<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR550S 設定例集 2.9 #173
L2TP+IPsec によるリモートアクセス型 VPN を使用した IEEE 802.1q タグ付きパケットのブリッジング
センター/リモートオフィス間のL2TPトンネルをIPsec(ESP)で暗号化しデータの安全性を確保しつつ、WAN 回線経由でIEEE 802.1q タグ付きパケットをブリッジし、VLAN ネットワークを共有します。
ISPからは次の情報を提供されているものとします。
表 1:ISPから提供された情報
|
ルーターA |
ルーターB |
ルーターC |
PPPユーザー名 |
user@ispA |
user@ispB |
user@ispC |
PPPパスワード |
isppasswdA |
isppasswdB |
isppasswdC |
IPアドレス(固定、自動取得) |
1.1.1.1/32 |
2.2.2.2/32 |
100.100.100.100/32 |
また、L2TP、ブリッジの設定項目は次のとおりです。
表 2:L2TP、ブリッジの設定
|
ルーターA |
ルーターB |
ルーターC |
L2TPコール名 |
base_A |
base_B |
center_A |
center_B |
L2TP終端アドレス |
100.100.100.100 |
100.100.100.100 |
1.1.1.1 |
2.2.2.2 |
L2TP 発着優先 |
発呼優先 |
発呼優先 |
着呼優先 |
着呼優先 |
L2TPサーバーモード |
LAC/LNS兼用(BOTH) |
LAC/LNS兼用(BOTH) |
LAC/LNS兼用(BOTH) |
LAC/LNS兼用(BOTH) |
L2TPサーバーパスワード |
l2tpA |
l2tpB |
l2tpC |
l2tpC |
ブリッジするプロトコル |
IP、ARP |
IP、ARP |
IP、ARP |
IP、ARP |
本設定例ではさらに、ルーターA・C 間およびルーターB・C 間のL2TPトンネルをIPsecで暗号化します。IPsec関連の設定は次のとおりです。トランスポートモードのESPを使って、ルーター間のL2TPパケット(始点・終点UDPポート1701)だけを暗号化します。
表 3:IKE フェーズ1(ISAKMP SA のネゴシエーション)の設定
|
ルーターA・C 間 |
ルーターB・C間 |
ルーター間の認証方式 |
事前共有鍵(pre-shared key) |
事前共有鍵(pre-shared key) |
IKE 交換モード |
Mainモード |
Mainモード |
事前共有鍵 |
secret(文字列) |
secret(文字列) |
Oakleyグループ |
1(デフォルト) |
1(デフォルト) |
ISAKMPメッセージの暗号化方式 |
DES(デフォルト) |
DES(デフォルト) |
ISAKMPメッセージの認証方式 |
SHA1(デフォルト) |
SHA1(デフォルト) |
ISAKMP SAの有効期限(時間) |
86400秒(24時間)(デフォルト) |
86400秒(24時間)(デフォルト) |
ISAKMP SAの有効期限(KByte数) |
なし(デフォルト) |
なし(デフォルト) |
起動時のISAKMPネゴシエーション |
行わない |
行わない |
表 4:IKE フェーズ2(IPsec SA のネゴシエーション)の設定
|
ルーターA・C 間 |
ルーターB・C間 |
SA モード |
トランスポートモード |
トランスポートモード |
セキュリティープロトコル |
ESP(暗号+認証) |
ESP(暗号+認証) |
暗号化方式 |
DES |
DES |
認証方式 |
SHA1 |
SHA1 |
IPsec SAの有効期限(時間) |
28800秒(8時間)(デフォルト) |
28800秒(8時間)(デフォルト) |
IPsec SAの有効期限(KByte数) |
なし(デフォルト) |
なし(デフォルト) |
IPsecの適用対象IPアドレス |
1.1.1.1:1701/UDP ⇔ 100.100.100.100:1701/UDP |
2.2.2.2:1701/UDP ⇔ 100.100.100.100:1701/UDP |
インターネットとの平文通信 |
行わない |
行わない |
なお、本設定例では図に示すとおり、各ルーターの VLAN ポート(ここではポート1とする) にはタグVLAN(802.1Q)に対応したスイッチが接続されており、タグが付いたパケット(VID は10、20とする) が送信されるものとします。
- セキュリティーモードで各種設定を行うことのできる Security Officer レベルのユーザー「secoff」を作成します。パスワードは「secoff」とします。
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER ↓
- L2TP モジュールを有効にします。
- L2TP サーバーを BOTH モードで起動します。
ENABLE L2TP SERVER=BOTH ↓
- 相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。
ADD L2TP PASSWORD=l2tpA ↓
- L2TPコールを定義します。ここでは、コール名に「base_A」、対向ルーター(ルーターC)の呼の名前に「center_A」、接続先のIPアドレスに「100.100.100.100」、対向ルーターの呼の種類に「VIRTUAL」、対向ルーター(ルーターC)のL2TPサーバーパスワードに「l2tpC」、発呼優先に設定しています。
ADD L2TP CALL=base_A REMOTE=center_A IP=100.100.100.100 TYPE=VIRTUAL PASSWORD=l2tpC PRECEDENCE=OUT ↓
- VLAN 10(VID=10)を作成します。
CREATE VLAN=vlan10 VID=10 ↓
- LAN ポート1をVLAN 10 のタグ付きポートに設定します。
ADD VLAN=10 PORT=1 FRAME=TAGGED ↓
- VLAN 20(VID=20)を作成します。
CREATE VLAN=vlan20 VID=20 ↓
- LAN ポート1をVLAN 20 のタグ付きポートに設定します。
