Ciscoルータでフレッツ光サービス情報サイト（フレッツ・スクウェア）に接続する

こんばんは。tukapiyoです。
Ciscoルータはおそらく今月中に退役予定なので（設置してから2ヶ月も経たないのですけど）、その前に設定情報を記事にしておこうと思います。

この記事では、Ciscoルータを使って、NTT東西が提供しているフレッツ光のサービス情報サイトへの接続に必要な設定を紹介します。

前提

この記事の前提は以下の通りです。

• Cisco 891FJ
• Version 15.7(3)M4a
• フレッツ光サービス情報サイト（PPPoE IPv4）への接続を行う
  • IPv6ではない
  • NGN回線（フレッツ光シリーズ）対象
    • Bフレッツ、フレッツADSLは対象外
• 通常のインターネットは別途PPPoEが設定されている
  • 通常のインターネット＋サービス情報サイトへのPPPoEマルチセッションを設定する
• サービス情報サイト接続方法｜サービス情報サイト（NGN IPv4）を参考に設定します

やることの方針

前提に示したようなことを行うためには、ざっくり次のような方針で設定をします。

• PPPoEマルチセッションの設定
  • 大前提ですね。
• それぞれにNAPT（PAT）の設定
  • グローバルIPへの変換が必要になります。
• ルーティングの振り分けを設定
  • フレッツのグローバルIPアドレスのネクストホップを、サービス情報サイトのPPPoEに向けます。
• ドメイン名毎にリゾルバの振り分けを設定
  • *.v4flets-east.jpへのアクセスだけ、フレッツのDNSサーバへ向けます。

具体的な設定

PPPoEマルチセッションの設定

Dialer1に通常のインターネットを設定しているとして、Dialer2にサービス情報サイトのPPPoEを設定します。またGi8がWANポートなので、このポートを利用してPPPoEセッションを張ります。

interface Dialer2
 mtu 1454
 ip address negotiated
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1414
 dialer pool 2
 dialer idle-timeout 0
 dialer-group 2
 ppp authentication chap callin
 ppp chap hostname guest@v4flets-east.jp
 ppp chap password 0 guest
!
interface GigabitEthernet8
 pppoe-client dial-pool-number 2

NAPT（PAT）の設定

NAPTは、通常のインターネットとサービス情報サイトで宛先毎に分ける必要があります。そのためroute-mapを使います。

まずフレッツ用グローバルIPアドレスと、プライベートIPアドレスのグループを作成します。

object-group network N_FLETS
 123.107.190.0 255.255.255.0
 220.210.194.0 255.255.255.128
!
object-group network N_PRIVATE
 10.0.0.0 255.0.0.0
 172.16.0.0 255.240.0.0
 192.168.0.0 255.255.0.0

その後route-mapで利用するための拡張ACLを設定します。
フレッツ宛、プライベート宛をそれぞれ設定しています。

ip access-list extended RMACL_FLETS
 permit ip any object-group N_FLETS
ip access-list extended RMACL_PRIVATE
 permit ip any object-group N_PRIVATE

インターネット用とフレッツ用のroute-mapを作成します。

• インターネット用は、サービス情報サイトとプライベートIPアドレス宛をdenyし、それ以外をpermitします。
• フレッツ用は、サービス情報サイト宛をpermitします。

route-map RM_INTERNET deny 1
 match ip address RMACL_FLETS RMACL_PRIVATE
!
route-map RM_INTERNET permit 2
!
route-map RM_FLETS permit 1
 match ip address RMACL_FLETS

作成したroute-mapをDialerそれぞれに設定します。

ip nat inside source route-map RM_INTERNET interface Dialer1 overload
ip nat inside source route-map RM_FLETS interface Dialer2 overload

ルーティングの振り分け設定

さらにサービス情報サイト宛のルーティングをDialer2に向けておきます。

ip route 123.107.190.0 255.255.255.0 Dialer2
ip route 220.210.194.0 255.255.255.128 Dialer2

ドメイン名毎にリゾルバの振り分け（split-dns）

サービス情報サイトで利用されるドメイン名v4flets-east.jpの解決を、フレッツ側のDNSサーバで行うように設定します。

フレッツ側のDNSサーバを参照する設定（view）を入れます。

ip dns view VIEW_FLETS
 domain name-server 123.107.190.7
 domain name-server 123.107.190.8
 domain resolver source-interface Dialer2

通常の名前解決と、サービス情報サイトの名前解決を分けるために、view-listを設定をします。

• v4flets-east.jpのみを解決させるpermitルールを、VIEW_FLETSに紐付け
• v4flets-east.jpのみを解決させないdenyルールを、defaultに紐付け

ip dns name-list 1 permit .V4FLETS-EAST.JP
ip dns name-list 2 deny .V4FLETS-EAST.JP 
!
ip dns view-list DNS_INTERNAL
 view VIEW_FLETS 11
  restrict name-group 1
 view default 100
  restrict name-group 2

最後に上記で設定したview-listを適用します。

ip dns server view-group DNS_INTERNAL

まとめ

VyOS等の他のルータ製品より、設定がややこしい印象があります。
参考になれば幸いです。