<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR550S 設定例集 2.9 #171
広域Ethernet(RIP)+バックアップIPsec構成
センター、拠点間を広域Ethernet環境でIP接続し、メイン回線障害発生時はバックアップ回線(インターネットVPN)へと切り替えるネットワークを構築します。この例では、ルーターとして本製品をセンター側(ルーターA)、拠点側(ルーターB)に設置するネットワーク構成を例に解説します。
ここでは、次の設定値を想定して説明します。
表 1
|
ルーターA(センター側) |
ルーターB(拠点側) |
LAN側インターフェース IPアドレス |
192.168.10.1/24 |
192.168.20.1/24 |
ETH側インターフェース |
172.16.0.1/24 |
172.16.0.2/24 |
ppp0 IPアドレス(PPPoE接続) |
200.100.10.1/32 |
200.100.20.1/32 |
表 2:IKEフェーズ1(ISAKMP SAのネゴシエーション)
ルーター間の認証方式 |
事前共有鍵(pre-shared key) |
IKE交換モード |
Main |
事前共有鍵 |
secret(文字列) |
Oakleyグループ |
1(デフォルト) |
ISAKMPメッセージの暗号化方式 |
DES(デフォルト) |
ISAKMPメッセージの認証方式 |
SHA1(デフォルト) |
ISAKMP SAの有効期限(時間) |
86400秒(24時間)(デフォルト) |
ISAKMP SAの有効期限(KByte数) |
なし(デフォルト) |
起動時のISAKMPネゴシエーション |
行わない(デフォルト) |
表 3:IKEフェーズ2(IPsec SAのネゴシエーション)
SAモード |
トンネルモード |
セキュリティープロトコル |
ESP(暗号化+認証) |
暗号化方式 |
DES |
認証方式 |
SHA1 |
IPsec SAの有効期限(時間) |
28800秒(8時間)(デフォルト) |
IPsec SAの有効期限(KByte数) |
なし(デフォルト) |
トンネリング対象IPアドレス |
192.168.10.0/24 ←→ 192.168.20.0/24 |
トンネル終端アドレス |
200.100.10.1(A)・200.100.20.1(B) |
インターネットとの平文通信 |
行わない |
また、次のような環境を想定しています。
- センターと拠点間は広域Ethernet環境でIP接続する
- 広域Ethernet環境ではルーティングプロトコルとして、RIP(Routing Information Protocol)Version2 を使用する
- Pingポーリングを対向ルーターのWAN側インターフェースに向け、定期的に通信状況を確認し、障害発生時にはトリガーを起動してバックアップ回線(インターネットVPN)へ通信ルートを切り替える
■ 通常接続時の通信は以下のように行われます。
ルーターAのLAN側から拠点のLAN側宛に送出されたパケットは、広域Ethernetを経由して、ルーターBのLAN側インターフェース(vlan1)へと届きます。
同様に、ルーターBのLAN側からセンターのLAN側宛に送出されたパケットは、広域Ethernetを経由して、ルーターAのLAN側インターフェース(vlan1)へと届きます。
■ センター側のメイン回線で障害発生時(バックアップ回線(インターネットVPN)使用時)の通信は以下のように行われます。
ルーターAのLAN側から拠点のLAN側宛に送出されたパケットは、ルーターAのLAN側インターフェース(vlan1)から、IPトンネルを通ってプライベートアドレス(192.168.10.x/24)のままルーターBのLAN側インターフェース(vlan1)へ届きます。
同様に、ルーターBのLAN側からセンターのLAN側宛に送出されたパケットは、ルーターBのLAN側インターフェース(vlan1)から、IPトンネルを通ってプライベートアドレス(192.168.20.x/24)のままルーターAのLAN側インターフェース(vlan1)へ届きます。
■ 拠点側のメイン回線で障害発生時(バックアップ回線(インターネットVPN)使用時)の通信は以下のように行われます。
ルーターAのLAN側から拠点のLAN側宛に送出されたパケットは、ルーターAのLAN側インターフェース(vlan1)から、IPトンネルを通ってプライベートアドレス(192.168.10.x/24)のままルーターBのLAN側インターフェース(vlan1)へ届きます。
同様に、ルーターBのLAN側からセンターのLAN側宛に送出されたパケットは、ルーターBのLAN側インターフェース(vlan1)から、IPトンネルを通ってプライベートアドレス(192.168.20.x/24)のままルーターAのLAN側インターフェース(vlan1)へ届きます。
- セキュリティーモードで管理設定を行うことができるSecurity Officerレベルのユーザーを作成します。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- eth0インターフェース上にppp0インターフェースを作成します。ここでは、サービス名に「ANY」を設定しています。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISPに接続するためのユーザー名とパスワードを指定します。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 BAP=OFF USERNAME=user@isp PASSWORD=isppasswd ↓
- リンク状態の監視にLCP Echoパケットを使用するため、LQRを「OFF」、ECHOを「ON」に設定します。
SET PPP=0 OVER=eth0-ANY LQR=OFF ECHO=ON ↓
