＜前頁 次頁＞ ＜＜ ＞＞ ↓ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）

IPフィルター

IPフィルターは、IP、TCP、UDP、ICMPなどのヘッダー情報をもとに、パケットの通過・拒否を制御する機能です。この例では、IPフィルターの基本的な設定方法を、CUG（Closed Users Group）サービス接続環境における拠点間VPN接続の構成例をもとに解説します。

表 1：ISPから提供された情報

PPPユーザー名	user@isp
PPPパスワード	isppasswd
PPPoEサービス名	指定なし
IPアドレス	グローバルアドレス1個（動的割り当て）
DNSサーバー	接続時に通知される

表 2：グループ管理者から提供された情報

	ルーターA	ルーターB
ユーザーID（PPPユーザー名）	userA@group	userB@group
パスワード（PPPパスワード）	grouppassA	grouppassB
IPアドレス	4.4.4.1/32	4.4.4.2/32

表 3：ルーターの基本設定

	ルーターA	ルーターB
WAN側物理インターフェース	gigabitEthernet 0
WAN側（gigabitEthernet 0.1）IPアドレス	接続時にCUGサービス網から取得する（毎回同じアドレスが割り当てられる）
WAN側（gigabitEthernet 0.2）IPアドレス	接続時にISPから取得する	-
LAN側（vlan 1）IPアドレス	192.168.10.1/24	192.168.20.1/24
VPN接続設定
ローカルセキュアグループ	0.0.0.0/0	192.168.20.0/24
リモートセキュアグループ	192.168.20.0/24	0.0.0.0/0
トンネル終端アドレス	4.4.4.2	4.4.4.1
IKE設定
交換モード	Mainモード
認証方式	事前共有鍵（pre-shared key）
事前共有鍵	secret（文字列）
ローカルID/リモートID	なし/なし
暗号化認証アルゴリズム	3DES & SHA1-DH2
有効期限	21600秒（6時間）（デフォルト）
DPDによる死活監視	行わない
起動時のISAKMPネゴシエーション	行う
IPsec設定
SAモード	トンネルモード
セキュリティープロトコル	ESP
暗号化認証アルゴリズム	3DES & SHA1
PFSグループ	なし
有効期限	3600秒（1時間）（デフォルト）

• 事前に購入時に含まれている初期設定を削除します（設定例1を参照してください）。
  
  
• CUGサービスのプライベートグループ（以下、グループ）管理者からは、表2の情報を提供されているものとします。グループのメンバーは、userA@group（ルーターA）とuserB@group（ルーターB）だけであると仮定しています。
  
  
• ルーターAは、スタティックルーティングにより、ルーターB宛のパケットと、それ以外のパケット（インターネット宛）の転送先を振り分けます。
  
  
• ルーターAは、ファイアウォール（アクセスリスト）を利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にWAN側へのアクセスができるようにします。
  
  
• ルーターAは、ダイナミックENAT（ダイナミックNAPT）機能を利用して、LAN側ネットワークのプライベートIPアドレスを、WAN側インターフェースに設定されたアドレスに変換します。インターネット宛のパケットはISPから与えられたグローバルIPアドレスに変換します。これにより、LANに接続された複数のコンピューターから、インターネットへの同時アクセスが可能になります。
  
  
• ルーター間をIPsecにてVPN接続を行うことにより各ルーター配下のPC間で通信が行えるようにします。またルーターBからのインターネット（ISP）接続もルーターAを経由します。
  
  
• ルーターAに適用するIPフィルターは、以下の特定のホストからサーバー宛の通信だけを許可し、その他のサーバー宛の通信は破棄する設定をします。またサーバー以外の宛先への通信は、すべての通信を許可する設定をします。
  
  
  • ホストA：Telnetでサーバー（192.168.10.2）へアクセスしたい。
    
  • ホストB：TelnetとTFTPでサーバーへアクセスしたい。
    
  • ホストC：TFTPでサーバーへアクセスしたい。
    
  
  