ADD VLAN=20 PORT=1 FRAME=TAGGED ↓
- LAN ポート1を default VLANから削除します。
DELETE VLAN=default PORT=1 ↓
- WAN 側 Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISP から通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN 向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USERNAME="user@ispA" PASSWORD="isppasswdA" LQR=OFF ECHO=ON ↓
- L2TPコール「base_A」上にppp10インターフェースを作成します。
CREATE PPP=10 OVER=TNL-base_A ↓
- ppp10インターフェースの各種動作パラメーターを設定します。
SET PPP=10 OVER=TNL-base_A IDLE=86400 LQR=OFF BAP=OFF ↓
- IPモジュールを有効にします。
- IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。
- WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません(ISPから1.1.1.1が与えられることを想定しています)。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ブリッジモジュールを有効にします。
- 各インターフェースにブリッジポートを作成します。
ADD BRIDGE PORT=1 INT=vlan10 ↓
ADD BRIDGE PORT=2 INT=vlan20 ↓
ADD BRIDGE PORT=3 INT=ppp10 ↓
- ブリッジするプロトコルを指定します。ここでは IP と ARP をブリッジ対象にします。
ADD BRIDGE PROTOCOL TYPE="IP" ↓
ADD BRIDGE PROTOCOL TYPE="ARP" ↓
- ブリッジする際にタグを取り外さないように STRIPVLANTAG をオフにします。
SET BRIDGE STRIPVLANTAG=NO ↓
- ブリッジフィルター「1」を作成し、LAN ポート1で受信した VLAN 10、VLAN 20 タグ付きパケットをブリッジポート「3」に転送するように設定します。
ADD BRIDGE FILTER=1 PORT=3 ↓
- ブリッジポート「1」にブリッジフィルター「1」を適用します。
SET BRIDGE PORT=1 FILTER=1 ↓
- ブリッジポート「2」にブリッジフィルター「1」を適用します。
SET BRIDGE PORT=2 FILTER=1 ↓
Note
- ブリッジフィルターはブリッジポートに適用して初めて効果を持ちます。フィルタリングはパケット受信時に行われるため、受信ポートにフィルターを適用します。
- ISAKMP 用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターCと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターCとの IKE ネゴシエーション要求を受け入れる ISAKMP ポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEER には対向ルーターのIPアドレスを指定します。
CREATE ISAKMP POLICY="i" PEER=100.100.100.100 KEY=1 SENDN=TRUE HEAR=BOTH ↓
- IPsec 通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターの UDP1701番ポート宛に送受信されるL2TPパケットだけを暗号化する形になります。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- L2TPパケットを暗号化するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターC のIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、RPORTで対象となるパケットの条件を指定します。
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=100.100.100.100 ↓
SET IPSEC POLICY="vpn" LAD=1.1.1.1 LPORT=1701 RAD=100.100.100.100 RPORT=1701 TRANSPORT=UDP ↓
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- セキュリティーモードで各種設定を行うことのできる Security Officer レベルのユーザー「secoff」を作成します。パスワードは「secoff」とします。
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER ↓
- L2TP モジュールを有効にします。
- L2TP サーバーを BOTH モードで起動します。
ENABLE L2TP SERVER=BOTH ↓
- 相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。
ADD L2TP PASSWORD=l2tpB ↓
- L2TPコールを定義します。ここでは、コール名に「base_B」、対向ルーター(ルーターC)の呼の名前に「center_B」、接続先のIPアドレスに「100.100.100.100」、対向ルーターの呼の種類に「VIRTUAL」、対向ルーター(ルーターC)のL2TPサーバーパスワードに「l2tpC」、発呼優先に設定しています。
ADD L2TP CALL=base_B REMOTE=center_B IP=100.100.100.100 TYPE=VIRTUAL PASSWORD=l2tpC PRECEDENCE=OUT ↓
- VLAN 10(VID=10)を作成します。
