DHCP認証機能

$Date: 2025/07/18 15:32:42 $

概要

本機能を用いることで、あらかじめネットワーク管理者により使用を許可された端末(登録済み端末)と許可されていない端末(未登録端末)とをネットワーク上で区別し、許可の有無によってそれぞれの端末がアクセス可能なネットワークを制御することができます。
例えば、登録済み端末には社内・社外全てのネットワークへのアクセスを可能にし、未登録端末に対しては社内の特定セグメントのみへのアクセスに制限するなど、端末毎に異なるアクセス権を設定することが可能です。

端末に許可を与えるためのしくみとして、許可する端末に対して、DHCPによって割り当てられるIPアドレスをあらかじめ予約しておく方法を用います。IPアドレスの予約は、端末のMACアドレスをあらかじめルータに設定しておくことで行ないます。
また、登録済み端末と未登録端末をネットワーク上で区別するために、プライマリアドレス・セカンダリアドレスのしくみを用います。端末が接続される1つの物理ネットワークを2つの論理ネットワーク(プライマリネットワークとセカンダリネットワーク)に分割し、登録済み端末にはプライマリネットワークに対応するIPアドレスを、未登録端末にはセカンダリネットワークに対応するIPアドレスを割り当てることで、登録済み端末と未登録端末を区別します。

DHCPにより割り当てられるIPアドレスで端末の認証を行う場合、未登録端末であっても固定IPアドレスを使用してプライマリアドレスを設定することで登録済み端末と同じネットワークアクセスが可能になるという問題がありますが、本機能においては、MACアドレスを用いたイーサネットレベルでのフィルタリングを併用することでこの問題を解決しています。プライマリネットワークから送信されるパケットに対しては、送信元の端末が登録済み端末かどうかを判定してパケットのフィルタリングを行うことで、未登録端末が不正にプライマリネットワークから通信することを防ぎます。

本機能は、下記の機能を組み合わせることで実現します。

イーサネットレベルでのフィルタリング: 許可されたMACアドレスの通信のみを通過させます。
静的設定情報の他、DHCPの予約設定情報も指定することができます。
DHCPの予約設定情報を指定した場合にはMACアドレスだけでなくIPアドレスの一致もチェックします。
DHCP 予約限定機能: IPアドレスの割り当ては予約されたクライアントだけに限定することができます。
スコープ内に割り当て可能なIPアドレスがある状態でも、予約されたクライアント以外には割り当ては行われません。
通知機能: フィルタリングの結果について、ログの表示とメール通知を行います。
DHCP 状態表示、設定変換機能: 現在の割り当て情報の一覧から予約情報への設定移行変換を簡単に行うことができます。
DHCP サーバ・DHCPリレーエージェント連携機能: DHCP サーバにて設定された DHCP スコープ情報および DHCP スコープに設定されたアドレス予約情報を、DHCP リレーエージェントに通知してフィルタリングの際に参照します。

注意事項・関連文書

プライマリネットワーク・セカンダリネットワークについては、以下の文書をご参照下さい。

RTシリーズのTCP/IPに関するFAQ - プライマリアドレスとセカンダリアドレス
- http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/secondary-address.html

対応機種とファームウェアリビジョン

ヤマハ RT シリーズでは、以下の機種およびファームウェアで、DHCP 認証機能をサポートしています。

機種	ファームウエア
vRXシリーズ	すべてのリビジョン
RTX840
RTX3510
RTX1300
RTX1220
RTX830
NVR510
NVR700W
RTX1210
RTX5000
RTX3500
FWX120
RTX810
NVR500
RTX1200
SRT100
RT58i	Rev.9.01.11 以降
RTX3000	Rev.9.00.15 以降
RT107e	Rev8.03.42 以降
RTX1100/RTX1500	Rev8.03.37 以降

設定・操作方法

コマンド

設定例

[プライマリネットワークのみの設定例1] 特定の端末のみ外部との通信を許可

[概要]

各端末はDHCPクライアントとしてDHCPサーバであるルータからIPアドレスを得る
DHCPサーバでは特定の端末に対して与えるIPアドレスを予約する
特定の端末以外にはIPアドレスを与えない
特定の端末以外の外部への通信を遮断する

[構成図]

