ようやくCiscoルータを自宅に導入し、
インターネットが使えるよう設定しました。

ひとまず備忘録。(要清書。。。)

試してみる方は、自己責任でお願いします。。。

■CISCO 1812Jの設定予定

・WAN-PORT
FastEthernet0
FastEthernet1 - WAN DCE

・LOCALPORT(VLANによる紐付け必須)
FastEthernet2 - 無線アクセスポイント
FastEthernet3 - ネットワークプリンタ
FastEthernet4 - 自分マシン
FastEthernet5
FastEthernet6
FastEthernet7
FastEthernet8

・VLAN 5(ローカルネットワーク)
net ip 192.168.100.0/24
->FastEthernet2
->FastEthernet3
->FastEthernet4

・VLAN 2(DMZ用...いずれ設定)


※その他
あらかじめ、以下のインターネット側の情報は確認しておくこと。
・プライマリDNSサーバ
・セカンダリDNSサーバ
・インターネット側インターフェースのサブネットマスク


■CISCO 1812Jに対する設定作業

1.イーサネットケーブルなど(物理層)を接続

1-1.WANポートの接続
FastEthernet1 - WANのDCEなどに接続

1-2.LANポートの接続
FastEthernet2 - 無線アクセスポイントへ接続
FastEthernet3 - ネットワークプリンタ
FastEthernet4 - 自分マシン


1-3.無線アクセスポイント
バッファローのルータを使っていたので、アクセスポイントモードに切り替え


2.ローカルネット(LAN)設定

2-1.VLAN作成
・グローバルコンフィグモードで、VLAN5を新規作成
> enable
# show vlan-switch
# vlan database
(vlan)# vlan 5
(vlan)# exit

・インターフェースコンフィグモードで、スイッチポートとVLAN IDの関連付け
# configure terminal
(config)# int range f 2 - 4
(config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 5
(config-if-range)# end

・インターフェースコンフィグモードで、VLANにレイヤ3スイッチ機能を設定(IP割り振り)する
(config)# int vlan 5
(config-if)# ip address 192.168.100.254 255.255.255.0
(config-if)# no shutdown
(config-if)# exit

・各ポート(fastEthernet2-4)のインターフェースを有効にする
(config)# int f 2
(config-if)# no shutdown
(config-if)# exit
(config)# int f 3
(config-if)# no shutdown
(config-if)# exit
(config)# int f 4
(config-if)# no shutdown
(config-if)# end


2-2.VLAN作成確認
# show vlan-switch 5 brief

# show int vlan 5 switchport

# show running-config int vlan 5

# show ip int brief


3.CiscoルータのDHCP機能を有効にする

・ルータ機能のDHCPサーバを有効にし、LAN側のネットワークへIPアドレスを割り振る
(config)# service dhcp
(config)# ip dhcp pool my_dhcp
(dhcp-config)# network 192.168.100.0 /24
(dhcp-config)# default-router 192.168.100.254
(dhcp-config)# dns-server <プライマリDNSのIPアドレス> <セカンダリDNSのIPアドレス>
(dhcp-config)# domain-name m0kom0ko.com
(dhcp-config)# exit
(config)# ip dhcp exclude-address 192.168.100.50 192.168.100.254

・インターネット側インターフェース有効設定
(config)# int f 1
(config-if)# ip address dhcp
(config-if)# no shutdown
(config-if)# end

・DNSクライアント有効
(config)# ip domain-lookup



4.ルーティング

・プライベート側の設定
(config)# int vlan 5
(config-if)# ip nat inside
(config-if)# exit

・インターネット側の設定
(config)# int f 1
(config-if)# ip nat outside
(config-if)# exit

・NATの変換ルールをACL1に設定し、ACL1に基づいて外部ネットワークに設定
(config)# access-list 1 permit 192.168.100.0 0.0.0.255
(config)# ip nat inside source list 1 int f 1 overload
# show ip nat translations

・OSPFルーティングアルゴリズムで設定
(config)# ip routing
(config)# router ospf 1
(config-router)# network 192.168.100.0 0.0.0.255 area 0
(config-router)# network <インターネット側インターフェースのIPアドレス> <インターネット側インターフェースのサブネットマスク> area 0
(config-router)# exit



5.ファイアウォール設定

・通信確実なものを設定
(config)# access-list 100 permit icmp 192.168.100.0 0.0.0.255 any
(config)# access-list 100 permit udp 192.168.100.0 0.0.0.255 220.152.38.201 0.0.0.0 eq 53
(config)# access-list 100 permit udp 192.168.100.0 0.0.0.255 220.152.38.233 0.0.0.0 eq 53
(config)# access-list 100 permit tcp 192.168.100.0 0.0.0.255 any eq 80
(config)# access-list 100 permit tcp 192.168.100.0 0.0.0.255 any eq 443

・外部からの攻撃防止セキュリティ設定(要検証)

参考サイト:http://neetloh.seesaa.net/article/129718503.html

(config)# access-list 100 permit icmp 192.168.100.0 0.0.0.255 any

(config)# access-list 101 deny ip 0.0.0.0 0.255.255.255 any
(config)# access-list 101 deny ip 10.0.0.0 0.255.255.255 any
(config)# access-list 101 deny ip 127.0.0.0 0.255.255.255 any
(config)# access-list 101 deny ip 169.254.0.0 0.0.255.255 any
(config)# access-list 101 deny ip 172.16.0.0 0.15.255.255 any
(config)# access-list 101 deny ip 192.0.2.0 0.0.0.255 any
(config)# access-list 101 deny ip 192.168.0.0 0.0.0.255 any
(config)# access-list 101 deny ip 224.0.0.0 15.255.255.255 any
(config)# access-list 101 deny ip 240.0.0.0 15.255.255.255 any
(config)# access-list 101 deny tcp any any range 137 139
(config)# access-list 101 deny tcp any range 137 139 any
(config)# access-list 101 deny udp any any range netbios-ns netbios-ss
(config)# access-list 101 deny udp any range netbios-ns netbios-ss any
(config)# access-list 101 deny tcp any any eq 445
(config)# access-list 101 deny tcp any eq 445 any
(config)# access-list 101 deny udp any any eq 445
(config)# access-list 101 deny udp any eq 445 any
(config)# access-list 101 deny tcp any any eq telnet
(config)# access-list 101 permit ip any any

・試験的にインターネット側インターフェースのインバウンドに適用
(config)# int f 1
(config-if)# ip access-group 101 in


6.設定の保存
# copy running-config startup-config


細かい調整や、sshなどの設定は後ほどやってみます!