Cisco PIX Firewall/VPN コンフィギュレーション ガイド
SOHO ネットワークにおける PIX Firewall の使用
SOHO ネットワークにおける PIX Firewall の使用
発行日;2012/02/04 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

SOHO ネットワークにおける PIX Firewall の使用

Easy VPN リモート デバイスとしての PIXFirewall の使用方法

概要

ネットワーク接続の確立

基本的な設定手順

ダウンロードされたコンフィギュレーションの表示

リモート管理の制御

セキュア ユニット認証の使用方法

概要

SUA がイネーブルな状態での接続の確立

SUA との接続動作の管理

個別ユーザ認証の使用方法

X.509 証明書の使用方法

Easy VPN サーバの DN の確認

PIX Firewall PPPoE クライアントの使用方法

概要

PPPoE クライアントのユーザ名とパスワードの設定

PIX Firewall での PPPoE のイネーブル化

固定 IP アドレスでの PPPoE の使用方法

PPPoE クライアントのモニタリングとデバッグ

関連コマンドの使用方法

PIX Firewall DCHP サーバの使用方法

概要

DHCP サーバ機能の設定

DHCP サーバを利用した Cisco IP Phone の使用方法

DHCP リレーの使用方法

PIX Firewall DHCP クライアントの使用方法

概要

DHCP クライアントの設定

DHCP リースのリリースとリニューアル

DHCP クライアントのモニタリングとデバッグ

SOHO ネットワークにおける PIX Firewall の使用

この章では、小規模オフィス、家庭内オフィス(SOHO)環境で PIX Firewall を使用した場合に提供される機能について説明します。ここでは、次の項目について説明します。

「Easy VPN リモート デバイスとしての PIX Firewall の使用方法」

「PIX Firewall PPPoE クライアントの使用方法」

「PIX Firewall DCHP サーバの使用方法」

「DHCP リレーの使用方法」

「PIX Firewall DHCP クライアントの使用方法」

Easy VPN リモート デバイスとしての PIX Firewall の使用方法

ここでは、PIX Firewall を Easy VPN リモート デバイスとして設定するためのコマンドと手順について説明します。次の項目について説明します。

「概要」

「ネットワーク接続の確立」

「基本的な設定手順」

「ダウンロードされたコンフィギュレーションの表示」

「リモート管理の制御」

「セキュア ユニット認証の使用方法」

「個別ユーザ認証の使用方法」

「X.509 証明書の使用方法」

「Easy VPN サーバの DN の確認」

PIX Firewall を Easy VPN サーバとして設定する場合の詳細については、「VPN リモート アクセスの管理」を参照してください。


) PIX Firewall Version 6.3 では、VPN トンネルを使用した PIX Firewall の内部インターフェイスへの管理接続が可能です。この機能は、Easy VPN リモート デバイスとして使用する場合の PIX Firewall をリモート管理するためのもので、通常、外部インターフェイスへ動的に割り当てられた IP アドレスを保有します。詳細については、「VPN トンネル経由による PIX Firewall への接続」を参照してください。


概要

PIX Firewall Version 6.2 以降では、Cisco VPN 3000 Concentrator や別の PIX Firewall などの Easy VPN サーバに接続するときに、PIX Firewall 501 または PIX 506/506E を Easy VPN リモート デバイスとして使用できます。図 4-1 に、Easy VPN リモート デバイスが VPN で使用できる仕組みを示します。

図 4-1 Easy VPN リモート デバイスとしての PIX Firewall の使用方法

 

Easy VPN リモート デバイス機能は、「ハードウェア クライアント」とも呼ばれ、この機能により PIX Firewall は Easy VPN サーバへの VPN トンネルを確立できます。PIX Firewall の内側にある LAN 上で稼動しているホストは、個々に VPN クライアント ソフトウェアを実行せずに、Easy VPN サーバを通じて接続できます。

Easy VPN リモート デバイスとして使用される PIX Firewall Version 6.3 以降では、2 つ以上の Easy VPN サーバ間でロード バランシングおよび冗長機能を利用できます。冗長性を実装するため、バックアップ サーバのリストが Easy VPN サーバに設定されて Easy VPN リモート デバイスにダウンロードされます。Easy VPN リモート デバイスは 5 秒経過しても応答がない場合、自動的に接続要求をリストにある次のバックアップ サーバにリダイレクトします。

ロード バランシングでは、Easy VPN サーバに Cisco 3000 Series VPN Concentrator を使用する必要があります。ロード バランシングの場合、Easy VPN リモート デバイス接続の宛先に仮想 IP アドレスを設定します。仮想 IP アドレスを共有する Easy VPN サーバは、ロード バランシング クラスタを形成し、このメンバーの 1 つがマスター サーバとして動作します。マスター サーバは要求を受信して最適なサーバを算出し、接続要求をそのサーバへ割り振ります。

PIX Firewall を Easy VPN リモート デバイスとして使用する場合、次の 2 つの操作モードがサポートされています。

クライアント モード

ネットワーク拡張モード


) Cisco IP Phone が VPN トンネルを介して接続されており、Easy VPN サーバによって保護されているネットワーク上でセッション開始プロトコル(SIP)プロキシが使用されている場合は、ネットワーク拡張モードを使用する必要があります。


図 4-2 PIX Firewall の使用方法(クライアント モード)

 

図 4-2に示すように、クライアント モードでは VPN コネクションはトラフィックによって開始されるため、リソースはオンデマンドでだけ使用されます。クライアント モードでは、PIX Firewall は、PIX Firewall の内部インターフェイス(高セキュリティ)に接続されたすべてのクライアントの IP アドレスに、NAT を適用します。このモードを使用するには、PIX Firewall DCHP サーバの使用方法で説明しているように、内部インターフェイスで DHCP サーバも使用可能にする必要があります。

図 4-3 PIX Firewall の使用方法(ネットワーク拡張モード)

 

図 4-3ネットワーク拡張モードを示します。このモードでは、トラフィック伝送の必要がない場合でも、VPN 接続は開かれた状態が保たれます。このオプションでは、PIX Firewall の内部インターフェイス(高セキュリティ)上のクライアントの IP アドレスのいずれに対しても、NAT は適用されません。

ネットワーク拡張モードでは、内部インターフェイス上のクライアントの IP アドレスは、Easy VPN サーバ上で変更されずに受信されます。これらのアドレスが Network Information Center(NIC)に登録されている場合は、それ以上処理されずにパブリック インターネットに転送されます。登録されていない場合は、Easy VPN サーバによって変換されるか、変換されずにパブリック ネットワークに転送されます。

ネットワーク接続の確立

PIX Firewall Easy VPN リモート デバイスを Easy VPN サーバに接続できるようにするには、インターネット サービス プロバイダー(ISP)を通じて両デバイス間のネットワーク接続を確立しておく必要があります。PIX Firewall を DSL またはケーブル モデムに接続してから、ISP の指示に従って、ネットワーク接続を確立します。基本的に、ISP への接続性を確立するときに IP アドレスを取得する方法には、次の 3 つがあります。

