[index] CentreCOM 9600シリーズ コマンドリファレンス 2.7

PPP/概要・基本設定

  - 基本設定
   - PPPインターフェースの作成
   - IPアドレスの設定
   - 自動再接続
   - 接続・切断
   - 状態確認
  - その他オプション
   - 無通信時自動切断タイマー
   - 通信量リミッター
  - 設定例
   - 端末型接続
   - 端末型接続（スタティックENAT）
   - LAN型接続（LAN側グローバル）
   - LAN型接続（LAN側プライベート＋DMZ）
   - LAN型接続（LAN側プライベート＋スタティックNAT）

本製品は、Ethernet上でPPPを使用するPPPoE（PPP over Ethernet）に対応しています。ここでは、PPPの概要と基本設定について説明します。

Note - PPP関連の処理はソフトウェアによって行われます。PPPインターフェースと他インターフェース間のルーティングはソフトウェア処理です。ただし、PPPインターフェースに関係のないVLAN間のルーティングはハードウェア処理です。なお、ファイアウォールを使用する場合は、どのインターフェース間であっても、ルーティングはソフトウェア処理になります。

Note - PPP（PPPoE）とハードウェアIPフィルターは併用できません。PPPoEを使用するときは、ハードウェアIPフィルターを使わないでください。

基本設定

PPPインターフェースの作成

• PPPユーザー名
  
• PPPパスワード
  
• PPPサービス名
  
• PPPoEを使用するVLAN
  

CREATE PPP=0 OVER=vlan10-any USERNAME=user@isp PASSWORD=isppasswd IPREQUEST=ON BAP=OFF LQR=OFF ECHO=ON ↓


• PPPパラメーターには、PPPインターフェースの番号を指定します。0〜511の範囲で重ならないよう割り当ててください。通常は0から順に割り当てます。
  
  
• OVERパラメーターには、PPPoEを使用するVLANとPPPoEサービス名を指定します。VLANとPPPoEサービス名は、「VLANn-servicename」の形式で指定します。「n」はVLAN ID（VID）、「servicename」はISP等から指定されたPPPoEサービス名です。サービス名が指定されていない場合は、任意の文字列かキーワード「any」を指定します。
  
  
• USERNAME、PASSWORDパラメーターには、接続のためのユーザー名とパスワードを指定します。ISPなどから通知されたユーザー名とパスワードを指定してください。
  
  
• IPREQUESTパラメーターは、IPアドレスの割り当てを要求するためのパラメーターです。通常はONを指定してください（省略時はOFF）。
  
  
• BAPパラメーターは、ISDN向けの機能です。PPPoE環境ではつねにOFFを指定してください（省略時はON）。
  
  
• LQRパラメーターは、LQR（Link Quality Report）パケットを使ってPPPリンクの状態を監視するかどうかを示すパラメーターです。サポートしている機器が少なく接続上の問題が発生しやすいため、つねにOFFを指定してください（省略時はON）。
  
  
• ECHOパラメーターは、PPPの標準機能であるLCP Echoパケットを使ってリンク状態を監視するためのパラメーターです。インターフェーストリガー（後述）と併用することで、局側からリンクを切断されたような場合に自動再接続することができます。常時接続環境の場合はONを指定し、自動再接続トリガーの設定をしてください（省略時はOFF）。
  

IPアドレスの設定

ENABLE IP REMOTEASSIGN ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓


ADD IP INT=ppp0 IP=10.31.115.72 MASK=255.255.255.255 ↓

ENABLE IP REMOTEASSIGN ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓


Note - PPPoEのLAN型接続におけるWAN側（PPP）インターフェースは、厳密にはUnnumberedではありません。IPCPネゴシエーションでLAN側用のネットワークアドレスを割り当てられることが多いようです。

自動再接続

Note - これらのトリガーを利用するには、PPPインターフェース作成時に「ECHO=ON」を指定しておく必要があります。「ECHO=ON」を指定した場合、対向装置に対して10秒間隔でLCP Echoパケットを送信し、3回連続でEcho-Replyが戻ってこなかった場合は、リンクがダウンしたと判断してトリガーイベントを発生します。インターフェーストリガーでこのイベントを捕捉することにより、リンクダウン時に自動的な対応をとることができます。

• トリガーの設定
  
  ENABLE TRIGGER ↓
CREATE TRIGGER=1 PERIODIC=3 SCRIPT=reset.scp ↓
CREATE TRIGGER=2 INTERFACE=ppp0 EVENT=UP CP=LCP SCRIPT=up.scp ↓
CREATE TRIGGER=3 INTERFACE=ppp0 EVENT=DOWN CP=LCP SCRIPT=down.scp ↓

  
  
• スクリプトreset.scp
  

  RESET PPP=0

  
  
• スクリプトup.scp
  

  DISABLE TRIGGER=1

  
  
• スクリプトdown.scp
  

  ENABLE TRIGGER=1

Note - この例ではLCPの状態を監視することによってPPPリンクの断絶を監視していますが、リンク断がうまく検出できないときは「CP=LCP」を「CP=IPCP」に変更してみてください。

• WAN側インターフェースのケーブルを抜いた状態でコマンドを入力し、設定保存後にケーブルを接続する。
  
  
• PC上で設定ファイルを作成し、ZMODEMかTFTPで本製品に転送する。
  
  
• 本製品のEDITコマンドで設定ファイルを作成する。
  

create trigger=1 periodic=3 script=reset.scp

create trigger=1 periodic=3 state=disabled script=reset.scp

接続・切断

DISABLE PPP=0 ↓

ENABLE PPP=0 ↓

状態確認

SHOW PPP ↓
SHOW PPP=0 ↓


表 1：CP（Control Protocol）の状態一覧

状態	内容
INITIAL	初期状態。OPENイベント未発生で物理層もDOWN状態
STARTING	OPENイベントが発生したが物理層はまだDOWN状態
CLOSED	物理層はUPしているがOPENイベントは未発生
STOPPED	物理層はUPしているがDOWNまたはTIMEOUTイベントが発生
CLOSING	リンクはUPしているがCLOSEイベントが発生しリンクを閉じようとしている状態
STOPPING	リンクはOPENしているがリモート側がリンクを閉じようとしている状態
REQ SENT	Configure-Requestを送信し、応答を待っている状態
ACK RCVD	Configure-Requestを送信し、Ackを受信した状態
ACK SENT	Configure-Requestを受信し、Ackを送信した状態
OPENED	Ackを送受信し、リンクが確立した状態

