L2TP＋IPsecによるLAN間接続（IP/IPX。両側アドレス固定。インターネットアクセスあり）

L2TPを使って、インターネット経由でIPとIPXのプライベートLAN同士を接続します。さらに、L2TPトンネルをトランスポートモードIPsec（ESP）で暗号化し、インターネット上を通るデータの安全性を確保します。両側のルーターにグローバルアドレスが固定的に設定されている場合の基本設定です。また、ファイアウォールとダイナミックENATの設定により、各拠点からインターネットへのアクセスも可能です。

Note - IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに別売の暗号ボードまたは暗号・圧縮ボードを装着する必要があります。

ここでは、次のような構成のネットワークを例に解説します。最初にベースとなるISP接続の設定を示します。ISPとの接続に特別なところはありません。LAN側インターフェースをマルチホーミングして、ISPから割り当てられたグローバルアドレスをeth0-0に、クライアント用のプライベートアドレスをeth0-1に割り当てています。

表 1：ISP接続の設定

ルーターA ルーターB

TDMグループ名 ISPA ISPB

回線速度 128Kbps 128Kbps

WAN側物理インターフェース bri0 bri0

WAN側（ppp0）IPアドレス Unnumbered Unnumbered

LAN側（eth0-0）IPアドレス(1) 200.100.10.1/28 200.100.20.1/28

LAN側（eth0-1）IPアドレス(2) 192.168.10.1/24 192.168.20.1/24

IPネットワーク（インターネット）上に構築するL2TP VPNの設定は次のとおりです。L2TPトンネルは、ルーターAのグローバルアドレス（200.100.10.1）とルーターBのグローバルアドレス（200.100.20.1）の間に張られます。トンネル上に張った仮想PPPコネクション（ppp1－ppp1）はプライベートLAN間を接続するためのもので、IPとIPXのパケットを通します。

表 2：L2TP・IP・IPX設定

ルーターA ルーターB

L2TPコール名 remote remote

L2TP終端アドレス 200.100.10.1 200.100.20.1

L2TP発着優先発呼優先着呼優先

L2TPサーバーモード LAC/LNS兼用（BOTH） LAC/LNS兼用（BOTH）

L2TPサーバーパスワードなしなし

WAN側（ppp1）IPアドレス Unnumbered Unnumbered

WAN側（ppp1）IPXネットワーク番号 129 129

LAN側（eth0）IPXネットワーク番号 401 12

ルーターMACアドレス 0000f4740012 0000f4740022

Ethernetフレームタイプ 802.3 802.3

ファイルサーバー名 Accounts （なし）

ファイルサーバー内部ネットワーク番号 7500 （なし）

ファイルサーバー内部ステーション番号 00000001 （なし）

NCPソケットアドレス 0451 （なし）

さらに、L2TPトンネルをIPsecで暗号化します。そのときの設定は次のとおりです。トランスポートモードのESPを使って、ルーター間のL2TPパケット（始点・終点UDPポート1701）だけを暗号化します。

