ひょんなことから入手した CISCO 製ルータ 2514 を自宅ネットワークに導入する。 こうなると本格的なサーバシステムという感じがするが、実はトンデモ系かも知れない。
そもそもの始まりは勤務先の近所にあるコンピュータショップのジャンクセールで CISCO 2514 を見つけたことだ。 この機種は小規模オフィスなどでのリモートアクセス用という位置付けで普通に買えばン十万円という製品である。 専用線などで使う同期シリアルとLAN用のEthernetポートがそれぞれ2系統ずつあるので、インターネットゲートウェイ/ファイアウォールを構成するのに適している。 同期シリアルポートは自宅の ADSL インターネット接続では無用の長物であるが、LAN ポートが二つあるので公開サーバ用のスクリーニング・ルータとして使おうという腹である。 自宅のサーバシステムは ADSL ルータ(Prestige 314)の SUA 機能を用いてサーバ公開をしていて、特定ポートのみアクセスを許可しているが、 公開ポートについて更に細かなフィルタ設定をするとなると色々と制限があるのだ。 クライアント機のセキュリティは ADSL ルータの NAT 機能である程度確保されているので、公開サーバのみをスクリーニングの対象としたい。
CISCO 2500 シリーズ製品カタログ http://www.cisco.com/japanese/warp/public/3/jp/product/catalog/2500/catalog.html
CISCO のルータは IOS というオペレーティングシステムで管理されていて、これもまた結構厄介な代物だ。 IOS を自在に使いこなすことができれば、それだけでもネットワークエンジニアとして食べていける、かも知れない。 CISCO の技術者認定資格で CCNA というのがあり、Oracle なんとか Microsoft なんとかと一緒で受講料、受験料はとても高い。 私はこの手の企業認定資格の類は大嫌いだ。 それはともかく、最初の課題は搭載されているこの IOS の種類を知りルータの再設定をすることである。
と意気込んでみたものの、その前に色々と下準備が必要だ。 まず、LAN ポートは 10BASE-5 の AUI なので 10BASE-T のネットにつなぐための変換アダプタ、通称 MAU が要る。 これは知人から譲って貰うことが出来た。 それから、設定コンソール用のシリアルポートは 10BASE-T と同型の RJ45 なので、これを DSUB-9 に変換するアダプタも要る。 こちらは東京出張の折りにぷらっとホームで購入。 この RJ-45 / DB-9 変換アダプタはピンアサインは自由に設定できるもので、パッケージには CISCO ルータに使用するコンソールのための配線例も記載されているのが助かる。 例によって純正品はとても高価である。
COREGA MAU5T http://www.corega.co.jp/product/list/others/mau5t.htm CentreCOM 210T/210TS http://www.allied-telesis.co.jp/products/product/trans/210t/ PLATHOME PMAK-9F/RJ45 (DB-9メス/RJ-45メス変換アダプタ) http://online.plathome.co.jp/cgi-bin/details.phtml?scd=12220198 ソフトバンク パブリッシング Cisco ルータ設定ガイド 第二版 http://books.softbank.co.jp/bm_detail.asp?sku=4797313137
あれこれ小物やら参考書などを仕入れると結構高い買い物になってしまった。 これだからプロ用機器は侮れない。
中古品ということは何処ぞで使用されていたわけで、既になんらかの設定がされている訳だ。 IP アドレスの設定もわからないとなると、シリアルコンソール経由で操作するしかない。 コンソールから各種設定のため管理モードに移行するにはパスワードが必要になるのだが、当然ながらそんなものは判らない。 というわけで下記のページで説明されている方法で強制的に初期化を試みる。 そこにも書かれている通り無保証なので、同じように実行して失敗しても私や紹介サイトの管理人に文句は言わないように。
CISCO 2500の初期状態への復帰 http://www.cisco.com/japanese/warp/public/3/jp/service/tac/474/pswdrec_2500-j.html [2004.07.15] CISCO のサイトに情報がありました。
さて IOS の種類は。
C2514#show version
Cisco Internetwork Operating System Software
IOS (tm) 3000 Software (IGS-I-L), Version 10.3(8), RELEASE SOFTWARE (fc2)
Copyright (c) 1986-1995 by cisco Systems, Inc.