               172.16.1.0/24
      ┌─┐        │
 端末A│○＋────＋
      └─┘        │
 00:a0:de:01:02:03  │
 172.16.1.2を与える │
                    │
      ┌─┐        │
 端末B│○＋────＋
      └─┘        │
 00:a0:de:11:12:13  │      ┌───┐   外部ネットワークへ
 172.16.1.3を与える ＋───＋ルータ＋────→
                    │  lan1└───┘
      ┌─┐        │      DHCPサーバ
 端末C│○＋────＋
      └─┘        │
 00:a0:de:21:22:23  │
 172.16.1.4を与える │
                    │
      ┌─┐        │
      │×＋────＋
      └─┘        │
      その他
 外部へのアクセスを禁止

[設定手順]

# ethernet filter 1 pass-nolog dhcp-bind 1
# ethernet lan1 filter in 1
# dhcp service server
# dhcp scope lease type 1 bind-only
# dhcp scope 1 172.16.1.2-172.16.1.127/24
# dhcp scope bind 1 172.16.1.2 ethernet 00:a0:de:01:02:03
# dhcp scope bind 1 172.16.1.3 ethernet 00:a0:de:11:12:13
# dhcp scope bind 1 172.16.1.4 ethernet 00:a0:de:21:22:23

[解説]

# ethernet filter 1 pass-nolog dhcp-bind 1
# ethernet lan1 filter in 1
送信元MACアドレスとIPアドレスがDHCP予約設定に一致するパケットのみを通過させます。
# dhcp service server
DHCPサーバとして機能させます。
# dhcp scope lease type 1 bind-only
スコープ1の範囲内のIPアドレスに空きがあったとしても、予約されたクライアント以外にはIPアドレスを割り当てません。
# dhcp scope 1 172.16.1.2-172.16.1.127/24
DHCPサーバとしてクライアントに与えるアドレス範囲を設定します。
# dhcp scope bind 1 172.16.1.2 ethernet 00:a0:de:01:02:03
# dhcp scope bind 1 172.16.1.3 ethernet 00:a0:de:11:12:13
# dhcp scope bind 1 172.16.1.4 ethernet 00:a0:de:21:22:23
端末A/B/CにIPアドレスの割り当てを予約します。

[プライマリネットワークのみの設定例2] 許可されていない端末の通信を検知したらメールで通知

[概要]

ルータのLAN1のフィルタリングに静的設定を行う
端末A/B/C以外の端末からアクセスがあったら、mx.example.co.jp 経由でメール通知を行う

[構成図]

               172.16.1.0/24
      ┌─┐        │
 端末A│○＋────＋
      └─┘        │
 00:a0:de:01:02:03  │
                    │
      ┌─┐        │
 端末B│○＋────＋
      └─┘        │
 00:a0:de:11:12:13  │      ┌───┐   外部ネットワークへ
                    ＋───＋ルータ＋────→
                    │  lan1└＋──┘
      ┌─┐        │        │
 端末C│○＋────＋    ──＋─＋──
      └─┘        │            │ mx.example.co.jp
 00:a0:de:21:22:23  │      ┌──＋───┐
                    │      │メールサーバ│
      ┌─┐        │      └──────┘
      │×＋────＋
      └─┘        │
      その他
 外部へのアクセスを禁止

[設定手順]

# ethernet filter 1 pass-nolog 00:a0:de:01:02:03
# ethernet filter 2 pass-nolog 00:a0:de:11:12:13
# ethernet filter 3 pass-nolog 00:a0:de:21:22:23
# ethernet filter 100 reject-log *
# ethernet lan1 filter in 1 2 3 100
# mail server smtp 1 mx.example.co.jp
# mail template 1 1 From:filter@rtx1500 To:admin@example.co.jp
# mail notify 1 1 trigger filter ethernet lan1 in

[解説]

# ethernet filter 1 pass-nolog 00:a0:de:01:02:03
# ethernet filter 2 pass-nolog 00:a0:de:11:12:13
# ethernet filter 3 pass-nolog 00:a0:de:21:22:23
端末A/B/Cからのパケットを通過させるためのフィルタ定義を設定します。
# ethernet filter 100 reject-log *
メール通知用にログ出力するフィルタ定義を設定します。
# ethernet lan1 filter in 1 2 3 100
LAN1から受信するパケットに対して各定義を適用します。
# mail server smtp 1 mx.example.co.jp
# mail template 1 1 From:filter@rtx1500 To:admin@example.co.jp
メール通知で使用するSMTPサーバおよびヘッダ情報を設定します。
# mail notify 1 1 trigger filter ethernet lan1 in
メール通知するトリガとしてLAN1の受信方向のフィルタを設定します。

