設定例集#126: vFirewall複数インスタンス構成

構成
AT-NFV-APLの事前設定
管理IPアドレス
ブリッジ
仮想インターフェース割り当て
ルーターAの設定
AT-vFW-appインスタンスの設定
vFW1インスタンスの設定
vFW2インスタンスの設定
vFW3インスタンスの設定
ルーターBの設定
設定の保存
ファイアウォールログについて
ルーターAのコンフィグ
AT-vFW-appインスタンスのコンフィグ
vFW1インスタンスのコンフィグ
vFW2インスタンスのコンフィグ
vFW3インスタンスのコンフィグ
ルーターBのコンフィグ

設定例集#126: [ 設定例集目次 ] ページ内目次

複数のvFirewallアプリケーションインスタンスを利用したVRFライクなネットワークを構築し、トンネルサブインターフェースを利用して、2拠点に3つずつ存在するインスタンスを、1本のL2TPv3 over IPsecトンネルで接続する設定例です。3組のインスタンスでは、それぞれ別々のルーティングプロトコルを動作させます。

なお本例では、同一機器上のvFirewallアプリケーションインスタンス間でIPアドレスが重複しないよう設定し、ファイアウォール、NAT機能との併用を可能にしています。
(ファイアウォールおよびNAT機能は、インスタンス間で重複するIPアドレスを使用していない場合のみ併用可能なため)

構成

設定例集#126: [ 設定例集目次 ] ページ内目次


   
ルーターA
ルーターB
ISPから提供された情報
ISP接続用ユーザー名 user@ispA user@ispB
ISP接続用パスワード isppasswdA isppasswdB
PPPoEサービス名 指定なし 指定なし
WAN側IPアドレス 10.0.0.1/32 10.0.0.2/32
ルーターの基本設定
AT-vFW-app
グローバルVRF
 WAN側(ISP)物理インターフェース(1) eth4 (eth10) eth1
WAN側(ppp0)IPアドレス 10.0.0.1/32 10.0.0.2/32
トンネルインターフェース tunnel0 tunnel0
トンネル終端IPアドレス 10.0.0.1 10.0.0.2
vFW1
VRF1
 LAN側インターフェース eth1 (vlan10) vlan40
LAN側IPアドレス 192.168.10.1/24 192.168.40.1/24
トンネルサブインターフェース tunnel0.110 tunnel0.110
トンネルサブインターフェースIPアドレス 192.168.110.1/24 192.168.110.2/24
vFW2
VRF2
 LAN側インターフェース eth1 (vlan20) vlan50
LAN側IPアドレス 192.168.20.1/24 192.168.50.1/24
トンネルサブインターフェース tunnel0.120 tunnel0.120
トンネルサブインターフェースIPアドレス 192.168.120.1/24 192.168.120.2/24
vFW3
VRF3
 LAN側インターフェース eth1 (vlan30) vlan60
LAN側IPアドレス 192.168.30.1/24 192.168.60.1/24
トンネルサブインターフェース tunnel0.130 tunnel0.130
トンネルサブインターフェースIPアドレス 192.168.130.1/24 192.168.130.2/24

[事前共有鍵]

AT-NFV-APLの事前設定

設定例集#126: [ 設定例集目次 ] ページ内目次
本設定例は、あらかじめ AT-NFV-APL側で以下のような設定を行っていることを前提としています。
使用するインターフェースの番号や数は適宜変更してかまいません。
事前設定の流れについては「AT-NFV-APL」/「準備」をご覧ください。

Note
10ポート構成(eth1~eth10)のAT-NFV-APL-GTXを想定した例になっていますので、6ポート(eth1~eth6)構成のAT-NFV-APL-GTをご使用の場合は、使用するポートを適宜読み替えてください。

管理IPアドレス

詳細は「AT-NFV-APL」/「ネットワーク基本設定」をご覧ください。
インターフェース
IPアドレス
br0 192.168.1.1/24

ブリッジ

詳細は「AT-NFV-APL」/「ネットワーク基本設定」をご覧ください。
ポート
所属VLAN
ネイティブVLAN
eth1~eth8 1 1
eth9 10-30 10
eth10
未所属

