Comments
Description
Transcript
モバイルWi-Fiルーターと ARファミリの設定例
モバイルWi-Fiルーターと ARファミリの設定例 2012/9/4 アライドテレシス株式会社 Copyright©2012 Allied Telesis K.K. All Rights Reserved. 目次 1. 移動体データ通信サービスをデータ通信で利用するメリット 2. VPNルーターと組み合わせられる移動体通信端末の種類 3. 設定例 モバイルWi-Fiルーターを用いたVPNのバックアップ構成設定例 メインアクセスラインとしてモバイルWi-Fiルーターを用いたVPN構成設定例 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 2 移動体データ通信サービスをデータ通信でご利用いただく際は "USB型のデーター通信端末やいわゆる"モバイルWi-Fiルー ター"を使用することができます。 本資料はモバイルWi-FiルーターをARファミリと組み合わせてご 利用になる際の構成例と設定例についてご紹介しています。 この組み合わせにより、ARファミリの幅広い機種で、移動体デー タ通信サービスをご利用いただくことが可能となります。 モバイルWi-Fiルーターとは? LTE/3G等の移動体データ通信回線とWi-Fiのインターフェースを持ち、Wi-Fiに 対応したタブレット等の端末を移動体データ通信回線へ接続することができます。 ルーターとしての機能を持ち、クレードルにEthernetインターフェースを備えたもの もあります。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 3 1.移動体データ通信サービスをデータ通信で利用するメリット 移動体データ通信サービス 価格: 設置場所: △通信帯域: 1,500円/月より※1 7.2M(ベストエフォート) サービスエリア内 はどこでも 光ファイーバー系データ通信サービス 価格: 4,095円/月より※2 通信帯域: △設置場所: 100M(ベストエフォート) ファイバーの 敷設エリア 移動体データー通信サービスを選択することで、設置場所の自由度が高く、 ランニングコストの安いアクセス手段を利用することが可能です。 ※1 FOMA 定額データープランスタンダードバリュー+mopera U スタンダード ※2 OCN 光 with フレッツ 「フレッツ 光ライト」プラン Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 4 2. "モバイルWi-Fiルーター" VS "USB型データ通信端末" 移動体データ通信サービスをデータ通信で利用するには”モバイルWi-Fiルーター”または”USB 型データ端末”のどちらかを使用する必要がございます。 ここでは、それぞれのメリット・デメリットについて解説します。 USB端末 モバイルWiFiルーター メリット メリット Ethernetに接続可能であるため、VPN ルーターの機種が限定されない。ファーム ウェアの対応も不要。 NATを経由しないので使用可能なプロトコ ルの制限がない USB端末専用の電源が不要 VPNルーターとモバイルWi-Fiルーター間を 100メートルまで延長可能。電波環境の良い 場所を選択してモバイルWi-Fiルーター設置 可能 デメリット 接続可能なVPNルーターがUSBをサポート したものに限定される。ファームウェアの対応 も必要。 デメリット NATを経由するため、RIPやOSPF、マルチ キャストなど使用できないプロトコルがある VPNルーターとUSB端末間の接続ケーブ ル長が5メートルに制限される モバイルWiFiルーターを使用するための電 源確保が必要 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 5 バックアップ構成の設定例 Copyright©2012 Allied Telesis K.K. All Rights Reserved. 構成概要 本資料では、モバイルWi-FiルーターをARファミリに接続し、有線回線のバックアップ 構成を行う設定方法をご紹介します。 モバイルWi-Fiルーターの設定方法については、ご使用のモバイルWi-Fiルーターのマ ニュアルをご参照下さい。 本構成について 拠点AのARファミリと拠点BのARファミリをIPsecを使ってVPN接続します。 拠点AのARファミリと拠点BのARファミリをIPsecを使ってVPN接続します。 拠点AのARファミリのETH0インターフェースへは有線回線を接続します。 拠点AのARファミリのETH1インターフェースにモバイルWi-Fiルーターを接続します。 LTE/3G回線から付与されるIPアドレスはモバイルWi-Fiルーターで使用します。 拠点Aの有線回線のPPP切断検知時にLTE/3G回線側へVPN接続を切り替えます。 拠点Aの有線回線のPPP接続回復時にVPN接続を有線回線側に切替え、LTE/3G回線 側のVPN接続を切断します。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 7 構成図 拠点B 拠点A ETH0:ISPよりPPPoEで割当 ETH1:192.168.13.254 VLAN1:192.168.10.1 AR560S モバイルWi-Fi ルーター メインVPN ETH0:172.0.0.1 VLAN1:192.168.20.1 インターネット インターネット AR560S LTE/3G LTE/3G ネットワーク ネットワーク ETH:192.168.13.1 LTE/3G:ISPより割当 バックアップVPN Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 8 拠点Aのパラメーター 本資料では以下のパラメータでの設定例をご紹介します。 モバイルWi-Fiルーターの基本設定 (NTT docomo BF-01Dの工場出荷時設定) ARファミリの基本設定 WAN側ETH0のIPアドレス ISPよりPPPoEにて割り当て WAN側ETH1のIPアドレス 192.168.13.254 LAN側VLAN1のIPアドレス 192.168.10.1 IKEフェーズ1の認証方式 事前共有鍵(pre-shared key) 事前共有鍵(pre-shared key) secret(文字列) LOCAL-ID ROUTER-A DPDによる死活監視 行う NAT-Traversalのネゴシエーション 行う Internet(3G/HSPA/LTE) 接続方式 mopera U APN(接続先) mopera.net PIN (未入力) 国際ローミング (未チェック) 認証方式 自動認証 DNS(ネーム)サーバアドレス プライマリー:(未入力) セカンダリー:(未入力) MTU値 1500バイト LAN LAN側IPアドレス IPアドレス:192.168.13.1 サブネットマスク:255.255.255.0 DHCPサーバ機能 チェック:使用する 割り当てIPアドレス 192.168.13.2から64台 アドレス変換 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 9 アドレス変換 チェック:使用する 破棄パケットのログ出力 192.168.13.2から64台 拠点Bのパラメーター 本資料では以下のパラメータでの設定例をご紹介します。 