Download pdf - CS-SEIL-510/Cユーザーズガイド Firmware version 1 ......第1 章はじめに 1.1. CS-SEIL-510/Cの特長 1.1 CS-SEIL-510/Cの特長 CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型

CS-SEIL-510/Cユーザーズガイド

コマンドラインインターフェイス編

［Firmware version 1.75対応］

センチュリー・システムズ株式会社

　

目次

目次

目次 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

第 1章はじめに 5

1.1 CS-SEIL-510/Cの特長 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.2 ユーザーズガイドの種類について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.3 本ユーザーズガイドの読み方 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1.4 CS-SEIL-510/Cのご利用について . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

第 2章安全にお使いいただくために 13

2.1 安全のための表示と図記号 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

第 3章お使いになる前に 21

3.1 梱包内容の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

3.2 本体の名称と働き . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3.3 モードの切り替え方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

第 4章ケーブルのつなぎ方 27

4.1 インターネットに接続する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

4.2 CS-SEIL-510/Cを LANに接続する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

4.3 電源を入れる . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

第 5章初期設定 31

5.1 コンピュータのネットワーク設定について . . . . . . . . . . . . . . . . . . . . . . . . 32

5.2 telnetでのログイン方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

5.3 Webブラウザでの閲覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

5.4 パスワードを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

第 6章設定と管理、運用 37

6.1 コマンドライン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

6.2 設定コマンドを利用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

1

目次

6.2.1 接続設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

6.2.2 ARP設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

6.2.3 ルーティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

6.2.4 セキュリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

6.2.5 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

6.2.6 回線トレース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

6.2.7 NAT/NAPT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

6.2.8 帯域制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

6.2.9 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

6.2.10 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

6.2.11 ルータ広告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

6.2.12 プロトコル変換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

6.2.13 サーバの起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

6.2.14 時刻設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

6.2.15 管理設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

6.3 管理コマンドを利用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

6.3.1 設定内容の保存・読込・取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

6.3.2 設定の初期化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

6.3.3 ファームウェアの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

6.3.4 動的な情報のクリア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

6.3.5 接続確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

6.3.6 システム時刻の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

6.3.7 管理者権限への移行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

6.3.8 ログアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

6.3.9 接続/切断 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

6.3.10 その他 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

6.4 参照コマンドを利用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

6.4.1 設定情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

6.4.2 動作情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

6.4.3 ログの参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

6.4.4 トレースログの参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

6.4.5 システム情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

6.4.6 現在時刻の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

6.4.7 ユーザ情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

6.4.8 ライセンス情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

2

目次

6.4.9 サポート用情報の参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

6.4.10 各種情報一括取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

6.5 ファームウェアを更新する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

6.6 INITボタンによる設定の初期化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

第 7章ネットワークでの利用例 81

7.1 LANをインターネットに接続する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

7.1.1 PPPoEを使用して接続する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . 83

7.1.2 unnumbered PPPoEを使用して接続する場合 . . . . . . . . . . . . . . . . . . . 89

7.1.3 DHCPを使用して接続する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

7.1.4 LAN内でグローバルアドレスを使用する場合 . . . . . . . . . . . . . . . . . . . 99

7.2 IPv4ネットワークを経由して IPv6ネットワークに接続する . . . . . . . . . . . . . . 103

7.2.1 IPv6 over IPv4 tunnelを使って接続する場合 . . . . . . . . . . . . . . . . . . . . 103

7.3 LAN内のサーバをインターネットに公開する . . . . . . . . . . . . . . . . . . . . . . 110

7.3.1 公開するサーバにグローバルアドレスを割り当てる場合 . . . . . . . . . . . . . . 110

7.3.2 公開するサーバにプライベートアドレスを割り当てる場合 . . . . . . . . . . . . 113

7.3.3 サーバを LAN内からグローバルアドレスで参照する . . . . . . . . . . . . . . . 116

7.4 外部からのアクセスを制限する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120

7.4.1 外部から LANへのアクセスを制限するフィルタリングを設定する . . . . . . . . 120

7.4.2 動的にアクセスを許可するフィルタリングを設定する . . . . . . . . . . . . . . . 128

7.4.3 IPアドレスの詐称を防ぐフィルタリング (uRPF)を設定する . . . . . . . . . . . 134

7.5 MACアドレスによるフィルタリングを行う . . . . . . . . . . . . . . . . . . . . . . . 137

7.5.1 MACアドレスの個別設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

7.5.2 外部ホワイトリストによる設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

7.6 ルーティングを動的に行う～動的ルーティングの設定～ . . . . . . . . . . . . . . . . 146

7.6.1 RIPを利用した動的ルーティング～比較的小規模なネットワーク～ . . . . . . . 146

7.6.2 OSPFを利用した動的ルーティング～中規模以上のネットワーク～ . . . . . . . 151

7.6.3 複数のルーティングプロトコルを同時に使う～経路情報の再配布～ . . . . . . . 155

7.6.4 PIM-SMを利用した IPv4/IPv6マルチキャストルーティング . . . . . . . . . . . 157

7.7 目的別のルーティングを行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

7.7.1 静的経路の監視を行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

7.7.2 ポリシーベースのルーティングを行う . . . . . . . . . . . . . . . . . . . . . . . 165

7.8 VPNを構築する～IPsecの設定～ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

7.8.1 ポリシーベース IPsecトンネル . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

7.8.2 ルーティングベース IPsecトンネル . . . . . . . . . . . . . . . . . . . . . . . . 178

3

目次

7.8.3 自アドレスが動的 IPアドレスの場合 . . . . . . . . . . . . . . . . . . . . . . . . 198

7.8.4 動的 IPアドレスからの接続を受け付ける場合 . . . . . . . . . . . . . . . . . . . 207

7.9 L2VPNを構築する～L2TPv3の設定～ . . . . . . . . . . . . . . . . . . . . . . . . . 216

7.9.1 L2TPv3を利用した L2トンネルの設定 . . . . . . . . . . . . . . . . . . . . . . . 216

7.10 CS-SEIL-510/Cを冗長化する～VRRPの設定～ . . . . . . . . . . . . . . . . . . . . 224

7.10.1 機器の故障時に自動的にバックアップ回線に切り替える . . . . . . . . . . . . . . 224

7.10.2 回線障害を検出して自動的にバックアップ回線に切り替える . . . . . . . . . . . 228

7.11 データの送信を制御する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

7.11.1 CBQの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

第 8章資料・付録 243

8.1 仕様について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

8.1.1 機能一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

8.1.2 初期設定値（工場出荷状態）一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . 246

8.1.3 ハードウェア仕様 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248

8.1.4 ネットマスク/ポート番号一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

8.1.5 ポート番号一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250

8.2 ネットワーク用語集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

第 9章トラブル・シューティング 263

9.1 故障かな？と思ったとき . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263

9.1.1 不具合時の確認手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265

9.2 自己診断テスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268

4

第 1章はじめに

第 1 章はじめに

この度は、CS-SEIL-510/Cをお買い上げいただきまして誠にありがとうございます。

CS-SEIL-510/Cは、WANサービスでは IP-VPNでのアクセスルータとして、あるいは広域 LANサー

ビスのローカルルータ／帯域制御装置として、様々な用途にご利用いただけます。アクセス回線も

ADSL、FTTH、CATV、光専用線と多種回線に対応しております。

また、CS-SEIL-510/Cは IPv6も完全実装しており、IPv4/IPv6混在環境など多様なネットワークに

柔軟に対応できる「新世代型高機能ルータ」です。洗練されたユーザインターフェイス、容易なマネー

ジメント機能を装備し、複雑化するお客様のネットワークに柔軟に対応する新しいタイプのネットワー

ク接続装置です。

ご利用の前に、CS-SEIL-510/Cの機能・性能を充分にご理解いただき、効果的にお使いいただくため

に、本ユーザーズガイドを必ずお読みください。

本製品の電源が切れていると、接続されているコンピュータなどの機器を使用し

ての通信は一切できませんのでご注意ください。

5


1.1. CS-SEIL-510/Cの特長

1.1 CS-SEIL-510/Cの特長

CS-SEIL-510/Cは、あらゆるネットワークのニーズに応える「新世代型高機能ルータ」です。ここで

は、CS-SEIL-510/Cの各特長を紹介します。

•インターネット接続に最適CS-SEIL-510/C は、インターネット接続に必要十分な機能と、IPsec、帯域制御への対応な

ど先進的な機能を搭載しています。

• IPv6完全実装

IPv4/IPv6を統一したユーザインターフェイスにて提供していますので、IPv6の設定/運用も

スムーズに行えます。また、IPv6ネットワークへの移行を容易にするトンネリング機能も搭

載しています。

• PPPoE, DHCPクライアント機能

PPPoE をサポートしているため、ADSL などの高速回線用ルータとして最適です。また、

DHCPクライアント機能を持つので CATV回線にも使用できます。

•豊富なセキュリティ機能IPsec/IKEを使用した VPN環境が構築できるほか、Secure Shellによる安全なネットワーク

の管理/運用が行えます。

•パケットフィルタリング機能を搭載インターフェイスやデータの入出力方向ごとにフィルタを指定することができ、

Source/Destinationに対するアドレス、ポート単位指定や、TCP Established/SYNに対して

も指定可能な多機能なフィルタリング機能を提供します。

•帯域制御機能を搭載トラフィックの集中する環境においてデータ転送にボトルネックが生じる状況でも、特定の

トラフィックに対して一定の帯域を確保することが可能です。

IPsec通信の際にも、暗号化する前のデータに対して帯域制御を行うことが可能です。

•グラフ表示機能を搭載回線使用率、帯域制御状態、システム負荷など多彩なグラフ表示機能により、ネットワーク

の稼働状況を即座に確認できます。

• IPv4/IPv6マルチキャストルーティング（PIM-SM）機能を搭載

大容量の動画データなどを低コストで配信することができ、ネットワーク利用の効率化を図

ることができます。

• UPnP機能を搭載

VoIPアダプタやWindows Messengerなどを NAT環境下で利用可能です。

6


1.2. ユーザーズガイドの種類について

• NTPサーバ・クライアント機能を搭載

時刻同期サーバとの間で時刻の同期を行う NTPクライアント機能だけでなく、時刻同期サー

バとしての機能も搭載しています。

• SNMPエージェント機能を搭載

動作情報を外部から取得できる SNMP エージェント機能に加え、インターフェイスの

up/down検出時や再起動時にトラップを送出する機能を搭載し、SNMP管理ツールを用いた

ルータの集中管理にも対応しています。

•ロギング機能を搭載メモリ内部にログを保持するだけでなく、外部にログを転送する機能を装備しています。

• DHCPサーバ機能を搭載

IPアドレスの割り当てを自動的に行うことができ、効率的なネットワークの運用を可能とし

ます。

• SMFに対応

CS-SEIL-510/CはモードをSMFモードへ変更することにより、SMF（CS-SMARTConfigurator

サービスは近日対応予定）に対応したルータとなります（※ SMFとは、ネットワーク機器の

構築、設定、運用、保守における作業をユーザ専用WEB サイトから一元的に行なえるよう

にするサービスです。）本サービスを利用することにより煩雑なルータ設定などを自動化で

き、ネットワーク構築や設定変更の作業を大幅に削減できます。

（サービスへの申し込みが別途必要です。）

1.2 ユーザーズガイドの種類について

CS-SEIL-510/Cのユーザーズガイドは以下の 2種類があります。ご利用状況にあわせてご参照くだ

さい。

•「コマンドラインインターフェイス編」本ユーザーズガイドです。設定、管理、運用法などを、主にコマンドラインインターフェイ

スを用いて解説します。コマンドラインインターフェイスでは、SEILに用意されている全て

の機能の設定が行えます。

•「Webインターフェイス編」

Webブラウザを用いた簡易設定、管理、運用法について解説します。Webインターフェイス

では、よく使われる機能について簡単に設定が可能なほか、帯域使用状況などのグラフ表示

を参照することができます。

7


1.3. 本ユーザーズガイドの読み方

1.3 本ユーザーズガイドの読み方

■ 各章の説明

第 1章はじめに SEIL の特長や本ユーザーズガイドについて説明しま

す。

第 2章安全にお使いいただくために SEILを安全に正しくお使いいただき、危害や損害を未

然に防止するために、守っていただきたい事項を説明

します。

第 3章お使いになる前に SEILの各部の名称や働き、設置してからお使いになる

までの準備について説明します。

第 4章ケーブルのつなぎ方 SEIL と HUB、コンピュータなど周辺機器との基本的

な配線方法について説明します。

第 5章初期設定 SEILの利用に必要なコンピュータの設定と SEIL 本体

の設定について説明します。

第 6章設定と管理、運用本章では、SEIL を利用する上で使用する、設定メニ

ュー、管理メニュー、運用メニューについて説明しま

す。

第 7章ネットワークでの利用例ネットワーク（LAN）内からインターネットを利用す

る方法やインターネットにコンピュータ（サーバなど）

を公開する方法を、実例を挙げて説明します。

第 8章資料・付録 SEILの仕様や、ネットワークを利用する際によく使わ

れる専門用語などについて分かりやすく説明します。

第 9章トラブル・シューティング SEILの設定や SEILを使用してインターネット接続で

きない場合など、困ったときの対策について説明しま

す。

8


1.3. 本ユーザーズガイドの読み方

■ マークについて

本文で使用している表示と図記号の意味は次の通りです。内容をよく理解してから、本文をお読みく

ださい。

※ ：操作上の注意点や用語の説明、補足を示します。

ó� ：詳しい説明のある参照ページです。

※ 本ユーザーズガイドの画像は、Internet Explorer 6.0を使用したものです。

※ Webブラウザは最新のものをご利用ください。お使いいただくブラウザにより、画面表示状態が

異なったり、正しく表示されなかったりする場合があります。

9


1.4. CS-SEIL-510/Cのご利用について

1.4 CS-SEIL-510/Cのご利用について

■ 日常のお手入れ

SEILの表面は、柔らかい布に水または洗剤を含ませて軽く拭いてください。ベンジン、シンナーな

どの揮発性の薬品は絶対に使用しないでください。変形、変色の原因となります。

■ アフターサービスについて

• 万一装置に故障が発生した場合は、修理依頼書に必要事項をご記入の上、お買い上げの販売店へお送りください。

※ 修理費用は規定の費用をお支払いいただきます。ただし、ご購入されてから１年以内の故障

につきましては、保証書に記載された保証規定に従い、無料で修理いたします。

• 本ユーザーズガイドには、SEILの運用に関する大切な情報が含まれていますので、いつでも参

照できるように必ず保管してください。

■ 廃棄方法について

詳細は、各地方自治体へお問い合わせください。

■ 輸出する際のご注意

本装置が外国為替および外国貿易管理法の規定により戦略物資等に該当する場合

には、日本国外に輸出する際に日本政府の許可が必要です。

10

第 1章安全にお使いいただくために

■ ご注意

1. 本ユーザーズガイドの内容の一部または全部を無断で転載することは禁止

されています。

2. 本ユーザーズガイドの内容については、将来予告なしに変更することがあ

ります。

3. 本ユーザーズガイドの内容について万全を期しておりますが、万一ご不審

な点や誤り、記載漏れなどお気づきのことがありましたら、お手数でも、

お買い上げの販売店までご連絡くださいますようお願いいたします。

4. 当社では、本装置の運用を理由とする損失、逸失利益等の請求につきまし

ては、（3）項に関わらずいかなる責任も負いかねますので、予めご了承く

ださい。

5. 本装置は、医療機器、原子力設備や機器、航空宇宙機器、輸送設備や機器な

ど、人命に関わる設備や機器、および高度な信頼性を必要とする設備や機

器としての使用またはこれらに組み込んでの使用を意図しておりません。

これら、設備や機器、制御システムなどに本装置を使用され、当社製品の

故障により、人身事故、火災事故、社会的な損害などが生じても、当社で

はいかなる責任も負いかねます。設備や機器、制御システムなどにおいて

は、冗長設計、火災延焼対策設計、誤動作防止設計など、安全設計に万全

を期されるようご注意願います。

11


2.1. 安全のための表示と図記号

第 2 章安全にお使いいただくために

本章では、CS-SEIL-510/Cを安全に正しくお使いいただき、お客様やほかの人々への危害や、財産へ

の損害を未然に防止するために、守っていただきたい事項をご説明します。

2.1 安全のための表示と図記号

本文で使用している表示と図記号の意味は次の通りです。

内容をよく理解してから、本文をお読みください。

警告この表示を無視して、誤った取扱いをすると、人が死亡または重傷を負う可能性

が想定される内容を示しています。

注意この表示を無視して、誤った取扱いをすると、人が傷害を負う可能性が想定され

る内容および物的損害が想定される内容を示しています。

誤った取扱いをすると、発火の可能性が想定されることを示しています。

誤った取扱いをすると、感電の可能性が想定されることを示しています。

誤った取扱いをすると、けがを負う可能性が想定されることを示しています。

安全のため、水場での機器の使用を禁止することを示しています。

安全のため、機器の分解を禁止することを示しています。

安全のため、電源コードのプラグを必ず ACコンセントから抜くように指示する

ものです。

13



警告

■ 電源について

付属の専用 AC アダプタ (DC5V)以外のものは、絶対に使用しないでください。

火災、感電、故障の原因となります。

SEILの電源は、AC100V± 10％ (50/60Hz)の電源以外では、絶対に使用しない

でください。異なる電圧で使用すると、火災、感電の原因となります。

電源プラグは ACコンセントに確実に差し込んでください。電源プラグの刃に金

属などが触れると火災、感電の原因となります。

電源コードの接続は、テーブルタップや分岐コンセント、分岐ソケットを使用し

たタコ足配線にしないでください。ACコンセントが過熱し、火災、感電の原因

となります。

電源コードを加工したり、傷つけたり、無理に曲げたり、ねじったり、引っ張っ

たりしないでください。コードの破損による火災、感電の原因となります。

電源コードの上にものを載せないでください。コードの破損による火災、感電の

原因となります。

14



■ 次のような場所には置かないでください

SEILをふろ場や加湿器のそばなど、湿度の高いところ（湿度 90％以上）では使

用しないでください。火災、感電の原因となります。

■ 装置について

SEIL に水などの液体が入ったり、SEIL をぬらしたりしないようご注意くださ

い。火災、感電、故障の原因となります。

SEILの上や近くに花びん、植木鉢、コップ、化粧品、薬品など、液体の入った容

器を置かないでください。液体が SEIL にこぼれたり、SEIL の中に入ったりし

た場合、火災、感電、故障の原因となります。

SEILの配線は、必ず屋内配線としてください。屋外にわたる配線は、感電の原

因となります。

SEIL内部の点検、調整、清掃、修理は、危険ですから絶対にしないでください。

SEILの内部には電圧の高い部分があり、感電の原因となります。SEIL内部の点

検、調整、清掃、修理は、お買い上げの販売店に依頼してください。

SEILの分解・改造は絶対にしないでください。火災、感電、故障の原因となり

ます。

15



■ こんなときには

電源コードが傷んだときは、すぐに電源プラグを ACコンセントから抜いて、お

買い上げの販売店に修理を依頼してください。そのまま使用すると、火災、感電

の原因となります。

万一、SEILから煙が出ている、変な臭いがするなどの異常状態が現れたときは、

すぐに電源プラグを ACコンセントから抜き、煙が出なくなるのを確認して、お

買い上げの販売店にご連絡ください。そのまま使用すると、火災、感電の原因と

なります。

万一、SEILを落としたり、破損したりした場合、電源プラグを ACコンセントか

ら抜いて、お買い上げの販売店にご連絡ください。そのまま使用すると火災、感

電、故障の原因となります。

万一、SEILの内部に水などの液体が入った場合は、電源プラグを ACコンセン

トから抜いて、お買い上げの販売店にご連絡ください。そのまま使用すると、火

災、感電、故障の原因となります。

万一、異物が SEIL の内部に入った場合は、電源プラグを ACコンセントから抜

いて、お買い上げの販売店にご連絡ください。そのまま使用すると火災、感電、

故障の原因となります。

16



注意

■ 電源について

電源プラグを抜くときは、必ずプラグを持って抜いてください。コードの損傷に

よる火災、感電の原因となることがあります。

ぬれた手で電源プラグを ACコンセントに抜き差ししないでください。感電の原

因となることがあります。

電源プラグを ACコンセントに接続してあるときは、ぬれた手で本体に触らない

でください。感電の原因となります。

■ 次のような場所には置かないでください

SEILを直射日光の当たる所や、温度の高い所（40℃以上）に置かないでくださ

い。内部の温度が上がり、火災の原因となることがあります。

SEILを油飛びや湯気があたるような場所、ほこりの多い場所に置かないでくだ

さい。火災、感電、故障の原因となることがあります。

SEILを不安定な場所（ぐらついた台の上や傾いた所など）に置かないでくださ

い。落ちたりして、けがの原因となることがあります。

SEILを振動、衝撃の多い場所に置かないでください。落ちたりして、けがの原

因となることがあります。

SEILや電源コードを火気やストーブなどの熱器具の近くに置かないでください。

キャビネットや電源コードの被覆が溶けて、火災、感電、故障の原因となること

があります。

17

第 2章お使いになる前に

■ 装置について

SEILは、ゴム足が下になるように置いてください。倒れたり、落ちたりして、け

がの原因となることがあります。

SEILの通風孔など開口部から、内部に金属類や燃えやすいものなどの異物を入

れないでください。そのまま使用すると火災、感電、故障の原因となることがあ

ります。

機器を接続する場合には、必ず電源プラグを AC コンセントから抜いてくださ

い。電源プラグを ACコンセントに接続したまま、機器の接続をすると、感電の

原因となることがあります。

SEILをご使用にならないときは、安全のため必ず電源プラグを ACコンセント

から抜いてください。

SEILのお手入れをする際は、安全のため必ず電源プラグを ACコンセントから

抜いてください。

SEILの上にものを載せたり、SEILに乗ったりしないでください。特に、小さな

お子様のいるご家庭ではご注意ください。壊れたりしてけがの原因となることが

あります。

SEILを布や布団などでおおったり包んだりしないでください。熱がこもり火災

や故障の原因となります。

SEILの通風孔をふさがないでください。通風孔をふさぐと内部の温度が上がり、

火災の原因になることがあります。

18


■ こんなときには

落雷の恐れのあるときは、SEILの電源を切り、必ず電源プラグを ACコンセン

トから抜いてご使用をお控えください。雷によっては、火災、感電の原因となる

ことがあります。

雷が鳴っているときは、電源プラグに触れたり、機器の接続をしたりしないでく

ださい。感電の原因となることがあります。

19


3.1. 梱包内容の確認

第 3 章お使いになる前に

本章では、CS-SEIL-510/Cの各部の働きや取り付けてからお使いになるまでの準備についてご説明し

ます。

3.1 梱包内容の確認

■本体 ■ ACアダプタ

■ RJ-45⇔ Dsub9ピン変換アダプタ ■ UTPケーブル（ストレート）

■はじめにお読みください ■保証書

■海外使用禁止シート ■電源ケーブル固定部品

■接続用ケーブル類の固定方法

21


3.2. 本体の名称と働き

3.2 本体の名称と働き

■ 前面

1 2

1. 7セグメント LED

　 SEIL の動作状態を表示します。

2. SERIAL0ポート

　コンソールを接続します。

※ 7セグメント LEDは、点灯場所によって以下の状態を表しています。

a

b c

d

ef

g

h

• 点灯なし何も接続されていない状態です。

• ”h”セグメントが点滅

システムが動作している状態です。

• ”d”セグメントが点灯

LAN0ポートが接続されている状態です。

• ”g”セグメントが点灯

LAN1ポートが接続されている状態です。

• ”b”セグメントが点灯

SMF モードで情報を取得中です。

• ”b”セグメントが点灯、”c”セグメントが点滅

SEIL が異常を検知しています。電源を入れなおしても状況に改善が見られない場合は、お買い上げの

22



販売店にご連絡ください。

その他詳しい表示内容については、 ó� ［8.1仕様について¤ ¡P.243£ ¢］をご覧ください。

■ 背面

1 2 3 4

5 6 7

1. 電源コネクタ

　 AC アダプタを接続します。

2. LAN0ポート

Ethernet ケーブルを使ってコンピュータあるいは LAN と接続します。

3. LAN1ポート

Ethernet ケーブルを使ってメディアコンバータや ADSL モデム等と接続します。

4. SERIAL1ポート

使用しません。

5. LINK/ACT LED（緑）

Ethernet ポートの状態を表示します。

LAN ケーブルが正常に接続されているときに点灯し、データ通信時は点滅します。

6. 100M LED（橙）

Ethernet ポートの通信速度を表示します。

100Base-TXで接続した時に点灯し、10Base-TXで接続した場合に消灯します。

7. INITボタン

ルータモード・SMF モードの切り替えや、工場出荷時の設定に戻すときに使用します。

23



INITボタンで工場出荷設定に戻す方法については、 ó� ［6.6 INIT ボタンによる設定の初期化¤ ¡P.79£ ¢

］をご覧ください。

24


3.3. モードの切り替え方法

3.3 モードの切り替え方法

SEILには、以下の４つのモードがあります。

• ルータモード設定を手動で行います。

• SMF-PPPoEモード

PPPoEが使用可能な環境で SMFサービスを使用します。

• SMF-DHCPモード

DHCPが使用可能な環境で SMFサービスを使用します。

• SMF-LANモード

SMF-LANが使用可能な環境で SMFサービスを使用します。

※ SMFとは

ネットワーク機器の構築、設定、運用、保守における作業をユーザ専用 WEBサイトから一元的

に行なえるようにするサービスです。

■ 現在のモード表示

SEILの現在のモード設定を表示するには、本体が起動している状態で、INITボタンを以下のように

操作します。

通常状態

↓ 2秒以上押す

設定モード（LEDが”8”を表示）


現在値表示

※ 7セグメント LEDは、LED ”a”セグメントを上として表示します。

※ それぞれの値が表示するモードは以下の通りです。

0：ルータモード

1：SMF-PPPoEモード

25

第 3章ケーブルのつなぎ方

2：SMF-DHCPモード

3：SMF-LANモード

■ モードの切り替え

SEILのモード設定を変更するには、本体が起動している状態で、INITボタンを以下のように操作し

ます。

通常状態


設定モード（LEDが”8”を表示）


現在値表示


設定変更（LEDが 0→ 1→ 2→ 3の順に表示）

↓設定する値でボタンを離す

設定を保存（値が点滅）

↓設定に成功

通常状態

26


4.1. インターネットに接続する

第 4 章ケーブルのつなぎ方

本章では、CS-SEIL-510/Cと HUB、コンピュータなどの周辺機器との基本的な配線方法についてご

説明します。

4.1 インターネットに接続する

■ CS-SEIL-510/Cを ADSLモデム/ONUなどと接続する

SEILの LAN1ポートと、ADSLモデムや ONUなどの Ethernetポート（LANポート）を、Ethernet

ケーブルでつなぎます。なお、コネクタは各ポートにカチッと音がするまで差し込んでください。

（ケーブルの極性は自動判別します。)

※ メディアコンバータや ADSLモデムなどは必ず LAN1ポートに接続してください。

※ ここで言う「Ethernetケーブル」とは、「10BASE-T/100BASE-TXストレートケーブル」を示し

ます。

27


4.2. CS-SEIL-510/Cを LANに接続する

警告

　配線は、必ず屋内配線としてください。

屋外にわたる配線は、感電の原因となります。

4.2 CS-SEIL-510/Cを LANに接続する

SEILの LAN0ポートとご利用の HUBの任意のポートをつなぎます。次に、HUBとコンピュータの

Ethernet（あるいは LAN）ポートをつなぎます。コネクタは各ポートにカチッと音がするまで差し込ん

でください。（ケーブルの極性は自動判別します。)

※ HUBおよびコンピュータとの接続には、市販の Ethernetケーブル（カテゴリ 5以上を推奨して

います）をご利用ください。

※ コンピュータ側には LANボード/カードが必要になります。

※ ここで言う「Ethernetケーブル」とは、「10BASE-T/100BASE-TXストレートケーブル」を示し

ます。

警告

　配線は、必ず屋内配線としてください。

屋外にわたる配線は、感電の原因となります。

28


4.3. 電源を入れる

4.3 電源を入れる

SEILの電源コネクタ【DC in（5V）】と ACコンセントを、SEILに付属の ACアダプタでつなぎます。

SEILの電源が ONになり 7セグメント LEDが点灯し、自己診断テストが行なわれます（ ó� ［9.2

自己診断テスト¤ ¡P.268£ ¢］）。

※ 電源を OFFにするには、ACアダプタを ACコンセントから抜き取ります。

29

第 4章初期設定

警告

　付属の ACアダプタ（DC 5V）以外のものは、絶対に使用しないでください。

火災、感電、故障の原因となります。

SEILの電源は、100V± 10%（50/60Hz）の電源以外では、絶対に使用しないで

ください。

異なる電圧で使用すると、火災、感電の原因となります。

電源プラグは ACコンセントに確実に差し込んでください。

電源プラグの刃に金属などが触れると火災、感電の原因となります。

電源コードの接続は、テーブルタップや分岐コンセント、分岐ソケットを使用し

たタコ足配線にしないでください。

ACコンセントが加熱し、火災、感電の原因となります。

30


第 5 章初期設定

本章では、CS-SEIL-510/Cの利用に必要なコンピュータの設定と、CS-SEIL-510/C本体の設定につ

いてご説明します。

SEILの設定を行うには、SEILと任意のコンピュータを接続する必要があります。SEILとコンピュー

タをネットワークに接続した後（ ó� ［4ケーブルのつなぎ方¤ ¡P.27£ ¢］）、下記の手順で SEILと、接続

したコンピュータを 1台だけ起動し、SEILを設定してください。

SEILとコンピュータのケーブル接続を確認

↓

SEILの起動

↓

SEILと接続したコンピュータの起動

↓

コンピュータのネットワークに関する設定

↓

コンピュータの再起動

↓

SEILの設定

※ SEILの設定に使用するコンピュータ以外は設定完了後に起動してください。

※ SEILを起動する前にコンピュータと正しく接続されていることを確認してください。接続を確

認後、SEIL の AC アダプタをコンセントに差し込み、電源を入れてください（SEIL が起動し

ます）。

※ SEILの POWERランプが緑色に点灯（正常起動）し、起動中のランプ点滅（ ó� ［9.2自己診断

テスト¤ ¡P.268£ ¢］）が行われていることを確認してから、コンピュータを起動してください。

31


5.1. コンピュータのネットワーク設定について

5.1 コンピュータのネットワーク設定について

■ コンピュータが DHCPクライアント機能をサポートしている場合

SEILには DHCPサーバ機能が内蔵されており、工場出荷状態では有効になっています。コンピュー

タが DHCPクライアント機能をサポートしている場合は、DHCPクライアント機能を有効にすること

でネットワークに接続するために必要な項目を自動的に設定できます。

SEIL① コンピュータ起動

コンピュータ② ネットワーク設定情報要求③ ネットワーク設定情報供給④ ネットワーク設定完了！■ コンピュータが DHCPクライアント機能をサポートしていない場合

コンピュータが DHCPクライアント機能をサポートしていない場合は、ネットワークに接続するため

に必要な項目を手動で設定する必要があります。SEILは工場出荷状態では IPアドレス「192.168.0.1」、

ネットマスク「/24」に設定されています。

SEIL手動で設定

コンピュータIPアドレス192.168.0.2/24IPアドレス192.168.0.1/24

32


5.2. telnetでのログイン方法

5.2 telnetでのログイン方法

SEILと LAN接続されているコンピュータから telnetクライアントを利用して、SEILに telnet接続

を行います。以下の手順に従ってログインを行ってください。また、SEILでは、telnetに加えてシリア

ルコンソールからの設定や、Secure Shellを使っての設定にも対応しています。シリアルコンソールを

使用する場合には、別売のコンソールケーブルが必要となります。Secure Shellは工場出荷状態では無

効になっていますが、Secure Shellを使用するとより安全に SEILにログインすることができます。詳

細は ó� ［6.2.13サーバの起動¤ ¡P.56£ ¢］をご覧ください。

1. login:”と表示されますので、「user」もしくは「admin」と入力してください。¶ ³login: adminµ ´※ userは一般アカウント、adminは管理者アカウントとなります。上記では、例として admin

と入力しています。userでログインすると、そのままでは設定/動作情報の参照しかできま

せん。各種設定を行うには、administratorコマンドで管理者権限に移行する必要があります

（ ó� ［6.3.7管理者権限への移行¤ ¡P.66£ ¢］）。

2. パスワードが設定されていれば、”Password:”と表示されますので、設定したパスワードを入力し

てください。パスワードを設定してなければ、表示されずに次に進みます。”Login incorrect”と

表示された場合は、ユーザ名もしくはパスワードが間違っていますので、入力をやり直してくだ

さい。¶ ³Password:µ ´

3. プロンプトが表示されます。表示されるプロンプトはユーザによって変わります。ユーザが

adminの場合は”#”、userの場合は”>”となります。

4. ログイン完了です。この状態から、コマンドを入力することができます。

5. 終了するには、exit等のコマンドを入力してください。

33


5.3. Webブラウザでの閲覧

5.3 Webブラウザでの閲覧

SEILはWebブラウザを使って、簡易設定や、システム管理、動作状況の確認を行うことができます。

閲覧を行うためには、SEILと閲覧用コンピュータをネットワークに接続し、コンピュータのWebブラ

ウザを使います。

SEILwwwサーバ

コンピュータwwwブラウザ

※ ケーブルの接続方法や、閲覧用のコンピュータの接続方法については、「 ó� ［4ケーブルのつな

ぎ方¤ ¡P.27£ ¢］」や「 ó� ［5.1コンピュータのネットワーク設定について

¤ ¡P.32£ ¢］」をご覧くだ

さい。

※ 閲覧に使用する Webブラウザは Internet Explorer 6.0以降、または Netscape Navigator 7.0以

降を推奨します。

コンピュータから SEILへアクセスする手順を説明します。

1. コンピュータの Web ブラウザを起動します。使用する Web ブラウザは必ず「Proxy サーバ機

能」を使用しない設定にしてください。設定方法については Webブラウザのヘルプをご参照く

ださい。

2. URL入力欄に「http://192.168.0.1/」と入力してください。

※ 工場出荷状態では、閲覧のためにアクセスするURLは「http://192.168.0.1/」になります。”in-

terface lan0 address”コマンドで IPアドレスを設定変更している場合は、”192.168.0.1”の部

分を設定した値に変更してアクセスしてください。

3. ”user”、”admin”両方のパスワードが設定されている場合、SEIL にアクセスすると以下の画面が

表示されます。それぞれの欄に必要な事項を入力すると、メイン画面が表示されます。

34


5.3. Webブラウザでの閲覧

「管理者アカウント」でアクセスする場合

•「ユーザー名 (U)」欄に「admin」と入力

•「パスワード (P)」欄に「管理者アカウント」で設定したパスワードを入力

「一般アカウント」でアクセスする場合

•「ユーザー名 (U)」欄に「user」と入力

•「パスワード (P)」欄に「一般アカウント」で設定したパスワードを入力

※ 工場出荷状態では、パスワードは設定されていません。

※ パスワードは「*」（アスタリスク）もしくは「・」（ドット）で表示されます。

35

第 5章設定と管理、運用

5.4 パスワードを設定する

SEILはすべての設定変更、参照が可能な「管理者アカウント」と、現在の設定と装置の状態のみ参照

可能な「一般アカウント」の 2つのアカウントを用意しています。工場出荷状態では、「管理者アカウ

ント」と「一般アカウント」に対するパスワードは設定されていません。

ネットワークセキュリティの観点から、「管理者アカウント」と「一般アカウント」の両方に対してパ

スワードを設定することをお勧めします。

※ 設定したパスワードは SEIL保守管理担当者以外には決して教えないようにしてください。

1. telnetまたはシリアルコンソールで SEILに adminでログインします。

2. passwordコマンドを実行します。引数に adminを指定してください。¶ ³# password admin

New password:µ ´New password: のプロンプトが出ますのでパスワードを入力します。

3. 適切なパスワードを入力すると以下のプロンプトが出ます。入力に間違いがなかったかどうかを

確認するためのものですので再度同じパスワードを入力してください。¶ ³Retype new password:µ ´

4. 同様に一般アカウント用のパスワードも設定します。passwordコマンドに引数 userをつけて実

行してください。¶ ³# password user

New password:

