[index] AT-AR3050S/AT-AR4050S コマンドリファレンス 5.4.5

設定例集#22: バイパスポートによる非対称型WAN回線冗長構成（AMF併用。AT-AR4050SがAMFマスター）

Note - AMFマスター機能を使用するにはAMFマスターライセンスが必要です。

Note - AMFマスター機能はAT-AR4050Sでのみ利用可能です。

Note - AT-AR4050Sは外部メディアとしてUSBメモリーとSDHCカードの両方をサポートしていますが、AMFバックアップ機能においてはSDHCカードのみ使用可能です。

AMF関連設定
AMFネットワーク名	AMF001
AMFマスター	ルーターC
AMFバックアップ用外部メディア	SDHCカード
AMF仮想リンク	ルーターA・C間：192.168.10.1（ルーターA：AMFメンバー） - 192.168.100.2（ルーターC：AMFマスター）
	ルーターB・C間：192.168.10.2（ルーターB：AMFメンバー） - 192.168.100.2（ルーターC：AMFマスター）
	※ルーターA・Bのうち、VRRPマスタールーターとして動作しているほうが実際にAMF仮想リンクの接続を行います。 （VRRPバックアップルーターとして動作しているほうのAMF仮想リンクはブロックとなります）
ISPから提供された情報
	ルーターA	ルーターB	ルーターC （AT-AR4050S）
	バイパスポートを利用して同一回線に接続 （実際に接続するのはVRRPマスターのみ）
ISP接続用ユーザー名	user@isp1（共通）		user@isp2
ISP接続用パスワード	isppasswd1（共通）		isppasswd2
PPPoEサービス名	指定なし（共通）		指定なし
WAN側IPアドレス	10.0.0.1/32（共通）		10.0.0.2/32
DNSサーバーIPアドレス	自動取得（IPCP）（共通）		自動取得（IPCP）
ルーターの基本設定
WAN側物理インターフェース	eth1	eth1	eth1
WAN側（ppp0）IPアドレス	10.0.0.1/32（VRRPマスター側でのみ有効）		10.0.0.2/32
LAN側（vlan1）IPアドレス	192.168.10.1/24	192.168.10.2/24	192.168.30.1/24

• ルーターA/B・C間: secret
  

  Note - ルーターA/Bのうち、VRRPマスタールーターとして動作しているほうが実際にIPsec接続を行います。

• ルーターA・B
  
  • ISPへの接続にはPPPoEを使用します。
    
  • HAモードVRRPの設定をします。
    
  • VRRPバックアップ側であるルーターBでバイパスポートとWANポートを関連付けます。
    
  • バイパスポートを利用して1本のISP接続回線にルーターA・Bを接続します。
    通常時はルーターAがISPと接続していますが、ルーターAまたはルーターAのWAN側かLAN側に障害が発生したときはルーターBがISP接続を引き継ぎます。
    
  • AMFネットワーク名を設定し、AMFマスターと接続するAMF仮想リンクの設定と、配下のAMFメンバーと接続するAMFクロスリンクの設定をします（リング構成のためクロスリンクを使用）。
    
  • ファイアウォールで使用するゾーンとアプリケーションの設定をします。ファイアウォール機能により、外部からの不正アクセスを遮断します。
    
  • 内部ゾーンのクライアントがインターネットにアクセスできるようダイナミックENATを使用します。
    
  • IPsecトンネルを設定し、プライベート間の通信はトンネル経由で行えるようにします。
    
  • DNSリレーを有効にします。
    
  
  
• ルーターC
  
  • ISPへの接続にはPPPoEを使用します。
    
  • AMFネットワーク名を設定し、AMFマスターとして動作させるための設定を行います。また、AMFメンバーと接続するAMF仮想リンクの設定をします。
    
  • ファイアウォールで使用するゾーンとアプリケーションの設定をします。ファイアウォール機能により、外部からの不正アクセスを遮断します。
    
  • 内部ゾーンのクライアントがインターネットにアクセスできるようダイナミックENATを使用します。
    
  • IPsecトンネルを設定し、プライベート間の通信はトンネル経由で行えるようにします。
    
  • DNSリレーを有効にします。
    

• すべての拠点にグローバルアドレス1個が固定的に割り当てられていると仮定しています。
  
• 通常時、ルーターAはVRRPマスタールーターとして動作し、ルーターBはVRRPバックアップルーターとして動作します。
  
• ルーターA/B配下のPCでは、プライマリーDNSサーバーアドレスをVRRPマスタールーターのLAN側実IPアドレスに、またセカンダリーDNSサーバーアドレスをVRRPバックアップルーターのLAN側実IPアドレスに設定してください。
  

1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
   スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
   

   no spanning-tree rstp enable

2. WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
   PPPの詳細は「PPP」/「一般設定」をご覧ください。
   

   interface eth1 encapsulation ppp 0

3. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
   
   ・IPCPによるDNSサーバーアドレスの取得要求（ppp ipcp dns）
   ・LCP EchoによるPPP接続状態の確認（keepalive）
   ・IPCPによるIPアドレスの取得要求（ip address negotiated）
   ・ユーザー名（ppp username）
   ・パスワード（ppp password）
   ・MSS書き換え（ip tcp adjust-mss）
   
   PPPの詳細は「PPP」/「一般設定」をご覧ください。
   
   ※ルーターA・Bはバイパスポートを通じて同じ回線に接続されているため、PPPoE接続設定は同一です。実際にPPPoE接続を行うのは、VRRPのマスタールーターとして動作している側だけです。
   

   interface ppp0 ppp ipcp dns request keepalive ip address negotiated ppp username user@isp1 ppp password isppasswd1 ip tcp adjust-mss 1414

4. VLANを作成します。
   これには、vlan databaseコマンドとvlanコマンドを使います。
   VLANの詳細は「L2スイッチング」/「バーチャルLAN」をご覧ください。
   

   vlan database vlan 10 state enable

5. AMFノード名（ホスト名）を設定します。これにはhostnameコマンドを使います。
   

   hostname RouterA

6. AMFで使用するネットワーク名を設定します（atmf network-name）。
   AMFの詳細は、「アライドテレシスマネージメントフレームワーク（AMF）」の「概要」、「導入」、「運用」、「応用」各解説編やコマンド編をご覧ください。
   

   atmf network-name AMF001

7. AMFマスター（ルーターC）との間にAMF仮想リンクを設定します。これにはatmf virtual-linkコマンドを使います。
   
   ※実際に仮想リンクが接続状態になるのは、ppp0の接続を確立しているVRRPのマスタールーター側だけです。
   

   atmf virtual-link id 1 ip 192.168.10.1 remote-id 1 remote-ip 192.168.100.2

8. AMF対応スイッチと接続するLANポートにAMFクロスリンクの設定をします（switchport atmf-crosslink）。
   

   interface port1.0.1 switchport switchport atmf-crosslink switchport mode trunk switchport trunk allowed vlan add 10

9. LAN側インターフェースvlan10にIPアドレスを設定します。これにはip addressコマンドを使います。
   IPインターフェースの詳細は「IPルーティング」/「IPインターフェース」をご覧ください。
   

   interface vlan10 ip address 192.168.10.1/24

10. バイパスポートを利用した冗長構成を組むため、HA（High Availability）モードのVRRPを設定します。
    これには、router vrrp、virtual-ip、circuit-failover、priority、ha associate、enableの各コマンドを使います。
    ルーターAは初期状態でマスタールーターとなるため、バイパスポートのリレー制御（ha associateコマンドのwan-bypassパラメーター）は不要です。
    
    VRRPの詳細は「IPルーティング」/「VRRP」をご覧ください。
    

    router vrrp 10 vlan10 virtual-ip 192.168.10.100 backup circuit-failover eth1 2 priority 101 ha associate enable

11. ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
    
    AMFマネージメントサブネット（atmf management subnet）を表すゾーン「lan-atmf」を定義します。
    これには、zone、network、ip subnetの各コマンドを使います。
    

    zone lan-atmf network atmf-link ip subnet 172.31.0.0/16

12. 内部ネットワークを表すゾーン「private」を作成します。
    ここでは、ゾーン「private」内にローカル側の内部ネットワークを表す「lan」、リモート側の内部ネットワークを表す「peer」、IPsecトンネル上のサブネットを表す「tunnel」の3つのネットワークを定義しています。
    

    zone private network lan ip subnet 192.168.10.0/24 ip subnet 192.168.20.0/24 network peer ip subnet 192.168.30.0/24 network tunnel ip subnet 192.168.100.0/30

13. 外部ネットワークを表すゾーン「public」を作成します。
    

    zone public network ppp0 ip subnet 0.0.0.0/0 interface ppp0

14. ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    これには、application、protocol、sport、dport、icmp-type、icmp-typeの各コマンドを使います。
    アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
    
    IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
    

    application esp protocol 50

15. ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
    

    application isakmp protocol udp sport 500 dport 500

16. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewall、rule、protectの各コマンドを使います。
    
    ・rule 10 - ISAKMPパケットを許可します
    ・rule 20 - IPsec（ESP）パケットを許可します
    ・rule 30 - AMFマネージメントサブネット上の通信を許可します
    ・rule 40 - 内部ネットワーク間の通信を許可します
    ・rule 50 - 内部ネットワークから外部への通信を許可します
    ・rule 60 - 本製品のWAN側インターフェースから外部へのDNS通信を許可します
    
    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    

    firewall rule 10 permit isakmp from public.ppp0 to public.ppp0 rule 20 permit esp from public.ppp0 to public.ppp0 rule 30 permit any from lan-atmf to lan-atmf rule 40 permit any from private to private rule 50 permit any from private to public rule 60 permit dns from public.ppp0 to public protect

17. LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
    これには、nat、rule、enableの各コマンドを使います。
    NATの詳細は「UTM」/「NAT」をご覧ください。
    

    nat rule 10 masq any from private to public enable

18. 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    

    crypto isakmp key secret address 10.0.0.2

19. IPsecトンネルインターフェースtunnel0を作成します。
    トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。
    
    これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
    
    ・トンネルインターフェースのIPアドレス（ip address）
    ・トンネルインターフェースから送信するデリバリーパケットの始点（自装置）アドレス（tunnel source）
    ・トンネルインターフェースから送信するデリバリーパケットの終点（対向装置）アドレス（tunnel destination）
    ・トンネリング方式（tunnel mode ipsec）
    ・トンネルインターフェースに対するIPsec保護の適用（tunnel protection ipsec）
    
    ※バイパスポートを使って共有しているppp0上にIPsecトンネルを張るため、トンネル設定は同一です。実際にトンネル接続を行うのは、ppp0の接続を確立しているVRRPのマスタールーター側だけです。
    

    interface tunnel0 ip address 192.168.100.1/30 tunnel source 10.0.0.1 tunnel destination 10.0.0.2 tunnel mode ipsec ipv4 tunnel protection ipsec

20. IPの経路情報をスタティックに設定します。これにはip routeコマンドを使います。
    
    ・ローカル側の内部ネットワーク（192.168.20.0/24）へはAMFメンバースイッチ 192.168.10.10 経由
    ・リモート側の内部ネットワーク（192.168.30.0/24）へはIPsecトンネル tunnel0 経由。ただし、tunnel0 が有効になるまでは、この経路を使用できないように設定
    ・その他（0.0.0.0/0）は ppp0 経由（デフォルト経路）
    
    IP経路設定の詳細は「IPルーティング」/「経路制御」をご覧ください。
    

    ip route 0.0.0.0/0 ppp0 ip route 192.168.20.0/24 192.168.10.10 ip route 192.168.30.0/24 tunnel0 ip route 192.168.30.0/24 Null 254

21. DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
    DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
    

    ip dns forwarding

22. 以上で設定は完了です。
    

    end

1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
   スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
   

   no spanning-tree rstp enable

2. WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
   PPPの詳細は「PPP」/「一般設定」をご覧ください。
   

   interface eth1 encapsulation ppp 0

3. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
   
   ・IPCPによるDNSサーバーアドレスの取得要求（ppp ipcp dns）
   ・LCP EchoによるPPP接続状態の確認（keepalive）
   ・IPCPによるIPアドレスの取得要求（ip address negotiated）
   ・ユーザー名（ppp username）
   ・パスワード（ppp password）
   ・MSS書き換え（ip tcp adjust-mss）
   
   PPPの詳細は「PPP」/「一般設定」をご覧ください。
   
   ※ルーターA・Bはバイパスポートを通じて同じ回線に接続されているため、PPPoE接続設定は同一です。実際にPPPoE接続を行うのは、VRRPのマスタールーターとして動作している側だけです。
   

   interface ppp0 ppp ipcp dns request keepalive ip address negotiated ppp username user@isp1 ppp password isppasswd1 ip tcp adjust-mss 1414

4. VLANを作成します。
   これには、vlan databaseコマンドとvlanコマンドを使います。
   VLANの詳細は「L2スイッチング」/「バーチャルLAN」をご覧ください。
   

   vlan database vlan 10 state enable

5. AMFノード名（ホスト名）を設定します。これにはhostnameコマンドを使います。
   

   hostname RouterB

6. AMFで使用するネットワーク名を設定します（atmf network-name）。
   AMFの詳細は、「アライドテレシスマネージメントフレームワーク（AMF）」の「概要」、「導入」、「運用」、「応用」各解説編やコマンド編をご覧ください。
   

   atmf network-name AMF001

7. AMFマスター（ルーターC）との間にAMF仮想リンクを設定します。これにはatmf virtual-linkコマンドを使います。
   
   ※実際に仮想リンクが接続状態になるのは、ppp0の接続を確立しているVRRPのマスタールーター側だけです。
   

   atmf virtual-link id 1 ip 192.168.10.2 remote-id 2 remote-ip 192.168.100.2

8. AMF対応スイッチと接続するLANポートにAMFクロスリンクの設定をします（switchport atmf-crosslink）。
   

   interface port1.0.1 switchport switchport atmf-crosslink switchport mode trunk switchport trunk allowed vlan add 10

9. LAN側インターフェースvlan10にIPアドレスを設定します。これにはip addressコマンドを使います。
   IPインターフェースの詳細は「IPルーティング」/「IPインターフェース」をご覧ください。
   

   interface vlan10 ip address 192.168.10.2/24

10. バイパスポートを利用した冗長構成を組むため、HA（High Availability）モードのVRRPを設定します。
    これには、router vrrp、virtual-ip、ha associate、enableの各コマンドを使います。
    ルーターBは初期状態でバックアップルーターとなるため、ha associateコマンドのwan-bypassパラメーターでWANポート（eth1）に対応するバイパスポート「1」のリレー制御を有効にします。
    
    VRRPの詳細は「IPルーティング」/「VRRP」をご覧ください。
    

    router vrrp 10 vlan10 virtual-ip 192.168.10.100 backup ha associate wan-bypass 1 enable

11. ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
    
    AMFマネージメントサブネット（atmf management subnet）を表すゾーン「lan-atmf」を定義します。
    これには、zone、network、ip subnetの各コマンドを使います。
    

    zone lan-atmf network atmf-link ip subnet 172.31.0.0/16

12. 内部ネットワークを表すゾーン「private」を作成します。
    ここでは、ゾーン「private」内にローカル側の内部ネットワークを表す「lan」、リモート側の内部ネットワークを表す「peer」、IPsecトンネル上のサブネットを表す「tunnel」の3つのネットワークを定義しています。
    

    zone private network lan ip subnet 192.168.10.0/24 ip subnet 192.168.20.0/24 network peer ip subnet 192.168.30.0/24 network tunnel ip subnet 192.168.100.0/30

13. 外部ネットワークを表すゾーン「public」を作成します。
    

    zone public network ppp0 ip subnet 0.0.0.0/0 interface ppp0

14. ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    これには、application、protocol、sport、dport、icmp-type、icmp-typeの各コマンドを使います。
    アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
    
    IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
    

    application esp protocol 50

15. ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
    

    application isakmp protocol udp sport 500 dport 500

16. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewall、rule、protectの各コマンドを使います。
    
    ・rule 10 - ISAKMPパケットを許可します
    ・rule 20 - IPsec（ESP）パケットを許可します
    ・rule 30 - AMFマネージメントサブネット上の通信を許可します
    ・rule 40 - 内部ネットワーク間の通信を許可します
    ・rule 50 - 内部ネットワークから外部への通信を許可します
    ・rule 60 - 本製品のWAN側インターフェースから外部へのDNS通信を許可します
    
    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    

    firewall rule 10 permit isakmp from public.ppp0 to public.ppp0 rule 20 permit esp from public.ppp0 to public.ppp0 rule 30 permit any from lan-atmf to lan-atmf rule 40 permit any from private to private rule 50 permit any from private to public rule 60 permit dns from public.ppp0 to public protect

17. LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
    これには、nat、rule、enableの各コマンドを使います。
    NATの詳細は「UTM」/「NAT」をご覧ください。
    

    nat rule 10 masq any from private to public enable

18. 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    

    crypto isakmp key secret address 10.0.0.2

19. IPsecトンネルインターフェースtunnel0を作成します。
    トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。
    
    これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
    
    ・トンネルインターフェースのIPアドレス（ip address）
    ・トンネルインターフェースから送信するデリバリーパケットの始点（自装置）アドレス（tunnel source）
    ・トンネルインターフェースから送信するデリバリーパケットの終点（対向装置）アドレス（tunnel destination）
    ・トンネリング方式（tunnel mode ipsec）
    ・トンネルインターフェースに対するIPsec保護の適用（tunnel protection ipsec）
    
    ※バイパスポートを使って共有しているppp0上にIPsecトンネルを張るため、トンネル設定は同一です。実際にトンネル接続を行うのは、ppp0の接続を確立しているVRRPのマスタールーター側だけです。
    

    interface tunnel0 ip address 192.168.100.1/30 tunnel source 10.0.0.1 tunnel destination 10.0.0.2 tunnel mode ipsec ipv4 tunnel protection ipsec

20. IPの経路情報をスタティックに設定します。これにはip routeコマンドを使います。
    
    ・ローカル側の内部ネットワーク（192.168.20.0/24）へはAMFメンバースイッチ 192.168.10.10 経由
    ・リモート側の内部ネットワーク（192.168.30.0/24）へはIPsecトンネル tunnel0 経由。ただし、tunnel0 が有効になるまでは、この経路を使用できないように設定
    ・その他（0.0.0.0/0）は ppp0 経由（デフォルト経路）
    
    IP経路設定の詳細は「IPルーティング」/「経路制御」をご覧ください。
    

    ip route 0.0.0.0/0 ppp0 ip route 192.168.20.0/24 192.168.10.10 ip route 192.168.30.0/24 tunnel0 ip route 192.168.30.0/24 Null 254

21. DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
    DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
    

    ip dns forwarding

22. 以上で設定は完了です。
    

    end

1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
   スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
   

   no spanning-tree rstp enable

2. WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
   PPPの詳細は「PPP」/「一般設定」をご覧ください。
   

   interface eth1 encapsulation ppp 0

3. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
   
   ・IPCPによるDNSサーバーアドレスの取得要求（ppp ipcp dns）
   ・LCP EchoによるPPP接続状態の確認（keepalive）
   ・IPCPによるIPアドレスの取得要求（ip address negotiated）
   ・ユーザー名（ppp username）
   ・パスワード（ppp password）
   ・MSS書き換え（ip tcp adjust-mss）
   
