設定例集#219: IPsecを利用した拠点間VPN接続設定（ダイナミックDNSサービス利用）

構成

設定開始前に

自動設定の確認と削除

システム時刻の設定

2つの拠点をIPsec（ESP）トンネルで結ぶVPN構築例です。
各拠点（ルーター）にはグローバルアドレス1個が動的に割り当てられていると仮定しています。
無線セキュリティーには、WPAパーソナルと本製品内蔵のローカルRADIUSサーバーを利用したWPAエンタープライズを使用します。

通常、インターネットVPNを構築するためには、少なくとも1つの拠点に固定グローバルIPアドレスが必要ですが、ダイナミックDNSサービスを利用すれば、VPNの接続先をIPアドレスではなく、ダイナミックDNSサービスサイトに登録したホスト名（FQDN）で指定できるようになります。これにより、すべての拠点が動的IPアドレスの場合でも、インターネットVPNを構築できるようになります。

ダイナミックDNSは、ダイナミックDNSサーバー（以下、サーバー）とダイナミックDNSクライアント（以下、クライアント）で構成されます。この設定例では、サーバーがダイナミックDNSサービスによって提供されていることを前提にします。クライアントは、ルーターのダイナミックDNSクライアント機能を使用します。

ルーターは起動時に自身のWAN側インターフェース情報（IPアドレス、FQDN）をサーバーに登録します。そして、その後IPアドレスが変更されたときには、自動的に登録アドレスを更新します。これにより、サーバーはつねにルーターのホスト名に対応する最新のIPアドレスを保持することができます。

Note
ダイナミックDNSサービスに障害が発生した場合、IPsec VPNの確立が行えない場合があります。信頼性が必要とされるネットワークでは、固定IPアドレス契約の利用をご検討ください。

Note
検証済みダイナミックDNSサービスは弊社ホームページをご確認ください。

各拠点のTQRでは、6つのVAPのうち2.4GHzと5GHzの同一番号のVAPを同一IPセグメントにして、3つのIPセグメントを作成しています。
それぞれのセグメントからはインターネットへの通信のみを許可するよう設定します。

構成

表 1：無線の基本設定（TQR-A、TQR-B共通）
VAPインターフェース		SSID	セキュリティー方式	セキュリティーキー	WPAバージョン
vap1.0	無線1 (2.4GHz) VAP0	Network2	WPAパーソナル	passphrase1	WPA2 WPA3
vap1.1	無線1 (2.4GHz) VAP1	Sales2	WPAエンタープライズ	-	WPA3
vap1.2	無線1 (2.4GHz) VAP2	Management2	WPAエンタープライズ	-	WPA3
vap2.0	無線2 (5GHz) VAP0	Network5	WPAパーソナル	passphrase17	WPA2 WPA3
vap2.1	無線2 (5GHz) VAP1	Sales5	WPAエンタープライズ	-	WPA3
vap2.2	無線2 (5GHz) VAP2	Management5	WPAエンタープライズ	-	WPA3

Note
VAPインターフェースの命名規則については「インターフェース」/「一般設定」をご参照ください。

	TQR-A	TQR-B
ISPから提供された情報
ISP接続用ユーザー名	user@ispA	user@ispB
ISP接続用パスワード	isppasswdA	isppasswdB
PPPoEサービス名	指定なし	指定なし
WAN側IPアドレス	動的割り当て（IPCP）	動的割り当て（IPCP）
DNSサーバー	自動取得（IPCP）	自動取得（IPCP）
接続形態	端末型	端末型
ルーターの基本設定
WAN側物理インターフェース	eth2	eth2
WAN側（ppp0）IPアドレス	接続時にISP-Aから取得	接続時にISP-Bから取得
LAN側（br1）IPアドレス	192.168.10.1/24	192.168.11.1/24
LAN側（br2）IPアドレス	192.168.20.1/24	192.168.22.1/24
LAN側（br3）IPアドレス	192.168.100.1/24	192.168.101.1/24
IKEフェーズ1（ISAKMP）設定
IKEバージョン	IKEv2	IKEv2
ローカルID	test1.example.com	test2.example.com
リモートID	test2.example.com	test1.example.com
ダイナミックDNSサーバー情報
サーバーのFQDN	members.example.com	members.example.com
サーバーのTCPポート番号	443	443
ダイナミックDNSクライアント情報
サーバー接続用ユーザー名	test	test
サーバー接続用パスワード	test	test
ホスト名	test1.example.com	test2.example.com
IPアドレスを登録するインターフェース	ppp0	ppp0
DHCPサーバーの設定
	DHCPプール pool10	DHCPプール pool11
リース時間	2時間	2時間
対象サブネット	192.168.10.0/24	192.168.11.0/24
デフォルトゲートウェイ	192.168.10.1	192.168.11.1
DNSサーバー	192.168.10.1	192.168.11.1
提供するIPアドレスの範囲	192.168.10.100～192.168.10.131（32個）	192.168.11.100～192.168.11.131（32個）
	DHCPプール pool20	DHCPプール pool21
リース時間	2時間	2時間
対象サブネット	192.168.20.0/24	192.168.21.0/24
デフォルトゲートウェイ	192.168.20.1	192.168.21.1
DNSサーバー	192.168.20.1	192.168.21.1
提供するIPアドレスの範囲	192.168.20.100～192.168.20.131（32個）	192.168.21.100～192.168.21.131（32個）
	DHCPプール pool100	DHCPプール pool101
リース時間	2時間	2時間
対象サブネット	192.168.100.0/24	192.168.101.0/24
デフォルトゲートウェイ	192.168.100.1	192.168.101.1
DNSサーバー	192.168.100.1	192.168.101.1
提供するIPアドレスの範囲	192.168.100.100～192.168.100.131（32個）	192.168.101.100～192.168.101.131（32個）

[事前共有鍵]

TQR-A・B間: secret

Note
TQR-A、Bが使用するホスト名やダイナミックDNSサーバーにアクセスするためのアカウントは、あらかじめ取得してあるものとします。
ホスト名やアカウントの取得については、ダイナミックDNSサービスの利用開始手順をご覧ください。

