ECL2.0 Tenant - cloudn-service.com · サブネット名:sub-nw-inet—01...
Transcript of ECL2.0 Tenant - cloudn-service.com · サブネット名:sub-nw-inet—01...
MFW(Managed FireWall)
以下のような
上記図のように
インターネット
インターネット
ロジカルネットワーク
→ http://www.cloudn
または、
MFW(Managed FireWall)
のような NW
上記図のように仮想サーバ、
インターネット GW、ロジカルネットワークの作成方法については
インターネット GW →
ロジカルネットワーク
http://www.cloudn-service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw
または、 http://www.cloudn
192.168.111.0/29ロジカルネットワーク1(インターネット側)
グローバル IP
1)153.153.1○▲
2)153.153.1×○
MFW(Managed FireWall)
NW を前提とします
仮想サーバ、インターネット
、ロジカルネットワークの作成方法については
→ https://ecl.ntt.com/documents/tutorials/rsts/Network/internet.html
ロジカルネットワーク
service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw
http://www.cloudn-service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw
Inter
net-R
MFW
W
VM
(Cent)
Server01
172.28.1.
192.168.111.0/29 ロジカルネットワーク1(インターネット側)
172.28.1.33
○▲.147
×○.20
MFW(Managed FireWall)のインターネット
とします。
インターネット GW、ロジカルネットワーク、
、ロジカルネットワークの作成方法については
https://ecl.ntt.com/documents/tutorials/rsts/Network/internet.html
service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw
service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw
Inter
R
FW
VM
(Cent)
Server01
172.28.1.52
ロジカルネットワーク1(インターネット側)
172.28.1.33(port5
192.168.111.1(
のインターネット接続設定
、ロジカルネットワーク、
、ロジカルネットワークの作成方法については
https://ecl.ntt.com/documents/tutorials/rsts/Network/internet.html
service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw
service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw
FW 設定情報
Internet-GW
port5)
(port4)
Server02
接続設定について
、ロジカルネットワーク、MFW
、ロジカルネットワークの作成方法については下記のマニュアルを参考にして
https://ecl.ntt.com/documents/tutorials/rsts/Network/internet.html
service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw
service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw
VM
(Cent)
ECL2.0 Tenant
GW 設定情報
172.28.1.
Server02
について
MFW を作成します。
下記のマニュアルを参考にして
https://ecl.ntt.com/documents/tutorials/rsts/Network/internet.html
service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw
service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw
ECL2.0 Tenant
172.28.1.53
172.28.1.32/27
ロジカルネットワーク2(内部
を作成します。
下記のマニュアルを参考にしてください。
https://ecl.ntt.com/documents/tutorials/rsts/Network/internet.html
service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw-create
service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw
ECL2.0 Tenant
172.28.1.32/27 ロジカルネットワーク2(内部 NW 側)
service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw-create
なお、ここでは、ECL2.0 のロジカルネットワークを下記のような設定で作成しております。
お客さまの NW 構成に応じて適宜、アドレスを変更してください。
� ロジカルネットワーク1(インターネット側)
サブネット名:sub-nw-inet—01
ネットワークアドレス:192.168.111.0/29
ゲートウェイ IP:192.168.111.1
DHCP:有効
� ロジカルネットワーク2(内部ネットワーク側)
サブネット名:sub-nw-inet—01
ネットワークアドレス:172.28.1.32/27
ゲートウェイ IP:172.28.1.33
DHCP:有効
また、インターネットゲートウェイは以下のように設定しております。
