FutureNet NXR,WXR シリーズ設定例集



Similar documents
FutureNet NXR,WXR シリーズ設定例集

FutureNet NXR,WXR シリーズ設定例集

FutureNet NXR,WXR シリーズ設定例集

ルーティング 補足資料

端 末 型 払 い 出 しの 場 合 接 続 構 成 図 フレッツ グループから 払 出 されたIPアドレス /32 NTT 西 日 本 地 域 IP 網 フレッツ グループ フレッツ グループから 払 出 されたIPアドレス /

目 次 1 改 訂 履 歴 はじめに L2 ACL 基 本 設 定 L2 ACL の 作 成 L2 ACL のインタフェースまたは VLAN への 適 用 L2 ACL の 設 定 の 確 認 L3 AC

FutureNet NXR設定例集

目 次 1 改 訂 履 歴 はじめに ユーザの 作 成 ユーザの 作 成 ユーザグループの 作 成 ユーザの 追 加 SSID の 設 定 設 定 画 面 へ 移 動 SSID の 作 成...8 4

ご 注 意 (1) 本 書 の 内 容 の 一 部 又 は 全 部 を 無 断 で 転 載 することは 禁 止 されています (2) 本 書 の 内 容 は 将 来 予 告 無 しに 変 更 することがあります (3) 本 書 の 内 容 は 万 全 を 期 して 作 成 しておりますが ご 不 審

FortiOS v5. 基 本 設 定 手 順 書 目 次 改 訂 履 歴... はじめに... FortiGate 基 本 設 定 ログイン ローカル 側 インターフェース 設 定 GUI 言 語 設 定 GUI ログイン 日 本 語

目 次 改 訂 履 歴... はじめに... IPsec-VPN 設 定.... ユーザ ユーザグループの 作 成..... ユーザの 作 成..... ユーザグループの 作 成...6. ファイアウォールアドレスの 作 成...7. VPN ウィザードの 作 成...8. ファイアウォールポリシー

目 次 はじめに... 3 間 接 接 続 環 境 かどうかの 判 断... 3 前 提 となる 回 線 構 成 PC-A1 の 仮 想 ハブ 設 定 PC-A1 の 仮 想 ネットワークアダプタを 仮 想 ハブに 接 続 する ブロードバンドルータの 静

FutureNet NXR,XRシリーズ

目 次 改 訂 履 歴... はじめに... ウェブフィルタ 設 定 任 意 に 指 定 した Web サイト.... プロファイルの 設 定.... ポリシーへ 適 用...6. 動 作 確 認 動 作 確 認 ログの 確 認 補 足...7 ウェブフィルタ 設

Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安

ファイルサーバー(NFS) 構築ガイド

<4D F736F F D AC90D1955D92E CC82CC895E DD8C D2816A2E646F63>

FutureNet NXR,WXR 設定例集

る 第 三 者 機 関 情 報 保 護 関 係 認 証 プライバシーマーク ISO27001 ISMS TRUSTe 等 の 写 しを 同 封 のうえ 持 参 又 は 郵 送 とする 但 し 郵 送 による 場 合 は 書 留 郵 便 とし 同 日 同 時 刻 必 着 とする 提 出 場 所 は 上

購買ポータルサイトyOASIS簡易説明書 b

通 知 カード と 個 人 番 号 カード の 違 い 2 通 知 カード ( 紙 )/H27.10 個 人 番 号 カード (ICカード)/H28.1 様 式 (おもて) (うら) 作 成 交 付 主 な 記 載 事 項 全 国 ( 外 国 人 含 む)に 郵 送 で 配 布 希 望 者 に 交

目 次 1. 本 書 の 目 的 開 発 管 理 環 境 の 概 要 概 要 接 続 条 件 利 用 回 線 調 達 物 品 要 求 仕 様 設 定 情 報... 6

1 書 誌 作 成 機 能 (NACSIS-CAT)の 軽 量 化 合 理 化 電 子 情 報 資 源 への 適 切 な 対 応 のための 資 源 ( 人 的 資 源,システム 資 源, 経 費 を 含 む) の 確 保 のために, 書 誌 作 成 と 書 誌 管 理 作 業 の 軽 量 化 を 図

ルーティングベースIPsecVPN設定手順書

FutureNet NXR,WXR設定例集

(1) 社 会 保 険 等 未 加 入 建 設 業 者 の 確 認 方 法 等 受 注 者 から 提 出 される 施 工 体 制 台 帳 及 び 添 付 書 類 により 確 認 を 行 います (2) 違 反 した 受 注 者 へのペナルティー 違 反 した 受 注 者 に 対 しては 下 記 のペ

2/5ページ 5 L2スイッチにVLAN20を 作 成 し fa0/1ポートと 関 連 付 けを 行 う 際 不 要 なコマンドを 選 びなさい 1. switch(config)#vlan switch(config-if)#switchport mode trunk 3. switc

花 巻 市 条 件 付 一 般 競 争 入 札 について 花 巻 市 では 入 札 における 透 明 性 公 平 性 の 向 上 を 図 り より 一 層 の 競 争 性 を 確 保 するために 条 件 付 一 般 競 争 入 札 を 実 施 します 条 件 付 一 般 競 争 入 札 について 条

conf_example_260V2_inet_snat.pdf

POWER EGG V2.01 ユーザーズマニュアル ファイル管理編

エントリーシステム利用承諾書

WebMail ユーザーズガイド

(別紙3)保険会社向けの総合的な監督指針の一部を改正する(案)

< F2D8ED089EF95DB8CAF939996A289C193FC91CE8DF42E6A7464>

目 次 1. Web メールのご 利 用 について Web メール 画 面 のフロー 図 Web メールへのアクセス ログイン 画 面 ログイン 後 (メール 一 覧 画 面 ) 画 面 共 通 項 目

4 参 加 資 格 要 件 本 提 案 への 参 加 予 定 者 は 以 下 の 条 件 を 全 て 満 たすこと 1 地 方 自 治 法 施 行 令 ( 昭 和 22 年 政 令 第 16 号 ) 第 167 条 の4 第 1 項 各 号 の 規 定 に 該 当 しない 者 であること 2 会 社

AGT10 ( Android(TM) 4.1) ファームウェア更新方法

工 事 名 能 代 南 中 学 校 体 育 館 非 構 造 部 材 耐 震 改 修 工 事 ( 建 築 主 体 工 事 ) 入 札 スケジュール 手 続 等 期 間 期 日 期 限 等 手 続 きの 方 法 等 1 設 計 図 書 等 の 閲 覧 貸 出 平 成 28 年 5 月 24 日 ( 火

< 目 次 > 8. 雇 用 保 険 高 年 齢 雇 用 継 続 給 付 27 ( 育 児 休 業 給 付 介 護 休 業 給 付 ) 8.1 高 年 齢 雇 用 継 続 給 付 画 面 のマイナンバー 設 定 高 年 齢 雇 用 継 続 給 付 の 電 子 申 請 高

PowerPoint プレゼンテーション

<4D F736F F D C B838B91CE8DF491808DEC837D836A B76312E342E646F63>

機 能 概 要 概 要 平 成 24 年 度 シームレスな 地 域 連 携 医 療 の 実 現 実 証 事 業 に 対 応 するため 地 域 連 携 システム( 能 登 北 部 版 )を 構 築 する 機 能 < 機 能 追 加 変 更 一 覧 > 1. 画 像 連 携 機 能 院 内 で 撮 影

工 事 名 渟 城 西 小 学 校 体 育 館 非 構 造 部 材 耐 震 改 修 工 事 ( 建 築 主 体 工 事 ) 入 札 スケジュール 手 続 等 期 間 期 日 期 限 等 手 続 きの 方 法 等 1 設 計 図 書 等 の 閲 覧 貸 出 平 成 28 年 2 月 23 日 ( 火

KINGSOFT Office 2016 動 作 環 境 対 応 日 本 語 版 版 共 通 利 用 上 記 動 作 以 上 以 上 空 容 量 以 上 他 接 続 環 境 推 奨 必 要 2

ができます 4. 対 象 取 引 の 範 囲 第 1 項 のポイント 付 与 の 具 体 的 な 条 件 対 象 取 引 自 体 の 条 件 は 各 加 盟 店 が 定 めます 5.ポイントサービスの 利 用 終 了 その 他 いかなる 理 由 によっても 付 与 されたポイントを 換 金 すること

3. 選 任 固 定 資 産 評 価 員 は 固 定 資 産 の 評 価 に 関 する 知 識 及 び 経 験 を 有 する 者 のうちから 市 町 村 長 が 当 該 市 町 村 の 議 会 の 同 意 を 得 て 選 任 する 二 以 上 の 市 町 村 の 長 は 当 該 市 町 村 の 議

 

IPv6トンネル対応アダプタ(MA-100)設定手順書

スライド 1

2 出 願 資 格 審 査 前 記 1の 出 願 資 格 (5) 又 は(6) により 出 願 を 希 望 する 者 には, 出 願 に 先 立 ち 出 願 資 格 審 査 を 行 いますので, 次 の 書 類 を 以 下 の 期 間 に 岡 山 大 学 大 学 院 自 然 科 学 研 究 科 等

工 事 名 沢 口 浄 配 水 場 建 設 工 事 ( 浄 水 管 理 棟 ) 入 札 スケジュール 手 続 等 期 間 期 日 期 限 等 手 続 きの 方 法 等 平 成 24 年 5 月 8 日 ( 火 ) 正 午 から 1 設 計 図 書 等 の 閲 覧 貸 出 基 本 事 項 2のとおり

XPFILESHARE.PDF

( 別 紙 ) 以 下 法 とあるのは 改 正 法 第 5 条 の 規 定 による 改 正 後 の 健 康 保 険 法 を 指 す ( 施 行 期 日 は 平 成 28 年 4 月 1 日 ) 1. 標 準 報 酬 月 額 の 等 級 区 分 の 追 加 について 問 1 法 改 正 により 追 加

WebCaster600MNファームウェアバージョンアップ手順 (Macintosh編)

< F2D D D837C815B B8EC08E7B97768D80>

目 次 利 用 に 際 しての 注 意 事 項... ユーザー 登 録... ログイン... 課 題 申 請... 5 装 置 予 約... 6 ライセンス 取 得 方 法... 7 利 用 料 金 の 確 認 ( 準 備 中 ) 外 部 発 表 登 録 の 方 法... 5 < 附

HTG-35U ブルーバック表示の手順書 (2014年12月改定)

プロキシサーバー 概 要 プロキシサーバーは 頻 繁 にアクセスされる Web ページの 内 容 をキャッシュ することで ネットワークトラフィックを 削 減 し エンドユーザーに 対 するレスポ ンスの 高 速 化 を 行 います Internet Explorer などのブラウザでもデータをキャ

( 運 用 制 限 ) 第 5 条 労 働 基 準 局 は 本 システムの 維 持 補 修 の 必 要 があるとき 天 災 地 変 その 他 の 事 由 によりシステムに 障 害 又 は 遅 延 の 生 じたとき その 他 理 由 の 如 何 を 問 わず その 裁 量 により システム 利 用 者

iStorage ソフトウェア VMware vSphere Web Client Plug-in インストールガイド

第 40 回 中 央 近 代 化 基 金 補 完 融 資 推 薦 申 込 み 公 募 要 綱 1 公 募 推 薦 総 枠 30 億 円 一 般 物 流 効 率 化 促 進 中 小 企 業 高 度 化 資 金 貸 付 対 象 事 業 の 合 計 枠 2 公 募 期 間 平 成 28 年 6 月 20

Ⅰ 元 請 負 人 を 社 会 保 険 等 加 入 建 設 業 者 に 限 定 平 成 28 年 10 月 1 日 以 降 に 入 札 公 告 指 名 通 知 随 意 契 約 のための 見 積 依 頼 を 行 う 工 事 から 以 下 に 定 める 届 出 の 義 務 ( 以 下 届 出 義 務 と

項 目 を 入 力 し [ 内 容 確 認 ]をクリック *がついているものは 必 須 項 目 になります 入 力 情 報 の 確 認 のページが 表 示 されるので 間 違 いがなければ[ 送 信 ]をクリック 以 上 で 登 録 フォーム 処 理 の 完 了 フォームから 送 られたデータを 確

入 札 参 加 資 格 申 請 システム 操 作 マニュアル 入 札 参 加 資 格 の 資 格 有 効 ( 変 更 ) 日 を 迎 えると 追 加 届 の 登 録 ができるようになります ( 入 札 参 加 資 格 申 請 の 定 時 受 付 では いずれかの 申 請 先 団 体 から 入 札 参

目 次 改 訂 履 歴... はじめに... SSL-VPN 設 定...6. ユーザ ユーザグループの 作 成 ユーザの 作 成 ユーザグループの 作 成...7. ファイアウォールオブジェクトの 作 成 アクセス 先 ネットワーク 指 定 用 アドレスオブジェ

「災害用伝言板(web171)」の提供について~「災害用ブロードバンド伝言板(web171)」に新機能を追加しリニューアル~

一般競争入札について

PowerPoint プレゼンテーション

公募

本 操 作 説 明 書 について 本 操 作 説 明 書 は 物 品 電 子 調 達 システム 入 札 参 加 資 格 審 査 申 請 についての 操 作 を 説 明 したものです 動 作 環 境 本 アプリケーションは 以 下 の 環 境 にて 動 作 致 します OS 日 本 語 Microso

CENTNET 導 入 の 手 引 き 変 更 履 歴 No. 変 更 日 変 更 番 号 変 更 枚 数 備 考 /07/ 版 発 行 - システムリプレースにより 全 面 刷 新 //07/ 版 発 行 3 誤 字 等 の 修 正 /

スライド 1

( 注 変 更 申 請 で 対 象 となる 項 目 と 郵 送 書 類 についての 詳 細 は 下 表 を 参 照 してください 東 京 電 子 自 治 体 共 同 運 営 電 子 調 達 サービス 6. 変 更 申 請 物 品 買 入 れ 等 変 更 申 請 項 目 及 び 郵 送 書 類 等 一

確定給付企業年金 DBパッケージプランのご提案

Microsoft Word - 参考資料:SCC_IPsec_win8__リモート設定手順書_

Office 10 パッケージ版「リンク集」

WebAlertクイックマニュアル

【提供条件書】ギガ学割

- 目 次 Ⅰ.IP 電 話 機 器 配 線 配 線 例...3 Ⅱ.PCのネットワーク 設 定 Windows XP のTCP/IPの 設 定...4 Ⅲ.インターネット 接 続 設 定 インターネット 接 続 設 定.

<4D F736F F D20819C B78AFA95DB91538C7689E68DEC90AC289

・モニター広告運営事業仕様書

一 般 社 団 法 人 全 国 銀 行 協 会 御 中 依 頼 人 氏 名 平 成 年 月 日 印 登 録 支 援 専 門 家 委 嘱 ( 初 回 委 嘱 )の 依 頼 について(GL5 項 (2)) 私 は 自 然 災 害 による 被 災 者 の 債 務 整 理 に 関 するガイドライン 第 5

中根・金田台地区 平成23年度補償説明業務

スライド 1

<8C9A90DD94AD90B696D88DDE939982CC8DC48E918CB989BB82C98AD682B782E98E9696B18EE688B CC FC90B3816A2E786477>

目 次 1. はじめに 3 2. システム 要 件 4 3. HDD Password Tool のインストール 5 Windows の 場 合 5 Mac の 場 合 8 4. HDD Password Tool の 使 い 方 HDD Password Tool を 起 動 する

目 次 機 能 概 要 配 信 管 理 1. メールの 配 信 履 歴 と 予 約 を 確 認 する

1 光 回 線 工 事 1 2 光 回 線 工 事 光 提 供 機 器 光 回 線 工 事 内 容 説 明 本 参 考 回 線 工 事 間 機 器 設 置 場 所 検 討 宅 内 配 線 端 末 機 器 等 準 備 提 携 申 込

目 次 ログイン 方 法... 3 基 本 画 面 構 成... 4 メールサービス... 5 メールサービス 画 面 構 成... 5 アカウント 詳 細 / 設 定... 6 高 機 能 フィルター... 7 ユーザーフィルター 設 定... 8 新 規 フィルターの 追 加... 8 My ホ

R4財務対応障害一覧

ユーザーガイド

入札公告 機動装備センター

~ 目 次 ~ 1. 履 修 登 録 のながれ 1 2. 利 用 可 能 な 機 能 について 2 3.Web 履 修 登 録 画 面 へのログイン ログアウト 方 法 3 4. 予 備 登 録 ( 定 員 設 定 科 目 の 履 修 ) (1) 予 備 登 録 5 (2) 予 備 登 録 状 況

第 5 条 ( 有 効 期 間 ) 1. 本 サービスの 有 効 期 間 は 当 社 が 指 定 した 日 をもって 開 始 とし 当 該 サービス 対 象 物 件 に 入 居 する 契 約 が 終 了 した 日 をもって 終 了 とします 2. 既 に 入 居 している 住 戸 が 新 たにサービ

Taro-1-14A記載例.jtd

1 キャンセル 処 理 1-1 受 注 台 帳 でキャンセルの 処 理 を 行 う キャンセルする 受 注 を 検 索 します 1 受 注 台 帳 にキャンセルする 受 注 の 注 文 番 号 を 入 力 し 検 索 します 2 検 索 結 果 に 表 示 された 注 文 番 号 をクリック 注 文

第1章 情報処理センターの利用

Microsoft Word - ★HP版平成27年度検査の結果

(4) 会 員 が 加 盟 店 で miyoca サービスを 利 用 して 商 品 等 の 購 入 または 提 供 を 受 ける 場 合 に 利 用 できるカードの 枚 数 は 加 盟 店 により 異 なり (5) 会 員 は miyoca サービスを 利 用 した 場 合 は 交 付 するレシート

<4D F736F F D C689D789B582B581698AAE90AC92CA926D816A2E646F63>

Transcription:

FutureNet NXR,WXR シリーズ 設 定 例 集 NAT,フィルタ 編 Ver 1.3.0 センチュリー システムズ 株 式 会 社

目 次 目 次... 2 はじめに... 4 改 版 履 歴... 5 NXR,WXR シリーズの NAT フィルタ 機 能... 6 1. フィルタ 設 定... 12 1-1. 入 力 (in)フィルタ 設 定... 13 1-2. 転 送 (forward-in,forward-out)フィルタ 設 定... 15 1-3. 動 的 フィルタ(ステートフルパケットインスペクション) 設 定... 18 1-4. FQDN フィルタ 設 定... 20 1-5. ブリッジフィルタ 設 定... 23 2. NAT 設 定... 27 2-1. IP マスカレード 設 定... 28 2-2. 送 信 元 NAT(SNAT) 設 定... 31 2-3. 宛 先 NAT(DNAT) 設 定... 35 2-4. UPnP 設 定... 39 2-5. SIP-NAT 設 定 1... 43 2-6. SIP-NAT 設 定 2... 47 3. NAT/フィルタ 応 用 設 定... 52 3-1. NAT でのサーバ 公 開 1(ポートマッピング) 設 定... 53 3-2. NAT でのサーバ 公 開 2( 複 数 IP+PPPoE) 設 定... 57 3-3. NAT でのサーバ 公 開 3( 複 数 IP+Ethernet) 設 定... 61 3-4. NAT でのサーバ 公 開 4 (LAN 内 のサーバにグローバル IP アドレスでアクセス) 設 定... 65 3-5. NAT でのサーバ 公 開 5(IP nat-loopback の 利 用 ) 設 定... 70 3-6. NAT でのサーバ 公 開 6(DDNS の 利 用 ) 設 定... 74 3-7. DMZ 構 築 (PPPoE) 設 定... 78 4. Web 認 証 設 定... 84 4-1. ユーザ 認 証 設 定... 85 4-2. URL 転 送 設 定... 89 4-3. ユーザ 強 制 認 証 +URL 転 送... 93 4-4. Web 認 証 フィルタ... 97 4-5. RADIUS 連 携... 101 4-6. ブリッジ+Web 認 証 設 定... 105 2 / 142

付 録... 108 フィルタ 状 態 確 認 方 法... 109 NAT 状 態 確 認 方 法... 111 UPnP 状 態 確 認 方 法... 112 SIP-NAT 状 態 確 認 方 法... 113 Web 認 証 機 能 のユーザ 認 証 方 法... 114 設 定 例 show config 形 式 サンプル... 115 サポートデスクへのお 問 い 合 わせ... 138 サポートデスクへのお 問 い 合 わせに 関 して... 139 サポートデスクのご 利 用 に 関 して... 141 3 / 142

はじめに FutureNet はセンチュリー システムズ 株 式 会 社 の 登 録 商 標 です 本 書 に 記 載 されている 会 社 名, 製 品 名 は 各 社 の 商 標 および 登 録 商 標 です 本 ガイドは 以 下 の FutureNet NXR,WXR 製 品 に 対 応 しております NXR-120/C,NXR-125/CX,NXR-130/C,NXR-155/C シリーズ, NXR-230/C,NXR-350/C,NXR-1200,NXR-G100 シリーズ,WXR-250 本 書 の 内 容 の 一 部 または 全 部 を 無 断 で 転 載 することを 禁 止 しています 本 書 の 内 容 については 将 来 予 告 なしに 変 更 することがあります 本 書 の 内 容 については 万 全 を 期 しておりますが ご 不 審 な 点 や 誤 り 記 載 漏 れ 等 お 気 づきの 点 がありま したらお 手 数 ですが ご 一 報 下 さいますようお 願 い 致 します 本 書 は FutureNet NXR-120/C, NXR-125/CX,NXR-230/C の 以 下 のバージョンをベースに 作 成 してお ります 第 1 章 ~ 第 2 章 FutureNet NXR-120/C Ver5.24.1J 1-5 は FutureNet NXR-120/C Ver5.24.1M 2-3 は FutureNet NXR-230/C Ver5.26.1 第 3 章 FutureNet NXR-125/CX Ver5.25.4 第 4 章 FutureNet NXR-120/C Ver5.24.1J 4-6 は FutureNet NXR-120/C Ver5.24.1M 各 種 機 能 において ご 使 用 されている 製 品 およびファームウェアのバージョンによっては 一 部 機 能,コ マンドおよび 設 定 画 面 が 異 なっている 場 合 もありますので その 場 合 は 各 製 品 のユーザーズガイドを 参 考 に 適 宜 読 みかえてご 参 照 および 設 定 を 行 って 下 さい 本 バージョンでは IPv4 のみを 対 象 とし IPv6 設 定 については 本 バージョンでは 記 載 しておりません 設 定 した 内 容 の 復 帰 ( 流 し 込 み)を 行 う 場 合 は CLI では copy コマンド,GUI では 設 定 の 復 帰 を 行 う 必 要 があります モバイルデータ 通 信 端 末 をご 利 用 頂 く 場 合 で 契 約 内 容 が 従 量 制 またはそれに 準 ずる 場 合 大 量 のデータ 通 信 を 行 うと 利 用 料 が 高 額 になりますので ご 注 意 下 さい 本 書 を 利 用 し 運 用 した 結 果 発 生 した 問 題 に 関 しましては 責 任 を 負 いかねますのでご 了 承 下 さい 4 / 142

改 版 履 歴 Version 更 新 内 容 1.0.0 初 版 第 4 章 Web 認 証 設 定 追 加 設 定 例 show config 形 式 サンプル 追 加 1.1.0 送 信 元 NAT(SNAT) 設 定 のベースを NXR-230/C Ver5.22.4A に 変 更 DMZ 構 築 (PPPoE) 設 定 のベースを NXR-230/C Ver5.22.4A に 変 更 FutureNet サポートデスクへのお 問 い 合 わせページ 更 新 DDNS を 利 用 したサーバ 公 開 設 定 例 追 加 1.2.0 Web 認 証 での RADIUS 連 携 設 定 例 追 加 ブリッジフィルタ 設 定 例 追 加 1.3.0 ブリッジ+Web 認 証 設 定 例 追 加 5 / 142

