QAC/TM(Qualified Access Control with Trend Micro) 外部仕様書

$Date: 2011/09/13 08:12:40 $

  1. 概要
  2. 注意事項
  3. 制限事項
  4. 対応機種とファームウェアリビジョン
  5. 詳細
  6. コマンド
  7. 設定例
  8. ログ出力

概要

本機能を用いることでLAN配下のPCにおけるアンチウイルスクライアントソフトウェアのインストール状況やウイルスパターンファイルならびにウイルス検索エンジンのバージョンを確認して、その結果に応じてPCがアクセスできるネットワークを制御することができます。
例えば、クライアントがインストールされていて最新のウイルスパターンファイルとウイルス検索エンジンを使用しているPC(以下、適格PC)にはLAN側とWAN側の全てのネットワークへのアクセスを許可し、クライアントがインストールされていなかったり古いウイルスパターンファイルもしくはウイルス検索エンジンを使っているPC(以下、不適格PC)に対してはL3ルーティングでのセグメント越えを禁止してLAN側の特定ネットワークへのアクセスのみに制限するなど、適格PCと不適格PCで異なるアクセス権を与えることができます。

適格PCと不適格PCに異なるアクセス権を与えるしくみにはDHCP認証機能を応用します。
適格PCに対してはプライマリネットワークに対応するIPアドレスを、不適格PCにはセカンダリネットワークに対応するIPアドレスを割り当て、イーサネットフィルター機能やポリシーフィルター機能を組み合わせてアクセスを制御します。

各PCにおけるクライアントのインストール状況やウイルスパターンファイルならびにウイルス検索エンジンのバージョンはGUIやコンソールで確認することができます。
さらに、不適格PCが接続されたことをSYSLOGに表示したりメールで通知することができます。


注意事項


制限事項


対応機種とファームウェアリビジョン

機種 ファームウェア
SRT100 Rev.10.00.44以降

詳細

クライアントの確認とアドレスの割り当て(アクセス権の付与)

プライマリネットワークのDHCPアドレス割り当て動作として、本機能によるクライアントのインストール状況やウイルスパターンファイルとウイルス検索エンジンのバージョンの確認と、セカンダリネットワークへのフォールバックを行うように設定します。

dhcp scope lease type 1 bind-priority qac-tm=on fallback=2

この設定により、事前にクライアントの確認をしていない各PCからの最初のDHCP要求に対しては必ずセカンダリアドレスを割り当てるようになります。
セカンダリアドレスの割り当てに続いて、そのアドレスを持つPCに対してクライアントのインストール状況やウイルスパターンファイルとウイルス検索エンジンのバージョンの確認を行います。
クライアントがインストールされていて最新のウイルスパターンファイルとウイルス検索エンジンを使用しているPCについてはプライマリアドレスの割り当てが可能なので、その後に受信する同PCからのセカンダリアドレスのリース延長要求を拒否した上で、引き続く新たなDHCP要求に対してはプライマリアドレスを割り当てることで適格PCとします。このとき、セカンダリアドレスのリース期間をX分に設定しておくことによって、最短X/2分でプライマリアドレスへの割り当て直しが行われます。
また、クライアントがインストールされていなかったり古いウイルスパターンファイルもしくはウイルス検索エンジンを使用しているPCについては、最初に割り当てたセカンダリアドレスのリース延長要求に応答することで不適格PCのままとします。
その後、適格PCと不適格PCそれぞれからのリース延長要求を受信するたびに、そのPCのクライアントのインストール状況やウイルスパターンファイルとウイルス検索エンジンのバージョンの確認を行います。
Rev.10.00.46以降では、qac-tm client refresh goコマンドで任意のクライアントから情報を再取得することができます。

必要に応じてクライアントのインストール状況やウイルスパターンファイルとウイルス検索エンジンのバージョンの確認の結果に関係なく、無条件で適格PCとする端末を設定することもできます。

クライアントのウイルスパターンファイルとウイルス検索エンジンのバージョンの確認は、事前に管理サーバから取得した情報と比較することで行います。
管理サーバからのウイルスパターンファイルとウイルス検索エンジンのバージョン情報の取得はqac-tm server refresh goコマンドで行います。このコマンドをschedule atコマンドで実行して管理サーバ情報を定期的に更新するとよいでしょう。
なお、管理サーバからの情報の取得に失敗した場合にはSYSLOGに表示します。さらに、メール通知機能で通知するように設定することもできます。

アクセス制御

不適格PCに対するWebサイトへのHTTPアクセスの制限は本機能が自動的に行います。
そして、不適格PCからWebアクセスが行われた場合には以下のような警告画面を表示します。

さらに、Rev.10.00.46以降では以下のことができます。

HTTP以外のアクセス制御の方法はDHCP認証機能と同じです。イーサネットフィルター機能やポリシーフィルター機能を組み合わせて実現します。
基本的には、適格PCからの通信はフィルタリング無し、不適格PCからの通信はLAN側の特定ネットワーク(セカンダリネットワーク)と管理サーバへのみアクセス可能となるようにフィルターを設定します。

プライマリネットワークに対応する固定IPアドレスを持つ端末は基本的に不正PCとしてすべての通信を遮断するようにイーサネットフィルターを設定します。ただし、管理サーバやプリンタなどへの対応として固定IPアドレスを持つ端末でもアクセス制限なしとするように設定することができます。

管理サーバの情報とクライアントの情報と状態の表示

管理サーバの設定情報と保持しているウイルスパターンファイルとウイルス検索エンジンのバージョンならびに、DHCPでアドレスを割り当てたPCについてはクライアントのインストール状況やウイルスパターンファイルとウイルス検索エンジンのバージョンをGUIとコンソールで確認することができます。

(コンソールでの表示例)
--------------------------------------------------------------------------------
管理サーバー情報
IP アドレス                  : 192.168.100.200
ポート番号                   : 8059
クライアントインストール URL : http://192.168.100.1/redirect.html
ウイルスパターンファイル     : 4.357.50
ウイルス検索エンジン         : 8.710.1000
情報取得日時                 : 2008/11/26 16:12:34
情報取得エラー数             : 0

