<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR260S V2 設定例集 3.3.3 #11
PPPoEのIPsecセンター機器冗長構成(RIP使用)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネル(仮想トンネルインターフェース)で結び、障害時の迂回が可能なVPN構築例です。
本社(ルーターA:AR550S、ルーターB:AR550S、L3スイッチ:8724SL)と支社(ルーターC:AR260S V2、ルーターD:AR260S V2)を接続する構成とします。
本社内での経路情報はRIPで管理されており、支社のルーターがIPsecで接続すると本社から支社への経路がroute templateによって設定され、RIPにより本社ネットワーク内で共有されます。各支社から本社へはマスターとバックアップの2本のIPsecトンネルが生成されます。各拠点において、マスターに障害が発生した場合には、バックアップを用いて通信を継続します。本社内においては、変更された経路情報がRIPにより通知されます。本社はグローバルアドレス(ルーターA:1個、ルーターB:1個)を固定で割り当てられ、支社はグローバルアドレス各1個が動的に割り当てられていると仮定しています。
インターネットサービスプロバイダー(ISP)からは、次の情報が提供されているものとします。
表 1
| |
ルーターA |
ルーターB |
ルーターC |
ルーターD |
| ユーザーID(PPPユーザー名) |
user1@example |
user2@example |
user3@example |
user4@example |
| パスワード(PPPパスワード) |
password |
password |
password |
password |
| サービス名 |
指定なし |
指定なし |
指定なし |
指定なし |
| グローバルIPアドレス |
10.10.10.2/32 |
10.10.10.3/32 |
不定(動的取得) |
不定(動的取得) |
ルーターCは、以下のように設定するものとします。
表 2
| |
ルーターC |
| WAN側IPアドレス |
自動取得(取得アドレスは不定) |
| LAN側IPアドレス |
192.168.20.1/24 |
| VPN接続設定 |
| |
マスターVPN |
バックアップVPN |
| キープアライブ |
有効(ハートビート) |
有効(ハートビート) |
| 仮想トンネルインターフェース |
有効 |
有効 |
| フェーズ2ローカルID |
192.168.20.0/24 |
192.168.20.0/24 |
| フェーズ2リモートID |
192.168.0.0/16 |
192.168.0.0/16 |
| リモートゲートウェイ |
10.10.10.2 |
10.10.10.3 |
| IKE設定 |
| 交換モード |
アグレッシブ |
アグレッシブ |
| 事前共有鍵 |
secret-ac |
secret-bc |
| 暗号化認証アルゴリズム |
3DES & SHA1-DH2 |
3DES & SHA1-DH2 |
| フェーズ1ローカルID/フェーズ1リモートID |
vpn_ac/なし |
vpn_bc/なし |
| IPsec設定 |
| 暗号化認証アルゴリズム |
ESP 3DES HMAC SHA1 |
ESP 3DES HMAC SHA1 |
| PFSグループ |
なし |
なし |
ルーターDは、以下のように設定するものとします。
表 3
| |
ルーターD |
| WAN側IPアドレス |
自動取得(取得アドレスは不定) |
| LAN側IPアドレス |
192.168.30.1/24 |
| VPN接続設定 |
| |
マスターVPN |
バックアップVPN |
| キープアライブ |
有効(ハートビート) |
有効(ハートビート) |
| 仮想トンネルインターフェース |
有効 |
有効 |
| フェーズ2ローカルID |
192.168.30.0/24 |
192.168.30.0/24 |
| フェーズ2リモートID |
192.168.0.0/16 |
192.168.0.0/16 |
| リモートゲートウェイ |
10.10.10.3 |
10.10.10.2 |
| IKE設定 |
| 交換モード |
アグレッシブ |
アグレッシブ |
| 事前共有鍵 |
secret-bd |
secret-ad |
| 暗号化認証アルゴリズム |
3DES & SHA1-DH2 |
3DES & SHA1-DH2 |
| フェーズ1ローカルID/フェーズ1リモートID |
vpn_bd/なし |
vpn_ad/なし |
| IPsec設定 |
| 暗号化認証アルゴリズム |
ESP 3DES HMAC SHA1 |
ESP 3DES HMAC SHA1 |
| PFSグループ |
なし |
なし |
本構成における設定のポイントは、次の通りです。
- ルーターC、ルーターDはアドレス不定のため、ルーターA、ルーターBからは接続を開始できません。常にルーターC、ルーターDから接続を開始することになります。
- ルーターAとルーターB、L3スイッチはRIP交換を行い、ルーターC、ルーターDへの経路情報を交換することで冗長構成を実現します。
- 正常時はルーターCのマスターがルーターA、ルーターDのマスターがルーターBとなり、負荷を分散します。
- ルーターA障害時には、ルーターC、ルーターD両方の通信がルーターB経由での通信となり、ルーターB障害時には、ルーターC、ルーターD両方の通信がルーターA経由となりますが、障害の復旧時には再び負荷分散された状態へ戻ります。
- 支社間の通信は本社経由で行われます。
- セキュリティーモードで各種設定を行うことができるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードも「secoff」とします。
add user=secoff password=secoff priv=sec ↓
- ISPへ接続するため、eth0インターフェース上にppp0を作成します。
cre ppp=0 over=eth0-any ↓
- ISPから通知されたユーザー名、パスワードを設定します。ISDN回線向けの機能であるBAPは無効化し、LCP ECHOによるPPPセッション監視を有効化します。
set ppp=0 over=eth0-any user=user1@example password=password lqr=off bap=off echo=on ↓
- IPルーティングを行うため、IPモジュールを有効化します。
- IPインターフェースvlan1にIPアドレス192.168.9.2/24を設定します。
add ip int=vlan1 ip=192.168.9.2 mask=255.255.255.0 ↓
- ISPへ接続するppp0に、IPアドレス10.10.10.2/32を設定します。
add ip int=ppp0 ip=10.10.10.2 mask=255.255.255.255 ↓
- デフォルトルートをppp0に設定します。
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0 ↓
