[index] CentreCOM AR300/AR700 シリーズ コマンドリファレンス 2.3

GRE/概要・基本設定

対象機種：AR300 V2、AR300L V2、AR320、AR720、AR740

  - 設定手順
  - 設定例
   - 基本設定
   - IP NATとの併用
   - ファイアウォールNATとの併用

GRE（Generic Routing Encapsulation）は、任意のネットワーク層プロトコルパケットを、別のネットワーク層プロトコルパケットに包み込んで送信する汎用のトンネリングプロトコルです。

本製品では、IPパケットを別のIPパケットでカプセル化することにより、プライベートIPアドレスで運用しているLAN同士をインターネット経由で接続することが可能です。

• IPパケットしかトンネリングできない。
  
• トンネルの両端のルーターのIPアドレスが固定されていなくてはならない。L2TPやIPsecは、片側のアドレスが不定でも（若干の制限があるものの）使用できる。
  
• セキュリティー機能がない
  

設定手順

1. GREフィルターを作成し、トンネリングするパケットの条件を指定します。始点・終点IPアドレスの組み合わせで指定する方法と、受信インターフェースで指定する方法があります。たとえば、次のような指定が可能です。
   
   
   • 192.168.10.0/24から192.168.20.0/24へのパケットをトンネリング
     
   • LAN側インターフェース（eth0）で受信したパケットをトンネリング
     
   
   
2. 同じくGREフィルターで、カプセル化したパケットの送信先（トンネルの終点）を指定します。具体的には、対向ルーターのIPアドレスを指定します。こちらのルーターから到達できるアドレスでなくてはなりません。
   
   
3. 手順1、2の設定内容（GREフィルター）を、トンネル対象パケットの受信インターフェースに適用します。設定内容をIPインターフェースに適用しないとGREの設定は有効になりませんのでご注意ください。
   
   
4. GREモジュールを有効化します。
   

ENABLE GRE ↓

ADD GRE=1 SOURCE=192.168.10.0 SMASK=255.255.255.0 DESTINATION=192.168.20.0 DMASK=255.255.255.0 TARGET=2.2.2.2 ↓

ADD GRE=1 SO=192.168.10.0 SMASK=255.255.255.0 DEST=192.168.20.0 DMASK=255.255.255.0 TARGET=2.2.2.2 ↓
ADD GRE=1 SO=192.168.10.0 SMASK=255.255.255.0 DEST=192.168.30.0 DMASK=255.255.255.0 TARGET=3.3.3.3 ↓


ADD GRE=1 INT=eth0 TARGET=2.2.2.2 ↓

ADD GRE=1 ENTRY=1 TARGET=2.2.2.1 ↓

SET IP INT=eth0 GRE=1 ↓

SHOW GRE ↓

SHOW GRE GENERAL ↓

SHOW IP INT ↓
SHOW IP INT=eth0 ↓


DELETE GRE=1 ENTRY=1 ↓
DELETE GRE=1 ENTRY=ALL ↓


SET IP INT=eth0 GRE=NONE ↓

DISABLE GRE ↓

設定例

基本設定

1. GREモジュールを有効にします。
   
   ENABLE GRE ↓
   
   
2. ローカルLAN（192.168.10.0/24）からリモートLAN（192.168.20.0/24）へのパケットをカプセル化してルーターB（2.2.2.2）に送るGREフィルター「1」を作成します。
   
   ADD GRE=1 SO=192.168.10.0 SMASK=255.255.255.0 DEST=192.168.20.0 DMASK=255.255.255.0 TARGET=2.2.2.2 ↓
   
   
3. GREフィルター「1」をeth0に適用します。
   
   SET IP INT=eth0 GRE=1 ↓

1. GREモジュールを有効にします。
   
   ENABLE GRE ↓
   
   
2. ローカルLAN（192.168.20.0/24）からリモートLAN（192.168.10.0/24）へのパケットをカプセル化してルーターA（1.1.1.1）に送るGREフィルター「1」を作成します。
   
   ADD GRE=1 SO=192.168.20.0 SMASK=255.255.255.0 DEST=192.168.10.0 DMASK=255.255.255.0 TARGET=1.1.1.1 ↓
   
   
3. GREフィルター「1」をeth0に適用します。
   
   SET IP INT=eth0 GRE=1 ↓

IP NATとの併用

1. GREモジュールを有効にします。
   
   ENABLE GRE ↓
   
   
2. ローカルLAN（192.168.10.0/24）からリモートLAN（192.168.20.0/24）へのパケットをカプセル化してルーターB（2.2.2.2）に送るGREフィルター「1」を作成します。
   
