« ScreenOSアップデート時の[Shared memory size is too small]のエラー回避方法 | トップページ | JNCIA-FWV »

NetScreen-5GT/5XT/5XPの10ユーザーライセンスの動作仕様

NetScreen-5GTなどの5シリーズには10ユーザーライセンスと無制限ライセンス
が存在するが、10ユーザーライセンスの動作仕様について解説する。
尚、10ユーザーライセンス版のNetScreenを購入した場合でも、
無制限ライセンスを後で購入し、そのライセンスキーを投入する事で
無制限ライセンスに変更する事が可能である。

英語表記:
10-user license versions
10 user license versions
The Elite
unlimited user versions

■ VPNトンネル数とユーザ数について
(この内容はScreenOS 5.0,4.0と4.0.0-DIAL2に適用されます。)

全ての NetScreen-5XT/5GT/5XPでは最大10個までのVPN接続数制限があるが、
10ユーザーライセンスのようなユーザ数制限とはお互いに関係無く(非依存)
カウントされます。

■ ユーザ数の数え方(カウント方法)

10ユーザーライセンスの場合、ユーザの単位はtrust zoneに存在する
デバイスのIPアドレスを含むセッションがNetScreeに作成された場合に
そのIPアドレス数(セッション数では無く)でカウントされます。
それらのユーザテーブルは Active User tableで維持管理されます。

■ ユーザ数の数え方の詳細

trust zoneに存在するデバイスのIPアドレスを含むセッションが作成された
際、そのIPアドレスが Active User Tableに追加されます。
これは、セッションの方向性に関わらず、trust zoneから外部へ送信する
トラフィックの送信元IPアドレス、もしくは外部からtrust zoneへ向けて
送信される宛先IPアドレスのIPデバイス数で決定される事を意味します。
逆に言うとtrust zoneのIPアドレスに関するセッションの
IPアドレス数のみカウントされるため外部側デバイスのIPアドレス数は
active user tableには追加されません。
Active user tableに追加されたIPアドレスに関しては、このIPアドレスに
関するセッションが維持されている間中、Active User Tableに残され
このIPアドレスに関するセッションが1つも存在しない状態になった場合に
のみActive User Tableから該当のIPアドレスが削除されます。

10ユーザライセンスのNetScreenは、同時に10人までが
アウトバンドのトラフィックをインターネットに送信できるよう設計
されているため、もし10ユーザーの制限を越えた(Active User tableにて)
場合、11人目のユーザがインターネットへのアクセスを行おうとすると
既に10ユーザーがインターネットとのアクティブなセッションを
持っているとして11人目のユーザのトラフィックはブロックされます。
11人目のユーザは既存の10ユーザのセッションの内、いづれかの
IPアドレスに関する全てのセッションが終了した場合にのみ、
インターネットと通信可能となります。

また、NetScreen上に作成される全てのセッションに関して
trust zoneのIPアドレス数が数えられるため、インターネットへの通信
だけでは無く、VPNトンネルを超える通信やMIP、VIPなどを含めて
IPアドレス数がカウントされます。

無制限ライセンスの場合にはインターネットへ許可されるユーザ数の
チェックは行われません。
(デバイス毎のセッション数の制限は別途存在します。)
NetScreenでは有効なセッションがある限り、全てのユーザが
インターネットと通信でき、何人のユーザ(いくつのIPアドレス)が
ネットワーク(trust zone)に存在するかは全く問題になりません。

■ ユーザ数の数え方の事例

・パターンA
  Trustゾーンから、Untrustゾーンの1つのIPアドレスへの通信
  (Trustゾーン内のクライアントから1つのWebサーバのみへの通信を想定)

  Trustゾーンから同時に10を超えるIPが利用された場合、
  11個目のIPアドレスからのアクセスはブロックされます。

・パターンB
  Untrustゾーンから、Trustゾーン内の1つのIPアドレスへの通信
  (MIP/VIPなどでTrust内のサーバを1台のみ公開している場合を想定)

  TrustゾーンのIPのみカウントするので
  Untrustゾーンの複数のIPアドレスからTrustゾーン内の1つの
  IPアドレスまでのアクセスはUntrustゾーンの端末数に限らず可能。

