|
◆ L2モード ( 透過モード )
インターフェースは、Routeモードか、NATモードとして使用するL3モードで使用することが多いのですが
インターフェースを全て同じセグメントとして使用するL2モード(透過モード)として使用することも可能です。
透過モードとして動作させるためには、すべてのインターフェースにIPアドレスを割り当てない設定にします。
そして、この透過モードの場合のみ、管理用としてVLAN1を使用して、そこにIPアドレスを割り当てられます。
L2モードで使用する場合、デフォルトで存在するゾーンとしては「V1-Untrust、V1-DMZ、V1-Trust」を
使用します。「V1-」から始まるゾーン名です。管理者がL2モードのゾーンを定義する場合、L2-から始まる
ゾーン名を設定します。あとはL3モードと同じ考え方でインターフェースに作成したゾーンを割り当てます。
※ SSGはL2モードで動作させてもスパニングツリーは動作しません。受信したBPDUはそのまま透過します。
◆ ユーザ定義のL2ゾーンの作成 ( デフォルトのゾーンだけを使用する場合は設定不要 )
set zone name zone L2
◆ 設定例 : Layer2ゾーン「L2-TEST1」を作成 (L2ゾーン作成の場合、名前の先頭に L2- をつける)
| SSG5-> set zone name L2-TEST1 L2 |
◆ VLAN 1インターフェース
L2モードでは、管理アクセスのためのIPアドレスを割り当るためにVLAN 1インターフェースを使用します。
VLAN 1はどの透過ゾーン( L2ゾーン )からもアクセスできる論理インタフェースです。L2モードでは、
SSGへの管理アクセスは物理インターフェースごとに設定するか、または、ゾーンに対して設定を行います。
物理I/Fとゾーンの両方に管理アクセスを設定した場合、物理I/Fに設定した内容が優先され継承されます。
※ 当然、大本としてVLAN 1インターフェースそのものに管理アクセスを有効化しておく必要があります。
VLAN1インターフェースはVLANゾーンに所属します。VLANゾーンはセキュリティゾーンではありません。
ポリシーは異なるセキュリティゾーン間で適用されるので、VLAN1 I/Fに対するポリシーは不要であります。
◆ L2モード(透過モード)の設定
1. IPアドレスの削除
unset interface interface ip
◆ 設定例 : bgroup0 と ethernet0/0 のIPアドレスの削除
SSG5-> unset interface bgroup0 ip
SSG5-> unset interface ethernet0/0 ip
|
2. 透過ゾーンの割り当て
set interface interface zone zone
機種やバージョンにより1つのインターフェースに透過ゾーンを割り当てるだけで Changed to L2/L3 mix mode と表示されます。
SSGをL2モードとして動作させるためには、全てのインターフェースに透過ゾーンを割り当てる必要があります。全てに割当て後、
Changed to pure l2 mode と表示すればL2モードへ移行完了。get system では System in transparent mode.と表示されます。
◆ 設定例 : bgroup0 に V1-Trust を割り当てる設定 ethernet0/0 に V1-Untrust を割り当てる設定
SSG5-> set interface bgroup0 zone V1-Trust
SSG5-> set interface ethernet0/0 zone V1-Untrust
|
3. 管理インターフェースの設定
set interface vlan1 ip address/mask
※ 管理インターフェースのIPアドレスとは別に管理用のIPアドレスを設定したい場合は set interface vlan1 address
で設定
◆ 設定例 : VLAN 1 の管理インターフェースに「192.168.0.100」の割り当て
| SSG5-> set interface vlan1 ip 192.168.0.100/24 |
4. 管理サービスの有効化
◆ 設定例 : 全ての管理サービスを有効化する設定
| SSG5-> set interface vlan1 manage |
◆ 設定例 : PING、Webアクセス、Telnetアクセスのみ有効化する設定
SSG5-> set interface vlan1 manage ping
SSG5-> set interface vlan1 manage web
SSG5-> set interface vlan1 manage telnet
|
5. ゾーンごとの管理アクセスの有効化
set zone zone manage service
◆ 設定例 : V1-Trust ゾーンでの ping/web/telnet管理アクセスの有効化
SSG5-> set zone V1-Trust manage ping
SSG5-> set zone V1-Trust manage web
SSG5-> set zone V1-Trust manage telnet
|
6. ブロードキャストの設定 ( オプション ) ・・・ 基本的にデフォルト値で問題ありません。
◆ MACテーブルにエントリがない場合、受信I/Fを除き、全ての透過モードI/Fに元のパケットが送出される(デフォルト設定)
| SSG5-> set interface vlan1 broadcast flood |
◆ MACテーブルにエントリがない場合、受信I/Fを除き、全てのインターフェースにARPリクエストが送出される
| SSG5-> set interface vlan1 broadcast arp |
7. ポリシーの作成
set policy [ id number ] from zone to zone source-address dest-address service [ deny | permit | reject ]
◆ 設定例 : V1-Trustゾーンから、V1-Untrustゾーンへ全ての通信を許可する設定
| SSG5-> set policy from "V1-Trust" to "V1-Untrust" "Any"
"Any" "ANY" permit |
| 透過モードで確認すべきコマンド |
説明 |
| get interface |
そのインターフェースがL2モード(透過)であることを確認 ⇒ mode xparent |
| get arp |
L2モード、L3モードともにARPキャッシュを確認。L2モードの場合ゾーン名で表示。 |
| get mac-learn |
MACアドレステーブルの確認。 |
| get session |
セッションテーブルの確認。L2モード、L3モードともに確認できるコマンド。 |
※ L3モードの bgroup0 でMACアドレステーブルを確認したい場合は get int bgroup0 mac-table コマンドで確認できます。
|