2.26. Webコンソールの設定
Webブラウザで装置の設定や各種状態確認を行うことができるWebコンソール機能をサポートしています。
2.26.1. Webコンソール機能の特徴
Webコンソール機能は、主に以下の用途で利用することができます。対応バージョンや設定される内容の詳細は、後述の説明を参照してください。
かんたん設定
インターネット接続や、IPv6 IPoE接続、クラウド接続などを、指示とおり入力するだけで、かんたんに設定することができます。
詳細設定
フィルタやNAPT、QoSなど、かんたん設定に含まれない詳細な設定ができます。
保守管理
装置状態の確認、ソフトウェアの更新、コンフィグ管理、pingの実行など、各種保守機能を利用できます。
2.26.2. 注意事項
Webコンソールで設定できる機能は、CLIで設定できる一部の機能しか対応しておりません。CLIで設定したあとにWebコンソールで設定を変更すると正しく制御できないことがありますので(たとえばフィルタ機能はWebコンソールから設定した内容以外参照・変更できません)、CLIで設定を変更したあとに利用する場合は、変更後のコンフィグをよく確認してご利用ください。
CLIでWebコンソール機能を有効化してから利用する必要があります。
2.26.3. Webコンソールを利用する設定
Webコンソールの設定を投入してご利用ください。
以下に、LANインタフェースをGE2.0、WANインタフェースをGE0.0とする場合の設定例を示します。
syslog enable 1000000 syslog function all warn ! ip dhcp profile web-dhcp-gigaethernet2.0 dns-server 192.168.1.254 ! interface GigaEthernet2.0 ip address 192.168.1.254/24 ip dhcp enable ip dhcp binding web-dhcp-gigaethernet2.0 http-server ip enable no shutdown ! system information wan 1 GigaEthernet0.0 system information lan 1 GigaEthernet2.0
2.26.3.1. HTTPサーバーの設定
Webコンソールを使用するために、HTTPサーバーを有効にする必要があります。Webコンソールへのアクセスを制限する場合は、アクセスリストを利用してください。
グローバルコンフィグモード
項目
説明
http-server ip/ipv6 access-list
HTTPサーバーのアクセスリスト設定
インタフェースコンフィグモード
項目
説明
http-server ip/ipv6 enable
HTTPサーバーの有効化
HTTPサーバーの有効化設定はインタフェースコンフィグモードで設定できます。設定したインタフェースからの通信のみHTTPサーバーが動作します。
HTTPS接続に対応しています(TLS1.2およびTLS1.3)。
2.26.3.2. Webコンソールログインユーザーの設定
Webコンソールへログインするユーザーの設定を行います。Webコンソールへログインするユーザーは1ユーザーのみ設定可能で、usernameコマンドでAdministrator権限のユーザーを設定している必要があります。
また、無操作の場合に自動ログアウトする時間を設定することができます。未設定の場合は、60分で自動ログアウトを行います。
グローバルコンフィグモード
項目
説明
http-server username
Webコンソールログインユーザーの設定
http-server terminal timeout
Webコンソールログインタイムアウトの設定
2.26.4. 対応ブラウザ
対応しているWebブラウザは以下のとおりです。
Microsoft Edge® (Chromium版)
Google Chrome
注釈
Microsoft Edge®は、米国Microsoft Corporationの、米国およびその他の国における登録商標または商標です。
Google Chromeは、Google Inc. の登録商標です。
2.26.5. Webコンソールの操作
詳細はWebコンソールマニュアルを参照してください。
2.26.5.1. ログイン/ログアウト
ログインを行うことにより、Administrator権限の操作を行うことができるようになります。ログインを行えるユーザーは、コンソール、SSH/Telnet合わせて、1ユーザーです。
画面左側のメニューから「ログイン」を選択すると、ユーザー名とパスワードを入力する画面が表示されます。ユーザー名、パスワードを入力してください。一度ログインした後は、ブラウザを終了するまでユーザー名、パスワードの入力は不要になります。
ログイン状態の管理のためCookieを使用していますので、ブラウザのCookieの設定は有効にしてください。また、ログイン中はCookieの削除は行わないでください。
操作終了後は、画面右側のメニューから「ログアウト」を選択し、表示された画面の[ログアウト実行]ボタンを押してログアウトしてください。
2.26.5.2. 強制ログイン/強制ログアウト
ログインを行えるユーザーは、コンソール、SSH/Telnet合わせて、1ユーザーです。既に別のユーザーがログインしている場合はログインできませんが、強制ログインを行えば、ログイン中のユーザーを強制的にログアウトさせて新しくログインすることができます。
「ログイン」を選択し、ユーザー名、パスワードを入力すると、強制ログインの画面に遷移します。[強制ログイン実行]を押すとログインします。
2.26.5.3. 設定の保存
画面左上のメニューから「設定の保存」を選択すると、設定の保存の画面に遷移します。[保存実行]を押すと設定の保存ができます。
「!!注意!! 設定が変更されています。」と赤字で表示されている場合は、設定が保存されていませんので、設定の保存を行ってください。メッセージ内の「設定の保存」を選択した場合も、設定の保存の画面に遷移します。
2.26.6. かんたん設定
インターネット接続など、構成に応じた必要な設定をまとめて行うことができます。
選択可能な構成は以下となります。
インターネット接続
IPv6 IPoE接続
クラウド接続
設定方法の詳細はWebコンソールマニュアルを参照してください。
構成を変更する場合は、一度設定を初期化し、再起動後に設定を行ってください。
2.26.6.1. インターネット接続
インターネット接続のみの構成です。
設定コンフィグは、詳細設定の「プロバイダの設定」、「通信セキュリティの設定」の項目を参照してください。
2.26.6.2. クラウド接続
いくつかのクラウドサービスを利用する構成です。
設定コンフィグは、詳細設定のクラウドの設定の項目を参照してください。
2.26.7. 詳細設定
機能ごとに詳細な設定を行うことができます。
設定方法の詳細はWebコンソールマニュアルを参照してください。
2.26.7.1. パスワードの設定
「詳細設定」から「基本設定」の「パスワードの設定」を選択します。
「パスワードの設定」では以下の設定を行うことができます。
項目
説明
ユーザー名
設定済みのユーザー名です。変更する場合はCLIで変更してください。
ログインパスワード
ログインパスワードを設定します。
設定時は、以下のコンフィグが設定されます。
username [ユーザー名] password plain [ログインパスワード] administrator http-server username [ユーザー名] password [パスワード] http-server authentication-method digest
