16. ネットワ−ク装置1.5 16-1. マルチホ−ミング装置 (1) マルチホ−ム事はじめ -------------------------------------------------------------------------------- ここは2004年半ばに記述した LinkProof Branch の設定方法をまとめたものである。 -------------------------------------------------------------------------------- * はじめに 今日、インタ−ネットは通信手段の一つとして、完全にそのインフラとなった。インタ− ネットヘの接続回線の冗長化は、通信を確実にするためにもはや必須と言える。しかし数 年前までは BGP-4 という特殊な方法、 高額なコストでもってでしか冗長化は実現できな かった。それが昨今、百万円を切るマルチホ−ミングなる装置でできるようになった。し かしこの装置の導入には、DNSの仕組みの深い理解など、かなりのノウハウが必要にな る。LinkProof を知ったのは、2003年の6月頃あったビッグサイトでの展示会である。 直感的にこれはいいと思った。それから同種の装置を調べたが、あるところは LinkProof のラドウェア社に特許侵害で訴えられて撤退するとか。またあるところは出すには出した が、もう引け腰でサポ−トを早々に止めるとか。 マルチホ−ム装置では LinkProof がど うやらデファクトになって行く雰囲気である。 本ドキュメントは実際やったことを忘れない内にまとめた。多分DNS検索の流れなんか を、もう少し漫画で説明しないと理解は難しいかも知れない。希望とあらばお話に伺うの もやぶさかではない。エンジニアが知りたいのは、インタ−ネットのマルチホ−ミングす るため、LinkProof を用いるとどのようなネットワ−ク構成にしたらいいのか。パブリッ クIPアドレスは一体何個いるのか、経路情報はどうするのか。限定されたネットワ−ク 部分の変更で済むのか、大がかりな変更が必要になるのか。こんなようなことを、ネット ワ−ク管理者は装置を導入する前に、あらかじめ検討したいのである、否すべきなのであ る。そうしなければ、装置のスム−ズな設置はできない。最初にも言ったがこれは非常に 複雑な装置である。業者に設置を依頼するにしても、社内のエンジニアも相当な勉強と業 者への協力が必要なことは間違いないことである。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ □―\_________/ DNS2次 : : : : □ □ Router | | -------------------- LinkProof 装置の Software Version: 3.81.00 | LinkProof Branch | 設定専用ソフトウェア Configware 1.89 -------------------- | -------------------- | WWW,DNS1次 NAT ------- □ ◇ MAIL | | | | FireWall | |-------------------- プライベ−トIPアドレス ------- | ------------------------------------ プライベ−トIPアドレス [ もう一つの意味のマルチホ−ム ] 1台のEWSに複数のIPアドレスを付けること。正確には1つのネットワ−ク・インタ −フェ−スに複数のIPアドレスを付ける技術。インタ−ネットで使われるのはWWWサ −バのホスティングの Virtual Host だろう。Solaris 2.x のOSではマルチホ−ムの設 定ができる。vif という設定用のフリ−ソフトもあるらしい。 Silicon Graphics 社のマ シンではIPエリアシングと言っている。IRIX 5.3+Patch または IRIX 6.2以降のOSで /etc/config/ipaliases.options ファイルで設定するようになっている。Cisco のル−タ も以前からできるみたいである、設定コマンドまでは確認してないが。 * LinkProof にアクセスする方法 RS-232C 接続 ストレ−トケ−ブル。LinkProof Branch には入ってない。 専用ソフト Configware の Stand-alone タイプ。 WWWブラウザ Configware の Web-Based タイプ。暗号化WWWも対応する。 Telnet 接続 上位機種では SSH による暗号化アクセスもできる。 一括管理ソフト Configware Insite。複数の Radware ソフトに製品を管理する。 * 初めてアクセスするには [ RS-232C でアクセスする ] CL( Command Line ) Windows パソコンなら、例えば Windows 98 なら付属の通信ソフトの "HyperTerminal"が 使える。Hypertrm.exe を選んで [新しい接続のプロパティ]->[接続の設定]->[接続方法] で RS-232C のインタ−フェ−スの "Com1へダイレクト" などを選ぶ。[モデムの設定] で RS-232C のパラメ−タをセットする。 19200 bps, 8 bit, Parity None, Stop Bit 1, フ ロ−コントロ−ルはなしである。 [ WWWブラウザでアクセスする ] WBM( Web Based Management ) デフォルトではポ−トの1番が 192.168.1.1 になっている。パソコンを 192.168.1.0 セ グメントにあることにして、 パソコンのIPアドレスを 192.168.1.5 ぐらい適当に付け る。デフォルト経路は 192.168.1.1 にする。そしブラウザでは http://192.168.1.1/ に アクセスする、ユ−ザ名とパスワ−ドを入れる。デフォルトの文字列を入れる。 [ 専用ソフトでアクセスする ] Stand-alone Configware ソフトの Configware は SNMP で LinkProof と通信する。SNMP は UDP のポ−ト 161 番 を使う。SNMP のコミュニティ名は "public" である。 WWWブラウザでアクセスするの と同じく、パソコンを設定する。パソコンなどに Configware をインスト−ルして、でき たアイコンから 192.168.1.1 と入れ、LinkProof にアクセスする。 --------------------- --------------------- | | | 1 2 3 8 | | [ ] RS-232C | | □ □ □ □ | --------|------------ ---|----------------- | .1| | |192.168.1.0 | .5| ------ ------ パソコンなどからWWWブラウザ | | パソコンなど | | か Configware ソフトでアクセス。 ------ ------ ※LinkProof を設定するパソコンを NMS( Network Management Station ) と呼んでいる。 * 専用ソフトまたはWWWブラウザでアクセスする LinkProof を設定するためのソフトには Configware というのがある。Stand-alone とい うのは独立した専用のアプリケ−ションである。もう一つWWWブラウザから LinkProof にアクセスする Web-Based というのがある。Web-Based は Configware は LinkProof 内 部で動いているのに、WWWでアクセスするということになる。両者、Javaベ−スのソフ である。そのため、コンピュ−タに Java の実行環境があれば Windowsパソコンであろう と Linux でも Sun でも動くことになる。 この他、添付のCD-ROM に入っていた説明には ./Configware/readme.html に Web-Based には、Client-Server ベ−スのもあると書かれ ていた。