解説書 Vol.1
本装置では,IP中継で直接接続するネットワークまたはサブネットワークのブロードキャスト(以降,ダイレクトブロードキャスト)パケットを中継するかどうかを制御できます。コンフィグレーションによる2種類のブロードキャスト中継スイッチの指定によって行います。一つは,パケットの中継で入力側のインタフェースに適用するsubnetbroad_forwardスイッチ(デフォルト:中継しない)と,もう一つは,出力側のインタフェースにダイレクトのサブネットごとに適用するdirectbroad_forwardスイッチ(デフォルト:中継しない)です。
コンフィグレーションで指定しない場合は中継しませんが,中継を指定した場合は,次の図のような端末への攻撃が考えられるため注意が必要となります。
図7-7 サブネットワークへのブロードキャストパケットを使った攻撃例
directbroad_forwardスイッチはアドレスごとに指定できるため,サブネットごとに制御する場合に有効です。通常はこちらを使用することをお勧めします。サブネットワークごとに中継可否を決定する設定例を「図7-8 サブネットワークごとに中継可否を決定する設定例」に示します。また,両スイッチを指定した場合の組み合わせを「表7-6 両スイッチを指定した場合の組み合わせ」に示します。
入力インタフェースで中継可否を決定する設定例を「図7-9 入力インタフェースで中継可否を決定する設定例」に示します。また,両スイッチを指定した場合の組み合わせを「表7-6 両スイッチを指定した場合の組み合わせ」に示します。
両スイッチを同時に使用することもできます。使用した場合にはdirectbroad_forwardスイッチが優先されます。両スイッチ併用設定例を「図7-10 両スイッチ併用設定例」に示します。また,両スイッチを指定した場合の組み合わせを「表7-6 両スイッチを指定した場合の組み合わせ」に示します。
subnetbroad_forwardスイッチ directbroad_forwardスイッチ ON OFF 指定なし ON ○※ ×※ ○ OFF ○※ ×※ × 指定なし ○ × × (凡例) ○:中継する ×:中継しない
注※ 両スイッチを併用している場合の優先度を次に示します。
directbroad_forward指定 > subnetbroad_forward指定
- <この項の構成>
- (1) ネットワークブロードキャスト
- (2) サブネットワークブロードキャスト
- (3) オールサブネットワークブロードキャスト
ネットワークブロードキャストとは,サブネットワーク化されていないネットワークに対するブロードキャストです。例えば,100.1.0.0/16のネットワークに対して,100.1.255.255を宛先とするネットワークブロードキャストのIPパケットが送信された場合,本装置が100.1.0.0/16のネットワークと直接接続しているときはコンフィグレーションのブロードキャスト中継スイッチの設定に従い,ネットワークブロードキャストのIPパケットを自装置配下へ中継するかどうかを判断します。ネットワークブロードキャストを次の図に示します。
図7-11 ネットワークブロードキャスト
サブネットワークブロードキャストとは,サブネットワーク化されたネットワークに対するブロードキャストです。
例えば,100.1.0.0/16のネットワークをサブネットワーク化して,100.1.1.0/24,100.1.2.0/24の二つのサブネットワークに分割して使用している場合に,100.1.1.255を宛先とするサブネットワークブロードキャスト(サブネットワーク 100.1.1.0/24へのブロードキャスト)のIPパケットが送信された場合,本装置が100.1.1.0/24のサブネットワークと直接接続しているときはコンフィグレーションのブロードキャスト中継スイッチの設定に従い,サブネットワークブロードキャストのIPパケットを自装置配下へ中継するかどうかを判断します。サブネットワークブロードキャストを次の図に示します。
図7-12 サブネットワークブロードキャスト
オールサブネットワークブロードキャストとは,サブネットワーク化されたすべてのネットワークに対するブロードキャストです。
例えば,100.1.0.0/16のネットワークをサブネットワーク化して,100.1.1.0/24と100.1.2.0/24の二つのサブネットワークに分割して使用している場合に,100.1.255.255を宛先とするオールサブネットワークブロードキャストのIPパケットが送信された場合,100.1.1.0/24と100.1.2.0/24のサブネットワークを直接接続する本装置までは該当パケットが届きますが,本装置配下の100.1.1.0/24と100.1.2.0/24のサブネットワークへは中継しないで本装置で該当パケットを廃棄します。オールサブネットワークブロードキャストを次の図に示します。
図7-13 オールサブネットワークブロードキャスト
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.