「利用者メニュー」にログインするために必要なユーザー名と、パスワードの設定を行うことができます(「装置状態の表示」は未ログイン状態でも閲覧可能)。
項目
説明
利用者ユーザー
利用者ユーザーの有効/無効を設定します。
ユーザー名
初期状態ではmonitorとなります。変更する場合はCLIで変更してください。
パスワード
「利用者メニュー」にログインするためのパスワードを設定します。
設定時は、以下のコンフィグが設定されます。
username [ユーザー名] password plain [ログインパスワード] monitor http-server monitor-username [ユーザー名] password [パスワード] http-server authentication-method digest
また、「装置状態の表示」にログインするための認証の有効/無効を設定することができます。
ログインするためのユーザー名/パスワードは、管理者パスワードの設定または、利用者パスワードの設定で設定した情報になります。
項目
説明
認証の有無
「装置状態の表示」での認証の有無を設定します。
設定時は、以下のコンフィグが設定されます。
http-server guest-username guest secret-password dummy-password
2.26.7.2. 装置名の設定
「詳細設定」から「基本設定」の「装置名の設定」を選択します。 「装置名の設定」では以下の設定を行うことができます。
項目
説明
装置名
装置名を設定します。
設定時は、以下のコンフィグが設定されます。
hostname [装置名]
2.26.7.3. 時刻の設定
「詳細設定」から「基本設定」の「時刻の設定」を選択します。
「時刻の設定」では時刻の設定を行うことができます。
以下の方法で設定ができます。
項目
説明
PCの現在時刻を設定する
操作しているPCの時刻を装置時刻として設定します。
手動で設定する
設定する時刻を手動で設定します。
NTPサーバーと同期する
NTPサーバーに同期して時刻設定を行います。NTPサーバーの設定を行ってください。
NTPサーバー設定時は、以下のコンフィグが設定されます。
ntp ip enable ntp server [NTPサーバーアドレス] ntp source [LAN側インタフェース]
NTPサーバーと同期する設定から方式を変更した場合、NTPの設定は削除されます。
2.26.7.4. 保守の設定
「詳細設定」から「基本設定」の「保守の設定」を選択します。
「保守の設定」では以下の設定を行うことができます。
SSH/Telnetの設定
SNMPの設定
ロギングの設定
2.26.7.4.1. SSH/Telnetの設定
SSH/Telnetは、LAN側とWAN側のそれぞれで設定できます。
注意
UNIVERGE IX-V シリーズでは、Telnetの設定は表示されません。
項目 |
説明 |
---|---|
SSH設定 |
SSHサーバーの有効/無効を設定します。 |
Telnet設定 |
Telnetサーバーの有効/無効を設定します。 |
例として、LAN側の設定時は以下のコンフィグが設定されます。
interface GigaEthernet2.0 ssh-server ip enableinterface GigaEthernet2.0 telnet-server ip enable
2.26.7.4.2. SNMPの設定
SNMPは、LAN側とWAN側のそれぞれで設定できます。
項目
説明
SNMP設定
SNMP機能の有効/無効を設定します。
バージョン
利用するSNMPのバージョンを設定します。
[v1/v2c]:SNMPv1 or SNMPv2cを利用
[v3]:SNMPv3を利用
コミュニティ設定
コミュニティを設定します。
トラップ設定
トラップ送信先のIPアドレスを設定します。
ユーザー名の設定
SNMPv3で使用する認証用ユーザー名を設定します。
認証アルゴリズム
認証時に使用するハッシュ関数を設定します。
MD5
SHA-1
SHA-224
SHA-256
SHA-384
SHA-512
認証パスワード
認証に使用するパスワードを設定します。
暗号化アルゴリズム
通信の暗号化に使用するアルゴリズムを設定します。
DES
AES-128
暗号化パスワード
暗号化に使用するパスワードを設定します。
トラップ設定
トラップ送信先のIPアドレスを設定します。
例として、LAN側の設定時は以下のコンフィグが設定されます。
snmp-agent ip community [コミュニティ名] snmp-agent ip host [トラップ送信先IPアドレス] [コミュニティ名] ! interface GigaEthernet2.0 snmp-agent ip enablesnmpv3 group [セキュリティグループ(※)] priv snmpv3 user [ユーザー名] [セキュリティグループ(※)] auth [認証アルゴリズム] [認証パスワード] priv [暗号化アルゴリズム] [暗号化パスワード] snmpv3 ip host [トラップ送信先IPアドレス] user [ユーザー名] ! interface GigaEthernet2.0 snmp-agent ip enable
注釈
設定反映時にsnmpv3 groupの設定がない場合、セキュリティグループは”webgui-group”となります。snmpv3 groupの設定がある場合、セキュリティグループは変更されません。
2.26.7.4.3. ロギングの設定
項目 |
説明 |
---|---|
装置ロギング設定 |
ロギング設定の有効化をします。 |
syslog設定 |
syslog機能の有効/無効を設定します。 |
syslogサーバー |
syslogサーバーのIPアドレスを設定します。 |
設定時は以下のコンフィグが設定されます。
syslog enable
注釈
既に syslog enable が有効の場合は、上書きしません。
syslog ip host [syslogサーバーIPアドレス]
項目
説明
ロギングレベル設定
ロギングレベルの設定をします。
変更しない:設定を現在のまま変更しません。
推奨設定:全機能のレベルをwarnで設定します。
詳細設定:機能単位でレベルを設定します。
全体設定
個別に設定できない機能のレベルを設定します。
イーサネットIPv4IPv6PPP/PPPoEL2TPフィルタリングNATBGPIKEIKEv2 機能単位でレベルの設定をします。
error(1:エラーレベル)
warn(2:警告レベル)
notice(3:注意レベル)
info(4:情報レベル)
debug(5:デバッグレベル)
左記以外の機能は、全体設定のレベルになります。各機能の詳細は、ロギング機能を参照してください。
設定時は以下のコンフィグが設定されます。
syslog function all warnsyslog function all [ロギングレベル] syslog function [機能名] [ロギングレベル]
2.26.7.5. NetMeisterの設定
NetMeisterの章を参照してください。
2.26.7.6. LANアドレスの設定
「詳細設定」から「LAN」の「LANアドレスの設定」を選択します。
「LANアドレスの設定」では、以下の設定を行うことができます。
項目
説明
IPアドレス
LAN側のIPアドレスとマスク長を設定します。
設定時は以下のコンフィグが設定されます。
LAN側インタフェースは最老番のインタフェースを使用します。
