<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR550S 設定例集 2.9
CentreCOM AR550S 設定例集 2.9
このマニュアルでは、具体的な構成例に基づいて、
本製品の設定方法を簡潔に説明しています。
設定を行う前に必要なこと、
たとえばLAN/WANの配線、設定に使用するコンソールの準備、
設定に使用するユーティリティーの使い方などについては説明しておりません。
これらに関しては、製品付属の冊子「取扱説明書」をご覧ください。
Note -
本マニュアルでは、サイト名、IPアドレス、ログイン名、
パスワードなどに具体的な値を使用しておりますが、
実際にはお客様の環境におけるものをご使用ください。
本マニュアル中の設定例は説明のためのサンプルです。
お客様の環境に適した設定を行う際の参考としてください。
機能別詳細目次
ISDNによるIP2点間接続 (#1)
ISDN回線を使って2つの拠点をIP接続します
ISDNによるIP2点間接続(BAP/BACPによる帯域制御) (#4)
ISDN回線を使って2つの拠点をIP接続します。この例では、BAP/BACPを使って帯域制御を行うときのポイントについて解説しています
ISDNによるIP2点間接続(PRI) (#5)
ISDN回線を使って2つの拠点をIP接続します。WAN側インターフェースとしてPRI(AR020)を使う場合の例です
ISDNによるIP2点間接続(トリガーによる接続時間制限) (#2)
ISDN回線を使って2つの拠点をIP接続します。また、定時トリガーを利用して接続可能な時間帯を制限します
ISDNによるIP3点間接続(発信者番号識別) (#7)
ISDN回線を使って3つの拠点をIP接続します。この例では着信呼の識別に発信者番号を使用しています
ISDNによるLAN型インターネット接続 (#11)
ISDN回線を使ってインターネットサービスプロバイダー(ISP)にダイヤルアップ接続します。グローバルアドレスをブロック単位で固定的に割り当てられているLAN型接続の基本設定です。NATは使用せず、LAN側端末にグローバルアドレスを直接割り当てます。また、ファイアウォールを使って外部からの不正アクセスを防止します
ISDNによる端末型インターネット接続 (#8)
ISDN回線を使ってインターネットサービスプロバイダー(ISP)にダイヤルアップ接続します。接続時にアドレスを1つ割り当てられる端末型の基本設定です。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します
ISDNによる端末型インターネット接続(DNSリレー/DHCPサーバー) (#9)
ISDN回線を使ってインターネットサービスプロバイダー(ISP)にダイヤルアップ接続します。接続時にアドレスを1つ割り当てられる端末型の基本設定に、DNSリレーとDHCPサーバーの設定を追加しています。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します
ISDNによる端末型インターネット接続+IP2点間接続の併用 (#10)
ISDN回線を使って端末型インターネット接続とLAN間IP接続の両方を同時に行います。インターネットとの接続では、ダイナミックENATで1個のグローバルアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します
ISDNコールバック (#15)
Dチャンネルレベルで相手を識別してコールバックするISDN(無課金)コールバックの設定例です。IP2点間接続の構成例をもとに説明しています
ISDN経由でのPPPダイヤルアップ受け入れ(アドレス固定割り当て) (#17)
ISDN経由でリモートユーザーからのダイヤルアップPPP接続を受け入れるアクセスサーバー的な設定例です。この例では、ルーターのユーザー認証データベースを使って、ユーザーごとにIPアドレスを固定的に割り当てています
ISDN経由でのPPPダイヤルアップ受け入れ(アドレス動的割り当て) (#18)
ISDN経由でリモートユーザーからのダイヤルアップPPP接続を受け入れるアクセスサーバー的な設定例です。この例では、IPプール機能を使って、アドレスプールの中から使用されていないアドレスを動的に割り当てます
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(ISP接続+フレッツグループアクセス〜L2TP編〜) (#141)
センター、拠点間の通信にフレッツグループアクセス(以下「FGA」と省略します)を利用する際に、インターネット(ISP)への接続はセンター側ルーターのみを経由するネットワークを構築します。
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(インターネットVPN+ISDNバックアップ〜IPsec編〜) (#142)
センター、拠点間をIPsec VPN環境でIP接続するネットワークを構築します。
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(フレッツグループアクセス〜VRRP編〜) (#143)
センター、拠点間の通信にフレッツグループアクセス(以下「FGA」と省略します)を利用する際に、センター、拠点にマスター/バックアップルーターを各1台ずつ設置し、VRRPを使用して冗長構成するネットワークを構築します。
VRRP(WAN) (#83)
VRRP(Virtual Router Redundancy Protocol)は、複数のルーターを連携させ1台のルーターであるかのように見せかけることで、IPネットワークの冗長構成を可能にする機能です。ここでは、WAN回線(メインルート:専用線、バックアップ:ISDN)を含むネットワーク構成におけるVRRPの使用例を示します
リモートブリッジ基本設定 (#61)
ISDN回線を使って2つの拠点をリモートブリッジ接続します
BGP-4:2つのISPに対するマルチホーム(ASパス長の操作による負荷分散) (#125)
ドメイン間経路制御プロトコルBGP-4(Border Gateway Protocol version 4)の設定例です。ここでは、2つのISPに接続するマルチホームの構成例を示します。BGP-4では、経路情報にさまざまな「属性」を付加することにより、他ASの経路選択プロセスに影響を与えることができます。この例では、各ISPに通知する経路のAS_PATH(ASパス)属性を操作することにより、下りトラフィックの負荷分散を試みます。また、自AS宛でないトラフィックの通過(トランジットサービス)を行わないよう設定します
BGP-4:ASコンフェデレーション (#126)
ドメイン間経路制御プロトコルBGP-4(Border Gateway Protocol version 4)の設定例です。ここでは、大きなASを複数のサブASに分割し、サブAS間でコンフェデレーションE-BGPセッションを張るコンフェデレーションASの設定方法を示します。同一AS内のBGPセッションはI-BGP(内部BGP)と呼ばれますが、I-BGPセッションでは他のI-BGPピアから受信した経路情報を再配布できないため、大きなASではI-BGPセッションをフルメッシュで張る必要があります。ASをサブASに分割することにより、I-BGPセッション数を少なくすることができます
BGP-4:センターに対するマルチホーム(MED値による負荷分散) (#124)
ドメイン間経路制御プロトコルBGP-4(Border Gateway Protocol version 4)の設定例です。ここでは、CUG(Closed Users Group)サービスにおいてL2TP + IPsecを使用して、センターに複数回線で接続するマルチホームの構成例を示します。BGP-4では、経路情報にさまざまな「属性」を付加することにより、他ASの経路選択プロセスに影響を与えることができます。この例では、MULTI_EXIT_DISC(MED)属性を利用して下りトラフィックの負荷分散を試みます
BGP-4:基本設定例 (#123)
ドメイン間経路制御プロトコルBGP-4(Border Gateway Protocol version 4)の基本設定例です。シンプルなネットワーク構成を例に、I-BGP(内部BGP)とE-BGP(外部BGP)の両方の設定方法を示します
CUGサービスを利用した拠点間のPIM-DMによるIPマルチキャストルーティング(L2TP+IPsec) (#163)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本))の「端末型払い出し」を利用し、拠点間でIPsec通信を行い、PIM-DMを使用したマルチキャスト ルーティングを行います
CUGサービスを利用した拠点間のPIM-SMによるIPマルチキャストルーティング(L2TP) (#154)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)を利用し、拠点間で、PIM-SMを使用したマルチキャストルーティングを行います
PPPリンクの圧縮(STAC LZS) (#65)
STAC LZSアルゴリズムによるPPPリンク圧縮の使用例です。専用線によるIP2点間接続の構成例をもとに解説します
RSAデジタル署名を利用したIPsec VPN(PKIX-CMPによるオンライン登録) (#92)
IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です(自動鍵管理)。この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証します。ここでは、PKIX-CMPプロトコルを利用して、自分の公開鍵証明書の発行要求をオンラインでCA(認証局)に送信する例を示します。ルーターのアドレスは両方とも固定であると仮定します。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネット通信もできるように設定します
RSAデジタル署名を利用したIPsec VPN(手動登録、片側のアドレス不定) (#94)
2拠点間をインターネット経由でIPsec接続するVPNの設定例です(自動鍵管理)。ここでは片側がアドレス固定(専用線)、もう一方がアドレス不定(PPPoE接続)となる場合を取り上げます。なお、この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証し、公開鍵証明書の発行要求をオフラインで行います。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネットへの通信も可能となるように設定します。
RSAデジタル署名を利用したIPsec VPN(手動登録) (#93)
IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です(自動鍵管理)。この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証します。ここでは、公開鍵証明書の発行要求をオフラインで行う例を示します。ルーターのアドレスは両方とも固定であると仮定します。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネット通信もできるように設定します
VRRP(WAN) (#83)
VRRP(Virtual Router Redundancy Protocol)は、複数のルーターを連携させ1台のルーターであるかのように見せかけることで、IPネットワークの冗長構成を可能にする機能です。ここでは、WAN回線(メインルート:専用線、バックアップ:ISDN)を含むネットワーク構成におけるVRRPの使用例を示します
トンネリングによるIPv6インターネット接続(専用線環境) (#120)
IPv6 over IPv4トンネリングによってIPv6インターネットに接続します。この例では、インターネットサービスプロバイダー(ISP)と専用線でIPv4接続していることを前提に、ISPが提供するIPv6トンネル接続サービスを利用してグローバルIPv6ネットワークに接続します。IPv4ではファイアウォールを使ってDMZ構成をとり、IPv6ではIPv6フィルターを使って外部からのアクセスを制御します
ブリッジフィルター設定例 (#62)
専用線を使って2つの拠点をリモートブリッジ接続します。ここでは、ブリッジフィルターを使用して、MACアドレスに基づきフレームのフィルタリングを行います
専用線によるIP2点間接続(128Kbps) (#24)
専用線(128Kbps)を使って2つの拠点をIP接続します
専用線によるIP2点間接続(512Kbps) (#25)
専用線(512Kbps)を使って2つの拠点をIP接続します。WAN側インターフェースとしてPRI(AR020)を使う場合の例です
専用線によるIP2点間接続(64Kbps) (#23)
専用線(64Kbps)を使って2つの拠点をIP接続します
専用線によるIP2点間接続(RIP) (#29)
専用線を使って2つの拠点をIP接続します。この例では、経路制御にダイナミックルーティングプロトコルのRIP(Routing Information Protocol)を使っています
専用線によるIP2点間接続(プロキシーARP+マルチホーミング) (#28)
専用線を使って2つの拠点をIP接続します。この例では、センター側LANのアドレスの一部をリモート側に割り当て、プロキシーARPによってルーティングする例を示しています。また、リモート側では、マルチホーミングを使ってLAN側ネットワークをさらに2つに分割しています
専用線によるインターネット接続(DMZ) (#32)
専用線を使ってインターネットサービスプロバイダー(ISP)に接続します。この例では、LAN側を2つのサブネットに分割し、一方をグローバルアドレスで運用するサーバー用、もう一方をプライベートアドレスで運用するクライアント用とします。クライアントはダイナミックENAT経由でインターネットにアクセスします。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します
専用線によるインターネット接続(DNSリレー/DHCPサーバー) (#35)
専用線を使ってインターネットサービスプロバイダー(ISP)に接続します。この例では、DNSリレーとDHCPサーバーの設定を追加しています。また、ファイアウォールで外部からの不正アクセスを防止します
専用線によるインターネット接続(LAN側グローバル) (#30)
専用線を使ってインターネットサービスプロバイダー(ISP)にLAN型で接続します。この例では、NATを使用せず、LAN側端末にグローバルアドレスを直接割り当てます。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します
フレームリレーにおける輻輳制御とスロースタート (#46)
フレームリレー網には、ユーザー機器に対して輻輳(網が混み合うこと)を通知する機能があります。ここでは、本製品の輻輳制御機能を有効にして、網輻輳時に送信レートを自動調整するよう設定します。また、データ送信開始時に段階的に送信レートを上げていくスロースタートメカニズムも使用します。IP2点間接続の構成例をもとに解説します
フレームリレーによるIP2点間接続(IPアドレスに基づくポリシールーティング) (#40)
フレームリレー網を使って2つの拠点をIP接続します。この例ではさらに、IPポリシーフィルターを使って、特定アドレス間のトラフィックだけをCIR値の高いDLC経由でルーティングするよう設定しています
フレームリレーによるIP3点間接続 (#43)
フレームリレー網を使って3つの拠点をIP接続します
L2TP+IPsec によるリモートアクセス型 VPN を使用した IEEE 802.1q タグ付きパケットのブリッジング (#173)
センター/リモートオフィス間のL2TPトンネルをIPsec(ESP)で暗号化しデータの安全性を確保しつつ、WAN 回線経由でIEEE 802.1q タグ付きパケットをブリッジし、VLAN ネットワークを共有します
L2TPによるLAN間接続基本設定(ブリッジング) (#97)
L2TPによるLAN間ブリッジ接続の基本設定です。ここでは、IPだけしかルーティングされないLAN環境において、2つのサブネット間にL2TPのトンネルを張り、NetBEUIをブリッジングする例を示します。LAN上でのトンネリングという点が若干変則的ですが、L2TPルーター同士がIPで通信できさえすれば、どのような環境にでも適用できる構成です
L2TPによるリモートアクセス型VPNを使用したIEEE 802.1qタグ付きパケットのブリッジング(VID判定あり) (#172)
センター/リモートオフィス間でL2TPトンネルを構築し、WAN回線経由でIEEE 802.1qタグつきパケットをブリッジします。ルーターはブリッジポートでもVIDをチェックしブリッジ対象に設定されていないVIDのパケットを受信した場合は破棄します
PPPoEによる端末型インターネット接続+IPv6ブリッジによるフレッツ・スクウェア ネクスト(NTT東日本)接続 (#185)
NTT東日本のフレッツ・スクウェア ネクストに接続するための設定例です
PPPoEによる端末型インターネット接続+IPv6ブリッジによるフレッツ・スクウェアv6(NTT東日本)接続 (#177)
NTT東日本のフレッツ・スクウェアv6(http://flets.com/square/what.html)に接続するための設定例です
PPPoEによる端末型インターネット接続+IPv6ブリッジによるフレッツ・ドットネット(NTT東日本)/ フレッツ・v6アプリ(NTT西日本)接続 (#176)
PPPoEによる端末型インターネット接続と、IPv6ブリッジによるフレッツ・ドットネット(NTT東日本)、またはフレッツ・v6アプリ(NTT西日本)への接続を同時に行います
PPPoEマルチセッションによるフレッツ 光ネクスト サービス情報サイトとインターネット同時接続(NTT東日本) (#189)
PPPoEマルチセッションの設定例です。ここでは、PPPoEのセッションを2本使って、グローバルインターネットと、フレッツ 光ネクスト サービス情報サイトに同時接続します。各ネットワークへのパケット振り分けはスタティックな経路制御により行います。また、DNSリレー機能を利用して、フレッツ 光ネクスト サービス情報サイト側と、その他(インターネット)の名前解決にはそれぞれのDNSサーバーを使うよう設定します
ブリッジフィルター設定例 (#62)
専用線を使って2つの拠点をリモートブリッジ接続します。ここでは、ブリッジフィルターを使用して、MACアドレスに基づきフレームのフィルタリングを行います
リモートブリッジ基本設定 (#61)
ISDN回線を使って2つの拠点をリモートブリッジ接続します
ローカルブリッジ (#60)
Ethernet LANを分割するローカルブリッジとしての設定例です。この例では、Ethernet上のすべてのプロトコルをブリッジしています
2点間IPv6 IPsec VPN基本設定(自動鍵、両側アドレス固定、インターネットアクセスなし) (#150)
インターネット上に暗号化されたトンネルを張り、2つの拠点をIPv6接続するIPsec VPNの設定例です(自動鍵管理)。両側のルーターにグローバルアドレスが固定的に設定されている場合の基本設定です。なお、この例ではIPsecの基本設定を示すため、各拠点からインターネットへのアクセスについては考慮していません
CUGサービス(端末型)を利用した3拠点間IPsec接続(インターネット接続はセンタールーター経由) (#152)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)において3つの拠点間(ハブ&スポーク型)でIPsec VPNを張り、センター側ではPPPoEセッションを2本使い片方はCUG、もう片方はインターネット(ISP)へ接続します。この例では本社と各支社のみを接続する構成とし、支社間の通信は本社経由で行うものとします
L2TP+IPsecによるリモートアクセス型VPN(LNS/LAC) (#105)
L2TP + IPsec によるリモートアクセス型 VPN 接続(L2TP LAC および L2TP LNS)の設定です。ここでは、L2TP LNS リモートユーザーからの PPP 接続を PPPoE AC 機能を使用して受け入れた後、LAC・LNS 間の L2TP トンネルを IPsec (ESP) で暗号化し、リモートユーザーからの 通信を LNS へ転送するための設定を示します
NAT機器をはさむ2点間IPsec VPN(ESP over UDP、XAUTHによるRADIUS認証) (#91)
インターネット上に暗号化されたトンネルを張り、2つの拠点をIP接続するIPsec VPNの設定例です(自動鍵管理)。IPsecルーター間に既設のNAT機器(ダイヤルアップルーターなど)が存在する環境を想定し、NAT機器の設定を変更することなくNAT経由でIPsec(ESP)を使用するため、ESPパケットをUDPでカプセル化するESP over UDPを使用しています。また、IKEの相手ルーター認証には、既存の認証システム(ここではRADIUS)を利用できるXAUTH(拡張認証)を使っています
NAT機器をはさむ2点間IPsec VPN(ESP over UDP) (#90)
インターネット上に暗号化されたトンネルを張り、2つの拠点をIP接続するIPsec VPNの設定例です(自動鍵管理)。この例は、IPsecルーター間に既設のNAT機器(ダイヤルアップルーターなど)が存在する場合の基本設定です。ここでは、NAT機器の設定を変更することなくNAT経由でIPsec(ESP)を使用するため、ESPパケットをUDPでカプセル化するESP over UDPを使用しています
PPPoEインターネット接続環境における2点間IPsec VPN(片側アドレス不定) (#111)
PPPoEでインターネットに接続している2つの拠点をIPsecで結ぶVPN構築例です。この例では、グローバルアドレス8個を固定的に割り当てられているサイトと、グローバルアドレス1個を動的に割り当てられるサイトの間をIPsec(ESP)のトンネルで接続します。
PPPoEインターネット接続環境における2点間IPsec VPN(両側アドレス固定) (#110)
PPPoEでインターネットに接続している2つの拠点をIPsecで結ぶVPN構築例です。この例では、グローバルアドレス8個を固定的に割り当てられているサイトと、グローバルアドレス1個を固定的に割り当てられているサイトの間をIPsec(ESP)のトンネルで接続します。
PPPoEインターネット接続環境における3点間IPsec VPN(フルメッシュ、全拠点アドレス固定) (#130)
PPPoEでインターネットに接続している3つの拠点をフルメッシュのIPsec(ESP)トンネルで結ぶVPN構築例です。この例では、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信なし、支社はアドレス不定) (#133)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は行わないものとします。またこの例では、本社にのみグローバルアドレス1個が固定的に割り当てられており、各支社のルーターのアドレスは不定(動的割り当て)であると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信なし、全拠点アドレス固定) (#132)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は行わないものとします。また、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信は本社経由、全拠点アドレス固定) (#131)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は本社経由で行うものとします。また、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPリンクの圧縮(STAC LZS) (#65)
STAC LZSアルゴリズムによるPPPリンク圧縮の使用例です。専用線によるIP2点間接続の構成例をもとに解説します
QoS基本設定例(PPPoEインターネット接続環境における2点間IPsec VPN、両側アドレス固定) (#148)
QoS機能の基本設定例です。ここでは、IPsecトンネルで接続された2つの拠点間でトラフィックの制御を行います。なおこの例では、両拠点ともPPPoEでインターネットに接続しており、それぞれがグローバルアドレス1個を固定的に割り当てられていると仮定しています
RSAデジタル署名を利用したIPsec VPN(PKIX-CMPによるオンライン登録) (#92)
IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です(自動鍵管理)。この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証します。ここでは、PKIX-CMPプロトコルを利用して、自分の公開鍵証明書の発行要求をオンラインでCA(認証局)に送信する例を示します。ルーターのアドレスは両方とも固定であると仮定します。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネット通信もできるように設定します
RSAデジタル署名を利用したIPsec VPN(手動登録、片側のアドレス不定) (#94)
2拠点間をインターネット経由でIPsec接続するVPNの設定例です(自動鍵管理)。ここでは片側がアドレス固定(専用線)、もう一方がアドレス不定(PPPoE接続)となる場合を取り上げます。なお、この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証し、公開鍵証明書の発行要求をオフラインで行います。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネットへの通信も可能となるように設定します。
