はじめに はじめに 本設定事例集では UNIVERGE WA シリーズの設定事例について説明しています ルータと組み合わせて使用する構成では UNIVERGE IX2000/IX3000 シリーズの設定例を記載しています 各コマンドの詳細については コマンドリファレンスや機能説明書をご参照下さい 本

Transcription

1 ワイヤレスアダプタ / ワイヤレス VPN ルータ UNIVERGE WA シリーズ 設定事例集第 8.0 版 ( ソフトウェア Ver8.0 対応 ) ご注意ご使用の前にこのマニュアルをよくお読みの上で 正しくお使いください お読みになったあとは いつでもご覧になれる場所に必ず保管してください

2 はじめに はじめに 本設定事例集では UNIVERGE WA シリーズの設定事例について説明しています ルータと組み合わせて使用する構成では UNIVERGE IX2000/IX3000 シリーズの設定例を記載しています 各コマンドの詳細については コマンドリファレンスや機能説明書をご参照下さい 本設定事例集は UNIVERGE WA シリーズソフトウェア Ver.8.0 に対応しています ご注意 (1) 本書の内容の一部または全部を無断で転載することは禁止されています (2) 本書の内容については 将来予告なしに変更することがあります (3) 本書は内容について万全を期しておりますが 万一ご不審な点や誤り 記載漏れなどお気づきの点がありましたら ご連絡ください (4) 運用した結果については (3) 項にかかわらずいかなる責任も負いかねますので あらかじめご了承ください i

3 もくじ はじめに i もくじ ii 1. アダプタモード設定 内蔵モジュールを使用する データ通信端末 (3G/LTE) を使用する データ通信端末 (WiMAX) を使用する インターネット接続設定 データ通信端末を PPP 接続してインターネットに常時接続する データ通信端末を NDIS 接続してインターネットに常時接続する WiMAX データ通信端末を使用して常時接続を行う PPPoE を使用して常時接続を行う SIM ロックフリーモデルで任意のモバイルキャリアを利用する IPv4 設定 複数の経路情報を設定する IPv6 設定 PPPoEv6 を使用して常時接続を行う RA 方式を使用して常時接続を行う ブリッジ設定 トランスペアレントブリッジを使用する PPPoE ブリッジを使用する レイヤ 2 高速切替機能でブリッジ経路切替を行う NAT/NAPT 設定 スタティック NAT を使用する ダイナミック NAT を使用する スタティック NAPT 機能を使用して Web サーバを公開する IPsec inner NAT 機能を使用する NAPT 除外設定を使用した IPsec 接続を行う DHCP 設定 DHCP サーバ機能を使用する 複数の DHCP サーバ機能を使用する DHCP リレーエージェント機能を使用する Dynamic DNS 設定 NetMeister のダイナミック DNS を利用して VPN 接続を行う WA シリーズ専用 DDNS サービスを利用しリモートメンテナンスを行う 8-6 ii

4 もくじ 9. IPsec 設定 メインモードの IPsec 接続を行う アグレッシブモードの IPsec 接続を行う IPsec トンネル経由でインターネットに接続する キャリアグレード NAT された通信網で IPsec 接続を行う peerfqdn を使用して動的 IP アドレス環境で IPsec 接続を行う IPsec 簡単コンフィグを使用して VPN 設定を行う NGN 閉域網 IPv6 で NetMeister のダイナミック DNS 機能を利用し IPsec 接続を行う IKEv2/IPsec 設定 IPv6 網に IKEv2/IPsec トンネルを生成し 拠点間通信を行う L2 トンネル設定 11-1 EtherIP 接続を行う 11-1 EtherIP over IPsec( メイン / トランスポート ) 接続を行う 11-3 EtherIP over IPsec( アグレッシブ / トランスポート ) 接続を行う 11-8 L2TPv3 over IPsec( メイン / トンネル ) 接続を行う L2TP インタフェースでパケットに VLAN Tag を付ける GRE 設定 GRE over IPsec( トランスポート ) 接続を行う VLAN 設定 タグ VLAN を使用する ポート VLAN を使用する 冗長構成 VRRP を使用してルータを冗長化する ネットワークモニタを使用して IPsec を迂回する 同一 IP に複数 IPsec トンネルを設定して迂回する デュアルモバイルで WAN 回線を冗長化する ネットワークモニタ機能の複数イベントを使用する ポリシールーティング設定 アプリケーション毎に経路を分ける 自発パケットの経路を分ける 無線 LAN 設定 マルチ SSID で複数のアクセス方式に対応する 有線 LAN と無線 LAN を BVI で同一セグメントとして扱う つの無線 LAN グループを別セグメントとして扱う 暗号化キーを自動的に定期更新する AAA 設定 17-1 iii

5 もくじ ログイン認証を行う 端末認証設定 有線 LAN および無線 LAN で IEEE802.1X 認証を行う 有線 LAN および無線 LAN で MAC 認証を行う 異なるインタフェースで異なる認証方式を有効にする QoS 設定 自発パケットを優先送信する 送信パケットに DSCP 値を付与する ( カラーリング機能 ) 物理ポートでトラフィックシェーピングを設定する BGP4 設定 AS 間で経路情報を交換する URL オフロード設定例 経路制御処理を利用した構成 (HTTP プロキシサーバを利用しない ) フィルタ処理を利用した構成 (HTTP プロキシサーバを利用する ) URL リダイレクト設定 設定したサイトを利用者のブラウザへ表示させる 管理 保守 23-1 SNTP クライアントを使用して時刻を設定する 23-1 SNMP を使用して情報を収集する 23-3 SYSLOG を使用して情報を収集する 23-6 FTP 自動バージョンアップ機能を使用する 23-8 起動時 HTTP 自動バージョンアップ機能を使用する スケジューラ機能を利用して MAC アドレスフィルタを変更する 初期コンフィグモードを変更する NetMeister を利用して 装置の管理 保守する モバイル網接続に必要なパラメータ 付録 -1 使用可能なデータ通信端末 付録 -4 iv

6 アダプタモード 1. アダプタモード設定 1.1. 内蔵モジュールを使用する WA1511 の内蔵モジュールを使用したアダプタモードの基本的な設定を説明します 本設定により 配下に接続するルータからインターネットアクセス等を行うことが可能となります 本設定例は WA1511 での MobileEthernet0.0(NDIS 接続 ) を使用した PPPoE-DHCP 接続を例に挙げています なお 内蔵モジュールは Serial0(PPP 接続 ) を使用した PPPoE- PPP 接続はサポートしていません Serial 接続はデータ通信端末が必要です 1.2 項を参照願います 接続構成 /24 インターネット接続 UNIVERGE WA1511 インターネットサービスプロバイダ GE UNIVERGE IX2215 装置 B GE0.1 GE0.0 PPPoE GE 装置 A DHCP (NDIS 接続 ) ((( モバイル通信事業者 端末 A /24( メンテナンス PDP-Type:IP CID :1 APN :example.net 設定概要以下の設定を行います アダプタモード設定 MobileEthernet0.0 インタフェース設定 ( アクセスポイント設定 ) メンテナンス用 IP アドレス設定 オペレータアカウント登録 配下ルータ (IX2215) には以下の設定を行います PPP プロファイル PPPoE 設定 アクセスポイント ダイヤルアップ番号設定 1-1

7 アダプタモード 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA1511 設定 ] hostname WA1511 username test password plain test operator https-username test2 password plain test2 operator wireless-adapter enable MobileEthernet0.0 device usb0 device module0 interface GigaEthernet0.0 no ip address shutdown interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface MobileEthernet0.0 ip address dhcp mobile id IP example.net mobile username test mobile password plain test test auto-connect ip route / ip name-server telnet-server ip enable sntp-client enable ntp-server server servername https-server ip enable led vpn ipsec 以下に装置 B(IX2215) の設定例を記載しますが 詳細については IX マニュアルをご確認下さい [ 装置 B:IX2215 設定 ] hostname IX

8 アダプタモード ip route default GigaEthernet0.1 proxy-dns ip enable ppp profile mobile authentication myname test authentication password test test device GigaEthernet0 device GigaEthernet1 interface GigaEthernet0.0 ip address /24 interface GigaEthernet1.0 ip address /24 interface GigaEthernet0.1 encapsulation pppoe auto-connect pppoe service-name IP,1,example.net ppp binding mobile ip address ipcp ip tcp adjust-mss auto ip napt enable 解説 [ 装置 A:WA1511 設定 ] username test password plain test operator https-username test2 password plain test2 operator ログイン (CLI telnet Web-GUI) するオペレータ権限のユーザアカウントを登録します wireless-adapter enable MobileEthernet0.0 動作モードを 内蔵モジュールを使用した NDIS 接続アダプタモードとします interface GigaEthernet1.0 ip address /24 インタフェース GigaEthernet1.0 にメンテナンス用の IP アドレスを設定します 設定した IP アドレスが telnet 宛先 http アドレスになります interface MobileEthernet0.0 ip address dhcp DHCP によるアドレス割り当てを有効とします mobile id IP example.net mobile username test 1-1

9 アダプタモード mobile password plain test test PDP-Type IP APN example.net ID Password を設定します NDIS 接続の場合 CID は設定不要です PDP-Type CID APN ID Password は事業者毎に異なりますので 本書の付録をご覧頂くか 通信事業者にご確認ください 配下ルータで Service- Name タグが動作する場合は WA1511 に PDP-Type APN ID Password の設定は不要です ip route / メンテナンスを行う端末 A への IP ルートを設定します telnet-server enable メンテナンスのために telnet サーバ機能を有効化します https-server ip enable メンテナンスのために Web サーバ機能を有効化します ( デフォルトで有効 ) 1-4

10 アダプタモード 1.2. データ通信端末 (3G/LTE) を使用するデータ通信端末を使用したアダプタモードの基本的な設定を説明します 本設定により 配下に接続するルータからインターネットアクセス等を行うことが可能となります 本設定例は Serial(PPP 接続 ) を使用した PPPoE-PPP 接続を例に挙げていますが MobileEthernet(NDIS 接続 ) を使用した PPPoE-DHCP 接続もサポートしています データ通信端末を使用したアダプタモードは WA1020 WA1510 WA1511 および WA1512 でサポートしております 接続構成 /24 インターネット接続 インターネットサービスプロバイダ GE UNIVERGE IX2215 装置 B GE0.1 PPPoE GE0.0 GE UNIVERGE WA1510 装置 A Serial0 (PPP 接続 ) 3G/LTE ((( データ通信端末 ワイヤレスデータ通信事業者 端末 A /24( メンテナンス PDP-Type:PPP CID :1 APN :example.net 設定概要以下の設定を行います アダプタモード設定 Serial0 インタフェース設定 ( アクセスポイント設定 ) メンテナンス用 IP アドレス設定 オペレータアカウント登録 配下ルータ (IX2215) には以下の設定を行います PPP PPPoE 設定 アクセスポイント ダイヤルアップ番号設定 1-1

11 アダプタモード 設定 ( コンフィグ作成バージョン :Ver7.5.4) [ 装置 A:WA1510 設定 ] hostname WA1510 username test password plain test operator https-username test2 password plain test2 operator wireless-adapter enable Serial0 interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface Serial0 ip address ipcp mobile id PPP 1 example.net mobile number *99***CID# auto-connect ip route / telnet-server ip enable https-server ip enable https-server ip permit /24 以下に装置 B(IX2215) の設定例を記載しますが 詳細については IX マニュアルをご確認下さい [ 装置 B:IX2215 設定 ] hostname IX2215 ip route default GigaEthernet0.1 proxy-dns ip enable ppp profile mobile authentication myname test authentication password test test device GigaEthernet0 device GigaEthernet1 interface GigaEthernet

12 アダプタモード ip address /24 interface GigaEthernet1.0 ip address /24 interface GigaEthernet0.1 encapsulation pppoe auto-connect pppoe service-name PPP,1,example.net ppp binding mobile ip address ipcp ip napt enable 解説 [ 装置 A:WA1510 設定 ] username test password plain test operator https-username test2 password plain test2 operator ログイン (CLI telnet Web-GUI) するオペレータ権限のユーザアカウントを登録します wireless-adapter enable Serial0 動作モードは Serial0 を使用するアダプタモードとします interface GigaEthernet1.0 ip address /24 インタフェース GigaEthernet1.0 にメンテナンス用の IP アドレスを設定します 設定した IP アドレスが telnet 宛先 http アドレスになります interface Serial0 ip address ipcp アダプタモードでは設定不要です mobile id PPP 1 example.net PDP-Type PPP CID 1 APN example.net を設定します PDP-Type CID APN は事業者毎に異なりますので 本書の付録をご覧頂くか 通信事業者にご確認ください 配下ルータで Service-Name タグが動作する場合は WA1510 に PDP-Type CID APN の設定は不要です mobile number *99***CID# 電話番号を設定します ほとんどの通信事業者は初期値 *99**CID# で接続できますが KDDI など一部キャリアは設定を変更する必要がありますので 本書の付録をご覧頂くか 通信事業者にご確認ください ip route / メンテナンスを行う端末 A への IP ルートを設定します telnet-server ip enable 1-1

13 アダプタモード メンテナンスのために telnet サーバ機能を有効化します https-server ip enable https-server ip permit /24 メンテナンスのために Web サーバ機能を有効化します ( デフォルトで有効 ) ただし ソフトウェアバージョン 7.5 以降では https-server ip permit コマンドが GigaEthernet1.0 の LAN 指定で設定されています Web-GUI にて 上記以外の LAN からアクセスする場合は この設定を変更する必要があります 1-8

14 アダプタモード 1.3. データ通信端末 (WiMAX) を使用する WiMAX でのアダプタモードにおける基本的な設定を説明します 本設定により 配下に接続するルータからインターネットアクセス等を行うことが可能となります WiMAX データ通信端末を利用したアダプタモードは WA1020 FW バージョン までのサポートとなります WA1510 WA1511 および WA1512 は非サポートです 接続構成 /24 インターネット接続 インターネットサービスプロバイダ 端末 A GE UNIVERGE IX2215 装置 B GE0.0 DHCP GE0.0 FE0.0 (secondary) UNIVERGE WA1020 装置 A FE1.0 WiMAX ((( データ通信端末 /24( メンテナンス用 ) ワイヤレスデータ通信事業者 設定概要以下の設定を行います (WiMAX データ通信端末を接続後 電源 ON) アダプタモード設定 メンテナンス用 IP アドレス設定 オペレータアカウント登録 配下ルータ (IX2215) には以下の設定を行います DHCP クライアント設定 NAPT 設定 メモ本製品は 起動時にデータ通信端末の通信方式を判断しますので ご使用になる WiMAX データ通信端末を本製品に接続した状態で電源 ON を行なってください 1-1

15 アダプタモード 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA1020 設定 ] hostname WA1020 username test password plain test operator https-username test2 password plain test2 operator wireless-adapter enable FastEthernet1.0 interface FastEthernet0.0 ip address /24 interface Loopback0.0 ip address /8 interface FastEthernet1.0 no ip address auto-connect ip route / telnet-server enable https-server ip enable 以下に装置 B(IX2215) の設定例を記載しますが 詳細については IX マニュアルをご確認下さい [ 装置 B:IX2215 設定 ] hostname IX2215 ip dhcp enable ip access-list nat-list deny ip src /24 dest /24 ip access-list nat-list deny ip src /24 dest /24 ip access-list nat-list permit ip src /24 dest any proxy-dns ip enable interface GigaEthernet0.0 ip address dhcp receive-default ip address /24 secondary ip tcp adjust-mss auto ip napt enable ip napt inside list nat-list interface GigaEthernet

16 アダプタモード ip address /24 解説 [ 装置 A:WA1020 設定 ] username test password plain test operator https-username test2 password plain test2 operator ログイン (CLI telnet Web-GUI) するオペレータ権限のユーザアカウントを登録します wireless-adapter enable FastEthernet1.0 動作モードを FastEthernet1.0 を使用するアダプタモードとします interface FastEthernet0.0 ip address /24 インタフェース FastEthernet0.0 にメンテナンス用の IP アドレスを設定します 設定した IP アドレスが telnet 宛先 http アドレスになります interface FastEthernet1.0 no ip address アダプタモードでは設定不要です ip route / メンテナンスを行う端末 A への IP ルートを設定します telnet-server enable メンテナンスのために telnet サーバ機能を有効化します https-server ip enable メンテナンスのために Web サーバ機能を有効化します ( デフォルトで有効 ) 1-1

17 インターネット接続 2. インターネット接続設定 2.1. データ通信端末を PPP 接続してインターネットに常時接続するデータ通信端末 (3G/LTE) を PPP(Serial インタフェース ) で接続し インターネットに常時接続する基本的な設定を説明します 接続構成 /24 GE UNIVERGE WA1510 装置 A Serial0 3G/LTE ((( データ通信端末 インターネットサービスプロバイダ モバイル通信事業者 端末 A PDP-Type:PPP CID :1 APN :example.net 設定概要以下の設定を行います ルータモード設定 PPP プロファイル設定 Serial0 インタフェース設定 プロキシ DNS 設定 GigaEthernet1.0 インタフェース設定 NAPT 設定 ルーティング設定 2-1

18 インターネット接続 設定 ( コンフィグ作成バージョン :Ver7.5.4) [ 装置 A:WA1510 設定 ] hostname WA1510 no wireless-adapter enable ppp profile mobile authentication username test authentication password plain test interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface Serial0 ip address ipcp ppp profile mobile ip napt enable mobile id PPP 1 example.net mobile number *99***CID# auto-connect ip route default Serial0 proxy-dns ip enable proxy-dns server default Serial0 ipcp 解説 no wireless-adapter enable 動作モードをルータモードに設定します ppp profile mobile authentication username test authentication password plain test PPP プロファイル mobile を作成し 通信事業者が指定するユーザ ID とパスワードを設定します 補足 KDDI のデータ通信端末 DATA01 DATA03 DATA04 DATA07 を使用する場合は LCP Echo-Request を無効にする no lcp echo enable 設定が必要です interface Serial0 補足ソフトバンクのデータ通信端末 C01/LC C02/LC 203HW を使用する場合は mobile 2-2

19 インターネット接続 dial tone 設定が必要です ip address ipcp インタフェース Serial0 の IP アドレスを設定します ip address ipcp を設定することで IPCP を使用して IP アドレスを取得します ppp profile mobile PPP プロファイル mobile をインタフェース Serial0 に適用します ip napt enable インタフェース Serial0 で NAPT 機能を有効化して 複数台の端末が同時にインターネット接続できるように設定します mobile id PPP 1 example.net PDP-Type CID APN を設定します PDP-Type CID APN は事業者毎に異なりますので 本書の付録をご覧頂くか 通信事業者にご確認ください mobile number *99***CID# 電話番号を設定します ほとんどの通信事業者は初期値 *99**CID# で接続できますが KDDI など一部キャリアは設定を変更する必要がありますので 本書の付録をご覧頂くか 通信事業者にご確認ください auto-connect 回線接続を常時接続に設定します proxy-dns ip enable proxy-dns server default Serial0 ipcp プロキシ DNS を有効化します プロキシ DNS が問合せを行う DNS サーバとして PPP の IPCP にて取得した DNS サーバを設定します この設定は 本装置からの DNS 問合せをする際にも使用します interface GigaEthernet1.0 ip address /24 インタフェース GigaEthernet1.0 の IP アドレスを設定します ip route default Serial0 インタフェース Serial0 をデフォルトルートに設定します 2-3

20 インターネット接続 2.2. データ通信端末を NDIS 接続してインターネットに常時接続するデータ通信端末 (3G/LTE) を NDIS(MobileEthernet インタフェース ) で接続し インターネットに常時接続する基本的な設定を説明します 接続構成 /24 インターネットサービスプロバイダ GE UNIVERGE WA1510 装置 A ME0.0 3G/LTE ((( データ通信端末 モバイル通信事業者 端末 A PDP-Type:IP APN :example.net 設定概要以下の設定を行います ルータモード設定 MobileEthernet インタフェース設定 プロキシ DNS 設定 GigaEthernet1.0 インタフェース設定 NAPT 設定 ルーティング設定 2-4

21 インターネット接続 設定 ( コンフィグ作成バージョン :Ver7.5.4) [ 装置 A:WA1510 設定 ] hostname WA1510 no wireless-adapter enable interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface Serial0 ip address ipcp mobile number *99***CID# auto-connect shutdown interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example.net mobile username test mobile password plain test auto-connect ip route default MobileEthernet0.0 proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp 解説 no wireless-adapter enable 動作モードをルータモードに設定します interface MobileEthernet0.0 NDIS が動作するデータ通信端末用インタフェースです 補足インタフェース Serial0 とは排他です MobileEthernet0.0 インタフェースを有効にした場合 インタフェース Serial0 は自動的に無効になります ip address dhcp DHCP を使用して IP アドレスを取得します ip tcp adjust-mss auto TCP 通信の最大データ長を調整する mss を auto に設定します ip napt enable 2-5

22 インターネット接続 NAPT 機能を有効化して 複数台の端末が同時にインターネット接続できるように設定します mobile id IP example.net mobile username test mobile password plain test PDP-Type APN および通信事業者が指定するユーザ ID とパスワードを設定します CID は不要です PDP-Type APN は事業者毎に異なりますので 本書の付録をご覧頂くか 通信事業者にご確認ください ip route default MobileEthernet0.0 インタフェース MobileEthernet0.0 をデフォルトルートに設定します proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp プロキシ DNS を有効化します プロキシ DNS が問合せを行う DNS サーバとして DHCP にて取得した DNS サーバを設定します この設定は 本装置からの DNS 問合せをする際にも使用します 2-6

23 インターネット接続 2.3. WiMAX データ通信端末を使用して常時接続を行う WiMAX データ通信端末使用時のルータモードにおける基本的な設定を説明します 本設定により 端末からインターネットアクセスを行うことが可能となります WiMAX データ通信端末は FW バージョン までのサポートとなります 接続構成 /24 FE UNIVERGE WA1020 装置 A FE1.0 WiMAX ((( データ通信端末 インターネットサービスプロバイダ モバイル通信事業者 端末 A 設定概要以下の設定を行います (WiMAX データ通信端末を接続後 電源 ON) ルータモード設定 WiMAX (FastEthernet1.0) インタフェースの設定 プロキシ DNS 設定 FastEthernet0.0 インタフェース設定 (WA1020 以外は GigaEthernet0.0) NAPT 設定 ルーティング設定 メモ本製品は 起動時にデータ通信端末の通信方式を判断しますので ご使用になる WiMAX データ通信端末を本製品に接続した状態で電源 ON を行なってください 2-7

24 インターネット接続 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA1020 設定 ] hostname WA1020 no wireless-adapter enable interface FastEthernet0.0 ip address /24 interface Loopback0.0 ip address /8 interface FastEthernet1.0 ip address dhcp ip tcp adjust-mss 1360 ip napt enable auto-connect ip route default FastEthernet1.0 proxy-dns ip enable proxy-dns server default FastEthernet1.0 dhcp 解説 no wireless-adapter enable 動作モードをルータモードに設定します interface FastEthernet1.0 ip address dhcp インタフェース FastEthernet1.0 の IP アドレスを設定します ip address dhcp を設定することで WiMAX 網から IP アドレスを取得します ip tcp adjust-mss 1360 TCP の MSS 値を 1360 (WiMAX の推奨値 ) に設定します (WiMAX の MTU は 1400) auto-connect 回線接続を常時接続に設定します proxy-dns ip enable proxy-dns server default FastEthernet1.0 dhcp プロキシ DNS を有効化します プロキシ DNS が問合せを行う DNS サーバとして DHCP クライアントにて取得した DNS サーバを設定します この設定は 本装置からの DNS 問合せをする際にも使用します interface FastEthernet0.0 ip address /24 2-8

25 インターネット接続 インタフェース FastEthernet0.0 の IP アドレスを設定します interface FastEthernet1.0 ip napt enable インタフェース FastEthernet1.0 で NAPT 機能を有効化して 複数台の端末が同時にインターネット接続できるように設定します ip route default FastEthernet1.0 インタフェース FastEthernet1.0 をデフォルトルートに設定します 2-9

26 インターネット接続 2.4. PPPoE を使用して常時接続を行う有線回線における基本的な設定を説明します 本設定により 端末からインターネットアクセスを行うことが可能となります 接続構成 /24 UNIVERGE WA2610-AP PPPoE0 インターネットサービスプロバイダ GE GE0.0 通信事業者ネットワーク 装置 A 端末 A userid : test@example.net password : test 設定概要以下の設定を行います PPP プロファイル設定 GigaEthernet0.0 インタフェース設定 PPPoE0 インタフェース設定 NAPT 設定 プロキシ DNS 設定 GigaEthernet1.0 インタフェース設定 ルーティング設定 2-10

27 インターネット接続 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP ppp profile pppoe authentication username test@example.net authentication password plain test interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable ip route default PPPoE0 proxy-dns ip enable proxy-dns server default PPPoE0 ipcp 2-11

28 インターネット接続 解説 ppp profile pppoe authentication username authentication password plain test PPP プロファイル pppoe を作成し 通信事業者が指定するユーザ ID とパスワードを設定します interface PPPoE0 ip address ipcp 論理インタフェース PPPoE0 の IP アドレスを設定します ip address ipcp を設定することで IPCP を使用して IP アドレスを取得します ip tcp adjust-mss auto PPPoE のカプセル化にともない MTU が LAN の 1500 より小さくなるため tcp 通信の最大データ長を調整する mss を auto に設定します ppp profile pppoe 論理インタフェース PPPoE0 に回線の認証に使用する PPP プロファイル pppoe を適用します auto-connect 回線接続を常時接続に設定します ip napt enable 論理インタフェース PPPoE0 で NAPT 機能を有効化して 複数台の端末が同時にインターネット接続できるように設定します interface GigaEthernet0.0 no ip address encapsulation PPPoE0 有線回線を収容するインタフェース GigaEthernet0.0 に 論理インタフェース PPPoE0 を割当てます インタフェース GigaEthernet0.0 の IP アドレスは設定しません proxy-dns ip enable proxy-dns server default PPPoE0 ipcp プロキシ DNS を有効化します プロキシ DNS が問合せを行う DNS サーバとして PPP の IPCP にて取得した DNS サーバを設定します この設定は 本装置からの DNS 問合せをする際にも使用します interface GigaEthernet1.0 ip address /24 インタフェース GigaEthernet1.0 の IP アドレスを設定します ip route default PPPoE0 論理インタフェース PPPoE0 をデフォルトルートに設定します 2-12

29 インターネット接続 2.5. SIM ロックフリーモデルで任意のモバイルキャリアを利用する SIM ロックフリーモデル WA2612-AP-ML01 の内蔵モジュールを使用して サポートするモバイルキャリアと接続する設定を説明します 接続構成 /24 GE UNIVERGE WA2612-AP-ML01 装置 A 内蔵モジュール au MVNO au MNO ドコモ MNO/MVNO 端末 A Softbank MNO 設定概要以下の設定を行います MobileEthernet0.0 インタフェース設定 NAPT 設定 プロキシ DNS 設定 GigaEthernet1.0 インタフェース設定 ルーティング設定 メモ SIM ロックフリーは WA2612-AP-ML01 のみ対応しております FW バージョン 以降は Serial0 インタフェースおよび MobileEthernt0.0 インタフェースのいずれも利用可能です 上記以前の FW バージョンでは 使用できるインタフェースに制限がございますので 詳しくは取扱説明書でご確認ください au SoftBank が提供する M2M 用 SIM はご利用になれますが データ通信用 SIM はご利用になれません MVNO 事業者が提供するデータ通信用 SIM はご利用になれますが 一部 利用できない契約 / サービスの場合がございますので ご使用になる前に必ず販売元および通信事業者様に契約内容を確認してください 3G 専用の SIM カードはご利用できません 2-13

30 インターネット接続 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA2612-AP 設定 ] hostname WA2612-AP interface GigaEthernet0.0 no ip address interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile username test@example.net mobile password plain test mobile id IP (APN) mobile carrier auto auto-connect ip route default MobileEthenret0.0 proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp 解説 ip address dhcp DHCP を使用して IP アドレスを取得します ip tcp adjust-mss auto TCP 通信の最大データ長を調整する mss を auto に設定します ip napt enable NAPT 機能を有効化して 複数台の端末が同時にインターネット接続できるように設定します mobile username test@example.net mobile username test mobile password plain test PDP-Type APN および通信事業者が指定するユーザ ID とパスワードを設定します CID は不要です PDP-Type APN は事業者毎に異なりますので 本書の付録をご覧頂くか 通信事業者にご確認ください mobile carrier auto 接続する通信事業者を設定します auto で通信事業者を自動判別しますが au MVNO 2-14

31 インターネット接続 の SIM を使用する場合は other を選択してください 通信事業者 docomo au softbank を固定設定することもできます 2-15

32 IPv4 設定 3. IPv4 設定 3.1. 複数の経路情報を設定する LAN 間を接続するローカルルータの設定を説明します 接続構成 / / /24 ルータ A.253 UNIVERGE WA1510 GE1.0 GE 装置 A ルータ B インターネットサービスプロバイダ 設定概要以下の設定を行います GigaEthernet0.0 インタフェース設定 GigaEthernet1.0 インタフェース設定 ルーティング設定 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA1510 設定 ] hostname WA1510 no wireless-adapter enable interface GigaEthernet0.0 ip address /24 interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 ip route default ip route /

33 IPv4 設定 解説 interface GigaEthernet0.0 ip address /24 インタフェース GigaEthernet0.0 に IP アドレス /24 を設定します interface GigaEthernet1.0 ip address /24 インタフェース GigaEthernet1.0 に IP アドレス /24 を設定します ip route default デフォルトルートを IP アドレス とします 宛先がルートテーブルに無いパケットは全てデフォルトルートに転送します ip route / 宛先が /24 ネットワークのパケットは IP アドレス に転送します 3-2

34 IPv6 設定 4. IPv6 設定 4.1. PPPoEv6 を使用して常時接続を行う IPv6 のルータモードにおける基本的な PPPoEv6 設定を説明します 本設定により 端末から IPv6 によるインターネットアクセスを行うことが可能です 本設定は 以下の環境を想定した設定例です ISP と PPPoE 接続した装置 A は DHCP-PD によりインタフェース GE1.0 に IPv6 アドレスが割り当てられます 端末 A は 装置 A の RA により IPv6 アドレスを割り当てられます RA で割り当てる IPv6 アドレスは DHCP-PD によって ISP から割り当てられたグローバルアドレスです 接続構成 UNIVERGE WA2610-AP インターネットサービスプロバイダ 自動取得 GE1.0 PPPoE0 通信事業者ネットワーク 装置 A 端末 A DHCP-PD による自動取得 RA による自動取得 設定概要以下の設定を行います PPP プロファイル設定 IPv6 フィルタ設定 DHCPv6-PD クライアント設定 PPPoE インタフェース設定 物理インタフェース (GE0) 設定 プロキシ DNS 設定 stateless DHCPv6 サーバ設定 LAN インタフェース (GE1) 設定 ルーティング設定 4-1

35 IPv6 設定 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP ipv6 access-list fw-lst deny ip src any dest any ipv6 access-list dhcp-lst permit udp src any sport any dest any dport eq 546 ipv6 access-list dhcp-lst permit udp src any sport eq 546 dest any dport any ipv6 access-list ndp-lst permit icmp src any dest any ipv6 access-list dynamic ok-lst permit icmp src any dest any ipv6 access-list dynamic ok-lst permit tcp src any sport any dest any dport any ipv6 access-list dynamic ok-lst permit udp src any sport any dest any dport any ppp profile test authentication username test@example.com authentication password plain test ipv6 dhcp-client profile test-cl option-request dns-servers ia-option ia-pd ipv6 dhcp-server enable ipv6 dhcp-server profile test-sv ipv6 prefix-delegation profile default source-interface PPPoE0 interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 no ip address ipv6 dhcp-server binding test-sv ipv6 address pd-profile default ipv6 enable ipv6 nd ra other-config-flag ipv6 nd send-ra interface PPPoE0 no ip address ipv6 dhcp-client binding test-cl ipv6 enable ipv6 tcp adjust-mss auto ppp profile test auto-connect ipv6 filter ndp-lst 1 in ipv6 filter dhcp-lst 2 in ipv6 filter fw-lst 10 in ipv6 filter ok-lst 1 out 4-2

36 IPv6 設定 ipv6 filter ndp-lst 2 out ipv6 filter dhcp-lst 3 out ipv6 route default PPPoE0 proxy-dns ipv6 enable proxy-dns server default PPPoE0 dhcpv6 解説 [ 装置 A:WA2610-AP 設定 ] ipv6 access-list fw-lst deny ip src any dest any ipv6 access-list dhcp-lst permit udp src any sport any dest any dport eq 546 ipv6 access-list dhcp-lst permit udp src any sport eq 546 dest any dport any ipv6 access-list ndp-lst permit icmp src any dest any ipv6 access-list dynamic ok-lst permit icmp src any dest any ipv6 access-list dynamic ok-lst permit tcp src any sport any dest any dport any ipv6 access-list dynamic ok-lst permit udp src any sport any dest any dport any 外部からの不正アクセスを防ぐためフィルタを設定します IPv6 の制御用通信以外は動的フィルタで通信を制限します ppp profile test authentication username test@example.com authentication password plain test PPP プロファイル test を作成し 通信事業者が指定するユーザ ID とパスワードを設定します ipv6 dhcp-client profile test-cl option-request dns-servers ia-option ia-pd DHCPv6-PD クライアントプロファイルを作成し DHCPv6-PD サーバから取得する情報 (dns サーバ ) を設定します ipv6 dhcp-server enable DHCP サーバ機能を有効にします ipv6 dhcp-server profile test-sv stateless DHCP サーバ機能のプロファイルを作成します ipv6 prefix-delegation profile default source-interface PPPoE0 DHCPv6-PD サーバから取得した prefix 情報を GE1.0 へ割り当てるためのプロファイル設定を行います 4-3

37 IPv6 設定 interface GigaEthernet0.0 encapsulation PPPoE0 PPPoE インタフェースを割り当てる設定を行います interface GigaEthernet1.0 ipv6 dhcp-server binding test-sv ipv6 address pd-profile default ipv6 enable ipv6 nd ra other-config-flag ipv6 nd send-ra DHCPv6 クライアントから取得した DNS サーバの設定とプレフィックスを LAN 配下の端末に配信します RA 配信時に O フラグをセットすることで DNS サーバのアドレスを自動設定させることが可能です interface PPPoE0 PPPoE インタフェースを作成します ipv6 dhcp-client binding test-cl DHCPv6-PD クライアントのプロファイルを指定します ipv6 enable IPv6 を有効化します ipv6 tcp adjust-mss auto TCP セッション確立時の MSS 値の設定を行います ppp profile test PPP プロファイルを適用します ipv6 filter ndp-lst 1 in ipv6 filter dhcp-lst 2 in ipv6 filter fw-lst 10 in ipv6 filter ok-lst 1 out ipv6 filter ndp-lst 2 out ipv6 filter dhcp-lst 3 out 外部からの不正アクセス対応のフィルタ指定と動的フィルタを設定します ipv6 route default PPPoE0 デフォルトルートを設定します proxy-dns ipv6 enable proxy-dns server default PPPoE0 dhcpv6 IPv6 プロキシ DNS の設定を有効化します 4-4

38 IPv6 設定 4.2. RA 方式を使用して常時接続を行う IPv6 網接続方式の RA(Router Advertisement) 方式の設定例を説明します IPv6 網から RA により Prefix を取得して IPv6 アドレスを登録します LAN 側は L2 トンネル機能の EtherIP を使用して IPv6 網を経由した L2VPN 通信の設定例として説明をします 接続構成 EtherIP over IPsec(IPv6) 装置 B GE0: 2001:db8:1:0:cafe::1/64 DNS サーバ :2001:db8:0:0:abc::1.1 GE1 UNIVERGE WA1510 GE0 WAN インターネットサービスプロバイダ GE0 WAN UNIVERGE WA2610-AP GE1.2 端末 /24 装置 A RA 受信 固定 IPv6 装置 B 端末 /24 EtherIP 接続の対向 loopback インタフェース装置 A: /32 装置 B: /32 暗号 : AES(256bit) 認証 : SHA2 DH-group : 1024bit DDNS サービス :DDNS.example.jp username:user password:passwd FQDN:c.DDNS.example.jp 設定概要以下の設定を行います IKE プロポーザルの設定 IKE ポリシーの設定 IPsec プロポーザルの設定 IPsec ポリシーの設定 IPsec プロファイルの設定 IPsec インタフェースの設定 ルーティングの設定 IPv6 フィルタの設定 WAN 側インタフェースの設定 ブリッジの設定 EtherIP インタフェースの設定 DNS サーバの設定 Dynamic DNS の設定 ( 装置 B) Dynamic DNS サービスの登録確認 4-5

39 IPv6 設定 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA1510 設定 ] no password encrypted hostname WA1510 ipv6 access-list fw-lst deny ip src any dest any ipv6 access-list ndp-lst permit icmp src any dest any ipv6 access-list sec-lst permit 50 src any dest any ipv6 access-list sec-lst permit udp src any sport eq 500 dest any dport eq 500 bridge ieee enable interface GigaEthernet0.0 no ip address ipv6 enable ipv6 address autoconfig receive-default ipv6 tcp adjust-mss auto ipv6 filter ndp-lst 1 in ipv6 filter sec-lst 2 in ipv6 filter fw-lst 10 in ipv6 filter ndp-lst 1 out ipv6 filter sec-lst 2 out ipv6 filter fw-lst 10 out interface GigaEthernet1.0 no ip address bridge ieee 1 interface Loopback0.0 ip address /32 interface IPsec0 ip address unnumbered ipsec map ipsecprof1 interface EtherIP0 bridge ieee 1 bridge ip tcp adjust-mss 1330 ether-ip peer ether-ip source ip route /32 IPsec0 ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime

40 IPv6 設定 dh-group 1024-bit ike policy ikepol1 mode aggressive local-id key-id wa1500 dpd-keepalive enable ph proposal ikeprop1 pre-shared-key plain hogehoge ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id 2001:db8:a:0::1/128 remote-id 2001:db8:1:0:cafe::1/128 proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer c.ddns.example.jp ipv6 ipv6 name-server 2001:db8:0:0:abc::1 [ 装置 B:WA2610-AP 設定 ] no password encrypted hostname WA2600 ipv6 access-list fw-lst deny ip src any dest any ipv6 access-list ndp-lst permit icmp src any dest any ipv6 access-list sec-lst permit 50 src any dest any ipv6 access-list sec-lst permit udp src any sport eq 500 dest any dport eq 500 bridge ieee enable interface GigaEthernet0.0 no ip address ipv6 enable ipv6 address 2001:db8:1:0:cafe::1/64 ipv6 tcp adjust-mss auto ipv6 filter ndp-lst 1 in ipv6 filter sec-lst 2 in ipv6 filter fw-lst 10 in ipv6 filter ndp-lst 1 out ipv6 filter sec-lst 2 out ipv6 filter fw-lst 10 out 4-7

41 IPv6 設定 interface GigaEthernet1.0 no ip address bridge ieee 1 interface Loopback0.0 ip address /32 interface IPsec0 ip address unnumbered ipsec map ipsecprof1 interface EtherIP0 bridge ieee 1 bridge ip tcp adjust-mss 1330 ether-ip peer ether-ip source ip route /32 IPsec0 ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime dh-group 1024-bit ike policy ikepol1 mode aggressive remote-id key-id wa1500 dpd-keepalive enable ph proposal ikeprop1 pre-shared-key plain hogehoge ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id 2001:db8:1:0:cafe::1/128 remote-id 2001:db8:a:0::1/128 proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 4-8

42 IPv6 設定 ike policy ikepol1 source GigaEthernet0.0 peer any ipv6 ipv6 name-server 2001:db8:0:0:abc::1 ddns profile test source GigaEthernet0.0 query dn=c.ddns.example.jp&ipv6=<ipv6> transport ipv6 url ddns enable ddns interval 30 ddns account profile test 解説 [ 装置 A:WA1510 設定 ] ipv6 access-list fw-lst deny ip src any dest any ipv6 access-list ndp-lst permit icmp src any dest any ipv6 access-list sec-lst permit 50 src any dest any ipv6 access-list sec-lst permit udp src any sport eq 500 dest any dport eq 500 外部からの不正アクセスを防ぐためフィルタを設定します IPv6 の必要な通信と制御用通信以外は通信を制限します icmpv6 は NDP や RA 等 IPv6 の制御系で使用します interface GigaEthernet0.0 no ip address ipv6 enable ipv6 address autoconfig receive-default ipv6 tcp adjust-mss auto ipv6 filter ndp-lst 1 in ipv6 filter sec-lst 2 in ipv6 filter fw-lst 10 in ipv6 filter ndp-lst 1 out ipv6 filter sec-lst 2 out ipv6 filter fw-lst 10 out RA による Prefix 取得を利用する GigaEthernet0.0 インタフェースに RA 受信とデフォルトルート生成の設定を行います IPv6 フィルタを登録して IPsec 通信以外の不要な通信をフィルタします ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet

43 IPv6 設定 peer c.ddns.example.jp ipv6 IPsec プロファイル名 ipsecprof1 を設定し 動作モード 適用する IPsec ポリシー IKE ポリシー peer( 対向先 ) source (SA を確立するインタフェース ) を設定します mode は tunnel を指定します peer( 対向先 ) は 装置 A は装置 B の peer を IPv6 FQDN で指定し 装置 B は装置 A の peer を peer any ipv6( レスポンダ ) で設定します ipv6 name-server 2001:db8:0:0:abc::1 DNS サーバの IPv6 アドレスを設定します ipv6 name-server コマンドにて 事業者から提示された DNS サーバを登録し 装置 A B で FQDN の名前解決のリゾルバを動作させます [ 装置 B:WA2610-AP 設定 ] ddns profile test ダイナミック DNS プロファイルを設定します IPv6 での ddns 利用は http のプロファイル方式になります ddns profile コマンドにて DDNS の動作設定を行います source GigaEthernet0.0 query dn=c.ddns.example.jp&ipv6=<ipv6> ダイナミック DNS サーバへ送信するクエリ情報を設定します transport ipv6 ダイナミック DNS サーバへの問い合わせに使用するプロトコルを指定します url ダイナミック DNS サーバの URL を登録します ddns enable ダイナミック DNS 機能を有効化します ddns interval 30 ダイナミック DNS サービスへの IP アドレス登録間隔を設定します ddns account profile test ダイナミック DNS サーバへアクセスを行います メモ DDNS サービスは 事業者により仕様が異なりますので profile で指定する内容や動作については 事業者にご確認願います サービスの仕様によってはご利用になれない場合がございます profile の指定は 1 つのみとなります 登録確認の方法は 登録した FQDN を指定し IP アドレスが解決されることを確認します インターネットに接続できる PC 等から 登録している FQDN の IPv6 アドレスを nslookup にて確認し show ipv6 address コマンドで表示される IP アドレスと同じであることを確認します 4-10

44 ブリッジ 5. ブリッジ設定 5.1. トランスペアレントブリッジを使用するトランスペアレントブリッジ機能を使用して 同じブリッジグループに属する端末間の通信を行う設定を説明します 本設定は 以下の環境を想定した設定例です 装置 A のインタフェース GE0.0 では 送信元 MAC アドレスが端末 C で 且つ宛先 MAC アドレスが端末 A の IPv4 パケット ならびに送信元 MAC アドレスが監視端末の IPv4 パケットを受信許可します 装置 A のインタフェース GE1.0 では 送信元 MAC アドレスが端末 A で 且つ宛先 MAC アドレスが端末 C の IPv4 パケットを受信許可します 装置 A を IP ホストとするためにインタフェース BVI を設定します 監視端末から装置 A への ping や telnet が可能となります ブリッジ学習テーブル保持時間を 300 秒 ( デフォルト 1200 秒 ) とします 接続構成 監視端末 端末 A 00:11:22:33:44:aa GE1.0 UNIVERGE WA1510 GE :11:22:33:44:ee 端末 B 00:11:22:33:44:bb 装置 A 端末 C 00:11:22:33:44:cc 端末 D 00:11:22:33:44:dd 設定概要以下の設定を行います ブリッジ設定 GigaEthernet0.0 インタフェース設定 GigaEthernet1.0 インタフェース設定 BVI0.0 インタフェース設定 MAC フィルタ設定 5-1

45 ブリッジ 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA1510 設定 ] hostname WA1510 bridge ieee enable bridge ieee aging-time 300 interface GigaEthernet0.0 no ip address bridge ieee 1 mac-filter-extended in ge0 interface GigaEthernet1.0 no ip address bridge ieee 1 mac-filter-extended in ge1 interface Loopback0.0 ip address /8 interface BVI0.0 ip address /24 bridge ieee 1 mac access-list-extended ge0 permit src 00:11:22:33:44:cc ff:ff:ff:ff:ff:ff dest 00:11:22:33:44:aa ff:ff:ff:ff:ff:ff ethertype ip permit src 00:11:22:33:44:ee ff:ff:ff:ff:ff:ff dest any ethertype ip mac access-list-extended ge1 permit src 00:11:22:33:44:aa ff:ff:ff:ff:ff:ff dest 00:11:22:33:44:cc ff:ff:ff:ff:ff:ff ethertype ip telnet-server ip permit 解説 [ 装置 A:WA1510 設定 ] bridge ieee enable bridge ieee aging-time 300 ブリッジ機能を有効化し ブリッジ学習テーブル保持時間を 300 秒に設定します interface GigaEthernet0.0 bridge ieee 1 mac-filter-extended in ge0 インタフェース GigaEthernet0.0 にブリッジを設定します MAC フィルタリスト ge0 を受信方向で適用します interface GigaEthernet

46 ブリッジ bridge ieee 1 mac-filter-extended in ge1 インタフェース GigaEthernet1.0 にブリッジを設定します MAC フィルタリスト ge1 を受信方向で適用します interface BVI0.0 ip address /24 bridge ieee 1 インタフェース BVI0.0 に IP アドレスを設定し IP ホスト機能を有効化します ブリッジを設定します mac access-list-extended ge0 permit src 00:11:22:33:44:cc ff:ff:ff:ff:ff:ff dest 00:11:22:33:44:aa ff:ff:ff:ff:ff:ff ethertype ip permit src 00:11:22:33:44:ee ff:ff:ff:ff:ff:ff dest any ethertype ip MAC アクセスリスト ge0 を作成します 送信元 :00:11:22:33:44:cc 宛先 :00:11:22:33:44:aa 且つ IPv4 送信元 :00:11:22:33:44:ee 宛先 : 任意 且つ IPv4 のパケットが許可されます mac access-list-extended ge1 permit src 00:11:22:33:44:aa ff:ff:ff:ff:ff:ff dest 00:11:22:33:44:cc ff:ff:ff:ff:ff:ff ethertype ip MAC アクセスリスト ge1 を作成します 送信元 :00:11:22:33:44:aa 宛先 :00:11:22:33:44:cc 且つ IPv4 のパケットが許可されます 5-3

47 ブリッジ 5.2. PPPoE ブリッジを使用する BVI インタフェースの PPPoE 機能とブリッジ機能を併用して LAN 内の PPPoE クライアントが存在するような環境にも対応する設定を説明します 本設定は 以下の環境を想定した設定例です 端末 A からの IPv4 パケットは 装置 A が PPPoE クライアントとして NAPT PPPoE カプセル化を行い WAN 側と送受信されます 端末 B からのパケットはルータが PPPoE クライアントとして PPPoE カプセル化を行います 装置 A は ルータから受信した PPPoE パケットをそのまま WAN 側に転送します また WAN 側から受信した PPPoE パケットをそのままルータに転送します 接続構成 /24 端末 A GE1.0 P1~2.254 UNIVERGE WA2610-AP PPPoE セッション 1 GE0.0 インターネットサービスプロバイダ GE1.0 P3~4 装置 A PPPoE セッション 2 端末 B ルータ PPPoE クライアント 設定概要以下の設定を行います ブリッジ設定 GigaEthernet0.0 インタフェース設定 GigaEthernet1.0 インタフェース設定 PPPoE0 インタフェース設定 BVI0.0 インタフェース設定 VLAN** インタフェース設定 ルーティング設定 5-4

48 ブリッジ 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP ppp profile pppoe authentication username test@example.net authentication password plain test bridge ieee enable ip dhcp-server enable ip dhcp-server profile vlan1 default-gateway auto dns-server auto subnet-mask auto interface GigaEthernet0.0 no ip address bridge ieee 1 interface GigaEthernet1.0 vlan-type port VLAN1 port 1 2 vlan-type port VLAN2 port 3 4 no ip address interface PPPoE0 ip address ipcp ppp profile pppoe ip tcp adjust-mss auto auto-connect ip napt enable interface Loopback0.0 ip address /8 interface VLAN1 ip address /24 ip dhcp-server binding vlan1 interface VLAN2 no ip address bridge ieee 1 interface BVI0.0 no ip address bridge ieee 1 encapsulation PPPoE0 5-5

49 ブリッジ ip route default PPPoE0 proxy-dns ip enable proxy-dns server default PPPoE0 ipcp 解説 [ 装置 A:WA2610-AP 設定 ] ppp profile pppoe authentication username test@example.net authentication password plain test PPP プロファイル pppoe を作成し 通信事業者が指定するユーザ ID とパスワードを設定します 本プロファイルは自装置の PPPoE 接続に用います bridge ieee enable ブリッジ機能を有効化します interface GigaEthernet0.0 no ip address bridge ieee 1 インタフェース GigaEthernet0.0 にブリッジを設定します interface GigaEthernet1.0 vlan-type port VLAN1 port 1 2 vlan-type port VLAN2 port 3 4 インタフェース GigaEthernet1.0 にポート VLAN を設定し 2 つの論理セグメント VLAN1 と VLAN2 に分離します ポート 1~2 をインタフェース VLAN1 ポート 3 ~4 をインタフェース VLAN2 に割り当てます interface PPPoE0 ip address ipcp 論理インタフェース PPPoE0 の IP アドレスを設定します ip address ipcp を設定することで IPCP を使用して IP アドレスを取得します ip tcp adjust-mss auto PPPoE のカプセル化にともない MTU が LAN の 1500 より小さくなるため tcp 通信の最大データ長を調整する mss を auto に設定します ppp profile pppoe 論理インタフェース PPPoE0 に回線の認証に使用する PPP プロファイル pppoe を適用します auto-connect 回線接続を常時接続に設定します ip napt enable 論理インタフェース PPPoE0 で NAPT 機能を有効化して 複数台の端末が同時にインターネット接続できるように設定します interface VLAN1 5-6

50 ブリッジ ip address /24 ip dhcp-server binding vlan1 インタフェース VLAN1(GE1 ポート 1~2) に IP アドレスを設定します interface VLAN2 no ip address bridge ieee 1 インタフェース VLAN2(GE1 ポート 3~4) にブリッジを設定します インタフェース GigaEthernet0.0 と同じブリッジグループとなります interface BVI0.0 no ip address bridge ieee 1 encapsulation PPPoE0 インタフェース BVI0.0 に PPPoE インタフェースをバインドします インタフェース VLAN1 のパケットはルーティングを行いつつ インタフェース VLAN2 のパケットはブリッジします 5-7

51 ブリッジ 5.3. レイヤ 2 高速切替機能でブリッジ経路切替を行うレイヤ 2 高速切替機能は L2 トンネルの冗長構成を組む際 メイン経路からバックアップ経路に切り替わった場合に メイン経路の通信で学習された MAC アドレスを送信元アドレスとするダミー MAC パケットを バックアップ経路に送信することでネットワーク上位の L2 スイッチの学習テーブルをバックアップ経路側に移動させる機能です 2 つの WAN 回線で L2TPv3 トンネル冗長を組み メイン経路障害時にバックアップ経路からダミー MAC パケットを送信する設定を説明します 本設定は 以下の環境を想定した設定例です 装置 A は 装置 B と装置 C にそれぞれ異なる 2 つの L2 トンネルを確立します 装置 A は ネットワークモニタ機能でメイン経路 ( 装置 B 経路 ) の状態をモニタします 装置 A は ネットワーク異常を検知した場合 L2TP0 のブリッジ設定を無効化し 代わりにバックアップ経路の L2TP1 のブリッジ機能を有効化し L2 トンネル経路を切り替えます 同時に 装置 B と装置 C が接続されている SW-HUB のブリッジ学習テーブルを更新するために ダミーパケットをバックアップ経路から送信します バックアップ経路からメイン経路に切戻る場合も 同様の制御を行います 接続構成 L2TP0 固定 IP: GE0.0 UNIVERGE WA2610-AP 端末 A GE1.0 UNIVERGE WA2612-AP 装置 A ダミー MAC パケット 固定 IP: PPPoE0 ワイヤレスデータ通信事業者インターネットサービスプロバイダ ME0.0 固定 IP: GE0.0 固定 IP: 装置 B UNIVERGE WA2610-AP 装置 C GE1.0 GE1.0 SW HUB 端末 B L2TP1 設定概要以下の設定を行います ブリッジ設定 GigaEthernet0.0 インタフェース設定 GigaEthernet1.0 インタフェース設定 PPPoE0 インタフェース設定 MobileEthernet0.0 インタフェース設定 L2TP0 インタフェース設定 L2TP1 インタフェース設定 ルーティング設定 ダミー MAC パケット送信プロファイル作成 ネットワークモニタ設定 5-8

52 ブリッジ 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA2612-AP 設定 ] hostname WA2612-AP bridge ieee enable ppp profile pppoe authentication username test@example.net authentication password plain test interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 no ip address bridge ieee 1 interface Loopback0.0 ip address /8 interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto mobile id IP example2.net mobile username test2 mobile password plain test2 auto-connect interface L2TP0 l2tp encapsulation l2tpv3 l2tp source PPPoE0 l2tp peer bridge ieee 1 bridge ip tcp adjust-mss 1312 interface L2TP1 l2tp encapsulation l2tpv3 l2tp source MobileEthernet0.0 l2tp peer bridge ip tcp adjust-mss

53 ブリッジ ip route /32 pppoe0 ip route /32 MobileEthernet0.0 dummy-mac profile dummymac source GigaEthernet1.0 destination occurrence L2TP1 destination restorer L2TP0 retry occurrence 3 interval 5 retry restorer 3 interval 5 network-monitor monitor1 monitor interval occurrence 2 monitor interval restorer 1 monitor counter occurrence 3 monitor counter restorer 5 monitor startup-delay 30 event ip unreach-host interface PPPoE0 source PPPoE0 action 10 bridge-add 1 L2TP1 action 20 bridge 1 dummy-mac dummymac action 30 bridge-del 1 L2TP0 action 40 BAK-LED-on monitor-group monitor1 enable [ 装置 B:WA2610-AP 設定 ] ( 装置 C も同様の設定です ) hostname WA2610-AP-B bridge ieee enable interface GigaEthernet0.0 ip address /32 interface GigaEthernet1.0 no ip address bridge ieee 1 interface Loopback0.0 ip address /8 interface L2TP0 l2tp encapsulation l2tpv3 l2tp source GigaEthernet0.0 l2tp peer bridge ieee 1 bridge ip tcp adjust-mss

54 ブリッジ ip route /32 GigaEthernet0.0 解説 [ 装置 A:WA2612-AP 設定 ] bridge ieee enable ブリッジ機能を有効化します interface GigaEthernet1.0 bridge ieee 1 インタフェース GigaEthernet1.0 にブリッジを設定します interface L2TP0 l2tp encapsulation l2tpv3 l2tp source PPPoE0 l2tp peer bridge ieee 1 インタフェース L2TP0 を装置 B の L2TP トンネルと接続します ブリッジは インタフェース GE1.0 と同じブリッジグループを設定します interface L2TP1 l2tp encapsulation l2tpv3 l2tp source MobileEthernet0.0 l2tp peer インタフェース L2TP1 を装置 C の L2TP トンネルと接続します このインタフェース L2TP1 はバックアップ経路であり ネットワーク正常時 パケット転送は不要なので ブリッジ設定は無効化しておきます また ブリッジを無効化することで 予期せぬネットワークループを回避することもできます dummy-mac profile dummymac レイヤ 2 高速切替機能のためのダミー MAC パケット送信プロファイル dummymac を作成します source GigaEthernet1.0 ダミー MAC パケットの送信元となる MAC アドレスを学習しているインタフェース名を設定します source インタフェースが一つも設定されていない場合は 送信先に指定したインタフェース以外のインタフェースが送信元となります 宛先 MAC アドレスは デフォルト FF:FF:FF:FF:FF:FF です destination occurrence L2TP1 イベント発生時 ダミー MAC パケットを送信するインタフェースを L2TP1 に設定します destination restorer L2TP0 イベント復旧時 ダミー MAC パケットを送信するインタフェースを L2TP0 に設定します retry occurrence 3 interval 5 イベント発生時のダミー MAC パケット送信回数を 3 回 送信間隔を 5 秒 に設定します 5-11

55 ブリッジ retry restorer 3 interval 5 イベント復旧のダミー MAC パケット送信回数を 3 回 送信間隔を 5 秒 に設定します network-monitor monitor1 action 10 bridge-add 1 L2TP1 action 20 bridge 1 dummy-mac dummymac action 30 bridge-del 1 L2TP0 イベント発生時 インタフェース L2TP1 のブリッジグループ 1 設定を有効化し ダミー MAC パケット送信プロファイル dummymac を実行します その後 インタフェース L2TP0 のブリッジグループ 1 設定を無効化します イベント復旧時は逆の手順で動作します メモこの順番の場合 action 10 を実施したときに L2TP0 と L2TP1 が同時にブリッジに参加していることになり ループが発生する可能性があります しかし L2TP0 はすでに通信ができていないため 実質的にはループが発生する可能性は少ないと考えられます monitor-group monitor1 enable ネットワークモニタ monitor1 を有効化します 5-12

56 NAT/NAPT 6. NAT/NAPT 設定 6.1. スタティック NAT を使用するスタティック NAT を使用して プライベート空間に存在する端末からの通信をグローバルアドレスに固定的に変換する設定を説明します 本設定は 以下の環境を想定した設定例です 本装置のグローバルアドレスには が設定されています 端末 1 からの通信は に 端末 2 からの通信は に変換されます 接続構成 / /24 UNIVERGE WA2610-AP 端末 GE 装置 A GE ルータ IPv4 ネットワーク 端末 2 プライベート空間 設定概要以下の設定を行います GigaEthernet0.0 インタフェース設定 スタティック NAT 設定 GigaEthernet1.0 インタフェース設定 ルーティング設定 6-1

57 NAT/NAPT 設定 ( コンフィグ作成バージョン :Ver8.0) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP interface GigaEthernet0.0 ip address /24 ip nat enable ip nat static priority 1 ip nat static priority 2 interface GigaEthernet1.0 ip address /24 ip route default 解説 interface GigaEthernet0.0 ip nat enable インタフェース GigaEthernet0.0 で NAT 機能を有効化します ip nat static priority 1 ip nat static priority 2 配下端末のアドレスに対応した 1 対 1 の NAT 変換設定を行います 本設定に従い 配下端末からのパケットが NAT 変換されます 6-2

58 NAT/NAPT 6.2. ダイナミック NAT を使用するダイナミック NAT を使用して プライベート空間に存在する端末からの通信をグローバルアドレスに動的に変換する設定を説明します 本設定は 以下の環境を想定した設定例です 本装置のグローバルアドレスには が設定されています プライベート空間 A から外部へアクセスするときは グローバルアドレス ~ を使用します プライベート空間 B から外部へアクセスするときは グローバルアドレス ~ を使用します 接続構成 プライベート空間 A /24 装置 A /28 UNIVERGE VLAN1 WA2610-AP GE ルータ IPv4 ネットワーク プライベート空間 B /28 VLAN 設定概要以下の設定を行います アクセスリスト設定 GigaEthernet0.0 インタフェース設定 ダイナミック NAT 設定 GigaEthernet1.0 インタフェース設定 VLAN インタフェース設定 ルーティング設定 NAT プール設定 6-3

59 NAT/NAPT 設定 ( コンフィグ作成バージョン :Ver8.0) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP ip access-list ACL1 permit ip src /28 dest any ip access-list ACL2 permit ip src /28 dest any interface GigaEthernet0.0 ip address /24 ip nat enable ip nat dynamic list ACL1 pool POOL1 ip nat dynamic list ACL2 pool POOL2 interface GigaEthernet1.0 vlan-type port VLAN1 port 1 vlan-type port VLAN2 port 2 no ip address interface VLAN1 ip address /28 interface VLAN2 ip address /28 ip route default ip nat pool POOL ip nat pool POOL 解説 ip access-list ACL1 permit ip src /28 dest any ip access-list ACL2 permit ip src /28 dest any NAT 変換対象となるパケットをアクセスリストで指定します interface GigaEthernet0.0 ip nat enable インタフェース GigaEthernet0.0 で NAT 機能を有効化します ip nat dynamic list ACL1 pool POOL1 ip nat dynamic list ACL2 pool POOL2 NAT 変換対象を指定したアクセスリストと 変換用にプールされているアドレスを指定します アクセスリストにマッチしたパケットが NAT 変換の対象となります 変換 6-4

60 NAT/NAPT 後のアドレスは NAT プールで設定したアドレス範囲から割り当てられます interface GigaEthernet1.0 vlan-type port VLAN1 port 1 vlan-type port VLAN2 port 2 インタフェース GigaEthernet1.0 にポート VLAN を設定します スイッチポート 1 を VLAN1 インタフェースに スイッチポート 2 を VLAN2 インタフェースに割り当てます ip nat pool POOL ip nat pool POOL NAT 変換用にプールするアドレス範囲を指定します 6-5

61 NAT/NAPT 6.3. スタティック NAPT 機能を使用して Web サーバを公開するプライベートネットワーク上の Web サーバをインターネットへ公開する設定を説明します 本設定は 以下の環境を想定した設定例です PPPoE 回線の IP アドレスは 固定 IP アドレスサービスを利用します プライベートネットワーク上の Web サーバを https の 443 ポートを使用して外部に公開します 接続構成 Web サーバ /24 GE1.0 UNIVERGE WA2610-AP 装置 A 固定 IP PPPoE0 GE0.0 インターネットサービスプロバイダ 通信事業者ネットワーク 設定概要以下の設定を行います PPP プロファイル設定 PPPoE0 インタフェース設定 NAPT 設定 スタティック NAPT 設定 GigaEthernet0.0 インタフェース設定 GigaEthernet1.0 インタフェース設定 プロキシ DNS 設定 ルーティング設定 6-6

62 NAT/NAPT 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP ppp profile pppoe authentication username test@example.net authentication password plain test interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 ip address /24 interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable ip napt static tcp 443 priority 1 interface Loopback0.0 ip address /8 ip route default PPPoE0 proxy-dns ip enable proxy-dns server default PPPoE0 ipcp 解説 interface PPPoE0 ip napt enable ip napt static tcp 443 priority 1 論理インタフェース PPPoE0 で NAPT 機能を有効化して 複数台の端末が同時にインターネット接続できるように設定します インターネットからプライベートネットワーク上の Web サーバにアクセス可能にするため スタティック NAPT の設定をします Web サーバの IP アドレス と 使用する tcp ポート番号 443 を指定します priority は 設定順に自動で 1 から昇順に付与されます ip route default PPPoE0 論理インタフェース PPPoE0 をデフォルトルートに設定します 6-7

63 NAT/NAPT 6.4. IPsec inner NAT 機能を使用する IPsec 通信を行うパケットに対して スタティック NAT を行う設定を説明します 本設定は 以下の環境を想定した設定例です 各店舗のネットワーク体系は同一 ( /24) とします 店舗 101 端末からの IP パケット ( xx) は 装置 A の IPsec インタフェースでネットワーク部のみスタティック NAT され 送信元アドレスを xx として IPsec トンネル経由でセンター局に送信されます 同様に 店舗 102 端末からの IP パケット ( xx) は 装置 B の IPsec インタフェースでネットワーク部のみスタティック NAT され 送信元アドレスを xx として IPsec トンネル経由でセンター局に送信されます よって 各店舗 LAN のネットワーク体系が同じでも 装置 C では 店舗 101 と店舗 102 の通信を区別することができます 接続構成 店舗 /24.1 GE 店舗 /24.1 GE1.0.2 S 装置 A UNIVERGE WA1510 装置 B UNIVERGE WA /32 GE0.0 LP0: /32 GE0.0 LP0: S IPsec IPsec インターネットサービスプロバイダ IPsec GE0.0 センター局 IP L UNIVERGE WA2610-AP /32 装置 C /24 GE x x xx 設定概要以下の設定を行います GigaEthernet0.0 インタフェース設定 GigaEthernet1.0 インタフェース設定 Lookback0.0 インタフェース設定 ( 自発パケット ) IPsec インタフェース設定 IPsec inner NAT 設定 ルーティング設定 6-8

64 NAT/NAPT 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA1510 設定 ] hostname WA1510A interface GigaEthernet0.0 ip address /24 interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /32 interface IPsec0 ip address unnumbered loopback0.0 ip tcp adjust-mss auto ipsec map ipsec0 ip nat enable ip nat static network / /24 ip nat static network / /32 ip route /32 GigaEthernet0.0 ip route /24 IPsec0 ike proposal ipsec0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ipsec0 mode main proposal ipsec0 pre-shared-key plain test1 ipsec proposal ipsec0 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsec0 proposal ipsec0 ipsec profile ipsec0 mode tunnel ipsec policy ipsec0 ike policy ipsec0 source GigaEthernet0.0 peer

65 NAT/NAPT [ 装置 B:WA1510 設定 ] hostname WA1510B interface GigaEthernet0.0 ip address /24 interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /32 interface IPsec0 ip address unnumbered loopback0.0 ip tcp adjust-mss auto ipsec map ipsec0 ip nat enable ip nat static network / /24 ip nat static network / /32 ip route /32 GigaEthernet0.0 ip route /24 IPsec0 ike proposal ipsec0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ipsec0 mode main proposal ipsec0 pre-shared-key plain test2 ipsec proposal ipsec0 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsec0 proposal ipsec0 ipsec profile ipsec0 mode tunnel ipsec policy ipsec0 ike policy ipsec0 source GigaEthernet0.0 peer

66 NAT/NAPT [ 装置 C:WA2610-AP 設定 ] hostname WA2610 interface GigaEthernet0.0 ip address /24 interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec0 interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec1 ip route /32 GigaEthernet0.0 ip route /32 GigaEthernet0.0 ip route /24 IPsec0 ip route /24 IPsec1 ip route /32 IPsec0 ip route /32 IPsec1 ike proposal ipsec0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike proposal ipsec1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ipsec0 mode main proposal ipsec0 pre-shared-key plain test1 ike policy ipsec1 mode main proposal ipsec1 pre-shared-key plain test2 6-11

67 NAT/NAPT ipsec proposal ipsec0 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec proposal ipsec1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsec0 proposal ipsec0 ipsec policy ipsec1 proposal ipsec1 ipsec profile ipsec0 mode tunnel ipsec policy ipsec0 ike policy ipsec0 source GigaEthernet0.0 peer ipsec profile ipsec1 mode tunnel ipsec policy ipsec1 ike policy ipsec1 source GigaEthernet0.0 peer 解説 [ 装置 A:WA1510 設定 ]( 装置 B も同様です ) interface GigaEthernet1.0 ip address /24 店舗 LAN の IP アドレスを設定します 本設定例では 全ての店舗で同一のネットワークアドレス体系となります interface IPsec0 ip address unnumbered loopback0.0 IP ホスト機能のソースインタフェースを loopback0.0 とします 自発パケットの発信元 IP アドレスが loopback0.0 インタフェースの IP アドレスとなります ip nat enable NAT 機能を有効化します ip nat static network / /24 ネットワーク設定の静的 NAT を設定します 内部ネットワークアドレス ネットマスク 24 外部ネットワークアドレス ネットマスク 24 で変換を行います ネットワーク部のみ変換され ホストアドレスは変換されません 本設定例では 店舗ごとに外部ネットワークアドレス体系が異なります ip nat static network / /32 ネットワーク設定の静的 NAT を設定します 内部ネットワークアドレ 6-12

68 NAT/NAPT ス ネットマスク 32 外部ネットワークアドレス ネットマスク 32 で変換を行います IPsec インタフェースを経由する ping や telnet など自発パケットのソースアドレスを外部ネットワークアドレスに変換します 本設定例では 店舗ごとに外部ネットワークアドレス体系が異なります 解説 [ 装置 C:WA2610-AP 設定 ] ip route /24 IPsec0 ip route /24 IPsec1 各店舗の外部ネットワークアドレスの経路を設定します p route /32 IPsec0 ip route /32 IPsec1 装置 A 装置 B の自発パケットの経路を設定します 6-13

69 NAT/NAPT 6.5. NAPT 除外設定を使用した IPsec 接続を行うアグレッシブモードで IPsec 接続を行う場合 WAN 側インタフェースに NAPT の設定をすると共に IPsec 接続用のプロトコルを NAPT 対象から除外する NAPT 除外設定をする必要があります NAPT 除外設定を使用してインターネット上に VPN を構築する設定を説明します 本設定は 以下の環境を想定した設定例です 外部からの不正アクセスを防ぐためにフィルタ設定をすると共に NTP 同期用と疎通確認用の通信を許可します (1)IPsec 接続で必要なプロトコル (ESP IKE) (2)NTP 動作時に外部 DNS サーバと接続するための IP アドレス ( プライマリ セカンダリ ) (3) 対向装置との通信確認用の ICMP NAPT 除外設定 (esp / udp / icmp) を行います icmp は疎通確認用です 接続構成 / /24 固定 IP 動的 IP /32 端末 A FE0.0 UNIVERGE WA1510 装置 A MobileEthernet 3G/LTE ((( データ通信端末 IPsec モバイル通信事業者 インターネットサービスプロバイダ GE0.0 UNIVERGE WA2610-AP 装置 B GE1.0 端末 B IKE モード : Aggressive IPsec 通信モード : Tunnel 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit 設定概要以下の設定を行います フィルタ設定 NAPT 除外設定 注意 設定例のフィルタを設定した場合はインターネットへのアクセスが出来ません WAN 側は NAPT が動作していますので IN 側のフィルタ設定は出来ません フィルタ設定より NAPT 変換の優先順位が高いためです 6-14

70 NAT/NAPT 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA1510 設定 ] hostname WA1510 ip access-list FLT-1 permit 50 src any dest /32 ip access-list FLT-1 permit udp src any sport eq 500 dest /32 dport eq 500 ip access-list FLT-1 permit udp src any sport any dest any dport eq 53 ip access-list FLT-1 permit icmp src any dest /32 no wireless-adapter enable interface GigaEthernet0.0 no ip address interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface MobileEthernet0.0 ip address dhcp ip filter FLT-1 10 out ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp mobile id IP example.net auto-connect interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ip route default MobileEthernet0.0 ip route /24 IPsec0 proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive local-id key-id test2 dpd-keepalive enable ph

71 NAT/NAPT proposal ikeprop1 pre-shared-key plain test ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /24 remote-id /24 proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source MobileEthernet0.0 peer led vpn ipsec [ 装置 B:WA2610-AP 設定 ] hostname WA2610-AP ip dhcp-server enable ip dhcp-server profile default default-gateway auto dns-server auto subnet-mask auto interface GigaEthernet0.0 ip address /24 ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp interface GigaEthernet1.0 ip address /24 ip dhcp-server binding default interface Loopback0.0 ip address /8 interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 6-16

72 NAT/NAPT ip route /24 IPsec0 ip route default proxy-dns ip enable proxy-dns server default ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive remote-id key-id test2 dpd-keepalive enable ph proposal ikeprop1 pre-shared-key plain test ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /24 remote-id /24 commit-bit enable proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any 6-17

73 NAT/NAPT 解説 [ 装置 A:WA1510 設定 ] ip access-list FLT-1 permit 50 src any dest /32 ESP( パケットの認証 ペイロード部の暗号化 ) を行うためのパケットを許可します ip access-list FLT-1 permit udp src any sport eq 500 dest /32 dport eq 500 IKE( 秘密鍵情報の交換 ) を安全に行うためのパケットを許可します ip access-list FLT-1 permit udp src any sport any dest any dport eq 53 NTP 動作時に外部の DNS サーバと通信するためのアドレスを許可します ip access-list FLT-1 permit icmp src any dest /32 対向装置との疎通確認のためのアドレスを許可します interface MobileEthernet0.0 ip filter FLT-1 10 out 外部からの不正アクセス対応のフィルタ指定をします ip napt enable インターネットアクセスを行うため NAPT 機能を有効化します ip napt reserve esp ip napt reserve udp 500 ESP IKE(UDP500) を NAPT 処理の対象から外します ip napt reserve icmp ICMP を NAPT 処理の対象から外します ip napt reserve icmp は疎通確認の時のみに設定してください フィルタが存在しない状態での設定はセキュリティが低くなる恐れがあります 疎通確認の必要がない場合はフィルタの設定をおこなうか 設定を削除することをお薦めします [ 装置 B:WA2610-AP 設定 ] ip napt reserve の設定は装置 B も同様です 6-18

74 DHCP 7. DHCP 設定 7.1. DHCP サーバ機能を使用する DHCP サーバ機能を使用した基本的な設定を説明します 接続構成 DHCP クライアント 端末 A /24 GE1.0 UNIVERGE WA1510 装置 A ME0.0 3G/LTE ((( データ通信端末 インターネットサービスプロバイダ モバイル通信事業者 アドレス付与範囲 ~ (50 アドレス ) 設定概要以下の設定を行います DHCP プロファイル設定 GigaEthernet1.0 インタフェース設定 MobileEthernet0.0 インタフェース設定 ルーティング設定 7-1

75 DHCP 設定 ( コンフィグ作成バージョン :Ver7.5.4) [ 装置 A:WA1510 設定 ] hostname WA1510 no wireless-adapter enable ip dhcp-server enable ip dhcp-server profile local assignable-range default-gateway auto dns-server auto subnet-mask auto lease-time interface GigaEthernet1.0 ip address /24 ip dhcp-server binding local interface Loopback0.0 ip address /8 interface Serial0 ip address ipcp mobile number *99***CID# auto-connect shutdown interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example.net mobile username test mobile password plain test auto-connect ip route default MobileEthernet0.0 proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp 解説 ip dhcp-server enable DHCP サーバ機能を有効化します ip dhcp-server profile local 7-2

76 DHCP assignable-range DHCP プロファイル local を作成します DHCP クライアントに割当てるアドレス範囲を ~ (50 アドレス ) までとします default-gateway auto atuo 設定の場合 DHCP プロファイルを設定したインタフェースの IP アドレスをデフォルトゲートウェイとして DHCP クライアントに通知します dns-server auto atuo 設定の場合 DHCP プロファイルを設定したインタフェースの IP アドレスを DNS サーバの IP アドレスとして DHCP クライアントに通知します DHCP クライアントからの DNS 問い合わせに応答するために プロキシ DNS の設定が必要です subnet-mask auto atuo 設定の場合 DHCP プロファイルを設定したインタフェースのサブネットマスクを DHCP クライアントに通知します lease-time DHCP リースタイムを 28,800 秒に設定します interface GigaEthernet1.0 ip address /24 ip dhcp-server binding local インタフェース GigaEthernet1.0 に IP アドレス /24 を設定し DHCP プロファイル local を割当てます 7-3

77 DHCP 7.2. 複数の DHCP サーバ機能を使用する DHCP サーバ機能を使用して LAN 側の PC 等に IP アドレスを割り当てる設定を説明します ポート VLAN で 2 つのセグメントを設定し それぞれのセグメントで異なる DHCP サーバを動作させます 接続構成 アドレス付与範囲 ~ (50 アドレス ) /24 DHCP クライアント /24 端末 A DHCP /24 クライアント GE1.0/P1 GE1.0/P2 UNIVERGE WA2610-AP 装置 A GE /24 ルータ 装置 B DNS サーバ 端末 B アドレス付与範囲 ~ (32 アドレス ) 設定概要以下の設定を行います GigaEthernet1.0 インタフェース設定 VLAN インタフェース設定 DHCP プロファイル設定 DHCP バインド設定 GigaEthernet0.0 インタフェース設定 ルーティング設定 再起動 (VLAN 有効化 ) 7-4

78 DHCP 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP ip dhcp-server enable ip dhcp-server profile vlan1dhcp assignable-range default-gateway auto dns-server subnet-mask auto lease-time ip dhcp-server profile vlan2dhcp default-gateway auto dns-server subnet-mask auto interface GigaEthernet0.0 ip address /24 interface GigaEthernet1.0 vlan-type port VLAN1 port 1 vlan-type port VLAN2 port 2 no ip address interface Loopback0.0 ip address /8 interface VLAN1 ip address /24 ip dhcp-server binding vlan1dhcp interface VLAN2 ip address /24 ip dhcp-server binding vlan2dhcp ip route / 解説 ip dhcp-server enable DHCP サーバ機能を有効化します ip dhcp-server profile vlan1dhcp assignable-range

79 DHCP DHCP プロファイル vlan1dhcp を作成します DHCP クライアントに割当てるアドレス範囲を ~ (50 アドレス ) までとします default-gateway auto atuo 設定の場合 DHCP プロファイルを設定したインタフェースの IP アドレスをデフォルトゲートウェイとして DHCP クライアントに通知します dns-server DNS サーバアドレス を DHCP クライアントに通知します subnet-mask auto atuo 設定の場合 DHCP プロファイルを設定したインタフェースのサブネットマスクを DHCP クライアントに通知します lease-time DHCP リースタイムを 28,800 秒に設定します ip dhcp-server profile vlan2dhcp DHCP プロファイル vlan2dhcp を作成します DHCP クライアントに割当てるアドレス範囲を指定しない場合は DHCP プロファイルを設定したインタフェースの IP アドレスに +1 したアドレスから始まるアドレスで 32 アドレスが自動的に割当てられます 本設定例では ~ までが割当てられます interface VLAN1 ip address /24 ip dhcp-server binding vlan1dhcp VLAN1 インタフェースに IP アドレス /24 を設定し DHCP プロファイル vlan1dhcp を割当てます interface VLAN2 ip address /24 ip dhcp-server binding vlan2dhcp VLAN2 インタフェースに IP アドレス /24 を設定し DHCP プロファイル vlan2dhcp を割当てます 7-6

80 DHCP 7.3. DHCP リレーエージェント機能を使用する DHCP リレー機能を使用して 同一ネットワーク上に存在しない DHCP サーバから IP アドレスを取得する設定を説明します 接続構成 /24 DHCP クライアント 端末 A GE1.0 UNIVERGE WA2610-AP 装置 A GE /24 ルータ 装置 B /24 DHCP サーバ 設定概要以下の設定を行います GigaEthernet1.0 インタフェース設定 GigaEthernet0.0 インタフェース設定 リレー先の DHCP サーバ設定 DHCP リレーエージェント機能の有効化 ルーティング設定 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP ip dhcp-relay enable interface GigaEthernet0.0 ip address /24 interface GigaEthernet1.0 ip address /24 ip dhcp-relay server interface Loopback0.0 ip address /8 ip route default

81 DHCP 解説 ip dhcp-relay enable DHCP リレーエージェント機能を有効化します interface GigaEthernet1.0 ip dhcp-relay server GE1 インタフェースにリレー先の DHCP サーバアドレスを設定します 7-8

82 DNS 8. Dynamic DNS 設定 WA シリーズでは ご利用可能な Dynamic DNS サービスを 2 種類ご提供しております NetMeister Dynamic DNS サービス UNIVERGE WA シリーズソフトウェア Ver から利用可能なサービスです FQDN を任意に決めることができ IPv4 IPv6 どちらでも利用可能です WA シリーズ専用 Dynamic DNS サービス UNIVERGE WA シリーズソフトウェア Ver から利用可能なサービスです FQDN は装置固定で IPv4 のみに対応しています 8-1

83 DNS 8.1. NetMeister のダイナミック DNS を利用して VPN 接続を行う NetMeister のダイナミック DNS を利用して 動的 IP アドレスが付与される拠点との VPN 接続を行う場合の設定を説明します 本設定は 以下の環境を想定した設定例です 装置 A の WAN インタフェースは動的 IP アドレスです 装置 A の WAN 側 IP アドレス解決のために NetMeister のダイナミック DDNS を利用します 装置 B の IPsec の peer に設定する装置 A の FQDN は wa1510.wa-series-sample.nmddns.jp です 接続構成 /24 端末 A FQDN : wa1510.wa-seriessample.nmddns.jp GE1.0 UNIVERGE WA1510 装置 A ( 動的 IP) PPPoE0 0 NetMeister ダイナミック DNS インターネットサービスプロバイダ IPsec /24( 固定 IP) UNIVERGE WA2610-AP GE (GW アドレス ) (ProxyDNS アドレス ) 装置 B /24 GE1.0 端末 B 事前準備 NetMeister ユーザ管理サイトへアクセスし ユーザ登録などを行ってください 以下を参考にしてください 本設定例では グループ ID( サブドメイン ) を wa-series-sample 装置更新パスワードを testtest 装置名を wa1510 としています 設定概要以下の設定を行います GigaEthernet1.0 インタフェース設定 GigaEthernet0.0 インタフェース設定 PPPoE0 インタフェース設定 ( 装置 A) スタティックルート設定 プロキシ DNS 設定 NetMeister Dynamic DNS 設定 ( 装置 A) メモ本設定例は IPv4 の場合ですが IPv6 も同様の設定となります 一部のコマンドで IPv6 を利用するためのパラメータ設定をする必要があります 8-2

84 DNS 設定 ( コンフィグ作成バージョン :Ver7.5.0) [ 装置 A:WA1510 設定 ] hostname WA1510 ppp profile pppoe authentication username test@example.net authentication password plain test interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable ip napt reserve icmp ip napt reserve esp ip napt reserve udp 500 interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ikev2 ipsec-mode tunnel ikev2 source-address PPPoE0 ikev2 peer ikev2 local-authentication psk plain host-a ikev2 remote-authentication psk plain host-b ikev2 local-id key-id wa1500 ikev2 remote-id key-id wa2600 ikev2 dpd interval 10 ip route default PPPoE0 ip route /24 IPsec0 proxy-dns ip enable proxy-dns server default PPPoE0 ipcp nm ip enable 8-3

85 DNS nm account wa-series-sample password plain testtest nm ddns notify interface PPPoE0 protocol ip nm ddns hostname wa1510 [ 装置 B:WA2610-AP 設定 ] hostname WA2610-AP interface GigaEthernet0.0 ip address /24 interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ikev2 ipsec-mode tunnel ikev2 source-address GigaEthernet0.0 ikev2 peer wa1510.wa-series-sample.nmddns.jp ikev2 local-authentication psk plain host-b ikev2 remote-authentication psk plain host-a ikev2 local-id key-id wa2600 ikev2 remote-id key-id wa1500 ikev2 dpd interval 10 ip route default ip route /24 IPsec0 proxy-dns ip enable proxy-dns server default

86 DNS 解説 [ 装置 A:WA1510 設定 ] nm ip enable NetMeister サーバへの接続を有効化します IPv6 アドレスを利用する場合はパラメータに ipv6 を指定します nm account wa-series-sample password plain testtest 予め NetMeister ユーザ管理サイトに登録したグループ ID および装置更新パスワードを設定します 本設定例では グループ ID を wa-series-sample 装置更新パスワードを testtest としています nm ddns notify interface PPPoE0 protocol ip NetMeister のダイナミック DNS に登録する IP アドレスが付与されたインタフェース および IP プロトコル (IPv4/IPv6) を設定します IP プロトコルが IPv4 の場合 IP IPv6 の場合 IPv6 となります nm ddns hostname wa1510 NetMeister のダイナミック DNS に登録するホスト名を設定します 本設定例では予めグループ ID( サブドメイン ) を wa-series-sample で登録してありますので 装置 A の FQDN は wa1510.wa-series-sample.nmddns.jp となります ip route default PPPoE0 proxy-dns ip enable proxy-dns server default PPPoE0 ipcp NetMeister DDNS を利用するには proxy-dns 機能が有効化されている必要があります [ 装置 B:WA2610-AP 設定 ] interface IPsec0 ikev2 peer wa1510.wa-series-sample.nmddns.jp IPsec SA を確立する装置 A の FQDN を設定します ip route default proxy-dns ip enable proxy-dns server default FQDN アドレス解決のために proxy-dns 機能を有効化します 本設定例では proxydns サーバの IP アドレス および装置 B のデフォルト GW は としています 8-5

87 DNS 8.2. WA シリーズ専用 DDNS サービスを利用しリモートメンテナンスを行う WA シリーズ専用 Dynamic DNS サービスを利用して WA2610-AP をリモートでメンテナンスする場合の設定を説明します 本設定は 以下の環境を想定した設定例です 装置 A をリモートからメンテナンスします 装置 A の WAN インタフェースは動的 IP アドレスです 装置 A の WAN 側 IP アドレス解決のために WA シリーズ専用 DDNS サービスを利用します セキュリティ強化のため telnet で使用するポート番号の変更 6023 番 と アクセスリストによるフィルタリングを行います 接続構成 FQDN : waxxxxx.waddns.com /24 UNIVERGE ( 動的 WA2610-AP PPPoE0 IP GE1.0 GE0.0 0 端末 A DynamicDNS サービス名称 :waddns インターネットサービスプロバイダ /32( 固定 IP ルータ /24 装置 A 装置 B telnet 使用ポート :6023 端末 B 設定概要以下の設定を行います GigaEthernet1.0 インタフェース設定 PPPoE0 インタフェース設定 アクセスリスト設定 スタティックルート設定 プロキシ DNS 設定 Dynamic DNS 設定 メモ WA シリーズ専用 Dynamic DNS サービスをご利用になる場合の FQDN は装置固有で 任意の FQDN を指定することは出来ません 8-6

88 DNS 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP ip access-list telport permit ip src /32 dest any ppp profile pppoe authentication username test@example.net authentication password plain test interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip filter telport 1 in ip napt enable ip napt reserve tcp 6023 ip route default PPPoE0 proxy-dns ip enable proxy-dns server default PPPoE0 ipcp telnet-server ip port 6023 telnet-server ip enable ddns enable ddns interval 1 ddns account waddns source-ip auto 8-7

89 DNS 解説 [ 装置 A:WA2610-AP 設定 ] ip access-list telport permit ip src /32 dest any リモートアクセスの接続機器を特定するアクセスリスト telport を設定します ここでは ソースアドレス の端末の通信のみを許可します interface PPPoE0 ip filter telport 1 in インタフェース PPPoE にアクセスリスト telport を適用します 入力パケット in に対してフィルタを適用します ip napt enable ip napt reserve tcp 6023 NAPT を有効にします リモートアクセスのための通信用のポート番号 tcp 6023 を NAPT 変換対象から除外します proxy-dns ip enable proxy-dns server default PPPoE0 ipcp プロキシ DNS を有効化します プロキシ DNS が問合せを行う DNS サーバとして IPCP にて取得した DNS サーバを設定します この設定は 本装置からの DNS 問合せをする際にも使用します telnet-server ip port 6023 telnet-server ip enable セキュリティ強化のため telnet サーバの接続ポートを通常の 23 番から 6023 番に変更します telnet サーバの起動を設定します ddns enable Dynamic DNS を有効化します 動的 IP アドレス環境下から FQDN を使用して WA シリーズや配下機器にアクセスすることが可能になります ddns interval 1 IP アドレス登録間隔を 1 分間隔に設定します ddns account waddns source-ip auto WA シリーズ専用 Dynamic DNS へアカウントを登録します DDNS サーバには WA 固有の FQDN と DDNS サーバへのアクセスに用いた IP アドレスが登録されます 8-8

90 IPsec 9. IPsec 設定 9.1. メインモードの IPsec 接続を行う IPsec メインモードを使用してインターネット上に VPN を構築する設定を説明します 本設定は 以下の環境を想定した設定例です 装置 A B とも WAN 側 IP アドレスは固定 IP アドレスです ( 固定 IP サービス契約 ) 暗号化アルゴリズムは AES-CBC 認証アルゴリズムは HMAC-SHA2 とします インターネットアクセスは行わず IPsec による VPN 接続 ( 拠点間通信 ) のみを行います 接続構成 / /24 IPsec UNIVERGE WA2610-AP 端末 A GE1.0 装置 A GE /32( 固定 IP インターネットサービスプロバイダ IKE モード : Main IPsec 通信モード : Tunnel 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit GE0.0 UNIVERGE IX /32( 固定 IP GE1.0 装置 B 端末 B 設定概要以下の設定を行います GigaEthernet0.0 インタフェース設定 GigaEthernet1.0 インタフェース設定 IPsec インタフェース設定 IKE プロポーザル設定 IKE ポリシー設定 IPsec プロポーザル設定 IPsec ポリシー設定 IPsec プロファイル設定 ルーティング設定 メモ Version 3.0.x 3.1.x ではトンネルモードのみサポートのため 本コマンドの有無に関わらず "tunnel" 以外の動作は出来ません 9-1

91 IPsec 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP interface GigaEthernet0.0 ip address /32 interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface IPsec0 ip address unnumbered ipsec map ipsecprof1 ip tcp adjust-mss auto ip route /32 GigaEthernet0.0 ip route /24 IPsec0 ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode main dpd-keepalive enable proposal ikeprop1 pre-shared-key plain test ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer

92 IPsec 以下に装置 B(IX2215) の設定例を記載しますが詳細については IX マニュアルをご確認ください [ 装置 B:IX2215 設定 ] hostname IX2215 ip route /32 GigaEthernet0.0 ip route /24 Tunnel0.0 ip access-list list1 permit ip src any dest any ike proposal ikeprop1 encryption aes-256 hash sha2-256 ike policy ikepol1 peer key test ikeprop1 ike keepalive ikepol ipsec autokey-proposal ipsecprop1 esp-aes-256 esp-sha2-256 ipsec autokey-map ipsecpol1 list1 peer ipsecprop1 interface GigaEthernet0.0 ip address /32 interface GigaEthernet1.0 ip address /24 interface Tunnel0.0 tunnel mode ipsec ip unnumbered GigaEthernet1.0 ipsec policy tunnel ipsecpol1 out 解説 [ 装置 A:WA2610-AP 設定 ] ike proposal ikeprop1 IKE プロポーザルを "ikeprop1" で設定します encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IKE SA の有効期間を "28800" に設定します ( 初期値 :28800) ike policy ikepol1 IKE ポリシーを "ikepol1" で設定します mode main 動作モードを "main" に設定します dpd-keepalive enable 9-3

93 IPsec IPsec トンネルの通信断をリアルタイムに検出するために DPD-KeepAlive 機能を有効化します DPD-KeepAlive の応答を受信できなくなると SA を削除します 回線契約が従量課金の場合 DPD-KeepAlive は課金対象となりますので送信間隔やリトライ回数にご注意ください proposal ikeprop1 IKE プロポーザル "ikeprop1" を適用します pre-shared-key plain test 事前共有鍵 (Pre-shared Key) を文字列 "test" に設定します ipsec proposal ipsecprop1 IKE プロポーザルを "ipsecprop1" で設定します protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256" 認証アルゴリズムを "sha2-256" に設定します lifetime IPsec SA の有効期間を "28800" に設定します ( 初期値 :28800) ipsec policy ipsecpol1 IPsec ポリシーを "ipsecpol1" で設定します proposal ipsecprop1 IPsec プロポーザル "ipsecprop1" を適用します ipsec profile ipsecprof1 IPsec プロファイルを "ipsecprof1" で設定します mode tunnel IPsec カプセル化モードを "tunnel" に設定します ipsec policy ipsecpol1 IPsec ポリシー "ipsecpol1" を適用します ike policy ikepol1 IKE ポリシー "ikepol1" を適用します source GigaEthernet0.0 IPsec SA を確立するソースインタフェースを "GigaEthernet0.0" に設定します peer IPsec SA を確立する対向装置のアドレスを " " に設定します メインモードでは "any" は使用できません interface IPsec0 IPsec 通信を行うための専用の論理インタフェース "IPsec0" を設定します ip address unnumbered 論理インタフェース IPsec0 の IP アドレスは通信に使用しませんので IP アドレス付与は必要ありませんが ルーティング設定を行いますので unnumbered を設定します ipsec map ipsecprof1 利用する IPsec プロファイル "ipsecprof1" を適用します IPsec インタフェースでは IPsec プロファイルで指定されている IPsec カプセル化モードがトンネルモード時のみ有効となります ip tcp adjust-mss auto 9-4

94 IPsec TCP MSS 調整機能を MSS 自動計算 "auto" に設定します ip route /32 GigaEthernet0.0 対向先 (Peer) 向けのルーティングを設定します 本設定では IPsec による VPN 接続 ( 拠点間通信 ) のみを行いますので デフォルトルートの設定は行いません ip route /24 IPsec0 IPsec 通信が必要なパケットを IPsec インタフェースに転送します 9-5

95 IPsec 9.2. アグレッシブモードの IPsec 接続を行う IPsec アグレッシブモードを使用してインターネット上に VPN を構築する設定を説明します 本設定は 以下の環境を想定した設定例です IPsec アグレッシブモード ( 装置 A はイニシエータ 装置 B はレスポンダ ) を使用します 暗号化アルゴリズムは AES-CBC 認証アルゴリズムは HMAC-SHA2 とします 装置 A ではデータ通信端末 (3G/LTE 動的 IP アドレス ) を使用します インターネットアクセスと IPsec による VPN 接続 ( 拠点間通信 ) の両方を行います 動的 IP が付与される拠点側は ローカル ID を指定します 固定 IP が付与される拠点側は リモート ID を指定します 対向先 (Peer) の IP アドレスが動的アドレスとなる場合は peer any を指定します 接続構成 / /24 固定 IP 動的 IP /32 端末 A GE1.0 UNIVERGE WA1510 装置 A ME0.0 3G/LTE ((( データ通信端末 IPsec モバイル通信事業者 インターネットサービスプロバイダ GE0.0 UNIVERGE WA2610-AP 装置 B GE1.0 端末 B IKE モード : Aggressive IPsec 通信モード : Tunnel 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit 設定概要以下の設定を行います LAN インタフェース設定 WAN インタフェース設定 IPsec インタフェース設定 IKE プロポーザル設定 IKE ポリシー設定 IPsec プロポーザル設定 IPsec ポリシー設定 IPsec プロファイル設定 ルーティング設定 NAPT 除外設定メモ Version 3.0.x 3.1.x ではトンネルモードのみサポートのため 本コマンドの有無に関わらず "tunnel" 以外の動作は出来ません 9-6

96 IPsec 設定 ( コンフィグ作成バージョン :Ver7.5.4) [ 装置 A:WA1510 設定 ] hostname WA1510 no wireless-adapter enable interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface MobileEthernet0.0 ip address dhcp ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp mobile id IP example.net mobile username test mobile password plain test auto-connect interface IPsec0 ip address unnumbered ipsec map ipsecprof1 ip tcp adjust-mss auto ip route default MobileEthernet0.0 ip route /24 IPsec0 proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive local-id key-id test2 dpd-keepalive enable ph proposal ikeprop1 pre-shared-key plain test ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime

97 IPsec ipsec policy ipsecpol1 local-id /24 remote-id /24 proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source MobileEthernet0.0 peer [ 装置 B:WA2610-AP 設定 ] hostname WA2610-AP interface GigaEthernet0.0 ip address /32 ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 ip route default GigaEthernet0.0 ip route /24 IPsec0 proxy-dns ip enable proxy-dns server default ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive remote-id key-id test2 9-8

98 IPsec dpd-keepalive enable ph proposal ikeprop1 pre-shared-key plain test ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /24 remote-id /24 commit-bit enable proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any 解説 [ 装置 A:WA1510 設定 ] ike proposal ikeprop1 IKE プロポーザルを "ikeprop1" で設定します encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IKE SA の有効期間を "28800" に設定します ( 初期値 :28800) ike policy ikepol1 IKE ポリシーを "ikepol1" で設定します mode aggressive 動作モードを "aggressive" に設定します local-id key-id test2 IKE フェーズ 1 で送信する自装置の ID ペイロードを設定します ローカル ID を "key-id test2" に設定します 動的 IP が付与される拠点側は ローカル ID を指定します dpd-keepalive enable ph IPsec トンネルの通信断をリアルタイムに検出するために DPD-KeepAlive 機能を有効化します DPD-KeepAlive の応答を受信できなくなると SA を削除します 回線契約が従量課金の場合 DPD-KeepAlive は課金対象となりますので送信間隔やリトライ回数にご注意ください proposal ikeprop1 IKE プロポーザル "ikeprop1" を適用します 9-9

99 IPsec pre-shared-key plain test 事前共有鍵 (Pre-shared Key) を文字列 "test" に設定します ipsec proposal ipsecprop1 IKE プロポーザルを "ipsecprop1" で設定します protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IPsec SA の有効期間を "28800" に設定します ( 初期値 :28800) ipsec policy ipsecpol1 IPsec ポリシーを "ipsecpol1" で設定します local-id /24 IKE フェーズ 2 で送信する自装置側の ID ペイロードを設定します ローカル ID を " /24" に設定します remote-id /24 IKE フェーズ 2 で受信する対向装置の ID ペイロードを設定します リモート ID を " /24" に設定します ローカル ID リモート ID は対向拠点と対になるように設定する必要があります proposal ipsecprop1 IPsec プロポーザル "ipsecprop1" を適用します ipsec profile ipsecprof1 IPsec プロファイルを "ipsecprof1" で設定します mode tunnel IPsec カプセル化モードを "tunnel" に設定します ipsec policy ipsecpol1 IPsec ポリシー "ipsecpol1" を適用します ike policy ikepol1 IKE ポリシー "ikepol1" を適用します source MobileEthernet0.0 IPsec SA を確立するソースインタフェースを "MobileEthernet0.0" に設定します peer IPsec SA を確立する対向装置のアドレスを " " に設定します interface IPsec0 IPsec 通信を行うための専用の論理インタフェース "IPsec0" を設定します ip address unnumbered 論理インタフェース IPsec0 の IP アドレスは通信に使用しませんので IP アドレス付与は必要ありませんが ルーティング設定を行いますので unnumbered を設定します ipsec map ipsecprof1 利用する IPsec プロファイル "ipsecprof1" を適用します IPsec インタフェースでは IPsec プロファイルで指定されている IPsec カプセル化モードがトンネルモード時のみ有効となります ip tcp adjust-mss auto 9-10

100 IPsec TCP MSS 調整機能を MSS 自動計算 "auto" に設定します ip route default MobileEthernet0.0 インターネットアクセスのためにデフォルトルートを設定します ip route /24 IPsec0 IPsec 通信が必要なパケットを IPsec インタフェースに転送します interface MobileEthernet0.0 ip napt enable インターネットアクセスを行うため NAPT 機能を有効化します ip napt reserve esp ip napt reserve udp 500 ESP IKE(UDP500) を NAPT 処理の対象から外します ip napt reserve icmp ICMP を NAPT 処理の対象から外します ip napt reserve icmp は疎通確認の時のみに設定してください フィルタが存在しない状態での設定はセキュリティが低くなる恐れがあります 疎通確認の必要がない場合はフィルタの設定をおこなうか 設定を削除することをお薦めします [ 装置 B:WA2610-AP 設定 ] ike proposal ikeprop1 IKE プロポーザルを "ikeprop1" で設定します encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IKE SA の有効期間を "28800" に設定します ( 初期値 :28800) ike policy ikepol1 IKE ポリシーを "ikepol1" で設定します mode aggressive 動作モードを "aggressive" に設定します remote-id key-id test2 IKE フェーズ 1 で受信する対向装置の ID ペイロードを設定します リモート ID を "key-id test2" に設定します 固定 IP が付与される拠点側は リモート ID を指定します dpd-keepalive enable ph IPsec トンネルの通信断をリアルタイムに検出するために DPD-KeepAlive 機能を有効化します DPD-KeepAlive の応答を受信できなくなると SA を削除します 回線契約が従量課金の場合 DPD-KeepAlive は課金対象となりますので送信間隔やリトライ回数にご注意ください proposal ikeprop1 9-11

101 IPsec IKE プロポーザル "ikeprop1" を適用します pre-shared-key plain test 事前共有鍵 (Pre-shared Key) を文字列 "test" に設定します ipsec proposal ipsecprop1 IKE プロポーザルを "ipsecprop1" で設定します protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IPsec SA の有効期間を "28800" に設定します ( 初期値 :28800) ipsec policy ipsecpol1 IPsec ポリシーを "ipsecpol1" で設定します local-id /24 IKE フェーズ 2 で送信する自装置側の ID ペイロードを設定します ローカル ID を " /24" に設定します remote-id /24 IKE フェーズ 2 で受信する対向装置の ID ペイロードを設定します リモート ID を " /24" に設定します ローカル ID リモート ID は対向拠点と対になるように設定する必要があります commit-bit enable IKE フェーズ 2 でのコミットビット機能を有効化します レスポンダのみに適用されます IKE フェーズ 1 でのコミットビット機能の設定としても使用されます proposal ipsecprop1 IPsec プロポーザル "ipsecprop1" を適用します ipsec profile ipsecprof1 IPsec プロファイルを "ipsecprof1" で設定します mode tunnel IPsec カプセル化モードを "tunnel" に設定します ipsec policy ipsecpol1 IPsec ポリシー "ipsecpol1" を適用します ike policy ikepol1 IKE ポリシー "ikepol1" を適用します source GigaEthernet0.0 IPsec SA を確立するソースインタフェースを "GigaEthernet0.0" に設定します peer any IPsec SA を確立する対向装置のアドレスを "any" に設定します 対向先 (Peer) の IP アドレスが動的アドレスとなる場合は peer any を指定します interface IPsec0 IPsec 通信を行うための専用の論理インタフェース "IPsec0" を設定します ip address unnumbered 論理インタフェース IPsec0 の IP アドレスは通信に使用しませんので IP アドレス付与は必要ありませんが ルーティング設定を行いますので unnumbered を設定します 9-12

102 IPsec ipsec map ipsecprof1 利用する IPsec プロファイル "ipsecprof1" を適用します IPsec インタフェースでは IPsec プロファイルで指定されている IPsec カプセル化モードがトンネルモード時のみ有効となります ip tcp adjust-mss auto TCP MSS 調整機能を MSS 自動計算 "auto" に設定します ip route default GigaEthernet0.0 インターネットアクセスのためにデフォルトルートを設定します ip route /24 IPsec0 IPsec 通信が必要なパケットを IPsec インタフェースに転送します interface GigaEthernet0.0 ip napt enable インターネットアクセスを行うため NAPT 機能を有効化します ip napt reserve esp ip napt reserve udp 500 ESP IKE(UDP500) を NAPT 処理の対象から外します ip napt reserve icmp ICMP を NAPT 処理の対象から外します ip napt reserve icmp は疎通確認の時のみに設定してください フィルタが存在しない状態での設定はセキュリティが低くなる恐れがあります 疎通確認の必要がない場合はフィルタの設定をおこなうか 設定を削除することをお薦めします 9-13

103 IPsec 9.3. IPsec トンネル経由でインターネットに接続する IPsec トンネルを経由して 対向ルータ側のゲートウェイからインターネットに接続する場合の設定を説明します 本設定は 以下の環境を想定した設定例です IPsec アグレッシブモード ( 装置 A はイニシエータ 装置 B はレスポンダ ) を使用します 端末 A は IPsec トンネルから装置 A を経由し LAN 上のゲートウェイルータ (GW) を介してインターネットにアクセスします 装置 A は WAN インタフェースにデータ通信端末 (3G/LTE 動的 IP アドレス ) を使用します 装置 B のデフォルトゲートウェイ設定は ゲートウェイルータ (GW: ) です 装置 B の IPsec 通信インタフェース (GE0.0) は 固定 IP アドレス : を使用し そのネクストホップアドレスは です 装置 B では 対向先装置 A の IP アドレスが動的 IP アドレスですので IPsec peer は peer any を指定します 接続構成 IPsec / / 固定 IP モバイル UNIVERGE UNIVERGE 動的 IP GE /32 Serial0 通信事業者 GW WA1510 WA2610-AP GE GE1.0 端末 A 3G/LTE ((( インターネットデータ通信端末サービスプロバイダ装置 A 装置 B 端末 B インターネット IKE モード : Aggressive IPsec 通信モード : Tunnel 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit 設定概要以下の設定を行います LAN インタフェース設定 WAN インタフェース設定 IPsec インタフェース設定 IKE プロポーザル設定 IKE ポリシー設定 IPsec プロポーザル設定 IPsec ポリシー設定 (outgoing-interface 設定 ) IPsec プロファイル設定 9-14

104 IPsec ルーティング設定 NAPT 除外設定 メモ 本事例で使用する outgoing-interface コマンドは Version7.4.1 からのサポートです 設定 ( コンフィグ作成バージョン :Ver7.4.1) [ 装置 A:WA1510 設定 ] hostname WA1510 no wireless-adapter enable ppp profile mobile authentication username test authentication password plain test interface GigaEthernet0.0 ip address /24 interface Loopback0.0 ip address /8 interface Serial0 ip address ipcp ppp profile mobile ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp mobile id PPP 1 example.net mobile number *99***CID# auto-connect interface IPsec0 ip address unnumbered ipsec map ipsecprof1 ip tcp adjust-mss auto ip route default IPsec0 ip route /32 Serial0 proxy-dns ip enable proxy-dns server default ike proposal ikeprop1 encryption-algorithm aes256-cbc 9-15

105 IPsec authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive local-id key-id test2 dpd-keepalive enable 20 3 proposal ikeprop1 pre-shared-key plain test ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /24 remote-id /24 proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source Serial0 peer [ 装置 B:WA2610-AP 設定 ] hostname WA2610-AP interface GigaEthernet0.0 ip address /32 ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface IPsec0 ip address unnumbered ipsec map ipsecprof1 ip tcp adjust-mss auto ip route default

106 IPsec ip route /24 IPsec0 proxy-dns ip enable proxy-dns server default ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive remote-id key-id test2 outgoing-interface GigaEthernet dpd-keepalive enable 20 3 proposal ikeprop1 pre-shared-key plain test ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /24 remote-id /24 commit-bit enable proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any 解説 [ 装置 A:WA1510 設定 ] ike proposal ikeprop1 IKE プロポーザルを "ikeprop1" で設定します encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IKE SA の有効期間を "28800" に設定します ( 初期値 :28800) ike policy ikepol1 IKE ポリシーを "ikepol1" で設定します mode aggressive 動作モードを "aggressive" に設定します 9-17

107 IPsec local-id key-id test2 IKE フェーズ 1 で送信する自装置の ID ペイロードを設定します ローカル ID を "key-id test2" に設定します 動的 IP が付与される拠点側は ローカル ID を指定します dpd-keepalive enable 20 3 IPsec トンネルの通信断をリアルタイムに検出するために DPD-KeepAlive 機能を有効化します DPD-KeepAlive の応答を受信できなくなると SA を削除します 回線契約が従量課金の場合 DPD-KeepAlive は課金対象となりますので送信間隔やリトライ回数にご注意ください proposal ikeprop1 IKE プロポーザル "ikeprop1" を適用します pre-shared-key plain test 事前共有鍵 (Pre-shared Key) を文字列 "test" に設定します ipsec proposal ipsecprop1 IKE プロポーザルを "ipsecprop1" で設定します protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IPsec SA の有効期間を "28800" に設定します ( 初期値 :28800) ipsec policy ipsecpol1 IPsec ポリシーを "ipsecpol1" で設定します local-id /24 IKE フェーズ 2 で送信する自装置側の ID ペイロードを設定します ローカル ID を " /24" に設定します remote-id /24 IKE フェーズ 2 で受信する対向装置の ID ペイロードを設定します リモート ID を " /24" に設定します ローカル ID リモート ID は対向拠点と対になるように設定する必要があります proposal ipsecprop1 IPsec プロポーザル "ipsecprop1" を適用します ipsec profile ipsecprof1 IPsec プロファイルを "ipsecprof1" で設定します mode tunnel IPsec カプセル化モードを "tunnel" に設定します ipsec policy ipsecpol1 IPsec ポリシー "ipsecpol1" を適用します ike policy ikepol1 IKE ポリシー "ikepol1" を適用します source Serial0 IPsec SA を確立するソースインタフェースを "Serial0" に設定します peer IPsec SA を確立する対向装置のアドレスを " " に設定します 9-18

108 IPsec interface IPsec0 IPsec 通信を行うための専用の論理インタフェース "IPsec0" を設定します ip address unnumbered 論理インタフェース IPsec0 の IP アドレスは通信に使用しませんので IP アドレス付与は必要ありませんが ルーティング設定を行いますので unnumbered を設定します ipsec map ipsecprof1 利用する IPsec プロファイル "ipsecprof1" を適用します IPsec インタフェースでは IPsec プロファイルで指定されている IPsec カプセル化モードがトンネルモード時のみ有効となります ip tcp adjust-mss auto TCP MSS 調整機能を MSS 自動計算 "auto" に設定します ip route default IPsec0 IPsec 通信が必要なパケットを IPsec インタフェースに転送します ip route /32 Serial0 IPsec peer 宛のパケットのみ Serial0 インタフェースに転送します interface Serial0 ip napt enable インターネットアクセスを行うため NAPT 機能を有効化します ip napt reserve esp ip napt reserve udp 500 ESP IKE(UDP500) を NAPT 処理の対象から外します ip napt reserve icmp ICMP を NAPT 処理の対象から外します ip napt reserve icmp は疎通確認の時のみに設定してください フィルタが存在しない状態での設定はセキュリティが低くなる恐れがあります 疎通確認の必要がない場合はフィルタの設定をおこなうか 設定を削除することをお薦めします [ 装置 B:WA2610-AP 設定 ] ike proposal ikeprop1 IKE プロポーザルを "ikeprop1" で設定します encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IKE SA の有効期間を "28800" に設定します ( 初期値 :28800) ike policy ikepol1 IKE ポリシーを "ikepol1" で設定します mode aggressive 動作モードを "aggressive" に設定します 9-19

109 IPsec remote-id key-id test2 IKE フェーズ 1 で受信する対向装置の ID ペイロードを設定します リモート ID を "key-id test2" に設定します 固定 IP が付与される拠点側は リモート ID を指定します outgoing-interface GigaEthernet 動的 IP アドレスの IPsec 対向先と アグレッシブモード (ipsec peer any) で IPsec トンネルを張るために本設定を施します ( デフォルトゲートウェイが IPsec 送信インタフェース先に設定されている場合は 本設定は不要です )IPsec パケットの送信インタフェース (GigaEthernet0.0) と nexthop( ) を設定します dpd-keepalive enable 20 3 IPsec トンネルの通信断をリアルタイムに検出するために DPD-KeepAlive 機能を有効化します DPD-KeepAlive の応答を受信できなくなると SA を削除します 回線契約が従量課金の場合 DPD-KeepAlive は課金対象となりますので送信間隔やリトライ回数にご注意ください proposal ikeprop1 IKE プロポーザル "ikeprop1" を適用します pre-shared-key plain test 事前共有鍵 (Pre-shared Key) を文字列 "test" に設定します ipsec proposal ipsecprop1 IKE プロポーザルを "ipsecprop1" で設定します protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IPsec SA の有効期間を "28800" に設定します ( 初期値 :28800) ipsec policy ipsecpol1 IPsec ポリシーを "ipsecpol1" で設定します local-id /24 IKE フェーズ 2 で送信する自装置側の ID ペイロードを設定します ローカル ID を " /24" に設定します remote-id /24 IKE フェーズ 2 で受信する対向装置の ID ペイロードを設定します リモート ID を " /24" に設定します ローカル ID リモート ID は対向拠点と対になるように設定する必要があります commit-bit enable IKE フェーズ 2 でのコミットビット機能を有効化します レスポンダのみに適用されます IKE フェーズ 1 でのコミットビット機能の設定としても使用されます proposal ipsecprop1 IPsec プロポーザル "ipsecprop1" を適用します ipsec profile ipsecprof1 IPsec プロファイルを "ipsecprof1" で設定します mode tunnel 9-20

110 IPsec IPsec カプセル化モードを "tunnel" に設定します ipsec policy ipsecpol1 IPsec ポリシー "ipsecpol1" を適用します ike policy ikepol1 IKE ポリシー "ikepol1" を適用します source GigaEthernet0.0 IPsec SA を確立するソースインタフェースを "GigaEthernet0.0" に設定します peer any IPsec SA を確立する対向装置のアドレスを "any" に設定します 対向先 (Peer) の IP アドレスが動的アドレスとなる場合は peer any を指定します interface IPsec0 IPsec 通信を行うための専用の論理インタフェース "IPsec0" を設定します ip address unnumbered 論理インタフェース IPsec0 の IP アドレスは通信に使用しませんので IP アドレス付与は必要ありませんが ルーティング設定を行いますので unnumbered を設定します ipsec map ipsecprof1 利用する IPsec プロファイル "ipsecprof1" を適用します IPsec インタフェースでは IPsec プロファイルで指定されている IPsec カプセル化モードがトンネルモード時のみ有効となります ip tcp adjust-mss auto TCP MSS 調整機能を MSS 自動計算 "auto" に設定します ip route default インターネットアクセスのためにデフォルトルートを設定します ip route /24 IPsec0 IPsec 通信が必要なパケットを IPsec インタフェースに転送します interface GigaEthernet0.0 ip napt enable インターネットアクセスを行うため NAPT 機能を有効化します ip napt reserve esp ip napt reserve udp 500 ESP IKE(UDP500) を NAPT 処理の対象から外します ip napt reserve icmp ICMP を NAPT 処理の対象から外します ip napt reserve icmp は疎通確認の時のみに設定してください フィルタが存在しない状態での設定はセキュリティが低くなる恐れがあります 疎通確認の必要がない場合はフィルタの設定をおこなうか 設定を削除することをお薦めします 9-21

111 IPsec 9.4. キャリアグレード NAT された通信網で IPsec 接続を行うキャリアグレード NAT( ラージスケール NAT) が設定されている通信事業者網で IPsec アグレッシブモードを使用して VPN を構築する設定を説明します 本設定は 以下の環境を想定した設定例です NAT トラバーサル機能を使用して キャリアグレード NAT 間で IPsec を確立します IPsec アグレッシブモード ( 装置 A はイニシエータ 装置 B はレスポンダ ) を使用します 暗号化アルゴリズムは AES-CBC 認証アルゴリズムは SHA2 MAC とします インターネットアクセスと IPsec による VPN 接続 ( 拠点間通信 ) の両方を行います 動的 IP が付与される拠点側は ローカル ID を指定します 固定 IP が付与される拠点側は リモート ID を指定します 対向先 (Peer) の IP アドレスが動的アドレスとなる場合は peer any を指定します 接続構成 /24 UNIVERGE /24 固定 IP WA /32 端末 A GE1.0 動的 IP ((( ME0 内蔵モジュール 装置 A モバイル通信事業者 IKE モード : Aggressive IPsec 通信モード : Tunnel 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit IPsec アドレス変換 インターネットサービスプロバイダ GE0.0 UNIVERGE WA2610-AP 装置 B GE1.0 端末 B 設定概要以下の設定を行います GigaEthernet0.0 インタフェース設定 MobileEthernet0.0 GigaEthernet1.0 インタフェース設定 IPsec インタフェース設定 IKE プロポーザル設定 IKE ポリシー設定 IPsec プロポーザル設定 IPsec ポリシー設定 IPsec プロファイル設定 ルーティング設定 NAPT 除外設定メモ Version 3.0.x 3.1.x ではトンネルモードのみサポートのため 本コマンドの有無に関わらず "tunnel" 以外の動作は出来ません 9-22

112 IPsec 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA1511 設定 ] hostname WA1511 no wireless-adapter enable interface GigaEthernet0.0 no ip address shutdown interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface MobileEthernet0.0 ip address dhcp ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve udp 4500 ip napt reserve icmp mobile id IP example.net mobile username test mobile password plain test auto-connect interface IPsec0 ip address unnumbered ipsec map ipsecprof1 ip tcp adjust-mss auto ip route default MobileEthernet0.0 ip route /24 IPsec0 proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive local-id key-id test2 dpd-keepalive enable 20 3 proposal ikeprop1 9-23

113 IPsec pre-shared-key plain test nat-traversal enable keepalive 30 ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /24 remote-id /24 proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source Serial0 peer [ 装置 B:WA2610-AP 設定 ] hostname WA2610-AP interface GigaEthernet0.0 ip address /32 ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve udp 4500 ip napt reserve icmp interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface IPsec0 ip address unnumbered ipsec map ipsecprof1 ip tcp adjust-mss auto ip route default GigaEthernet0.0 ip route /24 IPsec0 proxy-dns ip enable proxy-dns server default ike proposal ikeprop1 9-24

114 IPsec encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive remote-id key-id test2 dpd-keepalive enable 20 3 proposal ikeprop1 pre-shared-key plain test nat-traversal enable keepalive 30 ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /24 remote-id /24 commit-bit enable proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any 解説 [ 装置 A:WA1511 設定 ] ike proposal ikeprop1 IKE プロポーザルを "ikeprop1" で設定します encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IKE SA の有効期間を "28800" に設定します ( 初期値 :28800) ike policy ikepol1 IKE ポリシーを "ikepol1" で設定します mode aggressive 動作モードを "aggressive" に設定します local-id key-id test2 IKE フェーズ 1 で送信する自装置の ID ペイロードを設定します ローカル ID を "key-id test2" に設定します 動的 IP が付与される拠点側は ローカル ID を指定します dpd-keepalive enable

115 IPsec IPsec トンネルの通信断をリアルタイムに検出するために DPD-KeepAlive 機能を有効化します DPD-KeepAlive の応答を受信できなくなると SA を削除します 回線契約が従量課金の場合 DPD-KeepAlive は課金対象となりますので送信間隔やリトライ回数にご注意ください proposal ikeprop1 IKE プロポーザル "ikeprop1" を適用します pre-shared-key plain test 事前共有鍵 (Pre-shared Key) を文字列 "test" に設定します nat-traversal enable keepalive 30 NAT トラバーサル機能を有効化します NAT セッションを保持するためキープアライブパケットの送信間隔を 30 秒 に設定します ipsec proposal ipsecprop1 IKE プロポーザルを "ipsecprop1" で設定します protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IPsec SA の有効期間を "28800" に設定します ( 初期値 :28800) ipsec policy ipsecpol1 IPsec ポリシーを "ipsecpol1" で設定します local-id /24 IKE フェーズ 2 で送信する自装置側の ID ペイロードを設定します ローカル ID を " /24" に設定します remote-id /24 IKE フェーズ 2 で受信する対向装置の ID ペイロードを設定します リモート ID を " /24" に設定します ローカル ID リモート ID は対向拠点と対になるように設定する必要があります proposal ipsecprop1 IPsec プロポーザル "ipsecprop1" を適用します ipsec profile ipsecprof1 IPsec プロファイルを "ipsecprof1" で設定します mode tunnel IPsec カプセル化モードを "tunnel" に設定します ipsec policy ipsecpol1 IPsec ポリシー "ipsecpol1" を適用します ike policy ikepol1 IKE ポリシー "ikepol1" を適用します source Serial0 IPsec SA を確立するソースインタフェースを "Serial0" に設定します peer IPsec SA を確立する対向装置のアドレスを " " に設定します interface IPsec0 9-26

116 IPsec IPsec 通信を行うための専用の論理インタフェース "IPsec0" を設定します ip address unnumbered 論理インタフェース IPsec0 の IP アドレスは通信に使用しませんので IP アドレス付与は必要ありませんが ルーティング設定を行いますので unnumbered を設定します ipsec map ipsecprof1 利用する IPsec プロファイル "ipsecprof1" を適用します IPsec インタフェースでは IPsec プロファイルで指定されている IPsec カプセル化モードがトンネルモード時のみ有効となります ip tcp adjust-mss auto TCP MSS 調整機能を MSS 自動計算 "auto" に設定します ip route default MobileEthernet0.0 インターネットアクセスのためにデフォルトルートを設定します ip route /24 IPsec0 IPsec 通信が必要なパケットを IPsec インタフェースに転送します interface MobileEthernet0.0 ip napt enable インターネットアクセスを行うため NAPT 機能を有効化します ip napt reserve esp ip napt reserve udp 500 ESP IKE(UDP500) を NAPT 処理の対象から外します ip napt reserve udp 4500 NAT トラバーサルで用いられる ISAKMP メッセージの送信元および宛先ポート番号 4500 を NAPT 処理の対象から外します ip napt reserve icmp ICMP を NAPT 処理の対象から外します ip napt reserve icmp は疎通確認の時のみに設定してください フィルタが存在しない状態での設定はセキュリティが低くなる恐れがあります 疎通確認の必要がない場合はフィルタの設定をおこなうか 設定を削除することをお薦めします [ 装置 B:WA2610-AP 設定 ] ike proposal ikeprop1 IKE プロポーザルを "ikeprop1" で設定します encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IKE SA の有効期間を "28800" に設定します ( 初期値 :28800) ike policy ikepol1 IKE ポリシーを "ikepol1" で設定します mode aggressive 9-27

117 IPsec 動作モードを "aggressive" に設定します remote-id key-id test2 IKE フェーズ 1 で受信する対向装置の ID ペイロードを設定します リモート ID を "key-id test2" に設定します 固定 IP が付与される拠点側は リモート ID を指定します dpd-keepalive enable 20 3 IPsec トンネルの通信断をリアルタイムに検出するために DPD-KeepAlive 機能を有効化します DPD-KeepAlive の応答を受信できなくなると SA を削除します 回線契約が従量課金の場合 DPD-KeepAlive は課金対象となりますので送信間隔やリトライ回数にご注意ください proposal ikeprop1 IKE プロポーザル "ikeprop1" を適用します pre-shared-key plain test 事前共有鍵 (Pre-shared Key) を文字列 "test" に設定します nat-traversal enable keepalive 30 NAT トラバーサル機能を有効化します NAT セッションを保持するためキープアライブパケットの送信間隔を 30 秒 に設定します ipsec proposal ipsecprop1 IKE プロポーザルを "ipsecprop1" で設定します protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IPsec SA の有効期間を "28800" に設定します ( 初期値 :28800) ipsec policy ipsecpol1 IPsec ポリシーを "ipsecpol1" で設定します local-id /24 IKE フェーズ 2 で送信する自装置側の ID ペイロードを設定します ローカル ID を " /24" に設定します remote-id /24 IKE フェーズ 2 で受信する対向装置の ID ペイロードを設定します リモート ID を " /24" に設定します ローカル ID リモート ID は対向拠点と対になるように設定する必要があります commit-bit enable IKE フェーズ 2 でのコミットビット機能を有効化します レスポンダのみに適用されます IKE フェーズ 1 でのコミットビット機能の設定としても使用されます proposal ipsecprop1 IPsec プロポーザル "ipsecprop1" を適用します ipsec profile ipsecprof1 IPsec プロファイルを "ipsecprof1" で設定します mode tunnel IPsec カプセル化モードを "tunnel" に設定します 9-28

