<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR415S 設定例集 2.9 #179
本社認証サーバーを利用した、リモートオフィスでのユーザー認証(IEEE 802.1X)
IEEE 802.1X認証機能を利用し、拠点を含む全社的な認証ネットワークを構築する例です。
本構成では、インターネットサービスプロバイダー(ISP)とPPPoEで接続している2つの拠点をIPsecで結ぶことにより、IEEE 802.1X認証機能が動作する支社のルーターに接続する端末を、本社RADIUSサーバーで管理します。また本例では、本社ルーターにのみグローバルアドレス1個が固定的に割り当てられており、支社のルーターのアドレスは不定(動的割り当て)であると仮定しています。
各拠点は、ISPから次の情報を提供されているものとします。
表 1:ISPから提供された情報
|
ルーターA(本社) |
ルーターB(支社) |
PPPユーザー名 |
userA@isp |
userB@isp |
PPPパスワード |
isppasswdA |
isppasswdB |
PPPoEサービス名 |
指定無し |
指定無し |
IPアドレス |
172.16.0.1/32 |
接続時に割り当て |
接続形態 |
端末型(アドレス1個固定) |
端末型(アドレス1個不定) |
本社、支社のルーター(A、B)は、ファイアウォールとダイナミックENATを使用した通常の端末型設定(Aはアドレス1個固定。Bはアドレス不定)です。
各ルーターの基本設定を次にまとめます。
表 2:ルーターの基本設定
|
ルーターA |
ルーターB |
WAN側物理インターフェース |
eth0 |
eth0 |
WAN側(ppp0)IPアドレス |
172.16.0.1/32 |
動的割り当て(ppp0) |
LAN側(vlan1)IPアドレス |
192.168.10.1/24 |
192.168.20.1/24 |
DHCPサーバー機能 |
無効 |
有効 |
IPsec関連の設定は次のようになります。
表 3:IKEフェーズ1(ISAKMP SAのネゴシエーション)
ルーター間の認証方式 |
事前共有鍵(pre-shared key) |
IKE交換モード |
Aggressiveモード |
事前共有鍵 |
secret(文字列) |
ルーターAの認証ID |
IPアドレス:172.16.0.1(デフォルト) |
ルーターBの認証ID |
名前:client |
Oakleyグループ |
1(デフォルト) |
ISAKMPメッセージの暗号化方式 |
DES(デフォルト) |
ISAKMPメッセージの認証方式 |
SHA1(デフォルト) |
ISAKMP SAの有効期限(時間) |
86400秒(24時間)(デフォルト) |
ISAKMP SAの有効期限(KByte数) |
なし(デフォルト) |
起動時のISAKMPネゴシエーション |
行なわない |
表 4:IKEフェーズ2(IPsec SAのネゴシエーション)
SAモード |
トンネルモード |
セキュリティープロトコル |
ESP(暗号化+認証) |
暗号化方式 |
DES |
認証方式 |
SHA1 |
IPsec SAの有効期限(時間) |
28800秒(8時間)(デフォルト) |
IPsec SAの有効期限(KByte数) |
なし(デフォルト) |
トンネリング対象IPアドレス |
192.168.10.0/24 ←→ 192.168.20.0/24 |
トンネル終端アドレス |
172.16.0.1(A)・不定(B) |
インターネットとの平文通信 |
行う |
支社ルーターでは、IEEE 802.1X認証を使用して接続された端末を認証します。
認証が成功した端末にはDHCPサーバーよりIPを割り当てることにより、ネットワークへの接続が可能になります。
以下に、ルーターBの設定をまとめます。
表 5:IEEE 802.1X認証の設定
IEEE 802.1X認証ポート |
Port1〜3 |
認証モード |
Single-Supplicantモード |
表 6:RADIUSサーバーの設定
RADIUSサーバー |
192.168.10.2 |
共有パスワード |
himitsu |
認証用UDPポート番号 |
1812 |
アカウンティング用UDPポート番号 |
1813 |
表 7:DHCPサーバーの設定
DHCPポリシー名 |
BASE |
使用期限 |
7200(秒) |
サブネットマスク |
255.255.255.0 |
デフォルトルート |
192.168.20.1 |
DHCPレンジ名 |
LOCAL |
提供するIPアドレスの範囲 |
192.168.20.10〜192.168.20.13(4個) |
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY USER=userA@isp PASSWORD=isppasswdA BAP=OFF LQR=OFF ECHO=ON ↓
- IPモジュールを有効にします。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.10.1 ↓
- WAN側(ppp0)インターフェースにISPより割り当てられたIPアドレス「172.16.0.1」を設定します。
ADD IP INT=ppp0 IP=172.16.0.1 MASK=255.255.255.255 ↓
- デフォルトルートをインターネット(ISP)側に向けます。
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
LAN側(vlan1)インターフェースをPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
WAN側(ppp0)インターフェースをPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
- 相手ルーターから受信したIKEパケット(UDP500番)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PO=500 IP=172.16.0.1 GBLIP=172.16.0.1 GBLP=500 ↓
- 支社宛パケット(192.168.10.0/24→192.168.20.0/24)をNATの対象から除外するよう設定します。
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.10.1-192.168.10.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254 ↓
- 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.10.1〜192.168.10.254、つまり、本社宛ならばNATの対象外とする」の意味になります。
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターBと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE=secret ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を指定し、HEARTBEATMODEにBOTHを指定して、ISAKMPハートビートを使用します。また、この例では相手のアドレスが不定なため、PEERにANYを、REMOTEIDで相手の認証IDを指定し、「MODE=AGGRESSIVE」でAggressiveモードを使うよう設定します。
