企業用のPPPoEルータが欲しかったのもあり、ルータ選びをした。GIGAイーサーの時代でもあり、すでに、GIGAネットワーク機器が標準になってるので、中古100Mイーサー機器の価格が、かなり下がってるのでルータも企業用100Mルータがとても安い。比較したのは、NEC IX2015 と古河電工 FITELnet-F100である。両者共に中古価格は10000円以下で購入できる。比較しようと思ったが、NEC IX2015は基本的に正規の代理店購入しないと、ファームウェアのアップデートが出来ないようだ。これは非常に不便で融通が利かない。まあ、大手のネットワークベンダーはこう言うことで製品のステータス(価値)を保っているのだろう。それに変わって、古河電工のFITELnet-F100は、ファームウェアのアップデートもサイトからダウンロード出来るようになっており、質問にも丁寧に答えてくれ、非常に親切である。古河電工は、大手のネットワークベンダーだがとても感じがよい。
■ いったいルータF100の何が良いか
1)CISCO標準
この世界の機器は、CISCOに右へ習えにしている。
コンフィグ設定は、CISCOのIOS的なコマンドでの操作になっており、低価格のBBルータのWebブラウザでの設定になれてるユーザには少々敷居が高い。しかし、慣れれば俺などは、コマンドの方が設定しやすい。
2)A面B面二面式
A面とかB面とかどういう意味かと言うと、二面のメモリ構造になっていて、ファームウェアを2つのメモリー上におけるのでコンフィグファイルのバックアップを置けて、尚かつ、何れの領域もアクティブに使うことが出来る。このての機能は、この世界では、ごく一般的のようだ。
1.F100をシリアルI/Fにて繋ぐ
RS-232C(両端DSUB 9ピン)のクロスケーブルを繋げてTeraTerm等のターミナルソフトにて、コンソール接続で利用する。
ファームウェアのアップデートが有るかは、予め調べてアップデートしておく。古河電工は、同社のウェブサイトに最新のファームウェアが置いてある。
1)まずは、念のため設定情報の初期化を行う
Router# clear working.cfg
Router#
2)ログインIDを設定する(このルータへログインするためのID)
Router# login xxxxxxxx
Router#
3)パスワードを設定する(このルータへログインするためのパスワード)
Router# password enable
Enter new password:
Enter new password:
Retype new password:
Router#
2.本格的にF100を設定する
ルータポリシーは、 [ルータIX2015を使ってみる!]の3項を参照して欲しい。同じ考え方だ。
ただし、IX2015と違うのは、フィルターの設定だ。F100の場合は、必要なポート以外は外部から遮断と言う設定が可能だが、IX2015は全て通過にしてから、危険なポートを遮断する仕組みになってる。
さらに、Syslogのログ出力なども、IX2015の設定とまるっきり同じなので、同じく [ルータIX2015を使ってみる!]を参照して欲しい。
1)ターミナルモードにする
Router# configure terminal
Router(config)#
2)設定ファイルをコピー&ペーストする
予めエディタで入力済みのルータコンフィグファイルを、コマンドラインへコピー&ペーストで貼り付ける。
以下は、俺が設定したコンフィグで有る。とりあえず、ソースと意味を説明する。
! デフォルトルート設定
!
ip route 0.0.0.0 0.0.0.0 pppoe 1
!
!
! オープンするポートとクローズするポートのリスト定義
! セキュリティポリシーは、LAN側からWAN側へは全てアクセス許可。WAN側からLAN側へは許可するポートのみとする
!
! 192.168.255.0のネットワークアドレスは、全て通過
!
access-list 1 permit 192.168.255.0 0.0.0.255
!
! ポート22番(SSH)out側通過
!
access-list 150 permit tcp host 192.168.255.103 eq 22 any
!
! ポート80番(HTTP)out側通過
!
access-list 151 permit tcp host 192.168.255.103 eq 80 any
!
! ポート53番tcp(DNS)out側通過
!
access-list 152 permit tcp host 192.168.255.103 eq 53 any
!
! ポート25番(SMTP)out側通過
!
access-list 154 permit tcp host 192.168.255.125 eq 25 any
!
! ポート110番(POP3)out側通過
!
access-list 155 permit tcp host 192.168.255.125 eq 110 any
!
! ポート587番(SUBMISSONポート)out側通過
!
access-list 156 permit tcp host 192.168.255.125 eq 587 any
!
! ポート995番(over SSL)out側通過
!
access-list 157 permit tcp host 192.168.255.125 eq 995 any
!
! ポート8080番(Proxy)out側通過
!
access-list 158 permit tcp host 192.168.255.125 eq 8080 any
!
! ポート53番udp(DNS)out側通過
!
! 192.168.255.103のポート53(DNS) udp in側通過
!
access-list 159 permit udp host 192.168.255.103 eq 53 any
!
! 192.168.255.103のポート22(SSH) tcp in側通過
!
access-list 170 permit tcp any host 192.168.255.103 eq 22
!
! 192.168.255.103のポート80(HTTP) tcp in側通過
!
access-list 171 permit tcp any host 192.168.255.103 eq 80
!
