IX2015でブロードバンドルーター

IX2015

今回L2TP/IPSecのVPN環境を作るためにNECのIX2015を召喚。とりあえずIX2015にはPPPoEをさせて所謂ブロードバンドルーター化します。
NEC IX2015はかなり古い機種ですが、リース上がりの出物が多いので2014年12月の現在でも中古市場には出回っている筈。
シリーズも健在で、基本的に設定方法自体は同じなので機種が違っても大体同じような設定で行ける筈。

IX2015(IXシリーズ)は業務用なので家庭用ルーターのように優しくできていません。
そもそも初期状態だと、どのNWポートにもIPアドレスすら振られていないので何の動作もしません。
先ずは本体正面左寄りにあるディップスイッチの4番(一番右)をON(下)にしてから電源を入れます。
(直ぐにでも構わないでしょうが念の為に)1分程度待ってから電源をOFFします。
ディップスイッチの4番をOFF(上)にしてから電源を入れます。ディップスイッチ1〜3番は基本的に常時OFF(上)。
これで設定初期化完了。
設定用コンソールケーブルをディップスイッチの左にあるCONSOLEポートに繋ぎ、対向をPCのシリアルポート(RS232C DSUB 9pinコネクタ)に繋ぎます。
見た目はLANポートですが、電気的に違うものなのでLANケーブルでPCのLANポートに繋がないこと。写真に写っている灰色のケーブルがそれです。
最近はシリアルポート付いていないPCが増えていますが、その様な場合はRS232C-USB変換アダプタを咬ませます。
PC側はWindowsでもLinuxでも何でも良いのでシリアル通信のできるアプリを起動し、通信条件9600/8/N/1で接続。(WindowsだとターミナルやTeraTermなど)

FreeBSDから操作する場合はこんなの。

%cu -l /dev/cuau0 -s 9600

[Enter]キーを2,3回叩くとピロピロっとix2015のメッセージが表示される筈。
ちなみに通信終了する場合は「~.」。

操作方法

「enable-config」で設定モードへ。
階層に入る場合はインターフェース名など階層名を入力。
階層を上がるのは「exit」。
設定を間違った場合は「no」+「空白」の後に取り消したい設定行を丸ごと書く。
設定を保存(確定)する場合は「write memory」。(設定モードで)
設定を表示させる場合は「show config」。(設定モードで)
IX2015を再起動させる場合は一番上の階層で「restart」。
階層毎に入力できるコマンド/設定が限られるので注意。

インターフェースですが、本体正面ディップスイッチの右隣りのNWポートがFastEthernet0/0.0
その右がFastEthernet0/1.0
更にお隣の4ポートはHUBになっていてFastEthernet1/0.0。
されぞれのインターフェースにPPPoEだの何だのと追加するときに末尾に数字を増やして行きます。
なので一番左のFastEthernet0/0でPPPoEをやる場合はPPPoEのインターフェースはFastEthernet0/0.1になります。
IXシリーズのギガビット対応機種の場合は「FastEthernet0/0」が「GigaEthernet0」になる等の若干の違いがあります。
今回は一番左のFastEthernet0/0でPPPoEを(WAN側)、右隣りのFastEthernet0/1をLocal Net(LAN側)とします。内蔵のHUBは(100Mbpsと遅いので)使いません。

LAN内からIX2015にアクセスできるようにします。
先ずは「enable-config」で設定モードに。

ip access-list lan-allow permit ip src 192.168.0.0/24 dest any

arp auto-refresh

interface FastEthernet0/1.0
ip address 192.168.0.1/24 
no shutdown
exit

telnet-server ip enable
telnet-server ip access-list lan-allow

http-server username admin
http-server ip access-list lan-allow
http-server ip enable

write memory
exit
restart

1行目: lan-allowというラベルでアクセスリストを作成します。192.168.0.0/24を発信元とするアクセスの全てを許可する内容。
3行目: arpを自動更新。
5行目: FastEthernet0/1.0インターフェースの設定階層に入る。
6行目: IPアドレスの設定。サブネットは24ビット(255.255.255.0)。
7行目: インターフェースの有効化。
8行目: FastEthernet0/1.0階層を抜ける
10行目: IX2015のTelnetサーバを有効にする。(Telnetで設定可能になる)
11行目: Telnetサーバへのアクセスにlan-allowアクセスリストを適用する。
13行目: IX2015のウェブ画面のログインIDを「admin」にする。
14行目: HTTPサーバへのアクセスにlan-allowアクセスリストを適用する。
15行目: IX2015のHTTPサーバを有効にする。(IX2015のウェブ画面を見ることが可能になる)
17行目: 設定を保存(確定)する。
18行目: 設定モードを抜ける。
19行目: 再起動する。なお、これだけなら本当は再起動不要です。

これで必要最小限の設定が完了。
telnetでアクセス可能になったのでシリアル通信はもう不要です。
また、IX2015のウェブ画面も閲覧できます。ウェブからは設定の取得や流し込み、再起動程度しかできませんが。

引き続き、PPPoEの設定を追加します。

ip route default FastEthernet0/0.1
ip access-list spoof-list deny ip src 0.0.0.0/8 dest any
ip access-list spoof-list deny ip src 10.0.0.0/8 dest any
ip access-list spoof-list deny ip src 127.0.0.0/8 dest any
ip access-list spoof-list deny ip src 169.254.0.0/16 dest any
ip access-list spoof-list deny ip src 172.16.0.0/12 dest any
ip access-list spoof-list deny ip src 192.0.2.0/24 dest any
ip access-list spoof-list deny ip src 192.168.0.0/16 dest any
ip access-list spoof-list deny ip src 224.0.0.0/4 dest any
ip ufs-cache max-entries 12000
ip ufs-cache enable
proxy-dns ip enable
proxy-dns interface FastEthernet0/0.1 priority 200

ppp profile provider
authentication myname abc123456@example.jp
authentication password abc123456@example.jp himitsu
exit

interface FastEthernet0/0.1
encapsulation pppoe
auto-connect
ppp binding provider
ip address ipcp
ip mtu 1454
ip tcp adjust-mss 1414
ip napt enable
ip filter spoof-list 50 in
no shutdown
exit

write memory
exit
restart

接続されたPPPoEの状態を確認するなら

show ip address FastEthernet0/0.1

接続状態がこのように表示されます。

Interface FastEthernet0/0.1 is up, line protocol is up
  Internet address is xxx.xxx.xxx.xxx/32
  Broadcast address is 255.255.255.255
  Peer address is yyy.yyy.yyy.yyy
  Address determined by IPCP
  Primary DNS server is zzz.zzz.zzz.zz1
  Secondary DNS server is zzz.zzz.zzz.zz2
ix2015(config)#