- ppp0がISPに接続した際、通知されたDNSサーバーアドレスを使用するように設定します。
Note
- ISPからDNSサーバーアドレスが指定されている場合は、次のように設定します。
add ip dns primary=プライマリーDNSサーバー secondary=セカンダリーDNSサーバー
- DNSリレーを有効化します。
- ファイアウォールを有効化します。
- ファイアウォールの動作を規定するポリシー「net」を作成します。ICMPはUnreachable、Echo/Echo replay(ping)のみ透過するよう設定し、identプロキシー機能は無効化します。(メールサーバー等からのident要求に対してTCP RSTを返します)
cre fire poli=net ↓
ena fire poli=net icmp_f=unreach,ping ↓
dis fire poli=net identproxy ↓
- ファイアウォールポリシー「net」に、IPインターフェースを追加します。ppp0をpublic、vlan1をprivateとして設定し、ppp0側から開始される通信は遮断しつつvlan1側から開始される通信は透過します。
add fire poli=net int=vlan1 type=private ↓
add fire poli=net int=ppp0 type=public ↓
- インターネットアクセスを実現するため、vlan1〜ppp0間にダイナミックENATを設定します。
add fire poli=net nat=enhanced int=vlan1 gblint=ppp0 ↓
- ルーターC、ルーターDからのISAKMP(UDP500番宛)を受信できるよう、透過ルールを設定します。
add fire poli=net ru=1 ac=allow int=ppp0 prot=udp po=500 gblpo=500 ip=10.10.10.2 gblip=10.10.10.2 ↓
- ルーターC、ルーターDからの通信を受信できるよう、透過ルールを設定します。
add fire poli=net ru=2 ac=nonat int=ppp0 prot=all ip=192.168.9.1-192.168.10.254 encap=ipsec ↓
add fire poli=net ru=3 ac=nonat int=ppp0 prot=all ip=192.168.20.1-192.168.20.254 encap=ipsec ↓
add fire poli=net ru=4 ac=nonat int=ppp0 prot=all ip=192.168.30.1-192.168.30.254 encap=ipsec ↓
- 192.168.9.0/24、192.168.10.0/24に所属するホストから、192.168.20.0/24宛の通信に対して透過ルールを設定します。これらの通信にはNATを適用する必要が無いため、ac=nonatとします。
add fire poli=net ru=5 ac=nonat int=vlan1 prot=all ip=192.168.9.1-192.168.10.254 ↓
set fire poli=net ru=5 remoteip=192.168.20.1-192.168.20.254 ↓
- 192.168.9.0/24、192.168.10.0/24に所属するホストから、192.168.30.0/24宛の通信に対して透過ルールを設定します。これらの通信にはNATを適用する必要が無いため、ac=nonatとします。
add fire poli=net ru=6 ac=nonat int=vlan1 prot=all ip=192.168.9.1-192.168.10.254 ↓
set fire poli=net ru=6 remoteip=192.168.30.1-192.168.30.254 ↓
- ルーター A-C間のSAが確立したときに設定される、SAに対応する経路情報を設定します。この経路は、マスター経路であるため、メトリックは1に設定します。
add ip route template=route-c int=ppp0 next=0.0.0.0 metric1=1 ↓
- ルーター A-D間のSAが確立したときに設定される、SAに対応する経路情報を設定します。この経路はバックアップ経路なので、メトリックは10に設定します。
add ip route template=route-d int=ppp0 next=0.0.0.0 metric1=10 ↓
- ルーターA ルーターC間の鍵交換に使用される事前共有鍵を設定します。
create enco key=1 type=gene value="secret-ac" ↓
Note
- create enco keyコマンドはコンフィグファイルには保存されず、装置内に別途保存されます。
- ルーターA - ルーターD間の鍵交換に使用される事前共有鍵を設定します。
create enco key=2 type=gene value="secret-ad" ↓
Note
- create enco keyコマンドはコンフィグファイルには保存されず、装置内に別途保存されます。
- ルーターA - ルーターC間で鍵交換を行うためのISAKMPポリシーを定義します。暗号化プロトコルには3DESを指定します。また、鍵の更新を3600秒ごとに行うようにします。
cre isakmp poli="ike_ac" peer=any key=1 mode=aggressive sendn=true encalg=3desouter hash=sha group=2 ↓
set isakmp poli="ike_ac" remoteid=vpn_ac expirys=3600 ↓
Note
- 3DESではなくDESを使用する場合は、encalg パラメーターの値を des に変更します。
- ハートビートを設定します。
set isakmp poli="ike_ac" heartbeat=both ↓
- ルーターA - ルーターD間で鍵交換を行うためのISAKMPポリシーを定義します。暗号化プロトコルには3DESを指定します。また、鍵の更新を3600秒ごとに行うようにします。
cre isakmp poli="ike_ad" peer=any key=2 mode=aggressive sendn=true encalg=3desouter hash=sha group=2 ↓
set isakmp poli="ike_ad" remoteid=vpn_ad expirys=3600 ↓
Note
- 3DESではなくDESを使用する場合は、encalg パラメーターの値を des に変更します。
- ハートビートを設定します。
set isakmp poli="ike_ad" heartbeat=both ↓
- IPsecSAを生成するための SAスペックとバンドルSAスペックを定義します。このSAスペックとバンドルSAスペックは、ルーター A-C 間接続、ルーター A-D間接続の両方で使用します。暗号化プロトコルには3DESを指定しています。また、鍵の更新を3600秒ごとに行うようにします。
cre ipsec sas=1 key=isakmp prot=esp enc=3desouter hasha=sha ↓
