FutureNet

NXR,VXRシリーズ

相互接続編

1. YAMAHA製ルータとの接続

1-3. YAMAHA製ルータとのL2TPv3overIPsec接続設定(IPv4)

WAN回線にPPPoE,PPPを使用したハブ&スポーク構成のL2TPv3overIPsec接続設定例です。この例ではハブ拠点にYAMAHA製ルータのRTXシリーズを利用します。
この設定例は弊社独自の検証結果を元に作成しております。よってYAMAHA製ルータとの接続を保証するものではありません。

 

【 構成図 】

fnw_intcon_yamaha_03

  • 動作確認時に利用したYAMAHA製ルータ
    – RTX1200(Rev.10.01.65)
    (☞) ご利用頂くYAMAHA製ルータやファームウェアバージョンによって設定等異なる可能性もありますので、詳しくはご利用製品のドキュメント等をご参照下さい。

 

【 設定データ 】

〔NXR_Aの設定〕

設定項目 設定内容
ホスト名 NXR_A
LAN側インタフェース ethernet0のIPアドレス 192.168.10.2/24
WAN側インタフェース PPPoEクライアント(ethernet1) ppp0
ppp0のIPアドレス 10.10.20.1/32
IPマスカレード 有効
IPアクセスグループ in ppp0_in
out ppp0_out
SPIフィルタ 有効
TCP MSS自動調整 オート
ISP接続用ユーザID test2@example.jp
ISP接続用パスワード test2pass
IPsecローカルポリシー 1
スタティックルート 宛先IPアドレス 0.0.0.0/0
ゲートウェイ(インタフェース) ppp0
IPフィルタ ルール名 ppp0_in
ppp0_in No.1 動作 許可
送信元IPアドレス 10.10.10.1
宛先IPアドレス 10.10.20.1
プロトコル UDP
送信元ポート 500
宛先ポート 500
No.2 動作 許可
送信元IPアドレス 10.10.10.1
宛先IPアドレス 10.10.20.1
プロトコル 50(ESP)
ルール名 ppp0_out
ppp0_out No.1 動作 破棄
送信元IPアドレス 10.10.20.1
宛先IPアドレス 10.10.10.1
プロトコル UDP
送信元ポート any
宛先ポート 1701
IPsec IPsecアクセスリスト リスト名 ipsec_acl
送信元IPアドレス host
宛先IPアドレス host
IPsecローカルポリシー1 address ip
IPsec ISAKMPポリシー1 名前 YAMAHA
認証方式 pre-share
認証鍵 ipseckey1
認証アルゴリズム sha256
暗号化アルゴリズム aes128
DHグループ 5
ライフタイム 10800秒
ISAKMPモード メインモード
リモートアドレス 10.10.10.1
DPD 再送間隔 30秒
リトライ回数 3回
動作 restart
ローカルポリシー 1
 IPsecトンネルポリシー1 名前 YAMAHA
ネゴシエーションモード オート
認証アルゴリズム sha256
暗号化アルゴリズム aes128
PFS 有効(グループ5)
ライフタイム 3600秒
ISAKMPポリシー 1
IPsecアクセスリスト ipsec_acl
プロトコルモード トランスポートモード
L2TPv3 ホスト名 nxra
ルータID 192.168.10.2
MACアドレス学習機能 有効
MACアドレス保持時間 300秒
over UDP使用時の送信元ポート番号 1701
over UDP使用時のPath MTU Discovery 有効
L2TPv3トンネル1 名前 YAMAHA
リモートトンネルアドレス 10.10.10.1
リモートホスト名 yamaha
リモートルータID 192.168.10.1
リモートベンダーID ietf
プロトコル UDP
over UDP使用時の宛先ポート番号 1701
L2TPv3 Xconnect1 名前 YAMAHA
L2TPv3トンネルID 1
Xconnectインタフェース ethernet0
リモートエンドID 1
再送間隔 30秒
TCP MSS自動調整 オート
DNS サービス 有効
FastFowarding 有効

