モバイルWi-Fiルーターと
ARファミリの設定例
2012/9/4
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 2
目次
1.移動体データ通信サービスをデータ通信で利用するメリット
2.VPNルーターと組み合わせられる移動体通信端末の種類
3.設定例
モバイルWi-Fiルーターを用いたVPNのバックアップ構成設定例
メインアクセスラインとしてモバイルWi-Fiルーターを用いたVPN構成設定例
移動体データ通信サービスをデータ通信でご利用いただく際は
"USB型のデーター通信端末やいわゆる"モバイルWi-Fiルー
ター"を使用することができます。
本資料はモバイルWi-FiルーターをARファミリと組み合わせてご
利用になる際の構成例と設定例についてご紹介しています。
この組み合わせにより、ARファミリの幅広い機種で、移動体デー
タ通信サービスをご利用いただくことが可能となります。
LTE/3G等の移動体データ通信回線とWi-Fiのインターフェースを持ち、Wi-Fiに
対応したタブレット等の端末を移動体データ通信回線へ接続することができます。
ルーターとしての機能を持ち、クレードルにEthernetインターフェースを備えたもの
もあります。
モバイルWi-Fiルーターとは?
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 4
1.移動体データ通信サービスをデータ通信で利用するメリット
移動体データ通信サービス価格:
1,500円/月より
※1△
通信帯域:
7.2M(ベストエフォート)
設置場所:
サービスエリア内
移動体データー通信サービスを選択することで、設置場所の自由度が高く、
ランニングコストの安いアクセス手段を利用することが可能です。
はどこでも
光ファイーバー系データ通信サービス価格:
4,095円/月より
※2通信帯域:
100M(ベストエフォート)
△
設置場所:
ファイバーの
敷設エリア
※1 FOMA 定額データープランスタンダードバリュー+mopera U スタンダード ※2 OCN 光 with フレッツ「フレッツ光ライト」プラン2.
"モバイルWi-Fiルーター" VS "USB型データ通信端末"
USB端末 モバイルWiFiルーターメリット
デメリット
デメリット
メリット
NATを経由しないので使用可能なプロトコ ルの制限がない USB端末専用の電源が不要 接続可能なVPNルーターがUSBをサポート したものに限定される。ファームウェアの対応 も必要。 VPNルーターとUSB端末間の接続ケーブ ル長が5メートルに制限される Ethernetに接続可能であるため、VPN ルーターの機種が限定されない。ファーム ウェアの対応も不要。 VPNルーターとモバイルWi-Fiルーター間を 100メートルまで延長可能。電波環境の良い 場所を選択してモバイルWi-Fiルーター設置 可能 NATを経由するため、RIPやOSPF、マルチ キャストなど使用できないプロトコルがある モバイルWiFiルーターを使用するための電 源確保が必要 移動体データ通信サービスをデータ通信で利用するには”モバイルWi-Fiルーター”または”USB 型データ端末”のどちらかを使用する必要がございます。 ここでは、それぞれのメリット・デメリットについて解説します。Copyright©2012 Allied Telesis K.K. All Rights Reserved.
