P5BV-Mで調べても出てくるのはこいつが殆どなのですが、明らかにこれではないです。
色々調べること30分、ようやくこいつの仕様が分かりました。
まとめるとNICにはBroadcomのBCM5721を2つ使用し、Intel 3200とICH7Rを乗せたサーバー向けボードで、1333MHzまでの775のXeon・Core2が載るみたいです。3200というと低価格鯖の中で定評のあるNECのExpress5800シリーズでも使われているので、その手の人はなじみがあるのではないでしょうかw
しかしこの板にはかなり特殊な独自ファンクションが2つあります。
まず1つは、RAIDコントローラをIntelMatrixStrageとLSIのMegaRAIDの2つからジャンパを切り替えることにより選べることです。WindowsではIntel/LSIの両方使用可能で、LinuxではLSIを使えとマニュアルには書いてありますが、パフォーマンスの違いが出るのかは試してませんw
もう1つは、オプションのASMB3というノートPC用SODIMMの形をしたボードを取り付けることにより、マネージメントポートからWEB UIを使い電源、HWモニタリング等が出来るようになることです。
Knoppixからマネジメントポートが認識できないと思ったら普通のNIFではなかったようです。試そうにも専用のNICでないと意味がないのですが、そのオプションボードを持っていない(というか見かけない)のでなかったことにします。
詳細PDF
ちなみに、OC関係のファンクションは一切ないです。まあ鯖板なので当たり前ですが。
さて、この板のIFの並び方、ぱっと見どこかで見かけたような気がします。
そう、RADIUS oneの中身と同じような構造をしているのです。似たような作りになってると思ってRADIUS oneの筐体を持ち出すと、ちょうどねじ穴(つかATXですが)、NIFの位置などが見事に一致するのです。多分こういうバックパネルの規格があるのだと思いますが。
ならば元々入ってるPen4を窓から投げ捨ててこいつを入れようと思ったのですが、問題が2点ありました。
まず1点は、VGA出力のポートが邪魔でこのままでは入らないという事。箱を切断するか板からポートを抜くかで悩みましたが、試しにはんだを溶かしてポートを何かあれば復元できる形で抜いてみることにしました。
…が、思いの外VGAポートの外枠を止めている金具がしっかりと半田付けされてしまっているので取るにとれず、結局Fuuuuuuuuuuuuuuuuuuuuuuuuccccccccckkkkkkkkkと叫びながらペンチで力ずくで抜きました。経験的に力任せにした結果というのは総じて後悔することになるのですが、まあ今回は大丈夫そうです。
2点目は、CPUクーラーの高さに制限がありデフォルトのクーラーでは入らないという事。どうせ背面に9000rpm近い排気ファンついてるし、Intelのリファレンスクーラー(後期型の薄いやつ)のファン部分を取っ払ってつけてしまえ、と試しにやってみたのですが、なんとか入ったものの微妙にCPUの熱が廃棄しきれない様子でした。
仕方がないのでそれ用の薄いクーラーを買ってきて取り付けたところ、問題は解決しました。
ちなみに今回使用したのはSlim Silence 775というクーラーなのですが、結構周りのコンデンサとの干渉が危なかったですw
そしてTyanの478マザーを取り出して入れてみると
ジャストフィット!
こいつもBIOSをCOMポートへリダイレクト出来るので、クロスケーブルだけあれば用は足ります。デフォルトではOff(VGA出力のみ)なので初回設定時にはVGAが必要になりますが。
しかし鯖板なのに起動すると
AMIBIOS(C)2007 American Megatrends, Inc.
ASUS P5BV-M ACPI BIOS Revision 0216
CPU : Intel(R) Celeron(R) CPU E3300 @ 2.50GHz
Speed : 2.50 GHz Count : 2
DRAM Clocking = 800 MHz
Press DEL to run Setup (F4 on Remote Keyboard)
Press F12 if you want to boot from the network
Press F8 for BBS POPUP (F3 on Remote Keyboard)
Initializing USB Controllers .. Done.
4096MB OK
Auto-Detecting Pri Master..IDE Hard Disk
Pri Master: HDS728040PLAT20 PF1OA21B
Ultra DMA Mode-5, S.M.A.R.T. Capable and Status OK
Auto-detecting USB Mass Storage Devices ..
00 USB mass storage devices found and configured.
NO Keyboard Detected!