・IP アドレス情報
ゲートウェイ IPv4 アドレス プライマリ IPv4 アドレス セカンダリ IPv4 アドレス ネットマス
ク VRRP グループ ID
192.168.111.6 192.168.111.5 192.168.111.4 29 1
また、以下の方法でグローバル IP を取得しております
インターネットゲートウェイの詳細画面のグローバル IP のタブをクリックし、グローバル IP の追加ボタンを押してグ
ローバル IP を追加してください。
今回の例では以下の IP が追加されたものとします。
グローバル IP(実際には○▲、x○の部分には正しい IP の表記が入ります。)
1)153.153.1○▲.147
2)153.153.1×○.20
グローバル IP の追加ボタンをクリックしてグローバル IP を追加
ここから先、MagedFW(MFW)の設定について説明いたしますが、MFW ルールは以下のようなポリシーで設定します。
お客さまの状況に応じて各パラメーターを変更してください。
� Server01〜02 はグローバル IP1)、2)で NAT してインターネット側へアクセス可能(アドレスおよびポート制限
なく、全プロトコルでアクセス可能)、
� インターネット側からは特定の IP からのみグローバル IP 経由で Server1,Server2 へアクセス可能(ポート制限
なく、全プロトコルでアクセス可能)
ここでは特定の IP を 153.156.**.214、153.156.**.215 と表記します。実際の場合は実在する接続元 IP を設定する
ことが必要となります。
1 MFW(ManagedFireWall)の作成について MFW 作成方法の詳細は下記リンクをご参照ください。
https://ecl.ntt.com/documents/tutorials/security/rsts/security/order/managed_firewall_utm/order_new_sin
gle.html
対象テナントのコントロールパネルを開きクラウドコンピューティングを選択します。
次にネットワークを選択し、マネージドファイアウォールをクリックして SecurityMenu 画面を表示します。
画面が表示されたら“Managed Firewall/Managed UTM”の横にある”Order”をクリックします
ここをクリック
デバイス追加画面が表示されたら申込み種別で“デバイス追加”を選択し、デバイス情報で“メニュー”、“プラン”、“構成“、”
ゾーン/グループ“を選択してください。
今回は以下のように選択した例で説明します。
� メニュー:Managed Firewall
� プラン: 2CPU-4GB
� 構成 : Single
� ゾーン/グループ:zone1-groupb
“Managed Firewall”が作成されたら“Order”ボタンの横に“Operation”ボタンが表示されますので
クリックして設定を始めてください。
“Operation“が表示されます。
“Operation”ボタンを押して上記の設定画面が表示されたら”UTM Port Management”をクリックして設定を始めて
ください。
クリックしてください。
インターフェイスの設定
”UTM Port Management”の設定画面が表示されたら“Manage Interfaces”ボタンをクリックしてポートの有効化
とロジカルネットワークとの接続を⾏ってください。
クリックしてください。
設定画面が表示されたらまず Port4 の設定を⾏ってください。
Port4 の⾏を選択して“編集”ボタンをクリックしてください。
クリックしてください。
“編集”ボタンを押したら Port4 にロジカルネットワークを接続する設定を⾏います。
詳細は
https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/3110_inte
rface_single.html をご参照ください。
ここではあらかじめ作成しているロジカルネットワーク 1(インターネット側)
今回の例では以下のように設定します。
� EnablePort:チェックを入れる。
� IPAddress[CIDR]:192.168.111.1/29
� MTU Size:1500(default)
� Network ID:プルダウンで表示されますので接続するロジカルネットワーク 1 を選択してください。
� SubnetID:ロジカルネットワークの Subnet192.168.111.0/29 を選択してください。
設定が済んだら”保存”ボタンを押してください。
同様に、Port5 の設定画面に入りロジカルネットワークを接続する設定を⾏います。
ここではあらかじめ作成しているロジカルネットワーク2(内部ネットワーク側)に接続します。
今回の例では以下のように設定します。
� EnablePort:チェックを入れる。
� IPAddress[CIDR]:172.28.1.33/27
� MTU Size:1500(default)
� Network ID:プルダウンで表示されますので接続するロジカルネットワーク2を選択してください。
� SubnetID:ロジカルネットワークの Subnet172.28.1.32/27 を選択してください。
設定が済んだら”保存”ボタンを押してください。
Port4.Port5 の設定が済んだら“今実⾏”ボタンをクリックしてください。
クリックしてください。
設定が反映されたらステータス成功と表示されますので画面を閉じてください。
クリックして画面を閉じてください。
ステータス成功と表示されます。
UTM-***で始まる部分を選択し、
右クリックでデバイス管理を選択します。
Routing(デフォルトルート) の設定
① Routeing を選択してください。
② “追加”をクリックしてください。
インターネット側への Routing 設定の追加を⾏います。
詳細は
https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/4210_rout
ing_single.html をご参照ください。
今回の例では以下のように設定します。
� Destination IP:0.0.0.0
� Subnet Mask:0.0.0.0
� Gateway:192.168.111.6
