<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #100
L2TPによるLAN間接続(IP/IPX。両側アドレス固定。インターネットアクセスあり)
L2TPを使って、インターネット経由でIPとIPXのプライベートLAN同士を接続します。両側のルーターにグローバルアドレスが固定的に設定されている場合の基本設定です。この例では、ファイアウォールとダイナミックENATの設定により、各拠点からインターネットへのアクセスも可能です。
Note
- L2TPはPPPをトンネリングするだけで、暗号化などのセキュリティー機能は持っていません。暗号化が必要なときは、IPsec(トランスポートモード)と併用する必要があります。なお、L2TPとIPsecの併用が必要なのは、VPN上でIP以外のプロトコル(IPXやAppleTalk)を使いたいときだけです。VPN上で使うプロトコルがIPだけであれば、IPsec(トンネルモード)単体で目的を達成できます。
L2TPとファイアウォールを併用する場合は、次の点がポイントになります。
- L2TPパケット(始点・終点UDPポート1701)がファイアウォールで遮断されないようにルールを設定する。
ここでは、次のような構成のネットワークを例に解説します。
IPレベルでのネットワーク構成は次のようになります。ISPとの接続に特別なところはありません。LAN側インターフェースをマルチホーミングして、ISPから割り当てられたグローバルアドレスをeth0-0に、クライアント用のプライベートアドレスをeth0-1に割り当てています。
表 1:ISP接続の設定
| |
ルーターA |
ルーターB |
| TDMグループ名 |
ISPA |
ISPB |
| 回線速度 |
128Kbps |
128Kbps |
| WAN側物理インターフェース |
bri0 |
bri0 |
| WAN側(ppp0)IPアドレス |
Unnumbered |
Unnumbered |
| LAN側(eth0-0)IPアドレス(1) |
200.100.10.1/28 |
200.100.20.1/28 |
| LAN側(eth0-1)IPアドレス(2) |
192.168.10.1/24 |
192.168.20.1/24 |
インターネット接続環境を前提とするL2TPの設定は次のとおりです。L2TPトンネルは、ルーターAのグローバルアドレス(200.100.10.1)とルーターBのグローバルアドレス(200.100.20.1)の間に張られます。トンネル上に張った仮想PPPコネクション(ppp1−ppp1)はプライベートLAN間を接続するためのもので、IPとIPXのパケットを通します。
表 2:L2TP・IP・IPX設定
| |
ルーターA |
ルーターB |
| L2TPコール名 |
remote |
remote |
| L2TP終端アドレス |
200.100.10.1 |
200.100.20.1 |
| L2TP発着優先 |
発呼優先 |
着呼優先 |
| L2TPサーバーモード |
LAC/LNS兼用(BOTH) |
LAC/LNS兼用(BOTH) |
| L2TPサーバーパスワード |
l2tpA |
l2tpB |
| WAN側(ppp1)IPアドレス |
Unnumbered |
Unnumbered |
| WAN側(ppp1)IPXネットワーク番号 |
129 |
129 |
| LAN側(eth0)IPXネットワーク番号 |
401 |
12 |
| ルーターMACアドレス |
0000f4740012 |
0000f4740022 |
| Ethernetフレームタイプ |
802.3 |
802.3 |
| ファイルサーバー名 |
Accounts |
(なし) |
| ファイルサーバー内部ネットワーク番号 |
7500 |
(なし) |
| ファイルサーバー内部ステーション番号 |
00000001 |
(なし) |
| NCPソケットアドレス |
0451 |
(なし) |
- 専用線の設定をします。
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=ISPA INT=bri0 SLOTS=1-2 ↓
- PPPインターフェース「0」を作成します。
CREATE PPP=0 OVER=TDM-ISPA LQR=OFF ↓
- IPモジュールを有効にします。
- LAN側(eth0)インターフェースをマルチホーミングし、eth0-0にグローバルアドレスを、eth0-1にプライベートアドレスを設定します。
ADD IP INT=eth0-0 IP=200.100.10.1 MASK=255.255.255.240 ↓
ADD IP INT=eth0-1 IP=192.168.10.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースをUnnumberedに設定します。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
- L2TPモジュールを有効にします。
- L2TPサーバーの動作モードをBOTHにします。
ENABLE L2TP SERVER=BOTH ↓
- 他のL2TPサーバーから接続要求を受けた際の認証用パスワードを設定します。
SET L2TP PASSWORD=l2tpA ↓
- L2TPコール「remote」を作成し、L2TPの接続先情報を登録します。IPには相手ルーターのIPアドレスを指定します。TYPEは呼の種類を示すもので、LAN間接続の場合はVIRTUALを指定します。REMOTEには、このL2TPコールに応じて相手側が起動するL2TPコール名を指定します。PRECEDENCEはL2TPの通信が同時に開始された場合に発呼・着呼のどちらを優先するかを指定します。PASSWORDには、接続先で認証を受けるためのパスワードを指定します。
ADD L2TP CALL=remote IP=200.100.20.1 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=OUT PASSWORD=l2tpB ↓
- L2TPコールを仮想的な物理回線と見なし、その上にPPPインターフェースを作成します。OVERパラメーターにL2TPコールを指定するときは、コール名の前に「TNL-」を付けます。また、ここでは「IDLE=ON」を指定して、必要なときだけ接続するよう設定します。
CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=OFF ↓
- L2TP仮想回線上のPPPインターフェース「1」をUnnumberedに設定します。このインターフェースは、両拠点のプライベートLAN同士を接続する仮想インターフェースです。
ADD IP INT=ppp1 IP=0.0.0.0 ↓
- 経路情報を設定します。ルーターBのLAN側(192.168.20.0/24)宛てのパケットは、L2TP上のPPPインターフェース「1」を通じて送り出します。
ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 ↓
- ここからIPXの設定を行います。最初にIPXモジュールを有効にします。
