□ ER-X IPv4設定：1 □

最初にIPv4環境を構築し、その後DS-Lite接続の設定を行う予定です。

 ローカル側にIPv6を割り振り、クライアントPCをIPv6のまま外に出す純粋なIPoE環境は、DS-Lite接続が安定してから考えます。
※物理的な接続は、下記の状態となりますが、今回の設定ではHGWへの接続は不要です。

 INTERNET　←→　HGW　←→　ER-X　←→　クライアント(設定用PC) 

わかりやすいようにIPなども記載しますが、情報はすべてフィクションですので、ご自分の環境に合わせて読み替えてください。

 設定用PCのネットワーク設定は前回の手動設定のままで、ER-Xのeth0(192.168.1.1)に接続し、GUIで作成した新しいユーザー名でSSHログインします。

では、はじめましょう。


 まず、eth0のIPを、うちの環境に合わせ 192.168.24.2/30 へ変更します。
※「$ configure」から「頭がシャープ(#)」の状態はずっと設定モードです。

$ configure
# set interfaces ethernet eth0 address 192.168.24.2/30
# commit
# save
# exit
$ reboot


 ER-Xの再起動中に、設定用PCのネットワーク設定を下記の状態に変更します。

「次のIPアドレスを使う」

ＩＰアドレス　　　　　　：192.168.24.1 
サブネットマスク　　　　：255.255.255.0 
デフォルトゲートウェイ　：192.168.24.2

「次のDNSサーバーアドレスを使う」(必須じゃありません)

 192.168.24.2 


ER-Xの再起動には1～3分の時間を要します。
設定用PCのコマンドプロンプトなどで、ping 192.168.24.2 を打ち、アクセス出来ることを確認後、ER-Xの192.168.24.2に対し再度SSHログインします。

初期のeth0のIPを削除し、基本的初期設定も済ませます。
※edit使うほど入力量が多くない場合、矢印↑で入力履歴を出すと楽です。

$ configure
# delete interfaces ethernet eth0 address 192.168.1.1/24
# commit

# set interfaces ethernet eth0 description WAN
# set system time-zone Asia/Tokyo
# set system host-name GW-Router
# commit

# delete system ntp
# set system ntp server ntp.nict.jp
# set system name-server 127.0.0.1
# commit
# save


新しい管理用IP含め、eth1～eth4をスイッチとして設定します。
無線APから内部へのアクセスを制御したいので、eth1～eth4をポートVLAN、eth3とeth4をタグVLANとして設定します。

何の制限もしなければ普通のSwitchとして動作しますので、見た目通りの4ポートのスイッチのままですが、Firewallの設定次第で、タグ付きフレームに制限を掛けることが出来ます。
どのポートでも、ネットワークケーブル接続では制限なく使えるが、無線AP経由の接続では内部のプリンターしか使えない、などの環境が柔軟に構築出来ますし、後々管理が楽だと思うので、とりあえずこのような設定にしておきました。
※初期Configの確認でeht1にDHCP設定が入っていましたので、この設定を先に削除します。
※初期config時点でswitchは存在しますので、switch自体の作成は不要です。

# delete interfaces ethernet eth1 address
# commit

# edit interfaces switch switch0
# set description LAN
# set mtu 1500
# set vif 10 address 192.168.10.1/24
# set vif 10 description vlan10
# set vif 20 address 192.168.20.1/24
# set vif 20 description vlan20

# edit switch-port
# set interface eth1 vlan pvid 10
# set  interface eth2 vlan pvid 10
# set  interface eth3 vlan pvid 10
# set  interface eth3 vlan vid 20
# set interface eth4 vlan pvid 10
# set interface eth4 vlan vid 20
# set vlan-aware enable
# commit;save