cre ipsec bundle=1 key=isakmp string=1 expirys=3600 ↓
Note
- 3DESではなくDESを使用する場合は、enc パラメーターの値を des に変更します。
- ISAKMPパケットを透過するためのIPsecポリシー「isa」を定義します。
cre ipsec poli="isa" int=ppp0 ac=permit lport=500 rport=500 transport=udp ↓
- ルーターA〜C間で拠点間通信を実現するためのIPsecポリシー「vpn_ac」を定義します。SAが確立したときに追加する経路route-cを指定します。
cre ipsec poli="vpn_ac" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic iproute=route-c ↓
set ipsec poli="vpn_ac" lad=192.168.0.0 lma=255.255.0.0 rad=192.168.20.0 rma=255.255.255.0 ↓
- ルーターA〜D間で拠点間通信を実現するためのIPsecポリシー「vpn_ad」を定義します。SAが確立したときに追加する経路route-dを指定します。
cre ipsec poli="vpn_ad" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic iproute=route-d ↓
set ipsec poli="vpn_ad" lad=192.168.0.0 lma=255.255.0.0 rad=192.168.30.0 rma=255.255.255.0 ↓
- インターネット向け通信を平文で透過するためのIPsecポリシー「inet」を定義します。
cre ipsec poli="inet" int=ppp0 ac=permit ↓
- IPsecモジュール、ISAKMPモジュールを有効化します。
- 経路情報の交換のため、VLAN1上でRIPを有効にします。route template で設定された経路を再配送するので、staticexport を有効にします。
add ip rip int=vlan1 staticexport=yes ↓
- ルーターBから配信されるデフォルトルートを受信しないように、経路制御フィルターを設定します。
add ip route filter=1 ip=0.0.0.0 mask=0.0.0.0 action=exclude direction=receive ↓
add ip route filter=2 ip=*.*.*.* mask=*.*.*.* action=include ↓
- Security Officerレベルのユーザーで再ログインを行います。loginコマンドを実行するとパスワード入力を求められますので、1で設定したパスワードを入力します。
- セキュリティーモードへ移行します。
enable system security_mode ↓
- 設定内容を router.cfg という名前で保存し、起動時に読み込まれるよう設定します。
create config=router.cfg ↓
set config=router.cfg ↓
ルーターAの設定は以上です。
- セキュリティーモードで各種設定を行うことができるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードも「secoff」とします。
add user=secoff password=secoff priv=sec ↓
- ISPへ接続するため、eth0インターフェース上にppp0を作成します。
cre ppp=0 over=eth0-any ↓
- ISPから通知されたユーザー名、パスワードを設定します。ISDN回線向けの機能であるBAPは無効化し、LCP ECHOによるPPPセッション監視を有効化します。
set ppp=0 over=eth0-any user=user2@example password=password lqr=off bap=off echo=on ↓
- IPルーティングを行うため、IPモジュールを有効化します。
- IPインターフェースvlan1にIPアドレス192.168.9.3/24を設定します。
add ip int=vlan1 ip=192.168.9.3 mask=255.255.255.0 ↓
- ISPへ接続するppp0に、IPアドレス10.10.10.3/32を設定します。
add ip int=ppp0 ip=10.10.10.3 mask=255.255.255.255 ↓
- デフォルトルートをppp0に設定し、ルーターA、ルーターB配下のネットワークへの正常時の通信を、ルーターAに向けます。
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0 metric=2 ↓
- ppp0がISPに接続した際、通知されたDNSサーバーアドレスを使用するように設定します。
Note
- ISPからDNSサーバーアドレスが指定されている場合は、次のように設定します。
add ip dns primary=プライマリーDNSサーバー secondary=セカンダリーDNSサーバー
- DNSリレーを有効化します。
- ファイアウォールを有効化します。
- ファイアウォールの動作を規定するポリシー「net」を作成します。ICMPはUnreachable、Echo/Echo replay(ping)のみ透過するよう設定し、identプロキシー機能は無効化します。(メールサーバー等からのident要求に対してTCP RSTを返します)
cre fire poli=net ↓
ena fire poli=net icmp_f=unreach,ping ↓
dis fire poli=net identproxy ↓
- ファイアウォールポリシー「net」に、IPインターフェースを追加します。ppp0をpublic、vlan1をprivateとして設定し、ppp0側から開始される通信は遮断しつつvlan1側から開始される通信は透過します。
add fire poli=net int=vlan1 type=private ↓
add fire poli=net int=ppp0 type=public ↓
- インターネットアクセスを実現するため、vlan1〜ppp0間にダイナミックENATを設定します。
add fire poli=net nat=enhanced int=vlan1 gblint=ppp0 ↓
- ルーターC、ルーターDからのISAKMP(UDP500番宛)を受信できるよう、透過ルールを設定します。
add fire poli=net ru=1 ac=allow int=ppp0 prot=udp po=500 gblpo=500 ip=10.10.10.3 gblip=10.10.10.3 ↓
- ルーターC、ルーターDからの通信を受信できるよう、透過ルールを設定します。
add fire poli=net ru=2 ac=nonat int=ppp0 prot=all ip=192.168.9.1-192.168.10.254 encap=ipsec ↓
add fire poli=net ru=3 ac=nonat int=ppp0 prot=all ip=192.168.20.1-192.168.20.254 encap=ipsec ↓