118 IPsec ipsec policy ipsecpol1 IPsec ポリシー "ipsecpol1" を適用します ike policy ikepol1 IKE ポリシー "ikepol1" を適用します source GigaEthernet0.0 IPsec SA を確立するソースインタフェースを "GigaEthernet0.0" に設定します peer any IPsec SA を確立する対向装置のアドレスを "any" に設定します 対向先 (Peer) の IP アドレスが動的アドレスとなる場合は peer any を指定します interface IPsec0 IPsec 通信を行うための専用の論理インタフェース "IPsec0" を設定します ip address unnumbered 論理インタフェース IPsec0 の IP アドレスは通信に使用しませんので IP アドレス付与は必要ありませんが ルーティング設定を行いますので unnumbered を設定します ipsec map ipsecprof1 利用する IPsec プロファイル "ipsecprof1" を適用します IPsec インタフェースでは IPsec プロファイルで指定されている IPsec カプセル化モードがトンネルモード時のみ有効となります ip tcp adjust-mss auto TCP MSS 調整機能を MSS 自動計算 "auto" に設定します ip route default GigaEthernet0.0 インターネットアクセスのためにデフォルトルートを設定します ip route /24 IPsec0 IPsec 通信が必要なパケットを IPsec インタフェースに転送します interface GigaEthernet0.0 ip napt enable インターネットアクセスを行うため NAPT 機能を有効化します ip napt reserve esp ip napt reserve udp 500 ESP IKE(UDP500) を NAPT 処理の対象から外します ip napt reserve udp 4500 NAT トラバーサルで用いられる ISAKMP メッセージの送信元および宛先ポート番号 4500 を NAPT 処理の対象から外します ip napt reserve icmp ICMP を NAPT 処理の対象から外します ip napt reserve icmp は疎通確認の時のみに設定してください フィルタが存在しない状態での設定はセキュリティが低くなる恐れがあります 疎通確認の必要がない場合はフィルタの設定をおこなうか 設定を削除することをお薦めします 9-29

119 IPsec 9.5. peerfqdn を使用して動的 IP アドレス環境で IPsec 接続を行う動的 IP アドレス対向の環境において Dynamic DNS と組み合わせることで 対向装置の IP アドレスを FQDN 指定することが可能となり IPsec 接続を確立することが可能です WAN 回線の IP アドレスが接続毎に変化する契約の場合でも IPsec 通信が可能となります IPsec のメインモードで peer コマンドの FQDN オプションを使用した場合の設定を説明します 本設定は 以下の環境を想定した設定例です IPsec アグレッシブモード ( 装置 A はイニシエータ 装置 B はレスポンダ ) を使用します 暗号化アルゴリズムは AES-CBC 認証アルゴリズムは SHA2 MAC とします 装置 A B とも WAN 側 IP アドレスは動的 IP アドレスを使用します 装置 A B ともインターネットアクセスが可能なように NAPT を設定します Dynamic DNS サービス名を testddns ユーザ名を abcdef パスワードを dynamic FQDN を wa*.example.net と設定します サービスは架空のものです 接続構成 /24 端末 A GE1.0 UNIVERGE WA1511 装置 A 動的 IP ME0.0 ((( DynamicDNS サービス名称 :testddns ユーザ名 : abcdef パスワード : dynamic モバイル通信事業者 インターネットサービスプロバイダ ( 内蔵モジュール ) IPsec FQDN : wa2.example.com 動的 IP PPPoE UNIVERGE WA2610-AP GE1.0 装置 B /24 端末 B IKE モード : aggressive IPsec 通信モード : Tunnel 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit 設定概要以下の設定を行います ルータモード設定 IPsec インタフェース設定 IKE プロポーザル設定 IKE ポリシー設定 IPsec プロポーザル設定 IPsec ポリシー設定 IPsec プロファイル設定 9-30

120 IPsec LAN インタフェース設定 WAN インタフェース設定 スタティックルート設定 プロキシ DNS 設定 Dynamic DNS 設定 メモ メインモードの利用はソフトウェアバージョン 4.0 から ソフトウェアバージョン 3.2 以前はアグレッシブモードのみ利用可能です Peer FQDN の設定はアグレッシブモードのイニシエータ側でのみ利用できます 装置 A に IKE ポリシーのアグレッシブモードの DPD KeepAlive の設定をすることを推奨します DPD KeepAlive の設定がされないと 装置 B 側の回線が切断された場合 SA が切れたのち rekey によって SA が更新されるまで通信ができません Version 3.0.x 3.1.x ではトンネルモードのみサポートのため 本コマンドの有無に関わらず "tunnel" 以外の動作は出来ません 9-31

121 IPsec 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA1511 設定 ] hostname WA1511 no wireless-adapter enable interface GigaEthernet0.0 ip address /24 interface Loopback0.0 ip address /8 interface MobileEthernet0.0 ip address dhcp ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp mobile id IP example.net auto-connect interface IPsec0 ip address unnumbered ipsec map ipsecprof1 ip route /24 IPsec0 ip route default MobileEthernet0.0 proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive local-id key-id test2 dpd-keepalive enable proposal ikeprop1 pre-shared-key plain test ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /

122 IPsec remote-id /24 proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source MobileEthernet0.0 peer wa2.example.net [ 装置 B:WA2610-AP 設定 ] hostname WA2610-AP ppp profile pppoe authentication username test@example.net authentication password plain test interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp interface IPsec0 ip address unnumbered ipsec map ipsecprof1 ip route /24 IPsec0 ip route default PPPoE0 proxy-dns ip enable 9-33

123 IPsec proxy-dns server default PPPoE0 ipcp ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive remote-id key-id test2 dpd-keepalive enable proposal ikeprop1 pre-shared-key plain test ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /24 remote-id /24 commit-bit enable proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source PPPoE0 peer any ddns enable ddns interval 1 ddns account testddns interface PPPoE0 wa2.example.net username abcdef password plain dynamic 解説 [ 装置 A:WA1511 設定 ] ike proposal ikeprop1 IKE プロポーザルを "ikeprop1" で設定します encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IKE SA の有効期間を "28800" に設定します ( 初期値 :28800) ike policy ikepol1 IKE ポリシーを "ikepol1" で設定します mode aggressive 9-34

124 IPsec 動作モードを "aggressive" に設定します dpd-keepalive enable IPsec トンネルの通信断をリアルタイムに検出するために DPD-KeepAlive 機能を有効化します DPD-KeepAlive の応答を受信できなくなると SA を削除します 回線契約が従量課金の場合 DPD-KeepAlive は課金対象となりますので送信間隔やリトライ回数にご注意ください local-id key-id test2 IKE フェーズ 1 で送信する自装置の ID ペイロードを設定します ローカル ID を "key-id test2" に設定します 動的 IP が付与される拠点側は ローカル ID を指定します proposal ikeprop1 IKE プロポーザル "ikeprop1" を適用します pre-shared-key plain test 事前共有鍵 (Pre-shared Key) を文字列 "test" に設定します ipsec proposal ipsecprop1 IKE プロポーザルを "ipsecprop1" で設定します protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IPsec SA の有効期間を "28800" に設定します ( 初期値 :28800) ipsec policy ipsecpol1 IPsec ポリシーを "ipsecpol1" で設定します local-id /24 IKE フェーズ 2 で送信する自装置側の ID ペイロードを設定します ローカル ID を " /24" に設定します remote-id /24 IKE フェーズ 2 で受信する対向装置の ID ペイロードを設定します リモート ID を " /24" に設定します ローカル ID リモート ID は対向拠点と対になるように設定する必要があります proposal ipsecprop1 IPsec プロポーザル "ipsecprop1" を適用します ipsec profile ipsecprof1 IPsec プロファイルを "ipsecprof1" で設定します mode tunnel IPsec カプセル化モードを "tunnel" に設定します ipsec policy ipsecpol1 IPsec ポリシー "ipsecpol1" を適用します ike policy ikepol1 IKE ポリシー "ikepol1" を適用します source MobileEthernet0.0 IPsec SA を確立するソースインタフェースを "FastEthernet1.0" に設定します peer wa2.example.net 9-35

125 IPsec 対向先 (Peer) には FQDN を設定します 対向先 (Peer) は動的 IP アドレスですが DNS サービスを利用して FQDN から IP アドレスを解決します interface IPsec0 IPsec 通信を行うための専用の論理インタフェース "IPsec0" を設定します ip address unnumbered 論理インタフェース IPsec0 の IP アドレスは通信に使用しませんので IP アドレス付与は必要ありませんが ルーティング設定を行いますので unnumbered を設定します ipsec map ipsecprof1 利用する IPsec プロファイル "ipsecprof1" を適用します IPsec インタフェースでは IPsec プロファイルで指定されている IPsec カプセル化モードがトンネルモード時のみ有効となります ip tcp adjust-mss auto TCP MSS 調整機能を MSS 自動計算 "auto" に設定します ip route /24 IPsec0 IPsec 通信が必要なパケットを IPsec インタフェースに転送します ip route default MobileEthernet0.0 インターネットアクセスのためにデフォルトルートを設定します interface MobileEthernet0.0 ip napt enable インターネットアクセスを行うため NAPT 機能を有効化します ip napt reserve esp ip napt reserve udp 500 ESP IKE(UDP500) を NAPT 処理の対象から外します ip napt reserve icmp ICMP を NAPT 処理の対象から外します ip napt reserve icmp は疎通確認の時のみに設定してください フィルタが存在しない状態での設定はセキュリティが低くなる恐れがあります 疎通確認の必要がない場合はフィルタの設定をおこなうか 設定を削除することをお薦めします proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp プロキシ DNS を有効化します Dynamic DNS サービスの名前解決のために必須です [ 装置 B:WA2610-AP 設定 ] ike proposal ikeprop1 IKE プロポーザルを "ikeprop1" で設定します encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IKE SA の有効期間を "28800" に設定します ( 初期値 :28800) 9-36

126 IPsec ike policy ikepol1 IKE ポリシーを "ikepol1" で設定します mode aggressive 動作モードを "aggressive" に設定します remote-id key-id test2 IKE フェーズ 1 で受信する対向装置の ID ペイロードを設定します リモート ID を "key-id test2" に設定します 固定 IP が付与される拠点側は リモート ID を指定します dpd-keepalive enable IPsec トンネルの通信断をリアルタイムに検出するために DPD-KeepAlive 機能を有効化します DPD-KeepAlive の応答を受信できなくなると SA を削除します 回線契約が従量課金の場合 DPD-KeepAlive は課金対象となりますので送信間隔やリトライ回数にご注意ください proposal ikeprop1 IKE プロポーザル "ikeprop1" を適用します pre-shared-key plain test 事前共有鍵 (Pre-shared Key) を文字列 "test" に設定します ipsec proposal ipsecprop1 IKE プロポーザルを "ipsecprop1" で設定します protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します lifetime IPsec SA の有効期間を "28800" に設定します ( 初期値 :28800) ipsec policy ipsecpol1 IPsec ポリシーを "ipsecpol1" で設定します local-id /24 IKE フェーズ 2 で送信する自装置側の ID ペイロードを設定します ローカル ID を " /24" に設定します remote-id /24 IKE フェーズ 2 で受信する対向装置の ID ペイロードを設定します リモート ID を " /24" に設定します ローカル ID リモート ID は対向拠点と対になるように設定する必要があります commit-bit enable IKE フェーズ 2 でのコミットビット機能を有効化します レスポンダのみに適用されます IKE フェーズ 1 でのコミットビット機能の設定としても使用されます proposal ipsecprop1 IPsec プロポーザル "ipsecprop1" を適用します ローカル ID リモート ID は対向拠点と対になるように設定する必要があります ipsec profile ipsecprof1 IPsec プロファイルを "ipsecprof1" で設定します mode tunnel 9-37

127 IPsec IPsec カプセル化モードを "tunnel" に設定します ipsec policy ipsecpol1 IPsec ポリシー "ipsecpol1" を適用します ike policy ikepol1 IKE ポリシー "ikepol1" を適用します source PPPoE0 IPsec SA を確立するソースインタフェースを "PPPoE0" に設定します peer any IPsec SA を確立する対向装置のアドレスを "any" に設定します 対向先 (Peer) の IP アドレスが動的アドレスとなる場合は peer any を指定します interface IPsec0 IPsec 通信を行うための専用の論理インタフェース "IPsec0" を設定します ip address unnumbered 論理インタフェース IPsec0 の IP アドレスは通信に使用しませんので IP アドレス付与は必要ありませんが ルーティング設定を行いますので unnumbered を設定します ipsec map ipsecprof1 利用する IPsec プロファイル "ipsecprof1" を適用します IPsec インタフェースでは IPsec プロファイルで指定されている IPsec カプセル化モードがトンネルモード時のみ有効となります ip tcp adjust-mss auto TCP MSS 調整機能を MSS 自動計算 "auto" に設定します ip route /24 IPsec0 IPsec 通信が必要なパケットを IPsec インタフェースに転送します ip route default PPPoE0 インターネットアクセスのためにデフォルトルートを設定します proxy-dns ip enable proxy-dns server default PPPoE0 ipcp プロキシ DNS を有効化します Dynamic DNS サービスの名前解決のために必須です ddns enable Dynamic DNS 機能を有効化します ddns account testddns interface PPPoE0 wa2.example.net username abcdef password plain dynamic Dynamic DNS サービスのアカウントを登録します Dynamic DNS サービス名称を testddns 登録する IP アドレスを有するインタフェースを PPPoE0 登録する FQDN を wa2.example.net ユーザー名を abcdef パスワードを dynamic に登録します 利用できるサービスは WA シリーズ専用 DDNS サービス または ieserver MYDNS となります 設定例では架空のサービス名を testddns としています ddns interval 1 Dynamic DNS サービスへの IP アドレス登録間隔を 1 分に設定します 9-38

128 IPsec 9.6. IPsec 簡単コンフィグを使用して VPN 設定を行う IPsec 簡単コンフィグを使用することで 1 つのコマンドで VPN 構築に必要な設定を自動で生成します 設定できることに限りはありますが 簡単且つ設定ミスを防ぐことができます 本設定は 以下の環境を想定した設定例です 装置 A B とも WAN 側 IP アドレスは固定 IP アドレスです ( 固定 IP サービス契約 ) 暗号化アルゴリズムは AES-CBC 認証アルゴリズムは SHA2 MAC とします インターネットアクセスは行わず IPsec による VPN 接続 ( 拠点間通信 ) のみを行います 接続構成 / /24 IPsec UNIVERGE WA2610-AP 端末 A GE1.0 装置 A GE /32( 固定 IP インターネットサービスプロバイダ IKE モード : Main IPsec 通信モード : Tunnel 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit GE0.0 UNIVERGE IX /32( 固定 IP GE1.0 装置 B 端末 B 設定概要以下の設定を行います IKE プロポーザル設定 IKE ポリシー設定 IPsec プロポーザル設定 IPsec ポリシー設定 IPsec プロファイル設定 IPsec インタフェース設定 メモ 端末間通信させるには 下記の設定を手動で入力する必要があります (1) GE0/GE1 の IP アドレス設定 (2) ルーティング設定 (3) IPsec SA を確立する Source インタフェース設定 IPsec の基本的な設定を自動で生成します 作成する各名称は 全てパラメータ NAME で指定した IPsec 識別名となります mode を指定しない場合は aggressive モードを設定します 9-39

129 IPsec パラメータで指定した項目以外に以下の設定を自動で行います [IPsec インタフェース ] ip address unnumberd [IKE プロポーザル ] encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime [IPsec プロポーザル ] protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime [IPsec ポリシー ] proposal ipsec-prof-ipsecproposal [IPsec プロファイル ] mode tunnel 設定 ( コンフィグ作成バージョン :Ver7.3.7) [CLI 実行 ] create ipsec ipsec0 test peer pre-shared-key plain test mode main [ 装置 A:WA2610-AP 設定 ] hostname WA2600 interface GigaEthernet0.0 no ip address interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface IPsec0 ip address unnumbered ipsec map test1 ike proposal test1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy test1 mode main proposal test1 pre-shared-key plain test2 9-40

130 IPsec ipsec proposal test1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy test1 proposal test1 ipsec profile test1 mode tunnel ipsec policy test1 ike policy test1 peer [ 装置 A:WA2610-AP 設定 ( 追加設定 : 手動 )] 端末間通信させるためには下記を追加設定してください interface GigaEthernet0.0 ip address /32 interface GigaEthernet1.0 ip address /24 interface IPsec0 ip tcp adjust-mss auto ip route /32 GigaEthernet0.0 ip route /24 IPsec0 ike policy test dpd-keepalive enable ipsec profile test source GigaEthernet0.0 以下に装置 B(IX2215) の設定例を記載しますが詳細については IX マニュアルをご確認ください [ 装置 B:IX2215 設定 ] hostname IX2215 ip route /32 GigaEthernet0.0 ip route /24 Tunnel0.0 ip access-list list1 permit ip src any dest any ike proposal ikeprop1 encryption aes-256 hash sha2-256 ike policy ikepol1 peer key test ikeprop1 ike keepalive ikepol

131 IPsec ipsec autokey-proposal ipsecprop1 esp-aes-256 esp-sha2-256 ipsec autokey-map ipsecpol1 list1 peer ipsecprop1 interface GigaEthernet0.0 ip address /32 interface GigaEthernet1.0 ip address /24 interface Tunnel0.0 tunnel mode ipsec ip unnumbered GigaEthernet1.0 ipsec policy tunnel ipsecpol1 out 解説 [ 装置 A:WA2610-AP 設定 ] ike proposal test1 IKE プロポーザルを "test1" で設定します (CLI 自動設定 ) encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256-cbc" 認証アルゴリズムを "hmac-sha2-256" に設定します (CLI 自動設定 ) lifetime IKE SA の有効期間を "28800" に設定します ( 初期値 :28800)(CLI 自動設定 ) ike policy test1 IKE ポリシーを "test1" で設定します (CLI 自動設定 ) mode main 動作モードを "main" に設定します (CLI で設定可能 ) proposal test1 IKE プロポーザル "test1" を適用します (CLI 自動設定 ) pre-shared-key plain test2 事前共有鍵 (Pre-shared Key) を文字列 "test2" に設定します (CLI 自動設定 ) ipsec proposal test1 IKE プロポーザルを "test1" で設定します (CLI 自動設定 ) protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 使用するセキュリティプロトコルとアルゴリズムを設定します 暗号アルゴリズムを "aes256" 認証アルゴリズムを "sha2-256" に設定します (CLI 自動設定 ) lifetime IPsec SA の有効期間を "28800" に設定します ( 初期値 :28800)(CLI 自動設定 ) 9-42

132 IPsec ipsec policy test1 IPsec ポリシーを "test1" で設定します (CLI 自動設定 ) proposal test1 IPsec プロポーザル "test1" を適用します (CLI 自動設定 ) ipsec profile test1 IPsec プロファイルを "test1" で設定します (CLI 自動設定 ) mode tunnel IPsec カプセル化モードを "tunnel" に設定します (CLI 自動設定 ) ipsec policy test1 IPsec ポリシー "test1" を適用します (CLI 自動設定 ) ike policy test1 IKE ポリシー "test1" を適用します (CLI 自動設定 ) peer IPsec SA を確立する対向装置のアドレスを " " に設定します (CLI 自動設定 ) メインモードでは "any" は使用できません interface IPsec0 IPsec 通信を行うための専用の論理インタフェース "IPsec0" を設定します (CLI 自動設定 ) ip address unnumbered 論理インタフェース IPsec0 の IP アドレスは通信に使用しませんので IP アドレス付与は必要ありませんが ルーティング設定を行いますので unnumbered を設定します (CLI 自動設定 ) ipsec map test1 利用する IPsec プロファイル "test1" を適用します IPsec インタフェースでは IPsec プロファイルで指定されている IPsec カプセル化モードがトンネルモード時のみ有効となります (CLI 自動設定 ) 9-43

133 IPsec 9.7. NGN 閉域網 IPv6 で NetMeister のダイナミック DNS 機能を利用し IPsec 接続を行う NGN 閉域網内で割り当てられる IPv6 半固定アドレスを NetMeister のダイナミック DNS に登録し peerfqdn を使用して NGN 閉域網内で VPN 接続する設定を説明します 本設定は 以下の環境を想定した設定例です 装置 A B の WAN 側は NTT 東日本の NGN 閉域網 IPv6 に接続します 装置 A B の WAN 側 IP アドレス解決のために GW 経由で NetMeister のダイナミック DDNS を利用します インターネット通信はせず NGN 閉域網内で VPN 接続します メモ NTT 西日本の NGN 閉域網内でも VPN 接続が可能です 設定が一箇所異なります NTT 東日本と NTT 西日本の NGN 閉域網はそれぞれ独立しているため NTT 東日本と NTT 西日本間で通信する場合 別途 ISP 契約をして頂き 通常のインターネット VPN 接続の設定をしてください 接続構成 FQDN: tokyo-1. wa-sample.v6.nmddns.jp peerfqdn 解決 NetMeiste ダイナミック DNS FQDN: tiba-1. wa-sample.v6.nmddns.jp peerfqdn 解決 端末 A GE /24 UNIVERGE WA2610-AP 装置 A IPv6 半固定 GE0.0 アドレス登録 GW NGN 閉域網 NTT 東日本 IPsec アドレス登録 IPv6 半固定 GE0.0 UNIVERGE WA1510 装置 B GE1.0 端末 B /24 設定概要以下の設定を行います IPsec インタフェース設定 IKE プロポーザル設定 IKE ポリシー設定 IPsec プロポーザル設定 IPsec ポリシー設定 IPsec プロファイル設定 LAN インタフェース設定 WAN インタフェース設定 スタティックルート設定 プロキシ DNS 設定 NetMeister 設定 9-44

134 IPsec メモ NGN 閉域網 IPv6 の利用はソフトウェアバージョン 8.0.X から 利用可能です 設定 ( コンフィグ作成バージョン :Ver8.0.3) [ 装置 A:WA2610-AP 設定 ] hostname WA2600 ip dhcp-server enable ip dhcp-server profile default default-gateway auto dns-server auto subnet-mask auto ipv6 dhcp-client profile default information-request option-request dns-servers option-request ntp-servers interface GigaEthernet0.0 no ip address ipv6 dhcp-client binding default ipv6 enable ipv6 address autoconfig receive-default interface GigaEthernet1.0 ip address /24 ip dhcp-server binding default interface Loopback0.0 ip address /8 interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 ip route /24 IPsec0 proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6 ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime dh-group 1024-bit 9-45

135 IPsec ike policy ikepol1 mode main dpd-keepalive enable ph proposal ikeprop1 pre-shared-key plain secret-vpn ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 rekey enable always proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer tiba-1.wa-sample.v6.nmddns.jp ipv6 nm ipv6 enable ngn-private east nm account wa-sample password plain testtest nm sitename tokyo nm ddns notify interface GigaEthernet0.0 nm ddns hostname tokyo-1 [ 装置 B:WA1510 設定 ] hostname WA1500 no wireless-adapter enable ipv6 dhcp-client profile default information-request option-request dns-servers option-request ntp-servers interface GigaEthernet0.0 no ip address ipv6 dhcp-client binding default ipv6 enable ipv6 address autoconfig receive-default interface GigaEthernet1.0 ip address /24 ip dhcp-server binding default interface Loopback0.0 ip address /8 9-46

136 IPsec interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 ip route /24 IPsec0 proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6 ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime dh-group 1024-bit ike policy ikepol1 mode main dpd-keepalive enable ph proposal ikeprop1 pre-shared-key plain secret-vpn ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 rekey enable always proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer tokyo-1.wa-sample.v6.nmddns.jp ipv6 nm ipv6 enable ngn-private east nm account wa-sample password plain testtest nm sitename tiba nm ddns notify interface GigaEthernet0.0 nm ddns hostname tiba

137 IPsec 解説 [ 装置 A:WA2610-AP 設定 ] ipsec profile ipsecprof1 peer tokyo-1.wa-sample.v6.nmddns.jp ipv6 対向先 (Peer) に対向装置の FQDN を設定します NetMeister のダイナミック DNS を使用することで NGN 閉域網内であっても FQDN から IPv6 アドレスを解決します nm ipv6 enable ngn-private east NGN 閉域網内で NetMeister 機能を有効にします nm ipv6 enable ngn-private { east west } east : NTT 東日本のサービスを利用します west : NTT 西日本のサービスを利用します 本設定例では NTT 東日本の NGN 閉域網を利用するため east を設定します nm account wa-sample password plain testtest 予め NetMeister 管理サイトに登録したグループID およびグループパスワードを設定します 本設定例では グループIDを wa-sample グループパスワードを testtest としています nm sitename tokyo 本装置に拠点名を紐づけます 紐づけられた拠点名は NetMeister 管理サイトで表示されます 本設定例では 拠点名を tokyo としています nm ddns notify interface GigaEthernet0.0 GigaEthernet0.0 インタフェースに割り当てられた IPv6 半固定アドレスを NetMeister のダイナミック DNS に登録します nm ddns hostname tokyo-1 NetMeister のダイナミック DNS に登録するドメインに使用するホスト名を設定します 本設定例では ホスト名を tokyo-1 としています 9-48

138 IKEv2/IPsec 10. IKEv2/IPsec 設定 IPv6 網に IKEv2/IPsec トンネルを生成し 拠点間通信を行う IKEv2/IPsec を使用して IPv6 網経由で VPN を構築する設定を説明します WAN 側が有線回線の装置 B をセンターとし NetMeister DDNS を使用することで WAN 側モバイル回線の装置 A から VPN 接続します 本設定は 以下の環境を想定した設定例です 装置 A B とも WAN 側 IP アドレスは動的 IPv6 アドレスです 装置 B の IPv6 アドレスを NetMeister DDNS に登録し 装置 A の IPsec 設定の peer にその FQDN を設定します IKEv2 の暗号化アルゴリズム 認証アルゴリズム等は明示的に設定せず 装置 A B が自動で設定します インターネットアクセスは行わず IKEv2/IPsec による VPN 接続 ( 拠点間通信 ) のみを行います IPsec トンネル内は IPv4 通信のみ透過します 接続構成 / /24 UNIVERGE UNIVERGE IKEv2/IPsec(IPv6) WA2612-AP WA2610-AP 端末 A GE1.0 装置 A ME0.0 RA 受信 インターネットサービスプロバイダ GE0.0 RA 受信 DNS サーバ :2001:db8:0:0:abc::1 装置 B GE1.0 端末 B IPsec 通信モード : Tunnel DDNS サービス :NetMeister FQDN:wa2610.wa-seriessample.nmddns.jp 設定概要以下の設定を行います DHCPv6 クライアントプロファイルの設定 WAN インタフェース設定 プロキシ DNS の設定 プロファイルの設定 IPsec インタフェース設定 ルーティング設定 10-1

139 IKEv2/IPsec 設定 ( コンフィグ作成バージョン :Ver8.0.3) [ 装置 A:WA2612-AP 設定 ] hostname WA2600 ip access-list sec-lst permit ip src any dest any ipv6 dhcp-client profile default information-request option-request dns-servers interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface MobileEthernet0.0 ip address dhcp ipv6 dhcp-client binding default ipv6 enable ipv6 address autoconfig receive-default mobile id IPv6 test mobile username test@test mobile password plain test auto-connect interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ikev2 binding IKEv2-prof1 ip route /24 IPsec0 proxy-dns ipv6 enable proxy-dns server default MobileEthernet0.0 dhcpv6 ikev2 profile IKEv2-prof1 ipsec-mode tunnel source-address MobileEthernet0.0 peer wa2610.wa-series-sample.nmddns.jp ipv6 local-authentication psk plain wa2612 remote-authentication psk plain wa2610 local-id key-id remote-id key-id match sec-lst 10-2

140 IKEv2/IPsec [ 装置 B:WA2610-AP 設定 ] hostname WA2600 ip access-list sec-lst permit ip src any dest any ipv6 dhcp-client profile default information-request option-request ntp-servers interface GigaEthernet0.0 no ip address ipv6 dhcp-client binding default ipv6 enable ipv6 address autoconfig receive-default interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ikev2 binding IKEv2-prof1 ip route /24 IPsec0 ikev2 profile IKEv2-prof1 ipsec-mode tunnel source-address GigaEthernet0.0 peer any ipv6 local-authentication psk plain wa2610 remote-authentication psk plain wa2612 local-id key-id remote-id key-id match sec-lst ipv6 name-server 2001:db8:0:0:abc::1 sntp-client enable ntp-server server dhcpv6 interface GigaEthernet0.0 nm ipv6 enable nm account wa-series-sample password plain testtest nm ddns notify interface GigaEthernet0.0 protocol ipv6 nm ddns hostname wa

141 IKEv2/IPsec 解説 [ 装置 A:WA2612-AP 設定 ] ip access-list sec-lst permit ip src any dest any IPsec を適用する通信をアクセスリストで指定します IPv4 通信が適用されます ipv6 dhcp-client profile default DHCPv6 クライアントプロファイルを "default" で設定します information-request option-request dns-servers DNS サーバのアドレスを要求する設定をします interface MobileEthernet0.0 ipv6 dhcp-client binding default DHCPv6 クライアントプロファイル default を適用します ipv6 enable インタフェースの IPv6 を有効にします ipv6 address autoconfig receive-default RA を配布するルータ宛てにデフォルトルートを設定します mobile id IPv6 test PDPtype で IPv6 を指定し APN を設定します interface IPsec0 ip address unnumbered ルーティング設定を行いますので unnumbered を設定します ikev2 binding IKEv2-prof1 IPsec0 インタフェースに設定する IKEv2 プロファイルを設定します ip route /24 IPsec0 対向先の LAN 側ネットワーク宛てにルーティングを設定します proxy-dns ipv6 enable proxy-dns server default MobileEthernet0.0 dhcpv6 IPv6 のプロキシ DNS を有効にし 代理問い合わせする IPv6 の DNS サーバのアドレスを登録します ikev2 profile IKEv2-prof1 ipsec-mode tunnel IPsec カプセル化モードを tunnel に設定します source-address MobileEthernet0.0 Child-SA を確立するソースインタフェースを設定します peer wa2610.wa-series-sample.nmddns.jp ipv6 Child-SA を確立する対向装置の IPv6 アドレスの FQDN を設定します local-authentication psk plain wa2612 ikev2 自装置認証の設定をします remote-authentication psk plain wa2610 ikev2 対向装置認証の設定をします local-id key-id

142 IKEv2/IPsec ikev2 ローカル ID の設定をします remote-id key-id ikev2 リモート ID の設定をします match sec-lst IPsec を適用する通信のアクセスリストを選択します [ 装置 B:WA2610-AP 設定 ] ip access-list sec-lst permit ip src any dest any IPsec を適用する通信をアクセスリストで指定します IPv4 通信が適用されます ipv6 dhcp-client profile default DHCPv6 クライアントプロファイルを "default" で設定します information-request option-request ntp-servers NTP サーバのアドレスを要求する設定をします interface GigaEthernet0.0 ipv6 dhcp-client binding default DHCPv6 クライアントプロファイル default を適用します ipv6 enable インタフェースの IPv6 を有効にします ipv6 address autoconfig receive-default RA を配布するルータ宛てにデフォルトルートを設定します interface IPsec0 ip address unnumbered ルーティング設定を行いますので unnumbered を設定します ikev2 binding IKEv2-prof1 IPsec0 インタフェースに設定する IKEv2 プロファイルを設定します ip route /24 IPsec0 対向先の LAN 側ネットワーク宛てにルーティングを設定します ikev2 profile IKEv2-prof1 ipsec-mode tunnel IPsec カプセル化モードを tunnel に設定します source-address MobileEthernet0.0 Child-SA を確立するソースインタフェースを設定します Peer any ipv6 Child-SA を確立する相手のアドレスとして 全ての IPv6 アドレスを許容します local-authentication psk plain wa2610 ikev2 自装置認証の設定をします remote-authentication psk plain wa2612 ikev2 対向装置認証の設定をします local-id key-id ikev2 ローカル ID の設定をします remote-id key-id ikev2 リモート ID の設定をします 10-5

143 IKEv2/IPsec match sec-lst IPsec を適用する通信のアクセスリストを選択します ipv6 name-server 2001:db8:0:0:abc::1 通信事業者が指定した IPv6 の DNS サーバを設定します sntp-client enable ntp-server server dhcpv6 interface GigaEthernet0.0 sntp クライアント機能を有効化し DHCPv6 クライアントにて取得した NTP サーバを使用する設定をします nm ipv6 enable NetMeister DDNS サーバ機能を有効化し IPv6 で送信します nm account wa-series-sample password plain testtest NetMeister に登録したグループ ID とパスワードを設定します nm ddns notify interface GigaEthernet0.0 protocol ipv6 NetMeister へ IPv6 アドレスを登録する対象インタフェースを設定します nm ddns hostname wa2610 NetMeister に登録するドメインに使用するホスト名を設定します 10-6

144 L2 トンネル 11. L2 トンネル設定 EtherIP 接続を行うイーサネットフレームを IP パケットでカプセル化し 離れた拠点間をブリッジ接続する EtherIP 機能の基本的な設定を説明します 接続構成 /24 EtherIP /24 端末 A GE1.0 UNIVERGE WA2610-AP /16 GE0.0 GE UNIVERGE IX2215 GE1.0 端末 B 装置 A 装置 B 設定概要以下の設定を行います ブリッジ設定 EtherIP インタフェース設定 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP bridge ieee enable interface GigaEthernet0.0 ip address /16 interface GigaEthernet1.0 no ip address bridge ieee 1 interface Loopback0.0 ip address /8 interface EtherIP0 bridge ieee 1 ether-ip peer ether-ip source GigaEthernet

145 L2 トンネル 以下に装置 B(IX2215) の設定例を記載しますが詳細については IX マニュアルをご確認ください [ 装置 B:IX2215 設定 ] hostname IX2215 bridge irb enable interface GigaEthernet0.0 ip address /16 interface GigaEthernet1.0 no ip address bridge-group 1 interface Tunnel0.0 tunnel mode ether-ip ip tunnel destination tunnel source GigaEthernet0.0 no ip address bridge-group 1 解説 bridge ieee enable ブリッジ機能を有効化します interface GigaEthernet1.0 bridge ieee 1 ブリッジ接続するインタフェース GigaEthernet1.0 でブリッジを動作させます interface EtherIP0 bridge ieee 1 ether-ip peer ether-ip source GigaEthernet0.0 論理インタフェース EtherIP0 でブリッジを動作させ IP カプセル化するソースインタフェース指定と宛先 IP アドレスを指定します 本設定例では ソースインタフェースを GigaEthernet0.0 宛先を としています ソース指定は IP アドレスでも設定可能です 11-2

146 L2 トンネル EtherIP over IPsec( メイン / トランスポート ) 接続を行う EtherIP と IPsec を併用することで セキュリティを保ったままインターネット間でブリッジ接続を行うことができます IKE メインモード /IPsec トランスポートモードを使用した EtherIP 設定を説明します 接続構成 EtherIP over IPsec / /24 固定 IP 固定 IP UNIVERGE UNIVERGE ワイヤレス WA2610-AP WA1510 Serial0 データ通信事業者 GE1.0 FE0.0 GE0.0 端末 A 3G/LTE ((( インターネット端末 B サービスプロバイダデータ通信端末装置 A 装置 B IKE モード : Main IPsec 通信モード : Transport 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit 設定概要以下の設定を行います WAN インタフェース設定 IPsec インタフェース設定 ブリッジ設定 EtherIP インタフェース設定 11-3

147 L2 トンネル 設定 ( コンフィグ作成バージョン :Ver7.5.4) [ 装置 A:WA1510 設定 ] hostname WA1510 no wireless-adapter enable ppp profile mobile authentication username test authentication password plain test bridge ieee enable interface GigaEthernet1.0 no ip address bridge ieee 1 interface Loopback0.0 ip address /8 interface Serial0 ip address ipcp ppp profile mobile ipsec map ipsecprof1 mobile id PPP 1 exmaple.net mobile number *99***CID# auto-connect interface EtherIP0 bridge ieee 1 bridge ip tcp adjust-mss 1286 ether-ip peer ether-ip source Serial0 ip route default Serial0 ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode main dpd-keepalive enable ph1 proposal ikeprop1 pre-shared-key plain test ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime

148 L2 トンネル ipsec policy ipsecpol1 proposal ipsecprop1 ipsec profile ipsecprof1 mode transport ipsec policy ipsecpol1 ike policy ikepol1 source Serial0 peer [ 装置 B:WA2610-AP 設定 ] hostname WA2610-AP bridge ieee enable interface GigaEthernet0.0 ip address /32 ipsec map ipsecprof1 interface GigaEthernet1.0 no ip address bridge ieee 1 interface Loopback0.0 ip address /8 interface EtherIP0 bridge ieee 1 bridge ip tcp adjust-mss 1286 ether-ip peer ether-ip source GigaEthernet0.0 ip route default ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode main dpd-keepalive enable ph1 proposal ikeprop1 pre-shared-key plain test ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime

149 L2 トンネル ipsec policy ipsecpol1 proposal ipsecprop1 ipsec profile ipsecprof1 mode transport ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer 解説 [ 装置 A:WA1510] bridge ieee enable ブリッジ機能を有効化します interface GigaEthernet1.0 bridge ieee 1 ブリッジ接続するインタフェースでブリッジを動作させます interface EtherIP0 bridge ieee 1 ether-ip peer ether-ip source Serial0 論理インタフェース EtherIP0 でブリッジを動作させ IP カプセル化するソースインタフェースと宛先 IP アドレスを指定します 本設定例では EtherIP フレームのソースアドレスはインタフェース Serial0 アドレス 宛先アドレスは としています ソース指定は IP アドレスでも設定可能です bridge ip tcp adjust-mss 1286 TCP/IP パケットのフラグメントを防ぐために tcp-mss 調整を設定します 本設定例では MSS 長を 1286 バイトに設定していますが EtherIP の MTU 長 (MSS 長 ) は カプセル化したパケットを出力するインタフェースの MTU 長や IPsec 機能との併用有無によって変わりますので 環境に適した値を設定してください [ 装置 B:WA2610-AP 設定 ] bridge ieee enable ブリッジ機能を有効化します interface GigaEthernet1.0 bridge ieee 1 ブリッジ接続するインタフェースでブリッジを動作させます interface EtherIP0 bridge ieee 1 ether-ip peer ether-ip source GigaEthernet

150 L2 トンネル 論理インタフェース EtherIP0 でブリッジを動作させ IP カプセル化するソースインタフェースと宛先 IP アドレスを指定します 本設定例では EtherIP フレームのソースアドレスはインタフェース GigaEthernet0.0 アドレス 宛先アドレスは としています ソース指定は IP アドレスでも設定可能です bridge ip tcp adjust-mss 1286 TCP/IP パケットのフラグメントを防ぐために tcp-mss 調整を設定します 本設定例では MSS 長を 1286 バイトに設定していますが EtherIP の MTU 長 (MSS 長 ) は カプセル化したパケットを出力するインタフェースの MTU 長や IPsec 機能との併用有無によって変わりますので 環境に適した値を設定してください 11-7

151 L2 トンネル EtherIP over IPsec( アグレッシブ / トランスポート ) 接続を行う EtherIP と IPsec を併用することで セキュリティを保ったままインターネット間でブリッジ接続を行うことができます IKE アグレッシブモード /IPsec トランスポートモードを使用した EtherIP 設定を説明します 接続構成 EtherIP over IPsec /24 UNIVERGE WA /24 端末 A GE1.0 装置 A 動的 IP ME0.0 ((( 内蔵モジュール ワイヤレスデータ通信事業者 インターネットサービスプロバイダ 固定 IP: GE0.0 UNIVERGE IX2215 装置 B GE1.0 端末 B IKE モード : Aggressive IPsec 通信モード : Transport 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit 設定概要以下の設定を行います WAN インタフェース設定 IPsec インタフェース設定 ブリッジ設定 EtherIP インタフェース設定 11-8

152 L2 トンネル 設定 ( コンフィグ作成バージョン :Ver7.5.4) [ 装置 A:WA1511 設定 ] hostname WA1511 no wireless-adapter enable bridge ieee enable interface GigaEthernet1.0 no ip address bridge ieee 1 interface Loopback0.0 ip address /8 interface MobileEthernet0.0 ip address dhcp ipsec map ipsecprof1 mobile id IP example.net mobile username test mobile password plain test auto-connect interface EtherIP0 bridge ieee 1 bridge ip tcp adjust-mss 1286 ether-ip peer ether-ip source MobileEthernet0.0 ip route default MobileEthernet0.0 ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive local-id key-id test2 proposal ikeprop1 pre-shared-key plain test ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /32 remote-id /

