1.UNIVERGE IX2105の特徴
優れた転送性能 最大1.3GbpsのIPv4基本性能、
最大440MbpsのIPsec性能(AES256/SHA1)
拡張性の高いポート構成 10/100/1000BASE-T × 5ポート
(うち4ポートはスイッチングハブ)
高機能4ポート
スイッチングハブ内蔵 ポートベースVLAN
リンクアグリゲーション機能
QoS(優先制御)機能
ミラーリング機能
データコネクト対応 「NGNオンデマンドVPN機能」により、
データコネクトサービスを利用した拠点間接続が可能
SDN OpenFlow 1.3.1準拠
ブリッジ機能 トランスペアレントブリッジ
Ethernet over IPブリッジ(EtherIP)
各種ルーティング機能 IPv4:RIPv1/v2、OSPFv2、BGP4
IPv6:RIPng、OSPFv3
仮想ルータ機能 VRF-Lite(IPv4)
クラウドサービス向け機能 Web-GUIによるかんたん設定
URLオフロード機能
インターネット接続サービス向け機能 アドレス変換機能(NAPT):最大65,535セッション
URLリダイレクト機能
マルチキャスト IPv4:IGMPプロキシ、PIM-SM
IPv6:MLDプロキシ
IPsec VPN
(レイヤ3 VPN) IPsecトンネル:最大128対地
ダイナミックVPN対応
レイヤ2 VPN EtherIPトンネル:最大10対地
QoS機能 送信優先制御方式:PQ/CBQ/LLQ
帯域制御:シェーピング
IPv6 IPv6 Ready Logo Phase.2取得製品
セキュリティ機能 IEEE802.1X認証、MACアドレス認証、Web認証
URLフィルタリング
保守運用 ネットワーク状態表示ランプ(VPN/PPP/BAKランプ)
Web-GUIを使用した設定機能・メンテナンス機能
SNMPv1/v2c対応
sFlow対応
プログラムファイル2面管理機能
環境への配慮 動作保証温度最大50℃
ファンレス設計
RoHS指令準拠
VCCI Class B適合
省エネ設計 消費電力14VA(7W)以下
未使用LANポートのシャットダウン機能を実装
優れた設置性 電源内蔵モデル
縦置き設置用のスタンドを標準添付
オプションキットの追加により、壁掛け、マグネット取付、19インチラック設置にも対応
(この仕様は、NECのサイトより抜粋)
2.コマンドによる設定例(NATとアクセス制御を用いたセキュリティ設定)
「!」ビックリマークはコメントを表す。
! タイムゾーンの設定(日本国時間)
timezone +09 00
! ntpを設定する
ntp ip enable
! ntpサーバーのIPアドレス設定
ntp server 192.168.255.103
! ロギングバッファの設定、イベントメッセージを指定サイズ分の文字数をメモリへ保存する
logging buffered 4096
! 指定のサブシステムメッセージを有効にする。ロギングレベルは”ワーン”
logging subsystem all warn
! タイムスタンプの設定、パラメータ(時刻)
logging timestamp timeofday
! シスログサーバーの設定
syslog ip host 192.168.255.103
! IPルートデフォルトのI/Fは、0.1
ip route default GigaEthernet0.1
! フィルタリング設定(外部からアクセス拒否ポートの設定)
! DCE RPCかなり危険なので遮断(Blasterワームで狙われる為、しかしかなり昔だけど。)
ip access-list in_out-block deny tcp src any sport any dest any dport eq 135
ip access-list in_out-block deny udp src any sport any dest any dport eq 135
! NETBIOS、SAMBAを使ってるので遮断
ip access-list in_out-block deny tcp src any sport any dest any dport eq 137
ip access-list in_out-block deny udp src any sport any dest any dport eq 137
ip access-list in_out-block deny udp src any sport any dest any dport eq 138
ip access-list in_out-block deny tcp src any sport any dest any dport eq 139
! マイクロソフト・ダイレクトホスティングSMBサービスかなり危険なので遮断
ip access-list in_out-block deny tcp src any sport any dest any dport eq 445
ip access-list in_out-block deny udp src any sport any dest any dport eq 445
! マルチプレクサTCPポートは通常使わないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 1
ip access-list svr-block deny udp src any sport any dest any dport eq 1
! 自サーバのシステム情報を隠蔽するため遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 11
ip access-list svr-block deny udp src any sport any dest any dport eq 11
! 自サーバのシステム情報を隠蔽するため遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 15
ip access-list svr-block deny udp src any sport any dest any dport eq 15
! FTPサービスは外部に公開してないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 20
ip access-list svr-block deny udp src any sport any dest any dport eq 20
ip access-list svr-block deny tcp src any sport any dest any dport eq 21
ip access-list svr-block deny udp src any sport any dest any dport eq 21
! TELNETサービスはサーバーを作らないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 23
ip access-list svr-block deny udp src any sport any dest any dport eq 23
! bootpc、必要以上に情報を与えてしまうので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 67
ip access-list svr-block deny udp src any sport any dest any dport eq 67
ip access-list svr-block deny tcp src any sport any dest any sport eq 68
ip access-list svr-block deny udp src any sport any dest any dport eq 68
! tftp、かなり危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 69
ip access-list svr-block deny udp src any sport any dest any dport eq 69
! gopherサービスは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 70
ip access-list svr-block deny udp src any sport any dest any dport eq 70
! fingerサービスは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 79
ip access-list svr-block deny udp src any sport any dest any dport eq 79
! linkかなり危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 87
ip access-list svr-block deny udp src any sport any dest any dport eq 87
! supdupかなり危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 95
ip access-list svr-block deny udp src any sport any dest any dport eq 95
! sunrpcかなり危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 111
ip access-list svr-block deny udp src any sport any dest any dport eq 111