[プライマリネットワークのみの設定例3] 現在の DHCP のアドレス割り当て情報から DHCP の予約設定を作成

[概要]

各端末はDHCPクライアントとしてDHCPサーバであるルータからIPアドレスを得る
ある時点の割り当て情報を利用して特定の端末に与えるIPアドレスを予約する
特定の端末以外にはIPアドレスを与えない
特定の端末以外の外部への通信を遮断する

[構成図]

               172.16.1.0/24
      ┌─┐        │
 端末A│○＋────＋
      └─┘        │
 00:a0:de:01:02:03  │
 172.16.1.2を与える │
                    │
      ┌─┐        │
 端末B│○＋────＋
      └─┘        │
 00:a0:de:11:12:13  │      ┌───┐   外部ネットワークへ
 172.16.1.3を与える ＋───＋ルータ＋────→
                    │  lan1└───┘
      ┌─┐        │      DHCPサーバ
 端末C│○＋────＋
      └─┘        │
 00:a0:de:21:22:23  │
 172.16.1.4を与える │
                    │
      ┌─┐        │
      │×＋────＋
      └─┘        │
      その他
 外部へのアクセスを禁止

[設定手順]

# dhcp service server
# dhcp scope 1 172.16.1.2-172.16.1.127/24
# show status dhcp summary 1
DHCPスコープ番号: 1
  1:        172.16.1.2:  00:a0:de:01:02:03, hostname_A
  2:        172.16.1.3:  00:a0:de:11:12:13, hostname_B
  3:        172.16.1.4:  00:a0:de:21:22:23, hostname_C
  4:        172.16.1.5:  00:a0:de:31:32:33, hostname_D
  5:        172.16.1.6:  00:a0:de:41:42:43, hostname_E
# dhcp convert lease to bind 1 1 2 3
# dhcp scope lease type 1 bind-only
# ethernet filter 1 pass-nolog dhcp-bind 1
# ethernet lan1 filter in 1

[解説]

# dhcp service server
DHCPサーバとして機能させます。
# dhcp scope 1 172.16.1.2-172.16.1.127/24
DHCPサーバとしてクライアントに与えるアドレス範囲を設定します。
この後、各端末でIPアドレスを取得するなどしてDHCPサーバがクライアントの割り当て情報を管理できるようにします。

# show status dhcp summary 1
クライアントに割り当てたIPアドレス情報の概要を表示します。

   # show status dhcp summary 1
   DHCPスコープ番号: 1
     1:        172.16.1.2:  00:a0:de:01:02:03, hostname_A
     2:        172.16.1.3:  00:a0:de:11:12:13, hostname_B
     3:        172.16.1.4:  00:a0:de:21:22:23, hostname_C
     4:        172.16.1.5:  00:a0:de:31:32:33, hostname_D
     5:        172.16.1.6:  00:a0:de:41:42:43, hostname_E

# dhcp convert lease to bind 1 1 2 3
表示1,2,3番の割り当て情報を予約設定に移行します。
例えばこの場合、1番の割り当て情報からは
dhcp scope bind 1 172.16.1.2 ethernet 00:a0:de:01:02:03
のコマンドが作成されます。
なおこのコマンドはコマンド実行時点での割り当て情報を元に予約設定を作成します。
サマリ表示からこの変換コマンドの実行までに時間が経過した場合には、本コマンド実行後に意図したペアの予約が作成されていることを show config で確認してください。
# dhcp scope lease type 1 bind-only
スコープ1の範囲内のIPアドレスに空きがあったとしても、予約されたクライアント以外にはIPアドレスを割り当てません。
# ethernet filter 1 pass-nolog dhcp-bind 1
# ethernet lan1 filter in 1
LAN1 から入ってきたパケットについて、送信元MACアドレスとIPアドレスがDHCP予約設定に一致するパケットのみを通過させます。

[セカンダリネットワークを用いた設定例1] インターネットアクセス

[概要]