〔NXR_Bの設定〕

設定項目 設定内容
ホスト名 NXR_B
LAN側インタフェース ethernet0のIPアドレス 192.168.10.3/24
WAN側インタフェース mobile1 ppp0
ppp0のIPアドレス 動的IPアドレス
IPマスカレード 有効
IPアクセスグループ in ppp0_in
out ppp0_out
SPIフィルタ 有効
TCP MSS自動調整 オート
PPP接続用ユーザID ユーザID
PPP接続用パスワード パスワード
APN APN
CID CID
PDPタイプ PDPタイプ(IPまたはPPP)
発信用電話番号 *99***[CID]#
ダイアルタイムアウト 30秒
IPsecローカルポリシー 1
モバイルエラーリカバリー リセット
モバイルターミネーションリカバリー リセット
スタティックルート 宛先IPアドレス 0.0.0.0/0
ゲートウェイ(インタフェース) ppp0
IPフィルタ ルール名 ppp0_in
ppp0_in No.1 動作 許可
送信元IPアドレス 10.10.10.1
宛先IPアドレス any
プロトコル UDP
送信元ポート 500
宛先ポート 500
No.2 動作 許可
送信元IPアドレス 10.10.10.1
宛先IPアドレス any
プロトコル 50(ESP)
ルール名 ppp0_out
ppp0_out No.1 動作 破棄
送信元IPアドレス any
宛先IPアドレス 10.10.10.1
プロトコル UDP
送信元ポート any
宛先ポート 1701
IPsec IPsecアクセスリスト リスト名 ipsec_acl
送信元IPアドレス host
宛先IPアドレス host
IPsecローカルポリシー1 address ip
セルフID(FQDN) nxrb
IPsec ISAKMPポリシー1 名前 YAMAHA
認証方式 pre-share
認証鍵 ipseckey2
認証アルゴリズム sha256
暗号化アルゴリズム aes128
DHグループ 5
ライフタイム 10800秒
ISAKMPモード アグレッシブモード
リモートアドレス 10.10.10.1
DPD 再送間隔 30秒
リトライ回数 3回
動作 restart
ローカルポリシー 1
IPsecトンネルポリシー1 名前 YAMAHA
ネゴシエーションモード オート
認証アルゴリズム sha256
暗号化アルゴリズム aes128
PFS 有効(グループ5)
ライフタイム 3600秒
ISAKMPポリシー 1
IPsecアクセスリスト ipsec_acl
プロトコルモード トランスポートモード
L2TPv3 ホスト名 nxrb
ルータID 192.168.10.3
MACアドレス学習機能 有効
MACアドレス保持時間 300秒
over UDP使用時の送信元ポート番号 1701
over UDP使用時のPath MTU Discovery 有効
L2TPv3トンネル1 名前 YAMAHA
リモートトンネルアドレス 10.10.10.1
リモートホスト名 yamaha
リモートルータID 192.168.10.1
リモートベンダーID ietf
プロトコル UDP
over UDP使用時の宛先ポート番号 1701
L2TPv3 Xconnect1 名前 YAMAHA
L2TPv3トンネルID 1
Xconnectインタフェース ethernet0
リモートエンドID 1
再送間隔 30秒
TCP MSS自動調整 オート
DNS サービス 有効

【 設定例 】

〔YAMAHA製ルータの設定〕

YAMAHA製ルータの設定方法についてはご利用製品のドキュメント等をご参照下さい。

ip route default gateway pp 1
bridge member bridge1 lan1 tunnel1-tunnel2
ip bridge1 address 192.168.10.1/24
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname test1@example.jp test1pass
ppp lcp mru on 1454
ppp ipcp msext on
ppp ccp type none
ip pp address 10.10.10.1/32
ip pp mtu 1454
ip pp secure filter in 110 120 130 2000
ip pp secure filter out 3000 dynamic 210 220
ip pp nat descriptor 1
pp enable 1
tunnel select 1
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha256-hmac
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha256
ipsec ike keepalive use 1 on dpd
ipsec ike local address 1 10.10.10.1
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text ipseckey1
ipsec ike remote address 1 10.10.20.1
l2tp always-on on
l2tp hostname yamaha
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.10.1
l2tp remote router-id 192.168.10.2
l2tp remote end-id 1
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tpv3
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha256-hmac
ipsec ike always-on 2 off
ipsec ike encryption 2 aes-cbc
ipsec ike group 2 modp1536
ipsec ike hash 2 sha256
ipsec ike keepalive use 2 on dpd
ipsec ike local address 2 10.10.10.1
ipsec ike payload type 2 3
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text ipseckey2
ipsec ike remote address 2 any
ipsec ike remote name 2 nxrb fqdn
l2tp always-on on
l2tp hostname yamaha
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.10.1
l2tp remote router-id 192.168.10.3
l2tp remote end-id 1
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 110 pass * 192.168.10.0/24 icmp
ip filter 120 pass * 10.10.10.1 udp * 500
ip filter 130 pass * 10.10.10.1 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 210 * * tcp
ip filter dynamic 220 * * udp
nat descriptor type 1 masquerade
nat descriptor address outer 1 10.10.10.1
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 10.10.10.1 udp 500
nat descriptor masquerade static 1 2 10.10.10.1 esp
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
dns server pp 1
dns private address spoof on
l2tp service on l2tpv3

