<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #105
L2TP+IPsecによるリモートアクセス型VPN
L2TPによるリモートアクセス型VPNの設定です。この例では、LAC・LNS間のL2TPトンネルをトランスポートモードIPsec(ESP)で暗号化し、インターネット上を流れるデータの安全性を確保しています。
ここでは、次のような構成のネットワークを例に解説します。
Note
- IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに別売の暗号ボード(AR010)または暗号・圧縮ボード(AR011)を装着する必要があります。
最初にルーターA(LNS)、ルーターB(LAC)のインターネット接続設定とL2TPの基本設定についてまとめます。ルーターA、Bは、インターネット経由でL2TPのトンネルを張ります。この例では、トンネルは必ずLAC(ルーターB)側から張られます。
表 1:ISP接続とL2TPの基本設定
| |
ルーターA |
ルーターB |
| TDMグループ名 |
ISPA |
ISPB |
| 回線速度 |
128Kbps |
128Kbps |
| WAN側(ppp0)IPアドレス |
Unnumbered |
Unnumbered |
| LAN側(eth0-0)IPアドレス |
200.100.10.1/29 |
200.100.20.1/29 |
| LAN側(eth0-1)IPアドレス |
192.168.10.1/24 |
− |
| L2TP終端アドレス |
200.100.10.1 |
200.100.20.1 |
| L2TPサーバーモード |
LNS |
LAC |
| L2TPサーバーパスワード |
l2tpA |
− |
| BAY0 |
BRIインターフェースカード(AR021) |
BRIインターフェースカード(AR021) |
| BAY1 |
− |
BRIインターフェースカード(AR021) |
さらに、LAC・LNS間のL2TPトンネルをIPsecで暗号化します。そのときの設定は次のとおりです。トランスポートモードのESPを使って、ルーター間のL2TPパケット(始点・終点UDPポート1701)だけを暗号化します。
表 2:IKEフェーズ1(ISAKMP SAのネゴシエーション)
| ルーター間の認証方式 |
事前共有鍵(pre-shared key) |
| IKE交換モード |
Mainモード |
| 事前共有鍵 |
secret(文字列) |
| Oakleyグループ |
1(デフォルト) |
| ISAKMPメッセージの暗号化方式 |
DES(デフォルト) |
| ISAKMPメッセージの認証方式 |
SHA1(デフォルト) |
| ISAKMP SAの有効期限(時間) |
86400秒(24時間)(デフォルト) |
| ISAKMP SAの有効期限(Kbyte数) |
なし(デフォルト) |
| 起動時のISAKMPネゴシエーション |
行わない |
表 3:IKEフェーズ2(IPsec SAのネゴシエーション)
| SAモード |
トランスポートモード |
| セキュリティープロトコル |
ESP(暗号+認証) |
| 暗号化方式 |
DES |
| 認証方式 |
SHA1 |
| IPComp |
使わない |
| IPsec SAの有効期限(時間) |
28800秒(8時間)(デフォルト) |
| IPsec SAの有効期限(Kbyte数) |
なし(デフォルト) |
| IPsecの適用対象IPアドレス |
200.100.10.1:1701/udp ←→ 200.100.20.1:1701/udp |
| インターネットとの平文通信 |
行わない |
LNS(ルーターA)の設定は次のとおりです。LNSは、トンネル(LAC)経由でリモートユーザーからのダイヤルアップ接続を受け入れるルーターです。ユーザーが接続してきたときに動的にPPPインターフェースを作成し、IPアドレスプールから空きアドレスを割り当てます。
表 4:LNS(ルーターA)の設定
| IPアドレスプール |
POOL(192.168.10.20〜192.168.10.30) |
| 登録ユーザー(パスワード)(1) |
AAA(PasswordA) |
| 登録ユーザー(パスワード)(2) |
BBB(PasswordB) |
LAC(ルーターB)の設定は次のとおりです。LACは、ISDN経由でリモートユーザーからの接続を受け付け、LNSとの間にL2TPトンネルを確立し、ユーザーからのPPPフレームをトンネル経由でLNSに中継するルーターです。
表 5:LAC(ルーターB)の設定
| ISDN番号 |
03-1234-1111 |
| ISDNコール名 |
RMT(ダイヤルアップ受け入れ用) |
| ISDN発着優先 |
着呼優先(専用) |
最後にリモートユーザー(ルーターC)の設定についてまとめます。リモートユーザーは、通常のダイヤルアップPPP接続ができればよく、L2TPやIPsecに対応している必要はありません。ルーターCは、LAN側端末からの通信要求に応じてLACにダイヤルアップします(ダイヤルオンデマンド)。これは、物理的にはLACとの接続ですが、L2TPの働きにより実際にはLNSにダイヤルアップしたことになります。LNSとの間にPPPセッションが確立すると、通常の認証処理を受け、ルーターAのLAN側アドレスを1つ動的に割り当てられます。端末型の接続になるため、ダイナミックENATを使ってルーターCのLAN側端末が外に出られるようにしています。
表 6:リモートユーザー(ルーターC)の設定
| ISDNコール名 |
LAC(LACへのダイヤルアップ用) |
| ISDN発着優先 |
発呼優先(専用) |
| PPPユーザー名 |
AAA |
| PPPパスワード |
PasswordA |
| WAN側(ppp0)IPアドレス |
LNS(ルーターA)から動的割り当て |
| LAN側(eth0)IPアドレス |
192.168.20.1/24 |
なお、PC-Dの設定については、ご使用のTA、オペレーティングシステムのマニュアルをご覧ください。インターネットサービスプロバイダー(ISP)にダイヤルアップするときと同様の設定になります。
- IPsecはセキュリティーモードでないと動作しないので、同モードで管理設定を行うことのできるSecurity Officerレベルのユーザーをあらかじめ登録しておきます。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerのパスワードは厳重に管理してください。
- 最初に、ISP-Aとの接続のための設定を行います。BRIインターフェース「0」の全スロット(1〜2)を、常時起動のTDM(専用線)モードに設定します。
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
- bri0のスロット1〜2(128Kbps)に対して、TDMグループ「ISPA」を作成します。
CREATE TDM GROUP=ISPA INT=bri0 SLOTS=1-2 ↓
- PPPインターフェース「0」を、TDMグループ「ISPA」上に作成します。
CREATE PPP=0 OVER=TDM-ISPA LQR=OFF ↓
- IPモジュールを有効にします。
- LAN側(eth0)インターフェースをマルチホーミングし、eth0-0にグローバルアドレスを、eth0-1にプライベートアドレスを設定します。
ADD IP INT=eth0-0 IP=200.100.10.1 MASK=255.255.255.240 ↓
ADD IP INT=eth0-1 IP=192.168.10.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースをUnnumberedに設定します。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
- L2TPトンネル経由で接続してくるリモートユーザー(ルーターCとPC-D)のための設定を行います。最初に、リモートユーザーをユーザー認証データベースに登録します。
ADD USER=AAA PASSWORD=PasswordA LOGIN=NO ↓
ADD USER=BBB PASSWORD=PasswordB LOGIN=NO ↓
- トンネル経由でユーザーが接続してきた時に動的に作成するPPPインターフェースのテンプレート「1」を作成します。接続時の認証はCHAP、PAPのどちらでも行えるようにし、アドレス割り当てにはIPアドレスプール「POOL」を使うようにします。
CREATE PPP TEMPLATE=1 IPPOOL=POOL AUTHENTICATION=EITHER ↓
- IPアドレスプール「POOL」を作成し、ユーザーに割り当てるアドレスの範囲を指定します。
CREATE IP POOL=POOL IP=192.168.10.20-192.168.10.30 ↓
- ここから、L2TPの設定を行います。最初にL2TPモジュールを有効にします。
- L2TPサーバーをLNSモードで起動します。
- LAC(ルーターB)からのトンネル接続要求時に相手を認証するためのパスワード「l2tpA」を設定します。
SET L2TP PASSWORD=l2tpA ↓
- LAC「200.100.20.1」からの接続時に動的作成するPPPインターフェースの雛形として、PPPテンプレート「1」を使うよう指定します。
ADD L2TP IP=200.100.20.1 PPPTEMPLATE=1 ↓
- ここからがIPsecの設定になります。最初にISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターBと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
- ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERには対向ルーターのIPアドレスを指定します。
CREATE ISAKMP POLICY="i" PEER=200.100.20.1 KEY=1 SENDN=TRUE ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターのUDP1701番ポート宛てに送受信されるL2TPパケットだけを暗号化する形になります。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- L2TPパケットを暗号化するIPsecポリシー「L2」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、LPORTで対象となるパケットの条件を指定します。
CREATE IPSEC POLICY="L2" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.20.1 ↓
SET IPSEC POLICY="L2" LAD=200.100.10.1 LPORT=1701 RAD=200.100.20.1 RPORT=1701 TRANSPORT=UDP ↓
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- IPsecはセキュリティーモードでないと動作しないので、同モードで管理設定を行うことのできるSecurity Officerレベルのユーザーをあらかじめ登録しておきます。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerのパスワードは厳重に管理してください。
- 最初にISP-Bとの接続のための設定を行います。BRIインターフェース「1」の全スロット(1〜2)を、常時起動のTDM(専用線)モードに設定します。
SET BRI=1 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
- bri1のスロット1〜2(128Kbps)に対して、TDMグループ「ISPB」を作成します。
CREATE TDM GROUP=ISPB INT=bri1 SLOTS=1-2 ↓
