登録商標R1.5...This equipment generates, uses, and can radiate radio frequency energy and, if...

登録商標

PIOLINKは、株式会社パイオリンクの登録商標です。

著作権

本ユーザーマニュアル（以下、本書）の内容は著作権法で保護されます。従って、株式会社パイオリンクの書面による許

諾なしに本書の全部または一部の複製、転載及び改変することはできません。

本書の内容は製品の機能向上や内容の修正などによって予告なしに変更されることがあります。

本書に記載された製品の使用に起因する損失、逸失利益などの請求については、いかなる責任も負いかねます。

PAS-K 1516/1716/2424/2824/4224/4424/4824 ユーザーマニュアル Rev1.5 (2016.09)

© PIOLINK, Inc. All rights reserved.

URL: http://www.piolink.co.jp

PIOLINK Application Switch-K 1516/1716/2424/2824/4224/4424/4824 ユーザーマニュアル

2

http://www.piolink.co.jp/

Regulatory Information FCC Compliance Statement

Caution: Any changes or modifications not expressly approved by the party responsible for compliance could void the user's authority to operate the equipment.

NOTE: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to Part 15 of the FCC Rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. This equipment generates, uses, and can radiate radio frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference in which case the user will be required to correct the interference at his own expense.

This device complies with Part 15 of the FCC Rules. Operation is subject to the following two conditions: (1) this device may not cause harmful interference, and (2) this device must accept any interference received, including interference that may cause undesired operation.

Japan VCCI Statement This is a class A product based on the standard of the Voluntary Control Council for Interference from Information Technology Equipment (VCCI). If this is used near a radio or television receiver in a domestic environment, it may cause radio interference. Install and use the equipment according to the instruction manual.

この装置は、クラスA情報技術装置です。この装置を家庭環境で使用すると電波妨害を引き起こすことがあります。この場合

には使用者が適切な対策を講ずるよう要求されることがあります。 VCCI-A

3

マニュアル紹介

CE Marking and European Union Compliance Products intended for sale within the European Union are marked with the CE Mark which indicates compliance to applicable Directives and European Normes (EN), as follows. Amendments to these Directives or Ens are included:

Applicable Directives Electromagnetic Compatibility Directive 89/336/EEC

Low Voltage Directive 73/23/EEC

Applicable Standards EN 55022: 1998+A1:2000, Limits and Methods of Measurement of Radio Interference Characteristics of Information

technology Equipment.

Warning: This is a Class A product. In a domestic environment this product may cause radio interference in which case the user may be required to take adequate measures.

EN 61000-3-2: 2000, Limits for harmonic current emissions(equipment input current <= 16A per phase)

EN 61000-3-3: 1995+A1: 2001, Limits of Voltage fluctuations and flicker in low-voltage supply system for equipment with rated current <= 16A

EN 55024: 1998+A1:2001, Information technology equipment-Immunity characteristics Limits and methods of measurement.

EN 60950: 2000 (3rd Edition), Safety of Information Technology Equipment


4

マニュアルの紹介本ユーザーマニュアル（以下、本書）はPAS-K 1516/1716/2424/2824/4224/4424/4824（以下、本製品）の機能及び使用方法など

について説明します。本書では、本製品のCLI(Command Line Interface)による使用方法について説明します。尚、デフォルトの設

定値は国により異なる場合がございます。本製品を使用する前に本書をよくお読みのうえ、正しくお使い下さい。本書と一緒に提供される設置マニュアル、ケーススタディ、コマンドリファレンスガイドには本製品に関連した機能、使用方法、設定方

法などが詳細に説明されてあるので合わせてお使い下さい。

お使いになる方本書はネットワーク装置などを設置・運用・管理する方を対象に説明しています。ネットワークに関する基礎的な知識をお持ちの方を

前提にしているので、ネットワークに関する一般的な事項及び用語などについては省略しています。本書で説明の無い一般的な事

項及び用語については他のネットワーク関連書籍を参考して下さい。

PLOSバージョン本書ではPLOS（PIOLINK Operating System） v1.8.13.0.1以上のバージョンを対象に説明しています。PLOS v1.8.13.0.1以前

のバージョンをお使いになっている場合は、ご使用中のPLOSバージョンに合ったユーザーマニュアルを参照していただくか、または

PLOSをv1.8.13.0.1以上にアップグレードして下さい。PLOSのアップグレード方法については第4章システム管理＆モニタリングを

ご参照下さい。

マニュアルの表記法以下に本書で使用する製品名、参考及び注意など記号の表記法について説明します。

製品名製品のブランド名、モデル名などの表記法について説明します。

PAS-K パイオリンクのAP-ADC(Advanced Platform-Application Delivery Controller)製品群を示す公式的な製品名であり、全ての製品に共

通で該当する内容を説明する場合に使用する名称です。

PAS-K 1516、PAS-K1716、PAS-K 2424、PAS-K 2824、PAS-K 4224、PAS-K 4424、PAS-K 4824 各製品モデルに対して説明する場合に使用されます。

PAS-K 1516/1716/2424/2824/4224/4424/4824 全製品モデルに対して共通の内容を説明する場合に使用されます。本書では「本製品」として表記します。

記号表記本書で使用する表示及び図記号は参考及び注意があります。これらの表記方法及び意味について説明します。

参考: 本書の内容と関連して役に立つ事項と関連資料などについて説明します。

注意: データの損失、あるいは製品が誤動作する可能性がある状況を説明して、その状況に対する対処方法を説明します。

5


使用表記 CLIで使用するコマンド名、パラメータなどを区分して説明するために下記の表記を使用します。

表記説明使用例

# コマンドを入力するプロンプトを表す記号 (config)#

Bold コマンドやキーワードは太字で表記 (config)# hostname

<Italics> パラメータとして値を入力する場合は斜体で表記 (config)# ping <IP>

[ ] オプションとして指定するパラメータは大括弧[ ]内で表記 (config)# show interface [<NAME>]

{ x | y | z } 選択するパラメータは選択肢を垂直線で分けて中括弧{ }内で表記 (config-slb[s2])# status {enable | disable}

製品アイコンアイコン意味

構成図や製品説明などに使用される製品アイコンとして、本製品（PAS-K 1516/1716/2424/2824/4224/4424/4824）を表します。

関連ドキュメント本書と共に次のドキュメントを提供します。

PAS-K 1516/1716/2424/2824/4224/4424/4824 設置マニュアル本製品のハードウエアの各部分について説明し、本製品の設置方法や他の装置との接続方法などについて説明します。

PAS-K 1516/1716/2424/2824/4224/4424/4824 ケーススタディ本製品の設定事例集です。本製品を利用して、L4 負荷分散、L7 負荷分散、セキュリティ機能、QoS 機能などを適用した構

成例を CLI で設定する方法について説明します。

PAS-K 1516/1716/2424/2824/4224/4424/4824 コマンドリファレンスガイド本製品で提供する CLI の使用方法について説明し、CLI の使用方法と参考事項、設定例を説明します。CLI は機能単位で

構成されています。

PAS-K 1516/1716/2424/2824/4224/4424/4824 MIB リファレンスガイド(MIB Reference)

PAS-が提供する SNMP MIB 情報について説明します。

テクニカルサポート本製品に関するテクニカルサポートが必要な場合は、本製品の購入先または弊社のテクニカルサポートにお問い合わせ下さい。

株式会社パイオリンクのテクニカルサポート： [email protected]

その他一般的な製品情報、または株式会社パイオリンクに関する情報は、下記のホームページをご参照下さい。

URL: http://www.piolink.co.jp


6

mailto:[email protected]

http://www.piolink.co.jp/

マニュアル内容の構成本書の構成は下記の通りです。

第1章 PAS-K の紹介

PAS-Kで提供する主な機能と特徴などの概要について説明します。

第2章ご使用の前に

CLIによる接続方法と基本的なCLIの使用方法について説明します。

第3章基本ネットワークの設定

ネットワークに関する基本的な設定について説明します。

第4章システム管理とモニタリング

システム管理に必要な機能とシステムの基本情報と状態情報、ログなどをモニタリングする方法について説明します。

第5章 SNMPの設定

SNMP(Simple Network Management Protocol)の概要と設定方法について説明します。

第6章ポートバウンダリーの設定

ポートバウンダリーの概要と設定方法について説明します。

第7章負荷分散の設定

サーバ、ファイアウォール、VPN、グローバルサーバ、ゲートウェイなどのL4-7負荷分散機能について説明します。

第8章フェイルオーバーの設定

冗長化構成時のフェイルオーバー処理のためのVRRP(Virtual Router Redundancy Protocol)とeVRRPの概要と設定

方法について説明します。

第9章基本セキュリティの設定

本製品で提供する基本セキュリティ機能について説明します。

第10章 QoSの設定

帯域制御機能（Quality of Service、以下QoS）の概要と設定方法について説明します。

7


目次

PPAASS--KK ユユーーザザーーママニニュュアアルル ........................................................................ 1 Regulatory Information ................................................................................................. 3

FCC Compliance Statement ................................................................ 3 Japan VCCI Statement ....................................................................... 3 CE Marking and European Union Compliance ................................. 4 Applicable Directives ........................................................................... 4 Applicable Standards ........................................................................... 4

マニュアルの紹介 .............................................................................................................. 5 お使いになる方 ................................................................................................. 5 PLOSバージョン ................................................................................................ 5 マニュアルの表記法 .......................................................................................... 5 関連ドキュメント ................................................................................................. 6 テクニカルサポート ............................................................................................ 6

マニュアル内容の構成 ........................................................................... 7 目次 ...................................................................................................... 8

第1章 PAS-Kの紹介 ................................................................................. 19 製品概要 ........................................................................................................................... 20

紹介 .................................................................................................... 20 主要機能 ............................................................................................. 22 特徴 .................................................................................................... 22

第2章ご使用の前に .................................................................................. 24 CLIの使用方法 ................................................................................................................ 25

CLIからのログイン方法 ........................................................................ 25 PAS-Kの起動 .................................................................................................. 25 CLIでのログイン .............................................................................................. 26 CLIでのログアウト ........................................................................................... 26

CLIの基本的な使用方法 ...................................................................... 27 コマンドやキーワードの表示 ........................................................................... 27 コマンドの別称機能の設定 .............................................................................. 27 コマンドラインでの編集機能 ............................................................................ 28 コマンド実行モード ........................................................................................... 29

第3章基本ネットワークの設定 .................................................................. 30 ポートの設定 .................................................................................................................... 31

CLIでの設定 ....................................................................................... 32 ポート速度と通信モード設定 ........................................................................... 32 MDI/MDI-Xの設定 .......................................................................................... 32 オートネゴシエーションの設定 ......................................................................... 32 フロー制御設定 ............................................................................................... 33 フラッドレート設定 ............................................................................................ 33 ポート動作状態の設定 .................................................................................... 33 SPFモードの設定 ............................................................................................ 33 ポート状態の表示 ............................................................................................ 34

VLANの設定 ................................................................................................................... 35 VLANの概要 ....................................................................................... 35 CLIでの設定 ....................................................................................... 37

VLANの作成及びポートの追加 ....................................................................... 37


8

設定情報の表示 .............................................................................................. 37 VLANマルチキャストブリッジの設定 ............................................................... 37 設定情報の表示 .............................................................................................. 38

MAC エージングタイム設定 .......................................................................................... 39 IPアドレス・ルーティングの設定 ..................................................................................... 40

IPv4アドレス ........................................................................................ 40 IPv6アドレス ........................................................................................ 40 RPF設定 ............................................................................................. 43 ルーティングの設定 ............................................................................. 43 CLIでの設定 ....................................................................................... 44

インターフェースのIPアドレスの設定 ............................................................... 44 インターフェースのMTUの設定 ....................................................................... 44 インターフェースのアップ・ダウン ..................................................................... 44 デフォルトゲートウェイの追加 .......................................................................... 45 スタティックルーティングの追加 ....................................................................... 45 近隣探索の設定 .............................................................................................. 46 設定情報の確認 .............................................................................................. 46

DHCPの設定 ................................................................................................................... 46 DHCPサーバの設定 ............................................................................ 47

IP Poolの設定 ................................................................................................. 47 インターフェースの設定 ................................................................................... 48 DHCPサーバ使用可否の設定 ........................................................................ 48 DHCPサーバ設定情報の表示 ........................................................................ 48

DHCPリレーエージェント ...................................................................... 49 DHCPリレーエージェントの設定 ..................................................................... 49 DHCP Option 82の設定 ................................................................................. 49 DHCPリレーエージェント設定情報の表示....................................................... 49

Proxy ARPの設定 .......................................................................................................... 50 Proxy ARPの概要 .............................................................................. 50 CLIでの設定 ....................................................................................... 51

Proxy ARPの設定情報の表示 ........................................................................ 51 ARPロックタイムの設定 ................................................................................................. 52

ARPロックタイムの概要 ....................................................................... 52 CLIでの設定 ....................................................................................... 53

ARPロックタイムの設定 .................................................................................. 53 ARPロックタイム設定情報の表示 ................................................................... 53

ARPフィルターの設定..................................................................................................... 54 CLIでの設定 ....................................................................................... 54

Input ARPフィルターの設定 ............................................................................ 54 Ouput ARPフィルターの設定 .......................................................................... 55 ARPフィルター設定情報の表示 ...................................................................... 55

チェックサムの設定 ......................................................................................................... 56 CLIでの設定 ....................................................................................... 56

チェックサムの設定 ......................................................................................... 56 チェックサム設定情報の表示 .......................................................................... 56

保存MACレスポンスの設定 ........................................................................................... 57 CLIでの設定 ....................................................................................... 57

保存MACレスポンスの設定 ............................................................................ 57 保存MACレスポンス設定情報の表示 ............................................................. 57

スタティックARPの設定 .................................................................................................. 58 CLIでの設定 ....................................................................................... 58

スタティックARPの設定 ................................................................................... 58 スタティックARP設定情報の表示 .................................................................... 58

9


DNSの設定 ...................................................................................................................... 59 CLIでの設定 ....................................................................................... 59

DNSサーバの設定 .......................................................................................... 59 DNSサーバ設定情報の表示 ........................................................................... 59

リンクシンクの設定 .......................................................................................................... 60 概要 .................................................................................................... 60 CLIでの設定 ....................................................................................... 61

NATの設定 ...................................................................................................................... 62 概要 .................................................................................................... 62 NATのタイプ ........................................................................................ 62 CLIで設定 ........................................................................................... 63

NATルールの設定 .......................................................................................... 63 NAT設定情報の表示 ....................................................................................... 64

ポートミラーリングの設定 ............................................................................................... 65 ポートミラーリングの概要 ..................................................................... 65 CLIでの設定 ....................................................................................... 66

ポートミラーリングの設定 ................................................................................ 66 ポートミラーリングの設定情報の表示.............................................................. 66

リンクアグリゲーション（Link Aggregation）の設定 .................................................... 67 リンクアグリゲーション .......................................................................... 67 ポートトランキング ................................................................................ 67 LACP .................................................................................................. 67

リンクアグリゲーション設定時の注意事項 ....................................................... 68 CLIでの設定 ....................................................................................... 69

ポートトランキングの設定 ................................................................................ 69 トランキング設定情報の表示 ........................................................................... 69 LACPの設定 ................................................................................................... 70 LACP優先順位の設定 .................................................................................... 70 LACP設定情報の表示 .................................................................................... 70

ポートフェイルオーバーの設定 ...................................................................................... 71 概要 .................................................................................................... 71 ポートフェイルオーバー設定 ................................................................. 71

ポートフェイルオーバー情報の表示 ................................................................ 71 STP/RSTP/PVSTP/MSTPの設定 ................................................................................ 72

STPの概要 ......................................................................................... 72 BPDU (Bridge Protocol Data Unit) ................................................................. 73 ポート状態 ....................................................................................................... 74 経路の選択...................................................................................................... 75

RSTPの概要 ....................................................................................... 76 ポートの状態 ................................................................................................... 76 BPDUトポロジーの変化 .................................................................................. 76 ネットワークコンバージェンス時間の短縮 ........................................................ 77

PVSTP/MSTPの概要 .......................................................................... 79 CLIでの設定 ....................................................................................... 82

スパニングツリーのイネーブル ....................................................................... 82 ルートスイッチの設定 ...................................................................................... 82 パスコストの設定 ............................................................................................. 82 ポート優先順位の設定 .................................................................................... 83 Helloタイムの設定 ........................................................................................... 83 フォワーディング遷移時間の設定 .................................................................... 83 最大エージングタイムの設定 .......................................................................... 84 Edgeポートの設定 .......................................................................................... 84 MST Region設定 ............................................................................................ 84


10

Instanceの設定 ............................................................................................... 85 設定情報の表示 .............................................................................................. 87

NAT64/DNS64の設定 .................................................................................................... 88 CLIでの設定 ....................................................................................... 88

Source NATプールの設定 .............................................................................. 88 NAT64プレフィックスの設定 ............................................................................ 89 DNS64フィルターの設定 ................................................................................. 89 DNS64ネームサーバの設定........................................................................... 90 NAT64ルールの設定 ...................................................................................... 90 設定情報の表示 .............................................................................................. 91 NAT64セッションエントリーの情報................................................................... 91

ネットワーク接続の確認 .................................................................................................. 92 Ping接続テスト .................................................................................... 92 パケットトレースルート .......................................................................... 93

第4章システム管理とモニタリング ............................................................ 94 システム情報 ................................................................................................................... 95

CLIでのシステム情報表示 ................................................................... 95 システムの基本情報表示 ................................................................................ 95 システムリソース使用状態の表示 ................................................................... 95 ハードウェア動作状態の表示 .......................................................................... 95

設定情報の同期化 ........................................................................................................... 96 概要 .................................................................................................... 96

モジュールとモジュールセット .......................................................................... 96 CLIでの設定 ....................................................................................... 98

設定情報の同期化可否を設定 ........................................................................ 98 設定情報の同期化 .......................................................................................... 98 システムの再起動 ........................................................................................... 98

システムの基本情報管理 ............................................................................................... 99 ホスト名の設定 .................................................................................... 99

CLIでの設定 .................................................................................................... 99 ログインバナーの設定 .......................................................................... 99 管理者のアクセス方法の設定 ............................................................ 100

CLIでの設定 .................................................................................................. 100 管理者のアクセス方法のポリシー設定.......................................................... 100 設定情報の表示 ............................................................................................ 101

管理統計サービスの設定 ................................................................... 101 設定情報の表示 ............................................................................................ 101

ターミナルの設定 ............................................................................... 101 ログインタイムアウト時間の設定 ................................................................... 101

ターミナルで表示する行数の設定 ....................................................... 102 設定情報の表示 ............................................................................................ 102

システム時刻の設定 .......................................................................... 103 直接設定 ....................................................................................................... 103 NTPクライアントの設定 ................................................................................. 104

設定ファイル .................................................................................................................. 105 概要 .................................................................................................. 105 CLIでの設定 ..................................................................................... 106

設定ファイルの保存 ....................................................................................... 106 設定ファイルのコピー .................................................................................... 106 設定ファイルのインポート/エクスポート ......................................................... 107 以前の設定に戻す......................................................................................... 108

11


初期設定に戻す ............................................................................................ 109 設定のバックアップ ........................................................................................ 109 設定ファイル内容の表示 ............................................................................... 109

PLOS ............................................................................................................................. 111 CLIでの設定 ...................................................................................... 111

PLOSのアップグレード .................................................................................. 111 PLOS情報の表示 ......................................................................................... 111

システム終了 ................................................................................................................. 111 セッションタイムアウト時間の設定 ............................................................................... 112

概要 ................................................................................................... 112 設定できるセッションの種類 .......................................................................... 112 デフォルト設定 ............................................................................................... 114

CLIでの設定 ...................................................................................... 115 セッションタイムアウト時間の設定 ................................................................. 115 設定情報の表示 ............................................................................................ 116

テクニカルヘルパー ...................................................................................................... 117 概要 ................................................................................................... 117 CLIでの設定 ...................................................................................... 117

動作ログ情報の設定 ..................................................................................... 117 動作ログ情報の削除 ..................................................................................... 117

ユーザー管理 ................................................................................................................ 118 ユーザー管理 ..................................................................................... 118

CLIでのユーザー管理 ................................................................................... 118 管理者の同時アクセス制限機能の設定 ........................................................ 119

RADIUSサーバの設定 ...................................................................... 120 CLIでのRADIUSサーバ設定 ........................................................................ 120

TACACS+の設定 .............................................................................. 122 CLIでTACACS+の設定 ................................................................................ 122

ログの管理 .................................................................................................................... 124 概要 .................................................................................................. 124 CLIでの設定 ..................................................................................... 126

イベントの種類とレベルの設定 ...................................................................... 126 ログメッセージの送信 .................................................................................... 126 設定情報の表示 ............................................................................................ 126 ログメッセージの表示 .................................................................................... 127 ログメッセージの削除 .................................................................................... 127

ポートモニタリング ........................................................................................................ 128 CLIでのポートモニタリング ................................................................. 128

システム監視 ................................................................................................................ 129 メールアラーム機能 ..................................................................................................... 129

概要 .................................................................................................. 129 CLIでの設定 ..................................................................................... 130

メールアラーム設定情報の表示 .................................................................... 130 コマンド履歴の確認 ...................................................................................................... 131 ファンホットスワップ(FAN Hot Swap) ........................................................................ 131

第5章 SNMPの設定 ................................................................................ 132 SNMPの概要 ................................................................................................................ 133

SNMPの構成要素 ............................................................................. 133 SNMPマネージャーとエージェントの通信 ............................................ 135

認証 ............................................................................................................... 135 通信コマンド .................................................................................................. 135


12

ロードタイムアウト時間 .................................................................................. 136 SNMPバージョン ............................................................................... 136

SNMPの設定 ................................................................................................................ 137 設定準備 ........................................................................................... 137

SNMPの設定項目 ......................................................................................... 137 SNMP設定時の注意事項 ............................................................................. 137

CLIでの設定 ..................................................................................... 138 SNMPコミュニティーの設定 .......................................................................... 138 SNMPユーザーの設定 ................................................................................. 138 SNMPロードタイムアウト時間の設定 ............................................................ 139 SNMPトラップホストの設定 ........................................................................... 139 SNMPトラップメッセージの設定 .................................................................... 140 システム情報(名前、連絡先、位置)の設定 .................................................... 141 SNMP使用可否の設定 ................................................................................. 142 設定情報の表示 ............................................................................................ 142

第6章ポートバウンダリーの設定 ............................................................ 143 ポートバウンダリーの概要 .......................................................................................... 144

ポートバウンダリー適用範囲の制限 .................................................... 145 ポートバウンダリーID .................................................................................... 145

プロミスクモードとインクルードMACモード ........................................... 146 ポートバウンダリーの設定 .......................................................................................... 147

CLIでの設定 ..................................................................................... 148

第7章負荷分散の設定 ............................................................................ 150 L4負荷分散 ................................................................................................................... 151

概要 .................................................................................................. 151 Ｌ4サーバ負荷分散 ............................................................................ 152

既存ネットワークとサーバ負荷分散を適用したネットワーク .......................... 152 仮想サーバ基盤の負荷分散 ......................................................................... 153 フィルター ...................................................................................................... 153 サーバ負荷分散のNAT モード ..................................................................... 154 アプリケーションの種類 ................................................................................. 158 アドバンストL4サーバ負荷分散 ..................................................................... 158

ファイアウォール負荷分散 .................................................................. 159 ファイアウォールの概要 ................................................................................ 159 ファイアウォール負荷分散の構成 ................................................................. 159 フィルター ...................................................................................................... 160 セッション維持 ............................................................................................... 160 ファイアウォール負荷分散の動作方式 .......................................................... 161

VPN負荷分散 ................................................................................... 162 VPNの概要 ................................................................................................... 162 VPN負荷分散の構成 .................................................................................... 162 セッション維持 ............................................................................................... 163 フィルター ...................................................................................................... 164

アドバンストファイアウォール/VPN負荷分散 ........................................ 164 キャッシュサーバ負荷分散 ................................................................. 165

概要 ............................................................................................................... 165 キャッシュサーバ負荷分散の構成 ................................................................. 165 フィルター ...................................................................................................... 165

ゲートウェイ負荷分散概要 .................................................................. 166 概要 ............................................................................................................... 166

13


動作フロー ..................................................................................................... 167 フィルターとNATのルール ............................................................................. 169

グローバルサーバ負荷分散 ............................................................... 170 概要 ............................................................................................................... 170 用語 ............................................................................................................... 170 動作フロー ..................................................................................................... 171 PAS-KのDNS動作 ........................................................................................ 173 実サーバの選択 ............................................................................................ 175

インバウンド負荷分散 ........................................................................ 176 概要 ............................................................................................................... 176 用語 ............................................................................................................... 176 インバウンド負荷分散の動作過程 ................................................................. 178 サーバ負荷分散との連動 .............................................................................. 179 PAS-KのDNS動作 ........................................................................................ 180 実サーバの選択過程 .................................................................................... 182

L4負荷分散サービスの高可用性機能 ................................................. 183 L4負荷分散サービスの定期管理機能 ................................................. 184

L7負荷分散 ................................................................................................................... 185 概要 .................................................................................................. 185

L7負荷分散の動作 ........................................................................................ 185 バッファリング ................................................................................................ 186 構文解釈 ....................................................................................................... 186 遅延バインディング........................................................................................ 186 コネクションプーリング ................................................................................... 188 実サーバの選択 ............................................................................................ 189 TCPスプライシング ....................................................................................... 189 non-HTTP トラフィックの処理 ....................................................................... 189

L7サーバ負荷分散 ............................................................................ 193 アドバンストL7サーバ負荷分散 ..................................................................... 193

L7キャッシュサーバ負荷分散 ............................................................. 195 フィルター ...................................................................................................... 195 アドバンストL7キャッシュサーバ負荷分散 ..................................................... 195

パターン ............................................................................................ 196 ルール .............................................................................................. 199

URL変更 ....................................................................................................... 201 グループ ........................................................................................... 202

実サーバ ....................................................................................................................... 203 最大セッション機能 ........................................................................................ 203 バックアップ実サーバ .................................................................................... 204 グレースフルシャットダウン機能 .................................................................... 204 サーバのMTU ............................................................................................... 204

負荷分散方式 ................................................................................................................ 205 障害監視（ヘルスチェック） ........................................................................................... 209

概要 .................................................................................................. 209 障害監視方法 ..................................................................................... 211

セッション維持 ............................................................................................................... 219 セッション維持機能の種類 .................................................................. 221

IPのセッション維持 ........................................................................................ 221 HTTPクッキーのセッション維持 ..................................................................... 221 セッションIDのセッション維持......................................................................... 226 SSLセッションIDのセッション維持 ................................................................. 227

アプリケーションアクセラレータ .................................................................................. 228 HTTP圧縮 ........................................................................................ 228


14

キャッシング（Caching） ...................................................................... 230 SSLアクセラレータ（SSL Acceleration） ............................................. 231

バックエンド ................................................................................................... 232 秘密鍵と証明書 ............................................................................................. 233 プロファイル ................................................................................................... 233 SSL SNI（Server Name Indication） ............................................................. 233 SSLプロキシサービス ................................................................................... 233

障害監視の設定 ............................................................................................................ 235 CLIでの設定 ..................................................................................... 235

設定情報の表示 ............................................................................................ 241 Passive障害の監視機能 ............................................................................................. 242

CLIでの設定 ..................................................................................... 242 Passive障害監視の設定 ............................................................................... 242 設定情報の表示 ............................................................................................ 243

実サーバの設定 ........................................................................................................... 244 CLIでの設定 ..................................................................................... 244

NATのルール設定 ........................................................................................ 246 設定情報の表示 ............................................................................................ 247

負荷分散の一定管理 .................................................................................................... 248 CLIでの設定 ..................................................................................... 248

スタティックプロクシミティーフィルター .................................................................... 250 CLIでの設定 ..................................................................................... 250

スタティックプロクシミティーフィルター設定 .................................................. 250 スタティックプロクシミティーフィルターグループ設定 ................................... 251

アプリケーションアクセラレータの設定 ...................................................................... 252 HTTP圧縮の設定 .............................................................................. 252

CLIでの設定 .................................................................................................. 252 キャッシングの設定 ............................................................................ 253

CLIでの設定 .................................................................................................. 253 SSLアクセラレータの設定 .................................................................. 254

CLIでの設定 .................................................................................................. 254 SSLプロキシの設定 ........................................................................... 261

フィルターの設定 ........................................................................................... 262 L4サーバ負荷分散の設定 ........................................................................................... 264

CLIでの設定 ..................................................................................... 264 L4サーバ負荷分散サービスの定義 .............................................................. 264 フィルター設定 ............................................................................................... 268 設定情報の表示 ............................................................................................ 269

アドバンストL4サーバ荷分散の設定 .......................................................................... 270 CLIでの設定 ..................................................................................... 270

アドバンストL4サーバ負荷分散サービスの定義 ........................................... 270 設定情報の表示 ............................................................................................ 272

ファイアウォール・VPN負荷分散の設定 .................................................................... 273 CLIでの設定 ..................................................................................... 273

ファイアウォール/VPN負荷分散サービスの定義 .......................................... 273 フィルター設定 ............................................................................................... 275 設定情報の表示 ............................................................................................ 276

アドバンストファイアウォール/VPN負荷分散の設定................................................. 278 CLIでの設定 ..................................................................................... 278

アドバンストファイアウォール/VPN負荷分散サービスの定義 ....................... 278 フィルター設定 ............................................................................................... 279 設定情報の表示 ............................................................................................ 280

15


L4キャッシュサーバ負荷分散の設定 ......................................................................... 281 CLIでの設定 ..................................................................................... 281

キャッシュサーバ負荷分散サービスの作成 .................................................. 281 フィルター設定 ............................................................................................... 283 設定情報の表示 ............................................................................................ 283

ゲートウェイ負荷分散の設定 ....................................................................................... 284 CLIでの設定 ..................................................................................... 284

ゲートウェイ負荷分散サービスの定義........................................................... 284 フィルター設定 ............................................................................................... 286 ドメインフィルターの設定 ............................................................................... 286 設定情報の表示 ............................................................................................ 287

グローバルサーバ負荷分散の設定 ........................................................................... 288 設定時の注意事項 ............................................................................ 288

ルーターモード .............................................................................................. 288 ブリッジモード ................................................................................................ 288

CLIでの設定 ..................................................................................... 289 グローバルサーバ負荷分散サービスの定義 ................................................ 290 ネームサーバ設定......................................................................................... 291 グループ設定 ................................................................................................ 292 ルール設定 ................................................................................................... 292 レコードの追加 .............................................................................................. 293 グローバルサーバ負荷分散モードの設定 ..................................................... 294 設定情報の表示 ............................................................................................ 295

インバウンド負荷分散の設定 ...................................................................................... 296 設定時の注意事項 ............................................................................ 296 CLIでの設定 ..................................................................................... 297

インバウンド負荷分散サービスの定義 .......................................................... 298 ネームサーバの設定 ..................................................................................... 299 グループの設定............................................................................................. 300 ルールの設定 ................................................................................................ 301 レコードの設定 .............................................................................................. 302 グローバルサーバ負荷分散のモード設定 ..................................................... 303 設定情報の表示 ............................................................................................ 304

L7サーバ負荷分散の設定 ........................................................................................... 305 CLIでの設定 ..................................................................................... 305

パターン定義 ................................................................................................. 305 L7サーバ負荷分散サービスの定義 .............................................................. 306 グループ設定 ................................................................................................ 307 URL変更設定 ................................................................................................ 310 ルール設定 ................................................................................................... 311 設定情報の表示 ............................................................................................ 313

アドバンストL7サーバ負荷分散の設定 ...................................................................... 314 CLIでの設定 ..................................................................................... 314

アドバンストL7サーバ負荷分散サービスの定義 ........................................... 314 グループ設定 ................................................................................................ 316 URL変更設定 ................................................................................................ 318 RTS（Revers To Sender）実サーバ設定 ....................................................... 318 ルール設定 ................................................................................................... 320 設定情報の表示 ............................................................................................ 322

L7キャッシュサーバ負荷分散の設定 ......................................................................... 323 CLIでの設定 ..................................................................................... 323

L7キャッシュサーバ負荷分散サービスの作成 .............................................. 323 グループ設定 ................................................................................................ 324


16

ルール設定 ................................................................................................... 325 URL変更 ....................................................................................................... 325 フィルター設定 ............................................................................................... 325 設定情報の表示 ............................................................................................ 326

アドバンストL7キャッシュサーバ負荷分散の設定 .................................................... 327 CLIでの設定 ..................................................................................... 327

アドバンストL7キャッシュサーバ負荷分散サービスの作成 ........................... 327 グループ設定 ................................................................................................ 328 ルール設定 ................................................................................................... 328 URL変更 ....................................................................................................... 328 フィルター設定 ............................................................................................... 329 設定情報の表示 ............................................................................................ 330

セッションエントリー及び統計情報の表示 .................................................................. 331 セッションエントリーの表示 ................................................................. 331

全てのセッションエントリーの表示 ................................................................. 331 特定のセッションエントリーの表示 ................................................................. 331

統計情報の表示 ................................................................................ 334 CLIでの表示 .................................................................................................. 334

負荷分散サービスリストの表示 ........................................................... 335

第8章フェイルオーバーの設定 ............................................................... 336 VRRPとeVRRP............................................................................................................ 337

VRRPの概要 .................................................................................... 337 eVRRPの概要 .................................................................................. 339 アクティブ－スタンバイフェイルオーバー ............................................ 341 アクティブ－アクティブフェイルオーバー ............................................. 342

注意事項 ....................................................................................................... 343 ステートフルフェイルオーバー ........................................................... 344

ステートフルフェイルオーバーの構成例 ...................................................... 344 ステートフルフェイルオーバー使用時の注意事項 ....................................... 345

フェイルオーバーの設定 ............................................................................................. 346 アクティブ－スタンバイフェイルオーバーの設定 ................................. 346

CLIでの設定 .................................................................................................. 347 アクティブ－アクティブフェイルオーバーの設定 .................................. 352

CLIでの設定 .................................................................................................. 352 ステートフルフェイルオーバーの設定 ................................................ 353

CLIでの設定 .................................................................................................. 353 フェイルオーバー設定情報の表示 ...................................................... 354

CLIでの表示 .................................................................................................. 354

第9章基本セキュリティ機能の設定 ......................................................... 355 基本セキュリティ機能の概要 ....................................................................................... 356

システムアクセスの制御 ................................................................................ 356 ファイアウォール機能 .................................................................................... 357 DoS攻撃の遮断 ............................................................................................ 358

基本セキュリティ機能の設定 ....................................................................................... 359 システムアクセス制御の設定 .............................................................. 359

アクセスルールの設定 .................................................................................. 359 デフォルトアクセスポリシーの設定 ................................................................ 360 システムアクセス制御機能の設定情報の表示 .............................................. 360

ファイアウォール機能の設定 .............................................................. 361 コンテンツの作成 ........................................................................................... 361

17


コンテンツグループの作成 ............................................................................ 362 フィルターの作成 ........................................................................................... 362 フィルターグループの作成 ............................................................................. 364 ポリシーの作成 ............................................................................................. 364 ファイアウォール機能の設定情報の表示 ...................................................... 365

DoS攻撃遮断機能の設定 .................................................................. 365 設定情報の表示 ............................................................................................ 366

第10章 QoSの設定 ................................................................................. 367 QoS機能の理解 ........................................................................................................... 368

概要 .................................................................................................. 368 クラス ................................................................................................ 368 ポリシー ............................................................................................ 369 キュー・スケジューリング（Queue Scheduling） ................................... 369 帯域幅の制限（Rate Limit） ............................................................... 370

QoSの設定 ................................................................................................................... 370 CLIでの設定 ..................................................................................... 370

クラスマップ（Class map）設定 ...................................................................... 370 ポリシーマップ（Policy map）設定 .................................................................. 371 サービスポリシー（Service policy）設定 ........................................................ 372 キュー･スケジューリング（Queue Scheduling）方式の設定 .......................... 373 帯域幅制限の設定 ........................................................................................ 374 設定情報の表示 ............................................................................................ 375

基本用語集 ............................................................................................... 376


18

第1章 PAS-Kの紹介

本章では、PAS-Kで提供する主な機能と特徴について説明します。

製品概要

PIOLINK Application Switch-K 1516/1716/2424/2824/4224/4424/4824 ユーザマニュアル

製品概要紹介

パイオリンクアプリケーションスイッチ-K(PIOLINK Application Switch-K)は、サービスポート番号やパケットのコンテンツのようなトラ

ンスポートレイヤー以上のパケットの情報を分析して、インターネットビジネスアプリケーションのためのネットワークトラフィックソリュー

ションと知能的なレイヤー4~7トラフィックの管理サービスを提供するAP-ADC(Advanced Platform-Application Delivery Controller)です。

PAS-Kのトラフィックソリューションとトラフィック管理サービスは、従来のネットワークが解決しなければならないインターネットを基盤と

する各種アプリケーションサービスの品質問題、性能問題、及びセキュリティ問題を効果的に改善してくれます。下記はPAS-K 4224/4424/4824の前面のイメージを示しています。(各製品モデルのハードウェア構成については、PAS-K 1516/1716/2424/2824/4224/4424/4824 設置マニュアルの第1章製品の紹介を参照してください。)

[図 – PAS-K 4224/4424/4824の前面]

PAS-K前面の主な構成部分と各ポートとLEDに対して簡単に説明します。

[表 - PAS-K 4224/4424/4824の前面構成項目]

項目説明

10ギガポート（Fiber） 10GbpsをサポートするLCコネクタタイプのSFP+モジュールスロット16個

オプションモジュール (ギガポート(Copper/Fiber)

10/100/1000BASE-TをサポートするRJ-45コネクタタイプのイーサネットポー

ト8個 1000BASE-XをサポートするLCコネクタタイプのSFPモジュールスロット8個

コンソールポートコンソールターミナルを接続してシステムを管理できるRJ-45コネクタタイプの

ポート1個

管理用ポートシステム管理に使用されるRJ-45コネクタタイプのイーサネットポート1個

システム状態LED システムの動作状態とハードウェアエラー、電源供給状態などを表示するLED

USBポート PLOSのアップグレード、ログと設定のバックアップができるUSBポート1個

LCDパネルとコントロールボタン

下記の項目を照会及び設定できるLCDパネルとボタン - ホスト名 - CPUとメモリの使用率 - フェイルオーバーの状態

参考: 製品に電源を入れるとホスト名がLCD画面の上段に表示され、ホスト名 PU/メモリ使用率とフェイルオーバー状態が５秒の間隔で出力されます。フェイルー状態はフェイルオーバーを設定した場合のみ出力されます。

- 管理用イーサネットポートのIPアドレス、サブネットマスク、デフォルトゲート

ウェイ、 - システム再起動


20

PAS-Kは下記の構成図のようにアプリケーションサーバの前段に位置し、クライアントからのリクエストを設定ルールに従ってサーバ

に振り分けたり、不正なトラフィックを遮断したりします。

[図 – PAS-Kの一般的な構成図]

PAS-Kは高いスイッチング技術を利用して各種サーバ、ファイアウォール、IPS、UTM、VPNなどのネットワーク機器及びインターネッ

ト接続回線のマルチホーミング機能などを1台で統合的に負荷分散する機能を提供しています。専用アプライアンス装置として、ハー

ドディスクを実装していないスイッチベースのハードウェア構造から高性能及び高信頼性を提供します。

ルーター

PAS-K

アプリケーション

サーバ群

サーバに振り分ける

トラフィック制御

21

第1章 PIOLINK Application Switch-Kの紹介

主要機能 PAS-Kが提供する主な機能は次の通りです。

L7負荷分散サービス OSI参照モデルの第7層であるアプリケーション層での情報を基に負荷分散処理を行う機能です。TCP/IPで説明するとHTTP、FTP、SIP、DNSなどのアプリケーションレイヤにおける情報に基づいて負荷分散を行います。例えば、HTTPヘッダーの詳細内容に基づい

て処理すべきサーバを割当てて、セッションを維持するなどの処理を行います。PASではL7サーバ負荷分散とL7キャッシュサーバ負

荷分散機能を提供します。

L4負荷分散サービス OSI参照モデルの第4層（Layer 4)であるトランスポート層での情報を基に負荷分散処理を行う機能です。TCP/IPで説明するとIPアドレスとTCP、UDPのポート番号を用いて負荷分散を行います。PASのL4負荷分散サービスとしては、サーバ負荷分散、ファイアウ

ォール・VPN負荷分散、キャッシュサーバ負荷分散、ゲートウェイ負荷分散、グローバルサーバ負荷分散、インバウンド負荷分散を提

供しています。

高可用性及び障害監視 PAS-Kは冗長化構成としてアクティブ－アクティブ、アクティブ－スタンバイ、ステートフルフェイルオーバ機能を提供し高可用性(ハイ・アベイラビリティ)と障害監視(ヘルスチェック)機能を提供してアプリケーションシステムの可用性を高めます。

運用管理 PAS-Kは運用管理のためにコマンド基盤のCLI(コマンド・ライン・インタフェース)とグラフィック基盤のWeb Managerを提供します。

特徴 PAS-Kの主な特徴は次の通りです。

様々な負荷分散を同時に実行可能

様々なアプリケーションサーバの負荷分散を同時に実行可能(HTTP、HTTPS、FTP、SMTP、POP3、IMAP、SSLなど)

1台で複数の負荷分散機能を同時に実行可能（例えば、サーバ負荷分散、ファイアウォール・VPN負荷分散、ゲートウェイ負荷分

散を同時に実行可能）

VPN負荷分散時に支店からセンターへの接続だけではなく、センターから支店への接続も可能

様々なセッション維持機能負荷分散サービスにおいて送信元IPアドレス、SSL ID、クッキー、HTTPヘッダーなどを基に同一クライアントからの接続リクエストは

常に同じ実サーバに振り分けるセッション維持機能(パーシステンス)を提供します。

サーバ負荷分散のセッション維持同じクライアントからの接続リクエストは同じサーバに振り分けます。

ファイアウォール負荷分散のセッション維持同じセッションに属するパケットは全て同じファイアウォールで通るようにパケットを振り分けます。

VPN負荷分散のセッション維持支店ネットワークを一つのVPNクライアント群として登録して、セキュリティチャンネルとしてセッション維持機能を提供します。


22

ネットワークの設定変更無しに設置が可能独自に開発したブリッジモード構成技術を用いて、VPN、ファイアウォールのような複雑なネットワークも一つのサブネットとして構成

することができます。

ハードウェアの冗長化

電源の冗長化として電源を2重化しています。

IPv6の対応次世代インターネットプロトコルであるIPv6をサポートし、現行のインターネットプロトコルであるIPv4からIPv6への移行の過程での統

合および共存のために必要なサービスを提供します。

23

第1章 PIOLINK Application Switch-Kの紹介


本章ではCLIに接続する方法とCLIの使用方法について説明します。本章の構成は次の通りです。

CLIの使用方法


CLI の使用方法 PAS-Kを起動した後、CLIからログインする方法と基本的なCLIの使用方法について説明します。本製品の設置方法、接続方法及び

起動方法については、本書の第3章設置作業を参照して下さい。

CLIからのログイン方法 PAS-Kの起動 PAS-Kの起動時のメッセージは、コンソールポートに接続したコンソールウィンドウに表示され、最後にログインプロンプトが表示され

ます。

PLOS バージョンの確認

ハードウエア初期化及び電源テスト

ログインプロンプト次はPAS-Kの起動時に表示されるコンソールウィンドウのメッセージです。

BOOT-K2-V1.0.0-r1003 for K2_SFU (32bit,SP,BE,MIPS) Build Date: 2011. 07. 18. () 15:06:36 KST (kauri@Redmine2) Copyright 2000-2011 PIOLINK, Inc. S/N: R209S1000A03113 MAC: 00-06-c4-71-02-24 Loading: ........ 41943040 bytes read 33319088 bytes Setting up loopback localtime link QC module loading Starting syslogd logfiler started. Switch module Init User defined switch configuration is loaded Starting switch IMISH Starting Cron Starting keepaeud Starting Health check Hardware Monitoring watchdog enable ENABLE switch login:

25


CLIでのログイン PAS-Kが起動されると、コンソールウィンドウに次のログインプロンプトが表示されます。ログインプロンプトにユーザーIDとパスワー

ドを入力し、PAS-Kにログインします。初めてCLIからログインする場合は、ユーザーID「root」でログインします。rootの初期パスワー

ドは、「admin」です。

switch login: root password: *****

rootは管理者権限を持っているので、rootでログインすると装置の設定変更、状態のモニタリングなど全ての操作が可能になります。

従って、rootに関するパスワード管理には注意が必要です。最初にログインしてからデフォルトのログインIDとパスワードは適切に変

更し大事に管理して下さい。PAS-KのログインユーザーIDとパスワードの変更及び管理方法については、第4章システム管理とモ

ニタリング－ユーザー管理を参照して下さい。

CLIでのログアウト PAS-KのCLIからログアウトするためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

quit CLI からログアウトします。


26

CLIの基本的な使用方法 CLIはPAS-Kの設定やモニタリング及び運用管理のために使用するコマンドライン基盤の基本ユーザーインターフェースです。ユー

ザーはコンソールポートに接続したコンソールターミナル、またはネットワークからPAS-Kに接続することができます。

コマンドやキーワードの表示システムプロンプトで「？」を入力すると、現在のコマンドモードで使用可能なコマンドリストと特定コマンドと一緒に使えるキーワード、

またはパラメータリストを確認することができます。コマンドモードでコマンド名、キーワード、パラメータなどを表示するためには「？」を入力します。

# ?

参考: コマンドモードで help コマンドを実行すると「?」を入力したようにコマンド名、キーワード、パラメータなどを表示します。 (config)# help

英文字に続けて「？」を入力すると、入力した英文字から始まるコマンドリストが表示されます。この時、英文字と「？」の間にはスペー

スを入れてはいけません。

(config)# s? 特定コマンドを入力した後、キーワードやパラメータを入力せずにスペースの後に「？」を入力すると、特定コマンドで使用可能なキー

ワードやパラメータが表示されます。この時、英文字と「？」の間にはスペースを入れて下さい。

(config)# snmp ? コマンドとキーワードにおいては、短縮したコマンドを使用することができます。他のコマンド、またはキーワードと区分できる最小限

の文字を入力してTabキーを押します。例えば、「write-memory」コマンドは「wr」を入力した後、Tabキーを押します。

(config)# wr<Tab>

参考: 実サーバ、障害監視、ポート設定などのように同一のIDを重複して使用できる機能の場合、次のように一度に設定及び管理すること

ができます。 (config)# real 1-3,7,10 (config-real[1-3,7,10])#

コマンドの別称機能の設定コマンドの別称機能はPAS-KのCLIで使用するコマンドをユーザーが指定したコマンドに変更する機能です。コマンドが長い場合に短

くしたり、馴染みのあるコマンドにすることができます。

コマンド説明

alias <ALIAS-COMMAND> <ORIGINAL-COMMAND>

コマンドの別称を設定します。

• <ALIAS-COMMAND> 元のコマンドの代わりに使用する別称。最大 256 字まで設定可能。ス

ペースを含む場合、「“ ”（引用符）」を使用する。

• <ORIGINAL-COMMAND> 別称を適用する元のコマンド。スペースを含む場合、「“ ”（引用符）」を

使用する。例えば show clock コマンドに別称を設定する場合、 “show clock” と入力する。

27


設定情報の表示コマンドの別称機能の設定情報を表示するためには、＜管理者モード＞または＜設定モード＞で show alias [<ALIAS>] コマン

ドを用います。

コマンドラインでの編集機能 PAS-KのCLIはコマンドラインでの編集機能としてショートカットキー機能とヒストリバッファ機能を提供します。PAS-Kで使用可能なシ

ョートカットキーは下記の表を参照して下さい。ヒストリバッファ機能としては最近実行したコマンドを50個まで保存することができます。

ヒストリバッファに保存されたコマンドはショートカットキーを利用して編集及び実行することができます。

[表 - キーボードのショートカットキー]

ショートカットキー機能

Ctrl+A コマンドラインの最初にカーソルを移動

Ctrl+B、左矢印(←) 左側に1文字カーソルを移動

Ctrl+C 実行中のコマンドを中断し、プロンプトを表示

Ctrl+D カーソル位置にある１文字を削除

Ctrl+E コマンドラインの最後にカーソルを移動

Ctrl+F、右矢印(→) 右側に1文字カーソルを移動

Ctrl+K カーソル位置からコマンドラインの最後まで削除

Ctrl+N、下矢印(↓) ヒストリバッファに保存された次のコマンドラインに移動

Ctrl+P、上矢印(↑) ヒストリバッファに保存された一つ前のコマンドラインに移動

Ctrl+U コマンドラインの最初からカーソル位置の直前まで削除

Ctrl+W カーソルの直前の単語を削除


28

コマンド実行モード PAS-KのCLIは、ログインユーザーとコマンド実行モードによって区分され、実行できるコマンドが制限されます。ログインユーザーは、

一般ユーザーと管理者に区分され、コマンド実行モードは、一般ユーザーモード、管理者モード、設定モードに区分されます。コマンド

実行モードで「？」を入力すると、使用可能なコマンドリストを確認することができます。ログインユーザーが管理者の場合、ユーザーIDとパスワードを入力してCLIにログインした時には、コマンド実行モードは入る基本コ

マンドモードは管理者モードです。基本的に全ての設定情報の参照と各種コマンドを実行できます。設定モードはPAS-Kの各種設定

を行うことができるモードとして、管理者としてログインしてから設定モードに入ることができます。一般ユーザーとしてログインした場

合はユーザーモードとして設定情報などを参照することはできますが、設定変更はできません。コマンド実行モードについて下記表にまとめます。

[表 - コマンド実行モード]

コマンド実行モードログインユーザープロンプトモードの終了

管理者モード（Privileged mode）

管理者（root）でログイン # logout コマンド

設定モード

（Configuration mode）

管理者（root）でログイン管理者モードで configure コマンドを入力し設定モードに入る

(config)# exit や end コマンド

参考：該当コマンドの詳細説明は、本書と共に提供されるPAS-K 1516/1716/2424/2824/4224/4424/4824 コマンドリファレンスガイドを参

照して下さい。コマンドリファレンスガイドは英語マニュアルであるため、コマンドモードの区分が、「User mode、Privileged mode、Configuration mode」のように英語で表記されます。このコマンドモードは本書ではそれぞれ「ユーザーモード、管理者モード、設定モード」として表記

していますのでご注意下さい。

29



本章ではPAS-Kの基本的なネットワーク設定について説明します。本章の構成は次の通りです。

ポートの設定

VLANの設定

MACエージングタイムの設定

IPアドレス・ルーティングの設定

DHCPの設定

Proxy ARPの設定

ARPロックタイムの設定

ARPフィルターの設定

チェックサムの設定

保存MACレスポンスの設定

スタティックARPの設定

DNSの設定

リンクシンクの設定

NATの設定

ポートミラーリングの設定

リンクアグリゲーション（Link Aggregation）の設定

ポートフェイルオーバー(Failover)の設定

STP/RSTP/PVSTP/MSTPの設定

NAT64/DNS64の設定

ネットワーク接続の確認


ポートの設定 PAS-Kのポートに接続されている相手装置とデータを正常に送受信するために、次のような設定項目があります。

速度 PAS-K のポートの通信速度を設定します。

通信モード（デュプレックスモード）データ送受信方式を設定します。設定方式には相手が送ったデータの受信中には送信ができない半二重モードと、両方で同時

にデータを送っても通信ができる全二重モードがあります。

MDI/MDI-X MDI(Medium Dependent Interface)と MDIX(Medium Dependent Interface with Crossover)はイーサネットポートに対する

コネクターの極性です。極性が相手装置と同一に設定(MDI-MDI、MDIX-MDIX)されている場合にはクロスケーブルを、お互いに

異なるよう設定されている場合(MDI-MDIX、MDIX-MDI)にはストレートケーブルを使用します。

フロー制御フロー制御は二つの装置間にパケットを送受信する時、各装置のポートの限度を超すパケットを受信してパケットの紛失が起き

ないように受信するパケットの流れを調整する機能です。PAS-K は受信限度を超すパケットを送る装置に調整パケット(pause packet)を送り、送信側と受信側のポート間の処理速度差で発生し得るパケット損失(packet loss)を防ぎます。

フラッドレート(Flood Rate) フラッドレートは多量のブロードキャストパケット、マルチキャストパケット、DLF(Destination Lookup Fail)パケットがネットワーク

上に送信されネットワーク速度が遅くなるかネットワーク接続が切れる現状を防止する機能です。フラッドレート機能を設定すると、

PAS-K はユーザーが設定した閾値を超過するブロードキャストパケット、マルチキャストパケット、DLF パケットを廃棄してネット

ワークの可用性を高めます。

ポート動作状態 PAS-K の各イーサネットポートのイネーブル/ディスエーブルを設定します。イネーブルに設定したポートは動作するようになり、

ディスエーブルに設定したポートは動作しません。

31


CLIでの設定 CLIコマンドでのポートの設定方法です。

ポート速度と通信モード設定ポートの速度は＜設定モード＞で次のコマンドを用いて設定します。

コマンド説明

port <NAME> speed {10 | 100 | 1000 | 10000}

ポートの速度を設定します。 • <NAME> 連続しない複数のポート番号を設定する場合には「,（コンマ）」を使用し、連続する複

数のポート番号を設定する場合には各ポートに「-（ハイフン）」を使用してポートを区

分する • 10 ： 10Mbps の通信速度に設定する • 100 ： 100 Mbps の通信速度に設定する • 1000 ： 1000 Mbps の通信速度に設定する • 10000 ： 10000 Mbps の通信速度に設定する

ポートの通信モードは＜設定モード＞で次のコマンドを用いて設定します。

コマンド説明

port <NAME> duplex {half | full} ポートの通信モードを設定します。 • half ：半二重モードに設定する • full ：全二重モードに設定する

参考：通信モードはギガポート(Copper)にのみ設定することができます。

MDI/MDI-Xの設定ポートのMDI/MDI-Xは＜設定モード＞で次のコマンドを用いて設定します。

コマンド説明

port <NAME> mdi-mdix {mdi | mdix | auto}

ポートの MDI/MDI-X を設定します。 • mdi ： MDI に設定する • mdix ： MDI-X に設定する • auto ：自動判別に設定する（デフォルト）

オートネゴシエーションの設定オートネゴシエーション（Auto Negotiation）機能が設定されたポートは相手ポートの速度を認識し、二つのポートが最適の共

有速度を使用するように自動で速度を設定します。オートネゴシエーション機能は＜設定モード＞で次のコマンドを使用します。

コマンド説明

port <NAME> auto-nego {enable | disable} オートネゴシエーションの使用可否を設定します。 • enable : 使用する • disable : 使用しない（デフォルト）

参考：オートネゴシエーション機能をイネーブルするとポート速度と通信モードを設定することができません。


32

フロー制御設定ポートのフロー制御は＜設定モード＞で次のコマンドを用いて設定します。

コマンド説明

port <NAME> flow-ctrl {on | off} ポートのフロー制御を設定します。 • on ：フロー制御オンに設定する • off ：フロー制御オフに設定する（デフォルト）

フラッドレート設定フラッドレート機能は＜設定モード＞で次のコマンドを用いて設定します。

コマンド説明

port <NAME> flood-rate {broadcast <BROADCAST> | multicast <MULTICAST> | dlf <DLF>}

フラッドレートをイネーブルし、閾値を設定します。 • broadcast <BROADCAST>

設定範囲： 1～1,000,000(pps) • multicast <MULTICAST>

設定範囲： 1～1,000,000(pps) • dlf <DLF>

設定範囲： 1～1,000,000(pps)

ポート動作状態の設定ポートの動作状態は＜設定モード＞で次のコマンドを用いて設定します。

コマンド説明

port <NAME> status {enable | disable} ポートの動作状態を設定します。 • enable ：ポートをイネーブルにする（デフォルト） • disable ：ポートをディスエーブルにする

注意：ポートをディスエーブルにすると現在のポートを通じて形成された全ての接続が切れるので、ポートをディスエーブルにする時には注

意が必要です。

SPFモードの設定 PAS-KのFiberポートにCopper SFPモジュールを装着して使用する場合、＜設定モード＞で次のコマンドを用いてSFPモードをイネ

ーブルします。

コマンド説明

port <NAME> sfp-mode {enable | disable} ポートの SFP モードを設定します。 • enable ： SFPモードをイネーブルにする • disable ： SFPモードをディスエーブルにする（デフォルト）

33


ポート状態の表示状態情報の表示 PAS-Kにあるイーサネットポートの現在の状態を確認するためには、＜管理者モード＞または＜設定モード＞で show port コマン

ドを用います。特定のポートの設定情報を確認するためには、show port コマンドの後ろに該当ポート名(<NAME>)を入力します。

統計情報の表示 PAS-Kにあるイーサネットポートの統計情報を確認するためには、＜管理者モード＞または＜設定モード＞で show port-statistics コマンドを用います。

参考：ポー統計情報は累積された情報が出力されます。＜管理者モード＞または＜設定モード＞で no port-statistics コマンドを使用し

ます。


照して下さい。


34

VLAN の設定この節ではVLAN（Virtual LAN）の基本的な概念と複数のスイッチでVLANを共有できる802.1Q tagged VLANについて紹介し、VLANを設定する方法について説明します。

VLANの概要 VLANはホストを物理的な位置に関係なくポートやMACアドレス、IPアドレスまたはプロトコルなどの基準で分類したグループです。VLANは一つのブロードキャストドメインで、物理的なLANと同一の属性を持ち、一つのLANを複数のブロードキャストドメインに分ける

ことができます。ブロードキャストドメインとは同じネットワーク上に存在するホストグループを意味します。 VLANに接続された全てのノードは物理的に同じスイッチに接続されている必要や、同じ地域にある必要はありません。同じVLANで

構成されたホストはまるで同じブリッジやスイッチに接続されているかのように見えますが、実際には異なるビルにある異なるスイッチ

に接続されていながらも同じVLANに構成される場合もあります。下の図は建物に位置する一つのLANをポート別に分けて3個のVLANに構成した例です。図でスイッチの1番ポートに接続したホスト

グループはVLAN A、2番ポートに接続したホストのグループはVLAN B、3番ポートに接続したホストのグループはVLAN Cで構成

されています。

[図 – VLAN構成の例]

VLANを使用すると、ブロードキャストドメインをそれぞれの論理的なグループに制限して、全体的なブロードキャストトラフィックを減ら

し、有効なネットワーク帯域幅を増加させます。それだけではなく、VLANに属する資源(ホスト及びネットワーク装置)は物理的に同じ

場所に位置する必要がないので、資源の管理が容易になります。

VLAN ID PAS-Kには4096個のVLANを作成することができます。PAS-KはVLAN IDとして0～4095の値を設定することができますが、特定IDは既にシステムで使用するIDなので、ユーザーが設定することはできません。次の表はPAS-Kで使用可能なVLAN IDの範囲を説明

します。

[表 – VLAN範囲]

VLAN ID 説明

0, 4081 ~ 4095 システムが使うID。ユーザーはこのIDを用いてVLANを作成することはできません。

1 デフォルトVLANのID。このIDを持つVLANは削除することができません。

2 ~ 4080 一般VLANで使用可能なID。ユーザーは2 ~ 4,080範囲のIDを持つVLANを作成/修正/削除が可能です。

VLAN C

VLAN B VLAN A LAN

35


デフォルトVLAN PAS-KではL2スイッチ機能によって未設定状態でも、装置の起動後直ちにパケットのL2中継が行えます。全てのポートはデフォルト

VLANに属します。デフォルトVLANの名前は「default」で、IDは「1」、ポートは「untagged port」で全てのポートを使用します。PAS-Kで提供するVLANは重複(overlapped)VLANなので、一つのポートを複数のVLANに含めることができます。

注意：デフォルトVLANではルーティングや負荷分散サービスの適用ができません。デフォルトVLANは特別な場合を除き負荷分散サービス

には使用しないで下さい。

IEEE 802.1Q Tagged VLAN IEEE 802.1Qはブリッジを通じて送信されるフレームがどのVLANグループなのかを識別するために、MACヘッダーにタグを使用し

ます。タグは送信されたフレームがどのVLANから送信されたのかを識別するのに使われます。タグはイーサネットフレームに挿入さ

れ、タグのついたフレームにはタグフィールド内にVLAN IDの識別に使われる12ビットのVIDが含まれます。タグに含まれるVIDによ

ってPAS-Kはポート間にフレームを送ります。同一のVIDを持つポートはお互いに通信ができます。 IEEE 802.1Q taggedではVLAN間の通信時に次のようなingress、egressプロセスを使用します。

Ingress プロセス IEEE 802.1Qポートはtaggedやuntaggedフレームを送ることができます。Ingressポートは受信されたフレームにタグが含まれてい

るかを識別して、受信されたフレームをタグに含まれたVIDによって分類します。ポートにtaggedフレームが送信された場合、タグに

含まれるVIDでどのVLAN IDかを識別した後、taggedフレームをegressポートにすぐに伝逹します。Untaggedフレームが受信され

た場合、ポートは自分のPVIDをuntaggedフレームに挿入します。 PVIDはそれぞれの物理ポートに割り当てられるデフォルトVIDです。このPVIDはポートに送信されたuntaggedフレームやVIDがnullであるフレームに割り当てられます。

Egress プロセス Egress過程は外部に送信するフレームをtaggedフレームに送るかuntaggedフレームに送るかを決めます。PAS-Kと接続されたネッ

トワーク装置の中には、taggedフレームだけが受信可能な装置やさらにはtaggedフレームをuntaggedフレームで要請する装置もあ

り得ます。このような場合、VLAN作成時にネットワーク装置を接続するポートをネットワーク装置の仕様に合わせてtagged portとuntaggedポートを設定します。Tagged portの場合はフレームにタグをつけて、untagged portの場合はフレームにタグをつけません。

VLANトランスペアレント VLANトランスペアレントは受信されたパケットについてルーティングを実行せず、元のパケットの送信MACアドレスと宛先MACアドレ

スをそのまま維持して転送する機能です。VLANトランスペアレント機能をイネーブルにすれば、PAS-Kは宛先IPアドレスがルーティ

ングテーブルに存在しないパケットが該当VLANインターフェースに転送される場合、元のパケットの送信元MACアドレスと宛先MACアドレスをそのままに使用することによって、正常にパケットを宛先に送信することができます。VLANトランスペアレント機能はVLANを作成する時にVLANインターフェースごとにイネーブル、またはディスエーブルに設定することができます。


36

CLIでの設定 CLIでVLANを設定する方法は以下の通りです。

VLANの作成及びポートの追加 VLANを作成し、ポートをVLANに追加するためには、＜設定モード＞で次の過程を実行します。順番コマンド説明

1 vlan <NAME> <VID>

VLANを作成します。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」を使って最大 10 文字まで

設定可能。ただし、最初の文字は必ず英文字使用すること。eth0, inboundは設定できない。

• <VID> VLAN を職別する ID (1 ~ 4080)

2 vlan <NAME> port <NAME> {tagged | untagged}

VLANに含ませるポートを設定します。ポートに接続された装置がIEEE 802.1Qをサポートする場合には tagged オプションを追加します。 • <NAME> 複数のポートを設定する場合には「,（コンマ）」を使ってポートを区分し、連続さ

れたポートを設定する時には「-（ハイフン）」を使用 • tagged : tagged ポートに設定 • untagged : untagged ポートに設定

参考： VLANに追加したポートを削除するためには、＜設定モード＞で次のコマンドを用います。 (config)# no vlan <NAME> port <NAME>

参考： PAS-Kに定義されている全てのVLANを削除するためには、＜設定モード＞で次のコマンドを用います。 (config)# no vlan <NAME>

注意： VLANを削除する場合、削除したVLAN名をPVIDに設定したポートのPVIDはdefaultに変更されます。

設定情報の表示 PAS-Kに設定されたVLANの情報を確認するためには、＜管理者モード＞または＜設定モード＞で show vlan コマンドを用いま

す。特定のVLANの設定情報を確認するためには、 show vlan コマンドの後ろにVLAN名(<NAME>)を入力します。

参考：該当コマンドの詳細説明は、本書と共に提供されるPAS-K 1516/1716/2424/2824/4224/4424/4824 コマンドリファレンスガイドを参照

して下さい。

参考： Taggedフレームに含まれるタグフィールドには、VLANのIDやパケットの優先順位を決める標準的な802.1p値が入ります。タグ

フィールドは宛先が属するVLANにだけフレームをブロードキャストできるようにし帯域幅の浪費を減らし、保安性を向上させます。そして、ス

イッチ間にVLANを共有できるようにして、しLANの範囲を広めることができます。

注意： 802.1Qをサポートしていない機器や、NIC等と連結しているポートは必ずuntaggedポートに指定しなければなりません。802.1Qをサポートしていない機器でタグフィールドが含まれるフレームを転送すると、フレームを正しく認識できなかったりサイズエラ

ー(oversize packet)が発生したパケットと認識され破棄されます。

VLANマルチキャストブリッジの設定 IEEE 802.1Q拡張ブリッジングはVLAN間のマルチキャスティングフレーム送信をサポートします。VLAN間にマルチキャストフレー

ム送信をサポートするかどうかを設定するためには、＜設定モード＞で次の過程を実行します。

順番コマンド説明

37


1 multicast-bridge ＜マルチキャストブリッジ設定モード＞に入ります。

2 status {enable | disable} マルチキャストブリッジ機能の使用可否を設定します。 • enable ：使用する • disable ：使用しない

3 interface <NAME> (必須設定)

マルチキャストブリッジ機能を適用するVLANインターフェースを設定します。

• <NAME> 追加する VLAN インターフェース名。複数の VLAN インターフェースを追加

する場合には、空白なしに「,（コンマ）」で各インターフェースを区分するよう

にします。

参考：マルチキャストブリッジ機能を使用するためには必ず2つの VLANインターフェースを設定しなければいけません。

4 ip <IP> (必須設定)

マルチキャストブリッジVLANインターフェースに適用IPアドレスを設定しま

す。 • <IP>

IP アドレス、１つの IP アドレスのみ設定可能

5 current マルチキャストブリッジ機能の設定情報を確認します。

6 apply 設定情報を保存し、システムに適用します。

参考: 設定したインターフェースを削除するには<マルチキャストブリッジ設定モード>で no interface <NAME> コマンドを使用します。

(config-multicast-bridge)# no interface <INTERFACE> (config-multicast-bridge)# no ip

参考: 設定したIPアドレスを削除するためには、<マルチキャストブリッジ設定モード>で no ip コマンドを使用します。

参考: マルチキャストブリッジ機能はPAS-K 4224/4424/4824でのみサポートします。

設定情報の表示マルチキャストブリッジ機能の設定情報と状態を確認するためには、＜設定モード＞で show multicast-bridge コマンドを使用しま

す。


して下さい。


38

MAC エージングタイム設定 MACエージングタイムはPAS-KがMACアドレスをラーニングしてMACテーブルに保存した後に削除するまでの時間です。ユーザー

が設定したエージングタイムが経過するまで使用されなかった場合には自動で削除されます。MACエージングタイムを設定するため

には、＜設定モード＞で次のコマンドを使用します。

コマンド説明

mac ageing-time < AGEING-TIME>>

MACエージングタイムを設定します。「0」に設定するとラーニングしたMACアドレスを削除

しません。 • <AGEING-TIME> 設定範囲： 0 ~ 1,000,000（秒）（デフォルト： 300 秒）

参考: エージングタイムをデフォルトの300秒に初期化するためには、＜設定モード＞で no mac ageing-time コマンドを使用します。

MACアドレステーブル表示

MACアドレステーブル情報を確認するためには、＜管理者モード＞と＜設定モード＞で show mac コマンドを使用します。ポート

別のMACアドレステーブル情報を確認するためには、show mac [port [<NAME>] コマンドを使用します。

参考：該当コマンドを用いる際に表示される画面と設定情報に関する詳細説明は本書と共に提供されるPAS-K 1516/1716/2424/2824/4224/4424/4824 コマンドレファレンスを参照して下さい。

39


IP アドレス・ルーティングの設定 PAS-Kが他のネットワーク装置と通信するためにはIPアドレス及びルーティング情報が必要です。IPアドレスはIPv4とIPv6の2つに分

け、PAS-KはIPv4とIPv6をすべてサポートします。本節では、IPアドレス及びルーティング情報の設定について説明します。

IPv4アドレス IPv4(Internet Protocol version 4)は 32 ビットからなるアドレスで、3 桁数の 10 進数が 4 オクテット(Octet)から構成されます。特定

IP アドレスは特殊な用途のために予約されています。このような IP アドレスはホスト、サブネット、またはネットワークアドレスとして

使うことができません。次の表はクラス別に予約されているもの、使用可能な IP アドレスの範囲リストを示しています。

[表 - 予約/使用可能なIPアドレス]

クラスアドレス状態

A 0.0.0.0 1.0.0.0 ～ 126.255.0.0 127.0.0.0

予約使用可能予約

B 128.0.0.0 ～ 191.254.0.0 191.255.0.0

使用可能予約

C 192.0.0.0 192.0.1.0 ～ 223.255.254 223.255.255.0

予約使用可能予約

D 224.0.0.0 ～ 239.255.255.255 マルチキャストグループアドレス

E 240.0.0.0 ～ 255.255.255.254 255.255.255.255

予約ブロードキャスト

IPv6アドレス

現在インターネットユーザーが増加し、インターネットを通じて様々なサービスを利用することによって、インターネット通信に必要なIPアドレスの枯渇が問題になっています。IPv6(Internet Protocol version 6)はこのようなIPアドレスの不足問題を解決し、より安定的

で向上された技術を提供するために作られた次世代インターネットプロトコルです。 IPv6ではアドレス空間が大幅に増加しています。IPv6のIPアドレス帯域はIPv4の32ビットから128ビットに拡大し、事実上無限の数

のIPアドレスを使用することが可能になります。これに伴い、ホームネットワークや自動車などでIPを用いて通信するなど全ての情報

機器にIPアドレスを割り当てることができます。これにより更なるネットワークサービスを期待しています。全ての情報機器がIPアドレスを持つことができれば、NAT(Network Address Translation)の使用が減少し、ネットワーク機器間で

のパケット送受信時にアドレスを変換することによる負荷を減らすことができます。また、IPv6ではヘッダーフォーマットがIPv4よりシ

ンプルなのでパケット処理速度が速くなり、効率的にルーティング処理を行うことができます。その他、認証とプライバシーのサポート、IPアドレスの自動設定(Auto-configuration)機能を採用し、サービス品質を向上することに

よりインターネット関連機能を強化しました。


40

IPv6アドレスは次の3種類があります。

[表 – IPv6アドレスの種類]

種類説明

ユニキャストアドレス

単一ホスト間のパケット送信 • グローバルユニキャストアドレス(Global unicast address) ：外部の IPv6 ネットワークと通信するた

めに使用 • ローカルユニキャストアドレス(Local unicast address)

－リンクローカルアドレス(Link-local address) ：隣接した2つのノード間に情報を交換するための目

的で使用（リンクローカルアドレスとしては fe80::/10 から febf::/10 まで使用可能）

－サイトローカル：同一サイト（ローカルネットワーク）で通信するための目的で使用（サイトローカルアドレスとしては fec0::/10 から feff::/10 まで使用可能）

エニキャストアドレス単一ホストから隣接した複数のホストにパケット送信

マルチキャストアドレス単一ホストから多重ホストにパケット送信

参考：リンクローカルアドレスは周辺ルーターまたはインターフェースと通信し、IPアドレスを割り当てるために必要なIPアドレスとして、インタ

ーフェースをイネーブルにすれば自動的に生成されます。リンクローカルアドレスは追加・修正・削除することができません。

IPv6アドレスの表示 128ビットのIPv6アドレスは16進数で表記された数値を16ビット単位で、「:（コロン）」で区切って表記します。下記はIPv6アドレスを表

記した例です。

2001:0320:0000:010a:3afe:0000:3afe:0001 IPv6アドレスは次のような方法を使って簡単に表記することができます。 (1) 先行する「0」の省略

各16ビットのセクション内で「0」で始まる場合、当該先行する「0」を省略することができます。 (2) 連続する「0」の省略

「0」が連続するところは：：を使って省略することができます。ただし、連続された「0」の省略は1つのアドレスで1箇所だけできま

す。次はIPv6アドレスを省略して表記する場合の例です。

2001:0DB8:0000:0000:0008:0800:200C:417A

先行する「0」の省略

2001:DB8:0:0:8:800:200C:417A

連続する「0」の省略

2001:DB8::8:800:200C:417A

[表 – IPv6アドレスの省略された表記]

IPv6アドレスの種類省略前の表記省略後の表記

ユニキャストアドレス 2001:0:0:0:0DB8:800:200C:417A 2001::0DB8:800:200C:417A

マルチキャストアドレス FF01:0:0:0:0:0:0:101 FF01::101

ループバックアドレス 0:0:0:0:0:0:0:1 ::1

未指定アドレス 0:0:0:0:0:0:0:0 ::

41


プレフィックスの表記 IPv6アドレスのプレフィックスは、IPv6アドレスで連続するビット数を示します。IPv6アドレスのプレフィックスは、IPv4のCIDR(Classless Inter Domain Routing)のような方法を使って表記され、IPv6-address/prefix-lengthの形式で表現されます。「IPv6-address」は上述した何れかの表現のIPv6アドレスであり、「prefix-length」はアドレスの左端の連続した何ビットがプレフィックスであるかを10進数で示したものです。例えば、2001:0DB8:8086:6502::/32はアドレスの最初の32ビットの2001:0DB8部分がアドレスのプレフィック

スです。ルーティング情報を設定する場合に、IPv4ではネットマスクビット数を使ってIP帯域を割り当てますが、IPv6ではネットマスクビット数

の代わりにプレフィックスを使ってIP帯域を割り当てます。

IPv6ルーティング情報の設定ルーティング情報もIPアドレスを設定する場合と同じく簡単に表示することができます。次はIPv6アドレス2001:0DB8:0000:0000:0008:0800:200C:417A に対してデフォルトゲートウェイ、特定ゲートウェイ、そしてスタティックルーティングを設定した場合の例です。

デフォルトゲートウェイの設定: ipv6 route default gateway 2001:DB8::8:800:200C:417A -> 先行する0と連続する0を省略

特定ゲートウェイの設定: ipv6 route 2001:DB8::/32 gateway 3ffe:DB8::8:800:200C:417A -> 先行する0と連続する0を省略

スタティックルーティングの設定: ipv6 route 2001:DB8::/32 interface vlan1 -> 先行する0と連続する0を省略

参考： IPv6プレフィックスに関する詳細情報はRFC2373を参照して下さい。

近隣探索の設定近隣探索(ネイバーディスカバリー：Neighbor Discovery)は、IPv4のARPのようにネットワーク上でIPv6アドレスと物理的なアドレス

(MACアドレス)を対応させるために使われるプロトコルで、NS(Neighbor Solicitation)とNA(Neighbor Advertisement)というICMPv6メッセージを送信して近接するノード(ホストやルーター)の状態を確認し管理する役割を果たします。ICMPv6メッセージの中でNS(Neighbor Solicitation)とNA(Neighbor Advertisement)メッセージは既存のIPv4のARP(Address Resolution Protocol)と同様の機

能を提供します。NSメッセージは同一ネットワーク内でお互いに通信するためにあるノードがIPv6アドレスを持つ特定ノードのMACア

ドレスを要請する際に送信します。このメッセージを受信した該当ノードは自分のMACアドレスを含むNA応答メッセージを送信します。ホストは、近隣探索を利用して近接したルーターを検索します。ルーターは近接した他のルーターがあるかどうか、または特定宛先

への最適なルーティング情報を検索しネクストホップIPアドレスをホストに知らせます。近隣探索を用いて取得した近接ノードの情報((IPv6アドレスとMACアドレス)はネイバーテーブルに保存して管理します。ネイバーテ

ーブルはIPv6アドレスに当るMACアドレスを探索したときに、自動的に登録されますがネットワーク管理者が手動で登録することもで

きます。


42

RPF設定 RPF(Reverse Path Forwarding)はスプーフィング(Spoofing)攻撃のように送信元IPアドレスを操作するパケットを効果的に遮断で

きるパケットフィルタリング機能です。RPF機能を使用するとPAS-Kのインターフェースを通じて受信されるパケット情報をルーティン

グテーブルと比較します。該当パケットの送信元IPアドレスがルーティングテーブルと一致する場合には正常なパケットとみなし通過

させ、一致しない場合にはスヌーピング攻撃とみなし破棄します。RPFは動作方式によってStrictモードとLooseモードに分けられます。

Strictモード

パケットの送信元IPアドレスと該当パケットが受信されたインターフェースをルーティングテーブルと比較します。

Looseモード

パケットの送信元IPアドレスをルーティングテーブルと比較します。

StrictモードはIPアドレスとインターフェースを全て比較するため、Looseモードに比べてフィルタリング水準を強化できます。ただし、

PAS-Kに2つ以上のISP(Internet Service Provider)と連結している場合、正常なパケットが正常でないパケットとみなされることが

あるためこのような構成ではLooseモードを使用する必要があります。

参考： RPFに関する詳しい内容は、RFC 3704をご参照ください。

ルーティングの設定 PAS-Kの基本的なネットワーク通信のためには下記のようにデフォルトゲートウェイを設定し、特定ネットワークへのルーティング経

路を設定しなければいけない場合にはスタティックルーティングを設定します。またリンクの負荷を分散するECMP(Equal-Cost Multipath Protocol)機能をサポートして多重経路にパケットをルーティングすることができます。

• デフォルトゲートウェイデフォルトゲートウェイとは、同一ネットワークに存在しないネットワーク装置にアクセスする時、通路の役割をする装置をいいます。PAS-

K がルーティングテーブルに存在しないネットワーク帯域にフレームを送るためには、デフォルトゲートウェイを設定します。

• スタティックルーティング

スタティックルーティングはユーザーが定義する経路で、送信元と宛先の間でパケットを移動するのに経由する特定(設定した)経路です。スタティックルーティングは PAS-K を特定宛先ホストまたはネットワークのための経路に設定する時に必要です。スタテ

ィックルーティングは宛先 IP アドレス及びネットワークアドレス、サブネットマスク、ゲートウェイ IP アドレスから構成されます。

43


CLIでの設定インターフェースのIPアドレスの設定＜設定モード＞で次のコマンドを実行し、特定インターフェースにIPアドレス、サブネットマスク、ブロードキャストアドレスなどを設定し

ます。

コマンド説明

interface <NAME> {ip <ADDRESS> | ip6 <ADDRESS>} [{broadcast <BROADCAST> | overlapped on}]

VLAN インターフェースに IP アドレスを設定します。 • <NAME>

IP アドレスを設定する VLAN インターフェースの名前 (mgmt ：管理用ポートのインターフェース) • ip <ADDRESS> 設定する IPv4 アドレスの帯域 • ip6 <ADDRESS> 設定する IPv6 アドレスの帯域 • <BROADCAST> ブロードキャストアドレス • overlapped on 重複 IP アドレス設定許可。該当 IP アドレスを NAT IP アドレスまたは仮想 IP アドレ

ス（VIP）に使用可能。

参考：各VLANインターフェースはお互いに異なるネットワーク帯域のIPアドレスを割当します。IPアドレスを設定する際、他のVLANインター

フェースと同一なネットワーク帯域のIPアドレスを設定すると、エラーメッセージが出力されます。

参考：ネットワークインターフェースにIPアドレスを割り当てる時、PAS-Kは自動でIPアドレスに対するARPを送ります。ARPは全てのネット

ワークノードにARPマッピングに対して通知します。PAS-KはARPリクエストに対してそれぞれ一つのARPリクエストパケットとARPリプライパ

ケットを送ります。

参考：設定したインターフェースのIPアドレスを削除するためには、＜設定モード＞で、次のコマンドを使用します。 (config)# no interface <NAME> {ip <ADDRESS> | ip6 <ADDRESS>} [{broadcast <BROADCAST> | overlapped}]]

参考：管理用ポートのインターフェースにはデフォルトで192.168.100.1/24のIPv4アドレスが設定されています。

インターフェースのMTUの設定＜設定モード＞で次のコマンドを実行し、特定インターフェースのMTUを設定します。

コマンド説明

interface <NAME> mtu <MTU> インターフェースの MTU を設定します。 • <MTU> 設定範囲： 68 ~ 1,500（秒）（デフォルト： 1,500 秒）

参考：設定したインターフェースのMTUをデフォルトに戻すためには、＜設定モード＞で次のコマンドを使用します。 (config)# no interface <NAME> mtu

インターフェースのアップ・ダウン VLANを作成すれば、該当VLANインターフェースの状態は基本的にアップ状態になります。インターフェースがダウンになれば、イン

ターフェースを通じて通信が行われません。システムにデフォルトで定義されている管理用ポート(mgmt)の状態もアップ・ダウンする

ことができます。＜設定モード＞で次のコマンドを実行し、VLANインターフェースのアップ・ダウンを設定します。


44

コマンド説明

interface {mgmt | <NAME>} status {up | down} VLAN インターフェースをアップするためには up を、ダウンするためには down を

設定します。管理用ポートのアップ・ダウンを設定するためには、mgmt オプションを用います。

デフォルトゲートウェイの追加デフォルトゲートウェイを追加するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

route default-gateway <GATEWAY>

IPv4 デフォルトゲートウェイを追加します。

参考： ECMP機能をサポートするために最大16個のIPアドレスを設定する

ことができます。複数のデフォルトゲートウェイを追加する場合には、空白な

しに「,（コンマ）」で各IPアドレスを区分するようにします。

route6 default-gateway <GATEWAY> IPv6 デフォルトゲートウェイを追加します。

注意：デフォルトゲートウェイを追加するためには、PAS-KのVLANインターフェースに追加しようとするデフォルトゲートウェイと同じネットワ

ーク帯域のIPアドレスを設定しなければなりません。そうしなければ、デフォルトゲートウェイを追加することができません。

参考： IPルーティングテーブルからデフォルトゲートウェイを削除するためには、＜設定モード＞で、次のコマンドを使用します。 (config)# no {route | route6} default-gateway <GATEWAY>コマンドを使用します。

スタティックルーティングの追加スタティックルーティングを設定するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

route network <DEST> gateway <GATEWAY> [interface <INTERFACE>]

IPv4 スタティックルーティングを設定します。 • <DEST> 追加するスタティックルーティングの宛先 IP アドレス

• <GATEWAY> 宛先に達するために経由するゲートウェイアドレス。ゲートウェイを設定しなくインタ

ーフェースのみ設定する場合には「0.0.0.0」を入力 • <INTERFACE> 宛先に達するために経由する VLAN インターフェースの名前

参考： ECMP機能を使用してスタティックルーティングのゲートウェイまた

はインターフェースを追加するためには、<GATEWAY>及び<INTERFACE>に最大16個のIPアドレスまたはインターフェースを設定することができ

ます。複数のゲートウェイまたはインターフェースを追加する場合には、空

白なしにコンマ「,」で各IPアドレスを区分するようにします。

route6 network <DEST> {gateway <GATEWAY> | interface <INTERFACE>}

IPv6 スタティックルーティングを設定します。 • <DEST> 追加するスタティックルーティングの宛先 IP アドレス

• <GATEWAY> 宛先に達するために経由するゲートウェイアドレス。ゲートウェイを設定しなくインタ

ーフェースのみ設定する場合には「0.0.0.0」を入力 • <INTERFACE> 宛先に達するために経由する VLAN インターフェースの名前

参考：各スタティックルーティングはVLANインターフェースと他のネットワーク帯域のIPアドレスを使用する必要があります。スタティック

ルーティング設定の際、VLANインターフェースと同一のネットワーク帯域のIPアドレスを入力するとエラーメッセージが表示されます。

注意：スタティックルーティングを追加するためには、追加しようとするスタティックルーティングと同じネットワーク帯域のIPアドレスがPAS-KのVLANインターフェースに設定されていなければなりません。そうしなければ、スタティックルーティングを追加することができません。

参考： IPルーティングテーブルでスタティックルーティングを削除するためには、＜設定モード＞で次のコマンドを使用します。 (config)# no route network <DEST> gateway <GATEWAY>

45


(config)# no route network <DEST> interface <INTERFACE> (config)# no route6 network <DEST>

参考： ECMP機能はIPv4環境でのみ使用できます。

近隣探索の設定近隣探索を使用して得た近隣ノードの情報（IPv6アドレスとMACアドレス）は自動的にネイバーテーブルに登録されますが、ネットワ

ーク管理者が手動で登録することもできます。手動でネイバーテーブルにノード情報を登録するためには、＜設定モード＞で次のコ

マンドを使用します。

コマンド説明

neighbor <IP> <MAC> 手動でネイバーテーブルにノード情報を登録します。

参考：手動でネイバーテーブルに登録したノード情報を削除するためには、＜設定モード＞で次のコマンドを使用します。

(config)# no neighbor <IP>

設定情報の確認 VLANインターフェースのIP設定情報の表示 VLANインターフェースのIPアドレス設定を確認するためには、次のコマンドを使用します。

コマンド説明

show interface [<NAME>] 管理用ポートのIPアドレス設定を確認するためにはmgmtを、特定インターフェース

のIPアドレス設定を確認するためにはVLANインターフェース名を入力します。

ルーティング設定情報の表示 PAS-Kのルーティング設定情報を確認するためには、次のコマンドを使用します。

コマンド説明

show route IPv4ルーティング設定情報を確認します。

show route default-gateway IPv4デフォルトゲートウェイの設定情報を確認します。

show route network [<DEST> [gateway [<GATEWAY>] [interface [<INTERFACE>]]]]

特定ネットワークのIPv4ルーティング設定情報を確認します。

show route6 IPv6ルーティング設定情報を確認します。

show route6 network [<DEST>] 特定ネットワークのIPv6ルーティング設定情報を確認します。



近隣探索設定情報の表示

近隣探索の設定情報を表示するためには、show neighbor <IP> コマンドを実行します。

DHCP の設定 DHCP（Dynamic Host Control Protocol）はサーバとクライアントという構造を持ち、DHCPサーバがDHCPクライアントに自動でIPアドレスを割り当てるプロトコルです。DHCPを使用するとDHCPクライアントがネットワーク環境（IPアドレス、サブネットマスク、DNSサーバ）設定のように知識が無くても簡単にネットワークにアクセスすることができます。また、DHCPクライアントが動作中である場

合にのみIPアドレスを割り当て使用することで限定されたIP資源を節約することができます。 PAS-KはDHCPネットワーク構成をサポートするために次の機能を提供します。


46

DHCPサーバ

PAS-KがDHCPサーバで作動しPAS-Kに接続しているホストにIPアドレスを割り当てる機能

DHCPリレーエージェント

DHCPサーバとDHCPクライアント（ホスト）の間に位置しDHCPメッセージを中継ぎする機能

DHCPサーバの設定 IP Poolの設定 DHCPサーバ機能を使用するためにはホストに割り当てるサブネットとデフォルトゲートウェイ、DNSサーバ、IPアドレス範囲などを保

存しているIP Poolを設定しなければなりません。IP Poolを設定するためには＜設定モード＞で次の過程を実行します。PAS-Kには

最大100個のIP Poolを設定することができます。


1 dhcp-server ＜DHCPサーバ設定モード＞に入ります。

2 subnet <ID>

DHCPサーバ機能を定義し、＜DHCPサーバサブネット設定モード＞に入ります。

• <ID> DHCPサーバサブネットID。設定範囲： 1 ~ 100

参考： IDは優先順位の役割を持ち、数字が小さいほど優先順位が高いです。

3 subnet <SUBNET>

DHCP サーバから使用するサブネットを設定します。

• <SUBNET> サブネットIP帯域とサブネットマスクビット

参考：サブネットを削除するためには no subnet コマンドを使用します。

4 lease-time <LEASE-TIME>

IPアドレスを貸す時間を設定します。

• <LEASE-TIME> IPアドレスの貸出時間。設定範囲： 1 ~ 1,193,046（時間）デフォルト： 1時間

参考： IPアドレスの使用時間をデフォルト値に戻すためには no lease-time コマンドを

使用します。

5 default-gateway <DEFAULT-GATEWAY>

サブネットのデフォルトゲートウェイを設定します。

• <DEFAULT-GATEWAY> デフォルトゲートウェイのIPアドレス

参考：デフォルトゲートウェイを削除するためには no default-gateway コマンドを使

用します。

6 dns <DNS>

DNSサーバを設定します。

• <DNS> DNSサーバのIPアドレス

参考： DNSサーバを削除するためには no dns <DNS> コマンドを実行します。

7 range <ID> ip <IP>

DHCPクライアントに割り当てるIPアドレスの範囲を設定します。ひとつのIP Poolには最

大512個のIPアドレスを含むIPアドレス範囲を設定することができます。

• <ID> 範囲のID 設定範囲： 1 ~ 20

• <IP> IPアドレスの範囲

参考： DNSサーバを削除するためには no range <ID> コマンドを使用します。

8 fixedaddr <HOSTNAME> {client-ip | client-mac} {<CLIENT-IP> | <CLIENT-MAC>}

特定のクライアントに固定IPアドレスを割り当てます。

• <HOSTNAME> クライアントのホスト名

• <CLIENT-IP> クライアントに割り当てる固定IPアドレス

• <CLIENT-MAC> クライアントのMACアドレス

47


参考：固定IPアドレスの割り当てを取り消すためには no fixedaddr <HOSTNAME> コマンドを使用します。

7 current 設定したDHCPサーバ情報を表示します。

8 apply 設定したDHCPサーバ情報を保存しシステムに適用します。

参考：設定したIP Poolを削除するためには、＜DHCPサーバ設定モード＞で no subnet <ID> コマンドを使用します。

インターフェースの設定 DHCPサーバ機能を適用するVLANインターフェースを指定するためには、＜DHCPサーバ設定モード＞で次のコマンドを使用しま

す。

コマンド説明

interface <INTERFACE> DHCP サーバ機能を適用する VLAN インターフェースを指定します。

注意： IP Poolで指定したサブネットのようなIP帯域のVLANを指定しなければなりません。 IP帯域が異なる場合にはDHCPサーバ機能

が正常に動作しません。

参考：指定したインターフェースを削除するためには、＜DHCPサーバ設定モード＞で no interface <INTERFACE> コマンドを使用

します。

DHCPサーバ使用可否の設定 PAS-KはデフォルトではDHCPサーバ機能がディスエーブルされています。DHCPサーバ機能のイネーブル・ディスエーブルに変更

するためには、＜DHCPサーバ設定モード＞で次のコマンドを使用します。

コマンド説明

status {enable | disable} DHCP サーバ機能を使用するかどうかを設定します。

• enable ：使用する

• disable ：使用しない（デフォルト）

DHCPサーバ設定情報の表示 PAS-KをDHCPサーバに設定した情報を表示するためには、＜管理者モード＞または＜設定モード＞で show dhcp-server コマ

ンドを使用します。


48

DHCPリレーエージェント DHCPサーバとクライアント間に送受信されるDHCPメッセージはブロードキャストされるため、DHCPサーバとクライアントは同一なサ

ブネットに位置していなければなりません。単一のサブネットを使用している環境には問題ありませんが、複数のサブネットを使用す

るネットワーク環境ではサブネットごとにDHCPサーバが必要になる問題があります。

PAS-Kはこのような問題点を解決するためにDHCPリレーエージェント機能を提供します。この機能を設定すればPAS-KがDHCPメッセージを中継しそれぞれ異なるサブネットに位置するDHCPサーバとクライアントでもDHCPメッセージを送受信できるようになりま

す。

DHCPリレーエージェントの設定 DHCPリレーエージェント機能を使用するためには、＜設定モード＞で次の過程を実行します。


1 dhcp-relay ＜DHCPリレー設定モード＞に入ります。

2 ip <SERVERIP>

DHCPサーバを指定します。

• <ID>

DHCPサーバのIPアドレス

参考： DHCPサーバを削除するためには no ip <SERVERIP> コマンドを使用します。

3 interface <NAME>

DHCP メッセージを受信する VLAN インターフェースを指定します。

• <NAME>

サブネットIP帯域とサブネットマスクビット

参考：サブネットを削除するためには no interface <NAME> コマンドを使用します。

DHCP Option 82の設定 DHCP Option 82はDHCPリレーエージェントがDHCP要請メッセージにメッセージを受信するポート番号と自身のMACアドレス情

報を追加して転送する機能です。DHCPサーバはこの情報を使ってクライアントを認証し、IPアドレスを割り当てるかどうかを決定しま

す。この機能を設定するためには＜設定モード＞で次の過程を実行します。


1 dhcp-relay ＜DHCPリレーモード＞に入ります。

2 option {append | discard | forward | replace}

Option 82機能をイネーブルし処理方式を設定します。クライアントから受信したDHCP要請メッセージにOption 82情報が無い場合は３つの方式全てOption 82情報を追加しDHCPサーバに転送します。Option 82情報が含まれるDHCP要請メッセージを受信した場

合には指定した処理方式に従い次のように動作します。

• append 受信したOption 82情報を維持しながら自身のOption 82情報を追加し転送する

• discard

受信したOption 82情報を破棄する

• forward

受信したOption 82情報をそのまま転送する(デフォルト)

• replace

受信したOption 82情報を削除し自身のOption 82を追加して転送する

参考： DHCP Option 82設定をデフォルト(forward)に戻すためには＜DHCP リレー設

定モード＞で no option コマンドを使用します。

DHCPリレーエージェント設定情報の表示 DHCPリレーエージェントの設定情報を確認するためには、＜管理者モード＞または＜設定モード＞で show dhcp-relay コマンド

を使用します。

49


Proxy ARP の設定 Proxy ARPの概要

ARPはネットワーク上でIPアドレスと物理的なアドレス(MACアドレス)を対応させるために使われるプロトコルです。Proxy ARPはル

ーターのお互いに異なるインターフェースに接続されたホストが同じネットワークである時に、ルーターがARPリプライの代わりにする

機能です。したがって、ARPをリクエストしたホストはルーターを宛先ホストと判断してデータを送り、ルーターは実際の宛先ホストに

データを送ります。PAS-Kはこのようなproxy ARP機能を提供します。下図はproxy ARPの動作例です。

[図 - Proxy ARPの動作]

サブネットAのホストA(192.168.10.100)はサブネットBのホストD(192.168.20.200)にパケットを送ろうとする時、ホストAのネットマス

クビットが16なので、ホストAは192.168.0.0帯域の全てのホストを同じネットワークに属していると判断します。したがって、ホストAはホストDと通信するためにホストDへのARPリクエストをサブネットAにブロードキャストします。ホストAがブロードキャストしたARPリクエストはPAS-Kのe0インターフェースを含むサブネットAに属する全てのホストに送信されます

が、基本的にPAS-KはARPブロードキャストを他のネットワークに送ることができないので、ホストAのARPブロードキャストはホストDに送信できません。しかし、Proxy ARP機能がイネーブルの場合、PAS-KがホストAからホストDを探すARPリクエストを受信した時、ルーティングテーブ

ルにホストDが属するネットワークの経路が存在すれば、ホストAに自分のMACアドレス(00-00-0c-94-36-ab)を送ります。したがって、

ホストAはホストDに送るパケットを00-00-0c-94-36-ab MACアドレスに送ります。PAS-KはホストDが自分が持っている経路に属す

るので、ホストAから受信されたパケットをホストDに送ります。また、ホストAのARPキャッシュにはサブネットBに属するホストのMACアドレスを全てPAS-KのMACアドレスに保存するので、ホスト

AはサブネットBに属するホストにパケットを送信する時に全てPAS-Kに送り、PAS-Kはこれを全てサブネットBに属するホストに送りま

す。ホストAに保存されたARPキャッシュ情報は次の通りです。

192.168.10.100/16

00-00-0c-94-36-aa

サブネット B

サブネット A

ホスト B ホスト A

e1: 192.168.20.20/24

00-00-0c-94-36-c

e0: 192.168.10.20/24

00-00-0c-94-36-ab

ホスト C ホスト D

192.168.10.200/24

00-00-0c-94-36-bb

192.168.20.100/24

00-00-0c-94-36-cc

192.168.20.200/24

00-00-0c-94-36-dd


50

[表 – ARPキャッシュ情報]

IPアドレス MACアドレス

192.168.10.200 00-00-0c-94-36-bb

192.168.10.20 00-00-0c-94-36-ab

192.168.20.100 00-00-0c-94-36-ab

192.168.20.200 00-00-0c-94-36-ab

Proxy ARPは宛先ホストへの経路だけを確認し、実際に宛先ホストが存在するかは確認しません。もしPAS-KでARPリプライの代わ

りにしてくれたホストが存在しない場合、ARPをリクエストしたホストが存在しないホストにデータを送る問題が発生するようになります。

この問題はネットワーク上のトラフィックを増加させる要因になることがあります。 passive proxy ARPはこのようなProxy ARPの問題点を補うために、宛先ホストが実際に存在する場合にだけARPリプライの代わ

りにする機能です。PAS-Kにpassive proxy ARP機能がイネーブルされれば、PAS-KがARPリクエストを受信した時、宛先IPアドレ

スに対する経路がルーティングテーブルに存在するかどうかを確認して、存在する場合にはARPテーブルで宛先ホストのMACアドレ

スを確認します。ARPテーブルに該当ホストに対するARP情報があれば、PAS-Kが代わりにARPリプライを送ります。ARP情報がな

い場合には宛先ホストにARPリクエストを送ります。もし、宛先ホストがARPリクエストにレスポンスしなかったら、宛先ホストが存在し

ないと判断してPAS-KはARPリクエストを送ったホストにARPリプライをしません。宛先ホストからARPリプライが受信されれば、PAS-KはARPリクエストを送ったホストにARPリプライをします。

CLIでの設定本節ではCLIでProxy ARP / passive proxy ARPの設定方法について説明します。 PAS-KにはデフォルトでProxy ARP機能がディスエーブルになっています。Proxy ARP機能をイネーブルにするためには、＜設定

モード＞で次のコマンドを使用します。

コマンド説明

arp proxy-arp {enable | disable} Proxy ARP 機能の設定 • enable : イネーブル • disable : ディスエーブル（デフォルト）

Proxy ARPの設定情報の表示 Proxy ARPの設定情報を確認するためには、show arp コマンドを使用します。


して下さい。

51


ARP ロックタイムの設定 ARPロックタイム機能について概要と設定方法について説明します。

ARPロックタイムの概要 IPネットワーク上で通信をする場合、データを送ろうとするホストは宛先ホストのIPアドレスに該当するMACアドレスを知るためにARPリクエストパケットを送信します。これを受信した宛先ホストは自分のMACアドレス情報を持っているARPリプライパケットを返送しま

す。ARPリプライパケットを受信するとARPリプライパケットを返送したホストのIPアドレスとMACアドレスを自分のARPテーブルに登

録して、以後にデータを送信する時に使います。ARPテーブルにエントリー情報を登録するとデータを送信する時、まず宛先IPアドレ

スに対応するMACアドレスがあるかをARPテーブルから確認します。該当MACアドレスがARPテーブルに登録されていれば、ARPリクエストパケットを送信するプロセスを省略して、すぐ宛先ホストにIPパケットを転送します。このように登録されたエントリー情報は一定時間ARPテーブルに保存されます。そして、IPアドレスが再割当さ

れると、重複されるIPアドレスが割当される場合、あるいは新しいMACアドレスを持つホストが追加される場合にARPテーブルを更

新します。しかし、連続してARPテーブルを更新する場合にはARPテーブルを使ったARPフラッド攻撃による被害が発生する可能性があります。

ARPフラッド攻撃は存在しないAPRアドレスや不正なARPアドレスをシステムのARPテーブルに登録し、持続的にARPリクエストパ

ケットやARPリプライパケットを送信することを言います。ARPフラッド攻撃が続いた場合、過度なARPパケット処理によってCUPの過負荷を発生させ、システムの他のプロセスが正しくサービスできなくいようになります。このような問題を防止するためにPAS-KはARPロックタイム機能をサポートします。ARPロックタイムはARPエントリーが更新された

場合、ユーザーが設定した時間(ロックタイム)の間に該当ARPエントリーが更新できるARPリプライパケットが再度受信されても、こ

れを反映しない機能です。ARPロックタイム機能を使ってARPテーブルの更新周期を設定するとARPフラッド攻撃による被害を防止

して多数のProxy ARPエージェントが存するネットワークで効率的にARPテーブルを管理できます。ネットワーク上に多数のProxy ARPエージェントが存在する場合、ホストのARPリクエストに二つ以上のProxy ARPエージェントがレ

スポンスパケットを送れば、不要にずっとARPテーブルを更新することになります。この時、ARPロックタイム機能を設定すると、設定

された時間内にARPリプライパケットを送った複数のProxy ARPエージェントの中で一番早くARPリプライパケットを返送したエージ

ェントのエントリーだけをARPテーブルに登録します。次の図のように三つのProxy ARPエージェントが存在し、PAS-KがホストAのMACアドレスを分かることを希望する場合を例えます。

[図- 複数のProxy ARP エージェントがある場合にARPロックタイムの使用例]

Proxy ARPエージェントA Proxy ARPエージェント

Proxy ARPエージェン

PAS-K

0.1秒

0.2秒

ARPリクエストメッセージ

ARPリプライメッセージ

ホスト A

ホスト B

0.3秒


52

PAS-KがホストAのMACアドレスを知るために、先に自分のIPアドレスとMACアドレスの情報を持っているARPリクエストパケットを

通じてホストAのMACアドレスに対した情報をリクエストします。そうすれば、ARPリクエストパケットはブロードキャストされPAS-Kと接

続されている全てのProxy ARPエージェントに転送されます。ARPリクエストパケットを受けたProxy ARPエージェントA、B、Cはホ

ストAの代わりに自分のMACアドレスの情報を持つARPリプライパケットをPAS-Kに返送します。この時、ARPリプライパケットが上の

図のようにProxy ARPエージェントA、B、Cが各々0.1秒、0.2秒、0.3秒に返送されるとPAS-Kは一番早く返送されたProxy ARPエー

ジェントAのエントリーだけをARPテーブルに登録して、その後に返送されたProxy ARPエージェントBとCのエントリー情報は登録し

ません。そして、ロックタイムで設定された時間が過ぎたらまた一番早く転送されたエントリー情報だけを更新します。 ARPロックタイム機能を実行すると、一番早くARPリプライパケットを送ったProxy ARPエージェントAのMACアドレスを使ってホストAにデータを送信するため一番早く通信することができます。PAS-KのARPロックタイムの設定値は0～10,000,000であり、単位は1/100秒です。

CLIでの設定本節ではCLIコマンドを使ってARPロックタイム機能の設定・確認方法について説明します。

ARPロックタイムの設定 PAS-KにARPロックタイム機能を設定するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

arp locktime <TIME>

ARP ロックタイム機能を設定します。 • <TIME>

APR テーブルを更新した後、新しい更新を行わない時間インターバル設定範囲： 1 ~ 10,000,000 （1/100 秒）（デフォルト： 100）

ARPロックタイム設定情報の表示 ARPロックタイム機能の設定情報を確認するためには、＜設定モード＞で show arp コマンドを使用します。


して下さい。

53


ARP フィルターの設定 PAS-Kの仮想ブリッジ構成はIP通信のためのARPを処理するためProxy ARPを使用します。しかし、Proxy ARPを使用すると要ら