� Interface:Port4
設定が済んだら“保存”をクリックしてください。
Address Object の設定
次に AddressObject の設定を⾏います。
画面左側のオブジェクトから AddressObject を選択し、表示された画面の“追加”ボタンを押してください。
② AddressObject を選択してください。
② “追加”をクリックしてください。
AddressObject の入⼒画面が表示されますので次の設定値を今回は設定します。
1)
� AddressName:server01
� Type:Subnet(プルダウンで選択します。)
� IPAddresss:172.28.1.52
� SubnetMask:255.255.255.255
� Interface:Port5(プルダウンで選択します。)
� Comment:(入⼒は不要)
設定値を入⼒後、“保存”ボタンを押してください。
設定値を入⼒したら保存ボタンを押して、AddressObject を追加してください。
繰り返し以下の AddressObject を追加してください。
2)
� AddressName:server02
� Type:Subnet(プルダウンで選択します。)
� IPAddresss:172.28.1.53
� SubnetMask:255.255.255.255
� Interface:Port5(プルダウンで選択します。)
� Comment:(入⼒は不要)
3)
� AddressName:test-env-01
� Type:IP Range(プルダウンで選択します。)
� Start IP Addresss :153.156.**.214(実際はお客さまの ECL2.0 外の接続元の IP を入⼒します。)
� End IP Addresss :153.156.**.215(実際はお客さまの ECL2.0 外の接続元の IP を入⼒します。)
� Interface:Port4(プルダウンで選択します。)
� Comment:(入⼒は不要)
Destination NAT の設定
次に、DestinationNAT の設定を⾏います。
画面左側のオブジェクトから DestinationNAT を選択し、表示された画面の“追加”ボタンを押してください。
③ DestinationNAT を選択してください。
② “追加”をクリックしてください。
DestinationNAT の入⼒画面が表示されますので次の設定値を今回は設定します。
詳細は
https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/4330_dest
ination_nat.html をご参照ください。
1)
� NAT Name :inbound-server01
� External IP Address : 153.153.1○▲.147
� Mapped IP Address :172.28.1.52
� External Interface :Port4(プルダウンで選択します。)
� Port Forward :チェックを外します。
� Comment : (入⼒不要)
設定入⼒後、“保存”ボタンを押して設定を保存します。次に“追加”ボタンを押して以下の設定値を追加します。
2)
� NAT Name :inbound-server02
� External IP Address : 153.153.1×○.20
� Mapped IP Address :172.28.1.53
� External Interface :Port4(プルダウンで選択します。)
� Port Forward :チェックを外します。
� Comment : (入⼒不要)
Source NAT の設定
① SourceNAT を選択してください。
② “追加”をクリックしてください。
SourceNAT の入⼒画面が表示されますので次の設定値を今回は設定します。
詳細は
https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/4340_sour
ce_nat.html をご参照ください。
1)
� NAT Name :outbound01
� External IP Address : 153.153.1○▲.147
� Mapped IP Address : 153.153.1○▲.147
� Comment : (入⼒不要)
設定入⼒後、“保存”ボタンを押して設定を保存します。次に以下の設定値を追加します。
2)
� NAT Name :outbound02
� External IP Address : 153.153.1×○.20
� Mapped IP Address : 153.153.1×○.20
� Comment : (入⼒不要)
上記設定完了後、ページ下部の「変更の保存」をクリックします。
Firewall Policy の設定
① Firewall Policy を選択してください。
② “追加”をクリックしてください。
FirewallPolicy の入⼒画面が表示されますので次の設定値を今回は設定します。
詳細は
https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/4500_fire
wall_policy.html をご参照ください。
1)
� Move rule :No Move(ラジオボタンで選択)
� Enable :チェックボックスにチェックを入れる。
� IncomingInterface :Port4(プルダウンで選択)
� SourceAddress :test-env-01(プルダウンで選択)
� OutgoingInterface :Port5(プルダウンで選択)
� DestinationAddressType :NAT Object(ラジオボタンで選択)
� DestinationNAT :inbound-server01(プルダウンで選択)
� Service :ALL(プルダウンで選択)
� Action :ACCEPT(プルダウンで選択)
� NAT :チェックボックスにチェックを入れる。
� NAT mode :UseOutgoingInterfaceAddress(ラジオボタンで選択)
� Log :Disable(プルダウンで選択)
設定値を入⼒したら“保存”ボタンをクリックして設定を保存してください。