Press F1 to Resume
と言う点はどうにかして欲しいと思います。立ち上がってこないと思ってCOMポートをつないで再起動してみたら「キーボードが見つからないけど続けるならF1押せ!」という無理難題を言って止まってました。どうしろとwww
エラーでF1を待つ設定を解除しないと詰むという落とし穴があるのでこの手の設定をするときは注意ですね。CPUのファンがついていないときも同じことになりますw まあこの板はCOMポートで何とか出来るのでいいですがね。
さて、HWで落ち着いたら最近マイブームなpfSenseを入れてマザーの性能を見てみます。
環境;
実験機(Win7,PentiumDCE6600@3.6GHz、Mem4G、M/B:DFI LP UT X48-T2R、NIC:Marvell 88E8052)
Switch(HP Procurve 2848 firmVersion: I.10.77, ROM I.08.07 )
今回の板(pfSense1.2.3-RELEASE 、NAPT有効、Snort有効、ntop有効、CPU:CeleDC3300,Mem4G、NIC:Broadcom BCM5721)
メインマシン(WinXP,E8400@4GHz,Mem8G,M/B Gigabyte EX38-DS4 NIC:蟹 RTL8111B)
この環境で
実験機--pfSense--SW--メインマシン
という繋ぎ方でIperfを走らせ速度を計測してみます。IperfはメインマシンをサーバにしてNAPT越しに実験機が繋げにくる形になります。
まずデフォルトの状態
------------------------------------------------------------
[3924] local **.1.195 port 5001 connected with **.1.193 port 51035
[ ID] Interval Transfer Bandwidth
[3924] 0.0- 1.0 sec 19.4 MBytes 162 Mbits/sec
[3924] 1.0- 2.0 sec 18.9 MBytes 158 Mbits/sec
[3924] 2.0- 3.0 sec 19.0 MBytes 160 Mbits/sec
[3924] 3.0- 4.0 sec 18.6 MBytes 156 Mbits/sec
[3924] 4.0- 5.0 sec 19.2 MBytes 161 Mbits/sec
[3924] 5.0- 6.0 sec 19.1 MBytes 160 Mbits/sec
[3924] 6.0- 7.0 sec 18.8 MBytes 158 Mbits/sec
[3924] 7.0- 8.0 sec 19.1 MBytes 160 Mbits/sec
[3924] 8.0- 9.0 sec 19.2 MBytes 161 Mbits/sec
[3924] 9.0-10.0 sec 19.1 MBytes 160 Mbits/sec
[3924] 0.0-10.0 sec 190 MBytes 160 Mbits/sec
次にTCP WindowSizeを56kByteにして測定
[ ID] Interval Transfer Bandwidth
[3912] 0.0- 1.0 sec 72.4 MBytes 608 Mbits/sec
[3912] 1.0- 2.0 sec 71.6 MBytes 601 Mbits/sec
[3912] 2.0- 3.0 sec 73.8 MBytes 619 Mbits/sec
[3912] 3.0- 4.0 sec 72.1 MBytes 605 Mbits/sec
[3912] 4.0- 5.0 sec 73.7 MBytes 618 Mbits/sec
[3912] 5.0- 6.0 sec 74.0 MBytes 621 Mbits/sec
[3912] 6.0- 7.0 sec 73.4 MBytes 616 Mbits/sec
[3912] 7.0- 8.0 sec 73.6 MBytes 618 Mbits/sec
[3912] 8.0- 9.0 sec 73.8 MBytes 619 Mbits/sec
[3912] 9.0-10.0 sec 73.8 MBytes 619 Mbits/sec
[3912] 0.0-10.0 sec 732 MBytes 613 Mbits/sec
そしてTCP WindowSizeを128kByteにして測定
[ ID] Interval Transfer Bandwidth
[3892] 0.0- 1.0 sec 112 MBytes 937 Mbits/sec
[3892] 1.0- 2.0 sec 111 MBytes 930 Mbits/sec
[3892] 2.0- 3.0 sec 112 MBytes 936 Mbits/sec
[3892] 3.0- 4.0 sec 111 MBytes 932 Mbits/sec
