設定例集#47: PPPoEによるLAN型インターネット接続(DMZ)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。
この例は、グローバルアドレスを8個、16個などのブロック単位で固定的に割り当てられるLAN型接続の設定例です。
この例では、LAN側を2つのサブネットに分割し、一方をグローバルアドレスで運用するサーバー用(DMZ)、もう一方をプライベートアドレスで運用するクライアント用とします。クライアントはダイナミックENAT経由でインターネットにアクセスします。
また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します。
構成
ISPから提供された情報
ISP接続用ユーザー名
user@isp
ISP接続用パスワード
isppasswd
PPPoEサービス名
指定なし
使用できるアドレス
10.0.0.0/29(10.0.0.0~10.0.0.7)
接続形態
LAN型(アドレス8個固定)
ルーターの基本設定
WAN側物理インターフェース
eth1
WAN側(ppp0)IPアドレス
Unnumbered
DMZ側(eth2)IPアドレス
10.0.0.1/29
LAN側(eth0)IPアドレス
192.168.10.1/24
ここでは、次の方針で設定を行います。
LAN側を2つのサブネットに分割し、一方にはISPから割り当てられたグローバルアドレスを、もう一方にはプライベートアドレスを割り当てます。グローバルサブネットはDMZとしてサーバーを配置し、プライベートサブネットにはクライアントを配置します。
WAN側インターフェースはUnnumberedで運用します。ルーター自身がWAN側にパケットを送信するときは、グローバルサブネット側のインターフェースアドレス(10.0.0.1)を借用します。
ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
外部からのアクセスは基本的にすべて遮断しますが、下記のサーバーにはアクセスを許可します。
Webサーバー(10.0.0.2:80/tcp)
SMTPサーバー(10.0.0.3:25/tcp)
DNSサーバー(10.0.0.4:53/tcp、53/udp)
プライベートサブネットのクライアントがインターネットにアクセスできるよう、ダイナミックENATを使用します。グローバルアドレスには、グローバルサブネット側のインターフェースアドレス(10.0.0.1)を共用します。
AT-NFV-APLの事前設定
本設定例は、あらかじめ AT-NFV-APL側で以下のような設定を行っていることを前提としています。
使用するインターフェースの番号や数は適宜変更してかまいません。
事前設定の流れについては「AT-NFV-APL」/「準備」 をご覧ください。
10ポート構成(eth1~eth10)のAT-NFV-APL-GTXを想定した例になっていますので、6ポート(eth1~eth6)構成のAT-NFV-APL-GTをご使用の場合は、使用するポートを適宜読み替えてください。
管理IPアドレス
詳細は「AT-NFV-APL」/「ネットワーク基本設定」 をご覧ください。
インターフェース
IPアドレス
br0
192.168.10.254/24
ブリッジ
詳細は「AT-NFV-APL」/「ネットワーク基本設定」 をご覧ください。
ポート
所属VLAN
ネイティブVLAN
eth1~eth6
1
1
eth7~eth9
10
10
eth10
未所属
仮想インターフェース割り当て
vFirewallアプリケーションインスタンスの初期設定時には、下記のように仮想インターフェースを割り当てます。
詳細は「AT-NFV-APL」/「AW+ vFirewall」 をご覧ください。
vFirewallの インターフェース名
インターフェース タイプ
外部ネットワーク VLAN ID
ホスト インターフェース
IPv4アドレス
eth0
Virtual
1
-
192.168.10.1/24
eth1
Physical
-
eth10
未指定
eth2
Virtual
10
-
未指定
ルーターの設定
WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation ppp コマンドを使います。
PPPの詳細は「PPP」/「一般設定」 をご覧ください。
interface eth1
encapsulation ppp 0
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
・LCP EchoによるPPP接続状態の確認(keepalive )
・提示されたIPアドレスを無条件で受け入れる設定(ppp ipcp ip-override )
・ユーザー名(ppp username )
・パスワード(ppp password )
・Unnumbered IPインターフェースの設定(ip unnumbered )
・MSS書き換え(ip tcp adjust-mss )
PPPの詳細は「PPP」/「一般設定」 をご覧ください。
interface ppp0
keepalive
ppp ipcp ip-override
ppp username user@isp
ppp password isppasswd
ip unnumbered eth2
ip tcp adjust-mss pmtu
DMZ側インターフェースeth2にIPアドレスを設定します。これにはip address コマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」 をご覧ください。
interface eth2
ip address 10.0.0.1/29
LAN側インターフェースeth0のIPアドレスは、AT-NFV-APLの事前設定 時に設定済みのため、次のコマンドを手で入力する必要はありません。
interface eth0
ip address 192.168.10.1/24
ファイアウォールのルール作成時に使うエンティティー(通信主体)を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」 をご覧ください。
内部ネットワークを表すゾーン「private」を作成します。
これには、zone 、network 、ip subnet の各コマンドを使います。
zone private
network lan
ip subnet 192.168.10.0/24
外部ネットワークを表すゾーン「public」を作成します。
前記コマンドに加え、ここではhost 、ip address の各コマンドも使います。
zone public
network wan
ip subnet 0.0.0.0/0 interface ppp0
host ppp0
ip address 10.0.0.1
DMZ(サーバー用ネットワーク)を表すゾーン「dmz」を作成します。
zone dmz
network servernet
ip subnet 10.0.0.0/29
host dns
ip address 10.0.0.4
host smtp
ip address 10.0.0.3
host web
ip address 10.0.0.2
ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application 、protocol 、sport 、dport の各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」 をご覧ください。
ここでは、TCP上のDNS通信を表すカスタムアプリケーション「dns_tcp」を定義します。
application dns_tcp
protocol tcp
sport any
dport 53
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall 、rule 、protect の各コマンドを使います。
・rule 10 - 内部から内部への通信を許可します(ここでは本製品・端末間の通信)
・rule 20 - 内部から外部への通信を許可します
・rule 30 - 内部からDMZへの通信を許可します
・rule 40 - DMZ内の通信を許可します
・rule 50 - DMZから外部への通信を許可します
・rule 60 - 外部からDMZのWebサーバーへの通信を許可します
・rule 70 - 外部からDMZのSMTPサーバーへの通信を許可します
・rule 80 - 外部からDMZのDNSサーバーへのUDP通信を許可します
・rule 90 - 外部からDMZのDNSサーバーへのTCP通信を許可します
ファイアウォールの詳細は「UTM」/「ファイアウォール」 をご覧ください。
firewall
rule 10 permit any from private to private
rule 20 permit any from private to public
rule 30 permit any from private to dmz
rule 40 permit any from dmz to dmz
rule 50 permit any from dmz to public
rule 60 permit http from public to dmz.servernet.web
rule 70 permit smtp from public to dmz.servernet.smtp
rule 80 permit dns from public to dmz.servernet.dns
rule 90 permit dns_tcp from public to dmz.servernet.dns
protect
NAT機能の設定を行います。
これには、nat 、rule 、enable の各コマンドを使います。
・rule 10 - 内部のコンピューターがダイナミックENAT機能を使用できるようにします。なお、本例ではWAN側がUnnumberedのため、「with src public.wan.ppp0」により、変換後のアドレスとして10.0.0.1を指定しています。
NATの詳細は「UTM」/「NAT」 をご覧ください。
nat
rule 10 masq any from private to public with src public.wan.ppp0
enable
デフォルト経路をPPPインターフェースppp0に向けます。これにはip route コマンドを使います。
IP経路設定の詳細は「IP」/「経路制御」 をご覧ください。
ip route 0.0.0.0/0 ppp0
以上で設定は完了です。
end
設定の保存
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copy コマンドを「copy running-config startup-config 」の書式で実行します。
awplus# copy running-config startup-config ↓
Building configuration...
[OK]
また、write file コマンド、write memory コマンドでも同じことができます。
awplus# write memory ↓
Building configuration...
[OK]
その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」 をご覧ください。
ファイアウォールログについて
■ ファイアウォールのログをとるには、次のコマンド(log(filter) )を実行します。
awplus(config)# log buffered level informational facility local5 ↓
■ 記録されたログを見るには、次のコマンド(show log )を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall ↓
ルーターのコンフィグ
!
interface eth1
encapsulation ppp 0
!
interface ppp0
keepalive
ppp ipcp ip-override
ppp username user@isp
ppp password isppasswd
ip unnumbered eth2
ip tcp adjust-mss pmtu
!
interface eth2
ip address 10.0.0.1/29
!
interface eth0
ip address 192.168.10.1/24
!
zone private
network lan
ip subnet 192.168.10.0/24
!
zone public
network wan
ip subnet 0.0.0.0/0 interface ppp0
host ppp0
ip address 10.0.0.1
!
zone dmz
network servernet
ip subnet 10.0.0.0/29
host dns
ip address 10.0.0.4
host smtp
ip address 10.0.0.3
host web
ip address 10.0.0.2
!
application dns_tcp
protocol tcp
sport any
dport 53
!
firewall
rule 10 permit any from private to private
rule 20 permit any from private to public
rule 30 permit any from private to dmz
rule 40 permit any from dmz to dmz
rule 50 permit any from dmz to public
rule 60 permit http from public to dmz.servernet.web
rule 70 permit smtp from public to dmz.servernet.smtp
rule 80 permit dns from public to dmz.servernet.dns
rule 90 permit dns_tcp from public to dmz.servernet.dns
protect
!
nat
rule 10 masq any from private to public with src public.wan.ppp0
enable
!
ip route 0.0.0.0/0 ppp0
!
end
(C) 2021 - 2025 アライドテレシスホールディングス株式会社
PN: 613-002993 Rev.Q