NXR,WXR シリーズの NAT フィルタ 機 能 フィルタリング 機 能 静 的 フィルタ NXR,WXR シリーズではアクセスリストによる 条 件 定 義 によりパケットのフィルタリングを 行 います アク セスリストは 作 成 しただけではフィルタとして 動 作 しません そのためインタフェースの 入 力 (in), 転 送 (forward-in,forward-out), 出 力 (out)に 対 して 適 用 することによりフィルタとして 動 作 し パケットの 制 御 を 行 います IP アクセスリストによるフィルタリング 時 に 設 定 可 能 なマッチ 条 件 とマッチ 時 の 動 作 に 関 しては 下 記 の 通 りです マッチ 条 件 送 信 元 IP アドレス,ネットマスク 指 定 宛 先 IP アドレス,ネットマスク 指 定 プロトコル 指 定 ( 既 知 のプロトコル 名 指 定 と 任 意 のプロトコル 番 号 入 力 ) 送 信 元 ポート 指 定 (TCP,UDP のみ 範 囲 指 定 可 ) 宛 先 ポート 指 定 (TCP,UDP のみ 範 囲 指 定 可 ) ICMP タイプ/コード 指 定 (ICMP 指 定 時 のみ) 送 信 元 MAC アドレス 指 定 マッチ 時 の 動 作 permit 許 可 されたパケットとして 判 断 されます deny 許 可 されていないパケットとして 破 棄 されます ( ) NXR,WXR シリーズではフィルタでアクセスリストを 利 用 する 場 合 アクセスリスト 作 成 時 の 暗 黙 ル ールとしてアクセスリストの 最 後 尾 に 全 て 許 可 のルールが 設 定 されます 動 的 フィルタ(ステートフルパケットインスペクション) ステートフルパケットインスペクション 機 能 はパケットを 監 視 してパケットフィルタリング 項 目 を 随 時 変 更 する 機 能 で 動 的 パケットフィルタリング 機 能 として 利 用 できます インタフェースでこの 設 定 を にした 場 合 通 常 そのインタフェースで 受 信 したパケットは 全 て 破 棄 され ますが そのインタフェースから 送 信 されたパケットに 対 応 する 戻 りパケットに 対 してはアクセスを 許 可 し ます これにより 例 えば 自 動 的 に WAN からの 不 要 なアクセスを 制 御 することが 可 能 で 簡 単 な 設 定 でより 高 度 な 安 全 性 を 保 つことができます またステートフルパケットインスペクション 機 能 を にすると そのインタフェースへのアクセスは 原 則 不 可 となります ( 静 的 フィルタ 設 定 やセッション 情 報 がある 場 合 は 除 く) よって DNAT 機 能 を 利 用 して LAN 内 にあるサーバを 外 部 に 公 開 するような 場 合 は 静 的 フィルタ 設 定 を 行 い 外 部 から 指 定 したサービスにアクセスできるように 設 定 しておく 必 要 があります 6 / 142

IP フィルタの 優 先 順 位 入 力 (in)/ 転 送 (forward-in, forward-out)/ 出 力 (out) 時 にフィルタリングが 適 用 される 順 番 は 以 下 のとおりで す なお IPsec インプット/アウトプットポリシチェック(Policy Based IPsec のパケットのみが 対 象 )は 実 際 に SPD(Security Policy Database)を 検 索 するわけではなく ESP 化 されてきたパケット/ESP 化 する べきパケットの 判 断 のみを 行 い この 判 定 にマッチしたパケットが 許 可 されます 入 力 (1) システムフィルタ - Invalid status drop - TCP コネクション 数 制 限 (2) IPsec インプットポリシチェック IPsec ESP(Policy Based) 化 されてきたものは 許 可 します (3) 入 力 (in)フィルタ (4) ステートフルパケットインスペクション (5) サービス 用 フィルタ(Web 設 定 画 面 アクセス 用 フィルタなど) 転 送 (1) システムフィルタ - Invalid status drop - Session limit (2) IPsec インプット/アウトプットポリシチェック IPsec ESP(Policy Based) 化 されてきたものか アウトバウンドポリシにマッチするものは 許 可 しま す (3) UPNP フィルタリング (4) 転 送 (forward-in, forward-out)フィルタ (5) ステートフルパケットインスペクションチェック( 入 力 / 転 送 時 のみ) (6) WEB 認 証 用 転 送 (webauth-filter forward-in, forward-out)フィルタ 出 力 (1) IPsec アウトプットポリシチェック IPsec アウトバウンドポリシ(Policy Based)にマッチするものは 許 可 します (2) 出 力 (out)フィルタ 7 / 142

NAT 機 能 IP マスカレード 機 能 インタフェースよりパケットを 出 力 する 際 にパケットの 送 信 元 IP アドレスや TCP/UDP ポート 番 号 をパケ ットを 出 力 するインタフェースの IP アドレス, TCP/UDP ポート 番 号 に 自 動 的 に 変 換 してパケットを 送 信 す る 機 能 です これにより 複 数 のプライベート IP アドレスをある1つのグローバル IP アドレスに 変 換 すると いったことが 可 能 となるため グローバル IP アドレスを1つしか 保 有 していなくても 複 数 のコンピュータ からインターネットにアクセスすることができるようになります 送 信 元 NAT(SNAT) 機 能 IP パケットの 送 信 元 IP アドレスや TCP/UDP ポート 番 号 を 変 換 する 機 能 です IP マスカレード 機 能 とは 異 なり 例 えばプライベート IP アドレスをどのグローバル IP アドレスに 変 換 す るかをそれぞれ 設 定 できるのが 送 信 元 NAT 機 能 です < 例 > プライベート IP アドレスA > グローバル IP アドレスX プライベート IP アドレスB > グローバル IP アドレスY プライベート IP アドレスC~ F > グローバル IP アドレスZ よって 例 えば IP マスカレード 機 能 を 設 定 せずに 送 信 元 NAT 機 能 だけを 設 定 した 場 合 は 送 信 元 NAT 機 能 で 設 定 された IP アドレスを 持 つコンピュータ 以 外 はインターネットにアクセスできません 宛 先 NAT(DNAT) 機 能 IP パケットの 宛 先 IP アドレスおよび TCP/UDP ポート 番 号 を 変 換 する 機 能 です 例 えば 通 常 はインターネット 側 からプライベート LAN へアクセスする 事 はできませんが 宛 先 グローバル IP アドレスをプライベート IP アドレスへ 変 換 する 設 定 をおこなうことで 見 かけ 上 はインターネット 上 の サーバへアクセスしているかのように 見 せることができます NAT の 優 先 順 位 NAT の 適 用 順 位 は 以 下 のとおりです 入 力 (プレルーティング) (1) システム DNAT (2) UPNP 用 DNAT (3) ユーザ 設 定 用 宛 先 NAT(DNAT) 出 力 (ポストルーティング) (1) システム SNAT (2) IPsec ポリシにマッチしたパケットは 以 下 の NAT は 未 適 用 となります (3) ユーザ 設 定 用 送 信 元 NAT(SNAT) (4) IPv4 マスカレード 8 / 142

NXR,WXR パケットトラベリング NXR,WXR がパケットを 受 信 してから 送 信 するまでに 適 用 される NAT,フィルタおよびパケットカラーリン グの 順 番 は 以 下 のとおりです パケット 受 信 ネットワーク NXR,WXR 自 身 へのパケット プレルーティング 1Conntrack 2パケットカラーリング 3DNAT 4ルーティングプロセス 他 のアドレスへのパケット 入 力 5inフィルタ 6inbound SPD 検 索 6inbound SPD 検 索 7outbound SPD 検 索 ローカルプロセス 9ルーティングプロセス 10outbound SPD 検 索 転 送 8forward-inフィルタ 8forward-outフィルタ 出 力 11conntrack 12outフィルタ ポストルーティング 13パケットカラーリング 14SNAT パケット 送 信 ネットワーク パケット 転 送 時 - パケット 受 信 - 1 Conntrack セッション 情 報 の 作 成 および 参 照 を 行 います この 際 session コマンド(global node)で 設 定 された 9 / 142

内 容 に 基 づいてチェックが 行 われます 2 パケットカラーリング( 入 力 ) 3 宛 先 NAT(DNAT) 詳 細 は NAT の 優 先 順 位 ( 入 力 )をご 参 照 ください 4 ルーティングプロセス 6 IPsec inbound SPD( 1) 検 索 ESP 化 されてきたパケットはここでポリシチェックが 行 われます ESP 化 すべきパケットがプレー ンテキストで 送 信 されてきた 場 合 は 破 棄 されます 但 し ipsec policy-ignore input が な 場 合 は ここでのチェックは 行 われません 7 IPsec outbound SPD( 1) 検 索 ipsec policy-ignore output が 設 定 されている 場 合 は ポリシ 検 索 は 行 われません 8 パケットフィルタリング 詳 細 は IP フィルタの 優 先 順 位 ( 転 送 )をご 参 照 ください 13 パケットカラーリング( 出 力 ) 14 送 信 元 NAT(SNAT) 詳 細 は NAT の 優 先 順 位 ( 出 力 )を 参 照 してください - パケット 送 信 - パケット 受 信 時 (NXR,WXR が 宛 先 ) - パケット 受 信 - 1 Conntrack セッション 情 報 の 作 成 および 参 照 を 行 います この 際 session コマンド(global node)で 設 定 された 内 容 に 基 づいてチェックが 行 われます 2 パケットカラーリング( 入 力 ) 3 宛 先 NAT(DNAT) 詳 細 は NAT の 優 先 順 位 ( 入 力 )をご 参 照 ください 4 ルーティングプロセス 5 パケットフィルタリング 詳 細 は IP フィルタの 優 先 順 位 ( 入 力 )をご 参 照 ください 6 IPsec inbound SPD( 1) 検 索 ESP 化 されてきたパケットはここでポリシチェックが 行 われます ESP 化 すべきパケットがプレー ンテキストで 送 信 されてきた 場 合 は 破 棄 されます 但 し ipsec policy-ignore input が な 場 合 は ここでのチェックは 行 われません -->ESP パケットの 場 合 認 証 / 復 号 処 理 後 1へ 戻 ります --> NXR,WXR ローカルプロセス 10 / 142

パケット 送 信 時 (NXR,WXR が 送 信 元 ) - NXR,WXR ローカルプロセスがパケットを 送 出 - 9 ルーティングプロセス 10 IPsec outbound SPD( 1) 検 索 11 Conntrack セッション 情 報 の 作 成 および 参 照 を 行 います この 際 session コマンド(global node)で 設 定 された 内 容 に 基 づいてチェックが 行 われます 12 パケットフィルタリング( 出 力 ) 詳 細 は IP フィルタの 優 先 順 位 ( 出 力 )をご 参 照 ください 13 パケットカラーリング( 出 力 ) 14 送 信 元 NAT(SNAT) 詳 細 は NAT の 優 先 順 位 ( 出 力 )をご 参 照 ください SNAT される 場 合 この 後 で 再 度 IPsec outbound SPD 検 索 が 行 われます 但 し ipsec policy-ignore output が 設 定 されている 場 合 は ポリシ 検 索 は 行 われません ポリシにマッチしたパケットは 暗 号 化 処 理 を 行 い パケットフィルタリング( 出 力 ) --> ポストルーティングを 通 過 し ESP パケットが 出 力 されます - パケット 送 信 - ( 注 1) IPsec を 使 用 するにあたって どのようなパケットに 対 してどのようなアクション{discard(パケット 廃 棄 す る) bypass(ipsec 処 理 を 行 わない) apply(ipsec を 適 用 する)}を 行 うかを 定 めたルールが SP(Security Policy)で SP を 格 納 するデータベースが SPD(Security Policy Database)です SPD には inbound SPD と outbound SPD があります 受 信 パケットのポリシチェックには inbound SPD が 検 索 されます 送 信 パケットのポリシチェックには outbound SPD が 検 索 されます 11 / 142

1. フィルタ 設 定 1-1. 入 力 (in)フィルタ 設 定 1-2. 転 送 (forward-in,forward-out)フィルタ 設 定 1-3. 動 的 フィルタ(ステートフルパケットインスペクション) 設 定 1-4. FQDN フィルタ 設 定 1-5. ブリッジフィルタ 設 定 12 / 142

1. フィルタ 設 定 1-1. 入 力 (in)フィルタ 設 定 1-1. 入 力 (in)フィルタ 設 定 入 力 フィルタでは ルータ 宛 に 送 信 されたパケットのうちルータ 自 身 で 受 信 し 処 理 するものを 対 象 としま す この 設 定 例 では LAN 内 で 特 定 の IP アドレスからルータへの TELNET アクセスは 許 可 するが それ 以 外 の IP アドレスからの TELNET アクセスは 破 棄 します 構 成 図 LAN : 192.168.10.0/24 アクセス 可 192.168.10.100 eth0 192.168.10.1 アクセス 不 可 192.168.10.101 入 力 フィルタ(in)では 外 部 からルータ 自 身 に 入 ってくるパケットを 制 御 します インターネットや LAN からルータへのアクセスについて 制 御 したい 場 合 には この 入 力 フィルタを 設 定 します 設 定 データ ethernet0 インタフェース IP フィルタ 設 定 項 目 設 定 内 容 IP アドレス 192.168.10.1/24 IP アクセスグループ in eth0_in ルール 名 eth0_in 動 作 許 可 送 信 元 IP アドレス 192.168.10.100 No.1 宛 先 IP アドレス 192.168.10.1 プロトコル TCP 送 信 元 ポート any eth0_in 宛 先 ポート 23 動 作 破 棄 送 信 元 IP アドレス any No.2 宛 先 IP アドレス 192.168.10.1 プロトコル TCP 送 信 元 ポート any 宛 先 ポート 23 13 / 142

1. フィルタ 設 定 1-1. 入 力 (in)フィルタ 設 定 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#ip access-list eth0_in permit 192.168.10.100 192.168.10.1 tcp any 23 nxr120(config)#ip access-list eth0_in deny any 192.168.10.1 tcp any 23 nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#ip access-group in eth0_in nxr120(config-if)#exit nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. < IP アクセスリスト 設 定 > nxr120(config)#ip access-list eth0_in permit 192.168.10.100 192.168.10.1 tcp any 23 nxr120(config)#ip access-list eth0_in deny any 192.168.10.1 tcp any 23 フィルタの 動 作 を 規 定 するルールリストを 作 成 します IP アクセスリスト 名 を eth0_in とし 送 信 元 IP アドレス 192.168.10.100 以 外 からルータの LAN 側 IP ア ドレス 192.168.10.1 への TELNET アクセスを 破 棄 します なお この IP アクセスリスト 設 定 は ethernet0 インタフェース 設 定 で 登 録 します ( ) IP アクセスリストを 設 定 しただけではフィルタとして にはなりません フィルタリングを 行 うイ ンタフェースでの 登 録 が 必 要 になります 2. <ethernet0 インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します nxr120(config-if)#ip access-group in eth0_in IP アクセスリスト 設 定 で 設 定 した eth0_in を in フィルタに 適 用 します これにより ethernet0 インタフェ ースで 受 信 したルータ 自 身 宛 のパケットに 対 して IP アクセスリストによるチェックが 行 われます 端 末 の 設 定 例 端 末 1 端 末 2 IP アドレス 192.168.10.100 192.168.10.101 サブネットマスク 255.255.255.0 14 / 142

1. フィルタ 設 定 1-2. 転 送 (forward-in,forward-out)フィルタ 設 定 1-2. 転 送 (forward-in,forward-out)フィルタ 設 定 転 送 フィルタでは ルータが 内 部 転 送 (NXR,WXR がルーティング)するパケットを 制 御 するときに 利 用 しま す この 設 定 例 では LAN_B に 設 置 されている WWW サーバ,TELNET サーバに 対 して WWW サーバへの アクセスは 許 可 するが TELNET サーバへのアクセスは 破 棄 します 構 成 図 LAN_A: 192.168.10.0/24 LAN_B: 192.168.20.0/24 WWWアクセス 可 TELNETサーバ 192.168.20.20 192.168.10.100 eth0 192.168.10.1 TELNET アクセス 不 可 eth1 192.168.20.1 WWWサーバ 192.168.20.10 192.168.10.101 転 送 フィルタ(forward-in,forward-out)では LAN からインターネットへのアクセスやインターネットか ら LAN 内 サーバへのアクセス LAN から LAN へのアクセスなどルータが 内 部 転 送 する(ルーティング する)パケットを 制 御 します 設 定 データ 設 定 項 目 設 定 内 容 ethernet0 インタフェース IP アドレス 192.168.10.1/24 IP アクセスグループ forward-in eth0_forward-in ethernet1 インタフェース IP アドレス 192.168.20.1/24 ルール 名 eth0_forward-in 動 作 許 可 送 信 元 IP アドレス any No.1 宛 先 IP アドレス 192.168.20.10 プロトコル TCP 送 信 元 ポート any IP フィルタ 宛 先 ポート 80 eth0_forward-in 動 作 破 棄 送 信 元 IP アドレス any No.2 宛 先 IP アドレス 192.168.20.20 プロトコル TCP 送 信 元 ポート any 宛 先 ポート 23 15 / 142

1. フィルタ 設 定 1-2. 転 送 (forward-in,forward-out)フィルタ 設 定 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#ip access-list eth0_forward-in permit any 192.168.20.10 tcp any 80 nxr120(config)#ip access-list eth0_forward-in deny any 192.168.20.20 tcp any 23 nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#ip access-group forward-in eth0_forward-in nxr120(config-if)#exit nxr120(config)#interface ethernet 1 nxr120(config-if)#ip address 192.168.20.1/24 nxr120(config-if)#exit nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. < IP アクセスリスト 設 定 > nxr120(config)#ip access-list eth0_forward-in permit any 192.168.20.10 tcp any 80 nxr120(config)#ip access-list eth0_forward-in deny any 192.168.20.20 tcp any 23 フィルタの 動 作 を 規 定 するルールリストを 作 成 します IP アクセスリスト 名 を eth0_forward-in とし 宛 先 IP アドレス 192.168.20.10, 宛 先 TCP ポート 番 号 80 のパケットは 許 可 しますが 宛 先 IP アドレス 192.168.20.20, 宛 先 TCP ポート 番 号 23 のパケットは 破 棄 し ます なお この IP アクセスリスト 設 定 は ethernet0 インタフェース 設 定 で 登 録 します ( ) IP アクセスリストを 設 定 しただけではフィルタとして にはなりません フィルタリングを 行 うイ ンタフェースでの 登 録 が 必 要 になります 2. <ethernet0 インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します nxr120(config-if)#ip access-group forward-in eth0_forward-in IP アクセスリスト 設 定 で 設 定 した eth0_forward-in を forward-in フィルタに 適 用 します これにより ethernet0 インタフェースで 受 信 したルータが 内 部 転 送 する(ルーティングする)パケットに 対 して IP アクセ スリストによるチェックが 行 われます 3. <ethernet1 インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#ip address 192.168.20.1/24 ethernet1 インタフェースの IP アドレスを 設 定 します 16 / 142

1. フィルタ 設 定 1-2. 転 送 (forward-in,forward-out)フィルタ 設 定 端 末 の 設 定 例 LAN_A LAN_B 端 末 端 末 WWW サーバ TELNET サーバ IP アドレス 192.168.10.100 192.168.20.100 192.168.20.10 192.168.20.20 サブネットマスク 255.255.255.0 デフォルトゲートウェイ 192.168.10.1 192.168.20.1 17 / 142

1. フィルタ 設 定 1-3. 動 的 フィルタ(ステートフルパケットインスペクション) 設 定 1-3. 動 的 フィルタ(ステートフルパケットインスペクション) 設 定 ステートフルパケットインスペクションは パケットを 監 視 してパケットフィルタリング 項 目 を 随 時 変 更 す る 機 能 で 動 的 パケットフィルタリングともいわれる 機 能 です この 設 定 例 では ethernet1インタフェー ス 側 からの 接 続 要 求 を 全 て 遮 断 します 構 成 図 LAN_A: 192.168.10.0/24 LAN_B: 192.168.20.0/24 アクセス 不 可 192.168.20.101 eth0 192.168.10.1 eth1 192.168.20.1 192.168.20.100 設 定 データ 設 定 項 目 設 定 内 容 ethernet0 インタフェース IP アドレス 192.168.10.1/24 ethernet1 インタフェース IP アドレス 192.168.20.1/24 SPI フィルタ 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#exit nxr120(config)#interface ethernet 1 nxr120(config-if)#ip address 192.168.20.1/24 nxr120(config-if)#ip spi-filter nxr120(config-if)#exit nxr120(config)#exit nxr120#save config 18 / 142

1. フィルタ 設 定 1-3. 動 的 フィルタ(ステートフルパケットインスペクション) 設 定 設 定 例 解 説 1. <ethernet0 インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 2. <ethernet1 インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#ip address 192.168.20.1/24 ethernet1 インタフェースの IP アドレスを 設 定 します nxr120(config-if)#ip spi-filter ステートフルパケットインスペクションを 設 定 します ステートフルパケットインスペクションは パケットを 監 視 してパケットフィルタリング 項 目 を 随 時 変 更 す る 機 能 で 動 的 パケットフィルタリング 機 能 として 利 用 できます インタフェースでこの 設 定 を にした 場 合 通 常 そのインタフェースで 受 信 したパケットは 全 て 破 棄 され ますが そのインタフェースから 送 信 されたパケットに 対 応 する 戻 りパケットに 対 しては アクセスを 許 可 します これにより 例 えば 自 動 的 に WAN からの 不 要 なアクセスを 制 御 することが 可 能 です 端 末 の 設 定 例 LAN_A の 端 末 LAN_B の 端 末 IP アドレス 192.168.10.100 192.168.20.100 サブネットマスク 255.255.255.0 デフォルトゲートウェイ 192.168.10.1 192.168.20.1 19 / 142

1. フィルタ 設 定 1-4. FQDN フィルタ 設 定 1-4. FQDN フィルタ 設 定 IP アクセスリスト 設 定 では 送 信 元 IP アドレス, 宛 先 IP アドレスを FQDN 形 式 で 設 定 することが 可 能 で す これにより 指 定 した FQDN に 対 応 する IP アドレスが 複 数 ある 場 合 でも その IP アドレスを 一 つ 一 つ アクセスリストに 設 定 する 必 要 はなく 対 応 する FQDN を 指 定 するだけでフィルタすることが 可 能 です この 設 定 例 では www.example.com の TCP ポート 80 番 宛 のアクセスを 制 限 します 構 成 図 LAN : 192.168.10.0/24 192.168.10.100 www.example.comへのアクセス www.example.com プロバイダ インターネット 192.168.10.101 eth0 192.168.10.1 ppp0(pppoe) 動 的 IP www.example.co.jpへのアクセス www.example.co.jp 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 PPPoE クライアント(ethernet1) ppp0 ppp0 の IP アドレス 動 的 IP アドレス IP マスカレード IP アクセスグループ forward-out ppp0_forward-out WAN 側 インタフェース SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 ISP 接 続 用 ユーザ ID test1@example.jp ISP 接 続 用 パスワード test1pass スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(インタフェース) ppp0 ルール 名 ppp0_forward-out 動 作 破 棄 送 信 元 IP アドレス any IP フィルタ 宛 先 IP アドレス www.example.com ppp0_forward-out プロトコル TCP 送 信 元 ポート any 宛 先 ポート 80 DNS サービス FastFowarding 20 / 142

