PPP over Ethernet と NAT の設定
この章では、Cisco 860、Cisco 880、および Cisco 890 シリーズ サービス統合型ルータ(ISR)で設定できる Point-to-Point Protocol over Ethernet(PPPoE)クライアントおよびネットワーク アドレス変換(NAT)の概要について説明します。
ルータの背後の LAN には、複数の PC を接続できます。これらの PC からのトラフィックは PPPoE セッションに送信する前に暗号化やフィルタリングなどを行うことができます。図 11-1 に、Cisco ルータに PPPoE クライアントと NAT が設定された一般的な配置シナリオを示します。
図 11-1 PPP over Ethernet と NAT
|
複数のネットワーク デバイス:デスクトップ、ラップトップ PC、スイッチ |
|
ファスト イーサネット LAN インターフェイス(NAT の内部インターフェイス) |
|
PPPoE クライアント(Cisco 860、Cisco 880、または Cisco 890 ルータ) |
|
NAT が実行されるポイント |
|
ファスト イーサネット WAN インターフェイス(NAT 用の外部インターフェイス) |
|
ケーブル モデムまたはインターネットに接続している他のサーバ |
|
クライアントと PPPoE サーバ間の PPPoE セッション |
PPPoE
ルータ上の PPPoE クライアント機能により、イーサネット インターフェイスでの PPPoE クライアント サポートが可能になります。仮想アクセスのクローニングには、ダイヤラ インターフェイスを使用する必要があります。イーサネット インターフェイスには、複数の PPPoE クライアント セッションを設定できますが、セッションごとに別個のダイヤラ インターフェイスと別個のダイヤラ プールを使用する必要があります。
PPPoE セッションが Cisco 860 または Cisco 880 ISR によってクライアント側で開始されます。確立された PPPoE クライアント セッションは、次のいずれかの方法で終了できます。
• clear vpdn tunnel pppoe コマンドを入力する。PPPoE クライアント セッションが終了し、PPPoE クライアントはただちにセッションの再確立を試みます。セッションがタイムアウトした場合にも、この動作が発生します。
• no pppoe-client dial-pool number コマンドを入力して、セッションをクリアする。PPPoE クライアントは、セッションの再確立を試みません。
NAT
NAT(Cisco ルータの端に点線で表示)は、2 つのアドレス指定ドメインと内部送信元アドレスを示します。送信元リストには、パケットがネットワークをどのように通過するかが定義されます。
設定作業
次の作業を実行して、このネットワーク シナリオを設定します。
• バーチャル プライベート ダイヤルアップ ネットワーク グループ番号の設定
• イーサネット WAN インターフェイスの設定
• ダイヤラ インターフェイスの設定
• ネットワーク アドレス変換の設定
この設定タスクの結果を示す例は「設定例」に示されています。
バーチャル プライベート ダイヤルアップ ネットワーク グループ番号の設定
バーチャル プライベート ダイヤルアップ ネットワーク(VPDN)を設定すると、複数のクライアントが 1 つの IP アドレスを使用してルータを介して通信できるようになります。
VPDN を設定するには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. vpdn enable
2. vpdn-group name
3. request-dialin
4. protocol { l2tp | pppoe }
5. exit
6. exit
手順の詳細
|
|
|
ステップ 1 |
vpdn enable 例:
Router(config)# vpdn enable
|
ルータで VPDN をイネーブルにします。 |
ステップ 2 |
vpdn-group name 例:
Router(config)# vpdn-group 1
|
VPDN グループを作成し、カスタマーまたは VPDN プロファイルに関連付けます。 |
ステップ 3 |
request-dialin 例:
Router(config-vpdn)# request-dialin
|
ダイヤリング方向を示す request-dialin VPDN サブグループを作成し、トンネルを開始します。 |
ステップ 4 |
protocol { l2tp | pppoe } 例:
Router(config-vpdn-req-in)# protocol pppoe
|
VPDN サブグループが確立できるセッションのタイプを指定します。 |
ステップ 5 |
exit 例:
Router(config-vpdn-req-in)# exit
|
request-dialin VPDN グループのコンフィギュレーション モードを終了します。 |
ステップ 6 |
exit 例:
Router(config-vpdn)# exit
|
VPDN コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
イーサネット WAN インターフェイスの設定
このシナリオでは、PPPoE クライアント(Cisco ルータ)が、内部および外部インターフェイスの 10/100/1000 Mbps イーサネット インターフェイスと通信します。
ファスト イーサネット WAN インターフェイスを設定するには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. interface type number
2. pppoe-client dial-pool-number number
3. no shutdown
4. exit
手順の詳細
|
|
|
ステップ 1 |
interface type number 例:
Router(config)# interface fastethernet 4
Router(config)# interface gigabitethernet 4
|
WAN インターフェイスのインターフェイス コンフィギュレーション モードを開始します。 |
ステップ 2 |
pppoe-client dial-pool-number number 例:
Router(config-if)# pppoe-client dial-pool-number 1
|
PPPoE クライアントを設定し、クローニングに使用するダイヤラ インターフェイスを指定します。 |
ステップ 3 |
no shutdown 例:
Router(config-if)# no shutdown
|
ファスト イーサネット インターフェイスとそれに対して行った設定変更をイネーブルにします。 |
ステップ 4 |
exit 例:
|
ファスト イーサネット インターフェイスのコンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードに戻ります。 |
イーサネット運用管理およびメンテナンス
イーサネット運用管理およびメンテナンス(OAM)は、イーサネット メトロポリタン エリア ネットワーク(MAN)およびイーサネット WAN の設置、モニタリング、トラブルシューティングのためのプロトコルで、開放型システム間相互接続(OSI)モデルのデータ リンク層の新しいオプション サブレイヤを使用します。このプロトコルによって提供される OAM の機能には、ディスカバリ、リンク モニタリング、リモート障害検知、リモート ループバック、および Cisco Proprietary Extension(シスコ独自の拡張機能)があります。
イーサネット OAM の設定および構成情報については、次の URL で『 Using Ethernet Operations, Administration, and Maintenance 』を参照してください。
http://www.cisco.com/en/US/docs/ios/cether/configuration/guide/ce_oam_ps10591_TSD_Products_Configuration_Guide_Chapter.html
ダイヤラ インターフェイスの設定
ダイヤラ インターフェイスは、デフォルトのルーティング情報、カプセル化プロトコル、および使用するダイヤラ プールなど、クライアントからのトラフィックを処理する方法を示します。ダイヤラ インターフェイスは、仮想アクセスのクローニングにも使用されます。ファスト イーサネット インターフェイスには、複数の PPPoE クライアント セッションを設定できますが、セッションごとに別個のダイヤラ インターフェイスと別個のダイヤラ プールを使用する必要があります。
ファスト イーサネット LAN インターフェイスのダイヤラ インターフェイスの 1 つをルータで設定するには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. interface dialer dialer-rotary-group-number
2. ip address negotiated
3. ip mtu bytes
4. encapsulation encapsulation-type
5. ppp authentication { protocol1 [ protocol2 ...]}
6. dialer pool number
7. dialer-group group-number
8. exit
9. dialer-list dialer-group protocol protocol-name { permit | deny | list access-list-number | access-group }
10. ip route prefix mask { interface-type interface-number }
手順の詳細
|
|
|
ステップ 1 |
interface dialer dialer-rotary-group-number 例:
Router(config)# interface dialer 0
|
ダイヤラ インターフェイスを作成します。続いて、インターフェイス コンフィギュレーション モードを開始します。 • 範囲は 0 ~ 255 です。 |
ステップ 2 |
ip address negotiated 例:
Router(config-if)# ip address negotiated
|
インターフェイスの IP アドレスを PPP/IPCP(IP Control Protocol)アドレス ネゴシエーションで取得することを指定します。 |
ステップ 3 |
ip mtu bytes 例:
Router(config-if)# ip mtu 1492
|
IP Maximum Transmission Unit(MTU; 最大伝送ユニット)のサイズを設定します。 • デフォルトの最小値は 128 バイトです。イーサネットの最大値は 1492 バイトです。 |
ステップ 4 |
encapsulation encapsulation-type 例:
Router(config-if)# encapsulation ppp
|
送受信中のデータ パケットに対するカプセル化タイプを PPP に設定します。 |
ステップ 5 |
ppp authentication { protocol1 [ protocol2 ...]} 例:
Router(config-if)# ppp authentication chap
|
PPP 認証方式を Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェイク認証プロトコル)に設定します。 このコマンドの詳しい説明およびその他の設定可能なパラメータについては、『Cisco IOS Security Command Reference』を参照してください。 |
ステップ 6 |
dialer pool number 例:
Router(config-if)# dialer pool 1
|
特定の宛先サブ ネットワークへの接続に使用するダイヤラ プールを指定します。 |
ステップ 7 |
dialer-group group-number 例:
Router(config-if)# dialer-group 1
|
ダイヤラ グループにダイヤラ インターフェイスを割り当てます。 • 指定できる範囲は 1 ~ 10 です。 ヒント ダイヤラ グループを使用して、ルータへのアクセスを制御します。 |
ステップ 8 |
exit 例:
|
ダイヤラ 0 のインターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
ステップ 9 |
dialer-list dialer-group protocol protocol-name {permit | deny | list access-list-number | access-group} 例:
Router(config)# dialer-list 1 protocol ip permit
|
ダイヤラ リストを作成し、ダイヤル グループを関連付けます。パケットは、指定されたインターフェイス ダイヤラ グループを通じて転送されます。 このコマンドの詳しい説明およびその他の設定可能なパラメータについては、『Cisco IOS Dial Technologies Command Reference』を参照してください。 |
ステップ 10 |
ip route prefix mask { interface-type interface-number } 例:
Router(config)# ip route 10.10.25.2 255.255.255.255 dialer 0
|
ダイヤラ 0 インターフェイスのデフォルト ゲートウェイに IP ルートを設定します。 このコマンドの詳細および設定可能なその他のパラメータについては、『Cisco IOS IP Command Reference, Volume 2; Routing Protocols』を参照してください。 |
ネットワーク アドレス変換の設定
ネットワーク アドレス変換(NAT)は、ダイヤラ インターフェイスによって割り当てられたグローバル アドレスを使用して、標準のアクセス リストに一致するアドレスからのパケットを変換します。内部インターフェイスを介してルータに到達したパケット、ルータから発信されたパケット、またはその両方のパケットについて、可能なアドレス変換がアクセス リストで確認されます。NAT には、スタティック アドレス変換もダイナミック アドレス変換も設定できます。
外部ファスト イーサネット WAN インターフェイスをダイナミック NAT で設定するには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要
1. ip nat pool name start-ip end-ip { netmask netmask | prefix-length prefix-length }
2. ip nat inside source {list access-list-number } {interface type number | pool name } [overload]
3. interface type number
4. ip nat { inside | outside }
5. no shutdown
6. exit
7. interface type number
8. ip nat { inside | outside }
9. no shutdown
10. exit
11. access-list access-list-number { deny | permit } source [ source-wildcard ]
手順の詳細
|
|
|
ステップ 1 |
ip nat pool name start-ip end-ip { netmask netmask | prefix-length prefix-length } 例:
Router(config)# ip nat pool pool1 192.168.1.0 192.168.2.0 netmask 255.255.252.0
|
NAT 用のグローバル IP アドレスのプールを作成します。 |
ステップ 2 |
ip nat inside source {list access-list-number } {interface type number | pool name } [overload] 例:
Router(config)# ip nat inside source list 1 interface dialer 0 overload
または
Router(config)# ip nat inside source list acl1 pool pool1
|
内部インターフェイス上のダイナミック アドレス変換をイネーブルにします。 最初の例は、アクセス リスト 1 で許可されたアドレスが、ダイヤラ インターフェイス 0 に指定されているいずれかのアドレスに変換されることを示しています。 次の例は、アクセス リスト acl1 で許可されたアドレスが、NAT プール pool1 に指定されたいずれかのアドレスに変換されることを示しています。 このコマンドの詳しい説明とその他の設定可能なパラメータ、およびスタティック変換をイネーブルにする方法については、『 Cisco IOS IP Command Reference, Volume 1 of 4: Addressing and Services 』を参照してください。 |
ステップ 3 |
interface type number 例:
Router(config)# interface vlan 1
|
NAT の内部インターフェイスにする VLAN(ファスト イーサネット LAN インターフェイス(FE0-FE3)が存在する)に対して、コンフィギュレーション モードを開始します。 |
ステップ 4 |
ip nat { inside | outside } 例:
Router(config-if)# ip nat inside
|
指定の VLAN インターフェイスを NAT の内部インターフェイスとして識別します。 このコマンドの詳しい説明とその他の設定可能なパラメータ、およびスタティック変換をイネーブルにする方法については、『 Cisco IOS IP Command Reference, Volume 1 of 4: Addressing and Services 』を参照してください。 |
ステップ 5 |
no shutdown 例:
Router(config-if)# no shutdown
|
イーサネット インターフェイスに対する設定変更をイネーブルにします。 |
ステップ 6 |
exit 例:
|
ファスト イーサネット インターフェイスのコンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードに戻ります。 |
ステップ 7 |
interface type number 例:
Router(config)# interface fastethernet 4
|
NAT の外部インターフェイスとするファスト イーサネット WAN インターフェイス(FE4 または NAT)に対して、コンフィギュレーション モードを開始します。 |
ステップ 8 |
ip nat { inside | outside } 例:
Router(config-if)# ip nat outside
|
指定の WAN インターフェイスを NAT の外部インターフェイスとして識別します。 このコマンドの詳しい説明とその他の設定可能なパラメータ、およびスタティック変換をイネーブルにする方法については、『 Cisco IOS IP Command Reference, Volume 1 of 4: Addressing and Services 』を参照してください。 |
ステップ 9 |
no shutdown 例:
Router(config-if)# no shutdown
|
イーサネット インターフェイスに対する設定変更をイネーブルにします。 |
ステップ 10 |
exit 例:
|
ファスト イーサネット インターフェイスのコンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードに戻ります。 |
ステップ 11 |
access-list access-list-number { deny | permit } source [ source-wildcard ] 例:
Router(config)# access-list 1 permit 192.168.1.0 255.255.255.0
|
変換が必要なアドレスを示す標準アクセス リストを定義します。 (注) その他のアドレスはすべて、暗黙的に拒否されます。 |
(注) 仮想テンプレート インターフェイスとともに NAT を使用するには、ループ バック インターフェイスを設定する必要があります。ループバック インターフェイスの設定の詳細については、「ルータの基本設定」を参照してください。
NAT コマンドの詳細については、Cisco NX-OS Release 4.1 のマニュアル セットを参照してください。NAT の概要については、 付録 A「Cisco IOS ソフトウェアの基礎知識」 を参照してください。
設定例
次の設定例は、この章で説明した PPPoE シナリオのコンフィギュレーション ファイルの一部を示しています。
VLAN インターフェイスの IP アドレスは 192.168.1.1、サブネット マスクは 255.255.255.0 です。NAT は内部と外部に設定されています。
(注) 「(default)」のマークが付いているコマンドは、show running-config コマンドを実行すると自動的に生成されます。
vpdn enable
vpdn-group 1
request-dialin
protocol pppoe
!
interface vlan 1
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast (default)
ip nat inside
interface FastEthernet 4
no ip address
no ip directed-broadcast (default)
ip nat outside
pppoe enable group global
pppoe-client dial-pool-number 1
no sh
!
interface dialer 0
ip address negotiated
ip mtu 1492
encapsulation ppp
ppp authentication chap
dialer pool 1
dialer-group 1
!
dialer-list 1 protocol ip permit
ip nat inside source list 1 interface dialer 0 overload
ip classless (default)
ip route 10.10.25.2 255.255.255.255 dialer 0
ip nat pool pool1 192.168.1.0 192.168.2.0 netmask 255.255.252.0
ip nat inside source list acl1 pool pool1
設定の確認
PPPoE クライアントと NAT の設定を確認するには、特権 EXEC モードで show ip nat statistics コマンドを使用します。次の例のような確認用の出力が表示されます。
Router# show ip nat statistics
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
CEF Translated packets: 0, CEF Punted packets: 0
[Id: 1] access-list 1 interface Dialer0 refcount 0