|
◆ PPPoE接続の設定 - その2
前回のSSG - PPPoEによるインターネット接続では、デフォルト値を多く使用した内容となっていますが
ここではデフォルト値をあまり使用しない設定を紹介します。PPPoEの基本設定は前回と同じなので割愛。
1. 新たなゾーンの作成、ゾーンのI/Fへの割り当て、I/FへのIPアドレスの割り当て、routeモードの設定
SSG5-> set zone name SALES
SSG5-> set zone SALES vrouter trust-vr
SSG5-> set interface ethernet0/5 zone SALES
SSG5-> set interface ethernet0/5 ip 192.168.5.1/24
SSG5-> set interface ethernet0/5 route
SSG5-> set interface ethernet0/6 zone SALES
SSG5-> set interface ethernet0/6 ip 192.168.6.1/24
SSG5-> set interface ethernet0/6 route
|
2. アドレスブックの作成、マルチセルポリシーによる複数のサービス指定、DIPアドレスなしのNAT-src
SSG5-> set address SALES SALESNW1 192.168.5.0 255.255.255.0
SSG5-> set address SALES SALESNW2 192.168.6.0 255.255.255.0
SSG5-> set group address SALES SALESNW add SALESNW1
SSG5-> set group address SALES SALESNW add SALESNW2
SSG5-> set policy id 2 from SALES to Untrust SALESNW any dns nat src permit
SSG5-> set policy id 2
SSG5(policy:5)-> set service ftp
SSG5(policy:5)-> set service http
SSG5(policy:5)-> set service https
SSG5(policy:5)-> set service mail
SSG5(policy:5)-> set service POP3
SSG5(policy:5)-> set service ping
SSG5(policy:5)-> exit
|
3. SSGでDHCPサーバ機能、DNSプロキシ機能を有効化
SSG5-> set interface ethernet0/5 dhcp server service
SSG5-> set interface ethernet0/5 dhcp server auto
SSG5-> set interface ethernet0/5 dhcp server option gateway 192.168.5.1
SSG5-> set interface ethernet0/5 dhcp server option netmask 255.255.255.0
SSG5-> set interface ethernet0/5 dhcp server option dns1 192.168.5.1
SSG5-> set interface ethernet0/5 dhcp server ip 192.168.5.10 to 192.168.5.254
SSG5->set interface ethernet0/6 dhcp server service
SSG5->set interface ethernet0/6 dhcp server auto
SSG5->set interface ethernet0/6 dhcp server option gateway 192.168.6.1
SSG5->set interface ethernet0/6 dhcp server option dns1 192.168.6.1
SSG5->set interface ethernet0/6 dhcp server option netmask 255.255.255.0
SSG5->set interface ethernet0/6 dhcp server ip 192.168.6.10 to 192.168.6.254
SSG5-> set interface ethernet0/5 proxy dns
SSG5-> set interface ethernet0/6 proxy dns
SSG5-> set dns proxy
SSG5-> set dns proxy enable
SSG5-> set dns server-select domain * outgoing-interface ethernet0/0 primary-server
8.8.8.8
|
例えば、/28 でグローバルIPアドレスをキャリアから付与されている構成では Egreess I/FのグローバルIPアドレスを送信元とした
パケットを送出するのではなく、Egress I/F以外のグローバルIPアドレスを送信元としたい場合があります。例えば、Egress I/F の
IPアドレスは 1.1.1.1/28 とします。そして、送信元IPアドレスを 1.1.1.1/28 ではなく 1.1.1.2/28 としたい場合の設定例は以下。
つまりDIPアドレスをレンジで持たせるのではなくstart-addressとend-addressを同じグローバルIPアドレスにしDIP設定をします。
SSG5-> set interface e0/0 dip 5 1.1.1.2 1.1.1.2
SSG5-> set policy from SALES to Untrust SALESNW Any ANY nat src dip-id 5 permit
|
◆ 参考 : DHCPリレーを使用する構成では、DHCPによるIPアドレスを取得できない
SSGはDHCPサーバとして機能することができるが、上図のようにDHCPによりIPアドレスを取得したい
クライアントPCがSSGに直接接続していない構成においては(DHCPリレー経由においては)DHCPで
IPアドレスを取得することができません。仕様です。
そもそも小規模なネットワーク構成において、SSGの1台でネットワークを構成するような環境では
SSGをDHCPサーバとして機能させるのはいいかと思いますが、中規模なネットワーク構成では、本来、
Firewall製品であるSSGに、DHCPサーバの機能を実装させない方が設計として美しくなると思います。
|