仮想インターフェース割り当て

vFirewallアプリケーションインスタンスの初期設定時には、下記のように仮想インターフェースを割り当てます。
詳細は「AT-NFV-APL」/「AW+ vFirewall」をご覧ください。
vFirewall
インスタンス名
vFirewallの
インターフェース名
インターフェース
タイプ
外部ネットワーク
VLAN ID
ホスト
インターフェース
IPv4アドレス
AT-vFW-app eth0 Virtual 1 - 192.168.1.2/24
eth1 Virtual 110 - 未設定
eth2 Virtual 120 - 未設定
eth3 Virtual 130 - 未設定
eth4 Physical - eth10 未設定
vFW1 eth0 Virtual 1 - 192.168.1.3/24
eth1 Virtual 10 - 192.168.10.1/24
eth2 Virtual 110 - 192.168.110.1/24
vFW2 eth0 Virtual 1 - 192.168.1.4/24
eth1 Virtual 20 - 192.168.20.1/24
eth2 Virtual 120 - 192.168.120.1/24
vFW3 eth0 Virtual 1 - 192.168.1.5/24
eth1 Virtual 30 - 192.168.30.1/24
eth2 Virtual 130 - 192.168.130.1/24
Note
本例では各インスタンスのeth0インターフェースに管理用のIPアドレス(192.168.1.x/24)を設定しています。
管理用アドレスはインスタンス作成時に設定する必要がありますが、それ以外のIPアドレスはインスタンス作成時に設定しても、作成後に設定してもどちらでもかまいません。

ルーターAの設定

AT-vFW-appインスタンスの設定

設定例集#126: [ 設定例集目次 ] ページ内目次
  1. WANポートeth4上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface eth4
 encapsulation ppp 0
  2. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

    ・LCP EchoによるPPP接続状態の確認(keepalive
    ・ユーザー名(ppp username
    ・パスワード(ppp password
    ・IPアドレスの固定設定(ip address
    ・MSS書き換え(ip tcp adjust-mss

    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface ppp0
 keepalive
 ppp username user@ispA
 ppp password isppasswdA
 ip address 10.0.0.1/32
 ip tcp adjust-mss pmtu
  3. LAN側インターフェースeth0にIPアドレスを設定します。これには、ip addressコマンドを使います。
    このIPアドレスは、AT-NFV-APLの事前設定時に設定済みのため、次のコマンドを手で入力する必要はありません。
    interface eth0
 ip address 192.168.1.2/24
  4. ソフトウェアブリッジ「1」「2」「3」を作成します。これには、bridgeコマンドを使います。
    ブリッジの詳細は「ブリッジング」/「一般設定」をご覧ください。
    bridge 1
bridge 2
bridge 3
  5. LAN側インターフェースeth1をソフトウェアブリッジ「1」のブリッジポートとして割り当てます。これには、bridge-groupコマンドを使います。
    interface eth1
 bridge-group 1
  6. LAN側インターフェースeth2をソフトウェアブリッジ「2」のブリッジポートとして割り当てます。
    interface eth2
 bridge-group 2
  7. LAN側インターフェースeth3をソフトウェアブリッジ「3」のブリッジポートとして割り当てます。
    interface eth3
 bridge-group 3
  8. 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    crypto isakmp key secret address 10.0.0.2
  9. L2TPv3 over IPsecトンネルインターフェースtunnel0を作成し、さらにその上にvlan110、vlan120、vlan130のタグ付きパケットを送受信する802.1Qサブインターフェースtunnel0.110、tunnel0.120、tunnel0.130を作成します。
    トンネルインターフェースはinterfaceコマンドで作成し、802.1Qサブインターフェースはencapsulation dot1qコマンドで作成します。また、L2TPv3 over IPsecの接続に必要な下記の設定を行います。

    ・トンネルインターフェースのMTU(mtu
    ・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source
    ・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination
    ・トンネルインターフェースのL2TPv3 自装置ID(tunnel local id
    ・トンネルインターフェースのL2TPv3 対向装置ID(tunnel remote id
    ・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec
    ・トンネリング方式(tunnel mode l2tp v3
    ・トンネルインターフェースから送信するデリバリーパケットのフラグメント化を許可(tunnel df

    トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、L2TPv3の詳細は「VPN」/「L2TPv3」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。
    interface tunnel0
 encapsulation dot1q 110
 encapsulation dot1q 120
 encapsulation dot1q 130
 mtu 1500
 tunnel source ppp0
 tunnel destination 10.0.0.2
 tunnel local id 1
 tunnel remote id 2
 tunnel protection ipsec
 tunnel mode l2tp v3
 tunnel df clear
  10. 802.1Qトンネルサブインターフェースtunnel0.110をソフトウェアブリッジ「1」のブリッジポートとして割り当てます。
    interface tunnel0.110
 bridge-group 1
 mtu 1500
  11. 同様に、802.1Qトンネルサブインターフェースtunnel0.120をソフトウェアブリッジ「2」のブリッジポートとして割り当てます。
    interface tunnel0.120
 bridge-group 2
 mtu 1500
  12. 同様に、802.1Qトンネルサブインターフェースtunnel0.130をソフトウェアブリッジ「3」のブリッジポートとして割り当てます。
    interface tunnel0.130
 bridge-group 3
 mtu 1500
  13. デフォルト経路をppp0に向けて設定します。
    これには、ip routeコマンドを使います。
    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    ip route 0.0.0.0/0 ppp0
  14. ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

    内部ネットワークを表すゾーン「private」を作成します。
    これには、zonenetworkip subnetの各コマンドを使います。
    ここでは、RIPおよびOSPF用のマルチキャストグループアドレスをネットワーク「ctrl」として、LAN側のアドレス範囲をネットワーク「lan」として定義しています。
    zone private
 network ctrl
  ip subnet 224.0.0.0/24
 network lan
  ip subnet 192.168.0.0/16
  15. 外部ネットワークを表すゾーン「public」を作成します。
    前記コマンドに加え、ここではhostip addressの各コマンドも使います。
    zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1
  16. ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    これには、applicationprotocoldportの各コマンドを使います。
    アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

    IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。 
    application esp
 protocol 50
  17. ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。 
    application isakmp
 protocol udp
 dport 500
  18. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewallruleprotectの各コマンドを使います。

    ・rule 10 - 内部ネットワーク間の通信を許可します
    ・rule 20 - 内部ネットワークから外部への通信を許可します
    ・rule 30 - 本製品のWAN側インターフェースから外部への通信を許可します
    ・rule 40 - 外部から本製品のWAN側インターフェースへのIPsec(ESP)パケットを許可します
    ・rule 50 - 外部から本製品のWAN側インターフェースへのISAKMPパケットを許可します
    ・rule 60 - 外部から本製品のWAN側インターフェースへのL2TPパケットを許可します

    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit any from public.wan.ppp0 to public
 rule 40 permit esp from public to public.wan.ppp0
 rule 50 permit isakmp from public to public.wan.ppp0
 rule 60 permit l2tp from public to public.wan.ppp0
 protect
  19. LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
    これには、natruleenableの各コマンドを使います。
    NATの詳細は「UTM」/「NAT」をご覧ください。
    nat
 rule 10 masq any from private to public
 enable
  20. 以上で設定は完了です。
    end

vFW1インスタンスの設定

設定例集#126: [ 設定例集目次 ] ページ内目次
  1. LAN側インターフェースeth0にIPアドレスを設定します。これには、ip addressコマンドを使います。
    このIPアドレスは、AT-NFV-APLの事前設定時に設定済みのため、次のコマンドを手で入力する必要はありません。
    interface eth0
 ip address 192.168.1.3/24
  2. LAN側インターフェースeth1にIPアドレスを設定します。
    AT-NFV-APLの事前設定時に設定済みの場合は、次のコマンドを手で入力する必要はありません。
    interface eth1
 ip address 192.168.10.1/24
  3. LAN側インターフェースeth2にIPアドレスを設定します。
    AT-NFV-APLの事前設定時に設定済みの場合は、次のコマンドを手で入力する必要はありません。
    interface eth2
 ip address 192.168.110.1/24
  4. スタティックルーティングの設定を行います。これにはip routeコマンドを使います。
    スタティックルーティングの詳細は「IP」/「経路制御」をご覧ください。
    ip route 192.168.40.0/24 192.168.110.2
  5. 以上で設定は完了です。
    end