SHOW PPP CONFIG ↓
SHOW PPP=0 CONFIG ↓


SHOW PPP COUNTER ↓
SHOW PPP=0 COUNTER ↓
SHOW PPP=0 COUNTER=LCP ↓


その他オプション

無通信時自動切断タイマー

CREATE PPP=0 OVER=vlan10-any USERNAME=user@isp PASSWORD=isppasswd IPREQUEST=ON BAP=OFF LQR=OFF IDLE=ON ↓


Note - 無通信時自動切断タイマーを使用するときは、「ECHO=OFF」の設定、および、自動再接続トリガーの設定は不要です。

SET PPP=0 IDLE=175 ↓

通信量リミッター

表 2：PPPの通信限度設定パラメーター

パラメーター	意味	有効範囲
ONLINELIMIT	通信時間（リンクアップ時間）	1〜65535（時間）
INDATALIMIT	受信データ量	1〜65535（MB）
OUTDATALIMIT	送信データ量	1〜65535（MB）
TOTALDATALIMIT	送受信データ量（合計）	1〜65535（MB）

SET PPP=0 TOTALDATALIMIT=1024 ↓

SET PPP=0 TOTALDATALIMIT=NONE ↓

SHOW PPP LIMITS ↓

Manager > show ppp limits ppp0: Limit Counter Current Limit Remaining Previous ---------------------------------------------------------------------------- Connection Time 1473:35 Unlimited -- In Data 731.2 MB Unlimited -- Out Data 223.0 MB Unlimited -- Total Data 954.0 MB 1024 MB 70.0 MB ----------------------------------------------------------------------------

RESET PPP=0 LINKCOUNTER=OUTDATA ↓

設定例

Note - 以下の例はすべてファイアウォールを使用しています。ファイアウォールを使用するには、フィーチャーライセンスAT-FL-02が必要です。

端末型接続

表 3：ISPから提供された情報

PPPユーザー名	user@isp
PPPパスワード	isppasswd
PPPoEサービス名	指定なし
IPアドレス	グローバルアドレス1個（動的割り当て）
DNSサーバー	接続時に通知される

• ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
  
  
• ファイアウォールのダイナミックENAT機能を使用して、LAN側ネットワークのプライベートIPアドレスを、ISPから与えられたグローバルIPアドレスに変換します。これにより、LANに接続された複数のコンピューターからインターネットへの同時アクセスが可能になります。
  
  
• トリガー機能を使ってPPPインターフェースを監視し、PPPoEのセッションが局側から切断されたような場合に、自動的に再接続するよう設定します。
  
  
• 本製品をDHCPサーバーとして動作させ、LANに接続されたコンピューターにIPアドレス、サブネットマスク、デフォルトゲートウェイ、DNSサーバーアドレスの情報を提供します。
  
  
• 本製品のDNSリレー機能をオンにして、LAN側コンピューターからのDNSリクエストを、ISPのDNSサーバーに転送します。上記DHCPサーバーの設定により、LAN側コンピューターに対しては、DNSサーバーアドレスとして本製品自身のIPアドレスを教えます。
  

表 4：本製品の基本設定

WAN側VLAN	vlan2（wan）：ポート1
LAN側VLAN	vlan10（lan）：ポート2〜6
WAN側（ppp0）IPアドレス	接続時にISPから取得する
LAN側（vlan10）IPアドレス	192.168.10.1/24
DHCPサーバー機能	有効

表 5：本製品のDHCPサーバーの設定

DHCPポリシー名	BASE
使用期限	7200（秒）
サブネットマスク	255.255.255.0
デフォルトルート	192.168.10.1
DNSサーバー	192.168.10.1
DHCPレンジ名	LOCAL
提供するIPアドレスの範囲	192.168.10.100〜192.168.10.131（32個）

Note - 本設定例では、PPPインターフェースのリンクアップ・ダウンによって、トリガーの状態が動的に変化します。そのため、以下の設定コマンドは本製品のWAN側インターフェース（vlan2）にケーブルを接続していない状態（PPPインターフェースがリンクアップしない状態）で入力してください。詳細については章末の「メモ」をご覧ください。

1. 2つのVLAN、wan（VID=2）とlan（VID=10）を作成します。
   
   CREATE VLAN=wan VID=2 ↓
CREATE VLAN=lan VID=10 ↓

   
   
2. 各VLANにポートを割り当てます。
   
   ADD VLAN=wan PORT=1 ↓
ADD VLAN=lan PORT=2-6 ↓

   
   
3. VLAN wan（VID=2）上にPPPインターフェースを作成します。OVERパラメーターには、PPPoEを使用するVLANとPPPoEサービス名を指定します。VLANとPPPoEサービス名は、「VLANn-servicename」の形式で指定します。「n」はVLAN ID（VID）、「servicename」はISP等から指定されたPPPoEサービス名です。ISPからサービス名を指定されていない場合は、「any」を指定してください。
   
   CREATE PPP=0 OVER=vlan2-any ↓
   
   
4. ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
   
   SET PPP=0 OVER=vlan2-any BAP=OFF IPREQUEST=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=ON ↓
   
   
5. IPモジュールを有効にします。
   
   ENABLE IP ↓
   
   
6. IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用できるようにします。
   
   ENABLE IP REMOTEASSIGN ↓
   
   
7. LAN側（vlan10）インターフェースにIPアドレスを設定します。
   
   ADD IP INT=vlan10 IP=192.168.10.1 MASK=255.255.255.0 ↓
   
   
8. WAN側（ppp0）インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません。
   
   ADD IP INT=ppp0 IP=0.0.0.0 ↓
   
   
9. デフォルトルートを設定します。
   
   ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
   
   
10. DNSリレー機能を有効にします。
    
    ENABLE IP DNSRELAY ↓
    
    
11. DNSリレーの中継先を指定します。通常、中継先にはDNSサーバーのアドレスを指定しますが、IPCPによりアドレスを取得するまでは不明であるため、ここではインターフェース名を指定します。
    
    SET IP DNSRELAY INT=ppp0 ↓
    
    
12. ファイアウォール機能を有効にします。
    
    ENABLE FIREWALL ↓
    
    
13. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
    
    CREATE FIREWALL POLICY=net ↓
    
    
14. ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
    
    ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
    
    