上記構成図において、PC1からPC2への通信が開始されるまでの流れは次のようになります。

◆通常時

TQR-A、Bは、自身のIPアドレスの登録先であるダイナミックDNSサーバー「members.example.com」のIPアドレスを知るため、ISP接続時に通知されたDNSサーバーに名前解決を要求します。また、トリガー「3」により、IPsec VPNの接続先である対向ルーターのホスト名解決とISAKMP SAの削除を1分間隔で実行します。
解決したIPアドレス宛てにアップデートパケット（HTTPS）を送信し、自身のIPアドレスをダイナミックDNSサーバーに登録します。
PC1 → PC2の通信が発生すると、IPsec VPNの接続先である対向ルーター「test2.example.com」のIPアドレスを知るため、ISP接続時に通知されたDNSサーバーに名前解決を要求します。
名前解決後、取得したIPアドレスに対してIPsecの接続を開始します。
IPsec接続が完了すると、PingポーリングがUPし、トリガー「3」が無効化されます。

◆TQR-A 障害復旧時

TQR-A、BでPingポーリングがDOWNすると、トリガー「3」が有効化され、IPsec VPNの接続先である対向ルーターのホスト名解決とISAKMP SAの削除を1分間隔で実行します。
TQR-Aは、自身のIPアドレスの登録先であるダイナミックDNSサーバー「members.example.com」のIPアドレスを知るため、ISP接続時に通知されたDNSサーバーに名前解決を要求します。
解決したIPアドレス宛てにアップデートパケット（HTTPS）を送信し、自身のIPアドレスをダイナミックDNSサーバーに登録します。
PC1 → PC2の通信が発生すると、IPsec VPNの接続先である対向ルーター「test2.example.com」のIPアドレスを知るため、ISP接続時に通知されたDNSサーバーに名前解決を要求します。
名前解決後、取得したIPアドレスに対してIPsecの接続を開始します。
IPsec接続が完了すると、TQR-A、BでPingポーリングがUPし、トリガー「3」が無効化されます。

設定開始前に

自動設定の確認と削除

本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態（スタートアップコンフィグなしで起動した状態）から入力することを前提としています。

そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。

ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。

これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。

ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。

自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。

システム時刻の設定

ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
特に本製品はリアルタイムクロックを内蔵していないため、起動するたびに時刻をあわせる必要があります。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。

手動で設定する方法 - 「運用・管理」/「システム」
NTPで自動設定する方法 - 「運用・管理」/「NTP」

TQR-Aの設定

無線機能の設定

無線機能の設定を行うため、wirelessコマンドで無線設定モードに入ります。
```
wireless
```
各VAPで使用するセキュリティー設定を作成します。
セキュリティー設定の詳細は「無線機能」/「セキュリティー設定」をご覧ください。

セキュリティー設定「1」「17」
・WPAパーソナル用セキュリティー設定（security mode wpa-personal）
・セキュリティーキー（key）
・WPAバージョン（versions）

セキュリティー設定「2」「3」「18」「19」
・WPAエンタープライズ用セキュリティー設定（security mode wpa-enterprise）
・WPAバージョン（versions）
・認証用RADIUSサーバー（radius authentication group）
・管理フレーム保護（management-frame-protection enable）
```
 security 1 mode wpa-personal
  key passphrase1
  versions wpa2 wpa3
 security 2 mode wpa-enterprise
  versions wpa3
  radius authentication group radius
  management-frame-protection enable type required
 security 3 mode wpa-enterprise
  versions wpa3
  radius authentication group radius
  management-frame-protection enable type required
 security 17 mode wpa-personal
  key passphrase17
  versions wpa2 wpa3
 security 18 mode wpa-enterprise
  versions wpa3
  radius authentication group radius
  management-frame-protection enable type required
 security 19 mode wpa-enterprise
  versions wpa3
  radius authentication group radius
  management-frame-protection enable type required
```
各VAPで使用するネットワーク設定を作成します。
・ネットワーク設定（network）
・SSID（ssid）
・SSID非公開（hide-ssid）
・セキュリティー設定（security）

Note
本設定例では、2.4GHzと5GHzのVAPに別々のSSIDを設定していますが、両帯域のVAPに同じSSIDを設定し、バンドステアリングを有効にすることで、2.4GHz・5GHz帯の両方をサポートしている無線端末に対し、混雑していない帯域への接続を促し、帯域を有効に使うことができます。
具体的な設定については設定例集#201aをご参照ください。
```
 network 1
  ssid Network2
  hide-ssid
  security 1
 network 2
  ssid Sales2
  hide-ssid
  security 2
 network 3
  ssid Management2
  hide-ssid
  security 3
 network 17
  ssid Network5
  hide-ssid
  security 17
 network 18
  ssid Sales5
  hide-ssid
  security 18
 network 19
  ssid Management5
  hide-ssid
  security 19
```
無線1/2に対して各種機能やVAPの設定を行います。
ap-profile localコマンドでAPプロファイルモードに移動してから、radioコマンドで無線番号を指定して以下のコマンドを実行します。
・無線の有効化（enable）
・VAPの設定（vap）
・Zero Wait DFS（zero-wait-dfs enable）
```
 ap-profile local
  radio 1
   enable
   vap 0 network 1
   vap 1 network 2
   vap 2 network 3
  radio 2
   enable
   zero-wait-dfs enable
   vap 0 network 17
   vap 1 network 18
   vap 2 network 19
```
ローカルRADIUSサーバーを有効化して、NAS（RADIUSクライアント）とユーザーを登録します。
これには、radius-server local、server enable、nas、userの各コマンドを使います。
ローカルRADIUSサーバーの詳細は「運用・管理」/「RADIUSサーバー」をご覧ください。
```
radius-server local
 server enable
 nas 127.0.0.1 key awplus-local-radius-server
 user userA password passwdA
 user userB password passwdB
 user userC password passwdC
```
RADIUSクライアント機能が使用するRADIUSサーバーを登録します。これにはradius-server hostコマンドを使います。
ここでは、本製品内蔵のローカルRADIUSサーバーを指定しています。
RADIUSクライアント機能の詳細は「運用・管理」/「RADIUSクライアント」をご覧ください。
```
radius-server host 127.0.0.1 key awplus-local-radius-server
```
ここでいったん特権EXECモードに移動し、wireless ap-configuration apply ap localコマンドを実行して無線設定内容を適用してください。
これにより、各VAPインターフェース（vap1.0、vap1.1、vap1.2、vap2.0、vap2.1、vap2.2）が有効になります。
無線適用が終わったら再度グローバルコンフィグモードに戻って設定を続けます。
```
end
wireless ap-configuration apply ap local
configure terminal
```
ソフトウェアブリッジ「1」～「3」を作成します。これにはbridgeコマンドを使います。
ブリッジングの詳細は「ブリッジング」/「一般設定」をご覧ください。
```
bridge 1
bridge 2
bridge 3
```
vap1.0、vap2.0をブリッジ「1」に、vap1.1、vap2.1をブリッジ「2」に、vap1.2、vap2.2をブリッジ「3」に割り当てます。これにはbridge-groupコマンドを使います。

