[index] AT-TQ6702 GEN2-R コマンドリファレンス 5.5.4

設定例集#132: NIFCLOUDとのL3VPN接続（IPsec VTI方式）

構成

Note

VAPインターフェースの命名規則については「インターフェース」/「一般設定」をご参照ください。

• ルーター・拠点間VPNゲートウェイ（NIFCLOUD）間: secret
  

設定開始前に

自動設定の確認と削除

• ネットワークケーブルを接続せずに起動する。
  起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
  ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
  
  
• 自動設定を手動で削除してから設定を行う。
  前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。
  

システム時刻の設定

• 手動で設定する方法 - 「運用・管理」/「システム」
  
• NTPで自動設定する方法 - 「運用・管理」/「NTP」
  

TQRの設定

無線機能の設定

1. 無線機能の設定を行うため、wirelessコマンドで無線設定モードに入ります。
   

   wireless
   

2. 各VAPで使用するセキュリティー設定を作成します。
   セキュリティー設定の詳細は「無線機能」/「セキュリティー設定」をご覧ください。
   ・WPAパーソナル用セキュリティー設定（security mode wpa-personal）
   ・セキュリティーキー（key）
   ・WPAバージョン（versions）
   

    security 1 mode wpa-personal
     key passphrase1
     versions wpa2 wpa3
    security 2 mode wpa-personal
     key passphrase2
     versions wpa2 wpa3
    security 17 mode wpa-personal
     key passphrase17
     versions wpa2 wpa3
    security 18 mode wpa-personal
     key passphrase18
     versions wpa2 wpa3
   

3. 各VAPで使用するネットワーク設定を作成します。
   ・ネットワーク設定（network）
   ・SSID（ssid）
   ・SSID非公開（hide-ssid）
   ・セキュリティー設定（security）
   

   Note

   本設定例では、2.4GHzと5GHzのVAPに別々のSSIDを設定していますが、両帯域のVAPに同じSSIDを設定し、バンドステアリングを有効にすることで、2.4GHz・5GHz帯の両方をサポートしている無線端末に対し、混雑していない帯域への接続を促し、帯域を有効に使うことができます。
   具体的な設定については設定例集#201aをご参照ください。
   

    network 1
     ssid Network2
     hide-ssid
     security 1
    network 2
     ssid Management2
     hide-ssid
     security 2
    network 17
     ssid Network5
     hide-ssid
     security 17
    network 18
     ssid Management5
     hide-ssid
     security 18
   

4. 無線1/2に対して各種機能やVAPの設定を行います。
   ap-profile localコマンドでAPプロファイルモードに移動してから、radioコマンドで無線番号を指定して以下のコマンドを実行します。
   ・無線の有効化（enable）
   ・VAPの設定（vap）
   ・Zero Wait DFS（zero-wait-dfs enable）
   

    ap-profile local
     radio 1
      enable
      vap 0 network 1
      vap 1 network 2
     radio 2
      enable
      zero-wait-dfs enable
      vap 0 network 17
      vap 1 network 18
   

5. ここでいったん特権EXECモードに移動し、wireless ap-configuration apply ap localコマンドを実行して無線設定内容を適用してください。
   これにより、各VAPインターフェース（vap1.0、vap2.0）が有効になります。
   無線適用が終わったら再度グローバルコンフィグモードに戻って設定を続けます。
   

   end
   wireless ap-configuration apply ap local
   configure terminal
   

6. ソフトウェアブリッジ「1」と「2」を作成します。これにはbridgeコマンドを使います。
   ブリッジングの詳細は「ブリッジング」/「一般設定」をご覧ください。
   

   bridge 1
   bridge 2
   

7. vap1.0とvap2.0をブリッジ「1」に、vap1.1とvap2.1をブリッジ「2」に割り当てます。これにはbridge-groupコマンドを使います。
   

