documents for Security Gateway and IPsec
このドキュメントでは、RTシリーズでセキュリティ・ゲートウェイ 機能を利用すると きに必要な知識をまとめています。 他のドキュメントを読む前に、一読されることを お勧めします。 セキュリティ 暗号化 認証 Virtual Private Network (VPN) トンネル/トンネリング プライベートアドレス機器間のTCP/IP通信 セキュリティ・ゲートウェイ機能 (SG) TCP/IPのセキュリティ・プロトコル IPsec 鍵交換プロトコル IKE セキュリティ・アソシエーション(SA) リリース番号 関連するRFCなど セキュリティ インターネットは、数十年前に初期の運用が始まって から現在に至るまで、急速な発展を遂げてきました。 現在では、1億人にのぼる世界中の人々が、様々な目的で インターネットを利用しています。 インターネットは、世界中の様々な人々の管理によって 有機的に結合され
Twice NAT機能
$Date: 2023/07/06 20:30:27 $ 1. 仕様 2. 注意事項 3. 対応機種とファームウェアリビジョン 4. 関連技術資料 1. 仕様 Twice NATは、 RFC2663で定義されている用語で、 始点アドレスと終点アドレスの両方を書き換える方式を意味します。 この方式を使う典型例は、 下図のように、 プライベートアドレスが衝突しているネットワークを扱うときです。 プライベートアドレスの衝突は、企業の合併によるネットワークの再編で、 しばしば発生しています。 このケースで、Router 1の設定は変更できず、 Router 2の設定だけを変更できるものと想定します。 このとき、Router 2では、N1に対してN2のアドレスを偽り、 N2に対してN1のアドレスを偽る必要があります。 従来のファームウェアで、 この要件を満たそうとするならば、 LAN1とLAN2の両
マルチホーミング
updated at $Date: 2001/09/20 09:09:23 $ 概要 モデル 設定例 コマンド仕様 関連リリースノート 概要 マルチホーミングは、同一宛先に対する複数の経路で負荷を分散させることが できる機能です。例えば複数のISPに同時に接続して通信することが可能とな り、各ISPへの回線速度に応じてパケットを振り分けることができます。また、 回線ダウン時にも別ISP経由でパケットを送出することができます。 この機能を使用するためには、NAT/IPマスカレードによるアドレス変換を行う 必要があります。一般的なISP接続では、ISPからユーザにグローバルアドレス 空間が割り当てられ、ユーザからISP経由でインターネットにパケットを送出 する時には、割り当てられたグローバルアドレス空間内のIPアドレスを始点IP アドレスとする必要があります。そのため、複数のISPを利用するた
L2TP/IPsec
AVPのパラメータ値の暗号化 L2TPには、L2TPパケット全体を暗号化する仕組みはありませんが、各AVPのパラメータ値を暗号化させる仕組みが取り入れられています。AVPパラメータ値の暗号化には、属性番号36のRandom Vector AVPで通知されるRandom Vectorおよびその属性番号(36)と、LACとLNSで事前に共有するパスフレーズの3つを用いたMD5ハッシュ関数で導出される共有鍵を使用します。そのため、Random Vector AVPはAVPsの中で暗号化して通知したいAVPよりも前に配置されます。 L2TPの制御メッセージ(AVPが暗号化される場合) +--------+--------------------------------------------------------------------------+ | | ペイロード | | L2TP | +
NATディスクリプター機能 概要
NATディスクリプター機能 概要 $Date: 2022/08/05 00:49:03 $ 1. 概要 1.1. NAT、NAPT、IPマスカレード 1.2. バインド 1.3. 静的変換と動的変換 1.4. 内側と外側 1.5. NATディスクリプター 1.6. 処理の位置づけ 2. パケットの扱い 2.1. インターフェースとNATディスクリプター 2.2. 外向きのパケットの処理 2.3. 内向きのパケットの処理 2.4. プロトコルの扱い 2.5. アプリケーションの扱い 3. NATディスクリプター 3.1. 変換の方式 3.2. 外側アドレス 3.3. 内側アドレス 3.4. 静的NAT 3.5. 静的IPマスカレード 3.6. アドレスの割り当てポリシー 3.7. ポート番号の割り当てポリシー 3.8. DFビットの扱い 4. アプリケーションへの対応 4.1. FTP 4.
IPsecでのNATの設定について
1. はじめに この文書では、IPsecを使うときのNATの設定について説明します。 このトピックについては、 設定のガイドや ダイヤルアップVPNの設定ガイドでも 取り上げていますが、この文書では特にフォーカスを絞って説明します。 一般にNATとIPsecの併用は難しいものと考えられています。しかしながら、 プロバイダから割り当てられるアドレスの数で場合分けすると、 簡単に設定の方針を知ることができます。 そこで、この文書では、プロバイダから割り当てられるアドレスの数によって、 固定で複数、固定で1つ、 不定で1つというの3つのケースに場合分けし、 IPsecやNATの設定の作り方を説明します。なお、説明の都合上、 途中を飛ばさないで、順に読み進められることをお奨めします。 例題として考えるネットワーク構成は以下のとおりです。 [ネットワーク構成] インターネットへ インターネットへ |
ヤマハ ルーター ファイアウォール機能~説明資料~
1 AV&IT Marketing Division 2 AV&IT Marketing Division 3 AV&IT Marketing Division 4 AV&IT Marketing Division 5 AV&IT Marketing Division LAN R ISDN/ (LAN#) (PP#) (TUNNEL#) + NAT 6 AV&IT Marketing Division ----------<… >---------- ----------<… >---------- <IN> <OUT> 7 AV&IT Marketing Division IPv4 PPP ICMP (1) TCP (6) UDP (17) AH (51) GRE (47) ESP (50) IPv6 (41) IPv6 ping IPv6 IPsec PPTP VPN 8 AV&IT
VLAN
タグVLAN上のPPPoEを使用する場合は、pppoe useコマンドでVLANインタフェースを指定します。 pp select 1 pppoe use lan2/1 制約事項 VLANを使用するLANインタフェースでは、LAN分割機能は使用できません。 VLANインタフェースでQoSのクラス分けは可能ですが、キュータイプの設定はできません。キューイング処理はそのVLANが属する実LANインタフェースで行われますのでそちらで設定します。 パケットのカウントは実LAN単位となります。 pppoe useコマンドに指定できるVLANインタフェースでは、サブインタフェース番号が8以下でなければいけません。 その他 VLANインタフェースにおいても、NATやフィルタは実LANインタフェースと同等に機能させることができます。 show status vlanコマンドでVLANインタフェース毎の設定や
LAN分割機能
※RTX1300は、フレキシブルLAN/WANポートで本機能を代用できます。 3. 制限事項 同一LANインタフェースでLAN分割機能とタグVLAN機能を併用することはできません。両者 ("lan type interface port-based-option=divide-network" と "vlan interface 802.1q vid=") のうち先に入力されたものが有効となり、後から入力されるものはコマンドエラーになります。 LAN分割機能(ポートベースVLAN)が設定されているLANインターフェースではLANマップを使用することはできません。LANマップ機能の詳細は「LANマップ機能」を参照してください。 show status interfaceコマンドで、lan1.NやvlanNをinterfaceに指定することはできません。 4. 詳細 ポートベースVLAN 物理
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