    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

    
    
15. identプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
    
    DISABLE FIREWALL POLICY=net IDENTPROXY ↓
    
    
16. ファイアウォールポリシーの適用対象となるインターフェースを指定します。
    
    
    • LAN側（vlan10）インターフェースをPRIVATE（内部）に設定します。
      
      ADD FIREWALL POLICY=net INT=vlan10 TYPE=PRIVATE ↓
      
      
    • WAN側（ppp0）インターフェースをPUBLIC（外部）に設定します。
      
      ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓

    
    
17. LAN側に接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
    
    ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan10 GBLINT=ppp0 ↓
    
    
18. LAN側コンピューターのためにDHCPサーバー機能を有効にします。
    
    ENABLE DHCP ↓
    
    
19. DHCPポリシー「BASE」を作成します。IPアドレスの使用期限は7,200秒（2時間）とします。
    
    CREATE DHCP POLICY=BASE LEASETIME=7200 ↓
    
    
20. DHCPクライアントに提供する情報を設定します。ここでは、DNSサーバーアドレスとして、本製品のLAN側インターフェースのIPアドレスを指定しています。
    
    ADD DHCP POLICY=BASE SUBNET=255.255.255.0 ROUTER=192.168.10.1 DNSSERVER=192.168.10.1 ↓
    
    
21. DHCPクライアントに提供するIPアドレスの範囲を設定します。
    
    CREATE DHCP RANGE=LOCAL POLICY=BASE IP=192.168.10.100 NUMBER=32 ↓
    
    
22. PPPoEセッションを自動再接続するためのトリガースクリプトを作成します。
    
    
    • ppp0をリセットするスクリプトreset.scpを作成します。
      
      ADD SCRIPT=reset.scp TEXT="RESET PPP=0" ↓
      
      
    • トリガー「1」を無効状態にするスクリプトup.scpを作成します。
      
      ADD SCRIPT=up.scp TEXT="DISABLE TRIGGER=1" ↓
      
      
    • トリガー「1」を有効状態にするスクリプトdown.scpを作成します。
      
      ADD SCRIPT=down.scp TEXT="ENABLE TRIGGER=1" ↓

    
    

    Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド（内蔵フルスクリーンエディター）等を使って設定スクリプトファイル（.CFG）にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。

    
    
23. トリガー機能を有効にします。
    
    ENABLE TRIGGER ↓
    
    
24. PPPoEセッションを自動再接続するためのトリガーを作成します。
    
    
    • 3分ごとにreset.scpを実行する定期トリガー「1」を作成します。このトリガーは、ppp0インターフェースがダウンすると同時に有効になり（トリガー「3」による）、アップすると無効になります（トリガー「2」による）。
      
      CREATE TRIGGER=1 PERIODIC=3 SCRIPT=reset.scp ↓
      
      
    • ppp0のアップ時にup.scpを実行するインターフェーストリガー「2」を作成します。
      
      CREATE TRIGGER=2 INTERFACE=ppp0 EVENT=UP CP=IPCP SCRIPT=up.scp ↓
      
      
    • ppp0のダウン時にdown.scpを実行するインターフェーストリガー「3」を作成します。
      
      CREATE TRIGGER=3 INTERFACE=ppp0 EVENT=DOWN CP=IPCP SCRIPT=down.scp ↓

    
    
25. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
    
    CREATE CONFIG=pppoe.cfg ↓
SET CONFIG=pppoe.cfg ↓

    
    

    Note - WAN側のケーブルを抜いた状態でここまでの設定を行った場合は、ファイル保存後にケーブルを接続してください。

端末型接続（スタティックENAT）

表 6：ISPから提供された情報

PPPユーザー名	user@isp
PPPパスワード	isppasswd
PPPoEサービス名	指定なし
IPアドレス	12.34.56.78/32（固定）
DNSサーバー	12.34.11.11、12.34.11.22

• ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
  
  
• ファイアウォールのダイナミックENAT機能を利用して、LAN側ネットワークのプライベートIPアドレスを、ISPから与えられたグローバルIPアドレスに変換します。これにより、LANに接続された複数のコンピューターからインターネットへの同時アクセスが可能になります。
  
  
• ファイアウォールのスタティックENAT機能を利用して、本製品の80番ポートに送られてきたTCPパケットをLAN側のWebサーバー（192.168.10.5）に転送します（ポート転送）。これにより、IPアドレスが1個であっても、サーバーを外部に公開することができます。
  
  
• トリガー機能を使ってPPPインターフェースを監視し、PPPoEのセッションが局側から切断されたような場合に、自動的に再接続するよう設定します。
  
  
• 本製品をDHCPサーバーとして動作させ、LANに接続されたコンピューターにIPアドレス、サブネットマスク、デフォルトゲートウェイ、DNSサーバーアドレスの情報を提供します。
  
  
• 本製品のDNSリレー機能をオンにして、LAN側コンピューターからのDNSリクエストを、ISPのDNSサーバーに転送します。上記DHCPサーバーの設定により、LAN側コンピューターに対しては、DNSサーバーアドレスとして本製品自身のIPアドレスを教えます。
  

表 7：本製品の基本設定

WAN側VLAN	vlan2（wan）：ポート1
LAN側VLAN	vlan10（lan）：ポート2〜6
WAN側（ppp0）IPアドレス	12.34.56.78/32（固定）
LAN側（vlan10）IPアドレス	192.168.10.1/24
DHCPサーバー機能	有効

表 8：本製品のDHCPサーバーの設定

DHCPポリシー名	BASE
使用期限	7200（秒）
サブネットマスク	255.255.255.0
デフォルトルート	192.168.10.1
DNSサーバー	192.168.10.1
DHCPレンジ名	LOCAL
提供するIPアドレスの範囲	192.168.10.100〜192.168.10.131（32個）

Note - 本設定例では、PPPインターフェースのリンクアップ・ダウンによって、トリガーの状態が動的に変化します。そのため、以下の設定コマンドは本製品のWAN側インターフェース（vlan2）にケーブルを接続していない状態（PPPインターフェースがリンクアップしない状態）で入力してください。詳細については章末の「メモ」をご覧ください。

