<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR550S 設定例集 2.9 #164

PPPoE ACによるRADIUS認証と公平制御


リモートユーザーからの PPP 接続を PPPoE AC(Access Concentrator) 機能を使用して受け入れたあと、RADIUSサーバーへ認証を行うことで、限定されたリモートユーザーからの通信のみを許可します。また、QoSの設定により、帯域全体をリモートユーザー同士で公平に割り当て、帯域に余裕がある場合にはその帯域も利用します。


ISP からは次の情報を提供されているものとします。

表 1:ISPから提供された情報
PPPユーザー名 user1
PPPパスワード passwd1
PPPoEサービス名 指定なし
IPアドレス グローバルアドレス1個 (動的割り当て)


リモートユーザーの情報は以下のとおりです。リモートユーザーには認証後、RADIUSサーバーから毎回同じアドレスが以下のように割り当てられます。

表 2:リモートユーザー情報
リモートユーザー名
IPアドレス
QoS(送出する割合)
A 192.168.100.1 1
B 192.168.100.2 1
C 192.168.100.3 1
D 192.168.100.4 1
E 192.168.100.5 1
F 192.168.100.6 1
G 192.168.100.7 1
H 192.168.100.8 1



ルーターには、次のような方針で設定を行います。


ルーターAの設定

  1. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  2. ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  3. PPP テンプレートを作成します。これは動的に作成する PPP インターフェースの仕様を定義するものです。本設定では、CHAP 認証を使用します。


  4. Access Concentrator に関する設定を行います。
    AC サービス名、PPP 受信インターフェース、PPP 最大接続数を登録します。PPP最大接続数は、リモートクライアント台数分の「8」を設定します。また、動的に作成された PPPインターフェースに対しては、PPP テンプレート「1」を適用します。


  5. Access Concentrator モジュールを有効にします。


  6. IP モジュールを有効にします。


  7. IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。


  8. WAN側(ppp9)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません。


  9. デフォルトルートの設定をします。


  10. ファイアウォール機能を有効にします。


  11. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。


  12. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。


    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

  13. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。


  14. ファイアウォールを使用するためには、ADD FIREWALL POLICY INTERFACEコマンドで監視対象インターフェースを指定する必要があります。しかしこの設定例ではVLAN側のインターフェースはリモートユーザーからのアクセスによって動的にPPPインターフェースが作成されるため、これらのインターフェースに対してどのようにして指定するかが問題となります。このように、動的に作成されるPPPインターフェースをファイアウォール関連コマンドで使用するときは、「ダイナミックインターフェーステンプレート」という仕組みを使います。この仕組みを使うと、特定ユーザーが接続してきたときに作成される動的インターフェースに任意の名前(テンプレート名)を付けることができます。初めにテンプレートを作成します。テンプレート名は自由です。


  15. PPPの認証を受けたユーザーすべてを対象とする場合は、USERパラメーターにANYを指定します。


  16. ファイアウォールポリシーの適用対象となるインターフェースを指定します。


  17. LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp9のIPアドレスを使用します。


  18. ここからがQoSの設定です。最初にQoS機能を有効にします。


  19. クラシファイアを作成し、パケットの分類条件を定義します。ここでは、192.168.100.1〜192.168.100.8の8つを作成します。


  20. トラフィッククラスを作成します。それぞれのトラフィッククラスに重み付きラウンドロビンを設定します。


  21. QoSポリシーを作成し、このポリシー上でDWRRを使用できるようにします。


  22. QoSポリシーにトラフィッククラスを関連付けます。


  23. 末端のトラフィッククラスにクラシファイアを関連付けます。


  24. QoSポリシーをインターフェースに適用します。


  25. 認証要求の依頼先となるRADIUSサーバーのIPアドレスと共有パスワード(radius)を指定します。


  26. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。



まとめ

ルーターAのコンフィグ [テキスト版]
CREATE PPP=9 OVER=eth0-ANY
SET PPP=9 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=user1 PASS=passwd1 LQR=off ECHO=ON
CREATE PPP TEMPLATE=1
SET PPP TEMPLATE=1 IDLE=OFF BAP=OFF AUTHENTICATION=CHAP
ADD PPP ACSERVICE=PPPoE1 TEMPLATE=1 MAXSESSIONS=8 ACINTERFACE=vlan1
ENABLE PPP ACCESSCONCENTRATOR
ENABLE IP
ENABLE IP REMOTE
ADD IP INT=ppp9 IP=0.0.0.0 MASK=0.0.0.0
ADD IP ROUTE=0.0.0.0 INT=PPP9 NEXTHOP=0.0.0.0
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
CREATE FIREWALL POLICY=net DYNAMIC=alluser
ADD FIREWALL POLICY=net DYNAMIC=alluser USER=ANY
ADD FIREWALL POLICY=net INT=DYN-alluser TYPE=PRIVATE
ADD FIREWALL POLICY=net INT=ppp9 TYPE=PUBLIC
ADD FIREWALL POLICY=net NAT=ENHANCED INT=DYN-alluser GBLINT=ppp9
ENABLE SQOS
CREATE CLASS=1 IPSA=192.168.100.1
CREATE CLASS=2 IPSA=192.168.100.2
CREATE CLASS=3 IPSA=192.168.100.3
CREATE CLASS=4 IPSA=192.168.100.4
CREATE CLASS=5 IPSA=192.168.100.5
CREATE CLASS=6 IPSA=192.168.100.6
CREATE CLASS=7 IPSA=192.168.100.7
CREATE CLASS=8 IPSA=192.168.100.8
CREATE SQOS TRAFFICCLASS=1 WEIGHT=1
CREATE SQOS TRAFFICCLASS=2 WEIGHT=1
CREATE SQOS TRAFFICCLASS=3 WEIGHT=1
CREATE SQOS TRAFFICCLASS=4 WEIGHT=1
CREATE SQOS TRAFFICCLASS=5 WEIGHT=1
CREATE SQOS TRAFFICCLASS=6 WEIGHT=1
CREATE SQOS TRAFFICCLASS=7 WEIGHT=1
CREATE SQOS TRAFFICCLASS=8 WEIGHT=1
CREATE SQOS POLICY=1 WEIGHTSCHEDULER=DWRR
ADD SQOS POLICY=1 TRAFFICCLASS=1-8
ADD SQOS TRAFFICCLASS=1 CLASS=1
ADD SQOS TRAFFICCLASS=2 CLASS=2
ADD SQOS TRAFFICCLASS=3 CLASS=3
ADD SQOS TRAFFICCLASS=4 CLASS=4
ADD SQOS TRAFFICCLASS=5 CLASS=5
ADD SQOS TRAFFICCLASS=6 CLASS=6
ADD SQOS TRAFFICCLASS=7 CLASS=7
ADD SQOS TRAFFICCLASS=8 CLASS=8
SET SQOS INT=ppp9 OUT=1
ADD RAD SERVER=192.168.150.10 SECRET=radius PO=1812 ACCP=1813





CentreCOM AR550S 設定例集 2.9 #164

(C) 2005-2014 アライドテレシスホールディングス株式会社

PN: J613-M0710-04 Rev.P

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)