Cisco 851W または 871W の設定: 標準 IOS - TechRepublic

構成の論理図

このギャラリーは、TechRepublic の記事としてもご覧いただけます。

Cisco 851Wルータは比較的低価格の多目的デバイス（最低価格は292ドル）で、ファイアウォールで分離された仮想無線LANをサポートできます。Cisco 871Wはより多くの機能を備えていますが、必要なソフトウェア機能セットに応じて500ドルから700ドルの範囲で価格設定されており、家庭用ルータや中小企業にとっては少々高価すぎるかもしれません。

871Wの500ドル版でさえ、大型アンテナを接続できる外部アンテナコネクタを除けば、851Wと比べてそれほど多くの機能を備えているわけではありません。BGPルーティング、VLANサポート、QoSトラフィック優先順位付けといった追加機能が搭載されるのは、700ドルの871Wまでです。

前回は、より高価な871Wの設定方法を説明しました。残念ながら、Advanced IP IOS機能セットをお持ちでない多くの方が、このモデルをご利用いただけませんでした。このチュートリアルは、より安価な851Wをお持ちの方、または購入を検討されている方のために作成されています。

高度なSOHOデュアルネットワークアーキテクチャ

ここでは、次のような機能を備えた高度な SOHO (小規模オフィス/ホーム オフィス) 構成で、標準の「高度なセキュリティ」IOS を搭載した Cisco 851W または 871W ルータを設定する方法を説明します。

• ステートフルパケットインスペクションファイアウォール
• 2つの仮想無線LAN（最大10）
• 1 つの仮想 LAN を 1 つの無線 LAN にブリッジ
• 両方の無線LANはWPA-PSKセキュリティに設定されています
• アクセスが制限されたゲストネットワークとして機能する 1 つの無線 LAN
• DSL PPPoEクライアント
• DHCPサーバー

上記は設定の論理図です。オレンジはゲストネットワーク、緑は内部ネットワークを表しています。851Wと871のStandard IOS（Standardは実際には「Advanced Security」IOSと呼ばれます）はVLANをサポートしていないため、スイッチ全体はVLAN1に設定されています。「Advanced IP」IOSを搭載した871WのみがVLANに対応しています。つまり、「InternalWLAN」ワイヤレスネットワークのみがBVI（ブリッジ仮想インターフェース）1を使用してスイッチにブリッジできるということです。

ポートF4は、ADSLモデムにPPPoEでダイヤルするように設定されたWANインターフェースです。オレンジ色の「GuestWLAN」無線ネットワークはインターネットにフルアクセスできますが、緑色の内部ネットワークにはアクセスできません。内部ネットワークは、オレンジ色のゲストネットワークとインターネットにフルアクセスできます。ゲスト無線LANのSSIDはGuestWLAN、内部無線LANのSSIDはInternalWLANになります。現時点では、Cisco 851Wおよび871Wは1つのSSIDしかブロードキャストできないため、ブロードキャストされるSSIDはGuestWLANのみとなります。この欠点は将来のファームウェアで修正される予定です。

SSID の非表示がセキュリティに有効かどうか疑問に思っている人にとって、SSID の非表示は、MAC フィルタリングやその他のよくある誤解と同様に、価値のないセキュリティ機能です。

ハードウェアの初期設定

ハードウェアの初期設定

851W または 871W を箱から取り出して電源アダプターを差し込んだら、付属のコンソール ケーブルをコンピューターの有効なシリアル ポートに接続します。シリアル ポートがないノート PC をお持ちの場合は、USB シリアル アダプターを入手する必要があります。理想的なテストのためには、ワイヤレス LAN 対応のノート PC とデスクトップ コンピューターが必要です。デスクトップ コンピューターを F1 または FastEthernet ポート 1 に接続します (これは上の図で左から 2 番目のポートです。F0 が最初のポートです)。ほとんどのデスクトップ コンピューターには少なくとも COM1 ポートがあるため、これをコンソール構成コンピューターとして使用できます。コンソール ポートの RJ45 端子を右端の「console」というラベルの付いた RJ45 ポートに接続します。ノート PC しか持っていない場合は、それを使用して有線および無線機能をテストできます。

ハードウェアのセットアップ手順の詳細については、Cisco 850および870シリーズルータのクイックスタートガイドをご覧ください。（これはCiscoが提供する非常に優れたハードウェアガイドです。）

デフォルト設定の消去

新しいCiscoルーターで最初に行うことは、デフォルト設定を消去することです。昔のルーターにはユーザー名やパスワードは割り当てられていませんでしたが、これらの新しいデバイスは違います。まずユーザー名「cisco」とパスワード「cisco」でログインする必要があります。アクセスポイントやルーターによっては「cisco」の「c」を大文字にする必要がある場合もありますが、最近のCiscoデバイスのほとんどは大文字です。ログインしたら、以下のコマンドを入力します。

• 有効にする
• 書き込み消去
• リロード（再起動を確認）

ルーターを再起動すると、「router>」プロンプトが表示され、パスワードは不要になります。これで、まっさらな状態から始めることができます。前回、VLANを作成する必要がありましたが、871Wの標準の「高度なセキュリティ」IOS機能セットではこれがサポートされておらず、851WではインストールされているIOSに関係なく、VLANの作成は行われません。そのため、従来の「config t」コマンドを入力して、グローバルコンフィギュレーションモードに入る必要があります。

Cisco 851W または 871W の CLI 設定テンプレート

Ciscoの設定ガイドはインラインコメントやヒントが多く、使いにくすぎると感じていました。そこで、Microsoft Excelで独自の設定テンプレートシステムを作成しました。開発ブロガーのJustin Jamesが、すぐに使える設定出力を自動生成するクイック置換ボタンを作成してくれたおかげで、CLI設定ファイルのドキュメント化と新規作成に非常に便利な新しいツールができました。