RSAデジタル署名を利用したIPsec VPN(手動登録) (#93)
IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です(自動鍵管理)。この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証します。ここでは、公開鍵証明書の発行要求をオフラインで行う例を示します。ルーターのアドレスは両方とも固定であると仮定します。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネット通信もできるように設定します
Secure Shell(SSHv1)基本設定 (#78)
暗号技術を用いて安全なリモートログインを可能にするSSH(Secure Shell)の使用方法について説明します
WANロードバランスを使用した3点間VPN接続(自動鍵、全アドレス固定、インターネットアクセスあり) (#151)
xDSL回線を2本使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、VPN接続でインターネット上の3拠点間を結びます。またWANロードバランスの方式としては、トラフィックを均等に配分するRound Robinモードを使います
パスワード認証によるSecure Shell(SSHv1)基本設定 (#79)
暗号技術を用いて安全なリモートログインを可能にするSSH(Secure Shell)の使用方法について説明します。ここではパスワード認証によるリモートログインの設定方法を、PPPoEインターネット接続環境を例に解説します。
2点間IPv6 IPsec VPN基本設定(自動鍵、両側アドレス固定、インターネットアクセスなし) (#150)
インターネット上に暗号化されたトンネルを張り、2つの拠点をIPv6接続するIPsec VPNの設定例です(自動鍵管理)。両側のルーターにグローバルアドレスが固定的に設定されている場合の基本設定です。なお、この例ではIPsecの基本設定を示すため、各拠点からインターネットへのアクセスについては考慮していません
CUGサービス(端末型)を利用した3拠点間IPsec接続(インターネット接続はセンタールーター経由) (#152)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)において3つの拠点間(ハブ&スポーク型)でIPsec VPNを張り、センター側ではPPPoEセッションを2本使い片方はCUG、もう片方はインターネット(ISP)へ接続します。この例では本社と各支社のみを接続する構成とし、支社間の通信は本社経由で行うものとします
IPsecパススルー機能 (#186)
IPsecルートテンプレート+OSPFを使用したセンター機器冗長構成 (#194)
本社側にルーター(ルーターA/ルーターB)を2台置き、支社ごとにそれぞれのルーター(ルーターC/ルーターD)とIPsec(ESP)トンネルで結ぶことでリソースを有効活用します。また、障害時には経路の切り替えが可能なVPN構築例です
L2TP+IPsec によるリモートアクセス型 VPN を使用した IEEE 802.1q タグ付きパケットのブリッジング (#173)
センター/リモートオフィス間のL2TPトンネルをIPsec(ESP)で暗号化しデータの安全性を確保しつつ、WAN 回線経由でIEEE 802.1q タグ付きパケットをブリッジし、VLAN ネットワークを共有します
L2TP+IPsecによるリモートアクセス型VPN(LNS/LAC) (#105)
L2TP + IPsec によるリモートアクセス型 VPN 接続(L2TP LAC および L2TP LNS)の設定です。ここでは、L2TP LNS リモートユーザーからの PPP 接続を PPPoE AC 機能を使用して受け入れた後、LAC・LNS 間の L2TP トンネルを IPsec (ESP) で暗号化し、リモートユーザーからの 通信を LNS へ転送するための設定を示します
L2TP+IPsecを用いた2拠点間接続+回線冗長(OSPF) (#165)
広域EthernetサービスとCUG(Closed Users Group)サービスを利用し、広域Ethernetをメイン回線、CUGをバックアップ回線として使用します。広域Ethernet側で、通信経路断となった場合、OSPFで経路情報を更新し、CUG側のネットワークへ経路を切り替えます。CUG側の通信はIPsecを使用します。
NAT機器をはさむ2点間IPsec VPN(ESP over UDP、XAUTHによるRADIUS認証) (#91)
インターネット上に暗号化されたトンネルを張り、2つの拠点をIP接続するIPsec VPNの設定例です(自動鍵管理)。IPsecルーター間に既設のNAT機器(ダイヤルアップルーターなど)が存在する環境を想定し、NAT機器の設定を変更することなくNAT経由でIPsec(ESP)を使用するため、ESPパケットをUDPでカプセル化するESP over UDPを使用しています。また、IKEの相手ルーター認証には、既存の認証システム(ここではRADIUS)を利用できるXAUTH(拡張認証)を使っています
NAT機器をはさむ2点間IPsec VPN(ESP over UDP) (#90)
インターネット上に暗号化されたトンネルを張り、2つの拠点をIP接続するIPsec VPNの設定例です(自動鍵管理)。この例は、IPsecルーター間に既設のNAT機器(ダイヤルアップルーターなど)が存在する場合の基本設定です。ここでは、NAT機器の設定を変更することなくNAT経由でIPsec(ESP)を使用するため、ESPパケットをUDPでカプセル化するESP over UDPを使用しています
PPPoEインターネット接続環境における2点間IPsec VPN(片側アドレス不定) (#111)
PPPoEでインターネットに接続している2つの拠点をIPsecで結ぶVPN構築例です。この例では、グローバルアドレス8個を固定的に割り当てられているサイトと、グローバルアドレス1個を動的に割り当てられるサイトの間をIPsec(ESP)のトンネルで接続します。
PPPoEインターネット接続環境における2点間IPsec VPN(両側アドレス固定) (#110)
PPPoEでインターネットに接続している2つの拠点をIPsecで結ぶVPN構築例です。この例では、グローバルアドレス8個を固定的に割り当てられているサイトと、グローバルアドレス1個を固定的に割り当てられているサイトの間をIPsec(ESP)のトンネルで接続します。
PPPoEインターネット接続環境における3点間IPsec VPN(フルメッシュ、全拠点アドレス固定) (#130)
PPPoEでインターネットに接続している3つの拠点をフルメッシュのIPsec(ESP)トンネルで結ぶVPN構築例です。この例では、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信なし、支社はアドレス不定) (#133)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は行わないものとします。またこの例では、本社にのみグローバルアドレス1個が固定的に割り当てられており、各支社のルーターのアドレスは不定(動的割り当て)であると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信なし、全拠点アドレス固定) (#132)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は行わないものとします。また、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信は本社経由、全拠点アドレス固定) (#131)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は本社経由で行うものとします。また、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoE接続環境における2点間IPsec VPN(ARルーター側アドレス不定、SRX210対向) (#191)
PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から動的にIPアドレスが割り当てられるルーター(ルーターA:ARルーター)と固定IPアドレスが割り当てられているルーター(ルーターB:SRX210)をIPsec(ESP)トンネルで接続します
PPPoE接続環境における2点間IPsec VPN(ARルーター側アドレス不定、SSG550対向) (#182)
PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から動的にIPアドレスが割り当てられるルーター(ルーターA:ARルーター)と固定IPアドレスが割り当てられているルーター(ルーターB:SSG550)をIPsec(ESP)トンネルで接続します
PPPoE接続環境における2点間IPsec VPN(両側アドレス固定、SSG550対向) (#183)
PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から固定IPアドレスが割り当てられるルーター(ルーターA:ARルーター)と固定IPアドレスが割り当てられているルーター(ルーターB:SSG550)をIPsec(ESP)トンネルで接続します
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(インターネットVPN+ISDNバックアップ〜IPsec編〜) (#142)
センター、拠点間をIPsec VPN環境でIP接続するネットワークを構築します。
QoS基本設定例(PPPoEインターネット接続環境における2点間IPsec VPN、両側アドレス固定) (#148)
QoS機能の基本設定例です。ここでは、IPsecトンネルで接続された2つの拠点間でトラフィックの制御を行います。なおこの例では、両拠点ともPPPoEでインターネットに接続しており、それぞれがグローバルアドレス1個を固定的に割り当てられていると仮定しています
RSAデジタル署名を利用したIPsec VPN(PKIX-CMPによるオンライン登録) (#92)
IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です(自動鍵管理)。この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証します。ここでは、PKIX-CMPプロトコルを利用して、自分の公開鍵証明書の発行要求をオンラインでCA(認証局)に送信する例を示します。ルーターのアドレスは両方とも固定であると仮定します。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネット通信もできるように設定します
RSAデジタル署名を利用したIPsec VPN(手動登録、片側のアドレス不定) (#94)
2拠点間をインターネット経由でIPsec接続するVPNの設定例です(自動鍵管理)。ここでは片側がアドレス固定(専用線)、もう一方がアドレス不定(PPPoE接続)となる場合を取り上げます。なお、この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証し、公開鍵証明書の発行要求をオフラインで行います。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネットへの通信も可能となるように設定します。
RSAデジタル署名を利用したIPsec VPN(手動登録) (#93)
IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です(自動鍵管理)。この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証します。ここでは、公開鍵証明書の発行要求をオフラインで行う例を示します。ルーターのアドレスは両方とも固定であると仮定します。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネット通信もできるように設定します
WANロードバランスを使用した3点間VPN接続(自動鍵、全アドレス固定、インターネットアクセスあり) (#151)
xDSL回線を2本使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、VPN接続でインターネット上の3拠点間を結びます。またWANロードバランスの方式としては、トラフィックを均等に配分するRound Robinモードを使います
ダイナミックDNSサービスを利用したホスト名(FQDN)によるIPsec接続 (#174)
通常、インターネット VPN を構築する際は、最低1拠点に固定グローバル IP アドレスが必要ですが、ダイナミックDNSサービスを利用すれば、VPNの接続先をIPアドレスではなく、ダイナミックDNSサービスサイトに登録したホスト名(FQDN)で指定できるようになります。これにより、すべての拠点が動的 IP アドレスの場合でも、インターネットVPNを構築することが可能となります
リモートアクセス型L2TP+IPsec VPNとResponder Rekey Extensionによる死活監視(クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末) (#197)
Windows XP、Windows Vista、Windows 7標準のVPNクライアント、または、iPhone、iPadや、AndroidTM OSを搭載したスマートフォン(以下、Android端末)標準のVPNクライアントから、インターネット経由で本製品のLAN側プライベートネットワークにアクセスさせるリモートアクセス型VPNの設定例です。Android端末などのISAKMP/IPsec Keep Alive機能を持たない機器との接続のためにResponder Rekey Extension機能を有効にし、IPsec SAの通信の有無を監視して通信がなくなるまでISAKMP SAの保持時間を延長します
リモートアクセス型L2TP+IPsec VPNとResponder Rekey Extensionによる死活監視(クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末)+ダイナミックDNSサービス (#198)
Windows XP、Windows Vista、Windows 7標準のVPNクライアント、または、iPhone、iPadや、AndroidTM OSを搭載したスマートフォン(以下、Android端末)標準のVPNクライアントから、インターネット経由で本製品のLAN側プライベートネットワークにアクセスさせるリモートアクセス型VPNの設定例です。Android端末などのISAKMP/IPsec Keep Alive機能を持たない機器との接続のためにResponder Rekey Extension機能を有効にし、IPsec SAの通信の有無を監視して通信がなくなるまでISAKMP SAの保持時間を延長します。さらに、ダイナミックDNSサービスを利用し、VPNクライアントの接続先をホスト名(FQDN)指定して、動的にIPアドレスが割り当てられるサイトに対してVPN接続できるようにします
広域Ethernet(RIP)+バックアップIPsec構成 (#171)
センター、拠点間を広域Ethernet環境でIP接続し、メイン回線障害発生時はバックアップ回線(インターネットVPN)へと切り替えるネットワークを構築します。この例では、ルーターとして本製品をセンター側(ルーターA)、拠点側(ルーターB)に設置するネットワーク構成を例に解説します。
内部NATを使用した、同一ネットワークアドレスを持つ拠点間のIPsec VPN通信 (#180)
PPPoEでインターネットに接続され、同一のネットワークアドレス(プライベートアドレス)で運用している拠点間をIPsecにより接続します
本社認証サーバーを利用した、リモートオフィスでのユーザー認証(IEEE 802.1X) (#179)
IEEE 802.1X認証機能を利用し、拠点を含む全社的な認証ネットワークを構築する例です
RSAデジタル署名を利用したIPsec VPN(PKIX-CMPによるオンライン登録) (#92)
IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です(自動鍵管理)。この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証します。ここでは、PKIX-CMPプロトコルを利用して、自分の公開鍵証明書の発行要求をオンラインでCA(認証局)に送信する例を示します。ルーターのアドレスは両方とも固定であると仮定します。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネット通信もできるように設定します
RSAデジタル署名を利用したIPsec VPN(手動登録、片側のアドレス不定) (#94)
2拠点間をインターネット経由でIPsec接続するVPNの設定例です(自動鍵管理)。ここでは片側がアドレス固定(専用線)、もう一方がアドレス不定(PPPoE接続)となる場合を取り上げます。なお、この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証し、公開鍵証明書の発行要求をオフラインで行います。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネットへの通信も可能となるように設定します。
RSAデジタル署名を利用したIPsec VPN(手動登録) (#93)
IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です(自動鍵管理)。この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証します。ここでは、公開鍵証明書の発行要求をオフラインで行う例を示します。ルーターのアドレスは両方とも固定であると仮定します。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネット通信もできるように設定します
IPマルチキャスト(DVMRP) (#108)
IGMPとDVMRPを利用したマルチキャストルーティングの設定例です。ここでは、CUG(Closed Users Group)サービスを利用したL2TP(Layer 2 Tunneling Protocol)による2点間接続の構成をもとに解説します。
IPルートフィルター (#109)
IPルートフィルターを使って、ルーティングプロトコルによって通知される経路情報のうち、特定の経路を受信・伝播しないように設定します
L2TP+IPsec によるリモートアクセス型 VPN を使用した IEEE 802.1q タグ付きパケットのブリッジング (#173)
センター/リモートオフィス間のL2TPトンネルをIPsec(ESP)で暗号化しデータの安全性を確保しつつ、WAN 回線経由でIEEE 802.1q タグ付きパケットをブリッジし、VLAN ネットワークを共有します
L2TP+IPsecによるリモートアクセス型VPN(LNS/LAC) (#105)
L2TP + IPsec によるリモートアクセス型 VPN 接続(L2TP LAC および L2TP LNS)の設定です。ここでは、L2TP LNS リモートユーザーからの PPP 接続を PPPoE AC 機能を使用して受け入れた後、LAC・LNS 間の L2TP トンネルを IPsec (ESP) で暗号化し、リモートユーザーからの 通信を LNS へ転送するための設定を示します
L2TPによるLAN間接続基本設定(ブリッジング) (#97)
L2TPによるLAN間ブリッジ接続の基本設定です。ここでは、IPだけしかルーティングされないLAN環境において、2つのサブネット間にL2TPのトンネルを張り、NetBEUIをブリッジングする例を示します。LAN上でのトンネリングという点が若干変則的ですが、L2TPルーター同士がIPで通信できさえすれば、どのような環境にでも適用できる構成です
L2TPによるリモートアクセス型LAN間接続(ファイアウォールあり) (#106)
L2TPによるLAN間接続構成のうち、常にリモート側からセンター側にアクセスしてIPアドレス割り当てを受けるリモートアクセス型の設定例です。これは、PPPoE経由でPPPパケットをLACからLNSに中継するリモートアクセス型VPN構成です。この構成ではリモートユーザーが存在しませんが、リモート側ルーターがPPPoEユーザーとLACを兼ねています。また、この例では両側のルーターにファイアウォールが設定されており、センター側ではリモートからの接続によって動的に作成されるPPPインターフェースをファイアウォールポリシーに追加するため、ダイナミックインターフェーステンプレートを使用しています
L2TPによるリモートアクセス型VPN(LNS/LAC) (#104)
L2TPによるリモートアクセス型接続(L2TP LACおよびL2TP LNS)の設定です。ここでは、L2TP LACとL2TP LNSリモートユーザーからのPPP接続をPPPoE AC機能を使用して受け入れたあと、自分自身がPPPoEクライアントとなって Internet 経由でLNSとL2TPトンネルを張ることで、リモートユーザーからの通信をLNSへ転送するための設定を示します
L2TPによるリモートアクセス型VPNを使用したIEEE 802.1qタグ付きパケットのブリッジング(VID判定あり) (#172)
センター/リモートオフィス間でL2TPトンネルを構築し、WAN回線経由でIEEE 802.1qタグつきパケットをブリッジします。ルーターはブリッジポートでもVIDをチェックしブリッジ対象に設定されていないVIDのパケットを受信した場合は破棄します
L2TPによるリモートアクセス型(PPPoEクライアント+PPPoE AC+L2TP LAC) (#159)
L2TPによるリモートアクセス型の設定です。ここでは、リモートユーザーからのPPP接続をPPPoE AC機能を使用して受け入れた後、自分自身がPPPoEクライアントとなってInternet経由でLNSとL2TPトンネルを張ることで、リモートユーザーからの通信をLNSへ転送するための設定です。本設定例では、リモートユーザーのドメイン名をDNSサーバーに問い合わせることによって得られるIPアドレスを、接続先のLNSのIPアドレスとして使用します。
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(ISP接続+フレッツグループアクセス〜L2TP編〜) (#141)
センター、拠点間の通信にフレッツグループアクセス(以下「FGA」と省略します)を利用する際に、インターネット(ISP)への接続はセンター側ルーターのみを経由するネットワークを構築します。
リモートアクセス型L2TP+IPsec VPNとResponder Rekey Extensionによる死活監視(クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末) (#197)
Windows XP、Windows Vista、Windows 7標準のVPNクライアント、または、iPhone、iPadや、AndroidTM OSを搭載したスマートフォン(以下、Android端末)標準のVPNクライアントから、インターネット経由で本製品のLAN側プライベートネットワークにアクセスさせるリモートアクセス型VPNの設定例です。Android端末などのISAKMP/IPsec Keep Alive機能を持たない機器との接続のためにResponder Rekey Extension機能を有効にし、IPsec SAの通信の有無を監視して通信がなくなるまでISAKMP SAの保持時間を延長します
リモートアクセス型L2TP+IPsec VPNとResponder Rekey Extensionによる死活監視(クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末)+ダイナミックDNSサービス (#198)
Windows XP、Windows Vista、Windows 7標準のVPNクライアント、または、iPhone、iPadや、AndroidTM OSを搭載したスマートフォン(以下、Android端末)標準のVPNクライアントから、インターネット経由で本製品のLAN側プライベートネットワークにアクセスさせるリモートアクセス型VPNの設定例です。Android端末などのISAKMP/IPsec Keep Alive機能を持たない機器との接続のためにResponder Rekey Extension機能を有効にし、IPsec SAの通信の有無を監視して通信がなくなるまでISAKMP SAの保持時間を延長します。さらに、ダイナミックDNSサービスを利用し、VPNクライアントの接続先をホスト名(FQDN)指定して、動的にIPアドレスが割り当てられるサイトに対してVPN接続できるようにします
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(フレッツグループアクセス〜VRRP編〜) (#143)
センター、拠点間の通信にフレッツグループアクセス(以下「FGA」と省略します)を利用する際に、センター、拠点にマスター/バックアップルーターを各1台ずつ設置し、VRRPを使用して冗長構成するネットワークを構築します。
VRRP(LAN) (#82)
VRRP(Virtual Router Redundancy Protocol)は、複数のルーターを連携させ1台のルーターであるかのように見せかけることで、IPネットワークの冗長構成を可能にする機能です。ここでは、Ethernet LAN上におけるVRRPの使用例を示します
VRRP(WAN) (#83)
VRRP(Virtual Router Redundancy Protocol)は、複数のルーターを連携させ1台のルーターであるかのように見せかけることで、IPネットワークの冗長構成を可能にする機能です。ここでは、WAN回線(メインルート:専用線、バックアップ:ISDN)を含むネットワーク構成におけるVRRPの使用例を示します
