<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #103

L2TP+IPsecによるLAN間接続(IP/IPX。片側アドレス不定。インターネットアクセスあり)

L2TPを使って、インターネット経由でIPとIPXのプライベートLAN同士を接続します。さらに、L2TPトンネルをトランスポートモードIPsec(ESP)で暗号化し、インターネット上を通るデータの安全性を確保します。片側の拠点のIPアドレスが不定な場合の基本設定です。また、ファイアウォールとダイナミックENATの設定により、各拠点からインターネットへのアクセスも可能です。


Note - IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに別売の暗号ボード(AR010)または暗号・圧縮ボード(AR011)を装着する必要があります。

ここでは、次のような構成のネットワークを例に解説します。最初にベースとなるISP接続の設定を示します。ISPとの接続に特別なところはありません。専用線接続のルーターAでは、LAN側インターフェースをマルチホーミングして、ISPから割り当てられたグローバルアドレスをeth0-0に、クライアント用のプライベートアドレスをeth0-1に割り当てています。ルーターBはダイヤルアップのため、WAN側アドレスはISPに接続するまで確定しません。

表 1:ISP接続の設定
 
ルーターA
ルーターB
TDMグループ名 ISPA
回線速度 128Kbps
ISDNコール名 ISPB
ISPアクセスポイントの番号 03-1234-5678
WAN側物理インターフェース bri0 bri0
PPPユーザー名 ispuser
PPPパスワード isppasswd
WAN側(ppp0)IPアドレス Unnumbered 0.0.0.0(動的割り当て)
LAN側(eth0-0)IPアドレス(1) 200.100.10.1/28 192.168.20.1/24
LAN側(eth0-1)IPアドレス(2) 192.168.10.1/24



IPネットワーク(インターネット)上に構築するL2TP VPNの設定は次のとおりです。この例では片側のアドレスが不定なため、つねにルーターBからルーターAに発呼する形になります。L2TPトンネルは、ルーターAのグローバルアドレス(200.100.10.1)とルーターBのグローバルアドレス(不定)の間に張られることになります。トンネル上に張った仮想PPPコネクション(ppp1−ppp1)はプライベートLAN間を接続するためのもので、IPとIPXのパケットを通します。

表 2:L2TP・IP・IPX設定
 
ルーターA
ルーターB
L2TPコール名 remote remote
L2TP終端アドレス 200.100.10.1 不定(ISPから動的割り当て)
L2TP発着優先 着呼優先(着呼専用) 発呼優先
L2TPサーバーモード LAC/LNS兼用(BOTH) LAC/LNS兼用(BOTH)
L2TPサーバーパスワード なし なし
WAN側(ppp1)IPアドレス Unnumbered Unnumbered
WAN側(ppp1)IPXネットワーク番号 129 129
LAN側(eth0)IPXネットワーク番号 401 12
ルーターMACアドレス 0000f4740012 0000f4740022
Ethernetフレームタイプ 802.3 802.3
ファイルサーバー名 Accounts (なし)
ファイルサーバー内部ネットワーク番号 7500 (なし)
ファイルサーバー内部ステーション番号 00000001 (なし)
NCPソケットアドレス 0451 (なし)


さらに、L2TPトンネルをIPsecで暗号化します。そのときの設定は次のとおりです。トランスポートモードのESPを使って、ルーター間のL2TPパケット(始点・終点UDPポート1701)だけを暗号化します。

表 3:IKEフェーズ1(ISAKMP SAのネゴシエーション)
ルーター間の認証方式 事前共有鍵(pre-shared key)
IKE交換モード Aggressiveモード
事前共有鍵 secret(文字列)
ルーターAのID IPアドレス:200.100.10.1(デフォルト)
ルーターBのID 名前:routerb
Oakleyグループ 1(デフォルト)
ISAKMPメッセージの暗号化方式 DES(デフォルト)
ISAKMPメッセージの認証方式 SHA1(デフォルト)
ISAKMP SAの有効期限(時間) 86400秒(24時間)(デフォルト)
ISAKMP SAの有効期限(Kbyte数) なし(デフォルト)
起動時のISAKMPネゴシエーション 行わない


表 4:IKEフェーズ2(IPsec SAのネゴシエーション)
SAモード トランスポートモード
セキュリティープロトコル ESP(暗号+認証)
暗号化方式 DES
認証方式 SHA1
IPComp 使わない
IPsec SAの有効期限(時間) 28800秒(8時間)(デフォルト)
IPsec SAの有効期限(Kbyte数) なし(デフォルト)
IPsecの適用対象IPアドレス 200.100.10.1:1701/udp ←→ 不定:1701/udp
インターネットとの平文通信 行なう