このチュートリアルでは、Justinの新しいRapid Replace機能を組み込んだCisco 851Wまたは871W標準の「Advanced IP」IOS用テンプレートを3つ作成しました。1つ目はDSL PPPoE実装用です。2つ目はDHCPまたはケーブルモデムによるインターネット接続用です。（ケーブルモデムを使用する場合は、ケーブルモデムを再起動する必要があります。ケーブルモデムは特定のMACアドレスに固定されてしまう傾向があるため、再起動しないとルータに問題が発生する可能性があります。）3つ目は静的IP WAN実装用です。

CLIテンプレートの使い方

このチュートリアルのテンプレートをダウンロードしたら、Cisco 851Wまたは871Wの設定を簡単に作成できます。上記の「Variables」シートの黄色のセクションに入力するだけです。

構成テンプレートの参照シート

上の図は、設定テンプレートの「参照」シートを示しています。置換変数名は赤字で[かっこ]で囲まれています。「置換」ボタンをクリックすると、「参照」シートの内容が「871W」（セルG5でユーザーが設定可能）という新しいシートにコピーされます。このシートの後ろには、新しい設定を作成するたびに自動的に増加する番号が付けられます。

851Wまたは871Wの挿入構成

出力が作成されたら、カスタマイズした設定を含むコマンド列（「コマンド」ラベルの下から始まる）をコピーして、コンソールに貼り付けることができます。貼り付けコマンドからすべての Excel 書式設定が除外されることに注意してください。これはまさに私たちが求めている動作です。また、ルータが考える必要があるため、一部のコマンドは他のコマンドよりも挿入に時間がかかることに注意してください。一度に小さなセクションを実行し、各コマンドがエラーなしで適切に実行されたことを確認することをお勧めします（多少の警告通知は問題ありません）。また、コンソールは貼り付けが速すぎると特定のステートメントをドロップすることがわかっているため、ルータがすべてのコマンドを実行することを確認してください。「show run」コマンドで検証する必要があります。満足のいく結果になったら、「write mem」コマンドを発行してすべての変更を永続的にコミットし、次にルータを再起動したときに設定が維持されるようにしてください。

リファレンスページでは、すべてのコマンドにその目的を示すラベルを付けています。これは参考、学習、そしてドキュメント化を目的としています。リファレンスページ全体をご覧いただくことで、ほとんどの行が何をしているのか理解できるでしょう。

最終的なExcelファイルは、初期設定や永続的なドキュメント作成に最適です。Ciscoデバイスに関する知識があれば、このテンプレートで何が行われているのかすぐに理解できるはずです。表形式、ハイライト表示、そしてあらゆるテキストフォーマットにより、Cisco CLIはより読みやすく、理解しやすいものになっています。

テンプレートを独自の目的に合わせて変更したい場合は、「リファレンス」シートを変更することもできます。例えば、ゲストにWEPではなくWPA-PSKセキュリティの使用を強制したくない場合や、自由に設定して無料のホットスポットを提供したい場合などです。

マルチVLANマルチWLANルーターをテストする

ポートF0からF3に接続されたデスクトップPCはすべて動作するはずです。内部ネットワークでアドレスを取得できるはずです。IPアドレスをデフォルトのままにした場合、IPアドレスは192.168.1.100になります。BVI1インターフェースとdot0.20サブ無線インターフェースのIPアドレスである192.168.1.1と192.168.2.1にpingが通るはずです。設定が完了したら、設定したユーザー名とパスワードでログインしてください。pingが通らない場合は、BVIまたは無線サブインターフェースのIPアドレス設定を確認する必要があります。

ルーターにpingも通らない状態ではTelnetも使えないので、コンソールを使ってトラブルシューティングする必要があります。IP設定のトラブルシューティングは「show ip int brief」コマンドで行えます。このコマンドは、上記のCiscoルーターのすべてのインターフェースのリストを表示します。

有効なDNSサーバーを入力していれば、http://www.techrepublic.com のようなサイトにもpingが通るはずです。動作するはずのWebサイトにpingが通らない場合は、DNSサーバーにpingを通してみて、DNSサーバーが利用可能かどうかを確認してください。それでも問題が解決しない場合は、トラブルシューティングを行い、設定が正しいことを確認する必要があります。確認すべき点として、Dialer1インターフェースにDSLプロバイダーからIPアドレスが割り当てられているかどうかを確認してください。ケーブルモデムの場合は、DHCPモードで設定されたFastEthernet4インターフェースになります。

上記のすべてにpingが通る場合は、両方の無線LANに接続してワイヤレスラップトップをテストしてください。GuestWLANはブロードキャストしている唯一のSSIDなので、表示されるのはGuestWLANのみです。ゲストネットワークからは、192.168.1.1にpingを通し、失敗することを確認してください。これは、Guest-ACLが機能していることを証明しています。ゲストACLは、例えばゲストが印刷できるようにしたい場合など、例外を設定するように変更できます。ゲストネットワークは、インターネット上のすべてのデバイスにアクセスできる必要があります。

InternalWLAN の取得は少し複雑です。ブラウジングでは表示されないからです。SSID プロファイルを手動で追加し、リストの一番上に移動する必要があります。その後、GuestWLAN から切断し、Windows XP SP2 などのワイヤレスクライアントソフトウェアでワイヤレスネットワークブラウザを更新してみてください。しばらくすると、InternalWLAN に接続できるようになるはずです。これが、SSID を非表示にするのが嫌いな理由です。使いにくく、セキュリティ上のメリットもありません。

それでも問題が解決しない場合は、記事のディスカッションに質問を投稿し、私にプライベート TechRepublic メッセージを送信してください。