構成概要
本構成について
拠点AのARファミリと拠点BのARファミリをIPsecを使ってVPN接続します。
拠点AのARファミリと拠点BのARファミリをIPsecを使ってVPN接続します。
拠点AのARファミリのETH0インターフェースへは有線回線を接続します。
拠点AのARファミリのETH1インターフェースにモバイルWi-Fiルーターを接続します。
LTE/3G回線から付与されるIPアドレスはモバイルWi-Fiルーターで使用します。
拠点Aの有線回線のPPP切断検知時にLTE/3G回線側へVPN接続を切り替えます。
拠点Aの有線回線のPPP接続回復時にVPN接続を有線回線側に切替え、LTE/3G回線
側のVPN接続を切断します。
本資料では、モバイルWi-FiルーターをARファミリに接続し、有線回線のバックアップ
構成を行う設定方法をご紹介します。
モバイルWi-Fiルーターの設定方法については、ご使用のモバイルWi-Fiルーターのマ
ニュアルをご参照下さい。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 8
構成図
インターネット
インターネット
LTE/3G ネットワーク LTE/3G ネットワーク モバイルWi-Fi ルーター メインVPN バックアップVPN ETH0:ISPよりPPPoEで割当 ETH1:192.168.13.254 VLAN1:192.168.10.1 ETH0:172.0.0.1 VLAN1:192.168.20.1 ETH:192.168.13.1 LTE/3G:ISPより割当 拠点A 拠点B AR560S AR560S拠点Aのパラメーター
WAN側ETH0のIPアドレス ISPよりPPPoEにて割り当て
WAN側ETH1のIPアドレス 192.168.13.254
LAN側VLAN1のIPアドレス 192.168.10.1
IKEフェーズ1の認証方式 事前共有鍵(pre-shared key)
事前共有鍵(pre-shared key) secret(文字列)
LOCAL-ID ROUTER-A DPDによる死活監視 行う NAT-Traversalのネゴシエーション 行う 接続方式 mopera U APN(接続先) mopera.net PIN (未入力) 国際ローミング (未チェック) 認証方式 自動認証 DNS(ネーム)サーバアドレス プライマリー:(未入力) セカンダリー:(未入力) MTU値 1500バイト
本資料では以下のパラメータでの設定例をご紹介します。
モバイルWi-Fiルーターの基本設定 (NTT docomo BF-01Dの工場出荷時設定) ARファミリの基本設定 Internet(3G/HSPA/LTE) LAN LAN側IPアドレス IPアドレス:192.168.13.1 サブネットマスク:255.255.255.0 DHCPサーバ機能 チェック:使用する 割り当てIPアドレス 192.168.13.2から64台 アドレス変換 チェック:使用する 破棄パケットのログ出力 192.168.13.2から64台 アドレス変換Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 10
拠点Bのパラメーター
WAN側ETH0のIPアドレス ISPよりPPPoEにて172.0.0.1を割り当て
LAN側VLAN1のIPアドレス 192.168.20.1
IKEフェーズ1の認証方式 事前共有鍵(pre-shared key)
事前共有鍵(pre-shared key) secret(文字列)
DPDによる死活監視 行う
NAT-Traversalのネゴシエーション 行う
本資料では以下のパラメータでの設定例をご紹介します。
ルーターの設定
以下の手順でルーターの設定をおこないます
1.拠点AのARファミリ
2.拠点BのARファミリ
拠点AのモバイルWi-Fiルーターは、デフォルトのまま設定変更を行
わずに使用します。
ただし、セキュリティのリスクがありますので、管理者のパスワード
等は必要に応じて変更の上、ご利用ください。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 12
工場出荷時設定のCLIの ログインID/PW は下記の通りです。
ID : manager
PW : friend
本資料はAR550S/AR560S/AR570Sに適応可能です。
各設定画面のパラメータ詳細については、ユーザーマニュアルや設定例をご参照く
ださい。
http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.htmlARファミリの設定
Note‐セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。
Security Officer レベルユーザーの作成および鍵の作成
1. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー
「secoff」を作成します。PWは「secoff」とします。
ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER
2. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵
の値は「secret」という文字列で指定します(VPNクライアントにも同じ値を設定)。 CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
拠点AのARファミリの設定
Note‐CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、 EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても 無効になりますのでご注意ください。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 14
拠点AのARファミリの設定
ADD SCRIPT=PPPDOWN.SCPTEXT="ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=ETH1 NEXT=192.168.13.1" ADD SCRIPT=PPPDOWN.SCP TEXT="RESET IPSEC POLI=VPN‐MAIN" ADD SCRIPT=PPPDOWN.SCP TEXT="RESET ISAKMP POLI=I"1. 有線回線経由での通信ができなくなったことを検知して経路を切り替えるスクリプト
ファイルを作成します。
2. 有線回線経由での通信が復旧したことを検知して経路を切り替えるスクリプトファイル
を作成します。
ADD SCRIPT=PPPUP.SCPTEXT="DELETE IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=ETH1 NEXT=192.168.13.1" ADD SCRIPT=PPPUP.SCPTEXT="RESET IPSEC POLI=VPN‐BACKUP" ADD SCRIPT=PPPUP.SCPTEXT="RESET ISAKMP POLI=I"Note‐ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。 そのため、EDITコマンド(内蔵フルスクリーンエディター)などを使って設定スクリプトファイル(.CFG)にこのコマンドを 記述しても意図した結果にならない場合がありますのでご注意ください。