! 192.168.255.103のポート53(DNS) tcp in側通過
!
access-list 172 permit tcp any host 192.168.255.103 eq 53
!
! 192.168.255.125のポート25(SMTP) tcp in側通過
!
access-list 174 permit tcp any host 192.168.255.125 eq 25
!
! 192.168.255.125のポート110(POP3) tcp in側通過
!
access-list 175 permit tcp any host 192.168.255.125 eq 110
!
! 192.168.255.125のポート587(SUBMISSION) tcp in側通過
!
access-list 176 permit tcp any host 192.168.255.125 eq 587
!
! 192.168.255.125のポート995(POP3 over SSL) tcp in側通過
!
access-list 177 permit tcp any host 192.168.255.125 eq 995
!
! 192.168.255.125のポート8080(PROXY) tcp in側通過
!
access-list 178 permit tcp any host 192.168.255.125 eq 8080
!
! 192.168.255.103のポート53(DNS) tcp in側通過
!
access-list 179 permit udp any host 192.168.255.103 eq 53
!
! Pingされても返事を返すようにする
!
access-list 185 permit icmp any any echo
!
! ntpを使うために、ntpのポートを通過させる(udp)
!
access-list 186 permit udp any any eq ntp
!
! ntpを使うために、ntpのポートを通過させる(tcp)
!
access-list 187 permit tcp any any eq 123
!
!
! All FIltering Setting
! out側へは、全てのIPを通過
!
access-list 190 dynamic permit ip any any
!
! in側からは全てのIPを遮断
!
access-list 199 deny ip any any
!
!
! Syslog Setting
! Syslogを使う
!
syslog sending
!
! Syslogレベルの設定
!
syslog level 4
!
! Syslogサーバの設定
!
syslog server 192.168.255.125
!
! Syslogファシリティの設定(facility 16でlocal0)
!
syslog facility 16
!
! 各Syslogファイルの設定
! elogをレベル3で出力
!
logging-level elog 3
!
! slogをレベル4で出力
!
logging-level slog 4
!
! tlogをレベル2で出力
!
logging-level tlog 2
!
!
! NTP Server & SNTP Setting
! NTP&SNTPの設定
! このルータの時計合わせ同期サーバの設定
!
sntp server 192.168.255.103
!
! このルータの時計を合わせるサイクル時間は24時間
!
sntp schedule boot interval 24
!
! NTPサーバ機能を使う
!
ntp-server enable
!
! NTPサーバ上位階層値2
!
ntp-server stratum 2
!
!
! LAN Side Interface & PPPoE Setting
!
! Nat+ Setting
! LAN側のIP設定とNATプラス設定
!
! LAN側IPアドレスの設定
!
interface lan 1
ip address 192.168.255.1 255.255.255.0
exit
!
! WAN側PPPoEの設定とIPアドレスの設定
!
interface pppoe 1
ip address 203.141.157.142
!
! アクセスリストのグループ設定(in OR out)
!
ip access-group 150 out
ip access-group 151 out
ip access-group 152 out
ip access-group 154 out
ip access-group 155 out
ip access-group 156 out
ip access-group 157 out
ip access-group 158 out
ip access-group 159 out
!
! アクセスリストのグループ設定(in OR out)
!
ip access-group 170 in
ip access-group 171 in
ip access-group 172 in
ip access-group 174 in
ip access-group 175 in
ip access-group 176 in
ip access-group 177 in
ip access-group 178 in
ip access-group 179 in
ip access-group 185 in
ip access-group 186 in
ip access-group 187 in
!
ip access-group 190 out
ip access-group 199 in
!
! NATプラス設定(ローカルIP→グローバルIP)
!
ip nat inside source list 1 interface
ip nat inside destination static 203.141.157.142 80 192.168.255.103 80
ip nat inside destination static 203.141.157.142 53 192.168.255.103 53
ip nat inside destination static 203.141.157.142 22 192.168.255.103 22
ip nat inside destination static 203.141.157.142 25 192.168.255.125 25
ip nat inside destination static 203.141.157.142 110 192.168.255.125 110
ip nat inside destination static 203.141.157.142 587 192.168.255.125 587
ip nat inside destination static 203.141.157.142 995 192.168.255.125 995
ip nat inside destination static 203.141.157.142 8080 192.168.255.125 8080
!
! PPPoEユーザ情報の設定
!
pppoe server Interlink-Zoot
pppoe account xxxxxxxxx.xxxxxx.xxx(ユーザID) xxxxxxxxx(パスワード)
pppoe type host
exit
!
!
end
! は、コメントを表す。
3)設定内容を保存する
Router#save SIDE-A.cfg
Router#
一応、裏側にもコピーしておく(B面)。
Router#copy SIDE-A.cfg SIDE-B.cfg
Router#
4)再起動する
Router#reset
Router#
3.旨く動作するか
ネットワークチェックをして旨くつながったら成功だが、最初からフィルタの設定をしておくのはそもそも間違いかもしれない。
PPPoEの設定とかIPアドレスの設定が旨く行ってるのを確認してから、段階的にフィルタの設定をしたほうが不具合が起きたときの見極めが難しくなるのを避けられそうな気もする。
以上
コメント