離れたとこ

ろにある IPv6ネットワークを、IPv4ネットワークを使って通信させる

ことができます。

認証 データの安全性を確保するために、通信相手や通信データの完全性、正

確性を確認することを認証と呼びます。認証の方法としてパスワード方

式、秘密鍵暗号方式に基づく方式、公開鍵暗号方式に基づく方式などが

あります。認証のために利用する鍵を認証鍵と呼ぶこともあります。

ネットマスク ネットワークで使用できる IPv4 アドレスの範囲を指定するもので

す。例えば、ネットワークアドレス「192.168.0.0」、ネットマスク

「255.255.255.248」の場合、そのネットワークの範囲は「192.168.0.0~

192.168.0.7」となります。

ネットワーク

アドレス

特定のネットワーク全体を指すアドレスのことです。例えば

「192.168.0.1/24」という IP アドレスを持つコンピュータが属するネッ

トワークのネットワークアドレスは「192.168.0.0」になります。

275

Page 278: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.2. ネットワーク用語集

パケット 送信したときにデータはコンピュータ内で細かい素片に分解され一定の

形式のフレームに整えられて転送されていきます。この分解された素片

のひとつひとつをパケットと呼びます。パケットには送信者/受信者の識

別子、データの大きさなど必要な情報が付加されます。

パケット

フィルタリング

ルータが IPパケットの送信元や受信先の IPアドレス、ポート番号など

から IPパケットの通信の許可・不許可を判断し、許可しないパケットを

通過させないようにする技術です。

パス ファイルまたはディレクトリの場所を示すための文字列です。UNIX 系

の OS では”/”で、日本語版の MS-DOS や Windows では”Y”でディレク

トリ名を区切り、ディレクトリ名とファイル名を指定します。

ハッシュ関数 暗号の一種で元の情報の長さによらずデータを一定の長さに圧縮しま

す。ハッシュは一方向関数とも呼ばれ圧縮されたデータからは復号化が

不可能であるという特性をもちます。異なるデータからハッシュ処理を

行うと異なる圧縮データが生成されますが、同じデータを同じハッシュ

で圧縮すれば同じ圧縮データが生成されます。ハッシュによって圧縮さ

れたデータをメッセージダイジェストと呼びます。

パディング データがあるフォーマットを構成する場合、データ量が足りない場合な

どに埋め合わせとして利用されるデータをパディングと呼びます。

光専用線 光ファイバの専用線のことです。波長を使って光信号を伝送することが

できる、ガラスやプラスチックによって作られた線です。光ファイバは

周波数をあげても波形が崩れないため、高速通信を実現することができ

ます。

ファームウェア ハードウェアに保存されている基本ソフトです。

プライベート

アドレス

IPアドレス管理団体への申請なしで企業内や学校内などのプライベート

ネットワークにおいて自由に使用できる IP アドレスのことです。プラ

イベートアドレスはグローバルネットワーク内では利用できないため、

NAT/NAPT機能を利用してプライベートアドレスをグローバルアドレス

に変換する必要があります。

ブリッジ ネットワークを相互接続するためには、データのコントロールを行いな

がら中継する必要があります。ブリッジは、データリンク層で LANのセ

グメント間を相互接続します。

プレフィクス長 ネットワーク上で使用できる IPv6 アドレスの範囲を指定するもの

です。例えば、ネットワークアドレスが”2001:240:fffe::”、プレフィッ

クス長が”/48”の場合、そのネットワークの範囲は、 2001:240:fffe::~

2001:240:fffe:ffff:ffff:ffff:ffff:ffffとなります。

276

Page 279: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章資料・付録

8.2. ネットワーク用語集

プロキシサーバ インターネットへのアクセスを中継するためのサーバです。プロキシは

代理という意味です。ネットワークの安全性や IP アドレスの設定の関

係からネットワーク内部から直接インターネットに接続できないような

場合、プロキシサーバがネットワーク内の機器を接続するように中継し

ます。また、ネットワーク内の利用者が別々に遠方のWWWサーバにア

クセスするとサーバにかかる負荷が高くなるため、適切なグループごと

にデータをキャッシュ(一時的にデータを保存)し、同じWWWサーバ

へのアクセスを要求された場合、キャッシュサーバのデータを返して負

荷を軽減させます。

プロトコル 複数のコンピュータなどの機器が通信するときに使用する、メッセージ

のやり取りの方法や手順を定めた取り決めのことです。

プロバイダ Internet Service Provider のことで ISP とも呼ばれます。電話回線や専

用線などを通じて、インターネット接続サービスを提供する通信事業者

です。

