IX2207をauひかりのHGW下で使用する

2023-01-22

Infrastructure

ネットワーク構成

もともとの構成がこれ。HGWをルーター兼スイッチとして、サーバーとWi-Fiアクセスポイントをぶら下げています。Wi-FiはメッシュWi-Fiを構築しています。

IX2207を導入したあとの構成が以下。HGWにDMZを設定し、IX2207のWANにそのままパケットを流すようにします。また、IX2207のLANにDHCPを設定します。

設定

大きく分けて、下記の設定をします。

スーパーリセット
初期設定
Webコンソール用IPアドレス設定
Webコンソール有効化
SSH有効化
Webコンソールで設定
1. LAN側IP、DHCP設定
2. WAN側IP設定
3. 静的NAPT設定
HGWで設定
1. DMZ設定
2. LAN側IP設定

0. ファームウェア確認

もろもろを設定する前に、ファームウェアのバージョンを確認します。

コンソール接続するためのケーブルは、↓を使用しました。

Amazon.co.jp: USB-RJ45アダプター USB2.0オス-RJ45オスCAT5シリアルコンソールフラットケーブルCiscoルータースイッチ用 : パソコン・周辺機器 https://www.amazon.co.jp/dp/B08R614XDQ

Ubuntuのgtktermを使い、下記のように設定すると、スイッチのコンソールに接続できます。

ポート：/dev/ttyUSB0
ボーレート：96000

コンソールにて、configでconfigureモードに入り、show flashを実行すると、ファームウェアのバージョンを確認できます。最新のファームウェアが適用済みと聞いて購入しましたが、きちんと最新っぽい。

Router(config)# show flash
Codes: M - Main-side, B - Backup-side, N - Newfile, R - Runnable
       A - Active-file, + - Next-boot, * - Bootmode-entry
Length     Name                          Status
8807485    ix2207-ms-10.7.18.ldc         MA
1766       SYSTEM-PRIVATE-KEY            
8736569    ix2207-ms-10.5.13.ldc         B

[17813824 bytes used, 9168770 available, 26982594 total]
26368 Kbytes of processor board System flash (Read/Write)

1. スーパーリセット

精神衛生上、設定を始める前にスーパーリセットしておきます。

スイッチを再起動して、再起動中にCtrl+Cを押し、Yを押すとスーパーリセットできます。

2. 初期設定

初期設定として、hostnameの変更とadminユーザーのパスワード変更をしておきます。

Router(config)# hostname ix2207
ix2207(config)# username admin password plain hogefugapiyo administrator
% User 'admin' has been added.
% Password strength estimation: score 3(strong).

3. Webコンソール用IPアドレス設定

IXシリーズでは便利なWebコンソールを利用できるので、大体の設定はWeb上で済ませたいです。

というわけで、一旦使用しないGE1にIPアドレスを設定し、GE1を既存のネットワークのLANに接続します。

ix2207(config)# interface GigaEthernet1.0
ix2207(config-GigaEthernet1.0)# ip address 192.168.0.6/24
ix2207(config-GigaEthernet1.0)# no shutdown

4. Webコンソール有効化

デフォルトでWebコンソールは有効になっているはずなのですが、なぜか使用できなかったので、下記のコマンドを実行して有効化しました。

ix2207(config)# default-console web
ix2207(config)# http-server ip enable
ix2207(config)# http-server username hoge

5. SSH有効化

Webコンソールで設定を削除するとゴミconfigが残ることがあるので、コンソールにはアクセスできるようにしておきたいです。

いちいちシリアル通信するのはアレなので、SSHを有効化しておきます。

ix2207(config)# ssh-server ip enable
ix2207(config)# pki private-key generate rsa

これでコンソールでの設定は終わり。最後に、ここまでの設定をメモリーに記録し、再起動します。

ix2207(config)# write memory
ix2207(config)# reload

6. Webコンソールで設定

ここからは、ブラウザ経由でWebコンソールを使って設定していきます。GE1に設定したIPアドレスにアクセスすると、Webコンソールを利用できます。

1. LAN側IP、DHCP設定

LAN側のIPアドレスとDHCPを設定します。

2. WAN側IP設定

WAN側のIPアドレスを設定します。ざっくり変更点だけ記載しておきます。

接続形態：IP接続
WAN側IPアドレス：適当なプライベートIPアドレス
- 後ほどHGW設定で、このプライベートIPアドレス宛にパケットを通過させるDMZを設定します
デフォルトゲートウェイ：HGWのLAN側IPアドレスに設定するプライベートIPアドレス（「WAN側IPアドレス」で設定したIPアドレスとアドレス空間は一致させます）
- これも後ほどHGW側にも設定します
NAPT：有効
- デフォルトで有効になっています

IPoEを使うとIX2207のWANインターフェースでIPv6を取得できるっぽいですが、auひかりの場合、NTTと違って網終端装置の輻輳によるIPv4の速度低下が起こらないので、今回はIPoEでの接続はしていません。

3. 静的NAPT設定

IXシリーズはWANにNAPTを設定した場合、WANからの通信をデフォルトで遮断してくれる安心設計になっています。

が、我が家ではWireGuardを使っているので、そのポートだけは通してもらわないといけません。本当はIX2207のLT2P/IPsecでVPNしたいんですが、AndroidがLT2P非対応なので、WireGuardを継続採用します。

というわけで静的NAPTを設定しておきます。

ポート番号：WireGuardで使用しているポート番号
プライベート側IPアドレス：WireGuardが動作しているサーバーのIPアドレス

7. HGWでDMZを設定

最後に、HGWでDMZを設定します。私の場合はもとからDHCPサーバー機能もオフにしていましたが、オンになっている場合はオフにしておきます。

1. DMZ設定

DMZホスト設定でDMZホスト機能をオンにします。

DMZホストのIPアドレス：IX2207に設定したWAN側IPアドレス

2. LAN側IP設定

IPアドレスとDHCPサーバ設定でHGWのLAN側IPアドレスを設定します。私の場合はもとからDHCPサーバー機能もオフにしていましたが、オンになっている場合はオフにしておきます。この設定を反映した瞬間、HGWとの通信は切断されるので、注意しましょう。

IPアドレス／ネットマスク：IX2207のデフォルトゲートウェイに設定したIPアドレス

ここまでの設定を終え、冒頭に掲載した構成通り、HGWのLANとIX2207のWANを接続し、IX2207のLANに各種機器を接続すれば、通信できるようになるはずです。

おわりに

DHCPサーバーをIX2207に移すことで、通信断がなくなり安定したインターネットが手に入りました。やはり餅は餅屋ですね。

次はせっかく買ったIX2215を使って、VRRPを使った冗長構成にトライしたいです。

いぶろぐ雑記