フレッツ・光ネクスト、Bフレッツ、フレッツ・ADSLなどのPPPoE方式の回線にて、複数のIPアドレス(1/64C以上のアドレス空間)を割り当てる接続サービス利用する場合の設定方法を紹介します。Unnumbered機能を利用してWAN側(PPPoE)インタフェースにIPアドレスを割り当てずに接続することで、余計なグローバルアドレスの消費を抑えます。ここでは、工場出荷時の状態から設定する手順を解説します。

複数のグローバルアドレス(1/64C以上のアドレス空間)を割り当てる

概要

フレッツ・光ネクストなどのPPPoE方式の回線をSEILで終端し、SEILのLAN側ネットワークをグローバルアドレスで運用します。NAT/NAPTやLAN、DMZのセキュリティ管理はファイアウォールに任せて、SEILは接続性の確保のみを行います。IIJの「IIJ FiberAccess/F(1/64C)」などの複数のIPアドレスを割り当てる接続サービスを利用する際の基本的な設定例です。

構成図

設定方針

• SEILのWAN側のIPアドレスはunnumberedとします。
• SEILのLAN側ネットワークはグローバルアドレスで運用します。
• NAT/NAPTやLAN、DMZのセキュリティ管理はファイアウォールに任せ、SEILはコネクティビリティの確保のみ行います。

【設定情報】

ISP設定情報

PPP接続アカウント	test01@example.jp
PPPパスワード	PassWord
認証方式	CHAP
割り当てIPアドレス	172.16.1.0/29 (172.16.1.0 ～ 172.16.1.7)

インタフェースの設定

WAN側IPアドレス(pppoe0)	unnumbered
LAN側IPアドレス(lan0)	172.16.1.1/29(ルータアドレス)

ルーティングの設定

静的ルーティング

default → pppoe0(既定値)

設定手順

SEILにログインし、コマンドラインから以降の手順に従って設定をします。

Step.1 lan0インタフェースのアドレスを変更します。

工場出荷時のSEILにはlan0インタフェースのIPアドレスにプライベートアドレス"192.168.0.1/24"が設定されています。設定例ではグローバルアドレス"172.16.1.1/29"を使用しますので、IPアドレスを変更します。TelnetやSSHでLAN0ポートからログインしている場合はIPアドレスの変更により設定用ホストのIP設定の変更も必要になります。

# interface lan0 address 172.16.1.1/29

Step.2 ISPに対するログインIDや、接続条件などのインターネット接続に必要なパラメータを設定します。

# ppp add ISP01 keepalive 30 ipcp enable ipcp-address off ipcp-dns off ipv6cp disable authentication-method chap identifier test01@example.jp passphrase PassWord

keepalive 30

インターネット側からのアクセスがあることを想定しているので、接続状態を維持するためセッションキープアライブ機能を設定します。値はキープアライブパケットを送信する間隔(秒)です。

ipcp-address off

PPPoE unnumbered形態のサービスを利用する場合はIPCPのアドレスオプションを使用しません。WAN側(pppoe0インタフェース)のIPアドレスは、lan0インタフェースに設定したアドレスが使用されます。

ipcp-dns off

一般的に、LAN側ホストにグローバルアドレスを設定しDHCPサーバ機能を使用しない場合にはホストが使用するDNSサーバアドレスもホスト自身に直接設定しますので、DNSサーバアドレスの自動取得を"off"としています。

Step.3 PPPoEインタフェースを設定します。

# interface pppoe0 ppp-configuration ISP01
# interface pppoe0 unnumbered

ppp-configuration ISP01

pppコマンドで設定した"ISP01"のパラメータを使用します。

unnumbered

unnumberedインタフェースとして使用するために指定します。

Step.4 使用しない機能を停止します。また、不要な設定を削除します。（必須ではありません）

# ppp delete pppoe-sample
# nat napt delete all
# dhcp disable
# dns forwarder disable

1行目

デフォルトのPPP設定"pppoe-sample"の削除

2行目

デフォルトのNAT/NAPT設定の削除

3行目

DHCPサーバ機能の停止

4行目

DNSフォワーダ機能の停止

Step.5 管理パスワードの設定と外部からのログイン制限

管理者以外がSEILにログインして設定変更することを防ぐため、管理パスワードを設定します。設定したパスワードは、コンフィグ上では暗号化された状態となり、実際のパスワード文字列とは異なるものが表示されます。

# password admin
New password:********
Retype new password:********
# password user
New password:********
Retype new password:********

工場出荷状態のSEILでは、telnetdが有効になっており、LAN側、WAN側を問わず、すべてのインタフェースにてtelnetによるアクセスを受け付ける状態になっています。そのため、外部からのtelnetによるアクセスを防ぐフィルタを以下のように設定します。

# filter add TELNET interface pppoe0 direction in action block protocol tcp dstport 23 state disable logging on enable

また、工場出荷状態のSEILでは、httpdが有効になっており、LAN側、WAN側インタフェースにhttpでアクセスすると、管理用Webユーザインタフェースが利用できるようになっています。ここでは、telnetによる管理・運用を想定し、以下のコマンドでhttpd機能を無効化にします。

# httpd disable

Step.6 設定内容をフラッシュメモリに保存します。

# save-to flashrom

以上で設定は完了です。

回線の接続と接続状態の確認

管理パスワードの設定完了後ADSLモデムやメディアコンバータなど、WAN側(LAN1ポート)に接続する機器との配線を行います。PPPoE接続に必要な設定が完了している状態で回線がLAN1ポートに接続されるとSEILは自動的にPPPoE接続を開始しますので、接続状態・通信状態を確認してください。

設定内容(show config)

これまでの設定により、次のようなコンフィグになります。

hostname ""
timezone "Japan"
environment login-timer 300
option ip monitor-linkstate on
option ip update-connected-route on
option ipv6 monitor-linkstate on
option ipv6 update-connected-route on
ppp add ISP01 keepalive 30 ipcp enable ipcp-address off ipcp-dns off ipv6cp disable authentication-method chap identifier test01@example.jp passphrase PassWord tcp-mss auto
interface lan0 media auto
interface lan0 add 172.16.1.1/29
interface lan1 media auto
interface lan1 queue normal
interface lan2 media auto
interface pppoe0 over lan1
interface pppoe0 ppp-configuration ISP01
interface pppoe0 unnumbered
bridge disable
bridge ip-bridging on
bridge ipv6-bridging on
route add default pppoe0
route dynamic rip disable
route dynamic ospf disable
route dynamic redistribute static-to-rip disable
route dynamic redistribute static-to-ospf disable
route dynamic redistribute ospf-to-rip disable
route dynamic redistribute rip-to-ospf disable
route dynamic redistribute connected-to-rip enable
route dynamic redistribute connected-to-ospf enable
route dynamic pim-sparse disable
route6 dynamic ripng disable
route6 dynamic redistribute static-to-ripng disable
route6 dynamic redistribute connected-to-ripng enable
route6 dynamic pim-sparse disable
filter add TELNET interface pppoe0 direction in action block protocol tcp srcport 0-65535 dstport 23 state disable logging on enable
nat timeout 900
nat logging off
nat upnp off
nat upnp interface lan1
nat proxy sip add port 5060 protocol tcpudp
dhcp disable
dhcp mode server
dhcp interface lan0 enable
dhcp interface lan0 expire 24
dhcp interface lan0 pool 192.168.0.2 253
dhcp interface lan0 dns add 192.168.0.1
dhcp6 client disable
dhcp6 client interface pppoe0
dns forwarder disable
dns forwarder add ipcp
ntp disable
cbq link-bandwidth 10Mbps
snmp disable
snmp community "public"
snmp trap disable
syslog debug-level off
syslog facility local1
syslog remote off
translator timeout 300
encrypted-password admin MQfhFfqcxUpQI
encrypted-password user e7UaucJAGEFf.
encrypted-password-long admin $1$n/6wHCZW$WiTvb5ErQb7k8IbpZuDuE/
encrypted-password-long user $1$OQNo.NR2$QAudFQIw1JmR9e80d/.5a0
resolver disable
rtadvd disable
httpd disable
sshd hostkey rsa1 none
sshd hostkey rsa auto
sshd hostkey dsa auto
sshd disable
telnetd enable
vendor OEM