L2TP＋IPsecを用いた2拠点間接続＋回線冗長（OSPF）

広域EthernetサービスとCUG（Closed Users Group）サービスを利用し、広域Ethernetをメイン回線、CUGをバックアップ回線として使用します。広域Ethernet側で、通信経路断となった場合、OSPFで経路情報を更新し、CUG側のネットワークへ経路を切り替えます。CUG側の通信はIPsecを使用します。

CUGサービスのプライベートグループ（以下、グループ）管理者からは、次の情報を提供されているものとします。

表 1：グループ管理者から提供された情報

ルーターA ルーターB

PPPユーザー名 userA@isp userB@isp

PPPパスワード isppasswdA isppasswdB

IPアドレス（端末型） 10.0.0.1/32 10.1.0.1/32

表 2：L2TPの設定

ルーターA ルーターB

L2TPコール名 remote remote

L2TP終端アドレス 172.16.1.1/30 172.16.1.2/30

L2TPサーバーモード LAC/LNS兼用（BOTH） LAC/LNS兼用（BOTH）

L2TPサーバーパスワード l2tpA l2tpB

ルーターAの設定

セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「secoff」とします。
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
WAN側Ethernetインターフェース（eth0）上にCUGサービス接続用のPPPインターフェースを作成します。
「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
L2TP を有効にします。
L2TPサーバーをLNS/LACの兼用モードで起動します。
相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。
L2TPコールを定義します。これはISDNにおけるISDNコールに相当するもので、接続先のL2TPサーバーとの間に仮想回線を張るための情報を定義します。CALLには任意の名前を、REMOTEには相手側で定義されているL2TPコールの名前を指定します。 LAN間接続の場合、TYPEにはVIRTUALを指定します。IPは接続先のL2TPルーター、PRECEDENCEは優先する呼の方向です。また、相手側にL2TPパスワードが設定されている場合は、PASSWORDパラメーターで接続パスワードを指定します。
OSPFを有効にするインターフェースとしてL2TPコール上にPPPインターフェースを作成します。CREATE PPPコマンドでL2TPコールを物理インターフェースとして指定するときは、L2TPコール名の前に「TNL-」を付けます。
IPモジュールを有効にします。
IPCPネゴシエーションでISPから取得したIPアドレスをPPPインターフェースで使用できるように設定します。
ppp0インターフェースにIPアドレス「0.0.0.0」を設定します。これは、ISPとの接続が確立するまでIPアドレスが確定しないことを示します。
OSPFで使用するL2TP上のPPP1インターフェースにIPアドレスを割り当てます。また、Eth1インターフェースへの通信を優先させるためOSPFMETRICを5に設定します。
Note - 優先させたいインターフェースのOSPFMETRICの値が小さくなるように設定してください。
eth1(広域Ethernet接続用)インターフェースにIPアドレスを設定します。
LAN側（vlan1）インターフェースにIPアドレスを設定します。
L2TPトンネル用に対向のルーターへのルートを設定します。
ファイアウォール機能を有効にします。
ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
Note - デフォルト設定では、ICMPはファイアウォールを通過できません。
ルーターのidentプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
ファイアウォールポリシーの適用対象となるインターフェースを指定します。
相手ルーターから受信したL2TPパケット（UDP1701番）がファイアウォールを通過できるように設定します。
相手ルーターから受信したIKEパケット（UDP500番）がファイアウォールを通過できるように設定します。
OSPFのバックボーンエリア（0.0.0.0）を作成します。
バックボーンエリアに所属するIPアドレスの範囲を設定します。
バックボーンエリアに所属するルーターインターフェースを設定します。
LAN側（vlan1）配下に隣接ルーターが存在しないため、LAN側へのOSPFのHelloパケットの送信を停止します。
Note - LAN側（vlan1）配下に隣接ルーターが存在する場合にはPASSIVEをOFF（デフォルト）に設定してください。
OSPFを有効にします。
ISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します（ルーターBと同じに設定）。
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）などで設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。

Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
Security Officerレベルのユーザーでログインしなおします。
動作モードをセキュリティーモードに切り替えます。
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください。
ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵（鍵番号「1」）を、PEERには対向ルーターのIPアドレスを指定します。また、HEARTBEATMODEにBOTHを指定して、ISAKMP ハートビートを使用します。
ISAKMPモジュールを有効にします。
IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード（デフォルト）、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット（ISAKMP）に設定します。
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
実際のIPsec通信に使用するIPsecポリシー「vpn」を、PPPインターフェース「0」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERには対向ルーターのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定し、IPsecポリシーに対して実際にIPsec通信を行うIPアドレスの範囲を指定します。本構成では、L2TPパケットが対象となります。
IPsecモジュールを有効にします。
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