ルーターAの設定

1. CUGサービスのグループ管理者から通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
   

   ppp profile pppoe0 ↓
    my-username userA@group password grouppassA ↓
       

   
   
2. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
   

   ppp profile pppoe1 ↓
    my-username user@isp password isppasswd ↓
       

   
   
3. WAN0インターフェース（gigabitEthernet 0）を有効にします。
   

   interface gigabitEthernet 0 ↓
    no shutdown ↓
       

   
   
4. WAN0インターフェース上にCUGサービス接続用のPPPoEインターフェース（gigabitEthernet 0.1）を作成し、インターフェースを使用できるようにします。
   接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
   

   interface gigabitEthernet 0.1 ↓
    ip address ipcp ↓
    ip tcp mss auto ↓
    no shutdown ↓
    pppoe enable ↓
     ppp bind-profile pppoe0 ↓
       

   
   
5. WAN0インターフェース上にインターネット（ISP）接続用のPPPoEインターフェース（gigabitEthernet 0.2）を作成し、インターフェースを使用できるようにします。
   接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
   また、LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。
   外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
   

   interface gigabitEthernet 0.2 ↓
    ip address ipcp ↓
    ip tcp mss auto ↓
    no shutdown ↓
    pppoe enable ↓
     ppp bind-profile pppoe1 ↓
    ip napt inside any ↓
    ip ids in protect ↓
       

   
   
6. LAN側インターフェース（vlan 1）にIPアドレスを設定します。
   

   interface vlan 1 ↓
    ip address 192.168.10.1/24 ↓
       

   
   
7. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。
   

   ip address-up-always ↓
       

   
   
8. デフォルトルートを設定します。
   

   ip route default gigabitEthernet 0.2 ↓
       

   
   
9. ルーターB宛のルートを設定します。
   また、CUGサービス接続用のPPPoEインターフェースが有効になるまでは、このルートを使用できないように設定します。
   

   ip route 4.4.4.2/32 gigabitEthernet 0.1 ↓
   ip route 4.4.4.2/32 Null 254 ↓
       

   
   
10. 外側からの通信を遮断しつつ、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、インターネット（ISP）接続用のPPPoEインターフェース上に割り当てます。
    

    access-list ip extended pppoe1-in ↓
    access-list ip extended pppoe1-out ↓
     dynamic permit ip any any ↓
    interface gigabitEthernet 0.2 ↓
     ip traffic-filter pppoe1-in in ↓
     ip traffic-filter pppoe1-out out ↓
        

    
    
11. Phase1のProposal、およびISAKMPポリシーを設定します。
    

    isakmp proposal isakmp encryption 3des hash sha1 group 2 ↓
    isakmp policy isakmp ↓
     peer 4.4.4.2 ↓
     auth preshared key secret ↓
     proposal isakmp ↓
        

    
    
12. Phase2のProposal、およびIPsecポリシーを設定します。
    

    access-list ip extended ipsec ↓
     permit ip any any ↓
    ipsec proposal ipsec esp encryption 3des hash sha1 ↓
    ipsec policy ipsec ↓
     peer 4.4.4.2 ↓
     access-list ipsec ↓
     local-id 0.0.0.0/0 ↓
     remote-id 192.168.20.0/24 ↓
     proposal ipsec ↓
     always-up-sa ↓
        

    
    
13. トンネルインターフェース（tunnel 0）を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースに対応するIPsecポリシーを設定します。
    

    interface tunnel 0 ↓
     tunnel mode ipsec ↓
     ip unnumbered vlan 1 ↓
     ip tcp mss auto ↓
     no shutdown ↓
     tunnel policy ipsec ↓
        

    
    
14. ルーターBのLAN側（192.168.20.0/24）宛のルートを設定します。
    また、ルーター間のVPN接続が有効になるまでは、このルートを使用できないように設定します。
    

    ip route 192.168.20.0/24 tunnel 0 ↓
    ip route 192.168.20.0/24 Null 254 ↓
        

    
    