   PPPの詳細は「PPP」/「一般設定」をご覧ください。
   

   interface ppp0 ppp ipcp dns request keepalive ip address negotiated ppp username user@isp2 ppp password isppasswd2 ip tcp adjust-mss 1414

4. VLANを作成します。
   これには、vlan databaseコマンドとvlanコマンドを使います。
   VLANの詳細は「L2スイッチング」/「バーチャルLAN」をご覧ください。
   

   vlan database vlan 30 state enable

5. AMFノード名（ホスト名）を設定します。これにはhostnameコマンドを使います。
   

   hostname RouterC

6. AMFの各種設定を行います。
   
   ・AMFネットワーク名の設定（atmf network-name）
   ・AMFマスター機能の有効化（atmf master）
   
   AMFの詳細は、「アライドテレシスマネージメントフレームワーク（AMF）」の「概要」、「導入」、「運用」、「応用」各解説編やコマンド編をご覧ください。
   

   atmf network-name AMF001 atmf master

7. AMFメンバー（ルーターA・B）との間にAMF仮想リンクを設定します。これにはatmf virtual-linkコマンドを使います。
   
   ※ここでは仮想リンクを2本設定していますが、実際に接続が確立されるのは、ルーターA・BのうちVRRPのマスタールーターとして動作している側とだけです。
   

   atmf virtual-link id 1 ip 192.168.100.2 remote-id 1 remote-ip 192.168.10.1 atmf virtual-link id 2 ip 192.168.100.2 remote-id 1 remote-ip 192.168.10.2

8. LANポートをvlan30のタグなしポートに設定します。
   

   interface port1.0.1-1.0.8 switchport switchport mode access switchport access vlan 30

9. LAN側インターフェースvlan30にIPアドレスを設定します。これにはip addressコマンドを使います。
   IPインターフェースの詳細は「IPルーティング」/「IPインターフェース」をご覧ください。
   

   interface vlan30 ip address 192.168.30.1/24

10. ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
    
    AMFマネージメントサブネット（atmf management subnet）を表すゾーン「lan-atmf」を定義します。
    これには、zone、network、ip subnetの各コマンドを使います。
    

    zone lan-atmf network atmf-link ip subnet 172.31.0.0/16

11. 内部ネットワークを表すゾーン「private」を作成します。
    ここでは、ゾーン「private」内にローカル側の内部ネットワークを表す「lan」、リモート側の内部ネットワークを表す「peer」、IPsecトンネル上のサブネットを表す「tunnel」の3つのネットワークを定義しています。
    

    zone private network lan ip subnet 192.168.30.0/24 network peer ip subnet 192.168.10.0/24 ip subnet 192.168.20.0/24 network tunnel ip subnet 192.168.100.0/30

12. 外部ネットワークを表すゾーン「public」を作成します。
    

    zone public network ppp0 ip subnet 0.0.0.0/0 interface ppp0

13. ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    これには、application、protocol、sport、dport、icmp-type、icmp-typeの各コマンドを使います。
    アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
    
    IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
    

    application esp protocol 50

14. ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
    

    application isakmp protocol udp sport 500 dport 500

15. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewall、rule、protectの各コマンドを使います。
    
    ・rule 10 - ISAKMPパケットを許可します
    ・rule 20 - IPsec（ESP）パケットを許可します
    ・rule 30 - AMFマネージメントサブネット上の通信を許可します
    ・rule 40 - 内部ネットワーク間の通信を許可します
    ・rule 50 - 内部ネットワークから外部への通信を許可します
    ・rule 60 - 本製品のWAN側インターフェースから外部へのDNS通信を許可します
    
    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    

    firewall rule 10 permit isakmp from public.ppp0 to public.ppp0 rule 20 permit esp from public.ppp0 to public.ppp0 rule 30 permit any from lan-atmf to lan-atmf rule 40 permit any from private to private rule 50 permit any from private to public rule 60 permit dns from public.ppp0 to public protect

16. LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
    これには、nat、rule、enableの各コマンドを使います。
    NATの詳細は「UTM」/「NAT」をご覧ください。
    

    nat rule 10 masq any from private to public enable

17. 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    

    crypto isakmp key secret address 10.0.0.1

18. IPsecトンネルインターフェースtunnel0を作成します。
    トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。
    
    これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
    
    ・トンネルインターフェースのIPアドレス（ip address）
    ・トンネルインターフェースから送信するデリバリーパケットの始点（自装置）アドレス（tunnel source）
    ・トンネルインターフェースから送信するデリバリーパケットの終点（対向装置）アドレス（tunnel destination）
    ・トンネリング方式（tunnel mode ipsec）
    ・トンネルインターフェースに対するIPsec保護の適用（tunnel protection ipsec）
    

    interface tunnel0 ip address 192.168.100.2/30 tunnel source 10.0.0.2 tunnel destination 10.0.0.1 tunnel mode ipsec ipv4 tunnel protection ipsec

19. IPの経路情報をスタティックに設定します。これにはip routeコマンドを使います。
    
    ・リモート側の内部ネットワーク（192.168.10.0/24、192.168.20.0/24）へはIPsecトンネル tunnel0 経由。ただし、tunnel0 が有効になるまでは、この経路を使用できないように設定
    ・その他（0.0.0.0/0）は ppp0 経由（デフォルト経路）
    
    IP経路設定の詳細は「IPルーティング」/「経路制御」をご覧ください。
    

    ip route 0.0.0.0/0 ppp0 ip route 192.168.10.0/24 tunnel0 ip route 192.168.10.0/24 Null 254 ip route 192.168.20.0/24 tunnel0 ip route 192.168.20.0/24 Null 254

20. DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
    DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
    

    ip dns forwarding

21. 以上で設定は完了です。
    

    end

awplus# copy running-config startup-config ↓ Building configuration... [OK]

awplus# write memory ↓ Building configuration... [OK]

! no spanning-tree rstp enable ! interface eth1 encapsulation ppp 0 ! interface ppp0 ppp ipcp dns request keepalive ip address negotiated ppp username user@isp1 ppp password isppasswd1 ip tcp adjust-mss 1414 ! vlan database vlan 10 state enable ! hostname RouterA ! atmf network-name AMF001 ! atmf virtual-link id 1 ip 192.168.10.1 remote-id 1 remote-ip 192.168.100.2 ! interface port1.0.1 switchport switchport atmf-crosslink switchport mode trunk switchport trunk allowed vlan add 10 ! interface vlan10 ip address 192.168.10.1/24 ! router vrrp 10 vlan10 virtual-ip 192.168.10.100 backup circuit-failover eth1 2 priority 101 ha associate enable ! zone lan-atmf network atmf-link ip subnet 172.31.0.0/16 ! zone private network lan ip subnet 192.168.10.0/24 ip subnet 192.168.20.0/24 network peer ip subnet 192.168.30.0/24 network tunnel ip subnet 192.168.100.0/30 ! zone public network ppp0 ip subnet 0.0.0.0/0 interface ppp0 ! application esp protocol 50 ! application isakmp protocol udp sport 500 dport 500 ! firewall rule 10 permit isakmp from public.ppp0 to public.ppp0 rule 20 permit esp from public.ppp0 to public.ppp0 rule 30 permit any from lan-atmf to lan-atmf rule 40 permit any from private to private rule 50 permit any from private to public rule 60 permit dns from public.ppp0 to public protect ! nat rule 10 masq any from private to public enable ! crypto isakmp key secret address 10.0.0.2 ! interface tunnel0 ip address 192.168.100.1/30 tunnel source 10.0.0.1 tunnel destination 10.0.0.2 tunnel mode ipsec ipv4 tunnel protection ipsec ! ip route 0.0.0.0/0 ppp0 ip route 192.168.20.0/24 192.168.10.10 ip route 192.168.30.0/24 tunnel0 ip route 192.168.30.0/24 Null 254 ! ip dns forwarding ! end

