モバイル Wi-Fi ルーターと AR ファミリの設定例 2012/9/4 アライドテレシス株式会社 Copyright 2012 Allied Telesis K.K. All Rights Reserved.
目次 1. 移動体データ通信サービスをデータ通信で利用するメリット 2. VPN ルーターと組み合わせられる移動体通信端末の種類 3. 設定例モバイル Wi-Fi ルーターを用いた VPN のバックアップ構成設定例 メインアクセスラインとしてモバイル Wi-Fi ルーターを用いた VPN 構成設定例 Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 2
移動体データ通信サービスをデータ通信でご利用いただく際は "USB 型のデーター通信端末やいわゆる " モバイル Wi-Fi ルーター " を使用することができます 本資料はモバイル Wi-Fi ルーターを AR ファミリと組み合わせてご利用になる際の構成例と設定例についてご紹介しています この組み合わせにより AR ファミリの幅広い機種で 移動体データ通信サービスをご利用いただくことが可能となります モバイルWi-Fiルーターとは? LTE/3G 等の移動体データ通信回線とWi-Fiのインターフェースを持ち Wi-Fiに対応したタブレット等の端末を移動体データ通信回線へ接続することができます ルーターとしての機能を持ち クレードルにEthernetインターフェースを備えたものもあります Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 3
1. 移動体データ通信サービスをデータ通信で利用するメリット 移動体データ通信サービス 価格 : 1,500 円 / 月より 1 通信帯域 : 7.2M( ベストエフォート ) 設置場所 : サービスエリア内はどこでも 光ファイーバー系データ通信サービス 価格 : 通信帯域 : 4,095 円 / 月より 2 100M( ベストエフォート ) 設置場所 : ファイバーの敷設エリア 移動体データー通信サービスを選択することで 設置場所の自由度が高く ランニングコストの安いアクセス手段を利用することが可能です Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 4 1 FOMA 定額データープランスタンダードバリュー +mopera U スタンダード 2 OCN 光 with フレッツ フレッツ光ライト プラン
2. " モバイル Wi-Fi ルーター " VS "USB 型データ通信端末 " 移動体データ通信サービスをデータ通信で利用するには モバイル Wi-Fi ルーター または USB 型データ端末 のどちらかを使用する必要がございます ここでは それぞれのメリット デメリットについて解説します モバイル WiFi ルーター USB 端末 メリット Ethernet に接続可能であるため VPN ルーターの機種が限定されない ファームウェアの対応も不要 VPN ルーターとモバイル Wi-Fi ルーター間を 100 メートルまで延長可能 電波環境の良い場所を選択してモバイル Wi-Fi ルーター設置可能 デメリット NAT を経由するため RIP や OSPF マルチキャストなど使用できないプロトコルがある モバイル WiFi ルーターを使用するための電源確保が必要 メリット NAT を経由しないので使用可能なプロトコルの制限がない USB 端末専用の電源が不要 デメリット 接続可能な VPN ルーターが USB をサポートしたものに限定される ファームウェアの対応も必要 VPN ルーターと USB 端末間の接続ケーブル長が 5 メートルに制限される Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 5
バックアップ構成の設定例 Copyright 2012 Allied Telesis K.K. All Rights Reserved.