登録されている端末(端末1)をプライマリネットワークに配置
- 端末1からの通信はフィルタリング無し
登録されていない端末(端末2)をセカンダリネットワークに配置
- 端末2からは社内の特定のネットワーク(192.168.100.0/24)にのみアクセス可能
- 登録されていない端末にも必要最低限の社内アクセスを可能にする
登録されていない端末(端末3)が固定IPでプライマリネットワークに接続された場合
- 端末3からの通信をすべて遮断
登録されていない端末が唯一アクセスできるネットワークとして、192.168.100.0/24 を配置
- 例えば、ここに、メールサーバ・社内向けWebサーバを置いておけば、業務に最低限必要な情報や、システム管理者からのメッセージを受け取ることができる。
ルータAは DHCP サーバとして動作

[構成図]

           (primary) 192.168.0.0/24
         (secondary) 172.16.0.0/24
                    |
    +-------+       |
    | 端末1 +-------+
    +-------+       |
00:a0:de:01:02:03   |
 primary address    |
     (DHCP)         |
                    |
    +-------+       |
    | 端末2 +-------+
    +-------+       |
00:a0:de:11:12:13   |
secondary address   |        192.168.100.0/24
     (DHCP)         |               |
                    |               |
    +-------+       |               |
    | 端末3 +-------+               | lan3
    +-------+       |               | 192.168.100.1/24
00:a0:de:21:22:23   |            +--+------+
  192.168.0.200     +------------+ ルータA +-----------> 外部ネットワークへ
     (固定IP)       |       lan1 +---------+ lan2
                     (primary) 192.168.0.1/24
                   (secondary) 172.16.0.1/24

[設定手順]

(WAN側の設定は省略)

(ルータA)
# ip lan1 address 192.168.0.1/24
# ip lan1 secondary address 172.16.0.1/24
# ip lan3 address 192.168.100.1/24
# dhcp service server
# dhcp scope 1 192.168.0.2-192.168.0.5/24
# dhcp scope 2 172.16.0.2-172.16.0.5/24
# dhcp scope bind 1 192.168.0.2 ethernet 00:a0:de:01:02:03
# dhcp scope lease type 1 bind-only fallback=2
# ip filter 1 pass-nolog 192.168.0.0/24 *
# ip lan2 secure filter out 1
# ethernet filter 1 reject-log dhcp-not-bind 192.168.0.1
# ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
# ethernet lan1 filter in 1 2

[解説]

# ip lan1 address 192.168.0.1/24
# ip lan1 secondary address 172.16.0.1/24
LAN側(lan1ポート)のプライマリアドレスとセカンダリアドレスを設定します。
# ip lan3 address 192.168.100.1/24
LAN側(lan3ポート)のIPアドレスを設定します。
# dhcp service server
DHCPサーバとして機能させます。
# dhcp scope 1 192.168.0.2-192.168.0.5/24
# dhcp scope 2 172.16.0.2-172.16.0.5/24
プライマリ・セカンダリネットワークに対する DHCP スコープを定義します。
gateway パラメータを省略しているので、ゲートウェイアドレスとしてはそれぞれルータのIPアドレスが通知されます。
# dhcp scope bind 1 192.168.0.2 ethernet 00:a0:de:01:02:03
プライマリネットワークのDHCPスコープ(DHCPスコープ番号1)に、端末1のIPアドレスを予約します。
# dhcp scope lease type 1 bind-only fallback=2
プライマリネットワークのDHCPスコープ(DHCPスコープ番号1)においてアドレスが予約されている端末には、予約済みのアドレスを割り当てます。
スコープ1からのアドレス割り当てに失敗した場合、スコープ2からの割り当てを試みます。
# ip filter 1 pass-nolog 192.168.0.0/24 *
# ip lan2 secure filter out 1
プライマリネットワークからのパケットのみを外部ネットワークへ通過させます。
# ethernet filter 1 reject-log dhcp-not-bind 192.168.0.1
# ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
# ethernet lan1 filter in 1 2
プライマリネットワークからのパケットについては、dhcp scope bind コマンドで予約されていない端末からのパケットを破棄します。
プライマリネットワーク以外からのパケットについては全てを通過させます。

[参考]

