Windows_Router Memo/AR415S
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
]
開始行:
*AR415S Router 設定 [#x3fb57dc]
アライド製のルータAR415SをIP8個用のルータとして最低設定を...
**設定項目 [#ybf6195c]
+パスワード
+LAN,WANのIPの設定
+IP Filterの設定
WANのIP:61.115.252.55/22 GW:61.115.255.254~
LANのIP:61.122.218.214/29
WANからアクセス可ポート~
TCP 22,25,53,80,443~
UDP 37,53~
ICMP
**設定 [#wa7a64e1]
設定シリアルケーブルを使用。~
マニュアル[[Web:http://www.allied-telesis.co.jp/support/l...
''接続''
INFO: Self tests beginning.
INFO: RAM test beginning.
PASS: RAM test, 32768k bytes found.
INFO: Self tests complete.
INFO: Downloading router software.
Force EPROM download (Y) ?
INFO: Initial download successful.
INFO: Initialising Flash File System.
INFO: Executing configuration script <flash:test01.cfg>
INFO: Router startup complete
login: manager
Password: ***** <==defalt:friend
''パスワード変更''
Manager > set password
Old password: ******
New password: ******
Confirm: *****
''時刻の確認''
Manager > show time
System time is 08:55:12 on Wednesday 25-Jul-2007.
&color(red){''PPPoEの設定(Unnumbered IP)''};
enable ip
# ANYはISPから指定がない場合は、どのサービス名タグでも受...
create ppp=0 over=eth0-ANY
# bap:マルチリンクPPP(MP)使用時(Default ON)
# iprequest:リモート側にIPアドレスの割り当てを要求するか...
# lqr:リンク状態の監視にLQR(Link Quality Report)パケッ...
デフォルトはON ECHOパラメーターと同時にONにすることはで...
# echo: リンク状態の監視にLCP Echoパケットを使用するかど...
デフォルト10秒間隔で送信される。3回連続でEcho Replyが戻...
リンクがダウンしたと判断する。
# DHCPによるIPアドレスの動的設定機能を有効にする
enable ip remoteassign
#LAN側の設定(1)
add ip int=vlan1 ip=xx.xx.xx.xx mask=255.255.255.240
set ppp=0 bap=off iprequest=on username="****@xx.yy.jp"...
set ppp=0 over=eth0-ANY lqr=off echo=on
# Unnumbered IP
add ip int=ppp0 ip=0.0.0.0 mask=0.0.0.0
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0
&color(red){add ip int=ppp0 ip=0.0.0.0 mask=0.0.0.0と設定...
&color(red){(1)のlocal側の設定をpppより先に設定しないと、...
Error (3005293): Network 210.160.237.176 already used on...
''PPPoE接続確認''
Manager PPPoE(stock-cube.net)> show log
Date/Time S Mod Type SType Message
--------------------------------------------------------...
14 15:11:11 4 ENCO ENCO PAC M18X Security Engine Found.
14 15:11:11 4 ENCO ENCO PAC M18X Security Engine Init...
14 15:11:11 3 LOG IGMP packet trapping is a...
snooping, L3FILT is activ...
14 15:11:11 4 ENCO ENCO STAC STAC SW Initialised
14 15:11:11 7 SYS REST NORM Router startup, ver 2.9.1...
Log: 15:09:55 on 14-Aug-2...
14 15:11:13 6 SWIT PINT UP Port4: interface is UP
14 15:11:16 6 ETH PINT UP ETH0: interface is UP
14 15:11:16 3 PPP VINT UP ppp0: Interface has come ...
and receive data
14 15:11:16 3 PPP AUTH OK ppp0: CHAP authentication...
succeeded
14 15:11:16 3 IPG CIRC CONF Remote request to set ppp...
accepted
14 15:12:33 3 USER USER LON manager login on port0
--------------------------------------------------------...
&color(red){''IPの設定(固定のWAN)''};
Manager > ENABLE IP
Info (1005287): IP module has been enabled.
Manager > ADD IP INT=ETH0 IP=61.115.252.55 MASK=255.255....
Info (1005275): interface successfully added.
Manager > ADD IP INT=VLAN1 IP=61.122.218.214 MASK=255.25...
Manager > ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=ETH0 NEX...
Info (1005275): IP route successfully added.
''デフォルトルートの削除''~
デフォルトルートは上書きではなく追加なので一度削除する。
del ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=10.3.4.58
''インターフェイスIPの表示''
Manager > show ip int
Interface Type IP Address Bc Fr PArp Filt...
Pri. Filt Pol.Filt Network Mask MTU VJC GRE ...
VLAN Tag VLAN Priority InvArp
--------------------------------------------------------...
LOCAL --- Not set - - - --- ...
--- --- Not set 1500 - --- ...
none none -
vlan1 Static 61.122.218.214 1 n On --- ...
--- --- 255.255.255.248 1500 - --- ...
none none -
eth0 Static 61.115.252.55 1 n On --- ...
--- --- 255.255.252.0 1500 - --- ...
none none -
--------------------------------------------------------...
''ファイルの保存''
Manager > create config=dc01.cfg
Info (1034003): Operation successful.
''ファイルの確認''
Manager > show file
Filename Device Size Created ...
--------------------------------------------------------...
54281-04.rez flash 4857208 24-Mar-20...
feature.lic flash 39 24-Mar-20...
help.hlp flash 75892 24-Mar-20...
longname.lfn flash 17 15-Jun-20...
prefer.ins flash 64 24-Mar-20...
release.lic flash 32 24-Mar-20...
dc01.cfg flash 2464 25-Jul-20...
--------------------------------------------------------...
''FALSHの容量表示''
Manager > show flash
''ファイル内容の表示''
Manager > show file=dc01.cfg
File : dc01.cfg
1:
2:# Command Handler configuration
3:
4:# System configuration
5:
6:# TIMEZONE configuration
7:
8:# Flash memory configuration
9:
10:# LOADER configuration
11:
12:# User configuration
13:set user=manager pass=a6d7b66b15077f4***********719b8...
14:set user=manager telnet=yes desc="Manager Account"
15:
16:# TTY configuration
17:
18:# ASYN configuration
--More-- (<space> = next page, <CR> = one line, C = con...
''起動時のConfigファイルの指定''
設定した内容は.cfgがつくファイル名で保存して起動時に読み...
Manager > set config=dc01.cfg
Info (1049003): Operation successful.
&color(red){起動時初期状態に戻すには};
Manager > set config=none
boot.cfgがある製品はこの設定でboot.cfgを読み込む
''起動のConfigファイルの表示''
Manager > show config
Boot configuration file: flash:dc01.cfg (exists)
Current configuration: None
&color(red){''フィルタの指定''};
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
#上記のままだとLANから接続したパケットの戻りを許可できな...
ADD IP FILT=1 TY=TRAFFIC SO=0.0.0.0 SMA=0.0.0.0 DEST=61....