マルチグループVRRP設定 (#158)
VRRP(Virtual Router Redundancy Protocol)は、複数のルーターを連携させ1台のルーターであるかのように見せかけることで、IPネットワークの冗長構成を可能にする機能です。ここでは、マルチグループVRRPの使用例を示します。
マルチグループVRRP設定(VLAN使用) (#181)
VRRP(Virtual Router Redundancy Protocol)は、複数のルーターを連携させ1台のルーターであるかのように見せかけることで、IPネットワークの冗長構成を可能にする機能です。ここでは、VLANごとにVRRPを動作させるマルチグループVRRPの使用例を示します
広域Ethernetの回線冗長化サービスとVRRPを使用した冗長構成 (#199)
VRRP(Virtual Router Redundancy Protocol)は、複数のルーターを連携させ1台のルーターであるかのように見せかけることで、IPネットワークの冗長構成を可能にする機能です。ここでは、広域Ethernetの回線冗長化サービスを利用しVRRPを構成する例を示します
DHCPサーバー (#68)
PCなどにIPアドレスなどのIP設定パラメーターを提供するDHCPサーバー機能の基本設定です。この例ではIPまでの設定がすんでいるものと仮定して、DHCPサーバーの設定だけを解説しています
Ethernetによる端末型インターネット接続(DHCP) (#53)
ケーブルモデムやxDSLモデムを介して、Ethernetでインターネットサービスプロバイダー(ISP)に接続します(PPPoEは使用しません)。CATV系プロバイダーなどによく見られる接続形態です。この例では、DHCPによりグローバルIPアドレスを動的に割り当てられる端末型接続の基本設定を示します。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
Ethernetによる端末型インターネット接続(アドレス固定) (#52)
ケーブルモデムやxDSLモデムを介して、Ethernetでインターネットサービスプロバイダー(ISP)に接続します(PPPoEは使用しません)。CATV系プロバイダーなどによく見られる接続形態です。この例では、グローバルIPアドレスを1個固定で割り当てられる端末型接続の基本設定を示します。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
Ethernet上でのファイアウォール・スタティックNAT (#54)
Ethernet上でファイアウォールのスタティックNAT機能を使用する場合の注意点について説明します。この例では、既設のxDSLモデムルーター(ルーター機能付きモデム)の背後にファイアウォール兼NATボックスとして本製品を導入する環境を想定しています。インターネットサービスプロバイダー(ISP)からは、複数のグローバルIPアドレスをブロック単位で固定的に割り当てられているものとします。ダイナミックENATで本製品のLAN側クライアントがインターネットにアクセスできるようにし、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側に置かれたサーバー(プライベートアドレスで運用)を、スタティックNATで外部に公開します
ISDNによる端末型インターネット接続(DNSリレー/DHCPサーバー) (#9)
ISDN回線を使ってインターネットサービスプロバイダー(ISP)にダイヤルアップ接続します。接続時にアドレスを1つ割り当てられる端末型の基本設定に、DNSリレーとDHCPサーバーの設定を追加しています。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します
PPPoEによる端末型インターネット接続 WAN回線バックアップ構成 (#168)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。WAN回線を2つ用意しインターフェーストリガー機能を利用してメイン回線に障害が発生したときにバックアップ回線に切り替えることができる構成です。
PPPoEによる端末型インターネット接続 (#47)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。PPPoEは、xDSLやFTTHなどのいわゆる「ブロードバンド」系サービスで広く使用されているプロトコルです。この例は、接続時にアドレスを1つ割り当てられる端末型の基本設定です。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
PPPoEによる端末型インターネット接続(PPPoE 2セッション、ドメインごとにDNSリレー先を設定) (#134)
PPPoEマルチセッションの設定例です。ここでは、PPPoEのセッションを2本使って、グローバルインターネットと、サービス事業者のプライベートネットワークに同時接続します。各ネットワークへのパケット振り分けはスタティックな経路制御により行います。また、DNSリレー機能を利用して、プライベートドメインの名前解決にはサービス事業者のDNSサーバーを使い、その他(インターネット)の名前解決にはインターネットサービスプロバイダー(ISP)のグローバルなDNSサーバーを使うよう設定します
PPPoEによる端末型インターネット接続(スタティックENAT) (#48)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。「ブロードバンド」系サービスプロバイダーの中には、ベストエフォート型ながらも、常時接続の性質を活かしてIPアドレスを1個固定的に割り当てるサービスが見られます。このようなサービスを利用すると、接続形態は端末型でも、固定アドレスの利点を活かしてサーバーの公開やVPNの構築が容易になります。この例では、ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止しつつ、スタティックENATを利用してWebサーバーを外部に公開します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
UPnP基本設定(PPPoE端末型) (#135)
NAT経由でWindows Messengerなどのアプリケーションの諸機能を利用できるようにするUPnPの設定例です。ここでは、PPPoE端末型のインターネット接続環境を例に解説します
専用線によるインターネット接続(DNSリレー/DHCPサーバー) (#35)
専用線を使ってインターネットサービスプロバイダー(ISP)に接続します。この例では、DNSリレーとDHCPサーバーの設定を追加しています。また、ファイアウォールで外部からの不正アクセスを防止します
本社認証サーバーを利用した、リモートオフィスでのユーザー認証(IEEE 802.1X) (#179)
IEEE 802.1X認証機能を利用し、拠点を含む全社的な認証ネットワークを構築する例です
CUGサービス(端末型)を利用した3拠点間IPsec接続(インターネット接続はセンタールーター経由) (#152)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)において3つの拠点間(ハブ&スポーク型)でIPsec VPNを張り、センター側ではPPPoEセッションを2本使い片方はCUG、もう片方はインターネット(ISP)へ接続します。この例では本社と各支社のみを接続する構成とし、支社間の通信は本社経由で行うものとします
Ethernetによる端末型インターネット接続(DHCP) (#53)
ケーブルモデムやxDSLモデムを介して、Ethernetでインターネットサービスプロバイダー(ISP)に接続します(PPPoEは使用しません)。CATV系プロバイダーなどによく見られる接続形態です。この例では、DHCPによりグローバルIPアドレスを動的に割り当てられる端末型接続の基本設定を示します。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
Ethernetによる端末型インターネット接続(アドレス固定) (#52)
ケーブルモデムやxDSLモデムを介して、Ethernetでインターネットサービスプロバイダー(ISP)に接続します(PPPoEは使用しません)。CATV系プロバイダーなどによく見られる接続形態です。この例では、グローバルIPアドレスを1個固定で割り当てられる端末型接続の基本設定を示します。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
Ethernet上でのファイアウォール・スタティックNAT (#54)
Ethernet上でファイアウォールのスタティックNAT機能を使用する場合の注意点について説明します。この例では、既設のxDSLモデムルーター(ルーター機能付きモデム)の背後にファイアウォール兼NATボックスとして本製品を導入する環境を想定しています。インターネットサービスプロバイダー(ISP)からは、複数のグローバルIPアドレスをブロック単位で固定的に割り当てられているものとします。ダイナミックENATで本製品のLAN側クライアントがインターネットにアクセスできるようにし、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側に置かれたサーバー(プライベートアドレスで運用)を、スタティックNATで外部に公開します
IPsecルートテンプレート+OSPFを使用したセンター機器冗長構成 (#194)
本社側にルーター(ルーターA/ルーターB)を2台置き、支社ごとにそれぞれのルーター(ルーターC/ルーターD)とIPsec(ESP)トンネルで結ぶことでリソースを有効活用します。また、障害時には経路の切り替えが可能なVPN構築例です
ISDNによるLAN型インターネット接続 (#11)
ISDN回線を使ってインターネットサービスプロバイダー(ISP)にダイヤルアップ接続します。グローバルアドレスをブロック単位で固定的に割り当てられているLAN型接続の基本設定です。NATは使用せず、LAN側端末にグローバルアドレスを直接割り当てます。また、ファイアウォールを使って外部からの不正アクセスを防止します
ISDNによる端末型インターネット接続 (#8)
ISDN回線を使ってインターネットサービスプロバイダー(ISP)にダイヤルアップ接続します。接続時にアドレスを1つ割り当てられる端末型の基本設定です。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します
ISDNによる端末型インターネット接続(DNSリレー/DHCPサーバー) (#9)
ISDN回線を使ってインターネットサービスプロバイダー(ISP)にダイヤルアップ接続します。接続時にアドレスを1つ割り当てられる端末型の基本設定に、DNSリレーとDHCPサーバーの設定を追加しています。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します
ISDNによる端末型インターネット接続+IP2点間接続の併用 (#10)
ISDN回線を使って端末型インターネット接続とLAN間IP接続の両方を同時に行います。インターネットとの接続では、ダイナミックENATで1個のグローバルアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します
L2TPによるリモートアクセス型LAN間接続(ファイアウォールあり) (#106)
L2TPによるLAN間接続構成のうち、常にリモート側からセンター側にアクセスしてIPアドレス割り当てを受けるリモートアクセス型の設定例です。これは、PPPoE経由でPPPパケットをLACからLNSに中継するリモートアクセス型VPN構成です。この構成ではリモートユーザーが存在しませんが、リモート側ルーターがPPPoEユーザーとLACを兼ねています。また、この例では両側のルーターにファイアウォールが設定されており、センター側ではリモートからの接続によって動的に作成されるPPPインターフェースをファイアウォールポリシーに追加するため、ダイナミックインターフェーステンプレートを使用しています
L2TPによるリモートアクセス型VPNを使用したIEEE 802.1qタグ付きパケットのブリッジング(VID判定あり) (#172)
センター/リモートオフィス間でL2TPトンネルを構築し、WAN回線経由でIEEE 802.1qタグつきパケットをブリッジします。ルーターはブリッジポートでもVIDをチェックしブリッジ対象に設定されていないVIDのパケットを受信した場合は破棄します
NATループバック (#190)
LAN内に立てた公開用Webサーバーに対しLAN側のPCからアクセスする際、サーバーのプライベートアドレスではなく公開用のグローバルアドレスを使用してサーバーへアクセスさせるための設定例です。一般的にはNATループバックやヘアピンNATと呼ばれている構成です
NAT機器をはさむ2点間IPsec VPN(ESP over UDP、XAUTHによるRADIUS認証) (#91)
インターネット上に暗号化されたトンネルを張り、2つの拠点をIP接続するIPsec VPNの設定例です(自動鍵管理)。IPsecルーター間に既設のNAT機器(ダイヤルアップルーターなど)が存在する環境を想定し、NAT機器の設定を変更することなくNAT経由でIPsec(ESP)を使用するため、ESPパケットをUDPでカプセル化するESP over UDPを使用しています。また、IKEの相手ルーター認証には、既存の認証システム(ここではRADIUS)を利用できるXAUTH(拡張認証)を使っています
NAT機器をはさむ2点間IPsec VPN(ESP over UDP) (#90)
インターネット上に暗号化されたトンネルを張り、2つの拠点をIP接続するIPsec VPNの設定例です(自動鍵管理)。この例は、IPsecルーター間に既設のNAT機器(ダイヤルアップルーターなど)が存在する場合の基本設定です。ここでは、NAT機器の設定を変更することなくNAT経由でIPsec(ESP)を使用するため、ESPパケットをUDPでカプセル化するESP over UDPを使用しています
PPPoEによるLAN型インターネット接続(DMZ) (#50)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。グローバルアドレスを8個、16個などのブロック単位で固定的に割り当てられるLAN型接続の設定例です。この例では、LAN側を2つのサブネットに分割し、一方をグローバルアドレスで運用するサーバー用(DMZ)、もう一方をプライベートアドレスで運用するクライアント用とします。クライアントはダイナミックENAT経由でインターネットにアクセスします。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します
PPPoEによるLAN型インターネット接続(LAN側グローバル) (#49)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。グローバルアドレスを8個、16個などのブロック単位で固定的に割り当てられるLAN型接続の設定例です。この例では、NATを使用せず、LAN側端末にグローバルアドレスを直接割り当てます。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します
PPPoEによるLAN型インターネット接続(スタティックNAT) (#51)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。グローバルアドレスを8個、16個などのブロック単位で固定的に割り当てられるLAN型接続の設定例です。この例では、ISPから割り当てられたアドレスをルーターやホストに直接割り当てず、LAN側コンピューターはプライベートアドレスで運用します。クライアントはダイナミックENAT経由でインターネットにアクセスさせます。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、スタティックNATを使って特定のサーバーだけを外部に公開します
PPPoEによる端末型インターネット接続 WAN回線バックアップ構成 (#168)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。WAN回線を2つ用意しインターフェーストリガー機能を利用してメイン回線に障害が発生したときにバックアップ回線に切り替えることができる構成です。
PPPoEによる端末型インターネット接続 (#47)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。PPPoEは、xDSLやFTTHなどのいわゆる「ブロードバンド」系サービスで広く使用されているプロトコルです。この例は、接続時にアドレスを1つ割り当てられる端末型の基本設定です。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
PPPoEによる端末型インターネット接続(PPPoE 2セッション、ドメインごとにDNSリレー先を設定) (#134)
PPPoEマルチセッションの設定例です。ここでは、PPPoEのセッションを2本使って、グローバルインターネットと、サービス事業者のプライベートネットワークに同時接続します。各ネットワークへのパケット振り分けはスタティックな経路制御により行います。また、DNSリレー機能を利用して、プライベートドメインの名前解決にはサービス事業者のDNSサーバーを使い、その他(インターネット)の名前解決にはインターネットサービスプロバイダー(ISP)のグローバルなDNSサーバーを使うよう設定します
PPPoEによる端末型インターネット接続(スタティックENAT) (#48)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。「ブロードバンド」系サービスプロバイダーの中には、ベストエフォート型ながらも、常時接続の性質を活かしてIPアドレスを1個固定的に割り当てるサービスが見られます。このようなサービスを利用すると、接続形態は端末型でも、固定アドレスの利点を活かしてサーバーの公開やVPNの構築が容易になります。この例では、ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止しつつ、スタティックENATを利用してWebサーバーを外部に公開します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
PPPoEによる端末型インターネット接続+IPv6ブリッジによるフレッツ・スクウェア ネクスト(NTT東日本)接続 (#185)
NTT東日本のフレッツ・スクウェア ネクストに接続するための設定例です
PPPoEによる端末型インターネット接続+IPv6ブリッジによるフレッツ・スクウェアv6(NTT東日本)接続 (#177)
NTT東日本のフレッツ・スクウェアv6(http://flets.com/square/what.html)に接続するための設定例です
PPPoEによる端末型インターネット接続+IPv6ブリッジによるフレッツ・ドットネット(NTT東日本)/ フレッツ・v6アプリ(NTT西日本)接続 (#176)
PPPoEによる端末型インターネット接続と、IPv6ブリッジによるフレッツ・ドットネット(NTT東日本)、またはフレッツ・v6アプリ(NTT西日本)への接続を同時に行います
PPPoEインターネット接続環境における2点間IPsec VPN(片側アドレス不定) (#111)
PPPoEでインターネットに接続している2つの拠点をIPsecで結ぶVPN構築例です。この例では、グローバルアドレス8個を固定的に割り当てられているサイトと、グローバルアドレス1個を動的に割り当てられるサイトの間をIPsec(ESP)のトンネルで接続します。
PPPoEインターネット接続環境における2点間IPsec VPN(両側アドレス固定) (#110)
PPPoEでインターネットに接続している2つの拠点をIPsecで結ぶVPN構築例です。この例では、グローバルアドレス8個を固定的に割り当てられているサイトと、グローバルアドレス1個を固定的に割り当てられているサイトの間をIPsec(ESP)のトンネルで接続します。
PPPoEインターネット接続環境における3点間IPsec VPN(フルメッシュ、全拠点アドレス固定) (#130)
PPPoEでインターネットに接続している3つの拠点をフルメッシュのIPsec(ESP)トンネルで結ぶVPN構築例です。この例では、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信なし、支社はアドレス不定) (#133)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は行わないものとします。またこの例では、本社にのみグローバルアドレス1個が固定的に割り当てられており、各支社のルーターのアドレスは不定(動的割り当て)であると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信なし、全拠点アドレス固定) (#132)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は行わないものとします。また、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信は本社経由、全拠点アドレス固定) (#131)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は本社経由で行うものとします。また、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoEインターネット接続環境におけるPPTPパススルー (#160)
PPPoEインターネット接続環境において、ルーター配下のPPTPクライアントから対向のPPTPサーバーへPPTP接続を行えるようにします。この例は、ダイナミックENATで1個のグローバルアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します。
PPPoEマルチセッションによるフレッツ 光ネクスト サービス情報サイトとインターネット同時接続(NTT東日本) (#189)
PPPoEマルチセッションの設定例です。ここでは、PPPoEのセッションを2本使って、グローバルインターネットと、フレッツ 光ネクスト サービス情報サイトに同時接続します。各ネットワークへのパケット振り分けはスタティックな経路制御により行います。また、DNSリレー機能を利用して、フレッツ 光ネクスト サービス情報サイト側と、その他(インターネット)の名前解決にはそれぞれのDNSサーバーを使うよう設定します
PPPoEマルチセッションによる端末型インターネット接続+CUGサービス接続(LAN型) (#138)
PPPoEセッションを2本使い、インターネット(ISP)接続とCUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(プロ、NTT東日本)、フレッツ・グループ(ビジネスメニュー、NTT西日本))の「LAN型払い出し」を同時に利用します。パケットの振り分けはスタティックな経路制御により行います
PPPoEマルチセッションによる端末型インターネット接続+CUGサービス接続(端末型) (#137)
PPPoEセッションを2本使い、インターネット(ISP)接続とCUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本))の「端末型払い出し」を同時に利用します。パケットの振り分けはスタティックな経路制御により行います
PPPoE接続環境における2点間IPsec VPN(ARルーター側アドレス不定、SRX210対向) (#191)
PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から動的にIPアドレスが割り当てられるルーター(ルーターA:ARルーター)と固定IPアドレスが割り当てられているルーター(ルーターB:SRX210)をIPsec(ESP)トンネルで接続します
PPPoE接続環境における2点間IPsec VPN(ARルーター側アドレス不定、SSG550対向) (#182)
PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から動的にIPアドレスが割り当てられるルーター(ルーターA:ARルーター)と固定IPアドレスが割り当てられているルーター(ルーターB:SSG550)をIPsec(ESP)トンネルで接続します
PPPoE接続環境における2点間IPsec VPN(両側アドレス固定、SSG550対向) (#183)
PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から固定IPアドレスが割り当てられるルーター(ルーターA:ARルーター)と固定IPアドレスが割り当てられているルーター(ルーターB:SSG550)をIPsec(ESP)トンネルで接続します
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(ISP接続+フレッツグループアクセス〜L2TP編〜) (#141)
センター、拠点間の通信にフレッツグループアクセス(以下「FGA」と省略します)を利用する際に、インターネット(ISP)への接続はセンター側ルーターのみを経由するネットワークを構築します。
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(インターネットVPN+ISDNバックアップ〜IPsec編〜) (#142)
センター、拠点間をIPsec VPN環境でIP接続するネットワークを構築します。
QoS基本設定例(PPPoEインターネット接続環境における2点間IPsec VPN、両側アドレス固定) (#148)
