＜前頁 次頁＞ ＜＜ ＞＞ ↓ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）

PPPoE接続環境におけるIPsec VPN冗長構成

PPPoEでインターネットに接続している2つの拠点をIPsec(ESP)トンネル(仮想トンネルインターフェース)で結び、障害時の迂回が可能なVPN構築例です。本社（ルーターA：AR550S、ルーターB：AR550S）と支社（ルーターC：AR260S V2）のみを接続する構成とします。ルーターAとルーターB間でVRRP(Virtual Router Redundancy Protocol)を使用します。この際、ルーターAがマスター、ルーターBがバックアップとして動作します。通常、支社はルーターA経由で本社と通信を行いますが、障害発生時はルーターB経由で本社と通信を行うようになります。本社はグローバルアドレス（ルーターA：1個、ルーターB：1個）を固定で割り当てられ、支社はグローバルアドレス1個が動的に割り当てられていると仮定しています。

表 1

	ルーターA	ルーターB	ルーターC
ユーザーID（PPPユーザー名）	user1@example	user2@example	user3@example
パスワード（PPPパスワード）	password	password	password
サービス名	指定なし	指定なし	指定なし
グローバルIPアドレス	10.10.10.2/32	10.10.10.3/32	不定(動的取得)

表 2

	ルーターC
WAN側IPアドレス	自動取得(取得アドレスは不定)
LAN側IPアドレス	192.168.20.1/24
VPN接続設定
	マスターVPN	バックアップVPN
キープアライブ	有効(ハートビート)	有効(ハートビート)
仮想トンネルインターフェース	有効	有効
フェーズ2ローカルID	192.168.20.0/24	192.168.20.0/24
フェーズ2リモートID	192.168.10.0/24	192.168.10.0/24
リモートゲートウェイ	10.10.10.2	10.10.10.3
IKE設定
交換モード	アグレッシブ	アグレッシブ
事前共有鍵	secret-ac	secret-bc
暗号化認証アルゴリズム	3DES & SHA1-DH2	3DES & SHA1-DH2
フェーズ1ローカルID/フェーズ1リモートID	vpn_ac/なし	vpn_bc/なし
IPsec設定
暗号化認証アルゴリズム	ESP 3DES HMAC SHA1	ESP 3DES HMAC SHA1
PFSグループ	なし	なし

• ルーターCはアドレス不定のため、ルーターA、ルーターBからは接続を開始できません。常にルーターCから接続を開始することになります。
  
• ルーターAとルーターBは、VRRPによる冗長構成となります。ルーターAがマスターとなり、通常はルーターA経由での通信となります。
  
• 障害時には、ルーターB経由での通信となり、障害の復旧時にはルーターA経由の通信に戻ります。
  

ルーターA（AR550S）の設定

1. セキュリティーモードで各種設定を行うことができるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードも「secoff」とします。
   
   
   add user=secoff password=secoff priv=sec ↓
   
   
2. ISPへ接続するため、eth0インターフェース上にppp0を作成します。
   
   
   cre ppp=0 over=eth0-any ↓
   
   
3. ISPから通知されたユーザー名、パスワードを設定します。ISDN回線向けの機能であるBAPは無効化し、LCP ECHOによるPPPセッション監視を有効化します。
   
   
   set ppp=0 over=eth0-any user=user1@example password=password lqr=off bap=off echo=on ↓
   
   
4. IPルーティングを行うため、IPモジュールを有効化します。
   
   
   ena ip ↓
   
   
5. IPインターフェースvlan1にIPアドレス192.168.10.2/24を設定します。
   
   
   add ip int=vlan1 ip=192.168.10.2 mask=255.255.255.0 ↓
   
   
6. ISPへ接続するppp0に、IPアドレス10.10.10.2/32を設定します。
   
   
   add ip int=ppp0 ip=10.10.10.2 mask=255.255.255.255 ↓
   
   
7. デフォルトルートをppp0に設定します。
   
   
   add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0 ↓
   
   
8. ppp0がISPに接続した際、通知されたDNSサーバーアドレスを使用するように設定します。
   
   
   add ip dns int=ppp0 ↓
   
   

   Note - ISPからDNSサーバーアドレスが指定されている場合は、次のように設定します。

   add ip dns primary=プライマリーDNSサーバー secondary=セカンダリーDNSサーバー

   
   