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
#UDPはSESSIONという考え方がないので、ソースポートで許可
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
SET IP INT=ETH0 FILTER=1
''フィルタの確認''
Manager > show ip filter
IP Filters
--------------------------------------------------------...
No. Filter Type
Ent. Source Port Source Address Source Mask ...
Dest. Port Dest. Address Dest. Mask ...
Pattern Type Act/Pol/Pri Logging ...
--------------------------------------------------------...
1 Traffic
1 Any Any Any ...
22:22 192.168.200.0 255.255.255.0 ...
General Include Off ...
2 --- Any Any ...
--- 192.168.200.0 255.255.255.0 ...
General Include Off ...
Requests: 0 Passes: 0 Fails: ...
--------------------------------------------------------...
''フィルタの削除(エントリー)''
Manager > del ip filt=1 entry=2
''フィルタの削除(フィルター番号)''~
フィルタ番号は複数同一インターフェイスに設定できないので...
Manager > SET IP INT=ETH0 FILTER=NONE
''フィルタ内容の変更''
SET IP FILT=1 ENTRY=4 PROTO=TCP DPORT=443
一度「SET IP INT=ETH0 FILTER=1」してると変更時は特に必要...
''IPフィルターでWAN側のTELNETを拒否''
この場合はvlan1側からは接続可能になるが、vlan1にはプライ...
&color(red){しかし、ルータを16IPなどのルータとして使用し...
&Color(red){注意はインターフェイスとIPは別でどこかのイン...
fil1はインターフェイスeth0に適用で、IP:192.168.10.100に対...
''fli=1''
-eth0への入力がすべてのアドレスに対してdes=192.168.10.100...
-eth0への入力がdes=192.168.10.100に対してすべて拒否
-eth0への入力がdes=192.168.70.1に対してすべて拒否
--(eth0から入って192.168.70.1に届くパケットを拒否)
-eth0への入力がすべてのアドレスに対して許可
''fil=2''
-vlan1への入力のso=192.168.70.0に対してdes=192.168.70.1へ...
-vlan1への入力のso=192.168.70.0に対してdes=192.168.10.100...
-vlan1への入力がdes=192.168.10.100に対してすべて拒否
-vlan1への入力がdes=192.168.70.1に対してすべて拒否
-vlan1への入力がすべてのアドレスに対して許可
add ip fil=1 so=0.0.0.0 ent=1 des=192.168.10.100 ac=incl...
add ip fil=1 so=0.0.0.0 ent=51 des=192.168.10.100 ac=exc...
add ip fil=1 so=0.0.0.0 ent=52 des=192.168.70.1 ac=exclude
add ip fil=1 so=0.0.0.0 ent=99 ac=include
add ip fil=2 so=192.168.70.0 ent=1 sm=255.255.255.0 des=...
add ip fil=2 so=192.168.70.0 ent=2 sm=255.255.255.0 des=...
add ip fil=2 so=0.0.0.0 ent=51 des=192.168.10.100 ac=exc...
add ip fil=2 so=0.0.0.0 ent=52 des=192.168.70.1 ac=exclude
add ip fil=2 so=0.0.0.0 ent=99 ac=include
add ip int=eth0 ip=192.168.10.100 fil=1
add ip int=vlan1 ip=192.168.70.1 fil=2
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=192.168.10...
|
|
V eth0
---------------
| AR415S | |
---------------
V ^ vlan1
| |
----
&color(red){このように回り込んでのtelnetの接続もできるの...
PPPの時はインターフェイスはppp0になる
''HTTPポートについて''
HTTPポートはサポートしていないにも関わらず、アクセスする...
DISABLE HTTP SERVER
***ファイアウォールの設定方法 [#b97cac8a]
IPフィルタでは内部からのパケットの戻りや、UDPの接続に気を...
''・ファイアウォールの有効''~
enable firewall
''・ファイアウォールポリシー「net」を作成(ポリシー名は任...
create firewall policy="net"
''・各IPインターフェイスの属性を定義(Private/Public)''~
PUBLIC(外部)とPRIVATE(内部)がある。ファイアウォールの...
この基本ルールをもとに、ADD FIREWALL POLICY RULEコマンド...
add firewall policy="net" int=vlan1 type=private
add firewall policy="net" int=eth0 type=public
pppoeのときは「int=ppp0」等になる
''・インターフェイス間でのICMP転送は許可''
enable firewall policy="net" icmp_f=all
''・ident、tcp代理応答を無効化''
disable firewall policy="net" identproxy
disable firewall policy="net" tcpsetupproxy
以上がファイアウォールの基本設定で、ここまでの設定によって~
Private->Public への通信は全て許可、Publi->Privateへの通...
全て遮断する動作となる。~
この基本動作と異なる条件を付与する場合、ファイアウォール...
''・WAN -> LAN方向への 61.122.218.208/29 TCP 22 宛通信を...
add firewall policy="net" rule=1 ac=allow int=eth0
prot=tcp po=22 ip=61.122.218.208-61.122.218.215
''・WAN -> LAN方向への 61.122.218.208/29 UDP 53 宛通信を...
add firewall policy="net" rule=2 ac=allow int=eth0
prot=udp po=53 ip=61.122.218.208-61.122.218.215
''・pptpパススルー''~
ファームのバージョンが2.9.1-05以降は1行それ以前は2行必要。~
確認は # show system
2.9.1-05以降
add firewall policy="net" rule=3 ac=allow int=eth0
prot=tcp po=pptp ip=61.122.218.208-61.122.218.215
2.9.1-05より前
add firewall policy="net" rule=3 ac=allow int=eth0
prot=tcp po=1723 ip=61.122.218.208-61.122.218.215
add firewall policy="net" rule=4 ac=allow int=eth0
prot=47 ip=61.122.218.208-61.122.218.215
注)2.9.1-05より前ではpptpのポートは番号1723で指定しGREプ...
''現在の設定の確認''
Manager > show config dynamic
# Command Handler configuration
# System configuration
# TIMEZONE configuration
# Flash memory configuration
# LOADER configuration
# User configuration
set user=manager pass=************************** priv=ma...
set user=manager telnet=yes desc="Manager Account"
# TTY configuration
(略)
# GRE configuration
# IP configuration
enable ip
add ip int=vlan1 ip=xxx.xxx.xxx.214 mask=255.255.255.248
add ip int=eth0 ip=xxx.xxx.252.55 mask=255.255.252.0
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=xxx.xxx.xx...