PPPoE クライアント:「PIX Firewall PPPoE クライアントの使用方法」を参照してください。

DHCP クライアント:「PIX Firewall DHCP クライアントの使用方法」を参照してください。

スタティック IP アドレス コンフィギュレーション:「接続の確立」「IP アドレスとサブネット マスクの割り当て」を参照してください。

基本的な設定手順

Easy VPN サーバは、PIX Firewall Easy VPN リモート デバイスに適用されるポリシーを制御します。しかし、Easy VPN サーバへの最初の接続を確立するには、ローカルで一部の設定を行う必要があります。この設定を行うには、Cisco PIX Device Manager(PDM)を使用するか、または次の手順で説明するコマンドライン インターフェイスを使用します。


ステップ 1 事前共有キーを使用している場合は、次のコマンドを入力します。

vpnclient vpngroup {groupname} password {preshared_key}
 

) X.509 証明書を使用している場合、このコマンドは必要ありません。


groupname には、VPN グループの英数字識別子を指定します。 preshared_key には、Easy VPN サーバへの通信を保護するために使用する暗号キーを指定します。

ステップ 2 (オプション) Easy VPN サーバが PIX Firewall クライアントの認証に extended authentication (Xauth)を使用する場合は、次のコマンドを入力します。

vpnclient username {xauth_username} password {xauth_password}
 

xauth_username には、Xauth 用に割り当てられたユーザ名を指定します。 xauth_password には、Xauth 用に割り当てられたパスワードを指定します。

ステップ 3 次のコマンドを入力して、リモート Easy VPN サーバを特定します。

vpnclient server {ip_primary} [ip_secondary_n]
 

ip_primary には、プライマリ Easy VPN サーバの IP アドレスを指定します。 ip_secondary_n には、1 つ以上の Easy VPN サーバの IP アドレスを指定します。最大 11 の Easy VPN サーバをサポートします(プライマリが 1 台とセカンダリが 10 台まで)。

ステップ 4 次のコマンドを入力して、Easy VPN リモート デバイスのモードを設定します。

vpnclient mode {client-mode | network-extension-mode}
 

クライアント モードでは、PIX Firewall の内部インターフェイス(高セキュリティ)上にあるすべてのクライアントの IP アドレスに対して、NAT が適用されます。

ネットワーク拡張モードでは、PIX Firewall の内部インターフェイス(高セキュリティ)上にあるクライアントの IP アドレスには NAT は適用されません。

 

ステップ 5 次のコマンドを入力して、Easy VPN リモート デバイスをイネーブルにします。

vpnclient enable
 

ステップ 6 (オプション) Easy VPN リモート デバイスの現在のステータスとコンフィギュレーションを表示するには、次のコマンドを入力します。

show vpnclient
 


 

ダウンロードされたコンフィギュレーションの表示

コンフィギュレーション情報を保存するフラッシュ メモリ領域は 2 つあります。ダウンロードされたコンフィギュレーションは、show vpn detail コマンドを使用する場合にだけ見える別個の領域に保存されます。Easy VPN リモート デバイスに関連するすべてのコンフィギュレーション(FPSA 関連のスタティック、ダイナミック、フラッシュ専用のストレージ領域)を表示するには、次のコマンドを入力します。

remotepix(config)#show vpnclient detail
 

Easy VPN リモート デバイスが Easy VPN サーバに接続された後の、このコマンドの出力結果には、次の内容が含まれます(この出力はわかりやすくするために簡略化して注釈を付けてあります)。

LOCAL CONFIGURATION
vpnclient server 80.0.0.1
vpnclient mode client-mode
vpnclient vpngroup unity password ********
vpnclient username maruthitacacs password ********
vpnclient management tunnel 10.0.0.0 255.255.255.0
vpnclient enable
 
DOWNLOADED DYNAMIC POLICY
Current Server : 80.0.0.1
NAT addr : 90.0.0.10
Primary DNS : 10.0.0.21
Default Domain : example.com
PFS Enabled : Yes
Secure Unit Authentication Enabled : No
User Authentication Enabled : Yes
User Authentication Server : 10.0.0.3
User Authentication Server Port : 1645
User Authentication Idle Timeout : 2:46:40
Device Pass Through Enabled : Yes
Split Networks : 10.0.0.0/255.255.255.0 110.0.0.0/255.255.255.0
Split DNS : example.com
Backup Servers : None
 
STORED POLICY
Secure Unit Authentication Enabled : No
Split Networks : 10.0.0.0/255.255.255.0 110.0.0.0/255.255.255.0
Backup Servers : 80.0.0.30
 
RELATED CONFIGURATION
sysopt connection permit-ipsec
global (outside) 10 interface
global (outside) 65001 90.0.0.10
nat (inside) 10 60.0.0.0 255.255.255.0 0 0
access-list _vpnc_pat_acl permit ip any 10.0.0.0 255.255.255.0
access-list _vpnc_pat_acl permit ip any 110.0.0.0 255.255.255.0
access-list _vpnc_acl permit ip host 90.0.0.10 10.0.0.0 255.255.255.0
access-list _vpnc_acl permit ip host 90.0.0.10 110.0.0.0 255.255.255.0
access-list _vpnc_acl permit ip host 80.0.0.2 10.0.0.0 255.255.255.0
access-list _vpnc_acl permit ip host 80.0.0.2 host 10.0.0.3
access-list _vpnc_iua_acl permit ip any 10.0.0.0 255.255.255.0
access-list _vpnc_iua_acl permit ip any 110.0.0.0 255.255.255.0
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
 

リモート管理の制御

PIX Firewall Version 6.3 では、リモート管理の可能な PIX Firewall からネットワークを識別できる、あるいはリモート管理全体を停止できるようにして、管理セキュリティを向上させる機能が導入されています。

この機能をイネーブルにしない場合は、VPN トンネルを介して PIX Firewall の外部インターフェイスにアクセスできるすべてのホストからリモート管理できます。

この機能をイネーブルにするには、次のコマンドを入力します。

vpnclient management tunnel ip_addr_1 ip_mask_1 [[ip_addr_2 ip_mask_2] ... ]]
 

ip_addr_1 および ip_mask1_1 には、PIX Firewall をリモート管理できるようにするリモート ホストの IP アドレスおよびサブネット マスクを指定します。1 つ以上のホストからリモート管理できるようにするには、追加の IP アドレスおよびサブネット マスクを使用します。

PIX Firewall の外部インターフェイスを使用してリモート管理を完全に停止するには、次のコマンドを入力します。

vpnclient management clear
 

このコマンドの入力後は、VPN トンネルを介した PIX Firewall 外部インターフェイスへのリモート管理接続は許可されません。デフォルトでは、PIX Firewall は、セキュアな VPN トンネルを介して外部インターフェイスに接続する方法でのみリモートに管理できます。PIX Firewall の内部インターフェイスへのリモート管理接続をイネーブルにするには、「PIX Firewall のアクセスと監視」「VPN トンネル経由による PIX Firewall への接続」を参照してください。