1. フィルタ 設 定 1-4. FQDN フィルタ 設 定 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 ppp 0 nxr120(config)#ip access-list ppp0_forward-out deny any www.example.com tcp any 80 nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip access-group forward-out ppp0_forward-out nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects nxr120(config-ppp)#ppp username test1@example.jp password test1pass nxr120(config-ppp)#exit nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 nxr120(config-if)#exit nxr120(config)#dns nxr120(config-dns)#service enable nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 2. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 ppp 0 デフォルトルートを 設 定 します 3. < IP アクセスリスト 設 定 > nxr120(config)#ip access-list ppp0_forward-out deny any www.example.com tcp any 80 フィルタの 動 作 を 規 定 するルールリストを 作 成 します IP アクセスリスト 名 を ppp0_forward-out とし 宛 先 FQDNwww.example.com, 宛 先 TCP ポート 番 号 80 のパケットを 破 棄 します なお この IP アクセスリスト 設 定 は ppp0 インタフェース 設 定 で 登 録 します ( ) IP アクセスリストを 設 定 しただけではフィルタとして にはなりません フィルタリングを 行 うイ ンタフェースでの 登 録 が 必 要 になります 21 / 142

1. フィルタ 設 定 1-4. FQDN フィルタ 設 定 4. <WAN 側 (ppp0)インタフェース 設 定 > nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated ppp0 インタフェースの IP アドレスが 動 的 IP アドレスの 場 合 は negotiated を 設 定 します nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip access-group forward-out ppp0_forward-out nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects IP マスカレード ステートフルパケットインスペクションを に 設 定 します また IP アクセスリスト ppp0_forward-out を forward-out フィルタに 適 用 します そして TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します nxr120(config-ppp)#ppp username test1@example.jp password test1pass ISP 接 続 用 のユーザ ID とパスワードを 設 定 します 5. <ethernet1 インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 PPPoE クライアントとして ppp0 インタフェースを 使 用 できるように 設 定 します 6. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable DNS サービスを にします 7. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 端 末 の 設 定 例 IP アドレス 192.168.10.100 サブネットマスク 255.255.255.0 デフォルトゲートウェイ DNS サーバ 192.168.10.1 22 / 142

1. フィルタ 設 定 1-5. ブリッジフィルタ 設 定 1-5. ブリッジフィルタ 設 定 ブリッジフィルタは ブリッジインタフェースで 動 作 するフィルタです ブリッジフィルタでは MAC ア ドレス IP アドレス VLAN ID などを 条 件 としてレイヤ2レベルでのフィルタリングが 可 能 です この 設 定 例 では 特 定 の 端 末 から WWW サーバ,SSH サーバへのアクセスは 許 可 するが それ 以 外 の 端 末 か らのアクセスは 破 棄 します 構 成 図 LAN: 192.168.10.0/24 アクセス 不 可 端 末 1 192.168.10.100 00:80:6D:XX:XX:00 eth0 WWWサーバへの アクセス 可 eth1 WWWサーバ 192.168.10.10 192.168.10.101 00:80:6D:XX:XX:01 br0 192.168.10.1 SSHサーバへの アクセス 可 端 末 2 192.168.10.102 00:80:6D:XX:XX:02 SSHサーバ 192.168.10.11 ブリッジフィルタは ブリッジインタフェースで 登 録 した Ethernet0 インタフェースで 行 います 端 末 1 から WWW サーバへの 通 信 (ARP リクエスト,TCP ポート 番 号 80)を 許 可 します 端 末 2 から SSH サーバへの 通 信 (ARP リクエスト,TCP ポート 番 号 22)を 許 可 します その 他 端 末 からのルータ 宛 およびルータ 経 由 の 通 信 を 破 棄 します 設 定 データ ブリッジインタフェース ブリッジフィルタ 設 定 項 目 設 定 内 容 bridge0 の IP アドレス 192.168.10.1/24 ブリッジ 対 象 インタフェース ethernet0 ethernet1 ブリッジアクセスグループ in br0_eth0-in forward-in br0_eth0-forward-in ルール 名 br0_eth0-forward-in 動 作 許 可 フィールド ARP OPCODE Request No.1 送 信 元 MAC アドレス 00:80:6D:XX:XX:00 br0_eth0-forward-in 送 信 元 IP アドレス 192.168.10.100 宛 先 IP アドレス 192.168.10.10 No.2 動 作 許 可 フィールド IP 23 / 142

ルール 名 br0_eth0-in No.3 No.4 No.5 No.1 1. フィルタ 設 定 1-5. ブリッジフィルタ 設 定 送 信 元 MAC アドレス 00:80:6D:XX:XX:00 送 信 元 IP アドレス 192.168.10.100 宛 先 IP アドレス 192.168.10.10 プロトコル TCP 宛 先 ポート 80 動 作 許 可 フィールド ARP OPCODE Request 送 信 元 MAC アドレス 00:80:6D:XX:XX:02 送 信 元 IP アドレス 192.168.10.102 宛 先 IP アドレス 192.168.10.11 動 作 許 可 フィールド IP 送 信 元 MAC アドレス 00:80:6D:XX:XX:02 送 信 元 IP アドレス 192.168.10.102 宛 先 IP アドレス 192.168.10.11 プロトコル TCP 宛 先 ポート 22 動 作 破 棄 フィールド any 送 信 元 MAC アドレス any 宛 先 MAC アドレス any br0_eth0-in 動 作 破 棄 フィールド any 送 信 元 MAC アドレス any 宛 先 MAC アドレス any 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#bridge access-list br0_eth0-forward-in permit 1 arp nxr120(config-bridge-acl)#opcode request nxr120(config-bridge-acl)#sender-mac 00:80:6D:XX:XX:00 nxr120(config-bridge-acl)#sender-ip 192.168.10.100 nxr120(config-bridge-acl)#target-ip 192.168.10.10 nxr120(config-bridge-acl)#exit nxr120(config)#bridge access-list br0_eth0-forward-in permit 2 ip nxr120(config-bridge-acl)#mac source 00:80:6D:XX:XX:00 nxr120(config-bridge-acl)#source 192.168.10.100 nxr120(config-bridge-acl)#destination 192.168.10.10 nxr120(config-bridge-acl)#protocol tcp nxr120(config-bridge-acl)#destination-port 80 nxr120(config-bridge-acl)#exit nxr120(config)#bridge access-list br0_eth0-forward-in permit 3 arp nxr120(config-bridge-acl)#opcode request nxr120(config-bridge-acl)#sender-mac 00:80:6D:XX:XX:02 nxr120(config-bridge-acl)#sender-ip 192.168.10.102 nxr120(config-bridge-acl)#target-ip 192.168.10.11 nxr120(config-bridge-acl)#exit nxr120(config)#bridge access-list br0_eth0-forward-in permit 4 ip nxr120(config-bridge-acl)#mac source 00:80:6D:XX:XX:02 nxr120(config-bridge-acl)#source 192.168.10.102 nxr120(config-bridge-acl)#destination 192.168.10.11 nxr120(config-bridge-acl)#protocol tcp nxr120(config-bridge-acl)#destination-port 22 nxr120(config-bridge-acl)#exit nxr120(config)#bridge access-list br0_eth0-forward-in deny 5 any any any nxr120(config)#bridge access-list br0_eth0-in deny 1 any any any nxr120(config)#interface bridge 0 nxr120(config-bridge)#ip address 192.168.10.1/24 24 / 142

1. フィルタ 設 定 1-5. ブリッジフィルタ 設 定 nxr120(config-bridge)#bridge port 1 ethernet 0 nxr120(config-bridge)#bridge port 2 ethernet 1 nxr120(config-bridge)#bridge port 1 access-group in br0_eth0-in nxr120(config-bridge)#bridge port 1 access-group forward-in br0_eth0-forward-in nxr120(config-bridge)#exit nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. <ブリッジアクセスリスト 設 定 > nxr120(config)#bridge access-list br0_eth0-forward-in permit 1 arp nxr120(config-bridge-acl)#opcode request nxr120(config-bridge-acl)#sender-mac 00:80:6D:XX:XX:00 nxr120(config-bridge-acl)#sender-ip 192.168.10.100 nxr120(config-bridge-acl)#target-ip 192.168.10.10 ブリッジアクセスリスト 名 を br0_eth0-forward-in Ethernet タイプを ARP とします そして OP コー ドが Request(ARP Request), 送 信 元 MAC アドレス 00:80:6D:XX:XX:00, 送 信 元 IP アドレス 192.168.10.100, 宛 先 IP アドレス 192.168.10.100 のフレームを 許 可 します nxr120(config)#bridge access-list br0_eth0-forward-in permit 2 ip nxr120(config-bridge-acl)#mac source 00:80:6D:XX:XX:00 nxr120(config-bridge-acl)#source 192.168.10.100 nxr120(config-bridge-acl)#destination 192.168.10.10 nxr120(config-bridge-acl)#protocol tcp nxr120(config-bridge-acl)#destination-port 80 ブリッジアクセスリスト 名 を br0_eth0-forward-in Ethernet タイプを IP(IPv4)とします そして 送 信 元 MAC アドレス 00:80:6D:XX:XX:00, 送 信 元 IP アドレス 192.168.10.100, 宛 先 IP アドレス 192.168.10.100, 宛 先 TCP ポート 番 号 80 のフレームを 許 可 します nxr120(config)#bridge access-list br0_eth0-forward-in permit 3 arp nxr120(config-bridge-acl)#opcode request nxr120(config-bridge-acl)#sender-mac 00:80:6D:XX:XX:02 nxr120(config-bridge-acl)#sender-ip 192.168.10.102 nxr120(config-bridge-acl)#target-ip 192.168.10.11 ブリッジアクセスリスト 名 を br0_eth0-forward-in Ethernet タイプを ARP とします そして OP コー ドが Request(ARP Request), 送 信 元 MAC アドレス 00:80:6D:XX:XX:02, 送 信 元 IP アドレス 192.168.10.102, 宛 先 IP アドレス 192.168.10.11 のフレームを 許 可 します nxr120(config)#bridge access-list br0_eth0-forward-in permit 4 ip nxr120(config-bridge-acl)#mac source 00:80:6D:XX:XX:02 nxr120(config-bridge-acl)#source 192.168.10.102 nxr120(config-bridge-acl)#destination 192.168.10.11 nxr120(config-bridge-acl)#protocol tcp nxr120(config-bridge-acl)#destination-port 22 ブリッジアクセスリスト 名 を br0_eth0-forward-in Ethernet タイプを IP(IPv4)とします そして 送 信 元 MAC アドレス 00:80:6D:XX:XX:02, 送 信 元 IP アドレス 192.168.10.102, 宛 先 IP アドレス 192.168.10.11, 宛 先 TCP ポート 番 号 22 のフレームを 許 可 します nxr120(config)#bridge access-list br0_eth0-forward-in deny 5 any any any 25 / 142

1. フィルタ 設 定 1-5. ブリッジフィルタ 設 定 ブリッジアクセスリスト 名 を br0_eth0-forward-in Ethernet タイプ, 送 信 元, 宛 先 MAC アドレス any のフ レームを 破 棄 します nxr120(config)#bridge access-list br0_eth0-in deny 1 any any any ブリッジアクセスリスト 名 を br0_eth0-in Ethernet タイプ, 送 信 元, 宛 先 MAC アドレス any のフレームを 破 棄 します ( ) これらブリッジアクセスリスト 設 定 は bridge0 インタフェース 設 定 で 登 録 します ( ) ブリッジアクセスリストを 設 定 しただけではフィルタとして にはなりません フィルタリングを 行 うインタフェースでの 登 録 が 必 要 になります 2. <bridge0 インタフェース 設 定 > nxr120(config)#interface bridge 0 nxr120(config-bridge)#ip address 192.168.10.1/24 bridge0 インタフェースの IP アドレスを 設 定 します nxr120(config-bridge)#bridge port 1 ethernet 0 nxr120(config-bridge)#bridge port 2 ethernet 1 ブリッジインタフェースで 利 用 するインタフェースを 設 定 します nxr120(config-bridge)#bridge port 1 access-group in br0_eth0-in ブリッジアクセスリスト 設 定 で 設 定 した br0_eth0-in をブリッジポート 1 の in フィルタに 適 用 します こ れによりブリッジポート 1(ethernet0 インタフェース)で 受 信 したルータ 自 身 宛 のフレームに 対 してブリッ ジアクセスリストによるチェックが 行 われます nxr120(config-bridge)#bridge port 1 access-group forward-in br0_eth0-forward-in ブリッジアクセスリスト 設 定 で 設 定 した br0_eth0-forward-in をブリッジポート 1 の forward-in フィルタ に 適 用 します これによりブリッジポート 1(ethernet0 インタフェース)で 受 信 したルータが 内 部 転 送 する ( 透 過 する)フレームに 対 してブリッジアクセスリストによるチェックが 行 われます 端 末 の 設 定 例 端 末 1 端 末 2 WWW サーバ SSH サーバ IP アドレス 192.168.10.100 192.168.10.102 192.168.10.10 192.168.10.11 サブネットマスク 255.255.255.0 26 / 142

2. NAT 設 定 2-1. IP マスカレード 設 定 2-2. 送 信 元 NAT(SNAT) 設 定 2-3. 宛 先 NAT(DNAT) 設 定 2-4. UPnP 設 定 2-5. SIP-NAT 設 定 1 2-6. SIP-NAT 設 定 2 27 / 142

2. NAT 設 定 2-1. IP マスカレード 設 定 2-1. IP マスカレード 設 定 送 信 元 IP アドレスを IP マスカレードの 設 定 を にしたインタフェースの IP アドレスに 変 換 します 構 成 図 LAN : 192.168.10.0/24 IPアドレス 変 換 プロバイダ インターネット 192.168.10.100 eth0 192.168.10.1 eth1 10.10.10.1/30 GW 10.10.10.2/30 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 ethernet1 の IP アドレス 10.10.10.1/30 IP マスカレード WAN 側 インタフェース SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(IP アドレス) 10.10.10.2 サービス DNS プライマリ 10.255.1.1 DNS サーバ セカンダリ 10.255.1.2 FastFowarding 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 10.10.10.2 nxr120(config)#interface ethernet 1 nxr120(config-if)#ip address 10.10.10.1/30 nxr120(config-if)#ip masquerade nxr120(config-if)#ip spi-filter 28 / 142

2. NAT 設 定 2-1. IP マスカレード 設 定 nxr120(config-if)#ip tcp adjust-mss auto nxr120(config-if)#no ip redirects nxr120(config-if)#exit nxr120(config)#dns nxr120(config-dns)#service enable nxr120(config-dns)#address 10.255.1.1 nxr120(config-dns)#address 10.255.1.2 nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 2. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 10.10.10.2 デフォルトルートを 設 定 します 3. <WAN 側 (ethernet1)インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#ip address 10.10.10.1/30 ethernet1 インタフェースの IP アドレスを 設 定 します nxr120(config-if)#ip masquerade IP マスカレードを 設 定 します これにより ethernet1 インタフェースからパケットが 送 信 される 際 に 送 信 元 IP アドレスを ethernet1 インタフェースの IP アドレスに 変 換 します nxr120(config-if)#ip spi-filter nxr120(config-if)#ip tcp adjust-mss auto nxr120(config-if)#no ip redirects ステートフルパケットインスペクションを に 設 定 します また TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します 4. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable DNS サービスを にします nxr120(config-dns)#address 10.255.1.1 nxr120(config-dns)#address 10.255.1.2 プロバイダから 通 知 されているプライマリ,セカンダリ DNS サーバアドレスを 設 定 します 29 / 142

2. NAT 設 定 2-1. IP マスカレード 設 定 5. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 端 末 の 設 定 例 IP アドレス 192.168.10.100 サブネットマスク 255.255.255.0 デフォルトゲートウェイ DNS サーバ 192.168.10.1 30 / 142

2. NAT 設 定 2-2. 送 信 元 NAT(SNAT) 設 定 2-2. 送 信 元 NAT(SNAT) 設 定 送 信 元 NAT(SNAT) 設 定 では ある 特 定 のネットワークやホストを 指 定 し 送 信 元 IP アドレスの 変 換 を 行 う ことができます 例 えばセグメント 毎 に 異 なるグローバル IP アドレスを 利 用 する 際 に 使 用 します 構 成 図 LAN_A: 192.168.10.0/24 192.168.20.100 LAN_B: 192.168.20.0/24 eth1 192.168.20.1 eth2 10.10.10.2/29(セカンダリ) プロバイダ インターネット 192.168.10.100 eth0 192.168.10.1 eth2 10.10.10.1/29 GW 10.10.10.6/29 送 信 元 IPアドレス 変 換 設 定 データ LAN 側 インタフェース WAN 側 インタフェース スタティックルート SNAT DNS FastFowarding 設 定 項 目 設 定 内 容 ethernet0 の IP アドレス 192.168.10.1/24 ethernet1 の IP アドレス 192.168.20.1/24 ethernet2 の IP アドレス 10.10.10.1/29 ethernet2 の IP アドレス(セカンダリ) 10.10.10.2/29 SNAT グループ eth2_snat SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(IP アドレス) 10.10.10.6 ルール 名 eth2_snat 送 信 元 IP アドレス 192.168.10.0/24 No.1 宛 先 IP アドレス any eth2_snat 変 換 後 送 信 元 IP アドレス 10.10.10.1 送 信 元 IP アドレス 192.168.20.0/24 No.2 宛 先 IP アドレス any 変 換 後 送 信 元 IP アドレス 10.10.10.2 サービス ルートサーバ 31 / 142

2. NAT 設 定 2-2. 送 信 元 NAT(SNAT) 設 定 設 定 例 nxr230#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr230(config)#interface ethernet 0 nxr230(config-if)#ip address 192.168.10.1/24 nxr230(config-if)#exit nxr230(config)#interface ethernet 1 nxr230(config-if)#ip address 192.168.20.1/24 nxr230(config-if)#exit nxr230(config)#ip route 0.0.0.0/0 10.10.10.6 nxr230(config)#ip snat eth2_snat ip 192.168.10.0/24 any 10.10.10.1 nxr230(config)#ip snat eth2_snat ip 192.168.20.0/24 any 10.10.10.2 nxr230(config)#interface ethernet 2 nxr230(config-if)#ip address 10.10.10.1/29 nxr230(config-if)#ip address 10.10.10.2/29 secondary nxr230(config-if)#ip snat-group eth2_snat nxr230(config-if)#ip spi-filter nxr230(config-if)#ip tcp adjust-mss auto nxr230(config-if)#no ip redirects nxr230(config-if)#exit nxr230(config)#dns nxr230(config-dns)#service enable nxr230(config-dns)#root enable nxr230(config-dns)#exit nxr230(config)#fast-forwarding enable nxr230(config)#exit nxr230#save config 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > nxr230(config)#interface ethernet 0 nxr230(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 2. <LAN 側 (ethernet1)インタフェース 設 定 > nxr230(config)#interface ethernet 1 nxr230(config-if)#ip address 192.168.20.1/24 ethernet1 インタフェースの IP アドレスを 設 定 します 3. <スタティックルート 設 定 > nxr230(config)#ip route 0.0.0.0/0 10.10.10.6 デフォルトルートを 設 定 します 4. < SNAT 設 定 > nxr230(config)#ip snat eth2_snat ip 192.168.10.0/24 any 10.10.10.1 nxr230(config)#ip snat eth2_snat ip 192.168.20.0/24 any 10.10.10.2 SNAT の 動 作 ルールを 作 成 します SNAT 名 を eth2_snat とし 送 信 元 IP アドレス 192.168.10.0/24 のパケットの 送 信 元 IP アドレスを 32 / 142

2. NAT 設 定 2-2. 送 信 元 NAT(SNAT) 設 定 10.10.10.1 に 送 信 元 IP アドレス 192.168.20.0/24 のパケットの 送 信 元 IP アドレスを 10.10.10.2 に 変 換 します なお この SNAT 設 定 は ethernet2 インタフェース 設 定 で 登 録 します ( ) SNAT を 設 定 しただけでは 送 信 元 IP アドレスの 変 換 機 能 は 動 作 しません 送 信 元 IP アドレスの 変 換 を 行 うインタフェースでの 登 録 が 必 要 になります 5. <WAN 側 (ethernet2)インタフェース 設 定 > nxr230(config)#interface ethernet 2 nxr230(config-if)#ip address 10.10.10.1/29 ethernet2 インタフェースの IP アドレスを 設 定 します nxr230(config-if)#ip address 10.10.10.2/29 secondary ethernet2 インタフェースのセカンダリ IP アドレスを 設 定 します nxr230(config-if)#ip snat-group eth2_snat SNAT で 設 定 した eth2_snat を 適 用 します これにより ethernet2 インタフェースで SNAT で 設 定 した IP アドレス 変 換 が 行 われます nxr230(config-if)#ip spi-filter nxr230(config-if)#ip tcp adjust-mss auto nxr230(config-if)#no ip redirects ステートフルパケットインスペクションを に 設 定 します また TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します 6. <DNS 設 定 > nxr230(config)#dns nxr230(config-dns)#service enable DNS サービスを にします nxr230(config-dns)#root enable ルート DNS サーバを に 設 定 します ( ) ルート DNS サーバを にする 以 外 に DNS サーバアドレスを address コマンドで 指 定 する 方 法 も あります 7. <ファストフォワーディングの 化 > nxr230(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 33 / 142

2. NAT 設 定 2-2. 送 信 元 NAT(SNAT) 設 定 端 末 の 設 定 例 LAN_A の 端 末 LAN_B の 端 末 IP アドレス 192.168.10.100 192.168.20.100 サブネットマスク 255.255.255.0 デフォルトゲートウェイ DNS サーバ 192.168.10.1 192.168.20.1 34 / 142

2. NAT 設 定 2-3. 宛 先 NAT(DNAT) 設 定 2-3. 宛 先 NAT(DNAT) 設 定 LAN 内 にあるプライベート IP アドレスのサーバをインターネット 経 由 でアクセスさせる 場 合 など 宛 先 NAT(DNAT)を 設 定 することでルータ 経 由 でのアクセスが 可 能 になります この 設 定 例 では DNAT 設 定 を 利 用 して WWW サーバを 外 部 に 公 開 します 構 成 図 LAN : 192.168.10.0/24 192.168.10.100 宛 先 IPアドレス 変 換 プロバイダ インターネット WWWサーバ 192.168.10.10 eth0 192.168.10.1 eth1 10.10.10.1/30 GW 10.10.10.2/30 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 ethernet1 の IP アドレス 10.10.10.1/30 DNAT グループ eth1_dnat IP マスカレード WAN 側 インタフェース IP アクセスグループ forward-in eth1_forward-in SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(IP アドレス) 10.10.10.2 ルール 名 eth1_dnat プロトコル TCP 送 信 元 IP アドレス any DNAT 送 信 元 ポート any eth1_dnat 宛 先 IP アドレス 10.10.10.1 宛 先 ポート 80 変 換 後 宛 先 IP アドレス 192.168.10.10 ルール 名 eth1_forward-in 動 作 許 可 IP フィルタ 送 信 元 IP アドレス any eth1_forward-in 宛 先 IP アドレス 192.168.10.10 プロトコル TCP 35 / 142