153 L2 トンネル proposal ipsecprop1 ipsec profile ipsecprof1 mode transport ipsec policy ipsecpol1 ike policy ikepol1 source MobileEthernet0.0 peer 以下に装置 B(IX2215) の設定例を記載しますが詳細については IX マニュアルをご確認ください [ 装置 B:IX2215 設定 ] hostname IX2215 ip route default ip access-list list1 permit ip src any dest any ike proposal ikeprop1 encryption aes-256 hash sha2-256 ike policy ikepol1 peer any key test mode aggressive ikeprop1 ike remote-id ikepol1 keyid test2 ipsec autokey-proposal ipsecprop1 esp-aes-256 esp-sha2-256 ipsec dynamic-map ipsecpol1 list1 ipsecprop1 ipsec local-id ipsecpol ipsec remote-id ipsecpol bridge irb enable interface GigaEthernet0.0 ip address /24 interface GigaEthernet1.0 no ip address bridge-group 1 interface Tunnel0.0 tunnel mode ether-ip ipsec no ip address ipsec policy transport ipsecpol1 bridge-group

154 L2 トンネル 解説 bridge ieee enable ブリッジ機能を有効化します interface GigaEthernet1.0 bridge ieee 1 ブリッジ接続するインタフェース GigaEthernet1.0 でブリッジを動作させます interface EtherIP0 bridge ieee 1 ether-ip peer ether-ip source MobileEthernet0.0 論理インタフェース EtherIP0 でブリッジを動作させ IP カプセル化するソースインタフェースと宛先 IP アドレスを指定します 本設定例では EtherIP フレームのソースアドレスはインタフェース MobileEthernet0.0 アドレス 宛先アドレスは としています ソース指定は IP アドレスでも設定可能です bridge ip tcp adjust-mss 1286 TCP/IP パケットのフラグメントを防ぐために tcp-mss 調整を設定します 本設定例では MSS 長を 1286 バイトに設定していますが EtherIP の MTU 長 (MSS 長 ) は カプセル化したパケットを出力するインタフェースの MTU 長や IPsec 機能との併用有無によって変わりますので 環境に適した値を設定してください 11-11

155 L2 トンネル L2TPv3 over IPsec( メイン / トンネル ) 接続を行う L2TPv3 と IPsec を併用することで セキュリティを保ったままインターネット間でブリッジ接続を行うことができます IKE メインモード /IPsec トンネルモードを使用した L2TPv3 設定を説明します 接続構成 /24 L2TPv3 over IPsec 固定 IP: GE0.0 UNIVERGE WA2610-AP /24 端末 A GE1.0 PortVLAN 端末 B /24 UNIVERGE WA2610-AP GE0.0 固定 IP: 装置 A ワイヤレスデータ通信事業者 インターネットサービスプロバイダ L2TPv3 over IPsec GE0.0 固定 IP: 装置 B UNIVERGE WA2610-AP 装置 C GE1.0 GE /24 設定概要以下の設定を行います WAN インタフェース設定 LAN インタフェース設定 IPsec インタフェース設定 ブリッジ設定 L2TPv3 インタフェース設定 ルーティング設定 11-12

156 L2 トンネル 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP bridge ieee enable interface GigaEthernet0.0 ip address /24 ip tcp adjust-mss auto interface GigaEthernet1.0 vlan-type port VLAN0 port 1 2 vlan-type port VLAN1 port 3 4 no ip address interface Loopback0.0 ip address /32 interface Loopback1.0 ip address /32 interface L2TP0 l2tp encapsulation l2tpv3 l2tp source Loopback0.0 l2tp peer bridge ieee 1 bridge ip tcp adjust-mss 1312 interface L2TP1 l2tp encapsulation l2tpv3 l2tp source Loopback1.0 l2tp peer bridge ieee 2 bridge ip tcp adjust-mss 1312 interface IPsec0 ip address unnumbered ipsec map ipsecprof0 ip tcp adjust-mss auto interface IPsec1 ip address unnumbered ipsec map ipsecprof1 ip tcp adjust-mss auto 11-13

157 L2 トンネル interface vlan0 no ip address bridge ieee 1 interface vlan1 no ip address bridge ieee 2 ip route /32 ipsec0 ip route /32 ipsec1 ike proposal ikeprop0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol0 mode main proposal ikeprop0 pre-shared-key plain test0 ike policy ikepol1 mode main proposal ikeprop1 pre-shared-key plain test1 ipsec proposal ipsecprop0 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol0 proposal ipsecprop0 ipsec policy ipsecpol1 proposal ipsecprop1 ipsec profile ipsecprof0 mode tunnel ipsec policy ipsecpol0 ike policy ikepol0 source GigaEthernet0.0 peer ipsec profile ipsecprof

158 L2 トンネル mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer [ 装置 B:WA2611-AP 設定 ] ( 装置 C も同様の設定です ) hostname WA2611-AP bridge ieee enable interface GigaEthernet0.0 ip address /24 ip tcp adjust-mss auto interface GigaEthernet1.0 no ip address bridge ieee 1 interface Loopback0.0 ip address /32 interface L2TP0 l2tp encapsulation l2tpv3 l2tp source Loopback0.0 l2tp peer bridge ieee 1 bridge ip tcp adjust-mss 1312 interface IPsec0 ip address unnumbered ipsec map ipsecprof0 ip tcp adjust-mss auto ip route /32 ipsec0 ike proposal ikeprop0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol0 mode main proposal ikeprop0 pre-shared-key plain test0 ipsec proposal ipsecprop

159 L2 トンネル protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol0 proposal ipsecprop0 ipsec profile ipsecprof0 mode tunnel ipsec policy ipsecpol0 ike policy ikepol0 source GigaEthernet0.0 peer 解説 [ 装置 A:WA2610-AP 設定 ] bridge ieee enable ブリッジ機能を有効化します interface L2TP0 l2tp encapsulation l2tpv3 l2tp source Loopback0.0 l2tp peer bridge ieee 1 論理インタフェース L2TP0 でブリッジを動作させ IP カプセル化するソースインタフェースと宛先 IP アドレスを指定します 本設定例では L2TPv3 フレームのソースアドレスはインタフェース Loopback0.0 アドレス 宛先アドレスは とし ブリッジグループ 1 のパケットを IP カプセル化しています ブリッジグループ 1 はインタフェース VLAN0 に関連付けされています bridge ip tcp adjust-mss 1312 TCP/IP パケットのフラグメントを防ぐために tcp-mss 調整を設定します 本設定例では MSS 長を 1312 バイトに設定していますが L2TPv3 の MTU 長 (MSS 長 ) は カプセル化したパケットを出力するインタフェースの MTU 長や IPsec 機能との併用有無によって変わりますので 環境に適した値を設定してください interface L2TP1 l2tp encapsulation l2tpv3 l2tp source Loopback1.0 l2tp peer bridge ieee 2 本設定例では L2TPv3 フレームのソースアドレスはインタフェース Loopback1.0 アドレス 宛先アドレスは とし ブリッジグループ 2 のパケットを IP カプセル化しています ブリッジグループ 2 はインタフェース VLAN1 に関連付けされています interface vlan0 bridge ieee 1 インタフェース vlan0 でブリッジを動作させます ブリッジグループは 1 とします 11-16

160 L2 トンネル interface vlan1 bridge ieee 2 インタフェース vlan1 でブリッジを動作させます ブリッジグループは 2 とします 11-17

161 L2 トンネル L2TP インタフェースでパケットに VLAN Tag を付ける L2TP インタフェースで ブリッジグループ毎に各パケットに VLAN タグを取り付ける設定を説明します VLAN タグを付けることにより 論理的に分離された複数の LAN セグメントを 1 つの L2 トンネルで接続することができます また 2 つの L2TPv3 トンネルで 2 対地のセグメントをつなぐこともできます 接続構成 セグメント B A セグメント A A /2 GE1.0 WE0.0 GE0.0 UNIVERGE WA2612AP 装置 A 固定 IP: L2TPv3 over IPsec UNIVERGE WA2610-AP GE0.0 固定 IP: 装置 B Trunk VID:1001 VID:1002 VID:1003 GE1.0 SW HUB 装置 C セグメント A セグメント B A セグメント C AA セグメント C AA 設定概要装置 A に以下の設定を行います WAN インタフェース設定 LAN インタフェース設定 無線 LAN インタフェース設定 ブリッジ設定 L2TPv3 インタフェース設定 タグ VLAN 設定 (L2TPv3 インタフェース ) Bridge-group 1=VLAN1=VLAN11:TagID 1001 Bridge-group 2=VLAN2=VLAN12:TagID 1002 Bridge-group 3=VLAN3=VLAN13:TagID 1003 IPsec インタフェース設定 ルーティング設定 装置 C(SW-HUB) には以下の設定を行います Trunk ポート設定 ( 装置 B 接続ポート ) Access ポート設定 ( 各 VID 設定 ) 11-18

162 L2 トンネル 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA2612-AP 設定 ] hostname WA2612-AP bridge ieee enable interface GigaEthernet0.0 ip address /24 ip tcp adjust-mss auto interface GigaEthernet1.0 vlan-type port VLAN2 port 1 2 vlan-type port VLAN3 port 3 4 no ip address interface Loopback0.0 ip address /32 interface WirelessEthernet0.0 ssid HOGEHOGE authentication type psk encryption wpa-key plain hogehoge no ip address bridge ieee 1 interface L2TP0 vlan-type tagged VLAN11 tag-id 1001 vlan-type tagged VLAN12 tag-id 1002 vlan-type tagged VLAN13 tag-id 1003 l2tp encapsulation l2tpv3 l2tp source Loopback0.0 l2tp peer bridge ip tcp adjust-mss 1312 interface IPsec0 ip address unnumbered ipsec map ipsecprof0 ip tcp adjust-mss auto interface vlan2 no ip address bridge ieee 2 interface vlan3 no ip address 11-19

163 L2 トンネル bridge ieee 3 interface vlan11 no ip address bridge ieee 1 interface vlan12 no ip address bridge ieee 2 interface vlan13 no ip address bridge ieee 3 ip route /32 ipsec0 ike proposal ikeprop0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol0 mode main proposal ikeprop0 pre-shared-key plain test0 ipsec proposal ipsecprop0 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol0 proposal ipsecprop0 ipsec profile ipsecprof0 mode tunnel ipsec policy ipsecpol0 ike policy ikepol0 source GigaEthernet0.0 peer led vpn l2tp 11-20

164 L2 トンネル [ 装置 B:WA2610-AP 設定 ] hostname WA2610-AP bridge ieee enable interface GigaEthernet0.0 ip address /24 ip tcp adjust-mss auto interface GigaEthernet1.0 no ip address bridge ieee 1 interface Loopback0.0 ip address /32 interface L2TP0 l2tp encapsulation l2tpv3 l2tp source Loopback0.0 l2tp peer bridge ieee 1 bridge ip tcp adjust-mss 1312 interface IPsec0 ip address unnumbered ipsec map ipsecprof0 ip tcp adjust-mss auto ip route /32 ipsec0 ike proposal ikeprop0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol0 mode main proposal ikeprop0 pre-shared-key plain test0 ipsec proposal ipsecprop0 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol0 proposal ipsecprop0 ipsec profile ipsecprof

165 L2 トンネル mode tunnel ipsec policy ipsecpol0 ike policy ikepol0 source GigaEthernet0.0 peer led vpn l2tp 以下に装置 C( スイッチング HUB) の一般的な設定例を記載します [ 装置 C:SW-HUB 設定 ] vlan 1 vlan 1001 vlan 1002 vlan 1003 interface GigaEthernet0/1 port link-type trunk port trunk permit vlan to 1003 interface GigaEthernet0/2 port access vlan 1001 interface GigaEthernet0/3 port access vlan 1002 interface GigaEthernet0/4 port access vlan 1003 解説 bridge ieee enable ブリッジ機能を有効化します interface GigaEthernet1.0 vlan-type port VLAN2 port 1 2 vlan-type port VLAN3 port 3 4 インタフェース GE1.0 でポート VLAN を設定し ポート 1 2 をインタフェース VLAN2 へ ポート 3 4 をインタフェース VLAN3 へ割り当てます interface WirelessEthernet0.0 no ip address bridge ieee 1 インタフェース WE0.0 にブリッジグループ 1 設定します interface L2TP0 vlan-type tagged VLAN11 tag-id 1001 vlan-type tagged VLAN12 tag-id

166 L2 トンネル vlan-type tagged VLAN13 tag-id 1003 論理インタフェース L2TP0 にて インタフェース VLAN11 から受信したパケットに VID 1001 の VLAN タグを付け インタフェース L2TP0 から送信します L2TP0 で受信した VID 1001 の VLAN タグ付きパケットは VLAN タグを取り外し インタフェース VLAN11 に転送します インタフェース VLAN11 および VLAN12 のパケットも同様に VLAN タグの取り付け 取り外しが行われます l2tp encapsulation l2tpv3 l2tp source Loopback0.0 l2tp peer 論理インタフェース L2TP0 で IP カプセル化するソースインタフェースと宛先 IP アドレスを指定します 本設定例では L2TPv3 フレームのソースアドレスはインタフェース Loopback0.0 アドレス 宛先アドレスは としています bridge ip tcp adjust-mss 1312 TCP/IP パケットのフラグメントを防ぐために tcp-mss 調整を設定します 本設定例では MSS 長を 1312 バイトに設定していますが L2TPv3 の MTU 長 (MSS 長 ) は カプセル化したパケットを出力するインタフェースの MTU 長や IPsec 機能との併用有無によって変わりますので 環境に適した値を設定してください interface vlan2 bridge ieee 2 interface vlan3 bridge ieee 3 interface vlan11 bridge ieee 1 interface vlan12 bridge ieee 2 interface vlan13 bridge ieee 3 インタフェース VLAN** にブリッジグループを設定します 同じブリッジグループを割り当てると それぞれの VLAN インタフェースが同一ブロードキャストドメインとなります この場合 ブリッジグループ 1 で VLAN11 とインタフェース WE0.0 ブリッジグループ 2 で VLAN2 と VLAN12 ブリッジグループ 3 で VLAN3 と VLAN13 が同一ブロードキャストドメインとなります 11-23

167 GRE 12. GRE 設定 GRE over IPsec( トランスポート ) 接続を行う GRE と IPsec を併用することで セキュリティを保ったままインターネット間で GRE 接続を行うことができます IKE メインモード /IPsec トランスポートモードを使用した GRE 設定を説明します 本設定は 以下の環境を想定した設定例です 装置 A B とも WAN 側 IP アドレスは固定 IP アドレスです ( 固定 IP サービス契約 ) 暗号化アルゴリズムは AES-CBC 認証アルゴリズムは SHA2 MAC とします インターネットアクセスは行わず IPsec による VPN 接続 ( 拠点間通信 ) のみを行います 接続構成 / /24 GRE over IPsec UNIVERGE WA2610-AP 端末 A GE1.0 装置 A GE /32( 固定 IP) インターネットサービスプロバイダ GE0.0 UNIVERGE IX /32( 固定 IP) GE1.0 装置 B 端末 B IKE モード : Main IPsec 通信モード : Transport 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit GRE オプション : checksum : key : sequence-number 設定概要以下の設定を行います GigaEthernet0.0 インタフェース設定 GigaEthernet1.0 インタフェース設定 IPsec インタフェース設定 IKE プロポーザル設定 IKE ポリシー設定 IPsec プロポーザル設定 IPsec ポリシー設定 IPsec プロファイル設定 ルーティング設定 GRE インタフェース設定 GRE オプション設定 12-1

168 GRE 設定 ( コンフィグ作成バージョン :Ver7.4.1) [ 装置 A:WA2610-AP 設定 ] hostname WA2610 interface GigaEthernet0.0 ip address /32 ip tcp adjust-mss auto ipsec map ipsecprof1 interface GigaEthernet1.0 ip address /24 interface GRE0.0 gre peer gre source GigaEthernet0.0 gre checksum gre key hogehoge gre sequence-number ip address unnumbered GigaEthernet1.0 ip route /24 GRE0.0 ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode main dpd-keepalive enable ph1 proposal ikeprop1 pre-shared-key plain hogehoge ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 proposal ipsecprop1 ipsec profile ipsecprof1 mode transport ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer

169 GRE 以下に装置 B(IX2215) の設定例を記載しますが詳細については IX マニュアルをご確認ください [ 装置 B:IX2215 設定 ] hostname IX2215 ip route default Tunnel0.0 ip access-list sec-list permit ip src any dest any ike proposal ike-prop encryption aes-256 hash sha2-256 ike policy ike-policy peer key hogehoge ike-prop ike keepalive ike-policy 10 3 ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha2-256 ipsec autokey-map ipsec-policy sec-list peer ipsec-prop interface GigaEthernet0.0 ip address /32 interface GigaEthernet2.0 ip address /24 interface Tunnel0.0 tunnel mode gre ipsec tunnel checksum tunnel key hogehoge tunnel sequence-number ip unnumbered GigaEthernet2.0 ipsec policy transport ipsec-policy with-id-payload 解説 [ 装置 A:WA2610-AP 設定 ] interface GRE0.0 gre peer gre source GigaEthernet0.0 IP カプセル化するソースインタフェース指定と宛先 IP アドレスを指定します 本設定例では ソースインタフェースを GigaEthernet0.0 宛先を としています ソース指定は IP アドレスでも設定可能です gre checksum gre key hogehoge gre sequence-number 各オプションを有効にします checksum:gre ヘッダにチェックサム値を付加します key :GRE ヘッダにキー値を付加します 12-3

170 GRE sequence-number:gre ヘッダにシーケンス番号値を付加します ip address unnumbered GigaEthernet1.0 GRE のスタティックルートを登録するためには unnumbered の設定が必要です ip route /24 GRE0.0 GRE 通信が必要なパケットを GRE インタフェースに転送します 12-4

171 VLAN 13. VLAN 設定 タグ VLAN を使用するタグ VLAN の基本的な設定を説明します 接続構成 /24 タグ ID :10 端末 A /24 タグ ID : 20 タグ VLAN 対応 SW-HUB FE0.0 UNIVERGE WA1020 装置 A Serial0 0 3G/LTE ((( データ通信端末 インターネットサービスプロバイダ モバイル通信事業者 端末 B 設定概要以下の設定を行います ルータモード設定 (WA1020 のみ ) VLAN-Type VID 設定 VLAN インタフェース設定 再起動 ( 設定を有効にするには再起動が必要です ) 13-1

172 VLAN 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA1020 設定 ] hostname WA1020 no wireless-adapter enable ppp profile mobile authentication username test authentication password plain test interface FastEthernet0.0 vlan-type tagged VLAN1 tag-id 10 vlan-type tagged VLAN2 tag-id 20 no ip address interface Loopback0.0 ip address /8 interface Serial0 ip address ipcp ip tcp adjust-mss auto ppp profile mobile ip napt enable mobile id PPP 1 example.net mobile number *99***CID# auto-connect interface VLAN1 ip address /24 interface VLAN2 ip address /24 ip route default Serial0 proxy-dns ip enable proxy-dns server default Serial0 ipcp 13-2

173 VLAN 解説 interface FastEthernet0.0 vlan-type tagged VLAN1 tag-id 10 vlan-type tagged VLAN2 tag-id 20 インタフェース FastEthernet0.0 にタグ VLAN を設定します タグ VLAN 設定 (vlantype tagged) では 論理 VLAN インタフェースと tag-id(vid) の割当てを行います 本設定例では タグ ID:10 を論理インタフェース VLAN1 に タグ ID:20 を論理インタフェース VLAN2 に割当てます no ip address タグ VLAN フレームのみ送受信しますので ベースインタフェース FastEthernet0.0 に IP アドレスは設定しません ベースインタフェース FastEthernet0.0 に IP アドレスを設定するとで非 VLAN フレームの送受信が可能となります interface VLAN1 ip address /24 論理インタフェース VLAN1 に IP アドレス /24 を設定します タグ ID:10 が設定された VLAN フレームの送受信が可能となります 設定は即時反映されます 初期値は shutdown ですので でインタフェースをアクティブにします interface VLAN2 ip address /24 論理インタフェース VLAN2 に IP アドレス /24 を設定します タグ ID:20 が設定された VLAN フレームの送受信が可能となります 設定は即時反映されます 初期値は shutdown ですので でインタフェースをアクティブにします 13-3

174 VLAN ポート VLAN を使用する GE1 の LAN1~LAN4 の各スイッチポートに対して それぞれ 1 つの VLAN インタフェースを割り当てることができます このポート VLAN 機能を使用することで LAN1~LAN4 の各スイッチポートを独立したセグメントとして使用する事ができ 複数のルータポートとして使用することができます 接続構成 /24 端末 A /24 端末 B 同一セグメント /24 GE1.0/P1 GE1.0/P2 GE1.0/P3 GE1.0/P4 UNIVERGE WA2610-AP 装置 A GE0.0 PPPoE GE0.0 プロバイダ /24 ルータ端末 E 装置 B 端末 C 端末 D 設定概要以下の設定を行います VLAN-Type 設定 VLAN インタフェース設定 WAN インタフェース設定 ルーティング設定 再起動 ( 設定を有効にするには再起動が必要です ) 13-4

175 VLAN 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP ppp profile pppoe authentication username test@example.net authentication password plain test interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 vlan-type port VLAN1 port 1 vlan-type port VLAN2 port 2 vlan-type port VLAN3 port 3 4 no ip address interface Loopback0.0 ip address /8 interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect interface VLAN1 ip address /24 interface VLAN2 ip address /24 interface VLAN3 ip address /24 ip route /24 PPPoE0 13-5

176 VLAN 解説 interface GigaEthernet1.0 vlan-type port VLAN1 port 1 vlan-type port VLAN2 port 2 インタフェース GigaEthernet1.0 にポート VLAN(vlan-type port) を設定します ポート VLAN 設定 (vlan-type port) では 論理 VLAN インタフェースと各スイッチポートの割当てを行います 本設定例では スイッチポート 1 を VLAN1 インタフェースに スイッチポート 2 を VLAN2 インタフェースに割り当てます vlan-type port VLAN3 port 3 4 グルーピング機能により スイッチポート 3 とスイッチポート 4 を VLAN3 インタフェースに割り当てます グルーピングにより スイッチポート 3 とスイッチポート 4 は同一セグメントになります 補足ポート VLAN が割り当てられていないスイッチポートはリンクダウン状態となります no ip address 補足ポート VLAN 使用時は ベースインタフェース interface GigaEthernet1.0 を通信に用いることはできません interface VLAN1 ip address /24 VLAN1 インタフェースに IP アドレス /24 を設定します 設定反映には装置再起動が必要です 初期値は shutdown ですので でインタフェースをアクティブにします interface VLAN2 ip address /24 VLAN2 インタフェースに IP アドレス /24 を設定します 設定反映には装置再起動が必要です 初期値は shutdown ですので でインタフェースをアクティブにします interface VLAN3 ip address /24 VLAN3 インタフェースに IP アドレス /24 を設定します 設定反映には装置再起動が必要です 初期値は shutdown ですので でインタフェースをアクティブにします 13-6

177 冗長構成 14. 冗長構成 VRRP を使用してルータを冗長化する VRRP を使用して 同一 LAN 内の複数のルータを冗長化する設定を説明します 接続構成 /24 端末 A 端末 B /24 VRRP ID=1 VRRP ID=2 TagVLAN 0 GE1.0 VLAN 対応 SW-HUB TagVLAN 0 GE1.0 UNIVERGE WA2610-AP 装置 A UNIVERGE WA1510 装置 B VRRP グループ :ID=1 VRRP 仮想 IP アドレス : VRRP プライオリティ : 装置 A(WA2610-AP)Priority=20 装置 B(WA1020) Priority=10 PPPoE GE0.0 Serial0 3G/LTE ((( データ通信端末 インターネットサービスプロバイダ モバイル通信事業者 VRRP グループ :ID=2 VRRP 仮想 IP アドレス : VRRP プライオリティ : 装置 A(WA2610-AP)Priority=20 装置 B(WA1020) Priority=10 設定概要以下の設定を行います VLAN インタフェース設定 VRRP 設定 14-1

178 冗長構成 設定 ( コンフィグ作成バージョン :Ver7.5.4) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP ppp profile pppoe authentication username test@example.net authentication password plain test interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 vlan-type tagged VLAN1 tag-id 10 vlan-type tagged VLAN2 tag-id 20 no ip address interface PPPoE0 ip address ipcp ppp profile pppoe auto-connect ip napt enable interface Loopback0.0 ip address /8 interface VLAN1 ip address /24 vrrp 1 ip vrrp 1 priority 20 interface VLAN2 ip address /24 vrrp 2 ip vrrp 2 priority 20 ip route default PPPoE0 proxy-dns ip enable proxy-dns server default PPPoE0 ipcp vrrp enable 14-2

179 冗長構成 [ 装置 B:WA1510 設定 ] hostname WA1510 no wireless-adapter enable ppp profile mobile authentication username test authentication password plain test interface GigaEthernet1.0 vlan-type tagged VLAN1 tag-id 10 vlan-type tagged VLAN2 tag-id 20 no ip address interface Loopback0.0 ip address /8 interface Serial0 ip address ipcp ppp profile mobile ip napt enable mobile id PPP 1 example.net mobile number *99***CID# auto-connect interface VLAN1 ip address /24 vrrp 1 ip vrrp 1 priority 10 interface VLAN2 ip address /24 vrrp 2 ip vrrp 2 priority 10 ip route default Serial0 proxy-dns ip enable proxy-dns server default Serial0 ipcp vrrp enable 14-3

180 冗長構成 解説 [ 装置 A:WA2610-AP 設定 ] interface GigaEthernet1.0 vlan-type tagged VLAN1 tag-id 10 vlan-type tagged VLAN2 tag-id 20 インタフェース GigaEthernet1.0 にタグ VLAN を設定します タグ VLAN 設定 (vlantype tagged) では 論理 VLAN インタフェースと tag-id(vid) の割当てを行います 本設定例では タグ ID:10 を論理インタフェース VLAN1 に タグ ID:20 を論理インタフェース VLAN2 に割当てます interface VLAN1 ip address /24 vrrp 1 ip vrrp 1 priority 20 インタフェース VLAN1 で VRRP を動作させます 実 IP アドレスは に設定します VRRP グループ ID は 1 とし VRRP 仮想 IP アドレスは に設定します VRRP プライオリティを 20 に設定します 装置 B より優先度を高くすることにより 正常時は装置 A が VRRP グループ 1 のマスタルータとなります interface VLAN2 ip address /24 vrrp 2 ip vrrp 2 priority 20 インタフェース VLAN2 で VRRP を動作させます 実 IP アドレスは に設定します VRRP グループ ID は 2 とし VRRP 仮想 IP アドレスは に設定します VRRP プライオリティを 20 に設定します 装置 B より優先度を高くすることにより 正常時は装置 A が VRRP グループ 1 のマスタルータとなります vrrp enable VRRP 機能を有効化します [ 装置 B:WA1510 設定 ] interface GigaEthernet1.0 vlan-type tagged VLAN1 tag-id 10 vlan-type tagged VLAN2 tag-id 20 インタフェース GigaEthernet1.0 にタグ VLAN を設定します タグ VLAN 設定 (vlantype tagged) では 論理 VLAN インタフェースと tag-id(vid) の割当てを行います 本設定例では タグ ID:10 を論理インタフェース VLAN1 に タグ ID:20 を論理インタフェース VLAN2 に割当てます interface VLAN1 ip address /24 vrrp 1 ip

181 冗長構成 vrrp 1 priority 10 インタフェース VLAN1 で VRRP を動作させます 実 IP アドレスは に設定します VRRP グループ ID と VRRP 仮想 IP アドレスは装置 A と同じ値 に設定します VRRP プライオリティを 10 に設定します 装置 A より優先度を低くすることにより 正常時は装置 B が VRRP グループ 1 のバックアップルータとなります interface VLAN2 ip address /24 vrrp 2 ip vrrp 2 priority 10 インタフェース VLAN2 で VRRP を動作させます 実 IP アドレスは に設定します VRRP グループ ID と VRRP 仮想 IP アドレスは装置 A と同じ値 に設定します VRRP プライオリティを 10 に設定します 装置 A より優先度を低くすることにより 正常時は装置 B が VRRP グループ 1 のバックアップルータとなります vrrp enable VRRP 機能を有効化します 14-5

182 冗長構成 ネットワークモニタを使用して IPsec を迂回するネットワークモニタ機能を使用して 主回線障害時にバックアップ回線にルートおよび IPsec を切り替える設定を説明します 本設定は 以下の環境を想定した設定例です 装置 A は PPPoE 回線経由で装置 B と IPsec による通信ができます また 3G/LTE データ端末を使用したモバイル回線経由で装置 C とも IPsec による通信ができます 装置 A は ネットワークモニタ機能で 主回線 (PPPoE 回線 ) 経由で装置 B をホスト監視し 監視経路で障害が発生すると 通信経路をバックアップ回線 ( モバイル回線 ) に切り替えます 装置 B も ネットワークモニタ機能で 主回線経由で装置 A をホスト監視し 監視経路で障害が発生すると LAN 側の VRRP 動作を停止します 装置 B と装置 C の LAN 側で VRRP を動作させ 正常通信時の VRRP の挙動はマスタルータを装置 B バックアップルータを装置 C とします 接続構成 ホスト監視 IPsec0( 主回線 ) ホスト監視 /24 GE 端末 A 動的 IP PPPoE UNIVERGE WA2611-AP GE0.0 装置 A 動的 IP インターネットサービスプロバイダ ME0 ((( モバイル内蔵モジュール通信事業者 固定 IP 固定 IP ))) IPsec1 ( バックアップ回線 ) ME0 内蔵モジュール UNIVERGE WA2610-AP 装置 B.200 UNIVERGE WA1511 GE1.0 VRRP GE /24 装置 C 端末 B IKE モード : Aggressive IPsec 通信モード : Tunnel 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit VRRP グループ :ID=1 VRRP 仮想 IP アドレス : VRRP プライオリティ : 装置 B(WA2610-AP)Priority=20 装置 C(WA1511)Priority=10 設定概要以下の設定を行います LAN インタフェース設定 WAN インタフェース設定 ルーティング設定 IPsec インタフェース設定 VRRP 設定 ( 装置 B/ 装置 C) ネットワークモニタ設定 ( 装置 A/ 装置 B) 14-6

183 冗長構成 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA2611-AP 設定 ] hostname WA2611-AP ppp profile pppoe authentication username test@example.net authentication password plain test interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 ip address /24 interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp interface Loopback0.0 ip address /8 interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp mobile id IP example.net mobile username test mobile password plain test auto-connect interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 interface IPsec1 ip address unnumbered 14-7

184 冗長構成 ip tcp adjust-mss auto ipsec map ipsecprof2 ip route default PPPoE0 ip route /32 PPPoE0 ip route /32 MobileEthenrnet0.0 ip route /24 IPsec0 network-monitor monitor1 monitor interval occurrence 10 5 monitor interval restorer 10 monitor counter occurrence 3 monitor counter restorer 5 monitor startup-delay 10 event ip unreach-host interface IPsec0 source GigaEthernet1.0 action 10 route-del /24 IPsec0 route-add /24 IPsec1 action 11 route-del /0 PPPoE0 route-add /0 dhcp MobileEthernet0.0 action 20 ipsec-sa-clear ipsecprof1 action 30 ipsec-sa-clear ipsecprof2 action 40 pdns-server-del PPPoE0 ipcp action 50 pdns-server-add MobileEthernet0.0 dhcp action 60 BAK-LED-on monitor-group monitor1 enable monitor-group monitor1 directed-response proxy-dns ip enable proxy-dns server default PPPoE0 ipcp ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike proposal ikeprop2 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive local-id key-id test4 dpd-keepalive enable proposal ikeprop1 pre-shared-key plain test3 ike policy ikepol2 mode aggressive local-id key-id test6 dpd-keepalive enable proposal ikeprop2 pre-shared-key plain test5 ipsec proposal ipsecprop1 14-8

185 冗長構成 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec proposal ipsecprop2 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /24 remote-id /24 proposal ipsecprop1 ipsec policy ipsecpol2 local-id /24 remote-id /24 proposal ipsecprop2 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source PPPoE0 peer ipsec profile ipsecprof2 mode tunnel ipsec policy ipsecpol2 ike policy ikepol2 source MobileEthernet0.0 peer [ 装置 B:WA2610-AP 設定 ] ( コンフィグ作成バージョン :Ver7.3.7) hostname CENTER-WA2610-AP interface GigaEthernet0.0 ip address /32 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp interface GigaEthernet1.0 ip address /24 vrrp 1 ip vrrp 1 priority 20 interface Loopback0.0 ip address /8 interface IPsec0 14-9

186 冗長構成 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 ip route default GigaEthernet0.0 ip route /24 IPsec0 network-monitor monitor2 monitor interval occurrence 10 5 monitor interval restorer 10 monitor counter occurrence 3 monitor counter restorer 5 monitor startup-delay 10 event ip unreach-host interface IPsec0 source GigaEthernet1.0 action 10 vrrp 1 shutdown action 20 ipsec-sa-clear ipsecprof1 monitor-group monitor2 enable proxy-dns ip enable proxy-dns server default ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive remote-id key-id test4 dpd-keepalive enable proposal ikeprop1 pre-shared-key plain test3 ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /24 remote-id /24 commit-bit enable proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any vrrp enable 14-10

187 冗長構成 [ 装置 C:WA1511 設定 ] ( コンフィグ作成バージョン :Ver7.3.7) hostname CENTER-WA1511 interface GigaEthernet0.0 no ip address shutdown interface GigaEthernet1.0 ip address /24 vrrp 1 ip vrrp 1 priority 10 interface MobileEthernet0.0 no ip address dhcp ip tcp adjust-mss auto mobile id IP example.net mobile username test3 mobile password plain test3 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp interface Loopback0.0 ip address /8 interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 ip route default MobileEthernet0.0 ip route /24 IPsec0 proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive remote-id key-id test6 dpd-keepalive enable proposal ikeprop1 pre-shared-key plain test

188 冗長構成 ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /24 remote-id /24 proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source MobileEthernet0.0 peer any vrrp enable 解説 [ 装置 A:WA2611-AP 設定 ] ip route /32 PPPoE0 装置 B 向けの IPsec peer ルートを設定します ip route /32 MobileEthernet0.0 装置 C 向けの IPsec peer ルートを設定します ip route /24 IPsec0 IPsec 通信が必要なパケットを IPsec インタフェースに転送します network-monitor monitor1 モニタグループを登録し 各種監視パラメータを設定します 以下の設定では 正常時は 10 秒間隔で ICMP ECHO による監視が継続されますが ICMP ECHO による通信不能を検出すると監視間隔が 5 秒間隔になり 3 回目の ICMP ECHO のタイムアウトによりアクションが開始されます 復旧は 10 秒間隔で 5 回の ICMP ECHO 受信により行われます monitor コマンドの設定を省略した場合は 自動的に初期値が設定されます monitor interval occurrence 10 5 イベント発生監視インターバルを 10 秒間隔に設定します 監視応答が無くなると 監視インターバルが 5 秒間隔に切り替わる設定をします monitor interval restorer 10 イベント復旧監視インターバルを 10 秒間隔に設定します monitor counter occurrence 3 アクション実行までの監視失敗回数を 3 回に設定します 3 回失敗するとアクションを実行します monitor counter restorer 5 アクション復旧までの監視成功回数を 5 回に設定します イベントの監視応答が 5 回成功するとアクションが復旧します monitor startup-delay 10 ネットワークモニタの起動待ち時間を 10 秒に設定します スタートアップディレイ時 14-12

189 冗長構成 間を設定します monitor-group monitor1 enable コマンドを認識してから 10 秒後にネットワークモニタが起動します event ip unreach-host interface IPsec0 source GigaEthernet1.0 イベント動作を設定します 宛先を 送信元 IP アドレスをインタフェース GigaEthernet1.0 の IP アドレス 出力インタフェースを IPsec0 とし ICMP でホスト到達可否を監視します action 10 route-del /24 IPsec0 route-add /24 IPsec1 イベント監視に失敗した時のアクションの動作を設定します /24 へのルートをインタフェース IPsec0 から IPsec1 に切り替えます action 11 route-del /0 PPPoE0 route-add /0 dhcp MobileEthernet0.0 イベント監視に失敗した時のアクションの動作を設定します デフォルトルートをインタフェース PPPoE0 から MobileEthernet0.0 に切り替えます action 20 ipsec-sa-clear ipsecprof1 ipsecprof1 の IPsec SA をクリアします action 30 ipsec-sa-clear ipsecprof2 ipsecprof2 の IPsec SA をクリアします action 40 pdns-server-del PPPoE0 ipcp action 50 pdns-server-add MobileEthernet0.0 dhcp インタフェース PPPoE で取得した DNS サーバのアドレスをインタフェース MobileEthernet0.0 で取得したアドレスに切り替えます action 60 BAK-LED-on 装置前面の BAK LED が点灯します monitor-group monitor1 enable モニタグループ monitor1 のネットワークモニタ機能を有効化します monitor-group monitor1 directed-response 受信した監視パケットが ネットワークモニタのイベントに指定された相手からである場合 受信インタフェースへ応答します [ 装置 B:WA2610-AP 設定 ] interface GigaEthernet1.0 ip address /24 vrrp 1 ip vrrp 1 priority 20 インタフェース GigaEthernet1.0 に VRRP をマスタで設定します network-monitor monitor1 モニタグループを登録し 各種監視パラメータを設定します 以下の設定では 正常時は 10 秒間隔で ICMP ECHO による監視が継続されますが ICMP ECHO による通信不能を検出すると監視間隔が 5 秒間隔になり 3 回目の ICMP ECHO のタイムアウトによりアクションが開始されます 復旧は 10 秒間隔で 5 回の ICMP ECHO 受信により行われます monitor コマンドの設定を省略した場合は 自動的に初期値が設定されます monitor interval occurrence

190 冗長構成 イベント発生監視インターバルを 10 秒間隔に設定します 監視応答が無くなると 監視インターバルが 5 秒間隔に切り替わる設定をします monitor interval restorer 10 イベント復旧監視インターバルを 10 秒間隔に設定します monitor counter occurrence 3 アクション実行までの監視失敗回数を 3 回に設定します 3 回失敗するとアクションを実行します monitor counter restorer 5 アクション復旧までの監視成功回数を 5 回に設定します イベントの監視応答が 5 回成功するとアクションが復旧します monitor startup-delay 10 ネットワークモニタの起動待ち時間を 10 秒に設定します スタートアップディレイ時間を設定します monitor-group monitor1 enable コマンドを認識してから 10 秒後にネットワークモニタが起動します event ip unreach-host interface IPsec0 source GigaEthernet1.0 イベント動作を設定します 宛先を 送信元 IP アドレスをインタフェース GigaEthernet1.0 の IP アドレス 出力インタフェースを IPsec0 とし ICMP でホスト到達可否を監視します action 10 vrrp 1 shutdown イベント監視に失敗した時のアクションの動作を設定します VRRP 動作を停止します action 20 ipsec-sa-clear ipsecprof1 ipsecprof1 の IPsec SA をクリアします monitor-group monitor2 enable モニタグループ monitor2 のネットワークモニタ機能を有効にします vrrp enable VRRP 機能を有効化します 14-14

191 冗長構成 同一 IP に複数 IPsec トンネルを設定して迂回する同一 IP アドレスに対して複数の IPsec トンネルを設定することができます 以下では 同一 IP アドレスに対して 2 つの IPsec トンネルを設定して 片方の IPsec 経路の障害時にもう片方の IPsec に経路を切り替える設定を説明します 本設定は 以下の環境を想定した設定例です 装置 A は PPPoE 回線経由ならびに内蔵モジュールを使用したモバイル回線経由で 装置 B と IPsec による通信を行います 装置 A には 装置 B の 1 つの WAN インタフェース IP アドレスに対して 2 つの IPsec トンネルを設定しておきます 通常時 IP アドレス 系の通信は IPsec1 を経由 系の通信は IPsec2 を経由した通信を行います 装置 A と装置 B は ネットワークモニタ機能により IPsec1 経由で互いにホスト監視します 監視経路で障害が発生すると 通信経路を IPsec2 経路に切り替えます 接続構成 /24 ホスト監視装置 A /24 PPPoE 動的 IP ME0 動的 IP IPsec モバイル IPsec2 通信事業者 IKE モード : Aggressive IPsec 通信モード : Tunnel 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit 固定 IP ホスト監視 装置 B / /24 GW G.100 設定概要以下の設定を行います LAN インタフェース設定 WAN インタフェース設定 ルーティング設定 IPsec インタフェース設定 ネットワークモニタ設定 14-15

192 冗長構成 設定 ( コンフィグ作成バージョン :Ver7.4.1) [ 装置 A:WA2611-AP 設定 ] hostname WA2611-AP ppp profile pppoe authentication username test@example.net authentication password plain test interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 vlan-type port VLAN1 port 1 2 vlan-type port VLAN2 port 3 4 no ip address interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp interface Loopback0.0 ip address /32 interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp mobile id IP example.net mobile username test mobile password plain test auto-connect interface IPsec1 ip address unnumbered ipsec map ipsec1 interface IPsec