セキュア ユニット認証の使用方法

ここでは、セキュア ユニット認証が Easy VPN リモート デバイスとして使用される PIX Firewall の動作に与える影響と、この動作を管理する方法について説明します。次の項目について説明します。

「概要」

「SUA がイネーブルな状態での接続の確立」

「SUA との接続動作の管理」

概要

SUA は PIX Firewall を Easy VPN リモート デバイスとして使用する場合のセキュリティを高めるため、PIX Firewall Version 6.3 に導入された機能です。SUA とともにワンタイム パスワード、2 要素認証、および同様の認証方式を使用すると、リモート PIX Firewall を認証してから Easy VPN サーバへの VPN トンネルを確立できます。

SUA は、Easy VPN Server 上の VPN ポリシーの一部として設定されています。Easy VPN リモート
デバイスでは直接設定できません。Easy VPN リモート デバイスは、Easy VPN Server に接続した後で VPN ポリシーをダウンロードし、SUA をイネーブルまたはディセーブルにします。

SUA がディセーブルで、PIX Firewall がネットワーク拡張モードである場合、接続は自動的に初期化されます。SUA がディセーブルで、PIX Firewall がクライアント モードである場合、PIX Firewall を経由して Easy VPN Server に保護されているネットワークに送信されるトラフィックが存在すれば、接続は自動的に初期化されます。

SUA がイネーブルの場合、Easy VPN リモート デバイスのローカル コンフィギュレーションに含まれるスタティックな認定証は無視されます。HTTP 要求がリモート ネットワークから Easy VPN サーバによって保護されたネットワークへ送信されるとすぐに、接続要求が開始されます。Easy VPN サーバによって保護されたネットワークへのその他のトラフィックは、VPN トンネルが確立するまですべて廃棄されます。また、Easy VPN リモート デバイスの CLI から接続要求を開始することもできます。

SUA がイネーブルな状態での接続の確立

SUA がイネーブルになった後、VPN トンネルが確立される前に、Easy VPN サーバにより保護されているネットワークへの HTTP 要求はすべて次に示す URL へリダイレクトされます。

https://inside-ipaddr/vpnclient/connstatus.html
 

inside-ipaddr には Easy VPN リモート デバイスとして使用する PIX Firewall の内部インターフェイスの IP アドレスを指定します。ブラウザの Address または Location ボックスにこの URL を手動で入力すると、接続をアクティブにできます。

この URL によって認証ページを表示する Connect リンクを含んだページが提供されます。認証に成功すると VPN トンネルが確立されます。VPN トンネルが確立された後、Easy VPN リモート デバイスで保護されたネットワーク上のほかのユーザはそれ以降の認証が不要となり Easy VPN サーバで保護されたネットワークにアクセスできます。ユーザ別にアクセスを制御する場合は、「個別ユーザ認証の使用方法」で説明するように、個別ユーザ認証を実装できます。

次のコマンドを入力することにより、Easy VPN リモート デバイスとして使用される PIX Firewall の CLI から手動で接続を開始できます。

vpnclient connect
 

CLI を使用して接続を終了するには、次のコマンドを入力します。

vpnclient disconnect
 

これによって、Easy VPN リモート デバイスを Easy VPN サーバから切断し IKE トンネルを切り離します。vpnclient connect コマンドと vpnclient disconnect コマンドを使用して Easy VPN サーバの切断および再接続を行うことにより、ダウンロードされたポリシーを強制的に更新できます。

SUA との接続動作の管理

VPN ポリシーがダウンロードされると、Easy VPN リモート デバイスとして使用される PIX Firewall はダウンロードされたポリシーを SUA のステータスも含めてフラッシュ メモリの専用領域に格納します。これを行うことにより Easy VPN リモート デバイスは次の接続試行の接続動作を決定できます。SUA ステータスを変更する VPN ポリシーがダウンロードされると、PIX Firewall は自動的に Easy VPN サーバとの接続を切断します。これを行うことにより、Easy VPN リモート デバイスは、変更をただちに SUA ステータスに実装できます。


) SUA をイネーブルにすると、認定証は接続が作成されるたびに手動で入力されるため、ローカル
PIX Firewall ではスタティックな認定証は不要です。ただし、何らかの理由によって SUA が Easy VPN サーバでディセーブルの場合は、VPN 接続を確立するためにスタティックな認定証が必要になります。したがって、ローカル コンフィギュレーション内にスタティックなクレデンシャルがある場合は、特別な理由がない限りそのクレデンシャルを削除しないでください。


次の CLI は保存されたポリシー、および現在実行中の SUA コンフィギュレーションをクリアします。

clear vpnclient
 

このコマンド入力後(または最初に PIX Firewall を Easy VPN サーバに接続する前)の PIX Firewall は「SUA_Unspecified」状態です。この状態の場合、スタティック認証の認定証がローカル PIX Firewall のコンフィギュレーションに含まれていなければ SUA はイネーブルです。この状態以外の場合、スタティック認証の認定証が含まれていれば、SUA はディセーブルです。

前述のとおり、Easy VPN リモート デバイスとして使用される PIX Firewall の接続動作はクライアント モードかネットワーク拡張モードかによって変化します。また、ローカル コンフィギュレーションにスタティック認定証が含まれるかどうか(コマンド vpnclient username user password pass を使用して設定)、および SUA の状態によっても変わります。この動作を 表 4-1 に要約します。

 

表 4-1 さまざまな SUA 状態での PIX Firewall の動作

PIX Firewall の状態
クライアント モード
ネットワーク拡張モード

SUA_Unspecified で、ローカル コンフィギュレーションにはスタティック認定証が含まれます。

PIX Firewall を起点とするまたは経由するトラフィックにより VPN トンネルが開始されます。

VPN トンネルは自動的に開始されます。

SUA_Unspecified で、ローカル コンフィギュレーションにはスタティック認定証が含まれません。

手動による接続が必要です。

手動による接続が必要です。

SUA_Disabled。スタティック認定証が必要です。

PIX Firewall を起点とするまたは経由するトラフィックにより VPN トンネルが開始されます。

VPN トンネルは自動的に開始され、開いた状態で維持されます。

SUA_Enabled。スタティック認定証は必要ありません。

手動による接続が必要です。

手動による接続が必要です。

個別ユーザ認証の使用方法

IUA によって、Easy VPN リモートの内部ネットワーク上のクライアントを、内部クライアントの IP アドレスに基づいて個別に認証できます。IUA ではスタティックとダイナミック両方のパスワード メカニズムを備えた認証をサポートします。

IUA はダウンロードした VPN ポリシーによってイネーブルになります。ローカルで設定することはできません。Easy VPN サーバとして使用する PIX Firewall で IUA をイネーブルにする場合の詳細については、「個別ユーザ認証の設定」を参照してください。

