基本設定 (NetScreenの場合)
今回は本社側に想定したNetScreen-5GTの基本的な設定を行います。
基本的な設定と言っても色々ありますが、まずはパスワードを変えましょう。工場出荷時のログイン名・パスワードは前回のtips記事にも書いたとおり、ログイン名:netscreen・パスワード:netsceenです。ログイン名を変えることも(もちろん)出来るのですが、ひとまず今回はパスワードだけ変更します。
ns5gt-> set admin password PASSWORD ns5gt-> save Save System Configuration ... Done
なお、この時点ではまだシリアルコンソールでの作業です。これも工場出荷時の設定で 192.168.1.1というIPアドレスが設定されているのですが、設定作業上でまさに設定作業に使っているIPアドレスを変える可能性を考えると、シリアルコンソールでの作業をお勧めします。
続いて、実際にIPアドレスを機器に割り当てます…とは言うものの、前回の構成図は全体のイメージをつかむには良いのですが、実際にルータやファイアウォールを設定するには余りにも情報が足りていません。そのため、もう少し突っ込んだ資料を作る必要があります。
具体的には、ネットワークのIPアドレス構成や使用する機器に割り当てるIPアドレス、インターネットへの接続方法、VPNの接続方法、ファイアウォールのフィルタリングルール…などなど。書き出せば色々出てきます。
今回はIPアドレスを設定するのが目標ですから、前回の構成図をIPアドレスとネットワーク構成が解るように書き換えてみました。
なお、仮想環境ですので(インターネットのような)外部ネットワークとして、10.0.0.0/24というネットワークを設定しています。
これを反映するための設定が以下になります。
ns5gt-> unset dhcp server service ns5gt-> set interface "ethernet1" zone "Trust" ns5gt-> set interface "ethernet3" zone "Untrust" ns5gt-> set interface ethernet1 ip 192.168.0.254/24 ns5gt-> set interface ethernet1 route ns5gt-> set interface ethernet3 ip 10.0.0.1/24 ns5gt-> set interface ethernet3 route ns5gt-> set vrouter "trust-vr" ns5gt(trust-vr)-> unset add-default-route ns5gt(trust-vr)-> set route 0.0.0.0/0 interface ethernet1 gateway 10.0.0.254 ns5gt(trust-vr)-> exit ns5gt-> save Save System Configuration ... Done
IPアドレスを設定しているだけなのに設定行数が多いのは、zoneやvrouterなどNetScreen独特の概念を扱っているためです。これらの概念については後ほどtipsの項で紹介するかもしれません。また、上記コマンドの1行目はデフォルトで動作しているNetScreen上のDHCPサーバーを停止するものです。
なお、単にインターフェースにIPアドレスを割り当てただけでは、ゾーン(今回の構成ではインターフェースと同じです)間の通信がデフォルトでは許可されていないので、これを許可する設定を追加します。
ns5gt-> set policy id 1 from "Trust" to "Untrust" "Any" "Any" "ANY" nat permit policy id = 1 ns5gt-> save Save System Configuration ... Done
この設定を投入する事で、ファイアウォールの内側のホストからインターネット側への通信が許可されるようになります。2種類あるnatの違いなど、NetScreenを扱う上では重要な概念の説明をスルーしてしまっているのですが、こちらについても後ほどtipsで。