! umaかなり危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 144
ip access-list svr-block deny udp src any sport any dest any dport eq 144
! snmp、ネットワーク監視サービスのポートなので外部からは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 161
ip access-list str-block deny udp src any sport any dest any dport eq 161
! snmp-trap、ネットワーク監視サービスのポートなので外部からは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 162
ip access-list svr-block deny udp src any sport any dest any dport eq 162
! xdmcpかなり危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 177
ip access-list svr-block deny udp src any sport any dest any dport eq 177
! imap3、imap3サービスは使ってないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 220
ip access-list svr-block deny udp src any sport any dest any dport eq 220
! execかなり危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 512
! bifかなり危険なので遮断
ip access-list svr-block deny udp src any sport any dest any dport eq 512
! loginかなり危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 513
! whoかなり危険なので遮断
ip access-list svr-block deny udp src any sport any dest any dport eq 513
! shellかなり危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 514
! syslog、syslogが攻撃されたらlogがたいへんなことになるので遮断
ip access-list svr-block deny udp src any sport any dest any dport eq 514
! printer当たり前だが外部にプリンタをオープンにする必要はないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 515
ip access-list svr-block deny udp src any sport any dest any dport eq 515
! talk使ってないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 517
ip access-list svr-block deny udp src any sport any dest any dport eq 517
ip access-list svr-block deny tcp src any sport any dest any dport eq 518
ip access-list svr-block deny udp src any sport any dest any dport eq 518
! ntalk使ってないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 520
ip access-list svr-block deny udp src any sport any dest any dport eq 520
! router、ルーティングポートだが外部にオープンする必要はないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 540
ip access-list svr-block deny udp src any sport any dest any dport eq 540
! uucp使わない上かなり危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 1025
ip access-list svr-block deny udp src any sport any dest any dport eq 1025
! listenerかなり危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 2000
ip access-list svr-block deny udp src any sport any dest any dport eq 2000
! openwinかなり危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 2049
ip access-list svr-block deny udp src any sport any dest any dport eq 2049
! nfsかなり危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 2766
ip access-list svr-block deny udp src any sport any dest any dport eq 2766
! x11かなり危険なので遮断(6000~6063)
ip access-list svr-block deny tcp src any sport any dest any dport range 6000 6063
ip access-list svr-block deny udp src any sport any dest any dport range 6000 6063
! WinMx使ってない無駄なP2Pソフトのポートは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 6257
ip access-list svr-block deny udp src any sport any dest any dport eq 6257
! IRCU使ってなければ遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 6665
ip access-list svr-block deny udp src any sport any dest any dport eq 6665
ip access-list svr-block deny tcp src any sport any dest any dport eq 6666
ip access-list svr-block deny udp src any sport any dest any dport eq 6666
ip access-list svr-block deny tcp src any sport any dest any dport eq 6667
ip access-list svr-block deny udp src any sport any dest any dport eq 6667
ip access-list svr-block deny tcp src any sport any dest any dport eq 6668
ip access-list svr-block deny udp src any sport any dest any dport eq 6668
ip access-list svr-block deny tcp src any sport any dest any dport eq 6669
ip access-list svr-block deny udp src any sport any dest any dport eq 6669
! napster使ってない無駄なP2Pソフトのポートは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 6699
ip access-list svr-block deny udp src any sport any dest any dport eq 6699
! Winny使ってない無駄なP2Pソフトのポートは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 7743
ip access-list svr-block deny udp src any sport any dest any dport eq 7743
! Netbus、トロイの木馬のサービスポート危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 12345
ip access-list svr-block deny udp src any sport any dest any dport eq 12345
! 内部からプライベートアドレスを外部に送出しない(外部からの踏み台防止!)