ARファミリの基本設定 WAN側ETH0のIPアドレス ISPよりPPPoEにて172.0.0.1を割り当て LAN側VLAN1のIPアドレス 192.168.20.1 IKEフェーズ1の認証方式 事前共有鍵(pre-shared key) 事前共有鍵(pre-shared key) secret(文字列) DPDによる死活監視 行う NAT-Traversalのネゴシエーション 行う Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 10 ルーターの設定 以下の手順でルーターの設定をおこないます 1.拠点AのARファミリ 2.拠点BのARファミリ 拠点AのモバイルWi-Fiルーターは、デフォルトのまま設定変更を行 わずに使用します。 ただし、セキュリティのリスクがありますので、管理者のパスワード 等は必要に応じて変更の上、ご利用ください。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 11 ARファミリの設定 工場出荷時設定のCLIの ログインID/PW は下記の通りです。 ID : manager PW : friend 本資料はAR550S/AR560S/AR570Sに適応可能です。 各設定画面のパラメータ詳細については、ユーザーマニュアルや設定例をご参照く ださい。 http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.html Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 12 拠点AのARファミリの設定 Security Officer レベルユーザーの作成および鍵の作成 1. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー 「secoff」を作成します。PWは「secoff」とします。 ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER 2. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵 の値は「secret」という文字列で指定します(VPNクライアントにも同じ値を設定)。 CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" Note ‐ セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。 Note ‐ CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、 EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても 無効になりますのでご注意ください。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 13 拠点AのARファミリの設定 スクリプトファイルの生成 1. 有線回線経由での通信ができなくなったことを検知して経路を切り替えるスクリプト ファイルを作成します。 ADD SCRIPT=PPPDOWN.SCP TEXT="ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=ETH1 NEXT=192.168.13.1" ADD SCRIPT=PPPDOWN.SCP TEXT="RESET IPSEC POLI=VPN‐MAIN" ADD SCRIPT=PPPDOWN.SCP TEXT="RESET ISAKMP POLI=I" 2. 有線回線経由での通信が復旧したことを検知して経路を切り替えるスクリプトファイル を作成します。 ADD SCRIPT=PPPUP.SCP TEXT="DELETE IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=ETH1 NEXT=192.168.13.1" ADD SCRIPT=PPPUP.SCP TEXT="RESET IPSEC POLI=VPN‐BACKUP" ADD SCRIPT=PPPUP.SCP TEXT="RESET ISAKMP POLI=I" Note ‐ ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。 そのため、EDITコマンド(内蔵フルスクリーンエディター)などを使って設定スクリプトファイル(.CFG)にこのコマンドを 記述しても意図した結果にならない場合がありますのでご注意ください。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 14 拠点AのARファミリの設定 PPPインターフェースの設定 1. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。 「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」 を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、 「ANY」を設定します。 CREATE PPP=0 OVER=eth0-ANY 2. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりに LCP Echoパケットを使ってPPPリンクの状態を監視するようにします。 SET PPP=0 OVER=eth0-ANY IPREQ=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=10 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 15 拠点AのARファミリの設定 IPとFirewallの設定 ENABLE IP ENABLE IP REMOTE ADD IP INT=PPP0 IP=0.0.0.0 MASK=0.0.0.0 ADD IP INT=VLAN1 IP=192.168.10.1 MASK=255.255.255.0 ADD IP INT=ETH1 IP=192.168.13.254 MASK=255.255.255.0 ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=PPP0 NEXT=0.0.0.0 ENABLE FIREWALL CREATE FIREWALL POLICY="TEST" DISABLE FIREWALL POLICY="TEST" IDENTPROXY ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE ADD FIREWALL POLICY="TEST" INT=PPP0 TYPE=PUBLIC ADD FIREWALL