Managed /FW NG 設定例 3.0 版 2017/11/15 NTT Communications
更新履歴 版数 更新日 更新内容 1.0 2017/08/08 初版 2.0 2017/10/24 第 2 版 NG 構成 (AWS VPN-GW 接続 ) の追加 3.0 2017/11/15 第 3 版 NG 構成 ( 各種 GW 接続 ) の追加
MAC Address 重複 (Single) 172.30.15.254 VRRP ID 1 VMAC 00:00:5e:00:01:01 IP 172.30.15.1 Port6 IP 192.168.249.1 Managed Firewall/ からみて 同一の VRRP ID( 同一の MAC Address 00:00:5e:00:01:01 ) が と Port5 の先に存在する その為 Managed Firewall/ は正常に Packet を処理する事が出来ない ロジカルネットワーク上の他メニュー / 持ち込み製品などの VRRP ID は 11 以外の値で 1 2 のように別々の値を設定してください 192.168.249.6 VRRP ID 1 VMAC 00:00:5e:00:01:01 Load Balancer Load Balancer
MAC Address 重複 (HA) 172.30.15.254 VRRP ID 1 VMAC 00:00:5e:00:01:01 172.30.15.1 VRRP ID 1 VMAC 00:00:5e:00:01:01 Managed Firewall/ からみて 同一の VRRP ID( 同一の MAC Address 00:00:5e:00:01:01 ) が 自分自身の と Port5 が同一 かつ と Port5 の先に存在する その為 Managed Firewall/ は正常に Packet を処理する事が出来ない 自分自身で重複する MAC Address を持ってはいけない 隣接する機器にて 重複する MAC Address を持ってはいけない Port5 192.168.249.6 VRRP ID 1 VMAC 00:00:5e:00:01:01 ロジカルネットワーク上の他メニュー / 持ち込み製品などの VRRP ID は 本メニューに設定する VRRP ID とも重複しないように 11 以外の値で 1 2 のように別々の値を設定してください 192.168.249.6 VRRP ID 1 VMAC 00:00:5e:00:01:01 Load Balancer Load Balancer
MAC Address 重複 Port5 IP 30.0.0.0.254 IP 20.0.0.254 1 つのロジカルネットワークに Subnet を 2 つ作成し Managed Firewall/ に接続すると と Port5 の両方に ARP が届いてしまう これにより MAC Address の重複が発生する為 正常に Packet を処理する事が出来ない Logical_Network Subnet_30.0.0.0/24 Subnet_20.0.0.0/24 Server02 IP 30.0.0.100 IP 20.0.0.100
非対称経路 172.30.15.254 VMAC 00:00:5e:00:01:02 10.0.0.254 VMAC 00:00:5e:00:01:01 2Syn/Ack Packet IP 172.30.15.1 1Syn Packet Port5 IP 10.0.0.1 Managed Firewall/ は 非対称経路に対応しておりません 行き / 帰りの Packet ともに 同一経路を通過する様設定願います
Source NAT Object の制限 Server04 Managed Firewall/ に Source NAT Object を作成すると 設定した IP Address は Managed Firewall/ 自身が保持する事になります Subnet_10.0.0.0/24 IP 10.0.0.200 IP 10.0.0.100 上記の様に Source NAT Object に 実際に存在する 10.0.0.100 の IP Address を設定すると (10.0.0.100) への通信を処理する事は出来なくなります Port6 IP 30.0.0.0.254 IP 10.0.0.254 Port5 IP 20.0.0.254 また 例として 10.0.0.200 への通信を 10.0.0.100 の IP に NAT した場合も実際の機器との MAC の奪い合いになり 通信が上手くいかない事になります 必ず 他の機器で使用していない IP Address を設定して頂きます様お願いします に Source NAT Object を設定 Subnet_30.0.0.0/24 Subnet_20.0.0.0/24 Server03 IP 30.0.0.100 Server02 IP 20.0.0.100 10.0.0.100 宛ての通信は通らない
Destination NAT Object の制限 Server04 Managed Firewall/ に Destination NAT Object を作成すると 設定した IP Address は Managed Firewall/ 自身が保持する事になります Subnet_10.0.0.0/24 IP 10.0.0.200 IP 10.0.0.100 上記の様に Destination NAT Object の External IP に 実際に存在する 10.0.0.200 の IP Address を設定すると Server04(10.0.0.200) への通信を処理する事は出来ないだけでなく Destination NAT としても機能しません Port6 IP 30.0.0.0.254 IP 10.0.0.254 Port5 IP 20.0.0.254 また 実際に存在する Server04(10.0.0.200) からの通信も阻害致します MAC Address の奪い合いや IP/MAC の Confliction 必ず 他の機器で使用していない IP Address を設定して頂きます様お願いします に Destination NAT Object を設定 Subnet_30.0.0.0/24 Subnet_20.0.0.0/24 IP 30.0.0.100 IP 20.0.0.100 10.0.0.200 宛ての通信も通らない