DNS FastFowarding サービス ルートサーバ 2. NAT 設 定 2-3. 宛 先 NAT(DNAT) 設 定 送 信 元 ポート any 宛 先 ポート 80 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 10.10.10.2 nxr120(config)#ip dnat eth1_dnat tcp any any 10.10.10.1 80 192.168.10.10 nxr120(config)#ip access-list eth1_forward-in permit any 192.168.10.10 tcp any 80 nxr120(config)#interface ethernet 1 nxr120(config-if)#ip address 10.10.10.1/30 nxr120(config-if)#ip dnat-group eth1_dnat nxr120(config-if)#ip masquerade nxr120(config-if)#ip access-group forward-in eth1_forward-in nxr120(config-if)#ip spi-filter nxr120(config-if)#ip tcp adjust-mss auto nxr120(config-if)#no ip redirects nxr120(config-if)#exit nxr120(config)#dns nxr120(config-dns)#service enable nxr120(config-dns)#root enable nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 2. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 10.10.10.2 デフォルトルートを 設 定 します 3. <DNAT 設 定 > nxr120(config)#ip dnat eth1_dnat tcp any any 10.10.10.1 80 192.168.10.10 DNAT の 動 作 ルールを 作 成 します DNAT 名 を eth1_dnat とし 宛 先 IP アドレス 10.10.10.1, 宛 先 TCP ポート 番 号 80 のパケットの 宛 先 IP アドレスを 192.168.10.10 に 変 換 します なお この DNAT 設 定 は ethernet1 インタフェース 設 定 で 登 録 します ( ) DNAT 設 定 を 設 定 しただけでは 宛 先 IP アドレスの 変 換 機 能 は 動 作 しません 宛 先 IP アドレスの 変 換 36 / 142

2. NAT 設 定 2-3. 宛 先 NAT(DNAT) 設 定 を 行 うインタフェースでの 登 録 が 必 要 になります 4. <IP アクセスリスト 設 定 > nxr120(config)#ip access-list eth1_forward-in permit any 192.168.10.10 tcp any 80 IP アクセスリスト 名 を eth1_forward-in とし 宛 先 IP アドレス 192.168.10.10, 宛 先 TCP ポート 番 号 80 のパケットを 許 可 します なお この IP アクセスリスト 設 定 は ethernet1 インタフェース 設 定 で 登 録 します ( ) IP アクセスリストを 設 定 しただけではフィルタとして にはなりません フィルタリングしたいイ ンタフェースでの 登 録 が 必 要 になります 5. <WAN 側 (ethernet1)インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#ip address 10.10.10.1/30 ethernet1 インタフェースの IP アドレスを 設 定 します nxr120(config-if)#ip dnat-group eth1_dnat DNAT で 設 定 した eth1_dnat を 適 用 します これにより ethernet1 インタフェースで DNAT で 設 定 した IP アドレス 変 換 が 行 われます nxr120(config-if)#ip masquerade nxr120(config-if)#ip access-group forward-in eth1_forward-in nxr120(config-if)#ip spi-filter nxr120(config-if)#ip tcp adjust-mss auto nxr120(config-if)#no ip redirects IP マスカレード ステートフルパケットインスペクションを に 設 定 します また IP アクセスリスト eth1_forward-in を forward-in フィルタに 適 用 します そして TCP MSS の 調 整 機 能 をオート ICMP リ ダイレクト 機 能 を 無 効 に 設 定 します 6. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable DNS サービスを にします nxr120(config-dns)#root enable ルート DNS サーバを に 設 定 します ( ) ルート DNS サーバを にする 以 外 に DNS サーバアドレスを address コマンドで 指 定 する 方 法 も あります 7. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 37 / 142

2. NAT 設 定 2-3. 宛 先 NAT(DNAT) 設 定 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 端 末 の 設 定 例 端 末 WWW サーバ IP アドレス 192.168.10.100 192.168.10.10 サブネットマスク 255.255.255.0 デフォルトゲートウェイ 192.168.10.1 DNS サーバ 192.168.10.1 38 / 142

2. NAT 設 定 2-4. UPnP 設 定 2-4. UPnP 設 定 UPnP 対 応 の VoIP アダプタや UPnP 対 応 のアプリケーションなどをルータ 配 下 で 利 用 する 場 合 UPnP 機 能 を 設 定 することで 利 用 できるようになります 構 成 図 UPnP 対 応 VoIPアダプタ LAN : 192.168.10.0/24 192.168.10.200 192.168.10.100 eth0 192.168.10.1 ppp0(pppoe) 動 的 IP プロバイダ インターネット 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 PPPoE クライアント(ethernet1) ppp0 ppp0 の IP アドレス 動 的 IP アドレス IP マスカレード WAN 側 インタフェース SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 ISP 接 続 用 ユーザ ID test1@example.jp ISP 接 続 用 パスワード test1pass スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(インタフェース) ppp0 サービス UPnP WAN 側 インタフェース ppp0 listen IP アドレス 192.168.10.1/24 無 通 信 切 断 タイマー 3600 秒 DNS サービス FastFowarding 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#interface ethernet 0 39 / 142

2. NAT 設 定 2-4. UPnP 設 定 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 ppp 0 nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects nxr120(config-ppp)#ppp username test1@example.jp password test1pass nxr120(config-ppp)#exit nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 nxr120(config-if)#exit nxr120(config)#upnp nxr120(config-upnp)#external interface ppp 0 nxr120(config-upnp)#listen ip 192.168.10.1/24 nxr120(config-upnp)#timeout 3600 nxr120(config-upnp)#service enable nxr120(config-upnp)#exit nxr120(config)#dns nxr120(config-dns)#service enable nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 2. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 ppp 0 デフォルトルートを 設 定 します 3. <WAN 側 (ppp0)インタフェース 設 定 > nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated ppp0 インタフェースの IP アドレスが 動 的 IP アドレスの 場 合 は negotiated を 設 定 します nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects IP マスカレード ステートフルパケットインスペクションを に 設 定 します また TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します nxr120(config-ppp)#ppp username test1@example.jp password test1pass 40 / 142

2. NAT 設 定 2-4. UPnP 設 定 ISP 接 続 用 のユーザ ID とパスワードを 設 定 します 4. <ethernet1 インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 PPPoE クライアントとして ppp0 インタフェースを 使 用 できるように 設 定 します 5. <UPnP 設 定 > nxr120(config)#upnp UPnP を 設 定 します nxr120(config-upnp)#external interface ppp 0 WAN 側 インタフェースとして ppp0 を 設 定 します LAN 内 の UPnP 対 応 機 器 に 対 しては ここで 設 定 したインタフェースの IP アドレスを 通 知 します nxr120(config-upnp)#listen ip 192.168.10.1/24 LAN 配 下 の 機 器 からのポートマッピング 要 求 に 対 応 する IP アドレスを 設 定 します nxr120(config-upnp)#timeout 3600 ポートマッピングによって 設 定 された NAT エントリを 監 視 して 通 過 パケットが 一 定 時 間 なかった 場 合 に ポート 情 報 を 削 除 するためのタイマー( 秒 )を 設 定 します nxr120(config-upnp)#service enable UPnP サービスを にします 6. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable DNS サービスを にします 7. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 41 / 142

2. NAT 設 定 2-4. UPnP 設 定 端 末 の 設 定 例 UPnP 対 応 端 末 UPnP 対 応 VoIP アダプタ IP アドレス 192.168.10.100 192.168.10.200 サブネットマスク 255.255.255.0 デフォルトゲートウェイ DNS サーバ 192.168.10.1 VoIP アダプタの SIP に 関 する 設 定 は 除 く 42 / 142

2. NAT 設 定 2-5. SIP-NAT 設 定 1 2-5. SIP-NAT 設 定 1 通 常 の NAT や IP マスカレード 機 能 では IP ヘッダの IP アドレスのみ 変 換 しますが SIP-NAT 機 能 では SIP メッセージ 中 の IP アドレスを 変 換 することが 可 能 です これにより NAT 配 下 においても VoIP 端 末 を 利 用 することが 可 能 になります 構 成 図 LAN : 192.168.10.0/24 VoIPアダプタ 192.168.10.200 SIPメッセージ 内 の IPアドレス 変 換 192.168.10.100 eth0 192.168.10.1 ppp0(pppoe) 動 的 IP プロバイダ インターネット この 設 定 例 の VoIP アダプタで 利 用 を 想 定 しているポート 番 号 は 以 下 のとおりです SIP サーバ:UDP5060 RTP:UDP5090 RTCP:UDP5091 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 PPPoE クライアント(ethernet1) ppp0 ppp0 の IP アドレス 動 的 IP アドレス DNAT グループ ppp0_dnat IP マスカレード WAN 側 インタフェース IP アクセスグループ forward-in ppp0_forward-in SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 ISP 接 続 用 ユーザ ID test1@example.jp ISP 接 続 用 パスワード test1pass スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(インタフェース) ppp0 ルール 名 ppp0_dnat DNAT プロトコル UDP ppp0_dnat No.1 送 信 元 IP アドレス any 43 / 142

2. NAT 設 定 2-5. SIP-NAT 設 定 1 送 信 元 ポート any 宛 先 IP アドレス any 宛 先 ポート 5060 変 換 後 宛 先 IP アドレス 192.168.10.200 プロトコル UDP 送 信 元 IP アドレス any 送 信 元 ポート any No.2 宛 先 IP アドレス any 宛 先 ポート( 始 点 ) 5090 宛 先 ポート( 終 点 ) 5091 変 換 後 宛 先 IP アドレス 192.168.10.200 ルール 名 ppp0_forward-in 動 作 許 可 送 信 元 IP アドレス any No.1 宛 先 IP アドレス 192.168.10.200 プロトコル UDP 送 信 元 ポート any IP フィルタ 宛 先 ポート 5060 ppp0_forward-in 動 作 許 可 送 信 元 IP アドレス any 宛 先 IP アドレス 192.168.10.200 No.2 プロトコル UDP 送 信 元 ポート any 宛 先 ポート( 始 点 ) 5090 宛 先 ポート( 終 点 ) 5091 SIP-NAT DNS サービス FastFowarding 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 ppp 0 nxr120(config)#sip-nat enable nxr120(config)#ip dnat ppp0_dnat udp any any any 5060 192.168.10.200 nxr120(config)#ip dnat ppp0_dnat udp any any any range 5090 5091 192.168.10.200 nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.200 udp any 5060 nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.200 udp any range 5090 5091 nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated nxr120(config-ppp)#ip dnat-group ppp0_dnat nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip access-group forward-in ppp0_forward-in nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects nxr120(config-ppp)#ppp username test1@example.jp password test1pass nxr120(config-ppp)#exit nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 nxr120(config-if)#exit nxr120(config)#dns nxr120(config-dns)#service enable nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 44 / 142

2. NAT 設 定 2-5. SIP-NAT 設 定 1 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 2. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 ppp 0 デフォルトルートを 設 定 します 3. <SIP-NAT 設 定 > nxr120(config)#sip-nat enable SIP-NAT を にします 4. <DNAT 設 定 > nxr120(config)#ip dnat ppp0_dnat udp any any any 5060 192.168.10.200 nxr120(config)#ip dnat ppp0_dnat udp any any any range 5090 5091 192.168.10.200 DNAT の 動 作 ルールを 作 成 します DNAT 名 を ppp0_dnat とし 宛 先 UDP ポート 番 号 5060,5090~5091 のパケットの 宛 先 IP アドレスを 192.168.10.200 に 変 換 します なお この DNAT 設 定 は ppp0 インタフェース 設 定 で 登 録 します ( ) DNAT 設 定 を 設 定 しただけでは 宛 先 IP アドレスの 変 換 機 能 は 動 作 しません 宛 先 IP アドレスの 変 換 を 行 うインタフェースでの 登 録 が 必 要 になります ( ) この DNAT 設 定 は VoIP アダプタへの 着 信 用 の 設 定 です 5. < IP アクセスリスト 設 定 > nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.200 udp any 5060 nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.200 udp any range 5090 5091 フィルタの 動 作 を 規 定 するルールリストを 作 成 します IP アクセスリスト 名 を ppp0_forward-in とし 宛 先 IP アドレス 192.168.10.200, 宛 先 UDP ポート 番 号 5060,5090~5091 のパケットを 許 可 します なお この IP アクセスリスト 設 定 は ppp0 インタフェース 設 定 で 登 録 します ( ) IP アクセスリストを 設 定 しただけではフィルタとして にはなりません フィルタリングを 行 うイ ンタフェースでの 登 録 が 必 要 になります ( ) このフィルタ 設 定 は VoIP アダプタへの 着 信 用 の 設 定 です 6. <WAN 側 (ppp0)インタフェース 設 定 > 45 / 142

nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated ppp0 インタフェースの IP アドレスが 動 的 IP アドレスの 場 合 は negotiated を 設 定 します 2. NAT 設 定 2-5. SIP-NAT 設 定 1 nxr120(config-ppp)#ip dnat-group ppp0_dnat nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip access-group forward-in ppp0_forward-in nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects IP マスカレード ステートフルパケットインスペクションを に 設 定 します また ppp0_dnat を DNAT グループに IP アクセスリスト ppp0_forward-in を forward-in フィルタに 適 用 します そして TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します nxr120(config-ppp)#ppp username test1@example.jp password test1pass ISP 接 続 用 のユーザ ID とパスワードを 設 定 します 7. <ethernet1 インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 PPPoE クライアントとして ppp0 インタフェースを 使 用 できるように 設 定 します 8. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable DNS サービスを にします 9. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 端 末 の 設 定 例 端 末 VoIP アダプタ IP アドレス 192.168.10.100 192.168.10.200 サブネットマスク 255.255.255.0 デフォルトゲートウェイ DNS サーバ 192.168.10.1 VoIP アダプタの SIP に 関 する 設 定 は 除 く 46 / 142

2. NAT 設 定 2-6. SIP-NAT 設 定 2 2-6. SIP-NAT 設 定 2 自 身 の SIP ポートまたは SIP サーバの UDP ポート 番 号 が 5060 以 外 など 一 部 の IP 電 話 サービスにおい て REGISTER の 宛 先 SIP サーバの IP アドレスと INVITE の 送 信 元 IP アドレスが 異 なる 場 合 があり この 設 定 を 行 うことで 通 話 できるようになります 構 成 図 LAN : 192.168.10.0/24 VoIPアダプタ 192.168.10.200 SIPメッセージ 内 の IPアドレス 変 換 192.168.10.100 eth0 192.168.10.1 ppp0(pppoe) 動 的 IP プロバイダ インターネット この 設 定 例 の VoIP アダプタで 利 用 を 想 定 しているポート 番 号 は 以 下 のとおりです SIP サーバ:UDP5060 SIP:UDP5064 RTP:UDP5090 RTCP:UDP5091 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 PPPoE クライアント(ethernet1) ppp0 ppp0 の IP アドレス 動 的 IP アドレス DNAT グループ ppp0_dnat IP マスカレード WAN 側 インタフェース IP アクセスグループ forward-in ppp0_forward-in SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 ISP 接 続 用 ユーザ ID test1@example.jp ISP 接 続 用 パスワード test1pass スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(インタフェース) ppp0 DNAT ルール 名 ppp0_dnat 47 / 142

2. NAT 設 定 2-6. SIP-NAT 設 定 2 プロトコル UDP 送 信 元 IP アドレス any No.1 送 信 元 ポート any 宛 先 IP アドレス any 宛 先 ポート 5064 変 換 後 宛 先 IP アドレス 192.168.10.200 ppp0_dnat プロトコル UDP 送 信 元 IP アドレス any 送 信 元 ポート any No.2 宛 先 IP アドレス any 宛 先 ポート( 始 点 ) 5090 宛 先 ポート( 終 点 ) 5091 変 換 後 宛 先 IP アドレス 192.168.10.200 ルール 名 ppp0_forward-in 動 作 許 可 送 信 元 IP アドレス any No.1 宛 先 IP アドレス 192.168.10.200 プロトコル UDP 送 信 元 ポート any IP フィルタ 宛 先 ポート 5064 ppp0_forward-in 動 作 許 可 送 信 元 IP アドレス any 宛 先 IP アドレス 192.168.10.200 No.2 プロトコル UDP 送 信 元 ポート any 宛 先 ポート( 始 点 ) 5090 宛 先 ポート( 終 点 ) 5091 SIP-NAT SIP-NAT 対 象 ポート 番 号 5060,5064 DNS サービス FastFowarding 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 ppp 0 nxr120(config)#sip-nat enable nxr120(config)#sip-nat port 5060 5064 nxr120(config)#ip dnat ppp0_dnat udp any any any 5064 192.168.10.200 nxr120(config)#ip dnat ppp0_dnat udp any any any range 5090 5091 192.168.10.200 nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.200 udp any 5064 nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.200 udp any range 5090 5091 nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated nxr120(config-ppp)#ip dnat-group ppp0_dnat nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip access-group forward-in ppp0_forward-in nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects nxr120(config-ppp)#ppp username test1@example.jp password test1pass nxr120(config-ppp)#exit nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 nxr120(config-if)#exit nxr120(config)#dns nxr120(config-dns)#service enable 48 / 142

2. NAT 設 定 2-6. SIP-NAT 設 定 2 nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 2. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 ppp 0 デフォルトルートを 設 定 します 3. <SIP-NAT 設 定 > nxr120(config)#sip-nat enable SIP-NAT を にします nxr120(config)#sip-nat port 5060 5064 UDP ポート 番 号 5060 および 5064 を 宛 先 とするパケットを SIP-NAT 対 象 とするよう 設 定 します ( ) Registrar の 宛 先 である SIP サーバの IP アドレスと INVITE の 送 信 元 である SIP サーバの IP アドレ スが 異 なる 場 合 でも VoIP を 利 用 することができます 4. <DNAT 設 定 > nxr120(config)#ip dnat ppp0_dnat udp any any any 5064 192.168.10.200 nxr120(config)#ip dnat ppp0_dnat udp any any any range 5090 5091 192.168.10.200 DNAT の 動 作 ルールを 作 成 します DNAT 名 を ppp0_dnat とし 宛 先 UDP ポート 番 号 5064,5090~5091 のパケットの 宛 先 IP アドレスを 192.168.10.200 に 変 換 します なお この DNAT 設 定 は ppp0 インタフェース 設 定 で 登 録 します ( ) DNAT 設 定 を 設 定 しただけでは 宛 先 IP アドレスの 変 換 機 能 は 動 作 しません 宛 先 IP アドレスの 変 換 を 行 うインタフェースでの 登 録 が 必 要 になります ( ) この DNAT 設 定 は VoIP アダプタへの 着 信 用 の 設 定 です 5. < IP アクセスリスト 設 定 > nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.200 udp any 5064 nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.200 udp any range 5090 5091 フィルタの 動 作 を 規 定 するルールリストを 作 成 します IP アクセスリスト 名 を ppp0_forward-in とし 宛 先 IP アドレス 192.168.10.200, 宛 先 UDP ポート 番 号 49 / 142

2. NAT 設 定 2-6. SIP-NAT 設 定 2 5064,5090~5091 のパケットを 許 可 します なお この IP アクセスリスト 設 定 は ppp0 インタフェース 設 定 で 登 録 します ( ) IP アクセスリストを 設 定 しただけではフィルタとして にはなりません フィルタリングを 行 うイ ンタフェースでの 登 録 が 必 要 になります ( ) このフィルタ 設 定 は VoIP アダプタへの 着 信 用 の 設 定 です 6. <WAN 側 (ppp0)インタフェース 設 定 > nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated ppp0 インタフェースの IP アドレスが 動 的 IP アドレスの 場 合 は negotiated を 設 定 します nxr120(config-ppp)#ip dnat-group ppp0_dnat nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip access-group forward-in ppp0_forward-in nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects IP マスカレード ステートフルパケットインスペクションを に 設 定 します また ppp0_dnat を DNAT グループに IP アクセスリスト ppp0_forward-in を forward-in フィルタに 適 用 します そして TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します nxr120(config-ppp)#ppp username test1@example.jp password test1pass ISP 接 続 用 のユーザ ID とパスワードを 設 定 します 7. <ethernet1 インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 PPPoE クライアントとして ppp0 インタフェースを 使 用 できるように 設 定 します 8. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable DNS サービスを にします 9. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 50 / 142

2. NAT 設 定 2-6. SIP-NAT 設 定 2 端 末 の 設 定 例 端 末 VoIP アダプタ IP アドレス 192.168.10.100 192.168.10.200 サブネットマスク 255.255.255.0 デフォルトゲートウェイ DNS サーバ 192.168.10.1 VoIP アダプタの SIP に 関 する 設 定 は 除 く 51 / 142

3. NAT/フィルタ 応 用 設 定 3-1. NAT でのサーバ 公 開 1(ポートマッピング) 設 定 3-2. NAT でのサーバ 公 開 2( 複 数 IP+PPPoE) 設 定 3-3. NAT でのサーバ 公 開 3( 複 数 IP+Ethernet) 設 定 3-4. NAT でのサーバ 公 開 4(LAN 内 のサーバにグローバル IP アドレス でアクセス) 設 定 3-5. NAT でのサーバ 公 開 5(IP nat-loopback の 利 用 ) 設 定 3-6. NAT でのサーバ 公 開 6(DDNS の 利 用 ) 設 定 3-7. DMZ 構 築 (PPPoE) 設 定 52 / 142

3. NAT/フィルタ 応 用 設 定 3-1. NAT でのサーバ 公 開 1(ポートマッピング) 設 定 3-1. NAT でのサーバ 公 開 1(ポートマッピング) 設 定 DNAT 機 能 では 宛 先 IP アドレス 変 換 時 にポート 番 号 も 変 換 することが 可 能 です この 設 定 例 では WAN 側 で 受 信 時 のポート 番 号 を 分 けておくことで グローバル IP アドレスが1つでも 複 数 の WEB サーバ に 対 してアクセスできるようにします 構 成 図 LAN : 192.168.10.0/24 WWWサーバ1 192.168.10.10 IPアドレス 変 換 プロバイダ インターネット WWWサーバ2 192.168.10.20 eth0 192.168.10.1 ppp0(pppoe) 10.10.10.1 IPアドレス, ポート 番 号 変 換 192.168.10.100 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 PPPoE クライアント(ethernet1) ppp0 ppp0 の IP アドレス 10.10.10.1/32 DNAT グループ ppp0_dnat IP マスカレード WAN 側 インタフェース IP アクセスグループ forward-in ppp0_forward-in SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 ISP 接 続 用 ユーザ ID test1@example.jp ISP 接 続 用 パスワード test1pass スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(インタフェース) ppp0 ルール 名 ppp0_dnat プロトコル TCP 送 信 元 IP アドレス any DNAT 送 信 元 ポート any No.1 宛 先 IP アドレス 10.10.10.1 ppp0_dnat 宛 先 ポート 80 変 換 後 宛 先 IP アドレス 192.168.10.10 No.2 プロトコル TCP 送 信 元 IP アドレス any 53 / 142

