...

モバイルWi-Fiルーターと ARファミリの設定例

by user

on
Category: Documents
35

views

Report

Comments

Transcript

モバイルWi-Fiルーターと ARファミリの設定例
モバイルWi-Fiルーターと
ARファミリの設定例
2012/9/4
アライドテレシス株式会社
Copyright©2012 Allied Telesis K.K. All Rights Reserved.
目次
1.
移動体データ通信サービスをデータ通信で利用するメリット
2.
VPNルーターと組み合わせられる移動体通信端末の種類
3.
設定例
モバイルWi-Fiルーターを用いたVPNのバックアップ構成設定例
メインアクセスラインとしてモバイルWi-Fiルーターを用いたVPN構成設定例
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
2
移動体データ通信サービスをデータ通信でご利用いただく際は
"USB型のデーター通信端末やいわゆる"モバイルWi-Fiルー
ター"を使用することができます。
本資料はモバイルWi-FiルーターをARファミリと組み合わせてご
利用になる際の構成例と設定例についてご紹介しています。
この組み合わせにより、ARファミリの幅広い機種で、移動体デー
タ通信サービスをご利用いただくことが可能となります。
モバイルWi-Fiルーターとは?
LTE/3G等の移動体データ通信回線とWi-Fiのインターフェースを持ち、Wi-Fiに
対応したタブレット等の端末を移動体データ通信回線へ接続することができます。
ルーターとしての機能を持ち、クレードルにEthernetインターフェースを備えたもの
もあります。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
3
1.移動体データ通信サービスをデータ通信で利用するメリット
移動体データ通信サービス
価格:
設置場所:
△通信帯域:
1,500円/月より※1
7.2M(ベストエフォート)
サービスエリア内
はどこでも
光ファイーバー系データ通信サービス
価格:
4,095円/月より※2
通信帯域:
△設置場所:
100M(ベストエフォート)
ファイバーの
敷設エリア
移動体データー通信サービスを選択することで、設置場所の自由度が高く、
ランニングコストの安いアクセス手段を利用することが可能です。
※1 FOMA 定額データープランスタンダードバリュー+mopera U スタンダード
※2 OCN 光 with フレッツ 「フレッツ 光ライト」プラン
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
4
2. "モバイルWi-Fiルーター" VS "USB型データ通信端末"
移動体データ通信サービスをデータ通信で利用するには”モバイルWi-Fiルーター”または”USB
型データ端末”のどちらかを使用する必要がございます。
ここでは、それぞれのメリット・デメリットについて解説します。
USB端末
モバイルWiFiルーター
メリット
メリット
Ethernetに接続可能であるため、VPN
ルーターの機種が限定されない。ファーム
ウェアの対応も不要。
NATを経由しないので使用可能なプロトコ
ルの制限がない
USB端末専用の電源が不要
VPNルーターとモバイルWi-Fiルーター間を
100メートルまで延長可能。電波環境の良い
場所を選択してモバイルWi-Fiルーター設置
可能
デメリット
接続可能なVPNルーターがUSBをサポート
したものに限定される。ファームウェアの対応
も必要。
デメリット
NATを経由するため、RIPやOSPF、マルチ
キャストなど使用できないプロトコルがある
VPNルーターとUSB端末間の接続ケーブ
ル長が5メートルに制限される
モバイルWiFiルーターを使用するための電
源確保が必要
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
5
バックアップ構成の設定例
Copyright©2012 Allied Telesis K.K. All Rights Reserved.
