付録F.2 JP1/Cm2/IGSの各機能についての注意事項

<この項の構成>
(1) SNMPメッセージのNAT変換をする場合の注意事項
(2) SNMPプロキシを使用したネットワーク管理の注意事項
(3) プロキシ通信機能を適用する場合の注意事項
(4) NAT変換機能を適用する場合の注意事項
(5) 利用時接続で運用する場合の注意事項
(6) リモート環境設定時に通信障害が発生した場合の対処と回復方法
(7) シングルサーバモードで運用する場合の注意事項

(1) SNMPメッセージのNAT変換をする場合の注意事項

(a) NAT変換でのIPアドレスの順序関係の確保

SNMPメッセージにNAT変換を適用する場合,IPアドレスの順序関係が変換前と変換後で変わらないように定義してください。

IPアドレスをインスタンス識別子として持つテーブル型のMIBを,SNMPのGETNEXT要求で取得する場合,IPアドレスの順序関係が保たれていないと,MIBが正しく取得できません。

順序関係が変換前と変換後で保たれていない例と,順序関係が変換前と変換後で保たれている例を次に示します。

IPアドレスの順序関係を確保するという意味では,1対1の変換はできるだけ適用しないで,ワイルドカードによる変換を適用することをお勧めします。

(b) Hierarchical Viewerと連携する場合の注意事項

Hierarchical ViewerのリモートSNMP設定で参照・設定するSNMP設定情報に含まれるIPアドレスについては,NAT変換機能は適用されません。リモートSNMP設定で参照・設定するSNMP設定情報については,実アドレスで参照・設定するようにしてください。

(2) SNMPプロキシを使用したネットワーク管理の注意事項

(a) SNMPトラップの同時多発

JP1/Cm2/IGSのSNMPプロキシを介してSNMPトラップの送受信をする場合,被管理側ネットワークのSNMPエージェントの数が多いと,それらから同時に多量のSNMPトラップが発行され,一時的に,極端に多量のSNMPトラップがJP1/Cm2/IGS間で送受信される場合があります。この場合,JP1/Cm2/IGS単独ではすべてのトラップを処理できないため,一部のSNMPトラップが破棄されるおそれがあります。

この現象が運用上問題となる場合は,被管理側をJP1/Cm2/IGS単独で使用する運用にはしないで,階層エージェントと組み合わせて使用するようにしてください。JP1/Cm2/IGS単独の場合と比較して,より多量のトラップを安全に処理できます。

(b) JP1/Cm2/IGSを単独で使用する場合

JP1/Cm2/IGSを単独で使用する場合,被管理側のJP1/Cm2/IGSは,UDPポート162をバインドする次のような製品とは,共存できません。

(c) 共存設定を変更する場合

JP1/Cm2/IGSを単独で使用していたノードに,NNMiをインストールして,共存して使用するように運用を変更する場合は,あらかじめJP1/Cm2/IGSのオプション定義ファイル(igsopt.conf)の「cooperation」を「on」に変更してから,インストールしてください。

「cooperation」が「off」や「agent」のままでインストールすると,正しくインストールできない場合があります。

(d) SSOと連携する場合

JP1/Cm2/IGSのSNMPプロキシ通信機能を使用して,SSOと連携する場合の注意事項を次に示します。

管理側JP1/Cm2/IGSを一つ導入し,被管理側ネットワークにJP1/Cm2/IGSを二つ導入したシステム構成はお勧めしません。

図F-3 お勧めしないシステム構成

[図データ]

JP1/Cm2/IGSでは,APコネクション情報は,一つのIGSコネクションに対応付けられます。図F-3のシステム構成では,APMへのAPコネクション情報(SNMP要求/応答)はIGS-1aとIGS-1b間のIGSコネクションを使用すると仮定します。

この場合,SSO-2からAPMへのSNMP要求/応答はIGS-1aとIGS-1b間のIGSコネクションを使用し,APMからSSO-2へのSNMPトラップはとIGS-2bとIGS-1a間のIGSコネクションを使用します。図F-3のシステム構成でも,複数のSSOから同時にプロセス監視できますが,SSO-2とAPM間の通信が,異なるIGSサーバ間を介することになります。そのため,構成が複雑になり,運用・保守面で好ましくありません。正しいシステム構成での導入をご検討ください。