3. NAT/フィルタ 応 用 設 定 3-1. NAT でのサーバ 公 開 1(ポートマッピング) 設 定 送 信 元 ポート any 宛 先 IP アドレス 10.10.10.1 宛 先 ポート 8080 変 換 後 宛 先 IP アドレス 192.168.10.20 変 換 後 宛 先 ポート 80 ルール 名 ppp0_forward-in 動 作 許 可 送 信 元 IP アドレス any No.1 宛 先 IP アドレス 192.168.10.10 プロトコル TCP 送 信 元 ポート any IP フィルタ 宛 先 ポート 80 ppp0_forward-in 動 作 許 可 送 信 元 IP アドレス any No.2 宛 先 IP アドレス 192.168.10.20 プロトコル TCP 送 信 元 ポート any 宛 先 ポート 80 DNS サービス FastFowarding 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 ppp 0 nxr120(config)#ip dnat ppp0_dnat tcp any any 10.10.10.1 80 192.168.10.10 nxr120(config)#ip dnat ppp0_dnat tcp any any 10.10.10.1 8080 192.168.10.20 80 nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.10 tcp any 80 nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.20 tcp any 80 nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address 10.10.10.1/32 nxr120(config-ppp)#ip dnat-group ppp0_dnat nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip access-group forward-in ppp0_forward-in nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects nxr120(config-ppp)#ppp username test1@example.jp password test1pass nxr120(config-ppp)#exit nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 nxr120(config-if)#exit nxr120(config)#dns nxr120(config-dns)#service enable nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 54 / 142

3. NAT/フィルタ 応 用 設 定 3-1. NAT でのサーバ 公 開 1(ポートマッピング) 設 定 ethernet0 インタフェースの IP アドレスを 設 定 します 2. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 ppp 0 デフォルトルートを 設 定 します 3. <DNAT 設 定 > nxr120(config)#ip dnat ppp0_dnat tcp any any 10.10.10.1 80 192.168.10.10 nxr120(config)#ip dnat ppp0_dnat tcp any any 10.10.10.1 8080 192.168.10.20 80 DNAT 名 を ppp0_dnat とし 宛 先 IP アドレス 10.10.10.1 のパケットのうち 宛 先 TCP ポート 番 号 80 の パケットの 宛 先 IP アドレスは 192.168.10.10 に 宛 先 TCP ポート 番 号 8080 のパケットの 宛 先 IP アドレ スは 192.168.10.20, 宛 先 TCP ポート 番 号 80 に 変 換 します なお この DNAT 設 定 は ppp0 インタフェース 設 定 で 登 録 します ( ) DNAT 設 定 を 設 定 しただけでは 宛 先 IP アドレスの 変 換 機 能 は 動 作 しません 宛 先 IP アドレスの 変 換 を 行 うインタフェースでの 登 録 が 必 要 になります 4. < IP アクセスリスト 設 定 > nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.10 tcp any 80 nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.20 tcp any 80 IP アクセスリスト 名 を ppp0_forward-in とし 宛 先 IP アドレス 192.168.10.10, 宛 先 TCP ポート 番 号 80 宛 先 IP アドレス 192.168.10.20, 宛 先 TCP ポート 番 号 80 のパケットを 許 可 します なお この IP アクセスリスト 設 定 は ppp0 インタフェース 設 定 で 登 録 します ( ) IP アクセスリストを 設 定 しただけではフィルタとして にはなりません フィルタリングを 行 うイ ンタフェースでの 登 録 が 必 要 になります 5. <WAN 側 (ppp0)インタフェース 設 定 > nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address 10.10.10.1/32 ppp0 インタフェースの IP アドレスを 設 定 します nxr120(config-ppp)#ip dnat-group ppp0_dnat nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip access-group forward-in ppp0_forward-in nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects IP マスカレード ステートフルパケットインスペクションを に 設 定 します また ppp0_dnat を DNAT グループに IP アクセスリスト ppp0_forward-in を forward-in フィルタに 適 用 します そして TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します nxr120(config-ppp)#ppp username test1@example.jp password test1pass ISP 接 続 用 のユーザ ID とパスワードを 設 定 します 55 / 142

3. NAT/フィルタ 応 用 設 定 3-1. NAT でのサーバ 公 開 1(ポートマッピング) 設 定 6. <ethernet1 インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 PPPoE クライアントとして ppp0 インタフェースを 使 用 できるように 設 定 します 7. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable DNS サービスを にします 8. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 端 末 の 設 定 例 端 末 WWW サーバ 1 WWW サーバ 2 IP アドレス 192.168.10.100 192.168.10.10 192.168.10.20 サブネットマスク 255.255.255.0 デフォルトゲートウェイ 192.168.10.1 DNS サーバ 192.168.10.1 56 / 142

3. NAT/フィルタ 応 用 設 定 3-2. NAT でのサーバ 公 開 2( 複 数 IP+PPPoE) 設 定 3-2. NAT でのサーバ 公 開 2( 複 数 IP+PPPoE) 設 定 複 数 のグローバル IP アドレスが 割 り 当 てられている 場 合 グローバル IP アドレス 毎 に LAN 内 のプライベ ート IP アドレスを 持 ったサーバへの DNAT 設 定 をすることで 異 なるグローバル IP アドレスでそれぞれ のサーバにアクセスさせることができます この 設 定 例 では WAN 回 線 に PPPoE を 利 用 します 構 成 図 LAN : 192.168.10.0/24 WWWサーバ1 192.168.10.10 IPアドレス 変 換 プロバイダ インターネット WWWサーバ2 192.168.10.20 eth0 192.168.10.1 ppp0(pppoe) 10.10.10.1 (IP 複 数 割 り 当 て) 192.168.10.100 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 PPPoE クライアント(ethernet1) ppp0 ppp0 の IP アドレス 10.10.10.1/32 DNAT グループ ppp0_dnat IP マスカレード WAN 側 インタフェース IP アクセスグループ forward-in ppp0_forward-in SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 ISP 接 続 用 ユーザ ID test1@example.jp ISP 接 続 用 パスワード test1pass スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(インタフェース) ppp0 ルール 名 ppp0_dnat プロトコル TCP 送 信 元 IP アドレス any DNAT 送 信 元 ポート any No.1 宛 先 IP アドレス 10.10.10.1 ppp0_dnat 宛 先 ポート 80 変 換 後 宛 先 IP アドレス 192.168.10.10 No.2 プロトコル TCP 送 信 元 IP アドレス any 57 / 142

3. NAT/フィルタ 応 用 設 定 3-2. NAT でのサーバ 公 開 2( 複 数 IP+PPPoE) 設 定 送 信 元 ポート any 宛 先 IP アドレス 10.10.10.2 宛 先 ポート 80 変 換 後 宛 先 IP アドレス 192.168.10.20 ルール 名 ppp0_forward-in 動 作 許 可 送 信 元 IP アドレス any No.1 宛 先 IP アドレス 192.168.10.10 プロトコル TCP 送 信 元 ポート any IP フィルタ 宛 先 ポート 80 ppp0_forward-in 動 作 許 可 送 信 元 IP アドレス any No.2 宛 先 IP アドレス 192.168.10.20 プロトコル TCP 送 信 元 ポート any 宛 先 ポート 80 DNS サービス FastFowarding 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 ppp 0 nxr120(config)#ip dnat ppp0_dnat tcp any any 10.10.10.1 80 192.168.10.10 nxr120(config)#ip dnat ppp0_dnat tcp any any 10.10.10.2 80 192.168.10.20 nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.10 tcp any 80 nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.20 tcp any 80 nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address 10.10.10.1/32 nxr120(config-ppp)#ip dnat-group ppp0_dnat nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip access-group forward-in ppp0_forward-in nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects nxr120(config-ppp)#ppp username test1@example.jp password test1pass nxr120(config-ppp)#exit nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 nxr120(config-if)#exit nxr120(config)#dns nxr120(config-dns)#service enable nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 58 / 142

3. NAT/フィルタ 応 用 設 定 3-2. NAT でのサーバ 公 開 2( 複 数 IP+PPPoE) 設 定 2. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 ppp 0 デフォルトルートを 設 定 します 3. <DNAT 設 定 > nxr120(config)#ip dnat ppp0_dnat tcp any any 10.10.10.1 80 192.168.10.10 nxr120(config)#ip dnat ppp0_dnat tcp any any 10.10.10.2 80 192.168.10.20 DNAT 名 を ppp0_dnat とし 宛 先 IP アドレス 10.10.10.1, 宛 先 TCP ポート 番 号 80 のパケットの 宛 先 IP アドレスは 192.168.10.10 に 宛 先 IP アドレス 10.10.10.2, 宛 先 TCP ポート 番 号 80 のパケットの 宛 先 IP アドレスは 192.168.10.20 に 変 換 します なお この DNAT 設 定 は ppp0 インタフェース 設 定 で 登 録 します ( ) DNAT 設 定 を 設 定 しただけでは 宛 先 IP アドレスの 変 換 機 能 は 動 作 しません 宛 先 IP アドレスの 変 換 を 行 うインタフェースでの 登 録 が 必 要 になります 4. < IP アクセスリスト 設 定 > nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.10 tcp any 80 nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.20 tcp any 80 IP アクセスリスト 名 を ppp0_forward-in とし 宛 先 IP アドレス 192.168.10.10, 宛 先 TCP ポート 番 号 80 宛 先 IP アドレス 192.168.10.20, 宛 先 TCP ポート 番 号 80 のパケットを 許 可 します なお この IP アクセスリスト 設 定 は ppp0 インタフェース 設 定 で 登 録 します ( ) IP アクセスリストを 設 定 しただけではフィルタとして にはなりません フィルタリングを 行 うイ ンタフェースでの 登 録 が 必 要 になります 5. <WAN 側 (ppp0)インタフェース 設 定 > nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address 10.10.10.1/32 ppp0 インタフェースの IP アドレスを 設 定 します nxr120(config-ppp)#ip dnat-group ppp0_dnat nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip access-group forward-in ppp0_forward-in nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects IP マスカレード ステートフルパケットインスペクションを に 設 定 します また ppp0_dnat を DNAT グループに IP アクセスリスト ppp0_forward-in を forward-in フィルタに 適 用 します そして TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します nxr120(config-ppp)#ppp username test1@example.jp password test1pass ISP 接 続 用 のユーザ ID とパスワードを 設 定 します 59 / 142

3. NAT/フィルタ 応 用 設 定 3-2. NAT でのサーバ 公 開 2( 複 数 IP+PPPoE) 設 定 6. <ethernet1 インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 PPPoE クライアントとして ppp0 インタフェースを 使 用 できるように 設 定 します 7. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable DNS サービスを にします 8. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 端 末 の 設 定 例 端 末 WWW サーバ 1 WWW サーバ 2 IP アドレス 192.168.10.100 192.168.10.10 192.168.10.20 サブネットマスク 255.255.255.0 デフォルトゲートウェイ 192.168.10.1 DNS サーバ 192.168.10.1 60 / 142

3. NAT/フィルタ 応 用 設 定 3-3. NAT でのサーバ 公 開 3( 複 数 IP+Ethernet) 設 定 3-3. NAT でのサーバ 公 開 3( 複 数 IP+Ethernet) 設 定 複 数 のグローバル IP アドレスが 割 り 当 てられている 場 合 グローバル IP アドレス 毎 に LAN 内 のプライベ ート IP アドレスを 持 ったサーバへの DNAT 設 定 をすることで 異 なるグローバル IP アドレスでそれぞれ のサーバにアクセスさせることができます この 設 定 例 では WAN 回 線 に Ethernet を 利 用 します 構 成 図 LAN : 192.168.10.0/24 WWWサーバ1 192.168.10.10 eth1 10.10.10.1/29 IPアドレス 変 換 プロバイダ インターネット WWWサーバ2 192.168.10.20 eth0 192.168.10.1 eth1 10.10.10.2/29 (セカンダリ) GW 10.10.10.6 192.168.10.100 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 ethernet1 の IP アドレス 10.10.10.1/29 ethernet1 の IP アドレス(セカンダリ) 10.10.10.2/29 DNAT グループ eth1_dnat WAN 側 インタフェース IP マスカレード IP アクセスグループ forward-in eth1_forward-in SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(IP アドレス) 10.10.10.6 ルール 名 eth1_dnat プロトコル TCP 送 信 元 IP アドレス any No.1 送 信 元 ポート any 宛 先 IP アドレス 10.10.10.1 DNAT 宛 先 ポート 80 eth1_dnat 変 換 後 宛 先 IP アドレス 192.168.10.10 プロトコル TCP No.2 送 信 元 IP アドレス any 送 信 元 ポート any 宛 先 IP アドレス 10.10.10.2 61 / 142

3. NAT/フィルタ 応 用 設 定 3-3. NAT でのサーバ 公 開 3( 複 数 IP+Ethernet) 設 定 IP フィルタ DNS FastFowarding ルール 名 eth1_forward-in サービス DNS サーバ No.1 No.2 宛 先 ポート 80 変 換 後 宛 先 IP アドレス 192.168.10.20 eth1_forward-in 動 作 許 可 送 信 元 IP アドレス any 宛 先 IP アドレス 192.168.10.10 プロトコル TCP 送 信 元 ポート any 宛 先 ポート 80 動 作 許 可 送 信 元 IP アドレス any 宛 先 IP アドレス 192.168.10.20 プロトコル TCP 送 信 元 ポート any 宛 先 ポート 80 プライマリ 10.255.1.1 セカンダリ 10.255.1.2 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 10.10.10.6 nxr120(config)#ip dnat eth1_dnat tcp any any 10.10.10.1 80 192.168.10.10 nxr120(config)#ip dnat eth1_dnat tcp any any 10.10.10.2 80 192.168.10.20 nxr120(config)#ip access-list eth1_forward-in permit any 192.168.10.10 tcp any 80 nxr120(config)#ip access-list eth1_forward-in permit any 192.168.10.20 tcp any 80 nxr120(config)#interface ethernet 1 nxr120(config-if)#ip address 10.10.10.1/29 nxr120(config-if)#ip address 10.10.10.2/29 secondary nxr120(config-if)#ip dnat-group eth1_dnat nxr120(config-if)#ip masquerade nxr120(config-if)#ip access-group forward-in eth1_forward-in nxr120(config-if)#ip spi-filter nxr120(config-if)#ip tcp adjust-mss auto nxr120(config-if)#no ip redirects nxr120(config-if)#exit nxr120(config)#dns nxr120(config-dns)#service enable nxr120(config-dns)#address 10.255.1.1 nxr120(config-dns)#address 10.255.1.2 nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 62 / 142

3. NAT/フィルタ 応 用 設 定 3-3. NAT でのサーバ 公 開 3( 複 数 IP+Ethernet) 設 定 2. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 10.10.10.6 デフォルトルートを 設 定 します 3. <DNAT 設 定 > nxr120(config)#ip dnat eth1_dnat tcp any any 10.10.10.1 80 192.168.10.10 nxr120(config)#ip dnat eth1_dnat tcp any any 10.10.10.2 80 192.168.10.20 DNAT 名 を eth1_dnat とし 宛 先 IP アドレス 10.10.10.1, 宛 先 TCP ポート 番 号 80 のパケットの 宛 先 IP アドレスは 192.168.10.10 に 宛 先 IP アドレス 10.10.10.2, 宛 先 TCP ポート 番 号 80 のパケットの 宛 先 IP アドレスは 192.168.10.20 に 変 換 します なお この DNAT 設 定 は ethernet1 インタフェース 設 定 で 登 録 します ( ) DNAT 設 定 を 設 定 しただけでは 宛 先 IP アドレスの 変 換 機 能 は 動 作 しません 宛 先 IP アドレスの 変 換 を 行 うインタフェースでの 登 録 が 必 要 になります 4. < IP アクセスリスト 設 定 > nxr120(config)#ip access-list eth1_forward-in permit any 192.168.10.10 tcp any 80 nxr120(config)#ip access-list eth1_forward-in permit any 192.168.10.20 tcp any 80 IP アクセスリスト 名 を eth1_forward-in とし 宛 先 IP アドレス 192.168.10.10, 宛 先 TCP ポート 番 号 80 宛 先 IP アドレス 192.168.10.20, 宛 先 TCP ポート 番 号 80 のパケットを 許 可 します なお この IP アクセスリスト 設 定 は ethernet1 インタフェース 設 定 で 登 録 します ( ) IP アクセスリストを 設 定 しただけではフィルタとして にはなりません フィルタリングを 行 うイ ンタフェースでの 登 録 が 必 要 になります 5. <WAN 側 (ethernet1)インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#ip address 10.10.10.1/29 nxr120(config-if)#ip address 10.10.10.2/29 secondary ethernet1 インタフェースの IP アドレスおよびセカンダリ IP アドレスを 設 定 します nxr120(config-if)#ip dnat-group eth1_dnat nxr120(config-if)#ip masquerade nxr120(config-if)#ip access-group forward-in eth1_forward-in nxr120(config-if)#ip spi-filter nxr120(config-if)#ip tcp adjust-mss auto nxr120(config-if)#no ip redirects IP マスカレード ステートフルパケットインスペクションを に 設 定 します また eth1_dnat を DNAT グループに IP アクセスリスト eth1_forward-in を forward-in フィルタに 適 用 します そして TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します 6. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable 63 / 142

3. NAT/フィルタ 応 用 設 定 3-3. NAT でのサーバ 公 開 3( 複 数 IP+Ethernet) 設 定 DNS サービスを にします nxr120(config-dns)#address 10.255.1.1 nxr120(config-dns)#address 10.255.1.2 プロバイダから 通 知 されているプライマリ,セカンダリ DNS サーバアドレスを 設 定 します 7. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 端 末 の 設 定 例 端 末 WWW サーバ 1 WWW サーバ 2 IP アドレス 192.168.10.100 192.168.10.10 192.168.10.20 サブネットマスク 255.255.255.0 デフォルトゲートウェイ 192.168.10.1 DNS サーバ 192.168.10.1 64 / 142

3. NAT/フィルタ 応 用 設 定 3-4. NAT でのサーバ 公 開 4(LAN 内 のサーバにグローバル IP アドレスでアクセス) 設 定 3-4. NAT でのサーバ 公 開 4 (LAN 内 のサーバにグローバル IP アドレスでアクセス) 設 定 NAT 配 下 の 端 末 より NAT で 外 部 に 公 開 しているサーバに 対 して プライベート IP アドレスでのアクセス だけでなく グローバル IP アドレスでアクセスすることも 可 能 です この 設 定 例 では NAT を 利 用 して 外 部 に 公 開 している LAN 内 の WWW サーバにグローバル IP アドレスでアクセスします 構 成 図 LAN : 192.168.10.0/24 IPアドレス 変 換 WWWサーバ 192.168.10.10 IPアドレス 変 換 プロバイダ インターネット 192.168.10.100 eth0 192.168.10.1 ppp0(pppoe) 10.10.10.1 設 定 データ LAN 側 インタフェース WAN 側 インタフェース スタティックルート DNAT 設 定 項 目 設 定 内 容 ethernet0 の IP アドレス 192.168.10.1/24 DNAT グループ eth0_dnat SNAT グループ eth0_snat PPPoE クライアント(ethernet1) ppp0 ppp0 の IP アドレス 10.10.10.1/32 DNAT グループ ppp0_dnat IP マスカレード IP アクセスグループ forward-in ppp0_forward-in SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 ISP 接 続 用 ユーザ ID test1@example.jp ISP 接 続 用 パスワード test1pass 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(インタフェース) ppp0 ルール 名 ppp0_dnat プロトコル TCP ppp0_dnat 送 信 元 IP アドレス any 送 信 元 ポート any 65 / 142

3. NAT/フィルタ 応 用 設 定 3-4. NAT でのサーバ 公 開 4(LAN 内 のサーバにグローバル IP アドレスでアクセス) 設 定 宛 先 IP アドレス 10.10.10.1 宛 先 ポート 80 変 換 後 宛 先 IP アドレス 192.168.10.10 ルール 名 eth0_dnat プロトコル TCP 送 信 元 IP アドレス 192.168.10.0/24 eth0_dnat 送 信 元 ポート any 宛 先 IP アドレス 10.10.10.1 宛 先 ポート 80 変 換 後 宛 先 IP アドレス 192.168.10.10 ルール 名 eth0_snat プロトコル TCP 送 信 元 IP アドレス 192.168.10.0/24 SNAT 送 信 元 ポート any eth0_snat 宛 先 IP アドレス 192.168.10.10 宛 先 ポート 80 変 換 後 送 信 元 IP アドレス 192.168.10.1 ルール 名 ppp0_forward-in 動 作 許 可 送 信 元 IP アドレス any IP フィルタ 宛 先 IP アドレス 192.168.10.10 ppp0_forward-in プロトコル TCP 送 信 元 ポート any 宛 先 ポート 80 DNS サービス FastFowarding 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#ip dnat ppp0_dnat tcp any any 10.10.10.1 80 192.168.10.10 nxr120(config)#ip dnat eth0_dnat tcp 192.168.10.0/24 any 10.10.10.1 80 192.168.10.10 nxr120(config)#ip snat eth0_snat tcp 192.168.10.0/24 any 192.168.10.10 80 192.168.10.1 nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#ip dnat-group eth0_dnat nxr120(config-if)#ip snat-group eth0_snat nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 ppp 0 nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.10 tcp any 80 nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address 10.10.10.1/32 nxr120(config-ppp)#ip dnat-group ppp0_dnat nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip access-group forward-in ppp0_forward-in nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects nxr120(config-ppp)#ppp username test1@example.jp password test1pass nxr120(config-ppp)#exit nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 nxr120(config-if)#exit nxr120(config)#dns nxr120(config-dns)#service enable nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 66 / 142

3. NAT/フィルタ 応 用 設 定 3-4. NAT でのサーバ 公 開 4(LAN 内 のサーバにグローバル IP アドレスでアクセス) 設 定 設 定 例 解 説 1. <DNAT 設 定 > nxr120(config)#ip dnat ppp0_dnat tcp any any 10.10.10.1 80 192.168.10.10 DNAT 名 を ppp0_dnat とし 宛 先 IP アドレス 10.10.10.1, 宛 先 TCP ポート 番 号 80 のパケットの 宛 先 IP アドレスを 192.168.10.10 に 変 換 します なお この DNAT 設 定 は ppp0 インタフェース 設 定 で 登 録 します nxr120(config)#ip dnat eth0_dnat tcp 192.168.10.0/24 any 10.10.10.1 80 192.168.10.10 DNAT 名 を eth0_dnat とし 送 信 元 IP アドレス 192.168.10.0/24, 宛 先 IP アドレス 10.10.10.1, 宛 先 TCP ポート 番 号 80 のパケットの 宛 先 IP アドレスを 192.168.10.10 に 変 換 します なお この DNAT 設 定 は ethernet0 インタフェース 設 定 で 登 録 します ( ) DNAT 設 定 を 設 定 しただけでは 宛 先 IP アドレスの 変 換 機 能 は 動 作 しません 宛 先 IP アドレスの 変 換 を 行 うインタフェースでの 登 録 が 必 要 になります 2. <SNAT 設 定 > nxr120(config)#ip snat eth0_snat tcp 192.168.10.0/24 any 192.168.10.10 80 192.168.10.1 SNAT 名 を eth0_snat とし 送 信 元 IP アドレス 192.168.10.0/24, 宛 先 IP アドレス 192.168.10.10, 宛 先 TCP ポート 番 号 80 のパケットの 送 信 元 IP アドレスを 192.168.10.1 に 変 換 します なお この SNAT 設 定 は ethernet0 インタフェース 設 定 で 登 録 します ( ) SNAT を 設 定 しただけでは 送 信 元 IP アドレスの 変 換 機 能 は 動 作 しません 送 信 元 IP アドレスの 変 換 を 行 うインタフェースでの 登 録 が 必 要 になります 3. <LAN 側 (ethernet0)インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します nxr120(config-if)#ip dnat-group eth0_dnat nxr120(config-if)#ip snat-group eth0_snat eth0_dnat を DNAT グループに eth0_snat を SNAT グループに 適 用 します 4. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 ppp 0 デフォルトルートを 設 定 します 5. < IP アクセスリスト 設 定 > nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.10 tcp any 80 67 / 142

