PPP over Ethernet と NAT の設定
この章では、Cisco 819、Cisco 860、Cisco 880、および Cisco 890 シリーズ サービス統合型ルータ(ISR)で設定できる Point-to-Point Protocol over Ethernet(PPPoE)クライアントおよびネットワーク アドレス変換(NAT)の概要について説明します。
概要
ルータの背後の LAN には、複数の PC を接続できます。これらの PC からのトラフィックは PPPoE セッションに送信する前に暗号化やフィルタリングなどを行うことができます。図 15 に、Cisco ルータに PPPoE クライアントと NAT を設定する一般的な展開シナリオを示します。
図 1. PPP over Ethernet と NAT
1
|
複数のネットワーク デバイス:デスクトップ、ラップトップ PC、スイッチ
|
2
|
ファスト イーサネット LAN インターフェイス(NAT の内部インターフェイス)
|
3
|
PPPoE クライアント:Cisco 860、Cisco 880、または Cisco 890 ISR
|
4
|
NAT が実行されるポイント
|
5
|
ファスト イーサネット WAN インターフェイス(NAT 用の外部インターフェイス)
|
6
|
ケーブル モデムまたはインターネットに接続している他のサーバ
|
7
|
クライアントと PPPoE サーバ間の PPPoE セッション
|
PPPoE
ルータ上の PPPoE クライアント機能により、イーサネット インターフェイスでの PPPoE クライアント サポートが可能になります。仮想アクセスのクローニングには、ダイヤラ インターフェイスを使用する必要があります。イーサネット インターフェイスには、複数の PPPoE クライアント セッションを設定できますが、セッションごとに別個のダイヤラ インターフェイスと別個のダイヤラ プールを使用する必要があります。
PPPoE セッションが Cisco 819、Cisco 860 または Cisco 880 ISR によってクライアント側で開始されます。確立された PPPoE クライアント セッションは、次のいずれかの方法で終了できます。
- clear vpdn tunnel pppoe コマンドを入力する。PPPoE クライアント セッションが終了し、PPPoE クライアントはただちにセッションの再確立を試みます。セッションがタイムアウトした場合にも、この動作が発生します。
- セッションをクリアする nopppoe-clientdial-pool number コマンドを入力する。PPPoE クライアントは、セッションの再確立を試みません。
NAT
NAT(Cisco ルータの端に点線で表示)は、2 つのアドレス指定ドメインと内部送信元アドレスを示します。送信元リストには、パケットがネットワークをどのように通過するかが定義されます。
設定作業
次の作業を実行して、このネットワーク シナリオを設定します。
この設定タスクの結果を示す例は、設定例にあります。
バーチャル プライベート ダイヤルアップ ネットワーク グループ番号の設定
バーチャル プライベート ダイヤルアップ ネットワーク(VPDN)を設定すると、複数のクライアントが 1 つの IP アドレスを使用してルータを介して通信できるようになります。
VPDN を設定するには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要1.
vpdnenable
2.
vpdn-group name
3.
request-dialin
4.
protocol {l2tp | pppoe}
5.
exit
6.
exit
手順の詳細 | コマンドまたはアクション | 目的 |
---|
ステップ 1 | vpdnenable
例:
Router(config)# vpdn enable
|
ルータで VPDN をイネーブルにします。
|
ステップ 2 | vpdn-group name
例:
Router(config)# vpdn-group 1
|
VPDN グループを作成し、カスタマーまたは VPDN プロファイルに関連付けます。
|
ステップ 3 | request-dialin
例:
Router(config-vpdn)# request-dialin
|
ダイヤリング方向を示す request-dialin VPDN サブグループを作成し、トンネルを開始します。
|
ステップ 4 | protocol {l2tp | pppoe}
例:
Router(config-vpdn-req-in)# protocol pppoe
|
VPDN サブグループが確立できるセッションのタイプを指定します。
|
ステップ 5 | exit
例:
Router(config-vpdn-req-in)# exit
|
request-dialin VPDN グループのコンフィギュレーション モードを終了します。
|
ステップ 6 | exit
例:
Router(config-vpdn)# exit
|
VPDN コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。
|
イーサネット WAN インターフェイスの設定
このシナリオでは、PPPoE クライアント(Cisco ルータ)が、内部および外部インターフェイスの 10/100 Mbps イーサネット インターフェイスと通信します。
ファスト イーサネット WAN インターフェイスを設定するには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要1.