   ADD GRE=1 SO=192.168.10.0 SMASK=255.255.255.0 DEST=192.168.20.0 DMASK=255.255.255.0 TARGET=2.2.2.2 ↓
   
   
3. GREフィルター「1」をeth0に適用します。
   
   SET IP INT=eth0 GRE=1 ↓
   
   
4. IP NATモジュールを有効にします。
   
   ENABLE IP NAT ↓
   
   
5. ローカルLAN側ホストのプライベートIPアドレスを、ppp0のグローバルアドレスに変換するダイナミックENATの設定を行います。
   
   ADD IP NAT IP=192.168.10.0 MASK=255.255.255.0 GBLINT=ppp0 ↓

1. GREモジュールを有効にします。
   
   ENABLE GRE ↓
   
   
2. ローカルLAN（192.168.20.0/24）からリモートLAN（192.168.10.0/24）へのパケットをカプセル化してルーターA（1.1.1.1）に送るGREフィルター「1」を作成します。
   
   ADD GRE=1 SO=192.168.20.0 SMASK=255.255.255.0 DEST=192.168.10.0 DMASK=255.255.255.0 TARGET=1.1.1.1 ↓
   
   
3. GREフィルター「1」をeth0に適用します。
   
   SET IP INT=eth0 GRE=1 ↓
   
   
4. IP NATモジュールを有効にします。
   
   ENABLE IP NAT ↓
   
   
5. ローカルLAN側ホストのプライベートIPアドレスを、ppp0のグローバルアドレスに変換するダイナミックENATの設定を行います。
   
   ADD IP NAT IP=192.168.20.0 MASK=255.255.255.0 GBLINT=ppp0 ↓

Note - この設定では、NAT用グローバルアドレスとしてppp0のインターフェースアドレスを使っているため、ルーターA、Bは外部からのPingに応えません。接続性をテストするときなどにはご注意ください。詳細は「IP」の「レンジNAT」をご覧ください。

ファイアウォールNATとの併用

• 対向ルーターからのGREパケットがファイアウォールで遮断されないようALLOWルールを設定する
  
• プライベートLAN間のパケットにファイアウォールNATが適用されないようNONATルールを設定する
  

1. GREモジュールを有効にします。
   
   ENABLE GRE ↓
   
   
2. ローカルLAN（192.168.10.0/24）からリモートLAN（192.168.20.0/24）へのパケットをカプセル化してルーターB（2.2.2.2）に送るGREフィルター「1」を作成します。
   
   ADD GRE=1 SO=192.168.10.0 SMASK=255.255.255.0 DEST=192.168.20.0 DMASK=255.255.255.0 TARGET=2.2.2.2 ↓
   
   
3. GREフィルター「1」をeth0に適用します。
   
   SET IP INT=eth0 GRE=1 ↓
   
   
4. ファイアウォールとダイナミックENATの基本設定をします。
   
   ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=ALL ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0 GBLINT=ppp0 ↓

   
   
5. 外側インターフェースで受信したGREパケットをNATの対象からはずします。
   
   ADD FIREWALL POLICY=net RU=1 AC=NONAT INT=ppp0 PROT=GRE ↓
   
   
6. 内側インターフェースで受信したパケットのうち、トンネリング対象のパケットをNATの対象からはずします。
   
   ADD FIREWALL POLICY=net RU=2 AC=NONAT INT=eth0 PROT=ALL IP=192.168.10.1-192.168.10.254 REM=192.168.20.1-192.168.20.254 ↓

1. GREモジュールを有効にします。
   
   ENABLE GRE ↓
   
   
2. ローカルLAN（192.168.20.0/24）からリモートLAN（192.168.10.0/24）へのパケットをカプセル化してルーターA（1.1.1.1）に送るGREフィルター「1」を作成します。
   
   ADD GRE=1 SO=192.168.20.0 SMASK=255.255.255.0 DEST=192.168.10.0 DMASK=255.255.255.0 TARGET=1.1.1.1 ↓
   
   
3. GREフィルター「1」をeth0に適用します。
   
   SET IP INT=eth0 GRE=1 ↓
   
   
4. ファイアウォールとENATの基本設定をします。
   
   ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=ALL ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0 GBLINT=ppp0 ↓

   
   
5. 外側インターフェースで受信したGREパケットをNATの対象からはずします。
   
   ADD FIREWALL POLICY=net RU=1 AC=NONAT INT=ppp0 PROT=GRE ↓
   
   
6. 内側インターフェースで受信したパケットのうち、トンネリング対象のパケットをNATの対象からはずします。
   
   ADD FIREWALL POLICY=net RU=2 AC=NONAT INT=eth0 PROT=ALL IP=192.168.20.1-192.168.20.254 REM=192.168.10.1-192.168.10.254 ↓

(C) 1997 - 2005 アライドテレシスホールディングス株式会社

PN: J613-M0274-00 Rev.K