クライアント情報
 MACアドレス        IPアドレス     認定           パターン   エンジン
-------------------------------------------------------------------------
 00:01:02:03:04:05  192.168.100.2  許可            4.357.50   8.710.1000
 00:06:07:08:09:0a  172.16.0.2     未インストール  -.---.--   -.---.----
 00:05:04:03:02:01  172.16.0.3     範囲外          4.300.00   8.600.1000
 00:05:04:03:02:02  172.16.0.4     パターン範囲外  4.300.00   8.710.1002
 00:05:04:03:02:03  172.16.0.5     エンジン範囲外  4.357.00   8.600.1000
 00:05:04:03:02:04  172.16.0.6     サーバーエラー  4.300.00   8.600.1000
 00:0a:09:08:07:06  192.168.100.3  許可(常時)      4.357.50   8.710.1002
--------------------------------------------------------------------------

さらに、クライアントのインストール状況やウイルスパターンファイルとウイルス検索エンジンのバージョンを最初に確認した時に不適格PCと判定した端末はSYSLOGに表示します。メール通知機能で通知するように設定することもできます。
また、プライマリネットワークに対応する固定IPアドレスを持った不正PCからのアクセスはイーサネットフィルター機能で遮断するため同機能のSYSLOGに表示します。


コマンド


設定例

GUIでの設定はGUI設定手順をご覧ください。

ルーター型の設定例

管理サーバをルーターのLAN側に配置

<概要>

    * 適格PC(PC1)をプライマリネットワークに配置
          o PC1からの通信はフィルタリング無し
    * 不適格PC(PC2)をセカンダリネットワークに配置
          o PC2からはLAN側の特定ネットワーク(172.16.0.0/24)にのみアクセス許可
    * 不正PC(PC3)が固定IPでプライマリネットワークに接続された場合
          o PC3からの通信をすべて遮断
    * ウイルスバスター コーポレートエディション 管理サーバ(Server)を固定IPでプライマリネットワークに配置
          o Serverからの通信はフィルタリング無し
    * ルーターはDHCPサーバーとして動作

<構成図>

           (primary) 192.168.100.0/24
         (secondary) 172.16.0.0/24
                    |
    +-------+       |
    |  PC1  +-------+
    +-------+       |
00:a0:de:01:02:03   |
 primary address    |
     (DHCP)         |
                    |
    +-------+       |
    |  PC2  +-------+
    +-------+       |
00:a0:de:11:12:13   |
secondary address   |
     (DHCP)         |
                    |
    +-------+       |
    |  PC3  +-------+
    +-------+       |
00:a0:de:21:22:23   |
  192.168.100.200   |
     (固定IP)       |
                    |
    +-------+       |
    | Server+-------+
    +-------+       |
00:a0:de:31:32:33   |            +---------+
  192.168.100.254   +------------+ ルーター+-----------> 外部ネットワークへ
     (固定IP)       |       lan1 +---------+ lan2
                     (primary) 192.168.100.1/24
                   (secondary) 172.16.0.1/24

<設定手順>

(LAN2をWANとして、NATなどの設定は省略する)
ip lan1 address 192.168.100.1/24
ip lan1 secondary address 172.16.0.1/24
ip lan2 address dhcp
qac-tm use corp
qac-tm server 192.168.100.254 8080
qac-tm client port 27043
qac-tm version margin 3 recent
qac-tm unqualified client access control reject server-error=pass
schedule at 900 */* 04:00 * qac-tm server refresh go
dhcp service server
dhcp scope 1 192.168.100.2-192.168.100.191/24
dhcp scope 2 172.16.0.2-172.16.0.191/24 expire 0:02 maxexpire 0:02
dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
ethernet filter 10 pass-nolog 00:a0:de:31:32:33 *:*:*:*:*:*
ethernet filter 90 reject-log dhcp-not-leased 192.168.100.1
ethernet filter 100 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 10 90 100
ip policy service group 101 name="Open Services"
ip policy service group 102 name=General dns
ip policy service group 103 name=Mail pop3 smtp
ip policy filter 900 pass-nolog * * * 192.168.100.254 *
ip policy filter 901 pass-nolog * lan1 192.168.100.254 * *
ip policy filter 910 pass-nolog * * 172.16.0.0/24 * http
ip policy filter 911 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 920 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 921 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 990 reject-nolog * * 172.16.0.0/24 * *
ip policy filter 1100 reject-nolog lan1 * * * *
ip policy filter 1110 pass-nolog * * * * 102
ip policy filter 1122 static-pass-nolog * lan1 * * *
ip policy filter 1123 static-pass-nolog * local * * *
ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http
ip policy filter 1150 pass-nolog * lan2 * * *
ip policy filter 1500 reject-nolog lan2 * * * *
ip policy filter 1520 pass-log * lan1 * * 101
ip policy filter 1700 pass-nolog local * * * *
ip policy filter 1710 static-pass-nolog * lan1 * * *
ip policy filter 2000 reject-nolog * * * * *
ip policy filter set 101 name="Internet Access" 1100 [900 910 911 912 913 914 990 1110 1123 [1124] 1122 1150] 1500 [1520] 1700 [1710] 2000
ip policy filter set enable 101

