設定例集#5: PPPoEによる端末型インターネット接続 WAN回線バックアップ構成

PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。
WAN回線を2つ用意しインターフェーストリガー機能を利用してメイン回線に障害が発生したときにバックアップ回線に切り替えることができる構成です。

Note
本設定例ではLAN側ポートを1つWANポートに変更します。LAN側ポートをWANポートに変更した場合、下記設定の入力完了後に設定を保存し、再起動してください。

構成

ISP-Aから提供された情報
ISP接続用ユーザー名	user@ispA
ISP接続用パスワード	isppasswdA
PPPoEサービス名	指定なし
WAN側IPアドレス	動的割り当て（IPCP）
DNSサーバー	自動取得（IPCP）
ISP-Bから提供された情報
ISP接続用ユーザー名	user@ispB
ISP接続用パスワード	isppasswdB
PPPoEサービス名	指定なし
WAN側IPアドレス	動的割り当て（IPCP）
DNSサーバー	自動取得（IPCP）
ルーターの基本設定
WAN側物理インターフェース	eth1（ppp0用）, port1.0.4（ppp1用）
WAN側（ppp0）IPアドレス	接続時にISPから取得
WAN側（ppp1）IPアドレス	接続時にISPから取得
LAN側（vlan1）IPアドレス	192.168.10.1/24
DHCPサーバー機能	有効
DHCPサーバーの設定
DHCPプール名	pool10
リース時間	2時間
対象サブネット	192.168.10.0/24
デフォルトゲートウェイ	192.168.10.1
DNSサーバー	192.168.10.1
提供するIPアドレスの範囲	192.168.10.100～192.168.10.131（32個）

ここでは、上記のネットワーク構成を例に解説します。

WAN回線はISP-A（ppp0 over eth1）をメイン回線とします。
このメイン回線に障害が発生しppp0インターフェースがダウンした場合、インターフェーストリガー機能でバックアップ用のISP-B（ppp1 over port1.0.4）の回線に切り替えるスクリプトを実行します。
メイン回線が復旧しppp0インターフェースがアップしたら、バックアップ回線（ppp1）を切断し元のメイン回線に戻します。

設定開始前に

自動設定の確認と削除

本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態（スタートアップコンフィグなしで起動した状態）から入力することを前提としています。

そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。

ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。

これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。

ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。

自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。

システム時刻の設定

ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。

手動で設定する方法 - 「運用・管理」/「システム」
NTPで自動設定する方法 - 「運用・管理」/「NTP」

ルーターの設定

LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
```
no spanning-tree rstp enable
```
WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface eth1
 encapsulation ppp 0
```
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

・IPCPによるDNSサーバーアドレスの取得要求（ppp ipcp dns）
・LCP EchoによるPPP接続状態の確認（keepalive）
・IPCPによるIPアドレスの取得要求（ip address negotiated）
・ユーザー名（ppp username）
・パスワード（ppp password）
・MSS書き換え（ip tcp adjust-mss）

PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface ppp0
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@ispA
 ppp password isppasswdA
 ip tcp adjust-mss pmtu
```
port1.0.4をWANポートに変更します。これには、switchportコマンドをNO形式で使用します。
WANポートport1.0.4上にPPPoEインターフェースppp1を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。

※LAN側ポートをWANポートに変更した場合、設定を保存し再起動するまで、本設定は有効になりません。
```
interface port1.0.4
 no switchport
 encapsulation ppp 1
```
PPPインターフェースppp1に対し、PPPoE接続のための設定を行います。

・IPCPによるDNSサーバーアドレスの取得要求（ppp ipcp dns）
・LCP EchoによるPPP接続状態の確認（keepalive）
・IPCPによるIPアドレスの取得要求（ip address negotiated）
・ユーザー名（ppp username）
・パスワード（ppp password）
・MSS書き換え（ip tcp adjust-mss）

なおこの例では、メイン回線に障害が発生しているときだけPPP接続を確立するため、初期状態ではppp1インターフェースを無効状態（shutdown）にします。

PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface ppp1
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@ispB
 ppp password isppasswdB
 ip tcp adjust-mss pmtu
 shutdown
```
LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface vlan1
 ip address 192.168.10.1/24
```
ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
```
zone private
 network dhcp
  ip subnet 0.0.0.0/0 interface vlan1
 network lan
  ip subnet 192.168.10.0/24
```
外部ネットワークを表すゾーン「public」を作成します。
ネットワーク「ISP-A」はppp0インターフェース側を、「ISP-B」はppp1インターフェース側を表しています。
前記コマンドに加え、ここではhost、ip addressの各コマンドも使います。
```
zone public
 network ISP-A
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
 network ISP-B
  ip subnet 0.0.0.0/0 interface ppp1
  host ppp1
   ip address dynamic interface ppp1
```
ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、dportの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

DHCPパケットを表すカスタムアプリケーション「dhcp」を定義します。
```
application dhcp
 protocol udp
 dport 67 to 68
```
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。