193 冗長構成 ip address unnumbered ipsec map ipsec2 interface VLAN1 ip address /24 interface VLAN2 ip address /24 ip route /32 IPsec1 ip route /24 IPsec1 ip route /24 IPsec2 network-monitor monitor1 monitor interval occurrence 10 5 monitor interval restorer 10 monitor counter occurrence 3 monitor counter restorer 5 monitor startup-delay 10 event ip unreach-host interface IPsec1 source Loopback0.0 action 10 route-del /24 IPsec1 action 20 route-add /24 IPsec2 monitor-group monitor1 enable ike proposal ipsec1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike proposal ipsec2 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ipsec1 mode aggressive local-id key-id test01 outgoing-interface PPPoE0 auto dpd-keepalive enable ph1 proposal ipsec1 pre-shared-key plain test1 ike policy ipsec2 mode aggressive local-id key-id test02 outgoing-interface MobileEthernet0.0 auto dpd-keepalive enable ph1 proposal ipsec2 pre-shared-key plain test2 ipsec proposal ipsec

194 冗長構成 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec proposal ipsec2 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsec1 local-id /24 remote-id /24 rekey enable always proposal ipsec1 ipsec policy ipsec2 local-id /24 remote-id /24 rekey enable always proposal ipsec2 ipsec profile ipsec1 mode tunnel ipsec policy ipsec1 ike policy ipsec1 source PPPoE0 peer ipsec profile ipsec2 mode tunnel ipsec policy ipsec2 ike policy ipsec2 source MobileEthernet0.0 peer [ 装置 B:WA2610-AP 設定 ] ( コンフィグ作成バージョン :Ver7.4.1) hostname CENTER-WA2610-AP interface GigaEthernet0.0 ip address /32 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp interface GigaEthernet1.0 vlan-type port VLAN1 port 1 2 vlan-type port VLAN2 port 3 4 no ip address interface Loopback

195 冗長構成 ip address /32 interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec1 interface IPsec2 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec2 interface VLAN1 ip address /24 interface VLAN2 ip address /24 ip route /24 IPsec2 ip route /24 IPsec1 ip route /32 IPsec1 ip route default network-monitor monitor2 monitor interval occurrence 10 5 monitor interval restorer 10 monitor counter occurrence 3 monitor counter restorer 5 monitor startup-delay 10 event ip unreach-host interface IPsec1 source Loopback0.0 action 10 route-del /24 IPsec1 action 20 route-add /24 IPsec2 monitor-group monitor2 enable ike proposal ipsec1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike proposal ipsec2 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ipsec1 mode aggressive remote-id key-id test01 outgoing-interface GigaEthernet dpd-keepalive enable ph

196 冗長構成 proposal ipsec1 pre-shared-key plain test1 ike policy ipsec2 mode aggressive remote-id key-id test02 outgoing-interface GigaEthernet dpd-keepalive enable ph1 proposal ipsec2 pre-shared-key plain test2 ipsec proposal ipsec1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec proposal ipsec2 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsec1 local-id /24 remote-id /24 proposal ipsec1 ipsec policy ipsec2 local-id /24 remote-id /24 proposal ipsec2 ipsec profile ipsec1 mode tunnel ipsec policy ipsec1 ike policy ipsec1 peer any ipsec profile ipsec2 mode tunnel ipsec policy ipsec2 ike policy ipsec2 peer any 14-20

197 冗長構成 解説 [ 装置 A:WA2611-AP 設定 ] ike policy ipsec1 outgoing-interface PPPoE0 auto 同一 IP アドレス宛の peer がある場合は それぞれの IPsec トンネルの送信先インタフェース (PPPoE0) と nexthop(auto:ipcp で取得 ) を設定します ike policy ipsec2 outgoing-interface MobileEthernet0.0 auto 同一 IP アドレス宛の peer がある場合は それぞれの IPsec トンネルの送信先インタフェース (MobileEthernet0.0) と nexthop(auto:dhcp で取得 ) を設定します ipsec profile ipsec1 source PPPoE0 peer IPsec1 の宛先 IP アドレス ( 装置 B の WAN アドレス ) と送信元インタフェース IP アドレスを設定します ipsec profile ipsec2 source MobileEthernet0.0 peer IPsec2 の宛先 IP アドレス ( 装置 B の WAN アドレス ) と送信元インタフェース IP アドレスを設定します ip route /32 IPsec1 ip route /24 IPsec1 IPsec1 を経由する通信を設定します 宛先 IP アドレス 10 系は IPsec1 を経由した通信を行います ip route /24 IPsec2 IPsec2 を経由する通信を設定します 宛先 IP アドレス 系は IPsec2 を経由した通信を行います network-monitor monitor1 モニタグループを登録し 各種監視パラメータを設定します 以下の設定では 正常時は 10 秒間隔で ICMP ECHO による監視が継続されますが ICMP ECHO による通信不能を検出すると監視間隔が 5 秒間隔になり 3 回目の ICMP ECHO のタイムアウトによりアクションが開始されます 復旧は 10 秒間隔で 5 回の ICMP ECHO 受信により行われます monitor コマンドの設定を省略した場合は 自動的に初期値が設定されます monitor interval occurrence 10 5 イベント発生監視インターバルを 10 秒間隔に設定します 監視応答が無くなると 監視インターバルが 5 秒間隔に切り替わる設定をします monitor interval restorer 10 イベント復旧監視インターバルを 10 秒間隔に設定します monitor counter occurrence 3 アクション実行までの監視失敗回数を 3 回に設定します 3 回失敗するとアクション 14-21

198 冗長構成 を実行します monitor counter restorer 5 アクション復旧までの監視成功回数を 5 回に設定します イベントの監視応答が 5 回成功するとアクションが復旧します monitor startup-delay 10 ネットワークモニタの起動待ち時間を 10 秒に設定します スタートアップディレイ時間を設定します monitor-group monitor1 enable コマンドを認識してから 10 秒後にネットワークモニタが起動します event ip unreach-host interface IPsec1 source Loopback0.0 イベント動作を設定します 宛先を 送信元 IP アドレスをインタフェース Loopback0.0 の IP アドレス 出力インタフェースを IPsec1 とし ICMP でホスト到達可否を監視します action 10 route-del /24 IPsec1 action 20 route-add /24 IPsec2 イベント監視に失敗した時のアクションの動作を設定します /24 へのルートをインタフェース IPsec1 から IPsec2 に切り替えます monitor-group monitor1 enable モニタグループ monitor1 のネットワークモニタ機能を有効化します [ 装置 B:WA2610-AP 設定 ] ike policy ipsec1 outgoing-interface GigaEthernet デフォルトルートがほか経路に設定されている場合 IPsec トンネルの送信先インタフェース (GigaEthernet0.0) と nexthop( ) を設定します ike policy ipsec2 outgoing-interface GigaEthernet デフォルトルートがほか経路に設定されている場合 IPsec トンネルの送信先インタフェース (GigaEthernet0.0) と nexthop( ) を設定します ip route default デフォルトルートを /24 上の GW( ) に設定します ip route /24 IPsec1 ip route /32 IPsec1 IPsec1 を経由する通信を設定します 宛先 IP アドレス 10 系は IPsec1 を経由した通信を行います ip route /24 IPsec2 IPsec2 を経由する通信を設定します 宛先 IP アドレス 系は IPsec2 を経由した通信を行います network-monitor monitor2 モニタグループを登録し 各種監視パラメータを設定します 以下の設定では 正常時は 10 秒間隔で ICMP ECHO による監視が継続されますが ICMP ECHO による通信不能を検出すると監視間隔が 5 秒間隔になり 3 回目の ICMP 14-22

199 冗長構成 ECHO のタイムアウトによりアクションが開始されます 復旧は 10 秒間隔で 5 回の ICMP ECHO 受信により行われます monitor コマンドの設定を省略した場合は 自動的に初期値が設定されます monitor interval occurrence 10 5 イベント発生監視インターバルを 10 秒間隔に設定します 監視応答が無くなると 監視インターバルが 5 秒間隔に切り替わる設定をします monitor interval restorer 10 イベント復旧監視インターバルを 10 秒間隔に設定します monitor counter occurrence 3 アクション実行までの監視失敗回数を 3 回に設定します 3 回失敗するとアクションを実行します monitor counter restorer 5 アクション復旧までの監視成功回数を 5 回に設定します イベントの監視応答が 5 回成功するとアクションが復旧します monitor startup-delay 10 ネットワークモニタの起動待ち時間を 10 秒に設定します スタートアップディレイ時間を設定します monitor-group monitor1 enable コマンドを認識してから 10 秒後にネットワークモニタが起動します event ip unreach-host interface IPsec1 source Loopback0.0 イベント動作を設定します 宛先を 送信元 IP アドレスをインタフェース Loopback0.0 の IP アドレス 出力インタフェースを IPsec1 とし ICMP でホスト到達可否を監視します action 10 route-del /24 IPsec1 action 20 route-add /24 IPsec2 イベント監視に失敗した時のアクションの動作を設定します /24 へのルートをインタフェース IPsec1 から IPsec2 に切り替えます 14-23

200 冗長構成 デュアルモバイルで WAN 回線を冗長化する 2 つのモバイル回線を使用して WAN 回線を冗長化する設定を説明します 本設定は 以下の環境を想定した設定例です A モバイル回線事業者のデータ通信サービスと B モバイル回線事業者のデータ通信サービスを装置 A で収容します ( デュアルモバイル機能 ) 主回線を 外付けデータ通信端末を利用するインタフェース MobileEthernet1.0 バックアップ回線を 内蔵モジュールを利用するインタフェース MobileEthernet0.0 に設定します 補足主従関係にインタフェース (MobileEthernet / Serial) の制約はありません ネットワークモニタ機能で 主回線のアンテナレベルを監視し 設定されたレベル以下になった場合に通信経路をバックアップ回線に切り替えます アンテナレベルが復旧した場合は 通信経路を主回線に切戻します 接続構成 アンテナレベル監視 /24 3G/LTE ME1.0 (((((( A モバイル通信事業者 端末 A GE1.0 UNIVERGE WA2611-AP 装置 A (((((( ME0.0 内蔵モジュール B モバイル通信事業者 インターネットサービスプロバイダ 設定概要以下の設定を行います WAN インタフェース (MobileEthernet0.0) 設定 WAN インタフェース (MobileEthernet1.0) 設定 ルーティング設定 NAPT 設定 プロキシ DNS 設定 ネットワークモニタ設定 14-24

201 冗長構成 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2611-AP 設定 ] hostname WA2611-AP device usb0 device module0 interface GigaEthernet0.0 no ip address interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example-b.net mobile username test-b mobile password plain test-b auto-connect interface MobileEthernet1.0 ip address dhcp ip napt enable mobile id IP example-a.net mobile username test-a mobile password plain test-a auto-connect ip route default MobileEthernet1.0 network-monitor anntena_level monitor interval occurrence 2 monitor interval restorer 3 monitor counter occurrence 10 monitor counter restorer 30 monitor startup-delay 60 event antenna MobileEthernet1.0 level 2 a-count 5 action 10 route-del /0 MobileEthernet1.0 action 11 route-add /0 MobileEthernet0.0 action 20 pdns-server-del MobileEthernet1.0 dhcp action 21 pdns-server-add MobileEthernet0.0 dhcp action 30 reset-device usb

202 冗長構成 monitor-group antenna_level enable proxy-dns ip enable proxy-dns server default MobileEthernet1.0 dhcp 解説 [ 装置 A:WA2611-AP 設定 ] interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example-b.net mobile username test-b mobile password plain test-b インタフェース MobileEthernet0.0 を設定します 内蔵モジュール (Device Module0) を使用したインタフェースです interface MobileEthernet1.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example-a.net mobile username test-a mobile password plain test-a インタフェース MobileEthernet1.0 を設定します 外付けデータ通信端末を使用したインタフェースです network-monitor anntena_level モニタグループを登録し 各種監視パラメータを設定します monitor interval occurrence 2 イベント発生監視インターバルを 2 秒間隔に設定します monitor interval restorer 3 イベント復旧監視インターバルを 3 秒間隔に設定します monitor counter occurrence 10 アクション実行までの監視回数を 10 回に設定します monitor counter restorer 30 アクション復旧までの監視回数を 30 回に設定します monitor startup-delay 60 ネットワークモニタの起動待ち時間を 60 秒に設定します スタートアップディレイ時間を設定します monitor-group antenna_level enable コマンドを認識してから 60 秒後にネットワークモニタが起動します event antenna MobileEthernet1.0 level 2 a-count 5 イベント動作を設定します アンテナレベルは a-count で指定した回数の平均とし アンテナレベルが monitor counter で指定した回数で条件に合致した場合にイベントが発 14-26

203 冗長構成 生します 本設定では インタフェース MobileEthernet1.0 のアンテナレベルが 5 回平均で level 2 を 10 回下回った場合にイベントが発生します 30 回上回った場合に復旧イベントが発生します action 10 route-del /0 MobileEthernet1.0 action 11 route-add /0 MobileEthernet0.0 デフォルトルートをインタフェース MobileEthernet1.0 から MobileEthernet0.0 に切り替えます action 20 pdns-server-del MobileEthernet1.0 dhcp action 21 pdns-server-add MobileEthernet0.0 dhcp インタフェース MobileEthernet1.0 で取得した DNS サーバのアドレスをインタフェース MobileEthernet0.0 で取得したアドレスに切り替えます action 30 reset-device usb0 USB0 に接続されているデバイス ( 外付けデータ通信端末 ) をリセットします 初期値では 3 秒間 給電を OFF します monitor-group antenna_level enable モニタグループ antenna_level のネットワークモニタ機能を有効にします 14-27

204 冗長構成 ネットワークモニタ機能の複数イベントを使用するネットワークモニタ機能の複数イベント (AND 条件 ) を使用して メイン回線のセンタ側サーバで複数の障害が発生した時にバックアップサーバへ切り替える設定を説明します 本設定は 以下の環境を想定した設定例です 装置 A は ネットワークモニタ機能の複数イベント (AND 条件 ) で 主回線 (PPPoE 回線 ) 経由で端末 B と端末 C をホスト監視し 複数の監視経路で障害が発生すると 通信経路をバックアップ回線 ( モバイル回線 ) に切り替えます 接続構成 ホスト監視 IPsec0( 主回線 ) ホスト監視 /24 GE 端末 A UNIVERGE WA2612-AP 装置 A GE0.0 動的 IP PPPoE 動的 IP ME0 ((( 内蔵モジュール インターネットサービスプロバイダ モバイル通信事業者 固定 IP 固定 IP UNIVERGE WA2610-AP 装置 B /24 GE 端末 B.2 端末 C GE 装置 C UNIVERGE WA1510 端末 D IPsec1 ( バックアップ回線 ) /24 IKE モード : Aggressive IPsec 通信モード : Tunnel 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit 設定概要以下の設定を行います LAN インタフェース設定 WAN インタフェース設定 ルーティング設定 IPsec インタフェース設定 ネットワークモニタ設定 ( 装置 A) 14-28

205 冗長構成 設定 ( コンフィグ作成バージョン :Ver8.0.3) [ 装置 A:WA2612-AP 設定 ] hostname WA2612-AP ppp profile pppoe authentication username test@examle.net authentication password plain test interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 ip address /24 interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable ip napt reserve icmp ip napt reserve esp ip napt reserve udp 500 interface Loopback0.0 ip address /32 interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable ip napt reserve icmp ip napt reserve udp 500 ip napt reserve esp mobile id IP example.net auto-connect shutdown interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map IPsec0 interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map IPsec

206 冗長構成 ip route default PPPoE0 ip route /32 PPPoE0 ip route /32 IPsec0 ip route /24 IPsec0 network-monitor monitor1 monitor interval occurrence 10 5 monitor interval restorer 10 monitor counter occurrence 3 monitor counter restorer 5 monitor startup-delay 60 multi-event 10 sub 10 ip unreach-host interface Loopback0.0 multi-event 10 sub 20 ip unreach-host interface Loopback0.0 action 10 ipsec-sa-clear ipsec_prof1 action 20 no-shutdown MobileEthernet0.0 action 30 route-del /0 PPPoE0 action 40 route-add /0 MobileEthernet0.0 action 50 route-add /24 IPsec1 action 60 pdns-server-add MobileEthernet0.0 dhcp action 70 BAK-LED-on monitor-group monitor1 enable proxy-dns ip enable proxy-dns server default PPPoE0 ipcp ike proposal IPsec0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike proposal IPsec1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy IPsec0 mode aggressive local-id key-id test1 dpd-keepalive enable ph proposal IPsec0 pre-shared-key plain test2 ike policy IPsec1 mode aggressive local-id key-id test3 dpd-keepalive enable ph proposal IPsec1 pre-shared-key plain test4 ipsec proposal IPsec

207 冗長構成 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec proposal IPsec1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy IPsec0 local-id /24 remote-id /24 rekey enable always pfs enable 768-bit proposal IPsec0 ipsec policy IPsec1 local-id /24 remote-id /24 rekey enable always pfs enable 768-bit proposal IPsec1 ipsec profile IPsec0 mode tunnel ipsec policy IPsec0 ike policy IPsec0 source PPPoE0 peer ipsec profile IPsec1 mode tunnel ipsec policy IPsec1 ike policy IPsec1 source MobileEthernet0.0 peer [ 装置 B:WA2611-AP 設定 ] ( コンフィグ作成バージョン :Ver8.0.3) hostname CENTER-WA2611-AP interface GigaEthernet0.0 ip address /24 ip napt enable ip napt reserve esp ip napt reserve icmp ip napt reserve udp 500 interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /

208 冗長構成 interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 ip route /24 IPsec0 ip route default ip route /32 IPsec0 proxy-dns ip enable proxy-dns server default ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive remote-id key-id test1 dpd-keepalive enable ph proposal ikeprop1 pre-shared-key plain test2 ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /24 remote-id /24 pfs enable 768-bit proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any [ 装置 C:WA1510 設定 ] ( コンフィグ作成バージョン :Ver8.0.3) hostname CENTER-WA1510 interface GigaEthernet0.0 ip address /24 ip napt enable ip napt reserve esp 14-32

209 冗長構成 ip napt reserve icmp ip napt reserve udp 500 interface GigaEthernet1.0 ip address /24 interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 ip route default ip route /24 IPsec0 proxy-dns ip enable proxy-dns server default ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive remote-id key-id test3 dpd-keepalive enable ph proposal ikeprop1 pre-shared-key plain test4 ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /24 remote-id /24 pfs enable 768-bit proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any 14-33

210 冗長構成 解説 [ 装置 A:WA2611-AP 設定 ] ip route /32 PPPoE0 装置 B 向けの IPsec peer ルートを設定します ip route /24 IPsec0 IPsec 通信が必要なパケットを IPsec インタフェースに転送します network-monitor monitor1 モニタグループを登録し 各種監視パラメータを設定します 以下の設定では 正常時は 10 秒間隔で ICMP ECHO による監視が継続されますが ICMP ECHO による通信不能を検出すると監視間隔が 5 秒間隔になり 3 回目の ICMP ECHO のタイムアウトによりアクションが開始されます 復旧は 10 秒間隔で 5 回の ICMP ECHO 受信により行われます monitor コマンドの設定を省略した場合は 自動的に初期値が設定されます monitor interval occurrence 10 5 イベント発生監視インターバルを 10 秒間隔に設定します 監視応答が無くなると 監視インターバルが 5 秒間隔に切り替わる設定をします monitor interval restorer 10 イベント復旧監視インターバルを 10 秒間隔に設定します monitor counter occurrence 3 アクション実行までの監視失敗回数を 3 回に設定します 3 回失敗するとアクションを実行します monitor counter restorer 5 アクション復旧までの監視成功回数を 5 回に設定します イベントの監視応答が 5 回成功するとアクションが復旧します monitor startup-delay 60 ネットワークモニタの起動待ち時間を 60 秒に設定します スタートアップディレイ時間を設定します monitor-group monitor1 enable コマンドを認識してから 60 秒後にネットワークモニタが起動します multi-event 10 sub 10 ip unreach-host interface Loopback0.0 マルチイベント動作 (AND 条件 ) を設定します 宛先を 送信元 IP アドレスをインタフェース Loopback0.0 の IP アドレス 出力インタフェースを IPsec0 とし ICMP でホスト到達可否を監視します イベント発生条件は sub 10 と sub 20 の障害が発生している場合にアクションが動作します 注 ) 切り替え後に sub 10 もしくは sub 20 のどちらかの障害が復旧した場合は 切り戻ります multi-event 10 sub 20 ip unreach-host interface Loopback0.0 マルチイベント動作 (AND 条件 ) を設定します 宛先を 送信元 IP アドレスをインタフェース Loopback0.0 の IP アドレス 出力インタフェースを IPsec0 とし ICMP でホスト到達可否を監視します イベント発生条件は sub 10 と sub 20 の障害が発生している場合にアクションが動作します 注 ) 切り替え後に sub 10 もしくは sub 20 のどちらかの障害が復旧した場合は 切り 14-34

211 冗長構成 戻ります action 10 ipsec-sa-clear ipsec_prof1 イベント監視に失敗した時のアクションの動作を設定します ipsecprof1 の IPsec SA をクリアします action 20 no-shutdown MobileEthernet0.0 MobileEthernet0.0 を します action 30 route-del /0 PPPoE0 デフォルトルートのインタフェース PPPoE0 を削除します action 40 route-add /0 MobileEthernet0.0 デフォルトルートをインタフェース MobileEthernet0.0 に切り替えます action 50 route-add /24 IPsec1 バックアップ回線への IPsec 通信が必要なパケットを IPsec インタフェースに転送するためのルートを設定します action 60 pdns-server-add MobileEthernet0.0 dhcp DNS サーバのアドレスをインタフェース MobileEthernet0.0 で取得したアドレスに切り替えます action 70 BAK-LED-on 装置前面の BAK LED が点灯します monitor-group monitor1 enable モニタグループ monitor1 のネットワークモニタ機能を有効化します 14-35

212 ポリシールーティング 15. ポリシールーティング設定 アプリケーション毎に経路を分けるポリシールーティング機能を使用して アプリケーション毎に送信経路を分ける設定を説明します 本設定は 以下の環境を想定した設定例です デフォルトルートは PPPoE 回線とします ネットワーク /24 上の端末からの HTTP ( TCP 80 ) パケットは MobileEthernet0.0 インタフェースから送信します HTTP(TCP 80) 以外のパケットは デフォルトルートの PPPoE0 インタフェースから送信します 接続構成 /24 HTTP 以外 UNIVERGE WA2611-AP PPPo0 インターネットサービスプロバイダ 端末 A HTTP GE1 ME0 (((((( 内蔵モジュール 通信事業者モバイルネットワーク 設定概要以下の設定を行います WAN インタフェース設定 ルーティング設定 アクセスリスト設定 route-map 設定 GigaEthernet1.0 インタフェースへの route-map の適用 15-1

213 ポリシールーティング 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2611-AP 設定 ] hostname WA2611-AP ip access-list POLICYROUTE permit tcp src /24 sport any dest any dport eq 80 ppp profile pppoe authentication username test@example.net authentication password plain test route-map ROUTEMAP 1 match ip access-list POLICYROUTE set ip next-hop dhcp MobileEthernet0.0 interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 ip address /24 ip policy route-map ROUTEMAP interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable interface Loopback0.0 ip address /8 interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example.net auto-connect ip route default PPPoE0 proxy-dns ip enable proxy-dns server default PPPoE0 ipcp proxy-dns server secondary MobileEthernet0.0 dhcp 15-2

214 ポリシールーティング 解説 ip access-list POLICYROUTE permit tcp src /24 sport any dest any dport eq 80 ポリシールーティング対象とする端末をアクセスリストで指定します 送信元 IP アドレスが /24 で 宛先ポートが 80 のパケットが対象となります route-map ROUTEMAP 1 ルートマップ ROUTEMAP を作成します シーケンス番号 1 は任意の番号です match ip access-list POLICYROUTE 制御したいトラフィックのマッチ条件をアクセスリストで指定します set ip next-hop dhcp MobileEthernet0.0 ポリシーにヒットしたパケットの送信先を設定します MobileEthernet インタフェースを指定する場合は set interface ではなく set next-hop ネクストホップアドレスで設定します interface GigaEthernet1.0 ip policy route-map ROUTEMAP インタフェース GigaEthernet1.0 で受信したパケットに対してポリシールーティングが適用されます 送信パケットにポリシールーティングを適用することはできません 15-3

215 ポリシールーティング 自発パケットの経路を分けるローカルポリシールーティング機能を使用して 自装置が生成するパケットの経路を分ける設定を説明します 本設定は 以下の環境を想定した設定例です デフォルトルートは PPPoE 回線とします 管理端末 A からの telnet 接続に対する応答パケット ( 自発パケット ) は Serial0 インタフェースから送信します 管理端末 A への telnet 応答パケット以外は デフォルトルートの PPPoE0 インタフェースから送信します なお 設定例では アドレス変換機能 (NAPT/NAT) やフィルタリング設定等は省略しております 実際にご使用される際は 必ずセキュリティ対策を施してください 接続構成 /24 GE1 UNIVERGE WA2611-AP ( 内蔵モジュール ) デフォルトルート PPPo0 Serial0 0 (((((( telnet 応答 インターネットサービスプロバイダ 通信事業者モバイルネットワーク 管理端末 A /32 設定概要以下の設定を行います WAN インタフェース設定 ルーティング設定 アクセスリスト設定 route-map 設定 telnet サーバ設定 15-4

216 ポリシールーティング 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2611-AP 設定 ] hostname WA2611-AP ip access-list localpolicy permit tcp src any sport eq 23 dest /32 dport any ppp profile pppoe authentication username test@example.net authentication password plain test ppp profile mobile authentication username test authentication password plain test route-map LocalPolicy 10 match ip access-list localpolicy set interface Serial0 ip local policy route-map LocalPolicy interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect interface Loopback0.0 ip address /8 interface Serial0 ip address ipcp ip tcp adjust-mss auto ppp profile mobile mobile id IP 1 example.net mobile number *99***CID# auto-connect ip route default PPPoE0 telnet-server ip enable 15-5

217 ポリシールーティング 解説 ip access-list localpolicy permit tcp src any sport eq 23 dest /32 dport any ローカルポリシールーティングの端末をアクセスリストで指定します 送信ポートが 23(telnet) で 宛先 IP アドレスが /32 のパケットが対象となります route-map LocalPolicy 10 ルートマップ LocalPolicy を作成します シーケンス番号 10 は任意の番号です match ip access-list localpolicy 制御したいトラフィックのマッチ条件をアクセスリストで指定します set interface Serial0 ポリシーにヒットしたパケットの送信先インタフェースを設定します ip local policy route-map LocalPolicy ローカルポリシールーティングを適用するルートマップを指定します 15-6

218 無線 LAN 16. 無線 LAN 設定 マルチ SSID で複数のアクセス方式に対応する SSID ごとに別々の通信方式やパスワードを有効にする基本的な設定を説明します 本機能は WA2610-AP シリーズ ならびに WA2021+WA100-AP の組合せで有効です 但し WA2021+WA100-AP は 5GHz 帯は非サポートです 接続構成 SSID-B SSID-A / /24 SSID-C 2.4G + 5G 2.4G 5G /24 UNIVERGE WA2611-AP WE0.0 無線 LAN WE0.1 WE0.2 装置 A ((( ME0.0 内蔵モジュール インターネットサービスプロバイダ モバイル通信事業者 設定概要以下の設定を行います 無線 LAN(WirelessEthernet0.0~0.2) インタフェース設定 DHCP サーバ設定 MobileEthernet0.0 インタフェース設定 ルーティング設定 NAPT 設定 プロキシ DNS 設定 16-1

219 無線 LAN 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2611-AP 設定 ] hostname WA2611-AP ip dhcp-server enable ip dhcp-server profile ssid-a default-gateway auto dns-server auto subnet-mask auto ip dhcp-server profile ssid-b default-gateway auto dns-server auto subnet-mask auto ip dhcp-server profile ssid-c default-gateway auto dns-server auto subnet-mask auto wireless 2g channel bgn single auto wireless 2g powerlevel 50 wireless 5g channel anac single 36 wireless 5g powerlevel 100 interface GigaEthernet0.0 no ip address interface GigaEthernet1.0 no ip address interface WirelessEthernet0.0 ssid SSID-A authentication type psk encryption mode wpa-wpa2 aes-tkip encryption wpa-key plain hogehogehoge frequency dual ip address /24 ip dhcp-server binding ssid-a interface WirelessEthernet0.1 ssid SSID-B authentication type psk encryption wep-key 64bit plain hogea encryption mode wep frequency 2g ip address /24 ip dhcp-server binding ssid-b 16-2

220 無線 LAN interface WirelessEthernet0.2 ssid SSID-C authentication type psk encryption wpa-key plain hogehoge encryption mode wpa aes frequency 5g ip address /24 ip dhcp-server binding ssid-c interface Loopback0.0 ip address /8 interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example.net mobile username test mobile password plain test auto-connect ip route default MobileEthernet0.0 proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp 解説 ip dhcp-server enable DHCP サーバ機能を有効化します ip dhcp-server profile ssid-x DHCP プロファイル ssid-x を作成します assignable-range を省略した場合は DHCP プロファイルを設定したインタフェースの IP アドレスに +1 したアドレスから始まるアドレス範囲が設定されます default-gateway auto atuo 設定の場合 DHCP プロファイルを設定したインタフェースの IP アドレスをデフォルトゲートウェイとして DHCP クライアントに通知します dns-server auto atuo 設定の場合 DHCP プロファイルを設定したインタフェースの IP アドレスを DNS サーバの IP アドレスとして DHCP クライアントに通知します DHCP クライアントからの DNS 問い合わせに応答するために プロキシ DNS の設定が必要です subnet-mask auto atuo 設定の場合 DHCP プロファイルを設定したインタフェースのサブネットマスクを DHCP クライアントに通知します 16-3

221 無線 LAN wireless 2g channel bgn single auto 2.4GHz 帯の動作モードを bgn バンド幅を single 通信チャネルを auto に設定します 通信チャネル auto では 1~13 チャネルの中から自動で空きチャネルを選択します ( 初期値は bgn single auto) wireless 2g powerlevel GHz 帯の送信電力を 50% に設定します ( 初期値は 100%) wireless 5g channel anac single 36 5GHz 帯の動作モードを anac バンド幅を single 通信チャネルを 36 に設定します ( 初期値は anac single auto) wireless 5g powerlevel 100 5GHz 帯の送信電力を 100% に設定します ( 初期値は 100%) interface WirelessEthernet0.0 初期状態ではインタフェース WirelessEthernet0.0 のみが存在します 補足無線 LAN を使用される場合は かならず WirelessEthernet0.0 を有効化してください 初期値は表示されませんので 詳細はコマンドリファレンスを参照下さい ssid SSID-A SSID を SSID-A に設定とします authentication type psk 認証方式を設定します ( 初期値は psk) encryption mode wpa-wpa2 aes-tkip 暗号化モードを wpa-wpa2 aes-tkip に設定します ( 初期値は wpa-wpa2 aes-tkip) encryption wpa-key plain hogehogehoge 暗号化キーを WPA/WPA2 キーで hogehogehoge に設定します frequency dual 利用する周波数帯を設定します ( 初期値は dual) ip address /24 ip dhcp-server binding ssid-a IP アドレスを /24 に設定し DHCP プロファイル ssid-a を割当てます 初期値は shutdown です 本インタフェースを使用する場合は でインタフェースを有効化します 同様に インタフェース WirelessEthernet0.1 WirelessEthernet0.2 も設定を施してください 補足初期状態ではインタフェース WirelessEthernet0.0 のみが存在しますので インタフェース WirelessEthernet0.1~WirelessEthernet0.11(WA2021 は ~WirelessEthernet0.3) を使用する場合は コマンド入力でインタフェースを作成する必要があります 16-4

222 無線 LAN 有線 LAN と無線 LAN を BVI で同一セグメントとして扱う無線 LAN と有線 LAN とを BVI インタフェースを介して同一セグメントとし インターネット接続する基本的な設定を説明します 本設定は 以下の環境を想定した設定例です 無線 LAN(WirelessEthernet0.0) と有線 LAN(GigaEthrenet1.0) を 同じブリッジグループとします 論理インタフェースである BVI インタフェースを設定し 上記 2 つの LAN と同じブリッジグループに帰属させます BVI インタフェースに ゲートウェイアドレスや DHCP サーバを設定します メモ GE1.0 インタフェースに IP アドレスや DHCP サーバを設定し WE0.0 インタフェースを帰属させることもできますが その場合 GE1.0 インタフェースがダウンすると無線子機も通信不可となります BVI インタフェースは論理インタフェースで常にアクティブのため ほかインタフェースの影響を受けません 本機能は WA2610-AP シリーズ ならびに WA2021+WA100-AP の組合せで有効です 但し WA2021+WA100-AP は 5GHz 帯は非サポートです 接続構成 同一セグメント /24 SSID-A 端末 A 端末 B 2.4G 5G WE0.0 GE1.0 BVI0.0 UNIVERGE WA2610-AP 装置 A ME0.0 LTE ((( データ通信端末 インターネットサービスプロバイダ モバイル通信事業者 設定概要以下の設定を行います ブリッジ設定 有線 LAN(GigaEthernet1.0) インタフェース設定 無線 LAN(WirelessEthernet0.0) インタフェース設定 BVI0.0 インタフェース設定 DHCP サーバ設定 MobileEthernet0.0 インタフェース設定 ルーティング設定 NAPT 設定 プロキシ DNS 設定 16-5

223 無線 LAN 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP bridge ieee enable ip dhcp-server enable ip dhcp-server profile local assignable-range default-gateway auto dns-server auto subnet-mask auto interface GigaEthernet0.0 no ip address interface GigaEthernet1.0 no ip address bridge ieee 1 interface WirelessEthernet0.0 ssid SSID-A authentication type psk encryption mode wep encryption wep-key 64bit plain test1 frequency dual no ip address bridge ieee 1 interface Loopback0.0 ip address /8 interface Serial0 ip address ipcp mobile number *99***CID# auto-connect shutdown interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example.net mobile username test mobile password plain test mobile auto-recovery enable auto-connect 16-6

224 無線 LAN interface BVI0.0 ip address /24 ip dhcp-server binding local bridge ieee 1 ip route default MobileEthernet0.0 proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp 解説 bridge ieee enable ブリッジ機能を有効化します ip dhcp-server enable DHCP サーバ機能を有効化します ip dhcp-server profile local assignable-range DHCP プロファイル local を作成します DHCP クライアントに割当てるアドレス範囲を ~ (50 アドレス ) までとします default-gateway auto atuo 設定の場合 DHCP プロファイルを設定したインタフェースの IP アドレスをデフォルトゲートウェイとして DHCP クライアントに通知します dns-server auto atuo 設定の場合 DHCP プロファイルを設定したインタフェースの IP アドレスを DNS サーバの IP アドレスとして DHCP クライアントに通知します DHCP クライアントからの DNS 問い合わせに応答するために プロキシ DNS の設定が必要です subnet-mask auto atuo 設定の場合 DHCP プロファイルを設定したインタフェースのサブネットマスクを DHCP クライアントに通知します interface GigaEthernet1.0 no ip address インタフェース BVI0.0 と同じ IP セグメントですので IP アドレスは設定しません bridge ieee 1 ブリッジ機能を有効化します インタフェース BVI0.0 および無線 LAN インタフェース WirelessEthernet0.0 と同一ブリッジグループを割り当てることで 同一ブロードキャストドメインとなります interface WirelessEthernet0.0 初期状態ではインタフェース WirelessEthernet0.0 のみが存在します 補足 16-7

225 無線 LAN 初期値は表示されませんので 詳細はコマンドリファレンスを参照下さい ssid SSID-A SSID を SSID-A に設定とします authentication type psk 認証方式を設定します ( 初期値は psk) encryption mode wep 暗号化モードを WEP に設定します ( 初期値は wpa-wpa2-psk) encryption wep-key 64bit plain test1 暗号化キーを WEP キー 暗号強度 64bit で test1 に設定します frequency dual 利用する周波数帯を設定します ( 初期値は dual) no ip address インタフェース BVI0.0 と同じ IP セグメントですので IP アドレスは設定しません bridge ieee 1 ブリッジ機能を有効にします インタフェース BVI0.0 およびインタフェース GigaEthernet1.0 と同一ブリッジグループを割り当てることで 同一ブロードキャストドメインとなります 初期値は shutdown です 本インタフェースを使用する場合は でインタフェースを有効化します interface BVI0.0 ip address /24 ip dhcp-server binding local インタフェース BVI0.0 に IP アドレス /24 を設定し DHCP プロファイル local を割当てます 有線 LAN 端末および無線 LAN 子機は同一ブロードキャストドメインに属しますので この DHCP プロファイルを使用して DHCP で IP アドレスを取得します bridge ieee 1 ブリッジ機能を有効化します インタフェース GigaEthernet1.0 および無線 LAN インタフェース WirelessEthernet0.0 と同一ブリッジグループを割り当てることで 同一ブロードキャストドメインとなります 16-8

226 無線 LAN つの無線 LAN グループを別セグメントとして扱う異なる SSID の無線 LAN グループ (SSID-A と SSID-B) をそれぞれ別セグメントとし SSID-A 無線 LAN グループの端末は インターネット VPN 経由で対向拠点の端末とブリッジ接続する SSID-B 無線 LAN グループの端末は 直接インターネット接続する設定を説明します 本機能は WA2610-AP シリーズ ならびに WA2021+WA100-AP の組合せで有効です 但し WA2021+WA100-AP は 5GHz 帯は非サポートです 接続構成 SSID-B /24 端末 A 端末 B 端末 C SSID-A WE0.0 WE0.1 GE1.0 UNIVERGE WA2610-AP 装置 A PPPoE インターネットサービスプロバイダ GE IPsec+EtherIP UNIVERGE WA2611-AP 装置 B 端末 D 設定概要以下の設定を行います PPPoE インタフェース設定 有線 LAN(GigaEthernet1.0) インタフェース設定 無線 LAN(WirelessEthernet0.0) インタフェース設定 無線 LAN(WirelessEthernet0.1) インタフェース設定 ブリッジ設定 DHCP サーバ設定 IPsec 設定 EtherIP 設定 ルーティング設定 NAPT 設定 プロキシ DNS 設定 DynamicDNS 設定 16-9

227 無線 LAN 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP ppp profile pppoe authentication username test@example.net authentication password plain test bridge ieee enable ip dhcp-server enable ip dhcp-server profile local default-gateway auto dns-server auto subnet-mask auto interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 no ip address bridge ieee 1 interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe ip napt enable ip napt reserve icmp ip napt reserve udp 500 ip napt reserve esp auto-connect interface WirelessEthernet0.0 ssid SSID-A authentication type psk encryption mode wpa-wpa2 aes-tkip encryption wpa-key plain wireless-test-a frequency dual no ip address bridge ieee 1 interface WirelessEthernet0.1 ssid SSID-B authentication type psk encryption mode wpa-wpa2 aes-tkip encryption wpa-key plain wireless-test-b frequency dual 16-10

228 無線 LAN ip address /24 ip dhcp-server binding local interface Loopback0.0 ip address /32 interface MobileEthernet0.0 no ip address auto-connect shutdown interface IPsec0 ip address unnumbered ipsec map ipsec_prof0 interface EtherIP0 bridge ieee 1 ether-ip peer ether-ip source Loopback0.0 ip route default PPPoE0 ip route /32 IPsec0 proxy-dns ip enable proxy-dns server default PPPoE0 ipcp ike proposal ike_prop0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ike_poli0 mode main proposal ike_prop0 pre-shared-key plain test0 ipsec proposal ipsec_prop0 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsec_poli0 proposal ipsec_prop0 ipsec profile ipsec_prof0 mode tunnel ipsec policy ipsec_poli0 ike policy ike_poli0 source PPPoE0 peer ddns enable 16-11

229 無線 LAN ddns account waddns source-ip auto [ 装置 B:WA2611-AP 設定 ] hostname WA2611-AP bridge ieee enable interface GigaEthernet0.0 ip address /32 interface GigaEthernet1.0 no ip address bridge ieee 1 interface Loopback0.0 ip address /32 interface Serial0 ip address ipcp mobile number *99***CID# auto-connect interface IPsec0 ip address unnumbered ipsec map ipsec_prof0 interface EtherIP0 bridge ieee 1 ether-ip peer ether-ip source Loopback0.0 ip route /32 IPsec0 ip route default ike proposal ike_prop0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ike_poli0 mode main proposal ike_prop0 pre-shared-key plain test0 ipsec proposal ipsec_prop0 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime

230 無線 LAN ipsec policy ipsec_poli0 proposal ipsec_prop0 ipsec profile ipsec_prof0 mode tunnel ipsec policy ipsec_poli0 ike policy ike_poli0 source GigaEthernet0.0 peer WA waddns.com 解説 [ 装置 A:WA2610-AP 設定 ] bridge ieee enable ブリッジ機能を有効化します ip dhcp-server enable DHCP サーバ機能を有効化します ip dhcp-server profile local DHCP プロファイル local を作成します DHCP クライアントに割当てるアドレス範囲を指定しない場合は DHCP プロファイルを設定したインタフェースの IP アドレスに +1 したアドレスから始まるアドレスで 32 アドレスが自動的に割当てられます 本設定例では ~ までが割当てられます default-gateway auto atuo 設定の場合 DHCP プロファイルを設定したインタフェースの IP アドレスをデフォルトゲートウェイとして DHCP クライアントに通知します dns-server auto atuo 設定の場合 DHCP プロファイルを設定したインタフェースの IP アドレスを DNS サーバの IP アドレスとして DHCP クライアントに通知します DHCP クライアントからの DNS 問い合わせに応答するために プロキシ DNS の設定が必要です subnet-mask auto atuo 設定の場合 DHCP プロファイルを設定したインタフェースのサブネットマスクを DHCP クライアントに通知します interface GigaEthernet1.0 no ip address bridge ieee 1 インタフェース GigaEthernet1.0 でブリッジ機能を有効化します interface WirelessEthernet0.0 インタフェース GigaEthernet1.0 と同じセグメントに割当てる無線 LAN インタフェースです 補足 16-13

