<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR550S 設定例集 2.9 #172

L2TPによるリモートアクセス型VPNを使用したIEEE 802.1qタグ付きパケットのブリッジング(VID判定あり)


センター/リモートオフィス間でL2TPトンネルを構築し、WAN回線経由でIEEE 802.1qタグつきパケットをブリッジします。ルーターはブリッジポートでもVIDをチェックしブリッジ対象に設定されていないVIDのパケットを受信した場合は破棄します。

この例では、ブリッジとして本製品をセンター側(ルーターA)、拠点側(ルーターB)に設置し、CUG回線サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本))を経由したネットワーク構成を例に解説します。
ここでは、次の設定値を想定して説明します。

表 1:グループ管理者から提供された情報
 
ルーターA
ルーターB
PPPユーザー名 userA@cug userB@cug
PPPパスワード cugpasswdA cugpasswdB
IPアドレス(端末型) 172.16.0.1/32 172.16.0.2/32
マネージメントIP 192.168.10.1 192.168.10.2

表 2:L2TPの設定
 
ルーターA
ルーターB
L2TPコール名 remote1 remote1
L2TP終端アドレス 172.16.0.1/32 172.16.0.2/32
L2TPサーバーモード LAC/LNS兼用(BOTH) LAC/LNS兼用(BOTH)
L2TPサーバーパスワード l2tpA l2tpB

また、次のような環境を想定しています。

ルーターAの設定

  1. マルチキャストパケットをL2TPでカプセリングして送受信するために使用する L2TP を有効にします。


  2. L2TPサーバーをLNS/LACの兼用モードで起動します。


  3. 相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。


  4. L2TPコールを定義します。これはISDNにおけるISDNコールに相当するもので、接続先のL2TPサーバーとの間に仮想回線を張るための情報を定義します。CALLには任意の名前を、REMOTEには相手側で定義されているL2TPコールの名前を指定します。 LAN間接続の場合、TYPEにはVIRTUALを指定します。IPは接続先のL2TPルーター、PRECEDENCEは優先する呼の方向です。また、相手側にL2TPパスワードが設定されている場合は、PASSWORDパラメーターで接続パスワードを指定します。


  5. WAN側Ethernetインターフェース(eth0)上にCUGサービス接続用のPPPインターフェースを作成します。
    「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  6. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  7. L2TPコール上にPPPインターフェースを作成します。 CREATE PPPコマンドでL2TPコールを物理インターフェースとして指定するときは、L2TPコール名の前に「TNL-」を付けます。


  8. VLAN10、VLAN20、VLAN30を作成し、VLANインターフェースのポート4をTagポートとして割り当てます。


  9. ブリッジモジュールを有効にします。


  10. タグを取らずにブリッジするように設定します。


  11. L2TP上のPPPインターフェース(ppp11)にブリッジポートを作成します。


  12. 作成したVLANとブリッジポートが通信できるように設定します。


  13. IPモジュールを有効にします。


  14. CUGサービス接続用のWAN側(ppp0)インターフェースにIPアドレス「172.16.0.1/32」を設定します。


  15. マネージメント用IPをVLAN10に設定します。これによりリモートからの本製品へのアクセスが可能になります。


  16. デフォルトルートを設定します。


  17. 外部からのマネージメントIPへのアクセスを制限するため、ファイアウォール機能を有効にします。


  18. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。


  19. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。

    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

  20. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。


  21. ファイアウォールポリシーの適用対象となるインターフェースを指定します。WAN側(ppp0)インターフェースをPUBLIC(外部)に設定します。


  22. マネージメント用のVLAN10インターフェースをPRIVATE(内部)に設定します。


  23. ルーターのWAN側インターフェース(ppp0)宛に送られてきたL2TPパケットを許可します。


  24. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

ルーターBの設定


  1. マルチキャストパケットをL2TPでカプセリングして送受信するために使用する L2TP を有効にします。


  2. L2TPサーバーをLNS/LACの兼用モードで起動します。


  3. 相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。


  4. L2TPコールを定義します。これはISDNにおけるISDNコールに相当するもので、接続先のL2TPサーバーとの間に仮想回線を張るための情報を定義します。CALLには任意の名前を、REMOTEには相手側で定義されているL2TPコールの名前を指定します。 LAN間接続の場合、TYPEにはVIRTUALを指定します。IPは接続先のL2TPルーター、PRECEDENCEは優先する呼の方向です。また、相手側にL2TPパスワードが設定されている場合は、PASSWORDパラメーターで接続パスワードを指定します。


  5. WAN側Ethernetインターフェース(eth0)上にCUGサービス接続用のPPPインターフェースを作成します。
    「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  6. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  7. L2TPコール上にPPPインターフェースを作成します。 CREATE PPPコマンドでL2TPコールを物理インターフェースとして指定するときは、L2TPコール名の前に「TNL-」を付けます。