! no spanning-tree rstp enable ! interface eth1 encapsulation ppp 0 ! interface ppp0 ppp ipcp dns request keepalive ip address negotiated ppp username user@isp1 ppp password isppasswd1 ip tcp adjust-mss 1414 ! vlan database vlan 10 state enable ! hostname RouterB ! atmf network-name AMF001 ! atmf virtual-link id 1 ip 192.168.10.2 remote-id 2 remote-ip 192.168.100.2 ! interface port1.0.1 switchport switchport atmf-crosslink switchport mode trunk switchport trunk allowed vlan add 10 ! interface vlan10 ip address 192.168.10.2/24 ! router vrrp 10 vlan10 virtual-ip 192.168.10.100 backup ha associate wan-bypass 1 enable ! zone lan-atmf network atmf-link ip subnet 172.31.0.0/16 ! zone private network lan ip subnet 192.168.10.0/24 ip subnet 192.168.20.0/24 network peer ip subnet 192.168.30.0/24 network tunnel ip subnet 192.168.100.0/30 ! zone public network ppp0 ip subnet 0.0.0.0/0 interface ppp0 ! application esp protocol 50 ! application isakmp protocol udp sport 500 dport 500 ! firewall rule 10 permit isakmp from public.ppp0 to public.ppp0 rule 20 permit esp from public.ppp0 to public.ppp0 rule 30 permit any from lan-atmf to lan-atmf rule 40 permit any from private to private rule 50 permit any from private to public rule 60 permit dns from public.ppp0 to public protect ! nat rule 10 masq any from private to public enable ! crypto isakmp key secret address 10.0.0.2 ! interface tunnel0 ip address 192.168.100.1/30 tunnel source 10.0.0.1 tunnel destination 10.0.0.2 tunnel mode ipsec ipv4 tunnel protection ipsec ! ip route 0.0.0.0/0 ppp0 ip route 192.168.20.0/24 192.168.10.10 ip route 192.168.30.0/24 tunnel0 ip route 192.168.30.0/24 Null 254 ! ip dns forwarding ! end

! no spanning-tree rstp enable ! interface eth1 encapsulation ppp 0 ! interface ppp0 ppp ipcp dns request keepalive ip address negotiated ppp username user@isp2 ppp password isppasswd2 ip tcp adjust-mss 1414 ! vlan database vlan 30 state enable ! hostname RouterC ! atmf network-name AMF001 atmf master ! atmf virtual-link id 1 ip 192.168.100.2 remote-id 1 remote-ip 192.168.10.1 atmf virtual-link id 2 ip 192.168.100.2 remote-id 1 remote-ip 192.168.10.2 ! interface port1.0.1-1.0.8 switchport switchport mode access switchport access vlan 30 ! interface vlan30 ip address 192.168.30.1/24 ! zone lan-atmf network atmf-link ip subnet 172.31.0.0/16 ! zone private network lan ip subnet 192.168.30.0/24 network peer ip subnet 192.168.10.0/24 ip subnet 192.168.20.0/24 network tunnel ip subnet 192.168.100.0/30 ! zone public network ppp0 ip subnet 0.0.0.0/0 interface ppp0 ! application esp protocol 50 ! application isakmp protocol udp sport 500 dport 500 ! firewall rule 10 permit isakmp from public.ppp0 to public.ppp0 rule 20 permit esp from public.ppp0 to public.ppp0 rule 30 permit any from lan-atmf to lan-atmf rule 40 permit any from private to private rule 50 permit any from private to public rule 60 permit dns from public.ppp0 to public protect ! nat rule 10 masq any from private to public enable ! crypto isakmp key secret address 10.0.0.1 ! interface tunnel0 ip address 192.168.100.2/30 tunnel source 10.0.0.2 tunnel destination 10.0.0.1 tunnel mode ipsec ipv4 tunnel protection ipsec ! ip route 0.0.0.0/0 ppp0 ip route 192.168.10.0/24 tunnel0 ip route 192.168.10.0/24 Null 254 ip route 192.168.20.0/24 tunnel0 ip route 192.168.20.0/24 Null 254 ! ip dns forwarding ! end

(C) 2015 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.D