<解説>

   1. ip lan1 address 192.168.100.1/24
      ip lan1 secondary address 172.16.0.1/24
        LAN側(lan1ポート)のプライマリアドレスとセカンダリアドレスを設定します。
   2. ip lan2 address dhcp 
        WAN側(lan2ポート)をDHCPクライアントに設定します。
   3. qac-tm use corp
        ウイルスバスター コーポレートエディションによるQAC/TM機能を有効にします。
   4. qac-tm server 192.168.100.254 8080
        管理サーバの設定をします。
   5. qac-tm client port 27043
        クライアントのアクセスポートを設定をします。
   6. qac-tm version margin 3 recent
        有効なウイルスパターンファイルのバージョンを3世代に、ウイルス検索エンジンのバージョンを最新に設定します。
   7. qac-tm unqualified client access control reject server-error=pass
        不適格なクライアントからのWebアクセスを禁止します。
        管理サーバ情報が取得できないときはクライアントのWebアクセスを許可します。
   8. schedule at 900 */* 04:00 * qac-tm server refresh go
        24時間ごとに午前4時に管理サーバ情報を更新するように設定します。
   9. dhcp service server
        DHCPサーバーとして機能させます。
  10. dhcp scope 1 192.168.100.2-192.168.100.191/24
      dhcp scope 2 172.16.0.2-172.16.0.191/24 expire 0:02 maxexpire 0:02
        プライマリ・セカンダリネットワークに対するDHCPスコープを定義します。
        gatewayパラメータを省略しているので、ゲートウェイアドレスとしてはそれぞれルーターのIPアドレスが通知されます。
        セカンダリネットワークに配置されたPC2からのリース延長要求は1分ごとに行われるように設定します。
  11. dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
        プライマリネットワークのDHCPスコープ(DHCPスコープ番号1)において、アドレスが予約されているPCには予約済みのアドレス
        を割り当て、アドレスが予約されていないPCには割り当てるアドレス範囲の中から予約されていないアドレスを割り当てます。
        さらに、本機能によって適格と認定されていることも割り当ての条件とします。
        スコープ1からのアドレス割り当てができない場合、スコープ2からの割り当てを試みます。
  12. ethernet filter 10 pass-nolog 00:a0:de:31:32:33 *:*:*:*:*:*
      ethernet filter 90 reject-log dhcp-not-leased 192.168.100.1
      ethernet filter 100 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
      ethernet lan1 filter in 10 90 100
        固定でプライマリネットワークに配置されている管理サーバからのパケットについてはすべてを通過させます。
        プライマリネットワークからのパケットについては、対応するDHCPスコープからアドレスがリースされていないPCからのパケット
        を破棄します。
        プライマリネットワーク以外からのパケットについては全てを通過させます。
  13. ip policy filter 900 pass-nolog * * * 192.168.100.254 *
      ip policy filter 901 pass-nolog * lan1 192.168.100.254 * *
      ip policy filter 910 pass-nolog * * 172.16.0.0/24 * http
      ip policy filter 911 static-pass-nolog * local 172.16.0.0/24 * *
      ip policy filter 920 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
      ip policy filter 921 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
      ip policy filter 990 reject-nolog * * 172.16.0.0/24 * *
      ip policy filter set 101 name="Internet Access" 1100 [900 901 910 911 920 921 990 1110 1123 [1124] 1122 1150] 1500 [1520] 1700 [1710] 2000
        LAN1のすべての端末と管理サーバ間のアクセスを許可します(900番、901番)。
        LAN1のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からのWebアクセスを許可します(910番)。
        (※ この設定は警告画面を表示させるのに必要となります。Webアクセスは本機能によって遮断されます。)
        LAN1のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からルーターへのアクセスを許可します(911番)。
        LAN1のプライマリネットワーク(192.168.100.0/24)とセカンダリネットワーク(172.16.0.0/24)
        の間のアクセスを禁止します(920番、921番)。
        セカンダリネットワークに配置されている端末からインターネットへのアクセスを禁止します(990番)。
        ※GUIの初期設定ウィザードによる「セキュリティフィルターの設定」で利用するアプリケーションで「利用するアプリケーション
         を制限しない」を選択したときに生成される設定に、900番、901番、910番、911番、920番、921番、990番の
         各フィルターを追加します。
  

管理サーバをルーターのWAN側に配置

<概要>

    * 適格PC(PC1)をプライマリネットワークに配置
          o PC1からの通信はフィルタリング無し
    * 不適格PC(PC2)をセカンダリネットワークに配置
          o PC2からはLAN側の特定ネットワーク(172.16.0.0/24)と管理サーバにのみアクセス許可
    * 不正PC(PC3)が固定IPでプライマリネットワークに接続された場合
          o PC3からの通信をすべて遮断
    * Trend Micro ビジネスセキュリティ 管理サーバ(Server)をルーターのWAN側に配置し、URLで指定
          o Serverからの通信はフィルタリング無し
    * ルーターはDHCPサーバーとして動作

<構成図>

           (primary) 192.168.100.0/24
         (secondary) 172.16.0.0/24
                    |
    +-------+       |
    |  PC1  +-------+
    +-------+       |
00:a0:de:01:02:03   |
 primary address    |
     (DHCP)         |
                    |
    +-------+       |
    |  PC2  +-------+
    +-------+       |
00:a0:de:11:12:13   |
secondary address   |
     (DHCP)         |
                    |
    +-------+       |                                    00:a0:de:31:32:33
    |  PC3  +-------+                                 http://yamaha.test.co.jp
    +-------+       |                                       +-------+
00:a0:de:21:22:23   |                                       | Server|
  192.168.100.200   |                                       +---+---+
     (固定IP)       |                                           |
                    |            +---------+                    V
                    +------------+ ルーター+-----------> 外部ネットワークへ
                    |       lan1 +---------+ lan2
                     (primary) 192.168.100.1/24
                   (secondary) 172.16.0.1/24

<設定手順>
(LAN2をWANとして、NATなどの設定は省略する)
ip lan1 address 192.168.100.1/24
ip lan1 secondary address 172.16.0.1/24
ip lan2 address dhcp
qac-tm use biz
qac-tm server http://yamaha.test.co.jp 8059
qac-tm client port 40942
qac-tm version margin 3 recent
qac-tm unqualified client access control reject server-error=pass
schedule at 900 */* 04:00 * qac-tm server refresh go
dhcp service server
dhcp scope 1 192.168.100.2-192.168.100.191/24
dhcp scope 2 172.16.0.2-172.16.0.191/24 expire 0:02 maxexpire 0:02
dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
ethernet filter 10 pass-nolog 00:a0:de:31:32:33 *:*:*:*:*:*
ethernet filter 90 reject-log dhcp-not-leased 192.168.100.1
ethernet filter 100 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 10 90 100
ip policy address group 200 name="QAC/TM server" qac-tm-server
ip policy service group 101 name="Open Services"
ip policy service group 102 name=General dns
ip policy service group 103 name=Mail pop3 smtp
ip policy filter 900 pass-nolog * * * 200 *
ip policy filter 901 pass-nolog * lan1 200 * *
ip policy filter 910 pass-nolog * * 172.16.0.0/24 * http
ip policy filter 911 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 920 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 921 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 990 reject-nolog * * 172.16.0.0/24 * *
ip policy filter 1100 reject-nolog lan1 * * * *
ip policy filter 1110 pass-nolog * * * * 102
ip policy filter 1122 static-pass-nolog * lan1 * * *
ip policy filter 1123 static-pass-nolog * local * * *
ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http
ip policy filter 1150 pass-nolog * lan2 * * *
ip policy filter 1500 reject-nolog lan2 * * * *
ip policy filter 1520 pass-log * lan1 * * 101
ip policy filter 1700 pass-nolog local * * * *
ip policy filter 1710 static-pass-nolog * lan1 * * *
ip policy filter 2000 reject-nolog * * * * *
ip policy filter set 101 name="Internet Access" 1100 [900 901 910 911 920 921 990 1110 1123 [1124] 1122 1150] 1500 [1520] 1700 [1710] 2000
ip policy filter set enable 101