POLICY="TEST" INT=ETH1 TYPE=PUBLIC ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=PPP0 ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=ETH1 ADD FIREWALL POLI="TEST" RU=1 AC=NON INT=VLAN1 PROT=ALL IP=192.168.10.1‐192.168.10.254 SET FIREWALL POLI="TEST" RU=1 REM=192.168.20.1‐192.168.20.254 ADD FIREWALL POLI="TEST" RU=2 AC=NON INT=PPP0 PROT=ALL IP=192.168.10.1‐192.168.10.254 ENC=IPS Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 16 拠点AのARファミリの設定 IPsecの設定 CREATE ISAKMP POL="I" PE=172.0.0.1 MOD=AGGRESSIVE KEY=1 NATT=TRUE SET ISAKMP POL="I" SENDN=TRUE SET ISAKMP POL="I" DPDM=BOTH LOCALID="ROUTER‐A" ENABLE ISAKMP CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1" CREATE IPSEC POL="ISA" INT=PPP0 AC=PERMIT SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP CREATE IPSEC POL="VPN‐MAIN" INT=PPP0 AC=IPSEC KEY=ISAKMP BUND=1 PEER=172.0.0.1 SET IPSEC POL="VPN‐MAIN" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 CREATE IPSEC POL="INET" INT=PPP0 AC=PERMIT CREATE IPSEC POL="ISA2" INT=ETH1 AC=PERMIT SET IPSEC POL="ISA2" LP=500 RP=500 TRA=UDP CREATE IPSEC POL="VPN‐BACKUP" INT=ETH1 AC=IPSEC KEY=ISAKMP BUND=1 PEER=172.0.0.1 SET IPSEC POL="VPN‐BACKUP" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 CREATE IPSEC POL="INET2" INT=ETH1 AC=PERMIT ENABLE IPSEC Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 17 拠点AのARファミリの設定 Triggerの設定 ENABLE TRIGGER CREATE TRIGGER=1 INTERFACE=PPP0 EVENT=DOWN CP=LCP SCRIPT=PPPDOWN.SCP CREATE TRIGGER=2 INTERFACE=PPP0 EVENT=UP CP=LCP SCRIPT=PPPUP.SCP Security Officerとしてログイン LOGIN secoff 動作モードをセキュリティーモードに切り替えます。 ENABLE SYSTEM SECURITY_MODE Note ‐ セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモー ドにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を 行っておいてください 。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 18 拠点AのARファミリの設定 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで 起動時設定ファイルに指定します。 CREATE CONFIG=ROUTERA.CFG SET CONFIG=ROUTERA.CFG Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 19 拠点BのARファミリの設定 つづいて、拠点BのARファミリルーターの設定をおこないます。 Security Officer レベルユーザーの作成および鍵の作成 1. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー 「secoff」を作成します。PWは「secoff」とします。 ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER 2. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵 の値は「secret」という文字列で指定します(VPNクライアントにも同じ値を設定)。 CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" Note ‐ セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。 Note ‐ CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、 EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても 無効になりますのでご注意ください。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 20 拠点BのARファミリの設定 PPPインターフェースの設定 1. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。 「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」 を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、 「ANY」を設定します。 CREATE PPP=0 OVER=eth0-ANY 2. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わり にLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。 