[3892] 4.0- 5.0 sec 110 MBytes 923 Mbits/sec
[3892] 5.0- 6.0 sec 108 MBytes 906 Mbits/sec
[3892] 6.0- 7.0 sec 111 MBytes 933 Mbits/sec
[3892] 7.0- 8.0 sec 112 MBytes 937 Mbits/sec
[3892] 8.0- 9.0 sec 111 MBytes 935 Mbits/sec
[3892] 9.0-10.0 sec 111 MBytes 933 Mbits/sec
[3892] 0.0-10.0 sec 1109 MBytes 929 Mbits/sec
最後にTCP WindowSizeを1024kByteにして測定
[ ID] Interval Transfer Bandwidth
[3912] 0.0- 1.0 sec 114 MBytes 956 Mbits/sec
[3912] 1.0- 2.0 sec 112 MBytes 938 Mbits/sec
[3912] 2.0- 3.0 sec 112 MBytes 943 Mbits/sec
[3912] 3.0- 4.0 sec 112 MBytes 941 Mbits/sec
[3912] 4.0- 5.0 sec 113 MBytes 944 Mbits/sec
[3912] 5.0- 6.0 sec 108 MBytes 907 Mbits/sec
[3912] 6.0- 7.0 sec 109 MBytes 917 Mbits/sec
[3912] 7.0- 8.0 sec 112 MBytes 936 Mbits/sec
[3912] 8.0- 9.0 sec 110 MBytes 925 Mbits/sec
[3912] 0.0-10.0 sec 1114 MBytes 934 Mbits/sec
さすがにSnortを有効にして1Gで通信してしまうとCPUの使用率は90%後半で張り付いていましたが、それでもこれだけの速度が出るのは中々だと思います。Snort無効状態だと50%位で収まっていたと思います。
しかしIDSとして仕事しているのか?と思いnmapとNessusをかけてみましたが見事に両方ともはじかれました。
触ってみた感じ、さすがにCore2位のレベルになるとFWの仕事は余裕があるみたいですね。E3300って殆どE7200ですし。CIFS越しでもubuntu->Win7で80MB/sec出ていたのでFWとしては速い部類に入るのではないかと思います。
1Uに収まりなおかつ速度も速いので言うことないです。QuadCore乗せてメインFWにしてしまおうかと思うくらいです。HAVPは試していませんが、最近AVゲートウェイよりもパーソナルAVの方が重要(当たり前)だと思うのでIDS/FW/Routerとして動いてくれるならいいですが。
[ コメントを書く ] ( 2417 回表示 ) | このエントリーのURL |
( 3 / 2082 ) | ツイート前回に引き続き、RADIUS oneの話になるのですが出てきた問題がいくつかありました。
まず、RADIUSサーバの設定がよく分からないです。これに関しては完全に自分の知識不足なのでどうにかしようと思うのですが、しかしその設定用のJavaアプレットがどうしようもないのでやる気が失せます。
設定Javaアプレットの
・設定画面を開きっぱなしでしばらく放置しているとセッションが有効期限切れになってまたログインを強要される
→ログインし直してもアプレットがふってこない
→強制再読込も無駄
→再度設定するにはブラウザを完全に(タブを閉じるとかではなく)終了させないとならない
→IEが設定専用ブラウザになった
・バックグラウンドからフォアグラウンドへ変わった際に画面が描写されなくなる事がある
→再度設定するにはログインし直してね
→ログインし直してもアプレットがry
・ウィンドウサイズを変更すると変更用のボタンが反応しなくなることがある
→再度設定するにはログインし直してね
→ログインし直してもry
・DirectX系のアプリを立ち上げると画面が描写されなくなる
→再度設定するにはry
…こいつはどうしようもないという結論が出ました。
そこで、マザーにGibEを2つ持ちなおかつFEも1つ持っているので、前から気になっていたBSDベースのファイアウォールOS(というよりはファームウェアに近い)m0n0wallでも入れてみようかなと思ったのですが、マシンスペック的にはPentium4であるにしてもそこそこな性能は持っているので、それの上位番(まあ若干コンセプトは違いますが)であるpfsenseを入れてみることにしました。一応いまのRADIUS one OSはイメージとしてバックアップしました。
まずOSのインストールは、マザーにSATAコネクタを4つ持っているのでそこらに転がっていたドライブを繋いで起動しました。
どうでもいい動画;RS232から見るBIOS
Get the Flash Player to see this player.
