ローカル ネットワークの設定

［デバイス］>［ローカル ネットワーク］ページでは、ローカル ネットワーク接続、スイッチ、ブリッジ、ワイヤレス ネットワーク（ワイヤレス ネットワーク モデルのみ）を設定、有効化できます。

ブリッジは、複数のローカル エリア ネットワーク（LAN）を接続します。スイッチはブリッジに似ていますが、複数のポート ペア間で同時にデータ伝送を実行できます。

［ネットワーク］表には、使用可能なすべてのネットワーク接続が表示されます。

このページでは、以下の操作を行うこともできます。

• 使用可能なローカルLANインタフェースとワイヤレス ネットワーク間に複数のスイッチ（ポート ベースのVLAN）を設定する。スイッチのLANポート間でトラフィックのモニタリングや検査を行うことはできません。

• インタフェース間に複数のブリッジを設定する。ブリッジのトラフィックは、アプライアンスによって常にモニタリングおよび検査されます。

• 任意のLANインタフェースまたはDMZにタグベースのVLAN（802.1q）を作成、設定する。

  注 - DMZは1530/1550アプライアンスではサポートされていません。

• エイリアスIPを作成します。エイリアスIPを使用すると、複数のIPアドレスをネットワーク インタフェースに関連付けることができます。単一のネットワーク デバイスはネットワークへの接続を複数持つことができます。

• VPNトンネル（VTI）を作成、設定する。VPNトンネルを使用すると、トンネルにルーティングして暗号化するトラフィックを決定するルーティング ルールを作成できます（ルート ベースのVPN）。

• 複数のインタフェース間にボンディング（リンク アグリゲーション）を作成します。これにより、ネットワークのスループットと帯域幅が増加するため、パフォーマンスと冗長性が向上します。

• 新しいワイヤレス ネットワーク（バーチャル アクセス ポイント）を追加する（ワイヤレス ネットワーク モデルのみ）。この操作は、［デバイス］>［ワイヤレス］ページで行うこともできます。

  2つのラジオ送信機があります。（2.4 GHzと5 GHz）それぞれのネットワークは、指定された送信機に従って別々に設定されます。

未割り当てのLANポートを使用してインターネット接続を作成することもできます。表では、これらのポートはインターネットに割り当てのステータスを持ちます。

上記のいずれかのオプションを作成するには

［新規］をクリックして、該当するオプションを選択します。

上記のいずれかのオプションを編集、削除、有効化/無効化するには

該当の行を選択し、［編集］、［削除］、［有効］、［無効］のいずれかをクリックします。

注 -

• 物理インタフェースは削除できません。

• スイッチまたはブリッジの一部であるインタフェースを編集すると、そのインタフェースはスイッチまたはブリッジから削除されます。

• インターネット接続の一部であるLANインタフェースやDMZインタフェースもこのページに表示されますが、設定は［デバイス］>［インターネット］ページで行う必要があります。

このページの表には、ネットワークごとに以下の情報が表示されます。

• ［名前］ - ネットワーク名、使用するインタフェース（複数ある場合）、説明（オプション）です。

• ［ローカルIPアドレス］

• ［サブネット マスク］

• ［MACアドレス］

• ［ステータス］ - 物理インタフェースとワイヤレス ネットワークのステータスが表示されます。

  • ［物理インタフェース］ - 有効な各物理インタフェースのケーブル接続の状態が表示されます。有効にされていない物理インタフェースについては無効と表示されます。

  • ［ワイヤレス ネットワーク］ - ワイヤレス ネットワークが有効かどうかが表示されます。

特定のMACの予約済みIPアドレス

既知のホストにのみIPアドレスが割り当てられるようにネットワークを構成できます。既知のホストはすでにネットワーク オブジェクトとして定義されており、特定のMACアドレスがIPに割り当てられています。他のホストのDHCP要求は無視されます。