Note
本設定例では、2.4GHzと5GHzの同一番号のVAPをブリッジに所属させ同じセグメントで運用しています。
2.4GHzと5GHzのVAPを異なるセグメントで運用する場合は、VAPごとにブリッジを用意して（本例ではブリッジを6つ作成して）、各ブリッジにIPアドレスを設定し、エンティティーとファイアウォールの設定を変更してください。
```
interface vap1.0
 bridge-group 1

interface vap1.1
 bridge-group 2

interface vap1.2
 bridge-group 3

interface vap2.0
 bridge-group 1

interface vap2.1
 bridge-group 2

interface vap2.2
 bridge-group 3
```
ここで再び特権EXECモードに移動し、wireless ap-configuration apply ap localコマンドを実行して無線設定内容を適用してください。
VAPを作成した後にブリッジを作成してVAPに適用する場合は、VAP作成後に無線適用が必須となります。
無線適用が終わったら再度グローバルコンフィグモードに戻って設定を続けます。
```
end
wireless ap-configuration apply ap local
configure terminal
```

ルーター機能の設定

ダイナミックDNSクライアント機能を有効にします。これには、ddns enableコマンドを使います。
ダイナミックDNSクライアント機能の詳細は「IP付加機能」/「ダイナミックDNSクライアント」をご覧ください。
```
ddns enable
```
ダイナミックDNSサービス固有の設定を行います。これには、ddns-update-methodコマンドでDDNSアップデートメソッドモードに入り、update-url、host-name、username、password、update-interval、retry-intervalの各コマンドで具体的なパラメーターを設定します。

※クエリーパラメーターの開始を表す「?」をCLIから入力するには、Ctrl/V キーを入力してから ? を入力してください。単に ? を入力するとCLIヘルプが表示されてしまうためご注意ください。
```
ddns-update-method example
 update-url https://<USERNAME>:<PASSWORD>@members.example.com/nic/update?SYSTEM=dyndns&hostname=<HOST-NAME>&myip=<IPADDRESS>
 host-name test1.example.com
 username test
 password test
 update-interval 60
 retry-interval 1 maximum-retries 5
```
WANポートeth2上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface eth2
 encapsulation ppp 0
```
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

・ダイナミックDNSクライアント機能によるIPアドレスの登録（ip ddns-update-method）
・IPCPによるDNSサーバーアドレスの取得要求（ppp ipcp dns）
・LCP EchoによるPPP接続状態の確認（keepalive）
・IPCPによるIPアドレスの取得要求（ip address negotiated）
・ユーザー名（ppp username）
・パスワード（ppp password）
・MSS書き換え（ip tcp adjust-mss）

PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface ppp0
 ip ddns-update-method example
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@ispA
 ppp password isppasswdA
 ip tcp adjust-mss pmtu
```
LAN側インターフェースbr1、br2、br3にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface br1
 ip address 192.168.10.1/24

interface br2
 ip address 192.168.20.1/24

interface br3
 ip address 192.168.100.1/24
```
ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
```
zone private
 network lan1
  ip subnet 192.168.10.0/24
 network lan2
  ip subnet 192.168.20.0/24
 network lan3
  ip subnet 192.168.100.0/24
 network peer1
  ip subnet 192.168.11.0/24 interface tunnel0
 network peer2
  ip subnet 192.168.21.0/24 interface tunnel0
 network peer3
  ip subnet 192.168.101.0/24 interface tunnel0
 network tunnel
  ip subnet 172.16.0.0/30
```
外部ネットワークを表すゾーン「public」を作成します。
これには、前記コマンドに加え、host、ip addressの各コマンドを使います。
```
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
```
ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、sport、dport、icmp-type、icmp-codeの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
```
application esp
 protocol 50
```
ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
```
application isakmp
 protocol udp
 sport 500
 dport 500
```
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。

・rule 10 - 内部ネットワーク間の通信を許可します
・rule 20 - 内部ネットワークから外部への通信を許可します
・rule 30, 40 - ISAKMPパケットを許可します
・rule 50, 60 - IPsec（ESP）パケットを許可します
・rule 70 - 本製品のWAN側インターフェースから外部へのDNS通信を許可します
・rule 80 - ダイナミックDNSサーバーにアクセスしてIPアドレスを登録するため、本製品のWAN側インターフェースから外部へのHTTPS通信を許可します

ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
```
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.ppp0 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.ppp0
 rule 50 permit esp from public.wan.ppp0 to public.wan
 rule 60 permit esp from public.wan to public.wan.ppp0
 rule 70 permit dns from public.wan.ppp0 to public.wan
 rule 80 permit https from public.wan.ppp0 to public.wan
 protect
```
LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
これには、nat、rule、enableの各コマンドを使います。
NATの詳細は「UTM」/「NAT」をご覧ください。
```
nat
 rule 10 masq any from private to public
 enable
```
LAN側ネットワークに接続されているコンピューターのためにDHCPサーバー機能の設定を行います。
DHCPサーバー機能の詳細は「IP付加機能」/「DHCPサーバー」をご覧ください。

これには、ip dhcp poolコマンドでDHCPプールを作成し、以下の情報を設定します。

・サブネット（network）
・リースするIPアドレス（range）
・デフォルトゲートウェイ（default-router）
・DNSサーバーアドレス（dns-server）
・リース時間（lease）
```
ip dhcp pool pool10
 network 192.168.10.0 255.255.255.0
 range 192.168.10.100 192.168.10.131
 dns-server 192.168.10.1
 default-router 192.168.10.1
 lease 0 2 0

