PPPoEによるLAN型インターネット接続（DMZ）

PPPoEを使ってインターネットサービスプロバイダー（ISP）に接続します。グローバルアドレスを8個、16個などのブロック単位で固定的に割り当てられるLAN型接続の設定例です。この例では、LAN側を2つのサブネットに分割し、一方をグローバルアドレスで運用するサーバー用（DMZ）、もう一方をプライベートアドレスで運用するクライアント用とします。クライアントはダイナミックENAT（ダイナミックNAPT）経由でインターネットにアクセスします。また、ファイアウォール（アクセスリスト）を使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します。

ISPからは次の情報を提供されているものとします。

表 1：ISPから提供された情報

PPPユーザー名 user@isp

PPPパスワード isppasswd

PPPoEサービス名指定なし

使用できるIPアドレス 4.4.4.0/29（4.4.4.0～4.4.4.7）

ルーターには、次のような方針で設定を行います。

事前に購入時に含まれている初期設定を削除します（設定例1を参照してください）。
LAN側を2つのサブネットに分割し、一方にはISPから割り当てられたグローバルアドレスを、もう一方にはプライベートアドレスを割り当てます。グローバルサブネットはDMZとしてサーバーを配置し、プライベートサブネットにはクライアントを配置します。
ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
外部からのアクセスは基本的にすべて遮断しますが、次のサービスだけは特例として許可します。
- Webサーバー：4.4.4.2:80/tcp
- SMTPサーバー：4.4.4.3:25/tcp
- DNSサーバー：4.4.4.4:53/tcp、53/udp
プライベートサブネットのクライアントがインターネットにアクセスできるよう、ダイナミックENAT機能を使用します。グローバルアドレスには、グローバルサブネット側のインターフェースアドレス（4.4.4.1）を共用します。

以下、ルーターの基本設定についてまとめます。

表 2：ルーターの基本設定

WAN側物理インターフェース gigabitEthernet 0

WAN側（gigabitEthernet 0.1）IPアドレス Unnumbered

DMZ側（gigabitEthernet 1）IPアドレス 4.4.4.1/29

LAN側（vlan 1）IPアドレス 192.168.10.1/24

DHCPサーバー機能無効

ルーターの設定

ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
WAN0インターフェース（gigabitEthernet 0）を有効にします。
WAN0インターフェース上にPPPoEインターフェース（gigabitEthernet 0.1）を作成し、インターフェースを使用できるようにします。
PPPoEインターフェースをUnnumberedに設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
また、LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。
外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
DMZ側インターフェース（gigabitEthernet 1）を有効にし、ISPから割り当てられたグローバルアドレスの先頭アドレス（4.4.4.1）を設定します。
. アドレスを8個や16個といった単位で割り当てられる場合は、ネットマスクが変則的になるので注意してください。
LAN側インターフェース（vlan 1）にIPアドレスを設定します。
IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。

デフォルトルートを設定します。

ip route default gigabitEthernet 0.1 ↓

DMZのサーバーへのパケットは通し、他の外側からの通信を遮断しつつ、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、PPPoEインターフェース上に割り当てます。

access-list ip extended pppoe0-in ↓
 dynamic permit tcp any host 4.4.4.2 eq 80 ↓
 dynamic permit tcp any host 4.4.4.3 eq 25 ↓
 dynamic permit tcp any host 4.4.4.4 eq 53 ↓
 dynamic permit udp any host 4.4.4.4 eq 53 ↓
access-list ip extended pppoe0-out ↓
 dynamic permit ip any any ↓
interface gigabitEthernet 0.1 ↓
 ip traffic-filter pppoe0-in in ↓
 ip traffic-filter pppoe0-out out ↓

設定は以上です。設定内容をstartup-configに保存します。

まとめ

ルーターのコンフィグ

! service password-encryption ! clock timezone JST 9 ! ! ip address-up-always ppp profile pppoe0 my-username user@isp password 8 e$QNKMe2ohmPDFnghyVppETegAA ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip unnumbered gigabitEthernet 1 ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside 192.168.10.0/24 ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect ! interface gigabitEthernet 1 ip address 4.4.4.1/29 no shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface vlan 1 ip address 192.168.10.1/24 no shutdown ! ip route default gigabitEthernet 0.1 ! access-list ip extended pppoe0-in dynamic permit tcp any host 4.4.4.2 eq 80 dynamic permit tcp any host 4.4.4.3 eq 25 dynamic permit tcp any host 4.4.4.4 eq 53 dynamic permit udp any host 4.4.4.4 eq 53 access-list ip extended pppoe0-out dynamic permit ip any any ! ! ! ! end

CentreCOM ARX640S 設定例集 5.1.5 #4

PN: 613-001568 Rev.E

＜前頁次頁＞＜＜＞＞ ↑ 目次（番号順 (詳細)・回線別 (詳細)・機能別 (詳細)）

PPPユーザー名	user@isp
PPPパスワード	isppasswd
PPPoEサービス名	指定なし
使用できるIPアドレス	4.4.4.0/29（4.4.4.0～4.4.4.7）

WAN側物理インターフェース	gigabitEthernet 0
WAN側（gigabitEthernet 0.1）IPアドレス	Unnumbered
DMZ側（gigabitEthernet 1）IPアドレス	4.4.4.1/29
LAN側（vlan 1）IPアドレス	192.168.10.1/24
DHCPサーバー機能	無効