15. ルーターB配下の特定のホストからサーバー宛の通信は許可し、その他のサーバー宛の通信は破棄する設定をします。
    またサーバー以外の宛先への通信は、すべての通信を許可する設定をします。
    まず、tunnel 0インターフェースに適用するIPフィルター「tunnel0-in」の設定を行います。
    

    access-list ip extended tunnel0-in ↓
        

    • ホストAからサーバーへのTelnetパケットは通過させます。
      

       dynamic permit tcp 192.168.20.4/32 192.168.10.2/32 eq 23 ↓
          

    • ホストBからサーバーへのTelnetおよびTFTPパケットは通過させます。
      

       dynamic permit tcp 192.168.20.5/32 192.168.10.2/32 eq 23 ↓
       dynamic permit udp 192.168.20.5/32 192.168.10.2/32 eq tftp ↓
          

    • ホストCからサーバーへのTFTPパケットは通過させます。
      

       dynamic permit udp 192.168.20.6/32 192.168.10.2/32 eq tftp ↓
          

    • その他のホストからサーバーへのパケットは破棄させます。
      

       deny ip any 192.168.10.2/32 ↓
          

    • サーバー以外の宛先のパケットは通過させます。
      

       dynamic permit ip any any ↓
          

    
    
16. ルーターBのLAN側宛の通信は全て許可するIPフィルター「tunnel0-out」の設定をします。
    

    access-list ip extended tunnel0-out ↓
     dynamic permit ip any any ↓
        

    
    
17. IPフィルター「tunnel0-in」、および「tunnel0-out」をtunnel 0インターフェースに適用します。
    

    interface tunnel 0 ↓
     ip traffic-filter tunnel0-in in ↓
     ip traffic-filter tunnel0-out out ↓
        

    
    
18. 設定は以上です。設定内容をstartup-configに保存します。
    

    copy running-config startup-config ↓
        

ルーターBの設定

1. CUGサービスのグループ管理者から通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
   

   ppp profile pppoe0 ↓
    my-username userB@group password grouppassB ↓
       

   
   
2. WAN0インターフェース（gigabitEthernet 0）を有効にします。
   

   interface gigabitEthernet 0 ↓
    no shutdown ↓
       

   
   
3. WAN0インターフェース上にCUGサービス接続用のPPPoEインターフェース（gigabitEthernet 0.1）を作成し、インターフェースを使用できるようにします。
   接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
   

   interface gigabitEthernet 0.1 ↓
    ip address ipcp ↓
    ip tcp mss auto ↓
    no shutdown ↓
    pppoe enable ↓
     ppp bind-profile pppoe0 ↓
       

   
   
4. LAN側インターフェース（vlan 1）にIPアドレスを設定します。
   

   interface vlan 1 ↓
    ip address 192.168.20.1/24 ↓
       

   
   
5. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。
   

   ip address-up-always ↓
       

   
   
6. ルーターA宛のルートを設定します。
   

   ip route 4.4.4.1/32 gigabitEthernet 0.1 ↓
       

   
   
7. Phase1のProposal、およびISAKMPポリシーを設定します。
   

   isakmp proposal isakmp encryption 3des hash sha1 group 2 ↓
   isakmp policy isakmp ↓
    peer 4.4.4.1 ↓
    auth preshared key secret ↓
    proposal isakmp ↓
       

   
   
8. Phase2のProposal、およびIPsecポリシーを設定します。
   

   access-list ip extended ipsec ↓
    permit ip any any ↓
   ipsec proposal ipsec esp encryption 3des hash sha1 ↓
   ipsec policy ipsec ↓
    peer 4.4.4.1 ↓
    access-list ipsec ↓
    local-id 192.168.20.0/24 ↓
    remote-id 0.0.0.0/0 ↓
    proposal ipsec ↓
    always-up-sa ↓
       