SET PPP=0 OVER=eth0-ANY IPREQ=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=10 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 21 拠点BのARファミリの設定 IPとFirewallの設定 ENABLE IP ENABLE IP REMOTE ADD IP INT=VLAN1 IP=192.168.20.1 ADD IP INT=PPP0 IP=172.0.0.1 MASK=255.255.255.255 ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=PPP0 NEXT=0.0.0.0 ENABLE FIREWALL CREATE FIREWALL POLICY="TEST" DISABLE FIREWALL POLICY="TEST" IDENTPROXY ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE ADD FIREWALL POLICY="TEST" INT=PPP0 TYPE=PUBLIC ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=PPP0 ADD FIREWALL POLI="TEST" RU=1 AC=ALLO INT=PPP0 PROT=UDP PO=500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=500 ADD FIREWALL POLI="TEST" RU=2 AC=ALLO INT=PPP0 PROT=UDP PO=4500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=4500 ADD FIREWALL POLI="TEST" RU=4 AC=NON INT=PPP0 PROT=ALL IP=192.168.20.1‐192.168.20.254 ENC=IPS ADD FIREWALL POLI="TEST" RU=3 AC=NON INT=VLAN1 PROT=ALL IP=192.168.20.1‐192.168.20.254 SET FIREWALL POLI="TEST" RU=3 REM=192.168.10.1‐192.168.10.254 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 22 拠点BのARファミリの設定 IPsecの設定 CREATE ISAKMP POL="I" PE=ANY MOD=AGGRESSIVE KEY=1 NATT=TRUE SET ISAKMP POL="I" SENDN=TRUE SET ISAKMP POL="I" DPDM=BOTH REMOTEID="ROUTER‐A" ENABLE ISAKMP CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1" CREATE IPSEC POL="ISA" INT=PPP0 AC=PERMIT SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP CREATE IPSEC POL="VPN" INT=PPP0 AC=IPSEC KEY=ISAKMP BUND=1 PEER=DYNAMIC SET IPSEC POL="VPN" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 CREATE IPSEC POL="INET" INT=PPP0 AC=PERMIT CREATE IPSEC POL="NAT" INT=PPP0 AC=PERMIT SET IPSEC POL="NAT" LP=4500 TRA=UDP ENABLE IPSEC Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 23 拠点BのARファミリの設定 Security Officerとしてログイン LOGIN secoff 動作モードをセキュリティモードに切り替えます ENABLE SYSTEM SECURITY_MODE Note ‐ セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモー ドにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を 行っておいてください 。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 24 拠点BのARファミリの設定 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設 定ファイルに指定します。 CREATE CONFIG=ROUTERB.CFG SET CONFIG=ROUTERB.CFG Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 25 アクセスラインとしてLTE/3G回線を使用する構成 Copyright©2012 Allied Telesis K.K. All Rights Reserved. 26 構成概要 本資料では、モバイルWi-FiルーターをARファミリに接続し、有線回線のバックアップ 構成を行う設定方法をご紹介します。 モバイルWi-Fiルーターの設定方法については、ご使用のモバイルWi-Fiルーターのマ ニュアルをご参照下さい。 本構成について 拠点AのARファミリと拠点BのARファミリをIPsecを使ってVPN接続します。 拠点AのARファミリのETH0インターフェースにモバイルWi-Fiルーターを接続します。 LTE/3G回線から付与されるIPアドレスはモバイルWi-Fiルーターで使用します。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 27 構成図 拠点B 拠点A ETH0:172.0.0.1 VLAN1:192.168.20.1 ETH:192.168.13.1 LTE/3G:ISPより動的に割当 VPN モバイルWi-Fi ルーター インターネット インターネット AR560S LTE/3G LTE/3G ネットワーク ネットワーク ETH0:モバイルWi-Fiルーター よりDHCPで割当 VLAN1:192.168.10.1 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 28 AR560S 拠点Aのパラメーター 本資料では以下のパラメータでの設定例をご紹介します。 モバイルWi-Fiルーターの基本設定 (NTT docomo BF-01Dの工場出荷時設定) ARファミリの基本設定 WAN側ETH0のIPアドレス Internet(3G/HSPA/LTE) LTE/3GルーターよりDHCPにて割り 当て 接続方式 mopera U LAN側VLAN1のIPアドレス 192.168.10.1 APN(接続先) mopera.net IKEフェーズ1の認証方式 事前共有鍵(pre-shared key) PIN (未入力) 事前共有鍵(pre-shared key) secret(文字列) 国際ローミング (未チェック) LOCAL-ID ROUTER-A 認証方式 自動認証 DPDによる死活監視 行う DNS(ネーム)サーバアドレス プライマリー:(未入力) NAT-Traversalのネゴシエーション 行う セカンダリー:(未入力) MTU値 1500バイト LAN LAN側IPアドレス IPアドレス:192.168.13.1 サブネットマスク:255.255.255.0 DHCPサーバ機能 チェック:使用する 割り当てIPアドレス 192.168.13.2から64台 アドレス変換 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 29 アドレス変換 チェック:使用する 破棄パケットのログ出力 192.168.13.2から64台 拠点Bのパラメーター 本資料では以下のパラメータでの設定例をご紹介します。 