ip dhcp pool pool20
 network 192.168.20.0 255.255.255.0
 range 192.168.20.100 192.168.20.131
 dns-server 192.168.20.1
 default-router 192.168.20.1
 lease 0 2 0

ip dhcp pool pool100
 network 192.168.100.0 255.255.255.0
 range 192.168.100.100 192.168.100.131
 dns-server 192.168.100.1
 default-router 192.168.100.1
 lease 0 2 0
```
DHCPサーバーを有効化します。これには、service dhcp-serverコマンドを使います。
```
service dhcp-server
```
対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
ここでは、ダイナミックDNSサービスによって登録されたホスト名（FQDN）で対向ルーターを指定しています。
```
crypto isakmp key secret hostname test2.example.com
```
IPsecトンネルインターフェースtunnel0を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
ここでは、ダイナミックDNSサービスによって登録されたホスト名（FQDN）で対向装置のアドレスと自装置、対向装置のIDを指定しています。

・トンネルインターフェースのMTU（mtu）
・トンネルインターフェースから送信するデリバリーパケットの始点（自装置）アドレス（tunnel source）
・トンネルインターフェースから送信するデリバリーパケットの終点（対向装置）アドレス（tunnel destination）
・トンネルインターフェースにおける自装置ID（ローカルID）（tunnel local name）
・トンネルインターフェースにおける対向装置ID（リモートID）（tunnel remote name）
・トンネルインターフェースに対するIPsec保護の適用（tunnel protection ipsec）
・トンネリング方式（tunnel mode ipsec）
・トンネルインターフェースのIPアドレス（ip address）
・トンネルインターフェースにおけるMSS書き換え設定（ip tcp adjust-mss）
```
interface tunnel0
 mtu 1300
 tunnel source ppp0
 tunnel destination test2.example.com
 tunnel local name test1.example.com
 tunnel remote name test2.example.com
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.1/30
 ip tcp adjust-mss 1260
```
トンネルインターフェース tunnel0 経由での対向ルーターへの接続性を監視するPingポーリング「1」を作成します。
これには、ping-poll、ip、activeの各コマンドを使います。
Pingポーリングの詳細は「IP付加機能」/「Pingポーリング」をご覧ください。
```
ping-poll 1
 ip 172.16.0.2
 active
```
Pingポーリングトリガーを作成します。
これには、trigger、type ping-poll、scriptの各コマンドを使います。

・trigger 1 - tunnel0 経由での対向ルーターへの接続性が失われた場合に、trigger 3を作成することで 1分おきに FQDN での再接続を試みる periodic-update.scpスクリプトを実行する
・trigger 2 - tunnel0 経由での対向ルーターへの接続性が回復した場合に、trigger 3を削除することで 1分おきの再接続を停止する periodic-update-delete.scpスクリプトを実行する
・trigger 3 - ISAKMP SA を強制的に削除し、対向ルーターのFQDNを解決した上で再接続を試みる host-change.scpスクリプトを1分おきに実行する（trigger 1によって作成・起動され、trigger 2によって削除・停止される）

トリガースクリプトの具体的内容は「トリガースクリプト」を、トリガーの詳細は「運用・管理」/「トリガー」をご覧ください。
```
trigger 1
 type ping-poll 1 down
 script 1 periodic-update.scp
trigger 2
 type ping-poll 1 up
 script 1 periodic-update-delete.scp
trigger 3
 type periodic 1
 script 1 host-change.scp
```
デフォルト経路（0.0.0.0/0）とTQR-BのLAN側（192.168.11.0/24、192.168.21.0/24、192.168.101.0/24）への経路を設定します。これにはip routeコマンドを使います。
ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
```
ip route 0.0.0.0/0 ppp0
ip route 192.168.11.0/24 tunnel0
ip route 192.168.11.0/24 null 254
ip route 192.168.21.0/24 tunnel0
ip route 192.168.21.0/24 null 254
ip route 192.168.101.0/24 tunnel0
ip route 192.168.101.0/24 null 254
```
DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
```
ip dns forwarding
```
以上で設定は完了です。
```
end
```

TQR-Bの設定

無線機能の設定

無線機能の設定を行うため、wirelessコマンドで無線設定モードに入ります。
```
wireless
```
各VAPで使用するセキュリティー設定を作成します。
セキュリティー設定の詳細は「無線機能」/「セキュリティー設定」をご覧ください。

セキュリティー設定「1」「17」
・WPAパーソナル用セキュリティー設定（security mode wpa-personal）
・セキュリティーキー（key）
・WPAバージョン（versions）

セキュリティー設定「2」「3」「18」「19」
・WPAエンタープライズ用セキュリティー設定（security mode wpa-enterprise）
・WPAバージョン（versions）
・認証用RADIUSサーバー（radius authentication group）
・管理フレーム保護（management-frame-protection enable）
```
 security 1 mode wpa-personal
  key passphrase1
  versions wpa2 wpa3
 security 2 mode wpa-enterprise
  versions wpa3
  radius authentication group radius
  management-frame-protection enable type required
 security 3 mode wpa-enterprise
  versions wpa3
  radius authentication group radius
  management-frame-protection enable type required
 security 17 mode wpa-personal
  key passphrase17
  versions wpa2 wpa3
 security 18 mode wpa-enterprise
  versions wpa3
  radius authentication group radius
  management-frame-protection enable type required
 security 19 mode wpa-enterprise
  versions wpa3
  radius authentication group radius
  management-frame-protection enable type required
```
各VAPで使用するネットワーク設定を作成します。
・ネットワーク設定（network）
・SSID（ssid）
・SSID非公開（hide-ssid）
・セキュリティー設定（security）

Note
本設定例では、2.4GHzと5GHzのVAPに別々のSSIDを設定していますが、両帯域のVAPに同じSSIDを設定し、バンドステアリングを有効にすることで、2.4GHz・5GHz帯の両方をサポートしている無線端末に対し、混雑していない帯域への接続を促し、帯域を有効に使うことができます。
具体的な設定については設定例集#201aをご参照ください。
```
 network 1
  ssid Network2
  hide-ssid
  security 1
 network 2
  ssid Sales2
  hide-ssid
  security 2
 network 3
  ssid Management2
  hide-ssid
  security 3
 network 17
  ssid Network5
  hide-ssid
  security 17
 network 18
  ssid Sales5
  hide-ssid
  security 18
 network 19
  ssid Management5
  hide-ssid
  security 19
```
無線1/2に対して各種機能やVAPの設定を行います。
ap-profile localコマンドでAPプロファイルモードに移動してから、radioコマンドで無線番号を指定して以下のコマンドを実行します。
・無線の有効化（enable）
・VAPの設定（vap）
・Zero Wait DFS（zero-wait-dfs enable）
```
 ap-profile local
  radio 1
   enable
   vap 0 network 1
   vap 1 network 2
   vap 2 network 3
  radio 2
   enable
   zero-wait-dfs enable
   vap 0 network 17
   vap 1 network 18
   vap 2 network 19
```
ローカルRADIUSサーバーを有効化して、NAS（RADIUSクライアント）とユーザーを登録します。
これには、radius-server local、server enable、nas、userの各コマンドを使います。
ローカルRADIUSサーバーの詳細は「運用・管理」/「RADIUSサーバー」をご覧ください。
```
radius-server local
 server enable
 nas 127.0.0.1 key awplus-local-radius-server
 user userA password passwdA
 user userB password passwdB
 user userC password passwdC
```
RADIUSクライアント機能が使用するRADIUSサーバーを登録します。これにはradius-server hostコマンドを使います。
ここでは、本製品内蔵のローカルRADIUSサーバーを指定しています。
RADIUSクライアント機能の詳細は「運用・管理」/「RADIUSクライアント」をご覧ください。
```
radius-server host 127.0.0.1 key awplus-local-radius-server
```
ここでいったん特権EXECモードに移動し、wireless ap-configuration apply ap localコマンドを実行して無線設定内容を適用してください。
これにより、各VAPインターフェース（vap1.0、vap1.1、vap1.2、vap2.0、vap2.1、vap2.2）が有効になります。
無線適用が終わったら再度グローバルコンフィグモードに戻って設定を続けます。
```
end
wireless ap-configuration apply ap local
configure terminal
```
ソフトウェアブリッジ「1」～「3」を作成します。これにはbridgeコマンドを使います。
ブリッジングの詳細は「ブリッジング」/「一般設定」をご覧ください。
```
bridge 1
bridge 2
bridge 3
```
vap1.0、vap2.0をブリッジ「1」に、vap1.1、vap2.1をブリッジ「2」に、vap1.2、vap2.2をブリッジ「3」に割り当てます。これにはbridge-groupコマンドを使います。

Note
本設定例では、2.4GHzと5GHzの同一番号のVAPをブリッジに所属させ同じセグメントで運用しています。
2.4GHzと5GHzのVAPを異なるセグメントで運用する場合は、VAPごとにブリッジを用意して（本例ではブリッジを6つ作成して）、各ブリッジにIPアドレスを設定し、エンティティーとファイアウォールの設定を変更してください。
```
interface vap1.0
 bridge-group 1