add fire poli=net ru=4 ac=nonat int=ppp0 prot=all ip=192.168.30.1-192.168.30.254 encap=ipsec ↓
- 192.168.9.0/24、192.168.10.0/24に所属するホストから、192.168.20.0/24宛の通信に対して透過ルールを設定します。これらの通信にはNATを適用する必要が無いため、ac=nonatとします。
add fire poli=net ru=5 ac=nonat int=vlan1 prot=all ip=192.168.9.1-192.168.10.254 ↓
set fire poli=net ru=5 remoteip=192.168.20.1-192.168.20.254 ↓
- 192.168.9.0/24、192.168.10.0/24に所属するホストから、192.168.30.0/24宛の通信に対して透過ルールを設定します。これらの通信にはNATを適用する必要が無いため、ac=nonatとします。
add fire poli=net ru=6 ac=nonat int=vlan1 prot=all ip=192.168.9.1-192.168.10.254 ↓
set fire poli=net ru=6 remoteip=192.168.30.1-192.168.30.254 ↓
- ルーター B-C間のSAが確立したときに設定される、SAに対応する経路情報を設定します。この経路は、バックアップ経路であるため、メトリックは10に設定します。
add ip route template=route-c int=ppp0 next=0.0.0.0 metric1=10 ↓
- ルーター B-D間のSAが確立したときに設定される、SAに対応する経路情報を設定します。この経路はマスター経路なので、メトリックは1に設定します。
add ip route template=route-d int=ppp0 next=0.0.0.0 metric1=1 ↓
- ルーターB ルーターC間の鍵交換に使用される事前共有鍵を設定します。
create enco key=1 type=gene value="secret-bc" ↓
Note
- create enco keyコマンドはコンフィグファイルには保存されず、装置内に別途保存されます。
- ルーターB ルーターD間の鍵交換に使用される事前共有鍵を設定します。
create enco key=2 type=gene value="secret-bd" ↓
Note
- create enco keyコマンドはコンフィグファイルには保存されず、装置内に別途保存されます。
- ルーターB ルーターC間で鍵交換を行うためのISAKMPポリシーを定義します。暗号化プロトコルには3DESを指定します。また、鍵の更新を3600秒ごとに行うようにします。
cre isakmp poli="ike_bc" peer=any key=1 mode=aggressive sendn=true encalg=3desouter hash=sha group=2 ↓
set isakmp poli="ike_bc" remoteid=vpn_bc expirys=3600 ↓
Note
- 3DESではなくDESを使用する場合は、encalg パラメーターの値を des に変更します。
- ハートビートを設定します。
set isakmp poli="ike_bc" heartbeat=both ↓
- ルーターB ルーターD間で鍵交換を行うためのISAKMPポリシーを定義します。暗号化プロトコルには3DESを指定します。また、鍵の更新を3600秒ごとに行うようにします。
cre isakmp poli="ike_bd" peer=any key=2 mode=aggressive sendn=true encalg=3desouter hash=sha group=2 ↓
set isakmp poli="ike_bd" remoteid=vpn_bd expirys=3600 ↓
Note
- 3DESではなくDESを使用する場合は、encalg パラメーターの値を des に変更します。
- ハートビートを設定します。
set isakmp poli="ike_bd" heartbeat=both ↓
- IPsecSAを生成するための SAスペックとバンドルSAスペックを定義します。このSAスペックとバンドルSAスペックは、ルーター B-C 間接続、ルーター B-D間接続の両方で使用します。暗号化プロトコルには3DESを指定しています。また、鍵の更新を3600秒ごとに行うようにします。
cre ipsec sas=1 key=isakmp prot=esp enc=3desouter hasha=sha ↓
cre ipsec bundle=1 key=isakmp string=1 expirys=3600 ↓
Note
- 3DESではなくDESを使用する場合は、encalg パラメーターの値を des に変更します。
- ISAKMPパケットを透過するためのIPsecポリシー「isa」を定義します。
cre ipsec poli="isa" int=ppp0 ac=permit lport=500 rport=500 transport=udp ↓
- ルーターB〜C間で拠点間通信を実現するためのIPsecポリシー「vpn_bc」を定義します。SAが確立したときに追加する経路route-cを指定します。
cre ipsec poli="vpn_bc" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic iproute=route-c ↓
set ipsec poli="vpn_bc" lad=192.168.0.0 lma=255.255.0.0 rad=192.168.20.0 rma=255.255.255.0 ↓
- ルーターB〜D間で拠点間通信を実現するためのIPsecポリシー「vpn_bd」を定義します。SAが確立したときに追加する経路route-dを指定します。
cre ipsec poli="vpn_bd" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic iproute=route-d ↓
set ipsec poli="vpn_bd" lad=192.168.0.0 lma=255.255.0.0 rad=192.168.30.0 rma=255.255.255.0 ↓
- インターネット向け通信を平文で透過するためのIPsecポリシー「inet」を定義します。
cre ipsec poli="inet" int=ppp0 ac=permit ↓
- IPsecモジュール、ISAKMPモジュールを有効化します。
- 経路情報の交換のため、VLAN1上でRIPを有効にします。route template で設定された経路を再配送するので、staticexport を有効にします。
add ip rip int=vlan1 staticexport=yes ↓
- ルーターAから配信されるデフォルトルートを受信しないように、経路制御フィルターを設定します。
