Cisco 担当者コラム
Cisco・Designedラボ
Designedラボ 第11回 「C841のPPPoEの設定にチャレンジ2」
前回は、CLIでPPPoEの設定をすることで、PPPoE認証を通過しインターネットからC841はグローバルIPアドレスを受け取る事ができました。しかしながら、C841に接続されたPCからは、インターネットに接続する事ができませんでした。
今回は、前回の続きから、C841の配下にあるPCがインターネットに接続できるように設定を行いたいと思います。
構成は以下となります。これまでのPPPoEの設定につきましては、前回の記事をご参照下さい。
PPPoEの設定だけでなく、192.168.1.1のプライベートアドレスからDialer1のIPアドレスつまりグローバルIPアドレスに変換するPAT(NAT)が必要でした。そりゃそうでした。。。
〇NATとPATについての覚書
内部ネットワーク(LAN)で使用するプライベートIPアドレス(例:192.168.1.1)は、誰もが利用できるIPアドレスですが、その為インターネットのような外部のネットワーク(WAN)では使用できません。このような場合、インターネットへの通信を可能にするためには、プライベートIPアドレスを外部ネットワークで使用可能なグローバルIPアドレス(例:1.1.1.1)に変換してあげる必要があるのですが、この変換する機能をNATやPATと呼びます。
NATとPATの厳密な違いは、NATは1つのプライベートIPアドレスと1つのグローバルIPアドレスへ変換(1対1)しますが、PATは複数のプライベートIPアドレスを1つのグローバルIPアドレスへ変換(多対1)する事ができます。
なぜ今回はNATではなくPATをするのか?ですが、企業が持っている(ISPから借りている)グローバルIPアドレスは、数に限りがあるからです(基本は1個)。複数のプライベートIPアドレスを1つのグローバルIPアドレスで変換可能なPATが一般的なのです。
今回の構成図では、192.168.1.1の検証用PCが一台なので、1対1変換のNATの設定でも良いのですが、より一般的で現実的なPATの設定をCLIで追加したいと思います。
ちなみにCiscoでPATを利用するには、まずLANインターフェースをinside(内部)、WANインターフェースをoutside(外部)と指定します。PATは内部インタフェース(VLAN)から外部インターフェース(dialer)にする通信に対して実行されるからです。
そして実際に通信がどのインターフェースを経由するのかは、ルーティングにより決まりますので、ルーティングの設定を行います。
※基本的にPATを実行するのは、インターネット宛のパケットなので、デフォルトゲートウェイで指定するインターフェースがdialerの外部インターフェースになります。
最後にルーティングによって内部インターフェースから外部インターフェースを経由したパケットでACL(アクセスコントロールリスト)に合致したパケットがPATの対象となります。
つまり単純にPATといっても、
・内部、外部インタフェースの指定
・ルーティングの設定
・ACLの作成
・ACLのPATへの適応
というステップが必要です。
以下が設定のコマンドとなります。また赤字部分は環境に応じて変更可能です。
PATの設定
????????????????????????????????????????
1. Router> enable
2. Router# configure terminal
3. Router(config)# interface vlan 1
4. Router(config-if)# ip nat inside
5. Router (config-if)# exit
6. Router(config)# interface gigabitEthernet 0/4
7. Router (config-if)# ip nat outside
8. Router (config-if)# exit
9. Router(config)# ip route 0.0.0.0 0.0.0.0 dialer 1
10. Router(config)# ip nat inside source list 1 interface dialer1 overload
11. Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
12. Router(config)# exit
13. Router# copy running-config startup-config
????????????????????????????????????????
4行目では、内部ネットワークに属するインターフェースであることを定義します。
7行目では、外部ネットワークに属するインターフェースであることを定義します。
9行目では、ルーティングテーブルに無い宛先(インターネット)への通信は、外部インターフェースであるdialer1へ送信するデフォルトルートを設定します。
10行目では、ACL1で指定されたネットワークからの通信が、dialer1を通過する場合、dialer1のグローバルIPアドレスに変換(PAT)するよう設定します。
11行目では、192.168.1.0/24を送信元とするデータを対象とするACL1を作成します。
では、早速ですが、PCからインターネットへの疎通確認を検証してみます!
繋がりました!!
これで無事PCからもインターネットと通信可能になりました!
という事で、今回の検証では、PPPoE環境でPC等のクライアントがインターネットに繋ぐためには、ルーターでPPPoE+PATの設定が必要である事がわかりました!
また、CLIによる設定を行う事でGUIと比較して、設定は難しいですが、PPPoE認証やPATの仕組みをより理解する事ができると実感致しました。
最後にPPPoEを接続するまでの設定をコピーします。
??????????????????????
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
!
!
redundancy
!
interface GigabitEthernet0/0
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface GigabitEthernet0/3
no ip address
!
interface GigabitEthernet0/4
no ip address
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/5
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1414
!
interface Dialer1
ip address negotiated
ip mtu 1454
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname user01@example.net
ppp chap password 0 cisco
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list 1 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ipv6 ioam timestamp
!
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
control-plane
!
!
line con 0
no modem enable
line vty 0 4
login
transport input none
!
scheduler allocate 20000 1000
!
end
??????????????????????????????
今後も様々な機能の仕組みについて、理解を深める為にCLIによる設定も頑張りたいと思います。次回は、FW(ファイアーウォール)の設定に挑戦したいと思います。
今後とも、引き続き宜しくお願い致します。
以上となります。
これで無事PCからもインターネットと通信可能になりました!
という事で、今回の検証では、PPPoE環境でPC等のクライアントがインターネットに繋ぐためには、ルーターでPPPoE+PATの設定が必要である事がわかりました!
また、CLIによる設定を行う事でGUIと比較して、設定は難しいですが、PPPoE認証やPATの仕組みをより理解する事ができると実感致しました。
最後にPPPoEを接続するまでの設定をコピーします。
??????????????????????
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
!
!
redundancy
!
interface GigabitEthernet0/0
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface GigabitEthernet0/3
no ip address
!
interface GigabitEthernet0/4
no ip address
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/5
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1414
!
interface Dialer1
ip address negotiated
ip mtu 1454
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname user01@example.net
ppp chap password 0 cisco
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list 1 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ipv6 ioam timestamp
!
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
control-plane
!
!
line con 0
no modem enable
line vty 0 4
login
transport input none
!
scheduler allocate 20000 1000
!
end
??????????????????????????????
今後も様々な機能の仕組みについて、理解を深める為にCLIによる設定も頑張りたいと思います。次回は、FW(ファイアーウォール)の設定に挑戦したいと思います。
今後とも、引き続き宜しくお願い致します。
以上となります。
カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は をお読みください。
Ciscoの記事
- Security 第71回「Cisco Umbrellaのテナント制御」
- Collaboration 第129回 「遂に実装!CiscoデバイスのMicrosoft Teams ボタンからTeams会議に参加する ~ WebRTC接続のダイヤルイン ~」
- Collaboration 第128回 「Webex Appアップデート情報 ~ Vidcastボタン・リマインダー・インスタントミーティング(ワンタイムミーティング)~」
- Security 第70回「Cisco Secure Endpoint USBデバイス制御機能について」
- Meraki 第143回「Cisco Secure ConnectのZTNAについて」
- Collaboration 第127回 「Webexで標準利用できる投票機能 Slido のご紹介 その5 ~ Slidoイベントの終了後レポート出力手順 ~」