1. 2つのVLAN、wan（VID=2）とlan（VID=10）を作成します。
   
   CREATE VLAN=wan VID=2 ↓
CREATE VLAN=lan VID=10 ↓

   
   
2. 各VLANにポートを割り当てます。
   
   ADD VLAN=wan PORT=1 ↓
ADD VLAN=lan PORT=2-6 ↓

   
   
3. VLAN wan（VID=2）上にPPPインターフェースを作成します。OVERパラメーターには、PPPoEを使用するVLANとPPPoEサービス名を指定します。VLANとPPPoEサービス名は、「VLANn-servicename」の形式で指定します。「n」はVLAN ID（VID）、「servicename」はISP等から指定されたPPPoEサービス名です。ISPからサービス名を指定されていない場合は、「any」を指定してください。
   
   CREATE PPP=0 OVER=vlan2-any ↓
   
   
4. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
   
   SET PPP=0 OVER=vlan2-any USER=user@isp PASSWORD=isppasswd LQR=OFF BAP=OFF ECHO=ON ↓
   
   
5. IPモジュールを有効にします。
   
   ENABLE IP ↓
   
   
6. LAN側（vlan10）インターフェースにIPアドレスを設定します。
   
   ADD IP INT=vlan10 IP=192.168.10.1 MASK=255.255.255.0 ↓
   
   
7. WAN側（ppp0）インターフェースにISPから割り当てられたIPアドレスを設定します。
   
   ADD IP INT=ppp0 IP=12.34.56.78 MASK=255.255.255.255 ↓
   
   
8. デフォルトルートを設定します。
   
   ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
   
   
9. ISPから通知されたDNSサーバーのアドレスを設定します。
   
   ADD IP DNS PRIMARY=12.34.11.11 SECONDARY=12.34.11.22 ↓

   
   
10. DNSリレー機能を有効にします。
    
    ENABLE IP DNSRELAY ↓
    
    
11. ファイアウォール機能を有効にします。
    
    ENABLE FIREWALL ↓
    
    
12. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
    
    CREATE FIREWALL POLICY=net ↓
    
    
13. ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
    
    ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
    
    

    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

    
    
14. identプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
    
    DISABLE FIREWALL POLICY=net IDENTPROXY ↓
    
    
15. ファイアウォールポリシーの適用対象となるインターフェースを指定します。
    
    
    • LAN側インターフェース（vlan10）をPRIVATE（内部）に設定します。
      
      ADD FIREWALL POLICY=net INT=vlan10 TYPE=PRIVATE ↓
      
      
    • WAN側インターフェース（ppp0）をPUBLIC（外部）に設定します。
      
      ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓

    
    
16. LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
    
    ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan10 GBLINT=ppp0 ↓
    
    
17. 本製品のWAN側のインターフェース（ppp0）の80番ポート宛てに送られたTCPパケットを、LAN側のWebサーバー（192.168.10.5）に転送するスタティックENATの設定を行います。
    
    ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=TCP GBLIP=12.34.56.78 GBLPORT=80 IP=192.168.10.5 PORT=80 ↓
    
    
18. LAN側PCのためにDHCPサーバー機能を有効にします。
    
    ENABLE DHCP ↓
    
    
19. DHCPポリシー「BASE」を作成します。IPアドレスの使用期限は7,200秒（2時間）とします。
    
    CREATE DHCP POLICY=BASE LEASETIME=7200 ↓
    
    
20. DHCPクライアントに提供する情報を設定します。ここでは、DNSサーバーアドレスとして、本製品のLAN側インターフェースのIPアドレスを指定しています。
    
    ADD DHCP POLICY=BASE SUBNET=255.255.255.0 ROUTER=192.168.10.1 DNSSERVER=192.168.10.1 ↓
    
    
21. DHCPクライアントに提供するIPアドレスの範囲を設定します。
    
    CREATE DHCP RANGE=LOCAL POLICY=BASE IP=192.168.10.100 NUMBER=32 ↓
    
    
22. PPPoEセッションを自動再接続するためのトリガースクリプトを作成します。
    
    
    • ppp0をリセットするスクリプトreset.scpを作成します。
      
      ADD SCRIPT=reset.scp TEXT="RESET PPP=0" ↓
      
      
    • トリガー「1」を無効状態にするスクリプトup.scpを作成します。
      
      ADD SCRIPT=up.scp TEXT="DISABLE TRIGGER=1" ↓
      
      
    • トリガー「1」を有効状態にするスクリプトdown.scpを作成します。
      
      ADD SCRIPT=down.scp TEXT="ENABLE TRIGGER=1" ↓

    
    

    Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド（内蔵フルスクリーンエディター）等を使って設定スクリプトファイル（.CFG）にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。

    
    
23. トリガー機能を有効にします。
    
    ENABLE TRIGGER ↓
    
    
24. PPPoEセッションを自動再接続するためのトリガーを作成します。
    
    
    • 3分ごとにreset.scpを実行する定期トリガー「1」を作成します。このトリガーは、ppp0インターフェースがダウンすると同時に有効になり（トリガー「3」による）、アップすると無効になります（トリガー「2」による）。
      
      CREATE TRIGGER=1 PERIODIC=3 SCRIPT=reset.scp ↓
      
      
    • ppp0のアップ時にup.scpを実行するインターフェーストリガー「2」を作成します。
      
      CREATE TRIGGER=2 INTERFACE=ppp0 EVENT=UP CP=IPCP SCRIPT=up.scp ↓
      
      
    • ppp0のダウン時にdown.scpを実行するインターフェーストリガー「3」を作成します。
      
      CREATE TRIGGER=3 INTERFACE=ppp0 EVENT=DOWN CP=IPCP SCRIPT=down.scp ↓

    
    
25. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
    
    CREATE CONFIG=pppoe.cfg ↓
SET CONFIG=pppoe.cfg ↓

    
    

    Note - WAN側のケーブルを抜いた状態でここまでの設定を行った場合は、ファイル保存後にケーブルを接続してください。

LAN型接続（LAN側グローバル）

表 9：ISPから提供された情報

PPPユーザー名	user@isp
PPPパスワード	isppasswd
PPPoEサービス名	指定なし
使用できるIPアドレス	4.4.4.0/29（4.4.4.0〜4.4.4.7）

