CentreCOM AR415S 設定例集 2.9: #124
<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR415S 設定例集 2.9 #124
BGP-4:センターに対するマルチホーム(MED値による負荷分散)
ドメイン間経路制御プロトコルBGP-4(Border Gateway Protocol version 4)の設定例です。ここでは、CUG(Closed Users Group)サービスにおいてL2TP + IPsecを使用して、センターに複数回線で接続するマルチホームの構成例を示します。BGP-4では、経路情報にさまざまな「属性」を付加することにより、他ASの経路選択プロセスに影響を与えることができます。この例では、MULTI_EXIT_DISC(MED)属性を利用して下りトラフィックの負荷分散を試みます。
Note
- 本機能はオプション機能ですので、ご使用にはフィーチャー(追加機能)ライセンスが必要です。
ここでは、次のような構成のネットワークを例に解説します。
ルーター(AS 65020)は配下に2つのサブネット(プレフィックス)を持ち、センター(AS 65010)と2つの回線で接続しています。AS 65020では、センターからの下りトラフィックが次のように負荷分散されることを望んでいます。
- 192.168.10.0/24宛:ppp11側回線経由
- 192.168.20.0/24宛:ppp12側回線経由
これを実現するため、AS 65020はセンターに対し、各プレフィックス(192.168.10.0/24と192.168.20.0/24)に次のようなMED(MULTI_EXIT_DISC)値を付加してセンターに通知します。
- ppp11側のE-BGPセッション
- 192.168.10.0/24:MED=10
- 192.168.20.0/24:MED=300
- ppp12側のE-BGPセッション
- 192.168.10.0/24:MED=300
- 192.168.20.0/24:MED=10
MED値は、他ASと複数点で接続している場合に、特定プレフィックス宛のトラフィックをどの回線経由で送信すべきか選択するときに使うメトリック(コスト)値です。値が小さい経路ほど優先的に使用されます。ASは経路制御ポリシーを実現する目的でMED値を設定し、他のASに通知します。このMED値をもとに経路選択を行うのは、通知を受ける側であることに注意してください。
センター側から見た場合、AS 65020内の2つのプレフィックス宛の経路は次のように見えます。
- 目的地192.168.10.0/24
- 192.168.100.1(ルーターのppp11側)経由のコスト(MED値):10
- 192.168.110.1(ルーターのppp12側)経由のコスト(MED値):300
- 目的地192.168.20.0/24
- 192.168.100.1(ルーターのppp11側)経由のコスト(MED値):300
- 192.168.110.1(ルーターのppp12側)経由のコスト(MED値):10
結果として、センターは192.168.10.0/24宛の経路としてppp11側回線を、192.168.20.0/24宛の経路としてppp12側回線を選ぶことが期待されます。また、ppp11側回線がダウンした場合は、192.168.10.0/24宛、192.168.20.0/24宛の両方がppp12側経由で送られてきます。
ここでは、次のようなネットワーク構成を例に解説します。
表 1:グループ管理者から提供された情報
|
ルーター |
PPPユーザー名 |
userA@isp1 |
userB@isp2 |
PPPパスワード |
isppasswdA |
isppasswdB |
IPアドレス |
172.16.0.1/32 |
172.16.1.1/32 |
接続形態 |
端末型(アドレス1個固定) |
端末型(アドレス1個固定) |
ルーターの基本設定を次にまとめます。
表 2:ルーターの基本設定
|
ルーター |
WAN側物理インターフェース |
eth0、eth1 |
WAN側(ppp11)IPアドレス |
192.168.100.1/24 |
WAN側(ppp12)IPアドレス |
192.168.110.1/24 |
LAN側(vlan10)IPアドレス |
192.168.10.1/24 |
LAN側(vlan20)IPアドレス |
192.168.20.1/24 |
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- L2TPモジュールを有効にします。
- L2TPサーバーをLAC/LNSの兼用モード(BOTH)で起動します。
ENABLE L2TP SERVER=BOTH ↓
- センターからのトンネル接続要求時に相手を認証するためのパスワード「l2tpA」を設定します。
SET L2TP PASSWORD=l2tpA ↓
- L2TPコール「remote1」および「remote2」を作成し、L2TPの接続先情報を登録します。IPには対向ルーターのIPアドレスを指定します。TYPEは呼の種類を示すもので、LAN間接続の場合はVIRTUALを指定します。PRECEDENCEはL2TPの通信が同時に開始された場合、発呼・着呼のどちらを優先するかを指定します。PASSWORDには、接続先で認証を受けるためのパスワードを指定します。
ADD L2TP CALL=remote1 REMOTE=remote1 IP=172.16.0.2 TYPE=VIRTUAL PRECEDENCE=OUT PASSWORD=l2tpB ↓
ADD L2TP CALL=remote2 REMOTE=remote2 IP=172.16.1.2 TYPE=VIRTUAL PRECEDENCE=OUT PASSWORD=l2tpC ↓
- WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY USER=userA@isp1 PASSWORD=isppasswdA LQR=OFF BAP=OFF ECHO=ON ↓
- WAN側Ethernetインターフェース(eth1)上にPPPインターフェースを作成します。「OVER=eth1-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=1 OVER=eth1-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=1 OVER=eth1-ANY USER=userB@isp2 PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON ↓