(3) プロキシ通信機能を適用する場合の注意事項

(4) NAT変換機能を適用する場合の注意事項

(a) NAT変換に使用するグローバルアドレスについて

JP1/Cm2/IGSのNAT変換機能に定義したNAT変換は,JP1/Cm2/IGSのカプセル化通信にだけ適用されます。アプリケーション間の通信のIPヘッダやTCPヘッダ,データ部は,IGSコネクション上ではカプセル化されるため,ユーザデータとして扱われます。したがって,送信元ネットワークと送信先ネットワークのJP1/Cm2/IGS間にあるネットワークでは,IPアドレスとして扱われないため,NAT変換機能で定義するグローバルアドレスには,実際のグローバルアドレスだけではなく,仮想的なアドレスも使用できます。また,送信元ネットワークと送信先ネットワークで,プライベートアドレスの競合が発生しないような場合には,プライベートアドレスをそのまま使用することもできます。

次に送信元のグローバルアドレスおよび送信先のグローバルアドレスの有効範囲を示します。

送信元のグローバルアドレス
送信元のグローバルアドレスは,送信先ネットワークから見た送信元のIPアドレスであって,JP1/Cm2/IGS間および送信先ネットワークで有効です。送信元のグローバルアドレスの有効範囲は,次の図の網掛け部分になります。

図F-4 送信元のグローバルアドレスの有効範囲

[図データ]
  • 送信元ネットワークでは,送信元IPアドレスはプライベートアドレスで通信されます。
  • 送信元ネットワークのJP1/Cm2/IGSでは,送信元IPアドレスがプライベートアドレスからグローバルアドレスに変換されます。
  • IGSコネクション上および送信先ネットワークのJP1/Cm2/IGSでは,送信元IPアドレスはグローバルアドレスとしてカプセル化されています。
  • 外部ネットワーク上は,送信元IPアドレスはカプセル化されているため,IPアドレスとして認識されません。
  • 送信先ネットワークでは,送信元IPアドレスはグローバルアドレスで通信されます。
送信先のグローバルアドレス
送信先のグローバルアドレスは,送信元ネットワークから見た送信先のIPアドレスであって,JP1/Cm2/IGS間および送信元ネットワークで有効です。送信先のグローバルアドレスの有効範囲は,次の図の網掛け部分になります。

図F-5 送信先のグローバルアドレスの有効範囲

[図データ]
  • 送信元ネットワークでは,送信先IPアドレスはグローバルアドレスで通信されます。
  • 送信元ネットワークのJP1/Cm2/IGSおよびIGSコネクション上では,送信先IPアドレスはグローバルアドレスとしてカプセル化されています。
  • 外部ネットワーク上は,送信先IPアドレスはカプセル化されているため,IPアドレスとして認識されません。
  • 送信先ネットワークのJP1/Cm2/IGSでは,送信先IPアドレスがグローバルアドレスからプライベートアドレスに変換されます。
  • 送信先ネットワークでは,送信先IPアドレスは,プライベートアドレスで通信されます。
グローバルアドレスとして仮想的なアドレスを使用することによって,グローバルアドレスが割り当てられていないマシンや,グローバルアドレスが静的に割り当てられていないマシンについても,カプセル化通信を適用できます。ただし,JP1/Cm2/IGSでカプセル化の設定がされていない通信に関しては,仮想的なアドレスに対する通信データが,外部ネットワークへ送信されてしまいます。カプセル化の設定がされていない通信が発生しないように運用するか,ファイアウォールなどのネットワーク環境の設定で,それらの通信が外部ネットワークに流出しないようにしてください。
また,仮想的なアドレスの多くは,ほかの組織へ割り当てられたグローバルアドレスであることも注意してください。誤って送信したパケットが不正アクセスとみなされることもあります。したがって,仮想的なアドレスには,プライベートアドレスとして使用するように規定されているアドレスのうち,送信元のネットワークや送信先のネットワークで実際に使用されていないアドレスを使用することをお勧めします。

