ECL2.0 Tenant - cloudn-service.com · サブネット名：sub-nw-inet—01...

MFW(Managed FireWall)

以下のような

上記図のように

インターネット

インターネット

ロジカルネットワーク

→ http://www.cloudn

または、


のような NW

上記図のように仮想サーバ、

インターネット GW、ロジカルネットワークの作成方法については

インターネット GW →


http://www.cloudn-service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw

または、 http://www.cloudn

192.168.111.0/29ロジカルネットワーク１（インターネット側）

グローバル IP

1)153.153.1○▲

2)153.153.1×○


NW を前提とします

仮想サーバ、インターネット

、ロジカルネットワークの作成方法については

→ https://ecl.ntt.com/documents/tutorials/rsts/Network/internet.html


service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw

http://www.cloudn-service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw

Inter

net-R

MFW

W

VM

(Cent)

Server01

172.28.1.

192.168.111.0/29 ロジカルネットワーク１（インターネット側）

172.28.1.33

○▲.147

×○.20

MFW(Managed FireWall)のインターネット

とします。

インターネット GW、ロジカルネットワーク、


https://ecl.ntt.com/documents/tutorials/rsts/Network/internet.html


service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw

Inter

R

FW

VM

(Cent)

Server01

172.28.1.52

ロジカルネットワーク１（インターネット側）

172.28.1.33（port5

192.168.111.1（

のインターネット接続設定

、ロジカルネットワーク、





FW 設定情報

Internet-GW

port5）

（port4）

Server02

接続設定について

、ロジカルネットワーク、MFW

、ロジカルネットワークの作成方法については下記のマニュアルを参考にして




VM

(Cent)

ECL2.0 Tenant

GW 設定情報

172.28.1.

Server02

について

MFW を作成します。

下記のマニュアルを参考にして




ECL2.0 Tenant

172.28.1.53

172.28.1.32/27

ロジカルネットワーク２（内部

を作成します。

下記のマニュアルを参考にしてください。


service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw-create


ECL2.0 Tenant

172.28.1.32/27 ロジカルネットワーク２（内部 NW 側）

service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw-create

なお、ここでは、ECL2.0 のロジカルネットワークを下記のような設定で作成しております。

お客さまの NW 構成に応じて適宜、アドレスを変更してください。

� ロジカルネットワーク１（インターネット側）

サブネット名：sub-nw-inet—01

ネットワークアドレス：192.168.111.0/29

ゲートウェイ IP：192.168.111.1

DHCP：有効

� ロジカルネットワーク２（内部ネットワーク側）

サブネット名：sub-nw-inet—01

ネットワークアドレス：172.28.1.32/27

ゲートウェイ IP：172.28.1.33

DHCP：有効

また、インターネットゲートウェイは以下のように設定しております。

・IP アドレス情報

ゲートウェイ IPv4 アドレスプライマリ IPv4 アドレスセカンダリ IPv4 アドレスネットマス

ク VRRP グループ ID

192.168.111.6 192.168.111.5 192.168.111.4 29 1

また、以下の方法でグローバル IP を取得しております

インターネットゲートウェイの詳細画面のグローバル IP のタブをクリックし、グローバル IP の追加ボタンを押してグ

ローバル IP を追加してください。

今回の例では以下の IP が追加されたものとします。

グローバル IP（実際には○▲、x○の部分には正しい IP の表記が入ります。）

1)153.153.1○▲.147

2)153.153.1×○.20

グローバル IP の追加ボタンをクリックしてグローバル IP を追加

ここから先、MagedFW(MFW)の設定について説明いたしますが、MFW ルールは以下のようなポリシーで設定します。

お客さまの状況に応じて各パラメーターを変更してください。

� Server01〜02 はグローバル IP1)、2)で NAT してインターネット側へアクセス可能（アドレスおよびポート制限

なく、全プロトコルでアクセス可能）、

� インターネット側からは特定の IP からのみグローバル IP 経由で Server1,Server2 へアクセス可能（ポート制限

なく、全プロトコルでアクセス可能）

ここでは特定の IP を 153.156.**.214、153.156.**.215 と表記します。実際の場合は実在する接続元 IP を設定する

ことが必要となります。

１ MFW(ManagedFireWall)の作成について MFW 作成方法の詳細は下記リンクをご参照ください。

https://ecl.ntt.com/documents/tutorials/security/rsts/security/order/managed_firewall_utm/order_new_sin

gle.html

対象テナントのコントロールパネルを開きクラウドコンピューティングを選択します。

次にネットワークを選択し、マネージドファイアウォールをクリックして SecurityMenu 画面を表示します。

画面が表示されたら“Managed Firewall/Managed UTM”の横にある”Order”をクリックします

ここをクリック

デバイス追加画面が表示されたら申込み種別で“デバイス追加”を選択し、デバイス情報で“メニュー”、“プラン”、“構成“、”

