<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR550S 設定例集 2.9 #148
QoS基本設定例(PPPoEインターネット接続環境における2点間IPsec VPN、両側アドレス固定)
QoS機能の基本設定例です。ここでは、IPsecトンネルで接続された2つの拠点間でトラフィックの制御を行います。なおこの例では、両拠点ともPPPoEでインターネットに接続しており、それぞれがグローバルアドレス1個を固定的に割り当てられていると仮定しています。
各拠点は、ISPから次の情報を提供されているものとします。
表 1:ISPから提供された情報
|
ルーターA(本社) |
ルーターB(支社) |
PPPユーザー名 |
user@ispA |
user@ispB |
PPPパスワード |
isppasswdA |
isppasswdB |
PPPoEサービス名 |
指定なし |
指定なし |
使用できるIPアドレス |
10.100.10.1/32 |
10.100.20.1/32 |
接続形態 |
端末型(アドレス1個固定) |
端末型(アドレス1個固定) |
本社、支社ともに、ファイアウォールとダイナミックENATを使用した通常の端末型設定(アドレス1個固定)です。以下、各ルーターの基本設定についてまとめます。
表 2:ルーターの基本設定
|
ルーターA(本社) |
ルーターB(支社) |
WAN側物理インターフェース |
eth0 |
eth0 |
WAN側IPアドレス |
10.100.10.1/32(ppp0) |
10.100.20.1/32(ppp0) |
LAN側IPアドレス |
192.168.10.1/24(vlan1) |
192.168.20.1/24(vlan1) |
IPsec関連の設定は次のようになります。
表 3:IKEフェーズ1(ISAKMP SAのネゴシエーション)
ルーター間の認証方式 |
事前共有鍵(pre-shared key) |
IKE交換モード |
Mainモード |
事前共有鍵 |
secret |
Oakleyグループ |
1(デフォルト) |
ISAKMPメッセージの暗号化方式 |
DES(デフォルト) |
ISAKMPメッセージの認証方式 |
SHA1(デフォルト) |
ISAKMP SAの有効期限(時間) |
86400秒(24時間)(デフォルト) |
ISAKMP SAの有効期限(KByte数) |
なし(デフォルト) |
起動時のISAKMPネゴシエーション |
行わない |
表 4:IKEフェーズ2(IPsec SAのネゴシエーション)
SAモード |
トンネルモード |
セキュリティープロトコル |
ESP(暗号化+認証) |
暗号化方式 |
DES |
認証方式 |
SHA1 |
IPsec SAの有効期限(時間) |
28800秒(8時間)(デフォルト) |
IPsec SAの有効期限(KByte数) |
なし(デフォルト) |
トンネリング対象IPアドレス |
192.168.10.0/24 ←→ 192.168.20.0/24 |
トンネル終端アドレス |
10.100.10.1(A)・10.100.20.1(B) |
インターネットとの平文通信 |
ルーターAのみ行う |
最後にQoSの設定についてまとめます。ここでは、本社(ルーターA)・支社(ルーターB)から外に向かうトラフィックに対して、それぞれ次のようなQoSポリシーを適用します。
■ 本社(ルーターA側)
- VPNトラフィック(本社→支社)
- システムTC(制御プロトコル)、ルートTC(ICMP、TCP、UDP)、デフォルトTC(その他)を 20:60:20 でラウンドロビン(WRR)
- ルートTC 内では、TC 11(ICMP)、TC 12(TCP)、TC 13(UDP)を 20:30:10 でラウンドロビン(WRR)。TC 12(TCP)には、REDカーブセット「1」を適用
- TC 13 内では、TC 131(SNMP)と TC 132(その他 UDP)を、それぞれ優先度 2 と 1 の絶対優先方式(PQ)で出力。すなわち、TC 131(SNMP)を最優先で送信し、TC 132(その他 UDP)は TC 131 にパケットがないときだけ出力する。また、TC 132(その他 UDP)は、仮想帯域を 10Mbps までに制限し、最大キュー長超過時にはログに記録するよう設定
- インターネットトラフィック(VPNを除く)
- システムTC(ISAKMPなどの制御パケット)、ルートTC(ICMP、TCPの一部、UDP)、デフォルトTC(FTP/HTTP以外のTCP、その他)を 20:60:20 でラウンドロビン(WRR)
- ルートTC 内では、TC 21(ICMP、FTP、HTTP)と TC 22(UDP)を 1:1 でラウンドロビン(WRR)。また、TC 22(UDP)は、仮想帯域を 10Mbps までに制限する
- TC 21 内では、TC 211(ICMP)、TC 212(FTP)、TC 213(HTTP)を 10:10:10 でラウンドロビン(WRR)。TC 212(FTP)には REDカーブセット「0」を、TC 213(HTTP)には REDカーブセット「2」を適用
- Ethernetトラフィック(PPPoEセッションパケットを除く)
- システムTC(PPPoE Discovery などの制御パケット)とルートTC(該当なし)を 20:80 でラウンドロビン(WRR)。デフォルトTC(その他)は、システム TC、ルート TC のどちらにもパケットがないときだけ送信するよう設定する。事実上システムTC(PPPoE Discovery)だけなので、PPPoE Discovery パケットに 20% の帯域を保証するのと同じ動作になる
■ 支社(ルーターB側)
- VPNトラフィック(支社→本社)
- システムTC(制御プロトコル)、ルートTC(ICMP、TCP、UDP)、デフォルトTC(その他)を 20:60:20 でラウンドロビン(WRR)
