＜前頁 次頁＞ ＜＜ ＞＞ ↓ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）

PPPoEによる端末型インターネット接続（スタティックENAT）

PPPoEを使ってインターネットサービスプロバイダー（ISP）に接続します。「ブロードバンド」系サービスプロバイダーの中には、ベストエフォート型ながらも、常時接続の性質を活かしてIPアドレスを1個固定的に割り当てるサービスが見られます。このようなサービスを利用すると、接続形態は端末型でも、固定アドレスの利点を活かしてサーバーの公開やVPNの構築が容易になります。この例では、ダイナミックENAT（ダイナミックNAPT）で1個のアドレスを共用し、ファイアウォール（アクセスリスト）で外部からの不正アクセスを防止しつつ、スタティックENAT（スタティックNAPT、ポートフォワーディングとも）を利用してWebサーバーを外部に公開します。また、LAN側クライアントの設定を簡単にするため、DNSリレー（プロキシーDNS）とDHCPサーバーも利用します。

表 1：ISPから提供された情報

PPPユーザー名	user@isp
PPPパスワード	isppasswd
PPPoEサービス名	指定なし
IPアドレス	10.10.10.2/32（固定）
DNSサーバー	100.10.1.53、100.10.1.54

• 事前に購入時に含まれている初期設定を削除します（設定例1を参照してください）。
  
  
• ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
  
  
• ダイナミックENAT機能を利用して、LAN側ネットワークのプライベートIPアドレスを、ISPから与えられたグローバルIPアドレスに変換します。これにより、LANに接続された複数のコンピューターからインターネットへの同時アクセスが可能になります。
  
  
• スタティックENATを利用して、ルーターの80番ポートに送られてきたTCPパケットをLAN側のWebサーバー（192.168.10.5）に転送します。これにより、IPアドレスが1個であっても、サーバーを外部に公開することができます。
  
  
• ルーターをDHCPサーバーとして動作させ、LANに接続されたコンピューターにIPアドレス、サブネットマスク、デフォルトゲートウェイ、DNSサーバーアドレスの情報を提供します。
  
  
• ルーターのDNSリレー機能をオンにして、LAN側コンピューターからのDNSリクエストを、ISPのDNSサーバーに転送します。上記DHCPサーバーの設定により、LAN側コンピューターに対しては、DNSサーバーアドレスとしてルーター自身のIPアドレスを教えます。
  

表 2：ルーターの基本設定

WAN側物理インターフェース	gigabitEthernet 0
WAN側（gigabitEthernet 0.1）IPアドレス	10.10.10.2/32（固定）
LAN側（vlan 1）IPアドレス	192.168.10.1/24
DHCPサーバー機能	有効

表 3：ルーターのDHCPサーバーの設定

使用期限	2（時間）
サブネットマスク	255.255.255.0
デフォルトゲートウェイ	192.168.10.1
DNSサーバー	192.168.10.1
提供するIPアドレスの範囲	192.168.10.100〜192.168.10.131（32個）

ルーターの設定

1. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
   

   ppp profile pppoe0 ↓
    my-username user@isp password isppasswd ↓
       

2. WAN0インターフェース（gigabitEthernet 0）を有効にします。
   
   

   interface gigabitEthernet 0 ↓
    no shutdown ↓
       

3. WAN0インターフェース上にPPPoEインターフェース（gigabitEthernet 0.1）を作成し、インターフェースを使用できるようにします。
   ISPから割り当てられたIPアドレスを設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
   LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定し、外部からPPPoEインターフェースの80番ポート宛に送られたTCPパケットを、LAN側のWebサーバー（192.168.10.5）に転送するスタティックENATの設定を行います。
   外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
   

   interface gigabitEthernet 0.1 ↓
    ip address 10.10.10.2/32 ↓
    ip tcp mss auto ↓
    no shutdown ↓
    pppoe enable ↓
     ppp bind-profile pppoe0 ↓
    ip napt inside any ↓
    ip napt forward tcp 80 192.168.10.5 ↓
    ip ids in protect ↓
       

   
   
4. LAN側インターフェース（vlan 1）にIPアドレスを設定します。
   

   interface vlan 1 ↓
    ip address 192.168.10.1/24 ↓
       

   
   
5. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。
   

   ip address-up-always ↓
       

   
   
6. デフォルトルートを設定します。
   

   ip route default gigabitEthernet 0.1 ↓
       

   
   
7. LAN側Webサーバー宛てのパケットを除く外側からの通信を遮断しつつ、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、PPPoEインターフェース上に割り当てます。
   

   access-list ip extended pppoe0-in ↓
    dynamic permit tcp any host 192.168.10.5 eq 80 ↓
   access-list ip extended pppoe0-out ↓
    dynamic permit ip any any ↓
   interface gigabitEthernet 0.1 ↓
    ip traffic-filter pppoe0-in in ↓
    ip traffic-filter pppoe0-out out ↓
       

   
   
8. ISPから通知されたDNSサーバーのアドレスを設定し、DNSリレー機能を有効にします。
   

   proxydns server 100.10.1.53 ↓
   proxydns server 100.10.1.54 ↓
   proxydns ip enable ↓
       

   
   
9. LAN側PCのためにDHCPサーバー機能を有効にします。
   DHCPクライアントに提供するIPアドレスの範囲、DHCPクライアントに提供する情報、IPアドレスの使用期限等を設定します。
   
   

   ip dhcp pool vlan 1 ↓
    range 192.168.10.100 192.168.10.131 ↓
    dns-server 192.168.10.1 ↓
    lease 0 2 0 ↓
    subnet prefix-length 24 ↓
   dhcp-server ip enable ↓
       

   
   
10. 設定は以上です。設定内容をstartup-configに保存します。
    
    

    copy running-config startup-config ↓
        

まとめ

ルーターのコンフィグ

! service password-encryption ! clock timezone JST 9 ! ! ip address-up-always ppp profile pppoe0 my-username user@isp password 8 e$QNKMe2ohmPDFnghyVppETegAA ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address 10.10.10.2/32 ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside any ip napt forward tcp 80 192.168.10.5 ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface vlan 1 ip address 192.168.10.1/24 no shutdown ! ip route default gigabitEthernet 0.1 ! access-list ip extended pppoe0-in dynamic permit tcp any host 192.168.10.5 eq 80 access-list ip extended pppoe0-out dynamic permit ip any any ! proxydns server 100.10.1.53 proxydns server 100.10.1.54 proxydns ip enable ! ! ip dhcp pool vlan 1 range 192.168.10.100 192.168.10.131 dns-server 192.168.10.1 lease 0 2 0 subnet prefix-length 24 dhcp-server ip enable ! ! end

(C) 2011-2014 アライドテレシスホールディングス株式会社

PN: 613-001568 Rev.E

＜前頁 次頁＞ ＜＜ ＞＞ ↑ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）