・rule 10 - 内部でのDHCPによる通信を許可します
・rule 20 - 内部から内部への通信を許可します（ここでは本製品・端末間の通信）
・rule 30 - 内部から外部への通信を許可します
・rule 40 - 本製品のWAN側インターフェース（ppp0）から外部へのDNS通信を許可します
・rule 50 - 本製品のWAN側インターフェース（ppp1）から外部へのDNS通信を許可します

ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
```
firewall
 rule 10 permit dhcp from private.dhcp to private.dhcp
 rule 20 permit any from private.lan to private.lan
 rule 30 permit any from private.lan to public
 rule 40 permit dns from public.ISP-A.ppp0 to public.ISP-A
 rule 50 permit dns from public.ISP-B.ppp1 to public.ISP-B
 protect
```
LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
これには、nat、rule、enableの各コマンドを使います。
NATの詳細は「UTM」/「NAT」をご覧ください。
```
nat
 rule 10 masq any from private to public
 enable
```
LAN側ネットワークに接続されているコンピューターのためにDHCPサーバー機能の設定を行います。
DHCPサーバー機能の詳細は「IP付加機能」/「DHCPサーバー」をご覧ください。

これには、ip dhcp poolコマンドでDHCPプールを作成し、以下の情報を設定します。

・サブネット（network）
・リースするIPアドレス（range）
・デフォルトゲートウェイ（default-router）
・DNSサーバーアドレス（dns-server）
・リース時間（lease）
```
ip dhcp pool pool10
 network 192.168.10.0 255.255.255.0
 range 192.168.10.100 192.168.10.131
 default-router 192.168.10.1
 dns-server 192.168.10.1
 lease 0 2 0
```
DHCPサーバーを有効化します。これには、service dhcp-serverコマンドを使います。
```
service dhcp-server
```
インターフェーストリガーを作成します。
これには、trigger、type interface、scriptの各コマンドを使います。

・trigger 1 - ppp0インターフェースがダウンした場合に、WAN回線をバックアップ回線（ppp1）に切り替えるppp0down.scpスクリプトを実行する
・trigger 2 - ppp0インターフェースがアップした場合に、WAN回線をメイン回線（ppp0）に切り替えるppp0up.scpスクリプトを実行する

トリガースクリプトの具体的内容は「トリガースクリプト」を、トリガーの詳細は「運用・管理」/「トリガー」をご覧ください。
```
trigger 1
 type interface ppp0 down
 script 1 flash:/ppp0down.scp
trigger 2
 type interface ppp0 up
 script 1 flash:/ppp0up.scp
```
DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
```
ip dns forwarding
```
デフォルト経路をPPPインターフェースppp0とppp1の両方に向けて設定します。
これにはip routeコマンドを使います。
ここではppp1側の管理距離をデフォルト値よりも大きく設定することで、ppp0側が優先されるようにしています。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
```
ip route 0.0.0.0/0 ppp0
ip route 0.0.0.0/0 ppp1 10
```
以上で設定は完了です。
```
end
```

設定の保存

■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。

awplus# copy running-config startup-config ↓
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。

awplus# write memory ↓
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド（log(filter)）を実行します。

awplus(config)# log buffered level informational facility local5 ↓

■ 記録されたログを見るには、次のコマンド（show log）を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。

awplus# show log | include Firewall ↓

ルーターのコンフィグ

!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@ispA
 ppp password isppasswdA
 ip tcp adjust-mss pmtu
!
interface port1.0.4
 no switchport
 encapsulation ppp 1
!
interface ppp1
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@ispB
 ppp password isppasswdB
 ip tcp adjust-mss pmtu
 shutdown
!
interface vlan1
 ip address 192.168.10.1/24
!
zone private
 network dhcp
  ip subnet 0.0.0.0/0 interface vlan1
 network lan
  ip subnet 192.168.10.0/24
!
zone public
 network ISP-A
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
 network ISP-B
  ip subnet 0.0.0.0/0 interface ppp1
  host ppp1
   ip address dynamic interface ppp1
!
application dhcp
 protocol udp
 dport 67 to 68
!
firewall
 rule 10 permit dhcp from private.dhcp to private.dhcp
 rule 20 permit any from private.lan to private.lan
 rule 30 permit any from private.lan to public
 rule 40 permit dns from public.ISP-A.ppp0 to public.ISP-A
 rule 50 permit dns from public.ISP-B.ppp1 to public.ISP-B
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
ip dhcp pool pool10
 network 192.168.10.0 255.255.255.0
 range 192.168.10.100 192.168.10.131
 default-router 192.168.10.1
 dns-server 192.168.10.1
 lease 0 2 0
!
service dhcp-server
!
trigger 1
 type interface ppp0 down
 script 1 flash:/ppp0down.scp
trigger 2
 type interface ppp0 up
 script 1 flash:/ppp0up.scp
!
ip dns forwarding
!
ip route 0.0.0.0/0 ppp0
ip route 0.0.0.0/0 ppp1 10
!
end

トリガースクリプト

■ ppp0down.scp

enable
configure terminal
int ppp1
no shutdown

■ ppp0up.scp

enable
configure terminal
int ppp1
shutdown

(C) 2024 - 2025 アライドテレシスホールディングス株式会社

PN: 613-003319 Rev.D