<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR550S 設定例集 2.9 #163
CUGサービスを利用した拠点間のPIM-DMによるIPマルチキャストルーティング(L2TP+IPsec)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本))の「端末型払い出し」を利用し、拠点間でIPsec通信を行い、PIM-DMを使用したマルチキャスト ルーティングを行います。
本構成では、L2TPを使用しPIM-DMによる拠点間のマルチキャストルーティングを行い、L2TPでカプセリングされたパケットを暗号化することにより、IPsec上でのマルチキャストルーティングを行います。
CUGサービスのプライベートグループ(以下、グループ)管理者からは、次の情報を提供されているものとします。
表 1:グループ管理者から提供された情報
|
ルーターA |
ルーターB |
ルーターC |
PPPユーザー名 |
userA@cug |
userB@cug |
userC@cug |
PPPパスワード |
cugpasswdA |
cugpasswdB |
cugpasswdC |
IPアドレス(端末型) |
172.16.0.1/32 |
172.16.0.2/32 |
172.16.0.3/32 |
表 2:L2TPの設定
|
ルーターA |
ルーターB |
ルーターC |
L2TPコール名 |
remote1(AB間)、remote2(AC間) |
remote1(AB間) |
remote2(AC間) |
L2TP終端アドレス |
172.16.0.1/32 |
172.16.0.2/32 |
172.16.0.3/32 |
L2TPサーバーモード |
LAC/LNS兼用(BOTH) |
L2TPサーバーパスワード |
l2tpA |
l2tpB |
l2tpC |
表 3:マルチキャストネットワークの構成
|
ルーターA |
ルーターB |
ルーターC |
PIMで使用するPPP(ppp1x)上のアドレス |
172.16.1.1(ppp11)、172.16.2.1(ppp12) |
172.16.1.2(ppp11) |
172.16.2.2(PPP12) |
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- マルチキャストパケットをL2TPでカプセリングして送受信するために使用する L2TP を有効にします。
- L2TPサーバーをLNS/LACの兼用モードで起動します。
ENABLE L2TP SERVER=BOTH ↓
- 相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。
ADD L2TP PASSWORD=l2tpA ↓
- L2TPコールを定義します。これはISDNにおけるISDNコールに相当するもので、接続先のL2TPサーバーとの間に仮想回線を張るための情報を定義します。CALLには任意の名前を、REMOTEには相手側で定義されているL2TPコールの名前を指定します。 LAN間接続の場合、TYPEにはVIRTUALを指定します。IPは接続先のL2TPルーター、PRECEDENCEは優先する呼の方向です。また、相手側にL2TPパスワードが設定されている場合は、PASSWORDパラメーターで接続パスワードを指定します。ルーターB向けコールとルーターC向けコールの設定を行います。
ADD L2TP CALL=remote1 REMOTE=remote1 TYPE=VIRTUAL IP=172.16.0.2 PRECEDENCE=IN PASSWORD=l2tpB ↓
ADD L2TP CALL=remote2 REMOTE=remote2 TYPE=VIRTUAL IP=172.16.0.3 PRECEDENCE=IN PASSWORD=l2tpC ↓
- WAN側Ethernetインターフェース(eth0)上にCUGサービス接続用のPPPインターフェースを作成します。
「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- グループ管理者から通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=userA@cug PASSWORD=cugpasswdA LQR=OFF ECHO=ON ↓
- 各ルーター間でIGMPおよびPIMを有効にするインターフェースとしてL2TPコール上にPPPインターフェースを作成します。CREATE PPPコマンドでL2TPコールを物理インターフェースとして指定するときは、L2TPコール名の前に「TNL-」を付けます。ルーターB向けおよびルーターC向けのPPPインターフェースを作成します。
CREATE PPP=11 OVER=TNL-remote1 IDLE=ON BAP=OFF LQR=OFF ↓
CREATE PPP=12 OVER=TNL-remote2 IDLE=ON BAP=OFF LQR=OFF ↓
- IPモジュールを有効にします。
- IPCPネゴシエーションでISPから取得したIPアドレスをPPPインターフェースで使用できるように設定します。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。これは、ISPとの接続が確立するまでIPアドレスが確定しないことを示します。また、PIMが使用するソースアドレスとしてL2TP上のPPPインターフェース(ppp11/ppp12)にIPアドレスを割り当てます。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP INT=ppp11 IP=172.16.1.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp12 IP=172.16.2.1 MASK=255.255.255.0 ↓
- L2TPトンネルを設定するためのルートを設定します。
ADD IP ROUTE=172.16.0.2 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0 ↓
ADD IP ROUTE=172.16.0.3 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0 ↓
- PIMはユニキャストのルートテーブルを流用するのでRIPv2を有効にしダイナミックにルートテーブルを作成します。
ADD IP RIP INT=ppp11 SEND=RIP2 RECEIVE=RIP2 ↓
ADD IP RIP INT=ppp12 SEND=RIP2 RECEIVE=RIP2 ↓
- グループメンバー管理のためIGMPを有効にします。
- 各インターフェースでIGMPを有効にします。
ENABLE IP IGMP INT=ppp11 ↓
ENABLE IP IGMP INT=ppp12 ↓
ENABLE IP IGMP INT=vlan1 ↓
- PIMを有効にします。
- 各インターフェースでPIM-DMを有効にします。
ADD PIM INT=ppp11 MODE=DENSE ↓
ADD PIM INT=ppp12 MODE=DENSE ↓
