<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR550S 設定例集 2.9 #170

Pingポーリングによるメイン回線からインターネットVPNバックアップへの自動切り替え(ISP接続+フレッツグループアクセス〜L2TP編〜)


センター、拠点間の通信にフレッツグループアクセス(以下「FGA」と省略します)を利用し、バックアップ回線としてインターネットVPNを利用するネットワークを構築します。


この例では、ルーターとして本製品をセンター側(ルーターA)、拠点側(ルーターB)に設置するネットワーク構成を例に解説します。
ここでは、それぞれの拠点ルーターのインターフェースに次の接続を想定して説明します。

表 1:インターフェース
インターフェース名
接続
ppp0 PPPoE、ISP接続、インターネットVPN接続、バックアップ回線
ppp1 PPPoE、FGA接続、L2TP接続
ppp11 L2TP Call用インターフェース


インターネットサービスプロバイダー(ISP)、およびFGAのグループ管理者からは、次の情報を提供されているものとします。

表 2:ISPおよびFGAグループ管理者から提供された情報
 
ルーターA(センター側)
ルーターB(拠点側)
インターフェース ppp0 ppp1 ppp0 ppp1
PPPユーザー名 center@isp center@flets branch@isp branch@flets
PPPパスワード centpass fletsa brapass fletsb
PPPoEサービス名 指定なし 指定なし 指定なし 指定なし
IPアドレス 200.100.10.1/32 1.1.1.1/32(端末型) - 2.2.2.2/32(端末型)
グローバルアドレス1個(固定) CUGサービス網から取得(毎回同じアドレスが割り当てられる) グローバルアドレス1個(不定) CUGサービス網から取得(毎回同じアドレスが割り当てられる)
DNSサーバー 接続時に通知される 接続時に通知される 接続時に通知される 接続時に通知される


また、次のような環境を想定しています。

■ 通常接続時の通信は以下のように行われます。

■ 障害発生時(バックアップ回線使用時)の通信は以下のように行われます。

ルーターAの設定

  1. セキュリティーモードで管理設定を行うことができるSecurity Officerレベルのユーザーを作成します。


    Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。

  2. L2TPモジュールを有効にします。


  3. L2TPサーバーの機能を有効にして、サーバーモードに「BOTH」(LNSおよびLAC)を指定します。


  4. L2TPコールを定義します。ここでは、コール名に「remote」、対向ルーター(ルーターB)の呼の名前に「remote」、接続先のIPアドレスに「2.2.2.2」、対向ルーターの呼の種類に「VIRTUAL」、着呼優先、ルーターBとの認証にパスワード「l2tp」を使用するように設定しています。


  5. eth0インターフェース上にppp0インターフェースを作成します。ここでは、サービス名に「ANY」を設定しています。ISPから通知されたPPPoE認証のユーザー名とパスワードを指定します。ここでは、BAPを「OFF」、ユーザー名に「center@isp」、パスワードに「centpass」を設定しています。リンク状態の監視にLCP Echoパケットを使用するため、LQRを「OFF」、ECHOを「ON」に設定します。


  6. 5.と同様にeth1インターフェース上にppp1インターフェースを作成します。ユーザー名に「center@flets」、パスワードに「fletsa」を設定しています。


  7. L2TPコール「remote」上にppp11インターフェースを作成します。PPPの再接続ができるようidleタイマーを設定します。


  8. IPモジュールを有効にします。


  9. IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。


  10. LAN側インターフェース(vlan1)にIPアドレス「192.168.1.1/24」を設定します。


  11. ISPから通知されたIPアドレス「200.100.10.1/32」をppp0インターフェースに設定します。


  12. CUGサービス接続用のppp1インターフェースにIPアドレス「0.0.0.0」を設定します。CUGサービスとの接続が確立するまで、IPアドレスは確定しません。


  13. ppp11インターフェースのIPアドレスを「0.0.0.0」に設定します。(実際の通信には、このインターフェースのアドレスは使用されません)


