Cisco 1812Jを使って、ISPから払い出される固定IP8個を利用するPPPoE設定を行います。
今まで端末払い出し方式(固定IP1個)を採用していて、DMZへのサービスにはポート転送を使い、Dialerインタフェースに入ってきた通信のうち、
- ポート443版はCiscoASA(リモートアクセスVPN)へ
- ポート80番は公開Webサーバへ
というように飛ばしていました。
ところが昨今では個人向けWebサーバも常時SSLは当然でしょ?的な傾向が強まっており、極めつけは「Chrome 68/70」によるブラウザ警告。サイトにアクセスすると「保護されていません」の赤文字警告。さすがに導入しないわけにも行かなくなってきました。しかしながらポート番号で振り分けていたポート転送も、公開WebサーバがSSLでポート443番を使ってしまうとリモートアクセスVPN接続用のSSL通信とカブってしまい、いよいよこのポート転送方式も破綻することとなります。そこで思い切って固定IP8個のサービスに切り替え、1812JもLAN払い出し方式を導入することにしました。
もちろん近年ではホスティングサービスも安価で安定したサービスが増えており、常時SSLがセットになっているサービスもありますが、そこはインフラ系エンジニアとして勉強も兼ねて実際に構築すべきでしょう!という結論に至りました。
目指すネットワーク構成とip unnumberedのおさらい
まず、ざっくりとしたネットワーク構成です。
下図のように、Fa1インタフェースから足を出すネットワークをDMZとし、そこにISPから払い出されたグローバルIP(29bitのネットワーク)をアサインします。IPをネットワーク単位で払い出すLAN払い出し方式においてはip unnumberedによる設定が必須となります。
ip unnumbered云々の話に入る前にCisco 1812Jの内部構造のおさらいです。上の図をレイヤ単位で論理的に分解すると下の図のようになります。
いまさらですが1812Jは2つのルーテッドポートと8つのスイッチポート持ったルータです。Fa0とFa1がルーテッドポートなので直接IPをアサインすることができますが、Fa2~Fa9まではスイッチポート専用となるためIPはアサインできません。かわりにVLANインタフェース(SVI)にはIPをアサインすることができます(下図で赤く塗りつぶした箇所)。
IPを払い出してもらうISPとのPPPoEセッションはDialerという論理的なインタフェースとの間で張る必要がありますが、DialerインタフェースもISPに繋がる物理インタフェース(図の場合だとFa0)と結びつける必要があります。
また、ip unnunberedは別のインタフェースからIPを借りてくる仕組みです。今回の例では下図のようにDialerインタフェース(D1)が、Fa1にアサインしたグローバルIPをip unnunberedにて借りてくることで、そのグローバルIPにてインターネット側と通信することができるようになります。
実装に関してはまた別途・・・