- 締切済み
NetScreen 25 DMZの設定について
NetScreen 25で次のNetwork 構成化のとおりに設定を進めましたところ DMZのネットワーク設定でUntrustで既に使われているアドレスの為、設定が できません。 NetScreen 25ではUntrustとDMZが同じネットワークアドレスを設定することは できないでしょうか? 知っている方がいらっしゃいましたら設定などを含めて教えて頂けると助かります。 Network 構成 ------------------------------------------ メディアコンバーター 10.10.10.1 | | | | 「 Untrust 」 | 10.10.10.0/28 | 「 DMZ 」 10.10.10.0/28 NetScreen 25 --------------------- Server(10.10.10.3) | | 「 trust 」 | 192.168.10.0/24 | | | P C 192.168.10.35 -------------------------------------------------------- NetScreen 25 【 インターフェース設定例 】 interface 1 trust 10.10.10.0/28 interface 2 Untrust 192.168.10.0/24 interface 3 DMZ 10.10.10.0/28
- shnet_hatayama
- お礼率0% (0/2)
- ネットワーク
- 回答数2
- ありがとう数0
- みんなの回答 (2)
- 専門家の回答
みんなの回答
ご質問の件ですが、隠しコマンドにて対応可能です。 ただし、ScreenOSのバージョンによってコマンドが若干異なります。 ・ScreenOS 4.xの場合 set interface [DMZに設定したインターフェース] no-subnet-conflict-check ・ScreenOS 5.xの場合 set vrouter [使用しているvrouter] ignore-subnet-conflict ※[ ]の中は、実際に使用されるInterface/vrouterを指定します。 これで他のInterfaceとのサブネットのコンフリクトを気にしなくなります。 ただし、あくまでも隠しコマンドであり、メーカー動作保障外となりますことをご留意下さい。 なお、複数のInterfaceを全く同じアドレスにすることは出来ません。 ご注意ください。 【余談】 このようなDMZ~Untrustが同じサブネットという設計は、Firmware時代/Standard OS のSonicWALLやWatchGuard Firebox等でよく見かけた、懐かしいアドレス設計ですね。 ただ、ぱっと見た目にややこしい設計ですし、ルーティングはどうなるの?となりますので、本来は別サブネットにすべきでしょう。 ご面倒でも、1つ1つMIPやVIPで飛ばすほうがNW設計的に美しく、後々DMZ上の機器を入れ替えるときも楽です。 ぜひ御一考下さいませ。 あと、Interfaceに設定するアドレスに、0を用いられるのは避けられた方がよろしいかと。 ご存知のとおり、本来はネットワークアドレスそのものを指し示すものですので。 まあ、NSでは使えてしまいますけどね。 【参考URL】 ・ScreenOS4 http://www.cymru.com/gillsr/documents/screenos-hidden-commands.htm#_Toc27372709 ・ScreenOS5 http://www.hitachi-solutions.co.jp/juniper/faq/ssg_netscreen.html#01_3
- hirasaku
- ベストアンサー率65% (106/163)
こんばんは。 hirasakuです。 以前、NetScreen50 で同じようなことをしました。 が、基本できません。(メーカーに問い合わせました) NetScreen はPPPoE を張った場合、Untrust側のグローバルIPをDMZに流せるのですが 上記構成のような、PPPoE を張らず上位のゲートウェイに任す場合はダメですね。 力技で対応した記憶はあるのですが、細部まで記憶に残っていません。 (もちろんメーカーができないと言っているので動作保障外です) 記憶をたどると、基本、各インターフェース間にPolicyを当てないと暗黙のDenyで通信できず。 eth3と新たにeth4インターフェースを使いバーチャルインターフェースインターフェースを作成し 透過モードに設定してL2にする。 L2モードなのでNATやルーティングはできなくなるが、NetScreenにはZoneという概念がある。 そのZone間にPolicyを当てて構成にあわせた、ANY・Deny Policyを当てる てな具合だったような。 まぁ当てにしないで、参考程度に。しつこいようですが基本できないので。 (マニュアルにもやり方載ってないし・・・)