interface vap1.1
 bridge-group 2

interface vap1.2
 bridge-group 3

interface vap2.0
 bridge-group 1

interface vap2.1
 bridge-group 2

interface vap2.2
 bridge-group 3
```
ここで再び特権EXECモードに移動し、wireless ap-configuration apply ap localコマンドを実行して無線設定内容を適用してください。
VAPを作成した後にブリッジを作成してVAPに適用する場合は、VAP作成後に無線適用が必須となります。
無線適用が終わったら再度グローバルコンフィグモードに戻って設定を続けます。
```
end
wireless ap-configuration apply ap local
configure terminal
```

ルーター機能の設定

ダイナミックDNSクライアント機能を有効にします。これには、ddns enableコマンドを使います。
ダイナミックDNSクライアント機能の詳細は「IP付加機能」/「ダイナミックDNSクライアント」をご覧ください。
```
ddns enable
```
ダイナミックDNSサービス固有の設定を行います。これには、ddns-update-methodコマンドでDDNSアップデートメソッドモードに入り、update-url、host-name、username、password、update-interval、retry-intervalの各コマンドで具体的なパラメーターを設定します。

※クエリーパラメーターの開始を表す「?」をCLIから入力するには、Ctrl/V キーを入力してから ? を入力してください。単に ? を入力するとCLIヘルプが表示されてしまうためご注意ください。
```
ddns-update-method example
 update-url https://<USERNAME>:<PASSWORD>@members.example.com/nic/update?SYSTEM=dyndns&hostname=<HOST-NAME>&myip=<IPADDRESS>
 host-name test2.example.com
 username test
 password test
 update-interval 60
 retry-interval 10 maximum-retries 5
```
WANポートeth2上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface eth2
 encapsulation ppp 0
```
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

・ダイナミックDNSクライアント機能によるIPアドレスの登録（ip ddns-update-method）
・IPCPによるDNSサーバーアドレスの取得要求（ppp ipcp dns）
・LCP EchoによるPPP接続状態の確認（keepalive）
・IPCPによるIPアドレスの取得要求（ip address negotiated）
・ユーザー名（ppp username）
・パスワード（ppp password）
・MSS書き換え（ip tcp adjust-mss）

PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface ppp0
 ip ddns-update-method example
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@isp2
 ppp password isppasswd2
 ip tcp adjust-mss pmtu
```
LAN側インターフェースbr1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface br1
 ip address 192.168.11.1/24

interface br2
 ip address 192.168.21.1/24

interface br3
 ip address 192.168.101.1/24
```
ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
```
zone private
 network lan1
  ip subnet 192.168.11.0/24
 network lan2
  ip subnet 192.168.21.0/24
 network lan3
  ip subnet 192.168.101.0/24
 network peer1
  ip subnet 192.168.10.0/24 interface tunnel0
 network peer2
  ip subnet 192.168.20.0/24 interface tunnel0
 network peer3
  ip subnet 192.168.100.0/24 interface tunnel0
 network tunnel
  ip subnet 172.16.0.0/30
```
外部ネットワークを表すゾーン「public」を作成します。
これには、前記コマンドに加え、host、ip addressの各コマンドを使います。
```
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
```
ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、sport、dport、icmp-type、icmp-codeの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
```
application esp
 protocol 50
```
ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
```
application isakmp
 protocol udp
 sport 500
 dport 500
```
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。

・rule 10 - 内部ネットワーク間の通信を許可します
・rule 20 - 内部ネットワークから外部への通信を許可します
・rule 30, 40 - ISAKMPパケットを許可します
・rule 50, 60 - IPsec（ESP）パケットを許可します
・rule 70 - 本製品のWAN側インターフェースから外部へのDNS通信を許可します
・rule 80 - ダイナミックDNSサーバーにアクセスしてIPアドレスを登録するため、本製品のWAN側インターフェースから外部へのHTTPS通信を許可します

ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
```
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.ppp0 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.ppp0
 rule 50 permit esp from public.wan.ppp0 to public.wan
 rule 60 permit esp from public.wan to public.wan.ppp0
 rule 70 permit dns from public.wan.ppp0 to public.wan
 rule 80 permit https from public.wan.ppp0 to public.wan
 protect
```
LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
これには、nat、rule、enableの各コマンドを使います。
NATの詳細は「UTM」/「NAT」をご覧ください。
```
nat
 rule 10 masq any from private to public
 enable
```
LAN側ネットワークに接続されているコンピューターのためにDHCPサーバー機能の設定を行います。
DHCPサーバー機能の詳細は「IP付加機能」/「DHCPサーバー」をご覧ください。

これには、ip dhcp poolコマンドでDHCPプールを作成し、以下の情報を設定します。

・サブネット（network）
・リースするIPアドレス（range）
・デフォルトゲートウェイ（default-router）
・DNSサーバーアドレス（dns-server）
・リース時間（lease）
```
ip dhcp pool pool11
 network 192.168.11.0 255.255.255.0
 range 192.168.11.100 192.168.11.131
 dns-server 192.168.11.1
 default-router 192.168.11.1
 lease 0 2 0

ip dhcp pool pool21
 network 192.168.21.0 255.255.255.0
 range 192.168.21.100 192.168.21.131
 dns-server 192.168.21.1
 default-router 192.168.21.1
 lease 0 2 0

ip dhcp pool pool101
 network 192.168.101.0 255.255.255.0
 range 192.168.101.100 192.168.101.131
 dns-server 192.168.101.1
 default-router 192.168.101.1
 lease 0 2 0
```
DHCPサーバーを有効化します。これには、service dhcp-serverコマンドを使います。
```
service dhcp-server
```
対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
ここでは、ダイナミックDNSサービスによって登録されたホスト名（FQDN）で対向ルーターを指定しています。
```
crypto isakmp key secret hostname test1.example.com
```
IPsecトンネルインターフェースtunnel0を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
ここでは、ダイナミックDNSサービスによって登録されたホスト名（FQDN）で対向装置のアドレスと自装置、対向装置のIDを指定しています。

・トンネルインターフェースのMTU（mtu）
・トンネルインターフェースから送信するデリバリーパケットの始点（自装置）アドレス（tunnel source）
・トンネルインターフェースから送信するデリバリーパケットの終点（対向装置）アドレス（tunnel destination）
・トンネルインターフェースにおける自装置ID（ローカルID）（tunnel local name）
・トンネルインターフェースにおける対向装置ID（リモートID）（tunnel remote name）
・トンネルインターフェースに対するIPsec保護の適用（tunnel protection ipsec）
・トンネリング方式（tunnel mode ipsec）
・トンネルインターフェースのIPアドレス（ip address）
・トンネルインターフェースにおけるMSS書き換え設定（ip tcp adjust-mss）
```
interface tunnel0
 mtu 1300
 tunnel source ppp0
 tunnel destination test1.example.com
 tunnel local name test2.example.com
 tunnel remote name test1.example.com
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.2/30
 ip tcp adjust-mss 1260
```
トンネルインターフェース tunnel0 経由での対向ルーターへの接続性を監視するPingポーリング「1」を作成します。
これには、ping-poll、ip、activeの各コマンドを使います。
Pingポーリングの詳細は「IP付加機能」/「Pingポーリング」をご覧ください。
```
ping-poll 1
 ip 172.16.0.1
 active
```
Pingポーリングトリガーを作成します。
これには、trigger、type ping-poll、scriptの各コマンドを使います。

・trigger 1 - tunnel0 経由での対向ルーターへの接続性が失われた場合に、trigger 3を作成することで 1分おきに FQDN での再接続を試みる periodic-update.scpスクリプトを実行する
・trigger 2 - tunnel0 経由での対向ルーターへの接続性が回復した場合に、trigger 3を削除することで 1分おきの再接続を停止する periodic-update-delete.scpスクリプトを実行する
・trigger 3 - ISAKMP SA を強制的に削除し、対向ルーターのFQDNを解決した上で再接続を試みる host-change.scpスクリプトを1分おきに実行する（trigger 1によって作成・起動され、trigger 2によって削除・停止される）

