PPPoEインターネット接続環境における3点間IPsec VPN（支社間通信は本社経由。全拠点アドレス固定）

PPPoEでインターネットに接続している3つの拠点をIPsec（ESP）トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は本社経由で行うものとします。また、すべての拠点（ルーター）にグローバルアドレス1個が固定的に割り当てられていると仮定しています。

Note - IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに別売の暗号ボード（AR010）または暗号・圧縮ボード（AR011）を装着する必要があります。

各拠点は、ISPから次の情報を提供されているものとします。

表 1：ISPから提供された情報

ルーターA（本社） ルーターB（支社） ルーターC（支社）

PPPユーザー名 user@ispA user@ispB user@ispC

PPPパスワード isppasswdA isppasswdB isppasswdC

PPPoEサービス名指定なし指定なし指定なし

使用できるIPアドレス 200.100.10.1/32 200.100.20.1/32 200.100.30.1/32

接続形態端末型（アドレス1個固定）端末型（アドレス1個固定）端末型（アドレス1個固定）

本社、支社のルーター（A、B、C）は、ファイアウォールとダイナミックENATを使用した通常の端末型設定（アドレス1個固定）です。

以下、各ルーターの基本設定についてまとめます。

表 2：ルーターの基本設定

ルーターA（本社） ルーターB（支社） ルーターC（支社）

WAN側物理インターフェース eth1 eth1 eth1

WAN側IPアドレス 200.100.10.1/32（ppp0） 200.100.20.1/32（ppp0） 200.100.30.1/32（ppp0）

LAN側IPアドレス 192.168.10.1/24（eth0） 192.168.20.1/24（eth0） 192.168.30.1/24（eth0）

IPsec関連の設定は次のようになります。

表 3：IKEフェーズ1（ISAKMP SAのネゴシエーション）

ルーター間の認証方式事前共有鍵（pre-shared key）

IKE交換モード Mainモード

事前共有鍵(1) secret-ab（ルーターA・B間）

事前共有鍵(2) secret-ac（ルーターA・C間）

Oakleyグループ 1（デフォルト）

ISAKMPメッセージの暗号化方式 DES（デフォルト）

ISAKMPメッセージの認証方式 SHA1（デフォルト）

ISAKMP SAの有効期限（時間） 86400秒（24時間）（デフォルト）

ISAKMP SAの有効期限（Kbyte数）なし（デフォルト）

起動時のISAKMPネゴシエーション行なわない

表 4：IKEフェーズ2（IPsec SAのネゴシエーション）

SAモードトンネルモード

セキュリティープロトコル ESP（暗号化＋認証）

暗号化方式 DES

認証方式 SHA1

IPComp 使わない

IPsec SAの有効期限（時間） 28800秒（8時間）（デフォルト）

IPsec SAの有効期限（Kbyte数）なし（デフォルト）

トンネリング対象IPアドレス（1） 192.168.0.0/16 ←→ 192.168.20.0/24

トンネル終端アドレス(1) 200.100.10.1（A）・200.100.20.1（B）

トンネリング対象IPアドレス（2） 192.168.0.0/16 ←→ 192.168.30.0/24

トンネル終端アドレス(2) 200.100.10.1（A）・200.100.30.1（C）

インターネットとの平文通信行なう

Note - 本設定例では、PPPインターフェースのリンクアップ・ダウンによって、トリガーの状態が動的に変化します。そのため、以下の設定コマンドはルーターのWAN側インターフェース（eth1）にケーブルを接続していない状態（PPPインターフェースがリンクアップしない状態）で入力してください。詳細については章末の「メモ」をご覧ください。