ip access-list web-http-acl permit ip src any dest [LAN側IPアドレス]/32 http-server ip access-list web-http-acl ! ! DHCPプロファイル名はweb-dhcp-[LAN側インタフェース名]となります。 ip dhcp profile web-dhcp-gigaethernet2.0 dns-server [LAN側IPアドレス] : DHCPサーバー有効時 ! interface Gigaethernet2.0 description LAN1 ip address [IPアドレス]/[マスク長] ip dhcp binding web-dhcp-gigaethernet2.0 no shutdown
2.26.7.7. DHCPサーバーの設定
「詳細設定」から「LAN」の「DHCPサーバーの設定」を選択します。
「DHCPサーバーの設定」では、以下の設定を行うことができます。
項目
説明
IPアドレス
「LAN側アドレスの設定」から変更してください。
DHCPサーバー
DHCPサーバーの有効/無効を設定します。
割り当て範囲
割り当て範囲を設定する場合は固定設定を選択してください。
設定時は、以下のコンフィグが設定されます。
! DHCPプロファイル名はweb-dhcp-[LAN側インタフェース名]となります。 ip dhcp profile web-dhcp-gigaethernet2.0 assignable-range [割り当て範囲] dns-server [LAN側IPアドレス] ! interface GigaEthernet2.0 ip dhcp enable ip dhcp binding web-dhcp-gigaethernet2.0
2.26.7.8. プロバイダの設定
「詳細設定」から「WAN」の「プロバイダの設定」を選択します。
かんたん設定のインターネット接続と同様です。
最初にWANインタフェースのプロトコルと接続形態を選択します。
項目
説明
PPPoE接続
フレッツ光回線等、PPPoEを使用します。
IP接続
ケーブルテレビ回線など、DHCPによるアドレス付与や、直接IPアドレス設定する場合に使用します。
IPv4のPPPoE接続の場合は以下を設定します。
項目
説明
ユーザー名
PPPoE接続のためのユーザーIDを設定します。
パスワード
PPPoE接続のためのパスワードを設定します。
WAN側IPアドレス
IPCPで設定する場合は自動設定を選択してください。固定の場合はIPアドレスを入力してください。DNSアドレス
IPCPで設定する場合は自動設定を選択してください。固定の場合はIPアドレスを入力してください。DNSアドレスは2個まで設定可能です。NAPT
NAPTの設定を行います。PPPoEでは有効しか選択できません。
設定時は以下のコンフィグが設定されます。
WAN側インタフェースはGigaEthernet0.1を使用します。
ip route default GigaEthernet0.1 ! proxy-dns interface GigaEthernet0.1 priority 254 : DNSアドレス自動設定時 proxy-dns server [DNSアドレス1] priority 254 : DNSアドレス固定設定時 proxy-dns server [DNSアドレス2] priority 254 : DNSアドレス固定設定時 ip name-server [DNSアドレス1] ip name-server [DNSアドレス2] ! ! PPPプロファイル名はweb-ppp-[WAN側インタフェース名]となります。 ppp profile web-ppp-gigaethernet0.1 authentication myname [ユーザー名] authentication password [ユーザー名] [パスワード] ! interface GigaEthernet0.1 description WAN1 encapsulation pppoe auto-connect ppp binding web-ppp-gigaethernet0.1 ip address ipcp : IPアドレス自動取得時 ip address [WAN側IPアドレス] : IPアドレス固定設定時 ip tcp adjust-mss auto ip napt enable ip napt hairpinning ip napt translation max-entries 65535 proxy-dns ip enable no shutdown
IPv4のIP接続の場合は、以下を設定します。
項目
説明
WAN側IPアドレス
IPアドレスを設定します。DHCPクライアントを使用しない場合に設定します。
DNSアドレス
DNSサーバーを設定します。2個まで設定可能です。DHCPクライアントを使用しない場合に設定します。デフォルトゲートウェイ
ゲートウェイのアドレスを設定します。WAN側IPアドレスを固定設定する場合に設定します。NAPT
NAPTの設定を行います。プロバイダ接続では、通常有効化して利用してください。NAPTルータが別に存在する場合のみ、無効化して利用可能です。
設定時は以下のコンフィグが設定されます。
ip route default [デフォルトゲートウェイ] : IPアドレス指定時 ! proxy-dns interface GigaEthernet0.0 priority 254 : DHCPクライアント使用時 proxy-dns server [DNSアドレス1] priority 254 : DNSアドレス指定時 proxy-dns server [DNSアドレス2] priority 254 : DNSアドレス指定時 ip name-server [DNSアドレス1] ip name-server [DNSアドレス2] ! interface GigaEthernet0.0 description WAN1 ip address dhcp receive-default : DHCPクライアント使用時 ip address [WAN側IPアドレス] : IPアドレス指定時 ip napt enable : NAPT有効時 ip napt hairpinning : NAPT有効時 ip napt translation max-entries 65535 : NAPT有効時 proxy-dns ip enable no shutdown
2.26.7.9. 静的NAPTの設定
「詳細設定」から「WAN」の「静的NAPTの設定」を選択します。
注釈
設定時はプロバイダの設定でNAPTを有効化している必要があります。
「静的NAPTの設定」は、機能リストから選択する方法とポート番号を指定する方法が選択できます。
機能リスト選択
項目
説明
機能リスト
公開するプロトコル・ポート番号を選択します。
プライベート側アドレス
プライベート側端末のIPアドレスを設定します。
ポート番号指定
項目
説明
NAPT名
任意の名称を設定します。
プロトコル
TCP/UDPを設定します。
ポート番号
ポート番号を設定します。範囲で指定することもできます。
プライベート側アドレス
プライベート側端末のIPアドレスを設定します。
プライベート側ポート番号
プライベート側端末のポート番号を設定します。
[詳細設定]から[静的NAPTの設定]を選択すると、設定した静的NAPTの一覧が表示されます。削除する場合は、[削除]を選択してください。変更はできません。いったん削除後、新規に追加設定してください。
設定時は、以下のコンフィグが設定されます。
