CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
拠点 A の AR ファミリの設定
Note‐CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、
EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても 無効になりますのでご注意ください。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 32
拠点 A の AR ファミリの設定
ENABLE IP
ENABLE IP REMOTE
ADD IP INT=VLAN1 IP=192.168.10.1 ADD IP INT=ETH1 IP=DHCP
ENABLE FIREWALL
CREATE FIREWALL POLICY="TEST"
DISABLE FIREWALL POLICY="TEST" IDENTPROXY
ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE ADD FIREWALL POLICY="TEST" INT=ETH1 TYPE=PUBLIC
ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=ETH1
ADD FIREWALL POLI="TEST" RU=3 AC=NON INT=ETH1 PROT=ALL IP=192.168.10.1‐192.168.10.254 ENC=IPS ADD FIREWALL POLI="TEST" RU=1 AC=NON INT=VLAN1 PROT=ALL IP=192.168.10.1‐192.168.10.254
SET FIREWALL POLI="TEST" RU=1 REM=192.168.20.1‐192.168.20.254
IP と Firewall の設定
拠点 A の AR ファミリの設定
CREATE ISAKMP POL="I" PE=172.0.0.1 MOD=AGGRESSIVE KEY=1 NATT=TRUE SET ISAKMP POL="I"
SET ISAKMP POL="I" SENDN=TRUE
SET ISAKMP POL="I" DPDM=BOTH LOCALID="ROUTER-A"
ENABLE ISAKMP
CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1"
CREATE IPSEC POL="ISA" INT=ETH1 AC=PERMIT SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP
CREATE IPSEC POL="VPN-MAIN" INT=ETH1 AC=IPSEC KEY=ISAKMP BUND=1 PEER=172.0.0.1 SET IPSEC POL="VPN-MAIN" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0
RMA=255.255.255.0
CREATE IPSEC POL="INET" INT=ETH1 AC=PERMIT ENABLE IPSEC
IPsec の設定
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 34
拠点 A の AR ファミリの設定
Note‐セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモー ドにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を 行っておいてください 。
LOGIN secoff
Security Officerとしてログイン
動作モードをセキュリティモードに切り替えます
ENABLE SYSTEM SECURITY_MODE
拠点 A の AR ファミリの設定
設定は以上です。設定内容をファイルに保存し、 SET CONFIG コマンドで 起動時設定ファイルに指定します。
CREATE CONFIG=ROUTERA.CFG SET CONFIG=ROUTERA.CFG
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 36
Note‐セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。
つづいて、拠点 B の AR ファミリルーターの設定をおこないます。
Security Officer レベルユーザーの作成および鍵の作成
1.
セキュリティーモードで各種設定を行うことのできる
Security Officerレベルのユーザー
「
secoff」を作成します。
PWは「
secoff」とします。
ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER
2. ISAKMP
用の事前共有鍵(
pre-shared key)を作成します。ここでは鍵番号を「
1」番とし、鍵 の値は「
secret」という文字列で指定します(
VPNクライアントにも同じ値を設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
拠点 B の AR ファミリの設定
Note‐CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、
EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても 無効になりますのでご注意ください。
拠点 B の AR ファミリの設定
PPPインターフェースの設定
1. WAN
側
Ethernetインターフェース(
eth0)上に
PPPインターフェースを作成します。
「
OVER=eth0-XXXX」の「
XXXX」の部分には、
ISPから通知された
PPPoEの「サービス名」
を記述します。
ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、
「
ANY」を設定します。
CREATE PPP=0 OVER=eth0-ANY
2. ISP
から通知された
PPPユーザー名とパスワードを指定します。
LQRはオフにし、代わりに
LCP Echoパケットを使って
PPPリンクの状態を監視するようにします。
SET PPP=0 OVER=eth0-ANY IPREQ=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=10
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 38
拠点 B の AR ファミリの設定
ENABLE IP
ENABLE IP REMOTE
ADD IP INT=VLAN1 IP=192.168.20.1
ADD IP INT=PPP0 IP=172.0.0.1 MASK=255.255.255.255 ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=PPP0 NEXT=0.0.0.0 ENABLE FIREWALL
CREATE FIREWALL POLICY="TEST"
DISABLE FIREWALL POLICY="TEST" IDENTPROXY
ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE ADD FIREWALL POLICY="TEST" INT=PPP0 TYPE=PUBLIC
ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=PPP0
ADD FIREWALL POLI="TEST" RU=1 AC=ALLO INT=PPP0 PROT=UDP PO=500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=500 ADD FIREWALL POLI="TEST" RU=2 AC=ALLO INT=PPP0 PROT=UDP PO=4500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=4500 ADD FIREWALL POLI="TEST" RU=4 AC=NON INT=PPP0 PROT=ALL IP=192.168.20.1‐192.168.20.254 ENC=IPS
ADD FIREWALL POLI="TEST" RU=3 AC=NON INT=VLAN1 PROT=ALL IP=192.168.20.1‐192.168.20.254 SET FIREWALL POLI="TEST" RU=3 REM=192.168.10.1‐192.168.10.254
IP と Firewall の設定
拠点 B の AR ファミリの設定
CREATE ISAKMP POL="I" PE=ANY MOD=AGGRESSIVE KEY=1 NATT=TRUE SET ISAKMP POL="I" SENDN=TRUE
SET ISAKMP POL="I" DPDM=BOTH REMOTEID="ROUTER‐A"
ENABLE ISAKMP
CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1"
CREATE IPSEC POL="ISA" INT=PPP0 AC=PERMIT SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP
CREATE IPSEC POL="VPN" INT=PPP0 AC=IPSEC KEY=ISAKMP BUND=1 PEER=DYNAMIC
SET IPSEC POL="VPN" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 CREATE IPSEC POL="INET" INT=PPP0 AC=PERMIT
CREATE IPSEC POL="NAT" INT=PPP0 AC=PERMIT SET IPSEC POL="NAT" LP=4500 TRA=UDP
ENABLE IPSEC
IPsec の設定
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 40
拠点 B の AR ファミリの設定
Note‐セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモー ドにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を 行っておいてください 。
LOGIN secoff
Security Officerとしてログイン
動作モードをセキュリティモードに切り替えます
ENABLE SYSTEM SECURITY_MODE
拠点 B の AR ファミリの設定
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設 定ファイルに指定します。
CREATE CONFIG=ROUTERB.CFG SET CONFIG=ROUTERB.CFG