9. DNSリレーを有効化します。
   
   
   ena ip dnsrelay ↓
   
   
10. VRRPを有効にします。
    
    
    ena vrrp ↓
    
    
11. vlan1上で、仮想IPアドレスを192.168.10.1としてVRRPを設定します。
    ルーターAのpriorityを101に設定し、ルーターBのpriorityを100に設定することにより、ルーターAがマスターになるように設定します。また、ppp0インターフェースがダウンした場合にpriorityを99に下げるように設定します。
    
    
    cre vrrp=1 over=vlan1 ipaddress=192.168.10.1 priority=101 ↓
add vrrp=1 monitoredinterface=ppp0 newpriority=99 ↓

    
    
12. pingポーリング、トリガー機能を設定します。
    ルーターC(192.168.20.1)の到達性を確認し、VRRPと連動できるように設定します。
    
    
    add ping poll=1 ip=192.168.20.1 sipa=192.168.10.2 ↓
cre trigger=1 module=ping event=devicedown poll=1 scr=pingdown.scp ↓
cre trigger=2 module=ping event=deviceup poll=1 scr=pingup.scp ↓
ena ping poll=1 ↓
ena trigger ↓

    
    
13. トリガー機能に使用するスクリプトファイルを作成します。
    
    
    add script=pingup.scp text="set vrrp=1 priority=101" ↓
add script=pingdown.scp text="set vrrp=1 priority=99" ↓

    
    

    Note - add scriptコマンドはコンフィグファイルには保存されず、装置内に別途保存されます。

    
    
14. ファイアウォールを有効化します。
    
    
    ena fire ↓
    
    
15. ファイアウォールの動作を規定するポリシー「net」を作成します。
    ICMPはUnreachable、Echo/Echo reply(ping)のみ透過するよう設定し、identプロキシー機能は無効化します。（メールサーバー等からのident要求に対してTCP RSTを返します）
    
    
    cre fire poli=net ↓
ena fire poli=net icmp_f=unreach,ping ↓
dis fire poli=net identproxy ↓

    
    
16. ファイアウォールポリシー「net」に、IPインターフェースを追加します。
    ppp0をpublic、vlan1をprivateとして設定し、ppp0側から開始される通信は遮断しつつvlan1側から開始される通信は透過します。
    
    
    add fire poli=net int=vlan1 type=private ↓
add fire poli=net int=ppp0 type=public ↓

    
    
17. インターネットアクセスを実現するため、vlan1〜ppp0間にダイナミックENATを設定します。
    
    
    add fire poli=net nat=enhanced int=vlan1 gblint=ppp0 ↓
    
    
18. ルーターCからのISAKMP（UDP500番宛）を受信できるよう、透過ルールを設定します。
    
    
    add fire poli=net ru=1 ac=allow int=ppp0 prot=udp po=500 gblpo=500 ip=10.10.10.2 gblip=10.10.10.2 ↓

    
    
19. ルーターCからの通信を受信できるよう、透過ルールを設定します。
    
    
    add fire poli=net ru=2 ac=nonat int=ppp0 prot=all ip=192.168.10.1-192.168.10.254 encap=ipsec ↓

    
    
20. 192.168.10.0/24に所属するホストから、192.168.20.0/24宛の通信に対して透過ルールを設定します。これらの通信にはNATを適用する必要が無いため、ac=nonatとします。
    
    
    add fire poli=net ru=5 ac=nonat int=vlan1 prot=all ip=192.168.10.1-192.168.10.254 ↓
set fire poli=net ru=5 remoteip=192.168.20.1-192.168.20.254 ↓

    
    
21. ルーター間の鍵交換に使用される事前共有鍵を設定します。
    
    
    create enco key=1 type=gene value="secret-ac" ↓
    
    

    Note - create enco keyコマンドはコンフィグファイルには保存されず、装置内に別途保存されます。

    
    
22. ルーター間で鍵交換を行うためのISAKMPポリシーを定義します。暗号化プロトコルには3DESを指定します。また、鍵の更新を3600秒ごとに行うようにします。
    
    
    cre isakmp poli="ike_ac" peer=any key=1 mode=aggressive sendn=true encalg=3desouter hash=sha group=2 ↓
set isakmp poli="ike_ac" remoteid=vpn_ac expirys=3600 ↓