- 各ルーター間でBGPを有効にするインターフェースとしてL2TPコール上にPPPインターフェースを作成します。CREATE PPPコマンドでL2TPコールを物理インターフェースとして指定するときは、L2TPコール名の前に「TNL-」を付けます。センター向けのPPPインターフェースを2つ作成します。
CREATE PPP=11 OVER=TNL-remote1 LQR=OFF BAP=OFF ECHO=ON ↓
CREATE PPP=12 OVER=TNL-remote2 LQR=OFF BAP=OFF ECHO=ON ↓
- ルーター配下のネットワークVLAN(vlan10およびvlan20)を作成します。
CREATE VLAN=vlan10 VID=10 ↓
CREATE VLAN=vlan20 VID=20 ↓
- それぞれのVLANにポートを割り当てます。
ADD VLAN=vlan10 PORT=1-2 ↓
ADD VLAN=vlan20 PORT=3-4 ↓
- IPモジュールを有効にします。
- LAN側インターフェース(vlan10およびvlan20)にIPアドレスを設定します。
ADD IP INT=vlan10 IP=192.168.10.1 ↓
ADD IP INT=vlan20 IP=192.168.20.1 ↓
- WAN側(ppp0)インターフェースにISPより割り当てられたIPアドレス「172.16.0.1」を設定します。また、BGPがソースアドレスとして使用するL2TP上のPPPインターフェース(ppp11)にIPアドレスを割り当てます。
ADD IP INT=ppp0 IP=172.16.0.1 MASK=255.255.255.255 ↓
ADD IP INT=ppp11 IP=192.168.100.1 MASK=255.255.255.0 ↓
- WAN側(ppp1)インターフェースにISPより割り当てられたIPアドレス「172.16.1.1」を設定します。また、BGPがソースアドレスとして使用するL2TP上のPPPインターフェース(ppp12)にIPアドレスを割り当てます。
ADD IP INT=ppp1 IP=172.16.1.1 MASK=255.255.255.255 ↓
ADD IP INT=ppp12 IP=192.168.110.1 MASK=255.255.255.0 ↓
- L2TPトンネルを設定するためのルートを設定します。
ADD IP ROUTE=172.16.0.2 MASK=255.255.255.255 INT=ppp0 NEXT=0.0.0.0 ↓
ADD IP ROUTE=172.16.1.2 MASK=255.255.255.255 INT=ppp1 NEXT=0.0.0.0 ↓
- 自AS番号を設定します。
- ppp0側のBGPピアを指定します。自分と異なるAS番号を持つピアはE-BGPピア(外部ピア)となります。
ADD BGP PEER=192.168.100.2 REMOTEAS=65010 ↓
- ppp1側のBGPピアを指定します。自分と異なるAS番号を持つピアはE-BGPピア(外部ピア)となります。
ADD BGP PEER=192.168.110.2 REMOTEAS=65010 ↓
- コミュニティー値「65020:10」を設定するルートマップ「prefix10」を作成します。
ADD IP ROUTEMAP=prefix10 ENTRY=1 SET COMMUNITY=65020:10 ↓
- BGPで配布するプレフィックスとして192.168.10.0/24を指定します。同プレフィックスにはルートマップ「prefix10」を適用し、コミュニティー値「65020:10」を付加します。
ADD BGP NETWORK=192.168.10.0/24 ROUTEMAP=prefix10 ↓
- コミュニティー値「65020:20」を設定するルートマップ「prefix20」を作成します。
ADD IP ROUTEMAP=prefix20 ENTRY=1 SET COMMUNITY=65020:20 ↓
- BGPで配布するプレフィックスとして192.168.20.0/24を指定します。同プレフィックスにはルートマップ「prefix20」を適用し、コミュニティー値「65020:20」を付加します。
ADD BGP NETWORK=192.168.20.0/24 ROUTEMAP=prefix20 ↓
- コミュニティー値「65020:10」にマッチするコミュニティーフィルター「1」を作成します。
ADD IP COMMUNITYLIST=1 INCLUDE=65020:10 ↓
- コミュニティー値「65020:20」にマッチするコミュニティーフィルター「2」を作成します。
ADD IP COMMUNITYLIST=2 INCLUDE=65020:20 ↓
- E-BGP経由で通知する経路のデフォルトMED値として「10」を指定します。
- ルートマップ「set_med_ppp11」を作成し、コミュニティーフィルター「2」にマッチする経路(192.168.20.0/24)にMED値「300」を設定するエントリー「1」を追加します。その他の経路については、デフォルトのMED値の10が設定されます。
ADD IP ROUTEMAP=set_med_ppp11 ENTRY=1 MATCH COMMUNITY=2 ACTION=INCLUDE ↓
ADD IP ROUTEMAP=set_med_ppp11 ENTRY=1 SET MED=300 ↓
- ルートマップ「set_med_ppp12」を作成し、コミュニティーフィルター「1」にマッチする経路(192.168.10.0/24)にMED値「300」を設定するエントリー「1」を追加します。その他の経路については、デフォルトのMED値の10が設定されます。
ADD IP ROUTEMAP=set_med_ppp12 ENTRY=1 MATCH COMMUNITY=1 ACTION=INCLUDE ↓
ADD IP ROUTEMAP=set_med_ppp12 ENTRY=1 SET MED=300 ↓
- ppp11側のBGPピア(192.168.100.2)に経路を通知するときに、ルートマップ「set_med_ppp11」を適用してから通知するよう設定します。また、COMMUNITIES属性を通知するため「SENDCOMMUNITY=YES」を付けます。
SET BGP PEER=192.168.100.2 OUTROUTEMAP=set_med_ppp11 SENDCOMMUNITY=YES ↓
- ppp12側のBGPピア(192.168.110.2)に経路を通知するときに、ルートマップ「set_med_ppp12」を適用してから通知するよう設定します。また、COMMUNITIES属性を通知するため「SENDCOMMUNITY=YES」を付けます。