3. NAT/フィルタ 応 用 設 定 3-4. NAT でのサーバ 公 開 4(LAN 内 のサーバにグローバル IP アドレスでアクセス) 設 定 IP アクセスリスト 名 を ppp0_forward-in とし 宛 先 IP アドレス 192.168.10.10, 宛 先 TCP ポート 番 号 80 のパケットを 許 可 します なお この IP アクセスリスト 設 定 は ppp0 インタフェース 設 定 で 登 録 します ( ) IP アクセスリストを 設 定 しただけではフィルタとして にはなりません フィルタリングを 行 うイ ンタフェースでの 登 録 が 必 要 になります 6. <WAN 側 (ppp0)インタフェース 設 定 > nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address 10.10.10.1/32 ppp0 インタフェースの IP アドレスを 設 定 します nxr120(config-ppp)#ip dnat-group ppp0_dnat nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip access-group forward-in ppp0_forward-in nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects IP マスカレード ステートフルパケットインスペクションを に 設 定 します また ppp0_dnat を DNAT グループに IP アクセスリスト ppp0_forward-in を forward-in フィルタに 適 用 します そして TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します nxr120(config-ppp)#ppp username test1@example.jp password test1pass ISP 接 続 用 のユーザ ID とパスワードを 設 定 します 7. <ethernet1 インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 PPPoE クライアントとして ppp0 インタフェースを 使 用 できるように 設 定 します 8. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable DNS サービスを にします 9. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 68 / 142

端 末 の 設 定 例 3. NAT/フィルタ 応 用 設 定 3-4. NAT でのサーバ 公 開 4(LAN 内 のサーバにグローバル IP アドレスでアクセス) 設 定 端 末 WWW サーバ IP アドレス 192.168.10.100 192.168.10.10 サブネットマスク 255.255.255.0 デフォルトゲートウェイ 192.168.10.1 DNS サーバ 192.168.10.1 69 / 142

3. NAT/フィルタ 応 用 設 定 3-5. NAT でのサーバ 公 開 5(IP nat-loopback の 利 用 ) 設 定 3-5. NAT でのサーバ 公 開 5(IP nat-loopback の 利 用 ) 設 定 この 設 定 例 では IP nat-loopback 機 能 を 利 用 し NAT で 外 部 に 公 開 しているサーバに NAT 配 下 の 端 末 か らグローバル IP アドレスでアクセスします 構 成 図 LAN : 192.168.10.0/24 WWWサーバ 192.168.10.10 IPアドレス 変 換 プロバイダ インターネット 192.168.10.100 eth0 192.168.10.1 ppp0(pppoe) 10.10.10.1 IPアドレス 変 換 IP nat-loopback 機 能 は グローバル IP アドレスを 持 つインタフェース 以 外 からグローバル IP アドレ スに 対 してアクセスが 行 われた 場 合 ルータ 自 身 で 受 信 せずに 一 度 ルーティングテーブルに 従 って 転 送 されます その 後 インターネット 側 から 戻 ってきたパケットを DNAT することで NAT 配 下 の 端 末 か らもグローバル IP アドレスに 対 してアクセスできるようになります ( ) IP nat-loopback 機 能 は PPP インタフェース 上 でのみ 利 用 することが 可 能 です IP nat-loopback 機 能 を 設 定 しているインタフェース 上 でステートフルパケットインスペクション(SPI) が な 場 合 フィルタ 設 定 で 通 過 させたいパケットをあらかじめ 許 可 しておく または SPI を 無 効 に する 必 要 があります IP nat-loopback 機 能 を 設 定 しているインタフェース 上 では IP マスカレード 機 能 を に 設 定 する 必 要 があります 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 PPPoE クライアント(ethernet1) ppp0 ppp0 の IP アドレス 10.10.10.1/32 IP nat-loopback WAN 側 インタフェース DNAT グループ ppp0_dnat IP マスカレード IP アクセスグループ forward-in ppp0_forward-in SPI フィルタ 70 / 142

3. NAT/フィルタ 応 用 設 定 3-5. NAT でのサーバ 公 開 5(IP nat-loopback の 利 用 ) 設 定 MSS 自 動 調 整 オート IP リダイレクト 無 効 ISP 接 続 用 ユーザ ID test1@example.jp ISP 接 続 用 パスワード test1pass スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(インタフェース) ppp0 ルール 名 ppp0_dnat プロトコル TCP 送 信 元 IP アドレス any DNAT 送 信 元 ポート any ppp0_dnat 宛 先 IP アドレス 10.10.10.1 宛 先 ポート 80 変 換 後 宛 先 IP アドレス 192.168.10.10 ルール 名 ppp0_forward-in 動 作 許 可 送 信 元 IP アドレス any IP フィルタ 宛 先 IP アドレス 192.168.10.10 ppp0_forward-in プロトコル TCP 送 信 元 ポート any 宛 先 ポート 80 DNS サービス FastFowarding 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 ppp 0 nxr120(config)#ip dnat ppp0_dnat tcp any any 10.10.10.1 80 192.168.10.10 nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.10 tcp any 80 nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address 10.10.10.1/32 nxr120(config-ppp)#ip nat-loopback nxr120(config-ppp)#ip dnat-group ppp0_dnat nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip access-group forward-in ppp0_forward-in nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects nxr120(config-ppp)#ppp username test1@example.jp password test1pass nxr120(config-ppp)#exit nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 nxr120(config-if)#exit nxr120(config)#dns nxr120(config-dns)#service enable nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > nxr120(config)#interface ethernet 0 71 / 142

3. NAT/フィルタ 応 用 設 定 3-5. NAT でのサーバ 公 開 5(IP nat-loopback の 利 用 ) 設 定 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 2. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 ppp 0 デフォルトルートを 設 定 します 3. <DNAT 設 定 > nxr120(config)#ip dnat ppp0_dnat tcp any any 10.10.10.1 80 192.168.10.10 DNAT 名 を ppp0_dnat とし 宛 先 IP アドレス 10.10.10.1, 宛 先 TCP ポート 番 号 80 のパケットの 宛 先 IP アドレスを 192.168.10.10 に 変 換 します なお この DNAT 設 定 は ppp0 インタフェース 設 定 で 登 録 します ( ) DNAT 設 定 を 設 定 しただけでは 宛 先 IP アドレスの 変 換 機 能 は 動 作 しません 宛 先 IP アドレスの 変 換 を 行 うインタフェースでの 登 録 が 必 要 になります 4. < IP アクセスリスト 設 定 > nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.10 tcp any 80 IP アクセスリスト 名 を ppp0_forward-in とし 宛 先 IP アドレス 192.168.10.10, 宛 先 TCP ポート 番 号 80 のパケットを 許 可 します なお この IP アクセスリスト 設 定 は ppp0 インタフェース 設 定 で 登 録 します ( ) IP アクセスリストを 設 定 しただけではフィルタとして にはなりません フィルタリングを 行 うイ ンタフェースでの 登 録 が 必 要 になります 5. <WAN 側 (ppp0)インタフェース 設 定 > nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address 10.10.10.1/32 ppp0 インタフェースの IP アドレスを 設 定 します nxr120(config-ppp)#ip nat-loopback ip nat-loopback 機 能 を にします nxr120(config-ppp)#ip dnat-group ppp0_dnat nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip access-group forward-in ppp0_forward-in nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects IP マスカレード ステートフルパケットインスペクションを に 設 定 します また ppp0_dnat を DNAT グループに IP アクセスリスト ppp0_forward-in を forward-in フィルタに 適 用 します そして TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します 72 / 142

3. NAT/フィルタ 応 用 設 定 3-5. NAT でのサーバ 公 開 5(IP nat-loopback の 利 用 ) 設 定 nxr120(config-ppp)#ppp username test1@example.jp password test1pass ISP 接 続 用 のユーザ ID とパスワードを 設 定 します 6. <ethernet1 インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 PPPoE クライアントとして ppp0 インタフェースを 使 用 できるように 設 定 します 7. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable DNS サービスを にします 8. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 端 末 の 設 定 例 端 末 WWW サーバ IP アドレス 192.168.10.100 192.168.10.10 サブネットマスク 255.255.255.0 デフォルトゲートウェイ 192.168.10.1 DNS サーバ 192.168.10.1 73 / 142

3. NAT/フィルタ 応 用 設 定 3-6. NAT でのサーバ 公 開 6(DDNS の 利 用 ) 設 定 3-6. NAT でのサーバ 公 開 6(DDNS の 利 用 ) 設 定 ダイナミック DNS を 利 用 することで 公 開 サーバへのアクセスに IP アドレスではなく FQDN を 利 用 する ことができ ルータの WAN 側 IP アドレスが 不 定 の 環 境 でも 外 部 からサーバにアクセスすることができま す この 設 定 例 では ダイナミック DNS サービスとして 弊 社 が 提 供 している WarpLinkDDNS サービスを 使 用 します 構 成 図 LAN : 192.168.10.0/24 WWWサーバ 192.168.10.10 test.subdomain.warplink.ne.jpで アクセス プロバイダ インターネット 192.168.10.100 eth0 192.168.10.1 ppp0(pppoe) 動 的 IP (test.subdomain.warplink.ne.jp) WarpLinkDDNSサーバに IPアドレス 登 録 WarpLink DDNSサーバ ルータで WarpLink 機 能 を 設 定 し WarpLinkDDNS サービスを 動 作 させます ( ) WarpLinkDDNS サービスは 弊 社 が 提 供 している 有 償 の DDNS サービスとなります 詳 細 は 下 記 URL からご 確 認 下 さい http://www.warplink.ne.jp/ddns/index.html ルータは 自 身 の IP アドレスを WarpLinkDDNS サーバに 登 録 します そして サーバにアクセスした い 端 末 は WarpLinkDDNS サーバに 登 録 されているルータの FQDN を 指 定 してアクセスします 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 PPPoE クライアント(ethernet1) ppp0 ppp0 の IP アドレス 動 的 IP アドレス DNAT グループ ppp0_dnat IP マスカレード WAN 側 インタフェース IP アクセスグループ forward-in ppp0_forward-in SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 ISP 接 続 用 ユーザ ID test1@example.jp ISP 接 続 用 パスワード test1pass 74 / 142

3. NAT/フィルタ 応 用 設 定 3-6. NAT でのサーバ 公 開 6(DDNS の 利 用 ) 設 定 スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(インタフェース) ppp0 ルール 名 ppp0_dnat プロトコル TCP 送 信 元 IP アドレス any DNAT 送 信 元 ポート any ppp0_dnat 宛 先 IP アドレス any 宛 先 ポート 80 変 換 後 宛 先 IP アドレス 192.168.10.10 ルール 名 ppp0_forward-in 動 作 許 可 送 信 元 IP アドレス any IP フィルタ 宛 先 IP アドレス 192.168.10.10 ppp0_forward-in プロトコル TCP 送 信 元 ポート any 宛 先 ポート 80 サービス WarpLink WarpLinkDDNS サービス 接 続 用 ユーザ ID warplinksample WarpLinkDDNS サービス 接 続 用 パスワード warplinksamplepass DNS サービス FastFowarding 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 ppp 0 nxr120(config)#ip dnat ppp0_dnat tcp any any any 80 192.168.10.10 nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.10 tcp any 80 nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated nxr120(config-ppp)#ip dnat-group ppp0_dnat nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip access-group forward-in ppp0_forward-in nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects nxr120(config-ppp)#ppp username test1@example.jp password test1pass nxr120(config-ppp)#exit nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 nxr120(config-if)#exit nxr120(config)#warplink nxr120(config-warplink)#service enable nxr120(config-warplink)#account username warplinksample password warplinksamplepass nxr120(config-warplink)#exit nxr120(config)#dns nxr120(config-dns)#service enable nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > 75 / 142

3. NAT/フィルタ 応 用 設 定 3-6. NAT でのサーバ 公 開 6(DDNS の 利 用 ) 設 定 nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 2. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 ppp 0 デフォルトルートを 設 定 します 3. <DNAT 設 定 > nxr120(config)#ip dnat ppp0_dnat tcp any any any 80 192.168.10.10 DNAT 名 を ppp0_dnat とし 宛 先 TCP ポート 番 号 80 のパケットの 宛 先 IP アドレスを 192.168.10.10 に 変 換 します なお この DNAT 設 定 は ppp0 インタフェース 設 定 で 登 録 します ( ) DNAT 設 定 を 設 定 しただけでは 宛 先 IP アドレスの 変 換 機 能 は 動 作 しません 宛 先 IP アドレスの 変 換 を 行 うインタフェースでの 登 録 が 必 要 になります 4. < IP アクセスリスト 設 定 > nxr120(config)#ip access-list ppp0_forward-in permit any 192.168.10.10 tcp any 80 IP アクセスリスト 名 を ppp0_forward-in とし 宛 先 IP アドレス 192.168.10.10, 宛 先 TCP ポート 番 号 80 のパケットを 許 可 します なお この IP アクセスリスト 設 定 は ppp0 インタフェース 設 定 で 登 録 します ( ) IP アクセスリストを 設 定 しただけではフィルタとして にはなりません フィルタリングを 行 うイ ンタフェースでの 登 録 が 必 要 になります 5. <WAN 側 (ppp0)インタフェース 設 定 > nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated ppp0 インタフェースの IP アドレスが 動 的 IP アドレスの 場 合 は negotiated を 設 定 します nxr120(config-ppp)#ip dnat-group ppp0_dnat nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip access-group forward-in ppp0_forward-in nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects IP マスカレード ステートフルパケットインスペクションを に 設 定 します また ppp0_dnat を DNAT グループに IP アクセスリスト ppp0_forward-in を forward-in フィルタに 適 用 します そして TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します nxr120(config-ppp)#ppp username test1@example.jp password test1pass ISP 接 続 用 のユーザ ID とパスワードを 設 定 します 76 / 142

3. NAT/フィルタ 応 用 設 定 3-6. NAT でのサーバ 公 開 6(DDNS の 利 用 ) 設 定 6. <ethernet1 インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 PPPoE クライアントとして ppp0 インタフェースを 使 用 できるように 設 定 します 7. <WarpLink 設 定 > nxr120(config)#warplink nxr120(config-warplink)#service enable WarpLink サービスを にします nxr120(config-warplink)#account username warplinksample password warplinksamplepass WarpLinkDDNS サービス 接 続 用 のユーザ ID とパスワードを 設 定 します 8. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable DNS サービスを にします 9. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 端 末 の 設 定 例 端 末 WWW サーバ IP アドレス 192.168.10.100 192.168.10.10 サブネットマスク 255.255.255.0 デフォルトゲートウェイ 192.168.10.1 DNS サーバ 192.168.10.1 77 / 142

3. NAT/フィルタ 応 用 設 定 3-7. DMZ 構 築 (PPPoE) 設 定 3-7. DMZ 構 築 (PPPoE) 設 定 NXR-230/C のように 3 ポート(3 セグメント) 以 上 を 有 する 製 品 では インターネットに 公 開 するサーバ 群 (DMZ)と 社 内 LAN を 物 理 的 に 分 けて 構 築 することが 可 能 です 構 成 図 LAN:192.168.10.0/24 LANからインターネットへの アクセス ルータおよびLANへのアクセス eth0 192.168.10.1 プロバイダ インターネット 192.168.10.100 eth2 10.10.10.1/29 ppp0(pppoe) 10.10.10.1 DMZ:10.10.10.0/29 DMZへのアクセス DMZからLANへの アクセス WWWサーバ1 10.10.10.2/29 WWWサーバ2 10.10.10.3/29 DNSサーバ 10.10.10.4/29 ethernet0 を LAN 側 ppp0(ethernet1)を WAN 側 ethernet2 を DMZ 側 とします ethernet0 インタフェースが 属 するネットワーク 192.168.10.0/24 からのパケットで かつ ppp0 イ ンタフェースから 出 力 されるパケットは 送 信 元 IP アドレスを 10.10.10.1 に 変 換 します ppp0 インタフェースでステートフルパケットインスペクションを 設 定 し インターネット 側 からの アクセスに 対 しては 原 則 破 棄 しますが 以 下 のアクセスのみ 許 可 します - 宛 先 IP アドレス 10.10.10.0/29 宛 の ICMP パケット(ただし 宛 先 IP アドレス 10.10.10.1 の ICMP Echo Request は 破 棄 ) - 宛 先 IP アドレス 10.10.10.2 および 10.10.10.3, 宛 先 TCP ポート 番 号 80(WWW サーバ) - 宛 先 IP アドレス 10.10.10.4, 宛 先 TCP,UDP ポート 番 号 53(DNS サーバ) (DNS サーバの 名 前 解 決 およびゾーン 転 送 用 に 送 信 元 10.10.10.4, 宛 先 TCP,UDP ポート 番 号 53 を 許 可 ) ethernet2 インタフェースでもステートフルパケットインスペクションを にし DMZ から LAN へのアクセスおよびインターネットへの 不 要 なアクセスを 破 棄 します DNS 機 能 を にし LAN 内 の 端 末 からの 名 前 解 決 要 求 (クエリ 要 求 )を DMZ 内 の DNS サーバに 転 送 します 78 / 142

3. NAT/フィルタ 応 用 設 定 3-7. DMZ 構 築 (PPPoE) 設 定 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 DMZ 側 インタフェース ethernet2 の IP アドレス 10.10.10.1/29 SPI フィルタ PPPoE クライアント(ethernet1) ppp0 ppp0 の IP アドレス 10.10.10.1/32 SNAT グループ ppp0_snat in ppp0_in IP アクセスグループ forward-in ppp0_forward-in WAN 側 インタフェース forward-out ppp0_forward-out SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 ISP 接 続 用 ユーザ ID test1@example.jp ISP 接 続 用 パスワード test1pass スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(インタフェース) ppp0 ルール 名 ppp0_snat プロトコル IP SNAT 送 信 元 IP アドレス 192.168.10.0/24 ppp0_snat 宛 先 IP アドレス any 変 換 後 送 信 元 IP アドレス 10.10.10.1 ルール 名 ppp0_in 動 作 破 棄 送 信 元 IP アドレス any ppp0_in 宛 先 IP アドレス 10.10.10.1 プロトコル ICMP タイプ 8 コード 0 ルール 名 ppp0_forward-in 動 作 許 可 送 信 元 IP アドレス any No.1 宛 先 IP アドレス 10.10.10.2 プロトコル TCP 送 信 元 ポート any 宛 先 ポート 80 動 作 許 可 送 信 元 IP アドレス any No.2 宛 先 IP アドレス 10.10.10.3 プロトコル TCP IP フィルタ 送 信 元 ポート any 宛 先 ポート 80 動 作 許 可 送 信 元 IP アドレス any ppp0_forward-in 宛 先 IP アドレス 10.10.10.4 No.3 プロトコル TCP 送 信 元 ポート any 宛 先 ポート 53 動 作 許 可 送 信 元 IP アドレス any No.4 宛 先 IP アドレス 10.10.10.4 プロトコル UDP 送 信 元 ポート any 宛 先 ポート 53 動 作 許 可 No.5 送 信 元 IP アドレス any 宛 先 IP アドレス 10.10.10.0/29 プロトコル ICMP ppp0_forward-out No.1 動 作 許 可 79 / 142

3. NAT/フィルタ 応 用 設 定 3-7. DMZ 構 築 (PPPoE) 設 定 DNS FastFowarding 送 信 元 IP アドレス 10.10.10.4 宛 先 IP アドレス any プロトコル TCP 送 信 元 ポート any 宛 先 ポート 53 動 作 許 可 送 信 元 IP アドレス 10.10.10.4 No.2 宛 先 IP アドレス any プロトコル UDP 送 信 元 ポート any 宛 先 ポート 53 サービス DNS サーバ プライマリ 10.10.10.4 設 定 例 nxr230#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr230(config)#interface ethernet 0 nxr230(config-if)#ip address 192.168.10.1/24 nxr230(config-if)#exit nxr230(config)#ip route 0.0.0.0/0 ppp 0 nxr230(config)#ip snat ppp0_snat ip 192.168.10.0/24 any 10.10.10.1 nxr230(config)#ip access-list ppp0_in deny any 10.10.10.1 icmp 8 0 nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.2 tcp any 80 nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.3 tcp any 80 nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.4 tcp any 53 nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.4 udp any 53 nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.0/29 icmp nxr230(config)#ip access-list ppp0_forward-out permit 10.10.10.4 any tcp any 53 nxr230(config)#ip access-list ppp0_forward-out permit 10.10.10.4 any udp any 53 nxr230(config)#interface ppp 0 nxr230(config-ppp)#ip address 10.10.10.1/32 nxr230(config-ppp)#ip snat-group ppp0_snat nxr230(config-ppp)#ip access-group in ppp0_in nxr230(config-ppp)#ip access-group forward-in ppp0_forward-in nxr230(config-ppp)#ip access-group forward-out ppp0_forward-out nxr230(config-ppp)#ip spi-filter nxr230(config-ppp)#ip tcp adjust-mss auto nxr230(config-ppp)#no ip redirects nxr230(config-ppp)#ppp username test1@example.jp password test1pass nxr230(config-ppp)#exit nxr230(config)#interface ethernet 1 nxr230(config-if)#no ip address nxr230(config-if)#pppoe-client ppp 0 nxr230(config-if)#exit nxr230(config)#interface ethernet 2 nxr230(config-if)#ip address 10.10.10.1/29 nxr230(config-if)#ip spi-filter nxr230(config-if)#exit nxr230(config)#dns nxr230(config-dns)#service enable nxr230(config-dns)#address 10.10.10.4 nxr230(config-dns)#exit nxr230(config)#fast-forwarding enable nxr230(config)#exit nxr230#save config 80 / 142

3. NAT/フィルタ 応 用 設 定 3-7. DMZ 構 築 (PPPoE) 設 定 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > nxr230(config)#interface ethernet 0 nxr230(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 2. <スタティックルート 設 定 > nxr230(config)#ip route 0.0.0.0/0 ppp 0 デフォルトルートを 設 定 します 3. <SNAT 設 定 > nxr230(config)#ip snat ppp0_snat ip 192.168.10.0/24 any 10.10.10.1 SNAT 名 を ppp0_snat とし 送 信 元 IP アドレス 192.168.10.0/24 のパケットの 送 信 元 IP アドレスを 10.10.10.1 に 変 換 します なお この SNAT 設 定 は ppp0 インタフェース 設 定 で 登 録 します ( ) SNAT を 設 定 しただけでは 送 信 元 IP アドレスの 変 換 機 能 は 動 作 しません 送 信 元 IP アドレスの 変 換 を 行 うインタフェースでの 登 録 が 必 要 になります 4. < IP アクセスリスト 設 定 > nxr230(config)#ip access-list ppp0_in deny any 10.10.10.1 icmp 8 0 IP アクセスリスト 名 を ppp0_ in とし 宛 先 IP アドレス 10.10.10.1,ICMP タイプ 8 コード 0(ICMP Echo Request)のパケットを 許 可 します なお この IP アクセスリスト 設 定 は ppp0 インタフェース 設 定 で 登 録 します nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.2 tcp any 80 nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.3 tcp any 80 nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.4 tcp any 53 nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.4 udp any 53 nxr230(config)#ip access-list ppp0_forward-in permit any 10.10.10.0/29 icmp IP アクセスリスト 名 を ppp0_forward-in とし 宛 先 IP アドレス 10.10.10.2~10.10.10.3, 宛 先 TCP ポー ト 番 号 80 のパケットを 許 可 します また 宛 先 IP アドレス 10.10.10.4, 宛 先 TCP ポート 番 号 53 および UDP ポート 番 号 53 のパケットを 許 可 します また 宛 先 IP アドレス 10.10.10.0/29 の ICMP パケット を 許 可 します なお この IP アクセスリスト 設 定 は ppp0 インタフェース 設 定 で 登 録 します nxr230(config)#ip access-list ppp0_forward-out permit 10.10.10.4 any tcp any 53 nxr230(config)#ip access-list ppp0_forward-out permit 10.10.10.4 any udp any 53 IP アクセスリスト 名 を ppp0_forward-out とし 送 信 元 IP アドレス 10.10.10.4, 宛 先 TCP ポート 番 号 53 および UDP ポート 番 号 53 のパケットを 許 可 します なお この IP アクセスリスト 設 定 は ppp0 インタフェース 設 定 で 登 録 します 81 / 142