add ip route filter=1 ip=0.0.0.0 mask=0.0.0.0 action=exclude direction=receive ↓
add ip route filter=2 ip=*.*.*.* mask=*.*.*.* action=include ↓
- Security Officerレベルのユーザーで再ログインを行います。loginコマンドを実行するとパスワード入力を求められますので、1で設定したパスワードを入力します。
- セキュリティーモードへ移行します。
enable system security_mode ↓
- 設定内容を router.cfg という名前で保存し、起動時に読み込まれるよう設定します。
create config=router.cfg ↓
set config=router.cfg ↓
ルーターBの設定は以上です。
- VLAN2を作成します。
create vlan=vlan2 vid=2 ↓
- VLAN2にポートを参加させます。
add vlan=vlan2 port=17-24 ↓
- IPルーティングを行うため、IPモジュールを有効化します。
- IPインターフェースvlan1にIPアドレス192.168.9.1/24を設定します。
add ip int=vlan1 ip=192.168.9.1 mask=255.255.255.0 ↓
- IPインターフェースvlan2にIPアドレス192.168.10.1/24を設定します。
add ip int=vlan2 ip=192.168.10.1 mask=255.255.255.0 ↓
- RIPを有効にします。
add ip rip int=vlan1 ↓
add ip rip int=vlan2 ↓
- 設定内容を l3sw.cfg という名前で保存し、起動時に読み込まれるよう設定します。
create config=l3sw.cfg ↓
set config=l3sw.cfg ↓
L3スイッチの設定は以上です。
- IPアドレスを自動取得するよう設定したPCを接続し、Webブラウザーを起動します。
Webブラウザーから「http://192.168.1.1/」を開くとユーザー名、パスワードの入力を求められますのでユーザー名「manager」、パスワード「friend」を入力すると、次の画面が表示されます。
次に、左側のメニューから[LAN]-[IP]を選択します。
[IPアドレス]を192.168.20.1に変更して[適用]を押します。
[適用]を押した後、IPアドレスを再取得するためにPCを再起動します。PCが起動完了したら、再度Webブラウザーを起動して「http://192.168.20.1/」を開きます。
- 左側のメニューから[LAN]-[DHCP]を選択します。
[始点IPアドレス]を192.168.20.10に、[終点IPアドレス]を192.168.20.41に変更して[適用]を押します。
- 左側のメニューから[WAN]-[WAN]を選択します。
[WAN設定]の[接続モード]に PPPoE を選択し、[デフォルトゲートウェイ]を pppoe0 とします。
pppoe0の[ユーザー名][パスワード]に、ISPから提供された内容を入力して[適用]を押します。
- 左側のメニューから[VPN]-[VPN接続]を選択します。
[VPN接続設定]に、1つ目のVPNポリシー(マスター側)として次の内容を設定します。
表 4
| [簡易設定/詳細設定] |
簡易設定 |
| [ポリシー名] |
vpn_ac-master |
| [キープアライブ] |
有効 |
| [種別] |
ハートビート |
| [仮想トンネルインターフェース] |
有効 |
| [インターフェース] |
新規作成 |
| [リモートゲートウェイ]-[種類] |
IPアドレス |
| [IPアドレス] |
10.10.10.2 |
| [フェーズ2ID]-[ローカル] |
192.168.20.0/24 |
| [フェーズ2ID]-[リモート] |
192.168.0.0/16 |
次に、[IKE設定]を設定します。
表 5
| [IKE交換モード] |
アグレッシブ |
| [事前共有鍵] |
secret-ac |
| [フェーズ1 ローカル ID]-[種類] |
FQDN |
| [FQDN] |
vpn_ac |
設定が完了したら、[追加]を押します。
次に、[VPN接続設定]に2つ目のVPNポリシー(バックアップ側)を設定します。
表 6
| [簡易設定/詳細設定] |
簡易設定 |
| [ポリシー名] |
vpn_bc-backup |
| [キープアライブ] |
有効 |
| [種別] |
ハートビート |
| [仮想トンネルインターフェース] |
有効 |
| [インターフェース] |
新規作成 |
| [リモートゲートウェイ]-[種類] |
IPアドレス |
| [IPアドレス] |
10.10.10.3 |
| [フェーズ2ID]-[ローカル] |
192.168.20.0/24 |
| [フェーズ2ID]-[リモート] |
192.168.0.0/16 |
次に、[IKE設定]を設定します。
表 7
| [IKE交換モード] |
アグレッシブ |
| [事前共有鍵] |
secret-bc |
| [フェーズ1 ローカル ID]-[種類] |
FQDN |
| [FQDN] |
vpn_bc |
設定が完了したら、[追加]を押します。
画面下部の[サイト間アクセスルール]にて、以下の2つのルールが追加されているかご確認ください。
表 8
| [ID] |
1 |
| [ポリシー名] |
vpn_ac-master |
| [ピアアドレス] |
10.10.10.2 |
| [トンネルインターフェース] |
tunnel0 |
表 9
| [ID] |
2 |
| [ポリシー名] |
vpn_bc-backup |
| [ピアアドレス] |
10.10.10.3 |
| [トンネルインターフェース] |
tunnel1 |
- 左のメニューから[ルーティング]を選択し[スタティックルーティング設定]を行います。
表 10
| [宛先ネットワークアドレス] |
192.168.0.0 |
| [宛先サブネットマスク] |
255.255.0.0 |
| [ゲートウェイ]-[インターフェース] |
tunnel0 |
| [優先度] |
1(高、通常設定) |
設定が完了したら、[追加]を押します。
引き続き、バックアップ用のスタティックルートの設定を行います。
表 11
| [宛先ネットワークアドレス] |
192.168.0.0 |
| [宛先サブネットマスク] |
255.255.0.0 |
| [ゲートウェイ]-[インターフェース] |
tunnel1 |
| [優先度] |
2 |
設定が完了したら、[追加]を押します。
最後に、IPsec SAが未確立時、IPsecパケットが平文のままインターネットに送出されることを回避するため、低い優先度のnull(破棄)ルートの設定を行います。
表 12
| [宛先ネットワークアドレス] |
192.168.0.0 |
| [宛先サブネットマスク] |
255.255.0.0 |
| [ゲートウェイ]-[インターフェース] |
null(破棄) |
| [優先度] |
10(低) |
設定が完了したら、[追加]を押します。
画面下部の[ルーティングテーブル]にて、以下のスタティックルートが追加されているかご確認ください。
表 13
