第26章ＩＰヘルパーの使用

ネットワーク＞ＩＰヘルパー

ＵＤＰ（ＵｓｅｒＤａｔａｇｒａｍＰｒｏｔｏｃｏｌ）の多くは、それぞれのサーバを探し出すためにブロードキャスト／マルチキャストを使用します。この際、通常はサーバが同じブロードキャストサブネット上に存在する必要があります。サーバがクライアントと異なるサブネット上に存在する状況に対応するためには、ＵＤＰブロードキャスト／マルチキャストをサーバのサブネットに転送するメカニズムが必要になります。このメカニズムを、ＵＤＰブロードキャストの転送と呼びます。ＩＰヘルパーを使用すると、ブロードキャスト／マルチキャストパケットがファイアウォールのインターフェースを通過し、ポリシーに基づいて他のインターフェースに転送されるようになります。ＩＰヘルパーの詳細については、ＴｅｃｈＮｏｔｅ「ＩＰＨｅｌｐｅｒｏｎＳｏｎｉｃＯＳＥｎｈａｎｃｅｄ」〈http://www.sonicwall.com/us/support/2134_3424.html〉を参照してください。

ＩＰヘルパーの設定

･ＩＰヘルパーを有効にする－ＩＰヘルパー機能を有効にします。

･ＤＨＣＰをサポートする－ＳｏｎｉｃＷＡＬＬセキュリティ装置から中央のＤＨＣＰサーバへのＤＨＣＰ転送を有効にします。ＤＨＣＰサーバを有効にすると、「ＤＨＣＰサーバは有効になっています。設定を変更するには、ここを選択します。」というメッセージが表示されます。リンクを選択すると、「ネットワーク＞ＤＨＣＰサーバ」ページが表示されます。

警告　ＩＰヘルパーのＤＨＣＰサポートを有効にする前に、ＳｏｎｉｃＷＡＬＬＤＨＣＰサーバ機能を無効にする必要があります。ＤＨＣＰサーバ設定を無効にしない限り、「ＤＨＣＰをサポートする」チェックボックスは淡色表示のままになります。

･ＮｅｔＢＩＯＳをサポートする－ＮｅｔＢＩＯＳブロードキャストの転送を有効にします。ウィンドウズオペレーティングシステムでネットワーク上のリソースを参照するには、ＮｅｔＢＩＯＳが必須です。

ＩＰヘルパーポリシー

ＩＰヘルパーポリシーを使用すると、ＤＨＣＰブロードキャストとＮｅｔＢＩＯＳブロードキャストをインターフェース間で転送できます。

補足　ＷＡＮインターフェースおよびＮＡＴ向けに構成されたインターフェースについては、ＩＰヘルパーではサポートしていません。

ＤＨＣＰ用のＩＰヘルパーポリシーの追加

手順 1　「ＩＰヘルパーポリシー」テーブルの下にある「追加」ボタンを選択します。「ＩＰヘルパーポリシーの追加」ウィンドウが表示されます。

手順 2　このポリシーは既定で有効になっています。有効にせずにポリシーを設定するには、「有効にする」チェックボックスをオフにします。

手順 3　「プロトコル」メニューの「ＤＨＣＰ」を選択します。

手順 4　「送信元」メニューで、送信元のインターフェースまたはゾーンを選択します。

手順 5　「送信先」メニューで、送信先のアドレスグループまたはアドレスオブジェクトを選択するか、「ネットワークの作成」を選択して新しいアドレスオブジェクトを作成します。

手順 6　必要に応じて、「コメント」フィールドに任意のコメントを入力します。

手順 7　「ＯＫ」を選択して、ポリシーを「ＩＰヘルパーポリシー」テーブルに追加します。

ＮｅｔＢＩＯＳ用のＩＰヘルパーポリシーの追加

手順 2　このポリシーは既定で有効になっています。有効にせずにポリシーを設定するには、「有効にする」チェックボックスをオフにします。

手順 3　「プロトコル」メニューの「ＮｅｔＢＩＯＳ」を選択します。

手順 4　「送信元」メニューで、送信元のアドレスグループまたはアドレスオブジェクトを選択します。新しいアドレスオブジェクトを作成する場合は、「ネットワークの作成」を選択します。

手順 6　必要に応じて、「コメント」フィールドに任意のコメントを入力します。

手順 7　「ＯＫ」を選択して、ポリシーを「ＩＰヘルパーポリシー」テーブルに追加します。

ＩＰヘルパーポリシーの編集

「ＩＰヘルパーポリシー」テーブルの「設定」列の編集アイコンを選択して、「ＩＰヘルパーポリシーの編集」ウィンドウを表示します。このウィンドウには、「ＩＰヘルパーポリシーの追加」ウィンドウと同じ設定項目が含まれています。

