RTX1000/1100 運用Tips
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
]
開始行:
目次~
#contents
*設定Tips [#k763f966]
**時刻同期 [#zd60ef1a]
***概要 [#v41533d6]
NTPを使用した時刻同期の手順。~
***手動同期 [#bfb0e98b]
ntpdateコマンドがあるため、NTPサーバを指定した時刻同期を...
-書式
ntpdate [NTPサーバ(IP or Name)]
-実行例
ntpdate ntp.nict.jp
2014/03/30 02:04:58 +22943second
***自動同期 [#m406d67d]
自動的な時刻同期を行うにはscheduleコマンドを使用する。~
-実行例(毎時00分に時刻同期を実行)
schedule at 1 */* *:00 * ntpdate ntp.nict.jp
*障害対応Tips [#f5068e4e]
**NATディスクリプタ溢れ対策 [#fcefa9bc]
***概要 [#sbf95c2c]
NATディスクリプタテーブルの溢れ対策。~
RTX1000 / 1100の使用方法によってはテーブル溢れが発生し、...
***事象 [#gb779d66]
NATを使用している環境に対するTCP SYN flooding攻撃が行われ...
これはRTX1000/1100共にNATディスクリプタテーブルは4096レコ...
~
また、RTX1000/1100の仕様として、NATディスクリプタテーブル...
~
[[参考:IPパケット・フィルタリング機能のインタフェースへ...
~
***状況の確認 [#ae60c32c]
NATディスクリプタテーブルの使用状況は以下のコマンドで確認...
show nat descriptor address
~
コマンドの実行結果は以下の様になる。~
~
# show nat descriptor address
参照NATディスクリプタ : 1, 適用インタフェース : PP[01](1)
Masqueradeテーブル
外側アドレス: 124.155.112.213 ポート範囲=60000...
プロトコル 内側アドレス 宛先 マ...
TCP 192.168.1.210.80 98.158.100.114.58722 ...
TCP 192.168.1.210.80 85.195.109.195.2428 ...
TCP 192.168.1.210.80 98.158.100.114.49725 ...
〜以下略
~~
NATディスクリプタテーブルが蓄積して行くと、次第にCPU使用...
CPU使用率はルータのWebページで確認できるが、SNMPで監視す...
~
|SNMP v1|.1.3.6.1.4.1.1182.2.1.6.0|
~
CPU負荷が上がった段階で以下のコマンドを実行し、NATディス...
この処理によりCPU負荷が低下した場合には、NATディスクリプ...
~
clear nat descriptor dynamic all
***対策1(RTX1100のみ) [#xdf5c409]
RTX1100では1ホスト(=1IPアドレス)が使用できるNATディス...
~
この機能を使用するには以下のコマンドを使用する。~
~
-書式~
descriptor masquerade session limit 1 1 [レコード数]
1ホスト300レコードまでに制限する場合には以下となる。~
-例~
descriptor masquerade session limit 1 1 300
~
尚、この機能は使える機種・ファームバージョンの制限がある...
[[IPマスカレード変換セッション数制限機能:http://www.rtpro...
***対策2 [#y19cea4c]
RTX1000では対策1の機能が搭載されていないため、NATディスク...
初期値では900秒(15分)となっているため、この時間を以下の...
-例(600秒に変更する場合)
nat descriptor timer 1 600
~
~
この設定は特定のプロトコル単位でも設定することができる。~
-例(HTTPプロトコルのみ30秒に変更する場合)
nat descriptor timer 1 protocol=tcp port=80 30
~
テーブル保持期間は負荷状況によって適正値は変化するため、C...
終了行:
目次~
#contents
*設定Tips [#k763f966]
**時刻同期 [#zd60ef1a]
***概要 [#v41533d6]
NTPを使用した時刻同期の手順。~
***手動同期 [#bfb0e98b]
ntpdateコマンドがあるため、NTPサーバを指定した時刻同期を...
-書式
ntpdate [NTPサーバ(IP or Name)]
-実行例
ntpdate ntp.nict.jp
2014/03/30 02:04:58 +22943second
***自動同期 [#m406d67d]
自動的な時刻同期を行うにはscheduleコマンドを使用する。~
-実行例(毎時00分に時刻同期を実行)
schedule at 1 */* *:00 * ntpdate ntp.nict.jp
*障害対応Tips [#f5068e4e]
**NATディスクリプタ溢れ対策 [#fcefa9bc]
***概要 [#sbf95c2c]
NATディスクリプタテーブルの溢れ対策。~
RTX1000 / 1100の使用方法によってはテーブル溢れが発生し、...
***事象 [#gb779d66]
NATを使用している環境に対するTCP SYN flooding攻撃が行われ...
これはRTX1000/1100共にNATディスクリプタテーブルは4096レコ...
~
また、RTX1000/1100の仕様として、NATディスクリプタテーブル...
~
[[参考:IPパケット・フィルタリング機能のインタフェースへ...
~
***状況の確認 [#ae60c32c]
NATディスクリプタテーブルの使用状況は以下のコマンドで確認...
show nat descriptor address
~
コマンドの実行結果は以下の様になる。~
~
# show nat descriptor address
参照NATディスクリプタ : 1, 適用インタフェース : PP[01](1)
Masqueradeテーブル
外側アドレス: 124.155.112.213 ポート範囲=60000...
プロトコル 内側アドレス 宛先 マ...
TCP 192.168.1.210.80 98.158.100.114.58722 ...
TCP 192.168.1.210.80 85.195.109.195.2428 ...
TCP 192.168.1.210.80 98.158.100.114.49725 ...
〜以下略
~~
NATディスクリプタテーブルが蓄積して行くと、次第にCPU使用...
CPU使用率はルータのWebページで確認できるが、SNMPで監視す...
~
|SNMP v1|.1.3.6.1.4.1.1182.2.1.6.0|
~
CPU負荷が上がった段階で以下のコマンドを実行し、NATディス...
この処理によりCPU負荷が低下した場合には、NATディスクリプ...
~
clear nat descriptor dynamic all
***対策1(RTX1100のみ) [#xdf5c409]
RTX1100では1ホスト(=1IPアドレス)が使用できるNATディス...
~
この機能を使用するには以下のコマンドを使用する。~
~
-書式~
descriptor masquerade session limit 1 1 [レコード数]
1ホスト300レコードまでに制限する場合には以下となる。~
-例~
descriptor masquerade session limit 1 1 300
~
尚、この機能は使える機種・ファームバージョンの制限がある...
[[IPマスカレード変換セッション数制限機能:http://www.rtpro...
***対策2 [#y19cea4c]
RTX1000では対策1の機能が搭載されていないため、NATディスク...
初期値では900秒(15分)となっているため、この時間を以下の...
-例(600秒に変更する場合)
nat descriptor timer 1 600
~
~
この設定は特定のプロトコル単位でも設定することができる。~
-例(HTTPプロトコルのみ30秒に変更する場合)
nat descriptor timer 1 protocol=tcp port=80 30
~
テーブル保持期間は負荷状況によって適正値は変化するため、C...
ページ名: