<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR740 設定例集 2.6 #142

Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(インターネットVPN+ISDNバックアップ〜IPsec編〜)

センター、拠点間をIPsec VPN環境でIP接続するネットワークを構築します。


Note - IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに別売の暗号ボードまたは暗号・圧縮ボードを装着する必要があります。

この例では、ルーターとして本製品をセンター側(ルーターA)、拠点側(ルーターB)に設置するネットワーク構成を例に解説します。
ここでは、次の設定値を想定して説明します。

表 1
 
ルーターA(センター側)
ルーターB(拠点側)
LAN側インターフェース IPアドレス 192.168.10.1/24 192.168.20.1/24
ppp0 IPアドレス(PPPoE接続) 200.100.10.1/32 200.100.20.1/32
ppp1 IPアドレス(BRI、バックアップ回線) Unnumbered Unnumbered
ISDN番号 03-1234-1111 06-1234-2222


表 2:IKEフェーズ1(ISAKMP SAのネゴシエーション)
ルーター間の認証方式 事前共有鍵(pre-shared key)
IKE交換モード Main
事前共有鍵 secret(文字列)
Oakleyグループ 1(デフォルト)
ISAKMPメッセージの暗号化方式 DES(デフォルト)
ISAKMPメッセージの認証方式 SHA1(デフォルト)
ISAKMP SAの有効期限(時間) 86400秒(24時間)(デフォルト)
ISAKMP SAの有効期限(Kbyte数) なし(デフォルト)
起動時のISAKMPネゴシエーション 行わない(デフォルト)


表 3:IKEフェーズ2(IPsec SAのネゴシエーション)
SAモード トンネルモード
セキュリティープロトコル ESP(暗号化+認証)
暗号化方式 DES
認証方式 SHA1
IPsec SAの有効期限(時間) 28800秒(8時間)(デフォルト)
IPsec SAの有効期限(Kbyte数) なし(デフォルト)
トンネリング対象IPアドレス 192.168.10.0/24 ←→ 192.168.20.0/24
トンネル終端アドレス 200.100.10.1(A)・200.100.20.1(B)
インターネットとの平文通信 行う


また、次のような環境を想定しています。


■ 通常接続時(xDSL回線使用時)の通信は以下のように行われます。



■ センター側のメイン回線で障害発生時(バックアップ回線(ISDN)使用時)の通信は以下のように行われます。



■ 拠点側のメイン回線で障害発生時(バックアップ回線(ISDN)使用時)の通信は以下のように行われます。



ルーターAの設定

  1. セキュリティーモードで管理設定を行うことができるSecurity Officerレベルのユーザーを作成します。


    Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。

  2. バックアップ回線のISDNコールを定義します。ここではコール名を「BACKUP」とし、接続先番号として「0612342222」を指定しています。「PRECEDENCE=IN」は、ルーターBと同時に通信が発生した場合に、着呼を優先するよう指定するものです。


  3. 発番号IEのチェックをONに指定します。設定を「ON」にすると、着信時に相手の発番号をチェックし、「06-1234-2222」(ルーターB)からの着信だった場合にだけ、着呼を受け付けます。


  4. eth1インターフェース上にppp0インターフェースを作成します。ここでは、サービス名に「ANY」を設定しています。


  5. ISPに接続するためのユーザー名とパスワードを指定します。また、ISDN向けの機能であるBAPはオフにします。


  6. リンク状態の監視にLCP Echoパケットを使用するため、LQRを「OFF」、ECHOを「ON」に設定します。


    Note - ファームウェアバージョン2.6以降、「IDLE=OFF」(デフォルト)に設定されたPPPoEインターフェースでは、PPPoEセッションキープアライブ機能が働くため、リンクダウン時に自動的に再接続を試みます(リンクダウンを検出するため「ECHO=ON」の設定は必要)。そのため、以前のバージョンで使用していた自動再接続のためのインターフェーストリガーは必要なくなりました。ただし、トリガーの設定があっても問題はありません。以前の設定もそのまま使用できます。

    Note - バージョン2.6よりも前のファームウェアでPPPoEの自動再接続を行うにはインターフェーストリガーの設定が必要です。設定方法については、ご使用中のバージョンに対応したマニュアルをご覧ください。

  7. ISDNコール「BACKUP」上にppp1インターフェースを作成します。ここでは、IDLE(無通信時に切断するまでの時間)を「60」に設定しています。


  8. LQRとBAPを「OFF」に設定します。


  9. IPモジュールを有効にします。


  10. IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。


  11. LAN側インターフェース(eth0)にIPアドレス「192.168.10.1/24」を設定します。


  12. ppp0インターフェースのIPアドレスを「200.100.10.1/32」に設定します。


  13. ppp1インターフェースのIPアドレスを「Unnumbered」に設定します。


  14. デフォルトルートを設定します。この設定で、ISP宛のパケットをルーティングします。


  15. ファイアウォール機能を有効にします。


  16. ファイアウォールポリシーを作成します。ここでは、ポリシー名を「net」としています。


  17. ICMPパケットはPing(Echo/EchoReply)とUnreachableのみ通過させるように設定します。


  18. identプロキシー機能を無効にします。identプロキシーは、FIREWALL有効時に、外部から内部へのident要求に対して代理応答する機能です。無効に設定した場合、ident接続要求に対してRSTを返し、TCPコネクションをただちに終了させます。


  19. ファイアウォール適用対象の各インターフェースを設定します。


  20. LAN側インターフェース(eth0)、ppp1インターフェースにENATの設定をします。


  21. ルーターBから受信したIKEパケット(UDP500番ポート)がファイアーウォールを通過できるように設定します。


  22. ローカルLAN側からルーターBのLAN側宛のパケットにNATが適用されないように設定します。


  23. ルーターBから着信したIPsecのパケットが破棄されないようにファイアーウォールのルールを設定します。以下のコマンドライン中の「ENCAP=IPSEC」を記述することで、IPsecのパケットからオリジナルパケットを取り出した後に、このルールを適用することになります。つまりこのルールは「オリジナルパケットの終点アドレスが192.168.10.1〜192.168.10.254の場合にはNATを適用しない」意味になります。


  24. ルーターBのWAN側インターフェース(ppp0)を監視対象としてPingポーリングの設定をします。ここでは、PingポーリングIDを「1」に設定しています。NORMALINTERVALは監視対象機器がUPのときのポーリング間隔(秒)、UPCOUNTは機器の状態が「Down」「Critical Down」から「UP」に戻るのに必要な連続した「応答あり」の数です。SAMPLESIZEは、到達性判断のために保持しておくPingパケットの数です。ここではNORMALINTERVALを「10」、UPCOUNTを「5」、SAMPLESIZEを「10」に設定しています。


  25. Pingポーリングを有効にします。ここでは、PingポーリングIDを「1」に設定しています。


  26. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは、鍵番号を「1」、鍵の値を「secret」に設定します。


  27. ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYとして前の手順で作成した事前共有鍵(鍵番号「1」)、PEERにルーターBのIPアドレスを指定します。


  28. ISAKMPモジュールを有効にします。


  29. IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。


  30. 作成したSAスペック「1」のみを使用して、SAバンドルスペック「1」を構成します。鍵管理方式には「ISAKMP」を指定します。


  31. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。


    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージを通過させる設定を行ってください。IPsecポリシーは設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意してください。ポリシーの検索順序はSHOW IPSEC POLICYコマンドで確認できます。また、検索順序を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  32. 実際のIPsec通信に使用するIPsecポリシー「vpn」をppp0インターフェースに対して作成します。鍵管理方式に「ISAKMP」、PEERにはルーターBのIPアドレス、バンドルスペックに「1」を指定します。


  33. IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を使用してください。


  34. ISP宛の平文通信を許可するIPsecポリシー「inet」をpppOインターフェースに対して作成します。


    Note - インターネットにもアクセスする場合は、必ず最後にすべてのパケットを通過させるIPsecポリシーを作成してください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されるため、上記の設定がないとVPN以外との通信ができません。

  35. IPsecモジュールを有効にします。


  36. スクリプト「pingd.scp」を作成します。pingd.scpでは、ルーターBのLAN側宛のパケットが、バックアップ回線上のppp1経由で送信されるようにスタティックルートを追加します。さらにISAKMPとIPsecを無効にし、再度ISAKMPとIPsecを有効にします。


    Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド(内蔵フルスクリーンエディター)等を使って設定スクリプトファイル(.CFG)にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。

  37. スクリプト「pingu.scp」を作成します。pingu.scpでは、バックアップ回線上のppp1側に設定していたルーターBのLAN側宛のスタティックルートを削除します。


  38. トリガー機能を有効にします。


  39. PingポーリングによりデバイスのUPを検出すると、先に作成したスクリプト「pingu.scp」を実行するトリガー「4」を作成します。


  40. PingポーリングによりデバイスのDOWNを検出すると、先に作成したスクリプト「pingd.scp」を実行するトリガー「5」を作成します。


  41. セキュリティーレベルのユーザーでログインしなおします。


  42. 動作モードをセキュリティーモードに切り替えます。


    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。

  43. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


ルーターBの設定

  1. セキュリティーモードで管理設定を行うことができるSecurity Officerレベルのユーザーを作成します。


    Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。

  2. バックアップ回線のISDNコールを定義します。ここではコール名を「BACKUP」とし、接続先番号として「0312341111」を指定しています。「PRECEDENCE=OUT」は、ルーターAと同時に通信が発生した場合に、発呼を優先するよう指定するものです。


  3. 発番号IEのチェックをONに指定します。設定を「ON」にすると、着信時に相手の発番号をチェックし、「03-1234-1111」(ルーターA)からの着信だった場合にだけ、着呼を受け付けます。


  4. eth1インターフェース上にppp0インターフェースを作成します。ここでは、サービス名に「ANY」を設定しています。


  5. ISPに接続するためのユーザー名とパスワードを指定します。また、ISDN向けの機能であるBAPはオフにします。


  6. リンク状態の監視にLCP Echoパケットを使用するため、LQRを「OFF」、ECHOを「ON」に設定します。


    Note - ファームウェアバージョン2.6以降、「IDLE=OFF」(デフォルト)に設定されたPPPoEインターフェースでは、PPPoEセッションキープアライブ機能が働くため、リンクダウン時に自動的に再接続を試みます(リンクダウンを検出するため「ECHO=ON」の設定は必要)。そのため、以前のバージョンで使用していた自動再接続のためのインターフェーストリガーは必要なくなりました。ただし、トリガーの設定があっても問題はありません。以前の設定もそのまま使用できます。

    Note - バージョン2.6よりも前のファームウェアでPPPoEの自動再接続を行うにはインターフェーストリガーの設定が必要です。設定方法については、ご使用中のバージョンに対応したマニュアルをご覧ください。

  7. ISDNコール「BACKUP」上にppp1インターフェースを作成します。ここでは、IDLE(無通信時に切断するまでの時間)を「60」に設定しています。


  8. LQRとBAPを「OFF」に設定します。


  9. IPモジュールを有効にします。


  10. IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。


  11. LAN側インターフェース(eth0)にIPアドレス「192.168.20.1/24」を設定します。


  12. ppp0インターフェースのIPアドレスを「200.100.20.1/32」に設定します。


  13. ppp1インターフェースのIPアドレスを「Unnumbered」に設定します。


  14. デフォルトルートを設定します。この設定で、ISP宛のパケットをルーティングします。


  15. ファイアウォール機能を有効にします。


  16. ファイアウォールポリシーを作成します。ここでは、ポリシー名を「net」としています。


  17. ICMPパケットはPing(Echo/EchoReply)とUnreachableのみ通過させるように設定します。


  18. identプロキシー機能を無効にします。identプロキシーは、FIREWALL有効時に、外部から内部へのident要求に対して代理応答する機能です。無効に設定した場合、ident接続要求に対してRSTを返し、TCPコネクションをただちに終了させます。


  19. ファイアウォール適用対象の各インターフェースを設定します。


  20. LAN側インターフェース(eth0)、ppp1インターフェースにENATの設定をします。


  21. ルーターAから受信したIKEパケット(UDP500番ポート)がファイアーウォールを通過できるように設定します。


  22. ローカルLAN側からルーターAのLAN側宛のパケットにNATが適用されないように設定します。


  23. ルーターAから着信したIPsecのパケットが破棄されないようにファイアーウォールのルールを設定します。以下のコマンドライン中の「ENCAP=IPSEC」を記述することで、IPsecのパケットからオリジナルパケットを取り出した後に、このルールを適用することになります。つまりこのルールは「オリジナルパケットの終点アドレスが192.168.10.1〜192.168.10.254の場合にはNATを適用しない」意味になります。


  24. ルーターAのWAN側インターフェース(ppp0)を監視対象としてPingポーリングの設定をします。ここでは、PingポーリングIDを「1」に設定しています。NORMALINTERVALは監視対象機器がUPのときのポーリング間隔(秒)、UPCOUNTは機器の状態が「Down」「Critical Down」から「UP」に戻るのに必要な連続した「応答あり」の数です。SAMPLESIZEは、到達性判断のために保持しておくPingパケットの数です。ここではNORMALINTERVALを「10」、UPCOUNTを「5」、SAMPLESIZEを「10」に設定しています。


  25. Pingポーリングを有効にします。ここでは、PingポーリングIDを「1」に設定しています。


  26. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは、鍵番号を「1」、鍵の値を「secret」に設定します。


