NEEDLEWORK

よくあるご質問(Q&A)

仕様に関するご質問一覧

製品仕様に関する質問と回答を掲載しています。

※記載されている会社名及び商品名/サービス名は、各社の商標または登録商標です

1. 共通

NEEDLEWORKで異なるセグメントのIPアドレスを生成できますか。

はい、異なるセグメントのIPアドレスを生成可能です。
(NEEDLEWORK上でシナリオに記載したIPアドレスを生成します)
また、NEEDLEWORKとFWの間にセグメントを分割する機器も不要です。

イメージは下記の通りです。

NEEDLEWORK(ニードルワーク)ファイヤーウォールポリシーテスト構成イメージ

各ポートにて、タグVLANの設定は可能ですか

はい、全てのポート(3ポート)でタグの付与が可能です。

テストシナリオにて、送信元側と宛先側それぞれのVLAN IDを指定できます。
事前にポートへVLANを設定する必要はありません。

テスト用のポート数が3ポートとありますが、4ポート以上の機器は同時試験できないのですか

物理的には3ポートですが、別途L2スイッチをご利用いただくことで4ポート以上の機器も同時テスト可能です。
構成イメージは以下のようになります。

テスト対象機器の全4ポートをNEEDLEWORKの2ポートを使用して同時テストする際のイメージです。
NEEDLEWORKとL2スイッチ間は、タグVLANを使用して1ポートに複数セグメントを収容します。
NEEDLEWORK(ニードルワーク)テスト対象機器の全4ポートをNEEDLEWORKの2ポートを使用して同時テストする際のイメージ

NEEDLEWORKはPPPoEに対応していますか

はい、対応しています。

PPPoEを動作させているインターフェースでタグVLANは利用できますか

いいえ、利用できません。

テストシナリオは手動で作成するのでしょうか

はい。通信要件をもとに手動で作成いただく必要があります。

一部のファイアウォールのコンフィグ、およびログからシナリオを生成する補助ツールをOSSで公開しております。
※リプレイス時のテストにご活用下さい

補助ツール(OSS)となるため、サポートはベストエフォートとなり、動作を保証するものではないことを予めご了承願います。
シナリオ自動生成ツールについて

ARP解決の仕組みを教えて下さい

NEEDLEWORKからのARPリクエストの仕組みについて

通常、ARPリクエストは機器のIPアドレスを送信元としてリクエストを送信しますが、NEEDLEWORKは機器自体にIPアドレスを設定しない仕様のため、以下のようにARPリクエストを送信します。

①テストシナリオに記載したFW IPの第4オクテットの値を±1したIPアドレスを送信元として
 NEEDLEWORKの全ポートからARPリクエストを送信。
 ※セグメント情報を保持していないため上記2つのIPアドレスを送信元にします

②FW(テスト対象機器)からのARP応答を受信し、NEEDLEWORKはFW IPのMACアドレスを学習する。
 ※ARP応答を受信したポートからパケットを送信します
ARPリクエスト仕様の詳細はこちらの資料をご参照ください。

NEEDLEWORKのARP応答の仕組みについて

操作マニュアルの「6.6. ARP設定」をご参照ください。

リモート接続用のIPアドレスを忘れてしまいました

MGTポート(eth3)には192.0.2.1/24のIPアドレスが固定で設定されています。

操作用端末と機器本体のMGTポートを直接ネットワークケーブルで接続することで、192.0.2.1に管理接続可能です。
※操作用端末には192.0.2.0/24の範囲で任意のIPアドレスを設定してください