トリガースクリプトの具体的内容は「トリガースクリプト」を、トリガーの詳細は「運用・管理」/「トリガー」をご覧ください。
```
trigger 1
 type ping-poll 1 down
 script 1 periodic-update.scp
trigger 2
 type ping-poll 1 up
 script 1 periodic-update-delete.scp
trigger 3
 type periodic 1
 script 1 host-change.scp
```
デフォルト経路（0.0.0.0/0）とTQR-AのLAN側（192.168.10.0/24、192.168.20.0/24、192.168.100.0/24）への経路を設定します。これにはip routeコマンドを使います。
ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
```
ip route 0.0.0.0/0 ppp0
ip route 192.168.10.0/24 tunnel0
ip route 192.168.10.0/24 null 254
ip route 192.168.20.0/24 tunnel0
ip route 192.168.20.0/24 null 254
ip route 192.168.100.0/24 tunnel0
ip route 192.168.100.0/24 null 254
```
DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
```
ip dns forwarding
```
以上で設定は完了です。
```
end
```

設定の保存

■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。

awplus# copy running-config startup-config ↓
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。

awplus# write memory ↓
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド（log(filter)）を実行します。

awplus(config)# log buffered level informational facility local5 ↓

■ 記録されたログを見るには、次のコマンド（show log）を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。

awplus# show log | include Firewall ↓

TQR-Aのコンフィグ

!
wireless
!
 security 1 mode wpa-personal
  key passphrase1
  versions wpa2 wpa3
 security 2 mode wpa-enterprise
  versions wpa3
  radius authentication group radius
  management-frame-protection enable type required
 security 3 mode wpa-enterprise
  versions wpa3
  radius authentication group radius
  management-frame-protection enable type required
 security 17 mode wpa-personal
  key passphrase17
  versions wpa2 wpa3
 security 18 mode wpa-enterprise
  versions wpa3
  radius authentication group radius
  management-frame-protection enable type required
 security 19 mode wpa-enterprise
  versions wpa3
  radius authentication group radius
  management-frame-protection enable type required
!
 network 1
  ssid Network2
  hide-ssid
  security 1
 network 2
  ssid Sales2
  hide-ssid
  security 2
 network 3
  ssid Management2
  hide-ssid
  security 3
 network 17
  ssid Network5
  hide-ssid
  security 17
 network 18
  ssid Sales5
  hide-ssid
  security 18
 network 19
  ssid Management5
  hide-ssid
  security 19
!
 ap-profile local
  radio 1
   enable
   vap 0 network 1
   vap 1 network 2
   vap 2 network 3
  radio 2
   enable
   zero-wait-dfs enable
   vap 0 network 17
   vap 1 network 18
   vap 2 network 19
!
radius-server local
 server enable
 nas 127.0.0.1 key awplus-local-radius-server
 user userA password passwdA
 user userB password passwdB
 user userC password passwdC
!
radius-server host 127.0.0.1 key awplus-local-radius-server
!
bridge 1
bridge 2
bridge 3
!
interface vap1.0
 bridge-group 1

interface vap1.1
 bridge-group 2

interface vap1.2
 bridge-group 3

interface vap2.0
 bridge-group 1

interface vap2.1
 bridge-group 2

interface vap2.2
 bridge-group 3
!
ddns enable
!
ddns-update-method example
 update-url https://<USERNAME>:<PASSWORD>@members.example.com/nic/update?SYSTEM=dyndns&hostname=<HOST-NAME>&myip=<IPADDRESS>
 host-name test1.example.com
 username test
 password test
 update-interval 60
 retry-interval 1 maximum-retries 5
!
interface eth2
 encapsulation ppp 0
!
interface ppp0
 ip ddns-update-method example
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@ispA
 ppp password isppasswdA
 ip tcp adjust-mss pmtu
!
interface br1
 ip address 192.168.10.1/24

interface br2
 ip address 192.168.20.1/24

interface br3
 ip address 192.168.100.1/24
!
zone private
 network lan1
  ip subnet 192.168.10.0/24
 network lan2
  ip subnet 192.168.20.0/24
 network lan3
  ip subnet 192.168.100.0/24
 network peer1
  ip subnet 192.168.11.0/24 interface tunnel0
 network peer2
  ip subnet 192.168.21.0/24 interface tunnel0
 network peer3
  ip subnet 192.168.101.0/24 interface tunnel0
 network tunnel
  ip subnet 172.16.0.0/30
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 sport 500
 dport 500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.ppp0 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.ppp0
 rule 50 permit esp from public.wan.ppp0 to public.wan
 rule 60 permit esp from public.wan to public.wan.ppp0
 rule 70 permit dns from public.wan.ppp0 to public.wan
 rule 80 permit https from public.wan.ppp0 to public.wan
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
ip dhcp pool pool10
 network 192.168.10.0 255.255.255.0
 range 192.168.10.100 192.168.10.131
 dns-server 192.168.10.1
 default-router 192.168.10.1
 lease 0 2 0

ip dhcp pool pool20
 network 192.168.20.0 255.255.255.0
 range 192.168.20.100 192.168.20.131
 dns-server 192.168.20.1
 default-router 192.168.20.1
 lease 0 2 0

ip dhcp pool pool100
 network 192.168.100.0 255.255.255.0
 range 192.168.100.100 192.168.100.131
 dns-server 192.168.100.1
 default-router 192.168.100.1
 lease 0 2 0
!
service dhcp-server
!
crypto isakmp key secret hostname test2.example.com
!
interface tunnel0
 mtu 1300
 tunnel source ppp0
 tunnel destination test2.example.com
 tunnel local name test1.example.com
 tunnel remote name test2.example.com
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.1/30
 ip tcp adjust-mss 1260
!
ping-poll 1
 ip 172.16.0.2
 active
!
trigger 1
 type ping-poll 1 down
 script 1 periodic-update.scp
trigger 2
 type ping-poll 1 up
 script 1 periodic-update-delete.scp
trigger 3
 type periodic 1
 script 1 host-change.scp
!
ip route 0.0.0.0/0 ppp0
ip route 192.168.11.0/24 tunnel0
ip route 192.168.11.0/24 null 254
ip route 192.168.21.0/24 tunnel0
ip route 192.168.21.0/24 null 254
ip route 192.168.101.0/24 tunnel0
ip route 192.168.101.0/24 null 254
!
ip dns forwarding
!
end

