ワイヤレス / モビリティ : ワイヤレス、固定

ワイヤレスLAN(WPA/TKIP暗号化)環境からのサービスプロバイダへのPPPoE接続設定例

2006 年 6 月 21 日 - 日本オリジナル版
その他のバージョン: PDFpdf | フィードバック

1. ネットワーク構成図

設定の前提となるネットワーク構成図になります。

2. システムの前提条件

PPPoE 方式を利用するブロードバンド回線接続を提供するサービスにて、CiscoISR ルータを使用し、インターネットに接続するための設定を行います。
LAN 側では ISR ルータを無線アクセスポイントとして使用します。

ワイヤレス LAN の暗号アルゴリズムと認証方式は、Pre-Shared Key(WPA-PSK; WPA 事前共有キー)バージョンの WPA と TKIP を利用します。

3. 想定する環境

ルータをADSLモデムなどに接続し、WAN 側の IP アドレスを PPPoE にて取得するように設定します。
IPアドレスの提供方法は、1つのグローバル IP アドレスを動的に払い出す、端末型払い出しとします。
LAN 側のネットワークに接続された PC はルータの PAT 機能により、サービスプロバイダーより配布された WAN 側の IP アドレスに変換され、インターネットにアクセスします。 無線 LAN、有線 LAN 各セグメントともにルータより DHCP により、IP アドレスを払いだします。

無線および、認証方法などに関するパラメータは以下のものを設定します。

(1) 無線に関する設定

パラメータ名 設定値
周波数
※()内はチャネル数
2412 MHz(1)、
2417 MHz(2)、
2422 MHz(3)、
2427 MHz(4)、
2432 MHz(5)、
2437 MHz(6)、
2442 MHz(7)
2447 MHz(8),
2452 MHz(9)、
2457 MHz(10)、
2462 MHz(11)、
2467 MHz(12)、
2472 MHz(13)
データ転送レート(Mbps) 1.0、2.0、5.5、6.0、9.0、11.0、12.0、18.0、24.0、36.0、48.0、54.0
(IEEE802.11b および 802.11g の双方を許可)
SSID 名 cisco-wpapsk
最大接続数
(2801/2811/2821/2851)
5
ビーコン送出間隔 100 msec
アクセスを許可するホスト ACL #700
(MAC アドレスベースのアクセスリスト)

(2) 認証に関する設定

パラメータ名 設定値
暗号化モード TKIP
(Temporal Key Integrity Protocol)
鍵管理方法 WPA-PSK
(WPA: Wi-Fi Protected Access, PSK: Pre-Shared Key)
事前共有鍵 cisco123
(ASCII 文字形式)

4. 必要なハードウェア/ソフトウェア

ISRシリーズにて本構成が実現可能なハードウェア/ソフトウェアの組み合わせは下記になります。

プラットホーム モジュール T トレイン メイントレイン
871W オンボード 12.4(2)T NA
1812JW
(*CISCO1812W-AG-P/K9)
オンボード 12.4(2)T NA
1841
2800 シリーズ(2801/2811/2821/2851)3800 シリーズ
(3825/3845)
HWIC-AP-G-J 12.4(2)T NA

871W および HWIC-AP-G-J は 802.11b/g に対応しています。
1812JW は 802.11a/b/g に対応しています。(*CISCO1812W-AG-P/K9 は、新 5GHz に対応)

本検証においては、Cisco 871W IOS 12.4(2)T4 を使用しています。

5. サンプルコンフィグレーション

!
hostname 871W
!
dot11 association mac-list 700
ip cef
!
!
ip dhcp excluded-address 192.168.11.11 192.168.11.254
ip dhcp excluded-address 192.168.3.11 192.168.3.254
!
ip dhcp pool pool_wireless
network 192.168.11.0 255.255.255.0
default-router 192.168.11.254
!
ip dhcp pool pool_ether
network 192.168.3.0 255.255.255.0
default-router 192.168.3.254
!
!
no ip domain lookup
!
!
interface FastEthernet4
no ip address
ip mtu 1454
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dot11Radio0
ip address 192.168.11.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1414
!
encryption mode ciphers tkip
!
ssid cisco-wpapsk
max-associations 5
authentication open
authentication key-management wpa
wpa-psk ascii 0 cisco123