ないARPレスポンスので障害が発生する場合があります。このような問題を解決するため、PAS-KはARPフィルター機能を提供しま

す。ARPフィルターは、フィルターを適用するポリシー、送信元/宛先ネットワークを設定してProxy ARPを制御します。フィルターは下

記の2つがあります。

Input PAS-K のインターフェースの MAC アドレスをリクエストする ARP パケットに適用するフィルター

Output PAS-K が他のホストの MAC アドレスをリクエストする ARP パケットに適用するフィルター

CLIでの設定 CLIでのARPフィルターの設定方法を説明します。

Input ARPフィルターの設定 PAS-KにInput ARPフィルターを設定するためには、＜設定モード＞で次の過程を実行します。Input ARPフィルターは最大32個ま

で設定することができます。複数のInput ARPフィルターを設定する場合には、次の手順を繰り返します。


1 arp-filter ＜ARPフィルター設定モード＞に入ります。

2 input <ID>

Input ARPフィルターを定義して、＜Input ARPフィルター設定モード＞に移動します。 • <ID>

Input ARPフィルターのID。設定範囲： 1 ~ 32

参考: IDは優先順位の役割を果たし、優先順位の値が低いほど優先順位は高いで

す。

3 action {accept | drop}

Input ARP フィルターのポリシーを設定します。 • accept ：条件を満たすパケットを許可（デフォルト） • drop ：条件を満たさないパケットを廃棄

参考：Input ARPフィルターのポリシーをデフォルトに戻すためには、no action コマン

ドを使用します。

4 sip <SIP>

Input ARPフィルターを適用する送信元のIPアドレスまたは帯域を設定します。

• <SIP> 送信元IPアドレスとネットマスクビット。（デフォルト：0.0.0.0/0）

参考：設定した送信元IPアドレスを削除するためには、no sip コマンドを使用します。

5 dip <DIP>

Input ARPフィルターを適用するパケットの宛先IPアドレスまたは帯域を設定します。

• <DIP> 宛先IPアドレスとネットマスクビット。（デフォルト：0.0.0.0/0）

参考：設定した宛先IPアドレスを削除するためには、no dip コマンドを使用します。

6 interface <INTERFACE>

Input ARPフィルターを適用するインターフェースを設定します。

• <INTERFACE> インターフェース名

参考：設定したインターフェースを削除するためには、no interface コマンドを使用しま

す。

7 current 設定情報を表示します。


参考：生成したInput ARPフィルターを削除するためには、＜ARPフィルター設定モード＞で no input <ID> コマンドを使用します。


54

Ouput ARPフィルターの設定 PAS-KにOutput ARPフィルターを設定するためには、＜設定モード＞で次の過程を実行します。Output ARPフィルターは最大32個まで設定することができます。複数のOutput ARPフィルターを設定する場合には、次の手順を繰り返します。


1 arp-filter ＜ARPフィルター設定モード＞に入ります。

2 output <ID>

Ouｔput ARPフィルターを定義して、＜Output ARPフィルター設定モード＞に移動しま

す。 • <ID>

Output ARPフィルターのID 設定範囲： 1 ~ 32

参考: IDは優先順位の役割を果たし、優先順位の値が低いほど優先順位は高いで

す。

3 action {accept | drop}

Output ARP フィルターのポリシーを設定します。 • accept ：条件を満たすパケットを許可（デフォルト） • drop ：条件を満たさないパケットを廃棄

参考：Output ARPフィルターのポリシーをデフォルトに戻すためには、no action コマ


4 sip <SIP>

Output ARPフィルターを適用する送信元のIPアドレスまたは帯域を設定します。

• <SIP> 送信元IPアドレスとネットマスクビット（デフォルト：0.0.0.0/0）

参考：設定した送信元IPアドレスを削除するためには、no sip コマンドを使用します。

5 dip <DIP>

Output ARPフィルターを適用するパケットの宛先IPアドレスまたは帯域を設定します。

• <DIP> 宛先IPアドレスとネットマスクビット（デフォルト：0.0.0.0/0）

参考：設定した宛先IPアドレスを削除するためには、no dip コマンドを使用します。

6 interface <INTERFACE>

Output ARPフィルターを適用するインターフェースを設定します。

• <INTERFACE> インターフェース名

参考：設定したインターフェースを削除するためには、no interface コマンドを使用しま

す。



参考：生成したOutput ARPフィルターを削除するためには、＜ARPフィルター設定モード＞で no output <ID> コマンドを使用します。

ARPフィルター設定情報の表示 ARPフィルターの設定情報を確認するためには、＜管理者モード＞または＜設定モード＞で show arp-filter コマンドを使用します。

参考：該当コマンドの詳細説明は、本書と共に提供されるPAS-K 1516/1716/2424/2824/4224/4424/4824 コマンドリファレンスガイドを参照し

て下さい。

55


チェックサムの設定チェックサム(Checksum)は機器間のデータ送受信時に発生する誤りを検出する方法として、PAS-KはTCP/UDP/ICMPパケットに対

してチェックサム機能を使用することができます。PAS-Kにチェックサム機能をイネーブルすると、TCP/UDP/ICMPパケットのヘッダ

ー値を検査してチェックサムが一致した場合にはパケットを送信し、一致しない場合にはパケットを廃棄します。デフォルトでチェック

サム機能はイネーブルに設定されています。

参考: デフォルトでPAS-Kのチェックサム機能はNAT機能の実行時に使用します。NAT機能を設定するとパケットのIPアドレス及びポー

トが変更され、パケットのヘッダー値も変更されます。チェックサムは変更されたパケットのヘッダー値を確認して誤りを検出します。

CLIでの設定チェックサムの設定チェックサム機能を設定するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

env checksum {enable | disable} チェックサム機能の使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない

チェックサム設定情報の表示チェックサム機能の設定情報を確認するためには、＜管理者モード＞、＜設定モード＞で show env コマンドを使用します。


56

保存 MAC レスポンスの設定保存MACレスポンスはクライアントが送信したリクエストパケットの送信元MACアドレスと宛先MACアドレスを保存しておいて、レス

ポンスパケットを送信する際に使用する機能です。保存MACレスポンス機能を使用しない場合にはレスポンスパケットを送るごとに

ルーティングを実行します。

CLIでの設定

保存MACレスポンスの設定保存MACレスポンス機能を設定するためには＜設定モード＞で次のコマンドを使用します。

コマンド説明

env reply_with_stored_mac {enable | disable} 保存 MAC レスポンス機能の使用可否を設定します。 • enable ：使用する • disable ：使用しない（デフォルト）

保存MACレスポンス設定情報の表示保存MACレスポンス機能の設定情報を確認するためには、＜設定モード＞で show env コマンドを使用します。


て下さい。

57


スタティック ARP の設定 ARP(Address Resolution Protocol)は、IPネットワーク上でIPアドレスをMACアドレスに対応させるために使われるプロトコルです。

例えば、装置Aが装置Bにパケットを送ろうとする時に装置BのMACアドレスが分かっていない場合は、ARPプロトコルを使って宛先BのIPアドレスとMACアドレスFF:FF:FF:FF:FF:FFを持つARPリクエストを送ります。装置Bは自分のIPアドレスを持つARPリクエスト

を受け取って、装置Aに自分のMACアドレスを知らせるARPレスポンスを送ります。このような方式で収集されたIPアドレスとこれに

該当するMACアドレスは装置のARPキャッシュと呼ばれるメモリにテーブル形式で保存されます。保存されたARP情報は次のパケッ

ト送信時に使用されます。このような動作をダイナミックARPといいます。

PAS-KではダイナミックARP機能をサポートしています。なお、管理者が直接IPアドレスとMACアドレスをマッピングさせることができ

るスタティックARP機能もサポートします。スタティックARP機能を利用してIPアドレスとMACアドレスをマッピングした場合は、ダイナ

ミックARP機能は実行されません。

CLIでの設定スタティックARPの設定

特定IPアドレスに対するMACアドレスを管理者が直接入力するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

arp static <IPADDR> <HWADDR> IP アドレスに対する MAC アドレスを設定します。

参考：スタティックARPキャッシュを削除するためには＜設定モード＞で no arp static <IPADDR> コマンドを使用します。

スタティックARP設定情報の表示

＜設定モード＞で show arp static コマンドを使用すれば、PAS-Kに設定された全てのスタティックARPキャッシュを確認すること

ができ、show arp static <IPADDR> コマンドを使用すれば、設定したIPに対するMACアドレスとインターフェース情報のみ確認する

ことができます。

参考：＜設定モード＞で show arp コマンドを使用すれば、ARPテーブルの内容を確認できます。ダイナミックARP機能で生成されたダイ

ナミックARPキャッシュは「dynamic」と表示され、管理者が直接追加したスタティックARPキャッシュは「static」と表示されます。

参考：自動で生成されるダイナミックARPキャッシュを削除するためには、＜設定モード＞で no arp dynamic [<IPADDR>] コマンドを使用

します。IPアドレスを入力すると、該当スタティックARPキャッシュのみ削除されます。


58

DNS の設定 DNS(Domain Name System)はホスト名やドメイン名を実際のIPアドレスに変換するシステムです。PAS-KにDNSサーバを登録す

れば、ユーザーは ping、ｔelnet、traceroute などのIPアドレスを利用したコマンドを実行する時、複雑なIPアドレスの代わりにホス

ト名を使って作業を実行することができます。DNSサービスを使うためには、まずユーザーのネットワークで使用するDNSサーバを

登録しなければなりません。 PAS-KにはプライマリDNSサーバとセカンダリDNSサーバを登録できます。PAS-Kは先にプライマリDNSサーバにDNSクエリーを送

り、プライマリDNSサーバからレスポンスがない場合、セカンダリDNSサーバにクエリーを送ります。PAS-Kには1つのプライマリDNSサーバと3つのセカンダリDNSサーバを設定できます。基本的にプライマリDNSサーバが使用され、プライマリDNSサーバが正常に

動作しない時には追加した順にセカンダリDNSサーバが使われます。

CLIでの設定 DNSサーバの設定 PAS-KにDNSサーバを登録するために、＜設定モード＞で次のコマンドを使用します。

コマンド説明

dns <ID> ip <IP>

DNS サーバを登録します。 DNS サーバの ID を設定して、ID が「1」である DNS サーバがプライマリ DNS サーバになり、その後に

追加する DNS サーバはセカンダリ DNS1、セカンダリ DNS2、セカンダリ DNS3 になります。 • <ID> 設定範囲： 1 ~ 4 • <IP> DNS サーバの IP アドレス

参考：登録したDNSサーバを削除するためには、＜設定モード＞で次のコマンドを使用します。 (config)# no dns <ID>

DNSサーバ設定情報の表示＜設定モード＞で show dns コマンドを実行して登録したDNSサーバを確認することができます。特定IDを一緒に入力すれば、該

当DNSのアドレスだけが表示されます。


して下さい。

59


リンクシンクの設定本節ではリンクシンク機能の紹介、設定方法について説明します。

概要リンクシンク(Link Sync)はモニターポートとシンクポートのリンク状態を周期的に監視して、両方のポート間のリンク状態を同期化さ

せる機能です。PAS-Kのリンクシンク機能は2種類のモード（片方向シンクモード、双方向シンクモード）を提供し、多用なネットワーク

構成をサポートします。次はアクティブグループとスタンバイグループがあるフェイルオーバー構成でリンクシンク機能を使用する例です。上の構成でL3スイッチ AとPAS-K Aが接続されているリンクがダウンされる場合にも、ファイアウォール AはPAS-K Aとのリンクが

切れていないのでリクエストパケットを送信します。しかし、L3スイッチ AとPAS-K A間のリンクがダウンされているのでリクエストパ

ケットはWEBサーバに送信できません。したがって、WEBサーバは持続的なサービスを提供できません。リンクシンク機能を使用する場合、持続的にモニターポートの状態を監視してモニターポートがダウンされれば、シンクポートのリンク

もダウンさせファイアウォール Aがファイアウォール Bにfailoverされます。したがって、ウェブサーバはPAS-K Bを通じて持続的に

サービスを提供することができます。

• 片方向シンクモードモニターポートのリンク状態を監視してモニターポートのリンクがダウンされる場合、シンクポートのリンクもダウンさせます。また、

モニターポートのリンクがアップ状態になれば、シンクポートのリンクもアップさせます。

• 双方向シンクモード基本的な動作は片方向シンクモードと同じですが、モニターポートとシンクポートのリンク状態を全て監視するのが異なります。双

方向シンクモードのモニターポートとシンクポートの状態はお互いのシンク状態によって変更されます。つまり、上の構成図でシン

クポートのリンクがダウンされれば、モニターポートのリンクもダウンさせます。すると、L3スイッチ Aで受信されたパケットがPAS-K Aに送信されず、L3スイッチ Bに送信されPAS-K Bを通じて持続的にサービスを提供することができます。

参考： 1つのリンクシンク設定には複数のモニターポートとシンクポートを設定することができます。この場合、全てのモニターポートのリンク

がダウンすれば、全てのシンクポートのリンクをダウンさせます。また、全てのモニターポートのリンクがアップになれば、全てのシンクポート

のリンクがアップさせます。

PAS-K A

モニターポートのリンクがダウンされる。

シンクポートのリンクをダウンさせる。

アクティブグループスタンバイグループ

WEBサーバ

ファイアウォール A ファイアウォール B

L3スイッチ A L3スイッチ B

シンクポート

モニターポート

PAS-K Ｂ


60

CLIでの設定リンクシンク機能の設定をするためには、＜設定モード＞で次の過程を実行します。


1 linksync <ID> リンクシンクのIDを生成し、＜リンクシンク設定モード＞に移動します。 • <ID> 設定範囲： 1 ~ 16

2 mode {one-way | two-way} リンクシンクのモードを設定します。 • one-way : 片方向シンクモード（デフォルト） • two-way : 双方向シンクモード

4 monitor-port < MONITOR-PORT> (必須設定)

リンク状態を確認するポートを設定します。複数のモニターポートを追加する場合には、

空白なしに「,（コンマ）」で各ポートを区分するようにして、連続されるポートは「-（ハイフ

ン）」を使って入力します。

参考: リンクシンク機能を使用するためには必ず１つ以上のモニターポートを設定

しなければいけません。

5 sync-port <SYNC-PORT> (必須設定)

モニターポートの状態によってリンク状態を変更するポートを設定します。複数のシンク

ポートを追加する場合には、空白なしに「,（コンマ）」で各ポートを区分するようにして、連

続されるポートは「-（ハイフン）」を使って入力します。

参考: リンクシンク機能を使用するためには必ず１つ以上のシンクポートを設定し

なければいけません。

6 sync-delay-time <SYNC-DELAY-TIME>

モニターポートのリンク状態が変更された場合、シンクポートのリンク状態を変更するま

での待機時間を設定します。設定範囲： 1 ~ 30（秒）（デフォルト： 1秒）

7 status {enable | disable} 設定したリンクシンク機能の使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない

8 current 設定したリンクシンク情報を表示します。

9 apply 設定したリンクシンク情報を保存し、システムに適用します。

参考：設定したリンクシンク機能を削除するためには、＜設定モード＞で、次のコマンドを用います。

(config)# no linksync <ID>

参考： PAS-K 1516/1716/2424/2824/4224/4424/4824にはモードに関係なく、最大8個のリンクシンクを設定することができ、1つのリンクシ

ンクに設定したポートは他のリンクシンクに設定することができません。

参考：リンクシンク機能で使用するポートは必ずイネーブル状態でなければいけません。

リンクシンク設定情報の表示リンクシンク設定は＜設定モード＞で、show linksync コマンドを用いて確認することができます。特定リンクシンクIDを一緒に入

力すれば、該当リンクシンク設定に対する情報だけが表示されます。


てください。

61


NAT の設定この節ではNAT（Network Address Translation）の概念と動作過程を説明した後、CLIでNAT機能を設定する方法について説明し

ます。

概要インターネット共有機などを通してプライベートIPアドレスを使用する場合、内部ネットワークからプライベートIPアドレスを使用するホ

スト間の通信が可能ですがインターネットのような外部ネットワークはプライベートIPアドレスを使用して通信することができません。

ホストが外部ネットワークと通信するためには必ずパブリックIPアドレスを使用しなければなりません。従ってプライベートIPアドレスを使用しインターネットや外部ネットワークと通信するためには、プライベートIPアドレスをパブリックIPアドレスに変換することが必須です。このようにプライベートIPアドレスをパブリックIPアドレスに、またはパブリックIPアドレスをプライベ

ートIPアドレスに変換することをNATと呼びます。 PAS-KはこのようなNAT機能を提供します。NAT機能を使用するとホストのプライベートIPアドレスを特定のパブリックIPアドレスに変

換しトラフィックを外部ネットワークから転送でき、外部からパブリックIPアドレスに受信したトラフィックをまた内部ネットワークのプライ

ベートIPアドレスに変換し該当のホストに転送します。

NATのタイプ PAS-Kは次の４つのタイプのNAT機能を提供します。

Source NAT

内部から外部ネットワークに向かうトラフィックの送信元IPアドレス（プライベートIPアドレス）をパブリックIPアドレスに変換する Destination NAT

外部から内部ネットワークに向かうトラフィックの宛先IPアドレス（パブリックIPアドレス）をプライベートIPアドレスに変換する

Both NAT

内部から外部ネットワークに向かうトラフィックの送信元IPアドレスと外部から内部ネットワークに向かうトラフィックの宛先IPアドレ

スを全て変換する

One-to-One NAT

PAS-Kに割り当てられたパブリックIPアドレスを使用し外部ネットワークからPAS-Kに接続する際、トラフィックの宛先IPアドレスを

指定された特定のプライベートIPアドレスに変換する Source NATとDestination NAT、Both NATはNAT Poolに最大16個のNAT IPアドレスを設定することができます。NAT Poolにい

くつかのNAT IPアドレスが保存されている場合、任意の住所が選択されます。 NATタイプによって設定方法に異なる点がありますので、下記の設定過程を参考にネットワーク構成に合わせた設定をします。


62

CLIで設定本章ではCLIでコマンドを使用しNAT機能を設定する方法について説明します。

NATルールの設定 PAS-KでサポートしているNAT機能には４つのタイプがあり、タイプごとに設定過程が異なります。設定するタイプの説明を参考に、NATルールを定義します。 PAS-Kには最大64個のNATルールを定義することができ、いくつかのNATルールを設定する場合には＜設定モード＞で次の過程を

繰り返し行います。

Source NAT, Destination NAT, Both NATタイプの設定順番コマンド説明

1 nat ＜NAT設定モード＞に入ります。

2 filter <ID> <NATフィルター設定モード>に入ります。

• <ID>

フィルターのID 設定範囲： 1 ~ 64

3 type {source-nat | destination-nat | both-nat}

NATのタイプを選択します。 • source-nat

Source NATに設定する（デフォルト） • destination-nat

Destination NATに設定する • both-nat

Both NATに設定する

4 priority <PRIORITY>

NATルールフィルターの優先順位を設定します。数字が小さいほど優先順

位が高くなり、重複しない固有値である必要があります。

• <PRIORITY>

フィルターの優先順位設定範囲： 1 ~ 64（デフォルト： 1）

5 protocol {all | icmp | tcp | udp}

特定のプロトコルのトラフィックにだけNATルールを適用する場合にそのプ

ロトコルを指定します。

• all 全てのパケットにNATルールを適用する（デフォルト）

• icmp ICMPパケットにのみNATルールを適用する

• tcp TCPパケットにのみNATルールを適用する

• udp UDPパケットにのみNATルールを適用する

6

snatip <SNATIP> (Source NATまたはBoth NATの場合に使用)

トラフィックの送信元または宛先アドレスに変換するNAT IPアドレスを設

定します。いくつかのNAT IPアドレスが保存されている場合は任意のアド

レスが選択されます。

• <SNATIP>, <DNATIP>

送信元及び宛先NAT IPアドレス

最大16個まで設定できます。複数のNAT IPアドレスを設定する場合に

は、それぞれを「,(コンマ)」で分けて入力する

dnatip <DNATIP> (Destination NATまたはBoth NATの場合に使用)

7 sip <SIP>

特定のネットワークから転送されたトラフィックにだけNATルールを適用す

る場合、そのパケットの送信元IPアドレスとネットマスクビット数を入力しま

す。送信元条件を削除したり設定しなかったりした場合、トラフィックの送信

元に関係なくNATルールが適用されます。

8 dip <DIP>

特定のネットワークに向かうトラフィックにのみNATルールを適用する場

合、そのパケットの宛先IPアドレスとネットマスクビット数を入力します。宛

先条件を削除したり設定しなかったりした場合、宛先に関係なくNATルー

ルが適用されます。

9 status {enable | disable} NATルールの使用可否を設定します。

• enable ：使用する（デフォルト）

• disable ：使用しない

10 current NATルールの設定情報を表示します。

63


11 apply NATルールを保存しシステムに適用します。

One-to-One NATタイプの設定順番コマンド説明

1 nat ＜NAT設定モード＞に入ります

2 filter <ID> ＜NATフィルター設定モード＞に入ります。

• <ID>

フィルターのID 設定範囲： 1 ~ 64

3 type one-to-one-nat NATのタイプをOne-to-Oneに設定します。


NATルールフィルターの優先順位を設定します。数字が小さいほど優先順

位が高くなります。

• <PRIORITY>

フィルターの優先順位設定範囲： 1 ~ 64

5 external-ip <EXTERNAL-IP> 外部から受信したトラフィックのうちNATルールを適用するトラフィックの宛

先IPアドレス（パブリックIPアドレス）を設定します。

6 internal-ip <INTERNAL-IP> 5番の過程で指定した外部IPアドレスを変換し内部ネットワークで使用する

プライベートIPアドレスを設定します。

7 status {enable | disable} NATルールの使用可否を設定します。

• enable ：使用する（デフォルト）

• disable ：使用しない

8 current NATルールの設定情報を表示します。

9 apply NATルールを保存しシステムに保存します。

参考： NATルールを削除するためには、＜NAT設定モード＞で no filter <ID> コマンドを使用します。

NAT設定情報の表示 NAT設定情報を確認するためには、＜NAT設定モード＞で show filter コマンドを使用します。特定のIPのNAT情報を確認するた

めには、 show filter コマンドの後ろにNAT IDを入力します。


64

ポートミラーリングの設定ポートミラーリングの概要を説明した後、設定について説明します。

ポートミラーリングの概要ポートミラーリングは特定ポートに送受信される全てのパケットのコピーを他のポートに伝達する機能です。ポートミラーリングの対象

になるポートをモニター対象ポート（mirroredポート）といい、モニター対象ポートのトラフィックが伝達するポートをモニターポート（mirroringポート）といいます。

モニターポート(mirroringポート) モニターポートはモニター対象ポートからコピーした全てのデータを受信するポートです。ユーザーは管理用ポートを除いたPAS-Kの全てのポートをモニターポートとして使うことができます。一般的にはモニターポートにはネットワーク分析機やRMONなどを接続して

ネットワークをモニタリングします。モニターポートはポートミラーリング機能を実行する間はモニター対象ポートのデータを受信する

機能のみ動作します。ポートミラーリング機能がディスエーブルされれば、再び正常なL2、L3動作を実行するようになります。

モニター対象ポート(mirroredポート) モニター対象ポートはモニターポートからモニタリングされるポートです。モニター対象ポートはモニターポートとは異なり、ポートミラ

ーリング機能が動作する間にも正常なL2、L3動作を使用します。PAS-Kには同時に複数のモニター対象ポートを設定することができ

ます。ただし、モニター対象ポートの全体の帯域がモニターポートの帯域幅を超過してはいけません。例えば、100Mbpsの速度に設

定された複数のファストイーサネットポートをモニタリングするためには、モニターポートは必ずギガビットポートを設定しなければなり

ません。次の図はPAS-Kにポートミラーリング機能を使用した例です。

[図-ポートミラーリング]

ポート8はポート4の入力トラフィック(PAS-Kに受信されるトラフィック)とポート10表示トラフィック(PAS-Kが送信するトラフィック)をモニ

タリングするポートです。例えば、ポート8番にポート4と10から送受信されるトラフィックをモニターするために、IDSサーバをモニター

ポートに接続すれば、ポート4、10のネットワークへの攻撃を検知することができます. PAS-Kのポートミラーリング機能を利用すれば、ユーザーはPAS-Kに接続されたネットワークで発生する全てのトラフィックをモニタリ

ングすることができます。この機能は主にネットワークで発生した問題を解決するためのツールとして使用したり、より良いネットワー

クセキュリティを提供するために使います。

モニター対象ポート

モニターポート

入力トラフィック出力トラフィック

モニター対象ポート

65


CLIでの設定 CLIでのポートミラーリングの設定方法を説明します。

ポートミラーリングの設定モニターポートとモニター対象ポートを設定し、ポートモニタリングの状態を変更するためには＜設定モード＞で次の過程を実行しま

す。

コマンド説明

mirroring <MONITOR> mirrored <MIRRORED> direction {both | in | out}

モニターポートとモニター対象ポート、ミラーリングするトラフィックの方向を設定しま

す。 • <MONITOR> ポート名を入力。ひとつのポートのみ指定可能。 • <MIRRORED> モニター対象ポート名を入力。2つ以上のポートを指定する場合にはそれぞれのポ

ート名を「,（コンマ）」で区切り、連続したポートを指定する場合には「-（ハイフン）」を

使用。 • both モニター対象ポートから送受信するトラフィックをミラーリングする • in モニター対象ポートから受信するトラフィックをミラーリングする • out モニター対象ポートから送信するトラフィックをミラーリングする

注意：モニター対象ポートの帯域の合計は、モニターポートの帯域幅以下に設定しなければなりません。モニター対象ポートの帯域の合計

がモニターポートの帯域幅より大きければ、モニターポートではその差だけのトラフィックを損失します。

注意：ポートミラーリングの設定時、モニターポートはモニター対象ポートと同じVLANに属していなければなりません。そうしなければ、ポー

トミラーリングが正しく動作しません。

参考：モニター対象ポートを削除するためには、＜設定モード＞で次のコマンドを使用します。 (config)# no mirroring <MONITOR> mirrored <MIRRORED>

モニターポートを削除するためには、＜設定モード＞で次のコマンドを使用します。

(config)# no mirroring <MONITOR>

ポートミラーリングの設定情報の表示設定したポートミラーリングの情報を確認するためには、＜管理者モード＞または＜設定モード＞で show mirroring コマンドを使

用します。特定のモニターポートの情報を確認するためには、 show mirroring コマンドの後ろに該当ポート名(<MONITOR>)を入力します。


して下さい。


66

リンクアグリゲーション（Link Aggregation）の設定本節ではリンクアグリゲーション概念とPAS-KにポートトランキングとLACPを設定する方法について説明します。

リンクアグリゲーションリンクアグリゲーションは複数のポートを一つのグループ（トランクグループ）に設定し、一つの論理的ポートとして使用できるようにす

る機能です。リンクアグリゲーションを使用すると、複数のファーストイーサネットまたはギガビットイーサネットポートを一つのトランク

グループとして設定し、これを帯域幅が大きい一つのポートとして使用することがきます。複数のポートがまるで一つのポートのように

動作するため、VLAN、STP、IGMPなどでは一つのポートとして管理します。上記のように帯域幅を拡張する機能の他にもリンクアグリゲーションを使用すると、トランクグループに属したいくつかのポートの中か

ら一部のポートにトラブルが発生して正常に動作しない場合には残りのポートより通信を続けられるため、システムの安全性を高め

ることができます。 PAS-Kがサポートするリンクアグリゲーション種類にはポートトランキングとLACPの２つがあります。

ポートトランキングポートトランキングは複数のポートを一つのグループ（トランクグループ）に設定し、一つの論理ポートとして使用できるようにする機能

です。ポートトランキングを使用すれば、複数のポートを一つのトランクグループに設定し、これを帯域幅が大きい一つのポートで使う


LACP 汎用プロトコルであるLACP（Link Aggregation Control Protocol）はポートトランキング機能のように2つ以上のポートを一つの論

理ポートとして統合し、より広い帯域幅を使用できるようにする機能です。ポートトランキング機能とLACPの異なった特徴は、ポートを統合する論理的な統合ポート（Aggregator）と論理ポートに統合される対

象になる物理的なメンバーポートのみ設定しておくと、自動で統合した帯域幅を形成してくれるという点です。これによってLACPはポ

ートトランキングに比べて設定が容易で、環境変化によって迅速に対応することができます。

LACP動作モード PAS-KがサポートするLACP動作モードにはAcitveモードとpassiveモードの２種類があります。passiveモードに設定されたポートは

Activeモードで設定された対象装置のポートが存在する場合のみLACP動作を行います。Activeモードポートはpassiveモードポート

より優先順位が高いので、基準になります。したがってpassiveモードポートはActiveモードポートの設定を参照することになります。

LACP優先順位の設定相互接続された二つの装置のLACP動作モードがActiveモードで設定されている場合には、どの装置を基準にするかの優先順位を

設定する必要があります。PAS-Kはこのような場合に揃って装置の優先順位設定ができます。互いに接続した二つの装置がそれぞ

れActiveモードとpassiveモードに設定されると、Activeモードに設定された装置が基準になり、全てActiveモードに設定されていた場

合には優先順位値が低い装置が基準になります。優先順位が同じ場合にはMACアドレス値が小さい装置が高い優先順位を持ちま

す。

メンバーポート優先順位の設定一つの統合ポート（Aggregator）には最大16つのポートをメンバーポートとして設定することができ、その中で8つのメンバーポートの

みがイネーブルになります。例え、メンバーポートとして10個が設定されていた場合にはポートが持っている優先順位値（Port ID）が

低い順番通りに８つのポートが決められます。しかし、ポートが有する優先順位値と関係なくメンバーポートとして設定したいポートが

あった場合にはユーザーが優先順位を直接設定することができます。

67


負荷分散方式の設定統合ポートを通るパケットは設定された基準により各メンバーポートに分散して処理されます。この方法によって特定のメンバーポー

トでのトラフィック集中を防止し、より安定的で効率的な統合ポート運営が可能になります。設定できる負荷分散方式は次の通りです。

負荷分散方式意味

dst-ip 宛先IPアドレス基盤のハッシュ方式

dst-mac 宛先MACアドレス基盤のハッシュ方式

src-dst-ip 宛先と送信元IPアドレスのXOR値を使用したハッシュ方式

src-dst-mac 宛先と送信元MACアドレスXOR値を使用したハッシュ方式

src-ip 送信元IPアドレス基盤のハッシュ方式

src-mac 送信元MACアドレス基盤のハッシュ方式

リンクアグリゲーション設定時の注意事項 PAS-Kにポートトランキングを設定する時は、次の事項に注意しなければなりません。

• PAS-K には合計 7 個のトランクグループを作ることができ、各トランクグループには 2～8 個のポートを含ませることができます。

• トランクグループ内の全てのポートは必ず同じ速度でなければならず、1 つのポートは同時に 2 つ以上のトランクグループに属す

ることができません。

• トランクグループに含まれるポートは全て同じ VLAN に含まれていなければならず、tagged オプションが同一でなければなりま

せん。

• トランクグループ及び LACP にメンバーポートとして設定されたポートは VLAN 設定を変更することができません。メンバーポー

トを VLAN に含ませるためには先に VLAN を設定した後にポートトランキング或は LACP のメンバーポートに設定します。

• トランクグループ及び LACP に含まれているメンバーポートの設定は変更することができません。

参考: トランクグループはポートランキングとLACPそれぞれ7つずつを作ることができるわけではありません。ポートトランニングとLACPをあ

わせて合計7つまで作ることができます。


68

CLIでの設定本節ではCLIでポートトランキングとLACPを設定する方法を説明します。

ポートトランキングの設定ポートトランキングを設定するためには、＜設定モード＞で次の過程を実行します。


1 trunk <NUM> port <PORT>

トランクグループに含めるポートを設定します。 • <NUM>

PAS-K にあらかじめ定義されているトランクグループの名前を入力（設定

範囲： 1 ~ 4） • <PORT> 複数のポートを設定する場合には「,（コンマ）」を使ってポートを区分し、連

続されたポートを設定する時には「-（ハイフン）」を使用

2 trunk <NUM> load-balance {dst-ip | dst-mac | src-dst-ip | src-dst-mac | src-ip | src-mac}

トランクグループに属する全てのポートに適用する負荷分散方式を設定しま

す。（デフォルト： src-dest-MAC）

参考：トランクグループを削除するためには、＜設定モード＞で次のコマンドを使用します。 (config)# no trunk <NUM>

トランキング設定情報の表示設定したトランクグループの設定情報を確認するためには、＜設定モード＞で show trunk コマンドを使用します。


して下さい。

69


LACPの設定 LACPを設定するためには、＜設定モード＞で下記の過程を実行します。


1 lacp <NUM> port <NAME> mode {active | passive}

LACPの統合ポートのグループ番号を設定します。 • <NUM> 統合ポートグループの番号（設定範囲： 1 ~ 7）

注意: LACPの統合ポートグループにはポートトキングのトラン

クグループに設定した番号は使えません。

統合ポートに含ませるポート名を設定します。 • <NAME> 複数のポートを設定する場合には「,（コンマ）」を使ってポートを区分

し、連続されたポートを設定する時には「-（ハイフン）」を使用

LACPの動作モードを設定します。 • active

PAS-K の設定により LACP が動作します。対象装置も Active モード

である場合には優先順位が高い装置が基準になります。 • passive 対象装置の設定により LACP が動作します。

2 lacp <NUM> port <NAME> priority <PRIORITY>

メンバーポートの優先順位を設定します。 • <NUM> 統合ポートグループの番号（設定範囲： 1 ~ 7）

• <NAME> 統合ポート含ませるポート名 • <PRIORITY> メンバーポートの優先順位

設定範囲： 1 ~ 65,535 （デフォルト： 32,768)

3 lacp <NUM> load-balance {dst-ip | dst-mac | src-dst-ip | src-dst-mac | src-ip | src-mac}

統合ポートグループに属している全てのポートに適用する負荷分散方

式を設定します。 • <NUM> 統合ポートグループの番号（設定範囲： 1 ~ 7）

• load-balance 負荷分散方式の種類（デフォルト： src-mac）

参考：設定したLACPグループを削除するためには、＜設定モード＞で次のコマンドを使用します。 (config)# no lacp <NUM>

LACP優先順位の設定 LACP優先順位を設定するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

lacp-system priority <PRIORITY> 装置の優先順位を設定します。 • <1-65535> 設定範囲： 1 ~ 65,535 （デフォルト： 32,768）

参考: 設定した装置の優先順位の設定情報はshow lacp-systemコマンドを使用して確認することができ、設定した優先順位を削除する

ためには、＜設定モード＞でno lacp system-priorityコマンドを使用します。

LACP設定情報の表示設定したLACPグループの設定情報を確認するためには、＜設定モード＞で show lacp コマンドを使用します。


て下さい。


70

ポートフェイルオーバーの設定概要

ポートフェイルオーバー（Failover）は複数（最大４つ）のポートを1つのグループとして設定してアクティブポートに障害が発生するとバ

ックアップポートがマスターポートの役割を実行する機能です。 PAS-Kには最大4つのポートフェイルオーバーグループが設定でき、1つのポートフェイルオーバーグループには2 ~ 4つのポートを

設定することができます。ポートフェイルオーバーグループを設定するとグループに含まれたポートの中で優先順位が最も高いポート

がアクティブポートになり、リンクアップ状態で動作します。アクティブポート以外のポートはバックアップポートになり、リンクダウン状

態で動作します。アクティブポートに障害が発生するとバックアップポートの中で優先順位が最も高いポートがリンクアップ状態になり

アクティブポートとして動作します。ポートフェイルオーバーグループ内で各ポートの優先順位は重み付け、ポート番号、帯域幅（ポート速度）の順番で決定されます。デ

フォルトでポートに設定されている重み付けが大きいほど優先順位が高いです。重み付けが同一である場合（重み付けを設定しない

場合。デフォルト： 0）にはポート番号が小さいほど優先順位が高くなります。PAS-Kのge1~ge2、xg1~xg2のようにポート番号が同

一である場合には帯域幅が大きいほど優先順位が高くなります。

ポートフェイルオーバー設定ポートフェイルオーバーを設定するためには、＜Interface設定モード＞で次のコマンドを使用します。

コマンド説明

trunk-active-backup <CHANNEL-GROUP> port <PORT> weight <WEIGHT>

ポートフェイルオーバーグループの番号とポートの重み付けを設定

します。 • <CHANNEL-GROUP> ポートフェイルオーバーグループの番号を入力設定範囲： 1 ~ 4

• <PORT> グループに含ませるポートを設定

• <WEIGHT> グループに属しているポートの重み付けを設定。設定範囲： 1 ~ 4 （デフォルト： 0）

参考：各ポートに重み付けを設定するためには、trunk-active-backup コマンドを繰り返し実行します。重み付けを

設定しない場合にはデフォルトで「0」に設定され、優先順位

は一番低くなります。

注意：ポートトランキングまたはLACP機能が設定されたポートはポートフェイルオーバー機能を設定することができません。

参考：ポートフェイルオーバーグループを削除するためには、＜設定モード>で次のコマンドを使用します。 (config)# no trunk-active-backup <CHANNEL-GROUP>

ポートフェイルオーバー情報の表示ポートフェイルオーバー設定の情報を確認するためには、＜設定モード＞で show trunk-active-backup コマンドを使用します。


て下さい。

71


STP/RSTP/PVSTP/MSTP の設定 STPの概要

一つの宛先に対していくつかの経路を持ったネットワークは、1つの経路を使用できなくなった時に残りの別の経路を通じてパケットを

継続して送ることができます。しかし、経路が複数の場合、ネットワーク上に「ループ（Loop）」が作られる問題が発生します。2つのノ

ード間にループが作られると、パケットをブロードキャスト（broadcast）した時に無限に送信が繰り返されるようになります。このような

ループはネットワークトラフィックを激増させ、ネットワークを不安定にさせる要因になります。下のようなネットワークはスイッチAからスイッチCまで到逹できる2つの経路が存在します。直接接続された経路2とスイッチBを経由

した経路1と経路3を通じた経路です。このように1つの宛先に対して2つ以上の経路が存在するネットワークはループが作られます。例えば、次の図でスイッチAがパケット

をブロードキャストするようになれば、スイッチCは経路2を通じて受信したパケットを経路1を通じて再びスイッチAに転送してループ

が作られます。逆にスイッチA→スイッチB-スイッチC-スイッチAのループも作られます。

[図 – ループが作られるネットワーク構成]

STP（Spanning Tree Protocol）は複数の経路が存在するネットワークで、このようなループが作られるのを防止するために使用す

るプロトコルで、IEEE 802.1D標準規格に明記されています。STPはループを防止するために、1つのスイッチをルートにするツリー

（スパニングツリー）を定義します。スパニングツリーでは１つのノードに２つ以上の経路が存在する場合、優先順位などを考慮して最

も良い１つの経路を選択してスパニングツリーに含ませます。そして、その経路を除いた残りの経路をブロック状態（フレームを転送し

ない状態）にして、スパニングツリーから除きます。それから、トラフィックを処理する時にはブロック状態ではない最適の経路を通じて

パケットが送信されるようにします。前述のネットワークで経路3をブロック状態にすれば、スイッチAでスイッチCまでの経路がただ１つ（経路2）だけ存在するので、ルー

プ現象を防ぐことができます。

[図 – ループを防止したネットワーク構成]

単一経路だけ存在するSTPで経路に問題が発生すれば、ブロック状態にあった経路をフォーワード状態（トラフィックを送信する状

態）に変更してネットワークの可用性を高めます。

スイッチA

スイッチB スイッチC

経路 1

経路 3

経路 2

スイッチA

スイッチC

経路 1

(Forwarding)

経路 2

(Forwarding)

経路 3

(Blocking) スイッチB


72

BPDU (Bridge Protocol Data Unit) スパニングツリーはルートスイッチ、指定スイッチ、ルートポート、指定ポートなどから構成されます。ルートスイッチは文字通りスパニ

ングツリーのルートになるスイッチで、ルートスイッチを基準にしてスパニングツリーが作られます。指定スイッチは各LANセグメントか

らルートスイッチにパケットをフォワーディングする時に使用されるスイッチです。ルートポートは指定スイッチからルートスイッチにパ

ケットをフォワーディングする時に使用されるポートです。指定ポートは指定スイッチのポートの中で下位のLANに直接接続されるポ

ートです。

[図 – STP構成要素]

上のようにスパニングツリーに参加するスイッチとポートを決めるため、スイッチはBPDUを交換します。BPDUには次のような情報が

含まれています。

ルートスイッチのブリッジID

ルートスイッチまでの経路コスト

BPDUを送信するスイッチのブリッジ

BPDUのエージング時間

BPDU送信するインターフェースのID

スパニングツリータイマー値（hello、forward delay、max-age）ブリッジIDはルートスイッチを選出する時に使用される値です。ブリッジIDはスイッチの優先順位(上位2バイト)とMACアドレスで構成

されていますが、最も高い優先順位を持ったスイッチがルートスイッチに選出されます。優先順位の値が低いほど優先順位は高いで

す。もし全てのスイッチの優先順位が等しい場合には、MACアドレスを比べて一番低いMACアドレスを持ったスイッチをルートスイッ

チに選択します。経路コストはルートポートと指定スイッチを選択する時に使用される値です。スイッチがルートスイッチにパケットを送る時に一番良い

経路(コストが一番少ない)を提供するポート、すなわち、ルートスイッチまでの経路コストが一番少ないポートがルートポートになりま

す。そして、LANからルートスイッチまでパケットをフォワーディングする時に、経路コストが一番低いスイッチが指定スイッチになります。

指定スイッチのポートの中でLANに直接接続されるポートが指定ポートになります。もし経路コストが等しい場合にはブリッジIDの優

先順位を使います。ブリッジIDの優先順位が低いスイッチが指定スイッチになります。

参考：ルートポートと指定ポートを除いて通信ができないポートはブロックポートと言います。

ルートスイッチ

ルートポート

指定スイッチ

指定スイッチ

指定スイッチ

指定ポート

ルートポート

73


BPDUには3つのタイマー値（hello、forward delay、max age）が含まれます。このタイマーはスパニングツリー全体の性能に影響

を及ぼすタイマーであり、次のような機能をします。

[表 – STPタイマー]

タイマー説明

Hello timer Helloメッセージ送信周期。ルートスイッチがどれくらいの周期でBPDUメッセージを他のスイッチにブロードキャスト

するかを決めるタイマー値。

Forward delay

timer

listening状態とlearning状態をどれくらいの時間維持するかを決めるタイマー値。listening状態でforward delay時間が経過すると、learning状態に移って、再びlearning状態でforward delay時間が経過すればフォーワード状態

になります。このタイマーは変更されたトポロジー情報がスパニングツリーに十分に伝える前にポートがフォーワー

ド状態になってループが作られる現象を防止します。

Max age timer BPDUのエージング時間（有効時間）。スイッチが受信したプロトコル情報（BPDU）をどれくらいの時間保存するか

を決めるタイマー値。Max ageタイマーの時間を過ぎるとBPDUを削除します。

ポート状態 STPはネットワーク上のポートを次の5つの状態に設定します。

Blocking 状態 - フレームを転送しない状態。STPが動作するポートの基本状態

Listening 状態 - Blocking状態でフォーワード状態に移る前に最初に経る状態

Learning 状態 - フレーム送信を準備する段階の状態

Forwarding 状態 - トラフィックを送信する状態

Disabled 状態 - STPがディスエーブルされたか、フレームの送信ができない状態

ポートがこのような5つのポート状態を経る過程を下図に示します。

[図 – STPの動作するポートの状態変化]

STPの動作するポートは常にブロック状態でスタートします。STPが動作するように設定されたスイッチは初期化される時に、自分が

ルートスイッチだと仮定して全てのポートを通じて接続された装置にBPDUを送ります。ブロック状態のポートはBPDUを除いた全て

のフレームを削除します。BPDUを受信したポートはlistening状態になります。

listening状態のポートは他の装置とBPDUを交換して、ルートスイッチを決めるなどの作業を行います。そして、forward delayの時

間が経過した後にlearning状態に移ります。

Forwarding 状態

(Forwarding State)

Listening 状態

(Listening State)

Forward delay

PAS-K

BPDU転送

Blocking 状態

(Blocking State)

Learning 状態 (Learning State)

Disabled 状態

(Disabled State)


74

learning状態のポートはフレームを送るために、MACアドレスを学習します。そして、forward delayの時間が経てばフォーワード状

態になります。ポートがフォーワード状態になる前までに受信されたフレームは全て削除されて、フォーワード状態になった後からは

受信されたフレームがポートを通じて送信されます。

disabled状態のポートはスパニングツリーに参加しないポートで、ポートが動作しないとかリンクが接続されていなかったり、STPが動作しなかったりするポートです。この状態のポートはBPDUの送受信は行わず、フレームも送りません。

経路の選択 STPは経路を選択する時、すなわち、どのスイッチを通じてパケットを送るかを決める時、スパニングツリー方式を使用します。スパニ

ングツリー方式は実際のトポロジー上でのポートの役割を基準にして、ネットワークを通じてループが作られない一番良い経路を計

算します。

スイッチに2個のインターフェースがループを形成される場合には、ポートの優先順位と経路コストによってどのインターフェースをフォ

ーワード状態にして、残りのインターフェースをブロック状態にするかを決めます。ポートの優先順位は主にネットワーク上でインター

フェースの位置を示し（トラフィック送信にどれくらい容易な位置にあるのか）、経路コストはインターフェースの物理的な速度を表しま

す。

スパニングツリーは冗長経路を待機状態、すなわちブロック状態に設定します。スパニングツリーの特定ネットワークセグメントが動

作しない時（リンクが切れるなど）に、スパニングツリー方式はスパニングツリートポロジーをもう一度計算して待機状態にある冗長経

路をフォーワード状態に変更します。

75


RSTPの概要 STPがイネーブルされネットワークにBPDUが送信される間に、ネットワークの他の場所ではトポロジーが連鎖的に変更されます。こ

のように良く変更されるトポロジーが収束（convergence）されるまでは、多くの時間がかかります。IEEE 802.1wに定義されているRSTP（Rapid Spanning-Tree Protocol）は既存のSTPの短所を補完してより早く収束（convergence）ができるようにしてくれるプロト

コルです。

RSTP（802.1w）はSTP（802.1D）での用語や設定パラメータがそのまま使えるので、容易に設定することができます。また、RSTP（802.1w）はSTP（802.1D）と互換性があります。

STPとRSTPの一番大きい差はポートが経る状態です。STPはblocking → listening → learningの遷移を経た後にトラフィックを送

信できるフォーワード状態になります。しかし、RSTPはブロック状態からすぐにフォーワード状態に遷移されます。このような方法でRSTPはトポロジーの変更をすぐスパニングツリーに適用することができます。

ポートの状態 RSTP 802.1wはポートの状態をdiscarding、learning、forwardingの3つで定義します。learning、forwarding状態は同じで、discarding状態はSTPのdisabled、blocking、listening状態を全て含んでいます。

RSTPはルートポートと指定ポートをフォーワード状態で設定し、alternateポートとbackupポートをdiscarding状態で設定します。alternateポートは他の装置から優先順位が高いBPDUを受信することによってblockedされたポートを意味し、backupポートは同じ装置

の他のポートから優先順位が高いBPDUを受信したことによってblockedされたポートを意味します。BPDUはルートポートと指定ポ

ートにだけ転送されます。

次の図はalternateポートとbackupポートを説明したものです。

[図 – AlternateポートとBackupポート]

BPDUトポロジーの変化 STPはルートスイッチにだけ設定されているhello-timeによってBPDUを転送し、ルートスイッチ以外のスイッチはルートスイッチからBPDUを受信した時にだけ自分のBPDUを送信します。しかし、RSTPはルートスイッチではない全てのスイッチもhello-timeによってBPDUを送信します。

このプロトコルによりRSTPは高速に経路決定が可能になります。

スイッチD

指定ポート


指定ポート Backupポート

指定ポート

Alternateポート


: BPDUの流れ


76

ネットワークコンバージェンス時間の短縮 STPはリンクトポロジーに変化がある場合、次のような方法でコンバージェンスします。下の図のようにスイッチAとルートスイッチの

間に新しいリンクが確立されたと仮定します。ルートスイッチとスイッチAは直接に接続されていないが、スイッチDを通じて間接的に

接続されている状態です。スイッチAとルートスイッチが新しく接続されると、2つのスイッチはとりあえずlisteningの状態になるため、

ポートの間にパケットを送受信するのができないし、したがって、ループも発生しません。

このような状態でルートスイッチがスイッチAへBPDUを送信すれば、スイッチAはスイッチBとスイッチCに新しいBPDUを送信し、スイ

ッチCもスイッチDへ新しいBPDUを送信することになります。スイッチCからBPDUを受信したスイッチDは新しいリンクの確立によっ

てループが発生することを防ぐために、スイッチCと接続されたポートをBlockingの状態にします。

[図 – STPのネットワーク収束(convergence)]

このような方法でループ現状を防ぐことは画期的な方法ですが、スイッチDがスイッチCと接続されたポートを防ぐまでBPDUのForward-delay時間を2回過ごす間に通信が切れる問題があります。

しかし、RSTP機能は通信が切れる時間を短縮するために次のようなプロセスを経ます。スイッチAとルートスイッチの間に新しいリン

クが確立されます。そうすると、スイッチAとルートスイッチの間はパケットの送受信することができませんが、BPDUは送受信できる

状態になります。

[図 – RSTPのネットワークConvergence ①]

スイッチA



スイッチD

① 新しいリンクが確立

② Listening

状態で

BPDU

転送

③ Loop現状を防ぐために

Blocking : BPDUの流れ

スイッチA



スイッチD

① 新しいリンク確立

② スイッチAとルートスイッ

の間でハンドシェイク

(トラフィックBlocking)

77


ルートスイッチとスイッチAはBPDUを比較しながらハンドシェイクを行い、ルートスイッチとスイッチAの間のリンクをforwardingの状態

にするためにスイッチAのnon-edge designateポート（ホストに直接接続されていないポート）をblockingの状態に変更します。スイッ

チAとルートスイッチは接続されているが、スイッチAとスイッチB、スイッチCの接続を防いだので、ループは発生しません。この状態

で次の図のようにルートスイッチのBPDUはスイッチAを通じてスイッチBとスイッチCへ送信されます。スイッチAをforwardingの状態

にするためにはまたスイッチAとスイッチB、スイッチAとスイッチCの間にハンドシェイクが始まります。

[図 – RSTPのネットワークConvergence ②]

スイッチBはedge指定ポート（ホストに直接接続されているポート）だけを持っています。edge指定ポートはループが発生しないので、

RSTPではforwardingの状態に変換できるように定義しています。したがって、スイッチBはスイッチAをforwardingの状態にするため

に特別にblockingするポートはありません。

しかし、スイッチCはスイッチDと接続されたポートがあるので、スイッチAをforwardingの状態に変換するためには該当ポートをblockingの状態にしなければなりません。

[図 – RSTPのネットワーク収束(convergence) ③]

結果的にスイッチDとスイッチCの接続をblockingにするのはSTPと同一です。しかし、RSTPは特定ポートをforwardingの状態にす

るために装置間で起こるハンドシェイクにユーザーが設定した時間基準（Hello Time,Forward Delay Time, Maximun Aging Time）が使用されず、ポートがForwardingの状態になる過程でのlisteningとlearning状態が必要ありません。したがって、ネットワークコ

ンバージェンス時間を画期的に短縮することができます。

スイッチB

スイッチA

スイッチC

Rootスイッチ

スイッチD

③ Forwarding状態

③ スイッチAとスイッチCの

間に協商


③ スイッチAとスイッチBの

間に協商


スイッチA



スイッチD

④ Forwarding状態

④ Forwarding状態

④ スイッチAをForwarding

状態にするためBlocking


78

PVSTP/MSTPの概要 PAS-Kは、効率的にネットワークを運用するために、既存のLANドメインを論理的に細分化したVLAN概念を導入してネットワークを

構成し、VLAN別またはVLANグループ別にSTPを設定できるPVSTP（Per VLAN Spanning Tree Protocol）、MSTP（Multiple Spanning Tree Protocol）をサポートします。従来のSTPが一つのLANドメインでループを防止するために使われたプロトコルならば、PVSTP（Per VLAN Spanning Tree Plus）はVLAN環境に合う経路設定のためにVLAN別にSTPを構成するように強化されたプロトコルです。 PVSTPではinstanceごとにVLANを一つずつのみ設定でき、各instanceでSTPが一つずつ動作します。もし、ネットワークにVLAN IDが各々10、20、30、40、50、60の6つのVLANがあるとすると、VLAN別にSTPは一つずつ動作するために合計6つのSTPが動作

するようになります。 PVSTPはConvergence時間が遅く、VLANが多い場合にはハードウェアの負荷が増加する不具合があります。このような不具合を

補完するのがMSTP（Multiple Spanning Tree Protocol）です。少数のVLANがある場合には問題がないが、例えば200個のVLANがあるネットワークにPVSTPを適用すると200個のSTPが動作

するようになり、これを処理するため装置に相当の負荷が発生することになります。このような問題への解決策がIEEE 802.1s標準

のMSTP（Multiple Spanning Tree Protocol）です。 MSTPはRSTPのような高速Convergenceを使います。MSTPは一つのinstanceにいくつかのVLANが割り当てられ、instance別に

一つのSTPが動作するためPVSTP+に比べてSTPの数を減らすことができます。MSTPのinstanceは再びRegionで統合できます。

一つのネットワーク環境で設定できるRegionの数には制限がなく、一つのRegionには最大64個のinstanceが設定できます。 MSTPで使うRegionはMST Regionと呼ばれ、同じConfiguration IDを持つグループにVLANを分けます。Configuration IDはRevision name、Revision、VLAN mapで構成されます。したがって、Configuration IDが同一になるためにはこの３種類が全て同様で

なければなりません。各Regionで動作するスパニングツリーをIST（Internal Spanning-Tree）といい、各Regionのスパニングツリーを全て接続した際に適

用されるスパニングツリーをCST（Common Spanning-Tree）といいます。そして、このISTとCSTを合わせてCIST（Common & Internal Spanning-Tree）といいます。次はIST、CST、CISTの関係を表した図です。

[図 – IST、CST、ICSTの関係]

MST RegionにはIST instanceとMSTI（Mutiple Spanning Tree Instance）が動作します。IST instanceはMST Regionに基本的

に割り当てられたスパニングツリーinstanceで、ID値の0番が割り当てられているためMSTI0とも呼ばれます。一つのMST Regionに追加で割り当てられたinstanceをMSTIといい、このinstanceには少なくとも一つ以上のVLANが含まれなければなりません。 MST Region内部のスパニングツリーはRSTPと同じ方式で動作します。次の図のようにVLAN IDが各々10、20、30、40、50、60の6つのVLANがあって、MSTI 1にはVLAN 10、20、30が割り当てられ、MSTI 2にVLAN 40、50、60が割り当てられている場合、MST Region内部のスパニングツリーは次の通り動作します。

IST

MST Region

IST ルートスイッチ

CST

CIST = IST + CST

CIST Root

IST

MST Region

Boundaryスイッチ


Boundary スイッチ

79


まずブリッジIDが最も低いスイッチがISTルートスイッチとして決められます。MSTIは優先順位を調整しなければ、基本的にISTルー

トスイッチと同様に動作します。しかし、下の図のようにそれぞれのスイッチでMSTIの優先順位を調整するとMSTI別に違った動作を

するように調整できます。

[図 – MST Regionでのスパニングツリー動作]

CIST領域にはCISTルートスイッチが一つ存在し、各MST RegionにISTルートスイッチが一つずつ存在します。すべてのスイッチの

中から最も低いブリッジID値を持つスイッチがCISTルートスイッチに選ばれ、各MST RegionでCISTルートスイッチへ行く経路コスト

が最も低いBoundaryスイッチがISTルートスイッチに選ばれます。BoundaryスイッチはMST Region外部の他の領域からBPDUを

送信されるスイッチをいい、該当BPDUを送信されるポートはBoundaryポートといいます。 CISTルートスイッチを含むMST RegionのすべてのBoundaryポートはDesignatedポートとして選ばれ、全てForwarding状態になり

ます。CISTルートスイッチを含むMST RegionのISTルートスイッチはCISTルートスイッチと同様です。 ISTルートスイッチに選ばれたBoundaryスイッチはBoundaryポートの中の一つをルートポートとして選定し、残りのBoundaryポート

をBlocking状態に変更します。そしてISTルートではないスイッチのBoundaryポートはDesignatedポートまたはAlternateポートに選

ばれます。

スイッチB (MSTI1 ルートスイッチ)

スイッチC

スイッチA

スイッチB スイッチC (MSTI2 ルートスイッチ)

スイッチA

スイッチC

スイッチB

スイッチA (IST ルートスイッチ)

優先順位 MSTI1 = 8 MSTI2 = 8

MSTI 1 = VLAN 10, 20, 30 MSTI 2 = VLAN 40, 50, 60










80

[図 – CIST ルートスイッチ選定とポートBlocking]

経路コストが上の図のようで、スイッチ1が最も低いブリッジIDを持っていて、2、3、4、…順番で後につく数字が小さいほど低いブリッ

ジIDを持っているとすると、ルートスイッチの選定とポートの状態変化の過程は次の通りです。 1. スイッチ1がCISTとMST Region 1のルートスイッチに選ばれ、MST Region 1のすべてのBoundaryポートがForwarding状態

になります。 2. 各MST Regionで最も低いBIDを持つスイッチ4とスイッチ7がそれぞれMST Region 2とMST Region 3のISTルートスイッチに

選ばれます。各MST RegionでISTルートスイッチが選ばれればMST Region内部のポートはSTPの場合と同様に最も高いブリ

ッジIDを持つスイッチのNon-designatedポートがBlocking状態になります。 3. 最後にISTルートスイッチのBoundaryポートの中でCISTルートスイッチと接続された経路コストが一番少ないポートがルートポー

トとして設定され、残りのポートは全てBlocking状態に変更されます。

スイッチ6

10

経路費用=10

10


10

20

Region 1

スイッチ1

スイッチ3

スイッチ2

CIST ルートスイッチ IST ルートスイッチ

Region 3

スイッチ9

スイッチ7

スイッチ8

10

Region 2

スイッチ4

スイッチ5


81


CLIでの設定本節ではCLIでSTPとRSTP、PVSTP、MSTPを設定する方法について説明します。

参考： STP/RSTP/PVSTP/MSTPを設定する過程で、ポートを設定する場合にはリンクアグリゲーション機能により設定されたトランクグ

ループまたは統合ポートを使用することができます。

スパニングツリーのイネーブルスパニングツリーをイネーブルさせるには、＜設定モード＞で次のコマンドを使用します。デフォルトでは全てディスエーブルになって

います。

コマンド説明

stp status {enable | disable} STP をイネーブルまたはディスエーブルします。

rstp status {enable | disable} RSTP をイネーブルまたはディスエーブルします。

pvstp status {enable | disable} PVSTP をイネーブルまたはディスエーブルします。

mstp status {enable | disable} MSTP をイネーブルまたはディスエーブルします。

注意: 1つの装置にはSTPとRSTP、PVSTP、MSTPを同時に設定することができません。他のスパニングツリーを使用するためには、動作

しているスパニングツリー機能をディスエーブルしなければいけません。

注意: STPとポートトランキング機能は同時に設定することができません。

ルートスイッチの設定 STP/RSTP/PVSTP/MSTP機能を実行させるためにはまず、ルートスイッチが決まっていなければなりません。STP/RSTPではルー

トスイッチが、MSTPではISTルートスイッチになります。ブリッジIDはスパニングツリーのルートスイッチを選ぶ時に使う優先順位の値

です。ユーザーは該当PAS-Kの優先順位を高めて（優先順位の値が小さい程優先順位が高まります）ルートスイッチになるように設

定できます。このような設定はスパニングツリーがトポロジーを再計算するようにさせ、優先順位が高いPAS-Kをルートスイッチとして

選びます。ブリッジ優先順位を設定するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

stp priority <PRIORITY> ルートスイッチを選ぶための優先順位を設定します。 • <PRIORITY> 設定範囲： 0 ~ 15 （デフォルト： 8）

rstp priority <PRIORITY>

pvstp priority <PRIORITY>

mstp priority <PRIORITY>

パスコストの設定経路コストを設定すると、ルートブリッジまで最短となるポートとしてルートポートを選出します。一般的に高い帯域幅のポートには少

ないコスト値を、低い帯域幅ポートには高いコスト値を割り当てます。設定できるコスト範囲は1 ~ 200,000,000間であり、スパニング

ツリーモードとポートの速度によって次のようなデフォルトコスト値が設定されています。

[表 – ポート速度によるデフォルトパスコスト]

速度デフォルトパスコスト

10 Mbps 2000000

100 Mbps 200000

1 Gbps, 10 Gbps 20000


82

ポートに対するパスコストを設定するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

stp port <NAME> path-cost <PATH-COST> ポートに対するパスコストを設定します。 • <PATH-COST> 設定範囲： 1 ~ 200,000,000

rstp port <NAME> path-cost <PATH-COST>

pvstp port <NAME> path-cost <PATH-COST>

mstp port <NAME> path-cost <PATH-COST>

ポート優先順位の設定一番低い優先順位値を持つポートは全てのVLANに対してフレームをフォワーディングします。ポートの優先順位を設定するために、

＜設定モード＞で次のコマンドを使用します。

コマンド説明

stp bridge-hello-time <BRIDGE-HELLO-TIME> ポートの優先順位を設定します。 • <BRIDGE-HELLO-TIME> 設定範囲： 0 ~ 15 （デフォルト： 8）

rstp bridge-hello-time <BRIDGE-HELLO-TIME>

pvstp bridge-hello-time <BRIDGE-HELLO-TIME>

mstp bridge-hello-time <BRIDGE-HELLO-TIME>

Helloタイムの設定ユーザーは、特定のVLANが他のVLANにhelloメッセージをどのくらい頻繁にブロードキャストするかを設定することができます。特

定VLANのスパニングツリーhelloタイム（helloメッセージを送るインターバル）を変更するためには＜設定モード＞で次のコマンドを

用います。

コマンド説明

stp hello-time <HELLO-TIME> Hello タイムを設定します。 • <HELLO-TIME>, <BRIDGE-HELLO-TIME> 設定範囲： 1 ~ 10（秒）（デフォルト： 2 秒）

rstp hello-time <HELLO-TIME>

pvstp bridge-hello-time <BRIDGE-HELLO-TIME>

mstp bridge-hello-time <BRIDGE-HELLO-TIME>

参考：設定したHelloタイムをデフォルトに戻すためには、＜設定モード＞で次のコマンドを使用します。 (config)# no stp bridge-hello-time (config)# no rstp bridge-hello-time (config)# no pvstp bridge-hello-time (config)# no mstp bridge-hello-time

フォワーディング遷移時間の設定フォワーディング遷移時間（forwarding-delay-time）はSTPが動作するポートの状態変化時間です。例えば、フォワーディング遷移時

間が10秒である場合、該当ポートは状態が変更されるまで10秒かかります。フォワーディング遷移時間を変更するためには＜設定

モード＞で次のコマンドを用います。

コマンド説明

stp bridge-forward-delay <BRIDGE-FORWARD-DELAY> フォワーディング遷移時間を設定します。 • <BRIDGE-FORWARD-DELAY> 設定範囲： 4 ~ 30（秒）（デフォルト： 15 秒）

rstp bridge-forward-delay <BRIDGE-FORWARD-DELAY>

pvstp bridge-forward-delay <BRIDGE-FORWARD-DELAY>

mstp bridge-forward-delay <BRIDGE-FORWARD-DELAY>

83


参考：設定したフォワーディング遷移時間をデフォルトに戻すためには、＜設定モード＞で次のコマンドを使用します。 (config)# no stp bridge-forward-delay (config)# no rstp bridge-forward-delay (config)# no pvstp bridge-bridge-forward-delay (config)# no mstp bridge-forward-delay

最大エージングタイムの設定最大エージングタイム（Maximum aging time）は受信したBPDUパケットの有効時間です。受信したBPDUパケットは最大エージン

グタイム値を超過した時に廃棄されます。特定VLANの最大エージングタイムを変更するためには、＜設定モード＞で次のコマンドを

使います。

コマンド説明

stp bridge-max-age <BRIDGE-MAX-AGE> BPDU パケットのエージングタイムを設定します。 • <BRIDGE-MAX-AGE> 設定範囲： 6 ~ 40（秒）（デフォルト： 20 秒）

rstp bridge-max-age <BRIDGE-MAX-AGE>

pvstp bridge-max-age <BRIDGE-MAX-AGE>

mstp bridge-max-age <BRIDGE-MAX-AGE>

参考：最大エージングタイムを設定する場合には、次の式を満たすHelloタイムとフォワーディング遷移時間を入力しなければなりません。

Maximum aging time≥(Hello Time+1)*2

Maximum aging time≤(Forward Delay Time-1)*2 例えば、最大エージングタイムが6の場合にhelloタイムは「1」または「2」だけ設定でき、最大エージングタイムが10の場合にフォワーディング

遷移時間は「6」以上の値で設定しなければなりません。

参考：設定した最大エージングタイムをデフォルトに戻すためには、＜設定モード＞で次のコマンドを使用します。 (config)# no stp bridge-max-age (config)# no rstp bridge-max-age (config)# no pvstp bridge-max-age (config)# no mstp bridge-max-age

Edgeポートの設定ポートに接続されている装置がネットワークブリッジではなくターミナル（一般ホスト）である場合にはSTPを動作させる必要がありま

せん。このようにターミナルと接続されているポートをedgeポートといいます。特定ポートをedgeとして設定すればBPDUを交換したり、

listeningとlearningの過程を経ずフォワード状態に遷移することになります。Edgeポートに設定されていてもBPDUを受信すると、そ

れ以降はedgeポートとして動作しません。このような場合には再度edgeポートを設定しなければなりません。

設定したポートをedgeポートに設定するためには＜設定モード＞で次のコマンドを使います。

コマンド説明

stp port <NAME> portfast {enable | disable} Edge ポートを設定または削除します。 • <NAME>

edge ポートを設定するポート名該当ポートの edge 設定をします。 • enable : edge ポートとして設定する。 • disable : edge ポートとして設定しない。

rstp port <NAME> portfast {enable | disable}

pvstp port <NAME> portfast {enable | disable}

mstp port <NAME> portfast {enable | disable}

MST Region設定 PAS-KにMSTPを設定する場合、MST Configuration IDを設定して装置がどのMST Regionに属するかを決めます。Configuration IDにはRegion name、Revision、VLAN mapが属することになります。Configuration IDを設定するためには、＜設定モード＞で

次の過程を実行します。



84

1 mstp region <REGION> 該当のRegion名を設定します。

2 mstp revision <REVISION>

Revision番号を設定します。同一MST boundary内のスイッチは全て同じRevision番号で設定します。 • <REVISION> 設定範囲： 0 ~ 255

Instanceの設定 PAS-KにPVSTP/MSTPを設定するためには、まずVLANを一つのinstanceに設定しなければなりません。

MSTP instance設定 MSTPのinstanceに含ませるVLANを設定してVLAN Mapを構成するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

mstp instance <ID> vlan <VLAN>

instanceに含ませるVLANを設定してVLAN Mapを構成します。 • <ID> 設定範囲： 1 ~ 15

• <VLAN> Instance に含める VLAN の ID

MSTPのinstanceに含ませるVLANを設定してからは各VLANに属するポートもMSTP instanceに含ませます。ポートをMSTP instanceに含ませるにはポートの＜設定モード＞で次のコマンドを使用します。

コマンド説明

mstp instance <ID> port <NAME> [path-cost <PATH-COST> | priority <PRIORITY>]

Instanceに含ませるポートを設定します。path-cost、priorityオプションを使

用するとinstanceポートにパスコストとポート優先順位を設定することができま

す。 • <ID> 設定範囲： 1 ~ 15

• <NAME> Instance に含ませるポート名

• <PATH-COST> 設定範囲： 1 ~ 200,000,000 （デフォルト： 20,000）

• <PRIORITY> 設定範囲： 0 ~ 15 （デフォルト： 8）

MSTP instanceの優先順位を設定するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

mstp instance <ID> msti-priority <MSTI-PRIORITY>

Instance の優先順位を設定します。 • <ID> 設定範囲： 1 ~ 15

• <MSTI-PRIORITY> 設定範囲： 0 ~ 15 （デフォルト： 8）

85


PVSTP instance設定 PVSTPのinstanceを設定するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

pvstp vlan <VLAN_NAME> instance <INSTANCE>

Instanceに含ませるVLANを設定します。 • <VLAN_NAME>

Instance に含ませる VLAN 名 • <INSTANCE> 設定範囲： 2 ~ 16

Instanceに含ませるVLANを設定した後には、各VLANに属するポートもPVSTP instanceに含ませなければなりません。ポートをPVSTPのinstanceに含ませるためには、ポートの＜設定モード＞で次のコマンドを使用します。

コマンド説明

pvstp vlan <VLAN_NAME> port <NAME> path-cost <PATH-COST>

Instance に含ませるポートを設定し、ポートに対するパスコストを設

定します。 • <PATH-COST> 設定範囲： 1 ~ 200,000,000 （デフォルト： 20,000）

pvstp vlan <VLAN_NAME> port <NAME> priority <PRIORITY>

Instance 含ませるポートを設定し、ポートの優先順位を設定しま

す。 • <PRIORITY> 設定範囲： 0 ~ 15 （デフォルト： 8）

PVSTP instanceの優先順位を設定するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

pvstp vlan <VLAN_NAME> priority <PRIORITY>

Instance の優先順位を設定します。 • <VLAN_NAME>

Instance に含まれている VLAN 名 • <PRIORITY> 設定範囲： 0 ~ 15 （デフォルト： 8）

PVSTPはInstance別にHelloタイム、フォワーディング遷移時間、最大エージングタイムを設定することができます。PVSTP instanceのHelloタイム、フォワーディング遷移時間、最大エージングタイムを変更するためには、＜設定モード＞で次のコマンドを使用しま

す。

コマンド説明

pvstp bridge-hello-time <BRIDGE-HELLO-TIME> Instance の Hello タイムを設定します。 • <BRIDGE-HELLO-TIME> 設定範囲： 1 ~ 10（秒）（デフォルト： 2 秒）

pvstp bridge-forward-delay <BRIDGE-FORWARD-DELAY> Instance のフォワーディング遷移時間を設定します。 • <BRIDGE-FORWARD-DELAY> 設定範囲： 4 ~ 30（秒）（デフォルト： 15 秒）

pvstp bridge-max-age <BRIDGE-MAX-AGE>

Instance の BPDU パケットの最大エージングタイムを設定しま

す。 • <BRIDGE-MAX-AGE> 設定範囲： 6 ~ 40（秒）（デフォルト： 20 秒）


86

設定情報の表示スパニングツリーの設定情報を確認するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

show stp [port <NAME>]

スパニングツリーの設定情報を確認します。port、vlan、instance オプ

ションを使用すると特定ポートまたは instance の情報を確認することが

できます。

show rstp [port <NAME>]

show pvstp [port <NAME>]

show mstp [port <NAME>]

show pvstp [vlan <VLAN_NAME> | port <NAME>]

show mstp [instance <INSTANCE>]| port <NAME>]


て下さい。

87


NAT64/DNS64 の設定 NAT64とDNS64はIPv6アドレスを使用するホストとIPv4アドレスを使用するサーバ間の通信をサポートする機能です。NAT64はSource NATプールに設定したIPv4アドレスを使用してIPv6アドレスをIPv4アドレスに変換してサーバに送信します。したがって、IPv4アドレスを使用するサーバの環境設定を変更しなくIPv6アドレスを使用するホストと通信ができます。 DNS64はNAT64と連動してIPv6アドレスを使用するホストのDNSクエリーメッセージに対して、IPv4アドレスを使用するサーバのIPアドレスをIPv6アドレスに変換してレスポンスする機能です。DNS64は単独で使用することができなく、NAT64と連動して使用しなけ

ればいけません。

CLIでの設定 Source NATプールの設定 Source NATプールはIPv6アドレスをIPv4アドレスに変換する際に使用するIPv4アドレス帯域です。Source NATプールを設定する

ためには、＜設定モード＞で次の過程を実行します。


1 lsn snat-pool <ID> ＜Source NATプール設定モード＞に移動します。 • <ID>

Source NATプールID （設定範囲： 1 ~ 16）

2 pool <POOL>

IPv6 アドレスを IPv4 アドレスに変換する際に使用する IPv4 アドレス帯域を設定しま

す。 • <POOL>

IPv4アドレス帯域/ネットマスクビット数を入力します。

3 proxy-arp-interface <PROXY-ARP-INTERFACE>

IPv4 ネットワークに対する ARP レスポンスを代りに実行する Proxy ARP インターフェ

ースを設定します。 • <PROXY-ARP-INTERFACE>

IPv4ネットワークに接続されているVLANインターフェース名

参考：設定したProxy ARPインターフェースを削除するためには、no proxy-arp-interface コマンドを使用します。.



参考：設定したSource NATプールを削除するためには、＜設定モード＞で no lsn snat-pool <ID> コマンドを使用します。


88

NAT64プレフィックスの設定 NAT64機能を使用するためにはNAT64を適用する送信元のIPv6アドレスをNAT64プレフィックスに設定しなければいけません。 NAT64プレフィックスを設定するためには、＜設定モード＞で次の過程を実行します。


1 lsn nat64-prefix <ID> ＜NAT64プレフィックス設定モード＞に移動します。 • <ID>

NAT64プレフィックスのID （設定範囲： 1 ~ 16）

2 network <NETWORK>

IP アドレスの変換に使用する IPv6 プレフィックスを設定します。 • <NETWORK>

IPv6プレフィックス/プレフィックス長さタイプで入力

参考：設定したIPv6プレフィックスを削除するためには、no network <NETWORK> コマンドを使用します。



参考：設定したNAT64プレフィックスを削除するためには、＜設定モード＞で no lsn nat64-prefix <ID> コマンドを使用します。

DNS64フィルターの設定 DNS64フィルターを設定するためには、＜設定モード＞で次の過程を実行します。PAS-Kには最大16個のDNS64フィルターが設定

できます。


1 lsn dns64-filter <ID> ＜DNS64フィルター設定モード＞に入ります。 • <ID>

DNS64のフィルターID （設定範囲： 1 ~ 16）

2 exclude-filter <EXCLUDE>

DNS64 機能を適用しない IPv6 ネットワークを設定します。 • <EXCLUDE>

DNS64機能を適用しないIPv6ネットワーク

参考：設定した exclude フィルターを削除するためには、no exclude-filter <EXCLUDE> コマンドを使用します。

3 include-filter <INCLUDE>

DNS64 機能を適用する IPv6 ネットワークを設定します。 • <INCLUDE>

DNS64機能を適用するIPv6ネットワーク

参考：設定した include フィルターを削除するためには、no include-filter <INCLUDE> コマンドを使用します。



参考：設定したDNS64フィルターを削除するためには、＜設定モード＞で no lsn dns64-filter <ID> コマンドを使用します。

89


DNS64ネームサーバの設定 DNS64機能を使用するためには、PAS-Kが受信したDNSクエリーにレスポンスするためのネームサーバIPアドレスを設定します。DNS64ネームサーバのIPアドレスを設定するためには、＜設定モード＞で次の過程を実行します。


1 lsn dns64-nsip ＜DNS64ネームサーバ設定モード＞に入ります。

2 nsip <NSIP>

ネームサーバのアドレスとして使用する IPv6 アドレスを設定します。 • <NSIP>

DNS64機能で使用するネームサーバのIPv6アドレス

参考：設定したネームサーバのアドレスを削除するためには、no nsip <NSIP> コマンドを使用します。



NAT64ルールの設定 NAT64機能を動作させるためのルールを設定するためには、＜設定モード＞で次の過程を実行します。PAS-Kには最大16個のNAT64ルールが設定できます。


1 lsn nat64 <NAME> ＜NAT64設定モード＞に移動します。 • <NAME>

NAT64ルールーの名前

2 type {stateful | stateless}

NAT64 ルールのタイプを設定します。 • stateful プロトコルのセッション状態とポートを考慮してNAT64を実行 • stateless プロトコルのセッション状態とポートに関係なくNAT64を実行（デフォルト）

3 nat64-prefix <NAT64-PREFIX> NAT64 ルールで使用する NAT64 プレフィックスの ID を設定します。 • <NAT64-PREFIX>

NAT64プレフィックスのID

4 dns64-filter <DNS64-FILTER>

NAT64 ルールで使用する DNS64 フィルターの ID を設定します。 • <DNS64-FILTER>

DNS64フィルターのID

参考：設定したDNS64フィルターを削除するためには、no dns64-filter コマンドを使用します。

5 map <IPV6-ADDR> to <TO>

固定 NAT64 の IP アドレスを設定します。固定 NAT64 の IP アドレスとして

設定された IP アドレスは対応される IP アドレスにのみ変換されます。 • <IPV6-ADDR>

IPv6のアドレス • <TO>

IPv4のアドレス

6 snat-pool <SNAT-POOL>

NAT64 ルールで使用する Source NAT プールの ID を設定します。 • <SNAT-POOL>

Source NATプールのID

参考：設定したSource NATプールを削除するためには、no dns64-filter コマンドを使用します。

7 status {enable | disable} 設定した NAT64 ルールの使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない




90

参考：設定したNAT64ルールを削除するためには、＜設定モード＞で、no lsn nat64 <NAME> コマンドを使用します。

設定情報の表示 NAT64/DNS64の設定情報を確認するためには、＜管理者モード＞または＜設定モード＞で次のコマンドを使用します。

コマンド説明

show lsn PAS-K に設定された全ての NAT64/DNS64 に関した情報を表示します。

show lsn snat-pool [<ID>] PAS-K に設定された Source NAT プールの情報を表示します。ID を入力すると該当

Source NAT プールの情報のみ表示します。

show lsn nat64-prefix [<ID>] PAS-K に設定された NAT64 プレフィックス情報を表示します。ID を入力すると該当

NAT64 プレフィックスの情報のみ表示します。

show lsn dns64-nsip PAS-K に設定された DNS64 ネームサーバの情報を表示します。

show lsn dns64-filter [<ID>] PAS-K に設定された DNS64 フィルターの情報を表示します。ID を入力すると該当

DNS64 フィルターの情報のみ表示します。

show lsn nat64 [<NAME>] PAS-K に設定された NAT64 ルールの情報を表示します。名前を入力すると該当

NAT64 ルールの情報のみ表示します。

NAT64セッションエントリーの情報 NAT64機能を通じて現在接続されている全てのセッションエントリーを確認するためには、＜管理者モード＞または＜設定モード＞

で次のコマンドを使用します。

コマンド説明

show entry-nat64 現在接続されている全てのセッションエントリーのリストと情報を表示します。

NAT64機能を通じて現在接続されている全てのセッションエントリーリストと情報を削除するためには、＜管理者モード＞または＜設

定モード＞で次のコマンドを使用します。

コマンド説明

no entry-nat64 NAT64 機能を通じて接続されている全てのセッションエントリーリストと情報を削除しま

す。

91


ネットワーク接続の確認基本的なネットワーク設定を完了した後、ネットワーク接続を確認するために次のような作業を行います。

• Ping 接続テスト

• パケットトレースルート

Ping接続テストユーザーはリモートホストのネットワーク接続を確認するために、ping コマンドを使用することができます。ping コマンドは設定した

宛先にICMP echoリクエストパケットを送った後、リクエストに対するレスポンスを待ちます。リモートホストからレスポンスが来れば、

ユーザーはリクエストパケットが宛先に到逹するのにかかった所要時間を確認できます。ユーザーは ping コマンドの宛先アドレス

にIP アドレスやホスト名を使用することができます。 ping コマンドに対するレスポンスとして、以下があります。

• Normal response ホストのネットワーク接続が正常の場合

• Destination does not respond ホストがレスポンスしない場合

• Unknown host ホストが存在しない場合

• Destination unreachable ゲートウェイが設定した宛先ネットワークに行くことができない場合

• Network or host unreachable ルーティングテーブルに該当ホストやネットワークが存在しない場合

IPv4及びIPv6環境でホストに対するネットワーク接続テストを行うためには、＜管理者モード＞または＜設定モード＞で次のコマンド

を使用します。

コマンド説明

ping <HOST> ホストに対するネットワーク接続テストを行います。 • <HOST> ネットワーク接続テストを行うホストの IPｖ４アドレスまたはドメイン名

ping6 <HOST> ホストに対するネットワーク接続テストを行います。 • <HOST> ネットワーク接続テストを行うホストの IPｖ６アドレス

PAS-KはARPパケットを使用してホストのネットワーク接続を確認するARP Ping機能を提供します。ARP Ping機能を通じてホスト

に対するネットワーク接続テストを行うためには、＜管理者モード＞または＜設定モード＞で次のコマンドを使用します。

コマンド説明

arping <HOST> ARP パケットを使用してホストに対するネットワーク接続テストを行います。 • <HOST> ネットワーク接続テストを行うホストの IP アドレスまたはドメイン名

参考： ARP Ping機能はIPv4環境でのみ使用することができます。


92

パケットトレースルートリモートホストに転送したパケットのトレースルートを行うためには、traceroute コマンドを用います。traceroute コマンドはIPヘッダ

ー内のTTL（Time To Live）フィールドを使用してパケットを送り、パケットを送信されたルーターとサーバが特定のリターンメッセージ

を送るようにします。パケットトレースはTTLフィールド値を1に設定したデータグラムをUDPプロトルコルで宛先ホストに送る時から始

まります。

ルーターは送信されたパケットのTTL値が1か0ならば、該当データグラムをドロップさせ、パケットを送ったルーターにもう一度ICMPプロトコルでtime-exceededメッセージを送ります。この時、time-exceededメッセージを受けたルーターはtime-exceededメッセージ

の送信元アドレスフィールドを検査して最初のホップのIPアドレスを確認します。

ネクストホップを識別するために、ルーターはTTL値を2にしてもう一度UDPパケットを送ります。最初のルーターはTTL値を1だけ減

らした後、次のルーターにデータを送ります。二番目のルーターはTTL値が1であることを確認した後、データを捨てて、送信元ホスト

にtime-exceededメッセージを送ります。このような過程はデータグラムを宛先ホストに送るのに十分なTTL値になる時まで、あるい

はTTLが最大値になるまで続けられます。

データグラムが宛先ホストに到着した時を測定するために、traceroute コマンドは宛先ホストが使用しないような大きい値のUDP宛先ポートを設定します。認識できないポート番号でデータグラムを送信された時、ホストは送信元ホストにICMPポートで「unreachable error」メッセージを送ります。このメッセージはトレースルートするルーターに到着した宛先ホストを表示します。

パケットトレースルートを確認するためには、＜管理者モード＞または＜設定モード＞で次のコマンドを使用します。

コマンド説明

traceroute <HOST> ホストに送信したパケットのトレースルートを行います。 • <HOST> パケットのトレースルートを行うホストの IP アドレスまたはドメイン名

93


第4章システム管理とモニタリング

本章ではシステム管理に関する各種設定方法と動作状態のモニタリング方法について説明します。本章の構成は次の通りです。

システム情報

システムの基本情報管理

設定ファイル

設定の同期化

PLOS

システム終了

セッションタイムアウト時間の設定

テクニカルヘルパー

ユーザー管理

ログの管理

メール通知機能

ポートモニタリング

システム監視

コマンド履歴の確認

ファンホットスワップ（FAN Hot Swap）


システム情報本節では次のシステム情報の表示または設定する方法について説明します。

システムの基本情報装置のホスト名、シリアル番号、MAC アドレス、PLOS のバージョンなどの基本的なシステム情報

システムリソースの使用情報 CPU の使用率とメモリの全体容量、使用可能なメモリの容量などの使用状態情報

ハードウェアの動作情報 CPU の温度、システム状態 LED、冷却ファン、電源供給器の動作状態などのハードウェアの動作状態情報

CLIでのシステム情報表示システムの基本情報表示装置のホスト名、シリアル番号、MACアドレス、PLOSのバージョンなどシステムの基本的な情報を表示するためには、＜設定モード

＞で show system コマンドを使用します。


照して下さい。システムリソース使用状態の表示 CPUとメモリの使用状態を確認するためには、＜設定モード＞で show resources コマンドで表示します。



ハードウェア動作状態の表示装置の動作時の温度、冷却ファン、電源ユニットの動作状態などのハードウェアの動作状態を確認するためには、＜設定モード＞で

show hardwarestatus コマンドを使用します。

show hardwarestatus コマンドで判断する装置の動作状態 show hardwarestatus コマンドで表示される状態表示から下記のような動作状態を確認できます。

• 温度 CPU の温度が表示されます。現在の温度が閾値より高くなる場合は、装置の冷却ファンの動作状態、周辺環境の温度などを確

認して装置の最適な動作環境を維持して下さい。

• システム状態 LED システム状態 LED が「ON」である場合、電源供給器、冷却ファン、温度などのハードウェア障害が発生している状態なので、動

作状態を確認して下さい。

• 電源供給器電源供給器の状態が「OFF」である場合、該当電源供給器に電源が接続されていないか電源が正常に供給されていない状態

なので、動作状態を確認して下さい。

• 冷却ファンの動作状態冷却ファンの状態が「OFF」である場合、ファンが正常に動作していない状態なので、動作状態を確認して下さい。



95

第４章システム管理とモニタリング

設定情報の同期化設定情報の同期化機能の概要とCLIからの設定方法について説明します。

概要 PAS-Kは2台のPAS-Kの設定情報を同期化する機能を提供します。設定情報の同期化機能を、フェイルオーバー構成でマスターと

スレーブの設定を同じくする場合や、障害などで装置を交換する際に既存の装置の設定と同じくする場合など、個別の機能を一々設

定するのではなく、設定情報の同期化機能を使って設定を同期化することができます。装置間の設定情報は、設定ファイルのエクスポート、インポート機能などにより手動で合わせることも可能ですが、2台のPAS-K装置

がネットワークに接続していれば簡単に設定情報を同期化することができます。

モジュールとモジュールセット同期化する機能別モジュールと幾つかの機能を束ねたモジュールセットは次の通りです。モジュール、またはモジュールセット別に同

期化する場合は、スタートアップコンフィグに対してのみ同期化が可能です。

[表 - スタートアップコンフィグの機能別モジュール]

モジュール説明

advl4fwlb アドバンストL4ファイアウォール負荷分散設定

advl4slb アドバンストL4サーバ負荷分散設定

advl7cslb アドバンストL7キャッシュサーバ負荷分散設定

advl7slb アドバンストL7サーバ負荷分散設定

arp ARP設定

cslb キャッシュサーバ負荷分散設定

env 保存MACレスポンス設定

failover フェイルオーバー設定

fwlb ファイアウォール負荷分散設定

gslb グローバルサーバ負荷分散設定

gwlb ゲートウェイ負荷分散設定

health-check 障害監視設定

ip IP設定（アドレス、インターフェース、DNS、ルーティング）

l7cslb L7キャッシュサーバ負荷分散設定

l7slb L7サーバ負荷分散設定

lacp LACP設定

lacp-system LACPシステム設定

layer7 キャッシング、HTTP圧縮、L7パターン設定

link-sync リンクシンク設定

logging ログ設定

mac MAC設定

management-access 管理者のアクセス方法設定

mirroring ポートミラーリング設定

mstp MSTP設定

multicast-bridge VLANマルチキャストブリッジ設定

ntp NTP設定

port ポート設定

port-boundary ポートバウンダリー設定


96

pvstp PVSTP設定

qos QoS設定

radius RADIUS設定

real 実サーバ

route IPv4ルーティングテーブル設定

route6 IPv6ルーティングテーブル設定

router L3ルーティングプロトコル設定

rstp RSTP設定

security ファイアウォール、システムアクセス制御設定

session-timeout セッションタイムアウト設定

slb L4サーバ負荷分散設定

snmp SNMP設定

stp STP設定

terminal ターミナル設定

timezone GMT設定

trunk ポートトランキング設定

trunk-active-backup ポートファイルオーバー設定

vlan VLAN設定

一度に1つのモジュールだけを同期化することもできますが、複数のモジュールを一度に設定して同時に該当モジュールの設定を同

期化することもできます。

注意：同期化される装置には必ずマネジメントポートのIPアドレス（Management IP address）を設定しなければなりません。

97


CLIでの設定 CLIコマンドを用いて、相手のPAS-Kと設定を同期化する方法を説明します。

設定情報の同期化可否を設定設定情報の同期化機能を設定するためには、＜設定モード＞で次のコマンドを実行します。

コマンド説明

config-sync {accept | reject} 設定情報の同期化機能を設定します。 • accept ：同期化する • reject ：同期化しない（デフォルト）

設定情報の同期化機能が「同期化する」に設定されている場合のみ、config-sync startup-config コマンドを実行した時に同期化

が実行されます。「同期化しない」に設定されていれば、このコマンドを実行しても同期化は実行されません。設定同期化機能の設定状態は、show config-sync コマンドで確認することができます。

設定情報の同期化設定情報の同期化可否の設定を「同期化する」に設定した後に、次のような方法でスタートアップコンフィグ、あるいはスタートアップ

コンフィグの中の一部のモジュールの設定を同期化することができます。

設定を同期化するためには、＜設定モード＞で次のコマンドを実行します。

コマンド説明

config-sync startup-config <DESTINATION> [<MODULES>] [exclude <EXCLUDE>]

設定情報を同期化します。モジュールを設定すると該当モジュールの設定のみ同期化します。 • <DESTINATION> ：同期化する相手装置の IP アドレス • <MODULES > ：同期化するモジュールを指定します。

- 「,（コンマ）」：複数のモジュールを指定する場合のモジュール区分 - 指定無し：全てのモジュール

• <EXCLUDE> ：同期化しないモジュール

参考： <MODULES>項目に使用できるモジュールやモジュールセットは、前述の [表 - スタートアップコンフィグの機能別モジュール] を参

照してください。

システムの再起動設定の同期化が終了すれば、同期化した相手装置を再起動します。config-sync コマンドにより同期化された設定情報は自動的に

スタートアップコンフィグに保存されるので、write memory コマンドを実行する必要はありません。PAS‐Kを再起動するためには、次

のコマンドを実行します。

コマンド説明

reboot PAS‐Kを再起動します。


98

システムの基本情報管理システム基本情報の設定方法について説明します。

ホスト名の設定

ログインバナーの設定

管理者のアクセス方法の設定

システム時刻の設定

ホスト名の設定装置のホスト名を設定することができます。ホスト名は、CLIではプロンプトの前に表示され、WEBマネージャーではエクスプローラー

のタイトルバーに表示されます。デフォルトのホスト名は「switch」です。

ホスト名の設定方法は次の通りです。

CLIでの設定ホスト名を変更するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

hostname <HOSTNAME>

ホスト名を変更します。 • <HOSTNAME> 英文字、数字、「.（ピリオド）」、「-（ハイフン）」、「_（アンダーバー）」を使用し最大 63文字まで設定可能。ただし、最初の文字は必ず英文字または数字を使用。

参考: 設定したホスト名をデフォルトに戻すためには、＜設定モード＞で no hostname コマンドを実行します。

ログインバナーの設定ログインバナーは、コンソールターミナル、またはSSH、TELNETを使用してPAS-Kに接続するユーザーにお知らせや注意事項など

をログインする前に画面に表示する機能です。

ログインバナーを設定するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

banner <TEXT>

システムにログインする前に表示されるメッセージを設定します。 • <TEXT> 「&」を入力し改行した後にバナーを入力。最大4096字の英文字、数字、特殊文字を入力。最初文字と終了文字には「’（シングルクオー

ト）」を入力。‘¥n’を入力すると改行され、80文字を超過する場合には自動に改

行されます。

参考: 設定したログインバナーの削除するためには、＜設定モード＞で no banner コマンドを実行します。

参考: 設定したログインバナーの確認するためには、＜設定モード＞で show banner コマンドを実行します。

99


管理者のアクセス方法の設定管理者がCLIを用いてPAS-Kにアクセスする方法を設定します。デフォルトではSSH、Telnet、HTTP、HTTPSからアクセスができ、IPv4/ IPv6どちらもサポートしています。設定によって管理者のアクセス方法を制限することができ、最初の起動時はTelnetのみイネー

ブルされています。

CLIでの設定管理者のアクセス方法を変更するためには、＜設定モード＞で次のコマンドを使用します。


1 management-access ＜管理者アクセス設定モード＞に入ります。

2 ssh port <PORT> SSHサービスのポートを設定します。 • <PORT> 設定範囲： 1 ~ 65,535 （デフォルト： 22）

3 ssh status {enable | disable} SSHサービスをイネーブルまたはディスエーブルします。（デフォルト：ディ

スエーブル）

4 telnet port <PORT> Telnetサービスのポートを設定します。 • <PORT> 設定範囲： 1 ~ 65,535 （デフォルト： 23）

5 telnet status {enable | disable} Telnetサービスをイネーブルまたはディスエーブルします。（デフォルト：イネ

ーブル）

6 http port <PORT> HTTPサービスのポートを設定します。 • <PORT> 設定範囲： 1 ~ 65,535 （デフォルト： 8,080）

7 http status {enable | disable} HTTPサービスをイネーブルまたはディスエーブルします。（デフォルト：ディズエーブル）

8 https port <PORT> HTTPSサービスのポートを設定します。 • <PORT> 設定範囲： 1 ~ 65,535 （デフォルト： 8,443）

9 https status {enable | disable} HTTPSサービスをイネーブルまたはディスエーブルします。（デフォルト：ディスエーブル）



管理者のアクセス方法のポリシー設定管理者のアクセス方法のポリシーを通して特定のIPアドレスのみPAS-Kにアクセスできるよう設定することができます。この機能を設

定するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

access-ip <ID> ip <IP>

アクセスを許可するIPアドレスを設定します。IPアドレスは最大2つまで設定でき、設定しなかった場

合には全てのIPアドレスに対してアクセスを許可します。

• <ID>

アクセスポリシーのID 設定範囲： 1 ~ 2. • <IP>

アクセスを許可するIPアドレス

参考：設定したアクセス方法のポリシーを削除するためには、＜設定モード＞で no access-ip <ID> コマンドを使用します。


100

設定情報の表示＜管理者モード＞または＜設定モード＞で show management-access コマンドを用いて、設定された管理者アクセス方法の設

定状態を確認することができます。



管理統計サービスの設定 PAS-Kは管理統計情報を保存し、ユーザーにこの情報を提供します。管理統計サービスをイネーブル/ディスエーブルするためには、

＜設定モード＞で次のコマンドを使用します。

コマンド説明

management-statistics status {enable | disable} 管理統計サービスの使用可否を設定します。 • enable 使用する • disable 使用しない（デフォルト）

設定情報の表示管理統計サービスの動作状態を確認するためには、＜管理者モード＞、＜設定モード＞で show management-statistics コマ


ターミナルの設定本節ではログインタイムアウト時間とターミナル長さを変更する方法について説明します。

ログインタイムアウト時間の設定 CLIで設定するログインタイムアウト時間は、コンソールターミナル及び管理者がネットワークからSSHまたはTelnetでログインした後

一定時間キー入力または画面操作が無い状態を意味します。ログインした後、ログインタイムアウト時間の間は何も操作がなくても

ログイン状態を維持しますが、この時間が過ぎると強制的にログアウトされます。ログアウト後は再度ログインする必要があります。

ログインタイムアウト時間を変更するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

terminal timeout <TIMEOUT> ログインタイムアウト時間を設定します。 • <TIMEOUT> 設定範囲： 1 ~ 60（分）（デフォルト： 10 分）

参考：設定されているログインタイムアウト時間をデフォルトに戻すためには、＜設定モード＞で no terminal timeout コマンドを使用しま

す。

101


ターミナルで表示する行数の設定ターミナルで表示する行数は、コンソールターミナルに表示できる最大行数を意味します。ターミナルで表示する行数を設定するため

には、＜設定モード＞で次のコマンドを使用します。

コマンド説明

terminal length <LENGTH> ターミナルで表示する行数を設定します。 • <LENGTH> 設定範囲： 0 ~ 100（行）（デフォルト： 30 行）

参考：ターミナル長を「0」に設定すれば表示する行数の制限はありません。

設定情報の表示ログインタイムアウト時間、ターミナル長さの設定情報を確認するためには、＜設定モード＞で show terminal コマンドを使用しま

す。




102

システム時刻の設定 PAS-Kで発生する各種イベントや障害情報、管理者によって実行されたコマンドなどはシステムまたは動作ログとして記録される際

にシステムの時刻も一緒に記録されます。ログ情報はシステムの管理、障害解析のために重要な情報として使われるので、ログに

記録されるシステムの時刻を正確に維持することは非常に重要です。 PAS-Kのシステム時刻は管理者が直接設定し管理する方法と、NTPクライアント機能を用いて周期的にNTPサーバから正確な時刻

を受信しシステム時刻を合わせる方法があります。

直接設定システム時刻は、＜設定モード＞で show clock コマンドを用いて確認できます。システム時刻が正しくない場合は、＜設定モード

＞で次のコマンドを用いて設定します。

コマンド説明

date <DATE>

システム時刻を設定します。 • <DATE> システム時刻を MM/DD/YYYY hh:mm:ss （月/日/年時間：分：秒）の形式で

入力

参考： <DATE>項目には次のように開始部分と最後部分の文字列に引用

符(”)を使用します。 (config)# date "06/15/2012 15:34:00"

設定した時刻がシステムに正しく設定されたかどうかは、再度 show clock コマンドを実行し、確認することができます。



参考：システム時刻は、WEBマネージャーでは設定できません。

103


NTPクライアントの設定 NTP(Network Time Protocol)はネットワークに接続された装置の時刻を同期化するためのプロトコルです。PAS-KはNTPプロトコ

ルを使ってシステムの時刻が設定できるNTPクライアント機能をサポートします。NTPクライアントは、NTPサーバから時刻情報を受

け取り、自分のシステム時刻と比較し差が有ればその差をシステム時刻に反映し調整します。この処理を設定された周期ごとに繰り

返すので、NTPクライアント機能がイネーブルされている装置はシステム時刻を正確に維持し続けることができます。

CLIでの設定 NTPクライアント機能を設定するためには、＜設定モード＞で下記の手順を実行します。


1 ntp ＜NTP設定モード＞に移動します。

2 primary-server <PRIMARY-SERVER> プライマリNTPサーバを設定します

3 secondary-server <SECONDARY-SERVER>

セカンダリNTPサーバを設定します。

4 status {enable | disable} (選択設定)

NTPクライアント機能をイネーブルまたはディスエーブルします。（デフォルト：ディ

スエーブル）

5 current NTPクライアントの設定情報を表示します。

6 apply NTPクライアントの設定をシステムに適用します。

7 timezone {+8 | +9}

PAS-K を設置した地域の GMT を設定します。 • +8 中国

• +9 日本、韓国

参考： NTPサーバと直接同期化を実行するためには、＜設定モード＞で次のコマンドを使用します。 (config)# rdate <HOST>

<HOST>にはIPアドレスまたはドメイン名を入力します。

参考：設定したNTPサーバを削除するためには、＜NTP設定モード＞で次のコマンドを使用します。プライマリNTPサーバの削除： no primary-server セカンダリNTPサーバの削除： no secondary-server

設定したNTPサーバの情報は、＜設定モード＞で show ntp コマンドを使用して確認することができます。


104

設定ファイル設定ファイルに関する次のような作業をCLIで実行する方法を説明します。

設定ファイルの保存

設定ファイルのコピー

設定ファイルのエクスポート/インポート

以前の設定に戻す

初期設定に戻す

設定のバックアップ

設定ファイル内容の表示

概要設定ファイル（コンフィギュレーションファイル）はPAS-Kの設定情報を記録したファイルです。PAS-Kの設定ファイルはSSD（Solid State Drive）に保存され、6つの保存空間（コンフィグスロット 1～5、スタートアップコンフィグ）に分けられて各々の保存空間に異なる

設定を保存することができます。PAS-Kは起動する際、スタートアップコンフィグに保存されている設定ファイルを使用します。スタート

アップコンフィグを除外した5つの保存空間別に設定ファイルの保存、コピー、エクスポート、インポート、初期化することができます。 PAS-Kが起動されると、SSDに保存されている設定ファイルをメモリ（SDRAM）にロードします。メモリにロードされた設定ファイルは

CLIやWEBマネージャーで管理者の操作により変更されます。このようにメモリにロードされて、管理者により操作される設定ファイ

ルをランニングコンフィグといいます。ランニングコンフィグは動作中の設定情報を保持しますが、メモリ上にロードされてあるので装

置の再起動により削除されます。しかし、CLIやWEBマネージャーでのランニングコンフィグをスタートアップコンフィグとしてSSDに保

存しますと、次回の再起動からも変更した設定情報が適用されます。

各スロットに保存される設定ファイルはCLIやWEBマネージャーで管理用PCなどにエクスポート、またはインポートすることができま

す。このような機能を用いて設定ファイルを適切にバックアップしておけば、障害時の復旧など迅速に対応することができます。

105


CLIでの設定設定ファイルの保存ランニングコンフィグをスタートアップコンフィグに保存するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

write-memory ランニングコンフィグをスタートアップコンフィグに保存します。

ランニングコンフィグをコンフィグスロット1～5に保存するためには、＜設定モード＞で下記の手順を実行します。


1 config-slot <ID>

ランニングコンフィグを保存するコンフィグスロットを設定して、＜Config-slot設定モ

ード＞に入ります。 • <ID> ランニングコンフィグを保存するコンフィグスロットのID （設定範囲： 1 ~ 5）

2 save ランニングコンフィグをコンフィグスロットに保存します。

設定ファイルのコピーコンフィグスロットに保存されている設定ファイルを他の保存空間にコピーするためには、＜設定モード＞で下記の手順を実行します。


1 config-slot <ID>

設定ファイルが保存されているコンフィグスロットを設定して、＜Config-slot 設定モード＞に移動します。 • <ID> コンフィグスロットの ID 設定範囲： 1 ~ 5

2 copy-to {startup | <ID>}

設定ファイルをコピーする保存空間を設定します。startupを設定した場合に

は、該当保存空間の設定ファイルがスタートアップコンフィグにコピーされ次

の起動時から使用されます。 • <ID> コンフィグスロットの ID 設定範囲： 1 ~ 5

参考：コンフィグスロットに保存されているファイルを削除して初期化するためには、＜設定モード＞で reset コマンドを使用します。


106

設定ファイルのインポート/エクスポート

コンフィグスロット設定ファイルのインポート/エクスポートコンフィグスロットに保存されている設定ファイルをTFTPサーバにインポート/エクスポートするためには、＜設定モード＞で次のコマ



1 config-slot <ID>

設定をインポート/エクスポートするコンフィグスロットを設定して、＜Config-slot設定モード＞に入ります。 • <ID> コンフィグスロットの ID 設定範囲： 1 ~ 5

2 host <HOST> 設定をインポート/エクスポートするTFTPサーバのIPアドレスを設定します。 • <HOST>

TFTP サーバの IP アドレス

3 path <PATH> インポート/エクスポートする設定ファイルの保存経路と名前を設定します。 • <PATH> 設定ファイルの保存経路とファイル名

4 description <DESCRIPTION> 該当コンフィグスロットに対する説明を入力します。



7 config-slot <ID> ＜Config-slot設定モード＞に移動します。

8 {export | import} 設定ファイルをTFTPサーバにエクスポートするためには exportを、コンフィ

グスロットにインポートするためには importを使用します。

参考：複数台のPAS-Kに同様な設定を行う場合などには、設定ファイルのインポートした後に異なる部分だけ変更するなどにより設定作業を

効率化することができます。

参考：設定ファイルを管理用PCなどにエクスポートしておくと、設定ファイルの復旧作業などがスムーズに行われます。設定変更作業時に

は、必ずエクスポート機能を利用して設定ファイルをバックアップするようにして下さい。

107


部分的な設定ファイルのインポート/エクスポート PAS-Kは一部機能の設定ファイルのみインポート/エクスポートすることができます。部分的な設定ファイルのみインポート/エクスポー