拠点AのARファミリの設定
PPPインターフェースの設定
1. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。 「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」 を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、 「ANY」を設定します。 CREATE PPP=0 OVER=eth0-ANY 2. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりに LCP Echoパケットを使ってPPPリンクの状態を監視するようにします。SET PPP=0 OVER=eth0-ANY IPREQ=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=10
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 16
拠点AのARファミリの設定
ENABLE IP ENABLE IP REMOTE ADD IP INT=PPP0 IP=0.0.0.0 MASK=0.0.0.0 ADD IP INT=VLAN1 IP=192.168.10.1 MASK=255.255.255.0 ADD IP INT=ETH1 IP=192.168.13.254 MASK=255.255.255.0 ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=PPP0 NEXT=0.0.0.0 ENABLE FIREWALL CREATE FIREWALL POLICY="TEST" DISABLE FIREWALL POLICY="TEST" IDENTPROXY ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE ADD FIREWALL POLICY="TEST" INT=PPP0 TYPE=PUBLIC ADD FIREWALL POLICY="TEST" INT=ETH1 TYPE=PUBLIC ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=PPP0 ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=ETH1 ADD FIREWALL POLI="TEST" RU=1 AC=NON INT=VLAN1 PROT=ALL IP=192.168.10.1‐192.168.10.254 SET FIREWALL POLI="TEST" RU=1 REM=192.168.20.1‐192.168.20.254 ADD FIREWALL POLI="TEST" RU=2 AC=NON INT=PPP0 PROT=ALL IP=192.168.10.1‐192.168.10.254 ENC=IPSIPとFirewallの設定
拠点AのARファミリの設定
CREATE ISAKMP POL="I" PE=172.0.0.1 MOD=AGGRESSIVE KEY=1 NATT=TRUE SET ISAKMP POL="I" SENDN=TRUE SET ISAKMP POL="I" DPDM=BOTH LOCALID="ROUTER‐A" ENABLE ISAKMP CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1" CREATE IPSEC POL="ISA" INT=PPP0 AC=PERMIT SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP CREATE IPSEC POL="VPN‐MAIN" INT=PPP0 AC=IPSEC KEY=ISAKMP BUND=1 PEER=172.0.0.1 SET IPSEC POL="VPN‐MAIN" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 CREATE IPSEC POL="INET" INT=PPP0 AC=PERMIT CREATE IPSEC POL="ISA2" INT=ETH1 AC=PERMIT SET IPSEC POL="ISA2" LP=500 RP=500 TRA=UDP CREATE IPSEC POL="VPN‐BACKUP" INT=ETH1 AC=IPSEC KEY=ISAKMP BUND=1 PEER=172.0.0.1 SET IPSEC POL="VPN‐BACKUP" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 CREATE IPSEC POL="INET2" INT=ETH1 AC=PERMIT ENABLE IPSECIPsecの設定
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 18
拠点AのARファミリの設定
ENABLE TRIGGER CREATE TRIGGER=1 INTERFACE=PPP0 EVENT=DOWN CP=LCP SCRIPT=PPPDOWN.SCP CREATE TRIGGER=2 INTERFACE=PPP0 EVENT=UP CP=LCP SCRIPT=PPPUP.SCP Note‐セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモー ドにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を 行っておいてください 。 LOGIN secoffTriggerの設定
Security Officerとしてログイン
動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE拠点AのARファミリの設定
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで
起動時設定ファイルに指定します。
CREATE CONFIG=ROUTERA.CFG SET CONFIG=ROUTERA.CFG
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 20
Note‐セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。
つづいて、拠点BのARファミリルーターの設定をおこないます。
Security Officer レベルユーザーの作成および鍵の作成
1. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー
「secoff」を作成します。PWは「secoff」とします。
ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER
2. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵
の値は「secret」という文字列で指定します(VPNクライアントにも同じ値を設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
拠点BのARファミリの設定
Note‐CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、 EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても 無効になりますのでご注意ください。
拠点BのARファミリの設定
PPPインターフェースの設定
1. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。 「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」 を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、 「ANY」を設定します。 CREATE PPP=0 OVER=eth0-ANY 2. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わり にLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。SET PPP=0 OVER=eth0-ANY IPREQ=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=10
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 22
拠点BのARファミリの設定
ENABLE IP ENABLE IP REMOTE ADD IP INT=VLAN1 IP=192.168.20.1 ADD IP INT=PPP0 IP=172.0.0.1 MASK=255.255.255.255 ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=PPP0 NEXT=0.0.0.0 ENABLE FIREWALL CREATE FIREWALL POLICY="TEST" DISABLE FIREWALL POLICY="TEST" IDENTPROXY ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE ADD FIREWALL POLICY="TEST" INT=PPP0 TYPE=PUBLIC ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=PPP0 ADD FIREWALL POLI="TEST" RU=1 AC=ALLO INT=PPP0 PROT=UDP PO=500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=500 ADD FIREWALL POLI="TEST" RU=2 AC=ALLO INT=PPP0 PROT=UDP PO=4500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=4500 ADD FIREWALL POLI="TEST" RU=4 AC=NON INT=PPP0 PROT=ALL IP=192.168.20.1‐192.168.20.254 ENC=IPS ADD FIREWALL POLI="TEST" RU=3 AC=NON INT=VLAN1 PROT=ALL IP=192.168.20.1‐192.168.20.254 SET FIREWALL POLI="TEST" RU=3 REM=192.168.10.1‐192.168.10.254IPとFirewallの設定
拠点BのARファミリの設定
CREATE ISAKMP POL="I" PE=ANY MOD=AGGRESSIVE KEY=1 NATT=TRUE SET ISAKMP POL="I" SENDN=TRUE SET ISAKMP POL="I" DPDM=BOTH REMOTEID="ROUTER‐A" ENABLE ISAKMP CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1" CREATE IPSEC POL="ISA" INT=PPP0 AC=PERMIT SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP CREATE IPSEC POL="VPN" INT=PPP0 AC=IPSEC KEY=ISAKMP BUND=1 PEER=DYNAMIC SET IPSEC POL="VPN" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 CREATE IPSEC POL="INET" INT=PPP0 AC=PERMIT CREATE IPSEC POL="NAT" INT=PPP0 AC=PERMIT SET IPSEC POL="NAT" LP=4500 TRA=UDP ENABLE IPSECIPsecの設定
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 24
拠点BのARファミリの設定
Note‐セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモー ドにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を 行っておいてください 。 LOGIN secoffSecurity Officerとしてログイン
動作モードをセキュリティモードに切り替えます
ENABLE SYSTEM SECURITY_MODE拠点BのARファミリの設定
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設
定ファイルに指定します。
CREATE CONFIG=ROUTERB.CFG SET CONFIG=ROUTERB.CFG
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 26
構成概要
本資料では、モバイルWi-FiルーターをARファミリに接続し、有線回線のバックアップ
構成を行う設定方法をご紹介します。
モバイルWi-Fiルーターの設定方法については、ご使用のモバイルWi-Fiルーターのマ
ニュアルをご参照下さい。
本構成について
拠点AのARファミリと拠点BのARファミリをIPsecを使ってVPN接続します。
拠点AのARファミリのETH0インターフェースにモバイルWi-Fiルーターを接続します。
LTE/3G回線から付与されるIPアドレスはモバイルWi-Fiルーターで使用します。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 28
構成図
インターネット インターネット LTE/3G ネットワーク LTE/3G ネットワーク モバイルWi-Fi ルーター VPN ETH0:モバイルWi-Fiルーター よりDHCPで割当 VLAN1:192.168.10.1 ETH0:172.0.0.1 VLAN1:192.168.20.1 ETH:192.168.13.1 LTE/3G:ISPより動的に割当 拠点A 拠点B AR560S AR560S拠点Aのパラメーター