必死に文字を書いてる感じが伝わってきて面白い。ちなみに動画では分からないですがキーを押してから1-2秒経たないとレスポンスが帰ってきませんwボーレートを上げても大して変わらないです。
が、BIOSから先はどうもシリアルには吐き出されないようなので、その辺に転がっていたPCIのRadeon 9200を接続してみることにしました。どうでもいいですがPCIのグラボは一本は持っておくべきだと思いますw
そのままでは入らないのでねじを外してマザーを引き抜いてみると…
PS/2インターフェースがw
http://www.infoblox.co.jp/products/1000.cfm
標準の1Uサーバハードウェアをベースにした競合製品とは異なり、Infoblox-1000アプライアンスには、余計なハードウェアインタフェース(外部ディスクドライブ、キーボードポート、マウスポートなど)がありません。このため、最も安全で信頼できるプラットホームを持ち、基本的なノンストップネットワークID サービスを提供できる、市販品では唯一の真のネットワークIDアプライアンスとなっています。
…あれ?
確かに間違ってはいませんが正しくはこうですね
標準の1Uサーバハードウェアをベースにした競合製品とは異なり、Infoblox-1000アプライアンスには、余計なハードウェアインタフェース(外部ディスクドライブ、キーボードポート、マウスポートなど)がありません。※ただし内部を除く
このため、最も安全で信頼できるプラットホームを持ち、
※ただし分解される場合を除く
基本的なノンストップネットワークID サービスを提供できる、市販品では唯一の真のネットワークIDアプライアンスとなっています。
まあ普通分解される前提ではないのでいいですが。
しかしここまで書いておきながら前面USBにキーボードを刺すとBIOSいじれてしまうのはどうかと思いますが。
細かい揚げ足取りはさておき、グラボを刺すと当然のごとくPOSTが出力され起動できました。まず内側・外側向きのNIFの設定、IPの設定、デフォルトパスワードなどを設定したらHDDへ書き込みます。今回はデフォルトの150GBのHDDに書き込みましたがCFあたりに書き込むのが故障率的な意味でベストだと思います。
一度立ち上がってしまえば後は普通のWEB UIから色々設定していくのでグラボは必要なくなります。
そして完成。特に問題なくWEB UIにログインできました。
筐体が元々ネットワークアプライアンスなのでFWとしてラックに入れても分かる人じゃないとわからないかとw
今回はとりあえずインスコまでですが、次回時間があったらソフトウェアの面を実験して記録したいと思います。
[ 4 コメント ] ( 19393 回表示 ) | このエントリーのURL |
( 3 / 1807 ) | ツイートタイトルの機器がずいぶん前から手元に2台あったのですが、色々していたらいじる暇がなくていじるのはまた今度にしようと積んでいました。
詳細PDF
http://www.takachiho-kk.co.jp/products/ ... RADIUS.pdf
要はRADIUS認証専用アプライアンスです。
後述の通り、内部は普通のPCなので改造して1Uのサーバとして動かした方が楽しそうな気がしないでもないですが。
そして今日、気が向いたのでちょろっといじってみました。
まず一台。シリアルを繋いで待ってみると何も反応なし。こういうときは大体クロスとストレートを間違えているので、ストレートからクロスケーブルに替えてまた電源を入れてみると…
Phoenix - AwardBIOS v6.00PG, An Energy Star Ally
Copyright (C) 1984-2003, Phoenix Technologies, LTD
TYAN Tomcat i875 S5102 v1.03h 011504
Main Processor : Intel Pentium(R) 4 2.40GHz(200x12.0)
Memory Testing : 1047552K OK
CPU Brand Name : Intel(R) Pentium(R) 4 CPU 2.40GHz
Hyper-Threading Technology CPU Detected (Hyper-Threading Technology Enabled)
Memory Frequency 320MHz (Dual Channel Mode Enabled)
IDE Channel 0 Master : Maxtor 6Y120M0 YAR51EW0
IDE Channel 0 Slave : None
IDE Channel 1 Master : None
IDE Channel 1 Slave : None
Phoenix Technologies, LTD
System Configurations
+==============================================================================+
| CPU Type : Intel Pentium(R) 4 Base Memory : 640K |
| CPU ID/ucode ID : 0F25/15 Extended Memory :1046528K |
| CPU Clock : 2.40GHz Cache Memory : 512K |
|------------------------------------------------------------------------------|
| Diskette Drive A : 1.44M, 3.5 in. Display Type : EGA/VGA |
| Diskette Drive B : None Serial Port(s) : 3F8 2F8 |
| Pri. Master Disk : LBA,ATA 100, 122GB Parallel Port(s) : None |
| Pri. Slave Disk : None DDR at Bank(s) : 0 2 |
| Sec. Master Disk : None |
| Sec. Slave Disk : None |
+==============================================================================+
Pri. Master Disk HDD S.M.A.R.T. capability .... Enabled
PCI device listing ...