セカンダリネットワーク(172.16.0.0/24)からプライマリネットワーク(192.168.0.0/24)へのアクセスも禁止したい場合には、IPフィルタの設定を以下のように変更します。
この場合、セカンダリネットワークからルータAへ届く DHCP パケットをフィルタリングしないように注意が必要です。

# ip filter 1 pass-nolog 172.16.0.0/24 192.168.100.0/24 *
# ip filter 2 pass-nolog 192.168.0.0/24 *
# ip filter 3 pass-nolog 0.0.0.0 *
# ip filter 4 pass-nolog 172.16.0.0/24 172.16.0.1 *
# ip lan1 secure filter in 1 2 3 4

[セカンダリネットワークを用いた設定例2] インターネットVPN

[概要]

拠点1・拠点2・センターの3地点構成
センター・各拠点間はインターネットVPNで接続
端末の登録はセンター側のルータで一括管理
各拠点及びセンターにおいて、登録されている端末(端末A1・端末B1・端末C1)をプライマリネットワークに配置
- 登録されている端末からの通信はフィルタリング無し
各拠点及びセンターにおいて、登録されていない端末(端末A2・端末B2・端末C2)をセカンダリネットワークに配置
- 登録されていない端末からは社内の特定のネットワーク(192.168.200.0/24)にのみアクセス可能
各拠点及びセンターにおいて、登録されていない端末(端末A3・端末B3・端末C3)が固定IPでプライマリネットワークに接続された場合
- これらの端末からの通信をすべて遮断
センターに、登録されていない端末が唯一アクセスできるネットワークとして、192.168.200.0/24 を配置
- 例えば、ここに、メールサーバ・社内向けWebサーバを置いておけば、業務に最低限必要な情報や、システム管理者からのメッセージを受け取ることができる。
ルータA・ルータBは DHCP リレーエージェントとして動作
ルータCは DHCP サーバとして動作

[構成図]

(p): primary
(s): secondary
                                                (p) 192.168.0.0/24
                                                (s) 192.168.100.0/24
                                                           |
                                         +--------+        |
                                         | 端末C1 +--------+
                                         +--------+        |
                                      00:a0:de:61:62:63    |
                                       primary address     |
                                                           |
                                         +--------+        |
                                         | 端末C2 +--------+
                                         +--------+        |
                                      00:a0:de:71:72:73    |
                                      secondary address    |
         (p) 192.168.1.0/24                (DHCP)          |
         (s) 192.168.101.0/24                              |
                    |                    +--------+        |
   +--------+       |                    | 端末C3 +--------+
   | 端末A1 +-------+                    +--------+        |
   +--------+       |                 00:a0:de:81:82:83    |
00:a0:de:01:02:03   |                   192.168.0.200      |
 primary address    |                     (固定IP)         |
     (DHCP)         |                                      |
                    |                                      |
   +--------+       |                 (p) 192.168.0.1/24   |
   | 端末A2 +-------+                 (s) 192.168.100.1/24 |   192.168.200.0/24
   +--------+       |                                 lan1 |          |
00:a0:de:11:12:13   |                                 +----+----+     |
secondary address   |                      (センター) | ルータC +-----+
     (DHCP)         |                                 +----+----+ lan3
                    |                                 lan2 |      192.168.200.1/24
   +--------+       |                                      |
   | 端末A3 +-------+                                      |
   +--------+       |          (拠点1)                /----+---\
00:a0:de:21:22:23   |            +---------+          |        |
  192.168.1.200     +------------+ ルータA +----------+        |
    (固定IP)        |       lan1 +---------+ lan2     |        |
                     (p) 192.168.1.1/24               |        |
                     (s) 192.168.101.1/24             |        |
                                                      |        |
                                                      |        |
                                                      |        |
         (p) 192.168.2.0/24                           |        |
         (s) 192.168.102.0/24                         |        |
                    |                                 |        |
   +--------+       |                                 |        |
   | 端末B1 +-------+                                 |  VPN   |
   +--------+       |                                 | tunnel |
00:a0:de:31:32:33   |                                 |        |
 primary address    |                                 |        |
     (DHCP)         |                                 |        |
                    |                                 |        |
   +--------+       |                                 |        |
   | 端末B2 +-------+                                 |        |
   +--------+       |                                 |        |
00:a0:de:41:42:43   |                                 |        |
secondary address   |                                 |        |
     (DHCP)         |                                 |        |
                    |                                 |        |
   +--------+       |                                 |        |
   | 端末B3 +-------+                                 |        |
   +--------+       |         (拠点2)                 |        |
00:a0:de:51:52:53   |            +---------+          |        |
  192.168.2.200     +------------+ ルータB +----------+        |
    (固定IP)        |       lan1 +---------+ lan2     |        |
                     (p) 192.168.2.1/24               \--------/
                     (s) 192.168.102.1/24