| [宛先ネットワークアドレス] |
192.168.0.0 |
| [宛先サブネットマスク] |
255.255.0.0 |
| [インターフェース] |
tunnel0 |
| [優先度] |
1(高、通常設定) |
表 14
| [宛先ネットワークアドレス] |
192.168.0.0 |
| [宛先サブネットマスク] |
255.255.0.0 |
| [インターフェース] |
tunnel1 |
| [優先度] |
2 |
表 15
| [宛先ネットワークアドレス] |
192.168.0.0 |
| [宛先サブネットマスク] |
255.255.0.0 |
| [インターフェース] |
null(破棄) |
| [優先度] |
10(低) |
- 画面左上の[設定保存]を押します。
設定保存ボタン下の「設定が保存されていません」という表示が消えれば設定完了です。
設定は以上です。
Note
- 本設定例では以下のIKEとIPsec設定を設定します。暗号化方式などを変更する必要がある場合は、<手順4>の[VPN接続設定]で[詳細設定]を選択してください。
表 16
| IKE設定 |
| 暗号化認証アルゴリズム |
3DES & SHA1-DH2 |
| IPsec設定 |
| 暗号化認証アルゴリズム |
ESP 3DES HMAC SHA1 |
| PFSグループ |
なし |
- IPアドレスを自動取得するよう設定したPCを接続し、Webブラウザーを起動します。
Webブラウザーから「http://192.168.1.1/」を開くとユーザー名、パスワードの入力を求められますのでユーザー名「manager」、パスワード「friend」を入力すると、次の画面が表示されます。
次に、左側のメニューから[LAN]-[IP]を選択します。
[IPアドレス]を192.168.30.1に変更して[適用]を押します。
[適用]を押した後、IPアドレスを再取得するためにPCを再起動します。PCが起動完了したら、再度Webブラウザーを起動して「http://192.168.30.1/」を開きます。
- 左側のメニューから[LAN]-[DHCP]を選択します。
[始点IPアドレス]を192.168.30.10に、[終点IPアドレス]を192.168.30.41に変更して[適用]を押します。
- 左側のメニューから[WAN]-[WAN]を選択します。
[WAN設定]の[接続モード]に PPPoE を選択し、[デフォルトゲートウェイ]を pppoe0 とします。
pppoe0の[ユーザー名][パスワード]に、ISPから提供された内容を入力して[適用]を押します。
- 左側のメニューから[VPN]-[VPN接続]を選択します。
[VPN接続設定]に、1つ目のVPNポリシー(マスター側)として次の内容を設定します。
表 17
| [簡易設定/詳細設定] |
簡易設定 |
| [ポリシー名] |
vpn_bd-master |
| [キープアライブ] |
有効 |
| [種別] |
ハートビート |
| [仮想トンネルインターフェース] |
有効 |
| [インターフェース] |
新規作成 |
| [リモートゲートウェイ]-[種類] |
IPアドレス |
| [IPアドレス] |
10.10.10.3 |
| [フェーズ2ID]-[ローカル] |
192.168.30.0/24 |
| [フェーズ2ID]-[リモート] |
192.168.0.0/16 |
次に、[IKE設定]を設定します。
表 18
| [IKE交換モード] |
アグレッシブ |
| [事前共有鍵] |
secret-bd |
| [フェーズ1 ローカル ID]-[種類] |
FQDN |
| [FQDN] |
vpn_bd |
設定が完了したら、[追加]を押します。
次に、[VPN接続設定]に2つ目のVPNポリシー(バックアップ側)を設定します。
表 19
| [簡易設定/詳細設定] |
簡易設定 |
| [ポリシー名] |
vpn_ad-backup |
| [キープアライブ] |
有効 |
| [種別] |
ハートビート |
| [仮想トンネルインターフェース] |
有効 |
| [インターフェース] |
新規作成 |
| [リモートゲートウェイ]-[種類] |
IPアドレス |
| [IPアドレス] |
10.10.10.2 |
| [フェーズ2ID]-[ローカル] |
192.168.30.0/24 |
| [フェーズ2ID]-[リモート] |
192.168.0.0/16 |
次に、[IKE設定]を設定します。
表 20
| [IKE交換モード] |
アグレッシブ |
| [事前共有鍵] |
secret-ad |
| [フェーズ1 ローカル ID]-[種類] |
FQDN |
| [FQDN] |
vpn_ad |
設定が完了したら、[追加]を押します。
画面下部の[サイト間アクセスルール]にて、以下の2つのルールが追加されているかご確認ください。
表 21
| [ID] |
1 |
| [ポリシー名] |
vpn_bd-master |
| [ピアアドレス] |
10.10.10.3 |
| [トンネルインターフェース] |
tunnel0 |
表 22
| [ID] |
2 |
| [ポリシー名] |
vpn_ad-backup |
| [ピアアドレス] |
10.10.10.2 |
| [トンネルインターフェース] |
tunnel1 |
- 左のメニューから[ルーティング]を選択し[スタティックルーティング設定]を行います。
表 23
| [宛先ネットワークアドレス] |
192.168.0.0 |
| [宛先サブネットマスク] |
255.255.0.0 |
| [ゲートウェイ]-[インターフェース] |
tunnel0 |
| [優先度] |
1(高、通常設定) |
設定が完了したら、[追加]を押します。
引き続き、バックアップ用のスタティックルートの設定を行います。
表 24
| [宛先ネットワークアドレス] |
192.168.0.0 |
| [宛先サブネットマスク] |
255.255.0.0 |
| [ゲートウェイ]-[インターフェース] |
tunnel1 |
| [優先度] |
2 |
設定が完了したら、[追加]を押します。
最後に、IPsec SAが未確立時、IPsecパケットが平文のままインターネットに送出されることを回避するため、低い優先度のnull(破棄)ルートの設定を行います。
表 25
| [宛先ネットワークアドレス] |
192.168.0.0 |
| [宛先サブネットマスク] |
255.255.0.0 |
| [ゲートウェイ]-[インターフェース] |
null(破棄) |
| [優先度] |
10(低) |
設定が完了したら、[追加]を押します。
画面下部の[ルーティングテーブル]にて、以下のスタティックルートが追加されているかご確認ください。
表 26
| [宛先ネットワークアドレス] |
192.168.0.0 |
| [宛先サブネットマスク] |
255.255.0.0 |
| [インターフェース] |
tunnel0 |
| [優先度] |
1(高、通常設定) |
表 27
| [宛先ネットワークアドレス] |
192.168.0.0 |
| [宛先サブネットマスク] |
255.255.0.0 |
| [インターフェース] |
tunnel1 |
| [優先度] |
2 |
表 28
| [宛先ネットワークアドレス] |