# IPv6 configuration
# SWITCH (post-IP) configuration
(略)
# Firewall configuration
enable firewall
create firewall policy="net"
disable firewall policy="net" identproxy
enable firewall policy="net" icmp_f=all
disable firewall policy="net" tcpsetupproxy
add firewall policy="net" int=vlan1 type=private
add firewall policy="net" int=eth0 type=public
add firewall poli="net" ru=1 ac=allo int=eth0 prot=tcp p...
ip=yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx
add firewall poli="net" ru=2 ac=allo int=eth0 prot=tcp p...
ip=yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx
add firewall poli="net" ru=3 ac=allo int=eth0 prot=tcp p...
ip=yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx
add firewall poli="net" ru=4 ac=allo int=eth0 prot=tcp p...
ip=yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx
(略)
''例えばipの現在の状態の表示''
Manager > show config dynamic=ip
# IP configuration
enable ip
add ip int=vlan1 ip=xxx.xxx.xxx.214 mask=255.255.255.248
add ip int=eth0 ip=xxx.xxx.xxx.xxx mask=255.255.252.0
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=xxx.xxx.xx...
''firewallの削除''
# DELETE FIREWALL POLICY="net" rule=101
''K校の設定''
Manager > show config dynamic
# Command Handler configuration
(略)
# User configuration
set user=manager pass=**************************** priv=...
set user=manager telnet=yes desc="Manager Account"
# TTY configuration
(略)
# Sec Associations configuration
# VLAN general configuration
create vlan="vlan10" vid=10
create vlan="vlan20" vid=20
# VLAN port configuration
add vlan="10" port=1-2
add vlan="20" port=3-4
# IGMP Snooping configuration
(略)
# GRE configuration
# IP configuration
enable ip
ena ip dnsrelay
add ip fil=1 so=0.0.0.0 ent=1 des=192.168.2.0 dm=255.255...
add ip fil=1 so=0.0.0.0 ent=2 ac=include
add ip fil=2 so=0.0.0.0 ent=1 des=192.168.1.0 dm=255.255...
add ip fil=2 so=0.0.0.0 ent=2 ac=include
add ip int=vlan10 ip=192.168.1.254 fil=1
add ip int=vlan20 ip=192.168.2.254 fil=2
add ip int=eth0 ip=xxx.xxx.xxx.xxx mask=255.255.248.0
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=yyy.yyy.yy...
add ip dns prim=zzz.zzz.zzz.zzz seco=aaa.aaa.aaa.aaa
(略)
# INT configuration
# Firewall configuration
enable firewall
create firewall policy="net2"
disable firewall policy="net2" identproxy
enable firewall policy="net2" icmp_f=all
disable firewall policy="net2" tcpsetupproxy
add firewall policy="net2" int=vlan10 type=private
add firewall policy="net2" int=vlan20 type=private
add firewall policy="net2" int=eth0 type=public
add firewall poli="net2" nat=enhanced int=vlan10 gblin=e...
add firewall poli="net2" nat=enhanced int=vlan20 gblin=e...
add firewall poli="net2" ru=1 ac=allo int=eth0 prot=tcp ...
set firewall poli="net2" ru=1 rem=bbb.bbb.bbb.1-bbb.bbb....
# ==== http, httpsのポートフォアードを追加 (09'12) ====
# httpはすべてOK
add firewall poli="net2" ru=2 ac=allo int=eth0 prot=tcp ...
# hhtpsはすべてOK
add firewall poli="net2" ru=3 ac=allo int=eth0 prot=tcp ...
(略)
# HTTP configuration
disable http server
(略)
''新たに接続許可アドレスやポートの追加''
add firewall poli="net2" ru=5 ac=allo int=eth0 prot=tcp ...
''コマンドプロンプトに文字表示''
Manager >set system name="ISM_Router"
Manager ISM_Router>
***ポートVlan間の通信 [#ld968066]
|
|
|IP xxx.xxx.xxx.xxx
--------------------
| AR415S |
--------------------
|vlan10 |vlan20 ------------
| |---------| Webサーバ|
| | ------------
| 192.168.2.0/24 192.168.2.252
192.168.1.0/24
この構成で、vlan10(192.168.1.0/24) と vlan20(192.168.2.0/...
間の通信を以下の要件で抑制するものとします。
-TCP通信... vlan20 から vlan10 に開始する通信を遮断する
-ICMP通信... vlan20 から valn10 へのPING要求を遮断する~
(vlan10からのPing要求に対する応答は許可されます)
-UDP通信 ... 送信元ポートが53番のみを許可する
vlan10からvlan20への通信を許可し、vlan20からvlan10の通信...
TCPにいついてはセッションを張るのにセッション開始1番目の...
既存のフィルター条件を修正しますので、以下コマンドで
事前にフィルター条件を削除しておきます。
set ip int=vlan10 filter=none
set ip int=vlan20 filter=none
delete ip filter=1 entry=1
delete ip filter=1 entry=2
delete ip filter=2 entry=1
delete ip filter=2 entry=2
・TCP通信についてのエントリー。
192.168.2.0/24 から 192.168.1.0/24 へ開始する通信(session...
を遮断(exclude)します。
add ip filter=2 entry=1 so=192.168.2.0 sm=255.255.255.0 ...
dm=255.255.255.0 prot=tcp session=start ac=exclude
・ICMP通信についてのエントリー。
192.168.2.0/24 から 192.168.1.0/24 へのPing要求(ECHO)のみを
遮断します。
add ip filter=2 entry=2 so=192.168.2.0 sm=255.255.255.0 ...
dm=255.255.255.0 prot=icmp icmptype=echo ac=exclude
・UDP通信についてのエントリー
192.168.2.0/24 から送信元ポートが53番の場合のみ許可します。
add ip filter=2 entry=3 so=192.168.2.0 sm=255.255.255.0 ...
dm=255.255.255.0 prot=udp sp=53 ac=include
add ip filter=2 entry=4 so=192.168.2.0 sm=255.255.255.0 ...
dm=255.255.255.0 prot=udp ac=exclude
・上記以外の通信についてのエントリー
上記1〜4 の条件に合致しないパケットは許可します。
add ip filter=2 entry=5 so=0.0.0.0 ac=include
・作成したフィルター「2」をvlan20 に適用します。
set ip int=vlan20 filter=2
***VLAN [#o16136fc]
''ポートVLAN''~
&color(red){ポートVLANではL2レベルで切れていて、L3レベル...
VLANを作成このとき&color(red){VLAN名はvlanxxは特別な名前...
CREATE VLAN=vlan10 VID=10
CREATE VLAN=vlan20 VID=20
VLANをLANポートにマッピング
ADD VLAN=vlan10 PORT=1-2
ADD VLAN=vlan20 PORT=3-4
vlanにIPアドレスをマッピングただし同一IPは不可
ADD IP INT=vlan10 IP=192.168.1.254 MASK=255.255.255.0
ADD IP INT=vlan20 IP=192.168.2.254 MASK=255.255.255.0
FIREWALLを作成するこのときポリシーをVLANごとに作成する作...
Manager >
Warning (2077257): 04-Aug-2008 16:03:21
192.168.2.150 attempting to use non-policy interface.