Bus No. Device No. Func No. Vendor/Device Class Device Class IRQ
--------------------------------------------------------------------------------
0 29 0 8086 24D2 0C03 USB 1.0/1.1 UHCI Cntrlr 7
0 29 1 8086 24D4 0C03 USB 1.0/1.1 UHCI Cntrlr 9
0 29 7 8086 24DD 0C03 USB 2.0 EHCI Cntrlrtrlr 5
0 31 2 8086 24D1 0101 IDE Cntrlr 14
0 31 3 8086 24D3 0C05 SMBus Cntrlr 11
2 1 0 8086 1019 0200 Network Cntrlr 11
3 2 0 8086 1013 0200 Network Cntrlr 5
3 7 0 1002 4752 0300 Display Cntrlr 7
3 8 0 8086 1051 0200 Network Cntrlr 10
ACPI Controller 9
Verifying DMI Pool Data ...........
と、POSTコードが流れてきました。これ普通のマザーボードでも出来ないかな。OSが立ち上がった後ならLinux/Unixではコンソールに吐けるのですが、BIOSは専用のマザーじゃないと出来ないっぽいんですよね。
それはともかく、いくら待ってもここから先へ進まないという状況に。おそらくBootデバイスが見つからないのではないかと思い、一度このマシンからは離れ、試しにもう一台の方を立ち上げてみることにしました。
すると普通に起動でき、Loginプロンプトが出てきました。
ここから推測するに、多分HDDが故障してOSが起動できなくなっているのではないかと思い、試しに起動するマシンのイメージを起動できない方へ書いてみることにしました。
そして分解してみる。
BIOSのPOSTコードにもあったように、中身は普通のSocket 478の板でした。Tyan製です。
よく見るとコンデンサにRubyconやらMatsushitaやらいいところのものが使われていて分かる人はニヤニヤ出来る構成だと思います。
まあ、特にASICが積まれているわけではないのでつまらないと言えばつまらないですが。
さて、記憶媒体には普通のSATA HDDが使われているのでこれを他のドライブに移植します。KnoppixでマウントしてみるとEXT3でフォーマットされたパーティションが3つあり、中身は改造されたLinuxでした。
同じ容量のHDDがあればDDでよかったのですが、今手元に余っているのがSeagateの薄いタイプの80GBのドライブしかなかったのでTrueImageでごりごりバックアップ。TrueImageだとバックアップ元と先のドライブの総容量が違っても自動で計算してくれるので楽です。GRフォーマットとか特殊なものはセクタバイセクタのみになりますが、EXT*,FAT*,NTFSなど主要なものは網羅しているので大丈夫だと思います。※ただしZFSやらXFSやらNilFS等の変態的なFSを除く
そしてイメージを新しいHDDに移行。そして電源を入れてみると、起動できなかったRADIUS oneが起動しました。
初期化は簡単だったのですが、その次の問題はデフォルトパスワードが分からないと言うこと。まずUserGuideがない。
手当たり次第にadmin;admin,root;root,infoblox;infoblox,radiusone;radiusone,admin;passwd,operator,manager;friend...などやってみたのですがどれも外れでした。
積んだのでこの間に気分を変えるためにちょっと飲み物を買いに行ったのですが、そのときに色々思い浮かんだので更に試してみると、
admin;infoblox
が正解でした。一応初期化はされていたようです。推測できる範囲で助かりました…。
IPが設定できたのでtelnet、SSH,HTTP、HTTPSを試してみるとHTTPSが繋がるようになっていました。まあ、オレオレSSL認証なのでものすごくブラウザに怒られるのですが。
するとJavaのアプレットが立ち上がりデータベースの設定が出来るようになりました。
そのうちCiscoのAironet 1232やCentreCom 9424で認証させて遊んでみようと思います。
------------------------------
【追記】
RADIUSの概念は分かっても設定が分からなくて積んだw
[ コメントを書く ] ( 952 回表示 ) | このエントリーのURL |
( 3 / 1673 ) | ツイート某所で大量にCompact flashが手に入ったので、GR2kで使えるかどうか試してみました。まぁGR2kで使うのが主な目的で手に入れたのですが。