vFW2インスタンスの設定

設定例集#126: [ 設定例集目次 ] ページ内目次
  1. LAN側インターフェースeth0にIPアドレスを設定します。これには、ip addressコマンドを使います。
    このIPアドレスは、AT-NFV-APLの事前設定時に設定済みのため、次のコマンドを手で入力する必要はありません。
    interface eth0
 ip address 192.168.1.4/24
  2. LAN側インターフェースeth1にIPアドレスを設定します。
    AT-NFV-APLの事前設定時に設定済みの場合は、次のコマンドを手で入力する必要はありません。
    interface eth1
 ip address 192.168.20.1/24
  3. LAN側インターフェースeth2にIPアドレスを設定します。
    AT-NFV-APLの事前設定時に設定済みの場合は、次のコマンドを手で入力する必要はありません。
    interface eth2
 ip address 192.168.120.1/24
  4. 経路制御プロトコルRIPの設定を行います。
    これには、router ripnetworkpassive-interfaceの各コマンドを使います。
    RIPの詳細は「IP」/「経路制御(RIP)」をご覧ください。
    router rip
 network 192.168.20.0/24
 network 192.168.120.0/24
 passive-interface eth0
  5. 以上で設定は完了です。
    end

vFW3インスタンスの設定

設定例集#126: [ 設定例集目次 ] ページ内目次
  1. LAN側インターフェースeth0にIPアドレスを設定します。これには、ip addressコマンドを使います。
    このIPアドレスは、AT-NFV-APLの事前設定時に設定済みのため、次のコマンドを手で入力する必要はありません。
    interface eth0
 ip address 192.168.1.5/24
  2. LAN側インターフェースeth1にIPアドレスを設定します。
    AT-NFV-APLの事前設定時に設定済みの場合は、次のコマンドを手で入力する必要はありません。
    interface eth1
 ip address 192.168.30.1/24
  3. LAN側インターフェースeth2にIPアドレスを設定します。
    AT-NFV-APLの事前設定時に設定済みの場合は、次のコマンドを手で入力する必要はありません。
    interface eth2
 ip address 192.168.130.1/24
  4. 経路制御プロトコルOSPFの設定を行います。
    これには、router ospfpassive-interfacenetworkの各コマンドを使います。
    OSPFの詳細は「IP」/「経路制御(OSPF)」をご覧ください。
    router ospf
 passive-interface eth0
 network 192.168.30.0/24 area 0.0.0.0
 network 192.168.130.0/24 area 0.0.0.0
  5. 以上で設定は完了です。
    end

ルーターBの設定

設定例集#126: [ 設定例集目次 ] ページ内目次
  1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
    スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
    no spanning-tree rstp enable
  2. WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface eth1
 encapsulation ppp 0
  3. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

    ・LCP EchoによるPPP接続状態の確認(keepalive
    ・ユーザー名(ppp username
    ・パスワード(ppp password
    ・IPアドレスの固定設定(ip address
    ・MSS書き換え(ip tcp adjust-mss

    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface ppp0
 keepalive
 ppp username user@ispB
 ppp password isppasswdB
 ip address 10.0.0.2/32
 ip tcp adjust-mss pmtu
  4. VRFインスタンス「VRF1」(VRFインスタンスID 1)を作成します。これには、ip vrfコマンドを使います。