トするためには＜設定モード＞で次のコマンドを使用します。

コマンド説明

export-to <FILE> tftp <TFTP>

設定ファイルをTFTPサーバにエクスポートします。 • <FILE> インポートする設定ファイルの種類。サポートする設定ファイル： ssl-key、sp-filter、cslb-filter、fwlb-filter、gwlb-filter、tech-assist、config-slot1、config-slot2、config-slot3、config-slot4、config-slot5、startup-config 、 ssl-certificate-crt 、 ssl-certificate-csr 、 ssl-client-authentication-crl、ssl-client-authentication-crt

• <TFTP> TFTPサーバのIPアドレスと設定ファイルの保存経路と名前入力形式： <IPアドレス>:/<保存経路>/<ファイル名>

import-from <FILE> tftp <TFTP>

設定ファイルをTFTPサーバからインポートします。 • <FILE> インポートする設定ファイル名

サポートする設定ファイル： sp-filter、cslb-filter、fwlb-filter、gwlb-filter • <TFTP>

TFTPサーバのIPアドレスと設定ファイルの経路及び名前

入力形式： <IPアドレス>:/<経路>/<ファイル名>

参考： import-from コマンドを使用して設定ファイルをインポートした場合には該当設定がランニングコンフィグにすぐに適用され、スタ

ートアップコンフィグに保存するためには write-memory コマンドを使用します。

参考: export-to、import-from コマンドを使用してインポート/エクスポートできる設定ファイルは下記のようです。 sp-filter スタティックプロクシミティーフィルター設定 cslb-filter フィルター設定 fwlb-filter FWLBフィルター設定 gwlb-filter GWLBフィルター設定 tech-assist テクニカルヘルパーファイル config-slot1 コンフィグスロット1に保存されている設定ファイル config-slot2 コンフィグスロット2に保存されている設定ファイル config-slot3 コンフィグスロット3に保存されている設定ファイル config-slot4 コンフィグスロット4に保存されている設定ファイル config-slot5 コンフィグスロット5に保存されている設定ファイル startup-config スタートアップコンフィグに保存されている設定ファイル ssl-certificate-crt SSL証明書ファイル ssl-certificate-csr SSL認証の要請書ファイル ssl-client-authentication-crl クライアント証明書キャンセルリストファイル ssl-client-authentication-crt クライアント証明書ファイル ssl-key SSL秘密鍵ファイル

以前の設定に戻す機器の現在の設定を全て削除し以前変更した設定に戻すためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

rollback <NUM> Startup-configを指定した時点に戻します。

• <NUM> 設定を戻す時点設定範囲： 1 ~ 20

参考：選択可能な復旧時点を確認するためには、＜管理者モード＞または＜設定モード＞で show rollback コマンドを使用します。

参考： rollback <NUM> コマンドを実行すると、機器を再起動しなくても選択した時点の設定が適用されます。


108

初期設定に戻す設定ファイルを削除し、出荷時の基本設定（デフォルトコンフィグ）をスタートアップコンフィグに設定するためには、＜設定モード＞で

次のコマンドを使用します。

コマンド説明

reset 設定ファイルを削除し、基本設定（デフォルトコンフィグ）に戻します。

注意：上記コマンドを実行した後、再起動しないと基本設定は適用されません。再起動するためには＜設定モード＞で reboot コマンドを

実行します。

設定のバックアップ設定のバックアップは、機器の現在の設定情報を遠隔サーバに周期的にバックアップする機能です。設定のバックアップ機能は＜設

定モードで次のコマンドを使用します。


1 backup ＜Backup設定モード＞に入ります。

2 server {tftp | disable}

設定のバックアップ機能のイネーブル・ディスエーブルを設定します。

• tftp 設定のバックアップファイルをTFTPサーバに転送する

• disable 設定のバックアップ機能をディスエーブルする（デフォルト）

3 running-config {enable | disable}

Running-configバックアップのイネーブル・ディスエーブルを設定します。

• enable Running-configバックアップをイネーブルする

• disable Running-configバックアップをディスエーブルする（デフォルト）

4 tftp-server <TFTP-SERVER> 設定情報を保存するTFTPサーバの経路を入力します。 • <TFTP-SERVER>

TFTPサーバの経路

5 date <DATE>

バックアップの日程を、月(MM), 日(DD), 時(hh), 分(mm) 単位で設定し

ます。

• <DATE> MM/DD hh:mm （月/日時:分）の形式で設定（デフォルト： **/** 23:59）

参考： <DATE>に入力する値の両端には「”（ダブルクォーテーション）」

を入力する必要があります。また、ある単位をもって定期的にバックアッ

プするよう設定する場合は、「*（アスタリスク）」を使用します。

例）

• 毎日午後3時にバックアップするように設定する場合 (config-backup)# date “**/** 15:00”

• 毎月1日午前11時30分にバックアップするように設定する場合 (config-backup)# date “**/01 11:30”

6 current 設定した内容を表示します。

7 apply 設定のバックアップ機能を適用します。

参考：設定したRunning-configバックアップ機能錠を表示するためには、＜管理者モード＞または＜設定モード＞で show backup コマンドを使用します。

設定ファイル内容の表示コンフィグスロットの表示コンフィグスロットの内容を表示するためには、＜設定モード＞で show config-slot コマンドを使用します。特定コンフィグスロット

109


に対する設定情報だけを表示するためには show config-slot <ID> コマンドを使用します。

ランニングコンフィグの表示ランニングコンフィグの内容を表示するためには、＜設定モード＞で show running-config コマンドを使用します。show running-config [<option>] コマンドを使用して、特定印字に対するランニングコンフィグの内容だけを出力することができます。印字として

設定できるコマンドは show running-config コマンドの後に「?」を入力して確認します。

スタートアップコンフィグの表示スタートアップコンフィグの内容を表示するためには、＜設定モード＞で show startup-config コマンドを使用します。show startup-config [<option>] コマンドを使用して、特定印字に対するスタートアップコンフィグの内容だけを出力することができます。印字

として設定できるコマンドは show startup-config コマンドの後に「?」を入力して確認します。

コンフィグの違いを表示ランニングコンフィグとスタートアップコンフィグの違いを表示するためには、＜管理者モード＞または＜設定モード＞で show diff-config コマンドを使用します。show diff-config <option> コマンドを使用すると選択した特定パラメータに対する違いのみ出力

することができます。パラメータとして選択できるコマンドは show diff-config コマンドの後ろに「?」を入力します。




110

PLOS PLOS（PIOLINK OS）はPAS-Kの基本OSとして、PAS-Kが提供する基本機能は全て動作します。新規機能、不具合の修正などは

新規バージョンアップのPLOSを提供することにより対応しています。PLOSは基本的に上位バージョンに対して互換性を維持するの

で、上位バージョンへのアップグレード、または下位バージョンへのダウングレードが可能です。

CLIでの設定 PLOSのアップグレード CLIからPLOSをアップグレードするためには、＜設定モード＞で下記の手順を実行します。


1 os-update <PATH>

PAS-KにPLOSファイルをインポートします。 • <PATH>

PLOS が保存されている FTP サーバまたは HTTP サーバの IP アドレス

とファイル名を入力します。FTP サーバの場合には「ftp://」で、HTTP サー

バの場合には「http://」で始めます。

2 reboot エクスポートしたPLOSをシステムに適用するためPAS-Kを再起動します。


照して下さい。 FTPサーバを使用してPLOSをアップグレードする際、IDとパスワードは下記の通りに入力します。 (config)# os-update ftp://<ID>:<Password>@<PATH>

PLOS情報の表示 PLOSバージョンとPLOSファイル名を確認するためには、show system コマンドを用います。



システム終了起動中のPAS-Kを終了するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

shutdown システムを終了します。

参考： PAS-Kは前面のLCDパネルとコントロールボタンを使用してシステムを終了することもできます。LCDパネルとコントロールボタン

を使用して終了する方法は本書と共に提供されるPAS-K 1516/1716/2424/2824/4224/4424/4824 設置マニュアルを参照して下さい。

111


セッションタイムアウト時間の設定概要

PAS-Kはサーバとクライアントの間に位置しICMP、TCP、UDPセッションを生成、または削除するために、パケットの送受信時に該

当セッションの状態管理用のエントリーを生成します。しかし、全てのセッションエントリー生成し保存すると多くのメモリ容量を占める

などシステムリソースが圧迫されてしまいます。これを防止し、PAS-Kの処理性能を高めるため、一定の時間が経過した後もサーバ

やクライアントから送信されるパケットがないセッションは状態管理用のセッションエントリーを削除します。このセッションエントリーを

削除するために各セッションの種類別にセッションタイムアウト時間を設定することができます。

設定できるセッションの種類セッションタイムアウトを使ってエントリーを削除できるセッションには、ICMPセッションとTCPセッション、UDPセッションがあります。

この３種類以外のセッションは「generic」セッションといい、「generic」セッションのためのセッションタイムアウト時間も設定することが

できます。

TCPセッション TCPセッションは、セッションの接続、切断時のハンドシェイク処理でセッション状態が変更されます。このセッションの状態ごとにタイ

ムアウト時間を設定することができます。TCPセッションの状態はUNASSURED、SYN-SENT、SYN-RECEIVED、ESTABLISHED、

CLOSE-WAIT、LAST-ACK、FIN-WAIT、TIME-WAIT、TCP-CLOSEの9種があります。

UNASSURED 状態 UNASSURED 状態はサーバとクライアントがセッションを確立するために行うハンドシェイク過程で、SYN パケットを送信した後に SYN/ACK パケットを受信するまでの状態です。UNASSURED 状態のタイムアウト時間を設定しておくと、SYN/ACK パケットを受信していな

い非正常なセッションを早く終了させることができ、SYN フラッドのような DDoS 攻撃を受けた際にセッションテーブルがフルになって新し

いセッションを生成できず、接続要求を破棄する現象を防ぐことができます。

SYN-SENT 状態 SYN-SENT 状態はクライアントが SYN パケットをサーバに送信し、SYN パケットに対するレスポンスである ACK パケットを待っている

状態です。

SYN-RECEIVED 状態 SYN-RECV 状態はサーバが SYN パケットを受信した後、クライアントに SYN に対するレスポンスメッセージとして送る ACK パケットと

SYN パケットを送信した状態です。サーバが送信した SYN パケットに対してクライアントが ACK パケットを送信すると ESTABLISH 状

態になります。

ESTABLISHED 状態 ESTABLISHED 状態はサーバとクライアントとの TCP セッション確立した状態です。ESTABLISHED 状態である TCP セッションに対す

るエントリーのタイムアウト時間が小さければ、既に確立された TCP セッションが使用中であるにも関わらず、エントリーが削除されてし

まう場合も有りうるので、ESTABLISHED 状態のタイムアウト時間はデフォルトの 3600 秒程度の大きい値を設定して下さい。

FIN-WAIT 状態クライアントが TCP セッションを終了するためにサーバに FIN パケットを送る場合と、サーバがクライアントから FIN パケットを受けた後

に FIN/ACK パケットを送ると、TCP セッションは FIN-WAIT 状態になります。

CLOSE-WAIT 状態サーバが TCP セッションを終了するためにクライアントに FIN パケットを送る場合と、クライアントがサーバから FIN パケットを受けた後

に FIN/ACK パケットを送ると、TCP セッションは CLOSE-WAIT 状態になります。

LAST-ACK 状態「サーバがクライアントから」または「クライアントがサーバから」TCP セッションを終了するためのリクエストを受信して FIN パケットを送

信しその確認応答を待っている状態です。

TIME-WAIT 状態 TCP セッションの切断ハンドシェイクが正常に終われば TIME-WAIT 状態になります。詳細については、下記の[図- TCP セッションに対

する PAS-K エントリーの状態遷移]を参照して下さい。


112

TCP-CLOSE 状態 TCP-CLOSE 状態はサーバとクライアントとの間で確立した TCP セッションが終わった状態、またはセッション確立のために SYN リクエ

ストパケットを送るかまたは受信する前の状態を言います。下記の[図- TCP セッションに対する PAS-K エントリーの状態遷移]を図から

みますと TIME-WAIT 状態で 4 分ほど経過すると TCP-CLOSE 状態になります。

下記の図は、TCPセッションを確立する過程を示しています。(SYN-SENT SYN-RECEIVED ESTABLISH)

[図- TCPセッションに対するPAS-Kエントリーの状態遷移] (TCPセッションをの確立過程]

下記の図は、TCPセッションを終了する過程を示しています。(FIN-WAIT CLOSE-WAIT LAST-ACK TIME-WAIT CLOSED)

[図- TCPセッションに対するPAS-Kエントリーの状態遷移] (TCPセッションの終了過程]

UDPセッションセッション確立または切断時にハンドシェイク処理が必要ないUDPセッションは、次の2種類のタイムアウトを設定することができます。

UDP セッションタイムアウト初めて UDP リクエストパケットを受信した場合、またはレスポンスパケットを送る前に、再びリクエストパケットを受信した場合に UDP セ

ッションに対するエントリーのタイムアウトを設定することができます。

UDP STREAM セッションタイムアウト UDP リクエストパケットを受信した後、UDP レスポンスパケットまで受信した場合、この UDP セッションは UDPSTREAM セッションと見

なします。UDP STREAM セッションに対するタイムアウトを設定することができます。

SYN 패킷 SYN-SENT状態

SYN/ACKパケット ACKパケット

SYN-RECEIVED状態

ESTABLISH状態

SYNパケット

CLOSE-WAIT状態

FINパケット

FINパケット

LAST-ACK状態

FIN/ACKパケット

TIME-WAIT状態

FIN-WAIT状態

FIN/ACKパケット

CLOSED状態 CLOSED状態

サーバ

クライアント

PAS-K

サーバ PAS-K クライアン

113


デフォルト設定セッションタイムアウト時間のデフォルト設定は下記の通りです。

[表 – セッションタイムアウト時間のデフォルト設定]

セッションタイムアウト時間は管理者が変更することができます。次節にセッションタイムアウト時間を設定する方法について説明しま

す。

セッション・セッション状態の種類デフォルト設定

ICMP 30 秒

TCP Established 3,600 秒

TCP FIN-WAIT 20 秒

TCP CLOSE-WAIT 20 秒

TCP TIME-WAIT 20 秒

TCP SYN-RECV 20 秒

TCP SYN-SENT 20 秒

TCP LAST-ACK 20 秒

TCP-CLOSE 20 秒

TCP-UNASSURED 20 秒

UDP 10 秒

UDP STREAM 180 秒

Generic 30 秒


114

CLIでの設定セッションタイムアウト時間の設定セッションタイムアウト時間を設定するためには＜設定モード＞で次の手順を実行します。


1 session-timeout ＜セッションタイムアウト設定モード＞に移動します。

順番2～5番は＜セッションタイムアウト設定モード＞でタイムアウト時間を設定する処理です。設定するセッションの種類によって該当する

処理のコマンドを実行します。 • ICMP セッション： 2 番 • TCP セッション： 3 番 • UDP セッション： 4 番 • それ以外のセッション： 5 番

2 icmp <ICMP> ICMPセッションエントリーのタイムアウト時間を変更します。 • <ICMP> 設定範囲： 0 ~ 6,000（秒）（デフォルト： 10 秒）

3

tcp-unassured <TCP-UNASSURED>

「UNASSURED」状態であるTCPセッションエントリーのタイムアウト時間を変更し

ます。 • <TCP-UNASSURED> 設定範囲： 0 ~ 6,000（秒）（デフォルト： 20 秒）

tcp-established <TCP-ESTABLISHED>

「ESTSABLISHED」状態であるTCPセッションエントリーのタイムアウト時間を変

更します。 • <TCP-ESTABLISHED> 設定範囲： 0 ~ 86,400（秒）（デフォルト： 3,600 秒）

tcp-close-wait <TCP-CLOSE-WAIT>

「CLOSE-WAIT」状態であるTCPセッションエントリーのタイムアウト時間を変更し

ます。 • <TCP-CLOSE-WAIT> 設定範囲： 0 ~ 6,000（秒）（デフォルト： 20 秒）

tcp-fin-wait <TCP-FIN-WAIT>

「FIN-WAIT」状態であるTCPセッションエントリーのタイムアウト時間を変更しま

す。 • <TCP-FIN-WAIT> 設定範囲： 0 ~ 6,000（秒）（デフォルト： 20 秒）

tcp-wait <TCP-WAIT> 「WAIT」状態であるTCPセッションエントリーのタイムアウト時間を変更します。 • <TCP-TIME-WAIT> 設定範囲： 0 ~ 6,000（秒）（デフォルト： 20 秒）

tcp-last-ack <TCP-LAST-ACK>

「LAST-ACK」状態であるTCPセッションエントリーのタイムアウト時間を変更しま

す。 • <TCP-LAST-ACK> 設定範囲： 0 ~ 6,000（秒）（デフォルト： 20 秒）

tcp-syn-recv <TCP-SYN-RECV>

「SYN-RECV」状態であるTCPセッションエントリーびょうのタイムアウト時間を変

更します。 • <TCP-SYN-RECV> 設定範囲： 0 ~ 6,000（秒）（デフォルト： 20 秒）

tcp-syn-sent <TCP-SYN-SENT>

「SYN-SENT」状態であるTCPセッションエントリーのタイムアウト時間を変更しま

す。 • <TCP-SYN-SENT> 設定範囲： 0 ~ 6,000（秒）（デフォルト： 20 秒）

tcp-close <TCP-CLOSE>

「TCP-CLOSE」状態であるTCPセッションエントリーのタイムアウト時間を変更しま

す。 • <TCP-CLOSE> 設定範囲： 0 ~ 6,000（秒）（デフォルト： 20 秒）

4

udp <UDP> UDPセッションエントリーのタイムアウト時間を変更します。 • <UDP> 設定範囲： 0 ~ 6,000（秒）（デフォルト： 10 秒）

udp-stream <UDP-STREAM> UDP STREAMセッションエントリーのタイムアウト時間を変更します。 • <UDP-STREAM> 設定範囲： 0 ~ 6,000（秒）（デフォルト： 180 秒）

115


5 generic <GENERIC>

ICMP、TCP、UDPセッション以外のセッションエントリーのタイムアウト時間を変更

します。 • <GENERIC> 設定範囲： 0 ~ 6,000（秒）（デフォルト： 30 秒）

6 current 設定したタイムアウト時間の設定情報を表示します。

7 apply 設定したのタイムアウト時間を保存しシステムに適用します。

設定情報の表示セッションタイムアウト設定情報を確認するためには、＜設定モード＞で show session-timeout コマンドを使用します。




116

テクニカルヘルパー概要

PAS-Kに障害が発生した場合、障害原因を調査するためには、PAS-Kの動作状態、各種ログ情報を確認しなければなりません。障

害解析に必要な動作ログ情報を正確に取得するために、PAS-Kではテクニカルヘルパー機能を提供しています。テクニカルヘルパ

ー機能を使用すると障害発生時の動作情報を確認し原因を分析することにより障害対応を迅速に進めることができます。テクニカルヘルパー機能はPAS-Kの動作ログ情報を取得し、一つのファイルとして提供する機能です。取得する動作ログ情報は下

記の通りです。

- ハードウェアの動作状態情報 - CPU使用量、メモリ使用量情報 - システム動作情報 - 設定情報（ポート、インターフェース、ルーティング、負荷分散、フェイルオーバー、SSLなど） - 動作ログ情報

CLIでの設定動作ログ情報の設定 CLIコマンドを用いて、テクニカルヘルパー機能を設定するためには、＜設定モード＞で次の手順を実行します。


1 tech-assist ＜テクニカルヘルパー設定モード＞に移動します。

2 save 動作ログ情報を取得して PAS-K のメモリに保存します。

3 copy-to ftp <FTP>

PAS-Kの動作ログ情報をFTPサーバまたはTFTPサーバにファイルとしてアップロ

ードします。 • <FTP>, <TFTP> 外部サーバの IP アドレスと経路 copy-to tftp <TFTP>

参考：動作ログ情報が保存された日付と時間情報を確認するためには＜設定モード＞で show tech-assist コマンドを使用します。

参考：テクニカルヘルパー機能を使用して生成されたファイルを外部にアップロードする場合には、下記のように入力します。・(config-tech-assist)# copy-to ftp [[<USER>[:<PASSWORD>]@]1.1.1.1/home/target ・(config-tech-assist)# copy-to tftp 1.1.1.1:/home/target

動作ログ情報の削除 PAS-Kに保存した動作ログ情報を削除するためには、＜テクニカルヘルパー設定モード＞で次のコマンドを使用します。

コマンド説明

clear PAS-Kのメモリに保存されている動作ログ情報を削除します。

117


ユーザー管理 PAS-KではHTTP、Telnet、コンソール、SNMPなどからPAS-Kに接続するユーザーを管理する機能を提供しています。本節ではユ

ーザー管理の概念と設定する方法について説明します。

• ユーザー管理

• RADIUS サーバの設定

• TACACS+サーバの設定

ユーザー管理 CLIやWEBマネージャーを使用してPAS-Kを管理するためには、登録されたユーザーアカウントでログインしなければなりません。初

期設定では、ユーザーIDが「root」、パスワードが「admin」、そして管理者レベルが「super user」である基本管理者が登録されて

います。 PAS-Kはデフォルトで登録されている「root」を含めて最大20個のユーザーIDを登録することができます。ユーザーレベルは一般ユ

ーザーレベル（User）と管理者レベル（Super user）があります。ユーザーレベルによって使用できるコマンドやメニューが違います。

User 一般ユーザーレベルのユーザーは、PAS-K の動作状態のモニタリング及び設定情報を参照することができます。PAS-K の設定変更及

び再起動などはできません。CLI で一般ユーザーとしてログインした場合、プロンプトの最後には「>」が表示されます。

Super user

管理者レベルのユーザーは CLI の全てのコマンドと WEB マネージャーの全てのメニューを使用することができ、PAS-K の動作状態の

モニタリング及び設定情報を参照することは勿論、設定変更及び再起動するなど全ての機能を利用できます。CLI では管理者レベルの

ユーザーでログインした場合、プロンプトの最後には「#」が表示されます。

CLIでのユーザー管理ユーザーの追加新規ユーザーの追加、または既存ユーザーのレベルを変更するためには、＜設定モード＞次の手順を実行します。


1 user <NAME>

＜ユーザー設定モード＞に入ります。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」、「.（ピリオド）」を使って最大 8文字まで設定可能。ただし、最初の文字は必ず英文字を使用する。

2 password パスワードを設定します。入力後、[Enter]キーを押すとパスワードの設定メッセージ

が表示されます。パスワードは5 ~ 20文字の英文字と数字の組合せで作成します。

3 level {superuser | user} ユーザーレベルを設定します。（デフォルト： user）

4 log {enable | disable} 機器のログに対してアクセス権限を設定します。 • enable ：ログにアクセス可能（デフォルト） • disable ：ログにアクセス不可能

5 description <DESCRIPTION> ユーザーに対する説明を入力します。

6 current 設定したユーザーーの設定情報を表示します。

7 apply 設定したのユーザーの情報を保存しシステムに適用します。

参考：パスワードは5 ~ 20文字の英文字と数字の組合せで作成することができます。できるだけ大小文字や数字などを組み合わせて作る

ことをお勧めします。

参考：パスワードとレベル、説明を変更する方法はユーザーの追加方法と同一です。「root」を使用して最初にログインした際にはセキュリテ

ィのために必ずパスワードを変更して下さい。


118

参考：設定したユーザーレベルと説明を削除するためには、＜ユーザー設定モード＞で次のコマンドを使用します。 • ユーザーレベルの削除： no level • ユーザーに対する説明の削除： no description

ユーザーの削除 PAS-Kに登録されたユーザーを削除するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

no user <NAME> 登録されたユーザーを削除します。

注意：デフォルトで登録されているユーザーIDである「root」は削除することができません。

ユーザーの表示ユーザー情報を表示するためには、＜設定モード＞で show user コマンドを使用します。



管理者の同時アクセス制限機能の設定管理者の同時アクセス制限機能は、2つ以上のユーザーアカウントが同時にPAS-Kにアクセスすることを制限する機能です。この時、

管理者アカウントとはユーザーレベルがSuper Userに設定されているアカウントを意味します。例えば、管理者アカウントであるrootアカウントとadminアカウントがPAS-Kにアクセスする場合を仮定します。rootアカウントがアクセスしている状態でadminアカウントが

アクセスすると、adminアカウントのアクセスが自動的に遮断されます。管理者の同時アクセス制限機能を設定するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

access-user 管理者の同時アクセス制限機能のイネーブル・ディスエーブルを設定します。 • enable ：機能を使用する（デフォルト） • disable ：機能を使用しない

119


RADIUSサーバの設定 PAS-KはRADIUS(Remote Authentication Dial In User Service)サーバの認証機能を利用してTelnet、WEBマネージャー、また

はコンソールなどからの接続に対して、ユーザー認証を行う機能を提供します。管理者はRADIUSサーバとPAS-K間で使うTCPポー

トを設定し、認証に使う認証キーなどを設定します。 PAS-Kはログインリクエストに対してRADIUSサーバにユーザー情報を送信し認証を依頼します。RADIUSサーバは設定されてある

認証キーとユーザー情報を確認して、認証可否をPAS-Kにレスポンスします。

CLIでのRADIUSサーバ設定 RADIUSサーバを設定するためには、＜設定モード＞で次の手順を実行します。


1 radius ＜RADIUS設定モード＞に移動します。

2 primary-server <PRIMARY-SERVER>

プライマリRADIUSサーバを設定します。 • <PRIMARY-SERVER> プライマリRADIUSサーバのIPアドレス

参考：設定したプライマリRADIUSサーバを削除するためには、no primary-server コマンドを使用します。


セカンダリRADIUSサーバを設定します。 • <SECONDARY-SERVER> セカンダリRADIUSサーバのIPアドレス

参考：設定したセカンダリRADIUSサーバを削除するためには、no secondary-server コマンドを使用します。

4 port <PORT> RADIUSサーバとPAS-K間で使うTCPポート設定します。 • <PORT> 設定範囲： 1,500 ~ 3,000 （デフォルト： 1,812）

5 secret RADIUSサーバとPAS-Kとの認証に使われる認証キーを設定します。

6 timeout <TIMEOUT> RADIUSサーバのレスポンスタイムアウト時間を設定します。 • <TIMEOUT> 設定範囲： 1 ~ 10（秒）（デフォルト： 3 秒)

7 retry <RETRY> RADIUSサーバのレスポンスがない場合、リトライ回数を設定します。 • <RETRY> 設定範囲： 1 ~ 5（回）（デフォルト： 3 回)

8 console {enable | disable} コンソール接続時のRADIUSサーバ認証可否を設定します。 • enable ：使用する • disable ：使用しない（デフォルト）

9 ssh {enable | disable} SSH接続時のRADIUSサーバ認証可否を設定します。 • enable ：使用する • disable ：使用しない（デフォルト)

10 telnet {enable | disable} Telnet接続時のRADIUSサーバ認証可否を設定します。 • enable ：使用する • disable ：使用しない（デフォルト）

11 web {enable | disable}

Web Manager を通した PAS-K へのアクセス時の RADIUS サーバ認証可否を

設定します。 • enable ：使用する • disable ：使用しない（デフォルト)

12 status {enable | disable} （選択設定）

RADIUS 機能の使用可否を設定します。 • enable ：使用する • disable ：使用しない（デフォルト）

13 current 設定したRADIUSサーバの設定情報を表示します。

14 apply 設定したRADIUSサーバの設定をPAS-Kに適用します。

設定情報の表示設定されているRADIUSサーバの設定情報を表示するためには、＜管理者モード＞または＜設定モード＞で show radius コマン


120




121


TACACS+の設定 PAS-KはRADIUS以外にもTACACS+(Terminal Access Controller Access Control System Plus)プロトコルを使用してTelnet、コンソールなどからの接続に対して、ユーザー認証を行うことができます。 PAS-Kは外部から接続リクエストを受け取れば、先ずログイン認証（Authentication）を行います。TACASC+サーバを通してログイン

認証が完了した場合は、PAS-Kでの別途の認証が必要ありません。認証が正常に終了すればPAS-Kへの接続を許可し、ログインユ

ーザーが全てのコマンドを使用できるのかをTACACS+サーバへ確認し、制限することができます（Authorization）。この場合、ログイ

ンユーザーがPAS-Kで実行した全てのコマンドはTACACS+サーバに伝送されログとして記録することができます（Accounting）。 TACACS+を利用すれば、TACACS+サーバを通じてユーザーを認証するため、システム管理やネットワーク管理のセキュリティを高

めることができます。

CLIでTACACS+の設定 TACACS+を設定するためには＜設定モード＞で下記の手順を実行します。


1 tacacs-plus ＜TACACS+ 設定モード＞に移動します。

2 primary-server <PRIMARY-SERVER>

プライマリTACACS+サーバを設定します。 • <PRIMARY-SERVER> プライマリTACACS+サーバのIPアドレス


セカンダリTACACS+サーバを設定します。 • <SECONDARY-SERVER> セカンダリTACACS+サーバのIPアドレス

4 secret TACACS+サーバとPAS-Kとの認証に使用される認証キーを設定します。

5 console {enable | disable} コンソール接続時のTACACS+サーバ認証可否を設定します。 • enable ：使用する • disable ：使用しない（デフォルト）

6 service <SERVICE> TACACS+サーバに対してサービス名を設定します。 • <SERVICE> ：サービス名デフォルト： shel1

7 telnet {enable | disable} Telnet接続時のTACACS+サーバ認証可否を設定します。 • enable ：使用する • disable ：使用しない（デフォルト）

8 ssh {enable | disable} SSH接続時のTACACS+サーバ認証可否を設定します。 • enable ：使用する • disable ：使用しない（デフォルト)

9 timeout <TIMEOUT> TACACS+サーバのレスポンスタイムアウト時間を設定します。 • <TIMEOUT> 設定範囲： 1 ~ 10 （秒）（デフォルト： 3 秒）

10 authentication {enable | disable} （選択設定）

ログイン認証を行います。（デフォルト： disable）

11 authorization {enable | disable} （選択設定）

ユーザーが使用した全てのコマンドに対して認証を行います。

（デフォルト： disable）

12 accounting {enable | disable} （選択設定）

ユーザーが実行したコマンドに対する記録をTACACS+サーバに送信します。（デフォル

ト： disable)


ユーザー認証時にTACACS+サーバを使用するためTACACS+機能をイネーブルしま

す。（デフォルト： disable)

14 log {enable | disable}

ログイン認証またはユーザー認証に失敗した場合、ログを記録するかどうかを設定しま

す。 • enable ：記録する • disable ：記録しない（デフォルト）

15 current TACACS+サーバの設定情報を表示します。

16 apply TACACS+設定をPASに適用します。


122

設定情報の表示設定されているTACACS+設定情報を表示するためには、＜管理者モード＞または＜設定モード＞で show tacacs-plus コマンド

を使用します。 TACACS+設定情報と共にTACACS+の統計情報を表示するためには、＜管理者モード＞または＜設定モード＞で show info tacacs-plus コマンドを使用します。

参考：特定のIPアドレスに対するTACACS+統計情報を初期化するためには、＜TACACS+設定モード＞で clear-statistics <IP> コマン

ドを使用します。全てのTACACS+統計情報を初期化するためには、clear-statistics all コマンドを使用します。


照してください。

123


ログの管理 PAS-Kで提供するログ関連機能について説明し、ログメッセージを参照する方法やログメッセージの送信方法について説明します。

概要 PAS-Kは装置の異常動作、設定変更などのイベントが発生すれば、イベントに関する情報をログメッセージとして作成します。作成さ

れたログメッセージはシステムの時刻と一緒にログ保存用のバッファに保存され、管理者が必要な時に参照することができます。

ログ保存用バッファログメッセージはPAS-Kのログ保存用のバッファに保存されます。バッファのサイズは、1～1000KBの範囲で管理者が設定すること

ができます。デフォルトの設定は100KBです。ログを保存するバッファのサイズは、最大1MBであり、バッファがフルになると古いログ

メッセージから削除した後、新しいログメッセージを保存します。このようにバッファの容量によりログメッセージが上書きされる問題を

解決するために、PAS-Kはログメッセージを作成するイベント種類とレベルを設定し、ログメッセージ数を減らすことができます。また、

ログローテーション時刻を設定して、特定時刻にバッファを初期化することができます。なお、指定したメールアドレスやシスログサー

バにログメッセージを送信する、またはバックアップファイルで保存する機能も提供します。

イベントの種類とレベルログメッセージを作成するイベントの種類とレベルを設定し、特定イベントに対するログメッセージや設定したレベルより高いレベルの

ログメッセージのみ保存することができます。 PAS-Kでログメッセージを作成するイベントの種類は、次のような13種類があります。

[表 – イベントの種類]

イベントの種類説明

auth ログイン及び認証関連イベント

authpriv プライベートログイン及び認証関連イベント

cron クロック(clock)、デーモン(cron、at)関連イベント

daemon 一般システムデーモン関連イベント

ftp FTP（File Transfer Protocol）関連イベント

kern カーネルイベント

local0-7 ローカルシステム用に予約された領域関連イベント

lpr プリント関連イベント

mail メール関連イベント

news ニュースサーバ関連イベント

syslog シスログによって作成される内部イベント

user 一般的なユーザーレベル関連イベント

uucp UNIX-to-UNIX copy 関連イベント

上記のイベントの中でログメッセージを作成するイベントを管理者が設定することができます。デフォルトでは全てのイベントに対する

ログメッセージを作成します。


124

PAS-Kではイベントの影響度によって、8段階のレベルでイベントを分けています。

[表 – イベントのレベル]

キーワードレベル説明

emergency 0 システム動作に致命的な障害イベント

alert 1 直ちに対応しなければならない障害イベント

critical 2 クリティカルな障害イベント

error 3 エラーイベント

warning 4 警告イベント

notice 5 お知らせイベント

information 6 情報用イベント

debug 7 デバッグ用イベント

「emergency」レベルのログが致命的な障害イベントとして深刻度が一番高く、下に下るほど深刻度は少なくなります。デフォルト設定

では、「notice」レベル以上のイベントが発生した場合にログメッセージを作成します。ログメッセージを作成するイベントのレベルは管

理者が設定することができます。

ログメッセージの送信ログメッセージは装置で発生した問題を発見し、解決するのに重要な役割を果たします。ところが、ログ保存用バッファがフルになっ

た場合や、ログローテーション時刻を設定した場合などではログメッセージが上書きされるか、削除されるので重要な情報を失うこと

になります。このような問題を防止するために、PAS-Kは周期的にログメッセージを事前に登録されたシスログサーバに送る機能を

提供します。シスログサーバにログメッセージを送るように設定しておけば、シスログサーバで統合管理することができます。

125


CLIでの設定

イベントの種類とレベルの設定イベントの種類とレベルを設定するためには、＜設定モード＞で次の手順を実行します。


1 logging ＜ログ設定モード＞に移動します。

2 facility {all | auth | authpriv | cron | deamon | ftp | kern | local0 | local1 | local2 | local3 | local4 | local5 | local6 | local7 | lpr | mail | news | syslog | user | uucp}

イベントの種類を設定します。（デフォルト： all）

3 level {alert | crit | debug | emerg | error | info | notice | warning}

イベントのレベルを設定します。（デフォルト： notice）

参考：イベントレベルを設定すれば、設定したレベルより高いレベルのログメッセージだけが保存されます。例えば、「critical」レベルを設定

すれば「critical、alert、emergency」レベルのログメッセージがバッファに保存されます。「debug」レベルを設定すれば全てのログメッセージ

がバッファに保存されます。

ログメッセージの送信シスログサーバにログメッセージを送信するためには、＜設定モード＞で下記の手順を実行します。


1 logging ＜ログ設定モード＞に移動します。

2 server <IPADDR> [facility <FACILITY> {level <LEVEL> | agent-facility <AGENT-FACILITY>}]

シスログサーバ及びログメッセージの種類を設定します。 • <IPADDR> シスログサーバの IP アドレス

• <FACILITY> 送信するログメッセージのイベント種類

• <LEVEL> 送信するログメッセージのイベントレベル

• <AGENT-FACILITY> 送信されたログメッセージを保存する時に指定するイベントの種類

3 server-status {enable | disable} ログメッセージを転送するかの可否を設定します。 • enable ：転送する • disable ：転送しない（デフォルト）

参考： PAS-Kには最大24個のシスログサーバを設定することができます。

参考：設定を削除するためには、＜ログ設定モード＞で、 no logging server コマンドを使用します。該当コマンドを使用すれば、同一のIPアドレスを持つシスログサーバが全て削除されます。

設定情報の表示ログ設定情報を表示するためには、＜設定モード＞で show logging コマンドを使用します。




126

ログメッセージの表示保存されている全てのログメッセージを表示するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

show log [fix-level <LOG_LEVEL> | imply-lelvel <LOG_LEVEL> | keyword <STRING>]

保存されているログメッセージの中で下記のような一部のメッセージのみ表示します。 - フェイルオーバー発生情報 - ユーザーログイン/ログアウト情報 - 障害監視結果変更情報 - ポート状態変化情報 - CPU/メモリ使用率情報 - 起動動作情報(起動完了、設定復旧スタート、再起動) - SNMP トラップ情報 - ユーザー追加/状態情報 - 電源状態情報 - ウェブログイン情報 • fix-level 設定したレベルのログのみ表示します。 • <LOG_LEVEL> ログレベル(info、debug、error、notice、warning、critical) • imply-level 設定したレベル以上のログのみ表示します。 • keyword 設定した文字列が含まれたログのみ表示します。 • <STRING> 検索する文字列



ログメッセージの削除 PAS-Kに保存されている全てのログメッセージを削除するためには、＜設定モード＞で no log コマンドを使用します。

127


ポートモニタリング PAS-Kはポートのトラフィック情報をリアルタイムで参照できるポートモニタリング機能を提供します。本節ではポートのリアルタイムト

ラフィック情報をモニタリングする方法について説明します。

CLIでのポートモニタリングポートモニタリング情報を表示するためには＜設定モード＞で show port-monitoring コマンドを使用します。このコマンドは各ポ

ートの秒当たりに送受信するトラフィック量をリアルタイムで表示します。

次は show port-monitoring コマンド実行時の表示結果の例です。

(config)# show port-monitoring =============================================================================== PORT-MONITORING ----------------------------------------------------------------------------------------------------------------------------------------- Name RxRate(bps) RxRate(pps) TxRate(bps) TxRate(pps) ge1 983987200 120124 983994808 120123 ge2 983987200 120124 983994808 120124 ge3 0 0 0 0 ge4 0 0 0 0 ge5 0 0 0 0 ge6 0 0 0 0 ge7 0 0 0 0 ge8 0 0 0 0 xg1 983987200 120123 983994808 120123 xg2 0 0 0 0 xg3 983987200 120123 983987200 120123 xg4 0 0 0 0 xg5 0 0 0 0 xg6 0 0 0 0 xg7 0 0 0 0 xg8 0 0 0 0 xg9 0 0 0 0 xg10 0 0 0 0 xg11 0 0 0 0 xg12 0 0 0 0 xg13 0 0 0 0 xg14 0 0 0 0 xg15 0 0 0 0 xg16 0 0 0 0 ================================================================================

show port-monitoring コマンドを実行で表示される各項目は下記の通りです。

[表 – ポートモニタリングの表示項目]

項目説明

Name ポート名

RxRate(bps) 受信データ転送レート（ビット毎秒、bps）

RxRate(pps) 受信データ転送レート（パケット毎秒、pps）

TxRate(bps) 送信データ転送レート（ビット毎秒、bps）

TxRate(pps) 送信データ転送レート（パケット毎秒、pps）


128

システム監視システム監視機能はPAS-KのCPU、メモリ、ポートに対してリソースの使用状態を監視する機能です。一定時間ごとにリソースの使

用状態を確認し、各リソースの使用量が設定した閾値を越えた場合、ログメッセージを作成します。システム監視機能で作成されるロ

グメッセージのイベントレベルは「Warning」です。システム監視機能で作成されたログメッセージを確認する方法は第4章システム

管理とモニタリング－ログ管理を参照してください。

参考：システム監視機能はPAS-Kでデフォルトで提供する機能でユーザーが使用可否を設定することができません。

メールアラーム機能 PAS-Kは装置に障害が発生した場合、または設定が変更された場合などのイベントが発生するとメールアラームを通じて管理者に

通知する機能を提供します。本節ではメールアラーム機能に関する概要を説明し、CLIからメールアラーム機能を設定する方法につ

いて説明します。

概要メールアラーム機能は下記のようなイベントが発生すると、設定されたメールアドレスに該当イベントに関する情報を送信します。

項目イベント

CPU CPU使用率が90%を越えた場合

メモリメモリ使用率が90%を越えた場合

温度装置の温度が閾値（-10℃以下または80℃以上）を超えた場合

電源電源がオフになった場合、または電源ユニットで障害が発生した場合

ファン冷却ファンが正常に動作しない場合

リンクインターフェースのリンクがアップまたはダウンした場合

フェイルオーバーフェイルオーバーが発生した場合

Health 実サーバの動作状態（ACTIVE、INACTIVE、STANDBY、FULL）が変更された場合

次のメールはファンアラームをイネーブルした場合に送信されるファンアラームメールの例です。上記のメールは装置の冷却ファンの動作が中止された後に再起動した場合にメールを送信した例です。他のイベントでも同様なメー

ルが送信されるので、管理者はリアルタイムで装置の異常動作を確認し迅速な対応が可能になります。

129


CLIでの設定 CLIからメールアラーム機能を設定するためには、＜設定モード＞で下記の手順を実行します。


1 email-alarm <ID> ＜メールアラーム設定モード＞に移動します。 <ID> メールアラーム機能のID （設定範囲：1 ~ 8）

2 from <FROM> 送信元メールアドレスを設定します。

3 to <TO> 宛先メールアドレスを設定します。（最大8個まで設定可能）

4 smtp <SMTP> SMTPサーバのIPアドレスを設定します。

5

all {enable | disable} 全てのイベントのメールアラーム機能をイネーブルします。

cpu {enable | disable} CPU使用率のメールアラーム機能をイネーブルします。

memory {enable | disable} メモリ使用率のメールアラーム機能をイネーブルします。

temperature {enable | disable} 温度イベントのメールアラーム機能をイネーブルします。

power {enable | disable} 電源イベントのメールアラーム機能をイネーブルします。

fan {enable | disable} ファンイベントのメールアラーム機能をイネーブルします。

link {enable | disable} リンクイベントのメールアラーム機能をイネーブルします。

failover {enable | disable} フェイルオーバーイベントのメールアラーム機能をイネーブルします。

health {enable | disable} 実サーバイベントのメールアラーム機能をイネーブルします。

6 interval <INTERVAL>

アラームメール送信周期を設定します。アラームメール送信周期はCPU、メモ

リ、温度、電源、ファンの5つのイベントにだけ適用されます。 • <INTERVAL> 設定範囲 : 1 ~ 300（秒）（デフォルト： 60秒）

7 status {enable | disable} メールアラーム機能の使用可否を設定します。 enable 使用する

disable 使用しない（デフォルト）

8 current 設定したメールアラーム機能の設定情報を表示します。

9 apply メールアラーム機能の設定をシステムに適用します。

メールアラーム設定情報の表示メールアラーム機能の設定情報を確認するためには、＜管理者モード＞、＜設定モード＞で show email-alarm <ID> コマンドを

使用します。

参考：メールアラーム機能の設定情報は＜設定モード＞で no email-alarm <ID> コマンドを使って削除することができます。


130

コマンド履歴の確認コマンド履歴はユーザーがコンソールターミナル、またはSSH、TELNETを使用してPAS-KのCLIにログインして使用したコマンドの履

歴を確認する機能です。コマンド履歴は最大100個まで表示され、CLIからログアウトすると該当履歴が削除されます。

コマンド履歴を確認するためには、次のコマンドを使用します。グローバルコマンドなので、どのコマンドモードでも実行することができ

ます。

コマンド説明

history ユーザがログインした後に使用したコマンドを確認します。

ファンホットスワップ(FAN Hot Swap) PAS-Kは起動中のファンに不具合が発生した場合に電源を入れたままファンを交換できるファンホットスワップ（FAN Hot Swap）機能を

サポートします。ファンホットスワップ機能を通じてファンを交換するためには、とりあえず＜設定モード＞で次のコマンドを使用してフ

ァン動作を停止させます。

コマンド説明

fan-hotswap status enable ファン動作を停止させます。

注意：ファンを交換した後には、必ず fan-hotswap status disable コマンドを使用して再びファンを動作させます。

参考：ファンホットスワップ機能はPAS-K 1716/2424/2824/4224/4424/4824でのみサポートします。

131



本章ではSNMPについて概要を説明した後、PAS-KにSNMPを設定する方法について説明します。本章の構成は次の通りです。

SNMPの概要

SNMPの設定


SNMP の概要 SNMP（Simple Network Management Protocol）は、TCP/IPネットワークにおいて、ルーターやコンピュータ、端末などネットワー

クに接続された通信機器をネットワーク経由で監視・制御するためのプロトコルです。SNMPはOSIモデルのL7アプリケーション層に

属します。ネットワーク管理者はSNMPを利用して、次のような管理をリモートで実行することができます。

ネットワーク構成管理ネットワークの構成管理が容易にできます。

性能管理各ネットワークセグメント別にトラフィック量、エラー発生回数、処理速度、レスポンス時間などの性能分析に必要な統計情報を取

得できます。

装置管理装置の動作状態とポート、電源、冷却ファンなどの各モジュールの動作状態、CPU、メモリ、ディスク使用量などのシステム情報

を取得できます。このような情報はネットワーク上で発生した装置の障害を解決するのに大いに役立ちます。

セキュリティ管理装置の MIB 情報を制御することにより確保できるセキュリティ機能をサポートします。SNMP v3 ではセキュリティ機能が大幅に

強化されました。

SNMPの構成要素 SNMPは大きく次のような3つの要素で構成されています。

SNMP マネージャー

SNMP エージェント

MIB（Management Information Base）

SNMPマネージャー SNMPマネージャーは管理者がネットワークの状態を確認できるインターフェースの役割を果たします。SNMPマネージャーはSNMPエージェントとの通信を通じてMIBにある装置の情報を取得しネットワーク装置をモニタリングすることができ、SNMPエージェントに

動作リクエストを送って、装置の設定を変更することができます。

SNMPエージェント SNMPエージェントはスイッチ、ルーター、コンピュータ、端末などのネットワーク装置に内蔵されているソフトウェアです。SNMPエー

ジェントはSNMPマネージャーから処理リクエストを受信すると、MIBから該当情報を収集してSNMPマネージャーに返信します。設

定を変更するリクエストを受信すると、SNMPエージェントは該当するMIBの値を変更します。また、SNMPマネージャーからリクエス

トを受信していない場合でも、ユーザー認証エラーが発生したり、システムが再起動や他の装置との接続が切られるなどの重要なイ

ベントが発生した場合は、SNMPエージェントはトラップを発行してその情報をSNMPマネージャーに送信します。

133


SNMP MIB SNMP MIBはシステム情報、ネットワーク使用量、ネットワークインターフェース情報など、ネットワーク装置を管理するための情報を

含んでいるデータベースです。MIBに保存されている各情報をオブジェクトといいます。MIBのオブジェクトは下記の図のようにツリー

構造になっています。 MIBのツリー構造で下位にあるオブジェクトは上位にあるオブジェクトよりさらに詳細なオブジェクトです。MIBの各オブジェクトの横に

ある数字は必要なデータを持ってくる時に使われるOID番号です。例えば、enterpriseのOIDは1.3.6.1.4.1になります。

MIBはツリー構造になっているので拡張することができます。例えば、社内だけで使用するプライベートネットワークのネットワーク状

況をモニタリングする場合などには、プライベートMIBを追加し使用することができます。このようなプライベートMIBはprivate(4)のenterprises(1)に定義して使用します。 MIBは、MIB1（RFC1156）に不足していたオブジェクトを追加したり、不適切なものを削除したMIB2（RFC1213）があります。MIB2は今ではネットワーク機器に標準装置されるMIBとして「標準MIB」と呼ばれています。

参考： PAS-Kで提供するMIB情報は本書と共に提供されるPAS-K 1516/1716/2424/2824/4224/4424/4824 MIBリファレンスガイドを参照

して下さい。

参考： PAS-Kで提供する標準MIBにはMIB-IIとUCD-SNMPがあります。

参考： PAS-KがサポートするMIB-IIにはシステム情報、インターフェース情報（32ビットタイプ、64ビットタイプ）、ARP情報、IP情報、ルーティ

ング情報、ICMP情報、SNMP情報があり、UCD-SNMPにはCPU情報とメモリ情報があります。


134

SNMPマネージャーとエージェントの通信認証 SNMPマネージャーがSNMPエージェントに接続してMIB情報を受信したり、MIB値を変更したりするためには、認証を行わなければ

なりません。認証を行うためにSNMP v1とv2ではコミュニティー（community）を使用し、SNMP v3ではユーザーアカウントを使用し

ます。

通信コマンド SNMPマネージャーとエージェント間の通信は基本的に情報をリクエストするメッセージとこれに対するレスポンスメッセージで行われ

ます。次はSNMPマネージャーとエージェント間の通信の仕組みを示します。 SNMPマネージャーとエージェント間の通信に使われるコマンドは次の通りです。

Get Get コマンドは SNMP マネージャーが SNMP エージェントに情報をリクエストする時に使われます。SNMP エージェントはリク

エストを受け取れば、MIB からリクエストされた情報を収集して SNMP マネージャーに返信します。

Get Next Get Next コマンドは Get コマンドのように SNMP エージェントに情報をリクエストする時に使われます。しかし、Get Next コマ

ンドは Get コマンドとは異なり、リクエストされた特定情報だけではなく OID の次の項目の情報を持ってくることができます。

Set Set コマンドは SNMP マネージャーが SNMP エージェントに MIB オブジェクトの特定項目を設定する場合に使われます。SNMP エージェントは SNMP マネージャーから設定を変更するリクエストを受け取れば、該当する MIB の項目の値を変更します。

トラップトラップは SNMP マネージャーからのリクエストが無くても、ユーザー認証エラー、システムの再起動、他の装置との接続切断な

どの重要なイベントが発生すれば、SNMP エージェントが SNMP マネージャーに送信するメッセージです。SNMP トラップの種

類には Generic トラップと Enterprise トラップがあります。各トラップがイネーブルのときだけ該当するイベントが発生すればトラ

ップメッセージを送信します。特定トラップホストを設定すれば、SNMP エージェントは設定したトラップホストにのみトラップメッセ

ージを送信します。

トラップメッセージ次のようなイベントが発生した時、トラップメッセージを送るGenericトラップを提供します。

SNMP のイネーブル時

インターフェースリンクのアップ/ダウン時

マネジメントシステム、パケットプロセッサーの CPU/メモリ使用率の閾値（CPU: 90%、メモリ: 90%)超過時

フェイルオーバーが発生して PAS-K がマスターからバックアップになる時

障害監視結果の変更時

SNMPエージェント(PAS-K)

SNMPマネージャー

135


ロードタイムアウト時間 SNMPエージェントにリクエストを受信し、必要な情報を収集してSNMPマネージャーにレスポンスします。SNMPマネージャーからリ

クエストを受信する度にMIBから新しい情報を収集してレスポンスするとシステムリソースが過度に使用される恐れがあります。この

ような現象を防止するために、SNMPエージェントにSNMPマネージャーのリクエストに対して新しい情報を送るまで待機する時間(ロードタイムアウト時間)を設定することができます。ロードタイムアウト時間を設定すると、SNMPエージェントはロードタイムアウト時間

内に受信した同じ項目のリクエストに対しては前回のレスポンス時と同じ情報を送ります。

SNMPバージョン PAS-KがサポートするSNMPバージョンは次の通りです。

SNMP v1

SNMP バージョン 1 は RFC 1157 に定義されています。SNMP バージョン 1 では基本的な MIB1 と MIB2 を簡単に定義してお

り、システム、ネットワーク、アプリケーション、サービスなどに対する内容を含んでいます。SNMP バージョン 1 はコミュニティー

基盤のセキュリティ機能をサポートしているので、SNMP マネージャーとエージェントのコミュニティー名が同じでなければ通信で

きません。

SNMP v2

SNMP バージョン 2 は RFC 1902 に定義されています。SNMP バージョン 2 では SNMP バージョン 1 の内容を含んでいるだ

けではなく、データ種類、カウンターサイズ、プロトコル動作などを追加してセキュリティとアクセス制御機能を強化しています。SNMP バージョン 2 はバージョン 1 と同じくコミュニティー基盤のセキュリティ機能をサポートします。

SNMP v3

SNMP バージョン 3 は一番最新の SNMP バージョンであり、RFC 2571～2575 に定義されています。SNMP バージョン 3 では

機密キーを利用してユーザー認証を行った後に装置にアクセスできます。なお、データは暗号化しセキュリティ機能を大幅に強化

しました。

参考： SNMPマネージャーとエージェントのバージョンが同じでなければ正常に通信できません。従って、SNMPエージェントがサポートするバ

ージョンに合わせてSNMPマネージャーのバージョンを設定しなければなりません。SNMPエージェントの役割をするPAS-Kは、3つのバージョ

ンのSNMPを同時にイネーブルすることができます。そのため、SNMPマネージャーが複数の場合は、各SNMPマネージャーに異なるバージョ

ンのSNMPを設定し、同じバージョンのSNMPマネージャーとだけ通信するようにすることができます。


136

SNMP の設定設定準備

SNMPの設定項目次はPAS-KでSNMP機能を使用するために必要な設定項目です。

SNMP コミュニティー

SNMP ユーザー

SNMP ロードタイムアウト時間

SNMP トラップホスト

SNMP Generic トラップ

システム情報（名前、連絡先、位置）

SNMP 使用可否の設定

基本設定 SNMPの基本設定項目は次の通りです。

[表 – SNMPの基本設定]

項目説明

SNMP状態ディスエーブル

バージョンなし

コミュニティーなし

ユーザーなし

ロードタイムアウト時間 60 秒

SNMPトラップメッセージディスエーブル

システム情報なし

ディスエーブル

トラップホストなし

SNMP設定時の注意事項 SNMPの設定項目はSNMPの動作状態に関係なく設定を変更することができます。SNMPがイネーブル状態で設定を変更した場合

は変更された設定が直ちにSNMPの動作に適用されます。SNMPがディスエーブルされている場合は変更内容が保存された後、SNMPがイネーブルされた時に適用されます。

137


CLIでの設定 CLIからSNMP機能を設定する方法を説明します。

SNMPコミュニティーの設定 SNMPコミュニティーはSNMPエージェントが接続する時、接続許可の可否、読み取り・書き込み権限などを確認するのに使われるパ

スワードの役割をする文字列です。デフォルトで設定されているコミュニティーはありません。SNMP v1とv2で認証する時に用いるSNMPコミュニティーを設定するためには、＜設定モード＞で次の手順を実行します。PAS-Kには最大8個のSNMPコミュニティーを設

定することができます。複数のSNMPコミュニティーを設定する場合には、次の手順を繰り返します。


1 snmp ＜SNMP設定モード＞に入ります。

2 community <NAME>

SNMP コミュニティー名を設定し、＜Community 設定モード＞に入りま

す。 • <NAME>

SNMP コミュニティー名は 1 ~ 255 の英文字と数字、特殊文字（’（シン

グルクォート）、¥（バックスラッシュ・円マーク）を除く）で設定可能。ただ

し、最初の文字は必ず英文字を使用すること。

3 policy {read-only | read-write}

SNMP コミュニティー権限を設定します。 • read-only 読み取り権限のみ許容（デフォルト） • read-write 読み取り・書き込み権限許可

4 limit-oid <LIMIT-OID> （選択設定）

SNMP コミュニティーがアクセスできる OID を設定します。OID を設定する

と該当 OID 以下の OID のみアクセスできます。 • <LIMIT_OID> アクセスできるOIDを英文字大小文字と数字、「.（ピリオド）」、「-（ハイフ

ン）」の組合せ。複数のOIDを設定する場合にはコンマで区分

参考：設定したOIDを削除するためには、no limit-oid <LIMIT-OID> コマンドを使用します。



参考： SNMPコミュニティーを削除するためには、＜SNMP設定モード＞で no community <NAME> コマンドを使用します。

SNMPユーザーの設定 SNMP v3で認証する時に用いるSNMPユーザーを設定するためには、＜SNMP設定モード＞で次のコマンドを使用します。

コマンド説明

user <NAME>

＜SNMP ユーザー設定モード＞に入ります。 • <NAME>

SNMP のユーザー名 2 ~ 32 文字の英文字、数字、「-（ハイフン）」、「_（アンダーバー）」を使用可能。ただ

し、最初の文字は必ず英文字を使用する。最大 8 名のユーザー登録が可能。

{md5-passwd | sha-passwd}

SNMP v3 のユーザーパスワードを暗号化する方式を設定します。“Password: “というメ

ッセージが表示されたらパスワードを入力し、[Enter]キーを押します。 • md5-passwd

MD5 パスワード 8 ~ 64 の英文字大小文字と数字、特殊文字（「¥（円マーク・バックスラッシュ）」を除く）

の組合せ • sha-passwd


138

SHA パスワード 8 ~ 64 の英文字大小文字と数字、特殊文字（「¥（円マーク・バックスラッシュ）」を除く）

の組合せ

{aes-passwd | des-passwd} (選択設定)

SNMP v3 で通信データに対する暗号化方式パスワードを設定します。“Password: “とい

うメッセージが表示されたらパスワードを入力し、[Enter]キーを押します。 • aes-passwd

AES パスワード

8 ~ 64 の英文字大小文字と数字、特殊文字（「¥（円マーク・バックスラッシュ）」を除く）

の組合せ

• des-passwd DES パスワード

8 ~ 64 の英文字大小文字と数字、特殊文字（「¥（円マーク・バックスラッシュ）」を除く）

の組合せ

参考： SNMPユーザーを削除するためには、＜SNMP設定モード＞で no user <NAME> コマンドを使用します。

参考：設定したパスワードを削除するためには、＜SNMP設定モード＞で no user {md5-passwd | sha-passwd | aes-passwd | des-passwd} コマンドを使用します。

注意： SNMPユーザーの削除は、SNMPがディスエーブル状態である場合のみ可能です。

SNMPロードタイムアウト時間の設定 SNMPロードタイムアウト時間を設定するためには、＜SNMP設定モード＞で次のコマンドを実行します。

コマンド説明

load-timeout <LOAD-TIMEOUT> SNMP ロードタイムアウト時間を設定します。 • <LOAD-TIMEOUT> 設定範囲： 0 ~ 65,535（秒）（デフォルト： 60 秒)

SNMPトラップホストの設定 SNMPトラップホストを設定するためには、＜SNMP設定モード＞で次のコマンドを使用します。


1 trap host <IP> ＜トラフィックホスト設定モード＞に入ります。

• <IP>

トラフィックホストの IP アドレス

2 version <VERSION> SNMP トラフィックバージョンを設定します。

• <VERSION>

SNMP トラフィックバージョン設定範囲： 1、2c、3

順番 3~5 は順番 2 で指定した SNMP トラップバージョンによって設定過程が異なります。バージョンに合った過程を実行し、6 番の過程を

実行してください。

SNMP v1、2c ：順番 3 へ

SNMP v3 ：順番 4~5 へ

3 community <COMMUNITY> (SNMP v1, 2c を指定した場合のみ実行)

SNMP コミュニティを設定します。

• <COMMUNITY>

SNMP コミュニティ名

1 ~ 254 文字の英文字（大文字・小文字）、数字、特殊文字(「¥（円マーク・

バックスラッシュ）」を除く)で組み合わせる。ただし、最初の文字は必ず英文

字を使用する。

4 user <USER> (SNMP v3 を指定した場合のみ実行)

トラップメッセージを受信する SNMP ユーザー名を指定します。

• <USER> SNMP ユーザー名

139


5 engine-id <ENGINE-ID> (SNMP v3 を指定した場合のみ実行)

トラップホストの Engine ID を指定します。

• <ENGINE-ID> トラップホストの Engine ID

6 current SNMP トラップホストの設定情報を表示します。

7 apply SNMP トラップホストの設定情報をシステムに適用します。

参考： SNMPトラップホストを削除するためには、＜SNMP設定モード＞で no trap host <IP> コマンドを使用します。

参考： SNMPエージェント（PAS-K）にSNMPトラップホストを設定すると、デフォルトで負荷分散サービスと実サーバの障害監視結果の変更事項に対するトラップメッセージをSNMPマネージャーに送信します。

SNMPトラップメッセージの設定 SNMPトラップメッセージを設定するためには、＜SNMP設定モード＞で次のコマンドを使用します。

コマンド説明

trap cold-start {enable | disable} SNMP のイネーブル時にトラップを発行します。（デフォルト：ディスエーブル）

trap failover {enable | disable} フェイルオーバーが発生した時にトラップを発行します。（デフォルト：ディスエーブル）

trap health-check {enable | disable} 障害監視結果が変更された時にトラップを発行します。（デフォルト：ディスエーブル）

trap link-down {enable | disable} インターフェースリンクのダウン時にトラップを発行します。（デフォルト：ディスエーブル）

trap link-up {enable | disable} インターフェースリンクのアップ時にトラップを発行します。（デフォルト：ディスエーブル）

trap management-cpu {enable | disable}

マネジメントシステムの CPU 使用率が 90%を超過した時にトラップを発行します。（デフォル

ト：ディスエーブル） trap management-memory {enable | disable}

マネジメントシステムのメモリ使用率が90%を超過した時にトラップを発行します。（デフォル

ト：ディスエーブル）

trap packet-cpu {enable | disable} パケットプロセッサーの CPU 使用率が 90%を超過した時にトラップを発行します。（デフォル


trap packet-memory {enable | disable} パケットプロセッサーのメモリ使用率が 90%を超過した時にトラップを発行します。（デフォル



140

システム情報(名前、連絡先、位置)の設定 PAS-Kは各装置に装置名と装置に関して問合せることができる連絡先、設置場所に対する情報を設定することができます。この情報

はネットワーク管理システムなどで統合運用管理時に活用することができます。初期設定では何も登録されていません。この情報を

設定する方法は次の通りです。

装置名の設定

装置名を設定するためには、＜SNMP設定モード＞で次のコマンドを使用します。

コマンド説明

system name <NAME> 装置名を設定します。 • <NAME> 英文字と数字、特殊文字を使って最大 255 文字まで設定可能。

参考：設定した装置名を削除するためには、＜SNMP設定モード＞で no system name コマンドを使用します。

連絡先の設定

連絡先を設定するためには、＜SNMP設定モード＞で次のコマンドを使用します。

コマンド説明

system contact <CONTACT> 連絡先を設定します。連絡先は主に管理者のメールアドレスや電話番号を使用します。 • <CONTACT> 英文字と数字、特殊文字を使って最大 255 文字まで設定可能。

参考：設定した連絡先を削除するためには、＜SNMP設定モード＞で no system contact コマンドを使用します。

設置場所の設定

装置の位置情報を設定するためには、＜SNMP設定モード＞で次のコマンドを使用します。

コマンド説明

system location <LOCATION> 装置の設置場所情報を設定します。 • <LOCATION> 英文字と数字、特殊文字を使って最大 255 文字まで設定可能。

参考：設定した装置場所を削除するためには、＜SNMP設定モード＞で no system location コマンドを使用します。

141


SNMP使用可否の設定 SNMP使用可否を設定するためには、＜SNMP設定モード＞で次のコマンドを使用します。

コマンド説明

status {enable | disable} SNMP 機能の使用可否を設定します。 • enable : 使用する • disable : 使用しない（デフォルト）

設定情報の表示 SNMPの設定情報及び状態を確認するためには、show snmp コマンドを使用します。




142


PAS-Kではパケット処理の効率化のために「ポートバウンダリー」という独自のパケット処理を行っています。本章ではポートバウンダ

リーの概念と設定時の注意事項を説明した後、ポートバウンダリーを設定する方法について説明します。本章の構成は次の通りです。

ポートバウンダリーの概要

ポートバウンダリーの設定


ポートバウンダリーの概要 PAS-Kではパケット処理の効率化のためにL2スイッチボードとパケットプロセッサーボードに分けて処理を行います。L2スイッチボー

ドは、L4-7の負荷分散対象のパケットのみをパケットプロセッサーに上げて処理を行い、対象ではないパケットはL2スイッチング処理

を行います。L4-7の負荷分散対象のパケットを処理するパケットプロセッサーの処理のために、INパケットの方向性を指定する必要

があります。この「INパケットの方向性を指定する」ことを「ポートバウンダリー」といいます。 PAS-Kでは、ポートバウンダリーが設定されてあるポートからの受信パケットはL4-7負荷分散処理のために「パケットプロセッサー」

へ引渡しますが、ポートバウンダリー設定が無ければ受信パケットはL2スイッチング処理のみ行われます。次の図はPAS-Kがパケットを受信した時に、ポートバウンダリーの設定可否によって行われるパケットの処理を示しています。

[図 – ポートバウンダリーによるパケット処理フロー]

PAS-Kはパケットを受信すると先ずパケットを受信したポートにポートバウンダリーが設定されているかどうかを確認します。ポートバ

ウンダリーが設定されていないポートの場合はL2スイッチング処理を行います。しかし、ポートバウンダリーが設定されている場合は

L4-7負荷分散処理によってパケットが処理されます。

パケット

ポートバウンダリー？なし

あり

L2スイッチング

L4-7スイッチング


144

ポートバウンダリー適用範囲の制限ポートバウンダリーはポートで送受信するパケットに適用されます。しかし、必要な場合には送信元や宛先IP帯域、ポート、プロトコル

種類、VLAN IDを使ってポートバウンダリーを適用するパケットを具体的に設定することができます。送信元/宛先IP帯域

ポートバウンダリーに送信元IPアドレス帯域や宛先IP帯域を設定すれば、ポートで送受信するパケットの中で送信元IPアドレス

や宛先IPアドレスが設定したIPアドレス帯域に属するパケットに対してのみポートバウンダリーを適用します。送信元/宛先ポート

ポートバウンダリーに送信元ポート番号や宛先ポート番号を設定すれば、設定したポートを通じて送受信するパケットに対しての

みポートバウンダリーを適用します。プロトコル

ポートバウンダリーにTCPやUDPプロトコルを設定すれば、ポートで送受信するパケットの中で設定したプロトコル種類のパケッ

トに対してのみポートバウンダリーを適用します。 VLAN ID

ポートがtaggedポートの場合は複数のVLANからパケットを送受信するようになります。この場合、ポートバウンダリーにVLAN IDを設定すれば、設定したVLANのパケットに対してのみポートバウンダリーを適用することができます。

上記の4つの制限条件は1つのポートバウンダリーに対して同時に使用することができます。

ポートバウンダリーID 1つのポートに複数のポートバウンダリーを適用することができます。この場合、PAS-KはポートバウンダリーIDが小さい順にポート

バウンダリーを適用します。複数のポートバウンダリーが適用されたポートでパケットを受信すると、先ずIDが一番小さいポートバウ

ンダリーを適用し、その条件を満たせばポートバウンダリー処理を行います。もし、満たさなければ次の小さい順のIDのポートバウン

ダリーを適用し、以後同じ処理を繰り返します。全てのIDの条件も満たさなかった場合は、ポートバウンダリーが設定されていない場

合と同じく、L2スイッチングが実行されます。このようにポートバウンダリーのIDは優先順位の役割を果たします。ポートバウンダリー

のIDを設定する時に留意する事項は、設定情報がより具体的なポートバウンダリーであれば他に比べて低い（優先順位の高い）IDを設定しなければなりません。前述したサーバ負荷分散とキャッシュサーバ負荷分散構成のポートバウンダリーを例として説明します。

ID ポートポートに接続された装置宛先IP帯域

1 3～4 キャッシュサーバ 192.168.1.0/24

2 5 ルーター全てのネットワーク（0.0.0.0/0）

3 1～4 キャッシュサーバとサーバ全てのネットワーク（0.0.0.0/0）

このポートバウンダリーにIDを設定するためには、具体的な条件を持つポートバウンダリーに低いIDを設定しなければならないので、

一番上にあるポートバウンダリーに一番低いIDを設定しなければなりません。残りの2つのバウンダリーは同じ条件なので一番上に

あるバウンダリーより高いIDを設定します。次のような3つのポートバウンダリーにIDを設定する例をもう1つ説明します。

送信元IP帯域が100.1.1.0/24であるポートバウンダリー送信元IP帯域が100.1.0.0/16であるポートバウンダリー送信元IP帯域が設定されていないポートバウンダリー

上記の3つのポートバウンダリーが1つのポートに同時に適用される場合は、ポートバウンダリーのIDは < < のように設定

しなければなりません。

145


プロミスクモードとインクルードMACモードポートバウンダリーが設定されたポートから受信した全てのパケットはL4-7負荷分散処理が行われます。しかし、これらのパケットの中

にはL4-7負荷分散処理を必要としないパケットも含まれています。もし、L4-7負荷分散処理が不要なパケットに対してはフィルタリング

処理ができれば、PAS-Kの処理負荷を軽減し全体的により高い性能を提供することができます。ポートバウンダリーにおけるL4-7負荷分散処理の実行可否を設定する項目としてプロミスクモードとインクルードMACモードがありま

す。プロミスクモードは、ポートに受信される全てのパケットに対してL4-7負荷分散処理の実行可否を設定します。プロミスクモードは「on」、「off」を設定します。

・ on ： L4-7負荷分散処理を実行する。・ off ：受信したパケットの中でパケットの宛先MACアドレスがPAS-KのMACアドレスと一致するパケットに対してのみL4-7

負荷分散処理を実行する。他のパケットはフォワード処理を行う。インクルードMACモードは、L4-7負荷分散処理を実行するパケットの種類を表します。インクルードMACモードは、None、Unicast、Multi-broadcastを設定します。

・ None ：プロミスクモードの設定に従ってL4-7負荷分散処理を行う。・ Unicast ：宛先MACアドレスがPAS-KのMACアドレスと一致するパケットとユニキャストMACアドレスを持つパケットのみL

4-7負荷分散処理を実行する。・ Multi-broadcast ：マルチキャストやブロードキャストMACアドレスを持つパケットのみL4-7負荷分散処理を実行する。

プロミスクモードとインクルードMACモードによってL4-7負荷分散処理の実行可否を表にまとめます。

[表 - プロミスクモードとインクルードMACモードによってL4-7負荷分散処理が実行されるパケット種類]

No. プロミスクモードインクルードMACモード L4-7負荷分散処理が実行されるパケット

この設定が使用される場合

off none 宛先MACアドレスがPAS-KのMACアドレスと一致するパケット（デフォルト設定）

• PAS-Kが次のホップやゲートウェイに

設定された場合 • サーバ負荷分散サービスの仮想IPに

接続する場合

off unicast

宛先MACアドレスがPAS-KのMACアドレスと一致するパケットユニキャストMACアドレスを持つ

パケット

• ブリッジモードネットワーク構成の場合

off multi-broadcast マルチキャストあるいはブロードキ

ャストMACアドレスを持つパケット異なるVLAN間にマルチキャストパケット

を送受信する場合

on none ポートに受信される全てのパケット全てのパケットにL4-7負荷分散処理を実

行する場合

インクルードMACモードをUnicastやMulti-broadcastと設定した場合は、必ずプロミスクモードをoffに設定しなければなりません。プ

ロミスクモードをoffに設定して、インクルードMACモードをmulti-broadcastに設定した場合はインクルードMACモードをunicastに設

定した場合と異なり、宛先MACアドレスがPAS-KのMACアドレスと一致するパケットはL4-7負荷分散処理が実行されません。マルチ

キャストやブロードキャストMACアドレスを持つパケットと、宛先MACアドレスがPAS-KのMACアドレスと一致するパケットのL4-7スイ

ッチングをすべて実行するためには、次のように２つのポートバウンダリーを設定しなければなりません。

ポートバウンダリー1 プロミスクモード「off」、インクルードMACモード「none」

ポートバウンダリー2 プロミスクモード「off」、インクルードMACモード「Multi-broadcast」


146

ポートバウンダリーの設定ポートバウンダリーを設定する手順は次の通りです。

1. ポートバウンダリーの定義（必須）

2. ポートの設定（必須）

3. 送信元や宛先IP帯域の設定（選択）

4. 送信元や宛先ポート番号の設定（選択）

5. プロトコル種類の設定（選択）

6. VLAN IDの設定（選択）

7. プロミスクモードとインクルードMACモードの設定（選択）

8. ポートバウンダリーの適用可否設定（選択）上記の2 ~ 8番項目のデフォルト設定は下記の表の通りです。

[表 – ポートバウンダリーのデフォルト設定]

手順番号項目デフォルト

2 ポート全てのポート

3 送信元/宛先IPアドレス帯域 0.0.0.0/0

4 送信元/宛先ポート番号なし

5 プロトコル all

6 VLAN ID all

7 プロミスクモード off

インクルードMACモード none

8 適用可否 enable

147


CLIでの設定ポートバウンダリーを設定するためには、＜設定モード＞で下記の手順を実行します。最大16個のポートバウンダリーを設定するこ

とができます。複数のポートバウンダリーを設定する場合は次の手順を繰り返します。


1 port-boundary <ID>

ポートバウンダリーを生成して、＜ポートバウンダリー設定モード＞に移動しま

す。 • <ID>

ポートバウンダリーの ID、優先順位（設定範囲： 1 ~ 16）

2 port <PORT>

ポートバウンダリーを適用するポートリストを設定します。 • <PORT> 複数のポートを設定する場合は「,（コンマ）」と「-（ハイフン）」を使ってポートを

区分し、連続するポートを設定する時には「-（ハイフン）」を使用する

参考：ポートを設定しないと設定情報にポート情報が表示されません

が、PAS-Kの全てのポートにポートバウンダリーが適用されます。

注意： IPv6ポートバウンダリーでは下記の3 ~ 10番項目は設定できま

せん。下記の項目は今後開発し、サポートする方針です。

4 sip <SIP> ポートバウンダリーを適用するパケットの送信元IP帯域を設定します。設定した

送信元IP帯域を削除するためには、no sip コマンドを実行します。

4 sport <SPORT>

ポートバウンダリーを適用するパケットの送信元ポート番号（プロトコルの種類

がTCP、UDP、allの場合にのみ設定可能） • <SPORT> 設定範囲： 1 ~ 65,535

設定した送信元ポート番号を削除するためには、no sport コマンドを実行し

ます。

5 dip <DIP> ポートバウンダリーを適用するパケットの宛先IP帯域を設定します。設定した宛

先IP帯域を削除するためには、no dip コマンドを実行します。

6 dport <DPORT>

ポートバウンダリーを適用するパケットの宛先ポート番号（プロトコルの種類がTCP、UDP、allの場合にのみ設定可能） • <DPORT> 設定範囲： 1 ~ 65,535

設定した宛先ポート番号を削除するためには、no dport コマンドを実行しま

す。

6 vid <VID> ポートバウンダリーを適用するVLAN IDを設定します。 • <VID> 設定範囲： 2 ~ 4,080

7 protocol {all | tcp | udp | icmp} ポートバウンダリーを適用するプロトコルの種類を設定します。

9 promisc {on | off} プロミスクモードを設定します。

10 include-mac {none | multi-broadcast | unicast}

インクルードMACモードを設定します。

11 status {enale | disable} (選択設定)

設定したポートバウンダリーの適用可否を設定します。 • enable ：適用する（デフォルト） • disable ：適用しない



注意：送信元と宛先IP帯域やプロトコル種類、VLAN IDを設定するポートバウンダリーのIDは、この項目を設定しないポートバウンダリーの

IDより必ず小さいIDを設定して下さい。

参考：設定したポートバウンダリーを削除するためには、＜設定モード＞で次のコマンドを使用します。 (config)# no port-boundary <ID>


148

参考：設定値を削除するかデフォルトに戻すためには、＜ポートバウンダリー設定モード＞で次のコマンドを使用します。 (config-port-boundary[1])# no protocol

ポートバウンダリー設定情報の表示ポートバウンダリーの設定情報は＜設定モード＞で show port-boundary コマンドで確認することができます。show port-boundary コマンドでポートバウンダリーIDを指定すれば、該当ポートバウンダリーの設定情報のみ確認することができます。



149



本章ではサーバとファイアウォール、VPNなどの負荷を適切に分散して、リソースの可用性と安全性を高めるPAS-KのL4、L7負荷分

散機能について説明します。本章の構成は次の通りです。

L4負荷分散

L7負荷分散

実サーバ

負荷分散方式

障害監視（ヘルスチェック）

セッション維持

アプリケーションアクセラレータ

障害監視の設定

Passive障害監視機能の設定

実サーバの設定

負荷分散の一定管理

静的フィルター

アプリケーションアクセラレータ

L4サーバ負荷分散の設定

アドバンストL4サーバの負荷分散設定

ファイアウォール・VPN負荷分散の設定

アドバンストファイアウォール・VPN負荷分散の設定

L4キャッシュサーバ負荷分散の設定

ゲートウェイ負荷分散の設定

グローバルサーバ負荷分散の設定

Inbound負荷分散設定

L7サーバ負荷分散の設定

アドバンストL7サーバ負荷分散の設定

L7キャッシュサーバ負荷分散の設定

アドバンストL7キャッシュサーバ負荷分散の設定

セッションエントリー及び統計情報の表示


L4 負荷分散概要

PAS-Kは一般サーバ、キャッシュサーバ、ファイアウォール、VPN装置の負荷分散を提供し、高可用性構成を可能にするL4スイッチ

です。PAS-Kの負荷分散機能は各装置のトラフィックを分散し、手軽にサービス性能を拡張できるようにします。また、各装置の障害

監視機能によって、装置に障害が発生した場合にも、他の正常な装置を通じて持続的なサービスが提供できます。 PAS-Kで提供するL4負荷分散の特徴は以下の通りです。

ネットワーク環境とトラフィックの特性によって様々な複数の負荷分散方式を提供します。

クライアント基盤のセッション維持機能を提供します。

既存のネットワーク環境を変更させずに、負荷分散機能を適用することができます。

ブリッジング（L2）ネットワーク構成とルーティング（L3）ネットワーク構成のいずれの構成でも使用できます。

サーバ負荷分散機能はDest-NAT、L2 DSR、L3 DSR、LAN-to-LANのような様々なNATモードをサポートします。

ファイアウォール負荷分散機能は様々な種類のファイアウォールに適用でき、DMZを含めた複雑なファイアウォール構成もサポ

ートします。

ファイアウォールとVPN装置が同時に存在するネットワークでも負荷分散が可能です。

サーバ負荷分散とファイアウォール負荷分散、キャッシュサーバ負荷分散を同時に使用できます。

様々な種類のVPNトンネリングプロトコルとL2TP基盤のVPNをサポートし、本支店間の対称的VPN機能を提供します。

ゲートウェイ回線の状態を監視し、プライベートネットワークから外部ネットワークに送信されるトラフィックを正常に接続されてい

るゲートウェイ回線に分散させるゲートウェイ負荷分散機能をサポートします。

外部から内部のサーバに接続するトラフィックを複数のゲートウェイ回線に分散させるインバウンド負荷分散機能をサポートしま

す。

151


Ｌ4サーバ負荷分散サーバ負荷分散（Server Load Balancing-SLB）はインターネットトラフィックの同じサービスを提供する複数のサーバ（サーバ群）に

効率的に配分して、サーバの負荷を分散させる機能です。サーバ負荷分散機能を使ったネットワークには次のような長所があります。サーバ利用率とネットワーク帯域幅の効率が増加します。

ユーザーのセッショントラフィックが現在サーバ群にある正常なサーバの中で、負荷の少ないサーバを通じて処理されます。その

ため、一つのサーバにトラフィックが集中されるのを防ぎ、サーバのトラフィック処理の遅延によって発生し得る帯域幅の浪費も減

らすことができます。ユーザーに信頼の高いサービスを提供することができます。

一つのサーバに問題が発生しても残りのサーバによって正常にサービスが提供できます。サービスの拡張性を高めることができます。

ユーザー増によりサーバの処理能力が足りなくなった場合、既存のサービスに影響を与えずに新しいサーバをサーバ群に追加


既存ネットワークとサーバ負荷分散を適用したネットワーク下記はサーバ負荷分散機能を使わずに複数のサーバを使う一般的なネットワーク構成図です。

[図 - サーバ負荷分散を適用していない一般的なネットワーク構成図]

上の図のようなネットワークでは一般的に各サーバが一つあるいは二つほどの固有なサービスを提供するように限定されています。

もしこのようなサーバの中で、一つが多くのユーザーによく使われるアプリケーションや接続の頻繁なコンテンツを提供する場合には、

サーバに過負荷が発生します。サーバに過負荷が発生した状態では、サーバがユーザーのサービスリクエストを拒否するようになり、

ユーザーはもう一度サーバに繰り返してサービスをリクエストするようになるため、全体のネットワークの性能が落ちます。このような

状況はユーザーリクエストを処理できる可用サーバがある場合にもたびたび発生します。

クライアントクライアント

ルーター

サーバ群


152

このように特定のサーバにだけ負荷が集中される現象は、次のようにPAS-Kを使ってサーバ負荷分散機能を適用したネットワーク構

成を通じて解決することができます。

[図 - PAS-Kのサーバ負荷分散機能を適用したネットワーク構成図]

上の図のようにPAS-Kとサーバを接続してPAS-Kにサーバ負荷分散機能を適用すれば、PAS-Kは様々な負荷分散方式を使ってユ

ーザートラフィックをサーバ群にある適切なサーバに配分します。したがって、前述したネットワークで発生した特定サーバの過負荷

の発生を防止することができます。その他にもPAS-Kのサーバ負荷分散機能を使えばネットワークの信頼性が向上し、サーバの追

加や除外が容易に行えます。

参考：サーバ負荷分散機能はLinux、Windowsサーバ、FreeBSD、Solaris、HP-UX など、サーバのOSに依存せずに動作します。

仮想サーバ基盤の負荷分散 PAS-Kは仮想サーバ基盤の負荷分散をサポートします。この方式は最も一般的なサーバ負荷分散方式です。この方式でPAS-Kは仮想サーバの役割をし、トラフィックを分散させるサーバグループ（サーバ群）に対する仮想サーバIPアドレス（あるいはアドレス範囲）

を持ちます。クライアントはサーバの実際のIPアドレスの代わりに仮想IPアドレスを使ってサービスをリクエストするようになります。

PAS-Kでは仮想サーバをサーバ負荷分散サービスといいます。サーバ負荷分散サービスは、仮想IPアドレスで受信したトラフィック

をサービスに設定された負荷分散方式を使って実サーバに送ります。PAS-Kには1,024個のサーバ負荷分散サービスを動作させる


フィルター PAS-Kはトラフィックの中でL4サーバ負荷分散を適用するトラフィックを定義するために、フィルターを使います。フィルターはプロトコ

ルと送受信/宛先IPアドレス、送受信/宛先ポート番号などを多様に組み合わせて定義することができます。フィルターの種類には「include」タイプと「exclude」タイプがあります。「include」タイプのフィルターにはL4サーバ負荷分散を適用するトラフィックの条件が含ま

れます。また、「exclude」タイプのフィルターはL4サーバ負荷分散を適用しないトラフィックの条件で構成されます。フィルターを設定

しない場合には設定した仮想IPアドレスを宛先IPアドレスとする「include」タイプのフィルターが自動で生成され、仮想IPアドレスを削

除する際に該当ファイルターも自動で削除されます。

クライアント

クライアント

ルーター

PAS-K

サーバ群

153


サーバ負荷分散のNAT モードサーバ負荷分散サービスが適用されたネットワークでは、クライアントは仮想IPアドレスを使ってサーバにリクエストします。PAS-Kはこのようなクライアントのリクエストを受信すると、セッション維持と負荷分散方式を使って実サーバを選択した後、リクエストパケット

の宛先アドレスを仮想IPアドレスの代わりに実サーバのIPアドレスに変換(NAT)した後、実サーバに送ります。実サーバからクライア

ントにレスポンスを送る時にも、PAS-Kはレスポンスパケットの送信元アドレスを実サーバのIPアドレスから仮想アドレスに変えてクラ

イアントに送ります。

PAS-Kはサーバ負荷分散サービスでクライアントと実サーバ間に、仮想IPアドレスと実際のIPアドレスを変換してくれる次のような4種のNATモードをサポートします。

Dest NAT(Destination NAT)モード

Both NATモード

L2 DSRモード

L3 DSRモード

LAN-to-LANモード

L2 DSR（Direct Server Return）モードとL3 DSRモード、LAN-to-LANモードはサーバ負荷分散サービスでのみ使用でき、Dest N

ATモードとBoth NATモードはアドバンストL4サーバ負荷分散サービスでのみ使用できます。

各NATモードについて説明します。

Dest NAT モード Dest NATモードは最も一般的にサーバ負荷分散サービスに使われるNATモードです。Dest NATモードではサーバ負荷分散サー

ビスのNAT機能をそのまま実行します。すなわち、クライアントが送ったパケットの宛先アドレスを仮想IPアドレスから実サーバのIPアドレスに変換して実サーバに送り、実サーバのレスポンスパケットの送信元アドレスを実サーバのIPアドレスから仮想IPアドレスに変

換した後、クライアントに送ります。

次はPAS-KにDest NATモードに設定されたサーバ負荷分散サービスが動作中の場合、クライアントと実サーバ間に送受信される

パケットの送信/受信アドレスが変換される過程を示す図です。

[図 - Dest NATモード]

ルーター

負荷分散サービス(VIP1)

実サーバ1

(rip1) 実サーバ2

(rip2)

クライアント

PAS-K

宛先: VIP1

宛先: rip1 送信元: rip1

送信元: VIP1 リクエストパケット :

リクエストパケット : : レスポンスパケット

: レスポンスパケット

実サーバ1

選択セッションエントリ

参考


154

Both NATモード Both NATモードはDest NATモードと類似に動作します。しかし、宛先アドレスのみに変換するDest NATモードとは異なり、パケット

の送信元IPアドレスをアドバンストL４サーバ負荷分散サービスのVIPまたは実サーバと接続されるインターフェースのIPアドレスに変

換して送信します。

[図 – Both NATモード]

L2 DSR モード L2 DSRモードではクライアントがPAS-Kを通じて実サーバにリクエストを送り、実サーバはPAS-Kを通じないで直接クライアントにレ

スポンスを送ります。クライアントのリクエストを受信したPAS-Kは、実サーバを選択した後にリクエストパケットの宛先MACアドレスを

負荷分散された実サーバのMACアドレスに変換して実サーバに送ります。

しかし、実サーバはMACアドレスが自分のMACアドレスと一致するため、一旦パケット受信しますが、宛先のIPアドレスが自分のIPアドレスではないためにレスポンスしません。このような問題が発生するのを防ぐためにはサーバに別途の構成作業をしなければな

りません。

サーバのOS種類やネットワークの構成環境によって様々な方法の設定があるので、サーバの環境に相応しい方法に設定します。

基本的な構成方法は次のようです。

サーバ負荷分散サービスの仮想IPアドレスを実サーバに追加し、実サーバがクライアントからの仮想IPアドレス宛てのリクエスト

にレスポンスできるように設定します。

上のように構成した場合、仮想IPアドレスに対したARPレスポンスを実サーバが直接するので、L2 DSRモードに設定されたサ

ーバ負荷分散サービスが正常に動作しない場合が発生する可能性があります。これを防ぐために、実サーバでARPリクエストに

対したレスポンスをしないように設定します。

L2 DSRモードはFTPやストリーミングサービスのように、クライアントに送るトラフィックが多いアプリケーションを提供するサーバに

主に使われます。L2 DSRモードはPAS-Kを経ないでクライアントにトラフィックを送るので、PAS-Kに負荷を与えません。その代わり、

実サーバに別途の構成作業をしなければならない煩わしさがあります。

ルーター

負荷分散サービス(VIP)

実サーバ1


(rip2)

クライアント

PAS-K

送信元: クライアントIPアドレス

リクエストパケット :

実サーバ1

選択セッションエントリ

参考

宛先: VIP

レスポンスパケット :

宛先: クライアントIPアドレス

送信元: VIP１

送信元: VIP或はインターフェースIPアドレス


宛先: rip１

レスポンスパケット :

宛先: : VIP或はインターフェースIPアドレス

送信元: rip１

155


下図はPAS-KにL2 DSRモードに設定されたサーバ負荷分散サービスが動作中の場合、クライアントと実サーバ間に送受信される

パケットの送信/受信アドレスが変換される過程を示すものです。図のようにレスポンスパケットはPAS-Kを経ずに、実サーバからクラ

イアントに直接送信されます。

[図 – L2 DSRモード]

L3 DSR - IPトンネリングモード L2 DSRモードの場合、PAS-Kと実サーバが必ず同一のブロードキャストドメインに位置している必要があります。これにより、PAS-Kが不必要なブロードキャストトラフィック、フラッディングパケットなどを受信してしまいます。 L3 DSRモードはPAS-Kと実サーバをそれぞれ独立したブロードキャストドメイン領域に構成できるので、物理的な制限を解消するこ

とができます。また、実サーバから発生したブロードキャストトラフィックがPAS-Kに伝達しないので、L2 DSRモードに比べてPAS-Kの効率を高めることができます。 L2 DSRモードと同じく、クライアントがPAS-Kを通して実サーバにサービスを要請すると、実サーバはPAS-Kを経由せず直接クライ

アントに応答します。クライアントの要請を受信したPAS-KはIPトンネルを利用し実サーバに要請パケットを転送します。これより後の

過程はL2 DSRモードの動作方式と同じく、実サーバからルーターを経由し直接クライアントに応答します。 L3 DSRモードの種類はToS（Type of Service）値を使用する方式とIPトンネリング方式に分けられ、PAS-KはIPトンネリング方式を

サポートしています。次の図はPAS-KにIPトンネリング方式のL3 DSRモードに設定したサーバ負荷分散サービスが動作中である場合、クライアントの要

請が処理される過程を表したものです。

PAS-K

実サーバ1 (rip1)


負荷分散サービス

(VIP1)

クライアント

ルーター

宛先: VIP1

宛先：実サーバのMACアドレス

送信元: VIP1



: レスポンスパケット L2スイッチ

実サーバ2選択


156

[図 – L3 DSRモード（IPトンネリング）]

L3 DSRモードはIPトンネル機能をサポートするLinux、Solaris、AIXなどの運用体制で使用可能です。Windows Serverである場合IPトンネ

ル機能をサポートしていないためL3 DSRモードはご使用になれません。

LAN to LAN モード

LAN to LANモードは他のサーバグループからデータを持って来てクライアントに送らなければならないサービスで使うNATモードで

す。特定サーバグループから他のサーバグループにデータをリクエストする時には、特定サーバグループに属するサーバがクライア

ントのような役割をするようになります。PAS-KをLAN to LANモードで設定する時には、サーバグループでクライアントの役割をする

サーバのIP帯域を一緒に設定します。

次はPAS-KにLAN to LANモードに設定されたサーバ負荷分散サービスが動作中の場合、クライアントと実サーバ間に送受信され

るパケットの送信/受信アドレスが変換される過程を示す図です。

1. クライアントから仮想IPアドレスVIP1にリクエストパケットを送り

ます。

2. PAS-Kで実サーバ1を選択します。

3. 選択した実サーバ1(rip1)にクライアントのリクエストを送ります。

4. 実サーバ1からVIP2にデータをリクエストします。

5. PAS-Kで実サーバ3を選択します。

6. 選択した実サーバ3(rip3)に実サーバ1のリクエストを送ります。

宛先: rip1 宛先: VIP2

宛先: VIP1

負荷分散サービス1(VIP1)

負荷分散サービス2

(VIP2)

実サーバ3

選択

実サーバ1


(rip2)

クライアント

ルーター

リクエストパケット:

リクエストパケット:

実サーバ3


(rip4)

実サーバ1

選択

宛先: rip3

宛先: VIP1 要請パケット送信元: VIP1 : 応答パケット

宛先実サーバの rip2 要請パケット

負荷分散サービス (VIP1)



ルーター

クライアント

PAS-K

実サーバ１

選択

157


[図 - LAN to LAN モード]

アプリケーションの種類 PAS-Kのサーバ負荷分散機能を適用できるアプリケーションサーバの代表的な種類は次の通りです。

FTPサーバ

DNSサーバ

リアルタイムストリーミングサーバ

無線アプリケーションサーバ

アドバンストL4サーバ負荷分散アドバンストL4サーバ負荷分散はIPv6を使用するネットワーク環境で L4サーバ負荷分散をサポートする負荷分散サービスです。ア

ドバンストL4サーバ負荷分散サービスは負荷分散方式としてラウンドロビン、重み付けラウンドロビン、最小コネクション、ソースハッ

シュがあり、アドバンストL4サーバ負荷分散サービスでのみ使用できるファースト、重み付けソースハッシュ、コンシステンシーソース

ハッシュ、コンシステンシー重み付けソースハッシュ方式をサポートします。

7. 実サーバ3からVIP2にレスポンスを送ります。

8. PAS-Kでセッションエントリを参照して実サーバ1に

レスポンスを送ります。

9. 実サーバ1からクライアントにレスポンスを送ります。

10. PAS-Kでレスポンスの送信アドレスをVIP1に変えて、セッ

ションエントリを参考にしてクライアントにレスポンスを送り

ます。

宛先 : rip1

レスポンスパケット:

負荷分散サービス1 (VIP1)

負荷分散サービス2 (VIP2)

送信元 : VIP1

送信元 : rip1

実サーバ1

(rip1)

実サーバ2

(rip2)

ルーター

実サーバ3

(rip3)

実サーバ4

(rip4)

宛先 : VIP2

セッション

エントリ参考

セッション

エントリ参考

レスポンスパケット:


158

ファイアウォール負荷分散

ファイアウォールの概要ファイアウォールは許可を受けないネットワークリソースのアクセスを遮断する機能であり、インターネットセキュリティのためには不

可欠な機能です。一般的にファイアウォールはプライベートネットワーク（LAN）のゲートウェイとして動作するので、ファイアウォール

に障害が生じればシングルポイントフェイラーが発生するようになります。シングルポイントフェイラーが発生すれば、ネットワークの

全てのホストが外部ネットワークに接続できないという深刻な状況が起きます。

次の図はファイアウォールが適用された一般的なネットワーク構成図です。

[図 - 一般的なファイアウォールのネットワーク構成図]

ファイアウォールはどのような種類のトラフィックを許可し、どのような種類のトラフィックを遮断するかが定義されているルールの集合

です。上の構成図で外部ネットワークとプライベートネットワーク、そしてDMZネットワークを通る全てのトラフィックは、各パケットをフ

ァイアウォールのルールに適用するために必ずファイアウォールを通らなければなりません。

したがって、ネットワークにトラフィックの量が多くなればファイアウォールは深刻なボトルネックとなります。また、プライベートネットワ

ークはファイアウォールを通じて外部ネットワークと接続されるため、もしファイアウォールがサービスを実行できない状態になれば、

プライベートネットワークのクライアントがこれ以上インターネットを使用できないシングルポイントフェイラーが発生します。PAS-Kのファイアウォール負荷分散機能は、このようにファイアウォールによって発生するボトルネックとシングルポイントフェイラー問題を解

決して、ファイアウォールによるサービス性能を高めます。

参考： DMZの位置は前図の限りではありません。ネットワークポリシーによって決められ、プライベートネットワークと並列に存在する場合等

もあります。一般的にDMZは自分のサーバを持っており、外部ネットワークのクライアントがプライベートネットワークリソースを使わないように

外部ネットワークのクライアントにサービスを提供します。

ファイアウォール負荷分散の構成 PAS-Kのファイアウォール負荷分散機能は、複数のファイアウォールが同時に動作できるようにします。複数のファイアウォールが同

時に動作すれば、ファイアウォールの処理性能を増大することができます。また、ファイアウォールが1台のときに存在するシングル

ポイントフェイラー問題も解決します。

ネットワークにPAS-Kのファイアウォール負荷分散機能を適用するためには、最低2個以上のPAS-Kが必要です。外部ネットワークと

ファイアウォール間にPAS-K(外部PAS-K)を配置し、ファイアウォールとプライベートネットワーク間にもう一つのPAS-K(内部PAS-K)を配置します。外部PAS-Kは外部ネットワークからプライベートネットワークに入って来るパケットの負荷分散を担当し、内部PAS-Kは反対にプライベートネットワークから外部ネットワークに出るパケットの負荷分散を担当します。

外部ネットワーク

プライベートネットワーク

ファイアウォール DMZ

159


次の図はPAS-Kを使ってファイアウォールの負荷分散を適用したネットワーク構成図です。

[図 - ファイアウォール負荷分散機能を適用したネットワーク構成図]

フィルター PAS-Kはトラフィックの中でファイアウォール負荷分散を適用するトラフィックを定義するために、フィルターを使います。フィルターは

プロトコルと送受信/宛先IPアドレス、送信/宛先ポート番号などを多様に組み合わせて定義することができます。フィルターの種類に

は「include」タイプと「exclude」タイプがあります。「include」タイプのフィルターにはファイアウォール負荷分散を適用するトラフィック

の条件が含まれます。また、「exclude」タイプのフィルターはファイアウォール負荷分散を適用しないトラフィックの条件で構成されま

す。

セッション維持ファイアウォール負荷分散の重要な特徴の一つは、同じセッションに属するパケットが全て同じファイアウォールを通じて送信されな

ければならないという点です。ファイアウォールはセッションの状態情報を使ってパケットフィルタリングを実行するので、現在の状態

に合わないパケットが受信された場合には、不正なパケットと見なして破棄します。これを防止するために、PAS-Kはファイアウォー

ル負荷分散が適用された外部PAS-Kと内部PAS-Kで送受信されるパケットの経路を記憶し、同じセッションに属するパケットが全て

同じファイアウォールを使用するセッション維持機能をサポートします。


プライベートネットワーク

ファイアウォール

PAS-K(外部)

PAS-K(内部)



160

ファイアウォール負荷分散の動作方式次はファイアウォール負荷分散とサーバ負荷分散が同時に適用されたネットワークでクライアントのリクエストが処理される過程を示

す図です。

[図 - ファイアウォール負荷分散機能を適用したネットワーク構成図]

1. 外部クライアントがサービスに接続するために、PAS-Kの仮想IPアドレスを使ってリクエストを送ります。

2. 外部PAS-Kでフィルターを使ってクライアントのリクエストがファイアウォール負荷分散機能の適用対象なのか確認した後、適用

対象の場合には負荷分散方式とセッション維持機能を通じて適切なファイアウォールに送ります。

3. 選択されたファイアウォールを通じて、トラフィックがプライベートネットワークに送信されます。

4. サーバ負荷分散機能が適用されたPAS-Kでトラフィックの仮想IPアドレスと、負荷分散方式、そしてセッション維持機能を通じて

適切な実サーバを選択します。

5. 実サーバにレスポンスを送ります。

6. PAS-Kはリクエストを受信したファイアウォールと同じファイアウォールにレスポンスを送ります。

7. ファイアウォールから外部ネットワークにレスポンスを送ります。

8. クライアントでレスポンスを受信します。

クライアントクライアント


PAS-K (外部)

PAS-K (内部)

サーバ


161


VPN負荷分散

VPNの概要 VPNはインターネットのような共有ネットワークを使ってプライベートネットワークを構築する技術です。VPNを利用すれば専用線を使

ってプライベートネットワークを構築する時よりもコストが安く、ネットワークの運用も簡単になります。VPNは地理的に遠く離れている

センターと支店間でデータを共有する場合や場所に関係なくインターネットを通じて社内ネットワークに接続する時などに使用されま

す。次の図はVPN装置を使って本店と支店を接続する一般的なネットワーク構成図です。

[図 - 一般的なVPN構成図]

センターと支店ネットワークに属するホストがインターネットを通じて通信する時には、お互いに認証作業を通さなければならず、トン

ネリングという機能を通じてトンネルを作成した後、トンネルを通じて暗号化されたデータをやり取りします。このような認証とデータ暗

号化作業などがVPN装置で行われます。

VPN装置もファイアウォールと同じく、プライベートネットワーク(前図ではセンターネットワーク)のゲートウェイとして動作するので、VPN装置に障害が発生すればシングルポイントフェイラーが発生します。これを防止するために、センターネットワークではバックアッ

プのVPN装置を用意して冗長化構成を行う場合もあります。しかし、バックアップVPN装置は通常時は使用されず、稼動中の装置に

問題が発生した場合にのみ使用されるため、資源が有効活用されていない状態となります。

VPN負荷分散の構成 PAS-KのVPN負荷分散機能はVPN装置を冗長化することでVPNのシングルポイントフェイラーを防止すると同時に、VPN装置に全

ての負荷分散させることで資源の有効活用ができます。PAS-Kはセンター - 支店間の区分のない対称的なVPN負荷分散機能をサ

ポートします。このような対称的VPN負荷分散機能は、支店からセンターネットワークへの接続だけではなく、センターから支店ネット

ワークへの接続までも統制できます。PAS-Kは国内及び国外の代表的なVPN装置に対する互換性を完壁にサポートします。また、PAS-Kだけの独特のVPN負荷分散構成によって、IPSec、AH/ESP、L2TP、DHCPリレーなど全てのVPNトンネリングプロトコルに対

する負荷分散をサポートします。


VPN装置

クライアント

ルーター

支店ネットワーク

センターネットワーク

トンネル


162

下図はPAS-Kを使ってVPN負荷分散を適用したネットワーク構成図です。

[図 - PAS-Kを利用したVPN負荷分散のネットワーク構成図]

PAS-Kのファイアウォール負荷分散機能と同様に、VPN負荷分散機能を適用するために最低2個以上のPAS-Kが必要です。外部ネ

ットワークとVPN装置間にPAS-K(外部PAS-K)を配置し、VPN装置とプライベートネットワーク間にもう一つのPAS-K(内部PAS-K)を配置します。外部PAS-Kは外部ネットワークからプライベートネットワークに入って来るパケットの負荷分散を担当し、内部PAS-Kは反対にプライベートネットワークから外部ネットワークに出るパケットの負荷分散を担当します。PAS-Kは通信の一貫性を維持するた

めに特定クライアントのパケットは常に特定VPNに分散するようにします。また、一つのVPN装置に障害が発生すれば、他のVPN装

置によってクライアントのパケットが続けて処理されます。

支店間のVPN接続機能

PAS-Kは複数のネットワークが存在するVPN負荷分散構成で支店と支店間の通信がセンターネットワークのVPNを経由する特殊な

構成では「支店間VPN接続」機能を使用しなければなりません。支店間VPN接続機能を使用すれば、支店と支店間の通信がセンタ

ーVPN装置を通過する場合、これをセンター内部網に送信せずすぐに支店に送信して支店間VPN接続をサポートします。

セッション維持 VPN構成でセンターのホストと特定支店のホスト間のセッション維持が成り立てば、このセッション維持に該当するトンネルを通じて

パケットが送信されなければなりません。すなわち、トンネルを形成したVPN装置にだけスイッチングが行われるようにしなければな

りません。

VPN装置には一つのゲートウェイIPアドレスだけをサポートする単一トンネルVPN装置と同時に、複数のゲートウェイIPアドレスをサ

ポートする多重トンネルVPN装置があります。単一トンネルVPN装置の負荷分散構成ではPAS-Kに別途の設定作業をしなくてもセッ

ション維持機能を使用できます。しかし、多重トンネルVPN装置の負荷分散構成でセッション維持機能を使用するためには、PAS-Kに多重トンネルセッション維持機能を有効にしなければなりません。多重トンネルセッション維持機能について説明します。