手に入ったのはADTECというところの128MBのCFです。とりあえずGRの予備スロットに挿してShow mcをしてみました。
Slot0 : primary Slot , mc-enabled
HN-F9531-MC64 [BMC64] , GR2000 format , 001c0001
39,921kB used (user Area: 39,287kB , dump Area: 634kB)
17,039kB free (user Area: 11,571kB , dump Area: 5,468kB)
56,960kB total(user Area: 50,858kB , dump Area: 6,102kB)
Slot1 : secondary Slot , mc-enabled
unknown , no GR2000 format , 00070000
0kB used (user Area: 0kB , dump Area: 0kB)
0kB free (user Area: 0kB , dump Area: 0kB)
0kB total(user Area: 0kB , dump Area: 0kB)
一応認識はされているようなので、
cd /mc1
format mc
とやってみました。
しばらくアクセスランプがちかちかしたあと、再びプロンプトになったのでShow mcを実行してみました。
Slot0 : primary Slot , mc-enabled
HN-F9531-MC64 [BMC64] , GR2000 format , 001c0001
39,921kB used (user Area: 39,287kB , dump Area: 634kB)
17,039kB free (user Area: 11,571kB , dump Area: 5,468kB)
56,960kB total(user Area: 50,858kB , dump Area: 6,102kB)
Slot1 : secondary Slot , mc-enabled
unknown , GR2000 format , 00070000
1kB used (user Area: 1kB , dump Area: 0kB)
114,400kB free (user Area: 108,298kB , dump Area: 6,102kB)
114,401kB total(user Area: 108,299kB , dump Area: 6,102kB)
おお、無事にフォーマットできたようです。カードそのものは問題ないようなのでcopy mcでOSのバックアップをとろうとしたところ、
GR2B+> copy mc
Copy OK?(Primary MC -> Secondary MC) (y/n): y
mc: illegal parameter or Compact Flash size is unmatched.
と、「サイズが合わないんですけど」と言われてしまいました。
しかし、日立の運用コマンドリファレンスによると、ファイルサイズが違う場合はcopy mcのあとに file-unitと引数をつけてくれ、とのことでした。
GR2B+> copy mc file-unit
Copy OK?(Primary MC -> Secondary MC) (y/n): y
executing...........
とりあえずCopyはできたようです。さて、問題は立ち上がるのか、ということ。
結論は…………動きました。特に問題ないようです。
今度はMC充ですね。
[ コメントを書く ] ( 1251 回表示 ) | このエントリーのURL |
( 3 / 1757 ) | ツイート
秋葉原でCentreCOM 8724SLが980円で売ってたから「L3で1000円って安くね?」と思って買ってみました。もっとも、ジャンクとこそ書いていなかったけど、この手のものはパスワードが不明でログインできませんよ、と言うものも結構あるので下手したらログインすらできないのではないかと思っていました。まぁ、それでも1000円ならそこらで飯食ったと思えば納得できますが。
帰宅してCiscoケーブルをコンソール・amp;#124;ートにつないでみると……なんとデフォルトパスワードでログインできるではありませんか。
一応・amp;#124;ート1つ1つにケーブルをさしてLink upするか確かめてみましたが、すべての・amp;#124;ートでPingが通るところまでは確認しました。すごく面・amp;#124;でしたがw
しかもadd ssh userでSSH接続もできたので、どうやらAT-FL-02もついてきている様子。
>AT-FL-02機能一覧
AT-FL-02 (販売終了)/
AT-FL-02-B
対応製品: <AT-FL-02>
9606SX/SC, 9606T, 8748XL, 8724XL, 8748SL, 8724SL
<AT-FL-02-B>
8748SL, 8724SL V2, 8724SL
AT-FL-10 (販売終了) 対応製品:9812T, 9812T-LM, 9816GB, 9816GB-LM