ルーターAの設定

  1. IPsecはセキュリティーモードでないと動作しないので、同モードで管理設定を行うことのできるSecurity Officerレベルのユーザーをあらかじめ登録しておきます。


    Note - Security Officerのパスワードは厳重に管理してください。

  2. 専用線の設定をします。


  3. PPPインターフェース「0」を作成します。


  4. IPモジュールを有効にします。


  5. LAN側(eth0)インターフェースをマルチホーミングし、eth0-0にグローバルアドレスを、eth0-1にプライベートアドレスを設定します。


  6. WAN側(ppp0)インターフェースをUnnumberedに設定します。


  7. デフォルトルートを設定します。


  8. L2TPモジュールを有効にします。


  9. L2TPサーバーの動作モードをBOTHにします。


  10. L2TPコール「remote」を作成し、L2TPの接続先情報を登録します。IPには相手ルーターのIPアドレスを指定しますが、この例ではルーターA側から接続しにいくことがないため「0.0.0.0」を指定しています。TYPEは呼の種類を示すもので、LAN間接続の場合はVIRTUALを指定します。REMOTEには、このL2TPコールに応じて相手側が起動するL2TPコール名を指定します。PRECEDENCEはL2TPの通信が同時に開始された場合に発呼・着呼のどちらを優先するかを指定します。


  11. L2TPコールを仮想的な物理回線と見なし、その上にPPPインターフェースを作成します。OVERパラメーターにL2TPコールを指定するときは、コール名の前に「TNL-」を付けます。また、ここでは「IDLE=ON」を指定して、必要なときだけ接続するよう設定します。


  12. L2TP仮想回線上のPPPインターフェース「1」をUnnumberedに設定します。このインターフェースは、両拠点のプライベートLAN同士を接続する仮想インターフェースです。


  13. 経路情報を設定します。ルーターBのLAN側(192.168.20.0/24)宛てのパケットは、L2TP上のPPPインターフェース「1」を通じて送り出します。


  14. ここからIPXの設定を行います。最初にIPXモジュールを有効にします。


  15. LAN側(eth0)インターフェースにIPXネットワーク番号を設定します。


  16. L2TP仮想回線上のPPPインターフェース「1」にIPXネットワーク番号を設定します。また、「DEMAND=ON」を指定し、RIPパケットやSAPパケットの定期交換を行わないようにします。


  17. ルーターB側IPXネットワーク(12)への経路情報を設定します。この例ではRIP/SAPを使用していないため、スタティックルートの登録が必須です。


  18. ファイアウォール機能を有効にします。


  19. ファイアウォールの動作を規定するファイアウォールポリシーを作成します。


  20. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。


    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

  21. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。


  22. ファイアウォールポリシーの適用対象となるインターフェースを設定します。


  23. ダイナミックENATの設定を行います。NAT用グローバルアドレスには、eth0-0に設定したインターフェースアドレス200.100.10.1を共用します。


  24. 相手ルーターから受信したIKEパケット(UDP500番)がファイアウォールを通過できるように設定します。


  25. ローカルLANからリモートLANへのパケットにはNATをかけないように設定します。


  26. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケット(L2TPパケット)を取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットがUDPで終点IPアドレスが200.100.10.1、終点ポートが1701番ならばNATの対象外とする」の意味になります。


  27. ここからがIPsecの設定になります。最初にISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターBと同じに設定)。


    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

  28. ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERには対向ルーターのIPアドレスを指定しますが、ここでは相手のIPアドレスが不定なのでANYを指定し、REMOTEIDで相手のIDを指定します。また、「MODE=AGGRESSIVE」でAggressiveモードを使うよう設定します。


  29. IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターのUDP1701番ポート宛てに送受信されるL2TPパケットだけを暗号化する形になります。


  30. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。


  31. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。


    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  32. L2TPパケットを暗号化するIPsecポリシー「L2」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターBのIPアドレスが不定なためISAKMPの認証をパスした相手という意味の「DYNAMIC」を、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LAD、LPORT、RNAME、LPORTで対象となるパケットの条件を指定します。RNAMEは相手のアドレスが不定なためRADの代わりに名前を指定するものです。