CREATE ISAKMP POLICY=i PEER=ANY KEY=1 SENDN=TRUE REMOTEID=client MODE=AGGRESSIVE HEARTBEATMODE=BOTH ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING=1 ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- ルーターBとのIPsec通信に使用するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。相手のIPアドレスが不定なので、ISAKMPの認証をパスしたものだけを指定する意味で、PEERにDYNAMICを指定します。
CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓
- IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
SET IPSEC POLICY=vpn LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
- インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT ↓
Note
- インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY USER=userB@isp PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON IPREQUEST=ON ↓
- IPモジュールを有効にします。
- IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.20.1 ↓
- WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートをインターネット(ISP)側に向けます。
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
LAN側(vlan1)インターフェースをPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
WAN側(ppp0)インターフェースをPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
- 本社宛パケット(192.168.20.0/24→192.168.10.0/24)をNATの対象から除外するよう設定します。
ADD FIREWALL POLICY=net RULE=1 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓
SET FIREWALL POLICY=net RULE=1 REMOTEIP=192.168.10.1-192.168.10.254 ↓
- 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.20.1〜192.168.20.254、つまり、自拠点宛ならばNATの対象外とする」の意味になります。
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターAと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE=secret ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERにはルーターAのIPアドレスを指定します。また、自分のアドレスが不定なため、LOCALIDで自分の認証IDを指定し、「MODE=AGGRESSIVE」でAggressiveモードを使うよう設定します。
CREATE ISAKMP POLICY=i PEER=172.16.0.1 KEY=1 SENDN=TRUE LOCALID=CLIENT MODE=AGGRESSIVE HEARTBEATMODE=BOTH ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING=1 ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- ルーターAとのIPsec通信に使用するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターAのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。
CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.0.1 ↓
- IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
SET IPSEC POLICY=vpn LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
- インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT ↓
Note
- インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- ここからがIEEE 802.1X認証の設定です。最初に、ルーターBが送信するRADIUSパケットの始点IPアドレスを固定するため、ローカルIPインターフェース1(ループバックインターフェース)を作成します。また、RADIUSパケットをIPsecでカプセリングしてルーターAに送る必要があるため、ローカルIPインターフェース1に割り当てるIPアドレスはLAN側ネットワークアドレス「192.168.20.2」を使用します。
ADD IP LOCAL=1 IP=192.168.20.2 ↓
Note
- 上記の設定が無い場合、自ルーターが送信するRADIUSパケットの始点IPアドレスが変更され、正常に認証が出来なくなる可能性があります。詳細は「ADD IP LOCAL」コマンドをご覧ください。
- IEEE 802.1X認証に使用するRADIUSサーバーを指定します。また、RADIUSパケットの始点IPアドレスにはローカルIPインターフェース1を使用するよう設定します。
ADD RADIUS SERVER=192.168.10.2 SECRET=himitsu PORT=1812 ACCPORT=1813 LOCAL=1 ↓
- IEEE 802.1X認証機能を有効にします。
- LAN側インターフェース(vlan1)に所属するポートを、Single-SupplicantモードのAUTHENTICATORとして動作するように設定します。
ENABLE PORTAUTH=8021X PORT=1-3 TYPE=AUTHENTICATOR ↓
Note
- LANポートはシングルサプリカントモードのみが使用可能です。
- LAN側PCのためにDHCPサーバー機能を有効にします。
- DHCPポリシー「BASE」を作成します。IPアドレスの使用期限は7,200秒(2時間)とします。
CREATE DHCP POLICY=BASE LEASE=7200 ↓
- DHCPクライアントに提供する情報を設定します。
ADD DHCP POLICY=BASE SUBNET=255.255.255.0 ROUTER=192.168.20.1 ↓
- DHCPクライアントに提供するIPアドレスの範囲を設定します。
CREATE DHCP RANGE=LOCAL POLICY=BASE IP=192.168.20.10 NUM=4 PROBE=ARP ↓
- プリンターが特定のIPアドレスを常に使用できるように静的IPアドレスを割り当てます。
ADD DHCP RANGE=LOCAL IP=192.168.20.10 ADDRESS=00-11-22-33-44-55 ↓
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