Destination NAT Object の制限 2 Subnet_10.0.0.0/24 Server04 IP 10.0.0.200 IP 10.0.0.100 Managed Firewall/ に Destination NAT Object を作成する場合 External IP と Mapped IP が同一の IP Address で設定する事で 他の Firewall Policy に影響を及ぼします Ext IP と Map IP を同一にする事は NAT しない と同意になりますので この様な設定は実施しないようお願いします Port6 IP 30.0.0.0.254 IP 10.0.0.254 Port5 IP 20.0.0.254 に Destination NAT Object を設定 Subnet_30.0.0.0/24 Subnet_20.0.0.0/24 IP 30.0.0.100 IP 20.0.0.100
Routing の制限 Managed Firewall/ に 2 つ ( 以上 ) の Default Route を設定する事は出来ません Subnet_10.0.0.0/24 IP 10.0.0.200 また Static Route も同一の Destination IP/Mask で別の を設定する事は出来ません この様な設定を実施すると 正常に Packet を処理出来ず お客様通信に影響を及ぼします また Source Routing や Policy Routing についても設定頂けません Port6 IP 30.0.0.0.254 IP 10.0.0.254 Port5 IP 20.0.0.254 に Default Route/Static Route を 2 つ設定 Subnet_30.0.0.0/24 Subnet_20.0.0.0/24 01 IP 30.0.0.1 02 IP 20.0.0.1
AWS ゲートウェイ VPN ゲートウェイを含む構成における制限 AWS AWS-GW AWS-GW AWS ゲートウェイや VPN ゲートウェイを 1 台の Managed Firewall もしくは Managed 経由で接続する構成では動作しません Managed FW もしくは Managed と L3 ノードを多段構成にしてください 一部のアプライアンスでは 隣接するセグメントに重複した MAC アドレスが存在する場合に通信が出来ないことが確認されています AWS-GW と VPN-GW を 1 台 (1 式 ) の Managed Firewall/ で接続する構成では動作不可 当該構成についてご不明な点がございましたら 弊社営業担当までご連絡ください VPN ー GW VPN-GW UNO
2 つの VPN ゲートウェイを含む構成における制限 UNO VPN-GW VPN-GW 2 つの VPN ゲートウェイを 1 台の Managed Firewall もしくは Managed 経由で接続する構成では動作しません Managed FW もしくは Managed と L3 ノードを多段構成にしてください 一部のアプライアンスでは 隣接するセグメントに重複した MAC アドレスが存在する場合に通信が出来ないことが確認されています 2 つの VPN-GW を 1 台 (1 式 ) の Managed Firewall/ で接続する構成では動作不可 当該構成についてご不明な点がございましたら 弊社営業担当までご連絡ください VPN ー GW VPN-GW UNO
2 つの AWS ゲートウェイを含む構成における制限 AWS AWS-GW AWS-GW 2 つの AWS ゲートウェイを 1 台の Managed Firewall もしくは Managed 経由で接続する構成では動作しません Managed FW もしくは Managed と L3 ノードを多段構成にしてください 一部のアプライアンスでは 隣接するセグメントに重複した MAC アドレスが存在する場合に通信が出来ないことが確認されています 2 つの AWS-GW を 1 台 (1 式 ) の Managed Firewall/ で接続する構成では動作不可 当該構成についてご不明な点がございましたら 弊社営業担当までご連絡ください AWS ー GW AWS-GW AWS
2 つのインターネットゲートウェイを含む構成における制限 インターネット -GW -GW 2 つの ゲートウェイを 1 台の Managed Firewall もしくは Managed 経由で接続する構成では動作しません Managed FW もしくは Managed と L3 ノードを多段構成にしてください 一部のアプライアンスでは 隣接するセグメントに重複した MAC アドレスが存在する場合に通信が出来ないことが確認されています 2 つの -GW を 1 台 (1 式 ) の Managed Firewall/ で接続する構成では動作不可 当該構成についてご不明な点がございましたら 弊社営業担当までご連絡ください ー GW -GW インターネット
2 つの DC 間接続ゲートウェイを含む構成における制限 DC 間 NW DIC-GW DIC-GW 2 つの DC 間接続ゲートウェイを 1 台の Managed Firewall もしくは Managed 経由で接続する構成では動作しません Managed FW もしくは Managed と L3 ノードを多段構成にしてください 一部のアプライアンスでは 隣接するセグメントに重複した MAC アドレスが存在する場合に通信が出来ないことが確認されています 2 つの DIC-GW を 1 台 (1 式 ) の Managed Firewall/ で接続する構成では動作不可 当該構成についてご不明な点がございましたら 弊社営業担当までご連絡ください DIC ー GW DIC-GW DC 間 NW