構成概要 本資料では モバイル Wi-Fi ルーターを AR ファミリに接続し 有線回線のバックアップ構成を行う設定方法をご紹介します モバイル Wi-Fi ルーターの設定方法については ご使用のモバイル Wi-Fi ルーターのマニュアルをご参照下さい 本構成について拠点 A の AR ファミリと拠点 B の AR ファミリを IPsec を使って VPN 接続します 拠点 A の AR ファミリと拠点 B の AR ファミリを IPsec を使って VPN 接続します 拠点 A の AR ファミリの ETH0 インターフェースへは有線回線を接続します 拠点 A の AR ファミリの ETH1 インターフェースにモバイル Wi-Fi ルーターを接続します LTE/3G 回線から付与される IP アドレスはモバイル Wi-Fi ルーターで使用します 拠点 A の有線回線の PPP 切断検知時に LTE/3G 回線側へ VPN 接続を切り替えます 拠点 A の有線回線の PPP 接続回復時に VPN 接続を有線回線側に切替え LTE/3G 回線側の VPN 接続を切断します Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 7
構成図 拠点 A 拠点 B ETH0:ISP より PPPoE で割当 ETH1:192.168.13.254 VLAN1:192.168.10.1 メイン VPN ETH0:172.0.0.1 VLAN1:192.168.20.1 AR560S インターネット AR560S モバイル Wi-Fi ルーター ETH:192.168.13.1 LTE/3G:ISP より割当 LTE/3G LTE/3G ネットワークネットワーク バックアップ VPN Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 8
拠点 A のパラメーター 本資料では以下のパラメータでの設定例をご紹介します AR ファミリの基本設定 モバイルWi-Fiルーターの基本設定 (NTT docomo BF-01Dの工場出荷時設定 ) WAN 側 ETH0のIPアドレス ISPよりPPPoEにて割り当て Internet(3G/HSPA/LTE) 接続方式 mopera U WAN 側 ETH1のIPアドレス 192.168.13.254 APN( 接続先 ) mopera.net LAN 側 VLAN1のIPアドレス 192.168.10.1 PIN ( 未入力 ) IKEフェーズ1の認証方式 事前共有鍵 (pre-shared key) 国際ローミング ( 未チェック ) 事前共有鍵 (pre-shared key) secret( 文字列 ) 認証方式 自動認証 LOCAL-ID DPD による死活監視 NAT-Traversal のネゴシエーション ROUTER-A 行う 行う DNS( ネーム ) サーバアドレスプライマリー :( 未入力 ) セカンダリー :( 未入力 ) MTU 値 1500バイト LAN LAN 側 IPアドレス IPアドレス :192.168.13.1 サブネットマスク :255.255.255.0 DHCPサーバ機能チェック : 使用する割り当てIPアドレス 192.168.13.2から64 台アドレス変換 アドレス変換 破棄パケットのログ出力 チェック : 使用する 192.168.13.2から64 台 Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 9
拠点 B のパラメーター 本資料では以下のパラメータでの設定例をご紹介します AR ファミリの基本設定 WAN 側 ETH0 の IP アドレス ISP より PPPoE にて 172.0.0.1 を割り当て LAN 側 VLAN1 の IP アドレス 192.168.20.1 IKE フェーズ 1 の認証方式 事前共有鍵 (pre-shared key) 事前共有鍵 (pre-shared key) secret( 文字列 ) DPD による死活監視 行う NAT-Traversal のネゴシエーション 行う Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 10
ルーターの設定 以下の手順でルーターの設定をおこないます 1. 拠点 A の AR ファミリ 2. 拠点 B の AR ファミリ 拠点 A のモバイル Wi-Fi ルーターは デフォルトのまま設定変更を行わずに使用します ただし セキュリティのリスクがありますので 管理者のパスワード等は必要に応じて変更の上 ご利用ください Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 11
AR ファミリの設定 工場出荷時設定の CLI のログイン ID/PW は下記の通りです ID : manager PW : friend 本資料は AR550S/AR560S/AR570S に適応可能です 各設定画面のパラメータ詳細については ユーザーマニュアルや設定例をご参照ください http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.html Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 12
拠点 A の AR ファミリの設定 Security Officer レベルユーザーの作成および鍵の作成 1. セキュリティーモードで各種設定を行うことのできる Security Officer レベルのユーザー secoff を作成します PW は secoff とします ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER 2. ISAKMP 用の事前共有鍵 (pre-shared key) を作成します ここでは鍵番号を 1 番とし 鍵の値は secret という文字列で指定します (VPN クライアントにも同じ値を設定 ) CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" Note セキュリティモードを使用しないと IPsec 機能で用いる鍵情報がルーターの再起動時に消去されます Note CREATE ENCO KEY コマンドは コンソール上でログインしている場合のみ有効なコマンドです そのため EDIT コマンド ( 内蔵スクリーンエディター ) などで設定スクリプトファイル (.CFG) にこのコマンドを記述しても無効になりますのでご注意ください Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 13
