NTT-ME MN8300

NTT-ME MN8300

NTT-ME MN8300 ルータ

2004年5月21日、 PC EXPOT 秋葉原本店を覗いてみたら、 NTT-ME MN8300 の超美品中古が格安だったので購入しました。 2003年8月26日に定価19,800円で発売開始。 2004年5月現在、現行機種で、実売新品価格は 15,000円前後です。

実効スループットは FTP測定 99Mbps、PPPoE測定 99Mbps で、コンシューマー用としては現在（2004年5月）最高速のルータです！！！

購入時のファームウェアのバージョンは Ver1.04 だったので、最新バージョンにアップグレードしました。

光アクセスサービス対応の超高速ブロードバンドルータ
高速な Intel IXP422 ネットワーク・プロセッサを搭載し、実効スループットは [ FTP測定：99Mbps ] [ PPPoE測定：99Mbps ] です。
PPPoEマルチセッション機能対応
異なる複数のPPPoEセッションを最大8セッション同時に接続することができます。
UPnPマルチセッション機能対応
UPnPマルチセッション機能を装備し、Windows Messenger、MSN Messenger を MN8300 の LANポートに接続した複数台のパソコンから同時に利用できます。また、PPPoEメインセッションだけでなく、PPPoEサブセッションでもUPnP対応アプリケーションソフトウェアを利用することが可能です。
GapNAT機能対応
NAT機能を利用しているのにも関わらず、MN8300 の LANポートに接続したパソコンに直接グローバルIPアドレスを割り当てたのと同じ環境を簡単に構築できる GapNAT（Global Address Proxy with NAT）機能に対応しています。これにより、DMZの構築、ネットワークゲームの利用、グローバルIPアドレス端末とプライベートIPアドレス端末の混在ネットワーク環境の構築が可能となります。また、複数グローバルIPアドレスを利用する場合にも同様の使い勝手を実現する「マルチGapNAT機能」も搭載しています。
DMZポート搭載
LAN4 ポートを DMZ ポートとして利用できます。 GapNAT・マルチGapNAT利用時にグローバルIPアドレスの割り当てられるセグメントを DMZポートに固定することで DMZポートと LANポート間を切り離し、外部からの接続をすべて DMZポートに転送します。これにより高いセキュリティを確保したネットワーク構築が可能です。
PPPoEブリッジ機能
MN8300 を PPPoE ルータとして動作している状態で、MN8300 の LANポートに接続したパソコン上で PPPoEクライアントソフトウェアを利用することが可能です。
複数固定グローバルIPアドレス対応
複数のグローバルIPアドレスを取得して LAN 型で利用する接続形態に対応します。また、ネットワーク側に IPアドレスを付与しない unnumbered の接続形態にも対応します。
充実したセキュリティ機能
「ステートフル・パケット・インスペクション（SPI）」、「アクセス制限」、「ワンタッチフィルタ」、「ワンタッチNAT」、「ステルスモード」などの充実したセキュリティ機能を搭載しています。
ダイナミックDNSサービス対応
ダイナミックDNSサービスに対応しています。固定のグローバルIPアドレスを持っていない場合でも、公開したサーバに自分専用のドメイン（ホスト名）を使って外部からアクセスすることができます。対応するダイナミックDNSサービスは以下の通りです。
　　DynDNS.org 　　Dynamic DO!.jp 　　MyDNS.JP 　　miniDNS.net
VPNパススルー機能
VPNパススルー機能を搭載し、PPTP、IPsec、L2TPを利用したVPN環境を構築できます。また、複数のPPTPセッション同時にパススルーが可能な「PPTPマルチパススルー機能」に対応しています。
フレッツ・スクウェア設定プリセット
NTT東日本・NTT西日本が提供する「フレッツ・スクウェア」に PPPoEサブセッション経由で接続し、インターネットと同時に「フレッツ・スクウェア」のさまざまなコンテンツを利用することが可能です。また、NTT東日本・NTT西日本それぞれの「フレッツ・スクウェア」に接続するための設定がプリセットされ、「おまかせ設定」ページでNTT東日本・NTT西日本のどちらかを選択するだけで簡単に設定することが可能です。
フレッツ・コネクト対応
NTT東日本が提供する IPテレビ電話サービス「フレッツ・コネクト」に PPPoEサブセッション経由で接続し、インターネットと同時に高品質なテレビ電話を利用することが可能です。
フレッツ・グループアクセス対応
NTT東日本が提供する IP-VPNサービス「フレッツ・グループアクセス」に PPPoEサブセッション経由で接続し、インターネットと同時にプライベートネットワークの構築が可能です。
BROBA 対応
NTT-BB が提供する「BROBA」に PPPoEサブセッション経由で接続し、インターネットと同時にさまざまな高品質コンテンツや映像コミュニケーションを利用することが可能です。
Xbox 対応
Xbox を MN8300 の LANポートに接続して、マイクロソフトの提供するオンラインネットワークサービス Xbox Live が利用できます。
「おまかせ設定」で簡単セットアップ
設定は、WWWブラウザの設定画面に入力するだけで簡単にセットアップできます。「ユーザID」、「パスワード」、「フレッツ・スクウェア使用の有無」などを入力するだけでプリセットされた設定内容が自動的に設定される「おまかせ設定」と、機能ごとに詳細な設定が可能な「詳細設定」の2つの設定モードで設定が可能です。

