ルータの2段動作のための設定
さまざまな事情で、ADSLモデム(ADSLルータ)+ブロードバンドルータ(BBR)のようにルータを2段で動作させたい方が多いようなので、ポイントをまとめてみました。ここでは、ルータ固有の話は千差万別でとても書ききれないので、以下の内容を参考にして、各ルータの説明書を見て設定してください。
なお、ここでは以前おやじがやっていた、ADSLモデムとBBRの間のネットワークにサーバを置くような形態は想定していません。しかし、下記をご理解いただければ、容易に対応は可能と思います。
各ルータをどう動かすかは、目的によって変わってきます。おやじが考えられる動作モードの組み合わせは、以下の4つのケースです。設定の難易度は、後者のケースほど難しくなるとともに、ルータに要求される機能も多くなります。また、ゲームやIP電話等の機能の利用も、余計なものが増えるので後者ほど制約が増えます。なるべくなら、ルータが1段で動作するケース1/2を推奨します。
| ケース. |
ADSLモデム |
BBR |
難易度 |
要求機能 |
制約 |
備 考 |
|
1 |
ブリッジ |
ルータ(NAPT) |
易 |
低 |
小 |
ゲーム対応等で、BBRの機能を中心に使用したい。
|
|
2 |
ルータ(NAPT) |
ブリッジ |
↓ |
↓ |
↓ |
ゲームやIP電話等、ADSLルータの機能を使用し、BBRも活用したい。
|
|
3 |
ルータ(NAPT) |
ルータ(NAPT) |
↓ |
↓ |
↓ |
|
4 |
ルータ(NAPT) |
ルータ |
難 |
高 |
大 |
ここで、ブリッジとルータとNAT(NAPT)ルータの違いについて、簡単に示します。詳しくは、インターネット検索でいくらでもみつかりますので、そちらを参考にしてください。なお、DNSについては、ここの話に直接関係ないので触れておらず、名前解決はできているものとしてあります。
- ブリッジ
ブリッジは、簡単に言うと針金と等価であり、全てのパケットがトランスペアレントに通過する。具体的な機器としてはSW-HUB(BBRのLAN側も同じ)がある。(厳密には、バカHUBは針金と等価であるが、SW-HUBはMACアドレス学習機能があるため、ブロードキャストパケット以外はターゲットとなる端末にしか流れない。)ここでいうADSLモデムのブリッジモードも本来のブリッジとは異なるが、PPPoEパケットをトランスペアレントにLAN側間に中継するので、こう呼ばれている。
ブリッジで接続される範囲をサブネットといい、192.168.1.0/24等のアドレス空間をひとまとめにしたものである。異なるアドレス空間の端末どうしは、例え、同じHUB配下に接続しても通信はできない。身近な例としては、ルータの設定をしようとパソコンをつないだが、ルータがアドレスが192.168.1.1/24でパソコンが192.168.0.1/24であった場合に、設定画面がでないというのがある。つまり、IPアドレスをサブネットマスクでアンドをとった結果、別に言い方をするとIPアドレスの上位からnビット(サブネットマスク値:xxx.xxx.xxx.xxx/24は上位24ビットのこと。/24は、10進数表現では255.255.255.0となる)が同じ端末同士しか、ブリッジ上では通信できない。
- ルータ
ルータは、上記の異なるサブネット間をルーティングする機器である。前述のように、192168.0.0/24と192.168.1.0/24のアドレス空間どおしは、ブリッジ上では直接通信することができないが、ルータを介することにより通信が可能になる。ルータは、内部に静的(スタティック)あるいは動的(ダイナミック)に生成されたルーティングテーブルに基づき、ネットワーク相互間のパケット中継を行う機器である。静的なルーティングテーブルは、ルータの設定画面等からあらかじめ登録する。動的というのは、Rip等のルーティングプロトコルで対向装置間で自分の知っているルーティング情報をやり取りする中で生成されていく。ルーティングテーブルは端末でも持っており、それに基づいてパケットを投げている。コマンドプロンプトから「netstat
-r」と入力すると、その端末の現在のルーティングテーブルの内容をみることができる。ルーティングテーブルには、ネットワーク(アドレス+ネットマスク)とインタフェース(物理ポート)とそのネットワークへ行くためのゲートウェイ他が登録されている。
C:\>netstat -r
Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...44 45 53 54 42 00 ...... NOC Extranet Access Adapter
0x1000004 ...00 90 98 24 65 75 ...... corega FEther PCI-TXM Ethernet Adapter