- メイン回線に障害が発生しているときのみ本回線を確立するため、初期状態ではppp0インターフェースを無効状態にします。
- IPモジュールを有効にします。
- LAN側インターフェース(vlan1)にIPアドレス「192.168.10.1/24」を設定します。
ADD IP INTERFACE=vlan1 IPADDRESS=192.168.10.1 MASK=255.255.255.0 ↓
- ppp0インターフェースのIPアドレスを「200.100.10.1/32」に設定します。
ADD IP INTERFACE=ppp0 IPADDRESS=200.100.10.1 MASK=255.255.255.255 ↓
- ETH側インターフェース(eth0)にIPアドレス「172.16.0.1/24」を設定します。
ADD IP INTERFACE=eth0 IPADDRESS=172.16.0.1 MASK=255.255.255.0 ↓
- ETH側インターフェース(eth0)でRIP Version 2(RIP2)の送受信を有効にします。
ADD IP RIP INT=eth0 SEND=RIP2 RECEIVE=RIP2 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールポリシーを作成します。ここでは、ポリシー名を「net」としています。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/EchoReply)とUnreachableのみ通過させるように設定します。
ENABLE FIREWALL POLICY=net ICMP_FORWARDING=PING,UNREACH ↓
- identプロキシー機能を無効にします。identプロキシーは、FIREWALL有効時に、外部から内部へのident要求に対して代理応答する機能です。無効に設定した場合、ident接続要求に対してRSTを返し、TCPコネクションをただちに終了させます。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォール適用対象の各インターフェースを設定します。
ADD FIREWALL POLICY=net INTERFACE=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INTERFACE=eth0 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INTERFACE=ppp0 TYPE=PUBLIC ↓
- ルーターBから受信したIKEパケット(UDP500番ポート)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 ACTION=ALLOW INTERFACE=ppp0 PROTOCOL=UDP PORT=500 IP=200.100.10.1 ↓
- ルーターBのWAN側インターフェース(eth0)を監視対象としてPingポーリングの設定をします。ここでは、PingポーリングIDを「1」に設定しています。NORMALINTERVALは監視対象機器がUPのときのポーリング間隔(秒)、UPCOUNTは機器の状態が「Down」「Critical Down」から「UP」に戻るのに必要な連続した「応答あり」の数です。SAMPLESIZEは、到達性判断のために保持しておくPingパケットの数です。ここではNORMALINTERVALを「10」、UPCOUNTを「5」、SAMPLESIZEを「10」に設定しています。
ADD PING POLL=1 IPADDRESS=172.16.0.2 NORMALINTERVAL=10 UPCOUNT=5 SAMPLESIZE=10 ↓
- Pingポーリングを有効にします。ここでは、PingポーリングIDを「1」に設定しています。
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは、鍵番号を「1」、鍵の値を「secret」に設定します。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYとして前の手順で作成した事前共有鍵(鍵番号「1」)、PEERにルーターBのIPアドレスを指定します。
CREATE ISAKMP POLICY="i" PEER=200.100.20.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
- IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
- 作成したSAスペック「1」のみを使用して、SAバンドルスペック「1」を構成します。鍵管理方式には「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージを通過させる設定を行ってください。IPsecポリシーは設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意してください。ポリシーの検索順序はSHOW IPSEC POLICYコマンドで確認できます。また、検索順序を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- 実際のIPsec通信に使用するIPsecポリシー「vpn」をppp0インターフェースに対して作成します。鍵管理方式に「ISAKMP」、PEERにはルーターBのIPアドレス、バンドルスペックに「1」を指定します。
CREATE IPSEC POLICY="vpn" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.20.1 ↓
- IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を使用してください。