とりあえず使ってみました

このルータって製作元は住友電工でしょう！
だって、メニューの構成やIPフィルタなどの構成や機能が ADSL MODEM Router TE4121C とほとんど同じなのです。 TE4121C の設定には精通しているので、私には簡単に設定できます。

設定に「おまかせ設定」というのがあります。とりあえず、これを選んでみました。

接続モードにPPPoE（端末型）、ユーザーID、パスワード、中継パフォーマンス設定、フレッツスクウェアなどを設定するだけで MN8300 の設定完了です。中継パフォーマンスには「セキュリティ優先」と「スループット優先」が選択できます。
「セキュリティ優先」を選択すると「SPI機能」が ON となり、「IPフィルタ」には適度な設定がされます。「接続先設定」は「PPP自動接続：常にする」になります。
「アクセス制限設定」で「ICMP、IDENTだけは許可する」にチェックを入れました。 IDENT を通す設定にしておかないと、メールやFTPの認証に時間がかかることがあります。タイムアウトになるまで待たされるので数秒余計に時間がかかることになります。

NTT-ME MN8300 の構成品

左の写真はフロントパネルです。 WAN と LAN の状態などを表示します。変わったところでは、メール着信を知らせる MAIL ランプもあります。

右の写真はリアパネルです。コネクタは上から、WAN-IN、LAN4/DMZ、LAN3、LAN2、LAN1、DC-IN です。 WAN-IN と LAN4/DMZ の間にある丸い穴の先には RESET スイッチがあります。

WANポートとLANポートいずれも 100M/10M オートネゴシエーションで、AutoMDI/MDI-Xに対応しているので、ケーブルのストレート/クロスを気にする必要はありません.

ACアダプタはスイッチング方式で軽いです。本体の DCジャックと ACアダプタの DCプラグはカチッとロックされ、抜けにくい構造です。 ACアダプタ出力は DC12V / 1A です。

これが MN8300 に内蔵されている基板です。一番大きなチップが Intel IXP422 です。スイッチコントローラには多くのマネージメント機能を持った KINDIN KS8995M が使われています。

IPフィルター設定

左の画面は「IPフィルタ設定」です。 MN8300 のマニュアルには詳しい設定方法が何にも書かれていません。そこで、これの設定方法について解説します。

「IPフィルタ設定」以外の設定方法については付属の MN8300 高速ブロードバンドルータマニュアルで理解できます。

MN8300 の IPフィルタは、 中継フィルタではなく各インタフェースでどうするかというフィルタ です。
インタフェースの定義で、例えば [接続先1から受信] とすると、これは受信する入口で効かせるフィルタを定義することになります。
MN8300 には IPフィルタリストが1つしかありません。優先度の若い番号から順にパケットを評価します。
IPフィルタリストには最大128個のエントリを記述できますが、インタフェース毎に設定が必要なため、マルチセッションで使用する場合は、インタフェースが異なるだけの類似の設定が必要となります。

IPフィルタリストにはデフォルトで以下の15個の設定がされています。

　　No.1～ 6： プライベートアドレスを使用した外部装置との通信を禁止
　　No.7    ： 外部装置から開始されるTCPセッションを遮断
　　No.8～15： 外部とのWindows共有関係のトラフィックを遮断

№	優先度	インタフェース	送信元IPアドレス/マスク長	送信先アドレス/マスク長	プロトコル	送信元ポート番号	送信先ポート番号	アクション
1	50	接続先1から受信	10.0.0.0/8	0.0.0.0/0	*	*	*	非通過
2	51	接続先1から受信	172.16.0.0/12	0.0.0.0/0	*	*	*	非通過
3	52	接続先1から受信	192.168.0.0/16	0.0.0.0/0	*	*	*	非通過
4	53	接続先1へ送信	0.0.0.0/0	10.0.0.0/8	*	*	*	非通過
5	54	接続先1へ送信	0.0.0.0/0	172.16.0.0/12	*	*	*	非通過
6	55	接続先1へ送信	0.0.0.0/0	192.168.0.0/16	*	*	*	非通過
7	60	接続先1から受信	0.0.0.0/0	0.0.0.0/0	TCP-SYN	*	*	非通過
8	65	接続先1へ送信	0.0.0.0/0	0.0.0.0/0	*	137-139	*	非通過
9	66	接続先1へ送信	0.0.0.0/0	0.0.0.0/0	*	*	137-139	非通過
10	67	接続先1へ送信	0.0.0.0/0	0.0.0.0/0	*	445	*	非通過
11	68	接続先1へ送信	0.0.0.0/0	0.0.0.0/0	*	*	445	非通過
12	69	接続先1から受信	0.0.0.0/0	0.0.0.0/0	*	137-139	*	非通過
13	70	接続先1から受信	0.0.0.0/0	0.0.0.0/0	*	*	137-139	非通過
14	71	接続先1から受信	0.0.0.0/0	0.0.0.0/0	*	445	*	非通過
15	72	接続先1から受信	0.0.0.0/0	0.0.0.0/0	*	*	445	非通過
16
17