繰り返し以下の FirewallPolicy を追加してください。
2)
� Move rule :No Move(ラジオボタンで選択)
� Enable :チェックボックスにチェックを入れる。
� IncomingInterface :Port4(プルダウンで選択)
� SourceAddress :test-env-01(プルダウンで選択)
� OutgoingInterface :Port5(プルダウンで選択)
� DestinationAddressType :NAT Object(ラジオボタンで選択)
� DestinationNAT :inbound-server02(プルダウンで選択)
� Service :ALL(プルダウンで選択)
� Action :ACCEPT(プルダウンで選択)
� NAT :チェックボックスにチェックを入れる。
� NAT mode :UseOutgoingInterfaceAddress(ラジオボタンで選択)
� Log :Disable(プルダウンで選択)
3)
� Move rule :No Move(ラジオボタンで選択)
� Enable :チェックボックスにチェックを入れる。
� IncomingInterface :Port5(プルダウンで選択)
� SourceAddress :server01(プルダウンで選択)
� OutgoingInterface :Port4(プルダウンで選択)
� DestinationAddressType :Address Object(ラジオボタンで選択)
� DestinationAddress :all(プルダウンで選択)
� Service :ALL(プルダウンで選択)
� Action :ACCEPT(プルダウンで選択)
� NAT :チェックボックスにチェックを入れる。
� NAT mode :UseNAPTObject(ラジオボタンで選択)
� NAPTObject :outbound01(プルダウンで選択)
� Log :Disable(プルダウンで選択)
4)
� Move rule :No Move(ラジオボタンで選択)
� Enable :チェックボックスにチェックを入れる。
� IncomingInterface :Port5(プルダウンで選択)
� SourceAddress :server02(プルダウンで選択)
� OutgoingInterface :Port4(プルダウンで選択)
� DestinationAddressType :Address Object(ラジオボタンで選択)
� DestinationAddress :all(プルダウンで選択)
� Service :ALL(プルダウンで選択)
� Action :ACCEPT(プルダウンで選択)
� NAT :チェックボックスにチェックを入れる。
� NAT mode :UseNAPTObject(ラジオボタンで選択)
� NAPTObject :outbound02(プルダウンで選択)
� Log :Disable(プルダウンで選択)
上記の設定が完了したら、Firewall Policy の設定および Managed Firewall の設定は完了です。
なお、今回の例ではインターネット外部の特定の Source IP から全てのプロトコルでの仮想サーバーへのアクセスを許
可する設定を入れております。お客さまのご利⽤状況に応じて Firewall Policy はご設定ください。
インターネットゲートウェイ(
ここまでの設定の状態ですと、外部から仮想サーバ
い状況です
ックルートの設定を実施します。
以下の情報をこの
ifgw-staticrt
ifgw-staticrt
以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。
インターネットゲートウェイ(
ここまでの設定の状態ですと、外部から仮想サーバ
い状況です。そこで仮想サーバーが外部と通信
ックルートの設定を実施します。
以下の情報をこの例では入⼒します。
名前
staticrt-01
staticrt-02
以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。
インターネットゲートウェイ(
ここまでの設定の状態ですと、外部から仮想サーバ
仮想サーバーが外部と通信
ックルートの設定を実施します。
例では入⼒します。
153.153.1○▲
153.153.1×○
以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。
インターネットゲートウェイ(
ここまでの設定の状態ですと、外部から仮想サーバ
仮想サーバーが外部と通信できるようにするため
例では入⼒します。
宛先
○▲.147/32
×○.20/32
以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。
インターネットゲートウェイ(Static Route
ここまでの設定の状態ですと、外部から仮想サーバーに対するアクセス、
できるようにするため
192.168.111.1
192.168.111.1
以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。
クリック
Static Route)
アクセス、仮想サーバーから外部へのアクセスができな
できるようにするため、最後にインターネットゲートウェイにスタティ
ネクストホップ
192.168.111.1
192.168.111.1
以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。
クリック
)の設定
サーバーから外部へのアクセスができな
、最後にインターネットゲートウェイにスタティ
ネクストホップ
以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。
サーバーから外部へのアクセスができな
、最後にインターネットゲートウェイにスタティ
以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。
サーバーから外部へのアクセスができな
、最後にインターネットゲートウェイにスタティ
以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。