専用線によるインターネット接続（LAN側グローバル。IPフィルター）

専用線を使ってインターネットサービスプロバイダー（ISP）にLAN型で接続します。この例では、NATを使用せず、LAN側端末にグローバルアドレスを直接割り当てます。また、IPトラフィックフィルターを使ってアクセス制限を行います。

専用線接続では、ISPからいくつか（8個、16個など）固定的にIPアドレスを割り当てられ、ユーザーのLANをISPのネットワークに直接接続する形になります。

表 1：ISPから提供された情報

WAN側インターフェース Unnumbered

使用できるIPアドレス 4.4.4.0/28（4.4.4.0～4.4.4.15）

ルーターには、次のような方針で設定を行います。

LAN側端末はすべてグローバルアドレスで運用します。NATは使用しません。ISPから割り当てられているアドレスは16個ですが、ネットワークアドレス（4.4.4.0）、ブロードキャストアドレス（4.4.4.15）、ルーター自身のアドレス（4.4.4.1）にそれぞれ1個ずつ消費されるため、端末に設定できるアドレスは4.4.4.2～4.4.4.14の13個となります。
IPトラフィックフィルターを利用して、次のようなフィルタリング条件を設定します。
- TCPは内部（LAN）から外部（インターネット）へのみコネクションを張ることができる。
- UDPは双方向とも禁止。ただし、内部から外部へのDNS要求/応答だけは許可する。
- ICMPは双方向とも許可。

Note - この例は説明のための簡単な設定です。このフィルターを使用しても安全が確保できる保証はありませんのでご注意ください。またインターネット接続では、ファイアウォールを使うと、より簡単な設定で同等以上の効果を得られます。

ルーターの基本設定を次にまとめます。

表 2：ルーターの基本設定

TDMグループ名 ISP

回線速度 64Kbps

WAN側物理インターフェース bri0

WAN側（ppp0）IPアドレス Unnumbered

LAN側（eth0）IPアドレス 4.4.4.1/28

ルーターの設定

BRIインターフェース「0」の全スロット（1～2）を、常時起動のTDM（専用線）モードに設定します。
Note - 回線速度が64Kbpsであっても、BRIインターフェースの全スロットをTDMモードに設定してください（TDMSLOTS=1-2）。
bri0のスロット1（64Kbps）に対して、TDMグループ「ISP」を作成します。
PPPインターフェース「0」をTDMグループ「ISP」上に作成します。LQRはオフにします。
IPモジュールを有効にします。
LAN側（eth0）インターフェースに、ISPから提供されたアドレスブロックの先頭アドレスを設定します。
WAN側（ppp0）インターフェースにIPアドレス「0.0.0.0」を割り当て、Unnumberedを使用するよう設定します。
デフォルトルートを設定します。
WAN側（ppp0）インターフェースに適用するIPフィルター「1」の設定を行います。

なお、IPフィルターの設定ではコマンドラインが長くなりがちなので、適宜省略形を用いてください。この例でも省略形を用いています。
- LAN側から張ったTCPコネクションに限り、インターネット側からLANへのTCPパケットを通過させます。
- インターネット側からLAN側へのUDPパケットは、DNSからの応答（始点UDPポート53番）のみ通過させます。
- インターネット側からLAN側へのICMPパケットはすべて通過させます。
Note - IPフィルターのデフォルト動作は「すべて拒否（EXCLUDE）」です。すなわち、明示的に指定した条件にマッチしなかったパケットはすべて破棄されます。
LAN側（eth0）インターフェースに適用するIPフィルター「2」の設定を行います。
- LAN側からインターネット側へのTCPパケットはすべて通過させます。
- LAN側からインターネット側へのUDPパケットは、DNSへのリクエスト（終点UDPポート53番）のみ通過させます。
- LAN側からインターネット側へのICMPパケットはすべて通過させます。
Note - IPフィルターのデフォルト動作は「すべて拒否（EXCLUDE）」です。すなわち、明示的に指定した条件にマッチしなかったパケットはすべて破棄されます。
IPフィルター「1」をWAN側（ppp0）インターフェースに適用します。
IPフィルター「2」をLAN側（eth0）インターフェースに適用します。
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