• LAN側端末はすべてグローバルアドレスで運用します。NATは使用しません。ISPから割り当てられているアドレスは8個ですが、ネットワークアドレス（4.4.4.0）、ブロードキャストアドレス（4.4.4.7）、本製品自身のアドレス（4.4.4.1）にそれぞれ1個ずつ消費されるため、端末に設定できるアドレスは4.4.4.2〜4.4.4.6の5個となります。
  
  
• ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
  
  
• 外部からのアクセスは基本的にすべて遮断しますが、下記のサービスにはアクセスを許可します。
  
  
  • SMTPサーバー（4.4.4.2:25/tcp）
    
  • DNSサーバー（4.4.4.2:53/tcp、53/udp）
    
  
  
• トリガー機能を使ってPPPインターフェースを監視し、PPPoEのセッションが局側から切断されたような場合に、自動的に再接続するよう設定します。
  

表 10：本製品の基本設定

WAN側VLAN	vlan2（wan）：ポート1
LAN側VLAN	vlan10（lan）：ポート2〜6
WAN側（ppp0）IPアドレス	Unnumbered
LAN側（vlan10）IPアドレス	4.4.4.1/29
DHCPサーバー機能	使わない

Note - 本設定例では、PPPインターフェースのリンクアップ・ダウンによって、トリガーの状態が動的に変化します。そのため、以下の設定コマンドは本製品のWAN側インターフェース（vlan2）にケーブルを接続していない状態（PPPインターフェースがリンクアップしない状態）で入力してください。詳細については章末の「メモ」をご覧ください。

1. 2つのVLAN、wan（VID=2）とlan（VID=10）を作成します。
   
   CREATE VLAN=wan VID=2 ↓
CREATE VLAN=lan VID=10 ↓

   
   
2. 各VLANにポートを割り当てます。
   
   ADD VLAN=wan PORT=1 ↓
ADD VLAN=lan PORT=2-6 ↓

   
   
3. VLAN wan（VID=2）上にPPPインターフェースを作成します。OVERパラメーターには、PPPoEを使用するVLANとPPPoEサービス名を指定します。VLANとPPPoEサービス名は、「VLANn-servicename」の形式で指定します。「n」はVLAN ID（VID）、「servicename」はISP等から指定されたPPPoEサービス名です。ISPからサービス名を指定されていない場合は、「any」を指定してください。
   
   CREATE PPP=0 OVER=vlan2-any ↓
   
   
4. ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
   
   SET PPP=0 OVER=vlan2-any BAP=OFF IPREQUEST=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=ON ↓
   
   
5. IPモジュールを有効にします。
   
   ENABLE IP ↓
   
   
6. IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。
   
   ENABLE IP REMOTEASSIGN ↓
   
   

   Note - PPPoEのLAN型接続におけるWAN側（PPP）インターフェースは、厳密にはUnnumberedではありません。IPCPネゴシエーションでLAN側用のネットワークアドレスを割り当てられることが多いようです。

   
   
7. LAN側（vlan10）インターフェースにISPから割り当てられたグローバルアドレスの先頭アドレス（4.4.4.1）を設定します。アドレスを8個や16個といった単位で割り当てられる場合は、ネットマスクが変則的になるので注意してください。
   
   ADD IP INT=vlan10 IP=4.4.4.1 MASK=255.255.255.248 ↓
   
   
8. WAN側（ppp0）インターフェースをUnnumberedに設定します。
   
   ADD IP INT=ppp0 IP=0.0.0.0 ↓
   
   
9. デフォルトルートを設定します。
   
   ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
   
   
10. ファイアウォール機能を有効にします。
    
    ENABLE FIREWALL ↓
    
    
11. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
    
    CREATE FIREWALL POLICY=net ↓
    
    
12. ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
    
    ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
    
    

    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

    
    
13. identプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
    
    DISABLE FIREWALL POLICY=net IDENTPROXY ↓
    
    
14. ファイアウォールポリシーの適用対象となるインターフェースを指定します。
    
    
    • LAN側（vlan10）インターフェースをPRIVATE（内部）に設定します。
      
      ADD FIREWALL POLICY=net INT=vlan10 TYPE=PRIVATE ↓
      
      
    • WAN側（ppp0）インターフェースをPUBLIC（外部）に設定します。
      
      ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓

    
    
15. 外部からのパケットをすべて拒否するファイアウォールの基本ルールに対し、LAN側サーバーへのパケットを通すための設定を行います。
    
    • SMTPサーバー（4.4.4.2のTCP25番）へのパケットは通過させます。
      
      ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=TCP IP=4.4.4.2 PORT=25 ↓
      
      
    • DNSサーバー（4.4.4.2のTCP、UDP53番）へのパケットは通過させます。
      
      ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0 PROTO=TCP IP=4.4.4.2 PORT=53 ↓
ADD FIREWALL POLICY=net RULE=3 AC=ALLOW INT=ppp0 PROTO=UDP IP=4.4.4.2 PORT=53 ↓


    
    
16. PPPoEセッションを自動再接続するためのトリガースクリプトを作成します。
    
    
    • ppp0をリセットするスクリプトreset.scpを作成します。
      
      ADD SCRIPT=reset.scp TEXT="RESET PPP=0" ↓
      
      
    • トリガー「1」を無効状態にするスクリプトup.scpを作成します。
      
      ADD SCRIPT=up.scp TEXT="DISABLE TRIGGER=1" ↓
      
      
    • トリガー「1」を有効状態にするスクリプトdown.scpを作成します。
      
      ADD SCRIPT=down.scp TEXT="ENABLE TRIGGER=1" ↓

    
    

    Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド（内蔵フルスクリーンエディター）等を使って設定スクリプトファイル（.CFG）にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。

    
    
17. トリガー機能を有効にします。
    
    ENABLE TRIGGER ↓
    
    
18. PPPoEセッションを自動再接続するためのトリガーを作成します。
    
    
    • 3分ごとにreset.scpを実行する定期トリガー「1」を作成します。このトリガーは、ppp0インターフェースがダウンすると同時に有効になり（トリガー「3」による）、アップすると無効になります（トリガー「2」による）。
      