■ 本設定では、ルーター起動直後にPPPoEセッションが確立され、以後常時接続された状態となります。したがって、PPPoEセッションの切断、再接続は手動で行う必要があります。
- セッションを切断するには、次のコマンドでPPPインターフェースをディセーブルにします。
- 再接続するには次のコマンドでPPPインターフェースをイネーブルにします。
■ 常時接続ではなく、LAN側からインターネット側に対して通信要求が発生したときに自動的にPPPoEセッションを確立し、無通信状態が60秒続いたときにPPPoEセッションを切断するには、次のコマンドを入力します。
SET PPP=0 OVER=eth0-ANY IDLE=60 ↓
■ ファイアウォールで遮断されたパケットのログをとるには、次のコマンドを実行します。
ENABLE FIREWALL POLICY=net LOG=DENY ↓
記録されたログを見るには、次のコマンドを実行します。ここでは、「TYPE=FIRE」により、ファイアウォールが出力したログメッセージだけを表示させています。
■ インターネット側からのPING(ICMP Echo Requestパケット)を拒否するには、次のようなIPフィルターをWAN側インターフェースに設定します。この例では、「LOG=HEADER」により、フィルターで拒否したパケットをログに記録しています。
ADD IP FILTER=0 SO=0.0.0.0 PROTO=ICMP ICMPTYPE=ECHO LOG=HEADER ACTION=EXCLUDE ↓
ADD IP FILTER=0 SO=0.0.0.0 ACTION=INCLUDE ↓
SET IP INT=ppp0 FILTER=0 ↓
記録されたログを見るには、次のコマンドを実行します。ここでは、「TYPE=IPFIL」により、IPフィルターが出力したログメッセージだけを表示させています。
■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。
たとえば、ネットワーク192.168.10.0/24および192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
ADD USER RSO IP=192.168.20.0 MASK=255.255.255.0 ↓
■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。
セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜3600(秒)を指定します。デフォルトは60秒です。
SET USER SECUREDELAY=300 ↓
■ ポート認証機能の全般的な情報はSHOW PORTAUTHコマンドで確認できます。
■ 各ポートのポート認証機能の情報はSHOW PORTAUTH PORTコマンドで確認できます。
SHOW PORTAUTH=8021X PORT=1 ↓
ルーターAのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY USER=userA@isp PASSWORD=isppasswdA BAP=OFF LQR=OFF ECHO=ON ↓
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.10.1 ↓
ADD IP INT=ppp0 IP=172.16.0.1 MASK=255.255.255.255 ↓
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PO=500 IP=172.16.0.1 GBLIP=172.16.0.1 GBLP=500 ↓
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.10.1-192.168.10.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254 ↓
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE=secret ↓
CREATE ISAKMP POLICY=i PEER=ANY KEY=1 SENDN=TRUE REMOTEID=client MODE=AGGRESSIVE HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING=1 ↓
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓
SET IPSEC POLICY=vpn LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
ルーターBのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY USER=userB@isp PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON IPREQUEST=ON ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=vlan1 IP=192.168.20.1 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net RULE=1 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓
SET FIREWALL POLICY=net RULE=1 REMOTEIP=192.168.10.1-192.168.10.254 ↓
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE=secret ↓
CREATE ISAKMP POLICY=i PEER=172.16.0.1 KEY=1 SENDN=TRUE LOCALID=CLIENT MODE=AGGRESSIVE HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING=1 ↓
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.0.1 ↓
SET IPSEC POLICY=vpn LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
ADD IP LOCAL=1 IP=192.168.20.2 ↓
ADD RADIUS SERVER=192.168.10.2 SECRET=himitsu PORT=1812 ACCPORT=1813 LOCAL=1 ↓
ENABLE PORTAUTH=8021x ↓
ENABLE PORTAUTH=8021X PORT=1-3 TYPE=AUTHENTICATOR ↓
ENABLE DHCP ↓
CREATE DHCP POLICY=BASE LEASE=7200 ↓
ADD DHCP POLICY=BASE SUBNET=255.255.255.0 ROUTER=192.168.20.1 ↓
CREATE DHCP RANGE=LOCAL POLICY=BASE IP=192.168.20.10 NUM=4 PROBE=ARP ↓
ADD DHCP RANGE=LOCAL IP=192.168.20.10 ADDRESS=00-11-22-33-44-55 ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
CentreCOM AR415S 設定例集 2.9 #179
(C) 2006-2017 アライドテレシスホールディングス株式会社
PN: 613-000668 Rev.N
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))