QoS機能の基本設定例です。ここでは、IPsecトンネルで接続された2つの拠点間でトラフィックの制御を行います。なおこの例では、両拠点ともPPPoEでインターネットに接続しており、それぞれがグローバルアドレス1個を固定的に割り当てられていると仮定しています
RSAデジタル署名を利用したIPsec VPN(PKIX-CMPによるオンライン登録) (#92)
IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です(自動鍵管理)。この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証します。ここでは、PKIX-CMPプロトコルを利用して、自分の公開鍵証明書の発行要求をオンラインでCA(認証局)に送信する例を示します。ルーターのアドレスは両方とも固定であると仮定します。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネット通信もできるように設定します
RSAデジタル署名を利用したIPsec VPN(手動登録、片側のアドレス不定) (#94)
2拠点間をインターネット経由でIPsec接続するVPNの設定例です(自動鍵管理)。ここでは片側がアドレス固定(専用線)、もう一方がアドレス不定(PPPoE接続)となる場合を取り上げます。なお、この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証し、公開鍵証明書の発行要求をオフラインで行います。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネットへの通信も可能となるように設定します。
RSAデジタル署名を利用したIPsec VPN(手動登録) (#93)
IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です(自動鍵管理)。この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証します。ここでは、公開鍵証明書の発行要求をオフラインで行う例を示します。ルーターのアドレスは両方とも固定であると仮定します。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネット通信もできるように設定します
UPnP基本設定(PPPoE端末型) (#135)
NAT経由でWindows Messengerなどのアプリケーションの諸機能を利用できるようにするUPnPの設定例です。ここでは、PPPoE端末型のインターネット接続環境を例に解説します
WANロードバランスを使用した3点間VPN接続(自動鍵、全アドレス固定、インターネットアクセスあり) (#151)
xDSL回線を2本使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、VPN接続でインターネット上の3拠点間を結びます。またWANロードバランスの方式としては、トラフィックを均等に配分するRound Robinモードを使います
WANロードバランス機能によるトラフィック負荷分散(Round Robinモード) (#146)
xDSL回線を2本使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、トラフィックを均等に配分するRound Robinモードを使います。
WANロードバランス機能によるトラフィック負荷分散(Weighted Fast Response モード) (#166)
ヘルスチェック機能によって、WANロードバランスのインターフェースからヘルスチェック用ホストに対してICMPエコー要求が送信され、応答時間によりWeighted fast responseモードの負荷分散を行います。xDSL回線を2本使用し、それぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。
WANロードバランス機能によるトラフィック負荷分散(Weighted Least Connect モード) (#167)
各リソースに設定されたWeightとリソース上にあるセッション数から負荷分散の基準となるWLC値(Weighted Least Connect値)を算出し、WLC値が大きいリソースにセッションを割り振り、負荷分散を行います。xDSL回線を2本使用し、それぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。
WANロードバランス機能によるトラフィック負荷分散(Weighted Lotteryモード) (#147)
xDSL回線(約10Mbps)と光ファイバー回線(約100Mbps)を使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、Weighted Lotteryモードを使用して、トラフィックを回線速度比に応じて配分するよう設定します
アプリケーションゲートウェイ(HTTPプロキシー) (#129)
HTTPクライアント(Webブラウザーなど)とWebサーバー間の通信を仲介することで、クライアントが特定のURLにアクセスできないようにしたり、サーバーからのCookies設定要求を拒否したりすることのできるHTTPプロキシーの設定例です。PPPoEによる端末型インターネット接続環境を例としています。なお、本機能を使用するためには別途ライセンスが必要です
アプリケーションゲートウェイ(SMTPプロキシー) (#107)
メールサーバー間の通信を仲介することで、不正なメールリレーやspamメールを防止することのできるSMTPプロキシーの設定例です。PPPoEによるインターネット接続環境を例としています。
アプリケーションディテクションシステム(P2P Filter) (#192)
WAN側およびLAN側からのWinny通信を検知/破棄できるようにするアプリケーションディテクションシステム(P2P Filter)の設定例です。この例ではPPPoE による端末型インターネット接続環境を例としています
センター/リモート間でIPv6マルチキャストネットワークの構築 (#175)
IPv6 over IPv4トンネリングを利用し、拠点間でPIM6-SMを使用したマルチキャストルーティングを行います
ダイナミックDNSサービスを利用したホスト名(FQDN)によるIPsec接続 (#174)
通常、インターネット VPN を構築する際は、最低1拠点に固定グローバル IP アドレスが必要ですが、ダイナミックDNSサービスを利用すれば、VPNの接続先をIPアドレスではなく、ダイナミックDNSサービスサイトに登録したホスト名(FQDN)で指定できるようになります。これにより、すべての拠点が動的 IP アドレスの場合でも、インターネットVPNを構築することが可能となります
トンネリングによるIPv6インターネット接続(PPPoEアドレス1個固定環境) (#121)
IPv6 over IPv4トンネリングによってIPv6インターネットに接続します。この例では、インターネットサービスプロバイダー(ISP)とPPPoEで接続(IPv4グローバルアドレス1個固定)していることを前提に、ISPが提供するIPv6トンネル接続サービスを利用してグローバルIPv6ネットワークに接続します。IPv4では、ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。一方、IPv6では、IPv6フィルターを使って外部からの不正アクセスを防止しつつ、内部からは自由にIPv6インターネットにアクセスできるようにします
トンネリングによるIPv6インターネット接続(専用線環境) (#120)
IPv6 over IPv4トンネリングによってIPv6インターネットに接続します。この例では、インターネットサービスプロバイダー(ISP)と専用線でIPv4接続していることを前提に、ISPが提供するIPv6トンネル接続サービスを利用してグローバルIPv6ネットワークに接続します。IPv4ではファイアウォールを使ってDMZ構成をとり、IPv6ではIPv6フィルターを使って外部からのアクセスを制御します
専用線によるインターネット接続(DMZ) (#32)
専用線を使ってインターネットサービスプロバイダー(ISP)に接続します。この例では、LAN側を2つのサブネットに分割し、一方をグローバルアドレスで運用するサーバー用、もう一方をプライベートアドレスで運用するクライアント用とします。クライアントはダイナミックENAT経由でインターネットにアクセスします。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します
専用線によるインターネット接続(DNSリレー/DHCPサーバー) (#35)
専用線を使ってインターネットサービスプロバイダー(ISP)に接続します。この例では、DNSリレーとDHCPサーバーの設定を追加しています。また、ファイアウォールで外部からの不正アクセスを防止します
専用線によるインターネット接続(LAN側グローバル) (#30)
専用線を使ってインターネットサービスプロバイダー(ISP)にLAN型で接続します。この例では、NATを使用せず、LAN側端末にグローバルアドレスを直接割り当てます。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します
内部NATを使用した、同一ネットワークアドレスを持つ拠点間のIPsec VPN通信 (#180)
PPPoEでインターネットに接続され、同一のネットワークアドレス(プライベートアドレス)で運用している拠点間をIPsecにより接続します
本社認証サーバーを利用した、リモートオフィスでのユーザー認証(IEEE 802.1X) (#179)
IEEE 802.1X認証機能を利用し、拠点を含む全社的な認証ネットワークを構築する例です
BGP-4:2つのISPに対するマルチホーム(ASパス長の操作による負荷分散) (#125)
ドメイン間経路制御プロトコルBGP-4(Border Gateway Protocol version 4)の設定例です。ここでは、2つのISPに接続するマルチホームの構成例を示します。BGP-4では、経路情報にさまざまな「属性」を付加することにより、他ASの経路選択プロセスに影響を与えることができます。この例では、各ISPに通知する経路のAS_PATH(ASパス)属性を操作することにより、下りトラフィックの負荷分散を試みます。また、自AS宛でないトラフィックの通過(トランジットサービス)を行わないよう設定します
BGP-4:ASコンフェデレーション (#126)
ドメイン間経路制御プロトコルBGP-4(Border Gateway Protocol version 4)の設定例です。ここでは、大きなASを複数のサブASに分割し、サブAS間でコンフェデレーションE-BGPセッションを張るコンフェデレーションASの設定方法を示します。同一AS内のBGPセッションはI-BGP(内部BGP)と呼ばれますが、I-BGPセッションでは他のI-BGPピアから受信した経路情報を再配布できないため、大きなASではI-BGPセッションをフルメッシュで張る必要があります。ASをサブASに分割することにより、I-BGPセッション数を少なくすることができます
BGP-4:センターに対するマルチホーム(MED値による負荷分散) (#124)
ドメイン間経路制御プロトコルBGP-4(Border Gateway Protocol version 4)の設定例です。ここでは、CUG(Closed Users Group)サービスにおいてL2TP + IPsecを使用して、センターに複数回線で接続するマルチホームの構成例を示します。BGP-4では、経路情報にさまざまな「属性」を付加することにより、他ASの経路選択プロセスに影響を与えることができます。この例では、MULTI_EXIT_DISC(MED)属性を利用して下りトラフィックの負荷分散を試みます
BGP-4:基本設定例 (#123)
ドメイン間経路制御プロトコルBGP-4(Border Gateway Protocol version 4)の基本設定例です。シンプルなネットワーク構成を例に、I-BGP(内部BGP)とE-BGP(外部BGP)の両方の設定方法を示します
CUGサービス(LAN型)を利用したIP2点間接続 (#136)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(プロ、NTT東日本)、フレッツ・グループ(ビジネスメニュー、NTT西日本))の「LAN型払い出し」を利用して、2拠点間をIP接続するための基本設定例です。CUGサービスを利用すると、各拠点間でPCのファイル共有などが可能になります。ここでは、要点を示すため、必要最小限の設定だけを示します
CUGサービス(端末型)を利用した3拠点間IPsec接続(インターネット接続はセンタールーター経由) (#152)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)において3つの拠点間(ハブ&スポーク型)でIPsec VPNを張り、センター側ではPPPoEセッションを2本使い片方はCUG、もう片方はインターネット(ISP)へ接続します。この例では本社と各支社のみを接続する構成とし、支社間の通信は本社経由で行うものとします
CUGサービスを利用した3拠点間L2TP接続(インターネット接続はセンタールーター経由) (#161)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本))の「端末型払い出し」を利用し、3拠点をL2TPで接続します。センター側のルーターでPPPoEセッションを2本使用し、インターネット(ISP)接続を行い、各拠点からのインターネット(ISP)接続はセンター側のルーターを経由します。パケットの振り分けはスタティックな経路制御により行います
CUGサービスを利用した3拠点間L2TP接続(インターネット接続は各ルーター経由) (#162)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本))の「端末型払い出し」を利用し、3拠点をL2TPで接続します。各ルーターでPPPoEセッションを2本使用し、インターネット(ISP)接続を行います。パケットの振り分けはスタティックな経路制御により行います。なお、支店間(ルーターB−ルーターC)の通信は許可していません。
CUGサービスを利用した拠点間のPIM-DMによるIPマルチキャストルーティング(L2TP) (#153)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)を利用し、拠点間で、PIM-DMを使用したマルチキャストルーティングを行います。
CUGサービスを利用した拠点間のPIM-DMによるIPマルチキャストルーティング(L2TP+IPsec) (#163)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本))の「端末型払い出し」を利用し、拠点間でIPsec通信を行い、PIM-DMを使用したマルチキャスト ルーティングを行います
CUGサービスを利用した拠点間のPIM-SMによるIPマルチキャストルーティング(L2TP) (#154)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)を利用し、拠点間で、PIM-SMを使用したマルチキャストルーティングを行います
DHCPv6サーバー基本設定 (#156)
PCなどにIPv6アドレスなどのIP設定パラメーターを提供するDHCPv6サーバー機能の基本設定です。この例ではIPv6インターフェースの設定がすんでいるものと仮定して、DHCPv6サーバーの設定だけを解説しています。
DHCPサーバー (#68)
PCなどにIPアドレスなどのIP設定パラメーターを提供するDHCPサーバー機能の基本設定です。この例ではIPまでの設定がすんでいるものと仮定して、DHCPサーバーの設定だけを解説しています
DNSリレー (#69)
DNSリレーは、ルーターに対するDNSリクエストを実際のDNSサーバーに中継する機能です。クライアント側で本製品をDNSサーバーに指定しておけば、サーバーのアドレスが変更されても、本製品に設定されているサーバーアドレスを変更するだけですむため、管理・保守効率が向上します。ここでは、IPまでの設定がすんでいるものと仮定して、DNSリレーの設定だけを解説しています
DNSリレー(+DNSキャッシュ) (#127)
DNSキャッシュ機能は、DNSサーバーからの応答をルーターのメモリーに保存しておくことで、2回目以降DNSサーバーへの問い合わせを行わずにメモリー上の情報を参照する機能です。DNSキャッシュは、ルーター自身がアドレス解決する場合とDNSリレー機能で別ホストの要求を処理するときの両方で有効です。ここでは、DNSリレー機能と組み合わせて、LAN側からISPのDNSに対する問い合わせを減らす設定例を示します
DNSリレー(ドメインごとにリレー先を設定) (#128)
DNSリレー機能では、解決対象のドメインごとに異なるDNSサーバーにリレーする設定が可能です。ここでは、IPまでの設定がすんでいるものと仮定して、DNSサーバー振り分けの設定を解説します
EthernetによるIP2点間接続(プロキシーARP) (#27)
Ethernet上の2つの拠点をIP接続します。この例では、センター側LANのアドレスの一部をリモート側に割り当て、プロキシーARPによってルーティングする例を示しています。
Ethernetによる端末型インターネット接続(DHCP) (#53)
ケーブルモデムやxDSLモデムを介して、Ethernetでインターネットサービスプロバイダー(ISP)に接続します(PPPoEは使用しません)。CATV系プロバイダーなどによく見られる接続形態です。この例では、DHCPによりグローバルIPアドレスを動的に割り当てられる端末型接続の基本設定を示します。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
Ethernetによる端末型インターネット接続(アドレス固定) (#52)
ケーブルモデムやxDSLモデムを介して、Ethernetでインターネットサービスプロバイダー(ISP)に接続します(PPPoEは使用しません)。CATV系プロバイダーなどによく見られる接続形態です。この例では、グローバルIPアドレスを1個固定で割り当てられる端末型接続の基本設定を示します。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
Ethernet上でのファイアウォール・スタティックNAT (#54)
Ethernet上でファイアウォールのスタティックNAT機能を使用する場合の注意点について説明します。この例では、既設のxDSLモデムルーター(ルーター機能付きモデム)の背後にファイアウォール兼NATボックスとして本製品を導入する環境を想定しています。インターネットサービスプロバイダー(ISP)からは、複数のグローバルIPアドレスをブロック単位で固定的に割り当てられているものとします。ダイナミックENATで本製品のLAN側クライアントがインターネットにアクセスできるようにし、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側に置かれたサーバー(プライベートアドレスで運用)を、スタティックNATで外部に公開します
IGMPプロキシー機能設定 (#157)
IGMPプロキシー機能はHostからのIGMPパケットを上位のルーターに転送する機能です。マルチキャスト配送ツリーの下層部のネットワークのようにマルチキャストサーバー(Sender)からのストリームの経路が固定されているような環境でこの機能を利用することにより、通常ルーター間で必要なマルチキャストルーティングプロトコルを使用せずにマルチキャストパケットを転送することが可能です。
IPsecルートテンプレート+OSPFを使用したセンター機器冗長構成 (#194)
本社側にルーター(ルーターA/ルーターB)を2台置き、支社ごとにそれぞれのルーター(ルーターC/ルーターD)とIPsec(ESP)トンネルで結ぶことでリソースを有効活用します。また、障害時には経路の切り替えが可能なVPN構築例です
IPフィルター (#67)
IPフィルターは、IP、TCP、UDP、ICMPなどのヘッダー情報をもとに、パケットの通過・拒否を制御する機能です。この例では、IPフィルターの基本的な設定方法を、PPPoEインターネット接続環境におけるL2TP LAN間接続の構成例をもとに解説します。
IPマルチキャスト(DVMRP) (#108)
IGMPとDVMRPを利用したマルチキャストルーティングの設定例です。ここでは、CUG(Closed Users Group)サービスを利用したL2TP(Layer 2 Tunneling Protocol)による2点間接続の構成をもとに解説します。
IPルートフィルター (#109)
IPルートフィルターを使って、ルーティングプロトコルによって通知される経路情報のうち、特定の経路を受信・伝播しないように設定します
ISDNによるIP2点間接続 (#1)
ISDN回線を使って2つの拠点をIP接続します
ISDNによるIP2点間接続(BAP/BACPによる帯域制御) (#4)
ISDN回線を使って2つの拠点をIP接続します。この例では、BAP/BACPを使って帯域制御を行うときのポイントについて解説しています
ISDNによるIP2点間接続(PRI) (#5)
ISDN回線を使って2つの拠点をIP接続します。WAN側インターフェースとしてPRI(AR020)を使う場合の例です
ISDNによるIP2点間接続(トリガーによる接続時間制限) (#2)
ISDN回線を使って2つの拠点をIP接続します。また、定時トリガーを利用して接続可能な時間帯を制限します
ISDNによるIP3点間接続(発信者番号識別) (#7)
ISDN回線を使って3つの拠点をIP接続します。この例では着信呼の識別に発信者番号を使用しています
ISDNによるLAN型インターネット接続 (#11)
ISDN回線を使ってインターネットサービスプロバイダー(ISP)にダイヤルアップ接続します。グローバルアドレスをブロック単位で固定的に割り当てられているLAN型接続の基本設定です。NATは使用せず、LAN側端末にグローバルアドレスを直接割り当てます。また、ファイアウォールを使って外部からの不正アクセスを防止します
ISDNによる端末型インターネット接続 (#8)
ISDN回線を使ってインターネットサービスプロバイダー(ISP)にダイヤルアップ接続します。接続時にアドレスを1つ割り当てられる端末型の基本設定です。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します
ISDNによる端末型インターネット接続(DNSリレー/DHCPサーバー) (#9)
ISDN回線を使ってインターネットサービスプロバイダー(ISP)にダイヤルアップ接続します。接続時にアドレスを1つ割り当てられる端末型の基本設定に、DNSリレーとDHCPサーバーの設定を追加しています。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します
ISDNによる端末型インターネット接続+IP2点間接続の併用 (#10)
ISDN回線を使って端末型インターネット接続とLAN間IP接続の両方を同時に行います。インターネットとの接続では、ダイナミックENATで1個のグローバルアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します
ISDNコールバック (#15)
Dチャンネルレベルで相手を識別してコールバックするISDN(無課金)コールバックの設定例です。IP2点間接続の構成例をもとに説明しています
ISDN経由でのPPPダイヤルアップ受け入れ(アドレス固定割り当て) (#17)
ISDN経由でリモートユーザーからのダイヤルアップPPP接続を受け入れるアクセスサーバー的な設定例です。この例では、ルーターのユーザー認証データベースを使って、ユーザーごとにIPアドレスを固定的に割り当てています
ISDN経由でのPPPダイヤルアップ受け入れ(アドレス動的割り当て) (#18)
ISDN経由でリモートユーザーからのダイヤルアップPPP接続を受け入れるアクセスサーバー的な設定例です。この例では、IPプール機能を使って、アドレスプールの中から使用されていないアドレスを動的に割り当てます
L2TP+IPsec によるリモートアクセス型 VPN を使用した IEEE 802.1q タグ付きパケットのブリッジング (#173)
センター/リモートオフィス間のL2TPトンネルをIPsec(ESP)で暗号化しデータの安全性を確保しつつ、WAN 回線経由でIEEE 802.1q タグ付きパケットをブリッジし、VLAN ネットワークを共有します
L2TP+IPsecによるリモートアクセス型VPN(LNS/LAC) (#105)
L2TP + IPsec によるリモートアクセス型 VPN 接続(L2TP LAC および L2TP LNS)の設定です。ここでは、L2TP LNS リモートユーザーからの PPP 接続を PPPoE AC 機能を使用して受け入れた後、LAC・LNS 間の L2TP トンネルを IPsec (ESP) で暗号化し、リモートユーザーからの 通信を LNS へ転送するための設定を示します
L2TP+IPsecを用いた2拠点間接続+回線冗長(OSPF) (#165)
広域EthernetサービスとCUG(Closed Users Group)サービスを利用し、広域Ethernetをメイン回線、CUGをバックアップ回線として使用します。広域Ethernet側で、通信経路断となった場合、OSPFで経路情報を更新し、CUG側のネットワークへ経路を切り替えます。CUG側の通信はIPsecを使用します。
L2TPによるLAN間接続基本設定(ブリッジング) (#97)