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.100 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.100 192.168.1.100 1
192.168.1.100 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.1.255 255.255.255.255 192.168.1.100 192.168.1.100 1
224.0.0.0 224.0.0.0 192.168.1.100 192.168.1.100 1
255.255.255.255 255.255.255.255 192.168.1.100 2 1
Default Gateway: 192.168.1.1
===========================================================================
Persistent Routes:
None
|
簡単な端末を含めた通信の仕組みを以下に示す。
- 端末が自分と同じサブネット内の端末にパケットを投げる場合(1項と同じ)は、相手のIPアドレスからARPというアドレス解決手段によって、相手端末のMACアドレスを取得しそこに向かってパケットを投げる。これが、IP通信の基本的な動作であり、ルータを介した場合も最後の通信のところは、このレベルになる。
- 端末が自分と異なるサブネット内の端末(インターネットを含む)にパケットを投げる場合は、相手のIPアドレスから該当するルーティング情報がないかルーティングテーブルを検索し、該当するものがない場合は、デフォルトルート(ルーティングテーブル上は、network:
0.0.0.0、netmask: 0.0.0.0で表される)に投げる。別の言い方をすれば、表現は悪いがデフォルトルートは行き場のないパケットを投げる掃き溜めみたいなもの。端末の場合、デフォルトルートにはゲートウェイとして、端末で設定したデフォルトゲートウェイ(通常は、BBRのLAN側アドレス)が登録されており、結果、そこに向かってパケットを投げることになる。以降、アドレス解決してパケットを投げるところは1項と同じである。
- ルータは、端末からのパケットを受け取ると、宛先IPアドレスから端末と同様にルーティングテーブルを検索し、該当するポートからその先のゲートウェイ、もしくは端末に向けてパケットを中継する。インターネット向けであれば、WAN側に設定されているデフォルトルートに投げることになる。ここには、PPPoEのセッション確立時にISPから通知されたゲートウェイアドレス(ISPの一番ユーザ側に設置されたルータのアドレス)が設定されているはずである。
- NAT(NAPT)ルータ
ここでは、ADSLルータやBBRでは、ポート変換まで行うNAPTで使うのが一般的なのでこれに限定する。ルータとNAPTルータの違いは、ルータは単にルーティングテーブルに基づきパケット中継するだけなのに対して、NAPTルータでは、内部に送信元アドレス(ADSLルータやBBRではLAN側の端末等に付与したプライベートアドレス)とNAPTした側で使用するポート(WAN側で使用するポート)の対応テーブルをアクセスがある度に動的に作成し、パケットの送信元アドレス(ソースアドレス)をWAN側に付与されたアドレスに変換するとともに、ポート番号を変換して送信するという違いがある。言い換えると、NAPTによりWAN側からみると、NAPTルータが同時に多数の通信をしている1台の端末のように見えると言うこと。同時に、LAN側のアドレスはまったくWAN側からは見えないため、直接アクセスできないので、NAPTが簡易的なファイヤウォールになると言われる所以である。これに対して、ルータはアドレスやポートに一切手を加えないため、送信元アドレスやポートはそのまま相手に届くので、ルーティングテーブルさえできていれば相互通信が可能になる。
■ケース1の設定方法
ケース1は、ルータ機能を持っていないADSLモデムを使用した場合とまったく同じであり、説明するまでもない。この環境で何ができるかは、BBRの機能しだいとなる。従って、ADSLルータの機能(IP電話等)を使いたい場合は、本方法は採れない。
- 接続方法
ADSLモデムのLAN側とBBRのWAN側をストレートケーブルで接続する。
- ADSLモデムの設定