操作端末と機器本体間はどのポート番号で通信を行いますか

以下のポート番号を利用します。
操作端末と機器本体の間でファイアウォール等でフィルタリングがされている場合、 以下のポートを許可するようお願いします。

TCP 8080
TCP 8081
TCP 8082
TCP 8084
TCP 8085
TCP 8088
TCP 8087

テスト実績のあるネットワーク機器について教えてください

弊社でテスト実績のあるネットワーク機器は以下になります。

・記載のない機器に関しては評価ライセンスでご確認いただけます。
・記載のあるメーカーの全機種、OSバージョンでの動作を保証するものではありません。
メーカー 機種
Cisco Systems ASA(○/*/△/☆)
Juniper Networks SRX(○/*/△) / SSG(△) / ISG
※SRXのアンチウィルス機能はSophosエンジンを利用
Palo Alto Networks 次世代ファイアウォール(○/*/□/△/☆)
Fortinet FortiGate(○/*/□/△/☆)
※ProxyモードのSSLインスペクションテストには今後対応予定です
Check Point Software Technologies Check Point(○/*)
NEC UNIVERGE IX(*)

○:UTM機能(URLフィルタリング、アンチウィルス)のテスト実績がある機器
*:セッションテスト実績がある機器
□:SSLインスペクションのテスト実績がある機器
△:FQDN指定のテスト実績がある機器
☆:PPPoE複数払い出し機能のテスト実績がある機器

MACアドレスの生成ルールを教えてください

NEEDLEWORKは以下のルールでMACアドレスを生成します。

1バイト目はローカルMACアドレスを示す0x20となり、 末尾4バイトに対象のIPアドレス(※)を16進数で設定します。

例) 192.168.1.1の場合は「02:00:c0:a8:01:01」となります。
                    10進数   : 192 | 168 | 1 | 1
                    2進数    : 11000000 | 10101000 | 00000001 | 00000001
                    16進数   : c0 | a8 | 01 | 01
                  

NAT環境でのテストシナリオ記述方法を教えてください

各テスト機能(ポリシー、ネットワーク、スループット、セッション)でシナリオの記述方法が異なります。 各機能ごとの記述方法はこちらの資料をご参照ください。

2. ポリシーテスト機能

テスト実績に記載されているネットワーク機器にしか対応していないのですか

NEEDLEWORKはL3、L4レベル(TCP/IP)の通信を発生させてテストを行うため、一般的なファイアウォールであればテスト可能です。(一部L7レベル通信を利用)
評価ライセンスの貸出を行っていますので、対象の機種でテスト可能かご確認いただければと思います。

アプリケーションレベルのテストには対応していますか

以下のアプリケーションのテストに対応しています。

  • HTTP
  • HTTPS
  • DNS(TCP/UDP)
  • FTP(アクティブ/パッシブ)
  • IMAP

生成するIPアドレス数、セグメント数に制限はありますか

IPアドレス数、セグメント数に制限はありません。
テストシナリオ1行に送信元、宛先IPアドレスの組み合わせを1対1で記載し、 シナリオ上位から1行づつ順に処理しますので、シナリオ全体で何個IPアドレスがあっても問題ありません。

ルータ等のACL(アクセスリスト)のテストにもNEEDLEWORKを使えますか

はい、NEEDLEWORKはプロトコル毎に以下の基準で判定を行っていますので、ACLの制御で以下の基準を満たすことができればテスト可能です。

  • ICMP:ICMP Echo-Request / Replyによる疎通確認
    Replyがあれば通信が許可されているとみなす
  • TCP:3ウェイハンドシェイク+FINによる疎通確認
    3ウェイハンドシェイクの確立、FINで通信を終了可能であれば許可とみなす
  • UDP:UDPパケットの往復による疎通確認
    UDPの応答パケットがあれば許可とみなす