VPN 装置

クライアント

ルーター

支店ネットワーク

センターネットワーク

PAS-K (外部)

PAS-K (内部)

VPN 装置

163


多重トンネルのセッション維持

下記は2台のPAS-Kを使って構成した多重トンネルVPN装置の負荷分散ネットワーク構成図です。

[図 - 多重トンネルVPN装置の負荷分散ネットワーク構成図]

単一トンネルVPN装置を使う負荷分散構成の場合、同じ支店のIPアドレスを持つホストとセンターの間に一つのトンネルだけ成り立

つので、内部PAS-Kは支店のIPアドレスだけを利用してセッション維持機能をサポートすることができます。しかし、[図 -多重トンネル

VPN装置の負荷分散ネットワーク構成図]のように多重トンネルVPN装置を使う負荷分散構成では支店のIPアドレスだけではセッシ

ョン維持機能を形成することができません。多重トンネル構成では同じ支店のIPアドレスに行くトンネルが二つが形成され得るため、

センターから支店にパケットを送る時に他のトンネルを使う可能性があるからです。したがって、多重トンネルVPN装置を使った負荷

分散構成の場合、内部PAS-Kは支店のIPアドレスとセンターのIPアドレスをともに用いてセッション維持を形成するトンネルを決めな

ければなりません。PAS-Kで多重トンネルのセッション維持機能をイネーブルすれば、支店のIPアドレスとセンターのIPアドレスをとも

に用いてセッション維持機能を実行するようになります。

参考：トンネルのセッション維持機能は内部PAS-Kでのみイネーブルさせます。外部PAS-KはVPN装置のゲートウェイIPアドレスにセッショ

ン維持を形成するため、多重トンネルのセッション維持機能をイネーブルする必要がありません。

フィルター PAS-KのVPN負荷分散でもファイアウォール負荷分散と同様に、負荷分散を適用するトラフィックをフィルタリングするためにフィルタ

ーを使います。フィルターはプロトコルの種類とパケットの送信元・宛先IPアドレスと送信元・宛先ポート番号などを多様に組み合わせ

て定義することができます。フィルターの種類には負荷分散サービスを適用しようとするトラフィックをフィルタリングするための「include」タイプと適用しないトラフィックをフィルタリングする「exclude」タイプがあります。

アドバンストファイアウォール/VPN負荷分散アドバンストファイアウォール/VPN負荷分散はIPv6を使用するネットワーク環境でファイアウォール/VPN負荷分散をサポートする負

荷分散サービスです。アドバンストファイアウォール/VPN負荷分散サービスは負荷分散方式として送信元IPアドレスと宛先IPアドレ

スを同時に使用してハッシュキーを計算するボースハッシュ（Both Hashing – BH）方式のみサポートし、内部と外部の区分とアウォ

ールとVPNの区分なしに設定することができます。

VPN 装置(センター)

支店

センター

PAS-K (外部)

PAS-K (内部)

VPN 装置(センター)

VPN装置(支店)

トンネル1

トンネル2


164

キャッシュサーバ負荷分散概要 PAS-Kのキャッシュサーバ負荷分散（Cache Server Load Balancing-CSLB）は、クライアントの接続が多いウェブトラフィックやア

プリケーショントラフィックをキャッシュサーバ群にリダイレクションさせる機能です。キャッシュサーバ負荷分散機能はクライアントによ

ってリクエストされた情報をローカルネットワークにあるキャッシュサーバに保存しておき、後でクライアントが同じ情報をリクエストした

場合にインターネットに接続せずにキャッシュサーバに保存されている情報を返す機能です。キャッシュサーバ負荷分散機能を使え

ば、重複した情報に必要となる帯域を節約し、ネットワークが効率よく使用できます。それだけではなく、ローカルネットワークに接続

されたキャッシュサーバからデータを受けるため、インターネットを通じて同じ情報を受信するよりもクライアントは早く情報を受信する


キャッシュサーバ負荷分散の構成次の図はPAS-Kを使って構成した一般的なキャッシュサーバ負荷分散のネットワーク構成図です。

[図 - PAS-Kを利用したキャッシュサーバ負荷分散のネットワーク構成図]

クライアントが外部ネットワークにデータをリクエストすると、PAS-Kはこのリクエストが外部ネットワークに出る前に横取りし、キャッシ

ュサーバにリダイレクトします。キャッシュサーバ群のキャッシュサーバはリダイレクトされたトラフィックがキャッシュサーバに保存して

いるコンテンツをリクエストするものだった場合、キャッシュサーバ自身にて該当コンテンツを送信し、そうでない場合はそのトラフィッ

クが要求するコンテンツを外部ネットワークを通じて受信しキャッシングします。内部クライアントの要求をキャッシングするサーバをノ

ーマルキャッシュといい、外部クライアントの要求をキャッシングするサーバをリバースキャッシュといいます。PAS-Kはこの二つのキ

ャッシュサーバをともにサポートします。

PAS-Kはクライアントがキャッシュサーバに対して特別なプロキシ設定の必要がないトランスペアレントなキャッシュリダイレクションを

提供します。PAS-Kはウェブトラフィックだけではなく、リアルタイムストリーミングプロトコルであるRTSP(Real time streaming protocol:TCP/UDP 554)とNNTP(Net news transfer protocol:TCP 119)のような一般的なアプリケーションに対してもキャッシュリダ

イレクションをサポートします。また、特定のネットワーク帯域に対してはキャッシュにリダイレクションしないで直接実サーバに接続す

るようにするバイパス機能もサポートします。

フィルターキャッシュサーバ負荷分散もファイアウォール負荷分散やVPN負荷分散と同様に、キャッシュサーバ負荷分散を適用するトラフィック

のためのフィルターを使います。フィルターを通じてキャッシュサーバトラフィックを適用するトラフィックと適用しないトラフィックを選り

分けることができます。キャッシュサーバ負荷分散で使用できるフィルターには、負荷分散を適用するトラフィックのための条件として

構成された「include」タイプと適用しないトラフィックのための条件として構成された「exclude」タイプがあります。

クライアント

ルーター

PAS-K キャッシュサーバ群

HTTP リクエスト

リダイレクション(キャッシュにデータが存在する場合)

リクエストされたデータを読み込んできた後にキャッシング(キャッシュにデータが存在しない場合)

165


ゲートウェイ負荷分散概要

概要一つのゲートウェイ回線を通じて外部ネットワークと接続されているネットワークの場合、ネットワークの規模が大きくなったり、ネット

ワークトラフィックが増加すると、ゲートウェイ回線の帯域幅が限定されているため、増加したトラフィックの量に比例してネットワーク

速度が遅くなります。また、ゲートウェイ回線が一つなので、回線の接続状態が不安定になると、ネットワーク全体の安全性に影響を

及ぼすことになります。このような問題を防ぐことができる方法として、追加でゲートウェイ回線をもっと確保し、ネットワークを多くのサ

ブネットに分類して各サブネットごとに他のゲートウェイ回線を通じて外部ネットワークに接続することができます。

一つのゲートウェイ回線で接続されたネットワーク複数のゲートウェイ回線で接続されたネットワーク

複数のゲートウェイ回線を使用すると、一度にネットワーク全体が通信できない問題が解決され、ネットワークをサブネットに分けるこ

とによって、各ゲートウェイ回線の負荷を減らすことができます。しかし、特定のサブネットにトラフィック量が急速に増加する場合、該

当サブネットの速度は遅くならざるを得ません。また、一部のゲートウェイ回線の接続が切れれば、該当ゲートウェイ回線に接続され

たサブネットは外部ネットワークと通信することができなくなります。PAS-Kは複数のゲートウェイ回線を使っても防ぐことができないこ

のような問題を解決するゲートウェイ負荷分散機能（Gateway Load Balancing-GWLB）を提供します。

PAS-Kのゲートウェイ負荷分散機能はゲートウェイ回線の状態を持続的にモニタリングし、上図のようにプライベートネットワークから

外部ネットワークに送信されるトラフィックを正常に接続されているゲートウェイ回線に分散させます。したがって、一部のゲートウェイ

回線の接続が切れている場合にもプライベートネットワークの全てのユーザーは外部ネットワークに接続することができます。

各ゲートウェイ回線に負荷分散 PAS-K

L2スイッチ

ルーター

ルーター

L2スイッチ

L2スイッチ

ルーター

ルーター

ルーター


166

PAS-Kのゲートウェイ負荷分散機能は様々な負荷分散アルゴリズムを用いて効率的にトラフィックを分散するため、特定のゲートウェ

イ回線にトラフィックが集中する現象も防ぐことができます。これ以外にもPAS-Kのゲートウェイ負荷分散機能を使えば、既存のネット

ワーク構成や設定を変更せずにゲートウェイ回線を追加することができます。

一般的に、プライベートネットワークではプライベートIPアドレスを使用し、ゲートウェイ回線が接続されたインターフェースにはパブリ

ックIPアドレスが割り当てられます。このようなネットワークではゲートウェイ段でプライベートIPアドレスとパブリックIPアドレスを変換

するNAT機能がサポートされなければなりません。PAS-Kのゲートウェイ負荷分散機能も次のような2つのタイプのNAT機能を提供し

ます。

Source NAT

Source NATは内部から外部ネットワークに向かうトラフィックの送信元アドレス（プライベートIPアドレス）をパブリックIPアドレス

に変換する機能で、従来提供されていたIPマスカレード機能を改善した機能と見ることができます。ゲートウェイ回線が接続され

たインターフェースごとに他のパブリックIPアドレスが割り当てられた場合には、各ゲートウェイ回線を通じて送信されるトラフィッ

クのプライベートIPアドレスを該当パブリックIPアドレスに変換します。したがって、トラフィックが負荷分散した場合にも、トラフィッ

クの送信元アドレスは負荷分散方式によって選択されたゲートウェイ回線のパブリックIPアドレスに正確に変換されます。 Source NATはSource NAT Poolに最大16個のNAT IPアドレスを設定できます。Source NAT Poolに複数のNAT IPアドレ

スが保存されている場合、送信元IPアドレスによって任意のNAT IPアドレスが選択されます。

One-to-One NAT

One-to-One NATはあらかじめ定義されたパブリックIPアドレスを用いて外部ネットワークからPAS-Kに接続した時、トラフィック

の宛先IPアドレスを設定された特定プライベートIPアドレスに変換する機能です。One-to-One NAT機能を適用するパブリックIP

アドレスとプライベートIPアドレスはユーザーが直接設定することができます。

動作フロー次はPAS-KのプライベートネットワークにあるHost Aが外部ネットワークにあるサーバであるServer A（192.168.1.1）に接続する場

合、GWLB機能が動作する過程です（Source NAT）。

1. Host Aが外部サーバであるServer Aを宛先にするトラフィックを発生させます。

2. トラフィックがPAS-Kに受信されると、PAS-Kはトラフィックがゲートウェイ負荷分散サービスに定義されたフィルターにマッチング

するかを確認します。このために、フィルターの条件とトラフィックの送信元、宛先IPアドレス、プロトコル、ポートなどを比べます。

複数のゲートウェイ負荷分散サービスが定義されている場合には優先順位が一番高いサービスのフィルターから比べて、トラフ

ィックがフィルターにマッチングしなければ次の優先順位を持つサービスのフィルターと比べます。

PAS-K

L2スイッチ

ルーターB ルーターA

サーバ A (192.168.1.1)

Host A

167


3. トラフィックがフィルターにマッチングすれば、該当ゲートウェイ負荷分散サービスの負荷分散方式によって二つのルーターのう

ち一つが選択されます。ここではRouter Aが選択されたと仮定します。

4. Router Aに接続されたゲートウェイ回線（実サーバ、ゲートウェイ負荷分散ではルーターと接続されたゲートウェイ回線が実サ

ーバとなる）に定義されたNATのルールの中でトラフィックの送信元IPアドレスと一致するのかを検索します。

5. トラフィックの送信元IPアドレスを、一致したNATのルールのNAT IPアドレスに変更した後、トラフィックを外部ネットワークに送

ります。

6. トラフィックを受信したServer AはHost AにレスポンスするためにNAT IPアドレスを宛先にするトラフィックを送ります。

7. このトラフィックを受信したPAS-Kは、先立ってトラフィックを外部に送る時に作成されたエントリーを利用してトラフィックの宛先I

Pアドレス（NAT IPアドレス）をHost AのIPアドレスに変更した後、プライベートネットワークに送ります。

次は外部ネットワークにあるHost BがプライベートIP帯域であるPAS-KのプライベートネットワークのServer Bに接続する時、GWLB機能が動作する過程です（One-to-One NAT）。

1. Host Bであらかじめ定義されたパブリックIPアドレスであるIP_Bを宛先にするトラフィックを発生させます。

2. IP_BはRouter Bに該当する事業者が割り当てたIPアドレスなので、トラフィックはRouter Bを通じてPAS-Kに送信されます。

3. トラフィックを受信したPAS-Kはこのトラフィックがゲートウェイ負荷分散サービスに定義されたフィルターにマッチングされるか確

認します。このために、フィルターの条件とトラフィックの送信元、宛先IPアドレス、プロトコル、ポートなどを比べます。複数のゲ

ートウェイ負荷分散サービスが定義されている場合には優先順位が一番高いサービスのフィルターから比べて、トラフィックがフ

ィルターにマッチングしなければ次の優先順位を持つサービスのフィルターと比べます。

4. トラフィックがフィルターにマッチングすれば、PAS-Kはこのエントリーをリバースエントリーとして作成し、Router Bと接続されたゲ

ートウェイ回線（実サーバ）に設定されたNATのルールの中で外部IPアドレスがトラフィックの宛先IPアドレス（IP_B）と一致するの

かを検索します。

5. トラフィックの宛先IPアドレスとNATのルールの外部IPアドレスが一致する場合、該当NATのルールの内部IPアドレスをトラフィッ

クの宛先IPアドレスに変更した後、プライベートネットワークに送ります。

6. トラフィックを受信した内部サーバServer BはHost Bにレスポンスするために、Host Bのアドレスにトラフィックを送ります。

7. このトラフィックを受信したPAS-Kは、先立ってトラフィックを外部で受信する時に作成されたエントリーを利用して、トラフィックの

送信元IPアドレス（外部IPアドレス）をIP_Bに変更して外部ネットワークに送ります。

IP_B PAS-K

L2スイッチ

ルーターB ルーターA

サーバB

Host B


168

フィルターとNATのルールゲートウェイ負荷分散機能もファイアウォール/VPN負荷分散機能と同様に、負荷分散を適用するトラフィックを検索するためにフィル

ターを使用します。フィルターを通じてゲートウェイ負荷分散機能を適用するトラフィックと適用しないトラフィックを分類することができ

ます。ゲートウェイ負荷分散で使用できるフィルターのタイプには負荷分散を「適用する」トラフィックを区分するための条件で構成さ

れた「include」タイプと「適用しない」トラフィックを区分するための条件で構成された「exclude」タイプがあります。

トラフィックがフィルターの条件にマッチングすれば、ゲートウェイ負荷分散サービスは設定された負荷分散方式に従ってトラフィック

が送信されるゲートウェイ回線(実サーバ)を選択します。ゲートウェイ回線が選択されると、そのゲートウェイ回線のNATのルールとト

ラフィックを比べた後、NATのルールの条件に一致するトラフィックにだけNATのルールが適用されます。NATのルールのタイプには

Source NATとOne-to-One NATがあります。Source NATタイプはNAT条件に送信元と宛先IPアドレスを設定して、送信元IPアドレ

ス変換の時に使用するNAT IPアドレスを設定します。One-to-One NATタイプはNAT条件にパブリックIPアドレスと比べる外部IPアドレスを設定し、外部IPアドレスの代わりに使用する内部IPアドレスを設定します。

169


グローバルサーバ負荷分散

概要グローバルサーバ負荷分散（Global Server Load Balancing – GSLB）はサーバ負荷分散（SLB）機能を拡張した機能です。サー

バ負荷分散の負荷分散対象はサイト内部の「サーバ」ですが、グローバルサーバ負荷分散の負荷分散対象はサーバ負荷分散が適

用された「サイト」です。SLBはサイトのトラフィックをサーバに適切に分散し、グローバルサーバ負荷分散はトラフィックをサイトに適

切に分散します。グローバルサーバ負荷分散によってサイトに分散されたトラフィックは、またSLBによって適切なサーバに分配され

ます。もちろん、SLBの対象にあるサーバとグローバルサーバ負荷分散の対象にあるサイトは全て同じサービス（例えば同じウェブ

サイト）を提供しなければなりません。

次の図のようにwww.piolink.co.jpをサービスするサイトAとサイトBは物理的には離れていますが、PAS-Kのグローバルサーバ負荷

分散機能を使ってwww.piolink.co.jpについたクライアントのトラフィックを2つのサイトが適切に分配して処理するようにすることがで

きます。

このようなグローバルサーバ負荷分散機能を使用すれば、1つのサイトに障害が発生しても、残りのサイトで続けてサービスを提供

することができるので、予想できない障害に備えることができます。そして、使用可能なサイトの中から一番適切なサイトをクライアン

トに知らせるため、サイトへの接続時間を節約させることができます。

PAS-Kのグローバルサーバ負荷分散機能はDNSを基盤として動作します。クライアントがグローバルサーバ負荷分散の対象になる

サイトについてのDNSクエリーを送ると、これに対してPAS-Kがレスポンスします。PAS-Kはサイトの状況(障害監視結果と負荷分散

方式の結果)によって適切なサイトを選択し、選択したサイトの仮想IPアドレスをクライアントに送ります。この後、クライアントはこの仮

想IPアドレスを使ってサイトに接続します。より詳細な過程は [グローバルサーバ負荷分散の設定-動作フロー] で説明します。

用語次はグローバルサーバ負荷分散機能を理解し、PAS-Kでグローバルサーバ負荷分散を設定するために知っておかなければならな

い用語です。

ゾーンとドメイン www.piolink.co.jp、www1.piolink.co.jp、ftp.piolink.co.jp、mail.piolink.co.jpはいずれも1つのドメインです。これらは全てpiolink.co.jpというゾーンのドメインです。また、 www、www1、ftp、mailはホストです。ドメインはゾーンになることができます。www.piolink.co.jpはドメインですが、a.www.piolink.co.jp、b.www.piolink.co.jpドメインのゾーンになります。DNSサーバには各ゾーン別に

ネームサーバを設定し、PAS-Kのグローバルサーバ負荷分散機能も「ゾーン」単位で動作します。www.piolink.co.jpとftp.piolink.co.jpドメインについたDNSクエリーを処理するためには、とりあえずゾーンとしてpiolink.co.jpを定義し、ホストとしてwwwとftpを設定しなければなりません。

実サーバグローバルサーバ負荷分散で実サーバは負荷分散の対象になるサイトの仮想IPアドレスで、特定サーバのIPアドレスまたはPAS-Kに登録されたSLBサービスの仮想IPアドレスを実サーバとして設定します。実サーバのIPアドレスはDNSレスポンスでクライ

アントに伝達され、クライアントはこのIPアドレスを使ってサイトに接続します。

クライアント

PAS-K

SLB(サイトA)

www.piolink.co.jp

SLB(サイトB)

www.piolink.co.jp

PAS-K


170

障害監視グローバルサーバ負荷分散の障害監視機能は実サーバとして登録されたIPアドレスに対する状態を検査します。

ルールグローバルサーバ負荷分散サービスは実サーバを選択する時にルールを使用します。ルールは実サーバを選択するための負

荷分散方式とルールを適用するドメインのホストなどで構成されます。

フォワーダー(forwarder) フォワーダー(forwarder)は、クライアントのDNSクエリーにレスポンスするため、PAS-Kで設定するDNSサーバです。クライアント

のDNSクエリーがグローバルサーバ負荷分散サービスのサービスゾーンおよびレコードに設定されていない場合、当該クエリー

をフォワーダー(forwarder)に送信し、レスポンスするように設定できます。

動作フローグローバルサーバ負荷分散でPAS-Kが受信したDNSクエリーにレスポンスするためには、PAS-Kがネームサーバとして動作しなけ

ればなりません。また、外部の上位DNSサーバにPAS-Kをネームサーバとして登録しなければなりません。

外部の上位DNSサーバはクライアントからPAS-Kに登録されたサービスについてDNSクエリーを受信した時、サーバのIPアドレスを

見つけるためこのクエリーをPAS-Kに送ります。DNSクエリーを受けたPAS-Kはグローバルサーバ負荷分散サービスの負荷分散方

式を通じて1つの実サーバを選択し、選択した実サーバのIPアドレスをレスポンスします。外部の上位DNSサーバはPAS-Kから受信

したIPアドレスをクライアントに知らせることになり、この後、クライアントはこのIPアドレスを使ってサーバのドメインに接続します。

グローバルサーバ負荷分散サービスは登録された実サーバに障害が発生すれば、このサービスをレスポンス対象から除外させます。

しかし、以前にこの実サーバのIPアドレスのレスポンスを受けたクライアントはこのアドレスをローカルPCのDNSキャッシュ情報に保

存してTTL(Time to Live)時間の間に使うため、サービスを提供できないサーバに接続することがあります。これを防止するために

は、グローバルサーバ負荷分散を設定する時に、TTL値を一般的なDNSサーバよりは少なく設定してクライアントがDNSキャッシュ

に保存する時間を短縮させます。グローバルサーバ負荷分散のデフォルトTTL値は10秒です。

以下はサービスの安定化のためISP A、ISP B、ISP Cの3つの地域でサーバを分散させて構成し、ISP AとISP Bのサーバにはサ

ーバ負荷分散（SLB）サービスが設定された構成です。ISP AとISP Bに設置されたPAS-Kはグローバルサーバ負荷分散機能とSLB機能が同時に動作していて、クライアントはISP AとISP Bのサーバに接続する時にPAS-Kの仮想IPアドレス（SLBに設定された仮

想IPアドレス）を使います。

ISP AとISP Bに設置されたPAS-Kのグローバルサーバ負荷分散機能は実サーバにISP AとISP Bの仮想IPアドレス（10.1.1.10、20.1.1.10）とISP CのIPアドレス（30.1.1.10）が設定されます。ISP AとISP BのPAS-Kは周期的に実サーバの状態を検査（障害監

視）し、サービスができるサーバを確認して負荷分散します。

このような構成でクライアントが www.piolink.co.jp ウェブサーバに接続するためには、次のような処理が実行されます。

クライアント

ISP B’s PAS-K：20.1.1.1 www.piolink.co.jp －10.1.1.10 －20.1.1.10 －30.1.1.10

VIP：20.1.1.10

① ②

③

④ ⑤

SLB

DNSサーバ -1次：10.1.1.1 -2次：20.1.1.1

DNSトラフィック HTTPトラフィック

ISP C’sサーバ：30.1.1.10

ISP A’s PAS-K：10.1.1.1 www.piolink.co.jp －10.1.1.10 －20.1.1.10

－30.1.1.10

VIP：10.1.1.10

⑥ ⑦

⑧

171


1. DNSクエリー/レスポンス

① クライアントがwww.piolink.co.jpに対するDNSクエリーをDNSサーバに送ります。

② DNSサーバは登録されているネームサーバ情報を照会（上位DNSサーバとの通信は省略）して、piolink.co.jp ゾーンに属するド

メインのネームサーバが10.1.1.1と20.1.1.1であることを見つけて1次ネームサーバに設定された10.1.1.1にwww.piolink.co.jp に対するDNSクエリーを送ります。

③ ISP Aに位置する10.1.1.1のPAS-Kはグローバルサーバ負荷分散に設定されたサービスにリクエストされたのことを確認して登

録された3つの実サーバIPアドレスの中で最適なIPアドレスを選択します。上の構成では20.1.1.10をレスポンスします。

④ PAS-Kからwww.piolink.co.jpが20.1.1.10というレスポンスを受信したDNSサーバはこのアドレスをクライアントに送ります。

2. HTTPトラフィック送信

① DNSサーバのレスポンスを受信したクライアントはwww.piolink.co.jpに接続するため受信したIPアドレスである20.1.1.10に接続

を試します。

② ISP Bに位置するPAS-Kはクライアントのリクエストを受信して（SLB仮想IPアドレスで）、一般的なSLBサービスを通じて最上の

サーバを選択してクライアントのリクエストを送ります。

③ クライアントのリクエストを受信したサーバは一般的なウェブサーバとしてレスポンスをすることになります。

④ ウェブサーバからレスポンスを受けたPAS-Kは送信IPアドレスをクライアントがリクエストした仮想IPアドレス（20.1.1.10）に変更し

た後、クライアントに伝達します。

DNSサーバは一般的なDNSクエリーと同じく、まず1次ネームサーバにリクエストした後、レスポンスがなければ2次ネームサーバに

リクエストします。従って、この構成でISP AのPAS-Kや全てのサーバに障害が発生してもDNSの動作原理によってISP BのPAS-KにDNSクエリーを送ります。PAS-Kは正常に動作しても、内部のサーバが動作しない場合にはDNSクエリーを受けた時、他のサイト

のサービスIPアドレスをレスポンスします。


172

PAS-KのDNS動作グローバルサーバ負荷分散機能を使用するためには、PAS-Kがネームサーバとしての機能を果たさなければなりません。PAS-Kがネームサーバとして動作するためには、クライアントに送るDNS情報（ドメインとIPアドレス）を持っていなければなりません。また、PAS-Kは負荷分散と関係のないクライアントのDNSクエリーに対してもレコード、フォワーダー（forwarder）、またはグローバルサーバ負

荷分散モードを設定し、レスポンスすることができます。本節ではPAS-KのDNS動作について説明します。

ルーターモード＆ブリッジモードグローバルサーバ負荷分散は、クライアントのDNSリクエストを処理するネームサーバの位置に応じて２つのモード（ルーターモード、

ブリッジモード）で動作することができます。「ルーター」モードはPAS-Kをネームサーバとして使用するモードであり、「ブリッジ」モード

はPAS-K内部のローカルDNSサーバをネームサーバとして使用するモードです。ルーターモードルーターモードは、PAS-KをクライアントのDNSリクエストに対するレスポンスを行うネームサーバとして使用するモードです。PAS-Kがネームサーバとして動作するためには、クライアントに送るDNS情報（ドメインとIPアドレス）を持っていなければなりません。また、

PAS-Kに別途の固定IPアドレスを割り当て、クライアントは当該IPアドレスをDNSサーバとして設定しなければなりません。次は、ル

ーター構成においてPAS-Kがネームサーバとして動作する過程です。

1. 外部DNSサーバからDNSクエリーメッセージを受信したPAS-Kは、グローバルサーバ負荷分散サービス設定を検索し、リ

クエストされたドメインがあるかどうか確認します。 2. ドメインが検索されれば、グローバルサーバ負荷分散サービスの負荷分散方式を使用し、１つのサービスIPアドレスを選択

します。 3. 2番過程で選択したIPアドレスを外部DNSサーバに転送します。

ブリッジモードブリッジモードは、PAS-Kの内部ネットワークにあるローカルDNSサーバをネームサーバとして使用するモードです。PAS-Kがブリッ

ジモードで動作する場合、外部DNSサーバからDNSリクエストを受信したとき、PAS-KとローカルDNSサーバの間では次のような動

作が行われます。

1. 外部DNSサーバからPAS-K内部のローカルDNSサーバにDNSクエリーメッセージを転送します。 2. 外部DNSサーバとローカルDNSサーバの間に位置するPAS-Kは、当該リクエストをキャプチャしてグローバルサーバ負荷

分散サービス設定を検索し、リクエストされたドメインがあるかどうか確認します。 3. ドメインが検索されるとグローバルサーバ負荷分散サービスの負荷分散方式を使用し、１つのサービスIPアドレスを選択し

ます。 4. 3番過程で選択したIPアドレスを外部DNSサーバに転送します。このとき、レスポンスメッセージの送信元IPアドレスをロー

カルDNSサーバのIPアドレスに変更して転送します。

ブリッジモードでは、PAS-Kが外部DNSサーバとローカルDNSサーバの間でDNSクエリーを処理します。したがって、グローバルサ

ーバ負荷分散モードを使用するために、既存のローカルDNSサーバの設定を変更する必要がありません。ブリッジモードを使用すると、既存のDNSサーバを変更し難い環境においてもより手軽にグローバルサーバ負荷分散サービスを適用


レコードの追加 PAS-Kは、負荷分散に関係なくネームサーバとして動作するためのレコードを追加することができます。追加できるレコードは次の3種類があります。 a レコード（Address Record）

ドメインとドメインのIPアドレスが記録されるレコードです。ドメインのIPアドレスを問い合わせるクエリーにレスポンスするために使

用します。 mx レコード（Mail Exchange Record）

ドメインと当該ドメイン用のメールサーバが記録されるレコードです。ドメインで使用できるメールサーバを問い合わせるクエリーに

レスポンスするために使用します。

173


cname レコード（Canonical Name Record）ドメインの別称が記録されるレコードです。別称からドメインを割り出そうとするクエリーにレスポンスするために使用します。

フォワーダー(forwarder)の追加 PAS-Kは、クライアントのDNSクエリーがグローバルサーバ負荷分散サービスのゾーンに属しておらず、レコードにも登録されていな

い場合、フォワーダー(forwarder)が当該クエリーにレスポンスするように設定することができます。例えば、グローバルサーバ負荷分

散サービスゾーンが www.piolink.com に設定されている場合を想定してみます。ftp.piolink.com に対するクライアントのDNSクエ

リーがサービスゾーンおよびレコードに設定されていなければ、フォワーダー(forwarder)にDNSクエリーを転送します。グローバルサ

ーバ負荷分散のブリッジモードでは、ローカルDNSサーバをフォワーダー(forwarder)として指定し運営します。

グローバルサーバ負荷分散モードクライアントのDNSクエリーがPAS-Kで設定されたすべてのグローバルサーバ負荷分散サービスゾーンに属していない場合、DNSクエリーを処理するため、グローバルサーバ負荷分散モードを設定することができます。グローバルサーバ負荷分散モードは次の２種類があります。 Forwardモード

Forwardモードでは、クライアントのDNSクエリーがすべてのグローバルサーバ負荷分散サービスゾーンに属していない場合、指

定するDNSサーバにDNSクエリーを転送します。当該DNSサーバはDNSクエリーに該当するIPアドレスを確認してからPAS-Kに転送し、PAS-Kはこれを再びクライアントに転送します。

Recursiveモード Recursiveモードでは、クライアントのDNSクエリーがすべてのグローバルサーバ負荷分散サービスゾーンに属していない場合、PAS-KがDNSクエリーを処理します。DNSクエリーを受信したPAS-KはルートDNSサーバに当該クエリーを転送します。ルートDNSサーバに該当する情報がなければ、PAS-Kは再び下位のDNSサーバにクエリーを転送します。このような過程を通じ、クライア

ントのリクエストに該当するIPアドレスを確認するとそれをクライアントに転送します。


174

実サーバの選択前述ではPAS-Kがグローバルサーバ負荷分散サービスを通じて実サーバを選択する過程を単純に負荷分散サービスに定義された

負荷分散方式を使用するというように説明しましたが、実際は次のように3段階を通じて実サーバを選択します。次の図はwww.piolink.co.jpドメインに対するリクエストを受信したときに実サーバを選択する過程を示す例です。

1. PAS-KはDNSクエリーメッセージが要求するゾーンに対するグローバルサーバ負荷分散サービスが設定されているかを確

認します。3つのグローバルサーバ負荷分散サービスの中でpiolink.co.jpというゾーンが設定されたサービスを選択します。

2. 選択したグローバルサーバ負荷分散サービスのルールの中でホストが一致するルールを選択します。ここでは4つのルー

ルの中でホストがwwwであるルールが選択されます。

3. 2で選択したルールに設定された負荷分散方式を使ってルールに登録された実サーバを選択します。実サーバはSLBサー

ビスの仮想IPアドレスや一般サーバのIPアドレスになることができます。上図では3つの実サーバの中でサーバ-3を選択し

てこの実サーバのIPアドレスをDNSレスポンスで送ります。

1. グローバルサーバ負荷分散サービスを選択 2. ルールを選択

3. 実サーバを選択

DNSリクエスト到着 DNSリクエストと一致するゾーン

が設定されたGSLBサービスを

選択。

piolink.co.jp www.piolink.co.jp

a.com

piolink.com www

ftp

wiki

mail サーバ-3

サーバ-1

サーバ-2

該当するルールの負荷分散方式

を使って実サーバを選択。該当するGSLBサービスの

ルールのうちホストと一致す

るルールを選択。

175


インバウンド負荷分散

概要インバウンド負荷分散（ILB - Inbound Load Balancing）は、PAS-Kの外部から内部サーバに接続するトラフィックを複数のゲート

ウェイ回線に分散させる機能です。グローバルサーバ負荷分散の負荷分散対象はサーバ負荷分散が適用された「サイト」ですが、イ

ンバウンド負荷分散の負荷分散対象はサーバ負荷分散が適用された「ゲートウェイ回線」です。サーバ負荷分散（SLB）はゲートウェ

イ回線のトラフィックをサーバ群に適切に分散させ、インバウンド負荷分散はトラフィックをゲートウェイ回線に適切に分散させます。イ

ンバウンド負荷分散によってゲートウェイ回線に分散されたトラフィックは再びSLBによって適切なサーバに分配されます。

次の図のように、www.piolink.com をサービスするゲートウェイ回線Aとゲートウェイ回線Bは、PAS-Kのインバウンド負荷分散機能

を使用し、www.piolink.com に対するクライアントからのトラフィックを２つのゲートウェイ回線に適切に仕分け、処理することができ

ます。

このように、インバウンド負荷分散機能はサーバに接続するトラフィックが１つのゲートウェイ回線に集中することを防止し、各回線の

帯域幅を均等に使用できるように対応します。したがって、クライアントがサーバに接続する際の所要時間を減らすことができます。ト

ラフィック分散機能以外にも、インバウンド負荷分散機能を使用するとネットワークを安定的に運用することができます。１つのゲート

ウェイ回線を通じてしかサーバにアクセスできない場合、そのゲートウェイ回線が使用できない状態になるとサーバに接続できない

状況が発生します。しかし、インバウンド負荷分散機能を使用するとゲートウェイ回線の状態を点検し、使用できない回線を排除した

上で使用できる回線のみを選択するため、すべての回線に問題が発生しない限り、常にサーバへ接続することができます。

インバウンド負荷分散は、DNS（Domain Name Server）に基づいて行われます。クライアントがインバウンド負荷分散の対象となる

実サーバにDNSクエリーを送信すると、これに対するレスポンスをPAS-Kが行います。PAS-Kはゲートウェイの状況（障害監視結果

と負荷分散方式の結果）に応じて適切なゲートウェイ回線を選択し、選択したゲートウェイ回線のサービスIPアドレスをクライアントに

送ります。クライアントはそのサービスIPアドレスを使用し、ゲートウェイ回線に接続します。

用語次は、インバウンド負荷分散機能を理解するために熟知すべき用語です。

• ゾーン（zone）、ドメイン（domain）、ホスト（host）

www.piolink.com、www1.piolink.com、ftp.piolink.com、mail.piolink.com はすべて１つのドメインであり、piolink.com というゾーンのドメインです。そして、www、www1、ftp、mail はホストです。ドメインはゾーンになることができます。www.piolink.com はドメインですが、a.www.piolink.com、b.www.piolink.com ドメインのゾーンになります。DNSサーバには各ゾー

ン別にネームサーバを指定し、PAS-Kのインバウンド負荷分散機能も「ゾーン」単位で動作します。www.piolink.com と ftp.piolink.com ドメインに対するDNSクエリーを処理するためには、まず、piolink.com をゾーンとして定義し、www と ftp をホストとして指定しなければなりません。

実サーバ（real server）

インバウンド負荷分散では、実サーバはPAS-K内部のサーバではなく、PAS-K外部のゲートウェイ回線を意味します。

PAS-K

サーバ

www.piolink.com

クライアント

ゲートウェイ回線 A ゲートウェイ回線 B


176

サービスIPアドレス（service IP address）

サービスIPアドレスは、実サーバのIPアドレスの代わりにクライアントに送られる仮想IPアドレスです。サービスIPアドレスは

DNSレスポンスを通じ、クライアントに伝達されます。その後、クライアントはこのサービスIPアドレスを使用し、サーバに接

続します。

障害監視（health check）

インバウンド負荷分散の障害監視機能は、実サーバとして登録されたPAS-Kの外部ゲートウェイ回線の状態を検査します。

ルール（rule）

インバウンド負荷分散は実サーバを選択するとき、ルールを使用します。ルールは実サーバを選択するための負荷分散方

式とルールを適用するドメインのホストなどで構成されます。

レコード（record）

レコードは、ドメインとドメインのIPアドレス（a レコード）、ドメインとドメインのメールサーバアドレス（mx レコード）、ドメインと

ドメインの別称（cname レコード）などが保存されている１つのデータです。PAS-Kがネームサーバとして動作する場合、PAS-KはDNSクエリーを受信すると、まず、そのリクエストにレスポンスできるインバウンド負荷分散サービスを検索します。イ

ンバウンド負荷分散サービスが存在しなければ、レコードを検索し、レコードに保存されているデータ値を送信します。

フォワーダー（forwarder）フォワーダー（forwarder）は、クライアントのDNSクエリーにレスポンスするため、PAS-Kで設定するDNSサーバです。クラ

イアントのDNSクエリーがグローバルサーバ負荷分散サービスのサービスゾーンおよびレコードに設定されていない場合、

当該クエリーをフォワーダー（forwarder）に送信し、レスポンスするように設定できます。

177


インバウンド負荷分散の動作過程インバウンド負荷分散を行う上でPAS-Kに受信されたDNSクエリーにレスポンスするためには、PAS-Kがネームサーバとして動作す

る、または、PAS-K内部のローカルDNSサーバを運用しなければなりません。そして、外部の上位DNSサーバにPAS-Kをネームサ

ーバとして登録しなければなりません。

そうすると、外部の上位DNSサーバはPAS-Kの内部にあるサーバのドメインIPアドレスを割り出すため、PAS-KにDNSクエリーを転

送します。DNSクエリーを受信したPAS-Kはインバウンド負荷分散サービスの負荷分散方式を通じ、１つのゲートウェイ回線を選択し

ます。そして、選択したゲートウェイ回線のIPアドレスをレスポンスとして返します。DNSサーバはPAS-Kから受信したIPアドレスをク

ライアントに知らせ、その後クライアントはそのIPアドレスを使用し、サーバのドメインへの接続を試みます。

このような方式でDNSクエリーに対するレスポンスを行えば、同じゾーンに属するドメインに対するDNSクエリーに対しても受信する

度に異なるIPアドレスでレスポンスすることができます。そうすると、クライアント毎に（あるいは、同じクライアントでもTTLが経過し、

再度DNSクエリーを送信した場合には）異なるIPアドレスを使用し、１つのサーバに接続できるようになります。従って、１つのサーバ

に転送されるトラフィックが複数のゲートウェイ回線に分散されることになります。

次の構成事例を通じ、インバウンド負荷分散が動作する過程を詳しく見てみます。

この構成では、PAS-Kの内部ネットワークに www.piolink.com と www1.piolink.com のドメインサーバ（サーバ A）が位置し、PAS-Kはこのドメイン達のためのネームサーバとして動作しています。外部から接続できるゲートウェイ回線は 10.1.1.1 と 20.1.1.1 があります。外部のDNSサーバには www.piolink.com と www1.piolink.com ドメインのネームサーバとしてゲートウェイ回線の 10.1.1.1 が登録されています。そして、PAS-Kには、重み付けラウンドロビン方式を使用し、このゲートウェイ回線の中から１つを選択す

るようにインバウンド負荷分散サービスが定義されています。

このような構成において、クライアントが www.piolink.com に接続するためには、次のような過程が行われます。

① クライアントが www.piolink.com に対するDNSクエリーをDNSサーバに転送します。

② DNSサーバは、登録されているネームサーバ情報を照会し、piolink.com のゾーンに属するドメインのネームサーバが 10.1.1.1 であることを割り出します。

③ 10.1.1.1 のゲートウェイ回線からDNSクエリーを受信したPAS-Kは重み付けラウンドロビン方式を通じ、ゲートウェイ回線２つのIPアドレス（10.1.1.1 と 20.1.1.1）から１つを選択した後、これをDNSサーバにレスポンスします。

④ PAS-Kからレスポンス（www.piolink.com のIPアドレス）を受信したDNSサーバはそのレスポンスを再びクライアントに転送します。

⑤ DNSサーバからレスポンスを受信したクライアントは www.piolink.com に接続するため、受信したIPアドレスにパケットを転送し

ます。

クライアント

サーバ A

192.1.1.1

1

2

DNS サーバ

piolink.comのネームサーバ : 10.1.1.1

PAS-K インバウンド負荷分散サービス


178

SLB1

vip: 192.1.10.1

SLB2

vip: 192.1.20.1

⑥ クライアントが転送したパケットを受信したPAS-Kは www.piolink.com のドメインサーバ（192.1.1.1）にパケットをフォワーディン

グします。

この事例では、説明を単純化するためにゲートウェイ回線のIPアドレスがクライアントにそのまま転送されると説明しましたが、実際

にはゲートウェイ回線の仮想IPアドレスが転送されます。クライアントに送る仮想IPアドレスをサービスIPアドレスと言います。そして、

PAS-K内部のサーバも単独で運用される場合はほとんどなく、大抵の場合、複数のサーバにサーバ負荷分散サービスが適用された

上で運用されます。次節＜サーバ負荷分散との連動＞ではインバウンド負荷分散サービスとサーバ負荷分散サービスが共に使用さ

れる場合について説明します。

その他、ゲートウェイ回線を選択する過程についても単純に負荷分散方式を使用するとのみ説明しましたが、負荷分散方式を適用

する前に負荷に対する「分散サービス」と「ルール」を適用します。ゲートウェイ回線を選択する過程の詳細については、＜実サーバ

の選択過程＞節で説明します。

サーバ負荷分散との連動ほとんどの場合、PAS-K内部のサーバ群にはサーバ負荷分散サービスが適用されます。インバウンド負荷分散サービスとサーバ負

荷分散サービスを共に使用する場合には、インバウンド負荷分散サービスのサービスIPアドレス（svcip）がサーバ負荷分散サービス

の仮想IPアドレス（vip）にならなければなりません。そのためには、インバウンド負荷分散サービスの実サーバ（ゲートウェイ回線）個

数分のサーバ負荷分散サービスが定義されなければなりません。次の事例を通じてより詳しく説明します。

このように、２つのゲートウェイ回線（10.1.1.1 と 20.1.1.1）を負荷分散する場合、２つのサーバ負荷分散サービス（SLB1、SLB2）を定義しなければなりません。そして、インバウンド負荷分散サービスのサービスIPアドレスは SLB1 と SLB2の仮想IPアドレスであ

る 192.1.10.1 と 192.1.20.1 に設定しなければなりません。

DNSクエリーが受信されると、インバウンド負荷分散サービスは 192.1.10.1 か 192.1.20.1 のいずれかを知らせます。クライアント

はこのアドレスを使用し、サーバに接続します。このアドレスはサーバ負荷分散サービスの仮想IPアドレスです。そのため、このアド

レスを宛先として受信されたパケットはサーバ負荷分散サービスの負荷分散方式によってサーバを選択し、当該サーバに転送され

ます。

rip：20.1.1.1

svcip: 192.1.20.1

クライアント

www.piolink.com

www1.piolink.com

rip：10.1.1.1

svcip: 192.1.10.1

DNSサーバ

piolink.comのネームサーバ：10.1.1.1

PAS-K

179


PAS-KのDNS動作インバウンド負荷分散機能を使用するためには、PAS-Kがネームサーバとしての機能を果たさなければなりません。PAS-Kがネーム

サーバとして動作するためには、クライアントに送るDNS情報（ドメインとIPアドレス）を持っていなければなりません。また、PAS-Kは負荷分散と関係のないクライアントのDNSクエリーに対してもレコード、フォワーダー（forwarder）、またはグローバルサーバ負荷分

散モードを設定し、レスポンスすることができます。本節ではPAS-KのDNS動作について説明します。

ルーターモード＆ブリッジモード

インバウンド負荷分散は、クライアントのDNSリクエストを処理するネームサーバの位置に応じて２つのモード（ルーターモード、ブリッ

ジモード）で動作することができます。「ルーター」モードはPAS-Kをネームサーバとして使用するモードであり、「ブリッジ」モードはPAS-K内部のローカルDNSサーバをネームサーバとして使用するモードです。ルーターモード

ルーターモードは、PAS-KをクライアントのDNSリクエストに対するレスポンスを行うネームサーバとして使用するモードです。PAS-Kがネームサーバとして動作するためには、クライアントに送るDNS情報（ドメインとIPアドレス）を持っていなければなりません。また、

PAS-Kに別途の固定IPアドレスを割り当て、クライアントは当該IPアドレスをDNSサーバとして設定しなければなりません。次は、ル

ーター構成においてPAS-Kがネームサーバとして動作する過程です。

1. 外部DNSサーバからDNSクエリーメッセージを受信したPAS-Kは、インバウンド負荷分散サービス設定を検索し、リクエス

トされたドメインがあるかどうか確認します。 2. ドメインが検索されれば、インバウンド負荷分散サービスの負荷分散方式を使用し、１つのサービスIPアドレスを選択しま

す。 3. 2番過程で選択したIPアドレスを外部DNSサーバに転送します。

ブリッジモード

ブリッジモードは、PAS-Kの内部ネットワークにあるローカルDNSサーバをネームサーバとして使用するモードです。PAS-Kがブリッ

ジモードで動作する場合、外部DNSサーバからDNSリクエストを受信したとき、PAS-KとローカルDNSサーバの間では次のような動

作が行われます。

1. 外部DNSサーバからPAS-K内部のローカルDNSサーバにDNSクエリーメッセージを転送します。 2. 外部DNSサーバとローカルDNSサーバの間に位置するPAS-Kは、当該リクエストをキャプチャしてインバウンド負荷分散

サービス設定を検索し、リクエストされたドメインがあるかどうか確認します。 3. ドメインが検索されるとインバウンド負荷分散サービスの負荷分散方式を使用し、１つのサービスIPアドレスを選択します。 4. 3番過程で選択したIPアドレスを外部DNSサーバに転送します。このとき、レスポンスメッセージの送信元IPアドレスをロー

カルDNSサーバのIPアドレスに変更して転送します。ブリッジモードでは外部DNSサーバとローカルDNSサーバの間でPAS-KがDNSクエリーを処理します。したがって、インバウンド負荷

分散モードを使用するために既存のローカルDNSサーバの設定を変更する必要がありません。ブリッジモードを使用すると既存のDNSサーバを変更し難い環境においてもより手軽にインバウンド負荷分散サービスを適用するこ

とができます。

レコードの追加

PAS-Kは、負荷分散に関係なく、ネームサーバとして動作するためのレコードを追加することができます。追加できるレコードは次の3種類があります。 a レコード（Address Record）

ドメインとドメインのIPアドレスが記録されるレコードです。ドメインのIPアドレスを問い合わせるクエリーにレスポンスするために使

用します。 mx レコード（Mail Exchange Record）

ドメインと当該ドメイン用のメールサーバが記録されるレコードです。ドメインで使用できるメールサーバを問い合わせるクエリーに

レスポンスするために使用します。 cname レコード（Canonical Name Record）

ドメインの別称が記録されるレコードです。別称からドメインを割り出そうとするクエリーにレスポンスするために使用します。


180

フォワーダー(forwarder)の追加 PAS-Kは、クライアントのDNSクエリーがインバウンド負荷分散サービスのゾーンに属しておらず、レコードにも登録されていない場

合、当該クエリーにフォワーダー（forwarder）がレスポンスするように設定することができます。例えば、インバウンド負荷分散サービ

スゾーンが www.piolink.com に設定されている場合を想定してみます。ftp.piolink.com に対するクライアントのDNSクエリーがサ

ービスゾーンおよびレコードに設定されていなければ、フォワーダー（forwarder）にDNSクエリーを転送します。インバウンド負荷分散

のブリッジモードではローカルDNSサーバをフォワーダー（forwarder）として指定し運営します。

グローバルサーバ負荷分散モード

クライアントのDNSクエリーがPAS-Kで設定されたインバウンド負荷分散サービスゾーンに属していない場合、DNSクエリーを処理す

るため、グローバルサーバ負荷分散（GSLB）モードを設定することができます。グローバルサーバ負荷分散モードは、グローバルサーバ負荷分散（GSLB）サービスだけではなく、インバウンド負荷分散（ILB）サー

ビスにも共に適用され、ForwardモードとRecursiveモードをサポートします。 • Forwardモード

Forwardモードでは、クライアントのDNSクエリーがすべてのインバウンド負荷分散サービスゾーンに属していない場合、指定す

るDNSサーバにDNSクエリーを転送します。当該DNSサーバはDNSクエリーに該当するIPアドレスを確認してからPAS-Kに転

送し、PAS-Kはこれを再びクライアントに転送します。 • Recursiveモード

Recursiveモードでは、クライアントのDNSクエリーがすべてのインバウンド負荷分散サービスゾーンに属していない場合、PAS-KがDNSクエリーを処理します。DNSクエリーを受信したPAS-KはルートDNSサーバに当該クエリーを転送します。ルートDNSサーバに該当する情報がなければ、PAS-Kは再び下位のDNSサーバにクエリーを転送します。このような過程を通じ、クライアント

のリクエストに該当するIPアドレスを確認するとそれをクライアントに転送します。

181


実サーバの選択過程前節では、PAS-Kがインバウンド負荷分散サービスを通じ、実サーバを選択する過程を単純に負荷分散サービスに定義されている

負荷分散方式を使用すると説明しましたが、実際には、次のような３つの過程を経て実サーバを選択します。下の図は、www.piolink.com ドメインに対するクエリーを受信したとき、実サーバを選択する過程を表している事例です。

1. まず、PAS-KはDNSクエリーメッセージが要求するゾーンに対するインバウンド負荷分散サービスが設定されているかどうか確

認します。そのため、３つのインバウンド負荷分散サービスから piolink.com というゾーンが設定されているサービスを選択しま

す。

2. その後は、選択したインバウンド負荷分散サービスのルールの中からホストが一致するルールを選択します。ここでは４つのルー

ルのうち、ホストが www であるルールが選択されます。

3. この過程では、2番過程で選択したルールに設定された負荷分散方式を使用し、ルールに登録されている実サーバを選択しま

す。実サーバはSLBサービスの仮想IPアドレス、または一般サーバのIPアドレスになることができます。この図では３つの実サー

バからサーバ3を選択し、この実サーバのIPアドレスをDNSレスポンスとして転送します。

www.piolink.com piolink.com

a.com

piolink.co.kr www

ftp

wiki

mail サーバ3

サーバ1

サーバ2

1. ILB サービスの選択 2. ルールの選択 3. 実サーバの選択

DNSクエリー到着当該インバウンド負荷分散サー

ビスのルールの中からホストと

一致するルールを選択

当該ルールの負荷分散方式を

使用し、実サーバを選択

DNSリクエストと一致するゾーン(zo

ne)が設定されているインバウンド

負荷分散サービスを選択


182

L4負荷分散サービスの高可用性機能 PAS-KはPAS-Kの状態やL4負荷分散サービスの動作状態、実サーバの状態と関係なしに続けてサービスを処理できるようにするた

め、次のような高可用性（High availability）機能を提供します。

- 実サーバのバックアップ機能

- サービスのバックアップ機能

- セッションタイムアウト時間の設定機能

- ステートフルフェイルオーバー機能

各機能について説明します。

実サーバのバックアップ機能

実サーバのバックアップは実サーバがこれ以上セッションを処理することができない状態になった時、実サーバの役割の代わりに実

行するバックアップサーバを設定する機能です。次のような状況になれば、PAS-Kは実サーバがセッションを処理できないと判断し、

バックアップサーバを通じてセッションを処理します。

- 障害監視の結果、実サーバが動作しないと判断した場合

実サーバで処理していた既存のセッションは全て切断し、その後受信する新しい接続リクエストは全てバックアップサーバに送信します。

- 実サーバが処理しているセッション数が最大セッション数になった場合

実サーバは現在のセッションだけを処理し、その後受信する新しい接続リクエストは全てバックアップサーバに送信します。

実サーバはバックアップサーバを一つだけ設定することができます。一つのバックアップサーバは複数の実サーバのバックアップサ

ーバとして設定することができます。

サービスのバックアップ機能

サービスのバックアップはL4負荷分散サービスに属する全ての実サーバがインアクティブ状態になってこれ以上サービスを処理でき

ない場合に、L4負荷分散サービスの代わりに実行するバックアップ用のサービスを設定することができる機能です。

セッションタイムアウト時間の設定機能

PAS-Kは実サーバとセッションを生成、また削除する過程で生成された内部管理用のセッションエントリーを削除するため、L4サーバ

負荷分散サービス毎にセッションタイムアウトを設定することができます。L4サーバ負荷分散サービスでセッションタイムアウトを使っ

てエントリーを削除できるセッションには、TCPセッションとUDPセッションのみです。セッションタイムアウト時間に対する詳細な説明

は第4章システム管理とモニタリング – セッションタイムアウト時間の設定を参考して下さい。

ステートフルフェイルオーバー機能

ステートフルフェイルオーバー機能はフェイルオーバーが発生しても既存のマスターPAS-Kで処理していたサービス中のセッションが

切断されずにバックアップPAS-Kで処理される機能です。ステートフルフェイルオーバー機能がイネーブルであれば、マスターPAS-KとバックアップPAS-Kは一定のインターバル毎にお互いのセッション情報の同期化作業を行います。同期化作業を通じてマスターと

バックアップPAS-Kはそれぞれサービスしている全てのセッションの情報をお互いに一致させます。このようなセッションの同期化作

業をセッションシンクといいます。セッションシンクはマスターとバックアップPAS-K間に設定されたセッションシンクポートを通じて行わ

れます。ステートフルフェイルオーバー機能は各L4負荷分散サービス毎に使用可否を設定することができ、セッション維持を保障す

るセッションだけを同期化するのか、または全てのセッションを同期化するのかを設定することができます。

183


参考：本章ではL4負荷分散サービスにステートフルフェイルオーバー機能をイネーブルにする方法についてのみ説明します。ステートフルフ

ェイルオーバーのためのセッションシンクポートを設定する方法とフェイルオーバーに関する詳細な機能説明及び設定は第8章フェイルオー

バーの設定を参照して下さい。

注意：ステートフルフェイルオーバー機能を使用すると、L4負荷分散処理性能に影響を及ぼす可能性があります。負荷分散サービスで必要

とする処理性能を確認した上で設定することをお勧めします。

L4負荷分散サービスの定期管理機能 PAS-Kはユーザーが指定した時間にL4負荷分散サービスの状態（イネーブル・ディスエーブル）を変更することのできる、定期管理

機能を提供します。定期管理機能は月（Month）、日（Day）、曜日（Week）、時（Hour）、分（Minute）などの様々な単位を指定可能で

す。例えば、毎週日曜日にサービスをディスエーブルに変更したり、毎月10日にだけディスエーブルに変更したりすることができます。

また、2つ以上の時間単位を組み合わせることもできるので、10月9日午後9時30分に負荷分散サービスがディスエーブルになるよう

設定し、翌日の10月10日午前9時に負荷分散サービスがイネーブルになるようにも設定できます。


184

L7 負荷分散概要

L4負荷分散はTCP/IPヘッダにある3、4階層情報であるIPアドレスとTCP/UDPポート番号を使ってユーザートラフィックを分散させる

のに対し、L7負荷分散は7階層情報であるTCPペイロード（payload）、アプリケーションデータを使います。PAS-KはL7負荷分散のた

め、受信される各セッションに対してコネクションセットアップ（connection setup）、トラフィックの構文解釈（parsing）、実サーバ選択

のための負荷分散方式を適用、クライアントとPAS-K間のTCPセッションとPAS-Kとサーバ間のTCPセッションを調整するためのTCP splicingなどの様々な作業を行います。

PAS-Kで提供するL7負荷分散の種類には、サーバ負荷分散とキャッシュサーバ負荷分散があります。PAS-KのL7負荷分散機能は

TCPプロトコル上のHTTPトラフィックに適用することができます。本章ではPAS-KのL7負荷分散過程と負荷分散過程時に行う作業、

また、L７サーバ負荷分散とキャッシュサーバ負荷分散及び負荷分散を設定する時に使われるこパターン、ルール、グループなどに

ついて説明します。

L7負荷分散の動作次はPAS-KでクライアントのHTTPリクエストに対するL7負荷分散が実行される過程を示す図です。

[図 - L7負荷分散の動作]

実行過程は以下のようになります。

1. クライアントでウェブページをリクエストします。

2. クライアントのリクエストを受信したPAS-Kは、クライアントとの通信に使うTCPセッションを接続します。

3. クライアントはTCPセッションを通じてPAS-KでHTTPリクエストを送ります。

4. PAS-KはHTTPリクエストをバッファリングした後、ヘッダとURL情報を解釈してこれに基づいてクライアントのHTTPリクエスト

を処理する実サーバを選択します。

5. 選択された実サーバにHTTPリクエストを送ります。

6. HTTPリクエストを受信した実サーバはHTTPレスポンスを送ります。

7. 実サーバから受信したHTTPレスポンスをPAS-Kがクライアントに送ります。

HTTPリクエストバッファリング & 実サーバ選択 & HTTPリクエスト送信

クライアント

WEBメッセージリクエスト

サーバ

PAS-K TCPセッション接続

HTTPリクエスト送信

HTTPレスポンス送信

HTTPレスポンス送信

185


バッファリング PAS-KはクライアントからHTTPリクエストを受ければ、全体コンテンツを基盤に実サーバを選択しなければならないので、クライアン

トのリクエストをバッファリングします。クライアントのリクエストが一つのTCPセグメントに入っていることもありますが、時には複数の

TCPセグメントに分けられて送信されることもあるからです。PAS-KはTCPプロトコルによって最大8KBまで、TCPセグメントをバッファ

リングすることができます。

構文解釈クライアントのリクエストがどのような情報を含んでいるのかを知るためには、アプリケーションレベルのプロトコルによるデータの解

釈(Parsing)が不可欠です。PAS-Kはクライアントのリクエストを調べるために、HTTPヘッダを調査します。HTTPリクエストのヘッダ

には次のようにURIだけではなく、適切なHTTPトランザクションのための様々な追加情報が記録されています。

GET /index.html HTTP/1.1 Accept: “/” Accept-Language: ko Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Host: www.piolink.co.jp

Connection: Keep-Alive

PAS-Kはヘッダのフィールドの中で一番有用なフィールドであるHostとCookie、User-Agent、Accept-Language以外にもユーザー

が設定した全てのフィールドを構文解釈することができます。

遅延バインディング TCPプロトコルの規約によってTCPペイロードはTCPセッションが接続された後から送信され始めます。すなわち、サーバとクライア

ント間にTCPセッションが接続されると、TCPペイロードを受信することができます。しかし、PAS-KはTCPペイロードを基盤に実サー

バを選択するので、TCPペイロードを受信する前に実サーバを選択することができません。このためにPAS-Kは実サーバの代わりに

クライアントとのTCP接続処理を実行し、TCPセッションを接続します。このようにPAS-Kとクライアント間にTCPセッションが接続され

れば、PAS-Kはクライアントから受けたHTTPリクエストを分析して適切な実サーバを選択します。また、選択された実サーバとTCPセッションを接続した後、バッファリングされたクライアントのリクエストを実サーバに送信します。

このようにクライアントと実サーバのTCP接続が直ちに成り立たず、HTTPリクエストが全て受信されるまで遅延することを「遅延バイ

ンディング（Delayed Binding）」といいます。下記はクライアントとPAS-K、そして実サーバ間にTCPセッションが結ばれる遅延バイン

ディング処理を示す図です。

[図 - 遅延バインディングの動作フロー]

PAS-KのL7キャッシュサーバ負荷分散の場合には遅延バインディングではなく、ダイレクトコネクト(Direct Connect)オプションを使う

こともできます。

クライアント PAS-K サーバ

ACK

HTTPリクエスト

HTTPレスポンス

SYN SYNACK

HTTPレスポンス

ACK

HTTPリクエスト

SYN SYNACK

HTTPレスポンス

HTTPレスポンス


186

ダイレクトコネクト

ダイレクトコネクはPAS-Kが遅延バインディングを実行せず3-ウェイハンドシェイクパケットを中継する方式として、クライアントからHTTPリクエストを受信する瞬間から本格的なL7スイッチング処理を始めます。

参考：ダイレクトコネクトオプションはコネクションプーリング機能と一緒に使うことができません。

次はHTTPトラフィックについてダイレクトコネクトオプションがイネーブルされている場合、PAS-K L7キャッシュサーバ負荷分散がパ

ケットを処理する過程を示す図です。

遅延バインディングを使う場合、PAS-Kが中間にクライアントのTCP SYNパケットを横取りした後、接続を許可してTCP Proxyのよう

に動作します。このような場合には存在しないサーバに対する接続試しも常に許可されるので、ネットワークの透明性が下がる可能

性があります。しかし、PAS-Kが悪意的なクライアントの攻撃からサーバを一次的に保護する役割もします。

遅延バインディングではなくダイレクトコネクトオプションを使う場合、クライアントはPAS-Kではなくサーバと直接にTCP接続を結ぶこ

とになり、PAS-Kは中間で送受信されるパケットを分析する方式でトラフィックを処理します。クライアントとサーバが送受信するデー

タを確認しながらキャッシュサーバで処理しなければならないHTTPリクエストがある場合にはこれをキャッシュサーバに負荷分散し

ます。

SYN

SYN/ACK

HTTP Request

HTTP

HTTP Response

SYN

SYN/ACK

HTTP Request

ACK

HTTP Request

クライアント PAS-K サーバキャッシュサーバ

HTTP Response

SYN SYN/ACK

ACK

HTTP Request

最後のリクエストがキャッシュサーバではな

く、実サーバで処理しなければならない場

合、遅延バインディング過程を実行せずに

直ちにHTTPリクエストをフォワードする。

187


コネクションプーリング PAS-Kがサポートするコネクションプーリング（Connection Pooling）機能を使えば、クライアントとPAS-K、また実サーバ間にTCPコネクションを接続する時に、毎回新しいコネクションを使用する必要がありません。コネクションプーリングは一度生成されたコネクショ

ンをプールに保存して、クライアントからリクエストがある場合に保存されておいたコネクションを再使用する方式です。

次はコネクションプーリングの動作方法を示す図です。

[図 - コネクションプーリングの動作フロー]

100.1.1.1のIPアドレスと5000のポートを使うクライアントAが仮想IPアドレスと仮想ポートが各々10.1.1.10と80であるPAS-Kに接続

する場合、サーバ側のプールに既存に使ったコネクションが存在しないとPAS-Kは遅延バインディング（Delayed Binding）をして、IPアドレスが20.1.1.1、ポートが8080であるサーバとのコネクションを生成した後、コネクションについた情報をプールに保存します。

その後、他のクライアントB（IPアドレス:200.1.1.1、ポート: 9090）がPAS-Kに接続すれば、PAS-Kは新しいコネクションを生成せずに、

既に保存しておいたコネクションを使って通信します。

このようなコネクションプーリング機能はサーバ側のコネクションを再使用してサーバが処理しなければならない負荷を軽減させるこ

とによってシステムの効率を高めます。また、サーバ負荷の軽減によってユーザーに早い速度のサービスを提供できるため、ウェブ

ページのローディング時間を短縮でき、安定的なサービスを提供できます。

コネクションプーリングの設定過程では、各L7サービスごとにコネクションプーリング機能の使用可否とコネクションを再使用する時に

時間をアップデートするか、そして‘X-Forwarded-For'ヘッダのを挿入するかの設定できます。‘X-Forwarded-For'ヘッダというのは装

置がSource NATを行う場合にサーバで既存クライアントのIPアドレスを知るためにHTTPリクエストに追加するヘッダです。

また、各実サーバごとに保存するコネクションの数（pool-size）、プールに保存されるコネクションの維持時間（pool-age）、コネクショ

ンの再使用回数およびコネクションを再使用する条件（pool-srcmask）を設定できます。

そして、特定IPアドレスをコネクションの送信元IPアドレスに設定する場合にはSource NAT機能を使えます。Source NA機能を使っ

て送信元IPアドレス設定しない場合には、サーバは最初に接続されたクライアント（図- コネクションプーリングの動作フローのクライ

アントA）のIPアドレスを送信元IPアドレスとしてずっと使うため、他のクライアントが接続しても常に最初のクライアントと通信すると判

断します。

再使用のために選択されるコネクションの条件

再使用のために選択されるコネクションは次の条件を満たさなければなりません。もし、全ての条件を満たすコネクションが無い場合

は新しいコネクションを生成します。

• 負荷分散サービスが同一であること

• 負荷分散される実サーバが同一であること

• データ伝送単位（MSS)が同一であること

• SSL プロキシサービスの使用可否が同一であること

PAS-K (VIP:VPORT)

クライアント A (SIP:SPORT)

100.1.1.1:5000

サーバ (RIP:RPORT)

20.1.1.1:8080

10.1.1.10:80

保存しておいたコネクションを

再使用することによってクライアントA、Bと

の通信に同一のコネクションを使う。

クライアント B (SIP:SPORT)

200.1.1.1:9090


188

実サーバの選択 PAS-Kはアプリケーションレベルプロトコルによってコンテンツを解釈した後、これに基づいて適切な実サーバを選択します。まず、ユ

ーザーが設定したコンテンツルールに従ってクライアントのリクエストをどのサーバグループに送るかを決め、グループが決まればセ

ッション維持機能と負荷分散方式によってグループに属する実サーバの中で一つを決めます。

TCPスプライシング PAS-Kは選択されたサーバとTCPセッションを接続しながら「遅延バインディング」過程を終えます。遅延バインディングが行われれ

ば、お互いに異なる時点で結ばれたクライアントとPAS-K、及びPAS-Kとサーバ間の二つのTCPセッションがクライアントとサーバ間

の全体TCPセッションを築くようになります。この二つのTCPセッションがクライアントとサーバの立場で完全に結合された一つのTCPセッションのように見えるようにするため、PAS-KはNATだけではなく、TCPのシーケンス番号の調整など様々な動作を遂行しなけれ

ばなりませんが、このような一連の動作をTCPスプライシング（splicing）といいます。

non-HTTP トラフィックの処理一般的に80番ポートはHTTPプロトコルが使用するポート番号であり、多くのファイアウォールは80番ポートを除外した全てのトラフィ

ックを遮断するポリシーを持っています。したがって、ファイアウォールを迂回するためにHTTPではなくnon-HTTPトラフィックで80番ポートを使用するアプリケーションがあります。しかし、non-HTTPトラフィックは80番ポートを使っても送受信するデータはHTTP標準

を遵守しないのでPAS-Kで正常に処理することができません。

例えば、L7キャッシュサーバ負荷分散サービスでHTTPトラフィックを処理するために次のようなフィルターを定義したと仮定してみま

す。

- フィルター種類 : include タイプ

- 送信元IPアドレス : 0.0.0.0/0 (any)

- 送信元ポート番号 : 0 (any)

- 宛先IPアドレス : 0.0.0.0/0 (any)

- 宛先ポート番号 : 80

しかし、上のように設定されている場合、PAS-Kは受信されたトラフィックがHTTPトラフィックであるか non-HTTP トラフィックである

かを区分せずに、宛先ポート番号だけ見て宛先ポートが80であるパケットについてL7キャッシュサーバ負荷分散サービスを実行する

ことになります。

このような問題を解決するため、PAS-KのL7キャッシュサーバ負荷分散サービスでは80番ポートを使用するが、HTTP標準を遵守い

しないnon-HTTPトラフィックを正常に処理する機能をサポートします。PAS-Kはまず、80番ポートを使うトラフィックが受信されればL7キャッシュサーバ負荷分散サービスによってトラフィックを処理します。そして、TCPデータを分析し該当トラフィックが non-HTTPトラフィックと判断されれば、すぐにL4スイッチングのようにフォワード処理のみ実行し、L7キャッシュサーバ負荷分散サービスは実行しま

せん。

non-HTTP トラフィックの処理方式

本節ではnon-HTTPトラフィックの処理方式を理解するために、まず non-HTTPトラフィックの種類について簡単に説明し、non-HTTPトラフィックの処理方式について説明します。

189


non-HTTP トラフィックの種類

non-HTTPトラフィックはクライアントとサーバのどちらが先にデータを送信するかによってクライアントプッシュプロトコルとサーバプッシュプロトコルで区分されます。

クライアントプッシュプロトコルはTCP接続が確立された後、クライアントの方から先にデー

タが送信する場合をいいます。HTTPもクライアントが先にHTTPリクエストを送信するので

クライアントプッシュプロトコルと分類することができます。右の図はクライアントとサーバ

の間にクライアントプッシュプロトコルが送信される過程を示します。

サーバプッシュプロトコルはクライアントがTCP接続をリクエストしても、一旦3-wayハンド

シェイク過程が終わった後にサーバが先にデータを送信する場合をいいます。FTP、SMTP、POP3、IMAPなどの大抵のインターネット標準プロトコルがこのようなサーバプッシュプ

ロトコルです。右の図はクライアントとサーバの間にサーバプッシュプロトコルが送信され

る過程を示します。

しかし、クライアントプッシュプロトコルの場合、次のような理由でPAS-Kが正常にnon-HTTPトラフィックを処理することができません。

クライアントプッシュ(SSL)

クライアントサーバ

ACK

SYN SYN/ACK

SSL Server Hello

SSL Client


ACK

SYN SYN/ACK

EHLO

220 Welcome

サーバプッシュ(SMTP)


ACK

SYN

SYN/ACK

400 Bad

SSL Client

PAS-K

不正なHTTPリクエストと認識して、HTTP

400 Bad Request をレスポンスする。



190

サーバプッシュプロトコルの場合、PAS-Kが中間でTCP接続を横取りする遅延バインディング（Delayed Binding）動作をするので正

常にHTTPトラフィックを処理することができません。

上の図のように、クライアントプッシュプロトコルとサーバプッシュプロトコルの場合、PAS-Kが正常にnon-HTTPトラフィックを処理でき

ない問題があります。このような問題点を解決するためPAS-Kは許可（allow-nonhttp）オプションを使って、non-HTTPトラフィックを

正常に処理できるようにします。

non-HTTP 許可(Allow-nonhttp)

PAS-Kはnon-HTTPトラフィックを処理するためにnon-HTTP許可オプションを使うことができます。non-HTTP許可は不正なHTTPリクエストはサーバにすぐフォワードし、その後に送信されるパケットはL7キャッシュサーバ負荷分散サービスを適用せずに単純に中

継する方式です。

PAS-KはTCP接続が確立された後、クライアントが送信した最初のデータが不正なHTTPリクエストと判断されれば、このセッションを

non-HTTPトラフィックと見なします。その後、データは一段臨時に保存しておいて、サーバにSYNパケットを送信してサーバとの接続

を試します。サーバからSYN/ACKパケットを受信すれれば、保存しておいたデータをサーバに送信します。以後にはクライアントから

サーバに送信するパケットやサーバからクライアントに送信する全てのパケットについてTCP接続が終わる時までフォワード処理の

み実行します。

参考： PAS-KはTCP接続が確立された後、最初のデータに対してだけ、non-HTTPトラフィックの可否を判断します。したがって、最初のHTTPリクエストが正常に処理される場合には2番目にクライアントから送信されるデータについては不正なHTTPリクエストであってもPAS-Kが400 Bad Requestレスポンスを送信します。

次はクライアントプッシュプロトコルであるSSLについて、許可オプションがイネーブルされた状態でPAS-Kがnon-HTTPパケットを処

理する過程を示す図です。


ACK

SYN SYN/ACK

PAS-K

400 Bad

サーバはクライアントが接続したことを

分からないので、220 Welcome メッセ

ージを送ることができない。

クライアントはサーバの

220 Welcomeメッセージを

ずっと待つことになる。

サーバプッシュ(SMTP)


ACK

SYN

SYN/ACK

PAS-K

バッファーリングしたデータ

をサーバに送信

SSL Client Hello SYN

SYN/ACK SSL Client Hello

以後に送信されるパケットについてフォワード処理のみ実行

Non-HTTP プロトコルと判断。

遅延バインディングを行う。


191


しかし、non-HTTP許可オプションだけ使用すると、クライアントプッシュプロトコルの場合だけ処理でき、遅延バインディング動作を実

行するので先にサーバからデータが送信されるサーバプッシュプロトコルについては対応できません。このような問題を解決するた

めには遅延バインディング節で説明したダイレクトコネクト（Direct Connect）オプションを一緒に使用しなければなりません。許可と

ダイレクトコネクトの2つのオプションを一緒に使えば、PAS-KはTCP接続が確立された後にサーバから先に送信されたデータを受信

する場合、これをnon-HTTPトラフィックと判断してフォワードすることによってサーバプッシュプロトコルを処理します。

次はダイレクトコネクトと許可の2つのオプションを全てイネーブルした場合に、client-pushとサーバプッシュプロトコルについてPAS-Kが動作する過程を示す図です。

HTTPリクエストではない

Non-HTTP プロトコルと判断

クライアントプッシュ(SSL) サーバプッシュ(SMTP)


ACK

SYN

SYN/ACK

PAS-K

SSL Client Hello


SYN/ACK

SSL Client Hello

SYN

ACK

クライアント

SYN/ACK

PAS-K

サーバプッシュデータが送信される場

合、non-HTTP プロトコルと判断する。


SYN/ACK

220 Welcome

220 Welcome

サーバ

SYN SYN

ACK ACK


192

L7サーバ負荷分散

L7サーバ負荷分散機能は複数の実サーバをまとめてサーバ群を構成し、ユーザーが要求するコンテンツに基づいて実際のサーバ

間にトラフィックを分配するサービスです。簡単にいうと、L4サーバ負荷分散機能にコンテンツの概念を追加したものと考えることがで

きます。各L7サーバ負荷分散サービスはクライアントで使う仮想サーバIPアドレスとポート番号、及び負荷分散サービス間の優先順

位を示す優先順位値を持ちます。この他に多数のパターン、実サーバ、グループ、ルールを用いて、コンテンツに基づいたサービス

を設定するようになります。

下図はユーザーが要求するコンテンツの種類によって、実サーバにトラフィックが分散できるようにL7サーバ負荷分散を適用したネッ

トワーク構成例です。

[図 - L7負荷分散を適用したネットワーク構成図]

アドバンストL7サーバ負荷分散アドバンストL7サーバ負荷分散はL7サーバ負荷分散サービスでHTTP圧縮、キャッシング、SSLアクセラレータのようなアプリケーシ

ョンアクセラレータ機能とIPv6を使用するネットワーク環境でL7サーバ負荷分散をサポートする負荷分散サービスです。アプリケーシ

ョンアクセラレータ機能を使用すると実サーバのハードウェアリソースの負荷を減らすことができます。

参考： PAS-Kで提供するアプリケーションアクセラレータ機能にはHTTP圧縮、キャッシング、SSLアクセラレータの3つがあります。各機能に

対する詳細な説明は本章のアプリケーションアクセラレータ（Application Accelerator）を参考して下さい。

RTS（Return To Sender）

RTSはマルチネットワークセグメント環境のように複数のルーティング経路が存在する場合、レスポンスパケットに対してルーティング

を実行せず、リクエストパケットを受信した経路にレスポンスパケットを送信する機能です。

参考： RST機能を使用するためには、外部ネットワークへの上位経路にある装置（ファイアウォール、ルーターなど）をRTS実サーバとして設

定しなければなりません。

PAS-K

クライアント

実サーバ1

*.html

実サーバ2 /images

実サーバ3

グループ *.jsp, *.asp

ルーター

実サーバ4

193


Dos/ Ddos攻撃の遮断

Dos（Denial of Service）攻撃とは、特定のプロセスがシステムの資源を独占したり破壊したりしシステムの他のプロセスを正しく提

供できないようにしたりする攻撃です。特にネットワークを通して伝播されるDoS攻撃はネットワークやシステムなどを麻痺させるため

ユーザーと企業すべてに莫大な被害を与えます。PAS-KはこのようなDoS攻撃の遮断機能を通してサービスが安定して提供できる

ようにしています。 PAS-Kで遮断するDoS攻撃のタイプは下記のとおりです。

攻撃タイプ説明

Get Flooding 攻撃対象のシステムと大量のセッションを結んだり、特定のイメージまたは大容量のファイルを繰り返しダウン

ロードしたりすることでウェブサーバとデータベースサーバ間の過負荷を誘発する攻撃です。

CC attack

CC（Cache-Contorol） attackはHTTPメッセージのヘッダーに含まれるCache-Contorol値を操作し、キャッシ

ュサーバでないウェブサーバが直接応答するよう誘導します。これを通してウェブサーバの資源を消尽させる

攻撃です。基本的にCC attackはGet Floodingと同一形態の攻撃でありCache-Contorol値を操作する部分

が異なります。

Slowloris

SlowlorisはHTTPメッセージのヘッダーを操作しウェブサーバがヘッダー情報を分けられないようにして、ウェ

ブサーバにその攻撃者と長時間接続を維持させます。これにより正常なクライアントに対するサービスを難しく

させる攻撃です。

Slow POST

Show POSTはHTTPヘッダーのContent-Lengthフィールドに任意の大きさを設定し転送するので、ウェブサ

ーバがクライアントに該当サイズのメッセージを転送する時までコネクションを維持するようになり、攻撃者が

少量のデータを論理速度で転送しウェブサーバの連結をサーバとの接続を長時間維持するようにする攻撃で

す。


194

L7キャッシュサーバ負荷分散

L7キャッシュサーバ負荷分散はL4キャッシュサーバ負荷分散機能と同様に、ユーザーが要求するウェブトラフィックをキャッシュサー

バにリダイレクションしてネットワーク帯域を節約し、クライアントのリクエストに対するレスポンス時間を早くしてくれる機能です。

ユーザーが接続するウェブサイトで提供するコンテンツにはキャッシングが可能なイメージやテキストがあり、キャッシングが不可能

な動的アプリケーションの結果物などが含まれています。L4キャッシュサーバ負荷分散機能はユーザーが要求するコンテンツの種類

を区分できないので、全てのトラフィックをキャッシュサーバにリダイレクションします。もしユーザーがキャッシングが不可能なコンテ

ンツを要求した場合には、むしろレスポンス速度が遅延して、キャッシュサーバに負荷を増加させることがあります。また、キャッシュ

サーバにあらかじめキャッシングされているコンテンツをリクエストした場合にも、ユーザーのリクエストが該当キャッシュサーバにリダ

イレクションされないで他のキャッシュサーバにリダイレクションされれば、ユーザーがリクエストした情報をもう一度インターネットを通

じてエクスポートしなければなりません。

L7キャッシュサーバ負荷分散はコンテンツを区分できるので、このようなL4キャッシュサーバ負荷分散機能の短所を解決することが

できます。まず、キャッシングが不可能なコンテンツを認識してユーザーが該当コンテンツをリクエストする場合には、キャッシュサー

バにリダイレクションせずに直接サーバに接続するようにするバイパス機能を提供します。また、同じコンテンツに対するリクエストは

いつも同じキャッシュサーバにリダイレクションされるようにして、L4キャッシュサーバ負荷分散の二番目の問題点を解決すると同時

にキャッシュのヒット率を大幅に増加させます。

各L7キャッシュサーバ負荷分散サービスは負荷分散サービス間の優先順位を持ちます。L7キャッシュサーバ負荷分散サービスはパ

ターンを利用したルール、実サーバ、グループ、及びキャッシュリダイレクションを適用するトラフィックを定義するフィルターなどを用

いて、コンテンツに基づいたリダイレクションサービスを設定します。PAS-Kには最大1024個のL7キャッシュサーバ負荷分散サービ

スを設定することができます。

フィルター PAS-KのL7キャッシュサーバ負荷分散サービスはキャッシュリダイレクションを適用するトラフィックを定義するためにフィルターを使

用します。フィルターはプロトコルと送信元/宛先IPアドレス、送信元/宛先ポート番号などを多様に組み合わせて定義することができま

す。フィルターの種類にはincludeタイプとexcludeタイプがあります。Includeタイプのフィルターにはキャッシュリダイレクションを適用

するトラフィックの条件が含まれます。そして、excludeタイプのフィルターはキャッシュリダイレクションを適用しないトラフィックの条件

で構成されます。

アドバンストL7キャッシュサーバ負荷分散アドバンストL7キャッシュサーバ負荷分散はL7キャッシュサーバ負荷分散サービスでHTTP圧縮、キャッシング、SSLアクセラレータ

のようなアプリケーションアクセラレータ機能とIPv6を使用するネットワーク環境でL7サーバ負荷分散をサポートする負荷分散サービ

スです。アプリケーションアクセラレータ機能を使用すると実サーバのハードウェアリソースの負荷を減らすことができます。

参考： PAS-Kで提供するアプリケーションアクセラレータ機能にはHTTP圧縮、キャッシング、SSLアクセラレータの3つがあります。アドバンス

とL7キャッシュサーバ負荷分散サービスではキャッシングを除外したHTTP圧縮、SSLアクセラレータ機能を使用することができます。各機能

に対する詳細な説明は本章のアプリケーションアクセラレータ（Application Accelerator）を参考して下さい。

195


パターンパターンはPAS-KがHTTPリクエストを分類する判断基準です。パターンがマッチされる結果によってPAS-KがHTTPリクエストを処理

する方式を決定することになります。パターンはマッチの種類(type)によって動作する方式が違います。HTTPリクエストが受信される

と、PAS-KはHTTPリクエストのヘッダでパターンに設定されたマッチの種類に該当される項目をパターンの文字列とマッチング方法

で比べます。例えば、マッチの種類がhostであり、文字列が.w3.org、マッチング方法がsuffixであるパターンが設定されていると、PAS-Kは受信されたHTTPリクエストが*.w3.orgのドメイン名で送信される場合、このパターンがマッチされたと判断します。パターンと次

の節であるルールを組合すれば、おたがいに異なるHTTPトラフィックについてL7負荷分散サービスの様々なポリシーを適用すること

ができます。

PAS-Kには最大512個のパターンを設定したり、適用することができます。パターンは負荷分散サービスに関係なく一つのPAS-Kの中で同様に適用されます。パターンを構成する項目について詳細に確認します。

マッチの種類

マッチの種類はパターンで検査するHTTPリクエストヘッダやIPヘッダの特定値の中で選択します。マッチの種類には次の10種類の

中から選択することができます。

• uri HTTP リクエストの URI

• host HTTP リクエストのホストフィールド

• cookie HTTP リクエストのクッキーフィールド

• user-agent HTTP リクエストのユーザー-エージェントフィールド

• accept-language HTTP リクエストの Accept-Language フィールド

• user-difined HTTP リクエストヘッダ内の任意のフィールド

• HTTP method HTTP リクエストのメッソド(GET、POST など)

• HTTP version HTTP バージョン(HTTP/1.0 或は HTTP/1.1)

• Client IP network クライアントの IP ネットワークアドレス

• Server IP network サーバの IP ネットワークアドレス

Client IP networkやServer IP networkは設定したHTTPトラフィックの送信元/宛先IPアドレスがマッチされるかを検査するマッチン

グ種類です。HTTP versionはPAS-KがHTTP/1.0リクエストとHTTP/1.1リクエストを区分して処理できるようにします。この3つを除

外した残りのマッチング種類はHTTPヘッダ内での特定値を検査するように文字列とマッチング方法を設定しなければなりません。


196

文字列

パターンの文字列はマッチの種類として設定したヘッダの特定値と比べる値です。パターンの文字列は128字まで設定でき、全ての

文字が含まれることができます。パターンの文字列で正規式を使用でき、正規式を使うと最初の文字は英文字、二番目の文字は数

字で構成さてれいる文字列のような特定なタイプの文字列を検査することができます。

下記は正規式で使える特殊文字です。

[表 -正規式に使える特殊文字]

メタキャラクタ説明例

^ ラインや文字列の最初を表示 âaa（aaaで始める文字列）

$ ラインや文字列の最後を表示 aaa$（aaaで終わる文字列）

. ある一つの文字を表示 a．c（abcとかaZcのようにaとcの間に文字が含まれてい

る文字列）

[ ] 文字の集合や範囲を表示。二つの文字の間の「-」は範囲を現します。[ ] の内に ^ があるとnotを意味し

ます。

[abc] （a とか b、c） [â-c] （a と b、cを除外した文字）

{x} 先行文字が正確にx回発生する文字列 a{3} （aaaを含む文字列）

{x,} 先行文字が少なくともx回発生する文字列 a{3,} （aaaやaaaaなど)

{x,y} 先行文字が少なくともx回発生して、yより多く発生しない

文字列 a{2,4} （aaやaaa、aaaa）

* 先行文字が0回、あるいは1回以上表示される文字列 ab*c （aとcの間にbがないか1回以上表示される文字列:ac, ackkka, abbc, abbbbbc など）

？先行文字が0回、あるいは1回表示される文字列 ab?c （aとcの間にbがないか1回表示される文字列: ac,abc, abcd など)

+ 先行文字が少なくとも1回以上表示される文字列 ab+c （aとcの間にbが1回以上表示される文字列: abc,abbbbc, abbcdef など）

( ) 正規式の中でパターンをグループでまとめて処理する

時に使用

| OR 演算子 a|b|c （aとかb、あるいは c. [abc]とか [a-c]と同じ意味）

\ 上の特殊文字を正規式の中で一般文字として取扱お

うとする場合に特殊文字の前に使用する文字 file╲.ext （file.extを表示)

次は一般的に使われる正規式です。

• ╲．gif$

giｆで終わる文字列 (a．gif、/images/ｂ．gif など)

• ^www

www で始める文字列 (wwwabc、www.piolink.co.jp など)

• [A-Za-z0-9]

全ての英文字と数字

• [â-z]

小文字以外の文字

• [0-9]{2}

2 桁数の数字

• [A-Za-z]{4}$

4 個の英文字で終わる文字列

• ([0-9]{1,3}╲.){3}[0-9]{1,3}

1～3 桁数の 3 個のインスタンスを持つ IP アドレス（192．168．1．10 など）

• [A-Za-z0-9._-]+@[A-Za-z0-9._-]+¥.[A-Za-z0-9._-]{2,4}

一般的な E メールアドレス([email protected] など)

197


マッチング方法

マッチング方法はマッチング種類で選択したヘッダの特定値とパターンの文字列を比較する方法です。比較方法には次のような4つの方法があります。

• prefix ヘッダの値がパターンの文字列で始まるかどうかを比較

• suffix ヘッダの値がパターンの文字列で終わるかどうかを比較

• regex ヘッダの値にパターンの正規式が含まれるかどうかを比較

（パターンの文字列を正規式に設定した場合）

• any ヘッダの値にパターンの文字列が含まれているかどうかを比較

参考：マッチング方法でprefixまたはsuffixを使えば、regexまたはanyを選択することよりPAS-Kの負荷を減らすことができます。


198

ルール

ルールはクライアントが送ったHTTPリクエストの種類によってPAS-Kが実行する動作を選択するために使われます。ルールはクライ

アントのHTTPリクエストと比べるパターンと、HTTPリクエストがパターンと一致した場合に送るサーバグループから構成されます。ル

ールには最大2個のパターンを登録することができます。

ルールにパターンを登録する場合には「NOT、AND、XOR、OR」演算子を使って自由に論理式の形態で設定することができ、論理

式の計算順番を明確にするため括弧を使うこともできます。演算子の優先順位はNOTが一番高く、AND、XOR、ORの順序です。パ

ターン式には最大32個のパターンを登録することができます。ルールにパターン式を登録しない場合には全てのHTTPリクエストが

該当ルールによって処理されます。

ルールを設定する時には、グループを選択して該当グループ内で負荷分散を実行したり、ルールによって実行する別途のアクション

を設定したりすることができます。

一つのL7負荷分散サービスに複数のルールが使われる場合には、ルールの優先順位によってHTTPリクエストに適用されます。も

し一つのHTTPリクエストが2個以上のルールに設定されたパターン式を満足する場合には、優先順位が一番高いルールによって処

理されます。

PAS-KにはL7負荷分散サービス当り最大256個のルールを設定することができ、ルールは1 ~ 1024間の固有IDで区分します。

アクション

アクションはルールを設定する時、ルールによってどのように動作するかを設定する機能です。設定できるアクションの種類にはグル

ープを設定して該当グループの内で負荷分散を実行する（Group）、該当グループ内の実サーバを直接設定する（Real）があります。

また、PAS-KがTCP RSTパケットを生成してクライアントに送信したり（Reject）、直接HTTPレスポンスを生成してクライアントの送信

するように（HTTP Response）設定することもできます。

次はクライアントからHTTPリクエストを受信すれば、パターン式を検査し、優先順位によってルールを選択した後にアクションを実行

する過程を示す順序図です。

グループで負荷分散を実行

する実サーバを探したか

該当セッション維持エント

リーの実サーバ使用

ルールが選択される

HTTP Response生成した

後に送信

設定された状態で HTTP Response

リクエストを生成した後送信

バックアップグループが設定されてい

てセッション維持エントリーがあるか

アクションがRealで、

該当実サーバが

使用できるか

探した実サーバに遅延バインディング

またはHTTPリクエストフォワード

HTTP Response

No

No

No

No

GroupあるいはReal

Yes

Yes

Yes

Yes No

TCP RSTパケットの送信

Yes

ルールのアクション検査

(バックアップグループがACT状

態の場合)バックアップ

グループで

負荷分散を実行する

グループにセッション維持

エントリーがあるか

199


グループ（Group Action）

設定できるアクションの中で「グループ（Group）」を選択すれば、クライアントのHTTPリクエストがルールに登録されたパターン式に

マッチする場合、該当リクエストはそのルールに設定されたグループで設定した負荷分散方式によって実サーバに送信されます。

実サーバ（Real Action）

設定できるアクションの中で「リアル（Real）」を選択すれば、特定HTTPリクエストについてユーザーが直接クライアントのHTTPリクエ

ストを処理する実サーバを設定することができます。実サーバを設定する場合には該当実サーバが複数のグループに属している可

能性があるので、実サーバが属したグループを必ず設定しなければなりません。また、設定した実サーバが使用できない場合（FULLまたはINACTの状態である場合）に設定されたグループ内で負荷分散を実行して該当HTTPリクエストを処理するため、該当実サ

ーバが属したグループを設定しなければなりません。もし、設定したグループにすでにセッション維持エントリーが存する場合には設

定した実サーバを無視してセッション維持エントリーをそのまま使用します。

遮断（Reject Action）

設定できるアクションの中で「Reject」を選択すれば、危険なURLアクセスについてサービスを許可しないことができます。クライアント

からHTTPリクエストを受信すれば、TCP RSTパケットを生成してクライアントに送信します。このようにすると、クライアントPAS-K間のTCP接続が切れるので、セキュリティ上の危険なリクエストを完全に遮断することができます。

HTTPレスポンス（HTTP Response Action）

HTTPレスポンスはL7負荷分散のアプリケーションがHTTPに設定されている場合にクライアントからHTTPリクエストを受信すると、

任意の状態コードを持つHTTPレスポンスを生成してクライアントに送ります。HTTPレスポンスパケットにはTCP FINフラグが含まれ

てクライアントとのTCP接続を切ることになります。状態コードはサーバがHTTPリクエストメッセージを受信して処理した結果を知らせ

る3桁の正数から構成された処理結果番号です。PAS-Kで使えるHTTP状態コードの種類と各コードの意味は下記のようです。

• 3xx Redirection ファイルが移動された時に使用

- 301 Moved Permanently ：リクエストされた文書の位置が永久的に移動される

- 302 Found ：リクエストされた URI が変更された URI にある

- 307 Temporary Redirect ：リクエストされた URI が一時的に移動される

• 4xx Client Error クライアントがエラーを発生したと判断される場合に使用

- 400 Bad Request ：クライアントのリクエストに文法的なエラーあるのをサーバが見つけることを意味

- 403 Forbidden ：クライアントの証明情報に関係なくページについてのアクセスを許可しないことを意味

- 404 Not Found ：クライアントがリクエストした資源がサーバにないことを意味

• 5xx Server Error サーバがエラーを発生させ、リクエストを処理する能力がないと判断する場合に使用

- 503 Service Unavailable ：サービスを一時的には提供できないが、復旧予定を意味


200

URL変更 URL変更（URL Manipulation）はクライアントがリクエストしたURLを変更して実サーバに送る機能です。例えば、ウェブサイトのURL体系が変更された場合、クライアントが変更前のURLへ接続すれば、サービスを利用することができません。このような場合にURL変更機能を使えば、PAS-Kが自動にクライアントとサーバの間でURLを変更してくれるので変更前のURLへ接続するクライアントの

HTTPリクエストを新しく変わったURLへ接続できるようにします。したがって、サービスの可用性を向上させることができます。

このような設定はウェブサーバに直接適用することもできますが、PAS-KのURL変更機能を使えば多数のウェブサーバを運営する

場合にもPAS-Kに1度だけ適用する設定を入力すれば良いので管理が便利になります。また、URL変更機能はサイト定期点検や障

害復旧などのページにユーザーを案内する用途として有用に使用することができます。

次はL7負荷分散サービスでURL変更設定を適用する過程を示す順序図です。

上の図のようにクライアントからHTTPリクエストが受信されれば、PAS-Kはとりあえず、選択されたルールがURL変更設定とマッチ

するかを確認します。複数のURL変更設定が定義されている場合には優先順位が一番高いURL変更設定から比べて、ルールがURL変更設定とマッチしなければ次の優先順位のURL変更設定と比べます。選択されたルールがURL変更設定にマッチされれば、URLの中で検索する文字列である「マッチングURL（match）」があるかを確認します。もし、マッチングURLがある場合にはマッチング

URLを変更する文字列である「代替URL（replacement）」に置換します。URL変更機能はマッチングURLがURL内で何回検索され

ても、その中で最初に検索されたURLだけ代替URLに置換します。マッチングURLを代替URLに置換した後には、適用されるルール

のアクションによってURL変更機能の動作方式を決定します。

マッチングURLの文字列で正規式を使えます。正規式には括弧を使って部分文字列を使うことができるが、括弧は各部分文字列に

対応されます。対応された部分文字列代替URLで使うこともできます。正規式には最大9個の格好を使って9個までの部分文字列を

使用することができます。このように対応された部分文字列はURLでそれぞれ$0～$9の形態で挿入することができます。

参考：正規式で括弧を使えること以外にはパターンで使える正規式と同一ですので、前述の [パターン-文字列] を参照します。

選択されたルールが適用

されるルールに含まれる

か

次の優先順位のURL変更

設定を選択

ルール、アクションの選択

優先順位が一番高い URL変更設定を選択

HTTP Redirection

適用されるルールが URL変更設定を満足するか

URLの検索文字列を変更文字列に置換

Yes

No

Yes

No

グループまたは実サーバ http-response (status 3xx)

No

URL Rewrite

Yes

URL変更設定がこれ以上はなし

URLに検索文字列が含まれているか

アクション

201


参考：適用できるURL変更設定が複数である場合でも優先順位が一番高い１つの設定だけ処理されます。URL変更は１つのHTTPリクエス

トについて２回以上は実行されません。

参考： URL変更機能はL7負荷分散で最後の段階で実行されます。したがって、URLが変更されてもパターンのマッチなどには影響を与えま

せん。

URL変更機能はHTTP RedirectionとURL rewriteの２つの方式で動作します。ルールのアクションHTTP response 3xxの場合に

はHTTP redirection機能を使ってURLを変更し、アクションがグループや実サーバの場合にはURL rewrite機能を使って実サーバ

にHTTPリクエストをフォワードする前にURLを変更します。

PAS-KにはL7負荷分散サービス当りに最大256個のURL変更設定を登録することができます。

HTTPリダイレクション

HTTPリダイレクト機能はウェブサーバのURLが変更された場合、PAS-Kが自動でクライアントがリクエストしたURLを変更された新し

いURLに知らせる機能です。例えば、ウェブサーバのコンテンツ位置が移動した場合に、以前のURLへアクセスしたユーザーに移動

した新しいURLを知らせる必要があります。この際に、HTTPリダイレクト機能を使えば自動で新URLをクライアントに知らせて、クラ

イアントはこのURLを通じて再びアクセスすることになります。

URLリライト

URLリライト機能は変更されたURLをクライアントに知らせずに、実サーバに送るURLをPAS-Kが直接変更する方式です。したがっ

て、HTTPリダイレクションを使う場合のように変更されたURLがウェブブラウザーのアドレス表示ラインに表示されず、URL変更過程

がPAS-Kとウェブサーバの間でだけ起こるのでクライアントはURLが変更されたかが分かりません。

グループ

実サーバは負荷分散したセッションを実際にサービスするサーバを示すもので、その属性にはIPアドレス、TCPポート番号と重み付

けがあります。PAS-Kはサービス当り最大1024個の実サーバを設定することができ、これらのサーバは1～1024の固有なIDで区分

されます。

グループはコンテンツの観点で同一の実サーバの集合で、セッション維持及び負荷分散方式を設定する単位です。特定コンテンツに

対するクライアントのリクエストが入って来れば、まず該当コンテンツを持つグループが選択されます。選択されたグループのセッショ

ン維持設定によって、以前に接続された実サーバ情報がある場合は該当実サーバ、そうではない場合は負荷分散方式を通じて決ま

った実サーバにクライアントのリクエストが送信されます。

L7負荷分散ではL4負荷分散で提供するrr、wrr、lc、wlc、hashの五つの方式の他にurlhash負荷分散方式を追加で提供します。これ

は残りの五つとは異なり、HTTPリクエストのURI経路や特定部分文字列をハッシングして実サーバを選択します。したがって、同じフ

ァイルに対するHTTPリクエストがいつも同じ実サーバに送信されることを保障でき、これはL7キャッシュサーバ負荷分散でキャッシュ

ヒット率を増加させるのに有用に使われます。また、特定部分文字列を基準としてハッシングを実行してHTTPリクエストの内にセッシ

ョン維持に関した情報が含まれている場合に有用に使用することができます。

ユーザーはPAS-Kにサービス当り最大256個のグループを設定することができます。グループ名としては最大32文字までつけること

ができ、このグループ名はHTTPクッキーのセッション維持のpassive・rewrite・insertモードでも識別のために使われます。


202

実サーバ実サーバ（Real Server）はPAS-Kの負荷分散サービスの対象になる装置を意味します。実サーバとしてはウェブサーバのように一

般的なサーバやキャッシュサーバ、ファイアウォール、VPN装置、ゲートウェイがあります。各負荷分散サービス毎にサービスの対象

になる実サーバが存在して、PAS-Kにパケットが受信されると負荷分散サービスは設定されたルールや負荷分散方式によってパケ

ットを処理する実サーバを選択します。L7負荷分散サービスの場合には実サーバをグループで結んでグループ別にルールや負荷分

散方式を適用します。

今までは各の負荷分散サービスで実サーバに関する説明をしました。この章では前回に説明していない実サーバに関する下記のよ

うな機能について説明します。

• 最大セッション機能（Max Connection）

• バックアップ実サーバ機能（Backup Real Server）

• グレースフルシャットダウン機能

• 最小 MTU 設定の機能

最大セッション機能

実サーバに最大セッション数を設定すると、実サーバの現在セッション数が最大セッション数に到達した場合（フルの状態）、これ以上

のセッションを実サーバに負荷分散しません。もし、バックアップ実サーバが設定されているとフルの状態になった時、セッションがバ

ックアップサーバに負荷分散されます。実サーバにセッション維持のセッションエントリーが存在する場合、実サーバがフルの状態に

なった時には下記のような二つの方式で動作できます。

- パーシステンスセッションエントリーに関したセッションは最大セッション個数の制限がありません。つまり、実サーバがフルの状

態でもパーシステンスセッションエントリーに関したセッションは実サーバでずっと処理します。

- 実サーバのパーシステンスセッションエントリーを削除し、これ以上はパーシステンス機能をサポートしません。

デフォルトでは一番目の方法が使用されますが、persist overmax disable コマンドを使って二番目の方法が使用されるようにす

ることができます。パーシステンスエントリーに関した設定はグループ別に設定できます。

203


バックアップ実サーバ

バックアップ実サーバ（Backup Real Server）は実サーバ（マスター）がこれ以上はセッションを処理できない状態になった時、実サ

ーバの役割の代わりに行う実サーバ（バックアップ）です。次のような状況になったらPAS-Kはマスター実サーバがセッションを処理で

きないと判断してバックアップサーバを通じてセッションを処理します。

• 障害監視によりマスター実サーバが動作しないと判断される場合。

この場合にはマスター実サーバで処理されていた既存のセッションは全部解除されて、この後に受信される新しいセッションはバ

ックアップサーバに送信されます。

• マスター実サーバが処理しているセッションの数が最大セッション数（Max Connection）に到達した場合

この場合には、マスター実サーバは現在セッションだけ処理し、以後に受信される新しいセッションはバックアップサーバに送信さ

れます。

マスター実サーバがまた動作できる状態になったら（障害監視によりマスター実サーバがまた動作すると判断されたり、マスター実サ

ーバが処理するセッション数が最大セッション数より少なくなった場合）、バックアップ実サーバの代わりにマスター実サーバにセッシ

ョンが負荷分散されます。L4負荷分散サービスにはマスター実サーバが再度動作すると、この間バックアップ実サーバが処理したセ

ッションを全部削除します。バックアップサーバを設定するための条件は下記の通りです。

バックアックサーバを設定するための条件は下記の通りです。

- 各実サーバごとに1つのバックアップサーバを設定できます。

- 他の実サーバに設定されたバックアップサーバは設定できません。

- バックアップサーバとして設定された実サーバは負荷分散サービスに設定できません。

- 負荷分散サービスに設定された実サーバはバックアップサーバとして設定できません。

グレースフルシャットダウン機能

グレースフルシャットダウンは重み付けを使って実サーバをサービスから除外させる機能です。実サーバにグレースフルシャットダウ

ン機能をイネーブルすると、該当実サーバに新しいセッションリクエストが割り当てされません。時間が経過して既存のセッションが全

部終了されたら実サーバは負荷分散サービスから除外されます。実サーバを負荷分散サービスから除外できる他の方法は実サー

バをディスエーブルする方法です。グレースフルシャットダウンは既存のサービスに影響を与えずに実サーバを除外でき、実サーバ

をディスエーブルすると実サーバに接続されたセッションが全部終了されます。グレースフルシャットダウン機能はL4とL7負荷分散サ

ービスの実サーバに使用でき、機能の使用可否は各実サーバごとに設定できます。

サーバのMTU PAS-KとクライアントがTCPセッションを接続する時に送信する情報の中ではMTU（Maximum Transmission Unit）があります。PAS-Kとクライアントは相手から受信したMTUの値を自分のMTUと比べた後、小さい値に合わせてパケットを分けて接続されたTCPセッションに送信することになります。L7負荷分散サービスはサーバと通信する前にとりあえずPAS-Kとクライアント間にTCPセッション

