購入から半年も経たずに、ブロードバンドルータが壊れた。 まぁ、アタリが悪かったんだとあきらめることにして、ソのルータが直って返ってくるまでつながらないという状態なわけにもいかない。 代打のルータをと考えた。 そこで、以前 IPSec の実験で使った BEFSR41C を引っ張り出してきて、設置し、すぐに使えるようになった。 コイツは高機能で、発売当時は高性能だったわけだが、いかんせん当方にとっては頻繁ともいえる頻度でハングアップする。 使い始めた最初の晩に早速ハングアップした (笑
じゃぁ、代打の代打のルータにこれまた以前 IPSec の実験で使った IX2015 を使ってみることにした。 まぁ、当方はこういうのにハマるのが得意なのでハマったがその辺の注意事項も含めて記述したい。 記述時点で使い始めて 5 日しか経っていないが、 BEFSR41C と比較して安定していることこの上ない、というか一度も通信断は発生していない。 ネット上にそっくりの事例がないかと探してみたが見つけられなかったので、ここに書いておいておこうと思う。
導入するにあたり、ネットワーク構成は下の図の通りだ。 とある事情で公開している自宅サーバもあるので、他の種類のサーバを置くときにも参考になると思う。 また、自宅サーバは固定 IP アドレスで公開しているので、朝日ネット限定の書き方になるが固定 IP アドレスに設定の方法もハマったのでそれも記述しておく。
使うのは NEC の IX2015だ。 IX シリーズは性能や機能に差があるが、基本的に設定やインタフェイスの整合性が取れ、機能に依存しなければ設定は同じモノが使える。 設定事例集を参考にやってみた。
IX2015 の上にある aaa.bbb.ccc.ddd はプロバイダから割り振られる IP アドレスだ。
192.168.11.1/24 のネットワークは、当方が緩衝エリアネットワークと称しているネットワークで業界用語でいう DMZ だ。 外部からもアクセスの可能性があるネットワーク機器を置いている。 IX2015 に DHCP サーバの機能を持たせ、割り振りは 192.168.11.65 〜 192.168.11.99 なので、固定 IP アドレスに使いたい装置はたとえば 192.168.11.2 〜 192.168.11.63 の範囲にしておけばよい。 だから今回の話は自宅 web サーバを置く設定をしたので、そのサーバは固定の 192.168.11.7 とした。 しかも DHCP もつかえるので、下段のプライベートエリアネットワークにある PC を持ってきてもそのまま使えるハズだ。 公開 web サーバみたいなことをしないのであれば、外部から侵入される危険性を減らすためにもその設定は抜いておいたほうがいいだろう。
プライベートエリアネットワークは IX2015 とブロードバンドルータの二段 NAPT の奥にあるので直接侵入される危険性は低いと期待する。 で、点線で結んだ先に IX2015 があって 192.168.49.9 とあるが、コレは裏口だ。 IX2015 は三本足ルータなので通常はインターネット上の端末 aaa.bbb.ccc.ddd として振る舞い NAPT で 192.168.11.0/24 のネットワークからのアクセスをする。 もちろんプライベート Gateway なブロードバンドルータの奥からの接続に関しても同じだ。 192.168.11.0 ネットワークは公開サーバを置いたりする設定なので、侵入される危険性もあり、そこから設定をいじられるのはイヤ〜ンなので裏口を設定し、その口を 192.168.49.0/24 に開けているのだ。 まぁ、 IX2015 を乗っ取られると一気にプライベートエリアに侵入されるリスクもあるので、普段はつながないでおいて、設定するときだけ LAN の線を差し込むという運用だ。
配線は下の図のように行った。 普段は裏口線を外している。 設定を変えたい時に接続する。 インターフェース番号と LAN の線を指す口は対応しているので、もし ONU への線を変えたならインターフェースの番号設定も変えないといけないよ。
ID とパスワードのところを直せばいきなりつながるんじゃないかとは思うが、下に解説をつけた。 特に不要な部分とかハマったところも記述する。
! NEC Portable Internetwork Core Operating System Software ! IX Series IX2010 (GS) Software, Version 6.1.13, RELEASE SOFTWARE ! Compiled Feb 27-Fri-2004 11:34:38 JST #2 ! hostname router11 timezone +09 00 ! username admin password hash 00A73625272940A administrator ! ip route default FastEthernet0/0.1 ip dhcp enable ip access-list admin_console permit ip src any dest 192.168.49.0/24 ! proxy-dns ip enable telnet-server ip enable ! ! ppp profile