|
◆ PPPoE接続の設定
下図のPPPoEによるインターネット接続の設定方法を紹介。以下の「1〜8」の流れで設定を行います。
1. インターフェースの設定
SSGを設定する場合、1.バーチャルルータの設定 ⇒ 2.ゾーンの設定 ⇒ 3.インターフェースの設定、の順で
設定していきますが、デフォルトのバーチャルルータ (trust-vr) を使用してデフォルトのゾーンを使用する
場合いきなり3.のインターフェース設定を行います。今回はSSG5のデフォルト設定をできる限り利用します。
◆ 今回使用するデフォルトのゾーン設定とインターフェース設定
SSG5-> set zone Untrust vrouter trust-vr
SSG5-> set interface ethernet0/0 zone Untrust
SSG5-> set zone Trust vrouter trust-vr
SSG5-> set interface bgroup0 zone Trust
SSG5-> set interface bgroup0 port ethernet0/2
SSG5-> set interface bgroup0 ip 192.168.1.1/24
|
2. PPPoEの設定
PPPoEは以下の項目に従い設定して、インターネット接続するWAN側インターフェース(e0/0)にバインド。
| PPPoE設定コマンド |
説明 |
| set pppoe name name |
PPPoE名の設定 |
| set pppoe name name username name password password |
ISPから付与されたユーザ名とパスワードの設定 |
| set pppoe name name interface interface |
PPPoE設定を割り当てるインターフェース |
| set pppoe name name authentication [ CHAP | PAP | any ] |
PPPoE認証の設定 ( デフォルトは any ) |
| set pppoe name name idle time |
PPPoE接続の自動接続時間 ( 0=自動切断しない ) |
◆ PPPoEの設定例
SSG5-> set pppoe name MYPPPOE
SSG5-> set pppoe name MYPPPOE username test@plala.or.jp password testpass
SSG5-> set pppoe name MYPPPOE interface ethernet0/0
SSG5-> set pppoe name MYPPPOE authentication chap
SSG5-> set pppoe name MYPPPOE idle 0
|
※ PPPoE接続におけるユーザIDやPasswordが間違っている場合は get log event では以下のメッセージが出力されます。
⇒ 201X-XX-XX 09:55:45 system notif 00537 PPPoE session termination or failureduring:
CHAP/PAP Authentication
3. ポリシーの設定
ゾーン間のトラフィックはポリシーのチェックが行われます。今回の構成ではTrustゾーンからUntrustゾーンへ
通信が発生するのでポリシーでこの通信を許可する設定を行う必要があります。ただし、デフォルトでは以下の
設定が入っておりTrustゾーンからUntrustゾーンへのトラフィックは全て許可されています。UntrustからTrust
への戻りのトラフィックはステートフルインスペクションで許可されるので、ポリシー設定は必要ありません。
◆ 今回使用するデフォルトの「ゾーン設定」と「インターフェース設定」
| SSG5-> set policy id 1 from Trust to Untrust Any Any ANY permit |
4. アドレス変換の設定
構成例では、クライアントPCがインターネット通信する時は、送信元アドレスがプライベートアドレスなので
送信元アドレスをグローバルアドレスに変換する必要があります。アドレス変換はインターフェースベースNAT
とポリシーベースNATがありますが、デフォルトでbgroup0はNATモードであり、インターフェースベースNAT
ができる状態になっています。一般的ではありませんが今回は以下のデフォルト設定を使用することにします。
◆ 今回使用するデフォルトの bgroup0 におけるNATモード 」
| SSG5-> set interface bgroup0 nat |
5. ルーティングの設定
本来はデフォルトルートを設定する必要がありますがPPPoE接続が成功した場合、PPPoEサーバをネクスト
ホップとしてデフォルトルートが自動的に取り込まれます。従ってPPPoE接続では設定する必要がないです。
なお、構文のなかにバーチャルルータを指定するコマンドがあるが、省略した場合デフォルトで「trust-vr」
のバーチャルルータが選択されます。したがって、vrouter name部分のコンフィグ設定は必要ありません。
◆ スティックルートの設定
set [ vrouter name ] route dest-network/mask interface interface gateway nexthop-address
◆ デフォルトルートの設定例
| SSG5-> set route 0.0.0.0/0 interface ethernet0/0 gateway 1.1.1.2 |
6. MTUの設定
◆ MTUの設定
set interface interface mtu size
◆ Bフレッツを接続するインターフェース Untrust でMTU1454とする設定
| SSG5-> set interface ethernet0/0 mtu 1454 |
7. MSSの設定
上記のとおり、MTUはインターフェースごとに設定できますが、SSGの場合は、MSS値についてはシステム
全体に対して適用する設定が必要となります。PPPoE環境にてMSSを変更しない場合はデフォルト値として、