Manager >
Info (1077257): 04-Aug-2008 16:04:32
192.168.2.150 stopped attempts to use non-policy inter...
Info (1077257): 04-Aug-2008 16:04:32
192.168.2.150 stopped attempts to use non-policy inter...
以下の設定はだめ。
ENABLE FIREWALL
CREATE FIREWALL POLICY=net1
CREATE FIREWALL POLICY=net2
そこでPOLICYをひとつにして、両方のVLANを同じPOLICYを適用...
ENABLE FIREWALL
CREATE FIREWALL POLICY=net1
DISABLE FIREWALL POLICY=net1 IDENTPROXY
disable firewall policy="net1" tcpsetupproxy
LANとWAN側を指定
ADD FIREWALL POLICY=net1 INT=vlan10 TYPE=PRIVATE
ADD FIREWALL POLICY=net1 INT=vlan20 TYPE=PRIVATE
ADD FIREWALL POLICY=net1 INT=eth0 TYPE=PUBLIC
ICMPを許可
enable firewall policy="net1" icmp_f=all
マルチNATを設定
ADD FIREWALL POLICY=net1 NAT=ENHANCED INT=vlan10 GBLINT=...
ADD FIREWALL POLICY=net1 NAT=ENHANCED INT=vlan20 GBLINT=...
ポートフォーワードの設定~
アクセス許可アドレス:192.168.100.1-192.168.100.254~
ポート:22~
フォーワード先IP:192.168.1.252
ADD FIREWALL POLICY=net1 RULE=1 AC=ALLOW INT=eth0 PROTO=...
GBLIP=192.168.10.200 GBLPORT=22 IP=192.168.1.252 PORT=22...
ifフィルタの設定(VLAN10とVLAN20の通信を遮断)~
VLANで分離してもルータのインターフェイスにそれぞれのネッ...
ルーティング情報があるため通信できるそれをフィルタで遮断...
VLAN20にはVLAN10からフィルタがないと通信できる。VALN10とV...
------------------------
| |
| VLAN10<-->VLAN20 |
----+----------+--------
|DG/W |DG/W
| |
あて先が192.168.2.0/24のパケットは通さない
add ip fil=1 so=0.0.0.0 ent=1 des=192.168.2.0 dm=255.255...
あて先が192.168.2.0/24以外のパケットは通過する。そうしな...
add ip fil=1 so=0.0.0.0 ent=2 ac=include
add ip fil=2 so=0.0.0.0 ent=1 des=192.168.1.0 dm=255.255...
add ip fil=2 so=0.0.0.0 ent=2 ac=include
add ip int=vlan10 ip=192.168.1.254 fil=1
add ip int=vlan20 ip=192.168.2.254 fil=2
''タグVLAN''~
それぞれのルータのポート1にvlan10ポート2,3にvlan20を割り...
Internet
|
|
--+-------------------------------
| | | ルータA |
| etho | 4 3 2 1 |
-------------+----+---+----+------
| | | |
| vlan20 |
| vlan10
|
|
|
-------------+--------------------
|ルータB 4 |
| 3 2 1 |
------------------+---+----+------
| | |
| | vlan10
vlan20
''構成図''
CREATE VLAN=vlan10 VID=10
CREATE VLAN=vlan20 VID=20
ポート4にはvlan10とVlan20両方パケットが流れるので両方追加...
ADD VLAN=vlan10 PORT=1
ADD VLAN=vlan10 PORT=4 FRAME=TAGGED
ADD VLAN=vlan20 PORT=2-3
ADD VLAN=vlan20 PORT=4 FRAME=TAGGED
このときタグVLANはこれで利用できるがeth0からWANに出るため...
ADD IP INT=vlan10 IP=192.168.1.254 MASK=255.255.255.0
ADD IP INT=vlan20 IP=192.168.2.254 MASK=255.255.255.0
これでvlan10のPCゲートウェイは192.168.1.254 vlan20は192.1...
**Log [#s42a0eab]
Logでわかる例
> show log
-ポリシー違反のパケットが流れてきている
21 09:17:34 4 FIRE FIRE ATTK 21-Aug-2013 09:17:34 2...
attempts to use non-polic...
-DOS攻撃を受信中
Warning (2077257): 21-Aug-2013 09:26:38
Denial of service attack from 186.136.183.36 is underw...
-DOS攻撃が終了
Info (1077257): 21-Aug-2013 09:31:23
Denial of service attack from 187.162.230.170 is finis...
-何らかのパケットが流れてきている
21 09:09:18 4 FIRE FIRE ATTK 21-Aug-2013 09:09:18 H...
192.168.82.245 is finished
**AR415S設定ファイル転送(ZMODEM) [#s4019388]
ZMODEMでPCとシリアルで転送
''AR415SからPCに''
Manager > upload file=ctc2swf.cfg method=zmodem asyn=0**...
(TearaTerm側で ファイル → 転送 → ZMODEM → 受信)
Info (1048310): Upload initiated.
Info (1048270): File transfer successfully completed
'' PCからAR415Sに''
Manager > load method=zmodem asyn=0 destination=flash
(TearaTerm側で ファイル → 転送 → ZMODEM → 送信)
Router ready to begin ZMODEM file transfers ...
B0100000023be50~
Info (1048293): ZMODEM, session over.
ところでファイルはteratermカレントディレクトリに指定され...
C:\Users\z13195\AppData\Local\VirtualStore\Program Files...
**AR415S SNMPでのポートとの関係 [#w14a96b3]
''snmpエージェント設定''
-マネージャー:192.168.10.66
# SNMP configuration
enable snmp
create snmp community=public
add snmp community=public manager=192.168.10.66
Manager > show interface
Interfaces sysUpTime: ...
DynamicLinkTraps.....Disabled
TrapLimit............20
Number of unencrypted PPP/FR links.....1
ifIndex Interface ifAdminStatus ifOperStatus i...
--------------------------------------------------------...
1 eth0 Up Up ...
2 bri0 Up Down ...
3 pri0 Up Down ...
4 ppp0 Up Down ...
--------------------------------------------------------...
ifIndex がmrtg.cfgでのTARGETで指定する番号
Target[localhost_2]: 2:private@localhost:
の:2:privateのたとえば2の部分
***AR415S SNMP応答 [#e9962411]
Linux(マネージャ)より確認
-AR415S : 192.168.10.100
# snmpwalk -v 2c -c public 192.168.10.100 | more
SNMPv2-MIB::sysDescr.0 = STRING: CentreCOM AR415S versio...
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises...
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (15280)...
SNMPv2-MIB::sysContact.0 = STRING:
SNMPv2-MIB::sysName.0 = STRING:
SNMPv2-MIB::sysLocation.0 = STRING:
SNMPv2-MIB::sysServices.0 = INTEGER: 4
略
**参考 [#j6511e4c]
[[マニュアル:http://www.allied-telesis.co.jp/support/list...