SET BGP PEER=192.168.110.2 OUTROUTEMAP=set_med_ppp12 SENDCOMMUNITY=YES ↓
- 各BGPピアとのセッションを開始します。
ENABLE BGP PEER=192.168.100.2 ↓
ENABLE BGP PEER=192.168.110.2 ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」、「2」番とし、鍵の値は「secret-ab」、「secret-ac」という文字列で指定します(センター側ルーターと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE=secret-ab ↓
CREATE ENCO KEY=2 TYPE=GENERAL VALUE=secret-ac ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ppp0側のピアとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i_B」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を指定し、PEERには対向ルーターのIPアドレスを指定します。
CREATE ISAKMP POLICY=i_B PEER=172.16.0.2 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
- ppp1側のピアとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i_C」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「2」)を指定し、PEERには対向ルーターのIPアドレスを指定します。
CREATE ISAKMP POLICY=i_C PEER=172.16.1.2 KEY=2 SENDN=TRUE HEARTBEATMODE=BOTH ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING=1 ↓
- ppp0側でISAKMPメッセージを素通しさせるIPsecポリシー「isa_B」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY=isa_B INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- 実際のIPsec通信に使用するIPsecポリシー「vpn_B」をPPPインターフェース「0」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERには対向ルーターのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定し、実際にIPsec通信を行うIPアドレスの範囲を指定します。本構成では、L2TPパケットが対象となります。コマンドが長くなるため、できるだけ省略形を用いてください。
CREATE IPSEC POLICY=vpn_B INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.0.2 ↓
SET IPSEC POLICY=vpn_B LAD=172.16.0.1 LPORT=1701 RAD=172.16.0.2 RPORT=1701 ↓
Note
- インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまいVPN以外との通信ができなくなります。
- ppp1側でISAKMPメッセージを素通しさせるIPsecポリシー「isa_C」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY=isa_C INT=ppp1 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
- 実際のIPsec通信に使用するIPsecポリシー「vpn_C」をPPPインターフェース「1」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERには対向ルーターのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定し、実際にIPsec通信を行うIPアドレスの範囲を指定します。本構成では、L2TPパケットが対象となります。
CREATE IPSEC POLICY=vpn_C INT=ppp1 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.1.2 ↓
SET IPSEC POLICY=vpn_C LAD=172.16.1.1 LPORT=1701 RAD=172.16.1.2 RPORT=1701 ↓
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
■ 経路表を確認するにはSHOW IP ROUTEコマンドを使います。
■ BGPピアの状態はSHOW BGP PEERコマンドで確認します。
SHOW BGP PEER ↓
SHOW BGP PEER=192.168.100.2 ↓
■ BGP-4の経路表を確認するにはSHOW BGP ROUTEコマンドを使います。
■ BGP-4の設定情報を確認するにはSHOW BGPコマンドを使います。
■ コミュニティーフィルターの設定内容はSHOW IP COMMUNITYLISTコマンドで確認します。
■ ルートマップの設定内容はSHOW IP ROUTEMAPコマンドで確認します。
■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。
たとえば、ネットワーク192.168.10.0/24および192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
ADD USER RSO IP=192.168.20.0 MASK=255.255.255.0 ↓
■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。
セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜3600(秒)を指定します。デフォルトは60秒です。
SET USER SECUREDELAY=300 ↓
ルーターのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
SET L2TP PASSWORD=l2tpA ↓