  14. スタティックルートを設定します。この設定で、ルーターBのLAN側インターフェース(vlan1)にPingポーリングのICMPパケットをルーティングします。INTERFACEにppp11を指定することで、L2TPのカプセル化が行われます。


    Note - 後述のとおり、192.168.2.0のルートは回線切断時にトリガーによりIPsec(ppp0)側に書き換わってしまうため、別々に設定を行います。
  15. スタティックルートを設定します。この設定で、ルーターBのLAN側宛のパケットをL2TPトンネル経由でルーティングします。INTERFACEにppp11を指定することで、L2TPのカプセル化が行われます。


  16. スタティックルートを設定します。この設定で、ppp11でL2TPのカプセル化がされたパケットを実際の送出インターフェースであるppp1へルーティングします。


  17. デフォルトルートを設定します。この設定で、インターネット向けの通信をルーティングします。


  18. ファイアウォール機能を有効にします。


  19. ファイアウォールポリシーを作成します。ここでは、ポリシー名を「net」としています。


  20. ICMPパケットはPing(Echo/EchoReply)とUnreachableのみ通過させるように設定します。


  21. identプロキシー機能を無効にします。identプロキシーは、FIREWALL有効時に、外部から内部へのident要求に対して代理応答する機能です。無効に設定した場合、ident接続要求に対してRSTを返し、TCPコネクションをただちに終了させます。


  22. ファイアウォール適用対象の各インターフェースを設定します。


  23. LAN側インターフェース(vlan1)にENATの設定をします。


  24. 相手ルーターから受信したIKEパケット(UDP500番)がファイアウォールを通過できるように設定します。


  25. 相手ルーターから受信したL2TPパケット(UDP1701番)がファイアウォールを通過できるように設定します。


  26. IPsec通信を行う際、ローカルLANからリモートLANへのパケットにはNATをかけないように設定します。


  27. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.1.1〜192.168.1.254、つまり、ローカル側LANならばNATの対象外とする」の意味になります。


  28. ルーターBのLAN側インターフェース(vlan1)を監視対象としてPingポーリングの設定をします。ここでは、PingポーリングIDを「1」に設定しています。NORMALINTERVALは監視対象機器がUPのときのポーリング間隔(秒)、UPCOUNTは機器の状態が「Down」「Critical Down」から「UP」に戻るのに必要な連続した「応答あり」の数です。SAMPLESIZEは、到達性判断のために保持しておくPingパケットの数です。ここではNORMALINTERVALを「10」、UPCOUNTを「5」、SAMPLESIZEを「10」に設定しています。


  29. Pingポーリングを有効にします。


  30. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターBと同じに設定)。


    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

    Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。

  31. ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を指定し、HEARTBEATMODEにBOTHを指定して、ISAKMPハートビートを使用します。また、この例では相手のアドレスが不定なため、PEERにANYを、REMOTEIDで相手の認証IDを指定し、「MODE=AGGRESSIVE」でAggressiveモードを使うよう設定します。


  32. IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。


  33. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。


  34. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。


  35. 実際のIPsec通信に使用するIPsecポリシー「vpn」を、PPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、BUNDLEにはSAバンドルスペック「1」を指定します。相手のIPアドレスが不定なので、ISAKMPの認証をパスしたものだけを指定する意味で、PEERにDYNAMICを指定します。


  36. IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。


  37. インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。


    Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。

  38. Security Officerレベルのユーザーでログインしなおします。


  39. 動作モードをセキュリティーモードに切り替えます。


    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(ENABLE USER RSOコマンド)。

  40. pingポーリングでFGA上の経路ステータスが変化した場合のスクリプトを作成します。
    ルーターAのFGA側(ppp1側)インターフェースでのpingポーリングステートが「down」になった場合に、ppp0側にあらかじめ設定されているIPsec設定を有効にし、FGA経由の拠点間通信パケットのスタティックルートを削除し、IPsec(ppp0)を経由するスタティックルートを追加するスクリプト「pingd.scp」を作成します。


    Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド(内蔵フルスクリーンエディター)などを使って設定スクリプトファイル(.CFG)にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。

    Note - IPsecを経由するスタティックルートは追加しなくても、デフォルトルートであるppp0へ送信されますが、切り替えをスムーズに行う目的であえて追加しています。

  41. ルーターAのFGA側(ppp1側)インターフェースでのpingポーリングステートが「up」になった場合に、ルーターBのLAN側アドレス宛に送出される拠点間通信パケットをFGA経由で送出するスタティックルートを追加し、IPsec(ppp0)を経由するスタティックルートを削除し、ppp0側で有効になっているIPsec設定を無効にするスクリプト「pingu.scp」を作成します。(このスタティックルートの追加により、拠点間通信のパケットが再びFGA経由で送出されるようになります。)


  42. ppp1インターフェースのステータス変化を検知した場合のスクリプトを作成します。
    インターフェーストリガーを併用することにより、インターフェースがダウンした場合にpingポーリングよりも早くステータスの変化を検知させることができます。ここでは、インターフェースがダウンした場合に、FGA経由のスタティックルートを削除し、あらかじめ設定されているIPsec設定をenableにするスクリプト「down.scp」を作成します。またインターフェースのダウンの場合、経路が変わるとL2TPパケットがIPsec側に回り込んでしまうことがあるため、経路を変更すると同時にpingポーリングをdisableにします。


  43. FGA(ppp1)インターフェースが復旧した場合に、FGA経由のスタティックルートを追加し、disableになっていたpingポーリングをenableにするスクリプト「up.scp」を作成します。


  44. トリガー機能を有効にします。


  45. PingポーリングによりデバイスのUPを検出すると、先に作成したスクリプト「pingu.scp」を実行するトリガー「1」を作成します。


  46. PingポーリングによりデバイスのDOWNを検出すると、先に作成したスクリプト「pingd.scp」を実行するトリガー「2」を作成します。


  47. インターフェースイベント「UP」を検出すると、先に作成したスクリプト「up.scp」を実行するトリガー「3」を作成します。


  48. インターフェースイベント「DOWN」を検出すると、先に作成したスクリプト「down.scp」を実行するトリガー「4」を作成します。


  49. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。



ルーターBの設定

  1. セキュリティーモードで管理設定を行うことができるSecurity Officerレベルのユーザーを作成します。


    Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。

  2. L2TPモジュールを有効にします。


  3. L2TPサーバーの機能を有効にして、サーバーモードに「BOTH」(LNSおよびLAC)を指定します。


  4. L2TPコールを定義します。ここでは、コール名に「remote」、対向ルーター(ルーターA)の呼の名前に「remote」、接続先のIPアドレスに「1.1.1.1」、対向ルーターの呼の種類に「VIRTUAL」、着呼優先、ルーターAとの認証にパスワード「l2tp」を使用するように設定しています。


  5. eth0インターフェース上にppp0インターフェースを作成します。ここでは、サービス名に「ANY」を設定しています。ISPから通知されたPPPoE認証のユーザー名とパスワードを指定します。ここでは、BAPを「OFF」、ユーザー名に「branch@isp」、パスワードに「brapass」を設定しています。リンク状態の監視にLCP Echoパケットを使用するため、LQRを「OFF」、ECHOを「ON」に設定します。



  6. 5.と同様にeth1インターフェース上にppp1インターフェースを作成します。ユーザー名に「branch@flets」、パスワードに「fletsb」を設定しています。


  7. L2TPコール「remote」上にppp11インターフェースを作成します。PPPの再接続ができるようidleタイマーを設定します。


  8. IPモジュールを有効にします。


  9. IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。


  10. LAN側インターフェース(vlan1)にIPアドレス「192.168.2.1/24」を設定します。


  11. ppp0のインターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまでIPアドレスは確定しません。


  12. CUGサービス接続用のppp1インターフェースにIPアドレス「0.0.0.0」を設定します。CUGサービスとの接続が確立するまで、IPアドレスは確定しません。


  13. ppp11インターフェースのIPアドレスを「0.0.0.0」に設定します。(実際の通信には、このインターフェースのアドレスは使用されません)


  14. スタティックルートを設定します。この設定で、ルーターAのLAN側インターフェース(vlan1)にPingポーリングのICMPパケットをルーティングします。INTERFACEにppp11を指定することで、L2TPのカプセル化が行われます。


  15. スタティックルートを設定します。この設定で、ルーターAのLAN側宛のパケットをL2TPトンネル経由でルーティングします。INTERFACEにppp11を指定することで、L2TPのカプセル化が行われます。


  16. スタティックルートを設定します。この設定で、ppp11でL2TPのカプセル化がされたパケットを実際の送出インターフェースであるppp1へルーティングします。


  17. デフォルトルートを設定します。この設定で、インターネット向けの通信をルーティングします。


  18. ファイアウォール機能を有効にします。


  19. ファイアウォールポリシーを作成します。ここでは、ポリシー名を「net」としています。


  20. ICMPパケットはPing(Echo/EchoReply)とUnreachableのみ通過させるように設定します。


  21. identプロキシー機能を無効にします。identプロキシーは、FIREWALL有効時に、外部から内部へのident要求に対して代理応答する機能です。無効に設定した場合、ident接続要求に対してRSTを返し、TCPコネクションをただちに終了させます。


  22. ファイアウォール適用対象の各インターフェースを設定します。


  23. LAN側インターフェース(vlan1)にENATの設定をします。


  24. IPsec通信を行う際、ローカルLANからリモートLANへのパケットにはNATをかけないように設定します。


  25. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.2.1〜192.168.2.254、つまり、ローカル側LANならばNATの対象外とする」の意味になります。


  26. 相手ルーターから受信したL2TPパケット(UDP1701番)がファイアウォールを通過できるように設定します。


  27. ルーターAのLAN側インターフェース(vlan1)を監視対象としてPingポーリングの設定をします。ここでは、PingポーリングIDを「1」に設定しています。NORMALINTERVALは監視対象機器がUPのときのポーリング間隔(秒)、UPCOUNTは機器の状態が「Down」「Critical Down」から「UP」に戻るのに必要な連続した「応答あり」の数です。SAMPLESIZEは、到達性判断のために保持しておくPingパケットの数です。ここではNORMALINTERVALを「10」、UPCOUNTを「5」、SAMPLESIZEを「10」に設定しています。


  28. Pingポーリングを有効にします。


  29. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターAと同じに設定)。


    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

    Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。

  30. ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を指定し、HEARTBEATMODEにBOTHを指定して、ISAKMPハートビートを使用します。PEERには相手のIPアドレス「200.100.10.1」を指定します。また自分のアドレスが不定なため、LOCALIDで自分の認証IDを指定し、「MODE=AGGRESSIVE」でAggressiveモードを使うよう設定します。


  31. IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。


  32. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。


  33. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。


  34. 実際のIPsec通信に使用するIPsecポリシー「vpn」を、PPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターAのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。


  35. IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。


  36. インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。


    Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。

  37. Security Officerレベルのユーザーでログインしなおします。


  38. 動作モードをセキュリティーモードに切り替えます。


    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(ENABLE USER RSOコマンド)。

  39. pingポーリングでFGA上の経路ステータスが変化した場合のスクリプトを作成します。
    ルーターBのFGA側(ppp1側)インターフェースでのpingポーリングステートが「down」になった場合に、ppp0側にあらかじめ設定されているIPsec設定を有効にし、FGA経由の拠点間通信パケットのスタティックルートを削除し、IPsec(ppp0)を経由するスタティックルートを追加するスクリプト「pingd.scp」を作成します。


    Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド(内蔵フルスクリーンエディター)などを使って設定スクリプトファイル(.CFG)にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。