231 無線 LAN 初期値は表示されません 詳細はコマンドリファレンスを参照下さい ssid SSID-A SSID を SSID-A に設定とします authentication type psk 認証方式を設定します ( 初期値は psk) encryption mode wpa-wpa2 aes-tkip 暗号化モードを wpa-wpa2 aes-tkip に設定します ( 初期値は wpa-wpa2 aes-tkip) encryption wpa-key plain wireless-test-a 暗号化キーを WPA/WPA2 キーで wireless-test-a に設定します frequency dual 利用する周波数帯を設定します ( 初期値は dual) no ip address bridge ieee 1 インタフェース WirelessEthernet0.0 でブリッジ機能を有効化します 初期値は shutdown です 本インタフェースを使用する場合は で有効化します interface WirelessEthernet0.1 本設定例で使用するもう 1 つの無線 LAN インタフェースです 補足初期状態ではインタフェース WirelessEthernet0.0 のみが存在しますので インタフェース WirelessEthernet0.1~WirelessEthernet0.11(WA2021 は ~WirelessEthernet0.3) を使用する場合は コマンド入力でインタフェースを作成する必要があります ssid SSID-B SSID を SSID-B に設定とします encryption wpa-key plain wireless-test-b WPA 暗号化キーを wireless-test-b に設定します ip address /24 ip dhcp-server binding local インタフェース WirelessEthernet0.1 に IP アドレス /24 を設定し DHCP プロファイル local を割当てます 初期値は shutdown です 本インタフェースを使用する場合は で有効化します interface EtherIP0 bridge ieee 1 ether-ip peer ether-ip source Loopback0.0 論理インタフェース EtherIP0 でブリッジを動作させます ブリッジが動作しているインタフェース GigaEthernet1.0 と WirelessEtherrnet0.0 上のパケットが EtherIP カプセル化の対象となります IP カプセル化するソースインタフェース指定と宛先 IP アドレスを指定します 本設定例では IP カプセル化のソース IP アドレスを Loopback0.0 のアドレス 宛先 IP アドレスを ( 対向ルータの Loopback インタフェース ) としています ソース指定は IP アドレスでも設定可能です 16-14

232 無線 LAN interface IPsec0 ike proposal ike_prop0 ike policy ike_poli0 ipsec proposal ipsec_prop0 ipsec policy ipsec_poli0 ipsec profile ipsec_prof0 詳細は IPsec 章をご覧ください ip route default PPPoE0 インタフェース PPPoE0 をデフォルトルートに設定します ip route /32 IPsec0 宛先が /32 のパケット つまり EtherIP カプセル化対象パケットのみインタフェース IPsec0 に転送します ddns enable ddns account waddns source-ip auto 装置 B に IPsec peer の IP アドレス (PPPoE インタフェースの IP アドレス ) を伝えるために DynamicDNS を動作させます 16-15

233 無線 LAN 暗号化キーを自動的に定期更新する差分コンフィグ更新機能を利用して 暗号化キーを自動で定期更新する設定を説明します 本設定は 以下の環境を想定した設定例です 差分コンフィグ更新機能 ( 自動コンフィグ更新機能 ) を利用して コンフィグレーションの一部を変更する 更新する暗号化キーは 差分コンフィグファイル (.diff) で提供される 差分コンフィグファイル (.diff) は 対向ネットワーク上の FTP サーバから FTP で取得する 装置 A の無線 LAN 暗号化キーを毎週日曜日の午前 0 時に更新する 暗号化キーを変更すると同時に 翌週の差分コンフィグファイル名も変更する 差分コンフィグファイル名は毎週異なるものとする 接続構成 SSID-A WE0.0 UNIVERGE WA2610-AP GE UNIVERGE WA2610-AP FTP サーバ 装置 A GE 装置 B 設定概要以下の設定を行います 無線 LAN(WirelessEthernet0.0) インタフェース設定 FTP サーバへの通信経路設定 差分コンフィグ更新機能設定 ( 更新スケジュール設定 ) 差分コンフィグファイル (.diff) 格納 (FTP サーバへ ) 16-16

234 無線 LAN 設定 ( コンフィグ作成バージョン :Ver7.4.1) [ 装置 A:WA2610-AP 設定 ] hostname WA2610A bridge ieee enable ip dhcp-server enable ip dhcp-server profile local default-gateway auto dns-server auto subnet-mask auto interface GigaEthernet0.0 ip address /24 interface GigaEthernet1.0 no ip address bridge ieee 1 interface WirelessEthernet0.0 ssid SSID-A authentication type psk encryption mode wpa-wpa2 aes-tkip encryption wpa-key plain hogehogehoge no ip address bridge ieee 1 interface BVI0.0 ip address /24 ip dhcp-server binding local bridge ieee 1 ip route / auto-config-update enable auto-config-update server auto-config-update authentication username nec auto-config-update authentication password plain password auto-config-update configfile filename key-exchenge-1st-week.diff diff auto-config-update schedule weekly SUN 0:00 auto-config-update schedule retry 3 interval 10 auto-config-update syslog-backup-always 16-17

235 無線 LAN [ 定義ファイル : key-exchenge-1st-week.diff 設定例 ] auto-config-update revision interface WirelessEthernet0.0 encryption wpa-key plain auto-config-update configfile filename key-exchenge-2nd-week.diff diff 解説 [ 装置 A:WA2610-AP 設定 ] auto-config-update enable 自動コンフィグ更新機能を有効化します auto-config-update server auto-config-update authentication username nec auto-config-update authentication password plain necnec FTP サーバの IP アドレス ユーザアカウント パスワードを設定します 本設定例では ログインホームディレクトリに差分コンフィグファイルが保存されていることを想定しています auto-config-update configfile filename key-exchenge-1st-week.diff diff 差分コンフィグファイルを定義します 定義ファイル名は key-exchenge-1st-week.diff です auto-config-update schedule weekly SUN 0:00 auto-config-update schedule retry 3 interval 10 毎週日曜日の午前 0 時にコンフィグ更新を実行します 更新に失敗した場合は 10 秒間隔で 3 回リトライを試みます auto-config-update syslog-backup-always コンフィグ更新後に syslog を保存します メモ更新後の自動設定保存 (auto-config-update diff-save-enable) は デフォルト 有効 です [ 定義ファイル ] auto-config-update revision レビジョン ( 任意 12 桁以内の数字 ) を示す専用のコマンドが必須です 上記例では として扱われます レビジョン記述が無い定義ファイルは無効です レビジョンが running-config に記述されたレビジョンと同じ場合 更新は行われません interface WirelessEthernet

236 無線 LAN encryption wpa-key plain wpa-key を に上書きし 変更します 本コマンドは再起動不要で即時反映されます auto-config-update configfile filename key-exchenge-2nd-week.diff diff 次の更新のために 定義ファイル名を key-exchenge-2nd-week.diff に変更します 16-19

237 AAA 認証 17. AAA 設定 AAA/RADIUS クライアント設定 AAA/RADIUS クライアントは Ver.7.0 で追加され Ver8.0 で機能追加しています AAA とはネットワークのユーザ及びセキュリティ管理を行うための機能であり以下に示す 3 つの機能の頭文字をとった略称です 認証 (Authentication) ユーザにログイン / パスワードを要求し その正当性を確認する機能 許可 (Authorization) (ver8.0 追加機能 ) 認証完了後 ユーザに対してどのサービスの実行を許可するかを制御する機能 アカウンティング (Accounting)(ver8.0 機能強化 : ログイン認証 システム起動 ) 装置内で発生した各種事象をアカウンティング ( 記録 ) する機能 WA シリーズでは AAA 機能を提供する AAA サーバ として RADIUS サーバ と 装置自身 (Local) をサポートします 実際に AAA を使用することで以下の記録などが可能になります AAA サーバ (RADIUS サーバ ) によるユーザアカウントの一元管理 ユーザ接続ログの記録 ( 不正アクセス情報の確認 ) 再起動発生時刻の記録 RADIUS サービスタイプ属性とログイン権限の関係 RADIUS の サービスタイプ属性 (Service Type Attribute) とログイン権限 (Administrator Operator) の関係は以下の表の通りです Monitor 権限に対応するサービスタイプ属性は存在しません 特権レベル サービスタイプ属性 備考 Administrator Administrative 全てのコマンドを実行する権限を Framed 有します Operator Login 設定コマンドの実行は出来ません Framed が 設定情報の確認や統計情報の表 NAS Prompt 示と削除 ping/traceroute/telnet な指定なしどの実行権限を持ちます 17-1

238 AAA 認証 AAA 使用時の注意点 RADIUS サーバと通信するときのポート番号に注意 下記をデフォルトとしています RADIUS 認証サーバ : ポート番号 1812 RADIUS アカウントサーバ : ポート番号 1813 RADIUS サーバの機種によっては 認証サーバのポート番号が 1645 アカウントサーバのポート番号が 1646 になっている場合があります この場合 本装置側でポート番号設定の変更が必要になります 例 ) radius host ip key plain KEY acct-port 1646 auth-port 1645 RADIUS サーバへ到達可能な出力インタフェースが複数存在する場合は RADIUS パケットの送信元アドレスに Loopback インタフェースのアドレスを使用します RADIUS サーバは受信 RADIUS パケットの送信元 IP アドレスで認証を行います RADIUS サーバへ到達可能な出力インタフェースが複数存在する場合 デフォルトでは RADIUS サーバへ最短で到達可能な出力インタフェースのアドレスが選ばれます このとき 経路の切り替えによって RADIUS サーバに登録されていない IP アドレスを送信元アドレスに使用した場合 認証に失敗してしまいます このような状態を防ぐために 物理的なポート状態に影響を受けない Loopback インタフェースの使用を推奨します 17-2

239 AAA 認証 ログイン認証を行う 監視端末でローカルコンソール telnet SSH からのログイン時にユーザ名とパスワードの認証を行います 認証を有効にする基本的な設定を説明します 本設定は 以下の環境を想定した設定例です 監視端末 (A~C) から装置 A に 許可されたユーザ名とパスワードでのアクセス時のみ RADIUS サーバで認証を行います 回線障害などで RADIUS サーバと通信できない場合は ローカル DB( データベース ) による認証を行います 認証方法を RADIUS サーバのみに設定すると RADIUS サーバへアクセスできない場合は装置へログインできなくなります RADIUS サーバを使用する場合でも ローカル DB でログインできるように設定しておく事を推奨します RADIUS サーバの設定は 各機器のマニュアルをご参照ください 接続構成 GE1.0 UNIVERGE WA2610-AP ローカル DB 装置 A インターネットサービスプロバイダ UNIVERGE WA2611-AP 装置 B RADIUS サーバ 監視端末 B: SSH 接続 IPsec 監視端末 C: ローカルコンソール接続 監視端末 A: TELNET 接続 設定概要以下の設定を行います AAA 認証設定 RADIUS サーバ登録 ローカルデータベース ( ローカル DB) 登録 認証リストの指定 許可リストの指定 アカウンティングリストの指定 17-3

240 AAA 認証 設定 ( コンフィグ作成バージョン :Ver8.0.3) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP username wa2610 password plain testkey administrator aaa enable aaa authentication login AUTHEN group radius local aaa authorization exec AUTHOR group radius local aaa accounting exec ACCT start-stop group radius local radius host ip key plain retransmit 2 timeout 2 source Loopback0.0 ip access-list ipsecacl permit ip src any dest any ip dhcp-server enable ip dhcp-server profile dhcpsv0 default-gateway auto dns-server auto subnet-mask auto interface GigaEthernet0.0 ip address /24 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp interface GigaEthernet1.0 ip address /24 ip dhcp-server binding dhcpsv0 interface Loopback0.0 ip address /32 ip route /24 ipsec1 interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec_prof1 ike proposal ike_prop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ike_pol1 mode main 17-4

241 AAA 認証 dpd-keepalive enable ph1 proposal ike_prop1 pre-shared-key plain test1 ipsec proposal ipsec_prop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsec_pol1 match ipsecacl proposal ipsec_prop1 ipsec profile ipsec_prof1 mode tunnel ipsec policy ipsec_pol1 ike policy ike_pol1 source GigaEthernet0.0 peer terminal authentication AUTHEN terminal authorization AUTHOR terminal accounting ACCT telnet-server ip enable telnet-server authentication AUTHEN telnet-server authorization AUTHOR telnet-server accounting ACCT ssh-server ip enable ssh-server authentication AUTHEN ssh-server authorization AUTHOR ssh-server accounting ACCT [ 装置 B:WA2611-AP 設定 ] hostname WA2611-AP ip access-list ipsecacl permit ip src any dest any interface GigaEthernet0.0 ip address /24 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp interface GigaEthernet1.0 ip address /

242 AAA 認証 interface Loopback0.0 ip address /8 ip route /24 ipsec1 ip route /32 ipsec1 interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec_prof1 ike proposal ike_prop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ike_pol1 mode main dpd-keepalive enable ph1 proposal ike_prop1 pre-shared-key plain test1 ipsec proposal ipsec_prop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsec_pol1 match ipsecacl proposal ipsec_prop1 ipsec profile ipsec_prof1 mode tunnel ipsec policy ipsec_pol1 ike policy ike_pol1 source GigaEthernet0.0 peer 解説 [ 装置 A:WA2610-AP 設定 ] username wa2610 password plain testkey administrator ログインアカウント ( ログイン名 :wa2610 パスワード :testkey) の設定です aaa enable AAA 機能を有効化します aaa authentication login AUTHEN group radius local ログイン認証リスト AUTHEN で 一次認証方式を RADIUS サーバ 二次認証方式をローカル DB に設定します 17-6

243 AAA 認証 aaa authorization exec AUTHOR group radius local シェルサービス実行許可リスト AUTHOR で 一次認証方式を RADIUS サーバ 二次認証方式をローカル DB に設定します aaa accounting exec ACCT start-stop group radius local シェルサービスアカウンティングリスト ACCT で ログイン / ログアウトを RADIUS サーバ およびローカル DB にアカウンティングします radius host ip key plain retransmit 2 timeout 2 source Loopback0.0 RADIUS サーバの IP アドレスを設定します 認証キー は RADIUS サーバ側と同じ文字列を設定します RADIUS サーバへの再送回数 2 回 応答待ち時間 2 秒 を設定します RADIUS サーバとの通信のソースアドレスを Loopback0.0 アドレスに設定します terminal authentication AUTHEN ローカルコンソールのログイン認証を有効化します 認証リストは AUTHEN を適用します terminal authorization AUTHOR ローカルコンソールのシェルサービス実行許可で使用する許可リストを指定します 許可リストは AUTHOR を適用します terminal accounting ACCT ローカルコンソールのシェルサービスアカウンティングで使用するアカウンティングリストを指定します アカウンティングリストは ACCT を適用します telnet-server ip enable telnet サーバを有効化します telnet-server authentication AUTHEN telnet サーバのログイン認証を有効化します 認証リストは AUTHEN を適用します telnet-server authorization AUTHOR telnet サーバのシェルサービス実行許可で使用する許可リストを指定します 許可リストは AUTHOR を適用します telnet-server accounting ACCT telnet サーバのシェルサービスアカウンティングで使用するアカウンティングリストを指定します アカウンティングリストは ACCT を適用します ssh-server ip enable SSH サーバを有効化します 17-7

244 AAA 認証 ssh-server authentication AUTHEN SSH サーバのログイン認証を有効化します 認証リストは AUTHEN を適用します ssh-server authorization AUTHOR SSH サーバのシェルサービス実行許可で使用する許可リストを指定します 許可リストは AUTHOR を適用します ssh-server accounting ACCT SSH サーバのシェルサービスアカウンティングで使用するアカウンティングリストを指定します アカウンティングリストは ACCT を適用します 17-8

245 端末認証 18. 端末認証設定 有線 LAN および無線 LAN で IEEE802.1X 認証を行う無線 LAN および有線 LAN で IEEE802.1X 認証を有効にする基本的な設定を説明します 本設定は 以下の環境を想定した設定例です 装置 A を Authenticator とし RADIUS サーバで許可されたサプリカントのみアクセスを許可とします 回線障害などで RADIUS サーバと通信できない場合は Authenticator でローカル認証を行います 有線 LAN と無線 LAN は同一セグメントです RADIUS サーバおよびサプリカントの設定は 各機器のマニュアルをご参照ください 接続構成 同一セグメント 端末 D: 非認証端末 SSID-A 端末 C: 許可端末 WE0.0 GE1.0 UNIVERGE WA2610-AP 装置 A インターネットサービスプロバイダ UNIVERGE WA2611-AP 装置 B RADIUS サーバ 端末 B: 非認証端末 IPsec 端末 A: 許可端末 設定概要以下の設定を行います AAA 認証設定 RADIUS サーバ登録 ローカル DB 登録 有線 LAN インタフェースの IEEE802.1X 認証設定 無線 LAN インタフェースの IEEE802.1X 認証設定 ブリッジ設定 18-1

246 端末認証 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP aaa enable aaa authentication dot1x DOT1X-LIST group radius local aaa authentication fail-action stop aaa accounting dot1x DOT1X-ACCOUNT start-stop group radius local radius host ip key plain retransmit 2 timeout 2 source Loopback0.0 dot1x local-group username user-a password plain hoge username user-b password plain hogehoge bridge ieee enable ip access-list ipsecacl permit ip src any dest any ip dhcp-server enable ip dhcp-server profile dhcpsv0 default-gateway auto dns-server auto subnet-mask auto interface GigaEthernet0.0 ip address /24 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp interface GigaEthernet1.0 ip address /24 ip dhcp-server binding dhcpsv0 bridge ieee 1 dot1x enable dot1x authentication DOT1X-LIST dot1x accounting DOT1X-ACCOUNT interface WirelessEthernet0.0 ssid SSID-A encryption mode wpa-wpa2 aes-tkip frequency dual authentication type dot1x no ip address bridge ieee 1 dot1x authentication DOT1X-LIST dot1x accounting DOT1X-ACCOUNT 18-2

247 端末認証 interface Loopback0.0 ip address /32 ip route /24 ipsec1 interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec_prof1 ike proposal ike_prop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ike_pol1 mode main dpd-keepalive enable ph1 proposal ike_prop1 pre-shared-key plain test1 ipsec proposal ipsec_prop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsec_pol1 match ipsecacl proposal ipsec_prop1 ipsec profile ipsec_prof1 mode tunnel ipsec policy ipsec_pol1 ike policy ike_pol1 source GigaEthernet0.0 peer [ 装置 B:WA2611-AP 設定 ] hostname WA2611-AP ip access-list ipsecacl permit ip src any dest any interface GigaEthernet0.0 ip address /24 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp interface GigaEthernet1.0 ip address /

248 端末認証 interface Loopback0.0 ip address /8 ip route /24 ipsec1 ip route /32 ipsec1 interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec_prof1 ike proposal ike_prop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ike_pol1 mode main dpd-keepalive enable ph1 proposal ike_prop1 pre-shared-key plain test1 ipsec proposal ipsec_prop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsec_pol1 match ipsecacl proposal ipsec_prop1 ipsec profile ipsec_prof1 mode tunnel ipsec policy ipsec_pol1 ike policy ike_pol1 source GigaEthernet0.0 peer 解説 aaa enable AAA 機能を有効化します aaa authentication dot1x DOT1X-LIST group radius local IEEE802.1X 認証リスト DOT1X-LIST で 一次認証方式を RADIUS サーバ 二次認証方式をローカル DB に設定します aaa authentication fail-action stop 一次認証方式で認証失敗時は認証処理を終了します ( 初期値は continue) 18-4

249 端末認証 aaa accounting dot1x DOT1X-ACCOUNT start-stop group radius local IEEE802.1X 認証アカウンティングリスト DOT1X-ACCOUNT で 認証開始 / 停止を RADIUS サーバ およびローカル DB にアカウンティングします radius host ip key plain retransmit 2 timeout 2 source Loopback0.0 RADIUS サーバの IP アドレスを設定します 認証キー は RADIUS サーバ側と同じ文字列を設定します RADIUS サーバへの再送回数 2 回 応答待ち時間 2 秒 を設定します RADIUS サーバとの通信のソースアドレスを Loopback0.0 アドレスに設定します dot1x local-group username user-a password plain hoge username user-b password plain hogehoge IEEE802.1X ローカル認証で参照するユーザアカウントを設定します bridge ieee enable ブリッジ機能を有効化します ip dhcp-server enable DHCP サーバ機能を有効化します interface GigaEthernet1.0 ip address /24 ip dhcp-server binding dhcpsv0 インタフェース GigaEthernet1.0 に IP アドレス /24 を設定し DHCP プロファイル dhcpsv0 を割当てます 無線 LAN 子機も同一ブロードキャストドメインに属しますので この DHCP プロファイルを使用して DHCP で IP アドレスを取得します bridge ieee 1 インタフェース GigaEthernet1.0 でブリッジ機能を有効化します 無線 LAN インタフェース WirelessEthernet0.0 と同一ブリッジグループを割り当てることで 同一ブロードキャストドメインとなります dot1x enable dot1x authentication DOT1X-LIST dot1x accounting DOT1X-ACCOUNT インタフェース GigaEthernet1.0 で IEEE802.1X 認証を有効化します IEEE802.1X 認証リストは DOT1X-LIST を適用します IEEE802.1X 認証アカウンティングリストは DOT1X-ACCOUNT を適用します interface WirelessEthernet0.0 初期状態ではインタフェース WirelessEthernet0.0 のみが存在します 補足無線 LAN を使用される場合は かならず WirelessEthernet0.0 を有効化してください 初期値は表示されませんので 詳細はコマンドリファレンスを参照下さい ssid SSID-A 18-5

250 端末認証 SSID を SSID-A に設定とします encryption mode wpa-wpa2 aes-tkip 暗号化モードを wpa-wpa2 aes-tkip に設定します ( 初期値は wpa-wpa2 aes-tkip) frequency dual 利用する周波数帯を設定します ( 初期値は dual) authentication type dot1x 無線 LAN インタフェース WirelessEthernet0.0 で IEEE802.1X 認証を有効化します ( 初期値は psk) dot1x authentication DOT1X-LIST dot1x accounting DOT1X-ACCOUNT IEEE802.1X 認証リストは DOT1X-LIST を適用します IEEE802.1X アカウンティングリストは DOT1X-ACCOUNT を適用します no ip address bridge ieee 1 無線 LAN インタフェース WirelessEthernet0.0 でブリッジ機能を有効化します インタフェース GigaEthernet1.0 と同一ブリッジグループを割り当てることで 同一ブロードキャストドメインとなります 初期値は shutdown です 本インタフェースを使用する場合は でインタフェースを有効化します 18-6

251 端末認証 有線 LAN および無線 LAN で MAC 認証を行う無線 LAN および有線 LAN で MAC 認証を有効にする基本的な設定を説明します 本設定は 以下の環境を想定した設定例です 装置 A を Authenticator とし RADIUS サーバで許可された MAC アドレスを有する端末のみアクセスを許可とします 回線障害などで RADIUS サーバと通信できない場合は Authenticator でローカル認証を行います 有線 LAN と無線 LAN は同一セグメントです RADIUS サーバの設定は 各機器のマニュアルをご参照ください 接続構成 同一セグメント 端末 D: 非認証端末 SSID-A 端末 C: 許可端末 WE0.0 GE1.0 UNIVERGE WA2610-AP 装置 A インターネットサービスプロバイダ UNIVERGE WA2611-AP 装置 B RADIUS サーバ 端末 B: 非認証端末 IPsec 端末 A: 許可端末 設定概要以下の設定を行います AAA 認証設定 RADIUS サーバ登録 ローカル DB 登録 有線 LAN インタフェースの MAC 認証設定 無線 LAN インタフェースの MAC 認証設定 ブリッジ設定 18-7

252 端末認証 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP aaa enable aaa authentication mac-auth MAC-LIST group radius local aaa authentication fail-action stop aaa accounting mac-auth MAC-ACCOUNT start-stop group radius local radius host ip key plain retransmit 2 timeout 2 source Loopback0.0 mac-auth local-group mac-address 01:23:45:67:89:ab mac-address 00:11:22:33:44:55 bridge ieee enable ip access-list ipsecacl permit ip src any dest any ip dhcp-server enable ip dhcp-server profile dhcpsv0 default-gateway auto dns-server auto subnet-mask auto interface GigaEthernet0.0 ip address /24 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp interface GigaEthernet1.0 ip address /24 ip dhcp-server binding dhcpsv0 bridge ieee 1 mac-auth enable mac-auth authentication MAC-LIST mac-auth accounting MAC-ACCOUNT mac-auth address-format case upper mac-auth address-format separator interface WirelessEthernet0.0 ssid SSID-A encryption mode wpa-wpa2 aes-tkip frequency dual authentication type psk mac-auth encryption wpa-key plain hogehoge no ip address bridge ieee 1 mac-auth authentication MAC-LIST 18-8

253 端末認証 mac-auth accounting MAC-ACCOUNT mac-auth address-format case upper mac-auth address-format separator interface Loopback0.0 ip address /32 ip route /24 ipsec1 interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec_prof1 ike proposal ike_prop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ike_pol1 mode main dpd-keepalive enable ph1 proposal ike_prop1 pre-shared-key plain test1 ipsec proposal ipsec_prop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsec_pol1 match ipsecacl proposal ipsec_prop1 ipsec profile ipsec_prof1 mode tunnel ipsec policy ipsec_pol1 ike policy ike_pol1 source GigaEthernet0.0 peer [ 装置 B:WA2611-AP 設定 ] hostname WA2611-AP ip access-list ipsecacl permit ip src any dest any interface GigaEthernet0.0 ip address /24 ip napt enable ip napt reserve udp 500 ip napt reserve esp 18-9

254 端末認証 ip napt reserve icmp interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 ip route /24 ipsec1 ip route /32 ipsec1 interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec_prof1 ike proposal ike_prop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ike_pol1 mode main dpd-keepalive enable ph1 proposal ike_prop1 pre-shared-key plain test1 ipsec proposal ipsec_prop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsec_pol1 match ipsecacl proposal ipsec_prop1 ipsec profile ipsec_prof1 mode tunnel ipsec policy ipsec_pol1 ike policy ike_pol1 source GigaEthernet0.0 peer 解説 aaa enable AAA 機能を有効化します aaa authentication mac-auth MAC-LIST group radius local MAC 認証リスト MAC-LIST で 一次認証方式を RADIUS サーバ 二次認証方式をロ 18-10

255 端末認証 ーカル DB に設定します aaa authentication fail-action stop 一次認証方式で認証失敗時は認証処理を終了します ( 初期値は continue) aaa accounting mac-auth MAC-ACCOUNT start-stop group radius local MAC 認証アカウンティングリスト MAC-ACCOUNT で 認証開始 / 停止を RADIUS サーバ およびローカル DB にアカウンティングします radius host ip key plain retransmit 2 timeout 2 source Loopback0.0 RADIUS サーバの IP アドレスを設定します 認証キー は RADIUS サーバ側と同じ文字列を設定します RADIUS サーバへの再送回数 2 回 応答待ち時間 2 秒 を設定します RADIUS サーバとの通信のソースアドレスを Loopback0.0 アドレスに設定します mac-auth local-group mac-address 01:23:45:67:89:ab mac-address 00:11:22:33:44:55 MAC 認証のローカル認証で参照する端末 MAC アドレスを設定します bridge ieee enable ブリッジ機能を有効化します ip dhcp-server enable DHCP サーバ機能を有効化します interface GigaEthernet1.0 ip address /24 ip dhcp-server binding dhcpsv0 インタフェース GigaEthernet1.0 に IP アドレス /24 を設定し DHCP プロファイル dhcpsv0 を割当てます 無線 LAN 子機も同一ブロードキャストドメインに属しますので この DHCP プロファイルを使用して DHCP で IP アドレスを取得します bridge ieee 1 インタフェース GigaEthernet1.0 でブリッジ機能を有効化します 無線 LAN インタフェース WirelessEthernet0.0 と同一ブリッジグループを割り当てることで 同一ブロードキャストドメインとなります mac-auth enable mac-auth authentication MAC-LIST mac-auth accounting MAC-ACCOUNT インタフェース GigaEthernet1.0 で MAC 認証を有効化します MAC 認証リストは MAC-LIST を適用します MAC 認証アカウンティングリストは MAC-ACCOUNT を適用します mac-auth address-format case upper mac-auth address-format separator RADIUS サーバとの認証に用いられる MAC アドレスの英字を 大文字 (upper) に 区切 18-11

256 端末認証 り文字を - に設定します ( 初期値小文字 区切り文字なし ) interface WirelessEthernet0.0 初期状態ではインタフェース WirelessEthernet0.0 のみが存在します 補足無線 LAN を使用される場合は かならず WirelessEthernet0.0 を有効化してください 初期値は表示されませんので 詳細はコマンドリファレンスを参照下さい ssid SSID-A SSID を SSID-A に設定とします encryption mode wpa-wpa2 aes-tkip 暗号化モードを wpa-wpa2 aes-tkip に設定します ( 初期値は wpa-wpa2 aes-tkip) frequency dual 利用する周波数帯を設定します ( 初期値は dual) authentication type psk mac-auth 無線 LAN インタフェース WirelessEthernet0.0 で MAC 認証を有効化します ( 初期値は psk のみ ) MAC 認証を行う場合も暗号化モード 暗号化キーの設定が必要です encryption wpa-key plain hogehoge 暗号化キーを WPA/WPA2 キーで hogehoge に設定します mac-auth authentication MAC-LIST mac-auth accounting MAC-ACCOUNT インタフェース GigaEthernet1.0 で MAC 認証を有効化します MAC 認証リストは MAC-LIST を適用します MAC 認証アカウンティングリストは MAC-ACCOUNT を適用します mac-auth address-format case upper mac-auth address-format separator RADIUS サーバとの認証に用いられる MAC アドレスの英字を 大文字 (upper) に 区切り文字を - に設定します ( 初期値小文字 区切り文字なし ) no ip address bridge ieee 1 無線 LAN インタフェース WirelessEthernet0.0 でブリッジ機能を有効化します インタフェース GigaEthernet1.0 と同一ブリッジグループを割り当てることで 同一ブロードキャストドメインとなります 初期値は shutdown です 本インタフェースを使用する場合は でインタフェースを有効化します 18-12

257 端末認証 異なるインタフェースで異なる認証方式を有効にする無線 LAN インタフェースで IEEE802.1X 認証 有線 LAN インタフェースで MAC 認証を有効にする基本的な設定を説明します 本設定は 以下の環境を想定した設定例です 装置 A を Authenticator とし 無線 LAN インタフェース WirelessEthernet0.0 で IEEE802.1X 認証による認証を行い 有線 LAN インタフェース GigaEthernet1.0 で MAC 認証による認証を行います アカウント情報 MAC アドレス情報は RADIUS サーバを参照しますが 回線障害などで RADIUS サーバと通信できない場合はローカル認証を行います RADIUS サーバおよびサプリカントの設定は 各機器のマニュアルをご参照ください 接続構成 IEEE802.1 認証 端末 D: 非認証端末 SSID-A 端末 C: 許可端末 WE0.0 GE1.0 UNIVERGE WA2610-AP 装置 A インターネットサービスプロバイダ UNIVERGE WA2611-AP 装置 B RADIUS サーバ 端末 B: 非認証端末 IPsec MAC 認証 端末 A: 許可端末 設定概要以下の設定を行います AAA 認証設定 RADIUS サーバ登録 ローカル DB 登録 有線 LAN インタフェースの MAC 認証設定 無線 LAN インタフェースの IEEE802.1X 認証設定 18-13

258 端末認証 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP aaa enable aaa authentication dot1x DOT1X-LIST group radius local aaa authentication mac-auth MAC-LIST group radius local aaa authentication fail-action stop aaa accounting dot1x DOT1X-ACCOUNT start-stop group radius local aaa accounting mac-auth MAC-ACCOUNT start-stop group radius local radius host ip key plain retransmit 2 timeout 2 source Loopback0.0 dot1x local-group username user-a password plain hoge username user-b password plain hogehoge mac-auth local-group mac-address 01:23:45:67:89:ab mac-address 00:11:22:33:44:55 ip access-list ipsecacl permit ip src any dest any ip dhcp-server enable ip dhcp-server profile dhcpsv0 default-gateway auto dns-server auto subnet-mask auto ip dhcp-server profile dhcpsv1 default-gateway auto dns-server auto subnet-mask auto interface GigaEthernet0.0 ip address /24 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp interface GigaEthernet1.0 ip address /24 ip dhcp-server binding dhcpsv0 mac-auth enable mac-auth authentication MAC-LIST mac-auth accounting MAC-ACCOUNT mac-auth address-format case upper mac-auth address-format separator interface WirelessEthernet

259 端末認証 ssid SSID-A encryption mode wpa-wpa2 aes-tkip frequency dual authentication type psk dot1x ip address /24 ip dhcp-server binding dhcpsv1 dot1x authentication DOT1X-LIST dot1x accounting DOT1X-ACCOUNT interface Loopback0.0 ip address /32 ip route /24 ipsec1 interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec_prof1 ike proposal ike_prop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ike_pol1 mode main dpd-keepalive enable ph1 proposal ike_prop1 pre-shared-key plain test1 ipsec proposal ipsec_prop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsec_pol1 match ipsecacl proposal ipsec_prop1 ipsec profile ipsec_prof1 mode tunnel ipsec policy ipsec_pol1 ike policy ike_pol1 source GigaEthernet0.0 peer [ 装置 B:WA2611-AP 設定 ] hostname WA2611-AP ip access-list ipsecacl permit ip src any dest any 18-15

260 端末認証 interface GigaEthernet0.0 ip address /24 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 ip route /24 ipsec1 ip route /24 ipsec1 ip route /32 ipsec1 interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec_prof1 ike proposal ike_prop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ike_pol1 mode main dpd-keepalive enable ph1 proposal ike_prop1 pre-shared-key plain test1 ipsec proposal ipsec_prop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsec_pol1 match ipsecacl proposal ipsec_prop1 ipsec profile ipsec_prof1 mode tunnel ipsec policy ipsec_pol1 ike policy ike_pol1 source GigaEthernet0.0 peer

261 端末認証 解説 aaa enable AAA 機能を有効化します aaa authentication dot1x DOT1X-LIST group radius local IEEE802.1X 認証リスト DOT1X-LIST で 一次認証方式を RADIUS サーバ 二次認証方式をローカル DB に設定します aaa authentication mac-auth MAC-LIST group radius local MAC 認証リスト MAC-LIST で 一次認証方式を RADIUS サーバ 二次認証方式をローカル DB に設定します aaa authentication fail-action stop 一次認証方式で認証失敗時は認証処理を終了します ( 初期値は continue) aaa accounting dot1x DOT1X-ACCOUNT start-stop group radius local IEEE802.1X 認証アカウンティングリスト DOT1X-ACCOUNT で 認証開始 / 停止を RADIUS サーバ およびローカル DB にアカウンティングします aaa accounting mac-auth MAC-ACCOUNT start-stop group radius local MAC 認証アカウンティングリスト MAC-ACCOUNT で 認証開始 / 停止を RADIUS サーバ およびローカル DB にアカウンティングします radius host ip key plain retransmit 2 timeout 2 source Loopback0.0 RADIUS サーバの IP アドレスを設定します 認証キー は RADIUS サーバ側と同じ文字列を設定します RADIUS サーバへの再送回数 2 回 応答待ち時間 2 秒 を設定します RADIUS サーバとの通信のソースアドレスを Loopback0.0 アドレスに設定します dot1x local-group username user-a password plain hoge username user-b password plain hogehoge IEEE802.1X ローカル認証で参照するユーザアカウントを設定します mac-auth local-group mac-address 01:23:45:67:89:ab mac-address 00:11:22:33:44:55 MAC 認証のローカル認証で参照する端末 MAC アドレスを設定します ip dhcp-server enable DHCP サーバ機能を有効化します interface GigaEthernet1.0 ip address /24 ip dhcp-server binding dhcpsv0 インタフェース GigaEthernet1.0 に IP アドレス /24 を設定し DHCP プロファイル dhcpsv0 を割当てます 18-17

262 端末認証 mac-auth enable mac-auth authentication MAC-LIST mac-auth accounting MAC-ACCOUNT インタフェース GigaEthernet1.0 で MAC 認証を有効化します MAC 認証リストは MAC-LIST を適用します MAC 認証アカウンティングリストは MAC-ACCOUNT を適用します mac-auth address-format case upper mac-auth address-format separator RADIUS サーバとの認証に用いられる MAC アドレスの英字を 大文字 (upper) に 区切り文字を - に設定します ( 初期値小文字 区切り文字なし ) interface WirelessEthernet0.0 初期状態ではインタフェース WirelessEthernet0.0 のみが存在します 補足無線 LAN を使用される場合は かならず WirelessEthernet0.0 を有効化してください 初期値は表示されませんので 詳細はコマンドリファレンスを参照下さい ssid SSID-A SSID を SSID-A に設定とします encryption mode wpa-wpa2 aes-tkip 暗号化モードを wpa-wpa2 aes-tkip に設定します ( 初期値は wpa-wpa2 aes-tkip) frequency dual 利用する周波数帯を設定します ( 初期値は dual) authentication type dot1x 無線 LAN インタフェース WirelessEthernet0.0 で IEEE802.1X 認証を有効化します ( 初期値は psk) ip address /24 ip dhcp-server binding dhcpsv1 無線 LAN インタフェース WirelessEthernet0.0 に IP アドレス /24 を設定し DHCP プロファイル dhcpsv1 を割当てます dot1x authentication DOT1X-LIST dot1x accounting DOT1X-ACCOUNT IEEE802.1X 認証リストは DOT1X-LIST を適用します IEEE802.1X アカウンティングリストは DOT1X-ACCOUNT を適用します 初期値は shutdown です 本インタフェースを使用する場合は でインタフェースを有効化します 18-18

263 QoS 19. QoS 設定 自発パケットを優先送信する QoS 機能を使用して 装置 A から送信される自発パケットを優先制御する設定を説明します 本機能により IPsec での Keepalive や rekey 処理等の自発パケットを優先送信が可能となります 接続構成 /24 端末 A GE1.0 UNIVERGE WA1511 装置 A ME0.0 動的 IP 3G/LTE ((( データ通信端末 IPsec モバイル通信事業者 インターネットサービスプロバイダ 固定 IP /32 GE0.0 UNIVERGE WA2610-AP 装置 B /24 GE1.0 端末 B IKE モード : Aggressive IPsec 通信モード : Tunnel 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit (default) 設定概要装置 A に以下の設定を行います 自発パケットのクラスマップの設定 (High キュー ) その他通信のクラスマップの設定 (Normal キュー ) ポリシーマップの設定 パケット優先機能の有効化とポリシーマップの適用 メモ ESP カプセル化された自発パケットも自発パケットとして優先制御されます ユーザ間データなど自発パケット以外の ESP カプセル化パケットは そのほかの通信として制御されます 他装置から装置 A 宛の通信に対する応答パケット (ping 応答や telnet など ) も自発パケットとして優先制御されます 1 つのクラスマップ内で複数の match コマンドを指定した場合プライオリティは同じになります 最後に指定したプライオリティで統一され動作します プライオリティを変更したい場合は 別のクラスマップを作成してください 19-1

264 QoS 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA1511 設定 ] hostname WA1500 class-map match-any yuusen match local-generate-packet high class-map match-any sonota match ip any normal policy-map me0-out class yuusen class sonota interface GigaEthernet0.0 no ip address interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface MobileEthernet0.0 ip address dhcp ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve udp 4500 service-policy enable service-policy output me0-out auto-connect interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 ip route default MobileEthernet0.0 ip route /24 IPsec0 ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive 19-2

265 QoS local-id key-id wa1500 dpd-keepalive enable ph proposal ikeprop1 pre-shared-key plain hogehoge nat-traversal enable keepalive 20 ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /24 remote-id /24 proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source MobileEthernet0.0 peer 解説 class-map match-any yuusen match local-generate-packet high クラスマップ yuusen を設定します 本クラスマップで 自発パケットを示す localgenerate-packet パラメータを match コマンドで指定し 最優先の high キューに割り当てます class-map match-any sonota match ip any normal クラスマップ sonota を設定します 本クラスマップで 自発パケット以外の全ての IPv4 パケットを normal キューに割り当てます policy-map me0-out class yuusen class sonota ポリシーマップ me0-out を設定します 本ポリシーマップに クラスマップ yuusen と sonota を適用します interface MobileEthernet0.0 service-policy enable service-policy output me0-out service-policy output コマンドにて 本インタフェースから送信するパケットに対し ポリシーマップ me0-out を適用します service-policy enable コマンドにて 本インタフェースでの優先制御機能を有効にします 19-3

