ここでは,ファイアウォールを含むネットワーク環境でJP1/AJS2を運用する場合について説明します。
JP1/AJS2では,ファイアウォールを介してJP1/AJS2 - Manager,JP1/AJS2 - Agent,またはJP1/AJS2 - Viewに接続するシステム構成に対応しています。
ファイアウォールを設定した環境でJP1/AJS2を運用する場合の通信設定については,「3.4.5 ファイアウォールを設定した環境の構成例と通信設定」を参照してください。
ファイアウォールを設定したシステム構成例を次の図に示します。
図3-22 ファイアウォールを設定したシステム構成例
次に,ファイアウォールの機能で検討する必要がある内容について説明します。
(1) ファイアウォールの基礎知識
ファイアウォールを含むネットワーク環境でJP1を運用する場合,ファイアウォールの機能のうち,次の二つについて対応を検討する必要があります。
これらを検討し環境を設定するためには,ファイアウォールが通信を制御する方法を理解する必要があります。
まず,ここではパケット・フィルタリングやNATなどについての基礎的な知識について説明します。
(a) パケット・フィルタリング
パケット・フィルタリングは,ファイアウォール経由で実施する通信を,特定の通信だけに制限するための機能です。ファイアウォールを通過する通信パケットを一つずつ確認し,あらかじめ指定した通過条件に一致しない通信パケットを破棄することで,不正な通信がファイアウォールを通過することを防ぎます。これによって,通過条件に指定された通信パケットだけがファイアウォール経由で使用できます。
JP1/AJS2では,パケット・フィルタリングに対応しています。
●パケット・フィルタリングを設定するには
パケット・フィルタリングを設定するには,次の作業が必要です。
●JP1/AJS2の場合の設定例
ここでは,JP1/AJS2 - ViewとJP1/AJS2 - Managerの間にファイアウォールがある環境を例に,パケット・フィルタリングの設定について説明します。
図3-23 JP1/AJS2のパケット・フィルタリングの設定例
表3-6 JP1/AJS2 - ViewとJP1/AJS2 - Managerの間の通信
JP1/AJS2 - View | 方向 | JP1/AJS2 - Manager |
---|---|---|
(ANY) | → | 20244/tcp(jp1ajs2monitor) |
表3-7 フィルタリング条件の例(JP1/AJS2 - ViewとJP1/AJS2 - Managerの場合)
項番 | SourceAddress | DestinationAddress | Protocol | SourcePort | DestinationPort | Control |
---|---|---|---|---|---|---|
1 | 100.100.100.10 | 200.200.200.20 | TCP | (ANY) | 20244 | accept |
2 | 200.200.200.20 | 100.100.100.10 | TCP | 20244 | (ANY) | accept |
3 | (ANY) | (ANY) | (ANY) | (ANY) | (ANY) | reject |
なお,具体的な設定方法はファイアウォールによって異なります。使用しているファイアウォールのマニュアルを参照してください。
(b) NAT(アドレス変換)
NAT(Network Address Transration)は,プライベートなIPアドレスと,グローバルなIPアドレスとを相互に変換する機能です。アドレス変換をすることで,プライベート側のアドレスが外部から隠され,内部のマシンのセキュリティを高めることができます。なお,NATは,ファイアウォールだけではなく,ルーターの機能として提供されている場合もあります。
JP1/BaseおよびJP1/AJS2は,スタティック・モード(あらかじめ決められたルールに従ってアドレスを変換する方法)のNAT(アドレス変換)に対応しています。ここでは,スタティック・モードでのアドレス変換だけを説明します。
また,JP1/BaseおよびJP1/AJS2は通信時のホスト名から,一意のホスト名・IPアドレスが決まらない環境では使用できません。そのため,ダイナミック・モード(そのときに空いている番号を割り当てて,自動的にルールを設定および変更する方法)のNATやポート変換機能を含むNAPT(IP Masquerade, NAT+)には対応していません。
●NATを設定するには
NATを設定するには,次の作業が必要です。
●JP1/AJS2の場合の設定例
ここでは,JP1/AJS2 - ViewとJP1/AJS2 - Managerの間にファイアウォールがある環境を例に,JP1の場合のNATの設定について説明します。
図3-24 JP1/AJS2のNATの設定例
表3-8 アドレス変換ルール例(150.150.150.15を200.200.200.20に変換する場合)
項番 | SourceAddress | DestinationAddress | SourceAddress(Transrated) | DestinationAddress(Transrated) |
---|---|---|---|---|
1 | (ANY) | 200.200.200.20 | (ANY) | 150.150.150.15 |
2 | 150.150.150.15 | (ANY) | 200.200.200.20 | (ANY) |
JP1/AJS2 - Viewがアクセスするのは,実際のJP1/AJS2 - Managerのマシンのアドレス(150.150.150.15)ではなく,アドレス変換したあとのアドレス(200.200.200.20)となります。
このため,JP1/AJS2 - Viewからは,あたかもアドレス(200.200.200.20)のホストJP1/AJS2 - Managerにアクセスしているように見えます。
(c) ファイアウォール環境での運用するJP1の通信設定
ファイアウォールを経由するネットワーク環境でJP1を運用する場合は,JP1の通信方式をIPバインド方式に設定することの検討と,複数LAN接続の設定による影響を考慮してください。
ファイアウォール環境でJP1を運用するには,これまで説明したようにパケット・フィルタリングやNATに,IPアドレスとポート番号による条件を設定する必要があります。このため,JP1が使用するIPアドレスを明確にする必要があり,JP1の使用するIPアドレスがJP1の設定によって決められるIPバインド方式が適しています。