IUA がイネーブルの場合、Easy VPN リモート デバイスで保護されたネットワーク上の各ユーザは、接続の開始時にユーザ名とパスワードの入力を求められます。Easy VPN サーバとして動作する PIX Firewall は AAA サーバの接点情報を Easy VPN リモート デバイスにダウンロードし、このデバイスが各認証要求を直接 AAA サーバに送信します。Easy VPN サーバとして使用される Cisco 3000 Series VPN Concentrator は AAA サーバに対してプロキシ認証を実行します。Easy VPN リモート デバイスは各認証要求を Cisco 3000 Series VPN Concentrator に送信します。

PIX Firewall Version 6.3 以降では、メディア アクセス制御(MAC)アドレスを使用して、このタイプの認証をサポートしない Cisco IP Phone などのデバイスの認証をバイパスできます。MAC ベースの AAA 免除がイネーブルの場合、PIX Firewall はデバイスの MAC アドレスと DHCP サーバによって動的に割り当てられた IP アドレスの両方と一致するトラフィックについて AAA サーバをバイパスします。

この機能は IUA のように Easy VPN サーバ上でイネーブルまたはディセーブルになっています。Easy VPN サーバとして使用する PIX Firewall でこの機能をイネーブルにする場合の詳細については、「AAA 認証のバイパス」を参照してください。

Easy VPN リモート デバイスとして使用する PIX Firewall でこの機能を設定するには、「ネットワーク アクセスとネットワーク使用の制御」「MAC ベースの AAA 免除」を参照してください。

X.509 証明書の使用方法

PIX Firewall Version 6.3 では、X.509 証明書の RSA-SIG サポートを提供することにより IPSec Main モードが使用できます。

Easy VPN リモートとして使用される PIX Firewall の旧バージョンでは、キー マッピングに対する vpngroup を Easy VPN サーバ上で実行できるように IPSec Aggressive モードが必要でした。RSA-SIG がサポートされたためこの制限は適用されなくなり、IPSec Main モードを使用できます。Aggressive モードは事前共有キーに使用され、Main モードは RSA-SIG ベースの鍵交換に使用されます。

PIX Firewall Version 6.3 を使用する場合のデフォルト オプションは RSA-SIG です。事前共有キーを使用するには、次のコマンドを入力します。

vpnclient vpngroup groupname password preshared_key
 

PIX Firewall Version 6.3 では、Easy VPN リモートで使用する追加の暗号化オプションが導入されました。これには拡張暗号規格(AES)と Diffie-Hellman Group 5 が含まれます。これらのプロトコルの使用はライセンスシング(3DES、AES)、および Main モードまたは Aggressive モードの使用によって決定されます。Diffie-Hellman グループは Main モードの場合だけネゴシエートが可能です。


) Easy VPN リモート デバイスとして使用される PIX Firewall では、Easy VPN サーバの証明書が無効かどうかのチェックを行いません。


PIX Firewall Version 6.3 では、オプションで X.500 のサポートが導入されています。証明書の登録プロセスは X.500 ディレクトリの内容を設定できるように強化されています。

X.500 ディレクトリの内容を設定するには、次のコマンドを入力します。

ca subject-name ca-nickname [x500_DN]
 

完全な X.500 Distinguished Name(DN; 認定者名)を入力するか、あるいはこのパラメータを省略すると PIX Firewall から必要な情報を入力するよう求められます。

たとえば、次のコマンドには DN が含まれます。

pixfirewall(config)# ca subject-name cn=pixfirewall.example.com,ou=VSEC BU,o=Cisco System,c=US,e=klee@example.com
 

次のコマンドでは DN を省略したため PIX Firewall によってこの情報の入力が求められます。

pixfirewall(config)# ca subject-name
Common name (cn) [pixfirewall.example.com] :pixfirewall.example.com
Department (ou) []: VSEC BU
Company (o) []:Cisco System
State (st) []:CA
Country (c) []:US
Email (e) []:klee@example.com
Proceed with the above information [no]: yes
 

現在の証明書についてコンフィギュレーション情報を表示するには、次のコマンドを入力します。

pixfirewall(config)# show ca cert
...(PIX device cert)
Certificate
Status: Available
Certificate Serial Number: 45a490250000000000fa
Key Usage: General Purpose
Subject Name:
CN = myvpn01.example.com
OU = VSEC BU
O = Cisco System INC
UNSTRUCTURED NAME = myvpn01.example.com
Validity Date:
start date: 22:35:58 UTC Aug 16 2002
end date: 22:45:58 UTC Aug 16 2003
 

Easy VPN サーバの DN の確認

PIX Firewall Version 6.3 が Easy VPN リモート デバイスとして使用される場合、VPN トンネルの確立に使用する証明書の DN を指定できます。可能性のある「man-in-the-middle」攻撃を防ぐため、この機能はイネーブルにしておくことを推奨します。

PIX Firewall で受信した証明書の DN を確認するには、次のコマンドを入力します。

ca verifycertdn x500 string
 

) 受信した証明書を確認して VPN トンネルを確立するため、どのアトリビュートも完全に一致する必要があります。


たとえば、Easy VPN リモート サーバとして使用される PIX Firewall の場合は次の証明書を取得する可能性があります。

Certificate
Status: Available
Certificate Serial Number: 4ebdbd400000000000a2
Key Usage: General Purpose
Subject Name:
CN = myvpn01.myorg.com
OU = myou
O = myorg
ST = CA
C = US
UNSTRUCTURED NAME = myvpn01.myorg.com
Validity Date:
start date: 23:48:00 UTC Feb 18 2003
end date: 23:58:00 UTC Feb 18 2004
--------------------------------------------------------------------------------

このサーバを使用して VPN トンネルを確立するには、Easy VPN リモート デバイスとして使用される PIX Firewall で次のコマンドを入力します。

ca verifycertdn cn*myvpn, ou=myou, o=myorg, st=ca, c=US
 

このコマンドにより、受信側の PIX Firewall は、次のアトリビュートを保持する DN すべてを指定した証明書を受け取ります。

文字列 myvpn を含む共通名(CN)

myou と同一の組織ユニット(OU)

myorg と同一の組織(O)

CA と同一の州(ST)

US と同一の国(C)

特定の通常名を指定して範囲をさらに限定したり、CN アトリビュートを完全に省略して範囲をさらに広げたりすることもできます。

アスタリスク(*)を使用すると、アスタリスクに続く文字列を含むアトリビュートと一致させることができます。感嘆符(!)を使用すると、感嘆符に続く文字を含まないアトリビュートと一致させることができます。