ADSLモデムを説明書に従い、ブリッジモードに設定するが、ブリッジモードなのでほとんど設定はないはずである。なお、LAN側アドレスはBBRのLAN側アドレス(ここの例では、192.168.1.1/24)と同じにしておくと良い。同じアドレスは問題と思われるかもしれないが、上図に示したようにBBRのWAN側まではPPPoEで動作しているため、BBRはこのアドレスで通信されるIPパケットを認識できない。このようにしておくと、設定変更等でADSLモデムの設定を触るときに、ADSLモデムのLAN側を外し、そこにクライアントをつなぐだけで設定変更ができるので非常に便利である。もし異なるアドレスを設定すると、そのたびにクライアントの設定を変更しなければならなくなる。
- BBRの設定
こちらも、一般的なWAN側がPPPoEのNATルータとしての設定を行えばよい。サーバで使用しているポートはポートマッピングでサーバ(192.168.1.100/24)に向け、フィルタも適切に設定する。
■ケース2の設定方法
ケース2は、NATルータとして動かしたADSLモデムの配下にLANのポートを増やすためSW-HUBを接続したのと等価である。本来、SW-HUBを買えばいいのだが、余っているBBRを活用したい、BBRの無線LAN機能をそのまま使いたい等の場合に有効である。この方法では、ルータとしての機能は全てADSLモデムに任されるので、ADSLモデムが持つ機能(IP電話等)も使用でき、NATルータが1段しかないため制約も少なく、ADSLルータのもつ機能をフルに使うことができる。
- 接続方法
ADSLモデムのLAN側とBBRのLAN側をクロスケーブルで接続する。BBRのWAN側は使用しないためアラームが出ることもあるが、動作には支障はない。なお、いずれかのLANのポートがカスケード対応されていれば、ストレートケーブルで接続できる。
- ADSLモデムの設定
ADSLモデムを説明書に従い、一般的なWAN側がPPPoEのNATルータとしての設定を行えばよい。サーバで使用しているポートはポートマッピングでサーバ(192.168.1.100/24)に向け、フィルタも適切に設定する。
- BBRの設定
こちらは、単なるSW-HUBと使用するだけであるが、素材がルータのためいくつか設定が必要になる。ひとつは、LAN側のアドレスである。SW-HUBならエージェント機能付きならいざ知らず、一般家庭向けではアドレスを持っていることはないが、BBRの場合はアドレスを持っている。そこで、他の端末等とぶつからないアドレス(ここでは、192.168.1.10/24)を付与する。また、DHCP機能を動かしていたなら、停止する必要がある。DHCP機能が必要ならADSLモデムの機能を使用すればいい。なお、各クライアント/サーバのゲートウェイアドレスは当然のことながら、ADSLモデムのLAN側の(192.168.1.1/24)を指定する。
■ケース3の設定方法
ケース3は、ケース2だとクロスケーブルが必要になったり、LANポートが不足する等への対策案である。但し、NATルータが2段になる分、それぞれのルータが持つ制限がオア条件で効いてくるため制約が多くなるという欠点がある。反面、NATが2段になるので、セキュリティ的にはいくらか高くなるが、サーバが同じネットワークにいるためあまり効果がない。できるなら、ADSLモデムとBBRの間にSW-HUBを置き、そこにサーバを移したほうがクライアントを守るという意味では強固になる。
このケースでの、各ルータの動きは次のようになる。ADSLルータから見れば、BBRがNATしているためサーバ/クライアント機能を持つパソコンが1台、BBRのWAN側アドレス(ここでは、192.168.0.2/24)でぶら下がっているようにしか見えない。一方、BBRから見れば、CATVの固定IPサービスを受けているようにしか見えないため、各ルータの設定は、これにあわせた設定になる。なお、このケースでは家庭内にルータが存在するので、二つのアドレス空間(ネットワーク)が必要になるので、予め決めておく必要がある。二つのアドレス空間(ネットワーク)とは、ADSLのLAN側からBBRのWAN側のエリアとBBRのLAN側の二つである。プライベートアドレスでサブネットが異なれば何でもかまわない。
- 接続方法
ADSLモデムのLAN側とBBRのWAN側をストレートケーブルで接続する。
- ADSLモデムの設定
ADSLモデムを説明書に従い、一般的なWAN側がPPPoEのNATルータとしての設定を行えばよい。サーバで使用しているポートはポートマッピングでサーバ(ここではBBRのWAN側である192.168.0.2/24)に向け、フィルタも適切に設定する。なお、ここではポートマッピングの変わりにDMZ機能も使用でき、この場合、DMZ用のIPアドレスとしてBBRのWAN側アドレスである192.168.0.2/24を登録する。但し、DMZを使用するとWAN側から始まる通信は全て、BBRまで到達するのでセキュリティ対策は、BBRに依存することになる。従って、少し不便ではあるが、ポートマッピングでひとつずつ設定することを薦める。