  33. インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。


    Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。

  34. IPsecモジュールを有効にします。


  35. ISAKMPモジュールを有効にします。


  36. Security Officerレベルのユーザーでログインしなおします。


  37. 動作モードをセキュリティーモードに切り替えます。


    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。

  38. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。



ルーターBの設定

  1. IPsecはセキュリティーモードでないと動作しないので、同モードで管理設定を行うことのできるSecurity Officerレベルのユーザーをあらかじめ登録しておきます。


    Note - Security Officerのパスワードは厳重に管理してください。

  2. ISDNコール「ISPB」を作成します。


  3. PPPインターフェース「0」をISDNコール「ISPB」上に作成します。ISPからIPアドレスを取得するため、「IPREQUEST=ON」を指定します。また、LQRはオフにします。


  4. ISPへの接続に必要なユーザー名とパスワードを設定します。


  5. IPモジュールを有効にします。


  6. IPCPネゴシエーションでISPから割り当てられたIPアドレスを、PPPインターフェースで使用するよう設定します。


  7. LAN側(eth0)インターフェースにIPアドレスを設定します。


  8. WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません。


  9. デフォルトルートを設定します。


  10. L2TPモジュールを有効にします。


  11. L2TPサーバーの動作モードをBOTHにします。


  12. L2TPコール「remote」を作成し、L2TPの接続先情報を登録します。IPには相手ルーターのIPアドレスを指定します。TYPEは呼の種類を示すもので、LAN間接続の場合はVIRTUALを指定します。REMOTEには、このL2TPコールに応じて相手側が起動するL2TPコール名を指定します。PRECEDENCEはL2TPの通信が同時に開始された場合に発呼・着呼のどちらを優先するかを指定します。


  13. L2TPコールを仮想的な物理回線と見なし、その上にPPPインターフェースを作成します。OVERパラメーターにL2TPコールを指定するときは、コール名の前に「TNL-」を付けます。また、ここでは「IDLE=ON」を指定して、必要なときだけ接続するよう設定します。


  14. L2TP仮想回線上のPPPインターフェース「1」をUnnumberedに設定します。このインターフェースは、両拠点のプライベートLAN同士を接続する仮想インターフェースです。


  15. 経路情報を設定します。ルーターAのLAN側(192.168.10.0/24)宛てのパケットは、L2TP上のPPPインターフェース「1」を通じて送り出します。


  16. ここからIPXの設定を行います。最初にIPXモジュールを有効にします。


  17. LAN側(eth0)インターフェースにIPXネットワーク番号を設定します。


  18. L2TP仮想回線上のPPPインターフェース「1」にIPXネットワーク番号を設定します。また、「DEMAND=ON」を指定し、RIPパケットやSAPパケットの定期交換を行わないようにします。


  19. ルーターA側IPXネットワーク(401)への経路情報を設定します。この例ではRIP/SAPを使用していないため、スタティックルートの登録が必須です。


  20. ルーターA側にあるNetWareサーバーへの経路と、サーバーが提供するサービスをスタティックに登録します。ROUTEにはサーバーのインターナルネットワーク番号を指定します。SERVICEにはサーバー名を、ADDRESSにはファイルサーバーのインターナルネットワーク番号:ステーション番号:NCPソケットアドレスを指定します。TYPEにはサービスの種類を、HOPSにはサーバーまでのホップ数を指定します。


  21. ファイアウォール機能を有効にします。


  22. ファイアウォールの動作を規定するファイアウォールポリシーを作成します。


  23. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。


    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

  24. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。


  25. ファイアウォールポリシーの適用対象となるインターフェースを設定します。


  26. ダイナミックENATの設定を行います。NAT用グローバルアドレスには、ISPから割り当てられたppp0のアドレスを使います。


  27. ローカルLANからリモートLANへのパケットにはNATをかけないように設定します。


  28. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケット(L2TPパケット)を取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットがUDPで終点ポートが1701番ならばNATの対象外とする」の意味になります。


  29. ここからがIPsecの設定になります。最初にISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターAと同じに設定)。


    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

  30. ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERには対向ルーターのIPアドレスを指定します。また、自分のIPアドレスが不定なので、LOCALIDで自分のIDを指定し、「MODE=AGGRESSIVE」でAggressiveモードを使うよう指定します。


  31. IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。この例ではすでにL2TPのトンネルが存在するため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。相手ルーターのUDP1701番ポート宛てに送受信されるL2TPパケットだけを暗号化する形になります。


  32. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。


  33. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。


    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  34. L2TPパケットを暗号化するIPsecポリシー「L2」をPPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターAのIPアドレスを、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定します。また、LNAME、LPORT、RAD、LPORTで対象となるパケットの条件を指定します。ここでは、自分のIPアドレスが不定なので、LNAMEパラメーターで名前を指定しています。