〔NXR_Aの設定〕

nxrg100#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
nxrg100(config)#hostname NXR_A
NXR_A(config)#interface ethernet 0
NXR_A(config-if)#ip address 192.168.10.2/24
NXR_A(config-if)#exit
NXR_A(config)#ip route 0.0.0.0/0 ppp 0
NXR_A(config)#ip access-list ppp0_in permit 10.10.10.1 10.10.20.1 udp 500 500
NXR_A(config)#ip access-list ppp0_in permit 10.10.10.1 10.10.20.1 50
NXR_A(config)#ip access-list ppp0_out deny 10.10.20.1 10.10.10.1 udp any 1701
NXR_A(config)#ipsec access-list ipsec_acl ip host host
NXR_A(config)#ipsec local policy 1
NXR_A(config-ipsec-local)#address ip
NXR_A(config-ipsec-local)#exit
NXR_A(config)#ipsec isakmp policy 1
NXR_A(config-ipsec-isakmp)#description YAMAHA
NXR_A(config-ipsec-isakmp)#authentication pre-share ipseckey1
NXR_A(config-ipsec-isakmp)#hash sha256
NXR_A(config-ipsec-isakmp)#encryption aes128
NXR_A(config-ipsec-isakmp)#group 5
NXR_A(config-ipsec-isakmp)#lifetime 10800
NXR_A(config-ipsec-isakmp)#isakmp-mode main
NXR_A(config-ipsec-isakmp)#remote address ip 10.10.10.1
NXR_A(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_A(config-ipsec-isakmp)#local policy 1
NXR_A(config-ipsec-isakmp)#exit
NXR_A(config)#ipsec tunnel policy 1
NXR_A(config-ipsec-tunnel)#description YAMAHA
NXR_A(config-ipsec-tunnel)#negotiation-mode auto
NXR_A(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_A(config-ipsec-tunnel)#set pfs group5
NXR_A(config-ipsec-tunnel)#set sa lifetime 3600
NXR_A(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_A(config-ipsec-tunnel)#match address ipsec_acl
NXR_A(config-ipsec-tunnel)#set protocol-mode transport
NXR_A(config-ipsec-tunnel)#exit
NXR_A(config)#ppp account username test2@example.jp password test2pass
NXR_A(config)#interface ppp 0
NXR_A(config-ppp)#ip address 10.10.20.1/32
NXR_A(config-ppp)#ip masquerade
NXR_A(config-ppp)#ip access-group in ppp0_in
NXR_A(config-ppp)#ip access-group out ppp0_out
NXR_A(config-ppp)#ip spi-filter
NXR_A(config-ppp)#ip tcp adjust-mss auto
NXR_A(config-ppp)#ppp username test2@example.jp
NXR_A(config-ppp)#ipsec policy 1
NXR_A(config-ppp)#exit
NXR_A(config)#interface ethernet 1
NXR_A(config-if)#no ip address
NXR_A(config-if)#pppoe-client ppp 0
NXR_A(config-if)#exit
NXR_A(config)#l2tpv3 hostname nxra
NXR_A(config)#l2tpv3 router-id 192.168.10.2
NXR_A(config)#l2tpv3 mac-learning
NXR_A(config)#l2tpv3 mac-aging 300
NXR_A(config)#l2tpv3 udp source-port 1701
NXR_A(config)#l2tpv3 udp path-mtu-discovery enable
NXR_A(config)#l2tpv3 tunnel 1
NXR_A(config-l2tpv3-tunnel)#description YAMAHA
NXR_A(config-l2tpv3-tunnel)#tunnel address 10.10.10.1
NXR_A(config-l2tpv3-tunnel)#tunnel hostname yamaha
NXR_A(config-l2tpv3-tunnel)#tunnel router-id 192.168.10.1
NXR_A(config-l2tpv3-tunnel)#tunnel vendor ietf
NXR_A(config-l2tpv3-tunnel)#tunnel protocol udp
NXR_A(config-l2tpv3-tunnel)#tunnel udp port 1701
NXR_A(config-l2tpv3-tunnel)#exit
NXR_A(config)#l2tpv3 xconnect 1
NXR_A(config-l2tpv3-xconnect)#description YAMAHA
NXR_A(config-l2tpv3-xconnect)#tunnel 1
NXR_A(config-l2tpv3-xconnect)#xconnect ethernet 0
NXR_A(config-l2tpv3-xconnect)#xconnect end-id 1
NXR_A(config-l2tpv3-xconnect)#retry-interval 30
NXR_A(config-l2tpv3-xconnect)#ip tcp adjust-mss auto
NXR_A(config-l2tpv3-xconnect)#exit
NXR_A(config)#dns
NXR_A(config-dns)#service enable
NXR_A(config-dns)#exit
NXR_A(config)#fast-forwarding enable
NXR_A(config)#exit
NXR_A#save config