   Note

   本設定例では、2.4GHzと5GHzの同一番号のVAPをブリッジに所属させ同じセグメントで運用しています。
   2.4GHzと5GHzのVAPを異なるセグメントで運用する場合は、「無線機能」/「設定のポイント」を参照してVAPごとにIPアドレスを設定し、エンティティーとファイアウォールの設定を変更してください。
   

   interface vap1.0
    bridge-group 1
   
   interface vap1.1
    bridge-group 2
   
   interface vap2.0
    bridge-group 1
   
   interface vap2.1
    bridge-group 2
   

8. ここで再び特権EXECモードに移動し、wireless ap-configuration apply ap localコマンドを実行して無線設定内容を適用してください。
   VAPを作成した後にブリッジを作成してVAPに適用する場合は、VAP作成後に無線適用が必須となります。
   無線適用が終わったら再度グローバルコンフィグモードに戻って設定を続けます。
   

   end
   wireless ap-configuration apply ap local
   configure terminal
   

ルーター機能の設定

9. WANポートeth2上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
   PPPの詳細は「PPP」/「一般設定」をご覧ください。
   

   interface eth2
    encapsulation ppp 0
   

10. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
    
    ・LCP EchoによるPPP接続状態の確認（keepalive）
    ・ユーザー名（ppp username）
    ・パスワード（ppp password）
    ・IPアドレスの固定設定（ip address）
    ・MSS書き換え（ip tcp adjust-mss）
    
    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    

    interface ppp0
     keepalive
     ppp username user@ispA
     ppp password isppasswdA
     ip address 172.16.0.1/32
     ip tcp adjust-mss 1414
    

11. LAN側インターフェースbr1とbr2にIPアドレスを設定します。これにはip addressコマンドを使います。
    IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
    

    interface br1
     ip address 192.168.1.1/24
    
    interface br2
     ip address 192.168.2.1/24
    

12. ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
    
    内部ネットワークを表すゾーン「private」を作成します。
    これには、zone、network、ip subnetの各コマンドを使います。
    

    zone private
     network lan
      ip subnet 10.0.0.0/16
      ip subnet 192.168.1.0/24
      ip subnet 192.168.2.0/24
    

13. 外部ネットワークを表すゾーン「public」を作成します。
    前記コマンドに加え、ここではhost、ip addressの各コマンドも使います。
    

    zone public
     network wan
      ip subnet 0.0.0.0/0 interface ppp0
      host ppp0
       ip address 172.16.0.1
    

14. ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    これには、application、protocol、sport、dportの各コマンドを使います。
    アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
    
    IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
    

    application esp
     protocol 50
    

15. ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
    

    application isakmp
     protocol udp
     sport 500
     dport 500
    

16. NAT-Traversalパケットを表すカスタムアプリケーション「nat-t」を定義します。
    

    application nat-t
     protocol udp
     dport 4500
    

17. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewall、rule、protectの各コマンドを使います。
    
    ・rule 10 - 本製品のWAN側インターフェースから外部への通信を許可します
    ・rule 20 - ISAKMPパケットを許可します
    ・rule 30 - IPsec（ESP）パケットを許可します
    ・rule 40 - 内部から内部への通信を許可します
    ・rule 50 - 内部から外部への通信を許可します
    ・rule 60 - NAT-Traversalパケットを許可します
    
    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    

    firewall
     rule 10 permit any from public.wan.ppp0 to public.wan
     rule 20 permit isakmp from public.wan to public.wan.ppp0
     rule 30 permit esp from public.wan to public.wan.ppp0
     rule 40 permit any from private to private
     rule 50 permit any from private to public
     rule 60 permit nat-t from public.wan to public.wan.ppp0
     protect
    

18. LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
    これには、nat、rule、enableの各コマンドを使います。
    NATの詳細は「UTM」/「NAT」をご覧ください。
    

    nat
     rule 10 masq any from private to public
     enable
    

19. 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    

    crypto isakmp key secret address 172.17.0.1
    

20. IPsecの通信方式を規定するIPsecプロファイルを作成します。
    IPsecプロファイルの詳細は「VPN」/「IPsec」をご覧ください。
    
    ここでは、crypto ipsec profileコマンドでIPsecプロファイルを作成し、以下の情報を設定します。
    
    ・SA有効期間（lifetime）
    ・アルゴリズム（transform）
    

    crypto ipsec profile nifcloud-ipsec
     lifetime seconds 3600
     transform 1 protocol esp integrity SHA1 encryption AES128
    

