<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR570S 設定例集 2.9 #162

CUGサービスを利用した3拠点間L2TP接続(インターネット接続は各ルーター経由)


CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本))の「端末型払い出し」を利用し、3拠点をL2TPで接続します。各ルーターでPPPoEセッションを2本使用し、インターネット(ISP)接続を行います。パケットの振り分けはスタティックな経路制御により行います。なお、支店間(ルーターB−ルーターC)の通信は許可していません。


表 1:グループ管理者から提供された情報
 
ルーターA
ルーターB
ルーターC
PPPユーザー名 userA@cug userB@cug userC@cug
PPPパスワード cugpasswdA cugpasswdB cugpasswdC
IPアドレス(端末型) 172.16.0.1/32 172.16.0.2/32 172.16.0.3/32


表 2:L2TPの設定
 
ルーターA
ルーターB
ルーターC
L2TPコール名 remote1(AB間)、remote2(AC間) remote1(AB間) remote2(AC間)
L2TP終端アドレス 172.16.0.1/32 172.16.0.2/32 172.16.0.3/32
L2TPサーバーモード LAC/LNS兼用(BOTH) LAC/LNS兼用(BOTH) LAC/LNS兼用(BOTH)
L2TPサーバーパスワード l2tpA l2tpB l2tpC


表 3:ISPから提供される情報
 
ルーターA
ルーターB
ルーターC
PPPユーザー名 ispuserA@isp ispuserB@isp ispuserC@isp
PPPパスワード isppasswdA isppasswdB isppasswdC
プライマリーDNSサーバーアドレス 10.0.0.100
セカンダリーDNSサーバーアドレス 10.0.0.101



ルーターAの設定


  1. L2TP を有効にします。


  2. L2TPサーバーをLNS/LACの兼用モードで起動します。


  3. 相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。


  4. L2TPコールを定義します。これはISDNにおけるISDNコールに相当するもので、接続先のL2TPサーバーとの間に仮想回線を張るための情報を定義します。CALLには任意の名前を、REMOTEには相手側で定義されているL2TPコールの名前を指定します。 LAN間接続の場合、TYPEにはVIRTUALを指定します。IPは接続先のL2TPルーター、PRECEDENCEは優先する呼の方向です。また、相手側にL2TPパスワードが設定されている場合は、PASSWORDパラメーターで接続パスワードを指定します。ルーターB向けコールとルーターC向けコールの設定を行います。


  5. WAN側Ethernetインターフェース(eth0)上にCUGサービス接続用のPPPインターフェースを作成します。
    「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  6. グループ管理者から通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。



  7. WAN側Ethernetインターフェース(eth0)上にインターネット(ISP)接続用のPPPインターフェース「1」を作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  8. ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  9. L2TPコール上にPPPインターフェースを作成します。CREATE PPPコマンドでL2TPコールを物理インターフェースとして指定するときは、L2TPコール名の前に「TNL-」を付けます。ルーターB向けおよびルーターC向けのPPPインターフェースを作成します。


  10. IPモジュールを有効にします。


  11. IPCPネゴシエーションでISPから取得したIPアドレスをPPPインターフェースで使用できるように設定します。


  12. LAN側(vlan1)インターフェースにIPアドレスを設定します。


  13. WAN側(ppp0/1)インターフェースにIPアドレス「0.0.0.0」を設定します。これは、ISPとの接続が確立するまでIPアドレスが確定しないことを示します。


  14. L2TP上のPPPインターフェース(ppp11/ppp12)にIPアドレス「0.0.0.0」を設定します。


  15. L2TPトンネルを設定するためのルートを設定します。


  16. 対向のネットワークへのルートを設定します。ルーターBのLAN側(192.168.20.0/24)宛のパケットは、L2TP上のPPPインターフェース「11」を通じて送り出します。同様に、ルーターCのLAN側(192.168.30.0/24)宛のパケットは、L2TP上のPPPインターフェース「12」を通じて送り出します。


