|
◆ インターネット接続 - PPPoE(LAN型払い出し)の設定
PPPoEによる払い出し方式には「端末型払い出しとLAN型払い出し」の2種類がありますが、ここでは
LAN型払い出しの設定方法を紹介します。企業がDMZセグメントを設ける場合は、複数のグローバル
IPアドレスを取得します。そして、PPPoE接続をする場合は今回紹介するLAN型払い出しの方式を採用。
下図ネットワーク構成に基づきコンフィグを紹介しますが、以下の設定はDMZ設計に関するコンフィグ
ではなくて、あくまでもLAN型払い出しのPPPoE接続のための設定方法です。また、Firewall製品により
DMZ設計が異なりますし、インターネット直結ルータの背後に公開サーバを配置する訳ではありません。
LAN型払い出しではInterface Dialer1のip address設定は必ずunnumberedと設定する必要があります。
各コンフィグの説明は「インターネット接続 - PPPoE(LAN型払い出し)ルータの設定例」をご参照下さい。
interface Dialer1で設定したip unnumbered Vlan1は、interface Dialer1にはIPアドレスを設定は無しとし、
「interface Dialer1から送出されるパケットは、Vlan1のアドレスが送信元アドレスになる」という意味です。
ある程度の企業規模のエンタープライズネットワークでは、インターネット接続部分において冗長化された
インターネット接続ルータ、冗長化されたファイアウォールがセットとして導入されますが企業規模により
シングルで構成するケースも当然あります。その場合は、下図のようなDMZ構成を実装する場合もあります。
下図の構成においてインターネット接続にPPPoE接続を行う場合、「LAN型払い出し」の方式を採用します。
上で紹介しているコンフィグはセキュリティ実装なしのものです。上図構成でDMZセグメントを設けて公開
サーバを配置する場合、しかるべきセキュリティ実装を行って下さい。適正な設計でないと踏み台にされます。
例えば以下の@〜Dの通信要件を満たしたい場合、
@ [ LAN ] から [ インターネット ] への通信の許可
A [ LAN ] から [ DMZ ] への通信の許可
B [ インターネット] から [ DMZ ] への通信の許可
C [ DMZ ] から [ LAN ] への通信は戻りのトラフィックだけを許可
D [ インターネット ] から [ LAN ] への通信は戻りの通信だけを許可
上記要件を満たすためには、紹介したコンフィグレーションに加えて以下の内容のコンフィグを追加します。
・ Interface Dialer 1には、DMZへの通信のみ許可するACLをINで適用。
・ Interface Vlan10には、DMZから発信するLANへの通信を拒否しそれ以外を許可するACLをOUTで適用。
・ Interface Vlan10には、CBACをINで適用 ⇒ これによりCとDが実現し戻りのトラフィックのみ許可。
|