interface type number
2.
pppoe-clientdial-pool-number number
3.
noshutdown
4.
exit
手順の詳細 | コマンドまたはアクション | 目的 |
---|
ステップ 1 | interface type number
例:
Router(config)# interface fastethernet 4
or
例:
Router(config)# interface gigabitethernet 4
|
WAN インターフェイスのインターフェイス コンフィギュレーション モードを開始します。
|
ステップ 2 | pppoe-clientdial-pool-number number
例:
Router(config-if)# pppoe-client dial-pool-number 1
|
PPPoE クライアントを設定し、クローニングに使用するダイヤラ インターフェイスを指定します。
|
ステップ 3 | noshutdown
例:
Router(config-if)# no shutdown
|
ファスト イーサネット インターフェイスとそれに対して行った設定変更をイネーブルにします。
|
ステップ 4 | exit
例:
Router(config-if)# exit
|
ファスト イーサネット インターフェイスのコンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードに戻ります。
|
次の作業
イーサネット運用管理およびメンテナンス
イーサネット運用管理およびメンテナンス(OAM)は、イーサネット メトロポリタン エリア ネットワーク(MAN)およびイーサネット WAN の設置、モニタリング、トラブルシューティングのためのプロトコルで、開放型システム間相互接続(OSI)モデルのデータ リンク層の新しいオプション サブレイヤを使用します。このプロトコルによって提供される OAM の機能には、ディスカバリ、リンク モニタリング、リモート障害検知、リモート ループバック、および Cisco Proprietary Extension(シスコ独自の拡張機能)があります。
イーサネット OAM の設定および構成情報については、『Carrier Ethernet Configuration Guide』の「Using Ethernet Operations, Administration, and Maintenance」を参照してください。
ダイヤラ インターフェイスの設定
ダイヤラ インターフェイスは、デフォルトのルーティング情報、カプセル化プロトコル、および使用するダイヤラ プールなど、クライアントからのトラフィックを処理する方法を示します。ダイヤラ インターフェイスは、仮想アクセスのクローニングにも使用されます。ファスト イーサネット インターフェイスには、複数の PPPoE クライアント セッションを設定できますが、セッションごとに別個のダイヤラ インターフェイスと別個のダイヤラ プールを使用する必要があります。
ファスト イーサネット LAN インターフェイスのダイヤラ インターフェイスの 1 つをルータで設定するには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要1.
interfacedialer dialer-rotary-group-number
2.
ipaddressnegotiated
3.
ipmtu bytes
4.
encapsulation encapsulation-type
5.
pppauthentication {protocol1 [protocol2...]}
6.
dialerpool number
7.
dialer-group group-number
8.
exit
9.
dialer-listdialer-groupprotocolprotocol-name {permit | deny | list access-list-number | access-group}
10.