ADD L2TP CALL=remote1 REMOTE=remote1 IP=172.16.0.2 TYPE=VIRTUAL PRECEDENCE=OUT PASSWORD=l2tpB ↓
ADD L2TP CALL=remote2 REMOTE=remote2 IP=172.16.1.2 TYPE=VIRTUAL PRECEDENCE=OUT PASSWORD=l2tpC ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY USER=userA@isp1 PASSWORD=isppasswdA LQR=OFF BAP=OFF ECHO=ON ↓
CREATE PPP=1 OVER=eth1-ANY ↓
SET PPP=1 OVER=eth1-ANY USER=userB@isp2 PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON ↓
CREATE PPP=11 OVER=TNL-remote1 LQR=OFF BAP=OFF ECHO=ON ↓
CREATE PPP=12 OVER=TNL-remote2 LQR=OFF BAP=OFF ECHO=ON ↓
CREATE VLAN=vlan10 VID=10 ↓
CREATE VLAN=vlan20 VID=20 ↓
ADD VLAN=vlan10 PORT=1-2 ↓
ADD VLAN=vlan20 PORT=3-4 ↓
ENABLE IP ↓
ADD IP INT=vlan10 IP=192.168.10.1 ↓
ADD IP INT=vlan20 IP=192.168.20.1 ↓
ADD IP INT=ppp0 IP=172.16.0.1 MASK=255.255.255.255 ↓
ADD IP INT=ppp11 IP=192.168.100.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp1 IP=172.16.1.1 MASK=255.255.255.255 ↓
ADD IP INT=ppp12 IP=192.168.110.1 MASK=255.255.255.0 ↓
ADD IP ROUTE=172.16.0.2 MASK=255.255.255.255 INT=ppp0 NEXT=0.0.0.0 ↓
ADD IP ROUTE=172.16.1.2 MASK=255.255.255.255 INT=ppp1 NEXT=0.0.0.0 ↓
SET IP AUTO=65020 ↓
ADD BGP PEER=192.168.100.2 REMOTEAS=65010 ↓
ADD BGP PEER=192.168.110.2 REMOTEAS=65010 ↓
ADD IP ROUTEMAP=prefix10 ENTRY=1 SET COMMUNITY=65020:10 ↓
ADD BGP NETWORK=192.168.10.0/24 ROUTEMAP=prefix10 ↓
ADD IP ROUTEMAP=prefix20 ENTRY=1 SET COMMUNITY=65020:20 ↓
ADD BGP NETWORK=192.168.20.0/24 ROUTEMAP=prefix20 ↓
ADD IP COMMUNITYLIST=1 INCLUDE=65020:10 ↓
ADD IP COMMUNITYLIST=2 INCLUDE=65020:20 ↓
SET BGP MED=10 ↓
ADD IP ROUTEMAP=set_med_ppp11 ENTRY=1 MATCH COMMUNITY=2 ACTION=INCLUDE ↓
ADD IP ROUTEMAP=set_med_ppp11 ENTRY=1 SET MED=300 ↓
ADD IP ROUTEMAP=set_med_ppp12 ENTRY=1 MATCH COMMUNITY=1 ACTION=INCLUDE ↓
ADD IP ROUTEMAP=set_med_ppp12 ENTRY=1 SET MED=300 ↓
SET BGP PEER=192.168.100.2 OUTROUTEMAP=set_med_ppp11 SENDCOMMUNITY=YES ↓
SET BGP PEER=192.168.110.2 OUTROUTEMAP=set_med_ppp12 SENDCOMMUNITY=YES ↓
ENABLE BGP PEER=192.168.100.2 ↓
ENABLE BGP PEER=192.168.110.2 ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE=secret-ab ↓
# CREATE ENCO KEY=2 TYPE=GENERAL VALUE=secret-ac ↓
CREATE ISAKMP POLICY=i_B PEER=172.16.0.2 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE ISAKMP POLICY=i_C PEER=172.16.1.2 KEY=2 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING=1 ↓
CREATE IPSEC POLICY=isa_B INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY=vpn_B INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.0.2 ↓
SET IPSEC POLICY=vpn_B LAD=172.16.0.1 LPORT=1701 RAD=172.16.0.2 RPORT=1701 ↓
CREATE IPSEC POLICY=isa_C INT=ppp1 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY=vpn_C INT=ppp1 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.1.2 ↓
SET IPSEC POLICY=vpn_C LAD=172.16.1.1 LPORT=1701 RAD=172.16.1.2 RPORT=1701 ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
CentreCOM AR415S 設定例集 2.9 #124
(C) 2006-2017 アライドテレシスホールディングス株式会社
PN: 613-000668 Rev.N
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))