表 3：IKEフェーズ1（ISAKMP SAのネゴシエーション）

ルーター間の認証方式事前共有鍵（pre-shared key）

IKE交換モード Mainモード

事前共有鍵 secret（文字列）

Oakleyグループ 1（デフォルト）

ISAKMPメッセージの暗号化方式 DES（デフォルト）

ISAKMPメッセージの認証方式 SHA1（デフォルト）

ISAKMP SAの有効期限（時間） 86400秒（24時間）（デフォルト）

ISAKMP SAの有効期限（Kbyte数）なし（デフォルト）

起動時のISAKMPネゴシエーション行わない

表 4：IKEフェーズ2（IPsec SAのネゴシエーション）

SAモードトランスポートモード

セキュリティープロトコル ESP（暗号＋認証）

暗号化方式 DES

認証方式 SHA1

IPsec SAの有効期限（時間） 28800秒（8時間）（デフォルト）

IPsec SAの有効期限（Kbyte数）なし（デフォルト）

IPsecの適用対象IPアドレス 200.100.10.1:1701/udp ←→ 200.100.20.1:1701/udp

インターネットとの平文通信行う

ルーターAの設定

IPsecはセキュリティーモードでないと動作しないので、同モードで管理設定を行うことのできるSecurity Officerレベルのユーザーをあらかじめ登録しておきます。
Note - Security Officerのパスワードは厳重に管理してください。
専用線の設定をします。
PPPインターフェース「0」を作成します。
IPモジュールを有効にします。
LAN側（eth0）インターフェースをマルチホーミングし、eth0-0にグローバルアドレスを、eth0-1にプライベートアドレスを設定します。
WAN側（ppp0）インターフェースをUnnumberedに設定します。
デフォルトルートを設定します。
L2TPモジュールを有効にします。
L2TPサーバーの動作モードをBOTHにします。
L2TPコール「remote」を作成し、L2TPの接続先情報を登録します。IPには相手ルーターのIPアドレスを指定します。TYPEは呼の種類を示すもので、LAN間接続の場合はVIRTUALを指定します。REMOTEには、このL2TPコールに応じて相手側が起動するL2TPコール名を指定します。PRECEDENCEはL2TPの通信が同時に開始された場合に発呼・着呼のどちらを優先するかを指定します。
L2TPコールを仮想的な物理回線と見なし、その上にPPPインターフェースを作成します。OVERパラメーターにL2TPコールを指定するときは、コール名の前に「TNL-」を付けます。また、ここでは「IDLE=ON」を指定して、必要なときだけ接続するよう設定します。
L2TP仮想回線上のPPPインターフェース「1」をUnnumberedに設定します。このインターフェースは、両拠点のプライベートLAN同士を接続する仮想インターフェースです。
経路情報を設定します。ルーターBのLAN側（192.168.20.0/24）宛のパケットは、L2TP上のPPPインターフェース「1」を通じて送り出します。
ここからIPXの設定を行います。最初にIPXモジュールを有効にします。
LAN側（eth0）インターフェースにIPXネットワーク番号を設定します。
L2TP仮想回線上のPPPインターフェース「1」にIPXネットワーク番号を設定します。また、「DEMAND=ON」を指定し、RIPパケットやSAPパケットの定期交換を行わないようにします。
ルーターB側IPXネットワーク（12）への経路情報を設定します。この例ではRIP/SAPを使用していないため、スタティックルートの登録が必須です。
ファイアウォール機能を有効にします。
ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
Note - デフォルト設定では、ICMPはファイアウォールを通過できません。
ルーターのidentプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
ファイアウォールポリシーの適用対象となるインターフェースを設定します。
- LAN側グローバルセグメント（eth0-0）をPRIVATE（内部）に設定します。
- LAN側プライベートセグメント（eth0-1）をPRIVATE（内部）に設定します。
- WAN側インターフェース（ppp0）をPUBLIC（外部）に設定します。
- L2TPトンネル上のPPPインターフェース（ppp1）をPRIVATE（内部）に設定します。
ダイナミックENATの設定を行います。NAT用グローバルアドレスには、eth0-0に設定したインターフェースアドレス200.100.10.1を共用します。
相手ルーターから受信したIKEパケット（UDP500番）がファイアウォールを通過できるように設定します。
ローカルLANからリモートLANへのパケットにはNATをかけないように設定します。
基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットがUDPで終点IPアドレスが200.100.10.1、終点ポートが1701番（L2TPパケット）ならばNATの対象外とする」の意味になります。
ここからがIPsecの設定になります。最初にISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します（ルーターBと同じに設定）。
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）等で設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。
ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵（鍵番号「1」）を、PEERには対向ルーターのIPアドレスを指定します。
IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターのUDP1701番ポート宛に送受信されるL2TPパケットだけを暗号化する形になります。
SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット（ISAKMP）に設定します。
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
L2TPパケットを暗号化するIPsecポリシー「L2」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、LPORTで対象となるパケットの条件を指定します。
インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
IPsecモジュールを有効にします。
ISAKMPモジュールを有効にします。
Security Officerレベルのユーザーでログインしなおします。
動作モードをセキュリティーモードに切り替えます。
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください（本章末尾のメモを参照）。
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