Compiled Thu 14-Dec-95 18:54 by mkamson
Image text-base: 0x0301B080, data-base: 0x00001000
ROM: System Bootstrap, Version 5.2(8a), RELEASE SOFTWARE
ROM: 3000 Bootstrap Software (IGS-RXBOOT), Version 10.2(8a), RELEASE SOFTWARE (f
c1)
C2514 uptime is 25 minutes
System restarted by reload
System image file is "flash:igs-i-l.103-8", booted via flash
cisco 2500 (68030) processor (revision D) with 1024K/1024K bytes of memory.
Processor board serial number 02406744
Bridging software.
X.25 software, Version 2.0, NET2, BFE and GOSIP compliant.
2 Ethernet/IEEE 802.3 interfaces.
2 Serial network interfaces.
32K bytes of non-volatile configuration memory.
4096K bytes of processor board System flash (Read ONLY)
Configuration register is 0x2102
C2514#
| LINE(Internet)
+-------+--------+
| ADSL modem |
| [ LAN ] |
+-------+--------+
| 10BASE-T(PPPoE)
+-------+--------+
| [ WAN ] |
| Prestige 314 |
| [ LAN ] |
+-------+--------+
| 192.168.1.1
| 192.168.1.0/24
--------+------+-------------------------+-------------------
| |
|0.0.0.0 |192.168.0.3〜
+--------+--------+ +-------+---------+
| [ LAN1 ] | | クライアント機 |
| CISCO 2514 | +-----------------+
| [ LAN2 ] |
+--------+--------+
|0.0.0.0
|
-----------------+--------------------------+-------------
|
|192.168.1.2
+--------+--------+
| 公開サーバ |
+-----------------+
この図を見て、すぐに気付かれた方も多いと思うが、通常のファイアウォールとは公開サーバとクライアント機の位置が逆である。 一般的なファイアウォール構成ではインターネット側のセグメントは DMZ として、ここに公開サーバやアプリケーションゲートウェイ(proxy)を設置するのだ。 もちろん公開サーバと同じセグメントにクライアント機を置いても良いが、個人使用での利便性を優先している。 この辺りが個人使用ならではのアンビバレンツなところ。
ルータの両側は別々のネットワークグループとするのが一般的であるが、そうすると Prestige 314 の SUA(NAT) 機能が使えなくなってインターネットとの接続ができない可能性がある(未確認)。 元々スクリーニングを導入する必要性が薄いので、こうしておけば現在の ADSL ルータと公開サーバ機などの設定を一切変更せずに導入できるというのがみそだ。 要するに真面目には考えていないのだ。
スクリーニングのために IP フィルター機能を持つブリッジとして設定する。
CISCO 2514 を Bridge として使う。 http://www.austin.cc.tx.us/knalty/AdvNets/Lab05.html
ブリッジとするには、この例の通りにおこなえばよい筈なのであるが、うまくゆかない。 "bridge crb" というコマンドが通らないのだ。 例では IOS 11.0 であるが、手元のものは 10.3 という違いであろうか。
ここまでうまくゆけば残るは IP フィルターであるが、ブリッジ設定でも可能なのかな。
というわけで以下続く。
[2003.03.23]
実は未だに有効活用できていません。
どなたか IOS の新しい版を安価に譲って下さる奇特な方は居られないでしょうか。
[2004.06.28]
新版の IOS 入手の目処がつきません。この機械を有効利用して貰える方に譲ります。希望される方はメールで御連絡ください。
[2004.07.07]
希望者が現れまして、この機械は私の手元を離れることになりました。