<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR550S 設定例集 2.9 #152
CUGサービス(端末型)を利用した3拠点間IPsec接続(インターネット接続はセンタールーター経由)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)において3つの拠点間(ハブ&スポーク型)でIPsec VPNを張り、センター側ではPPPoEセッションを2本使い片方はCUG、もう片方はインターネット(ISP)へ接続します。この例では本社と各支社のみを接続する構成とし、支社間の通信は本社経由で行うものとします。
ISPからは次の情報を提供されているものとします。
表 1:ISPから提供された情報
PPPユーザー名 |
user@isp |
PPPパスワード |
isppasswd |
PPPoEサービス名 |
指定なし |
IPアドレス |
グローバルアドレス1個(動的割り当て) |
接続形態 |
端末型(アドレスは動的割り当て) |
CUGサービスのプライベートグループ(以下、グループ)管理者からは、次の情報を提供されているものとします。グループのメンバーは、userA(ルーターA)とuserB(ルーターB)とuserC(ルーターC)だけであると仮定しています。
表 2:グループ管理者から提供された情報
|
ルーターA |
ルーターB |
ルーターC |
ユーザーID(PPPユーザー名) |
userA |
userB |
userC |
パスワード(PPPパスワード) |
passwdA |
passwdB |
passwdC |
IPアドレス |
10.1.1.1/32(端末型) |
10.1.1.2/32(端末型) |
10.1.1.3/32(端末型) |
以下、各ルーターの基本設定についてまとめます。
表 3:ルーターの基本設定
|
ルーターA |
ルーターB |
ルーターC |
WAN側物理インターフェース |
eth0 |
eth0 |
eth0 |
WAN側IPアドレス |
10.1.1.1/32(ppp0)、動的割り当て(ppp1) |
10.1.1.2/32(ppp0) |
10.1.1.3/32(ppp0) |
LAN側IPアドレス |
192.168.10.1/24(vlan1) |
192.168.20.1/24(vlan1) |
192.168.30.1/24(vlan1) |
IPsec関連の設定は次のようになります。
表 4:IKEフェーズ1(ISAKMP SAのネゴシエーション)
ルーター間の認証方式 |
事前共有鍵(pre-shared key) |
IKE交換モード |
Mainモード |
事前共有鍵(1) |
secret-ab(ルーターA・B間) |
事前共有鍵(2) |
secret-ac(ルーターA・C間) |
Oakleyグループ |
1(デフォルト) |
ISAKMPメッセージの暗号化方式 |
DES(デフォルト) |
ISAKMPメッセージの認証方式 |
SHA1(デフォルト) |
ISAKMP SAの有効期限(時間) |
86400秒(24時間)(デフォルト) |
ISAKMP SAの有効期限(KByte数) |
なし(デフォルト) |
起動時のISAKMPネゴシエーション |
行わない |
表 5:IKEフェーズ2(IPsec SAのネゴシエーション)
SAモード |
トンネルモード |
セキュリティープロトコル |
ESP(暗号化+認証) |
暗号化方式 |
DES |
認証方式 |
SHA1 |
IPsec SAの有効期限(時間) |
28800秒(8時間)(デフォルト) |
IPsec SAの有効期限(KByte数) |
なし(デフォルト) |
トンネリング対象IPアドレス(1) |
ANY(0.0.0.0/0) ←→ 192.168.20.0/24 |
トンネル終端アドレス(1) |
10.1.1.1(A)・10.1.1.2(B) |
トンネリング対象IPアドレス(2) |
ANY(0.0.0.0/0) ←→ 192.168.30.0/24 |
トンネル終端アドレス(2) |
10.1.1.1(A)・10.1.1.3(C) |
インターネットとの平文通信 |
センターPPP1から平文。各拠点間通信は平文不許可 |
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- WAN側Ethernetインターフェース(eth0)上にインターネット(ISP)接続用のPPPインターフェース「1」を作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=1 OVER=eth0-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=1 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=ON ↓
- WAN側Ethernetインターフェース(eth0)上にCUGサービス接続用のPPPインターフェース「0」を作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、グループ管理者から通知されたPPPoEの「サービス名」を記述します。指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- グループ管理者から通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=userA PASSWORD=passwdA LQR=OFF ECHO=ON ↓
- IPモジュールを有効にします。
- PPP1でIPアドレスを動的に取得する必要があるため「IP REMOTEASSIGN」を有効にします。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
- インターネット接続用のWAN側(ppp1)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません。
ADD IP INT=ppp1 IP=0.0.0.0 MASK=0.0.0.0 ↓
- WAN側(ppp0)インターフェースへCUGサービス接続用に割り当てられたIPアドレスを設定します。
ADD IP INT=ppp0 IP=10.1.1.1 MASK=255.255.255.255 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp1 NEXTHOP=0.0.0.0 ↓
- CUGのルートを設定します。
ADD IP ROUTE=10.0.0.0 MASK=255.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ADD IP ROUTE=192.168.0.0 MASK=255.255.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側(vlan1)インターフェースをPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
- CUG側インターフェース(ppp0)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PRIVATE ↓
- WAN側インターフェース(ppp1)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PUBLIC ↓
- LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスにはppp1を使用するので、グローバルIPアドレスはppp1のアドレスになります。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp1 ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=ppp0 GBLINT=ppp1 ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」、「2」番とし、鍵の値は「secret-ab」、「secret-ac」という文字列で指定します(ルーターB、Cと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret-ab" ↓
CREATE ENCO KEY=2 TYPE=GENERAL VALUE="secret-ac" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i_B」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERにはルーターBのIPアドレスを指定します。
CREATE ISAKMP POLICY="i_B" PEER=10.1.1.2 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
- ルーターCとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i_C」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「2」)を、PEERにはルーターCのIPアドレスを指定します。また、お互いに専用線接続のため、「PRENEGOTIATE=TRUE」を指定して、ルーター起動時にIKEのネゴシエーションを行っておきます。
CREATE ISAKMP POLICY="i_C" PEER=10.1.1.3 KEY=2 SENDN=TRUE HEARTBEATMODE=BOTH ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- ルーターBとのIPsec通信に使用するIPsecポリシー「vpn_B」をPPPインターフェース「0」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。
CREATE IPSEC POLICY="vpn_B" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.1.1.2 ↓
- IPsecポリシー「vpn_B」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
SET IPSEC POLICY="vpn_B" LAD=0.0.0.0 LMA=0.0.0.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
- ルーターCとのIPsec通信に使用するIPsecポリシー「vpn_C」をPPPインターフェース「0」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERにはルーターCのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。
CREATE IPSEC POLICY="vpn_C" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.1.1.3 ↓
- IPsecポリシー「vpn_C」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
SET IPSEC POLICY="vpn_C" LAD=0.0.0.0 LMA=0.0.0.0 RAD=192.168.30.0 RMA=255.255.255.0 ↓
- 本環境においてルーターAからインターネットへの通信はVPNを経由しません。そのため、PPP0上においてVPN以外の通信は許可しません。
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- WAN側Ethernetインターフェース(eth0)上にCUGサービス接続用のPPPインターフェース「0」を作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、グループ管理者から通知されたPPPoEの「サービス名」を記述します。指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- グループ管理者から通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY BAP=OFF USER=userB PASSWORD=passwdB LQR=OFF ECHO=ON ↓
- IPモジュールを有効にします。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにCUGサービス接続用に割り当てられたIPアドレスを設定します。
ADD IP INT=ppp0 IP=10.1.1.2 MASK=255.255.255.255 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret-ab」という文字列で指定します(ルーターAと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret-ab" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i_A」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERにはルーターAのIPアドレスを指定します。
CREATE ISAKMP POLICY="i_A" PEER=10.1.1.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- ルーターAとのIPsec通信に使用するIPsecポリシー「vpn_A」をPPPインターフェース「0」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERにはルーターAのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。
CREATE IPSEC POLICY="vpn_A" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.1.1.1 ↓
- IPsecポリシー「vpn_A」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
SET IPSEC POLICY="vpn_A" LAD=192.168.20.0 LMA=255.255.255.0 RAD=0.0.0.0 RMA=0.0.0.0 ↓
- 本環境においてルーターBからインターネットへの通信はVPNを経由します。そのため、PPP0上においてVPN以外の通信は許可しません。
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- WAN側Ethernetインターフェース(eth0)上にCUGサービス接続用のPPPインターフェース「0」を作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、グループ管理者から通知されたPPPoEの「サービス名」を記述します。指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- グループ管理者から通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY BAP=OFF USER=userC PASSWORD=passwdC LQR=OFF ECHO=ON ↓
- IPモジュールを有効にします。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.30.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにCUGサービス接続用に割り当てられたIPアドレスを設定します。
ADD IP INT=ppp0 IP=10.1.1.3 MASK=255.255.255.255 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret-ac」という文字列で指定します(ルーターAと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret-ac" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i_A」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERにはルーターAのIPアドレスを指定します。
CREATE ISAKMP POLICY="i_A" PEER=10.1.1.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- ルーターAとのIPsec通信に使用するIPsecポリシー「vpn_A」をPPPインターフェース「0」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERにはルーターAのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。
CREATE IPSEC POLICY="vpn_A" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.1.1.1 ↓
