NetScreenはインターフェースに管理用のアドレスを設定することができます
また、それに対するアクセス制限もできます
NSRPなど冗長構成を組んだ場合などアドレスがVIPになる為、Master/Backup機
それぞれにアクセスできません
なので、管理用IPアドレスは絶対に別途割り当てる必要があります
つまり、シングル構成、且つL3モードでNetScreenを稼動させる場合には管理用アドレスを必ずしも設定しなくてもいいわけです(Trustからアクセスする場合)
◆管理用アドレスの設定/確認
■すでに設定してあるインターフェースのIPアドレスを管理用IPアドレスとしても使用する(デフォルト)
<前提条件>インターフェースの IPアドレス が設定されていること
> set interface [ Interface-name ] ip manageable
■機器に新しく管理用IPアドレスを設定する
> set interface [ Interface-name ] manage-ip [ IP-address ]
NetScreenはインターフェースにIPアドレスを設定できますが、それとは別に管理用のIPアドレスも設定できます
つまり、ひとつのインターフェースに最大で2個のアドレスを設定できるということになります
■管理用インターフェースへのアクセス制限
> set admin manager-ip [ IP-address ] (netmask)
例:192.168.1.0/24からのアクセスは許可するということ
set admin manager-ip 192.168.1.0 255.255.255.0
※デフォルト(”admin manage-ip”が設定されていない状態)では管理インターフェースと同じセグメントからのアクセスはすべて可能ですが、アクセス制限をひとつでも設定してしまうと
設定したもの以外は拒否してしまう為、同セグメント分も設定しなければなりません
■許可したセグメントの一覧を表示
> get admin manager-ip
Mng Host IP: 192.168.1.1/255.255.255.255
Mng Host IP: 192.168.2.0/255.255.255.0
Mng Host IP: 192.168.6.0/255.255.254.0
Mng Host IP: 192.168.10.0/255.255.255.0
Mng Host IP: 192.168.20.0/255.255.255.0
Mng Host IP: 192.168.5.0/255.255.255.0
(表示は登録順)
尚、アクセス制限は6個までしか設定できません
これ以上設定しようとすると下記のメッセージが出て設定ができません
Cannot set Management Host IP: 192.10.100.0 (Maximum reached)
■管理用インターフェースへアクセスする為のサービス制限
> set interface [ Interface-name ] manage { ident-reset | nsmgmt| mtrace | ping | snmp | ssh | ssl | telnet | web }
eth1(trust)ポート のデフォルトの管理サービスは以下のものが有効になっている
・ping NetScreenからping応答する
・ssh NetScreenにsshでログインできる
・telnet NetScreenにtelnetでログインできる
・snmp NetScreenにsnmpポーリングできる
・ssl NetScreenにWebUI(https)でアクセスできる
・web NetScreenにWebUIでアクセスできる
<勉強のおともに>