どういうことなのかよく分からないが、一応参考まで。 Configware Insite というソフトも同様、Java の実行環境が必要である。 しかし手元の パソコンの Windows 98 にインスト−ルしようとしたところ、JavaScriptエラ−で入らな かった。単体で LinkProof を設置する場合は、特に Configware Insite は必要ない。小 生は入れないまま Configware のみで LinkProof を設定した。Configware もWindows 98 にインスト−ルした。WWWブラウザのよりもレスポンスがよかったという理由だけであ るが。 しかしこの Configware、Java ベ−スのせい、Windows 98 のせい、ソフトのでき が悪いせいか分からないが、ちょっとしたことでエラ−で動かなくなった。その度パソコ ンをリブ−トして、設定にはかなり忍耐が必要だった。 本体に内臓のファ−ムウェアをアップした場合、新しい機能の設定をやるにはWWWブラ ウザから LinkProof にアクセスするか、RS-232C または telnetでアクセスするかである。 Configware と Configware Insite はパソコンに入れて使うソフトなので、このソフトに あるメニュ−しか使えない。あるいはこれらソフトもアップしたファ−ムウェアに対応し た新しいのにするかである。 なんとか Configware Insite のソフトを業者さんから添付 メ−ルでもらってインスト−ルしてみた。業者さんというのはラドウェアの代理店になっ ている会社のことだが。 なるほど LinkProof 以外、ラドウェアの幾つかの製品の設定が できるメニュ−があった。話を聞いたとこによると、どうやら Configware は今後なくす 方向らしい。Configware Insite での設定に慣れて行った方がよさそうである。 * Configware Insite のソフト `24/10 SI業者さんから添付メ−ルでもらったファイルである。Windows 98で作業した様子。メ −ルでもらう前に、業者さんが言うには http://www.radware.com/content/support/画面 のパスワ−ドジェネレ−タにてユ−ザ登録すれば、その後 Configware Insight はダウン ロ−ドできるとのことだった。やってみたらできんかった。業者がやってもできなかった。 cwis_1_55_02.zip 17,922 KB Configware Insightのプログラム j2re-1_4_2_05-windows-ip-iftw.exe 1,386 KB これは一般的な Java の実行環境 cwis_1_55_02.zip を Lhasa にドラッグして解凍する。 デスクトップcwis_1_55_02 がで きた。中には ConfigwareInsite.zip, install.html, install.jar, install.shがあった。 ConfigwareInsite.zip を Lhasa にドラッグして解凍。デスクトップConfigwareInsiteが できて file:///C|/WINDOWS/Profiles/ikken/ConfigwareInsite/index.htmlができていた。 クリックしたら Java 2 Runtime Environment, Standard Edition, v1.3.1_13 をダウン ロ−ドしてきた。上のファイル j2re-1_4_2_ をクリックすると、Java 2 Runtime をイン スト−ルしようとした。でもこれではインスト−ルはしなかった。ここの記述は当時のメ モを元に2007年3月にしている。手元の Windows 98 にソフトがまだあった。このパ ソコンかなり古いので、Windows 2000 のパソコンの方にコピ−しておかな。 でもこの時 の Configware Insite ソフト、Windows 2000 で動くのかしゃん。 (2) LinkProof のコマンド&メニュ− * RS-232C でアクセスする | << この間、LinkProof Branch を電源を入れ直したりすると、ズズ | ズっとメッセ−ジが出て来る。 そして LinkProof> と出て来る LinkProof>login が "login" は出ないので自分で "login" と入れること。 User: xxxx Password: xxxx LinkProof#? Unknown command bwm Policy management and classification classes Configures traffic attributes used for classification device Device Settings health-monitoring Advanced Health Monitoring help Displays help for the specified command login Login into the device logout Logout of the device lp LinkProof parameters manage Device management configuration net Network configuration ping Sends echo requests reboot Reboot the device << 再起動のコマンド。 redundancy Redundancy settings services General networking services statistics Device statistics configuration system System parameters LinkProof#system config Show the running configuration << 設定状態を表示する。 date Display/Set system date dbglvl Display/Set debug level device-info Displays device information inf-stats Displays interface statistics internal Internal parameters license Displays and sets the device license logfile Displays and clears the log file mib2-contact System contact information mib2-location System location information mib2-name System name os Operating system parameters sw-version Prints the software version time Display/Set system time tune Sets the internal table sizes LinkProof#manage email-trap Configures email traps management-ports Management access per port permissions one-trap Continuous or single trap for server failure ping-ports Ping access per port permissions radius RADIUS configuration secure-web Secure Web management parameters snmp SNMP configuration ssl SSL certificate and key management syslog Syslog reporting parameters