Retype new password:µ ´5. 設定を SEIL本体に保存します。以下のコマンドを実行してください（ ó� ［6.3.1設定内容の保

存・読込・取得¤ ¡P.62£ ¢］）。¶ ³

# save-to flashromµ ´※ セキュリティ上の観点からパスワード設定の際は必ず、「管理者アカウント」と「一般アカウン

ト」双方を設定することをお勧めします。どちらか一方のみ設定した場合、未設定のアカウント

からのアクセスが許可されてしまいます。

36


6.1. コマンドライン

第 6 章設定と管理、運用

CS-SEIL-510/Cのコマンドは、設定、管理、および参照に分かれています。

設定コマンドとは、それぞれの機能の動作を決定するコマンドです。設定コマンドは、管理者のみが

実行可能です。管理コマンドとは、SEILの管理を行う上で必要なコマンドを集めたものです。管理者

のみ実行可能なコマンドと、一般ユーザも実行可能なコマンドがあります。参照コマンドとは、現在働

いているシステムの情報、設定情報、動作情報を表示するものです。管理者や一般ユーザといった、ア

クセスレベルに関係なく実行可能です。

コマンドには IPv4と IPv6に共通するコマンド、IPv4と IPv6とで異なるコマンド、IPv6には対応し

ていないコマンドがあります。

ここでは、それぞれのコマンドについてご説明します。

アクセスレベル管理者一般ユーザ

設定 ○ ×

管理 ○ ○（一部のみ）

参照 ○ ○

※ 一般ユーザでは設定変更が行えないため、各種設定変更を行うには administrator コマンドによ

り管理者権限に移行する必要があります（ ó� ［6.3.7管理者権限への移行¤ ¡P.66£ ¢］）。

※ セキュリティ上の観点から、管理者権限でログインするためのパスワードは、保守管理担当者以

外には決して教えないようにしてください。

6.1 コマンドライン

SEILでは、ログイン後は tcshや bash等の UNIXシェルと同様に文字を入力・削除することができ、

コマンドの履歴参照やコマンド行を編集することも可能です。ここでは、コマンド入力に使用する文字

や規則、コマンドの補完機能、コマンドの履歴参照機能、コマンドの基本型についてご説明します。

■使用する文字

• 入力は ASCII文字のみとなります。日本語等では入力できません。

37



• キーワードや予約語は、大文字と小文字が区別されます。• 文字列文字列には、英数字（ABC…Zabc…z012…9）と記号が使用可能となります。使用できる記号に

ついてはコマンドリファレンスをご覧ください。また、空文字列は何も文字を入れない入力で、

連続したダブルクオート（””）で入力することができます。

• 数値数値は、10進法（012…9）または 16進法（012…9abc…f）で入力します。先頭に”0x”を付けた

数値は 16進法として、それ以外は 10進法として扱われます。

38



■制御文字と特殊文字

Space カーソル位置に空白を入力します。

BackSpace カーソルが一文字前に移動し、その文字を削除します。

Ctrl-H ”BackSpace”と同様の動作をします。

DEL ”BackSpace”と同様の動作をします。

Ctrl-D カーソル位置にある文字を削除します。行末にある場合は”？”と同様の動作を

します。

Tab 入力中のキーワードが 1つに特定可能であれば、キーワードを補完します。

？現在のコマンドラインで入力可能なキーワードやパラメータを表示したり、

helpを表示したりします。

Enter 現在のコマンド行を実行します。

Ctrl-M ”Enter”と同様の動作をします。

Ctrl-J ”Enter”と同様の動作をします。

Ctrl-C 実行中のコマンドをキャンセルします。

Ctrl-F カーソルが一文字後に移動します。

→ ”Ctrl-F”と同様の動作をします。

Ctrl-B カーソルが一文字前に移動します。

← ”Ctrl-B”と同様の動作をします。

Ctrl-A カーソルが行頭に移動します。

Ctrl-E カーソルが行末に移動します。

Ctrl-T カーソル位置とその一文字前の文字を入れ替えて、カーソルを一文字進めます。

Ctrl-P コマンド履歴を前方参照します。

↑ ”Ctrl-P”と同様の動作をします。

Ctrl-N コマンド履歴を後方参照します。

↓ ”Ctrl-N”と同様の動作をします。

Ctrl-Space 切り取りの開始文字を指定します。

Ctrl-W 切り取りの終了文字を指定します。選択した範囲は切り取られます。

Ctrl-K カーソル以降を切り取ります。

Ctrl-Y 切り取った文字列をカーソル位置に貼り付けます。

Ctrl-U すべての入力を取り消して、プロンプトのみの状態にします。

Ctrl-L 画面のクリアを行います。

’ 囲んだ文字列（空白を含む）を 1つの文字列として扱います。

” ’と同様の動作をします。

\（Y） ”または’を通常の文字と同様に扱います。

39



■コマンドの補完機能

SEILでは、次に入力するコマンドのキーワードを忘れてしまった場合、Tabキーを使用してキーワー

ドを補完することができます。キーワードを一文字しか覚えていない場合でも、キーワードが 1つに特

定可能であれば正しいキーワードを表示します。また、「?」を入力すると、キーワードやパラメータの

入力候補を表示させることもできます。

• キーワードを補完する「interface p」に続く文字を忘れてしまった場合、

「interface p」と入力し、Tabキーまたは Ctrl+Iキーを押します。¶ ³interface p <Tab>µ ´

「interface pppoe」と補完されたキーワードが表示されます。¶ ³interface pppoeµ ´

• キーワードやパラメータの入力候補を表示する「interface pppoe」に続くパラメータを忘れてしまった場合、

「interface pppoe」と入力し、?キーまたは Ctrl+Dキーを押します。

¶ ³interface pppoe?µ ´

「pppoe0」「pppo1」「pppoe2」「pppoe3」とパラメータの入力候補が表示されます。¶ ³interface pppoe

ˆ

pppoe0 pppoe1 pppoe2 pppoe3µ ´

40



■コマンドの履歴参照

SEILでは、ユーザがログインしてから実行したコマンドの履歴を参照することができます。履歴を

参照することで、一度実行したコマンドは再度コマンドを入力しなくても実行可能となります。

show users

show date

show config

show status

show log

show date

show system

Ctrl P+

Ctrl N+

• コマンドの前方参照Ctrl-Pあるいは矢印キー（↑）を押すごとに、実行したコマンドを 1つずつ遡って表示します。

コマンドを 1 つも実行していない場合には何も表示されません。コマンドが表示された時点で

Enterキーを押すと、表示されているコマンドを実行することができます。

• コマンドの後方参照Ctrl-Pあるいは矢印キー（↑）によってコマンドの履歴を参照している際、Ctrl-Nあるいは矢印

キー（↓）を押すごとに、それまで参照したコマンドを 1つずつ進めて表示します。コマンドを

1つも実行していない場合には、何も表示されません。コマンドが表示された時点で Enterキー

を押すと、表示されているコマンドを実行することができます。

■コマンドの基本型

コマンドの基本型は以下の構成となります。¶ ³<トップレベルコマンド> <キーワード 0> <パラメータ 0> <キーワード 1> <パラメータ 1> …µ ´

41


6.2. 設定コマンドを利用する

なお、「add」「delete」「modify」を利用することができます。

例）¶ ³<トップレベルコマンド> <キーワード 0> add/delete/modify <パラメータ 0> <キーワード 1> …µ ´add／ delete：動的に項目を増減させることが可能となります。

