CentreCOM AR570S 設定例集 2.9: #126

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR570S 設定例集 2.9 #126

BGP-4:ASコンフェデレーション


ドメイン間経路制御プロトコルBGP-4(Border Gateway Protocol version 4)の設定例です。ここでは、大きなASを複数のサブASに分割し、サブAS間でコンフェデレーションE-BGPセッションを張るコンフェデレーションASの設定方法を示します。同一AS内のBGPセッションはI-BGP(内部BGP)と呼ばれますが、I-BGPセッションでは他のI-BGPピアから受信した経路情報を再配布できないため、大きなASではI-BGPセッションをフルメッシュで張る必要があります。ASをサブASに分割することにより、I-BGPセッション数を少なくすることができます。


Note - 本機能はオプション機能ですので、ご使用にはフィーチャー(追加機能)ライセンスが必要です。

ここでは、次のような構成のネットワークを例に解説します。


AS 65020には4台のルーターが所属しています。通常のI-BGP構成では、4台をフルメッシュするため全部で6本のI-BGPセッションが必要になります。

ここでは、AS 65020をAS 65021とAS 65022という2つのサブASに分割し、両サブAS間をコンフェデレーションE-BGP(C-EBGP)セッションで接続することにより、AS 65020内のBGPセッション数を3本に削減しています。

サブASはコンフェデレーションの中からしか見えず、コンフェデレーションの外部(他のAS)からは単一のASのように見えます。

AS65010との接続にはL2TP + IPsecを使用したインターネット経由のVPN接続をすることにより、経路情報の交換などを行います。


ルーターAの設定

  1. IPモジュールを有効にします。


  2. 各インターフェースにIPアドレスを割り当てます。

  3. 自AS番号を設定します。コンフェデレーションAS設定時は、サブAS番号を指定します。


  4. 所属するコンフェデレーションIDを指定します。


  5. ルーターBをBGPピアとして指定します。自分と同じAS番号を持つピアはI-BGPピア(内部ピア)となります。「NEXTHOPSELF=YES」は、自分自身をNEXT_HOPとして通知するための設定です。


  6. ルーターCをBGPピアとして指定します。自分と異なるサブAS番号を持つピアは、次のADD BGP CONFEDERATIONPEERコマンドの設定とあわせて、C-EBGPピア(コンフェデレーションE-BGPピア)となります。「NEXTHOPSELF=YES」は、自分自身をNEXT_HOPとして通知するための設定です。


  7. 同一コンフェデレーションに所属するC-EBGPピア(ルーターC)のサブAS番号を指定します。


  8. BGPで配布する経路情報を指定します。ここでは静的経路(ローカル経路)を配布します。


  9. 各BGPピアとのセッションを開始します。


  10. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


ルーターBの設定

  1. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「secoff」とします。


    Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。

  2. L2TPモジュールを有効にします。


  3. L2TPサーバーをLAC/LNSの兼用モード(BOTH)で起動します。


  4. センターからのトンネル接続要求時に相手を認証するためのパスワード「l2tpB」を設定します。


  5. L2TPコール「remote」を作成し、L2TPの接続先情報を登録します。IPには相手ルーターのIPアドレスを指定します。TYPEは呼の種類を示すもので、LAN間接続の場合はVIRTUALを指定します。PRECEDENCEはL2TPの通信が同時に開始された場合、発呼・着呼のどちらを優先するかを指定します。PASSWORDには、接続先で認証を受けるためのパスワードを指定します。


  6. WAN側Ethernetインターフェース(eth1)上にPPPインターフェースを作成します。「OVER=eth1-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  7. ISPから通知されたPPPユーザー名とパスワードを設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  8. センターとの間でBGPを有効にするインターフェースとしてL2TPコール上にPPPインターフェースを作成します。CREATE PPPコマンドでL2TPコールを物理インターフェースとして指定するときは、L2TPコール名の前に「TNL-」を付けます。ISP向けのPPPインターフェースを作成します。