    
    

    Note - 3DESではなくDESを使用する場合は、encalg パラメーターの値を des に変更します。

    
    
23. ハートビートを設定します。
    
    
    set isakmp poli="ike_ac" heartbeat=both ↓
    
    
24. IPsec SAを生成するための SAスペックとバンドルSAスペックを定義します。
    暗号化プロトコルには3DESを指定しています。また、鍵の更新を3600秒ごとに行うようにします。
    
    
    cre ipsec sas=1 key=isakmp prot=esp enc=3desouter hasha=sha ↓
cre ipsec bundle=1 key=isakmp string=1 expirys=3600 ↓

    
    

    Note - 3DESではなくDESを使用する場合は、encalg パラメーターの値を des に変更します。

    
    
25. ISAKMPパケットを透過するためのIPsecポリシー「isa」を定義します。
    
    
    cre ipsec poli="isa" int=ppp0 ac=permit lport=500 rport=500 transport=udp ↓
    
    
26. ルーターA〜C間で拠点間通信を実現するためのIPsecポリシー「vpn_ac」を定義します。
    
    
    cre ipsec poli="vpn_ac" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic ↓
set ipsec poli="vpn_ac" lad=192.168.10.0 lma=255.255.255.0 rad=192.168.20.0 rma=255.255.255.0 ↓

    
    
27. インターネット向け通信を平文で透過するためのIPsecポリシー「inet」を定義します。
    
    
    cre ipsec poli="inet" int=ppp0 ac=permit ↓
    
    
28. IPsecモジュール、ISAKMPモジュールを有効化します。
    
    
    ena ipsec ↓
ena isakmp ↓

    
    
29. Security Officerレベルのユーザーで再ログインを行います。loginコマンドを実行するとパスワード入力を求められますので、1で設定したパスワードを入力します。
    
    
    login secoff ↓
    
    
30. セキュリティーモードへ移行します。
    
    
    enable system security_mode ↓
    
    
31. 設定内容を router.cfg という名前で保存し、起動時に読み込まれるよう設定します。
    
    
    create config=router.cfg ↓
set config=router.cfg ↓

    
    ルーターAの設定は以上です。
    

ルーターB（AR550S）の設定

1. セキュリティーモードで各種設定を行うことができるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードも「secoff」とします。
   
   
   add user=secoff password=secoff priv=sec ↓
   
   
2. ISPへ接続するため、eth0インターフェース上にppp0を作成します。
   
   
   cre ppp=0 over=eth0-any ↓
   
   
3. ISPから通知されたユーザー名、パスワードを設定します。ISDN回線向けの機能であるBAPは無効化し、LCP ECHOによるPPPセッション監視を有効化します。
   
   
   set ppp=0 over=eth0-any user=user2@example password=password lqr=off bap=off echo=on ↓
   
   
4. IPルーティングを行うため、IPモジュールを有効化します。
   
   
   ena ip ↓
   
   
5. IPインターフェースvlan1にIPアドレス192.168.10.3/24を設定します。
   
   
   add ip int=vlan1 ip=192.168.10.3 mask=255.255.255.0 ↓
   
   
6. ISPへ接続するppp0に、IPアドレス10.10.10.3/32を設定します。
   
   
   add ip int=ppp0 ip=10.10.10.3 mask=255.255.255.255 ↓
   
   
7. デフォルトルートをppp0に設定します。
   
   
   add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0 ↓
   
   
8. ppp0がISPに接続した際、通知されたDNSサーバーアドレスを使用するように設定します。
   
   
   add ip dns int=ppp0 ↓
   
   

   Note - ISPからDNSサーバーアドレスが指定されている場合は、次のように設定します。

   add ip dns primary=プライマリーDNSサーバー secondary=セカンダリーDNSサーバー

   
   