ルーターBの設定

セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「secoff」とします。
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
WAN側Ethernetインターフェース（eth0）上にCUGサービス接続用のPPPインターフェースを作成します。
「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。
ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
L2TP を有効にします。
L2TPサーバーをLNS/LACの兼用モードで起動します。
相手側からL2TPのコネクション確立要求が来たときに相手を認証するためのパスワードを設定します。
L2TPコールを定義します。これはISDNにおけるISDNコールに相当するもので、接続先のL2TPサーバーとの間に仮想回線を張るための情報を定義します。CALLには任意の名前を、REMOTEには相手側で定義されているL2TPコールの名前を指定します。 LAN間接続の場合、TYPEにはVIRTUALを指定します。IPは接続先のL2TPルーター、PRECEDENCEは優先する呼の方向です。また、相手側にL2TPパスワードが設定されている場合は、PASSWORDパラメーターで接続パスワードを指定します。
OSPFを有効にするインターフェースとしてL2TPコール上にPPPインターフェースを作成します。CREATE PPPコマンドでL2TPコールを物理インターフェースとして指定するときは、L2TPコール名の前に「TNL-」を付けます。
IPモジュールを有効にします。
IPCPネゴシエーションでISPから取得したIPアドレスをPPPインターフェースで使用できるように設定します。
ppp0インターフェースにIPアドレス「0.0.0.0」を設定します。これは、ISPとの接続が確立するまでIPアドレスが確定しないことを示します。
OSPFで使用するL2TP上のPPP1インターフェースにIPアドレスを割り当てます。また、Eth1インターフェースへの通信を優先させるためOSPFMETRICを5に設定します。
Note - 優先させたいインターフェースのOSPFMETRICの値が小さくなるように設定してください。
eth1(広域Ethernet接続用)インターフェースにIPアドレスを設定します。
LAN側（vlan1）インターフェースにIPアドレスを設定します。
L2TPトンネル用に対向のルーターへのルートを設定します。
ファイアウォール機能を有効にします。
ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
Note - デフォルト設定では、ICMPはファイアウォールを通過できません。
ルーターのidentプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
ファイアウォールポリシーの適用対象となるインターフェースを指定します。
相手ルーターから受信したL2TPパケット（UDP1701番）がファイアウォールを通過できるように設定します。
相手ルーターから受信したIKEパケット（UDP500番）がファイアウォールを通過できるように設定します。
OSPFのバックボーンエリア（0.0.0.0）を作成します。
バックボーンエリアに所属するIPアドレスの範囲を設定します。
バックボーンエリアに所属するルーターインターフェースを設定します。
LAN側（vlan1）配下に隣接ルーターが存在しないため、LAN側へのOSPFのHelloパケットの送信を停止します。
Note - LAN側（vlan1）配下に隣接ルーターが存在する場合にはPASSIVEをOFF（デフォルト）に設定してください。
OSPFを有効にします。
ISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します（ルーターAと同じに設定）。
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）などで設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。

Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
Security Officerレベルのユーザーでログインしなおします。
動作モードをセキュリティーモードに切り替えます。
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください。
ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵（鍵番号「1」）を、PEERには対向ルーターのIPアドレスを指定します。また、HEARTBEATMODEにBOTHを指定して、ISAKMP ハートビートを使用します。
ISAKMPモジュールを有効にします。
IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード（デフォルト）、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット（ISAKMP）に設定します。
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
実際のIPsec通信に使用するIPsecポリシー「vpn」を、PPPインターフェース「0」に対して作成します。
鍵管理方式には「ISAKMP」を、PEERには対向ルーターのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定し、IPsecポリシーに対して実際にIPsec通信を行うIPアドレスの範囲を指定します。本構成では、L2TPパケットが対象となります。
IPsecモジュールを有効にします。
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