<解説>

   1. ip lan1 address 192.168.100.1/24
      ip lan1 secondary address 172.16.0.1/24
        LAN側(lan1ポート)のプライマリアドレスとセカンダリアドレスを設定します。
   2. ip lan2 address dhcp 
        WAN側(lan2ポート)をDHCPクライアントに設定します。
   3. qac-tm use biz
        Trend Micro ビジネスセキュリティによるQAC/TM機能を有効にします。
   4. qac-tm server http://yamaha.test.co.jp 8059
        管理サーバの設定をします。
   5. qac-tm client port 40942
        クライアントのアクセスポートを設定をします。
   6. qac-tm version margin 3 recent
        有効なウイルスパターンファイルのバージョンを3世代に、ウイルス検索エンジンのバージョンを最新に設定します。
   7. qac-tm unqualified client access control reject server-error=pass
        不適格なクライアントからのWebアクセスを禁止します。
        管理サーバ情報が取得できないときはクライアントのWebアクセスを許可します。
   8. schedule at 900 */* 04:00 * qac-tm server refresh go
        24時間ごとに午前4時に管理サーバ情報を更新するように設定します。
   9. dhcp service server
        DHCPサーバーとして機能させます。
  10. dhcp scope 1 192.168.100.2-192.168.100.191/24
      dhcp scope 2 172.16.0.2-172.16.0.191/24 expire 0:02 maxexpire 0:02
        プライマリ・セカンダリネットワークに対するDHCPスコープを定義します。
        gatewayパラメータを省略しているので、ゲートウェイアドレスとしてはそれぞれルーターのIPアドレスが通知されます。
        セカンダリネットワークに配置されたPC2からのリース延長要求は1分ごとに行われるように設定します。
  11. dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
        プライマリネットワークのDHCPスコープ(DHCPスコープ番号1)において、アドレスが予約されているPCには予約済みのアドレス
        を割り当て、アドレスが予約されていないPCには割り当てるアドレス範囲の中から予約されていないアドレスを割り当てます。
        さらに、本機能によって適格と認定されていることも割り当ての条件とします。
        スコープ1からのアドレス割り当てができない場合、スコープ2からの割り当てを試みます。
  12. ethernet filter 10 pass-nolog 00:a0:de:31:32:33 *:*:*:*:*:*
      ethernet filter 90 reject-log dhcp-not-leased 192.168.100.1
      ethernet filter 100 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
      ethernet lan1 filter in 10 90 100
        固定でプライマリネットワークに配置されている管理サーバからのパケットについてはすべてを通過させます。
        プライマリネットワークからのパケットについては、対応するDHCPスコープからアドレスがリースされていないPCからのパケット
        を破棄します。
        プライマリネットワーク以外からのパケットについては全てを通過させます。
  13. ip policy address group 200 name="QAC/TM server" qac-tm-server
        qac-tm serverコマンドで指定した管理サーバのURLをアドレスグループとして定義します。
  14. ip policy filter 900 pass-nolog * * * 200 *
      ip policy filter 901 pass-nolog * lan1 200 * *
      ip policy filter 910 pass-nolog * * 172.16.0.0/24 * http
      ip policy filter 911 static-pass-nolog * local 172.16.0.0/24 * *
      ip policy filter 920 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
      ip policy filter 921 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
      ip policy filter 990 reject-nolog * * 172.16.0.0/24 * *
      ip policy filter set 101 name="Internet Access" 1100 [900 901 910 911 920 921 990 1110 1123 [1124] 1122 1150] 1500 [1520] 1700 [1710] 2000
        
        LAN1のすべての端末と管理サーバ間のアクセスを許可します(900番、901番)。
        LAN1のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からのWebアクセスを許可します(910番)。
        (※ この設定は警告画面を表示させるのに必要となります。Webアクセスは本機能によって遮断されます。)
        LAN1のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からルーターへのアクセスを許可します(911番)。
        LAN1のプライマリネットワーク(192.168.100.0/24)とセカンダリネットワーク(172.16.0.0/24)
        の間のアクセスを禁止します(920番、921番)。
        セカンダリネットワークに配置されている端末からインターネットへのアクセスを禁止します(990番)。
        ※GUIの初期設定ウィザードによる「セキュリティフィルターの設定」で利用するアプリケーションで「利用するアプリケーション
         を制限しない」を選択したときに生成される設定に、900番、901番、910番、911番、920番、921番、990番の
         各フィルターを追加します。

  

透過型(ブリッジ)の設定例

管理サーバをルーターのLAN側に配置

<概要>

    * 適格PC(PC1)をプライマリネットワークに配置
          o PC1からの通信はフィルタリング無し
    * 不適格PC(PC2)をセカンダリネットワークに配置
          o PC2からはLAN側の特定ネットワーク(172.16.0.0/24)にのみアクセス許可
    * 不正PC(PC3)が固定IPでプライマリネットワークに接続された場合
          o PC3からの通信をすべて遮断
    * ウイルスバスター コーポレートエディション 管理サーバ(Server)を固定IPでプライマリネットワークに配置
          o 管理サーバ(Server)のデフォルトゲートウェイはルーターのプライマリアドレスに設定する
          o Serverからの通信はフィルタリング無し
    * ルーターはDHCPサーバーとして動作

<構成図>

           (primary) 192.168.100.0/24
         (secondary) 172.16.0.0/24
                    |
    +-------+       |
    |  PC1  +-------+
    +-------+       |
00:a0:de:01:02:03   |
 primary address    |
     (DHCP)         |
                    |
    +-------+       |
    |  PC2  +-------+
    +-------+       |
00:a0:de:11:12:13   |
secondary address   |
     (DHCP)         |
                    |
    +-------+       |
    |  PC3  +-------+
    +-------+       |
00:a0:de:21:22:23   |
  192.168.100.200   |
     (固定IP)       |
                    |
    +-------+       |
    | Server+-------+
    +-------+       |
00:a0:de:31:32:33   |            +---------+              +--------------+
  192.168.100.250   +------------+ ルーター+--------------+ ゲートウェイ +----------> 外部ネットワークへ
     (固定IP)               lan1 +---------+ lan2         +--------------+
                   (primary) 192.168.100.1/24            00:a0:de:41:42:43
                   (secondary) 172.16.0.1/24             192.168.100.254/24