SET IPSEC POLICY="vpn" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
- スクリプト「pingd.scp」を作成します。pingd.scpは、以下を実行するものです。
- ルーターBのLAN側宛のパケットが、バックアップ回線(ppp0)経由で送信されるようにスタティックルートを追加
- ルーターBのWAN側宛のパケットが、バックアップ回線(ppp0)経由で送信されるようにスタティックルートを追加
- ppp0の確立
- ISAKMPの有効化
- IPsecの有効化
ADD SCRIPT=pingd.scp TEXT="ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INTERFACE=ppp0 NEXTHOP=0.0.0.0" ↓
ADD SCRIPT=pingd.scp TEXT="ADD IP ROUTE=200.100.20.1 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0" ↓
ADD SCRIPT=pingd.scp TEXT="ENABLE ppp=0" ↓
ADD SCRIPT=pingd.scp TEXT="ENABLE ISAKMP" ↓
ADD SCRIPT=pingd.scp TEXT="ENABLE IPSEC" ↓
Note
- ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド(内蔵フルスクリーンエディター)などを使って設定スクリプトファイル(.CFG)にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。
- スクリプト「pingu.scp」を作成します。pingu.scpでは、以下を実行します。
- IPsecの無効化
- ISAKMPの無効化
- ppp0の切断
- バックアップ回線(ppp0)側に設定していたルーターBのWAN側宛のスタティックルートを削除
- バックアップ回線(ppp0)側に設定していたルーターBのLAN側宛のスタティックルートを削除
ADD SCRIPT=pingu.scp TEXT="DISABLE IPSEC" ↓
ADD SCRIPT=pingu.scp TEXT="DISABLE ISAKMP" ↓
ADD SCRIPT=pingu.scp TEXT="DISABLE ppp=0" ↓
ADD SCRIPT=pingu.scp TEXT="DELETE IP ROUTE=200.100.20.1 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0" ↓
ADD SCRIPT=pingu.scp TEXT="DELETE IP ROUTE=192.168.20.0 MASK=255.255.255.0 INTERFACE=ppp0 NEXTHOP=0.0.0.0" ↓
- トリガー機能を有効にします。
- PingポーリングによりデバイスのUPを検出すると、先に作成したスクリプト「pingu.scp」を実行するトリガー「4」を作成します。
CREATE TRIGGER=4 MODULE=PING EVENT=DEVICEUP POLL=1 SCRIPT=pingu.scp ↓
- PingポーリングによりデバイスのDOWNを検出すると、先に作成したスクリプト「pingd.scp」を実行するトリガー「5」を作成します。
CREATE TRIGGER=5 MODULE=PING EVENT=DEVICEDOWN POLL=1 SCRIPT=pingd.scp ↓
- セキュリティーレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- セキュリティーモードで管理設定を行うことができるSecurity Officerレベルのユーザーを作成します。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
- eth0インターフェース上にppp0インターフェースを作成します。ここでは、サービス名に「ANY」を設定しています。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISPに接続するためのユーザー名とパスワードを指定します。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 BAP=OFF USERNAME=user@isp PASSWORD=isppasswd ↓
- リンク状態の監視にLCP Echoパケットを使用するため、LQRを「OFF」、ECHOを「ON」に設定します。
SET PPP=0 OVER=eth0-ANY LQR=OFF ECHO=ON ↓
- メイン回線に障害が発生しているときのみ本回線を確立するため、初期状態ではppp0インターフェースを無効状態にします。
- IPモジュールを有効にします。
- LAN側インターフェース(vlan1)にIPアドレス「192.168.20.1/24」を設定します。
ADD IP INTERFACE=vlan1 IPADDRESS=192.168.20.1 MASK=255.255.255.0 ↓
- ppp0インターフェースのIPアドレスを「200.100.20.1/32」に設定します。
ADD IP INTERFACE=ppp0 IPADDRESS=200.100.20.1 MASK=255.255.255.255 ↓
- ETH側インターフェース(eth0)にIPアドレス「172.16.0.2/24」を設定します。
ADD IP INTERFACE=eth0 IPADDRESS=172.16.0.2 MASK=255.255.255.0 ↓
- ETH側インターフェース(eth0)でRIP Version 2(RIP2)の送受信を有効にします。