を接続します（遅延バインディング）。従って、とりあえずPAS-KがサーバのMTU値を分からなければクライアントと正常にTCPセッシ

ョンを接続できません。デフォルトでPAS-KはサーバのMTU値として1500を使います。この値はユーザーが変更でき、負荷分散サー

ビスごとに設定できますので負荷分散サービスを適用するグループに属した（実）サーバのMTUの中で一番小さい値を設定して下さ

い。L4負荷分散サービスはサーバのMTUを設定することができません。


204

負荷分散方式 PAS-Kの負荷分散機能は負荷分散方式を使ってトラフィックを分配するサーバやファイアウォール、VPN装置、キャッシュサーバなど

を選択します。次はPAS-Kでサポートする負荷分散方式です。

• ハッシュ（Hashing）

• リハッシュ（Rehashing）

• ラウンドロビン（Round Robin）

• 重み付けラウンドロビン（Weighted Round Robin）

• スタティック重み付けラウンドロビン（Static Weighted Round Robin）

• 最小コネクション（Least Connection）

• 重み付け最小コネクション（Weighted Least Connection）

• Slow-Start 最小コネクション（Least Connection-Slow-Start）

• Slow-Start 重み付け最小コネクション（Weighted Least Connection-Slow-Start）

• Total 最小コネクション（Total Least Connection）

• Total 重み付け最小コネクション（Weighted Total Least Connection）

• URL ハッシュ（URL Hashing）

• ポートハッシュ（Port Hashing）

• 最大重み付け（Maximum Weight）

• スタティックプロクシミティー（Static Proximity）

• アクティブ－バックアップ（Active-Backup）

• ファースト（First）

• ダイナミックプロクシミティー（Dynamic Proximity）

PAS-Kは静的でランダムな特性を持つハッシュ方式とラウンドロビン、最小コネクション、重み付けラウンドロビン、重み付け最小コネ

クション、最大重み付け、サーバリソース方式などのダイナミックな負荷分散方式を提供します。ダイナミックな負荷分散方式は様々

なトラフィック環境でも安定的にサービス及び処理速度向上を可能にします。URLハッシュと最大重み付け方式はL7負荷分散でのみ

使用でき、他の方式はL4、L7負荷分散に使用できます。そして、スタティックプロクシミティー方式はグローバルサーバ負荷分散での

み使用でき、ダイナミックプロクシミティー方式はL4サーバ負荷分散とゲートウェイ負荷分散でのみ使用できます。以下に各負荷分散

方式の動作方法について説明します。

ハッシュ方式ハッシュ方式はクライアントのIP情報を使って新しい接続に対するハッシュキーを計算し、このハッシュキーを基準に実サーバを割り

当てる負荷分散方式です。ハッシュキーを計算する時に使うクライアントのIPアドレスは負荷分散の種類によって異なります。

• ソースハッシュ（Source Hashing – SH）

クライアントの送信元 IP アドレスを使います。従って、特定クライアントがリクエストした接続は全て同じ実サーバに割り当てられます。こ

の方式はクライアントの情報をセッションの処理中に維持しなければならないアプリケーションに有用です。L4 サーバ負荷分散、ファイア

ウォール/VPN 負荷分散、ゲートウェイ負荷分散、L7 サーバ負荷分散、アドバンスト L7 サーバ負荷分散、L7 キャッシュサーバ負荷分散、

アドバンスト L7 キャッシュサーバ負荷分散で使用できます。

• 重み付けソースハッシュ（Weighted Source Hashing – WSH） SH 方式のようにクライアントの送信元 IP アドレスを使用してハッシュキーを計算し、実サーバの重み付けを反映して高い重み付け値を

持つ実サーバに低い重み付け値を持つ実サーバより多くの接続リクエストを割り当てる方式です。アドバンスト L4 サーバ負荷分散での

み使用できます。

• デスティネーションハッシュ（Destination Hashing – DH）

クライアントの宛先 IP アドレスを一緒に使ってハッシュキーを計算します。ファイアウォール/VPN 負荷分散、ゲートウェイ負荷分散で使

205


用できます。

• ボースハッシュ（Both Hashing – BH）

内部 VPN 負荷分散サービスではクライアントの宛先 IP アドレスを、外部 VPN 負荷分散サービスでは送信元 IP アドレスを使います。L4 サ

ーバ負荷分散、ファイアウォール/VPN 負荷分散、アドバンストファイアウォール/VPN 負荷分散、ゲートウェイ負荷分散、L4 キャッシュサーバ

負荷分散、L7 ャッシュサーバ負荷分散で使用できます。

• ポートハッシュ（Port Hashing）

クライアントの送信元と TCP/UDP ポート情報を同時に使用しハッシュキーを計算します。ポートハッシュ方式は L4 サーバ負荷分散、フ

ァイアウォール/VPN 負荷分散、ゲートウェイ負荷分散で使用することができます。この方式に設定した場合、セッション維持（persistenc

e）機能は使用できないため sticky タイムアウト時間を 0 に設定する必要があります。

リハッシュ方式

ハッシュ方式は“アクティブ”状態の実サーバにハッシュテーブルを生成するため障害監視結果によって他の実サーバに指定さ

れることがあります。リハッシュは負荷分散サービスに設定された実サーバを基準にハッシュテーブルを生成し、ハッシュ結果値

を基準に実サーバを決定します。そのあと、実サーバの状態が変更されると既存のセッションエントリーを削除し新しいハッシュテ

ーブルを生成します。この方式はハッシュ方式と同じく、クライアントの IP 情報によって 3 つに分けられ、L4 負荷分散サービスに

のみ使用することができます。リハッシュ方式に設定した場合、セッション維持は使用できないため sticky タイムアウト時間を 0に設定する必要があります。

• 送信元リハッシュ方式（Source Rehashing）

クライアントの送信元 IP アドレスを使用しハッシュキーを計算します。送信元リハッシュ方式は L4 サーバ負荷分散、ファイアウォール/V

PN 負荷分散、ゲートウェイ負荷分散で使用することができます。

• 宛先リハッシュ方式（Destination Rehashing）

クライアントの宛先 IP アドレスを使用しハッシュキーを計算します。宛先リハッシュ方式はファイアウォール/VPN 負荷分散、ゲートウェイ負荷

分散で使用することができます。

• 送信元/宛先リハッシュ（Both Rehashing）

クライアントの送信元・宛先 IP アドレスを同時に使用しハッシュキーを計算します。送信元/宛先リハッシュ方式はファイアウォール/VPN

負荷分散、ゲートウェイ負荷分散、L4 キャッシュサーバ負荷分散で使用することができます。

ラウンドロビン方式ラウンドロビン方式は実サーバを順次に割り当てる負荷分散方式です。ラウンドロビン方式では実サーバの処理能力は考慮せずに

全ての実サーバを等しく扱い、今回サーバグループの一番目の実サーバを割り当てたとすれば、次は二番目の実サーバ、その次に

は三番目の実サーバを割り当てる式です。この方式は実サーバの処理能力が全て同じ場合には効率的な負荷分散ができますが、

そうではない場合は実サーバの処理能力別に重みを付けて割り当てる重み付けラウンドロビン方式が有効です。

重み付けラウンドロビン方式重み付けラウンドロビン方式は実サーバを割り当てる時に実サーバの処理能力を考慮する負荷分散方式です。各実サーバには処

理能力によって重み付けを割り当てます。重み付けラウンドロビン方式は実サーバに割り当てられた重み付けの割合に合わせて実

サーバを割り当てます。例えば、実サーバA、B、Cに4、3、2の重み付けを割り当てた場合、重み付けラウンドロビン方式は一周期の

間にABCABCABAの順序で実サーバを割り当てます。デフォルトの重み付けは1です。

スタティック重み付けラウンドロビン方式スタティック重み付けラウンドロビン方式はそれぞれの実サーバに設定した重み付け（Weight）によって実サーバを選択する方式で

す。例えば、実サーバA、B、Cに3、2、1の重み付けを設定すると、スタティック重み付けラウンドロビン方式は１周期の間にAAABBCの順で実サーバを選択します。デフォルトで実サーバに割り当てられる重み付けは1です。

最小コネクション方式最小コネクション方式は現在接続中のセッション数が一番少ないサーバに新しい接続リクエストを割り当てる負荷分散方式です。こ

の方式は各実サーバの接続中のセッション数をリアルタイムで確認して負荷分散に反映するので、他の方式に比べて効率的に負荷

を分散することができます。


206

重み付け最小コネクション方式重み付け最小コネクション方式は各実サーバに性能の重み付けを割り当てた後、最小コネクション方式を適用する負荷分散方式で

す。この方式は各実サーバに現在接続中のセッション数を重み付けで割り算をして、一番小さい値を持つ実サーバを割り当てます。

この方式は高い重み付け値を持つサーバに低い重み付け値を持つサーバより多くの接続リクエストを割り当てることになります。デ

フォルトの重み付けは1です。

Slow-Start 最小コネクション方式、Slow-Start 重み付け最小コネクション方式 Slow-Start最小コネクション方式とSlow-Start重み付け最小コネクション方式は、最小コネクションと重み付け最小コネクションにSlow-Startオプションを追加した負荷分散方式です。サービス中のサーバグループに新規に実サーバを追加した場合、新しい接続リクエ

ストは全て新規に追加した実サーバに割り振られる可能性があります。このような現象を防ぐために、Slow-Startオプション活用する

ことができます。Slow-Startオプションは追加された実サーバに負荷分散するセッションの適用比率とこのオプションを適用する時間

を設定します。Slow-Startオプションは、新規に追加した実サーバに接続リクエストが過大に集中することを防いで、徐々に処理する

セッション数を増やしていくことができる効果的な負荷分散方式です。

Total 最小コネクション方式、Total 重み付け最小コネクション方式 Total最小コネクション方式とTotal重み付け最小コネクション方式は、最小コネクション方式と重み付け最小コネクション方式が該当負

荷分散サービスを通じて接続されたセッション数のみ確認することと異なり、実サーバが登録された全ての負荷分散サービスを通じ

て接続されたセッション数が最も小さいサーバに新しい接続リクエストを割り当てる負荷分散方式です。1つの実サーバを複数の負荷

分散サービスに登録した場合にはこの方式を使用して効率的に実サーバの負荷を分散することができます。

最大重み付け方式最大重み付け方式は重み付けが一番高い実サーバだけに接続リクエストを割り当てる負荷分散方式です。重み付けが一番高い実

サーバに障害が発生した場合は、残りの実サーバの中で重み付けが一番高い実サーバに負荷を分散する方式です。同じ重み付け

を持っている実サーバが複数台ある場合は一番先に登録された実サーバに負荷を分散します。

URLハッシュ方式 URLハッシュ方式はクライアントの送信元IPアドレスと宛先IPアドレスを使うハッシュ方式と異なり、クライアントがリクエストしたURLを用いてハッシュキーを作成して負荷を分散します。このようなURLハッシュ方式は、同じURLリクエストであれば同じ実サーバが割

り当てられる負荷分散方式です。

スタティックプロクシミティー方式スタティックプロクシミティー（Static Proximity）はゲートウェイ負荷分散とグローバルサーバ負荷分散で使用される負荷分散方式と

して、クライアントのIPアドレスとポート情報によってゲートウェイ回線を割り当てる負荷分散方式です。スタティックプロクシミティー

方式はフィルターを使ってIPアドレスとポート別にどのゲートウェイ回線を割り当てるかを設定します。この負荷分散方式はクライアン

トに最も適切なISP網のゲートウェイ回線を割り当てる時に使用し、送信元スタティックプロクシミティー方式と宛先スタティックプロク

シミティー方式に分けることができます。

• 送信元スタティックプロクシミティー方式（Source Rehashing）

送信元 IP アドレスと送信元ポートによｔって実サーバを選択する方式です。送信元スタティックプロクシミティー方式はフィルターを使用し

送信元 IP アドレスとポート別にどの実サーバを割り当てるかを指定します。この方式はゲートウェイ負荷分散サービスとグローバスサー

バ負荷分散サービスで使用することができます。

• 宛先スタティックプロクシミティー方式（Destination Rehashing）

宛先 IP アドレスと宛先ポートによって実サーバを選択する方式です。宛先スタティックプロクシミティー方式はゲートウェイ負荷分散サービ

スで使用することができます。

アクティブ－バックアップ方式アクティブ－バックアップ（Active-backup）方式は、アクティブ状態の実サーバを１つだけ割り当てる負荷分散方式です。アクティブ－

バックアップ方式の「アクティブ」または「バックアップ」状態は実サーバの優先順位によって決定され、最も優先順位が高い実サーバ

「アクティブ」状態になります。しかし、アクティブ状態である実サーバの障害監視が失敗するか、または最大コネクションがフルにな

れば「バックアップ」状態にステータスが変更され、その次に優先順位実サーバがアクティブ状態になります。アクティブ－バックアッ

プ方式は1つのゲートウェイ回線のみ使用し、複数のバックアップ用のゲートウェイ回線がある場合のネットワーク構成で使用されま

す。

ファースト（First）方式ファーストはIDが最も低い実サーバにのみ割り当てる負荷分散する方式です。負荷分散中の実サーバに障害が発生した場合には、

207


その次にIDが低い実サーバに割り当てます。この負荷分散方式はアドバンストL4負荷分散サービスでのみしようすることができます。

ダイナミックプロクシミティー方式

ダイナミックプロクシミティー（Dynamic Proximity）方式は実サーバの状態（ICMPレスポンス時間、SNMP情報）によって実サーバを

選択する負荷分散方式です。PAS-KはICMPパケットを通じてレスポンス時間に対する情報を、SNMPを通じてCPUとメモリ使用量に

対する情報を収集することができます。このように収集されたCPUとメモリ使用量の情報とICMPレスポンス時間に重み付けを割り当

て、この比率により実サーバを選択します。重み付けにより実サーバを選択する方法は重み付けラウンドロビン方式と同一です。デ

フォルトの重み付けは1です。


208

障害監視（ヘルスチェック）概要

障害監視（ヘルスチェック（Health Check））は負荷分散サービスが適用されているサーバやファイアウォール、VPN装置、物理的な

回線のような資源の状態を周期的に検査し、その結果を負荷分散サービスに反映させる機能です。負荷分散サービスで障害監視は

必須設定項目で、PAS-Kは各負荷分散サービスを始める時に実サーバの障害監視を始めます。監視結果、実サーバに障害が発生

したと判断されれば、PAS-Kは負荷分散サービスから該当実サーバを選択できないように除外します。障害が発生した実サーバに

配分したクライアントリクエストは、正常に動作する残りの実サーバによって処理され、クライアントに対するサービスが中断しないよ

うにします。障害が発生した実サーバが再び正常化されれば、PAS-Kは障害監視機能を通じて実サーバの正常動作を感知して、再

び負荷分散の対象に追加してクライアントのリクエストを処理できるようにします。このような障害監視機能は特定資源の問題によっ

てサービスが中断される状況を防ぎ、資源を効率的に活用して全体的な性能を高めてくれます。PAS-Kは負荷分散サービスが始ま

った後も周期的に実サーバの障害監視を行います。障害監視はほとんどが特定パケットを実サーバに送り、実サーバがそれに対す

るレスポンスを正常に送るかどうかによって実サーバの状態を判断します。障害監視のためにパケットを送る周期と実サーバのレス

ポンスを待つ時間、レスポンスが受信されなかった時にもう一度パケットを送る回数などをユーザーが直接設定できます。PAS-Kは以前に障害が発生した実サーバにも続けて障害監視のためのパケットを送ります。障害が発生した実サーバからレスポンスが受信

されれば、実サーバを再びグループに追加します。もしレスポンスが一度受信されたことでは実サーバが正常に動作すると判断しに

くい場合には、何回か障害監視をさらに実行してレスポンスを受信した後に実サーバを正常と判断するかを設定することができます。

PAS-Kは障害監視の周期とレスポンス待機時間、リトライ回数、復旧可否を判断するためのリカバリー回数をデフォルトで次のように

設定されています。

[表 - 障害監視に使われる項目とデフォルト設定値]

項目デフォルト説明

送信周期 5秒設定された時間ごとに障害監視を実行します。

レスポンス待機時間 3秒設定された時間が経過されれば実サーバからレスポンスを受けることができなかったと判断します。

リトライ回数 3回実サーバからレスポンスを受けることができなかった場合には、実サーバが障害状態なのかを

より明確に判断するために設定した回数だけ障害監視をさらに実行します。

リカバリー回数 0回障害が発生した実サーバからレスポンスを受信した時、実サーバの復旧可否をよりはっきりと判

断するために設定した回数だけ追加で障害監視を実行します。

ポート 0 障害監視に使用するTCP/UDP宛先ポート番号

障害監視に使用するTCP/UDP宛先ポートを設定しない場合（0に設定した場合）には実サーバに設定されたRPORTが使用されます。

実サーバにもRPORTを設定しない場合（0に設定した場合）には各障害監視方式ごとに下記の表の「デフォルトポート番号」を「宛先

ポート」に使用します。

[表 - 障害監視に使われるアプリケーション別ポート番号]

アプリケーションデフォルトポート番号

TCP 0

HTTP 80

TFTP 69（UDP）

NTP 123（UDP）

注意：障害監視方式がTCP、UDPの中で1つであり障害監視ポート及び実サーバのRPORTが0に設定され、ポート番号が設定されていな

い場合には障害監視結果が失敗になったと判断します。

PAS-Kは既存サーバやファイアウォールなどに障害が発生した時、機能の代わりにするバックアップサーバを使用できます。バック

209


アップサーバは普段は待機状態ですが、障害監視機能を通じてサーバの障害監視が発見されれば、既存サーバが実行した作業を

バックアップサーバが全て代わりに実行するようになります。そして、サーバの障害が解決されればバックアップサーバはまた以前の

待機状態に戻ります。

参考：実サーバの障害監視結果が「ACT」ではない場合、正常的に負荷分散サービスが提供されない可能性があります。

実サーバ設定時の注意事項障害監視機能を使用するためには、該当サービス内のすべての実サーバに監視しようとするアプリケーションが正常に動作していな

ければなりません。また、アプリケーションが実に使用するポートと障害監視設定に入力されたポートと一致しなければなりません。


210

障害監視方法

PAS-Kは実サーバの障害を監視する時に次のような方法を使用できます。

ARP 障害監視

HTTP 障害監視

ICMP 障害監視

Internal 障害監視

Link 障害監視

NTP 障害監視

TCP 障害監視

TFTP 障害監視

UDP 障害監視

UDP DNS 障害監視

スクリプト障害監視

RADIUS サーバ障害監視

SSL 障害監視

UDP DHCP 障害監視

各障害監視方法について詳しく説明します。

ARP障害監視 ARP（Address Resolution Protocol）はIPアドレスに対応するMACアドレスを確認するためのプロトコルです。IPアドレスに対してARP要請パケットを転送し、これに対応するMACアドレスをARP応答パケットを通して確認します。ARP障害監視はPAS-KがARP要請パケットを生成して実サーバに転送し、これに対する応答メッセージを通して正常に動作するかどうかを判断します。動作例

下図はARP障害監視機能が動作する過程を表したものです。

[図 – ARP障害監視の動作過程]

211


HTTP障害監視

HTTPはウェブサーバとウェブブラウザーの間にデータをやり取りするためのプロトコルです。ウェブブラウザーはウェブサーバへ接

続してリクエストを送信し、ウェブサーバはリクエストを受信してレスポンスメッセージをウェーブブラウザーに送ります。HTTP障害監

視はPAS-Kがこのようなウェブブラウザーの役割を実行するようにします。HTTP障害監視機能を使えば、PAS-Kは実サーバに接続

して設定されたURIについてGETリクエストをして受信したレスポンスメッセージを通じて実サーバが正常に動作しているかの可否を

判断します。

HTTP障害監視機能で使用できるオプションは次の通りです。

[表 – HTTP障害監視に使われる項目とデフォルト設定値]

項目説明

uri (必須設定) リクエストするファイルの経路

host HTTP リクエストヘッダの Host フィールドに入力する文字列

user-agent HTTP リクエストヘッダの User-Agent フィールドに入力する文字列

status-code (必須設定) 期待する HTTP レスポンス状態コード

expect 実サーバから受信を期待するデータ

unexpect 実サーバから受信すればいけないデータ (受信する場合には、障害監視に失敗したと判断)

content-length 受信したコンテンツ(ファイル)のサイズ

expect、unexpectオプションにはTCP障害監視のようにエスケープ文字を使ってバイナリーデータを設定することができます。

参考： content-lengthを「0」に設定するのは受信したコンテンツのサイズが0かを検査するという意味です。content-lengthを検査しない

ためには0に設定するのではなく no content-length コマンドを使います。

参考： content-lengthはURIのレスポンスサイズを設定するので、このオプションを使って該当ファイルの改ざん可否を確認することがで

きます。しかし、もし該当URIがダイナミックな内容を持つコンテンツなら、毎度サイズが異なるのでcontent-lengthを設定してはいけませ

ん。

動作例

次はSSLオプションがディスエーブルの状態で、content-length オプションが設定されている場合にHTTP障害監視機能が動作す

る過程を示す図です。

ICMP障害監視 ICMP障害監視はPAS-Kと実サーバ間の物理的な接続状態を検査する3階層障害監視機能です。例えば、実サーバの電源が消え

TCP終了

リクエストについてのレスポンス

PAS-K 実サーバ

response body

TCP接続

コンテンツ送信の開始状態コードの確認

content-lengthの確認

障害監視の終了

3-way ハンドシェイク

SSLモードに転換

GET request

SSL ハンドシェイク

設定したURIについてのリクエスト

response header

…

…

TCP teardown

レスポンス終了


212

ていたり実サーバが通信できない場合、あるいはPAS-Kと実サーバ間にケーブルが接続されていない場合によって発生する実サー

バの障害は、ICMP障害監視を通じて知ることができます。ICMP障害監視はICMPパケット（pingコマンド）を使って実サーバの状態

を検査します。ICMPリクエストパケットを実サーバのIPアドレスに送った後、実サーバからレスポンスが受信されなければ実サーバ

に障害が発生したと判断してグループから該当実サーバをとり除きます。

Internal障害監視

Internal障害監視はPAS-Kに設定されているL4サーバ負荷分散サービスの障害を監視する機能です。L4サーバ負荷分散サービス

で使用される仮想IPアドレスは内部インターフェースであるため、他の障害監視方式では障害監視を実行することができません。

Link障害監視 Link障害監視は実サーバのVLANインターフェースに含まれるポートの状態を検査する１階層障害監視機能であり、他の障害監視

に対して応答がない場合に使用されます。Link障害監視を使用するためには、VLANインターフェースが実サーバに設定されていな

ければなりません。

NTP障害監視

NTP（Network Time Protocol）はNTPサーバから時間情報を受けた後、現在システムの時間情報を最新に更新し維持するために

使うプロトコルです。NTP障害監視機能を設定すれば、PAS-Kが実サーバに接続して時間情報を受けて装置の現在時間を比べた後、

実サーバの障害可否を判断します。もし、PAS-Kと実サーバの時間情報に差がある場合には実サーバに障害が発生したと判断しま

す。

NTP障害監視機能で使用できるオプションは次の通りです。

213


[表 – NTP障害監視に使われる項目とデフォルト設定値]

項目説明

tolerance 実サーバとPAS-Kの時間の差を許可する範囲（時間の差が設定したtolerance値より大きい場合には実サーバに障害が発生したと判断します。）

update-delay 実サーバが時間情報をアップデートする周期（実サーバが最新に時間情報をアップデートした後に経過された時間が設定した周期より長い場合に

は実サーバに障害が発生したと判断します。）

もし、オプションを何も設定しない場合にはPAS-Kと実サーバ間の時間情報が一致するかの可否は判断せずに、NTPプロトコルの形

式に合うレスポンスが送信されれば障害監視に成功したと判断します。

動作例

次はtolerance、update-delayオプションが設定されている場合、NTP障害監視機能が動作する過程を示す図です。

TCP障害監視 TCP障害監視はHTTPやFTP、TelnetなどTCPに基づいたアプリケーションを実サーバがサービスできるかどうかを検査する4階層

障害監視機能です。TCP障害監視はユーザーが設定したポートを用いてTCPセッション接続リクエストを実サーバに送ります。実サ

ーバが接続リクエストに対するレスポンスを送ってPAS-Kと実サーバ間にTCPセッションが接続されれば、実サーバが正常に動作す

ると判断します。このように接続されたTCPセッションは実サーバの動作を確認してすぐにPAS-Kで接続解除をリクエストして接続を

終了します。

TCP障害監視機能で使用できるオプションは次の通りです。

[表 – TCP障害監視に使われる項目とデフォルト設定値]

項目説明

half-open TCPハンドシェイクの後、FINパケットで接続を切る

send SYN/ACKパケットを受信すればRSTパケットで接続を切る




PAS-K

UDP接続

時間情報の送信

UDP established

NTP request 時間情報リクエスト

NTP response

PAS-Kの時間と比較 NTPレスポンス分析

UDP teardown UDP終了

実サーバ


214

TCPハーフオープン

障害監視方法をTCPと選択した場合、TCPハーフオープンオプションを使うことができます。TCPハーフオープンオプションを使えば、

PAS-Kは実サーバからTCP SYN/ACKパケットを受信した場合にACKパケットを送信する代わりにRSTパケットを送信してすぐ接続

を切ることになります。したがって、送受信したパケットの数が減少するのでネットワーク資源を節約することができます。

[図 - ハーフオープンオプションをディスエーブルしたTCP障害監視の動作方式]

そして、ACKパケットの代わりにRSTパケットを送るので実サーバがPAS-Kの接続リクエストをアプリケーションに送る前に運営体制

がすぐエントリーを削除することができるので実サーバの負担を減らすことができます。

[図 - TCPハーフオープンオプションをイネーブルしたTCP障害監視の動作方式]

また、PAS-Kに登録された実サーバが多い場合にPAS-KはFINパケットでTCP接続を切ると、多数のセッションが長時間TIME_WAITの状態になりますが、RSTパケットでTCP接続を切ると、セッションエントリーが直接に削除されるのでPASの負担を減らすことがで

きます。

send、expect、unexpectオプションを設定する方法は次の通りです。

send、expect、unexpectオプションの設定方法 sendオプションを設定すれば、TCP接続が確立され、同一に設定した文字列（データ）を実サーバに送信します。そして、サーバから

受信されるデータにexpectオプションやunexpectオプションに設定された文字列があるかを検査します。受信したデータにexpectオプションで設定した文字列が含まれていると実サーバが正常に動作すると判断し、unexpectオプションで設定した文字列が含まれて

いると障害監視に失敗したと判断します。 send、expect、unexpectに設定するオプションは基本的にはアスキー文字列ですが、エスケープ文字（escape characters）を使っ

てバイナリーデータを入力することもできます。

参考： sendにアスキー（テキスト）文字列を入力するほとんどの場合には、行の最後に、そこで行を変えることを示す制御文字の一種である

改行文字の「¥r¥n」挿入しなければなりません。そうしないと、行の最後を入力する前までにレスポンスメッセージを送らないので、レスポンス

待機時間（timeout）を超過して障害監視に失敗します。

レスポンス Half-open状態になる

TCP接続確立に成功アプリケーションに知らせる

接続を切る

PAS-K

実サーバ

ACK

FIN

FIN/ACK

SYN

SYNACK

ACK

TCP接続リクエス

クライアントを待っている

TCPエントリーの削除

正常動作で判断

接続を切る

TCPエントリーが TIME_WAITの状態になる

障害監視終了

PAS-K

実サーバ

RST

SYN

SYNACK

TCP接続リクエストクライアントを待っている

レスポンス

Half-open状態になる


正常動作で判断


障害監視終了

215


[表 – エスケープ文字で使える特殊文字]

エスケープ文字説明

\\ バックスラッシュ (\)

\r 復帰（carriage return）

\n 改行（linefeed）

\t 水平タブ（horizontal tab）

\OOO 任意のアスキーコード。OOOの位置に3桁の8進数を入力します。例えば、¥047はアスキーコード「39」番のシングルクオート「’」を意味します。

\xHH 任意のアスキーコード。HHの位置に2桁の16進数を入力します。例えば、¥x7Fはアスキーコード「127」番の「DEL」を意味します。

動作例次はsendとexpectオプションが設定されている場合、TCP障害監視機能が動作する過程を示す図です。

TFTP障害監視

TFTP（Trivial File Transfer Protocol）は特定サーバからファイルをエクスポートしたりインポートするために使用するプロトコルで、

ログイン過程がないのでセキュリティ上に問題がない簡単なファイルをエクスポートまたはインポートするために使えます。TFTP障害

監視機能を設定すれば、PAS-Kが実サーバに接続して設定されたファイル名を持つファイルをエクスポートします。そして、ファイル

をエクスポートする過程でファイルの内容を読んでexpect、unexpectオプションで設定した特定項目が含まれているかの可否を検査

します。

TFTP障害監視機能で使用できるオプションは次の通りです。

[表 – TFTP障害監視に使われる項目とデフォルト設定値]

項目説明

filename (必須設定) TFTPサーバに接続してエクスポートするファイル名


unexpect 実サーバから受信してはならないデータ（受信する場合には、障害監視に失敗したと判断）

expect、unexpectオプションはTCP障害監視のようにエスケープ文字を使ってバイナリーデータを設定することができます。

PAS-K 実サーバ

ACK

DATA

DATA

SYN

SYN/ACK

FIN

TCP接続

TCP接続確立の成功

レスポンス送信

アプリケーションに知らせる

send文字列の送信

Expect文字列が含まれているかを確認

接続を切る

ACK

FIN/ACK 障害監視の種類


216

動作例

次はfilename、expectオプションが設定されている場合、TFTP障害監視機能が動作する過程を示す図です。

UDP障害監視

UDP障害監視はUDPプロトコルを使うアプリケーションの障害監視を実行する機能です。UDP障害監視機能はTCPアドバンスト障

害監視機能のようにsend、expect、unexpectオプションを使って実サーバから期待するレスポンスが送信されるかを検査することが

できます。UDP障害監視機能を設定すれば、PAS-Kはsendオプションに設定された文字列（データ）を内容とするUDPパケットを生

成して実サーバに送信し、実サーバからのレスポンスUDPパケットが正常に送信されるかを確認します。

TCP基盤の他の障害監視とは異なり、UDP障害監視は実サーバからのレスポンスパケットが送信される時に送信先のポート番号を

検査しません。例えば、TFTPサーバの障害監視のためにPAS-Kが宛先ポートを69（TFTP）としてUDPパケットを送信すれば、レス

ポンスパケットの送信先ポートが69ではない場合にもこれを受信します（TCP基盤の障害監視ではこれを障害監視に失敗したと認識

します）。これはUDP基盤プロトコルが送信先ポートに任意の臨時ポート（UDP ephemeral port）を使う場合が多いためです。

UDP障害監視機能で使用できるオプションは次の通りです。

[表 – UDP障害監視に使われる項目とデフォルト設定値]

項目説明

packets (必須設定) 繰返して送信する UDP パケットの数（1 ~ 5 の範囲で入力）

send UDP パケット含んで送信するデータ

（設定しない場合、内容がない UDP パケットを送信）


unexpect 実サーバから受信してはいけないデータ（受信した場合には、障害監視に失敗したと判断）

UDPはPAS-Kと実サーバの間でパケットロスが発生しても自主的に再送信することができません。このような場合にUDP障害監視

機能を使ってpacketsオプションを設定すれば、PAS-Kが同一な内容のパケットを何回送るように設定することができます。send、expect、unexpectオプションはTCP障害監視のようにエスケープ文字を使ってバイナリーデータを設定することができます。

実サーバ PAS-K

UDP接続

ファイル送信

送信終了

UDP established

0001index.html ファイルリクエスト

0003…

セッション終了のリクエスト

歓迎メッセージの送信

expect文字の検索

…

0005…

UDP teardown セッション終了の確認

UDP終了


217


動作例次はsend、expect、unexpectオプションを全て設定した場合、UDP障害監視機能が動作する過程を示す図です。

UDP DNS障害監視

UDP DNS障害監視はDNSサーバが正常にドメインクエリーに対する応答を転送するのかを検査する４階層の障害監視機能です。

UDP DNS障害監視はwww.piolink,comのようなユーザーが指定したドメインをUDP基盤のクエリーで実サーバに転送します。転送

したクエリーに対して実サーバが応答を送ってきた場合には実サーバが正常に動作しているものと判断します。万が一実サーバがク

エリーに[対する応答を送らなかった場合には実サーバに障害が発生したものとみなし負荷分散対象から除外します。UDP DNS障害監視はL4とL7サーバ負荷分散サービスからDNSサーバの障害監視用にのみ使用されます。

スクリプト障害監視スクリプト障害監視はユーザーが作成したスクリプトを使って実サーバの状態を検査する7階層障害監視機能です。スクリプトには実

サーバに送るメッセージとサーバから受信するレスポンスメッセージ及びメッセージをやり取りする時に使うポート番号及びプロトコル

を設定します。スクリプト障害監視はスクリプトを構成する各コマンドによって次のような過程で成り立ちます。

[表 - スクリプト障害監視に使われる項目]

項目説明

script <INDEX> ＜Script 設置モード＞に移動

command open 実サーバとデータを送受信するセッションの接続

protocol {tcp | ucp} セッション接続時に使用するプロトコルを設定

port <PORT> 設定したポート番号を使用して実サーバとセッションを接続

command {send | send-bin} 実サーバにアスキー（<ascii-data>）やバイナリーデータ（<bin-data>）を送信

command {expect | expect-bin} 実サーバからアスキー（<ascii-data>）やバイナリーデータ（<bin-data>）を受信

data <DATA> 設定したデータの種類（アスキー（<ascii-data>）やバイナリーデータ（<bin-data>））によ

り実サーバと送受信する文字列の入力

command close セッションの解除

RADIUSサーバ障害監視 RADIUSサーバ障害監視はRADIUSサーバで使う認証情報を使うサーバの状態を検査する4階層障害監視機能です。この機能はL4サーバ負荷分散サービスでRADIUSサーバの障害監視用としてだけ使われます。

RADIUSサーバ障害監視はRADIUSサーバ（実サーバ）に設定されたユーザーID、パスワード、認証機密鍵、課金機密鍵を使ってRADIUSサーバに接続した後、ダミー（dummy）リクエストを送ります。RADIUSサーバがこのリクエストに対するレスポンスを送るかど

うかによってサーバの障害可否を判断するようになります。

参考： RADIUSサーバにダミーリクエストを送るのはセキュリティのためです。ダミーリクエストを送ってもRADIUSサーバの障害監視には問

題がありません。しかし、RADIUSサーバに設定するユーザーIDとパスワード、認証/課金秘密鍵は必ず実際にRADIUSサーバで使う値を設

定しなければなりません。

RADIUSサーバはユーザー認証(authentication)とサービス課金(accounting)をするサーバです。一般的に一つのサーバで二つの

機能を両方とも提供しますが、使用するポートがお互いに異なります。一般的に認証用ポートは1812、課金用ポートは1813を使いま

す。時には二つの機能を他のサーバで提供したりもします。そのため、PAS-Kは認証用RADIUSサーバの障害監視と課金用RADIUSサーバの障害監視を別に設定するようになっています。

Send文字列の送信 (設定されたパケット個のほど)

expect/unexpect検査


PAS-K 実サーバ

UDP

UDP アプリケーションレスポンス


218

SSL障害監視

SSL障害監視はSSL接続を使うアプリケーションの障害監視を実行します。PAS-Kは実サーバとTCP接続を確立した後にSSL ハン

ドシェイクを実行することによって該当アプリケーションが正常に動作しているかを確認します。この過程で使用するSSLのバージョン

が設定でき、サーバが提供する証明書が有効なのかを検査することもできます。

また、TCP障害監視のようにsend、expect、unexpectオプションを設定することができるのでSSLより上位のアプリケーションが正常

に動作しているかを確認することができます。SSL障害監視機能で使用できるオプションは次の通りです。

[表 – SSL障害監視に使われる項目とデフォルト設定値]

項目説明

version (必須設定) 設定するSSLバージョン

validate (必須設定) サーバ証明書の有効性検査の実行可否

common-name 証明書名項目でチェックする文字列

send SSL 接続が生成されれば送信するデータ



Validate オプション使用時の注意事項

Validate オプションを使って有効性検査を実行する場合には下記の事項に注意します。

- 自体署名証明書(Self-Signed Certificate)の場合、信頼できる証明機関から発給受ける証明書ではないので障害監視に失敗します。

- 証明機関から署名受けた証明書証としてもPAS-Kが持っている信頼できる証明機関リストで存しなければ、障害監視に失敗する可能性

があります。

- 証明書の有効期間を確認するためにはPASに設定された時間を参照してください。したがって、PAS-Kに「clock」コマンドやNTP機能を

使って時間を正常に設定しなければ、障害監視に失敗する可能性があります。動作例

次はsend、expect、unexpectオプションが設定されていない状態で、SSLアドバンスト障害監視機能が動作する過程を示す図です。

セッション維持 PAS-Kの負荷分散サービスは特定クライアントがリクエストする全ての接続をいつも同じ実サーバを通じて行えるようにするセッショ

ン維持機能（persistence あるいはsticky connection）を提供します。PAS-Kはセッション維持のためにタイムアウト（sticky time）設

証明書および機密鍵の交換証明書および機密鍵の交換

SSL ハンドシェイク開始

PAS-K

実サーバ

SSL ClientHello

…

DATA

FIN

TCP接続

SSL接続確立の完了

SSL接続確立の完了

ACK

FIN/ACK


3-way ハンドシェイク SSL接続

SSL ServerHello

219


定機能を提供します。タイムアウトで設定した時間が経過する前に同じクライアントからの接続が試みられれば、以前に接続したサー

バ（あるいはファイアウォール）と同じサーバに接続されます。セッション維持のためのタイムアウトはデフォルトでは60秒に設定され

ており、変更できます。

サーバ負荷分散のセッション維持

一般的なサーバ負荷分散環境ではクライアントの接続はお互いに独立して動作します。同じクライアントが連続的にリクエストする場

合にも以前に接続された実サーバとは関係なく、負荷分散方式によって選択された実サーバに接続されます。しかし、アプリケーショ

ンの種類によっては正常な機能動作と性能を早くするために、同じクライアントから来る複数の接続リクエストが必ず同じ実サーバに

接続される必要性があります。

インターネットバンキングやオンラインショッピングのように、複雑なウェブアプリケーションはほとんどクライアント単位の情報をサー

バごとに保存します。このように保存された情報はクライアントと直接交換されずに、サーバの内部で管理され、該当クライアントのリ

クエストがある時にアクセスされます。例えば、あるユーザーがインターネット書店で複数の本を購入する場合、買い物かごに入れて

おいた本のリストはサーバに保存され、クライアントとサーバ間にはユーザーを識別できる簡単な文字列だけが送信されます。

サーバ負荷分散構成でこのようなアプリケーションをスムーズにサービスするためには、クライアントが最初に接続された実サーバに

続けて接続されるようにするセッション維持機能が不可欠です。セッション維持機能を適用しなければ、一つの作業単位（transaction）を構成する複数のTCPセッションの中で一つが異なる実サーバに接続される場合、該当実サーバにはクライアントに対する情報

がないので、全体作業を最初からもう一度実行しなければなりません。

ファイアウォール負荷分散のセッション維持

ファイアウォール負荷分散構成では同じセッションに属するパケットが全て同じファイアウォールを通じて送信されなければなりませ

ん。ファイアウォールはセッションの状態情報を使ってパケットフィルタリングを実行するため、現在の状態に合わないパケットが受信

される場合には不正なパケットと見なして廃棄するようになります。したがって、ファイアウォールの両側に位置するPAS-Kによって同

一セッションのパケットが異なるファイアウォールに送信されれば、セッションが正常に維持できません。これを防止するために、PAS-Kはファイアウォール負荷分散が適用された外部PAS-Kと内部PAS-Kで送受信されるパケットの経路を記憶し、経路を持続的に維持

できるようにするセッション維持機能をサポートします。

VPN負荷分散のセッション維持

VPN負荷分散構成では支店ネットワークの全てのホストは一つのゲートウェイを通じてトンネリング（tunneling）を形成するので、サ

ブネット単位に同一セキュリティチャンネル（secure channel）を使用しなければなりません。このために内部PAS-Kで支店ネットワー

クを一つのVPNクライアント群として登録し、セキュリティチャンネルの持続性を維持させるセッション維持機能をサポートします。

キャッシュサーバ負荷分散のセッション維持

キャッシュサーバ負荷分散構成では一般的に各々のサーバがコンテンツを独立に保存しています。キャッシュサーバは自分が持っ

ていないコンテンツをクライアントからリクエスト受ける場合、ウェブサーバから該当コンテンツを受信し、これをクライアントにまた送

信する動作を実行します。しかし、このような場合には全体的なウェブアプリケーションの性能が低下される可能性があります。した

がって、セッション維持機能をキャッシュサーバ負荷分散構成に適用すれば、実サーバのキャッシュ効率が高くなりウェブアプリケー

ションの性能が向上されます。


220

セッション維持機能の種類 PAS-Kはセッション維持のために使用する値の種類によって、次のような4種類のセッション維持機能を提供します。

• IP のセッション維持

• HTTP クッキーのセッション維持

• セッション ID のセッション維持

• SSL セッション ID のセッション維持

IPのセッション維持機能は全ての負荷分散で使用することができ、HTTPクッキーのセッション維持機能はL7負荷分散で使われます。

また、HTTPクッキーのセッション維持機能は負荷分散対象アプリケーションがHTTPの場合にのみ使用できます。各種類のセッショ

ン維持について詳しく説明します。また、セッションIDのセッション維持とSSLセッションIDのセッション維持はアドバンスト負荷分散で

のみ使用することができます。

IPのセッション維持 IPのセッション維持機能はL4負荷分散とL7負荷分散で使用できるセッション維持機能で、クライアントのIPアドレスを使って実サーバ

を選択する方式です。したがって、IPのセッション維持機能を使えば、送信IPアドレスが同じTCPセッションはいつも同じ実サーバに

接続されます。PAS-Kでは設定されたセッション維持時間の間送信IPアドレスと実サーバ間のマッピング情報が維持されるので、こ

の間に同じ送信IPアドレスを持つリクエストが入って来れば以前に接続された実サーバに送ります。

IPアドレスを通じてクライアントを区分しにくい次のような状況でIPのセッション維持機能を適用すれば問題が発生することがあります。

• 複数のクライアントが同じ IP アドレスを使う場合

主にファイアウォールの後ろにいる複数のクライアントが同じプロキシサーバを通じてウェブサイトに接続する場合です。このような場合、

アプリケーションの動作には問題がありませんが、同じプロキシサーバを使うクライアントが同じ実サーバに接続されるので、負荷分散が

スムーズに行われにくいです。

• 一人のクライアントが複数の IP アドレスを使う場合

NAT 環境や無線インターネット環境で発生する場合です。このような場合に IP のセッション維持機能を使えばアプリケーションが正常に

動作できません。

HTTPクッキーのセッション維持 HTTPクッキーのセッション維持はクライアントとサーバ間にやり取りするクッキー情報を使って実サーバを選択する方式です。前述

のIPのセッション維持機能を適用しにくい二つの状況にこの方式を使えば、問題なくセッション維持を提供することができます。

クッキー概要

クッキーはHTTPサーバとクライアント間の状態情報を交換するために使われ、一般的にサーバとクライアント間のクッキー送受信処

理は次の通りです。

[図 - 一般的なクッキーの送受信処理]

クライアント

4. クッキー値によってHTTPリクエスト処理

1. HTTPリクエスト送信

2, HTTPレスポンス送信


クッキー

クッキー

221


1. クライアントでクッキーを含まないHTTPリクエストを送ります。

2. サーバがレスポンスする時にSet-Cookieヘッダを用いてクライアントが保存するクッキーを伝逹します。

3. クライアントはサーバから受けたクッキーを保存し、同じサーバに接続する時にHTTPリクエストヘッダのCookieフィールドに入れ

て送ります。

4. サーバはHTTPリクエストヘッダにあるクッキー値によってHTTPリクエストを処理します。

サーバがクライアントにSet-Cookieフィールドを送る時にクッキーが消滅する日付と時間を決めることができますが、この時間が経て

ばクライアントに保存されたクッキーは消滅して、これ以上HTTPリクエストヘッダに含まれません。このように消滅時間が表示された

クッキーをパーマネントクッキーといい、消滅時間が省略されたクッキーをテンポラリクッキーといいます。テンポラリクッキーはウェブ

ブラウザーが終了する時に削除されます。

HTTPクッキーのセッション維持動作方式

HTTPクッキーのセッション維持はクライアントとサーバ間に送信されるクッキーを応用して、クライアントが初めて実サーバに接続し

た時に実サーバに対する情報をクッキーに記録します。その後、クライアントが送るHTTPリクエストには実サーバに対する情報の記

録されたクッキーが入っているので、クッキーを通じて該当クライアントが以前に接続された実サーバを知ることができます。

例えば、クライアントからグループ「CGI」に属してIPアドレスが192.168.1.1である実サーバにHTTPリクエストを送れば、実サーバは

HTTPレスポンスヘッダに次のようなSet-Cookieフィールドを含ませて送ります。

Set-Cookie: PiolinkCGI=c0a80101; path=/

このようなクッキーを受信したクライアントは、その後HTTPリクエストを送る時にヘッダのCookieフィールドに次のような値を挿入しま

す。

Cookie: PiolinkCGI=c0a80101

HTTPクッキーのセッション維持機能がイネーブルされている負荷分散サービスからこのようなHTTPリクエストを受信すれば、負荷

分散方式を通じて実サーバを選択する代わりにIPアドレスが192.168.1.1である実サーバをすぐに選択します。

HTTPクッキーのセッション維持モード

HTTPクッキーのセッション維持機能はSet-Cookie値を記録する対象によって、passive、Insert、Rewrite、Hashの4種類のモードに

分けられます。Hashモードは残り3つのモードと違い、実サーバがセッション別に付与したクッキーをセッション維持機能で提供します。

この場合はサーバが付与したcookie値と以前に接続された実サーバ、すなわちそのcookie値を付与したサーバをmappingする情報

をPAS-Kで設定された時間維持するようになります。L7負荷分散ではグループ別にセッション維持方式を設定することができます。

各モードについて説明します。

passive モード

passiveモードではパーマネントクッキーを実サーバが記録します。passiveモードに設定されたグループに属する実サーバは「Piolink＜グループ名＞」を名前にして、それぞれのIPアドレスをクッキー値にするパーマネントクッキーをSet-Cookieフィールドに含ませて

HTTPレスポンスを送ります。このモードではSet-Cookieフィールドを実サーバが記録するため、実サーバの設定によってテンポラリ

クッキーやパーマネントクッキーをともに使用できます。

passiveモードでクッキーが送信される過程は次の通りです。

1. クライアントがクッキーの含まれていないHTTPリクエストを送ります。

2. L7負荷分散サービスで負荷分散方式を通じて実サーバを選択し、実サーバにHTTPリクエストを伝逹します。

3. 実サーバはHTTPレスポンスヘッダにパーマネントクッキーを挿入して送ります。

4. PAS-Kは実サーバが送ったHTTPレスポンスをクライアントに送ります。これを受信したクライアントはパーマネントクッキーを保

存します。

5. クライアントは次回のHTTPリクエスト時に保存しておいたパーマネントクッキーをヘッダに含ませて送ります。

6. L7負荷分散サービスはHTTPリクエストに含まれたパーマネントクッキーに基づいて以前に接続した実サーバを選択します。


222

下記はpassiveモードでクッキーの動作を示す図です。

[図 - passiveモードでのクッキー伝達過程]

passiveモードは実サーバがクッキーを送信することでPAS-Kの負荷を減らしてくれますが、各実サーバでHTTPレスポンスにSet-Cookieヘッダを追加する設定を全て異なるように設定しなければなりません。

参考： Apache系列のウェブサーバで全てのHTTPレスポンスにSet-Cookieヘッダを追加するためには、httpd.confファイルに下記を追加し

なければなりません。 Header add Set-Cookie CookieName=value...

Insert モード

InsertモードではPAS-Kが実サーバのHTTPレスポンスヘッダを操作してSet-Cookieフィールドを追加します。Insertモードを使う場合

にはクッキーの制限時間を設定することができます。制限時間を設定すれば現在の時刻に制限時間だけを加えた時刻がクッキーの

有効期限になります。制限時間を設定しなければ、Set-Cookieフィールドに有効期限が省略されてテンポラリクッキーとして動作しま

す。

Insertモードでクッキーが送信される過程は次の通りです。

1. クライアントがクッキーの含まれないHTTPリクエストを送ります。


3. 実サーバはクッキーに対する操作なしにHTTPレスポンスを送ります。

4. PAS-KでHTTPレスポンスのヘッダにパーマネントクッキーを挿入して送り、これを受信したクライアントはパーマネントクッキーを

保存します。



クライアント

サーバ

PAS-K


3. HTTPレスポンス送信

4. HTTPレスポンス送信 2. HTTPリクエスト送信



クッキー

クッキー

クッキー

223


下記はInsertモードでクッキーの動作を示す図です。

[図 - Insertモードでのクッキー伝達過程]

Insertモードは実サーバでSet-Cookieヘッダを追加しないために必要な設定作業をする必要がありませんが、PAS-Kの負荷が増加

します。

Rewrite モード

RewriteモードはpassiveモードとInsertモードの中間タイプで、実サーバではパーマネントクッキーの器を用意し、実際のクッキー値

はPAS-Kが挿入する方式です。セッション維持機能がRewriteモードに設定されたグループに属する実サーバは、「Piolink＜グルー

プ名＞」を名前にして55個の「0」で構成されたクッキー値をSet-Cookieフィールドに含ませなければなりません。次はグループ名が

「CGI」であるグループに属する実サーバがRewriteモードでSet-Cookieフィールドに含ませるクッキー値です。

Set-Cookie: PiolinkCGI=00000000000000000000000000000000000000000000000000

PAS-Kは上のようなクッキー値が満たされたHTTPレスポンスをサーバから受信すれば、クッキー値を変更した後にクライアントに送

ります。RewriteモードはInsertモードと同様に、クッキーの制限時間を設定することができます。制限時間を設定すれば現在の時刻

に制限時間だけを加えた時刻がクッキーの有効期限になります。制限時間を設定しなければ、Set-Cookieフィールドに有効期限が

省略されてテンポラリクッキーとして動作します。

Rewriteモードでクッキーが伝達する過程は次の通りです。

1. クライアントがクッキーの含まれないHTTPリクエストを送ります。


3. 実サーバはクッキー値として55個の「0」を入れたものをHTTPレスポンスに送ります。

4. PAS-KでHTTPレスポンスのヘッダにパーマネントクッキーを挿入して送り、これを受信したクライアントはパーマネントクッキーを

保存します。



Rewriteモードでは同じグループの実サーバで記録するクッキー値が等しいので、各実サーバでHTTPレスポンスにSet-Cookieヘッ

ダを追加する設定を全て同じように設定することができます。また、PAS-Kの負荷もInsertモードよりは減らすことができます。

サーバ






クライアント

PAS-K

クッキー

クッキー



224

Hash モード

前述したpassive、Insert、Rewriteモードでは、接続された実サーバの情報を「PAS-K＜グループ名＞」の名前を持つパーマネントク

ッキーに記録してHTTPレスポンスに含ませて送ります。Hashモードではこのようなパーマネントクッキーの代わりにセッション管理の

ために実サーバに任意に付与される「セッションクッキー」がHTTPレスポンスに含まれます。セッションクッキーを受信したクライアン

トは、その後、HTTPリクエストを再び送る時にセッションクッキーを含ませてHTTPリクエストを送ります。

PAS-KはHTTPリクエストに含まれているセッションクッキーを見ただけでは実サーバを知ることができないので、実サーバでセッショ

ンクッキーをHTTPレスポンスに含ませて送れば、実サーバとセッションクッキーのマッピング情報を保存しておきます。このマッピン

グ情報を使って、クライアントが送ったHTTPリクエストのセッションクッキーを通じて以前に接続した実サーバが選択できるようになり

ます。

次はHashモードでセッションクッキーの処理とクライアントとPAS-K、実サーバの動作です。

1. クライアントはクッキーの含まれないHTTPリクエストを送ります。


3. 実サーバはセッションクッキーを挿入したHTTPレスポンスを送ります。

4. PAS-Kはセッションクッキーと実サーバのマッピング情報を保存して、HTTPレスポンスをクライアントに送ります。これを受信した

クライアントはセッションクッキーを保存します。

6. クライアントは次回のHTTPリクエスト時に保存しておいたセッションクッキーをヘッダに含ませて送ります。

7. L7負荷分散サービスはHTTPリクエストに含まれたセッションクッキーに基づいて以前に接続した実サーバを選択します。

PAS-Kではマッピング情報を保存する時（4番の過程）、HTTPレスポンスに含まれたセッションクッキー全体を保存することもでき、一

部だけを保存することもできます。クッキーの一部だけを保存する場合には、保存する部分に対するオフセット（offset）と長さを設定し

ます。そして、セッションクッキーと実サーバのマッピング情報を維持する制限時間を設定し、制限時間が経過すれば該当マッピング

情報がPAS-Kから削除されるようにすることもできます。このような制限時間とオフセット、長さを適用するセッションクッキーは一つだ

け設定することもでき、セッションクッキーの名前の後ろに「*」を付けて特定の名前で始まる複数のセッションクッキーに適用すること

もできます。

例えば、クッキー名をASPSESSIONID*で設定してオフセットを9、長さを8、制限時間を3日に設定した時、次のようなSet-Cookieフィ

ールドが含まれたHTTPレスポンスが実サーバから受信されれば、PAS-Kは下線を引いた部分だけを保存して、その後クライアント

が送ったHTTPリクエストのクッキー値を比べる時に使われます。

Set-Cookie: ASPSESSIONIDQQQQGCBK=GKEIJFEDIOGLELEDCBFOHBDD

225


セッションIDのセッション維持セッションIDのセッション維持はアドバンストL7負荷分散サービスでのみ使用できるセッション維持機能として、ウェブアプリケーション

のセッションIDを使用して実サーバを割り当てる方式です。セッションIDはウェブアプリケーションがサーバとクライアント間のセッショ

ンを維持するためレスポンスパケットをクッキーまたはURLに挿入する値として、クライアントのウェブブラウザーごとに固有な値を付

与することによりセッションを区分します。 PAS-KでセッションIDのセッション維持機能を使用するためには、実サーバのウェブアプリケーションで使用するセッションID名をセッ

ションキーとして設定しなければいけません。ウェブアプリケーションによってセッションID名が異なり、一般的に使用されるウェブアプ

リケーションのセッションID名は下記の通りです。以外のウェブアプリケーションを使用する場合には、セッションID名を正確に確認し

て設定します。

ウェブアプリケーションセッションID名

PHP PHPSESSID

JSP JSESSIONID

ASP ASPSESSIONID

ASP.NET ASP.NET_SessionId

セッションIDのセッション維持機能の動作は下記の通りです。

1. クライアントからHTTPリクエストを送ります。

2. アドバンストL7負荷分散サービスで負荷分散方式を通じて実サーバを選択し、セッション維持エントリーを生成した後に実サー

バにHTTPリクエストを伝達します。

3. 実サーバのウェブアプリケーションはセッションIDを含まれたHTTPレスポンスを送ります。

4. PAS-KはHTTPレスポンスパケットに含まれたセッションIDと実サーバのマッピング情報を保存し、HTTPレスポンスパケットをク

ライアントに送ります。

5. クライアントはセッションIDを保存し、HTTPリクエストがある時にセッションIDが含まれたHTTPリクエストを送ります。

6. アドバンストL7負荷分散サービスはPAS-Kに保存しておいたセッションIDと実サーバのマッピング情報に基づいて、以前に選

択された実サーバにHTTPリクエストを伝達します。 PAS-Kに保存されたセッションIDと実サーバのマッピング情報は設定したセッション維持エントリーの維持時間の間のみに維持し、以

後には削除されます。


226

SSLセッションIDのセッション維持 SSLセッションIDのセッション維持はSSLセッションID情報を用いて、クライアントを区分します。SSLセッションIDはクライアントのIPアドレスと無関係な値なので、HTTPクッキーのセッション維持と同様にクライアントのIPアドレスが変わる場合にも適用することができ

ます。

SSL（Secure Socket Layer）はTCP/IPとアプリケーションプロトコルの間に位置して、サーバとクライアント間の通信で盗聴やデー

タの偽造などを防止し、個人のプライバシーとセキュリティを提供するプロトコルです。SSLはパスワード化されたHTTPセッションを通

じる電子決済のようなアプリケーションに主に使われます。

SSLはクライアントとサーバ間にSSLを通じて暗号化されたデータを交換する前に、暗号化方式を選択してキーを交換するハンドシェ

イク過程を経ます。PASはハンドシェイク過程で送信されるhelloパケットに含まれたSSLセッションIDを使って、同じSSLセッションIDを持つTCP接続を同じ実サーバに送ることができます。このために、PASはクライアントが送ったhelloパケットに対するレスポンスを

実サーバが送る時にレスポンスに含まれたSSLセッションIDを実サーバとマッピングさせて保存しておきます。その後、クライアントで

SSLセッションIDが含まれたhelloパケットを送れば、SSLセッションIDを参考にしてマッピングされた実サーバを選択します。マッピン

グ情報は設定された制限時間の間だけPASで維持し、それ以後は削除されます。

SSLセッションIDのセッション維持機能が動作する過程は次の通りです。

1. クライアントでセッションIDが含まれないSSLクライアントhelloパケットを送ります。

2. L7負荷分散サービスで負荷分散方式を通じて実サーバを選択し、SSLクライアントはhelloパケットを実サーバに伝逹します。

3. 実サーバはSSLサーバhelloパケットに特定セッションIDを挿入した後、クライアントに送ります。

4. PASはSSLサーバhelloパケットに含まれたセッションIDと実サーバのマッピング情報を保存し、SSLサーバhelloパケットをクライ

アントに送ります。

5. SSLサーバhelloパケットを受信したクライアントはセッションIDを保存します。

6. その後、クライアントは同じセッションIDを含めた後、クライアントhelloパケットを送ります。

7. L7負荷分散サービスはPASに保存しておいたセッションIDと実サーバとのマッピング情報を利用して、以前に接続した実サーバ

を選択します。

実サーバによってSSLセッションIDが付与された後にクライアントと追加的なキー交換が必要ではないので、SSLセッションIDを使っ

て実サーバを選択すれば実サーバの負荷を減らし、効率的なSSLトランザクションを実行することができます。

227


アプリケーションアクセラレータウェブを通じて提供されるサービスとコンテンツが増加することによりネットワーク帯域幅及びサーバの性能向上が要求されています。

しかし、ネットワーク帯域幅及びサーバの性能向上には多くの費用が必要です。PAS-Kはこのような問題を解決するためにアプリケ

ーションアクセラレータ（Application Accelerator）機能を提供します。アプリケーションアクセラレータ機能を使用するとウェブサーバ

がウェブレスポンス以外に実行する付加的な作業の代わりに実行してサーバのリソースを減らすことによりサーバの性能及びレスポ

ンス速度を向上させます。 PAS-Kは下記のようなアプリケーションアクセラレータ機能を提供します。

HTTP 圧縮

キャッシング

SSL アクセラレータ

HTTP圧縮 HTTP圧縮（HTTP Compression）はHTTPデータを圧縮して送信することにより帯域幅を節減し、送信が遅くなることを最小化する

機能です。ウェブサーバが直接にHTTP圧縮を実行する場合にはウェブサーバのCPUとメモリなどのハードウェアリソースに負荷が

発生する問題があります。PAS-Kはウェブサーバの代わりにHTTP圧縮を実行してサーバの負荷を減らす役割をします。HTTP圧縮

に使用される圧縮アルゴリズムにはGzip、Deflateがあり、PAS-Kは2つのアルゴリズムを全てサポートします。次はHTTP圧縮が実行される過程です。クライアントはウェブブラウザーがサポートする圧縮アルゴリズムをAccept-Encodingヘッダに表示してHTTPリクエストを送信しま

す。

PAS-Kはクライアントが送信したHTTPリクエストをアドバンストL7負荷分散サービスを通じてサーバを選択し、該当サーバHTTPリクエストを送信します。

ウェブサーバはHTTPリクエストに対するレスポンスをPAS-Kに送信します。

PAS-KはHTTPレスポンスを圧縮し、圧縮アルゴリズムをContent-Encodingヘッダに表示してクライアントに送信します。

クライアントのウェブブラウザは受信したHTTPレスポンスの圧縮を解除して出力します。

クライアント

サーバ

PAS-K

HTTPリクエストの送信


圧縮したHTTPリクエスト


圧縮されたHTTPリクエストの復旧


228

HTTP圧縮を実行するためには下記の項目を設定しなければいけません。圧縮コンテンツのタイプ

デフォルトで圧縮アルゴリズムは全てのコンテンツタイプを圧縮することができます。しかし、すでに圧縮されたファイルか圧縮ア

ルゴリズムが適用されたJPEGファイルなどの場合には圧縮効果が少ないためハードウェアリソースの負荷のみ増加する問題が

あります。PAS-Kはこの問題を防止するためデフォルトで「text/html」コンテンツに対して圧縮を実行し、追加で圧縮を実行するコ

ンテンツをMIME Typeで設定することができます。圧縮レベル

圧縮レベルというのは圧縮率を意味します。レベルが高いほどパケットのサイズは小さくなりますが、ハードウェアの負荷と圧縮

を実行する時間が増加してレスポンス時間が遅くなります。圧縮を行なうデータの最小長さ

圧縮を行うと一定長さ以上の圧縮結果ファイルが生成されます。従って、圧縮した後のデータの長さが長くなる可能性があります。

PAS-Kは圧縮を行うデータの最小長さを設定して不要なハードウェアリソースの使用とネットワーク帯域幅のむだつかいを防止し

ます。

229


キャッシング（Caching）キャッシングは度々リクエストされるコンテンツをPAS-Kが保存して同一コンテンツのリクエストに対して代わりにレスポンスする機能

です。キャッシング機能を使用するとLANゾーンでのトラフィックとサーバのハードウェア負荷を減らして、クライアントへのレスポンス

速度を向上させることができます。 PAS-Kは特定コンテンツのみ保存して運用するキャッシュサーバとは異なり、多くリクエストされるコンテンツのみを自動で保存しクラ

イアントにレスポンスします。PAS-Kでキャッシング機能を使用するためには下記の項目を設定しなければなりません。キャッシュサイズ

キャッシング機能で使用するメモリサイズを設定します。16MB、64MB、256MBの中で選択できます。キャッシュ開始リクエスト数

キャッシング機能を実行する基準となるリクエスト数を設定します。特定コンテンツに対するリクエストが設定したキャッシュ開始リ

クエスト数の以上になると該当コンテンツを保存しクライアントにレスポンスします。キャッシュ満了時間

キャッシングされたコンテンツに対する有効時間を設定します。最大65，535秒まで設定でき、時間が経過されると該当コンテン

ツは削除されます。以後にキャッシュ開始リクエスト数により該当コンテンツのキャッシングが再び実行されます。キャッシュサポートのリクエスト方式

PAS-KはデフォルトでGETとHEADリクエスト方式のみキャッシュ機能をサポートします。POSTリクエスト方式にキャッシング機

能を使用するためには該当リクエスト方式を追加で設定しなければなりません。キャッシュ無視ヘッダ

クライアントはExpiresとCache-Controlヘッダを使用してコンテンツをサーバで直接にレスポンスすることができます。このような

リクエストを受信した場合、ヘッダを無視してキャッシング機能を実行するかの可否を設定します。2つのヘッダを全て無視するか、

特定ヘッダのみ無視することができます。


230

SSLアクセラレータ（SSL Acceleration） SSL（Secure Sockets Layer）は、TCPの上位のトランスポート層でサーバとクライアントが盗聴（Eavesdropping）、フィッシング（Phishing）、中間者攻撃（Man-in-the-middle attack）などの脅威から安全にデータを送受信するために使うプロトコルです。 SSLを使用するとサーバとクライアント間に暗号化/復号化したデータを送信するためセキュリティは高めることができますが、暗号化/復号化を実行するためサーバの負荷が増加し、クライアントのレスポンス待機時間が延びることになります。また複数のサーバがあ

る場合にはSSL設定も秘密鍵と証明書を全てのサーバに登録して管理しなければならない煩わしさがあります。 PAS-Kはこのような問題を解決するためにSSLアクセラレータ機能を提供します。SSLアクセラレータはPAS-Kがサーバの代わりにSSL通信を提供して、暗号化/復号化を実行する際にサーバの負荷を減らすことができます。また、SSLのための設定、秘密鍵と証明

書をPAS-Kのみに登録して簡単で効率に管理することができます。

SSLアクセラレータ機能を使用するとクライアントとPAS-KはHTTPS通信を、サーバとPAS-KはHTTP通信を行います。次はSSLアクセラレータ機能が実行される過程です。クライアントはウェブブラウザを通じてHTTPSリクエストを送信します。

PAS-Kはクライアントが送信したHTTPSリクエストをアドバンストL7負荷分散サービスを通じてサーバを選択し、該当サーバHTTPリクエストを送信します。

ウェブサーバはHTTPリクエストに対するレスポンスをPAS-Kに送信します。

PAS-KはHTTPレスポンスをHTTSに変換してクライアントに送信します。

クライアント

サーバ

PAS-K

HTTPSリクエストの送信

HTTPレスポンスの送信

HTTPSレスポンスの送信 HTTPリクエストの送信

サーバクライアント PAS-K

HTTPS通信 (暗号化された通

HTTP通信 (非暗号化通信)

231


バックエンドバックエンドは下図のようにPAS-Kの間にも暗号化されたHTTPSトラフィックを送信する機能です。

SSL機能は一般的にクライアントと通信する際にのみトラフィックHTTPSに暗号化し、サーバとはHTTPトラフィックを送受信します。

ほとんどの場合にはクライアントのトラフィックが攻撃の対象になるし、サーバとの通信にもトラフィックをHTTPSに暗号化するとパフ

ォーマンスが低くなるためです。しかし、もうSSL機能を使用している「クライアント－サーバ」の環境でPAS-KのSSL機能に代替する場合、バックエンド機能をイネー

ブルするとサーバの設定を変更する必要がないため便利です。バックエンド機能を使用しない場合、クライアントとPAS-K間にはHTTPSトラフィックが、PAS-Kとサーバ間にはHTTPトラフィックが送

受信されます。

参考：バックエンド機能はアドバンストL7サーバ負荷分散サービスでのみ使用することができます。

データはサーバとクライアントの間でSSL機能を適用します。クライアントが送信したSSLデータ（SSL機能によって暗号化されたデー

タ）を受信して平文のデータ（暗号化されないデータ）に変換した後、これを使ってクライアントが要求したウェブページを探します。そ

して、このウェブページをSSLデータで暗号化してクライアントへレスポンスします。クライアントと暗号化されたデータを送受信するために、PASはクライアントと接続する際に登録された証明書と秘密鍵を使ってSSL接続準備処理（SSL ハンドシェイク）を経ます。この処理を通じてクライアントを信頼できるかを確認して、データの暗号化時使うキー

を生成します。 PASにSSL機能が動作してもサーバに送信されるデータは暗号化されないため、L7負荷分散機能を同時に使えます。PASのアクセ

ラレータを追加で購入した場合、SSLに必要なトラフィック処理作業をアクセラレータで全て実行するため、 SSL通信処理によるCPUの負荷がなく、負荷分散等の既存の機能への処理性能に影響を与えません。

サーバ

HTTPS通信 (暗号化された通信)

バックエンド機能

PAS-K クライアント


サーバ


PAS-K クライアント

HTTP通信 (非暗号化通信)


232

秘密鍵と証明書 SSL秘密鍵と証明書はサーバとクライアントのSSL接続準備処理に使うためであり、秘密鍵は送受信するデータを暗号化する際に

使用し、証明書はクライアントがサーバの身元を確認する際に使います。秘密鍵は既に使っている鍵をそのまま使うこともでき、PAS-Kで生成することもできます。証明書は認証機関から発行を受けなけれ

ばなりません。認証機関から証明書を発行を受けるためにはCSR（Certificate Signing Request）というCSRを認証機関に送信しな

ければなりません。CSRはPAS-Kで生成できます。生成した秘密鍵と認証機関から発行を受ける証明書はSSL機能を使う前にPAS-Kに登録しなければなりません。PAS-Kは登録され

た秘密鍵と証明書を使ってクライアントとのSSLセッションを確立します。

参考：認証機関はデジタル証明書を発行・取消し及び更新する機関です。有名な認証機関としては VeriSign, GeoTrust, Comodo などが

あります。

参考： CSRは認証機関から発行を受ける公認証明書の代わりに内部で使える独自証明書（Self-Signed Certificate）で使われます。独自

証明書はテスト用だけに使うことをお進めます。

プロファイルプロファイルはSSL機能を使うために必要な証明書と秘密鍵について情報を持っている設定です。なお、プロファイルではHSTS（HTTP Strict Transport Security）機能とセッション再利用（session resumption）機能の使用可否を設定することができます。

HSTS機能はクライアントがウェブブラウザを通してサーバに接続する際、HTTP接続を自動でHTTPに変更する機能です。HSTS機能を使用するとHTTPSでのみアクセスするよう強制し、セキュリティ性を強化することができます。HSTSはIETE標準プロトコルであ

りRFC6797に定義されています。

セッション再利用機能はクライアントが同サーバで再接続する場合、以前のアクセス時に使用した情報を活用してアクセス準備過程

を簡略化する機能です。セッション再利用機能を使用するためには、繰り返すSSLアクセス準備過程（handhsaking）を省略しPAS-Kの負荷を減らすことができますが、セキュリティ性が劣ります。

参考: HSTS機能は下記のウェブブラウザのバージョン以上でサポートしています。

Internet Explorer 11 Chrome 4.0 Firefox 4.0 Opera 12 Safari 7

SSL SNI（Server Name Indication） PAS-Kは1つのIPアドレスで複数のドメインと証明書を使用する場合、クライアントがリクエストしたURLにより負荷分散サービスを選

択し、該当負荷分散サービスに設定されている証明書を使用するSSL SNI機能をサポートします。この機能は同一な仮想IPアドレス

とポートを使用するアドバンストL7サーバ負荷分散サービスが複数である場合、自動で動作します。クライアントがドメインではなくIPアドレスに接続する場合には優先順位が高いアドバンストL7サーバ負荷分散サービスを適用します。

SSLプロキシサービス SSL機能を使えばクライアントとサーバ間に送受信するデータのセキュリティを維持することはできますが、SSLトラフィック内部に含

まれている脅威を探知したり、Ｌ7負荷分散ができないので効率的なウェブトラフィックポリシーを確立できない問題があります。このような問題点を解決するためにPAS-KはSSLプロキシ機能を提供します。SSLプロキシサービスは暗号化の可否に関係なくProxyに流入される全てのSSLトラフィックを復号化して一般TCPトラフィックでサーバに伝送します。従って、ウェブコンテンツ、ウェブア

プリケーション及びサービスに対し最適なアクセスと効率的なポリシーを適用することができ、SSLの性能はもちろんSSLトラフィック

について信頼度を高めることもできます。 SSLプロキシサービスは該当SSLプロキシサービスが使うプロファイルとサービスの優先順位で構成されます。優先順位は一つのセ

ッションに複数のサービス（負荷分散など）が適用される場合、どんなサービスを先に適用するか決定する際に使われます。もし、サ

ービスの優先順位が全て同じの場合はL4負荷分散 → SSLプロキシ → L7負荷分散の順番にサービスが適用されます。

233


フィルター PAS-KのSSLプロキシサービスはL4、L7負荷分散サービスと同じく「フィルター」を使ってサービスを適用したり、適用しないトラフィッ

クを区分することができます。フィルターは送信元・宛先IPアドレスと送信元・宛先ポート番号を使って設定することができます。PAS-Kに設定できるSSLプロキシサービスのフィルター個数は最大2,048個です。

NAT設定 PAS-KはSSLプロキシサービスを通じて送られるSSLトラフィックを特定のネットワークに送信するようにルールを設定できます。NATルールには該当宛先のIPアドレスとポート番号を設定します。NAT設定をL4、L7サーバ負荷分散サービスと連動して使う場合は宛

先アドレスを負荷分散サービスの仮想IPアドレスと仮想ポート番号に設定します。そうすれば、SSLトラフィックはSSLプロキシサービ

スを経て復号化された後、同じPAS-KのL4あるいはL7サーバ負荷分散サービスが適用されます。一般的にHTTPSトラフィックとSMTPSトラフィックを押す受信する場合は443、465ポートを使用し、HTTPとSMTPは80、25ポートを

使用します。従って、殆どの場合、SSLトラフィックの宛先ポートをNATしなければなりません。

PAS-K

NAT機能


HTTPS(443ポート) SMTPS(465ポート)

HTTP(80ポート) SMTP(25ポート)


234

障害監視の設定本節では負荷分散サービスに登録された実サーバの障害監視を設定する方法について説明します。

CLIでの設定次は負荷分散サービスに使う障害監視を設定する方法です。最大256種の障害監視機能を設定することができます。続けて別の障

害監視機能を追加するためには、次の過程を同様に繰り返します。

参考：障害監視の種類によって設定しなければならない項目が異なるので、ここでは全ての種類の障害監視で共通的に設定しなければな

らない項目だけを説明します。各種類の障害監視ごと別に設定する値は次の節で説明します。


1 health-check <ID> ＜設定モード＞で＜Health-Check設定モード＞に移動します。 • <ID> 設定範囲： 1 ~ 256

2

type {act | arp | dhcp | dns | http | icmp | inact | internal | link | ntp | radius-acct | radius-auth | script | snmp | ssl | tcp | tftp | udp}

障害監視の種類を選択します。（デフォルト：icmp）

• act ：いつも障害監視に成功したと判断 • inact ：いつも障害監視に失敗したと判断

参考: 設定した障害監視の種類によって、追加で必要な設定作業を実行

します。

3 port <PORT> 障害監視パケット（HCパケット）を送る時に使うポート番号を設定します。 • <PORT> 設定範囲： 0 ~ 65,535 （デフォルト： 0）

4 timeout <TIMEOUT>

サーバの障害可否を判断するタイムアウト値を設定します。サーバで障害監視

パケットを送った後、設定されたタイムアウトが経過するまでサーバからレスポン

スがない場合にはサーバに障害が発生したと判断します。 • <TIMEOUT> 設定範囲： 0 ~ 10（秒）（デフォルト： 3 秒）

5 interval <INTERVAL>

障害監視パケットをサーバに送る周期を設定します。 • <INTERVAL> 設定範囲： 1 ~ 60（秒）（デフォルト： 5 秒）

参考: 障害監視パケットの送信周期が短いほどサーバの障害可否を正

確に把握することができますが、障害監視パケットとレスポンスパケットが

ネットワークの負荷になることがあるので、ネットワーク状態によって適切

な値に設定するようにします。

6 retry <RETRY> 障害監視パケットのリトライ回数を設定します。 • <RETRY> 設定範囲： 0 ~ 5（回）（デフォルト： 3 回）

7 recover <RECOVER>

サーバが再び復旧されたのか判断するために追加で障害監視パケットを送る回

数を設定します。障害が発生したサーバにこのコマンドで設定した回数だけ障害

監視パケットを送った後、レスポンスが継続して受信されれば該当サーバが正

常に復旧したと判断します。 • <RECOVER> 設定範囲： 0 ~ 5（回）（デフォルト： 0 回）

8 sip <SIP> (選択設定)

障害監視パケットの送信元アドレスとして使われるIPアドレスを設定します。（こ

の値は一般的な負荷分散サービスでは設定する必要がありません。障害監視

パケットの送信アドレスとして特定のアドレスを使わなければならない場合にだ

け設定します。）

9 tip <TIP> (選択設定)

障害監視パケットの宛先アドレスとして使われるIPアドレスを設定します。（この

値は一般的な負荷分散サービスでは設定する必要がなく、特別な構成でのみ設

定します。例えば、仮想IPアドレスで障害監視パケットを送らなければならない

DSR（Direct Server Return）のような構成では、このコマンドを用いて送信する

障害監視パケットの宛先IPアドレスを仮想IPアドレスに設定しなければなりませ

ん。）


障害監視機能の使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない

235


11 current 障害監視の設定情報を確認します。

12 apply 障害監視設定を保存し、システムに適用します。

参考：定義した障害監視を削除するためには、＜設定モード＞で次のコマンドを使用します。 (config)# no health-check <ID>

参考：設定した障害監視種類によりオプション値を削除するかデフォルトに戻すためには＜Health-check設定モード＞でno <オプション>コマンドを使用します。次はunexpectオプション値を削除する場合の例です。

(config-health-check[1])# no unexpect

HTTP障害監視

障害監視方式を「http」と設定した場合には、次のようなオプションを設定します。

コマンド説明

uri <string> (必須設定)

実サーバへリクエストするURIを設定します。

host <HOST>

HTTPリクエストヘッダのHostフィールドに挿入する文字列を設定します。設定しない場合、PAS-Kが代わりにして実サーバのIPアドレスをHostフィールドに挿入します。 • <HOST>

PAS-K が HTTP リクエストヘッダの Host フィールドに挿入する文字列を入力。一般的にはサ

ーバのドメイン名を設定

user-agent <USER-AGENT> HTTPリクエストヘッダのUser-Agentフィールドに入力する文字列を設定します。

status-code <STATUS-CODE>

実サーバから受信を期待するHTTPレスポンス状態コードを設定します。 • <STATUS-CODE>

HTTP 状態コードの種類を入力（100-101, 200-206, 300-307, 400-417, 500-505 範囲の 3桁の正数）複数の HTTP 状態コードの追加時、空白なしに読点「,（コンマ）」で各状態コードを区分。連続する状態コードは「-（ハイフン）」を使って入力。（デフォルト： 200～204、300～303、307）

expect <EXPECT> 実サーバから受信を期待するデータを設定します。

unexpect <UNEXPECT> 実サーバから受信してはいけないデータを設定します。

content-length <CONTENT-LENGTH>

実サーバから受信するデータのサイズを設定します。設定した値と一致する場合、障害監視に失

敗したと見なします。 • <CONTENT-LENGTH> 設定範囲： 0 ~ 4, 294, 967, 295

参考： expect、unexpectの<EXPECT>、<UNEXPECT>項目にはアスキー文字列を最大128字まで設定します。文字列に改行を挿入す

るためには「¥r¥n」を入力します。

ICMP障害監視

障害監視方式を「icmp」と設定した場合には、＜Health-Check設定モード＞で、ICMPパケットの増加設定をすることができます。

コマンド説明

increase-icmp-id {enable | disable} • enable ：障害監視のために実サーバに ICMP パケットを送った後、ICMP パケ

ットの ID を増加させる。 • disable ： ICMP パケットの ID を増加させない。（デフォルト）


236

NTP障害監視

障害監視方式を「ntp」と設定した場合には、次のようなオプションを設定することができます。

コマンド説明

tolerance <TOLERANCE> 実サーバから受けた時間情報とPAS-Kの時間差の許容範囲を設定します（１秒以上で設定）。設定し

た<TOLERANCE>値以上の差がある場合には実サーバに障害が発生したと判断します。

update-delay <UPDATE-DELAY> 実サーバが時間情報をアップデートする周期を設定します（１秒以上で設定）。実サーバが時間情報

をアップデートした後に経過した時間が設定した周期より長い場合には実サーバに障害が発生したと

判断します。

SNMP障害監視

障害監視方式を「snmp」と設定した場合には、次のようなオプション項目を設定することができます。

コマンド説明

oid <OID> 実サーバからCPUとメモリ使用情報を収集するOID番号を設定します。 <OID> 数字と「.（ピリオド）」を使用して最大128文字まで設定可能

TCP障害監視

障害監視方式を「tcp」と設定した場合には、次のようなオプション項目を設定することができます。

コマンド説明

half-open {enable | disable} TCPハーフオープンオプションの使用可否を設定します。 • enable 使用する • disable 使用しない（デフォルト）

send <SEND> TCP接続が確立されれば、実サーバに送るデータを入力します。


unexpect <UNEXPECT> 実サーバから受信すればいけないデータを設定します。

参考： send、expect、unexpectに設定するオプションはデフォルトでは文字列（アスキー）でも、エスケープ（escape characters）を使って

バイナリーデータを入力することもできます。エスケープ文字の使用法は本章の障害監視 - 障害監視方法- TCP障害監視を参照して下さ

い。

参考： send、expect、unexpectの<SEND>、<EXPECT>、<UNEXPECT>項目にはアスキー文字列を最大128字まで設定します。文字列

に改行を挿入するためには「¥r¥n」を入力します。

TFTP障害監視

障害監視方式を「tftp」と設定した場合には、次のようなオプションを設定することができます。

コマンド説明

filename <FILENAME> (必須設定)

TFTPサーバに接続してエクスポートするファイル名を設定します。ファイル名の後ろに該当ファイル

の拡張子（File Extension）まで入力します。


unexpect <UNEXPECT> 実サーバから受信してはいけないデータを設定します。

参考： expect、unexpectに設定するオプションはデフォルトでは文字列（アスキー）でも、エスケープ（escape characters）を使ってバイナリ

ーデータを入力することもできます。エスケープ文字の使用法は本章の障害監視 - 障害監視方法- TCP障害監視を参照して下さい。

参考： expect、unexpectの<EXPECT>、<UNEXPECT>項目にはアスキー文字列を最大128字まで設定します。文字列に改行を挿入する

ためには「¥r¥n」を入力します。

237


UDP障害監視

障害監視方式を「udp」と設定した場合には、次のようなオプションを設定することができます。

コマンド説明

packets <PACKETS> (必須設定) 繰返して実サーバに送信するUDPパケットの数を設定します。 • <PACKETS> 設定範囲： 1 ~ 5 （デフォルト： 1）

send <SEND> UDPパケットに含まれて送信するデータを入力します。設定しない場合には、内容がないUDPパケットを送信します。


unexpect <UNEXPECT> 実サーバから受信すればいけないデータを設定します。


バイナリーデータを入力することもできます。エスケープ文字の使用法は本章の障害監視 - 障害監視方法- TCP障害監視を参照して下さ

い。

参考： send、expect、unexpectの<SEND>、<EXPECT>、<UNEXPECT>項目にはアスキー文字列を最大128字まで設定します。文字列

に改行を挿入するためには「¥r¥n」を入力します。

スクリプト障害監視

障害監視方式を「script」と設定した場合には、次のような方法で script コマンドを実行します。Script コマンドは設定したインデッ

クスにより順番通りに実行され、1つの障害監視には最大32個のスクリプト障害監視を設定することができます。

最初には実サーバとのセッションを確立するためにプロトコルとポート番号を設定します。


1 script <INDEX>

＜Health-check 設定モード＞で、スクリプトを設定するための＜Script 設定モード＞に移動し

ます。 • <INDEX> スクリプトのインデックスを設定。値が小さいほど先に実行されます。（設定範囲： 1 ~ 32）

2 command open 実サーバとデータを送受信するセッションを確立する command open コマンドをスクリプトに

追加します。

3 protocol {tcp | ucp} セッション確立時に使用するプロトコルを設定します。

4 port <PORT>

実サーバとセッションを確立する際に使用するポート番号を設定します。 • <PORT> 設定範囲： 0 ~ 65,535

参考：下記は一般的に各プロトコルで使用するポートです。ポート番号を設定する時に参

考にして下さい。

FTP : 21 HTTP : 80 IMAP : 143 POP3 : 110 SMTP : 25

5 current スクリプトの設定情報を確認します。

6 apply スクリプトの設定情報を保存し、システムに適用します。


238

2番目には実サーバに送受信するデータを設定します。複数の送受信データを設定する場合には、次の手順を繰り返します。


1 script <INDEX>



2 command {expect | expect-bin | send | send-bin}

サーバと接続されたセッションを通じてサーバにデータを送るために、send や send-bin コマ

ンドをスクリプトに追加します。また、サーバから受信するデータを設定する場合には、expect や expect-bin コマンドをスクリプトに追加します。 • expect アスキー文字列を受信

• expect-bin バイナリー文字列を受信

• send アスキー文字列を送信

• send-bin バイナリー文字列を送信

3 data <DATA>

2番で send または expect を設定した場合には、送受信するアスキー文字列をスクリプトに

追加します。 • <DATA> アスキー文字列を最大 1,024 字まで設定。文字列に改行を挿入するためには「¥r¥n」を入力。

開始部分と最後部分の文字列に引用符(”)を使用します。 2 番で send-bin または expect-bin を設定した場合には、送受信するバイナリー文字列をスク

リプトに追加します。 • <DATA> バイナリー文字列を 16 進数形式で最大 2,048 字まで設定。開始部分と最後部分の文字列に

引用符(”)を使用します。

4 command close サーバと接続されたセッション接続を終了するために、command close コマンドをスクリプトに

追加します。



最後に実サーバとのセッションを終了します。


1 script <INDEX>



2 command close 実サーバと接続されたセッション接続を終了するために、command close コマンドをスクリプト

に追加します。



参考：セッションが終了されない状態で command open コマンドを実行すると、以前に接続されたセッションが自動終了され新しいセッシ

ョンを確立します。

参考：設定したスクリプトを削除するためには、<Health-check 設定モード>で次のコマンドを使用します。 (config-health-check[1])# no script <INDEX>

239


RADIUSサーバ障害監視のための実サーバの設定

実サーバがRADIUS認証用サーバの場合または課金サーバの場合には、障害監視の方法としてRADIUS障害監視を使用すること

ができます。RADIUS障害監視のためには、障害監視の時に使用するユーザーIDとパスワード、秘密鍵をPAS‐Kに設定します。＜Health-check 設定モード＞でRADIUSサーバ障害監視のために、PAS-KがRADIUSサーバに接続するのに必要な設定は以下の通

りです。


1 radius-auth-name <RADIUS-AUTH-NAME> RADIUSサーバに接続するユーザーIDを設定します。

2 radius-auth-passwd <RADIUS-AUTH-PASSWD> RADIUSサーバに接続するパスワードを設定します。

3 radius-auth-secret <RADIUS-AUTH-SECRET> 認証用RADIUSサーバに接続する時に使う秘密鍵を設定します。

4 radius-acct-secret <RADIUS-ACCT-SECRET> 課金用RADIUSサーバに接続する時に使う秘密鍵を設定します。

SSLアドバンスト障害監視

障害監視方式を「ssl」と設定した場合には、次のようなオプションを設定することができます。

コマンド説明

version {ssl23| ssl3 | tls1}

実サーバと生成するチャンネルを設定します。 • ssl23 ：実サーバの SSL バージョンに関係なく接続する。（デフォルト） • ssl3 ：実サーバと SSL バージョン 3 あるいは TLS バージョン 1 チャンネルを生成する • tls1 ：実サーバと TLS バージョン 1 チャンネルを生成

validate {enable | disable}

証明書の有効性を検査するためには「enable」を、証明書を検査しないためには「disable」を設定します。enableを選択すれば、サーバ証明書の署名が正しいか、証明書の有効

期間が満了されていないか、信頼できる証明機関から発給受けた証明書であるかを検査

します。（デフォルト： disable）

common-name <COMMON-NAME> (validate オプションがイネーブルされている場合にだけ設定)

証明書名で確認する文字列を設定します。設定した文字列を探すことができない場合に

は障害監視に失敗したと見なします。 • <COMMON-NAME>

証明書名で確認するアスキー文字列を最大 128 字まで設定。一般的には www.piolink.com や*.piolink.com のようにドメイン名を設定

send <string> SSL接続された際に送信するデータを入力します。

expect <string> 実サーバから受信を期待するデータを設定します。

unexpect <string> 実サーバから受信すればいけないデータを設定します。


バイナリーデータを入力することもできます。エスケープ文字の使用法は本章の [障害監視 – 障害監視方法 – TCP障害監視] を参照して

ください。

参考： send、expect、unexpectの<string>項目にはアスキー文字列を最大128字まで設定します。文字列に改行を挿入するためには「¥r¥n」を入力します。

Descriptionの設定障害監視に関する説明は＜Health-check設定モード＞で次のコマンドを使用します。

コマンド説明

description <DESCRIPTION>

障害監視に関する説明を入力します。

• <DESCRIPTION> 障害監視に関する付加説明。

最大255字のアルファベット（大文字・小文字）、数字、特殊文字を使用可能


240

設定情報の表示障害監視の設定情報を確認するためには、＜管理者モード＞または＜設定モード＞で show health-check コマンドを使用します。

特定障害監視設定に対する情報を確認するためには、show health-check コマンドを共に障害監視IDを入力します。


参考: ＜管理者モード＞、＜設定モード＞で show map コマンドを使用すると、障害監視を使用するする実サーバと負荷分散サービスを

確認することができます。

241


Passive 障害の監視機能 CLIでの設定

本章ではCLIコマンドを使用したPassive障害監視を設定する方法について説明します。

Passive障害監視の設定下記はPassive障害監視を設定する方法です。PAS-Kには最大32個の障害監視を設定することができ、複数の障害監視を設定する

場合には＜設定モード＞で下記の過程を繰り返し行います。


1 passive-health-check <ID> ＜設定モード＞から＜Passive Health-Check設定モード＞に入ります。

• <ID>

Passive 障害監視 ID 設定範囲： 1 ~ 32

2 check-type {rst | zero-window}

Passive障害監視に使用するTCPパケットの種類を指定します。実サーバから該当パケットを

受信するごとに失敗(Failures)値が「1」増加します。.

• rst TCP RSTパケットを障害監視パケットに設定

• zero-window TCP Zero Windowパケットを障害監視パケットに設定

3 failures <FAILURES>

実サーバから転送する障害監視パケットの受信回数を設定します。障害監視パケットの転送

周期(Failures-interval)の間に設定した回数に到達すると、該当の実サーバがアクセス不能で

あると判断します。

• <FAILURES>

失敗値設定範囲： 1 ~ 10（回）（デフォルト： 3 回）

4 failures-interval <FAILURES-INTERVAL>

障害監視パケットがPAS-Kで受信される周期を設定します。

• <FAILURES-INTERVAL>

障害監視パケットの受信周期設定範囲： 1 ~ 3600（秒）（デフォルト： 5 秒）

5 response-time <RESPONSE-TIME>

サーバの障害可否を判断する時間を設定します。サーバに障害監視パケットを転送した後、

指定した応答時間内に応答がない場合、サーバに障害が発生しているものと判断し失敗

（Failues）値が「１」増加します。.