PIX Firewall PPPoE クライアントの使用方法

ここでは、PIX Firewall Version 6.2 以降とともに提供される PPPoE クライアントの使用方法を説明します。次の項目について説明します。

「概要」

「PPPoE クライアントのユーザ名とパスワードの設定」

「PIX Firewall での PPPoE のイネーブル化」

「固定 IP アドレスでの PPPoE の使用方法」

「PPPoE クライアントのモニタリングとデバッグ」

「関連コマンドの使用方法」

概要

Point-to-Point Protocol over Ethernet(PPPoE)は、広く受け入れられている 2 つの標準であるイーサネットと PPP を組み合せ、クライアント システムに IP アドレスを割り当てるための認証方法を提供するものです。PPPoE クライアントは多くの場合、DSL やケーブル サービスなどのリモート ブロードバンド接続を通じて ISP に接続された、パーソナル コンピュータです。ISP がPPPoE を展開する理由は、PPPoE が既存のリモート アクセス インフラストラクチャを使用した高速ブロードバンド アクセスをサポートできることや、顧客が簡単に使用できることなどにあります。

PIX Firewall Version 6.2 では、PPPoE クライアント機能を取り入れています。この機能により、PIX Firewall の SOHO ユーザは、DSL モデムを使用して ISP に接続できます。


) PIX Firewall の PPPoE クライアントをイネーブルにできるのは、外部インターフェイス上に限られます。


PPPoE は、イーサネット ネットワークを介した PPP の標準認証方式を採用しています。ISP が PPPoE を使用することにより、IP アドレスの割り当てに認証を取り入れることができます。このタイプの実装では、PPPoE クライアントとサーバは、DSL やその他のブロードバンド接続を介して動作するレイヤ 2 ブリッジング プロトコルによって相互接続されます。

PPPoE は、2 つの主要フェーズから構成されます。

アクティブ ディスカバリ フェーズ:PPPoE クライアントは、アクセス コンセントレータと呼ばれる PPPoE サーバを見つけます。このフェーズの間に、セッション ID が割り当てられ、PPPoE レイヤが確立されます。

PPP セッション フェーズ:PPP オプションがネゴシエートされ、認証が実行されます。リンク セットアップが完了すると、PPPoE はレイヤ 2 カプセル化方式として機能し、PPPoE ヘッダー内でデータを PPP リンクを介して転送できるようになります。

 

システムの初期設定時に、PPPoE クライアントはアクセス コンセントレータと一連のパケットを交換することによってセッションを確立します。セッションが確立されると、Password Authentication Protocol(PAP; パスワード認証プロトコル)を使用した認証が行われ、PPP リンクがセットアップされます。PPP セッションが確立されると、各パケットは PPPoE および PPP ヘッダーにカプセル化されます。

PPPoE クライアントのユーザ名とパスワードの設定

アクセス コンセントレータに対する PIX Firewall の認証に使用するユーザ名とパスワードを設定するには、PIX Firewall vpdn コマンドを使用します。 vpdn コマンドは、L2TP、PPTP、PPPoE などのリモート アクセス プロトコルをイネーブルにするために使用します。 vpdn コマンドを使用するには、最初に VPDN グループを定義し、次にそのグループ内の個々のユーザを作成します。

PPPoE ユーザ名とパスワードを設定するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、PPPoE に使用する VPDN グループを定義します。

vpdn group group_name request dialout pppoe
 

group_name には、グループを説明する名前、たとえば「pppoe-sbc」を指定します。

ステップ 2 利用する ISP で認証が必要である場合は、次のコマンドを入力して、認証プロトコルを選択します。

vpdn group group_name ppp authentication PAP|CHAP|MSCHAP
 

group_name には、前のステップで定義したものと同じグループ名を指定します。利用する ISP で使用されている認証タイプに該当するキーワードを入力します。

PAP:パスワード認証プロトコル

CHAP:チャレンジ ハンドシェーク認証プロトコル

MS-CHAP:Microsoft チャレンジ ハンドシェーク認証プロトコル


) CHAP または MS-CHAP を使用する場合、ユーザ名はリモート システム名として、パスワードは CHAP シークレットとして参照されることがあります。


ステップ 3 次のコマンドを入力して、ISP によって割り当てられたユーザ名を VPDN グループに関連付けます。

vpdn group group_name localname username
 

group_name には VPDN グループ名、 username には ISP によって割り当てられたユーザ名をそれぞれ指定します。

ステップ 4 次のコマンドを入力して、PPPoE 接続で使用するユーザ名とパスワードのペアを作成します。

vpdn username username password pass [store-local]
 

username にはユーザ名、 pass には ISP によって割り当てられたパスワードをそれぞれ指定します。


) store-local オプションによって、PIX Firewall 上の Nonvolatile Random-Access Memory(NVRAM; 不揮発性 RAM)の特殊な場所にユーザ名とパスワードを格納します。Auto Update Server が clear config コマンドを PIX Firewall に送信して接続が中断されると、PIX Firewall は NVRAM からユーザ名とパスワードを読み込んでアクセス コンセントレータに再度認証を受けることができます。



 

PIX Firewall での PPPoE のイネーブル化


) PPPoE をイネーブルにする前に、PPPoE クライアントのユーザ名とパスワードの設定の説明に従って、vpdn コマンドを使用して設定を完了しておく必要があります。


PPPoE クライアント機能は、デフォルトではオフになっています。PPPoE クライアントをイネーブルにするには、次のコマンドを入力します。

ip address ifname ipaddress mask pppoe
 

このコマンドを再入力し、PPPoE セッションをクリアして再起動します。現在のセッションがシャットダウンされ、新しいセッションが再起動されます。

次に例を示します。

ip address outside pppoe
 

PPPoE クライアントは、PIX Firewall の外部インターフェイスでだけサポートされます。PPPoE では IP アドレスは PPP によって割り当てられるため、PPPoE と DHCP を組み合せての使用はサポートされません。setroute オプションを使用すると、デフォルト ルートが存在しない場合にデフォルト ルートが作成されます。デフォルトのルータは、アクセス コンセントレータのアドレスになります。MTU (最大伝送ユニット)サイズは自動的に 1492 バイトに設定されます。これは、イーサネット フレーム内で PPPoE 伝送を可能にするための正しい値です。

固定 IP アドレスでの PPPoE の使用方法

次の形式のコマンドを使用して、IP アドレスを手動で入力して PPPoE をイネーブルにすることもできます。

ip address ifname ipaddress mask pppoe
 

このコマンドを使用すると、PIX Firewall は、PPPoE サーバとネゴシエートしてアドレスを動的に割り当てるのではなく、指定されたアドレスを使用します。このコマンドを使用するには、 ifname に、PPPoE サーバに接続された PIX Firewall の外部インターフェイスの名前を指定します。 ipaddress および mask には、PIX Firewall に割り当てられた IP アドレスおよびサブネット マスクを指定します。

次に例を示します。

ip address outside 201.n.n.n 255.255.255.0 pppoe
 

setroute オプションは ip address コマンドのオプションで、これを使用することにより、PPPoE クライアントがまだコネクションを確立する前にアクセス コンセントレータはデフォルト ルートを設定できます。setroute オプションを使用する場合は、スタティックに定義されたルートを設定することはできません。