ADD IP RIP INT=eth0 SEND=RIP2 RECEIVE=RIP2 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールポリシーを作成します。ここでは、ポリシー名を「net」としています。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/EchoReply)とUnreachableのみ通過させるように設定します。
ENABLE FIREWALL POLICY=net ICMP_FORWARDING=PING,UNREACH ↓
- identプロキシー機能を無効にします。identプロキシーは、FIREWALL有効時に、外部から内部へのident要求に対して代理応答する機能です。無効に設定した場合、ident接続要求に対してRSTを返し、TCPコネクションをただちに終了させます。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォール適用対象の各インターフェースを設定します。
ADD FIREWALL POLICY=net INTERFACE=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INTERFACE=eth0 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INTERFACE=ppp0 TYPE=PUBLIC ↓
- ルーターAから受信したIKEパケット(UDP500番ポート)がファイアウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 ACTION=ALLOW INTERFACE=ppp0 PROTOCOL=UDP PORT=500 IP=200.100.20.1 ↓
- ルーターAのWAN側インターフェース(eth0)を監視対象としてPingポーリングの設定をします。ここでは、PingポーリングIDを「1」に設定しています。NORMALINTERVALは監視対象機器がUPのときのポーリング間隔(秒)、UPCOUNTは機器の状態が「Down」「Critical Down」から「UP」に戻るのに必要な連続した「応答あり」の数です。SAMPLESIZEは、到達性判断のために保持しておくPingパケットの数です。ここではNORMALINTERVALを「10」、UPCOUNTを「5」、SAMPLESIZEを「10」に設定しています。
ADD PING POLL=1 IPADDRESS=172.16.0.1 NORMALINTERVAL=10 UPCOUNT=5 SAMPLESIZE=10 ↓
- Pingポーリングを有効にします。ここでは、PingポーリングIDを「1」に設定しています。
- ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは、鍵番号を「1」、鍵の値を「secret」に設定します。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYとして前の手順で作成した事前共有鍵(鍵番号「1」)、PEERにルーターAのIPアドレスを指定します。
CREATE ISAKMP POLICY="i" PEER=200.100.10.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
- IPsec通信の使用を定義するSAスペック「1」を作成します。トンネルモード、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
- 作成したSAスペック「1」のみを使用して、SAバンドルスペック「1」を構成します。鍵管理方式には「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージを通過させる設定を行ってください。IPsecポリシーは設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意してください。ポリシーの検索順序はSHOW IPSEC POLICYコマンドで確認できます。また、検索順序を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- 実際のIPsec通信に使用するIPsecポリシー「vpn」をppp0インターフェースに対して作成します。鍵管理方式に「ISAKMP」、PEERにはルーターAのIPアドレス、バンドルスペックに「1」を指定します。
CREATE IPSEC POLICY="vpn" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1 ↓
- IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を使用してください。
SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
- スクリプト「pingd.scp」を作成します。pingd.scpは、以下を実行するものです。
- ルーターAのLAN側宛のパケットが、バックアップ回線(ppp0)経由で送信されるようにスタティックルートを追加
- ルーターAのWAN側宛のパケットが、バックアップ回線(ppp0)経由で送信されるようにスタティックルートを追加
- ppp0の確立
- ISAKMPの有効化
- IPsecの有効化
ADD SCRIPT=pingd.scp TEXT="ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INTERFACE=ppp0 NEXTHOP=0.0.0.0" ↓
ADD SCRIPT=pingd.scp TEXT="ADD IP ROUTE=200.100.10.1 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0" ↓
