ここでは、セキュアパッケージの代表的な構成例を設定する手順について説明します。
※お客さまにて設定される場合には、本ページを参考にお客様のネットワーク環境の設定に置き換えて実施ください。
- 拠点追加のお申込み、現地回線工事、エッジ装置受領、その他物理接続などは完了している前提で説明します。本チュートリアル前の各種作業はこちらのチェックリストをご確認ください。
- 各機能の詳細はこちらのセキュアパッケージタイプの技術マニュアルをご確認ください。
- 本手順にてうまくいかない場合、こちらの切り分け手順をご確認の上、ご対応ください。
- お客さまにて設定作業が難しい場合、有償オプションとして設計支援や設定代行などを行うマネジメントサービス(導入支援サービス)がございます。詳細は弊社営業担当までお問合せください。
構成例:スタンダードプラン(オフロードGWなし)
実現したい通信要件
- 【通信要件①】拠点間で通信したい
・【LANポート設定①】「東京拠点」のエッジ装置のLAN-1はIPアドレスは「192.168.2.254/24」
・【LANポート設定②】「大阪拠点」のエッジ装置のLAN-1のIPアドレスは「192.168.1.254/24」 - 【通信要件②】各拠点からインターネットアクセスしたい
・セキュアパッケージはMaster'sONE網に接続されており、CloudWAN側で設定は不要です。
但し、インターネットへのアクセスは「ビジネスインターネット接続」などの別サービスの申込が必要です。
ここでは申込済み/開通済みの前提で説明します。 - 【通信要件③】「大阪拠点」のエッジ装置のLAN側から「東京拠点」の全てのネットワークへ通信したい
・【LANポート設定③】「東京拠点」のエッジ装置のLAN側(192.168.2.0/24)に接続されている
ルータ(192.168.2.100/24)の先に複数のサブネットがあるため、CloudWANのStaticルートを設定が必要
※お客様のルータにて「大阪拠点」のエッジ装置のLAN側(192.168.1.0/24)向けのStaticルートの設定いただく必要がございます。 - 【通信要件④】特定の通信は全ての拠点で通信を遮断したい
【IP-Filter設定①】「東京拠点」及び「大阪拠点」のエッジ装置において、LAN側からWAN側への通信で遮断したい通信があるため、各エッジ装置にてIP-Filterの設定が必要
a) TCP 5000のみ通信遮断
b) それ以外は全てを通信許可
CloudWANに設定すべき設定内容
通信要件に基づく各種設定項目は下表のとおりです。
設定項目 | 拠点名:大阪拠点 | 拠点名:東京拠点 | |
WAN-1ポート設定 | 設定不要(自動払出) | 設定不要(自動払出) | |
LAN-1ポート設定 | LANアドレス | 192.168.1.254/24 | 192.168.2.254/24 |
Staticルート #No1 |
宛先アドレス | ー | 172.16.1.0/24 |
ネクストホップ | ー | 192.168.2.100 | |
Staticルート #No2 |
宛先アドレス | ー | 192.168.3.0/24 |
ネクストホップ | ー | 192.168.2.100 | |
IPフィルター | TCP 5000 遮断 | TCP 5000 遮断 |
手順
エッジ装置の設定は以下の手順となります。
- 手順1~手順4までの作業はオンサイト工事の前に事前にお客様にて実施してください。
- 手順5~手順6の作業はオンサイト工事ご契約のお客様は作業不要となります。DIY工事の場合にはお客様にて実施頂く必要がございます。
手順1:CloudWAN コントロールパネルへログイン
CloudWANの各エッジ装置の設定は、お客様へ無償で提供するコントロールパネルから実施します。
ログインID/パスワード入力し、ログインください。
ログイン後、TOP画面から「拠点」を選択ください。
拠点一覧の画面から「テナント選択」をクリックし、お客様のテナントを選択ください。
テナントを選択すると、拠点一覧が表示されます。
設定したい拠点名をクリックしてください(ここでは「東京拠点」を選択します)
以下の「拠点詳細画面」が表示されたら次の手順へお進みください
手順2:WAN-1ポートの設定
基本的にフレッツ回線のONUにエッジ装置を接続頂くだけでご利用いただけます。
特にWAN-1ポートの設定は不要となります。
手順3:LAN-1ポートの設定(IPアドレス)
ここでは各エッジ装置のLANポートのIPアドレスおよびサブネットマスクの設定を行います。
本ページの構成例の場合は、「東京拠点」も「大阪拠点」も設定が必要です。
「拠点詳細画面」の下段にある「LANポート」の「lan-1」の「Port追加」をクリックしてください。
「LANポート作成」のポップアップ画面が表示されたら、以下の情報を入力します。情報入力後は「作成」ボタンをクリックします。
【LANポート設定①】「東京拠点」のエッジ装置のLAN-1はIPアドレスは「192.168.2.254/24」