L2TPによるLAN間ブリッジ接続の基本設定です。ここでは、IPだけしかルーティングされないLAN環境において、2つのサブネット間にL2TPのトンネルを張り、NetBEUIをブリッジングする例を示します。LAN上でのトンネリングという点が若干変則的ですが、L2TPルーター同士がIPで通信できさえすれば、どのような環境にでも適用できる構成です
L2TPによるリモートアクセス型LAN間接続(ファイアウォールあり) (#106)
L2TPによるLAN間接続構成のうち、常にリモート側からセンター側にアクセスしてIPアドレス割り当てを受けるリモートアクセス型の設定例です。これは、PPPoE経由でPPPパケットをLACからLNSに中継するリモートアクセス型VPN構成です。この構成ではリモートユーザーが存在しませんが、リモート側ルーターがPPPoEユーザーとLACを兼ねています。また、この例では両側のルーターにファイアウォールが設定されており、センター側ではリモートからの接続によって動的に作成されるPPPインターフェースをファイアウォールポリシーに追加するため、ダイナミックインターフェーステンプレートを使用しています
L2TPによるリモートアクセス型VPN(LNS/LAC) (#104)
L2TPによるリモートアクセス型接続(L2TP LACおよびL2TP LNS)の設定です。ここでは、L2TP LACとL2TP LNSリモートユーザーからのPPP接続をPPPoE AC機能を使用して受け入れたあと、自分自身がPPPoEクライアントとなって Internet 経由でLNSとL2TPトンネルを張ることで、リモートユーザーからの通信をLNSへ転送するための設定を示します
L2TPによるリモートアクセス型VPNを使用したIEEE 802.1qタグ付きパケットのブリッジング(VID判定あり) (#172)
センター/リモートオフィス間でL2TPトンネルを構築し、WAN回線経由でIEEE 802.1qタグつきパケットをブリッジします。ルーターはブリッジポートでもVIDをチェックしブリッジ対象に設定されていないVIDのパケットを受信した場合は破棄します
L2TPによるリモートアクセス型(PPPoEクライアント+PPPoE AC+L2TP LAC) (#159)
L2TPによるリモートアクセス型の設定です。ここでは、リモートユーザーからのPPP接続をPPPoE AC機能を使用して受け入れた後、自分自身がPPPoEクライアントとなってInternet経由でLNSとL2TPトンネルを張ることで、リモートユーザーからの通信をLNSへ転送するための設定です。本設定例では、リモートユーザーのドメイン名をDNSサーバーに問い合わせることによって得られるIPアドレスを、接続先のLNSのIPアドレスとして使用します。
NAT(Network Address Translation) (#70)
本製品が持つ2種類のNAT機能(IP NATとファイアウォールNAT)のうち、IPモジュールの一部として実装されているIP NAT(レンジNAT)の設定についてまとめます。なお、2つのNATの併用はできませんので、ファイアウォール機能を使用する場合はレンジNATではなくファイアウォールNATを使ってください
NATループバック (#190)
LAN内に立てた公開用Webサーバーに対しLAN側のPCからアクセスする際、サーバーのプライベートアドレスではなく公開用のグローバルアドレスを使用してサーバーへアクセスさせるための設定例です。一般的にはNATループバックやヘアピンNATと呼ばれている構成です
NAT機器をはさむ2点間IPsec VPN(ESP over UDP、XAUTHによるRADIUS認証) (#91)
インターネット上に暗号化されたトンネルを張り、2つの拠点をIP接続するIPsec VPNの設定例です(自動鍵管理)。IPsecルーター間に既設のNAT機器(ダイヤルアップルーターなど)が存在する環境を想定し、NAT機器の設定を変更することなくNAT経由でIPsec(ESP)を使用するため、ESPパケットをUDPでカプセル化するESP over UDPを使用しています。また、IKEの相手ルーター認証には、既存の認証システム(ここではRADIUS)を利用できるXAUTH(拡張認証)を使っています
NAT機器をはさむ2点間IPsec VPN(ESP over UDP) (#90)
インターネット上に暗号化されたトンネルを張り、2つの拠点をIP接続するIPsec VPNの設定例です(自動鍵管理)。この例は、IPsecルーター間に既設のNAT機器(ダイヤルアップルーターなど)が存在する場合の基本設定です。ここでは、NAT機器の設定を変更することなくNAT経由でIPsec(ESP)を使用するため、ESPパケットをUDPでカプセル化するESP over UDPを使用しています
NTTドコモ ワイドスターII端末(衛星可搬端末01)によるインターネット接続 (#193)
NTTドコモの衛星電話サービス「ワイドスターII」に対応した「衛星可搬端末01」を使用してインターネットサービスプロバイダー(ISP)に接続します。本製品はPPPoEにて衛星可搬端末01と接続します。この例は、接続時にアドレスを1つ割り当てられる端末型の基本設定です。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
OSPF ASBR(AS境界ルーター)設定例 (#74)
異なるルーティングドメインの境界に位置するルーターをAS境界ルーター(ASBR)と呼びます。ここでは、OSPFドメインとRIPドメインの境界に位置するASBRの設定例を示します
OSPF基本設定例 (#73)
リンクステート型のダイナミックルーティングプロトコルOSPF(Open Shortest Path First)の基本設定例です。PPPoEインターネット接続環境におけるL2TP LAN間接続の構成例をもとに解説します。 ここではL2TPを併用することでL2TPのトンネルを作成し、OSPFのパケットをL2TPパケットにカプセル化して対向のルーターと経路情報の交換を行います。
PPPoE AC 基本設定(IPアドレス動的割り当て) (#155)
PPPoE 経由でリモートユーザーからのPPPoE接続を受け入れるAccess Concentratorの設定例です。この例では、IPアドレスプール機能を使用し、IPアドレスプールの中から使用されていないアドレスを動的に割り当てます。
PPPoE ACによるRADIUS認証と公平制御 (#164)
リモートユーザーからの PPP 接続を PPPoE AC(Access Concentrator) 機能を使用して受け入れたあと、RADIUSサーバーへ認証を行うことで、限定されたリモートユーザーからの通信のみを許可します。また、QoSの設定により、帯域全体をリモートユーザー同士で公平に割り当て、帯域に余裕がある場合にはその帯域も利用します。
PPPoEによるLAN型インターネット接続(DMZ) (#50)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。グローバルアドレスを8個、16個などのブロック単位で固定的に割り当てられるLAN型接続の設定例です。この例では、LAN側を2つのサブネットに分割し、一方をグローバルアドレスで運用するサーバー用(DMZ)、もう一方をプライベートアドレスで運用するクライアント用とします。クライアントはダイナミックENAT経由でインターネットにアクセスします。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します
PPPoEによるLAN型インターネット接続(LAN側グローバル) (#49)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。グローバルアドレスを8個、16個などのブロック単位で固定的に割り当てられるLAN型接続の設定例です。この例では、NATを使用せず、LAN側端末にグローバルアドレスを直接割り当てます。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します
PPPoEによるLAN型インターネット接続(スタティックNAT) (#51)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。グローバルアドレスを8個、16個などのブロック単位で固定的に割り当てられるLAN型接続の設定例です。この例では、ISPから割り当てられたアドレスをルーターやホストに直接割り当てず、LAN側コンピューターはプライベートアドレスで運用します。クライアントはダイナミックENAT経由でインターネットにアクセスさせます。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、スタティックNATを使って特定のサーバーだけを外部に公開します
PPPoEによる端末型インターネット接続 WAN回線バックアップ構成 (#168)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。WAN回線を2つ用意しインターフェーストリガー機能を利用してメイン回線に障害が発生したときにバックアップ回線に切り替えることができる構成です。
PPPoEによる端末型インターネット接続 (#47)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。PPPoEは、xDSLやFTTHなどのいわゆる「ブロードバンド」系サービスで広く使用されているプロトコルです。この例は、接続時にアドレスを1つ割り当てられる端末型の基本設定です。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
PPPoEによる端末型インターネット接続(IPプロトコルに基づくプライオリティールーティング) (#39)
PPPoEインターネット接続環境において、IPプライオリティーフィルターを使用し、TCPとUDPでパケット転送時の優先度に差を付けるように設定します。この例は、ダイナミックENATで1個のグローバルアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。
PPPoEによる端末型インターネット接続(PPPoE 2セッション、ドメインごとにDNSリレー先を設定) (#134)
PPPoEマルチセッションの設定例です。ここでは、PPPoEのセッションを2本使って、グローバルインターネットと、サービス事業者のプライベートネットワークに同時接続します。各ネットワークへのパケット振り分けはスタティックな経路制御により行います。また、DNSリレー機能を利用して、プライベートドメインの名前解決にはサービス事業者のDNSサーバーを使い、その他(インターネット)の名前解決にはインターネットサービスプロバイダー(ISP)のグローバルなDNSサーバーを使うよう設定します
PPPoEによる端末型インターネット接続(スタティックENAT) (#48)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。「ブロードバンド」系サービスプロバイダーの中には、ベストエフォート型ながらも、常時接続の性質を活かしてIPアドレスを1個固定的に割り当てるサービスが見られます。このようなサービスを利用すると、接続形態は端末型でも、固定アドレスの利点を活かしてサーバーの公開やVPNの構築が容易になります。この例では、ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止しつつ、スタティックENATを利用してWebサーバーを外部に公開します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
PPPoEによる端末型インターネット接続+IPv6ブリッジによるフレッツ・スクウェア ネクスト(NTT東日本)接続 (#185)
NTT東日本のフレッツ・スクウェア ネクストに接続するための設定例です
PPPoEによる端末型インターネット接続+IPv6ブリッジによるフレッツ・スクウェアv6(NTT東日本)接続 (#177)
NTT東日本のフレッツ・スクウェアv6(http://flets.com/square/what.html)に接続するための設定例です
PPPoEによる端末型インターネット接続+IPv6ブリッジによるフレッツ・ドットネット(NTT東日本)/ フレッツ・v6アプリ(NTT西日本)接続 (#176)
PPPoEによる端末型インターネット接続と、IPv6ブリッジによるフレッツ・ドットネット(NTT東日本)、またはフレッツ・v6アプリ(NTT西日本)への接続を同時に行います
PPPoEインターネット接続環境における2点間IPsec VPN(片側アドレス不定) (#111)
PPPoEでインターネットに接続している2つの拠点をIPsecで結ぶVPN構築例です。この例では、グローバルアドレス8個を固定的に割り当てられているサイトと、グローバルアドレス1個を動的に割り当てられるサイトの間をIPsec(ESP)のトンネルで接続します。
PPPoEインターネット接続環境における2点間IPsec VPN(両側アドレス固定) (#110)
PPPoEでインターネットに接続している2つの拠点をIPsecで結ぶVPN構築例です。この例では、グローバルアドレス8個を固定的に割り当てられているサイトと、グローバルアドレス1個を固定的に割り当てられているサイトの間をIPsec(ESP)のトンネルで接続します。
PPPoEインターネット接続環境における3点間IPsec VPN(フルメッシュ、全拠点アドレス固定) (#130)
PPPoEでインターネットに接続している3つの拠点をフルメッシュのIPsec(ESP)トンネルで結ぶVPN構築例です。この例では、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信なし、支社はアドレス不定) (#133)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は行わないものとします。またこの例では、本社にのみグローバルアドレス1個が固定的に割り当てられており、各支社のルーターのアドレスは不定(動的割り当て)であると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信なし、全拠点アドレス固定) (#132)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は行わないものとします。また、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信は本社経由、全拠点アドレス固定) (#131)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は本社経由で行うものとします。また、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoEインターネット接続環境におけるPPTPパススルー (#160)
PPPoEインターネット接続環境において、ルーター配下のPPTPクライアントから対向のPPTPサーバーへPPTP接続を行えるようにします。この例は、ダイナミックENATで1個のグローバルアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します。
PPPoEマルチセッションによるフレッツ 光ネクスト サービス情報サイトとインターネット同時接続(NTT東日本) (#189)
PPPoEマルチセッションの設定例です。ここでは、PPPoEのセッションを2本使って、グローバルインターネットと、フレッツ 光ネクスト サービス情報サイトに同時接続します。各ネットワークへのパケット振り分けはスタティックな経路制御により行います。また、DNSリレー機能を利用して、フレッツ 光ネクスト サービス情報サイト側と、その他(インターネット)の名前解決にはそれぞれのDNSサーバーを使うよう設定します
PPPoEマルチセッションによる端末型インターネット接続(IPプロトコルに基づくポリシールーティング) (#41)
PPPoEマルチセッション接続環境において、IPポリシーフィルターを使用し、特定のプロトコルのトラフィックを所望の経路を経由するように設定します。この例は、ダイナミックENATで1個のグローバルアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。
PPPoEマルチセッションによる端末型インターネット接続+CUGサービス接続(LAN型) (#138)
PPPoEセッションを2本使い、インターネット(ISP)接続とCUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(プロ、NTT東日本)、フレッツ・グループ(ビジネスメニュー、NTT西日本))の「LAN型払い出し」を同時に利用します。パケットの振り分けはスタティックな経路制御により行います
PPPoEマルチセッションによる端末型インターネット接続+CUGサービス接続(端末型) (#137)
PPPoEセッションを2本使い、インターネット(ISP)接続とCUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本))の「端末型払い出し」を同時に利用します。パケットの振り分けはスタティックな経路制御により行います
PPPoE接続環境における2点間IPsec VPN(ARルーター側アドレス不定、SRX210対向) (#191)
PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から動的にIPアドレスが割り当てられるルーター(ルーターA:ARルーター)と固定IPアドレスが割り当てられているルーター(ルーターB:SRX210)をIPsec(ESP)トンネルで接続します
PPPoE接続環境における2点間IPsec VPN(ARルーター側アドレス不定、SSG550対向) (#182)
PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から動的にIPアドレスが割り当てられるルーター(ルーターA:ARルーター)と固定IPアドレスが割り当てられているルーター(ルーターB:SSG550)をIPsec(ESP)トンネルで接続します
PPPoE接続環境における2点間IPsec VPN(両側アドレス固定、SSG550対向) (#183)
PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から固定IPアドレスが割り当てられるルーター(ルーターA:ARルーター)と固定IPアドレスが割り当てられているルーター(ルーターB:SSG550)をIPsec(ESP)トンネルで接続します
PPPリンクの圧縮(STAC LZS) (#65)
STAC LZSアルゴリズムによるPPPリンク圧縮の使用例です。専用線によるIP2点間接続の構成例をもとに解説します
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(ISP接続+フレッツグループアクセス〜L2TP編〜) (#141)
センター、拠点間の通信にフレッツグループアクセス(以下「FGA」と省略します)を利用する際に、インターネット(ISP)への接続はセンター側ルーターのみを経由するネットワークを構築します。
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(インターネットVPN+ISDNバックアップ〜IPsec編〜) (#142)
センター、拠点間をIPsec VPN環境でIP接続するネットワークを構築します。
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(フレッツグループアクセス〜VRRP編〜) (#143)
センター、拠点間の通信にフレッツグループアクセス(以下「FGA」と省略します)を利用する際に、センター、拠点にマスター/バックアップルーターを各1台ずつ設置し、VRRPを使用して冗長構成するネットワークを構築します。
Pingポーリングによるメイン回線からインターネットVPNバックアップへの自動切り替え(ISP接続+フレッツグループアクセス〜L2TP編〜) (#170)
センター、拠点間の通信にフレッツグループアクセス(以下「FGA」と省略します)を利用し、バックアップ回線としてインターネットVPNを利用するネットワークを構築します。
Pingポーリングによるメイン回線からインターネットVPNバックアップへの自動切り替え(ISP接続+フレッツグループアクセス〜アドレスLAN型編〜) (#169)
PPPoEセッションを2本使い、拠点間通信にフレッツグループアクセス(以下「FGA」と省略します)を利用し、バックアップ回線としてインターネットVPNを利用するネットワークを構築します。
QoS基本設定例(PPPoEインターネット接続環境における2点間IPsec VPN、両側アドレス固定) (#148)
QoS機能の基本設定例です。ここでは、IPsecトンネルで接続された2つの拠点間でトラフィックの制御を行います。なおこの例では、両拠点ともPPPoEでインターネットに接続しており、それぞれがグローバルアドレス1個を固定的に割り当てられていると仮定しています
RSAデジタル署名を利用したIPsec VPN(PKIX-CMPによるオンライン登録) (#92)
IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です(自動鍵管理)。この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証します。ここでは、PKIX-CMPプロトコルを利用して、自分の公開鍵証明書の発行要求をオンラインでCA(認証局)に送信する例を示します。ルーターのアドレスは両方とも固定であると仮定します。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネット通信もできるように設定します
RSAデジタル署名を利用したIPsec VPN(手動登録、片側のアドレス不定) (#94)
2拠点間をインターネット経由でIPsec接続するVPNの設定例です(自動鍵管理)。ここでは片側がアドレス固定(専用線)、もう一方がアドレス不定(PPPoE接続)となる場合を取り上げます。なお、この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証し、公開鍵証明書の発行要求をオフラインで行います。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネットへの通信も可能となるように設定します。
RSAデジタル署名を利用したIPsec VPN(手動登録) (#93)
IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です(自動鍵管理)。この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証します。ここでは、公開鍵証明書の発行要求をオフラインで行う例を示します。ルーターのアドレスは両方とも固定であると仮定します。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネット通信もできるように設定します
SNMP(Simple Network Management Protocol) (#77)
SNMPエージェントの基本設定について説明します
Secure Shell(SSHv1)基本設定 (#78)
暗号技術を用いて安全なリモートログインを可能にするSSH(Secure Shell)の使用方法について説明します
UPnP基本設定(PPPoE端末型) (#135)
NAT経由でWindows Messengerなどのアプリケーションの諸機能を利用できるようにするUPnPの設定例です。ここでは、PPPoE端末型のインターネット接続環境を例に解説します
VRRP(LAN) (#82)
VRRP(Virtual Router Redundancy Protocol)は、複数のルーターを連携させ1台のルーターであるかのように見せかけることで、IPネットワークの冗長構成を可能にする機能です。ここでは、Ethernet LAN上におけるVRRPの使用例を示します
VRRP(WAN) (#83)
VRRP(Virtual Router Redundancy Protocol)は、複数のルーターを連携させ1台のルーターであるかのように見せかけることで、IPネットワークの冗長構成を可能にする機能です。ここでは、WAN回線(メインルート:専用線、バックアップ:ISDN)を含むネットワーク構成におけるVRRPの使用例を示します
WANロードバランスを使用した3点間VPN接続(自動鍵、全アドレス固定、インターネットアクセスあり) (#151)
xDSL回線を2本使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、VPN接続でインターネット上の3拠点間を結びます。またWANロードバランスの方式としては、トラフィックを均等に配分するRound Robinモードを使います
WANロードバランス機能によるトラフィック負荷分散(Round Robinモード) (#146)
xDSL回線を2本使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、トラフィックを均等に配分するRound Robinモードを使います。
WANロードバランス機能によるトラフィック負荷分散(Weighted Fast Response モード) (#166)
ヘルスチェック機能によって、WANロードバランスのインターフェースからヘルスチェック用ホストに対してICMPエコー要求が送信され、応答時間によりWeighted fast responseモードの負荷分散を行います。xDSL回線を2本使用し、それぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。
WANロードバランス機能によるトラフィック負荷分散(Weighted Least Connect モード) (#167)