modify：項目を増減させることなく変更することが可能となります。

項目には、追加した項目を一意に指定することが可能な名前が必ず付与されます。

※ 一部のコマンドでは「add」「delete」「modify」を使用することができません。詳細についてはコ

マンドリファレンスをご覧ください。

6.2 設定コマンドを利用する

設定コマンドはさまざまな機能の設定を行うことができます。IPv4 と IPv6 に共通するコマンド、

IPv4と IPv6とで異なるコマンド、IPv6に対応していないコマンドがありますので、ご確認の上、設定

を行ってください。ここでは、各コマンドの設定内容についてご説明します。詳しい設定方法はコマン

ドリファレンスをご覧ください。

※ 設定コマンドは管理者アカウントでのみ使用可能となります。一般ユーザでアクセスしている場

合、administratorコマンドで管理者権限に移行する必要があります（ ó� ［6.3.7管理者権限へ

の移行¤ ¡P.66£ ¢］）。

42



■ アクセスレベル対応表

アクセスレベル項番号コマンド

管理者一般ユーザ

6.2.1接続設定 interface ○ ×

ppp ○ ×

bridge ○ ×

6.2.2 ARP設定 arp ○ ×

6.2.3ルーティング route ○ ×

route6 ○ ×

vrrp ○ ×

6.2.4セキュリティ filter ○ ×

filter6 ○ ×

macfilter ○ ×

6.2.5 VPN ipsec ○ ×

ike ○ ×

l2tp ○ ×

6.2.6回線トレース trace ○ ×

6.2.7 NAT/NAPT nat ○ ×

6.2.8帯域制御 cbq ○ ×

6.2.9 DHCP dhcp ○ ×

dhcp6 ○ ×

6.2.10 DNS dns ○ ×

resolver ○ ×

6.2.11ルータ広告 rtadvd ○ ×

6.2.12プロトコル変換 translator ○ ×

6.2.13サーバの起動 httpd ○ ×

telnetd ○ ×

sshd ○ ×

6.2.14時刻設定 ntp ○ ×

timezone ○ ×

6.2.15管理設定 snmp ○ ×

syslog ○ ×

hostname ○ ×

password ○ ×

environment ○ ×

option ○ ×

○：設定可能

×：設定不可能

43



■ IPv4/IPv6対応表

IPv4/IPv6対応項番号コマンド

IPv4 IPv6

6.2.1接続設定 interface ○ ○

ppp ○ ○

bridge ○ ○

6.2.2 ARP設定 arp ○ －

6.2.3ルーティング route ○ －

route6 － ○

vrrp ○ ×

6.2.4セキュリティ filter ○ －

filter6 － ○

macfilter －－

6.2.5 VPN ipsec ○ ○

ike ○ ○

l2tp ○ ×

6.2.6回線トレース trace －－

6.2.7 NAT/NAPT nat ○ －

6.2.8帯域制御 cbq ○ ○

6.2.9 DHCP dhcp ○ －

dhcp6 － ○

6.2.10 DNS dns ○ ○

resolver ○ ○

6.2.11ルータ広告 rtadvd － ○

6.2.12プロトコル変換 translator ○ ○

6.2.13サーバの起動 httpd ○ ○

telnetd ○ ○

sshd ○ ○

6.2.14時刻設定 ntp ○ ○

timezone －－

6.2.15管理設定 snmp ○ ○

syslog ○ ○

hostname －－

password －－

environment －－

option ○ ○

○：対応している、×：対応していない、－：IPv4/IPv6 対応とは無関係

44



■ 6.2.1 接続設定

■ interface

interfaceコマンドにより、IPアドレスの設定や、メディアの設定、トンネルの設定、VLANの設定等、

インターフェイスに関する設定を行うことができます。以下にサブコマンドと設定内容を示します。

サブコマンド設定内容

add IPアドレスのエイリアスの追加

address IPアドレスの設定

delete IPアドレスの削除

description インターフェイスの説明の設定

l2tp L2TPの設定の選択

media LANインターフェイスの回線速度の設定

mdi LANインターフェイスの MDI/MDI-Xの設定

mtu インターフェイスの MTU値の設定

over PPPoE接続に使う LANインターフェイス名の設定

ppp-configuration PPP設定の選択

queue インターフェイスのキューイング方式の設定

tag VLANタグの設定

tcp-mss インターフェイスの TCP MSS値の設定

tunnel トンネルの設定

unnumbered unnumbered接続の設定

■ ppp

pppコマンドにより、PPPで使用するパラメータの設定を行うことができます。以下にサブコマンド

と設定内容を示します。


add PPP設定の追加

modify PPP設定の変更

delete PPP設定の削除

■ bridge

bridgeコマンドにより、ブリッジの設定等を行うことができます。以下にサブコマンドと設定内容を

示します。

45




disable ブリッジ機能の無効化

enable ブリッジ機能の有効化

group add ブリッジグループ設定の追加

group delete ブリッジグループ設定の削除

group modify ブリッジグループ設定の変更

interface ブリッジに用いるインターフェイスの設定

ip-bridging IPv4ブルータの設定

ipv6-bridging IPv6ブルータの設定

vman-tpid VMAN TPIDの設定

■ 6.2.2 ARP設定

■ arp

arpコマンドにより、静的な ARPエントリの追加、NAT連動 ProxyARP設定を行うことができます。

以下にサブコマンドと設定内容を示します。


add 静的 ARPエントリの追加

delete 静的 ARPエントリの削除

modify 静的 ARPエントリの変更

reply-nat NAT連動 ProxyARPの設定

■ 6.2.3 ルーティング

■ route

routeコマンドにより、静的経路の設定や、認証鍵の設定、RIP/OSPFに関する設定、経路フィルタ

の設定等、ルーティングに関する設定を行うことができます。以下にサブコマンドと設定内容を示し

ます。

46




add 静的経路の追加

modify 静的経路の変更

delete 静的経路の削除

dynamic auth-key add 認証鍵の追加

dynamic auth-key delete 認証鍵の削除

dynamic rip enable RIPの有効化

dynamic rip disable RIPの無効化

dynamic rip interface RIP のインターフェイスごとの使用/不使用

の設定

dynamic rip interface version RIPバージョンの設定

dynamic rip interface authentication RIPv2認証の使用/不使用の設定

dynamic rip interface route-filter RIPでの経路フィルタの使用/不使用の設定

dynamic rip default-route-originate RIPのデフォルト経路配布の設定

dynamic rip update-timer RIPのタイマー設定

dynamic ospf enable OSPFの有効化

dynamic ospf disable OSPFの無効化

dynamic ospf router-id OSPFルータ IDの設定

dynamic ospf area add エリアの追加

dynamic ospf area delete エリアの削除

dynamic ospf link add リンクの追加

dynamic ospf link delete リンクの削除

dynamic ospf link modify リンクの変更

dynamic ospf administrative-distance 経路生成時のデフォルトの distanceの設定

dynamic ospf default-route-originate enable OSPFのデフォルト経路配布の有効化

dynamic ospf default-route-originate disable OSPFのデフォルト経路配布の無効化

dynamic pim-sparse enable PIM-SMの有効化

dynamic pim-sparse disable PIM-SMの無効化

dynamic pim-sparse interface enable PIM-SMのインターフェイス毎の有効化

dynamic pim-sparse interface disable PIM-SMのインターフェイス毎の無効化

dynamic pim-sparse static-rp add PIM-SMの静的ランデブーポイントの追加

dynamic pim-sparse static-rp delete PIM-SMの静的ランデブーポイントの削除

dynamic route-filter add 経路フィルタの設定

dynamic route-filter delete 経路フィルタの削除

dynamic redistribute 再配布の設定

47



■ route6

route6コマンドにより、IPv6経路、RIPng、マルチキャストルーティングに関する設定を行うことが

できます。以下にサブコマンドと設定内容を示します。


add IPv6の静的経路の追加

modify IPv6の静的経路の変更

delete IPv6の静的経路の削除

dynamic route-filter add 経路フィルタの設定

dynamic route-filter delete 経路フィルタの削除

dynamic ripng enable RIPngの有効化

dynamic ripng disable RIPngの無効化

dynamic ripng interface RIPngの動作の設定

dynamic ripng interface route-filter RIPngでの経路フィルタの設定

dynamic ripng default-route-originate enable RIPngのデフォルト経路配布の有効化

dynamic ripng default-route-originate disable RIPngのデフォルト経路配布の無効化

dynamic ripng interface aggregate add RIPngの経路集約の設定

dynamic ripng interface aggregate delete RIPngの経路集約の削除

dynamic redistribute 再配布の設定

dynamic pim-sparse enable PIM-SMの有効化

dynamic pim-sparse disable PIM-SMの無効化

dynamic pim-sparse interface enable PIM-SMのインターフェイス毎の有効化

dynamic pim-sparse interface disable PIM-SMのインターフェイス毎の無効化

dynamic pim-sparse static-rp add PIM-SMの静的ランデブーポイントの追加

dynamic pim-sparse static-rp delete PIM-SMの静的ランデブーポイントの削除

■ vrrp

vrrpコマンドにより、VRRP機能の設定等を行うことができます。以下にサブコマンドと設定内容を

示します。


add vrid VRID設定の追加

delete vrid VRID設定の削除

watch-group add 監視グループの追加

watch-group delete 監視グループの削除

48



■ 6.2.4 セキュリティ

■ filter

filterコマンドにより、フィルタの設定や、フィルタの有効/無効の設定等を行うことができます。以

下にサブコマンドと設定内容を示します。


add フィルタの追加

modify フィルタの変更

delete フィルタの削除

enable フィルタの有効化

disable フィルタの無効化

move フィルタの評価順位の変更

■ filter6

filter6コマンドにより、IPv6フィルタの設定や、IPv6フィルタの有効/無効の設定等を行うことがで

きます。以下にサブコマンドと設定内容を示します。


add IPv6フィルタの追加

modify IPv6フィルタの変更

delete IPv6フィルタの削除

enable IPv6フィルタの有効化

disable IPv6フィルタの無効化

move IPv6フィルタの評価順位の変更

■ macfilter

macfilterコマンドにより、LAN0で受信したパケットに対して MACアドレスでフィルタリングを行

うことができます。以下にサブコマンドと設定内容を示します。


add MACアドレスフィルタの追加

delete MACアドレスフィルタの削除

modify MACアドレスフィルタの変更

49



■ 6.2.5 VPN

■ ipsec

ipsecコマンドにより、セキュリティアソシエーションプロポーザルの設定、セキュリティアソシエー

ションの設定、セキュリティポリシーの設定、セキュリティポリシーの有効/無効の設定等を行うことが

できます。以下にサブコマンドと設定内容を示します。


security-association proposal add セキュリティアソシエーションプロポーザルの追加

security-association proposal modify セキュリティアソシエーションプロポーザルの変更

security-association proposal delete セキュリティアソシエーションプロポーザルの削除

security-association add セキュリティアソシエーションの追加

security-association modify セキュリティアソシエーションの変更

security-association add ike IKEを使ったセキュリティアソシエーションの追加

security-association modify ike IKEを使ったセキュリティアソシエーションの変更

security-association add pass 特殊なセキュリティアソシエーションの追加

security-association delete セキュリティアソシエーションの削除

security-policy add セキュリティポリシーの追加

security-policy modify セキュリティポリシーの変更

security-policy delete セキュリティポリシーの削除

security-policy enable セキュリティポリシーの有効化

security-policy disable セキュリティポリシーの無効化

security-policy move セキュリティポリシーの評価順位の変更

■ ike

ikeコマンドにより、IKE Peerの設定や、IKEプロポーザルの設定、IKE事前共有鍵の設定等を行う

ことができます。以下にサブコマンドと設定内容を示します。

50




retry IKEの再送回数の設定

interval IKEの再送間隔の設定

phase1-timeout フェーズ 1でのタイムアウト時間の設定

phase2-timeout フェーズ 2でのタイムアウト時間の設定

per-send 送信パケット数の設定

auto-initiation enable IKEの自動接続設定の有効化

auto-initiation disable IKEの自動接続設定の無効化

randomize-padding-value パディング値ランダム化の有無の設定

randomize-padding-length パディング長ランダム化の有無の設定

maximum-padding-length ランダム化したパディング長の最大値の設定

strict-padding-byte-check パディング長がランダム化されていない受信パケット

を破棄するか否かの設定

exclusive-tail パディング末尾へのパディング長の設定

peer add IKE Peerの追加

peer modify IKE Peerの変更

peer delete IKE Peerの削除

proposal add IKEプロポーザルの追加

proposal modify IKEプロポーザルの変更

proposal delete IKEプロポーザルの削除

preshared-key add IKE事前共有鍵の追加

preshared-key modify IKE事前共有鍵の変更

preshared-key delete IKE事前共有鍵の削除

■ l2tp

l2tpコマンドにより、L2TPv3機能の設定を行うことができます。以下にサブコマンドと設定内容を

示します。


add l2tp設定の追加

delete l2tp設定の削除

modify l2tp設定の変更

hostname local hostnameの設定

router-id local router-idの設定

51



■ 6.2.6 回線トレース

■ trace

traceコマンドにより、lan1 上で授受されるデータをモニターする回線トレース機能の設定ができま

す。以下にサブコマンドと設定内容を示します。


enable 回線トレース機能の有効化

disable 回線トレース機能の無効化

■ 6.2.7 NAT/NAPT

■ nat

natコマンドにより、NATに関する設定や、NAPTに関する設定等を行うことができます。以下にサ

ブコマンドと設定内容を示します。

52




static add 静的 NATの追加

static delete 静的 NATの削除

dynamic add private 動的 NATの対象プライベート IPアドレス（範囲）の追加

dynamic delete private 動的 NATの対象プライベート IPアドレス（範囲）の削除

dynamic add global 動的 NATのグローバル IPアドレス（範囲）の追加

dynamic delete global 動的 NATのグローバル IPアドレス（範囲）の削除

dynamic delete all 動的 NAT設定の全削除

napt add private 静的 NAPTの追加

napt delete private 静的 NAPTの削除

napt add global NAPTのグローバル IPアドレス（範囲）の追加

napt delete global NAPTのグローバル IPアドレス（範囲）の削除

napt delete all NAPT設定の全削除

snapt add 静的 NAPTの追加

snapt delete 静的 NAPTの削除

snapt enable 静的 NAPTの有効化

snapt disable 静的 NAPTの無効化

proxy sip add SIPサーバのポート番号の追加

proxy sip delete SIPサーバのポート番号の削除

timeout NATセッションタイマの設定

timeout dynamic 動的 NATタイマの設定

timeout protocol NATセッションタイマのプロトコルごとの設定

logging NATのログ出力の使用/不使用の設定

reflect add interface Reflection NAT設定の追加

reflect delete interface Reflection NAT設定の削除

upnp on UPnP機能の有効化

upnp off UPnP機能の無効化

upnp interface UPnPを使用するインターフェイスの設定

■ 6.2.8 帯域制御

■ cbq

cbqコマンドにより、CBQクラス情報の設定や、クラス分けフィルタ情報の設定等を行うことができ

ます。以下にサブコマンドと設定内容を示します。

53




class add CBQのクラス情報の追加

class modify CBQのクラス情報の変更

class delete CBQのクラス情報の削除

filter add CBQのクラス分けフィルタ情報の追加

filter modify CBQのクラス分けフィルタ情報の変更

filter delete CBQのクラス分けフィルタ情報の削除

filter enable CBQのクラス分けフィルタの有効化

filter disable CBQのクラス分けフィルタの無効化

filter move CBQのクラス分けフィルタの評価順序の変更

link-bandwidth CBQの計算上の回線速度の設定

■ 6.2.9 DHCP

■ dhcp

dhcpコマンドにより、DHCPの使用/不使用の設定や、DHCPで配布する IPアドレスや DNSサーバ

アドレス、ドメイン名、デフォルト経路、NTPサーバアドレスに関する設定等を行うことができます。

以下にサブコマンドと設定内容を示します。


enable DHCPの有効化

disable DHCPの無効化

mode DHCPの動作の設定

interface インターフェイスごとの DHCP サーバ/リレーエージェントの設

定

■ dhcp6

dhcp6コマンドにより、DHCPv6の使用/不使用の設定や、動作するインターフェイスの設定、Rapid

Commitオプション、Reconfigure Acceptオプション、Prefix Delegationの設定等を行うことができま



client enable DHCPv6クライアントの有効化

client disable DHCPv6クライアントの無効化

client interface インターフェイスごとの DHCPv6クライアントの設定

client rapid-commit Rapid Commitオプションの設定

client reconf-accept Reconfigure Acceptオプションの設定

client prefix-delegation サブネットごとの SLA IDの設定

54



■ 6.2.10 DNS

■ dns

dnsコマンドにより、DNS中継機能の使用/不使用の設定や、DNS要求の中継先サーバの設定等を行

うことができます。以下にサブコマンドと設定内容を示します。


forwarder enable DNS中継機能の有効化

forwarder disable DNS中継機能の無効化

forwarder add DNS要求の中継先サーバの追加

forwarder delete DNS要求の中継先サーバの削除

forwarder query-translation enable IPv4-IPv6変換機能の有効化

forwarder query-translation disable IPv4-IPv6変換機能の無効化

forwarder query-translation prefix IPv4アドレスに付加するプレフィクスの設定

■ resolver

resolver コマンドにより、DNS による名前解決の使用/不使用の設定や、使用する DNS サーバの設

定、DNSへ問い合わせるデフォルトドメイン名の設定等を行うことができます。以下にサブコマンド



enable DNSによる名前解決の有効化

disable DNSによる名前解決の無効化

address add 使用する DNSサーバの追加

address delete 使用する DNSサーバの削除

domain ドメイン名の設定

■ 6.2.11 ルータ広告

■ rtadvd

rtadvdコマンドにより、ルータ広告の使用/不使用の設定や、ルータ広告で配布するプレフィクスの設

定を行うことができます。以下にサブコマンドと設定内容を示します。


enable ルータ広告の有効化

disable ルータ広告の無効化

interface インターフェイスに配布するプレフィクスの設定

55



■ 6.2.12 プロトコル変換

■ translator

translatorコマンドにより、IPv6から IPv4、またはその逆のプロトコル変換を行うためのアドレス対

応とその対象ポート番号の設定や、プロトコル変換タイマの設定等を行うことができます。以下にサブ

コマンドと設定内容を示します。


add プロトコル変換のアドレス対応の追加

delete プロトコル変換のアドレス対応の削除

add prefix プロトコル変換のアドレスに付加するプレフィクスの追加

delete prefix プロトコル変換のアドレスに付加するプレフィクスの削除

add port プロトコル変換を行うポートの追加

delete port プロトコル変換を行うポートの削除

delete all トランスレータ設定の全削除

timeout プロトコル変換タイマの設定

■ 6.2.13 サーバの起動

■ httpd

httpdコマンドにより、Webによる設定機能の使用/不使用の設定を行うことができます。以下にサブ



enable Webインターフェイスの有効化

disable Webインターフェイスの無効化

■ telnetd

telnetd コマンドにより、telnet サーバ機能の使用/不使用の設定を行うことができます。以下にサブ



enable telnetサーバの有効化

disable telnetサーバの無効化

56



■ sshd

sshdコマンドにより、Secure Shellサーバ機能の使用/不使用の設定や、Secure Shellで使用するホ

ストキーの設定を行うことができます。以下にサブコマンドと設定内容を示します。


enable Secure Shellサーバの有効化

disable Secure Shellサーバの無効化

hostkey Secure Shellのホストキーの設定

authorized-key Secure Shellの公開鍵の設定

■ 6.2.14 時刻設定

■ ntp

ntpコマンドにより、NTPの使用/不使用の設定や、NTPサーバの設定等を行うことができます。以



enable NTPの有効化

disable NTPの無効化

server add NTPサーバの追加

server delete NTPサーバの削除

peer add NTP peerの追加

peer delete NTP peerの削除

■ timezone

timezone コマンドにより、タイムゾーンの設定を行うことができます。以下にコマンドと設定内容

を示します。

コマンド設定内容

timezone タイムゾーンの設定

■ 6.2.15 管理設定

■ snmp

snmpコマンドにより、SNMPサーバ機能の使用/不使用の設定や、SNMPトラップ使用/不使用の設

定等を行うことができます。以下にサブコマンドと設定内容を示します。

57




enable SNMPサーバ機能の有効化

disable SNMPサーバ機能の無効化

community SNMP communityの設定

sysname SNMP sysnameの設定

location SNMP locationの設定

contact SNMP contactの設定

user SNMPユーザの設定

trap enable SNMPトラップの有効化

trap disable SNMPトラップの無効化

trap add SNMPトラップの送信先ホストの追加

trap delete SNMPトラップの送信先ホストの削除

trap src SNMPトラップの送信元アドレスの指定

trap watch add SNMP死活監視対象ホストの追加

trap watch delete SNMP死活監視対象ホストの削除

■ syslog

syslogコマンドにより、デバッグログ記録機能の使用/不使用の設定や、ログ転送時に関する設定等を

行うことができます。以下にサブコマンドと設定内容を示します。


alternate-timestamp ログ転送時の時刻フォーマットの変更の設定

clear-password コマンドログ記録機能使用時のパスワード記録の有無の設定

command-log 実行コマンドのログ記録の設定

debug-level デバッグログ記録機能の使用/不使用の設定

sequence-number ログ転送時のシーケンス番号付与の設定

remote ログ転送機能の使用/不使用の設定

add ログを転送するリモートホストの追加

delete ログを転送するリモートホストの削除

facility ログ転送時のファシリティの設定

■ hostname

hostname コマンドにより、ホスト名の設定を行うことができます。パラメータを省略した場合は、

現在のホスト名が表示されます。以下にコマンドと設定内容を示します。


hostname ホスト名の設定

58



■ password

passwordコマンドにより、SEILにログインするためのパスワードの設定を行うことができます。パ

スワードは、一般ユーザと管理者に分かれており、それぞれに対する設定が可能です。以下にコマンド



password パスワードの設定

※ 入力されたパスワードは、encrypted-password（暗号化されたパスワード）として保存されます。

■ environment

environmentコマンドにより、コマンドラインインターフェイス環境の動作設定を行うことができま



login-timer 自動ログアウト時間の設定

pager ページャーの使用、不使用の設定

terminal 端末の行数、列数の指定および自動取得の設定

59


6.3. 管理コマンドを利用する

■ option

optionコマンドにより、専用の設定コマンドを持たない、各種機能の設定を行うことができます。以



ip mask-reply ICMPアドレスマスク要求への応答設定

ip monitor-linkstate インターフェイスの Up/down監視の設定

ip redirects ICMP echoリダイレクトの設定

ip update-connected-route LinkDown時の IPv4 connected route動的削除の設定

ipv6 monitor-linkstate インターフェイスの Up/down監視の設定

ipv6 redirects ICMP echoリダイレクトの設定

ipv6

update-connected-route

LinkDown時の IPv6 connected route動的削除の設定

ip unicast-rpf IPv4 uRPFチェックの設定

ipv6 unicast-rpf IPv6 uRPFチェックの設定

6.3 管理コマンドを利用する

管理コマンドには、設定の保存や再起動等 SEIL の管理を行う上で必要な項目が集められています。

IPv4と IPv6に共通するコマンド、IPv4と IPv6とで異なるコマンド、IPv6に対応していないコマンド

がありますので、ご確認の上で設定を行ってください。

ここでは、各コマンドの動作についてご説明します。詳しい設定方法は、コマンドリファレンスをご

覧ください。

※ 管理コマンドには管理者アカウントでのみ実行可能な設定があります。一般ユーザでアクセスし

ている場合、administratorコマンドで管理者権限に移行する必要があります（ ó� ［6.3.7管理

者権限への移行¤ ¡P.66£ ¢］）。

60






6.3.1設定内容の保存・読込・取得 save-to ○ ×

load-from ○ ×

6.3.2設定の初期化 factory-config ○ ×

6.3.3ファームウェアの更新 update ○ ×

6.3.4動的な情報のクリア clear ○ ×

6.3.5接続確認 ping ○ ○

ping6 ○ ○

traceroute ○ ○

traceroute6 ○ ○

6.3.6システム時刻の設定 date ○ ×

6.3.7管理者権限への移行 administrator × ○

6.3.8ログアウト bye ○ ○

exit ○ ○

logout ○ ○

quit ○ ○

6.2.1接続設定 connect ○ ×

disconnect ○ ×

reconnect ○ ×

6.3.10その他 reboot ○ ×

help ○ ○

telnet ○ ○

○：実行可能

×：実行不可能

61





IPv4 IPv6

6.3.1設定内容の保存・読込・取得 save-to ○ ○

load-from ○ ○

6.3.2設定の初期化 factory-config －－

6.3.3ファームウェアの更新 update ○ ○

6.3.4動的な情報のクリア clear －－

6.3.5接続確認 ping ○ ×

ping6 × ○

traceroute ○ ×

traceroute6 × ○

6.3.6システム時刻の設定 date －－

6.3.7管理者権限への移行 administrator －－

6.3.8ログアウト bye －－

exit －－

logout －－

quit －－

6.2.1接続/切断 connect －－

disconnect －－

reconnect －－

6.3.10その他 reboot －－

help －－

telnet ○ ○

○：対応している

×：対応していない

－： IPv4/IPv6 対応とは無関係

■ 6.3.1 設定内容の保存・読込・取得

■ save-to

save-toコマンドにより、SEILのメモリ上にあるユーザ設定内容の保存、出力を行うことができます。

保存、出力先には、フラッシュメモリ、遠隔ホスト、コンソールが選択できます。以下にサブコマンド

と動作を示します。

62



サブコマンド動作

flashrom フラッシュメモリへの保存

remote 遠隔ホストへの保存

stdout コンソールへの出力

※ このコマンドは、管理者アカウントでのみ実行可能となります。

■ load-from

load-fromコマンドにより、SEILのメモリ上にあるユーザ設定内容を読み込み、動作に反映させるこ

とができます。入力元には、フラッシュメモリ、遠隔ホスト、コンソールが選択できます。以下にサブ

コマンドと動作を示します。

サブコマンド動作

flashrom フラッシュメモリからの設定読み込み

remote 遠隔ホストからの設定読み込み

stdin コンソールからの設定読み込み


■ 6.3.2 設定の初期化

■ factory-config

factory-configコマンドにより、SEILのフラッシュメモリ上の設定内容を工場出荷時の設定に戻すこ

とができます。コマンドを実行した後、再起動を行う必要があります。以下にコマンドと動作を示し

ます。

コマンド動作

factory-config 設定の初期化


■ 6.3.3 ファームウェアの更新

■ update

update コマンドにより、ファームウェアを更新することができます。更新方法の詳細については、

ó� ［6.5ファームウェアを更新する¤ ¡P.76£ ¢］をご覧ください。以下にサブコマンドと動作を示します。

63



コマンド動作

firmware ファームウェアの更新

ipl IPLの更新


■ 6.3.4 動的な情報のクリア

■ clear

clearコマンドにより、キャッシュやログ等、SEILの持つ動的な情報を消去することができます。以

下にサブコマンドと消去内容を示します。

サブコマンド消去内容

arp-cache ARPキャッシュの消去

ndp-cache NDPキャッシュの消去

nat-session NAT により動的に生成された、すべての IP アドレス変換の組の

消去

log ログの消去

trace トレースログの消去

route all IPv4経路の消去

route6 all IPv6経路の消去

ike IKEフェーズ 1で確立した、IKEセキュリティアソシエーション

の消去

ipsec security-association IKEで確立した、IPsecセキュリティアソシエーションの消去

ipsec security-policy IKEで確立した、IPsecセキュリティポリシーの消去

counter インターフェイスのカウンタのクリア

l2tp L2TPのトンネル/セッション情報の消去


■ 6.3.5 接続確認

■ ping

pingコマンドにより、SEILと指定した相手との接続を確認することができます。以下にコマンドと

動作を示します。

64



コマンド動作

ping SEILと相手先ホストの IPv4アドレスでの接続確認

■ ping6

ping6コマンドにより、SEILと指定した相手との接続を確認することができます。以下にコマンドと

動作を示します。

コマンド動作

ping6 SEILと相手先ホストの IPv6アドレスでの接続確認

■ traceroute

traceroute コマンドにより、SEIL から指定した相手へパケットを送る経路を確認することができま

す。以下にコマンドと動作を示します。

コマンド動作

traceroute SEILと相手先ホストの IPv4アドレスでの経路確認

■ traceroute6

traceroute6コマンドにより、SEILから指定した相手へパケットを送る経路を確認することができま

す。以下にコマンドと動作を示します。

コマンド動作

traceroute6 SEILと相手先ホストの IPv6アドレスでの経路確認

■ 6.3.6 システム時刻の設定

■ date

date コマンドにより、SEIL のシステム時刻の設定を行うことができます。ccyyMMDDhhmm.ss 形

式による時刻の直接指定、もしくは ntp serverコマンドで指定された NTPサーバから現在時刻を取得

することもできます（ ó� ［6.2.14時刻設定¤ ¡P.57£ ¢］）。以下にコマンドと設定内容を示します。


date 時刻の設定、参照

65



■ 6.3.7 管理者権限への移行

■ administrator

administrator コマンドにより、管理者権限に移行することができます。管理者権限に移行した後に

exit等のログアウトコマンドを使用すると、元のユーザに戻ることができます。以下にコマンドと動作

を示します。

コマンド動作

administrator 管理者権限への移行

■ 6.3.8 ログアウト

■ bye, exit, logout, quit

bye、exit、logout、quitコマンドにより、SEILへの接続を終了することができます。いずれのコマン

ドを使用しても、同様の結果となります。一般ユーザでログイン後、administratorコマンドにより管理

者権限に移行していた場合は、一般ユーザ権限に戻ります。以下にコマンドと動作を示します。

コマンド動作

bye ログアウトを行う

exit ログアウトを行う

logout ログアウトを行う

quit ログアウトを行う

■ 6.3.9 接続/切断

■ connect

connect コマンドにより、PPPoE の接続を手動で行うことができます。以下にコマンドと動作を示

します。

コマンド動作

connect 回線の接続を行う


66



■ disconnect

disconnectコマンドにより、PPPoEの接続を切断することができます。切断後は、connectコマン

ド、reconnectコマンド、又は再起動を行うまで再接続をしません。以下にコマンドと動作を示します。

コマンド動作

disconnect 回線の切断を行う


■ reconnect

reconnectコマンドにより、PPPoEの接続を一旦切断し、再接続することができます。以下にコマン

ドと動作を示します。

コマンド動作

reconnect 回線の再接続を行う


■ 6.3.10 その他

■ reboot

rebootコマンドにより、再起動を行うことができます。再起動後は、最後にフラッシュメモリに保存

された設定内容で起動します。以下にコマンドと動作を示します。

コマンド動作

reboot 再起動を行う


■ help

helpコマンドにより、SEILのコマンドの書式とその簡単な説明を表示させることができます。以下

にコマンドと動作を示します。

コマンド動作

help コマンドに対する簡易説明の表示

67



■ remote-console

remote-consoleコマンドにより、モデム経由で遠隔地から SEILを保守できるようになります。以下

にコマンドと動作を示します。

コマンド動作

remote-console モデム経由での SEIL管理の設定


■ telnet

telnet コマンドにより、SEIL から指定した相手へ TELNET プロトコルで接続することができます。

以下にコマンドと動作を示します。

コマンド動作

telnet SEILから他の機器への telnet接続

68


6.4. 参照コマンドを利用する

6.4 参照コマンドを利用する

参照コマンドは、SEILの設定や動作状況をさまざまな項目で参照することができます。参照コマン

ドは、一部を除き管理者権限や一般ユーザ権限といったアクセスレベルに関係なく、また IPv4、IPv6の

どちらでも使用することができます。ここでは、各コマンドの参照内容についてご説明します。詳しい

参照方法は、コマンドリファレンスをご覧ください。




6.4.1設定情報の参照 show config ○ ○（一部×）

6.4.2動作情報の参照 show status ○ ○

6.4.3ログの参照 show log ○ ○

6.4.4トレースログの参照 show trace ○ ○

6.4.5システム情報の参照 show system ○ ○

6.4.6現在時刻の参照 show date ○ ○

6.4.7ユーザ情報の参照 show users ○ ○

6.4.8ライセンス情報の参照 show license ○ ○

6.4.9サポート用情報の参照 show tech-support ○ ×

6.4.10各種情報一括取得 report-to ○ ×

○：実行可能

×：実行不可能

69





IPv4 IPv6

6.4.1設定情報の参照 show config －－

6.4.2動作情報の参照 show status －－

6.4.3ログの参照 show log －－

6.4.4トレースログの参照 show trace －－

6.4.5システム情報の参照 show system －－

6.4.6現在時刻の参照 show date －－

6.4.7ユーザ情報の参照 show users －－

6.4.8ライセンス情報の参照 show license －－

6.4.9サポート用情報の参照 show tech-support －－

6.4.10各種情報一括取得 report-to －－

○：対応している

×：対応していない

－： IPv4/IPv6 対応とは無関係

■ 6.4.1 設定情報の参照

show configコマンドにより、SEILの設定内容を参照することができます。サブコマンドを省略した

ときには、すべての設定情報が表示されます。以下にサブコマンドと参照内容を示します。

70



サブコマンド参照内容一般ユーザでの参照

current 現在のメモリ上の設定情報 ○

environment コマンドラインインターフェイス設定 ○

flashrom フラッシュメモリ内に保存されている設定情報 ×

arp ARP設定 ○

bridge ブリッジ設定 ○

cbq 帯域制御設定 ○

dhcp DHCP設定 ○

dhcp6 DHCPv6設定 ○

dns DNS中継設定 ○

filter IPv4フィルタ設定 ○

filter6 IPv6フィルタ設定 ○

hostname ホスト名設定 ○

httpd Web機能設定 ○

ike IKE設定 △

interface インターフェイス設定 ○

ipsec ipsec設定 △

l2tp l2tp設定 ○

macfilter MACアドレスフィルタ設定 ○

nat NAT設定 ○

ntp NTP設定 ○

option オプション設定 ○

ppp PPP設定 ○

remote-console 遠隔監視機能設定 ○

resolver DNS設定 ○

route IPv4ルーティング設定 △

route6 IPv6ルーティング設定 ○

rtadvd ルータ広告設定 ○

snmp SNMP設定 ○

sshd SSH設定 △

syslog syslog設定 ○

telnetd telnet設定 ○

timezone タイムゾーン設定 ○

translator トランスレータ設定 ○

vrrp VRRP設定 ○

○：参照可能　　　

△：一部参照不可能

×：参照不可能　　

71



※ 一般ユーザでのアクセスでは一部参照不可能な設定情報があります。一般ユーザでアクセスして

いる場合、administratorコマンドで管理者権限に移行する必要があります（ ó� ［6.3.7管理者

権限への移行¤ ¡P.66£ ¢］）。

フラッシュメモリ内に保存されている設定情報およびパスワードは一般ユーザでアクセスした場合は

参照不可能であり、画面に表示されません。また、ike、ipsec、route、sshdはコマンド行の一部が画面

に表示されません。一般ユーザでは表示されない箇所を、管理者でアクセスした場合の画面表示例に示

します。

設定内容管理者でアクセスした場合の画面表示例

password encrypted-password admin <password>

encrypted-password user <password>

ike ike preshared-key add <psk name> <key>

ipsec ipsec security-association add <SA name> tunnel

<start IPaddress> <end IPaddress>

to-encap esp-auth <spi> <esp algorithm> <esp key>

<auth algorithm> <auth key>

from-encap esp-auth <spi> <esp algorithm> <esp key>

<auth algorithm> <auth key>

to-auth ah <spi> <ah auth algorithm> <auth key>

from-auth ah <spi> <ah auth algorithm> <auth key>

route route dynamic auth-key add <key-name> type md5 keyid

<keyid> password <password>

route dynamic auth-key add <key-name> type plain-text

password <password>

sshd sshd hostkey <algorithm> <hostkey>

※ < >で囲まれた部分は設定内容となります。

※ 一般ユーザで ipsecを参照すると、下線部が表示されません。

■ 6.4.2 動作情報の参照

show statusコマンドにより、SEILの動作情報を参照することができます。以下にサブコマンドと参

照内容を示します。

72



サブコマンド参照内容

arp 現在の ARPテーブル

bridge ブリッジの動作情報

cbq 帯域制御の動作情報

dhcp DHCPのリース情報

dhcp6 DHCPv6の動作情報

dns dns forwarderの動作情報

filter IPパケットのフィルタリング情報

filter6 IPv6パケットのフィルタリング情報

function 各機能の動作状態

httpd Web機能の動作状態

ike IKE設定の動作情報

interface 各インターフェイスの動作情報

ipsec IPsecの動作情報

ipsec security-association IPsecセキュリティアソシエーションの動作情報

ipsec security-policy IPsecセキュリティポリシーの動作情報

l2tp L2TPの動作情報

macfilter MACアドレスフィルタの動作情報

nat 動的アドレス変換のマッピング情報

ndp 現在の NDPテーブル

ntp NTPの動作情報

option オプション機能の動作情報

ppp PPP接続情報

resolver DNSの動作情報

route IPv4経路テーブル

route6 IPv6経路テーブル

rtadvd ルータ広告の動作情報

snmp SNMPの動作情報

sshd SSH機能の動作情報

telnetd TELNET機能の動作情報

translator トランスレータの動作情報

vrrp VRRPの動作情報

■ 6.4.3 ログの参照

show logコマンドにより、SEILが動作中に出力したログ情報を参照することができます。パラメー

タを省略したときにはすべてのログ情報が表示されます。以下にコマンドと参照内容を示します。

73



コマンド参照内容

show log ログの参照

show log function 機能ごとのログの参照

show log level レベルごとのログ参照

■ 6.4.4 トレースログの参照

show traceコマンドにより、SEILの WAN側インターフェイスに流れたパケットのトレース情報を

参照することができます。以下にコマンドと参照内容を示します。


show trace トレースログの参照

■ 6.4.5 システム情報の参照

show systemコマンドにより、SEILのシステム情報を参照することができます。サブコマンドを省

略したときには、すべてのシステム情報が表示されます。以下にサブコマンドと参照内容を示します。

サブコマンド参照内容

arch ハードウェア情報

cpustat CPU動作情報

hostname ホスト名

date 現在のシステム時刻

uptime 起動してからの時間と起動時刻

load 現在のシステム負荷率

memory 現在のメモリ使用率

version ファームウェアと IPLのバージョン

users 現在ログインしているユーザ情報

■ 6.4.6 現在時刻の参照

show dateコマンドにより、現在のシステム時刻を参照することができます。以下にコマンドと参照

内容を示します。


show date 現在のシステム時刻

74



■ 6.4.7 ユーザ情報の参照

show usersコマンドにより、ログインしているユーザ情報を参照することができます。以下にコマ

ンドと参照内容を示します。


show users 現在ログインしているユーザ情報

■ 6.4.8 ライセンス情報の参照

show licenseコマンドにより、ファームウェアに含まれるソフトウェアに関するライセンス情報を参

照することができます。以下にコマンドと参照内容を示します。


show license ライセンス情報

■ 6.4.9 サポート用情報の参照

show tech-supportコマンドにより、サポートを受けるときに最低限必要な情報を表示することがで

きます。以下にコマンドと参照内容を示します。


show tech-support サポート用情報

■ 6.4.10 各種情報一括取得

report-toコマンドにより、状況把握に必要な、設定情報、動作情報などを一括取得することができま

す。以下にコマンドと参照内容を示します。


report-to 状況把握に必要な様々な情報

75


6.5. ファームウェアを更新する

6.5 ファームウェアを更新する

ファームウェアを更新するには、以下の手順で設定を行ってください。ファームウェアの更新の前

に、万一のトラブルに備え、現在の設定をバックアップしておくことをお勧めします。（ ó� ［6.3.1設

定内容の保存・読込・取得¤ ¡P.62£ ¢］）

※ コマンドラインインターフェイスからファームウェアの更新を行う場合には ftp,http,tftp サーバ

のいずれかを用意しなければなりませんが、Webインターフェースであればその必要はありませ

ん。Webインターフェイスを用いてファームウェアの更新をする方法については「ユーザーズガ

イドWebインターフェイス編」をご覧ください。

1. FTPサーバあるいは HTTPサーバを用意してください。FTPサーバの場合、匿名（anonymous）

アカウントが設定可能であれば匿名アカウントを用意してください。匿名アカウントが設定でき

ない場合には、一般ユーザのアカウントを用意してください。ここでは、例としてサーバのアド

レスを 192.168.0.2として説明します。

2. 以下のページから、最新版のファームウェアをダウンロードしてください。

＜ CS-SEIL-510/C製品サポートページ＞ http://www.centurysys.co.jp/support/csseil510c.html

3. 2.でダウンロードしたファームウェアを、1.で用意したサーバにコピーします。なお、ファーム

ウェア取得時に指定するパス名および URL の最大長は 1023文字となります。コピーする際に

最大長を越えないようご注意ください。

4. SEILに管理者権限でログインし、update firmwareコマンドを実行してファームウェアを更新し

ます。更新には、以下の 2つの方法があります。それぞれの更新方法についてご説明します。ご

利用の環境に合わせて、更新方法を選択してください。

A.update firmware <FTPサーバ IP アドレス >

B.update firmware <URL>

注意

ファームウェアの更新時、SEILが再起動するまでは絶対に電源を切らないでく

ださい。ファームウェア更新中に電源を切ると、SEILを起動できなくなります。

※ 万一電源を入れなおしても起動できなくなった場合、お買い上げの販売店

にご相談ください。

76



■ A.update firmware <FTPサーバ IPアドレス >

FTPサーバの IPアドレスを指定する方法で、FTPによってファームウェアを取得します。以下の手

順に従ってください。¶ ³# update firmware 192.168.0.2

filename [seilfirm.img]:seilfirm.img

username [anonymous]:seiluser

Password:

total 3590366 bytes received

write to flash ROM?[y/N] y

erasing 3590221/3590221

done.

writing 3590221/3590221

done.µ ´※ ”［］”内は、入力省略時の値となります。

※ 上記の入力フォームは例であり、表示内容はファームウェアのバージョンによって異なります。

1. FTPサーバの IPアドレスを入力します。その際、ファームウェアのパス名、ユーザ名、パスワー

ドの入力も必要となります。用意したサーバの設定に応じた値を入力してください。入力が正し

ければ SEILがファームウェアのダウンロードを開始します。

2. フラッシュメモリを更新するかどうかを選択します。更新を行う場合、「y」または「Y」を入力

するとフラッシュメモリの内容を消去後、更新を開始します。更新を行わない場合には、「n」ま

たは「N」を入力してください。

※ フラッシュメモリ消去・更新時には、SEILの 7セグメント LEDが全て点灯します。消去中およ

び更新中は、絶対に電源を切らないでください。

77



■ B.update firmware <URL>

URLを指定する方法で、HTTP、FTP、TFTPによってファームウェアを取得します。以下の手順に

従ってください。

HTTPによる入力例¶ ³# update firmware http://192.168.0.2/seilfirm.img



erasing 3590221/3590221

done.

writing 3590221/3590221

done.µ ´FTPによる入力例¶ ³# update firmware ftp://192.168.0.2/seilfirm.img

Password:



erasing 3590221/3590221

done.

writing 3590221/3590221

done.µ ´TFTPによる入力例¶ ³# update firmware tftp://192.168.0.2/seilfirm.img

Password:



erasing 3590221/3590221

done.

writing 3590221/3590221

done.µ ´※ ”［］”内は、入力省略時の値となります。

※ 上記の入力フォームは例であり、表示内容はファームウェアのバージョンによって異なります。

1. URL を入力します。その際、サーバの設定によってはパスワードの入力が必要となることがあ

78

第 6章ネットワークでの利用例

ります。その場合、用意したサーバの設定に応じた値を入力してください。入力が正しければ

SEILがファームウェアのダウンロードを開始します。

2. フラッシュメモリを更新するかどうかを選択します。更新を行う場合、「y」または「Y」を入力

するとフラッシュメモリの内容を消去後、更新を開始します。更新を行わない場合には、「n」ま

たは「N」を入力してください。

※ フラッシュメモリ消去・更新時には、SEILの 7セグメント LEDが全て点灯します。消去中およ

び更新中は、絶対に電源を切らないでください。

6.6 INITボタンによる設定の初期化

SEILの設定内容を工場出荷時の状態に戻したい場合、管理コマンドの factory-config（ ó�［6.3.2設

定の初期化¤ ¡P.63£ ¢］）で初期化を行うことができますが、何らかの理由によりコマンドを利用しての初

期化ができなくなった場合、本体の INITボタンによる初期化を行うことができます。INITボタンによ

る初期化の手順は以下の通りです。

1. SEIL背面の INITボタン（ ó� ［3.2本体の名称と働き¤ ¡P.22£ ¢］）を押しながら電源プラグをコ

ンセントに差し込み、電源を入れます。

2. SEIL前面の 7セグメント LEDが数秒間点滅したら初期化完了です。SEILは工場出荷状態の設

定になり自動的に再起動します。

※ 初期化時の設定内容については、 ó� ［8.1仕様について¤ ¡P.243£ ¢］をご覧ください。

79


第 7 章ネットワークでの利用例

本章では、ネットワーク（LAN）内からインターネットを利用する方法やインターネットにコンピュー

タ（サーバなど）を公開する方法を、実例を挙げてご説明します。

■ 第 7章目次

7.1 LANをインターネットに接続する . . . . . . . . . . . . . . . . . . . . . . . . . . . .83

7.1.1 PPPoEを使用して接続する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . .83

7.1.2 unnumbered PPPoEを使用して接続する場合 . . . . . . . . . . . . . . . . . . . . 89

7.1.3 DHCPを使用して接続する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . .96

7.1.4 LAN内でグローバルアドレスを使用する場合 . . . . . . . . . . . . . . . . . . . 99

7.2 IPv4ネットワークを経由して IPv6ネットワークに接続する . . . . . . . . . . . . . .103

7.2.1 IPv6 over IPv4 tunnelを使って接続する場合 . . . . . . . . . . . . . . . . . . . .103

7.3 LAN内のサーバをインターネットに公開する . . . . . . . . . . . . . . . . . . . . . .110

7.3.1 公開するサーバにグローバルアドレスを割り当てる場合 . . . . . . . . . . . . .110

7.3.2 公開するサーバにプライベートアドレスを割り当てる場合 . . . . . . . . . . . .113

7.3.3 サーバを LAN 内からグローバルアドレスで参照する . . . . . . . . . . . . . . .116

7.4 外部からのアクセスを制限する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .120

7.4.1 外部から LAN へのアクセスを制限するフィルタリングを設定する . . . . . . . 120

7.4.2 動的にアクセスを許可するフィルタリングを設定する . . . . . . . . . . . . . . .128

7.4.3 IPアドレスの詐称を防ぐフィルタリング (uRPF)を設定する . . . . . . . . . . .134

7.5 MACアドレスによるフィルタリングを行う . . . . . . . . . . . . . . . . . . . . . . .137

7.5.1 MACアドレスの個別設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .137

7.5.2 外部ホワイトリストによる設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .142

7.6 ルーティングを動的に行う～動的ルーティングの設定～ . . . . . . . . . . . . . . . . .146

7.6.1 RIPを利用した動的ルーティング～比較的小規模なネットワーク～ . . . . . . . 146

7.6.2 OSPFを利用した動的ルーティング～中規模以上のネットワーク～ . . . . . . . 151

7.6.3 複数のルーティングプロトコルを同時に使う～経路情報の再配布～ . . . . . . . 155

7.6.4 PIM-SMを利用した IPv4/IPv6マルチキャストルーティング . . . . . . . . . . .157

7.7 目的別のルーティングを行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161

7.7.1 静的経路の監視を行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161

7.7.2 ポリシーベースのルーティングを行う . . . . . . . . . . . . . . . . . . . . . . .165

7.8 VPNを構築する～IPsecの設定～ . . . . . . . . . . . . . . . . . . . . . . . . . . . .169

7.8.1 ポリシーベース IPsecトンネル . . . . . . . . . . . . . . . . . . . . . . . . . . .169

81


7.8.2 ルーティングベース IPsecトンネル . . . . . . . . . . . . . . . . . . . . . . . . .178

7.8.3 自アドレスが動的 IPアドレスの場合 . . . . . . . . . . . . . . . . . . . . . . . .198

7.8.4 動的 IPアドレスからの接続を受け付ける場合 . . . . . . . . . . . . . . . . . . .207

7.9 L2VPNを構築する～L2TPv3の設定～ . . . . . . . . . . . . . . . . . . . . . . . . .216

7.9.1 L2TPv3を利用した L2トンネルの設定 . . . . . . . . . . . . . . . . . . . . . . .216

7.10 CS-SEIL-510/Cを冗長化する～VRRPの設定～ . . . . . . . . . . . . . . . . . . . .224

7.10.1 機器の故障時に自動的にバックアップ回線に切り替える . . . . . . . . . . . . .224

7.10.2 回線障害を検出して自動的にバックアップ回線に切り替える . . . . . . . . . . .228

7.11 データの送信を制御する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .233

7.11.1 CBQの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .233

82


7.1. LANをインターネットに接続する

7.1 LANをインターネットに接続する

本節では SEILを用いて、LANをネットワークに接続するための設定方法についてご説明します。セ

キュリティに関する設定などは ó� ［7.4外部からのアクセスを制限する¤ ¡P.120£ ¢］以降を参考に、各自

の設定方針に応じて設定を行ってください。

■ 7.1.1 PPPoEを使用して接続する場合

PPPoEを使用してインターネットに接続する基本的な設定例です。この例では以下のような構成の

ネットワークを前提にご説明します。PPPoEは IPv4、IPv6両方に対応していますが、ここでは IPv4

での設定方法についてご説明します。

インターネットインターネットインターネットインターネットLAN側プライベートアドレス192.168.0.1WAN側グローバルアドレスPPPoEで取得

プライベートアドレス192.168.0.2 プライベートアドレス192.168.0.3 プライベートアドレス192.168.0.4 プライベートアドレス192.168.0.5

割当ネットワークアドレス192.168.0.0/24

　設定の流れ

83



（1）LAN1インターフェイスを設定する

LAN1インターフェイスのメディアタイプを設定します。

（2）PPPoEのエントリーを設定する

PPPoE による接続を行うために、契約したプロバイダから割り当てられた認証 ID や認証パス

ワードなどを設定します。

（3）PPPoEのインターフェイスを設定する

PPPoEによる接続を行うインターフェイスの設定を行います。

（4）PPPoEが動作する物理インターフェイスを設定する

論理インターフェイスである「PPPoE」と、物理インターフェイスである「LAN1」との関連付

けを設定します。


LAN0インターフェイスを設定します。

（6）NAPTを設定する

プライベートアドレスとして使用するアドレスの範囲を設定します。

（7）PPPoEを接続する

PPPoEによる接続を開始します。

（8）設定を保存するすべての設定を保存します。

　設定手順


SEIL に管理者アカウントでログインし、LAN1 インターフェイスのメディアタイプを設定しま

す。ここでは、例として「auto」（自動認識）に設定します。以下の設定を行ってください。

設定項目パラメータ

インターフェイス lan1

メディアタイプ auto

■記述例¶ ³# interface lan1 media autoµ ´

■パラメータ解説

interface lan1

インターフェイスとして「lan1」を設定します。

84



media auto

続けて、メディアタイプは「auto」（自動認識）を設定します。



ワードなどを設定します。以下の設定を行ってください。


エントリー名 Century

IPCPの有効/無効 enable

IPCPアドレスオプション on

IPCP DNSオプション on

IPv6CPの有効/無効 disable

認証方法 PAP

認証 ID xxxxxx

認証パスワード yyyyyy

TCP MSS auto

■記述例¶ ³# ppp add Century ipcp enable ipcp-address on ipcp-dns on ipv6cp disable authenticat

ion-method pap identifier xxxxxx passphrase yyyyyy tcp-mss autoµ ´■パラメータ解説

ppp add Century

エントリー名として「Century」を設定します。

ipcp enable

IPCPを有効に設定します。

ipcp-address on

IPCPアドレスオプションを有効に設定します。

ipcp-dns on

IPCP DNSオプションを有効に設定します。

ipv6cp disable

IPv6CPを無効に設定します。

authentication-method pap

認証方式を「pap」に設定します。

85



identifier xxxxxx

認証 IDを「xxxxxx」に設定します。

passphrase yyyyyy

認証パスワードを「yyyyyy」に設定します。

tcp-mss auto

TCP MSSを「auto」に設定します。


PPPoEのインターフェイスを設定します。以下の設定を行ってください。


インターフェイス pppoe0


■記述例¶ ³# interface pppoe0 ppp-configuration Centuryµ ´


interface pppoe0

インターフェイスとして「pppoe0」を設定します。

ppp-configuration Century




けを設定します。以下の設定を行ってください。




物理インターフェイス lan1

86



■記述例¶ ³# interface pppoe0 over lan1µ ´


interface pppoe0


over lan1

物理インターフェイスとして「lan1」を設定します。


LAN0 インターフェイスを設定します。工場出荷状態ではメディアタイプが「自動認識」、IPv4

アドレスが「192.168.0.1」と設定されていますので今回構成するネットワーク例では LAN0 イ

ンターフェイスの設定は不要です。


NAPTは IPv4にのみ対応しています。IPv6でインターネットに接続した場合でも、LAN内のプ

ライベートアドレスは IPv4のものになります。以下の設定を行ってください。


対象プライベート IPアドレス範囲 192.168.0.0～ 192.168.255.255


■記述例¶ ³# nat napt add private 192.168.0.0-192.168.255.255 interface pppoe0µ ´


nat napt add private 192.168.0.0-192.168.255.255

NAPT の対象プライベート IP アドレス範囲として「192.168.0.0-192.168.255.255」

を設定します。

interface pppoe0

続けて、NAPTを使用するインターフェイスとして「pppoe0」を設定します。


87



PPPoEにより、インターネットに接続します。以下の設定を行ってください。



■記述例¶ ³# connect pppoe0µ ´


connect pppoe0

接続する PPPoEインターフェイスとして「pppoe0」を設定します。

（8）設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó�［6.3.1

設定内容の保存・読込・取得¤ ¡P.62£ ¢］をご覧ください。

以上で、PPPoEを使用する場合の設定は完了です。変更した設定はバックアップをとっておく

ことをお勧めします。

88



■ 7.1.2 unnumbered PPPoEを使用して接続する場合

unnumbered PPPoEを使用してインターネットに接続する設定例です。この例では以下のような構

成のネットワークを前提にご説明します。PPPoE は IPv4、IPv6 両方に対応していますが、ここでは

IPv4での設定方法についてご説明します。

インターネットインターネットインターネットインターネットLAN側グローバルアドレス172.16.0.1WAN側unnumbered PPPoE

グローバルアドレス172.16.0.2 グローバルアドレス172.16.0.3 グローバルアドレス172.16.0.4 グローバルアドレス172.16.0.5


※ 本節では説明のため、「172.16.0.0～172.16.255.255」のアドレスをグローバルアドレスとして表

現しています。

※ unnumbered PPPoE設定は、プロバイダより複数の IPアドレスの払い出しを受ける際に使用し

ます。ここでは、グローバル IP アドレスとして 172.16.0.0/24 を割り当てられているものとし

ます。

　設定の流れ

89







ワードなどを設定します。


PPPoEによる接続を行うインターフェイスの設定を行います。



けを設定します。



（6）LAN0インターフェイスの IPアドレスを削除する

不要になった LAN0側のインターフェイスのアドレスを削除します。


PPPoEによる接続を開始します。


　設定手順









interface lan1


90



media auto




ワードなどを設定します。以下の設定を行ってください。

unnumbered でない、numbered PPPoE の場合は IPCP アドレスオプションが on でしたが、

unnumberedの場合は offにします。



IPCPの有効/無効 enable

IPCPアドレスオプション off

IPCP DNSオプション on

IPv6CPの有効/無効 disable

認証方法 PAP

認証 ID xxxxxx

認証パスワード yyyyyy

TCP MSS auto

■記述例¶ ³# ppp add Century ipcp enable ipcp-address off ipcp-dns on ipv6cp disable

authentication-method pap identifier xxxxxx passphrase yyyyyy tcp-mss autoµ ´■パラメータ解説

ppp add Century


ipcp enable

IPCPを有効に設定します。

ipcp-address off

IPCPアドレスオプションを無効に設定します。

ipcp-dns on

IPCP DNSオプションを有効に設定します。

ipv6cp disable

IPv6CPを無効に設定します。

91



authentication-method pap

認証方式を「pap」に設定します。

identifier xxxxxx

認証 IDを「xxxxxx」に設定します。

passphrase yyyyyy

認証パスワードを「yyyyyy」に設定します。

tcp-mss auto

TCP MSSを「auto」に設定します。


PPPoEのインターフェイスを設定します。以下の設定を行ってください。




■記述例¶ ³# interface pppoe0 ppp-configuration Centuryµ ´


interface pppoe0


ppp-configuration Century


次に、インターフェイスの unnumbered設定をします。以下の設定を行ってください。



unnumbered 有効

92



■記述例¶ ³# interface pppoe0 unnumberedµ ´


interface pppoe0 unnumbered

インターフェイス「pppoe0」を unnumberedに設定します。



けを設定します。以下の設定を行ってください。



物理インターフェイス lan1

■記述例¶ ³# interface pppoe0 over lan1µ ´


interface pppoe0


over lan1

物理インターフェイスとして「lan1」を設定します。


LAN0インターフェイスに IPv4アドレスを設定します。以下の設定を行ってください。



変更/追加 add

IPv4アドレス 172.16.0.1/24

93



■記述例¶ ³# interface lan0 add 172.16.0.1/24µ ´


interface lan0


add 172.16.0.1/24

続けて、アドレスを追加するため「add」を設定し、IPv4アドレスとして「172.16.0.1/24」



工場出荷状態で設定されている IPアドレスを削除します。手順 5.で設定した IPv4アドレスで

SEILに管理者アカウントでアクセスし直し、以下の設定を行ってください。

※ IPアドレスを削除する場合には、削除する IPアドレスを使って SEIL にアクセスしないで

ください。



変更/追加 delete

IPv4アドレス 192.168.0.1/24

■記述例¶ ³# interface lan0 delete 192.168.0.1/24µ ´


interface lan0


add 172.16.0.1/24

続けて、アドレスを削除するため「delete」を設定し、IPv4 アドレスとして

「192.168.0.1/24」を設定します。


PPPoEにより、インターネットに接続します。以下の設定を行ってください。

94





■記述例¶ ³# connect pppoe0µ ´


connect pppoe0

接続する PPPoEインターフェイスとして「pppoe0」を設定します。




以上で、PPPoEを使用する場合の設定は完了です。変更した設定はバックアップをとっておく


95



■ 7.1.3 DHCPを使用して接続する場合

DHCP を使用してインターネットに接続する基本的な設定例です。この例では以下のような構成の

ネットワークを前提にご説明します。

インターネットインターネットインターネットインターネットLAN側プライベートアドレス192.168.0.1WAN側グローバルアドレスDHCPで取得

プライベートアドレス192.168.0.2 プライベートアドレス192.168.0.3 プライベートアドレス192.168.0.4 プライベートアドレス192.168.0.5