終了行:
*AR415S Router 設定 [#x3fb57dc]
アライド製のルータAR415SをIP8個用のルータとして最低設定を...
**設定項目 [#ybf6195c]
+パスワード
+LAN,WANのIPの設定
+IP Filterの設定
WANのIP:61.115.252.55/22 GW:61.115.255.254~
LANのIP:61.122.218.214/29
WANからアクセス可ポート~
TCP 22,25,53,80,443~
UDP 37,53~
ICMP
**設定 [#wa7a64e1]
設定シリアルケーブルを使用。~
マニュアル[[Web:http://www.allied-telesis.co.jp/support/l...
''接続''
INFO: Self tests beginning.
INFO: RAM test beginning.
PASS: RAM test, 32768k bytes found.
INFO: Self tests complete.
INFO: Downloading router software.
Force EPROM download (Y) ?
INFO: Initial download successful.
INFO: Initialising Flash File System.
INFO: Executing configuration script <flash:test01.cfg>
INFO: Router startup complete
login: manager
Password: ***** <==defalt:friend
''パスワード変更''
Manager > set password
Old password: ******
New password: ******
Confirm: *****
''時刻の確認''
Manager > show time
System time is 08:55:12 on Wednesday 25-Jul-2007.
&color(red){''PPPoEの設定(Unnumbered IP)''};
enable ip
# ANYはISPから指定がない場合は、どのサービス名タグでも受...
create ppp=0 over=eth0-ANY
# bap:マルチリンクPPP(MP)使用時(Default ON)
# iprequest:リモート側にIPアドレスの割り当てを要求するか...
# lqr:リンク状態の監視にLQR(Link Quality Report)パケッ...
デフォルトはON ECHOパラメーターと同時にONにすることはで...
# echo: リンク状態の監視にLCP Echoパケットを使用するかど...
デフォルト10秒間隔で送信される。3回連続でEcho Replyが戻...
リンクがダウンしたと判断する。
# DHCPによるIPアドレスの動的設定機能を有効にする
enable ip remoteassign
#LAN側の設定(1)
add ip int=vlan1 ip=xx.xx.xx.xx mask=255.255.255.240
set ppp=0 bap=off iprequest=on username="****@xx.yy.jp"...
set ppp=0 over=eth0-ANY lqr=off echo=on
# Unnumbered IP
add ip int=ppp0 ip=0.0.0.0 mask=0.0.0.0
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0
&color(red){add ip int=ppp0 ip=0.0.0.0 mask=0.0.0.0と設定...
&color(red){(1)のlocal側の設定をpppより先に設定しないと、...
Error (3005293): Network 210.160.237.176 already used on...
''PPPoE接続確認''
Manager PPPoE(stock-cube.net)> show log
Date/Time S Mod Type SType Message
--------------------------------------------------------...
14 15:11:11 4 ENCO ENCO PAC M18X Security Engine Found.
14 15:11:11 4 ENCO ENCO PAC M18X Security Engine Init...
14 15:11:11 3 LOG IGMP packet trapping is a...
snooping, L3FILT is activ...
14 15:11:11 4 ENCO ENCO STAC STAC SW Initialised
14 15:11:11 7 SYS REST NORM Router startup, ver 2.9.1...
Log: 15:09:55 on 14-Aug-2...
14 15:11:13 6 SWIT PINT UP Port4: interface is UP
14 15:11:16 6 ETH PINT UP ETH0: interface is UP
14 15:11:16 3 PPP VINT UP ppp0: Interface has come ...
and receive data
14 15:11:16 3 PPP AUTH OK ppp0: CHAP authentication...
succeeded
14 15:11:16 3 IPG CIRC CONF Remote request to set ppp...
accepted
14 15:12:33 3 USER USER LON manager login on port0
--------------------------------------------------------...
&color(red){''IPの設定(固定のWAN)''};
Manager > ENABLE IP
Info (1005287): IP module has been enabled.
Manager > ADD IP INT=ETH0 IP=61.115.252.55 MASK=255.255....
Info (1005275): interface successfully added.
Manager > ADD IP INT=VLAN1 IP=61.122.218.214 MASK=255.25...
Manager > ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=ETH0 NEX...
Info (1005275): IP route successfully added.
''デフォルトルートの削除''~
デフォルトルートは上書きではなく追加なので一度削除する。
del ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=10.3.4.58
''インターフェイスIPの表示''
Manager > show ip int
Interface Type IP Address Bc Fr PArp Filt...
Pri. Filt Pol.Filt Network Mask MTU VJC GRE ...
VLAN Tag VLAN Priority InvArp
--------------------------------------------------------...
LOCAL --- Not set - - - --- ...
--- --- Not set 1500 - --- ...
none none -
vlan1 Static 61.122.218.214 1 n On --- ...
--- --- 255.255.255.248 1500 - --- ...
none none -
eth0 Static 61.115.252.55 1 n On --- ...
--- --- 255.255.252.0 1500 - --- ...
none none -
--------------------------------------------------------...
''ファイルの保存''
Manager > create config=dc01.cfg
Info (1034003): Operation successful.
''ファイルの確認''
Manager > show file
Filename Device Size Created ...
--------------------------------------------------------...
54281-04.rez flash 4857208 24-Mar-20...
feature.lic flash 39 24-Mar-20...
help.hlp flash 75892 24-Mar-20...
longname.lfn flash 17 15-Jun-20...
prefer.ins flash 64 24-Mar-20...
release.lic flash 32 24-Mar-20...
dc01.cfg flash 2464 25-Jul-20...
--------------------------------------------------------...
''FALSHの容量表示''
Manager > show flash
''ファイル内容の表示''
Manager > show file=dc01.cfg
File : dc01.cfg
1:
2:# Command Handler configuration
3:
4:# System configuration
5:
6:# TIMEZONE configuration
7:
8:# Flash memory configuration
9:
10:# LOADER configuration
11:
12:# User configuration
13:set user=manager pass=a6d7b66b15077f4***********719b8...
14:set user=manager telnet=yes desc="Manager Account"
15:
16:# TTY configuration
17:
18:# ASYN configuration
--More-- (<space> = next page, <CR> = one line, C = con...
''起動時のConfigファイルの指定''
設定した内容は.cfgがつくファイル名で保存して起動時に読み...
Manager > set config=dc01.cfg
Info (1049003): Operation successful.
&color(red){起動時初期状態に戻すには};
Manager > set config=none
boot.cfgがある製品はこの設定でboot.cfgを読み込む
''起動のConfigファイルの表示''
Manager > show config
Boot configuration file: flash:dc01.cfg (exists)
Current configuration: None
&color(red){''フィルタの指定''};
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
#上記のままだとLANから接続したパケットの戻りを許可できな...
ADD IP FILT=1 TY=TRAFFIC SO=0.0.0.0 SMA=0.0.0.0 DEST=61....