  17. デフォルトルートをインターネット(ISP)側に向けます。


  18. ファイアウォール機能を有効にします。


  19. ファイアウォールポリシーを作成します。ここでは、ポリシー名を「net」としています。


  20. ICMPパケットはPing(Echo/EchoReply)とUnreachableのみ通過させるように設定します。


  21. identプロキシー機能を無効にします。identプロキシーは、FIREWALL有効時に、外部から内部へのident要求に対して代理応答する機能です。無効に設定した場合、ident接続要求に対してRSTを返し、TCPコネクションをただちに終了させます。


  22. ファイアウォール適用対象の各インターフェースを設定します。


  23. LAN側インターフェース(vlan1)にENATの設定をします。


  24. 相手ルーターから受信したL2TPパケット(UDP1701番)がファイアウォールを通過できるように設定します。


  25. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。



ルーターBの設定


  1. L2TP を有効にします。


  2. L2TPサーバーをLNS/LACの兼用モードで起動します。


  3. 相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。


  4. L2TPコールを定義します。これはISDNにおけるISDNコールに相当するもので、接続先のL2TPサーバーとの間に仮想回線を張るための情報を定義します。CALLには任意の名前を、REMOTEには相手側で定義されているL2TPコールの名前を指定します。 LAN間接続の場合、TYPEにはVIRTUALを指定します。IPは接続先のL2TPルーター、PRECEDENCEは優先する呼の方向です。また、相手側にL2TPパスワードが設定されている場合は、PASSWORDパラメーターで接続パスワードを指定します。ルーターA向けコールの設定を行います。


  5. WAN側Ethernetインターフェース(eth0)上にCUGサービス接続用のPPPインターフェースを作成します。
    「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  6. グループ管理者から通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  7. WAN側Ethernetインターフェース(eth0)上にインターネット(ISP)接続用のPPPインターフェース「1」を作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  8. ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  9. L2TPコール上にPPPインターフェースを作成します。CREATE PPPコマンドでL2TPコールを物理インターフェースとして指定するときは、L2TPコール名の前に「TNL-」を付けます。ルーターB向けおよびルーターC向けのPPPインターフェースを作成します。


  10. IPモジュールを有効にします。


  11. IPCPネゴシエーションでISPから取得したIPアドレスをPPPインターフェースで使用できるように設定します。


  12. LAN側(vlan1)インターフェースにIPアドレスを設定します。


  13. WAN側(ppp0/1)インターフェースにIPアドレス「0.0.0.0」を設定します。これは、ISPとの接続が確立するまでIPアドレスが確定しないことを示します。


  14. L2TP上のPPPインターフェース(ppp11)にIPアドレス「0.0.0.0」を設定します。


  15. L2TPトンネルを設定するためのルートを設定します。


  16. 対向のネットワークへのルートを設定します。ルーターAのLAN側(192.168.10.0/24)宛のパケットは、L2TP上のPPPインターフェース「11」を通じて送り出します。


  17. デフォルトルートをインターネット(ISP)接続をppp1に向けます。


  18. ファイアウォール機能を有効にします。


  19. ファイアウォールポリシーを作成します。ここでは、ポリシー名を「net」としています。


  20. ICMPパケットはPing(Echo/EchoReply)とUnreachableのみ通過させるように設定します。


  21. identプロキシー機能を無効にします。identプロキシーは、FIREWALL有効時に、外部から内部へのident要求に対して代理応答する機能です。無効に設定した場合、ident接続要求に対してRSTを返し、TCPコネクションをただちに終了させます。


  22. ファイアウォール適用対象の各インターフェースを設定します。


  23. LAN側インターフェース(vlan1)にENATの設定をします。


  24. 相手ルーターから受信したL2TPパケット(UDP1701番)がファイアウォールを通過できるように設定します。


  25. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。




ルーターCの設定


  1. L2TP を有効にします。


  2. L2TPサーバーをLNS/LACの兼用モードで起動します。


  3. 相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。


  4. L2TPコールを定義します。これはISDNにおけるISDNコールに相当するもので、接続先のL2TPサーバーとの間に仮想回線を張るための情報を定義します。CALLには任意の名前を、REMOTEには相手側で定義されているL2TPコールの名前を指定します。 LAN間接続の場合、TYPEにはVIRTUALを指定します。IPは接続先のL2TPルーター、PRECEDENCEは優先する呼の方向です。また、相手側にL2TPパスワードが設定されている場合は、PASSWORDパラメーターで接続パスワードを指定します。ルーターA向けコールの設定を行います。


