crashRT のブログ

技術とかそれ以外とか

cisco 891FJ を使ってみた

Network 自宅サーバー

ヤフオクcisco 891FJを買ったので,設定とか構築したネットワークとかについて雑に残してみる.

構築したネットワーク

今回,画像の図のようなネットワークを構築することにした.

契約している回線がちょっと変わっているがあまり細かいことを考えたくなかったので, プロバイダと接続している部分は普通の家庭用ルーターを置き,その下で色々構築することにした.

自宅サーバーと個人用のものでネットワークを分けたかったため,次のように VLAN を分けることにした.

  • VLAN 100 (192.168.1.0/24) : インターネットと接続する外側の部分.NW機器が所属
  • VLAN 200 (192.168.2.0/24) : 個人用のネットワーク.生活用PCやスマホなどが所属.
  • VLAN 1100 (192.168.11.0/24) : サーバー用ネットワークでDMZ.外部に公開するサーバーのみが所属. ACLでVLAN 200への通信を遮断する.

物理的な配置の関係で内側に置きたいNASがサーバーと同じスイッチに繋がっているので,C891FJとAT-x210の間はtrunk vlanで接続することにした.

また,C891FJをDHCPサーバーにすることもできたので,スマホなどへはDHCPでアドレスを配ることにした.

このような構成で自宅のネットワークを構築することにした.

コンソールケーブルで接続

crashrt.hatenablog.com

の時と同じく,以下のコンソールケーブルを使用して接続した.

https://www.amazon.co.jp/gp/product/B01F05XLDM/

初期設定

まず,ホスト名前やユーザー名,パスワードの設定を行う.

(config)#hostname
(conig)#enable secret
(config)#enable password
(config)#service password-encryption
(config)#username password

アドレスの設定

VLANを定義する.

(config)# vlan 100
(config-vlan)# name public

その後,SVIの設定をした.

(config)# interface vlan 100
(config-if)# ip address 192.168.1.2 255.255.255.0
(config-if)# no shutdown

他のVLANに関しても設定した後の状態は以下のとおりである. VLAN-IDに1100を設定するには vtp mode transparent を実行しVTPモードをトランスペアレントにする必要がある.*1 VTPでVLANの設定を同期できなくなるが,この機能は使わない予定なのでこれで進める.

vlan 100
 name public
!
vlan 200
 name private
!
vlan 1100
 name server
interface Vlan100
 ip address 192.168.1.2 255.255.255.0
!
interface Vlan200
 ip address 192.168.2.1 255.255.255.0
!
interface Vlan1100
 ip address 192.168.11.1 255.255.255.0

また,各ポートにVLANを割り当てた.

アクセスポートの場合

(config-if)# switchport mode access
(config-if)# switchport access vlan 100

トランクポートの場合

(config-if)# switchport mode trunk
(config-if)# switchport trunk encapsulation dot1q
(config-if)#switchport trunk allowed vlan add 100,200,1100

これでC891FJがIPアドレスを持つことができた.

SSH

IPアドレスでC891FJにアクセスできるようになったので,SSHで繋げるように設定する.

まず,VTYの設定を変更してSSHで接続できるようにする.

(config)# line vty 0 4
(config-line)# transport input ssh

SSHしようとすると以下のように表示された.

ssh 192.168.2.1
Unable to negotiate with 192.168.2.1 port 22: no matching key exchange method found. Their offer: diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1

ので,.ssh/config のこのC891FJの部分に以下の行を追記すると接続できるようになった.(公開鍵の登録はしていないのでパスワードの入力が必要)

Host m891fj
    User .....
    Hostname 192.168.2.1
    KexAlgorithms +diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1

インターネットに接続

インターネットと通信できるようにする.

まず,デフォルトルートを上流側に設定する.

(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1

その後,DNSの設定をする.

(config)#ip name-server 8.8.8.8

google.com に接続できることを確認.

milkyway#ping google.com
Translating "google.com"...domain server (192.168.1.1) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 142.250.206.238, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/7/8 ms

ACLの設定

サーバー用VLANから個人用VLANへの通信を遮断する.

次のようなACLを作成する.

(config)# access-list 100 deny   ip 192.168.11.0 0.0.0.255 192.168.2.0 0.0.0.255

そして,AT-x210と接続しているインタフェースに適用する.

(config-if)# ip access-group 100 in

機器を接続

AT-x210でVLANの設定をし,サーバー等を接続する.

まず,C891FJと接続しているインターフェースをトランクポートに設定.

(config)#vlan database
(config-vlan)#vlan 100,200,1100
(config-vlan)#exit
(config)#interface port1.0.1
(config-if)#switchport mode trunk
(config-if)#switchport trunk allowed vlan add 100,200,1100
(config-if)#exit

サーバーを接続し,接続したポートを対応するアクセスポートに設定.

(config)#int port1.0.2
(config-if)#switchport mode access
(config-if)#switchport access vlan 1100
(config-if)#exit

これでサーバーもインターネットと通信できるようになる...と思ったが,うまくいかなかった. サーバーからC891FJまでは疎通したが,その先へは疎通しなかった.

Buffaloのルーター192.168.2.0/24 192.168.11.0/24 の経路情報を持っていないのが原因だったので,ルーターの設定画面から経路情報を登録した. すると,無事サーバーもインターネットと通信できるようになった.

DHCPの設定

最後に,スマホなどの無線用にDHCPを設定する.

まず,DHCPプールの設定をする. スマホ等は個人用のVLANに所属させるので,ネットワークは192.168.2.0/24とする.

(config)# ip dhcp pool wireless
(dhcp-config)# network 192.168.2.0 255.255.255.0
(dhcp-config)# default-router 192.168.2.1
(dhcp-config)# dns-server 192.168.2.1 192.168.1.1 8.8.8.8
(dhcp-config)# lease 7

サーバー等で使うアドレスを配布されると困るので,除外する.

(config)# ip dhcp excluded-address 192.168.2.128
(config)# ip dhcp excluded-address 192.168.2.0 192.168.2.128
(config)# ip dhcp excluded-address 192.168.2.255

M891FJにAPモードにしたelecomのルーターを接続すると,無事アドレスが配布された.

最後に

ciscoルーターを使って自分の部屋のNW環境を整備してみた. ルーターをあと二つ増やしてOSPFで経路広報とかできたら楽しそうだな~ってちょっと思ってるのでいつかやりたい.

参考サイト

www.n-study.com

www.infraexpert.com

www.infraexpert.com

www.infraexpert.com

www.infraexpert.com

shinmeisha.co.jp

qiita.com

www.infraexpert.com

www.infraexpert.com

*1:この設定を行わずに使うことのできるvlan-idの範囲は2 - 1001らしい.