メモ

■ IPフィルターには、条件を指定するさまざまなパラメーターがあります。くわしくはコマンドリファレンスをご覧ください。

■ IPフィルターはパラメーターが多いため、コマンドラインが長くなりがちです。コマンドラインの入力文字数制限によりコマンドを入力できない場合は、省略形を使ったり、コマンドを複数行に分けるなどして対処してください。

また、コマンドパラメーターの詳細についてはコマンドリファレンスをご覧ください。

■ IPフィルターの設定状況を確認するには次のコマンドを使います。

SHOW IP FILTER ↓

■ どのIPインターフェースにどのソフトウェアIPフィルターが適用されているかを確認するには、次のコマンドを使います。

SHOW IP INTERFACE ↓

■ IPインターフェースからIPフィルターを削除するには、SET IP INTERFACEコマンドのFILTERパラメーターにNONEを指定します。IPインターフェースeth0からIPフィルターの適用を取り消すには、次のようにします。

SET IP INT=eth0 FILTER=NONE ↓

■ 現在の設定内容を表示するには、次のコマンドを使います。

SHOW CONFIG DYNAMIC ↓

まとめ

ルーターのコンフィグ [テキスト版]

SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓ CREATE TDM GROUP=ISP INT=bri0 SLOTS=1 ↓ CREATE PPP=0 OVER=TDM-ISP LQR=OFF ↓ ENABLE IP ↓ ADD IP INT=eth0 IP=4.4.4.1 MASK=255.255.255.240 ↓ ADD IP INT=ppp0 IP=0.0.0.0 ↓ ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓ ADD IP FILT=1 SO=0.0.0.0 SM=0.0.0.0 DEST=4.4.4.0 DM=255.255.255.240 AC=INCLUDE ↓ SET IP FILT=1 ENTRY=1 PROT=TCP SESS=ESTABLISHED ↓ ADD IP FILT=1 SO=0.0.0.0 SM=0.0.0.0 DEST=4.4.4.0 DM=255.255.255.240 AC=INCLUDE ↓ SET IP FILT=1 ENTRY=2 PROT=UDP SPORT=53 ↓ ADD IP FILT=1 SO=0.0.0.0 SM=0.0.0.0 DEST=4.4.4.0 DM=255.255.255.240 AC=INCLUDE ↓ SET IP FILT=1 ENTRY=3 PROT=ICMP ↓ ADD IP FILT=2 SO=4.4.4.0 SM=255.255.255.240 DEST=0.0.0.0 DM=0.0.0.0 AC=INCLUDE ↓ SET IP FILT=2 ENTRY=1 PROT=TCP SESS=ANY ↓ ADD IP FILT=2 SO=4.4.4.0 SM=255.255.255.240 DEST=0.0.0.0 DM=0.0.0.0 AC=INCLUDE ↓ SET IP FILT=2 ENTRY=2 PROT=UDP DPORT=53 ↓ ADD IP FILT=2 SO=4.4.4.0 SM=255.255.255.240 DEST=0.0.0.0 DM=0.0.0.0 AC=INCLUDE ↓ SET IP FILT=2 ENTRY=3 PROT=ICMP ↓ SET IP INT=ppp0 FILT=1 ↓ SET IP INT=eth0 FILT=2 ↓

CentreCOM AR300/AR700 シリーズ設定例集 2.3 #31

PN: J613-M0507-00 Rev.G

＜前頁次頁＞＜＜＞＞ ↑ 目次（番号順 (詳細)・回線別 (詳細)・機能別 (詳細)）

WAN側インターフェース	Unnumbered
使用できるIPアドレス	4.4.4.0/28（4.4.4.0～4.4.4.15）

TDMグループ名	ISP
回線速度	64Kbps
WAN側物理インターフェース	bri0
WAN側（ppp0）IPアドレス	Unnumbered
LAN側（eth0）IPアドレス	4.4.4.1/28