<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR550S 設定例集 2.9 #164
PPPoE ACによるRADIUS認証と公平制御
リモートユーザーからの PPP 接続を PPPoE AC(Access Concentrator) 機能を使用して受け入れたあと、RADIUSサーバーへ認証を行うことで、限定されたリモートユーザーからの通信のみを許可します。また、QoSの設定により、帯域全体をリモートユーザー同士で公平に割り当て、帯域に余裕がある場合にはその帯域も利用します。
ISP からは次の情報を提供されているものとします。
表 1:ISPから提供された情報
PPPユーザー名 |
user1 |
PPPパスワード |
passwd1 |
PPPoEサービス名 |
指定なし |
IPアドレス |
グローバルアドレス1個 (動的割り当て) |
リモートユーザーの情報は以下のとおりです。リモートユーザーには認証後、RADIUSサーバーから毎回同じアドレスが以下のように割り当てられます。
表 2:リモートユーザー情報
リモートユーザー名 |
IPアドレス |
QoS(送出する割合) |
A |
192.168.100.1 |
1 |
B |
192.168.100.2 |
1 |
C |
192.168.100.3 |
1 |
D |
192.168.100.4 |
1 |
E |
192.168.100.5 |
1 |
F |
192.168.100.6 |
1 |
G |
192.168.100.7 |
1 |
H |
192.168.100.8 |
1 |
ルーターには、次のような方針で設定を行います。
- Internet回線へ接続するためのPPPoEクライアントの設定をすると同時に、自身はリモートユーザーからのアクセスに対するACサービスを提供できるように、ACの設定を行います。
- ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。このとき、リモートユーザーからのアクセスによってダイナミックに作成されるプライベート側インターフェースをファイアウォールの対象インターフェースに指定できるようにするため、ダイナミックインターフェースの設定を行います。
- リモートユーザーからのPPPoEによる認証要求をRADIUSサーバーに転送することで、認証を受けたリモートユーザーのみがインターネットを利用できるようになります。
- リモートユーザーが、RADIUS認証によって取得したIPアドレスを使用してインターネットアクセスを行う際に、QoSによってIPアドレスごとに公平な帯域を割り当てます。また、他のリモートユーザーの帯域に余裕がある場合にはその帯域も使用します。(この例では、リモートユーザーにはRADIUS認証時に毎回同じIPアドレスが割り当てられることを前提としており、そのIPアドレスごとに帯域を公平に割り当てています。)
- QoSにはDWRR(Deficit Weighted Round Robin)を使用します。DWRRはパケットサイズも考慮に入れるため、よりWEIGHT比が実際の帯域比に近くなります。
- WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=9 OVER=eth0-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=9 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=user1 PASS=passwd1 LQR=off ECHO=ON ↓
- PPP テンプレートを作成します。これは動的に作成する PPP インターフェースの仕様を定義するものです。本設定では、CHAP 認証を使用します。
CREATE PPP TEMPLATE=1 ↓
SET PPP TEMPLATE=1 IDLE=OFF BAP=OFF AUTHENTICATION=CHAP ↓
- Access Concentrator に関する設定を行います。
AC サービス名、PPP 受信インターフェース、PPP 最大接続数を登録します。PPP最大接続数は、リモートクライアント台数分の「8」を設定します。また、動的に作成された PPPインターフェースに対しては、PPP テンプレート「1」を適用します。
ADD PPP ACSERVICE=PPPoE1 TEMPLATE=1 MAXSESSIONS=8 ACINTERFACE=vlan1 ↓
- Access Concentrator モジュールを有効にします。
ENABLE PPP ACCESSCONCENTRATOR ↓
- IP モジュールを有効にします。
- IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。
- WAN側(ppp9)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません。
ADD IP INT=ppp9 IP=0.0.0.0 MASK=0.0.0.0 ↓