- BBRの設定
こちらも、BBRの取扱説明書を参考にしながら、CATV接続(IPベースの固定IPサービス相当。yahooと同じ)相当で設定すればよい。一般的なWAN側が固定IPのNATルータとしての設定を行う。WAN側の設定は、IPアドレスは192.168.0.2/24、ゲートウェイアドレスは、ADSLルータのLAN側(192.168.0.1/24)を設置すればよい。サーバで使用しているポートはポートマッピングでサーバ(192.168.1.100/24)に向け、フィルタも適切に設定する。少し注意が必要なのは、BBRのWAN側もプライベートアドレスなので、BBRのフィルタで間違ってもプライベートアドレスの偽装フィルタ等は設定しないことである。
なお、各クライアント/サーバのゲートウェイアドレスは、BBRのLAN側の(192.168.1.1/24)を指定する。
■ケース4の設定方法
ケース4は、ケース2だとクロスケーブルが必要になったり、LANポートが不足するし、ケース3ではBBRのNAT機能で制約が多くなる等への対策案である。BBRは単なるルータとして動かすので、制約条件はケース2に近くなる。この形態が、いわゆる企業イントラネットと言われるもののミニ版である。
このケースでは、一箇所だけ他のケースでは出てこない設定が必要になり、今までのようにアドレスやフィルタを適切に設定してもうまく動かない。それは、ADSLルータがBBRのLAN側のネットワークの存在を知るすべがないからである。
ケース3の場合、端末Aから端末Bへのパケットは、それぞれのNATルータが送信元アドレス(SA:Source
Address)をポート番号へのマッピングをしながら自分のインタフェースアドレスに変換して、中継してくれる。帰りのパケットは、当然、自分のインタフェースアドレス宛てに帰ってくるので、そのポート番号から元のアドレス変換し前段に中継してくれるので、最終的に送信元である端末Aに帰ってくる。
これに対して、ケース4ではBBRが単なるルータとして動作しているため、ADSLルータには送信元アドレスは端末Aのまま到達するので、ADSLルータはこのアドレスをベースにマスカレードして中継する。帰りのパケットは、当然自分のインタフェースd宛てに戻ってくるので、逆変換するが、そのとき変換される送信先アドレスは当然Aとなる。しかし、ADSLルータのルーティングテーブルには、BBRとの間のネットワークしか載っていないため、中継先が分からなく廃棄してしまう。ケース3で問題が発生しないのは、ADSLルータからみた次の宛先が自分のインタフェースと同じネットワーク内、つまり自分のLAN側に収容している端末からの通信と同じだからである。
イントラネットでは、通常、Rip等のルーティングプロトコルでBBRのLAN側ネットワークの存在を通知し、ルーティングできるようにしている。BBRも機種によってはRipを実装しており、適切に設定すれば動作するはずである。しかし、以前、TE4121CとBLR-TX4とも機能を持っていたので試験してみたが、まともには動かなかったので、この方法はあまり薦められない。ここでは、動的にネットワークが動くこともないので、ほぼ確実に動作するスタティック設定を薦める。以下、これをベースに薦める。
- 接続方法
ADSLモデムのLAN側とBBRのWAN側をストレートケーブルで接続する。
- ADSLモデムの設定
ADSLモデムを説明書に従い、一般的なWAN側がPPPoEのNATルータとしての設定を行えばよい。サーバで使用しているポートはポートマッピングでサーバに向けるが、ケース3と異なるのはここで設定するのは、本当のサーバのアドレスである192.168.1.100/24となる。なお、ポートマッピングの変わりにDMZを使用することもできるのは、ケース3同様である。
次に、スタティックルーティングの設定で、Network1の存在を設定する。具体的には、Network:
192.168.1.0/24は、デフォルトゲートウェイ: 192.168.0.2/24として設定すればよい。メトリック値は1でかまわない。
- BBRの設定
こちらも、BBRの取扱説明書を参考にしながら、CATV接続(IPベースの固定IPサービス相当。yahooと同じ)相当で設定すればよい。一般的なWAN側が固定IPの一般ルータとしての設定(NATを使用しない)を行う。WAN側の設定は、IPアドレスは192.168.0.2/24、ゲートウェイアドレスは、ADSLルータのLAN側(192.168.0.1/24)を設定すればよい。単なるルータなので、ポートマッピングは不要、というよりできない。必要ならフィルタも適切に設定する。
なお、各クライアント/サーバのゲートウェイアドレスは、BBRのLAN側の(192.168.1.1/24)を指定する。
Top Pageへ 