- ルートTC 内では、TC 11(ICMP)、TC 12(TCP)、TC 13(UDP)を 20:30:10 でラウンドロビン(WRR)。TC 12(TCP)には、REDカーブセット「1」を適用
- TC 13 内では、TC 131(SNMP)と TC 132(その他 UDP)を、それぞれ優先度 2 と 1 の絶対優先方式(PQ)で出力。すなわち、TC 131(SNMP)を最優先で送信し、TC 132(その他 UDP)は TC 131 にパケットがないときだけ出力する。また、TC 132(その他 UDP)は、仮想帯域を 10Mbps までに制限し、最大キュー長超過時にはログに記録するよう設定
- インターネットトラフィック(VPNを除く)
- システムTC(ISAKMPなどの制御パケット)、とルートTC(該当なし)を 20:80 でラウンドロビン(WRR)。デフォルトTC(その他)は、システム TC、ルート TC のどちらにもパケットがないときだけ送信するよう設定する。支店では通常のインターネット通信を許可していないので、事実上 ISAKMP に対して 20% の帯域を保証するのと同じ動作になる
- Ethernetトラフィック(PPPoEセッションパケットを除く)
- システムTC(PPPoE Discovery などの制御パケット)とルートTC(該当なし)を 20:80 でラウンドロビン(WRR)。デフォルトTC(その他)は、システム TC、ルート TC のどちらにもパケットがないときだけ送信するよう設定する。事実上システムTC(PPPoE Discovery)だけなので、PPPoE Discovery パケットに 20% の帯域を保証するのと同じ動作になる
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY USER=user@ispA PASSWORD=isppasswdA LQR=OFF BAP=OFF ECHO=ON ↓
- IPモジュールを有効にします。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにISPから割り当てられたIPアドレスを設定します。
ADD IP INT=ppp0 IP=10.100.10.1 MASK=255.255.255.255 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース(vlan1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
- WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
- ルーターBから受信したIKEパケット(UDP500番)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=500 IP=10.100.10.1 GBLIP=10.100.10.1 GBLPORT=500 ↓
- 支社(ルーターB側)宛パケット(192.168.10.0/24→192.168.20.0/24)をNATの対象から除外するよう設定します。
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.10.1-192.168.10.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254 ↓
- 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.10.1〜192.168.10.254、つまり、本社宛ならばNATの対象外とする」の意味になります。
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターBと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERにはルーターBのIPアドレスを指定します。
CREATE ISAKMP POLICY="i" PEER=10.100.20.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- ルーターBとのIPsec通信に使用するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.100.20.1 ↓
- IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
SET IPSEC POLICY="vpn" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
- インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
Note
- インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- ここからがQoSの設定です。最初にQoS機能を有効にします。
- クラシファイアを作成し、パケットの分類条件を定義します。ここでは、109(ICMP)、111、112(FTP)、113(HTTP)、119(TCP)、121(SNMP)、129(UDP)の7つを作成します。121(SNMP)については、支社(ルーターB)側にエージェントが存在すると仮定しているため、終点UDPポートを指定しています(ルーターBの設定とは逆)。
CREATE CLASSIFIER=109 IPPROTOCOL=ICMP ↓
CREATE CLASSIFIER=111 IPPROTOCOL=TCP TCPDPORT=21 ↓
CREATE CLASSIFIER=112 IPPROTOCOL=TCP TCPDPORT=20 ↓
CREATE CLASSIFIER=113 IPPROTOCOL=TCP TCPDPORT=80 ↓