ルーターBの設定

IPsecはセキュリティーモードでないと動作しないので、同モードで管理設定を行うことのできるSecurity Officerレベルのユーザーをあらかじめ登録しておきます。
Note - Security Officerのパスワードは厳重に管理してください。
専用線の設定をします。
PPPインターフェース「0」を作成します。
IPモジュールを有効にします。
LAN側（eth0）インターフェースをマルチホーミングし、eth0-0にグローバルアドレスを、eth0-1にプライベートアドレスを設定します。
WAN側（ppp0）インターフェースをUnnumberedに設定します。
デフォルトルートを設定します。
L2TPモジュールを有効にします。
L2TPサーバーの動作モードをBOTHにします。
L2TPコール「remote」を作成し、L2TPの接続先情報を登録します。IPには相手ルーターのIPアドレスを指定します。TYPEは呼の種類を示すもので、LAN間接続の場合はVIRTUALを指定します。REMOTEには、このL2TPコールに応じて相手側が起動するL2TPコール名を指定します。PRECEDENCEはL2TPの通信が同時に開始された場合に発呼・着呼のどちらを優先するかを指定します。
L2TPコールを仮想的な物理回線と見なし、その上にPPPインターフェースを作成します。OVERパラメーターにL2TPコールを指定するときは、コール名の前に「TNL-」を付けます。また、ここでは「IDLE=ON」を指定して、必要なときだけ接続するよう設定します。
L2TP仮想回線上のPPPインターフェース「1」をUnnumberedに設定します。このインターフェースは、両拠点のプライベートLAN同士を接続する仮想インターフェースです。
経路情報を設定します。ルーターAのLAN側（192.168.10.0/24）宛のパケットは、L2TP上のPPPインターフェース「1」を通じて送り出します。
ここからIPXの設定を行います。最初にIPXモジュールを有効にします。
LAN側（eth0）インターフェースにIPXネットワーク番号を設定します。
L2TP仮想回線上のPPPインターフェース「1」にIPXネットワーク番号を設定します。また、「DEMAND=ON」を指定し、RIPパケットやSAPパケットの定期交換を行わないようにします。
ルーターA側IPXネットワーク（401）への経路情報を設定します。この例ではRIP/SAPを使用していないため、スタティックルートの登録が必須です。
ルーターA側にあるNetWareサーバーへの経路と、サーバーが提供するサービスをスタティックに登録します。ROUTEにはサーバーのインターナルネットワーク番号を指定します。SERVICEにはサーバー名を、ADDRESSにはファイルサーバーのインターナルネットワーク番号：ステーション番号：NCPソケットアドレスを指定します。TYPEにはサービスの種類を、HOPSにはサーバーまでのホップ数を指定します。
ファイアウォール機能を有効にします。
ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
Note - デフォルト設定では、ICMPはファイアウォールを通過できません。
ルーターのidentプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
ファイアウォールポリシーの適用対象となるインターフェースを設定します。
- LAN側グローバルセグメント（eth0-0）をPRIVATE（内部）に設定します。
- LAN側プライベートセグメント（eth0-1）をPRIVATE（内部）に設定します。
- WAN側インターフェース（ppp0）をPUBLIC（外部）に設定します。
- L2TPトンネル上のPPPインターフェース（ppp1）をPRIVATE（内部）に設定します。
ダイナミックENATの設定を行います。NAT用グローバルアドレスには、eth0-0に設定したインターフェースアドレス200.100.20.1を共用します。
相手ルーターから受信したIKEパケット（UDP500番）がファイアウォールを通過できるように設定します。
ローカルLANからリモートLANへのパケットにはNATをかけないように設定します。
基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットがUDPで終点IPアドレスが200.100.20.1、終点ポートが1701番（L2TPパケット）ならばNATの対象外とする」の意味になります。
ここからがIPsecの設定になります。最初にISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します（ルーターAと同じに設定）。
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）等で設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。
ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵（鍵番号「1」）を、PEERには対向ルーターのIPアドレスを指定します。
IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターのUDP1701番ポート宛に送受信されるL2TPパケットだけを暗号化する形になります。
SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット（ISAKMP）に設定します。
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
L2TPパケットを暗号化するIPsecポリシー「L2」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターAのIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、LPORTで対象となるパケットの条件を指定します。
インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
IPsecモジュールを有効にします。
ISAKMPモジュールを有効にします。
Security Officerレベルのユーザーでログインしなおします。
動作モードをセキュリティーモードに切り替えます。
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください（本章末尾のメモを参照）。
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