ip access-list r-list1 deny ip src 10.0.0.0/8 dest any
ip access-list r-list1 deny ip src 172.16.0.0/12 dest any
ip access-list r-list1 deny ip src 192.168.0.0/16 dest any
! ローカル内からはmynetworkの通過を許可
ip access-list mynetwork permit ip src 192.168.255.0/24 dest any
! ローカル内からはフィルターの条件以外の全てのIPの通過を許可
ip access-list all-pass permit ip src any dest any
ip filter forced-reassembly
! UFS(Unified Forwarding Service)キャッシュを有効にする
ip ufs-cache enable
! ProxyDNS for IPv4 を有効
proxy-dns ip enable
! プロバイダー接続設定
ppp profile プロバイダー名
authentication myname 接続ID
authentication password 接続ID パスワード
!
device GigaEthernet0
!
device GigaEthernet1
!
interface GigaEthernet0.0
no ip address
shutdown
! ローカル側のアドレス定義
interface GigaEthernet1.0
ip address 192.168.255.1/24
no shutdown
! pppoe定義
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding プロバイダー名
ip address ipcp
! 送受信TCPパケットのMSS値調整機能を有効にする。
! auto 設定の場合はインタフェースMTU 値から40オクテットを引いた値がMSS 値となる
ip tcp adjust-mss auto
! NAPTを有効にする(必要なサーバーポートの設定)
ip napt enable
ip napt static 192.168.255.103 tcp 7000
ip napt static 192.168.255.111 tcp 8080
ip napt service ping 192.168.255.103 none icmp any
ip napt service SSH 192.168.255.103 none tcp 22
ip napt service dns 192.168.255.103 none udp 53
ip napt service http 192.168.255.111 none tcp 80
ip napt service NTP 192.168.255.103 none udp 123
ip napt service SMTP 192.168.255.103 none tcp 25
ip napt service POP 192.168.255.103 none tcp 110
ip napt service SMTP-587 192.168.255.103 none tcp 587
ip napt service POP-SSL 192.168.255.103 none tcp 995
ip napt service SMTP-SSL 192.168.255.103 none tcp 465
ip napt service IMAP-SSL 192.168.255.103 none tcp 993
ip napt service https 192.168.255.111 none tcp 443
ip napt service rdp 192.168.255.111 none tcp 3389
ip napt service IMAP 192.168.255.103 none tcp 143
! フィルター定義(1〜65000優先順位ナンバー)
ip filter all-pass 65000 in
ip filter all-pass 65000 out
ip filter mynetwork 50 out
ip filter in_out-block 1 in
ip filter in_out-block 1 out
ip filter svr-block 100 in
ip filter svr-block 100 out
ip filter r-list1 110 in
ip filter r-list1 110 out
no shutdown
!
interface Loopback0.0
no ip address
!
interface Null0.0
no ip address
3.IX2105設定方法
コンソールに接続して、
enable-configでコンフィグモードにしてください。
Router# enable-config
まずはじめに、ユーザー名とパスワードを設定する。
そのユーザーにアドミン権限をあげてください。
Router(config)# username ユーザー名 password plain パスワード administrator
今回の設定内容をコピペする。
Router(config)# 設定内容コピペ!
設定内容をコピーしたら、一旦exitで抜ける。
Router(Null0.0)# exit
メモリーに設定内容を書き込む。
Router(config)# write memory
show startup-configを実行して、設定ファイルが反映されてるか?確認する。
Router(config)# show startup-config
確認したら、startup-configからdefault-configへコピーする。
Router(config)# copy startup-config default-config
IX2015をリスタートする。
Router(config)# exit
Router# restart
これで一通り設定作業は終了。