・LANネットワークアドレス/サブネットマスク:192.168.2.0/24 ※サブネットマスク入力が必要
・LANインターフェースのプライマリIPアドレス:192.168.2.254
これで「東京拠点」の【LANポート設定①】は完了です。
同様に、「大阪拠点」の設定も行います。「拠点一覧」に戻り「大阪拠点」をクリックしてください。
「拠点詳細画面」の下段にある「LANポート」の「lan-1」の「Port追加」をクリックしてください。
「LANポート作成」のポップアップ画面が表示されたら、以下の情報を入力します。情報入力後は「作成」ボタンをクリックします。
【LANポート設定②】「大阪拠点」のエッジ装置のLAN-1のIPアドレスは「192.168.1.254/24」
・LANネットワークアドレス/サブネットマスク:192.168.1.0/24 ※サブネットマスク入力が必要
・LANインターフェースのプライマリIPアドレス:192.168.1.254
以上で「手順3:LAN-1ポートの設定(IPアドレス)」は完了です。
手順4:LAN-1ポートの設定(Staticルート)
ここでは各エッジ装置のStaticルートの設定を行います。
本ページの構成例の場合は、「東京拠点」のみ設定が必要です。
「東京拠点」の「拠点詳細画面」の下段にある「LANポート」の「lan-1」の「編集ボタン(鉛筆マーク)」をクリックしてください。
「LANポート更新」のポップアップ画面が表示されたら、「Staticルート」のタブをクリックください。
「Staticルート」のタブを選択したら、「項目を追加」を2回クリックし、以下の情報を入力します。
情報入力後は「更新」ボタンをクリックします。
【LANポート設定③】「東京拠点」のエッジ装置のLAN側(192.168.2.0/24)に接続されている
ルータ(192.168.2.100/24)の先に複数のサブネットがあるため、CloudWANのStaticルートを設定
Staticルート No1
・ルーティング対象のネットワークアドレス/サブネットマスク:172.16.1.0/24
・ネクストホップの機器のIPアドレス:192.168.2.100
Staticルート No2
・ルーティング対象のネットワークアドレス/サブネットマスク:192.168.3.0/24
・ネクストホップの機器のIPアドレス:192.168.2.100
留意事項
「東京拠点」のLAN側ネットワークアドレス(192.168.2.0/24)は「Staticルート」で設定する必要はございません。「LANポート」で「IPアドレス」や「LANネットワークアドレス」を設定されていれば、そのネットワークアドレスは、各拠点のエッジ装置間で通信可能です。
以上で「手順4:LAN-1ポートの設定(Staticルート)」は完了です。
手順5:IPフィルターの設定
ここでは各エッジ装置のIPフィルターの設定を行います。
本ページの構成例の場合は、「東京拠点」も「大阪拠点」も設定が必要です。
TOP画面から「IPフィルター」をクリックください。
拠点一覧の画面から「テナント選択」を選択し、お客様のテナントをクリックください。
(なお、すでに選択されている場合は、本手順は不要です)
テナントを選択すると、拠点一覧が表示されます。
ページ下段にある「+IPフィルター作成」をクリックしてください。
「IPフィルター作成」のポップアップ画面が表示されたら、「+ルールの追加」を2回クリックして「No1」「No2」の設定フィールドを追加してください。
以下の情報を入力します。情報入力後は「作成」ボタンをクリックします。
【IP-Filter設定①】「東京拠点」及び「大阪拠点」のエッジ装置において、LAN側からWAN側への通信で遮断したい通信があるため、各エッジ装置にてIP-Filterの設定
a) TCP 5000のみ通信遮断
b) それ以外は全てを通信許可
共通項目
IPフィルター名:IPFilter_Sample
IPフィルタールール No1:TCP 5000のみ通信遮断
動作:deny
送信元セグメント:0.0.0.0/0
宛先セグメント:0.0.0.0/0
通信方向:out
プロトコル名:CUSTOM_TCP
ポート指定(開始ポート番号):5000
ポート指定(終了ポート番号):5000
ステータス:有効
IPフィルタールール No2:それ以外は全てを通信許可
動作:Accept
送信元セグメント:0.0.0.0/0
宛先セグメント:0.0.0.0/0
通信方向:out
プロトコル名:ALL
ポート指定(開始ポート番号):1
ポート指定(終了ポート番号):65535
ステータス:有効
IPフィルタールール No1 IPフィルタールール No2
留意事項
IPフィルタールールには順番に意味があります。条件はNo1から順番にIPフィルターの条件を参照し、動作します。そのため、上記の通り、No1に特定の通信を遮断、No2にそれ以外をすべて許可するという順番でIPフィルタールールを設定する必要があります。
作成すると、以下のIPフィルター一覧に作成した「IPフィルター名」が表示されます。
次に作成した「IPフィルター」ポリシーを各拠点のLANポートに適用する必要があります。