PPPoE クライアントのモニタリングとデバッグ

次のコマンドを使用して、現在の PPPoE クライアントの構成情報を表示します。

show ip address outside pppoe
 

次のコマンドを使用して、PPPoE クライアントのデバッグをイネーブルにします。

[no] debug pppoe event | error | packet
 

次に、各キーワードの機能を要約します。

event:プロトコル イベント情報を表示します

error:エラー メッセージを表示します

packet:パケット情報を表示します

PPPoE セッションのステータスを表示するには、次のコマンドを使用します。

show vpdn session [l2tp|pptp|pppoe] [id sess_id|packets|state|window]
 

例4-1に、このコマンドで表示される情報の種類を示します。

例4-1 show vpdn session コマンド出力

pix1# sh vpdn
Tunnel id 0, 1 active sessions
time since change 65862 secs
Remote Internet Address 10.0.0.1
Local Internet Address 199.99.99.3
6 packets sent, 6 received, 84 bytes sent, 0 received
Remote Internet Address is 10.0.0.1
Session state is SESSION_UP
Time since event change 65865 secs, interface outside
PPP interface id is 1
6 packets sent, 6 received, 84 bytes sent, 0 received
pix1#
pix1# sh vpdn session
PPPoE Session Information (Total tunnels=1 sessions=1)
Remote Internet Address is 10.0.0.1
Session state is SESSION_UP
Time since event change 65887 secs, interface outside
PPP interface id is 1
6 packets sent, 6 received, 84 bytes sent, 0 received
pix1#
pix1# sh vpdn tunnel
PPPoE Tunnel Information (Total tunnels=1 sessions=1)
Tunnel id 0, 1 active sessions
time since change 65901 secs
Remote Internet Address 10.0.0.1
Local Internet Address 199.99.99.3
6 packets sent, 6 received, 84 bytes sent, 0 received
pix1#

関連コマンドの使用方法

PPP セッション中に使用される PPP パラメータを設定するには、次の vpdn コマンドを使用します。

vpdn group group_name ppp authentication [PAP|CHAP|MSCHAP]
 

DHCP サーバが、PPP/IPCP ネゴシエーションの一部としてアクセス コンセントレータから与えられる WINS および DNS アドレスを使用するには、次のコマンドを使用します。

dhcpd auto_config [client_ifx_name]

このコマンドは、サービス プロバイダーが RFC 1877 に記述されている方法でこの情報を提供する場合にだけ必要です。 client_ifx_name パラメータは、DHCP auto_config オプションでサポートされているインターフェイスを識別します。現時点では、PPPoE クライアントは単一の外部インターフェイス上でだけサポートされるため、このキーワードは必要ありません。

PIX Firewall DCHP サーバの使用方法

ここでは PIX Firewall によって提供される DHCP サーバの使用方法を説明します。次の項目について説明します。

「概要」

「DHCP サーバ機能の設定」

「DHCP サーバを利用した Cisco IP Phone の使用方法」

概要

PIX Firewall は、DHCP サーバおよび DHCP クライアントをサポートします。DHCPは、インターネット ホストに自動コンフィギュレーション パラメータを供給するプロトコルです。このプロトコルには次の2つのコンポーネントがあります。

DHCP サーバからホスト(DHCP クライアント)にホスト固有のコンフィギュレーション パラメータを配送するプロトコル

ネットワーク アドレスをホストに割り当てるメカニズム

DHCP サーバは、コンフィギュレーション パラメータを DHCP クライアントに供給するだけのコンピュータです。DHCP クライアントは、DHCP を使用してネットワーク コンフィギュレーション パラメータを取得するコンピュータまたはネットワーク装置です。

PIX Firewall は DHCP サーバとして、ダイナミックに割り当てられた IP アドレスを含むネットワーク コンフィギュレーション パラメータを DHCP クライアントに提供します。これらのコンフィギュレーション パラメータは、企業ネットワークおよび DNS などのネットワーク サービスへのアクセスに必要なネットワーキング パラメータを DHCP クライアントに提供します。

表 4-2 に、PIX Firewall の各モデルおよびバージョンごとに、同時にサポートできる DHCP クライアントの数を示します。

 

表 4-2 PIX Firewall でサポートされる DHCP クライアント

PIX Firewall の
バージョン
PIX Firewall プラットフォーム
DHCP クライアント アドレスの最大数(アクティブ ホスト)

Version 5.2 以前

全プラットフォーム

10

Version 5.3 ~ 6.0

PIX 506/506E

その他のプラットフォームすべて

32

256

Version 6.1 と 6.2

PIX 501

オプションの 50 ユーザ ライセンス付き PIX 501

PIX 506/506E

その他のプラットフォームすべて

32

128

256

256

Version 6.3 以降

PIX 501

オプションの 50 ユーザ ライセンス付き PIX 501

オプションの無制限ライセンス付き PIX 501

PIX 506/506E

その他のプラットフォームすべて

32

128

256

256

256(インターフェイスあたり)


) ホストが xlate タイムアウト間隔に現在設定されている秒数以内で PIX Firewall を通じてトラ
フィックの受け渡しを行った場合、そのホストはアクティブであるとみなされます。また、
PIX Firewall を通じて確立された NAT/PAT、PIX Firewall を通じて確立された TCP コネクションまたは UDP セッション、PIX Firewall を通じて確立されたユーザ認証のいずれかがある場合にも、そのホストはアクティブであるとみなされます。


クラス C のネットマスクでは、DHCP サーバを 256 のクライアントに設定することはできません。たとえば、ある企業のクラス C のネットワーク アドレスが 172.17.1.0 で、ネットマスクが
255.255.255.0 であるとします。この場合、172.17.1.0(ネットワーク IP)と 172.17.1.255 (ブロードキャスト)は、DHCP アドレス プール範囲に含めることはできません。また、PIX Firewall インターフェイス用に 1 つのアドレスが使用されます。したがって、ユーザがクラス C のネットマスクを使用する場合、ユーザが使用できる最大 DHCP クライアント数は 253 です。


) PIX Firewall DHCP サーバは、BOOTP 要求をサポートしていません。また、現バージョンの DHCP サーバは、フェールオーバー コンフィギュレーションもサポートしていません。


DHCP サーバ機能の実装に使用する PIX Firewall のコマンドについては、『 Cisco PIX Firewall Command Reference 』の、 dhcpd コマンドのページおよび debug コマンドのページに記載されています。詳細については、目的のコマンド ページを参照してください。

DHCP サーバ機能の設定

DHCP サーバ機能をイネーブルにする前に、必ず ip address コマンドを使用してインターフェイスの IP アドレスとサブネット マスクを設定します。


) PIX Firewall Version 6.3 以降では、どのインターフェイス上でも DHCP サーバをイネーブルにできます。以前のバージョンでは、DHCP サーバをイネーブルにできるのは内部インターフェイス上に限られます。


次の手順に従って、所定の PIX Firewall インターフェイス上で DHCP サーバ機能をイネーブルにします。


ステップ 1 dhcpd address コマンドを使用して DHCP アドレス プールを指定します。PIX Firewall は、クライアントに対して一定時間だけ使用可能なアドレスを 1 つこのプールから割り当てます。