- LAN側(eth0)インターフェースにIPXネットワーク番号を設定します。
ADD IPX CIRCUIT=1 INTERFACE=eth0 NETWORK=401 ENCAPSULATION=802.3 ↓
- L2TP仮想回線上のPPPインターフェース「1」にIPXネットワーク番号を設定します。また、「DEMAND=ON」を指定し、RIPパケットやSAPパケットの定期交換を行わないようにします。
ADD IPX CIRCUIT=2 INTERFACE=ppp1 NETWORK=129 DEMAND=ON ↓
- ルーターB側IPXネットワーク(12)への経路情報を設定します。この例ではRIP/SAPを使用していないため、スタティックルートの登録が必須です。
ADD IPX ROUTE=12 CIRCUIT=2 NEXTHOP=129:0000f4740022 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを設定します。
- LAN側グローバルセグメント(eth0-0)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PRIVATE ↓
- LAN側プライベートセグメント(eth0-1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE ↓
- WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- L2TPトンネル上のPPPインターフェース(ppp1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE ↓
- ダイナミックENATの設定を行います。NAT用グローバルアドレスには、eth0-0に設定したインターフェースアドレス200.100.10.1を共用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0-1 GBLINT=ppp0 GBLIP=200.100.10.1 ↓
- 相手ルーターから受信したL2TPパケット(UDP1701番)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RU=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPO=1701 GBLIP=200.100.10.1 PO=1701 IP=200.100.10.1 ↓
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- 専用線の設定をします。
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=ISPB INT=bri0 SLOTS=1-2 ↓
- PPPインターフェース「0」を作成します。
CREATE PPP=0 OVER=TDM-ISPB LQR=OFF ↓
- IPモジュールを有効にします。
- LAN側(eth0)インターフェースをマルチホーミングし、eth0-0にグローバルアドレスを、eth0-1にプライベートアドレスを設定します。
ADD IP INT=eth0-0 IP=200.100.20.1 MASK=255.255.255.240 ↓
ADD IP INT=eth0-1 IP=192.168.20.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースをUnnumberedに設定します。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
- L2TPモジュールを有効にします。
- L2TPサーバーの動作モードをBOTHにします。
ENABLE L2TP SERVER=BOTH ↓
- 他のL2TPサーバーから接続要求を受けた際の認証用パスワードを設定します。
SET L2TP PASSWORD=l2tpB ↓
- L2TPコール「remote」を作成し、L2TPの接続先情報を登録します。IPには相手ルーターのIPアドレスを指定します。TYPEは呼の種類を示すもので、LAN間接続の場合はVIRTUALを指定します。REMOTEには、このL2TPコールに応じて相手側が起動するL2TPコール名を指定します。PRECEDENCEはL2TPの通信が同時に開始された場合に発呼・着呼のどちらを優先するかを指定します。PASSWORDには、接続先で認証を受けるためのパスワードを指定します。
ADD L2TP CALL=remote IP=200.100.10.1 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=IN PASSWORD=l2tpA ↓
- L2TPコールを仮想的な物理回線と見なし、その上にPPPインターフェースを作成します。OVERパラメーターにL2TPコールを指定するときは、コール名の前に「TNL-」を付けます。また、ここでは「IDLE=ON」を指定して、必要なときだけ接続するよう設定します。
CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=OFF ↓
- L2TP仮想回線上のPPPインターフェース「1」をUnnumberedに設定します。このインターフェースは、両拠点のプライベートLAN同士を接続する仮想インターフェースです。
ADD IP INT=ppp1 IP=0.0.0.0 ↓
- 経路情報を設定します。ルーターAのLAN側(192.168.10.0/24)宛てのパケットは、L2TP上のPPPインターフェース「1」を通じて送り出します。
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 ↓
- ここからIPXの設定を行います。最初にIPXモジュールを有効にします。
- LAN側(eth0)インターフェースにIPXネットワーク番号を設定します。
ADD IPX CIRCUIT=1 INTERFACE=eth0 NETWORK=12 ENCAPSULATION=802.3 ↓
- L2TP仮想回線上のPPPインターフェース「1」にIPXネットワーク番号を設定します。また、「DEMAND=ON」を指定し、RIPパケットやSAPパケットの定期交換を行わないようにします。
ADD IPX CIRCUIT=2 INTERFACE=ppp1 NETWORK=129 DEMAND=ON ↓
- ルーターA側IPXネットワーク(401)への経路情報を設定します。この例ではRIP/SAPを使用していないため、スタティックルートの登録が必須です。
ADD IPX ROUTE=401 CIRCUIT=2 NEXTHOP=129:0000f4740012 ↓
- ルーターA側にあるNetWareサーバーへの経路と、サーバーが提供するサービスをスタティックに登録します。ROUTEにはサーバーのインターナルネットワーク番号を指定します。SERVICEにはサーバー名を、ADDRESSにはファイルサーバーのインターナルネットワーク番号:ステーション番号:NCPソケットアドレスを指定します。TYPEにはサービスの種類を、HOPSにはサーバーまでのホップ数を指定します。