<設定手順>

bridge member bridge1 lan1 lan2
ip bridge1 address 192.168.100.1/24
ip bridge1 secondary address 172.16.0.1/24
ip route default gateway 192.168.100.254
dns server 192.168.100.254
qac-tm use corp
qac-tm server 192.168.100.250 8080
qac-tm client port 22139
qac-tm version margin 3 recent
qac-tm unqualified client access control reject server-error=pass
schedule at 900 */* 04:00 * qac-tm server refresh go
dhcp service server
dhcp scope 1 192.168.100.2-192.168.100.191/24 gateway 192.168.100.254
dhcp scope 2 172.16.0.2-172.16.0.191/24 expire 0:02 maxexpire 0:02
dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
ethernet filter 9 pass-nolog 00:a0:de:41:42:43 *:*:*:*:*:*
ethernet filter 10 pass-nolog 00:a0:de:31:32:33 *:*:*:*:*:*
ethernet filter 90 reject-log dhcp-not-leased 192.168.100.1
ethernet filter 100 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 9 10 90 100
ethernet lan2 filter in 9 10 90 100
ip policy service group 900 name="QAC/TM www" http
ip policy filter 900 static-pass-nolog * * * 192.168.100.250 *
ip policy filter 901 static-pass-nolog * * 192.168.100.250 * *
ip policy filter 910 pass-nolog * * 172.16.0.0/24 * 900
ip policy filter 911 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 920 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 921 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 940 reject-nolog * * 172.16.0.0/24 * *
ip policy filter 950 static-pass-nolog * * * 192.168.100.250 *
ip policy filter 951 static-pass-nolog * * 192.168.100.250 * *
ip policy filter 960 pass-nolog * * 172.16.0.0/24 * 900
ip policy filter 961 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 970 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 971 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 990 reject-nolog * * 172.16.0.0/24 * *
ip policy filter 1800 reject-nolog lan1 * * * *
ip policy filter 1810 pass-nolog * lan2 * * *
ip policy filter 1820 static-pass-nolog * local * * *
ip policy filter 1850 reject-nolog lan2 * * * *
ip policy filter 1860 pass-nolog * lan1 * * *
ip policy filter 1870 static-pass-nolog * local * * *
ip policy filter 1900 static-pass-nolog local * * * *
ip policy filter 2000 reject-nolog * * * * *
ip policy filter set 101 name="Internet Access" 1800 [900 901 910 911 920 921 940 1810 1820] 1850 [950 951 960 961 970 971 990 1860 1870] 1900 2000
ip policy filter set enable 101
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.100.1
nat descriptor address inner 1 172.16.0.2-172.16.0.191
nat descriptor masquerade incoming 1 through