192.168.0.0 |
| [宛先サブネットマスク] |
255.255.0.0 |
| [インターフェース] |
null(破棄) |
| [優先度] |
10(低) |
- 画面左上の[設定保存]を押します。
設定保存ボタン下の「設定が保存されていません」という表示が消えれば設定完了です。
設定は以上です。
Note
- 本設定例では以下のIKEとIPsec設定を設定します。暗号化方式などを変更する必要がある場合は、<手順4>の[VPN接続設定]で[詳細設定]を選択してください。
表 29
| IKE設定 |
| 暗号化認証アルゴリズム |
3DES & SHA1-DH2 |
| IPsec設定 |
| 暗号化認証アルゴリズム |
ESP 3DES HMAC SHA1 |
| PFSグループ |
なし |
ルーターA(AR550S)のコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
add user=secoff password=secoff priv=sec ↓
cre ppp=0 over=eth0-any ↓
set ppp=0 over=eth0-any user=user1@example password=password lqr=off bap=off echo=on ↓
ena ip ↓
add ip int=vlan1 ip=192.168.9.2 mask=255.255.255.0 ↓
add ip int=ppp0 ip=10.10.10.2 mask=255.255.255.255 ↓
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0 ↓
add ip dns int=ppp0 ↓
ena ip dnsrelay ↓
ena fire ↓
cre fire poli=net ↓
ena fire poli=net icmp_f=unreach,ping ↓
dis fire poli=net identproxy ↓
add fire poli=net int=vlan1 type=private ↓
add fire poli=net int=ppp0 type=public ↓
add fire poli=net nat=enhanced int=vlan1 gblint=ppp0 ↓
add fire poli=net ru=1 ac=allow int=ppp0 prot=udp po=500 gblpo=500 ip=10.10.10.2 gblip=10.10.10.2 ↓
add fire poli=net ru=2 ac=nonat int=ppp0 prot=all ip=192.168.9.1-192.168.10.254 encap=ipsec ↓
add fire poli=net ru=3 ac=nonat int=ppp0 prot=all ip=192.168.20.1-192.168.20.254 encap=ipsec ↓
add fire poli=net ru=4 ac=nonat int=ppp0 prot=all ip=192.168.30.1-192.168.30.254 encap=ipsec ↓
add fire poli=net ru=5 ac=nonat int=vlan1 prot=all ip=192.168.9.1-192.168.10.254 ↓
set fire poli=net ru=5 remoteip=192.168.20.1-192.168.20.254 ↓
add fire poli=net ru=6 ac=nonat int=vlan1 prot=all ip=192.168.9.1-192.168.10.254 ↓
set fire poli=net ru=6 remoteip=192.168.30.1-192.168.30.254 ↓
add ip route template=route-c int=ppp0 next=0.0.0.0 metric1=1 ↓
add ip route template=route-d int=ppp0 next=0.0.0.0 metric1=10 ↓
# create enco key=1 type=gene value="secret-ac" ↓
# create enco key=2 type=gene value="secret-ad" ↓
cre isakmp poli="ike_ac" peer=any key=1 mode=aggressive sendn=true encalg=3desouter hash=sha group=2 ↓
set isakmp poli="ike_ac" remoteid=vpn_ac expirys=3600 ↓
set isakmp poli="ike_ac" heartbeat=both ↓
cre isakmp poli="ike_ad" peer=any key=2 mode=aggressive sendn=true encalg=3desouter hash=sha group=2 ↓
set isakmp poli="ike_ad" remoteid=vpn_ad expirys=3600 ↓
set isakmp poli="ike_ad" heartbeat=both ↓
cre ipsec sas=1 key=isakmp prot=esp enc=3desouter hasha=sha ↓
cre ipsec bundle=1 key=isakmp string=1 expirys=3600 ↓
cre ipsec poli="isa" int=ppp0 ac=permit lport=500 rport=500 transport=udp ↓
cre ipsec poli="vpn_ac" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic iproute=route-c ↓
set ipsec poli="vpn_ac" lad=192.168.0.0 lma=255.255.0.0 rad=192.168.20.0 rma=255.255.255.0 ↓
cre ipsec poli="vpn_ad" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic iproute=route-d ↓
set ipsec poli="vpn_ad" lad=192.168.0.0 lma=255.255.0.0 rad=192.168.30.0 rma=255.255.255.0 ↓
cre ipsec poli="inet" int=ppp0 ac=permit ↓
ena ipsec ↓
ena isakmp ↓
add ip rip int=vlan1 staticexport=yes ↓
add ip route filter=1 ip=0.0.0.0 mask=0.0.0.0 action=exclude direction=receive ↓
add ip route filter=2 ip=*.*.*.* mask=*.*.*.* action=include ↓
# login secoff ↓
# enable system security_mode ↓
|