CREATE CLASSIFIER=119 IPPROTOCOL=TCP ↓
CREATE CLASSIFIER=121 IPPROTOCOL=UDP UDPDPORT=161 ↓
CREATE CLASSIFIER=129 IPPROTOCOL=UDP ↓
- トラフィッククラスを作成します。
- VPNトラフィック用のトラフィッククラス(第1レベル)を作成します。11(ICMP)、12(TCP)、13(UDP)には 20:30:10 の重みを付けます。また、12(TCP)には RED カーブセット「1」を適用します。19はクラシファイアで分類されなかったパケット用のデフォルトトラフィッククラスです。
CREATE SQOS TRAFFICCLASS=11 WEIGHT=20 ↓
CREATE SQOS TRAFFICCLASS=12 WEIGHT=30 RED=1 ↓
CREATE SQOS TRAFFICCLASS=13 WEIGHT=10 ↓
CREATE SQOS TRAFFICCLASS=19 WEIGHT=20 ↓
- インターネットトラフィック用のトラフィッククラス(第1レベル)を作成します。22(UDP)は、仮想帯域を 10Mbps に制限します。29はクラシファイアで分類されなかったパケット用のデフォルトトラフィッククラスです。
CREATE SQOS TRAFFICCLASS=21 ↓
CREATE SQOS TRAFFICCLASS=22 VIRTBW=10M ↓
CREATE SQOS TRAFFICCLASS=29 WEIGHT=20 ↓
- VPNトラフィック用のトラフィッククラス(第2レベル)を作成します。131(SNMP)、132(その他 UDP)は13の子クラスとなります。ここでは、131(SNMP)を優先的に送信するため、131(SNMP)に優先度 2 を、132(その他 UDP)には優先度 1 を設定します。また、132(その他 UDP)は、仮想帯域を 10Mbps に制限し、最大キュー長超過時にはログに記録を残すようにします。
CREATE SQOS TRAFFICCLASS=131 PRIORITY=2 MAXQLEN=100 ↓
CREATE SQOS TRAFFICCLASS=132 PRIORITY=1 MAXQLEN=100 QLIMITEXCEED=LOG VIRTBW=10M ↓
- インターネットトラフィック用のトラフィッククラス(第2レベル)を作成します。211(ICMP)、212(FTP)、213(HTTP)は21の子クラスとなります。212(FTP)には REDカーブセット「0」を、213(HTTP)には REDカーブセット「2」を適用します。
CREATE SQOS TRAFFICCLASS=211 WEIGHT=10 ↓
CREATE SQOS TRAFFICCLASS=212 WEIGHT=10 MAXQLEN=100 RED=0 ↓
CREATE SQOS TRAFFICCLASS=213 WEIGHT=10 MAXQLEN=100 RED=2 ↓
- QoSポリシーを作成します。
- VPNトラフィック用のQoSポリシー「1」を作成します。同ポリシーでは、デフォルトトラフィッククラスとして TC 19 を使います。
CREATE SQOS POLICY=1 DEFAULTTRAFFICCLASS=19 ↓
- インターネットトラフィック用のQoSポリシー「2」を作成します。同ポリシーでは、デフォルトトラフィッククラスとして TC 29 を使います。
CREATE SQOS POLICY=2 DEFAULTTRAFFICCLASS=29 ↓
- Ethernetトラフィック用(PPPoE Discoveryパケットの帯域確保)のQoSポリシー「3」を作成します。
- QoSポリシーにトラフィッククラスを関連付けます。
- 最初に第1レベルのトラフィッククラスをQoSポリシーに割り当てます。
ADD SQOS POLICY=1 TRAFFICCLASS=11-13 ↓
ADD SQOS POLICY=2 TRAFFICCLASS=21-22 ↓
- 次に第2レベルのトラフィッククラスを第1レベルのトラフィッククラスに割り当てます。
ADD SQOS TRAFFICCLASS=13 SUBCLASS=131-132 ↓
ADD SQOS TRAFFICCLASS=21 SUBCLASS=211-213 ↓
- 末端のトラフィッククラスにクラシファイアを関連付けます。
ADD SQOS TRAFFICCLASS=11 CLASSIFIER=109 ↓
ADD SQOS TRAFFICCLASS=12 CLASSIFIER=119 ↓
ADD SQOS TRAFFICCLASS=131 CLASSIFIER=121 ↓
ADD SQOS TRAFFICCLASS=132 CLASSIFIER=129 ↓
ADD SQOS TRAFFICCLASS=211 CLASSIFIER=109 ↓
ADD SQOS TRAFFICCLASS=212 CLASSIFIER=111-112 ↓
ADD SQOS TRAFFICCLASS=213 CLASSIFIER=113 ↓
ADD SQOS TRAFFICCLASS=22 CLASSIFIER=129 ↓
- QoSポリシーをインターフェースに適用します。
- IPsecトンネル(IPsecポリシー「vpn」)経由で送信されるパケットに対して、VPNトラフィック用のQoSポリシー「1」を適用します。
SET SQOS INTERFACE=ipsec-vpn TUNNELPOLICY=1 ↓
- ppp0インターフェースから送信されるパケットに対して、インターネットトラフィック用のQoSポリシー「2」を適用します。
SET SQOS INTERFACE=ppp0 OUTPOLICY=2 ↓
- eth0インターフェースから送信される PPPoE の制御パケットに対して、QoSポリシー「3」を適用します。