構成するには

1. 特定のLAN名を選択して［編集］をクリックするか、LAN名をダブルクリックします。

   ［LANの編集］ウィンドウが開きます。

2. ［設定］タブで、［DHCPv4 サーバ］にある［有効］をクリックします。

3. ［DHCPv4 設定］タブでDHCP ドメイン名を入力し、［既知のホストのみにIPアドレスを割り当てる］チェックボックスをオンにします。

4. Applyをクリックします。

スイッチ

スイッチを作成または編集するには

注 - スイッチのLANポート間でトラフィックのモニタリングや検査を行うことはできません。MACアドレス フィルタリングは無効になります。

タブのフィールドを設定します。

［設定］タブ

1. ［スイッチの設定］で、スイッチの一部とするインタフェースのチェックをオン/オフに設定します。表には、すでにスイッチの一部となっているインタフェース（チェックマーク付き）と、まだ割り当てられておらずスイッチに追加可能なインタフェース（チェックマークなし）が表示されます。すでに別のスイッチの一部となっているLAN8は、この表には表示されません。

2. ［割り当て先］からオプションを選択します。

   • ［未割り当て］ - スイッチはいずれのネットワークの一部にもならず、使用することはできません。

   • ［別のネットワーク］ - 別のネットワークを選択した場合、スイッチの設定を行います。

   • ［モニタ モード］ - 以下を参照してください。

3. スイッチが使用するIPアドレスとサブネット マスクを選択します。

4. ［ホットスポットを使用］ - このインタフェースからのアクセスを許可する前に、ユーザをホットスポット ポータルにリダイレクトするには、このチェックボックスをオンにします。ホットスポットの設定は、［デバイス］>［ホットスポット］ページで行います。

5. ［DHCPサーバ］で以下の設定を行います。

   いずれかのオプションを選択します。

   • ［有効］ - IPアドレス範囲を入力し、必要な場合はIPアドレスの除外範囲を入力します。アプライアンス自体のIPアドレスは自動的にこの範囲から除外されます。［ユーザ&オブジェクト］>［ネットワーク オブジェクト］ページでネットワーク オブジェクトを定義して、特定のIPアドレスを除外または予約することも可能です。特定のIPアドレスを予約するには、デバイスのMACアドレスが必要です。

   • ［リレー］ - DHCPサーバIPアドレスを入力します。

   • ［無効］

モニタ モード

セキュリティ ゲートウェイでは、スイッチのミラーポートまたはスキャンポートからトラフィックを監視することができます。

モニタ モードでは、アプライアンスにより自動学習またはユーザ定義ネットワークを使用して内部へのトラフィックと外部へのトラフィックを識別して、ポリシーを実施します。

自動学習 - アプライアンスでは、インターネットへのリクエスト（特に、Googleへのリクエスト）からデフォルト ゲートウェイのネットワークを特定することによって外部のネットワークを自動的に識別します。残りのネットワークは内部ネットワークであると見なされます。

ユーザ定義ネットワーク - 内部ネットワークを手動で定義できます。ネットワークが内部ネットワークとして定義されていない場合、それは外部のネットワークであると見なされます。

自動学習とユーザ定義ネットワークの両方において、

• 内部ホストへのトラフィックは、着信トラフィック、内部のトラフィック、VPNトラフィックのルール ベースによって検査されます。

• 外部のホストへのトラフィックは、発信トラフィックのルール ベースによって検査されます。

• 脅威対策のデフォルト設定は、外部ホストから内部ホストへの疑わしいトラフィックを検査するために最適化されます。

WebUIで監視モードを設定するには

1. ［デバイス］>［ローカル ネットワーク］に移動します。

2. インタフェースを選択してダブルクリックします。

   ［設定］タブに［編集］ウィンドウが表示されます。

3. ［割り当て先］ドロップダウン メニューから、［モニタ モード］を選択します。

   ［内部ネットワークを手動で定義］チェックボックスが表示されます。

4. 自動学習を使用するには、［内部ネットワークを手動で定義］を選択しないで［適用］をクリックします。

5. ユーザ定義のネットワークを使用するには、［内部ネットワークを手動で定義］を選択します。

   ネットワーク定義の機能と表が表示されます。

6. ［新規］をクリックします。

7. ネットワークのIPアドレスを入力します。

8. サブネット マスクを入力します。ホストが1台の場合、内部ネットワークのサブネット マスクは255.255.255.255になります。たとえば、ルータの後のトラフィックを監視するには、デフォルト ゲートウェイのIPアドレスとサブネット マスク255.255.255.255を入力します。