ADD SCRIPT=pingd.scp TEXT="ENABLE ppp=0" ↓
ADD SCRIPT=pingd.scp TEXT="ENABLE ISAKMP" ↓
ADD SCRIPT=pingd.scp TEXT="ENABLE IPSEC" ↓
Note
- ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド(内蔵フルスクリーンエディター)などを使って設定スクリプトファイル(.CFG)にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。
- スクリプト「pingu.scp」を作成します。
- IPsecの無効化
- ISAKMPの無効化
- ppp0の切断
- バックアップ回線(ppp0)側に設定していたルーターAのWAN側宛のスタティックルートを削除
- バックアップ回線(ppp0)側に設定していたルーターAのLAN側宛のスタティックルートを削除
ADD SCRIPT=pingu.scp TEXT="DISABLE IPSEC" ↓
ADD SCRIPT=pingu.scp TEXT="DISABLE ISAKMP" ↓
ADD SCRIPT=pingu.scp TEXT="DISABLE ppp=0" ↓
ADD SCRIPT=pingu.scp TEXT="DELETE IP ROUTE=200.100.10.1 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0" ↓
ADD SCRIPT=pingu.scp TEXT="DELETE IP ROUTE=192.168.10.0 MASK=255.255.255.0 INTERFACE=ppp0 NEXTHOP=0.0.0.0" ↓
- トリガー機能を有効にします。
- PingポーリングによりデバイスのUPを検出すると、先に作成したスクリプト「pingu.scp」を実行するトリガー「4」を作成します。
CREATE TRIGGER=4 MODULE=PING EVENT=DEVICEUP POLL=1 SCRIPT=pingu.scp ↓
- PingポーリングによりデバイスのDOWNを検出すると、先に作成したスクリプト「pingd.scp」を実行するトリガー「5」を作成します。
CREATE TRIGGER=5 MODULE=PING EVENT=DEVICEDOWN POLL=1 SCRIPT=pingd.scp ↓
- セキュリティーレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。
たとえば、ネットワーク192.168.10.0/24、192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
ADD USER RSO IP=192.168.20.0 MASK=255.255.255.0 ↓
■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行ったあと、セキュリティーモードに変更することをおすすめします。
■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜3600(秒)を指定します。デフォルトは60秒です。
SET USER SECUREDELAY=300 ↓
ルーターAのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 BAP=OFF USERNAME=user@isp PASSWORD=isppasswd ↓
SET PPP=0 OVER=eth0-ANY LQR=OFF ECHO=ON ↓
DISABLE PPP=0 ↓
ENABLE IP ↓
ADD IP INTERFACE=vlan1 IPADDRESS=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INTERFACE=ppp0 IPADDRESS=200.100.10.1 MASK=255.255.255.255 ↓
ADD IP INTERFACE=eth0 IPADDRESS=172.16.0.1 MASK=255.255.255.0 ↓
ADD IP RIP INT=eth0 SEND=RIP2 RECEIVE=RIP2 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_FORWARDING=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INTERFACE=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INTERFACE=eth0 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INTERFACE=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net RULE=1 ACTION=ALLOW INTERFACE=ppp0 PROTOCOL=UDP PORT=500 IP=200.100.10.1 ↓
ADD PING POLL=1 IPADDRESS=172.16.0.2 NORMALINTERVAL=10 UPCOUNT=5 SAMPLESIZE=10 ↓
ENABLE PING POLL=1 ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY="i" PEER=200.100.20.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.20.1 ↓
SET IPSEC POLICY="vpn" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