    Note - IPsecを経由するスタティックルートは追加しなくても、デフォルトルートであるppp0へ送信されますが、切り替えをスムーズに行う目的であえて追加しています。

  40. ルーターBのFGA側(ppp1側)インターフェースでのpingポーリングステートが「up」になった場合に、ルーターAのLAN側アドレス宛に送出される拠点間通信パケットをFGA経由で送出するスタティックルートを追加し、IPsec(ppp0)を経由するスタティックルートを削除し、ppp0側で有効になっているIPsec設定を無効にするスクリプト「pingu.scp」を作成します。(このスタティックルートの追加により、拠点間通信のパケットが再びFGA経由で送出されるようになります。)


  41. ppp1インターフェースのステータス変化を検知した場合のスクリプトを作成します。
    インターフェーストリガーを併用することにより、インターフェースがダウンした場合にpingポーリングよりも早くステータスの変化を検知させることができます。ここでは、インターフェースがダウンした場合に、FGA経由のスタティックルートを削除し、あらかじめ設定されているIPsec設定をenableにするスクリプト「down.scp」を作成します。またインターフェースのダウンの場合、経路が変わるとL2TPパケットがIPsec側に回り込んでしまうことがあるため、経路を変更すると同時にpingポーリングをdisableにします。


  42. FGA(ppp1)インターフェースが復旧した場合に、FGA経由のスタティックルートを追加し、disableになっていたpingポーリングをenableにするスクリプト「up.scp」を作成します。


  43. トリガー機能を有効にします。


  44. PingポーリングによりデバイスのUPを検出すると、先に作成したスクリプト「pingu.scp」を実行するトリガー「1」を作成します。


  45. PingポーリングによりデバイスのDOWNを検出すると、先に作成したスクリプト「pingd.scp」を実行するトリガー「2」を作成します。


  46. インターフェースイベント「UP」を検出すると、先に作成したスクリプト「up.scp」を実行するトリガー「3」を作成します。


  47. インターフェースイベント「DOWN」を検出すると、先に作成したスクリプト「down.scp」を実行するトリガー「4」を作成します。


  48. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


まとめ

ルーターAのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
ADD L2TP CALL=remote REMOTE=remote IP=2.2.2.2 TYPE=VIRTUAL PRECEDENCE=IN PASS=l2tp
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 BAP=OFF USERNAME=center@isp PASSWORD=centpass
SET PPP=0 OVER=eth0-ANY LQR=OFF ECHO=ON
CREATE PPP=1 OVER=eth1-ANY
SET PPP=1 BAP=OFF USERNAME=center@flets PASSWORD=fletsa
SET PPP=1 OVER=eth1-ANY LQR=OFF ECHO=ON
CREATE PPP=11 OVER=TNL-remote IDLE=999999999 BAP=OFF LQR=OFF
ENABLE IP
ENABLE IP REMOTEASSIGN
ADD IP INTERFACE=vlan1 IPADDRESS=192.168.1.1 MASK=255.255.255.0
ADD IP INTERFACE=ppp0 IPADDRESS=200.100.10.1 MASK=255.255.255.255
ADD IP INTERFACE=ppp1 IPADDRESS=0.0.0.0
ADD IP INTERFACE=ppp11 IPADDRESS=0.0.0.0
ADD IP ROUTE=192.168.2.1 MASK=255.255.255.255 INTERFACE=ppp11 NEXT=0.0.0.0
ADD IP ROUTE=192.168.2.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0
ADD IP ROUTE=2.2.2.2 MASK=255.255.255.255 INT=ppp1 NEXT=0.0.0.0
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INTERFACE=ppp0 NEXT=0.0.0.0
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_FORWARDING=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INTERFACE=vlan1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INTERFACE=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net INTERFACE=ppp1 TYPE=PUBLIC