ＩＰヘルパーポリシーの削除

個々のＩＰヘルパーポリシーエントリを削除するには、削除アイコンを選択します。「削除」ボタンを選択すると、「ＩＰヘルパーポリシー」テーブル内で選択されているすべてのＩＰヘルパーポリシーが削除されます。

ＩＰヘルパーの拡張機能

ＩＰヘルパーは前バージョンの転送プレーンが拡張され、ユーザ定義のプロトコルと拡張ポリシーをサポートするようになりました。このため、ＩＰヘルパーのＵＩは完全に変更されています。また、既存のＮｅｔＢＩＯS／ＤＨＣＰリレーアプリケーションをより細かく制御できるようになりました。

拡張された組み込みアプリケーションの一部を以下に示します。

･ＤＨＣＰ－ポート番号はＵＤＰ６７／６８

･Ｎｅｔ-ＢＩＯＳＮＳ－ポート番号はＵＤＰ１３７

･Ｎｅｔ-ＢＩＯＳデータグラム－ポート番号はＵＤＰ 138

･ＤＮＳ－ポート番号はＵＤＰ５３

･Ｔｉｍｅサービス－ポート番号はＵＤＰ３７

･ＷａｋｅｏｎＬＡＮ（ＷＯＬ）

･ｍＤＮＳ－ポート番号はＵＤＰ５３５３、マルチキャストアドレスは２２４.０.０.２５１

各プロトコルには次のオプションを設定できます。

･名前－プロトコルの名前。大文字と小文字が区別されます。また、一意の名前を指定する必要があります。

･ポート１／２－一意のＵＤＰポート番号。

･送信元ＩＰの変換を許可する－パケット転送の際のソースＩＰの変換。

･タイムアウト－ＩＰヘルパーのキャッシュタイムアウト（秒数を１０秒単位で指定）

･Ｒａｗモード－ＩＰヘルパーキャッシュを作成しない単方向の転送。この設定は、検出の目的で使用されるほとんどのユーザ定義プロトコル（ＷＯＬ／ｍＤＮＳなど）に適しています。

図 26:1

拡張されたＩＰヘルパーＵＩ

各プロトコルには次のオプションを設定できます。

･名前－プロトコルの名前。大文字と小文字が区別されます。また、一意の名前を指定する必要があります。

･ポート１／２－一意のＵＤＰポート番号。

･送信元ＩＰの変換を許可する－パケット転送の際のソースＩＰの変換。

･タイムアウト－ＩＰヘルパーのキャッシュタイムアウト（秒数を１０秒単位で指定）

ユーザ定義プロトコルの追加

プロトコルリストテーブルの左下側にある「追加」ボタンを選択します。プロトコルを追加するには、次のフィールドを設定する必要があります。

･名前－大文字と小文字を区別した一意の名前を指定します。

･ポート１／２－一意のＵＤＰポート番号です。

･タイムアウト－このフィールドはオプションです。ＩＰヘルパーキャッシュタイムアウトの秒数を１０秒単位で指定します。指定しない場合は、既定値の３０秒が選択されます。

･送信元ＩＰの変換を許可する－選択すると、転送されたパケットの送信元ＩＰをファイアウォールが変換します。

･Ｒａｗモード－選択すると、ＩＰヘルパーがキャッシュを作成せず、単方向の転送がサポートされます。

ユーザ定義プロトコルの編集

ユーザ定義プロトコルは、プロトコルの横にある「削除」ボタンを選択して削除できます。プロトコルの左端のチェックボックスを選択して、テーブルの左下側にある「削除」ボタンを選択することもできます。

カウンタの表示

プロトコルまたはポリシーの「統計」イメージにカーソルを置くと、プロトコルのトラフィックの状況がカウンタ上に表示されます。

ＴＳＲによるＩＰヘルパーキャッシュの表示

テクニカルサポートレポートでは、ＩＰヘルパーキャッシュ、現在のポリシーおよびプロトコルのすべてが次のように表示されます。

#IP_HELPER_START

IP Helper

-----IP Helper Global Run-time Data-------

IP Helper is OFF

IP Helper - DHCP Relay is OFF

IP Helper - Netbios Relay is OFF

Total Number Of Fwded Packets :0

Total Number Of Dropped Packets :0

Total Number Of Passed Packets :0

Total Number Of Unknown Packets :0

Total Number Of record create failure :0

Total Number Of element create failure :0User-defined

-----IP Helper Applications -------

Name: DHCP

Port: 67, 68, Max Record: 4000, Status: OFF

CanBeDel: NO, ChangeIp: 1, Raw: NO

Max Element: 8000, Timeout: 3, index: 1, proto: 1,