<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR550S 設定例集 2.9 #173

L2TP+IPsec によるリモートアクセス型 VPN を使用した IEEE 802.1q タグ付きパケットのブリッジング


センター/リモートオフィス間のL2TPトンネルをIPsec(ESP)で暗号化しデータの安全性を確保しつつ、WAN 回線経由でIEEE 802.1q タグ付きパケットをブリッジし、VLAN ネットワークを共有します。

ISPからは次の情報を提供されているものとします。

表 1:ISPから提供された情報
 
ルーターA
ルーターB
ルーターC
PPPユーザー名 user@ispA user@ispB user@ispC
PPPパスワード isppasswdA isppasswdB isppasswdC
IPアドレス(固定、自動取得) 1.1.1.1/32 2.2.2.2/32 100.100.100.100/32

また、L2TP、ブリッジの設定項目は次のとおりです。

表 2:L2TP、ブリッジの設定
 
ルーターA
ルーターB
ルーターC
L2TPコール名 base_A base_B center_A center_B
L2TP終端アドレス 100.100.100.100 100.100.100.100 1.1.1.1 2.2.2.2
L2TP 発着優先 発呼優先 発呼優先 着呼優先 着呼優先
L2TPサーバーモード LAC/LNS兼用(BOTH) LAC/LNS兼用(BOTH) LAC/LNS兼用(BOTH) LAC/LNS兼用(BOTH)
L2TPサーバーパスワード l2tpA l2tpB l2tpC l2tpC
ブリッジするプロトコル IP、ARP IP、ARP IP、ARP IP、ARP

本設定例ではさらに、ルーターA・C 間およびルーターB・C 間のL2TPトンネルをIPsecで暗号化します。IPsec関連の設定は次のとおりです。トランスポートモードのESPを使って、ルーター間のL2TPパケット(始点・終点UDPポート1701)だけを暗号化します。

表 3:IKE フェーズ1(ISAKMP SA のネゴシエーション)の設定
 
ルーターA・C 間
ルーターB・C間
ルーター間の認証方式 事前共有鍵(pre-shared key) 事前共有鍵(pre-shared key)
IKE 交換モード Mainモード Mainモード
事前共有鍵 secret(文字列) secret(文字列)
Oakleyグループ 1(デフォルト) 1(デフォルト)
ISAKMPメッセージの暗号化方式 DES(デフォルト) DES(デフォルト)
ISAKMPメッセージの認証方式 SHA1(デフォルト) SHA1(デフォルト)
ISAKMP SAの有効期限(時間) 86400秒(24時間)(デフォルト) 86400秒(24時間)(デフォルト)
ISAKMP SAの有効期限(KByte数) なし(デフォルト) なし(デフォルト)
起動時のISAKMPネゴシエーション 行わない 行わない

表 4:IKE フェーズ2(IPsec SA のネゴシエーション)の設定
 
ルーターA・C 間
ルーターB・C間
SA モード トランスポートモード トランスポートモード
セキュリティープロトコル ESP(暗号+認証) ESP(暗号+認証)
暗号化方式 DES DES
認証方式 SHA1 SHA1
IPsec SAの有効期限(時間) 28800秒(8時間)(デフォルト) 28800秒(8時間)(デフォルト)
IPsec SAの有効期限(KByte数) なし(デフォルト) なし(デフォルト)
IPsecの適用対象IPアドレス 1.1.1.1:1701/UDP ⇔ 100.100.100.100:1701/UDP 2.2.2.2:1701/UDP ⇔ 100.100.100.100:1701/UDP
インターネットとの平文通信 行わない 行わない

なお、本設定例では図に示すとおり、各ルーターの VLAN ポート(ここではポート1とする) にはタグVLAN(802.1Q)に対応したスイッチが接続されており、タグが付いたパケット(VID は10、20とする) が送信されるものとします。

ルーターAの設定

  1. セキュリティーモードで各種設定を行うことのできる Security Officer レベルのユーザー「secoff」を作成します。パスワードは「secoff」とします。


