Cisco ASA 5505 - PPPoE


 ◆ PPPoE(端末型払い出し)の設定 - ASA5505の設定

 今回はPPPoE接続の端末型払い出し方式におけるASA5505(Firewall製品)の設定方法を紹介します。

 ASAの場合、工場出荷時のパスワードは空白なので、何も入力せずにEnterキーを押します、などや
 ASAの場合、デフォルトで全ての物理I/Fがshutdownされているのでno shutする必要があるといった
 基本的なASAのコンフィグレーションや、ASAの操作に関する注意事項についてはここでは省略します。


   


 Cisco ASA 5500 Migration Guide for Version 8.3というマイグレーションガイドがある通り、ASAでは
 8.3のバージョンからコマンド構文を含めて色々と変更がありました。

 例えば、PATの設定といえば、グローバルIPアドレスへの変換対象となるIPアドレスの指定するための
 例えば [ nat (inside) 1 192.168.1.0 255.255.255.0 ] と設定してから [ global (outside) 1 interface ] というPATの
 設定を行っていましたが、現在ではそのようなコマンドを入力すると以下のメッセージが出力されます。
 → ERROR: This syntax of nat command has been deprecated.

 現在では適当なobject networkを指定してから、NAT変換対象のIPアドレスをsubnetとして定義して、
 最後に、global(outside) 1 interface ではなくてnat (inside,outside) dynamic interfaceと入力します。

コンフィグ 説明
nameif inside

 インターフェースの名前の指定。一般的に、内部ネットワークはinsideという名前にして
 外部ネットワークのインターフェースにはoutsideという名前を割り当てる。DMZならdmz
security-level 100

 インターフェースのセキュリティレベルを指定。このレベルには0(最下位)〜100(最上位)
 まである。数値が高いほどセキュリティレベルが高い。セキュリティレベルの高いI/Fからの
 開始セッションは全て許可されるが、セキュリティレベルの低いI/Fからの開始セッションは
 アクセスリストで許可しない限り通信が許可されない。interface vlan1は内部ネットワークに
 接続されるので、最もセキュリティレベルの高い 100 と定義している。外部なら 0 にする。
 ※ デフォルトではnameif insideと設定すれば 100 、nameif outsideと設定すれば 0 となる。 
pppoe client vpdn group
GROUP1		  PPPoEクライアントとしてのVPDN (Virtual Private Dial-up Network) グループの指定。
 グループ名を設定するためには、先にvpdn groupコマンドでグループを指定する必要
 がある。今回の場合、vpdn group GROUP1 request dialout pppoeなどの設定が該当。
ip address pppoe setroute

 このI/FでのPPPoEの有効化。setrouteコマンドによりPPPネゴシエーション中に取得される
 グローバルIPアドレスをネクストホップとしたデフォルトルートが動的に作成するようになる。
mtu outside1454  IPパケットの最大送信サイズ。Bフレッツなどの場合は1454byteとする。
sysopt connection tcpmss 1414

 TCPセグメントの最大送信サイズ。Bフレッツなどの場合は1414byteとする。
object network INSIDE-PAT

 マッピングアドレスを指定するためにこのobject networkというものを定義する必要がある。
 ここでは例として、INSIDE-PATという名前を付けている。
subnet 192.168.1.0 255.255.255.0  ここでは、グローバルIPアドレスへの変換対象のネットワークとして192.168.1.0/24を指定。
nat (inside,outside) dynamic
interface		  内部(inside)ネットワークのアドレスを外部(outside)のI/FのアドレスにPAT変換。
vpdn group GROUP1
request dialout pppoe

 PPPoEで使用されるVPDNグループの定義。pppoe client vpdn group で定義したグループ名
 である GROUP1 と同じグループ名を定義する。
vpdn group GROUP1
localname cisco@cisco.com		  ISPから付与されたユーザ名をVPDNグループに指定。
vpdn group GROUP1 ppp authentication chap

 ISPとの認証をVPDNグループに指定。ここではISPとの認証をCHAP認証としている。
 回線がKDDIの場合、vpdn group GROUP1 ppp authentication pap と設定する必要がある。
ppp chap password cisco  ISPとCHAP認証するの際のパスワード。ISPから付与された情報を設定する。
vpdn username cisco@cisco.com password cisco  ISPとCHAP認証を行う際のユーザ名パスワードの指定。


 設定完了後は、show vpdn pppinterfaceでPPPクライアントとPPPサーバのIPアドレスを確認しましょう。
 次に、show vpdn tunnel pppoe summaryで、PPPoEセッションID、使用するI/F、接続先のMACアドレス
 セッション数を確認しましょう。最後にsh interface vlan 10とshow routeで基本ステータスを確認します。

 ASA5500シリーズは、ファイアウォール製品の
 アプライアンスということだけあり上図のような
 構成で実装すべきセキュリティはルータなどに
 比べると少なくてすみます。セキュリティレベル
 の概念があるのでこれだけでCBACを実装させて
 いるようなものです。とはいえ、ルータと同様に
 LAN側(内部)から、Internet側(外部)へ流れる
 トラフィックの許可するポート番号は絞りましょう。

 コンフィグレーション例は以下の通りとなります。
 INIF-INという名前のアクセスリストを、insideの
 インターフェースに IN の方向で適用しています。


  

 587(Submission)、465(SMTP over SSL)、993(imap4 protocol over TLS/SSL)、995(pop3 protocol over TLS/SSL)



 ◆ PPPoE(LAN型払い出し)の設定 - ASA5505の設定

 LAN型払い出しの場合、払い出されるグローバルIPアドレスを指定し、しかるべきNAT設定を行うだけです。

 interface Vlan10
  nameif outside
  security-level 0
  pppoe client vpdn group GROUP1
  ip address 100.1.1.1 255.255.255.240 pppoe setroute

 ※ インターネット接続においてDHCP接続形式のキャリア場合はip address dhcp setrouteと設定します。


インターネット接続 - PPPoE(LAN型払い出し方式)Cisco892設定例 WAN - DA / HSD / Serial / FR / ATM 設定

ネットワークエンジニアとして

Copyright (C) 2002-2024 ネットワークエンジニアとして All Rights Reserved.