• <RESPONSE-TIME>

応答時間設定範囲： 0 ~ 10（秒）（デフォルト： 3 秒、ディスエーブル： 0）

6 retry-time <RETRY-TIME>

実サーバがINACTIVE状態に変更されると設定した時間の後に該当のサーバにアクセスをリ

トライします。

• <RETRY-TIME>

リトライする時間

設定範囲： 0 ~ 3600（秒）（デフォルト： 300 秒、ディスエーブル： 0）

7 check-until-up {enable | disable}

Active 障害監視と Passive 障害監視の同時使用の可否を設定します。実サーバの状態が

INAC である場合は Active 障害監視を、ACT である場合は Passive 障害監視を使用するよ

うに設定します。

• enable Active/Passive障害監視を同時使用する

• disable Active/Passive障害監視を同時使用しない（デフォルト）

参考： Check Until Up機能のイネーブル時、リトライ時間（Retry Time）を 0に設定する必要があります。


Passive 障害監視の使用可否を指定します。

• enable 使用する（デフォルト）

• disable 障使用しない

11 current Passive障害監視設定情報を確認します。

12 apply Passive障害監視設定を保存しシステムに適用します。

参考：定義したPassive障害監視を削除するためには＜設定モード＞で no passive health-check <ID> コマンドを使用します。


242

設定情報の表示 Passive障害監視の設定情報を確認するためには、＜管理者モード＞または＜設定モード＞で show passive-health-check コマンドを使用します。特定のPassive障害監視設定に対する情報を確認するためには、 show passive-healt-check コマンドの後

ろにPassive障害監視IDを入力します。

243


実サーバの設定本節では負荷分散サービスを通じてトラフィックを分散する実サーバを設定する方法について説明します。

CLIでの設定 PAS-Kには最大2,048個の実サーバを登録することができます。複数の実サーバを設定する場合には、次の手順を繰り返します。


1 real <ID> 実サーバを設定します。 • <ID> 実サーバを区分する時に使う ID （1 ~ 2048）

2 name <NAME> 実サーバの名前を設定します。 • <NAME> 英文字と数字を使って最大 32 文字まで設定、最初の文字は英文字を使用

3 rip <RIP> (必須設定)

実サーバのIPアドレスを設定します。

4 rport <RPORT> 実サーバで使うTCPポート番号を設定します。 • <RPORT> 設定範囲： 0 ~ 65,535

5 mac <MAC>

実サーバの MAC アドレスを設定します。（6 桁の 16 進数形式で入力）

参考：ファイアウォール/VPN負荷分散、L4キャッシュサーバ負荷分散、

ゲートウェイ負荷分散で、同じIPアドレスの実サーバが存在するか実サ

ーバがネットワークに接続されていない場合には必ずMACアドレスを設

定して下さい。MACアドレスを設定しないと性能が低下される問題が発

生する可能性があります。

6 interface <INTERFACE> 実サーバと接続されている VLAN インターフェースを設定します。


実サーバの優先順位を設定します。実サーバの優先順位は負荷分散方式が

「ab」である場合、実サーバを選択する基準として使用されます。優先順位の値

が高いほど優先順位が高くなります。 • <PRIORITY> 設定範囲： 0 ~ 255 （デフォルト： 0）

8 weight <WEIGHT>

実サーバの重み付けを設定します。実サーバの重み付けはサービスの負荷分

散方式がwlc(重み付け最小コネクション)やwrr(重み付けラウンドロビン)である

時に、サーバを選択する基準として使われます。 • <WEIGHT> 設定範囲： 0 ~ 100 （デフォルト： 1）

9 graceful-shutdown {enable | disable} 実サーバにグレースフルシャットダウン機能を使用するかの可否を設定します。 • enable : 使用する • disable : 使用しない（デフォルト）

10 max-connection <MAX-CONNECTION>

実サーバを通じて結ぶことができるセッション数を制限するためには、実サーバ

の最大セッション数を設定します。実サーバに結ばれたセッション数が最大セッ

ション数に到逹すれば、サービスはこれ以上該当サーバへは負荷分散をしませ

ん。「0」を設定すればセッション数を制限しません。 • <MAX-CONNECTION> 設定範囲： 0 ~ 10,000,000 （デフォルト : 0）

11

upload-bandwidth <UPLOAD-BANDWIDTH> (選択設定)

最大アップロード/最大ダウンロード帯域幅を設定します。設定した閾値を超過す

る場合、負荷分散が制限されるか設定されたバックアップサーバに負荷分散を

実行します。 <UPLOAD-BANDWIDTH> / <DOWNLOAD-BANDWIDTH> 帯域幅。設定範囲： 0 ~ 4,294,967,295(byte/sec)

download-bandwidth <DOWNLOAD-BANDWIDTH> (選択設定)

12 health-check <ID>

実サーバの障害を監視する障害監視IDを設定します。1つの実サーバには最大

32個の障害監視を設定することができます。複数の障害監視を設定する場合に

は各障害監視のIDを「、」を使って区分し、連続された障害監視のIDは「-」を使

用。

参考： 2つ以上の障害監視設定を使う場合には、それぞれの監視結果

が全て正常の場合にだけ実サーバが可用であると見なします。その中

の一つの障害監視でも結果が失敗なら、実サーバは使用できない状態


244

と判断されて負荷分散サービスから除かれます。

13 domain-filter <ID> （ゲートウェイ負荷分散サービスでドメインフィ

ルター機能の使用時に設定）

実サーバに適用するドメインフィルターのIDを指定します。 <ID>

実サーバのドメインフィルターID。ひとつの実サーバには最大2,048個のドメ

インフィルターIDを設定可能。複数のドメインフィルターを指定する場合には

各ドメインフィルターのIDを「,（コンマ）」で区切り、連続したドメインフィルター

には「-（ハイフン）」を使用

13 ~ 17番はL7負荷分散サービスに適用する実サーバのための設定です。

14 pool-size <POOL-SIZE>

実サーバ別にコネクションを保存する最大個数を設定します。実サーバに保存

されているコネクション数が最大コネクション数に達すれば、これ以上はコネクシ

ョンを再使用しません。 • <POOL-SIZE> 設定範囲： 1 ~ 65,535 （デフォルト： 10,000）

参考：本コマンドはアドバンストL7負荷分散サービスでは設定すること

ができません。

15 pool-age <POOL-AGE>

プールに保存されるコネクションの維持時間を設定します。設定した時間が過ぎ

たらコネクションは削除されます。 • <POOL-AGE> 設定範囲： 1 ~ 86,400（秒）（デフォルト： 3600 秒）



16 pool-reuse <POOL-REUSE>

プールに保存されるコネクションの再使用回数を設定します。 • <POOL-REUSE> 設定範囲： 1 ~ 65,535 （デフォルト： 100）

参考本コマンドはアドバンストL7負荷分散サービスでは設定すること


17 pool-srcmask <POOL-SRCMASK>

コネクションの再使用条件でネットマスクを使います。IPアドレスが一致すればコ

ネクションを再使用します。ネットマスクビット数が「32」であれば、IPアドレス全

体が同じである場合にコネクションを再使用し、「0」であれば全てのIPアドレスに

対して再使用します。 • <POOL-SRCMASK> 設定範囲： 0 ~ 32（ビット）（デフォルト： 32 ビット）



18 src-natip <SRC-NATIP>

遅延バインディングする時にSource NAT機能を適用するIPアドレスを設定しま

す。遅延バインディングする時にSource NAT機能を適用なしい場合にはIPアド

レスを0.0.0.0/0で設定するか、no src-natip コマンドを使います。最大64個の

Source NAT IPアドレスを設定することができます。

参考：遅延バインディングする時、Source NATを設定する場合には src-natip コマンドで使うネットマスクビット数は「28」以下に設定し、pool-srcmask コマンドで使うネットマスクビット数は必ず「0」に設定しな

ければなりません。

注意： Source NATを適用するIPアドレスは実サーバと同一IP帯域を使

用することができません。

19 backup <BACKUP>

実サーバが利用可能ではない状態(サーバがダウンしたり最大セッション数に達

している場合、あるいは実サーバとの接続が切れた場合など)になった時、代わ

りに使うバックアップサーバを設定します。同一L4負荷分散サービス内にすでに

定義された実サーバのIDを入力しなければなりません。

参考: 実サーバが複数のサービスで使用中の場合、バックアップサーバ

を設定することができません。

20 sp-filter <sp-filter>

負荷分散方式で「スタティックプロクシミティー」を使う場合には、実サーバに適

用するスタティックプロクシミティーフィルターを設定します。 • <SP-FILTER> スタティックプロクシミティーフィルターの ID（必ず既に設定されているスタティ

ックプロクシミティーフィルターの ID を入力しなければなりません。複数のフィ

ルターを設定する場合にはコンマでフィルターの ID を区分します。）

245


参考：スタティックプロクシミティーフィルターを設定する方法はスタティッ

クプロクシミティーフィルターの内容を参照してください。

参考：実サーバがグローバルサーバ負荷分散、ゲートウェイ負荷分散サ

ービスに適用された場合にだけ設定できます。


実サーバを負荷分散サービスに適用するかの可否を設定します。

• enable ：適用する（デフォルト） • disable ：適用しない

22 current 実サーバの設定情報を確認します。

23 apply 実サーバ設定を保存し、システムに適用します。

参考：定義した実サーバを削除するためには、＜設定モード＞で次のコマンドを使用します。 (config)# no real <ID>

NATのルール設定ゲートウェイ負荷分散サービスを適用する実サーバはプライベートIPアドレスとパブリックIPアドレスを変換するNATのルールを定義

しなければなりません。NATのルールのタイプには Source NATとOne-to-One NATがあります。1つの実サーバには最大16個の

NARルールを登録することができます。複数のNARルールを設定する場合には、次の手順を繰り返します。


1 nat <ID> ＜Real 設定モード＞から＜NAT 設定モード＞に移動します。 • <ID>

NAT ルールを区分する時に使う ID （1 ~ 16）

2 type {one-to-one-nat | source-nat}

NAT のルールのタイプを設定します。（デフォルト： source-nat）


NATのルールの優先順位を設定します。優先順位はNATのルールをトラフィックに適用す

る順序を決める時に使用されます。優先順位値が小さいほど優先順位は高くなります。 • <PRIORITY> 設定範囲：1 ~ 256 （デフォルト： 1）

4 ~ 9番は2番で設定したNATルールのタイプにより設定過程が異なります。NATルールのタイプにより下記の過程を設定した後、10 ~ 12番を実行します。

Source NAT： 4 ~ 7番

One-to-One NAT： 8 ~ 9番

4 sip <SIP> (Source NATの場合にのみ設定)

特定ネットワークから送信されたトラフィックだけにNATのルールを適用するためには、該当

送信元ネットワークを設定します。既存設定された送信元条件を削除するためには、

0.0.0.0/0を入力します。送信元条件を削除すると、NATのルールはトラフィックの送信元に

かかわらずに適用されます。

5 dip <DIP> (Source NATの場合にのみ設定)

特定ネットワークに向けるトラフィックだけにNATのルールを適用するためには、該当宛先

ネットワークを設定します。既存設定された宛先の条件を削除するためには、0.0.0.0/0を入

力します。宛先の条件を削除すればNATのルールはトラフィックの宛先にかかわらずに適

用されます。

6 protocol {icmp | tcp | udp | all} (Source NATの場合にのみ設定)

特定プロトコルのトラフィックだけにNATのルールを適用するためには、該当プロトコルを設

定します。ICMPパケットだけにNATのルールを適用しようとする場合には「icmp」を、TCPパケットやUDPパケットだけに適用する場合にはそれぞれ「tcp」、「udp」を設定します。既

存設定されたプロトコル条件を削除するためには「all」を設定します。プロトコル条件を削除

すると、NATのルールはどのようなプロトコルのトラフィックなのかにかかわらずに適用され

ます。

7 natip <NATIP> (Source NATの場合にのみ設定)

4～6番で設定した条件を満足するトラフィックの送信元アドレスに変換するNAT IPアドレス

を設定します。複数のNAT IPアドレスが保存されている場合、送信元IPアドレスによって任

意のNAT IPアドレスが選択されます。 <NATIP> NAT IPアドレス最大16個設定可能。複数のNAT IPアドレスを設定する場合には各ア

ドレスを「,（コンマ）」で区切る。

参考：設定したNAT IPアドレスを削除するためには、＜NAT設定モード＞

で no natip <NATIP> コマンドを使用します。


246

8 external-ip <EXTERNAL-IP> (One-to-One NATの場合にのみ

設定)

外部から受信されたトラフィックの中でNATのルールを適用するトラフィックの宛先IPアドレ

ス(パブリックIPアドレス)を設定します。このIPアドレスはNATのルールを定義する実サーバと

接続されたルーターに割り当てられたアドレスでなければなりません。

9 internal-ip <INTERNAL-IP> (One-to-One NATの場合にのみ

設定)

8番で設定したパブリックIPアドレスを変換する時に使用するプライベートIPアドレスを設定

します。このIPアドレスはPAS-Kに接続されたプライベートネットワークのIP帯域でなければ

なりません。


NATルールの使用可否を設定します。

• enable ：使用する（デフォルト） • disable ：使用しない

11 current NATルールの設定情報を確認します。

12 apply 定義したNATルールを保存し、システムに適用します。

参考：定義したNATルールをを削除するためには、＜Real 設定モード＞で次のコマンドを使用します。 (config-real[1])# no nat <ID>

設定情報の表示実サーバの設定情報を確認するためには、＜管理者モード＞または＜設定モード＞で show real コマンドを使用します。特定実

サーバに関する設定情報を確認するためには、show real nat コマンドとともに実サーバのIDを入力します。

＜Real 設定モード＞で show nat コマンドを実行すると、現在定義されているNATのルールリストを表示することができます。特

定NATのルールに関する詳細な情報を確認するためには、show nat コマンドとともにNATのルールのIDを入力します。



参考：＜管理者モード＞または＜設定モード＞で show map コマンドを使用すると、実サーバを使用する負荷分散サービスを確認するこ

とができます。

247


負荷分散の一定管理負荷分散の一定管理機能では、設定した時間に負荷分散サービスの状態を変更することができます。本節ではCLIでL4負荷分散サ

ービスの一定サービスを設定する方法について説明します。

CLIでの設定 PAS-Kには最大32個の負荷分散日程を設定できます。複数の負荷分散日程を設定する場合には＜設定モード＞で次の過程を繰り

返し行います。

参考：負荷分散一定設定の際、月、日、曜日、時、分の設定値を入力しない場合は全体時間を意味します。例えば、月（Month）項目を入

力しなければ1月から12月の全体に適用され、曜日（Week）項目を入力しなければ月曜日から日曜日までの全体に適用されます。

参考：負荷分散の一定管理の設定時、連続した時間を設定する場合は「-（ハイフン）」を使用します。例えば、月（Month）項目を1月から11月

まで設定する場合、「1-11」と入力します。ただし、曜日（Week）項目には「-（ハイフン）」を使用することはできず、「,（コンマ）」を使用し複数の

曜日を選択することができます。


1 schedule-manager <ID> 負荷分散の日程を定義し、＜Schedule Manager設定モード＞に入ります。

• <ID>

負荷分散の日程 ID 設定範囲： 1 ~ 32

2 month <MONTH> 負荷分散日程に適用する「月（Month）」を設定します。

<MONTH>

「月」を数字で入力設定範囲： 1 ~ 12

3 day <DAY> 負荷分散日程に適用する「日（Day）」を設定します。

• <DAY>

「日」を数字で入力設定範囲： 1 ~ 31

4 week {mon | tue | wed | thu | fri | sat | sun}

負荷分散日程に適用する曜日を設定します。

mon 月曜日

tue 火曜日

wed 水曜日

thu 木曜日

fri 金曜日

sat 土曜日

sun 日曜日

5 hour <HOUR> 負荷分散日程に適用する「時（Hour）」を設定します。

• <HOUR> 「時」を数字で入力設定範囲： 1 ~ 24（時間）

6 minute <MINUTE> 負荷分散日程に適用する「分（Minute）」を設定します。

<MINUTE> 「分」を数字で入力設定範囲： 1 ~ 60（分）

7 service-type {cslb | fwlb | gslb | gwlb | slb}

負荷分散サービスのタイプを設定します。

cslb キャッシュサーバ負荷分散

fwlb ファイアウォール負荷分散

gslb グローバルサーバ負荷分散

gwlb ゲートウェイ負荷分散

slb L4 サーバ負荷分散（デフォルト）

8 service-name <SERVICE-NAME>

設定した負荷分散サービスのうち一定管理機能を適用するサービスの名前を指

定します。

<SERVICE-NAME>

負荷分散サービスの名前

9 service-status {enable | disable}

負荷分散一定管理機能を通して適用するサービス状態を設定します。

enable

サービス状態をイネーブル（デフォルト）

disable

サービス状態をディスエーブル

10 status {enable | disable} 負荷分散一定管理機能の使用可否を設定します。

enable


248

負荷分散日程管理機能を使用する

disable

負荷分散一定管理機能を使用しない（デフォルト）

11 current 負荷分散一定管理機能の設定情報を確認します。

12 apply 負荷分散一定管理機能の設定を保存してシステムに適用します。

参考：定義した負荷分散一定管理機能を削除するためには＜設定モード＞で no schedule-manager <ID> コマンドを使用します。

参考：設定したオプション値を削除またはデフォルトに戻すためには、＜Schedule Manager設定モード＞で次のように no <オプション名

> を使用します。下記はmonthオプションの入力値を削除する例です。 (config-schedule-manager[1]) # no month

249


スタティックプロクシミティーフィルターゲートウェイ負荷分散サービスとグローバルサーバ負荷分散サービスでは負荷分散方式で「スタティックプロクシミティー（Static Proximity）」を選択することができます。スタティックプロクシミティーを選択した場合には、この方式で使うフィルターを定義しなければ

なりません。複数のフィルターを定義した場合にはフィルターグループで結んで設定することができます。フィルターは各負荷分散サ

ービス別に設定しなく、複数の負荷分散サービスで共用に使用することができます。

CLIでの設定本節ではCLIコマンドを用いてスタティックプロクシミティーフィルターを設定する方法について説明します。

スタティックプロクシミティーフィルター設定スタティックプロクシミティーフィルターを設定する方法は以下の通りです。PAS-Kにはスタティックプロクシミティーフィルターを最大2,048個まで定義することができます。複数のタティックプロクシミティーフィルターを設定する場合には、次の手順を繰り返します。


1 sp-filter <ID>

＜SP 設定モード＞に移動します。スタティックプロクシミティーフィルターを生成します。 • <ID> スタティックプロクシミティーフィルターを区分する時に使用する ID 設定範囲： 1 ~ 2,048

2 sip <SIP> フィルタリング条件に使う送信元IPアドレスとネットマスクビット数を設定します。

3 current スタティックプロクシミティーフィルターの設定情報を確認します。

4 apply スタティックプロクシミティーフィルター設定を保存し、システムに適用します。

参考：設定したスタティックプロクシミティーフィルターを削除するためには、＜設定モード＞で no sp-filter <ID> コマンドを使用します。

参考：設定したスタティックプロクシミティーフィルターを確認するためには、＜設定モード＞で show filter [<ID>] コマンドを使用します。


250

スタティックプロクシミティーフィルターグループ設定スタティックプロクシミティーフィルターグループを設定すると複数のフィルターを1つのフィルターであるかのように使用することができ

ます。スタティックプロクシミティーフィルターグループを設定する方法は以下の通りです。PAS-Kにはスタティックプロクシミティーフィ

ルターグループを最大128個まで定義することができます。複数のタティックプロクシミティーフィルターグループを設定する場合には、

次の手順を繰り返します。

注意：スタティックプロクシミティーフィルターグループはスタティックプロクシミティーフィルターが追加されている場合にのみ設定



1 sp-filter-group <ID>

＜SP グループ設定モード＞に移動します。スタティックプロクシミティーフィルターグループを生成します。 • <ID> スタティックプロクシミティーフィルターグループを区分する時に使用する ID 設定範囲： 1 ~ 128

2 sp-filter <SP-FILTER>

グループに含ませるスタティックプロクシミティーフィルターを設定します。 • <SP-FILTER> スタティックプロクシミティーフィルターを区分する時に使用する ID。複数のスタティックプロク

シミティーフィルターの追加時、空白なしに「,（コンマ）」で各スタティックプロクシミティーフィル

ターを区分。連続するスタティックプロクシミティーフィルターは「-（ハイフン）」を使って入力

3 current スタティックプロクシミティーフィルターグループの設定情報を確認します。

4 apply スタティックプロクシミティーフィルターグループ設定を保存し、システムに適用します。

参考：設定したスタティックプロクシミティーフィルターグループを削除するためには、＜設定モード＞で no filter-group <ID> コマンドを使

用します。

参考：設定したスタティックプロクシミティーフィルターグループを確認するためには、＜設定モード＞で show filter-group [<ID>] コマンド

を用います。

251


アプリケーションアクセラレータの設定 HTTP圧縮の設定

本節ではアドバンストL7負荷分散サービスで使用するHTTP圧縮機能を設定する方法について説明します。

CLIでの設定 PAS-Kには最大256個のHTTP圧縮機能を登録することができます。複数のHTTP圧縮機能を設定する場合には、次の手順を繰り

返します。


1 layer7 compression <ID> HTTP圧縮機能を定義します。 • <ID> 設定範囲： 1 ~ 256

2 level <LEVEL>

圧縮レベルを設定します。レベルが低いほど圧縮率は減ってレスポンス速度は速く

なります。 • <LEVEL> 設定範囲： 1 ~ 9 デフォルト： 1

3 min-length <MIN-LENGTH> 圧縮を実行するパケットの最小長さを設定します。 • <MIN-LENGTH> 設定範囲： 0 ~ 4,294,967,295 デフォルト： 0

4 content-type <CONTENT-TYPE>

圧縮するコンテンツタイプを設定します。 • <COTENT-TYPE> 圧縮するコンテンツを MIME Type で設定。複数のコンテンツタイプを設定する場

合には各コンテンツタイプをを「,（コンマ）」を使って区分。

5 status {enable | disable} HTTP 圧縮機能の使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない

6 current HTTP圧縮機能の設定情報を確認します。

7 apply 定義したHTTP圧縮機能を保存し、システムに適用します。

参考：設定したHTTP圧縮機能を削除するためには、＜設定モード＞で次のコマンドを使用します。

(config)# no layer7 compression <ID>

設定情報の表示

HTTP圧縮機能の設定情報を確認するためには、＜管理者モード＞または＜設定モード＞で show layer7 compression [<ID>] コマンドを使用します。




252

キャッシングの設定本節ではアドバンストL7負荷分散サービスで使用するキャッシング機能を設定する方法について説明します。

CLIでの設定 PAS-Kには最大256個のキャッシング機能を登録することができます。複数のキャッシング機能を設定する場合には、次の手順を繰

り返します。


1 layer7 cache <ID> キャッシング機能を定義します。 • <ID> 設定範囲： 1 ~ 256

2 size {16m | 64m | 256m} キャッシュサイズを設定します。（単位：MB） • <LEVEL> 設定範囲： 16m、64m、256m （デフォルト： 16m）

3 max-age <MAX-AGE> キャッシュ満了時間を設定します。 • <MAX-AGE> 設定範囲： 0 ~ 65535（秒）

4 min-use <MIN-USE> キャッシュ開始リクエスト数を設定します。 • <MIN-USE> 設定範囲： 1 ~ 65,535 （デフォルト： 1）

5 ignore-heaader {both | cache-control | expires | none}

キャッシュ無視ヘッダを設定します。 • both

Expire、Cache-Contol ヘッダを全て無視 • cache-control

Cache-Contol ヘッダのみ無視 • expires

Expires ヘッダのみ無視 • none 該当リクエストに対してキャッシングを実行しない（デフォルト）

6 method POST (選択設定)

POSTリクエスト方式に対してキャッシングを実行します。

7 status {enable | disable} キャッシング機能の使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない

8 current キャッシング機能の設定情報を確認します。

9 apply 定義したキャッシング機能を保存し、システムに適用します。

参考：設定したキャッシング機能を削除するためには、＜設定モード＞で次のコマンドを使用します。

(config)# no layer7 cache <ID>


キャッシング機能の設定情報を確認するためには、＜管理者モード＞または＜設定モード＞で show layer7 cache [<ID>] コマ




253


SSLアクセラレータの設定本節ではアドバンストL7負荷分散サービスで使用するSSLアクセラレータ機能を設定する方法について説明します。

CLIでの設定 PAS-Kに SSLアクセラレータ機能を設定する過程は次の通りです。

1. 秘密鍵の設定

2. CSRの設定

3. 証明書の設定

4. クライアント証明書の設定

5. プロファイルの生成

各段階別設定方法を順に説明します。

秘密鍵の設定秘密鍵の生成

SSL機能を実行するために必要な秘密鍵を生成するためには、＜設定モード＞で、次の手順を繰り返します。


1 ssl key <NAME>

＜SSL Key設定モード＞に移動します。 • <NAME> 秘密鍵名。英文字と数字、「-（ハイフン）」、「_（アンダーバー）」を使って最大 196文字まで設定。最初の文字は必ず英文字を使用。

2 mode generate 秘密鍵を生成するモードを、新しい秘密鍵を生成する generate に設定します。

3 type rsa 秘密鍵の種類を設定します。

4 key-length {1024 | 2048 | 4096}

秘密鍵のサイズを設定します。設定できる秘密鍵のサイズは1024bits、2048bits、

4096bitsがあります。秘密鍵のサイズが大きいほど暗号化の強度、セキュリティ性

は高くなりますが、性能は低くなりますのでネットワーククライアント、サーバの特性

などを考慮して適切なサイズに設定してください。（デフォルト：1024bits）

5 encryption {aes128 | aes196 | aes256 | des | des3 | no}

秘密鍵を暗号化する方式を設定します。暗号化しない場合は no に設定します。

（デフォルト： no)

注意：暗号化していない秘密鍵が流出すると証明書が偽装される可能性

があるので、暗号化することをお勧めします。

6 passphrase 暗号化する際に使うパスワードを入力します。Passpharseの入力後、[Enter]キー

を押すとパスワード設定メッセージが表示されます。パスワードはアルファベット、

数字、特殊文字を使用し5 ~ 20字で設定します。

7 current 秘密鍵の設定情報を確認します。

8 apply 秘密鍵ファイルを生成します。

参考：秘密鍵を削除するためには、＜設定モード＞で no ssl key <NAME> コマンドを使用します。


254

秘密鍵のインポート

認証機関から発行受けた秘密鍵をPAS-Kに登録するためには、秘密鍵ファイルをTFTPサーバにコピーした後、＜設定モード＞で次

の過程を実行します。


1 ssl key <NAME>

＜SSL Key設定モード＞に移動します。 • <NAME> 秘密鍵の名前。英文字と数字、「-（ハイフン）」、「_（アンダーバー）」を使っ

て最大 196 文字まで設定。最初の文字は必ず英文字を使用。

2 mode import 秘密鍵の生成モードをインポートした秘密鍵を登録する import に設定し

ます。

3 import-path <IMPORT-PATH>

TFTPサーバにコピーしておいた秘密鍵をPAS-Kにインポートします。 • <IMPORT-PATH>

TFTP サーバの IP アドレスとファイル名を<SERVER-IP>:<FILE-NAME>の形式で入力。

4 passphrase 暗号化する際に使うパスワードを入力します。Passpharseの入力後、[Enter]キーを押すと暗号設定メッセージが表示されます。暗号はアルファベッ

ト、数字、特殊文字を使用し5 ~ 20字で設定します。

5 current インポートした秘密鍵ファイルを確認します。

6 apply インポートした秘密鍵をPAS-Kに保存して登録します。

秘密鍵のエクスポート

PAS-Kに登録された秘密鍵はTFTPサーバに送信することができます。内部で使用する複数の装置間に同じ秘密鍵を使用する場合

には、秘密鍵をTFTPサーバを通じてユーザーPCにインポートして複数の装置に適用することができます。PAS-Kに登録された秘密

鍵をTFTPサーバにエクスポートするためには、＜設定モード＞次の過程を実行します。


1 ssl key <NAME>

＜SSL Key設定モード＞に移動します。 • <NAME> 秘密鍵の名前。英文字と数字、「-（ハイフン）」、「_（アンダーバー）」を使っ

て最大 196 文字まで設定。最初の文字は必ず英文字を使用。

2 export <SERVER-IP> <FILE-NAME>

PAS-Kに保存されている秘密鍵をTFTPサーバにエクスポートします。 • <SERVER-IP>

TFTPサーバのIPアドレス • <FILE-NAME>

TFTPサーバに保存する際に使用するファイル名

255


CSRの設定 CSRの生成

認証機関に証明書を申し込む場合は認証機関に証明書発行依頼であるCSRを生成しなければなりません。CSRを生成するために

は、＜Certificate 設定モード＞で次の過程を実行します。


1 ssl certificate <NAME>

＜Certificate 設定モード＞に移動します。 • <NAME> 秘密鍵の名前。英文字と数字、「-（ハイフン）」、「_（アンダーバー）」を使って最大

192 文字まで設定。最初の文字は必ず英文字を使用。

2 mode generate CSRの生成モードを新しいCSRを生成する generate に設定します。

3 cname <CNAME>

証明書に入力する名前を設定します。 • <CNAME> 一般的に www.piolink.co.jp や *.piolink.co.jp のようなドメイン名前を証明書の名

前で設定します。接続しようとするドメイン名前が証明書の名前と違う場合はウェ

ブブラウザでフィッシングだと疑い警告メッセージを表示するので正確なドメイン名

前を入力。設定範囲： 0 ~ 64 字

参考：ワイルドカード(*)が含まれたドメインに対した証明書の発行について

は認証機関ごとに違うので、先に認証機関にお問い合わせしてください。

4 country <COUNTRY> 証明書に入力する国名を設定します。 • <COUNTRY> 該当国の 2 桁（2-byte）の文字コードを入力（デフォルト： KR）

5 state <STATE> 証明書に入力する都道府県名を設定します。設定範囲： 0 ~ 16字（デフォルト： Seoul）

6 locality <LOCALITY> 証明書に入力する市区町村名を設定します

設定範囲： 0 ~ 32字（デフォルト： None）

7 organization <ORGANIZATION> 証明書に入力する組織名を設定します。設定範囲： 0 ~ 64字（デフォルト： None）

8 organization-unit <ORGANIZATION_UNIT>

証明書に入力する部門名を設定します。設定範囲： 0 ~ 32字（デフォルト： None）

9 email <EMAIL> ウェブマスタまたはシステム管理者のEメールアドレスを設定します。設定範囲： 0 ~ 64字（デフォルト： None）

10 expiration <EXPIRATION> 申し込む証明書の有効期間を入力します。 • <EXPIRATION> 当設定範囲： 1 ~ 10,000 （デフォルト： 365 日）

11 key <KEY> CSRに含む秘密鍵を設定します。 • <NAME> 秘密鍵の名前設定範囲： 5 ~ 20字

12 passphrase 暗号化の際に使用する暗号を入力します。passphrace入力後、エンターキーを押

すと暗号設定メッセージが表示されます。暗号はアルファベット、数字、特殊文字を

使用し5 ~ 20字で設定できます。

13 current 設定したCSRの設定情報を確認します。

14 apply 設定したCSRを生成します。

参考：生成したCSRは独自署名証明書として使うこともできます。独自署名証明書は認証機関から発行された公認証明書の代わりに内部

でテストや他の用途で使えます。CSRを独自署名証明書で使うために別途作業する必要はありません。

参考：生成したCSRを削除するためには、＜設定モード＞で no ssl certificate <NAME> コマンドを使用します。


256

http://www.piolink.com/

CSRのエクスポート

CSRをTFTPサーバにエクスポートするためには、＜設定モード＞で次の過程を実行します。



＜Certificate 設定モード＞に移動します。 • <NAME> 秘密鍵の名前。英文字と数字、「-（ハイフン）」、「_（アンダーバー）」を使

って最大 253 文字まで設定。最初の文字は必ず英文字を使用。

2 export-csr <SERVER-IP> <FILE-NAME>

PAS-Kに保存されているCSRTFTPサーバにエクスポートします。 • <SERVER-IP>



証明書の設定証明書のインポート

認証機関から発行受けた証明書をPAS-Kに登録するためには、証明書ファイルをTFTPサーバにコピーした後、＜設定モード＞で次

の過程を実行します。



＜Certificate 設定モード＞に移動します。 • <NAME> 秘密鍵の名前。英文字と数字、「-（ハイフン）」、「_（アンダーバー）」を使

って最大 253 文字まで設定。最初の文字は必ず英文字を使用。

2 mode import 証明書の生成モードをインポートした証明書を登録する import に設定し

ます。

3 import-path <IMPORT-PATH>

TFTPサーバにコピーしておいた証明書をPAS-Kにインポートします。 • <IMPORT-PATH>

TFTPサーバのIPアドレスとファイル名を<SERVER-IP>:<FILE-NAME>の形式で入力。

4 key <KEY> 証明書に含む秘密鍵を設定します。 • <KEY> 秘密鍵の名前

5 current インポートした証明書ファイルを確認します。

6 apply インポートした証明書をPAS-Kに保存して登録します。

参考：証明書を削除するためには、＜設定モード＞で no ssl certificate <NAME> コマンドを使用します。

証明書のエクスポート

PAS-Kに登録された証明書をTFTPサーバにエクスポートするためには、＜設定モード＞次の過程を実行します。



＜Certificate 設定モード＞に移動します。 • <NAME> 秘密鍵の名前。英文字と数字、「-（ハイフン）」、「_（アンダーバー）」文字

を使って最大 253 文字まで設定。最初の文字は必ず英文字を使用。

2 export-crt <SERVER-IP> <FILE-NAME>

PAS-Kに保存されている証明書をTFTPサーバにエクスポートします。 • <SERVER-IP>



257


統合認証書のエクスポート秘密鍵と認証書を統合しTFTPサーバにアップデートするためには、＜設定モード＞で次の過程を実行します。


1 ssl certificate <NAME> ＜Certificate設定モード＞に入ります。

• <NAME>

認証書名

2 {export-pem | export-pfx} <SERVER-IP> <FILE-NAME>

PAS-Kに保存されている秘密鍵と認証書をTFTPサーバにアップロードします。

• export-pem

PEM認証書と秘密鍵を統合しTFTPサーバにアップロード

• export-pfx

PFX(PKCS#12) 認証書と秘密鍵を合わせるとて総合しTFTPサーバでアップロ

ード

• <SERVER-IP> TFTPサーバIPアドレス

• <FILE-NAME> TFTPサーバに保存する際に使用するファイル名

クライアント証明書の設定クライアント証明書のインポート

クライアント証明書を検証するためには、PAS-Kにクライアント証明書を登録しなければいけません。PAS-Kには最大256個のクライ

アント証明書を登録することができます。複数のクライアント証明書を生成する場合には、次の手順を繰り返します。


1 ssl client-authentication <ID> ＜クライアント証明書設定モード＞に移動します。 • <ID> クライアント証明書のID 設定範囲： 1 ~ 256

2 mode {ignore | mandatory}

SSL接続準備処理でクライアントが証明書を送信しない場合の対応方法を設定しま

す。 • ignore 証明書がクライアントのレスポンスに含まれていない場合にも、SSL接続準備処理

を行います。 • mandatory 証明書がクライアントのレスポンスに含まれていない場合、セッションを終了しま

す。（デフォルト）

3 verify-depth <VERIFY-DEPTH> CAの証明書検証段階を設定します。 • <VERIFY-DEPTH> 設定範囲： 1 ~ 16 （デフォルト： 1）

4 import-crl <IMPORT>

TFTPサーバにコピーしておいた証明書キャンセルリスト(Certification Revocation List)をPAS-Kにインポートします。 • <IMPORT>

TFTP サーバの IP アドレスとファイル名を<SERVER-IP>:<FILE-NAME>の形式

で入力。

5 import-crt <IMPORT>

TFTPサーバにコピーしておいた証明書をPAS-Kにインポートします。 • <IMPORT>

TFTP サーバの IP アドレスとファイル名を<SERVER-IP>:<FILE-NAME>の形式

で入力。

6 current インポートしたクライアント証明書ファイルを確認します。

7 apply インポートしたクライアント証明書をPAS-Kに保存して登録します。

参考：クライアント証明書を削除するためには、＜設定モード＞で no ssl client-authentication <ID> コマンドを使用します。


258

証明書のエクスポート

クライアント証明書をTFTPサーバにエクスポートするためには、＜設定モード＞次の過程を実行します。

プロファイルの生成

SSLアクセラレータ機能を使用するためにはプロファイルを生成しなければなりません。PAS-Kには最大256個のプロファイルを登録

することができます。複数のプロファイルを生成する場合には、次の手順を繰り返します。


1 ssl profile <ID> ＜Profile 設定モード＞に移動します。 • <ID> プロファイルの ID 設定範囲： 1 ~ 256

2 certificate <CERTIFICATE> プロファイルで使う証明書の名前を設定します。

3 hsts max-age <MAX-AGE>

HSTS機能の維持時間を設定します。

• <MAX-AGE> HSTS維持時間

設定範囲： 1 ~ 31,536,000（秒）（デフォルト： 31,536,000秒（=365日））

4 hsts subdomain {enable | disable} サブドメインの適用可否を指定します。 • enable ：適用する • disable ：適用しない（デフォルト）

5 hsts status {enable | disable} HSTS機能の使用可否を指定します。 • enable ：使用する • disable ：使用しない（デフォルト）

6 session-resumption pool-size <POOL-SIZE>

SSLセッション再利用のために保存するプールサイズ（SSLセッション数）を設定し

ます。0に設定した場合はシステムのメモリが許容するまでの最大のSSLセッション

情報を保存します。 • <POOL-SIZE> 設定範囲： 1 ~ 65,535 （デフォルト： 30,000）

7 session-resumption timeout <TIMEOUT>

再利用のために保存するSSLセッション情報の有効時間を設定します。有効時間

が過ぎたSSLセッション情報はプールから削除されます。 • <TIMEOUT> 設定範囲： 1 ~ 3,600（秒）（デフォルト：30 秒）

8 session-resumption status {enable | disable}

SSLセッション再利用機能の使用可否を設定します。 • enable ：使用する • disable ：使用しない（デフォルト）

9 ciphers <CIPHERS> SSL アクセラレータ機能でサポートするパスワードアルゴリズムを設定します。 • <CIPHERS> パスワードアルゴリズムを入力。複数のパスワードアルゴリズムを設定する場合


1 ssl client-authentication <ID> ＜クライアント証明書設定モード＞に移動します。 • <ID> クライアント証明書のID 設定範囲： 1 ~ 256

2 export-crl <SERVER-IP> <FILE-NAME>

PAS-Kに保存されている証明書キャンセルリスト（Certification Revocation List）をTFTPサーバにエクスポートします。 <SERVER-IP>

TFTPサーバのIPアドレス <FILE-NAME>


3 export-crt <SERVER-IP> <FILE-NAME>

PAS-Kに保存されているクライアント証明書をTFTPサーバにエクスポート

します。 <SERVER-IP>

TFTPサーバのIPアドレス <FILE-NAME>


259


にはコンマで区分サポートアルゴリズム：AES128-SHA、AES256-SHA、DES-CBC-SHA、DES-CBC3-SHA、EXP-DES-CBC-SHA、RC4-SHA、RC4-MD5、DHE-RSA-AES128-SHA、DHE-RSA-AES256-SHA、EDH-RSA-DES-CBC-SHA、EDH-RSA-DES-CBC3-SHA、EXP-EDH-RSA-DES-CBC-SHA、EXP-RC2-CBC-MD5、AES128-SHA256、AES256-SHA256、DHE-RSA-AES128-SHA256、DHE-RSA-AES256-SHA256 デフォルト： ALL:!ADH:!EXPORT:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2

参考： Alias（別称）機能を利用して暗号アルゴリズムリストを便利に設定することができ

ます。暗号アルゴリズムリストについてのAliasは下記のOpenSSLウェブページをご参考

ください。

(https://www.openssl.org/docs/manmaster/apps/ciphers.html の <CIPHER

STRINGS>)

10 prefer-server-cipher {enable | disable}

PAS-K が選好するパスワードアルゴリズムを優先的に使用する prefer server cipher オプションの使用可否を設定します。 • enable ：使用する • disable ：使用しない（デフォルト）

11 cipher-protocols <CIPHER-PROTOCOLs>

SSL アクセラレータ機能でサポートするパスワードプロトコルを設定します。 • <CIPHER-PROTOCOLS> パスワードプロトコルを入力。複数のパスワードプロトコルを設定する場合にはコ

ンマで区分サポートプロトコル：SSLv3、TLSv1、TLSv1.1、TLSv1.2 デフォルト：TLSv1,TLSv1.1

注意： SSL 3.0プロトコルの場合、独自のセキュリティ脆弱性（CVE-2014-3566）が存在するため必ず必要な場合にのみ設定してください。

12 client-authentication <CLIENT-AUTHENTICATION>

検証するクライアント証明書を設定します。 • <CLIENT-AUTHENTICATION> クライアント証明書の ID

13 current プロファイル設定情報を確認します。

14 apply プロファイル設定をシステムに適用します。

参考：暗号アルゴリズム設定の際、セキュリティ優先暗号アルゴリズムと性能優先アルゴリズムについてキーワードを提供します。

セキュリティ優先暗号アルゴリズム

コマンド適用されるアルゴリズム

ciphers @PFS HIGH:!aNULL:!EXPORT:!SSLv2:!MD5:ECDH:DHE:!AECDH

性能優先暗号アルゴリズム

コマンド適用されるアルゴリズム

ciphers @SPEED

AES128-SHA:AES256-SHA:DES-CBC-SHA:DES-CBC3-SHA:RC4-SHA:RC4-MD5:D

HE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:EDH-RSA-DES-CBC-SHA:EDH-RSA

-DES-CBC3-SHA:AES128-SHA256:AES256-SHA256:DHE-RSA-AES128-SHA256:D

HE-RSA-AES256-SHA256:!SSLv2

参考：設定したプロファイルを削除するためには、＜設定モード＞で no ssl profile <ID> コマンドを使用します。


260

https://www.openssl.org/docs/manmaster/apps/ciphers.html

SSLプロキシの設定

SSLプロキシサービスを設定するためには、＜設定モード＞で、次の手順を繰り返します。


1 ssl proxy <NAME> ＜SSLProxy 設定モード＞に移動します。 • <NAME>

SSLプロキシサービス名を入力

2 profile <PROFILE> SSLプロキシサービスを適用するプロファイルを設定します。 • <PROFILE> プロファイル名

3 priority <PRIORITY> SSLプロキシサービスの優先順位を設定します。 • <PRIORITY> 設定範囲 : 1 ~ 256 （デフォルト : 100）

4 ip-version {ipv4 | ipv6} SSLプロキシサービスのネットワークタイプを設定します。（デフォルト： IPv4）

SSLプロキシサービスが適用されるパケットにNATルールを適用するためには、5 ~ 9番を実行します。

5 dest type {advl4slb | advl7slb | ip-port | port | real}

SSLプロキシサービスを通して接続するHTTP宛先タイプを指定します。 • advl4slb アドバンストL4負荷分散サービス • advl7slb アドバンストL7負荷分散サービス • ip-port NATするIPアドレスとポートを直接設定 • port 要請したサーバのポート番号 • real 失敗サーバ

6 dest id <ID> (宛先タイプがrealの場合のみ)

SSLプロキシサ^ビスを適用する実サーバのIDを指定します。 • <ID> 実サーバのID

7 dest ip <IP> (宛先タイプがip-portの場合のみ)

宛先のIPアドレスを指定します。 • <IP> 宛先IPアドレス

8 dest port <PORT> (宛先タイプがip-portの場合のみ)

宛先のポート番号を指定します。 • <PORT> 宛先ポート番号設定範囲： 1 ~ 65,535 （デフォルト： 80）

9 dest name <NAME> (宛先タイプがadvl4slbまたはadvl7slbの場合のみ)

SSLプロキシサービスに適用するサービス名を指定します。 • <NAME> サービスの名前

10 status {enable | disable} SSLプロキシサービスの使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない

11 current SSLプロキシサービスの設定情報を確認します。

12 apply SSLプロキシサービスを保存してPAS-Kに適用します。

261


フィルターの設定フィルターを使ってSSLプロキシサービスを適用するか適用しないかトラフィックを区分する場合には、＜設定モード＞で、次の手順を

実行します。SSLプロキシサービスには最大2,048個のフィルターを登録することができます。複数のフィルタイーを設定する場合に

は、次の手順を繰り返します。


1 ssl proxy <NAME> ＜SSLProxy 設定モード＞に移動します。 • <name>

SSLプロキシサービス名

2 filter <ID> ＜SSLProxy 設定モード＞から＜Filter 設定モード＞に移動します。 • <ID> フィルターのID 設定範囲： 1 ~ 2,048

下記の3 ~ 6番はフィルターにパケットを比較する条件を追加する処理で、選択で実行できます。つまり、フィルターに含ませようとする条

件だけを選択して追加します。送信元IPアドレス 3番段階宛先IPアドレス 4番段階送信元ポート番号 5番段階目的ポート番号 6番段階

3 sip <SIP> パケットの送信元IPアドレスをフィルタリング条件で追加します。 • <SIP> 送信元IPアドレス（デフォルト： 0.0.0.0/0）

4 dip <DIP> パケットの宛先IPアドレスをフィルタリング条件で追加します。 • <DIP> 宛先IPアドレス（デフォルト： 0.0.0.0/0）

5 sport <SPORT> パケットの送信元ポート番号をフィルタリング条件で追加します。 • <SPORT> 送信元ポート番号（設定範囲： 1 ~ 65,535）

6 dport <DPORT> パケットの宛先ポート番号をフィルタリング条件で追加します。 • <DPORT> 宛先ポート番号（設定範囲： 1 ~ 65,535）

7 status {enable | disable} フィルターの使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない

8 current フィルターの設定情報を確認します。

9 apply フィルターの設定を保存してシステムに適用します。

参考：設定したフィルターを削除するためには＜SSLProxy 設定モード＞で no filter <ID> コマンドを使用します。

参考：＜SSLProxy 設定モード＞で show filter コマンドを用いて設定したSSLプロキシサービスのフィルターリストを表示できます。特

定SSLプロキシサービスフィルターの詳細設定情報を確認するためには、show filter コマンドとともにフィルターのIDを入力してください。


262


SSLの設定情報 PAS-Kに設定されている秘密鍵、CSR、証明書、クライアント証明書、プロファイルの情報を確認するためには、＜管理者モード＞ま

たは＜設定モード＞で show ssl コマンドを使用します。

秘密鍵の設定情報秘密鍵の情報を確認するためには、＜管理者モード＞または＜設定モード＞で show ssl key コマンドを使用します。特定秘密

鍵に対する情報を確認するためには、show ssl key コマンドとともに秘密鍵の名前(<NAME>)を設定します。

証明書/CSRの設定情報 PAS-Kに登録された証明書またはCRSの情報を確認するためには、＜管理者モード＞または＜設定モード＞で show ssl certificate コマンドを使用します。特定証明書またはCRSに対する情報を確認するためには、show ssl certificate コマンドとともに証

明書またはCRSの名前(<NAME>)を設定します。

証明書/CSRの詳細情報証明書またはCRSの詳細情報を確認するためには、<管理者モード＞または＜設定モード＞で show info ssl certificate コマンドを使

用します。証明書/CSRの名前(<NAME>)を設定すると、該当証明書に対する詳細な情報を確認することができます。

プロファイルの設定情報プロファイルの情報を確認するためには<管理者モード＞または＜設定モード＞で show ssl profile コマンドを使用します。特定

プロファイルに対する情報を確認するためには、 show ssl profile コマンドとともにプロファイルのID(<ID>)を設定します。

SSLプロキシサービスの設定情報 SSLプロキシサービスの情報を確認するためには<管理者モード＞または＜設定モード＞で show ssl proxy コマンドを使用しま

す。特定プロキシサービスの情報を確認するためには show ssl proxy コマンドとともにプロキシ名(<NAME>)を設定します。



263


L4 サーバ負荷分散の設定 L4サーバ負荷分散機能の設定方法を説明します。

参考： L4サーバ負荷分散機能を構成するためには、VLAN設定とIP設定、ポートバウンダリー設定があらかじめ設定されていなければなり

ません。VLANとIP設定方法は第3章基本ネットワークの設定、ポートバウンダリー設定方法は第6章ポートバウンダリーの設定を参考して

下さい。

CLIでの設定 PAS-KにL4サーバ負荷分散を設定する過程は次の通りです。

1. L4サーバ負荷分散サービスの定義

2. 設定情報の表示


L4サーバ負荷分散サービスの定義 CLIコマンドを用いて、L4サーバ負荷分散サービスを定義する方法は次の通りです。PAS-KにはL4サーバ負荷分散サービスを含め

て最大1,024個のL4負荷分散サービスを登録することができます。複数のL4サーバ負荷分散サービスを設定する場合には、次の手

順を繰り返します。


1 slb <NAME>

＜SLB 設定モード＞に移動します。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」を使って最大 32 文字まで

設定。最初の文字は必ず英文字を使用。

2

vip <IP>[,<IP>,…] protocol <PROTOCOL>[,<PROTOCOL>,…] vport <VPORT>[,<VPORT>,…] （必須設定）

L4サーバ負荷分散サービスの仮想IPアドレスとプロトコル、仮想ポートを設定

します。 • <IP> 仮想 IP アドレス最大 128 個まで設定可能

• <PROTOCOL> tcp、udp、icmp、all の中から一つを入力

• <VPORT> 設定範囲： 1 ~ 65,535 最大 32 個まで設定可能


L4サーバ負荷分散サービスの優先順位を設定します。優先順位値が小さいほ

ど優先順位は高くなります。 • <PRIORITY> 設定範囲： 0 ~ 255 （デフォルト： 50)

4 nat-mode {both-nat | dnat | dsr | l3dsr-iptunnel | lan-to-lan}

L4 サーバ負荷分散サービスの NAT モードを設定します。（デフォルト：dnat）

5 lan-to-lan <LAN-TO-LAN> （NATモードがlan-to-lanの場合にのみ設定）

• <LAN-TO-LAN>

LAN ゾーンでクライアントの役割をするサーバの IP 帯域を設定

6 lb-method {dp | lc | lc-ss | lc-total | rr | sh | sh-port | srh | swrr | wlc | wlc-ss | wlc-total | wrr}

L4 サーバ負荷分散サービスで使う負荷分散方式を設定します。（デフォルト： rr）

参考： dp（Dynamic Proximity）方式に関する設定方法は本章の動作

アクセス方法の設定の説明をご参照ください。

参考： sh-port（ポートハッシュ）方式を使用する際は、Stickyタイムアウ

ト値を「0」に設定する必要があります。

7 real <ID> サービスを通じてトラフィックを分散する実サーバのIDを設定します。複数の実

サーバを設定する場合には各実サーバのIDを「,（コンマ）」を使って区分し、連

続した実サーバのIDは「-（ハイフン）」を使用。

8 health-check <HEALTH-CHECK> （選択設定）

負荷分散サービスの障害を監視する障害監視IDを設定します。負荷分散サー

ビスに障害監視を設定すると、街頭負荷分散サービスを適用する全ての実サ


264

ーバに障害監視が適用されます。

• <HEALTH-CHECK>

1 つの負荷分散サービスには最大 32 個の障害監視を設定することができま

す。複数の障害監視を設定する場合には各障害監視の ID を「,（コンマ）」を

使って区分し、連続した障害監視の ID は「-（ハイフン）」を使用。

参考：設定した障害監視をサーバ負荷分散サービスから削除するため

には、＜SLB設定モード＞で no health-check <HEALTH-CHECK>コマンドを使用します。


が全て正常の場合にだけ負荷分散サービス正常に動作していると見な

します。

9 slow-start rate <RATE> （負荷分散方式が「lc-ss」或いは「wlc-ss」であ

る場合にだけ設定）

新たに追加された実サーバに負荷分散するセッションの適用比率を設定しま

す。 • <RATE> 設定範囲： 1 ~ 10 （デフォルト： 5）

10 slow-start timer <TIME> （負荷分散方式が「lc-ss」或いは「wlc-ss」であ

る場合にだけ設定）

Slow-Start オプションを使用して負荷分散する適用時間を設定します。設定し

た時間が経過した後には、最小コネクションと重み付け最小コネクションで動作

します。「0」に設定すると、最小コネクション或いは重み付け最小コネクションで動作す

る。 • <TIME> 設定範囲： 0 ~ 600（秒）（デフォルト： 60 秒）

11 sticky time <TIME>

セッション維持時間値を設定します。設定したセッション維持時間が経過した

後、接続エントリーが消滅する前に同じクライアントからの接続が試みられれ

ば、以前に接続したサーバと同じサーバに接続されます。セッション維持時間

を「0」に設定すればセッション維持機能を使いません。 • <TIME> 設定範囲： 0 ~ 65,535（秒）（デフォルト： 60 秒）

12 sticky source-subnet <SOURCE-SUBNET>

デフォルトでセッション維持機能は送信元IPアドレス別に適用されます。セッシ

ョン維持機能を送信サブネット別に適用するためには、sticky source-subnet コマンドを用いて、セッション維持機能を適用するサブネット範囲を設定しま

す。

注意: サブネット別にセッション維持機能を適用するためには、負荷分

散方式を「sh」に設定しなければなりません。

13 session-sync {all | none | persistence}

セッションシンク機能の使用可否を設定します。 • all ：使用する • none ：使用しない（デフォルト） • persistence ：セッション維持機能が適用されたセッションに対してのみセッ

ションシンク機能を使用する

14 fail-skip {all | inact | none} (選択設定)

Fail Skip機能のオプションを指定します。Fail Skip機能は該当サービスの負

荷分散に失敗した場合、次の優先順位のサービスを使用するものです。

• all ：全ての実サーバがINACTIVEであったり、負荷分散に失敗し実サーバ

を選択できない場合にFail Skip処理を行う

• inact ：全ての実サーバがINACTIVEである場合Fail Skip処理を行う

• none ： Fail Skip機能を使用しない（デフォルト）

15 backup <BACKUP>

設定中のL4サーバ負荷分散サービスでこれ以上サービスリクエストを受けるこ

とができない場合、代わりにサービスリクエストを処理するバックアップ負荷分

散サービスを設定します。すでに作成されているサービスの名前を入力しま

す。

参考: バックアップ負荷分散サービス機能を使用しないためには、no backup コマンドを使います。

16 keep-backup {enable | disable}

負荷分散サービスの実サーバにバックアップ実サーバを設定した場合、マスタ

ー実サーバがまた動作できる状態になった時バックアップ実サーバのセッショ

ンをどのように処理するかを設定します。 • enable バックアップ実サーバのセッションエントリーとセッション維持エントリーを維持

• disable バックアップ実サーバのセッションエントリーとセッション維持エントリーを削除

265


（デフォルト）


L4 サーバ負荷分散サービスの使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない

18 current L4サーバ負荷分散サービスの設定情報を確認します。

19 apply 定義したL4サーバ負荷分散サービスを保存し、システムに適用します。

参考：次は各種類の負荷分散サービスに設定される基本優先順位です。

- L4サーバ負荷分散サービス : 50

- アドバンストL4サーバ負荷分散サービス : 100

- L4キャッシュサーバ負荷分散サービス : 0

- ファイアウォール/VPN負荷分散サービス : 100

- アドバンストファイアウォール/VPN負荷分散サービス : 100

- ゲートウェイ負荷分散サービス : 100

- L7サーバ負荷分散サービス : 100

- アドバンストL7サーバ負荷分散サービス : 100

- L7キャッシュサーバ負荷分散サービス : 0

- アドバンストL7キャッシュサーバ負荷分散サービス : 100

優先順位値が小さいほど先に適用されるので、基本優先順位を変更しない場合にはL4/L7キャッシュサーバ負荷分散サービスが一番先に

適用され、その後にL4サーバ負荷分散サービスが、その後には残りの種類の負荷分散サービスが適用されます。優先順位が同じ負荷分

散サービスは定義された時間の順序によって（先に定義されたサービスが優先）適用されます。

参考：定義したL4サーバ負荷分散サービスを削除するためには、＜設定モード＞で次のコマンドを使用します。 (config)# no slb <NAME>


266

ダイナミックプロキシミティ（Dynamic Proximity）の設定

L4サーバの負荷分散方式としてダイナミックプロキシミティ（Dynamic Proximity）を選択した後には実サーバの状態情報を確認する

ためにダイナミックプロキシミティのタイプを設定しなければなりません。ダイナミックプロキシミティのタイプには、ICMP RTT（RoundTrip Time）とSNMPがあります。

ICMP RTT ICMP RTTタイプを選択すると、PAS-Kが実サーバにICMPパケットを送信してから当該パケットが再びPAS-Kに到着するまでの時

間を測定します。この往復時間が短いほど、実サーバの優先順位が高いものと判断し、当該サーバに負荷分散をリクエストします。

SNMP SNMPタイプを選択すると、PAS-KのSNMP MIBに保存されているシステム情報、ネットワーク使用率、ネットワークインターフェース

情報などを確認します。PAS-Kはこれらの情報に基づいてCPUの使用率が低い実サーバやメモリの占有率が低い実サーバを優先

順位の高いものとして判断し、当該サーバに負荷分散をリクエストします。管理者はSNMP MIBに保存されている情報から特定の情報（CPU使用率、メモリ占有率など）を選択し、実サーバの状態を確認す

ることができます。

次は、1個のダイナミックプロキシミティ機能を設定する過程です。PAS-Kは最大32個のダイナミックプロキシミティを設定することがで

きるため、複数のダイナミックプロキシミティを設定する場合には <設定モード>で次の過程を繰り返します。


1 dynamic-proximity <NAME>

<ダイナミックプロキシミティ設定モード>でダイナミックプロキシミティ機能を定義します。

• <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」を使用し、最大 32 文字まで設定。最初の

文字には必ず英文字を使用。

2 type {icmp-rtt | snmp}

ダイナミックプロキシミティのタイプを設定します。 • icmp-rtt

ICMPパケットのRTT（Round Trip Time）情報に基づいてダイナミックプロキシミティ機能をイ

ネーブルする（デフォルト） • snmp

SNMP MIB情報に基づいてダイナミックプロキシミティ機能をイネーブルする

3

oid <OID> (ダイナミックプロキシミティのタイ

プがSNMPである場合にのみ設

定)

実サーバからシステム情報を収集するOID番号を設定します。 • <OID> 数字と｢.（ピリオド）｣を使用し、最大 128 文字まで設定可能。

4

community <COMMUNITY> (ダイナミックプロキシミティのタイ

プがSNMPである場合にのみ設

定)

SNMP v1 と v2c で認証時に使用する SNMP コミュニティーを設定します。 • <COMMUNITY> コミュニティー名は英文字、数字、｢-（ハイフン）｣、｢_（アンダーバー）｣を使用し 2 ~ 32 文字で

設定可能。最初の文字には必ず英文字を使用。（デフォルト： public）

5 interval <INTERVAL> 実サーバからシステム情報を収集する周期を設定します。 <INTERVAL> 設定範囲： 1 ~ 60（秒）（デフォルト： 5 秒）

6 max-value <MAX-VALUE>

実サーバから収集する SNMP の最大値を設定します。 <MAX-VALUE> 設定範囲： 0 ~ 4,294,967,295 （デフォルト： 1,000）

注意: ダイナミックプロキシミティのタイプをicmp-rttに設定した場合、max-valueをデ

フォルト値として設定しなければなりません。

7 min-value <MIN-VALUE>

実サーバから収集する SNMP の最少値を設定します。 <MIN-VALUE> 設定範囲： 0 ~ 4,294,967,295 （デフォルト： 0）

注意: ダイナミックプロキシミティのタイプを icmp-rtt に設定した場合、mim-value をデフォルト値として設定しなければなりません。

8 current ダイナミックプロキシミティの設定情報を確認します。

9 apply ダイナミックプロキシミティの設定を保存し、システムに適用します。

267


参考：ダイナミックプロキシミティ機能は、L4サーバ負荷分散サービスとゲートウェイ負荷分散サービスでのみサポートされます。

フィルター設定 L4サーバ負荷分散サービスを適用させるトラフィックを定義するフィルターを設定する方法は次の通りです。L4サーバ負荷分散サー

ビスには最大4,096個のフィルターを登録することができます。複数のフィルターを設定する場合には、＜設定モード＞次の手順を繰

り返します。

参考：フィルターを定義しない場合には設定した仮想IPアドレスを宛先IPアドレスとするincludeタイプのフィルターが自動で生成され、仮想 IPアドレスを削除する際に該当フィルターも自動で削除されます。


1 slb <NAME> ＜SLB 設定モード＞に移動します。 • <NAME> フィルターを設定する L4 サーバ負荷分散サービスの名前

2 filter <ID>

＜SLB 設定モード＞から＜Filter設定モード＞に移動します。 • <ID> 設定範囲： 1 ~ 2,048 フィルターは L4 サーバ負荷分散サービス別に独立的に管理されるので、他の L4 サーバ

負荷分散サービスで定義したフィルターと同じ ID を持つことができます。

3 type {include | exclude}

フィルターの種類を設定します。 • include ：フィルターが L4 サーバ負荷分散サービスを「適用」するトラフィックをフィルタ

リングする場合（デフォルト） • exclude ： L4 サーバ負荷分散サービスを「適用しない」トラフィックをフィルタリングする

場合

その次の過程はフィルタリングに使われる条件を設定する過程です。全ての過程を実行する必要はなく、フィルタリング時に使う項目に

該当する過程だけを実行します。フィルタリングに使う条件によって移動する段階は次の通りです。一つのフィルターには複数の条件を

追加できるので、一つの条件を追加した後に他の段階に移動して他の条件を続けて追加します。 • プロトコル → 4 番段階 • 送信 IP アドレス → 5 番段階 • 送信元ポート番号 → 6 番段階 • 宛先 IP アドレス → 7 番段階 • 宛先ポート番号 → 8 番段階

4 protocol <PROTOCOL>

フィルタリング条件で使うプロトコルの種類を設定します。

• <PROTOCOL> 設定するプロトコルが TCP や UDP、ICMP の場合にはそれぞれ tcp、udp、icmp を入

力します。プロトコルをフィルタリング条件として使わなければ all を入力するようにしま

す。（デフォルト： all）

5 sip <SIP> フィルタリング条件で使う送信IPアドレスとネットマスクビット数を入力します。 • <SIP> 送信 IP アドレスとネットマスクビット数（デフォルト： 0.0.0.0/0）

6 sport <SPORT>

フィルタリング条件で使う送信元ポート番号を入力します。プロトコルがICMPである場合に

はフィルタリング条件として使われません。 • <SPORT> 送信元ポート番号設定範囲： 1 ~ 65,535

7 dip <DIP> フィルタリング条件で使う宛先IPアドレスとネットマスクビット数を入力します。 • <DIP> 宛先 IP アドレスとネットマスクビット数（デフォルト： 0.0.0.0/0）

8 dport <DPORT>

フィルタリング条件で使う宛先ポート番号を入力します。プロトコルがICMPである場合には

フィルタリング条件として使われません。 • <DPORT> 宛先ポート番号設定範囲： 1 ~ 65,535


フィルター機能の使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない


268


11 apply フィルターの設定を保存し、システムに適用します。

注意： L4サーバ負荷分散サービスの仮想IPアドレスとグローバルサーバ負荷分散サービスのネームサーバIPアドレスを同一に設定す

ることができます。この場合、L4サーバ負荷分散サービスのIncludeフィルターにグローバルサーバ負荷分散サービスのパケットがかか

らないようにフィルター設定に注意してください。

参考：定義したフィルターを削除するためには、＜SLB設定モード＞で no filter <ID> コマンドを使用します。

設定情報の表示 L4サーバ負荷分散サービスの設定作業が終われば、次のような方法で設定情報を確認することができます。

L4サーバ負荷分散サービスリストの表示

現在PAS-Kに定義されている全てのL4サーバ負荷分散サービスの設定情報を表示するためには、＜管理者モード＞または＜設定

モード＞で show slb コマンドを使用します。show slbコマンドは現在PAS-Kに定義されているL4サーバ負荷分散サービスのリス

トと基本的な設定情報を表示します。

特定のL4サーバ負荷分散サービスの設定情報の表示

特定 L4サーバ負荷分散サービスに対する詳細な設定情報を表示するためには、「該当サービスの名前」とともに show slb コマ

ンドを実行します。

L4サーバ負荷分散サービスの全ての設定情報(実サーバ、障害監視、セッション設定)の表示

＜管理者モード＞または＜設定モード＞で show info slb コマンドを使用すると、各L4サーバ負荷分散サービスの設定情報と該

当サービスの障害監視設定情報及びサービスに登録された実サーバの設定情報と接続されたセッションに対する情報を表示できま

す。

サービスの名前を入力しないで show info slb コマンドを実行すると、全てのL4サーバ負荷分散サービスに対する情報が表示さ

れ、サービスの名前を入力すれば該当サービスに対する情報だけが表示されます。



ダイナミックプロクシミティー設定情報の表示 PAS-Kに設定されたダイナミックプロクシミティー機能を確認するためには、＜管理者モード＞または＜設定モード＞で show dynamic-proximity コマンドを使用します。

269


アドバンスト L4 サーバ荷分散の設定本節ではPAS-KにアドバンストL4サーバ負荷分散機能を使用できるように設定する方法を説明します。

参考： L4サーバ負荷分散機能を構成するためには、VLAN設定とIP設定、ポートバウンダリー、障害監視、実サーバの設定があらかじめ設

定されていなければなりません。各設定方法は下記の部分を参考して下さい。 - VLANとIP設定方法：第3章基本ネットワークの設定－ VLANの設定、IPアドレス・ルーティングの設定 - ポートバウンダリー設定方法：第6章ポートバウンダリーの設定 - 障害監視設定方法：第7章負荷分散の設定－障害監視の設定 - 実サーバ設定方法：第7章負荷分散の設定－実サーバの設定

CLIでの設定 PAS-KにアドバンストL4サーバ負荷分散を設定する手順は以下の通りです。

1. アドバンストL4サーバ負荷分散サービスの定義


アドバンストL4サーバ負荷分散サービスの定義 CLIコマンドを用いて、新しいアドバンストL4サーバ負荷分散サービスを定義する方法は次の通りです。PAS-KにはアドバンストL4サーバ負荷分散サービスを含めて最大1024個のL4負荷分散サービスを登録することができます。複数のアドバンストL4サーバ負荷

分散サービスを設定する場合には、次の手順を繰り返します。


1 advl4slb <NAME>

＜設定モード＞で、アドバンストL4サーバ負荷分散サービスを定義します。＜アド

バンストSLB 設定モード＞に移動します。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」を使用し最大 32 文字まで設

定。最初の文字は必ず英文字を使用。

2 ip-version {ipv4 | ipv6} アドバンストL4サーバ負荷分散サービスのネットワークタイプを設定します。（デフ

ォルト： ipv4）

3

vip <IP>[,<IP>,…] protocol <PROTOCOL>[,<PROTOCOL>,…] vport <VPORT>[,<VPORT>,…] (必須設定)

アドバンスト L4 サーバ負荷分散サービスの仮想 IP アドレスとプロトコル、仮想ポ

ートを設定します。複数の仮想 IP アドレスとプロトコル、仮想ポートを設定する場

合にはコンマで区分します。 • <IP> 仮想 IP アドレス最大 128 個まで設定可能

• <PROTOCOL> 仮想ポートを設定するプロトコルである「tcp」を入力

• <VPORT> 設定範囲： 1 ~ 65,535 最大 32 個まで設定可能

参考：設定した仮想IPアドレスとプロトコル、仮想ポートを削除するために

は、＜アドバンストSLB 設定モード＞で no vip <IP> protocol <PROTOCOL> vport <VPORT> コマンドを使用します。


アドバンストL4サーバ負荷分散サービスの優先順位を設定します。優先順位値

が小さいほど優先順位は高くなります。 • <PRIORITY> 設定範囲： 1 ~ 256 （デフォルト： 100)

参考：設定した優先順位をデフォルトに戻すためには、＜アドバンストSLB 設定モード＞で no priority コマンドを使用します。

5 nat-mode {bnat | dnat} アドバンストL4サーバ負荷分散サービスのNATモードを設定します。（デフォル

ト： dnat）

6 lb-method {first | lc | rr | sh | wrr | wsh} アドバンストL4サーバ負荷分散サービスで使う負荷分散方式を設定します。（デフ

ォルト： rr）


270

7 real <ID>

アドバンストL4サーバ負荷分散サービスを通じてトラフィックを分散する実サーバ

のIDを設定します。複数の実サーバを設定する場合には各実サーバのIDを「,（コンマ）」を使って区分し、連続した実サーバのIDは「-（ハイフン）」を使用。

参考：設定した実サーバを削除するためには、＜アドバンストSLB 設定

モード＞で no real <ID> コマンドを使用します。

8 health-check <HEALTH-CHECK> (選択設定)

アドバンストL4サーバ負荷分散サービスの障害を監視する障害監視IDを設定し

ます。負荷分散サービスに障害監視を設定すると、街頭負荷分散サービスを適

用する全ての実サーバに障害監視が適用されます。

• <HEALTH-CHECK>


す。複数の障害監視を設定する場合には各障害監視の ID を「,（コンマ）」を使っ

て区分し、連続された障害監視の ID は「-（ハイフン）」を使用。

参考：設定した障害監視をアドバンストL4サーバ負荷分散サービスから

削除するためには、＜アドバンストSLB 設定モード＞で no health-check <HEALTH-CHECK> コマンドを使用します。

参考： 2つ以上の障害監視設定を使う場合には、それぞれの監視結果が

全て正常の場合にだけ負荷分散サービス正常に動作していると見なしま

す。

9 sticky type src-ip セッション維持機能のタイプを設定します。アドバンストL4サーバ負荷分散サービ

スは送信元IPアドレス別にセッション維持機能を適用する「src-ip」タイプのみサポ

ートします。


セッション維持時間値を設定します。設定したセッション維持時間が経過した後、

接続エントリーが消滅する前に同じクライアントからの接続が試みられれば以前

に接続したサーバと同じサーバに接続されます。セッション維持時間を「0」に設定

すればセッション維持機能を使いません。

• <TIME> 設定範囲： 0 ~ 65,535（秒）（デフォルト： 60 秒）

11 max-connection <MAX-CONNECTION>

アドバンストL4サーバ負荷分散サービスで制限する最大セッション数を設定しま

す。「0」を設定すればセッション数を制限しません。 • <MAX-CONNECTION> 設定範囲： 0 ~ 320,000 （デフォルト： 0）

参考: 設定した最大セッション数をデフォルトに戻すためには、＜アドバ

ンストSLB 設定モード＞で no max-connection コマンドを使用しま

す。

12 backup <BACKUP>

設定中のアドバンストL4サーバ負荷分散サービスでこれ以上サービスリクエスト

を受けることができない場合、代わりにサービスリクエストを処理するバックアップ

負荷分散サービスを設定します。すでに作成されているサービスの名前を入力し

ます。

参考：設定したバックアップサービスをアドバンストL4サーバ負荷分散サ

ービスから削除するためには、＜アドバンストSLB 設定モード＞で no backup コマンドを使用します。


アドバンスト L4 サーバ負荷分散サービスの使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない

14 current アドバンストL4サーバ負荷分散サービスの設定情報を確認します。

15 apply 定義したアドバンストL4サーバ負荷分散サービスを保存し、システムに適用しま

す。

参考：定義したアドバンストL4サーバ負荷分散サービスを削除するためには、＜設定モード＞で no advl4slb <NAME> コマンドを使用し

ます。

271


設定情報の表示アドバンストL4サーバ負荷分散サービスの設定作業が終われば、次のような方法で設定情報を確認することができます。

アドバンストL4サーバ負荷分散サービスリストの表示

現在PAS-Kに定義されている全てのアドバンストL4サーバ負荷分散サービスの設定情報を表示するためには、＜管理者モード＞ま

たは＜設定モード＞で show advl4slb コマンドを使用します。 show advl4slb コマンドは現在PAS-Kに定義されているアドバンス

トL4サーバ負荷分散サービスのリストと基本的な設定情報を表示します。

特定のアドバンストL4サーバ負荷分散サービスの設定情報の表示

特定アドバンストL4サーバ負荷分散サービスに対する詳細な設定情報を表示するためには、「該当サービスの名前」とともに show advl4slb コマンドを実行します。

アドバンストL4サーバ負荷分散サービスの全ての設定情報(実サーバ、障害監視、セッション設定)の表示

＜管理者モード＞または＜設定モード＞で show info advl4slb コマンドを使用すると、各アドバンストL4サーバ負荷分散サービス

の設定情報と該当サービスの障害監視設定情報及びサービスに登録された実サーバの設定情報と接続されたセッションに対する情

報を表示できます。

サービスの名前を入力しないで show info advl4slb コマンドを実行すると、全てのアドバンストL4サーバ負荷分散サービスに対す

る情報が表示され、サービスの名前を入力すれば該当サービスに対する情報だけが表示されます。




272

ファイアウォール・VPN 負荷分散の設定本節ではPAS-Kにファイアウォール負荷分散機能とVPN負荷分散サービスを使用できるように設定する方法を説明します。

参考：ファイアウォール/VPN負荷分散機能を構成するためには、VLAN設定とIP設定、ポートバウンダリー設定があらかじめ設定されていな

ければなりません。VLANとIP設定方法は第3章基本ネットワークの設定、ポートバウンダリー設定方法は第6章ポートバウンダリーの設定

を参照して下さい。

CLIでの設定 PAS-Kにファイアウォール/VPN負荷分散を設定する手順は以下の通りです。

1. ファイアウォール/VPN負荷分散サービスの定義

2. フィルター設定


ファイアウォール/VPN負荷分散サービスの定義 CLIコマンドを用いて、新しいファイアウォール/VPN負荷分散サービスを定義する方法は次の通りです。PAS-Kにはファイアウォール

/VPN負荷分散サービスを含めて最大1024個のL4負荷分散サービスを登録することができます。複数のファイアウォール/VPN 負荷分散サービスを設定する場合には、次の手順を繰り返します。


1 fwlb <NAME>

＜設定モード＞で、ファイアウォール/VPN負荷分散サービスを定義します。＜FWLB 設定モード＞に移動します。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」を使って最大 32 文字まで設



ファイアウォール/VPN負荷分散サービスの優先順位を設定します。優先順位値


参考：複数のファイアウォール/VPN負荷分散サービスを同一の優先順位値に設

する場合、任意のサービスが選択されます。

参考：設定した優先順位をデフォルトに戻すためには、＜FWLB設定モード＞で

no priority コマンドを使用します。

3 lb-method {bh | brh | dh | drh | lc | lc-total | rr | sh | sh-port | srh | swrr | wlc | wlc-total | wrr}

ファイアウォール/VPN負荷分散サービスで使う負荷分散方式を設定します。(デフォルト： rr)

参考： sh-port（ポートハッシュ）方式の使用時、Stickyタイムアウト値を「0」に設

定する必要があります。

4 vpnlb {enable | disable}

現在設定中の負荷分散サービスをVPN負荷分散サービスとして使用するかどう

かを設定します。 • enable ： VPN 負荷分散サービスで使う場合 • disable ：ファイアウォール負荷分散サービスで使う場合（デフォルト）

5 position {external | internal | dmz}

ファイアウォール/VPN負荷分散サービスが実行される位置を設定します。 • external ：ファイアウォール/VPN 負荷分散サービスが WAN とファイアウォ

ールあるいは VPN 装置の間に位置する場合 • internal ： LAN とファイアウォールあるいは VPN 装置の間に位置する場合

（デフォルト） • dmz（ファイアウォール負荷分散の場合）： DMZ ゾーンに位置する場合

参考：ファイアウォール/VPN負荷分散サービスが実行される位置はファイ

アウォール/VPN負荷分散サービスを定義する際に設定することができ、シ

ステムに適用された以後には修正することができません。

6 real <ID> サービスを通じてトラフィックを分散する実サーバのIDを設定します。複数の実サ

ーバを設定する場合には各実サーバのIDを「,（コンマ）」を使って区分し、連続し

273


た実サーバのIDは「-（ハイフン）」を使用。

7 health-check <HEALTH-CHECK> （選択設定）

負荷分散サービスの障害を監視する障害監視IDを設定します。負荷分散サービ

スに障害監視を設定すると、街頭負荷分散サービスを適用する全ての実サーバ

に障害監視が適用されます。

• <HEALTH-CHECK>



て区分し、連続された障害監視の ID は「-」を使用。

参考：設定した障害監視をサーバ負荷分散サービスから削除するために

は、＜FWLB 設定モード＞で no health-check <HEALTH-CHECK>コマンドを使用します。



す。


セッション維持時間を設定します。設定したセッション維持時間が経過した後、接

続エントリーが消滅する前に同じクライアントからの接続が試みられれば以前に

接続したファイアウォール（VPN装置）と同じファイアウォール（VPN装置）に接続

されます。セッション維持時間を「0」に設定すればセッション維持機能を使いませ

ん。


9

sticky source-subnet <SOURCE-SUBNET> （セッション維持機能を適用する送信元のサブネット範囲設定） sticky destination-subnet <mask> （セッション維持機能を適用する宛先のサブネット範囲設定）

基本的にファイアウォール負荷分散サービスのセッション維持機能は送信元IPア

ドレス別に適用されます（VPN負荷分散サービスは送信元に基準としたセッション

維持機能だけ可能）。セッション維持機能をサブネット別に適用するためには、sti

cky source-subnet コマンドと sticky destination-subnet コマンドを用い

て、セッション維持機能を適用するサブネット範囲を設定します。

注意：サブネット別にセッション維持機能を適用するためには、負荷分散

方式を「bs」、「dh」、「sh」の中で設定しなければなりません。

注意：ファイアウォール負荷分散サービス（vpnlbがdisableである）のセッ

ション維持機能は送信元と宛先を共に基準として使用しますが、VPN負荷

分散サービス（vpnlbがenableである）は送信元あるいは宛先のみを基準

にするセッション維持機能をサポートします。VPN負荷分散サービスの実

行位置が内部（internal）やDMZであれば宛先のみを基準にセッション維持

機能を実行し、実行位置が外部（external）であれば送信元を基準にセッシ

ョン維持機能を実行します。したがって、実行位置が内部とかDMZであるVPN負荷分散サービスではsticky source-subnetコマンドを使用できず、外

部で動作するVPN負荷分散サービスは sticky destination-subnet コマンドを使用することができません。

10 multi-tunnel {enable | disable} （VPN負荷分散サービスの場合にだけ設定）

VPN負荷分散サービスで多重トンネルのセッション維持機能の使用可否を設定し

ます。 • enable ：多重トンネルのセッション維持機能をイネーブルする場合 • disable ：ディスエーブルする場合（デフォルト）

参考：多重トンネルのセッション維持機能は内部PAS-Kにだけイネーブル

します。外部PAS-KはVPN装置のゲートウェイIPアドレスでセッション維持

しますので、多重トンネルのセッション維持機能をイネーブルする必要があ

りません。

11 branch-relay {enable | disable} （VPN負荷分散サービスの場合にだけ設定）

VPN負荷分散サービスで支店間VPN接続機能を設定します。 • enable ：支店間 VPN 接続機能を使用する場合 • disable ：ディスエーブルする場合（デフォルト）

12 fail-skip {all | inact | none} （選択設定）

Fail Skip機能のオプションを指定します。 • all ：全ての実サーバがINACTIVEであるか、スケジューラの問題で実サーバ

を削除できない場合全てFail Skip処理を行う • inact ：全ての実サーバがINACTIVEである場合にFail Skip処理を行う • none ： Fail Skip機能を使用しない（デフォルト）


274

13 backup <BACKUP>

設定中のファイアウォール/VPN負荷分散サービスでこれ以上サービスリクエ

ストを受けることができない場合、代わりにサービスリクエストを処理するバックア

ップ負荷分散サービスを設定します。すでに作成されているサービスの名前を入

力します。

参考：設定したバックアップサービスをファイアウォール/VPN負荷分散サ

ービスから削除するためには、＜FWLB 設定モード＞で no backup コマンドを使用します。


負荷分散サービスの実サーバにバックアップ実サーバを設定した場合、マスター

実サーバがまた動作できる状態になった時バックアップ実サーバのセッションをど

のように処理するかを設定します。 • enable バックアップ実サーバのセッションエントリーとセッション維持エントリーを維持




ファイアウォール/VPN 負荷分散サービスの使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない

16 current ファイアウォール/VPN負荷分散サービスの設定情報を確認します。

17 apply 定義したファイアウォール/VPN負荷分散サービスを保存し、システムに適用しま

す。

参考：定義したファイアウォール/VPN 負荷分散サービスを削除するためには、＜設定モード＞で no fwlb <NAME> コマンドを使用しま

す。

フィルター設定ファイアウォール/VPN負荷分散サービスを適用させるトラフィックを定義するフィルターを設定する方法は次の通りです。ファイアウォ

ール/VPN負荷分散サービスには最大4,096個のフィルターを登録することができます。複数のフィルターを設定する場合には、次の

手順を繰り返します。


1 fwlb <NAME>

＜設定モード＞で、ファイアウォール/VPN負荷分散サービスを定義します。＜FWLB 設定モード＞に移動します。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」を使って最大 32 文字まで


2 filter <ID>

＜FWLB設定モード＞から＜Filter設定モード＞に移動します。 • <ID> 設定範囲： 1 ~ 4,096 フィルターはファイアウォール/VPN 負荷分散サービス別独立に管理されるの

で、他のファイアウォール/VPN 負荷分散サービスで定義したフィルターと同じ

ID を持つことができます。


フィルターの種類を設定します。 • include ：フィルターがファイアウォール/VPN 負荷分散サービスを「適用」す

るトラフィックをフィルタリングする場合（デフォルト） • exclude ：ファイアウォール/VPN 負荷分散サービスを「適用しない」トラフィ

ックをフィルタリングする場合

注意: ファイアウォール/VPN負荷分散サービスが正常に動作するために

は、最小限に1つ以上の「include」タイプのフィルターを追加しなければな

りません。

その次の過程はフィルタリングに使われる条件を設定する過程です。全ての過程を実行する必要はなく、フィルタリング時に使う項目に該

当する過程だけを実行します。フィルタリングに使う条件によって移動する段階は次の通りです。一つのフィルターには複数の条件を追加

できるので、一つの条件を追加した後に他の段階に移動して他の条件を続けて追加します。 • プロトコル → 4 番段階

275


• 送信 IP アドレス → 5 番段階 • 送信元ポート番号 → 6 番段階 • 宛先 IP アドレス → 7 番段階 • 宛先ポート番号 → 8 番段階



• <PROTOCOL> 設定するプロトコルが TCP や UDP、ICMP の場合にはそれぞれ tcp、udp、icmp を入力します。プロトコルをフィルタリング条件として使わなければ all を入力するようにします。（デフォルト： all）


6 sport <SPORT>

フィルタリング条件で使う送信元ポート番号を入力します。プロトコルがICMPで

ある場合にはフィルタリング条件として使われません。 • <SPORT> 送信元ポート番号設定範囲： 1 ~ 65,535


8 dport <DPORT>

フィルタリング条件で使う宛先ポート番号を入力します。プロトコルがICMPであ

る場合にはフィルタリング条件として使われません。 • <DPORT> 宛先ポート番号設定範囲： 1 ~ 65,535





参考：定義したフィルターを削除するためには、＜FWLB設定モード＞で no filter <ID> コマンドを使用します。

設定情報の表示ファイアウォール/VPN負荷分散サービスについて、以下の方法で設定情報を確認することができます。

ファイアウォール/VPN負荷分散サービスリストの表示

現在PAS-Kに定義されている全てのファイアウォール/VPN負荷分散サービスの設定情報を表示するためには、＜管理者モード＞ま

たは＜設定モード＞で show fwlb コマンドを使用します。show fwlbコマンドは現在PAS-Kに定義されているファイアウォール/VPN負荷分散サービスのリストと基本的な設定情報を表示します。

特定のファイアウォール/VPN負荷分散サービスの設定情報の表示

特定のファイアウォール/VPN負荷分散サービスに対する詳細な設定情報を表示するためには、「該当サービスの名前」とともに show fwlb コマンドを実行します。

ファイアウォール/VPN負荷分散サービスの全ての設定情報（実サーバ、障害監視、セッション設定）の表示

＜管理者モード＞または＜設定モード＞で show info fwlb コマンドを使用すると、各ファイアウォール/VPN負荷分散サービスの

設定情報と該当サービスの障害監視設定情報、及びサービスに登録された実サーバの設定情報と実サーバを通じて接続されたセッ

ションに対する情報を表示できます。

サービスの名前を入力しないで show info fwlb コマンドを実行すると、全てのファイアウォール/VPN負荷分散サービスに対する

情報が表示され、サービスの名前を入力すれば該当サービスに対する情報だけが表示されます。


276


277


アドバンストファイアウォール/VPN 負荷分散の設定本節ではPAS-Kにアドバンストファイアウォール負荷分散機能とVPN負荷分散サービスを使用できるように設定する方法を説明しま

す。

参考：ファイアウォール/VPN負荷分散機能を構成するためには、VLAN設定とIP設定、ポートバウンダリー設定があらかじめ設定されていな

ければなりません。VLANとIP設定方法は第3章基本ネットワークの設定、ポートバウンダリー設定方法は第6章ポートバウンダリーの設定

を参照して下さい。

CLIでの設定 PAS-Kにアドバンストファイアウォール/VPN負荷分散を設定する手順は以下の通りです。

1. アドバンストファイアウォール/VPN負荷分散サービスの定義



アドバンストファイアウォール/VPN負荷分散サービスの定義 CLIコマンドを用いて、新しいアドバンストファイアウォール/VPN負荷分散サービスを定義する方法は次の通りです。PAS-Kにはアド

バンストファイアウォール/VPN負荷分散サービスを含めて最大1024個のL4負荷分散サービスを登録することができます。複数のア

ドバンストファイアウォール/VPN 負荷分散サービスを設定する場合には、次の手順を繰り返します。


1 advl4fwlb <NAME>

＜設定モード＞で、アドバンストファイアウォール/VPN負荷分散サービスを定義

します。＜アドバンストFWLB 設定モード＞に移動します。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」文字を使って最大 32 文字

まで設定。最初文字は必ず英文字を使用。

2 ip-version {ipv4 | ipv6} アドバンストファイアウォール/VPN負荷分散サービスのネットワークタイプを設定

します。（デフォルト： ipv4)


アドバンストファイアウォール/VPN負荷分散サービスの優先順位を設定します。

優先順位値が小さいほど優先順位は高くなります。 • <PRIORITY> 設定範囲： 1 ~ 255 （デフォルト： 100)

4 lb-method bh ファイアウォール/VPN負荷分散サービスで使う負荷分散方式を設定します。


ーバを設定する場合には各実サーバのIDを「,（コンマ）」を使って区分し、連続さ

れた実サーバのIDは「-（ハイフン）」を使用。

6 health-check <HEALTH-CHECK>

アドバンストファイアウォール/VPN負荷分散サービスの障害を監視する障害監視

IDを設定します。負荷分散サービスに障害監視を設定すると、街頭負荷分散サ

ービスを適用する全ての実サーバに障害監視が適用されます。

• <HEALTH-CHECK>



て区分し、連続された障害監視の ID は「-（ハイフン）」を使用。

参考：設定した障害監視をアドバンストファイアウォール/VPN負荷分散

サービスから削除するためには、＜アドバンストFWLB 設定モード＞で no health-check <HEALTH-CHECK> コマンドを使用します。



す。


278


アドバンストファイアウォール/VPN 負荷分散サービスの使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない

8 current アドバンストファイアウォール/VPN負荷分散サービスの設定情報を確認します。

9 apply 定義したアドバンストファイアウォール/VPN負荷分散サービスを保存し、システム

に適用します。

参考：定義したアドバンストファイアウォール/VPN 負荷分散サービスを削除するためには、＜設定モード＞で no advl4fwlb <NAME> コマンドを使用します。

フィルター設定アドバンストファイアウォール/VPN負荷分散サービスを適用させるトラフィックを定義するフィルターを設定する方法は次の通りです。

アドバンストファイアウォール/VPN負荷分散サービスには最大256個のフィルターを登録することができます。複数のフィルターを設

定する場合には、次の手順を繰り返します。


1 advfwlb <NAME>

＜設定モード＞で、ファイアウォール/VPN負荷分散サービスを定義します。＜アドバンストFWLB 設定モード＞に移動します。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」文字を使って最大 32 文字まで設定。最

初の文字は必ず英文字を使用。

2 filter <ID>

<アドバンストFWLB設定モード>で<Filter設定モード>に移動します。 • <ID> 設定範囲： 1 ~ 256 フィルターはファイアウォール/VPN 負荷分散サービス別独立に管理されるので、他のアドバ

ンストファイアウォール/VPN 負荷分散サービスで定義したフィルターと同じ ID を持つことが

できます。



できるので、一つの条件を追加した後に他の段階に移動して他の条件を続けて追加します。 • プロトコル → 3 番段階 • 送信 IP アドレス → 4 番段階 • 宛先 IP アドレス → 5 番段階



• <PROTOCOL> 設定するプロトコルが TCP や UDP、ICMP の場合にはそれぞれ tcp、udp、icmp を入力

します。プロトコルをフィルタリング条件として使わなければ all を入力するようにします。（デ

フォルト： all）

4 sip <SIP>

フィルタリング条件で使う送信IPアドレスとネットマスクビット数を入力します。IPv6の場合にはI

Pv6アドレスとプレフィックスを入力します。 • <SIP> 送信 IP アドレスとネットマスクビット数（デフォルト： 0.0.0.0/0）

5 dip <DIP>

フィルタリング条件で使う宛先IPアドレスとネットマスクビット数を入力します。IPv6の場合にはIPv6アドレスとプレフィックスを入力します。 • <DIP> 宛先 IP アドレスとネットマスクビット数（デフォルト： 0.0.0.0/0）





参考：定義したフィルターを削除するためには、＜アドバンストFWLB設定モード＞で no filter <ID> コマンドを使用します。

279


設定情報の表示アドバンストファイアウォール/VPN負荷分散サービスについて、以下の方法で設定情報を確認することができます。

アドバンストファイアウォール/VPN負荷分散サービスリストの表示

現在PAS-Kに定義されている全てのアドバンストファイアウォール/VPN負荷分散サービスの設定情報を表示するためには、＜管理

者モード＞または＜設定モード＞で show advl4fwlb コマンドを使用します。show advl4fwlb コマンドは現在PAS-Kに定義されて

いるアドバンストファイアウォール/VPN負荷分散サービスのリストと基本的な設定情報を表示します。

特定のアドバンストファイアウォール/VPN負荷分散サービスの設定情報の表示

特定のアドバンストファイアウォール/VPN負荷分散サービスに対する詳細な設定情報を表示するためには、「該当サービスの名前」

とともにshow advl4fwlbコマンドを実行します。

アドバンストファイアウォール/VPN負荷分散サービスの全ての設定情報の表示

＜管理者モード＞または＜設定モード＞で show info advl4fwlb コマンドを使用すると、各アドバンストファイアウォール/VPN負荷

分散サービスの設定情報とフィルター情報、該当サービスの障害監視設定情報及びサービスに登録された実サーバの設定情報を

表示できます。

サービスの名前を入力しないで show info advl4fwlb コマンドを実行すると、全てのアドバンストファイアウォール/VPN負荷分散

サービスに対する情報が表示され、サービスの名前を入力すれば該当サービスに対する情報だけが表示されます。



280

L4 キャッシュサーバ負荷分散の設定 L4キャッシュサーバ負荷分散機能の設定方法を説明します。

参考： L4キャッシュサーバ負荷分散機能を構成するためには、VLAN設定とIP設定、ポートバウンダリー設定があらかじめ設定されていな

ければなりません。VLANとIP設定方法は第3章基本ネットワークの設定を、ポートバウンダリー設定方法は第6章ポートバウンダリーの設

定を参考して下さい。

CLIでの設定 PAS-KにL4キャッシュサーバ負荷分散を設定する過程は次の通りです。

1. キャッシュサーバ負荷分散サービスの定義



2段階の設定はファイアウォール/VPN負荷分散の設定で説明したファイアウォール負荷分散サービスのフィルター設定方法と同じで

す。したがって、本節ではキャッシュサーバ負荷分散サービスを定義する1段階と設定情報を確認する3段階に対して詳細に説明しま

す。

キャッシュサーバ負荷分散サービスの作成新しいL4キャッシュサーバ負荷分散サービスを定義する方法は次の通りです。PAS-KにはL4キャッシュサーバ負荷分散サービスを

含めて最大1,024個のL4サーバ負荷分散サービスを登録することができます。複数のL4キャッシュサーバ負荷分散サービスを設定

する場合には、次の手順を繰り返します。


1 cslb <NAME>

＜設定モード＞で、L4キャッシュサーバ負荷分散サービスを定義します。＜CSLB 設定モード＞に移動します。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」文字を使って最大 32 文字

まで設定。最初の文字は必ず英文字を使用。


L4キャッシュサーバ負荷分散サービスの優先順位を設定します。優先順位値が

小さいほど優先順位は高くなります。 • <PRIORITY> 設定範囲： 0 ~ 255 （デフォルト： 0）

参考：複数のL4キャッシュサーバ負荷分散サービスを同一の優先順位値に設定

した場合、任意のサービスが選択されます。

参考：設定した優先順位をデフォルトに戻すためには、＜CSLB設定モード＞

で no priority コマンドを使用します。

3 lb-method {bh | brh | lc | lc-total | rr | swrr | wlc | wlc-total | wrr}

L4キャッシュサーバ負荷分散サービスで使う負荷分散方式を設定します。（デフォルト： rr）


ーバを設定する場合には各実サーバのIDを「,（コンマ）」を使って区分し、連続さ

れた実サーバのIDは「-（ハイフン）」を使用。

281



アドバンストファイアウォール/VPN負荷分散サービスの障害を監視する障害監視

IDを設定します。負荷分散サービスに障害監視を設定すると、街頭負荷分散サ

ービスを適用する全ての実サーバに障害監視が適用されます。

• <HEALTH-CHECK>

1 つの負荷分散サービスには最大 32 個の障害監視を設定することができ

ます。複数の障害監視を設定する場合には各障害監視の ID を「,（コン

マ）」を使って区分し、連続された障害監視の ID は「-（ハイフン）」を使用。

参考：設定した障害監視をCSLB 設定モードアドバンストファイアウォー

ル/VPN負荷分散サービスから削除するためには、＜CSLB 設定モード

＞で no health-check <HEALTH-CHECK> コマンドを使用します。



す。


セッション維持時間値を設定します。設定したセッション維持時間が経過した後、

接続エントリーが消滅する前に同じクライアントからの接続が試みられれば以前

に接続したキャッシュサーバと同じキャッシュサーバに接続されます。セッション

維持時間を「0」に設定すればセッション維持機能を使いません。


7

sticky source-subnet <SOURCE-SUBNET> (セッション維持機能を適用する送信元のサブネット範囲設定) sticky destination-subnet <DESTINATION-SUBNET> (セッション維持機能を適用する宛先のサブネット範囲設定)

基本的にL4キャッシュサーバ負荷分散サービスのセッション維持機能は送信

元IPアドレス別に適用されます。セッション維持機能をサブネット別に適用するた

めには、sticky source-subnet コマンドと sticky destination-subnet コマ

ンドを用いて、セッション維持機能を適用するサブネット範囲を設定します。（複数

のIP帯域を設定する場合:コンマでIP帯域を区分します。）

注意：サブネット別にセッション維持機能を適用するためには、負荷分散

方式を「bh」設定しなければなりません。

8 fail-skip {all | inact | none} (選択設定)

Fail Skip機能のオプションを指定します。

• all ：全ての実サーバがINACTIVEであったりスケジューラの問題で実サーバ

を選択できない場合全てFail Skip処理を行う



9 backup <BACKUP>

設定中のL4キャッシュサーバ負荷分散サービスでこれ以上サービスリクエストを

受けることができない場合、代わりにサービスリクエストを処理するバックアップ

負荷分散サービスを設定します。すでに作成されているサービスの名前を入力し

ます。

参考：設定したバックアップサービスをL4キャッシュサーバ負荷分散サー

ビスから削除するためには、＜CSLB 設定モード＞で no backup コマン





のように処理するかを設定します。 • enable バックアップ実サーバのセッションエントリーとセッション維持エントリーを維持



11 recording-cache {enable | disable} (選択設定)

レコーディングサーバに負荷分散するレコーディングサーバキャッシュ機能の使

用可否を設定します。 • enable ：使用する • disable ：使用しない（デフォルト）

12 transparent-cache {enable | disable} (選択設定)

トランスペアレントキャッシュとして動作するサーバも L4 キャッシュサーバ負荷分

散サービスを使用して負荷分散するトランスペアレントキャッシュサーバ機能の使

用可否を設定します。 • enable ：使用する


282

• disable ：使用しない（デフォルト）


L4 キャッシュサーバ負荷分散サービスの使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない

14 current L4キャッシュサーバ負荷分散サービスの設定情報を確認します。

15 apply 定義したL4キャッシュサーバ負荷分散サービスを保存し、システムに適用しま

す。

参考：定義したL4キャッシュサーバ負荷分散サービスを削除するためには、＜設定モード＞で no cslb <NAME> コマンドを使用します。

フィルター設定キャッシュサーバ負荷分散サービスを適用するトラフィックのフィルタリングを行う時に使用するフィルターを設定する方法は、ファイア

ウォール負荷分散サービスでフィルターを設定する方法と同じです。したがって、定義したキャッシュサーバ負荷分散サービスのフィ

ルターを設定する方法は、ファイアウォール/VPN負荷分散の設定－CLIでの設定－フィルター設定の説明を参照して下さい。L4キャ

ッシュサーバ負荷分散サービスには最大4,096個のフィルターを登録することができます。

設定情報の表示 L4キャッシュサーバ負荷分散サービスの設定作業が終われば、次のような方法で設定情報を確認することができます。

L4キャッシュサーバ負荷分散サービスリストの表示

現在PAS-Kに定義されている全てのL4キャッシュサーバ負荷分散サービスの設定情報を表示するためには、＜管理者モード＞また

は＜設定モード＞で show cslb コマンドを使用します。 show cslb コマンドは現在PAS-Kに定義されているL4キャッシュサーバ

負荷分散サービスのリストと基本的な設定情報を表示します。

特定のL4キャッシュサーバ負荷分散サービスの設定情報の表示

特定のL4キャッシュサーバ負荷分散サービスに対する詳細な設定情報を表示するためには、「該当サービスの名前」とともに show cslb コマンドを実行します。

L4キャッシュサーバ負荷分散サービスの全ての設定情報の表示

＜管理者モード＞または＜設定モード＞で show info cslb コマンドを使用すると、各L4キャッシュサーバ負荷分散サービスの設

定情報と該当サービスの障害監視設定情報及びサービスに登録された実サーバの設定情報と実サーバを通じて接続されたセッショ

ンに対する情報を表示できます。サービスの名前を入力しないで show info cslb コマンドを実行すると、全てのL4キャッシュサー

バ負荷分散サービスに対する情報が表示され、サービスの名前を入力すれば該当サービスに対する情報だけが表示されます。


283


ゲートウェイ負荷分散の設定ゲートウェイ負荷分散機能の設定方法を説明します。

参考：ゲートウェイ負荷分散機能を構成するためには、VLAN設定とIP設定、ポートバウンダリー設定があらかじめ設定されていなければな

りません。VLANとIP設定方法は第3章基本ネットワークの設定を、ポートバウンダリー設定方法は第6章ポートバウンダリーの設定を参考

して下さい。

CLIでの設定 PAS-Kにゲートウェイ負荷分散を設定する過程は次の通りです。

1. ゲートウェイ負荷分散サービスの定義


3. ドメインフィルターの設定


2番の設定方法はファイアウォール/VPN負荷分散の設定で説明されている設定方法と同じなので、該当箇所を参照して下さい。本

節ではゲートウェイ負荷分散サービスを定義する1番の過程と設定情報を確認する3番を説明します。

ゲートウェイ負荷分散サービスの定義 CLIコマンドを用いて、新しいゲートウェイ負荷分散サービスを定義する方法は次の通りです。PAS-Kにはゲートウェイ負荷分散サー

ビスを含めて最大1,024個のL4負荷分散サービスを登録することができます。複数のゲートウェイ負荷分散サービスを設定する場合

には、次の手順を繰り返します。


1 gwlb <NAME>

＜設定モード＞で、ゲートウェイ負荷分散サービスを定義します。＜GWLB 設定モ

ード＞に移動します。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」文字を使って最大 32 文字まで



ゲートウェイ負荷分散サービスの優先順位を設定します。優先順位値が小さいほど

優先順位は高くなります。 • <PRIORITY> 設定範囲： 0 ~ 255 （デフォルト： 100)

参考：複数のゲートウェイ負荷分散サービスを同一の優先順位値に設定す

る場合、任意のサービスが選択されます。

参考：設定した優先順位をデフォルトに戻すためには、＜GWLB設定モー

ド＞で no priority コマンドを使用します。

3

lb-method {ab | bh | brh | dh | dp | drh | dsp | lc | lc-total | rr | sh | sh-port | sp | srh | swrr | wlc | wlc-total | wrr}

ゲートウェイ負荷分散サービスで使う負荷分散方式を設定します。（デフォルト： rr）

参考： sh-port（ポートハッシュ）方式を使用する際は、Stickyタイムアウト値

を「0」に設定する必要があります。

4 real <ID> サービスを通じてトラフィックを分散する実サーバのIDを設定します。複数の実サー

バを設定する場合には各実サーバのIDを「,（コンマ）」を使って区分し、連続した実サ

ーバのIDは「-（ハイフン）」を使用。


ゲートウェイ負荷分散サービスの障害を監視する障害監視IDを設定します。負荷分

散サービスに障害監視を設定すると、街頭負荷分散サービスを適用する全ての実サ

ーバに障害監視が適用されます。

• <HEALTH-CHECK>

1 つの負荷分散サービスには最大 32 個の障害監視を設定することができます。

複数の障害監視を設定する場合には各障害監視の ID を「,（コンマ）」を使って区分


284

し、連続した障害監視の ID は「-（ハイフン）」を使用。

参考：設定した障害監視をゲートウェイ負荷分散サービスから削除する

ためには、＜GWLB 設定モード＞で no health-check <HEALTH-CHECK> コマンドを使用します。



す。


セッション維持時間を設定します。設定したセッション維持時間が経過した後、接続エ

ントリーが消滅する前に同じクライアントからの接続が試みられれば以前に接続した

ゲートウェイ回線と同じゲートウェイ回線に接続されます。

セッション維持時間を「0」に設定すればセッション維持機能を使いません。


7

sticky source-subnet <SOURCE-SUBNET> （セッション維持機能を適用する送信元のサブネット範囲設定） sticky destination-subnet <DESTINATION-SUBNET> （セッション維持機能を適用する宛先のサブネット範囲設定）

基本的にセッション維持機能は送信元IPアドレス別に適用されます。セッション維持

機能をサブネット別に適用するためには、sticky source-subnet コマンドと sticky destination-subnet コマンドを用いて、セッション維持機能を適用するサブネット

範囲を設定します。（複数のIP帯域を設定する場合：コンマでIP帯域を区分します。）

注意：サブネット別にセッション維持機能を適用するためには、負荷分散方式

を「bh」、「dh」、「sh」の中で設定しなければなりません。

8 fail-skip {all | inact | none} （選択設定）

Fail Skip機能のオプションを指定します。

• all ：全ての実サーバがINACTIVEであったりスケジューラの問題で実サーバを選

択できない場合全てFail Skip処理を行う



9 backup <BACKUP>

設定中のゲートウェイ負荷分散サービスでこれ以上サービスリクエストを受けること

ができない場合、代わりにサービスリクエストを処理するバックアップ負荷分散サー

ビスを設定します。すでに作成されているサービスの名前を入力します。

参考：設定したバックアップサービスをゲートウェイ負荷分散サービスから削

除するためには、＜GWLB 設定モード＞で no backup コマンドを使用し

ます。


負荷分散サービスの実サーバにバックアップ実サーバを設定した場合、マスター実

サーバがまた動作できる状態になった時バックアップ実サーバのセッションをどのよ

うに処理するかを設定します。 • enable バックアップ実サーバのセッションエントリーとセッション維持エントリーを維持

• disable バックアップ実サーバのセッションエントリーとセッション維持エントリーを削除（デフ

ォルト）


ゲートウェイ負荷分散サービスの使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない

12 current ゲートウェイ負荷分散サービスの設定情報を確認します。

13 apply 定義したゲートウェイ負荷分散サービスを保存し、システムに適用します。

参考：定義したゲートウェイ負荷分散サービスを削除するためには、＜設定モード＞で no gwlb <NAME> コマンドを使用します。

ダイナミックプロキシミティの設定

ゲートウェイ負荷分散サービスの負荷分散方式を設定する際、ダイナミックプロキシミティ(Dynamic Proximity)機能を使用すること

ができます。ダイナミックプロキシミティ機能の設定方法はL4サーバ負荷分散サービスの設定過程と同じです。ゲートウェイ負荷分散

285


サービスのダイナミックプロキシミティ機能を設定する方法については、L4サーバ負荷分散の設定 - CLIでの設定 - ダイナミックプ

ロキシミティの設定節の説明をご参照ください。ゲートウェイ負荷分散サービスでは最大32個のダイナミックプロキシミティを設定す

ることができます。

フィルター設定ゲートウェイ負荷分散サービスを適用するトラフィックのフィルタリングを行う時に使用するフィルターを設定する方法は、ファイアウォ

ール負荷分散サービスでフィルターを設定する方法と同じです。従って、定義したキャッシュサーバ負荷分散サービスのフィルターを

設定する方法は、ファイアウォール/VPN負荷分散の設定－ CLIでの設定－フィルター設定の説明を参考して下さい。ゲートウェイ

負荷分散サービスには最大2,048個のフィルターを登録することができます。

ドメインフィルターの設定ドメインフィルターはドメインのIPアドレスとゲートウェイ負荷分散サービスの宛先アドレスが同じ場合、該当の実サーバにサービスす

る機能です。ドメインフィルターは最大2,048個を登録可能であり、複数のドメインフィルターを設定する場合は＜設定モード＞で次の

コマンドを繰り返し実行します。

参考：ドメインフィルター機能を使用するためには下記の項目が設定されている必要があります。

グローバルサーバ負荷分散モードがイネーブルされている必要があります。この機能は本章の＜グローバル負荷分散モード設定＞

をご参照ください。

ゲートウェイ負荷分散サービスの負荷分散方式で「宛先静的プロクシミティ（Destination Static Proximity）」を使用する必要がありま

す。

コマンド説明

domain-filter <ID> domain <DOMAIN>

ドメインフィルターの ID とこの機能を適用するドメイン名を設定します。 • <ID> ドメインフィルター機能のID 設定範囲： 1 ~ 2,048

• <DOMAIN> ドメインフィルター機能を適用するドメイン名

参考：設定したドメインフィルターを実サーバに適用するためには、＜Real設定モード＞で domain-filter <ID> コマンドを使用します。

参考：設定したゲートウェイ負荷分散サービスを削除するためには、＜設定モード＞で no gwlb <NAME> コマンドを使用します。


286

設定情報の表示ゲートウェイ負荷分散サービスの設定作業が終われば、次のような方法で設定情報を確認することができます。

ゲートウェイ負荷分散サービスのリストの表示

現在PAS-Kに定義されている全てのゲートウェイ負荷分散サービスの設定情報を表示するためには、＜管理者モード＞または＜設

定モード＞で show gwlb コマンドを使用します。show gwlbコマンドは現在PAS-Kに定義されているゲートウェイ負荷分散サー

ビスのリストと基本的な設定情報を表示します。

特定のゲートウェイ負荷分散サービスの設定情報の表示

特定のゲートウェイ負荷分散サービスに対する詳細な設定情報を表示するためには、「該当サービスの名前」とともに show gwlbコマンドを実行します。

ドメインフィルターの設定情報の表示

ドメインフィルターの設定情報を確認するためには、＜管理者モード＞または＜設定モード＞で show domain-filter コマンドを使

用します。

ゲートウェイ負荷分散サービスの全て設定情報(実サーバ、障害監視、フィルター、セッション)の表示

＜管理者モード＞または＜設定モード＞で show info gwlb コマンドを使用すると、各ゲートウェイ負荷分散サービスの設定情報

と該当サービスの障害監視設定情報及びサービスに登録された実サーバの設定情報と実サーバを通じて接続されたセッションに対

する情報を表示できます。サービスの名前を入力しないで show info gwlb コマンドを実行すると、全てのゲートウェイ負荷分散

サービスに対する情報が表示され、サービスの名前を入力すれば該当サービスに対する情報だけが表示されます。


287


グローバルサーバ負荷分散の設定グローバルサーバ負荷分散機能の設定方法を説明します。

参考：グローバルサーバ負荷分散機能を構成するためには、VLAN設定とIP設定があらかじめ設定されていなければなりません。VLANとIP設定方法は第3章基本ネットワークの設定を参考して下さい。

設定時の注意事項下記はグローバルサーバ負荷分散機能設定時の注意事項です。

ルーターモード PAS-Kがネームサーバとして動作するルーターモードで設定する時には、次のような点に気を付けてください。

PAS-Kを必ず外部の上位DNSサーバにネームサーバとして登録しなければなりません。ネームサーバとして登録する時に使用

するネームサーバIPアドレスはPAS-Kのゲートウェイ回線のうち1つのIPアドレスでなければならず、必ず固定IPアドレスでなけ

ればなりません。PAS-Kにも外部DNSサーバに登録したのと同じネームサーバ情報を登録しなければなりません。

ウェブホスティングサービスを受ける場合にはウェブホスティング業社にサービスを希望する特定ホストに対するDNSサーバホス

ティングが可能であるかを問い合わせ、可能な場合にだけインバウンド負荷分散サービスを適用することができます。

ブリッジモード PAS-K内部のDNSサーバがネームサーバとして動作するブリッジモードで設定する時には、次のような点に気を付けてください。

パブリックIPアドレスを使うブリッジ構成では、ローカルDNSサーバを外部の上位DNSサーバにネームサーバとして登録します。

DNSクエリーに対してローカルDNSサーバにレスポンスするサーバの実際のアドレスとPAS-Kのグローバルサーバ負荷分散サ

ービスに設定されたサーバの実際のアドレスが必ず一致しなければなりません。二つのIPアドレスが一致しなければ、PAS-KはローカルDNSサーバが送ったレスポンスをそのまま外部DNSサーバに送ります。ローカルネットワークでパブリックIPアドレスを

使っている（サーバのリアルIPアドレスがパブリックIPアドレスの場合）場合には問題がありませんが、プライベートIPアドレスを使

っている場合には問題が発生します。DNSサーバがクライアントにプライベートIPアドレスを送るので、クライアントがサーバに接

続することができなくなります。


288

CLIでの設定 PAS-Kにグローバルサーバ負荷分散を設定する過程は次の通りです。

1. グローバルサーバ負荷分散サービスの定義

2. ネームサーバの設定

3. グループの設定

4. ルール設定

5. レコードの設定

6. グローバルサーバ負荷分散サービスモードの設定

7. インバウンド負荷分散サービスの設定



注意：設定時の注意事項

・ PAS-Kを必ず外部の上位DNSサーバにネームサーバとして登録しなければなりません。ネームサーバとして登録する時に使用するネー

ムサーバIPアドレスはPAS-Kのゲートウェイ回線のうち1つのIPアドレスでなければならず、必ず固定IPアドレスでなければなりません。PA

S-Kにも外部DNSサーバに登録したのと同じネームサーバ情報を登録しなければなりません。・ウェブホスティングサービスを受ける場合にはウェブホスティング業社にサービスを希望する特定ホストに対するDNSサーバホスティン

グが可能であるかを問い合わせ、可能な場合だけグローバルサーバ負荷分散サービスを適用することができます。

289


グローバルサーバ負荷分散サービスの定義 CLIコマンドを用いて、グローバルサーバ負荷分散サービスを定義する方法は次の通りです。複数のグローバルサーバ負荷分散サ

ービスを設定する場合には、次の手順を繰り返します。


1 gslb <NAME>

＜設定モード＞で、グローバルサーバ負荷分散サービスを定義します。＜GSLB 設定モード＞に移動します。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」を使って 32 文字まで設


2 zone <ZONE> （必須設定）

設定中のグローバルサーバ負荷分散サービスのゾーンを設定します。 • <ZONE>

A-Z、a-z、0-9, -（ハイフン）を使用して最大 253 字まで設定可能。ただし、

全てが数字であったり、最初又は最後がハイフンであると設定できません。

参考： applyコマンドを実行した後には、同じゾーン名を他の負荷分散

サービスに使うことができなく、ゾーン名も変更することができません。


グローバルサーバ負荷分散サービスの優先順位を指定します。優先順位の

値が小さいほど、優先順位が高くなります。 <PRIORITY>

設定範囲：0 ~ 255 （デフォルト： 50）

4 forward-mode {bridge | router | disable}

クライアントのDNSクエリーにレスポンスするネームサーバを指定します。 bridge ブリッジモードのイネーブル。ローカルDNSサーバをネー

ムサーバとして指定 router ルーターモードのイネーブル。PAS-Kをネームサーバと

して指定 disable ルーターモードとブリッジモードのディスエーブル（デフォ

ルト）

注意：ブリッジモード、またはルーターモードを設定する場合、まず、

グローバルサーバ負荷分散モード機能をイネーブルにしなければな

りません。グローバルサーバ負荷分散モードの設定方法は本節の＜

グローバルサーバ負荷分散モードの設定＞をご参考ください。

5 forwarders <FORWARDERS>

クライアントの DNS クエリーを転送するフォワーダー（forwarder）の IP アドレ

スを設定します。4 番過程でブリッジモードに設定した場合、ローカル DNSサーバの IP アドレスを入力します。 <FORWARDERS> フォワーダー（forwarder）のIPアドレス


グローバルサーバ負荷分散サービスの障害を監視する障害監視IDを設定し

ます。負荷分散サービスに障害監視を設定すると、街頭負荷分散サービスを

適用する全ての実サーバに障害監視が適用されます。サービス障害監視ま

たは実サーバ障害監視のふたつのうちひとつだけが設定されていると、グロ

ーバルサーバ負荷分散サービスが動作します。

• <HEALTH-CHECK>


ます。複数の障害監視を設定する場合には各障害監視の ID を「,（コンマ）」

を使って区分し、連続された障害監視の ID は「-（ハイフン）」を使用。

参考：設定した障害監視をグローバルサーバ負荷分散サービスから

削除するためには、＜GSLB 設定モード＞で no health-check <HEALTH-CHECK> コマンドを使用します。


全て正常の場合にだけ負荷分散サービス正常に動作していると見なし

す。


グローバルサーバ負荷分散サービスの使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない

8 current グローバルサーバ負荷分散サービスの設定情報を確認します。

9 apply 定義したグローバルサーバ負荷分散サービスを保存し、システムに適用しま

す。


290

参考：定義したグローバルサーバ負荷分散サービスを削除するためには、＜設定モード＞で no gslb <NAME> コマンドを使用します。

ネームサーバ設定 CLIコマンドを用いて、グローバルサーバ負荷分散サービスを定義する方法は次の通りです。1つのグローバルサーバ負荷分散サー

ビスには最大16個のネームサーバを定義することができます。複数のネームサーバを設定する場合には、次の手順を繰り返します。


1 gslb <NAME>

＜設定モード＞で、グローバルサーバ負荷分散サービスを定義します。＜GSLB 設定モード＞に移動します。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」文字を使って最大 32 文字