9. DNSリレーを有効化します。
   
   
   ena ip dnsrelay ↓
   
   
10. VRRPを有効にします。
    
    
    ena vrrp ↓
    
    
11. vlan1上で、仮想IPアドレスを192.168.10.1としてVRRPを設定します。
    ルーターBのpriorityをデフォルトの100に設定し、ルーターAのpriorityを101に設定することにより、ルーターBがバックアップになるように設定します。
    
    
    cre vrrp=1 over=vlan1 ipaddress=192.168.10.1 ↓
    
    
12. ファイアウォールを有効化します。
    
    
    ena fire ↓
    
    
13. ファイアウォールの動作を規定するポリシー「net」を作成します。
    ICMPはUnreachable、Echo/Echo reply(ping)のみ透過するよう設定し、identプロキシー機能は無効化します。（メールサーバー等からのident要求に対してTCP RSTを返します）
    
    
    cre fire poli=net ↓
ena fire poli=net icmp_f=unreach,ping ↓
dis fire poli=net identproxy ↓

    
    
14. ファイアウォールポリシー「net」に、IPインターフェースを追加します。
    ppp0をpublic、vlan1をprivateとして設定し、ppp0側から開始される通信は遮断しつつvlan1側から開始される通信は透過します。
    
    
    add fire poli=net int=vlan1 type=private ↓
add fire poli=net int=ppp0 type=public ↓

    
    
15. インターネットアクセスを実現するため、vlan1〜ppp0間にダイナミックENATを設定します。
    
    
    add fire poli=net nat=enhanced int=vlan1 gblint=ppp0 ↓
    
    
16. ルーターCからのISAKMP（UDP500番宛）を受信できるよう、透過ルールを設定します。
    
    
    add fire poli=net ru=1 ac=allow int=ppp0 prot=udp po=500 gblpo=500 ip=10.10.10.3 gblip=10.10.10.3 ↓

    
    
17. ルーターCからの通信を受信できるよう、透過ルールを設定します。
    
    
    add fire poli=net ru=2 ac=nonat int=ppp0 prot=all ip=192.168.10.1-192.168.10.254 encap=ipsec ↓

    
    
18. 192.168.10.0/24に所属するホストから、192.168.20.0/24宛の通信に対して透過ルールを設定します。これらの通信にはNATを適用する必要が無いため、ac=nonatとします。
    
    
    add fire poli=net ru=5 ac=nonat int=vlan1 prot=all ip=192.168.10.1-192.168.10.254 ↓
set fire poli=net ru=5 remoteip=192.168.20.1-192.168.20.254 ↓

    
    
19. ルーター間の鍵交換に使用される事前共有鍵を設定します。
    
    
    create enco key=1 type=gene value="secret-bc" ↓
    
    

    Note - create enco keyコマンドはコンフィグファイルには保存されず、装置内に別途保存されます。

    
    
20. ルーター間で鍵交換を行うためのISAKMPポリシーを定義します。暗号化プロトコルには3DESを指定します。また、鍵の更新を3600秒ごとに行うようにします。
    
    
    cre isakmp poli="ike_bc" peer=any key=1 mode=aggressive sendn=true encalg=3desouter hash=sha group=2 ↓
set isakmp poli="ike_bc" remoteid=vpn_ac expirys=3600 ↓

    
    

    Note - 3DESではなくDESを使用する場合は、encalg パラメーターの値を des に変更します。

    
    
21. ハートビートを設定します。
    
    
    set isakmp poli="ike_bc" heartbeat=both ↓
    
    
22. IPsec SAを生成するための SAスペックとバンドルSAスペックを定義します。
    暗号化プロトコルには3DESを指定しています。また、鍵の更新を3600秒ごとに行うようにします。
    
    
    cre ipsec sas=1 key=isakmp prot=esp enc=3desouter hasha=sha ↓
cre ipsec bundle=1 key=isakmp string=1 expirys=3600 ↓

    
    

    Note - 3DESではなくDESを使用する場合は、encalg パラメーターの値を des に変更します。

    
    
23. ISAKMPパケットを透過するためのIPsecポリシー「isa」を定義します。
    
    
    cre ipsec poli="isa" int=ppp0 ac=permit lport=500 rport=500 transport=udp ↓
    
    
24. ルーターB〜C間で拠点間通信を実現するためのIPsecポリシー「vpn_bc」を定義します。
    
    
    cre ipsec poli="vpn_bc" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic ↓
set ipsec poli="vpn_bc" lad=192.168.10.0 lma=255.255.255.0 rad=192.168.20.0 rma=255.255.255.0 ↓

    
    