    VRF-Liteの詳細は「IP」/「VRF-Lite」をご覧ください。
    ip vrf VRF1 1
  5. VRFインスタンス「VRF2」(VRFインスタンスID 2)を作成します。
    ip vrf VRF2 2
  6. VRFインスタンス「VRF3」(VRFインスタンスID 3)を作成します。
    ip vrf VRF3 3
  7. VLANを作成します。
    これには、vlan databaseコマンドとvlanコマンドを使います。
    VLANの詳細は「L2スイッチング」/「バーチャルLAN」をご覧ください。
    vlan database
 vlan 40,50,60 state enable
  8. VLANインターフェースvlan40をVRFインスタンス「VRF1」に関連付け、IPアドレスを設定します。VRFインスタンスの関連付けにはip vrf forwardingコマンドを、IPアドレスの設定にはip addressコマンドを使います。
    interface vlan40
 ip vrf forwarding VRF1
 ip address 192.168.40.1/24
  9. VLANインターフェースvlan50をVRFインスタンス「VRF2」に関連付け、IPアドレスを設定します。
    interface vlan50
 ip vrf forwarding VRF2
 ip address 192.168.50.1/24
  10. VLANインターフェースvlan60をVRFインスタンス「VRF2」に関連付け、IPアドレスを設定します。
    interface vlan60
 ip vrf forwarding VRF3
 ip address 192.168.60.1/24
  11. LANポート1.0.1をvlan40、vlan50、vlan60のタグ付きポートに設定します。
    これには、switchport modeコマンド、switchport trunk allowed vlan、switchport trunk native vlanコマンドを使います。
    VLANについては「L2スイッチング」/「バーチャルLAN」をご覧ください。
    interface port1.0.1
 switchport mode trunk
 switchport trunk allowed vlan add 40,50,60
 switchport trunk native vlan none
  12. 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    crypto isakmp key secret address 10.0.0.1
  13. L2TPv3 over IPsecトンネルインターフェースtunnel0を作成し、さらにその上にvlan110、vlan120、vlan130のタグ付きパケットを送受信する802.1Qサブインターフェースtunnel0.110、tunnel0.120、tunnel0.130を作成します。
    トンネルインターフェースはinterfaceコマンドで作成し、802.1Qサブインターフェースはencapsulation dot1qコマンドで作成します。また、L2TPv3 over IPsecの接続に必要な下記の設定を行います。

    ・トンネルインターフェースのMTU(mtu
    ・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source
    ・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination
    ・トンネルインターフェースのL2TPv3 自装置ID(tunnel local id
    ・トンネルインターフェースのL2TPv3 対向装置ID(tunnel remote id
    ・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec
    ・トンネリング方式(tunnel mode l2tp v3
    ・トンネルインターフェースから送信するデリバリーパケットのフラグメント化を許可(tunnel df

    トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、L2TPv3の詳細は「VPN」/「L2TPv3」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。
    interface tunnel0
 encapsulation dot1q 110
 encapsulation dot1q 120
 encapsulation dot1q 130
 mtu 1500
 tunnel source ppp0
 tunnel destination 10.0.0.1
 tunnel local id 2
 tunnel remote id 1
 tunnel protection ipsec
 tunnel mode l2tp v3
 tunnel df clear
  14. 802.1Qトンネルサブインターフェースtunnel0.110をVRFインスタンス「VRF1」に関連付け、以下の設定を行います。

    ・トンネルインターフェースのMTU(mtu
    ・VRFインスタンスの関連付け(ip vrf forwarding)
    ・トンネルサブインターフェースのIPアドレス(ip address
    ・トンネルサブインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss
    interface tunnel0.110
 mtu 1500
 ip vrf forwarding VRF1
 ip address 192.168.110.2/24
 ip tcp adjust-mss pmtu
  15. 同様に、802.1Qトンネルサブインターフェースtunnel0.120をVRFインスタンス「VRF2」に関連付け、IPアドレスとMSS書き換えの設定を行います。
    interface tunnel0.120
 mtu 1500
 ip vrf forwarding VRF2
 ip address 192.168.120.2/24
 ip tcp adjust-mss pmtu
  16. 同様に、802.1Qトンネルサブインターフェースtunnel0.130をVRFインスタンス「VRF3」に関連付け、IPアドレスとMSS書き換えの設定を行います。
    interface tunnel0.130
 mtu 1500
 ip vrf forwarding VRF3
 ip address 192.168.130.2/24
 ip tcp adjust-mss pmtu
  17. グローバルVRFインスタンスにおいて、デフォルト経路をppp0に向けて設定します。
    これには、ip routeコマンドを使います。
    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    ip route 0.0.0.0/0 ppp0
  18. VRFインスタンス「VRF1」において、スタティックルーティングの設定を行います。
    ip route vrf VRF1 192.168.10.0/24 192.168.110.1
  19. VRFインスタンス「VRF2」において、経路制御プロトコルRIPの設定を行います。
    これには、router rip、address-family ipv4、network、exit-address-familyの各コマンドを使います。
    RIPの詳細は「IP」/「経路制御(RIP)」をご覧ください。
    router rip
 address-family ipv4 vrf VRF2
 network 192.168.0.0/16
 exit-address-family
  20. VRFインスタンス「VRF3」において、経路制御プロトコルOSPFの設定を行います。
    これには、router ospfnetworkの各コマンドを使います。
    OSPFの詳細は「IP」/「経路制御(OSPF)」をご覧ください。
    router ospf 3 VRF3
 network 192.168.0.0 255.255.0.0 area 0
  21. ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