21. ISAKMPの通信方式を規定するISAKMPプロファイルを作成します。
    ISAKMPプロファイルの詳細は「VPN」/「IPsec」をご覧ください。
    
    ここでは、crypto isakmp profileコマンドでISAKMPプロファイルを作成し、以下の情報を設定します。
    
    ・SA有効期間（lifetime）
    ・DPDキープアライブパケット送信間隔（dpd-interval）
    ・アルゴリズム（transform）
    

    crypto isakmp profile nifcloud-isakmp
     lifetime 28800
     dpd-interval 15
     transform 1 integrity SHA1 encryption AES128 group 2
    

22. 対向ルーターとの間で使用するISAKMPプロファイルを指定します。これにはcrypto isakmp peerコマンドを使います。
    

    crypto isakmp peer address 172.17.0.1 profile nifcloud-isakmp
    

23. IPsecトンネルインターフェースtunnel0を作成します。
    トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。
    
    これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
    
    ・トンネルインターフェースのMTU（mtu）
    ・トンネルインターフェースから送信するデリバリーパケットの始点（自装置）アドレス（tunnel source）
    ・トンネルインターフェースから送信するデリバリーパケットの終点（対向装置）アドレス（tunnel destination）
    ・トンネルインターフェースに対するIPsec保護の適用とIPsecプロファイルの指定（tunnel protection ipsec）
    ・トンネリング方式（tunnel mode ipsec）
    ・トンネルインターフェースのIPアドレス（ip address）
    ・トンネルインターフェースにおけるMSS書き換え設定（ip tcp adjust-mss）
    

    interface tunnel0
     mtu 1300
     tunnel source ppp0
     tunnel destination 172.17.0.1
     tunnel protection ipsec profile nifcloud-ipsec
     tunnel mode ipsec ipv4
     ip address 172.30.0.1/32
     ip tcp adjust-mss 1260
    

24. デフォルト経路（0.0.0.0/0）とNIFCLOUD仮想サブネット（10.0.0.0/16）への経路を設定します。これにはip routeコマンドを使います。
    ただし、ルーター間のVPN接続が有効になるまでは、NIFCLOUDへの経路は使用できないように設定します。
    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    

    ip route 0.0.0.0/0 ppp0
    ip route 10.0.0.0/16 tunnel0
    ip route 10.0.0.0/16 Null 254
    

25. 以上で設定は完了です。
    

    end
    

設定の保存

awplus# copy running-config startup-config ↓
Building configuration...
[OK]

awplus# write memory ↓
Building configuration...
[OK]

ファイアウォールログについて

awplus(config)# log buffered level informational facility local5 ↓

awplus# show log | include Firewall ↓

NIFCLOUDの設定

Note

詳細はNIFCLOUDのドキュメントをご参照ください。

1. NIFCLOUDのコントロールパネルにログインします。
   
   
2. 画面左上の「v」メニューから「ネットワーク」をクリックしてネットワーク図を開きます。
   

   

   
   
3. 適切なリージョンとゾーンを選択します。
   

   

   
   
4. NIFCLOUD側の仮想サブネット（プライベートLAN）を作成します。
   「ネットワーク上での操作」ドロップダウンから「プライベートLAN作成」を選択します。
   

   

   
   
5. 下記のとおり各項目を選択・入力します。
   
   • プライベートLAN名：Private（一例）
     
   • ゾーン：適切なものを選択
     
   • CIDR：10.0.0.0/16（NIFCLOUD仮想サブネット）
     
   • 料金プラン：適切なものを選択
     
   入力後、右下の「確認へ」をクリックして確認画面へ移り、内容に問題がなければ「作成する」をクリックします。
   

   

   
   
6. NIFCLOUD側の拠点間VPNゲートウェイ（拠点間VPNGW）を作成します。
   画面左の「ネットワーク」をクリックしてネットワーク図を開き、「ネットワーク上での操作」ドロップダウンから「拠点間VPNGW作成」を選択します。
   

   