ルーターAの設定

セキュリティーモードで各種設定を行なうことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
WAN側Ethernetインターフェース（eth1）上にPPPインターフェースを作成します。「OVER=eth1-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「any」を設定します。
ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
IPモジュールを有効にします。
LAN側（eth0）インターフェースにIPアドレスを設定します。
WAN側（ppp0）インターフェースにISPから割り当てられたIPアドレスを設定します。
デフォルトルートを設定します。
PPPoEセッションを自動再接続するためのトリガースクリプトを作成します。
- ppp0をリセットするスクリプトreset.scpを作成します。
- トリガー「1」を無効状態にするスクリプトup.scpを作成します。
- トリガー「1」を有効状態にするスクリプトdown.scpを作成します。
Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド（内蔵フルスクリーンエディター）等を使って設定スクリプトファイル（.CFG）にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。
トリガー機能を有効にします。
PPPoEセッションを自動再接続するためのトリガーを作成します。
- 3分ごとにreset.scpを実行する定期トリガー「1」を作成します。このトリガーは、ppp0インターフェースがダウンすると同時に有効になり（トリガー「3」による）、アップすると無効になります（トリガー「2」による）。
- ppp0のアップ時にup.scpを実行するインターフェーストリガー「2」を作成します。
- ppp0のダウン時にdown.scpを実行するインターフェーストリガー「3」を作成します。
ファイアウォール機能を有効にします。
ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
Note - デフォルト設定では、ICMPはファイアウォールを通過できません。
ルーターのidentプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース（eth0）をPRIVATE（内部）に設定します。
- WAN側インターフェース（ppp0）をPUBLIC（外部）に設定します。
LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
相手ルーターから受信したIKEパケット（UDP500番）がファイアウォールを通過できるように設定します。
支社（ルーターB側）宛てパケット（192.168.0.0/16→192.168.20.0/24）をNATの対象から除外するよう設定します。
支社（ルーターC側）宛てパケット（192.168.0.0/16→192.168.30.0/24）をNATの対象から除外するよう設定します。
基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.0.1～192.168.255.254、つまり、プライベートLANの範囲ならばNATの対象外とする」の意味になります。
ISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」、「2」番とし、鍵の値は「secret-ab」、「secret-ac」という文字列で指定します（ルーターB、Cと同じに設定）。
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）等で設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。
ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i_B」を作成します。KEYには、前の手順で作成した事前共有鍵（鍵番号「1」）を、PEERにはルーターBのIPアドレスを指定します。
ルーターCとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i_C」を作成します。KEYには、前の手順で作成した事前共有鍵（鍵番号「2」）を、PEERにはルーターCのIPアドレスを指定します。
IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード（デフォルト）、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット（ISAKMP）に設定します。
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
ルーターBとのIPsec通信に使用するIPsecポリシー「vpn_B」をPPPインターフェース「0」に対して作成します。

鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。
IPsecポリシー「vpn_B」に対して実際にIPsec通信を行なうIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
ルーターCとのIPsec通信に使用するIPsecポリシー「vpn_C」をPPPインターフェース「0」に対して作成します。

鍵管理方式には「ISAKMP」を、PEERにはルーターCのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。
IPsecポリシー「vpn_C」に対して実際にIPsec通信を行なうIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
IPsecモジュールを有効にします。
ISAKMPモジュールを有効にします。
Security Officerレベルのユーザーでログインしなおします。
動作モードをセキュリティーモードに切り替えます。
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください（本章末尾のメモを参照）。
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
Note - WAN側のケーブルを抜いた状態でここまでの設定を行った場合は、ファイル保存後にケーブルを接続してください。