拠点 A の AR ファミリの設定 スクリプトファイルの生成 1. 有線回線経由での通信ができなくなったことを検知して経路を切り替えるスクリプトファイルを作成します ADD SCRIPT=PPPDOWN.SCP TEXT="ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=ETH1 NEXT=192.168.13.1" ADD SCRIPT=PPPDOWN.SCP TEXT="RESET IPSEC POLI=VPN MAIN" ADD SCRIPT=PPPDOWN.SCP TEXT="RESET ISAKMP POLI=I" 2. 有線回線経由での通信が復旧したことを検知して経路を切り替えるスクリプトファイルを作成します ADD SCRIPT=PPPUP.SCP TEXT="DELETE IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=ETH1 NEXT=192.168.13.1" ADD SCRIPT=PPPUP.SCP TEXT="RESET IPSEC POLI=VPN BACKUP" ADD SCRIPT=PPPUP.SCP TEXT="RESET ISAKMP POLI=I" Note ADD SCRIPT コマンドは コンソールなどからログインした状態で コマンドラインから実行するコマンドです そのため EDIT コマンド ( 内蔵フルスクリーンエディター ) などを使って設定スクリプトファイル (.CFG) にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 14
拠点 A の AR ファミリの設定 PPP インターフェースの設定 1. WAN 側 Ethernet インターフェース (eth0) 上に PPP インターフェースを作成します OVER=eth0-XXXX の XXXX の部分には ISP から通知された PPPoE の サービス名 を記述します ISP から指定がない場合は どのサービス名タグでも受け入れられるよう ANY を設定します CREATE PPP=0 OVER=eth0-ANY 2. ISP から通知された PPP ユーザー名とパスワードを指定します LQR はオフにし 代わりに LCP Echo パケットを使って PPP リンクの状態を監視するようにします SET PPP=0 OVER=eth0-ANY IPREQ=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=10 Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 15
拠点 A の AR ファミリの設定 IP と Firewall の設定 ENABLE IP ENABLE IP REMOTE ADD IP INT=PPP0 IP=0.0.0.0 MASK=0.0.0.0 ADD IP INT=VLAN1 IP=192.168.10.1 MASK=255.255.255.0 ADD IP INT=ETH1 IP=192.168.13.254 MASK=255.255.255.0 ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=PPP0 NEXT=0.0.0.0 ENABLE FIREWALL CREATE FIREWALL POLICY="TEST" DISABLE FIREWALL POLICY="TEST" IDENTPROXY ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE ADD FIREWALL POLICY="TEST" INT=PPP0 TYPE=PUBLIC ADD FIREWALL POLICY="TEST" INT=ETH1 TYPE=PUBLIC ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=PPP0 ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=ETH1 ADD FIREWALL POLI="TEST" RU=1 AC=NON INT=VLAN1 PROT=ALL IP=192.168.10.1 192.168.10.254 SET FIREWALL POLI="TEST" RU=1 REM=192.168.20.1 192.168.20.254 ADD FIREWALL POLI="TEST" RU=2 AC=NON INT=PPP0 PROT=ALL IP=192.168.10.1 192.168.10.254 ENC=IPS Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 16
拠点 A の AR ファミリの設定 IPsec の設定 CREATE ISAKMP POL="I" PE=172.0.0.1 MOD=AGGRESSIVE KEY=1 NATT=TRUE SET ISAKMP POL="I" SENDN=TRUE SET ISAKMP POL="I" DPDM=BOTH LOCALID="ROUTER A" ENABLE ISAKMP CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1" CREATE IPSEC POL="ISA" INT=PPP0 AC=PERMIT SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP CREATE IPSEC POL="VPN MAIN" INT=PPP0 AC=IPSEC KEY=ISAKMP BUND=1 PEER=172.0.0.1 SET IPSEC POL="VPN MAIN" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 CREATE IPSEC POL="INET" INT=PPP0 AC=PERMIT CREATE IPSEC POL="ISA2" INT=ETH1 AC=PERMIT SET IPSEC POL="ISA2" LP=500 RP=500 TRA=UDP CREATE IPSEC POL="VPN BACKUP" INT=ETH1 AC=IPSEC KEY=ISAKMP BUND=1 PEER=172.0.0.1 SET IPSEC POL="VPN BACKUP" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 CREATE IPSEC POL="INET2" INT=ETH1 AC=PERMIT ENABLE IPSEC Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 17