<解説>

   1. bridge member bridge1 lan1 lan2
        ブリッジインタフェースに収容する実インタフェースとして、LAN1、LAN2を設定します。
   2. ip bridge1 address 192.168.100.1/24
      ip bridge1 secondary address 172.16.0.1/24
        ブリッジインタフェースのプライマリアドレスとセカンダリアドレスを設定します。
   3. ip route default gateway 192.168.100.254
      dns server 192.168.100.254
        デフォルト経路とDNSサーバーを設定します。
   4. qac-tm use corp
        ウイルスバスター コーポレートエディションによるQAC/TM機能を有効にします。
   5. qac-tm server 192.168.100.250 8080
        管理サーバの設定をします。
   6. qac-tm client port 22139
        クライアントのアクセスポートを設定をします。
   7. qac-tm version margin 3 recent
        有効なウイルスパターンファイルのバージョンを3世代に、ウイルス検索エンジンのバージョンを最新に設定します。
   8. qac-tm unqualified client access control reject server-error=pass
        不適格なクライアントからのWebアクセスを禁止します。
        管理サーバ情報が取得できないときはクライアントのWebアクセスを許可します。
   9. schedule at 900 */* 04:00 * qac-tm server refresh go
        24時間ごとに午前4時に管理サーバ情報を更新するように設定します。
  10. dhcp service server
        DHCPサーバーとして機能させます。
  11. dhcp scope 1 192.168.100.2-192.168.100.191/24 gateway 192.168.100.254
      dhcp scope 2 172.16.0.2-172.16.0.191/24 expire 0:02 maxexpire 0:02
        プライマリ・セカンダリネットワークに対するDHCPスコープを定義します。
        プライマリネットワークはgatewayパラメータを指定しているため、ゲートウェイアドレスとしてdhcp scopeコマンドで設定したIPアドレス
        が通知されます。
        セカンダリネットワークはgatewayパラメータを省略しているので、ゲートウェイアドレスとしてはルーターのIPアドレスが通知されます。
        セカンダリネットワークに配置されたPC2からのリース延長要求は1分ごとに行われるように設定します。
  12. dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
        プライマリネットワークのDHCPスコープ(DHCPスコープ番号1)において、アドレスが予約されているPCには予約済みのアドレス
        を割り当て、アドレスが予約されていないPCには割り当てるアドレス範囲の中から予約されていないアドレスを割り当てます。
        さらに、本機能によって適格と認定されていることも割り当ての条件とします。
        スコープ1からのアドレス割り当てができない場合、スコープ2からの割り当てを試みます。
  13. ethernet filter 9 pass-nolog 00:a0:de:41:42:43 *:*:*:*:*:*
      ethernet filter 10 pass-nolog 00:a0:de:31:32:33 *:*:*:*:*:*
      ethernet filter 90 reject-log dhcp-not-leased 192.168.100.1
      ethernet filter 100 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
      ethernet lan1 filter in 10 90 100
      ethernet lan2 filter in 10 90 100
        固定でプライマリネットワークに配置されているゲートウェイからのパケットについてはすべてを通過させます。
        固定でプライマリネットワークに配置されている管理サーバからのパケットについてはすべてを通過させます。
        プライマリネットワークからのパケットについては、対応するDHCPスコープからアドレスがリースされていないPCからのパケット
        を破棄します。
        プライマリネットワーク以外からのパケットについては全てを通過させます。
  14. ip policy filter 900 static-pass-nolog * * * 192.168.100.250 *
      ip policy filter 901 static-pass-nolog * * 192.168.100.250 * *
      ip policy filter 910 pass-nolog * * 172.16.0.0/24 * 900
      ip policy filter 911 static-pass-nolog * local 172.16.0.0/24 * *
      ip policy filter 920 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
      ip policy filter 921 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
      ip policy filter 940 reject-nolog * * 172.16.0.0/24 * *
      ip policy filter 950 static-pass-nolog * * * 192.168.100.250 *
      ip policy filter 951 static-pass-nolog * * 192.168.100.250 * *
      ip policy filter 960 pass-nolog * * 172.16.0.0/24 * 900
      ip policy filter 961 static-pass-nolog * local 172.16.0.0/24 * *
      ip policy filter 970 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
      ip policy filter 971 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
      ip policy filter 990 reject-nolog * * 172.16.0.0/24 * *
      ip policy filter set 101 name="Internet Access" 1800 [900 901 910 911 920 921 940 1810 1820] 1850 [950 951 960 961 970 971 990 1860 1870] 1900 2000
        透過型(ブリッジ)の場合、LAN1、LAN2のどちらに端末を接続しても動作するようなフィルターを設定します。
        LAN1へ端末を接続した場合、
            LAN1のすべての端末と管理サーバ間のアクセスを許可します(900番、901番)。
            LAN1のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からのWebアクセスを許可します(910番)。
            (※ この設定は警告画面を表示させるのに必要となります。Webアクセスは本機能によって遮断されます。)
            LAN1のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からルーターへのアクセスを許可します(911番)。
            LAN1のプライマリネットワーク(192.168.100.0/24)とセカンダリネットワーク(172.16.0.0/24)
            の間のアクセスを禁止します(920番、921番)。
            セカンダリネットワークに配置されている端末からインターネットへのアクセスを禁止します(940番)。
        LAN2へ端末を接続した場合、950番、951番、960番、961番、970番、971番、990番のフィルターが対象になります。
            LAN2のすべての端末と管理サーバ間のアクセスを許可します(950番、951番)。
            LAN2のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からのWebアクセスを許可します(960番)。
            (※ この設定は警告画面を表示させるのに必要となります。Webアクセスは本機能によって遮断されます。)
            LAN2のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からルーターへのアクセスを許可します(961番)。
            LAN2のプライマリネットワーク(192.168.100.0/24)とセカンダリネットワーク(172.16.0.0/24)
            の間のアクセスを禁止します(970番、971番)。
            セカンダリネットワークに配置されている端末からインターネットへのアクセスを禁止します(990番)。
        ※GUIの初期設定ウィザードによる「セキュリティフィルターの設定」で利用するアプリケーションで「利用するアプリケーション
          を制限しない」を選択したときに生成される設定に、900番、901番、910番、911番、920番、921番、940番、950番、951番、960番、
          961番、970番、971番、990番の各フィルターを追加します。
  15. ip lan2 nat descriptor 1
      nat descriptor type 1 masquerade
      nat descriptor address outer 1 192.168.100.1
      nat descriptor address inner 1 172.16.0.2-172.16.0.191
      nat descriptor masquerade incoming 1 through
        セカンダリネットワーク(172.16.0.2-172.16.0.191)に配置されている端末からのWebアクセスのためにIPマスカレードを定義します。
        IPマスカレード機能を定義したNATディスクリプタをLAN2に適用します。


  

管理サーバをルーターのWAN側に配置

<概要>

    * 適格PC(PC1)をプライマリネットワークに配置
          o PC1からの通信はフィルタリング無し
    * 不適格PC(PC2)をセカンダリネットワークに配置
          o PC2からはLAN側の特定ネットワーク(172.16.0.0/24)と管理サーバのみアクセス許可
    * 不正PC(PC3)が固定IPでプライマリネットワークに接続された場合
          o PC3からの通信をすべて遮断
    * Trend Micro ビジネスセキュリティ 管理サーバ(Server)をルーターのWAN側に配置し、URLで指定
          o 管理サーバ(Server)のデフォルトゲートウェイはルーターのプライマリアドレスに設定する
          o Serverからの通信はフィルタリング無し
    * ルーターはDHCPサーバーとして動作

<構成図>

           (primary) 192.168.100.0/24
         (secondary) 172.16.0.0/24
                    |
    +-------+       |
    |  PC1  +-------+
    +-------+       |
00:a0:de:01:02:03   |
 primary address    |
     (DHCP)         |
                    |
    +-------+       |
    |  PC2  +-------+
    +-------+       |
00:a0:de:11:12:13   |
secondary address   |
     (DHCP)         |
                    |
    +-------+       |
    |  PC3  +-------+                                                                     00:a0:de:31:32:33
    +-------+       |                                                                 http://yamaha.test.co.jp
00:a0:de:21:22:23   |                                                                       +-------+
  192.168.100.200   |                                                                       | Server|
     (固定IP)       |                                                                       +---+---+
                    |                                                                           |
                    |            +---------+              +--------------+                      v
                    +------------+ ルーター+--------------+ ゲートウェイ +----------> 外部ネットワークへ
                            lan1 +---------+ lan2         +--------------+
                   (primary) 192.168.100.1/24            00:a0:de:41:42:43
                   (secondary) 172.16.0.1/24             192.168.100.254/24