SET SQOS INTERFACE=eth0 OUTPOLICY=3 ↓
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY USER=user@ispB PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON ↓
- IPモジュールを有効にします。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにISPから割り当てられたIPアドレスを設定します。
ADD IP INT=ppp0 IP=10.100.20.1 MASK=255.255.255.255 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシーを作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース(vlan1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
- WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
- ルーターAから受信したIKEパケット(UDP500番)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=500 IP=10.100.20.1 GBLIP=10.100.20.1 GBLPORT=500 ↓
- 本社(ルーターA側)宛のパケット(192.168.20.0/24→192.168.10.0/24)をNATの対象から除外するよう設定します。
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓
- 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.20.1〜192.168.20.254、つまり、自拠点宛ならばNATの対象外とする」の意味になります。
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターAと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERにはルーターAのIPアドレスを指定します。
CREATE ISAKMP POLICY="i" PEER=10.100.10.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- ルーターAとのIPsec通信に使用するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERにはルーターAのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.100.10.1 ↓
- IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- ここからがQoSの設定です。最初にQoS機能を有効にします。
- クラシファイアを作成し、パケットの分類条件を定義します。ここでは、109(ICMP)、119(TCP)、121(SNMP)、129(UDP)の4つを作成します。121(SNMP)については、支社(ルーターB)側にエージェントが存在すると仮定しているため、始点UDPポートを指定しています(ルーターAの設定とは逆)。
CREATE CLASSIFIER=109 IPPROTOCOL=ICMP ↓
CREATE CLASSIFIER=119 IPPROTOCOL=TCP ↓
CREATE CLASSIFIER=121 IPPROTOCOL=UDP UDPSPORT=161 ↓
CREATE CLASSIFIER=129 IPPROTOCOL=UDP ↓
- トラフィッククラスを作成します。
- VPNトラフィック用のトラフィッククラス(第1レベル)を作成します。11(ICMP)、12(TCP)、13(UDP)には 20:30:10 の重みを付けます。また、12(TCP)には RED カーブセット「1」を適用します。19はクラシファイアで分類されなかったパケット用のデフォルトトラフィッククラスです。
CREATE SQOS TRAFFICCLASS=11 WEIGHT=20 ↓
CREATE SQOS TRAFFICCLASS=12 WEIGHT=30 RED=1 ↓
CREATE SQOS TRAFFICCLASS=13 WEIGHT=10 ↓
CREATE SQOS TRAFFICCLASS=19 WEIGHT=20 ↓
- VPNトラフィック用のトラフィッククラス(第2レベル)を作成します。131(SNMP)、132(その他 UDP)は13の子クラスとなります。ここでは、131(SNMP)を優先的に送信するため、131(SNMP)に優先度 2 を、132(その他 UDP)には優先度 1 を設定します。また、132(その他 UDP)は、仮想帯域を 10Mbps に制限し、最大キュー長超過時にはログに記録を残すようにします。
CREATE SQOS TRAFFICCLASS=131 PRIORITY=2 MAXQLEN=100 ↓
CREATE SQOS TRAFFICCLASS=132 PRIORITY=1 MAXQLEN=100 QLIMITEXCEED=LOG VIRTBW=10M ↓
- QoSポリシーを作成します。
- VPNトラフィック用のQoSポリシー「1」を作成します。同ポリシーでは、デフォルトトラフィッククラスとして TC 19 を使います。
CREATE SQOS POLICY=1 DEFAULTTRAFFICCLASS=19 ↓
- インターネットトラフィック(ISAKMPの帯域確保)と Ethernet トラフィック(PPPoE Discoveryパケットの帯域確保)用のQoSポリシー「3」を作成します。
- QoSポリシーにトラフィッククラスを関連付けます。