telnet Telnet parameters terminal Change/display terminal settings tftp Send/receive configuration via tftp user Configures user access web Web based management parameters LinkProof#manage tftp configuration Usage: manage tftp configuration to Send configuration to device from Receive current configuration Files in BER format LinkProof#services bootp-relay Sets the Bootp relay agent confiugration ntp Network Time Protocol configuraion LinkProof#lp client Manage/view client parameters cost Cost configurations dns Configures DNS parameters global Parameters that effect LinkProof's global behavior grouping Sets NHR grouping ids-cluster IDS Cluster management configuration load-balancing-weights Sets LB weights in load-balancing calculation next-hop-router NHR settings port-rules Port rules configuration proximity Proximity parameters remote-vip Used for remote connectivity check with redundancy smartnat Smart NAT settings vip Virtual IP configuration vir-tunnel Virtual tunneling configuration LinkProof#system sw-version LinkProof Branch - 50M 3.81.09 (Apr 6 2005, 17:25:30) * RS-232C でアクセスしたところ | << この間、LinkProof Branch を電源を入れ直したりすると、ズズ | ズっとメッセ−ジが出て来る。 そして LinkProof> と出て来る LinkProof>login が "login" は出ないので自分で "login" と入れること。 User: xxxx Password: xxxx 本当に初めてアクセスする場合、ここで3秒以内に適当なキ−を押せと出てくるはず である。キ−を押すと ? や @ やらメニュ−が出て来る。これは下の初期設定に戻す にはを見られたい。@ を選び、IPアドレスやポ−ト番号を入れる。もし何も入力せ ずにほかっておくと、以下のようなコマンドのメニュ−が出て来る。 LinkProof#? Unknown command bwm Policy management and classification classes Configures traffic attributes used for classification device Device Settings health-monitoring Advanced Health Monitoring help Displays help for the specified command login Login into the device logout Logout of the device lp LinkProof parameters manage Device management configuration net Network configuration ping Sends echo requests reboot Reboot the device redundancy Redundancy settings services General networking services statistics Device statistics configuration system System parameters LinkProof#system config << 設定状態を表示する。以下は初期状態。 ! !Device Configuration !Date: 27-05-2004 13:05:46 !Device Description: LinkProof Branch - 50M !Base MAC Address: XX:00:XX:00:XX:00 !Software Version: 3.81.00 (build 55xxxx) << build 値は変えてあります。 ! manage snmp community-table cdbset 0.0.0.0 public -ca super -st trapsEnable net ip-interface cdbset 192.168.1.1 255.255.255.0 1 lp global connectivity-check http codes cdbset 200 bwm modify policy cdbset Default -i 0 -dst any -src any bwm modify policy cdbset Default -i 0 -dst any -src any -dr oneway bwm modify policy cdbset Default -i 0 -dst any -src any lp ids-cluster modify-policy-table cdbset Default -i 0 lp ids-cluster modify-policy-table cdbset Default lp ids-cluster modify-policy-table cdbset Default manage user table cdbset radware -pw radware manage telnet status cdbset enable manage telnet server-port cdbset 23 manage web status cdbset enable manage secure-web status cdbset enable LinkProof#logout You are logging out of the device Are you sure you want to logout? (y/n): y LinkProof> * Web Based Management から ------------------------ [LinkProof]->[Smat NAT] -> |No NAT Table | |Static NAT Table | |Basic NAT Table | |Dynamic NAT Table | |NAT Parameters Summary| ------------------------ [Device]->[Device Information] -> Software Version : 3.81.06 BMW Version : 3.01.05 Build : Jul 15 2004,... Hardware Version : 1.10 : * Configware から -------------------------- [LinkProof]->[NHR Advanced Configuration] -> |Next Hop Routers | |Rules Table | |Aging By Application