ルーターB(AR550S)のコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
add user=secoff password=secoff priv=sec ↓
cre ppp=0 over=eth0-any ↓
set ppp=0 over=eth0-any user=user2@example password=password lqr=off bap=off echo=on ↓
ena ip ↓
add ip int=vlan1 ip=192.168.9.3 mask=255.255.255.0 ↓
add ip int=ppp0 ip=10.10.10.3 mask=255.255.255.255 ↓
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0 metric=2 ↓
add ip dns int=ppp0 ↓
ena ip dnsrelay ↓
ena fire ↓
cre fire poli=net ↓
ena fire poli=net icmp_f=unreach,ping ↓
dis fire poli=net identproxy ↓
add fire poli=net int=vlan1 type=private ↓
add fire poli=net int=ppp0 type=public ↓
add fire poli=net nat=enhanced int=vlan1 gblint=ppp0 ↓
add fire poli=net ru=1 ac=allow int=ppp0 prot=udp po=500 gblpo=500 ip=10.10.10.3 gblip=10.10.10.3 ↓
add fire poli=net ru=2 ac=nonat int=ppp0 prot=all ip=192.168.9.1-192.168.10.254 encap=ipsec ↓
add fire poli=net ru=3 ac=nonat int=ppp0 prot=all ip=192.168.20.1-192.168.20.254 encap=ipsec ↓
add fire poli=net ru=4 ac=nonat int=ppp0 prot=all ip=192.168.30.1-192.168.30.254 encap=ipsec ↓
add fire poli=net ru=5 ac=nonat int=vlan1 prot=all ip=192.168.9.1-192.168.10.254 ↓
set fire poli=net ru=5 remoteip=192.168.20.1-192.168.20.254 ↓
add fire poli=net ru=6 ac=nonat int=vlan1 prot=all ip=192.168.9.1-192.168.10.254 ↓
set fire poli=net ru=6 remoteip=192.168.30.1-192.168.30.254 ↓
add ip route template=route-c int=ppp0 next=0.0.0.0 metric1=10 ↓
add ip route template=route-d int=ppp0 next=0.0.0.0 metric1=1 ↓
# create enco key=1 type=gene value="secret-bc" ↓
# create enco key=2 type=gene value="secret-bd" ↓
cre isakmp poli="ike_bc" peer=any key=1 mode=aggressive sendn=true encalg=3desouter hash=sha group=2 ↓
set isakmp poli="ike_bc" remoteid=vpn_bc expirys=3600 ↓
set isakmp poli="ike_bc" heartbeat=both ↓
cre isakmp poli="ike_bd" peer=any key=2 mode=aggressive sendn=true encalg=3desouter hash=sha group=2 ↓
set isakmp poli="ike_bd" remoteid=vpn_bd expirys=3600 ↓
set isakmp poli="ike_bd" heartbeat=both ↓
cre ipsec sas=1 key=isakmp prot=esp enc=3desouter hasha=sha ↓
cre ipsec bundle=1 key=isakmp string=1 expirys=3600 ↓
cre ipsec poli="isa" int=ppp0 ac=permit lport=500 rport=500 transport=udp ↓
cre ipsec poli="vpn_bc" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic iproute=route-c ↓
set ipsec poli="vpn_bc" lad=192.168.0.0 lma=255.255.0.0 rad=192.168.20.0 rma=255.255.255.0 ↓
cre ipsec poli="vpn_bd" int=ppp0 ac=ipsec keyman=isakmp bundle=1 peer=dynamic iproute=route-d ↓
set ipsec poli="vpn_bd" lad=192.168.0.0 lma=255.255.0.0 rad=192.168.30.0 rma=255.255.255.0 ↓
cre ipsec poli="inet" int=ppp0 ac=permit ↓
ena ipsec ↓
ena isakmp ↓
add ip rip int=vlan1 staticexport=yes ↓
add ip route filter=1 ip=0.0.0.0 mask=0.0.0.0 action=exclude direction=receive ↓
add ip route filter=2 ip=*.*.*.* mask=*.*.*.* action=include ↓
# login secoff ↓
# enable system security_mode ↓
|
L3スイッチ(8724SL)のコンフィグ
[テキスト版]
create vlan=vlan2 vid=2 ↓
add vlan=vlan2 port=17-24 ↓
ena ip ↓
add ip int=vlan1 ip=192.168.9.1 mask=255.255.255.0 ↓
add ip int=vlan2 ip=192.168.10.1 mask=255.255.255.0 ↓
add ip rip int=vlan1 ↓
add ip rip int=vlan2 ↓
|
CentreCOM AR260S V2 設定例集 3.3.3 #11
(C) 2008-2013 アライドテレシスホールディングス株式会社
PN: 613-000902 Rev.H
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))