(b) NAPTや動的NATへの対応

JP1/Cm2/IGSサーバ間にNATがあり,NAPTや動的NATを使用している場合は,グローバル側からのJP1/Cm2/IGSを介した通信はできません。これは,グローバル側JP1/Cm2/IGSからローカル側JP1/Cm2/IGS(接続先JP1/Cm2/IGS)を一意に識別できないため,IGSコネクションを確立できないからです。JP1/Cm2/IGSが動作するノードについては,静的にグローバルアドレスを割り当て,お互いのJP1/Cm2/IGSが一意に識別できるようにして運用してください。

(5) 利用時接続で運用する場合の注意事項

JP1/Cm2/IGS間の接続方式を「利用時接続」に設定して運用する場合は,着呼側のJP1/Cm2/IGSからも,発呼することがあるため,双方向の通信となるように,着呼側でもIGSコネクションおよびAPコネクションの定義が必要です。

次のような場合に,着呼側から発呼します。

[IGS環境設定-通信情報]画面で設定した「切断契機の無通信時間」を経過するとJP1/Cm2/IGS間のコネクションは切断され,JP1/Cm2/IGS間は未接続の状態になります。このとき,JP1/Cm2/IGSをゲートウェイサーバとして運用している場合は,JP1/Cm2/IGS間はトンネリングしているため,AP間のコネクションは切断されていません。また,JP1/Cm2/IGSをプロキシゲートウェイとして運用している場合は,発呼側アプリケーションと発呼側JP1/Cm2/IGS間,および着呼側アプリケーションと着呼側JP1/Cm2/IGS間の接続は切断されません。

この状態で,着呼側アプリケーションからデータが送信されると,データを受信した着呼側JP1/Cm2/IGSは,発呼側JP1/Cm2/IGSへカプセル化通信をしようとしますが,IGSコネクションが未接続状態のため,着呼側JP1/Cm2/IGSから発呼側JP1/Cm2/IGSに対してコネクションを確立する必要があります。着呼側JP1/Cm2/IGSに定義がない場合,カプセル化に失敗するため受信データは破棄されます。

(6) リモート環境設定時に通信障害が発生した場合の対処と回復方法

(a) 対処方法

(b) 回復方法

環境設定GUIは,設定終了時に通信障害を検出した場合,その時点までの設定内容を,環境設定を起動しているマシンの次のディレクトリに保存します。

Internet Gateway Serverのインストールディレクトリ¥JP1Cm2IGS¥conf¥backup.XXXX

(XXXX:リモートIGSアドレス)

以下の手順によって,リモート環境設定を通信障害検出前の状態に回復させることができます。

  1. 再度,環境設定でリモート環境設定を選択し,リモート環境設定の対象JP1/Cm2/IGSに接続する。
  2. 環境設定で[ファイル操作]ボタンから,以下の保存した構成定義ファイルを読み込む。
    Internet Gateway Serverのインストールディレクトリ¥JP1Cm2IGS¥conf¥backup.XXXX
    (XXXX:リモートIGSアドレス)
  3. 環境設定終了時に,[IGSサービスに構成変更を通知]ボタンまたは[設定ファイルだけ変更]ボタンをクリックし,読み込んだファイルを反映する。

(7) シングルサーバモードで運用する場合の注意事項

(a) 管理側および被管理側の両方がプライベートネットワークにある場合について

管理側および被管理側の両方がプライベートネットワークにある場合は,ポート統合モードで運用してください。

JP1/Cm2/IGSはSNMPメッセージ内のIPアドレスを抽出して変換しますが,抽出したIPアドレスが管理側のIPアドレスなのか被管理側のIPアドレスなのかは認識できないため,JP1/Cm2/IGSに定義されたNAT変換テーブルに従って変換します。

管理側と被管理側のアドレス体系が同じ場合,その変換定義をJP1/Cm2/IGSに設定してもJP1/Cm2/IGSは管理側,被管理側のどちらのアドレスに変換する必要があるかどうかが判断できません。

