<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR550S 設定例集 2.9 #10
ISDNによる端末型インターネット接続+IP2点間接続の併用
ISDN回線を使って端末型インターネット接続とLAN間IP接続の両方を同時に行います。インターネットとの接続では、ダイナミックENATで1個のグローバルアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。
ここでは、次のようなネットワーク構成を例に解説します。
表 1:ISPから提供された情報
ISPアクセスポイントの番号 |
03-1234-3333 |
PPPユーザー名 |
ispuser |
PPPパスワード |
isppasswd |
使用できるIPアドレス |
グローバル1個(動的割り当て) |
接続形態 |
端末型ダイヤルアップ |
ルーターには、次のような方針で設定を行います。
- ダイヤルオンデマンドで必要なときに発呼し、無通信状態が60秒続いたら自動的に回線が切断されるようにします。
- ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
- ファイアウォールのダイナミックENAT機能を使用して、LAN側ネットワークのプライベートIPアドレスを、ISPから与えられたグローバルIPアドレスに変換します。これにより、LANに接続された複数のコンピューターからインターネットへの同時アクセスが可能になります。
- 不必要な発呼や情報の漏洩を防ぐため、LAN側からのMS-Networksパケット(NetBIOS)を遮断します。
表 2:ルーターの基本設定
|
ルーターA |
ルーターB |
ISDN番号 |
03-1234-1111 |
06-1234-2222 |
ISDNコール名(1) |
REMOTE(対ルーターB) |
REMOTE(対ルーターA) |
ISDNコール名(2) |
ISP(対ISP) |
(なし) |
ISDN発着優先(1) |
発呼優先(対ルーターB) |
着呼優先(対ルーターA) |
ISDN発着優先(2) |
発呼優先(対ISP) |
(なし) |
ISDN識別方式 |
発番号識別 |
発番号識別 |
WAN側物理インターフェース |
bri0 |
bri0 |
WAN側(ppp0)IPアドレス(1) |
192.168.100.1/24(対ルーターB) |
192.168.100.2/24(対ルーターA) |
WAN側(ppp1)IPアドレス(2) |
ISPから動的割り当て |
(なし) |
LAN側(vlan1)IPアドレス |
192.168.10.1/24 |
192.168.20.1/24 |
- ルーターB(対向拠点)と接続するためのISDNコール「REMOTE」を作成します。「PRECEDENCE=OUT」は、ルーターBと同時に通信が発生した場合に、発呼を優先するよう指示するものです。また、「INTREQ=bri0」により、発呼に使用する物理インターフェースとしてbri0を指定します。
ADD ISDN CALL=REMOTE NUMBER=0612342222 PRECEDENCE=OUT INTREQ=bri0 ↓
- ルーターBからの着信のみを許可するため、「SEARCHCLI=ON」を指定して、発信者番号による識別をオンにします。また、ルーターBに発信者番号を通知するため、CALLINGNUMBERパラメーターで自局番号を設定します。
SET ISDN CALL=REMOTE SEARCHCLI=ON CALLINGNUMBER=0312341111 ↓
- ISPと接続するためのISDNコール「ISP」を作成します。発呼に使用するインターフェースとしてbri0を指定します。
ADD ISDN CALL=ISP NUMBER=0312343333 PRECEDENCE=OUT INTREQ=bri0 ↓
- 対ルーターBのPPPインターフェース「0」を作成し、ダイヤルオンデマンドを有効にします。
CREATE PPP=0 OVER=ISDN-REMOTE IDLE=ON ↓
- 対ISPのPPPインターフェース「1」を作成し、ダイヤルオンデマンドを有効にします。また、「IPREQUEST=ON」を指定して、ISPからIPアドレスを取得するよう設定します。LQRはオフにします。
CREATE PPP=1 OVER=ISDN-ISP IPREQUEST=ON IDLE=ON LQR=OFF ↓
- ISPにPPP接続するためのユーザー名とパスワードを設定します。
SET PPP=1 USER=ispuser PASSWORD=isppasswd ↓
- IPモジュールを有効にします。
- 接続時にISPから与えられるIPアドレスを、PPPインターフェースで使用するよう設定します。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
- PPPインターフェース「0」(対ルーターB)にIPアドレスを設定します。
ADD IP INT=ppp0 IP=192.168.100.1 MASK=255.255.255.0 ↓
- PPPインターフェース「1」(対ISP)にIPアドレス「0.0.0.0」を設定します。これは、ISPとの接続が確立するまで、IPアドレスが確定しないことを示します。
ADD IP INT=ppp1 IP=0.0.0.0 ↓
- 対向拠点への経路(ppp0)を設定します。
ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INT=ppp0 NEXTHOP=192.168.100.2 ↓
- デフォルトルートをISP側(ppp1)に設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp1 NEXTHOP=0.0.0.0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース(vlan1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