    内部ネットワークを表すゾーン「private」を作成します。
    これには、zonenetworkip subnetの各コマンドを使います。
    ここでは、RIPおよびOSPF用のマルチキャストグループアドレスをネットワーク「ctrl」として、LAN側のアドレス範囲をネットワーク「lan」として定義しています。
    zone private
 network ctrl
  ip subnet 224.0.0.0/24
 network lan
  ip subnet 192.168.0.0/16
  22. 外部ネットワークを表すゾーン「public」を作成します。
    前記コマンドに加え、ここではhostip addressの各コマンドも使います。
    zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.2
  23. ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    これには、applicationprotocoldportの各コマンドを使います。
    アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

    IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。 
    application esp
 protocol 50
  24. ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。 
    application isakmp
 protocol udp
 dport 500
  25. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewallruleprotectの各コマンドを使います。

    ・rule 10 - 内部ネットワーク間の通信を許可します
    ・rule 20 - 内部ネットワークから外部への通信を許可します
    ・rule 30 - 本製品のWAN側インターフェースから外部への通信を許可します
    ・rule 40 - 外部から本製品のWAN側インターフェースへのIPsec(ESP)パケットを許可します
    ・rule 50 - 外部から本製品のWAN側インターフェースへのISAKMPパケットを許可します
    ・rule 60 - 外部から本製品のWAN側インターフェースへのL2TPパケットを許可します

    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit any from public.wan.ppp0 to public
 rule 40 permit esp from public to public.wan.ppp0
 rule 50 permit isakmp from public to public.wan.ppp0
 rule 60 permit l2tp from public to public.wan.ppp0
 protect
  26. LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
    これには、natruleenableの各コマンドを使います。
    NATの詳細は「UTM」/「NAT」をご覧ください。
    nat
 rule 10 masq any from private to public
 enable
  27. 以上で設定は完了です。
    end

設定の保存

設定例集#126: [ 設定例集目次 ] ページ内目次
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド(log(filter))を実行します。
awplus(config)# log buffered level informational facility local5

■ 記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall

ルーターAのコンフィグ

AT-vFW-appインスタンスのコンフィグ

設定例集#126: [ 設定例集目次 ] ページ内目次
!
interface eth4
 encapsulation ppp 0
!
interface ppp0
 keepalive
 ppp username user@ispA
 ppp password isppasswdA
 ip address 10.0.0.1/32
 ip tcp adjust-mss pmtu
!
interface eth0
 ip address 192.168.1.2/24
!
bridge 1
bridge 2
bridge 3
!
interface eth1
 bridge-group 1
!
interface eth2
 bridge-group 2
!
interface eth3
 bridge-group 3
!
crypto isakmp key secret address 10.0.0.2
!
interface tunnel0
 encapsulation dot1q 110
 encapsulation dot1q 120
 encapsulation dot1q 130
 mtu 1500
 tunnel source ppp0
 tunnel destination 10.0.0.2
 tunnel local id 1
 tunnel remote id 2
 tunnel protection ipsec
 tunnel mode l2tp v3
 tunnel df clear
!
interface tunnel0.110
 bridge-group 1
 mtu 1500
!
interface tunnel0.120
 bridge-group 2
 mtu 1500
!
interface tunnel0.130
 bridge-group 3
 mtu 1500
!
ip route 0.0.0.0/0 ppp0
!
zone private
 network ctrl
  ip subnet 224.0.0.0/24
 network lan
  ip subnet 192.168.0.0/16
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 dport 500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit any from public.wan.ppp0 to public
 rule 40 permit esp from public to public.wan.ppp0
 rule 50 permit isakmp from public to public.wan.ppp0
 rule 60 permit l2tp from public to public.wan.ppp0
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
end