ポート番号 アプリケーションを特定するために用いられる概念がポートです。ポー

トにはポート番号が振られておりトランスポート層プロトコルの TCP

や UDP がポートによってアプリケーション層のプログラムとの関連付

けを行います。なお、サーバアプリケーション(サーバにより提供され

るアプリケーション)ではポート番号はすでに決められておりウェルノ

ウンポートと呼ばれています。

ボトルネック システム全体の中でもっとも遅い部分のことをいいます。

メディアコンバータ 銅線ケーブルと光ファイバのように異なる伝送媒体を接続し、伝送信号

を相互変換するための装置のことです。

メディアタイプ 通信用の伝送メディアの種類のことです。ケーブルの種類などを指しま

す。

メトリック ルーティングテーブルが持つ、最終経路の決定のために使う値のことで、

ルーティングメトリックとも呼ばれます。メトリックには、最終宛先ま

での距離、ホップ数、ネットワークの状態、パスコストなどが含まれて

います。

モデム 端末を電話回線に接続し、データを送受信するための装置です。コン

ピュータが処理するデジタル信号を電話回線が扱うアナログ信号に相互

変換します。

ライフタイム パケットや認定項目の有効時間のことです。パケットの場合、有効時間

を過ぎても宛先に到達しなかったパケットは破棄されます。IPsecでは、

SAにライフタイムの設定ができます。

ルータ広告 ルータ通知とも言います。ルータがプレフィックスなどの情報を定期的

に送信することで、そのセグメントに接続したホストは受け取った情報

から自動的にネットワーク設定を行い、通信をすることができます。

277

Page 280: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 8章トラブル・シューティング

ルーティング ネットワーク上の目的アドレスまでの転送経路を選択するプロセスを

ルーティングといいます。ルーティングは管理者が明示的に行う静的

ルーティングと、ルータ同士で経路情報などを交換して最適な経路を選

択する動的ルーティングがあります。動的ルーティングでは経路情報を

集め、最適経路を選択し、パケットを送信するという 3つの処理が含ま

れます。パケットを中継するルータはルーティングテーブルを持ち、そ

れを比較することで経路選択を行います。ルーティングテーブルはルー

ティングプロトコルによって作成されます。

ループ 送信されたパケットが宛先に届かずに同じところを何度もまわりつづけ

る状態のことです。

ループバック ネットワークの疎通確認などを行うためのテストです。機器自身を指す

IPアドレスであるループバックアドレスを使って行います。ループバッ

クアドレスは IPv4では通常「127.0.0.1」が使われます。

ログ コンピュータの利用状況の記録のことです。コンピュータの稼動中の動

作状況や更新情報、データの転送状況などが含まれます。システム障害

時や復旧時にログを参照することは障害原因の特定に役立ちます。ログ

を採取する機能をロギング機能と呼びます。

278

Page 281: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 9章トラブル・シューティング

9.1. LEDの点灯状態

第 9 章 トラブル・シューティング

本章では、CS-SEIL-510/Cの設定や CS-SEIL-510/Cを使用してインターネットに接続できない場合

など、困ったときの対策についてご説明します。

9.1 LEDの点灯状態

SEILは前面の 7セグメント LEDにより動作状態を確認することができます。

a

b c

d

ef

g

h

■全消灯時

何も接続されていない状態です。

■ LED ”d” セグメントが点灯

LAN0ポートが接続されている状態です。

※ LANケーブルが接続されているにもかかわらず、LAN0ランプが点灯しない場合は、ケーブルの

不良か LAN速度の不一致が考えられます。

■ LED ”g” セグメントが点灯

LAN1ポートが接続されている状態です。

279

Page 282: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 9章トラブル・シューティング

9.1. LEDの点灯状態

※ LANケーブルが接続されているにもかかわらず、LAN1ランプが点灯しない場合は、メディアコ

ンバータあるいは ADSLモデムなどとの接続不良が考えられます。接続をご確認ください。

■ LED ”a~g” セグメントが点灯

ファームウェアの更新中です。

注意

LED ”a~g”セグメント点灯時は、内蔵フラッシュメモリへ

の書き込みを行っています。LEDが消灯するまでは、絶対

に電源を切らないでください。

※ 万一電源を入れなおしても起動できなくなった場合、お買い上げの販売店にご相談ください。

■ LED ”b” セグメントが点灯、”c” セグメントが点滅

SEIL が異常を検知しています。すみやかに電源を入れ直してください。状況に改善が見られない、

もしくは現象が頻発するようであれば、お買い上げの販売店にご連絡ください。