2 name-server <ID> ネームサーバを定義します。 • <ID> ネームサーバの ID 設定範囲： 1 ~ 16

3 name <NAME>

ネームサーバの名前を設定します。 • <NAME> 英文字と数字と「-（ハイフン）」を使って最大 32 文字まで設定。最初の文字は必

ず英文字を使用。「-」は文字と文字の間にのみ使用可能。

4

ip <IP>

ネームサーバのIPアドレスを設定します。ネームサーバのIPアドレスは上位の

DNSサーバに登録する時に使用されます（あるいは既に上位のDNSサーバに登

録されているIPアドレスを設定します）。ゾーンに属するドメインに対するリクエスト

をDNSサーバが受信すれば、DNSサーバはこのアドレスでPAS-Kにリクエストを

送ります。ネームサーバのIPアドレスはIPv4アドレスとIPv6アドレスをそれぞれひ

とつずつ設定することができます。 • <IP> ネームサーバのIPv4アドレス

• <IP6> ネームサーバのIPv6アドレス

注意： L4サーバ負荷分散仮想IPアドレスとグローバルサーバ負荷分散サ

ービスのネームサーバIPアドレスを同一に設定することができます。その際、

L4サーバ負荷分散サービスのIncludeフィルターにグローバルサーバ負

荷分散サービスパケットが適用されないように注意してください。

注意：ネームサーバのIPアドレスはPAS-Kのゲートウェイ回線のIPアドレ

スでなければならず、必ず固定IPアドレスでなければなりません。 ip6 <IP6>

5 ttl <TTL>

ネームサーバのTTL値を設定します。クライアントはPAS-Kが送ったアドレス情報

を設定したTTL時間の間維持することができます。 • <TTL> 設定範囲： 0 ~ 65,535（秒）（デフォルト： 10 秒）

参考：設定したttl値はグローバルサーバ負荷分散サービス内の全てのド

メインに適用されるttl値ではなく、name コマンドを使って設定した＜ネー

ムサーバのドメイン＞、＜グローバルサーバ負荷分散サービスのゾーン＞

についてttl値です。


ネームサーバをすぐに適用しない場合には、ネームサーバをディスエーブルにし

ます。

参考：ディスエーブルにされたネームサーバは、status enable コマンド

を用いて再びイネーブルすることができます。

7 current ネームサーバの設定情報を確認します。

8 apply 定義しネームサーバを保存し、システムに適用します。

291


グループ設定 L7サーバ負荷分散サービスを定義して実サーバを追加した後に実サーバのグループ（Group）を設定することができます。L4負荷分

散サービスではサービスごとに負荷分散方式を設定しますが、L7サーバ負荷分散サービスではグループ別に別途の負荷分散方式

を設定します。そして、セッション維持機能の適用もグループ単位で行われます。一つのL7サーバ負荷分散サービスには最大256個のグループを登録することができます。複数のグループを設定する場合には、次の手順を繰り返します。


1 gslb <NAME>

＜設定モード＞で、グローバルサーバ負荷分散サービスを定義します。＜GSLB 設定モード＞に移動します。 • <NAME> グループを設定するグローバルサーバ負荷分散のサービス名

2 group <ID> グループを定義します。 • <ID> グループの ID 設定範囲： 1 ~ 16

3 real <ID> 該当グループに含める実サーバを設定します。複数の実サーバを追加するため

には、各実サーバのIDをコンマで区分します。

4 lb-method type {ab | rr | sp} グループに属するサーバで負荷を分散させる時に使う負荷分散方式を設定しま

す。（デフォルト： rr）

5 current グループの設定情報を確認します。

6 apply グループ設定を保存し、システムに適用します。

参考：設定したグループを削除するためには、＜GSLB 設定モード＞で no group <ID> コマンドを使用します。

ルール設定設定した実サーバにグローバルサーバ負荷分散サービスを適用するためには、実サーバが最小限1つのルールに含まれていなけれ

ばなりません。ルールを定義し、ルールに実サーバを追加(ルールを適用する実サーバを設定)する方法は以下の通りです。1つのグロ

ーバルサーバ負荷分散サービスには最大16個のルールを登録することができます。複数の実サーバを設定する場合には、次の手

順を繰り返します。


1 gslb <NAME> ＜設定モード＞で＜GSLB設定モード＞に入ります。 • <NAME> ルールを設定するグローバルサーバ負荷分散のサービス名

2 rule <ID> グローバルサーバ負荷分散サービスのルールを定義します。 • <ID> 設定範囲： 1 ~ 16

3 host <HOST>

グローバルサーバ負荷分散サービスで設定したゾーンのホスト名を設定します。

ホスト名の代わりに「@」を入力してホストなしのドメインを設定することができま

す。 • <HOST>

A-Z, a-z, 0-9, @, *, -, _, .を使用して最大 253 字まで設定可能。ただし、全

てが数字であったり最初又は最後がハイフンであると設定できません。「@」のみ入力した場合にはホストを使用せず、サーバ負荷分散サービスのゾー

ンのみドメインで使用します。「*」のみ入力した場合には全てのホストをドメイン

に使用します。

4 group <ID>

現在設定中のルールを適用する実サーバを設定します。 • <ID>

グループの ID 複数の実サーバを設定する場合には、各実サーバの ID をコンマで区分。

5 ttl <TTL>

ルールのTTL値を設定します。クライアントはPAS-Kが送ったアドレス情報を設定

したTTL時間の間維持することができます。 • <TTL> 設定範囲： 1 ~ 65,535（秒）（デフォルト： 10 秒）


292


ルールをすぐにグローバル負荷分散サービスに適用しない場合には、ルールをデ

ィスエーブルにします。（デフォルト：イネーブル）

参考: ディスエーブルのルールは status enable コマンドを用いて、再

びイネーブルすることができます。

7 current ルールの設定情報を確認します。

8 apply ルール設定を保存し、システムに適用します。

参考：設定したルールを削除するためには＜GSLB 設定モード＞で no rule <ID> コマンドを使って削除することができます。

レコードの追加負荷分散と関係なく単純にゾーン（グローバルサーバ負荷分散サービスのゾーン）に属するドメインと関連するデータ（レコード）を追

加する方法は次の通りです。1つのグローバルサーバ負荷分散サービスには最大512個のレコードを登録することができます。複数

の実サーバを設定する場合には、次の手順を繰り返します。


1 gslb <NAME> ＜設定モード＞で＜GSLB設定モード＞に入ります。 • <NAME> レコードを設定するグローバルサーバ負荷分散のサービス名

2 record <ID> レコードを生成します。 • <ID>

レコードの ID 設定範囲： 1 ~ 512

3 type {a | aaaa | cname | mx}

レコードの種類を設定します。 • a（Address Record）：ドメインとドメインの IPv4 アドレスが記録されるレコー

ド（デフォルト） • aaaa ：ドメインとドメインの IPv6 アドレスが記録されるレコード（デフォルト） • cname（Canonical Name Record）：ドメインの別称が記録されるレコード • mx（Mail Exchanger Record）：ドメインと該当ドメイン用メールサーバが記

録されるレコード

参考: 設定したレコードの種類によって設定しなければならない値が変わ

ります。設定したレコードの種類によって次のような番号の作業を実行し

ます。 • a 4 番 • aaaa 4 番 • cname 5 番 • mx 6 番

7 ~ 11番はレコードの種類にかかわらず共通に実行しなければならない

過程なので、各種類別に過程を実行した後、7番から実行します。

4 service-ip <SERVICE-IP>

ドメインのIPアドレスを設定します。 service-ip6 <SERVICE-IP6>

5 cname <CNAME> ドメインの別称を設定します。一般的に別称はドメインの代わりに覚えやすく、簡

単で直観的な名前を使います。

6 preference <PREFERENCE>

1つのドメインに複数のメールサーバが設定されている場合、クライアントに知ら

せるメールサーバを選択する時に使用する優先順位を設定します。 • <PREFERENCE>

設定範囲： 0 ~ 65,535 （デフォルト： 50）

7 host <HOST>

ドメインのIPアドレスやメールサーバアドレス、ドメインの別称などをサービスす

るドメイン（正確にはホスト）を設定します。情報をサービスするドメインはこのコ

マンドを用いて設定したdomain.＜グローバルサーバ負荷分散サービスのゾー

ン＞になります。

• <NAME> A-Z、a-z、0-9、-（ハイフン）、_（アンダーバー）、@、*を使用可能。ただし、全

てが数字であったり最初又は最後がハイフンであると設定できません。 @のみ入力した場合には、ホストを使用せずサーバ負荷分散サービスの領域

293


のみドメインとして使用。*のみ入力した場合には全てのホストに対してドメイン

に使用。

8 ttl <TTL> PAS-Kがレスポンスする情報の有効期間を設定します。 • <TTL>

設定範囲： 1 ~ 65,535（秒）（デフォルト： 10 秒）


レコードをすぐに負荷分散サービスに適用しない場合には、レコードをディスエ

ーブルにします。（デフォルト：イネーブル）

10 current レコードの設定情報を確認します。

11 apply レコード設定を保存し、システムに適用します。

参考：追加したレコードを削除するためには、＜GSLB 設定モード＞で no record <ID> コマンドを用います。

グローバルサーバ負荷分散モードの設定クライアントのDNSクエリーがPAS-Kに設定されているすべてのグローバルサーバ負荷分散サービスゾーンに属していない場合、DNSクエリーを処理するためのグローバルサーバ負荷分散モードを設定します。

グローバルサーバ負荷分散モード設定するためには、＜設定モード＞から次の過程を実行します。


1 gslb-mode {recursive-mode | forward-mode} {enable | disable}

DNSクエリーを処理するためのモード設定を行います。

• recursive-mode Recursiveモードに設定

• forward-mode Forwardモードに設定

• enable 当該モードのイネーブル

• disable 当該モードのディスエーブル（デフォルト）

2 gslb-mode server-ip <SERVER-IP>

ネームサーバのIPアドレスを設定します。ネームサーバのIPアドレスは上位

DNSサーバに登録する際に使用します（または既に上位DNSサーバに登録

されているIPアドレスを設定します）。ゾーンに属しているドメインに対する要

請をDNSサーバが受信するとDNSサーバはこのアドレスでPAS-Kに要請を

転送します。 • <SERVER-IP> ネームサーバのIPアドレス複数のIPアドレスを追加するためには、スペースを空けず「,（コンマ）」でIPアドレスを区切ってください。

注意：このアドレスはPAS-Kのゲートウェイ回線のIPアドレスでなければならず、

必ず固定IPアドレスでなければなりません。VLANインターフェースのIPアドレスの

設定時、重複(Overlapped)オプションを使用する場合、該当IPアドレスをネームサ

ーバのIPアドレスに使用することができます。

参考：設定したネームサーバのIPアドレスを削除するためには、＜

設定モード＞で no gslb-mode server-ip <SERVER-IP> コマン

ドを実行します。

3 gslb-mode forwarder <FORWARDER>

1 番過程で forward-mode に指定した場合には DNS クエリーを転送するた

めの DNS サーバ IP アドレスを設定します。 <FORWARDER>

DNS クエリーを受信する DNS サーバの IP アドレス

参考：設定したフォワーダー（forwarder）を削除する場合は、＜設定モー

ド＞で no gslb-mode forwarder <FORWARDER> コマンドを実行

します。


294

設定情報の表示グローバルサーバ負荷分散サービスの設定作業後、以下の方法で設定情報を確認できます。

グローバルサーバ負荷分散サービスリストの表示

現在PAS-Kに定義されている全てのグローバルサーバ負荷分散サービスの設定情報を表示するためには、＜管理者モード＞また

は＜設定モード＞で show gslb コマンドを使用します。show gslb コマンドは現在PAS-Kに定義されているグローバルサーバ負

荷分散サービスのリストと基本的な設定情報を表示します。

特定のグローバルサーバ負荷分散サービスの設定情報の表示

特定のグローバルサーバ負荷分散サービスに対する詳細な設定情報を表示するためには、「該当サービスの名前」とともに show gslb コマンドを実行します。

グローバル負荷分散サービスモードの設定情報の表示

グローバル負荷分散モードの設定情報を確認するためには、＜管理者モード＞または＜設定モード＞で show gslb-mode コマンド

を実行します。

グローバルサーバ負荷分散サービスの全て設定情報（実サーバ、障害監視）の表示

＜管理者モード＞または＜設定モード＞で show info gslb コマンドを使用すると、各グローバルサーバ負荷分散サービスの設

定情報と該当サービスの障害監視設定情報及びサービスに登録された実サーバに対する情報を表示できます。サービスの名前を

入力しないで show info gslb コマンドを実行すると、全てのグローバルサーバ負荷分散サービスに対する情報が表示され、サー

ビスの名前を入力すれば該当サービスに対する情報だけが表示されます。


295


インバウンド負荷分散の設定本節では、CLIからPAS-Kがインバウンド負荷分散機能を使用できるように設定する方法を説明します。

参考：インバウンド負荷分散機能を構成するためには、VLANとIPアドレス、ポートバウンダリー、障害監視、実サーバがあらかじめ設

定されていなければなりません。各設定方法については次の部分をご参考ください。 VLAN設定とIPアドレス: [第３章基本ネットワークの設定 – VLAN設定、IPアドレス/ルーターの設定]

ポートバウンダリー: [第６章ポートバウンダリーの設定]

障害監視: [第７章負荷分散の設定 – 障害監視の設定]

実サーバ: [第７章負荷分散の設定 – 実サーバの設定]

注意: インバウンド負荷分散機能を設定するためには、当該サービスに含まれている実サーバの svcip 設定が必須です。svcip 設定は

＜Real 設定モード＞で svcip <IP> を入力し、設定します。

設定時の注意事項次は、インバウンド負荷分散機能を設定するときの注意事項です。インバウンド負荷分散機能を設定する前に必ずこの事項

を読み、熟知して下さい。

インバウンド負荷分散機能とグローバルサーバ負荷分散機能は、DNS（Domain Name System）に基づいて動作します。その

ため、CLIでの設定過程とコマンドが部分的に同じです。より詳細な過程については、本節の<CLIでの設定>をご参考ください。

クライアントのDNSクエリーがPAS-Kに設定されているインバウンド負荷分散サービスのゾーンに属していない場合、DNSクエリ

ーを処理するためのルーターモード、またはブリッジモードを設定します。次は、各モード設定時の注意事項です。

ルーターモード

インバウンド負荷分散設定の際、PAS-Kがネームサーバとして動作するルーターモードに設定する場合、次のような事項にご注

意ください。

- PAS-Kを必ず上位のDNSサーバにネームサーバとして登録しなければなりません。ネームサーバとして登録するときに使用す

るIPアドレスは、PAS-Kのゲートウェイ回線のうちの１つのIPアドレスでなければならず、必ず固定IPアドレスでなければなりま

せん。PAS-Kにも外部DNSサーバに登録したものと同じネームサーバ情報を登録しなければなりません。

- ウェブホスティングサービスを受ける場合には、ウェブホスティング会社にサービスを希望する特定のホストに対するDNSサー

バをホスティングできるのかお問い合わせください。できる場合にのみインバウンド負荷分散サービスを適用することができま

す。

ブリッジモード

インバウンド負荷分散設定の際、PAS-K内部のDNSサーバがネームサーバとして動作するブリッジモードに設定する場合、次の

ような事項にご注意ください。

- パブリックIPアドレスを使用するブリッジ構成では、ローカルDNSサーバを外部の上位DNSサーバにネームサーバとして登録

します。


296

CLIでの設定 PAS-Kにインバウンド負荷分散機能を設定する過程は次のとおりです。

1. インバウンド負荷分散サービスの定義

2. ネームサーバの設定

3. グループの設定

4. ルールの設定

5. レコードの設定

6. グローバルサーバ負荷分散モードの設定


各過程の設定方法を順に説明します。

297


インバウンド負荷分散サービスの定義次は、１つのインバウンド負荷分散サービスを設定する過程です。複数のインバウンド負荷分散サービスを設定する場合に

は次の過程を繰り返します。

注意：インバウンド負荷分散機能を設定するためには、必ず、当該サービスに含まれている実サーバのサービスIPアドレスを設定しなけ

ればなりません。サービスIPアドレスの設定は <Real 設定モード>で svcip <IP>を入力し、設定します。


1 gslb <NAME>

＜GSLB設定モード＞に移動し、インバウンド負荷分散サービスを定義します。 • <NAME> アルファベットと数字、「–（ハイフン）」、「_（アンダーバー）」文字を使用し、最大 32 文字まで指

定。最初の文字は必ずアルファベットを使用。

2 zone <ZONE> （必須設定）

インバウンド負荷分散サービスゾーンを設定します。 <ZONE> A〜Z、a〜z、0〜9、-、_、．を使用し、最大 253 文字まで指定可能。但し、全て数字であったり

最初又は最後にハイフンを使用することはできません。


インバウンド負荷分散サービスの優先順位を指定します。優先順位の値が小さいほど優先順

位が高くなります。 <PRIORITY> 設定範囲： 0 ~ 255 （デフォルト： 50）

4 forward-mode {bridge | router | disable}

クライアントのDNSクエリーにレスポンスするネームサーバを指定します。 bridge ：ブリッジモードのイネーブル。ローカルDNSサーバをネームサーバとして指定 router ：ルーターモードのイネーブル。PAS-Kをネームサーバとして指定 disable ：ブリッジモードおよびルーターモードのディスエーブル（デフォルト）

注意: ブリッジモード、またはルーターモードに設定する場合、まず、グローバルサーバ負荷分散モード

機能をイネーブルにしなければなりません。グローバルサーバ負荷分散モードの設定方法は本節の<グローバルサーバ負荷分散モード設定>をご参考ください。

5 forwarders <FORWARDERS>

クライアントの DNS クエリーを転送するフォワーダー（forwarder）の IP アドレスを設定します。

4 番過程でブリッジモードに設定した場合、ローカル DNS サーバの IP アドレスを入力します。 <FORWARDERS> フォワーダー（forwarder）のIPアドレス


インバウンド負荷分散サービスを適用する実サーバの状態を確認するための障害監視IDを設

定します。負荷分散サービスに障害監視を設定すると当該負荷分散サービスを適用するすべ

ての実サーバに障害監視が適用されます。 • <HEALTH-CHECK> 障害監視 ID の設定。１つの負荷分散サービスに最大 32 個の障害監視 ID を設定可能。複

数の障害監視を指定する場合、各障害監視 ID を「,（コンマ）」で区分し、連続する障害監視 ID は「-（ハイフン）」を使用。

参考：設定した障害監視を削除する場合、＜GSLB設定モード＞で no health-check <HEALTH-CHECK> コマンドを実行します。

参考：複数の障害監視を指定したり、実サーバの設定時に障害監視を指定した場合にはそれぞれの

監視結果がすべて正常である場合のみ、実サーバが正常動作していると見なします。

7 inbound-lb-mode {enable | disable}

インバウンド負荷分散サービスの使用可否を指定します。 • enable ：使用する • disable ：使用しない（デフォルト）

参考：インバウンド負荷分散機能をイネーブルにすると、Forwardモードに関係なく複数のゲート

ウェイ回線に負荷が分散されます。

8 current インバウンド負荷分散サービスの設定情報を確認します。 9 apply インバウンド負荷分散サービスを保存し、システムに適用します。

参考：定義されたインバウンド負荷分散サービスを削除する場合、＜設定モード＞で no gslb <NAME> を実行します。


298

ネームサーバの設定グローバルサーバ負荷分散サービスを定義する際、受信されるDNSクエリーにレスポンスするネームサーバとして動作できるように、

PAS-Kをネームサーバとして定義し、ネームサーバ名とIPアドレス、TTL値を設定します。外部の上位DNSサーバからPAS-KにDNSクエリーを送るためには、必ず定義したネームサーバのIPアドレスを外部の上位DNSサーバに登録しなければなりません。

次は、インバウンド負荷分散サービスのネームサーバ設定方法です。１つのインバウンド負荷分散サービスは最大16個のネームサ

ーバを定義することができるため、複数のネームサーバを設定する場合には＜設定モード＞で次の過程を繰り返します。


1 gslb <NAME>

＜GSLB設定モード＞に入ります。 • <NAME> ネームサーバを設定するインバウンド負荷分散サービス名

2 name-server <name-server>

＜ネームサーバ設定モード＞に入ります。 • <ID> ネームサーバの ID 設定範囲： 1 ~ 16

3 name <NAME>

ネームサーバ名を指定します。 • <NAME> アルファベット、数字、「-（ハイフン）」を使用し、最大 32 文字まで指定可能。但し、最初の文字は必ず

アルファベットを使用し、ハイフンは文字と文字の間に使用すること。

4

ip <IP>

ネームサーバのIPアドレスを設定します。ネームサーバのIPアドレスは上位のDNSサーバに登録する

ときに使用されます（あるいは、既に上位DNSサーバに登録されているIPアドレスを設定します）。

DNSサーバがゾーンに属するドメインに対するリクエストを受信すると、DNSサーバはこのアドレスで

PAS-Kにリクエストを転送します。このアドレスはIPv4アドレスとIPv6アドレスをそれぞれひとつずつ設

定することができます。 <IP>

ネームサーバのIPv4アドレス

<IP6> ネームサーバのIPv6アドレス

注意： L4サーバ負荷分散サービスの仮想IPアドレスとグローバルサーバ負荷分散サ

ービスのネームサーバIPアドレスを同一に設定することができます。この際、L4サーバ

負荷分散サービスのIncludeフィルターにグローバルサーバ負荷分散サービスパケット

が適用されないようにフィルター設定に注意してください。

注意: このアドレスはPAS-Kのゲートウェイ回線のIPアドレスでなければならず、必ず、PAS-Kのインターフェースで設定されていない固定IPアドレスでなければなりません。VLANインターフェースのIPアドレスの設定時、重複（Overlapp ed）オプションを使用する場合は該当のIPアドレスをネームサーバのIPアドレスとして使用することができます。

Ip6 <IP6>

5 ttl <TTL>

ネームサーバのTTL値を設定します。クライアントはPAS-Kが転送したアドレスデータを設定したTTL時間の間維持することができます。 • <TTL> 設定範囲： 1 ~ 65,535（秒）（デフォルト： 10 秒）

参考：設定したTTL値はインバウンド負荷分散サービス内のすべてのドメインに適用されるのではなく、name コマンドを使用して指定した <ネームサーバのドメイン>、<インバウンド負荷分散サービスのゾーン>に対す

るTTL値です。

6 status {enable | disable}

ネームサーバの使用可否を指定します。

enable ：使用する（デフォルト）

disable ：使用しない

7 current ネームサーバの設定情報を確認します。

8 apply ネームサーバを保存し、システムに適用します。

参考：設定したネームサーバを削除する場合、＜GSLB設定モード＞で no name-server <ID> コマンドを使用します。

299


参考：設定したネームサーバを確認する場合、＜GSLB設定モード＞で show name-server [<ID>] コマンドを使用します。

グループの設定インバウンド負荷分散サービスを定義した後には実サーバのグループ（Group）を設定することができます。インバウンド負荷分散サ

ービスではグループ毎に別途の負荷分散方式を設定します。１つのインバウンド負荷分散サービスには最大16個のグループを設定

することができるため、複数のグループを設定する場合には＜設定モード＞で次の過程を繰り返します。


1 gslb <NAME>

＜GSLB設定モード＞に入ります。 • <NAME>

ルールを設定するインバウンド負荷分散サービス名

2 group <ID>

＜Group設定モード＞に入ります。 • <ID> グループの ID 設定範囲： 1 ~ 16

3 real <ID>

サービスを通じてトラフィックを分散させる実サーバのIDを設定します。 <ID>

実サーバIDの設定。複数の実サーバを指定する場合には各実サーバのIDを「,（コンマ）」で区分し、

連続する実サーバ IDは「-（ハイフン）」を使用。

参考：設定した実サーバをグループから削除する場合、＜Group設定モード＞で no real <ID>を実行します。

4 lb-method {ab |rr |sp} グループに属している実サーバに負荷を分散させるときに使用する負荷分散方式を設定します。（デフ

ォルト： rr）


6 apply グループを保存し、システムに適用します。

参考：設定したグループを削除するためには、＜GSLB設定モード＞で no group <ID> コマンドを使用します。

参考：設定したグループを確認するためには、＜GSLB設定モード＞で show group [<ID>] コマンドを使用します。


300

ルールの設定グループを設定した後にはルールを設定します。前で定義した実サーバのグループにインバウンド負荷分散サービスを適用するた

めには、実サーバのグループが少なくとも１つのルールに含まれていなければなりません。ルールを設定するときにはルールを作成

し、実サーバのサーバ名とIPアドレス、MACアドレス、サービスIPアドレス、重み付け値、インターフェースなどを設定します。１つのイ

ンバウンド負荷分散サービスには最大16個のルールを登録することができるため、複数のルールを設定するためには、＜設定モー

ド＞で次の過程を繰り返します。


1 gslb <NAME>

＜GSLB設定モード＞に入ります。 • <NAME>

ルールを設定するインバウンド負荷分散サービス名

2 rule <ID> ＜Rule設定モード＞に入り、ルールを設定します。 <ID>

ルールのID 設定範囲： 1 ~ 16

3 host <HOST>

DNSクエリーにレスポンスするサービスドメイン（正確にはホスト）を設定します。情報をサービスするド

メインはこのコマンドを使用して指定した「ホスト<インバウンド負荷分散サービスのゾーン>」になりま

す。 <HOST>

A-Z、a-z、0-9、-、_、@、* を使用し、最大253文字まで指定可能。但し、すべての文字が数字、また

は最初と最後にハイフンは使用できない。

参考：設定したホストを削除する場合、no host <HOST> を実行します。

4 group <ID>

現在設定しているルールを適用する実サーバのグループを設定します。[インバウンド負荷分散の設

定 – グループの設定]で作成したIDを入力します。 <ID>

グループの ID をコンマで区分

5 ttl <TTL>

ルールのTTL値を設定します。クライアントはPAS-Kが転送するアドレス情報を設定したTTL時間の間

維持することができます。 <TTL> ルールのTTL値設定設定範囲：1 ~ 65,535（秒）（デフォルト： 10秒）

参考: 設定したTTL値を削除する場合、no ttl <ttl> を実行します。設定値を削除するとデフォルトに戻

ります。

6 status {enable | disable}

ルールの使用可否を指定します。 enable ：使用する（デフォルト） disable ：使用しない


8 apply ルールを保存し、システムに適用します。

参考：設定したルールを削除する場合、＜GSLB設定モード＞で no rule <ID> コマンドを使用し、削除することができます。

301


レコードの設定負荷分散に関係なく、単純にゾーン（インバウンド負荷分散サービスのゾーン）に属するドメインと関連したデータ（レコード）を追加す

る方法は次のとおりです。１つのインバウンド負荷分散サービスには最大512個のレコードを追加することができるため、複数のレコ

ードを設定する場合には次の過程を繰り返します。


1 gslb <NAME>

＜設定モード＞から＜GSLB設定モード＞に入ります。 • <NAME>

レコードを追加するサーバモードのインバウンド負荷分散サービス名

2 record <ID>

<レコード設定モード>に入ります。 • <ID>

レコードの ID 設定範囲： 1 ~ 512

3 type {a | aaaa | cname | mx}

定義するレコードの種類を指定します。（デフォルト：「a」レコード）・ a ：ドメインとドメインの IPv4 アドレスが記録されるレコード（Address Record）

・aaaa ：ドメインとドメインの IPv6 アドレスが記録されるレコード（Address Record）

・cname ：ドメインの別称が記録されるレコード（Canonical Name Record）

・mx ：ドメインと当該ドメイン用のメールサーバが記録されるレコード（Mail Exchanger Record）

参考：指定したレコードの種類により、設定値が異なります。指定したレコードの種類によって次の過程を実

行します。 • a 4 番過程 • aaaa 4 番過程 • cname 5 番過程 • mx 6 番過程

9 ～ 11番過程は、レコードの種類に関係なく共通で実行する過程であるため、各種類別の過程を実行した

後には9番過程から実行します。

4 service-ip <SERVICE-IP>

ドメインのIPアドレスを設定します。 service-ip6 <SERVICE-IP6>

5 cname <CNAME> PAS-Kがレスポンスするドメインの別称を入力します。通常、別称はドメインの代わりに覚えやすく簡

単、かつ直観的な名前を使用します。

6 preference <PREFERENCE>

１つのドメインに複数のメールサーバが設定されている場合、クライアントに送るメールサーバを選択

するときの優先順位を指定します。

<PREFERENCE>

設定範囲： 0 ~ 65,535 （デフォルト： 50）

4 host <HOST>

前で設定したドメインのIPアドレスやメールサーバのアドレス、ドメインの別称などをサービスするサー

ビスドメイン（正確にはホスト）を指定します。情報をサービスするドメインは、このコマンドを使用して指

定した「ホスト<インバウンド負荷分散サービスのゾーン>」になります。 • <HOST>

A-Z、a-z、0-9、- 、 _ 、 @ 、* を使用し最大 253 文字まで設定が可能。但し、すべての文字が数

字、または最初と最後にハイフンを使用することはできない。「@」のみを入力した場合にはサーバ

負荷分散サービスのゾーンのみドメインを使用する。「*」のみを入力した場合には全てのホストに対

してドメインに使用する。

5 ttl <TTL>

現在設定しているレコード情報の有効期限（TTL値）を指定します。 • <TTL>

設定範囲： 1 ~ 65,535（秒）（デフォルト： 10 秒）

9 status {enable | disable} レコードの使用可否を指定します。

10 current レコードの設定情報を確認します。

11 apply レコードを保存し、システムに適用します。


302

参考：追加したレコードを削除する場合、＜GSLB設定モード＞で no record <ID> を実行します。

参考：設定したレコードを確認する場合、＜GSLB設定モード＞で show record [<ID>] コマンドを実行します。

グローバルサーバ負荷分散のモード設定クライアントのDNSクエリーがPAS-Kに設定されたすべてのインバウンド負荷分散サービスゾーンに属していない場合、DNSクエリー

を処理するためのグローバルサーバ負荷分散モードを設定します。

グローバルサーバ負荷分散のモード設定は、<設定モード>で次の過程を実行します。


1 gslb-mode {recursive-mode | forward-mode} {enable | disable}

DNSクエリーを処理するためのモードを設定します。

• recursive-mode Recursiveモードに設定

• forward-mode Forwardモードに設定

• enable 当該モードのイネーブル

• disable 当該モードのディスエーブル

2 gslb-mode server-ip <SERVER-IP>

ネームサーバのIPアドレスを設定します。ネームサーバのIPアドレスは上位DNSサーバに登録する際

に使用します（または既に上位DNSサーバに登録されているIPアドレスを設定します）。ゾーンに属した

ドメインに対してリクエストをDNSサーバが受信すると、DNSサーバはこのアドレスでPAS-Kにリクエス

トを転送します。 • <SERVER-IP>

ネームサーバのIPアドレス

注意：このアドレスはPAS-Kのゲートウェイ回線のIPアドレスでなければならず、必ず固定IPアド

レスでなければなりません。VLANインターフェースのIPアドレスの設定時、重複(Overlapped)オプ

ションを使用する場合該当のIPアドレスをネームサーバのIPアドレスに使用することができます。

参考：設定したネームサーバのIPアドレスを削除するためには、＜設定モード＞

で no gslb-mode server-ip <SERVER-IP> コマンドを実行します。

3 gslb-mode forwarder <FORWARDER>

１番過程で forward-mode に指定した場合には DNS クエリーを転送するための DNS サーバの IP アド

レスを設定します。 <FORWARDER>

DNS クエリーを受信する DNS サーバの IP アドレス

参考：設定したフォワーダー(forwarder)を削除するためには、＜設定モード＞で no gslb-mode forwarder <FORWARDER> コマンドを実行します。

303


設定情報の表示インバウンド負荷分散のサービス設定を完了した後、次の方法で設定情報を確認することができます。

インバウンド負荷分散サービスリストの表示

現在、PAS-Kに定義されているすべてのインバウンド負荷分散サービスの設定情報を確認する場合、＜管理者モード＞また

は＜設定モード＞で show gslb コマンドを使用します。show gslb コマンドは現在PAS-Kに定義されているインバウンド

負荷分散サービスのリストと基本的な設定情報を表示します。

特定インバウンド負荷分散サービスの設定情報の表示

特定インバウンド負荷分散サービスの詳細な設定情報を表示する場合、＜管理者モード＞または＜設定モード＞で show gslb コマンドを入力してから当該サービス名（<NAME>）を入力します。

グローバルサーバ負荷分散モードの設定情報の表示

グローバルサーバ負荷分散モードの設定情報を確認する場合、＜管理者モード＞または＜設定モード＞で show gslb-mode コマンドを使用します。

インバウンド負荷分散サービスのすべての設定情報表示（実サーバ、障害監視、セッション設定）

各インバウンド負荷分散サービスの設定情報と当該サービスの障害監視設定情報、そしてサービスに登録された実サーバ

の情報を確認する場合、＜管理者モード＞または＜設定モード＞で show info gslb コマンドを使用します。

サービス名を入力せずに show info gslb コマンドを実行するとすべてのインバウンド負荷分散サービスに関する情報が出

力され、サービス名を入力すると当該サービスに関する情報のみ出力します。

参考：当該コマンドを実行してから出力される画面と設定情報に関する詳細については、本書と共に提供されるコマンド説明書をご参考く

ださい。


304

L7 サーバ負荷分散の設定 L7サーバ負荷分散機能の設定方法を説明します。

CLIでの設定 PAS-KにL7サーバ負荷分散を設定する過程は次の通りです。

1. パターンの定義

2. L7サーバ負荷分散サービスの定義

3. グループ設定

4. URL変更設定

5. ルール設定



パターン定義次のような方法でL7負荷分散サービスを提供するトラフィック（HTTPリクエスト）を選択するのに使われるパターンを定義します。PAS-Kには最大512個のパターンを登録することができます。複数のパターンを設定する場合には、次の手順を繰り返します。


1 layer7 pattern <ID>

＜設定モード＞からパターンを定義できる＜Pattern 設定モード＞に移動しま

す。

• <ID> 定義するパターンの固有 ID （設定範囲: 1 ~ 512）

2 type {accept-language | cookie | dest-ip | host | method | source-ip | uri | user-agent | user-defined | version}

パターンのマッチング基準になる HTTP パケットヘッダのフィールドを設定しま

す。（デフォルト： uri）

参考：マッチング種類により下記の過程を実行します。 • accept-language, cookie, host, method, uri, user-agent : 3~4 番 • user-defined : 3~5 番 • dest-ip : 6 番 • source-ip : 7 番 • version : 8 番

3 string <STRING>

HTTPリクエストヘッダでマッチング種類に設定した値と比べる文字列を設定しま

す。 • <STRING> パターンの文字列を最大 127 文字まで設定。文字列には“を除いた全ての文字

を含めることができます。

4 match { any| prefix | regex | suffix } パターンの文字列とHTTPリクエストのヘッダフィールドを比べる方法を設定しま

す。

5 user-defined <USER-DEFINED> パターンのマッチング基準をuser-definedに選択定した場合には、ヘッダフィール

ド名を設定しますフィールド名を入力する際には大小文字を区別します。

6 dest-ip <DEST-IP> パターンのマッチング基準を dest-ip に選択した場合には、HTTP トラフィックの

宛先 IP アドレスとネットマスクビット数を設定します。

7 source-ip <SOURCE-IP> パターンのマッチング基準を source-ip に選択した場合には、HTTP トラフィック

の送信元 IP アドレスとネットマスクビット数を設定します。

8 version {http1.0 | http1.1} パターンのマッチング基準をversionに選択した場合には、PAS-KがHTTP/1.0リクエストとHTTP/1.1リクエストを区分して処理できるようにHTTPバージョンを設定

します。（デフォルト： http1.0）

305


9 current パターンの設定情報を確認します。

10 apply パターンを保存し、システムに適用します。

参考：設定したパターンを削除するためには、＜設定モード＞で no layer7 pattern <ID> コマンドを使用します。

パターン情報の表示

システムに定義されているパターンのリストや各パターンに対する設定情報を表示するためには、show pattern コマンドを使用し

ます。パターンのリストだけ表示しようとする場合には show pattern コマンドのみを入力し、特定のパターンに対する設定情報を

表示させる場合には該当パターンのIDを一緒に入力しなければなりません。

L7サーバ負荷分散サービスの定義新しいL7サーバ負荷分散サービスを定義する方法は次の通りです。PAS-KにはL7サーバ負荷分散サービスを含めて最大1,024個のL7負荷分散サービスを登録することができます。複数のL7サーバ負荷分散サービスを設定する場合には、次の手順を繰り返しま

す。


1 l7slb <NAME>

＜設定モード＞で、L7サーバ負荷分散サービスを定義します。＜L7SLB 設定モ

ード＞に移動します。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」文字を使って最大 32 文字


2 vip <IP> vport <VPORT>

L7サーバ負荷分散サービスの仮想IPアドレスと仮想ポートを設定します。複数の

ポートを設定する場合には「,（コンマ）」で区分して入力します。 • <IP> 設定範囲： 1 ~ 128

• <VPORT> 設定範囲： 1 ~ 65,535 最大 32 個のポートを設定可能


L7サーバ負荷分散サービスの優先順位を設定します。優先順位値が小さいほど

優先順位は高くなります。 • <PRIORITY> 設定範囲： 0 ~ 255 （デフォルト： 100)


L7サーバ負荷分散サービスの障害を監視する障害監視IDを設定します。負荷分

散サービスに障害監視を設定すると、街頭負荷分散サービスを適用する全ての

実サーバに障害監視が適用されます。

• <HEALTH-CHECK>




参考：設定した障害監視をL7サーバ負荷分散サービスから削除するた

めには、＜L7SLB 設定モード＞で no health-check <HEALTH-CHECK> コマンドを使用します。



す。

5 keep-backup {all | entry | none}



のように処理するかを設定します。 • none ：バックアップ実サーバの全てのセッションエントリーを削除 • entry ：セッション維持エントリーだけを削除 • all ：全てのセッションエントリーを維持（デフォルト）


306

6 server-min-mtu <SERVER-MIN-MTU>

PAS-Kはクライアントとセッションを接続する時に、デフォルトでMTU値を1,500で使います。実サーバの中でMTU値が1,500より小さい実サーバがある場合にはこ

の値を変更しなければなりません。 • <SERVER-MIN-MTU> 負荷分散サービスのグループに属した実サーバの MTU の中で一番小さい MTU 値を入力設定範囲： 60 ~ 1,500 （デフォルト： 1,500）

参考：負荷分散サービスのグループに属した実サーバのMTUの中で最も

低いMTU値を設定します。

7 connection-pooling {enable | disable}

コネクションプーリング機能を使って、保存しておいたコネクションの再使用可否を

設定します。 • enable ：クライアントと実サーバ間に TCP コネクションを接続する時に生成さ

れたコネクションをプールに保存し、クライアントからリクエストがある場合に再

使用(デフォルト) • disable ： IP アドレスとポート番号が同じである場合だけコネクションを再使用

参考：コネクションプーリング機能がディスエーブルの場合 age-refresh 及び x-header を使用することができません。

8 age-refresh {enable | disable}

コネクションプーリング機能を設定した場合、コネクションを再使用する時ごとに時

間をアップデートするかの可否を設定します。 • enable ：コネクションを再使用する時ごとにコネクションの時間をアップデート

する • disable ：コネクションを再使用しても時間をアップデートしない（デフォルト）

9 x-header {enable | disable}

「X-Forwarded-For」ヘッダの挿入可否を設定します。PAS-KがSource NATを行

う場合、サーバで既存のクライアントのIPを分かるためにはHTTPリクエストに「X-Forwarded-For」ヘッダを追加しなければなりません。 • enable ：「X-Forwarded-For」を挿入 • disable ：挿入しない（デフォルト）


L7 サーバ負荷分散サービスの使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない

11 current L7サーバ負荷分散サービスの設定情報を確認します。

12 apply 定義したL7サーバ負荷分散サービスを保存し、システムに適用します。

参考：定義したL7サーバ負荷分散サービスを削除するためには、＜設定モード＞で no l7slb <NAME> コマンドを使用します。

グループ設定 L7サーバ負荷分散サービスを定義して実サーバを追加した後に実サーバのグループ（Group）を設定することができます。L4負荷分

散サービスではサービスごとに負荷分散方式を設定しますが、L7サーバ負荷分散サービスではグループ別に別途の負荷分散方式

を設定します。そして、セッション維持機能の適用もグループ単位で行われます。一つのL7サーバ負荷分散サービスには最大256個のグループを登録することができます。複数のグループを設定する場合には、次の手順を繰り返します。


1 l7slb <NAME> ＜設定モード＞で＜L7SLB設定モード＞に入ります。 • <NAME> グループを設定する L7 サーバ負荷分散のサービス名

2 group <NAME> グループを定義します。 • <NAME> 英文字と数字を使って最大 32 文字まで設定、最初の文字は英文字を使用

3 real <ID> 該当グループに含める実サーバを設定します。複数の実サーバを追加するた

めには、各実サーバの ID をコンマで区分します。

4 lb-method type {lc | mw | rr | sh | urlhash | wlc | wrr}

グループに属するサーバで負荷を分散させる時に使う負荷分散方式を設定し

ます。（デフォルト： rr）

4－1 lb-method urlhash {offset <OFFSET> | starter <STARTER>} [{length <LENGTH> | terminator <TERMINATOR>}]

4番で負荷分散方式を「urlhash」に設定した場合には、URLでユーザーが希望

する特定部分の文字列を取出してハッシュを実行し、負荷分散するように設定

することができます。URIで部分文字列を取出す位置を設定する場合に使用で

きるオプションにはoffset、starter、length、terminatorがあります。

307


offset、starterオプションを使えば、取出す文字列の始める位置を設定するこ

とができます。 • <OFFSET>

URI で取出す文字列の始める位置を設定設定範囲： 1 ~ 1,024 最初の文字から使用するためには始める位置の値を「1」に設定。

• <STARTER> URI で取出すスタート文字列を入力。入力した文字列自体は含まれず、その

次の文字から取出。英文字と数字、そして単一引用符（ ' ）を除外した特殊文

字で構成された最大 128 字の文字列を入力。取出す文字列の終わる位置を設定するためには、length、terminator オプシ

ョンを使用します。 • <LENGTH>

URI で取出す文字列の始める位置から終わる位置までの長さを入力設定範囲： 1 ~ 1,024

• <TERMINATOR> URI で取出すエンド文字列を入力。入力した文字列自体は含まれずその前

の文字まで使用。英文字と数字、そして単一引用符（ ' ）を除外した特殊文字

で構成された最大 128 字の文字列を入力。

5 persist type {cookie | field | ip}

クライアントが以前に接続したサーバと継続して接続できるようにするセッション

維持機能を設定します。 • cookie ： HTTP クッキーのセッション維持機能を使用 • field ： HTTP ヘッダセッション維持機能を使用 • ip ： IP のセッション維持機能を使用

5-1 persist cookie type {hash | insert | passive | rewrite}

5 番でセッション維持機能を「cookie」に選択した場合には hash、insert、passive、rewrite オプションの中から 1 つを設定します。

5-2

persist cookie hash name <NAME> persist cookie hash offset <OFFSET> persist cookie hash length <LENGTH>

5-1番で「hash」オプションを選択した場合にはクッキー名を設定します。 • <NAME> クッキーを PAS-K に保存する時に使う名前

クッキーの一部だけを保存する場合には offset と length オプションを設定しま

す。 • <OFFSET> 保存するクッキーの始める位置を設定設定範囲： 1 ~ 64

• <LENGTH> 保存するクッキーの長さを設定設定範囲： 1 ~ 64

5-3

persist field name <NAME> persist field [{offset <OFFSET> | starter <STARTER>}] | [{length <LENGTH> | terminator <TERMINATOR>}]

5番でセッション維持機能を「field」に選択した場合にはHTTPヘッダ名を設定し

ます。 • <NAME> セッション維持に使うフィールド名を設定

HTTP ヘッダでユーザーが希望する特定部分の文字列を取出してハッシュ

を実行し、負荷分散するように設定することができます。HTTP ヘッダで部分

文字列を取出す位置を設定する場合に使うオプションには field、offset、starter、length、terminator があります。 • <OFFSET>

URI で取出す文字列始める位置を設定設定範囲： 1 ~ 1,024

• <STARTER> 取出すスタート文字列を入力。英文字と数字、そして単一引用符（ ' ）を除外

した特殊文字で構成された最大 128 字の文字列を入力。 • <LENGTH>

URI で取出す文字列の始める位置から終わる位置までの長さを入力設定範囲： 1 ~ 1,024

• <TERMINATOR> URI で取出すエンド文字列を入力。英文字と数字、そして単一引用符（ ' ）を除外した特殊文字で構成された最大 128 字の文字列を入力。

参考：もし、始める位置がHTTPヘッダフィールド値の全体文字列の長さ

を超過するか設定してスタート文字列がHTTPヘッダフィールド値で発見し

ないかする場合、セッション維持エントリーを生成しません。


308

6 persist timeout <TIMEOUT>

セッション維持エントリーの維持時間を設定します。 • <TIMEOUT> 持続時間([[[dd]:hh]:mm]:ss)の形式で入力設定範囲： 1 ~ 65,535（秒）（デフォルト： 60 秒）

7 persist-overmax {enable | disable}

負荷分散サービスの実サーバに最大セッション機能を使う場合（最大セッション

数を設定した場合）には、実サーバがフルの状態になった時、セッション維持エ

ントリーの処理方法を設定します。 • enable ：実サーバがフルの状態になってもセッション維持エントリーは

最大セッション数の制限を受けないようにしてセッション維持機能をサポ

ートする。（デフォルト） • disable ：実サーバがフルの状態になった時、該当実サーバにセッショ

ン維持エントリーを全部削除し、セッション維持機能をサポートしない。



参考： offsetまたはstarterオプションを使って取出す文字列の開始位置を設定しない場合にはURIの最初文字から取出して、length、terminatorオプションを使って終了位置を設定しない場合にはURIの最後文字まで取出します。

注意： offset、starter、length、terminatorオプションを使って部分文字列を取出す位置を設定する場合、以下の6種類の例外があります。

- 例外 1: offsetがURIの長さを超過する場合には文字列の最初から始める。 - 例外 2: starterがURIで発生されなければ、文字列の最初から始める。 - 例外 3: starterがURIで何回発見される場合、最初に発見された部分から始める。 - 例外 4: 始める位置からlengthがURIの最後を過ぎた場合、URIの最後までだけ使用する。 - 例外 5: terminatorが発見されなければ、URIの最後まで使用する。

- 例外 6: terminatorが複数回発見された場合、最初に発見された部分まで使用する。

参考：参考：以下はoffset、starter、length、terminatorオプションを使って、URIが/abcdabcefghalmvである場合にhashが適用される部

分文字列を示す例です。

(config-l7slb[web]-group[all])# lb-method urlhash

/abcdabcefghalmv

(config-l7slb[web]-group[all])# lb-method urlhash offset 3

/abcdabcefghalmv

(config-l7slb[web]-group[all])# lb-method urlhash starter bce

/abcdabcefghalmv

(config-l7slb[web]-group[all])# lb-method urlhash length 6

/abcdabcefghalmv

(config-l7slb[web]-group[all])# lb-method urlhash terminator hal

/abcdabcefghalmv

config-l7slb[web]-group[all])# lb-method urlhash offset 30 (除外 1)

/abcdabcefghalmv

(config-l7slb[web]-group[all])# lb-method urlhash starter def (除外 2)

/abcdabcefghalmv

(config-l7slb[web]-group[all])# lb-method urlhash starter bc (除外 3)

/abcdabcefghalmv

(config-l7slb[web]-group[all])# lb-method urlhash length 50 (除外 4)

/abcdabcefghalmv

(config-l7slb[web]-group[all])# lb-method urlhash terminator zzz (除外 5)

/abcdabcefghalmv

(config-l7slb[web]-group[all])# lb-method urlhash terminator bc (除外 6)

/abcdabcefghalmv

参考：セッション維持機能を使用しない場合には、＜グループ設定モード＞で no persist コマンドを使用します。

309


注意： HTTPクッキーのセッション維持機能を使用する場合には、PAS-Kを使っている国の時間帯（timezone）をPAS-Kに設定しなければな

りません。時間帯は＜設定モード＞で timezone コマンドを用いて設定することができます。

(timezone {+8 | +9}

PAS-Kの設置場所が中国の場合は「+8」を、日本と韓国の場合は「+9」を設定します。変更した時間帯は show clock コマンドを用いて確

認することができます。次はPAS-Kの時間帯をGMT時間より8時間早い時間帯に設定した後、結果を確認する例です。 (config)# timezone +8 Timezone is applied to system. (config)# show timezone ================================================================================ TIMEZONE ------------------------------------------------------------------------------ Timezone : +8 ================================================================================ (config)#

PAS-Kは基本的にGMT時間より9時間早い時間帯(GMT+9)に設定されています。

参考： L7サーバ負荷分散サービスからグループを削除するためには、＜L7SLB 設定モード＞で no group <NAME> コマンドを使用しま

す。

URL変更設定 URL変更機能を設定すれば、PAS-Kが自動にクライアントとサーバの間でURLを変更します。L7サーバ負荷分散サービスでURL変更機能を設定する方法は以下の通りです。PAS-Kには最大256個のURL変更設定を登録することができます。複数のURL変更設定

を設定する場合には、次の手順を繰り返します。


1 l7slb <NAME> ＜設定モード＞で＜L7SLB設定モード＞に入ります。 • <NAME>

URL 変更を設定する L7 サーバ負荷分散のサービス名

2 urlmanip <ID> ＜URL変更設定モード＞に移動します。 • <ID> 設定範囲： 1 ~ 256


URL変更設定の優先順位を設定します。複数のURL変更設定が定義された

場合には、優先順位が高いルールから順番に適用されます。優先順位の値

が小さいほど優先順位が高くなります。 • <PRIORITY>

設定範囲： 0 ~ 255 （デフォルト： 0）

4 match <MATCH>

URLの中で検索する文字列であるマッチングURLを設定します。 • <MATCH>

マッチング URL を正規式の形式で入力。正規式には単一引用符（ ' ）を除

く文字を使用し、最大 256 byte まで入力可能

参考： match コマンドを通じ設定したマッチングURLを削除するために

は、no match コマンドを使用します。マッチングURLを設定しないために

はPAS-Kは全てのURLがマッチングされたと見なします。

5 replace <REPLACE>

URLの中で検索文字列と置換する変更文字列である代替URLを入力しま

す。 • <REPLACE>

代替 URL を正規式の形式で入力。正規式には単一引用符（ ' ）を除く文

字を使用し、最大 256 byte まで入力可能

参考: replace コマンドを通じて設定した代替URLを削除するためには、

no replace コマンドを使用します。代替URLを設定しないためにはURL変更が実行されません。

6 https-for-redirect {enable | disable}

URL変更の方式でHTTP redirectionを使う場合、クライアントがHTTPで接続

するかHTTPSで接続するかの可否を設定します。 • enable ：: HTTPS で接続 • disable ： HTTP で接続（デフォルト）

7 rule <RULE> URL変更設定を適用するルールのIDを設定します。複数のIDを設定する場

合には「,（コンマ）」を使ってポートを区分し、連続されたIDを設定する時には

「-（ハイフン）」を使用します。


310


URL変更設定をすぐに負荷分散サービスに適用しない場合には、URL変更

機能をディスエーブルにします。（デフォルト：イネーブル）

参考: ディスエーブルのURL変更設定は status enable コマンドを

用いて、再びイネーブルすることができます。

9 current URL変更設定の設定情報を確認します。

10 apply URL変更設定を保存し、システムに適用します。

参考：定義したURL変更機能を削除するためには、＜L7SLB 設定モード＞で no urlmanip <ID> コマンドを使います。

参考：設定したURL変更設定を確認するためには、＜L7SLB 設定モード＞または＜URL変更設定モード＞で show urlmanip [<ID>] コマンドを使います。

ルール設定ルール（Rule）は特定パターンと一致するHTTPリクエストについてどのような動作を実行するかを定義したものです。例えば、URIフィールドが/imageという文字列で開始（パターン）するHTTPリクエストがImageというサーバグループ（グループ）に送信されるように

ルールを定義することができます。

L7サーバ負荷分散サービスに属するグループに適用するルールを定義する方法は以下の通りです。一つのL7サーバ負荷分散サー

ビスには最大256個のルールを登録することができます。複数のルールを設定する場合には、次の手順を繰り返します。


1 l7slb <NAME> ＜設定モード＞で＜L7SLB設定モード＞に入ります。 • <NAME> ルールを設定する L7 サーバ負荷分散のサービス名

2 rule <ID> ＜Rule 設定モード＞に移動します。 • <ID> 設定範囲： 1 ~ 256


グループに適用されるルールの優先順位を設定します。複数のルールがグ

ループに定義された場合には、優先順位が高いルールから順に適用されま

す。優先順位の値が小さいほど優先順位が高くなります。 • <PRIORITY>

設定範囲： 0 ~ 255 （デフォルト： 0）

4 pattern <PATTERN>

ルールで使うパターンを設定します。1つのルールには最大32個のパターン

を登録することができます。 • <PATTERN>

ルールで使うパターンの ID や論理表現を入力。論理表現を使ってパタ

ーンを入力する場合には、「NOT、AND、XOR、OR」演算子を使用し

たり、計算順序を明確にするため括弧を使用できます。2 つ以上のパタ

ーンを登録する場合には論理演算子を使用しなければなりません。演

算子の優先順位は NOT が一番高く、AND、XOR、OR の順で低くなり

ます。

参考： pattern コマンドによってルールで使うように設定されたパター

ンを使わないように設定するためには、no pattern コマンドを使用し

ます。

5 action {group | http-response| real | reject}

ルールによって実行するアクションを設定します。

• group 該当グループの内で負荷分散を実行するように設定 • real ユーザーが該当グループの内で実サーバを直接選択

するように設定 • reject PAS-K が TCP RST パケットを生成せいてクライアント

に送信するように設定 • http-response PAS-K が直接 HTTP レスポンスを生成してクライアント

に送信するように設定

311


6 http-status <STATUS>

アクションが「http-reesponse」である場合、HTTPコードを設定します。 • <STATUS>

HTTP 状態コードの種類を入力。使用できる HTTP 状態コードの種類

: 301, 302, 307, 400, 403, 404, 503

参考：状態コードに関する詳細説明は本章のL7負荷分散 – ルール

- HTTPレスポンス(HTTP Response Action)を参考にします。

7 group <GROUP>

アクションがgroupやrealである場合、設定中のルールを使用するグループ

を設定します。必ず既に設定されているグループ名を入力しなければなりま

せん。

参考： L7キャッシュサーバ負荷分散サービスに使うルールでは、group bypass コマンドを用いてリクエストがキャッシュサーバを経由し

ないで、直接実際の宛先に送信されるように設定することができます。

8 real <REAL>

アクションがrealである場合、HTTPリクエストを処理する実サーバを直接設

定します。すでに設定されている実サーバのIDを入力しなければならず、該

当実サーバは7番で設定したグループ内に含まれていなければなりません。

9 backup-group <BACKUP-GROUP>

7番で設定したグループに属した実サーバが全部INACTIVEあるいはFULL状態で動作している場合、代わりにサービスを提供するグループ（バックアッ

プグループ）を設定します。必ず、すでに設定されているグループ名を入力し

なければなりません。


設定したルールをすぐに負荷分散サービスに適用しない場合には、ルールを

ディスエーブルにします。（デフォルト：イネーブル）

参考: ディスエーブルのルール設定は status enable コマンドを用

いて、再びイネーブルすることができます。



参考：設定したルールを削除するためには、＜L7SLB 設定モード＞で no rule <ID> コマンドを使用します。


312

設定情報の表示 L7サーバ負荷分散サービスの設定作業が終われば、次のような方法で設定情報を確認することができます。

L7サーバ負荷分散サービスリストの表示

現在PAS-Kに定義されている全てのL7サーバ負荷分散サービスの設定情報を表示するためには、＜管理者モード＞または＜設定

モード＞で show l7slb コマンドを使用します。show l7slb コマンドは現在PAS-Kに定義されているL7サーバ負荷分散サービス

のリストと基本的な設定情報を表示します。

特定のL7サーバ負荷分散サービスの設定情報の表示

特定のL7サーバ負荷分散サービスに対する詳細な設定情報を表示するためには、「該当サービスの名前」とともに show l7slb コマンドを実行します。

L7サーバ負荷分散サービスの全ての設定情報(実サーバ、障害監視、セッション設定)の表示

＜管理者モード＞または＜設定モード＞で show info l7slb コマンドを使用すると、各L7サーバ負荷分散サービスの設定情報と

該当サービスの障害監視設定情報及びサービスに登録された実サーバの設定情報と実サーバを通じて接続されたセッションに対す

る情報を表示できます。サービスの名前を入力しないで show info l7slb コマンドを実行すると、全てのL7サーバ負荷分散サービ

スに対する情報が表示され、サービスの名前を入力すれば該当サービスに対する情報だけが表示されます。


313


アドバンスト L7 サーバ負荷分散の設定アドバンストL7サーバ負荷分散機能の設定方法を説明します。

CLIでの設定 PAS-KにアドバンストL7サーバ負荷分散を設定する過程は次の通りです。


2. アドバンストL7サーバ負荷分散サービスの定義


4. URL変更設定

5. ルール設定

6. RTS実サーバ設定（選択設定）


1段階の設定はL7負荷分散サービスで説明したパターンの定義方法と同じです。したがって、本節ではアドバンストL7サーバ負荷分

散サービスを定義する2段階から説明します。

アドバンストL7サーバ負荷分散サービスの定義新しいアドバンストL7サーバ負荷分散サービスを定義する方法は次の通りです。複数のアドバンストL7サーバ負荷分散サービスを

設定する場合には、次の手順を繰り返します。


1 advl7slb <NAME>

＜アドバンストL7SLB 設定モード＞でアドバンストL7サーバ負荷分散サービス

を定義します。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」を使って最大 16 文字まで設


2 ip-version {ipv4 | ipv6} 負荷分散サービスのネットワークタイプを設定します。（デフォルト： ipv4）

3 vip <IP> vport <VPORT> (必須設定)

L7サーバ負荷分散サービスの仮想IPアドレスと仮想ポートを設定します。2番で

設定したネットワークタイプによりIPv4またはIPv6アドレスを設定します。 • <IP> 仮想 IP アドレス

• <VPORT> 設定範囲： 1 ~ 65,535

参考：設定した仮想IPアドレスと仮想ポートを削除するためには、＜L7SLB 設定モード＞で no vip <IP> vport <VPORT> コマンドを実行します。

参考：最小1個以上の仮想IPアドレス及び仮想ポートを設定しなければなら

ず、設定されたVIPを削除するためには＜SLB設定モード＞で no vip <IP> コマンドを実行します。


アドバンストL7サーバ負荷分散サービスの優先順位を設定します。優先順位値


5 health-check <HEALTH-CHECK> アドバンストL7サーバ負荷分散サービスの障害を監視する障害監視IDを設定し

ます。負荷分散サービスに障害監視を設定すると、街頭負荷分散サービスを適


314

用する全ての実サーバに障害監視が適用されます。

• <HEALTH-CHECK>


ます。複数の障害監視を設定する場合には各障害監視の ID を「、（コン


参考：設定した障害監視をアドバンストL7サーバ負荷分散サービスから

削除するためには、＜アドバンストL7SLB 設定モード＞で no health-check <HEALTH-CHECK> コマンドを使用します。



す。

6 host <HOST>

アドバンストL7サーバ負荷分散サービスを適用するドメインを設定します。同一仮

想IPアドレスを使用する負荷分散サービスが動作中の場合には設定されたドメイ

ンと一致する負荷分散定サービスを適用します。 • <HOST>

www.piolink.co.jp, mail.piolink.co.jp のようなドメインを入力

7 preserve-src-addr {enable | disable}

クライアントが送信したリクエストパケットの送信元 IP アドレスを維持するかの可

否を設定します。 • enable 送信元 IP アドレスを維持して実サーバに送信します。（デフォルト）

• disable 送信元 IP アドレスを仮想 IP アドレスに変更して実サーバに送信します。

8 return-to-sender {enable | disable}

RTS 機能を使用するかの可否を設定します。 • enable リクエストパケットを受信した経路にレスポンスパケットを送信します。

• disable ルーティングテーブルの設定によりレスポンスパケットを送信します。（デフォル

ト）

9 x-forwarded-for {enable | disable}


う場合、サーバで既存のクライアントのIPを分かるためにはHTTPリクエストに「X-Forwarded-For」ヘッダを追加しなければなりません。 • enable ：「X-Forwarded-For」を挿入 • disable ：挿入しない（デフォルト）

10 get-flooding-protection {enable | diable}

Get Flooding攻撃に対する遮断可否を設定します。 • enable ：遮断する • disable ：遮断しない（デフォルト）

11 max-rps <MAX-RPS>

サービスで許可するクライアントの最大リクエスト数を設定します。 • <MAX-RPS>

1秒当たりに許可する最大リクエスト数設定範囲： 0~10000000 （デフォルト： 0）

12 cc-attack-protection {enable | disable}

CC(Cache-Control)攻撃に対する遮断可否を設定します。 • enable：遮断する • disable：遮断しない（デフォルト）

13 slowloris-protection {enable | disable}

Slowloris攻撃に対する遮断可否を設定します。 • enable：遮断する • disable：遮断しない（デフォルト）

14 slowpost-protection {enable | disable}

SlowPOST攻撃に対する遮断可否を設定します。 • enable：遮断する • disable：遮断しない（デフォルト）

15 request-header-timeout <REQUEST-HEADER-TIMEOUT>

HTTPリクエストヘッダーに対するタイムアウト時間を設定します。 • <REQUEST-HEADER-TIMEOUT>

HTTPリクエストヘッダータイムアウト時間。

設定範囲： 1 ~ 60（秒）（デフォルト： 20秒）

16 request-body-interval <REQUEST-BODY-INTERVAL>

HTTPリクエストボディーに対する受信インターバルを設定します。 • <REQUEST-BODY-INTERVAL>

HTTPリクエストボディ受信インターバル。

設定範囲： 1 ~ 60（秒）（デフォルト： 10秒）

17 ssl <SSL> （選択設定）

SSLアクセラレータ機能を使用する際、該当サービスで使用するSSLプロファイル

を設定します。

315


• <SSL> SSL プロファイルの ID 設定範囲：1 ~ 256


アドバンスト L7 サーバ負荷分散サービスの使用可否を設定します。 • enable ：使用する（デフォルト） • disable ：使用しない

19 current アドバンストL7サーバ負荷分散サービスの設定情報を確認します。

20 apply 定義したアドバンストL7サーバ負荷分散サービスを保存し、システムに適用しま

す。

参考：定義したアドバンストL7サーバ負荷分散サービスを削除するためには、＜設定モード＞で no advl7slb <NAME> コマンドを使用し

ます。

グループ設定アドバンストL7サーバ負荷分散サービスを定義して実サーバを追加した後に実サーバのグループ（Group）を設定することができま

す。L7サーバ負荷分散サービスではグループ別に別途の負荷分散方式を設定します。そして、セッション維持機能の適用もグルー

プ単位で行われます。一つのアドバンストL7サーバ負荷分散サービスには最大256個のグループを登録することができます。複数の

グループを設定する場合には、次の手順を繰り返します。


1 advl7slb <NAME> <設定モード>で<アドバンストL7SLB設定モード>に入ります。 • <NAME> グループを設定するアドバンスト L7 サーバ負荷分散のサービス名

2 group <NAME> グループを定義します。 • <NAME> 英文字と数字を使って最大 32 文字まで設定、最初の文字は英文字を使用

3 real <ID> 該当グループに含める実サーバを設定します。複数の実サーバを追加するた

めには、各実サーバの ID をコンマで区分します。

4 lb-method type {lc | rr | sh | urlhash | wrr} グループに属するサーバで負荷を分散させる時に使う負荷分散方式を設定し

ます。（デフォルト： rr）

4-1 lb-method urlhash { length <LENGTH> | offset <OFFSET> | starter <STARTER> | terminator <TERMINATOR> }

4版の過程で負荷分散方式をurlhashに指定した場合にはURLからユーザーが

求める特定の文字列を抽出してハッシュを遂行、負荷分散するように設定する

ことができます。URLから文字列を抽出する位置を指定する場合に使用するオ

プションには、length、 offset、 starter、 terminatorがあります。 offset、starterオプションを使用すると抽出する文字列の始まりの位置を設定す

ることができます。 • <OFFSET> URLから抽出する文字列の始まりの位置。最初の文字から使用するため

には始まりの位置の値を「1」に指定。設定範囲： 1 ~ 1,024 • <STARTER>

URLから抽出する始まりの文字列を入力。入力した文字列自体は含まれず

その次の文字から抽出。アルファベット、数字、そしてバッククォート（‘）を除く

特殊文字で構成された最大128字の文字列を入力可能。抽出する文字列の終わりの位置を設定するためには、length、terminatorオプ

ションを使用します。 • <LENGTH>

URLから抽出する文字列の始まりの位置から終わりの位置までの長さを入

力します。設定範囲： 1 ~ 1,024 • <TERMINATOR>

URLから抽出する最後の文字列を入力します。入力した文字列自体は含ま

れずその前の文字まで使用されます。アルファベット、数字、そしてバッククォ

ート（‘）を除く特殊文字で構成された最大128字の文字列を入力可能。

4-2 lb-method urlhash algorithm {crc32 | pjw}

4番の過程で負荷分散方式をurlhashに指定した場合、実サーバを選択するた

めのURLハッシュアルゴリズムを選択します。 • crc32

CRC-32ハッシュアルゴリズム方式。URLハッシュ値とイネーブルされる実サ

ーバの数をMOD演算し、実サーバのIDを選択する。 • pjw


316

PJW(Peter J. Weinberger)ハッシュアルゴリズム方式。URLハッシュ値とハ

ッシュテーブルの大きさをAND演算しハッシュテーブルのインデックスを求

め、該当インデックスに位置する実サーバを選択する。（デフォルト）

5 persist type {cookie | ip | none | session | ssl}

クライアントが以前に接続したサーバと継続して接続できるようにするセッション

維持機能を設定します。 • cookie HTTP クッキーのセッション維持機能を使用 • session セッション ID 維持機能を使用 • ip IP のセッション維持機能を使用 • none セッション維持機能を使用しない • ssl SSL セッション維持機能を使用

5-1 persist cookie type {hash | insert | passive | rewrite}

5 番でセッション維持機能を「cookie」に選択した場合には insert、passive、rewrite オプションの中で 1 つを設定します。

5-2 persist session-key <SESSION-KEY>

5番でセッション維持機能を「session」に選択した場合にはセッションキー値を

設定します。 • <SESSION-KEY> セッション維持に使うセッションキーを設定

6 persist timeout <TIMEOUT>

セッション維持エントリーの維持時間を設定します。 • <TIMEOUT> 持続時間([[[dd]:hh]:mm]:ss)の形式で入力設定範囲： 1 ~ 65,535（秒）（デフォルト：60 秒）

7 connection-pooling mode {aggressive | per-client}

コネクションプーリング機能を使って、保存しておいたコネクションの再使用可否

を設定をします。 • aggressive: クライアントと実サーバ間に TCP コネクションを接続する時に

生成されたコネクションをプールに保存しておいて、クライアントからリクエスト

がある場合に再使用する(デフォルト) • per-client: 同一のクライアントから同一のサーバに接続する場合にのみコ

ネクションを再使用する

8 connection-pooling pool-size <POOL-SIZE>

グループに保存する最大個数を設定します。グループにに保存されているコネ

クション数が最大コネクション数に達すれば、これ以上はコネクションを再使用し

ません。 • <POOL-SIZE> 設定範囲： 1 ~ 30,000 （デフォルト： 2,048）

参考：設定した最大コネクション数をデフォルトに戻すためには、＜Grouｐ設定モード＞で no pool-size コマンドを使用します。

9 backend-ssl {enable | disable}

PAS-Kと実サーバ間にSSL(HTTP)通信を使用するバックエンド機能の使用

可否を設定します。 • enable 使用する • disable 使用しない（デフォルト）



注意： HTTPクッキーのセッション維持機能を使用する場合には、PAS-Kを使っている国の時間帯(timezone)をPAS-Kに設定しなければなり

ません。時間帯は＜設定モード＞で timezone コマンドを用いて設定することができます。

(timezone {+8 | +9}

PAS-Kの設置場所が中国の場合は「+8」を、日本と韓国の場合は「+9」を設定します。変更した時間帯は show clock コマンドを用いて確

認することができます。次はPAS-Kの時間帯をGMT時間より8時間早い時間帯に設定した後、結果を確認する例です。 (config)# timezone +8 Timezone is applied to system. (config)# show timezone ================================================================================ TIMEZONE ------------------------------------------------------------------------------ Timezone : +8 ================================================================================ (config)#

PAS-Kは基本的にGMT時間より9時間早い時間帯(GMT+9)に設定されています。

参考：アドバンストL7サーバ負荷分散サービスからグループを削除するためには、＜アドヴァンストL7SLB 設定モード＞で no group <NAME> コマンドを使用します。

317


URL変更設定 URL変更機能を設定すれば、PAS-Kが自動にクライアントとサーバの間でURLを変更します。アドバンストL7サーバ負荷分散サービ

スでURL変更機能を設定する方法は以下の通りです。PAS-Kには最大256個のURL変更設定を登録することができます。複数のURL変更設定を設定する場合には、次の手順を繰り返します。


1 advl7slb <NAME> ＜設定モード＞で＜アドバンストL7SLB設定モード＞に入ります。 • <NAME>

URL 変更を設定するアドバンスト L7 サーバ負荷分散のサービス名

2 urlmanip <ID> ＜URL変更設定モード＞に移動します。 • <ID> 設定範囲： 1 ~ 256


URL変更設定の優先順位を設定します。複数のURL変更設定が定義された

場合には、優先順位が高いルールから順番に適用されます。優先順位の値

が小さいほど優先順位が高くなります。 • <PRIORITY>

設定範囲： 0 ~ 255 （デフォルト： 0）

4 match <MATCH>

URLの中でで検索する文字列であるマッチングURLを設定します。 • <MATCH>

マッチング URL を正規式の形式で入力。正規式には単一引用符( ' )を除

外した全ての文字が含まれて、最大 256 byte を入力。

参考： match コマンドを通じ設定したマッチングURLを削除するために

は、no match コマンドを使用します。マッチングURLを設定しないために

はPAS-Kは全てのURLがマッチングされたと見なします。

5 replace <REPLACE>

URLの中で検索文字列と置換する変更文字列である代替URLを入力しま

す。 • <REPLACE>

代替 URL を正規式の形式で入力。正規式には単一引用符( ' )を除外した

全ての文字が含まれて、最大 256 byte を入力。

参考: replace コマンドを通じて設定した代替URLを削除するためには、

no replace コマンドを使用します。代替URLを設定しないためにはURL変更が実行されません。


URL変更設定をすぐに負荷分散サービスに適用しない場合には、URL変更

機能をディスエーブルにします。（デフォルト：イネーブル）

参考: ディスエーブルのURL変更設定は status enable コマンドを

用いて、再びイネーブルすることができます。

7 current URL変更設定の設定情報を確認します。

8 apply URL変更設定を保存し、システムに適用します。

参考：定義したURL変更機能を削除するためには、＜アドバンストL7SLB 設定モード＞で no urlmanip <ID> コマンドを使用します。

参考：設定したURL変更設定を確認するためには、＜アドバンストL7SLB 設定モード＞または show urlmanip [<ID>] コマンドを使用し

ます。

RTS（Revers To Sender）実サーバ設定アドバンストL7サーバ負荷分散サービスを定義して実サーバを追加した後に実サーバのグループ（Group）を設定することができま

す。L7サーバ負荷分散サービスでRTS機能を使用するためにはRTS実サーバを設定します。外部ネットワークと接続された経路の

上位装置（ルーター、ファイアウォールなど）をRTS実サーバに設定しなければいけません。PAS-Kには最大128個のRTS実サーバ

を登録することができます。複数のRTS実サーバを設定する場合には、次の手順を繰り返します。



318

1 advl7slb <NAME> ＜設定モード＞で、＜アドバンストL7SLB設定モード＞に入ります。 • <NAME>

RTS 変更を設定するアドバンスト L7 サーバ負荷分散のサービス名

2 rts-real <ID> ＜RTS実サーバ設定モード＞に移動します。 • <ID> 設定範囲： 1 ~ 128

3 ip <IP> RTS実サーバのIPアドレスを設定します。 • <IP>

RTS 実サーバの IP アドレス

4 mac <MAC> RTS実サーバのMACアドレスを設定します。 • <MAC>

RTS 実サーバの MAC アドレス

5 current RTS実サーバの設定情報を確認します。

6 apply RTS実サーバの設定を保存し、システムに適用します。

参考：定義したRTS実サーバを削除するためには、＜アドバンストL7SLB 設定モード＞で no rts-real <ID> コマンドを使います。

319


ルール設定ルール（Rule）は特定パターンと一致するHTTPリクエストについてどのような動作を実行するかを定義したものです。例えば、URIフィールドが/imageという文字列で開始（パターン）するHTTPリクエストがImageというサーバグループ（グループ）に送信されるように

ルールを定義することができます。

アドバンストL7サーバ負荷分散サービスに属するグループに適用するルールを定義する方法は以下の通りです。一つのアドバンスト

L7サーバ負荷分散サービスには最大256個のルールを登録することができます。複数のルールを設定する場合には、次の手順を繰

り返します。


1 advl7slb <NAME> ＜設定モード＞で＜アドバンストL7SLB設定モード＞に入ります。 • <NAME> ルールを設定するアドバンスト L7 サーバ負荷分散のサービス名

2 rule <ID> ＜Rule 設定モード＞に移動します。 • <ID> 設定範囲： 1 ~ 256


グループに適用されるルールの優先順位を設定します。複数のルールがグル

ープに定義された場合には、優先順位が高いルールから順に適用されます。

優先順位の値が小さいほど優先順位が高くなります。 • <PRIORITY>

設定範囲： 0 ~ 255 （デフォルト： 0）

参考：設定した優先順位をデフォルト値に戻すためには、no priority コマンドを使用します。

4 pattern <PATTERN>

ルールで使うパターンを設定します。1つのルールには最大32個のパターンを

登録することができます。 • <PATTERN>

ルールで使うパターンの ID 設定範囲： 1 ~ 512

参考： pattern コマンドによってルールで使うように設定されたパター

ンを使わないように設定するためには、no pattern コマンドを使用し

ます。

5 action {group | http-response| real | reject}

ルールによって実行するアクションを設定します。

• group 該当グループの内で負荷分散を実行するように設定（デフォルト）

• http-response PAS-K が直接 HTTP レスポンスを生成してクライアントに送信するように

設定 • real

ユーザーが該当グループの内で実サーバを直接選択するように設定 • reject

PAS-K が TCP RST パケットを生成しクライアントに転送するように設定

参考：アクション設定をデフォルト値（group）に戻すためには、no actionコマンドを使用します。

6 http-status <STATUS>

アクションが「http-reesponse」である場合、HTTPコードを設定します。 • <STATUS>

HTTP 状態コードの種類を入力。使用できる HTTP 状態コードの種類 : 301, 302, 307, 400, 403, 404, 503

参考：no priority コマンドを使用すると、HTTP状態コードをデフォルト

値（503）に戻します。

参考：状態コードに関する詳細説明は本章のL7負荷分散 – ルール

- HTTPレスポンス(HTTP Response Action)を参考にします。

7 group <GROUP> アクションがgroupやrealである場合、設定中のルールを使用するグループを設

定します。必ず既に設定されているグループ名を入力しなければなりません。

8 real <REAL> アクションが real である場合、HTTPリクエストを処理する実サーバを直接設

定します。すでに設定されている実サーバのIDを入力しなければならず、該当

実サーバは7番で設定したグループ内に含まれていなければなりません。

9 backup-group <BACKUP-GROUP> 7番で設定したグループに属した実サーバが全部INACTIVEあるいはFULL状態で動作している場合、代わりにサービスを提供するグループ（バックアップグ


320

ループ）を設定します。必ず、すでに設定されているグループ名を入力しなけれ

ばなりません。

• <BACKUP-GROUP> バックアップグループの名前

参考：設定したバックアップグループをルールから削除するためには、Rule 設定モード＞で no backup-group コマンドを使用します。

10 urlmanip <URLMANIP>

ルールを適用するURL変更設定のIDを設定します。必ず、すでに設定されてい

るURL変更設定のIDを入力しなければなりません。参考： URL変更設定を使用しないように設定するためには、urlmanip

<URLMANIP> コマンドを使用します。

11 compression <COMPRESSION> （選択設定）

HTTP圧縮機能を使用する場合には、該当ルールで使用するHTTP圧縮機能

のIDを設定します。 • <COMPRESSION>

HTTP 圧縮機能の ID 設定範囲： 1 ~ 256

参考：HTTP圧縮機能を使用しないように設定するためには、no compression コマンドを使用します。

12 cache <CACHE> （選択設定）

キャッシング機能を使用する場合には、該当ルールで使用するキャッシング機

能のIDを定義します。 • <CACHE>

キャッシング機能の ID 設定範囲： 1 ~ 256

参考：キャッシング機能を使用しないように設定するためには、no cache コマンドを使用します。


設定したルールをすぐに負荷分散サービスに適用しない場合には、ルールをデ

ィスエーブルにします。（デフォルト：イネーブル）

参考: ディスエーブルのルール設定は status enable コマンドを用

いて、再びイネーブルすることができます。



参考：設定したルールを削除するためには、＜アドバンストL7SLB 設定モード＞で no rule <ID> コマンドを使用します。

321


設定情報の表示アドバンストL7サーバ負荷分散サービスの設定作業が終われば、次のような方法で設定情報を確認することができます。

アドバンストL7サーバ負荷分散サービスリストの表示

現在PAS-Kに定義されている全てのアドバンストL7サーバ負荷分散サービスの設定情報を表示するためには、＜管理者モード＞ま

たは＜設定モード＞で show advl7slb [<NAME>] コマンドを使用します。show advl7slb コマンドは現在PAS-Kに定義されている

アドバンストL7サーバ負荷分散サービスのリストと基本的な設定情報を表示します。

特定のアドバンストL7サーバ負荷分散サービスの設定情報の表示

特定のアドバンストL7サーバ負荷分散サービスに対する詳細な設定情報を表示するためには、「該当サービスの名前」とともに show advl7slb コマンドを実行します。

L7サーバ負荷分散サービスの全ての設定情報の表示

＜管理者モード＞または＜設定モード＞で show advl7slb [<NAME>] コマンドを使用すると、各アドバンストL7サーバ負荷分散サ

ービスの設定情報と該当サービスに対する統計情報を表示できます。

サービスの名前を入力しないで show advl7slb コマンドを実行すると、全てのアドバンストL7サーバ負荷分散サービスに対する情

報が表示され、サービスの名前を入力すれば該当サービスに対する情報だけが表示されます。



322

L7 キャッシュサーバ負荷分散の設定 L7キャッシュサーバ負荷分散機能の設定方法を説明します。

CLIでの設定 PAS-KにL7キャッシュサーバ負荷分散を設定する過程は次の通りです。


2. L7キャッシュサーバ負荷分散サービスの定義


4. ルール設定

5. URL変更設定




1段階と3～5段階の設定はL7サーバ負荷分散の設定で説明したL7サーバ負荷分散サービスの設定方法と同じです。したがって、

本節ではL7キャッシュサーバ負荷分散サービスを定義する2段階とフィルターを設定する6段階に対して詳細に説明します。

L7キャッシュサーバ負荷分散サービスの作成新しいL7キャッシュサーバ負荷分散サービスを定義する方法は次の通りです。PAS-KにはL7キャッシュサーバ負荷分散サービスを

含めて最大1,024個のL7サーバ負荷分散サービスを登録することができます。複数のL7キャッシュサーバ負荷分散サービスを設定

する場合には、次の手順を繰り返します。


1 l7cslb <NAME>

＜設定モード＞で、L7キャッシュサーバ負荷分散サービスを定義します。＜L7CSLB 設定モード＞に移動します。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」文字を使って最大 32 文字



L7キャッシュサーバ負荷分散サービスの優先順位を設定します。優先順位値が

小さいほど優先順位は高くなります。 • <PRIORITY> 設定範囲： 0 ~ 255 （デフォルト： 0)


L7キャッシュサーバ負荷分散サービスの障害を監視する障害監視IDを設定しま

す。負荷分散サービスに障害監視を設定すると、街頭負荷分散サービスを適用

する全ての実サーバに障害監視が適用されます。

• <HEALTH-CHECK>




参考：設定した障害監視をL7キャッシュサーバ負荷分散サービスから削

除するためには、＜L7CSLB 設定モード＞で no health-check <HEALTH-CHECK> コマンドを使用します。



す。

4 keep-backup {all | entry | none}

負荷分散サービスの実サーバにバックアップ実サーバを設定した場合には、マス

ター実サーバがまだ動作できる状態になった時、バックアップ実サーバのセッショ

ンをどのように処理するかを設定します。

323


• none : バックアップ実サーバの全てのセッションエントリーを削除 • entry : セッション維持エントリーだけを削除 • all : 全てのセッションエントリーをそのまま維持（デフォルト）

5 direct-connect {enable | disable}

クライアントがサーバと直接TCP接続をし、PAS-Kが中間でデータを横取りして必

要な場合に実サーバにトラフィックを負荷分散するダイレクトコネクオプション機能

の使用可否を設定します。 • enable : PAS-K がダイレクトコネクト動作を実行 • disable : 遅延バインディング動作を実行（デフォルト）

注意：本機能をイネーブルする場合には、PAS-Kに設定されている他の負荷

分散サービスと連動することができません。

6 allow-nonhttp {enable | disable}

non-HTTPトラフィックを受信した場合にこれをフォワードするかの設定をします。 • enable : non-HTTP トラフィックを受信した場合にこれをサーバにすぐフォワ

ードし、その後に受信されるパケットは L7 キャッシュサーバ負荷分散サービス

を適用せず単純に中継する設定 • disable : non-HTTP トラフィックについても L7 キャッシュサーバ負荷分散サ

ービスを適用（デフォルト）

7 server-min-mtu <SERVER-MIN-MTU>

MTU値を変更します。PAS-Kはクライアントとセッションを接続する時に、基本的

にMTU値を1500で使います。実サーバの中でMTU値が1500より小さい実サー

バがある場合にはこの値を変更しなければなりません。 • <SERVER-MIN-MTU>

設定範囲： 60 ~ 1,500 （デフォルト： 1,500）

参考：負荷分散サービスのグループに属した実サーバのMTUの中で一番

小さいMTU値を入力します。

8 connection-pooling {enable | disable}

コネクションプーリング機能を使って、保存しておいたコネクションの再使用可否

を設定をします。 • enable : クライアントと実サーバ間に TCP コネクションを接続する時に生成さ

れたコネクションをプールに保存しておいて、クライアントからリクエストがある

場合に再使用（デフォルト） • disable : IP アドレスとポート番号が同じである場合だけコネクションを再使用

9 age-refresh {enable | disable}

コネクションプーリング機能を設定した場合、コネクションを再使用する時ごとに時

間をアップデートするかの設定をします。 • enable : コネクションを再使用する時ごとにコネクションの時間をアップデート

する • disable : コネクションを再使用しても時間をアップデートしない（デフォルト）



う場合、サーバで既存のクライアントのIPを分かるためにはHTTPリクエストに「X-Forwarded-For」ヘッダを追加しなければなりません。 • enable : 「X-Forwarded-For」ヘッダを挿入 • disable : 挿入しない（デフォルト）


L7 キャッシュサーバ負荷分散サービスの使用可否を設定します。 • enable 使用する（デフォルト） • disable 使用しない

12 current L7キャッシュサーバ負荷分散サービスの設定情報を確認します。

13 apply 定義したL7キャッシュサーバ負荷分散サービスを保存し、システムに適用しま

す。

参考：定義したL7キャッシュサーバ負荷分散サービスを削除するためには、＜設定モード＞で no l7cslb <NAME> コマンドを使用しま

す。

グループ設定 L7キャッシュサーバ負荷分散サービスに実サーバのグループを設定する方法は、サーバ負荷分散サービスに実サーバのグループ

を設定する方法と同じです。したがって、キャッシュサーバ負荷分散サービスで使う実サーバのグループを設定する方法は、L7サー

バ負荷分散の設定－CLIでの設定－グループ設定の説明を参照して下さい。


324

ルール設定 L7キャッシュサーバ負荷分散サービスにルールを追加する方法は、グループを適用するセッション維持機能の種類の中でHTTPクッ

キーのセッション維持機能がない以外はサーバ負荷分散サービスにルールを追加する方法と同じです。したがって、キャッシュサー

バ負荷分散サービスで使うルールを追加する方法は、L7サーバ負荷分散の設定－CLIでの設定－ルール設定の説明を参照して下

さい。

URL変更 L7キャッシュサーバ負荷分散サービスにURL変更機能を設定する方法は、サーバ負荷分散サービスにURL変更機能を設定する方

法と同じです。したがって、キャッシュサーバ負荷分散サービスのURL変更機能を設定する方法は、L7サーバ負荷分散の設定－CLIでの設定－ URL変更の説明を参照して下さい。

フィルター設定 L7キャッシュサーバ負荷分散サービスをどのトラフィックに適用するのかを区分するために使われるフィルターを定義する方法は次

の通りです。L7キャッシュサーバ負荷分散サービスには最大2048個のフィルターを登録することができます。複数のフィルターを設定する場合には、次の手順を繰り返します。


1 l7cslb <NAME> ＜設定モード＞で＜L7CSLB 設定モード＞に移動します。 • <NAME> フィルターを設定する L7 キャッシュサーバ負荷分散サービス名

2 filter <ID>

L7キャッシュサーバ負荷分散サービスをトラフィックを区分するために使用する

フィルターを設定します。 • <ID> 設定範囲： 1 ~ 2048


フィルターの種類を設定します。 • include ：フィルターが L7 キャッシュサーバ負荷分散サービスを「適用」する

トラフィックをフィルタリングする場合(デフォルト) • exclude ： L7 キャッシュサーバ負荷分散サービスを「適用しない」トラフィ

ックをフィルタリングする場合



できるので、一つの条件を追加した後に他の段階に移動して他の条件を続けて追加します。 • 送信元 IP アドレス → 4 番段階 • 送信元ポート番号 → 5 番段階 • 宛先 IP アドレス → 6 番段階 • 宛先ポート番号 → 7 番段階


5 sport <SPORT> フィルタリング条件で使う送信元ポート番号を入力します。 • <SPORT> 送信元ポート番号設定範囲： 1 ~ 65,535


7 dport <DPORT> フィルタリング条件で使う宛先ポート番号を入力します。 • <DPORT> 宛先ポート番号設定範囲： 1 ~ 65,535）




325



参考：定義したフィルターを削除するためには、<L7CSLB設定モード＞で no filter <ID> コマンドを使用します。

設定情報の表示 L7キャッシュサーバ負荷分散サービスの設定作業が終われば、次のような方法で設定情報を確認することができます。

L7キャッシュサーバ負荷分散サービスリストの表示

現在PAS-Kに定義されている全てのL7キャッシュサーバ負荷分散サービスの設定情報を表示するためには、＜管理者モード＞また

は＜設定モード＞で show l7cslb コマンドを使用します。show l7cslbコマンドは現在PAS-Kに定義されているL7キャッシュサー

バ負荷分散サービスのリストと基本的な設定情報を表示します。

特定のL7キャッシュサーバ負荷分散サービスの設定情報の表示

特定なL7キャッシュサーバ負荷分散サービスに対した詳細な設定情報を確認するためには「該当サービスの名前」と共に show l7cslb コマンドを行います。

L7キャッシュサーバ負荷分散サービスの全ての設定情報の表示

＜管理者モード＞または＜設定モード＞で show info l7cslbコマンドを使用すると、各L7キャッシュサーバ負荷分散サービスの設

定情報と該当サービスの障害監視設定情報及びサービスに登録された実サーバの設定情報と実サーバを通じて接続されたセッショ

ンに対する情報を表示できます。サービスの名前を入力しないで show info l7cslb コマンドを実行すると、全てのL7キャッシュサ

ーバ負荷分散サービスに対する情報が表示され、サービスの名前を入力すれば該当サービスに対する情報だけが表示されます。



326

アドバンスト L7 キャッシュサーバ負荷分散の設定アドバンストL7キャッシュサーバ負荷分散機能の設定方法を説明します。

CLIでの設定 PAS-KにアドバンストL7キャッシュサーバ負荷分散を設定する過程は次の通りです。


2. アドバンストL7キャッシュサーバ負荷分散サービスの定義


4. ルール設定

5. URL変更設定




1段階の設定はL7サーバ負荷分散の設定で説明したL7サーバ負荷分散サービスの設定方法と同じで、3～5段階の設定はアドバン

ストL7サーバ負荷分散の設定の設定方法と同じです。したがって、本節ではL7キャッシュサーバ負荷分散サービスを定義する2段階

とフィルターを設定する6段階に対して詳細に説明します。

アドバンストL7キャッシュサーバ負荷分散サービスの作成新しいアドバンストL7キャッシュサーバ負荷分散サービスを定義する方法は次の通りです。PAS-Kには複数のアドバンストL7サーバ

負荷分散サービスを登録することができます。複数のアドバンストL7キャッシュサーバ負荷分散サービスを設定する場合には、次の

手順を繰り返します。


1 advl7cslb <NAME>

＜設定モード＞で、アドバンストL7キャッシュサーバ負荷分散サービスを定義しま

す。＜アドバンストL7CSLB 設定モード＞に移動します。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」文字を使って最大 16 文字


2 ip-version {ipv4 | ipv6} 負荷分散サービスのネットワークタイプを設定します。（デフォルト： ipv4)


アドバンストL7キャッシュサーバ負荷分散サービスの優先順位を設定します。優

先順位値が小さいほど優先順位は高くなります。 • <PRIORITY> 設定範囲： 0 ~ 255 （デフォルト： 100)


アドバンストL7キャッシュサーバ負荷分散サービスの障害を監視する障害監視IDを設定します。負荷分散サービスに障害監視を設定すると、街頭負荷分散サービ

スを適用する全ての実サーバに障害監視が適用されます。

• <HEALTH-CHECK>




参考：設定した障害監視をアドバンストL7キャッシュサーバ負荷分散サー

ビスから削除するためには、＜アドバンストL7CSLB 設定モード＞で no health-check <HEALTH-CHECK> コマンドを使用します。


327



す。

5 preserve-src-addr {enable | disable}

クライアントが送信したリクエストパケットの送信元 IP アドレスを維持するかの可

否を設定します。 • enable 送信元 IP アドレスを維持して実サーバに送信します。（デフォルト）

• disable 送信元 IP アドレスを仮想 IP アドレスに変更して実サーバに送信します。



う場合、サーバで既存のクライアントのIPを分かるためにはHTTPリクエストに「X-Forwarded-For」ヘッダを追加しなければなりません。 • enable ：「X-Forwarded-For」ヘッダを挿入 • disable ：挿入しない（デフォルト）

7 ssl <SSL> （選択設定）

SSLアクセラレータ機能を使用する際、該当サービスで使用するSSLプロファイル

を設定します。 • <SSL>

SSL プロファイルの ID 設定範囲： 1 ~ 256


アドバンスト L7 キャッシュサーバ負荷分散サービスの使用可否を設定しま

す。 • enable ：使用する（デフォルト） • disable ：使用しない

9 current アドバンストL7キャッシュサーバ負荷分散サービスの設定情報を確認します。

10 apply 定義したアドバンストL7キャッシュサーバ負荷分散サービスを保存し、システムに

適用します。

参考：定義したアドバンストL7キャッシュサーバ負荷分散サービスを削除するためには、＜設定モード＞で no advl7cslb <NAME> コマ


グループ設定 L7キャッシュサーバ負荷分散サービスに実サーバのグループを設定する方法は、アドバンストL7サーバ負荷分散サービスに実サー

バのグループを設定する方法と同じです。したがって、アドバンストL7キャッシュサーバ負荷分散サービスで使う実サーバのグループ

を設定する方法は、アドバンストL7サーバ負荷分散の設定－CLIでの設定－グループ設定の説明を参照して下さい。

ルール設定アドバンストL7キャッシュサーバ負荷分散サービスにルールを追加する方法は、キャッシング機能を設定できない以外はアドバンスト

L7サーバ負荷分散サービスにルールを追加する方法と同じです。したがって、アドバンストL7キャッシュサーバ負荷分散サービスで

使うルールを追加する方法は、アドバンストL7サーバ負荷分散の設定－CLIでの設定－ルール設定の説明を参照して下さい。

URL変更アドバンストL7キャッシュサーバ負荷分散サービスにURL変更機能を設定する方法は、アドバンストL7サーバ負荷分散サービスにURL変更機能を設定する方法と同じです。したがって、アドバンストL7キャッシュサーバ負荷分散サービスのURL変更機能を設定する

方法は、アドバンストL7サーバ負荷分散の設定－CLIでの設定－ URL変更の説明を参照して下さい。


328

フィルター設定アドバンストL7キャッシュサーバ負荷分散サービスをどのトラフィックに適用するのかを区分するために使われるフィルターを定義す

る方法は次の通りです。1つのアドバンストL7キャッシュサーバ負荷分散サービスには最大2,048個のフィルターを登録することがで

きます。複数のフィルターを設定する場合には、次の手順を繰り返します。


1 advl7cslb <NAME>

＜設定モード＞で、アドバンストL7キャッシュサーバ負荷分散サービスを定義

します。＜アドバンストL7CSLB 設定モード＞に移動します。 • <NAME> フィルター設定するアドバンスト L7 キャッシュサーバ負荷分散サービス名

2 filter <ID>

アドバンストL7キャッシュサーバ負荷分散サービスをトラフィックを区分するた

めに使用するフィルターを設定します。 • <ID> 設定範囲： 1 ~ 256

その次の過程はフィルタリングに使われる条件を設定する過程です。全ての過程を実行する必要はなく、フィルタリング時に使う項目に

該当する過程だけを実行します。フィルタリングに使う条件によって移動する段階は次の通りです。一つのフィルターには複数の条件を

追加できるので、一つの条件を追加した後に他の段階に移動して他の条件を続けて追加します。 • 送信元 IP アドレス → 3 番段階 • 送信元ポート番号 → 4 番段階 • 宛先 IP アドレス → 5 番段階 • 宛先ポート番号 → 6 番段階

3 sip <SIP>

フィルタリング条件で使う送信IPアドレスとネットマスクビット数を入力します。IPv6の場合にはIPv6アドレスとプレフィックスを入力します。 • <SIP> 送信 IP アドレスとネットマスクビット数

4 sport <SPORT> フィルタリング条件で使う送信元ポート番号を入力します。 • <SPORT> 送信元ポート番号設定範囲： 1 ~ 65,535

5 dip <DIP>

フィルタリング条件で使う宛先IPアドレスとネットマスクビット数を入力します。IPv6の場合にはIPv6アドレスとプレフィックスを入力します。 • <DIP> 宛先 IP アドレスとネットマスクビット数

6 dport <DPORT> フィルタリング条件で使う宛先ポート番号を入力します。 • <DPORT> 宛先ポート番号設定範囲： 1 ~ 65535





参考：定義したフィルターを削除するためには、＜アドバンストL7CSLB設定モード＞で no filter <ID> コマンドを使用します。

329


設定情報の表示アドバンストL7キャッシュサーバ負荷分散サービスの設定作業が終われば、次のような方法で設定情報を確認することができます。

アドバンストL7キャッシュサーバ負荷分散サービスリストの表示

現在PAS-Kに定義されている全てのアドバンストL7キャッシュサーバ負荷分散サービスの設定情報を表示するためには、＜管理者

モード＞または＜設定モード＞で show advl7slb [<NAME>] コマンドを使用します。show advl7slb コマンドは現在PAS-Kに定義

されているL7キャッシュサーバ負荷分散サービスのリストと基本的な設定情報を表示します。

特定のアドバンストL7キャッシュサーバ負荷分散サービスの設定情報の表示

特定なL7キャッシュサーバ負荷分散サービスに対した詳細な設定情報を確認するためには「該当サービスの名前」と共に show advl7slb コマンドを行います。

アドバンストL7キャッシュサーバ負荷分散サービスの全ての設定情報の表示

＜管理者モード＞または＜設定モード＞で show advl7slb [<NAME>] 各アドバンストL7キャッシュサーバ負荷分散サービスの設

定情報と該当サービスに対する統計情報を表示できます。

サービスの名前を入力しないで show advl7slb コマンドを実行すると、全てのアドバンストL7キャッシュサーバ負荷分散サービスに

対する情報が表示され、サービスの名前を入力すれば該当サービスに対する情報だけが表示されます。



330

セッションエントリー及び統計情報の表示

本節ではCLIコマンドを用いて、負荷分散サービスの実サーバを通じて接続されたセッションエントリーとセッション維持エントリーを表

示し、特定のセッションエントリーとセッション維持エントリーを削除する方法を説明します。そして、各負荷分散サービスと実サーバの

セッション統計情報を表示する方法についても説明します。

セッションエントリーの表示

全てのセッションエントリーの表示 PAS-Kに定義された負荷分散サービスの実サーバを通じて現在接続されている全てのセッションエントリーを表示するためには、＜

管理者モード＞または＜設定モード＞で次のコマンドを使用します。

show entryコマンドを使用します。show entry コマンドを実行すると、現在接続された全てのセッションエントリーのリストと情報を

確認できます。

コマンド説明

show entry 現在接続された全てのセッションエントリーのリストと負荷分散サービスに対する要約情報

を確認します。

show entry-detail 現在接続された全てのセッションエントリーのリストと詳細情報を確認します。

show entry-adv アドバンスト負荷分散サービスの全てのセッションエントリーのリストと情報を確認します。

参考: show entry-adv コマンドはアドバンストファイアウォール/VPN負荷分散サービス、アドバンストL7サーバ負荷分散サービス、アドバ

ンストL7キャッシュサーバ負荷分散サービスのセッションエントリーリストと情報のみ出力します。

特定のセッションエントリーの表示 show entry コマンドと show persist コマンドは特定のセッションエントリーをフィルタリングして表示できるように＜管理者モード

＞または＜設定モード＞で次のように様々なオプションをサポートします。

特定の送信IPアドレスのエントリー show {entry | entry-detail | entry-adv} sip <SIP>

特定の宛先IPアドレスのエントリー show {entry | entry-detail | entry-adv} dip <DIP>

特定の送信/宛先IPアドレスのエントリー show {entry | entry-detail | entry-adv} ip <IP>

特定の送信元ポートのエントリー show {entry | entry-detail | entry-adv} sport <SPORT>

特定の受信ポートのエントリー show {entry | entry-detail | entry-adv} dport <DPORT>

特定の送信/受信ポートのエントリー show {entry | entry-detail | entry-adv} port <PORT>

特定の負荷分散サービスのエントリー show {entry | entry-detail} service <SERVICE>

特定プロトコル種類のエントリー show {entry | entry-detail | entry-adv} protocol <PROTOCOL>

特定実サーバのエントリー show {entry | entry-detail} real <REAL>

特定IPバージョン(IPv4, IPv6)のエントリー show entry-adv ip-version <VERSION>

331


セッション維持セッションエントリーの表示

セッション維持セッションエントリーを表示する時には、＜管理者モード＞または＜設定モード＞で show persist コマンドを実行し

ます。

アドバンストL4サーバ負荷分散サービスのセッション維持セッションエントリー情報のみ表示するためには、＜管理者モード＞または

＜設定モード＞で show persist-advl4slb [<SERVICE>] コマンドを実行します。

アドバンストL7サーバ負荷分散サービスのセッション維持セッションエントリー情報のみ表示するためには、＜管理者モード＞または

＜設定モード＞で show persist-advl7 コマンドを実行します。

セッションエントリーの削除

セッションエントリーとセッション維持セッションエントリーを削除するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

no entry 現在接続された全てのセッションエントリーのリストと情報を削除します。

no entry-detail

no entry-adv アドバンスト負荷分散サービスの全てのセッションエントリーのリストと情報を削除します。

no entry-advl4slb アドバンスト L4 サーバ負荷分散サービスの全てのセッションエントリーのリストと情報を削除

します。

no persist セッション維持セッションエントリーのリストと情報を削除します。

no persist-advl4slb アドバンスト L4 サーバ負荷分散サービスのセッション維持セッションエントリーのリストと情報

を削除します。

L4セッション維持セッションエントリーは他のセッションエントリーで使用していない場合にだけ削除することができます。他のセッショ

ンエントリーで使用中かどうかは、show persist コマンドの表示内容の「refcnt」項目によって確認することができます。「refcnt」項目はセッション維持セッションエントリーを使用しているセッションエントリーの個数を示す値で、この項目が「0」であるセッション維持

セッションエントリーだけを削除することができます。

他のセッションエントリーで使用中のセッション維持セッションエントリー（refcnt値が0ではない）は no persist コマンドを実行しても

削除されません。セッション維持セッションエントリーを削除しなければならない場合には、まず no entry コマンドを用いてセッショ

ン維持エントリーを使っているセッションエントリーを削除し、show persist コマンドで「refcnt」値が0なのかを確認した後に no persist コマンドで削除します。


332

特定セッションエントリーとセッション維持セッションエントリーを削除するためには、＜設定モード＞で次のコマンドを使用します。

コマンド説明

no entry dip <DIP> 特定宛先 IP アドレスに対するセッションエントリーのリストと情報を削除します。 • <DIP> 宛先 IP アドレス

no entry dport <DPORT> 特定宛先ポートに対するセッションエントリーのリストと情報を削除します。 • <DPORT> 宛先ポート番号設定範囲： 1 ~ 65,535

no entry ip <IP> 特定 IP アドレスに対するセッションエントリーのリストと情報を削除します。 • <IP>

IP アドレス

no entry port <PORT> 特定ポートに対するセッションエントリーのリストと情報を削除します。 <PORT> 宛先ポート番号設定範囲： 1 ~ 65,535

no entry protocol <PROTOCOL> 特定プロトコルに対するセッションエントリーのリストと情報を削除します。 • <PROTOCOL> プロトコル(gre/tcp/udp/dccp/icmp/sctp/udplite)

no entry real <REAL> 特定実サーバに対するセッションエントリーのリストと情報を削除します。 • <REAL> 実サーバの ID

no entry service <SERVICE> [name <NAME>]

特定負荷分散サービスに対するセッションエントリーのリストと情報を削除します。 • <SERVICE> 負荷分散サービスの種類

• <NAME> 負荷分散サービス名

no entry sip <SIP> 特定送信元 IP アドレスに対するセッションエントリーのリストと情報を削除します。 • <SIP> 送信元 IP アドレス

no entry sport <SPORT> 特定送信元ポートに対するセッションエントリーのリストと情報を削除します。 <SPORT> 送信元ポート番号設定範囲： 1 ~ 65,535

no persist dip <DIP>

特定宛先 IP アドレスに対するセッション維持セッションエントリーのリストと情報を削除しま

す。 • <DIP> 宛先 IP アドレス

no persist ip <IP> 特定 IP アドレスに対するセッション維持セッションエントリーのリストと情報を削除します。 • <IP>

IP アドレス

no persist service <SERVICE> [name

<NAME>]

特定負荷分散サービスに対するセッション維持セッションエントリーのリストと情報を削除し

ます。 • <SERVICE> 負荷分散サービスの種類

• <NAME> 負荷分散サービスの名前

no persist sip <SIP> 特定送信元 IP アドレスに対するに対するセッション維持セッションエントリーのリストと情

報を削除します。 • <SIP> 送信元 IP アドレス

333


統計情報の表示

本節では負荷分散サービスと関する統計情報を照会する方法について説明します。

CLIでの表示

設定した種類の負荷分散サービスの統計情報の表示

PAS-Kは負荷分散サービスの種類別にセッション統計情報を表示できるように、次のようなコマンドを提供します。

アドバンストL7キャッシュサーバ負荷分散サービス show statistics advl7cslb

アドバンストL7サーバ負荷分散サービス show statistics advl7slb

L4キャッシュサーバ負荷分散サービス show statistics cslb

L4 ファイアウォール・VPN負荷分散サービス show statistics fwlb

グローバルサーバ負荷分散サービス show statistics gslb

ゲートウェイ負荷分散サービス show statistics gwlb

L7サーバ負荷分散サービス show statistics l7slb

L7キャッシュサーバ負荷分散サービス show statistics l7cslb

L4サーバ負荷分散サービス show statistics slb

特定の負荷分散サービスの統計情報の表示

前術したshow statisticsコマンドにサービスの名前を設定すると、設定したサービスに対する詳細な統計情報を確認できます。

show statistics {slb | cslb | fwlb | gwlb | l7slb | l7cslb | advl7cslb | advl7slb | gslb} <NAME>