      CREATE TRIGGER=1 PERIODIC=3 SCRIPT=reset.scp ↓
      
      
    • ppp0のアップ時にup.scpを実行するインターフェーストリガー「2」を作成します。
      
      CREATE TRIGGER=2 INTERFACE=ppp0 EVENT=UP CP=IPCP SCRIPT=up.scp ↓
      
      
    • ppp0のダウン時にdown.scpを実行するインターフェーストリガー「3」を作成します。
      
      CREATE TRIGGER=3 INTERFACE=ppp0 EVENT=DOWN CP=IPCP SCRIPT=down.scp ↓

    
    
19. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
    
    CREATE CONFIG=pppoe.cfg ↓
SET CONFIG=pppoe.cfg ↓

    
    

    Note - WAN側のケーブルを抜いた状態でここまでの設定を行った場合は、ファイル保存後にケーブルを接続してください。

LAN型接続（LAN側プライベート＋DMZ）

表 11：ISPから提供された情報

PPPユーザー名	user@isp
PPPパスワード	isppasswd
PPPoEサービス名	指定なし
使用できるIPアドレス	4.4.4.0/29（4.4.4.0〜4.4.4.7）

• LAN側をvlan10とvlan5の2つのサブネットに分割し、vlan5にはISPから割り当てられたグローバルアドレスを、vlan10にはプライベートアドレスを割り当てます。グローバルサブネット（vlan5）はDMZとしてサーバーを配置し、プライベートサブネット（vlan10）にはクライアントを配置します。
  
  
• ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
  
  
• 外部からのアクセスは基本的にすべて遮断しますが、次のサービスだけは特例として許可します。
  
  
  • Webサーバー：4.4.4.2:80/tcp
    
  • SMTPサーバー：4.4.4.3:25/tcp
    
  • DNSサーバー：4.4.4.4:53/tcp、53/udp
    
  
  
• プライベートサブネット（vlan10）のクライアントがインターネットにアクセスできるよう、ダイナミックENATを使用します。グローバルアドレスには、グローバルサブネット側（vlan5）のインターフェースアドレス（4.4.4.1）を共用します。
  
  
• トリガー機能を使ってPPPインターフェースを監視し、PPPoEのセッションが局側から切断されたような場合に、自動的に再接続するよう設定します。
  

表 12：本製品の基本設定

WAN側VLAN	vlan2（wan）：ポート1
DMZ側VLAN	vlan5（dmz）：ポート2〜3
LAN側VLAN	vlan10（lan）：ポート4〜6
WAN側（ppp0）IPアドレス	Unnumbered
DMZ側（vlan5）のIPアドレス	4.4.4.1/29
LAN側（vlan10）のIPアドレス	192.168.10.1/24
DHCPサーバー機能	使わない

Note - 本設定例では、PPPインターフェースのリンクアップ・ダウンによって、トリガーの状態が動的に変化します。そのため、以下の設定コマンドは本製品のWAN側インターフェース（vlan2）にケーブルを接続していない状態（PPPインターフェースがリンクアップしない状態）で入力してください。詳細については章末の「メモ」をご覧ください。

1. 3つのVLAN、wan（VID=2）、dmz（VID=5）、lan（VID=10）を作成します。
   
   CREATE VLAN=wan VID=2 ↓
CREATE VLAN=dmz VID=5 ↓
CREATE VLAN=lan VID=10 ↓

   
   
2. 各VLANにポートを割り当てます。
   
   ADD VLAN=wan PORT=1 ↓
ADD VLAN=dmz PORT=2-3 ↓
ADD VLAN=lan PORT=4-6 ↓

   
   
3. VLAN wan（VID=2）上にPPPインターフェースを作成します。OVERパラメーターには、PPPoEを使用するVLANとPPPoEサービス名を指定します。VLANとPPPoEサービス名は、「VLANn-servicename」の形式で指定します。「n」はVLAN ID（VID）、「servicename」はISP等から指定されたPPPoEサービス名です。ISPからサービス名を指定されていない場合は、「any」を指定してください。
   
   CREATE PPP=0 OVER=vlan2-any ↓
   
   
4. ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
   
   SET PPP=0 OVER=vlan2-any BAP=OFF IPREQUEST=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=ON ↓
   
   
5. IPモジュールを有効にします。
   
   ENABLE IP ↓
   
   
6. IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。
   
   ENABLE IP REMOTEASSIGN ↓
   
   

   Note - PPPoEのLAN型接続におけるWAN側（PPP）インターフェースは、厳密にはUnnumberedではありません。IPCPネゴシエーションでLAN側用のネットワークアドレスを割り当てられることが多いようです。

   
   
7. DMZ側（vlan5）インターフェースにISPから割り当てられたグローバルアドレスの先頭アドレス（4.4.4.1）を設定します。アドレスを8個や16個といった単位で割り当てられる場合は、ネットマスクが変則的になるので注意してください。
   
   ADD IP INT=vlan5 IP=4.4.4.1 MASK=255.255.255.248 ↓
   
   
8. LAN側（vlan10）インターフェースにプライベートIPアドレスを割り当て、クライアント用のサブネットとします。
   
   ADD IP INT=vlan10 IP=192.168.10.1 MASK=255.255.255.0 ↓
   
   
9. WAN側（ppp0）インターフェースをUnnumberedに設定します。
   
   ADD IP INT=ppp0 IP=0.0.0.0 ↓
   
   
10. デフォルトルートを設定します。
    
    ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
    
    
11. ファイアウォール機能を有効にします。
    
    ENABLE FIREWALL ↓
    
    
12. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
    
    CREATE FIREWALL POLICY=net ↓
    
    
13. ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
    
    ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
    
    

    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

    
    
14. identプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
    
    DISABLE FIREWALL POLICY=net IDENTPROXY ↓
    
    
15. ファイアウォールポリシーの適用対象となるインターフェースを指定します。
    
    
    • DMZ側（vlan5）インターフェースをPRIVATE（内部）に設定します。
      
      ADD FIREWALL POLICY=net INT=vlan5 TYPE=PRIVATE ↓
      
      
    • LAN側（vlan10）インターフェースをPRIVATE（内部）に設定します。
      
      ADD FIREWALL POLICY=net INT=vlan10 TYPE=PRIVATE ↓
      
      
    • WAN側（ppp0）インターフェースをPUBLIC（外部）に設定します。
      
      ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓

    
    