   
   
7. 下記のとおり各項目を選択・入力します。
   
   • 拠点間VPNGW名：VPNgw（一例）
     
   • ゾーン：適切なものを選択
     
   • タイプ：適切なものを選択
     
   • 料金プラン：適切なものを選択
     
   入力後、右下の「ネットワーク設定へ」をクリックします。
   

   

   
   
8. 下記のとおり各項目を選択・入力します。
   
   • 対向機器側ネットワーク
     
     • ネットワーク名：共通グローバル
       
   • 内部ネットワーク
     
     • ネットワーク名：Private (10.0.0.0/16) （さきほど作成したもの）
       
     • IPアドレス：10.0.0.1（拠点間VPNGWのプライベートLAN側IPアドレス）
       
   入力後、右下の「ファイアウォール設定へ」をクリックします。
   

   

   
   
9. 今回はファイアウォールの設定を行わないので、そのまま「確認へ」をクリックし、表示された内容に問題がなければ「作成する」をクリックします。
   
   
10. NIFCLOUDから見た対向ルーター（カスタマーゲートウェイ）、すなわち本製品の情報を指定します。
    画面左の「カスタマーGW」をクリックし、「カスタマーゲートウェイ作成」をクリックします。
    

    

    
    
11. 下記のとおり各項目を選択・入力します。
    
    • カスタマーゲートウェイ名：AR（一例）
      
    • 対向機器IPアドレス：172.16.0.1（本製品のWAN側IPアドレス）
      
    • 接続方式：IPsec VTI
      
    • 対向機器LAN側IPアドレス帯：192.168.1.0/24（本製品のLAN側サブネットの1つ目）
      
    入力後、右下の「作成する」をクリックします。
    

    

    
    
12. NIFCLOUD側の拠点間VPNゲートウェイから本製品（カスタマーゲートウェイ）に対するVPN接続設定を行います。
    画面左の「ネットワーク」をクリックしてネットワーク図を開き、作成した「拠点間VPNGW」をクリックし、VPNの基本情報を開きます。
    

    

    
    
13. 「拠点間VPNGWの操作」ドロップダウンから「VPNコネクション作成」を選択します。
    

    

    
    
14. 下記のとおり各項目を選択・入力します。
    
    • カスタマーゲートウェイ：AR（さきほど作成したもの）
      
    • 接続方式：IPsec VTI
      
    • IKEバージョン：IKEv2
      
    • 暗号化アルゴリズム：AES128
      
    • 認証アルゴリズム：SHA1
      
    • 事前共有鍵：secret
      
    • IKE lifetime：28800（デフォルト）
      
    • ESP lifetime：3600（デフォルト）
      
    • DH Group：デフォルト
      
    入力後、右下の「トンネル設定へ」をクリックします。
    

    

    
    
15. 接続がIPsecの場合はトンネル設定の必要はないため、そのまま「確認へ」をクリックします。
    

    

    
    
16. 内容に問題がなければ「作成する」をクリックします。
    

    

    
    
17. 本製品のLAN側にはサブネットが2つありますが、NIFCLOUD側の拠点間VPNゲートウェイ（拠点間VPNGW）には一方へのルートしか設定されていないため、もう一方へのルートを追加します。
    画面左の「ルートテーブル」をクリックし、続いて「ルートテーブル作成」をクリックします。
    

    Note

    画面には現在拠点間VPNGWに適用されている自動作成のルートテーブルIDが表示されています。

    

    
    
18. 「ルート追加」をクリックし、下記のとおり各項目を選択・入力します。
    
    • デスティネーション：192.168.2.0/24
      
    • ターゲット：IPアドレス 192.168.1.1
      
    入力後、右下の「作成する」をクリックします。
    

    

    
    
19. 画面左の「ルートテーブル」をクリックします。
    先ほど作成したルートテーブルIDの左にある「v」をクリックすると、ルートテーブルの内容を確認できます。
    

    

    
    