基本的項目のみですが、VLANへの制限に対するFirewallの設定を入れておきます。
VLAN20からは、内部のプリンター(192.168.10.7)と、外部へのアクセスのみ許可する設定にしてあります。
本来はポート単位で開けるべきですが、使用しているプリンターが使うポートがとても多いため、とりあえずアドレスのみの制限にしてあります。

# edit firewall
# set all-ping enable
# set broadcast-ping disable
# set ip-src-route disable
# set log-martians enable
# set receive-redirects disable
# set send-redirects enable
# set source-validation disable
# set syn-cookies enable

# edit name guest-in
# set default-action accept
# set description guest-in
# set rule 10 action accept
# set rule 10 description printer
# set rule 10 destination address 192.168.10.7
# set rule 10 log disable
# set rule 10 protocol all
# set rule 20 action drop
# set rule 20 description other
# set rule 20 destination address 192.168.10.0/24
# set rule 20 log disable
# set rule 20 protocol all
# top

# edit firewall name guest-local
# set default-action drop
# set description guest-local
# commit;save

# edit interfaces switch switch0 vif 20
# set firewall in name guest-in
# set firewall local name guest-local
# commit;save

 設定用PCを繋ぎ変える度にネットワークの設定を変更するのは面倒なので、DHCPの設定も行います。
 ※Swith0に割り当てられるIPは基本的には192.168.10.0/24で、範囲は適当に192.168.10.90-192.168.10.168としておきました。
※タグ付きフレームがトリガーとなるVLAN20は192.168.20.0/24が割り当てられます。

# edit service dhcp-server
# set disabled false
# set hostfile-update disable
# set static-arp disable
# set use-dnsmasq disable

# edit shared-network-name vlan10
# set authoritative enable
# set subnet 192.168.10.0/24 default-router 192.168.10.1
# set subnet 192.168.10.0/24 dns-server 192.168.10.1
# set subnet 192.168.10.0/24 lease 86400
# set subnet 192.168.10.0/24 start 192.168.10.90 stop 192.168.10.168
# top

# edit service dhcp-server shared-network-name vlan20
# set authoritative enable
# set subnet 192.168.20.0/24 default-router 192.168.20.1
# set subnet 192.168.20.0/24 dns-server 192.168.20.1
# set subnet 192.168.20.0/24 lease 86400
# set subnet 192.168.20.0/24 start 192.168.20.90 stop 192.168.20.168
# commit;save
# exit
$ reboot


設定用PCのネットワークを下記の状態に変更し、ネットワークケーブルを、ER-Xのeth0からeth1へ繋ぎ変えます。

「IPアドレスを自動的に取得する」

 「DNSサーバーのアドレスを自動的に取得する」


ER-Xの再起動後、設定用PCのコマンドプロンプトなどで ipconfig /renew で、192.168.10.90/24(上記設定の場合)など、IP情報が自動取得出来ていることを確認してください。
再起動にはかなりの時間(1～5分)が必要ですので、少し不安になったりもしますが、気長に待ちましょう。

いつまで待ってもIP情報を取得出来ない場合は、何か設定が間違っています。
しかし、commit;save が通っていますので、流したコマンドや文法にミスがあるわけではないはずです。
つまり、再起動は完了しているが、IPが配布されない理由がある、はず。

このような場合は、ER-Xのネットワークケーブルをeth0に差し替え、「192.168.24.2(上記設定の場合)」をターゲットとしてSSHログインし、configを見るなどしてミスを探してください。
※enableにするべき項目がdisableだった、などの単純なミスだと思います。


無事IP情報が取得出来ることが確認出来た後、ブラウザより新しい管理IP 192.168.10.1 へアクセスし、ER-Xの管理画面を開き、Firewall項目で指定したプリンターの固定アドレス設定を行います。
※面倒ですが、CUI設定で素直に反応しない場合があるため、ユーザーとDHCPの固定IP設定/管理はGUIで行います。