25. インターネット向け通信を平文で透過するためのIPsecポリシー「inet」を定義します。
    
    
    cre ipsec poli="inet" int=ppp0 ac=permit ↓
    
    
26. IPsecモジュール、ISAKMPモジュールを有効化します。
    
    
    ena ipsec ↓
ena isakmp ↓

    
    
27. Security Officerレベルのユーザーで再ログインを行います。loginコマンドを実行するとパスワード入力を求められますので、1で設定したパスワードを入力します。
    
    
    login secoff ↓
    
    
28. セキュリティーモードへ移行します。
    
    
    enable system security_mode ↓
    
    
29. 設定内容を router.cfg という名前で保存し、起動時に読み込まれるよう設定します。
    
    
    create config=router.cfg ↓
set config=router.cfg ↓

    
    ルーターBの設定は以上です。
    
    

ルーターC（AR260S V2）の設定

1. IPアドレスを自動取得するよう設定したPCを接続し、Webブラウザーを起動します。
   Webブラウザーから「http://192.168.1.1/」を開くとユーザー名、パスワードの入力を求められますのでユーザー名「manager」、パスワード「friend」を入力すると、次の画面が表示されます。
   
   

   

   
   次に、左側のメニューから[LAN]-[IP]を選択します。
   [IPアドレス]を192.168.20.1に変更して[適用]を押します。
   
   

   

   
   [適用]を押した後、IPアドレスを再取得するためにPCを再起動します。PCが起動完了したら、再度Webブラウザーを起動して「http://192.168.20.1/」を開きます。
   
   
2. 左側のメニューから[LAN]-[DHCP]を選択します。
   [始点IPアドレス]を192.168.20.10に、[終点IPアドレス]を192.168.20.41に変更して[適用]を押します。
   

   

   
   
3. 左側のメニューから[WAN]-[WAN]を選択します。
   [WAN設定]の[接続モード]に PPPoE を選択し、[デフォルトゲートウェイ]を pppoe0 とします。
   pppoe0の[ユーザー名][パスワード]に、ISPから提供された内容を入力して[適用]を押します。
   
   

   

   
   その他のパラメーターは、初期状態のままでかまいません。
   
   
4. 左側のメニューから[VPN]-[VPN接続]を選択します。
   [VPN接続設定]に、1つ目のVPNポリシー（マスター側）として次の内容を設定します。
   
   

   表 3
   

   [簡易設定/詳細設定]	簡易設定
   [ポリシー名]	vpn_ac-master
   [キープアライブ]	有効
   [種別]	ハートビート
   [仮想トンネルインターフェース]	有効
   [インターフェース]	新規作成
   [リモートゲートウェイ]-[種類]	IPアドレス
   [IPアドレス]	10.10.10.2
   [フェーズ2ID]-[ローカル]	192.168.20.0/24
   [フェーズ2ID]-[リモート]	192.168.10.0/24

   
   

   

   
   次に、[IKE設定]を設定します。
   
   

   表 4
   

   [IKE交換モード]	アグレッシブ
   [事前共有鍵]	secret-ac
   [フェーズ1 ローカルID]-[種類]	FQDN
   [FQDN]	vpn_ac

   
   設定が完了したら、[追加]を押します。
   
   

   

   
   次に、[VPN接続設定]に2つ目のVPNポリシー（バックアップ側）を設定します。
   
   

   表 5
   

   [簡易設定/詳細設定]	簡易設定
   [ポリシー名]	vpn_bc-backup
   [キープアライブ]	有効
   [種別]	ハートビート
   [仮想トンネルインターフェース]	有効
   [インターフェース]	新規作成
   [リモートゲートウェイ]-[種類]	IPアドレス
   [IPアドレス]	10.10.10.3
   [フェーズ2ID]-[ローカル]	192.168.20.0/24
   [フェーズ2ID]-[リモート]	192.168.10.0/24

   
   

   

   
   次に、[IKE設定]を設定します。
   
   

   表 6
   

   [IKE交換モード]	アグレッシブ
   [事前共有鍵]	secret-bc
   [フェーズ1 ローカルID]-[種類]	FQDN
   [FQDN]	vpn_bc

   
   設定が完了したら、[追加]を押します。
   
   

   

   
   画面下部の[サイト間アクセスルール]にて、以下の2つのルールが追加されているかご確認ください。
   
   

