SSGの修練場 本文へジャンプ

演習5 Virtual IP(VIP)
公開アドレスが1つしかない場合で複数のサーバに接続させるための方法について演習します。

2009年07月04日 更新

目次
WebUIでの設定
CLIでの設定



WebUIでの設定





Virtual IP(VIP)は、複数のサーバを複数の機器で公開するとき、グローバルアドレスがUntrustのアドレス1つだけの場合に使います。

Virtual IPの設定は、サーバを公開する側のSSG/NetScreenで行います。上図ではFW2になります。

メニューのNetwork > Interfacesを選び、Untrustの「Edit」をクリックします。



画面が切り替わったら、画面上部の「VIP」をクリックします。すると、下図の画面が出るので、赤枠のように「Same as the Interface IP address」のラジオボタンをクリックするか、「Virtual IP Address」に172.30.1.2を入力して、「Add」ボタンをクリックすると、「VIP」の欄にFW2のUntrustのアドレスが追加されます。



次に、画面上部の右側にある、「New VIP Service」ボタンをクリックすると、画面が変わります。
まずは、Virtual IPとWebサーバの実アドレスを結びつけます。次のように記入したら、「OK」ボタンをクリックします。

Virtual IP:172.30.1.2
Virtual Port:80
Map to Service:HTTP(80)
Map to IP:192.168.2.11

ここで、Virtual Portを80にすると、次のようなエラーが出る場合があります。



これは、WebUIの接続ポートがデフォルトで80に設定しているために競合してしまうからです。

そこで、次のように、WebUIの接続ポートを変更します。
メニューで、Configuration > Admin > Managementを選び、HTTP Portを変更します。今回は8080番ポート(HTTP Alternate)に設定しました。



この変更をすると、WebUIの接続時には、http://接続アドレス:8080/と入力することになりますのでご注意ください。




では、VIPの設定に戻ります。再度Webサーバ用のVirtual IP Serviceを設定します。今度はエラーは出ないはずです。

同様に、FTPサーバ用のVirtual IP Serviceも設定します。

Virtual IP:172.30.1.2
Virtual Port:21
Map to Service:FTP(21)
Map to IP:192.168.2.12

上記の設定が済むと、以下のような画面になります。




最後に、FW2にVirtual IPのポリシーを作成すると、設定は完了です。




Webサーバに接続するときも、FTPサーバに接続するときも、FW2のUntrustのアドレス宛てに接続します。

Webサーバに接続:http://172.30.1.2/
FTPサーバに接続:ftp://172.30.1.2/


ログでアドレス変換の様子を確認できます。





CLIでの設定


・FW1(NetScreen-5GT)

前章 Mapped IPのFW1の設定をご参考ください。


・FW2(SSG5)

WebUIの接続ポート設定
set admin port 8080


アドレスの設定
set interface "ethernet0/0" zone "Untrust"
set interface "bgroup0" zone "Trust"
set interface bgroup0 port ethernet0/2
set interface bgroup0 port ethernet0/3
set interface bgroup0 port ethernet0/4
set interface bgroup0 port ethernet0/5
set interface bgroup0 port ethernet0/6

set interface ethernet0/0 ip 172.30.1.2/29
set interface ethernet0/0 route
set interface bgroup0 ip 192.168.2.254/24
set interface bgroup0 route

Virtual IPの設定
set interface ethernet0/0 vip interface-ip 80 "HTTP" 192.168.2.11
set interface ethernet0/0 vip interface-ip 21 "FTP" 192.168.2.12

アドレスブックの設定
set address "Trust" "SERVER" 192.168.2.0 255.255.255.0
set address "Untrust" "FW1-PC" 192.168.1.0 255.255.255.0

ポリシーの設定
set policy id 3 name "Server_toPC" from "Trust" to "Untrust" "SERVER" "FW1-PC" "HTTP-FTP" permit log
set policy id 3
exit
set policy id 9 name "VIP(SERVER)" from "Untrust" to "Trust" "FW1-PC" "VIP(ethernet0/0)" "FTP" permit log
set policy id 9
set service "HTTP"
exit

ルーティングの設定
set route 192.168.1.0/24 interface ethernet0/0 gateway 172.30.1.1



演習目次に戻る
総合案内に戻る