検証環境を作成したい② 必要な機材をそろえインターネットに接続
Ciscoルータのインターネット(PPPoE)接続設定
前回からの続き
構成
設定
2-1.VLAN1 設定
2-2.PortFast 設定
2-3.DHCP 設定
2-4.ルーテッドポート(GE8) 設定
2-5.PPPoE 設定
2-6.ルーティング 設定
2-7.NAPT 設定
2-8.セキュリティ 設定
まとめ
0. 前回からの続き
どんな機器を選んだら良いかわからなかったのですが、知見のある方にお伺いして
Ciscoの891FJ-Kを購入
家の中は無線にしたいので別途無線LAN親機も購入。
ASAHIネットはもう使えるようになっているので登場人物はそろいました。
ということで昨日の夜から設定を始めてみました。
設定方法は(https://maskaw.hatenablog.com/)さまのサイトをがっつり参照させていただきました。
※この後GREトンネルも作成したのですが、固有の商品ですので設定方法については割愛します。 一旦CISCOのルーターでインターネットに接続できるところまでの記事です。
1.構成
前回から少し変更した構成です。
CiscoCisco 891FJ-K9を購入(中古)して インターネット接続用ルータとして使用します。
OCN光環境です。
2.設定
C891FJ-K9 の背面です。WAN側インターフェイスとして GigabitEthernet 8、 LAN側インターフェイスとして GigabitEthernet0を使用します。
- GE0 無線LAN親機(Buffalo)
- GE8 インターネット接続(Hubへ接続)
構成図です。
- ローカル側のIPアドレス : 172.25.0.0/24
- 管理用のルータのIPアドレス :72.25.0.254
- PCなど各種デバイスには DHCPでIPアドレス (.1~.99)を割り当てます(DHCPしない方法を模索)
- NAPT(Network Address and Port Translation) を使って PCやその他デバイスがインターネット接続できるようにします
2-1.VLAN1 設定
interface Vlan1 ip address 172.25.0.254 255.255.255.0
2-2.PortFast 設定
interface range GigabitEthernet0-2 spanning-tree portfast
GE0,1,2 に対して PortFast を有効にします。
2-3.DHCP設定
ip dhcp excluded-address 172.25.0.100 172.25.0.254 ! ip dhcp pool local network 172.25.10.0 255.255.255.0 default-router 172.125.0.254 dns-server 8.8.8.8 lease 0 12 !
DHCPによるIP割り当てから 172.25.0.100~172.25.0.254 を除外します(1~99まで)
-
プール "local" を作成します
- 172.25.0.0/24 の範囲でIPアドレスを割り当てます (上記制約より末尾 .1~.99 が割り当て範囲)
- デフォルトゲートウェイは ルータ自身とします
- DNSサーバは 8.8.8.8 (Google Public DNS) とします
- 割り当てたIPアドレスの有効期限は 12時間とします
2-4.ルーテッドポート(GE8) 設定
interface GigabitEthernet8 pppoe enable group global pppoe-client dial-pool-number 1
- GE8 にて PPPoE 設定を有効化します
- GE8 と dial-pool-number が1の論理インターフェイス(=Dialer 1) を関連付けます
2-5.PPPoE 設定
interface Vlan1 mtu 1454 ! dialer-list 1 protocol ip permit ! interface Dialer1 ip address negotiated mtu 1454 encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication chap callin ppp chap hostname onamae@asahi.net ppp chap password 0 "Password"
- MTU を 1414バイトとします
- IPトラフィックを対象とする dialer-list 1 を設定します
- Dialer 1にて下記設定を行います
- PPPoE セッション確立時にIPアドレスを要求します
- MTU(Maximum Transmission Unit) を 1454バイトとします
- PPPでカプセル化を行います
- Dialer 1の dial-pool-numberを 1に指定します
- Dialer 1から出ていくトラフィックとして dialer-list 1 を設定します
- ISP(Internet Service Provider) と行う認証として CHAP (Challenge-Handshake Authentication Protocol) を使用します
- CHAP認証のホスト名を記載します(Asahinetからもらう)
- CHAP認証のパスワードを記載します(Asahinetからもらう)
2-6.ルーティング 設定
ip route 0.0.0.0 0.0.0.0 Dialer1
- デフォルトゲートウェイとして Dialer 1を指定します
2-7.NAPT 設定
access-list 1 permit 172.25.0.254 0.0.0.255 ! ip nat inside source list 1 interface Dialer1 overload ! interface Dialer1 ip nat outside ! interface Vlan1 ip nat inside
- NAT変換対象となるアドレス範囲(172.25.0.254/24) を ACL1 に記述します
- NAPT設定。ACL1 と Dialer 1を関連付けます
- Dialer 1 を外部ネットワークに指定します
- Vlan1 を内部ネットワークに指定します
2-8.セキュリティ 設定 出どころ
(https://maskaw.hatenablog.com/)さまのサイトそのまま引用しています。
前述の通り WAN側ポートにはグローバルIPアドレスが割り当てられるため、 セキュリティ設定が必要となってきます。
今回は Ciscoの CBAC(Context-Based Access Control) という機能を使います。 CBAC を使うことで、
- LANから WANに向かう通信、およびその戻りの通信 を許可する
- 外部から開始された通信は一部を除いて拒否する
といったFirewall 同等のステートフルな制御が可能となります。
Config は下記の通りです。
ip access-list extended EX permit icmp any any echo ! ip inspect name CBAC tcp ip inspect name CBAC udp ip inspect name CBAC ftp ip inspect name CBAC icmp ! interface Dialer1 ip access-group EX in ip inspect CBAC out !