9. ［適用］をクリックします。

   モニタ モードを付与するように定義した内部ネットワークがインタフェース一覧に表示されます。

注 - 複数のローカル ネットワークが同時にモニタ モードになるように設定できます。

監視モードの設定後、

1. ［デバイス］>［詳細設定］へ移動します。

2. ［アンチスプーフィング］をオフにします。

CLIで監視モードを設定するには

1. モニタ モードのポートを定義するには

   > set interface <portName> monitor-mode

2. モニタ モードの自動学習を設定するために、ユーザ定義のネットワークを無効にするには

   > set monitor-mode-configuration use-defined-networks false

3. ユーザ定義のネットワークを含むモニタ モードを設定するには

   > add monitor-mode-network ipv4-address <IP> subnet-mask <mask>

   > set monitor-mode-configuration use-defined-networks true

4. ユーザ定義の内部ネットワークを確認するには

   > show monitor-mode-network

5. アンチスプーフィングを無効にするには

   > set antispoofing advanced-settings global-activation false

モニタ モードのオプションがない場合：

1. 次のCLIコマンドを実行します。

   set monitor-mode-configuration allow-monitor-mode true

2. インタフェースを選択して［編集］をクリックします。

   モニタ モードがオプション一覧に追加されます。

監視モードの詳細については、「sk112572」を参照してください。

［設定］タブ

• ［割り当て先］ - 以下の必須オプションを選択します。

  • ［未割り当て］ - 物理インタフェースはいずれのネットワークの一部にもならず、使用することはできません。

  • 設定済みのいずれかのスイッチまたはブリッジ。

  • ［別のネットワーク］ - このオプションを選択する場合は、以下の情報を設定します。

    • IPアドレス

    • サブネット マスク

    • DHCPサーバ設定

      いずれかのオプションを選択します。

      ［有効］ - IPアドレス範囲を入力し、必要な場合はIPアドレスの除外範囲を入力します。アプライアンス自体のIPアドレスは自動的にこの範囲から除外されます。［ユーザ&オブジェクト］>［ネットワーク オブジェクト］ページでネットワーク オブジェクトを定義して、特定のIPアドレスを除外または予約することも可能です。特定のIPアドレスを予約するには、デバイスのMACアドレスが必要です。

      ［リレー］ - DHCPサーバIPアドレスを入力します。

      ［無効］

注 - スイッチを作成すると、スイッチを削除しない限り、スイッチの1つ目のインタフェースを削除できません。

• ［説明］ - 説明を入力します（オプション）。説明は、名前の横のローカル ネットワークのテーブルに表示されます。

• ［MTUサイズ］ - インタフェースのMaximum Transmission Unitサイズを設定します。Check Pointアプライアンスでは、この値はすべての物理LANポートおよびDMZポートで共通となります。

• ［自動ネゴシエーションを無効にする］ - インタフェースのリンク速度を手動で設定する場合は、このオプションを選択します。

• ［デフォルトMACアドレスを上書き］ - このオプションは、VLAN以外のローカル ネットワークおよびワイヤレス ネットワークに使用します。以下の状況において、このオプションを使ってネットワークのインタフェースのデフォルトMACアドレスを上書きします。

  • デバイスに同じ外部スイッチに接続されている2つの別のローカル ネットワークがある場合。

  • ISPが接続を受け入れるゲートウェイMACアドレスを探している場合。新しいゲートウェイをアップグレードすると、新しいゲートウェイに異なるMACアドレスがあるため、ISPでブロックされる場合があります。この場合、ゲートウェイMACアドレスを古いもので上書きすることができます。