ARファミリの基本設定 WAN側ETH0のIPアドレス ISPよりPPPoEにて172.0.0.1を割り当て LAN側VLAN1のIPアドレス 192.168.20.1 IKEフェーズ1の認証方式 事前共有鍵(pre-shared key) 事前共有鍵(pre-shared key) secret(文字列) DPDによる死活監視 行う NAT-Traversalのネゴシエーション 行う Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 30 拠点AのARファミリの設定 Security Officer レベルユーザーの作成および鍵の作成 1. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー 「secoff」を作成します。PWは「secoff」とします。 ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER 2. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵 の値は「secret」という文字列で指定します(VPNクライアントにも同じ値を設定)。 CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" Note ‐ セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。 Note ‐ CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、 EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても 無効になりますのでご注意ください。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 31 拠点AのARファミリの設定 IPとFirewallの設定 ENABLE IP ENABLE IP REMOTE ADD IP INT=VLAN1 IP=192.168.10.1 ADD IP INT=ETH1 IP=DHCP ENABLE FIREWALL CREATE FIREWALL POLICY="TEST" DISABLE FIREWALL POLICY="TEST" IDENTPROXY ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE ADD FIREWALL POLICY="TEST" INT=ETH1 TYPE=PUBLIC ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=ETH1 ADD FIREWALL POLI="TEST" RU=3 AC=NON INT=ETH1 PROT=ALL IP=192.168.10.1‐192.168.10.254 ENC=IPS ADD FIREWALL POLI="TEST" RU=1 AC=NON INT=VLAN1 PROT=ALL IP=192.168.10.1‐192.168.10.254 SET FIREWALL POLI="TEST" RU=1 REM=192.168.20.1‐192.168.20.254 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 32 拠点AのARファミリの設定 IPsecの設定 CREATE ISAKMP POL="I" PE=172.0.0.1 MOD=AGGRESSIVE KEY=1 NATT=TRUE SET ISAKMP POL="I" SET ISAKMP POL="I" SENDN=TRUE SET ISAKMP POL="I" DPDM=BOTH LOCALID="ROUTER-A" ENABLE ISAKMP CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1" CREATE IPSEC POL="ISA" INT=ETH1 AC=PERMIT SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP CREATE IPSEC POL="VPN-MAIN" INT=ETH1 AC=IPSEC KEY=ISAKMP BUND=1 PEER=172.0.0.1 SET IPSEC POL="VPN-MAIN" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 CREATE IPSEC POL="INET" INT=ETH1 AC=PERMIT ENABLE IPSEC Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 33 拠点AのARファミリの設定 Security Officerとしてログイン LOGIN secoff 動作モードをセキュリティモードに切り替えます ENABLE SYSTEM SECURITY_MODE Note ‐ セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモー ドにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を 行っておいてください 。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 34 拠点AのARファミリの設定 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで 起動時設定ファイルに指定します。 CREATE CONFIG=ROUTERA.CFG SET CONFIG=ROUTERA.CFG Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 35 拠点BのARファミリの設定 つづいて、拠点BのARファミリルーターの設定をおこないます。 Security Officer レベルユーザーの作成および鍵の作成 1. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー 「secoff」を作成します。PWは「secoff」とします。 ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER 2. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵 の値は「secret」という文字列で指定します(VPNクライアントにも同じ値を設定)。 CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" Note ‐ セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。 Note ‐ CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、 EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても 無効になりますのでご注意ください。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 36 拠点BのARファミリの設定 PPPインターフェースの設定 1. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。 「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」 を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、 「ANY」を設定します。 CREATE PPP=0 OVER=eth0-ANY 2. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりに LCP Echoパケットを使ってPPPリンクの状態を監視するようにします。 SET PPP=0 OVER=eth0-ANY IPREQ=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=10 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 37 拠点BのARファミリの設定 IPとFirewallの設定 ENABLE IP ENABLE IP REMOTE ADD IP INT=VLAN1 IP=192.168.20.1 ADD IP INT=PPP0 IP=172.0.0.1 MASK=255.255.255.255 ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=PPP0 NEXT=0.0.0.0 ENABLE FIREWALL CREATE FIREWALL POLICY="TEST" DISABLE FIREWALL POLICY="TEST" IDENTPROXY ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE ADD FIREWALL POLICY="TEST" INT=PPP0 TYPE=PUBLIC ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=PPP0 ADD FIREWALL POLI="TEST" RU=1 AC=ALLO INT=PPP0 PROT=UDP PO=500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=500 ADD FIREWALL POLI="TEST" RU=2 AC=ALLO INT=PPP0 PROT=UDP PO=4500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=4500 ADD FIREWALL POLI="TEST" RU=4 AC=NON INT=PPP0 PROT=ALL IP=192.168.20.1‐192.168.20.254 ENC=IPS ADD FIREWALL POLI="TEST" RU=3 AC=NON INT=VLAN1 PROT=ALL IP=192.168.20.1‐192.168.20.254 SET FIREWALL POLI="TEST" RU=3 REM=192.168.10.1‐192.168.10.254 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 38 拠点BのARファミリの設定 IPsecの設定 CREATE ISAKMP POL="I" PE=ANY MOD=AGGRESSIVE KEY=1 NATT=TRUE SET ISAKMP POL="I" SENDN=TRUE SET ISAKMP POL="I" DPDM=BOTH REMOTEID="ROUTER‐A" ENABLE ISAKMP CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1" CREATE IPSEC POL="ISA" INT=PPP0 AC=PERMIT SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP CREATE IPSEC POL="VPN" INT=PPP0 AC=IPSEC KEY=ISAKMP BUND=1 PEER=DYNAMIC SET IPSEC POL="VPN" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 CREATE IPSEC POL="INET" INT=PPP0 AC=PERMIT CREATE IPSEC POL="NAT" INT=PPP0 AC=PERMIT SET IPSEC POL="NAT" LP=4500 TRA=UDP ENABLE IPSEC Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 39 拠点BのARファミリの設定 Security Officerとしてログイン LOGIN secoff 動作モードをセキュリティモードに切り替えます ENABLE SYSTEM SECURITY_MODE Note ‐ セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモー ドにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を 行っておいてください 。 Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 40 拠点BのARファミリの設定 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設 定ファイルに指定します。 CREATE CONFIG=ROUTERB.CFG SET CONFIG=ROUTERB.CFG Copyright©2011 Allied Telesis K.K. All Rights Reserved. Copyright©2012 41 社会品質を創る。アライドテレシス。 http://www.allied-telesis.co.jp/ おかげさまで25周年を迎えました。 Copyright©2012 Allied Telesis K.K. All Rights Reserved.