拠点 A の AR ファミリの設定 Trigger の設定 ENABLE TRIGGER CREATE TRIGGER=1 INTERFACE=PPP0 EVENT=DOWN CP=LCP SCRIPT=PPPDOWN.SCP CREATE TRIGGER=2 INTERFACE=PPP0 EVENT=UP CP=LCP SCRIPT=PPPUP.SCP Security Officer としてログイン LOGIN secoff 動作モードをセキュリティーモードに切り替えます ENABLE SYSTEM SECURITY_MODE Note セキュリティーモードでは Security Officer レベルでの Telnet ログインが原則として禁止されています セキュリティーモードにおいて Security Officer レベルで Telnet ログインしたい場合は あらかじめ RSO(Remote Security Officer) の設定を行っておいてください Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 18
拠点 A の AR ファミリの設定 設定は以上です 設定内容をファイルに保存し SET CONFIG コマンドで起動時設定ファイルに指定します CREATE CONFIG=ROUTERA.CFG SET CONFIG=ROUTERA.CFG Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 19
拠点 B の AR ファミリの設定 つづいて 拠点 B の AR ファミリルーターの設定をおこないます Security Officer レベルユーザーの作成および鍵の作成 1. セキュリティーモードで各種設定を行うことのできる Security Officer レベルのユーザー secoff を作成します PW は secoff とします ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER 2. ISAKMP 用の事前共有鍵 (pre-shared key) を作成します ここでは鍵番号を 1 番とし 鍵の値は secret という文字列で指定します (VPN クライアントにも同じ値を設定 ) CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" Note セキュリティモードを使用しないと IPsec 機能で用いる鍵情報がルーターの再起動時に消去されます Note CREATE ENCO KEY コマンドは コンソール上でログインしている場合のみ有効なコマンドです そのため EDIT コマンド ( 内蔵スクリーンエディター ) などで設定スクリプトファイル (.CFG) にこのコマンドを記述しても無効になりますのでご注意ください Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 20
拠点 B の AR ファミリの設定 PPP インターフェースの設定 1. WAN 側 Ethernet インターフェース (eth0) 上に PPP インターフェースを作成します OVER=eth0-XXXX の XXXX の部分には ISP から通知された PPPoE の サービス名 を記述します ISP から指定がない場合は どのサービス名タグでも受け入れられるよう ANY を設定します CREATE PPP=0 OVER=eth0-ANY 2. ISP から通知された PPP ユーザー名とパスワードを指定します LQR はオフにし 代わりに LCP Echo パケットを使って PPP リンクの状態を監視するようにします SET PPP=0 OVER=eth0-ANY IPREQ=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=10 Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 21
拠点 B の AR ファミリの設定 IP と Firewall の設定 ENABLE IP ENABLE IP REMOTE ADD IP INT=VLAN1 IP=192.168.20.1 ADD IP INT=PPP0 IP=172.0.0.1 MASK=255.255.255.255 ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=PPP0 NEXT=0.0.0.0 ENABLE FIREWALL CREATE FIREWALL POLICY="TEST" DISABLE FIREWALL POLICY="TEST" IDENTPROXY ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE ADD FIREWALL POLICY="TEST" INT=PPP0 TYPE=PUBLIC ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=PPP0 ADD FIREWALL POLI="TEST" RU=1 AC=ALLO INT=PPP0 PROT=UDP PO=500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=500 ADD FIREWALL POLI="TEST" RU=2 AC=ALLO INT=PPP0 PROT=UDP PO=4500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=4500 ADD FIREWALL POLI="TEST" RU=4 AC=NON INT=PPP0 PROT=ALL IP=192.168.20.1 192.168.20.254 ENC=IPS ADD FIREWALL POLI="TEST" RU=3 AC=NON INT=VLAN1 PROT=ALL IP=192.168.20.1 192.168.20.254 SET FIREWALL POLI="TEST" RU=3 REM=192.168.10.1 192.168.10.254 Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 22