Port| |Grouping | -> --------------------------- ----------------------- |Destination Grouping | |Source Grouping | |Application Grouping | -> ----------------------- -------------------------------------------- | Destination Grouping Table Insert | |------------------------------------------| | Destination IP Address [ 0.0.0.0 ] | | Destination Subnet Mask [ 0.0.0.0 ] | | Next Hop Router IP Address [ ] | 裏 | Operational Mode [ regular ▽] | 裏は backup -------------------------------------------- (3) LinkProof 初期化それにアップ * LinkProof を初期設定に戻す LinkProof>login RS-232C 接続にて工場出荷状態に戻す。 User: Password: LinkProof#reboot The command reboots the device (warm reset). Are you sure you want to reboot? (y/n): y 0x37b6600 (TRM0): 0x37b6600 (TRM0): ************************************************** 0x37b6600 (TRM0): ********* Initializing Start-Up Process ********* 0x37b6600 (TRM0): ********* Please wait ... ********* 0x37b6600 (TRM0): ************************************************** muxLoad failed! CPU: Motorola Kitty | Press any key to stop auto-boot... 1 << 3秒以内に適当なキ−を押すと以下のメニュ−が出る。 > ? ? - print this list @ - boot (load and go) e - print fatal exception w - download via xmodem q - erase configuration from flash u - download to primary boot via xmodem r - clear Log file > q << q を入れると現在の設定が消えて初期設定状態になる。1分位かかる。 > @ << q を入れ初期状態に戻してから @ を入れると、次のメニュ−が出て来る。 Attaching to memory device... done. | StartUp Configuration 0. Exit 1. IP address デフォルトは 192.168.1.1。次はこのIPアドレスのサブ 2. IP subnet mask ネットマスク、デフォルトは 255.255.255.0。 3. Port Number 4. Default router IP address デフォルトは 0.0.0.0。 5. RIP version 5,6,7 は動的経路制御をするか。ここではするつもりはな 6. OSPF enable いので、何も設定することはない。 7. OSPF area ID 8. NMS IP address デフォルトは 0.0.0.0 でどこからでもOK。 9. Community name デフォルトは "public"、SNMP のアクセス名。 10. Configuration file name 11. Username 次の Password 共デフォルトは radware になっている。 12. Password 13. Web access WWWアクセスを許すか。デフォルト No。 14. Secure Web access HTTPS のWWWアクセスを許すか。デフォルト No。 15. Telnet access Telnet アクセスを許すか。デフォルト No。 Enter your choice: << 番号を入れて設定していく。必要なのは 1 2 3 ぐらいであ ある。後は Configware の画面から設定すれば済む。 ※"4. Default router IP address" というのは、Configware など入れるパソコンを 192.168.1.0 セグメントでない所に置く場合に、そのゲ−トウェイのIPアドレス を入れよということのようである。 または q を入れず @ を入れると、以下のようにそのまま立ち上がる。 あるいは q を入 れても、@ を入れずにほかっておくと、同様以下のように立ち上がって来る。 > @ Attaching to memory device... done. | LinkProof Branch - 50M Ver. 3.81.00 | BWM FACS Version: 3.01.02 Health Monitoring Version 2.01.04 | LinkProof> * 内臓時計にバグがあった `24/09 何か時計の進み方が早い。バグ?。修正の方法はあるか?。手元ではどうすることもでき ない。購入したSI業者に先ず送り、そこからメ−カに送ってファ−ムウェアと ROMを交 換してもらわないけとのこと。DNSのレコ−ドのキャッシュ時間とか、LinkProof はタ イムに関係している機能が多いので、ちゃんとしておいた方が身のためである。これまで のところ特に問題が何か出ているわけではないが。 戻ってきた LinkProof は V.3.81.06 になっていた。 [Device]->[Global Parameters] の "System Time [15:22:00]" * ファ−ムウェアのアップ `27/03 どうも LinkProof おかしい。ある所にメ−ルが行かない。プロキシ・サ−バの NetCache が間に入ると google や Windows Update へのアクセスも変。原因不明。とりあえずファ −ムウェアをアップしてみたい。直るかどうか分からないが、可能性のあるところを一つ ずつ潰して行くしかない。購入した業者に言って新しいファ−ムウェアをもらうことにし た。"宅ふあい便" というので送ってきたぞ。2006/06にダウンロ−ドした。"宅ふあい便" というのは、インタ−ネットの無料の大容量ファイル受け渡しサ−ビスである。最大50 MBまで扱ってくれる。企業によっては、こうしたサ−ビスを使うのを嫌うとこもあるが。 lp-cas-3_81_09.bin 2,357 KB Webアクセスで現在のバ−ジョンを確認する。[Device]->[Global Parameters] で出る。 Software Version: 3.81.06 Hardware Version: 1.10。 [File]->[Software Update] で "Update Device Software" 画面を出す。Passwd [ xxx ],Software version [ 3.81.09 ], File [ xxx ][参照]。[参照] で lp-cas-3_81_09.bin を出して (Set) をクリック。する と横長のインジケ−タが出てきた。最初3ミリぐらいで2分ぐらい止まっていた、完了す るまで3分ぐらいかかった。パスワ−ドは業者から知らされたのを入れた。 --------------------------------- | Reset - Microsoft Inter ... | そしてこんな画面が出てきた。