20. 画面左の「ネットワーク」をクリックしてネットワーク図を開き、「拠点間VPNGW」をクリックし、VPNの基本情報を開きます。
    「拠点間VPNGWの操作」ドロップダウンから「ルートテーブルを変更する」を選択します。
    

    

    
    
21. 「変更するルートテーブルID」から先ほど作成したルートテーブルIDを選択し、右下の「変更する」をクリックします。
    これにより192.168.2.0/24へのルートが追加されます。
    

    

    
    
22. 画面左の「ネットワーク」をクリックしてネットワーク図を開き、作成した「拠点間VPNGW」をクリックしてVPNの基本情報を開きます。
    さらに「ネットワーク」タブをクリックし、ネットワーク情報を開きます。
    ネットワーク名「共通グローバル」の「IPアドレス」がNIFCLOUD側にある拠点間VPNゲートウェイ（拠点間VPNGW）のパブリックIPアドレスです。
    このアドレスは本製品側のVPN設定時に対向ルーターのアドレスとして使用するため、メモしておいてください。
    

    

TQRのコンフィグ

!
wireless
!
 security 1 mode wpa-personal
  key passphrase1
  versions wpa2 wpa3
 security 2 mode wpa-personal
  key passphrase2
  versions wpa2 wpa3
 security 17 mode wpa-personal
  key passphrase17
  versions wpa2 wpa3
 security 18 mode wpa-personal
  key passphrase18
  versions wpa2 wpa3
!
 network 1
  ssid Network2
  hide-ssid
  security 1
 network 2
  ssid Management2
  hide-ssid
  security 2
 network 17
  ssid Network5
  hide-ssid
  security 17
 network 18
  ssid Management5
  hide-ssid
  security 18
!
 ap-profile local
  radio 1
   enable
   vap 0 network 1
   vap 1 network 2
  radio 2
   enable
   zero-wait-dfs enable
   vap 0 network 17
   vap 1 network 18
!
bridge 1
bridge 2
!
interface vap1.0
 bridge-group 1

interface vap1.1
 bridge-group 2

interface vap2.0
 bridge-group 1

interface vap2.1
 bridge-group 2
!
interface eth2
 encapsulation ppp 0
!
interface ppp0
 keepalive
 ppp username user@ispA
 ppp password isppasswdA
 ip address 172.16.0.1/32
 ip tcp adjust-mss 1414
!
interface br1
 ip address 192.168.1.1/24

interface br2
 ip address 192.168.2.1/24
!
zone private
 network lan
  ip subnet 10.0.0.0/16
  ip subnet 192.168.1.0/24
  ip subnet 192.168.2.0/24
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 172.16.0.1
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 sport 500
 dport 500
!
application nat-t
 protocol udp
 dport 4500
!
firewall
 rule 10 permit any from public.wan.ppp0 to public.wan
 rule 20 permit isakmp from public.wan to public.wan.ppp0
 rule 30 permit esp from public.wan to public.wan.ppp0
 rule 40 permit any from private to private
 rule 50 permit any from private to public
 rule 60 permit nat-t from public.wan to public.wan.ppp0
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
crypto isakmp key secret address 172.17.0.1
!
crypto ipsec profile nifcloud-ipsec
 lifetime seconds 3600
 transform 1 protocol esp integrity SHA1 encryption AES128
!
crypto isakmp profile nifcloud-isakmp
 lifetime 28800
 dpd-interval 15
 transform 1 integrity SHA1 encryption AES128 group 2
!
crypto isakmp peer address 172.17.0.1 profile nifcloud-isakmp
!
interface tunnel0
 mtu 1300
 tunnel source ppp0
 tunnel destination 172.17.0.1
 tunnel protection ipsec profile nifcloud-ipsec
 tunnel mode ipsec ipv4
 ip address 172.30.0.1/32
 ip tcp adjust-mss 1260
!
ip route 0.0.0.0/0 ppp0
ip route 10.0.0.0/16 tunnel0
ip route 10.0.0.0/16 Null 254
!
end

(C) 2023 - 2024 アライドテレシスホールディングス株式会社

PN: 613-003212 Rev.G