3. NAT/フィルタ 応 用 設 定 3-7. DMZ 構 築 (PPPoE) 設 定 ( ) IP アクセスリストを 設 定 しただけではフィルタとして にはなりません フィルタリングを 行 うイ ンタフェースでの 登 録 が 必 要 になります 5. <WAN 側 (ppp0)インタフェース 設 定 > nxr230(config)#interface ppp 0 nxr230(config-ppp)#ip address 10.10.10.1/32 ppp0 インタフェースの IP アドレスを 設 定 します nxr230(config-ppp)#ip snat-group ppp0_snat nxr230(config-ppp)#ip access-group in ppp0_in nxr230(config-ppp)#ip access-group forward-in ppp0_forward-in nxr230(config-ppp)#ip access-group forward-out ppp0_forward-out nxr230(config-ppp)#ip spi-filter nxr230(config-ppp)#ip tcp adjust-mss auto nxr230(config-ppp)#no ip redirects ステートフルパケットインスペクションを に 設 定 します また ppp0_snat を SNAT グループに IP アクセスリスト ppp0_in を in フィルタ ppp0_forward-in を forward-in フィルタ ppp0_forward-out を forward-out フィルタにそれぞれ 適 用 します そして TCP MSS の 調 整 機 能 をオート ICMP リダイレク ト 機 能 を 無 効 に 設 定 します nxr230(config-ppp)#ppp username test1@example.jp password test1pass ISP 接 続 用 のユーザ ID とパスワードを 設 定 します 6. <ethernet1 インタフェース 設 定 > nxr230(config)#interface ethernet 1 nxr230(config-if)#no ip address nxr230(config-if)#pppoe-client ppp 0 PPPoE クライアントとして ppp0 インタフェースを 使 用 できるように 設 定 します 7. < DMZ 側 (ethernet2)インタフェース 設 定 > nxr230(config)#interface ethernet 2 nxr230(config-if)#ip address 10.10.10.1/29 nxr230(config-if)#ip spi-filter ethernet2 インタフェースの IP アドレスを 設 定 します また ステートフルパケットインスペクションを に 設 定 します 8. <DNS 設 定 > nxr230(config)#dns nxr230(config-dns)#service enable nxr230(config-dns)#address 10.10.10.4 DNS サービスを にします また DNS サーバアドレスとして DMZ の DNS サーバを 設 定 します 9. <ファストフォワーディングの 化 > 82 / 142

3. NAT/フィルタ 応 用 設 定 3-7. DMZ 構 築 (PPPoE) 設 定 nxr230(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 端 末 の 設 定 例 端 末 WWW サーバ 1 WWW サーバ 2 DNS サーバ IP アドレス 192.168.10.100 10.10.10.2 10.10.10.3 10.10.10.4 サブネットマスク 255.255.255.0 255.255.255.248 デフォルトゲートウェイ 192.168.10.1 10.10.10.1 DNS サーバ 192.168.10.1 83 / 142

4. Web 認 証 設 定 4-1. ユーザ 認 証 設 定 4-2. URL 転 送 設 定 4-3. ユーザ 強 制 認 証 +URL 転 送 4-4. Web 認 証 フィルタ 4-5. RADIUS 連 携 84 / 142

4. Web 認 証 設 定 4-1. ユーザ 認 証 設 定 4-1. ユーザ 認 証 設 定 Web 認 証 ではルータ 経 由 で 通 信 を 行 う 際 に ユーザ ID,パスワードによる 認 証 を 必 要 とするよう 設 定 するこ とができます これにより 外 部 へアクセスできるユーザを 制 限 し 認 証 が 成 功 したユーザのみインターネッ トアクセスを 許 可 するといった 利 用 方 法 が 可 能 になります 構 成 図 LAN : 192.168.10.0/24 Web 認 証 で 許 可 されていない ユーザ Web 認 証 で 許 可 された ユーザ プロバイダ インターネット 192.168.10.100 eth0 192.168.10.1 ppp0(pppoe) 動 的 IP MACフィルタで 許 可 されているユーザ 00:80:6D:XX:XX:01 ルータ 配 下 の 端 末 はルータの Web 認 証 画 面 でユーザ ID パスワードを 入 力 し 認 証 で 許 可 された 場 合 のみルータ 経 由 で 通 信 することが 可 能 です Web 認 証 機 能 の MAC アクセスリストを 設 定 することで MAC アドレス 単 位 で 認 証 を 必 要 とせずに 通 信 の 許 可 または 破 棄 することができます 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 PPPoE クライアント(ethernet1) ppp0 ppp0 の IP アドレス 動 的 IP アドレス IP マスカレード WAN 側 インタフェース SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 ISP 接 続 用 ユーザ ID test1@example.jp ISP 接 続 用 パスワード test1pass スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(インタフェース) ppp0 認 証 方 式 HTTP Basic 接 続 許 可 時 間 (アイドルタイムアウト) 600 秒 Web 認 証 ログ 取 得 ローカル 認 証 用 ユーザ ID test ローカル 認 証 用 パスワード testpass 85 / 142

4. Web 認 証 設 定 4-1. ユーザ 認 証 設 定 動 作 許 可 MAC アクセスリスト MAC アドレス 00:80:6D:XX:XX:01 インタフェース ethernet0 LED AUX1 ppp0 アップ 時 点 灯 DNS サービス FastFowarding 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 ppp 0 nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects nxr120(config-ppp)#ppp username test1@example.jp password test1pass nxr120(config-ppp)#exit nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 nxr120(config-if)#exit nxr120(config)#system led aux 1 interface ppp 0 nxr120(config)#web-authenticate nxr120(config-webauth)#authenticate basic nxr120(config-webauth)#close idle-timeout 600 nxr120(config-webauth)#log enable nxr120(config-webauth)#account username test password testpass nxr120(config-webauth)#mac access-list permit 00:80:6D:XX:XX:01 ethernet 0 nxr120(config-webauth)#exit % restart http-server to apply this setting. nxr120(config)#exit nxr120#restart http-server http-server starting... done nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#dns nxr120(config-dns)#service enable nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 2. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 ppp 0 86 / 142

4. Web 認 証 設 定 4-1. ユーザ 認 証 設 定 デフォルトルートを 設 定 します 3. <WAN 側 (ppp0)インタフェース 設 定 > nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated ppp0 インタフェースの IP アドレスが 動 的 IP アドレスの 場 合 は negotiated を 設 定 します nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects IP マスカレード ステートフルパケットインスペクションを に 設 定 します また TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します nxr120(config-ppp)#ppp username test1@example.jp password test1pass ISP 接 続 用 のユーザ ID とパスワードを 設 定 します 4. <ethernet1 インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 PPPoE クライアントとして ppp0 インタフェースを 使 用 できるように 設 定 します 5. <システム LED 設 定 > nxr120(config)#system led aux 1 interface ppp 0 ppp0 インタフェースのアップ/ダウンを aux1 LED で 表 示 するように 設 定 します 6. <Web 認 証 設 定 > nxr120(config)#web-authenticate nxr120(config-webauth)#authenticate basic Web 認 証 (Basic 認 証 )を 行 うよう 設 定 します nxr120(config-webauth)#close idle-timeout 600 認 証 で 許 可 されたユーザとの 間 で 無 通 信 状 態 になってから 600 秒 経 過 すると 通 信 を 遮 断 するよう 設 定 し ます nxr120(config-webauth)#log enable ログの 取 得 を にします nxr120(config-webauth)#account username test password testpass ローカル 認 証 用 のユーザ ID パスワードを 設 定 します nxr120(config-webauth)#mac access-list permit 00:80:6D:XX:XX:01 ethernet 0 87 / 142

4. Web 認 証 設 定 4-1. ユーザ 認 証 設 定 MAC アクセスリストで MAC アドレス 00:80:6D:XX:XX:01 について ethernet0 インタフェースで 許 可 す るよう 設 定 します ( ) Web 認 証 機 能 を にすると 外 部 との 通 信 には 認 証 が 必 要 になりますが MAC アクセスリストで 指 定 した MAC アドレスを 持 つ 端 末 については 認 証 を 必 要 とせずに 通 信 を 許 可 または 拒 否 することがで きます 7. <HTTP サーバ 再 起 動 > nxr120#restart http-server Web 認 証 機 能 を にする 場 合 は HTTP サーバを 起 動 する 必 要 があります デフォルトでは HTTP サーバ は 起 動 状 態 になっていますので ここでは HTTP サーバの 再 起 動 を 行 います 8. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable DNS サービスを にします 9. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 端 末 の 設 定 例 IP アドレス 192.168.10.100 サブネットマスク 255.255.255.0 デフォルトゲートウェイ DNS サーバ 192.168.10.1 88 / 142

4. Web 認 証 設 定 4-2. URL 転 送 設 定 4-2. URL 転 送 設 定 Web 認 証 機 能 では 単 にユーザ 認 証 という 用 途 だけではなく ルータ 配 下 の 端 末 が WEB アクセスを 行 った 際 に あらかじめ 設 定 した 任 意 の URL へ 転 送 させるということもできます 構 成 図 LAN : 192.168.10.0/24 http://www.example.co.jpに アクセス 指 定 したURLへ 転 送 192.168.10.100 eth0 192.168.10.1 ppp0(pppoe) 動 的 IP プロバイダ インターネット http://www.centurysys.co.jp http://www.example.co.jp ルータ 配 下 の 端 末 が TCP ポート 80 番 で Web アクセスを 行 った 際 に 指 定 した URL へ 一 度 転 送 しま す 指 定 した URL へ 転 送 ( 強 制 認 証 ) 後 そのユーザとの 間 で 無 通 信 状 態 になってから 一 定 時 間 経 過 する と 再 度 Web アクセスを 行 った 際 に 指 定 した URL へ 転 送 します 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 PPPoE クライアント(ethernet1) ppp0 ppp0 の IP アドレス 動 的 IP アドレス IP マスカレード WAN 側 インタフェース SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 ISP 接 続 用 ユーザ ID test1@example.jp ISP 接 続 用 パスワード test1pass スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(インタフェース) ppp0 強 制 認 証 80 番 ポート 監 視 (リダイレクト) Web 認 証 転 送 先 URL http://www.centurysys.co.jp 接 続 許 可 時 間 (アイドルタイムアウト) 600 秒 ログ 取 得 LED AUX1 ppp0 アップ 時 点 灯 DNS サービス FastFowarding 89 / 142

4. Web 認 証 設 定 4-2. URL 転 送 設 定 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 ppp 0 nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects nxr120(config-ppp)#ppp username test1@example.jp password test1pass nxr120(config-ppp)#exit nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 nxr120(config-if)#exit nxr120(config)#system led aux 1 interface ppp 0 nxr120(config)#web-authenticate nxr120(config-webauth)#monitor port 80 redirect nxr120(config-webauth)#redirect-url http://www.centurysys.co.jp nxr120(config-webauth)#close idle-timeout 600 nxr120(config-webauth)#log enable nxr120(config-webauth)#exit % restart http-server to apply this setting. nxr120(config)#exit nxr120#restart http-server http-server starting... done nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#dns nxr120(config-dns)#service enable nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 2. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 ppp 0 デフォルトルートを 設 定 します 3. <WAN 側 (ppp0)インタフェース 設 定 > nxr120(config)#interface ppp 0 90 / 142

4. Web 認 証 設 定 4-2. URL 転 送 設 定 nxr120(config-ppp)#ip address negotiated ppp0 インタフェースの IP アドレスが 動 的 IP アドレスの 場 合 は negotiated を 設 定 します nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects IP マスカレード ステートフルパケットインスペクションを に 設 定 します また TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します nxr120(config-ppp)#ppp username test1@example.jp password test1pass ISP 接 続 用 のユーザ ID とパスワードを 設 定 します 4. <ethernet1 インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 PPPoE クライアントとして ppp0 インタフェースを 使 用 できるように 設 定 します 5. <システム LED 設 定 > nxr120(config)#system led aux 1 interface ppp 0 ppp0 インタフェースのアップ/ダウンを aux1 LED で 表 示 するように 設 定 します 6. <Web 認 証 設 定 > nxr120(config)#web-authenticate nxr120(config-webauth)#monitor port 80 redirect ルータ 配 下 の 端 末 から WEB アクセスする 際 Web 認 証 なしで 指 定 した URL へ 転 送 します nxr120(config-webauth)#redirect-url http://www.centurysys.co.jp 転 送 する URL を 設 定 します nxr120(config-webauth)#close idle-timeout 600 認 証 で 許 可 されたユーザとの 間 で 無 通 信 状 態 になってから 600 秒 経 過 すると 通 信 を 遮 断 するよう 設 定 し ます nxr120(config-webauth)#log enable ログの 取 得 を にします 7. <HTTP サーバ 再 起 動 > nxr120#restart http-server Web 認 証 機 能 を にする 場 合 は HTTP サーバを 起 動 する 必 要 があります デフォルトでは HTTP サーバ は 起 動 状 態 になっていますので ここでは HTTP サーバの 再 起 動 を 行 います 91 / 142

4. Web 認 証 設 定 4-2. URL 転 送 設 定 8. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable DNS サービスを にします 9. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 端 末 の 設 定 例 IP アドレス 192.168.10.100 サブネットマスク 255.255.255.0 デフォルトゲートウェイ DNS サーバ 192.168.10.1 92 / 142

4. Web 認 証 設 定 4-3. ユーザ 強 制 認 証 +URL 転 送 4-3. ユーザ 強 制 認 証 +URL 転 送 Web 認 証 機 能 では 通 常 外 部 に 接 続 したいユーザは 認 証 URL へのアクセスが 必 要 となりますが 強 制 認 証 機 能 では TCP80 番 ポートへの 接 続 を 監 視 し 未 認 証 ユーザからの 接 続 があった 場 合 強 制 的 に Web 認 証 を 行 います なお この 設 定 例 ではユーザ 認 証 成 功 後 設 定 した URL へ 転 送 します 構 成 図 LAN : 192.168.10.0/24 Web 認 証 で 許 可 されていない ユーザ http://www.example.co.jp にアクセス TCP80 番 ポートの 接 続 を 監 視 認 証 後 指 定 したURLへ 転 送 192.168.10.100 eth0 192.168.10.1 ppp0(pppoe) 動 的 IP プロバイダ インターネット http://www.centurysys.co.jp http://www.example.co.jp TCP ポート 80 番 への 接 続 を 監 視 し 接 続 があった 際 に 認 証 画 面 をポップアップします また ユー ザ 認 証 成 功 後 指 定 した URL へ 転 送 します 認 証 後 許 可 されたユーザとの 間 で 無 通 信 状 態 になってから 一 定 時 間 経 過 すると 通 信 を 遮 断 するよ う 設 定 します 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 PPPoE クライアント(ethernet1) ppp0 ppp0 の IP アドレス 動 的 IP アドレス IP マスカレード WAN 側 インタフェース SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 ISP 接 続 用 ユーザ ID test1@example.jp ISP 接 続 用 パスワード test1pass スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(インタフェース) ppp0 認 証 方 式 HTTP Basic 強 制 認 証 80 番 ポート 監 視 (リダイレクト) Web 認 証 転 送 先 URL http://www.centurysys.co.jp 接 続 許 可 時 間 (アイドルタイムアウト) 600 秒 ログ 取 得 93 / 142

4. Web 認 証 設 定 4-3. ユーザ 強 制 認 証 +URL 転 送 ローカル 認 証 用 ユーザ ID test ローカル 認 証 用 パスワード testpass LED AUX1 ppp0 アップ 時 点 灯 DNS サービス FastFowarding 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 ppp 0 nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects nxr120(config-ppp)#ppp username test1@example.jp password test1pass nxr120(config-ppp)#exit nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 nxr120(config-if)#exit nxr120(config)#system led aux 1 interface ppp 0 nxr120(config)#web-authenticate nxr120(config-webauth)#authenticate basic nxr120(config-webauth)#monitor port 80 redirect nxr120(config-webauth)#redirect-url http://www.centurysys.co.jp nxr120(config-webauth)#close idle-timeout 600 nxr120(config-webauth)#log enable nxr120(config-webauth)#account username test password testpass nxr120(config-webauth)#exit % restart http-server to apply this setting. nxr120(config)#exit nxr120#restart http-server http-server starting... done nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#dns nxr120(config-dns)#service enable nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 2. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 ppp 0 94 / 142

4. Web 認 証 設 定 4-3. ユーザ 強 制 認 証 +URL 転 送 デフォルトルートを 設 定 します 3. <WAN 側 (ppp0)インタフェース 設 定 > nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated ppp0 インタフェースの IP アドレスが 動 的 IP アドレスの 場 合 は negotiated を 設 定 します nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects IP マスカレード ステートフルパケットインスペクションを に 設 定 します また TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します nxr120(config-ppp)#ppp username test1@example.jp password test1pass ISP 接 続 用 のユーザ ID とパスワードを 設 定 します 4. <ethernet1 インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 PPPoE クライアントとして ppp0 インタフェースを 使 用 できるように 設 定 します 5. <システム LED 設 定 > nxr120(config)#system led aux 1 interface ppp 0 ppp0 インタフェースのアップ/ダウンを aux1 LED で 表 示 するように 設 定 します 6. <Web 認 証 設 定 > nxr120(config)#web-authenticate nxr120(config-webauth)#authenticate basic nxr120(config-webauth)#monitor port 80 redirect Web 認 証 (Basic 認 証 )を 行 い ルータ 配 下 の 未 認 証 端 末 から WEB アクセスした 際 Web 認 証 画 面 をポップ アップし 認 証 後 指 定 した URL へ 転 送 します nxr120(config-webauth)#redirect-url http://www.centurysys.co.jp 転 送 する URL を 設 定 します nxr120(config-webauth)#close idle-timeout 600 認 証 で 許 可 されたユーザとの 間 で 無 通 信 状 態 になってから 600 秒 経 過 すると 通 信 を 遮 断 するよう 設 定 し ます nxr120(config-webauth)#log enable ログの 取 得 を にします 95 / 142

4. Web 認 証 設 定 4-3. ユーザ 強 制 認 証 +URL 転 送 nxr120(config-webauth)#account username test password testpass ローカル 認 証 用 のユーザ ID パスワードを 設 定 します 7. <HTTP サーバ 再 起 動 > nxr120#restart http-server Web 認 証 機 能 を にする 場 合 は HTTP サーバを 起 動 する 必 要 があります デフォルトでは HTTP サーバ は 起 動 状 態 になっていますので ここでは HTTP サーバの 再 起 動 を 行 います 8. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable DNS サービスを にします 9. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 端 末 の 設 定 例 IP アドレス 192.168.10.100 サブネットマスク 255.255.255.0 デフォルトゲートウェイ DNS サーバ 192.168.10.1 96 / 142

4. Web 認 証 設 定 4-4. Web 認 証 フィルタ 4-4. Web 認 証 フィルタ Web 認 証 フィルタを 設 定 することにより ある 特 定 のホスト,ネットワーク,インタフェースでは Web 認 証 せずに 通 信 することができます 構 成 図 LAN : 192.168.10.0/24 Web 認 証 で 許 可 されていない ユーザ http://www.example.co.jp にアクセス TCP80 番 ポートの 接 続 を 監 視 認 証 後 指 定 したURLへ 転 送 192.168.10.100 eth0 192.168.10.1 ppp0(pppoe) 動 的 IP プロバイダ インターネット http://www.centurysys.co.jp Web 認 証 フィルタで 通 信 が 許 可 されているユーザ 192.168.10.10 http://www.example.co.jp 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 Web 認 証 フィルタ forward-in eth0_web_forward-in PPPoE クライアント(ethernet1) ppp0 ppp0 の IP アドレス 動 的 IP アドレス IP マスカレード WAN 側 インタフェース SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 ISP 接 続 用 ユーザ ID test1@example.jp ISP 接 続 用 パスワード test1pass スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(インタフェース) ppp0 認 証 方 式 HTTP Basic 強 制 認 証 80 番 ポート 監 視 (リダイレクト) 転 送 先 URL http://www.centurysys.co.jp Web 認 証 接 続 許 可 時 間 (アイドルタイムアウト) 600 秒 ログ 取 得 ローカル 認 証 用 ユーザ ID test ローカル 認 証 用 パスワード testpass ルール 名 eth0_web_forward-in Web 認 証 フィルタ 動 作 許 可 eth0_web_forward-in 送 信 元 IP アドレス 192.168.10.10 宛 先 IP アドレス any LED AUX1 ppp0 アップ 時 点 灯 97 / 142

4. Web 認 証 設 定 4-4. Web 認 証 フィルタ DNS サービス FastFowarding 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#ip web-auth access-list eth0_web_forward-in permit 192.168.10.10 any nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#ip webauth-filter forward-in eth0_web_forward-in nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 ppp 0 nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects nxr120(config-ppp)#ppp username test1@example.jp password test1pass nxr120(config-ppp)#exit nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 nxr120(config-if)#exit nxr120(config)#system led aux 1 interface ppp 0 nxr120(config)#web-authenticate nxr120(config-webauth)#authenticate basic nxr120(config-webauth)#monitor port 80 redirect nxr120(config-webauth)#redirect-url http://www.centurysys.co.jp nxr120(config-webauth)#close idle-timeout 600 nxr120(config-webauth)#log enable nxr120(config-webauth)#account username test password testpass nxr120(config-webauth)#exit % restart http-server to apply this setting. nxr120(config)#exit nxr120#restart http-server http-server starting... done nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#dns nxr120(config-dns)#service enable nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. <Web 認 証 アクセスリスト> nxr120(config)#ip web-auth access-list eth0_web_forward-in permit 192.168.10.10 any Web 認 証 アクセスリストを 設 定 します Web 認 証 アクセスリスト 名 を eth0_web_forward-in とし 送 信 元 IP アドレス 192.168.10.10 のパケット を 許 可 します なお この Web 認 証 アクセスリスト 設 定 は ethernet0 インタフェース 設 定 で 登 録 します ( ) Web 認 証 アクセスリストを 設 定 しただけではフィルタとして にはなりません フィルタリングし 98 / 142