flets authentication myname XXXXXXXX@example.net authentication password XXXXXXXX@example.net My-PaSsWoRd ! ip dhcp profile lan11 assignable-range 192.168.11.65 192.168.11.99 default-gateway 192.168.11.1 dns-server AAA.BBB.CCC.DDD EEE.FFF.GGG.HHH ! device FastEthernet0/0 ! device FastEthernet0/1 ! device FastEthernet1/0 ! device BRI1/0 isdn switch-type hsd128k ! interface FastEthernet0/0.0 no ip address no shutdown ! interface FastEthernet0/1.0 ip address 192.168.49.9/24 no shutdown ! interface FastEthernet1/0.0 ip address 192.168.11.1/24 ip dhcp binding lan11 no shutdown ! interface BRI1/0.0 encapsulation ppp no auto-connect no ip address shutdown ! interface FastEthernet0/0.1 encapsulation pppoe auto-connect ppp binding flets ip address ipcp ip mtu 1492 ip napt enable ip napt service http 192.168.11.7 none tcp 80 no shutdown !
ということで、キモな部分の設定を解説する。
ip route default FastEthernet0/0.1
デフォルトルートの設定だが、インターフェース番号は 0/0.1 だ。 これが専用線だとか、普通のネットワーク線だと 0/0.0 なんだが、 PPPoE を使うときは気をつけないと当方のように番号を間違ってハマることになる。 で、この 0/0.1 の設定は後で設定をするのでここでは気にしなくてよい。
ip dhcp enable
次に dhcp サーバを有効にする設定だ。 もし完全に固定 IP アドレスで運用するなら不要の行だ。
ip access-list admin_console permit ip src any dest 192.168.49.0/24
これは裏口の許可の設定だ。 192.168.49.0/24 からだけ管理者権限が使える設定だ。 裏を返せば他のネットワークからの管理者権限使用は許されないハズだ。 裏口を使わないならこの設定は不要だ。
telnet-server ip enable
コンソールポートだけでなく、 telnet で設定したいときに使用するわけだ。 ネットワーク越しの設定をしないならこの設定は不要だ。
ppp profile flets authentication myname XXXXXXXX@example.net authentication password XXXXXXXX@example.net My-PaSsWoRd
ここはハマった。 上の段と下の段の XXXXXXXX@example.net は同じにしよう。 違っているとつながらない。 当方の場合はここに差異があって、気づかずに二時間も無駄にした。 ここのカタマリの設定を flets という名前で設定した。
もし、朝日ネットの固定 IP アドレスを使う場合には XXXXXXXX の先頭に f. をつけることを忘れないようにしよう。 下の行でも同じように f.XXXXXXXX と書かないといけないよ。 すなわちここでも上の段と下の段に差異はないようにしないといけない。
ip dhcp profile lan11 assignable-range 192.168.11.65 192.168.11.99 default-gateway 192.168.11.1 dns-server AAA.BBB.CCC.DDD EEE.FFF.GGG.HHH
DHCP サーバの設定だ。 動的に割り振られる IP アドレスは 192.168.11.65 〜 192.168.11.99 だ。 また、プロバイダからもらう DNS サーバの設定を書いておかないといけない。 二台の DNS サーバを設定するときはスペースで区切って後ろにつなげればよい。
interface FastEthernet0/0.0 no ip address no shutdown
インターネット線のインターフェースの設定だ。 固定 IP アドレスが振られるはずなのに no ip address とはちょっと心配だが大丈夫。 IP アドレスは interface FastEthernet0/0.1 に振られるので 0/0.0 のほうはこれでいい。
interface FastEthernet0/1.0 ip address 192.168.49.9/24 no shutdown