ルーターBの設定

セキュリティーモードで各種設定を行なうことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
WAN側Ethernetインターフェース（eth1）上にPPPインターフェースを作成します。「OVER=eth1-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「any」を設定します。
ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
IPモジュールを有効にします。
LAN側（eth0）インターフェースにIPアドレスを設定します。
WAN側（ppp0）インターフェースにISPから割り当てられたIPアドレスを設定します。
デフォルトルートを設定します。
PPPoEセッションを自動再接続するためのトリガースクリプトを作成します。
- ppp0をリセットするスクリプトreset.scpを作成します。
- トリガー「1」を無効状態にするスクリプトup.scpを作成します。
- トリガー「1」を有効状態にするスクリプトdown.scpを作成します。
Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド（内蔵フルスクリーンエディター）等を使って設定スクリプトファイル（.CFG）にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。
トリガー機能を有効にします。
PPPoEセッションを自動再接続するためのトリガーを作成します。
- 3分ごとにreset.scpを実行する定期トリガー「1」を作成します。このトリガーは、ppp0インターフェースがダウンすると同時に有効になり（トリガー「3」による）、アップすると無効になります（トリガー「2」による）。
- ppp0のアップ時にup.scpを実行するインターフェーストリガー「2」を作成します。
- ppp0のダウン時にdown.scpを実行するインターフェーストリガー「3」を作成します。
ファイアウォール機能を有効にします。
ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
Note - デフォルト設定では、ICMPはファイアウォールを通過できません。
ルーターのidentプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース（eth0）をPRIVATE（内部）に設定します。
- WAN側インターフェース（ppp0）をPUBLIC（外部）に設定します。
LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
相手ルーターから受信したIKEパケット（UDP500番）がファイアウォールを通過できるように設定します。
他拠点宛てのパケット（192.168.20.0/24→192.168.0.0/16）をNATの対象から除外するよう設定します。
基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.20.1～192.168.20.254、つまり、自拠点宛てならばNATの対象外とする」の意味になります。
ISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret-ab」という文字列で指定します（ルーターAと同じに設定）。
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）等で設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。
ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i_A」を作成します。KEYには、前の手順で作成した事前共有鍵（鍵番号「1」）を、PEERにはルーターAのIPアドレスを指定します。
IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード（デフォルト）、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット（ISAKMP）に設定します。
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
ルーターAとのIPsec通信に使用するIPsecポリシー「vpn_A」をPPPインターフェース「0」に対して作成します。

鍵管理方式には「ISAKMP」を、PEERにはルーターAのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。
IPsecポリシー「vpn_A」に対して実際にIPsec通信を行なうIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
IPsecモジュールを有効にします。
ISAKMPモジュールを有効にします。
Security Officerレベルのユーザーでログインしなおします。
動作モードをセキュリティーモードに切り替えます。
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください（本章末尾のメモを参照）。
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
Note - WAN側のケーブルを抜いた状態でここまでの設定を行った場合は、ファイル保存後にケーブルを接続してください。

ルーターCの設定

セキュリティーモードで各種設定を行なうことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
WAN側Ethernetインターフェース（eth1）上にPPPインターフェースを作成します。「OVER=eth1-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「any」を設定します。
ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
IPモジュールを有効にします。
LAN側（eth0）インターフェースにIPアドレスを設定します。
WAN側（ppp0）インターフェースにISPから割り当てられたIPアドレスを設定します。
デフォルトルートを設定します。
PPPoEセッションを自動再接続するためのトリガースクリプトを作成します。
- ppp0をリセットするスクリプトreset.scpを作成します。
- トリガー「1」を無効状態にするスクリプトup.scpを作成します。
- トリガー「1」を有効状態にするスクリプトdown.scpを作成します。
Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド（内蔵フルスクリーンエディター）等を使って設定スクリプトファイル（.CFG）にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。
トリガー機能を有効にします。
PPPoEセッションを自動再接続するためのトリガーを作成します。
- 3分ごとにreset.scpを実行する定期トリガー「1」を作成します。このトリガーは、ppp0インターフェースがダウンすると同時に有効になり（トリガー「3」による）、アップすると無効になります（トリガー「2」による）。
- ppp0のアップ時にup.scpを実行するインターフェーストリガー「2」を作成します。
- ppp0のダウン時にdown.scpを実行するインターフェーストリガー「3」を作成します。
ファイアウォール機能を有効にします。
ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
Note - デフォルト設定では、ICMPはファイアウォールを通過できません。
ルーターのidentプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース（eth0）をPRIVATE（内部）に設定します。
- WAN側インターフェース（ppp0）をPUBLIC（外部）に設定します。
LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
相手ルーターから受信したIKEパケット（UDP500番）がファイアウォールを通過できるように設定します。
他拠点宛てのパケット（192.168.30.0/24→192.168.0.0/16）をNATの対象から除外するよう設定します。
基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.30.1～192.168.30.254、つまり、自拠点宛てならばNATの対象外とする」の意味になります。
ISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret-ac」という文字列で指定します（ルーターAと同じに設定）。
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）等で設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。
ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i_A」を作成します。KEYには、前の手順で作成した事前共有鍵（鍵番号「1」）を、PEERにはルーターAのIPアドレスを指定します。
IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード（デフォルト）、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット（ISAKMP）に設定します。
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
ルーターAとのIPsec通信に使用するIPsecポリシー「vpn_A」をPPPインターフェース「0」に対して作成します。