  35. インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。


    Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。

  36. IPsecモジュールを有効にします。


  37. ISAKMPモジュールを有効にします。


  38. Security Officerレベルのユーザーでログインしなおします。


  39. 動作モードをセキュリティーモードに切り替えます。


    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。

  40. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。



メモ

■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。

たとえば、ネットワーク192.168.10.0/24、192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。


■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。


■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜600(秒)を指定します。デフォルトは60秒です。

まとめ

ルーターAのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2
CREATE TDM GROUP=ISPA INT=bri0 SLOTS=1-2
CREATE PPP=0 OVER=TDM-ISPA LQR=OFF
ENABLE IP
ADD IP INT=eth0-0 IP=200.100.10.1 MASK=255.255.255.240
ADD IP INT=eth0-1 IP=192.168.10.1 MASK=255.255.255.0
ADD IP INT=ppp0 IP=0.0.0.0
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
ADD L2TP CALL=remote IP=0.0.0.0 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=IN
CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=OFF
ADD IP INT=ppp1 IP=0.0.0.0
ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0
ENABLE IPX
ADD IPX CIRCUIT=1 INTERFACE=eth0 NETWORK=401 ENCAPSULATION=802.3
ADD IPX CIRCUIT=2 INTERFACE=ppp1 NETWORK=129 DEMAND=ON
ADD IPX ROUTE=12 CIRCUIT=2 NEXTHOP=129:0000f4740022
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PRIVATE
ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE
ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0-1 GBLINT=ppp0 GBLIP=200.100.10.1
ADD FIREWALL POLICY=net RU=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPO=500 GBLIP=200.100.10.1 PO=500 IP=200.100.10.1
ADD FIREWALL POLICY=net RU=2 AC=NONAT INT=eth0-1 PROT=ALL IP=192.168.10.1-192.168.10.254
SET FIREWALL POLICY=net RU=2 REMOTEIP=192.168.20.1-192.168.20.254
ADD FIREWALL POLICY=net RU=3 AC=NONAT INT=ppp0 PROT=UDP PORT=1701 IP=200.100.10.1 ENCAP=IPSEC
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE MODE=AGGRESSIVE REMOTEID="routerb"
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1"
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY="L2" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC
SET IPSEC POLICY="L2" LAD=200.100.10.1 LPORT=1701 RNAME="routerb" RPORT=1701 TRANSPORT=UDP
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE


ルーターBのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
ADD ISDN CALL=ISPB NUMBER=0312345678 PREC=OUT INTREQ=bri0
CREATE PPP=0 OVER=ISDN-ISPB IPREQUEST=ON IDLE=60 LQR=OFF
SET PPP=0 USERNAME="ispuser" PASSWORD="isppasswd"
ENABLE IP
ENABLE IP REMOTEASSIGN
ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0
ADD IP INT=ppp0 IP=0.0.0.0
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
ADD L2TP CALL=remote IP=200.100.10.1 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=OUT
CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=OFF
ADD IP INT=ppp1 IP=0.0.0.0
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0
ENABLE IPX
ADD IPX CIRCUIT=1 INTERFACE=eth0 NETWORK=12 ENCAPSULATION=802.3
ADD IPX CIRCUIT=2 INTERFACE=ppp1 NETWORK=129 DEMAND=ON
ADD IPX ROUTE=401 CIRCUIT=2 NEXTHOP=129:0000f4740012
ADD IPX ROUTE=7500 CIRCUIT=2 NEXTHOP=129:0000f4740012
ADD IPX SERVICE=Accounts ADDRESS=7500:00000001:0451 TYPE=file CIRCUIT=2 HOPS=2
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE
ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0 GBLINT=ppp0
ADD FIREWALL POLICY=net RU=2 AC=NONAT INT=eth0 PROT=ALL IP=192.168.20.1-192.168.20.254
SET FIREWALL POLICY=net RU=2 REMOTEIP=192.168.10.1-192.168.10.254
ADD FIREWALL POLICY=net RU=3 AC=NONAT INT=ppp0 PROT=UDP PORT=1701 ENCAP=IPSEC
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i" PEER=200.100.10.1 KEY=1 SENDN=TRUE MODE=AGGRESSIVE LOCALID="routerb"
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA MODE=TRANSPORT
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1"
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY="L2" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1
SET IPSEC POLICY="L2" LNAME="routerb" LPORT=1701 RAD=200.100.10.1 RPORT=1701 TRANSPORT=UDP
CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE




CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #103

(C) 1997 - 2005 アライドテレシスホールディングス株式会社

PN: J613-M0507-00 Rev.H

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)