  2. L2TP モジュールを有効にします。


  3. L2TP サーバーを BOTH モードで起動します。


  4. 相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。


  5. L2TPコールを定義します。ここでは、コール名に「base_A」、対向ルーター(ルーターC)の呼の名前に「center_A」、接続先のIPアドレスに「100.100.100.100」、対向ルーターの呼の種類に「VIRTUAL」、対向ルーター(ルーターC)のL2TPサーバーパスワードに「l2tpC」、発呼優先に設定しています。


  6. VLAN 10(VID=10)を作成します。


  7. LAN ポート1をVLAN 10 のタグ付きポートに設定します。


  8. VLAN 20(VID=20)を作成します。


  9. LAN ポート1をVLAN 20 のタグ付きポートに設定します。


  10. LAN ポート1を default VLANから削除します。


  11. WAN 側 Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  12. ISP から通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN 向けの機能であるBAPはオフにします。


  13. L2TPコール「base_A」上にppp10インターフェースを作成します。


  14. ppp10インターフェースの各種動作パラメーターを設定します。


  15. IPモジュールを有効にします。


  16. IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。


  17. WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません(ISPから1.1.1.1が与えられることを想定しています)。


  18. デフォルトルートを設定します。


  19. ブリッジモジュールを有効にします。


  20. 各インターフェースにブリッジポートを作成します。


  21. ブリッジするプロトコルを指定します。ここでは IP と ARP をブリッジ対象にします。


  22. ブリッジする際にタグを取り外さないように STRIPVLANTAG をオフにします。


  23. ブリッジフィルター「1」を作成し、LAN ポート1で受信した VLAN 10、VLAN 20 タグ付きパケットをブリッジポート「3」に転送するように設定します。


  24. ブリッジポート「1」にブリッジフィルター「1」を適用します。


  25. ブリッジポート「2」にブリッジフィルター「1」を適用します。

    Note - ブリッジフィルターはブリッジポートに適用して初めて効果を持ちます。フィルタリングはパケット受信時に行われるため、受信ポートにフィルターを適用します。

  26. ISAKMP 用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターCと同じに設定)。


    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

    Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。

  27. ルーターCとの IKE ネゴシエーション要求を受け入れる ISAKMP ポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEER には対向ルーターのIPアドレスを指定します。


  28. IPsec 通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターの UDP1701番ポート宛に送受信されるL2TPパケットだけを暗号化する形になります。


  29. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。


  30. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。

    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  31. L2TPパケットを暗号化するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターC のIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、RPORTで対象となるパケットの条件を指定します。


  32. IPsecモジュールを有効にします。


  33. ISAKMPモジュールを有効にします。


  34. Security Officerレベルのユーザーでログインしなおします。


  35. 動作モードをセキュリティーモードに切り替えます。

    設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

ルーターBの設定

  1. セキュリティーモードで各種設定を行うことのできる Security Officer レベルのユーザー「secoff」を作成します。パスワードは「secoff」とします。


  2. L2TP モジュールを有効にします。


  3. L2TP サーバーを BOTH モードで起動します。


  4. 相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。


  5. L2TPコールを定義します。ここでは、コール名に「base_B」、対向ルーター(ルーターC)の呼の名前に「center_B」、接続先のIPアドレスに「100.100.100.100」、対向ルーターの呼の種類に「VIRTUAL」、対向ルーター(ルーターC)のL2TPサーバーパスワードに「l2tpC」、発呼優先に設定しています。


  6. VLAN 10(VID=10)を作成します。


  7. LAN ポート1をVLAN 10 のタグ付きポートに設定します。


  8. VLAN 20(VID=20)を作成します。


  9. LAN ポート1をVLAN 20 のタグ付きポートに設定します。


  10. LAN ポート1を default VLANから削除します。


  11. WAN 側 Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  12. ISP から通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN 向けの機能であるBAPはオフにします。


  13. L2TPコール「base_B」上にppp10インターフェースを作成します。


  14. ppp10インターフェースの各種動作パラメーターを設定します。


  15. IPモジュールを有効にします。


  16. IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。


  17. WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません(ISPから2.2.2.2が与えられることを想定しています)。


  18. デフォルトルートを設定します。


  19. ブリッジモジュールを有効にします。


  20. 各インターフェースにブリッジポートを作成します。


  21. ブリッジするプロトコルを指定します。ここでは IP と ARP をブリッジ対象にします。


  22. ブリッジする際にタグを取り外さないように STRIPVLANTAG をオフにします。


  23. ブリッジフィルター「1」を作成し、LAN ポート1で受信した VLAN 10、VLAN 20 タグ付きパケットをブリッジポート「3」に転送するように設定します。


  24. ブリッジポート「1」にブリッジフィルター「1」を適用します。


  25. ブリッジポート「2」にブリッジフィルター「1」を適用します。

    Note - ブリッジフィルターはブリッジポートに適用して初めて効果を持ちます。フィルタリングはパケット受信時に行われるため、受信ポートにフィルターを適用します。

  26. ISAKMP 用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターCと同じに設定)。


    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

    Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。

  27. ルーターCとの IKE ネゴシエーション要求を受け入れる ISAKMP ポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEER には対向ルーターのIPアドレスを指定します。


  28. IPsec 通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターの UDP1701番ポート宛に送受信されるL2TPパケットだけを暗号化する形になります。


  29. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。


  30. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。

    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  31. L2TPパケットを暗号化するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターC のIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、RPORTで対象となるパケットの条件を指定します。


  32. IPsecモジュールを有効にします。


  33. ISAKMPモジュールを有効にします。


  34. Security Officerレベルのユーザーでログインしなおします。


  35. 動作モードをセキュリティーモードに切り替えます。

    設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

ルーターCの設定

  1. セキュリティーモードで各種設定を行うことのできる Security Officer レベルのユーザー「secoff」を作成します。パスワードは「secoff」とします。


  2. L2TP モジュールを有効にします。


  3. L2TP サーバーを BOTH モードで起動します。


  4. 相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。


  5. ルーターA との接続に使用するL2TPコールを定義します。コール名に「center_A」、対向ルーター(ルーターA)の呼の名前に「base_A」、接続先のIPアドレスに「1.1.1.1」、対向ルーターの呼の種類に「VIRTUAL」、対向ルーター(ルーターA)のL2TPサーバーパスワードに「l2tpA」、着呼優先に設定しています。


  6. ルーターB との接続に使用するL2TPコールを定義します。コール名に「center_B」、対向ルーター(ルーターB)の呼の名前に「base_B」、接続先のIPアドレスに「2.2.2.2」、対向ルーターの呼の種類に「VIRTUAL」、対向ルーター(ルーターB)のL2TPサーバーパスワードに「l2tpB」、着呼優先に設定しています。


  7. VLAN 10(VID=10)を作成します。


  8. LAN ポート1をVLAN 10 のタグ付きポートに設定します。


  9. VLAN 20(VID=20)を作成します。


  10. LAN ポート1をVLAN 20 のタグ付きポートに設定します。


  11. LAN ポート1を default VLANから削除します。


  12. WAN 側 Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  13. ISP から通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN 向けの機能であるBAPはオフにします。


  14. L2TPコール「center_A」上にppp10インターフェースを作成します。


  15. ppp10インターフェースの各種動作パラメーターを設定します。


  16. L2TPコール「center_B」上にppp11インターフェースを作成します。


  17. ppp11インターフェースの各種動作パラメーターを設定します。


  18. IPモジュールを有効にします。


  19. IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。


  20. WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません(ISPから100.100.100.100が与えられることを想定しています)。


  21. デフォルトルートを設定します。


  22. ブリッジモジュールを有効にします。


  23. 各インターフェースにブリッジポートを作成します。


  24. ブリッジするプロトコルを指定します。ここでは IP と ARP をブリッジ対象にします。


  25. ブリッジする際にタグを取り外さないように STRIPVLANTAG をオフにします。


  26. ブリッジフィルター「1」を作成し、LAN ポート1で受信した VLAN 10、VLAN 20 タグ付きパケットをブリッジポート「3」および「4」に転送するように設定します。