鍵管理方式には「ISAKMP」を、PEERにはルーターAのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。
IPsecポリシー「vpn_A」に対して実際にIPsec通信を行なうIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
IPsecモジュールを有効にします。
ISAKMPモジュールを有効にします。
Security Officerレベルのユーザーでログインしなおします。
動作モードをセキュリティーモードに切り替えます。
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください（本章末尾のメモを参照）。
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
Note - WAN側のケーブルを抜いた状態でここまでの設定を行った場合は、ファイル保存後にケーブルを接続してください。

メモ

■ 本構成例では、PPPリンクのアップ・ダウンによってトリガー「1」の状態（有効・無効）が動的に変化します。そのため、WAN側インターフェースにケーブルを接続したまま設定を行うと、コマンド入力時と設定保存時でトリガー「1」の状態が変わってしまうことがあります。その場合、PPP の自動再接続機能が働かなくなりますので、必ず次のいずれかの方法で設定を行ってください。

WAN側インターフェースのケーブルを抜いた状態でコマンドを入力し、設定保存後にケーブルを接続する。
PC上で設定ファイルを作成し、ZMODEMかTFTPでルーターに転送する。
ルーターのEDITコマンドで設定ファイルを作成する。

設定が正しく保存されているかどうかを確認するには、SHOW FILEコマンドかSHOW SCRIPTコマンドで設定ファイルを表示し、トリガー「1」の設定内容を確認してください。正しく保存されている場合、トリガー「1」の設定は次のようになります。

create trigger=1 periodic=3 script=reset.scp

手順が正しくなかった場合は、次のように「state=disabled」というパラメーターが付きます。この設定では、ルーター起動直後に再接続機能が働きません。

create trigger=1 periodic=3 state=disabled script=reset.scp

この場合は、EDITコマンドで設定ファイルを開き、「state=disabled」を削除して上書き保存してください。

■ ファイアウォールで遮断されたパケットのログをとるには、次のコマンドを実行します。

ENABLE FIREWALL POLICY=net LOG=DENY ↓

記録されたログを見るには、次のコマンドを実行します。ここでは、「TYPE=FIRE」により、ファイアウォールが出力したログメッセージだけを表示させています。

SHOW LOG TYPE=FIRE ↓

■ インターネット側からのPING（ICMP Echo Requestパケット）を拒否するには、次のようなIPフィルターをWAN側インターフェースに設定します。この例では、「LOG=HEADER」により、フィルターで拒否したパケットをログに記録しています。


ADD IP FILTER=0 SO=0.0.0.0 PROTO=ICMP ICMPTYPE=ECHO LOG=HEADER ACTION=EXCLUDE ↓

ADD IP FILTER=0 SO=0.0.0.0 ACTION=INCLUDE ↓

SET IP INT=ppp0 FILTER=0 ↓

記録されたログを見るには、次のコマンドを実行します。ここでは、「TYPE=IPFIL」により、IPフィルターが出力したログメッセージだけを表示させています。

SHOW LOG TYPE=IPFIL ↓

■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。

たとえば、ネットワーク192.168.10.0/24、192.168.20.0/24、192.168.30.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。


ENABLE USER RSO ↓

ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓

ADD USER RSO IP=192.168.20.0 MASK=255.255.255.0 ↓

ADD USER RSO IP=192.168.30.0 MASK=255.255.255.0 ↓

■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。

■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10～600（秒）を指定します。デフォルトは60秒です。