CREATE VLAN=vlan10 VID=10 ↓
- LAN ポート1をVLAN 10 のタグ付きポートに設定します。
ADD VLAN=10 PORT=1 FRAME=TAGGED ↓
- VLAN 20(VID=20)を作成します。
CREATE VLAN=vlan20 VID=20 ↓
- LAN ポート1をVLAN 20 のタグ付きポートに設定します。
ADD VLAN=20 PORT=1 FRAME=TAGGED ↓
- LAN ポート1を default VLANから削除します。
DELETE VLAN=default PORT=1 ↓
- WAN 側 Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISP から通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN 向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USERNAME="user@ispB" PASSWORD="isppasswdB" LQR=OFF ECHO=ON ↓
- L2TPコール「base_B」上にppp10インターフェースを作成します。
CREATE PPP=10 OVER=TNL-base_B ↓
- ppp10インターフェースの各種動作パラメーターを設定します。
SET PPP=10 OVER=TNL-base_B IDLE=86400 LQR=OFF BAP=OFF ↓
- IPモジュールを有効にします。
- IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。
- WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません(ISPから2.2.2.2が与えられることを想定しています)。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ブリッジモジュールを有効にします。
- 各インターフェースにブリッジポートを作成します。
ADD BRIDGE PORT=1 INT=vlan10 ↓
ADD BRIDGE PORT=2 INT=vlan20 ↓
ADD BRIDGE PORT=3 INT=ppp10 ↓
- ブリッジするプロトコルを指定します。ここでは IP と ARP をブリッジ対象にします。
ADD BRIDGE PROTOCOL TYPE="IP" ↓
ADD BRIDGE PROTOCOL TYPE="ARP" ↓
- ブリッジする際にタグを取り外さないように STRIPVLANTAG をオフにします。
SET BRIDGE STRIPVLANTAG=NO ↓
- ブリッジフィルター「1」を作成し、LAN ポート1で受信した VLAN 10、VLAN 20 タグ付きパケットをブリッジポート「3」に転送するように設定します。
ADD BRIDGE FILTER=1 PORT=3 ↓
- ブリッジポート「1」にブリッジフィルター「1」を適用します。
SET BRIDGE PORT=1 FILTER=1 ↓
- ブリッジポート「2」にブリッジフィルター「1」を適用します。
SET BRIDGE PORT=2 FILTER=1 ↓
Note
- ブリッジフィルターはブリッジポートに適用して初めて効果を持ちます。フィルタリングはパケット受信時に行われるため、受信ポートにフィルターを適用します。
- ISAKMP 用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターCと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターCとの IKE ネゴシエーション要求を受け入れる ISAKMP ポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEER には対向ルーターのIPアドレスを指定します。
CREATE ISAKMP POLICY="i" PEER=100.100.100.100 KEY=1 SENDN=TRUE HEAR=BOTH ↓
- IPsec 通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターの UDP1701番ポート宛に送受信されるL2TPパケットだけを暗号化する形になります。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- L2TPパケットを暗号化するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターC のIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、RPORTで対象となるパケットの条件を指定します。
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=100.100.100.100 ↓
SET IPSEC POLICY="vpn" LAD=2.2.2.2 LPORT=1701 RAD=100.100.100.100 RPORT=1701 TRANSPORT=UDP ↓
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- セキュリティーモードで各種設定を行うことのできる Security Officer レベルのユーザー「secoff」を作成します。パスワードは「secoff」とします。
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER ↓
- L2TP モジュールを有効にします。
- L2TP サーバーを BOTH モードで起動します。
ENABLE L2TP SERVER=BOTH ↓
- 相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。
ADD L2TP PASSWORD=l2tpC ↓
- ルーターA との接続に使用するL2TPコールを定義します。コール名に「center_A」、対向ルーター(ルーターA)の呼の名前に「base_A」、接続先のIPアドレスに「1.1.1.1」、対向ルーターの呼の種類に「VIRTUAL」、対向ルーター(ルーターA)のL2TPサーバーパスワードに「l2tpA」、着呼優先に設定しています。