テストの実行にかかる時間を教えてください

環境により差異はありますが、概ね下記の時間でテスト可能です。
*Dropの時間はパラメータを調整することで変更可能です

テスト内容 時間(テストシナリオ1行あたり)
Passとなる通信 50ミリ秒
Dropとなる通信 1,000ミリ秒

FWにとってのゲートウェイが複数ある構成でもテスト可能でしょうか

はい、可能です。

最大で何行のテストシナリオ(CSV)をインポートできますか

行数の上限は設けておりません。また、弊社開発環境での動作確認は1万行で行っています。

トランスペアレントモード(L2構成)のFWはテスト可能でしょうか

以下の方法でテストが可能です。

  • テストシナリオの項目の値を以下のように指定することでテスト可能です。
    • 送信元FW IP : 宛先IPアドレス項目に記載しているIPアドレス
    • 送信元インターフェース : 送信元側に接続しているNEEDLEWORKのインターフェース番号
    • 宛先FW IP : 送信元IPアドレス項目に記載しているIPアドレス
    • 宛先インターフェース : 宛先側に接続しているNEEDLEWORKのインターフェース番号
NEEDLEWORKトランスペアレントモード構成図

構成例

  • シナリオ記述例
    • 送信元IPアドレス:192.168.1.200
    • 送信元FW IP : 192.168.1.200
    • 送信元インターフェース : 0

    • 宛先IPアドレス:192.168.1.200
    • 宛先FW IP : 192.168.1.100
    • 送信元インターフェース : 1
NEEDLEWORKのテスト用ポートを2ポート利用する構成のみサポートしています。
3ポート利用する構成はサポートしていません。
テスト対象機器がNAT変換する構成の場合
NAT変換する環境での検証を行っていないため、上記方法で正常にテストできない場合は、NEEDLEWORKとFWの間にセグメントを分割するデバイスを設置して対応してください。
詳細はこちらの資料をご覧ください。

UTM機能のテストは可能でしょうか

はい、下記機能のテストが可能です。

  • アンチウィルス機能
    • テストウィルスを送信します
  • URLフィルタリング機能
    • 指定のURLに対してGETを行います
  • アンチスパイウェア機能
    • 指定のドメインを解決するDNSパケットを送信します

3.ネットワークテスト機能

Pingの実行間隔、タイムアウト値は変更可能ですか

現在は変更できません。
以下の値 固定となります。

実行間隔 :500ms
タイムアウト:400ms

トレースルートの最大ホップ数、タイムアウト値は変更可能ですか

タイムアウト値は変更可能です。(テストシナリオのパラメータで指定します)
デフォルト値は以下になります。

最大ホップ数:40
各ホップのタイムアウト:50ms

途中経路でIPアドレスが変換(NAT)される場合でもテスト可能ですか

はい、可能です。
NAT環境でのテストシナリオ記述方法はこちらの資料をご参照ください。

ネットワークテストの実行時間に制限はありますか

実行時間に制限はございませんが、
ネットワークの障害テストを想定していますので、長時間の実行は推奨しておりません。
障害テストは、1パターン(ネットワーク機器のリンクダウン等)あたり数分で実行される場合が多いと思われますので、ネットワークテスト実行時間も同等程度の時間で実行いただければと思います。

4.負荷テスト機能(スループット)

NEEDLEWORKで出せる最大スループットはどのくらいですか

シナリオ数やパラメータによって変動しますが、以下の条件で900〜950Mbps程度出ることを弊社評価環境で確認しています。

シナリオ数:1
パケットサイズ:1518 Byte

途中経路でIPアドレスが変換(NAT)される場合でもテスト可能です

はい、可能です。
NAT環境でのテストシナリオ記述方法はこちらの資料をご参照ください。

5.負荷テスト機能(セッション)

NEEDLEWORKで確立できるセッション数はどのくらいですか

機器の性能限界としては以下の値となります。

  • 最大セッション数:50万セッション
  • 秒間セッション数:1万セッション

途中経路でIPアドレスが変換(NAT)される場合でもテスト可能です

はい、可能です。
NAT環境でのテストシナリオ記述方法はこちらの資料をご参照ください。

資料請求は
こちらから

製品資料をご希望の方はこちらのフォームからお申し込みください。

資料請求
お気軽にご請求ください