- 最初に第1レベルのトラフィッククラスをQoSポリシーに割り当てます。
ADD SQOS POLICY=1 TRAFFICCLASS=11-13 ↓
- 次に第2レベルのトラフィッククラスを第1レベルのトラフィッククラスに割り当てます。
ADD SQOS TRAFFICCLASS=13 SUBCLASS=131-132 ↓
- 末端のトラフィッククラスにクラシファイアを関連付けます。
ADD SQOS TRAFFICCLASS=11 CLASSIFIER=109 ↓
ADD SQOS TRAFFICCLASS=12 CLASSIFIER=119 ↓
ADD SQOS TRAFFICCLASS=131 CLASSIFIER=121 ↓
ADD SQOS TRAFFICCLASS=132 CLASSIFIER=129 ↓
- QoSポリシーをインターフェースに適用します。
- IPsecトンネル(IPsecポリシー「vpn」)経由で送信されるパケットに対して、VPNトラフィック用のQoSポリシー「1」を適用します。
SET SQOS INTERFACE=ipsec-vpn TUNNELPOLICY=1 ↓
- ppp0インターフェースから送信される ISAKMP パケットに対して、QoSポリシー「3」を適用します。
SET SQOS INTERFACE=ppp0 OUTPOLICY=3 ↓
- eth0インターフェースから送信される PPPoE の制御パケットに対して、QoSポリシー「3」を適用します。
SET SQOS INTERFACE=eth0 OUTPOLICY=3 ↓
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。
たとえば、ネットワーク192.168.10.0/24、192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
ADD USER RSO IP=192.168.20.0 MASK=255.255.255.0 ↓
■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。
■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜3600(秒)を指定します。デフォルトは60秒です。
SET USER SECUREDELAY=300 ↓
ルーターAのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY USER=user@ispA PASSWORD=isppasswdA LQR=OFF BAP=OFF ECHO=ON ↓
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=10.100.10.1 MASK=255.255.255.255 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=500 IP=10.100.10.1 GBLIP=10.100.10.1 GBLPORT=500 ↓
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.10.1-192.168.10.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254 ↓
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY="i" PEER=10.100.20.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.100.20.1 ↓
SET IPSEC POLICY="vpn" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
ENABLE SQOS ↓
CREATE CLASSIFIER=109 IPPROTOCOL=ICMP ↓
CREATE CLASSIFIER=111 IPPROTOCOL=TCP TCPDPORT=21 ↓
CREATE CLASSIFIER=112 IPPROTOCOL=TCP TCPDPORT=20 ↓
CREATE CLASSIFIER=113 IPPROTOCOL=TCP TCPDPORT=80 ↓
CREATE CLASSIFIER=119 IPPROTOCOL=TCP ↓
CREATE CLASSIFIER=121 IPPROTOCOL=UDP UDPDPORT=161 ↓
CREATE CLASSIFIER=129 IPPROTOCOL=UDP ↓
CREATE SQOS TRAFFICCLASS=11 WEIGHT=20 ↓
CREATE SQOS TRAFFICCLASS=12 WEIGHT=30 RED=1 ↓
CREATE SQOS TRAFFICCLASS=13 WEIGHT=10 ↓
CREATE SQOS TRAFFICCLASS=19 WEIGHT=20 ↓
CREATE SQOS TRAFFICCLASS=21 ↓
CREATE SQOS TRAFFICCLASS=22 VIRTBW=10M ↓
CREATE SQOS TRAFFICCLASS=29 WEIGHT=20 ↓
CREATE SQOS TRAFFICCLASS=131 PRIORITY=2 MAXQLEN=100 ↓
CREATE SQOS TRAFFICCLASS=132 PRIORITY=1 MAXQLEN=100 QLIMITEXCEED=LOG VIRTBW=10M ↓
CREATE SQOS TRAFFICCLASS=211 WEIGHT=10 ↓
CREATE SQOS TRAFFICCLASS=212 WEIGHT=10 MAXQLEN=100 RED=0 ↓
CREATE SQOS TRAFFICCLASS=213 WEIGHT=10 MAXQLEN=100 RED=2 ↓