interface [WAN側インタフェース] ! 機能リストでプライベート側アドレスを指定しなかった場合 ip napt static [WAN側インタフェース] [プロトコル] [ポート番号] ! ! 機能リストでプライベート側アドレスを指定した場合 ip napt static [プライベート側アドレス] [プロトコル] : ESPを選択した場合 ip napt service [NAPT名] [プライベート側アドレス] none [プロトコル] [ポート番号] : ESP以外を選択した場合 ! ! ポート番号指定の場合 ip napt service [NAPT名] [プライベート側アドレス] [プライベート側ポート番号] [プロトコル] [ポート番号]
2.26.7.10. WANフィルタの設定
「詳細設定」から「WAN」の「WANフィルタの設定」の「IPv4」または「IPv6」を選択します。
注釈
設定時はプロバイダの設定が必要です。
「WANフィルタの設定」では以下の設定を行うことができます。フィルタ方向およびログ記録有無によって、設定を分けることができます。
項目
説明
シーケンス番号
シーケンス番号を設定します。
動作
透過(permit)・廃棄(deny)を選択します。
プロトコル
プロトコルを設定します。
IPアドレス
送信元、送信先のアドレスを設定します。
ポート番号
送信元、送信先のポート番号を設定します。プロトコルがTCPまたはUDPの場合に設定します。
[詳細設定]から[WANフィルタの設定]の[IPv4]および[IPv6]を選択すると、設定したフィルタの一覧が表示されます。変更する場合は[変更]を、削除する場合は[削除]を選択してください。
シーケンス番号は使用済みの番号は使用できません。設定済みのシーケンス番号を変更するか、または、いったん削除後、新規に登録してください。
IPv4の設定時は、以下のコンフィグが設定されます。
! アクセスリスト名はweb-f-w[WAN番号]_[方向][シーケンス番号]となります。 ! (WAN番号は1または2、方向はiまたはoです) ip access-list [アクセスリスト名] [動作] [プロトコル] src [送信元IPアドレス] sport [送信元ポート番号] dest [送信先IPアドレス] dport [送信先ポート番号] ! interface [WAN側インタフェース] ip filter [アクセスリスト名] [シーケンス番号] [方向] [suppress-logging:ログ抑止時]
CLIで設定したフィルタは上の条件を満たさないと解析されません。
2.26.7.11. QoSの設定
「詳細設定」から「WAN」の「QoSの設定」を選択します。
注釈
設定時はプロバイダの設定が必要です。
「QoSの設定」では以下の設定を行うことができます。
項目
説明
QoSの設定
QoS機能の有効/無効を設定します。
「PQの設定」では、以下の項目について設定ができます。
項目
説明
優先度
通信の優先度を設定します。指定しなかった通信はLowになります。
高優先:High
中優先:Medium
標準:Normal
プロトコル
プロトコルの設定をします。全プロトコルや任意のプロトコルを設定できます。送信元
送信元のIPアドレスを設定します。
すべて:すべてのIPv4アドレス
指定:ネットワークアドレス単位で設定できます。
送信先
送信先のIPアドレスを設定します。
すべて:すべてのIPv4アドレス
指定:ネットワークアドレス単位で設定できます。
ToS
ToSの設定をします。
なし:設定なし
Precedence:Precedenceの設定をします。
DSCP:DSCPの設定をします。
「インタフェースシェーピングの設定」では、以下の項目について設定ができます。
項目
説明
シェーピング設定
シェーピング機能の有効/無効を設定します。
帯域
シェーピングする帯域の設定をします。
Mbps:1 – 10000
Kbps:8 – 10000000
bps:8000 - 1000000000
設定時は、以下のコンフィグが設定されます。
! QoSの設定 interface GigaEthernet0.0 service-policy enable ! ! PQの設定 ip access-list qos-[優先度] permit [プロトコル] src [送信元] dest [送信先] [ToS] ! class-map match-any pq-class match ip access-list qos-high high match ip access-list qos-medium medium match ip access-list qos-normal normal match any low ! policy-map pq-policy class pq-class class class-local class class-default ! interface GigaEthernet0.0 service-policy enable service-policy output pq-policy ! ! インタフェースシェーピングの設定 interface GigaEthernet0.0 traffic-shape rate [kbps | mbps] [帯域] qos rate-accounting ethernet-overhead
注釈
シェーピングの計算はプリアンブルやフレーム間ギャップも含めた値で行います。
2.26.7.12. 通信セキュリティの設定
セキュリティ強度を指定したフィルタの設定を行います。
「詳細設定」から「WAN」の「通信セキュリティの設定」を選択します。
注釈
設定時はプロバイダの設定が必要です。
「通信セキュリティの設定」では以下の設定を行うことができます。
セキュリティ強度
項目
説明
レベル1(オフ)
NAPT(IPv4)/ダイナミックフィルタ(IPv6)により外部からのパケットを廃棄します。
レベル2(標準)
NAPT(IPv4)/ダイナミックフィルタ(IPv6)による外部からのパケット廃棄に加えて、送信フィルタにより、内部からの通信を制限します。レベル3(強)
VPN通信以外のパケットはすべて廃棄します。インターネット上のWebアクセスも禁止します。
設定時は、以下のコンフィグが設定されます。
! WANインタフェースではデフォルトでNAPTが有効になっているため、設定コマンドから省略します。 ! ip access-list web-f-w1-s1 deny ip src any dest 0.0.0.0/8 ip access-list web-f-w1-s1 deny ip src any dest 127.0.0.0/8 ip access-list web-f-w1-s1 deny ip src any dest 169.254.0.0/16 ip access-list web-f-w1-s1 deny ip src any dest 224.0.0.0/4 ip access-list web-f-w1-s1 deny tcp src any sport eq 135 dest any dport any ip access-list web-f-w1-s1 deny tcp src any sport any dest any dport eq 135 ip access-list web-f-w1-s1 deny tcp src any sport range 137 139 dest any dport any ip access-list web-f-w1-s1 deny tcp src any sport any dest any dport range 137 139 ip access-list web-f-w1-s1 deny tcp src any sport eq 445 dest any dport any ip access-list web-f-w1-s1 deny tcp src any sport any dest any dport eq 445 ip access-list web-f-w1-s1 permit ip src any dest any ! interface [WANインタフェース] ip filter web-f-w1-s1 101 out suppress-logging! WANインタフェースではデフォルトでNAPTが有効になっているため、設定コマンドから省略します。 ! ip access-list web-f-w1-s3 permit 47 src any dest any ip access-list web-f-w1-s3 permit 50 src any dest any ip access-list web-f-w1-s3 permit udp src any sport eq 500 dest any dport any ip access-list web-f-w1-s3 permit udp src any sport any dest any dport eq 500 ip access-list web-f-w1-s3 permit udp src any sport eq 4500 dest any dport any ip access-list web-f-w1-s3 permit udp src any sport any dest any dport eq 4500 ip access-list web-f-w1-s3 deny ip src any dest any ! interface [WANインタフェース] ip filter web-f-w1-s3 103 in suppress-logging ip filter web-f-w1-s3 103 out suppress-logging
2.26.7.13. VPNの設定
「詳細設定」から「VPN・クラウド」の「VPNの設定」を選択します。
注釈
設定時はプロバイダの設定が必要です。
「VPNの設定」では、最初に接続種別を設定します。
項目
説明
IPsec
IPsecを使用したVPN接続になります。
L2TP/IPsec
L2TP/IPsecを使用したVPN接続になります。
2.26.7.13.1. IPsec
IPsecを選択した場合、接続先アドレス、接続アドレスの契約(固定、動的)を選択します。
IPsecでは以下の設定を行うことができます。
項目
説明
接続名
Webコンソールの画面表示に使用します。
接続先
WAN側IPアドレス
IPsecの接続先のアドレスを設定します。接続先が動的アドレスの場合、アドレスは設定不要です。FQDNで指定可能です。LAN側ネットワーク
接続先装置のLAN側ネットワークを設定します。
ルーティング
スタティックルートの宛先を設定します。
IKE
事前共有鍵
事前共有鍵を設定します。
アルゴリズム
暗号化アルゴリズム:AES(128bit, 192bit, 256bit), 3DES, DES
認証アルゴリズム:SHA2-256, SHA2-384, SHA2-512, SHA1, MD5
DHグループ
DH group 1(768bit), 2(1024bit), 5(1536bit), 14(2048bit)
ID
アグレッシブモード時のIDを設定します。Initiatorの場合は自分のID(Local-ID)Responderの場合は相手のID(Remote-ID)IPsec
アルゴリズム
暗号化アルゴリズム:AES(128bit, 192bit, 256bit), 3DES, DES
認証アルゴリズム:SHA2-256, SHA2-384, SHA2-512, SHA1, MD5
いくつかの動作、設定値は、接続先と接続元のWAN側アドレスの固定IPアドレス、動的IPアドレスの組み合わせによって決定します。
IPsecローカルID/リモートIDに関しては、接続先装置にて、対応する値を設定する必要があります。
接続元契約
固定IPアドレス
動的IPアドレス
固定IPアドレス
動的IPアドレス
接続先契約
固定IPアドレス
固定IPアドレス
動的IPアドレス
動的IPアドレス
モード
メイン
アグレッシブ
アグレッシブ
設定できません
動作
-
Initiator
Responder
設定できません
IPsecローカルID
0.0.0.0/0
接続元LAN側
0.0.0.0/0
設定できません
設定時は以下のコンフィグが設定されます。
! Tunnelは0から順に空いている番号を使用します。 ! 以下は最初の接続(Tunnel0.0)の場合になります。 ! ! ポリシー名等の番号はTunnel番号+1を使用します。 ip route [接続先LAN側ネットワーク] Tunnel0.0 ip route [ルーティング] Tunnel0.0 ! ike nat-traversal ike proposal web_vpn1ikeprop encryption [IKE暗号アルゴリズム] hash [IKE認証アルゴリズム] group [IKE DHグループ] ipsec autokey-proposal web_vpn1secprop [IPsec暗号アルゴリズム] [IPsec認証アルゴリズム] ! ! 接続元固定―接続先固定 ike policy web_vpn1ikepolicy peer [接続先WAN側アドレス] key [事前共有鍵] mode main web_vpn1ikeprop ipsec autokey-map web_vpn1secpolicy ipv4 peer [接続先WAN側アドレス] web_vpn1secprop ! ! 接続元動的―接続先固定 ike policy web_vpn1ikepolicy peer [接続先WAN側アドレス] key [事前共有鍵] mode aggressive web_vpn1ikeprop ike keepalive web_vpn1ikepolicy 30 6 ike local-id web_vpn1ikepolicy fqdn [IKE ID] ike suppress-dangling web_vpn1ikepolicy ipsec autokey-map web_vpn1secpolicy ipv4 peer [接続先WAN側アドレス] web_vpn1secprop ipsec local-id web_vpn1secpolicy [接続元LAN側ネットワーク] ! ! 接続元固定―接続先動的 ike policy web_vpn1ikepolicy peer any key [事前共有鍵] mode aggressive web_vpn1ikeprop ike remote-id web_vpn1ikepolicy fqdn [IKE ID] ipsec dynamic-map web_vpn1secpolicy ipv4 web_vpn1secprop ike-binding web_vpn1ikepolicy ipsec remote-id web_vpn1secpolicy [接続先LAN側ネットワーク] ! interface [WAN側インタフェース] ip napt static [WAN側インタフェース] 50 ip napt static [WAN側インタフェース] udp 500 ip napt static [WAN側インタフェース] udp 4500 ! interface Tunnel0.0 description [接続名] tunnel mode ipsec ip unnumbered [LAN側インタフェース] ip tcp adjust-mss auto ipsec policy tunnel web_vpn1secpolicy no shutdown
2.26.7.14. L2TPの設定