ゾーン/グループ“を選択してください。

今回は以下のように選択した例で説明します。

� メニュー：Managed Firewall

� プラン：２CPU-4GB

� 構成： Single

� ゾーン/グループ：zone1-groupb

“Managed Firewall”が作成されたら“Order”ボタンの横に“Operation”ボタンが表示されますので

クリックして設定を始めてください。

“Operation“が表示されます。

“Operation”ボタンを押して上記の設定画面が表示されたら”UTM Port Management”をクリックして設定を始めて

ください。

クリックしてください。

インターフェイスの設定

”UTM Port Management”の設定画面が表示されたら“Manage Interfaces”ボタンをクリックしてポートの有効化

とロジカルネットワークとの接続を⾏ってください。


設定画面が表示されたらまず Port4 の設定を⾏ってください。

Port4 の⾏を選択して“編集”ボタンをクリックしてください。


“編集”ボタンを押したら Port4 にロジカルネットワークを接続する設定を⾏います。

詳細は

https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/3110_inte

rface_single.html をご参照ください。

ここではあらかじめ作成しているロジカルネットワーク 1（インターネット側）

今回の例では以下のように設定します。

� EnablePort：チェックを入れる。

� IPAddress[CIDR]:192.168.111.1/29

� MTU Size:1500(default)

� Network ID:プルダウンで表示されますので接続するロジカルネットワーク 1 を選択してください。

� SubnetID：ロジカルネットワークの Subnet192.168.111.0/29 を選択してください。

設定が済んだら”保存”ボタンを押してください。

同様に、Port5 の設定画面に入りロジカルネットワークを接続する設定を⾏います。

ここではあらかじめ作成しているロジカルネットワーク２（内部ネットワーク側）に接続します。


� EnablePort：チェックを入れる。

� IPAddress[CIDR]:172.28.1.33/27

� MTU Size:1500(default)

� Network ID:プルダウンで表示されますので接続するロジカルネットワーク２を選択してください。

� SubnetID：ロジカルネットワークの Subnet172.28.1.32/27 を選択してください。

設定が済んだら”保存”ボタンを押してください。

Port4.Port5 の設定が済んだら“今実⾏”ボタンをクリックしてください。


設定が反映されたらステータス成功と表示されますので画面を閉じてください。

クリックして画面を閉じてください。

ステータス成功と表示されます。

UTM-***で始まる部分を選択し、

右クリックでデバイス管理を選択します。

Routing(デフォルトルート) の設定

① Routeing を選択してください。

② “追加”をクリックしてください。

インターネット側への Routing 設定の追加を⾏います。

詳細は

https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/4210_rout

ing_single.html をご参照ください。


� Destination IP：0.0.0.0

� Subnet Mask：0.0.0.0

� Gateway：192.168.111.6

� Interface:Port4

設定が済んだら“保存”をクリックしてください。

Address Object の設定

次に AddressObject の設定を⾏います。

画面左側のオブジェクトから AddressObject を選択し、表示された画面の“追加”ボタンを押してください。

② AddressObject を選択してください。


AddressObject の入⼒画面が表示されますので次の設定値を今回は設定します。

1）

� AddressName：server01

� Type：Subnet（プルダウンで選択します。）

� IPAddresss：172.28.1.52

� SubnetMask：255.255.255.255

� Interface：Port5（プルダウンで選択します。）

� Comment：（入⼒は不要）

設定値を入⼒後、“保存”ボタンを押してください。

設定値を入⼒したら保存ボタンを押して、AddressObject を追加してください。

繰り返し以下の AddressObject を追加してください。

2）

� AddressName：server02

� Type：Subnet（プルダウンで選択します。）

� IPAddresss：172.28.1.53

� SubnetMask：255.255.255.255



3）

� AddressName：test-env-01

� Type：IP Range（プルダウンで選択します。）

� Start IP Addresss ：153.156.**.214（実際はお客さまの ECL2.0 外の接続元の IP を入⼒します。）

� End IP Addresss ：153.156.**.215（実際はお客さまの ECL2.0 外の接続元の IP を入⼒します。）



Destination NAT の設定

次に、DestinationNAT の設定を⾏います。

画面左側のオブジェクトから DestinationNAT を選択し、表示された画面の“追加”ボタンを押してください。

③ DestinationNAT を選択してください。


DestinationNAT の入⼒画面が表示されますので次の設定値を今回は設定します。

詳細は

https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/4330_dest

ination_nat.html をご参照ください。

1)

� NAT Name :inbound-server01

� External IP Address : 153.153.1○▲.147

� Mapped IP Address :172.28.1.52

� External Interface :Port4(プルダウンで選択します。)