- echo要求のみを許可する ACL(EX) を作成します
- 検査対象のプロトコルとして TCP,UDP,FTP,ICMP を指定するルール "CBAC" を作成します
- Dialer 1 に入ってくる通信に対して ACL(EX) を適用します
- Dialer 1 から出ていく通信に対して CBAC を適用します
まとめ(備忘録)
構成図とはIPアドレスが変わっています。(やり直したため)
XX8.2XX.XX6.2XX:ASAHI-netアドレス(グローバルアドレス)
router#ter len 0 router#sh run Building configuration... Current configuration : 2982 bytes ! ! Last configuration change at 00:20:46 UTC Sat Mar 19 2022 ! version 15.5 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname router ! boot-start-marker boot-end-marker ! ! enable secret 5 $1$MLna$uYqL@@@@@@@ ! no aaa new-model bsd-client server url https://cloudsso.cisco.com/as/token.oauth2 ! ip dhcp excluded-address 192.168.5.100 192.168.5.254 ! ip dhcp pool local network 192.168.5.0 255.255.255.0 default-router 192.168.5.254 dns-server 8.8.8.8 lease 0 12 ! ! ip inspect name CBAC tcp ip inspect name CBAC udp ip inspect name CBAC ftp ip inspect name CBAC icmp ip cef no ipv6 cef ! multilink bundle-name authenticated ! cts logging verbose license udi pid C891FJ-K9 sn FG ! ! username miXXXX password 0 XXXXXXXXX ! interface Loopback0 ip address 192.168.10.1 255.255.255.255 ! interface BRI0 no ip address encapsulation hdlc shutdown isdn termination multidrop ! ! interface GigabitEthernet0 description Buffal_LAN no ip address spanning-tree portfast ! interface GigabitEthernet1 no ip address spanning-tree portfast ! interface GigabitEthernet2 no ip address ! interface GigabitEthernet3 no ip address ! interface GigabitEthernet4 no ip address ! interface GigabitEthernet5 no ip address ! interface GigabitEthernet6 no ip address ! interface GigabitEthernet7 no ip address ! interface GigabitEthernet8 description Hub_ASAHI-net no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface Vlan1 mtu 1454 ip address 192.168.5.254 255.255.255.0 ip nat inside ip virtual-reassembly in ! interface Async3 no ip address encapsulation slip ! interface Dialer1 mtu 1454 ip address negotiated ip access-group EX in ip nat outside ip inspect CBAC out ip virtual-reassembly in encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication chap callin ppp chap hostname XXXXXX@aon.net ppp chap password 0 XXXXXXXX ! ip forward-protocol nd no ip http server no ip http secure-server ! ! ip nat inside source list 1 interface Dialer1 overload ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip access-list extended EX permit icmp any any echo ! dialer-list 1 protocol ip permit ! access-list 1 permit 192.168.5.0 0.0.0.255 ! control-plane ! ! ! mgcp behavior rsip-range tgcp-only mgcp behavior comedia-role none mgcp behavior comedia-check-media-src disable mgcp behavior comedia-sdp-force disable ! mgcp profile default ! ! ! ! ! ! ! line con 0 password XXXXXXXXXX no modem enable line aux 0 line 3 modem InOut speed 115200 flowcontrol hardware line vty 0 4 password XXXXXXXXXX login transport input all ! scheduler allocate 20000 1000 ! end router#