「詳細設定」から「VPN・クラウド」の「L2TPの設定」を選択します。
「VPNの設定」を選択しても接続種別から「L2TP/IPsec」を選択できます。
注釈
設定時はプロバイダの設定が必要です。
Webコンソールで設定できるのはL2TP LNSの設定です。L2TP LACの設定はできません。
「L2TP/IPsecの設定」では、以下の設定を行うことができます。なお、L2TP/IPsec設定時は再起動が必須です。設定後、設定の保存を行い、再起動してください。
L2TP/IPsecの詳細設定
項目
説明
同時接続数
同時に接続する端末数を設定します。設定数分、トンネルインタフェースを使用します。設定数を変更する場合は再起動が必要となります。アドレス割り当て範囲
端末に払い出すアドレスの範囲を設定します。
暗号/認証の詳細設定
項目
説明
IKE事前共有鍵
IKEの事前共有鍵を設定します。すべての接続に同じ事前共有鍵を使用します。
接続ユーザーの認証設定
項目
説明
ユーザー名
ユーザー名を設定します。ユーザー名は同時接続数以上の設定をすることができます。
パスワード
パスワードを設定します。
固定割り当てアドレス
ユーザーに固定のアドレスを割り当てる場合に設定します。省略時は、アドレス割り当て範囲から自動で割り当てます。
L2TP/IPsecの設定は、1つのみとなります。接続する端末を追加する場合は、ユーザー認証を追加してください。同時接続数が増える場合は同時接続数を変更してください。また、「VPNの設定」からL2TPの設定の追加・変更を行う場合は、接続名の[変更]を選択してください。
設定時は以下のコンフィグが設定されます。
! トンネルインタフェースは最老番-1から使用します。 ! 同時接続数分のトンネルインタフェースを使用します。 ! ユーザー認証設定は、すべて同一のプロファイルに設定されます。 ! ike nat-traversal ! ike proposal web_l2tp_ikeprop1 encryption aes-256 hash sha group 1024-bit ike proposal web_l2tp_ikeprop2 encryption aes hash sha group 1024-bit ike proposal web_l2tp_ikeprop3 encryption 3des hash sha group 1024-bit ! ike policy web_l2tp_ikepolicy peer any key [事前共有鍵] web_l2tp_ikeprop1,web_l2tp_ikeprop2,web_l2tp_ikeprop3 ! ipsec autokey-proposal web_l2tp_secprop1 esp-aes-256 esp-sha ipsec autokey-proposal web_l2tp_secprop2 esp-aes esp-sha ipsec autokey-proposal web_l2tp_secprop3 esp-3des esp-sha ! ipsec dynamic-map web_l2tp_secpolicy ipv4 web_l2tp_secprop1,web_l2tp_secprop2,web_l2tp_secprop3 ! ppp profile web-ppp-l2tp authentication request chap authentication password [ユーザー名] [パスワード] lcp pfc lcp acfc ipcp ip-compression ipcp provide-ip-address range [アドレス割り当て1] [アドレス割り当て2] ipcp provide-static-ip-address [ユーザー名] [固定割り当てアドレス] ! interface [LAN側インタフェース] ip proxy-arp ! interface Tunnel126.0 description L2TP_#1 ppp binding web-ppp-l2tp tunnel mode l2tp ipsec ip unnumbered [LAN側インタフェース] ip tcp adjust-mss auto ipsec policy transport web_l2tp_secpolicy no shutdown
2.26.7.15. クラウドの設定
「詳細設定」から「VPN・クラウド」の「クラウドの設定」を選択します。
注釈
設定時はプロバイダの設定が必要です。
「クラウド接続の設定」では、クラウドに接続するための設定を行います。
最初にクラウドのサービス種別を選択します。
項目
説明
Amazon Web Servicesに接続
Amazon Web Servicesに接続する場合に選択します。
Microsoft Azureに接続
Microsoft Azureに接続する場合に選択します。
NEC Cloud IaaSに接続
NEC Cloud IaaSに接続する場合に選択します。
Amazon Web Servicesに接続する場合は、接続形態を選択します。
その他の場合は”インターネットVPNで接続”で固定になります。
項目
説明
インターネットVPNで接続
Amazon Web Services Virtual Private Cloud(VPC)の場合に選択します。
専用線で接続
Amazon Web Services ダイレクトコネクトの場合に選択します。
接続先、暗号/認証の設定を行います。
インターネットVPNで接続
項目
説明
接続先(クラウド)WAN側IPアドレス
接続先のIPアドレスを設定します。
接続先(クラウド)LAN側ネットワーク
接続先のLAN側ネットワークアドレスを設定します。(Microsoft Azure, NEC Cloud IaaSの場合)接続先(クラウド)VPNアドレス
接続先のVPNアドレスを設定します。(Amazon Web Servicesの場合)接続先(クラウド)AS番号
接続先のAS番号を設定します。(Amazon Web Servicesの場合)接続元(IX-R)VPNアドレス
接続元のVPNアドレスを設定します。(Amazon Web Servicesの場合)接続元(IX-R)AS番号
接続元のAS番号を設定します。(Amazon Web Servicesの場合)
専用線で接続
項目
説明
接続先(クラウド)WAN側IPアドレス
接続先のWAN側IPアドレスを設定します。
接続先(クラウド)AS番号
接続先のAS番号を設定します。
接続先(クラウド)BGPパスワード
接続先のBGPパスワードを設定します。
接続元(IX)WAN側IPアドレス
接続元のWAN側IPアドレスを設定します。
接続元(IX)AS番号
接続元のAS番号を設定します。
接続元(IX)VLAN番号
接続元のVLAN番号を設定します。
暗号/認証の詳細設定
項目
説明
事前共有鍵
接続先と共通のパスワードを設定します。
設定時は以下のコンフィグが設定されます。