「東京拠点」の「拠点詳細画面」を表示してください。(操作は「手順1」を参考にしてください)
表示できたら、「LANポート」の「lan-1」の「IPフィルター」の編集ボタン(鉛筆マーク)をクリックください。
「IPフィルター選択」のポップアップ画面が表示されたら、作成した「IPフィルター名(例. IPFilter_Sample)」を選択し、「選択」をクリックしてください。
「拠点詳細画面」の「LANポート」の「lan-1」の「IPフィルター」に選択した「IPフィルター名(例. IPFilter_Sample)」が表示されます。
同様に、「大阪拠点」の設定も行います。「拠点一覧」に戻り「大阪拠点」をクリックしてください。
「拠点詳細画面」の下段にある「LANポート」の「lan-1」の「IPフィルター」の編集ボタン(鉛筆マーク)をクリックください。
「IPフィルター選択」のポップアップ画面が表示されたら、作成した「IPフィルター名(例. IPFilter_Sample)」を選択し、「選択」をクリックしてください。
以上で「手順5:IPフィルターの設定」は完了です。
手順6:物理接続
DIY工事でお申込のお客様は、同梱されている紙の「スタートアップ マニュアル」に基づき、以下の作業を実施してください。
※オンサイト工事の場合、作業員にてエッジ装置へ部品の取り付けを行うため作業不要です。
- 同梱物の各種部品をエッジ装置へ取り付けてください。
- エッジ装置に電源ケーブルを接続し、電源に接続してください。
- エッジ装置の電源ボタンにて電源ONにし、エッジ装置の筐体がLinkUPしたことを確認してください。
- エッジ装置のWAN-1ポートに敷設された回線を接続してください。
手順7:ZTP開始(エッジ装置の選択 ⇒ 接続承認)
ここではエッジ装置を利用できる状態にするためのZTP手順を説明します。
「東京拠点」の「拠点詳細画面」を表示してください。(操作は「手順1」を参考にしてください)
表示できたら、「エッジ装置の選択」をクリックしてください。
※オンサイト工事の場合、作業員にてエッジ装置へ部品の取り付けを行うため作業不要です。
「エッジ装置の選択」のポップアップ画面が表示されたら、対象のエッジ装置シリアル番号を選択し、「設定」をクリックしてください
留意事項
エッジ装置接続確認中につき5分~10分程度お待ち下さい。
10分を経過しても次項が表示されない場合、エッジ装置の再起動(エッジ装置がオフラインの場合)を実施ください。
「拠点情報」の端末情報下部に、以下のメッセージが表示されます。「接続承認」をクリックしてください。
確認のため、ポップアップ画面が表示されます。「接続承認」をクリックしてください。
約5分程度で設定情報の取得が完了し、ステータスが「承認済み/UP」となります。
ステータスが「承認済み/UP」後は、自動的にファームウェアバージョンアップが実行されます。
バージョンアップが完了すると、「追加情報」の「エッジソフトバージョン」が「2.5.2-xxxxxx」から「最新のファームウェアバージョン」変更されます。
バージョンアップ時にエッジ装置が再起動しますので、ステータスが以下の通り遷移します。
●承認済み → ●切断 → ●承認済み
なお、バージョンアップの完了までは約20分程度を要します。
留意事項
20分待機してもステータスが「承認済み/UP」にならない場合には、ファクトリー・デフォルト(エッジ装置がオフラインの場合)を実施ください。
ファクトリー・デフォルトを実施後は、再度「手順6:ZTP開始」を実施ください。
バージョンアップ前
バージョンアップ後
同様に、「大阪拠点」の設定も行います。「拠点一覧」に戻り「大阪拠点」をクリックしてください。
「拠点詳細画面」の「エッジ装置の選択」からZTP作業を実施ください。
以上で「手順7:ZTP開始」は完了です。
手順8:通信確認(任意)
ここでは通信確認について説明します。「ネットワーク調査ボックス」にてPingやTracerouteなどを利用することができます。お客さまにて疎通試験を実施ください。
「大阪拠点」の「拠点詳細画面」を表示してください。(操作は「手順1」を参考にしてください)
表示できたら、「ネットワーク調査ボックス」の「Ping」をクリックしてください。
以下のポップアップ画面が表示されたら、疎通確認を実施ください。
※「エッジ装置:Primary」「パケットサイズ:56」「インターフェイス:lan-1」は変更する必要はありません。
確認ポイント | Ping to | |
No1 | 「東京拠点」のエッジ装置まで疎通できるか | 192.168.2.254 |
No2 | 「東京拠点」のルータまで疎通できるか | 192.168.2.100 |
No3 | 「東京拠点」の特定サブネットまで疎通できるか | 172.16.1.xx |
No4 | 「東京拠点」の特定サブネットまで疎通できるか | 192.168.3.xx |
No5 | インターネットへ疎通できるか | 8.8.8.8 |
以上で本チュートリアルの説明は終了です。
コメント
0件のコメント
記事コメントは受け付けていません。