拠点 B の AR ファミリの設定 IPsec の設定 CREATE ISAKMP POL="I" PE=ANY MOD=AGGRESSIVE KEY=1 NATT=TRUE SET ISAKMP POL="I" SENDN=TRUE SET ISAKMP POL="I" DPDM=BOTH REMOTEID="ROUTER A" ENABLE ISAKMP CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1" CREATE IPSEC POL="ISA" INT=PPP0 AC=PERMIT SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP CREATE IPSEC POL="VPN" INT=PPP0 AC=IPSEC KEY=ISAKMP BUND=1 PEER=DYNAMIC SET IPSEC POL="VPN" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 CREATE IPSEC POL="INET" INT=PPP0 AC=PERMIT CREATE IPSEC POL="NAT" INT=PPP0 AC=PERMIT SET IPSEC POL="NAT" LP=4500 TRA=UDP ENABLE IPSEC Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 23
拠点 B の AR ファミリの設定 Security Officer としてログイン LOGIN secoff 動作モードをセキュリティモードに切り替えます ENABLE SYSTEM SECURITY_MODE Note セキュリティーモードでは Security Officer レベルでの Telnet ログインが原則として禁止されています セキュリティーモードにおいて Security Officer レベルで Telnet ログインしたい場合は あらかじめ RSO(Remote Security Officer) の設定を行っておいてください Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 24
拠点 B の AR ファミリの設定 設定は以上です 設定内容をファイルに保存し SET CONFIG コマンドで起動時設定ファイルに指定します CREATE CONFIG=ROUTERB.CFG SET CONFIG=ROUTERB.CFG Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 25
アクセスラインとして LTE/3G 回線を使用する構成 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 26
構成概要 本資料では モバイル Wi-Fi ルーターを AR ファミリに接続し 有線回線のバックアップ構成を行う設定方法をご紹介します モバイル Wi-Fi ルーターの設定方法については ご使用のモバイル Wi-Fi ルーターのマニュアルをご参照下さい 本構成について 拠点 AのARファミリと拠点 BのARファミリをIPsecを使ってVPN 接続します 拠点 AのARファミリのETH0インターフェースにモバイルWi-Fiルーターを接続します LTE/3G 回線から付与されるIPアドレスはモバイルWi-Fiルーターで使用します Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 27
構成図 拠点 A 拠点 B ETH:192.168.13.1 LTE/3G:ISP より動的に割当 VPN ETH0:172.0.0.1 VLAN1:192.168.20.1 AR560S モバイル Wi-Fi ルーター LTE/3G LTE/3G ネットワークネットワーク インターネットインターネット AR560S ETH0: モバイル Wi-Fi ルーターより DHCP で割当 VLAN1:192.168.10.1 Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 28
拠点 A のパラメーター 本資料では以下のパラメータでの設定例をご紹介します AR ファミリの基本設定 WAN 側 ETH0 の IP アドレス LAN 側 VLAN1 の IP アドレス 192.168.10.1 IKE フェーズ 1 の認証方式 LTE/3G ルーターより DHCP にて割り当て 事前共有鍵 (pre-shared key) 事前共有鍵 (pre-shared key) secret( 文字列 ) モバイルWi-Fiルーターの基本設定 (NTT docomo BF-01Dの工場出荷時設定 ) Internet(3G/HSPA/LTE) 接続方式 APN( 接続先 ) mopera U mopera.net PIN ( 未入力 ) 国際ローミング ( 未チェック ) LOCAL-ID DPD による死活監視 NAT-Traversal のネゴシエーション ROUTER-A 行う 行う 認証方式 自動認証 DNS( ネーム ) サーバアドレス プライマリー :( 未入力 ) セカンダリー :( 未入力 ) MTU 値 1500バイト LAN LAN 側 IPアドレス IPアドレス :192.168.13.1 サブネットマスク :255.255.255.0 DHCPサーバ機能チェック : 使用する割り当てIPアドレス 192.168.13.2から64 台アドレス変換 アドレス変換 破棄パケットのログ出力 チェック : 使用する 192.168.13.2から64 台 Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 29
拠点 B のパラメーター 本資料では以下のパラメータでの設定例をご紹介します AR ファミリの基本設定 WAN 側 ETH0 の IP アドレス ISP より PPPoE にて 172.0.0.1 を割り当て LAN 側 VLAN1 の IP アドレス 192.168.20.1 IKE フェーズ 1 の認証方式 事前共有鍵 (pre-shared key) 事前共有鍵 (pre-shared key) secret( 文字列 ) DPD による死活監視 行う NAT-Traversal のネゴシエーション 行う Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 30