〔NXR_Bの設定〕

nxrg100#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
nxrg100(config)#hostname NXR_B
NXR_B(config)#interface ethernet 0
NXR_B(config-if)#ip address 192.168.10.3/24
NXR_B(config-if)#exit
NXR_B(config)#ip route 0.0.0.0/0 ppp 0
NXR_B(config)#ip access-list ppp0_in permit 10.10.10.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_in permit 10.10.10.1 any 50
NXR_B(config)#ip access-list ppp0_out deny any 10.10.10.1 udp any 1701
NXR_B(config)#ipsec access-list ipsec_acl ip host host
NXR_B(config)#ipsec local policy 1
NXR_B(config-ipsec-local)#address ip
NXR_B(config-ipsec-local)#self-identity fqdn nxrb
NXR_B(config-ipsec-local)#exit
NXR_B(config)#ipsec isakmp policy 1
NXR_B(config-ipsec-isakmp)#description YAMAHA
NXR_B(config-ipsec-isakmp)#authentication pre-share ipseckey2
NXR_B(config-ipsec-isakmp)#hash sha256
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 10800
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_B(config-ipsec-isakmp)#remote address ip 10.10.10.1
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1
NXR_B(config-ipsec-isakmp)#exit
NXR_B(config)#ipsec tunnel policy 1
NXR_B(config-ipsec-tunnel)#description YAMAHA
NXR_B(config-ipsec-tunnel)#negotiation-mode auto
NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 3600
NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_B(config-ipsec-tunnel)#match address ipsec_acl
NXR_B(config-ipsec-tunnel)#set protocol-mode transport
NXR_B(config-ipsec-tunnel)#exit
NXR_B(config)#ppp account username [ユーザID] password [パスワード]
NXR_B(config)#interface ppp 0
NXR_B(config-ppp)#ip address negotiated
NXR_B(config-ppp)#ip masquerade
NXR_B(config-ppp)#ip access-group in ppp0_in
NXR_B(config-ppp)#ip access-group out ppp0_out
NXR_B(config-ppp)#ip spi-filter
NXR_B(config-ppp)#ip tcp adjust-mss auto
NXR_B(config-ppp)#ppp username [ユーザID]
NXR_B(config-ppp)#mobile apn [APN] cid [CID] pdp-type [PDPタイプ]
NXR_B(config-ppp)#dial-up string *99***[CID]#
NXR_B(config-ppp)#dial-up timeout 30
NXR_B(config-ppp)#ipsec policy 1
NXR_B(config-ppp)#exit
NXR_B(config)#mobile error-recovery-reset
NXR_B(config)#mobile termination-recovery reset
NXR_B(config)#mobile 1 ppp 0
NXR_B(config)#l2tpv3 hostname nxrb
NXR_B(config)#l2tpv3 router-id 192.168.10.3
NXR_B(config)#l2tpv3 mac-learning
NXR_B(config)#l2tpv3 mac-aging 300
NXR_B(config)#l2tpv3 udp source-port 1701
NXR_B(config)#l2tpv3 udp path-mtu-discovery enable
NXR_B(config)#l2tpv3 tunnel 1
NXR_B(config-l2tpv3-tunnel)#description YAMAHA
NXR_B(config-l2tpv3-tunnel)#tunnel address 10.10.10.1
NXR_B(config-l2tpv3-tunnel)#tunnel hostname yamaha
NXR_B(config-l2tpv3-tunnel)#tunnel router-id 192.168.10.1
NXR_B(config-l2tpv3-tunnel)#tunnel vendor ietf
NXR_B(config-l2tpv3-tunnel)#tunnel protocol udp
NXR_B(config-l2tpv3-tunnel)#tunnel udp port 1701
NXR_B(config-l2tpv3-tunnel)#exit
NXR_B(config)#l2tpv3 xconnect 1
NXR_B(config-l2tpv3-xconnect)#description YAMAHA
NXR_B(config-l2tpv3-xconnect)#tunnel 1
NXR_B(config-l2tpv3-xconnect)#xconnect ethernet 0
NXR_B(config-l2tpv3-xconnect)#xconnect end-id 1
NXR_B(config-l2tpv3-xconnect)#retry-interval 30
NXR_B(config-l2tpv3-xconnect)#ip tcp adjust-mss auto
NXR_B(config-l2tpv3-xconnect)#exit
NXR_B(config)#dns
NXR_B(config-dns)#service enable
NXR_B(config-dns)#exit
NXR_B(config)#exit
NXR_B#save config

