NEEDLEWORK
よくあるご質問(Q&A)
動作に関するご質問一覧
製品の動作に関する質問と回答を掲載しています。
※記載されている会社名及び商品名/サービス名は、各社の商標または登録商標です
1. 共通
ブラウザでNEEDLEWORK機器本体へ接続できません
Proxy設定の確認
操作端末とNEEDLEWORK機器本体との接続はHTTP通信で行っています(ブラウザ接続)。
操作端末のブラウザ設定でProxy設定が有効な場合、正常に接続できない場合があります。
Proxy設定を無効にするか、機器本体の管理IPアドレス(192.0.2.1)、またはリモート接続用に設定したIPアドレスをProxy対象から除外して下さい。
ケーブル接続/ネットワーク到達性の確認
操作端末が機器本体のMGTポート(ETH3)と接続されているか確認してください。
リモート設置のNEEDLEWORKの場合、ネットワーク到達性があるかご確認ください。
ダウンロード
Juniper SRXへのテストが失敗(Error)します
NEEDLEWORKは、起動直後(初回テストを実行するまで)はARPに応答しません。
動作仕様の詳細は下記ページをご参照下さい。
ARP応答の仕様変更について(2019/06/28)
SRXは定期的にゲートウェイに対してARPリクエストを送信し、ゲートウェイからARP応答がなされるまでパケットを転送しません(※)。
そのため、起動後の初回テスト時はテストが失敗(Error)します。
2回目以降はARP応答されていますので、失敗することなくテストが可能となります。
※弊社評価環境での結果
月額ライセンスを投入したら利用できなくなりました
既に有効期限が切れているライセンスを投入した場合、利用できなくなります。
有効なライセンスを再度投入することでご利用可能な状態になります。
2. ポリシーテスト機能
Cisco ASAでTCP通信がDropします
ASAの「TCPシーケンス番号ランダマイゼーション」という機能により、シーケンス番号がランダム化されるため、NEEDLEWORKの受信側がシーケンス番号を不正とみなしていることが原因です。
上記については、機器本体のファームウェアバージョン3.0.1で対応しています。
Passになるべき通信がDropします
ファイアウォールの機種によっては、ALGやInspectionなどパケットのペイロードを検査する機能が有効になっています。
NEEDLEWORKは実際のアプリケーションではなく、ダミーデータを入れたパケットを生成するため、ペイロード検査が有効なポートではDropになります。
※一部アプリケーションには対応しています
そのため、テスト対象のポートでのペイロード検査を無効にしてからテストを実施してください。
以下にペイロード検査機能を無効にする設定例を記載します。
Cisco ASA 設定例
policy-map global_policy
class inspection_default
no inspect dns
Cisco ASA 設定例
unset alg dns enable
アンチウィルス、URLフィルタリングのテストで想定したテスト結果になりません
ファイアウォールの機種によっては、IPS機能やその他のUTM検知・防御機能が有効な場合、NEEDLEWORKからのテスト通信(HTTP)を不正とみなしてブロックしてしまうことがあります。
また、アンチウィルスのテストでは、テストウィルスのEicarを使用していますが、アンチウィルスの機能で検知する前に、IPS機能で検知・ブロックしてしまう場合があります。
ファイアウォールのログで、アンチウィルス、URLフィルタ以外の機能でブロックされていないか確認をお願いします。
テスト結果が実施する度に変わる時があります
以下に詳細を記載します。
NEEDLEWORKは機器本体にIPアドレスを設定せずにテストが実施可能な仕様です。
IPアドレスを保持しないため、以下の手順でテストを実施します。
① NEEDLEWORKの全ポートからARPリクエストを行います
※テストシナリオ「FW IP」項目記載のIPアドレスのARP解決を実施
② ARPリプライを最初に返したポートを利用しテストを実施します
例:シナリオのFW IPが「10.10.10.10」の場合、
「10.10.10.9」と「10.10.10.11」を送信元IPアドレスとしてARPリクエストを行います。
動作イメージ(正常時)
※ARP解決対象のセグメントを保持しているポートからのみARPリプライがある

事象の原因
通常はARP解決対象のセグメントを保持しているポートからのみARPリプライがありますが、全ポートからARPリプライがある機種があります。
セグメントを保持していないポートへNEEDLEWORKがパケットを送信するため、テスト結果がDropになります。
動作イメージ(事象発生時)
※ARPリクエストを送信した全ポートからARPリプライがある
弊社の検証環境で確認している、上記動作を行う機種を以下に記載します。
- Palo Alto Networks 次世代ファイアウォール
上記機種に関しては、以下の回避方法でご対応をお願いします。
回避方法
テストシナリオCSVのs-if(option) および d-if(option) に、対象セグメントと接続されているNEEDLEWORKのポート番号を指定してください。
次の例では送信側インターフェース(ポート)を1に、 宛先側インタフェース(ポート)を0に指定しています。

テストシナリオCSVへの追加イメージ

FortiGateのプロキシモードでテスト結果がDropになります
テスト対象のFortiGateのポリシーでAntiVirusが有効になっている場合、該当テストシナリオの"その他の設定(other-settings)"に「Proxy mode」と記載してください。
※マニュアルにも記載しております
FortiGateでHTTPSのテスト結果がDropになります
NEEDLEWORKはHTTPSテストに自己証明書を利用します。
FortiGateで下記設定を行ってください。
"セキュリティプロファイル "→ "SSL/SSHインスペクション"
テスト対象ポリシーに適用しているプロファイルの「無効なSSL証明書を許可」を有効化してください。
3.ネットワークテスト機能
ネットワークテスト実施中にPingがDropされます
並列でPingを実行するため、スペック(最大セッション保持数)が高くない機器が経路に存在する場合は、セッションテーブルが溢れPingが失敗する場合があります。
機器のPingセッション保持時間を調整するなどで対応をお願いします。
4.負荷テスト機能(スループット)
スループットが想定と比べてかなり低い値になります
宛先に指定しているポート番号がUDP 53のようなウェルノウンポートの場合、テスト対象機器(FW等)の仕様によってはアプリケーションレベルまで検査を行い、CPU負荷が上がる場合があります。
そのため、テスト対象機器のリソース不足が原因でスループットが出ない場合があります。
その場合は、ポート番号の変更を行うことで問題が解消できます。
負荷テストのロス率が想定より高い値になります
デフォルト設定(PPS、フレームサイズ)では、機器のスペック上限までテスト通信を送信します。
そのため、テスト対象機器の性能限界を上回る負荷(テスト通信)がかかり、ロス率が上がる場合があります。
シナリオの「フレームサイズ」「最大PPS」を設定することにより、負荷を調整することが可能です。
設定例:
フレームサイズ :1000
最大PPS :10000
(フレームサイズ:1,000Byte × 最大PPS:10,000) × 8 = 80Mbps
上記設定により、80Mbps程度の負荷をかけることが可能です。
5.負荷テスト機能(セッション)
NEEDLEWORKとテスト対象機器のセッション数表示に大幅な差があります。
一部のネットワーク機器において、処理限界到達時においてもSYNにACKを返す挙動を確認しています。その場合NEEDLEWORKはセッション数を正常にカウントすることができないため、ネットワーク機器側でセッション数を確認してください。