各リソースに設定されたWeightとリソース上にあるセッション数から負荷分散の基準となるWLC値(Weighted Least Connect値)を算出し、WLC値が大きいリソースにセッションを割り振り、負荷分散を行います。xDSL回線を2本使用し、それぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。
WANロードバランス機能によるトラフィック負荷分散(Weighted Lotteryモード) (#147)
xDSL回線(約10Mbps)と光ファイバー回線(約100Mbps)を使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、Weighted Lotteryモードを使用して、トラフィックを回線速度比に応じて配分するよう設定します
アプリケーションゲートウェイ(HTTPプロキシー) (#129)
HTTPクライアント(Webブラウザーなど)とWebサーバー間の通信を仲介することで、クライアントが特定のURLにアクセスできないようにしたり、サーバーからのCookies設定要求を拒否したりすることのできるHTTPプロキシーの設定例です。PPPoEによる端末型インターネット接続環境を例としています。なお、本機能を使用するためには別途ライセンスが必要です
アプリケーションゲートウェイ(SMTPプロキシー) (#107)
メールサーバー間の通信を仲介することで、不正なメールリレーやspamメールを防止することのできるSMTPプロキシーの設定例です。PPPoEによるインターネット接続環境を例としています。
アプリケーションディテクションシステム(P2P Filter) (#192)
WAN側およびLAN側からのWinny通信を検知/破棄できるようにするアプリケーションディテクションシステム(P2P Filter)の設定例です。この例ではPPPoE による端末型インターネット接続環境を例としています
センター/リモート間でIPv6マルチキャストネットワークの構築 (#175)
IPv6 over IPv4トンネリングを利用し、拠点間でPIM6-SMを使用したマルチキャストルーティングを行います
ダイナミックDNSサービスを利用したホスト名(FQDN)によるIPsec接続 (#174)
通常、インターネット VPN を構築する際は、最低1拠点に固定グローバル IP アドレスが必要ですが、ダイナミックDNSサービスを利用すれば、VPNの接続先をIPアドレスではなく、ダイナミックDNSサービスサイトに登録したホスト名(FQDN)で指定できるようになります。これにより、すべての拠点が動的 IP アドレスの場合でも、インターネットVPNを構築することが可能となります
トンネリングによるIPv6インターネット接続(PPPoEアドレス1個固定環境) (#121)
IPv6 over IPv4トンネリングによってIPv6インターネットに接続します。この例では、インターネットサービスプロバイダー(ISP)とPPPoEで接続(IPv4グローバルアドレス1個固定)していることを前提に、ISPが提供するIPv6トンネル接続サービスを利用してグローバルIPv6ネットワークに接続します。IPv4では、ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。一方、IPv6では、IPv6フィルターを使って外部からの不正アクセスを防止しつつ、内部からは自由にIPv6インターネットにアクセスできるようにします
トンネリングによるIPv6インターネット接続(専用線環境) (#120)
IPv6 over IPv4トンネリングによってIPv6インターネットに接続します。この例では、インターネットサービスプロバイダー(ISP)と専用線でIPv4接続していることを前提に、ISPが提供するIPv6トンネル接続サービスを利用してグローバルIPv6ネットワークに接続します。IPv4ではファイアウォールを使ってDMZ構成をとり、IPv6ではIPv6フィルターを使って外部からのアクセスを制御します
パスワード認証によるSecure Shell(SSHv1)基本設定 (#79)
暗号技術を用いて安全なリモートログインを可能にするSSH(Secure Shell)の使用方法について説明します。ここではパスワード認証によるリモートログインの設定方法を、PPPoEインターネット接続環境を例に解説します。
フレームリレーにおける輻輳制御とスロースタート (#46)
フレームリレー網には、ユーザー機器に対して輻輳(網が混み合うこと)を通知する機能があります。ここでは、本製品の輻輳制御機能を有効にして、網輻輳時に送信レートを自動調整するよう設定します。また、データ送信開始時に段階的に送信レートを上げていくスロースタートメカニズムも使用します。IP2点間接続の構成例をもとに解説します
フレームリレーによるIP2点間接続(IPアドレスに基づくポリシールーティング) (#40)
フレームリレー網を使って2つの拠点をIP接続します。この例ではさらに、IPポリシーフィルターを使って、特定アドレス間のトラフィックだけをCIR値の高いDLC経由でルーティングするよう設定しています
フレームリレーによるIP3点間接続 (#43)
フレームリレー網を使って3つの拠点をIP接続します
マルチグループVRRP設定 (#158)
VRRP(Virtual Router Redundancy Protocol)は、複数のルーターを連携させ1台のルーターであるかのように見せかけることで、IPネットワークの冗長構成を可能にする機能です。ここでは、マルチグループVRRPの使用例を示します。
マルチグループVRRP設定(VLAN使用) (#181)
VRRP(Virtual Router Redundancy Protocol)は、複数のルーターを連携させ1台のルーターであるかのように見せかけることで、IPネットワークの冗長構成を可能にする機能です。ここでは、VLANごとにVRRPを動作させるマルチグループVRRPの使用例を示します
メール送信機能 (#76)
電子メール送信機能の基本設定と使い方について説明します
リモートアクセス型L2TP+IPsec VPNとResponder Rekey Extensionによる死活監視(クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末) (#197)
Windows XP、Windows Vista、Windows 7標準のVPNクライアント、または、iPhone、iPadや、AndroidTM OSを搭載したスマートフォン(以下、Android端末)標準のVPNクライアントから、インターネット経由で本製品のLAN側プライベートネットワークにアクセスさせるリモートアクセス型VPNの設定例です。Android端末などのISAKMP/IPsec Keep Alive機能を持たない機器との接続のためにResponder Rekey Extension機能を有効にし、IPsec SAの通信の有無を監視して通信がなくなるまでISAKMP SAの保持時間を延長します
リモートアクセス型L2TP+IPsec VPNとResponder Rekey Extensionによる死活監視(クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末)+ダイナミックDNSサービス (#198)
Windows XP、Windows Vista、Windows 7標準のVPNクライアント、または、iPhone、iPadや、AndroidTM OSを搭載したスマートフォン(以下、Android端末)標準のVPNクライアントから、インターネット経由で本製品のLAN側プライベートネットワークにアクセスさせるリモートアクセス型VPNの設定例です。Android端末などのISAKMP/IPsec Keep Alive機能を持たない機器との接続のためにResponder Rekey Extension機能を有効にし、IPsec SAの通信の有無を監視して通信がなくなるまでISAKMP SAの保持時間を延長します。さらに、ダイナミックDNSサービスを利用し、VPNクライアントの接続先をホスト名(FQDN)指定して、動的にIPアドレスが割り当てられるサイトに対してVPN接続できるようにします
ローカルルーター (#57)
Ethernet上のIPサブネットを接続するローカルルーターの設定例です
広域Ethernet(RIP)+バックアップIPsec構成 (#171)
センター、拠点間を広域Ethernet環境でIP接続し、メイン回線障害発生時はバックアップ回線(インターネットVPN)へと切り替えるネットワークを構築します。この例では、ルーターとして本製品をセンター側(ルーターA)、拠点側(ルーターB)に設置するネットワーク構成を例に解説します。
広域Ethernetの回線冗長化サービスとVRRPを使用した冗長構成 (#199)
VRRP(Virtual Router Redundancy Protocol)は、複数のルーターを連携させ1台のルーターであるかのように見せかけることで、IPネットワークの冗長構成を可能にする機能です。ここでは、広域Ethernetの回線冗長化サービスを利用しVRRPを構成する例を示します
専用線によるIP2点間接続(128Kbps) (#24)
専用線(128Kbps)を使って2つの拠点をIP接続します
専用線によるIP2点間接続(512Kbps) (#25)
専用線(512Kbps)を使って2つの拠点をIP接続します。WAN側インターフェースとしてPRI(AR020)を使う場合の例です
専用線によるIP2点間接続(64Kbps) (#23)
専用線(64Kbps)を使って2つの拠点をIP接続します
専用線によるIP2点間接続(RIP) (#29)
専用線を使って2つの拠点をIP接続します。この例では、経路制御にダイナミックルーティングプロトコルのRIP(Routing Information Protocol)を使っています
専用線によるIP2点間接続(プロキシーARP+マルチホーミング) (#28)
専用線を使って2つの拠点をIP接続します。この例では、センター側LANのアドレスの一部をリモート側に割り当て、プロキシーARPによってルーティングする例を示しています。また、リモート側では、マルチホーミングを使ってLAN側ネットワークをさらに2つに分割しています
専用線によるインターネット接続(DMZ) (#32)
専用線を使ってインターネットサービスプロバイダー(ISP)に接続します。この例では、LAN側を2つのサブネットに分割し、一方をグローバルアドレスで運用するサーバー用、もう一方をプライベートアドレスで運用するクライアント用とします。クライアントはダイナミックENAT経由でインターネットにアクセスします。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します
専用線によるインターネット接続(DNSリレー/DHCPサーバー) (#35)
専用線を使ってインターネットサービスプロバイダー(ISP)に接続します。この例では、DNSリレーとDHCPサーバーの設定を追加しています。また、ファイアウォールで外部からの不正アクセスを防止します
専用線によるインターネット接続(LAN側グローバル) (#30)
専用線を使ってインターネットサービスプロバイダー(ISP)にLAN型で接続します。この例では、NATを使用せず、LAN側端末にグローバルアドレスを直接割り当てます。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します
内部NATを使用した、同一ネットワークアドレスを持つ拠点間のIPsec VPN通信 (#180)
PPPoEでインターネットに接続され、同一のネットワークアドレス(プライベートアドレス)で運用している拠点間をIPsecにより接続します
本社認証サーバーを利用した、リモートオフィスでのユーザー認証(IEEE 802.1X) (#179)
IEEE 802.1X認証機能を利用し、拠点を含む全社的な認証ネットワークを構築する例です
2点間IPv6 IPsec VPN基本設定(自動鍵、両側アドレス固定、インターネットアクセスなし) (#150)
インターネット上に暗号化されたトンネルを張り、2つの拠点をIPv6接続するIPsec VPNの設定例です(自動鍵管理)。両側のルーターにグローバルアドレスが固定的に設定されている場合の基本設定です。なお、この例ではIPsecの基本設定を示すため、各拠点からインターネットへのアクセスについては考慮していません
IPv6ローカルルーター(RIPng) (#122)
IPv6ローカルルーターの基本設定です。この例では、経路制御にダイナミックルーティングプロトコルのRIPngを使っています
センター/リモート間でIPv6マルチキャストネットワークの構築 (#175)
IPv6 over IPv4トンネリングを利用し、拠点間でPIM6-SMを使用したマルチキャストルーティングを行います
トンネリングによるIPv6インターネット接続(PPPoEアドレス1個固定環境) (#121)
IPv6 over IPv4トンネリングによってIPv6インターネットに接続します。この例では、インターネットサービスプロバイダー(ISP)とPPPoEで接続(IPv4グローバルアドレス1個固定)していることを前提に、ISPが提供するIPv6トンネル接続サービスを利用してグローバルIPv6ネットワークに接続します。IPv4では、ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。一方、IPv6では、IPv6フィルターを使って外部からの不正アクセスを防止しつつ、内部からは自由にIPv6インターネットにアクセスできるようにします
トンネリングによるIPv6インターネット接続(専用線環境) (#120)
IPv6 over IPv4トンネリングによってIPv6インターネットに接続します。この例では、インターネットサービスプロバイダー(ISP)と専用線でIPv4接続していることを前提に、ISPが提供するIPv6トンネル接続サービスを利用してグローバルIPv6ネットワークに接続します。IPv4ではファイアウォールを使ってDMZ構成をとり、IPv6ではIPv6フィルターを使って外部からのアクセスを制御します
CUGサービスを利用した拠点間のPIM-DMによるIPマルチキャストルーティング(L2TP) (#153)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)を利用し、拠点間で、PIM-DMを使用したマルチキャストルーティングを行います。
CUGサービスを利用した拠点間のPIM-DMによるIPマルチキャストルーティング(L2TP+IPsec) (#163)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本))の「端末型払い出し」を利用し、拠点間でIPsec通信を行い、PIM-DMを使用したマルチキャスト ルーティングを行います
CUGサービスを利用した拠点間のPIM-SMによるIPマルチキャストルーティング(L2TP) (#154)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)を利用し、拠点間で、PIM-SMを使用したマルチキャストルーティングを行います
IGMPプロキシー機能設定 (#157)
IGMPプロキシー機能はHostからのIGMPパケットを上位のルーターに転送する機能です。マルチキャスト配送ツリーの下層部のネットワークのようにマルチキャストサーバー(Sender)からのストリームの経路が固定されているような環境でこの機能を利用することにより、通常ルーター間で必要なマルチキャストルーティングプロトコルを使用せずにマルチキャストパケットを転送することが可能です。
IPマルチキャスト(DVMRP) (#108)
IGMPとDVMRPを利用したマルチキャストルーティングの設定例です。ここでは、CUG(Closed Users Group)サービスを利用したL2TP(Layer 2 Tunneling Protocol)による2点間接続の構成をもとに解説します。
IPルートフィルター (#109)
IPルートフィルターを使って、ルーティングプロトコルによって通知される経路情報のうち、特定の経路を受信・伝播しないように設定します
センター/リモート間でIPv6マルチキャストネットワークの構築 (#175)
IPv6 over IPv4トンネリングを利用し、拠点間でPIM6-SMを使用したマルチキャストルーティングを行います
CUGサービス(LAN型)を利用したIP2点間接続 (#136)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(プロ、NTT東日本)、フレッツ・グループ(ビジネスメニュー、NTT西日本))の「LAN型払い出し」を利用して、2拠点間をIP接続するための基本設定例です。CUGサービスを利用すると、各拠点間でPCのファイル共有などが可能になります。ここでは、要点を示すため、必要最小限の設定だけを示します
CUGサービス(端末型)を利用した3拠点間IPsec接続(インターネット接続はセンタールーター経由) (#152)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)において3つの拠点間(ハブ&スポーク型)でIPsec VPNを張り、センター側ではPPPoEセッションを2本使い片方はCUG、もう片方はインターネット(ISP)へ接続します。この例では本社と各支社のみを接続する構成とし、支社間の通信は本社経由で行うものとします
CUGサービスを利用した3拠点間L2TP接続(インターネット接続はセンタールーター経由) (#161)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本))の「端末型払い出し」を利用し、3拠点をL2TPで接続します。センター側のルーターでPPPoEセッションを2本使用し、インターネット(ISP)接続を行い、各拠点からのインターネット(ISP)接続はセンター側のルーターを経由します。パケットの振り分けはスタティックな経路制御により行います
CUGサービスを利用した3拠点間L2TP接続(インターネット接続は各ルーター経由) (#162)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本))の「端末型払い出し」を利用し、3拠点をL2TPで接続します。各ルーターでPPPoEセッションを2本使用し、インターネット(ISP)接続を行います。パケットの振り分けはスタティックな経路制御により行います。なお、支店間(ルーターB−ルーターC)の通信は許可していません。
CUGサービスを利用した拠点間のPIM-DMによるIPマルチキャストルーティング(L2TP) (#153)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)を利用し、拠点間で、PIM-DMを使用したマルチキャストルーティングを行います。
CUGサービスを利用した拠点間のPIM-DMによるIPマルチキャストルーティング(L2TP+IPsec) (#163)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本))の「端末型払い出し」を利用し、拠点間でIPsec通信を行い、PIM-DMを使用したマルチキャスト ルーティングを行います
CUGサービスを利用した拠点間のPIM-SMによるIPマルチキャストルーティング(L2TP) (#154)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)を利用し、拠点間で、PIM-SMを使用したマルチキャストルーティングを行います
DHCPv6サーバー基本設定 (#156)
PCなどにIPv6アドレスなどのIP設定パラメーターを提供するDHCPv6サーバー機能の基本設定です。この例ではIPv6インターフェースの設定がすんでいるものと仮定して、DHCPv6サーバーの設定だけを解説しています。
IPsecルートテンプレート+OSPFを使用したセンター機器冗長構成 (#194)
本社側にルーター(ルーターA/ルーターB)を2台置き、支社ごとにそれぞれのルーター(ルーターC/ルーターD)とIPsec(ESP)トンネルで結ぶことでリソースを有効活用します。また、障害時には経路の切り替えが可能なVPN構築例です
IPフィルター (#67)
IPフィルターは、IP、TCP、UDP、ICMPなどのヘッダー情報をもとに、パケットの通過・拒否を制御する機能です。この例では、IPフィルターの基本的な設定方法を、PPPoEインターネット接続環境におけるL2TP LAN間接続の構成例をもとに解説します。
IPマルチキャスト(DVMRP) (#108)
IGMPとDVMRPを利用したマルチキャストルーティングの設定例です。ここでは、CUG(Closed Users Group)サービスを利用したL2TP(Layer 2 Tunneling Protocol)による2点間接続の構成をもとに解説します。
IPルートフィルター (#109)
IPルートフィルターを使って、ルーティングプロトコルによって通知される経路情報のうち、特定の経路を受信・伝播しないように設定します
ISDNによるIP2点間接続 (#1)
ISDN回線を使って2つの拠点をIP接続します
ISDNによるIP2点間接続(BAP/BACPによる帯域制御) (#4)
ISDN回線を使って2つの拠点をIP接続します。この例では、BAP/BACPを使って帯域制御を行うときのポイントについて解説しています
ISDNによるIP2点間接続(PRI) (#5)
ISDN回線を使って2つの拠点をIP接続します。WAN側インターフェースとしてPRI(AR020)を使う場合の例です
ISDNによるIP2点間接続(トリガーによる接続時間制限) (#2)
ISDN回線を使って2つの拠点をIP接続します。また、定時トリガーを利用して接続可能な時間帯を制限します
ISDNによるIP3点間接続(発信者番号識別) (#7)
ISDN回線を使って3つの拠点をIP接続します。この例では着信呼の識別に発信者番号を使用しています
ISDNによるLAN型インターネット接続 (#11)
ISDN回線を使ってインターネットサービスプロバイダー(ISP)にダイヤルアップ接続します。グローバルアドレスをブロック単位で固定的に割り当てられているLAN型接続の基本設定です。NATは使用せず、LAN側端末にグローバルアドレスを直接割り当てます。また、ファイアウォールを使って外部からの不正アクセスを防止します
ISDNによる端末型インターネット接続 (#8)
ISDN回線を使ってインターネットサービスプロバイダー(ISP)にダイヤルアップ接続します。接続時にアドレスを1つ割り当てられる端末型の基本設定です。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します
ISDNによる端末型インターネット接続(DNSリレー/DHCPサーバー) (#9)
ISDN回線を使ってインターネットサービスプロバイダー(ISP)にダイヤルアップ接続します。接続時にアドレスを1つ割り当てられる端末型の基本設定に、DNSリレーとDHCPサーバーの設定を追加しています。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します
ISDNによる端末型インターネット接続+IP2点間接続の併用 (#10)
ISDN回線を使って端末型インターネット接続とLAN間IP接続の両方を同時に行います。インターネットとの接続では、ダイナミックENATで1個のグローバルアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します
ISDNコールバック (#15)
Dチャンネルレベルで相手を識別してコールバックするISDN(無課金)コールバックの設定例です。IP2点間接続の構成例をもとに説明しています
ISDN経由でのPPPダイヤルアップ受け入れ(アドレス固定割り当て) (#17)
ISDN経由でリモートユーザーからのダイヤルアップPPP接続を受け入れるアクセスサーバー的な設定例です。この例では、ルーターのユーザー認証データベースを使って、ユーザーごとにIPアドレスを固定的に割り当てています
ISDN経由でのPPPダイヤルアップ受け入れ(アドレス動的割り当て) (#18)
ISDN経由でリモートユーザーからのダイヤルアップPPP接続を受け入れるアクセスサーバー的な設定例です。この例では、IPプール機能を使って、アドレスプールの中から使用されていないアドレスを動的に割り当てます
L2TP+IPsec によるリモートアクセス型 VPN を使用した IEEE 802.1q タグ付きパケットのブリッジング (#173)
センター/リモートオフィス間のL2TPトンネルをIPsec(ESP)で暗号化しデータの安全性を確保しつつ、WAN 回線経由でIEEE 802.1q タグ付きパケットをブリッジし、VLAN ネットワークを共有します
L2TP+IPsecによるリモートアクセス型VPN(LNS/LAC) (#105)
L2TP + IPsec によるリモートアクセス型 VPN 接続(L2TP LAC および L2TP LNS)の設定です。ここでは、L2TP LNS リモートユーザーからの PPP 接続を PPPoE AC 機能を使用して受け入れた後、LAC・LNS 間の L2TP トンネルを IPsec (ESP) で暗号化し、リモートユーザーからの 通信を LNS へ転送するための設定を示します
L2TP+IPsecを用いた2拠点間接続+回線冗長(OSPF) (#165)
広域EthernetサービスとCUG(Closed Users Group)サービスを利用し、広域Ethernetをメイン回線、CUGをバックアップ回線として使用します。広域Ethernet側で、通信経路断となった場合、OSPFで経路情報を更新し、CUG側のネットワークへ経路を切り替えます。CUG側の通信はIPsecを使用します。
L2TPによるLAN間接続基本設定(ブリッジング) (#97)
L2TPによるLAN間ブリッジ接続の基本設定です。ここでは、IPだけしかルーティングされないLAN環境において、2つのサブネット間にL2TPのトンネルを張り、NetBEUIをブリッジングする例を示します。LAN上でのトンネリングという点が若干変則的ですが、L2TPルーター同士がIPで通信できさえすれば、どのような環境にでも適用できる構成です