� Port Forward :チェックを外します。

� Comment : (入⼒不要)

設定入⼒後、“保存”ボタンを押して設定を保存します。次に“追加”ボタンを押して以下の設定値を追加します。

2)

� NAT Name :inbound-server02

� External IP Address : 153.153.1×○.20

� Mapped IP Address :172.28.1.53

� External Interface :Port4(プルダウンで選択します。)

� Port Forward :チェックを外します。


Source NAT の設定

① SourceNAT を選択してください。


SourceNAT の入⼒画面が表示されますので次の設定値を今回は設定します。

詳細は

https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/4340_sour

ce_nat.html をご参照ください。

1)

� NAT Name :outbound01

� External IP Address : 153.153.1○▲.147

� Mapped IP Address : 153.153.1○▲.147


設定入⼒後、“保存”ボタンを押して設定を保存します。次に以下の設定値を追加します。

2)

� NAT Name :outbound02

� External IP Address : 153.153.1×○.20

� Mapped IP Address : 153.153.1×○.20


上記設定完了後、ページ下部の「変更の保存」をクリックします。

Firewall Policy の設定

① Firewall Policy を選択してください。


FirewallPolicy の入⼒画面が表示されますので次の設定値を今回は設定します。

詳細は

https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/4500_fire

wall_policy.html をご参照ください。

1)

� Move rule ：No Move(ラジオボタンで選択)

� Enable ：チェックボックスにチェックを入れる。

� IncomingInterface ：Port4(プルダウンで選択)

� SourceAddress ：test-env-01（プルダウンで選択）

� OutgoingInterface ：Port5(プルダウンで選択)

� DestinationAddressType ：NAT Object（ラジオボタンで選択）

� DestinationNAT ：inbound-server01（プルダウンで選択）

� Service ：ALL（プルダウンで選択）

� Action ：ACCEPT（プルダウンで選択）

� NAT ：チェックボックスにチェックを入れる。

� NAT mode ：UseOutgoingInterfaceAddress（ラジオボタンで選択）

� Log ：Disable（プルダウンで選択）

設定値を入⼒したら“保存”ボタンをクリックして設定を保存してください。

繰り返し以下の FirewallPolicy を追加してください。

2)




� SourceAddress ：test-env-01（プルダウンで選択）


� DestinationAddressType ：NAT Object（ラジオボタンで選択）

� DestinationNAT ：inbound-server02（プルダウンで選択）




� NAT mode ：UseOutgoingInterfaceAddress（ラジオボタンで選択）


3)




� SourceAddress ：server01（プルダウンで選択）


� DestinationAddressType ：Address Object（ラジオボタンで選択）

� DestinationAddress ：all（プルダウンで選択）




� NAT mode ：UseNAPTObject（ラジオボタンで選択）

� NAPTObject ：outbound01（プルダウンで選択）


4)




� SourceAddress ：server02（プルダウンで選択）


� DestinationAddressType ：Address Object（ラジオボタンで選択）

� DestinationAddress ：all（プルダウンで選択）




� NAT mode ：UseNAPTObject（ラジオボタンで選択）

� NAPTObject ：outbound02（プルダウンで選択）


上記の設定が完了したら、Firewall Policy の設定および Managed Firewall の設定は完了です。

なお、今回の例ではインターネット外部の特定の Source IP から全てのプロトコルでの仮想サーバーへのアクセスを許

可する設定を入れております。お客さまのご利⽤状況に応じて Firewall Policy はご設定ください。

インターネットゲートウェイ（

ここまでの設定の状態ですと、外部から仮想サーバ

い状況です

ックルートの設定を実施します。

以下の情報をこの

ifgw-staticrt

ifgw-staticrt

以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。



い状況です。そこで仮想サーバーが外部と通信


以下の情報をこの例では入⼒します。

名前

staticrt-01

staticrt-02




仮想サーバーが外部と通信


例では入⼒します。

153.153.1○▲

153.153.1×○




仮想サーバーが外部と通信できるようにするため

例では入⼒します。

宛先

○▲.147/32

×○.20/32


インターネットゲートウェイ（Static Route

ここまでの設定の状態ですと、外部から仮想サーバーに対するアクセス、

できるようにするため

192.168.111.1

192.168.111.1


クリック

Static Route）

アクセス、仮想サーバーから外部へのアクセスができな

できるようにするため、最後にインターネットゲートウェイにスタティ

ネクストホップ

192.168.111.1

192.168.111.1


クリック

）の設定

サーバーから外部へのアクセスができな

、最後にインターネットゲートウェイにスタティ

ネクストホップ








ECL2.0 Tenant - cloudn-service.com · サブネット名：sub-nw-inet—01...

Documents

Transcript of ECL2.0 Tenant - cloudn-service.com · サブネット名：sub-nw-inet—01...