PPPoE(設定例1 その1)

 Ciscoルータには、PPPoE サーバ機能があります。ここでは、その機能を使って下のネットワークを構築していきます。

※ネットワークの構成としては、NTT のフレッツADSL、B-Flet's 経由でISPに接続する構成を想定しています。

Router_A-Router_B間のPPPoE認証の設定

Router_A-Router_B間のPPPoE認証の設定は、次の通りです。

PPPoE認証     : chap
PPPoE認証ID    : client1
PPPoE認証パスワード: cisco

Router_Aの設定

●初期設定

Router(config)#hostname Router_A
Router_A(config)#enable password cisco
Router_A(config)#line vty 0 4
Router_A(config-line)#password cisco
Router_A(config-line)#login
Router_A(config-line)#exit

●PPPoEを有効にする

まず、PPPoE を有効にします。

※vpdnコマンドは、IOS12.3以前とIOS12.4では、異なります。ここで、紹介するvpdnコマンドは、IOS12.3以前のものです。入力後、IOS12.4のコマンドに変換されます。

Router_A(config)#vpdn enable
Router_A(config)#vpdn-group PPPOE
Router_A(config-vpdn)#request-dialin
Router_A(config-vpdn-req-in)#protocol pppoe

●LAN側インターフェイスの設定

Router_A(config)#interface fastEthernet 0
Router_A(config-if)#description LAN
Router_A(config-if)#ip address 192.168.1.254 255.255.255.0
Router_A(config-if)#ip tcp adjust-mss 1414
Router_A(config-if)#ip nat inside
Router_A(config-if)#no shutdown

●Internet側インターフェイスの設定

 Internet側のインターフェイスは、ISPからの払い出しでダイナミックに割り当てられるためIPアドレスを設定しません。

Router_A(config)#interface ethernet 0
Router_A(config-if)#description Internet
Router_A(config-if)#pppoe enable
Router_A(config-if)#pppoe-client dial-pool-number 1
Router_A(config-if)#no shutdown

●Dialerインターフェイスの設定

論理インターフェイスであるDialerインターフェイスを作成し設定します。

PPPoE認証     : chap
PPPoE認証ID    : client1
PPPoE認証パスワード: cisco

Router_A(config)#interface dialer 1
Router_A(config-if)#ip address negotiated
Router_A(config-if)#ip mtu 1454
Router_A(config-if)#ip access-group 100 in
Router_A(config-if)#ip nat outside
Router_A(config-if)#dialer pool 1
Router_A(config-if)#dialer idle-timeout 0
Router_A(config-if)#dialer-group 1
Router_A(config-if)#encapsulation ppp
Router_A(config-if)#ppp authentication chap callin
Router_A(config-if)#ppp chap hostname client1
Router_A(config-if)#ppp chap password cisco
Router_A(config-if)#no shutdown

●NAT・dialer-list・デフォルトルート・アクセスリストの設定

NAT、dialer-list、デフォルトルート、アクセスリストの設定を行います。

 NATの設定については、静的NATの設定を行い、「192.168.1.1」→「Dialer1」インターフェイスのIPアドレスに1対1で変換します。

Router_A(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router_A(config)#ip nat inside source static 192.168.1.1 interface dialer 1
Router_A(config)#dialer-list 1 protocol ip permit
Router_A(config)#ip route 0.0.0.0 0.0.0.0 dialer 1 permanent

ファイアウォールの設定

●ACLによるIPスプーフィング対策

Router_A(config)#access-list 100 deny ip 0.0.0.0 0.255.255.255 any
Router_A(config)#access-list 100 deny ip 10.0.0.0 0.255.255.255 any
Router_A(config)#access-list 100 deny ip 127.0.0.0 0.255.255.255 any
Router_A(config)#access-list 100 deny ip 169.254.0.0 0.0.255.255 any
Router_A(config)#access-list 100 deny ip 172.16.0.0 0.15.255.255 any
Router_A(config)#access-list 100 deny ip 192.0.2.0 0.0.0.255 any
Router_A(config)#access-list 100 deny ip 192.168.0.0 0.0.0.255 any
Router_A(config)#access-list 100 deny ip 224.0.0.0 15.255.255.255 any
Router_A(config)#access-list 100 deny ip 240.0.0.0 15.255.255.255 any

 さらに、NETBIOS(ポート137~139)、Windows共有サービス(SMB:ポート445)、TELNETを規制しておきます。

●ACLによるNETBIOS・Windows共有サービスのブロック

Router_A(config)#access-list 100 deny tcp any any range 137 139
Router_A(config)#access-list 100 deny tcp any range 137 139 any
Router_A(config)#access-list 100 deny udp any any range netbios-ns netbios-ss
Router_A(config)#access-list 100 deny udp any range netbios-ns netbios-ss any
Router_A(config)#access-list 100 deny tcp any any eq 445
Router_A(config)#access-list 100 deny tcp any eq 445 any
Router_A(config)#access-list 100 deny udp any any eq 445
Router_A(config)#access-list 100 deny udp any eq 445 any
Router_A(config)#access-list 100 deny tcp any any eq telnet
Router_A(config)#access-list 100 permit ip any any

続きの設定は、次の「PPPoE(設定例1 その2)」で紹介していきます。

関連コンテンツ