16. LAN側（vlan10）ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには4.4.4.1を共用します。
    
    ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan10 GBLINT=ppp0 GBLIP=4.4.4.1 ↓
    
    
17. 外部からのパケットをすべて拒否するファイアウォールの基本ルールに対し、DMZのサーバーへパケットを通すための設定を行います。
    
    
    • Webサーバー（4.4.4.2のTCP80番）へのパケットは通過させます。
      
      ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=TCP IP=4.4.4.2 PORT=80 ↓
      
      
    • SMTPサーバー（4.4.4.3のTCP25番）へのパケットは通過させます。
      
      ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0 PROTO=TCP IP=4.4.4.3 PORT=25 ↓
      
      
    • DNSサーバー（4.4.4.4のTCP、UDP53番）へのパケットは通過させます。
      
      ADD FIREWALL POLICY=net RULE=3 AC=ALLOW INT=ppp0 PROTO=TCP IP=4.4.4.4 PORT=53 ↓
ADD FIREWALL POLICY=net RULE=4 AC=ALLOW INT=ppp0 PROTO=UDP IP=4.4.4.4 PORT=53 ↓


    
    
18. PPPoEセッションを自動再接続するためのトリガースクリプトを作成します。
    
    
    • ppp0をリセットするスクリプトreset.scpを作成します。
      
      ADD SCRIPT=reset.scp TEXT="RESET PPP=0" ↓
      
      
    • トリガー「1」を無効状態にするスクリプトup.scpを作成します。
      
      ADD SCRIPT=up.scp TEXT="DISABLE TRIGGER=1" ↓
      
      
    • トリガー「1」を有効状態にするスクリプトdown.scpを作成します。
      
      ADD SCRIPT=down.scp TEXT="ENABLE TRIGGER=1" ↓

    
    

    Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド（内蔵フルスクリーンエディター）等を使って設定スクリプトファイル（.CFG）にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。

    
    
19. トリガー機能を有効にします。
    
    ENABLE TRIGGER ↓
    
    
20. PPPoEセッションを自動再接続するためのトリガーを作成します。
    
    
    • 3分ごとにreset.scpを実行する定期トリガー「1」を作成します。このトリガーは、ppp0インターフェースがダウンすると同時に有効になり（トリガー「3」による）、アップすると無効になります（トリガー「2」による）。
      
      CREATE TRIGGER=1 PERIODIC=3 SCRIPT=reset.scp ↓
      
      
    • ppp0のアップ時にup.scpを実行するインターフェーストリガー「2」を作成します。
      
      CREATE TRIGGER=2 INTERFACE=ppp0 EVENT=UP CP=IPCP SCRIPT=up.scp ↓
      
      
    • ppp0のダウン時にdown.scpを実行するインターフェーストリガー「3」を作成します。
      
      CREATE TRIGGER=3 INTERFACE=ppp0 EVENT=DOWN CP=IPCP SCRIPT=down.scp ↓

    
    
21. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
    
    CREATE CONFIG=pppoe.cfg ↓
SET CONFIG=pppoe.cfg ↓

    
    

    Note - WAN側のケーブルを抜いた状態でここまでの設定を行った場合は、ファイル保存後にケーブルを接続してください。

LAN型接続（LAN側プライベート＋スタティックNAT）

表 13：ISPから提供された情報

PPPユーザー名	user@isp
PPPパスワード	isppasswd
PPPoEサービス名	指定なし
使用できるIPアドレス	4.4.4.0/29（4.4.4.0〜4.4.4.7）

• LAN側はすべてプライベートアドレスで運用します。LAN側のクライアントがインターネットにアクセスできるよう、ダイナミックENATを使用します。グローバルアドレスには、4.4.4.1を使います。
  
  
• LAN側のサーバーにもプライベートアドレスを割り当てますが、外部からアクセスさせるため、スタティックNATを使って外からはグローバルアドレスを持っているように見せかけます。変換ルールは次のとおりとします。
  
  
  • Webサーバー：192.168.10.2 → 4.4.4.2
    
  • SMTPサーバー：192.168.10.3 → 4.4.4.3
    
  • DNSサーバー：192.168.10.4 → 4.4.4.4
    
  
  
• ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
  
  
• 外部からのアクセスは基本的にすべて遮断しますが、スタティックNATで公開しているWebサーバー（4.4.4.2のTCP80番）、SMTPサーバー（4.4.4.3のTCP25番）、DNSサーバー（4.4.4.4のTCP、UDP53番）へのアクセスだけは特例として許可します。
  
  
• トリガー機能を使ってPPPインターフェースを監視し、PPPoEのセッションが局側から切断されたような場合に、自動的に再接続するよう設定します。
  

表 14：本製品の基本設定

WAN側VLAN	vlan2（wan）：ポート1
LAN側VLAN	vlan10（lan）：ポート2〜6
WAN側（ppp0）IPアドレス	Unnumbered
LAN側（vlan10）IPアドレス	192.168.10.1/24
DHCPサーバー機能	使わない

Note - 本設定例では、PPPインターフェースのリンクアップ・ダウンによって、トリガーの状態が動的に変化します。そのため、以下の設定コマンドは本製品のWAN側インターフェース（vlan2）にケーブルを接続していない状態（PPPインターフェースがリンクアップしない状態）で入力してください。詳細については章末の「メモ」をご覧ください。

1. 2つのVLAN、wan（VID=2）とlan（VID=10）を作成します。
   
   CREATE VLAN=wan VID=2 ↓
CREATE VLAN=lan VID=10 ↓

   
   
2. 各VLANにポートを割り当てます。
   
   ADD VLAN=wan PORT=1 ↓
ADD VLAN=lan PORT=2-6 ↓

   
   
3. VLAN wan（VID=2）上にPPPインターフェースを作成します。OVERパラメーターには、PPPoEを使用するVLANとPPPoEサービス名を指定します。VLANとPPPoEサービス名は、「VLANn-servicename」の形式で指定します。「n」はVLAN ID（VID）、「servicename」はISP等から指定されたPPPoEサービス名です。ISPからサービス名を指定されていない場合は、「any」を指定してください。
   
