WIDE NOC 浜松とヤマハを 64kbit/s 専用線でつないでいる、Cisco 3000 (IOS
10.0) と RT100i の実運用での設定です。一部の情報に関してはマスクしてあ
ります。また、フィルタもすべての設定が記述されているわけではありません。
- WIDE NOC 浜松とヤマハの間は 64kbit/s の専用線
- WIDE NOC 浜松までは OSPF + RIP。そこから先は RIP のみ
- ヤマハ側ではバリアセグメント 133.176.XXX.0/24 を設け、
外からはそのセグメントまでしか到達できないようにする
- ヤマハ側から外へは制限なく出ていける
- セキュリティ関係の設定はすべて RT100i で行い、Cisco やバリア
セグメントとヤマハ社内を結ぶルータには特にセキュリティに関する設定は
行わない
Internet
-----------+---
| 133.4.38.0/28
---+---+----------------- Wide-Noc-Ham
|
| 133.4.38.2
+-------+ ↑ OSPF + RIP
| Cisco | ---------------
+-------+ ↓ RIP のみ
: 133.176.70.1
: 64k専用線
: 133.176.70.3
+--------+
| RT100i |
+--------+
| 133.176.XXX.125
|
--+----+--------------------- バリアセグメント
| 133.176.XXX.0/24
|
--+--------
ヤマハ社内
[RT100i]
pp line l64 # 64k 専用線
# RIP 用フィルタ
ip filter 1 pass 133.176.0.0/0xffff0000 * * * * # ヤマハ
ip filter 2 pass 0.0.0.0/0xffffffff * * * * # デフォルト
# 外から RT100i まで通っていいサービス
ip filter 10 pass * 255.255.255.255/0xffffffff udp route * # RIP
# 外からヤマハ社内全体へ通っていいサービス
ip filter 11 pass * 133.176.0.0/0xffff0000 icmp * * # ping など
ip filter 12 pass * 133.176.0.0/0xffff0000 established * * # Established
ip filter 13 pass * 133.176.0.0/0xffff0000 tcp,udp * domain,113 # DNS, Ident
ip filter 14 pass * 133.176.0.0/0xffff0000 tcp ftpdata * # FTP
ip filter 15 pass * 133.176.0.0/0xffff0000 udp domain * # DNS
# 外からバリアセグメントまで通っていいサービス
ip filter 16 pass * 133.176.XXX.0/0xffffff00 tcp,udp * telnet,smtp,gopher,finger,www,nntp,ntp,33434-33500
# LAN
ip lan address 133.176.XXX.125
ip lan netmask 0xffffff00
ip lan rip filter out 1 2 # ヤマハ以外の情報をヤマハ社外に流さない
# PP
pp select leased # 専用線
ip pp local address 133.176.70.3 # Numbered で運用
ip pp remote address 133.176.70.1
ip pp netmask 0xffffff00
ip pp route add net default 2 # デフォルトルートを専用線に向ける
ip pp routing protocol rip # RIP を使用
ip pp rip connect send interval
ip pp rip connect interval 30
ip pp rip filter out 1 # ヤマハ以外の RIP を外に流さない
ip pp rip listen off # 外からの RIP は無視
ip pp secure filter in 10 11 12 13 14 15 16 # セキュリティフィルタ
[Cisco]
interface Ethernet0
ip address 133.4.38.2 255.255.255.224
ip ospf authentication-key ********
!
interface Serial0
ip address 133.176.70.1 255.255.255.0
ip ospf authentication-key ********
encapsulation ppp
!
router rip
network 133.176.0.0
network 133.4.0.0
distribute-list 10 out Ethernet0
distribute-list 20 in Ethernet0
distribute-list 20 out Serial0
distribute-list 10 in Serial0
!
ip route 133.176.0.0 255.255.0.0 Serial0
access-list 10 permit 133.176.0.0 0.0.255.255
access-list 20 permit 0.0.0.0
access-list 20 permit 133.4.0.0