ADD PIM INT=vlan1 MODE=DENSE ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース(vlan1/ppp11/ppp12)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp11 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp12 TYPE=PRIVATE ↓
- WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- 相手ルーターから受信したIKEパケット(UDP500番)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PO=500 IP=172.16.0.1 ↓
- 相手ルーターから受信したL2TPパケット(UDP1701番)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0 PROT=UDP PO=1701 IP=172.16.0.1 ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret1」という文字列で指定します(ルーターBと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret1" ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「2」番とし、鍵の値は「secret2」という文字列で指定します(ルーターCと同じに設定)。
CREATE ENCO KEY=2 TYPE=GENERAL VALUE="secret2" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください。
- ルーターBおよびルーターCとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i-1」、「i-2」を作成します。KEYには、前の手順で作成した事前共有鍵(ルーターB:鍵番号「1」/ルーターC:鍵番号「2」)を、PEERには対向ルーターのIPアドレスを指定します。また、HEARTBEATMODEにBOTHを指定して、ISAKMP ハートビートを使用します。
CREATE ISAKMP POLICY="i-1" PEER=172.16.0.2 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE ISAKMP POLICY="i-2" PEER=172.16.0.3 KEY=2 SENDN=TRUE HEARTBEATMODE=BOTH ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- 実際のIPsec通信に使用するIPsecポリシー「vpn-1」/「vpn-2」を、PPPインターフェース「0」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERには対向ルーターのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定し、IPsecポリシーに対して実際にIPsec通信を行うIPアドレスの範囲を指定します。本構成では、L2TPパケットが対象となります。
コマンドが長くなるため、できるだけ省略形を用いてください。
CREATE IPSEC POLICY="vpn-1" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.0.2 ↓
SET IPSEC POLICY="vpn-1" LAD=172.16.0.1 LPORT=1701 RAD=172.16.0.2 RPORT=1701 ↓
CREATE IPSEC POLICY="vpn-2" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.0.3 ↓
SET IPSEC POLICY="vpn-2" LAD=172.16.0.1 LPORT=1701 RAD=172.16.0.3 RPORT=1701 ↓
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- マルチキャストパケットをL2TPでカプセリングして送受信するために使用する L2TP を有効にします。
- L2TPサーバーをLNS/LACの兼用モードで起動します。
ENABLE L2TP SERVER=BOTH ↓
- 相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。
ADD L2TP PASSWORD=l2tpB ↓
- L2TPコールを定義します。これはISDNにおけるISDNコールに相当するもので、接続先のL2TPサーバーとの間に仮想回線を張るための情報を定義します。CALLには任意の名前を、REMOTEには相手側で定義されているL2TPコールの名前を指定します。 LAN間接続の場合、TYPEにはVIRTUALを指定します。IPは接続先のL2TPルーター、PRECEDENCEは優先する呼の方向です。また、相手側にL2TPパスワードが設定されている場合は、PASSWORDパラメーターで接続パスワードを指定します。ルーターA向けコールの設定を行います。
ADD L2TP CALL=remote1 REMOTE=remote1 TYPE=VIRTUAL IP=172.16.0.1 PRECEDENCE=IN PASSWORD=l2tpA ↓
- WAN側Ethernetインターフェース(eth0)上にCUGサービス接続用のPPPインターフェースを作成します。
「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- グループ管理者から通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=userB@cug PASSWORD=cugpasswdB LQR=OFF ECHO=ON ↓
- 各ルーター間でIGMPおよびPIMを有効にするインターフェースとしてL2TPコール上にPPPインターフェースを作成します。CREATE PPPコマンドでL2TPコールを物理インターフェースとして指定するときは、L2TPコール名の前に「TNL-」を付けます。ルーターA向けのPPPインターフェースを作成します。
CREATE PPP=11 OVER=TNL-remote1 IDLE=ON BAP=OFF LQR=OFF ↓
- IPモジュールを有効にします。
- IPCPネゴシエーションでISPから取得したIPアドレスをPPPインターフェースで使用できるように設定します。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。これは、ISPとの接続が確立するまでIPアドレスが確定しないことを示します。PIMが使用するソースアドレスとしてL2TP上のPPPインターフェース(ppp11)にIPアドレスを割り当てます。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP INT=ppp11 IP=172.16.1.2 MASK=255.255.255.0 ↓
- L2TPトンネルを設定するためのルートを設定します。
ADD IP ROUTE=172.16.0.1 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0 ↓