SET USER SECUREDELAY=300 ↓

まとめ

ルーターAのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ CREATE PPP=0 OVER=eth1-any ↓ SET PPP=0 OVER=eth1-any USER=user@ispA PASSWORD=isppasswdA LQR=OFF BAP=OFF ECHO=ON ↓ ENABLE IP ↓ ADD IP INT=eth0 IP=192.168.10.1 MASK=255.255.255.0 ↓ ADD IP INT=ppp0 IP=200.100.10.1 MASK=255.255.255.255 ↓ ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓ ENABLE TRIGGER ↓ CREATE TRIGGER=1 PERIODIC=3 SCRIPT=reset.scp ↓ CREATE TRIGGER=2 INTERFACE=ppp0 EVENT=UP CP=IPCP SCRIPT=up.scp ↓ CREATE TRIGGER=3 INTERFACE=ppp0 EVENT=DOWN CP=IPCP SCRIPT=down.scp ↓ ENABLE FIREWALL ↓ CREATE FIREWALL POLICY=net ↓ ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓ DISABLE FIREWALL POLICY=net IDENTPROXY ↓ ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0 GBLINT=ppp0 ↓ ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=500 IP=200.100.10.1 GBLIP=200.100.10.1 GBLPORT=500 ↓ ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=eth0 PROT=ALL IP=192.168.0.1-192.168.255.254 ↓ SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254 ↓ ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=eth0 PROT=ALL IP=192.168.0.1-192.168.255.254 ↓ SET FIREWALL POLICY=net RULE=3 REMOTEIP=192.168.30.1-192.168.30.254 ↓ ADD FIREWALL POLICY=net RULE=4 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.0.1-192.168.255.254 ENCAP=IPSEC ↓ # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret-ab" ↓ # CREATE ENCO KEY=2 TYPE=GENERAL VALUE="secret-ac" ↓ CREATE ISAKMP POLICY="i_B" PEER=200.100.20.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓ CREATE ISAKMP POLICY="i_C" PEER=200.100.30.1 KEY=2 SENDN=TRUE HEARTBEATMODE=BOTH ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓ CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓ CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="vpn_B" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.20.1 ↓ SET IPSEC POLICY="vpn_B" LAD=192.168.0.0 LMA=255.255.0.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓ CREATE IPSEC POLICY="vpn_C" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.30.1 ↓ SET IPSEC POLICY="vpn_C" LAD=192.168.0.0 LMA=255.255.0.0 RAD=192.168.30.0 RMA=255.255.255.0 ↓ CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓ ENABLE IPSEC ↓ ENABLE ISAKMP ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓

スクリプト「reset.scp」 [テキスト版]

RESET PPP=0 ↓

スクリプト「up.scp」 [テキスト版]

DISABLE TRIGGER=1 ↓

スクリプト「down.scp」 [テキスト版]

ENABLE TRIGGER=1 ↓

ルーターBのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ CREATE PPP=0 OVER=eth1-any ↓ SET PPP=0 OVER=eth1-any USER=user@ispB PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON ↓ ENABLE IP ↓ ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0 ↓ ADD IP INT=ppp0 IP=200.100.20.1 MASK=255.255.255.255 ↓ ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓ ENABLE TRIGGER ↓ CREATE TRIGGER=1 PERIODIC=3 SCRIPT=reset.scp ↓ CREATE TRIGGER=2 INTERFACE=ppp0 EVENT=UP CP=IPCP SCRIPT=up.scp ↓ CREATE TRIGGER=3 INTERFACE=ppp0 EVENT=DOWN CP=IPCP SCRIPT=down.scp ↓ ENABLE FIREWALL ↓ CREATE FIREWALL POLICY=net ↓ ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓ DISABLE FIREWALL POLICY=net IDENTPROXY ↓ ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0 GBLINT=ppp0 ↓ ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=500 IP=200.100.20.1 GBLIP=200.100.20.1 GBLPORT=500 ↓ ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=eth0 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓ SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.0.1-192.168.255.254 ↓ ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓ # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret-ab" ↓ CREATE ISAKMP POLICY="i_A" PEER=200.100.10.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓ CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓ CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="vpn_A" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1 ↓ SET IPSEC POLICY="vpn_A" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.0.0 RMA=255.255.0.0 ↓ CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓ ENABLE IPSEC ↓ ENABLE ISAKMP ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓

スクリプト「reset.scp」 [テキスト版]

RESET PPP=0 ↓

スクリプト「up.scp」 [テキスト版]

DISABLE TRIGGER=1 ↓

スクリプト「down.scp」 [テキスト版]