　設定の流れ






プライベートアドレスとして使用するアドレスの範囲を設定します。

96



（4）DHCPで接続する

DHCPによる接続を開始します。


　設定手順









interface lan1


media auto



LAN0 インターフェイスを設定します。工場出荷状態ではメディアタイプが「自動認識」、IPv4

アドレスが「192.168.0.1」と設定されていますので今回構成するネットワーク例では LAN0 イ

ンターフェイスの設定は不要です。


NAPTは IPv4にのみ対応しています。IPv6でインターネットに接続した場合でも、LAN内のプ

ライベートアドレスは IPv4のものになります。以下の設定を行ってください。


対象プライベート IPアドレス範囲 192.168.0.0～ 192.168.255.255


97



■記述例¶ ³# nat napt add private 192.168.0.0-192.168.255.255 interface lan1µ ´



NAPTの対象プライベート IPアドレス範囲として「192.168.0.0-192.168.255.255」を

設定します。

interface lan1

続けて、NAPTを使用するインターフェイスとして「lan1」を設定します。

（4）DHCPで接続する

DHCPにより、インターネットに接続します。以下の設定を行ってください。



■記述例¶ ³# interface lan1 add dhcpµ ´


interface lan1


add dhcp

DHCPでアドレスを取得します。




以上で、DHCPを使用する場合の設定は完了です。変更した設定はバックアップをとっておくこ

とをお勧めします。

98



■ 7.1.4 LAN内でグローバルアドレスを使用する場合

LAN内でグローバルアドレスを使用してインターネットに接続する基本的な設定例です。この例では

以下のような構成のネットワークを前提にご説明します。IPv4、IPv6両方に対応していますが、ここで

は IPv4での設定方法についてご説明します。

インターネットインターネットインターネットインターネットLAN側グローバルアドレス172.16.0.1WAN側グローバルアドレス10.0.0.1

グローバルアドレス172.16.0.2 グローバルアドレス172.16.0.3 グローバルアドレス172.16.0.4 グローバルアドレス172.16.0.5

LAN側ネットワークアドレス172.16.0.0/24WAN側ネットワークアドレス10.0.0.0/24

※ 本節では説明のため、「10.0.0.0～10.255.255.255」「172.16.0.0～172.16.255.255」までのアド

レスをグローバルアドレスとして表現しています。

99



　設定の流れ



（2）LAN1インターフェイスに IPv4アドレスを追加する

プロバイダなどから割り当てられたアドレスに合わせて、LAN1側のインターフェイスを設定し

ます。


プロバイダなどから割り当てられたアドレスに合わせて、LAN0側のインターフェイスを設定し

ます。

（4）LAN0インターフェイスのアドレスを削除する

不要になった LAN0側のインターフェイスのアドレスを削除します。


　設定手順


LAN1 インターフェイスのメディアタイプを設定します。ここでは、例として「auto」（自動認

識）に設定します。SEILに管理者アカウントでログインし、以下の設定を行ってください。






interface lan1


media auto


（2）LAN1インターフェイスに IPv4アドレスを追加する


100





変更/追加 add

IPv4アドレス 10.0.0.1/24



interface lan1


add 10.0.0.1/24







変更/追加 add

IPv4アドレス 172.16.0.1/24



interface lan0


add 172.16.0.1/24




101



工場出荷状態で設定されている IPアドレスを削除します。手順 3. で設定した IPv4アドレスで

SEILに管理者アカウントでアクセスし直して、以下の設定を行ってください。

※ IPアドレスを削除する場合には、削除する IPアドレスを使って SEILにアクセスしないで

ください。



変更/追加 delete

IPv4アドレス 192.168.0.1/24

■記述例¶ ³# interface lan0 delete 192.168.0.1/24µ ´


interface lan0


delete 192.168.0.1/24

続けて、アドレスを削除するため「delete」を設定し、IPv4 アドレスとして

「192.168.0.1/24」を設定します。




以上で、LAN内においてグローバルアドレスを使用する場合の設定は完了です。変更した設定は

バックアップをとっておくことをお勧めします。

102


7.2. IPv4ネットワークを経由して IPv6ネットワークに接続する

7.2 IPv4ネットワークを経由して IPv6ネットワークに接続する

各事業所内を IPv6アドレスでネットワーク構築したとき、事業所間を結ぶ際に IPv4アドレスのネッ

トワークを使用しなければならない場合があります。SEIL では、トンネルという機能を利用すること

により、IPv4ネットワークを通して IPv6ネットワーク同士を結ぶことができます。

■ 7.2.1 IPv6 over IPv4 tunnelを使って接続する場合

本節では、トンネルの基本的な設定方法を、以下のような構成のネットワークを前提にご説明します。

x:x:x::/48 と y:y:y::/48 の 2 つの IPv6 ネットワークの間に、IPv4 ネットワークが存在します。IPv6

ネットワークと IPv4 インターネットとの境界に SEIL A、B を用い、この間で IPv6 over IPv4 トンネ

ルを構築します。SEIL A の IPv4 インターネット側には 10.0.1.1 というアドレスを、トンネルには

z:z:z::1というアドレスを使用します。同様に SEIL Bの IPv4インターネット側には 10.0.2.2というア

ドレスを、トンネルには z:z:z::2というアドレスを使用します。

103



SEIL B

SEIL AIPvIPvIPvIPv 4444インターネットインターネットインターネットインターネットIPvIPvIPvIPv 6666トンネルトンネルトンネルトンネル

トンネルアドレスz:z:z::1IPv4アドレス10.0 .1.1トンネルアドレスz:z:z::2IPv4アドレス10.0.2.2

ネットワークBIPv6ネットワークy:y:y::/48

ネットワークAIPv6ネットワークx:x:x::/48

※ 本節では説明のため、「10.0.0.0～10.255.255.255」「172.16.0.0～172.16.255.255」までのアド


※「x:x:x::/48」、「y:y:y::/48」、「z:z:z::1」、「z:z:z::2」、「IPv4アドレス」は、ご加入のプロバイダより

配布されたアドレスをご利用ください。

設定の前に、「 ó�［6.3.5接続確認¤ ¡P.64£ ¢］」を参考にして、SEIL A（10.0.1.1）と SEIL B（10.0.2.2）

の間で通信ができることを確認しておいてください。

　設定の流れ

（1）SEIL Aのトンネルインターフェイスを設定する

トンネルアドレスとして、IPv4アドレスと IPv6アドレスを設定します。

104



（2）SEIL Aの静的ルーティングを設定する

IPv6経路をトンネルへと向かわせるため、静的ルートを変更します。

（3）SEIL Aの設定を保存する

すべての設定を保存します。

（4）SEIL Bのトンネルインターフェイスを設定する

トンネルアドレスとして、IPv4アドレスと IPv6アドレスを設定します。

（5）SEIL Bの静的ルーティングを設定する

IPv6経路をトンネルへと向かわせるため、静的ルートを変更します。

（6）SEIL Bの設定を保存する


　設定手順

（1）SEIL Aのトンネルインターフェイスを設定する

SEIL Aとなる SEILに管理者アカウントでログインし、IPv4アドレスのトンネルアドレスを設

定します。以下の設定を行ってください。


トンネルインターフェイス tunnel0

始点 IPアドレス 10.0.1.1

終点 IPアドレス 10.0.2.2

■記述例¶ ³# interface tunnel0 tunnel 10.0.1.1 10.0.2.2µ ´


interface tunnel0

トンネルインターフェイスとして「tunnel0」を設定します。

tunnel 10.0.1.1 10.0.2.2

続けて、トンネルの始点 IPアドレスとして「10.0.1.1」を、終点 IPアドレスとして

「10.0.2.2」を設定します。

トンネルインターフェイスに IPv6アドレスを設定します。以下の設定を行ってください。

105




インターフェイス tunnel0

IPアドレス z:z:z::1

対向ルータの IPアドレス z:z:z::2

■記述例¶ ³# interface tunnel0 add z:z:z::1 remote z:z:z::2µ ´


interface tunnel0

インターフェイスとして「tunnel0」を設定します。

add z:z:z::1 remote z:z:z::2

続けて、インターフェイスの IPアドレスとして「z:z:z::1」を、対向ルータの IPアド

レスとして「z:z:z::2」を設定します。

※ 実際には「z:z:z::1」「z:z:z::2」は入力できません。ご加入のプロバイダより配付された IPv6

アドレスをご利用ください。

（2）SEIL Aの静的ルーティングを設定する

IPv6 通信をトンネル経由で行うため、IPv6 経路をトンネルへと向かわせます。以下の設定を

行ってください。


送信先ネットワークまたはホストの IPアドレス y:y:y::/48


106



■記述例¶ ³# route6 add y:y:y::/48 z:z:z::2µ ´


route6 add y:y:y::/48 z:z:z::2

送信先ネットワークまたはホストの IPアドレスとして「y:y:y::/48」を設定します。さ

らに、対向ルータの IPアドレスとして「z:z:z::2」を設定します。

※ 実際には「y:y:y::/48」「z:z:z::2」は入力できません。ご加入のプロバイダより配付された

IPv6アドレスをご利用ください。

※ 対向ルータの IPアドレスの代わりに、インターフェイス（tunnel0）を設定することもでき

ます。その場合、トンネルインターフェイスに IPv6アドレスを設定する必要はありません。


すべての設定が終了したら、save-toコマンドにより設定内容の保存をします。詳細は、「 ó�

［6.3.1設定内容の保存・読込・取得¤ ¡P.62£ ¢］」をご覧ください。

以上で、SEIL A側のトンネルの設定は完了です。変更した設定はバックアップをとっておくこ


（4）SEIL Bのトンネルインターフェイスを設定する

SEIL Bとなる SEILに管理者アカウントでログインし、IPv4アドレスのトンネルアドレスを設

定します。以下の設定を行ってください。


トンネルインターフェイス tunnel0



■記述例¶ ³# interface tunnel0 tunnel 10.0.2.2 10.0.1.1µ ´


interface tunnel0

トンネルインターフェイスとして「tunnel0」を設定します。

107



tunnel 10.0.2.2 10.0.1.1

続けて、トンネルの始点 IPアドレスとして「10.0.2.2」を、終点 IPアドレスとして

「10.0.1.1」を設定します。

トンネルインターフェイスに IPv6アドレスを設定します。以下の設定を行ってください。


インターフェイス tunnel0

IPアドレス z:z:z::2


■記述例¶ ³# interface tunnel0 add z:z:z::2 remote z:z:z::1µ ´


interface tunnel0

インターフェイスとして「tunnel0」を設定します。

add z:z:z::2 remote z:z:z::1

続けて、インターフェイスの IPアドレスとして「z:z:z::2」を、対向ルータの IPアド

レスとして「z:z:z::1」を設定します。

※ 実際には「z:z:z::1」「z:z:z::2」は入力できません。ご加入のプロバイダより配付された IPv6

アドレスをご利用ください。

（5）SEIL Bの静的ルーティングを設定する

IPv6 通信をトンネル経由で行うため、IPv6 経路をトンネルへと向かわせます。以下の設定を



送信先ネットワークまたはホストの IPアドレス x:x:x::/48


108



■記述例¶ ³# route6 add x:x:x::/48 z:z:z::1µ ´


route6 add x:x:x::/48 z:z:z::1

送信先ネットワークまたはホストの IPアドレスとして「x:x:x::/48」を設定します。さ

らに、対向ルータの IPアドレスとして「z:z:z::1」を設定します。

※ 実際には「x:x:x::/48」「z:z:z::1」は入力できません。ご加入のプロバイダより配付された

IPv6アドレスをご利用ください。

※ 対向ルータの IPアドレスの代わりに、インターフェイス（tunnel0）を設定することもでき

ます。その場合、トンネルインターフェイスに IPv6アドレスを設定する必要はありません。


すべての設定が終了したら、save-toコマンドにより設定内容の保存をします。詳細は、「 ó�

［6.3.1設定内容の保存・読込・取得¤ ¡P.62£ ¢］」をご覧ください。

以上で、SEIL B側のトンネルの設定は完了です。変更した設定はバックアップをとっておくこ


109


7.3. LAN内のサーバをインターネットに公開する

7.3 LAN内のサーバをインターネットに公開する

サーバをインターネットに公開する場合、サーバに対してグローバルアドレスを割り当てる必要があ

ります。LAN内でグローバルアドレスを使用している場合はそのまま外部にサーバを公開できますが、

LAN内でプライベートアドレスを使用している場合、そのままでは外部にサーバを公開することができ

ません。

SEIL はグローバルアドレスとプライベートアドレスを固定的に 1 対 1 で対応させる静的 NAT 機能

と、SEILに対するアクセスをポート単位で転送する静的 NAPT機能を持っているため、LAN内でプラ

イベートアドレスを使用している場合でもインターネットに公開するサーバを LAN内に設置すること

が可能です。また、Reflection NAT機能を利用することで、静的 NATで公開したサーバを LAN内から

グローバルアドレスで参照することが可能となります。

本節では SEILの静的 NAT機能と静的 NAPT機能を利用してインターネットへサーバを公開する設

定例と Reflection NATの設定例をご説明します。

■ 7.3.1 公開するサーバにグローバルアドレスを割り当てる場合

～静的 NAT機能の利用～

インターネットへ公開するサーバにグローバルアドレスを割り当てることが可能であれば、「 ó�

［7.1.1PPPoEを使用して接続する場合¤ ¡P.83£ ¢］」の例のようにプライベートアドレスを使用してイン

ターネットに接続している LAN内に、インターネットへ公開するサーバをおくことが可能です。これ

を実現するためには SEILが持つ、グローバルアドレスとプライベートアドレスを固定的に 1対 1で対

応させる静的 NAT機能を利用します。

本節では、SEIL が持つ静的 NAT 機能を使ってインターネットにサーバを公開する例について、次

ページのような構成のネットワークを前提にご説明します。

※ 本節ではインターネットとの接続インターフェイスに pppoe0を使用しています。

110



インターネットインターネットインターネットインターネットLAN側プライベートアドレス192.168.0.1

グローバルアドレス10.0.0.1

プライベートアドレス192.168.0.3 プライベートアドレス192.168.0.4プライベートアドレス192.168.0.2

グローバルアドレスゾーン静的NAT172.16.0.2:192.168.0.2LAN0側割り当てネットワーク（グローバルアドレス）172.16.0.0/29wwwサーバグローバルアドレス172.16.0.2アドレス対応※ 本節では説明のため、「10.0.0.0～10.255.255.255」「172.16.0.0～172.16.255.255」までのアド


　設定の流れ

（1）静的 NATを設定する

NATの対象とするプライベートアドレス、それに対応づけるグローバルアドレスを設定します。


　設定手順


111



SEILに管理者アカウントでログインし、外部に公開するサーバのプライベートアドレスとグロー

バルアドレスの設定を行います。以下の設定を行ってください。


プライベート IPアドレス 192.168.0.2

グローバル IPアドレス 172.16.0.2


■記述例¶ ³# nat static add 192.168.0.2 172.16.0.2 interface pppoe0µ ´


nat static add 192.168.0.2 172.16.0.2

NAT の対象とするプライベート IP アドレスとして「192.168.0.2」を、そのプライ

ベート IPアドレスに対応づけるグローバル IPアドレスとして「172.16.0.2」を設定

します。

interface pppoe0

続けて、NATを使用するインターフェイスとして「pppoe0」を設定します。




以上で、静的 NATを用いてサーバをインターネットに公開する場合の設定は完了です。これに

より外部から 192.168.0.2のWebサーバへ 172.16.0.2でアクセス可能となります。変更した設

定はバックアップをとっておくことをお勧めします。

112



■ 7.3.2 公開するサーバにプライベートアドレスを割り当てる場合

～静的 NAPT機能の利用～

「 ó� ［7.3.1公開するサーバにグローバルアドレスを割り当てる場合¤ ¡P.110£ ¢］」で挙げた例は、サー

バ専用のグローバルアドレスを割り当てることが可能な場合でした。インターネットへ公開するサーバ

にサーバ専用のグローバルアドレスを割り当てることができない場合でも、SEILを使用することでイ

ンターネットへサーバを公開することが可能です。

SEILに対するアクセスをポート単位で他のサーバへ転送する静的 NAPT機能を持っているため、外

部に対して SEIL 自身がインターネットに公開したいサーバであるかのように見せることが可能です。

本節では、SEILの静的 NAPT機能を利用してインターネットへサーバを公開する設定例について、以

下のような構成のネットワークを前提にご説明します。


113



インターネットインターネットインターネットインターネットグローバルアドレス10.0.0.1


グローバルアドレス10.0.0.1宛ポート番号「80」宛のデータグローバルアドレスゾーン

LAN0側割り当てネットワーク（プライベートアドレス）192.168.0.0/24

※ 本節では説明のため、「10.0.0.0～10.255.255.255」までのアドレスをグローバルアドレスとして

表現しています。

　設定の流れ

（1）静的 NAPTを設定する

静的 NAPTを行うポート番号とアドレス、およびインターフェイスについて設定を行います。


　設定手順

（1）静的 NAPTを設定する

114



SEILに管理者アカウントでログインし、静的 NAPTの設定をします。以下の設定を行ってくだ

さい。


プロトコル tcp

Listenポート番号 80



ポート番号 80

有効/無効 enable

■記述例¶ ³# nat snapt add protocol tcp listen 80 interface pppoe0 forward 192.168.0.2 80

enableµ ´■パラメータ解説

nat snapt add protocol tcp

プロトコルとして「tcp」を設定します。

listen 80

続けて、Listenポート番号として、HTTPのポート番号である「80」を設定します。

interface pppoe0

続けて、インターフェイスとして「pppoe0」を設定します。

forward 192.168.0.2 80

続けて、転送先のプライベート IPアドレスとポート番号として、公開するWebサー

バの IPアドレスである「192.168.0.2」と、そのポート番号である「80」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。




以上で、静的 NAPTを用いてサーバをインターネットに公開する場合の設定は完了です。これに

より外部から 192.168.0.2のWebサーバへ 10.0.0.1でアクセス可能となります。変更した設定

はバックアップをとっておくことをお勧めします。

115



■ 7.3.3 サーバを LAN内からグローバルアドレスで参照する

静的 NATを使ってサーバを公開した場合、そのサーバはルータの外からはグローバルアドレスで参

照され、LAN内からはプライベートアドレスで参照されることになります。反対に、LAN内からのグ

ローバルアドレスでの参照はできません。Reflection NATを使用すると、LAN内からもグローバルアド

レスで参照させることができるようになります。

本節では、SEILの Reflection NAT機能を利用して「 ó� ［7.3.1公開するサーバにグローバルアドレ

スを割り当てる場合¤ ¡P.110£ ¢］」での設定例を元に、静的 NATで公開したサーバを LAN内からグローバ

ルアドレスで参照する設定例について、次ページのような構成のネットワークを前提にご説明します。

静的 NAT で公開されたサーバを、LAN 内のプライベートアドレスを持つホストから参照する場合、

LAN内からはプライベートアドレスで普通にアクセスできますが、グローバルアドレスでアクセスする

と、行きは SEILを通りますがサーバからの返信パケットは SEILを経由しない経路を通ってしまうた

め、アドレスの食い違いが生じてしまいます。Reflection NATを使用することで、帰りの経路も SEIL

を通るよう行きのパケットを NAT変換し、行きも帰りも常に SEILを経由した経路を通らせることが可

能となります。

116



インターネットインターネットインターネットインターネットLAN側プライベートアドレス192.168.0.1

グローバルアドレス10.0.0.1


グローバルアドレスゾーン静的NAT172.16.0.2:192.168.0.2LAN0側割り当てネットワーク（グローバルアドレス）172.16.0.0/29アドレス対応 ×wwwサーバグローバルアドレス172.16.0.2

○

※ 本節では説明のため、「10.0.0.0～10.255.255.255」「172.16.0.0～172.16.255.255」までのアド


　設定の流れ


NATの対象とするプライベートアドレス、それに対応づけるグローバルアドレスを設定します。


NAPTのアドレス変換の設定をします。

（3）Reflection NATを設定する

Reflection NATを行うインターフェイスを設定します。


117



　設定手順


SEILに管理者アカウントでログインし、外部に公開するサーバのプライベートアドレスとグロー

バルアドレスの設定を行います。以下の設定を行ってください。



グローバル IPアドレス 172.16.0.2


■記述例¶ ³# nat static add 192.168.0.2 172.16.0.2 interface pppoe0µ ´


nat static add 192.168.0.2 172.16.0.2

NAT の対象とするプライベート IP アドレスとして「192.168.0.2」を、そのプライ

ベート IPアドレスに対応づけるグローバル IPアドレスとして「172.16.0.2」を設定

します。

interface pppoe0

続けて、NATを使用するインターフェイスとして「pppoe0」を設定します。


192.168.0.3等のホストが、サーバ側から見てグローバルアドレスであるように見せかけるため、

NAPTのアドレス変換の設定をします。以下の設定を行ってください。


プライベート IPアドレス範囲 192.168.0.0～ 192.168.255.255


■記述例¶ ³# nat napt add private 192.168.0.0-192.168.255.255 interface pppoe0µ ´



NAPTの対象プライベート IPアドレス範囲として「192.168.0.0-192.168.255.255」を

設定します。

118



interface pppoe0

続けて、NAPTを使用するインターフェイスとして「pppoe0」を設定します。

（3）Reflection NATを設定する

NAT/NAPTにおいて、lan0側で跳ね返る（reflection）ことができるように設定します。以下の設

定を行ってください。



■記述例¶ ³# nat reflect add interface lan0µ ´


nat reflect add interface lan0

Reflection NATを使用するインターフェイスとして「lan0」を設定します。




以上で、Reflection NAT を用いて、静的 NAT で公開したサーバを LAN 内部からグローバルア

ドレスで参照する場合の設定は完了です。これにより外部、内部どちらからでも 192.168.0.2の

Webサーバへ 10.0.0.1でアクセス可能となります。変更した設定はバックアップをとっておく

ことをお勧めします

119


7.4. 外部からのアクセスを制限する

7.4 外部からのアクセスを制限する

LANをインターネットに接続した場合、インターネットからの不正アクセスを受けることを想定して

おく必要があります。ネットワークの安定した運用を行うためには、外部からの不正アクセスを防止す

るためにフィルタを設定しておく必要があります。

■ 7.4.1 外部から LAN へのアクセスを制限するフィルタリングを設

定する

本節では基本的なフィルタの設定例として、外部から LAN 内部へは Web サーバに対する HTTP に

よるアクセスだけを許可し、それ以外のアクセスを禁止するという設定例について、以下のような構成

のネットワークを前提にご説明します。なお、SEILシリーズは、IPv4、IPv6両方に対応していますが、

ここでは IPv4での設定方法についてご説明します。

インターネットインターネットインターネットインターネットグローバルアドレス172.16.0.1グローバルアドレス10.0.0.1

グローバルアドレス172.16.0.3 グローバルアドレス172.16.0.4

割当ネットワークアドレス172.16.0.1/24WWWサーバグローバルアドレス172.16.0.2

120




※ 本節では説明のため、「10.0.0.0～10.255.255.255」「172.16.0.0～172.16.255.255」までのアド


※ インターネットからの接続要求を許可するフィルタを設定した場合、許可を受けたポート番号を

偽造して不正な接続を行われる可能性が生じます。このような事態を防止するために、SEIL の

フィルタリング機能だけではなく、他のセキュリティ手法も加えて、ネットワークセキュリティ

を向上させることをお勧めします。

　設定の流れ

（1）フィルタを設計するどのようなアクセスを許可し、どのようなアクセスを遮断するのかを決めます。

（2）フィルタを設定する設計に基づき、フィルタの設定を行います。


121



　設定手順

（1）フィルタを設計する

次のようなアクセス制限を行うものとします。

A. 外部からWebサーバへのアクセスは許可

B. 内部から外部に対するアクセスの返答は TCPのみ許可

C. 外部から SEILへのアクセスは ICMP以外すべて禁止

D. 外部から内部のホストには A．によるもの以外はすべて禁止

これを実現するためには、次のようなフィルタが必要になります。

a. 外部からWebサーバ (172.16.0.2)に対する TCPを使ったアクセスで送信先のポート番号が

80番のものを通すフィルタ

b. 外部から LANに割り当てているグローバルアドレス空間 (172.16.0.0/24)に対する TCPを

使ったアクセスで、確立済み (TCP Established)のものを通すフィルタ

c. 外部から SEIL(10.0.0.1)に対する ICMPによるアクセスをすべて通すフィルタ

d. 外部からのアクセスをすべて遮断するフィルタ

※ 内部から外部への TCPを使ったアクセスを許可するためには b. のフィルタを設定しておく

必要があります。 b. のフィルタを設定していない場合、内部のクライアントが外部のサー

バにアクセスする様な場合でも、その返答が d. のフィルタによって遮断されます。

※ 許可したいアクセスが d. のフィルタで遮断されてしまわないように、d. のフィルタの優先

順位を 1番低くする必要があります。

※ フィルタの処理は NAT/NAPT処理が行われたあとに実行されます。NAT/NAPT機能を使用

している場合は、グローバルアドレスではなく NAT/NAPT 変換後のアドレスに対してフィ

ルタをかける必要があります。

（2）フィルタを設定する

フィルタの設計が完了すると、次はフィルタの設定を行います。フィルタを設定する順番は、優

先順位さえ正しく設定されていればどのような順番で設定しても問題ありません。この設定例で

はフィルタの設計で示した a．から d．の順番で行うこととします。

ここでは a．について設定手順を説明します。b．以降も同様にフィルタの追加を行ってくだ

さい。

SEIL に管理者アカウントでログインし、a.のフィルタを追加します。以下の設定を行ってくだ

さい。

122




フィルタ名 httppass

アクション pass


方向 in

プロトコル tcp

送信先 IPアドレス 172.16.0.2/32

送信先ポート番号 80

ログの取得 off

優先順位 top


■記述例¶ ³# filter add httppass action pass interface pppoe0 direction in

protocol tcp dst 172.16.0.2/32 dstport 80 logging off top enableµ ´■パラメータ解説

filter add httppass

フィルタ名として「httppass」を設定します。

action pass

続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」


interface pppoe0


direction in

続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。

protocol tcp

続けて、プロトコルとして、対象が HTTPを使ったアクセスであるため「tcp」を設定

します。

dst 172.16.0.2/32 dstport 80

続けて、送信先 IP アドレスとして、Web サーバ用のグローバルアドレスである

「172.16.0.2/32」を設定します。ネットマスク長の値は、ネットワークではなくWeb

サーバ自身を指定するため「32」となります。さらに、送信先 IPアドレスのポート番

号として「80」を設定します。

123



logging off

続けて、ログの取得は行わないため「off」を設定します。

top

続けて、優先順位として、この段階ではフィルタが 1つも設定されていないため「top」


enable


b．のフィルタを設定する場合、以下の設定を行ってください。


フィルタ名 estabpass



方向 in

プロトコル tcp-established

送信先 IPアドレス 172.16.0.0/24

ログの取得 off

優先順位 below httppass (aの次))


■記述例¶ ³# filter add estabpass action pass interface pppoe0 direction in

protocol tcp-established dst 172.16.0.0/24 logging off

below httppass enableµ ´■パラメータ解説

filter add estabpass

フィルタ名として「estabpass」を設定します。

action pass



interface pppoe0


direction in


124



protocol tcp-established

続けて、プロトコルとして、対象が確立済みの TCP を使ったアクセスであるため

「tcp-established」を設定します。

dst 172.16.0.0/24

続けて、送信先 IP アドレスとして、LAN 側のグローバルアドレスである

「172.16.0.0/24」を設定します。ネットマスク長の値は、LAN側のネットワークを指

定するため「24」となります。

logging off


below httppass

続けて、優先順位として、a. のフィルタよりも優先順位を低くするため「below

httppass」を設定します。

enable


c.のフィルタを設定する場合、以下の設定を行ってください。


フィルタ名 icmppass



方向 in

プロトコル icmp

送信先 IPアドレス 10.0.0.1/32

ログの取得 off

優先順位 below estabpass (bの次))


■記述例¶ ³# filter add icmppass action pass interface pppoe0 direction in

protocol icmp dst 10.0.0.1/32 logging off below estabpass enableµ ´■パラメータ解説

filter add icmppass

フィルタ名として「icmppass」を設定します。

125



action pass



interface pppoe0


direction in


protocol icmp

続けて、プロトコルとして、対象が ICMPを使ったアクセスであるため「icmp」を設

定します。

dst 10.0.0.1/32

続けて、送信先 IPアドレスとして、SEILのグローバルアドレスである「10.0.0.1/32」

を設定します。ネットマスク長の値は、ネットワークではなく SEIL自身を指定する

ため「32」となります。

logging off


below estabpass

続けて、優先順位として、ｂ. のフィルタよりも優先順位を低くするため「below

estabpass」を設定します。

enable


d.のフィルタを設定する場合、以下の設定を行ってください。


フィルタ名 allblock

アクション block


方向 in

プロトコル any

ログの取得 off

優先順位 bottom


126



■記述例¶ ³# filter add allblock action block interface pppoe0 direction in

protocol any logging off bottom enableµ ´■パラメータ解説

filter add allblock

フィルタ名として「allblock」を設定します。

action block

続けて、アクションとして、条件に合致したパケットのアクセスを遮断するため

「block」を設定します。

interface pppoe0


direction in


protocol any

続けて、プロトコルとして、a.から c.までのフィルタの対象とならなかったすべての

パケットを遮断するため「any」を設定します。

logging off


bottom

続けて、優先順位として、a．から c．までのフィルタよりも優先順位を低くするため

「bottom」を設定します。

enable



すべての設定が終了したら、save-toコマンドにより設定内容の保存をします。詳細は、 ó�

［6.3.1設定内容の保存・読込・取得¤ ¡P.62£ ¢］をご覧ください。

以上でフィルタの設定は完了です。変更した設定内容はバックアップをとっておくことをお勧め

します。

127



■ 7.4.2 動的にアクセスを許可するフィルタリングを設定する

本節では動的フィルタの設定例として、LAN内部から外部へ FTPアクセスを許可し、外部から LAN

内部への全てのアクセスを禁止するという設定例について、下記のような構成のネットワークを前提に

ご説明します。なお、SEILは、IPv4、IPv6両方に対応していますが、ここでは IPv4での設定方法につ

いてご説明します。



グローバルアドレス172.16.0.3 グローバルアドレス172.16.0.4


※ 本節では説明のため、「10.0.0.0～10.255.255.255」「172.16.0.0～172.16.255.255」までのアド


※ インターネットからの接続要求を許可するフィルタを設定した場合、許可を受けたポート番号を

偽造して不正な接続を行われる可能性が生じます。このような事態を防止するために、SEIL の

128



フィルタリング機能だけではなく、他のセキュリティ手法も加えて、ネットワークセキュリティ

を向上させることをお勧めします。

　設定の流れ

（1）フィルタを設計するどのようなアクセスを許可し、どのようなアクセスを遮断するのかを決めます。

（2）フィルタを設定する設計に基づき、フィルタの設定を行います。


　設定手順



A. 内部から外部に対するアクセスは FTPのみ許可

B. 外部から SEILへのアクセスは ICMP以外すべて禁止

C. 外部から内部のホストへのアクセスは A．によるもの以外はすべて禁止

これを実現するためには、次のようなフィルタが必要になります。

a. LAN に割り当てているグローバルアドレス空間 (172.16.0.0/24) から外部に対する FTP を

使ったアクセスをすべて通す動的フィルタ

b. 外部から SEIL(10.0.0.1)に対する ICMPによるアクセスをすべて通すフィルタ

c. 外部からのアクセスをすべて遮断するフィルタ

FTPはあらかじめ 21番ポートを用いて接続したあとにサーバ-クライアント間で通信を行って互

いに合意したポートをデータ転送に使用するため、静的フィルタでは上記のようなアクセス制限

を行うことは不可能です。そのため、a．にて動的フィルタ機能を用います。

※ 許可したいアクセスが c. のフィルタで遮断されてしまわないように、c. のフィルタの優先

順位を 1番低くする必要があります。

※ フィルタの処理は NAT/NAPT処理が行われたあとに実行されます。NAT/NAPT 機能を使用

している場合は、グローバルアドレスではなく NAT/NAPT 変換後のアドレスに対してフィ

ルタをかける必要があります。


フィルタの設計が完了すると、次はフィルタの設定を行います。フィルタを設定する順番は、優

先順位さえ正しく設定されていればどのような順番で設定しても問題ありません。この設定例で

はフィルタの設計で示した a．から c．の順番で行うこととします。

129



ここでは a．について設定手順を説明します。b．以降も同様にフィルタの追加を行ってくだ

さい。

SEIL に管理者アカウントでログインし、a. のフィルタを追加します。以下の設定を行ってく

だい。


フィルタ名 ftppass



方向 out

プロトコル tcp

送信元 IPアドレス 172.16.0.0/24

ポート番号 21

動的フィルタ設定 enable

ログの取得 off

優先順位 top


■記述例¶ ³# filter add ftppass action pass interface pppoe0 direction out

protocol tcp src 172.16.0.0/24 dstport 21 state enable logging off

top enableµ ´■パラメータ解説

filter add ftppass

フィルタ名として「ftppass」を設定します。

action pass



interface pppoe0


direction out

続けて、方向として、対象が内部から外部へのアクセスであるため「out」を設定し

ます。

protocol tcp

続けて、プロトコルとして、FTPを使ったアクセスであるため「tcp」を設定します。

130



src 172.16.0.0/24 dstport 21

続けて、送信元 IP アドレスとして、LAN 側のグローバルアドレスである

「172.16.0.0/24」を設定します。ネットマスク長の値は、LAN側のネットワークを指

定するため「24」となります。さらに、送信先ポート番号として「21」を設定します。

state enable

続けて、動的フィルタ機能を有効にするため「state enable」を設定します。

logging off


top

続けて、優先順位として、最優先にするため「top」を設定します。

enable


b.のフィルタを設定する場合、以下の設定を行ってください。


フィルタ名 icmppass



方向 in

プロトコル icmp

送信先 IPアドレス 10.0.0.1/32

ログの取得 off

優先順位 below ftppass (aの次)