まとめ

ルーターAのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER ↓ CREATE PPP=0 OVER=eth0-ANY ↓ SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=userA@isp PASSWORD=isppasswdA LQR=OFF ECHO=ON ↓ ENABLE L2TP ↓ ENABLE L2TP SERVER=BOTH ↓ SET L2TP PASSWORD=l2tpA ↓ ADD L2TP CALL=remote IP=10.1.0.1 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=IN PASSWORD=l2tpB ↓ CREATE PPP=1 OVER=TNL-remote IDLE=999999 BAP=OFF LQR=OFF ↓ ENABLE IP ↓ ENABLE IP REMOTEASSIGN ↓ ADD IP INT=ppp0 IP=0.0.0.0 ↓ ADD IP INT=ppp1 IP=172.16.1.1 MASK=255.255.255.252 OSPFMETRIC=5 ↓ ADD IP INT=eth1 IP=20.0.0.1 MASK=255.255.255.0 ↓ ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓ ADD IP ROUTE=10.1.0.1 MASK=255.255.255.255 INT=ppp0 NEXTHOP=0.0.0.0 ↓ ENABLE FIREWALL ↓ CREATE FIREWALL POLICY=net ↓ ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓ DISABLE FIREWALL POLICY=net IDENTPROXY ↓ ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=eth1 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=UDP PO=1701 IP=10.0.0.1 ↓ ADD FIREWALL POLICY=net RULE=2 ACTION=ALLOW INTERFACE=ppp0 PROTOCOL=UDP PORT=500 IP=10.0.0.1 ↓ ADD OSPF AREA=0.0.0.0 ↓ ADD OSPF RANGE=172.16.1.0 MASK=255.255.255.252 AREA=0.0.0.0 ↓ ADD OSPF RANGE=192.168.10.0 MASK=255.255.255.0 AREA=0.0.0.0 ↓ ADD OSPF RANGE=20.0.0.0 MASK=255.255.255.0 AREA=0.0.0.0 ↓ ADD OSPF INT=vlan1 AREA=0.0.0.0 ↓ ADD OSPF INT=ppp1 AREA=0.0.0.0 ↓ ADD OSPF INT=eth1 AREA=0.0.0.0 ↓ SET OSPF INT=vlan1 PASSIVE=ON ↓ ENABLE OSPF ↓ # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓ CREATE ISAKMP POLICY="i" PEER=10.1.0.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓ ENABLE ISAKMP ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓ CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓ CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="vpn" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.1.0.1 ↓ SET IPSEC POLICY="vpn" LAD=10.0.0.1 LPORT=1701 RAD=10.1.0.1 RPORT=1701 ↓ ENABLE IPSEC ↓

ルーターBのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER ↓ CREATE PPP=0 OVER=eth0-ANY ↓ SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=userB@isp PASSWORD=isppasswdB LQR=OFF ECHO=ON ↓ ENABLE L2TP ↓ ENABLE L2TP SERVER=BOTH ↓ SET L2TP PASSWORD=l2tpB ↓ ADD L2TP CALL=remote IP=10.0.0.1 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=OUT PASSWORD=l2tpA ↓ CREATE PPP=1 OVER=TNL-remote IDLE=999999 BAP=OFF LQR=OFF ↓ ENABLE IP ↓ ENABLE IP REMOTEASSIGN ↓ ADD IP INT=ppp0 IP=0.0.0.0 ↓ ADD IP INT=ppp1 IP=172.16.1.2 MASK=255.255.255.252 OSPFMETRIC=5 ↓ ADD IP INT=eth1 IP=20.0.0.2 MASK=255.255.255.0 ↓ ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓ ADD IP ROUTE=10.0.0.1 MASK=255.255.255.255 INT=ppp0 NEXTHOP=0.0.0.0 ↓ ENABLE FIREWALL ↓ CREATE FIREWALL POLICY=net ↓ ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓ DISABLE FIREWALL POLICY=net IDENTPROXY ↓ ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=eth1 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=UDP PO=1701 IP=10.1.0.1 ↓ ADD FIREWALL POLICY=net RULE=2 ACTION=ALLOW INTERFACE=ppp0 PROTOCOL=UDP PORT=500 IP=10.1.0.1 ↓ ADD OSPF AREA=0.0.0.0 ↓ ADD OSPF RANGE=172.16.1.0 MASK=255.255.255.252 AREA=0.0.0.0 ↓ ADD OSPF RANGE=192.168.20.0 MASK=255.255.255.0 AREA=0.0.0.0 ↓ ADD OSPF RANGE=20.0.0.0 MASK=255.255.255.0 AREA=0.0.0.0 ↓ ADD OSPF INT=vlan1 AREA=0.0.0.0 ↓ ADD OSPF INT=ppp1 AREA=0.0.0.0 ↓ ADD OSPF INT=eth1 AREA=0.0.0.0 ↓ SET OSPF INT=vlan1 PASSIVE=ON ↓ ENABLE OSPF ↓ # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓ CREATE ISAKMP POLICY="i" PEER=10.0.0.1 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH ↓ ENABLE ISAKMP ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓ CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓ CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="vpn" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=10.0.0.1 ↓ SET IPSEC POLICY="vpn" LAD=10.1.0.1 LPORT=1701 RAD=10.0.0.1 RPORT=1701 ↓ ENABLE IPSEC ↓

CentreCOM AR570S 設定例集 2.9 #165

PN: 613-000274 Rev.N

＜前頁次頁＞＜＜＞＞ ↑ 目次（番号順 (詳細)・回線別 (詳細)・機能別 (詳細)）

	ルーターA	ルーターB
PPPユーザー名	userA@isp	userB@isp
PPPパスワード	isppasswdA	isppasswdB
IPアドレス（端末型）	10.0.0.1/32	10.1.0.1/32

	ルーターA	ルーターB
L2TPコール名	remote	remote
L2TP終端アドレス	172.16.1.1/30	172.16.1.2/30
L2TPサーバーモード	LAC/LNS兼用（BOTH）	LAC/LNS兼用（BOTH）
L2TPサーバーパスワード	l2tpA	l2tpB