  5. WAN側Ethernetインターフェース(eth0)上にCUGサービス接続用のPPPインターフェースを作成します。
    「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  6. グループ管理者から通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  7. WAN側Ethernetインターフェース(eth0)上にインターネット(ISP)接続用のPPPインターフェース「1」を作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  8. ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  9. L2TPコール上にPPPインターフェースを作成します。CREATE PPPコマンドでL2TPコールを物理インターフェースとして指定するときは、L2TPコール名の前に「TNL-」を付けます。ルーターC向けのPPPインターフェースを作成します。


  10. IPモジュールを有効にします。


  11. IPCPネゴシエーションでISPから取得したIPアドレスをPPPインターフェースで使用できるように設定します。


  12. LAN側(vlan1)インターフェースにIPアドレスを設定します。


  13. WAN側(ppp0/1)インターフェースにIPアドレス「0.0.0.0」を設定します。これは、ISPとの接続が確立するまでIPアドレスが確定しないことを示します。


  14. L2TP上のPPPインターフェース(ppp12)にIPアドレス「0.0.0.0」を設定します。


  15. L2TPトンネルを設定するためのルートを設定します。


  16. 対向のネットワークへのルートを設定します。ルーターAのLAN側(192.168.10.0/24)宛のパケットは、L2TP上のPPPインターフェース「12」を通じて送り出します。


  17. デフォルトルートをインターネット(ISP)接続を行うppp1に向けます。


  18. ファイアウォール機能を有効にします。


  19. ファイアウォールポリシーを作成します。ここでは、ポリシー名を「net」としています。


  20. ICMPパケットはPing(Echo/EchoReply)とUnreachableのみ通過させるように設定します。


  21. identプロキシー機能を無効にします。identプロキシーは、FIREWALL有効時に、外部から内部へのident要求に対して代理応答する機能です。無効に設定した場合、ident接続要求に対してRSTを返し、TCPコネクションをただちに終了させます。


  22. ファイアウォール適用対象の各インターフェースを設定します。


  23. LAN側インターフェース(vlan1)にENATの設定をします。


  24. 相手ルーターから受信したL2TPパケット(UDP1701番)がファイアウォールを通過できるように設定します。


  25. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


メモ


■ 各ルーター配下の端末からインターネットへ接続する場合、端末にDNSサーバーのアドレスを設定する必要があります。端末で直接設定を行うほかにDHCPサーバー機能を利用する方法とDNSリレー機能を使用する方法があります。


まとめ

ルーターAのコンフィグ [テキスト版]
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
ADD L2TP PASSWORD=l2tpA
ADD L2TP CALL=remote1 REMOTE=remote1 TYPE=VIRTUAL IP=172.16.0.2 PRECEDENCE=IN PASSWORD=l2tpB
ADD L2TP CALL=remote2 REMOTE=remote2 TYPE=VIRTUAL IP=172.16.0.3 PRECEDENCE=IN PASSWORD=l2tpC
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=userA@cug PASSWORD=cugpasswdA LQR=OFF ECHO=ON
CREATE PPP=1 OVER=eth0-ANY
SET PPP=1 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=ispuserA@isp PASSWORD=isppasswdA LQR=OFF ECHO=ON
CREATE PPP=11 OVER=TNL-remote1 IDLE=ON BAP=OFF LQR=OFF
CREATE PPP=12 OVER=TNL-remote2 IDLE=ON BAP=OFF LQR=OFF
ENABLE IP
ENABLE IP REMOTEASSIGN
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0
ADD IP INT=ppp0 IP=0.0.0.0
ADD IP INT=ppp1 IP=0.0.0.0
ADD IP INT=ppp11 IP=0.0.0.0
ADD IP INT=ppp12 IP=0.0.0.0
ADD IP ROUTE=172.16.0.2 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0
ADD IP ROUTE=172.16.0.3 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0
ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXTHOP=0.0.0.0
ADD IP ROUTE=192.168.30.0 MASK=255.255.255.0 INTERFACE=ppp12 NEXTHOP=0.0.0.0
ADD IP ROUTE=0.0.0.0 INT=ppp1 NEXTHOP=0.0.0.0
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_FORWARDING=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INTERFACE=vlan1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INTERFACE=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net INTERFACE=ppp1 TYPE=PUBLIC
ADD FIREWALL POLICY=net INTERFACE=ppp11 TYPE=PRIVATE
ADD FIREWALL POLICY=net INTERFACE=ppp12 TYPE=PRIVATE
ADD FIREWALL POLICY=net NAT=ENHANCED INTERFACE=vlan1 GBLINTERFACE=ppp1
ADD FIREWALL POLICY=net RU=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=1701 IP=172.16.0.1


