<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR550S 設定例集 2.9 #172
L2TPによるリモートアクセス型VPNを使用したIEEE 802.1qタグ付きパケットのブリッジング(VID判定あり)
センター/リモートオフィス間でL2TPトンネルを構築し、WAN回線経由でIEEE 802.1qタグつきパケットをブリッジします。ルーターはブリッジポートでもVIDをチェックしブリッジ対象に設定されていないVIDのパケットを受信した場合は破棄します。
この例では、ブリッジとして本製品をセンター側(ルーターA)、拠点側(ルーターB)に設置し、CUG回線サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本))を経由したネットワーク構成を例に解説します。
ここでは、次の設定値を想定して説明します。
表 1:グループ管理者から提供された情報
|
ルーターA |
ルーターB |
PPPユーザー名 |
userA@cug |
userB@cug |
PPPパスワード |
cugpasswdA |
cugpasswdB |
IPアドレス(端末型) |
172.16.0.1/32 |
172.16.0.2/32 |
マネージメントIP |
192.168.10.1 |
192.168.10.2 |
表 2:L2TPの設定
|
ルーターA |
ルーターB |
L2TPコール名 |
remote1 |
remote1 |
L2TP終端アドレス |
172.16.0.1/32 |
172.16.0.2/32 |
L2TPサーバーモード |
LAC/LNS兼用(BOTH) |
LAC/LNS兼用(BOTH) |
L2TPサーバーパスワード |
l2tpA |
l2tpB |
また、次のような環境を想定しています。
- 設定するVLANは3つ
- インターネット接続は行わない
- リモートから本製品へのTelnet経由のアクセスを行う
- マルチキャストパケットをL2TPでカプセリングして送受信するために使用する L2TP を有効にします。
- L2TPサーバーをLNS/LACの兼用モードで起動します。
ENABLE L2TP SERVER=BOTH ↓
- 相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。
ADD L2TP PASSWORD=l2tpA ↓
- L2TPコールを定義します。これはISDNにおけるISDNコールに相当するもので、接続先のL2TPサーバーとの間に仮想回線を張るための情報を定義します。CALLには任意の名前を、REMOTEには相手側で定義されているL2TPコールの名前を指定します。 LAN間接続の場合、TYPEにはVIRTUALを指定します。IPは接続先のL2TPルーター、PRECEDENCEは優先する呼の方向です。また、相手側にL2TPパスワードが設定されている場合は、PASSWORDパラメーターで接続パスワードを指定します。
ADD L2TP CALL=remote1 REMOTE=remote1 TYPE=VIRTUAL IP=172.16.0.2 PRECEDENCE=IN PASSWORD=l2tpB ↓
- WAN側Ethernetインターフェース(eth0)上にCUGサービス接続用のPPPインターフェースを作成します。
「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY BAP=OFF USER=userA@cug PASSWORD=cugpasswdA LQR=OFF ECHO=ON ↓
- L2TPコール上にPPPインターフェースを作成します。 CREATE PPPコマンドでL2TPコールを物理インターフェースとして指定するときは、L2TPコール名の前に「TNL-」を付けます。
CREATE PPP=11 OVER=TNL-remote1 IDLE=99999999 BAP=OFF LQR=OFF ↓
- VLAN10、VLAN20、VLAN30を作成し、VLANインターフェースのポート4をTagポートとして割り当てます。
CREATE VLAN=VLAN10 VID=10 ↓
CREATE VLAN=VLAN20 VID=20 ↓
CREATE VLAN=VLAN30 VID=30 ↓
ADD VLAN=10 PO=4 FRAME=TAG ↓
ADD VLAN=20 PO=4 FRAME=TAG ↓
ADD VLAN=30 PO=4 FRAME=TAG ↓
- ブリッジモジュールを有効にします。
- タグを取らずにブリッジするように設定します。
SET BRIDGE STRIPVLANTAG=NO ↓
- L2TP上のPPPインターフェース(ppp11)にブリッジポートを作成します。
ADD BRIDGE PORT=1 INT=ppp11 ↓
- 作成したVLANとブリッジポートが通信できるように設定します。
ADD VLAN=10 BRIDGE ↓
ADD VLAN=20 BRIDGE ↓
ADD VLAN=30 BRIDGE ↓
- IPモジュールを有効にします。
- CUGサービス接続用のWAN側(ppp0)インターフェースにIPアドレス「172.16.0.1/32」を設定します。
ADD IP INT=ppp0 IP=172.16.0.1 MASK=255.255.255.255 ↓
- マネージメント用IPをVLAN10に設定します。これによりリモートからの本製品へのアクセスが可能になります。