- PIMはユニキャストのルートテーブルを流用するのでRIPv2を有効にしダイナミックにルートテーブルを作成します。
ADD IP RIP INT=ppp11 SEND=RIP2 RECEIVE=RIP2 ↓
- グループメンバー管理のためIGMPを有効にします。
- 各インターフェースでIGMPを有効にします。
ENABLE IP IGMP INT=ppp11 ↓
ENABLE IP IGMP INT=vlan1 ↓
- PIMを有効にします。
- 各インターフェースでPIM-DMを有効にします。
ADD PIM INT=ppp11 MODE=DENSE ↓
ADD PIM INT=vlan1 MODE=DENSE ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース(vlan1/ppp11)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp11 TYPE=PRIVATE ↓
- WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- 相手ルーターから受信したIKEパケット(UDP500番)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PO=500 IP=172.16.0.2 ↓
- 相手ルーターから受信したL2TPパケット(UDP1701番)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0 PROT=UDP PO=1701 IP=172.16.0.2 ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret1」という文字列で指定します(ルーターAと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret1" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください。
- ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i-1」を作成します。KEYには、前の手順で作成した事前共有鍵(ルーターA:鍵番号「1」)を、PEERにはルーターAのIPアドレスを指定します。また、HEARTBEATMODEにBOTHを指定して、ISAKMP ハートビートを使用します。
CREATE ISAKMP POLICY="i-1" PEER=172.16.0.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- 実際のIPsec通信に使用するIPsecポリシー「vpn-1」を、PPPインターフェース「0」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERには対向ルーターのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定し、IPsecポリシーに対して実際にIPsec通信を行うIPアドレスの範囲を指定します。本構成では、L2TPパケットが対象となります。
コマンドが長くなるため、できるだけ省略形を用いてください。
CREATE IPSEC POLICY="vpn-1" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.0.1 ↓
SET IPSEC POLICY="vpn-1" LAD=172.16.0.2 LPORT=1701 RAD=172.16.0.1 RPORT=1701 ↓
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- マルチキャストパケットをL2TPでカプセリングして送受信するために使用する L2TP を有効にします。
- L2TPサーバーをLNS/LACの兼用モードで起動します。
ENABLE L2TP SERVER=BOTH ↓
- 相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。
ADD L2TP PASSWORD=l2tpC ↓
- L2TPコールを定義します。これはISDNにおけるISDNコールに相当するもので、接続先のL2TPサーバーとの間に仮想回線を張るための情報を定義します。CALLには任意の名前を、REMOTEには相手側で定義されているL2TPコールの名前を指定します。 LAN間接続の場合、TYPEにはVIRTUALを指定します。IPは接続先のL2TPルーター、PRECEDENCEは優先する呼の方向です。また、相手側にL2TPパスワードが設定されている場合は、PASSWORDパラメーターで接続パスワードを指定します。ルーターA向けコールの設定を行います。
ADD L2TP CALL=remote2 REMOTE=remote2 TYPE=VIRTUAL IP=172.16.0.1 PRECEDENCE=IN PASSWORD=l2tpA ↓
- WAN側Ethernetインターフェース(eth0)上にCUGサービス接続用のPPPインターフェースを作成します。
「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- グループ管理者から通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=userC@cug PASSWORD=cugpasswdC LQR=OFF ECHO=ON ↓
- 各ルーター間でIGMPおよびPIMを有効にするインターフェースとしてL2TPコール上にPPPインターフェースを作成します。CREATE PPPコマンドでL2TPコールを物理インターフェースとして指定するときは、L2TPコール名の前に「TNL-」を付けます。ルーターA向けのPPPインターフェースを作成します。
CREATE PPP=12 OVER=TNL-remote2 IDLE=ON BAP=OFF LQR=OFF ↓
- IPモジュールを有効にします。
- IPCPネゴシエーションでISPから取得したIPアドレスをPPPインターフェースで使用できるように設定します。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.30.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。これは、ISPとの接続が確立するまでIPアドレスが確定しないことを示します。PIMが使用するソースアドレスとしてL2TP上のPPPインターフェース(ppp12)にIPアドレスを割り当てます。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP INT=ppp12 IP=172.16.2.2 MASK=255.255.255.0 ↓
- L2TPトンネルを設定するためのルートを設定します。
ADD IP ROUTE=172.16.0.1 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0 ↓
- PIMはユニキャストのルートテーブルを流用するのでRIPv2を有効にしダイナミックにルートテーブルを作成します。
ADD IP RIP INT=ppp12 SEND=RIP2 RECEIVE=RIP2 ↓