  ベスト プラクティス - これはまれな設定です。間違いなく必要な場合を除いて、このオプションを選択しないでください。

• ［DNSプロキシから除外］ - ネットワークが内部ドメインに影響を与えないようにするには、このチェックボックスをオンにします。ゲストVAP（ゲスト ワイヤレス ネットワーク）では、デフォルトでオンになります。

［アクセス ポリシー］タブ（DMZインタフェースのみ）

以下のオプションを使用して自動ルールを作成できます。自動ルールは、［アクセス ポリシー］>［ファイアウォール ポリシー］ページに表示されます。

• このネットワークからローカル ネットワークへのアクセスを許可

• このネットワークからローカル ネットワークへのトラフィックをログ記録

VLAN

タグ ベースのVLANを作成または編集するには:

VLANを新規作成するには、既存ネットワーク（スイッチまたはブリッジ）の一部でない物理インタフェースが1つ以上必要です。

注 - 各アプライアンスに対して設定できるVLANの最大数の詳細については、sk113247を参照してください。

タブのフィールドを設定します。

［設定］タブ

• ［VLAN ID］ - バーチャル識別子である数字を入力します。

• ［割り当て先］ - 仮想ネットワークを新規作成する物理インタフェースを選択します。

• IPアドレス

• サブネット マスク

• ［ホットスポットを使用］ - このインタフェースからのアクセスを許可する前に、ユーザをホットスポット ポータルにリダイレクトするには、このチェックボックスをオンにします。ホットスポットの設定は、［デバイス］>［ホットスポット］ページで行います。

• DHCPサーバ設定

  いずれかのオプションを選択します。

  • ［有効］ - IPアドレス範囲を入力し、必要な場合はIPアドレスの除外範囲を入力します。アプライアンス自体のIPアドレスは自動的にこの範囲から除外されます。［ユーザ&オブジェクト］>［ネットワーク オブジェクト］ページでネットワーク オブジェクトを定義して、特定のIPアドレスを除外または予約することも可能です。特定のIPアドレスを予約するには、デバイスのMACアドレスが必要です。

  • ［リレー］ - DHCPサーバIPアドレスを入力します。

  • ［無効］

エイリアスIP

エイリアスIPを使用すると、複数のIPアドレスをネットワーク インタフェースに関連付けることができます。

• 単一のネットワーク デバイスはネットワークへの接続を複数持つことができます。

• 特定のポートを複数のネットワークで使用します。

異なるIPが表示されていても、すべてのデバイスが同じネットワーク上にあります。たとえば、LAN4とLAN4:1のIPアドレスは異なりますが、同じネットワーク上にあります。LAN4:1はエイリアスです。

VLANとスイッチ用にエイリアスIPを設けることもできます。

WANのエイリアスIPを設定するには、［インターネット接続］ページに移動します。

1つのLAN接続に合計64個のエイリアスを設定できます。

エイリアスIPはブリッジ インタフェースではサポートされていません。エイリアスIPは、個別のネットワークLANまたはスイッチにのみ割り当てることができます。LANを削除するか、または無効にすると、割り当てられているエイリアスIPもすべて削除されます。

エイリアスIPを編集する際、ポートまたはIDを変更することはできません。

WANでエイリアスIPを作成するには、同じWANインタフェースで追加のインターネット接続を作成する必要があります。インターネット接続の設定を参照してください。

VPNトンネルとそのプロパティは、2台のゲートウェイが含まれるVPNコミュニティで定義します。VTIを作成するには、VPNコミュニティとそのメンバとなるセキュリティ ゲートウェイを事前に定義しておく必要があります。

タブのフィールドを設定します。

バーチャル アクセス ポイント（VAP）

バーチャル アクセス ポイント（VAP）を作成または編集するには

［デバイス］>［ワイヤレス ネットワーク］のヘルプ ページを参照してください。

［DHCP/SLAAC設定］タブ

このタブで設定されるDHCPオプションの値は、DHCPサーバからDHCPクライアントへ配布されます。