■記述例¶ ³# filter add icmppass action pass interface pppoe0 direction in

protocol icmp dst 10.0.0.1/32 logging off below ftppass enableµ ´■パラメータ解説

filter add icmppass

フィルタ名として「icmppass」を設定します。

action pass



131



interface pppoe0


direction in


protocol icmp

続けて、プロトコルとして、対象が ICMPを使ったアクセスであるため「icmp」を設

定します。

dst 10.0.0.1/32

続けて、送信先 IPアドレスとして、SEILのグローバルアドレスである「10.0.0.1/32」

を設定します。ネットマスク長の値は、ネットワークではなく SEIL自身を指定する

ため「32」となります。

logging off


below ftppass

続けて、優先順位として、a．のフィルタよりも優先順位を低くするため「below

ftppass」を設定します。

enable


c.のフィルタを設定する場合、以下の設定を行ってください。





方向 in

プロトコル any

ログの取得 off

優先順位 bottom


132



■記述例¶ ³# filter add allblock action block interface pppoe0 direction in

protocol any logging off bottom enableµ ´■パラメータ解説

filter add allblock


action block

続けて、アクションとして、条件に合致したパケットのアクセスを遮断するため

「block」を設定します。

interface pppoe0


direction in


protocol any

続けて、プロトコルとして、a.から c.までのフィルタの対象とならなかったすべての

パケットを遮断するため「any」を設定します。

logging off


bottom

続けて、優先順位として、a．から b．までのフィルタよりも優先順位を低くするため

「bottom」を設定します。

enable





以上でフィルタの設定は完了です。変更した設定内容はバックアップをとっておくことをお勧め

します。

133



■ 7.4.3 IPアドレスの詐称を防ぐフィルタリング (uRPF)を設定する

本節では uRPF(Unicast Reverse Path Forwarding)機能を用いて、IPアドレスが詐称されたパケット

が LAN内部に流入することを防ぐ設定について説明します。以下、IPv4パケットのみを対象として説

明します。IPv6パケットも対象としたい場合は、別途 IPv6についても同様に設定して下さい。


コンピュータA割当ネットワークアドレス172.16.0.1/24

　設定の流れ

（1）ルーティングを設定する静的もしくは動的ルーティングを設定する

（2）uRPFを設定する

uRPF機能を有効にします。

134




　設定手順

（1）ルーティングを設定する

uRPFはルーティングに基づいてパケットをフィルタリングします。したがって、uRPFを設定

する前にルーティングを正しく設定しておく必要があります。SEIL に管理者アカウントでログ

インし、ルーティングの設定を行ってください。ルーティング設定の詳細については他の節を参

照してください。

（2）uRPFを設定する

uRPFのパラメータとして、対象の IPプロトコルバージョン、uRPFモード、ログ出力の有無を

設定できます。IPプロトコルバージョンは IPv4、uRPFモードは strict、ログ出力は有りとしま

す。以下の設定を行ってください。


IPプロトコル ip

モード strict

ログ出力 on

■記述例¶ ³# option ip unicast-rpf strict logging onµ ´


option ip

対象とする IPプロトコルは IPv4なので「ip」を設定します。

unicast-rpf strict

uRPFモードとして「strict」を設定します。

logging on

パケットをブロックした場合にログに残すため「on」を設定します。

135






以上で、uRPFを使用する場合の設定は完了です。変更した設定はバックアップをとっておくこ


136


7.5. MACアドレスによるフィルタリングを行う

7.5 MACアドレスによるフィルタリングを行う

LANをインターネットに接続した場合、LAN内に接続される機器のうち、特定の機器のみ外部への

接続を許可し、他の機器は外部への接続を禁止したい場合があります。

SEILでは、特定の MACアドレスを持つ機器だけが SEILを介して外部と通信できる機能を提供して

います。MACアドレスの指定方法は、1つずつ個別に設定を行う方法と、MACアドレスのリストを外

部から取得して適用する方法があり、両者を併用して適用することができます。

■ 7.5.1 MACアドレスの個別設定

本節では基本的な MACアドレスフィルタの設定例として、外部への通信を許可する MACアドレス

のリストを SEILに直接設定する方法を解説します。

インターネットインターネットインターネットインターネット

コンピュータA00:11:22:33:44:55 コンピュータB00:aa:bb:cc:de:f0137



　設定の流れ

（1）MACアドレスフィルタを設計する

どの機器からのパケットを許可するかを決めます。

（2）MACアドレスフィルタを設定する

設計に基づき、MACアドレスフィルタの設定を行います。

（3）設定を確認する設定が正しくなされているか確認します。


　設定手順

（1）MACアドレスフィルタを設計する


A. コンピュータ A(00:11:22:33:44:55)から外部への通信を許可する

B. コンピュータ B(00:aa:bb:cc:dd:ee)から外部への通信を許可する

C. コンピュータ A、コンピュータ B以外の機器から外部への通信は遮断する

※ MACアドレスフィルタは設定された順番で評価されます。よって、C.のフィルタが最初に

設定されていると、全てのパケットが遮断されてしまいその後に設定された A.や B.のフィ

ルタが評価されないことになります。

※ MACアドレスフィルタは lan0インターフェイスで受信したパケットでのみ評価されます。

lan0 インターフェイスへの出力や、lan1 インターフェイスから受信したパケットに対して

適用することはできません。

※ MACアドレスフィルタは Ethernetフレームのうち、送信元 MACアドレスのみを検査する

ことができます。送信先 MACアドレスや、Ethernetタイプなどを元に判定を行うことはで

きません。


MAC アドレスフィルタの設計が完了すると、次は MAC アドレスフィルタの設定を行います。

MACアドレスフィルタは、設定された順番で評価されます。このため、設定を行う順番は A.か

ら C.の順番で行うこととします。

SEILに管理者アカウントでログインし、A.のフィルタを追加します。以下の設定を行ってくだ

さい。

138




フィルタ名 pcapass


送信元 MACアドレス 00:11:22:33:44:55

ログの取得 off

■記述例¶ ³macfilter add pcapass action pass src 00:11:22:33:44:55 logging offµ ´


macfilter add pcapass

フィルタ名として「pcapass」を設定します。

action pass

続けて、アクションとして、条件に合致したパケットを許可するため「pass」を設定

します。

src 00:11:22:33:44:55

続けて、送信元 MACアドレスとして「00:11:22:33:44:55」を設定します。

logging off


B.のフィルタを設定します。以下の設定を行ってください。


フィルタ名 pcbpass


送信元 MACアドレス 00:aa:bb:cc:dd:ee

ログの取得 off

■記述例¶ ³macfilter add pcbpass action pass src 00:aa:bb:cc:dd:ee logging offµ ´


macfilter add pcbpass

フィルタ名として「pcbpass」を設定します。

139



action pass


します。

src 00:aa:bb:cc:dd:ee

続けて、送信元 MACアドレスとして「00:aa:bb:cc:dd:ee」を設定します。

logging off


C.のフィルタを設定します。以下の設定を行ってください。




送信元 MACアドレス any

ログの取得 off

■記述例¶ ³macfilter add allblock action block src any logging offµ ´


macfilter add allblock


action block

続けて、アクションとして、条件に合致したパケットを遮断するため「block」を設定

します。

src any

続けて、全ての送信元 MACアドレスを対象とするため「any」を設定します。

logging off


（3）設定を確認する

以上の設定が終了したら、show status macfilterコマンドにて MACアドレスフィルタの動作情

報を確認します。詳細はコマンドリファレンスをご覧ください。

140



¶ ³show status macfilterµ ´




以上で MACアドレスフィルタの設定は完了です。変更した設定内容はバックアップをとってお

くことをお勧めします。

141



■ 7.5.2 外部ホワイトリストによる設定

本節では、外部のWebサーバに配置されたMACアドレスのリストを元にフィルタを設定する方法を

解説します。


コンピュータA00:11:22:33:44:55 コンピュータB00:aa:bb:cc:de:f0 コンピュータZ00:ff:ee:00:01:22

maclist. txt00:11:22:33:44:5500:aa:bb:cc:de:f0…00:ff:ee:00:01:22Webサーバhttp://10.0.0.1/maclist.txt

　設定の流れ

（1）フィルタ対象となる MACアドレスのリストを外部Webサーバに用意する

MACアドレスが列挙されたファイルを用意し、Webサーバ上に配置します。


外部Webサーバ上の MACアドレスリストを元に、MACアドレスフィルタの設定を行います。

（3）設定を確認する設定が正しくなされているか確認します。

142




　設定手順

（1）フィルタ対象となるMACアドレスのリストを外部Webサーバに用意する

SEILがアクセス可能な外部のWebサーバ上に、アクセスを許可する MACアドレスを列挙した

下記のようなファイルを用意します。¶ ³00:11:22:33:44:55

00:aa:bb:cc:de:f0

...

00:ff:ee:00:01:22µ ´このファイルを、http://10.0.0.1/maclist.txtという URLでアクセスできるようにしておきます。

※ HTTP以外にも、HTTPS、FTPプロトコルも使用可能です。

※ MACアドレスリストに対して BASIC認証をかけている場合、

「http://user:[email protected]/maclist.txt」といった形式で URLを指定してください。


MACアドレスリストの設置が完了すると、次は MACアドレスフィルタの設定を行います。

SEILに管理者アカウントでログインし、MACアドレスリストの取得を行うための設定を行って

ください。


フィルタ名 listpass


送信元 MACアドレス http://10.0.0.1/maclist.txtから取得

取得間隔 1時間ごと

ログの取得 off

■記述例¶ ³macfilter add listpass action pass src http://10.0.0.1/maclist.txt

interval 1h logging offµ ´■パラメータ解説

macfilter add listpass

フィルタ名として「listpass」を設定します。

143



action pass


します。

src http://10.0.0.1/maclist.txt

続けて、送信元 MAC アドレスのリストを取得するための URL として

「http://10.0.0.1/maclist.txt」を設定します。

interval 1h

続けて、送信元 MACアドレスリストの取得間隔として「1h(1時間)」を設定します。

logging off


MAC アドレスリストに含まれないパケットを遮断するフィルタを設定します。以下の設定を





送信元 MACアドレス any

ログの取得 off

■記述例¶ ³macfilter add allblock action block src any logging offµ ´


macfilter add allblock


action block

続けて、アクションとして、条件に合致したパケットを遮断するため「block」を設定

します。

src any

続けて、全ての送信元 MACアドレスを対象とするため「any」を設定します。

logging off


（3）設定を確認する

144



以上の設定が終了したら、show status macfilterコマンドにて MACアドレスフィルタの動作情

報を確認します。詳細はコマンドリファレンスをご覧ください。¶ ³show status macfilterµ ´




以上で MACアドレスフィルタの設定は完了です。変更した設定内容はバックアップをとってお


145


7.6. ルーティングを動的に行う～動的ルーティングの設定～

7.6 ルーティングを動的に行う～動的ルーティングの設定～

本節では SEILを用いて動的にルーティングを行う場合の設定例をご説明します。

静的なルーティングと違い、動的なルーティングを行うことで、どこかのルートに障害が起きたとき、

自動的にルートを変更し、適切なルートをたどって通信を行うことができます。

本節では、Unicastルーティングとして、RIPを用いた方法とOSPFを用いた方法の 2つと、Multicast

ルーティングとして、 PIM-SM(IPv4/IPv6)を用いた方法を解説します。

■ 7.6.1 RIPを利用した動的ルーティング

～比較的小規模なネットワーク～

本節では、RIPを用いた動的ルーティングの設定例をご説明します。

グローバルアドレス172.16.1.1/24グローバルアドレス10.0.1.1

グローバルアドレス172.16.2.1/24グローバルアドレス10.0.2.2SEIL A

SEIL B経路情報交換経路情報交換

146



今回の設定例では、インターネット上での接続にそれぞれ SEIL A と SEIL B を用い、SEIL A には

10.0.1.1、SEIL B には 10.0.2.2 というアドレスが割り当てられているとします。その間で動的にルー

ティングを行うために、RIPを設定するものとします。

なお、本節では SEIL Aの設定についてご説明します。SEIL Bの設定を行う場合でも、SEIL Aの設

定を行った場合と異なる点はありません。同様に設定を行ってください。

※ 本節では説明のため、「10.0.0.0～10.255.255.255」「172.16.0.0～172.16.255.255」までのアド


　設定の流れ

（1）SEIL Aに RIPを設定する

LAN0インターフェイスおよび LAN1インターフェイスに RIPを設定します。

（2）SEIL Aの RIPを有効にする

設定した RIPを有効化します。

（3）SEIL Aの設定を確認する

設定が正しくなされているか確認します。



　設定手順

（1）SEIL Aに RIPを設定する

SEIL Aとなる SEILに管理者アカウントでログインし、LANインターフェイスに RIPの設定を

します。

以下の設定を行ってください。



経路情報の送受信 enable

■記述例¶ ³# route dynamic rip interface lan0 enableµ ´


route dynamic rip interface lan0

RIPを使用するインターフェイスとして「lan0」を設定します。

147



enable

続けて、RIP情報の送受信を行うため「enable」を設定します。

RIPバーションの設定をします。以下の設定を行ってください。



RIPのバージョン RIPv2

■記述例¶ ³# route dynamic rip interface lan0 version ripv2µ ´




version ripv2

続けて、RIPのバージョンとして「ripv2」を設定します。

RIPv2認証の設定をします。以下の設定を行ってください。



RIPv2の認証 disable

■記述例¶ ³# route dynamic rip interface lan0 authentication disableµ ´




authentication disable

続けて、RIPv2の認証を行わないため「disable」を設定します。

LAN1インターフェイスについても、同様に設定を行います。

最初に LAN1インターフェイスに RIPの設定をします。以下の設定を行ってください。




148



■記述例¶ ³# route dynamic rip interface lan1 enableµ ´




enable

続けて、RIP情報の送受信を行うため「enable」を設定します。

RIPバーションの設定をします。以下の設定を行ってください。



RIPのバージョン RIPv2

■記述例¶ ³# route dynamic rip interface lan1 version ripv2µ ´




version ripv2

続けて、RIPのバージョンとして「ripv2」を設定します。

RIPv2認証の設定をします。以下の設定を行ってください。



RIPv2の認証 disable

■記述例¶ ³# route dynamic rip interface lan1 authentication disableµ ´




149



authentication disable

続けて、RIPv2の認証を行わないため「disable」を設定します。

（2）SEIL Aの RIPを有効にする




■記述例¶ ³# route dynamic rip enableµ ´


route dynamic rip enable

RIPを有効にするため「enable」を設定します。


以上の設定が終了したら、show statusコマンドにより、相手ネットワークの経路が来ているか

確認します。詳細はコマンドリファレンスをご覧ください。

■記述例¶ ³# show status routeµ ´




以上で、SEIL A側の RIPの設定は完了です。

変更した設定内容はバックアップをとっておくことをお勧めします。

150



■ 7.6.2 OSPFを利用した動的ルーティング

～中規模以上のネットワーク～

本節では、OSPFを用いた動的ルーティングの設定例をご説明します。OSPFは RIPと違い、回線の

帯域を基にしてルートを動的に変更することが可能であり、大規模なネットワークのルーティングに最

適です。

グローバルアドレス172.16.1.1/24グローバルアドレス10.0.1.1

グローバルアドレス172.16.2.1/24グローバルアドレス10.0.2.2SEIL A

SEIL B経路情報交換経路情報交換

今回の設定例では、インターネット上での接続にそれぞれ SEIL A と SEIL B を用い、SEIL A には

10.0.1.1、SEIL B には 10.0.2.2 というアドレスが割り当てられているとします。その間で動的にルー

ティングを行うために、OSPFを設定するものとします。

なお、本節では SEIL Aの設定についてご説明します。SEIL Bの設定については、SEIL Aの設定内容

と異なる設定項目には注記してあります。注記の設定内容に従って設定を行ってください。注記のない

設定項目は SEIL Aの設定内容と異なる点はありませんので、SEIL Aと同様に設定を行ってください。

151



※ 本節では説明のため、「10.0.0.0～10.255.255.255」「172.16.0.0～172.16.255.255」までのアド


　設計

（1）エリアを決定する

ここでは stub areaを使用するかどうか、また、使用するならば no summaryを使用するかどう

かを決めます。本項の設定例では stub areaを使用しません。

（2）リンクを決定する

ここでは OSPFでの通信を行う相手との通信方法を決めます。本節の設定例では、インターフェ

イスに相手のルータと接続するインターフェイス lan1を設定し、OSPF情報の送受信は送信/受

信共に行い、認証は行わないものとします。OSPFは、インターフェイス lan0とインターフェ

イス lan1の両方で有効にします。

（3）SEIL A、SEIL Bそれぞれのルータ IDを設定する

OSPF で通信を行うそれぞれの SEIL にルータ ID を設定します。ここではそれぞれのアドレス

をルータ IDとして割り当てます。

　設定の流れ

（1）SEIL Aにエリアを設定する

stub areaの使用/不使用を設定します。

（2）SEIL Aにリンクを設定する

OSPFを有効にするインターフェイスと、リンクの属するエリア IDを設定します。

（3）SEIL Aに OSPFルータ IDを設定する

OSPFルータ IDを設定します。

（4）SEIL Aの OSPFを有効にする

設定した OSPFを有効化します。





　設定手順

（1）SEIL Aにエリアを設定する

SEIL A となる SEIL に管理者アカウントでログインし、エリアの設定をします。以下の設定を


152




エリア ID 0.0.0.0

スタブエリア disable

■記述例¶ ³# route dynamic ospf area add 0.0.0.0 stub disableµ ´


route dynamic ospf area add 0.0.0.0

エリア IDとして「0.0.0.0」を設定します。

stub disable

続けて、エリアをスタブエリアとしないため「disable」を設定します。

（2）SEIL Aにリンクを設定する

次にリンクを追加します。以下の設定を行ってください。インターフェイスには unnumberedイ

ンターフェイスを指定することも可能です。



リンクの属するエリア ID 0.0.0.0

■記述例¶ ³# route dynamic ospf link add lan0 area 0.0.0.0µ ´


route dynamic ospf link add lan0

OSPFを有効にするインターフェイスとして「lan0」を設定します。

area 0.0.0.0

続けて、リンクの属するエリア IDとして「0.0.0.0」を設定します。

※ 同様の設定を、LAN1インターフェイスに対しても行ってください。

（3）SEIL AにOSPFルータ IDを設定する


153




OSPFルータ ID 10.0.1.1

■記述例¶ ³# route dynamic ospf router-id 10.0.1.1µ ´


route dynamic ospf router-id 10.0.1.1

OSPFルータ IDとして「10.0.1.1」を設定します。

※ SEIL Bの設定を行う場合、以下の通りとなります。


OSPFルータ ID 10.0.2.2

（4）SEIL AのOSPFを有効にする




■記述例¶ ³# route dynamic ospf enableµ ´


route dynamic ospf enable

OSPFを有効にするため「enable」を設定します。


以上の設定が終了したら、show statusコマンドにより、相手ネットワークの経路が来ているか




154





以上で、SEIL A側の OSPFの設定は完了です。

変更した設定内容はバックアップをとっておくことをお勧めします。

■ 7.6.3 複数のルーティングプロトコルを同時に使う

～経路情報の再配布～

本節では SEILを用いて、異なるルーティングを設定した 2つのネットワーク間で通信を行う場合の

設定例をご説明します。

本節のネットワーク例では、SEIL A側の LANには OSPFが使用され、SEIL A、B間と SEIL B側の

LANには RIPを使用しています。

本節での設定例は SEIL Aで RIPと OSPF間の経路情報の再配布を行う例となります。

SEIL A lan0192.168.1.1SEILA lan1192.168.0.1

SEIL B lan0192.168.2.1SEIL A

SEIL B経路情報再配布OSPF RIP ネットワークA192.168.1.0/24

ネットワークB192.168.2.0/24 SEIL B lan1192.168.0.2

155



　設定の流れ

（1）SEIL Aに再配布 (OSPF→ RIP)を設定する

OSPFから RIPへの再配布の設定をします。

（2）SEIL Aに再配布 (RIP→ OSPF)を設定する

RIPから OSPFへの再配布の設定をします。





　設定手順

（1）SEIL Aに再配布 (OSPF→ RIP)を設定する

SEIL Aとなる SEILに管理者アカウントでログインし、OSPFから RIPへの再配布の設定をし

ます。以下の設定を行ってください。


再配布のタイプ ospf-to-rip


■記述例¶ ³# route dynamic redistribute ospf-to-rip enableµ ´


route dynamic redistribute ospf-to-rip

OSPFで受信した経路を RIPで配布する設定を行うため、「ospf-to-rip」を設定します。

enable


（2）SEIL Aに再配布 (RIP→OSPF)を設定する

RIPから OSPFへの再配布の設定をします。以下の設定を行ってください。


再配布のタイプ rip-to-ospf


156



■記述例¶ ³# route dynamic redistribute rip-to-ospf enableµ ´


route dynamic redistribute rip-to-ospf

RIPで受信した経路をOSPFで配布する設定を行うため、「rip-to-ospf」を設定します。

enable



以上の設定が終了したら、show status コマンドにより経路を確認します。詳細はコマンドリ

ファレンスをご覧ください。





以上で、SEIL A側の再配布の設定は完了です。変更した設定内容はバックアップをとっておく


■ 7.6.4 PIM-SMを利用した IPv4/IPv6マルチキャストルーティング

本節では、PIM-SM for IPv4/IPv6を用いたマルチキャストルーティングの設定例をご説明します。

今回の設定例では、インターネット上での接続に SEIL Aを用い、SEIL Aの lan0/lan1には IPv6グ

ローバルアドレスが割り当てられているとします。

インターネット上の他ルータとの間でのマルチキャストルーティングを行うために、PIM-SMを設定

するものとします。

※ 本機は、RP(Rendezvous Point), BSR(Boot Strap Router)には対応していません。Multicastネッ

トワーク上に必ず RP, BSRを設置するようにしてください。

157



IPv6Global AddressSEILインターネットインターネットインターネットインターネット

RecieverSenderRP & BSRRouter

IPv6Global Address

IPv6Global AddressIPv6Global Address

MulticastRouting

　設定の流れ

（1）SEILに PIM-SMを設定する

lan0/lan1インターフェイスにて PIM-SMを設定します。

（2）SEILの PIM-SMを有効にする

設定した PIM-SMを有効化します。

（3）SEILの設定を確認する


（4）SEILの設定を保存する

158




　設定手順

（1）SEILに PIM-SMを設定する

SEILに管理者アカウントでログインし、LANインターフェイスに PIM-SMの設定をします。





■記述例¶ ³# route6 dynamic pim-sparse interface lan0 enableµ ´


route6 dynamic pim-sparse interface lan0

PIM-SMを使用するインターフェイスとして「lan0」を設定します。

enable

続けて、PIM-SM経路情報の送受信を行うため「enable」を設定します。

LAN1インターフェイスについても、同様に設定を行います。




■記述例¶ ³# route6 dynamic pim-sparse interface lan1 enableµ ´


route6 dynamic pim-sparse interface lan1

PIM-SMを使用するインターフェイスとして「lan1」を設定します。

159



enable

続けて、PIM-SM経路情報の送受信を行うため「enable」を設定します。

（2）SEILの PIM-SMを有効にする




■記述例¶ ³# route6 dynamic pim-sparse enableµ ´


route6 dynamic pim-sparse enable

PIM-SMを有効にするため「enable」を設定します。


以上の設定が終了したら、show statusコマンドにより、Multicastグループの経路が来ているか


■記述例¶ ³# show status route6 dynamic pim-sparseµ ´




以上で SEILの PIM-SM設定は完了です。変更した設定内容はバックアップをとっておくことを

お勧めします。

160


7.7. 目的別のルーティングを行う

7.7 目的別のルーティングを行う

本節では、SEILを用いてルーティングに関する様々な機能を用いる場合の設定例を説明します。

■ 7.7.1 静的経路の監視を行う

SEILは、静的経路の中継先として指定されたアドレスに対して pingによる死活監視を行い、規定条

件に達したときに経路の削除・付加を行うことができます。本節では、この機能を用いて、以下のよう

な構成のネットワークにおいてバックアップ経路への切り替えを自動的に行う設定例を説明します。

以下の構成で、SEILは通常は「メイン」のルータを経由して通信しているものとし、「メイン」のルー

タに障害が発生した場合には、死活監視によって「バックアップ」のルータを経由して通信を行うよう

切り替わります。

インターネットインターネットインターネットインターネットルータBグローバルアドレス10.0.0.254/24ルータAグローバルアドレス10.0.0.2/24 WAN側グローバルアドレス10.0.0.1/24LAN側ネットワークアドレス172.16.0.0/24

　設定の流れ

（1）ネットワークを設計する

161



どのような経路を設定し、どのような条件で経路を切り替えるかを決めます。

（2）SEILにメインへの経路を設定する

メイン側のルータに対する経路設定を行います。

（3）SEILにバックアップへの経路を設定する

バックアップ側のルータに対する経路設定を行います。





　設定手順


次のような経路を設定するものとします。

A. SEILのデフォルト経路は通常、メイン側に向ける

B. メイン側のルータ (172.16.0.2)に対して監視を行う

C. メイン側のルータに障害が発生した場合には、バックアップ側を経由して通信を行う

D. バックアップ側の経路は通常時は使用しないので、distance を高く設定して優先度を低く

する

（2）SEILにメインへの経路を設定する

SEILに管理者アカウントでログインし、メインへの経路を設定します。以下の設定を行ってく

ださい。


宛先ネットワーク default

ゲートウェイ 172.16.0.2

静的経路監視 on

監視パケット送信間隔 10秒

送信エラー時のダウン検出回数 5回

■記述例¶ ³# route add default 172.16.0.2 kepalive on send-interval 10 down-count 5µ ´


route add default 172.16.0.2

デフォルト経路の宛先として「172.16.0.2」を設定します。

162



keepalive on

続けて、死活監視を有効にするため「keepalive on」を設定します。

send-interval 10

続けて、pingの送信間隔として「10秒」を設定します。

down-count 5

続けて、pingの送信失敗時にダウンと検出する回数を「5」に設定します。この場合、

10秒間隔で 5回連続に pingの送信に失敗した場合、ダウンと検出されることになり

ます。

※ ゲートウェイアドレスと監視先が異なる場合は、「target」パラメータにて監視先アドレスを

指定可能です。「target」パラメータが省略された場合は、ゲートウェイアドレスに対して

pingを送信します。

（3）SEILにバックアップへの経路を設定する

バックアップ側の経路を設定します。以下の設定を行ってください。



ゲートウェイ 172.16.0.254

distance 100

■記述例¶ ³# route add default 172.16.0.254 distance 100µ ´



バックアップ側デフォルト経路の宛先として「172.16.0.254」を設定します。

distance 100

続けて、バックアップ側デフォルト経路の distanceとして「100」を設定します。


メイン側の経路が何らかの原因でダウンすると、ping による死活監視によって経路が削除され

ます。経路が削除された場合には以下のようなログが記録されます。ログを確認するためには

show logコマンドを使用してください。¶ ³2 Jan 2 04:11:29 notice system lanbackupd: target 172.16.0.2 down.µ ´

163



実際にメイン側のデフォルト経路が消えて、バックアップ側のデフォルト経路が経路表に表れて

いることを show status routeコマンドにて確認できます。

メイン側の経路が復旧した場合は以下のようなログが記録されます。¶ ³2 Jan 2 04:11:29 notice system lanbackupd: target 172.16.0.2 up.µ ´

実際にメイン側のデフォルト経路が復旧し、バックアップ側のデフォルト経路が経路表から削除

されていることを show status routeにて確認できます。




以上で静的経路監視の設定は完了です。変更した設定内容はバックアップをとっておくことをお

勧めします。

164



■ 7.7.2 ポリシーベースのルーティングを行う

SEILでは、ルーティングを行う際、経路を決定するポリシーとして送信先のネットワーク以外にも、

任意のポリシーをフィルタによって作成して柔軟に適用することができます。本節では、この機能を用

いて、以下のような構成のネットワークにおいてポリシーベースのルーティングを行う設定を説明し

ます。


　設定の流れ

（1）ネットワークを設計するどのような経路を設定し、どのようなポリシーを適用するかを決めます。

（2）送信元アドレスが 172.16.0.0/24となっているパケットに対する経路を設定する

適用したポリシーに従い、フィルタの設定を行います。

（3）デフォルトの経路を設定する適用したポリシーに従い、デフォルト経路の設定を行います。

165







　設定手順


次のような経路を設定するものとします。

A. SEIL の LAN0 に到達するパケットに対して、送信元アドレスが 172.16.0.0/24 の範囲にあ

るパケットは、ルータ Aに転送する

B. SEIL の LAN0 に到達するパケットに対して、送信元アドレスが 172.16.0.0/24 の範囲に無

いパケットは、ルータ Bに転送する

（2）送信元アドレスが 172.16.0.0/24となっているパケットに対する経路を設定する

SEILに管理者アカウントでログインし、ポリシーを設定します。以下の設定を行ってください。


フィルタ名 routefwd

アクション forward


中継先 10.0.0.2(ルータ A)

方向 in

送信元 IPアドレス 172.16.0.0/24

■記述例¶ ³# filter add routefwd action forward 10.0.0.2 src 172.16.0.0/24

direction in interface lan0µ ´■パラメータ解説

filter add routefwd

フィルタ名として「routefwd」を設定します。

action forward 10.0.0.2

続けて、アクションとして、条件に合致したパケットのアクセスを「10.0.0.2」に中継

するよう設定します。

166



src 172.16.0.0/24

続けて、対象とするパケットの送信元 IPアドレスを「172.16.0.0/24」に含むものとし

て設定します。

direction in

続けて、方向として、対象が内部から外部へのアクセスであるため「in」を設定します。

interface lan0

続けて、インターフェイスとして「lan0」を設定します。

（3）デフォルトの経路を設定する

ポリシーに合致しないパケットは、デフォルトの経路に向けて中継するよう設定します。以下の

設定を行ってください。



ゲートウェイ 10.0.0.254

■記述例¶ ³# route add default 10.0.0.254µ ´



ポリシーに合致しないパケットのデフォルト中継先として「10.0.0.254」を設定し

ます。


ポリシールーティングは、通常の IPルーティングよりも優先度が高いので、デフォルト経路が

存在しても、172.16.0.0/24からのパケットはポリシーに従って 192.168.0.2へ中継されます。

ポリシールーティングで中継されているかどうかの確認は、対向機器にてパケットダンプを行う

か、show status filterにて countの値が増えていることを確認してください。¶ ³page 1 id policy forward 10.0.0.2 in log on lan0 proto any from

172.16.0.0/24 to any count 6µ ´フィルタ設定で logging onを指定した場合には、show logコマンドによりパケット通過の際に

出力されるログを確認することができます。

167



¶ ³info filter lan0 @1:0[policy] f 172.16.0.1 -> 10.0.0.2 PR icmp type 8

code 0 len 20 84 INµ ´（5）SEILの設定を保存する



以上でポリシーベースのルーティング設定は完了です。変更した設定内容はバックアップをとっ

ておくことをお勧めします。

168


7.8. VPNを構築する～IPsecの設定～

7.8 VPNを構築する～IPsecの設定～

遠隔地の事業所間をネットワークで結ぶ際に、通常のインターネットによる接続ではなく直接 LAN

型の接続を行いたい場合があります。

SEILは、IPsec機能を利用した VPN（Virtual Private Network：インターネットを利用して仮想的に

確立する LAN型接続）の構築をサポートしています。

■ 7.8.1 ポリシーベース IPsecトンネル

本節では、IKEを使用した VPNの設定方法について、以下のような構成のネットワークを前提にご

説明します。IPv4、IPv6両方に対応していますが、ここでは IPv4での設定方法についてご説明します

（IPv4と IPv6の設定で異なるのは、アドレスが違う点のみです）。

なお、本節では SEIL Aの設定についてご説明します。SEIL Bの設定については、SEIL Aの設定内容

と異なる設定項目には注記してあります。注記の設定内容に従って設定を行ってください。注記のない

設定項目は SEIL Aの設定内容と異なる点はありませんので、SEIL Aと同様に設定を行ってください。

169



プライベートアドレス192.168.2.1/24グローバルアドレス10.0.2.2

プライベートアドレス192.168.1.1/24グローバルアドレス10.0.1.1SEIL B

SEIL Aインターネットインターネットインターネットインターネット

ネットワークB192.168.2.0/24

IPsecIPsecIPsecIPsecトンネルトンネルトンネルトンネル

ネットワークA192.168.1.0/24

※ 本節では説明のため、「10.0.0.0～10.255.255.255」「172.16.0.0～172.16.255.255」までのアド


　設計

（1）IKEパラメータを決定する

IKEを使用した設定を行う場合、はじめに通信を行う両側で鍵を交換する条件や、鍵の認証方法等

を合わせる必要があります。特に合わせるべき設定項目としては、プロポーザルにおいて対向ホ

ストを認証するときの方式を指定する認証メソッド、認証アルゴリズム（ハッシュアルゴリズム）、

暗号化アルゴリズム、そして鍵交換アルゴリズムで用いるパラメータであるDH（Diffie-Hellman）

Groupがあります。認証メソッドには事前共有鍵がサポートされ、認証アルゴリズムには MD5

と SHA1が、暗号化アルゴリズムには DES、3DES、BLOWFISH、CAST128、AESがサポートさ

れています。なお DH Groupにおいては、Group1（modp768）、Group2（modp1024）、Group5

（modp1536）が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になります

170



が、計算時間が長くなるという特徴があります。

（2）セキュリティアソシエーションプロポーザルを決定する

ここでは、セキュリティアソシエーションの有効期間を設定するライフタイムの長さ、認証、暗

号化の両アルゴリズムに関してはどのアルゴリズムをどのような優先順位で用いるのか、更に

DH鍵交換アルゴリズムで用いるパラメータである PFS GROUPにはどれを使用するかを決めま

す。なお PFS GROUPには、Group1（modp768）、Group2（modp1024）、Group5（modp1536）

が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が

長くなるという特徴があります。

（3）セキュリティアソシエーションを決定する

IKEを使用した IPsecトンネルを構築する場合に決める必要がある項目は、IPsecのモード、使

用するプロトコル、相手に提示するセキュリティアソシエーションプロポーザルです。ここで

は、モードは tunnel モードを使用し、暗号化プロトコルである ESP を使用するものとします。

また、セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているも

のではなく新たに登録したものを使用するものとします。

（4）セキュリティポリシーを決定する

次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用す

るかを決めます。これをセキュリティポリシーと呼びます。この例では、192.168.1.0/24 と

192.168.2.0/24の間のすべてのトラフィックに対して、先に決めたセキュリティアソシエーショ

ンを使用するものとします。

　設定の流れ

（1）SEIL Aに IKEを設定する

決定した IKEパラメータに従って設定を行います。

（2）SEIL Aにセキュリティアソシエーションプロポーザルを設定する

決定したセキュリティアソシエーションプロポーザルに従って設定を行います。

（3）SEIL Aにセキュリティアソシエーションを設定する

決定したセキュリティアソシエーションに従って設定を行います。

（4）SEIL Aにセキュリティポリシーを設定する

決定したセキュリティアポリシーに従って設定を行います。





　設定手順


171




SEIL Aに管理者アカウントでログインし、事前共有鍵を設定します。以下の設定を行ってくだ

さい。


識別子 10.0.2.2

鍵文字列 opensesame

■記述例¶ ³# ike preshared-key add 10.0.2.2 opensesameµ ´


ike preshared-key add 10.0.2.2 opensesame

事前共有鍵の識別子として「10.0.2.2」を、鍵文字列として「opensesame」を設定し

ます。

※ 事前共有鍵は通信相手が用意したものを設定することになります。あらかじめ通信を行う相

手と相談し、鍵の設定を行ってください。

※ 今回の設定では、SEIL Aと SEIL Bそれぞれに、お互いが用意した鍵を設定します。

※ SEIL Bの設定を行う場合、設定は以下の通りです。


識別子 10.0.1.1


IKEプロポーザルの設定をします。以下の設定を行ってください。


IKEプロポーザル名 ikeprop01

認証メソッド preshared-key

暗号化アルゴリズム 3des

認証アルゴリズム sha1

Diffie-Hellmanグループ modp1536

ライフタイム 3600

172



■記述例¶ ³# ike proposal add ikeprop01 authentication preshared-key encryption 3des hash