<設定手順>

bridge member bridge1 lan1 lan2
ip bridge1 address 192.168.100.1/24
ip bridge1 secondary address 172.16.0.1/24
ip route default gateway 192.168.100.254
dns server 192.168.100.254
qac-tm use biz
qac-tm server http://yamaha.test.co.jp 8059
qac-tm client port 22139
qac-tm version margin 3 recent
qac-tm unqualified client access control reject server-error=pass
schedule at 900 */* 04:00 * qac-tm server refresh go
dhcp service server
dhcp scope 1 192.168.100.2-192.168.100.191/24 gateway 192.168.100.254
dhcp scope 2 172.16.0.2-172.16.0.191/24 expire 0:02 maxexpire 0:02
dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
ethernet filter 9 pass-nolog 00:a0:de:41:42:43 *:*:*:*:*:*
ethernet filter 10 pass-nolog 00:a0:de:31:32:33 *:*:*:*:*:*
ethernet filter 90 reject-log dhcp-not-leased 192.168.100.1
ethernet filter 100 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 9 10 90 100
ethernet lan2 filter in 9 10 90 100
ip policy address group 200 name="QAC/TM server" qac-tm-server
ip policy service group 900 name="QAC/TM www" http
ip policy filter 900 static-pass-nolog * * * 200 *
ip policy filter 901 static-pass-nolog * * 200 * *
ip policy filter 910 pass-nolog * * 172.16.0.0/24 * 900
ip policy filter 911 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 920 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 921 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 940 reject-nolog * * 172.16.0.0/24 * *
ip policy filter 950 static-pass-nolog * * * 200 *
ip policy filter 951 static-pass-nolog * * 200 * *
ip policy filter 960 pass-nolog * * 172.16.0.0/24 * 900
ip policy filter 961 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 970 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 971 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 990 reject-nolog * * 172.16.0.0/24 * *
ip policy filter 1800 reject-nolog lan1 * * * *
ip policy filter 1810 pass-nolog * lan2 * * *
ip policy filter 1820 static-pass-nolog * local * * *
ip policy filter 1850 reject-nolog lan2 * * * *
ip policy filter 1860 pass-nolog * lan1 * * *
ip policy filter 1870 static-pass-nolog * local * * *
ip policy filter 1900 static-pass-nolog local * * * *
ip policy filter 2000 reject-nolog * * * * *
ip policy filter set 101 name="Internet Access" 1800 [900 901 910 911 920 921 940 1810 1820] 1850 [950 951 960 961 970 971 990 1860 1870] 1900 2000
ip policy filter set enable 101
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.100.1
nat descriptor address inner 1 172.16.0.2-172.16.0.191
nat descriptor masquerade incoming 1 through

<解説>

   1. bridge member bridge1 lan1 lan2
        ブリッジインタフェースに収容する実インタフェースとして、LAN1、LAN2を設定します。
   2. ip bridge1 address 192.168.100.1/24
      ip bridge1 secondary address 172.16.0.1/24
        ブリッジインタフェースのプライマリアドレスとセカンダリアドレスを設定します。
   3. ip route default gateway 192.168.100.254
      dns server 192.168.100.254
        デフォルト経路とDNSサーバーを設定します。
   4. qac-tm use biz
        Trend Micro ビジネスセキュリティによるQAC/TM機能を有効にします。
   5. qac-tm server http://yamaha.test.co.jp 8059
        管理サーバの設定をします。
   6. qac-tm client port 22139
        クライアントのアクセスポートを設定をします。
   7. qac-tm version margin 3 recent
        有効なウイルスパターンファイルのバージョンを3世代に、ウイルス検索エンジンのバージョンを最新に設定します。
   8. qac-tm unqualified client access control reject server-error=pass
        不適格なクライアントからのWebアクセスを禁止します。
        管理サーバ情報が取得できないときはクライアントのWebアクセスを許可します。
   9. schedule at 900 */* 04:00 * qac-tm server refresh go
        24時間ごとに午前4時に管理サーバ情報を更新するように設定します。
  10. dhcp service server
        DHCPサーバーとして機能させます。
  11. dhcp scope 1 192.168.100.2-192.168.100.191/24 gateway 192.168.100.254
      dhcp scope 2 172.16.0.2-172.16.0.191/24 expire 0:02 maxexpire 0:02
        プライマリ・セカンダリネットワークに対するDHCPスコープを定義します。
        プライマリネットワークはgatewayパラメータを指定しているため、ゲートウェイアドレスとしてdhcp scopeコマンドで設定したIPアドレス
        が通知されます。
        セカンダリネットワークはgatewayパラメータを省略しているので、ゲートウェイアドレスとしてはルーターのIPアドレスが通知されます。
        セカンダリネットワークに配置されたPC2からのリース延長要求は1分ごとに行われるように設定します。
  12. dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
        プライマリネットワークのDHCPスコープ(DHCPスコープ番号1)において、アドレスが予約されているPCには予約済みのアドレス
        を割り当て、アドレスが予約されていないPCには割り当てるアドレス範囲の中から予約されていないアドレスを割り当てます。
        さらに、本機能によって適格と認定されていることも割り当ての条件とします。
        スコープ1からのアドレス割り当てができない場合、スコープ2からの割り当てを試みます。
  13. ethernet filter 9 pass-nolog 00:a0:de:41:42:43 *:*:*:*:*:*
      ethernet filter 10 pass-nolog 00:a0:de:31:32:33 *:*:*:*:*:*
      ethernet filter 90 reject-log dhcp-not-leased 192.168.100.1
      ethernet filter 100 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
      ethernet lan1 filter in 10 90 100
      ethernet lan2 filter in 10 90 100
        固定でプライマリネットワークに配置されているゲートウェイからのパケットについてはすべてを通過させます。
        固定でプライマリネットワークに配置されている管理サーバからのパケットについてはすべてを通過させます。
        プライマリネットワークからのパケットについては、対応するDHCPスコープからアドレスがリースされていないPCからのパケット
        を破棄します。
        プライマリネットワーク以外からのパケットについては全てを通過させます。
  14. ip policy address group 200 name="QAC/TM server" qac-tm-server
        qac-tm serverコマンドで指定した管理サーバのURLをアドレスグループとして定義します。
  15. ip policy filter 900 static-pass-nolog * * * 200 *
      ip policy filter 901 static-pass-nolog * * 200 * *
      ip policy filter 910 pass-nolog * * 172.16.0.0/24 * 900
      ip policy filter 911 static-pass-nolog * local 172.16.0.0/24 * *
      ip policy filter 920 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
      ip policy filter 921 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
      ip policy filter 940 reject-nolog * * 172.16.0.0/24 * *
      ip policy filter 950 static-pass-nolog * * * 200 *
      ip policy filter 951 static-pass-nolog * * 200 * *
      ip policy filter 960 pass-nolog * * 172.16.0.0/24 * 900
      ip policy filter 961 static-pass-nolog * local 172.16.0.0/24 * *
      ip policy filter 970 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
      ip policy filter 971 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
      ip policy filter 990 reject-nolog * * 172.16.0.0/24 * *
      ip policy filter set 101 name="Internet Access" 1800 [900 901 910 911 920 921 940 1810 1820] 1850 [950 951 960 961 970 971 990 1860 1870] 1900 2000
        透過型(ブリッジ)の場合、LAN1、LAN2のどちらに端末を接続しても動作するようなフィルターを設定します。
        LAN1へ端末を接続した場合、
            LAN1のすべての端末と管理サーバ間のアクセスを許可します(900番、901番)。
            LAN1のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からのWebアクセスを許可します(910番)。
            (※ この設定は警告画面を表示させるのに必要となります。Webアクセスは本機能によって遮断されます。)
            LAN1のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からルーターへのアクセスを許可します(911番)。
            LAN1のプライマリネットワーク(192.168.100.0/24)とセカンダリネットワーク(172.16.0.0/24)
            の間のアクセスを禁止します(920番、921番)。
            セカンダリネットワークに配置されている端末からインターネットへのアクセスを禁止します(940番)。
        LAN2へ端末を接続した場合、950番、951番、960番、961番、970番、971番、990番のフィルターが対象になります。
            LAN2のすべての端末と管理サーバ間のアクセスを許可します(950番、951番)。
            LAN2のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からのWebアクセスを許可します(960番)。
            (※ この設定は警告画面を表示させるのに必要となります。Webアクセスは本機能によって遮断されます。)
            LAN2のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からルーターへのアクセスを許可します(961番)。
            LAN2のプライマリネットワーク(192.168.100.0/24)とセカンダリネットワーク(172.16.0.0/24)
            の間のアクセスを禁止します(970番、971番)。
            セカンダリネットワークに配置されている端末からインターネットへのアクセスを禁止します(990番)。
        ※GUIの初期設定ウィザードによる「セキュリティフィルターの設定」で利用するアプリケーションで「利用するアプリケーション
          を制限しない」を選択したときに生成される設定に、900番、901番、910番、911番、920番、921番、940番、950番、951番、960番、
          961番、970番、971番、990番の各フィルターを追加します。
  16. ip lan2 nat descriptor 1
      nat descriptor type 1 masquerade
      nat descriptor address outer 1 192.168.100.1
      nat descriptor address inner 1 172.16.0.2-172.16.0.191
      nat descriptor masquerade incoming 1 through
        セカンダリネットワーク(172.16.0.2-172.16.0.191)に配置されている端末からのWebアクセスのためにIPマスカレードを定義します。
        IPマスカレード機能を定義したNATディスクリプタをLAN2に適用します。
  