ADD FIREWALL POLICY=net INTERFACE=ppp11 TYPE=PRIVATE
ADD FIREWALL POLICY=net NAT=ENHANCED INTERFACE=vlan1 GBLINTERFACE=ppp0 GBLIP=200.100.10.1
ADD FIREWALL POLICY=net RULE=1 ACTION=ALLOW INTERFACE=ppp0 PROTOCOL=UDP GBLPORT=500 GBLIP=200.100.10.1 PORT=500 IP=200.100.10.1
ADD FIREWALL POLICY=net RULE=2 ACTION=ALLOW INTERFACE=ppp1 PROTOCOL=UDP PORT=1701
ADD FIREWALL POLICY=net RULE=3 ACTION=NON INTERFACE=vlan1 PROTOCOL=ALL IP=192.168.1.1-192.168.1.254
SET FIREWALL POLICY=net RULE=3 REMOTEIP=192.168.2.1-192.168.2.254
ADD FIREWALL POLICY=net RULE=4 ACTION=NON INTERFACE=ppp0 PROTOCOL=ALL IP=192.168.1.1-192.168.1.254 ENCAP=IPSEC
ADD PING POLL=1 IPADDRESS=192.168.2.1 NORMALINTERVAL=10 UPCOUNT=5 SAMPLESIZE=10
ENABLE PING POLL=1
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH REMOTEID="client" MODE=AGGRESSIVE
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1"
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY="vpn" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC
SET IPSEC POLICY="vpn" LAD=192.168.1.0 LMA=255.255.255.0 RAD=192.168.2.0 RMA=255.255.255.0
CREATE IPSEC POLICY="inet" INTERFACE=ppp0 ACTION=PERMIT
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE
ENABLE TRIGGER
CREATE TRIGGER=1 MODULE=PING EVENT=DEVICEUP POLL=1 SCRIPT=pingu.scp
CREATE TRIGGER=2 MODULE=PING EVENT=DEVICEDOWN POLL=1 SCRIPT=pingd.scp
CREATE TRIGGER=3 INTERFACE=ppp1 EVENT=UP CP=LCP SCRIPT=up.scp
CREATE TRIGGER=4 INTERFACE=ppp1 EVENT=DOWN CP=LCP SCRIPT=down.scp


スクリプト「pingd.scp」 [テキスト版]
ENABLE ISAKMP
ENABLE IPSEC
DELETE IP ROUTE=192.168.2.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0
ADD IP ROUTE=192.168.2.0 MASK=255.255.255.0 INTERFACE=ppp0 NEXT=0.0.0.0


スクリプト「pingu.scp」 [テキスト版]
DELETE IP ROUTE=192.168.2.0 MASK=255.255.255.0 INTERFACE=ppp0 NEXT=0.0.0.0
ADD IP ROUTE=192.168.2.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0
DISABLE IPSEC
DISABLE ISAKMP


スクリプト「down.scp」 [テキスト版]
ENABLE ISAKMP
ENABLE IPSEC
DISABLE PING POL=1
DELETE IP ROUTE=192.168.2.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0


スクリプト「up.scp」 [テキスト版]
ADD IP ROUTE=192.168.2.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0
ENA PING POL=1
DISABLE IPSEC
DISABLE ISAKMP


ルーターBのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
ADD L2TP CALL=remote REMOTE="remote" TYPE=VIRTUAL IP=1.1.1.1 PRECEDENCE=OUT PASSWORD=l2tp
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 BAP=OFF USERNAME=branch@isp PASSWORD=brapass
SET PPP=0 OVER=eth0-ANY LQR=OFF ECHO=ON
CREATE PPP=1 OVER=eth1-ANY
SET PPP=1 BAP=OFF USERNAME=branch@flets PASSWORD=fletsb
SET PPP=1 OVER=eth1-ANY LQR=OFF ECHO=ON
CREATE PPP=11 OVER=TNL-remote BAP=OFF LQR=OFF IPREQUEST=ON IDLE=999999999
ENABLE IP
ENABLE IP REMOTEASSIGN
ADD IP INTERFACE=vlan1 IPADDRESS=192.168.2.1 MASK=255.255.255.0
ADD IP INTERFACE=ppp0 IPADDRESS=0.0.0.0
ADD IP INTERFACE=ppp1 IPADDRESS=0.0.0.0
ADD IP INTERFACE=ppp11 IPADDRESS=0.0.0.0
ADD IP ROUTE=192.168.1.1 MASK=255.255.255.255 INTERFACE=ppp11 NEXT=0.0.0.0
ADD IP ROUTE=192.168.1.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0
ADD IP ROUTE=1.1.1.1 MASK=255.255.255.255 INT=ppp1 next=0.0.0.0
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INTERFACE=ppp0 NEXT=0.0.0.0
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_FORWARDING=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INTERFACE=vlan1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INTERFACE=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net INTERFACE=ppp1 TYPE=PUBLIC
ADD FIREWALL POLICY=net INTERFACE=ppp11 TYPE=PRIVATE
ADD FIREWALL POLICY=net NAT=ENHANCED INTERFACE=vlan1 GBLINTERFACE=ppp0
ADD FIREWALL POLICY=net RULE=1 ACTION=NON INTERFACE=vlan1 PROTOCOL=ALL IP=192.168.2.1-192.168.2.254
SET FIREWALL POLICY=net RULE=1 REMOTEIP=192.168.1.1-192.168.1.254
ADD FIREWALL POLICY=net RULE=2 ACTION=NON INTERFACE=ppp0 PROTOCOL=ALL IP=192.168.2.1-192.168.2.254 ENCAP=IPSEC
ADD FIREWALL POLICY=net RULE=3 ACTION=ALLOW INTERFACE=ppp1 PROTOCOL=UDP PORT=1701
ADD PING POLL=1 IPADDRESS=192.168.1.1 NORMALINTERVAL=10 UPCOUNT=5 SAMPLESIZE=10
ENABLE PING POLL=1
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i" PEER=200.100.10.1 KEY=1 HEARTBEATMODE=BOTH SENDN=TRUE LOCALID="client" MODE=AGGRESSIVE
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1"
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY="vpn" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1
SET IPSEC POLICY="vpn" LAD=192.168.2.0 LMA=255.255.255.0 RAD=192.168.1.0 RMA=255.255.255.0
CREATE IPSEC POLICY="inet" INTERFACE=ppp0 ACTION=PERMIT
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE
ENABLE TRIGGER
CREATE TRIGGER=1 MODULE=PING EVENT=DEVICEUP POLL=1 SCRIPT=pingu.scp
CREATE TRIGGER=2 MODULE=PING EVENT=DEVICEDOWN POLL=1 SCRIPT=pingd.scp
CREATE TRIGGER=3 INTERFACE=ppp1 EVENT=UP CP=LCP SCRIPT=up.scp
CREATE TRIGGER=4 INTERFACE=ppp1 EVENT=DOWN CP=LCP SCRIPT=down.scp


スクリプト「pingd.scp」 [テキスト版]
ENABLE ISAKMP
ENABLE IPSEC
DELETE IP ROUTE=192.168.1.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0
ADD IP ROUTE=192.168.1.0 MASK=255.255.255.0 INTERFACE=ppp0 NEXT=0.0.0.0


スクリプト「pingu.scp」 [テキスト版]
DELETE IP ROUTE=192.168.1.0 MASK=255.255.255.0 INTERFACE=ppp0 NEXT=0.0.0.0
ADD IP ROUTE=192.168.1.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0
DISABLE IPSEC
DISABLE ISAKMP


スクリプト「down.scp」 [テキスト版]
ENABLE ISAKMP
ENABLE IPSEC
DISABLE PING POL=1
DELETE IP ROUTE=192.168.1.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0


スクリプト「up.scp」 [テキスト版]
ADD IP ROUTE=192.168.1.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0
ENA PING POL=1
DISABLE IPSEC
DISABLE ISAKMP





CentreCOM AR550S 設定例集 2.9 #170

(C) 2005-2014 アライドテレシスホールディングス株式会社

PN: J613-M0710-04 Rev.P

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)