- PPPインターフェース「0」を、TDMグループ「ISPB」上に作成します。
CREATE PPP=0 OVER=TDM-ISPB LQR=OFF ↓
- IPモジュールを有効にします。
- LAN側(eth0)インターフェースにISPから割り当てられたグローバルアドレスを設定します。
ADD IP INT=eth0 IP=200.100.20.1 MASK=255.255.255.240 ↓
- WAN側(ppp0)インターフェースをUnnumberedに設定します。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
- リモートユーザー(ルーターCとPC-D)からの接続に対し、アクセスサーバーとしての役割を果たすための設定を行います。最初にPPPテンプレート「1」を作成し、ISDN経由でユーザーが接続してきた時に動的に作成するPPPインターフェースの基本属性を設定します。
CREATE PPP TEMPLATE=1 LOGIN=USER AUTHENTICATION=EITHER ↓
- ユーザーからの接続を受け入れるISDNコール「RMT」を作成します。接続先番号「0」は自分からは発呼しないことを示します。また、不特定ユーザーからの着呼を受け入れるため「INANY=ON」を指定し、「USER=PPP」で着呼時にPPPインターフェースを動的作成するよう指定しています。動的作成するインターフェースの属性は、PPPテンプレート「1」で定義します。
ADD ISDN CALL=RMT NUMBER=0 PREC=IN INANY=ON INTREQ=bri0 USER=PPP PPPTEMPLATE=1 ↓
- 次にL2TPの設定を行います。最初にL2TPモジュールを有効にします。
- L2TPサーバーをLACモードで起動します。
- ユーザーがダイヤルアップ接続してきたときに、どのLNSに中継するかを設定します。以下の設定では、LACにダイヤルアップ接続してきたすべてのPPPユーザー(USER=ALL)をLNS「200.100.10.1」(IP=200.100.10.1)に中継します。PASSWORDはLNSに接続するためのパスワードです。また、「ACTION=DATABASE」は、LNSのアドレスとしてIPパラメーターの値を使うことを示します。
ADD L2TP USER=ALL ACTION=DATABASE IP=200.100.10.1 PASSWORD=l2tpA ↓
- ここからがIPsecの設定になります。最初にISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターBと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
- ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERには対向ルーターのIPアドレスを指定します。
CREATE ISAKMP POLICY="i" PEER=200.100.10.1 KEY=1 SENDN=TRUE ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターのUDP1701番ポート宛てに送受信されるL2TPパケットだけを暗号化する形になります。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- L2TPパケットを暗号化するIPsecポリシー「L2」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、LPORTで対象となるパケットの条件を指定します。
CREATE IPSEC POLICY="L2" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1 ↓
SET IPSEC POLICY="L2" LAD=200.100.20.1 LPORT=1701 RAD=200.100.10.1 RPORT=1701 TRANSPORT=UDP ↓
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- LACにダイヤルアップするためのISDNコール「LAC」を作成します。
ADD ISDN CALL=LAC NUMBER=0312341111 PREC=OUT INTREQ=bri0 ↓
- ISDNコール「LAC」上にダイヤルオンデマンドのPPPインターフェースを作成します。「IPREQUEST=ON」を指定して、LNS(ルーターA)からIPアドレスを取得するように設定します。
CREATE PPP=0 OVER=ISDN-LAC IPREQUEST=ON IDLE=60 ↓
- LNSにPPP接続するためのユーザー名とパスワードを設定します。
SET PPP=0 USER=AAA PASSWORD=PasswordA ↓
- IPモジュールを有効にします。
- IPCPネゴシエーションでLNS(ルーターA)から割り当てられたIPアドレスを、PPPインターフェースで使用できるように設定します。
- LAN側(eth0)インターフェースにIPアドレスを設定します。
ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。これは、LNS(ルーターA)との接続が確立するまでIPアドレスが確定しないことを示します。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
- LNSとの接続がIPアドレスを1つだけ割り当てられる端末型なので、LAN側端末が外に出られるようにダイナミックENATを使用します。最初にIP NATモジュールを有効にします。
- LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定し、グローバルアドレスとしてppp0のIPアドレス(LNSから割り当てられたアドレス)を使用するよう指定します。