L2TPによるリモートアクセス型LAN間接続(ファイアウォールあり) (#106)
L2TPによるLAN間接続構成のうち、常にリモート側からセンター側にアクセスしてIPアドレス割り当てを受けるリモートアクセス型の設定例です。これは、PPPoE経由でPPPパケットをLACからLNSに中継するリモートアクセス型VPN構成です。この構成ではリモートユーザーが存在しませんが、リモート側ルーターがPPPoEユーザーとLACを兼ねています。また、この例では両側のルーターにファイアウォールが設定されており、センター側ではリモートからの接続によって動的に作成されるPPPインターフェースをファイアウォールポリシーに追加するため、ダイナミックインターフェーステンプレートを使用しています
L2TPによるリモートアクセス型VPN(LNS/LAC) (#104)
L2TPによるリモートアクセス型接続(L2TP LACおよびL2TP LNS)の設定です。ここでは、L2TP LACとL2TP LNSリモートユーザーからのPPP接続をPPPoE AC機能を使用して受け入れたあと、自分自身がPPPoEクライアントとなって Internet 経由でLNSとL2TPトンネルを張ることで、リモートユーザーからの通信をLNSへ転送するための設定を示します
L2TPによるリモートアクセス型VPNを使用したIEEE 802.1qタグ付きパケットのブリッジング(VID判定あり) (#172)
センター/リモートオフィス間でL2TPトンネルを構築し、WAN回線経由でIEEE 802.1qタグつきパケットをブリッジします。ルーターはブリッジポートでもVIDをチェックしブリッジ対象に設定されていないVIDのパケットを受信した場合は破棄します
L2TPによるリモートアクセス型(PPPoEクライアント+PPPoE AC+L2TP LAC) (#159)
L2TPによるリモートアクセス型の設定です。ここでは、リモートユーザーからのPPP接続をPPPoE AC機能を使用して受け入れた後、自分自身がPPPoEクライアントとなってInternet経由でLNSとL2TPトンネルを張ることで、リモートユーザーからの通信をLNSへ転送するための設定です。本設定例では、リモートユーザーのドメイン名をDNSサーバーに問い合わせることによって得られるIPアドレスを、接続先のLNSのIPアドレスとして使用します。
NAT機器をはさむ2点間IPsec VPN(ESP over UDP、XAUTHによるRADIUS認証) (#91)
インターネット上に暗号化されたトンネルを張り、2つの拠点をIP接続するIPsec VPNの設定例です(自動鍵管理)。IPsecルーター間に既設のNAT機器(ダイヤルアップルーターなど)が存在する環境を想定し、NAT機器の設定を変更することなくNAT経由でIPsec(ESP)を使用するため、ESPパケットをUDPでカプセル化するESP over UDPを使用しています。また、IKEの相手ルーター認証には、既存の認証システム(ここではRADIUS)を利用できるXAUTH(拡張認証)を使っています
NAT機器をはさむ2点間IPsec VPN(ESP over UDP) (#90)
インターネット上に暗号化されたトンネルを張り、2つの拠点をIP接続するIPsec VPNの設定例です(自動鍵管理)。この例は、IPsecルーター間に既設のNAT機器(ダイヤルアップルーターなど)が存在する場合の基本設定です。ここでは、NAT機器の設定を変更することなくNAT経由でIPsec(ESP)を使用するため、ESPパケットをUDPでカプセル化するESP over UDPを使用しています
NTTドコモ ワイドスターII端末(衛星可搬端末01)によるインターネット接続 (#193)
NTTドコモの衛星電話サービス「ワイドスターII」に対応した「衛星可搬端末01」を使用してインターネットサービスプロバイダー(ISP)に接続します。本製品はPPPoEにて衛星可搬端末01と接続します。この例は、接続時にアドレスを1つ割り当てられる端末型の基本設定です。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
OSPF ASBR(AS境界ルーター)設定例 (#74)
異なるルーティングドメインの境界に位置するルーターをAS境界ルーター(ASBR)と呼びます。ここでは、OSPFドメインとRIPドメインの境界に位置するASBRの設定例を示します
OSPF基本設定例 (#73)
リンクステート型のダイナミックルーティングプロトコルOSPF(Open Shortest Path First)の基本設定例です。PPPoEインターネット接続環境におけるL2TP LAN間接続の構成例をもとに解説します。 ここではL2TPを併用することでL2TPのトンネルを作成し、OSPFのパケットをL2TPパケットにカプセル化して対向のルーターと経路情報の交換を行います。
PPPoE AC 基本設定(IPアドレス動的割り当て) (#155)
PPPoE 経由でリモートユーザーからのPPPoE接続を受け入れるAccess Concentratorの設定例です。この例では、IPアドレスプール機能を使用し、IPアドレスプールの中から使用されていないアドレスを動的に割り当てます。
PPPoE ACによるRADIUS認証と公平制御 (#164)
リモートユーザーからの PPP 接続を PPPoE AC(Access Concentrator) 機能を使用して受け入れたあと、RADIUSサーバーへ認証を行うことで、限定されたリモートユーザーからの通信のみを許可します。また、QoSの設定により、帯域全体をリモートユーザー同士で公平に割り当て、帯域に余裕がある場合にはその帯域も利用します。
PPPoEによるLAN型インターネット接続(DMZ) (#50)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。グローバルアドレスを8個、16個などのブロック単位で固定的に割り当てられるLAN型接続の設定例です。この例では、LAN側を2つのサブネットに分割し、一方をグローバルアドレスで運用するサーバー用(DMZ)、もう一方をプライベートアドレスで運用するクライアント用とします。クライアントはダイナミックENAT経由でインターネットにアクセスします。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します
PPPoEによるLAN型インターネット接続(LAN側グローバル) (#49)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。グローバルアドレスを8個、16個などのブロック単位で固定的に割り当てられるLAN型接続の設定例です。この例では、NATを使用せず、LAN側端末にグローバルアドレスを直接割り当てます。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します
PPPoEによるLAN型インターネット接続(スタティックNAT) (#51)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。グローバルアドレスを8個、16個などのブロック単位で固定的に割り当てられるLAN型接続の設定例です。この例では、ISPから割り当てられたアドレスをルーターやホストに直接割り当てず、LAN側コンピューターはプライベートアドレスで運用します。クライアントはダイナミックENAT経由でインターネットにアクセスさせます。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、スタティックNATを使って特定のサーバーだけを外部に公開します
PPPoEによる端末型インターネット接続 WAN回線バックアップ構成 (#168)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。WAN回線を2つ用意しインターフェーストリガー機能を利用してメイン回線に障害が発生したときにバックアップ回線に切り替えることができる構成です。
PPPoEによる端末型インターネット接続 (#47)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。PPPoEは、xDSLやFTTHなどのいわゆる「ブロードバンド」系サービスで広く使用されているプロトコルです。この例は、接続時にアドレスを1つ割り当てられる端末型の基本設定です。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
PPPoEによる端末型インターネット接続(IPプロトコルに基づくプライオリティールーティング) (#39)
PPPoEインターネット接続環境において、IPプライオリティーフィルターを使用し、TCPとUDPでパケット転送時の優先度に差を付けるように設定します。この例は、ダイナミックENATで1個のグローバルアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。
PPPoEによる端末型インターネット接続(PPPoE 2セッション、ドメインごとにDNSリレー先を設定) (#134)
PPPoEマルチセッションの設定例です。ここでは、PPPoEのセッションを2本使って、グローバルインターネットと、サービス事業者のプライベートネットワークに同時接続します。各ネットワークへのパケット振り分けはスタティックな経路制御により行います。また、DNSリレー機能を利用して、プライベートドメインの名前解決にはサービス事業者のDNSサーバーを使い、その他(インターネット)の名前解決にはインターネットサービスプロバイダー(ISP)のグローバルなDNSサーバーを使うよう設定します
PPPoEによる端末型インターネット接続(スタティックENAT) (#48)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。「ブロードバンド」系サービスプロバイダーの中には、ベストエフォート型ながらも、常時接続の性質を活かしてIPアドレスを1個固定的に割り当てるサービスが見られます。このようなサービスを利用すると、接続形態は端末型でも、固定アドレスの利点を活かしてサーバーの公開やVPNの構築が容易になります。この例では、ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止しつつ、スタティックENATを利用してWebサーバーを外部に公開します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
PPPoEによる端末型インターネット接続+IPv6ブリッジによるフレッツ・スクウェア ネクスト(NTT東日本)接続 (#185)
NTT東日本のフレッツ・スクウェア ネクストに接続するための設定例です
PPPoEによる端末型インターネット接続+IPv6ブリッジによるフレッツ・スクウェアv6(NTT東日本)接続 (#177)
NTT東日本のフレッツ・スクウェアv6(http://flets.com/square/what.html)に接続するための設定例です
PPPoEによる端末型インターネット接続+IPv6ブリッジによるフレッツ・ドットネット(NTT東日本)/ フレッツ・v6アプリ(NTT西日本)接続 (#176)
PPPoEによる端末型インターネット接続と、IPv6ブリッジによるフレッツ・ドットネット(NTT東日本)、またはフレッツ・v6アプリ(NTT西日本)への接続を同時に行います
PPPoEインターネット接続環境における2点間IPsec VPN(片側アドレス不定) (#111)
PPPoEでインターネットに接続している2つの拠点をIPsecで結ぶVPN構築例です。この例では、グローバルアドレス8個を固定的に割り当てられているサイトと、グローバルアドレス1個を動的に割り当てられるサイトの間をIPsec(ESP)のトンネルで接続します。
PPPoEインターネット接続環境における2点間IPsec VPN(両側アドレス固定) (#110)
PPPoEでインターネットに接続している2つの拠点をIPsecで結ぶVPN構築例です。この例では、グローバルアドレス8個を固定的に割り当てられているサイトと、グローバルアドレス1個を固定的に割り当てられているサイトの間をIPsec(ESP)のトンネルで接続します。
PPPoEインターネット接続環境における3点間IPsec VPN(フルメッシュ、全拠点アドレス固定) (#130)
PPPoEでインターネットに接続している3つの拠点をフルメッシュのIPsec(ESP)トンネルで結ぶVPN構築例です。この例では、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信なし、支社はアドレス不定) (#133)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は行わないものとします。またこの例では、本社にのみグローバルアドレス1個が固定的に割り当てられており、各支社のルーターのアドレスは不定(動的割り当て)であると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信なし、全拠点アドレス固定) (#132)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は行わないものとします。また、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信は本社経由、全拠点アドレス固定) (#131)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は本社経由で行うものとします。また、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoEインターネット接続環境におけるPPTPパススルー (#160)
PPPoEインターネット接続環境において、ルーター配下のPPTPクライアントから対向のPPTPサーバーへPPTP接続を行えるようにします。この例は、ダイナミックENATで1個のグローバルアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します。
PPPoEマルチセッションによるフレッツ 光ネクスト サービス情報サイトとインターネット同時接続(NTT東日本) (#189)
PPPoEマルチセッションの設定例です。ここでは、PPPoEのセッションを2本使って、グローバルインターネットと、フレッツ 光ネクスト サービス情報サイトに同時接続します。各ネットワークへのパケット振り分けはスタティックな経路制御により行います。また、DNSリレー機能を利用して、フレッツ 光ネクスト サービス情報サイト側と、その他(インターネット)の名前解決にはそれぞれのDNSサーバーを使うよう設定します
PPPoEマルチセッションによる端末型インターネット接続(IPプロトコルに基づくポリシールーティング) (#41)
PPPoEマルチセッション接続環境において、IPポリシーフィルターを使用し、特定のプロトコルのトラフィックを所望の経路を経由するように設定します。この例は、ダイナミックENATで1個のグローバルアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。
PPPoEマルチセッションによる端末型インターネット接続+CUGサービス接続(LAN型) (#138)
PPPoEセッションを2本使い、インターネット(ISP)接続とCUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(プロ、NTT東日本)、フレッツ・グループ(ビジネスメニュー、NTT西日本))の「LAN型払い出し」を同時に利用します。パケットの振り分けはスタティックな経路制御により行います
PPPoEマルチセッションによる端末型インターネット接続+CUGサービス接続(端末型) (#137)
PPPoEセッションを2本使い、インターネット(ISP)接続とCUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本))の「端末型払い出し」を同時に利用します。パケットの振り分けはスタティックな経路制御により行います
PPPoE接続環境における2点間IPsec VPN(ARルーター側アドレス不定、SRX210対向) (#191)
PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から動的にIPアドレスが割り当てられるルーター(ルーターA:ARルーター)と固定IPアドレスが割り当てられているルーター(ルーターB:SRX210)をIPsec(ESP)トンネルで接続します
PPPoE接続環境における2点間IPsec VPN(ARルーター側アドレス不定、SSG550対向) (#182)
PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から動的にIPアドレスが割り当てられるルーター(ルーターA:ARルーター)と固定IPアドレスが割り当てられているルーター(ルーターB:SSG550)をIPsec(ESP)トンネルで接続します
PPPoE接続環境における2点間IPsec VPN(両側アドレス固定、SSG550対向) (#183)
PPPoEでインターネットに接続している拠点間をIPsecで結ぶVPN構築例です。インターネットサービスプロバイダー(以下 ISP)から固定IPアドレスが割り当てられるルーター(ルーターA:ARルーター)と固定IPアドレスが割り当てられているルーター(ルーターB:SSG550)をIPsec(ESP)トンネルで接続します
PPPリンクの圧縮(STAC LZS) (#65)
STAC LZSアルゴリズムによるPPPリンク圧縮の使用例です。専用線によるIP2点間接続の構成例をもとに解説します
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(ISP接続+フレッツグループアクセス〜L2TP編〜) (#141)
センター、拠点間の通信にフレッツグループアクセス(以下「FGA」と省略します)を利用する際に、インターネット(ISP)への接続はセンター側ルーターのみを経由するネットワークを構築します。
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(インターネットVPN+ISDNバックアップ〜IPsec編〜) (#142)
センター、拠点間をIPsec VPN環境でIP接続するネットワークを構築します。
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(フレッツグループアクセス〜VRRP編〜) (#143)
センター、拠点間の通信にフレッツグループアクセス(以下「FGA」と省略します)を利用する際に、センター、拠点にマスター/バックアップルーターを各1台ずつ設置し、VRRPを使用して冗長構成するネットワークを構築します。
Pingポーリングによるメイン回線からインターネットVPNバックアップへの自動切り替え(ISP接続+フレッツグループアクセス〜L2TP編〜) (#170)
センター、拠点間の通信にフレッツグループアクセス(以下「FGA」と省略します)を利用し、バックアップ回線としてインターネットVPNを利用するネットワークを構築します。
Pingポーリングによるメイン回線からインターネットVPNバックアップへの自動切り替え(ISP接続+フレッツグループアクセス〜アドレスLAN型編〜) (#169)
PPPoEセッションを2本使い、拠点間通信にフレッツグループアクセス(以下「FGA」と省略します)を利用し、バックアップ回線としてインターネットVPNを利用するネットワークを構築します。
QoS基本設定例(PPPoEインターネット接続環境における2点間IPsec VPN、両側アドレス固定) (#148)
QoS機能の基本設定例です。ここでは、IPsecトンネルで接続された2つの拠点間でトラフィックの制御を行います。なおこの例では、両拠点ともPPPoEでインターネットに接続しており、それぞれがグローバルアドレス1個を固定的に割り当てられていると仮定しています
RSAデジタル署名を利用したIPsec VPN(PKIX-CMPによるオンライン登録) (#92)
IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です(自動鍵管理)。この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証します。ここでは、PKIX-CMPプロトコルを利用して、自分の公開鍵証明書の発行要求をオンラインでCA(認証局)に送信する例を示します。ルーターのアドレスは両方とも固定であると仮定します。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネット通信もできるように設定します
RSAデジタル署名を利用したIPsec VPN(手動登録、片側のアドレス不定) (#94)
2拠点間をインターネット経由でIPsec接続するVPNの設定例です(自動鍵管理)。ここでは片側がアドレス固定(専用線)、もう一方がアドレス不定(PPPoE接続)となる場合を取り上げます。なお、この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証し、公開鍵証明書の発行要求をオフラインで行います。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネットへの通信も可能となるように設定します。
RSAデジタル署名を利用したIPsec VPN(手動登録) (#93)
IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です(自動鍵管理)。この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証します。ここでは、公開鍵証明書の発行要求をオフラインで行う例を示します。ルーターのアドレスは両方とも固定であると仮定します。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネット通信もできるように設定します
UPnP基本設定(PPPoE端末型) (#135)
NAT経由でWindows Messengerなどのアプリケーションの諸機能を利用できるようにするUPnPの設定例です。ここでは、PPPoE端末型のインターネット接続環境を例に解説します
VRRP(WAN) (#83)
VRRP(Virtual Router Redundancy Protocol)は、複数のルーターを連携させ1台のルーターであるかのように見せかけることで、IPネットワークの冗長構成を可能にする機能です。ここでは、WAN回線(メインルート:専用線、バックアップ:ISDN)を含むネットワーク構成におけるVRRPの使用例を示します
WANロードバランスを使用した3点間VPN接続(自動鍵、全アドレス固定、インターネットアクセスあり) (#151)
xDSL回線を2本使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、VPN接続でインターネット上の3拠点間を結びます。またWANロードバランスの方式としては、トラフィックを均等に配分するRound Robinモードを使います
WANロードバランス機能によるトラフィック負荷分散(Round Robinモード) (#146)
xDSL回線を2本使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、トラフィックを均等に配分するRound Robinモードを使います。
WANロードバランス機能によるトラフィック負荷分散(Weighted Fast Response モード) (#166)
ヘルスチェック機能によって、WANロードバランスのインターフェースからヘルスチェック用ホストに対してICMPエコー要求が送信され、応答時間によりWeighted fast responseモードの負荷分散を行います。xDSL回線を2本使用し、それぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。
WANロードバランス機能によるトラフィック負荷分散(Weighted Least Connect モード) (#167)
各リソースに設定されたWeightとリソース上にあるセッション数から負荷分散の基準となるWLC値(Weighted Least Connect値)を算出し、WLC値が大きいリソースにセッションを割り振り、負荷分散を行います。xDSL回線を2本使用し、それぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。
WANロードバランス機能によるトラフィック負荷分散(Weighted Lotteryモード) (#147)
xDSL回線(約10Mbps)と光ファイバー回線(約100Mbps)を使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、Weighted Lotteryモードを使用して、トラフィックを回線速度比に応じて配分するよう設定します
アプリケーションゲートウェイ(HTTPプロキシー) (#129)
HTTPクライアント(Webブラウザーなど)とWebサーバー間の通信を仲介することで、クライアントが特定のURLにアクセスできないようにしたり、サーバーからのCookies設定要求を拒否したりすることのできるHTTPプロキシーの設定例です。PPPoEによる端末型インターネット接続環境を例としています。なお、本機能を使用するためには別途ライセンスが必要です
アプリケーションゲートウェイ(SMTPプロキシー) (#107)
メールサーバー間の通信を仲介することで、不正なメールリレーやspamメールを防止することのできるSMTPプロキシーの設定例です。PPPoEによるインターネット接続環境を例としています。
アプリケーションディテクションシステム(P2P Filter) (#192)