CREATE SQOS POLICY=1 DEFAULTTRAFFICCLASS=19 ↓
CREATE SQOS POLICY=2 DEFAULTTRAFFICCLASS=29 ↓
CREATE SQOS POLICY=3 ↓
ADD SQOS POLICY=1 TRAFFICCLASS=11-13 ↓
ADD SQOS POLICY=2 TRAFFICCLASS=21-22 ↓
ADD SQOS TRAFFICCLASS=13 SUBCLASS=131-132 ↓
ADD SQOS TRAFFICCLASS=21 SUBCLASS=211-213 ↓
ADD SQOS TRAFFICCLASS=11 CLASSIFIER=109 ↓
ADD SQOS TRAFFICCLASS=12 CLASSIFIER=119 ↓
ADD SQOS TRAFFICCLASS=131 CLASSIFIER=121 ↓
ADD SQOS TRAFFICCLASS=132 CLASSIFIER=129 ↓
ADD SQOS TRAFFICCLASS=211 CLASSIFIER=109 ↓
ADD SQOS TRAFFICCLASS=212 CLASSIFIER=111-112 ↓
ADD SQOS TRAFFICCLASS=213 CLASSIFIER=113 ↓
ADD SQOS TRAFFICCLASS=22 CLASSIFIER=129 ↓
SET SQOS INTERFACE=ipsec-vpn TUNNELPOLICY=1 ↓
SET SQOS INTERFACE=ppp0 OUTPOLICY=2 ↓
SET SQOS INTERFACE=eth0 OUTPOLICY=3 ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
ルーターBのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY USER=user@ispB PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON ↓
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=10.100.20.1 MASK=255.255.255.255 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PORT=500 IP=10.100.20.1 GBLIP=10.100.20.1 GBLPORT=500 ↓
ADD FIREWALL POLICY=net RULE=2 AC=NONAT INT=vlan1 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓
ADD FIREWALL POLICY=net RULE=3 AC=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY="i" PEER=10.100.10.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.100.10.1 ↓
SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
ENABLE SQOS ↓
CREATE CLASSIFIER=109 IPPROTOCOL=ICMP ↓
CREATE CLASSIFIER=119 IPPROTOCOL=TCP ↓
CREATE CLASSIFIER=121 IPPROTOCOL=UDP UDPSPORT=161 ↓
CREATE CLASSIFIER=129 IPPROTOCOL=UDP ↓
CREATE SQOS TRAFFICCLASS=11 WEIGHT=20 ↓
CREATE SQOS TRAFFICCLASS=12 WEIGHT=30 RED=1 ↓
CREATE SQOS TRAFFICCLASS=13 WEIGHT=10 ↓
CREATE SQOS TRAFFICCLASS=19 WEIGHT=20 ↓
CREATE SQOS TRAFFICCLASS=131 PRIORITY=2 MAXQLEN=100 ↓
CREATE SQOS TRAFFICCLASS=132 PRIORITY=1 MAXQLEN=100 QLIMITEXCEED=LOG VIRTBW=10M ↓
CREATE SQOS POLICY=1 DEFAULTTRAFFICCLASS=19 ↓
CREATE SQOS POLICY=3 ↓
ADD SQOS POLICY=1 TRAFFICCLASS=11-13 ↓
ADD SQOS TRAFFICCLASS=13 SUBCLASS=131-132 ↓
ADD SQOS TRAFFICCLASS=11 CLASSIFIER=109 ↓
ADD SQOS TRAFFICCLASS=12 CLASSIFIER=119 ↓
ADD SQOS TRAFFICCLASS=131 CLASSIFIER=121 ↓
ADD SQOS TRAFFICCLASS=132 CLASSIFIER=129 ↓
SET SQOS INTERFACE=ipsec-vpn TUNNELPOLICY=1 ↓
SET SQOS INTERFACE=ppp0 OUTPOLICY=3 ↓
SET SQOS INTERFACE=eth0 OUTPOLICY=3 ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
CentreCOM AR550S 設定例集 2.9 #148
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-04 Rev.P
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))