装置のコンフィグが |-------------------------------| 真っ白にならへんか。しかし、ここは (Set)を押す | The latest changes will take | しかない。 押したら Software Update successful | effect only after resetting | と出た。[Device]->[Global Parameters] でバ−ジ | the device. | ョンを見たら、ちゃんとアップしていた。設定はこ | | れまでのままになっていた。よかった。冷や冷やも | Reset the Device ? | んです、こういう作業は。さてこれで google なん | (Set) (Cancel) | かのおかしい挙動がなくなるか。関係なさそ!。 --------------------------------- (4) LinkProof の専用ソフトと初期設定 * 添付の CD-ROM を Windows パソコンに入れたところ パソコンに CD-ROM を入れると自動的に次の画面が立ち上がる。 パソコンは Windows 98 をここでは使用した。自動的に画面が出て来るのは、Autorun.inf ファイルによるCD-ROM の自動実行が働いているためである。Autorun.inf からは radware.exe を起動する。 そ の時に Start.ini ファイルを引き数として取るようである。 Start.ini ファイルを見る と [ Install Configware ] メニュ−は .\index.html を起動し、 index.html の中では file:///E|/cw/ConfigwareInstall.htm を起動するようになっていた。 --------------------------------- | [Install Configware ] | | [Install Java] | | [Browse CD ] | | [View Manual ] << マニュアル1が表示される、下記参照。 | | [Quick Start Guide ] << マニュアル2が表示される、下記参照。 | : | : | [Exit ] --------------------------------- [Install Configware] をクリックすると、 自分のパソコンでは Netscape Navigator が 開き、Java が起動して以下のメニュ−画面が出てきた。 しかしどれを選んでクリックし ても JavaScript Error で何も動かなかった。 --------------------------------- |● Configware Insite |○ Configware (Application Mode) |○ Configware (WEB mode) | [install] --------------------------------- [ Browse CD ] をクリックすると、以下のようなディレクトリが表示される。 |―□ (C:) |―■ Lp(E:) | |― radware.exe, Autorun.inf, Start.ini など。 | | | |―□ Configware << jview_setup.bat, java_setup.bat, | | readme.html など。 | |―□ ConfigwareInsite << この中は空だった。 | |―□ Cw << ConfigwareInstall.htm など。 |―□ Java |―□ LinkProof Manuals << LP-3_74-QSG.pdf マニュアル2 |―□ LinkProof MIBs LP-3_80-UG.pdf マニュアル1 +―□ LinkProof Software LP-3_80-CRM.htm CLI Reference Manual |―□ SUN Java ・LinkProof Application Switch Ι& Application Switch Π Software Version: 3.80 381ペ−ジ、マニュアル1と呼ぶことにする。 ・LinkProof Application Switch Ι& Application Switch Π 67ペ−ジ Compact Application Switch Software Version: 3.74 マニュアル2と呼ぶ。 * パソコンに Java の環境をセットする [ Install Java ] をクリックした。すると .\java\Msjavx86.exe を実行した。次のよう に Microsoft VM を入れるか聞いてきたが、もうすでにパソコンには入っているのでない か。そうは思ったが一応やっておいた。 --------------------------------------- [はい] を選んだら Microsoft VM for Java | Microsoft VM をインスト−ルしますか | をインスト−ルした。 これで一度パソコン | [はい] [いいえ] | を再起動する。 --------------------------------------- 次に CD-ROM 内の jview_setup.bat を実行した。 アプリケ−ションを入れるパスを入れ よということで "C:\Configware" と入れた。25 MB 入りますと表示が出た。 Windows パ ソコンでは Microsoft 用の JVM( Java 仮想環境 ) が必要ということである。 Linux や Sun のマシンなどでは Sun Microsystems 社が作った JVM が必要ということである。 こ ちらは java_setup.bat を実行することになる。 パスは "C:\Configware" でなくただの "C:" でよかった。"Configware" というディレクトリを作ってインスト−ルされる。 * パソコンにできたアイコンをクリックすると DOS 窓が開いて次のような画面がでる。ここでIPアドレスを入れて、[Connect] をクリ ックする。Java のアプリケ−ションで、SNMP でアクセスする。 ---------------------------------------------------- | Configware 1.89 | |--------------------------------------------------| | [Help ] Radware | | | | [Options ] C o n f i g W a r e | | --------- | | [Arrange ] Devices : [ ] | | | | IP Address: [ 0.0.0.0 ] |Connect| | << IP Address のところに | [Error Log] Community : [ ****** ] --------- | 192.168.1.1 と入れた。 |--------------------------------------------------| | Status: | ---------------------------------------------------- ↓別画面が開く。 ----------------------------------------------------------------------------- | LinkProof Branch FE - 192.168.1.1 | |---------------------------------------------------------------------------| | File Device Bridge Router LinkProof Health Monitaring Security BWM | | Classes Performance Services Help | |---------------------------------------------------------------------------| | ----------------------------------------------------------------- | | radware | ◎ 《》 □ □ □ □ □ □ □ □ | LinkProof | | | | +5V CONSOLE 1 2 3 4 5 6 7 8 | | | | ----------------------------------------------------------------- | ----------------------------------------------------------------------------- * LinkProof 初期設定のウィザ−ド [File]->[Wizards]->[First Time Wizard] << 全部の設定を順番にやっていく。 ->[Redunduncy Wizard] << ->[Proximity Configuration Wizard] << 以下のは部分的 ->[NAT Configuration Wizard] << に設定を行なう。 ->[DNS Configuration Wizard] << * 設定のセ−ブとロ−ド < 設定をパソコンにセ−ブする > [File]->[Configuration File]->[Receive From Device] の画面で "File name [ kkk ]" と入れた。パソコンの C:\Configware\Configware\Nms\Configuration\kkk にセ−ブされ た。バイナリのファイルである。 < 設定をパソコンからロ−ドする > [File]->[Configuration File]->[Send To Device] の画面で "File name [ kkk ]" と入 れてスタンドランプのアイコンをクリックすると、以下にあるファイルをリストする。フ ァイルを選ぶと [Reset] するか尋ねて来る。それで数分かかる。 C:\Configware\Configware\Nms\Configuration\ * コンフィグレ−ション・ファイル [File]->[Configuration File]->Edit File] LinkProofの他 WSP, FireProof, -------------------------------------------------- PeerDirector, CSD, CID。とそ | Edit Configuration File れぞれ2〜3個のバ−ジョンが |------------------------------------------------- プルダウン・メニュ−にある。 | □ ■ | |---------------------------------------------------------------- | | File Name is relative to \Nms\Configuration\ | | ↓ | Configuration file was downloaded from device [LinkProof version 3.61 and on ▼] | | -- Convert Configuration -------------------------------------- | | Ber Formatted File [ linkproof ] [ Browse... ] | | | ASCII Formatted File [ linkproof.txt ] [ Browse... ] | | | Progress Status [ 100% ] [ Edit ASCII File ] | | --------------------------------------------------------------- | -- Direction -------------------------------------------------- | | ◎ BER to ASCII ○ ASCII to BER | | --------------------------------------------------------------- すでに設定したコンフィグレ−ションのファイルがある。BER フォ−マットの linkproof というファイル名とする。C:\Configware\Configware\Nms\Configuration\linkproof。こ のファイルはバイナリで見ることはできない。これを目に見えるアスキ−フォ−マットに 変換する。linkproof.txt という名前とする。これら記入してアイコンの ■ [Set] をク リックする。"Progress Status" のところで進行が青く出て来る。 [ Edit ASCII File ] をクリックすると、アスキ−フォ−マットになったファイルが出て編集できる。 ----------------------------- これが表示されたアスキ−フォ−マットのコン |SET //1 フィグレ−ション。 LinkProof#system config |{ で出て来るのとは違っている。 |ifAdminStatus.100001=up |ifLinkUpDownTrapEnable.100001=enabled |} |SET //2 | | * 日付と時刻の設定 LinkProof#system date << 日にちを表示する。 Date is : 27 01 2016 LinkProof#system time << 時刻を表示する。 Time is : 19 51 33 LinkProof#system time set 15 22 00 << 時刻をセットする。 New time is : 15 22 00 または [Device]->[Global Parameters] の "System Time [15:22:00]"で時刻を設定する。 日付は "System Date (dd/mm/yyyy) [20/06/2004]" で設定できる。あるいは NTP で時刻 を合わせることもできる。 何か時計の進み方が早い。日付けもおかしくなる。時間の扱いは LinkProofはかなり重要 なファクタ−でないのか。問い合わせたら装置のバグでファ−ムウェアのバ−ジョンアッ プに ROM も交換を要するので、代理店に送ってくれとのことだった。 * 装置のリセット [Device]->[Reset Element] をクリックすると、 "Are you sure you want to reset the device ?" と出て来る。[OK] をクリックすると数分間待ってくれと出る。 これでリセッ トしたわけだが、そのまま LinkProof にはアクセスできた。 特に設定が変わっているよ うな風もなかった。設定してあるポ−トのIPアドレスがデフォルトに戻ってしまうこと により、まるでアクセスできなくなるのでないかと思ったのだが。 * Webベ−スで設定をセ−ブしてみる [File]->[Configuration]->[Receive from Device] をクリックすると Download Configuration File 画面が出てくる。File Format [ BER ▼] で {Set}をクリ ック。別な画面が出てくるので [保存] をクリック。ファイル保存先に"デスクトップ"が 出てくる。適当なフォルダに移動する。ファイル名は ReceivefromDeviceXXXXX というよ うに毎回違った名前になる。[ BER ▼] の他に [ ASCII ▼]がある、こちらは画面に設定 状態が表示されるのみでセ−ブはできない。 * アクセス制限 ポ−ト8につないだ 192.168.2.6 のコンピュ−タでしか LinkProof にアクセスできない ようにする。しかもそのパソコンに入れた Configware ソフトからしかアクセスを許さな いようにした。ただし RS-232C のアクセスはこの設定においてもできる。 それで8番ポ −トにパソコンを接続して触っていると、この状態で外のホ−ムペ−ジも見れるような気 がする。多分、実践配備した LinkProofでは外へはアクセスはできないようになっている はずである。あくまでも LinkProof のみのアクセスである。Dynamic NAT IP が関係する。 [Security]->[Management Port] | Port Nunmber | SNMP | Telnet | Web | SSL ---|--------------|----------|----------|----------|---------- 1 | F-1 | Disabled | Disabled | Disabled | Disabled :| : | 〃 | 〃 | 〃 | 〃 7 | F-7 | Disabled | Disabled | Disabled | Disabled 8 | F-8 | Enabled | Disabled | Disabled | Disabled [Security]->[Community Table] | Management Address | Community String | Community Access | Send Traps ---|--------------------|------------------|------------------|------------ 1 | 0.0.0.0 | public | SUPPER | Enabled このままでは、0.0.0.0 ということでどんなIPアドレスのホストからでもアクセスでき てしまう。このエントリの "Management Address" と "Community String" を [Edit] で 編集しようとしてもできない。それで下記のようにいったんエントリ2を [Insert] で追 加して、エントリ1を消去 [Delete] する。そして [Set] をやる。 [Set] をやってエラ−が出たら、例えば "Management Address" を192.168.2.9 とか、今 使用しているパソコンのIPアドレス以外を指定したような場合、いったん LinkProofの 設定を終了する。そしてパソコンのIPアドレスを、 指定した 192.168.2.9 とかにして、 エントリ1を [Delete] し、再度 [Set] をやると 0.0.0.0 のは消える。 | Management Address | Community String | Community Access | Send Traps ---|--------------------|------------------|------------------|------------ 1 | 0.0.0.0 | public | SUPPER | Enabled 2 | 192.168.2.6 | public | SUPPER | Enabled * Proxy ARP について ひょっとすると知識として頭に入れておいた方がいいかも [Router]->[ARP Table] 知れないということで。これでできるのでないか、未確認。 ----------------------------------- | Interface [ F-1 ▼] << F-1 から F-8 と 100001 が選択できる。 | IP Address [ 0.0.0.0 ] << この2ヵ所を登録。別なセグメントにあ | Mac Address [ 00:00:00:00:00:00 ] << るホストのIPとMACアドレスを記述。 | Class [ Static ] << Static しか出てない。 ------------------------------------ [Router]->[IP Router]->[Operating Parameters] - IP Router Parameters ---------------------- | Inactive ARP Time Out [ 60000 ] | ARP Proxy [ Disabled ] << Enabled にする。 | ICMP Error Messages [ Enabled ] 参考:Proxy ARP の一般的な使用例。ホストAから別セグメントにあるホストBにアクセ スする。A# ping 192.168.2.1 とやる。192.168.2.1のMACアドレスは何ですか?。す るとホストGがホストBに代わって、MACアドレスは XX:XX:XX:XX:XX:XXですと答える。 A□ これはホストBの |.2 ホストGでの設定 ↓MACアドレス ------------ 192.168.1.0 # arp -s 192.168.2.1 XX:XX:XX:XX:XX:XX pub | □ G □ B ホストBでは ARP に応答しないようにしてある。 | |.1 -------------------- 192.168.2.0 (5) LinkProof 製品について * LinkProof Branch の機能について マニュアル1、APPENDIX(a) の Example 7,8,9 の QoS, Bandwidth, Security は Branch の Configware のメニュ−にはない。LinkProof の Virtual Tuuneling、仮想トンネリン グは、複数拠点で作る多重のWANリンクのことである。負荷分散とフェイルオ−バ機能 を持つ。 LinkProof Branch は10回線までの負荷分散ができると書いてある。 しかしポ−トは8 個しかない。マニュアル1の "APPENDIX(a)" の Example 1,2,3 を見ると、1個のポ−ト に2回線つながっている。ポ−ト1に 202.11.11.10 と 202.22.22.10 IPアドレスが振 られている。 LinkProof は機能別に3つのモジュ−ルに別れている。SynApps ア−キテクチャアという。 LinkProof Branch にはベ−シックシナプスが入っている。 セキュアシナプスとエンハン スドシナプスは追加ができる。因みこれら追加分含めた値段は135万円である。 ベ−シックシナプス -- ヘルスチェック、負荷分散 セキュアシナプス -- 帯域制御、侵入防御(リアルタイム侵入防御) エンハンスドシナプス -- DoS/DDoSプロテクト(超高速 DoS プロテクション) * 新機種の UpLink について LinkProof Branch より機能が限定された普及型の機種が2004年5月24日、 国内で も販売になった。UpLink という。どうも LinkProof UpLinkとは言わないようである。す でに「White Paper」2003.5.2 のホワイトペ−バに紹介されていた。これによると2回線 のみの単純な負荷分散。SynApps ライセンス対応せず。8ポ−ト。帯域 50MB まで。 NAT 機能は Static(1-to-1)、Dynamic(many-to-1)。VLAN1つだけ。69万円(税込)。 2004年8月2日、ラドウェアのサイト見たら「Radware UpLinkクイックセットアップ ガイド」というのが追加されていた。代表的なマルチホ−ミング接続のGUIでの設定例 が出ている。2台での冗長構成も出ている。設定メニュ−は LinkProof Branch より少な く直感的で分かりやすいのでないか。 帯域制御の画面は HTTP,HTTPS,Mail,FTP,Other が あり、プライオリティと最大ボリュ−ム(Kbyte/Sec) を指定できる。 気になるのはこの「Radware UpLinkクイックセットアップガイド」"(6)サ−バ設定" の画 面である、これだけ見ると内部のサ−バは1つだけしかマッピングさせることができない ようである。