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
#UDPはSESSIONという考え方がないので、ソースポートで許可
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208...
SET IP INT=ETH0 FILTER=1
''フィルタの確認''
Manager > show ip filter
IP Filters
--------------------------------------------------------...
No. Filter Type
Ent. Source Port Source Address Source Mask ...
Dest. Port Dest. Address Dest. Mask ...
Pattern Type Act/Pol/Pri Logging ...
--------------------------------------------------------...
1 Traffic
1 Any Any Any ...
22:22 192.168.200.0 255.255.255.0 ...
General Include Off ...
2 --- Any Any ...
--- 192.168.200.0 255.255.255.0 ...
General Include Off ...
Requests: 0 Passes: 0 Fails: ...
--------------------------------------------------------...
''フィルタの削除(エントリー)''
Manager > del ip filt=1 entry=2
''フィルタの削除(フィルター番号)''~
フィルタ番号は複数同一インターフェイスに設定できないので...
Manager > SET IP INT=ETH0 FILTER=NONE
''フィルタ内容の変更''
SET IP FILT=1 ENTRY=4 PROTO=TCP DPORT=443
一度「SET IP INT=ETH0 FILTER=1」してると変更時は特に必要...
''IPフィルターでWAN側のTELNETを拒否''
この場合はvlan1側からは接続可能になるが、vlan1にはプライ...
&color(red){しかし、ルータを16IPなどのルータとして使用し...
&Color(red){注意はインターフェイスとIPは別でどこかのイン...
fil1はインターフェイスeth0に適用で、IP:192.168.10.100に対...
''fli=1''
-eth0への入力がすべてのアドレスに対してdes=192.168.10.100...
-eth0への入力がdes=192.168.10.100に対してすべて拒否
-eth0への入力がdes=192.168.70.1に対してすべて拒否
--(eth0から入って192.168.70.1に届くパケットを拒否)
-eth0への入力がすべてのアドレスに対して許可
''fil=2''
-vlan1への入力のso=192.168.70.0に対してdes=192.168.70.1へ...
-vlan1への入力のso=192.168.70.0に対してdes=192.168.10.100...
-vlan1への入力がdes=192.168.10.100に対してすべて拒否
-vlan1への入力がdes=192.168.70.1に対してすべて拒否
-vlan1への入力がすべてのアドレスに対して許可
add ip fil=1 so=0.0.0.0 ent=1 des=192.168.10.100 ac=incl...
add ip fil=1 so=0.0.0.0 ent=51 des=192.168.10.100 ac=exc...
add ip fil=1 so=0.0.0.0 ent=52 des=192.168.70.1 ac=exclude
add ip fil=1 so=0.0.0.0 ent=99 ac=include
add ip fil=2 so=192.168.70.0 ent=1 sm=255.255.255.0 des=...
add ip fil=2 so=192.168.70.0 ent=2 sm=255.255.255.0 des=...
add ip fil=2 so=0.0.0.0 ent=51 des=192.168.10.100 ac=exc...
add ip fil=2 so=0.0.0.0 ent=52 des=192.168.70.1 ac=exclude
add ip fil=2 so=0.0.0.0 ent=99 ac=include
add ip int=eth0 ip=192.168.10.100 fil=1
add ip int=vlan1 ip=192.168.70.1 fil=2
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=192.168.10...
|
|
V eth0
---------------
| AR415S | |
---------------
V ^ vlan1
| |
----
&color(red){このように回り込んでのtelnetの接続もできるの...
PPPの時はインターフェイスはppp0になる
''HTTPポートについて''
HTTPポートはサポートしていないにも関わらず、アクセスする...
DISABLE HTTP SERVER
***ファイアウォールの設定方法 [#b97cac8a]
IPフィルタでは内部からのパケットの戻りや、UDPの接続に気を...
''・ファイアウォールの有効''~
enable firewall
''・ファイアウォールポリシー「net」を作成(ポリシー名は任...
create firewall policy="net"
''・各IPインターフェイスの属性を定義(Private/Public)''~
PUBLIC(外部)とPRIVATE(内部)がある。ファイアウォールの...
この基本ルールをもとに、ADD FIREWALL POLICY RULEコマンド...
add firewall policy="net" int=vlan1 type=private
add firewall policy="net" int=eth0 type=public
pppoeのときは「int=ppp0」等になる
''・インターフェイス間でのICMP転送は許可''
enable firewall policy="net" icmp_f=all
''・ident、tcp代理応答を無効化''
disable firewall policy="net" identproxy
disable firewall policy="net" tcpsetupproxy
以上がファイアウォールの基本設定で、ここまでの設定によって~
Private->Public への通信は全て許可、Publi->Privateへの通...
全て遮断する動作となる。~
この基本動作と異なる条件を付与する場合、ファイアウォール...
''・WAN -> LAN方向への 61.122.218.208/29 TCP 22 宛通信を...
add firewall policy="net" rule=1 ac=allow int=eth0
prot=tcp po=22 ip=61.122.218.208-61.122.218.215
''・WAN -> LAN方向への 61.122.218.208/29 UDP 53 宛通信を...
add firewall policy="net" rule=2 ac=allow int=eth0
prot=udp po=53 ip=61.122.218.208-61.122.218.215
''・pptpパススルー''~
ファームのバージョンが2.9.1-05以降は1行それ以前は2行必要。~
確認は # show system
2.9.1-05以降
add firewall policy="net" rule=3 ac=allow int=eth0
prot=tcp po=pptp ip=61.122.218.208-61.122.218.215
2.9.1-05より前
add firewall policy="net" rule=3 ac=allow int=eth0
prot=tcp po=1723 ip=61.122.218.208-61.122.218.215
add firewall policy="net" rule=4 ac=allow int=eth0
prot=47 ip=61.122.218.208-61.122.218.215
注)2.9.1-05より前ではpptpのポートは番号1723で指定しGREプ...
''現在の設定の確認''
Manager > show config dynamic
# Command Handler configuration
# System configuration
# TIMEZONE configuration
# Flash memory configuration
# LOADER configuration
# User configuration
set user=manager pass=************************** priv=ma...
set user=manager telnet=yes desc="Manager Account"
# TTY configuration
(略)
# GRE configuration
# IP configuration
enable ip
add ip int=vlan1 ip=xxx.xxx.xxx.214 mask=255.255.255.248
add ip int=eth0 ip=xxx.xxx.252.55 mask=255.255.252.0
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=xxx.xxx.xx...