例えば,JP1を実行するサーバが,複数のLANに接続されている構成やクラスタシステム構成では,使用するIPアドレスがOSによって決められるため,ユーザーの意図しないIPアドレスが使われることがあります。この場合は,JP1の通信方式をIPバインド方式に設定し,JP1の環境設定で指定したIPアドレスを使って通信することで対処できます。
(2) JP1/Baseの通信
JP1/Baseの通信については,マニュアル「JP1/Base 運用ガイド」を参照してください。
(3) JP1/AJS2の通信
JP1/AJS2の通信について,ポート番号,IPアドレス,アドレス変換(NAT)の対応を説明します。
(a) ポート番号
●JP1/AJS2のポート番号
JP1/AJS2では次のポート番号を使用します。このほかに,前提製品であるJP1/Baseのポート番号も使用します。
JP1/AJS2のポート番号については,「付録C.1 ポート番号一覧」を参照してくだい。
●主なシステム構成と通信
次に主なシステム構成で使用するポート番号と通信の方向を説明します。
なお,ここでの説明とあわせて,次のマニュアルの記述を参照してください。
図3-25 システム構成例
表3-9 JP1/AJS2 - ViewとJP1/AJS2 - Managerの通信
JP1/AJS2 - View | 方向 | JP1/AJS2 - Manager |
---|---|---|
(ANY) | → | 20244/tcp(jp1ajs2monitor) |
(システム構成例:HOST-VとHOST-M1に対応)
表3-10 JP1/AJS2 - ManagerとJP1/AJS2 - Managerの通信
JP1/AJS2 - Manager | 方向 | JP1/AJS2 - Manager |
---|---|---|
(ANY) | → | 20241/tcp(jp1ajs2qman) 20242/tcp(jp1ajs2qagt) 20243/tcp(jp1ajs2qnfy) 20244/tcp(jp1ajs2monitor) 20245/tcp(jp1ajs2report) 20246/tcp(jp1ajs2eamgr) 20247/tcp(jp1ajs2eaagt) 20300/tcp(jp1ajs2qlagt) 20301/tcp(jp1ajs2qlftp) 23139/tcp(jp1ajs2chkagt) 23160/tcp(jp1ajs2gw) |
20241/tcp(jp1ajs2qman) 20242/tcp(jp1ajs2qagt) 20243/tcp(jp1ajs2qnfy) 20244/tcp(jp1ajs2monitor) 20245/tcp(jp1ajs2report) 20246/tcp(jp1ajs2eamgr) 20247/tcp(jp1ajs2eaagt) 20300/tcp(jp1ajs2qlagt) 20301/tcp(jp1ajs2qlftp) 23139/tcp(jp1ajs2chkagt) 23160/tcp(jp1ajs2gw) | ← | (ANY) |
(システム構成例:HOST-M1とHOST-M2に対応)
JP1/AJS2 - ManagerとJP1/AJS2 - Managerの間の通信です。
表3-11 JP1/AJS2 - ManagerとJP1/AJS2 - Agentの通信
JP1/AJS2 - Manager | 方向 | JP1/AJS2 - Agent |
---|---|---|
(ANY) | → | 20242/tcp(jp1ajs2qagt) 20246/tcp(jp1ajs2eamgr) 20247/tcp(jp1ajs2eaagt) 20300/tcp(jp1ajs2qlagt) 23139/tcp(jp1ajs2chkagt) |
20241/tcp(jp1ajs2qman) 20243/tcp(jp1ajs2qnfy) 20246/tcp(jp1ajs2eamgr) 20247/tcp(jp1ajs2eaagt) 20301/tcp(jp1ajs2qlftp) | ← | (ANY) |
(システム構成例:HOST-M1とHOST-Aに対応)
表3-12 JP1/AJS2 - ManagerとJP1/Base(認証サーバ)の通信
JP1/AJS2 - Manager | 方向 | JP1/Base |
---|---|---|
(ANY) | → | 20240/tcp(jp1bsuser) |
(システム構成例:HOST-M1とHOST-AUTHに対応)
また,その他の構成として他プログラムを使う場合に行われる通信を次の表に示します。
表3-13 JP1/AJS2 - Managerと他プログラム
JP1/AJS2 - Manager | 方向 | 他プログラム |
---|---|---|
(ANY) | → | 20241/tcp(jp1ajs2qman) |
20241/tcp(jp1ajs2qman) 20245/tcp(jp1ajs2report) | ← | (ANY) |
他プログラムとは,JP1/NQSEXEC,JP1/OJE for VOS3,JP1/AJS2の関数を利用したユーザープログラムのことです。
JP1/AJS2 Console機能を使う場合に行われる通信を次の表に示します。
表3-14 JP1/AJS2 Console ViewとJP1/AJS2 Console Managerの通信
JP1/AJS2 Console View | 方向 | JP1/AJS2 Console Manager |
---|---|---|
(ANY) | → | 22275/tcp(jp1ajs2cm) |
表3-15 JP1/AJS2 Console ManagerとJP1/AJS2 Console Agentの通信
JP1/AJS2 Console Manager | 方向 | JP1/AJS2 Console Agent |
---|---|---|
(ANY) | → | 22276/tcp(jp1ajs2ca) |
(b) IPアドレス
JP1/AJS2が使うIPアドレスは,JP1/Baseが使うIPアドレスに準じます。
詳しくはJP1/Baseの説明を参照してください。
なお,バージョン互換のため,イベントジョブの実行で使用する送信側IPアドレスだけJP1/Baseが使う送信側IPアドレスに準ずるか,受信側IPアドレスに準ずるかを選択できます。この設定については,「8.5.7 イベントジョブ実行時に使用する通信の送信バインド方式を設定する」を参照してください。
(c) アドレス変換(NAT)の対応
JP1/AJS2は,スタティック・モードでのアドレス変換(NAT)に対応しています。