・パターンC
  Untrustゾーンから、Trustゾーン内の複数のIPアドレスへの通信
  (MIP/VIPなどでTrust内のサーバを福数台公開している場合を想定)

  TrustゾーンのIPのみカウントするので
  UntrustゾーンからTrustゾーン内の10個のIPアドレスまでの
  アクセスは可能だが、Trustゾーン内の11個目のIPアドレス
  に対するアクセスはブロックされます。

■ ScreenOS 2.5以下と2.6以上の仕様の違いについて

ScreenOS 2.5 (NetScreen-5 のみ)以下のバージョンのScreenOSでは
一旦、NS5を通過するユーザのトラフィックが終了した後、
コネクションが終了するまでにに10分間かかります。
例えば、同時に10のコネクションがNS5上で生成され、その後10人目の
ユーザがコネクションを切断した場合、11人目のユーザが外部に
トラフィックを送信できるのはその10分後になります。

この動作仕様はScreenOS 2.6.0以上のScreenOSで変更されており、
ScreenOS 2.6以上では一旦、ユーザがNetScreenを超えるトラフィックを
終了させると、そのセッションは直ぐにクリアされ、そのユーザのIPも
active user tableから除外されます。

■ 10ユーザーライセンスの制限値を超過した場合のログメッセージ
(この内容はScreenOS 4.0以上に適用されます。)

10ユーザーライセンスの10ユーザーの制限値を超過した場合には
以下のログメッセージが記録されます。

   User limit has been exceeded.  User x.x.x.x cannot be added

 ※ここで x.x.x.x には追加できなかったIPアドレスが入ります。

■ 10ユーザーライセンスの制限値を超過した場合のDebugメッセージ
(この内容は少なくともScreenOS 5.0-5.2の5GT及びHSCに適用されます。)

10ユーザーライセンスの10ユーザーの制限値を超過した場合には
デバッグログに以下のメッセージが記録されます。

    packet dropped, nat user limit

■ Active User Table の参照方法
(この内容はScreenOS 4.0以上に適用されます。)

以下のコマンドを入力する事で現在のActive User Tableの中身を
参照する事が可能です。
尚、このコマンドはNetScreen-5XP/5XT/5GTの10ユーザーライセンスでのみ
利用可能でありEliteや無制限ライセンスのバージョンでは利用できません。
※HSCでも利用可能です。HSCは5ユーザの制限があります。

    get active-user

ns5gt-> get active-user
Total 1/10, Free 9:
  192.168.100.1: 1 incoming sessions    0 outgoing sessions

■ 10ユーザーライセンス/無制限ライセンスの判別方法

10ユーザーライセンス/無制限ライセンスを判別するには
以下の方法が利用できる。

WebUI:Configuration > Update > ScreenOS/Keys > License Information
CLI: get license-key

上記いづれかで [Capacity:] の行を参照する

以下、10ユーザーライセンスでのコマンド実行結果である。
Capacityが10 usersとなっているのが判る。

ns5gt-> get license-key
Sessions:           2064 sessions
Capacity:           10 users
           ・
           ・
           ・

■ 参考文献/文書/サイト/URL

How does the 10 user limitation work on the NetScreen-5, 5XP,
and 5XT? (KB ID: KB5566)
http://kb.juniper.net/KB5566

How Does the 10-User Limit Apply to the NetScreen-5XT,
5GT and 5XP? (KB ID: KB4203)
http://kb.juniper.net/KB4203

Why Do I Receive a 'User Limit Has Been Exceeded' Message?
(KB ID: KB6176)
http://kb.juniper.net/KB6176

Only 10 IP Addresses can get out to the Internet
(KB ID: KB5264)
http://kb.juniper.net/KB5264

Why Is the Active Users Report Option Only Available on
Certain Juniper Networks NetScreen Devices? (KB ID: KB6442)
http://kb.juniper.net/KB6442

What Does the Debug Message
"packet dropped, nat user limit" mean? (KB ID: KB7763)
http://kb.juniper.net/KB7763

How Do I Determine Which User License Is Installed on
My Juniper Networks NetScreen-5XP/5XT/5GT? (KB ID: KB6266)
http://kb.juniper.net/KB6266

|

« ScreenOSアップデート時の[Shared memory size is too small]のエラー回避方法 | トップページ | JNCIA-FWV »

「NetScreen」カテゴリの記事