ADD IP NAT IP=192.168.20.0 MASK=255.255.255.0 GBLINT=ppp0 ↓
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
■ セキュリティーモードに移行すると、Telnet経由でルーターにログインすることができなくなります。セキュリティーモードでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。
たとえば、ネットワーク192.168.10.0/24上のすべてのホストからTelnetログインを許可する場合は、次のようにします。
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
ルーターA(LNS)のコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=ISPA INT=bri0 SLOTS=1-2 ↓
CREATE PPP=0 OVER=TDM-ISPA LQR=OFF ↓
ENABLE IP ↓
ADD IP INT=eth0-0 IP=200.100.10.1 MASK=255.255.255.240 ↓
ADD IP INT=eth0-1 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
ADD USER=AAA PASSWORD=PasswordA LOGIN=NO ↓
ADD USER=BBB PASSWORD=PasswordB LOGIN=NO ↓
CREATE PPP TEMPLATE=1 IPPOOL=POOL AUTHENTICATION=EITHER ↓
CREATE IP POOL=POOL IP=192.168.10.20-192.168.10.30 ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=LNS ↓
SET L2TP PASSWORD=l2tpA ↓
ADD L2TP IP=200.100.20.1 PPPTEMPLATE=1 ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY="i" PEER=200.100.20.1 KEY=1 SENDN=TRUE ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="L2" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.20.1 ↓
SET IPSEC POLICY="L2" LAD=200.100.10.1 LPORT=1701 RAD=200.100.20.1 RPORT=1701 TRANSPORT=UDP ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
ルーターB(LAC)のコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
SET BRI=1 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=ISPB INT=bri1 SLOTS=1-2 ↓
CREATE PPP=0 OVER=TDM-ISPB LQR=OFF ↓
ENABLE IP ↓
ADD IP INT=eth0 IP=200.100.20.1 MASK=255.255.255.240 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
CREATE PPP TEMPLATE=1 LOGIN=USER AUTHENTICATION=EITHER ↓
ADD ISDN CALL=RMT NUMBER=0 PREC=IN INANY=ON INTREQ=bri0 USER=PPP PPPTEMPLATE=1 ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=LAC ↓
ADD L2TP USER=ALL ACTION=DATABASE IP=200.100.10.1 PASSWORD=l2tpA ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY="i" PEER=200.100.10.1 KEY=1 SENDN=TRUE ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="L2" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1 ↓
SET IPSEC POLICY="L2" LAD=200.100.20.1 LPORT=1701 RAD=200.100.10.1 RPORT=1701 TRANSPORT=UDP ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
ルーターCのコンフィグ
[テキスト版]
ADD ISDN CALL=LAC NUMBER=0312341111 PREC=OUT INTREQ=bri0 ↓
CREATE PPP=0 OVER=ISDN-LAC IPREQUEST=ON IDLE=60 ↓
SET PPP=0 USER=AAA PASSWORD=PasswordA ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
ENABLE IP NAT ↓
ADD IP NAT IP=192.168.20.0 MASK=255.255.255.0 GBLINT=ppp0 ↓
|
CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #105
Copyright (C) 1997-2003 アライドテレシス株式会社
PN: J613-M0507-00 Rev.G
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))