!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
beacon period 100←実際には表示されません
channel least-congested 2412 2417 2422 2427 2432 2437 2442 2447 2452 2457 2462 2467 2472←実際には表示されません

station-role root
!
!
interface Vlan1
ip address 192.168.3.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1414
!
interface Dialer1
ip address negotiated
ip mtu 1454
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication chap callin
ppp chap hostname Flet's@cisco.com
ppp chap password 0 cisco
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip nat inside source list 1 interface Dialer1 overload
!
access-list 1 permit 192.168.3.0 0.0.0.255
access-list 1 permit 192.168.11.0 0.0.0.255
access-list 700 permit 0014.F200.0001 0000.0000.0000
access-list 700 permit 0014.F200.0002 0000.0000.0000
access-list 700 permit 0014.F200.0003 0000.0000.0000

!
end

6. キーとなるコマンドの解説

----------------------------
" dot11 association mac-list 700"
<コマンド種別>
グローバルコンフィグレーションコマンド
<コマンドの機能>
MAC アドレスベースのアクセスリストを無線インタフェースに適用します。
本例では access-list 700 にて Permit された端末以外は接続できません。
----------------------------
" interface Dot11Radio0 "
<コマンド種別>
グローバルコンフィグレーションコマンド
<コマンドの機能>
無線インタフェースのインタフェース コンフィギュレーション モードを開始します。
----------------------------
" encryption mode ciphers tkip "
<コマンド種別>
インタフェースコンフィグレーションコマンド
<コマンドの機能>
ワイヤレス インタフェースへのアクセスに使用する暗号方式、暗号アルゴリズム、および暗号鍵を指定します。WPA で利用する暗号化方式として TKIP を利用します。
----------------------------
" ssid cisco-wpapsk "
<コマンド種別>
インタフェースコンフィグレーションコマンド
<コマンドの機能>
ワイヤレス ネットワークの公開名である Service Set ID(SSID; サービス セット ID)を作成します。
WLAN 上のワイヤレス デバイスはすべて同じ SSID を使用して相互に通信します。
----------------------------
" max-associations 5 "
<コマンド種別>
config-if-ssid コンフィグレーションコマンド
<コマンドの機能>
指定した SSID に対して、無線インタフェースが接続をサポートする最大数を設定します。
----------------------------
" authentication open "
<コマンド種別>
config-if-ssid コンフィグレーションコマンド
<コマンドの機能>
ワイヤレス LAN にアクセスするユーザに対する認証方式を設定します。
----------------------------
" speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 "
<コマンド種別>
インタフェースコンフィグレーションコマンド
<コマンドの機能>
ワイヤレス接続上のトラフィックに必要な速度および許容される速度をMbps単位で指定します。

Basic プリフィックスがついたレートを指定すると、ユニキャストとマルチキャストの両方で、すべてのパケットをこのレートで転送します。無線デバイスのデータ レートを、1 つ以上 Basic に設定してください。