- デフォルトルートの設定をします。
ADD IP ROUTE=0.0.0.0 INT=PPP9 NEXTHOP=0.0.0.0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールを使用するためには、ADD FIREWALL POLICY INTERFACEコマンドで監視対象インターフェースを指定する必要があります。しかしこの設定例ではVLAN側のインターフェースはリモートユーザーからのアクセスによって動的にPPPインターフェースが作成されるため、これらのインターフェースに対してどのようにして指定するかが問題となります。このように、動的に作成されるPPPインターフェースをファイアウォール関連コマンドで使用するときは、「ダイナミックインターフェーステンプレート」という仕組みを使います。この仕組みを使うと、特定ユーザーが接続してきたときに作成される動的インターフェースに任意の名前(テンプレート名)を付けることができます。初めにテンプレートを作成します。テンプレート名は自由です。
CREATE FIREWALL POLICY=net DYNAMIC=alluser ↓
- PPPの認証を受けたユーザーすべてを対象とする場合は、USERパラメーターにANYを指定します。
ADD FIREWALL POLICY=net DYNAMIC=alluser USER=ANY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側(DYN-alluser)インターフェースをPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=DYN-alluser TYPE=PRIVATE ↓
Note
- 作成したダイナミックインターフェーステンプレートは、ファイアウォール関連コマンドでインターフェース名を指定する箇所ならどこでも使用できます。そのとき、「DYN-」+テンプレート名の形式で指定します。
- WAN側(ppp9)インターフェースをPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp9 TYPE=PUBLIC ↓
- LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp9のIPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=DYN-alluser GBLINT=ppp9 ↓
- ここからがQoSの設定です。最初にQoS機能を有効にします。
- クラシファイアを作成し、パケットの分類条件を定義します。ここでは、192.168.100.1〜192.168.100.8の8つを作成します。
CREATE CLASS=1 IPSA=192.168.100.1 ↓
CREATE CLASS=2 IPSA=192.168.100.2 ↓
CREATE CLASS=3 IPSA=192.168.100.3 ↓
CREATE CLASS=4 IPSA=192.168.100.4 ↓
CREATE CLASS=5 IPSA=192.168.100.5 ↓
CREATE CLASS=6 IPSA=192.168.100.6 ↓
CREATE CLASS=7 IPSA=192.168.100.7 ↓
CREATE CLASS=8 IPSA=192.168.100.8 ↓
- トラフィッククラスを作成します。それぞれのトラフィッククラスに重み付きラウンドロビンを設定します。
CREATE SQOS TRAFFICCLASS=1 WEIGHT=1 ↓
CREATE SQOS TRAFFICCLASS=2 WEIGHT=1 ↓
CREATE SQOS TRAFFICCLASS=3 WEIGHT=1 ↓
CREATE SQOS TRAFFICCLASS=4 WEIGHT=1 ↓
CREATE SQOS TRAFFICCLASS=5 WEIGHT=1 ↓
CREATE SQOS TRAFFICCLASS=6 WEIGHT=1 ↓
CREATE SQOS TRAFFICCLASS=7 WEIGHT=1 ↓
CREATE SQOS TRAFFICCLASS=8 WEIGHT=1 ↓
- QoSポリシーを作成し、このポリシー上でDWRRを使用できるようにします。
CREATE SQOS POLICY=1 WEIGHTSCHEDULER=DWRR ↓
- QoSポリシーにトラフィッククラスを関連付けます。
ADD SQOS POLICY=1 TRAFFICCLASS=1-8 ↓
- 末端のトラフィッククラスにクラシファイアを関連付けます。
ADD SQOS TRAFFICCLASS=1 CLASS=1 ↓
ADD SQOS TRAFFICCLASS=2 CLASS=2 ↓
ADD SQOS TRAFFICCLASS=3 CLASS=3 ↓
ADD SQOS TRAFFICCLASS=4 CLASS=4 ↓
ADD SQOS TRAFFICCLASS=5 CLASS=5 ↓
ADD SQOS TRAFFICCLASS=6 CLASS=6 ↓
ADD SQOS TRAFFICCLASS=7 CLASS=7 ↓