web-console wizard easy-cloud-[接続形態] web-console remote-lan [接続先 VPNアドレス]/[マスク長] [TunnelX.0] ! ike nat-traversal ike proposal web_cloud_ikeprop encryption aes hash sha group 1024-bit ike policy web_cloud_ikepolicy peer [接続先 WAN側IPアドレス] key [事前共通鍵] web_cloud_ikeprop ike keepalive web_cloud_ikepolicy 10 3 ! ipsec autokey-proposal web_cloud_secprop esp-aes esp-sha lifetime time 3600 ipsec autokey-map web_cloud_secpolicy ipv4 peer [接続先 WAN側IPアドレス] web_cloud_secprop pfs 1024-bit ! route-map web-cloud-map permit 10 match interface [LAN1] ! router bgp [接続元 AS番号] neighbor [接続先 VPNアドレス] remote-as [接続先 AS番号] neighbor [接続先 VPNアドレス] timers 10 30 address-family ipv4 unicast redistribute connected route-map web-cloud-map originate-default always ! interface [TunnelX.0] description Cloud-AWS-VPN tunnel mode ipsec ip address [接続元 VPNアドレス]/[マスク長] ip tcp adjust-mss auto ipsec policy tunnel web_cloud_secpolicy no shutdownweb-console wizard easy-cloud-direct web-console interface wan1 [WAN1.2] ! route-map web-cloud-map permit 10 match interface [LAN1] ! router bgp [接続元 AS番号] neighbor [接続先 WAN側アドレス] remote-as [接続先 AS番号] neighbor [接続先 WAN側アドレス] password [接続先 BGPパスワード] neighbor [接続先 WAN側アドレス] timers 10 30 address-family ipv4 unicast redistribute connected route-map web-cloud-map originate-default always ! interface [WAN2.1] description Cloud-AWS-DC encapsulation dot1q [接続元 VLAN番号] tpid 8100 auto-connect ip address [接続元 WAN側IPアドレス]/[ マスク長] no shutdownweb-console wizard easy-cloud-[接続形態] web-console remote-lan [接続先 LAN側ネットワーク]/[マスク長] [TunnelX.0] ! ip route [接続先 LAN側ネットワーク]/[マスク長] [TunnelX.0] ! ike nat-traversal ike proposal web_cloud_ikeprop encryption aes hash sha group 1024-bit ike policy web_cloud_ikepolicy peer [接続先 WAN側IPアドレス] key [事前共通鍵] web_cloud_ikeprop ike keepalive web_cloud_ikepolicy 10 3 ! ipsec autokey-proposal web_cloud_secprop esp-aes esp-sha lifetime time 3600 ipsec autokey-map web_cloud_secpolicy ipv4 peer [接続先 WAN側IPアドレス] web_cloud_secprop ipsec local-id web_cloud_secpolicy [接続元 LAN側ネットワーク]/[マスク長] ipsec remote-id web_cloud_secpolicy [接続先 LAN側ネットワーク]/[マスク長] ! interface [WAN1] ip napt static [WAN1] udp 500 ip napt static [WAN1] udp 4500 ip napt static [WAN1] 50 ! interface [TunnelX.0] description Cloud-Azure-VPN tunnel mode ipsec ip unnumbered [LAN1] ip tcp adjust-mss auto ipsec policy tunnel web_cloud_secpolicy mtu ignore pre-fragment no shutdownweb-console wizard easy-cloud-[接続形態] web-console remote-lan [接続先 LAN側ネットワーク]/[マスク長] [TunnelX.0] ! ip route [接続先 LAN側ネットワーク]/[マスク長] [TunnelX.0] ! ike nat-traversal ike proposal web_cloud_ikeprop encryption aes hash sha group 1024-bit ike policy web_cloud_ikepolicy peer [接続先 WAN側IPアドレス] key [事前共通鍵] web_cloud_ikeprop ike keepalive web_cloud_ikepolicy 10 3 ! ipsec autokey-proposal web_cloud_secprop esp-aes esp-sha lifetime time 3600 ipsec autokey-map web_cloud_secpolicy ipv4 peer [接続先 WAN側IPアドレス] web_cloud_secprop pfs 1024-bit ! interface [WAN1] ip napt static [WAN1] udp 500 ip napt static [WAN1] udp 4500 ip napt static [WAN1] 50 ! interface [TunnelX.0] description Cloud-NECCI-VPN tunnel mode ipsec ip unnumbered [LAN1] ip tcp adjust-mss auto ipsec policy tunnel web_cloud_secpolicy mtu ignore pre-fragment no shutdown
2.26.7.16. デバイスの設定
「詳細設定」から「デバイス」の「デバイスの設定」を選択します。
デバイスの一覧が表示されますので、設定変更するデバイスの[変更]を押してください。
「デバイスの設定」では、以下の設定を行うことができます。
項目
説明
デバイスの利用
shutdown/no shutdownを設定します。
回線速度
回線速度を設定します。Duplexは速度がautoの場合はauto、固定の場合は全二重に設定されます。
設定時は以下のコンフィグが設定されます。
device [選択デバイス] speed [回線速度] duplex [duplex] no shutdown
2.26.8. 保守管理
装置状態の確認やソフトウェアの更新などの各種保守機能を利用できます。
設定方法の詳細はWebコンソールマニュアルを参照してください。
2.26.8.1. 装置状態の表示
装置の状態を表示します。設定追加後のトップページも同様の内容です。
2.26.8.1.1. 自動更新
項目 |
説明 |
---|---|
自動更新間隔 |
ページを自動で更新する間隔です。(default:停止)
自動更新後も、指定した間隔でページの更新をします。
|
