設定例集#5: PPPoEによる端末型インターネット接続 WAN回線バックアップ構成

構成
ルーターの設定
設定の保存
ファイアウォールログについて
ルーターのコンフィグ
トリガースクリプト

設定例集#5: [ 設定例集目次 ] ページ内目次

PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。
WAN回線を2つ用意しインターフェーストリガー機能を利用してメイン回線に障害が発生したときにバックアップ回線に切り替えることができる構成です。

Note
本設定例ではWANポートを2つ使用するため、AT-AR2050Vは使用できません。

構成

設定例集#5: [ 設定例集目次 ] ページ内目次

ISP-Aから提供された情報
ISP接続用ユーザー名 user@ispA
ISP接続用パスワード isppasswdA
PPPoEサービス名 指定なし
WAN側IPアドレス 動的割り当て(IPCP)
DNSサーバー 自動取得(IPCP)
ISP-Bから提供された情報
ISP接続用ユーザー名 user@ispB
ISP接続用パスワード isppasswdB
PPPoEサービス名 指定なし
WAN側IPアドレス 動的割り当て(IPCP)
DNSサーバー 自動取得(IPCP)
ルーターの基本設定
WAN側物理インターフェース eth1(ppp0用), eth2(ppp1用)
WAN側(ppp0)IPアドレス 接続時にISPから取得
WAN側(ppp1)IPアドレス 接続時にISPから取得
LAN側(vlan1)IPアドレス 192.168.10.1/24
DHCPサーバー機能 有効
DHCPサーバーの設定
DHCPプール名 pool10
リース時間 2時間
対象サブネット 192.168.10.0/24
デフォルトゲートウェイ 192.168.10.1
DNSサーバー 192.168.10.1
提供するIPアドレスの範囲 192.168.10.100~192.168.10.131(32個)

ここでは、上記のネットワーク構成を例に解説します。

WAN回線はISP-A(ppp0 over eth1)をメイン回線とします。
このメイン回線に障害が発生しppp0インターフェースがダウンした場合、インターフェーストリガー機能でバックアップ用のISP-B(ppp1 over eth2)の回線に切り替えるスクリプトを実行します。
メイン回線が復旧しppp0インターフェースがアップしたら、バックアップ回線(ppp1)を切断し元のメイン回線に戻します。

ルーターの設定

設定例集#5: [ 設定例集目次 ] ページ内目次
  1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
    スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
    no spanning-tree rstp enable
  2. WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface eth1
 encapsulation ppp 0
  3. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

    ・IPCPによるDNSサーバーアドレスの取得要求(ppp ipcp dns
    ・LCP EchoによるPPP接続状態の確認(keepalive
    ・IPCPによるIPアドレスの取得要求(ip address negotiated
    ・ユーザー名(ppp username
    ・パスワード(ppp password
    ・MSS書き換え(ip tcp adjust-mss

    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface ppp0
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@ispA
 ppp password isppasswdA
 ip tcp adjust-mss pmtu
  4. WANポートeth2上にPPPoEインターフェースppp1を作成します。これには、encapsulation pppコマンドを使います。
    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface eth2
 encapsulation ppp 1
  5. PPPインターフェースppp1に対し、PPPoE接続のための設定を行います。

    ・IPCPによるDNSサーバーアドレスの取得要求(ppp ipcp dns
    ・LCP EchoによるPPP接続状態の確認(keepalive
    ・IPCPによるIPアドレスの取得要求(ip address negotiated
    ・ユーザー名(ppp username
    ・パスワード(ppp password
    ・MSS書き換え(ip tcp adjust-mss

    なおこの例では、メイン回線に障害が発生しているときだけPPP接続を確立するため、初期状態ではppp1インターフェースを無効状態(shutdown)にします。

    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface ppp1
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@ispB
 ppp password isppasswdB
 ip tcp adjust-mss pmtu
 shutdown
  6. LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
    IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
    interface vlan1
 ip address 192.168.10.1/24
  7. ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

    内部ネットワークを表すゾーン「private」を作成します。
    これには、zonenetworkip subnetの各コマンドを使います。
    zone private
 network lan
  ip subnet 192.168.10.0/24
  8. 外部ネットワークを表すゾーン「public」を作成します。
    ネットワーク「ISP-A」はppp0インターフェース側を、「ISP-B」はppp1インターフェース側を表しています。
    前記コマンドに加え、ここではhostip addressの各コマンドも使います。
    zone public
 network ISP-A
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
 network ISP-B
  ip subnet 0.0.0.0/0 interface ppp1
  host ppp1
   ip address dynamic interface ppp1
  9. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewallruleprotectの各コマンドを使います。