[設定手順]

(それぞれWAN側の設定は省略)

(ルータA)

# ip lan1 address 192.168.1.1/24
# ip lan1 secondary address 192.168.101.1/24
# dhcp service relay
# dhcp relay server 192.168.0.1
# ip filter 1 pass-nolog 192.168.101.0/24 192.168.200.0/24
# ip filter 2 pass-nolog 192.168.1.0/24 *
# ip lan2 secure filter out 1 2
# ethernet filter 1 reject-log dhcp-not-bind 192.168.1.1
# ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
# ethernet lan1 filter in 1 2


(ルータB)

# ip lan1 address 192.168.2.1/24
# ip lan1 secondary address 192.168.102.1/24
# dhcp service relay
# dhcp relay server 192.168.0.1
# ip filter 1 pass-nolog 192.168.102.0/24 192.168.200.0/24
# ip filter 2 pass-nolog 192.168.2.0/24 *
# ip lan2 secure filter out 1 2
# ethernet filter 1 reject-log dhcp-not-bind 192.168.2.1
# ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
# ethernet lan1 filter in 1 2


(ルータC)

# ip lan1 address 192.168.0.1/24
# ip lan1 secondary address 192.168.100.1/24
# ip lan3 address 192.168.200.1/24
# dhcp service server

# dhcp scope 1 192.168.1.2-192.168.1.5/24 gateway 192.168.1.1
# dhcp scope 2 192.168.101.2-192.168.101.5/24 gateway 192.168.101.1
# dhcp scope bind 1 192.168.1.2 ethernet 00:a0:de:01:02:03
# dhcp scope lease type 1 bind-only fallback=2

# dhcp scope 3 192.168.2.2-192.168.2.5/24 gateway 192.168.2.1
# dhcp scope 4 192.168.102.2-192.168.102.5/24 gateway 192.168.102.1
# dhcp scope bind 3 192.168.2.2 ethernet 00:a0:de:31:32:33
# dhcp scope lease type 3 bind-only fallback=4

# dhcp scope 5 192.168.0.2-192.168.0.5/24 gateway 192.168.0.1
# dhcp scope 6 192.168.100.2-192.168.100.5/24 gateway 192.168.100.1
# dhcp scope bind 5 192.168.0.2 ethernet 00:a0:de:61:62:63
# dhcp scope lease type 5 bind-only fallback=6

# ip filter 1 pass-nolog 192.168.0.0/24 *
# ip lan2 secure filter out 1
# ethernet filter 1 reject-log dhcp-not-bind 192.168.0.1
# ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
# ethernet lan1 filter in 1 2

[解説]

(ルータA)

# ip lan1 address 192.168.1.1/24
# ip lan1 secondary address 192.168.101.1/24
LAN側(lan1)のプライマリアドレスとセカンダリアドレスを設定します。
# dhcp service relay
# dhcp relay server 192.168.0.1
DHCPリレーエージェントとして動作させます。
センター側のルータをDHCPサーバに指定します。
# ip filter 1 pass-nolog 192.168.101.0/24 192.168.200.0/24
# ip filter 2 pass-nolog 192.168.1.0/24 *
# ip lan2 secure filter out 1 2
セカンダリネットワークからのパケットは、192.168.100.0/24 へ向かうパケットのみを通過させます。
プライマリネットワークからのパケットは全て通過させます。
# ethernet filter 1 reject-log dhcp-not-bind 192.168.1.1
# ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
# ethernet lan1 filter in 1 2
プライマリネットワークからのパケットについては、センター側の DHCP サーバにおいて、dhcp scope bind コマンドで予約されていない端末からのパケットを破棄します。
プライマリネットワーク以外からのパケットについては全てを通過させます。

(ルータB)

省略

(ルータC)

