- PR -

netscreenの能力について

1
投稿者投稿内容
sub
会議室デビュー日: 2006/01/31
投稿数: 2
投稿日時: 2006-02-28 12:04
Netscreenの能力についての質問です。
NS-1をハブ、NS-2,NS-3,NS-4をスポークのハブアンドスポークVPNをLAN1〜4のバックアップ経路として下記のように構成しております。
そこで質問ですが、
netscreenは行きの対向NSと戻りの対向NSが異なる場合、戻った時点で破棄してしまうのでしょうか?
例えば LAN1->NS-1->LAN2->LAN3->NS-3>NS-1->LAN1ということはできないのでしょうか?
(LAN2->LAN3は別の網で接続されております。)
NSでセッションを見ていて行きの対向NSと戻りの対向NSが同じでないと破棄しているように見受けれます。Firewallとしての動きとしては正しいと思うのですが、
その機能を解除する、または他にこのトラフィックの流れを可能にするための代替案などありますでしょうか。

LAN1----NS-1----NS-2---LAN2
|
|
|------NS-3---LAN3
|
|
|------NS-4---LAN4

よろしくお願いいたします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-02-28 22:57
こんばんわ.
引用:

subさんの書き込み (2006-02-28 12:04) より:

netscreenは行きの対向NSと戻りの対向NSが異なる場合、戻った時点で破棄してしまうのでしょうか?

行きで通っていないのに帰りだけの通信が発生したら,
firewall では普通それを破棄するなどすると思います.
これを無効にするには,そういった「中途半端な通信」でも
通す必要があると思いますが,それはこういった
http://www.hotfix.jp/archives/word/2003/word03-11.html
通信を黙認するということだと思います.

そういった類の通信を抑制している箇所を無効にすれば良いでしょう.
※Firewall-1 ではわかりますが,NetScreen では具体的な設定箇所を知りません.
※悪しからず.


1

スキルアップ/キャリアアップ(JOB@IT)