- IPsecポリシー「vpn_A」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
SET IPSEC POLICY="vpn_A" LAD=192.168.30.0 LMA=255.255.255.0 RAD=0.0.0.0 RMA=0.0.0.0 ↓
- 本環境においてルーターCからインターネットへの通信はVPNを経由します。そのため、PPP0上においてVPN以外の通信は許可しません。
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
■ ファイアウォールで遮断されたパケットのログをとるには、次のコマンドを実行します。
ENABLE FIREWALL POLICY=net LOG=DENY ↓
記録されたログを見るには、次のコマンドを実行します。ここでは、「TYPE=FIRE」により、ファイアウォールが出力したログメッセージだけを表示させています。
■ インターネット側からのPING(ICMP Echo Requestパケット)を拒否するには、次のようなIPフィルターをWAN側インターフェースに設定します。この例では、「LOG=HEADER」により、フィルターで拒否したパケットをログに記録しています。
ADD IP FILTER=0 SO=0.0.0.0 PROTO=ICMP ICMPTYPE=ECHO LOG=HEADER ACTION=EXCLUDE ↓
ADD IP FILTER=0 SO=0.0.0.0 ACTION=INCLUDE ↓
SET IP INT=ppp0 FILTER=0 ↓
記録されたログを見るには、次のコマンドを実行します。ここでは、「TYPE=IPFIL」により、IPフィルターが出力したログメッセージだけを表示させています。
■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。
たとえば、ネットワーク192.168.10.0/24、192.168.20.0/24、192.168.30.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
ADD USER RSO IP=192.168.20.0 MASK=255.255.255.0 ↓
ADD USER RSO IP=192.168.30.0 MASK=255.255.255.0 ↓
■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。
■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜3600(秒)を指定します。デフォルトは60秒です。
SET USER SECUREDELAY=300 ↓
ルーターAのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
CREATE PPP=1 OVER=eth0-ANY ↓
SET PPP=1 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=ON ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=userA PASSWORD=passwdA LQR=OFF ECHO=ON ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp1 IP=0.0.0.0 MASK=0.0.0.0 ↓
ADD IP INT=ppp0 IP=10.1.1.1 MASK=255.255.255.255 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp1 NEXTHOP=0.0.0.0 ↓
ADD IP ROUTE=10.0.0.0 MASK=255.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ADD IP ROUTE=192.168.0.0 MASK=255.255.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp1 ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=ppp0 GBLINT=ppp1 ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret-ab" ↓
# CREATE ENCO KEY=2 TYPE=GENERAL VALUE="secret-ac" ↓
CREATE ISAKMP POLICY="i_B" PEER=10.1.1.2 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE ISAKMP POLICY="i_C" PEER=10.1.1.3 KEY=2 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn_B" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.1.1.2 ↓
SET IPSEC POLICY="vpn_B" LAD=0.0.0.0 LMA=0.0.0.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY="vpn_C" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.1.1.3 ↓
SET IPSEC POLICY="vpn_C" LAD=0.0.0.0 LMA=0.0.0.0 RAD=192.168.30.0 RMA=255.255.255.0 ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
ルーターBのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF USER=userB PASSWORD=passwdB LQR=OFF ECHO=ON ↓
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=10.1.1.2 MASK=255.255.255.255 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret-ab" ↓
CREATE ISAKMP POLICY="i_A" PEER=10.1.1.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn_A" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.1.1.1 ↓
SET IPSEC POLICY="vpn_A" LAD=192.168.20.0 LMA=255.255.255.0 RAD=0.0.0.0 RMA=0.0.0.0 ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
ルーターCのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF USER=userC PASSWORD=passwdC LQR=OFF ECHO=ON ↓
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.30.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=10.1.1.3 MASK=255.255.255.255 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret-ac" ↓
CREATE ISAKMP POLICY="i_A" PEER=10.1.1.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn_A" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.1.1.1 ↓
SET IPSEC POLICY="vpn_A" LAD=192.168.30.0 LMA=255.255.255.0 RAD=0.0.0.0 RMA=0.0.0.0 ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
CentreCOM AR550S 設定例集 2.9 #152
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-04 Rev.P
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))