# ip lan1 address 192.168.0.1/24
# ip lan1 secondary address 192.168.100.1/24
LAN側(lan1)のプライマリアドレスとセカンダリアドレスを設定します。
# ip lan3 address 192.168.200.1/24
LAN側(lan3)のIPアドレスを設定します。
# dhcp service server
DHCPサーバとして機能させます。
# dhcp scope 1 192.168.1.2-192.168.1.5/24 gateway 192.168.1.1
# dhcp scope 2 192.168.101.2-192.168.101.5/24 gateway 192.168.101.1
# dhcp scope bind 1 192.168.1.2 ethernet 00:a0:de:01:02:03
# dhcp scope lease type 1 bind-only fallback=2
拠点1のネットワークに対応するDHCPサーバの設定を行います。
拠点1のプライマリ・セカンダリネットワークに対するDHCPスコープを設定し、端末A1のアドレスをプライマリネットワークに予約します。
プライマリネットワークのDHCPスコープ(DHCPスコープ番号1)において予約されていない端末は、セカンダリネットワークのDHCPスコープ(DHCPスコープ番号2)からアドレスを割り当てます。
# dhcp scope 3 192.168.2.2-192.168.2.5/24 gateway 192.168.2.1
# dhcp scope 4 192.168.102.2-192.168.102.5/24 gateway 192.168.102.1
# dhcp scope bind 3 192.168.2.2 ethernet 00:a0:de:31:32:33
# dhcp scope lease type 3 bind-only fallback=4
拠点1と同様の設定を、拠点2に対して行います。
# dhcp scope 5 192.168.0.2-192.168.0.5/24 gateway 192.168.0.1
# dhcp scope 6 192.168.100.2-192.168.100.5/24 gateway 192.168.100.1
# dhcp scope bind 5 192.168.0.2 ethernet 00:a0:de:61:62:63
# dhcp scope lease type 5 bind-only fallback=6
拠点1と同様の設定を、センターに対して行います。
# ip filter 1 pass-nolog 192.168.0.0/24 *
# ip lan2 secure filter out 1
プライマリネットワークからのパケットのみを外部へ通過させます。
# ethernet filter 1 reject dhcp-not-bind 192.168.0.1
# ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
# ethernet lan1 filter in 1 2
プライマリネットワークからのパケットについては、dhcp scope bind コマンドで予約されていない端末からのパケットを破棄します。
プライマリネットワーク以外からのパケットについては全てを通過させます。

[セカンダリネットワークを用いた設定例3] フィルタ型ルーティングを用いたプロバイダの切り替え

[概要]

登録されている端末(端末1)をプライマリネットワークに配置
- 端末1はプロバイダAを経由してインターネットに接続
登録されていない端末(端末2)をセカンダリネットワークに配置
- 端末2はプロバイダBを経由してインターネットに接続
登録されていない端末(端末3)が固定IPでプライマリネットワークに接続された場合
- 端末3からの通信をすべて遮断

[構成図]

           (primary) 192.168.0.0/24
         (secondary) 172.16.0.0/24
                    |
    +-------+       |
    | 端末1 +-------+
    +-------+       |
00:a0:de:01:02:03   |
 primary address    |
     (DHCP)         |
                    |               +-----> The Internet
    +-------+       |               |
    | 端末2 +-------+        +------+------+
    +-------+       |        | プロバイダA |
00:a0:de:11:12:13   |        +------+------+
secondary address   |               |                   +--> The Internet
     (DHCP)         |           +---+----+              |
                    |           | モデム |       +------+------+
    +-------+       |           +---+----+       | プロバイダB |
    | 端末3 +-------+               |            +------+------+
    +-------+       |               | lan3              |
00:a0:de:21:22:23   |            +--+------+ lan2   +---+----+
  192.168.0.200     +------------+ ルータA +--------+ モデム |
     (固定IP)       |       lan1 +---------+        +--------+
                     (primary) 192.168.0.1/24
                   (secondary) 172.16.0.1/24

[設定手順]

# ip lan1 address 192.168.0.1/24
# ip lan1 secondary address 172.16.0.1/24

# dhcp service server
# dhcp scope 1 192.168.0.2-192.168.0.5/24
# dhcp scope 2 172.16.0.2-172.16.0.5/24
# dhcp scope bind 1 192.168.0.2 ethernet 00:a0:de:01:02:03
# dhcp scope lease type 1 bind-only fallback=2