ADD L2TP CALL=center_A REMOTE=base_A IP=1.1.1.1 TYPE=VIRTUAL PASSWORD=l2tpA PRECEDENCE=IN ↓
- ルーターB との接続に使用するL2TPコールを定義します。コール名に「center_B」、対向ルーター(ルーターB)の呼の名前に「base_B」、接続先のIPアドレスに「2.2.2.2」、対向ルーターの呼の種類に「VIRTUAL」、対向ルーター(ルーターB)のL2TPサーバーパスワードに「l2tpB」、着呼優先に設定しています。
ADD L2TP CALL=center_B REMOTE=base_B IP=2.2.2.2 TYPE=VIRTUAL PASSWORD=l2tpB PRECEDENCE=IN ↓
- VLAN 10(VID=10)を作成します。
CREATE VLAN=vlan10 VID=10 ↓
- LAN ポート1をVLAN 10 のタグ付きポートに設定します。
ADD VLAN=10 PORT=1 FRAME=TAGGED ↓
- VLAN 20(VID=20)を作成します。
CREATE VLAN=vlan20 VID=20 ↓
- LAN ポート1をVLAN 20 のタグ付きポートに設定します。
ADD VLAN=20 PORT=1 FRAME=TAGGED ↓
- LAN ポート1を default VLANから削除します。
DELETE VLAN=default PORT=1 ↓
- WAN 側 Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY ↓
- ISP から通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN 向けの機能であるBAPはオフにします。
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USERNAME="user@ispC" PASSWORD="isppasswdC" LQR=OFF ECHO=ON ↓
- L2TPコール「center_A」上にppp10インターフェースを作成します。
CREATE PPP=10 OVER=TNL-center_A ↓
- ppp10インターフェースの各種動作パラメーターを設定します。
SET PPP=10 OVER=TNL-center_A IDLE=86400 LQR=OFF BAP=OFF ↓
- L2TPコール「center_B」上にppp11インターフェースを作成します。
CREATE PPP=11 OVER=TNL-center_B ↓
- ppp11インターフェースの各種動作パラメーターを設定します。
SET PPP=11 OVER=TNL-center_B IDLE=86400 LQR=OFF BAP=OFF ↓
- IPモジュールを有効にします。
- IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。
- WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません(ISPから100.100.100.100が与えられることを想定しています)。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ブリッジモジュールを有効にします。
- 各インターフェースにブリッジポートを作成します。
ADD BRIDGE PORT=1 INT=vlan10 ↓
ADD BRIDGE PORT=2 INT=vlan20 ↓
ADD BRIDGE PORT=3 INT=ppp10 ↓
ADD BRIDGE PORT=4 INT=ppp11 ↓
- ブリッジするプロトコルを指定します。ここでは IP と ARP をブリッジ対象にします。
ADD BRIDGE PROTOCOL TYPE="IP" ↓
ADD BRIDGE PROTOCOL TYPE="ARP" ↓
- ブリッジする際にタグを取り外さないように STRIPVLANTAG をオフにします。
SET BRIDGE STRIPVLANTAG=NO ↓
- ブリッジフィルター「1」を作成し、LAN ポート1で受信した VLAN 10、VLAN 20 タグ付きパケットをブリッジポート「3」および「4」に転送するように設定します。
ADD BRIDGE FILTER=1 PORT=3,4 ↓
- ブリッジポート「1」にブリッジフィルター「1」を適用します。
SET BRIDGE PORT=1 FILTER=1 ↓
- ブリッジポート「2」にブリッジフィルター「1」を適用します。
SET BRIDGE PORT=2 FILTER=1 ↓
Note
- ブリッジフィルターはブリッジポートに適用して初めて効果を持ちます。フィルタリングはパケット受信時に行われるため、受信ポートにフィルターを適用します。
- ISAKMP 用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターA、Bと同じに設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note
- CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note
- CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
- ルーターAとの IKE ネゴシエーション要求を受け入れる ISAKMP ポリシー「i_A」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEER には対向ルーターのIPアドレスを指定します。
CREATE ISAKMP POLICY="i_A" PEER=1.1.1.1 KEY=1 SENDN=TRUE HEAR=BOTH ↓
- ルーターBとの IKE ネゴシエーション要求を受け入れる ISAKMP ポリシー「i_B」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEER には対向ルーターのIPアドレスを指定します。