拠点 A の AR ファミリの設定 Security Officer レベルユーザーの作成および鍵の作成 1. セキュリティーモードで各種設定を行うことのできる Security Officer レベルのユーザー secoff を作成します PW は secoff とします ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER 2. ISAKMP 用の事前共有鍵 (pre-shared key) を作成します ここでは鍵番号を 1 番とし 鍵の値は secret という文字列で指定します (VPN クライアントにも同じ値を設定 ) CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" Note セキュリティモードを使用しないと IPsec 機能で用いる鍵情報がルーターの再起動時に消去されます Note CREATE ENCO KEY コマンドは コンソール上でログインしている場合のみ有効なコマンドです そのため EDIT コマンド ( 内蔵スクリーンエディター ) などで設定スクリプトファイル (.CFG) にこのコマンドを記述しても無効になりますのでご注意ください Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 31
拠点 A の AR ファミリの設定 IP と Firewall の設定 ENABLE IP ENABLE IP REMOTE ADD IP INT=VLAN1 IP=192.168.10.1 ADD IP INT=ETH1 IP=DHCP ENABLE FIREWALL CREATE FIREWALL POLICY="TEST" DISABLE FIREWALL POLICY="TEST" IDENTPROXY ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE ADD FIREWALL POLICY="TEST" INT=ETH1 TYPE=PUBLIC ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=ETH1 ADD FIREWALL POLI="TEST" RU=3 AC=NON INT=ETH1 PROT=ALL IP=192.168.10.1 192.168.10.254 ENC=IPS ADD FIREWALL POLI="TEST" RU=1 AC=NON INT=VLAN1 PROT=ALL IP=192.168.10.1 192.168.10.254 SET FIREWALL POLI="TEST" RU=1 REM=192.168.20.1 192.168.20.254 Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 32
拠点 A の AR ファミリの設定 IPsec の設定 CREATE ISAKMP POL="I" PE=172.0.0.1 MOD=AGGRESSIVE KEY=1 NATT=TRUE SET ISAKMP POL="I" SET ISAKMP POL="I" SENDN=TRUE SET ISAKMP POL="I" DPDM=BOTH LOCALID="ROUTER-A" ENABLE ISAKMP CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1" CREATE IPSEC POL="ISA" INT=ETH1 AC=PERMIT SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP CREATE IPSEC POL="VPN-MAIN" INT=ETH1 AC=IPSEC KEY=ISAKMP BUND=1 PEER=172.0.0.1 SET IPSEC POL="VPN-MAIN" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 CREATE IPSEC POL="INET" INT=ETH1 AC=PERMIT ENABLE IPSEC Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 33
拠点 A の AR ファミリの設定 Security Officer としてログイン LOGIN secoff 動作モードをセキュリティモードに切り替えます ENABLE SYSTEM SECURITY_MODE Note セキュリティーモードでは Security Officer レベルでの Telnet ログインが原則として禁止されています セキュリティーモードにおいて Security Officer レベルで Telnet ログインしたい場合は あらかじめ RSO(Remote Security Officer) の設定を行っておいてください Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 34
拠点 A の AR ファミリの設定 設定は以上です 設定内容をファイルに保存し SET CONFIG コマンドで起動時設定ファイルに指定します CREATE CONFIG=ROUTERA.CFG SET CONFIG=ROUTERA.CFG Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 35
拠点 B の AR ファミリの設定 つづいて 拠点 B の AR ファミリルーターの設定をおこないます Security Officer レベルユーザーの作成および鍵の作成 1. セキュリティーモードで各種設定を行うことのできる Security Officer レベルのユーザー secoff を作成します PW は secoff とします ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER 2. ISAKMP 用の事前共有鍵 (pre-shared key) を作成します ここでは鍵番号を 1 番とし 鍵の値は secret という文字列で指定します (VPN クライアントにも同じ値を設定 ) CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" Note セキュリティモードを使用しないと IPsec 機能で用いる鍵情報がルーターの再起動時に消去されます Note CREATE ENCO KEY コマンドは コンソール上でログインしている場合のみ有効なコマンドです そのため EDIT コマンド ( 内蔵スクリーンエディター ) などで設定スクリプトファイル (.CFG) にこのコマンドを記述しても無効になりますのでご注意ください Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 36