次に例を示します。

dhcpd address 10.0.1.101-10.0.1.110 inside
 

) ネットワーク拡張モードを使用している場合は、内部インターフェイス上で DHCP サーバをイネーブルにしないでください。また、ネットワーク拡張モードでは DNS および WINS 情報は Easy VPN サーバからダウンロードされるポリシーの一部であるため、次の 2 つのステップ(ステップ 2 とステップ 3)は必要ありません。


ステップ 2 (オプション)クライアント モードを使用している場合は、クライアントが使用する DNS サーバの IP アドレスを指定します。DNS サーバは最大 2 つまで指定できます。

次に例を示します。

dhcpd dns 209.165.201.2 209.165.202.129
 

ステップ 3 (オプション)クライアント モードを使用している場合は、クライアントが使用する WINS サーバの IP アドレスを指定します。WINS サーバは最大 2 つまで指定できます。

次に例を示します。

dhcpd wins 209.165.201.5
 

ステップ 4 (オプション)クライアントに供与するリース期間を指定します。リース期間は、その期間が終了するまでクライアントがその割り当て IP アドレスを使用できる時間(秒)のことです。デフォルトの設定値は 3600 秒です。

次に例を示します。

dhcpd domain example.com
 

ステップ 5 (オプション)次のコマンドを入力して、クライアントが使用するドメイン名を設定します。

dhcpd domain example.com
 

ステップ 6 PIX Firewall 内の DHCP デーモンをイネーブルにし、イネーブルになったインターフェイス上で DHCP クライアント要求を受信できるようにします。

次に例を示します。

dhcpd enable inside
 

ステップ 7 (オプション) DHCP サーバに関するデバッグ情報を表示するには、次のコマンドを入力します。

debug dhcpd event
debug dhcpd packet
 


 

例4-2に、前の手順のコンフィギュレーション リストを示します。

例4-2 DHCP サーバのコンフィギュレーション

! set the ip address of the inside interface
ip address inside 10.0.1.2 255.255.255.0
! configure the network parameters the client will use once in the corporate network and
dhcpd address 10.0.1.101-10.0.1.110 inside
dhcpd dns 209.165.201.2 209.165.202.129
dhcpd wins 209.165.201.5
dhcpd lease 3000
dhcpd domain example.com
! enable dhcp server daemon on the inside interface
dhcpd enable inside
 

DHCP アドレス プールと DNS サーバ アドレスのコンフィギュレーションの例を示します。ここでは、内部インターフェイスがDHCP サーバ機能に対してイネーブルになっています。

dhcpd address 10.0.1.100-10.0.1.108 inside
dhcpd dns 209.165.200.227
dhcpd enable inside
 

次に DHCP アドレス プールの設定例を示します。ここでは、auto_config コマンドを使用して、dns、wins、および domain の各パラメータを設定します。

dhcpd address 10.0.1.100-10.0.1.108 inside
dhcpd auto_config outside
dhcpd enable inside
 

例4-3は、リモート オフィス内にある PIX Firewall での DHCP サーバと IPSec の機能設定の一部です。PIX 506/506E 装置の VPN ピアは、外部インターフェイス IP アドレスに 209.165.200.228 が割り当てられた、企業ネットワークのゲートウェイとして機能するもう 1 つの PIX Firewall です。

例4-3 IPSec を設定した DHCP サーバのコンフィギュレーション

! configure interface ip address on the inside and outside interfaces
ip address outside 209.165.202.129 255.255.255.0
ip address inside 172.17.1.1 255.255.255.0
! configure ipsec with corporate pix
access-list ipsec-peer permit ip 172.17.1.0 255.255.255.0 192.168.0.0 255.255.255.0
ipsec transform-set myset esp-des esp-sha-hmac
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address ipsec-peer
crypto map mymap 10 set transform-set myset
crypto map mymap 10 set peer 209.165.200.228
crypto map mymap interface outside
sysopt connection permit-ipsec
nat (inside) 0 access-list ipsec-peer
isakmp policy 10 authentication preshare
isakmp policy 10 encryption des
isakmp policy 10 hash sha
isakmp policy 10 group 1
isakmp policy 10 lifetime 3600
isakmp key 12345678 address 0.0.0.0 netmask 0.0.0.0
isakmp enable outside
!configure dhcp server pool of addresses
dhcpd address 172.17.1.100-172.17.1.109 inside
dhcpd dns 192.168.0.20
dhcpd wins 192.168.0.10
dhcpd lease 3000
dhcpd domain example.com
! enable dhcp server on inside interface
dhcpd enable inside
! use outside interface ip as PAT global address
nat (inside) 1 0 0
global (outside) 1 interface
 

DHCP サーバを利用した Cisco IP Phone の使用方法

Cisco IP テレフォニー VoIP ソリューションを実装する小規模な支社を持つ企業では、一般に本社で Cisco CallManager を実装し、支社の Cisco IP Phone を制御します。この実装により中央集中型のコール プロセッシングが可能となり、必要な機器を少なく抑え、支店側で Cisco CallManager およびその他のサーバを管理する必要がなくなります。

Cisco IP Phone では、コンフィギュレーションを TFTP サーバからダウンロードします。Cisco IP Phone の起動時に、IP アドレスと TFTP サーバの IP アドレスの両方が事前に設定されていない場合、Cisco IP Phone ではオプション 150 または 66 を伴う要求を DHCP サーバに送信して、この情報を取得します。

DHCP オプション 150 では、TFTP サーバのリストの IP アドレスが提供されます。

DHCP オプション 66 は RFC 2132(DHCP オプションおよび BOOTP ベンダー拡張)で定義されているもので、単一の TFTP サーバの IP アドレスまたはホスト名が提供されます。

Cisco IP Phone では、単一の要求にオプション 150 と 66 の両方が含まれることがあります。この場合、両者が PIX Firewall で設定されていると、PIX Firewall DHCP サーバは、その応答で両方のオプションに対する値を提供します。

Cisco IP Phone では、その要求に DHCP オプション 3 が含まれる場合もあります。PIX Firewall Version 6.0(1)ではこのオプションのサポートが追加され、デフォルト ルータの IP アドレスがリストにされます。

PIX Firewall Version 6.2 以降では、 dhcpd コマンド用のオプションが、次のように採用されています。

dhcpd option 66 ascii server_name
dhcpd option 150 ip server_ip1 [ server_ip2 ]

オプション 66 を使用するときは、server_name に TFTP ホスト名を指定します。オプション 66 を使用すると、1 つの TFTP サーバを識別できます。

オプション 150 を使用するときは、 server_ip1 にプライマリ TFTP サーバの IP アドレスを、 server_ip2 にセカンダリ TFTP サーバの IP アドレスを指定します。オプション 150 を使用すると、最大 2 つの TFTP サーバを識別できます。