  9. IPモジュールを有効にします。


  10. 各インターフェースにIPアドレスを割り当てます。

  11. L2TPトンネルを設定するためのルートを設定します。


  12. 自AS番号を設定します。コンフェデレーションAS設定時は、サブAS番号を指定します。


  13. 所属するコンフェデレーションIDを指定します。


  14. ルーターAをBGPピアとして指定します。自分と同じAS番号を持つピアはI-BGPピア(内部ピア)となります。「NEXTHOPSELF=YES」は、自分自身をNEXT_HOPとして通知するための設定です。


  15. センターのルーター(192.168.100.1)をBGPピアとして指定します。自分と異なるAS番号を持つピアはE-BGPピア(外部ピア)となります。


  16. BGPで配布する経路情報を指定します。ここでは静的経路(ローカル経路)を配布します。


  17. 各BGPピアとのセッションを開始します。


  18. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(外部ISPルーターと同じに設定)。


    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

    Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。

  19. IKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を指定し、PEERには相手ルーターのIPアドレスを指定します。


  20. IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。


  21. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。


  22. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。


    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  23. 実際のIPsec通信に使用するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。
    鍵管理方式には「ISAKMP」を、PEERには相手ルーターのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定し、実際にIPsec通信を行うIPアドレスの範囲を指定します。本構成では、L2TPパケットが対象となります。コマンドが長くなるため、できるだけ省略形を用いてください。


    Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまいVPN以外との通信ができなくなります。

  24. IPsecモジュールを有効にします。


  25. ISAKMPモジュールを有効にします。


  26. Security Officerレベルのユーザーでログインしなおします。


  27. 動作モードをセキュリティーモードに切り替えます。


    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。

  28. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


ルーターCの設定

  1. IPモジュールを有効にします。


  2. 各インターフェースにIPアドレスを割り当てます。

  3. 自AS番号を設定します。コンフェデレーションAS設定時は、サブAS番号を指定します。


  4. 所属するコンフェデレーションIDを指定します。


  5. ルーターDをBGPピアとして指定します。自分と同じAS番号を持つピアはI-BGPピア(内部ピア)となります。「NEXTHOPSELF=YES」は、自分自身をNEXT_HOPとして通知するための設定です。


  6. ルーターAをBGPピアとして指定します。自分と異なるサブAS番号を持つピアは、次のADD BGP CONFEDERATIONPEERコマンドの設定とあわせて、C-EBGPピア(コンフェデレーションE-BGPピア)となります。「NEXTHOPSELF=YES」は、自分自身をNEXT_HOPとして通知するための設定です。


  7. 同一コンフェデレーションに所属するC-EBGPピア(ルーターA)のサブAS番号を指定します。


  8. BGPで配布する経路情報を指定します。ここでは静的経路(ローカル経路)を配布します。


  9. 各BGPピアとのセッションを開始します。


  10. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


ルーターDの設定

  1. IPモジュールを有効にします。


  2. 各インターフェースにIPアドレスを割り当てます。


  3. 自AS番号を設定します。コンフェデレーションAS設定時は、サブAS番号を指定します。


  4. 所属するコンフェデレーションIDを指定します。


  5. ルーターCをBGPピアとして指定します。自分と同じAS番号を持つピアはI-BGPピア(内部ピア)となります。


  6. BGPで配布する経路情報を指定します。ここでは静的経路(ローカル経路)を配布します。


  7. 各BGPピアとのセッションを開始します。


  8. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


メモ


■ 経路表を確認するにはSHOW IP ROUTEコマンドを使います。


■ BGPピアの状態はSHOW BGP PEERコマンドで確認します。


■ BGP-4の経路表を確認するにはSHOW BGP ROUTEコマンドを使います。


■ BGP-4の設定情報を確認するにはSHOW BGPコマンドを使います。


■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。

たとえば、ネットワーク192.168.10.0/24および192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。