構成概要
本資料では、モバイルWi-FiルーターをARファミリに接続し、有線回線のバックアップ
構成を行う設定方法をご紹介します。
モバイルWi-Fiルーターの設定方法については、ご使用のモバイルWi-Fiルーターのマ
ニュアルをご参照下さい。
本構成について
拠点AのARファミリと拠点BのARファミリをIPsecを使ってVPN接続します。
拠点AのARファミリと拠点BのARファミリをIPsecを使ってVPN接続します。
拠点AのARファミリのETH0インターフェースへは有線回線を接続します。
拠点AのARファミリのETH1インターフェースにモバイルWi-Fiルーターを接続します。
LTE/3G回線から付与されるIPアドレスはモバイルWi-Fiルーターで使用します。
拠点Aの有線回線のPPP切断検知時にLTE/3G回線側へVPN接続を切り替えます。
拠点Aの有線回線のPPP接続回復時にVPN接続を有線回線側に切替え、LTE/3G回線
側のVPN接続を切断します。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
7
構成図
拠点B
拠点A
ETH0:ISPよりPPPoEで割当
ETH1:192.168.13.254
VLAN1:192.168.10.1
AR560S
モバイルWi-Fi
ルーター
メインVPN
ETH0:172.0.0.1
VLAN1:192.168.20.1
インターネット
インターネット
AR560S
LTE/3G
LTE/3G
ネットワーク
ネットワーク
ETH:192.168.13.1
LTE/3G:ISPより割当
バックアップVPN
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
8
拠点Aのパラメーター
本資料では以下のパラメータでの設定例をご紹介します。
モバイルWi-Fiルーターの基本設定
(NTT docomo BF-01Dの工場出荷時設定)
ARファミリの基本設定
WAN側ETH0のIPアドレス
ISPよりPPPoEにて割り当て
WAN側ETH1のIPアドレス
192.168.13.254
LAN側VLAN1のIPアドレス
192.168.10.1
IKEフェーズ1の認証方式
事前共有鍵(pre-shared key)
事前共有鍵(pre-shared key)
secret(文字列)
LOCAL-ID
ROUTER-A
DPDによる死活監視
行う
NAT-Traversalのネゴシエーション
行う
Internet(3G/HSPA/LTE)
接続方式
mopera U
APN(接続先)
mopera.net
PIN
(未入力)
国際ローミング
(未チェック)
認証方式
自動認証
DNS(ネーム)サーバアドレス
プライマリー:(未入力)
セカンダリー:(未入力)
MTU値
1500バイト
LAN
LAN側IPアドレス
IPアドレス:192.168.13.1
サブネットマスク:255.255.255.0
DHCPサーバ機能
チェック:使用する
割り当てIPアドレス
192.168.13.2から64台
アドレス変換
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
9
アドレス変換
チェック:使用する
破棄パケットのログ出力
192.168.13.2から64台
拠点Bのパラメーター
本資料では以下のパラメータでの設定例をご紹介します。
ARファミリの基本設定
WAN側ETH0のIPアドレス
ISPよりPPPoEにて172.0.0.1を割り当て
LAN側VLAN1のIPアドレス
192.168.20.1
IKEフェーズ1の認証方式
事前共有鍵(pre-shared key)
事前共有鍵(pre-shared key)
secret(文字列)
DPDによる死活監視
行う
NAT-Traversalのネゴシエーション
行う
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
10
ルーターの設定
以下の手順でルーターの設定をおこないます
1.拠点AのARファミリ
2.拠点BのARファミリ
拠点AのモバイルWi-Fiルーターは、デフォルトのまま設定変更を行
わずに使用します。
ただし、セキュリティのリスクがありますので、管理者のパスワード
等は必要に応じて変更の上、ご利用ください。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
11
ARファミリの設定
工場出荷時設定のCLIの ログインID/PW は下記の通りです。
ID : manager
PW : friend
本資料はAR550S/AR560S/AR570Sに適応可能です。
各設定画面のパラメータ詳細については、ユーザーマニュアルや設定例をご参照く
ださい。
http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.html
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
12
拠点AのARファミリの設定
Security Officer レベルユーザーの作成および鍵の作成
1.
セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー
「secoff」を作成します。PWは「secoff」とします。
ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER
2.
ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵
の値は「secret」という文字列で指定します(VPNクライアントにも同じ値を設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
Note ‐ セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。
Note ‐ CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、
EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても
無効になりますのでご注意ください。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
13
拠点AのARファミリの設定
スクリプトファイルの生成
1. 有線回線経由での通信ができなくなったことを検知して経路を切り替えるスクリプト
ファイルを作成します。
ADD SCRIPT=PPPDOWN.SCP TEXT="ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=ETH1 NEXT=192.168.13.1"
ADD SCRIPT=PPPDOWN.SCP TEXT="RESET IPSEC POLI=VPN‐MAIN"
ADD SCRIPT=PPPDOWN.SCP TEXT="RESET ISAKMP POLI=I"
2. 有線回線経由での通信が復旧したことを検知して経路を切り替えるスクリプトファイル
を作成します。
ADD SCRIPT=PPPUP.SCP TEXT="DELETE IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=ETH1 NEXT=192.168.13.1"
ADD SCRIPT=PPPUP.SCP TEXT="RESET IPSEC POLI=VPN‐BACKUP"
ADD SCRIPT=PPPUP.SCP TEXT="RESET ISAKMP POLI=I"
Note ‐ ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。
そのため、EDITコマンド(内蔵フルスクリーンエディター)などを使って設定スクリプトファイル(.CFG)にこのコマンドを
記述しても意図した結果にならない場合がありますのでご注意ください。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
14
拠点AのARファミリの設定
PPPインターフェースの設定
1. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。
「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」
を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、
「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY
2. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりに
LCP Echoパケットを使ってPPPリンクの状態を監視するようにします。
SET PPP=0 OVER=eth0-ANY IPREQ=ON USER=user@isp PASSWORD=isppasswd
LQR=OFF ECHO=10
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
15
拠点AのARファミリの設定
IPとFirewallの設定
ENABLE IP
ENABLE IP REMOTE
ADD IP INT=PPP0 IP=0.0.0.0 MASK=0.0.0.0
ADD IP INT=VLAN1 IP=192.168.10.1 MASK=255.255.255.0
ADD IP INT=ETH1 IP=192.168.13.254 MASK=255.255.255.0
ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=PPP0 NEXT=0.0.0.0
ENABLE FIREWALL
CREATE FIREWALL POLICY="TEST"
DISABLE FIREWALL POLICY="TEST" IDENTPROXY
ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING
ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE
ADD FIREWALL POLICY="TEST" INT=PPP0 TYPE=PUBLIC
ADD FIREWALL POLICY="TEST" INT=ETH1 TYPE=PUBLIC
ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=PPP0
ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=ETH1
ADD FIREWALL POLI="TEST" RU=1 AC=NON INT=VLAN1 PROT=ALL IP=192.168.10.1‐192.168.10.254
SET FIREWALL POLI="TEST" RU=1 REM=192.168.20.1‐192.168.20.254
ADD FIREWALL POLI="TEST" RU=2 AC=NON INT=PPP0 PROT=ALL IP=192.168.10.1‐192.168.10.254 ENC=IPS
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
16
拠点AのARファミリの設定
IPsecの設定
CREATE ISAKMP POL="I" PE=172.0.0.1 MOD=AGGRESSIVE KEY=1 NATT=TRUE
SET ISAKMP POL="I" SENDN=TRUE
SET ISAKMP POL="I" DPDM=BOTH LOCALID="ROUTER‐A"
ENABLE ISAKMP
CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA
CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1"
CREATE IPSEC POL="ISA" INT=PPP0 AC=PERMIT
SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP
CREATE IPSEC POL="VPN‐MAIN" INT=PPP0 AC=IPSEC KEY=ISAKMP BUND=1 PEER=172.0.0.1
SET IPSEC POL="VPN‐MAIN" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0
CREATE IPSEC POL="INET" INT=PPP0 AC=PERMIT
CREATE IPSEC POL="ISA2" INT=ETH1 AC=PERMIT
SET IPSEC POL="ISA2" LP=500 RP=500 TRA=UDP
CREATE IPSEC POL="VPN‐BACKUP" INT=ETH1 AC=IPSEC KEY=ISAKMP BUND=1 PEER=172.0.0.1
SET IPSEC POL="VPN‐BACKUP" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0
CREATE IPSEC POL="INET2" INT=ETH1 AC=PERMIT
ENABLE IPSEC
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
17
拠点AのARファミリの設定
Triggerの設定
ENABLE TRIGGER
CREATE TRIGGER=1 INTERFACE=PPP0 EVENT=DOWN CP=LCP SCRIPT=PPPDOWN.SCP
CREATE TRIGGER=2 INTERFACE=PPP0 EVENT=UP CP=LCP SCRIPT=PPPUP.SCP
Security Officerとしてログイン
LOGIN secoff
動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE
Note ‐ セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモー
ドにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を
行っておいてください 。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
18
拠点AのARファミリの設定
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで
起動時設定ファイルに指定します。
CREATE CONFIG=ROUTERA.CFG
SET CONFIG=ROUTERA.CFG
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
19
拠点BのARファミリの設定
つづいて、拠点BのARファミリルーターの設定をおこないます。
Security Officer レベルユーザーの作成および鍵の作成
1.
セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー
「secoff」を作成します。PWは「secoff」とします。
ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER
2.
ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵
の値は「secret」という文字列で指定します(VPNクライアントにも同じ値を設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
Note ‐ セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。
Note ‐ CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、
EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても
無効になりますのでご注意ください。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
20
拠点BのARファミリの設定
PPPインターフェースの設定
1. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。
「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」
を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、
「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY
2. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わり
にLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。
SET PPP=0 OVER=eth0-ANY IPREQ=ON USER=user@isp PASSWORD=isppasswd
LQR=OFF ECHO=10
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
21
拠点BのARファミリの設定
IPとFirewallの設定
ENABLE IP
ENABLE IP REMOTE
ADD IP INT=VLAN1 IP=192.168.20.1
ADD IP INT=PPP0 IP=172.0.0.1 MASK=255.255.255.255
ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=PPP0 NEXT=0.0.0.0
ENABLE FIREWALL
CREATE FIREWALL POLICY="TEST"
DISABLE FIREWALL POLICY="TEST" IDENTPROXY
ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING
ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE
ADD FIREWALL POLICY="TEST" INT=PPP0 TYPE=PUBLIC
ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=PPP0
ADD FIREWALL POLI="TEST" RU=1 AC=ALLO INT=PPP0 PROT=UDP PO=500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=500
ADD FIREWALL POLI="TEST" RU=2 AC=ALLO INT=PPP0 PROT=UDP PO=4500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=4500
ADD FIREWALL POLI="TEST" RU=4 AC=NON INT=PPP0 PROT=ALL IP=192.168.20.1‐192.168.20.254 ENC=IPS
ADD FIREWALL POLI="TEST" RU=3 AC=NON INT=VLAN1 PROT=ALL IP=192.168.20.1‐192.168.20.254
SET FIREWALL POLI="TEST" RU=3 REM=192.168.10.1‐192.168.10.254
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
22
拠点BのARファミリの設定
IPsecの設定
CREATE ISAKMP POL="I" PE=ANY MOD=AGGRESSIVE KEY=1 NATT=TRUE
SET ISAKMP POL="I" SENDN=TRUE
SET ISAKMP POL="I" DPDM=BOTH REMOTEID="ROUTER‐A"
ENABLE ISAKMP
CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA
CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1"
CREATE IPSEC POL="ISA" INT=PPP0 AC=PERMIT
SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP
CREATE IPSEC POL="VPN" INT=PPP0 AC=IPSEC KEY=ISAKMP BUND=1 PEER=DYNAMIC
SET IPSEC POL="VPN" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0
CREATE IPSEC POL="INET" INT=PPP0 AC=PERMIT
CREATE IPSEC POL="NAT" INT=PPP0 AC=PERMIT
SET IPSEC POL="NAT" LP=4500 TRA=UDP
ENABLE IPSEC
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
23
拠点BのARファミリの設定
Security Officerとしてログイン
LOGIN secoff
動作モードをセキュリティモードに切り替えます
ENABLE SYSTEM SECURITY_MODE
Note ‐ セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモー
ドにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を
行っておいてください 。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
24
拠点BのARファミリの設定
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設
定ファイルに指定します。
CREATE CONFIG=ROUTERB.CFG
SET CONFIG=ROUTERB.CFG
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
25
アクセスラインとしてLTE/3G回線を使用する構成
Copyright©2012 Allied Telesis K.K. All Rights Reserved.