また,ネットワーク初期構築時にはアドレス体系が重複していなくても,その後のネットワークの拡張や移行などでアドレス体系が重複する恐れがあります。そのため,管理側および被管理側の両方がプライベートネットワークにある場合は,JP1/Cm2/IGSのシングルサーバモードは使用しないでください。

管理側および被管理側の両方がプライベートネットワークにある場合の例を次の図に示します。

図F-6 管理側および被管理側の両方がプライベートネットワークにある場合

[図データ]

NNMiまたはNNMはエージェントのプロキシとして設定されているJP1/Cm2/IGSにSNMP要求を送信します。

SNMP要求を受信したJP1/Cm2/IGSは,SNMPメッセージ内に含まれるIPアドレス(10.1.1.1)をNAT変換しようとしますが,JP1/Cm2/IGSのNAT定義でプライベートアドレス10.1.1.1に対応するグローバルアドレスは二つあり,どちらに変換すればよいかが判断できません。

(b) NNMiまたはNNMとの共存について

SNMPトラップのNAT変換を行う場合,シングルサーバモードのJP1/Cm2/IGSはUDPポート162を使用するため,UDPポート162を使用するNNMiまたはNNMと同一マシンで動作させることはできません。

(c) トラップ送信元付加の設定について

被管理側ネットワークにプライベートIPアドレスが割り当てられている環境(SNMPトラップのIPヘッダの送信元IPアドレスがルータなどでNAT変換されて管理側JP1/Cm2/IGSに通知される環境)では,グローバルアドレスに対応するホスト名をJP1/Cm2/IGSマシンおよびNNMマシンに定義し,トラップの送信元を「IPアドレスで付加する」ではなく「ホスト名で付加する」にチェックしてください。トラップ送信元をホスト名で付加した場合の例を次の図に示します。なお,図中の番号と説明の番号は対応しています。

図F-7 トラップ送信元をホスト名で付けた場合

[図データ]

SNMPv1の場合
  1. エージェントからSNMPv1トラップ発行します。
    IPヘッダの送信元IPアドレス:10.1.1.1
    データ部(agent-addrのIPアドレス):10.1.1.1
  2. ルータでIPヘッダがNAT変換されます。
    IPヘッダの送信元IPアドレス:100.1.1.1
    データ部(agent-addrのIPアドレス):10.1.1.1
  3. JP1/Cm2/IGSが2.のデータ部のIPアドレスを抽出し,対応するホスト名をトラップの送信元として付加します。エージェントのプライベートアドレスに対応するホスト名はないので,抽出したIPアドレスのまま付加します。
    IPヘッダの送信元IPアドレス:100.1.1.1
    データ部(agent-addrのIPアドレス):10.1.1.1
    トラップの送信元:10.1.1.1
  4. JP1/Cm2/IGSがデータ部(トラップの送信元を含む)をNAT変換します。トラップの送信元は,IPアドレス100.1.1.1でNNMiまたはNNMに通知され,NNMiまたはNNMでホスト名agnet1に変換されます。
    IPヘッダの送信元IPアドレス:100.1.1.1
    データ部(agent-addrのIPアドレス):100.1.1.1
    トラップの送信元:100.1.1.1
SNMPv2Cの場合
  1. エージェントからSNMPv2Cトラップ発行します。
    IPヘッダの送信元IPアドレス:10.1.1.1
  2. ルータでIPヘッダがNAT変換されます。
    IPヘッダの送信元IPアドレス:100.1.1.1
  3. JP1/Cm2/IGSが2.のIPヘッダ部のIPアドレスを抽出し,対応するホスト名をトラップの送信元として付加します。
    IPヘッダの送信元IPアドレス:100.1.1.1
    トラップの送信元:agent1
  4. JP1/Cm2/IGSがデータ部(トラップの送信元を含む)をNAT変換します。トラップの送信元はホスト名なので変換されません。
    IPヘッダの送信元IPアドレス:100.1.1.1
    トラップの送信元:agnet1