【 設定例解説 】

〔NXR_Aの設定〕

1. <ホスト名の設定>
nxrg100(config)#hostname NXR_A

ホスト名を設定します。

 

2. <LAN側(ethernet0)インタフェース設定>
NXR_A(config)#interface ethernet 0
NXR_A(config-if)#ip address 192.168.10.2/24

ethernet0インタフェースのIPアドレスを設定します。

 

3. <スタティックルート設定>
NXR_A(config)#ip route 0.0.0.0/0 ppp 0

デフォルトルートを設定します。

 

4. <IPアクセスリスト設定>
NXR_A(config)#ip access-list ppp0_in permit 10.10.10.1 10.10.20.1 udp 500 500
NXR_A(config)#ip access-list ppp0_in permit 10.10.10.1 10.10.20.1 50

IPアクセスリスト名をppp0_inとし、送信元がRTXのWAN側IPアドレス10.10.10.1、宛先IPアドレスが10.10.20.1のIKEパケット(UDPポート500番)、ESPパケット(プロトコル番号50)を許可します。なおこのIPアクセスリスト設定はppp0インタフェース設定で登録します。

NXR_A(config)#ip access-list ppp0_out deny 10.10.20.1 10.10.10.1 udp any 1701

IPアクセスリスト名をppp0_outとし、送信元IPアドレスが10.10.20.1、宛先がRTXのWAN側IPアドレス10.10.10.1のL2TPv3overUDPのパケット(UDPポート1701番)を破棄します。なおこのIPアクセスリスト設定はppp0インタフェース設定で登録します。
(☞) この設定は、IPsec SA未確立時などWAN側(ppp0)インタフェースから直接L2TPv3overUDPのパケットを出力しないようにするための設定です。
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングしたいインタフェースでの登録が必要になります。

 

5. <IPsecアクセスリスト設定>
NXR_A(config)#ipsec access-list ipsec_acl ip host host

ipsec_aclという名前のIPsecアクセスリストを設定します。なお送信元IPアドレス,宛先IPアドレスともにhostとします。

 

6. <IPsecローカルポリシー設定>
NXR_A(config)#ipsec local policy 1
NXR_A(config-ipsec-local)#address ip

IPsecトンネルの送信元IPアドレスにip(IPv4)を設定します。

 

7. <IPsec ISAKMPポリシー設定>
NXR_A(config)#ipsec isakmp policy 1
NXR_A(config-ipsec-isakmp)#description YAMAHA
NXR_A(config-ipsec-isakmp)#authentication pre-share ipseckey1

ISAKMPポリシーの説明としてYAMAHA、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckey1を設定します。なお事前共有鍵はRTXのipsec tunnel1と共通の値を設定します。

NXR_A(config-ipsec-isakmp)#hash sha256
NXR_A(config-ipsec-isakmp)#encryption aes128
NXR_A(config-ipsec-isakmp)#group 5
NXR_A(config-ipsec-isakmp)#lifetime 10800
NXR_A(config-ipsec-isakmp)#isakmp-mode main