   表 7
   

   [ID]	1	2
   [ポリシー名]	vpn_ac-master	vpn_bc-backup
   [ピアアドレス]	10.10.10.2	10.10.10.3
   [トンネルインターフェース]	tunnel0	tunnel1

   
   

   

   
   
5. 左のメニューから[ルーティング]を選択し[スタティックルーティング設定]を行います。
   
   

   表 8
   

   [宛先ネットワークアドレス]	192.168.10.0
   [宛先サブネットマスク]	255.255.255.0
   [ゲートウェイ]-[インターフェース]	tunnel0
   [優先度]	1(高、通常設定)

   
   設定が完了したら、[追加]を押します。
   
   

   

   
   引き続き、バックアップ用のスタティックルートの設定を行います。
   
   

   表 9
   

   [宛先ネットワークアドレス]	192.168.10.0
   [宛先サブネットマスク]	255.255.255.0
   [ゲートウェイ]-[インターフェース]	tunnel1
   [優先度]	2

   
   設定が完了したら、[追加]を押します。
   
   

   

   
   最後に、IPsec SAが未確立時、IPsecパケットが平文のままインターネットに送出されることを回避するため、低い優先度のnull（破棄）ルートの設定を行います。
   
   

   表 10
   

   [宛先ネットワークアドレス]	192.168.10.0
   [宛先サブネットマスク]	255.255.255.0
   [ゲートウェイ]-[インターフェース]	null（破棄）
   [優先度]	10（低）

   
   設定が完了したら、[追加]を押します。
   
   

   

   
   画面下部の[ルーティングテーブル]にて、以下のスタティックルートが追加されているかご確認ください。
   
   

   表 11
   

   [宛先ネットワークアドレス]	192.168.10.0	192.168.10.0	192.168.10.0
   [宛先サブネットマスク]	255.255.255.0	255.255.255.0	255.255.255.0
   [インターフェース]	tunnel0	tunnel1	null（破棄）
   [優先度]	1（高、通常設定）	2	10（低）

   
   

   

   
   
6. 画面左上の[設定保存]を押します。
   設定保存ボタン下の「設定が保存されていません」という表示が消えれば設定完了です。
   設定は以上です。
   

Note - 本設定例では以下のIKEとIPsec設定を設定します。暗号化方式などを変更する必要がある場合は、＜手順4＞の[VPN接続設定]で[詳細設定]を選択してください。

表 12

IKE設定
暗号化認証アルゴリズム	3DES & SHA1-DH2
IPsec設定
暗号化認証アルゴリズム	ESP 3DES HMAC SHA1
PFSグループ	なし

まとめ

ルーターA（AR550S）のコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

add user=secoff password=secoff priv=sec ↓ cre ppp=0 over=eth0-any ↓ set ppp=0 over=eth0-any user=user1@example password=password lqr=off bap=off echo=on ↓ ena ip ↓ add ip int=vlan1 ip=192.168.10.2 mask=255.255.255.0 ↓ add ip int=ppp0 ip=10.10.10.2 mask=255.255.255.255 ↓ add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0 ↓ add ip dns int=ppp0 ↓ ena ip dnsrelay ↓ ena vrrp ↓ cre vrrp=1 over=vlan1 ipaddress=192.168.10.1 priority=101 ↓ add vrrp=1 monitoredinterface=ppp0 newpriority=99 ↓ add ping poll=1 ip=192.168.20.1 sipa=192.168.10.2 ↓ cre trigger=1 module=ping event=devicedown poll=1 scr=pingdown.scp ↓ cre trigger=2 module=ping event=deviceup poll=1 scr=pingup.scp ↓ ena ping poll=1 ↓ ena trigger ↓ ena fire ↓ cre fire poli=net ↓ ena fire poli=net icmp_f=unreach,ping ↓ dis fire poli=net identproxy ↓ add fire poli=net int=vlan1 type=private ↓ add fire poli=net int=ppp0 type=public ↓ add fire poli=net nat=enhanced int=vlan1 gblint=ppp0 ↓ add fire poli=net ru=1 ac=allow int=ppp0 prot=udp po=500 gblpo=500 ip=10.10.10.2 gblip=10.10.10.2 ↓ add fire poli=net ru=2 ac=nonat int=ppp0 prot=all ip=192.168.10.1-192.168.10.254 encap=ipsec ↓ add fire poli=net ru=5 ac=nonat int=vlan1 prot=all ip=192.168.10.1-192.168.10.254 ↓ set fire poli=net ru=5 remoteip=192.168.20.1-192.168.20.254 ↓ # create enco key=1 type=gene value="secret-ac" ↓ cre isakmp poli="ike_ac" peer=any key=1 mode=aggressive sendn=true encalg=3desouter hash=sha group=2 ↓ set isakmp poli="ike_ac" remoteid=vpn_ac expirys=3600 ↓ set isakmp poli="ike_ac" heartbeat=both ↓ cre ipsec sas=1 key=isakmp prot=esp enc=3desouter hasha=sha ↓ cre ipsec bundle=1 key=isakmp string=1 expirys=3600 ↓ cre ipsec poli="isa" int=ppp0 ac=permit lport=500 rport=500 transport=udp ↓ cre ipsec poli="vpn_ac" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic ↓ set ipsec poli="vpn_ac" lad=192.168.10.0 lma=255.255.255.0 rad=192.168.20.0 rma=255.255.255.0 ↓ cre ipsec poli="inet" int=ppp0 ac=permit ↓ ena ipsec ↓ ena isakmp ↓ # login secoff ↓ # enable system security_mode ↓