iprouteprefix mask {interface-type interface-number}
手順の詳細 | コマンドまたはアクション | 目的 |
---|
ステップ 1 | interfacedialer dialer-rotary-group-number
例:
Router(config)# interface dialer 0
|
ダイヤラ インターフェイスを作成します。続いて、インターフェイス コンフィギュレーション モードを開始します。
|
ステップ 2 | ipaddressnegotiated
例:
Router(config-if)# ip address negotiated
|
インターフェイスの IP アドレスを PPP/IPCP(IP Control Protocol)アドレス ネゴシエーションで取得することを指定します。
|
ステップ 3 | ipmtu bytes
例:
Router(config-if)# ip mtu 1492
|
IP 最大伝送単位(MTU)のサイズを設定します。
- デフォルトの最小値は 128 バイトです。イーサネットの最大値は 1492 バイトです。
|
ステップ 4 | encapsulation encapsulation-type
例:
Router(config-if)# encapsulation ppp
|
送受信中のデータ パケットに対するカプセル化タイプを PPP に設定します。
|
ステップ 5 | pppauthentication {protocol1 [protocol2...]}
例:
Router(config-if)# ppp authentication chap
|
PPP 認証方式を Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェイク認証プロトコル)に設定します。
このコマンドと設定可能な追加パラメータについては、『Cisco IOS Security Command Reference』を参照してください。
|
ステップ 6 | dialerpool number
例:
Router(config-if)# dialer pool 1
|
特定の宛先サブ ネットワークへの接続に使用するダイヤラ プールを指定します。
|
ステップ 7 | dialer-group group-number
例:
Router(config-if)# dialer-group 1
|
ダイヤラ グループにダイヤラ インターフェイスを割り当てます。
ヒント
|
ダイヤラ グループを使用して、ルータへのアクセスを制御します。
|
|
ステップ 8 | exit
例:
Router(config-if)# exit
|
ダイヤラ 0 のインターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。
|
ステップ 9 | dialer-listdialer-groupprotocolprotocol-name {permit | deny | list access-list-number | access-group}
例:
Router(config)# dialer-list 1 protocol ip permit
|
ダイヤラ リストを作成し、ダイヤル グループを関連付けます。パケットは、指定されたインターフェイス ダイヤラ グループを通じて転送されます。
このコマンドの詳しい説明およびその他の設定可能なパラメータについては、『Cisco IOS Dial Technologies Command Reference』を参照してください。
|
ステップ 10 | iprouteprefix mask {interface-type interface-number}
例:
Router(config)# ip route 10.10.25.2 255.255.255.255 dialer 0
|
ダイヤラ 0 インターフェイスのデフォルト ゲートウェイに IP ルートを設定します。
|
ネットワーク アドレス変換の設定
ネットワーク アドレス変換(NAT)は、ダイヤラ インターフェイスによって割り当てられたグローバル アドレスを使用して、標準のアクセス リストに一致するアドレスからのパケットを変換します。内部インターフェイスを介してルータに到達したパケット、ルータから発信されたパケット、またはその両方のパケットについて、可能なアドレス変換がアクセス リストで確認されます。NAT には、スタティック アドレス変換もダイナミック アドレス変換も設定できます。
外部ファスト イーサネット WAN インターフェイスをダイナミック NAT で設定するには、グローバル コンフィギュレーション モードで次の手順を実行します。
手順の概要1.
ipnatpool name start-ip end-ip {netmask netmask | prefix-length prefix-length}
2.
次のいずれかを実行します。
3.
interface type number
4.
ipnat {inside | outside}
5.
noshutdown
6.
exit
7.
interface type number
8.
ipnat {inside | outside}
9.
noshutdown
10.
exit
11.
access-list access-list-number {deny | permit} source [source-wildcard]
手順の詳細 | コマンドまたはアクション | 目的 |
---|
ステップ 1 | ipnatpool name start-ip end-ip {netmask netmask | prefix-length prefix-length}
例:
Router(config)# ip nat pool pool1 192.168.1.0 192.168.2.0 netmask 255.255.252.0
|
NAT 用のグローバル IP アドレスのプールを作成します。
|
ステップ 2 | 次のいずれかを実行します。
|
内部インターフェイス上のダイナミック アドレス変換をイネーブルにします。
最初の例は、アクセス リスト 1 で許可されたアドレスが、ダイヤラ インターフェイス 0 に指定されているいずれかのアドレスに変換されることを示しています。
2 番目の例は、アクセス リスト acl1 で許可されたアドレスが、NAT プール pool1 に指定されたいずれかのアドレスに変換されることを示しています。
|
ステップ 3 | interface type number
例:
Router(config)# interface vlan 1
|
NAT の内部インターフェイスにする VLAN(ファスト イーサネット LAN インターフェイス(FE0–FE3)が存在する)に対して、コンフィギュレーション モードを開始します。
|
ステップ 4 | ipnat {inside | outside}
例:
Router(config-if)# ip nat inside
|
指定の VLAN インターフェイスを NAT の内部インターフェイスとして識別します。
|
ステップ 5 | noshutdown
例:
Router(config-if)# no shutdown
|
イーサネット インターフェイスに対する設定変更をイネーブルにします。
|
ステップ 6 | exit
例:
Router(config-if)# exit
|
ファスト イーサネット インターフェイスのコンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードに戻ります。
|
ステップ 7 | interface type number
例:
Router(config)# interface fastethernet 4
|
NAT の外部インターフェイスとするファスト イーサネット WAN インターフェイス(FE4 または NAT)に対して、コンフィギュレーション モードを開始します。
|
ステップ 8 | ipnat {inside | outside}
例:
Router(config-if)# ip nat outside
|
指定の WAN インターフェイスを NAT の外部インターフェイスとして識別します。
|
ステップ 9 | noshutdown
例:
Router(config-if)# no shutdown
|
イーサネット インターフェイスに対する設定変更をイネーブルにします。
|
ステップ 10 | exit
例:
Router(config-if)# exit
|
ファスト イーサネット インターフェイスのコンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードに戻ります。
|
ステップ 11 | access-list access-list-number {deny | permit} source [source-wildcard]
例:
Router(config)# access-list 1 permit 192.168.1.0 255.255.255.0
|
変換が必要なアドレスを示す標準アクセス リストを定義します。
(注)
| その他のアドレスはすべて、暗黙的に拒否されます。 |
|
次の作業
 (注) |
仮想テンプレート インターフェイスとともに NAT を使用するには、ループ バック インターフェイスを設定する必要があります。ループバック インターフェイスの設定については、第 3 章「ルータの基本設定」を参照してください。
|
NAT コマンドの詳細については、Cisco NX-OS Release 4.1 のマニュアル セットを参照してください。NAT の概念の概要については、付録 A「Cisco IOS ソフトウェアの基礎知識」を参照してください。
設定例
次の設定例は、この章で説明した PPPoE シナリオのコンフィギュレーション ファイルの一部を示しています。
VLAN インターフェイスの IP アドレスは 192.168.1.1、サブネット マスクは 255.255.255.0 です。NAT は内部と外部に設定されています。
 (注) |
showrunning-config コマンドを実行すると、「(default)」でマークされたコマンドが自動的に生成されます。
|
vpdn enable
vpdn-group 1
request-dialin
protocol pppoe
!
interface vlan 1
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast (default)
ip nat inside
interface FastEthernet 4
no ip address
no ip directed-broadcast (default)
ip nat outside
pppoe enable group global
pppoe-client dial-pool-number 1
no sh
!
interface dialer 0
ip address negotiated
ip mtu 1492
encapsulation ppp
ppp authentication chap
dialer pool 1
dialer-group 1
!
dialer-list 1 protocol ip permit
ip nat inside source list 1 interface dialer 0 overload
ip classless (default)
ip route 10.10.25.2 255.255.255.255 dialer 0
ip nat pool pool1 192.168.1.0 192.168.2.0 netmask 255.255.252.0
ip nat inside source list acl1 pool pool1
!
設定の確認
PPPoE クライアントと NAT の設定を確認するには、特権 EXEC モードで show ip nat statistics コマンドを使用します。次の例のような確認用の出力が表示されます。
Router# show ip nat statistics
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
FastEthernet4
Inside interfaces:
Vlan1
Hits: 0 Misses: 0
CEF Translated packets: 0, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 interface Dialer0 refcount 0
Queued Packets: 0