ENABLE TRIGGER=1 ↓

ルーターCのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ CREATE PPP=0 OVER=eth1-any ↓ SET PPP=0 OVER=eth1-any USER=user@ispC PASSWORD=isppasswdC LQR=OFF BAP=OFF ECHO=ON ↓ ENABLE IP ↓ ADD IP INT=eth0 IP=192.168.30.1 MASK=255.255.255.0 ↓ ADD IP INT=ppp0 IP=200.100.30.1 MASK=255.255.255.255 ↓ ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓ ENABLE TRIGGER ↓ CREATE TRIGGER=1 PERIODIC=3 SCRIPT=reset.scp ↓ CREATE TRIGGER=2 INTERFACE=ppp0 EVENT=UP CP=IPCP SCRIPT=up.scp ↓ CREATE TRIGGER=3 INTERFACE=ppp0 EVENT=DOWN CP=IPCP SCRIPT=down.scp ↓ ENABLE FIREWALL ↓ CREATE FIREWALL POLICY=net ↓ ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓ DISABLE FIREWALL POLICY=net IDENTPROXY ↓ ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0 GBLINT=ppp0 ↓ ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=500 IP=200.100.30.1 GBLIP=200.100.30.1 GBLPORT=500 ↓ ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=eth0 PROT=ALL IP=192.168.30.1-192.168.30.254 ↓ SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.0.1-192.168.255.254 ↓ ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.30.1-192.168.30.254 ENCAP=IPSEC ↓ # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret-ac" ↓ CREATE ISAKMP POLICY="i_A" PEER=200.100.10.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓ CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓ CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="vpn_A" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1 ↓ SET IPSEC POLICY="vpn_A" LAD=192.168.30.0 LMA=255.255.255.0 RAD=192.168.0.0 RMA=255.255.0.0 ↓ CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓ ENABLE IPSEC ↓ ENABLE ISAKMP ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓

スクリプト「reset.scp」 [テキスト版]

RESET PPP=0 ↓

スクリプト「up.scp」 [テキスト版]

DISABLE TRIGGER=1 ↓

スクリプト「down.scp」 [テキスト版]

ENABLE TRIGGER=1 ↓

CentreCOM AR300/AR700 シリーズ設定例集 2.3 #131

PN: J613-M0507-00 Rev.G

＜前頁次頁＞＜＜＞＞ ↑ 目次（番号順 (詳細)・回線別 (詳細)・機能別 (詳細)）

	ルーターA（本社）	ルーターB（支社）	ルーターC（支社）
PPPユーザー名	user@ispA	user@ispB	user@ispC
PPPパスワード	isppasswdA	isppasswdB	isppasswdC
PPPoEサービス名	指定なし	指定なし	指定なし
使用できるIPアドレス	200.100.10.1/32	200.100.20.1/32	200.100.30.1/32
接続形態	端末型（アドレス1個固定）	端末型（アドレス1個固定）	端末型（アドレス1個固定）

ルーター間の認証方式	事前共有鍵（pre-shared key）
IKE交換モード	Mainモード
事前共有鍵(1)	secret-ab（ルーターA・B間）
事前共有鍵(2)	secret-ac（ルーターA・C間）
Oakleyグループ	1（デフォルト）
ISAKMPメッセージの暗号化方式	DES（デフォルト）
ISAKMPメッセージの認証方式	SHA1（デフォルト）
ISAKMP SAの有効期限（時間）	86400秒（24時間）（デフォルト）
ISAKMP SAの有効期限（Kbyte数）	なし（デフォルト）
起動時のISAKMPネゴシエーション	行なわない

SAモード	トンネルモード
セキュリティープロトコル	ESP（暗号化＋認証）
暗号化方式	DES
認証方式	SHA1
IPComp	使わない
IPsec SAの有効期限（時間）	28800秒（8時間）（デフォルト）
IPsec SAの有効期限（Kbyte数）	なし（デフォルト）
トンネリング対象IPアドレス（1）	192.168.0.0/16 ←→ 192.168.20.0/24
トンネル終端アドレス(1)	200.100.10.1（A）・200.100.20.1（B）
トンネリング対象IPアドレス（2）	192.168.0.0/16 ←→ 192.168.30.0/24
トンネル終端アドレス(2)	200.100.10.1（A）・200.100.30.1（C）
インターネットとの平文通信	行なう