ADD IP INT=vlan10 IP=192.168.10.1 MASK=255.255.255.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- 外部からのマネージメントIPへのアクセスを制限するため、ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。WAN側(ppp0)インターフェースをPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- マネージメント用のVLAN10インターフェースをPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan10 TYPE=PRIVATE ↓
- ルーターのWAN側インターフェース(ppp0)宛に送られてきたL2TPパケットを許可します。
ADD FIREWALL POLICY="net" RULE=1 AC=ALLOW INTERFACE=PPP0 PROTOCOL=UDP PORT=1701 ↓
SET FIREWALL POLICY="net" RULE=1 IP=172.16.0.1 ↓
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- マルチキャストパケットをL2TPでカプセリングして送受信するために使用する L2TP を有効にします。
- L2TPサーバーをLNS/LACの兼用モードで起動します。
ENABLE L2TP SERVER=BOTH ↓
- 相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。
ADD L2TP PASSWORD=l2tpB ↓
- L2TPコールを定義します。これはISDNにおけるISDNコールに相当するもので、接続先のL2TPサーバーとの間に仮想回線を張るための情報を定義します。CALLには任意の名前を、REMOTEには相手側で定義されているL2TPコールの名前を指定します。 LAN間接続の場合、TYPEにはVIRTUALを指定します。IPは接続先のL2TPルーター、PRECEDENCEは優先する呼の方向です。また、相手側にL2TPパスワードが設定されている場合は、PASSWORDパラメーターで接続パスワードを指定します。
ADD L2TP CALL=remote1 REMOTE=remote1 TYPE=VIRTUAL IP=172.16.0.1 PRECEDENCE=OUT PASSWORD=l2tpA ↓
- WAN側Ethernetインターフェース(eth0)上にCUGサービス接続用のPPPインターフェースを作成します。
「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY BAP=OFF USER=userB@cug PASSWORD=cugpasswdB LQR=OFF ECHO=ON ↓
- L2TPコール上にPPPインターフェースを作成します。 CREATE PPPコマンドでL2TPコールを物理インターフェースとして指定するときは、L2TPコール名の前に「TNL-」を付けます。
CREATE PPP=11 OVER=TNL-remote1 IDLE=99999999 BAP=OFF LQR=OFF ↓
- VLAN10、VLAN20、VLAN30を作成し、VLANインターフェースのポート4をTagポートとして割り当てます。
CREATE VLAN=VLAN10 VID=10 ↓
CREATE VLAN=VLAN20 VID=20 ↓
CREATE VLAN=VLAN30 VID=30 ↓
ADD VLAN=10 PO=4 FRAME=TAG ↓
ADD VLAN=20 PO=4 FRAME=TAG ↓
ADD VLAN=30 PO=4 FRAME=TAG ↓
- ブリッジモジュールを有効にします。
- タグを取らずにブリッジするように設定します。
SET BRIDGE STRIPVLANTAG=NO ↓
- L2TP上のPPPインターフェース(ppp11)にブリッジポートを作成します。
ADD BRIDGE PORT=1 INT=ppp11 ↓
- 作成したVLANとブリッジポートが通信できるように設定します。
ADD VLAN=10 BRIDGE ↓
ADD VLAN=20 BRIDGE ↓
ADD VLAN=30 BRIDGE ↓
- IPモジュールを有効にします。
- CUGサービス接続用のWAN側(ppp0)インターフェースにIPアドレス「172.16.0.2/32」を設定します。
ADD IP INT=ppp0 IP=172.16.0.2 MASK=255.255.255.255 ↓
- マネージメント用IPをVLAN10に設定します。これによりリモートからの本製品へのアクセスが可能になります。
ADD IP INT=vlan10 IP=192.168.10.2 MASK=255.255.255.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- 外部からのマネージメントIPへのアクセスを制限するため、ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。WAN側(ppp0)インターフェースをPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- マネージメント用のVLAN10インターフェースをPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan10 TYPE=PRIVATE ↓
- ルーターのWAN側インターフェース(ppp0)宛に送られてきたL2TPパケットを許可します。
ADD FIREWALL POLICY="net" RULE=1 AC=ALLOW INTERFACE=PPP0 PROTOCOL=UDP PORT=1701 ↓
SET FIREWALL POLICY="net" RULE=1 IP=172.16.0.2 ↓
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
■ 本構成でルーターと接続するスイッチ製品の設定例は以下のようになります。