sha1 dh-group modp1536 lifetime-of-time 3600µ ´■パラメータ解説

ike proposal add ikeprop01

IKEプロポーザル名として、「ikeprop01」を設定します。

authentication preshared-key

続けて、認証メソッドとして「preshared-key」を設定します。

encryption 3des hash sha1 dh-group modp1536

続けて、IKEで使用する暗号化アルゴリズムとして「3des」を、認証アルゴリズムと

して「sha1」を設定、Diffie-Hellmanグループとして「modp1536」を設定します。

lifetime-of-time 3600

続けて、IKEセキュリティアソシエーションの有効時間として「3600」（秒）を設定し

ます。

IKE Peerの設定をします。以下の設定を行ってください。


IKE Peer名 seilb

モード main

プロポーザルリスト ikeprop01

リモート IPアドレス 10.0.2.2

自己識別子 address

相手識別子 address

■記述例¶ ³# ike peer add seilb exchange-mode main proposal ikeprop01 address 10.0.2.2

my-identifier address peers-identifier addressµ ´■パラメータ解説

ike peer add seilb

IKE Peer名として、「seilb」を設定します。

exchange-mode main

続けて、フェーズ 1で使用するモードとして「main」を設定します。

173



proposal ikeprop01

続けて、プロポーザルリストとして「ikeprop01」を設定します。

address 10.0.2.2

続けて、IKEで使用するリモート IPアドレスとして「10.0.2.2」を設定します。

my-identifier address peers-identifier address

続けて、自己識別子、相手識別子ともに「address」を設定します。



IKE Peer名 seila

モード main






IKEの設定が完了したら、セキュリティアソシエーションプロポーザルの設定を行います。以下

の設定を行ってください。


セキュリティアソシエーションプロポーザル名 saprop01

認証アルゴリズム hmac-sha1、hmac-md5

暗号化アルゴリズム 3des、des

有効時間 3600

PFSグループ modp768

■記述例¶ ³# ipsec security-association proposal add saprop01 authentication-algorithm

hmac-sha1,hmac-md5 encryption-algorithm 3des,des lifetime-of-time 3600

pfs-group modp768µ ´■パラメータ解説

ipsec security-association proposal add saprop01

セキュリティアソシエーションプロポーザル名として「saprop01」を設定します。

174



authentication-algorithm hmac-sha1,hmac-md5

encryption-algorithm 3des,des

続けて、AHで使用する認証アルゴリズムとして「hmac-sha1」「hmac-md5」を、ESP

で使用する暗号化アルゴリズムとして「3des」「des」を設定します。


続けて、IKE利用時の IPsecセキュリティアソシエーションの有効時間として「3600」

（秒）を設定します。

pfs-group modp768

続けて、PFSグループとして「modp768」を設定します。


セキュリティアソシエーションプロポーザルの設定が完了したら、セキュリティアソシエーショ

ンの設定を行います。以下の設定を行ってください。


セキュリティアソシエーション名 sa03

IPsecのモード tunnel




AH disable

ESP enable

■記述例¶ ³# ipsec security-association add sa03 tunnel 10.0.1.1 10.0.2.2 ike saprop01

ah disable esp enableµ ´■パラメータ解説

ipsec security-association add sa03

セキュリティアソシエーション名として「sa03」を設定します。

tunnel 10.0.1.1 10.0.2.2

続けて、IPsecに「tunnel」モードを設定します。さらに、IPsecで認証、暗号化を行

う始点 IPアドレスとして「10.0.1.1」を、終点 IPアドレスとして「10.0.2.2」を設定

します。

175



ike saprop01

続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」


ah disable esp enable

続けて、AHの使用/不使用は「disable」を、ESPの使用/不使用は「enable」を設定し

ます。








AH disable

ESP enable


セキュリティアソシエーションの設定が完了したら、続いてセキュリティポリシーの設定をしま



セキュリティポリシー名 sp03


送信元 IPアドレス/ネットマスク長 192.168.1.0/24

送信先 IPアドレス/ネットマスク長 192.168.2.0/24

プロトコル any


■記述例¶ ³# ipsec security-policy add sp03 security-association sa03 src 192.168.1.0/24

dst 192.168.2.0/24 protocol any enableµ ´■パラメータ解説

ipsec security-policy add sp03

セキュリティポリシー名として「sp03」を設定します。

176



security-association sa03

続けて、対象となるセキュリティアソシエーション名として「sa03」を設定します。

src 192.168.1.0/24 dst 192.168.2.0/24

続けて、送信元と送信先の IPアドレスを設定します。「src」は送信元 IPアドレスと

ネットマスク長、「dst」は送信先 IPアドレスとネットマスク長を意味します。送信元

IPアドレス/ネットマスク長として「192.168.1.0/24」を、送信先 IPアドレス/ネット

マスク長として「192.168.2.0/24」を設定します。

protocol any

続けて、プロトコルとして、すべてのパケットを対象とするため「any」を設定します。

enable








プロトコル any



以上の設定が終了したら、show statusコマンドにより IPsecおよび IKEの動作情報を確認しま

す。詳細はコマンドリファレンスをご覧ください。¶ ³# show status ipsecµ ´¶ ³# show status ikeµ ´




以上で、SEIL A側の IKEとセキュリティアソシエーションプロポーザル、セキュリティアソシ

エーション、セキュリティポリシーの設定は完了です。

変更した設定はバックアップをとっておくことをお勧めします。

177



■ 7.8.2 ルーティングベース IPsecトンネル

本節では、IKEを使用したルーティングベース VPNの設定方法について、以下のような構成のネッ

トワークを前提にご説明します。

IPv4、IPv6 両方に対応していますが、ここでは IPv4 での設定方法についてご説明します（IPv4 と

IPv6の設定で異なるのは、アドレスが違う点のみです）。

本機は IPsec トンネルを lan0 や lan1 と同様のインターフェイスとして提供する機能を持っていま

す。このインターフェイスを IPsecインターフェイスと呼びます。「 ó� ［7.8.1ポリシーベース IPsec

トンネル¤ ¡P.169£ ¢］」の説明では、セキュリティアソシエーションを適用するトラフィックを選択するた

めに、セキュリティポリシーを設定する必要がありました。IPsecインターフェイスを利用した場合に

は、セキュリティアソシエーションを適用するトラフィックを本機のルーティング機能により選択しま

す。これにより、より柔軟な VPNの構築・運用が可能となります。

本機のルーティング機能の詳細については「 ó� ［6.2.3ルーティング¤ ¡P.46£ ¢］」をご覧ください。

178



グローバルアドレス10.0.2.2プライベートアドレス192.168.1.1/24グローバルアドレス10.0.1.1

SEIL BSEIL A


ネットワークB192.168.2.0/24

ネットワークA192.168.1.0/24

SEIL CネットワークC192.168.3.0/24

グローバルアドレス10.0.3.1IPsecIPsecIPsecIPsecトンネルトンネルトンネルトンネルプライベートアドレス192.168.3.1プライベートアドレス192.168.2.1

※ ルーティングベース IPsecトンネルはポリシーベース IPsecトンネルに比べて多くのリソースを

必要とするため、パフォーマンスが低下する可能性があります。

なお、本節では SEIL Aの設定についてご説明します。SEIL B,SEIL Cの設定については、SEIL Aの

設定内容と異なる設定項目には注記してあります。注記の設定内容に従って設定を行ってください。注

記のない設定項目は SEIL Aの設定内容と異なる点はありませんので、SEIL Aと同様に設定を行ってく

ださい。



179



　設計

（1）使用する IPsecインターフェイスを決定する

ルーティングベース IPsecトンネルを使用する場合、はじめに IPsecトンネルを提供する IPsec

インターフェイスを決定します。

本機は ipsec0から ipsec63までの 64個の IPsecインターフェイスを持っています。各インター

フェイスに機能上の違いはありません。

IPsec インターフェイスを利用するためには、IPsec トンネルの両端のアドレスと IPsec イン

ターフェイスに割り当てるアドレスを設定する必要があります。

ここでは、SEIL Aと SEIL B、SEIL Aと SEIL C、SEIL Bと SEIL Cの間でそれぞれ IPsecトン

ネルを構築するものとします。この例では、SEIL A、SEIL B、SEIL Cそれぞれで以下の IPsec

インターフェイスを使用するものとします。

SEIL Aで使用する IPsecインターフェイス

接続相手 IPsecインターフェイス名

SEIL B ipsec0

SEIL C ipsec1

SEIL Bで使用する IPsecインターフェイス


SEIL A ipsec0

SEIL C ipsec1

SEIL Cで使用する IPsecインターフェイス


SEIL A ipsec0

SEIL B ipsec1

それぞれの IPsecインターフェイスでは、以下のアドレスで IPsecトンネルを構築するものとし

ます。

SEIL Aの IPsecトンネルの両端アドレス

IPsecインターフェイス名ローカル側リモート側

ipsec0 10.0.1.1 10.0.2.2

ipsec1 10.0.1.1 10.0.3.3

SEIL Bの IPsecトンネルの両端アドレス


ipsec0 10.0.2.2 10.0.1.1

ipsec1 10.0.2.2 10.0.3.3

180



SEIL Cの IPsecトンネルの両端アドレス


ipsec0 10.0.3.3 10.0.1.1

ipsec1 10.0.3.3 10.0.2.2

各 IPsecインターフェイスでは、以下のようにアドレスを割り当てるものとします。

SEIL Aの IPsecインターフェイスのアドレス


ipsec0 192.168.10.1 192.168.10.2

ipsec1 192.168.20.1 192.168.20.3

SEIL Bの IPsecインターフェイスのアドレス


ipsec0 192.168.10.2 192.168.10.1

ipsec1 192.168.30.2 192.168.30.3

SEIL Cの IPsecインターフェイスのアドレス


ipsec0 192.168.20.3 192.168.20.1

ipsec1 192.168.30.3 192.168.30.2


IKEを使用した設定を行う場合、はじめに通信を行う両側で鍵を交換する条件や、鍵の認証方法

等を合わせる必要があります。

特に合わせるべき設定項目としては、ルーティングベース IPsec トンネルの利用の指定、プロ

ポーザルにおいて対向ホストを認証するときの方式を指定する認証メソッド、認証アルゴリズム

（ハッシュアルゴリズム）、暗号化アルゴリズム、そして Diffie-Hellman (DH)鍵交換アルゴリズム

で用いるパラメータである DH Groupがあります。

認証メソッドには事前共有鍵がサポートされ、認証アルゴリズムには MD5と SHA1が、暗号化

アルゴリズムには DES、3DES、BLOWFISH、CAST128、AESがサポートされています。

なお DH Groupにおいては、Group1（modp768）、Group2（modp1024）、Group5（modp1536）






DH 鍵交換アルゴリズムで用いるパラメータである PFS GROUP にはどれを使用するかを決め

ます。

なお PFS GROUPには、Group1（modp768）、Group2（modp1024）、Group5（modp1536）が

用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が長

くなるという特徴があります。

181




ルーティングベース IPsecトンネルを使用する場合に決める必要がある項目は、使用する IPsec

インターフェイス、使用するプロトコルと相手に提示するセキュリティアソシエーションプロ

ポーザルです。ここでは、IPsecインターフェイスは ipsec0および ipsec1を使用し、暗号化プ

ロトコルである ESPを使用するものとします。

また、セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているも

のではなく新たに登録したものを使用するものとします。

（5）ルーティング方式を決定する

次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用するかを

決めます。

この例では、SEIL Aと SEIL B、SEIL Aと SEIL C、SEIL Bと SEIL Cとの間でそれぞれ IPsec

トンネルを構築し、RIPによりプライベートネットワークの経路情報を交換するものとします。

これにより、何らかの理由で IPsecトンネルのどれか一つが使用できなくなった場合でも、RIP

により自動的に迂回経路が選択され、プライベートネットワーク間の通信が遮断されることがな

くなります。

最適なルーティング方式はネットワーク構成により大きく異なります。詳しくは、「 ó� ［6.2.3

ルーティング¤ ¡P.46£ ¢］」をご覧ください。

　設定の流れ

（1）SEIL Aの IPsecインターフェイスを設定する

決定した IPsecインターフェイスを使用するように設定を行います。







（5）SEIL Aにルーティングを設定する

決定したルーティング方式に従って設定を行います。





182



　設定手順

（1）SEIL Aの IPsecインターフェイスを設定する

SEIL Aに管理者アカウントでログインし、SEIL Bとの間に構築する IPsecトンネルの両端のア

ドレスを設定します。以下の設定を行ってください。


IPsecインターフェイス名 ipsec0

トンネルの始点アドレス 10.0.1.1

トンネルの終点アドレス 10.0.2.2

■記述例¶ ³# interface ipsec0 tunnel 10.0.1.1 10.0.2.2µ ´


interface ipsec0 tunnel 10.0.1.1 10.0.2.2

ipsec0インターフェイスを利用して、アドレス「10.0.1.1」とアドレス「10.0.2.2」の

間で IPsecトンネルを構築します。

SEIL Cとの間に構築する IPsecトンネルの両端のアドレスを設定します。以下の設定を行って

ください。





■記述例¶ ³# interface ipsec1 tunnel 10.0.1.1 10.0.3.3µ ´


interface ipsec1 tunnel 10.0.1.1 10.0.3.3

ipsec1インターフェイスを利用して、アドレス「10.0.1.1」とアドレス「10.0.3.3」の

間で IPsecトンネルを構築します。

ipsec0インターフェイスのアドレスを設定します。以下の設定を行ってください。

183





ローカルアドレス 192.168.10.1/30

リモートアドレス 192.168.10.2

■記述例¶ ³# interface ipsec0 address 192.168.10.1/30 remote 192.168.10.2µ ´


interface ipsec0 address 192.168.10.1/30

ipsec0インターフェイスのローカルアドレス（SEIL Aのアドレス）を「192.168.10.1」

に設定します。同時に、ネットマスク長として「30」を割り当てます。

remote 192.168.10.2

ipsec0インターフェイスのリモートアドレス（SEIL Bのアドレス）を「192.168.10.2」

に設定します。リモートアドレスにはネットマスク長の指定は必要ありません。

ipsec1インターフェイスのアドレスを設定します。以下の設定を行ってください。



ローカルアドレス 192.168.20.1/30

リモートアドレス 192.168.20.3

■記述例¶ ³# interface ipsec1 address 192.168.20.1/30 remote 192.168.20.3µ ´


interface ipsec1 address 192.168.20.1/30

ipsec1インターフェイスのローカルアドレス（SEIL Aのアドレス）を「192.168.20.1」

に設定します。同時に、ネットマスク長として「30」を割り当てます。

184



remote 192.168.20.3

ipsec1インターフェイスのリモートアドレス（SEIL Cのアドレス）を「192.168.20.3」

に設定します。リモートアドレスにはネットマスク長の指定は必要ありません。












ローカルアドレス 192.168.10.2/30

リモートアドレス 192.168.10.1



ローカルアドレス 192.168.30.2/30

リモートアドレス 192.168.30.3

※ SEIL Cの設定を行う場合、設定は以下の通りです。









185





ローカルアドレス 192.168.20.3/30

リモートアドレス 192.168.20.1



ローカルアドレス 192.168.30.3/30

リモートアドレス 192.168.30.2


決定した IKEパラメータに従って設定を行います。IKEパラメータは SEIL B、SEIL Cそれぞれ

について必要です。

SEIL Bと通信するための設定を行います。以下の設定を行ってください。


識別子 10.0.2.2

鍵文字列 opensesame-b

■記述例¶ ³# ike preshared-key add 10.0.2.2 opensesame-bµ ´


ike preshared-key add 10.0.2.2 opensesame-b

事前共有鍵の識別子として「10.0.2.2」を、鍵文字列として「opensesame-b」を設定

します。

SEIL Cと通信するための設定を行います。以下の設定を行ってください。


識別子 10.0.3.3

鍵文字列 opensesame-c

186



■記述例¶ ³# ike preshared-key add 10.0.3.3 opensesame-cµ ´


ike preshared-key add 10.0.3.3 opensesame-c

事前共有鍵の識別子として「10.0.3.3」を、鍵文字列として「opensesame-c」を設定

します。




※ ここでは、簡単のため事前共有鍵にごく簡単な文字列を用いていますが、セキュリティ上、

事前共有鍵は他者に推測し難い文字列を利用してください。また、SEIL Bと SEIL Cとで、

全く違う文字列を事前共有鍵として採用することをお勧めします。



識別子 10.0.1.1



識別子 10.0.3.3




識別子 10.0.1.1



識別子 10.0.2.2


IKEプロポーザルの設定をします。ここでは、SEIL B、SEIL Cともに同じ IKEプロポーザルを

利用するので、IKEプロポーザルは一つだけ設定します。以下の設定を行ってください。

187










■記述例¶ ³# ike proposal add ikeprop01 authentication preshared-key encryption 3des

hash sha1 dh-group modp1536 lifetime-of-time 3600µ ´■パラメータ解説










ます。

IKE Peerの設定をします。SEIL B, SEIL Cそれぞれに対する設定が必要です。

SEIL Bに対する IKE Peerの設定を行います。以下の設定を行ってください。


IKE Peer名 seilb

モード main





ルーティングベース IPsecトンネル有効

188



■記述例¶ ³# ike peer add seilb exchange-mode main proposal ikeprop01 address 10.0.2.2

my-identifier address peers-identifier address tunnel-interface enableµ ´■パラメータ解説

ike peer add seilb


exchange-mode main


proposal ikeprop01


address 10.0.2.2




tunnel-interface enable

続けて、ルーティングベース IPsecトンネルを有効にします。

SEIL Cに対する IKE Peerの設定を行います。以下の設定を行ってください。


IKE Peer名 seilc

モード main






189



■記述例¶ ³# ike peer add seilc exchange-mode main proposal ikeprop01 address 10.0.3.3

my-identifier address peers-identifier address tunnel-interface enableµ ´■パラメータ解説

ike peer add seilc

IKE Peer名として、「seilc」を設定します。

exchange-mode main


proposal ikeprop01


address 10.0.3.3




tunnel-interface enable

続けて、ルーティングベース IPsecトンネルを有効にします。



IKE Peer名 seila

モード main






190




IKE Peer名 seilc

モード main








IKE Peer名 seila

モード main







IKE Peer名 seilb

モード main







IKEの設定が完了したら、セキュリティアソシエーションプロポーザルの設定を行います。ここ

では、SEIL B、SEIL Cともに同じセキュリティアソシエーションプロポーザルを利用するので、

セキュリティアソシエーションプロポーザルは一つだけ設定します。以下の設定を行ってくだ

さい。

191







有効時間 3600


■記述例¶ ³# ipsec security-association proposal add saprop01

authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des

lifetime-of-time 3600 pfs-group modp768µ ´■パラメータ解説










pfs-group modp768




ンの設定を行います。セキュリティアソシエーションは SEIL B、SEIL Cそれぞれについて必要

です。

SEIL B に対するセキュリティアソシエーションの設定を行います。以下の設定を行ってくだ

さい。

192





IPsecのモード tunnel-interface



AH disable

ESP enable

■記述例¶ ³# ipsec security-association add sa03 tunnel-interface ipsec0 ike saprop01




tunnel-interface ipsec0

続けて、IPsecに「tunnel-interface」モードを設定します。これは IPsecインターフェ

イスを利用して、IPsec トンネルを構築することを意味します。さらに、利用する

IPsecインターフェイスとして「ipsec0」を設定します。

ike saprop01





ます。

SEIL C に対するセキュリティアソシエーションの設定を行います。以下の設定を行ってくだ

さい。






AH disable

ESP enable

193



■記述例¶ ³# ipsec security-association add sa04 tunnel-interface ipsec1 ike saprop01




tunnel-interface ipsec1

続けて、IPsecに「tunnel-interface」モードを設定します。これは IPsecインターフェ

イスを利用して、IPsec トンネルを構築することを意味します。さらに、利用する

IPsecインターフェイスとして「ipsec1」を設定します。

ike saprop01





ます。







AH disable

ESP enable






AH disable

ESP enable

194









AH disable

ESP enable






AH disable

ESP enable

（5）SEIL Aにルーティングの設定をする

セキュリティアソシエーションの設定が完了したら、続いてルーティングの設定をします。ここ

では、RIPによる動的ルーティングを行います。

RIPによる動的ルーティングを有効にします。以下の設定を行ってください。


ルーティングプロトコル rip


■記述例¶ ³# route dynamic rip enableµ ´


route dynamic rip enable

RIPによる動的ルーティングを有効にします。

RIPによる動的ルーティングの対象に ipsec0インターフェイスを加えます。以下の設定を行っ

てください。

195





対象とするインターフェイス名 ipsec0


■記述例¶ ³# route dynamic rip interface ipsec0 enableµ ´


route dynamic rip

RIPによる動的ルーティングの設定を行います。

interface ipsec0 enable

ipsec0インターフェイスを動的ルーティングの対象に加えます。

RIPによる動的ルーティングの対象に ipsec1インターフェイスを加えます。以下の設定を行っ

てください。



対象とするインターフェイス名 ipsec1


■記述例¶ ³# route dynamic rip interface ipsec1 enableµ ´


route dynamic rip

RIPによる動的ルーティングの設定を行います。

interface ipsec1 enable

ipsec1インターフェイスを動的ルーティングの対象に加えます。



す。詳細はコマンドリファレンスをご覧ください。¶ ³# show status ipsecµ ´

196



¶ ³# show status ikeµ ´





エーション、ルーティングの設定は完了です。変更した設定はバックアップをとっておくことを


197



■ 7.8.3 自アドレスが動的 IPアドレスの場合

本節では、動的 IP アドレスを使用した VPN の設定方法について、以下のような構成のネットワー

クを前提にご説明します。本機はインターフェイスに付与されているアドレスを取得して、自動的に

IPsec トンネルを構築する機能を持っています。これにより、動的 IP アドレスを使用している場合で

あっても、アドレスの変更に追従して IPsecトンネルを構築しなおすことが可能です。


IPv6の設定で異なるのは、アドレスが違う点のみです）。

なお、本節では SEIL Aの設定についてご説明します。SEIL Bの設定については、「 ó� ［7.8.4動的

IP アドレスからの接続を受け付ける場合¤ ¡P.207£ ¢］」をご覧ください。

プライベートアドレス192.168.2.1グローバルアドレス10.0.2.2

プライベートアドレス192.168.1.1/24グローバルアドレスPPPoEPPPoEPPPoEPPPoEでででで動的動的動的動的にににに割当割当割当割当SEIL B


ネットワークB192.168.2.0/24

ネットワークA192.168.1.0/24IPsecIPsecIPsecIPsecトンネルトンネルトンネルトンネル

198



　設計




特に合わせるべき設定項目としては、プロポーザルの交換モード、対向ホストの識別子、プロ


（ハッシュアルゴリズム）、暗号化アルゴリズム、そして鍵交換アルゴリズムで用いるパラメータ

である DH Groupがあります。

交換モードは、動的 IPアドレスを利用する場合は aggressiveモードを選択する必要があります。

これは mainモードは IPアドレスで接続相手を識別するため、動的 IPアドレスを利用した場合

には適切に接続相手を識別できなくなるためです。

同様の理由から、対向ホストの識別子は FQDNまたは USER-FQDNを選択する必要があります。










ます。





動的 IPアドレスを利用して IPsecトンネルを構築するためには、どのインターフェイスのアド

レスを利用して IPsecトンネルを構築するかを決める必要があります。

さらに、IKEを使用するために、使用するプロトコルと相手に提示するセキュリティアソシエー

ションプロポーザルを決める必要があります。

ここでは、pppoe0インターフェイスのアドレスを利用して IPsecトンネルを構築するものとし

ます。モードは tunnelモードを使用し、暗号化プロトコルである ESPを使用するものとします。

セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているものでは

なく新たに登録したものを使用するものとします。


次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用す

るかを決めます。これをセキュリティポリシーと呼びます。この例では、192.168.1.0/24 と

192.168.2.0/24の間のすべてのトラフィックに対して、先に決めたセキュリティアソシエーショ

199



ンを使用するものとします。

　設定の流れ













　設定手順




さい。


識別子 seila.seil.jp


200



■記述例¶ ³# ike preshared-key add seila.seil.jp opensesameµ ´


ike preshared-key add seila.seil.jp opensesame

事前共有鍵の識別子として「seila.seil.jp」を、鍵文字列として「opensesame」を設定

します。





















201





ます。



IKE Peer名 seilb

モード aggressive



自己識別子 fqdn seila.seil.jp

■記述例¶ ³# ike peer add seilb exchange-mode aggressive proposal ikeprop01

address 10.0.2.2 my-identifier fqdn seila.seil.jpµ ´■パラメータ解説

ike peer add seilb


exchange-mode aggressive

続けて、フェーズ 1で使用するモードとして「aggressive」を設定します。

proposal ikeprop01


address 10.0.2.2


my-identifier fqdn seila.seil.jp

続けて、自己識別子の種別としてに「fqdn」を設定します。

さらに、自己識別子として「seila.seil.jp」を設定します。

※ 交換モードを aggressiveにした場合、動的 IPアドレスであっても IPsecトンネルの構築が

可能になりますが、aggressive モードではセキュリティは低下します。この設定を行う場

合、事前共有鍵の管理には特に気をつけてください。固定 IPアドレスを利用できる場合は、

交換モードは mainモードを選択することを強くお勧めします。




202







有効時間 3600














pfs-group modp768








始点インターフェイス pppoe0



AH disable

ESP enable

203



■記述例¶ ³# ipsec security-association add sa03 tunnel pppoe0 10.0.2.2 ike saprop01




tunnel pppoe0 10.0.2.2

続けて、IPsecに「tunnel」モードを設定します。さらに、IPsecで認証、暗号化を行

う始点 IPアドレスとして「pppoe0」インターフェイスに付与されているアドレス、終

点 IPアドレスとして「10.0.2.2」を設定します。

ike saprop01





ます。









プロトコル any


204









src 192.168.1.0/24 dst 192.168.2.0/24





protocol any


enable


※ この設定を行っても、pppoe0 インターフェイスにアドレスが付与されていない場合は、

IPsecトンネルは構築されません。



す。セキュリティアソシエーションに pppoe0のアドレスが使われていれば、正常に IPsecトン

ネルが構築できています。そうでない場合には、pppoe0が正しく接続されているか確認してく

ださい。詳細はコマンドリファレンスをご覧ください。¶ ³# show status ipsecµ ´¶ ³# show status ikeµ ´




205




エーション、セキュリティポリシーの設定は完了です。変更した設定はバックアップをとってお


206



■ 7.8.4 動的 IPアドレスからの接続を受け付ける場合

本節では、動的 IPアドレスを使用した VPNの設定方法について、以下のような構成のネットワーク

を前提にご説明します。本機は動的 IPアドレスを持つノードからの IPsecトンネルの構築要求を受け

付ける機能を持っています。


IPv6の設定で異なるのは、アドレスが違う点のみです）。なお、本節では SEIL Bの設定についてご説

明します。SEIL Aの設定については、「 ó� ［7.8.3自アドレスが動的 IP アドレスの場合¤ ¡P.198£ ¢］」を

ご覧ください。

プライベートアドレス192.168.2.1グローバルアドレス10.0.2.2

プライベートアドレス192.168.1.1/24グローバルアドレスPPPoEPPPoEPPPoEPPPoEでででで動的動的動的動的にににに割当割当割当割当SEIL B