# IPv6 configuration
# SWITCH (post-IP) configuration
(略)
# Firewall configuration
enable firewall
create firewall policy="net"
disable firewall policy="net" identproxy
enable firewall policy="net" icmp_f=all
disable firewall policy="net" tcpsetupproxy
add firewall policy="net" int=vlan1 type=private
add firewall policy="net" int=eth0 type=public
add firewall poli="net" ru=1 ac=allo int=eth0 prot=tcp p...
ip=yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx
add firewall poli="net" ru=2 ac=allo int=eth0 prot=tcp p...
ip=yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx
add firewall poli="net" ru=3 ac=allo int=eth0 prot=tcp p...
ip=yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx
add firewall poli="net" ru=4 ac=allo int=eth0 prot=tcp p...
ip=yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx
(略)
''例えばipの現在の状態の表示''
Manager > show config dynamic=ip
# IP configuration
enable ip
add ip int=vlan1 ip=xxx.xxx.xxx.214 mask=255.255.255.248
add ip int=eth0 ip=xxx.xxx.xxx.xxx mask=255.255.252.0
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=xxx.xxx.xx...
''firewallの削除''
# DELETE FIREWALL POLICY="net" rule=101
''K校の設定''
Manager > show config dynamic
# Command Handler configuration
(略)
# User configuration
set user=manager pass=**************************** priv=...
set user=manager telnet=yes desc="Manager Account"
# TTY configuration
(略)
# Sec Associations configuration
# VLAN general configuration
create vlan="vlan10" vid=10
create vlan="vlan20" vid=20
# VLAN port configuration
add vlan="10" port=1-2
add vlan="20" port=3-4
# IGMP Snooping configuration
(略)
# GRE configuration
# IP configuration
enable ip
ena ip dnsrelay
add ip fil=1 so=0.0.0.0 ent=1 des=192.168.2.0 dm=255.255...
add ip fil=1 so=0.0.0.0 ent=2 ac=include
add ip fil=2 so=0.0.0.0 ent=1 des=192.168.1.0 dm=255.255...
add ip fil=2 so=0.0.0.0 ent=2 ac=include
add ip int=vlan10 ip=192.168.1.254 fil=1
add ip int=vlan20 ip=192.168.2.254 fil=2
add ip int=eth0 ip=xxx.xxx.xxx.xxx mask=255.255.248.0
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=yyy.yyy.yy...
add ip dns prim=zzz.zzz.zzz.zzz seco=aaa.aaa.aaa.aaa
(略)
# INT configuration
# Firewall configuration
enable firewall
create firewall policy="net2"
disable firewall policy="net2" identproxy
enable firewall policy="net2" icmp_f=all
disable firewall policy="net2" tcpsetupproxy
add firewall policy="net2" int=vlan10 type=private
add firewall policy="net2" int=vlan20 type=private
add firewall policy="net2" int=eth0 type=public
add firewall poli="net2" nat=enhanced int=vlan10 gblin=e...
add firewall poli="net2" nat=enhanced int=vlan20 gblin=e...
add firewall poli="net2" ru=1 ac=allo int=eth0 prot=tcp ...
set firewall poli="net2" ru=1 rem=bbb.bbb.bbb.1-bbb.bbb....
# ==== http, httpsのポートフォアードを追加 (09'12) ====
# httpはすべてOK
add firewall poli="net2" ru=2 ac=allo int=eth0 prot=tcp ...
# hhtpsはすべてOK
add firewall poli="net2" ru=3 ac=allo int=eth0 prot=tcp ...
(略)
# HTTP configuration
disable http server
(略)
''新たに接続許可アドレスやポートの追加''
add firewall poli="net2" ru=5 ac=allo int=eth0 prot=tcp ...
''コマンドプロンプトに文字表示''
Manager >set system name="ISM_Router"
Manager ISM_Router>
***ポートVlan間の通信 [#ld968066]
|
|
|IP xxx.xxx.xxx.xxx
--------------------
| AR415S |
--------------------
|vlan10 |vlan20 ------------
| |---------| Webサーバ|
| | ------------
| 192.168.2.0/24 192.168.2.252
192.168.1.0/24
この構成で、vlan10(192.168.1.0/24) と vlan20(192.168.2.0/...
間の通信を以下の要件で抑制するものとします。
-TCP通信... vlan20 から vlan10 に開始する通信を遮断する
-ICMP通信... vlan20 から valn10 へのPING要求を遮断する~
(vlan10からのPing要求に対する応答は許可されます)
-UDP通信 ... 送信元ポートが53番のみを許可する
vlan10からvlan20への通信を許可し、vlan20からvlan10の通信...
TCPにいついてはセッションを張るのにセッション開始1番目の...
既存のフィルター条件を修正しますので、以下コマンドで
事前にフィルター条件を削除しておきます。
set ip int=vlan10 filter=none
set ip int=vlan20 filter=none
delete ip filter=1 entry=1
delete ip filter=1 entry=2
delete ip filter=2 entry=1
delete ip filter=2 entry=2
・TCP通信についてのエントリー。
192.168.2.0/24 から 192.168.1.0/24 へ開始する通信(session...
を遮断(exclude)します。
add ip filter=2 entry=1 so=192.168.2.0 sm=255.255.255.0 ...
dm=255.255.255.0 prot=tcp session=start ac=exclude
・ICMP通信についてのエントリー。
192.168.2.0/24 から 192.168.1.0/24 へのPing要求(ECHO)のみを
遮断します。
add ip filter=2 entry=2 so=192.168.2.0 sm=255.255.255.0 ...
dm=255.255.255.0 prot=icmp icmptype=echo ac=exclude
・UDP通信についてのエントリー
192.168.2.0/24 から送信元ポートが53番の場合のみ許可します。
add ip filter=2 entry=3 so=192.168.2.0 sm=255.255.255.0 ...
dm=255.255.255.0 prot=udp sp=53 ac=include
add ip filter=2 entry=4 so=192.168.2.0 sm=255.255.255.0 ...
dm=255.255.255.0 prot=udp ac=exclude
・上記以外の通信についてのエントリー
上記1〜4 の条件に合致しないパケットは許可します。
add ip filter=2 entry=5 so=0.0.0.0 ac=include
・作成したフィルター「2」をvlan20 に適用します。
set ip int=vlan20 filter=2
***VLAN [#o16136fc]
''ポートVLAN''~
&color(red){ポートVLANではL2レベルで切れていて、L3レベル...
VLANを作成このとき&color(red){VLAN名はvlanxxは特別な名前...
CREATE VLAN=vlan10 VID=10
CREATE VLAN=vlan20 VID=20
VLANをLANポートにマッピング
ADD VLAN=vlan10 PORT=1-2
ADD VLAN=vlan20 PORT=3-4
vlanにIPアドレスをマッピングただし同一IPは不可
ADD IP INT=vlan10 IP=192.168.1.254 MASK=255.255.255.0
ADD IP INT=vlan20 IP=192.168.2.254 MASK=255.255.255.0
FIREWALLを作成するこのときポリシーをVLANごとに作成する作...
Manager >
Warning (2077257): 04-Aug-2008 16:03:21
192.168.2.150 attempting to use non-policy interface.
Manager >
Info (1077257): 04-Aug-2008 16:04:32
192.168.2.150 stopped attempts to use non-policy inter...