認証アルゴリズムとしてsha256、暗号化アルゴリズムとしてaes128,Diffie-Hellman(DH)グループとしてgroup 5、ISAKMP SAのライフタイムとして10800秒、フェーズ1のネゴシエーションモードとしてメインモードを設定します。

NXR_A(config-ipsec-isakmp)#remote address ip 10.10.10.1
NXR_A(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_A(config-ipsec-isakmp)#local policy 1

リモートアドレスにRTXのWAN側IPアドレスを設定します。またIKE KeepAlive(DPD)を監視間隔30秒,リトライ回数3回としkeepalive失敗時にSAを削除しIKEのネゴシエーションを開始するように設定します。そしてIPsecローカルポリシー1と関連づけを行います。

 

8. <IPsecトンネルポリシー設定>
NXR_A(config)#ipsec tunnel policy 1
NXR_A(config-ipsec-tunnel)#description YAMAHA
NXR_A(config-ipsec-tunnel)#negotiation-mode auto

IPsecトンネルポリシーの説明としてYAMAHA、ネゴシエーションモードとしてautoを設定します。

NXR_A(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_A(config-ipsec-tunnel)#set pfs group5
NXR_A(config-ipsec-tunnel)#set sa lifetime 3600

暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha256、PFSを有効にし、かつDHグループとしてgroup5、IPsec SAのライフタイムとして3600秒を設定します。

NXR_A(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_A(config-ipsec-tunnel)#match address ipsec_acl

ISAKMPポリシー1と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。

NXR_A(config-ipsec-tunnel)#set protocol-mode transport

カプセル化モードをトランスポートモードに設定します。

 

9. <PPPアカウント設定>
NXR_A(config)#ppp account username test2@example.jp password test2pass

ppp0インタフェースで使用するISP接続用ユーザID,パスワードを設定します。
(☞) ここで設定したアカウントはppp0インタフェースの設定で利用します。

 

10. <WAN側(ppp0)インタフェース設定>
NXR_A(config)#interface ppp 0
NXR_A(config-ppp)#ip address 10.10.20.1/32

ppp0インタフェースのIPアドレスを設定します。

NXR_A(config-ppp)#ip masquerade
NXR_A(config-ppp)#ip access-group in ppp0_in
NXR_A(config-ppp)#ip access-group out ppp0_out
NXR_A(config-ppp)#ip spi-filter
NXR_A(config-ppp)#ip tcp adjust-mss auto

IPマスカレード、ステートフルパケットインスペクションを有効に設定します。またIPアクセスリストppp0_inをinフィルタにppp0_outをoutフィルタに適用します。そしてTCP MSSの調整機能をオートに設定します。

NXR_A(config-ppp)#ppp username test2@example.jp
NXR_A(config-ppp)#ipsec policy 1

ISP接続用ユーザIDを設定します。またIPsecトンネルのエンドポイントとなるためIPsecローカルポリシー1を設定します。

 

11. <ethernet1インタフェース設定>
NXR_A(config)#interface ethernet 1
NXR_A(config-if)#no ip address
NXR_A(config-if)#pppoe-client ppp 0

PPPoEクライアントとしてppp0インタフェースを使用できるように設定します。

 

12. <L2TPv3設定>
NXR_A(config)#l2tpv3 hostname nxra
NXR_A(config)#l2tpv3 router-id 192.168.10.2

L2TPv3のホスト名としてnxraを設定します。またルータIDを設定します。

NXR_A(config)#l2tpv3 mac-learning
NXR_A(config)#l2tpv3 mac-aging 300

MACアドレス学習機能を有効にし、エージングタイムを設定します。

NXR_A(config)#l2tpv3 udp source-port 1701
NXR_A(config)#l2tpv3 udp path-mtu-discovery enable

L2TPv3overUDP使用時の送信元ポート番号を設定します。またPath MTU Discoveryを有効にします。

 

13. <L2TPv3トンネル設定>
NXR_A(config)#l2tpv3 tunnel 1
NXR_A(config-l2tpv3-tunnel)#description YAMAHA
NXR_A(config-l2tpv3-tunnel)#tunnel address 10.10.10.1

L2TPv3トンネル1の説明としてYAMAHA、リモートアドレスにRTXのWAN側IPアドレスを設定します。

NXR_A(config-l2tpv3-tunnel)#tunnel hostname yamaha
NXR_A(config-l2tpv3-tunnel)#tunnel router-id 192.168.10.1
NXR_A(config-l2tpv3-tunnel)#tunnel vendor ietf