例えば、インターネット側からの WWW ポートを LAN側に中継させたい場合は、以下の記述となります。

　　　　　　　 インタフェース: 接続先1から受信
　　送信元IPアドレス/マスク長: 0.0.0.0/0
　　送信先IPアドレス/マスク長: 接続先1(PPP取得)
　　　　　　　　　 プロトコル: TCP
　　　　　　 送信元ポート番号: www
　　　　　　 送信先ポート番号: www
　　　　　　　　　 アクション: 通過

IPフィルター設定項目の詳細

MN8300 の IPフィルタ設定画面での設定項目は以下のようになっています。
　[優先度] [I/F] [IP-SA] [IP-DA] [プロトコル] [SP] [DP] [アクション]
このような設定が128個設定できます。 [IP-SA] [IP-DA] [プロトコル] [SP] [DP] での項目で何をチェックしているのかと言うと、[I/F] を通過しようとしているパケットのヘッダーを評価しているのです。 TCP/IP等のヘッダーにはこれらの情報があります。

優先度
数字が小さいものほど優先度が高いです。優先度の高いものから順にパケットと設定条件が合うかをチェックします。条件が合致すると [アクション] で指定した動作を実行します。条件が合致したらそこでチェックは終わりです。設定を全部チェックしても条件が合致しなかったら、そのパケットは通過します。
I/F
インタフェースです。 [WAN-in] [WAN-out] [LAN-in] [LAN-out] の4種類が指定できます。 MN8300 の IPフィルタリストでは、それぞれ順に [接続先1からの受信] [接続先1へ送信] [LANから受信] [LANへ送信] と表示されます。

インタフェースの概念図です。
```
　① WAN-in  : WAN    → MN8300　・・・　[接続先1からの受信]
　② WAN-out : MN8300 → WAN   　・・・　[接続先1へ送信]
　③ LAN-in  : LAN    → MN8300  ・・・　[LANから受信]
　④ LAN-out : MN8300 → LAN   　・・・　[LANへ送信]
```
インタフェースに [自分宛] を選択した時は、「自分 = MN8300」ですから、設定用WWWを指定したことになります。

IP-SA
ソースIPアドレスです。 xx.xx.xx.xx/xx の表記とします。「0.0.0.0/0」は全てのIPアドレスという意味になります。

　I/F が [WAN-in]  の場合 ： WAN の ホストIPアドレスを指定します。
　I/F が [WAN-out] の場合 ： MN8300 の WAN 側 IPアドレスを指定します。
　I/F が [LAN-in]  の場合 ： LAN の ホストIPアドレスを指定します。
　I/F が [LAN-out] の場合 ： MN8300 の LAN 側 IPアドレスを指定します。

IP-DA
ディスティネーションIPアドレスです。 xx.xx.xx.xx/xx の表記とします。「0.0.0.0/0」は全てのIPアドレスという意味になります。

　I/F が [WAN-in]  の場合 ： MN8300 の WAN 側 IPアドレスを指定します。
　I/F が [WAN-out] の場合 ： WAN の ホストIPアドレスを指定します。
　I/F が [LAN-in]  の場合 ： MN8300 の LAN 側 IPアドレスを指定します。
　I/F が [LAN-out] の場合 ： LAN の ホストIPアドレスを指定します。

プロトコル
TCP, UDP, ICMPなどのプロトコルを指定します。「*」を指定すると全てのプロトコルを意味します。

SP
ソースポート番号です。「*」を指定すると全てのポート番号を意味します。「137-139」と書くと137,138,139のポート番号を指定したことになります。「www」と書くとポート番号80を指定したことになり、「www」の代わりに「80」と書いても構いません。

　I/F が [WAN-in]  の場合 ： WAN の ホストポート番号を指定します。
　I/F が [WAN-out] の場合 ： MN8300 の WAN 側ポート番号を指定します。
　I/F が [LAN-in]  の場合 ： LAN の ホストポート番号を指定します。
　I/F が [LAN-out] の場合 ： MN8300 の LAN 側ポート番号を指定します。

DP
ディストネーションポート番号です。「*」を指定すると全てのポート番号を意味します。「137-139」と書くと137,138,139のポート番号を指定したことになります。「www」と書くとポート番号80を指定したことになり、「www」の代わりに「80」と書いても構いません。

　I/F が [WAN-in]  の場合 ： MN8300 の WAN 側ポート番号を指定します。
　I/F が [WAN-out] の場合 ： WAN の ホストポート番号を指定します。
　I/F が [LAN-in]  の場合 ： MN8300 の LAN 側ポート番号を指定します。
　I/F が [LAN-out] の場合 ： LAN の ホストポート番号を指定します。

アクション
以上で説明した各設定項目が合致した時にどうするかということを記述します。 [通過] [非通過] のいずれかを設定します。