ENABLE TRIGGER ↓
CREATE TRIGGER=4 MODULE=PING EVENT=DEVICEUP POLL=1 SCRIPT=pingu.scp ↓
CREATE TRIGGER=5 MODULE=PING EVENT=DEVICEDOWN POLL=1 SCRIPT=pingd.scp ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
スクリプト「pingd.scp」
[テキスト版]
ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INTERFACE=ppp0 NEXTHOP=0.0.0.0 ↓
ADD IP ROUTE=200.100.20.1 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE ppp=0 ↓
ENABLE ISAKMP ↓
ENABLE IPSEC ↓
|
スクリプト「pingu.scp」
[テキスト版]
DISABLE IPSEC ↓
DISABLE ISAKMP ↓
DISABLE ppp=0 ↓
DELETE IP ROUTE=200.100.20.1 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0 ↓
DELETE IP ROUTE=192.168.20.0 MASK=255.255.255.0 INTERFACE=ppp0 NEXTHOP=0.0.0.0 ↓
|
ルーターBのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 BAP=OFF USERNAME=user@isp PASSWORD=isppasswd ↓
SET PPP=0 OVER=eth0-ANY LQR=OFF ECHO=ON ↓
DISABLE PPP=0 ↓
ENABLE IP ↓
ADD IP INTERFACE=vlan1 IPADDRESS=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INTERFACE=ppp0 IPADDRESS=200.100.20.1 MASK=255.255.255.255 ↓
ADD IP INTERFACE=eth0 IPADDRESS=172.16.0.2 MASK=255.255.255.0 ↓
ADD IP RIP INT=eth0 SEND=RIP2 RECEIVE=RIP2 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_FORWARDING=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INTERFACE=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INTERFACE=eth0 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INTERFACE=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net RULE=1 ACTION=ALLOW INTERFACE=ppp0 PROTOCOL=UDP PORT=500 IP=200.100.20.1 ↓
ADD PING POLL=1 IPADDRESS=172.16.0.1 NORMALINTERVAL=10 UPCOUNT=5 SAMPLESIZE=10 ↓
ENABLE PING POLL=1 ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY="i" PEER=200.100.10.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1 ↓
SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
ENABLE TRIGGER ↓
CREATE TRIGGER=4 MODULE=PING EVENT=DEVICEUP POLL=1 SCRIPT=pingu.scp ↓
CREATE TRIGGER=5 MODULE=PING EVENT=DEVICEDOWN POLL=1 SCRIPT=pingd.scp ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
スクリプト「pingd.scp」
[テキスト版]
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INTERFACE=ppp0 NEXTHOP=0.0.0.0 ↓
ADD IP ROUTE=200.100.10.1 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE ppp=0 ↓
ENABLE ISAKMP ↓
ENABLE IPSEC ↓
|
スクリプト「pingu.scp」
[テキスト版]
DISABLE IPSEC ↓
DISABLE ISAKMP ↓
DISABLE ppp=0 ↓
DELETE IP ROUTE=200.100.10.1 MASK=255.255.255.255 INTERFACE=ppp0 NEXTHOP=0.0.0.0 ↓
DELETE IP ROUTE=192.168.10.0 MASK=255.255.255.0 INTERFACE=ppp0 NEXTHOP=0.0.0.0 ↓
|
CentreCOM AR550S 設定例集 2.9 #171
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-04 Rev.P
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))