ルーターBのコンフィグ [テキスト版]
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
ADD L2TP PASSWORD=l2tpB
ADD L2TP CALL=remote1 REMOTE=remote1 TYPE=VIRTUAL IP=172.16.0.1 PRECEDENCE=OUT PASSWORD=l2tpA
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=userB@cug PASSWORD=cugpasswdB LQR=OFF ECHO=ON
CREATE PPP=1 OVER=eth0-ANY
SET PPP=1 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=ispuserB@isp PASSWORD=isppasswdB LQR=OFF ECHO=ON
CREATE PPP=11 OVER=TNL-remote1 IDLE=ON BAP=OFF LQR=OFF
ENABLE IP
ENABLE IP REMOTEASSIGN
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0
ADD IP INT=ppp0 IP=0.0.0.0
ADD IP INT=ppp1 IP=0.0.0.0
ADD IP INT=ppp11 IP=0.0.0.0
ADD IP ROUTE=172.16.0.1 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXTHOP=0.0.0.0
ADD IP ROUTE=0.0.0.0 INT=ppp1 NEXTHOP=0.0.0.0
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_FORWARDING=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INTERFACE=vlan1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INTERFACE=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net INTERFACE=ppp1 TYPE=PUBLIC
ADD FIREWALL POLICY=net INTERFACE=ppp11 TYPE=PRIVATE
ADD FIREWALL POLICY=net NAT=ENHANCED INTERFACE=vlan1 GBLINTERFACE=ppp1
ADD FIREWALL POLICY=net RU=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=1701 IP=172.16.0.2


ルーターCのコンフィグ [テキスト版]
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
ADD L2TP PASSWORD=l2tpC
ADD L2TP CALL=remote2 REMOTE=remote2 TYPE=VIRTUAL IP=172.16.0.1 PRECEDENCE=OUT PASSWORD=l2tpA
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=userC@cug PASSWORD=cugpasswdC LQR=OFF ECHO=ON
CREATE PPP=1 OVER=eth0-ANY
SET PPP=1 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=ispuserC@isp PASSWORD=isppasswdC LQR=OFF ECHO=ON
CREATE PPP=12 OVER=TNL-remote2 IDLE=ON BAP=OFF LQR=OFF
ENABLE IP
ENABLE IP REMOTEASSIGN
ADD IP INT=vlan1 IP=192.168.30.1 MASK=255.255.255.0
ADD IP INT=ppp0 IP=0.0.0.0
ADD IP INT=ppp1 IP=0.0.0.0
ADD IP INT=ppp12 IP=0.0.0.0
ADD IP ROUTE=172.16.0.1 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INTERFACE=ppp12 NEXTHOP=0.0.0.0
ADD IP ROUTE=0.0.0.0 INT=ppp1 NEXTHOP=0.0.0.0
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_FORWARDING=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INTERFACE=vlan1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INTERFACE=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net INTERFACE=ppp1 TYPE=PUBLIC
ADD FIREWALL POLICY=net INTERFACE=ppp12 TYPE=PRIVATE
ADD FIREWALL POLICY=net NAT=ENHANCED INTERFACE=vlan1 GBLINTERFACE=ppp1
ADD FIREWALL POLICY=net RU=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=1701 IP=172.16.0.3





CentreCOM AR570S 設定例集 2.9 #162

(C) 2006-2013 アライドテレシスホールディングス株式会社

PN: 613-000274 Rev.N

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)