スクリプト「pingup.scp」 [テキスト版]

set vrrp=1 priority=101 ↓

スクリプト「pingdown.scp」 [テキスト版]

set vrrp=1 priority=99 ↓

ルーターB（AR550S）のコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

add user=secoff password=secoff priv=sec ↓ cre ppp=0 over=eth0-any ↓ set ppp=0 over=eth0-any user=user2@example password=password lqr=off bap=off echo=on ↓ ena ip ↓ add ip int=vlan1 ip=192.168.10.3 mask=255.255.255.0 ↓ add ip int=ppp0 ip=10.10.10.3 mask=255.255.255.255 ↓ add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0 ↓ add ip dns int=ppp0 ↓ ena ip dnsrelay ↓ ena vrrp ↓ cre vrrp=1 over=vlan1 ipaddress=192.168.10.1 ↓ ena fire ↓ cre fire poli=net ↓ ena fire poli=net icmp_f=unreach,ping ↓ dis fire poli=net identproxy ↓ add fire poli=net int=vlan1 type=private ↓ add fire poli=net int=ppp0 type=public ↓ add fire poli=net nat=enhanced int=vlan1 gblint=ppp0 ↓ add fire poli=net ru=1 ac=allow int=ppp0 prot=udp po=500 gblpo=500 ip=10.10.10.3 gblip=10.10.10.3 ↓ add fire poli=net ru=2 ac=nonat int=ppp0 prot=all ip=192.168.10.1-192.168.10.254 encap=ipsec ↓ add fire poli=net ru=5 ac=nonat int=vlan1 prot=all ip=192.168.10.1-192.168.10.254 ↓ set fire poli=net ru=5 remoteip=192.168.20.1-192.168.20.254 ↓ # create enco key=1 type=gene value="secret-bc" ↓ cre isakmp poli="ike_bc" peer=any key=1 mode=aggressive sendn=true encalg=3desouter hash=sha group=2 ↓ set isakmp poli="ike_bc" remoteid=vpn_ac expirys=3600 ↓ set isakmp poli="ike_bc" heartbeat=both ↓ cre ipsec sas=1 key=isakmp prot=esp enc=3desouter hasha=sha ↓ cre ipsec bundle=1 key=isakmp string=1 expirys=3600 ↓ cre ipsec poli="isa" int=ppp0 ac=permit lport=500 rport=500 transport=udp ↓ cre ipsec poli="vpn_bc" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic ↓ set ipsec poli="vpn_bc" lad=192.168.10.0 lma=255.255.255.0 rad=192.168.20.0 rma=255.255.255.0 ↓ cre ipsec poli="inet" int=ppp0 ac=permit ↓ ena ipsec ↓ ena isakmp ↓ # login secoff ↓ # enable system security_mode ↓

(C) 2008-2013 アライドテレシスホールディングス株式会社

PN: 613-000902 Rev.H

＜前頁 次頁＞ ＜＜ ＞＞ ↑ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）