   CREATE PPP=0 OVER=vlan2-any ↓
   
   
4. ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
   
   SET PPP=0 OVER=vlan2-any BAP=OFF IPREQUEST=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=ON ↓
   
   
5. IPモジュールを有効にします。
   
   ENABLE IP ↓
   
   
6. IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。
   
   ENABLE IP REMOTEASSIGN ↓
   
   

   Note - PPPoEのLAN型接続におけるWAN側（PPP）インターフェースは、厳密にはUnnumberedではありません。IPCPネゴシエーションでLAN側用のネットワークアドレスを割り当てられることが多いようです。

   
   
7. LAN側（vlan10）インターフェースにIPアドレスを設定します。
   
   ADD IP INT=vlan10 IP=192.168.10.1 MASK=255.255.255.0 ↓
   
   
8. WAN側（ppp0）インターフェースをUnnumberedに設定します。
   
   ADD IP INT=ppp0 IP=0.0.0.0 ↓
   
   
9. デフォルトルートを設定します。
   
   ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
   
   
10. ファイアウォール機能を有効にします。
    
    ENABLE FIREWALL ↓
    
    
11. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
    
    CREATE FIREWALL POLICY=net ↓
    
    
12. ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
    
    ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
    
    

    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

    
    
13. identプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
    
    DISABLE FIREWALL POLICY=net IDENTPROXY ↓
    
    
14. ファイアウォールポリシーの適用対象となるインターフェースを指定します。
    
    
    • LAN側（vlan10）インターフェースをPRIVATE（内部）に設定します。
      
      ADD FIREWALL POLICY=net INT=vlan10 TYPE=PRIVATE ↓
      
      
    • WAN側（ppp0）インターフェースをPUBLIC（外部）に設定します。
      
      ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓

    
    
15. スタティックNATによるサーバー公開設定を行います。
    
    
    • Webサーバー（192.168.10.2）を、外部からは4.4.4.2であるかのように見せかけます。
      
      ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan10 IP=192.168.10.2 GBLINT=ppp0 GBLIP=4.4.4.2 ↓
      
      
    • SMTPサーバー（192.168.10.3）を、外部からは4.4.4.3であるかのように見せかけます。
      
      ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan10 IP=192.168.10.3 GBLINT=ppp0 GBLIP=4.4.4.3 ↓
      
      
    • DNSサーバー（192.168.10.4）を、外部からは4.4.4.4であるかのように見せかけます。
      
      ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan10 IP=192.168.10.4 GBLINT=ppp0 GBLIP=4.4.4.4 ↓

    
    
16. ダイナミックENATの設定を行います。LAN側のプライベートIPアドレスを、ISPから与えられたグローバルIPアドレス4.4.4.1に変換するよう設定します。
    
    ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan10 GBLINT=ppp0 GBLIP=4.4.4.1 ↓
    
    
17. 外部からのパケットをすべて拒否するファイアウォールの基本ルールに対し、サーバーへのパケットを通すための設定を行います。
    
    
    • Webサーバー（4.4.4.2のTCP80番）へのパケットは通過させます。スタティックNATを使用しているため、NAT後のグローバルアドレス（GBLIP、GBLPORT）とNAT前のプライベートアドレス（IP、PORT）の両方を指定します。
      
      ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=TCP GBLIP=4.4.4.2 GBLPORT=80 IP=192.168.10.2 PORT=80 ↓
      
      
    • SMTPサーバー（4.4.4.3のTCP25番）へのパケットは通過させます。
      
      ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0 PROTO=TCP GBLIP=4.4.4.3 GBLPORT=25 IP=192.168.10.3 PORT=25 ↓
      
      
    • DNSサーバー（4.4.4.4のTCP、UDP53番）へのパケットは通過させます。
      
      ADD FIREWALL POLICY=net RULE=3 AC=ALLOW INT=ppp0 PROTO=TCP GBLIP=4.4.4.4 GBLPORT=53 IP=192.168.10.4 PORT=53 ↓
ADD FIREWALL POLICY=net RULE=4 AC=ALLOW INT=ppp0 PROTO=UDP GBLIP=4.4.4.4 GBLPORT=53 IP=192.168.10.4 PORT=53 ↓


    
    
18. PPPoEセッションを自動再接続するためのトリガースクリプトを作成します。
    
    
    • ppp0をリセットするスクリプトreset.scpを作成します。
      
      ADD SCRIPT=reset.scp TEXT="RESET PPP=0" ↓
      
      
    • トリガー「1」を無効状態にするスクリプトup.scpを作成します。
      
      ADD SCRIPT=up.scp TEXT="DISABLE TRIGGER=1" ↓
      
      
    • トリガー「1」を有効状態にするスクリプトdown.scpを作成します。
      
      ADD SCRIPT=down.scp TEXT="ENABLE TRIGGER=1" ↓

    
    

    Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド（内蔵フルスクリーンエディター）等を使って設定スクリプトファイル（.CFG）にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。

    
    
19. トリガー機能を有効にします。
    
    ENABLE TRIGGER ↓
    
    
20. PPPoEセッションを自動再接続するためのトリガーを作成します。
    
    
    • 3分ごとにreset.scpを実行する定期トリガー「1」を作成します。このトリガーは、ppp0インターフェースがダウンすると同時に有効になり（トリガー「3」による）、アップすると無効になります（トリガー「2」による）。
      
      CREATE TRIGGER=1 PERIODIC=3 SCRIPT=reset.scp ↓
      
      
    • ppp0のアップ時にup.scpを実行するインターフェーストリガー「2」を作成します。
      
      CREATE TRIGGER=2 INTERFACE=ppp0 EVENT=UP CP=IPCP SCRIPT=up.scp ↓
      
      
    • ppp0のダウン時にdown.scpを実行するインターフェーストリガー「3」を作成します。
      
      CREATE TRIGGER=3 INTERFACE=ppp0 EVENT=DOWN CP=IPCP SCRIPT=down.scp ↓

    
    
21. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
    
    CREATE CONFIG=pppoe.cfg ↓
SET CONFIG=pppoe.cfg ↓

    
    

    Note - WAN側のケーブルを抜いた状態でここまでの設定を行った場合は、ファイル保存後にケーブルを接続してください。

(C) 2000 - 2006 アライドテレシスホールディングス株式会社

PN: J613-M6873-04 Rev.E