ADD IPX ROUTE=7500 CIRCUIT=2 NEXTHOP=129:0000f4740012 ↓
ADD IPX SERVICE=Accounts ADDRESS=7500:00000001:0451 TYPE=file CIRCUIT=2 HOPS=2 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを設定します。
- LAN側グローバルセグメント(eth0-0)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PRIVATE ↓
- LAN側プライベートセグメント(eth0-1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE ↓
- WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- L2TPトンネル上のPPPインターフェース(ppp1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE ↓
- ダイナミックENATの設定を行います。NAT用グローバルアドレスには、eth0-0に設定したインターフェースアドレス200.100.20.1を共用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0-1 GBLINT=ppp0 GBLIP=200.100.20.1 ↓
- 相手ルーターから受信したL2TPパケット(UDP1701番)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RU=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPO=1701 GBLIP=200.100.20.1 PO=1701 IP=200.100.20.1 ↓
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
ルーターAのコンフィグ
[テキスト版]
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=ISPA INT=bri0 SLOTS=1-2 ↓
CREATE PPP=0 OVER=TDM-ISPA LQR=OFF ↓
ENABLE IP ↓
ADD IP INT=eth0-0 IP=200.100.10.1 MASK=255.255.255.240 ↓
ADD IP INT=eth0-1 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
SET L2TP PASSWORD=l2tpA ↓
ADD L2TP CALL=remote IP=200.100.20.1 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=OUT PASSWORD=l2tpB ↓
CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=OFF ↓
ADD IP INT=ppp1 IP=0.0.0.0 ↓
ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 ↓
ENABLE IPX ↓
ADD IPX CIRCUIT=1 INTERFACE=eth0 NETWORK=401 ENCAPSULATION=802.3 ↓
ADD IPX CIRCUIT=2 INTERFACE=ppp1 NETWORK=129 DEMAND=ON ↓
ADD IPX ROUTE=12 CIRCUIT=2 NEXTHOP=129:0000f4740022 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0-1 GBLINT=ppp0 GBLIP=200.100.10.1 ↓
ADD FIREWALL POLICY=net RU=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPO=1701 GBLIP=200.100.10.1 PO=1701 IP=200.100.10.1 ↓
|
ルーターBのコンフィグ
[テキスト版]
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=ISPB INT=bri0 SLOTS=1-2 ↓
CREATE PPP=0 OVER=TDM-ISPB LQR=OFF ↓
ENABLE IP ↓
ADD IP INT=eth0-0 IP=200.100.20.1 MASK=255.255.255.240 ↓
ADD IP INT=eth0-1 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
SET L2TP PASSWORD=l2tpB ↓
ADD L2TP CALL=remote IP=200.100.10.1 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=IN PASSWORD=l2tpA ↓
CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=OFF ↓
ADD IP INT=ppp1 IP=0.0.0.0 ↓
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 ↓
ENABLE IPX ↓
ADD IPX CIRCUIT=1 INTERFACE=eth0 NETWORK=12 ENCAPSULATION=802.3 ↓
ADD IPX CIRCUIT=2 INTERFACE=ppp1 NETWORK=129 DEMAND=ON ↓
ADD IPX ROUTE=401 CIRCUIT=2 NEXTHOP=129:0000f4740012 ↓
ADD IPX ROUTE=7500 CIRCUIT=2 NEXTHOP=129:0000f4740012 ↓
ADD IPX SERVICE=Accounts ADDRESS=7500:00000001:0451 TYPE=file CIRCUIT=2 HOPS=2 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0-1 GBLINT=ppp0 GBLIP=200.100.20.1 ↓
ADD FIREWALL POLICY=net RU=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPO=1701 GBLIP=200.100.20.1 PO=1701 IP=200.100.20.1 ↓
|
CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #100
Copyright (C) 1997-2003 アライドテレシス株式会社
PN: J613-M0507-00 Rev.G
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))