メモ

■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。

たとえば、ネットワーク192.168.10.0/24、192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。


ENABLE USER RSO ↓

ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓

ADD USER RSO IP=192.168.20.0 MASK=255.255.255.0 ↓

■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。

■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10～600（秒）を指定します。デフォルトは60秒です。

SET USER SECUREDELAY=300 ↓

まとめ

ルーターAのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓ CREATE TDM GROUP=ISPA INT=bri0 SLOTS=1-2 ↓ CREATE PPP=0 OVER=TDM-ISPA LQR=OFF ↓ ENABLE IP ↓ ADD IP INT=eth0-0 IP=200.100.10.1 MASK=255.255.255.240 ↓ ADD IP INT=eth0-1 IP=192.168.10.1 MASK=255.255.255.0 ↓ ADD IP INT=ppp0 IP=0.0.0.0 ↓ ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓ ENABLE L2TP ↓ ENABLE L2TP SERVER=BOTH ↓ ADD L2TP CALL=remote IP=200.100.20.1 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=OUT ↓ CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=OFF ↓ ADD IP INT=ppp1 IP=0.0.0.0 ↓ ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 ↓ ENABLE IPX ↓ ADD IPX CIRCUIT=1 INTERFACE=eth0 NETWORK=401 ENCAPSULATION=802.3 ↓ ADD IPX CIRCUIT=2 INTERFACE=ppp1 NETWORK=129 DEMAND=ON ↓ ADD IPX ROUTE=12 CIRCUIT=2 NEXTHOP=129:0000f4740022 ↓ ENABLE FIREWALL ↓ CREATE FIREWALL POLICY=net ↓ ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓ DISABLE FIREWALL POLICY=net IDENTPROXY ↓ ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0-1 GBLINT=ppp0 GBLIP=200.100.10.1 ↓ ADD FIREWALL POLICY=net RU=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPO=500 GBLIP=200.100.10.1 PO=500 IP=200.100.10.1 ↓ ADD FIREWALL POLICY=net RU=2 AC=NONAT INT=eth0-1 PROT=ALL IP=192.168.10.1-192.168.10.254 ↓ SET FIREWALL POLICY=net RU=2 REMOTEIP=192.168.20.1-192.168.20.254 ↓ ADD FIREWALL POLICY=net RU=3 AC=NONAT INT=ppp0 PROT=UDP PORT=1701 IP=200.100.10.1 ENCAP=IPSEC ↓ # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓ CREATE ISAKMP POLICY="i" PEER=200.100.20.1 KEY=1 SENDN=TRUE ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓ CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓ CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="L2" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.20.1 ↓ SET IPSEC POLICY="L2" LAD=200.100.10.1 LPORT=1701 RAD=200.100.20.1 RPORT=1701 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓ ENABLE IPSEC ↓ ENABLE ISAKMP ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓

ルーターBのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓ CREATE TDM GROUP=ISPB INT=bri0 SLOTS=1-2 ↓ CREATE PPP=0 OVER=TDM-ISPB LQR=OFF ↓ ENABLE IP ↓ ADD IP INT=eth0-0 IP=200.100.20.1 MASK=255.255.255.240 ↓ ADD IP INT=eth0-1 IP=192.168.20.1 MASK=255.255.255.0 ↓ ADD IP INT=ppp0 IP=0.0.0.0 ↓ ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓ ENABLE L2TP ↓ ENABLE L2TP SERVER=BOTH ↓ ADD L2TP CALL=remote IP=200.100.10.1 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=IN ↓ CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=OFF ↓ ADD IP INT=ppp1 IP=0.0.0.0 ↓ ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 ↓ ENABLE IPX ↓ ADD IPX CIRCUIT=1 INTERFACE=eth0 NETWORK=12 ENCAPSULATION=802.3 ↓ ADD IPX CIRCUIT=2 INTERFACE=ppp1 NETWORK=129 DEMAND=ON ↓ ADD IPX ROUTE=401 CIRCUIT=2 NEXTHOP=129:0000f4740012 ↓ ADD IPX ROUTE=7500 CIRCUIT=2 NEXTHOP=129:0000f4740012 ↓ ADD IPX SERVICE=Accounts ADDRESS=7500:00000001:0451 TYPE=file CIRCUIT=2 HOPS=2 ↓ ENABLE FIREWALL ↓ CREATE FIREWALL POLICY=net ↓ ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓ DISABLE FIREWALL POLICY=net IDENTPROXY ↓ ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0-1 GBLINT=ppp0 GBLIP=200.100.20.1 ↓ ADD FIREWALL POLICY=net RU=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPO=500 GBLIP=200.100.20.1 PO=500 IP=200.100.20.1 ↓ ADD FIREWALL POLICY=net RU=2 AC=NONAT INT=eth0-1 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓ SET FIREWALL POLICY=net RU=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓ ADD FIREWALL POLICY=net RU=3 AC=NONAT INT=ppp0 PROT=UDP PORT=1701 IP=200.100.20.1 ENCAP=IPSEC ↓ # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓ CREATE ISAKMP POLICY="i" PEER=200.100.10.1 KEY=1 SENDN=TRUE ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓ CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓ CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="L2" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1 ↓ SET IPSEC POLICY="L2" LAD=200.100.20.1 LPORT=1701 RAD=200.100.10.1 RPORT=1701 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓ ENABLE IPSEC ↓ ENABLE ISAKMP ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓

CentreCOM AR740 設定例集 2.6 #102

PN: 613-000216 Rev.C

＜前頁次頁＞＜＜＞＞ ↑ 目次（番号順 (詳細)・回線別 (詳細)・機能別 (詳細)）

	ルーターA	ルーターB
TDMグループ名	ISPA	ISPB
回線速度	128Kbps	128Kbps
WAN側物理インターフェース	bri0	bri0
WAN側（ppp0）IPアドレス	Unnumbered	Unnumbered
LAN側（eth0-0）IPアドレス(1)	200.100.10.1/28	200.100.20.1/28
LAN側（eth0-1）IPアドレス(2)	192.168.10.1/24	192.168.20.1/24

	ルーターA	ルーターB
L2TPコール名	remote	remote
L2TP終端アドレス	200.100.10.1	200.100.20.1
L2TP発着優先	発呼優先	着呼優先
L2TPサーバーモード	LAC/LNS兼用（BOTH）	LAC/LNS兼用（BOTH）
L2TPサーバーパスワード	なし	なし
WAN側（ppp1）IPアドレス	Unnumbered	Unnumbered
WAN側（ppp1）IPXネットワーク番号	129	129
LAN側（eth0）IPXネットワーク番号	401	12
ルーターMACアドレス	0000f4740012	0000f4740022
Ethernetフレームタイプ	802.3	802.3
ファイルサーバー名	Accounts	（なし）
ファイルサーバー内部ネットワーク番号	7500	（なし）
ファイルサーバー内部ステーション番号	00000001	（なし）
NCPソケットアドレス	0451	（なし）

ルーター間の認証方式	事前共有鍵（pre-shared key）
IKE交換モード	Mainモード
事前共有鍵	secret（文字列）
Oakleyグループ	1（デフォルト）
ISAKMPメッセージの暗号化方式	DES（デフォルト）
ISAKMPメッセージの認証方式	SHA1（デフォルト）
ISAKMP SAの有効期限（時間）	86400秒（24時間）（デフォルト）
ISAKMP SAの有効期限（Kbyte数）	なし（デフォルト）
起動時のISAKMPネゴシエーション	行わない

SAモード	トランスポートモード
セキュリティープロトコル	ESP（暗号＋認証）
暗号化方式	DES
認証方式	SHA1
IPsec SAの有効期限（時間）	28800秒（8時間）（デフォルト）
IPsec SAの有効期限（Kbyte数）	なし（デフォルト）
IPsecの適用対象IPアドレス	200.100.10.1:1701/udp ←→ 200.100.20.1:1701/udp
インターネットとの平文通信	行う