AT-FL-02/AT-FL-02-B・AT-FL-10は、ファイアウォール機能、アドレス変換機能を追加するためのソフトウェアライセンスです。
1. Firewall (ステートフル・インスペクション)
通信開始から終了までの通信セッションを監視し、送受信パケットに矛盾がないかをチェックします。また、通信していないときは・amp;#124;ートをクローズしますので外部からのアクセスを受け付けません。パケットフィルタリングと同程度の高速処理を保ちながら、より強度なセキュリティーの確保を可能にします。
2. アクセス制御 (Firewall Policy Rule)
Firewall を設定することにより外部からのアクセスが不能になりますが、このアクセス制御を設定することにより、特定のユーザーのみ Firewall を通過して LAN 内のサーバーなどにアクセスすることが可能です。制御項目はプロトコルや・amp;#124;ート番号、IP アドレス等での制御のほか、日時などによる制御も可能で、特定のユーザー/アプリケーションに対して、決められた時間内のみのアクセス許可/禁止といった制御が可能です。
3. 攻撃検出機能
Firewallはネットワークを出入りするパケットのチェックを行いますが、それでも中には攻撃を防ぎ切れない場合もあります。そこで、Firewall を通過したパケットから不正アクセスを検出する攻撃検出機能を搭載しました。これにより、DoS(Denial of Service:サービス攻撃)などの攻撃を検出し、より安全なネットワーク環境を構築することが可能になります。
[ 検出可能な攻撃 ]
DOS_Attack、HOST_Scan、SMURF_Attack、TCP_Attack、PING of Death、UDP_Attack、FRAG_Attack、PORT_Scan、SYN_Attack、IP_Spoof、LAND
[ 攻撃検出後のアクション ]
攻撃検出で検知された攻撃に対し、一刻も早く管理者に通知する機能や防御する機能を備えています。
アラーム発信
外部からL3スイッチへの不正なアタックがあった場合、下記の方法でL3スイッチの状況を管理者などへ通知し、早急な対処を可能にします。
MANAGER : L3スイッチにLOGINしている端末へ警告表示。
SNMP : SNMP Trapを送信。
ダイナミック・コンフィグレーション・チェンジ
Trigge機能と組み合わせることで、攻撃を受けたら経路情報を変更したり、一定時間は外部へのアクセスを閉鎖したりと自動的に設定情報を変更しますので、繰り返される攻撃を回避することが可能です。
※Trigger機能
日時または曜日、あるいはインターフェースのLinkUpまたはDownなど、様々なイベントにトリガーを設定できます。例えば、ルーティング経路の変更設定で、指定した時間内のみ通信を可能にすることなどができます。
4. アドレス/・amp;#124;ート変換(NAT/ENAT)機能
NAT (Network Address Translation) とは、特定のプライベートアドレスを特定のグローバルアドレスに変換する技術です。この技術によってインターネット接続に必要なグローバルアドレス不足を解消します。また、TCP/UDP プロトコルの・amp;#124;ート番号を利用し、複数のプライベートアドレスを 1つのグローバルアドレスに変換する ENAT(Enhanced-NAT)機能により複数の端末で利用することが可能となります。
通常、ネットワーク管理部門から提供される IP アドレスは固定で少ないため、このアドレスが流出すると外部からの不正アクセス(盗聴・なりすましなど)の原因となります。
NAT/ENAT 機能を使用すると、外部から内部へのアクセスは行えなくなるため、セキュリティ上もこの機能でアドレス変換することが有効です。
5. SSHサーバー/クライアント
※対応製品:8748XL、8724XL、8724SL V2、8724SL
IPネットワーク上で安全なリモートログインを可能にするSecure Shell(SSH)に対応します。本製品をSSHバージョン1(1.5)のサーバー/クライアントとして動作させることができます(IPv4 のみ)。
…あれ、結構おもしろくね??w
しかも、こいつもPPPoEがしゃべれる様子。つまりルーターにできます。
まぁ、今はまずGRを極めよう(というよりは普通に使えるようになろう)と思うのでこいつは深くいじりませんが、暇があれば遊んでみようと思います。
【おまけ】
これが本当のスタックですね!
なんというか色々とひどいことになってきました。そのうち装備品一覧でもまとめよう…。
[ 1 コメント ] ( 4348 回表示 ) | このエントリーのURL |
( 3 / 1939 ) | ツイート<<最初へ <戻る | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 進む> 最後へ>>
自己紹介
、もしくはTwitterまでお願いします。