WAN側およびLAN側からのWinny通信を検知/破棄できるようにするアプリケーションディテクションシステム(P2P Filter)の設定例です。この例ではPPPoE による端末型インターネット接続環境を例としています
センター/リモート間でIPv6マルチキャストネットワークの構築 (#175)
IPv6 over IPv4トンネリングを利用し、拠点間でPIM6-SMを使用したマルチキャストルーティングを行います
ダイナミックDNSサービスを利用したホスト名(FQDN)によるIPsec接続 (#174)
通常、インターネット VPN を構築する際は、最低1拠点に固定グローバル IP アドレスが必要ですが、ダイナミックDNSサービスを利用すれば、VPNの接続先をIPアドレスではなく、ダイナミックDNSサービスサイトに登録したホスト名(FQDN)で指定できるようになります。これにより、すべての拠点が動的 IP アドレスの場合でも、インターネットVPNを構築することが可能となります
トンネリングによるIPv6インターネット接続(PPPoEアドレス1個固定環境) (#121)
IPv6 over IPv4トンネリングによってIPv6インターネットに接続します。この例では、インターネットサービスプロバイダー(ISP)とPPPoEで接続(IPv4グローバルアドレス1個固定)していることを前提に、ISPが提供するIPv6トンネル接続サービスを利用してグローバルIPv6ネットワークに接続します。IPv4では、ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。一方、IPv6では、IPv6フィルターを使って外部からの不正アクセスを防止しつつ、内部からは自由にIPv6インターネットにアクセスできるようにします
トンネリングによるIPv6インターネット接続(専用線環境) (#120)
IPv6 over IPv4トンネリングによってIPv6インターネットに接続します。この例では、インターネットサービスプロバイダー(ISP)と専用線でIPv4接続していることを前提に、ISPが提供するIPv6トンネル接続サービスを利用してグローバルIPv6ネットワークに接続します。IPv4ではファイアウォールを使ってDMZ構成をとり、IPv6ではIPv6フィルターを使って外部からのアクセスを制御します
パスワード認証によるSecure Shell(SSHv1)基本設定 (#79)
暗号技術を用いて安全なリモートログインを可能にするSSH(Secure Shell)の使用方法について説明します。ここではパスワード認証によるリモートログインの設定方法を、PPPoEインターネット接続環境を例に解説します。
ブリッジフィルター設定例 (#62)
専用線を使って2つの拠点をリモートブリッジ接続します。ここでは、ブリッジフィルターを使用して、MACアドレスに基づきフレームのフィルタリングを行います
リモートアクセス型L2TP+IPsec VPNとResponder Rekey Extensionによる死活監視(クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末) (#197)
Windows XP、Windows Vista、Windows 7標準のVPNクライアント、または、iPhone、iPadや、AndroidTM OSを搭載したスマートフォン(以下、Android端末)標準のVPNクライアントから、インターネット経由で本製品のLAN側プライベートネットワークにアクセスさせるリモートアクセス型VPNの設定例です。Android端末などのISAKMP/IPsec Keep Alive機能を持たない機器との接続のためにResponder Rekey Extension機能を有効にし、IPsec SAの通信の有無を監視して通信がなくなるまでISAKMP SAの保持時間を延長します
リモートアクセス型L2TP+IPsec VPNとResponder Rekey Extensionによる死活監視(クライアントはWindows XP/Vista/7、iPhone/iPadおよびAndroid(TM)端末)+ダイナミックDNSサービス (#198)
Windows XP、Windows Vista、Windows 7標準のVPNクライアント、または、iPhone、iPadや、AndroidTM OSを搭載したスマートフォン(以下、Android端末)標準のVPNクライアントから、インターネット経由で本製品のLAN側プライベートネットワークにアクセスさせるリモートアクセス型VPNの設定例です。Android端末などのISAKMP/IPsec Keep Alive機能を持たない機器との接続のためにResponder Rekey Extension機能を有効にし、IPsec SAの通信の有無を監視して通信がなくなるまでISAKMP SAの保持時間を延長します。さらに、ダイナミックDNSサービスを利用し、VPNクライアントの接続先をホスト名(FQDN)指定して、動的にIPアドレスが割り当てられるサイトに対してVPN接続できるようにします
リモートブリッジ基本設定 (#61)
ISDN回線を使って2つの拠点をリモートブリッジ接続します
広域Ethernet(RIP)+バックアップIPsec構成 (#171)
センター、拠点間を広域Ethernet環境でIP接続し、メイン回線障害発生時はバックアップ回線(インターネットVPN)へと切り替えるネットワークを構築します。この例では、ルーターとして本製品をセンター側(ルーターA)、拠点側(ルーターB)に設置するネットワーク構成を例に解説します。
専用線によるIP2点間接続(128Kbps) (#24)
専用線(128Kbps)を使って2つの拠点をIP接続します
専用線によるIP2点間接続(512Kbps) (#25)
専用線(512Kbps)を使って2つの拠点をIP接続します。WAN側インターフェースとしてPRI(AR020)を使う場合の例です
専用線によるIP2点間接続(64Kbps) (#23)
専用線(64Kbps)を使って2つの拠点をIP接続します
専用線によるIP2点間接続(RIP) (#29)
専用線を使って2つの拠点をIP接続します。この例では、経路制御にダイナミックルーティングプロトコルのRIP(Routing Information Protocol)を使っています
専用線によるIP2点間接続(プロキシーARP+マルチホーミング) (#28)
専用線を使って2つの拠点をIP接続します。この例では、センター側LANのアドレスの一部をリモート側に割り当て、プロキシーARPによってルーティングする例を示しています。また、リモート側では、マルチホーミングを使ってLAN側ネットワークをさらに2つに分割しています
専用線によるインターネット接続(DMZ) (#32)
専用線を使ってインターネットサービスプロバイダー(ISP)に接続します。この例では、LAN側を2つのサブネットに分割し、一方をグローバルアドレスで運用するサーバー用、もう一方をプライベートアドレスで運用するクライアント用とします。クライアントはダイナミックENAT経由でインターネットにアクセスします。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します
専用線によるインターネット接続(DNSリレー/DHCPサーバー) (#35)
専用線を使ってインターネットサービスプロバイダー(ISP)に接続します。この例では、DNSリレーとDHCPサーバーの設定を追加しています。また、ファイアウォールで外部からの不正アクセスを防止します
専用線によるインターネット接続(LAN側グローバル) (#30)
専用線を使ってインターネットサービスプロバイダー(ISP)にLAN型で接続します。この例では、NATを使用せず、LAN側端末にグローバルアドレスを直接割り当てます。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します
内部NATを使用した、同一ネットワークアドレスを持つ拠点間のIPsec VPN通信 (#180)
PPPoEでインターネットに接続され、同一のネットワークアドレス(プライベートアドレス)で運用している拠点間をIPsecにより接続します
本社認証サーバーを利用した、リモートオフィスでのユーザー認証(IEEE 802.1X) (#179)
IEEE 802.1X認証機能を利用し、拠点を含む全社的な認証ネットワークを構築する例です
WANロードバランスを使用した3点間VPN接続(自動鍵、全アドレス固定、インターネットアクセスあり) (#151)
xDSL回線を2本使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、VPN接続でインターネット上の3拠点間を結びます。またWANロードバランスの方式としては、トラフィックを均等に配分するRound Robinモードを使います
WANロードバランス機能によるトラフィック負荷分散(Round Robinモード) (#146)
xDSL回線を2本使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、トラフィックを均等に配分するRound Robinモードを使います。
WANロードバランス機能によるトラフィック負荷分散(Weighted Fast Response モード) (#166)
ヘルスチェック機能によって、WANロードバランスのインターフェースからヘルスチェック用ホストに対してICMPエコー要求が送信され、応答時間によりWeighted fast responseモードの負荷分散を行います。xDSL回線を2本使用し、それぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。
WANロードバランス機能によるトラフィック負荷分散(Weighted Least Connect モード) (#167)
各リソースに設定されたWeightとリソース上にあるセッション数から負荷分散の基準となるWLC値(Weighted Least Connect値)を算出し、WLC値が大きいリソースにセッションを割り振り、負荷分散を行います。xDSL回線を2本使用し、それぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。
WANロードバランス機能によるトラフィック負荷分散(Weighted Lotteryモード) (#147)
xDSL回線(約10Mbps)と光ファイバー回線(約100Mbps)を使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、Weighted Lotteryモードを使用して、トラフィックを回線速度比に応じて配分するよう設定します
QoS基本設定例(PPPoEインターネット接続環境における2点間IPsec VPN、両側アドレス固定) (#148)
QoS機能の基本設定例です。ここでは、IPsecトンネルで接続された2つの拠点間でトラフィックの制御を行います。なおこの例では、両拠点ともPPPoEでインターネットに接続しており、それぞれがグローバルアドレス1個を固定的に割り当てられていると仮定しています
CUGサービス(端末型)を利用した3拠点間IPsec接続(インターネット接続はセンタールーター経由) (#152)
CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)において3つの拠点間(ハブ&スポーク型)でIPsec VPNを張り、センター側ではPPPoEセッションを2本使い片方はCUG、もう片方はインターネット(ISP)へ接続します。この例では本社と各支社のみを接続する構成とし、支社間の通信は本社経由で行うものとします
ISDNによるIP2点間接続(トリガーによる接続時間制限) (#2)
ISDN回線を使って2つの拠点をIP接続します。また、定時トリガーを利用して接続可能な時間帯を制限します
PPPoEによるLAN型インターネット接続(DMZ) (#50)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。グローバルアドレスを8個、16個などのブロック単位で固定的に割り当てられるLAN型接続の設定例です。この例では、LAN側を2つのサブネットに分割し、一方をグローバルアドレスで運用するサーバー用(DMZ)、もう一方をプライベートアドレスで運用するクライアント用とします。クライアントはダイナミックENAT経由でインターネットにアクセスします。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します
PPPoEによるLAN型インターネット接続(LAN側グローバル) (#49)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。グローバルアドレスを8個、16個などのブロック単位で固定的に割り当てられるLAN型接続の設定例です。この例では、NATを使用せず、LAN側端末にグローバルアドレスを直接割り当てます。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、特定のサーバーだけを外部に公開します
PPPoEによるLAN型インターネット接続(スタティックNAT) (#51)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。グローバルアドレスを8個、16個などのブロック単位で固定的に割り当てられるLAN型接続の設定例です。この例では、ISPから割り当てられたアドレスをルーターやホストに直接割り当てず、LAN側コンピューターはプライベートアドレスで運用します。クライアントはダイナミックENAT経由でインターネットにアクセスさせます。また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、スタティックNATを使って特定のサーバーだけを外部に公開します
PPPoEによる端末型インターネット接続 WAN回線バックアップ構成 (#168)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。WAN回線を2つ用意しインターフェーストリガー機能を利用してメイン回線に障害が発生したときにバックアップ回線に切り替えることができる構成です。
PPPoEによる端末型インターネット接続 (#47)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。PPPoEは、xDSLやFTTHなどのいわゆる「ブロードバンド」系サービスで広く使用されているプロトコルです。この例は、接続時にアドレスを1つ割り当てられる端末型の基本設定です。ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
PPPoEによる端末型インターネット接続(PPPoE 2セッション、ドメインごとにDNSリレー先を設定) (#134)
PPPoEマルチセッションの設定例です。ここでは、PPPoEのセッションを2本使って、グローバルインターネットと、サービス事業者のプライベートネットワークに同時接続します。各ネットワークへのパケット振り分けはスタティックな経路制御により行います。また、DNSリレー機能を利用して、プライベートドメインの名前解決にはサービス事業者のDNSサーバーを使い、その他(インターネット)の名前解決にはインターネットサービスプロバイダー(ISP)のグローバルなDNSサーバーを使うよう設定します
PPPoEによる端末型インターネット接続(スタティックENAT) (#48)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。「ブロードバンド」系サービスプロバイダーの中には、ベストエフォート型ながらも、常時接続の性質を活かしてIPアドレスを1個固定的に割り当てるサービスが見られます。このようなサービスを利用すると、接続形態は端末型でも、固定アドレスの利点を活かしてサーバーの公開やVPNの構築が容易になります。この例では、ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止しつつ、スタティックENATを利用してWebサーバーを外部に公開します。また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します
PPPoEインターネット接続環境における2点間IPsec VPN(片側アドレス不定) (#111)
PPPoEでインターネットに接続している2つの拠点をIPsecで結ぶVPN構築例です。この例では、グローバルアドレス8個を固定的に割り当てられているサイトと、グローバルアドレス1個を動的に割り当てられるサイトの間をIPsec(ESP)のトンネルで接続します。
PPPoEインターネット接続環境における2点間IPsec VPN(両側アドレス固定) (#110)
PPPoEでインターネットに接続している2つの拠点をIPsecで結ぶVPN構築例です。この例では、グローバルアドレス8個を固定的に割り当てられているサイトと、グローバルアドレス1個を固定的に割り当てられているサイトの間をIPsec(ESP)のトンネルで接続します。
PPPoEインターネット接続環境における3点間IPsec VPN(フルメッシュ、全拠点アドレス固定) (#130)
PPPoEでインターネットに接続している3つの拠点をフルメッシュのIPsec(ESP)トンネルで結ぶVPN構築例です。この例では、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信なし、支社はアドレス不定) (#133)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は行わないものとします。またこの例では、本社にのみグローバルアドレス1個が固定的に割り当てられており、各支社のルーターのアドレスは不定(動的割り当て)であると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信なし、全拠点アドレス固定) (#132)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は行わないものとします。また、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoEインターネット接続環境における3点間IPsec VPN(支社間通信は本社経由、全拠点アドレス固定) (#131)
PPPoEでインターネットに接続している3つの拠点をIPsec(ESP)トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は本社経由で行うものとします。また、すべての拠点(ルーター)にグローバルアドレス1個が固定的に割り当てられていると仮定しています
PPPoEマルチセッションによる端末型インターネット接続+CUGサービス接続(LAN型) (#138)
PPPoEセッションを2本使い、インターネット(ISP)接続とCUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(プロ、NTT東日本)、フレッツ・グループ(ビジネスメニュー、NTT西日本))の「LAN型払い出し」を同時に利用します。パケットの振り分けはスタティックな経路制御により行います
PPPoEマルチセッションによる端末型インターネット接続+CUGサービス接続(端末型) (#137)
PPPoEセッションを2本使い、インターネット(ISP)接続とCUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本))の「端末型払い出し」を同時に利用します。パケットの振り分けはスタティックな経路制御により行います
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(ISP接続+フレッツグループアクセス〜L2TP編〜) (#141)
センター、拠点間の通信にフレッツグループアクセス(以下「FGA」と省略します)を利用する際に、インターネット(ISP)への接続はセンター側ルーターのみを経由するネットワークを構築します。
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(インターネットVPN+ISDNバックアップ〜IPsec編〜) (#142)
センター、拠点間をIPsec VPN環境でIP接続するネットワークを構築します。
Pingポーリングによるメイン回線からISDNバックアップへの自動切り替え(フレッツグループアクセス〜VRRP編〜) (#143)
センター、拠点間の通信にフレッツグループアクセス(以下「FGA」と省略します)を利用する際に、センター、拠点にマスター/バックアップルーターを各1台ずつ設置し、VRRPを使用して冗長構成するネットワークを構築します。
QoS基本設定例(PPPoEインターネット接続環境における2点間IPsec VPN、両側アドレス固定) (#148)
QoS機能の基本設定例です。ここでは、IPsecトンネルで接続された2つの拠点間でトラフィックの制御を行います。なおこの例では、両拠点ともPPPoEでインターネットに接続しており、それぞれがグローバルアドレス1個を固定的に割り当てられていると仮定しています
SNMP(Simple Network Management Protocol) (#77)
SNMPエージェントの基本設定について説明します
Secure Shell(SSHv1)基本設定 (#78)
暗号技術を用いて安全なリモートログインを可能にするSSH(Secure Shell)の使用方法について説明します
UPnP基本設定(PPPoE端末型) (#135)
NAT経由でWindows Messengerなどのアプリケーションの諸機能を利用できるようにするUPnPの設定例です。ここでは、PPPoE端末型のインターネット接続環境を例に解説します
VRRP(WAN) (#83)
VRRP(Virtual Router Redundancy Protocol)は、複数のルーターを連携させ1台のルーターであるかのように見せかけることで、IPネットワークの冗長構成を可能にする機能です。ここでは、WAN回線(メインルート:専用線、バックアップ:ISDN)を含むネットワーク構成におけるVRRPの使用例を示します
WANロードバランスを使用した3点間VPN接続(自動鍵、全アドレス固定、インターネットアクセスあり) (#151)
xDSL回線を2本使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、VPN接続でインターネット上の3拠点間を結びます。またWANロードバランスの方式としては、トラフィックを均等に配分するRound Robinモードを使います
WANロードバランス機能によるトラフィック負荷分散(Round Robinモード) (#146)
xDSL回線を2本使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、トラフィックを均等に配分するRound Robinモードを使います。
WANロードバランス機能によるトラフィック負荷分散(Weighted Fast Response モード) (#166)
ヘルスチェック機能によって、WANロードバランスのインターフェースからヘルスチェック用ホストに対してICMPエコー要求が送信され、応答時間によりWeighted fast responseモードの負荷分散を行います。xDSL回線を2本使用し、それぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。
WANロードバランス機能によるトラフィック負荷分散(Weighted Least Connect モード) (#167)
各リソースに設定されたWeightとリソース上にあるセッション数から負荷分散の基準となるWLC値(Weighted Least Connect値)を算出し、WLC値が大きいリソースにセッションを割り振り、負荷分散を行います。xDSL回線を2本使用し、それぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。
WANロードバランス機能によるトラフィック負荷分散(Weighted Lotteryモード) (#147)
xDSL回線(約10Mbps)と光ファイバー回線(約100Mbps)を使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、Weighted Lotteryモードを使用して、トラフィックを回線速度比に応じて配分するよう設定します
トンネリングによるIPv6インターネット接続(PPPoEアドレス1個固定環境) (#121)
IPv6 over IPv4トンネリングによってIPv6インターネットに接続します。この例では、インターネットサービスプロバイダー(ISP)とPPPoEで接続(IPv4グローバルアドレス1個固定)していることを前提に、ISPが提供するIPv6トンネル接続サービスを利用してグローバルIPv6ネットワークに接続します。IPv4では、ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。一方、IPv6では、IPv6フィルターを使って外部からの不正アクセスを防止しつつ、内部からは自由にIPv6インターネットにアクセスできるようにします
パスワード認証によるSecure Shell(SSHv1)基本設定 (#79)
暗号技術を用いて安全なリモートログインを可能にするSSH(Secure Shell)の使用方法について説明します。ここではパスワード認証によるリモートログインの設定方法を、PPPoEインターネット接続環境を例に解説します。
メール送信機能 (#76)
電子メール送信機能の基本設定と使い方について説明します
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-04 Rev.P
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))