オプション 66 またはオプション 150 をディセーブルにするには、次のコマンドのいずれか 1 つを入力します。

no dhcpd option 66
no dhcpd option 150
 

) PIX Firewall Version 6.2 以前では、DHCP サーバをイネーブルにできるのは内部インターフェイス上だけです。したがって、内部ネットワーク上の Cisco IP Phone またはその他のネットワーク デバイスからの DHCP オプション 150 および 66 要求に対してだけ、応答できます。PIX Firewall Version 6.3 以降では、どのインターフェイス上でも DHCP サーバをイネーブルにでき、そのインスタンスは必要な数だけ設定できます。


DHCP リレーの使用方法

PIX Firewall Version 6.3 には DHCP リレー エージェントが用意されています。このエージェントにより、PIX Firewall は内部イーサネット インターフェイス上で IP デバイス ホストのダイナミック コンフィギュレーションを処理できます。DHCP リレー エージェントとして動作することにより、PIX Firewall は内部インターフェイスのホストから要求を受信すると、要求を外部インターフェイスのユーザが設定した DHCP サーバへ転送します。

PIX Firewall の以前のバージョンでは、内部インターフェイス上のホストはスタティックに設定するか、または PIX Firewall DHCP サーバから提供されるアドレスを使用する必要があります。

DHCP リレー エージェントを使用する場合、次の制限が適用されます。

リレー エージェントはどのインターフェイス上のクライアント要求も受け入れて応答する。

PIX Firewall DHCP サーバがイネーブルになっている場合、リレー エージェントをイネーブルにできない。

IPSec が設定されている場合、リレー エージェントは要求を転送する。トンネルが存在しない場合は、VPN ネゴシエーションが開始されます。

クライアントは直接 PIX Firewall に接続する必要があり、ほかのリレー エージェントやルータを介して要求を送信できない。

DHCP リレーは、クライアント モードでは動作しません。


) 一部のタイプの NAT は、クライアントから DHCP サーバへの DHCP リリース メッセージの転送を許可するように指定する必要があります。


次のコマンドを使用して DHCP リレー エージェントをイネーブルにします。

[no] dhcprelay enable interface
 

interface には、インターフェイスの名前を指定します。

次のコマンドを使用して、リレー エージェントの DHCP サーバ アドレスを設定します。

[no] dhcprelay server dhcp_server_ip server_ifc
 

dhcp_server_ip には、DHCP サーバの IP アドレスを指定します。server_ifc には、DHCP サーバに接続されているインターフェイスを指定します。このコマンドを使用してサーバを最大 4 まで指定できます。

デフォルトでは、DHCP サーバが使用しているデフォルト ゲートウェイは、DHCP サーバ上で設定されます。PIX Firewall コンフィギュレーションで、DHCP サーバが使用するデフォルト ゲートウェイを指定するには、次のコマンドを入力します。

[no] dhcprelay setroute client_ifc

client_ifc には、デフォルト ゲートウェイとして使用される PIX Firewall インターフェイスを指定します。このインターフェイスは、DHCP クライアントが DHCP サーバへ到達するために使用します。

タイムアウトを設定するには、次のコマンドを使用します。

[no] dhcprelay timeout seconds
 

seconds には、リレー アドレス ネゴシエーションに許可する秒数を指定します。

次のコマンドを使用して、DHCP リレー エージェントのデバッグ情報を表示できます。

Debug dhcprelay event
Debug dhcprelay error
Debug dhcprelay packet
 

PIX Firewall DHCP クライアントの使用方法

ここでは、PIX Firewall 上で DHCP クライアントをイネーブルにし管理する方法について説明します。次の項目について説明します。

「概要」

「DHCP クライアントの設定」

「DHCP リースのリリースとリニューアル」

「DHCP クライアントのモニタリングとデバッグ」

概要

PIX Firewall の設計では、DHCP サーバ機能をサポートする DSL モデムまたはケーブル モデムに直接接続された PIX Firewall を使用して、SOHO 環境で使用することを目的に、DHCP クライアントをサポートしています。


) 外部インターフェイス上に限り、PIX Firewall の DHCP クライアントをイネーブルにできます。


PIX Firewall 上で DHCP クライアント機能をイネーブルにすると、PIX Firewall は DHCP サーバに対する DHCP クライアントとして機能します。これを行うことにより、サーバは、IP アドレス、サブネット マスク、およびオプションのデフォルト ルートで外部インターフェイスを設定できます。汎用 DHCP サーバから IP アドレスを取得するための DHCP クライアント機能の使用は、サポートされていません。また、PIX Firewall の DHCP クライアントでは、フェールオーバー コンフィギュレーションはサポートされていません。

DHCP が取得した外部インターフェイスの IP アドレスも、PAT グローバル アドレスとして使用できます。これにより、ISP はスタティック IP アドレスをPIX Firewall に割り当てる必要がなくなります。 interface キーワードを付けて global コマンドを使用すると、PAT は DHCP が取得した外部インターフェイスの IP アドレスを使用できるようになります。 global コマンドの詳細については、『 Cisco PIX Firewall Command Reference 』の global コマンドに関するページを参照してください。

DHCP クライアントの設定

所定の PIX Firewall インターフェイス上で DHCP クライアント機能をイネーブルにし、DHCP サーバを介してデフォルト ルートを設定するには、次のコマンドを入力します。

ip address outside dhcp [setroute] [retry retry_cnt]
 

ip address dhcp コマンドを使用すると、外部 PIX Firewall インターフェイスの DHCP クライアント機能がイネーブルになります。オプションの setroute 引数は、PIX Firewall に対して、DHCP サーバが返すデフォルトのゲートウェイ パラメータを使用してデフォルト ルートを設定するように指示します。 setroute 引数が設定されている場合、 show route コマンドを使用すると、DHCP サーバによって設定されたデフォルト ルートが表示されます。


ip address dhcp コマンドの setroute 引数を使用するときは、PIX Firewall にデフォルト ルートを設定しないでください。


DHCP リースのリリースとリニューアル

DHCP リースに関する現在の情報を表示するには、次のコマンドを入力します。

show ip address dhcp
 

DHCP リースを PIX Firewall からリリースおよびリニューアルするには、次のように ip address コマンドを再入力します。

ip address outside dhcp [setroute] [retry retry_cnt]
 

retry-cnt には、あらかじめ設定された要求の試行回数を指定します。DHCP デフォルト ルートをクリアするには、clear route static コマンドを使用します。


clear ip コマンドを使用しても DHCP リースのリリースとリニューアルが可能ですが、この場合はすべての PIX Firewall インターフェイスのコンフィギュレーションがクリアされます。


DHCP クライアントのモニタリングとデバッグ

次のコマンドは、DHCP クライアント機能に対するデバッグ ツールを提供します。

debug dhcpc packet

debug dhcpc detail

debug dhcpc error

DHCP クライアントのデバッグに使用する PIX Firewall コマンドについては、『 Cisco PIX Firewall Command Reference 』の debug コマンドのページに説明があります。詳細については、該当するコマンドのページを参照してください。