266 QoS 送信パケットに DSCP 値を付与する ( カラーリング機能 ) GE0.0 インタフェースから送信する自発のパケットのプライオリティを high dscp 値を 48 とし その他のパケット ( ルーティングされた IPv4 および IPv6 パケット ) のプライオリティを normal dscp 値を 0 とする設定を説明します 接続構成 / :db8:cafe:1::0/64 GE1.0 装置 A UNIVERGE WA / :db8:cafe:2::0/64 GE0.0 High/DSCP:4 8 Normal/DSCP: 0 設定概要以下の設定を行います 自発パケットのクラスマップの設定 (High キュー ) IPv4 および IPv6 パケットのクラスマップの設定 (Normal キュー ) クラスマップ毎のカラーリング (DSCP) 設定 パケット優先機能の有効化とポリシーマップの適用 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA1511 設定 ] hostname WA1500 class-map match-any local match local-generate-packet high class-map match-any default match ip any normal match ipv6 any normal policy-map ge0_out class local set dscp 48 class default set dscp 0 interface GigaEthernet0.0 ip address /24 ipv6 enable ipv6 address 2001:db8:cafe:2::1/64 service-policy enable service-policy output ge0_out 19-4

267 QoS interface GigaEthernet1.0 ip address /24 ipv6 enable ipv6 address 2001:db8:cafe:1::1/64 interface Loopback0.0 ip address /8 解説 class-map match-any local match local-generate-packet high クラスマップ local を設定します 本クラスマップで 自発パケットを示す localgenerate-packet パラメータを match コマンドで指定し 最優先の high キューに割り当てます class-map match-any default match ip any normal クラスマップ default を設定します 本クラスマップで IPv4 および IPv6 パケットを normal キューに割り当てます policy-map ge0_out class local set dscp 48 class default set dscp 0 ポリシーマップ ge0-out を設定します 本ポリシーマップに クラスマップ local を適用し DSCP 値を 48 に設定します 同様に クラスマップ default を適用し DSCP 値を 0 に設定します interface GigaEthernet0.0 service-policy enable service-policy output ge0-out service-policy output コマンドにて 本インタフェースから送信するパケットに対し ポリシーマップ ge0-out を適用します service-policy enable コマンドにて 本インタフェースでの優先制御機能を有効にします 19-5

268 QoS 物理ポートでトラフィックシェーピングを設定する GE0.0 GE1.0 および FE0.0(WA1020) イーサネットインタフェースでは 送信トラフィックのシェーピングを行うことができます GE1.0 イーサネットインタフェースの送信レートを 200Mbps にシェーピングする設定を説明します 接続構成 端末 200Mbps UNIVERGE WA2610-AP GE1.0 装置 A 設定概要以下の設定を行います シェーピングレート設定 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA2610-AP 設定 ] hostname WA2610 interface GigaEthernet0.0 ip address /24 interface GigaEthernet1.0 ip address /24 traffic-shape rate 200M interface Loopback0.0 ip address /8 解説 interface GigaEthernet1.0 traffic-shape rate 200M インタフェース GE1.0 にて シェーピングレートを 200Mbps に設定します シェーピングレートは 100Kbps~1000Mbps の範囲で設定可能です 19-6

269 BGP4 20. BGP4 設定 AS 間で経路情報を交換する AS 間で経路情報を交換するための ebgp 接続の設定を説明します 接続構成 AS:65100 BGP4 AS: / GE1 端末 UNIVERGE WA1510 装置 A.1 GE /24.2 GE0 UNIVERGE WA2610-AP 装置 B / GE1 端末 設定概要以下の設定を行います AS 番号の設定 隣接ルータ (neighbor) の設定 アドレスファミリーの設定 プレフィックスリストの設定 20-1

270 BGP4 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA1510 設定 ] hostname WA1510 ip prefix-list lan-ka 10 permit /24 interface GigaEthernet0.0 ip address /24 interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 router bgp neighbor remote-as neighbor description kyoten-b address-family ipv4 unicast neighbor distribute-list lan-ka out network /24 [ 装置 B:WA2610-AP 設定 ] hostname WA2610-AP ip prefix-list lan-kb 10 permit /24 interface GigaEthernet0.0 ip address /24 interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 router bgp neighbor remote-as neighbor description kyoten-a address-family ipv4 unicast neighbor distribute-list lan-kb out network /

271 BGP4 解説 [ 装置 A:WA1510 設定 ]( 装置 B も同様です ) ip prefix-list lan-ka 10 permit /24 隣接ルータに送付するプレフィックスのリストを作成します router bgp 作成する AS の番号を指定し モードを移ります neighbor remote-as 接続する隣接ルータのピアの情報を設定します 接続する隣接ルータの IP アドレス AS 番号を設定します neighbor description kyoten-b コメントとしてピアの情報も設定できます address-family ipv4 unicast ipv4 アドレスファミリーモードに移ります neighbor distribute-list lan-ka out network /24 アドレスファミリーモードで 広告するネットワークの設定を行います 20-3

272 URL オフロード 21. URL オフロード設定例 経路制御処理を利用した構成 (HTTP プロキシサーバを利用しない ) 特定の宛先 (URL/IP アドレス ) 向けのトラフィックのみを通常と異なる経路に転送できます 経路制御処理は ポリシールーティングを使用してオフロード対象の経路変更を行います 本設定は 以下の環境を想定した設定例です 端末 A は定義ファイル ( オフロード対象となる宛先のリスト ) を利用しません ユーザネットワークには HTTP プロキシサーバは設置されていません 端末 A の通常の HTTP トラフィックは 装置 A の IPsec トンネル経由で装置 B にルーティングされ ゲートウェイ経由でインタ - ネットへアクセスします 定義ファイルに該当する HTTP トラフィック ( クラウドサービスへのアクセス ) は 装置 A のルートマップ機能で経路を制御され WAN インタフェースから直接インターネットへ送信されます 接続構成 /24 定義ファイル クラウドサービス インタネット ゲートウェイ /24 端末 A クラウドサービス GE1.0 通常トラフィック装置 A PPPoE0.0 IPsec センタルータ 装置 B 設定概要以下の設定を行います URL オフロードプロファイルの設定 ルートマップの作成 GigaEthernet0.0 インタフェース設定 GigaEthernet1.0 インタフェース設定 PPPoE0 インタフェース設定 IPsec 設定 ルーティング設定 21-1

273 URL オフロード 設定 ( コンフィグ作成バージョン :Ver7.5.4) [ 装置 A:WA2612-AP 設定 ] hostname WA2612 url-offload profile urlo-prof url offload-protocol both ppp profile test1 authentication username test1 authentication password plain test1 ip dhcp-server enable ip dhcp-server profile test2 default-gateway auto dns-server auto subnet-mask auto route-map urlo-map permit 1 match ip url-offload urlo-prof set interface PPPoE0 interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 ip address /24 ip dhcp-server binding test2 ip policy route-map urlo-map interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile test1 auto-connect ip napt enable ip napt reserve esp ip napt reserve udp 500 interface Loopback0.0 ip address /8 interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 ip url-offload profile urlo-prof 21-2

274 URL オフロード ip route /32 PPPoE0 ip route default IPsec0 ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive local-id key-id hoge proposal ikeprop1 pre-shared-key plain hogehoge ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /32 remote-id /32 proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source PPPoE0 peer

275 URL オフロード 解説 url-offload profile urlo-prof URL オフロードプロファイル urlo-prof を作成します url 取得する URL オフロードデータベースを指定します offload-protocol both オフロード対象となるプロトコルを指定します both の場合は HTTP/HTTPS 通信の両方をオフロードします route-map urlo-map permit 1 ルートマップ urlo-map を作成します シーケンス番号 1 は任意の番号です match ip url-offload urlo-prof set interface PPPoE0 URL オフロードポリシー urlo-porf にヒットしたパケットの送信先を PPPoE0 に設定します interface GigaEthernet1.0 ip policy route-map urlo-map 端末 A から受け取ったパケットをルートマップ urlo-map に従い ポリシールーティングさせます interface IPsec0 ip url-offload profile urlo-prof IPsec0 インタフェースで URL オフロードを判定します URL オフロードプロファイル urlo-prof の条件にマッチしたパケットがポリシールーティングの対象パケットとなります ip route default IPsec0 デフォルトルートを IPsec0 に設定します オフロード対象外の通常トラフィックは IPsec0 より送信されます 21-4

276 URL オフロード フィルタ処理を利用した構成 (HTTP プロキシサーバを利用する ) 特定の宛先 (URL/IP アドレス ) 向けのトラフィックのみを通常と異なる経路に転送できます フィルタ処理は オフロード対象ドメインの IP アドレスキャッシュの作成や オフロード対象外のパケットの廃棄を行います 本設定は 以下の環境を想定した設定例です 端末 A は 装置 A から定義ファイル ( オフロード対象となる宛先のリスト およびプロキシサーバの IP アドレス ) を取得します ユーザネットワークには HTTP プロキシサーバが設置されており 端末 A の通常の HTTP トラフィックは HTTP プロキシサーバを介して ゲートウェイ経由でインターネットへアクセスします プロキシサーバ経由ではない HTTP トラフィック ( クラウドサービスへのアクセス ) は 装置 A 内のフィルタを通過して WAN インタフェースから直接インターネットへ送信されます 接続構成 /24 クラウドサービス インタネット ゲートウェイ Web サーバ /24 proxy.pac クラウドサービス PPPoE0.0 定義ファイル proxy.pac プロキシサーバ 端末 A GE1.0 通常トラフィック装置 A IPsec センタルータ 装置 B 設定概要以下の設定を行います URL オフロードプロファイルの設定 DHCP サーバプロファイルの設定 GigaEthernet0.0 インタフェース設定 GigaEthernet1.0 インタフェース設定 PPPoE0 インタフェース設定 IPsec 設定 ルーティング設定 プロキシ DNS 設定 21-5

277 URL オフロード 設定 ( コンフィグ作成バージョン :Ver7.5.4) [ 装置 A:WA2612-AP 設定 ] hostname WA2612 url-list url1 permit domain *.example1.co.jp url-offload profile urlo-prof url offload-protocol both proxy-config pac-file list url1 ppp profile test1 authentication username test1 authentication password plain test1 ip dhcp-server enable ip dhcp-server profile test2 default-gateway auto dns-server auto subnet-mask auto wpad auto interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 ip address /24 ip dhcp-server binding test2 interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile test1 auto-connect ip napt enable ip napt reserve esp ip napt reserve udp 500 ip url-offload profile urlo-prof unmatch-action discard interface Loopback0.0 ip address /32 interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 21-6

278 URL オフロード ip route /24 IPsec0 ip route default PPPoE0 proxy-dns ip enable proxy-dns server default PPPoE0 ipcp ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime ike policy ikepol1 mode aggressive local-id key-id hoge proposal ikeprop1 pre-shared-key plain hogehoge ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime ipsec policy ipsecpol1 local-id /32 remote-id /32 proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source PPPoE0 peer http-server ip enable http-server ip permit /

279 URL オフロード 解説 url-list url1 permit domain *.example1.co.jp WA ルータにオフロードの対象の URL として *.example1.co.jp を設定します 外部サーバから取得する定義ファイルに記載されていない URL をオフロード対象にできます url-offload profile urlo-prof URL オフロードプロファイル urlo-prof を作成します url 取得する URL オフロードデータベースを指定します offload-protocol both オフロード対象となるプロトコルを指定します both の場合は HTTP/HTTPS 通信の両方をオフロードします proxy-config pac-file 使用するプロキシ設定を指定します PAC ファイルの URL を指定した場合は その URL で取得した PAC ファイルを使用します URL オフロード対象のプロキシ例外の条件を記述した PAC ファイルを WA ルータに自動生成し 端末に配信します list url1 WA ルータに設定した URL オフロードの対象リストを適用します ip dhcp-server profile test2 wpad auto DHCP で端末に配信するプロキシ自動設定ファイルの URL を指定します 装置内で PAC ファイルを生成している場合は auto で指定可能です interface PPPoE0 ip url-offload profile urlo-prof unmatch-action discard PPPoE0 インタフェースで URL オフロードを判定します URL オフロードプロファイル urlo-prof の条件にマッチしないパケットは廃棄します ip route /24 IPsec0 通常のインターネット通信は IPsec0 を通り ユーザネットワーク内のプロキシサーバを経由して実施します ip route default PPPoE0 デフォルトルートを PPPoE0 に設定します オフロード対象のクラウドサービス用のトラフィックは IPsec0 を経由せず PPPoE0 から直接送信されます http-server ip enable http-server ip permit /24 PAC の自動配信をするために HTTP サーバを有効化します デフォルトコンフィグでは HTTPS サーバが有効となっていますので no https-server ip enable で HTTPS サーバを無効化してから HTTP サーバを有効化します また HTTP サーバで許可するホストアドレスを GigaEthernet1.0 配下の端末とします 本設定もデフォルトコンフィグでは HTTPS サーバを指定しているので HTTP サーバ指定に変更します 21-8

280 URL リダイレクト 22. URL リダイレクト設定 22.1 設定したサイトを利用者のブラウザへ表示させるネットワークの利用者が外部へ HTTP アクセスする際に 設定したサイトを利用者のブラウザへ表示させる基本的な設定を説明します 配下端末が LAN 接続後 最初にアクセスする HTTP サイトを指定できます HTTPS 通信のリダイレクトは利用できません 接続構成 HTTP サーバ /24 GE UNIVERGE WA2610-AP リダイレクト先 PPPoE0 GE0.0 通信事業者ネットワーク インターネット or サービスプロバイダ url.example.net 装置 A 端末 A userid : test@example.net password : test リダイレクト先 URL: 設定概要以下の設定を行います PPP プロファイル設定 GigaEthernet0.0 インタフェース設定 PPPoE0 インタフェース設定 NAPT 設定 プロキシ DNS 設定 GigaEthernet1.0 インタフェース設定 ルーティング設定 URL リダイレクト設定 22-1

281 URL リダイレクト 設定 ( コンフィグ作成バージョン :Ver8.0.3) [ 装置 A:WA2612-AP 設定 ] hostname WA2612-AP ppp profile pppoe authentication username test@example.net authentication password plain test interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 ip address /24 http-redirect enable interface Loopback0.0 ip address /8 interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable ip route default PPPoE0 proxy-dns ip enable proxy-dns server default PPPoE0 ipcp http-server ip enable http-redirect url

282 URL リダイレクト 解説 ppp profile pppoe authentication username authentication password plain test PPP プロファイル pppoe を作成し 通信事業者が指定するユーザ ID とパスワードを設定します interface PPPoE0 ip address ipcp 論理インタフェース PPPoE0 の IP アドレスを設定します ip address ipcp を設定することで IPCP を使用して IP アドレスを取得します ip tcp adjust-mss auto PPPoE のカプセル化にともない MTU が LAN の 1500 より小さくなるため tcp 通信の最大データ長を調整する mss を auto に設定します ppp profile pppoe 論理インタフェース PPPoE0 に回線の認証に使用する PPP プロファイル pppoe を適用します auto-connect 回線接続を常時接続に設定します ip napt enable 論理インタフェース PPPoE0 で NAPT 機能を有効化して 複数台の端末が同時にインターネット接続できるように設定します interface GigaEthernet0.0 no ip address encapsulation PPPoE0 有線回線を収容するインタフェース GigaEthernet0.0 に 論理インタフェース PPPoE0 を割当てます インタフェース GigaEthernet0.0 の IP アドレスは設定しません proxy-dns ip enable proxy-dns server default PPPoE0 ipcp プロキシ DNS を有効化します プロキシ DNS が問合せを行う DNS サーバとして PPP の IPCP にて取得した DNS サーバを設定します この設定は 本装置からの DNS 問合せをする際にも使用します interface GigaEthernet1.0 ip address /24 インタフェース GigaEthernet1.0 の IP アドレスを設定します http-redirect enable URL リダイレクト機能を有効にします ip route default PPPoE0 論理インタフェース PPPoE0 をデフォルトルートに設定します http-redirect url リダイレクト先 URL を設定します 22-3

283 管理 保守 23. 管理 保守 SNTP クライアントを使用して時刻を設定する SNTP クライアント機能を使って 本装置の時刻を自動で設定します 接続構成 /24 GE UNIVERGE WA1510 装置 A Serial0 3G/LTE ((( データ通信端末 インターネットサービスプロバイダ モバイル通信事業者 NTP サーバ ntp.example.net 設定概要以下の設定を行います LAN インタフェース設定 WAN インタフェース設定 ルーティング設定 プロキシ DNS 設定 SNTP 設定 メモ WA1020 は 電源を OFF すると時刻情報はクリアされます WA1020 以外の機種は RTC を有していますので一定時間以内であれば電源を OFF しても時刻情報は保持されます 設定 ( コンフィグ作成バージョン :Ver7.5.4) [ 装置 A:WA1510 設定 ] hostname WA1510 no wireless-adapter enable ppp profile mobile authentication username test authentication password plain test interface GigaEthernet

284 管理 保守 ip address /24 interface Loopback0.0 ip address /8 interface Serial0 ip address ipcp ip tcp adjust-mss auto ppp profile mobile ip napt enable mobile id IP 1 example.net mobile number *99***CID# auto-connect ip route default Serial0 proxy-dns ip enable proxy-dns server default Serial0 ipcp sntp-client enable ntp-server server ntp.example.net ntp-server interval 480 解説 [ 装置 A:WA1510 設定 ] proxy-dns ip enable プロキシ DNS を有効化します proxy-dns server default Serial0 ipcp プロキシ DNS が問合せを行う DNS サーバとして PPP の IPCP にて取得した DNS サーバを設定します この設定は 本装置からの DNS 問合せをする際にも使用します FQDN を使用する場合はプロキシ DNS 機能を有効にしてください sntp-client enable SNTP クライアントを有効化します ntp-server server ntp.example.net 時刻同期を行うために参照する NTP サーバ ntp.example.net を設定します NTP サーバは FQDN ではなく IP アドレスで設定することも可能です ntp-server interval 480 時刻同期間隔を 480 ( 分 ) に設定します 初期値は 60 分です 23-2

285 管理 保守 SNMP を使用して情報を収集する装置の MIB 情報や SNMP トラップを SNMP マネージャーに送信する設定です 接続構成 SNMP マネージャー.1 GE MIB 情報要求 MIB 情報送信 UNIVERGE WA2610-AP 装置 A Serial0 3G/LTE データ通信端末 ((( インターネットサービスプロバイダ モバイル通信事業者 TRAP 送信 設定概要以下の設定を行います LAN インタフェース設定 WAN インタフェース設定 ルーティング設定 SNMP 設定 SNMP アクセス制限設定 ifindex 設定 ( 装置の再起動が必要です ) 設定 ( コンフィグ作成バージョン :Ver7.3.7) [WA2610-AP 設定 ] hostname WA2610-AP ppp profile mobile authentication username test authentication password plain test interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface Serial0 ip address ipcp ip tcp adjust-mss auto ppp profile mobile ip napt enable 23-3

286 管理 保守 mobile id IP 1 example.net mobile number *99***CID# auto-connect ip route default Serial0 proxy-dns ip enable proxy-dns server default Serial0 ipcp sntp-client enable ntp-server server ntp.example.net snmp ip enable snmp agent-location test2 snmp contact snmp ip community public read-only snmp ip trap interface GigaEthernet1.0 snmp ip trap destination public v1 snmp ip trap public generic-trap cold-start snmp ip trap public generic-trap link-down snmp ip trap public generic-trap link-up snmp ip trap public private-trap all snmp ip permit /32 snmp mib-2 ifindex interface GigaEthernet snmp mib-2 ifindex interface Serial 解説 [ 装置 A:WA2610-AP 設定 ] snmp ip enable SNMP エージェントを有効化します snmp agent-location test2 装置の物理的位置 (syslocation) を設定します snmp contact 連絡先 (syscontact) を設定します snmp ip community public read-only SNMP のコミュニティ名 public と アクセスタイプ read-only を設定にします snmp ip trap interface GigaEthernet1.0 SNMP トラップ送信元インタフェースを設定します 設定したインタフェースの IP アドレスが送信元 IP アドレスとなります snmp ip trap destination private v1 SNMP トラップ宛先 IP アドレス と コミュニティ名 private SNMP バージョン SNMPv1 を設定します snmp ip trap public generic-trap cold-start snmp ip trap public generic-trap link-down snmp ip trap public generic-trap link-up snmp ip trap private generic-trap all 送信する標準トラップの種別を設定します cold-start link-down link-up イベント発生時に標準トラップを destination で設定した宛先に送信します 23-4

287 管理 保守 snmp ip trap public private-trap all 送信するプライベートトラップの種別を設定します all の場合 サポートしている全てのプライベートトラップを送信します snmp ip permit /32 SNMP でのアクセス制限を設定します 上記の場合 以外の IP アドレスからのアクセスを拒否します snmp mib-2 ifindex interface GigaEthernet snmp mib-2 ifindex interface Serial インタフェースの ifindex 値を任意の値に設定します 上記の場合 インタフェース GigaEthernet1.0 は 1001 インタフェース Serial0 は 1002 に設定されます ifindex が設定されていないインタフェースの ifindex 値は 以上になります 注意 ifindex 値の固定設定を行った場合は 装置を再起動してください 23-5

288 管理 保守 SYSLOG を使用して情報を収集する syslog function コマンドで設定されているイベント情報を Syslog サーバへ送信する設定です 接続構成.1 SYSLOG サーバ syslog GE UNIVERGE WA2610-AP 装置 A Serial0 3G/LTE データ通信端末 ((( インターネットサービスプロバイダ モバイル通信事業者 設定概要以下の設定を行います SYSLOG 設定 LAN インタフェース設定 WAN インタフェース設定 ルーティング設定 設定 ( コンフィグ作成バージョン :Ver7.1.3) [WA2610-AP 設定 ] syslog destination syslog enable syslog backup time 00:00 syslog backup enable syslog function all notice hostname WA2610-AP ppp profile mobile authentication username test authentication password plain test interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 23-6

289 管理 保守 interface Serial0 ip address ipcp ip tcp adjust-mss auto ppp profile mobile ip napt enable mobile id IP 1 example.net mobile number *99***CID# auto-connect ip route default Serial0 proxy-dns ip enable proxy-dns server default Serial0 ipcp sntp-client enable ntp-server server ntp.example.net 解説 [ 装置 A:WA2610-AP 設定 ] syslog destination Syslog サーバのアドレスに を設定します イベント情報を Syslog サーバに送信します syslog function コマンドで設定されているイベント情報を Syslog サーバへ送信します syslog enable イベント情報を収集するために Syslog 機能を有効化します syslog backup time 00:00 syslog をフラッシュメモリに保存する時刻を 00:00 に指定します イベント情報をフラッシュメモリに保存します 補足 DRAM に保存されているイベント情報を 1 日 1 回指定した時刻にフラッシュメモリに保存します フラッシュメモリに保存できるサイズは 128Kbyte で DRAM 上で保存されているイベント情報の最新のイベントから 128Kbyte 分までが格納されます なお DRAM 上で保存できるサイズは 512Kbyte です 容量が超過すると古いイベント情報から順に削除されます syslog backup enable Syslog バックアップ機能を有効化します syslog function all notice イベント情報レベルに notice レベルを指定します 23-7

290 管理 保守 FTP 自動バージョンアップ機能を使用する FTP 自動バージョンアップ機能を使用して 指定した日時に自動的にソフトウェアのバージョンアップを行う設定を説明します 本設定は 以下の環境を想定した設定例です 装置 A をプログラムファイルバージョン x.x.x にバージョンアップします 定義ファイルを利用した FTP 自動バージョンアップを行います FTP サーバには プログラムファイル (.bin) と定義ファイルを保存しておきます 装置 A は 指定した時刻なると FTP サーバの定義ファイルを参照し FTP サーバからプログラムファイルをダウンロードします プログラムファイルダウンロード後 自動的に再起動します 接続構成 /24 GE UNIVERGE WA2610-AP 装置 A FTP Serial0 3G/LTE ((( データ通信端末 インターネットサービスプロバイダ モバイル通信事業者 FTP サーバ ftp.example.net 定義ファイル : wa2600_list.txt 保存パス : wa2600/program 設定概要以下の設定を行います LAN インタフェース設定 WAN インタフェース設定 ルーティング設定 プロキシ DNS 設定 FTP 自動バージョンアップ設定 FTP サーバには定義ファイル プログラムファイルを保存します 定義ファイル保存 (FTP サーバ内 ) プログラムファイル保存 (FTP サーバ内 ) 23-8

291 管理 保守 設定 ( コンフィグ作成バージョン :Ver7.1.3) [ 装置 A:WA2610-AP 設定 ] boot entry flash wa2600.bin hostname WA2610-AP ppp profile mobile authentication username test authentication password plain test interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface Serial0 ip address ipcp ip tcp adjust-mss auto ppp profile mobile ip napt enable mobile id IP 1 example.net mobile number *99***CID# auto-connect ip route default Serial0 proxy-dns ip enable proxy-dns server default Serial0 ipcp sntp-client enable ntp-server server ntp.example.net ntp-server interval 480 terminal timeout 5 auto-versionup enable auto-versionup reboot-enable auto-versionup server ftp.example.net auto-versionup authentication username wa2600 auto-versionup authentication password plain ftppassword auto-versionup definition filename wa2600_list.txt auto-versionup definition path wa2600/program auto-versionup schedule monthly 01 00:

292 管理 保守 解説 [ 装置 A:WA2610-AP 設定 ] boot entry flash wa2600.bin 起動時の実行プログラムファイルを wa2600.bin に設定します FTP 自動バージョンアップでダウンロードされるプログラムファイルは WA1020 は wa1020.bin WA2021 は wa2021.bin WA1510 シリーズは wa1500.bin WA2610-AP シリーズは wa2600.bin という名称でフラッシュメモリに格納されるためです proxy-dns ip enable proxy-dns server default Serial0 ipcp プロキシ DNS を有効化します プロキシ DNS が問合せを行う DNS サーバとして PPP の IPCP にて取得した DNS サーバを設定しますこの設定は 本装置からの DNS 問合せをする際にも使用します FQDN を使用する場合はプロキシ DNS 機能を有効にしてください sntp-client enable ntp-server server ntp.example.net SNTP クライアント機能を有効化します 時刻同期を行うために参照する NTP サーバ ntp.example.net を設定します terminal timeout 5 コンソールのログアウトタイマーを 5 ( 分 ) に設定します ログイン状態では FTP 自動バージョンアップの装置再起動が動作しません auto-versionup enable FTP 自動バージョンアップ機能を有効化します auto-versionup reboot-enable プログラムファイル更新後の再起動を有効化します auto-versionup server ftp.example.net FTP サーバ ftp.example.net を設定します FTP サーバは FQDN ではなく IP アドレスで設定することも可能です また TCP ポート番号を変更することも可能です auto-versionup authentication username wa2600 auto-versionup authentication password plain ftppassword FTP アカウントを設定します ここではユーザー名 wa2600 パスワード tfppassword を設定します auto-versionup definition filename wa2600_list.txt FTP サーバに保存されている定義ファイル名 wa2600_list.txt を設定します auto-versionup definition path wa2600/program 定義ファイルの保存パス wa2600/program を設定します 定義ファイルとは ダウンロードできるバージョン 保存ディレクトリ プログラムファイルを定義したテキストファイルです バージョン変更の必要がないと判断した場合はプログラムファイルのダウンロードを行いません 23-10

293 管理 保守 auto-versionup schedule monthly 01 00:00 2 FTP 自動バージョンアップを行うスケジュールを設定します 毎月 1 日 monthly, 01 の午前 0 時 00:00 から 2 時間 2 の間 (00:00~02:00) にバージョンアップを実施します メモ定義ファイル wa2600_list.txt 設定例 ( 半角カンマで区切られた CSV フォーマット ) # コメント行 バージョン情報, 保存ディレクトリ / プログラムファイル # WA2600 最新プログラムファイル x.x.x,wa2600/program/wa2600_x_x_x.bin 23-11

294 管理 保守 起動時 HTTP 自動バージョンアップ機能を使用する起動時 HTTP 自動バージョンアップ機能を使用して 装置起動時に自動的にソフトウェアのバージョンアップを行う設定を説明します 本設定は 以下の環境を想定した設定例です 装置 A をプログラムファイルバージョン x.x.x にバージョンアップします 定義ファイルを利用した起動時 HTTP 自動バージョンアップを行います HTTP サーバには プログラムファイル (.bin) と定義ファイルを保存しておきます 装置 A を起動すると HTTP サーバの定義ファイルを参照し HTTP サーバからプログラムファイルをダウンロードします プログラムファイルダウンロード後 自動的に再起動します 接続構成 /24 GE UNIVERGE WA2610-AP 装置 A HTTP GigaEthernet LTE ((( データ通信端末 インターネットサービスプロバイダ モバイル通信事業者 HTTP サーバ http.example.net 定義ファイル : wa2600_list.txt 保存先 URL :http.example.net 設定概要以下の設定を行います LAN インタフェース設定 WAN インタフェース設定 ルーティング設定 プロキシ DNS 設定 起動時 HTTP 自動バージョンアップ設定 HTTP サーバには定義ファイル プログラムファイルを保存します 定義ファイル保存 (HTTP サーバ内 ) プログラムファイル保存 (HTTP サーバ内 ) 23-12

295 管理 保守 設定 ( コンフィグ作成バージョン :Ver7.3.7) [ 装置 A:WA2610-AP 設定 ] boot entry flash wa2600.bin hostname WA2610 interface GigaEthernet0.0 no ip address interface GigaEthernet1.0 ip address /24 interface Loopback0.0 ip address /8 interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example.net auto-connect ip route default MobileEthernet0.0 proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp sntp-client enable ntp-server server ntp.example.net terminal timeout 5 auto-versionup startup-execute retry 5 interval 30 auto-versionup startup-delay 70 auto-versionup led error enable auto-versionup reboot-enable auto-versionup mode http auto-versionup server http.example.net auto-versionup authentication mode basic auto-versionup authentication username wa2600 auto-versionup authentication password plain httppassword auto-versionup definition url https-server ip enable 23-13

296 管理 保守 解説 [ 装置 A:WA2610-AP 設定 ] boot entry flash wa2600.bin 起動時の実行プログラムファイルを wa2600.bin に設定します HTTP 自動バージョンアップでダウンロードされるプログラムファイルは WA1020 は wa1020.bin WA2021 は wa2021.bin WA1510 シリーズは wa1500.bin WA2610-AP シリーズは wa2600.bin という名称でフラッシュメモリに格納されるためです proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp プロキシ DNS を有効化します プロキシ DNS が問合せを行う DNS サーバとして DHCP にて取得した DNS サーバを設定しますこの設定は 本装置からの DNS 問合せをする際にも使用します FQDN を使用する場合はプロキシ DNS 機能を有効にしてください sntp-client enable ntp-server server ntp.example.net SNTP クライアント機能を有効化します 時刻同期を行うために参照する NTP サーバ ntp.example.net を設定します terminal timeout 5 コンソールのログアウトタイマーを 5 ( 分 ) に設定します ログイン状態では HTTP 自動バージョンアップの装置再起動が動作しません auto-versionup enable HTTP 自動バージョンアップ機能を有効化します auto-versionup reboot-enable プログラムファイル更新後の再起動を有効化します auto-versionup mode http ダウンロードモードを設定します auto-versionup server http.example.net HTTP サーバ http.example.net を設定します HTTP サーバは FQDN ではなく IP アドレスで設定することも可能です また TCP ポート番号を変更することも可能です auto-versionup authentication mode basic HTTP 認証設定を行います auto-versionup authentication username wa2600 auto-versionup authentication password plain httppassword HTTP アカウントを設定します ここではユーザー名 wa2600 パスワード httppassword を設定します 23-14

297 管理 保守 auto-versionup definition url HTTP サーバに保存されている定義ファイル名 wa2600_list.txt を設定します 定義ファイルの保存先 URL を設定します 定義ファイルとは ダウンロードできるバージョン 保存ディレクトリ プログラムファイルを定義したテキストファイルです バージョン変更の必要がないと判断した場合はプログラムファイルのダウンロードを行いません メモ定義ファイル wa2600_list.txt 設定例 ( 半角カンマで区切られた CSV フォーマット ) # コメント行 バージョン情報, 保存先 URL / プログラムファイル # WA2600 最新プログラムファイル x.x.x,

298 管理 保守 スケジューラ機能を利用して MAC アドレスフィルタを変更するスケジューラ機能を使用して 指定した時間に MAC アドレスフィルタを変更する機能を説明します 本設定は 以下の環境を想定した設定例です 登録済み MAC アドレス (00:11:22:33:44:55) を有する無線 LAN 子機 ( 端末 C) のアクセスを制限します ゲスト用無線 LAN(ssid Guest ) で 受信方向でのアクセス制限を行います そのほかの ssid 有線 LAN では アクセス制限は行いません 月曜日から金曜日の 8:00 から 20:00 までアクセスを許可します また 期間は 2017 年 9 月 1 日より 30 日までの一ヶ月間とします 接続構成 SSID:Guest 端末 C MAC 00:11:22:33:44:55 SSID:Develop 端末 B /24 WE0.1 WE0.0 UNIVERGE WA2610-AP PPPoE0 NTP サーバ ntp.example.net インターネット 装置 A GE1.0 端末 A /24 設定概要以下の設定を行います LAN インタフェース設定 無線 LAN インタフェース設定 WAN インタフェース設定 ルーティング設定 プロキシ DNS 設定 NTP 設定 MAC アドレスフィルタ スケジューラ設定 23-16

299 管理 保守 設定 ( コンフィグ作成バージョン :Ver7.4.1) [ 装置 A:WA2610-AP 設定 ] hostname WA2610-AP ppp profile test authentication username test authentication password plain test bridge ieee enable ip dhcp-server enable ip dhcp-server profile develop default-gateway auto dns-server auto subnet-mask auto ip dhcp-server profile guest default-gateway auto dns-server auto subnet-mask auto interface GigaEthernet0.0 no ip address encapsulation PPPoE0 interface GigaEthernet1.0 no ip address bridge ieee 1 interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile test auto-connect ip napt enable ip napt reserve icmp interface WirelessEthernet0.0 ssid Develop authentication type psk encryption wpa-key plain hogehoge no ip address bridge ieee 1 interface WirelessEthernet0.1 ssid Guest authentication type psk encryption wpa-key plain password ip address /

300 管理 保守 ip dhcp-server binding guest mac-filter-extended in permitlist 1 mac-filter-extended in denyall 2 interface Loopback0.0 ip address /8 interface BVI0.0 ip address /24 ip dhcp-server binding develop bridge ieee 1 ip route default PPPoE0 proxy-dns ip enable proxy-dns server default PPPoE0 ipcp mac access-list-extended permitlist permit src 00:11:22:33:44:55 ff:ff:ff:ff:ff:ff dest any ethertype any active-time date 2017/09/ /09/30 active-time week MON 08:00 20:00 active-time week TUE 08:00 20:00 active-time week WED 08:00 20:00 active-time week THU 08:00 20:00 active-time week FRI 08:00 20:00 mac access-list-extended denyall deny src any dest any ethertype any sntp-client enable ntp-server server ntp.example.net 解説 [ 装置 A:WA2610-AP 設定 ] interface WirelessEthernet0.1 mac-filter-extended in permitlist 1 mac-filter-extended in denyall 2 無線 LAN インタフェース WirelessEthernet0.1 に MAC アクセスリスト denyall と permitlist を受信方向で適用させます 末尾の 1 2 はシーケンスナンバーで 複数の MAC アクセスリストを適用させる場合に 番号を変えて設定します mac access-list-extended permitlist permit src 00:11:22:33:44:55 ff:ff:ff:ff:ff:ff dest any ethertype any MAC アクセスリスト permitlist を定義します permit 設定では 送信元 MAC アドレスが 00:11:22:33:44:55 宛先 MAC アドレスはすべて イーサネットタイプはすべてのプロトコルのフレームを許可します 23-18

301 管理 保守 active-time date 2017/09/ /09/30 active-time week MON 08:00 20:00 active-time week TUE 08:00 20:00 active-time week WED 08:00 20:00 active-time week THU 08:00 20:00 active-time week FRI 08:00 20:00 アクティブスケジュールを設定します 2017 年 9 月 1 日より 30 日までの一ヶ月間の月曜日から金曜日の 8:00 から 20:00 までのみ 本 MAC アクセスリストを有効化します mac access-list-extended denyall deny src any dest any ethertype any MAC アクセスリスト denyall を定義します deny any 設定で すべてのフレームを拒否します 前述のスケジューリングされた permitlist と異なるアクセスリストを用いることにより アクティブスケジュール以外での許可されない全ての MAC フレームを廃棄することができます sntp-client enable ntp-server server ntp.example.net SNTP クライアントを有効化します 時刻同期を行うために参照する NTP サーバ ntp.example.net を設定します NTP サーバは FQDN ではなく IP アドレスで設定することも可能です 23-19

302 管理 保守 初期コンフィグモードを変更する startup-config が保存されていない状態で装置を起動すると コンソールは web-gui コンフィグモードで立ち上がります web-gui コンフィグモードは インタフェース GE1.0 に IP アドレスが設定されており DHCP サーバ機能も有効になっております キッティング作業などの目的で 設定が無い状態で装置を起動したい場合は コンフィグモードを cli コンフィグモードに変更することができます 接続構成スタンドアローン 設定概要以下の設定を行います web-gui コンフィグモード利用時特権モード もしくはグローバルコンフィグモードで default-console web を設定する cli コンフィグモード利用時特権モード もしくはグローバルコンフィグモードで default-console command-line を設定する メモ 本コマンドは show running-config に表示されません default-console の設定状態は show version に表示されます startup-config が存在する場合は startup-config で起動します cli コンフィグモードで初期起動時した場合 Web-GUI 設定は利用できません 設定 ( コンフィグ作成バージョン :Ver7.3.7) WA2600# WA2600# default-console command-line % You must reboot the router for this configuration to take effect. WA2600# WA2600# WA2600(config)# default-console web % You must reboot the router for this configuration to take effect. WA2600(config)# 23-20

303 管理 保守 デフォルトコンフィグ比較 (FW バージョン :Ver7.3.7 WA2610-AP) [web コンフィグモード ] syslog enable syslog function all warning hostname WA2600 username admin password ** administrator http-username admin password ** administrator ip dhcp-server enable ip dhcp-server profile default default-gateway auto dns-server auto subnet-mask auto device usb0 device module0 interface GigaEthernet0.0 no ip address interface GigaEthernet1.0 ip address /24 ip dhcp-server binding default interface WirelessEthernet0.0 authentication type psk no ip address shutdown interface Loopback0.0 ip address /8 interface MobileEthernet0.0 no ip address auto-connect shutdown no mobile expected-attachment usb0 recoveryenable https-server ip enable led vpn ipsec [cli コンフィグモード ] hostname WA2600 username admin password ** administrator device usb0 device module0 interface GigaEthernet0.0 no ip address interface GigaEthernet1.0 no ip address interface WirelessEthernet0.0 authentication type psk no ip address shutdown interface Loopback0.0 ip address /8 interface MobileEthernet0.0 no ip address auto-connect shutdown no mobile expected-attachment usb0 recoveryenable led vpn ipsec 23-21

304 管理 保守 NetMeister を利用して 装置の管理 保守する NetMeister( クラウド型統合管理サービス ) を利用して 本装置を管理 保守する設定を説明します 本設定は NetMeister 管理サイトで以下を実現するための設定例です NetMeister からプログラムファイルをダウンロードし 装置をバージョンアップ 装置から装置情報 (show technical-support) を取得 装置からランニングコンフィグレーション (show running-config) を取得 装置からデバイスリスト ( 装置配下端末の MAC アドレス IP アドレス ) を取得 アラーム通知 ( 装置が異常を検知時 NetMeister に通知 ) を表示 [NetMeister 管理サイトの表示例 ] メモ 図右上の アクション ボタン押下で 装置バージョンアップ 装置情報取得 ランニングコンフィグレーション取得画面へ移行します 図の下部に デバイスリスト アラーム通知が表示されます NetMeister の詳細は以下を参照願います

305 管理 保守 接続構成 /24.1 配下端末.2 配下端末 GE 装置情報 コンフィグデバイスリスト アラーム通知 UNIVERGE WA1512 装置 A ((( プログラムファイル NetMeister クラウド インターネットサービスプロバイダ モバイル通信事業者 リクエスト 管理用 PC NetMeister 管理サイトにログイン 設定概要以下の設定を行います LAN インタフェース設定 WAN インタフェース設定 ルーティング設定 プロキシ DNS 設定 NetMeister 設定 設定 ( コンフィグ作成バージョン :Ver8.0.3) [WA1512 設定 ] hostname WA1512_kanshi ip dhcp-server enable ip dhcp-server profile default default-gateway auto dns-server auto subnet-mask auto interface GigaEthernet1.0 ip address /24 ip dhcp-server binding default device-list enable interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example.net auto-connect 23-23