802.11bだけを利用する場合:
basic-1.0、basic-2.0、basic-5.5、および basic-11.0 を指定します。

802.11gだけを利用する場合:
basic-1.0、basic-2.0、basic-5.5、basic-6.0、basic-9.0、basic-11.0、basic-12.0、 basic-18.0、
basic-24.0、basic-36.0、basic-48.0、および basic-54.0 を指定します。
----------------------------
" station-role root "
<コマンド種別>
インタフェースコンフィグレーションコマンド
<コマンドの機能>
無線インタフェースの役割を指定します。必ず1つ以上のルート インタフェースを指定する必要があります。
----------------------------
" beacon period 100 "
<コマンド種別>
インタフェースコンフィグレーションコマンド
<コマンドの機能>
ビーコン送出間隔を設定します。単位は Kusec(msec)です。
なお、デフォルト値では”beacon period 100”が設定されております。100msec 毎に beacon を送出します。コンフィギュレーションには表示されません。
----------------------------
" channel least-congested 2412 2417 2422 2427 2432 2437 2442 2447 2452 2457 2462 2467 2472 "
<コマンド種別>
インタフェースコンフィグレーションコマンド
<コマンドの機能>
無線チャネル周波数を設定します。チャネル周波数をデフォルトにリセットする場合は、“no channel” コマンドを使用します。デフォルトではすべてのチャネルを許可し、混雑の最も少ない無線チャネルをスキャンし、自動的に選択します。(コンフィギュレーションには表示されません。)

次の例に中心周波数が 2457 の無線チャネル(チャネル番号 10) をアクセス ポイントに設定する方法を示します。

871W(config-if)# channel 2457

次の例に、指定した複数のチャネルの中から、混雑の最も少ない無線チャネルをスキャンして自動的に選択するようにアクセス ポイントを設定する方法を示します。

871W(config-if)# channel least-congested 2412 2417 2422
----------------------------
" access-list 700 permit 0014.F200.0001 0000.0000.0000"
<コマンド種別>
グローバルコンフィグレーションコマンド
<コマンドの機能>
MAC アドレスベースのアクセスリストを定義します。
本例では、“0014.F200.0001”、“0014.F200.0002”、“0014.F200.0003”の 3 つの MAC アドレスを持つホストからの接続を許可します。MAC アドレスベースで、特定のホストのアクセスを禁止する場合は、 明示的にその MAC アドレスを Deny します。
----------------------------

7. 設定に際しての注意点

デフォルト チャネル設定は Least Congested です。起動時に無線デバイスは最も混雑の少ないチャネルをスキャンして選択します。一貫したパフォーマンスが維持する為に、サイトサーベイ後、各アクセス ポイントにスタティック チャネル設定を指定することをお勧めします。

CISCO1812W-AG-P/K9は802.1a をサポートし、新 5Ghz 帯(W52/W53)にも対応しています。

PPPoE 使用時の MTU サイズは、通常時よりも小さくなります。(フレッツでは、1454 バイトを推奨)そのため、MTU サイズを変更すると共に、TCP の MSS(最大セグメントサイズ)の値をそれに合わせて調整することが必要となる点に注意してください。

PPPoE インターフェース上での ip route 0.0.0.0 0.0.0.0 Dialer1 と指定した際にはファーストスイッチとなります。PPPoE にてより高速な CEF スイッチを実現する為にはサービスプロバイダーの BAS アドレスがPPPネゴシエーション時にルータにインストールされている必要があります。インストールされている様であれば、dialer インターフェースにて ppp ipcp route default を設定し、再度 PPPoE セッション確立してください。PPP ネゴシエーション終了時に BAS アドレスを nexthop としたデフォルトルートが作成されます。

以前 IOS では PPPoE クライアントにおいて、下記のコマンドが必要でしたが、現在の IOS では必要がありません。またこのコマンドを設定する事によりPPPoE サーバの機能が有効になり、WAN 側の同一セグメントにおいて、PPPoE クライアントが存在する際には、broadcast で送られる PADI に対し、PADO を返してしまいます。こちらの設定は行わないで下さい。
vpdn enable
vpdn-group 1
equest-dialin
protocol pppoe

1812Jや871の様なSW 内蔵のプラットホームまたは HWIC-4ESW/HWIC-9DESW などのスイッチモジュールを使用し、vlan を使用する際には、vlan database コマンドにて追加する vlan を指定する必要があります。

実際に導入し、運用される際には障害解析などの観点により下記の様なコマンドも追加する事を推奨いたします。
service timestamps debug datetime localtime msec
service timestamps log datetime localtime msec
clock timezone JST 9
!
logging buffered 512000 debugging
!
clock calendar-valid

Jun 21, 2006 Document ID: jtac_20060621_2