WAN側ETH0のIPアドレス LTE/3GルーターよりDHCPにて割り
当て
LAN側VLAN1のIPアドレス 192.168.10.1
IKEフェーズ1の認証方式 事前共有鍵(pre-shared key)
事前共有鍵(pre-shared key) secret(文字列)
LOCAL-ID ROUTER-A DPDによる死活監視 行う NAT-Traversalのネゴシエーション 行う 接続方式 mopera U APN(接続先) mopera.net PIN (未入力) 国際ローミング (未チェック) 認証方式 自動認証 DNS(ネーム)サーバアドレス プライマリー:(未入力) セカンダリー:(未入力) MTU値 1500バイト
本資料では以下のパラメータでの設定例をご紹介します。
モバイルWi-Fiルーターの基本設定 (NTT docomo BF-01Dの工場出荷時設定) ARファミリの基本設定 Internet(3G/HSPA/LTE) LAN LAN側IPアドレス IPアドレス:192.168.13.1 サブネットマスク:255.255.255.0 DHCPサーバ機能 チェック:使用する 割り当てIPアドレス 192.168.13.2から64台 アドレス変換 チェック:使用する 破棄パケットのログ出力 192.168.13.2から64台 アドレス変換Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 30
拠点Bのパラメーター
WAN側ETH0のIPアドレス ISPよりPPPoEにて172.0.0.1を割り当て
LAN側VLAN1のIPアドレス 192.168.20.1
IKEフェーズ1の認証方式 事前共有鍵(pre-shared key)
事前共有鍵(pre-shared key) secret(文字列)
DPDによる死活監視 行う
NAT-Traversalのネゴシエーション 行う
本資料では以下のパラメータでの設定例をご紹介します。
Note‐セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。
Security Officer レベルユーザーの作成および鍵の作成
1. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー
「secoff」を作成します。PWは「secoff」とします。
ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER
2. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵
の値は「secret」という文字列で指定します(VPNクライアントにも同じ値を設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
拠点AのARファミリの設定
Note‐CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、 EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても 無効になりますのでご注意ください。
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 32
拠点AのARファミリの設定
ENABLE IP ENABLE IP REMOTE ADD IP INT=VLAN1 IP=192.168.10.1 ADD IP INT=ETH1 IP=DHCP ENABLE FIREWALL CREATE FIREWALL POLICY="TEST" DISABLE FIREWALL POLICY="TEST" IDENTPROXY ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE ADD FIREWALL POLICY="TEST" INT=ETH1 TYPE=PUBLIC ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=ETH1 ADD FIREWALL POLI="TEST" RU=3 AC=NON INT=ETH1 PROT=ALL IP=192.168.10.1‐192.168.10.254 ENC=IPS ADD FIREWALL POLI="TEST" RU=1 AC=NON INT=VLAN1 PROT=ALL IP=192.168.10.1‐192.168.10.254 SET FIREWALL POLI="TEST" RU=1 REM=192.168.20.1‐192.168.20.254IPとFirewallの設定
拠点AのARファミリの設定
CREATE ISAKMP POL="I" PE=172.0.0.1 MOD=AGGRESSIVE KEY=1 NATT=TRUE SET ISAKMP POL="I"
SET ISAKMP POL="I" SENDN=TRUE
SET ISAKMP POL="I" DPDM=BOTH LOCALID="ROUTER-A" ENABLE ISAKMP
CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1"
CREATE IPSEC POL="ISA" INT=ETH1 AC=PERMIT SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP
CREATE IPSEC POL="VPN-MAIN" INT=ETH1 AC=IPSEC KEY=ISAKMP BUND=1 PEER=172.0.0.1 SET IPSEC POL="VPN-MAIN" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0
RMA=255.255.255.0
CREATE IPSEC POL="INET" INT=ETH1 AC=PERMIT ENABLE IPSEC
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 34
拠点AのARファミリの設定
Note‐セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモー ドにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を 行っておいてください 。 LOGIN secoffSecurity Officerとしてログイン
動作モードをセキュリティモードに切り替えます
ENABLE SYSTEM SECURITY_MODE拠点AのARファミリの設定
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで
起動時設定ファイルに指定します。
CREATE CONFIG=ROUTERA.CFG SET CONFIG=ROUTERA.CFG
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 36