RTXのL2TPv3ホスト名およびルータIDを設定します。そしてベンダIDとしてietfを設定します。

NXR_A(config-l2tpv3-tunnel)#tunnel protocol udp
NXR_A(config-l2tpv3-tunnel)#tunnel udp port 1701

プロトコルをUDPとし、L2TPv3overUDP使用時の宛先ポート番号を設定します。

 

14. <L2TPv3 Xconnect設定>
NXR_A(config)#l2tpv3 xconnect 1
NXR_A(config-l2tpv3-xconnect)#description YAMAHA
NXR_A(config-l2tpv3-xconnect)#tunnel 1

L2TPv3 Xconnect1の説明としてYAMAHA、関連づけを行うL2TPv3トンネルとしてL2TPv3トンネル1を設定します。

NXR_A(config-l2tpv3-xconnect)#xconnect ethernet 0
NXR_A(config-l2tpv3-xconnect)#xconnect end-id 1
NXR_A(config-l2tpv3-xconnect)#retry-interval 30
NXR_A(config-l2tpv3-xconnect)#ip tcp adjust-mss auto

Xconnectインタフェースとしてethernet0インタフェースおよびリモートエンドIDを設定します。またリトライインターバルを設定します。そしてTCP MSSの調整機能をオートに設定します。

 

15. <DNS設定>
NXR_A(config)#dns
NXR_A(config-dns)#service enable

DNSサービスを有効にします。

 

16. <ファストフォワーディングの有効化>
NXR_A(config)#fast-forwarding enable

ファストフォワーディングを有効にします。

 

〔NXR_Bの設定〕

1. <ホスト名の設定>
nxrg100(config)#hostname NXR_B

ホスト名を設定します。

 

2. <LAN側(ethernet0)インタフェース設定>
NXR_B(config)#interface ethernet 0
NXR_B(config-if)#ip address 192.168.10.3/24

ethernet0インタフェースのIPアドレスを設定します。

 

3. <スタティックルート設定>
NXR_B(config)#ip route 0.0.0.0/0 ppp 0

デフォルトルートを設定します。

 

4. <IPアクセスリスト設定>
NXR_B(config)#ip access-list ppp0_in permit 10.10.10.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_in permit 10.10.10.1 any 50

IPアクセスリスト名をppp0_inとし、送信元がRTXのWAN側IPアドレス10.10.10.1のIKEパケット(UDPポート500番)、ESPパケット(プロトコル番号50)を許可します。なおこのIPアクセスリスト設定はppp0インタフェース設定で登録します。

NXR_B(config)#ip access-list ppp0_out deny any 10.10.10.1 udp any 1701

IPアクセスリスト名をppp0_outとし、宛先がRTXのWAN側IPアドレス10.10.10.1のL2TPv3overUDPのパケット(UDPポート1701番)を破棄します。なおこのIPアクセスリスト設定はppp0インタフェース設定で登録します。
(☞) この設定は、IPsec SA未確立時などWAN側(ppp0)インタフェースから直接L2TPv3overUDPのパケットを出力しないようにするための設定です。
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングしたいインタフェースでの登録が必要になります。

 

5. <IPsecアクセスリスト設定>
NXR_B(config)#ipsec access-list ipsec_acl ip host host

ipsec_aclという名前のIPsecアクセスリストを設定します。なお送信元IPアドレス,宛先IPアドレスともにhostとします。

 

6. <IPsecローカルポリシー設定>
NXR_B(config)#ipsec local policy 1
NXR_B(config-ipsec-local)#address ip
NXR_B(config-ipsec-local)#self-identity fqdn nxrb

IPsecトンネルの送信元IPアドレスにip(IPv4)を設定します。またセルフIDをFQDN方式でnxrbとし、RTXのipsec tunnel2のリモートネームと同じIDを設定します。

 

7. <IPsec ISAKMPポリシー設定>
NXR_B(config)#ipsec isakmp policy 1
NXR_B(config-ipsec-isakmp)#description YAMAHA
NXR_B(config-ipsec-isakmp)#authentication pre-share ipseckey2

ISAKMPポリシーの説明としてYAMAHA、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckey2を設定します。なお事前共有鍵はRTXのipsec tunnel2と共通の値を設定します。