CREATE ISAKMP POLICY="i_B" PEER=2.2.2.2 KEY=1 SENDN=TRUE HEAR=BOTH ↓
- IPsec 通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターの UDP1701番ポート宛に送受信されるL2TPパケットだけを暗号化する形になります。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
- SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note
- ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
- ルーターA・C間のL2TPパケットを暗号化するIPsecポリシー「vpn_A」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターA のIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、RPORTで対象となるパケットの条件を指定します。
CREATE IPSEC POLICY="vpn_A" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=1.1.1.1 ↓
SET IPSEC POLICY="vpn_A" LAD=100.100.100.100 LPORT=1701 RAD=1.1.1.1 RPORT=1701 TRANSPORT=UDP ↓
- ルーターB・C間のL2TPパケットを暗号化するIPsecポリシー「vpn_B」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターB のIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、RPORTで対象となるパケットの条件を指定します。
CREATE IPSEC POLICY="vpn_B" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=2.2.2.2 ↓
SET IPSEC POLICY="vpn_B" LAD=100.100.100.100 LPORT=1701 RAD=2.2.2.2 RPORT=1701 TRANSPORT=UDP ↓
- IPsecモジュールを有効にします。
- ISAKMPモジュールを有効にします。
- Security Officerレベルのユーザーでログインしなおします。
- 動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
ルーターAのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
ADD L2TP PASSWORD=l2tpA ↓
ADD L2TP CALL=base_A REMOTE=center_A IP=100.100.100.100 TYPE=VIRTUAL PASSWORD=l2tpC PRECEDENCE=OUT ↓
CREATE VLAN=vlan10 VID=10 ↓
ADD VLAN=10 PORT=1 FRAME=TAGGED ↓
CREATE VLAN=vlan20 VID=20 ↓
ADD VLAN=20 PORT=1 FRAME=TAGGED ↓
DELETE VLAN=default PORT=1 ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USERNAME="user@ispA" PASSWORD="isppasswdA" LQR=OFF ECHO=ON ↓
CREATE PPP=10 OVER=TNL-base_A ↓
SET PPP=10 OVER=TNL-base_A IDLE=86400 LQR=OFF BAP=OFF ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE BRIDGE ↓
ADD BRIDGE PORT=1 INT=vlan10 ↓
ADD BRIDGE PORT=2 INT=vlan20 ↓
ADD BRIDGE PORT=3 INT=ppp10 ↓
ADD BRIDGE PROTOCOL TYPE="IP" ↓
ADD BRIDGE PROTOCOL TYPE="ARP" ↓
SET BRIDGE STRIPVLANTAG=NO ↓
ADD BRIDGE FILTER=1 PORT=3 ↓
SET BRIDGE PORT=1 FILTER=1 ↓
SET BRIDGE PORT=2 FILTER=1 ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY="i" PEER=100.100.100.100 KEY=1 SENDN=TRUE HEAR=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=100.100.100.100 ↓
SET IPSEC POLICY="vpn" LAD=1.1.1.1 LPORT=1701 RAD=100.100.100.100 RPORT=1701 TRANSPORT=UDP ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN SECOFF ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
ルーターBのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
ADD L2TP PASSWORD=l2tpB ↓
ADD L2TP CALL=base_B REMOTE=center_B IP=100.100.100.100 TYPE=VIRTUAL PASSWORD=l2tpC PRECEDENCE=OUT ↓
CREATE VLAN=vlan10 VID=10 ↓
ADD VLAN=10 PORT=1 FRAME=TAGGED ↓
CREATE VLAN=vlan20 VID=20 ↓
ADD VLAN=20 PORT=1 FRAME=TAGGED ↓