  27. ブリッジポート「1」にブリッジフィルター「1」を適用します。


  28. ブリッジポート「2」にブリッジフィルター「1」を適用します。

    Note - ブリッジフィルターはブリッジポートに適用して初めて効果を持ちます。フィルタリングはパケット受信時に行われるため、受信ポートにフィルターを適用します。

  29. ISAKMP 用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターA、Bと同じに設定)。


    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

    Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。

  30. ルーターAとの IKE ネゴシエーション要求を受け入れる ISAKMP ポリシー「i_A」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEER には対向ルーターのIPアドレスを指定します。


  31. ルーターBとの IKE ネゴシエーション要求を受け入れる ISAKMP ポリシー「i_B」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEER には対向ルーターのIPアドレスを指定します。


  32. IPsec 通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターの UDP1701番ポート宛に送受信されるL2TPパケットだけを暗号化する形になります。


  33. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。


  34. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。

    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  35. ルーターA・C間のL2TPパケットを暗号化するIPsecポリシー「vpn_A」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターA のIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、RPORTで対象となるパケットの条件を指定します。


  36. ルーターB・C間のL2TPパケットを暗号化するIPsecポリシー「vpn_B」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターB のIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RAD、RPORTで対象となるパケットの条件を指定します。


  37. IPsecモジュールを有効にします。


  38. ISAKMPモジュールを有効にします。


  39. Security Officerレベルのユーザーでログインしなおします。


  40. 動作モードをセキュリティーモードに切り替えます。

    設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

まとめ

ルーターAのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
ADD L2TP PASSWORD=l2tpA
ADD L2TP CALL=base_A REMOTE=center_A IP=100.100.100.100 TYPE=VIRTUAL PASSWORD=l2tpC PRECEDENCE=OUT
CREATE VLAN=vlan10 VID=10
ADD VLAN=10 PORT=1 FRAME=TAGGED
CREATE VLAN=vlan20 VID=20
ADD VLAN=20 PORT=1 FRAME=TAGGED
DELETE VLAN=default PORT=1
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USERNAME="user@ispA" PASSWORD="isppasswdA" LQR=OFF ECHO=ON
CREATE PPP=10 OVER=TNL-base_A
SET PPP=10 OVER=TNL-base_A IDLE=86400 LQR=OFF BAP=OFF
ENABLE IP
ENABLE IP REMOTEASSIGN
ADD IP INT=ppp0 IP=0.0.0.0
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0
ENABLE BRIDGE
ADD BRIDGE PORT=1 INT=vlan10
ADD BRIDGE PORT=2 INT=vlan20
ADD BRIDGE PORT=3 INT=ppp10
ADD BRIDGE PROTOCOL TYPE="IP"
ADD BRIDGE PROTOCOL TYPE="ARP"
SET BRIDGE STRIPVLANTAG=NO
ADD BRIDGE FILTER=1 PORT=3
SET BRIDGE PORT=1 FILTER=1
SET BRIDGE PORT=2 FILTER=1
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i" PEER=100.100.100.100 KEY=1 SENDN=TRUE HEAR=BOTH
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1"
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=100.100.100.100
SET IPSEC POLICY="vpn" LAD=1.1.1.1 LPORT=1701 RAD=100.100.100.100 RPORT=1701 TRANSPORT=UDP
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN SECOFF
# ENABLE SYSTEM SECURITY_MODE


ルーターBのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
ADD L2TP PASSWORD=l2tpB
ADD L2TP CALL=base_B REMOTE=center_B IP=100.100.100.100 TYPE=VIRTUAL PASSWORD=l2tpC PRECEDENCE=OUT
CREATE VLAN=vlan10 VID=10
ADD VLAN=10 PORT=1 FRAME=TAGGED
CREATE VLAN=vlan20 VID=20
ADD VLAN=20 PORT=1 FRAME=TAGGED
DELETE VLAN=default PORT=1
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USERNAME="user@ispB" PASSWORD="isppasswdB" LQR=OFF ECHO=ON
CREATE PPP=10 OVER=TNL-base_B
SET PPP=10 OVER=TNL-base_B IDLE=86400 LQR=OFF BAP=OFF
ENABLE IP
ENABLE IP REMOTEASSIGN
ADD IP INT=ppp0 IP=0.0.0.0
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0
ENABLE BRIDGE
ADD BRIDGE PORT=1 INT=vlan10
ADD BRIDGE PORT=2 INT=vlan20
ADD BRIDGE PORT=3 INT=ppp10
ADD BRIDGE PROTOCOL TYPE="IP"
ADD BRIDGE PROTOCOL TYPE="ARP"
SET BRIDGE STRIPVLANTAG=NO
ADD BRIDGE FILTER=1 PORT=3
SET BRIDGE PORT=1 FILTER=1
SET BRIDGE PORT=2 FILTER=1
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i" PEER=100.100.100.100 KEY=1 SENDN=TRUE HEAR=BOTH
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1"
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=100.100.100.100
SET IPSEC POLICY="vpn" LAD=2.2.2.2 LPORT=1701 RAD=100.100.100.100 RPORT=1701 TRANSPORT=UDP
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN SECOFF
# ENABLE SYSTEM SECURITY_MODE


ルーターCのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASS=secoff PRIVILEGE=SECURITYOFFICER
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
ADD L2TP PASSWORD=l2tpC
ADD L2TP CALL=center_A REMOTE=base_A IP=1.1.1.1 TYPE=VIRTUAL PASSWORD=l2tpA PRECEDENCE=IN
ADD L2TP CALL=center_B REMOTE=base_B IP=2.2.2.2 TYPE=VIRTUAL PASSWORD=l2tpB PRECEDENCE=IN
CREATE VLAN=vlan10 VID=10
ADD VLAN=10 PORT=1 FRAME=TAGGED
CREATE VLAN=vlan20 VID=20
ADD VLAN=20 PORT=1 FRAME=TAGGED
DELETE VLAN=default PORT=1
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USERNAME="user@ispC" PASSWORD="isppasswdC" LQR=OFF ECHO=ON
CREATE PPP=10 OVER=TNL-center_A
SET PPP=10 OVER=TNL-center_A IDLE=86400 LQR=OFF BAP=OFF
CREATE PPP=11 OVER=TNL-center_B
SET PPP=11 OVER=TNL-center_B IDLE=86400 LQR=OFF BAP=OFF
ENABLE IP
ENABLE IP REMOTEASSIGN
ADD IP INT=ppp0 IP=0.0.0.0
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0
ENABLE BRIDGE
ADD BRIDGE PORT=1 INT=vlan10
ADD BRIDGE PORT=2 INT=vlan20
ADD BRIDGE PORT=3 INT=ppp10
ADD BRIDGE PORT=4 INT=ppp11
ADD BRIDGE PROTOCOL TYPE="IP"
ADD BRIDGE PROTOCOL TYPE="ARP"
SET BRIDGE STRIPVLANTAG=NO
ADD BRIDGE FILTER=1 PORT=3,4
SET BRIDGE PORT=1 FILTER=1
SET BRIDGE PORT=2 FILTER=1
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i_A" PEER=1.1.1.1 KEY=1 SENDN=TRUE HEAR=BOTH
CREATE ISAKMP POLICY="i_B" PEER=2.2.2.2 KEY=1 SENDN=TRUE HEAR=BOTH
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1"
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY="vpn_A" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=1.1.1.1
SET IPSEC POLICY="vpn_A" LAD=100.100.100.100 LPORT=1701 RAD=1.1.1.1 RPORT=1701 TRANSPORT=UDP
CREATE IPSEC POLICY="vpn_B" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=2.2.2.2
SET IPSEC POLICY="vpn_B" LAD=100.100.100.100 LPORT=1701 RAD=2.2.2.2 RPORT=1701 TRANSPORT=UDP
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN SECOFF
# ENABLE SYSTEM SECURITY_MODE





CentreCOM AR550S 設定例集 2.9 #173

(C) 2005-2014 アライドテレシスホールディングス株式会社

PN: J613-M0710-04 Rev.P

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)