拠点 B の AR ファミリの設定 PPP インターフェースの設定 1. WAN 側 Ethernet インターフェース (eth0) 上に PPP インターフェースを作成します OVER=eth0-XXXX の XXXX の部分には ISP から通知された PPPoE の サービス名 を記述します ISP から指定がない場合は どのサービス名タグでも受け入れられるよう ANY を設定します CREATE PPP=0 OVER=eth0-ANY 2. ISP から通知された PPP ユーザー名とパスワードを指定します LQR はオフにし 代わりに LCP Echo パケットを使って PPP リンクの状態を監視するようにします SET PPP=0 OVER=eth0-ANY IPREQ=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=10 Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 37
拠点 B の AR ファミリの設定 IP と Firewall の設定 ENABLE IP ENABLE IP REMOTE ADD IP INT=VLAN1 IP=192.168.20.1 ADD IP INT=PPP0 IP=172.0.0.1 MASK=255.255.255.255 ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=PPP0 NEXT=0.0.0.0 ENABLE FIREWALL CREATE FIREWALL POLICY="TEST" DISABLE FIREWALL POLICY="TEST" IDENTPROXY ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE ADD FIREWALL POLICY="TEST" INT=PPP0 TYPE=PUBLIC ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=PPP0 ADD FIREWALL POLI="TEST" RU=1 AC=ALLO INT=PPP0 PROT=UDP PO=500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=500 ADD FIREWALL POLI="TEST" RU=2 AC=ALLO INT=PPP0 PROT=UDP PO=4500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=4500 ADD FIREWALL POLI="TEST" RU=4 AC=NON INT=PPP0 PROT=ALL IP=192.168.20.1 192.168.20.254 ENC=IPS ADD FIREWALL POLI="TEST" RU=3 AC=NON INT=VLAN1 PROT=ALL IP=192.168.20.1 192.168.20.254 SET FIREWALL POLI="TEST" RU=3 REM=192.168.10.1 192.168.10.254 Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 38
拠点 B の AR ファミリの設定 IPsec の設定 CREATE ISAKMP POL="I" PE=ANY MOD=AGGRESSIVE KEY=1 NATT=TRUE SET ISAKMP POL="I" SENDN=TRUE SET ISAKMP POL="I" DPDM=BOTH REMOTEID="ROUTER A" ENABLE ISAKMP CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1" CREATE IPSEC POL="ISA" INT=PPP0 AC=PERMIT SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP CREATE IPSEC POL="VPN" INT=PPP0 AC=IPSEC KEY=ISAKMP BUND=1 PEER=DYNAMIC SET IPSEC POL="VPN" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 CREATE IPSEC POL="INET" INT=PPP0 AC=PERMIT CREATE IPSEC POL="NAT" INT=PPP0 AC=PERMIT SET IPSEC POL="NAT" LP=4500 TRA=UDP ENABLE IPSEC Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 39
拠点 B の AR ファミリの設定 Security Officer としてログイン LOGIN secoff 動作モードをセキュリティモードに切り替えます ENABLE SYSTEM SECURITY_MODE Note セキュリティーモードでは Security Officer レベルでの Telnet ログインが原則として禁止されています セキュリティーモードにおいて Security Officer レベルで Telnet ログインしたい場合は あらかじめ RSO(Remote Security Officer) の設定を行っておいてください Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 40
拠点 B の AR ファミリの設定 設定は以上です 設定内容をファイルに保存し SET CONFIG コマンドで起動時設定ファイルに指定します CREATE CONFIG=ROUTERB.CFG SET CONFIG=ROUTERB.CFG Copyright 2011 Copyright 2012 Allied Telesis K.K. All Rights Reserved. 41
社会品質を創る アライドテレシス http://www.allied-telesis.co.jp/ おかげさまで 25 周年を迎えました Copyright 2012 Allied Telesis K.K. All Rights Reserved.