アライドテレシス AT-AR2050V を買った時の初期設定メモ

Cisco 891FJに近い部分は多いものの、ファイアウォール周りで苦戦しました。

コンソール接続と初期化

• リファレンスはここから
  • サポート｜マニュアル｜AT-AR4050S/AT-AR4050S-5G/AT-AR3050S/AT-AR2050V
• 初期パスワードは ID:manager / Pass:friend
• シリアルポートのボーレートは9600

# 特権
enable
# config削除
erase startup-config
# 変なファイルとかが無いことを見る
show file systems
dir flash:
# 再起動
reload

ファームウェア更新

• ここからダウンロード
  • サポート｜ファームウェア｜AT-AR4050S/AT-AR4050S-5G/AT-AR3050S/AT-AR2050V
  • 必要なら「GUI用ファイル」もダウンロードしておく。これが無いとWebGUIが使えない
• ダウンロードに必要なシリアル番号は show system で見られる
• 更新にはUSBメモリを使う
  • フォーマットはFAT32
  • ダウンロードしたファームウェアのzipを解凍し、.relファイルをUSBメモリの直下に置く
  • WebGUIも更新する場合は、同様に.guiファイルを直下に置く

# USBメモリが増えたことを見る
show file systems
# ファームウェアを見る
dir usb:
# flashにコピーする
copy usb:AR2050V-5.5.3-0.1.rel flash:
# WebGUIを使うなら.guiファイルもコピーする
copy usb:arc-gui_553_31.gui flash:

# コピーされたか見る
dir flash:

# boot用ファイルがどうなってるか見る
show boot
# ここからは設定モードに入る
configure terminal
 # コピーしたファームウェアを起動用に指定する
 boot system AR2050V-5.5.3-0.1.rel
 # 以前使っていたファームウェアをバックアップに指定する
 boot system backup AR2050V-5.4.6-2.2.rel
exit

• show boot で書き換わったことを確認してから reload で再起動

基本設定

• 以降はconfigure terminalしてから実施

# ホスト名
hostname ar2050v
# managerパスワード変更
username manager password <いい感じのパスワード>
# 日本時間にする
clock timezone JST plus 9
# コンソール接続の無操作タイムアウトを120分に伸ばす(デフォルトは10分)
line con 0
 exec-timeout 120
exit

# さすがにtelnetは切る
no service telnet
# SNMP Agent機能も一旦切る。使うなら適切なアクセス制限をかけてから有効化する
no snmp-server

VLANと物理インターフェイス設定

# 適当にVLAN作る
vlan database
 vlan 110 name ClientSeg
 vlan 120 name ServerSeg
exit

# VLANにアドレス割り当てる
interface vlan110
 ip address 192.168.10.1/24
exit

# 物理インターフェイスにvlan割り当てる(アクセスポートの例)
interface port1.0.1
 description ToPC
 switchport
 switchport mode access
 switchport access vlan 110
exit

# 物理インターフェイスにvlan割り当てる(トランクポートの例)
interface port1.0.4
 description ToL2Switch
 switchport
 switchport mode trunk
 switchport trunk native vlan 120
 # ciscoと違ってadd,removeなどの修飾子を省略するとエラーになる
 switchport trunk allowed vlan none
 switchport trunk allowed vlan add 110
exit

# デフォルトで作られているVLAN1はshutdownしておく。configには出ていないが、show interface briefとか見ると居るのが分かる
interface vlan1
 shutdown
exit

DHCP

# DHCPプールを作り、プール単位で設定する
ip dhcp pool ClientSegPool
 # ネットワークのセグメント
 network 192.168.10.0/24
 # DHCPで配るIPアドレスの範囲
 range 192.168.10.10 192.168.10.50
 # デフォルトゲートウェイの値
 default-router 192.168.10.1
 # 配布するDNSサーバのアドレス
 dns-server 8.8.8.8
 dns-server 8.8.4.4
 # IPアドレス固定で配布する場合のサンプル。rangeの範囲外でもいい
 host 192.168.10.101 000a.7934.0b90
exit

# DHCPサーバ起動
# リッスンするインターフェイスを指定する機能が無かったので、適宜パケットフィルタで絞る
service dhcp-server

• 適当にクライアントを繋いでみてDHCPが降ってくることを見る

SSH

# IPv4でSSHサーバを有効化する。RSA鍵は勝手に生成される。後ろのipを外すとIPv4/v6両方で有効化される
service ssh ip
# managerユーザーでのSSHログインを許可する。送信元IPアドレスは192.168.0.0/16
ssh server allow-users manager 192.168.*.*

# 公開鍵をmanagerに登録
# Type CNTL/D to finish: と出たら公開鍵を貼り付けてCtrl+Dで出る
crypto key pubkey-chain userkey manager
# 一応パスワード認証を切る
no ssh server authentication password
# SSH接続の無操作タイムアウトを120分に伸ばす(デフォルトは10分)
line vty 0 7
 exec-timeout 120
exit

• show crypto key pubkey-chain userkey manager で鍵が入ったことを見る
• 鍵認証でSSHできること、パスワード認証が失敗することを確認

Web GUI

• .guiファイルが置いてあればhttpを有効化するだけでいい

# Webサーバ有効化
# .guiファイルをコピーしていない場合、アクセスしても404が返ってくる
service http

• https://<IPアドレス>/ を開けばGUIが出る
• なんかダメな場合は no service http してからもう一回 service http してみる

ファイアウォールとNAPT

• Ciscoルーターの単純なACLとはかなり異なる。ゾーンベースっぽい感じ
• WebGUIでポチポチすると設定が入ったので、それをベースにいじった

# まずはゾーンの定義。内部ゾーン
zone private
 network ClientSeg
  # vlan110のすべてを内部として定義する
  ip subnet 0.0.0.0/0 interface vlan110
 exit
exit

# 外部ゾーン
zone public
 network wan
  ip subnet 0.0.0.0/0 interface eth1
  host eth1
   # この書き方で外部インターフェースのことを指定できるらしい
   ip address dynamic interface eth1
  exit
 exit
exit

# アプリケーションの定義。ルールではポートを直接指定せず、ここで定義したアプリケーションを指定する
# 事前定義済みのルールはshow applicationで見られる
application dhcp
 protocol udp
 sport 67 to 68
 dport 67 to 68
exit

# ファイアウォールのルール作成
firewall
 # 内部->内部 と 内部->外部 を全開にする
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 # ルータ本体から出るDHCP/DNS/NTPを許可する
 rule 30 permit dns from public.wan.eth1 to public.wan
 rule 40 permit dhcp from public.wan.eth1 to public.wan
 rule 50 permit ntp from public.wan.eth1 to public.wan
 # ファイアウォール有効化
 protect
exit

# NAPTルールの作成
nat
 # 内部->外部の通信にNAPTかける
 rule 10 masq any from private to public
 # 有効化
 enable
exit

インターネット接続設定

• 今のおうち回線はDHCPで配ってくれるので、大してやることがない

# WAN側インターフェイスの名前はeth1
interface eth1
 ip address dhcp
exit

NTP設定

• NTPサーバはINTERNET MULTIFEEDのものを使う

# NTPを指定する
ntp server ntp1.jst.mfeed.ad.jp
ntp server ntp2.jst.mfeed.ad.jp
ntp server ntp3.jst.mfeed.ad.jp

• 疎通確認

show ntp associations

その他

• 最後に忘れず保存する

copy running-config startup-config