NICチーミングの設定

WindowsとSolarisのAgentをNICチーミング環境にインストールする

「NICチーミング」とは、データ転送速度を向上させたり、冗長性を提供するために、複数のイーサネットアダプタを並列配置して使用することです。ここでは、WindowsおよびSolarisにNICチーミング環境を設定し、Deep Security Agentとの互換性を保つ方法を解説します。

Windows

Windows NICチーミングソフトウェアは、新しい仮想インタフェースを作成します。仮想インタフェースでは、最初にチーム化されたインタフェースのMACアドレスが使用されます。初期設定では、Windows Agentはインストール時にすべての仮想および物理インタフェースとバインドされます。その結果、NICチーミング環境で、Agentはチーミングソフトウェアが作成した物理インタフェース、また仮想インタフェースとバインドされます。しかし、Agentは同一MACアドレスを持つ複数のインタフェースでは正常に動作しません。正常に動作させるには、Agentをチーミングソフトウェアが作成した仮想インタフェースとのみバインドする必要があります。

Windows 2003のチーム化NIC環境でAgentを使用するには、SP 2以降が必要です。
チーム化されたNIC環境でのAgentの使用はサポートされていません。
Agentのネットワークドライバは、インストール時またはアップグレード時のみネットワークインタフェースにバインドされます。インストール後は、ネットワークインタフェースをNICチーミングに追加またはNICチーミングから削除するとき、自動的にバインドを調整することができません。これを実行すると、ネットワーク接続の問題や、ホストシステムが適切に保護されない問題が発生することがあります。Agentのネットワークドライバがインストールされているチーミング環境でネットワークインタフェースを追加または削除した後、そのドライバが仮想インタフェースのみにバインドされ、いずれの物理アダプタにもバインドされていないことを確認してください。

Solaris

SolarisのIPMPフェイルオーバ (active-standby) モードでは、2つのNICが同じハードウェア (MAC) アドレスを共有することができます。Deep Security AgentはMACアドレスを使ってアダプタを識別するため、このようにアドレスが共有されていると、Agentが正常に動作しません。

これを解決するには、各アダプタに一意のMACアドレスを割り当てます。

ifconfigの出力例を次に示します。

# ifconfig -a
hme0:flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
inet 10.20.30.40 netmask 0
ether 8:0:20:f7:c3:f

hme1:flags=1000842<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 8
inet 0.0.0.0 netmask 0
ether 8:0:20:f7:c3:f

「ether」行には、アダプタのMACアドレスが表示されます。同一のMACアドレスを示すインタフェースが複数存在し、それらが同じサブネットに接続されている場合、次のifconfigコマンドを使用して新しく一意のMACアドレスを設定する必要があります。

# ifconfig <インタフェース名> ether <新しいMACアドレス>

MACアドレスが競合する可能性は非常に低いですが、snoopコマンドを使用して、選択したMACアドレスと同じものがないことを確認してください。その後、pingコマンドを使用して、サブネットのブロードキャストアドレスへの接続をテストします。

同じサブネット上に複数のインタフェースがあるSolarisシステムでは、任意のインタフェースを経由するようにパケットのルーティングをOSで指定できます。このため、ファイアウォールステートフル設定のオプションまたは侵入防御ルールは、すべてのインタフェースに同等に適用する必要があります。