FS926M-PS-A、FS926M-PS-B(ファームウェア1.5.0B05の場合)
create vlan=vlan10 vid=10 ↓
add vlan=vlan10 port=2-8 frame=untagged ↓
add vlan=vlan10 port=1 frame=tagged ↓
create vlan=vlan20 vid=20 ↓
add vlan=vlan20 port=9-16 frame=untagged ↓
add vlan=vlan20 port=1 frame=tagged ↓
create vlan=vlan30 vid=30 ↓
add vlan=vlan30 port=17-24 frame=untagged ↓
add vlan=vlan30 port=1 frame=tagged ↓
■ Bridge 対象のインターフェースとして指定できる WAN 側のインターフェースは 1つまでのため、この構成は複数拠点が存在する環境では利用できません。
ルーターAのコンフィグ
[テキスト版]
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
ADD L2TP PASSWORD=l2tpA ↓
ADD L2TP CALL=remote1 REMOTE=remote1 TYPE=VIRTUAL IP=172.16.0.2 PRECEDENCE=IN PASSWORD=l2tpB ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF USER=userA@cug PASSWORD=cugpasswdA LQR=OFF ECHO=ON ↓
CREATE PPP=11 OVER=TNL-remote1 IDLE=99999999 BAP=OFF LQR=OFF ↓
CREATE VLAN=VLAN10 VID=10 ↓
CREATE VLAN=VLAN20 VID=20 ↓
CREATE VLAN=VLAN30 VID=30 ↓
ADD VLAN=10 PO=4 FRAME=TAG ↓
ADD VLAN=20 PO=4 FRAME=TAG ↓
ADD VLAN=30 PO=4 FRAME=TAG ↓
ENABLE BRIDGE ↓
SET BRIDGE STRIPVLANTAG=NO ↓
ADD BRIDGE PORT=1 INT=ppp11 ↓
ADD VLAN=10 BRIDGE ↓
ADD VLAN=20 BRIDGE ↓
ADD VLAN=30 BRIDGE ↓
ENABLE IP ↓
ADD IP INT=ppp0 IP=172.16.0.1 MASK=255.255.255.255 ↓
ADD IP INT=vlan10 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net INT=vlan10 TYPE=PRIVATE ↓
ADD FIREWALL POLICY="net" RULE=1 AC=ALLOW INTERFACE=PPP0 PROTOCOL=UDP PORT=1701 ↓
SET FIREWALL POLICY="net" RULE=1 IP=172.16.0.1 ↓
|
ルーターBのコンフィグ
[テキスト版]
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
ADD L2TP PASSWORD=l2tpB ↓
ADD L2TP CALL=remote1 REMOTE=remote1 TYPE=VIRTUAL IP=172.16.0.1 PRECEDENCE=OUT PASSWORD=l2tpA ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF USER=userB@cug PASSWORD=cugpasswdB LQR=OFF ECHO=ON ↓
CREATE PPP=11 OVER=TNL-remote1 IDLE=99999999 BAP=OFF LQR=OFF ↓
CREATE VLAN=VLAN10 VID=10 ↓
CREATE VLAN=VLAN20 VID=20 ↓
CREATE VLAN=VLAN30 VID=30 ↓
ADD VLAN=10 PO=4 FRAME=TAG ↓
ADD VLAN=20 PO=4 FRAME=TAG ↓
ADD VLAN=30 PO=4 FRAME=TAG ↓
ENABLE BRIDGE ↓
SET BRIDGE STRIPVLANTAG=NO ↓
ADD BRIDGE PORT=1 INT=ppp11 ↓
ADD VLAN=10 BRIDGE ↓
ADD VLAN=20 BRIDGE ↓
ADD VLAN=30 BRIDGE ↓
ENABLE IP ↓
ADD IP INT=ppp0 IP=172.16.0.2 MASK=255.255.255.255 ↓
ADD IP INT=vlan10 IP=192.168.10.2 MASK=255.255.255.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net INT=vlan10 TYPE=PRIVATE ↓
ADD FIREWALL POLICY="net" RULE=1 AC=ALLOW INTERFACE=PPP0 PROTOCOL=UDP PORT=1701 ↓
SET FIREWALL POLICY="net" RULE=1 IP=172.16.0.2 ↓
|
CentreCOM AR550S 設定例集 2.9 #172
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-04 Rev.P
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))