# nat descriptor type 1 masquerade
# nat descriptor address inner 1 192.168.0.2-192.168.0.5
# pp select 1
pp1# pppoe use lan3
pp1# pp auth accept chap pap
pp1# pp auth myname ID_A PASSWORD_A
pp1# ppp ipcp ipaddress on
pp1# ppp ipcp msext on
pp1# ip pp nat descriptor 1
pp1# ppp lcp mru on 1454
pp1# ip pp mtu 1454
pp1# pp enable 1
pp1# pp select none

# nat descriptor type 2 masquerade
# nat descriptor address inner 2 172.16.0.2-172.16.0.5
# pp select 2
pp2# pppoe use lan2
pp2# pp auth accept chap pap
pp2# pp auth myname ID_B PASSWORD_B
pp2# ppp ipcp ipaddress on
pp2# ppp ipcp msext on
pp2# ip pp nat descriptor 2
pp2# ppp lcp mru on 1454
pp2# ip pp mtu 1454
pp2# pp enable 1
pp2# pp select none

# ip filter 1 pass-nolog 192.168.0.0/24 * * * *
# ip filter 2 pass-nolog 172.16.0.0/24 * * * *
# ip route default gateway pp 1 filter 1 pp 2 filter 2

# ethernet filter 1 reject-log dhcp-not-bind 192.168.0.1
# ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
# ethernet lan1 filter in 1 2

[解説]

# ip lan1 address 192.168.0.1/24
# ip lan1 secondary address 172.16.0.1/24
LAN側(lan1ポート)のプライマリIPアドレスとセカンダリIPアドレスを設定します。
# dhcp service server
# dhcp scope 1 192.168.0.2-192.168.0.5/24
# dhcp scope 2 172.16.0.2-172.16.0.5/24
# dhcp scope bind 1 192.168.0.2 ethernet 00:a0:de:01:02:03
# dhcp scope lease type 1 bind-only fallback=2
DHCPサーバの動作を設定します。
端末1のIPアドレスをスコープ1内に予約します。
スコープ1に予約されている端末には、スコープ1から予約済みのアドレスを割り当て、スコープ1に予約されていない端末には、スコープ2から空きアドレスを割り当てます。
# nat descriptor type 1 masquerade
# nat descriptor address inner 1 192.168.0.2-192.168.0.5
# pp select 1
pp1# pppoe use lan3
pp1# pp auth accept chap pap
pp1# pp auth myname ID_A PASSWORD_A
pp1# ppp ipcp ipaddress on
pp1# ppp ipcp msext on
pp1# ip pp nat descriptor 1
pp1# ppp lcp mru on 1454
pp1# ip pp mtu 1454
pp1# pp enable 1
pp1# pp select none
lan3を用いたプロバイダAへの接続を設定します。
# nat descriptor type 2 masquerade
# nat descriptor address inner 2 172.16.0.2-172.16.0.5
# pp select 2
pp2# pppoe use lan2
pp2# pp auth accept chap pap
pp2# pp auth myname ID_B PASSWORD_B
pp2# ppp ipcp ipaddress on
pp2# ppp ipcp msext on
pp2# ip pp nat descriptor 2
pp2# ppp lcp mru on 1454
pp2# ip pp mtu 1454
pp2# pp enable 1
pp2# pp select none
lan2を用いたプロバイダBへの接続を設定します。
# ip filter 1 pass-nolog 192.168.0.0/24 * * * *
# ip filter 2 pass-nolog 172.16.0.0/24 * * * *
# ip route default gateway pp 1 filter 1 pp 2 filter 2
フィルタ型ルーティングを用いて、プライマリアドレスからのパケットは pp1 (プロバイダA)へ、セカンダリアドレスからのパケットは pp2 (プロバイダB)へ、それぞれルーティングします。
# ethernet filter 1 reject-log dhcp-not-bind 192.168.0.1
# ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
# ethernet lan1 filter in 1 2
プライマリネットワークからのパケットについては、dhcp scope bind コマンドで予約されていない端末からのパケットを破棄します。
プライマリネットワーク以外からのパケットについては全てを通過させます。

[EOF]