L7負荷分散サービスに対する統計情報を確認する場合、groupオプションとともにグループ名を設定すれば、特定グループに対する

セッション統計だけを確認することができます。 show statistics {l7slb | l7cslb | advl7cslb | advl7slb} <NAME> group <GROUP>

実サーバの統計情報の表示

設定した実サーバに対する詳細な統計情報を確認するためには次のコマンドを使用します。実サーバの<ID>をともに設定すれば、

特定実サーバに対する統計情報だけを確認することができます。

show statistics real <ID>

キャシング関連統計情報の表示 PAS-Kはキャシング機能と関した統計情報を表示するよう show statistics layer7 cache <ID> コマンドを提供します。キャシングルー

ルのIDを設定すると、該当キャシングルールに対する統計情報のみ確認することができます。特定アドバンストL7サーバ負荷分散サービスで使用されるキャシング機能と関した統計情報を表示するよう show statistics advl7slb

<NAME> cache <ID> コマンドを提供します。キャシングルールのIDを設定すると、該当キャシングルールに対する統計情報のみ確

認することができます。


334

負荷分散サービスリストの表示 PAS-Kに設定されている全ての負荷分散サービスのリストを確認するためには、＜管理者モード＞または＜設定モード＞でshow l

b コマンドを使用します。show lb コマンドは現在PAS-Kに設定されている負荷分散サービスの名前とタイプ、優先順位、使用可否、

サービスを適用する実サーバの個数情報を表示します。


335



本章ではフェイルオーバーのためのVRRP（Virtual Router Redundancy Protocol）とeVRRP（Enhanced VRRP）について説明し、

PAS-Kでフェイルオーバーを構成するための設定方法について説明します。本章の構成は次の通りです。

VRRPとeVRRP

フェイルオーバーの設定


VRRP と eVRRP VRRPの概要

ホストから特定宛先にデータを送るための経路を検索する方法には、ダイナミックルーティングとスタティックルーティングがあります。ダイナミックルーティングはRIPやOSPFのようなルーティングプロトコルを用いて、自動でネットワーク間の最適の経路を決めてルー

ティングテーブルを維持し、装置のダウンなどによってルーティングテーブルにある経路が有効ではない場合には、自動で他の経路

を検索します。このようなダイナミックルーティングはユーザーが別途の経路設定作業をしなくても良いので便利ですが、経路を検索

するのにかかる時間と送受信されるトラフィックが多く、ネットワークに負荷が発生することがあります。スタティックルーティングはユーザーが直接宛先ごとに固定経路を設定して、ルーティングテーブルを構成します。スタティックルーテ

ィングは経路を検索する必要がないため、経路検索による負荷は少ないですが、ルーティングテーブルの経路が有効ではなくなった

時にこれを代替する経路が自動で設定されないので、通信に障害が発生することがあります。最悪の場合、デフォルトゲートウェイに

設定された装置がダウンすれば外部ネットワークとの通信が不可能になります。スタティックルーティングでデフォルトゲートウェイの

ようにただ一つだけ存在し、該当経路がダウンした時に通信が切れる経路を「シングルポイントフェイラー」といいます。 VRRPはスタティックルーティングにマスタールーターと一つ以上のバックアップルーターを利用して、マスタールーターがダウンした

時に自動でバックアップルーターがマスターの役割を実行するようにする冗長化機能を追加でサポートするプロトコルです。このよう

なマスター/バックアップルーター冗長化機能は、マスタールーターがダウンした場合にも中断なしにサービスを提供します。VRRPを使用すると、ダイナミックルーティングによって発生する経路検索の負荷を減らすと同時に、スタティックルーティングの最大の問題点

であるシングルポイントフェイラーが生ずることを防いでくれます。下図はVRRPを使用しないネットワークで発生し得るシングルポイントフェイラーを示しています。

[図 - VRRPを使用しないネットワークで発生するシングルポイントフェイラー]

前図でホスト1はIPアドレスが10.0.0.1であるルーターAをデフォルトゲートウェイとして使います。もし、ルーターAがダウンしたらホス

ト1で他のネットワークとの通信が不可能になります。この場合、ホスト1の通信障害の原因になったルーターAをシングルポイントフェ

イラーといいます。次に同じネットワークをVRRPで構成して、ルーターAをマスターに、ルーターBをバックアップに設定した場合を説明します。

[図 - VRRPを用いたネットワーク]

ホスト1 デフォルトゲートウェイ：10.0.0.1

シングルポイントフェイラー

ＩＰアドレス：10.0.0.1

ルーターA ルーターＢ

ホスト1

デフォルトゲートウェイ : 10.0.0.1

IPアドレス:10.0.0.1

ルーターA(マスター)

ルーターB(バックアップ)

337


上のようなVRRP構成ではホスト1のデフォルトゲートウェイであるルーターAがダウンした場合にも、バックアップに設定されたルータ

ーBによって（点線になった経路を使って）外部と通信することができます。従って、シングルポイントフェイラーによる通信障害が発生

しなくなります。

VRRPグループ VRRPで一つのマスタールーターと複数のバックアップルーターで構成されるルーターのグループをVRRPグループといいます。VRRPグループは複数のルーターが一つのルーターであるかのように動作するため、仮想ルーター（virtual router）ともいいます。下図

はルーターAとルーターBで構成されたVRRPグループを示しています。

[図 - VRRPのVRRPグループ]

VRRPグループは固有のVRID値と一つの仮想IPアドレス、そして仮想MACアドレスを持っています。VRRPグループに属するルータ

ーは「VRRPルーター」といいます。

マスタールーターマスタールーターはVRRPグループに属するVRRPルーターの中で、自分のインターフェースアドレスがVRRPグループの仮想IPアド

レスに使用されるルーターです。仮想IPアドレスを通じてVRRPグループに送信されたデータは、実際にはインターフェースアドレスを

使用するマスタールーターに送信され、マスタールーターでこのデータを宛先に送ります。また、仮想IPアドレスに対するARPリクエス

トもマスタールーターでレスポンスするようになります。マスタールーターはインターバル的に自分の状態と優先順位を含めた情報をVRRPグループ内の他のVRRPルーターに送信します。

マスタールーターによって送信されるこの情報をアドバタイズといいますが、バックアップルーターは受信されたアドバタイズを通じて

マスタールーターの状態と優先順位を把握し、新しいマスターを選出しなければならないのかを判断します。

バックアップルーターバックアップルーターはVRRPグループで一つのマスタールーターを除いた残りのVRRPルーターを意味します。マスタールーターが

正常に動作する間は、アドバタイズを受信すること以外にバックアップルーターの実行する作業はありません。設定された時間内に

マスタールーターからアドバタイズが受信されなければ、バックアップルーターはマスタールーターが正常に動作しないと判断し、優

先順位が一番高いバックアップルーターが新しいマスタールーターに選出され、マスタールーターの役割を受け継ぎます。

仮想IPアドレスと仮想MACアドレス仮想IPアドレスはマスタールーターが自分のインターフェースアドレスとして使用するVRRPグループのIPアドレスです。マスタールー

ターは仮想IPアドレスに対するARPリクエストに対してレスポンスします。仮想MACアドレスはVRRPグループのID値によって自動的

に割り当てられます。

VRRPルーターの優先順位 VRRPルーターの優先順位はVRRPグループのバックアップルーターの中で、マスタールーターを選出する時に基準になる値です。

VRRPルーターの優先順位は1～254の範囲でユーザーが直接設定することができ、値が大きいほど優先順位は高くなります。マス

タールーターに障害が発生した時、バックアップルーターの中で優先順位が一番高いルーターがマスタールーターに選出されます。

VRRPグルプ

(VRID=1, 仮想IP=10.1.1.1)

ルーターA

(マスター)

ルーターB

(バックアップ)


338

eVRRPの概要 PAS-KはL4-7負荷分散サービスのフェイルオーバーをサポートするために、既存VRRPを改善したeVRRP（Enhanced VRRP）をサ

ポートします。本節ではeVRRPに追加された概念とeVRRPの方式について紹介します。

参考： eVRRPとVRRPの共通的な特徴は、前述の「VRRP概要」の内容を参考して下さい。eVRRPではルーターという用語の代わりにスイッ

チを用います。スイッチの意味はVRRPでのルーターと同じです。

仮想スイッチ(virtual switch) eVRRPの仮想スイッチは複数のインターフェースの集合であり、フェイルオーバーの単位です。一般的に仮想スイッチは外部ネット

ワークと接続されるアウトバウンドインターフェースとプライベートネットワークに接続されるインバウンドインターフェースで構成され

ます。PAS-KはVLANインターフェースだけをサポートするので、仮想スイッチには2個以上のVLANインターフェースが属するように

なります。仮想スイッチは一つ以上のVRRPグループに含めることができます。それだけでなく、設定によって仮想スイッチはIPが等

しいグループであることもあります。これは同じIPアドレスを使用しますが、サービスによって他のポートを使用する場合です。

VRRPグループ eVRRPでVRRPグループは仮想スイッチの集合であり、一つのマスター仮想スイッチと複数のバックアップ仮想スイッチで構成されま

す。VRRPグループのマスター仮想スイッチに属するインターフェースだけが使用され、バックアップ仮想スイッチに属するインターフ

ェースは待機状態になります。VRRPグループは固有のIDを持っています。この値はVRRPグループを区分してVRRPグループの仮

想MACアドレスの割り当て受けるのに使われます。一つのPAS-Kには複数のVRRPグループを設定することができます。複数のVRRPグループを設定した場合、一部はマスターに、残りはバックアップとして設定することができます。

仮想サービスIPアドレス(SVIP- Service Virtual IP Address) eVRRPの仮想サービスIPアドレスは仮想スイッチに属するインターフェースに定義されている負荷分散サービスの中で、eVRRPを適用する負荷分散サービスのIPアドレスです。外部ネットワークのクライアントは仮想サービスIPアドレスを実サーバのIPアドレスと

認識し、仮想サービスIPアドレスを宛先IPアドレスにして実サーバのサービスをリクエストします。仮想サービスIPアドレスに受信され

たデータは負荷分散サービスによって実サーバに送信されます。一つのVRRPグループには最大1,024個の仮想サービスIPアドレス

を設定することができます。すなわち、最大1,024個の仮想サービスIPアドレスを一つのVRRPグループで設定することができます。

参考：一つの仮想サービスIPアドレスに複数のポートを使用する場合、一つのVRRPグループに10個以上のサービスを登録することができ

ます。

注意：仮想サービスIPアドレスは単一VRRP構成の場合には設定しないで下さい。設定した場合はPAS-Kが誤動作を引起す恐れがありま

す。

マスター仮想スイッチマスター仮想スイッチはVRRPのマスタールーターと同じく、VRRPグループに属する仮想スイッチの中で自分のインターフェースアド

レスあるいはサービスアドレスにVRRPグループのアドレス(仮想IPアドレス)を使用するスイッチです。仮想サービスIPアドレスや仮想

IPアドレスを宛先にして送信されたデータは、そのアドレスをインターフェースアドレスあるいはサービスアドレスとして使用するマスタ

ールーターに送信され、マスタールーターでこのデータを宛先(実サーバ)に送ります。そして、仮想サービスIPアドレスや仮想IPアドレ

スに対するARPリクエストもマスタールーターでレスポンスするようになります。マスター仮想スイッチはインターバル的に自分の状態と優先順位を含めたアドバタイズをVRRPグループ内のバックアップ仮想スイッ

チに送ります。バックアップ仮想スイッチは受信されたアドバタイズを通じて、マスター仮想スイッチの状態と優先順位を把握し、新し

いマスター仮想スイッチを選出しなければならないのかを判断します。

339


バックアップ仮想スイッチバックアップ仮想スイッチはVRRPグループから一つのマスター仮想スイッチを除いた残りの仮想スイッチです。バックアップ仮想スイ

ッチはマスター仮想スイッチからインターバル的にアドバタイズを受信します。バックアップ仮想スイッチがマスター仮想スイッチがダ

ウンしたと判断する前までアドバタイズを待つ時間を「デッドインターバル」といいます。デッドインターバルが経過するまでマスター仮

想スイッチからアドバタイズが受信されなければ、バックアップ仮想スイッチはマスター仮想スイッチが正常に動作しないと判断して、

優先順位が一番高いバックアップ仮想スイッチを新しいマスター仮想スイッチに選出します。PAS-Kではデッドインターバルを次のよ

うな式を用いて計算します。

デッドインターバル = アドバタイズ送信インターバル x リトライ回数 + 0.5 x ARP 検査回数公式から分かるように、バックアップ仮想スイッチは設定されたリトライ回数だけアドバタイズ送信インターバルが過ぎるまでアドバタ

イズを待った後、設定されたARP検査回数だけARPリクエストをマスター仮想スイッチに送ります。 PAS-Kでバックアップ仮想スイッチがマスタースイッチになるためには、バックアップ仮想スイッチの中で優先順位が一番高くなけれ

ばならず、プリエンプション機能がイネーブルにされていなければなりません。プリエンプション機能がディスエーブルになっているバ

ックアップスイッチは、優先順位が一番高い場合でもマスター仮想スイッチに選出されません。

トラックポート/トラック実サーバと仮想スイッチの優先順位 VRRPではVRRPグループのマスター仮想ルーターを選択する時、各VRRPルーターに設定されている優先順位を使用します。この

値はユーザーが直接設定してフェイルオーバー動作中に変更されません。 eVRRPではマスター仮想スイッチを選択する時、仮想スイッチの基本優先順位とトラックポートの優先順位値、そしてトラック実サー

バの優先順位を合算した値を使用します。仮想スイッチの基本優先順位はVRRPルーターの優先順位の様に直接設定します。トラッ

クポートは特定ポート毎に優先順位を割り当て、ポートが正常に接続されている場合にはポートの優先順位が仮想スイッチの基本優

先順位に加わって、正常ではない場合には加わりません。トラックポートはポートの動作状態をマスター仮想スイッチの選択に反映さ

せることができます。そして、トラック実サーバはユーザーが設定した特定実サーバの障害監視結果が成功である場合にはポートの

優先順位が仮想スイッチの基本優先順位に合算され、障害監視に失敗した場合には合算されません。

トラックポートの優先順位を仮想スイッチの優先順位に適用する方式には、次のような「メンバー優先順位」と「個別優先順位」があり

ます。

• メンバー優先順位メンバー優先順位は二つ以上のトラックポートを一つのグループに設定し、トラックポートグループに優先順位を付与します。グ

ループに属する全てのポートが接続されていない場合にだけ仮想スイッチに優先順位を加えません。トラックポートグループのポ

ートの中で一つでも正常に接続されていれば、仮想スイッチの基本優先順位にトラックポートグループの優先順位が加わります。

例えば、仮想スイッチの基本優先順位が 100 で、ポート 1、2、3 を一つのトラックポートグループで構成して優先順位 30 で設定

した場合、ポート 1、2、3 の接続状態が全てダウンしなければ、仮想スイッチの優先順位は 130 で維持されます。

• 個別優先順位個別優先順位は各ポートごとに優先順位を付与し、ポートの接続状態によって仮想スイッチの基本優先順位にポートの優先順

位を加えるか、または加えない方式です。例えば、仮想スイッチの基本優先順位が 100 で、ポート 1、2、3 を優先順位が 10であるトラックポートに設定した場合、仮想スイッチの優先順位は 130 になります。もし、一つのポートの接続が切れれば仮想ス

イッチの優先順位は 10 減少して 120 になります。


340

アクティブ－スタンバイフェイルオーバー

アクティブ－スタンバイ方式はVRRPグループで一つのマスター仮想スイッチだけをアクティブにし、残りのバックアップ仮想スイッチ

はバックアップであるフェイルオバー方式です。マスター仮想スイッチに問題が発生した場合、バックアップ仮想スイッチがマスターの

役割を実行するようになります。一つのPAS-Kにはマスターとバックアップ仮想スイッチがともに存在することができます。

次は各PAS-Kに2個のVRRPグループを登録して、アクティブ－スタンバイフェイルオーバーを構成した例です。

前図でスイッチAとスイッチBにVRRPグループのマスター仮想スイッチ（S1, S4）が存在するので、二つのスイッチとも該当マスター

仮想スイッチに属するインターフェースを通じてデータを処理します。同時に二つのスイッチには相手スイッチにあるマスター仮想スイ

ッチに対するバックアップ仮想スイッチ（S2, S3）も存在するので、もしマスター仮想スイッチに問題が発生すれば他のスイッチがその

役割を受け継いで一つのスイッチだけが動作するようになります。例えば、S1仮想スイッチに問題が発生すれば、バックアップ仮想ス

イッチであるS2がマスターになるので、スイッチBだけが動作するようになります。

BDR(Backup Direct Return) BDRは実サーバから受信されたパケットに対するセッションを持っていないスイッチで新しいセッションを作成し、クライアントに直接レ

スポンスを送る機能です。マスター仮想スイッチとバックアップ仮想スイッチがお互いに異なるネットワークとお互いに異なるサーバに接続されている次のような

ネットワークにBDR機能を適用する場合です。

[図 – BDRの動作]

前の図でサーバ1とサーバ2は同じWEBサービスを提供するWEBサーバです。もしネットワーク1に接続されたクライアントからスイッ

チAにWEBサービスをリクエストする場合、スイッチAは負荷分散サービスによってこのリクエストを負荷分散してサーバ1やサーバ2に送ります。負荷分散の結果、サーバ2が選択されたら、スイッチAはサービスリクエストをスイッチBを通じてサーバ2に送ります（）。

この時、サービスリクエストに対するセッションはスイッチAにあります。サーバ2はサービスを処理した後、リクエストに対するレスポン

スをスイッチBに送ります。スイッチBはサーバ2で受信したレスポンスをサービスをリクエストしたクライアントに送らなければなりませ

ん。該当クライアントとのセッションはスイッチAにあるので、スイッチBからBDR機能を通じて新しいセッションを作成し、クライアントに

直接レスポンスを送ります（）。

サーバ

スイッチ A

VRRP グループ(VRID=1)

- S1仮想スイッチ(マスター)

VRRP グループ(VRID=2)

- S3仮想スイッチ(バックアップ)

スイッチ B

VRRPグループ(VRID=1)

- S2仮想スイッチ(バックアップ)

VRRPグループ(VRID=2)

- S4仮想スイッチ(マスター)

VRRPグループ

(VRID=1)

スイッチA

サーバ1

サーバ2

ネットワーク2

ネットワーク1

スイッチB

341


注意：サーバ負荷分散サービスでBDRを使う場合、外部ネットワークのクライアントは実サーバに接続できません。

アクティブ－アクティブフェイルオーバーアクティブ－アクティブフェイルオーバー方式は、VRRPグループに属する全てのスイッチが動作するフェイルオーバー方式です。前

述の構成にアクティブ－スタンバイ方式を適用すれば、マスター仮想スイッチであるS1とS4に属するインターフェースを通じてデータ

が処理されます。同じ構成でアクティブ－アクティブ方式を適用すれば、マスターかバックアップかに関係なく、4つの仮想スイッチ(S1～S4)に属する全てのインターフェースを通じてデータが処理されます。アクティブ－アクティブ構成ではマスターとバックアップ仮想スイッチが全て仮想IPアドレスと仮想サービスIPアドレスを共有し、バック

アップ仮想スイッチでも仮想IPアドレスや仮想サービスIPアドレスを宛先にするデータを処理することができます。しかし、仮想IPアド

レスと仮想サービスIPアドレスのARPリクエストはマスタースイッチだけが処理します。バックアップスイッチでARPリクエストを受信す

れば、これをマスタースイッチにスイッチングして実サーバに対するサービスだけを処理します。二つのスイッチをともに使用するアク

ティブ－アクティブ方式は簡単な内部設定でアクティブ－スタンバイ方式より高い帯域幅と高可用性を提供しますが、外部ルーティン

グを適切に分けることができない場合、アクティブ－スタンバイ方式より大きい効率を得ることができません。


342

注意事項

アクティブ－スタンバイ方式使用時の注意事項アクティブ－スタンバイ方式のフェイルオーバー機能を使用する時には、次のような事項に気を付けなければなりません。

• アクティブ－スタンバイ方式は、一つの VRRP グループに属する負荷分散サービスは一つの PAS-K でのみ処理することができ

ます。従って、一つの負荷分散サービスを複数の PAS-K で同時に処理することはできません。

• ファイアウォール負荷分散構成で単一アクティブ－スタンバイフェイルオーバーを適用する場合、全ての負荷分散方式を使えま

す。しかし、多重アクティブ－スタンバイフェイルオーバーを適用する場合にはセッション維持機能が動作している時に必ず負荷

分散方式を「ハッシュ（hash）」方式で設定しなければなりません。

アクティブ－アクティブ方式使用時の注意事項アクティブ－アクティブ方式のフェイルオーバー機能を使用する時には、以下の事項に注意してください。

• アクティブ－アクティブフェイルオーバーは VPN 負荷分散サービスをサポートしません。

• ファイアウォール負荷分散のフェイルオーバー設定は基本的に BDR で動作します。セッション維持機能が動作している時には

必ず負荷分散方式を「hash」方式で設定しなければなりません。

• アクティブ－アクティブフェイルオーバーでは常に IP フォワード機能が動作します（自動で有効化状態に設定されます）。バック

アップ PAS-K でも IP フォワード機能が動作します。

• アクティブ－アクティブフェイルオーバーでは ARP ループを防止するために proxy ARP 機能が動作せず、マルチキャストパケ

ットのループ現象を防ぐためにマルチキャストブリッジ機能が動作しません（自動で無効化状態に設定されます）。

• アクティブ－アクティブフェイルオーバーでは OSPF や BGP のようなダイナミックルーティングプロトコルが動作しません。

多重VRRPグループ使用時の注意事項 ARPレスポンスと関連する注意事項

• 基準になる VRRP グループを選定して SVIP を設定しなければなりません。複数の VRRP グループがある場合、PAS-K は GWLB や SLB 負荷分散サービスに設定された仮想 IP アドレス(VIP)に対する

ARP レスポンスをしません。なぜなら、複数の VRRP グループが同時に動作しているので、どの VRRP がマスターになるか分

からないからです。

• 各 VRRP グループの仮想 IP アドレスがお互いに重ならないように設定しなければなりません。 VRRP グループの仮想 IP アドレスが重なると、フェイルオーバー状態の変換によって PAS-K が仮想 IP アドレスに対して意図し

ない誤った ARP レスポンスを送ることもあります。その他の注意事項

• 複数の VRRP グループが設定されている場合、常に IP フォワード機能が動作されます（自動で有効化状態に設定されます）。

• 複数の VRRP グループが設定されている場合、ARP ループを防止するために proxy ARP 機能が動作せず、マルチキャストパ

ケットのループ現象を防ぐためにマルチキャストブリッジ機能が動作しません（自動で無効化状態に設定されます）。

• OSPF や BGP のようなダイナミックルーティングプロトコルは複数の VRRP グループが設定されている場合には使用することが

できません。

343


ステートフルフェイルオーバー VRRP機能が適用されたネットワークでは、マスター仮想スイッチがダウンしたり優先順位が減少したりすると、マスター仮想スイッチ

の役割をバックアップ仮想スイッチが受け継ぐようになります。従って、スイッチグループの中で一つのスイッチに問題が発生しても他

のスイッチを利用してクライアントに中断のないサービスを提供することができます。しかし、クライアントとサーバ間に接続されたセッ

ションまでは復旧されずに、既に進行中だったサービスの接続は切れ、クライアントはサービスを再びリクエストしなければならない

問題がありました。PAS-KはVRRP機能とともにステートフルフェイルオーバー機能を提供して、このような問題を解決します。ステートフルフェイルオーバー機能はフェイルオーバーが発生しても同じサーバに再び接続されるようにするとか、既に接続された

セッションを通じて提供されたサービスが切断されることなく、続けてサービスを提供します。ステートフルフェイルオーバー機能をイ

ネーブルにすれと、マスターとバックアップ仮想スイッチは一定のインターバルごとにあるいはセッション数が閾値に到逹した時に、お

互いのセッション情報をやり取りして同期化作業を実行します。同期化作業を通じてマスターとバックアップ仮想スイッチはそれぞれ

サービスしている全てのセッションの情報をお互いに一致させます。このようなセッションの同期化作業をセッションシンクといいます。

セッションシンクはマスターとバックアップ仮想スイッチ間に設定されたセッションシンクVLANを通じて行われます。ステートフルフェイルオーバーは負荷分散サービスごとに使用設定することができます。

参考：セッション維持に関する詳細説明は第7章負荷分散の設定－L4負荷分散の概要－セッション維持を参照して下さい。

ステートフルフェイルオーバーの構成例以下はフェイルオーバーのためにVRRPが適用されていて、ステートフルフェイルオーバーがイネーブルになっているネットワーク例

です。

[図 - ステートフルフェイルオーバー]

上図でクライアントはマスタースイッチを通じてサーバで提供するサービスを使用し、マスターとバックアップスイッチはステートフルフェイルオーバーがイネーブルされてお互いのセッション情報を共有します。クライアントがマスタースイッチを通じてサービス（）を

利用する途中で、マスタースイッチの問題によってフェイルオーバーが発生した場合、バックアップスイッチがマスタースイッチとして

動作します。新たにマスターになったスイッチはセッション情報を利用して、クライアントとサーバ間に設定されたセッションをそのまま

復旧し、クライアントにサービス（）を続けて提供します。もし、ステートフルフェイルオーバーがディスエーブルであれば、クライアン

トはマスタースイッチを通じて新しいセッションに再接続しなければなりません。

サーバ

クライアント

マスター

バックアップ

セッションシンク


344

ステートフルフェイルオーバー使用時の注意事項 ICMPセッションの同期化ステートフルフェイルオーバーがイネーブルになってもICMPセッションは同期化されません。ICMPセッションはタイムアウトが5秒な

ので、一般的にフェイルオーバーに必要とされる時間（5 ~ 10秒）より短いためです。また、ICMP echoリクエストに対するレスポン

スが即座に次々と発生し、以前のリクエスト/レスポンスが次のリクエスト/レスポンスと無関係なので、以前のセッションを復旧して使

用する必要がありません。このように、ICMPセッションはセッション情報を同期化する必要がないため、PAS-Kのステートフルフェイ

ルオーバー機能はICMPセッションを同期化しません。

負荷分散サービスステートフルフェイルオーバーはL4負荷分散サービスだけをサポートします。ステートフルフェイルオーバー機能をイネーブルにす

ればマスターとバックアップ間に送信されるセッション情報の量と送信回数によってはL4負荷分散性能が低下することがあります。

345


フェイルオーバーの設定本節ではPAS-Kに今まで見た次のようなフェイルオーバー方式を適用する方法について調べます。

• アクティブ－スタンバイフェイルオーバー

• ステートフルフェイルオーバーステートフルフェイルオーバーは単独では使用することができず、アクティブ－スタンバイとともに使用しなければならないフェイルオ

ーバー機能です。従って、まずアクティブ－スタンバイフェイルオーバーを設定した後、ステートフルフェイルオーバー機能を設定す

るようにします。

参考： PAS-Kにフェイルオーバーを設定する前にフェイルオーバーを適用するVLANインターフェースとL4, L7負荷分散サービスが予め設定

されていなければなりません。

アクティブ－スタンバイフェイルオーバーの設定 PAS-Kにアクティブ－スタンバイフェイルオーバーを設定するためには、まずVRRPグループを作成します。VRRPグループでは次

のような項目を設定します。

• フェイルオーバーモード

• 仮想スイッチに属するインターフェース（必須）

• インターフェースの仮想 IP アドレス（必須）

• 仮想サービス IP アドレス

• 基本優先順位

• トラックポート優先順位とユーザー定義優先順位（必須）

• プリエンプション可否

• アドバタイズインターバル

• デッドインターバル

• 仮想 MAC の使用可否

• ポートバウンダリーのディスエーブル


346

CLIでの設定必須設定過程

アクティブ－スタンバイフェイルオーバーを設定する方法は次の通りです。


1 failover ＜設定モード＞で＜Failover 設定モード＞に入ります。

2 {vrrp | vrrp6} <ID>

VRRPグループを作成し、＜VRRP 設定モード＞に移動します。 • vrrp ： IPv4環境でのVRRPグループの作成 • vrrp6 ： IPv6 環境でのVRRPグループの作成 • <ID>

設定範囲： 1 ~ 254

3 mode active-standby VRRP グループのフェイルオーバーモードを active_standby に設定します。

4 interface <NAME> vip <VIP>

VRRPグループの仮想スイッチに含めるインターフェースとインターフェースの

仮想IPアドレスを設定します。 • <NAME>

仮想スイッチに属する VLAN インターフェースの名前。最大 64 個の VLAN イ

ンターフェースを指定可能。 • <VIP> 負荷分散サービス対象ではないデータをインターフェースと接続された実サー

バに直接送る時に使用する仮想 IP アドレス。一つのインターフェースに最大

8 個の仮想 IP アドレスを設定することができます。複数の仮想 IP アドレスを

入力する場合には「,（コンマ）」で IP アドレスを区分

参考: 設定した仮想IPアドレスを削除するためには、no interface <NAME> vip <VIP> コマンドを使用します。

5 interface <NAME> vllip <VLLIP>

IPv6 VRRP グループの場合には仮想リンクロカールアドレスを設定します。 • <NAME> 仮想スイッチに属するVLANインターフェース名 • <VLLIP> 仮想リンクロカールアドレス。fe80::/64ネットワークのアドレスを使用し、リンク

内で重複されなければいけません。

参考：設定した仮想リンクロカールアドレスを削除するためには、no interface <NAME> vllip <VLLIP> コマンドを使用します。

6 interface <ＮＡＭＥ> advertise-send {enable | disable}

特定のインターフェースに対してadvertisement転送可否を設定します。 • <NAME> advertisementの転送可否を設定するVLANインターフェース名 • enable ： advertisementの転送をイネーブル • disable ： advertisementの転送をディスエーブル

参考：最小１つ以上のVLANインターフェースにadvertisementが転送されるよ

うに設定しなければなりません。

7 track single-port <PRIORITY> port <PORT>

シングルトラックポートと優先順位を設定します。 • <PRIORITY> トラックポートの優先順位設定範囲： 1 ~ 254 • <PORT> 個別優先順位を設定するポートを「,（コンマ）」で区分して入力。連続する複数

のポート番号を設定する場合には各ポートを「-（ハイフン）」を使用してポート

を区分。

参考: 設定したトラックポートを削除するためには、no track single-port <PRIORITY> port <PORT> コマンドを使用します。

347


track member-port <ID> port <PORT> track member-port <ID> priority <PRIORITY>

メンバートラックポートと優先順位を設定します。 • <ID> トラックポートメンバーのID 設定範囲： 1 ~ 253 • <PORT> メンバーに含める複数のトラックポートを「,（コンマ）」で区分して入力。連続す

る複数のポート番号を設定する場合には各ポートを「-（ハイフン）」を使用して

ポートを区分。 • <PRIORITY> メンバートラックポートの優先順位設定範囲： 1 ~ 254

参考：設定したメンバートラックポートを削除するためには、no track member-port <ID> コマンドを使用します。

参考：設定したメンバートラックポートの優先順位を削除するためには、no track member-port <ID> priority コマンドを使用します。

8 track real <ID> priority <PRIORITY>

トラック実サーバと優先順位を設定します。トラック実サーバは最大32個まで設

定することができます。 • <ID> 障害監視を実行する実サーバのID

• <PRIORITY> トラックに割当てる優先順位設定範囲： 1 ~ 254 （デフォルト： 1）

9 次節の [選択設定過程] に説明されている項目の中で、必要な項目を設定します。


設定中の VRRP グループをイネーブルするかどうかを設定します。（デフォルト

： enable）

11 current VRRPグループの設定情報を確認します。

12 apply VRRPグループの設定を保存してフェイルオーバー設定に適用した後、＜

Failover 設定モード＞を終了します。


348

選択設定過程次の項目は設定しなくてもデフォルトで十分にフェイルオーバーが行われる項目です。しかし、ユーザー環境やポリシーによって、適

切な値を設定すればフェイルオーバー機能をより効率的に利用することができます。仮想サービスIPアドレス VRRPグループの仮想サービスIPアドレスを設定するためには、＜VRRP 設定モード＞、＜VRRP6 設定モード＞で次のコマンドを

使用します。複数のVRRPグループを設定する場合には（多重VRRP）仮想サービスIPアドレスを必ず設定して下さい。

コマンド説明

svip <SVIP>

仮想サービスIPアドレスを設定します。複数の仮想サービスIPアドレスを入力する場合に

は「,（コンマ）」でIPアドレスを区分します。VRRPグループに仮想サービスIPアドレスを設定

しないと、PAS-Kに定義されている全ての負荷分散サービスが1つのVRRPグループで設

定されます。 • <SVIP>

VRRP グループの仮想サービス IP アドレス

参考： VRRPグループの仮想サービスIPアドレスを削除するためには、次のコマンドを使用します。

(config-failover-vrrp[1])# no svip <SVIP>,<SVIP>,…

<SVIP>には削除する仮想サービスIPアドレスを入力します。

参考：単一フェイルオーバーで動作しているvrrpが多重フェイルオーバーに変更される場合、必ずSVIPを登録します。

仮想スイッチの基本優先順位仮想スイッチの基本優先順位を設定するためには、＜VRRP 設定モード＞、＜VRRP6 設定モード＞で次のコマンドを使用します。

コマンド説明

priority <PRIORITY> 仮想スイッチに割り当てる基本優先順位を設定します。 • <PRIORITY> 設定範囲： 0 ~ 254 （デフォルト： 100）

349


プリエンプション機能

プリエンプション設定は、VRRP グループのバックアップ仮想スイッチの優先順位がマスター仮想スイッチの優先順位より高い時、バ

ックアップ仮想スイッチがマスター仮想スイッチに選出されるようにする機能です。プリエンプション機能が disable になっているバッ

クアップスイッチは、優先順位がマスター仮想スイッチより高い場合にも、マスター仮想スイッチに選出されず、マスター仮想スイッチ

がダウンした時だけマスター仮想スイッチに選出されます。

仮想スイッチのプリエンプション機能を設定するためには、＜VRRP 設定モード＞、＜VRRP6 設定モード＞で次のコマンドを使用

します。

コマンド説明

preemption {enable | disable} 仮想スイッチのプリエンプション機能を設定します。（デフォルト： enable）

仮想MACの使用設定

VRRPグループの仮想IPアドレスと仮想サービスIPアドレスに対するMACアドレスとして仮想MACアドレスを使うか、インターフェー

スの実際のMACアドレスを使うかを設定するためには、＜VRRP 設定モード＞、＜VRRP6 設定モード＞で次のコマンドを使用しま

す。

コマンド説明

vmac {enable | disable} 仮想MACアドレスの使用可否を設定します。 • enable ： VRRP ID を用いて自動的に作成された仮想 MAC アドレスを使用（デフォルト） • disable ：インターフェースの実際の MAC アドレスを使用

ARPレスポンス時、仮想MACの使用設定

VRRPグループの仮想IPアドレスと仮想サービスIPアドレスに対するARPレスポンス時、ARPレスポンスパケットの送信元MACアドレ

スに仮想MACアドレスまたはインターフェースの実MACアドレスを選択することができます。この設定は＜設定モード＞で次のコマン


コマンド説明

env mangle_arp_source_mac {enable | disable}

VRRPサービスに対するARPレスポンス時、仮想MACアドレスの使用可否を設定します。 • enable ：仮想 MAC アドレスを使用（デフォルト） • disable ：インターフェースの実際の MAC アドレスを使用

アドバタイズ送信インターバル

VRRPグループのマスター仮想スイッチのアドバタイズ送信インターバルを設定するためには、＜VRRP 設定モード＞、＜VRRP6 設定モード＞で次のコマンドを使用します。

コマンド説明

advertise-interval <ADVERTISE-INTERVAL>

VRRPグループのマスター仮想スイッチのアドバタイズ送信インターバルを設定します。送

信インターバルの単位は100ミリセカンド（＝0.1秒）です。 • <ADVERTISE-INTERVAL> マスター仮想スイッチがバックアップ仮想スイ 9 ッチにアドバタイズを送るインターバル設定範囲： 1 ~ 25,550 （デフォルト： 10（1 秒））

デッドインターバル

デッドインターバルを計算する時に用いるアドバタイズリトライ回数とARP検査回数（IPv4）、マスターチエック回数（IPv6）を設定するめ

には、＜VRRP 設定モード＞、＜VRRP6 設定モード＞で次のコマンドを使用します。

コマンド説明


350

retry <RETRY> アドバタイズリトライ回数を設定します。 • <RETRY> 設定範囲： 1 ~ 255 回（デフォルト： 3 回）

arp-count <ARP-COUNT> IPv4環境では＜VRRP 設定モード＞で ARP検査回数を設定します。 • <ARP-COUNT> 設定範囲： 0 ~ 255 回（デフォルト： 0 回）

mc-retry <MC-RETRY>

IPv6 環境では＜VRRP6 設定モード＞でマスターチエック回数を設定します。 • <MC-RETRY> マスターチエック回数設定範囲： 0 ~ 255 （デフォルト： 0 回）

参考：設定したマスターチエック回数をデフォルトに戻すためには、no mc-retry コマ


<RETRY>項目と<ARP-COUNT>、<MC-RETRY> 項目は次のような式でデッドインターバルを計算する時に使用する値です。

デッドインターバル(秒)= アドバタイズ送信インターバル x リトライ回数 + 0.5 x ARP 検査回数（マスターチエック回数）

デッドインターバルはバックアップ仮想スイッチがマスター仮想スイッチのダウン状態を判断する前まで、マスター仮想スイッチからア

ドバタイズの受信を待つ時間です。デッドインターバルは秒単位で、デフォルトで設定されているデッドインターバルは 3 秒です。

ポートバウンダリーのディスエーブル

VRRPグループのバックアップ仮想スイッチに設定されているポートバウンダリーが「promiscモード」である場合、バックアップ状態で

もトラフィックを処理することになります。このような状況を防止するため、バックアップ状態ではpromiscモードのポートバウンダリー

をディスエーブルにしなければいけません。バックアップ状態でポートバウンダリーをディスエーブルに設定するためには、＜VRRP 設定モード＞で次のコマンドを使用します。

コマンド説明

port-boundary <PORT-BOUNDARY>

バックアップ状態でディスエーブルするポートバウンダリーを設定します。 • <ADVERTISE-INTERVAL> ポートバウンダリーID

参考：ディスエーブルしたポートバウンダリーを削除するためには、no port-boundary <PORT_BOUNDARY> コマンドを使用します。

351


アクティブ－アクティブフェイルオーバーの設定本節ではアクティブ－アクティブフェイルオーバーの必須の設定について説明します。アクティブ－スタンバイフェイルオーバーと設

定方法が同じ選択設定はアクティブ－スタンバイフェイルオーバー設定の説明を参照してください。

CLIでの設定必須設定

アクティブ－アクティブフェイルオーバーを設定する方法は、次の通りです。



2 vrrp <ID> VRRPグループを作成し、＜VRRP 設定モード＞に移動します。 <ID>

設定範囲： 1 ~ 254

3 mode active_active VRRP グループのフェイルオーバーモードを active-active に設定します。

4 4番からはアクティブ－スタンバイフェイルオーバーと設定方法が同じです。アクティブ－スタンバイフェイルオーバー設定の説

明を参照にします。

参考：アクティブ－アクティブフェイルオーバーはIPv4環境でのみ使用することができます。

アクティブ－アクティブフェイルオーバーを使用するためには、BDR機能またはRedirect-VLAN機能を使用します。該当機能を設定するためには＜Failover 設定モード＞で次のコマンドを使用します。

コマンド説明

aaf-method {bdr|redirect|disable}

アクティブ－アクティブフェイルオーバー機能を設定します。 bdr

BDR 機能をイネーブルします。 redirect

Redirect-VLAN 機能をイネーブルします。 disable アクティブ－アクティブフェイルオーバー機能をディスエーブルします。

Redirect-VLANの設定

Redirect-VLANは仮想スイッチでクライアントにレスポンスメッセージを送信する際、該当クライアントとのセッションを保存していない

場合に既に設定されたRedirect-VLANを通じてレスポンスメッセージを送信する機能です。Redirect-VLAN機能を設定するためには、

＜Failover設定モード＞で次のコマンドを使用します。


1 redirect-vlan <redirect-vlan> Redirect-VLAN名を設定します。 <redirect-vlan>

Redirect-VLAN名

2 aaf-method redirect Redirect-VLAN機能をイネーブルします。


352

ステートフルフェイルオーバーの設定

ステートフルフェイルオーバー機能を設定するためには、まずアクティブ－スタンバイフェイルオーバーのための設定作業が既に

完了していなければなりません。アクティブ－スタンバイフェイルオーバー設定作業を完了した後、ステートフルフェイルオーバーの

設定方法は以下の通りです。

1. L4負荷分散サービスのセッションシンクのイネーブル

2. セッションシンクVLANの設定

3. ステートフルフェイルオーバーのイネーブル


CLIでの設定 L4負荷分散サービスのセッションシンクのイネーブル

L4負荷分散サービスのセッションシンクをイネーブルするためには、＜設定モード＞で次の手順を実行します。


1 slb <NAME>

＜SLB 設定モード＞に移動します。 • <NAME> ステートフルフェイルオーバーを設定する L4 サーバ負荷分散サービスの名

前

2 session-sync {all | none | persistence}

セッションシンク機能を設定します。 • all ：セッションシンク機能を使用する • none ：セッションシンク機能を使用しない（デフォルト） • persistence ：セッション維持機能が適用されているセッションにのみセッシ

ョンシンク機能を使用する

14 apply セッションシンク設定をシステムに適用します。

セッションシンクVLANの設定

セッションシンクのためのVLANを作成して、マスタースイッチとバックアップスイッチ間に接続されているポートをVLANに含めます。VLANを設定する方法は、第3章基本ネットワークの設定 – VLANの設定 – CLIでの設定 – VLANの作成及びポートの追加を参

考して下さい。

ステートフルフェイルオーバーのイネーブル

ステートフルフェイルオーバー機能をイネーブルするためには＜設定モード＞で次の手順を実行します。



2 session-sync vlan <VLAN> セッションシンクVLANを設定します。 • <VLAN> セッションシンクに使用する VLAN 名

3 session-sync interval <INTERVAL>

マスターとバックアップ仮想スイッチ間にセッションを同期化するインターバルを

設定します。インターバルの単位は100ミリセカンド（0.1秒）です。 • <INTERVAL> セッション情報の交換インターバル設定範囲： 1 ~ 100 （デフォルト： 10（1 秒））

4 session-sync peer {node1 | node2}

セッションシンクPeerを指定します。Failoverに接続された機器のセッションシン

クPeerはそれぞれ異なる必要があります。 • node1 ：セッションシンクPeerをノード1に指定 • node2 ：セッションシンクPeerをノード2に指定（デフォルト）

353


5 session-sync status {enable | disable}

ステートフルフェイルオーバー機能をイネーブルにします。

注意：ステートフルフェイルオーバー機能をイネーブルにすると、L4負荷分散サービスの性能が低くなることがあるので、必要な場合のみステートフルフェイルオーバー機能を使用することをお勧めします。

6 current フェイルオーバー設定情報を確認します。

7 apply フェイルーバー設定をシステムに適用します。

フェイルオーバー設定情報の表示フェイルオーバーの設定情報の表示方法について説明します。

CLIでの表示フェイルオーバー設定は＜管理者モード＞、＜設定モード＞で show failover コマンドを使用して確認することができます。現在設

定されているVRRPグループと動作状態は、＜Failover設定モード＞で show vrrp コマンドと show vrrp6 コマンドを用いて確

認できます。VRRPのIDを設定すれば、設定したVRRPグループに対する詳細な統計情報が確認できます。＜管理者モード＞、＜設定モード＞で show info failover コマンドを使用すると、フェイルオーバー設定とVRRPグループ設定、

動作状態情報が全て確認できます。



354

第9章基本セキュリティ機能の設定

本章ではPAS-Kで提供する基本セキュリティ機能について説明します。本章の構成は次の通りです。

基本セキュリティ機能の概要

基本セキュリティの設定

ファイアウォール統計情報の表示


基本セキュリティ機能の概要基本セキュリティ機能とは、ネットワークからの攻撃や脅威からPAS-Kを保護するために、PAS-Kで基本的に提供するセキュリティ機

能です。基本セキュリティ機能は、PAS-K装置を保護するシステムセキュリティ機能とPAS-Kと接続された配下のネットワーク及びネ

ットワーク機器を保護するネットワークセキュリティ機能があります。システムセキュリティ機能

システムアクセスの制御 PAS-K にアクセスできるホストを制限して、許可されないホストからのアクセスを遮断する機能です。

ネットワークセキュリティ機能

ファイアウォール機能様々な条件のフィルターを用いて不要なトラフィックの送受信を遮断することによりネットワークを保護する機能です。

DoS 攻撃の遮断

SYN Flooding のような DoS 攻撃を遮断しネットワークリソースを保護する機能です。

システムアクセスの制御システムアクセス制御機能は、TelnetやSSH、HTTP、HTTPSなどからPAS-K宛に接続するトラフィックを制限することによりシステム

を保護する機能です。システムアクセス制御機能を使用すれば、許可されないユーザーがPAS-KにアクセスしてPAS-Kの設定を変

更したり、設定情報を参照することなどを防ぐことができます。システムアクセス制御機能はユーザー認証時の脆弱性を補う用途でも活用することができます。Telnet、SSH、HTTP、SNMPを通じ

てPAS-Kに接続してシステムをモニタリングしたり管理するためには、ログインIDとパスワードを確認するユーザー認証を行われなけ

ればなりません。しかし、認証時に使用されるログインIDやパスワードが漏洩された場合PAS-Kにアクセスされてしまいます。このよ

うな場合、アクセスルールを利用してアクセスを許可するホストの条件を設定しておけば、ログイン処理を行う前に先に接続可能なホ

ストをフィルタリングするため、認証情報が露出した場合にも許可されていないホストからシステムへのアクセスを防ぐことができます。システムアクセス制御機能はアクセスルールを用いて許可するトラフィックパケットと遮断するパケットを設定します。アクセスルール

はパケットに対する条件と条件を満たすパケットの処理方法（許可あるいは遮断）で構成されます。パケットの条件はパケットの送信

元・宛先IPアドレス、パケットが受信されたインターフェース、プロトコル、ポート番号などを組み合わせて設定することができます。全てのアクセスルールの条件を満たさないパケットは基本アクセスポリシーによって処理方法が決定されます。デフォルトアクセスポ

リシーが許可（accept）に設定されていればアクセスルールを満たさないパケットは全てアクセスが許可され、デフォルトアクセスポリ

シーが遮断（deny）に設定されていれば破棄されます。

アクセスルールのID 複数のアクセスルールが設定されている場合、PAS-KはIDが一番小さいアクセスルールから適用します。IDが一番小さいアクセス

ルールの条件を満たさない場合は次の小さいIDを持つアクセスルールの条件を満たすかを検査します。このようにアクセスルールを

パケットに適用可否を検査し、パケットがアクセスルールの条件を満たせば該当アクセスルールをパケットに適用し処理します。一つのパケットが複数のアクセスルールの条件を同時に満たす場合は、一番小さいIDのアクセスルールが先に適用されます。アク

セスルールの設定方法としては、アクセスルールの条件が他のアクセスルールの条件に含まれていて複数のアクセスルールが同時

に満たす場合は、もっと具体的な条件を持つアクセスルールのIDを小さく設定します。例えば、送信元が192.168.10.0/24である条件を持つアクセスルール（ルール1）と送信元が192.168.10.0/28でプロトコルがTCPである条件を持つアクセスルール（ルール2）を設定する場合は、条件がもっと具体的であるルール2のIDをルール1のIDより小さい値

を設定しなければなりません。


356

システムアクセス制御機能の動作フロー次の図はシステムアクセス制御機能によってアクセスルールを適用する処理フローを示します。

[図 - PAS-Kのシステムアクセス制御の処理フロー]

特定ホストがPAS-Kに接続するためにパケットを送信すると、PAS-Kはパケットがアクセスルールの条件を満たすかどうかを確認す

るためにIDの一番小さいアクセスルールから順番に適用可否を検査します。アクセスルールの条件を満たした場合、アクセスルール

のポリシーによってアクセスを許可、または遮断します。条件を満たすアクセスルールが無いパケットは、基本アクセスルールの設定

によってアクセスを許可、または遮断します。

ファイアウォール機能ファイアーウォールは、ある特定の内部ネットワークとその外部との通信を制御し、内部ネットワークの安全を維持することを目的とし、

主に許可されたトラフィックのみ内部ネットワークにアクセスすることができ、許可されない外部ネットワークからのトラフィックは遮断

するソフトウェア、あるいはそのソフトウェアを搭載したハードウェアです。 PAS-Kは、ファイアウォール機能の一つであるパケットフィルタリング機能を提供します。パケットフィルタリング機能は内部ネットワー

クと外部ネットワーク間で送受信されるパケットをモニタリングし、設定されたフィルターの条件によってパケットフィルタリング処理を

行います。各フィルターは「条件」と「動作」で構成されます。条件はパケットを分類する時に使用され、動作は条件によっての動作を

設定します。条件を満たしたパケットを許可（accept）するか、または破棄（drop）するかなどを設定します。このようなパケットフィルタ

リング機能を用いると、外部ネットワークに接続する内部ネットワークを制限することができるほか（特定ポートを遮断するなど）、内部

ネットワークから外部へのアクセスを制限することができます。次の図は外部ネットワークからパケットをPAS-Kで受信した場合、ファイアウォール機能によって、パケットがフィルタリング処理フロ

ーを示しています。（図の中のファイアウォールは、PAS-Kのファイアウォール機能を意味します。）

[図 - PAS-Kのファイアウォール機能の動作フロー]

PAS-Kはファイアウォール機能のパケットフィルタリング条件として次を使用することができます。

なし

あり

次のIDのアクセスルールと一致?

基本アクセスポリシー?

アクセス許可

IDが一番小さいアク

セスルールルールと一致?

最後のルール?

アクセス遮断 deny

定義されたアクセスルール?

deny Yes

Yes

No

Yes accept ポリシー?

accept

パケット

No No

Yes

フィルター

条件?

フィルター

Action?

No

Accept

Drop パッケージ廃棄

パケット受信 PAS-K


357


プロトコルタイプ

送信元・宛先の IP アドレス

送信元・宛先のポート番号

パケットのコンテンツ

TCP フラグ

パケットの長さ

ICMP タイプ PAS-Kは一般的なファイアウォールを提供するフィルタリング条件であるプロトコルタイプ、IPアドレス、ポート番号だけではなく、パケ

ットの長さとパケットのコンテンツ、TCPフラグなどの様々なフィルタリング条件を提供することでより高い水準のセキュリティポリシー

を設定することができます。

DoS攻撃の遮断 DoS(Denial od Service)攻撃とは、特定のプロセスがシステムのリソースを独占したり破壊したりすることでシステムの他のプロセ

スが正しくサービスを提供できなくさせる攻撃を言います。PAS-KはこのようなDoS攻撃のひとつであるSYN Flooding攻撃を遮断す

ることのできるSYNクッキー機能を提供します。

SYNクッキー SYN Floodingは3-way handshakeの脆弱性を利用した攻撃で、DoS攻撃のひとつです。3-way handshakeの最初の過程でクラ

イアントのサーバと通信するためにTCP SYNパケットを送信します。TCP SYNパケットを受信したサーバは該当クライアントにリク

エスト受諾するTCP SYN/ ACKパケットを転送します。正常なクライアントはもう一度サーバにTCP ACKパケットを転送しTCPセッ

ションを接続しますが、悪意のあるクライアントの場合TCP ACKパケットを転送しないためサーバを待機状態（Half Open）にさせま

す。待機状態になっている間、該当の接続はメモリー空間であるバックログキュー（Backlog Queue）に積み重なり、このような動作

が繰り返し行われる場合サーバはTCPリクエストを受け取ることのできない「サービス拒否状態」に陥ります。

SYNクッキー（SYN Cookies）はこのようなSYN Flooding攻撃を遮断する機能です。クライアントがPAS-KにTCP SYNパケットｗｐ

送信すると、PAS-Kはもう一度各クライアントにクッキーを送信します。この時、Half Open状態を維持する代わりにクライアントのTCP ACKパケット受信のためにメモリーを割り当てます。これを通してSYN Flooding攻撃を遮断し、正常なアクセスを許可します。 SYNクッキーを使用するとTCP SYNパケットによりリソースの浪費を食い止めることができ、SYN Flooding攻撃が続いている途中

でも正常なクライアントに対しては中断することなくサービスを提供することができます。


358

基本セキュリティ機能の設定 PAS-Kの基本セキュリティ機能を設定する方法について説明します。

システムアクセス制御の設定システムアクセス制御機能を使用する方法は下記の通りです。

アクセスルールの設定システムアクセス制御機能を使用するためのアクセスを設定するためには、＜設定モード＞で次の手順を実行します。PAS-Kには最

大1024個のアクセスルールを設定することができます。複数のアクセスルールを設定する場合には、次の手順を繰り返します。


1 security ＜設定モード＞で＜Security 設定モード＞に移動します。

2 access ＜System Access 設定モード＞に移動します。

3 {rule | rule6} <ID>

アクセスルールを作成します。 • rule ： IPv4 環境でのアクセスルールを生成 • rule6 ： IPv6 環境でのアクセスルールを生成 • <ID> 設定範囲： 1 ~ 1,024

以下の4～8番までの処理はアクセスルールの条件を設定する過程で、選択設定できます。必要な条件を追加した後には9番から実行しま

す。

4 source-ip <SOURCE-IP> 送信元 IP アドレスを比較条件として追加します。（デフォルト： 0.0.0.0/0 rule6 のデフォルトは::/0）

5 destination-ip <DESTINATION-IP>

宛先 IP アドレスを比較条件として追加します。（デフォルト： 0.0.0.0/0 rule6 のデフォルトは::/0）

6 protocol {tcp | udp | icmp | all} プロトコルタイプを比較条件として追加します。（デフォルト：all）

プロトコルを TCP や UDP を選択した場合は、送信元ポート番号と宛先ポート番号を比較条件に設定することができます。7 番と 8 番処理

を参考にし送信元ポート番号と宛先ポート番号を設定します。

7 source-port <SOURCE-PORT>

送信元ポートを比較条件に追加します。数の送信元ポートを追加する場合には、空白なし

に「,（コンマ）」で各送信元ポートを区分するようにします。

• <SOURCE-PORT> 比較条件に使う送信元ポート番号。設定範囲： 0 ~ 65,535

8 destination-port <DESIINATION-PORT>

宛先ポートを比較条件で追加します。数の宛先ポートを追加する場合には、空白なしに

コンマ「,」で各宛先ポートを区分するようにします。 • <DESIINATION-PORT> 比較条件に使う宛先ポート番号。設定範囲： 0 ~ 65,535

8 policy {accept | deny} アクセスルールに追加した条件を満たすパケットの処理方法を設定します。 • accept ：条件を満たすパケットのアクセスを許可。 • deny ：条件を満たすパケットのアクセスを遮断。

9 interface {any | mgmt | vlan} アクセスルールを適用するインターフェースを設定します。管理用インターフェースを設定す

るためには mgmt を、特定 VLAN に設定するためには vlan を、すべてのインターフェ

ースにアクセスルール設定するためには any を入力します。（デフォルト： any）

11 vlan-name <VLAN-NAME> 10番でvlanを選択した場合、アクセスルールを適用するVLANを設定します。


アクセスルールの適用可否を設定します。設定したアクセスルールをすぐに適用しない場

合は、disable コマンドを用いてアクセスルールをディスエーブルします。（デフォルト：イネーブル）

11 current アクセスルールの設定情報を確認します。

12 apply アクセスルール設定を保存し、システムに適用します。

359


デフォルトアクセスポリシーの設定デフォルトアクセスポリシーを設定するためには、＜設定モード＞で次の手順を実行します。



2 access ＜System Access 設定モード＞に移動します。

3 default-policy {accept | deny}

全てのアクセスルールを満たさないパケットの処理方法を設定するために

デフォルトアクセスポリシーを設定します。 • accept ：許可する（デフォルト） • deny ：遮断する

注意： TelnetやHTTPを通じてPAS-Kに接続した場合、アクセスルールが設定しないかユーザーPCを許可するアクセスポリジーが設定

しないかの状態でデフォルトアクセスポリシーを「deny」設定するとPAS-Kとの接続が切れます。

システムアクセス制御機能の設定情報の表示＜System Access 設定モード＞で show rule コマンドを使用すると、設定されているアクセスルールを表示します。show rule コマンドにアクセスルールのIDを入力すれば、該当アクセスルールに対する情報のみが表示されます。

＜Security 設定モード＞で show access コマンドを使用すると設定されているデフォルトアクセスルールが表示されます。


参考：設定したアクセスルールを削除するためには、＜System Access 設定モード＞で次のコマンドを使用します。 (config-security-access) # no rule <ID>


360

ファイアウォール機能の設定ファイアウォール機能を設定する方法は次の通りです。

1. コンテンツの作成（選択設定）

2. コンテンツグループの作成（選択設定）

3. フィルターの作成

4. フィルターグループの作成（選択設定）

5. ポリシーの作成



コンテンツの作成コンテンツを作成するためには、＜設定モード＞で次のコマンドを使用します。PAS-Kには最大1,024個のコンテンツを設定すること

ができます。複数のコンテンツを設定する場合は、次の手順を繰り返します。



2 firewall

＜Security 設定モード＞で＜Firewall 設定モード＞に移動します。 firewall6

3 content <NAME>

コンテンツを作成し、＜Content 設定モード＞に入ります。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」文字を使って最大 32 文字まで設定

可能。ただし、最初の文字は必ず英文字を使用。

4 string <STRING> パケットのペイロードで検索する文字列を設定します。 • <STRING> パケットのペイロードで検索する文字列を入力。文字列は最大 100 文字まで設定可能。

5 offset {<OFFSET> | any}

4 番の処理で設定した文字列をパケットのペイロードで検索する時に検索を始めるパケットペイ

ロードの相対的位置(オフセット)を設定します。「any」を設定した場合は、パケットのペイロード

の最初から文字列を検索します。(デフォルト：any) • <OFFSET> パケットのペイロードで文字列検索の始点を設定。設定範囲： 0 ~ 2000byte

6 depth {<DEPTH> | any}

文字列検索の終点を設定します。「any」を設定した場合は、パケットのペイロードの最後まで文

字列を検索します。（デフォルト： any） • <DEPTH> パケットのペイロードで文字列検索の終点を設定。設定範囲： 0 ~ 2000byte

注意：文字列の検索を始めるoffsetの値は文字列検索を終了するdepthより小さくなけ

ればなりません。

7 case-sensitive {enable | disable}

文字列を検索する時に大小文字の区別可否を設定します。 • enable ：区分する • disable ：区分しない

8 current コンテンツの設定情報を確認します。

9 apply コンテンツ設定を保存し、システムに適用します。

参考：設定したコンテンツを削除するためには、＜Firewall 設定モード＞で次のコマンドを使用します。 (config-security-firewall)# no content <NAME>

361


コンテンツグループの作成コンテンツグループを作成するためには、＜設定モード＞で次のコマンドを使用します。PAS-Kには最大256個のコンテンツグループ

を設定することができます。複数のコンテンツグループを設定する場合は、次の手順を繰り返します。



2 firewall ＜Security 設定モード＞で＜Firewall 設定モード＞に移動します。

3 content-group <NAME>

コンテンツグループを作成し、＜Content Group 設定モード＞に入ります。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」文字を使って最大 32 文字まで設定

可能。ただし、最初の文字は必ず英文字を使用。

注意：コンテンツグループを作成する際、1つ以上のコンテンツを作成しなければいけま

せん。

4 content <CONTENT>

コンテンツグループにコンテンツを追加します。一つのコンテンツグループには最大 256 個の

コンテンツを追加することができます。 • <CONTENT> 同時に複数のコンテンツを設定する場合には「,（コンマ）」を使用

5 current コンテンツグループの設定情報を確認します。

6 apply コンテンツグループ設定を保存し、システムに適用します。

参考：コンテンツグループからコンテンツを削除するためには、＜Content Group 設定モード＞で次のコマンドを使用します。 (config-security-firewall-content-group[cntgroup1])# no content <CONTENT>

参考：コンテンツグループを削除するためには、＜Firewall 設定モード＞で次のコマンドを使用します。 (config-security-firewall)# no content-group <NAME>

参考：コンテンツグループに追加されたコンテンツは追加された順序によって比較優先順位が決まります。コンテンツグループに最初に追加

されたコンテンツの優先順位が一番高いので、先に比較されます。

フィルターの作成フィルターを作成するためには、＜設定モード＞で次のコマンドを使用します。PAS-Kには最大256個のフィルターを設定することが

できます。複数のフィルターを設定する場合は、次の手順を繰り返します。



2 firewall


3 filter <NAME>

フィルターを作成し、＜Filter 設定モード＞に入ります。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」文字を使って最大 32 文字ま

で設定可能。ただし、最初の文字は必ず英文字を使用。

次の 4～13 番までの処理はフィルターにパケットを検査する条件を追加する処理で、選択的に実行することができます。必要な条件を追加

した後は 14 番の処理から実行します。

4 protocol {tcp | udp | icmp | all}

プロトコルタイプをパケットフィルタリング条件として使用します。（デフォルト： all）設定したプロトコルによってより具体的なフィルタリング条件を追加することができま

す。 • TCP ： TCP フラグ → 5 番の処理 • ICMP ： ICMP タイプ → 7 番の処理

5 tcp-flag {urg | ack | psh | syn | fin | rst | none}

TCP フラグをフィルタリング条件に追加します。プロトコルタイプを「tcp」に設定した場

合は、TCP フラグを参照し、より様々なフィルタリング条件を作成することができます。

一つ以上のフラグを設定するためには、各フラグを「,」で区分して入力します。デフォル

トでは、TCP フラグをパケットフィルタリング条件に使用しないように設定されます。


362

6 tcp-flag-option {match | include}

TCP フラグをフィルタリング条件に追加した場合は、TCP フラグを検査する方法を選択

することができます。tcp-flag コマンドで設定した全ての TCP フラグが「1」に設定され

ているのかを検査する場合は match を設定し、設定した TCP フラグの中で一つでも

「1」に設定されているのかを検査する場合は include を設定します。

7

icmp-type {destination-unreachable | echo-reply | echo-request | fragmentation-needed | host-redirect|host-unreachable | network-redirect | network-unreachable | port-unreachable | redirect | source-quench | time-exceeded | ttl-zero-during-reassembly | ttl-zero-during-transit}

ICMP のタイプをフィルタリング条件に追加します。4 番の処理でプロトコルタイプを icmp に設定した場合は ICMP のタイプをフィルタリング条件として使用し、より様々なフ

ィルタリング条件を作成することができます。

8 source-ip <SOURCE-IP> 送信元 IP アドレスをフィルタリング条件に追加します。（デフォルト： 0.0.0.0/0）

9 dest-ip <DEST-IP> 宛先 IP アドレスをフィルタリング条件に追加します。（デフォルト： 0.0.0.0/0）

10 source-port {eq | gt | lt | any | range} port-num <PORT-NUM>

送信元ポート番号をフィルタリング条件として使用します。送信元ポート番号を比較す

る方法には次のような 5 つの方法があります。 • eq ：パケットの送信元ポートが設定したポートと一致するかを比較 • gt ：パケットの送信元ポートが設定したポートより大きいかを比較 • lt ：パケットの送信元ポートが設定したポートより小さいかを比較 • range ：パケットの送信元ポートが設定したポート範囲に含まれるかを比較 • any ：パケットの送信元ポートをフィルタリング条件に使用しない（デフォルト） • <PORT-NUM> 比較するポート番号設定範囲： 1 ~ 5,000

11 dest-port {eq | gt | lt | any | range} port-num <PORT-NUM>

宛先ポート番号をフィルタリング条件として使用します。

12 content <CONTENT> コンテンツやコンテンツグループをフィルタリング条件に追加します。追加するコンテン

ツやコンテンツグループは先に設定しておく必要があります。

13 length <LENGTH>

パケットの長さをフィルタリング条件に追加します。PAS-K は設定したパケットの長さよ

り大きいパケットをフィルタリングします。 • <LENGTH> 設定範囲： 1 ~ 2,000byte

14 action {accept | drop | reject | rate rate-limit-value <RATE-LIMIT-VALUE>}

フィルタリング条件を満たしたパケットの処理方法を設定します。 • accept ：パケットを許可(受信) • drop ：パケットを破棄 • reject ：パケットの送信元 IP アドレスにリセットパケットを送信。プロトコルタイプが

「tcp、icmp」に設定されている場合のみ設定できます。プロトコルタイプが「udp、any」の場合は apply コマンド実行時にエラーメッセージが表示されます。

• rate 設定した帯域幅でパケットを許可(受信)。 • <RATE-LIMIT-VALUE>

rate を選択した場合、パケットを受信するパケットレートを pps（packet per second）単位で入力します。設定範囲： 1 ~ 65,535

15 log {enable | disable} フィルターのフィルタリング処理情報をログで残すかどうかを設定します。 • enable ：ログを取得する場合（デフォルト） • disable ：取得しない場合


17 apply フィルター設定を保存し、システムに適用します。

参考：設定したフィルターを削除するためには、＜Firewall 設定モード＞次のコマンドを使用します。 (config-security-firewall)# no filter <NAME>

363


フィルターグループの作成フィルターグループを作成するためには、＜設定モード＞で次のコマンドを使用します。PAS-Kには最大256個のフィルターグループ

を設定することができます。複数のフィルターグループを設定する場合は、次の手順を繰り返します。



2 firewall

＜Security 設定モード＞で＜Firewall 設定モード＞に移動します。 firewal6

3 filter-group <NAME>

フィルターグループを作成し、＜Filter Group 設定モード＞に入ります。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」文字を使って最大 32 文字

まで設定可能。ただし、最初の文字は必ず英文字を使用。

注意：フィルターグルーを作成する際、1つ以上のフィルターを作成しなければ

いけません。

4 filter <FILTER>

フィルターグループにフィルターを追加します。一つのフィルターグループには最大

256 個のフィルターを追加することができます。 • <FILTER> 同時に複数のフィルターを設定する場合には「,（コンマ）」を使用。

5 current フィルターグループの設定情報を確認します。

6 apply フィルターグループ設定を保存し、システムに適用します。

参考：フィルターグループからフィルターを削除するためには、＜Filter Group 設定モード＞で次のコマンドを使用します。 (config-security-firewall-filter-group[fltrgroup1])# no filter <FILTER>

参考：フィルターグループを削除するためには、＜Firewall 設定モード＞で次のコマンドを使用します。 (config-security-firewall)# no filter-group <NAME>

参考：フィルターグループに追加されたフィルターは追加された順序によって比較優先順位が決まります。フィルターグループに最初に追加

されたフィルターが一番先に比較されます。

ポリシーの作成フィルターやフィルターグループを設定した後、適用するポリシーを設定します。ポリシーを作成するためには、＜設定モード＞で次

のコマンドを使用します。PAS-Kには最大1,024個のポリシーを定義することができ、複数のファイアウォールポリシーを設定するた

めには下記の過程を繰り返します。



2 firewall


3 policy <NAME>

ポリシーを作成し、＜Firewall Policy 設定モード＞に入ります。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」文字を使って最大 32 文字まで

設定可能。ただし、最初の文字は必ず英文字を使用。

4 filter <FILTER> filter-group <FILTER-GROUP>

ポリシーに使用するフィルターやフィルターグループを設定します。 • <FILTER> ポリシーで使用するフィルター名

• <FILTER-GROUP> ポリシーで使用するフィルターグループ名

5 interface <INTERFACE> 設定したフィルター、もしくはフィルターグループを適用するインターフェースを設定し

ます。

6 priority <priority>

ポリシーの優先順位を設定します。複数のファイアウォールポリシーを設定する場合

は優先順位が高い（数字が小さい）ポリシーが先に適用されます。 • <PRIORITY>

ポリシーの優先順位値設定範囲： 1 ~ 1,024


364

7 status {enable | disable} ポリシーの適用可否を設定します。 • enable ：適用する（デフォルト） • disable ：適用しない

8 current ポリシーの設定情報を確認します。

9 apply ポリシー設定を保存し、システムに適用します。

参考：ポリシーからフィルターとフィルターグループを削除するためには、＜Firewall Policy設定モード＞次のコマンドを使用します。 (config-security-firewall-policy[p1])# no filter <FILTER> (config-security-firewall-policy[p1])# no filter-group <FILTER-GROUP>

参考：ポリシーを削除するためには、＜Firewall 設定モード＞で次のコマンドを使用します。 (config-security-firewall)# no policy <NAME>

ファイアウォール機能の設定情報の表示コンテンツ設定情報の表示

＜Firewall 設定モード＞で show content コマンドを使用すると、設定したコンテンツを確認することができます。特定コンテンツ

の設定情報を確認するためには、show content コマンドとともにコンテンツ名を設定します。

コンテンツグループ設定情報の表示

＜Firewall 設定モード＞で show content-group コマンドを使用すると、設定したコンテンツグループを確認することができます。

特定コンテンツグループの設定情報を確認するためには、show content-group コマンドとともにコンテンツグループ名を設定しま

す。

フィルター設定情報の表示

＜Firewall 設定モード＞で show filter コマンドを使用すると、設定したフィルターを確認することができます。特定フィルターの設

定情報を確認するためには、show filter コマンドとともにフィルター名を設定します。

フィルターグループ設定情報の表示

＜Firewall 設定モード＞で show filter-group コマンドを使用すると、設定したフィルターグループを確認することができます。特

定フィルターグループの設定情報を確認するためには、show filter-group コマンドとともにフィルターグループ名を設定します。

ポリシー設定情報の表示

＜Firewall 設定モード＞で show policy コマンドを使用すると、設定したポリシーを確認することができます。特定ポリシーの設

定情報を確認するためには、show policy コマンドとともにポリシー名を設定します。

セキュリティ機能の設定情報の表示

＜管理者モード＞、＜設定モード＞で show security コマンドを使用すると、PAS-Kに設定されたシステムアクセス制御機能とフ

ァイアウォール機能の設定情報を確認することができます。


DoS攻撃遮断機能の設定 PAS-KにDoS攻撃遮断機能を設定する方法について説明します。

365


SYNクッキーの設定 PAS-KはSYN Flooding攻撃を遮断するSYNクッキー機能を提供します。SYNクッキー機能を設定するためには、＜設定モード＞で

次の過程を実行します。

設定情報の表示 DoS攻撃遮断機能の設定情報を表示するには＜管理者モード＞または＜設定モード＞で show security コマンドを使用するか、

＜Security設定モード＞で show dos-detect コマンドを使用します。


1 security ＜Security 設定モード＞に移動します。

2 dos-protect ＜DoS攻撃遮断設定モード＞に移動します。

3 syn-cookies {enable | disable} SYN クッキー機能の使用可否を設定します。 • enable ： SYN クッキー機能を使用する • disable ： SYN クッキー機能を使用しない（デフォルト）


366


本章ではPAS-Kで提供するQoS（Quality of Service）機能について説明した後、QoS設定時の注意事項及びQoS設定前の準備作

業について説明します。また、QoS機能を設定する方法について説明します。本章の構成は次の通りです。

QoS機能の理解

QoSの設定


QoS 機能の理解概要

PAS-Kはトラフィックのタイプによって帯域幅を割り当てることができるQoS（Quality of Service）機能を提供します。PAS-KのQoS機能を使用すれば、「特定」トラフィックに一定の帯域幅を常に「保障」する、または設定した帯域幅までに使用する帯域幅の「制限」

ができます。 PAS-Kは、QoS機能を使用しない時は受信される順番に従ってトラフィックを処理します。即ち、一番先に到着したトラフィックを一番

先に処理します。帯域幅が不足すると、後で到着したトラフィックは帯域幅に余裕があるまで待機し、使用可能な帯域幅が確保でき

れば待機中のパケットから送信処理を行います。このようにトラフィックを受信した順番に従って送信処理を行った場合は、次の問題

が起こることがあります。

トラフィックの特性が考慮されていないため、業務上に重要なトラフィックが遅れて送信される、または送信されないこともある。

特定トラフィックの帯域幅を制限することができないため、特定トラフィックによって帯域幅を全て占有され、他のトラフィック処理

ができないこともある。

このような問題はPAS-KのQoS機能を通じて解決することができます。特定トラフィックによって帯域幅を全て占有されるのを防止す

るためには該当トラフィックを送信元/宛先IPアドレス、送信元/宛先MACアドレス、送信元/宛先ポート番号、DSCP、イーサネットタイ

プ、プロトコル、インターフェースを条件としてクラスに分類し、このクラスに最大帯域幅（Peak rate）を設定します。

クラスクラスはパケットが特定の条件を満たしているかどうかを検査するために使用されます。したがって、クラスはパケットと比較される各

種条件で構成されます。クラスで使用できる条件には次の11があります。この11の中から必要なものだけを選択してクラスの条件と

して使います。

項目説明

送信元IPアドレス送信元IPアドレスまたはIP帯域を条件としてパケットを分類します。

送信元MACアドレス送信元MACアドレスを条件としてパケットを分類します。

送信元ポート番号送信元ポート番号を条件としてパケットを分類します。

宛先IPアドレス宛先IPアドレスまたはIP帯域を条件としてパケットを分類します。

宛先MACアドレス宛先MACアドレスを条件としてパケットを分類します。

宛先ポート番号宛先ポート番号を条件としてパケットを分類します。

DSCP IPヘッダーの含まれたDSCP（Differentiated Services Code Point）値を条件としてパケットを分類します。

イーサネットタイプイーサネットタイプを条件としてパケットを分類します。

プロトコル IPプロトコルを条件としてパケットを分類します。

受信ポートパケットを受信したポートを条件としてパケットを分類します。

VLAN パケットが属しているVLANを条件としてパケットを分類します。


368

ポリシーポリシーは特定クラスに適用する帯域幅ポリシーを設定するために使用されます。ポリシーはクラスとそのクラスのトラフィックに割り

当てる最大帯域幅と優先順位で構成されます。

[表 - QoSポリシーの構成要素]

項目説明

クラスポリシーを適用するクラスです。ポリシーには複数のクラスを設定することができます。

優先順位クラス優先順位です。この優先順位はパケットが複数のクラスに該当される場合、どのクラスのQoS Actionを適用

するかを決定することに使用します。

最大帯域幅

クラスのトラフィックが使用できる最大帯域幅です。最大帯域幅は使用可能な最大帯域幅を制限するために使用さ

れます。送信されるトラフィックが少なくて帯域幅が残る場合にも、該当クラスのトラフィックは最大帯域幅までにしか

使用できません。もし送信されるトラフィックがクラスに割り当てられた最大帯域幅を超える場合は、バッファリングを

通じてトラフィックが最大帯域幅を超えないようにシェーピングするようになります。トラフィックシェーピングは下の図

のように設定された帯域幅(最大帯域幅)を超えるトラフィックをバッファーに保存してから、その後、帯域幅に余裕が

生じた時に転送する方式です。一つのQoSインターフェースに複数のポリシーを設定する場合、各ポリシーに設定した最小帯域幅の合計は必ずQoSインターフェースに設定された帯域幅以下にならなければなりません。

キュー・スケジューリング（Queue Scheduling）出力ポートにはキューに保存されているパケットが送信できる帯域幅より多かった場合、どのパケットから優先的に処理するかの方

法が事前に決まっています。このような方法をキュー・スケジューリングといいます。PAS-Kにはキュー・スケジューリングとして次の

ような方法が使用できます。

SPQ（Strict Priority Queueing）各キューにHigh、Medium、Lowの優先順位を設定し、優先順位の高いキューにあるパケットを全べて処理してから次の優先順

位を持ったキューのパケットを処理する方式です。

RR（Round Robin）キューを順番に選択する方式です。

WRR（Weight Round Robin） Weightを使って処理するパケットの大きさをキューごとに相違するように設定した後、設定したWeight値の順番どおりにパケッ

トを処理する方式です。

DRR（Deficit Round Robin）各キューにQuantum（処理できる最大パケットの大きさ）とDeficit counterを定義した後、Deficit counterの大きさのみにキュ

ーのパケットを処理する方式です。Deficit counterは基本的に‘0’と設定されて、キューのデータがサービスされる時点にQuantum値と合致されます。パケットが処理された以後、Deficit counterは処理されたパケットの大きさの分だけ値が減ります。

時間

帯域幅

実際に流入したトラフィック

時間

最大帯域幅

帯域幅

バッファリング

369


帯域幅の制限（Rate Limit） PAS-Kは特定のトラフィックフローで使用できる帯域幅が制限できます。ポリシーマップを使って特定のクラスに属するトラフィックの

帯域幅のみを制限する事もでき、ポート全体の帯域幅を制限することができます。

QoS の設定 PAS-Kはパケット分類のためのクラスマップ（Classifier）と分類されたパケットに適用するポリシーマップ（QoS Action）を使用してQoSが設定できます。PAS-KでQoSを設定する方法は次の通りです。

1. クラスマップ設定（Class map） PAS-Kに受信されたパケットを特定クラスで分類します。パケットをクラスに分類する際には各クラスに定義された基準を使いま

す。パケットが含む情報とクラスに定義された基準を比較して一致すれば該当クラスのパケットに分類します。

2. ポリシーマップ設定（Policy map）

クラスマップを通じて特定トラフィッククラスに分類されたパケットに適用するQoS Actionを定義します。

3. ポリシーマップ適用（Service policy）

定義したポリシーマップの中から実際に適用するポリシーマップを設定します。

4． QoSポリシーを適用してトラフィックを送信各クラスのパケットをクラスに設定したポリシーに沿って送信します。

受信したトラフィックを分類する時にはクラスを使い、トラフィックを送信する際にはポリシー（Policy）を使います。QoSクラスはQoSポリ

シーに追加され、該当ポリシーの適用を受けるようになります。そして、QoSポリシーはQoSインターフェースに含まれて該当インターフ

ェースを通じて送受信されるトラフィックにポリシー適用を受けます。

CLIでの設定クラスマップ（Class map）設定クラスマップは特定のトラフィックを他のトラフィックと区分するための基準を定義したものです。クラスマップを作成するとPAS-Kはク

ラスマップに定義された分類基準によってインバウンドインターフェースのパケットが該当クラスに属するのかどうかを確認するように

なります。パケットがクラスに分類されれば、クラスが属したポリシーマップに定義されたQoS Actionがパケットに定義されます。 PAS-Kでクラスマップを作成し、トラフィック分類のための基準を定義するためには、＜設定モード＞で次のコマンドを使用します。


1 qos ＜QoS設定モード＞でアクセスします。

2 class-map <NAME>

クラスマップを定義し＜Class-map設定モード＞に移動します。クラスマップは最

大64個まで登録できます。 • <NAME> 英文字と数字、「-（ハイフン）」、「_（アンダーバー）」を使って最大 32 文字ま


3 match

クラス分類基準を定義します。matchコマンドの後に付く分類基準は次の通りです。 • dest-ip <DEST-IP> 宛先IPアドレス帯域を基準にパケットを分類します。

• dest-mac <DEST-MAC> 宛先MACアドレスを基準にパケットを分類します。

• dest-port <DEST-PORT> 宛先ポート番号を基準にパケットを分類します。設定範囲： 1 ~ 65,535

• dscp <DSCP> 設定したDSCP値に該当するパケットを分類します。設定範囲： 0 ~ 63

• ether-type <ETHER-TYPE> 設定したEthernet typeフィールド値に該当するパケットを分類します。設定範囲： 0000 ~ FFFF

• port <PORT>


370

入力インターフェースを基準にパケットを分類します。 • protocol <PROTOCOL> 設定したIPアドレスとプロトコルを基準にパケットを分類します。設定範囲： 0 ~ 255

• source-ip <SOURCE-IP> 送信元IPアドレス帯域を基準にパケットを分類します。

• source-mac <SOURCE-MAC> 送信元 MAC アドレスを基準にパケットを分類します。

• source-port <SOURCE-PORT>> 送信元ポート番号を基準にパケットを分類します。設定範囲： 1 ~ 65,535

• vlan <VLAN> パケットが属したVLAN IDを基準にパケットを分類します。設定範囲： 1 ~ 4,094

• any-traffic {enable | disable} 定義された分類基準の使用可否を設定します。 ‐ enable ：使用しない

- disable ：使用する（デフォルト）

参考: 定義したクラスマップを削除するためには、＜QoS設定モード＞で no class-map <NAME> コマンドを使用します。

参考: 定義したクラス分類基準を削除するためには、＜Class-map設定モード＞で no match コマンドと共に分類基準を入力します。

ポリシーマップ（Policy map）設定ポリシーマップはクラスマップを通じて分類されたトラフィックに適用するポリシー（QoS Action）を定義したものです。ポリシーマップ

には特定のトラフィッククラスに分類されたパケットに適用するQoS Actionが定義されます。一つのポリシーマップには相違した分類

基準を持ついくつかのクラスと該当クラスに適用するQoS Actionが包めます。そして、一つのクラスに複数のQoS Actionが適用で

きるようにいくつかのQoS Actionをポリシーマップに同時に追加できます。ポリシーマップを定義し、ポリシーを適用するクラスマップを設定してから該当クラスのためにQoS Actionを構成するためには、＜設

定モード＞で次のコマンドを使用します。


1 qos ＜QoS設定モード＞でアクセスします。

2 policy-map <NAME>

ポリシーマップを定義してから＜Policy-map設定モード＞に移動します。ポリシ

ーマップは最大64個まで登録できます。 • <NAME> 英文字と数字、「-（ハイフン）」、「_」アンダーバー）」を使って最大 32 文字ま


注意: ポリシーマップ名として「system」は使用できません。

3 apply ポリシーマップ設定を保存し、システムに適用します。

4 class-map <NAME>

ポリシーを適用するクラスマップを設定してから＜Policy-map-class設定モード

＞でアクセスします。 • <NAME> ポリシーを適用するクラスマップ名

下記の5番は定義したポリシーマップに適用するQoS Actionを設定する過程で、追加するActionのみ選択設定します。

5

precedence <PRECEDENCE> クラスマップの優先順位を設定します。 • <PRECEDENCE> クラスマップの優先順位。設定範囲： 2 ~ 12 （デフォルト： 6）

drop-precedence {enable | disable} 分類したパケットを遮断します。（デフォルト：ディスエーブル）

参考：分類したパケットを遮断しない場合には、drop-precedence disable コマンドを使用します。

dscp <DSCP> 分類したパケットにDSCP値を挿入します。 • <DSCP>

371


DSCP 設定値設定範囲： 0 ~ 63

注意： dscpを設定する場合には、tos-to-priority をイネーブルできませ

ん。

priority <PRIORITY> 分類したパケットに優先順位を設定します。 • <PRIORITY> パケットの優先順位設定範囲： 0 ~ 7

tos-to-priority {enable | disable}

分類したパケットのToS値を優先順位で使用します。（デフォルト：ディスエーブ

ル）

参考: 優先順位でToS値を使用しない場合には、tos-to-priority disableコマンドを使用します。

priority-to-tos {enable | disable}

分類したパケット優先順位でToS値を使用します。（デフォルト：ディスエーブル）

注意： dscp やpriorityを設定する場合には、tos-to-priority をイネーブ

ルできません。

参考: パケット優先順位でToS値を使用しない場合には、priority-to-tos disable コマンドを使用します。

action {deny | permit} 分類したパケットの許可可否を設定します。 • deny ：分類したパケットを遮断 • permit ：分類したパケットを許可

rate-limit <RATE> burst <BURST>

特定のクラスに属したトラフィック帯域幅を制限します。 • <RATE> クラスのトラフィックに保障する最大帯域幅設定範囲： 1 ~ 1,000,000（単位： kbps） • <BURST> クラスのトラフィックが使用できる最大バースト設定範囲： 1 ~ 128,000（単位： kbps）

参考: 定義したポリシーマップを削除するためには、＜QoS設定モード＞で no policy-map <NAME> コマンドを使用します。

参考: 設定したQoS Actionを削除するためには、＜Policy-map-class設定モード＞で no コマンドと共に削除するQoS Actionを入力しま

す。

参考: 帯域幅制限設定を削除するためには、＜Policy-map-class設定モード＞で no rate-limit <RATE> コマンドを使用します。

サービスポリシー（Service policy）設定サービスポリシーは定義されたポリシーマップの中から実際にどのポリシーマップを適用するのかを設定するものです。クラスマップ

とポリシーマップを定義することがQoSのための規則を作る過程とすると、サービスポリシーを定義するのは作られた規則の中から

どれをどのポートに使わせるのかを選択する過程と言えます。PAS-Kでサービスポリシーを設定しようとするなら、＜QoS設定モード

＞で次のコマンドを使用します。

コマンド説明

service-policy-map <NAME> サービスポリシーをPAS-Kに適用します。 • <NAME> ポリシーマップ名

参考: PAS-Kには1つのサービスポリシーのみを適用することができます。

参考: 定義したサービスポリシーを削除するためには、＜QoS設定モード＞で no service-policy <NAME> コマンドを使用します。


372

キュー･スケジューリング（Queue Scheduling）方式の設定 PAS-Kの各出力ポートには8つの送信キューがあります。PAS-Kでキューを処理するのに使用するスケジューリング方式を設定する

ためには、＜QoS設定モード＞で次のコマンドを使用します。


1 service-queue <PORT> ＜Service queue 設定モード＞に移動します。 • <PORT> サービスキューに含ませるポート

2 output-schedule-mode {drr | rr | spq | wrr}

ポートに適用するキュー・スケジューリング方式を設定します。 • drr ：パケットの長さを考慮して処理する方式 • rr ：キューを順次に選択して処理する方式 • spq ： CoS 値によりパケットを優先的に処理する方式（デフォルト） • wrr ：重み付けによりパケットを順次に処理する方式

注意： drrまたはwrrを設定する場合、必ずCoS値を設定します。

3 output-queue <INDEX> weight <WEIGHT>

drrまたはwrrを選択した場合、各キューごとに適用する重み付けを設定します。 • <INDEX> キュー番号。設定範囲： 0 ~ 7

• <WEIGHT> キュー番号に割り当てる重み付け設定範囲： 0 ~ 15

参考：定義したキュー・スケジューリング方式をデフォルトに戻すためには、＜Service queue 設定モード＞で no output-schedule-mode コマンドを使用します。

参考：キューごとに設定した重み付けを削除するためには、＜Service queue 設定モード＞で no output-queue <INDEX> コマンドを

使用します。

CoSフィールドの優先順位によって送信するキューを処理するよう設定するためには、＜QoS設定モード＞で次のコマンドを使用し

ます。

コマンド説明

input-cos-map <PRIORITY> index <INDEX>

CoSフィールド優先順位によって割り当てるキューを設定します。 • <PRIORITY> CoSフィールド優先順位設定範囲： 0 ~ 7 • <INDEX>

キュー番号設定範囲： 0 ~ 7

優先順位とキュー番号を設定しない場合には、CoSフィールド優先

順位によって基本的に割り当てられるキュー番号は次の通りです。

優先順位キュー番号

0 0 1 1 2 2 3 3 4 4 5 5 6 6 7 7

参考：帯域幅制限設定機能はPAS-K 1516/1716/2424/2824のみで提供します。

参考： CoSフィールド優先順位によって割り当てるキューを削除するためには、＜Service queue 設定モード＞で no input-cos-map <PRIORITY> コマンドを使用します。

373


帯域幅制限の設定特定ポートを通して受信、または送信されるトラフィック帯域幅を制限するためには、＜QoS設定モード＞で次のコマンドを使用しま

す。

コマンド説明

output-rate-limit <RATE> burst <BURST>

設定した出力ポートを通して送受信されるトラフィック帯域幅を制限し

ます。 • <RATE> ポートに保障する最大帯域幅設定範囲： 1 ~ 1,000,000（単位： kbps） • <BURST> ポートに許可する最大バースト設定範囲： 1 ~ 128,000（単位： kbps）

参考：定義したトラフィックの帯域幅制限設定を削除するためには、＜Service queue 設定モード＞で no output-rate-limit <RATE> コマンドを使用します。

定義したキューに帯域幅制限をするためには、＜QoS設定モード＞で次のコマンドを使用します。

コマンド説明

output-queue <INDEX> {max-rate <MAX-RATE> | min-rate <MIN-RATE>}

定義したキューに帯域幅制限を設定します。 • <INDEX> キュー番号設定範囲： 0 ~ 7 • <MAX-RATE> 最大帯域幅設定範囲： 1 ~ 1,000,000（単位： kbps） • <MIN-RATE> 最小帯域幅設定範囲： 1 ~ 1,000,000（単位： kbps）

参考：定義したキューの帯域幅制限設定を削除するためには、＜Service queue 設定モード＞で no output-queue <INDEX> コマン


参考：帯域幅制限設定機能はPAS-K 1516/1716/2424/2824のみで提供します。


374

設定情報の表示 QoS設定情報の表示現在の定義済みQoS関連の設定情報を確認するためには、＜管理者モード＞、＜設定モード＞で show qos コマンドを実

行します。

クラスマップ設定情報の表示現在の定義済みクラスマップは＜QoS設定モード＞で show class-map コマンドを通じて確認できます。特定のクラスマップに対

する設定情報の詳細を確認するためには、show class-map <NAME> コマンドを実行して下さい。

ポリシーマップ設定情報の表示現在の定義済みクラスマップは＜QoS設定モード＞で show policy-map コマンドを通じて確認できます。特定のポリシーマップに

対する設定情報の詳細を確認するためには、show policy-map <NAME> コマンドを実行して下さい。


375


基本用語集

PIOLINK Application Switch-K 1516/1716/2424/2824/4224/4424/4824ユーザマニュアル

基本用語説明関連用語

アアププリリケケーーシショョンンススイイッッチチアプリケーションスイッチは、「負荷分散装置(ロードバランサ)」、「マルチレイヤスイッチ」、「L4-L7スイッチ」、「コンテンツスイッチ」とも呼ばれて、仮

想的に設けたサーバ(仮想サーバ)宛てのリクエストを受付け、複数の実際のサーバ(実サーバ)のいずれかに振り分ける処理を主な目的としている。

本製品群が登場した初期段階では、負荷分散装置(ロードバランサ)と呼ばれて、主にWebサーバを対象にしていたことからTCPポートやIPアドレスを

ベースにトラフィックを振り分けるレイヤ4の負荷分散が中心に行われていた。このため負荷分散装置（ロードバランサ）は「Webスイッチ」「L4スイッチ」

などとも呼ばれていた。その後、レイヤ7のアプリケーション情報も解釈して負荷分散できるロードバランサが登場し、これらの装置は「L7スイッチ」「マ

ルチレイヤスイッチ」「コンテンツスイッチ」「アプリケーションスイッチ」などと呼ばれるようになった。このように発展を続けてきたアプリケーションス

イッチは、負荷分散機能以外にも、セキュリティ機能やアプリケーション高速化機能などが搭載された製品も増えている。

負荷分散装置、

ロードバランサ、

L4スイッチ、

L4-7スイッチ

パパイイオオリリンンククアアププリリケケーーシショョンンススイイッッチチ

パイオリンクアプリケーションスイッチ(PAS:PIOLINK Application Switch)は、各種サーバ、キャッシュサーバ、ファイアーウォール、VPN装置、ゲー

トウェイライン（回線）等の負荷分散を行う専用アプライアンス装置である。ハードディスクを実装していないスイッチベースのハードウェア構造から高

性能及び高信頼性を提供する。

PIOLINK Application Switch

LL44 負負荷荷分分散散 OSI参照モデルの第4層（Layer 4)であるトランスポート層での情報を基に負荷分散処理を行うことを意味する。TCP/IPで説明するとIPアドレスとTC

P、UDPのポート番号を用いて負荷分散を行うことを意味する。

L4 サービス

LL77 負負荷荷分分散散 OSI参照モデルの第7層（Layer 7)であるアプリケーション層での情報を基に負荷分散処理を行うことを意味する。TCP/IPで説明するとHTTP、FTP、

SIP、DNSなどのアプリケーションレイヤにおける情報に基づいて負荷分散を行う。例えば、HTTPヘッダーの詳細内容に基づいて処理すべきサー

バを割り当てたり、セッションを維持するなどの処理を行うことを意味する。

L7 サービス

ササーーババ負負荷荷分分散散 WEBサーバ、FTPサーバ、DNSサーバ、メールサーバ、データベースサーバ、プロキシサーバなどの各種サーバの負荷分散処理を行う。サーバ

負荷分散には、L4負荷分散機能とL7負荷分散機能があり、負荷分散構成、負荷分散方式、セッション維持などの様々な機能が用いられる。

SLB

(Server Load Balancing)

フファァイイアアウウォォーールル

負負荷荷分分散散

インターネットをベースとするアプリケーションシステムにおいては、ファイアーウォールの性能、信頼性、拡張性及び運用管理の効率性が常に求めら

れる。このためにアプリケーションスイッチを用いてファイアウォール負荷分散を行うことができる。複数台のファイアウォールを負荷分散するファイア

ウォール負荷分散には、リクエストに対するレスポンスは同じファイアウォールに振り分ける必要があるため、ファイアウォールを挟み込むような構成

となる。ファイアウォール負荷分散を行う場合は、ファイアウォールのモデル等には影響を受けないため、異なるモデルを用いて負荷分散を行うことも

できる。

FWLB

(Firewall Load Balancing)

VVPPNN負負荷荷分分散散本支店をインターネットVPNで構成した場合、本店側のVPN装置には性能、信頼性、拡張性、運用管理の効率性が求められる。この場合、アプリケ

ーションスイッチを用いてVPN負荷分散を行うことができる。複数台のVPN装置を負荷分散するVPN負荷分散には、リクエストに対するレスポンスは

同じVPNに振り分ける必要があるため、VPN装置を挟み込むような構成となる。VPN負荷分散を行う場合は、VPNのモデル等には影響を受けないた

め、異なるモデルを用いて負荷分散を行うこともできる。

VPNLB

(VPN Load Balancing)

CSLB

(Cache Server Load

Balancing)

377

付録録 B 基本用語集

基本用語説明関連用語キキャャッッシシュュササーーババ負負荷荷分分散散

キャッシュサーバ負荷分散は、構成及び動作が一般のサーバ負荷分散と異なる。キャッシュサーバは、クライアントからのリクエストに対するコンテン

ツをキャッシュサーバ自身へ保存しておいて、次回のリクエストが同じものであれば自身へ保存しておいたコンテンツを提供する動作を行う。このため

に、キャッシュサーバ負荷分散でのアプリケーションスイッチは、クライアントのリクエストをキャッシュサーバへリダイレクトする機能が提供される。キ

ャッシュサーバ負荷分散には、L4負荷分散機能とL7負荷分散機能がある。

ググロローーババルルササーーババ負負荷荷分分散散

グローバルサーバ負荷分散は、サーバ負荷分散が適用された「サイト」に対する負荷分散機能である。つまり、サーバ負荷分散は「サイト」のトラフィッ

クをサーバに適切に分散するのに対し、グローバルサーバ負荷分散はトラフィックを「サイト」に適切に負荷分散する。グローバルサーバ負荷分散に

よって、距離によるインターネットレスポンスの効率的な対応と障害対応等による「ディザスターリカバリー」や「BCP（事業継続計画）」などの対応にも

なる。

GSLB

(Global Server Load

Balancing)

ゲゲーートトウウェェイイ負負荷荷分分散散複数のゲートウェイライン（回線）を使用する際のアウトバウンドトラフィックに対する負荷分散である。外部ネットワークへ接続する際に複数のゲート

ウェイラインの場合、複数のゲートウェイラインを効率よく使うために負荷分散を行う機能である。一般的にはマルチホーミング装置と呼ばれる専用機

もあるが、複数の負荷分散を同時に使用する場合などで有効に活用できる。つまり、サーバ負荷分散を行いながらインターネット接続回線の負荷分

散を同時に行うことである。回線においては、複数のプロバイダーの回線を束ねる、または信頼性の高い回線とベストエフォート型の回線などを組み

合わせて使用するなどで信頼性及び拡張性に優れたネットワーク構成を可能とする。

GWLB

(Gateway Load Balancing)

負負荷荷分分散散方方式式負荷分散方式は、クライアントのリクエストを処理するサーバへ振り分ける際に適用するルールを意味する。負荷分散方式は、各負荷分散機能とL4

負荷分散、L７負荷分散によって異なる方式を適用する。基本的な負荷分散方式としては、ラウンドロビン(rr)、重み付けラウンドロビン(wrr)、最小コネ

クション（lc)、重み付け最小コネクション（wlc)、ハッシュ(hash)等がある。

負荷分散アルゴリズム

ララウウンンドドロロビビンン ((rrrr))

ラウンドロビンは有効なサーバに順番にトラフィックを振り分ける負荷分散方式である。WEBサーバのようにコネクションのライフタイムが短く、トラフィ

ック量が多いときに最適な負荷分散方式である。この方式では各サーバで処理するリクエストの数が均等になるので、サーバの負荷も均等になる。そ

のために分散対象となる全てのサーバが、同じ処理能力を持っている場合に有効である。

Round Robin

重重みみ付付けけララウウンンドドロロビビンン ((wwrrrr))

重み付けラウンドロビンは有効なサーバに設定された重み付けでトラフィックを振り分ける負荷分散方式である。各サーバ毎の処理能力に合わせた

重み付けを定義しておいて、それに従って負荷分散する。この方式では各サーバの処理能力によって処理するリクエストの数が割り当てられるため、

処理能力の違うサーバの負荷分散に有効である。

Weighted Round Robin

最最小小ココネネククシショョンン

((llcc))

最小コネクションは各サーバに割り当ててあるコネクション数をチェックして一番少ないコネクションを持っているサーバへ振り分ける負荷分散方式で

ある。FTPサーバのようにコネクションのライフタイムが長く、バラツキが有る場合などのようにサーバの負荷をコネクションの数で判断する場合に有

効である。

Least Connection

重重みみ付付けけ最最小小ココネネククシショョンン ((wwllcc))

重み付け最小コネクションは有効なサーバに設定された重み付けでの最小コネクション数をチェックしてトラフィックを振り分ける負荷分散方式であ

る。各サーバの処理能力に合わせた重み付けを定義しておいて、重み付けを反映した後に一番コネクションの数が少ないサーバへトラフィックを振り

分けるので、処理能力の違うサーバの負荷分散に有効である。

Weighted Least Connection

PIOLINK Application Switch-K 1516/1716/2424/2824/4224/4424/4824ユーザーマニュアル

378

基本用語説明関連用語最最大大重重みみ付付けけ最大重み付けは重み付けが一番大きいサーバへ負荷分散を行うが、このサーバで障害が発生しサービスが出来なくなった場合は、次の高い重み付

けサーバへ負荷分散する方式である。同じ重み付けの場合は先に登録されたサーバが優先的にトラフィックが割り振られる。

Maximum Weight

ハハッッシシュュ ((hhaasshh))

ハッシュはクライアントのIPアドレスを使って生成したハッシュキー(hash key)を使って負荷分散を行う方式である。同じクライアントからのリクエストは

同じサーバに割り振られるので、プロキシサーバ等を利用して接続する場合は負荷が偏るなどの現象もあるため注意が必要である。

Hash

UURRLL ハハッッシシュュ ((uurrllhhaasshh))

URLハッシュはクライアントのリクエストのURLを用いてハッシュキーを生成し負荷分散する方式である。同じURLのリクエストは同じサーバに割り振

られるので、サーバ、キャッシュサーバの負荷分散等に有効である。

URL Hash

障障害害監監視視アプリケーションスイッチはサーバの動作状況を常にチェックしてサーバの動作状態を管理する。このサーバの動作状態に基づいてサーバへの負荷

分散可否を決定する。障害監視は負荷分散サービスが適用されているサーバやファイアーウォール、VPN装置、回線などについて一定周期で正常

動作可否をチェックしてその結果を負荷分散サービスに反映する機能である。負荷分散処理において障害監視は必ず設定しなければならない項目

である。障害が発生したサーバ等を負荷分散対象から外したり、障害から復旧したサーバ等を自動的に検出して負荷分散対象に加えるなどの処理

を行う。障害監視の方法はICMPによる障害監視であるL3レイヤからアプリケーションレイヤでの障害監視など多様である。なお、複数の障害監視方

法を組み合わせて行うことも可能である。

ヘルスチェック

Health Check

セセッッシショョンン維維持持セッション維持とはクライアントから送られてくるリクエストの中で、関連のあるリクエストを同じサーバに振り分ける機能である。アプリケーションスイッ

チはクライアントからのリクエストを複数のサーバに振り分けるが、この時ブラウザは比較的短い時間で接続を切る仕組みになっているので、セッショ

ンが変わるたびに別のサーバにトラフィックが振り分けてしまう状況が発生する。それでも、情報を表示するだけのWEBサイトであれば何の問題も起

こらないが、ECサイトでのように買い物中にショッピングカートが消失したり、複数ページのフォームに記入を行っている途中でページが破棄されたり

して、うまく動作しなくなるケースが出てくる。こうした問題が起こらないように、同一クライアントからのトラフィックを全て同じサーバに振り分け続ける

（つまりセッションを維持する）機能がセッション維持（パーシステンス）である。

主なセッション維持機能としてはL4とL7負荷分散とともに使用することができるIPアドレスによる持続セッションとL7負荷分散で使用されるHTTPクッ

キーによるセッション維持機能とHTTPヘッダによるセッション維持機能、そしてSSLセッションIDによるセッション維持機能がある。

スティッキー

パーシステンス

Sticky Connection

Persistence

フフェェイイルルオオーーババーーフェイルオーバー（Failover）とは、現用系のサーバ/システム/ネットワークで障害が発生したとき、自動的に冗長な待機系現用系のサーバ/システム/

ネットワークに切り換える機能を意味する。

PASでも同様にフェイルオーバー機能を提供している。運用形態として、アクティブ-スタンバイフェイルオーバー(Active-Standby Failover)とアクティ

ブ-アクティブフェイルオーバー(Active-Active Failover)がある。アクティブ-スタンバイフェイルオーバー構成ではアクティブ側（マスター）が全てのト

ラフィックを処理し、スタンバイ側（バックアップ、スレーブ）は待機状態で運用し、アクティブ側で障害が発生した場合にスタンバイ側がアクティブになる

運用形態である。この場合は、アクティブ側が処理していたセッションは破棄される。アクティブ-アクティブフェイルオーバー構成では両方ともアクティ

ブとなり、トラフィックを分けて処理し、片方に障害が発生した場合は片方で全てのトラフィックを処理する運用形態である。この場合も片方で処理して

いたセッションは破棄される。

冗長化

High Availability

Active / Active

Active / Standby

Failover

379

付録録 B 基本用語集

登録商標R1.5...This equipment generates, uses, and can radiate radio frequency energy and, if...

Documents

Transcript of 登録商標R1.5...This equipment generates, uses, and can radiate radio frequency energy and, if...