ログ出力

本機能において出力されるSYSLOGメッセージの一覧を以下に示します。尚、実際に出力される各メッセージの先頭には"[QAC/TM] "というプレフィックスが付与されます。

レベル 出力メッセージ 内容
INFO Server information get successed 管理サーバ情報の取得に成功した
Server information get failed 管理サーバ情報の取得に失敗した
Client information get successed(IP_ADDRESS) IP_ADDRESSのクライアント情報の取得に成功した
Client information get failed(AP_ADDRESS) IP_ADDRESSのクライアント情報の取得に失敗した
Client antivirus software get successed(IP_ADDRESS) IP_ADDRESSのクライアントのアンチウイルスソフトのバージョン情報取得に成功した
Client antivirus software version get failed(IP_ADDRESS) IP_ADDRESSのクライアントのアンチウイルスソフトのバージョン情報取得に失敗した
Client port number is no setting クライアント情報を取得するためのポート番号が設定されていません
Client information area get failed クライアントの情報を保持する為の領域が取得できない
Execute "qac-tm server refresh go command" qac-tm server refresh go コマンドを実行した
Start Server Information Refresh qac-tm server refresh go コマンドで管理サーバ情報の更新を開始した
Server Information Refreshed qac-tm server refresh go コマンドで管理サーバ情報の更新が完了した
Execute "qac-tm client refresh go command" qac-tm client refresh go コマンドを実行した
Start Client Information Refresh(IP_ADDRESS) qac-tm client refresh go コマンドでIP_ADDRESSのクライアント情報の更新を開始した
Client Information Refreshed(IP_ADDRESS) qac-tm client refresh go コマンドでIP_ADDRESSのクライアント情報の更新が完了した
DEBUG Server Info. Get Start ルーター起動時に管理サーバ情報の取得動作を開始した
Can't create socket ソケットが生成できなかった
Can't resolve redirect host name インストールURLの名前解決ができなかった
Can't resolve redirect update host name ウイルスパターンファイルの更新方法の説明があるURLの名前解決ができなかった
Can't resolve warning host name 警告画面のURLの名前解決ができなかった
Can't connect to server 管理サーバへ接続できなかった
Can't connect to client クライアントへ接続できなかった
Can't connect to server (Connection timeout) 管理サーバへの接続待ちタイムアウト
Can't connect to client (Connection timeout) クライアントへの接続待ちタイムアウト
received illegal packet 不正なパケットを受信した
Client information convert failed クライアントから取得したバージョン情報が不正だった
Server Pattern File Version get failed 管理サーバから取得したウイルスパターンファイルのバージョン情報が不正だった
Server Engine Version get failed 管理サーバから取得したウイルス検索エンジンのバージョン情報が不正だった
Server Pattern Version: Pattern = PTN Engine(NT32) = EGN32 Engine(NT64) = EGN64 管理サーバから取得したウイルスパターンファイルのバージョンがPTN、検索エンジンの32bitOSのバージョンがEGN32、検索エンジンの64bitOSのバージョンがEGN64だった
Client Pattern File Version get failed クライアントから取得したウイルスパターンファイルのバージョン情報が不正だった
Client Engine Version gbet failed クライアントから取得したウイルス検索エンジンのバージョン情報が不正だった
Client Pattern Version: Pattern = PTN Engine = EGN クライアントから取得したウイルスパターンファイルのバージョンがPTN、検索エンジンのバージョンがEGNだった
Client Information get retry(IP_ADDRESS) IP_ADDRESSのクライアントのバージョン情報の取得をリトライした
Retransmit a request to the antivirus software server, NUM times 管理サーバへのアンチウイルスソフトウェアのバージョン情報取得を NUM 回リトライした
Retransmit a request to the antivirus software client, NUM times クライアントへのアンチウイルスソフトウェアのバージョン情報取得を NUM 回リトライした