- 対向拠点側インターフェース(ppp0)をPUBLIC(外部)に設定し、かつ、すべてのパケットを通過させるよう設定します(METHOD=PASSALL)。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC METHOD=PASSALL ↓
- ISP側インターフェース(ppp1)をPUBLICに設定します。
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PUBLIC ↓
- LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ISPから割り当てられたアドレス(ppp1のアドレス)を使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp1 ↓
- 不要な発呼を防ぐため、LAN側からのMS-Networksパケット(UDPポートの137〜139番)を遮断するファイアウォールルールを作成します。
ADD FIREWALL POLICY=net RULE=1 ACTION=DENY INT=vlan1 PROTO=UDP PORT=137-139 ↓
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- ルーターA(対向拠点)と接続するためのISDNコール「REMOTE」を作成します。「PRECEDENCE=IN」は、ルーターAと同時に通信が発生した場合に、着呼を優先するよう指示するものです。また、「INTREQ=bri0」により、発呼に使用する物理インターフェースとしてbri0を指定します。
ADD ISDN CALL=REMOTE NUMBER=0312341111 PRECEDENCE=IN INTREQ=bri0 ↓
- ルーターAからの着信のみを許可するため、「SEARCHCLI=ON」を指定して、発信者番号による識別をオンにします。また、ルーターAに発信者番号を通知するため、CALLINGNUMBERパラメーターで自局番号を設定します。
SET ISDN CALL=REMOTE SEARCHCLI=ON CALLINGNUMBER=0612342222 ↓
- ISDNコール「REMOTE」上にPPPインターフェース「0」を作成します。また、「IDLE=ON」により、必要に応じて自動発呼するダイヤルオンデマンド機能を有効にします。
CREATE PPP=0 OVER=ISDN-REMOTE IDLE=ON ↓
- IPモジュールを有効にします。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにIPアドレスを設定します。
ADD IP INT=ppp0 IP=192.168.100.2 MASK=255.255.255.0 ↓
- 経路情報を設定します。
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INT=ppp0 NEXTHOP=192.168.100.1 ↓
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
ルーターAのコンフィグ
[テキスト版]
ADD ISDN CALL=REMOTE NUMBER=0612342222 PRECEDENCE=OUT INTREQ=bri0 ↓
SET ISDN CALL=REMOTE SEARCHCLI=ON CALLINGNUMBER=0312341111 ↓
ADD ISDN CALL=ISP NUMBER=0312343333 PRECEDENCE=OUT INTREQ=bri0 ↓
CREATE PPP=0 OVER=ISDN-REMOTE IDLE=ON ↓
CREATE PPP=1 OVER=ISDN-ISP IPREQUEST=ON IDLE=ON LQR=OFF ↓
SET PPP=1 USER=ispuser PASSWORD=isppasswd ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=192.168.100.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp1 IP=0.0.0.0 ↓
ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INT=ppp0 NEXTHOP=192.168.100.2 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp1 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC METHOD=PASSALL ↓
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp1 ↓
ADD FIREWALL POLICY=net RULE=1 ACTION=DENY INT=vlan1 PROTO=UDP PORT=137-139 ↓
|
ルーターBのコンフィグ
[テキスト版]
ADD ISDN CALL=REMOTE NUMBER=0312341111 PRECEDENCE=IN INTREQ=bri0 ↓
SET ISDN CALL=REMOTE SEARCHCLI=ON CALLINGNUMBER=0612342222 ↓
CREATE PPP=0 OVER=ISDN-REMOTE IDLE=ON ↓
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=192.168.100.2 MASK=255.255.255.0 ↓
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INT=ppp0 NEXTHOP=192.168.100.1 ↓
|
CentreCOM AR550S 設定例集 2.9 #10
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-04 Rev.P
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))