DELETE VLAN=default PORT=1 ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USERNAME="user@ispB" PASSWORD="isppasswdB" LQR=OFF ECHO=ON ↓
CREATE PPP=10 OVER=TNL-base_B ↓
SET PPP=10 OVER=TNL-base_B IDLE=86400 LQR=OFF BAP=OFF ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE BRIDGE ↓
ADD BRIDGE PORT=1 INT=vlan10 ↓
ADD BRIDGE PORT=2 INT=vlan20 ↓
ADD BRIDGE PORT=3 INT=ppp10 ↓
ADD BRIDGE PROTOCOL TYPE="IP" ↓
ADD BRIDGE PROTOCOL TYPE="ARP" ↓
SET BRIDGE STRIPVLANTAG=NO ↓
ADD BRIDGE FILTER=1 PORT=3 ↓
SET BRIDGE PORT=1 FILTER=1 ↓
SET BRIDGE PORT=2 FILTER=1 ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY="i" PEER=100.100.100.100 KEY=1 SENDN=TRUE HEAR=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=100.100.100.100 ↓
SET IPSEC POLICY="vpn" LAD=2.2.2.2 LPORT=1701 RAD=100.100.100.100 RPORT=1701 TRANSPORT=UDP ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN SECOFF ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
ルーターCのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
ADD L2TP PASSWORD=l2tpC ↓
ADD L2TP CALL=center_A REMOTE=base_A IP=1.1.1.1 TYPE=VIRTUAL PASSWORD=l2tpA PRECEDENCE=IN ↓
ADD L2TP CALL=center_B REMOTE=base_B IP=2.2.2.2 TYPE=VIRTUAL PASSWORD=l2tpB PRECEDENCE=IN ↓
CREATE VLAN=vlan10 VID=10 ↓
ADD VLAN=10 PORT=1 FRAME=TAGGED ↓
CREATE VLAN=vlan20 VID=20 ↓
ADD VLAN=20 PORT=1 FRAME=TAGGED ↓
DELETE VLAN=default PORT=1 ↓
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USERNAME="user@ispC" PASSWORD="isppasswdC" LQR=OFF ECHO=ON ↓
CREATE PPP=10 OVER=TNL-center_A ↓
SET PPP=10 OVER=TNL-center_A IDLE=86400 LQR=OFF BAP=OFF ↓
CREATE PPP=11 OVER=TNL-center_B ↓
SET PPP=11 OVER=TNL-center_B IDLE=86400 LQR=OFF BAP=OFF ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE BRIDGE ↓
ADD BRIDGE PORT=1 INT=vlan10 ↓
ADD BRIDGE PORT=2 INT=vlan20 ↓
ADD BRIDGE PORT=3 INT=ppp10 ↓
ADD BRIDGE PORT=4 INT=ppp11 ↓
ADD BRIDGE PROTOCOL TYPE="IP" ↓
ADD BRIDGE PROTOCOL TYPE="ARP" ↓
SET BRIDGE STRIPVLANTAG=NO ↓
ADD BRIDGE FILTER=1 PORT=3,4 ↓
SET BRIDGE PORT=1 FILTER=1 ↓
SET BRIDGE PORT=2 FILTER=1 ↓
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ISAKMP POLICY="i_A" PEER=1.1.1.1 KEY=1 SENDN=TRUE HEAR=BOTH ↓
CREATE ISAKMP POLICY="i_B" PEER=2.2.2.2 KEY=1 SENDN=TRUE HEAR=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn_A" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=1.1.1.1 ↓
SET IPSEC POLICY="vpn_A" LAD=100.100.100.100 LPORT=1701 RAD=1.1.1.1 RPORT=1701 TRANSPORT=UDP ↓
CREATE IPSEC POLICY="vpn_B" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=2.2.2.2 ↓
SET IPSEC POLICY="vpn_B" LAD=100.100.100.100 LPORT=1701 RAD=2.2.2.2 RPORT=1701 TRANSPORT=UDP ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN SECOFF ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
CentreCOM AR550S 設定例集 2.9 #173
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-04 Rev.P
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))