top of page

JANOG 51 NETCON 問題解説 (Level 2-5)

JANOG 51 にスタッフ(NETCON委員)として参加させていただきました。 作成した問題について、回答と解説を記載します。 私の作成した問題は以下となっています。

Level 2-5 PPPoE & NAT 問題

技術要素

  • PPPoE、スタティックルーティング、NAT(PAT)、ACL

構成解説

  • CSR1000v x 4 (ISP、POI、NET、R1)、通信確認用端末(Linux) x 1

  • ユーザはR1とPC1にのみログイン可

問題文

貴方の会社はISPとIPアドレスが動的のフレッツPPPoE接続プランを契約しました。 ISPから接続用IDとPWが払い出されたのでR1に設定し、PPPoE接続自体は成功しましたが、 インターネット側と通信が出来ません。

ISPに相談したところ、以下の回答が来ました。 認証は正常に通っている グローバルIPアドレスの払い出しは成功している


以下のトラブルを解決してください。

①R1がインターネットと通信できません。  R1から 8.8.8.8 にpingが通るようにしてください。 ②PC1がインターネットと通信できません。  PC1から 8.8.8.8 にpingが通るようにしてください。

ただし、トラブル①②共に以下の制限があります。

・R1以外の機器の設定を変更してはいけません。 ・インターフェースを追加したり、既存のインターフェースのIPアドレス設定を変更してはいけません。 ・R1のGigiabitEthernet1インターフェースは管理用のため、設定を変更してはいけません。  (機器にログイン出来なくなります) ・static route 以外の方法でデフォルトルートを設定してはいけません ・PPPoEの対向装置(NTE)は変動する可能性があるため、static route は特定のネクストホップを指定せず、  出力インターフェースのみを指定してください。 ・ACLは既存の access-list 10 以外を使用してはいけません。ただし、 access-list 10 の内容を変更することは可能です。

制約事項

  • ユーザがログイン出来るのはR1とPC1のみ

  • static route 以外の方法でデフォルトルートを設定することはNG

  • PPPoEの対向装置(NTE)は変動する可能性があるため、スタティックルートをネクストホップで指定することは禁止

ゴール

以下の状態になること

■トラブル①

・R1から 8.8.8.8 への ping が成功する

R1#ping 8.8.8.8Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/10/47 ms



■トラブル②

・PC1から 8.8.8.8 への ping が成功する

PC1:~$ ping 8.8.8.8PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.64 bytes from 8.8.8.8: icmp_seq=1 ttl=252 time=2.44 ms64 bytes from 8.8.8.8: icmp_seq=2 ttl=252 time=1.64 ms64 bytes from 8.8.8.8: icmp_seq=3 ttl=252 time=1.65 ms64 bytes from 8.8.8.8: icmp_seq=4 ttl=252 time=1.43 ms64 bytes from 8.8.8.8: icmp_seq=5 ttl=252 time=1.45 ms

※設定を追加・修正したconfigも回答として送信してください。


問題解説

■トラブル①

初期状態

R1#ping 8.8.8.8 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

R1#show ppp all
Interface/ID OPEN+ Nego* Fail- Stage Peer Address Peer Name
------------ --------------------- -------- --------------- --------------------
Vi2 LCP+ IPCP+ LocalT 124.0.0.100 ENT

R1#show pppoe session 
1 client session
Uniq ID PPPoE RemMAC Port VT VA State
SID LocMAC VA-st Type
N/A 1 5000.0002.0002 Gi2 Di1 Vi2 UP 
5000.0001.0001 UP

R1#show ip int b
Interface IP-Address OK? Method Status Protocol
GigabitEthernet1 10.0.0.15 YES manual up up
GigabitEthernet2 unassigned YES unset up up 
GigabitEthernet3 192.168.0.1 YES TFTP up up 
GigabitEthernet4 unassigned YES unset administratively down down 
Dialer1 123.0.0.0 YES IPCP up up 
Virtual-Access1 unassigned YES unset up up 
Virtual-Access2 unassigned YES TFTP up up

R1#show ip route | begin Gateway
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.0.0.0/24 is directly connected, GigabitEthernet1
L 10.0.0.15/32 is directly connected, GigabitEthernet1
123.0.0.0/32 is subnetted, 1 subnets
C 123.0.0.0 is directly connected, Dialer1
124.0.0.0/32 is subnetted, 1 subnets
C 124.0.0.100 is directly connected, Dialer1
192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.0.0/24 is directly connected, GigabitEthernet3
L 192.168.0.1/32 is directly connected, GigabitEthernet3


R1#traceroute 8.8.8.8
Type escape sequence to abort.
Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
1 * * * 
2 * * * 
3 *

→ルーティングの問題


R1#sh run | sec route
ip route 0.0.0.0 0.0.0.0 GigabitEthernet2

→デフォルトルートの出力インターフェースが物理IFになっている。


デフォルトルートの出力IFを Dialer 1 に修正

R1(config)#no ip route 0.0.0.0 0.0.0.0 GigabitEthernet2
R1(config)#ip route 0.0.0.0 0.0.0.0 dialer 1

R1#show ip route | be Gateway
Gateway of last resort is 0.0.0.0 to network 0.0.0.0

S* 0.0.0.0/0 is directly connected, Dialer1
123.0.0.0/32 is subnetted, 1 subnets
C 123.0.0.0 is directly connected, Dialer1
124.0.0.0/32 is subnetted, 1 subnets
C 124.0.0.100 is directly connected, Dialer1
192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.0.0/24 is directly connected, GigabitEthernet3
L 192.168.0.1/32 is directly connected, GigabitEthernet3



R1#ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/9 ms

→ ping 成功



【誤回答例①】

スタティックデフォルトルートを使用せずに、以下を設定することでもデフォルトルートを 注入することが出来ますが、今回はstatic route 以外の方法でデフォルトルートを設定することは 禁止されています


int di1
 ppp ipcp route default
 shut
 no shut


【誤回答例②】

スタティックデフォルトルートのネクストホップをPPPoEの対向先:124.0.0.100 に変更することでも 通信できますが、今回はネクストホップの指定は禁止されています

no ip route 0.0.0.0 0.0.0.0 GigabitEthernet1
ip route 0.0.0.0 0.0.0.0 124.0.0.100




■トラブル②


初期状態

PC1:~$ ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.

--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1032ms

→応答なし  (R1のデフォルトルート修正前は Destination Host Unreachable が返る)


R1#sh ip nat trans
Total number of translations: 0

→NAT変換されていない


R1#sh run | sec nat
ip nat outside
ip nat inside
ip nat inside source list 10 interface GigabitEthernet2 overload
destination transport-method http

→物理IFが指定されている


R1#sh run int g2
Building configuration...
Current configuration : 173 bytes
!
interface GigabitEthernet2
no ip address
ip nat outside
negotiation auto
pppoe enable group global
pppoe-client dial-pool-number 1
no mop enabled
no mop sysid
end
R1#sh run int di1
Building configuration...
Current configuration : 218 bytes
!
interface Dialer1
ip address negotiated
ip mtu 1454
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname User1@isp1.com
ppp chap password 0 Password1

→物理IFに ip nat outside が指定されている


R1#sh access-lists 
Standard IP access list 10
10 deny 192.168.0.0, wildcard bits 0.0.0.255
Extended IP access list meraki-fqdn-dns

→ACLで deny しか設定されていない


設定修正

R1(config)#no ip nat inside source list 10 interface GigabitEthernet2 overload
R1(config)#ip nat inside source list 10 interface dialer 1 overload

R1(config)#int di 1 
R1(config-if)#ip nat outside

R1(config-if)#no access-list 10
R1(config)#access-list 10 permit 192.168.0.0 0.0.0.255

PC1:~$ ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=252 time=2.44 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=252 time=1.64 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=252 time=1.65 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=252 time=1.43 ms
64 bytes from 8.8.8.8: icmp_seq=5 ttl=252 time=1.45 ms

R1#sh ip nat translations 
Pro Inside global Inside local Outside local Outside global
icmp 123.0.0.0:53849 192.168.0.100:53849 8.8.8.8:53849 8.8.8.8:53849
icmp 123.0.0.0:53081 192.168.0.100:53081 8.8.8.8:53081 8.8.8.8:53081
icmp 123.0.0.0:53593 192.168.0.100:53593 8.8.8.8:53593 8.8.8.8:53593
icmp 123.0.0.0:53337 192.168.0.100:53337 8.8.8.8:53337 8.8.8.8:53337
icmp 123.0.0.0:52825 192.168.0.100:52825 8.8.8.8:52825 8.8.8.8:52825
Total number of translations: 5




補足

PPPoEサービスをご利用のお客様より「デフォルトルートのIPアドレスは何を指定すれば良いのか?」というお問合せを頂くことがあります。 PPPoEの対向となるフレッツ網終端装置:NTE は接続の都度決定されるため、特定のIPアドレスをネクストホップに指定することが出来ません。 また、デフォルトルートをインターネット側に向けたい場合には、出力インターフェースを物理インターフェースではなく、 PPPoE用仮想インターフェース(Dialerインターフェース)に指定します。 NAT(PAT)の外部インターフェースの指定も同様となります。

Cisco:端末型払い出し方式で IP アドレスを提供するサービスプロバイダへの PPPoE 接続設定例 https://www.cisco.com/c/ja_jp/support/docs/long-reach-ethernet-lre-digital-subscriber-line-xdsl/pppoe-pppoa-ppp-over-ethernet-ppp-over-atm/pppoe-client.html#06



初期コンフィグ

ISP

​hostname ISP no ip domain lookup

interface Loopback0 ip address 8.8.8.8 255.255.255.255

interface GigabitEthernet2 ip address 150.0.0.1 255.255.255.252 no shutdown

interface GigabitEthernet3 ip address 200.0.0.1 255.255.255.0 no shutdown

ip route 123.0.0.0 255.255.255.248 150.0.0.2

POI

​hostname POI no ip domain lookup


interface GigabitEthernet2 ip address 150.0.0.2 255.255.255.252 no shutdown


interface GigabitEthernet3 ip address 100.0.0.1 255.255.255.252 no shutdown


ip route 0.0.0.0 0.0.0.0 150.0.0.1 ip route 123.0.0.0 255.255.255.248 100.0.0.2

NTE

hostname NTE no ip domain lookup

username User1@isp1.com password 0 Password1

bba-group pppoe PPPOE-GROUP1 virtual-template 1

interface Loopback0 ip address 124.0.0.100 255.255.255.255

interface GigabitEthernet2 ip address 100.0.0.2 255.255.255.252 no shutdown

interface GigabitEthernet3 no ip address pppoe enable group PPPOE-GROUP1 no shutdown

interface Virtual-Template1 mtu 1454 ip unnumbered Loopback0 peer default ip address pool POOL1 ppp authentication chap

ip local pool POOL1 123.0.0.0 123.0.0.7

ip route 0.0.0.0 0.0.0.0 100.0.0.1

R1

hostname R1 no ip domain lookup


interface GigabitEthernet2 no ip address pppoe enable group global pppoe-client dial-pool-number 1 no shutdown ip nat outside ## 誤り

interface GigabitEthernet3 ip address 192.168.0.1 255.255.255.0 ip nat inside ip tcp adjust-mss 1414 no shutdown

interface Dialer1 ip address negotiated ip mtu 1454 # ip nat outside encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication chap callin ppp chap hostname User1@isp1.com ppp chap password 0 Password1

# ip nat inside source list 10 interface Dialer1 overload ip nat inside source list 10 interface GigabitEthernet2 overload ## 誤り

# ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 0.0.0.0 0.0.0.0 GigabitEthernet2 ## 誤り


#access-list 10 permit 192.168.0.0 0.0.0.255

ip access-list standard 10 10 deny 192.168.0.0 0.0.0.255 ## 誤り


dialer-list 1 protocol ip permit


タグ:

留言

最新記事
アーカイブ
タグから検索
ソーシャルメディア
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square
bottom of page