   
   
9. トンネルインターフェース（tunnel 0）を作成し、インターフェースを使用できるようにします。
   このトンネルインターフェースに対応するIPsecポリシーを設定します。
   

   interface tunnel 0 ↓
    tunnel mode ipsec ↓
    ip unnumbered vlan 1 ↓
    ip tcp mss auto ↓
    no shutdown ↓
    tunnel policy ipsec ↓
       

   
   
10. デフォルトルートを設定します。
    

    ip route default tunnel 0 ↓
        

    
    
11. 設定は以上です。設定内容をstartup-configに保存します。
    

    copy running-config startup-config ↓
        

まとめ

ルーターAのコンフィグ

! service password-encryption ! clock timezone JST 9 ! ! ip address-up-always ppp profile pppoe0 my-username userA@group password 8 e$QOnYQDIRnplmrSlqsqIAdhQAA ppp profile pppoe1 my-username user@isp password 8 e$QNKMe2ohmPDFnghyVppETegAA ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address ipcp ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ! interface gigabitEthernet 0.2 ip address ipcp ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe1 ip napt inside any ip traffic-filter pppoe1-in in ip traffic-filter pppoe1-out out ip ids in protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 0 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy ipsec ip traffic-filter tunnel0-in in ip traffic-filter tunnel0-out out ! interface vlan 1 ip address 192.168.10.1/24 no shutdown ! ip route default gigabitEthernet 0.2 ip route 4.4.4.2/32 gigabitEthernet 0.1 ip route 4.4.4.2/32 Null 254 ip route 192.168.20.0/24 tunnel 0 ip route 192.168.20.0/24 Null 254 ! access-list ip extended ipsec permit ip any any access-list ip extended pppoe1-in access-list ip extended pppoe1-out dynamic permit ip any any access-list ip extended tunnel0-in dynamic permit tcp 192.168.20.4/32 192.168.10.2/32 eq 23 dynamic permit tcp 192.168.20.5/32 192.168.10.2/32 eq 23 dynamic permit udp 192.168.20.5/32 192.168.10.2/32 eq tftp dynamic permit udp 192.168.20.6/32 192.168.10.2/32 eq tftp deny ip any 192.168.10.2/32 dynamic permit ip any any access-list ip extended tunnel0-out dynamic permit ip any any ! isakmp proposal isakmp encryption 3des hash sha1 group 2 ! isakmp policy isakmp peer 4.4.4.2 auth preshared key 8 e$I3eQu7yNuLxQA proposal isakmp ! ipsec proposal ipsec esp encryption 3des hash sha1 ! ipsec policy ipsec peer 4.4.4.2 access-list ipsec local-id 0.0.0.0/0 remote-id 192.168.20.0/24 proposal ipsec always-up-sa ! ! ! ! end

ルーターBのコンフィグ

! service password-encryption ! clock timezone JST 9 ! ! ip address-up-always ppp profile pppoe0 my-username userB@group password 8 e$QOnYQDIRnplklVTihIgEZVQAA ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address ipcp ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 0 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy ipsec ! interface vlan 1 ip address 192.168.20.1/24 no shutdown ! ip route default tunnel 0 ip route 4.4.4.1/32 gigabitEthernet 0.1 ! access-list ip extended ipsec permit ip any any ! isakmp proposal isakmp encryption 3des hash sha1 group 2 ! isakmp policy isakmp peer 4.4.4.1 auth preshared key 8 e$I3eQu7yNuLxQA proposal isakmp ! ipsec proposal ipsec esp encryption 3des hash sha1 ! ipsec policy ipsec peer 4.4.4.1 access-list ipsec local-id 192.168.20.0/24 remote-id 0.0.0.0/0 proposal ipsec always-up-sa ! ! ! ! end

(C) 2011-2014 アライドテレシスホールディングス株式会社

PN: 613-001568 Rev.E

＜前頁 次頁＞ ＜＜ ＞＞ ↑ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）