7. 基本の設定を行う

本章では、以下のシステム構成を前提に、基本的な設定の方法を説明します。

あらかじめ、本製品を起動しておく必要があります。

前提とするシステム構成
Note 仮想サーバのNICのことを、本製品では「LANインターフェース」と呼びます。 LANインターフェースの番号は、仮想サーバのNICの番号に1を足した数となります。
Tip 本製品の起動方法は「 本製品を起動する 」に記載しています。

7.1. 設定操作の流れ

本製品は、仮想サーバのストレージに保存された設定ファイルに従って動作します。

本節では、本製品のコンソールに直接コマンドを入力して、設定ファイルを編集する方法を説明します。

Important 本製品に誤った設定を行うとネットワーク全体に大きな被害を与える危険性があることを十分認識して、管理ユーザーは設定作業を行ってください。
Tip SFTPやTFTPを使用して、ネットワーク経由で設定ファイルを変更することもできます。 詳しくは「 ネットワーク経由でファイルシステムにアクセスする 」を参照してください。
設定の開始

一般ユーザーとしてログインした後、 administrator コマンドで管理ユーザーとしてアクセスします。 管理パスワードが設定されている場合は、管理パスワードを入力する必要があります。 

> administrator
Password:
#
Note 初期管理ユーザー「admin」でログインしている場合は、管理パスワードの入力なしで管理ユーザーとしてアクセスできます。
設定

コンソール画面に、直接コマンドを入力します。

設定内容の確認

show config コマンドで、設定内容をコンソール画面上に表示できます。 本製品に新しい設定を適用した場合は、設定内容を確認してください。 

# show config
# vRX Rev.19.02.10 (Tue Dec  5 19:27:35 2023) ** Compact Mode **
# MAC Address : 00:00:5e:00:53:01, 00:00:5e:00:53:02
# Memory 1995Mbytes, 4LAN
# Reporting Date: Dec 25 16:30:20 2023
login user admin *
user attribute admin administrator=2
 :
#
設定の終了

設定コマンドを入力すると、本製品の動作にすぐに反映されますが、設定内容はストレージには保存されません。 設定内容をストレージ上の設定ファイルに保存するためには、 save コマンドを実行します。 

# save
セーブ中...  CONFIG0  終了
#
Important 設定を保存せずに本製品を停止したり再起動したりすると、変更した設定が元に戻ってしまいます。

管理ユーザーからログアウトするときに、設定コマンドで変更した設定内容をストレージに保存することもできます。 以下のように、 save オプションを指定して quit コマンドを実行します。 

# quit save

save コマンドを実行せずに quit コマンドを実行すると、設定を保存するかどうかを確認するメッセージが表示されます。 保存する場合は[Y]キーを、保存しない場合は[N]キーを押します。 

# quit
新しい設定を保存しますか?  (Y/N)

7.2. インターネットへ接続する

本製品をIPv4インターネットに接続するため、以下の設定を行います。

  • LAN1インターフェースのIPv4設定

  • IPv4デフォルト経路設定

  • DNSサーバー設定

設定手順は以下の通りです。

  1. さくらのクラウドコントロールパネルを用いて本製品のコンソールにログインします。

    Tip コンソールの使用方法は「 コンソールを使用する 」に記載しています。

  2. administrator コマンドを実行し、管理ユーザーに昇格します。

  3. ip lan1 address コマンドを実行し、仮想サーバのNIC #0に割り当てられたグローバルIPv4アドレスを本製品のLAN1インターフェースに設定します。 

    ip lan1 address NIC #0のグローバルIPv4アドレス/24

    「NIC #0のグローバルIPv4アドレス」は、さくらのクラウドコントロールパネルのコンソール画面において「ペースト」→「IP:」ボタンを押下することで入力します。

  4. ip route コマンドを実行し、IPv4デフォルト経路をインターネットに向けます。 

    ip route default gateway 共有セグメントのゲートウェイのIPv4アドレス

    「共有セグメントのゲートウェイのIPv4アドレス」は、さくらのクラウドコントロールパネルのコンソール画面において「ペースト」→「GW:」ボタンを押下することで入力します。

