前記事では固定IPアドレスオプションなしの場合を書いてましたが、こちらでは固定IPオプションがある場合を書こうかと思います。

Nuroの固定IPオプションは別セグメントで貰えるので、ちょっと工夫が必要です。

こちらはRTX1210を利用してますが、1200でも問題ないです。

 接続用固定IPアドレス                    オプションなしの固定IPと同じルーター用1個

 DHCP割当のIPアドレス                  前記事と同じDHCPのアドレス

 固定IPオプションのIPアドレス      接続用固定IPとは別セグメントのIPアドレス

                                                        オプションによって貰える個数が違います

上記のように貰えるので、3系統しかないRTX1200系では全部収容するのが面倒です。

僕はRTX1210のLAN1を分割して収容することにしました。

ONU LAN1 -------- RTX1210 LAN2

ONU LAN2 -------- RTX1210 LAN1分割の7、8ポート

                                RTX1210 LAN1分割の1～6ポート ------------ 公開サーバ等々

                                RTX1210 LAN3 ------------ スイッチ ------------ PC等々

実際の設定は下記の通りとなります。

フィルタ、機器設定等は入れてません。ごめんなさい。

# LAN1インターフェース分割
# vlan1 LAN1-1 ～ LAN1-6
# vlan2 LAN1-7 ～ LAN1-8

lan type lan1 port-based-option=divide-network

vlan port mapping lan1.1 vlan1
vlan port mapping lan1.2 vlan1
vlan port mapping lan1.3 vlan1
vlan port mapping lan1.4 vlan1
vlan port mapping lan1.5 vlan1
vlan port mapping lan1.6 vlan1
vlan port mapping lan1.7 vlan2
vlan port mapping lan1.8 vlan2

# インターフェースIPアドレス設定

ip vlan1 address NuroBizで貰った固定IPオプションのアドレス/サブネット
ip vlan2 address dhcp
ip lan2 address NuroBizで貰った接続用固定IPアドレス/サブネット

ip lan3 address LAN側アドレス/サブネット

# デフォルトゲートウェイ設定

ip route default gateway Nuroで指定されたゲートウェイ gateway dhcp vlan2 filter 1

# ゲートウェイ振り分け用のIPフィルタ

ip filter 1 pass LAN側一部アドレスを指定 * * * *

# NATデスクリプタ設定
# 固定IP側

ip lan2 nat descriptor 1000
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 NuroBizで貰った固定IP
nat descriptor address inner 1000 116.82.245.59 192.168.100.1-192.168.100.49 192.168.100.80-192.168.100.254 192.168.103.1-192.168.103.254
nat descriptor masquerade static 1000 1 116.82.245.59 udp 500
nat descriptor masquerade static 1000 2 116.82.245.59 esp
nat descriptor masquerade static 1000 3 116.82.245.59 udp 4500
nat descriptor masquerade static 1000 4 116.82.245.59 udp 1701
nat descriptor masquerade incoming 1000 reject
nat descriptor timer 1000 tcpfin 10
nat descriptor timer 1000 protocol=udp port=domain 30

# DHCP側

ip vlan2 nat descriptor 2000
nat descriptor type 2000 masquerade
nat descriptor address outer 2000 primary
nat descriptor address inner 2000 DHCP側をゲートウェイとするアドレス群(表記は 192.168.1.1-192.168.150みたいにハイフンでつなぐ)

nat descriptor masquerade incoming 2000 reject
nat descriptor timer 2000 tcpfin 10
nat descriptor timer 2000 protocol=udp port=domain 30

# フィルター適用

# フィルタは固定側とDHCP側を別々に書く

ip filter source-route on
ip filter directed-broadcast on

# 侵入検知設定
# 固定IP側

ip lan2 intrusion detection in on
ip lan2 intrusion detection in ip on reject=off
ip lan2 intrusion detection in ip-option on reject=off
ip lan2 intrusion detection in fragment on reject=off
ip lan2 intrusion detection in icmp on reject=off
ip lan2 intrusion detection in udp on reject=off
ip lan2 intrusion detection in tcp on reject=off
ip lan2 intrusion detection in default off
ip lan2 intrusion detection out on
ip lan2 intrusion detection out winny on reject=off
ip lan2 intrusion detection out share on reject=off
ip lan2 intrusion detection out default off

# DHCP側

ip vlan2 intrusion detection in on
ip vlan2 intrusion detection in ip on reject=off
ip vlan2 intrusion detection in ip-option on reject=off
ip vlan2 intrusion detection in fragment on reject=off
ip vlan2 intrusion detection in icmp on reject=off
ip vlan2 intrusion detection in udp on reject=off
ip vlan2 intrusion detection in tcp on reject=off
ip vlan2 intrusion detection in default off
ip vlan2 intrusion detection out on
ip vlan2 intrusion detection out winny on reject=off
ip vlan2 intrusion detection out share on reject=off
ip vlan2 intrusion detection out default off

こんな感じでざっくりと。

LAN1で分割しているVLAN間はちょっと速度遅くなりがちですが、まぁ許容範囲。

VPNは接続用固定IPに宛ててますが、Nuro的に正しいのかは微妙です。

繋がっちゃってるので使ってますが、本来なら固定IPオプション側へ宛てるのが正解なのかもしれません。

そんな感じでNuroの高速回線を満喫してください。

画像は目一杯速度が出ている状態を撮っています。たんなる見栄はりです。