4. Web 認 証 設 定 4-4. Web 認 証 フィルタ たいインタフェースでの 登 録 が 必 要 になります 2. <LAN 側 (ethernet0)インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します nxr120(config-if)#ip webauth-filter forward-in eth0_web_forward-in Web 認 証 アクセスリスト eth0_web_forward-in を webauth-filter の forward-in フィルタに 適 用 します 3. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 ppp 0 デフォルトルートを 設 定 します 4. <WAN 側 (ppp0)インタフェース 設 定 > nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated ppp0 インタフェースの IP アドレスが 動 的 IP アドレスの 場 合 は negotiated を 設 定 します nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects IP マスカレード ステートフルパケットインスペクションを に 設 定 します また TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します nxr120(config-ppp)#ppp username test1@example.jp password test1pass ISP 接 続 用 のユーザ ID とパスワードを 設 定 します 5. <ethernet1 インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 PPPoE クライアントとして ppp0 インタフェースを 使 用 できるように 設 定 します 6. <システム LED 設 定 > nxr120(config)#system led aux 1 interface ppp 0 ppp0 インタフェースのアップ/ダウンを aux1 LED で 表 示 するように 設 定 します 7. <Web 認 証 設 定 > nxr120(config)#web-authenticate 99 / 142

nxr120(config-webauth)#authenticate basic nxr120(config-webauth)#monitor port 80 redirect 4. Web 認 証 設 定 4-4. Web 認 証 フィルタ Web 認 証 (Basic 認 証 )を 行 い ルータ 配 下 の 未 認 証 端 末 から WEB アクセスした 際 Web 認 証 画 面 をポップ アップし 認 証 後 指 定 した URL へ 転 送 します nxr120(config-webauth)#redirect-url http://www.centurysys.co.jp 転 送 する URL を 設 定 します nxr120(config-webauth)#close idle-timeout 600 認 証 で 許 可 されたユーザとの 間 で 無 通 信 状 態 になってから 600 秒 経 過 すると 通 信 を 遮 断 するよう 設 定 し ます nxr120(config-webauth)#log enable ログの 取 得 を にします nxr120(config-webauth)#account username test password testpass ローカル 認 証 用 のユーザ ID パスワードを 設 定 します 8. <HTTP サーバ 再 起 動 > nxr120#restart http-server Web 認 証 機 能 を にする 場 合 は HTTP サーバを 起 動 する 必 要 があります デフォルトでは HTTP サーバ は 起 動 状 態 になっていますので ここでは HTTP サーバの 再 起 動 を 行 います 9. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable DNS サービスを にします 10. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 端 末 の 設 定 例 IP アドレス 192.168.10.100 サブネットマスク 255.255.255.0 デフォルトゲートウェイ DNS サーバ 192.168.10.1 100 / 142

4. Web 認 証 設 定 4-5. RADIUS 連 携 4-5. RADIUS 連 携 Web 認 証 機 能 は RADIUS サーバと 連 携 することができます これによりユーザ 管 理 を RADIUS サーバに 一 任 することができます 構 成 図 LAN : 192.168.10.0/24 Web 認 証 で 許 可 されていない ユーザ http://www.example.co.jp にアクセス TCP80 番 ポートの 接 続 を 監 視 認 証 後 指 定 したURLへ 転 送 192.168.10.100 eth0 192.168.10.1 ppp0(pppoe) 動 的 IP プロバイダ インターネット http://www.centurysys.co.jp Radiusサーバで 認 証 192.168.10.254 http://www.example.co.jp Web 認 証 機 能 のユーザ 認 証 に RADIUS サーバを 利 用 します この 設 定 例 では ユーザ 認 証 に 弊 社 FutureNet RA シリーズを 利 用 して 動 作 確 認 を 行 っています http://www.centurysys.co.jp/products/securityserver/index.html 設 定 データ 設 定 項 目 設 定 内 容 LAN 側 インタフェース ethernet0 の IP アドレス 192.168.10.1/24 PPPoE クライアント(ethernet1) ppp0 ppp0 の IP アドレス 動 的 IP アドレス IP マスカレード WAN 側 インタフェース SPI フィルタ MSS 自 動 調 整 オート IP リダイレクト 無 効 ISP 接 続 用 ユーザ ID test1@example.jp ISP 接 続 用 パスワード test1pass スタティックルート 宛 先 IP アドレス 0.0.0.0/0 ゲートウェイ(インタフェース) ppp0 認 証 方 式 HTTP Basic 強 制 認 証 80 番 ポート 監 視 (リダイレクト) 転 送 先 URL http://www.centurysys.co.jp Web 認 証 アカウント 管 理 RADIUS サーバ IP アドレス 192.168.10.254 RADIUS サーバ 秘 密 鍵 (シークレット) nxrpass UDP ポート 番 号 1812 RADIUS アトリビュート NAS-IP-Address 192.168.10.1 101 / 142

NAS-Identifier nxrwebauth session timeout Session-Timeout 接 続 許 可 時 間 ( 強 制 切 断 タイムアウト) 1800 秒 LED AUX1 ppp0 アップ 時 点 灯 DNS サービス FastFowarding 4. Web 認 証 設 定 4-5. RADIUS 連 携 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 nxr120(config-if)#exit nxr120(config)#ip route 0.0.0.0/0 ppp 0 nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects nxr120(config-ppp)#ppp username test1@example.jp password test1pass nxr120(config-ppp)#exit nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 nxr120(config-if)#exit nxr120(config)#system led aux 1 interface ppp 0 nxr120(config)#web-authenticate nxr120(config-webauth)#authenticate basic nxr120(config-webauth)#monitor port 80 redirect nxr120(config-webauth)#redirect-url http://www.centurysys.co.jp nxr120(config-webauth)#account authenticate radius nxr120(config-webauth)#radius 192.168.10.254 password nxrpass auth-port 1812 nxr120(config-webauth)#radius attribute nas-ip-address 192.168.10.1 nxr120(config-webauth)#radius attribute nas-identifier nxrwebauth nxr120(config-webauth)#close session-timeout 1800 nxr120(config-webauth)#radius session-timeout attribute session-timeout nxr120(config-webauth)#exit % restart http-server to apply this setting. nxr120(config)#exit nxr120#restart http-server http-server starting... done nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#dns nxr120(config-dns)#service enable nxr120(config-dns)#exit nxr120(config)#fast-forwarding enable nxr120(config)#exit nxr120#save config 設 定 例 解 説 1. <LAN 側 (ethernet0)インタフェース 設 定 > nxr120(config)#interface ethernet 0 nxr120(config-if)#ip address 192.168.10.1/24 ethernet0 インタフェースの IP アドレスを 設 定 します 102 / 142

4. Web 認 証 設 定 4-5. RADIUS 連 携 2. <スタティックルート 設 定 > nxr120(config)#ip route 0.0.0.0/0 ppp 0 デフォルトルートを 設 定 します 3. <WAN 側 (ppp0)インタフェース 設 定 > nxr120(config)#interface ppp 0 nxr120(config-ppp)#ip address negotiated ppp0 インタフェースの IP アドレスが 動 的 IP アドレスの 場 合 は negotiated を 設 定 します nxr120(config-ppp)#ip masquerade nxr120(config-ppp)#ip spi-filter nxr120(config-ppp)#ip tcp adjust-mss auto nxr120(config-ppp)#no ip redirects IP マスカレード ステートフルパケットインスペクションを に 設 定 します また TCP MSS の 調 整 機 能 をオート ICMP リダイレクト 機 能 を 無 効 に 設 定 します nxr120(config-ppp)#ppp username test1@example.jp password test1pass ISP 接 続 用 のユーザ ID とパスワードを 設 定 します 4. <ethernet1 インタフェース 設 定 > nxr120(config)#interface ethernet 1 nxr120(config-if)#no ip address nxr120(config-if)#pppoe-client ppp 0 PPPoE クライアントとして ppp0 インタフェースを 使 用 できるように 設 定 します 5. <システム LED 設 定 > nxr120(config)#system led aux 1 interface ppp 0 ppp0 インタフェースのアップ/ダウンを aux1 LED で 表 示 するように 設 定 します 6. <Web 認 証 設 定 > nxr120(config)#web-authenticate nxr120(config-webauth)#authenticate basic nxr120(config-webauth)#monitor port 80 redirect Web 認 証 (Basic 認 証 )を 行 い ルータ 配 下 の 未 認 証 端 末 から WEB アクセスした 際 Web 認 証 画 面 をポップ アップし 認 証 後 指 定 した URL へ 転 送 します nxr120(config-webauth)#redirect-url http://www.centurysys.co.jp 転 送 する URL を 設 定 します nxr120(config-webauth)#account authenticate radius ユーザ 名 パスワードの 認 証 に RADIUS サーバを 利 用 するよう 設 定 します ( ) この 設 定 例 では RADIUS サーバでのみ 認 証 を 行 いますが RADIUS への 認 証 要 求 タイムアウト 後 103 / 142

4. Web 認 証 設 定 4-5. RADIUS 連 携 ローカル 認 証 を 行 うように 設 定 することも 可 能 です nxr120(config-webauth)#radius 192.168.10.254 password nxrpass auth-port 1812 RADIUS サーバの IP アドレス 秘 密 鍵 認 証 用 UDP ポート 番 号 を 設 定 します nxr120(config-webauth)#radius attribute nas-ip-address 192.168.10.1 nxr120(config-webauth)#radius attribute nas-identifier nxrwebauth RADIUS サーバに 通 知 するアトリビュートとして NAS-IP-Address NAS-Identifier を 設 定 します nxr120(config-webauth)#close session-timeout 1800 nxr120(config-webauth)#radius session-timeout attribute session-timeout 認 証 で 許 可 された 通 信 を 強 制 的 に 切 断 するまでの 時 間 を 設 定 します この 設 定 例 では 認 証 に RADIUS サーバのみ 利 用 しているため close session-timeout コマンドで 設 定 した 値 は 参 照 されず RADIUS サーバで 指 定 した 応 答 アトリビュートの 値 のみが 参 照 されます ( ) account authenticate コマンドで radius-and-local を 指 定 している 場 合 RADIUS サーバへの 認 証 要 求 タイムアウト 後 close session-timeout コマンドで 設 定 した 値 が 参 照 されます 7. <HTTP サーバ 再 起 動 > nxr120#restart http-server Web 認 証 機 能 を にする 場 合 は HTTP サーバを 起 動 する 必 要 があります デフォルトでは HTTP サーバ は 起 動 状 態 になっていますので ここでは HTTP サーバの 再 起 動 を 行 います 8. <DNS 設 定 > nxr120(config)#dns nxr120(config-dns)#service enable DNS サービスを にします 9. <ファストフォワーディングの 化 > nxr120(config)#fast-forwarding enable ファストフォワーディングを にします ファストフォワーディングを 設 定 することによりパケット 転 送 の 高 速 化 を 行 うことができます ( ) ファストフォワーディングの 詳 細 および 利 用 時 の 制 約 については NXR,WXR シリーズのユーザーズ ガイド(CLI 版 )に 記 載 されているファストフォワーディングの 解 説 をご 参 照 ください 端 末 の 設 定 例 RADIUS サーバ 端 末 IP アドレス 192.168.10.254 192.168.10.100 サブネットマスク 255.255.255.0 デフォルトゲートウェイ DNS サーバ 192.168.10.1 104 / 142

4. Web 認 証 設 定 4-6. ブリッジ+Web 認 証 設 定 4-6. ブリッジ+Web 認 証 設 定 Web 認 証 機 能 は ブリッジインタフェースでも 利 用 することができます これによりすでにルータ 導 入 済 みの 環 境 にも Web 認 証 サービスを 導 入 することができます 構 成 図 LAN : 192.168.10.0/24 Web 認 証 で 許 可 されていない ユーザ http://www.example.co.jp にアクセス TCP80 番 ポートの 接 続 を 監 視 認 証 後 指 定 したURLへ 転 送 192.168.10.100 eth0 br0 192.168.10.1 eth1 インターネット 接 続 用 ルータ インターネット http://www.centurysys.co.jp http://www.example.co.jp 端 末 側 で DNS サーバにインターネット 接 続 用 ルータを 指 定 している 場 合 インターネットアクセス 時 の 名 前 解 決 のみ 行 えるよう UDP ポート 番 号 53 のみ Web 認 証 フィルタで 許 可 します 設 定 データ ブリッジインタフェース Web 認 証 Web 認 証 フィルタ 設 定 項 目 設 定 内 容 bridge0 の IP アドレス 192.168.10.1/24 ブリッジ 対 象 インタフェース ethernet0 ethernet1 Web 認 証 フィルタ forward-in br0_web_forward-in 認 証 方 式 HTTP Basic 強 制 認 証 80 番 ポート 監 視 (リダイレクト) 転 送 先 URL http://www.centurysys.co.jp 接 続 許 可 時 間 (アイドルタイムアウト) 600 秒 ログ 取 得 ローカル 認 証 用 ユーザ ID test ローカル 認 証 用 パスワード testpass ルール 名 br0_web_forward-in 動 作 許 可 送 信 元 IP アドレス any No.1 宛 先 IP アドレス any プロトコル UDP br0_web_forward-in 送 信 元 ポート any 宛 先 ポート 53 動 作 許 可 No.2 送 信 元 IP アドレス any 宛 先 IP アドレス any 105 / 142

プロトコル UDP 送 信 元 ポート 53 宛 先 ポート any 4. Web 認 証 設 定 4-6. ブリッジ+Web 認 証 設 定 設 定 例 nxr120#configure terminal Enter configuration commands, one per line. End with CNTL/Z. nxr120(config)#ip web-auth access-list br0_web_forward-in permit any any udp any 53 nxr120(config)#ip web-auth access-list br0_web_forward-in permit any any udp 53 any nxr120(config)#interface bridge 0 nxr120(config-bridge)#ip address 192.168.10.1/24 nxr120(config-bridge)#bridge port 1 ethernet 0 nxr120(config-bridge)#bridge port 2 ethernet 1 nxr120(config-bridge)#ip webauth-filter forward-in br0_web_forward-in nxr120(config-bridge)#exit nxr120(config)#web-authenticate nxr120(config-webauth)#authenticate basic nxr120(config-webauth)#monitor port 80 redirect nxr120(config-webauth)#redirect-url http://www.centurysys.co.jp nxr120(config-webauth)#close idle-timeout 600 nxr120(config-webauth)#log enable nxr120(config-webauth)#account username test password testpass nxr120(config-webauth)#exit % restart http-server to apply this setting. nxr120(config)#exit nxr120#restart http-server http-server starting... done nxr120#save config 設 定 例 解 説 1. <Web 認 証 アクセスリスト> nxr120(config)#ip web-auth access-list br0_web_forward-in permit any any udp any 53 nxr120(config)#ip web-auth access-list br0_web_forward-in permit any any udp 53 any Web 認 証 アクセスリストを 設 定 します Web 認 証 アクセスリスト 名 を br0_web_forward-in とし UDP ポート 番 号 53 のパケットの 送 受 信 を 許 可 します なお この Web 認 証 アクセスリスト 設 定 は bridge0 インタフェース 設 定 で 登 録 します ( ) Web 認 証 アクセスリストを 設 定 しただけではフィルタとして にはなりません フィルタリングし たいインタフェースでの 登 録 が 必 要 になります 2. <bridge0 インタフェース 設 定 > nxr120(config)#interface bridge 0 nxr120(config-bridge)#ip address 192.168.10.1/24 bridge0 インタフェースの IP アドレスを 設 定 します nxr120(config-bridge)#bridge port 1 ethernet 0 nxr120(config-bridge)#bridge port 2 ethernet 1 ブリッジインタフェースで 利 用 するインタフェースを 設 定 します 106 / 142

4. Web 認 証 設 定 4-6. ブリッジ+Web 認 証 設 定 nxr120(config-bridge)#ip webauth-filter forward-in br0_web_forward-in Web 認 証 アクセスリスト br0_web_forward-in を webauth-filter の forward-in フィルタに 適 用 します 3. <Web 認 証 設 定 > nxr120(config)#web-authenticate nxr120(config-webauth)#authenticate basic nxr120(config-webauth)#monitor port 80 redirect Web 認 証 (Basic 認 証 )を 行 い ルータ 配 下 の 未 認 証 端 末 から WEB アクセスする 際 Web 認 証 画 面 をポップ アップし 認 証 後 指 定 した URL へ 転 送 します nxr120(config-webauth)#redirect-url http://www.centurysys.co.jp 転 送 する URL を 設 定 します nxr120(config-webauth)#close idle-timeout 600 認 証 で 許 可 されたユーザとの 間 で 無 通 信 状 態 になってから 600 秒 経 過 すると 通 信 を 遮 断 するよう 設 定 し ます nxr120(config-webauth)#log enable ログの 取 得 を にします nxr120(config-webauth)#account username test password testpass ローカル 認 証 用 のユーザ ID パスワードを 設 定 します 4. <HTTP サーバ 再 起 動 > nxr120#restart http-server Web 認 証 機 能 を にする 場 合 は HTTP サーバを 起 動 する 必 要 があります デフォルトでは HTTP サーバ は 起 動 状 態 になっていますので ここでは HTTP サーバの 再 起 動 を 行 います 端 末 の 設 定 例 IP アドレス 192.168.10.100 サブネットマスク 255.255.255.0 デフォルトゲートウェイ DNS サーバ インターネット 接 続 用 ルータの IP アドレス 107 / 142

付 録 フィルタ 状 態 確 認 方 法 NAT 状 態 確 認 方 法 UPnP 状 態 確 認 方 法 SIP-NAT 状 態 確 認 方 法 Web 認 証 機 能 のユーザ 認 証 方 法 設 定 例 show config 形 式 サンプル 108 / 142

付 録 フィルタ 状 態 確 認 方 法 フィルタ 状 態 確 認 方 法 IP フィルタの 状 態 (IPv4 アクセスリスト)を 確 認 する 場 合 は show ip access-list コマンドを 使 用 します < 実 行 例 > nxr120#show ip access-list Chain ppp0_forward-in (1 references) No. packts bytes target prot sourceip destip option 1 17 1776 permit tcp 0.0.0.0/0 10.10.10.2 dpt:80 2 14 1758 permit tcp 0.0.0.0/0 10.10.10.3 dpt:80 3 2 132 permit udp 0.0.0.0/0 10.10.10.4 dpt:53 4 4 240 permit icmp 0.0.0.0/0 10.10.10.0/29 Chain ppp0_in (1 references) No. packts bytes target prot sourceip destip option 1 4 240 deny icmp 0.0.0.0/0 10.10.10.1 icmp type 8 code 0 ( ) IP アクセスリスト 設 定 は 行 っているが その IP アクセスリストが 属 している IP アクセスリストグル ープがどのインタフェースにも 登 録 されていない 場 合 references 部 分 が(0 references)と 表 示 され ます この 場 合 その IP アクセスリストグループは ではない 状 態 です ブリッジフィルタの 状 態 を 確 認 する 場 合 は show bridge access-list コマンドを 使 用 します < 実 行 例 > nxr120#show bridge access-list Chain br0_eth0-forward-in No. packets bytes target rule-type 1 1 46 permit arp 2 16 1756 permit ip 3 0 0 permit arp 4 0 0 permit ip 5 4 276 deny any Chain br0_eth0-in No. packets bytes target rule-type 1 5 322 deny any ( ) detail オプションを 追 加 することにより さらに 詳 細 な 情 報 を 確 認 することができます < 実 行 例 > nxr120#show bridge access-list detail Chain br0_eth0-forward-in No. packets bytes target rule-type 1 1 46 permit arp opcode request sender-mac 00:80:6D:XX:XX:00 sender-ip 192.168.10.100 target-ip 192.168.10.10 2 16 1756 permit ip mac source 00:80:6D:XX:XX:00 source 192.168.10.100 destination 192.168.10.10 protocol tcp destination-port 80 3 0 0 permit arp opcode request sender-mac 00:80:6D:XX:XX:02 sender-ip 192.168.10.102 target-ip 192.168.10.11 4 0 0 permit ip mac source 00:80:6D:XX:XX:02 109 / 142

付 録 フィルタ 状 態 確 認 方 法 source 192.168.10.102 destination 192.168.10.11 protocol tcp destination-port 22 5 4 276 deny any mac source any mac destination any Chain br0_eth0-in No. packets bytes target rule-type 1 5 322 deny any mac source any mac destination any 110 / 142

付 録 NAT 状 態 確 認 方 法 NAT 状 態 確 認 方 法 DNAT/SNAT の 状 態 を 確 認 する 場 合 は それぞれ 以 下 のコマンドを 使 用 します <DNAT 実 行 例 > nxr120#show ip dnat Chain ppp0_dnat (1 references) No. packts bytes prot sourceip sport destip dport DNAT 1 1 52 tcp 0.0.0.0/0 any 10.10.10.1 80 192.168.10.10 <SNAT 実 行 例 > nxr230#show ip snat Chain eth2_snat (1 references) No. packts bytes prot sourceip sport destip dport SNAT 1 2 120 all 192.168.10.0/24 any 0.0.0.0/0 any 10.10.10.1 2 4 240 all 192.168.20.0/24 any 0.0.0.0/0 any 10.10.10.2 ( ) DNAT,SNAT のルール 設 定 は 行 っているが その DNAT,SNAT ルールが 属 している DNAT グルー プ,SNAT グループがどのインタフェースにも 登 録 されていない 場 合 references 部 分 が (0 references)と 表 示 されます この 場 合 その DNAT グループ,SNAT グループは ではない 状 態 です 111 / 142

付 録 UPnP 状 態 確 認 方 法 UPnP 状 態 確 認 方 法 UPnP の 状 態 を 確 認 する 場 合 は show upnp コマンドを 使 用 します < 実 行 例 > nxr120#show upnp UDP:5060:192.168.10.200:5060:g101app (192.168.10.200:5060) 5060 UDP UDP:5090:192.168.10.200:5090:g101app (192.168.10.200:5090) 5090 UDP UDP:5091:192.168.10.200:5091:g101app (192.168.10.200:5091) 5091 UDP 112 / 142

付 録 SIP-NAT 状 態 確 認 方 法 SIP-NAT 状 態 確 認 方 法 SIP-NAT の 状 態 を 確 認 する 場 合 は show sip-nat コマンドを 使 用 します < 実 行 例 > nxr120#show sip-nat SIP-NAT is on また SIP-NAT に 関 連 した 情 報 を 含 むセッション 情 報 を 表 示 する 場 合 は show ip conntrack コマンドを 使 用 します < 実 行 例 > nxr120#show ip conntrack udp 17 3353 src=192.168.10.20 dst=10.10.10.200 sport=5060 dport=5060 packets=4 bytes=1870 src=10.10.10.200 dst=10.100.0.1 sport=5060 dport=5060 packets=4 bytes=1786 [ASSURED] mark=0 use=1 ----------------------- conntrack count is 1. 113 / 142

付 録 Web 認 証 機 能 のユーザ 認 証 方 法 Web 認 証 機 能 のユーザ 認 証 方 法 Web 認 証 使 用 時 に NXR,WXR 経 由 で 通 信 を 行 うには 原 則 ユーザ 認 証 が 必 要 となります (URL 転 送 のみの 利 用 Web 認 証 を 含 むフィルタ MAC フィルタは 除 く) ユーザ 認 証 の 手 順 は 以 下 のとおりです ユーザ 認 証 1. 端 末 から NXR,WXR の Web 認 証 画 面 にアクセスします アクセスする 際 は 以 下 のような 形 式 で URL を 指 定 します http://< 本 装 置 の IP アドレス>/login.cgi < 入 力 例 > http://192.168.10.1/login.cgi 2. アクセス 後 認 証 画 面 がポップアップしますのでユーザ ID,パスワードを 入 力 します 3. 認 証 成 功 時 には 以 下 のようなメッセージが 表 示 され NXR,WXR 経 由 でのアクセスが 可 能 になり ます You can connect to the External Network (test@192.168.10.100). Date: Tue Jan 1 12:00:00 2013 ユーザ 強 制 認 証 ユーザ 強 制 認 証 では 端 末 からの TCP80 番 ポートへの 接 続 を 監 視 し 未 認 証 ユーザから 接 続 があった 場 合 強 制 的 に WEB 認 証 画 面 をポップアップします 認 証 画 面 ポップアップ 後 は ユーザ 認 証 と 同 様 の 手 順 となります 114 / 142

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック