Cisco 892jでブロードバンドルーターを構築して自分でダメ出ししてみた(PPPoE接続)②

Cisco892Jでブロードバンドルーターを構築したけれど残念な箇所がいくつかあったので修正してみた。

Cisco 892jでブロードバンドルーターを構築して自分でダメ出ししてみた(PPPoE接続)①

Cisco 892jでブロードバンドルーターを構築して自分でダメ出ししてみた(PPPoE接続)

tech-memo.net

2021.10.24

コンフィグ

#####の部分はユーザー名、パスワードなどなのでそれぞれに再設定する必要あり。

Load for five secs: 5%/0%; one minute: 7%; five minutes: 5%
Time source is NTP, 09:25:57.638 JST Sun Oct 24 2021

Building configuration...

Current configuration : 3556 bytes
!
! Last configuration change at 09:18:22 JST Sun Oct 24 2021 by #####
! NVRAM config last updated at 09:25:44 JST Sun Oct 24 2021 by #####
!
version 15.1
service timestamps debug datetime msec localtime show-timezone year
service timestamps log datetime msec localtime show-timezone year
service password-encryption
!
hostname b-router
!
boot-start-marker
boot-end-marker
!
!
logging buffered 512000
enable secret 5 #####
!
no aaa new-model
!
clock timezone JST 9 0
clock calendar-valid
crypto pki token default removal timeout 0
!
!
no ip source-route
!
!
!
ip dhcp excluded-address 192.168.1.100 192.168.1.199
!
ip dhcp pool LAN
   network 192.168.1.0 255.255.255.0
   dns-server 192.168.1.1
   default-router 192.168.1.1
   domain-name test.local
!
!
ip cef
ip name-server 8.8.8.8
ip inspect log drop-pkt
ip inspect name INSPECT tcp
ip inspect name INSPECT udp
ip inspect name INSPECT ftp
no ipv6 cef
!
multilink bundle-name authenticated
parameter-map type inspect global
 log dropped-packets enable
license udi pid CISCO892-K9 sn #####
!
!
username ##### privilege 15 secret 5 #####
!
!
!
!
ip ssh logging events
ip ssh version 2
!
!
!
!
!
!
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0
 no ip address
 ip access-group 101 in
 duplex auto
 speed auto
 pppoe-client dial-pool-number 1
!
interface Vlan1
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Dialer0
 no ip address
 no cdp enable
!
interface Dialer1
 mtu 1454
 ip address negotiated
 ip access-group 101 in
 no ip unreachables
 ip nat outside
 ip inspect INSPECT out
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1414
 dialer pool 1
 dialer idle-timeout 0
 dialer persistent
 dialer-group 1
 ppp authentication chap callin
 ppp chap hostname #####@#####
 ppp chap password 7 #####
 ppp ipcp dns request accept
 ppp ipcp route default
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
ip dns server
ip nat inside source list LAN interface Dialer1 overload
!
ip access-list extended LAN
 permit ip 192.168.0.0 0.0.255.255 any
 permit ip 172.16.0.0 0.0.255.255 any
 permit ip 10.0.0.0 0.255.255.255 any
!
logging esm config
access-list 101 permit udp host 210.173.160.27 eq ntp any
access-list 101 permit udp host 210.173.160.57 eq ntp any
access-list 101 permit icmp any any
access-list 101 permit gre any any
access-list 101 deny   ip any any
dialer-list 1 protocol ip permit
no cdp run

!
!
!
!
!
!
control-plane
!
!
line con 0
 exec-timeout 0 0
 password 7 #####
 logging synchronous
 login
 exec prompt timestamp
 transport preferred none
line aux 0
 exec-timeout 0 0
 password 7 #####
 logging synchronous
 login
 exec prompt timestamp
 transport preferred none
line vty 0 4
 password 7 #####
 logging synchronous
 login local
 exec prompt timestamp
 transport preferred none
 transport input ssh
line vty 5 8
 password 7 #####
 login
 transport input telnet
line vty 9 15
 login local
 transport input ssh
!
ntp update-calendar
ntp server 210.173.160.27 prefer
ntp server 210.173.160.57 prefer version 3
end

修正箇所

以下を修正。

中→外の許可ACLを変更

テーマなく必要なセグメントだけ許可せずプライベートIPをすべて許可に変更

ip access-list extended LAN
 permit ip 192.168.0.0 0.0.255.255 any
 permit ip 172.16.0.0 0.0.255.255 any
 permit ip 10.0.0.0 0.255.255.255 any

CBACの設定に以下を追加

DROPしたパケットをログに吐くよう設定を変更

ip inspect log drop-pkt

以下も追加した方が良い、という話もあった。

ip inspect audit-trail

設定すると膨大なログが出力されるようになったので割愛。ログ出し過ぎて不安定になるとか本末転倒なので。

また、icmpとかGREも設定しようかと思ったけれど意図した形で動かなかったのでこれも実施せず。

MSSをDialer1に設定して、VLAN１のMSS設定を削除

パケットロスが発生するようなら変更を検討するも多分大丈夫でしょう。

 int dialer 1
 ip tcp adjust-mss 1414

DHCPの割り当てIPアドレスの範囲を設定

ipアドレスが被らないよう明示的に範囲を設定。

ip dhcp excluded-address 192.168.1.100 | 192.168.1.199

まとめ

これで少しはイケてるコンフィグに改善されることを期待。

今の契約プロバイダーは楽天なので、時間を作ってIPoE環境の場合の設定方法も試してみたい。

通信速度が大変早くなるらしいので。