Info (1077257): 04-Aug-2008 16:04:32
192.168.2.150 stopped attempts to use non-policy inter...
以下の設定はだめ。
ENABLE FIREWALL
CREATE FIREWALL POLICY=net1
CREATE FIREWALL POLICY=net2
そこでPOLICYをひとつにして、両方のVLANを同じPOLICYを適用...
ENABLE FIREWALL
CREATE FIREWALL POLICY=net1
DISABLE FIREWALL POLICY=net1 IDENTPROXY
disable firewall policy="net1" tcpsetupproxy
LANとWAN側を指定
ADD FIREWALL POLICY=net1 INT=vlan10 TYPE=PRIVATE
ADD FIREWALL POLICY=net1 INT=vlan20 TYPE=PRIVATE
ADD FIREWALL POLICY=net1 INT=eth0 TYPE=PUBLIC
ICMPを許可
enable firewall policy="net1" icmp_f=all
マルチNATを設定
ADD FIREWALL POLICY=net1 NAT=ENHANCED INT=vlan10 GBLINT=...
ADD FIREWALL POLICY=net1 NAT=ENHANCED INT=vlan20 GBLINT=...
ポートフォーワードの設定~
アクセス許可アドレス:192.168.100.1-192.168.100.254~
ポート:22~
フォーワード先IP:192.168.1.252
ADD FIREWALL POLICY=net1 RULE=1 AC=ALLOW INT=eth0 PROTO=...
GBLIP=192.168.10.200 GBLPORT=22 IP=192.168.1.252 PORT=22...
ifフィルタの設定(VLAN10とVLAN20の通信を遮断)~
VLANで分離してもルータのインターフェイスにそれぞれのネッ...
ルーティング情報があるため通信できるそれをフィルタで遮断...
VLAN20にはVLAN10からフィルタがないと通信できる。VALN10とV...
------------------------
| |
| VLAN10<-->VLAN20 |
----+----------+--------
|DG/W |DG/W
| |
あて先が192.168.2.0/24のパケットは通さない
add ip fil=1 so=0.0.0.0 ent=1 des=192.168.2.0 dm=255.255...
あて先が192.168.2.0/24以外のパケットは通過する。そうしな...
add ip fil=1 so=0.0.0.0 ent=2 ac=include
add ip fil=2 so=0.0.0.0 ent=1 des=192.168.1.0 dm=255.255...
add ip fil=2 so=0.0.0.0 ent=2 ac=include
add ip int=vlan10 ip=192.168.1.254 fil=1
add ip int=vlan20 ip=192.168.2.254 fil=2
''タグVLAN''~
それぞれのルータのポート1にvlan10ポート2,3にvlan20を割り...
Internet
|
|
--+-------------------------------
| | | ルータA |
| etho | 4 3 2 1 |
-------------+----+---+----+------
| | | |
| vlan20 |
| vlan10
|
|
|
-------------+--------------------
|ルータB 4 |
| 3 2 1 |
------------------+---+----+------
| | |
| | vlan10
vlan20
''構成図''
CREATE VLAN=vlan10 VID=10
CREATE VLAN=vlan20 VID=20
ポート4にはvlan10とVlan20両方パケットが流れるので両方追加...
ADD VLAN=vlan10 PORT=1
ADD VLAN=vlan10 PORT=4 FRAME=TAGGED
ADD VLAN=vlan20 PORT=2-3
ADD VLAN=vlan20 PORT=4 FRAME=TAGGED
このときタグVLANはこれで利用できるがeth0からWANに出るため...
ADD IP INT=vlan10 IP=192.168.1.254 MASK=255.255.255.0
ADD IP INT=vlan20 IP=192.168.2.254 MASK=255.255.255.0
これでvlan10のPCゲートウェイは192.168.1.254 vlan20は192.1...
**Log [#s42a0eab]
Logでわかる例
> show log
-ポリシー違反のパケットが流れてきている
21 09:17:34 4 FIRE FIRE ATTK 21-Aug-2013 09:17:34 2...
attempts to use non-polic...
-DOS攻撃を受信中
Warning (2077257): 21-Aug-2013 09:26:38
Denial of service attack from 186.136.183.36 is underw...
-DOS攻撃が終了
Info (1077257): 21-Aug-2013 09:31:23
Denial of service attack from 187.162.230.170 is finis...
-何らかのパケットが流れてきている
21 09:09:18 4 FIRE FIRE ATTK 21-Aug-2013 09:09:18 H...
192.168.82.245 is finished
**AR415S設定ファイル転送(ZMODEM) [#s4019388]
ZMODEMでPCとシリアルで転送
''AR415SからPCに''
Manager > upload file=ctc2swf.cfg method=zmodem asyn=0**...
(TearaTerm側で ファイル → 転送 → ZMODEM → 受信)
Info (1048310): Upload initiated.
Info (1048270): File transfer successfully completed
'' PCからAR415Sに''
Manager > load method=zmodem asyn=0 destination=flash
(TearaTerm側で ファイル → 転送 → ZMODEM → 送信)
Router ready to begin ZMODEM file transfers ...
B0100000023be50~
Info (1048293): ZMODEM, session over.
ところでファイルはteratermカレントディレクトリに指定され...
C:\Users\z13195\AppData\Local\VirtualStore\Program Files...
**AR415S SNMPでのポートとの関係 [#w14a96b3]
''snmpエージェント設定''
-マネージャー:192.168.10.66
# SNMP configuration
enable snmp
create snmp community=public
add snmp community=public manager=192.168.10.66
Manager > show interface
Interfaces sysUpTime: ...
DynamicLinkTraps.....Disabled
TrapLimit............20
Number of unencrypted PPP/FR links.....1
ifIndex Interface ifAdminStatus ifOperStatus i...
--------------------------------------------------------...
1 eth0 Up Up ...
2 bri0 Up Down ...
3 pri0 Up Down ...
4 ppp0 Up Down ...
--------------------------------------------------------...
ifIndex がmrtg.cfgでのTARGETで指定する番号
Target[localhost_2]: 2:private@localhost:
の:2:privateのたとえば2の部分
***AR415S SNMP応答 [#e9962411]
Linux(マネージャ)より確認
-AR415S : 192.168.10.100
# snmpwalk -v 2c -c public 192.168.10.100 | more
SNMPv2-MIB::sysDescr.0 = STRING: CentreCOM AR415S versio...
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises...
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (15280)...
SNMPv2-MIB::sysContact.0 = STRING:
SNMPv2-MIB::sysName.0 = STRING:
SNMPv2-MIB::sysLocation.0 = STRING:
SNMPv2-MIB::sysServices.0 = INTEGER: 4
略
**参考 [#j6511e4c]
[[マニュアル:http://www.allied-telesis.co.jp/support/list...
ページ名:
![[PukiWiki]](image/../localimages/Atom.gif "[PukiWiki]")