上記環境で,トラップの送信元を「IPアドレスで付加する」にした場合の問題点について説明します。

トラップの送信元IPアドレスの取得は,JP1/Cm2/IGSの動作モードに関係なく,SNMPv1の場合はagent-addrフィールドから取得し,SNMPv2Cの場合はIPヘッダの送信元から取得しています。

SNMPトラップのIPヘッダの送信元IPアドレスがルータなどでNAT変換されてシングルサーバモードのJP1/Cm2/IGS(管理側JP1/Cm2/IGS)に通知される環境では,SNMPv1の場合はプライベートIPアドレスが取得でき,SNMPv2Cの場合はグローバルIPアドレスが取得できます。しかし,JP1/Cm2/IGSではSNMPトラップのIPヘッダの送信元IPアドレスがNAT変換されて通知されたかどうかは認識できないため,取得した送信元IPアドレスがグローバルIPアドレスかプライベートIPアドレスかは判断できません。

JP1/Cm2/IGSのNAT変換機能は,設定されたNAT変換定義に従って変換を行いますが,トラップの送信元として取得したIPアドレスがグローバルIPアドレスかプライベートIPアドレスかは判断できないため,プライベートIPアドレスからグローバルIPアドレスへの変換ができない場合は,グローバルIPアドレスからプライベートIPアドレスへ変換します。そのため,「IPアドレスで付加する」にチェックしている場合,SNMPv2Cのトラップの送信元は,グローバルIPアドレスからプライベートIPアドレスへ変換され,NNMiまたはNNMにプライベートIPアドレスで通知されてしまいます。トラップ送信元をIPアドレスで付加した場合の例を次の図に示します。なお,図中の番号と説明の番号は対応しています。

図F-8 トラップ送信元をIPアドレスで付けた場合

[図データ]

SNMPv1の場合
  1. エージェントからSNMPv1トラップ発行します。
    IPヘッダの送信元IPアドレス:10.1.1.1
    データ部(agent-addrのIPアドレス):10.1.1.1
  2. ルータでIPヘッダがNAT変換されます。
    IPヘッダの送信元IPアドレス:100.1.1.1
    データ部(agent-addrのIPアドレス):10.1.1.1
  3. JP1/Cm2/IGSが2.のデータ部のIPアドレスを抽出し,トラップの送信元として付けます。
    IPヘッダの送信元IPアドレス:100.1.1.1
    データ部(agent-addrのIPアドレス):10.1.1.1
    トラップの送信元:10.1.1.1
  4. JP1/Cm2/IGSがデータ部(トラップの送信元を含む)をNAT変換します。
    IPヘッダの送信元IPアドレス:100.1.1.1
    データ部(agent-addrのIPアドレス):100.1.1.1
    トラップの送信元:100.1.1.1
SNMPv2Cの場合
  1. エージェントからSNMPv2Cトラップ発行します。
    IPヘッダの送信元IPアドレス:10.1.1.1
  2. ルータでIPヘッダがNAT変換されます。
    IPヘッダの送信元IPアドレス:100.1.1.1
  3. JP1/Cm2/IGSが2.のIPヘッダ部のIPアドレスを抽出し,トラップの送信元として付加します。
    IPヘッダの送信元IPアドレス:100.1.1.1
    トラップの送信元:100.1.1.1
  4. JP1/Cm2/IGSがデータ部(トラップの送信元を含む)をNAT変換します。
    IPヘッダの送信元IPアドレス:100.1.1.1
    トラップの送信元:10.1.1.1
    注※ JP1/Cm2/IGSは抽出したIPアドレスがグローバルアドレスかどうかを認識できないため,JP1/Cm2/IGSの変換定義に従ってNAT変換します。

なお,SNMPトラップのIPヘッダの送信元IPアドレスがルータなどでNAT変換されないで管理側JP1/Cm2/IGSに通知される環境(被管理側ネットワークにグローバルIPアドレスが割り当てられている環境)では,「IPアドレスで付加する」と「ホスト名で付加する」のどちらでも指定できます。