このセクションの記事

もっと見る

提供機能(オーバーレイタイプ):IPフィルター

Avatar
NTTPC
  • 更新
本手順はご利用されているオーケストレータにより一部表示方法が異なります。
※ご利用している基盤が新旧のどちらかを確認する方法は以下のマニュアルをご確認ください。
利用しているオーケストレータ基盤の確認方法を教えてください

コントロールパネル

チュートリアル

IPフィルター

エッジ装置はオーバレイネットワークごとのIPフィルターにより、IPアドレス、宛先ポート番号を制御することができます。ここでは、IPフィルターの機能について説明します。

概要

エッジ装置の通信を制御する機能を提供します。この機能を使うと、特定の宛先だけに通信させることや、特定の宛先ポート番号への通信を破棄させることができます。
なお、インターネットブレイクアウト機能におけるIPフィルター ( ブレイクアウト )とは機能が異なります。

 

IPフィルターの動作

img_setting_controlpanel15_01.png 

項目   内容
 IPフィルター名    新たに作成するIPフィルターの名称を入力 
 IPフィルタールール            動作   deny  フィルター動作 拒否
 accept  フィルター動作 許可
 送信元セグメント    送信元のネットワークアドレスを入力
 “0.0.0.0/0”を指定した場合は全てを意味します 
 宛先セグメント   宛先のネットワークアドレスを入力
 “0.0.0.0/0”を指定した場合は全てを意味します
 通信方向  out

 ※オーケストレータ基盤により動作が異なります

 旧オーケストレータ基盤での動作
 LAN -> WAN 向けの通信を処理します

 新オーケストレータ基盤での動作
 以下の方向での通信を処理します
  ・LAN -> WAN
  ・WAN -> LAN
  ・LAN -> LAN
 プロトコル又はポート番号  

 フィルター対象のプロトコルを指定 ALLまたはCUSTOM_UDP、CUSTOM_TCPを選択してください。 
 宛先ポート指定    開始ポート番号 

 ポート番号の指定 範囲指定可能であり開始の番号

 デフォルト値: 1
 終了ポート番号 

 ポート番号の指定 範囲指定可能であり終了の番号

 デフォルト値: 65535
 ステータス   有効  フィルター自体の有効化
 無効  フィルター自体の無効化

 

 1 テナントあたりの、
 IPフィルター 上限数		  60 IPフィルター / テナント
 1 IPフィルターあたりの、
 ルール 上限数		  50 ルール / IPフィルター
 1 ルールあたりの、
 プロトコル 上限数		  10 プロトコル / ルール

 

  • IPフィルターは、LANポートに付与した“ネットワーク”単位に設定できます。
  • IPフィルタールールには送信元および宛先のネットワークセグメント、複数の宛先のポート番号を条件として指定することができます。
  • IPフィルタールールには順序があり、No1, No2 …と番号順に条件を照会し、最初に一致した条件に指定された動作がおこなわれます。
  • CUSTOM_TCP / UDP を利用する場合、必ずPort rangeを指定してください。デフォルトでは1~65535となっています。
  • いずれのIPフィルタールールにも合致しなかった場合には「すべて許可」が動作します。
  • いずれのフィルタールールにも合致しなかった場合に「すべて拒否」したい場合には、最後のルールに「全て拒否する」ための設定が必要です。
  • プロトコルで、ALL, ALL_TCP, ALL_UDP, ALL_ICMP を選択した場合は、Port Rangeに値を入力しても無視されます。1~65535を入力した場合と同じ動作になります。

<「全て拒否する」ための設定>

 項目

  入力値

 動作 

  deny

 送信元セグメント    

  0.0.0.0/0     

 宛先セグメント 

  0.0.0.0/0

 通信方向

  out

 プロトコル名  

  ALL

 開始ポート番号

  1

 終了ポート番号 

  65535

 ステータス 

  有効

 

LAN機能やその他機能との併用

インターネットブレイクアウト

インターネットブレイクアウトを利用する際には、拠点間の通信に対する制御は本ページ記載の「IPフィルター」にて、ブレイクアウトする通信への制御は、「インターネットブレイクアウトのIPフィルター(ブレイクアウト)」にて設定ください。

提供機能(オーバーレイタイプ):インターネットブレイクアウト

 

使い分けが必要なお客様通信例

  • 一部または全てのインターネット通信をブレイクアウトする設定の拠点の「特定のパソコンだけ」はインターネットに通信させたくない
  • 全てのインターネット通信をローカルブレイクアウトするものの、特定の宛先ポートのみインターネットへの通信を許可したい

 

セグメンテーション

セグメンテーションを利用する際には、複数の「ネットワーク」に別々のポリシーを持つIPフィルターを設定することができます。

留意事項

  • LAN1とLAN2などに同じ“ネットワーク”を割り当て、IPフィルターを適用することはサービス仕様上許可しておりません。ご留意ください。
  • エッジ装置のLANポートは、IPフィルタの設定に関わらず対向拠点からのPing疎通が可能です。
    なお、送信元の拠点にて別のIPフィルタが適用されている場合には、その制御に準じます。 

デフォルト拠点

対象のファームウエアをご利用の場合、デフォルトルートとIPフィルターの併用時に以下の制限がございます。

対象ファームウェア:2.6.6+1c0261f.2399

IPフィルターを利用する際に、対向先のエッジ装置にデフォルトルート ( 0.0.0.0/0 ) を設定している場合、0.0.0.0/0に対するIPフィルターの機能が反映されません。
その場合、0.0.0.0/0を直接的に指定せず、複数のセグメントに分割して設定することにより、フィルタ機能で0.0.0.0/0を反映することが可能です。

<具体的な設定内容>

128.0.0.0/1
64.0.0.0/2
32.0.0.0/3
16.0.0.0/4
8.0.0.0/5
4.0.0.0/6
2.0.0.0/7
1.0.0.0/8

※0.128.0.0/9, 0.64.0.0/10...0.0.0.2/31, 0.0.0.1/32 まではRFC3330 "Special-Use IPv4 Addresses" に規定された予約済みアドレスの範囲であるため、設定不要です。

LAN側OSPF設定により、お客さまルーターからエッジ装置に対して0.0.0.0/0の経路を広報される場合も、同様に複数のセグメントに分割して設定する必要があります。

関連記事

コメント

0件のコメント

記事コメントは受け付けていません。