ネットワークB192.168.2.0/24

ネットワークA192.168.1.0/24IPsecIPsecIPsecIPsecトンネルトンネルトンネルトンネル

207



　設計




特に合わせるべき設定項目としては、プロポーザルの交換モード、対向ホストの識別子、プロ


（ハッシュアルゴリズム）、暗号化アルゴリズム、そして鍵交換アルゴリズムで用いるパラメータ

である DH Groupがあります。

交換モードは、動的 IPアドレスを利用する場合は aggressiveモードを選択する必要があります。

これは mainモードは IPアドレスで接続相手を識別するため、動的 IPアドレスを利用した場合

には適切に接続相手を識別できなくなるためです。

同様の理由から、対向ホストの識別子は FQDNまたは USER-FQDNを選択する必要があります。










ます。





動的 IPアドレスをもつ通信相手との間に IPsecトンネルを構築するためには、IPsecトンネル

の相手側のアドレスをあらかじめ知ることはできません。そのため、相手からの要求に応じてア

ドレスを決定する必要があります。

さらに、IKEを使用するために、使用するプロトコルと相手に提示するセキュリティアソシエー

ションプロポーザルを決める必要があります。

モードは tunnelモードを使用し、暗号化プロトコルである ESPを使用するものとします。

セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているものでは

なく新たに登録したものを使用するものとします。


次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用するかを

決めます。これをセキュリティポリシーと呼びます。

この例では、192.168.1.0/24 と 192.168.2.0/24 の間のすべてのトラフィックに対して、先に決

208



めたセキュリティアソシエーションを使用するものとします。

　設定の流れ

（1）SEIL Bに IKEを設定する


（2）SEIL Bにセキュリティアソシエーションプロポーザルを設定する


（3）SEIL Bにセキュリティアソシエーションを設定する


（4）SEIL Bにセキュリティポリシーを設定する


（5）SEIL Bの設定を確認する




　設定手順




さい。


識別子 seila.seil.jp


209



■記述例¶ ³# ike preshared-key add seila.seil.jp opensesameµ ´


ike preshared-key add seila.seil.jp opensesame

事前共有鍵の識別子として「seila.seil.jp」を、鍵文字列として「opensesame」を設定

します。





















210





ます。



IKE Peer名 seila

モード aggressive


リモート IPアドレス dynamic

相手識別子 fqdn seila.seil.jp

■記述例¶ ³# ike peer add seila exchange-mode aggressive proposal ikeprop01

address dynamic peer-identifier fqdn seila.seil.jpµ ´■パラメータ解説

ike peer add seila

IKE Peer名として、「seila」を設定します。

exchange-mode aggressive

続けて、フェーズ 1で使用するモードとして「aggressive」を設定します。

proposal ikeprop01


address dynamic

続けて、IKEで使用するリモート IPアドレスが動的 IPアドレスであることを意味す

る「dynamic」を設定します。

peer-identifier fqdn seila.seil.jp

続けて、相手識別子の種別としてに「fqdn」を設定します。

さらに、相手識別子として「seila.seil.jp」を設定します。

※ 交換モードを aggressiveにした場合、動的 IPアドレスであっても IPsecトンネルの構築が

可能になりますが、aggressive モードではセキュリティは低下します。この設定を行う場

合、事前共有鍵の管理には特に気をつけてください。固定 IPアドレスを利用できる場合は、

交換モードは mainモードを選択することを強くお勧めします。

（2）SEIL Bにセキュリティアソシエーションプロポーザルを設定する

211









有効時間 3600














pfs-group modp768


（3）SEIL Bにセキュリティアソシエーションを設定する



212






トンネルの始点/終点アドレス dynamic


AH disable

ESP enable

■記述例¶ ³# ipsec security-association add sa03 tunnel dynamic ike saprop01

ah disableesp enableµ ´■パラメータ解説



tunnel dynamic

続けて、IPsecに「tunnel」モードを設定します。さらに、IPsecトンネルのアドレス

情報が対向相手からの要求に応じて決定されることを意味する「dynamic」を設定し

ます。

ike saprop01





ます。

※「tunnel dynamic」に設定した場合、IPsecトンネルの端点の IPアドレスは、以下の条件を

満たせば正当なものとして受け入れられます。

1）リモート側のアドレスが IKE Phase1で利用された IPアドレスであること

2）ローカル側のアドレスが SEIL Bのインターフェイスのどれかに割り振られていること

上記の条件を満たせば運用上支障のある IPアドレスであっても受け入れられますので、対

向機器の設定には十分注意してください。

（4）SEIL Bにセキュリティポリシーを設定する



213








プロトコル any








src 192.168.1.0/24 dst 192.168.2.0/24





protocol any


enable


※ この設定を行っても、SEIL B が自分から IPsec トンネルを構築することはありません。

SEIL Aからの接続要求を受け付けた場合のみ、IPsecトンネルを構築します。

（5）SEIL Bの設定を確認する


す。詳細はコマンドリファレンスをご覧ください。


214





以上で、SEIL B側の IKEとセキュリティアソシエーションプロポーザル、セキュリティアソシ

エーション、セキュリティポリシーの設定は完了です。変更した設定はバックアップをとってお


215


7.9. L2VPNを構築する～L2TPv3の設定～

7.9 L2VPNを構築する～L2TPv3の設定～

遠隔地の事業所間のネットワークを構築する際に、IPsec のようなレイヤ 3(IP) ではなく、レイ

ヤ 2(Ethernet) を直接接続したい場合があります。SEIL は、L2TPv3 機能を利用した L2VPN(Layer 2

Virtual Private Network)の構築をサポートしています。

■ 7.9.1 L2TPv3を利用した L2トンネルの設定

本節では、L2TPv3を使用した VPNの設定方法について、以下のような構成のネットワークを前提に

ご説明します。L2TPv3機能は、IPv4のみに対応しています。なお、本節では SEIL Aの設定について

ご説明します。SEIL Bの設定については、SEIL Aの設定内容と異なる設定項目について注記してあり

ます。注記の設定内容に従って設定を行ってください。注記のない設定項目は SEIL Aの設定内容と異

なる点はありませんので、SEIL Aと同様に設定を行ってください。

グローバルアドレス10.0.2.2グローバルアドレス10.0.1.1

SEIL BSEIL A

インターネットインターネットインターネットインターネットIPsecIPsecIPsecIPsecトンネルトンネルトンネルトンネル同一セグメント


216




　設計

（1）L2TPパラメータを決定する

L2TPv3を使用する設定を行う場合、通信を行う両側で L2TPトンネルを構築するための設定項

目を決定する必要があります。

L2TPトンネル名

対向機器の L2TPトンネルを識別する任意の文字列です。

hostname

L2TP トンネルのエンドポイントを識別するための任意の文字列です。自身を表す local

hostnameと、対向機器を表す remote hostnameあります。自身に設定した local hostname

と、対向機器で設定された remote hostnameの値が一致する必要があります。

router-id

IPアドレス形式で表される IDです。自身を表す local router-idと、対向機器を表す remote

route-id があります。自身に設定した local router-id と、対向機器で設定された remote

router-idの値が一致する必要があります。

認証パスワード

L2TPトンネル接続の際に認証を用いるためのパスワード文字列です。対向機器同士で同一

の値を用いる必要があります。

※ L2TPv3 による通信は、暗号化されないことに注意してください。password の設定は

あくまでトンネル接続の認証を行うための手段です。通信を暗号化したい場合、IPsec

等のセキュリティプロトコルと組み合わせた運用が必要です。

cookie

データをカプセル化する際に Cookie を使用して識別を行うかどうかを指定します。L2TP

セッション単位での成りすまし等を防ぐことが可能です。対向機器で同一の設定にする必要

があります。

メッセージ再送回数

トンネル制御メッセージの再送回数を指定します。

Helloメッセージ送信間隔

トンネルの死活監視に用いる Helloパケットの送信間隔を秒単位で指定します。

（2）使用する L2TPインターフェイスを決定する

L2TPセッションの確立に使用する L2TPインターフェイス名を決定します。ここでは、SEIL A、

SEIL Bともに l2tp0インターフェイスを使用します。

（3）L2TPインターフェイスのパラメータを決定する

ここでは、L2TPインターフェイスに L2TPトンネルの始点・終点アドレスを設定し、トンネル

217



パラメータとの関連付けを行います。また、以下の設定項目を決定します。

始点・終点アドレス

L2TPトンネルの始点・終点アドレスです。

L2TPトンネル名

設定した L2TPトンネルの識別子を指定します。

remote-end-id

L2TPトンネル確立後に生成される L2TPセッションの識別を行うための文字列です。対向

機器と同一の値を設定する必要があります。

（4）ブリッジグループのパラメータを決定する

ここでは、確立した L2TPセッションと物理インターフェイスとを結びつけるためのブリッジグ

ループの設定を行います。この例では、l2tp0インターフェイスと lan0インターフェイスとのブ

リッジ設定を行います。これにより、対向機器の lan0 インターフェイス同士が同一のセグメン

トとして見えるようになります。

　設定の流れ

（1）SEIL Aに L2TPトンネルを設定する

決定した L2TPパラメータに従って設定を行います。

（2）SEIL Aに L2TPインターフェイスを設定する

決定した L2TPインターフェイスのパラメータに従って設定を行います。





　設定手順

（1）SEIL Aに L2TPトンネルを設定する

決定した L2TPパラメータに従って設定を行います。

SEIL Aに管理者アカウントでログインし、local hostnameを設定します。以下の設定を行って

ください。


local hostname seil-a

218



■記述例¶ ³# l2tp hostname seil-aµ ´


l2tp hostname seil-a

local hostnameとして「seil-a」を設定します。

local router-idを設定します。以下の設定を行ってください。


local router-id 10.0.1.1

■記述例¶ ³# l2tp router-id 10.0.1.1µ ´


l2tp router-id 10.0.1.1

local router-idとして「10.0.1.1」を設定します。

L2TPトンネルの設定を行います。


L2TPトンネル名 SEIL-B

remote hostname seil-b

remote router-id 10.0.2.2

認証パスワード opensesame

cookie off

メッセージ再送回数 10

Helloメッセージ送信間隔 30

■記述例¶ ³# l2tp add SEIL-B hostname seil-b router-id 10.0.2.2 password

opensesame cookie off retry 10 hello-interval 30µ ´■パラメータ解説

l2tp add SEIL-B

L2TPトンネル名として「SEIL-B」を設定します。

219



hostname seil-b

remote hostnameとして「seil-b」を設定します。

router-id 10.0.2.2

remote router-idとして「10.0.2.2」を設定します。

password opensesame

認証パスワードとして「opensesame」を設定します。

cookie off

Cookieを使用しません。

retry 10

メッセージ再送回数を 10回に設定します。

hello-interval 30

Helloメッセージの送信間隔を 30秒に設定します。



local hostname seil-b


local router-id 10.0.2.2


L2TPトンネル名 SEIL-A

remote hostname seil-a

認証パスワード opensesame

cookie off

メッセージ再送回数 10

Helloメッセージ送信間隔 30

（2）SEIL Aに L2TPインターフェイスを設定する

L2TPインターフェイスのアドレス設定を行います。


始点アドレス 10.0.1.1

終点アドレス 10.0.2.2

220



■記述例¶ ³# interface l2tp0 tunnel 10.0.1.1 10.0.2.2µ ´


interface l2tp0 tunnel 10.0.1.1 10.0.2.2

l2tp0インターフェイスを利用して、アドレス「10.0.1.1」とアドレス「10.0.2.2」の間

で L2TPセッションを確立します。

L2TPインターフェイスのパラメータ設定を行います。


L2TPトンネル名 SEIL-B

remote-end-id L2TP0

■記述例¶ ³# interface l2tp0 tunnel SEIL-B remote-end-id L2TP0µ ´


interface l2tp0 tunnel SEIL-B

l2tp コマンドを用いて作成した L2TP トンネルの識別子として「SEIL-B」を設定し

ます。

remote-end-id L2TP0

remote-end-idとして「L2TP0」を設定します。



始点アドレス 10.0.2.2

終点アドレス 10.0.1.1


L2TPトンネル名 SEIL-A

remote-end-id L2TP0

（3）SEIL Aにブリッジグループを設定する

221



決定したブリッジグループのパラメータに従って設定を行います。

まず、ブリッジグループの作成を行います。


ブリッジグループ名 BDG1

STPの有効/無効 off

■記述例¶ ³# bridge group add BDG1 stp offµ ´


bridge group add BDG1

ブリッジグループに「BDG1」という名前を設定します。

stp off

STPを使用しないよう設定します。

続けて、ブリッジグループに対してインターフェイスの紐付けを行います。


紐付けるインターフェイス名 l2tp0, lan0


■記述例¶ ³# bridge interface l2tp0 group BDG1 stp off

# bridge interface lan0 group BDG1 stp offµ ´■パラメータ解説

bridge interface l2tp0 group BDG1 stp off

l2tp0インターフェイスを BDG1ブリッジグループに紐付け、STPを使用しないよう

に設定します。

bridge interface lan0 group BDG1 stp off

lan0インターフェイスを BDG1ブリッジグループに紐付け、STPを使用しないよう

に設定します。



ブリッジグループ名 BDG1


222




紐付けるインターフェイス名 l2tp0, lan0



以上の設定が終了したら、show status コマンドにより L2TP およびブリッジグループの動作情

報を確認します。詳細はコマンドリファレンスをご覧ください。¶ ³# show status l2tp

# show status interface l2tp

# show status bridgeµ ´（5）SEIL Aの設定を保存する



以上で L2TPの設定は完了です。変更した設定内容はバックアップをとっておくことをお勧めし

ます。

223


7.10. CS-SEIL-510/Cを冗長化する～VRRPの設定～

7.10 CS-SEIL-510/Cを冗長化する～VRRPの設定～

本節では VRRPを用いて冗長化を実現する場合の設定例を説明します。冗長構成を取っていれば、片

方の SEILが故障してももう片方の SEILを利用して通信を行うことができます。また、回線を監視す

る設定を行うことで、機器故障時だけではなく回線に障害が発生した時にも、自動的にバックアップ回

線を利用するような構成も可能です。

■ 7.10.1 機器の故障時に自動的にバックアップ回線に切り替える

本節では VRRP を用いた冗長構成の設定方法について説明します。以下の例では、インターネッ

トへの接続に SEIL-A と SEIL-B という 2 台の SEIL を用いることにします。それぞれ、SEIL-A には

192.168.0.2、SEIL-Bには 192.168.0.3というプライベートアドレスを割り当て、VRRP仮想アドレス

は 192.168.0.1 とします。クライアント PC のデフォルトゲートウェイには VRRP 仮想アドレスであ

る 192.168.0.1を設定してください。


　設定の流れ

224



（1）メイン機器の VRRPを設定する

メイン機器に冗長構成を設定します。

（2）メイン機器の設定を保存するすべての設定を保存します。

（3）バックアップ機器の VRRPを設定する

バックアップ機器に冗長構成を設定します。

（4）バックアップ機器の設定を保存するすべての設定を保存します。

　設定手順


SEIL-Aに管理者アカウントでログインし、VRRPの仮想ルータ ID、仮想アドレス、優先度の設

定を行います。以下の設定を行ってください。


仮想ルータ ID 1

仮想アドレス 192.168.0.1/24

優先度 200


■記述例¶ ³# vrrp lan0 vrid 1 address 192.168.0.1/24 priority 200µ ´


vrrp lan

VRRPを動作させるインターフェイスとして「lan0」を設定します。

vrid 1

仮想ルータ ID(Virtual Router ID)として「1」を設定します。

address 192.168.0.1/24

仮想 IPアドレスとして「192.168.0.1」を、ネットマスクとして lan0のネットマスク

である「24」を設定します。

225



priority 200

優先度 (priority)として「200」を設定します。メイン機器の優先度はバックアップ機

器の優先度より大きくします。

（2）メイン機器の設定を保存する




SEIL-Bに管理者アカウントでログインし、VRRPの仮想ルータ ID、仮想アドレス、優先度の設

定を行います。以下の設定を行ってください。



仮想アドレス 192.168.0.1/24

優先度 100




vrrp lan


vrid 1

仮想ルータ ID(Virtual Router ID)として「1」を設定します。メイン機器と同じ IDを

指定する必要があります。

address 192.168.0.1/24


である「24」を設定します。メイン機器と同じ IPアドレス、ネットマスクを指定する

必要があります。

priority 100

優先度 (priority)として「100」を設定します。バックアップ機器の優先度はメイン機

器の優先度より小さくします。

（4）バックアップ機器の設定を保存する

226





以上で、VRRP の設定は完了です。変更した設定はバックアップをとっておくことをお勧めし

ます。

227



■ 7.10.2 回線障害を検出して自動的にバックアップ回線に切り替

える

本節では回線障害を検出して VRRPの仮想ルータを切り替える場合の設定方法について説明します。

以下の例では、インターネットへの接続に SEIL-Aと SEIL-Bという 2台の SEILを用います。そして

SEIL-Aは SEIL-Cとルーティングベース IPsecトンネルを構成し、SEIL-Bは SEIL-Dとルーティング

ベース IPsec トンネルを構成するものとします。インターネット接続回線の障害を検出するために、

SEIL-Aは SEIL-Cのグローバルアドレスに対して Ping (ICMP Echo)を用いた監視を行います。

なお、今回バックアップ機器の SEIL-Bは監視を行いません。なぜなら、(1)SEIL-Aが利用可能な場

合は常に SEIL-Aが利用されるため、SEIL-B側回線を監視する必要がなく、(2)SEIL-Aが利用できない

場合には SEIL-B 側回線に障害が発生したことを検出しても SEIL-Aに切り替えることができないため

です。

228



インターネットインターネットインターネットインターネットSEIL A(メイン)グローバルアドレス10.0.1.1

コンピュータA

SEIL B(バックアップ)グローバルアドレス10.0.2.2SEIL A(メイン)プライベートアドレス192.168.0.2 VRRP仮想IPアドレス192.168.0.1

SEIL Cグローバルアドレス10.0.3.3 SEIL Dグローバルアドレス10.0.4.4

コンピュータB

SEIL B(バックアップ)プライベートアドレス192.168.0.3

　設定の流れ

（1）メイン機器の VRRP監視グループを設定する

メイン機器に監視を設定します。


メイン機器に冗長構成を設定します。

（3）メイン機器の設定を保存するすべての設定を保存します。


バックアップ機器に冗長構成を設定します。

（5）バックアップ機器の設定を保存するすべての設定を保存します。

229



　設定手順

（1）メイン機器の VRRP監視グループを設定する

SEIL-Aに管理者アカウントでログインし、VRRPの監視グループを設定します。以下の設定を



監視グループ名 SEIL-C

監視先 IPアドレス 10.0.3.3

■記述例¶ ³# vrrp watch-group add SEIL-C keepalive 10.0.3.3µ ´


vrrp watch-group add SEIL-C

監視グループ名として「SEIL-C」を設定します。

keepalive 10.0.3.3

Ping (ICMP Echo)の送信先 IPアドレスとして「10.0.3.3」を設定します。


SEIL-Aに管理者アカウントでログインし、VRRPの仮想ルータ ID,仮想アドレス、優先度の設定

を行います。以下の設定を行ってください。



仮想アドレス 192.168.0.1/24

優先度 200


監視グループ SEIL-C

■記述例¶ ³# vrrp lan0 vrid 1 address 192.168.0.1/24 priority 200 watch SEIL-Cµ ´


vrrp lan0


230



vrid 1

仮想ルータ ID(Virtual Router ID)として「1」を設定します。

address 192.168.0.1/24


である「24」を設定します。

priority 200

優先度 (priority)として「200」を設定します。

watch SEIL-C

監視グループとして「SEIL-C」を設定します。

（3）メイン機器の設定を保存する




SEIL-Bに管理者アカウントでログインし、VRRPの仮想ルータ ID,仮想アドレス、優先度の設定

を行います。以下の設定を行ってください。



仮想アドレス 192.168.0.1/24

優先度 100




vrrp lan0


vrid 1

仮想ルータ ID(Virtual Router ID)として「1」を設定します。メイン機器と同じ IDを

指定する必要があります。

231



address 192.168.0.1/24


である「24」を設定します。メイン機器と同じ IPアドレス/ネットマスクを指定する

必要があります。

priority 100

優先度 (priority)として「100」を設定します。バックアップ機器の優先度はメイン機

器の優先度より小さくする必要があります。

（5）バックアップ機器の設定を保存する



以上で、VRRPにおいて回線障害を検出する場合の設定は完了です。変更した設定はバックアッ

プをとっておくことをお勧めします。

232


7.11. データの送信を制御する

7.11 データの送信を制御する

インターネットでは、同一の経路を通過するトラフィック間でネットワークの帯域は共有されていま

す。そのため、Webサーバへアクセスしている最中に FTPサーバからのデータ転送を行うと、その影

響でWebサーバからデータを送るための帯域が減少してしまい、Webページがスムーズに表示されな

くなるというような状況が起こる可能性があります。

SEILは CBQ(Class-Based Queueing)を用いた帯域制御機能を提供しています。SEILの帯域制御機

能を使用することで、特定のトラフィックに適切な帯域を割り当て、その帯域までは他のトラフィック

の影響を受けないようにするといった制御を行うことができます。

■ 7.11.1 CBQの設定

本節では ADSLによるインターネット接続を想定して、全体のトラフィックをWebサーバへのアク

セス (http)、下りの TCPトラフィックに対する ACK(ack)、その他のトラフィック (other)の 3つに分

け、それぞれに帯域を割り当てる場合の設定例をご説明します。IPv4、IPv6両方に対応していますが、

ここでは IPv4での設定方法についてご説明します。

※ SEILで帯域制御の設定が行えるのは LAN1側への出力だけです (PPPoEによる LAN1側への出

力も含まれます）。

　設計

（1）帯域を絞る

LAN1側に接続されているメディアコンバータ (ADSLモデムなど)の先が 10Mbps未満の場合、

それ以上の帯域で送信を行うと帯域制御の正しい効果が得られません。そのためメディアコン

バータ (ADSLモデムなど)の仕様に合わせて帯域を絞る必要があります。本節では、例として上

り 1Mbpsの ADSLでの設定をご説明します。

（2）帯域の割り当てを設計する

帯域制御を行うトラフィックを分類します。分類したトラフィックをクラスと呼びます。この例

では、Webサーバへのアクセス、TCPの ACK、その他、というトラフィックをそれぞれ「http」

クラス、「ack」クラス、「other」クラスの 3つに分類します。クラスが決まったら、クラスごと

に割り当てる帯域の量を決めます。割り当てる帯域の量は全帯域に対する割合 (%)で表します。

※ SEILでは全帯域を 10Mbpsと 100Mbpsの 2つから選択できます (デフォルトは 10Mbpsで

す)。LAN1側の通信速度が全帯域の設定値と同じになっていることを確認してください。

本節では、全体の帯域を「ADSL」クラス 10%に制限し、このクラスの中で更に「http」クラス 3%

「ack」クラス 3%

「other」クラス 4%

233



と割り当てることにします。

　設定の流れ

（1）クラスを設定する設計した帯域割り当てに従ってクラスの設定を行います。

（2）各クラスにフィルタを設定する設定したクラスに目的のトラフィックが分類されるようにフィルタの設定を行います。

（3）帯域制御を有効にする帯域制御機能を有効化します。

（4）設定を保存するすべての設定が終了したら、設定を保存します。

　設定手順

（1）クラスを設定する

決定した帯域の割り当て方に従ってクラスの設定を行います。はじめに「ADSL」クラスの設定

手順を説明します。次に「http」クラスの手順を説明しますので、「ack」クラス、「other」クラス

も同様に設定してください。

SEILに管理者アカウントでログインし、クラス情報の追加をします。以下の設定を行ってくだ

さい。


クラス名 ADSL

親クラス名 default

帯域幅 10

borrow off

■記述例¶ ³# cbq class add ADSL parent default pbandwidth 10 borrow offµ ´


cbq class add ADSL parent default

クラス名として「ADSL」を、親クラス名として「default」を設定します。

pbandwidth 10

続けて、割り当てる帯域幅として、adslクラスに割り当てる帯域幅は全帯域に対して

10%に設計したため「10」を設定します。

234



borrow off

続けて、borrow は、設定した値より多くの帯域を消費しないように「off」を設定し

ます。

※ defaultクラスは帯域幅が 100

「http」クラスの設定を行います。以下の設定を行ってください。


クラス名 http

親クラス名 ADSL

帯域幅 3

borrow on

■記述例¶ ³# cbq class add http parent ADSL pbandwidth 3 borrow onµ ´


cbq class add http parent ADSL

続けて、クラス名として「http」を、親クラス名として「ADSL」を設定します。

pbandwidth 3

続けて、割り当てる帯域幅として、httpクラスに割り当てる帯域幅は全帯域の 3%に

設計したため「3」を設定します。

borrow on

続けて、borrow は、親クラスから帯域を借りることができるように「on」を設定し

ます。

残りのクラスについても同様に、以下の設定を行ってください。

※「ack」クラスの設定を行う場合、「http」クラスの設定を行った場合と異なる点は、クラス名

を「ack」とする点です。割り当てる帯域は、「http」クラスと同じ 3%に設計したので「3」

を指定します。

※「other」クラスの設定を行う場合、「http」クラスの設定を行った場合と異なる点は、クラス

名を「other」とする点です。割り当てる帯域は、4%に設計したので「4」を指定します。

「ack」クラスに関する設定項目は以下の通りです。


クラス名 ack


帯域幅 3

borrow on

235



「other」クラスに関する設定項目は以下の通りです。


クラス名 other


帯域幅 4

borrow on

（2）各クラスにフィルタを設定する

クラスの設定が終了したら、すべてのトラフィックが目的のクラスに分類されるようフィルタを

設定します。

「http」クラスにフィルタを設定します。以下の設定を行ってください。


クラス分けフィルタ名 http filter

クラス名 http

パケットのカテゴリー ip

プロトコル tcp

送信元ポート番号 80


■記述例¶ ³# cbq filter add http filter class http category ip

protocol tcp srcport 80 enableµ ´■パラメータ解説

cba filter add http filter

クラス分けフィルタ名を設定します。ここでは例として、HTTP用のフィルタである

ことが分かるように「http filter」とします。

class http

続けて、関連づけるクラス名として「http」を設定します。

category ip

続けて、フィルタが適用されるパケットのカテゴリーとして「ip」を設定します。

※ IPv6による通信をおこなう場合、カテゴリーとして「ipv6」を設定します。

protocol tcp srcport 80

続けて、HTTPのプロトコルとして「tcp」を、送信元ポート番号として「80」を設定

します。

236



enable


「ack」クラスについても同様に設定します。以下の設定を行ってください。


クラス分けフィルタ名 ack filter

クラス名 ack


プロトコル tcp-ack


■記述例¶ ³# cbq filter add ack filter class ack category ip

protocol tcp-ack enableµ ´■パラメータ解説

cbq filter add ack filter

クラス分けフィルタ名を設定します。ここでは例として、ACK用のフィルタであるこ

とが分かるように「ack filter」とします。

catgory ip

続けて、関連づけるクラス名として「ack」を設定します。

category ip


※ IPv6による通信をおこなう場合、カテゴリーとして「ipv6」を設定します。

protocol tcp-ack

続けて、ACKのみの TCPパケットを対象とするため、プロトコルとして「tcp-ack」


237



enable


「other」クラスの設定は、「http」クラス、「ack」クラスの設定とは多少異なります。「other」ク

ラスのフィルタには次の 3つの異なるフィルタ種別が存在します。

• IPv4による通信を行う場合

• IPv6による通信を行う場合

• ブリッジ機能を使用する場合これらのフィルタを追加してはじめて「other」クラスのクラス分けフィルタの定義が完了しま

す。フィルタ種別が IPv4/IPv6におけるプロトコルが「すべて」、あるいは Etherにおける MAC

タイプが「すべて」のクラス分けフィルタは、各々のフィルタ種別におけるすべてのパケットの

クラス分けを行うために使用します。

※ 実際の設定においても、「other」クラスに類するクラスを定義するためには、必ず IPv4、IPv6

および Etherのすべてのフィルタ種別について本事例のようなフィルタの記述をすることを


「other」クラスにおけるフィルタ種別ごとの設定例を以下に示します。

IPv4による通信を行う場合、以下の設定を行ってください。


クラス分けフィルタ名 other filter01

クラス名 other


プロトコル any


■記述例¶ ³# cbq filter add other filter01 class ack category ip

protocol any enableµ ´■パラメータ解説

cbq filter add other filter01

クラス分けフィルタ名を設定します。ここでは例として、HTTPと ACK以外のトラ

フィックであることが分かるように「other filter01」とします。

class other

続けて、関連づけるクラスとして「other」を設定します。

category ip


238



protocol any

続けて、プロトコルとして、http filterと ack filterの対象とならなかったすべてのパ

ケットを対象とするため「any」を設定します。

enable


IPv6による通信を行う場合、以下の設定を行ってください。



クラス名 other

パケットのカテゴリー ipv6

プロトコル any


■記述例¶ ³# cbq filter add other filter02 class ack category ipv6





class other


category ip

続けて、フィルタが適用されるパケットのカテゴリーとして「ipv6」を設定します。

protocol any



enable


239



ブリッジ機能を使用する場合、以下の設定を行ってください。



クラス名 other

パケットのカテゴリー ether

プロトコル any


■記述例¶ ³# cbq filter add other filter02 class ack category ether





class other


category ether

続けて、フィルタが適用されるパケットのカテゴリーとして「ether」を設定します。

protocol any



enable


※ クラス分けフィルタは、コンフィグの表示の上から順に評価が行われ、最初に一致するフィ

ルタによってクラス分けが行われます。どのフィルタにも一致しないデータは defaultクラ

スに分類されます。通常は本節の「other」クラスと同様の設定を行い、データが defaultク

ラスに分類されないようにご注意ください。

（3）帯域制御を有効にする



インターフェイス名 lan1

キューイング方式 cbq

240

第 7章資料・付録

■記述例¶ ³# interface lan1 queue cbqµ ´


interface lan1

CBQを使用するインターフェイスとして「lan1」を設定します。

queue cbq

続けて、帯域制御を有効にするため、キューイング方式として「cbq」を設定します。




以上で、帯域制御の設定は完了です。変更した設定内容はバックアップをとっておくことをお勧

めします。

241


8.1. 仕様について

第 8 章資料・付録

CS-SEIL-510/C の仕様や、ネットワークを利用する際によく使われる専門用語（ ó� ［8.2ネット

ワーク用語集¤ ¡P.251£ ¢］）などについて分かりやすくご説明します。

8.1 仕様について

■ 8.1.1 機能一覧

暗号処理ハードウェア

CPU IXP422 266MHz

メモリ RAM 64MB, Flash ROM 16MB

LAN インターフェイス 10BASE-T/100BASE-TX, Auto Negotiation, Auto

MDI/MDI-X,固定設定可能, IEEE802.3準拠 <RJ-45>

VLAN 最大 8エントリ, IEEE802.1Q準拠

WAN インターフェイス 10BASE-T/100BASE-TX, Auto Negotiation, Auto

MDI/MDI-X,固定設定可能, IEEE802.3準拠 <RJ-45>

適応回線・適応接続サービス Ethernet-WAN, CATV, ADSL/SDSL, FTTH,

その他ブロードバンドサービス

シリアルポートコンソールポート <RJ-45>

プロトコル IPv4, IPv6,

PPPoE（最大 4セッション,Numbered/Unnumbered）

Bridge Pure Bridge IEEE802.1Qフレーム透過可能

Brouter IPv4,IPv6 on/off可能

MAC Addressフィルタ static(最大登録数 32)、リストベース ∗1

Static ARP ○

Proxy ARP ○

243



Routing ルーティングプロトコル static（最大登録数 IPv4, IPv6各 512）,

RIP/RIP2, RIPng, OSPF

MultiPath static, OSPF Equal-Cost MultiPath

Policy Routing ○ (IPv4)

マルチキャスト IPv4 Multicast（PIM-SM）

IPv6 Multicast（PIM-SM）

ルーティング性能 98 Mbps ∗2

ルーティングテーブル最大経路数 IPv4, IPv6各 4096

（静的経路含む）

IP Unnumbered ○

OSPF Unnumbered ○

discard経路 ○

static経路自動切替 ∗3 ○

VRRP ○

VPN IPsec（with IKE）最大 64対向,トンネル/トランスポート

暗号化アルゴリズム DES∗4,3DES∗4, Blowfish, CAST-128,

AES（Rijndael）∗4

認証アルゴリズム HMAC-MD5∗4,HMAC-SHA1∗4,

KEYED-MD5, KEYED-SHA1

片端固定 IPsec ○

IPsecインターフェイス ○

VPN性能 43Mbps ∗2

L2TPv3 ○ (最大 64対向)

IP Tunnel IPトンネルプロトコル IPv4-IPv4,IPv4-IPv6,IPv6-IPv4,IPv6-IPv6

（最大 64対向）

IP Tunnel Unnumbered ○

IPv4,IPv6デュアルスタック ○

IPv4-IPv6トランスレータ TRT

［IPv6-to-IPv4 transport relay translator］

Firewall IPフィルタ最大登録数 IPv4, IPv6各 512

ステートフルパケットインスペクション ○

フィルタ項目インターフェイス,方向,プロトコル,

宛先/送信元アドレス,宛先/送信元ポート

uRPF ○

Winnyフィルタ ○

NAT NAT/NAPT ○

Static NAT 最大登録数 256,範囲指定可能

Static NAPT 最大登録数 256,ポート範囲指定可能

Reflection NAT ○

NAT連動 Proxy ARP ○

NATテーブル最大 4096セッション

（Static NAT/Static NAPT含む）

UPnP ○

SIP対応 ○ (SIP transparent proxy)

IPsec透過 1セッション透過可能

PPTP透過複数セッション透過可能

244



QoS CBQ 制御方式帯域制御/優先制御

クラスカテゴリ,プロトコル,アドレス,ポート,MACタイプ,

パケット長,VLAN ID,VLAN Priority,ToSフィールド

DHCP DHCPサーバ最大 1021クライアント (WINS対応)

DHCPクライアント ○

DHCP中継 ○

DHCPv6 Prefix Delegation ○

ルータ広告 ○

DNS中継 ○

NTP NTPサーバ/NTPクライアント

インターフェイス状態監視 IPv4,IPv6,on/off可能

ICMPリダイレクトメッセージ発行抑止 IPv4,IPv6

自動設定/遠隔保守/遠隔監視 ∗5 ○

設定/運用/ telnet telnetサーバ/telnetクライアント

管理 Secure Shell Secure Shell Protocol Ver.1

Secure Shell Protocol Ver2.(RSA/DSA)

Webインターフェイス簡易設定,各種グラフ表示 ∗6

SNMP SNMPv1,SNMPv2c,SNMPv3,MIB II,IPv6 MIB

syslog ○

その他ログ情報一括採取,Terminal Server,

回線トレース,死活監視 ∗7

認定/準拠 VCCI Class A準拠

寸法外形寸法 81mm(W) x 117mm(D) x 32mm(H)

重量約 300g（ACアダプタ含まず）

環境使用電源 AC 100 V, 50/60 Hz

皮相電力約 15VA（最大）

消費電力約 7W（最大）

動作環境条件 0℃～40℃, 10%～85%（結露なきこと）

∗1 外部ホストから取得した MAC アドレスリストを元に、リストに一致した MAC アドレスからの通信を Pass又は Blockする機能。リストには約 20,000の MAC アドレスが記載可能。

∗2 実測値に基づく。VPN性能は ESP-Auth(3DES+HMAC-SHA1)利用時の実測値（1408バイトフレーム送信時）。∗3 静的経路の転送先 (gateway)を ICMP Echo Requestにより監視。監視条件に該当すると、経路表から削除する機能。∗4 専用 ICによるハードウェア処理。∗5 SMFサービスへの申込が必要。∗6 帯域使用率、帯域制御状態、システム負荷、CPU使用率、メモリ使用率。∗7 LAN 内にあるホストを ICMP Echo Requestにより監視。障害検出時には syslogへログを保存し、snmp trapを任意のホストに送信。

245



■ 8.1.2 初期設定値（工場出荷状態）一覧

LAN0側 IPアドレス/ネットマスク 192.168.0.1/24

ルーティング設定 pppoe0へのデフォルトルート（IPv4のみ）

フィルタリング設定未設定

NAT設定未設定

NAPT設定変換対象アドレス 192.168.0.0～192.168.255.255

変換対象インターフェイス pppoe0

NATタイマ値 900秒

UPnP機能 OFF

DHCPサーバ機能 ON

DHCP 対象インターフェイス LAN0

配布パラメータリース先頭アドレス 192.168.0.2

リースアドレスの数 253

DNSサーバアドレス 192.168.0.1

有効時間 24時間

DNS forwarder IPCP取得アドレスに転送

DNS resolver 未設定

NTPサーバ機能 OFF

IPsec設定未設定

IKE 次項 <IKE>参照

帯域制御設定未設定

DEBUGログ取得 OFF

LAN1側トレース情報取得 OFF

syslog debug-level OFF

remote転送 OFF

facility local1

SNMP設定未設定

Web/telnetパスワード admin,user共に未設定

動的ルーティング未設定

IPv4マルチキャスト未設定

IPv6マルチキャスト未設定

Bridge 未設定

ルータ広告 OFF

トンネル未設定

IPsecインターフェイス未設定

VLAN 未設定

PPPoE設定 pppoe0を LAN1上で使用

PPPoEエントリ次項 <PPPoE>参照

httpd enable

telnetd enable

sshd disable

246



■ IKE phase 1

設定 1 暗号化アルゴリズム 3DES

ハッシュアルゴリズム SHA1

認証メソッド Preshared key

DH group MODP1536

life time 24時間

設定 2 暗号化アルゴリズム DES

ハッシュアルゴリズム MD5

認証メソッド Preshared key

DH group MODP768

life time 8時間

■ IKE phase 2

設定 1 PFS group MODP1536

暗号化アルゴリズム 3DES,DES

認証アルゴリズム HMAC-SHA1,HMAC-MD5

life time 3時間

設定 2 PFS group MODP768

暗号化アルゴリズム DES,3DES

認証アルゴリズム HMAC-MD5,HMAC-SHA1

life time 30分

※ phase 1, phase 2ともに、プロポーザルの設定が 2つあります。

■ PPPoE設定

エントリー名 pppoe-sample

キープアライブ 30秒

IPCPの有効/無効有効

IPCPアドレスオプション有効

IPCP DNSオプション有効

IPv6CPの有効/無効有効

TCP MSS auto

認証 ID 未設定

認証パスワード未設定

認証方式 CHAP

247



■ 8.1.3 ハードウェア仕様

■ 7セグメント LED仕様

SEIL前面 7セグメント LEDの点灯状態の詳細です。

a

b c

d

ef

g

h

a b c d e f g h 状態

消灯消灯消灯消灯消灯消灯消灯消灯電源オフ

- - - - - - - 点滅 firmwareが動作中

点灯点灯点灯点灯点灯点灯点灯 - FLASH ROM の消去または

書込み中

- 点灯点滅周期 3 - - - - - SDRAM チェックでエラー

が起きた

- 点灯点滅周期 4 - - - - - 回復できない IPL のソフト

エラー (exception)

- 点灯点滅周期 5 - - - - - ブート時にファームの展開

に失敗した

- 点灯点滅周期 6 - - - - - ファームウェア領域が空だ

った

- 点灯 - - - - - - SMFで情報取得中

- 点灯 - - 点灯 - - - iSUP からのデータ取得失

敗

- 点灯 - - - 点灯 - - uSUP からのデータ取得失

敗

- 点灯 - - 点灯点灯 - - uSUP からのデータ取得失

敗 (uSUPキャッシュ使用)