Note‐セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。
つづいて、拠点BのARファミリルーターの設定をおこないます。
Security Officer レベルユーザーの作成および鍵の作成
1. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー
「secoff」を作成します。PWは「secoff」とします。
ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER
2. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵
の値は「secret」という文字列で指定します(VPNクライアントにも同じ値を設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
拠点BのARファミリの設定
Note‐CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、 EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても 無効になりますのでご注意ください。
拠点BのARファミリの設定
PPPインターフェースの設定
1. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。 「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」 を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、 「ANY」を設定します。 CREATE PPP=0 OVER=eth0-ANY 2. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりに LCP Echoパケットを使ってPPPリンクの状態を監視するようにします。SET PPP=0 OVER=eth0-ANY IPREQ=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=10
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 38
拠点BのARファミリの設定
ENABLE IP ENABLE IP REMOTE ADD IP INT=VLAN1 IP=192.168.20.1 ADD IP INT=PPP0 IP=172.0.0.1 MASK=255.255.255.255 ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=PPP0 NEXT=0.0.0.0 ENABLE FIREWALL CREATE FIREWALL POLICY="TEST" DISABLE FIREWALL POLICY="TEST" IDENTPROXY ENABLE FIREWALL POLICY="TEST" ICMP_F=UNRE,PING ADD FIREWALL POLICY="TEST" INT=VLAN1 TYPE=PRIVATE ADD FIREWALL POLICY="TEST" INT=PPP0 TYPE=PUBLIC ADD FIREWALL POLI="TEST" NAT=ENHANCED INT=VLAN1 GBLIN=PPP0 ADD FIREWALL POLI="TEST" RU=1 AC=ALLO INT=PPP0 PROT=UDP PO=500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=500 ADD FIREWALL POLI="TEST" RU=2 AC=ALLO INT=PPP0 PROT=UDP PO=4500 IP=172.0.0.1 GBLIP=172.0.0.1 GBLP=4500 ADD FIREWALL POLI="TEST" RU=4 AC=NON INT=PPP0 PROT=ALL IP=192.168.20.1‐192.168.20.254 ENC=IPS ADD FIREWALL POLI="TEST" RU=3 AC=NON INT=VLAN1 PROT=ALL IP=192.168.20.1‐192.168.20.254 SET FIREWALL POLI="TEST" RU=3 REM=192.168.10.1‐192.168.10.254IPとFirewallの設定
拠点BのARファミリの設定
CREATE ISAKMP POL="I" PE=ANY MOD=AGGRESSIVE KEY=1 NATT=TRUE SET ISAKMP POL="I" SENDN=TRUE SET ISAKMP POL="I" DPDM=BOTH REMOTEID="ROUTER‐A" ENABLE ISAKMP CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1" CREATE IPSEC POL="ISA" INT=PPP0 AC=PERMIT SET IPSEC POL="ISA" LP=500 RP=500 TRA=UDP CREATE IPSEC POL="VPN" INT=PPP0 AC=IPSEC KEY=ISAKMP BUND=1 PEER=DYNAMIC SET IPSEC POL="VPN" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 CREATE IPSEC POL="INET" INT=PPP0 AC=PERMIT CREATE IPSEC POL="NAT" INT=PPP0 AC=PERMIT SET IPSEC POL="NAT" LP=4500 TRA=UDP ENABLE IPSECIPsecの設定
Copyright©2011 Allied Telesis K.K. All Rights Reserved.
Copyright©2012 Allied Telesis K.K. All Rights Reserved. 40
拠点BのARファミリの設定
Note‐セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモー ドにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を 行っておいてください 。 LOGIN secoffSecurity Officerとしてログイン
動作モードをセキュリティモードに切り替えます
ENABLE SYSTEM SECURITY_MODE拠点BのARファミリの設定
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設
定ファイルに指定します。
CREATE CONFIG=ROUTERB.CFG SET CONFIG=ROUTERB.CFG
Copyright©2012 Allied Telesis K.K. All Rights Reserved.
社会品質を創る。アライドテレシス。
h t t p : / / w w w . a l l i e d - t e l e s i s . c o . j p /