Internet - PPPoE Cisco Config


 ◆ インターネット接続 - PPPoE方式

 PPPoEによるISPからのIPアドレスの払い出しには端末払い出しLAN型払い出しの2種類があります。
PPPoEのIPアドレスの割当方式 説明
端末型払い出し

 1つのPPPoEセッションに1つのグローバルIPアドレスを動的に払いだす方式。Bフレッツ
 などを個人利用する場合、このグローバルIPアドレスは変動的であるのに対して、企業
 が利用する場合、固定のグローバルIPアドレスを取得できるように契約するのが一般的。
LAN型払い出し

 1つのPPPoEセッションに1つのグローバルIPセグメントを払いだす方式。IPセグメントは
 例えば /28 と付与される。その場合、グローバルIPアドレスが16個付与されることになる。
 ISPから付与されたIPセグメントを、ルータに対して管理者が事前に設定する必要がある。




 ◆ インターネット接続 - PPPoE (端末型払い出し) の設定

 PPPoEによる払い出し方式によって、Ciscoルータの設定が異なります。ここでは「端末型払い出し」での
 Ciscoルータのコンフィグ設定を紹介します。以下のコンフィグは下図ネットワーク構成に基づいています。

 Ciscoルータは、デフォルトでshutdownされている物理I/Fがあるので「no shutdown」を入力する必要が
 ありますとか、ルータとスイッチの統合したCiscoルータの場合なので、interface vlan 2、interface vlan 3
 などと作成するならグローバルコンフィグモードでvlan 2、vlan 3を作成する必要があるなどの基本は省略。


   


  


 NATの設定をしたインターフェースでは、自動的にip virtual-reassemblyというコマンドが自動的に設定
 されます。つまりインターフェースでVFR(Virtual Fragmentation Reassembly)機能が有効になりますが
 VFRはフラグメント化されたパケットを仮想的に再構築する機能なので自動的に追加されても問題ないです。
コンフィグ 説明
 pppoe enable

 物理インターフェースにおいてPPPoEを有効にする設定。pppoe enableとコンフィグ設定
 するとIOSバージョンによりpppoe enable group globalと表示される。group名を指定して
 いない場合、上記のようにデフォルトでは"global"というグループ名が使用されることになる。
 ※ バージョンにより本コマンドの入力不要であったり、入力しても非表示となる場合がある。
 pppoe-client dial-pool-number 1

 論理インターフェース (Dialer 1) を使用し、PPPoEセッションを確立するようにするための
 コマンド。物理I/F (GigabitEthernet 0) に設定されたpppoe-client dial-pool-number 1
 論理I/F (Dialer 1) で設定されたdialer pool 1の [ 1 ] が物理I/Fと論理I/Fをマッピングする。
 ip nat inside  NATまたはPAT における、内部( LAN側 )を定義するためのコマンド。
 ip tcp adjust-mss 1414  このI/Fを通過するTCPセッションは、TCPのMSSが1414byteでネゴシエーションする。
 interface Dialer1  Dialerインターフェースの定義。PPPoEセッションはこのDialerインターフェースで終端する。
 ip address negotiated  PPPセッションの確立時にIPアドレスが動的にアサインされる
 ip mtu 1454  IPパケットの最大送信サイズ。Bフレッツなどの場合は1454byteとする。
 ip nat outside  NATまたはPATにおける外部( インターネット側 )と定義するためのコマンド。
 encapsulation ppp  このI/FはPPPカプセル化により入出力を行うようにするためのコマンド。
 dialer pool 1  論理I/Fの dialer pool 1 と物理I/Fの pppoe-client dial-pool-number 1 の 1 がマップ。
 dialer-group 1

 グローバルコンフィグモードで定義するdialer-list 1とdialer-group 1の [ 1 ] がマッピング。
 dialer-list 1で定義したトラフィックがDialer1インターフェースから出ていくことでPPPoE
 セッションの確立要求が起動し、Dialer1インターフェースが [ up/up ] 状態へと移行する。
 ppp authentication chap callin  ISPと行うCHAP認証。callinの設定により、ISPによるユーザ認証の片方向のみとなる。
 ppp chap hostname
 cisco@cisco.com		  ISPとCHAP認証する際のユーザ名。ISPから付与された情報を設定する。 
 ppp chap password cisco  ISPとCHAP認証するの際のパスワード。ISPから付与された情報を設定する。
 ip route 0.0.0.0 0.0.0.0 Dialer1  インターネット通信のために、デフォルトルートはダイヤラーインターフェースを指定。
 ip nat inside source list 1
 interface Dialer1 overload