- グループメンバー管理のためIGMPを有効にします。
- 各インターフェースでIGMPを有効にします。
ENABLE IP IGMP INT=ppp12 ↓
ENABLE IP IGMP INT=vlan1 ↓
- PIMを有効にします。
- 各インターフェースでPIM-DMを有効にします。
ADD PIM INT=ppp12 MODE=DENSE ↓
ADD PIM INT=vlan1 MODE=DENSE ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース(vlan1/ppp12)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp12 TYPE=PRIVATE ↓
- WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- 相手ルーターから受信したIKEパケット(UDP500番)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PO=500 IP=172.16.0.3 ↓
- 相手ルーターから受信したL2TPパケット(UDP1701番)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0 PROT=UDP PO=1701 IP=172.16.0.3 ↓
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret1」という文字列で指定します(ルーターAと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret1" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください。
- ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i-2」を作成します。KEYには、前の手順で作成した事前共有鍵(ルーターA:鍵番号「1」)を、PEERにはルーターAのIPアドレスを指定します。また、HEARTBEATMODEにBOTHを指定して、ISAKMP ハートビートを使用します。
CREATE ISAKMP POLICY="i-2" PEER=172.16.0.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- 実際のIPsec通信に使用するIPsecポリシー「vpn-2」を、PPPインターフェース「0」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERには対向ルーターのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定し、IPsecポリシーに対して実際にIPsec通信を行うIPアドレスの範囲を指定します。本構成では、L2TPパケットが対象となります。
コマンドが長くなるため、できるだけ省略形を用いてください。
CREATE IPSEC POLICY="vpn-2" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.0.1 ↓
SET IPSEC POLICY="vpn-2" LAD=172.16.0.3 LPORT=1701 RAD=172.16.0.1 RPORT=1701 ↓
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
ルーターAのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
ADD L2TP PASSWORD=l2tpA ↓
ADD L2TP CALL=remote1 REMOTE=remote1 TYPE=VIRTUAL IP=172.16.0.2 PRECEDENCE=IN PASSWORD=l2tpB ↓
ADD L2TP CALL=remote2 REMOTE=remote2 TYPE=VIRTUAL IP=172.16.0.3 PRECEDENCE=IN PASSWORD=l2tpC ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=userA@cug PASSWORD=cugpasswdA LQR=OFF ECHO=ON ↓
CREATE PPP=11 OVER=TNL-remote1 IDLE=ON BAP=OFF LQR=OFF ↓
CREATE PPP=12 OVER=TNL-remote2 IDLE=ON BAP=OFF LQR=OFF ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP INT=ppp11 IP=172.16.1.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp12 IP=172.16.2.1 MASK=255.255.255.0 ↓
ADD IP ROUTE=172.16.0.2 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0 ↓
ADD IP ROUTE=172.16.0.3 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0 ↓
ADD IP RIP INT=ppp11 SEND=RIP2 RECEIVE=RIP2 ↓
ADD IP RIP INT=ppp12 SEND=RIP2 RECEIVE=RIP2 ↓
ENABLE IP IGMP ↓
ENABLE IP IGMP INT=ppp11 ↓
ENABLE IP IGMP INT=ppp12 ↓
ENABLE IP IGMP INT=vlan1 ↓
ENABLE PIM ↓
ADD PIM INT=ppp11 MODE=DENSE ↓
ADD PIM INT=ppp12 MODE=DENSE ↓
ADD PIM INT=vlan1 MODE=DENSE ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp11 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp12 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PO=500 IP=172.16.0.1 ↓
ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0 PROT=UDP PO=1701 IP=172.16.0.1 ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret1" ↓
# CREATE ENCO KEY=2 TYPE=GENERAL VALUE="secret2" ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
CREATE ISAKMP POLICY="i-1" PEER=172.16.0.2 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE ISAKMP POLICY="i-2" PEER=172.16.0.3 KEY=2 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn-1" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.0.2 ↓
