セカンダリネットワーク IP アドレスを追加する

Firebox インターフェイスを構成する際に、インターフェイスにセカンダリネットワーク IP アドレスを追加することができます。追加する各 IP アドレスは、インターフェースのプライマリ IP アドレスと同じサブネットまたは異なるサブネットに置くことができます。

セカンダリネットワーク (secondary network) を追加する場合、Firebox が要求をリッスンする特定の IP アドレスを作成します。この Firebox も、その IP アドレス上で指定されたサブネットの一部です。

同じサブネットのセカンダリネットワーク IP アドレス

内部インターフェースの場合、内部ホストが既定のゲートウェイとしてセカンダリ IP アドレスを使用する必要がある場合、同じサブネットでその IP アドレスを使用できます。

外部インターフェイスの場合、同じサブネットでセカンダリ IP アドレスを使用する一般的な目的は、複数の内部サーバーにトラフィックを転送する必要があるときです。SMTP サーバーからのトラフィックなど、送信トラフィックが同じセカンダリ IP アドレスから来ているように見せかける必要がある場合は、送信ポリシーでポリシーベースの動的 NAT の 発信元 IP の設定 オプションを使用します。

この種の構成の例については、https://www.watchguard.com/help/configuration-examples/ に掲載されている構成例、プライベート IP アドレスでサーバーへのパブリックアクセスに NAT を使用するを参照してください。

ポリシーベースの動的 NAT の詳細については、次を参照してください：ポリシーベースの動的 NAT を構成する。

異なるサブネットのセカンダリネットワーク IP アドレス

セカンダリ IP アドレスがインターフェイスのプライマリ IP アドレスと異なるサブネットにある場合は、Firebox インターフェイスにもう 1 つのネットワークがあることが Firebox に通知されます。異なるサブネットにセカンダリネットワーク（secondary network）を追加する際は、Firebox はセカンダリネットワークの任意の IP アドレスから Firebox インターフェイスの IP アドレスにルートを作成します。

外部インターフェイスの場合、ISP が異なるサブネットに複数の IPアドレスを提供する場合、異なるサブネットでセカンダリネットワークを使用します。ISP ゲートウェイは異なるサブネット間でトラフィックをルートすることができます。

信頼済みまたは任意のインターフェースの場合、インターフェースを複数の内部ネットワークに接続する必要がある場合、異なるサブネットでセカンダリネットワークを定義します。次のセクションで、1 つの例を挙げて説明します。

Firebox がドロップインモードで構成されている場合は、各インターフェイスが同じプライマリ IP アドレスを使用します。ただし、信頼済みネットワーク上、別の IP アドレスのセットを使用する可能性があります。Firebox の信頼済みインターフェイスにこのプライベートネットワークをセカンダリネットワークとして追加することができます。

別のサブネットにセカンダリネットワーク（secondary network）の IP アドレスを構成すると、新しいサブネットは元のサブネットと同じ論理ネットワークの一部となります。Firebox では、同じ論理ネットワーク内の異なるコンピュータ間のトラフィックにファイアウォールポリシーを適用することはできません。

インターフェイスにセカンダリネットワーク IP アドレスを構成するには、Firebox がルーテッドまたはドロップインネットワーク構成を使用している必要があります。PPPoE または DHCP を経由してプライマリ IP アドレスを取得するように外部インターフェイスが構成されている場合でも、Firebox の外部インターフェイスにセカンダリネットワーク IP アドレスを追加することができます。

セカンダリネットワークが BOVPN または BOVPN 仮想インターフェイス構成のゲートウェイ設定で指定されている場合、セカンダリネットワークは削除できません。

セカンダリネットワーク (secondary network) が便利なシチュエーションの例の一部を以下に示します。

ネットワークの統合

ルータをネットワークから外したい場合は、ルータをシャットダウンした際に、ファイアウォールのセカンダリ IP アドレスとしてルータの IP アドレスを追加することができます。こうすることで、古いルータの IP アドレス宛にトラフィックを送信しているホストやルータがファイアウォールにトラフィックを送信するようになります。

ネットワークの移行

セカンダリアドレスは、信頼済みネットワークをあるサブネットから別のサブネットに移行する際に、ネットワークが停止することを回避するのに役立ちます。例えば、現在プライマリインターフェイス IP アドレスとして 192.168.1.1/24 を使用している場合、インターフェイス IP アドレスを 10.0.10.1/24 に変更すると、DHCP を使用しているデバイスが新しいサブネット上の IP アドレスを取得している間にネットワークが停止する可能性があります。また、静的 IP アドレスを使用しているデバイスは、新しいサブネット上の IP アドレスで再構成するまで接続できません。停止を回避するには、古い IP アドレスをセカンダリネットワーク (secondary network) として追加し、デバイスが移行中も古いサブネット上の IP アドレスを使用できるようにします。

セカンダリネットワーク (secondary network) を構成すると、DHCP を使用するデバイスは停止せずに、DHCP リースを更新するときに新しいサブネット上の IP アドレスを取得します。静的 IP アドレスを使用するデバイスは、IP アドレスを更新できるようになるまで、古いサブネットを使用し続けることができます。すべてのデバイスが新しいサブネットに移行されたら、インターフェイスからセカンダリ IP アドレスを削除できます。

以下の場合は、別のローカルネットワーク範囲に移行することが推奨されます。

192.168.0.1/24 または 192.168.1.1/24 のネットワークを使用するネットワークを継承した場合。これらのネットワーク範囲は多くのホームネットワーク範囲と競合するため、Mobile VPN ユーザーはネットワーク上のローカルリソースにアクセスすることができなくなります。
同じローカルネットワーク範囲のサイトを 2 つ持っており、BOVPN でサイトを接続したい場合。

複数のサーバーへの静的 NAT

Firebox で静的外部 IP アドレスを使用している場合、セカンダリネットワーク (secondary network) IP アドレスを追加できます。その後、そのネットワーク上の適切なデバイスにトラフィックを送信するための静的 NAT ルールを構成することができます。

たとえば、パブリック Web サーバーが 2 台あり、各サーバーに対して静的 NAT ルールを構成する場合、2 つ目のパブリック IP アドレスを持つ外部セカンダリネットワーク (secondary network) を構成します。

セカンダリネットワークを構成する

セカンダリネットワークを追加するには、以下の手順を使用します。この例で、セカンダリネットワークは信頼済みインターフェース上にあります。

セカンダリネットワークアドレスを定義するには、セカンダリネットワークに未使用の IP アドレスを用意して Firebox インターフェイスに割り当てる必要があります。

セカンダリネットワーク（secondary network）アドレスは慎重に追加するようにしてください。IP アドレスの競合を引き起こす可能性のある IP アドレスが構成されているかどうかは、Firebox はチェックしません。異なるインターフェイスを持つ、より大きなネットワークのコンポーネントであるインターフェイスを持つサブネットは、セカンダリネットワーク（secondary network）として追加しないことをお勧めします。これを実行すると、Firebox はこのトラフィックを「別のインターフェイス上に存在することが期待されているネットワークをスプーフィングしている」と判断する可能性があります。この場合、ネットワークは正しく動作しません。Firebox は複数のインターフェイス上の同じネットワークへの ARP ではない可能性があります (ドロップインモード、ブリッジされたインターフェイス、ブリッジされた VLAN は例外)。

セカンダリ ネットワーク IP アドレスを追加する

セカンダリ ネットワークを構成する

関連情報：

セカンダリネットワーク IP アドレスを追加する

セカンダリネットワークを構成する