    ・rule 10 - 内部から内部への通信を許可します(ここでは本製品・端末間の通信)
    ・rule 20 - 内部から外部への通信を許可します
    ・rule 30 - 本製品のWAN側インターフェース(ppp0)から外部へのDNS通信を許可します
    ・rule 40 - 本製品のWAN側インターフェース(ppp1)から外部へのDNS通信を許可します

    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit dns from public.ISP-A.ppp0 to public.ISP-A
 rule 40 permit dns from public.ISP-B.ppp1 to public.ISP-B
 protect
  10. LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
    これには、natruleenableの各コマンドを使います。
    NATの詳細は「UTM」/「NAT」をご覧ください。
    nat
 rule 10 masq any from private to public
 enable
  11. LAN側ネットワークに接続されているコンピューターのためにDHCPサーバー機能の設定を行います。
    DHCPサーバー機能の詳細は「IP付加機能」/「DHCPサーバー」をご覧ください。

    これには、ip dhcp poolコマンドでDHCPプールを作成し、以下の情報を設定します。

    ・サブネット(network
    ・リースするIPアドレス(range
    ・デフォルトゲートウェイ(default-router
    ・DNSサーバーアドレス(dns-server
    ・リース時間(lease
    ip dhcp pool pool10
 network 192.168.10.0 255.255.255.0
 range 192.168.10.100 192.168.10.131
 default-router 192.168.10.1
 dns-server 192.168.10.1
 lease 0 2 0
  12. DHCPサーバーを有効化します。これには、service dhcp-serverコマンドを使います。
    service dhcp-server
  13. インターフェーストリガーを作成します。
    これには、triggertype interfacescriptの各コマンドを使います。

    ・trigger 1 - ppp0インターフェースがダウンした場合に、WAN回線をバックアップ回線(ppp1)に切り替えるppp0down.scpスクリプトを実行する
    ・trigger 2 - ppp0インターフェースがアップした場合に、WAN回線をメイン回線(ppp0)に切り替えるppp0up.scpスクリプトを実行する

    トリガースクリプトの具体的内容は「トリガースクリプト」を、トリガーの詳細は「運用・管理」/「トリガー」をご覧ください。
    trigger 1
 type interface ppp0 down
 script 1 flash:/ppp0down.scp
trigger 2
 type interface ppp0 up
 script 1 flash:/ppp0up.scp
  14. DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
    DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
    ip dns forwarding
  15. デフォルト経路をPPPインターフェースppp0とppp1の両方に向けて設定します。
    これにはip routeコマンドを使います。
    ここではppp1側の管理距離をデフォルト値よりも大きく設定することで、ppp0側が優先されるようにしています。
    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    ip route 0.0.0.0/0 ppp0
ip route 0.0.0.0/0 ppp1 10
  16. 以上で設定は完了です。
    end

設定の保存

設定例集#5: [ 設定例集目次 ] ページ内目次
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド(log(filter))を実行します。
awplus(config)# log buffered level informational facility kern msgtext Firewall

■ 記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall

ルーターのコンフィグ

設定例集#5: [ 設定例集目次 ] ページ内目次
!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@ispA
 ppp password isppasswdA
 ip tcp adjust-mss pmtu
!
interface eth2
 encapsulation ppp 1
!
interface ppp1
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@ispB
 ppp password isppasswdB
 ip tcp adjust-mss pmtu
 shutdown
!
interface vlan1
 ip address 192.168.10.1/24
!
zone private
 network lan
  ip subnet 192.168.10.0/24
!
zone public
 network ISP-A
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
 network ISP-B
  ip subnet 0.0.0.0/0 interface ppp1
  host ppp1
   ip address dynamic interface ppp1
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit dns from public.ISP-A.ppp0 to public.ISP-A
 rule 40 permit dns from public.ISP-B.ppp1 to public.ISP-B
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
ip dhcp pool pool10
 network 192.168.10.0 255.255.255.0
 range 192.168.10.100 192.168.10.131
 default-router 192.168.10.1
 dns-server 192.168.10.1
 lease 0 2 0
!
service dhcp-server
!
trigger 1
 type interface ppp0 down
 script 1 flash:/ppp0down.scp
trigger 2
 type interface ppp0 up
 script 1 flash:/ppp0up.scp
!
ip dns forwarding
!
ip route 0.0.0.0/0 ppp0
ip route 0.0.0.0/0 ppp1 10
!
end

トリガースクリプト

設定例集#5: [ 設定例集目次 ] ページ内目次
■ ppp0down.scp
enable
configure terminal
int ppp1
no shutdown

■ ppp0up.scp
enable
configure terminal
int ppp1
shutdown


設定例集#5: [ 設定例集目次 ] ページ内目次

(C) 2015 - 2017 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.P