裏口の IP アドレス 192.168.49.9 を設定した。
interface FastEthernet1/0.0 ip address 192.168.11.1/24 ip dhcp binding lan11 no shutdown
緩衝エリアのネットワークの設定だ。 ip dhcp binding lan11 は DHCP サーバが有効(前述の ip dhcp enable )になっていて、 DHCP サーバの設定(前述の ip dhcp profile lan11 のカタマリ)があれば、 DHCP サーバとして動いてくれるよ。
interface FastEthernet0/0.1 encapsulation pppoe auto-connect ppp binding flets ip address ipcp ip mtu 1492 ip napt enable ip napt service http 192.168.11.7 none tcp 80 no shutdown
物理ポート FE0/0 に論理インターフェースの 0/0.1 を設定するところだ。 encapsulation pppoe で PPPoE を使うことにしてくれるようだ。 接続の ID とパスワードは前述の flets というカタマリに設定してある。
ip napt enable の設定でいわゆるブロードバンドルータと同じような NAPT ルータになってくれる。
ip napt service http 192.168.11.7 none tcp 80 の設定が公開用の自宅 web サーバの設定だ。 そういうサーバがなければ、この行は不要だ。 もし、他のサービスを外部に提供したければ、この行のように書き足していけばそのポートを公開できることになる。 詳しくはマニュアルで ip napt service の項目をよく読んでみよう。
つながると下のような感じになる。 特に Interface FastEthernet0/0.1 のところを見てみよう。 up になっていればウマくいっているとみていいだろう。
router11(config)# show ip address Interface FastEthernet0/0.1 is up, line protocol is up Internet address is aaa.bbb.ccc.ddd/32 Broadcast address is 255.255.255.255 Peer address is eee.fff.ggg.hhh Address determined by IPCP Primary DNS server is AAA.BBB.CCC.DDD Secondary DNS server is EEE.FFF.GGG.HHH Interface FastEthernet0/1.0 is up, line protocol is up Internet address is 192.168.49.9/24 Broadcast address is 255.255.255.255 Address determined by config Interface FastEthernet1/0.0 is up, line protocol is up Internet address is 192.168.11.1/24 Broadcast address is 255.255.255.255 Address determined by config Interface Null0.0 is up, line protocol is up Interface is unnumbered.
設定のところとあわせてみてみよう。 aaa.bbb.ccc.ddd はネットワーク図にある「IX2015 の上にある aaa.bbb.ccc.ddd はプロバイダから割り振られる IP アドレスだ」のところだ。 AAA.BBB.CCC.DDD と EEE.FFF.GGG.HHH は設定のところの「二台の DNS サーバを設定するときはスペースで区切って後ろにつなげればよい」にでてくる。
eee.fff.ggg.hhh は先方の設定なのでこちらでは設定していない。
あとは Interface FastEthernet0/1.0 や、 Interface FastEthernet1/0.0 が設定した通りになっているか確認してみよう。
いくつかハマり箇所があるが、だいたいブロードバンドルータみたいに動くと思う。 当方のこの回線はフレッツネクストなので下り帯域が 200Mbps だ。 まぁ、ソレをフルに使うシチュエーションはないので IX2015 で十分ではあるが、 GbE 版の IX2105 だったらルータがボトルネックになるということはないといえる。 もし、仕事で新規にフレッツネクストを引き、ルータを購入するなら IX2105 を使うのはいい選択だと思う。
どうだろう?自分のところの回線状況にあわせるところはあるが、それら以外は上の設定で済むハズだ。 なんとなくできるような気がしてきたら、とてもうれしい。幸運を祈る。 Good luck!
有用そうなリンク
当方(SHIBATA Akira)は, 本サイトをご利用の際に起きるかもしれない不利益に対し, 一切責任を負いません.