  5. dns server コマンドを実行し、さくらのクラウドのDNSサーバーを使用するように設定します。 

    dns server さくらのクラウドのDNSサーバーのIPv4アドレス

    「さくらのクラウドのDNSサーバーのIPv4アドレス」は、さくらのクラウドコントロールパネルのコンソール画面において「ペースト」→「NS:」ボタンを押下することで入力します。

    Note 「さくらのクラウドのDNSサーバーのIPv4アドレス」は、スペース区切りで複数指定することができます。

  6. show config コマンドを実行し、手順3-5が本製品の設定に反映されていることを確認します。

  7. save コマンドを実行し、設定を保存します。

Note ファイアウォールを設定する 」を完了するまで、インターネットから本製品に宛てたパケットは、さくらのクラウドのパケットフィルタにより破棄されます。

7.3. インターネットゲートウェイとして動作させる

LAN2インターフェース(仮想サーバのNIC #1)のスイッチに接続された各種仮想サーバにおいて、本製品を介したIPv4インターネットとの通信を始動できるようにするため、以下の設定を行います。

  • 本製品のLAN2インターフェースのIPv4設定

  • 本製品のIPマスカレード (NAPT) 設定

  • 各種仮想サーバのIPv4, DNS設定

Tip 本製品のDHCPサーバーを有効化し、各種仮想サーバーのIPv4, DNS設定を自動化することができます。 設定例を「 🔗CATVインターネットなどイーサネット回線を利用する 」に記載しています。

設定手順は以下の通りです。

  1. さくらのクラウドコントロールパネルを用いて本製品のコンソールにログインします。

  2. administrator コマンドを実行し、管理ユーザーに昇格します。

  3. ip lan2 address コマンドを実行し、LAN2インターフェースにIPv4アドレスを設定します。 

    ip lan2 address 192.168.0.1/24

  4. nat descriptor type , nat descriptor masquerade static , nat descriptor address outer コマンドを実行し、IPマスカレードを実施するためのNATディスクリプターを定義します。 

    nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.0.1 tcp 22
nat descriptor address outer 1 primary
    Tip コマンドの文字列を途中まで入力して [Tab] キーを押すと、未入力部分を補完できます。 詳細は「 コマンド入力の補助機能 」に記載しています。

  5. ip lan1 nat descriptor コマンドを実行し、定義したNATディスクリプターをLAN1インターフェースに適用します。 

    ip lan1 nat descriptor 1

  6. save コマンドを実行し、設定を保存します。

  7. 各種仮想サーバのIPv4デフォルトゲートウェイと、DNSサーバーのアドレスとして 192.168.0.1 (本製品のLAN2インターフェースのIPv4アドレス)を設定します。

Note ファイアウォールを設定する 」を完了するまで、インターネットから各種仮想サーバに宛てたパケットは、さくらのクラウドのパケットフィルタにより破棄されます。

7.4. ファイアウォールを設定する

LAN1インターフェースにおいて、さくらのクラウドのパケットフィルタに代わり、本製品のファイアウォールを有効化することで、インターネットからの不正アクセスへの耐性を高めます。

Tip 本製品のファイアウォール機能の仕様と設定方法は「 🔗技術資料 」に記載しています。

設定手順は以下の通りです。

  1. 本製品のコンソールにログインします。

    Note 以降の手順で多数のコマンドを実行する必要があるため、ペースト機能に対応したSSHクライアントの使用を推奨します。 SSHでのアクセス方法(SSHサーバーの設定方法)は「 インターネットに接続したパソコンからSSHでアクセス 」に記載しています。

  2. administrator コマンドを実行し、管理ユーザーに昇格します。

  3. ip filter , ip filter dynamic 等のコマンドを実行し、IPv4パケットのフィルタリングルールを作成します。

    次の通信を許可する場合の設定例は以下の通りです。

    • 本製品および各種仮想サーバにより始動されるIPv4通信

    • 本製品へのSSH接続

    • 本製品へのICMPエコー要求 

    ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 1040 pass SSHクライアントのIPv4グローバルアドレス 192.168.0.1 tcp * 22
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * submission
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp

  4. ip lan1 secure filter コマンドを実行し、作成したフィルタリングルールをLAN1インターフェースに適用します。 

    ip lan1 secure filter in 1020 1030 1040 2000
ip lan1 secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107

  5. save コマンドを実行し、設定を保存します。

  6. さくらのクラウドコントロールパネルの「 🔗サーバ一覧 」画面を開きます。使用するゾーンが選択されていることを確認し、本製品の仮想サーバをダブルクリックします。

  7. 「NIC」タブを開き、NIC #0の「▼」→「パケットフィルタを編集」ボタンを押下します。

  8. 「パケットフィルタ」の選択を「-」に切り替え、「更新」ボタンを押下します。

    NIC パケットフィルタ編集画面

  9. ステータスが「成功」となったら「閉じる」ボタンを押下します。

7.5. 通信試験を行う

インターネットと通信可能であることを確認するため、Ping (ICMP Echo) の送受信試験を行います。

インターネット上のホストに対して ping コマンドを実行したとき、以下のように 0.0% packet loss (日本語表示の場合は 0.0%パケットロス )と表示されれば成功です。 

> ping -c 4 インターネット上のホストのFQDN
received from 返答元の情報: icmp_seq=0 ttl=TTL time=RTTms
received from 返答元の情報: icmp_seq=1 ttl=TTL time=RTTms
received from 返答元の情報: icmp_seq=2 ttl=TTL time=RTTms
received from 返答元の情報: icmp_seq=3 ttl=TTL time=RTTms

4 packets transmitted, 4 packets received, 0.0% packet loss
round-trip min/avg/max = RTT最小値/RTT平均値/RTT最大値
Tip ping コマンド実行時に -c オプションを付与しない場合は、[Ctrl] + [C] キーを押すまでPingの送信を繰り返します。

7.6. ライセンスを適用する

本製品にライセンスを適用することで、性能および機能制限を緩和または解除します。

Tip ライセンスについての詳細は「 ライセンス 」に、適用したライセンスの管理方法は「 ライセンスを管理する 」に記載しています。

手順は以下の通りです。

  1. 本製品のコンソールにログインします。

  2. administrator コマンドを実行し、管理ユーザーに昇格します。

  3. ntpdate , schedule at コマンドを実行し、本製品の時計をNTPサーバーと同期します。

    情報通信研究機構 (NICT) のNTPサーバーと同期する場合のコマンド実行例は以下の通りです。 

    ntpdate ntp.nict.jp
schedule at 1 hh:mm * ntpdate ntp.nict.jp

    「hh:mm」の部分には、NTPサーバーと同期を行う時刻を24時制で入力します。

  4. vrx user コマンドを実行し、ライセンスユーザーのIDとパスワードを設定します。 

    vrx user ライセンスユーザーID ライセンスユーザーパスワード
    Note ライセンスユーザーのIDとパスワードは、ライセンス購入時に発行されるテキストファイルに記載されています。 本製品のコンソールへのログインで使用するものとは異なります。

  5. import vrx license key コマンドを実行し、基本ライセンスをインポートします。
    コンソールの表示に従いライセンスキーを入力し、[Enter] キーを押します。 その後の確認表示に問題がなければ [Y] キーを押します。 ([N] キーを押すとインポートが中止されます。)

    Note

    • ライセンスキーは、ライセンス購入時に発行されるテキストファイルに記載されています。

    • インポート完了と同時に、LANインターフェースの送信帯域制限が緩和または解除されます。

    Tip さくらのクラウドコントロールパネルのコンソールを使用している場合は、「ペースト」→「文字列…​」ボタンを押すことで、ライセンスキーをコピー & ペーストできます。

  6. VPNオプションライセンスを保有している場合は、手順5と同様の方法でインポートします。

    Note インポート完了と同時に、確立できるVPN対地数の制限が緩和または解除されます。

  7. save コマンドを実行し、設定を保存します。