NAT機能 Static(1-to-1) の仕様がそのことを示しているのでないか。 これ は低価格だからと言って喜んでられないかも知れない。内部ネットワ−クのIPアドレス を外のに変換する Dynamic NAT は問題なさそうである。 もう一つガイドの最初に書いてあったこと。 UpLink の設定はWebブラウザを使用する。 ブラウザは Java アプレットを使用するため、 PCに Microsoft JVM もしくは SUN JRE をインスト−ルせよと。Windows OSは Microsoft JVM で、Linux やUNIXはSUN JRE を使うと思ったのだが、どちらでも構わないということだろうか。 Java については少し 勉強し直さなければならない。 * DefensePro と LinkProof 製品の細かな検討 LinkProof に Secure SynApps を追加すると、帯域制御と不正侵入防御装置として機能さ せることができるとカタログには書いてあるが、不正侵入防御に関しては完全に以下のよ うなことになるのか。オプションを追加購入して複数の機能を持たせるのが得か、それと も別々に製品を買うのがいいのか。さあ−、今日のおすすめはドッチ?。 LinkProof + Secure SynApps = DefensePro ASΠ Secure SynApps モデル LinkProof それに LinkProof Branch も帯域制御はできるが機能は限定的である。Branch は Secure SynApps を追加しても不正侵入防御の機能は限定的である。多分 Branch では インタ−ネット回線だけの安全性をやや高めるため使う。不正侵入防御の考え方としてイ ンタ−ネット回線の他、DMZに社内のネットワ−クセグメントを幾つか防御するとしよ う。それで DefensePro では Enhanced SynApps とストリングマッチ・エンジンの追加は しないことする。不正侵入防御もさせるのにパフォ−マンスを考慮して、LinkProof ASΙ を選び Secure SynApps を追加すると約500万円。 そうでなく別々に DefensePro 200 と LinkProof ASΙをキャンペ−ン価格で購入すると約450万円。 * ラドウェアの製品について 共通の筐体として1Uの Application Switch (AS)がある。LinkProof は弁当箱みたいな 筐体の低価格製品がある。基本的な機能として3つのモジュ−ルがあり、SynApps ア−キ テクチャアと呼ばれている。LinkProof、LinkProof Branch、DefensePro などには Basic SynApps機能がデフォルトで入っている。例えば LinkProof = マルチホ−ム機能+Basic SynApps+オプションの Secure SynApps といった機能内容になる。 ASΙ -- 9.6 Gpps Non-blocking Backplane。200Mbpsのセキュリティスイッチング。 ASΠ -- 19.2 Gbps Non-blocking Backplane、1 Gbps のセキュリティスイッチング。 ASШ -- 44 Gbps Non-blocking Backplane、3 Gbps のセキュリティスイッチング。 ASШを使った DefensePro 3000 や LinkProof はデ−タセンタ−など大規模事業者向けの 製品である。我々レベルの企業や組織などでは先ず必要ない。以下 ASШ については省く ことにする。また ASΠ、ASШ はポ−トのギガビット対応で2種類あるが、安価な方を以 下あげた。ラドウェアの製品はカタログや各種資料を見ても、なかなか理解できない。一 応分かる範囲で以下まとめてみた。 * SynApps について Basic SynApps ----- Health Monitoring, Load Balancing Secure SynApps ---- Bandwidth Management, Intrusion Prevention Enhanced SynApps -- DoS/DDoS Protection ベ−シックシナプス -- ヘルスチェック、負荷分散 セキュアシナプス -- 帯域制御、侵入防御(リアルタイム侵入防御) エンハンスドシナプス -- DoS/DDoS プロテクト(超高速 DoS プロテクション) * LinkProof の種類 ただの LinkProof -- 筐体は ASΙか ASΠ。大規模事業者向け。 LinkProof Branch -- 弁当箱みたいな筐体。一般企業向け。 LinkProof UpLink -- Branch の機能限定版。SynApps は追加できない。 LinkProof Branch ---- 約100万円。50 Mbps スル−プット、 LinkProof ASΙEntry -- 約200万円。50 Mbps スル−プット、ギガビットポ−トなし。 LinkProof ASΙ ------- 約400万円。9.6Gbps スル−プット、ギガビットポ−トなし。 LinkProof ASΙ Entry は ASΙ と同じ筐体で 50 Mbps スル−プットの制限モデル。制限 を無しにするには約200万円のライセンスを追加すること。 LinkProof には Secure SynApps を追加することができる。ASΙに Secure SynApps を追 加するには約100万円。Enhanced SynApps は追加することはできない。 LinkProof Branch は Secure SynApps を約50万円で追加できる。 しかしアタックシグ ネチャの数は約400の限定になっている。 * 息の長い製品になっている 2009年3月時点 LinkProof も LinkProof Branch もまだ販売されている。 保守もち ゃんと行われている。製品的にはかなり安定していて特段、問題となるようなバグフィッ クスも出ていないようである。使いこなしている会社などは、WAN回線を複数引き込み 実際に負荷分散もやっているという。もちろんSI業者の手によるのだが。もう買ってか らだいぶなる、4年は過ぎただろう。WAN回線2重化装置としては、LinkProof の他に 使えるのでないかと思っているのにF5社の装置がある。ほとんど宣伝はされてないのだ が。F5社はだいたい負荷分散の装置から始まっている会社だから期待できそうである。 2009年11月にあったマクニカネットワ−クス(株)のセミナ−。その時の資料を見直 していた。LinkProof の説明のところで、"業界初!仮想WANサ−ビス インタ−ネット VPNを用いた仮想WANサ−ビスはコストを低減しながらもパフォ−マンスの最大化を 実現する LinkProof のオンリ−ワン・ソリュ−ション"。これはいったい何、これまでイ ンタ−ネット回線のマルチホ−ミング環境しか頭になかった。見開き2ペ−ジのパンフレ ットには拠点間WAN冗長化ソリュ−ションと仮想WANソリュ−ションと書かれていた。 これいいかも。ル−タ2つで冗長構成とるのも設定費だけで百万円ぐらいかかるだろう。 * このドキュメントを書いた意図 SI業者に依頼するとネットワ−ク設計から装置の設置まで50万円であるとか80万円 といった費用を請求されることになる。しかも設定を実際にできる会社は、ごく限られて いる。国内に1社か2社かという。これは2011年8月時点でも、そうした状況は変わ っていないようである。有料の講習もあるにはあるが LinkProof の、 国内の元締めであ るラドウェア社のホ−ムペ−ジに載っていた案内には半日で30万円といった料金だった。 しかしある程度のDNSの理解と装置の設定のポイントさえ分かれば、自力でネットワ− クの設計ならび LinkProof の設定はできないことはない。 本ドキュメントはマルチホ− ミングする典型的な例を挙げて、その一助になるように作成したものである。