「Services」タブから「DHCP Server」を選択し、今回のターゲットは「192.168.10.7」ですので、上の「ACTIONS」をクリックします。

サブメニューの「Configure Static Map」を選択します。

該当機器の「名前？」「MAC ADDRESS」「1P ADDRESS」を設定し「Save」。

これで、DHCPサーバーの固定IPアドレスの設定は完了です。

以上で、IPv4の基本的設定は出来たと思います。
次回は、ER-Xのeth0へHGWを接続し、IPv4の動作確認と詳細設定を行います。


これまでのConfigとcommandリストを載せておきます。
※一部伏せ字


$ show configuration
firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name guest-in {
        default-action accept
        description guest-in
        rule 10 {
            action accept
            description printer
            destination {
                address 192.168.10.7
            }
            log disable
            protocol all
        }
        rule 20 {
            action drop
            description other
            destination {
                address 192.168.10.0/24
            }
            log disable
            protocol all
        }
    }
    name guest-local {
        default-action drop
        description guest-local
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address 192.168.24.2/30
        description WAN
        duplex auto
        speed auto
    }
    ethernet eth1 {
        duplex auto
        speed auto
    }
    ethernet eth2 {
        duplex auto
        speed auto
    }
    ethernet eth3 {
        duplex auto
        speed auto
    }
    ethernet eth4 {
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        description LAN
        mtu 1500
        switch-port {
            interface eth1 {
                vlan {
                    pvid 10
                }
            }
            interface eth2 {
                vlan {
                    pvid 10
                }
            }
            interface eth3 {
                vlan {
                    pvid 10
                    vid 20
                }
            }
            interface eth4 {
                vlan {
                    pvid 10
                    vid 20
                }
            }
            vlan-aware enable
        }
        vif 10 {
            address 192.168.10.1/24
            description vlan10
        }
        vif 20 {
            address 192.168.20.1/24
            description vlan20
            firewall {
                in {
                    name guest-in
                }
                local {
                    name guest-local
                }
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name vlan10 {
            authoritative enable
            subnet 192.168.10.0/24 {
                default-router 192.168.10.1
                dns-server 192.168.10.1
                lease 86400
                start 192.168.10.90 {
                    stop 192.168.10.168
                }
                static-mapping Canon_C356F {
                    ip-address 192.168.10.7
                    mac-address **:**:**:**:**:**
                }
            }
        }
        shared-network-name vlan20 {
            authoritative enable
            subnet 192.168.20.0/24 {
                default-router 192.168.20.1
                dns-server 192.168.20.1
                lease 86400
                start 192.168.20.90 {
                    stop 192.168.20.168
                }
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    ssh {
        port 22
        protocol-version v2
    }
}
system {
    config-management {
        commit-revisions 20
    }
    host-name GW-Router
    login {
        user **************** {
            authentication {
                encrypted-password ****************
                plaintext-password ****************
            }
            level admin
        }
        user **************** {
            authentication {
                encrypted-password ****************
                plaintext-password ****************
            }
            level operator
        }
    }
    name-server 127.0.0.1
    ntp {
        server ntp.nict.jp {
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Asia/Tokyo
}