- - - - - - 点灯 - LAN1 がリンクアップして

いる

- - - 点灯 - - - - LAN0 がリンクアップして

いる

表 8.1: LAN LED仕様

248



■ 8.1.4 ネットマスク/ポート番号一覧

割当て IPアドレスとネットマスク値との対応一覧表です。プライベートアドレスの割当範囲の設定

などにご利用ください。

■ネットマスク対応一覧表

SEILの設定値ネットマスク SEILの設定値ネットマスク

/32 255.255.255.255 /16 255.255.0.0

/31 255.255.255.254 /15 255.254.0.0

/30 255.255.255.252 /14 255.252.0.0

/29 255.255.255.248 /13 255.248.0.0

/28 255.255.255.240 /12 255.240.0.0

/27 255.255.255.224 /11 255.224.0.0

/26 255.255.255.192 /10 255.192.0.0

/25 255.255.255.128 /9 255.128.0.0

/24 255.255.255.0 /8 255.0.0.0

/23 255.255.254.0 /7 254.0.0.0

/22 255.255.252.0 /6 252.0.0.0

/21 255.255.248.0 /5 248.0.0.0

/20 255.255.240.0 /4 240.0.0.0

/19 255.255.224.0 /3 224.0.0.0

/18 255.255.192.0 /2 192.0.0.0

/17 255.255.128.0 /1 128.0.0.0

249



■ 8.1.5 ポート番号一覧

通常利用される代表的なポート番号の一覧です。フィルタリング情報の設定などにご利用ください。

■ポート番号一覧表

ポート番号プロトコル名　前説　明

20 tcp ftpdata ftpによるデータ転送

21 tcp ftp 一般的な FTP

22 tcp ssh 一般的な SecuerShell

23 tcp telnet 一般的な Telnet

25 tcp smtp メール送信

53 tcp・udp domain 名前解決

80 tcp http 一般的な HTTP

110 tcp pop3 メール受信

119 tcp nntp Newsの配信

137 udp netbios Windows系 OSのデータ送受信

138 udp

139 tcp

445 tcp・udp Direct hosted SMB Windows系 OSのデータ送受信

143 tcp imap4 IMAP4によるメール受信

443 tcp https 暗号化された http

67 udp dhcps コンピュータ設定情報の提供（サーバ

側）

68 udp dhcpc コンピュータ設定情報の取得（クライ

アント側）

123 udp ntp 時刻同期

161 udp snmp ネットワーク管理

162 udp snmp-trap ネットワーク管理（トラップ）

500 udp ike IKE

520 udp rip RIP

521 udp ripng RIPng

514 udp syslog SYSLOG

250


8.2. ネットワーク用語集

8.2 ネットワーク用語集

用　語説　明

10BASE-T/

100BASE-TX

LAN の規格として幅広く利用されているイーサネットの仕様です。

10/100Mbps の伝送速度でデータ伝送が可能で、伝送方式にベースバ

ンド方式を採用し、伝送媒体がツイストペアケーブルを用いています。

10BASE-T/100BASE-TX ポートがないコンピュータを接続する場合に

は LANボード/カードが必要になります。

3DES Triple Data Encryption Standard（データ暗号標準）の略で、共通鍵暗号

方式で使用される暗号アルゴリズムのひとつです。

ACK ACKnowledgement の略で、データ送受信時の確認を示す信号です。

データ転送を開始しようとするデバイスは、データの受信先にデータ

転送開始の要求を送ります。この要求に対して、受信側から送付される

「送信許可」信号が ACKです。

ADSL Asymmetric Digital Subscriber Lineの略で一般的な電話回線を利用して

高速デジタル通信を実現させる技術です。上りの伝送速度よりも下りの

伝送速度のほうが格段に早い非対称型の DSL回線です。DSLというの

は Digital Subscriber Lineの略でデジタル加入者線のことです。様々な

DSL回線方式を総称して xDSLと呼びます。

AH Authentication Headerの略で、セキュリティプロトコルの一種です。IP

データグラムにハッシュ関数（一方向性関数）で処理した結果である

メッセージダイジェスト値を付加することで、 IP データグラムの送信

者認証と、IPデータグラムに対する改変を検出する機能を提供します。

BLOWFISH 共通鍵暗号方式に利用される対称暗号アルゴリズムです。

CAST128 Carlisle Adamsの開発した暗号アルゴリズムの一種で、DESに似た暗号

アルゴリズムです。

CATV接続 CATV（Cable Television）が使っているケーブルをインターネットに接

続するための回線として利用します。ケーブルモデムを利用して周波数

の異なるテレビ映像のアナログデータとコンピュータによるデジタル

データを多重伝送します。

CBQ Class-Based Queueingの略で、トラフィックをデータのパターンによっ

てクラスと呼ばれる単位に分類し、クラスごとにパケットをキューイン

グしながらスループットを監視して、各クラスが占める帯域を調整する

ための仕組みです。CBQ には未使用の帯域を他のクラスに振り分ける

ことができるという特長があり、クラスを階層化することによって柔軟

な帯域制御が可能です。

251



CSMA/CD Carrier Sense Multiple Access with Collision Detectionの略で LANのア

クセス方式のひとつです。キャリア検知、多重アクセス、衝突検出の 3

つの方式から成り立っています。データ送信前にネットワーク内にデー

タが流れているかどうかを検知し、データが流れている場合はネット

ワークが空くのを待ってからデータ送信をはじめます。もしデータの衝

突が発生しデータが壊れた場合は、ネットワーク内のノードに対し衝突

検出の通知を出し、ランダム時間待機してからデータの再送を行います。

CSU Channel Service Unitの略で、TA（Terminal Adapter）の一種です。

DES Deta Encryption Standard の略で、データ暗号標準のことです。イン

ターネットで使われる暗号アルゴリズムの 1つです。

DH Diffie-Hellman Key Agreementの略で Diffieと Hellmanによって発明さ

れた暗号アルゴリズムのことです。

DHCP Dynamic Host Configuration Protocolの略で、ネットワークパラメータ

の自動設定を行うクライアント/サーバ型のプロトコルです。DHCPサー

バは DHCP クライアントに対して IP アドレスをはじめとして、サブ

ネットマスク、デフォルトゲートウェイのアドレス、DNSサーバのアド

レス、DHCPサーバアドレスなどを通知します。

DNS Domain Name Systemの略で、数値で表現される IPアドレスと、分か

りやすい文字列で表現される名前（ホスト名）とを対応させるための分

散型データベースです。DNS はインターネット内で分散管理されてお

り、ドメイン名によって階層的に割り当てられます。DNSの機能を用い

ることにより、IPアドレスの代わりにドメイン名でのアクセスが可能に

なります。

DSU Digital Service Unit(デジタル回線接続装置）の略で、デジタル回線に端

末装置を接続するための装置のことです。

ESP Encapsulating Security Payload の略で、セキュリティプロトコルの一

種です。IP データグラムのペイロード部分を暗号化することによって、

秘匿性を提供します。ESP処理されたパケットは、ネットワークの途中

経路上でのデータの覗き見を防御します。

Ethernet LAN 形式の一種です。Ethernet には数種類の仕様が規定されています

が、IEEE802委員会が作成した CSMA/CD形式が主流となっています。

使用するケーブル、伝送速度によって様々なタイプがあります。

FTP File Transfer Protocolの略で、インターネット上でファイルを転送する

ためのプロトコルです。FTPによるファイルの送受信をサポートしてい

るサーバのことを FTP サーバといい、FTP サーバのあるネットワーク

では FTPを利用したファイルの送受信ができます。

252



FTTH Fiber To The Homeの略で、光ファイバを家庭に引き込み高速インター

ネット環境を実現する計画で、2001年から本格的なサービスが開始しま

した。利用者宅内と集線局を光ファイバでつなぎ、集線局からインター

ネットに接続します。利用者宅内と集線局にそれぞれメディアコンバー

タと呼ばれる装置を設置する必要があります。メディアコンバータが、

電気信号と光信号のデータ変換を行います。

HTML HyperText Markup Languageの略でハイパーテキストを記述するための

言語です。”<”と”>”で挟んだ予約語を使って、テキストのレイアウトや、

画像ファイルなどの位置、リンク先などを記述します。WWWサーバが

蓄積している HTML形式のデータを、WWWブラウザを利用して読み込

むことでWWWブラウジングが可能になります。

HTTP Hyper Text Transfer Protocol の略で、WWW サーバと WWW クライア

ント間において、HTMLファイルなどの文書を転送するために用いられ

る通信プロトコルです。

HTTPS Hyper Text Transfer Protocol Securityの略で HTMLファイルの転送を行

う HTTP に SSL によるデータの暗号化機能を付加したプロトコルのこ

とです。サーバとブラウザの間の通信を暗号化し、個人情報やクレジッ

トカード番号など重要なデータの漏洩や盗聴を防ぎます。

HUB 複数のコンピュータを接続してネットワークを構築する際に使われる機

器です。10BASE-T/100BASE-TXのポートを 4～8個備えている機器で

あれば、かなり安価に購入することができますので、オフィス内などで

小規模なネットワークを構築する場合によく用いられます。

ICMP Internet Control Message Protocol の略で、エラーの通知や通信状況の

判定を行う制御用のプロトコルです。エラー時には、パケットを送出し

た機器や 1つ手前のルータに問題発生の状況を通知します。また、通信

相手の状況を問い合わせる機能も持ちます。シンプルに作られている IP

の脆弱な部分を補完し、信頼性を向上することが ICMPの役割です。

IEEE The Institute of Electrical and Electronics Engineersの略で、電気や電子

関連の技術の標準化を行うアメリカの電気電子技術者協会のことです。

LANに関する標準化については IEEE802委員会が行っています。

IKE Internet Key Exchangeの略で、IPsecなどで使用される秘密鍵や共有鍵

の自動交換に使われるプロトコルです。IKE を使うことで、IPsec で使

用する鍵の定期的な変更が容易になり、更に高いセキュリティを確保す

ることができます。

IMAP4 Internet Message Access Protocol version4の略でメールサーバ上の電

子メールを閲覧・管理するプロトコルです。電子メールをサーバ上で管

理するため、異なる端末から 1つの電子メール環境を管理することがで

き、モバイル環境に適した方式です。

253



IP Internet Protocol の略で、インターネットを構成する通信機器が共通に

利用するプロトコルです。インターネットで通信を行うとき、データは

通信経路上のノードを中継して通信相手まで届けられますが、IPはこの

データ中継の役目を担います。IPはパケットが通信相手に届くように努

力はしますが、その到達性については保証しません。この IPの特質をベ

ストエフォート型と呼びます。

IPsec IPsec はインターネットで標準となっているネットワーク層のセキュリ

ティを実現するためのプロトコルです。AHと ESPという 2つのセキュ

リティプロトコルと IKE という鍵交換プロトコルから構成されます。

AH、ESPの機能を用いることで、IP データグラムのセキュリティを確

保します。

IPv4アドレス IPv4はネットワークに接続されているホストを一意に表すためのプロト

コルです。インターネット上では、全世界でユニークな値（グローバル

アドレス）のみ使用することができます。これに対して、家庭内や社内

でのみ使用できる値（プライベートアドレス）があり、以下の範囲で使

用可能です。

　・10.0.0.0～ 10.255.255.255

　・172.16.0.0～172.31.255.255

　・192.168.0.0～192.168.255.255

IPv6アドレス IPv6で接続されているホストを一意に表すための数値で、4桁ずつ”:”で

区切った 16 進数で記述します。インターネット上で使える値（グロー

バルアドレス）、そのセグメント内でのみ使える値（リンクローカルアド

レス）があり、リンクローカルアドレスを使う場合は、一般にどのセグ

メントかを選択するための識別子を指定する必要があります。

ITU-T International Telecommunication Union Telecommunication Standard-

ization Sectorの略で、ITU（国際電気通信連合）の下部組織である電気

通信標準化部門のことです。主に電気通信技術の標準化を行います。

MD-5 Message Digest Algorithm-5の略で、ハッシュ関数の 1つです。

LAN Local Area Network の略で比較的狭い地域内でのコンピュータネット

ワークのことです。ルータを介してインターネットに接続されます。

NAPT Network Address Port Translationの略で、複数のプライベートアドレス

を 1つのグローバルアドレスに対応付ける機能です。この機能を利用す

ることで、プライベートアドレスを使用している複数のコンピュータを

1つのグローバルアドレスを使ってインターネットに接続させることが

可能になります。IP Masqueradingとも呼ばれています。NATでは 1つ

のプライベートアドレスを 1つのグローバルアドレスに変換するのに対

して、NAPTでは複数のプライベートアドレスを 1つのグローバルアド

レスに変換することが可能です。

254



NAT Network Address Translationの略で、インターネット上では使用できな

いプライベートアドレスを、インターネット上で使用できるグローバル

アドレスに変換する機能です。家庭内や社内でプライベートアドレスを

使用している場合、そのアドレスのままでは直接外部と通信することは

できません。NATは、NAT機能を備えた機器を通過するときにそのデー

タ内のアドレスを書き換えることによって、ユーザがプライベートアド

レスやグローバルアドレスの違いを意識することなく、インターネット

を利用できる仕組みを提供します。

NetBEUI NetBIOS Extended User Interfaceの略で、NETBIOSの拡張プロトコル

です。

NetBIOS Network Basic Input/Output System の略で米 IBM が定めました。LAN

を経由してアプリケーションがデータを読み書きする場合に使われる

セッション層の通信インターフェイスです。

NNTP Network News Transfer Protocolの略で、TCPセッション上のプロトコ

ルです。ニュースというシステムで交換されている記事をインターネッ

トを用いて転送するためのプロトコルです。

NTP Network Time Protocol の略で、インターネット上での正確な時刻情報

を提供するためのプロトコルです。NTPを利用することで分散した多数

のコンピュータ間で時刻同期をとることができます。

NTPサーバ NTPを用いて時刻情報を提供するサーバです。一般に NTPサーバは他

の NTP サーバのクライアントとなり階層構造状に時刻の同期が取られ

ます。

ONU Optical Network Unit の略で、光ファイバ通信網に端末装置を接続する

ための装置のことです。

OSPF Open Shortest Path Firstの略で、ルーティング情報を交換するためのプ

ロトコルです。複数の経路が存在する大規模な LAN でよく使用されま

す。

Ping TCP/IPネットワークにおける、ICMPを使った IPパケットの到達性を

調べるためのコマンドです。

POP3 Post Office Protocol version3の略で、メールサーバ上のメッセージをダ

ウンロードする機能と削除する機能を提供しています。

PPPoE PPP over Ethernet の略で、 Ethernet などのネットワーク上で PPP 接

続のような利用者のユーザ名、パスワードのチェックを行うために考案

された規格のことです。

RIP Routing Information Protocolの略で、ルーティング情報を交換するため

のプロトコルです。比較的小規模な LANでよく使用されます。

RIPng IPv4 で使用されている RIP を IPv6 に対応させたものです。IPv6 をサ

ポートしている機器の多くが対応しています。

255



Secure Shell 遠隔地からコマンドツールを使用する際、通信経路をすべて暗号化する

ことで安全性を高めたリモートシェルです。

SHA-1 Secure Hash Algorithm-1 の略でインターネット上でよく利用される

ハッシュ関数の 1つです。

SMTP Simple Mail Transfer Protocolの略で、電子メールを配信・投函するため

のプロトコルです。SMTP は TCPを利用しており、SMTP クライアン

トと SMTP サーバがコマンドによる会話をしながら転送処理を行いま

す。

SNMP Simple Network Management Protocol の略で、ネットワーク機器を管

理するためのプロトコルです。SNMPを使うとネットワーク機器の状態

をネットワークを使って収集することができます。

SNMPエージェント SNMPを使って要求された情報を提供する機能を持ったネットワーク装

置、またはソフトウェアのことです。リクエストに対して現在機器がど

ういう状態にあるかという情報を送り返すだけでなく、SNMPトラップ

をネットワーク監視装置に対して送る機能も持っています。

SNMPトラップネットワーク機器がネットワーク管理を行っている装置に対してシグナ

ルを送るために使用されます。通常は、ネットワーク装置の起動、終了、

異常状態の発生など、ネットワーク装置のトラブル、またはトラブルに

なりそうなことをネットワーク監視装置に通知する場合に使用します。

SPI Security Parameters Index の略で、認証・復号処理の際に必要となる

情報を得るための指標値のことです。SPIは AH、ESPヘッダ内にある

SPI フィールドによって運搬されます。IPsec を用いたセキュリティ通

信を行う装置は、自分が持っているセキュリティアソシエーションの

データベースから受け取った SPIを使って認証・復号処理を行うための

情報を引き出します。

SYSLOG UNIXで標準的に使われているシステムのログを記録するシステムです。

ネットワークを使って他のコンピュータにログを記録することも可能で

す。

TCP Transmission Control Protocolの略でアプリケーションプログラム同士

のデータ転送サービスを提供するトランスポート層のプロトコルです。

信頼性・確実性があるために、電子メール、WWWブラウザ、FTPなど

に利用されています。通信する場合、まず相手とコネクションと呼ばれ

る通信経路を確立し、データ転送中は通信相手の状況をみてデータ量や

転送速度の調整、データの再送を行います。

TCP/IP ネットワーク層プロトコルの IPをベースに、トランスポート層で TCP

（Transmission Control Protocol）または UDP（User Datagram Protocol）

を使って通信するプロトコル群の総称です。電子メールや Web などイ

ンターネット上のサービスは、すべて TCP/IPに基づいています。

256



Telnet Telecommunication Network の略で TCP セッション上のプロトコルで

す。サーバであるコンピュータに接続して文字などのキャラクタベース

の CUI を提供します。ユーザは Telnet を使うことで遠くに離れたホス

トにログインし、ユーザ端末からコマンドを入力し、リモートマシンを

コントロールすることができます。

Traceroute TCP/IPネットワークにおける IPパケットのルートをトレース・検査す

るコマンドです。

transportモード IPsecで定義される 2つの通信モードの一つで、端末と端末との通信に

対して認証や暗号化を行う場合に使用します。トランスポートモードで

は、基本的に送受信する IPパケットの IPヘッダを除いた部分を暗号化

します。

tunnelモード IPsecで定義される 2つの通信モードの一つで、ネットワーク間の通信

に対して認証や暗号化を行う場合に使用します。トンネルモードでは、

IPパケット全体を暗号化させます。

UDP User Datagram Protocol の略で、トランスポート層プロトコルとして

データ転送サービスを提供します。TCPのようなコネクションの概念を

持たないため、同一のデータを複数の相手に送信することができますが、

転送の信頼性はありません。UDPは DHCP、SNMP、RIPなどの同報を

行うプロトコルや、インターネット電話などのストリーミングデータを

扱うアプリケーションなどに利用されています。

URL Uniform Resource Locatorの略で、インターネット上のリソースへのア

クセス方法とその場所を一括して指定する表記方法です。一般化する

と、<scheme>:<scheme-specific-part>のようになります。schemeは

アクセスする方式を表し、scheme-specific-part はリソースへのアクセ

スパスを表わします。

VLAN Virtual LANの略で、LANにおいて、ケーブルやコンピュータの物理的な

接続形態に関わらず、LAN上の特定のノードだけで仮想的なネットワー

クの構築を可能にする技術です。

VPN Virtual Private Networkの略で、離れた拠点内にあるにプライベートネッ

トワーク同士を、パブリックネットワークであるインターネットを用い

て接続し、透過的に利用できる状態にあるネットワークを表わします。

WAN Wide Area Networkの略で、閉じられた狭い範囲ではなく、非常に広い

範囲に渡って結ばれた広域ネットワークのことです。通信事業者の提供

する公衆回線や専用線などを利用して、広域に端末を設置したり、離れ

た場所にある複数の LANを接続したりするネットワークです。

Web/

WWW

World Wide Webの略でネットワーク上に置かれたコンテンツやリソー

スにアクセスするための仕組みです。ユーザはコンテンツが置かれた

WWW サーバにアクセスして、HTTP プロトコルによってサーバ上の

データを取得し、WWWブラウザによって処理したデータを表示させる

ことでWWWブラウジングを行います。

257



Web/

WWWブラウザ

WWW を閲覧するためのアプリケーションで Netscape Navigator、In-

ternet Explorer が代表的です。Web ブラウザは取得した HTML 文書を

処理しフォーマットを整えてWWWの閲覧を実現します。

アカウントコンピュータネットワーク上で利用者を識別するための ID となるもの

です。アカウントによってコンピュータやネットワーク上にある資源を

利用できる権利を制限することができます。

暗号化ネットワーク上でデータをやり取りする際に第三者からデータを盗聴

されても理解できないようにするために、鍵と呼ばれるビット列を用い

てデータを暗号に変換することを暗号化と呼びます。逆に暗号化された

データを暗号化される前の元データに変換することを復号化と呼びま

す。

インターフェイス一般的に異なるコンピュータの装置間、プログラム間、あるいはユーザ

と装置の間で情報を交換する方式や接続仕様を指します。異なる装置

間、プログラム間、ユーザと装置の間の境界にあたる部分がインター

フェイスとなります。

カスケード接続ポートの増設をするために、ハブなどの接続機器同士のポートをケーブ

ルでつなぐ接続方法のことです。

共通鍵暗号方式

（秘密鍵暗号方式）

データを暗号化/復号化するためには鍵と呼ばれるビット列を利用します

が、データの暗号化と復号化に同じ鍵を使用する暗号方式のことを共通

鍵暗号方式と呼びます。共通鍵は通信する相手しか知らないため秘密鍵

暗号方式とも呼ばれます。共通鍵暗号方式で使用される暗号アルゴリズ

ムの代表的なものとして、DES、3DES、RC4などがあります。共通鍵

暗号方式では通信相手と事前に鍵を共有しておく必要があり、共有され

た鍵は preshared key（事前共有鍵）などと呼ばれます。

クライアント/

サーバモデル

サービスの要求を受けてサービスを提供する側（サーバ）とサービスを

利用する側（クライアント）という二つの要素で成り立っている通信モ

デルをクライアント/サーバモデルと呼びます。インターネットのアプリ

ケーションは主にこのクライアント/サーバモデルという概念に基づいて

作られています。

グローバルアドレス InterNIC や JPNIC などのドメイン名管理団体から正式に割り当てられ

た世界で一意な IPアドレスをグローバルアドレスと呼びます。

公開鍵暗号方式データを暗号化/復号化するためには鍵と呼ばれるビット列を利用します

が、公開鍵暗号化方式では暗号鍵と復号鍵の 2つの鍵のうちどちらかを

公開します。公開された鍵は「公開鍵」と呼ばれ、公開しない鍵は「秘

密鍵」と呼ばれます。公開鍵暗号化方式で使用される暗号アルゴリズム

の代表的なものとして、RSAがあります。

静的ルーティングあらかじめ管理者が明示的に経路設定を行うルーティング方法です。

258



セキュリティ

アソシエーション

認証、暗号通信を行うために、双方で合意し確立されていなければなら

ない情報のことをセキュリティアソシエーションといいます。セキュリ

ティアソシエーションが持つ情報には、認証アルゴリズム、暗号アルゴ

リズム、認証鍵、暗号鍵、鍵長などがあります。

セキュリティ

ポリシー

ファイアウォールやルータなどの設定のルールをセキュリティポリシー

と呼ぶ場合があり、本マニュアルではその意味で使っています。一般的

には、セキュリティ脅威への対策として全組織的に取りまとめた情報セ

キュリティに関する基本方針をセキュリティポリシーと呼びます。

専用線利用者が電気通信事業者から必要とする特定の区間を指定して借り受

け、専用して使用する回線のことです。

ダウンロードネットワークで接続されているコンピュータ間で、接続先（リモート側）

コンピュータから接続元（ローカル側）コンピュータへデータやプログ

ラムなどを転送することをダウンロードと呼びます。その逆はアップ

ロードと呼ばれます。

帯域制御 1 つのリンクを共有する複数のトラフィックに、帯域という観点から

ネットワーク資源を計画的に分配するための制御のことをいいます。あ

るトラフィックに、どんな時も最低限これだけの帯域を割り当てたい、

というような要求がある場合、帯域制御機能を使用します。

デフォルトクラス CBQ 使用時帯域幅が 100% の予め定義されている特別なクラスを指し

ます。初めてクラスを追加する場合に、親クラスとして指定することが

できます。

動的ルーティングルータ同士で経路情報などをやり取りして、最適な経路を選択するルー

ティング方法です。大規模なネットワークでは、動的ルーティングが一

般的です。

トラフィックネットワークの通信における通信量を指します。通信経路上を流れるト

ラフィックが多くなると、情報の遅延や損失の可能性が高くなります。

ネットワークのノードでは、情報遅延や損失を防ぐために、各経路のト

ラフィックを均等化するように経路を迂回したり、必要のない情報を流

さないように経路を選択したりといった対策が必要となります。

トンネリングインターネット上に仮想的なリンクを設定するための技術で、VPN を

実現する際等に用いられます。IPパケットを IPパケットで包んで転送

し、途中のルータの影響を最小限に抑えると同時に、暗号化などにより

セキュリティを強化することも可能です。この機能により、離れたとこ

ろにある IPv6ネットワークを、IPv4ネットワークを使って通信させる

ことができます。

認証データの安全性を確保するために、通信相手や通信データの完全性、正

確性を確認することを認証と呼びます。認証の方法としてパスワード方

式、秘密鍵暗号方式に基づく方式、公開鍵暗号方式に基づく方式などが

あります。認証のために利用する鍵を認証鍵と呼ぶこともあります。

259



ネットマスクネットワークで使用できる IPv4 アドレスの範囲を指定するもので

す。例えば、ネットワークアドレス「192.168.0.0」、ネットマスク

「255.255.255.248」の場合、そのネットワークの範囲は「192.168.0.0～

192.168.0.7」となります。

ネットワーク

アドレス

特定のネットワーク全体を指すアドレスのことです。例えば

「192.168.0.1/24」という IP アドレスを持つコンピュータが属するネッ

トワークのネットワークアドレスは「192.168.0.0」になります。

パケット送信したときにデータはコンピュータ内で細かい素片に分解され一定の

形式のフレームに整えられて転送されていきます。この分解された素片

のひとつひとつをパケットと呼びます。パケットには送信者/受信者の識

別子、データの大きさなど必要な情報が付加されます。

パケット

フィルタリング

ルータが IPパケットの送信元や受信先の IPアドレス、ポート番号など

から IPパケットの通信の許可・不許可を判断し、許可しないパケットを

通過させないようにする技術です。

パスファイルまたはディレクトリの場所を示すための文字列です。UNIX 系

の OS では”/”で、日本語版の MS-DOS や Windows では”Y”でディレク

トリ名を区切り、ディレクトリ名とファイル名を指定します。

ハッシュ関数暗号の一種で元の情報の長さによらずデータを一定の長さに圧縮しま

す。ハッシュは一方向関数とも呼ばれ圧縮されたデータからは復号化が

不可能であるという特性をもちます。異なるデータからハッシュ処理を

行うと異なる圧縮データが生成されますが、同じデータを同じハッシュ

で圧縮すれば同じ圧縮データが生成されます。ハッシュによって圧縮さ

れたデータをメッセージダイジェストと呼びます。

パディングデータがあるフォーマットを構成する場合、データ量が足りない場合な

どに埋め合わせとして利用されるデータをパディングと呼びます。

光専用線光ファイバの専用線のことです。波長を使って光信号を伝送することが

できる、ガラスやプラスチックによって作られた線です。光ファイバは

周波数をあげても波形が崩れないため、高速通信を実現することができ

ます。

ファームウェアハードウェアに保存されている基本ソフトです。

プライベート

アドレス

IPアドレス管理団体への申請なしで企業内や学校内などのプライベート

ネットワークにおいて自由に使用できる IP アドレスのことです。プラ

イベートアドレスはグローバルネットワーク内では利用できないため、

NAT/NAPT機能を利用してプライベートアドレスをグローバルアドレス

に変換する必要があります。

ブリッジネットワークを相互接続するためには、データのコントロールを行いな

がら中継する必要があります。ブリッジは、データリンク層で LANのセ

グメント間を相互接続します。

260



プレフィクス長ネットワーク上で使用できる IPv6 アドレスの範囲を指定するもの

です。例えば、ネットワークアドレスが”2001:240:fffe::”、プレフィッ

クス長が”/48”の場合、そのネットワークの範囲は、 2001:240:fffe::～

2001:240:fffe:ffff:ffff:ffff:ffff:ffffとなります。

プロキシサーバインターネットへのアクセスを中継するためのサーバです。プロキシは

代理という意味です。ネットワークの安全性や IP アドレスの設定の関

係からネットワーク内部から直接インターネットに接続できないような

場合、プロキシサーバがネットワーク内の機器を接続するように中継し

ます。また、ネットワーク内の利用者が別々に遠方のWWWサーバにア

クセスするとサーバにかかる負荷が高くなるため、適切なグループごと

にデータをキャッシュ（一時的にデータを保存）し、同じWWWサーバ

へのアクセスを要求された場合、キャッシュサーバのデータを返して負

荷を軽減させます。

プロトコル複数のコンピュータなどの機器が通信するときに使用する、メッセージ

のやり取りの方法や手順を定めた取り決めのことです。

プロバイダ Internet Service Provider のことで ISP とも呼ばれます。電話回線や専

用線などを通じて、インターネット接続サービスを提供する通信事業者

です。

ポート番号アプリケーションを特定するために用いられる概念がポートです。ポー

トにはポート番号が振られておりトランスポート層プロトコルの TCP

や UDP がポートによってアプリケーション層のプログラムとの関連付

けを行います。なお、サーバアプリケーション（サーバにより提供され

るアプリケーション）ではポート番号はすでに決められておりウェルノ

ウンポートと呼ばれています。

ボトルネックシステム全体の中でもっとも遅い部分のことをいいます。

メディアコンバータ銅線ケーブルと光ファイバのように異なる伝送媒体を接続し、伝送信号

を相互変換するための装置のことです。

メディアタイプ通信用の伝送メディアの種類のことです。ケーブルの種類などを指しま

す。

メトリックルーティングテーブルが持つ、最終経路の決定のために使う値のことで、

ルーティングメトリックとも呼ばれます。メトリックには、最終宛先ま

での距離、ホップ数、ネットワークの状態、パスコストなどが含まれて

います。

モデム端末を電話回線に接続し、データを送受信するための装置です。コン

ピュータが処理するデジタル信号を電話回線が扱うアナログ信号に相互

変換します。

ライフタイムパケットや認定項目の有効時間のことです。パケットの場合、有効時間

を過ぎても宛先に到達しなかったパケットは破棄されます。IPsecでは、

SAにライフタイムの設定ができます。

261

第 8章トラブル・シューティング

ルータ広告ルータ通知とも言います。ルータがプレフィックスなどの情報を定期的

に送信することで、そのセグメントに接続したホストは受け取った情報

から自動的にネットワーク設定を行い、通信をすることができます。

ルーティングネットワーク上の目的アドレスまでの転送経路を選択するプロセスを

ルーティングといいます。ルーティングは管理者が明示的に行う静的

ルーティングと、ルータ同士で経路情報などを交換して最適な経路を選

択する動的ルーティングがあります。動的ルーティングでは経路情報を

集め、最適経路を選択し、パケットを送信するという 3つの処理が含ま

れます。パケットを中継するルータはルーティングテーブルを持ち、そ

れを比較することで経路選択を行います。ルーティングテーブルはルー

ティングプロトコルによって作成されます。

ループ送信されたパケットが宛先に届かずに同じところを何度もまわりつづけ

る状態のことです。

ループバックネットワークの疎通確認などを行うためのテストです。機器自身を指す

IPアドレスであるループバックアドレスを使って行います。ループバッ

クアドレスは IPv4では通常「127.0.0.1」が使われます。

ログコンピュータの利用状況の記録のことです。コンピュータの稼動中の動

作状況や更新情報、データの転送状況などが含まれます。システム障害

時や復旧時にログを参照することは障害原因の特定に役立ちます。ログ

を採取する機能をロギング機能と呼びます。

262


9.1. 故障かな？と思ったとき

第 9 章トラブル・シューティング

本章では、CS-SEIL-510/Cの設定や CS-SEIL-510/Cを使用してインターネットに接続できない場合

など、困ったときの対策についてご説明します。

9.1 故障かな？と思ったとき

※ SEILの画面が開けない

※ インターネットに接続できない

このような場合は、各項のチャートに従って処置を行ってください。処置後も SEIL が正常に動作し

ない場合は、 ó� ［9.2自己診断テスト¤ ¡P.268£ ¢］をご覧ください。

警告

付属の専用 ACアダプタ（DC5V）以外のものは、絶対に使

用しないでください。火災、感電、故障の原因となります。

SEILの電源は、AC100V± 10％（50/60Hz）の電源以外

では、絶対に使用しないでください。異なる電圧で使用す

ると、火災、感電の原因となります。

SEILの内部の点検、調整、清掃、修理は、危険ですから絶

対にしないでください。SEIL の内部には電圧の高い部分

があり、感電の原因となります。SEIL の内部の点検、調

整、清掃、修理は、お買い上げの販売店に依頼してくださ

い。

注意

263



　

機器を接続する場合には、必ず電源プラグを ACコンセン

トから抜いてください。電源プラグを ACコンセントに接

続したまま、機器の接続をすると、感電の原因となること

があります。

264



■ 9.1.1 不具合時の確認手順

■ 7セグメント LEDが点灯しないとき

265



■ SEILの画面が開けないときSEILとコンピュータは正しく接続されていますか？特にケーブルは、カチッと音がするまで確実に差し込みましたか？ SEILとコンピュータを正しく接続してください。HUBを経由して複数のコンピュータと接続する場合、そのHUBの電源はONになっていますか？ HUBの電源をONにしてください。コンピュータからWWWブラウザでアクセスしたとき、SEIL前面のLAN0ポート LINK/ACT LED（緑）は点滅していますか？ケーブルの異常が考えられます。ケーブルを交換し、もう一度試してください。コンピュータのTCP/IP設定は正しく行われていますか？コンピュータのTCP/IP設定を正しく行ってください。WWWブラウザのProxy設定は「使用しない」に設定されていますか？

いいえいいえいいえいいえ

はいはいはいはい WWWブラウザのProxy設定を「使用しない」に設定して、もう一度試してください。SEILの設定を初期化し、最初からやり直してください。今度は、SEILの画面が開けましたか？※SEILは、初期化するとすべての設定が工場出荷状態に戻ります。 LEDの点灯状態を確認してください。LEDの状態が正常でない場合は、お買い上げの販売店へご連絡下さい。いいえはいいいえ

266



■インターネットに接続できないときSEILの画面は開けますか？前項「SEILの画面が開けないとき」のチェックを行ってください。SEIL前面のLAN1ポートLINK/ACT LED（緑）の表示状態はどのようになっていますか？回線が正しく接続されていない可能性があります。SEILとメディアコンバータ、あるいはADSLモデム間の配線を確認してください。配線は正しく接続されていますか？ネットワーク構成を確認し、設定を見直してください。「第４章ケーブルのつなぎ方」をご覧になり、正しく配線してください。回線障害の可能性があります。プロバイダなどにお問い合わせください。

いいえ消灯はい点灯もしくは点滅はいいいえ

267


9.2. 自己診断テスト

9.2 自己診断テスト

SEILは、電源を投入すると同時に自動的に自己診断を行います。

SEILをつないだコンピュータからインターネット接続ができない、もしくは設定が正常に行えなかっ

た場合、あるいは ó� ［9.1故障かな？と思ったとき¤ ¡P.263£ ¢］の対処でも問題が解決できなかった場合

などは、下記の手順で SEILの自己診断テストを行ってみてください。

1. SEILの電源をつなぎます。

2. SEILが自動的に自己診断テストを開始します。

次の項目を順にテストします。

• RAM

• フラッシュメモリ• LANデバイス

3. 自己診断テストが終了すると‥

• 診断結果が正常のときは、LED ”h”セグメントが点滅します。

• 異常があったときは、LED ”b”セグメントが点灯、LED ”c”セグメントが点滅します。

上記のような異常があった場合に、SEILを再起動しても状況に改善が見られない場合は、お買い上

げの販売店に連絡してください。

268

　

発行元　センチュリー・システムズ株式会社

本書は著作権法上の保護を受けています。

本書の一部あるいは全部について、著作権者からの許諾を得ずに、いかなる方法においても無断で複製、

翻案、公衆送信等することは禁じられています。

FutureNetは、センチュリー・システムズ株式会社の登録商標です。

その他、本書に掲載されている商品名、会社名等は各会社の商号、商標または登録商標です。

本文中では、TM、 r©マークは表示しておりません。c©2006 Century Systems Inc. All rights reserved.

本書に記載されている事柄は、将来予告なしに変更することがあります。