はじめに
Ciscoルータを検証用や勉強用に購入して最初にやるべき設定は何でしょうか?今回は、Cisco 891Fルータを購入した後の初期設定手順について見ていきたいと思います。DHCPサーバやNATの設定も含めました。
自宅のネットワークをよりセキュアで安定したものにしたい方や、ネットワークの基礎を学びたい方にも役立つ内容かと思います。
全体的に初心者向けの内容になりますが、久しぶりに初期化したルータを最初から設定する際のメモ代わりにでもなればと思います。
必要なもの
設定作業をするにあたり、必要なものは以下になります。
- Cisco 891ルータ
- コンソールケーブル(同梱されている青色のケーブル)
- PCまたはノートパソコン
- ターミナルソフト(例:Tera Term や PuTTY)
コンソールケーブルをお持ちでない方は、こちらからご購入できます。
上記のコンソールケーブルはRJ-45なので、PC側でUSB接続したい場合は、下記のバッファローと一緒に購入することをオススメします。
基本的な接続方法
コンソールケーブルをPCとルータの「Console」ポートに接続します。
Teratermなどのターミナルソフトを開き、次の設定で接続します。
- 接続タイプ:シリアル
- ポート番号:COMx(接続しているPCのCOMポートに合わせます)
- 通信速度:9600
ルータに接続できると、「Router>」のプロンプトが表示されます。これが表示されたら、接続成功です。
でわ、徐々に詳しく見ていきたいと思います。
基本設定の開始(特権モードへ移行)
ルータの設定は「特権モード」から行います。最初に、特権モードに移行するコマンドを入力します。
ユーザーモード (Router>) から、特権モードに移行します。
Router> enable特権モードに移行すると、Router# のプロンプトに変わります。
Router#次に、グローバル設定を行うため以下のコマンドを投入し、設定モードに入ります。
Router# configure terminalconfigure terminal は、グローバル設定モードに移行するコマンドです。これにより、ルータ全体の設定を行うことができます。
プロンプトが Router(config)# に変わります。
Router(config)#基本的な設定(ホスト名、パスワード、インターフェース)
ホスト名の設定
ルータの名前を設定します。デフォルトの「Router」ではなく、わかりやすいホスト名に変更しましょう。
今回はとりあえずとして、「MyRouter」という名前にしました。
Router(config)# hostname MyRouterこのコマンドにより、ルータの名前が「MyRouter」に変更され、プロンプトが MyRouter(config)# に変わります。
ホスト名を設定することで、どのルータを操作しているかが一目でわかりますね。
コンソールパスワードの設定
コンソール接続時にパスワードを設定し、未許可のアクセスを防ぎます。
MyRouter(config)# line console 0
MyRouter(config-line)# password cisco123
MyRouter(config-line)# login- line console 0:コンソールポートの設定に入ります。
- password cisco123:コンソール接続時のパスワードを設定します(任意のパスワードに変更してください)。
- login:パスワードの入力を有効にします。
リモートアクセス用のVTY(Virtual Terminal Line)設定
リモートアクセス用の設定として、vty 0 4 の設定を行います。vty は「Virtual Teletype」の略で、ルータやスイッチにリモートでアクセスするための仮想端末を意味します。
Ciscoルータでは、デフォルトで vty 0 4 という5つの仮想端末ライン(vty 0, vty 1, vty 2, vty 3, vty 4)が定義されています。この設定を行うことで、TelnetやSSHを使ってリモートでルータにログインし、設定や管理を行うことができます。
リモートアクセス用のVTYラインを設定する
まず、VTYラインにアクセスします。
MyRouter(config)# line vty 0 4- line vty 0 4:これは、vty ラインの0番から4番まで(合計5つ)を設定することを意味します。
次に、VTYラインで使用するパスワードを設定します。これにより、Telnetなどで接続する際にパスワードを求められます。
MyRouter(config-line)# password cisco123設定したパスワードを有効にします。
MyRouter(config-line)# login- login コマンドを設定しないと、パスワードの設定が反映されませんので、必ず実行しましょう。
Telnetの代わりにSSHを使用する設定(推奨)
Telnetは通信内容が平文(暗号化なし)で送信されるため、セキュリティ的に推奨されていません。代わりに、SSH を使用することで通信が暗号化され、リモート接続時のセキュリティを強化できます。
SSHを使用するための設定手順は次の通りです。
MyRouter(config)# ip domain-name example.comMyRouter(config)# crypto key generate rsa実際にコマンドを投入した例がこちらです。
MyRouter(config)#crypto key generate rsa
The name for the keys will be: MyRouter.purpledice.jp
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 2 seconds)
MyRouter(config)#
*Oct xx xx:xx:27.127: %SSH-5-ENABLED: SSH 1.99 has been enabled
MyRouter(config)#MyRouter(config)# line vty 0 4