26
構成概要
本資料では、モバイルWi-FiルーターをARファミリに接続し、有線回線のバックアップ
構成を行う設定方法をご紹介します。
モバイルWi-Fiルーターの設定方法については、ご使用のモバイルWi-Fiルーターのマ
ニュアルをご参照下さい。
本構成について
拠点AのARファミリと拠点BのARファミリをIPsecを使ってVPN接続します。
拠点AのARファミリのETH0インターフェースにモバイルWi-Fiルーターを接続します。
LTE/3G回線から付与されるIPアドレスはモバイルWi-Fiルーターで使用します。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
27
構成図
拠点B
拠点A
ETH0:172.0.0.1
VLAN1:192.168.20.1
ETH:192.168.13.1
LTE/3G:ISPより動的に割当
VPN
モバイルWi-Fi
ルーター
インターネット
インターネット
AR560S
LTE/3G
LTE/3G
ネットワーク
ネットワーク
ETH0:モバイルWi-Fiルーター
よりDHCPで割当
VLAN1:192.168.10.1
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
28
AR560S
拠点Aのパラメーター
本資料では以下のパラメータでの設定例をご紹介します。
モバイルWi-Fiルーターの基本設定
(NTT docomo BF-01Dの工場出荷時設定)
ARファミリの基本設定
WAN側ETH0のIPアドレス
Internet(3G/HSPA/LTE)
LTE/3GルーターよりDHCPにて割り
当て
接続方式
mopera U
LAN側VLAN1のIPアドレス
192.168.10.1
APN(接続先)
mopera.net
IKEフェーズ1の認証方式
事前共有鍵(pre-shared key)
PIN
(未入力)
事前共有鍵(pre-shared key)
secret(文字列)
国際ローミング
(未チェック)
LOCAL-ID
ROUTER-A
認証方式
自動認証
DPDによる死活監視
行う
DNS(ネーム)サーバアドレス
プライマリー:(未入力)
NAT-Traversalのネゴシエーション
行う
セカンダリー:(未入力)
MTU値
1500バイト
LAN
LAN側IPアドレス
IPアドレス:192.168.13.1
サブネットマスク:255.255.255.0
DHCPサーバ機能
チェック:使用する
割り当てIPアドレス
192.168.13.2から64台
アドレス変換
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
29
アドレス変換
チェック:使用する
破棄パケットのログ出力
192.168.13.2から64台
拠点Bのパラメーター
本資料では以下のパラメータでの設定例をご紹介します。
ARファミリの基本設定
WAN側ETH0のIPアドレス
ISPよりPPPoEにて172.0.0.1を割り当て
LAN側VLAN1のIPアドレス
192.168.20.1
IKEフェーズ1の認証方式
事前共有鍵(pre-shared key)
事前共有鍵(pre-shared key)
secret(文字列)
DPDによる死活監視
行う
NAT-Traversalのネゴシエーション
行う
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
30
拠点AのARファミリの設定
Security Officer レベルユーザーの作成および鍵の作成
1.
セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー
「secoff」を作成します。PWは「secoff」とします。
ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER
2.
ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵
の値は「secret」という文字列で指定します(VPNクライアントにも同じ値を設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
Note ‐ セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。
Note ‐ CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、
EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても
無効になりますのでご注意ください。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
31
拠点AのARファミリの設定
IPとFirewallの設定
ENABLE IP
ENABLE IP REMOTE
ADD IP INT=VLAN1 IP=192.168.10.1
ADD IP INT=ETH1 IP=DHCP
ENABLE FIREWALL
CREATE FIREWALL POLICY="TEST"
DISABLE FIREWALL POLICY="TEST" IDENTPROXY
ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING
ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE
ADD FIREWALL POLICY="TEST" INT=ETH1 TYPE=PUBLIC
ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=ETH1
ADD FIREWALL POLI="TEST" RU=3 AC=NON INT=ETH1 PROT=ALL IP=192.168.10.1‐192.168.10.254 ENC=IPS
ADD FIREWALL POLI="TEST" RU=1 AC=NON INT=VLAN1 PROT=ALL IP=192.168.10.1‐192.168.10.254
SET FIREWALL POLI="TEST" RU=1 REM=192.168.20.1‐192.168.20.254
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
32
拠点AのARファミリの設定
IPsecの設定
CREATE ISAKMP POL="I" PE=172.0.0.1 MOD=AGGRESSIVE KEY=1 NATT=TRUE
SET ISAKMP POL="I"
SET ISAKMP POL="I" SENDN=TRUE
SET ISAKMP POL="I" DPDM=BOTH LOCALID="ROUTER-A"
ENABLE ISAKMP
CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA
CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1"
CREATE IPSEC POL="ISA" INT=ETH1 AC=PERMIT
SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP
CREATE IPSEC POL="VPN-MAIN" INT=ETH1 AC=IPSEC KEY=ISAKMP BUND=1 PEER=172.0.0.1
SET IPSEC POL="VPN-MAIN" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0
RMA=255.255.255.0
CREATE IPSEC POL="INET" INT=ETH1 AC=PERMIT
ENABLE IPSEC
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
33
拠点AのARファミリの設定
Security Officerとしてログイン
LOGIN secoff
動作モードをセキュリティモードに切り替えます
ENABLE SYSTEM SECURITY_MODE
Note ‐ セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモー
ドにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を
行っておいてください 。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
34
拠点AのARファミリの設定
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで
起動時設定ファイルに指定します。
CREATE CONFIG=ROUTERA.CFG
SET CONFIG=ROUTERA.CFG
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
35
拠点BのARファミリの設定
つづいて、拠点BのARファミリルーターの設定をおこないます。
Security Officer レベルユーザーの作成および鍵の作成
1.
セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー
「secoff」を作成します。PWは「secoff」とします。
ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER
2.
ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵
の値は「secret」という文字列で指定します(VPNクライアントにも同じ値を設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
Note ‐ セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。
Note ‐ CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、
EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても
無効になりますのでご注意ください。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
36
拠点BのARファミリの設定
PPPインターフェースの設定
1. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。
「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」
を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、
「ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY
2. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりに
LCP Echoパケットを使ってPPPリンクの状態を監視するようにします。
SET PPP=0 OVER=eth0-ANY IPREQ=ON USER=user@isp PASSWORD=isppasswd
LQR=OFF ECHO=10
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
37
拠点BのARファミリの設定
IPとFirewallの設定
ENABLE IP
ENABLE IP REMOTE
ADD IP INT=VLAN1 IP=192.168.20.1
ADD IP INT=PPP0 IP=172.0.0.1 MASK=255.255.255.255
ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=PPP0 NEXT=0.0.0.0
ENABLE FIREWALL
CREATE FIREWALL POLICY="TEST"
DISABLE FIREWALL POLICY="TEST" IDENTPROXY
ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING
ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE
ADD FIREWALL POLICY="TEST" INT=PPP0 TYPE=PUBLIC
ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=PPP0
ADD FIREWALL POLI="TEST" RU=1 AC=ALLO INT=PPP0 PROT=UDP PO=500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=500
ADD FIREWALL POLI="TEST" RU=2 AC=ALLO INT=PPP0 PROT=UDP PO=4500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=4500
ADD FIREWALL POLI="TEST" RU=4 AC=NON INT=PPP0 PROT=ALL IP=192.168.20.1‐192.168.20.254 ENC=IPS
ADD FIREWALL POLI="TEST" RU=3 AC=NON INT=VLAN1 PROT=ALL IP=192.168.20.1‐192.168.20.254
SET FIREWALL POLI="TEST" RU=3 REM=192.168.10.1‐192.168.10.254
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
38
拠点BのARファミリの設定
IPsecの設定
CREATE ISAKMP POL="I" PE=ANY MOD=AGGRESSIVE KEY=1 NATT=TRUE
SET ISAKMP POL="I" SENDN=TRUE
SET ISAKMP POL="I" DPDM=BOTH REMOTEID="ROUTER‐A"
ENABLE ISAKMP
CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA
CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1"
CREATE IPSEC POL="ISA" INT=PPP0 AC=PERMIT
SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP
CREATE IPSEC POL="VPN" INT=PPP0 AC=IPSEC KEY=ISAKMP BUND=1 PEER=DYNAMIC
SET IPSEC POL="VPN" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0
CREATE IPSEC POL="INET" INT=PPP0 AC=PERMIT
CREATE IPSEC POL="NAT" INT=PPP0 AC=PERMIT
SET IPSEC POL="NAT" LP=4500 TRA=UDP
ENABLE IPSEC
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
39
拠点BのARファミリの設定
Security Officerとしてログイン
LOGIN secoff
動作モードをセキュリティモードに切り替えます
ENABLE SYSTEM SECURITY_MODE
Note ‐ セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモー
ドにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を
行っておいてください 。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
40
拠点BのARファミリの設定
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設
定ファイルに指定します。
CREATE CONFIG=ROUTERB.CFG
SET CONFIG=ROUTERB.CFG
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012
41
社会品質を創る。アライドテレシス。
http://www.allied-telesis.co.jp/
おかげさまで25周年を迎えました。
Copyright©2012 Allied Telesis K.K. All Rights Reserved.
Fly UP