  27. ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYとして前の手順で作成した事前共有鍵(鍵番号「1」)、PEERにルーターAのIPアドレスを指定します。


  28. ISAKMPモジュールを有効にします。


  29. IPsec通信の使用を定義するSAスペック「1」を作成します。トンネルモード、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。


  30. 作成したSAスペック「1」のみを使用して、SAバンドルスペック「1」を構成します。鍵管理方式には「ISAKMP」を指定します。


  31. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。


    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージを通過させる設定を行ってください。IPsecポリシーは設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意してください。ポリシーの検索順序はSHOW IPSEC POLICYコマンドで確認できます。また、検索順序を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  32. 実際のIPsec通信に使用するIPsecポリシー「vpn」をppp0インターフェースに対して作成します。鍵管理方式に「ISAKMP」、PEERにはルーターAのIPアドレス、バンドルスペックに「1」を指定します。


  33. IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を使用してください。


  34. ISP宛の平文通信を許可するIPsecポリシー「inet」をpppOインターフェースに対して作成します。


    Note - インターネットにもアクセスする場合は、必ず最後にすべてのパケットを通過させるIPsecポリシーを作成してください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されるため、上記の設定がないとVPN以外との通信ができません。

  35. IPsecモジュールを有効にします。


  36. スクリプト「pingd.scp」を作成します。pingd.scpでは、ルーターAのLAN側宛のパケットが、バックアップ回線上のppp1経由で送信されるようにスタティックルートを追加します。さらにISAKMPとIPsecを無効にし、再度ISAKMPとIPsecを有効にします。


    Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド(内蔵フルスクリーンエディター)等を使って設定スクリプトファイル(.CFG)にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。

  37. スクリプト「pingu.scp」を作成します。pingu.scpでは、バックアップ回線上のppp1側に設定していたルーターAのLAN側宛のスタティックルートを削除します。


  38. トリガー機能を有効にします。


  39. PingポーリングによりデバイスのUPを検出すると、先に作成したスクリプト「pingu.scp」を実行するトリガー「4」を作成します。


  40. PingポーリングによりデバイスのDOWNを検出すると、先に作成したスクリプト「pingd.scp」を実行するトリガー「5」を作成します。


  41. セキュリティーレベルのユーザーでログインしなおします。


  42. 動作モードをセキュリティーモードに切り替えます。


    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。

  43. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


メモ

■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。

たとえば、ネットワーク192.168.10.0/24、192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。


■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。

■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜600(秒)を指定します。デフォルトは60秒です。

まとめ

ルーターAのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
ADD ISDN CALL=BACKUP NUMBER=0612342222 PRECEDENCE=IN
SET ISDN CALL=BACKUP SEARCHCLI=ON
CREATE PPP=0 OVER=eth1-ANY
SET PPP=0 BAP=OFF USERNAME=user@isp PASSWORD=isppasswd
SET PPP=0 OVER=eth1-ANY LQR=OFF ECHO=ON
CREATE PPP=1 IDLE=60 OVER=ISDN-BACKUP
SET PPP=1 OVER=ISDN-BACKUP LQR=OFF BAP=OFF
ENABLE IP
ENABLE IP REMOTEASSIGN
ADD IP INTERFACE=eth0 IPADDRESS=192.168.10.1 MASK=255.255.255.0
ADD IP INTERFACE=ppp0 IPADDRESS=200.100.10.1 MASK=255.255.255.255
ADD IP INTERFACE=ppp1 IPADDRESS=0.0.0.0
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INTERFACE=ppp0 NEXT=0.0.0.0
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_FORWARDING=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INTERFACE=eth0 TYPE=PRIVATE
ADD FIREWALL POLICY=net INTERFACE=ppp1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INTERFACE=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net NAT=ENHANCED INTERFACE=eth0 GBLINTERFACE=ppp0 GBLIP=200.100.10.1
ADD FIREWALL POLICY=net NAT=ENHANCED INTERFACE=ppp1 GBLINTERFACE=ppp0 GBLIP=200.100.10.1
ADD FIREWALL POLICY=net RULE=1 ACTION=ALLOW INTERFACE=ppp0 PROTOCOL=UDP GBLPORT=500 GBLIP=200.100.10.1 PORT=500 IP=200.100.10.1
ADD FIREWALL POLICY=net RULE=2 ACTION=NON INTERFACE=eth0 PROTOCOL=ALL IP=192.168.10.1-192.168.10.254
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254
ADD FIREWALL POLICY=net RULE=3 ACTION=NON INTERFACE=ppp0 PROTOCOL=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC
ADD PING POLL=1 IPADDRESS=200.100.20.1 NORMALINTERVAL=10 UPCOUNT=5 SAMPLESIZE=10
ENABLE PING POLL=1
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i" PEER=200.100.20.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH
ENABLE ISAKMP
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1"
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY="vpn" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.20.1
SET IPSEC POLICY="vpn" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0
CREATE IPSEC POLICY="inet" INTERFACE=ppp0 ACTION=PERMIT
ENABLE IPSEC
ENABLE TRIGGER
CREATE TRIGGER=4 MODULE=PING EVENT=DEVICEUP POLL=1 SCRIPT=pingu.scp
CREATE TRIGGER=5 MODULE=PING EVENT=DEVICEDOWN POLL=1 SCRIPT=pingd.scp
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE


スクリプト「pingd.scp」 [テキスト版]
ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INTERFACE=ppp1 NEXTHOP=0.0.0.0
DISABLE ISAKMP
DISABLE IPSEC
ENABLE ISAKMP
ENABLE IPSEC


スクリプト「pingu.scp」 [テキスト版]
DELETE IP ROUTE=192.168.20.0 MASK=255.255.255.0 INTERFACE=ppp1 NEXTHOP=0.0.0.0


ルーターBのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
ADD ISDN CALL=BACKUP NUMBER=0312341111 PRECEDENCE=OUT
SET ISDN CALL=BACKUP SEARCHCLI=ON
CREATE PPP=0 OVER=eth1-ANY
SET PPP=0 BAP=OFF USERNAME=user@isp PASSWORD=isppasswd
SET PPP=0 OVER=eth1-ANY LQR=OFF ECHO=ON
CREATE PPP=1 IDLE=60 OVER=ISDN-BACKUP
SET PPP=1 OVER=ISDN-BACKUP LQR=OFF BAP=OFF
ENABLE IP
ENABLE IP REMOTEASSIGN
ADD IP INTERFACE=eth0 IPADDRESS=192.168.20.1 MASK=255.255.255.0
ADD IP INTERFACE=ppp0 IPADDRESS=200.100.20.1 MASK=255.255.255.255
ADD IP INTERFACE=ppp1 IPADDRESS=0.0.0.0
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INTERFACE=ppp0 NEXT=0.0.0.0
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_FORWARDING=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INTERFACE=eth0 TYPE=PRIVATE
ADD FIREWALL POLICY=net INTERFACE=ppp1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INTERFACE=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net NAT=ENHANCED INTERFACE=eth0 GBLINTERFACE=ppp0 GBLIP=200.100.20.1
ADD FIREWALL POLICY=net NAT=ENHANCED INTERFACE=ppp1 GBLINTERFACE=ppp0 GBLIP=200.100.20.1
ADD FIREWALL POLICY=net RULE=1 ACTION=ALLOW INTERFACE=ppp0 PROTOCOL=UDP GBLPORT=500 GBLIP=200.100.20.1 PORT=500 IP=200.100.20.1
ADD FIREWALL POLICY=net RULE=2 ACTION=NON INTERFACE=eth0 PROTOCOL=ALL IP=192.168.20.1-192.168.20.254
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254
ADD FIREWALL POLICY=net RULE=3 ACTION=NON INTERFACE=ppp0 PROTOCOL=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC
ADD PING POLL=1 IPADDRESS=200.100.10.1 NORMALINTERVAL=10 UPCOUNT=5 SAMPLESIZE=10
ENABLE PING POLL=1
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i" PEER=200.100.10.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH
ENABLE ISAKMP
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1"
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY="vpn" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1
SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0
CREATE IPSEC POLICY="inet" INTERFACE=ppp0 ACTION=PERMIT
ENABLE IPSEC
ENABLE TRIGGER
CREATE TRIGGER=4 MODULE=PING EVENT=DEVICEUP POLL=1 SCRIPT=pingu.scp
CREATE TRIGGER=5 MODULE=PING EVENT=DEVICEDOWN POLL=1 SCRIPT=pingd.scp
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE


スクリプト「pingd.scp」 [テキスト版]
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INTERFACE=ppp1 NEXTHOP=0.0.0.0
DISABLE ISAKMP
DISABLE IPSEC
ENABLE ISAKMP
ENABLE IPSEC


スクリプト「pingu.scp」 [テキスト版]
DELETE IP ROUTE=192.168.10.0 MASK=255.255.255.0 INTERFACE=ppp1 NEXTHOP=0.0.0.0




CentreCOM AR740 設定例集 2.6 #142

(C) 1997 - 2008 アライドテレシスホールディングス株式会社

PN: 613-000216 Rev.C

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)