set flow all-tcp-mss 1304が設定されます。MTU値が1454である場合、MSS値は1414にすることが「正」
なのですが、デフォルト値の 1304 でも最適に通信ができる場合には変更する必要はありません。ちなみに、
set flow tcp-mssというコマンドはSSGを通過するVPNトラフィックに適用されるMSS値の変更コマンドです。
◆ MSSの設定
set flow all-tcp-mss number
◆ システム全体として、MSSサイズを「1414」にする設定
| SSG5-> set flow all-tcp-mss 1414 |
8. DHCPサーバの設定 (オプション設定)
SSGをDHCPサーバとして動作させ、クライアントPCにIPアドレスを割り当てる場合は以下の設定をします。
ただし、以下の設定例はデフォルトでSSGに設定されている内容であり、今回はデフォルト設定を使用します。
※ PPPoE接続が成功するとクライアントに付与するDNSサーバのIPアドレスが自動的にSSGに設定されます。
| DHCP設定コマンド |
説明 |
| set interface interface dhcp server service |
DHCPサーバを有効にしたい I/Fの指定 |
| set interface interface dhcp server auto |
サーバモードを Auto に指定 |
| set interface interface dhcp server option gateway next-hop |
付与するデフォルトゲートウェイの設定 |
| set interface interface dhcp server option netmask mask |
付与するサブネットマスク |
| set interface interface dhcp server option dns1 ip-address |
付与するプライマリDNSサーバアドレス |
| set interface interface dhcp server option dns2 ip-address |
付与するセカンダリDNSサーバアドレス |
| set interface interface dhcp server option domainname name |
付与するドメインサフィックス |
| set interface interface dhcp server option wins1 ip-address |
付与するプライマリWINSサーバアドレス |
| set interface interface dhcp server option wins2 ip-address |
付与するセカンダリWINSサーバアドレス |
| set interface interface dhcp server ip start to end |
付与するIPアドレスのレンジ |
| set interface interface dhcp server ip address mac address |
付与する固定IPアドレスとMACアドレスの指定 |
| set interface interface dhcp server option lease time |
付与するIPアドレスのリース期間 |
◆ DHCPサーバの設定例
SSG5-> set interface bgroup0 dhcp server service
SSG5-> set interface bgroup0 dhcp server auto
SSG5-> set interface bgroup0 dhcp server option gateway 192.168.1.1
SSG5-> set interface bgroup0 dhcp server option netmask 255.255.255.0
SSG5-> set interface bgroup0 dhcp server option dns1 2.2.2.1
SSG5-> set interface bgroup0 dhcp server option dns2 2.2.2.2
SSG5-> set interface bgroup0 dhcp server ip 192.168.1.33 to 192.168.1.126
|
以上の「1〜8」の流れの設定とはいえ、実質的には「2」の5行を設定するだけでPPPoEによるインターネット
接続が問題なく行えるということです。しかし、一般的にインターフェースベースNATではなくポリシーベース
NATが使用されます。ポリシーベースNATはどの送信元と宛先トラフィックをNAT変換するのか細かく設定可。
| PPPoE接続で確認すべきコマンド |
説明 |
| get pppoe all |
PPPoEの接続ステータスを確認 |
| get arp |
ARPキャッシュが行われているかを確認。ARPテーブルのクリアは clear arp。 |
| get interface |
グローバルIPアドレスを取得できているかを確認 |
| get route |
PPPoEサーバをネクストホップしたデフォルトルートの存在を確認 |
| get policy |
ゾーン間におけるポリシーが許可されているかどうかを確認 |
| get session |
NAT変換が行われ、問題なく通信できていることを確認 |
| get config |
設定が正しく行われているかどうかを確認 |
| get log event |
通信できない場合は、イベントログを確認ましょう。ログは clear event でクリア―。 |
| get log system saved |
SSGがDUMPを吐き出していないかを確認。吐き出している場合は機器に異常の可能性。 |
| get tech-support |
通信に不具合が発生し、問題が解決しない場合に取得すべき全情報 |
SSGではGlobl IPのLAN型払い出しの際に、例えばUntrustインターフェースで unnumbered で受けるような構成は取りません。
Untrust I/F に/28のGlobal IPアドレスをそのまま受けることになります。※ VIPやMIPを利用してDMZセグメントを設けます。
|