$ show configuration commands
set firewall all-ping enable
set firewall broadcast-ping disable
set firewall ipv6-receive-redirects disable
set firewall ipv6-src-route disable
set firewall ip-src-route disable
set firewall log-martians enable
set firewall name guest-in default-action accept
set firewall name guest-in description guest-in
set firewall name guest-in rule 10 action accept
set firewall name guest-in rule 10 description printer
set firewall name guest-in rule 10 destination address 192.168.10.7
set firewall name guest-in rule 10 log disable
set firewall name guest-in rule 10 protocol all
set firewall name guest-in rule 20 action drop
set firewall name guest-in rule 20 description other
set firewall name guest-in rule 20 destination address 192.168.10.0/24
set firewall name guest-in rule 20 log disable
set firewall name guest-in rule 20 protocol all
set firewall name guest-local default-action drop
set firewall name guest-local description guest-local
set firewall receive-redirects disable
set firewall send-redirects enable
set firewall source-validation disable
set firewall syn-cookies enable
set interfaces ethernet eth0 address 192.168.24.2/30
set interfaces ethernet eth0 description WAN
set interfaces ethernet eth0 duplex auto
set interfaces ethernet eth0 speed auto
set interfaces ethernet eth1 duplex auto
set interfaces ethernet eth1 speed auto
set interfaces ethernet eth2 duplex auto
set interfaces ethernet eth2 speed auto
set interfaces ethernet eth3 duplex auto
set interfaces ethernet eth3 speed auto
set interfaces ethernet eth4 duplex auto
set interfaces ethernet eth4 poe output off
set interfaces ethernet eth4 speed auto
set interfaces loopback lo
set interfaces switch switch0 description LAN
set interfaces switch switch0 mtu 1500
set interfaces switch switch0 switch-port interface eth1 vlan pvid 10
set interfaces switch switch0 switch-port interface eth2 vlan pvid 10
set interfaces switch switch0 switch-port interface eth3 vlan pvid 10
set interfaces switch switch0 switch-port interface eth3 vlan vid 20
set interfaces switch switch0 switch-port interface eth4 vlan pvid 10
set interfaces switch switch0 switch-port interface eth4 vlan vid 20
set interfaces switch switch0 switch-port vlan-aware enable
set interfaces switch switch0 vif 10 address 192.168.10.1/24
set interfaces switch switch0 vif 10 description vlan10
set interfaces switch switch0 vif 20 address 192.168.20.1/24
set interfaces switch switch0 vif 20 description vlan20
set interfaces switch switch0 vif 20 firewall in name guest-in
set interfaces switch switch0 vif 20 firewall local name guest-local
set service dhcp-server disabled false
set service dhcp-server hostfile-update disable
set service dhcp-server shared-network-name vlan10 authoritative enable
set service dhcp-server shared-network-name vlan10 subnet 192.168.10.0/24 default-router 192.168.10.1
set service dhcp-server shared-network-name vlan10 subnet 192.168.10.0/24 dns-server 192.168.10.1
set service dhcp-server shared-network-name vlan10 subnet 192.168.10.0/24 lease 86400
set service dhcp-server shared-network-name vlan10 subnet 192.168.10.0/24 start 192.168.10.90 stop 192.168.10.168
set service dhcp-server shared-network-name vlan10 subnet 192.168.10.0/24 static-mapping Canon_C356F ip-address 192.168.10.7
set service dhcp-server shared-network-name vlan10 subnet 192.168.10.0/24 static-mapping Canon_C356F mac-address '****************'
set service dhcp-server shared-network-name vlan20 authoritative enable
set service dhcp-server shared-network-name vlan20 subnet 192.168.20.0/24 default-router 192.168.20.1
set service dhcp-server shared-network-name vlan20 subnet 192.168.20.0/24 dns-server 192.168.20.1
set service dhcp-server shared-network-name vlan20 subnet 192.168.20.0/24 lease 86400
set service dhcp-server shared-network-name vlan20 subnet 192.168.20.0/24 start 192.168.20.90 stop 192.168.20.168
set service dhcp-server static-arp disable
set service dhcp-server use-dnsmasq disable
set service gui http-port 80
set service gui https-port 443
set service gui older-ciphers enable
set service ssh port 22
set service ssh protocol-version v2
set system config-management commit-revisions 20
set system host-name GW-Router
set system login user **************** authentication encrypted-password '****************'
set system login user **************** authentication plaintext-password ''
set system login user **************** level admin
set system login user **************** authentication encrypted-password '****************'
set system login user **************** authentication plaintext-password ''
set system login user **************** level operator
set system name-server 127.0.0.1
set system ntp server ntp.nict.jp
set system syslog global facility all level notice
set system syslog global facility protocols level debug
set system time-zone Asia/Tokyo