TQR-Bのコンフィグ

!
wireless
!
 security 1 mode wpa-personal
  key passphrase1
  versions wpa2 wpa3
 security 2 mode wpa-enterprise
  versions wpa3
  radius authentication group radius
  management-frame-protection enable type required
 security 3 mode wpa-enterprise
  versions wpa3
  radius authentication group radius
  management-frame-protection enable type required
 security 17 mode wpa-personal
  key passphrase17
  versions wpa2 wpa3
 security 18 mode wpa-enterprise
  versions wpa3
  radius authentication group radius
  management-frame-protection enable type required
 security 19 mode wpa-enterprise
  versions wpa3
  radius authentication group radius
  management-frame-protection enable type required
!
 network 1
  ssid Network2
  hide-ssid
  security 1
 network 2
  ssid Sales2
  hide-ssid
  security 2
 network 3
  ssid Management2
  hide-ssid
  security 3
 network 17
  ssid Network5
  hide-ssid
  security 17
 network 18
  ssid Sales5
  hide-ssid
  security 18
 network 19
  ssid Management5
  hide-ssid
  security 19
!
 ap-profile local
  radio 1
   enable
   vap 0 network 1
   vap 1 network 2
   vap 2 network 3
  radio 2
   enable
   zero-wait-dfs enable
   vap 0 network 17
   vap 1 network 18
   vap 2 network 19
!
radius-server local
 server enable
 nas 127.0.0.1 key awplus-local-radius-server
 user userA password passwdA
 user userB password passwdB
 user userC password passwdC
!
radius-server host 127.0.0.1 key awplus-local-radius-server
!
bridge 1
bridge 2
bridge 3
!
interface vap1.0
 bridge-group 1

interface vap1.1
 bridge-group 2

interface vap1.2
 bridge-group 3

interface vap2.0
 bridge-group 1

interface vap2.1
 bridge-group 2

interface vap2.2
 bridge-group 3
!
ddns enable
!
ddns-update-method example
 update-url https://<USERNAME>:<PASSWORD>@members.example.com/nic/update?SYSTEM=dyndns&hostname=<HOST-NAME>&myip=<IPADDRESS>
 host-name test2.example.com
 username test
 password test
 update-interval 60
 retry-interval 10 maximum-retries 5
!
interface eth2
 encapsulation ppp 0
!
interface ppp0
 ip ddns-update-method example
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@isp2
 ppp password isppasswd2
 ip tcp adjust-mss pmtu
!
interface br1
 ip address 192.168.11.1/24

interface br2
 ip address 192.168.21.1/24

interface br3
 ip address 192.168.101.1/24
!
zone private
 network lan1
  ip subnet 192.168.11.0/24
 network lan2
  ip subnet 192.168.21.0/24
 network lan3
  ip subnet 192.168.101.0/24
 network peer1
  ip subnet 192.168.10.0/24 interface tunnel0
 network peer2
  ip subnet 192.168.20.0/24 interface tunnel0
 network peer3
  ip subnet 192.168.100.0/24 interface tunnel0
 network tunnel
  ip subnet 172.16.0.0/30
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 sport 500
 dport 500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.ppp0 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.ppp0
 rule 50 permit esp from public.wan.ppp0 to public.wan
 rule 60 permit esp from public.wan to public.wan.ppp0
 rule 70 permit dns from public.wan.ppp0 to public.wan
 rule 80 permit https from public.wan.ppp0 to public.wan
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
ip dhcp pool pool11
 network 192.168.11.0 255.255.255.0
 range 192.168.11.100 192.168.11.131
 dns-server 192.168.11.1
 default-router 192.168.11.1
 lease 0 2 0

ip dhcp pool pool21
 network 192.168.21.0 255.255.255.0
 range 192.168.21.100 192.168.21.131
 dns-server 192.168.21.1
 default-router 192.168.21.1
 lease 0 2 0

ip dhcp pool pool101
 network 192.168.101.0 255.255.255.0
 range 192.168.101.100 192.168.101.131
 dns-server 192.168.101.1
 default-router 192.168.101.1
 lease 0 2 0
!
service dhcp-server
!
crypto isakmp key secret hostname test1.example.com
!
interface tunnel0
 mtu 1300
 tunnel source ppp0
 tunnel destination test1.example.com
 tunnel local name test2.example.com
 tunnel remote name test1.example.com
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.2/30
 ip tcp adjust-mss 1260
!
ping-poll 1
 ip 172.16.0.1
 active
!
trigger 1
 type ping-poll 1 down
 script 1 periodic-update.scp
trigger 2
 type ping-poll 1 up
 script 1 periodic-update-delete.scp
trigger 3
 type periodic 1
 script 1 host-change.scp
!
ip route 0.0.0.0/0 ppp0
ip route 192.168.10.0/24 tunnel0
ip route 192.168.10.0/24 null 254
ip route 192.168.20.0/24 tunnel0
ip route 192.168.20.0/24 null 254
ip route 192.168.100.0/24 tunnel0
ip route 192.168.100.0/24 null 254
!
ip dns forwarding
!
end

TQR-Aのトリガースクリプト

■ periodic-update.scp

enable
con t
trigger 3
active
end

■ periodic-update-delete.scp

enable
con t
trigger 3
no active
end

■ host-change.scp

enable
clear isakmp sa peer test2.example.com force
con t
int tunnel0
tunnel destination test2.example.com
end

TQR-Bのトリガースクリプト

■ periodic-update.scp

enable
con t
trigger 3
active
end

■ periodic-update-delete.scp

enable
con t
trigger 3
no active
end

■ host-change.scp

enable
clear isakmp sa peer test1.example.com force
con t
int tunnel0
tunnel destination test1.example.com
end

PN: 613-003212 Rev.G