MyRouter(config-line)# transport input ssh
MyRouter(config-line)# login localMyRouter# copy running-config startup-configもしくは、
MyRouter# write memory設定が完了したら、次のコマンドを使用してVTYラインの設定を確認できます。
MyRouter# show running-config | section line vty期待される出力例
line vty 0 4
password cisco123
login local
transport input sshこれにより、vty 0 4 の設定にパスワードが設定され、SSHが有効になっていることを確認できます。
設定が完了したら、開発用PCや端末からSSHでルータにアクセスできるかを確認します。SSHクライアント(例:PuTTYやTera Term、macOSやLinuxのターミナル)を使用して接続します。
## SSH接続用のテストユーザアカウントを作成します。
MyRouter(config)# username user1 privilege 1 secret cisco123実際に開発用PCからCiscoルータへSSH接続し、無事ログインできることを確認します。
SSH接続のメリット
- 通信が暗号化されるため、パスワードやコマンドの入力内容が第三者に盗聴されるリスクが低くなります。
- リモートからセキュアにルータを管理・設定できるため、企業環境や自宅ネットワークの管理において推奨される設定です。
DHCPサーバの設定
Ciscoルータ側にDHCPサーバの設定を施します。開発用PCからSSHでCiscoルータに接続する際、DHCPの設定をしておけば、わざわざ開発用PCを手動でipアドレス等を変更する手間が省けます。
以下、設定例です。
MyRouter(config)#ip dhcp pool MYPOOL
MyRouter(dhcp-config)#network 192.168.1.0 255.255.255.0
MyRouter(dhcp-config)#defaul
MyRouter(dhcp-config)#default-router 192.168.1.254
MyRouter(dhcp-config)#dns-serv
MyRouter(dhcp-config)#dns-server 8.8.8.8 8.8.4.4- ip dhcp pool MYPOOL: MYPOOL という名前のDHCPプールを作成(任意の名前を付けられます)。
- network 192.168.1.0 255.255.255.0: IPアドレスの範囲を 192.168.1.0/24 として設定します。DHCPでこの範囲からPCにIPアドレスが割り当てられます。
- default-router 192.168.1.1: PCに割り当てるデフォルトゲートウェイのIPアドレスを設定します(通常、ルータのインターフェースIPアドレスを指定します)。
- dns-server 8.8.8.8 8.8.4.4: GoogleのDNSサーバを指定しています。DNSサーバの設定はネットワーク内で利用するDNSサーバに合わせて変更できます。
DHCPサーバ:IPアドレスの除外設定(オプション)
DHCPサーバが割り当てないようにしたい特定のIPアドレスを除外できます。例えば、ルータ自体や他の静的IPアドレスを持つデバイスに割り当てるIPアドレスは除外することが一般的です。
MyRouter(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10この設定により、192.168.1.1 から 192.168.1.10 までの範囲はDHCPで割り当てられないようになります。
設定の確認
DHCPの設定が正しく行われているか確認するには、次のコマンドを使用します。
MyRouter# show ip dhcp pool以下、実行例です。
MyRouter#show ip dhcp pool
Pool MYPOOL :
Utilization mark (high/low) : 100 / 0
Subnet size (first/next) : 0 / 0
Total addresses : 254
Leased addresses : 0
Pending event : none
1 subnet is currently in the pool :
Current index IP address range Leased addresses
192.168.1.1 192.168.1.1 - 192.168.1.254 0
MyRouter1#DHCPサーバ:DHCPプールから除外したIPアドレスの確認方法
ip dhcp excluded-address コマンドで設定した除外アドレスは、running-config に保存されます。以下のコマンドで設定された除外アドレスを確認できます。
MyRouter# show running-config | include ip dhcp excluded-address
ip dhcp excluded-address 192.168.1.1 192.168.1.10
MyRouter#DHCPサーバ:IPアドレスの重複を確認する方法
このコマンドを使用すると、DHCPサーバがIPアドレスの競合を検知した場合にリストとして表示されます。アドレス競合が発生した場合や手動で除外したアドレスも含まれることがあります。
MyRouter# show ip dhcp conflict実際の実行例がこちら(今はまだ検知していません)。
MyRouter#show ip dhcp conflict
IP address Detection method Detection time VRF
MyRouter#特権モード用パスワードの設定
特権モードに入る際のパスワードを設定します。
MyRouter(config)# enable secret mysecretpass- enable secret:特権モード用の暗号化されたパスワードを設定します(ここでは「mysecretpass」に設定しています)。