  8. VLAN10、VLAN20、VLAN30を作成し、VLANインターフェースのポート4をTagポートとして割り当てます。


  9. ブリッジモジュールを有効にします。


  10. タグを取らずにブリッジするように設定します。


  11. L2TP上のPPPインターフェース(ppp11)にブリッジポートを作成します。


  12. 作成したVLANとブリッジポートが通信できるように設定します。


  13. IPモジュールを有効にします。


  14. CUGサービス接続用のWAN側(ppp0)インターフェースにIPアドレス「172.16.0.2/32」を設定します。


  15. マネージメント用IPをVLAN10に設定します。これによりリモートからの本製品へのアクセスが可能になります。


  16. デフォルトルートを設定します。


  17. 外部からのマネージメントIPへのアクセスを制限するため、ファイアウォール機能を有効にします。


  18. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。


  19. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。

    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

  20. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。


  21. ファイアウォールポリシーの適用対象となるインターフェースを指定します。WAN側(ppp0)インターフェースをPUBLIC(外部)に設定します。


  22. マネージメント用のVLAN10インターフェースをPRIVATE(内部)に設定します。


  23. ルーターのWAN側インターフェース(ppp0)宛に送られてきたL2TPパケットを許可します。


  24. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

メモ

■ 本構成でルーターと接続するスイッチ製品の設定例は以下のようになります。
FS926M-PS-A、FS926M-PS-B(ファームウェア1.5.0B05の場合)

■ Bridge 対象のインターフェースとして指定できる WAN 側のインターフェースは 1つまでのため、この構成は複数拠点が存在する環境では利用できません。

まとめ

ルーターAのコンフィグ [テキスト版]
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
ADD L2TP PASSWORD=l2tpA
ADD L2TP CALL=remote1 REMOTE=remote1 TYPE=VIRTUAL IP=172.16.0.2 PRECEDENCE=IN PASSWORD=l2tpB
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY BAP=OFF USER=userA@cug PASSWORD=cugpasswdA LQR=OFF ECHO=ON
CREATE PPP=11 OVER=TNL-remote1 IDLE=99999999 BAP=OFF LQR=OFF
CREATE VLAN=VLAN10 VID=10
CREATE VLAN=VLAN20 VID=20
CREATE VLAN=VLAN30 VID=30
ADD VLAN=10 PO=4 FRAME=TAG
ADD VLAN=20 PO=4 FRAME=TAG
ADD VLAN=30 PO=4 FRAME=TAG
ENABLE BRIDGE
SET BRIDGE STRIPVLANTAG=NO
ADD BRIDGE PORT=1 INT=ppp11
ADD VLAN=10 BRIDGE
ADD VLAN=20 BRIDGE
ADD VLAN=30 BRIDGE
ENABLE IP
ADD IP INT=ppp0 IP=172.16.0.1 MASK=255.255.255.255
ADD IP INT=vlan10 IP=192.168.10.1 MASK=255.255.255.0
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net INT=vlan10 TYPE=PRIVATE
ADD FIREWALL POLICY="net" RULE=1 AC=ALLOW INTERFACE=PPP0 PROTOCOL=UDP PORT=1701
SET FIREWALL POLICY="net" RULE=1 IP=172.16.0.1


ルーターBのコンフィグ [テキスト版]
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
ADD L2TP PASSWORD=l2tpB
ADD L2TP CALL=remote1 REMOTE=remote1 TYPE=VIRTUAL IP=172.16.0.1 PRECEDENCE=OUT PASSWORD=l2tpA
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY BAP=OFF USER=userB@cug PASSWORD=cugpasswdB LQR=OFF ECHO=ON
CREATE PPP=11 OVER=TNL-remote1 IDLE=99999999 BAP=OFF LQR=OFF
CREATE VLAN=VLAN10 VID=10
CREATE VLAN=VLAN20 VID=20
CREATE VLAN=VLAN30 VID=30
ADD VLAN=10 PO=4 FRAME=TAG
ADD VLAN=20 PO=4 FRAME=TAG
ADD VLAN=30 PO=4 FRAME=TAG
ENABLE BRIDGE
SET BRIDGE STRIPVLANTAG=NO
ADD BRIDGE PORT=1 INT=ppp11
ADD VLAN=10 BRIDGE
ADD VLAN=20 BRIDGE
ADD VLAN=30 BRIDGE
ENABLE IP
ADD IP INT=ppp0 IP=172.16.0.2 MASK=255.255.255.255
ADD IP INT=vlan10 IP=192.168.10.2 MASK=255.255.255.0
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net INT=vlan10 TYPE=PRIVATE
ADD FIREWALL POLICY="net" RULE=1 AC=ALLOW INTERFACE=PPP0 PROTOCOL=UDP PORT=1701
SET FIREWALL POLICY="net" RULE=1 IP=172.16.0.2





CentreCOM AR550S 設定例集 2.9 #172

(C) 2005-2014 アライドテレシスホールディングス株式会社

PN: J613-M0710-04 Rev.P

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)