2.26.8.1.2. 装置情報
項目 |
説明 |
---|---|
装置名 |
装置名を表示します。
hostnameコマンドの設定名です。
|
バージョン |
ソフトウェアバージョンを表示します。
show versionのSoftwareバージョンです。
|
稼働時間 |
装置の起動時間を表示します。
show uptimeのSystem uptimeです。
|
稼働率 |
システムのUtilizationを表示します。
show utilizationのSystem utilizationです。
|
メモリ |
メモリ使用量をパーセントで表示します。
show memoryのHeap memoryのmemory usedです。
|
内部温度 |
装置内温度を表示します。
show environmentのInternal temperatureです。
正常時は青、異常時は赤で表示します。
|
内部電圧 |
装置内部電圧を表示します。
show environmentの3.3 volt line measuredです。
正常時は青、異常時は赤で表示します。
|
2.26.8.1.3. ネットワーク情報
項目 |
説明 |
---|---|
デバイス |
デバイス名を表示します。
|
接続状態 |
デバイスの状態を表示します。
show devicesの情報を参照し、リンク状態やupの場合にspeed, duplexを表示します。
SW-HUBの場合はポート毎に状態を表示します。
|
送信量 |
現在のデバイスの送信の使用率を表示します。
show utilizationのlast transmit utilです。
|
受信量 |
現在のデバイスの受信の使用率を表示します。
show utilizationのlast receive utilです。
|
2.26.8.1.4. WAN情報(設定可能な機種)
項目 |
説明 |
---|---|
接続名 |
接続名を表示します。
descriptionで設定した値を表示します。
|
接続状態 |
接続状態を表示します。
IPv4とIPv6が同時に設定している場合、両方の設定を表示します。 |
情報 |
接続情報を表示します。
IPアドレスとDNSアドレスを表示します。
また、IPv6アドレスとIPv6 DNSアドレスも表示します。
|
2.26.8.1.5. VPN情報
項目 |
説明 |
---|---|
接続名 |
接続名を表示します。
接続名の設定で表示した日本語文字列または、descriptionで設定した内容を表示します。
|
接続状態 |
接続状態を表示します。
|
通信量 |
通信量を表示します。
|
接続種別 |
マウスカーソルが各VPN情報上にある場合に表示します。
接続種別を表示します。
|
接続先アドレス |
マウスカーソルが各VPN情報上にある場合に表示します。
接続先のIPアドレス、IPv6アドレスを表示します。
|
2.26.8.2. VPNの接続名設定
「装置状態の表示」の「接続名編集」で、VPNの接続名を日本語で表示することができます。
“(二重引用符)以外の任意の文字を最大32文字まで設定可能です。
項目
説明
接続名
接続名と以下の情報を表示します。
接続をしているTunnel番号
descriptionコマンドの文字列
設定時には、以下のコンフィグが設定されます。
web-console system vpn o alias interface TunnelX.0 [ascii | base64] [接続名]
2.26.8.3. 装置ログの取得
「保守管理」から「装置ログの取得」を選択してください。「テキストファイルでダウンロード」を右クリックし、ファイルの保存を行ってください。
以下の情報の取得が可能です。
項目
説明
テクニカルサポート情報
show tech-supportshow syslogインタフェース/デバイス情報
show interfaces detailshow devices detailルーティング情報
show ip routeshow ipv6 routeNAT / NAPT情報
show ip nat translationshow ip napt translationDHCP情報
show ip dhcp lease
VRRP情報
show vrrp
IKE/IPsec情報
show ike sashow ike statisticsshow ipsec sashow ipsec statisticsshow ikev2 sashow ikev2 child-sashow ikev2 statisticsBGP情報
show ip bgp
QoS情報
show policy-map interface
ロギング情報
show syslog
2.26.8.4. 設定データの管理
装置の設定データ(startup-config)の管理を行います。
「保守管理」から「設定データの管理」を選択します。
装置データのダウンロード
装置の設定データ(startup-config)をパソコン等へ取得します。
「設定データのダウンロード(バックアップ)」の「テキストファイルでダウンロード」を右クリックし、ファイルの保存を行ってください。
装置データのアップロード
パソコン等の設定ファイルを装置のstartup-configにコピーします。
「設定データのアップロード(リストア)」から[参照]ボタンを押して装置にアップロードするファイルを選択し、[アップロード実行]ボタンを押してください。
2.26.8.5. 設定の初期化
装置の設定データ(startup-config)を削除します。
「保守管理」から「設定の初期化」を選択し、[初期化実行]ボタンを押してください。初期化終了後、「!!注意!! 保存されていた設定を削除しました」と赤字で表示されます。「再起動」を選択すると、再起動の画面に遷移します。再起動を実行することで、初期状態で起動します。
2.26.8.6. ソフトウェアの更新
装置のソフトウェアの更新を行います。
注意
UNIVERGE IX-V シリーズでは、ソフトウェアの更新は表示されません。
「保守管理」から「ソフトウェアの更新」を選択します。[ファイルの選択]を押し、更新に使用するファイルを指定し、[アップデート実行]ボタンを押してください。更新が終了すると「アップデートが完了しました」とメッセージが表示されます。[再起動実行]ボタンを押すと、再起動を行い、更新したソフトウェアが適用されます。
アップデート実行時に「ファイル容量が制限を超えています。」のメッセージが表示された場合、アップロードファイルのサイズ設定コマンドで制限値を変更してください。デフォルト値は150Mバイトに設定されています。
項目
説明
http-server upload-limit
アップロードファイルのサイズ設定
2.26.8.7. Pingの実行
Pingを実行します。
「保守管理」から「pingの実行」を選択します。必要な項目を設定し、[ping実行]ボタンを押してください。
2.26.8.8. 任意コマンドの実行
任意のCLIコマンドを実行します。
「保守管理」から「任意コマンドの実行」を選択します。コマンド入力の画面に実行するコマンドを入力し、[コマンド実行]ボタンを押してください。
複数コマンド同時に実行可能です。コマンド入力は1,000,000文字まで可能です。
注釈
自律的な画面表示を伴うコマンド、コマンド実行後に実行確認など入力が必要となるコマンドは実行できません(以下のコマンドがすべてではありません)。
実行できないコマンドの一例
erase startup-config
2.26.8.9. 再起動
装置の再起動を行います。
「保守管理」から「再起動」を選択します。[再起動実行]ボタンを押してください。再起動完了後は、再度トップページにアクセスしてください。