■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。

セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜3600(秒)を指定します。デフォルトは60秒です。

まとめ

ルーターAのコンフィグ [テキスト版]
ENABLE IP
ADD IP INT=eth0 IP=192.168.110.1 MASK=255.255.255.0
ADD IP INT=eth1 IP=192.168.120.1 MASK=255.255.255.0
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0
SET IP AUTONOMOUS=65021
SET BGP CONFEDERATIONID=65020
ADD BGP PEER=192.168.110.2 REMOTEAS=65021 NEXTHOPSELF=YES
ADD BGP PEER=192.168.120.2 REMOTEAS=65022 NEXTHOPSELF=YES
ADD BGP CONFEDERATIONPEER=65022
ADD BGP IMPORT=STATIC
ENABLE BGP PEER=192.168.110.2
ENABLE BGP PEER=192.168.120.2


ルーターBのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
SET L2TP PASSWORD=l2tpB
ADD L2TP CALL=remote REMOTE=remote IP=172.16.0.1 TYPE=VIRTUAL PRECEDENCE=IN PASSWORD=l2tpA
CREATE PPP=0 OVER=eth1-ANY
SET PPP=0 OVER=eth1-ANY USER=userB@isp PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON
CREATE PPP=1 OVER=TNL-remote LQR=OFF BAP=OFF ECHO=ON
ENABLE IP
ADD IP INT=eth0 IP=192.168.110.2 MASK=255.255.255.0
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0
ADD IP INT=ppp0 IP=172.16.0.2 MASK=255.255.255.255
ADD IP INT=ppp1 IP=192.168.100.2 MASK=255.255.255.0
ADD IP ROUTE=172.16.0.1 MASK=255.255.255.255 INT=ppp0 NEXT=0.0.0.0
SET IP AUTONOMOUS=65021
SET BGP CONFEDERATIONID=65020
ADD BGP PEER=192.168.110.1 REMOTEAS=65021 NEXTHOPSELF=YES
ADD BGP PEER=192.168.100.1 REMOTEAS=65010
ADD BGP IMPORT=STATIC
ENABLE BGP PEER=192.168.110.1
ENABLE BGP PEER=192.168.100.1
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE=secret
CREATE ISAKMP POLICY=i PEER=172.16.0.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING=1
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.0.1
SET IPSEC POLICY=vpn LAD=172.16.0.2 LPORT=1701 RAD=172.16.0.1 RPORT=1701
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE


ルーターCのコンフィグ [テキスト版]
ENABLE IP
ADD IP INT=eth0 IP=192.168.130.1 MASK=255.255.255.0
ADD IP INT=eth1 IP=192.168.120.2 MASK=255.255.255.0
ADD IP INT=vlan1 IP=192.168.30.1 MASK=255.255.255.0
SET IP AUTONOMOUS=65022
SET BGP CONFEDERATIONID=65020
ADD BGP PEER=192.168.130.2 REMOTEAS=65022 NEXTHOPSELF=YES
ADD BGP PEER=192.168.120.1 REMOTEAS=65021 NEXTHOPSELF=YES
ADD BGP CONFEDERATIONPEER=65021
ADD BGP IMPORT=STATIC
ENABLE BGP PEER=192.168.130.2
ENABLE BGP PEER=192.168.120.1


ルーターDのコンフィグ [テキスト版]
ENABLE IP
ADD IP INT=eth0 IP=192.168.130.2 MASK=255.255.255.0
ADD IP INT=vlan1 IP=192.168.40.1 MASK=255.255.255.0
SET IP AUTONOMOUS=65022
SET BGP CONFEDERATIONID=65020
ADD BGP PEER=192.168.130.1 REMOTEAS=65022
ADD BGP IMPORT=STATIC
ENABLE BGP PEER=192.168.130.1





CentreCOM AR570S 設定例集 2.9 #126

(C) 2006-2013 アライドテレシスホールディングス株式会社

PN: 613-000274 Rev.N

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)