ADD SQOS TRAFFICCLASS=8 CLASS=8 ↓
- QoSポリシーをインターフェースに適用します。
SET SQOS INT=ppp9 OUT=1 ↓
- 認証要求の依頼先となるRADIUSサーバーのIPアドレスと共有パスワード(radius)を指定します。
ADD RAD SERVER=192.168.150.10 SECRET=radius PO=1812 ACCP=1813 ↓
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
ルーターAのコンフィグ
[テキスト版]
CREATE PPP=9 OVER=eth0-ANY ↓
SET PPP=9 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=user1 PASS=passwd1 LQR=off ECHO=ON ↓
CREATE PPP TEMPLATE=1 ↓
SET PPP TEMPLATE=1 IDLE=OFF BAP=OFF AUTHENTICATION=CHAP ↓
ADD PPP ACSERVICE=PPPoE1 TEMPLATE=1 MAXSESSIONS=8 ACINTERFACE=vlan1 ↓
ENABLE PPP ACCESSCONCENTRATOR ↓
ENABLE IP ↓
ENABLE IP REMOTE ↓
ADD IP INT=ppp9 IP=0.0.0.0 MASK=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=PPP9 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
CREATE FIREWALL POLICY=net DYNAMIC=alluser ↓
ADD FIREWALL POLICY=net DYNAMIC=alluser USER=ANY ↓
ADD FIREWALL POLICY=net INT=DYN-alluser TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp9 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=DYN-alluser GBLINT=ppp9 ↓
ENABLE SQOS ↓
CREATE CLASS=1 IPSA=192.168.100.1 ↓
CREATE CLASS=2 IPSA=192.168.100.2 ↓
CREATE CLASS=3 IPSA=192.168.100.3 ↓
CREATE CLASS=4 IPSA=192.168.100.4 ↓
CREATE CLASS=5 IPSA=192.168.100.5 ↓
CREATE CLASS=6 IPSA=192.168.100.6 ↓
CREATE CLASS=7 IPSA=192.168.100.7 ↓
CREATE CLASS=8 IPSA=192.168.100.8 ↓
CREATE SQOS TRAFFICCLASS=1 WEIGHT=1 ↓
CREATE SQOS TRAFFICCLASS=2 WEIGHT=1 ↓
CREATE SQOS TRAFFICCLASS=3 WEIGHT=1 ↓
CREATE SQOS TRAFFICCLASS=4 WEIGHT=1 ↓
CREATE SQOS TRAFFICCLASS=5 WEIGHT=1 ↓
CREATE SQOS TRAFFICCLASS=6 WEIGHT=1 ↓
CREATE SQOS TRAFFICCLASS=7 WEIGHT=1 ↓
CREATE SQOS TRAFFICCLASS=8 WEIGHT=1 ↓
CREATE SQOS POLICY=1 WEIGHTSCHEDULER=DWRR ↓
ADD SQOS POLICY=1 TRAFFICCLASS=1-8 ↓
ADD SQOS TRAFFICCLASS=1 CLASS=1 ↓
ADD SQOS TRAFFICCLASS=2 CLASS=2 ↓
ADD SQOS TRAFFICCLASS=3 CLASS=3 ↓
ADD SQOS TRAFFICCLASS=4 CLASS=4 ↓
ADD SQOS TRAFFICCLASS=5 CLASS=5 ↓
ADD SQOS TRAFFICCLASS=6 CLASS=6 ↓
ADD SQOS TRAFFICCLASS=7 CLASS=7 ↓
ADD SQOS TRAFFICCLASS=8 CLASS=8 ↓
SET SQOS INT=ppp9 OUT=1 ↓
ADD RAD SERVER=192.168.150.10 SECRET=radius PO=1812 ACCP=1813 ↓
|
CentreCOM AR550S 設定例集 2.9 #164
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-04 Rev.P
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))