280

Page 283: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 9章トラブル・シューティング

9.2. 故障かな?と思ったとき

9.2 故障かな?と思ったとき

※ SEILの画面が開けない

※ インターネットに接続できない

このような場合は、各項のチャートに従って処置を行ってください。処置後も SEIL が正常に動作し

ない場合は、 ó� [9.3自己診断テスト¤ ¡P.285£ ¢]をご覧ください。

警告

付属の専用 ACアダプタ(DC5V)以外のものは、絶対に使

用しないでください。火災、感電、故障の原因となります。

SEILの電源は、AC100V± 10%(50/60Hz)の電源以外

では、絶対に使用しないでください。異なる電圧で使用す

ると、火災、感電の原因となります。

SEILの内部の点検、調整、清掃、修理は、危険ですから絶

対にしないでください。SEIL の内部には電圧の高い部分

があり、感電の原因となります。SEIL の内部の点検、調

整、清掃、修理は、お買い上げの販売店に依頼してくださ

い。

注意

 

機器を接続する場合には、必ず電源プラグを ACコンセン

トから抜いてください。電源プラグを ACコンセントに接

続したまま、機器の接続をすると、感電の原因となること

があります。

281

Page 284: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 9章トラブル・シューティング

9.2. 故障かな?と思ったとき

■ 9.2.1 不具合時の確認手順

■ 7セグメント LEDが点灯しないとき

AC DC SEILDC

AC AC

ON

ON

282

Page 285: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 9章トラブル・シューティング

9.2. 故障かな?と思ったとき

■ CS-SEIL-510/Cの画面が開けないとき

SEILSEIL

HUB

HUB

ON

HUB ON

WWW

SEIL

LAN0 LINK/ACT LED

TCP/IP TCP/IP

WWW Proxy WWW Proxy

SEIL

SEIL

SEIL

LED

LED

283

Page 286: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 9章トラブル・シューティング

9.2. 故障かな?と思ったとき

■インターネットに接続できないとき

SEILSEIL

SEIL LAN1

LINK/ACT LED

SEIL

ADSL

284

Page 287: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

第 9章トラブル・シューティング

9.3. 自己診断テスト

9.3 自己診断テスト

SEILは、電源を投入すると同時に自動的に自己診断を行います。

SEILをつないだコンピュータからインターネット接続ができない、もしくは設定が正常に行えなかっ

た場合、あるいは ó� [9.2故障かな?と思ったとき¤ ¡P.281£ ¢]の対処でも問題が解決できなかった場合

などは、下記の手順で SEILの自己診断テストを行ってみてください。

1. SEILの電源をつなぎます。

2. SEILが自動的に自己診断テストを開始します。

次の項目を順にテストします。

• RAM

• フラッシュメモリ• LANデバイス

3. 自己診断テストが終了すると‥

• 診断結果が正常のときは、LED ”h”セグメントが点滅します。

• 異常があったときは、LED ”b”セグメントが点灯、LED ”c”セグメントが点滅します。

上記のような異常があった場合、SEILを再起動しても状況に改善が見られない場合は、お買い上げ

の販売店にご相談ください。

285

Page 288: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

 

Page 289: CS-SEIL-510/C ユーザーズガイド コマンドラインインタ …...第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

発行元 センチュリー・システムズ株式会社

    〒180-0022 東京都武蔵野市境1-15-14 宍戸ビル

本書は著作権法上の保護を受けています。

本書の一部あるいは全部について、著作権者からの許諾を得ずに、いかなる方法においても無断で複製、

翻案、公衆送信等することは禁じられています。

FutureNetは、センチュリー・システムズ株式会社の商標または登録商標です。

その他、本書に掲載されている商品名、会社名等は各会社の商号、商標または登録商標です。

本文中では、TM、 r©マークは表示しておりません。Copyright (c) 2007 Century Systems Co., Ltd. All rights reserved.

本書に記載されている事柄は、将来予告なしに変更することがあります。