vFW1インスタンスのコンフィグ

設定例集#126: [ 設定例集目次 ] ページ内目次
!
interface eth0
 ip address 192.168.1.3/24
!
interface eth1
 ip address 192.168.10.1/24
!
interface eth2
 ip address 192.168.110.1/24
!
ip route 192.168.40.0/24 192.168.110.2
!
end

vFW2インスタンスのコンフィグ

設定例集#126: [ 設定例集目次 ] ページ内目次
!
interface eth0
 ip address 192.168.1.4/24
!
interface eth1
 ip address 192.168.20.1/24
!
interface eth2
 ip address 192.168.120.1/24
!
router rip
 network 192.168.20.0/24
 network 192.168.120.0/24
 passive-interface eth0
!
end

vFW3インスタンスのコンフィグ

設定例集#126: [ 設定例集目次 ] ページ内目次
!
interface eth0
 ip address 192.168.1.5/24
!
interface eth1
 ip address 192.168.30.1/24
!
interface eth2
 ip address 192.168.130.1/24
!
router ospf
 passive-interface eth0
 network 192.168.30.0/24 area 0.0.0.0
 network 192.168.130.0/24 area 0.0.0.0
!
end

ルーターBのコンフィグ

設定例集#126: [ 設定例集目次 ] ページ内目次
!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 keepalive
 ppp username user@ispB
 ppp password isppasswdB
 ip address 10.0.0.2/32
 ip tcp adjust-mss pmtu
!
ip vrf VRF1 1
!
ip vrf VRF2 2
!
ip vrf VRF3 3
!
vlan database
 vlan 40,50,60 state enable
!
interface vlan40
 ip vrf forwarding VRF1
 ip address 192.168.40.1/24
!
interface vlan50
 ip vrf forwarding VRF2
 ip address 192.168.50.1/24
!
interface vlan60
 ip vrf forwarding VRF3
 ip address 192.168.60.1/24
!
interface port1.0.1
 switchport mode trunk
 switchport trunk allowed vlan add 40,50,60
 switchport trunk native vlan none
!
crypto isakmp key secret address 10.0.0.1
!
interface tunnel0
 encapsulation dot1q 110
 encapsulation dot1q 120
 encapsulation dot1q 130
 mtu 1500
 tunnel source ppp0
 tunnel destination 10.0.0.1
 tunnel local id 2
 tunnel remote id 1
 tunnel protection ipsec
 tunnel mode l2tp v3
 tunnel df clear
!
interface tunnel0.110
 mtu 1500
 ip vrf forwarding VRF1
 ip address 192.168.110.2/24
 ip tcp adjust-mss pmtu
!
interface tunnel0.120
 mtu 1500
 ip vrf forwarding VRF2
 ip address 192.168.120.2/24
 ip tcp adjust-mss pmtu
!
interface tunnel0.130
 mtu 1500
 ip vrf forwarding VRF3
 ip address 192.168.130.2/24
 ip tcp adjust-mss pmtu
!
ip route 0.0.0.0/0 ppp0
!
ip route vrf VRF1 192.168.10.0/24 192.168.110.1
!
router rip
 address-family ipv4 vrf VRF2
 network 192.168.0.0/16
 exit-address-family
!
router ospf 3 VRF3
 network 192.168.0.0 255.255.0.0 area 0
!
zone private
 network ctrl
  ip subnet 224.0.0.0/24
 network lan
  ip subnet 192.168.0.0/16
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.2
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 dport 500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit any from public.wan.ppp0 to public
 rule 40 permit esp from public to public.wan.ppp0
 rule 50 permit isakmp from public to public.wan.ppp0
 rule 60 permit l2tp from public to public.wan.ppp0
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
end

設定例集#126: [ 設定例集目次 ] ページ内目次

(C) 2021 - 2023 アライドテレシスホールディングス株式会社

PN: 613-002993 Rev.H