 アクセスリスト[ 1 ]に合致したトラフィックがインターフェースDialer 1 に割り当てられた
 グローバルIPアドレスを利用して、PAT変換される。overload がPATを示すコマンド。
 access-list 1
 permit 192.168.1.0 0.0.0.255

 192.168.1.0/24を送信元とするトラフィックがマッチする標準アクセスリスト。この設定では
 このアクセスリストは「PAT変換を行うための送信元のIPアドレスの定義」として利用する。
 dialer-list 1 protocol ip permit  dialer-list 1に適用させるトラフィックを指定。ここではIPトラフィックを対象として定義。



 設定完了後にはshow ip int briefとshow ip routeによりグローバルIPアドレスが取得できているか確認して
 show pppoe session と show pppoe session all でPPPoEのセッション状態を確認しましょう。以下の通り
 自身のMACアドレスと相手側(PPPoEサーバ)のMACアドレスが表示出来ていればPPPoE接続は成功です。

 Cisco# show pppoe session
    1 client session

  Uniq ID PPPoE RemMAC     Port   VT VA     State
       SID LocMAC           VA-st   Type
  N/A    123 1234.1234.1234 Gi0   Di1 Vi1    UP
         2222.2222.2222       UP


 また、NAT/PAT変換されているかどうかをshow ip nat translationsで確認し、LAN側に適用されたアクセス
 リストにトラフィックが合致しているかどうかを show ip access-lists で確認します。なお、接続ができず
 以下のエラーログが多発する場合は、ppp chapで設定したユーザ名パスワードの設定ミスが考えられます。

 00:33:57: %DIALER-6-BIND: Interface Vi1 bound to profile Di1
 00:33:57: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
 00:33:58: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di1
 00:33:58: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down


 あと、以下のようにInterface Virtual-Access2がUP/downを繰り返す場合、認証方式の設定にミスが
 ある可能性があります。具体的には、PAP認証の設定が必要なのにCHAPにしている場合などです。
 例えば、KDDI系のISPと接続する場合は、以下のようなPAP設定を行う必要があるケースもありました。

 ppp authentication pap callin
 ppp chap refuse
 ppp pap sent-username xxx@xxx.dion.ne.jp password xxxxx

 00:33:57: %LINK-3-UPDOWN: Interface Virtual-Access2, changed state to up
 00:33:58: %LINK-3-UPDOWN: Interface Virtual-Access2, changed state to down


 ところで、上で紹介したコンフィグによりPPPoE接続を行うことができますが、実際に企業ネットワーク
 で導入する場合には、このPPPoE接続ルータにFirewall機能を有効にするのが一般的です。Ciscoルータ
 では、CBACというFirewall機能を実装させるの一般的です。CBACを実装することにより、ステートフル
 インスペクションが有効になるので、一般的なファイアウォール通り内部から発生したトラフィックだけが
 外部からの戻りのトラフィックのみ許可されるようになります。加えて基本セキュリティも実装しましょう。


  


 ちなみに個人がBフレッツなどをする場合、取得するグローバルIPアドレスは変動的なIPとして契約する
 のに対して、法人の場合は固定IP1として契約するのが一般的なのでグローバルIPアドレスを固定として
 保持します。その場合、interface dialer 1のip address の設定はnegotiatedとしても問題はありませんが
 interface loopback 1にグローバルIPアドレスを指定し、interface dialer 1ではip unnumbered loopback1
 と設定する方法があります。さらに詳細は、IPsec-VPNのシスコ設定例などもご参照頂ければと思います。

 その他の設定として、LAN側にインターネット通信
 に必要なポート番号だけを許可したアクセスリスト
 を適用することによりセキュリティが高まります。
 一般的に以下のポート番号は最低でも許可します。

 permit udp any any eq domain
 permit tcp any any eq www
 permit tcp any any eq 443
 permit tcp any any eq ftp
 permit tcp any any eq ftp-data
 permit tcp any any eq smtp
 permit tcp any any eq 587
 permit tcp any any eq pop3
 permit tcp any any eq 993
 permit tcp any any eq 995
 permit tcp any any eq 465


PPPoEとは インターネット接続 - PPPoE(LAN型払い出し方式)Cisco892設定例

ネットワークエンジニアとして

Copyright (C) 2002-2024 ネットワークエンジニアとして All Rights Reserved.