SET IPSEC POLICY="vpn-1" LAD=172.16.0.1 LPORT=1701 RAD=172.16.0.2 RPORT=1701 ↓
CREATE IPSEC POLICY="vpn-2" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.0.3 ↓
SET IPSEC POLICY="vpn-2" LAD=172.16.0.1 LPORT=1701 RAD=172.16.0.3 RPORT=1701 ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
|
ルーターBのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
ADD L2TP PASSWORD=l2tpB ↓
ADD L2TP CALL=remote1 REMOTE=remote1 TYPE=VIRTUAL IP=172.16.0.1 PRECEDENCE=IN PASSWORD=l2tpA ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=userB@cug PASSWORD=cugpasswdB LQR=OFF ECHO=ON ↓
CREATE PPP=11 OVER=TNL-remote1 IDLE=ON BAP=OFF LQR=OFF ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP INT=ppp11 IP=172.16.1.2 MASK=255.255.255.0 ↓
ADD IP ROUTE=172.16.0.1 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0 ↓
ADD IP RIP INT=ppp11 SEND=RIP2 RECEIVE=RIP2 ↓
ENABLE IP IGMP ↓
ENABLE IP IGMP INT=ppp11 ↓
ENABLE IP IGMP INT=vlan1 ↓
ENABLE PIM ↓
ADD PIM INT=ppp11 MODE=DENSE ↓
ADD PIM INT=vlan1 MODE=DENSE ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp11 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PO=500 IP=172.16.0.2 ↓
ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0 PROT=UDP PO=1701 IP=172.16.0.2 ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret1" ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
CREATE ISAKMP POLICY="i-1" PEER=172.16.0.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn-1" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.0.1 ↓
SET IPSEC POLICY="vpn-1" LAD=172.16.0.2 LPORT=1701 RAD=172.16.0.1 RPORT=1701 ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
|
ルーターCのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
ADD L2TP PASSWORD=l2tpC ↓
ADD L2TP CALL=remote2 REMOTE=remote2 TYPE=VIRTUAL IP=172.16.0.1 PRECEDENCE=IN PASSWORD=l2tpA ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=userC@cug PASSWORD=cugpasswdC LQR=OFF ECHO=ON ↓
CREATE PPP=12 OVER=TNL-remote2 IDLE=ON BAP=OFF LQR=OFF ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=vlan1 IP=192.168.30.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP INT=ppp12 IP=172.16.2.2 MASK=255.255.255.0 ↓
ADD IP ROUTE=172.16.0.1 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0 ↓
ADD IP RIP INT=ppp12 SEND=RIP2 RECEIVE=RIP2 ↓
ENABLE IP IGMP ↓
ENABLE IP IGMP INT=ppp12 ↓
ENABLE IP IGMP INT=vlan1 ↓
ENABLE PIM ↓
ADD PIM INT=ppp12 MODE=DENSE ↓
ADD PIM INT=vlan1 MODE=DENSE ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp12 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP PO=500 IP=172.16.0.3 ↓
ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0 PROT=UDP PO=1701 IP=172.16.0.3 ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret1" ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
CREATE ISAKMP POLICY="i-2" PEER=172.16.0.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn-2" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.0.1 ↓
SET IPSEC POLICY="vpn-2" LAD=172.16.0.3 LPORT=1701 RAD=172.16.0.1 RPORT=1701 ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
|
CentreCOM AR550S 設定例集 2.9 #163
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-04 Rev.P
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))