インターフェース(VLAN)の設定
次に、内部ネットワーク(LAN側)用のVLAN 1にIPアドレスを設定します。また、DHCPサーバが機能するためには、PCと接続するインターフェースにIPアドレスが設定されている必要があります。
MyRouter(config)# interface Vlan1
MyRouter(config-if)# ip address 192.168.1.254 255.255.255.0
MyRouter(config-if)# no shutdown- interface Vlan1:内部ネットワーク用の仮想インターフェース(VLAN 1)に移動します。
- ip address 192.168.1.254 255.255.255.0:LAN内のデフォルトゲートウェイ用のIPアドレスを設定します。
- no shutdown:インターフェースを有効化します。
インターネット接続用のWAN設定(GigabitEthernet8)
ISPや上位ルータからIPアドレスをDHCPで取得するように設定します。
MyRouter(config)# interface GigabitEthernet8
MyRouter(config-if)# ip address dhcp
MyRouter(config-if)# no shutdown- ip address dhcp:WANインターフェースがDHCPで自動的にIPアドレスを取得するよう設定します。
NATの設定(内部LANからインターネットへ)
内部LANがインターネットにアクセスできるように、NAT(ネットワークアドレス変換)を設定します。
NAT内向き(inside)インターフェースの設定
MyRouter(config)# interface Vlan1
MyRouter(config-if)# ip nat insideNAT外向き(outside)インターフェースの設定
MyRouter(config)# interface GigabitEthernet8
MyRouter(config-if)# ip nat outsideNATルールの設定 内部ネットワーク(192.168.1.0/24)のアドレスをNATで外部に変換します。
MyRouter(config)# access-list 1 permit 192.168.1.0 0.0.0.255
MyRouter(config)# ip nat inside source list 1 interface GigabitEthernet8 overload- ip nat inside source list:内部IPアドレスを外部に変換するNAT設定です。overload オプションを使うことで、1つの外部IPに対して複数の内部ホストをマッピングできます。
実際にNATの動作を確認
CiscoルータのWAN側インターフェース(今回であれば、GigabitEthernet8)にLANケーブルを接続し、DHCPでIPアドレスを取得できているかを確認します。
インターフェースのステータスを確認する
まず、物理的なインターフェースが正常に動作しているか、またはリンクが確立されているかを確認するために、次のコマンドを実行します。
MyRouter# show ip interface brief
Interface IP-Address OK? Method Status Protocol
※一部省略
GigabitEthernet8 192.168.2.102 YES DHCP up up
- IP-Address: DHCPで割り当てられたIPアドレスが表示されます。
- Method: DHCP と表示されていれば、DHCPでIPアドレスを取得していることが確認できます。
- Status と Protocol: どちらも up であれば、インターフェースがアクティブでリンクが確立されていることを示します。
詳細なインターフェース情報を確認する
インターフェースの詳細な状態や、DHCPで取得した情報をさらに詳しく確認したい場合は、次のコマンドを使用します。
MyRouter# show dhcp leaseこのコマンドにより、DHCPで取得したIPアドレスや、リース期間、DHCPサーバの情報などが表示されます。
インターフェースのDHCP設定を確認する
もしインターフェースにDHCPでIPアドレスを取得する設定がされているか確認したい場合は、以下のコマンドで確認します。
MyRouter# show running-config interface GigabitEthernet8DHCPサーバとの通信を確認する
DHCPのプロセスに問題が発生していないか確認するために、次のコマンドでDHCP関連のログを確認できます。
MyRouter# show ip dhcp bindingこのコマンドでは、DHCPサーバがどのデバイスにIPアドレスを割り当てたかを確認できますが、ルータがクライアントとしてDHCPを利用している場合には、主に show dhcp lease コマンドで確認します。
設定の保存
設定を保存しておかないと、ルータが再起動したときに設定が消えてしまいます。
MyRouter# copy running-config startup-configもしくは、
MyRouter# write memoryこれで、すべての設定が保存され、次回の起動時に再適用されます。
まとめ
以上が、Cisco 891ルータを購入した際に行う初期設定及びコマンド類です。この設定を行えば、LANとWANの基本的な通信が可能になり、家庭や小規模オフィスのネットワークの基盤を構築できます。
さらに高度な設定やセキュリティ強化について知りたい場合は、VLANの設定やVPNの構築、ACL(アクセスリスト)の設定も行うといいと思います。
この作業をしている途中で特権EXECモードのパスワードを変更したのですが、微妙にタイプミスしたのか昇格できなくなってしまいました。。
ルータ全体を工場出荷状態にリセットするのではなく、設定を保持したまま特権モードのパスワードだけを再設定しようと思います。
みなさんもご注意ください。
コメント