NXR_B(config-ipsec-isakmp)#hash sha256
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 10800
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive

認証アルゴリズムとしてsha256、暗号化アルゴリズムとしてaes128,Diffie-Hellman(DH)グループとしてgroup 5、ISAKMP SAのライフタイムとして10800秒、フェーズ1のネゴシエーションモードとしてアグレッシブモードを設定します。

NXR_B(config-ipsec-isakmp)#remote address ip 10.10.10.1
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1

リモートアドレスにRTXのWAN側IPアドレスを設定します。またIKE KeepAlive(DPD)を監視間隔30秒,リトライ回数3回としkeepalive失敗時にSAを削除しIKEのネゴシエーションを開始するように設定します。そしてIPsecローカルポリシー1と関連づけを行います。

 

8. <IPsecトンネルポリシー設定>
NXR_B(config)#ipsec tunnel policy 1
NXR_B(config-ipsec-tunnel)#description YAMAHA
NXR_B(config-ipsec-tunnel)#negotiation-mode auto

IPsecトンネルポリシーの説明としてYAMAHA、ネゴシエーションモードとしてautoを設定します。

NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 3600

暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha256、PFSを有効にし、かつDHグループとしてgroup5、IPsec SAのライフタイムとして3600秒を設定します。

NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_B(config-ipsec-tunnel)#match address ipsec_acl
NXR_B(config-ipsec-tunnel)#set protocol-mode transport

ISAKMPポリシー1と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。またカプセル化モードをトランスポートモードに設定します。

 

9. <PPPアカウント設定>
NXR_B(config)#ppp account username [ユーザID] password [パスワード]

ppp0インタフェースで使用するPPP接続用ユーザID,パスワードを設定します。
(☞) ここで設定したアカウントはppp0インタフェースの設定で利用します。

 

10. <WAN側(ppp0)インタフェース設定>
NXR_B(config)#interface ppp 0
NXR_B(config-ppp)#ip address negotiated

ppp0インタフェースのIPアドレスが動的IPアドレスのためnegotiatedを設定します。

NXR_B(config-ppp)#ip masquerade
NXR_B(config-ppp)#ip access-group in ppp0_in
NXR_B(config-ppp)#ip access-group out ppp0_out
NXR_B(config-ppp)#ip spi-filter
NXR_B(config-ppp)#ip tcp adjust-mss auto

IPマスカレード、ステートフルパケットインスペクションを有効に設定します。またIPアクセスリストppp0_inをinフィルタにppp0_outをoutフィルタに適用します。そしてTCP MSSの調整機能をオートに設定します。

NXR_B(config-ppp)#ppp username [ユーザID]
NXR_B(config-ppp)#mobile apn [APN] cid [CID] pdp-type [PDPタイプ]

PPP接続用ユーザIDを設定します。またAPN,CID,PDPタイプを設定します。
(☞) MVNOなど接続先設定のパラメータの一例はこちら

NXR_B(config-ppp)#dial-up string *99***[CID]#
NXR_B(config-ppp)#dial-up timeout 30

発信用の電話番号およびダイアルタイムアウトを設定します。
(☞) ここで設定する電話番号はSIMカードの電話番号ではありません。

NXR_B(config-ppp)#ipsec policy 1

IPsecトンネルのエンドポイントとなるためIPsecローカルポリシー1を設定します。

 

11. <モバイルエラーリカバリー設定>
NXR_B(config)#mobile error-recovery-reset

通信モジュールとの通信に重大な問題が発生する可能性が高いと判断した場合、通信モジュールのリセットを行うように設定します。

 

12. <モバイルターミネーションリカバリー設定>
NXR_B(config)#mobile termination-recovery reset

PPP接続時に網側から切断された場合、通信モジュールのリセットを行うように設定します。

 

13. <モバイル割り当て設定>
NXR_B(config)#mobile 1 ppp 0

mobile1と認識されている通信モジュールとppp0インタフェースの関連づけを行います。
通信モジュールをPPPインタフェースで使用する場合は、mobileコマンドによるPPPインタフェースへの関連付けが必要になります。

 

14. <L2TPv3設定>
NXR_B(config)#l2tpv3 hostname nxrb
NXR_B(config)#l2tpv3 router-id 192.168.10.3

L2TPv3のホスト名としてnxrbを設定します。またルータIDを設定します。

NXR_B(config)#l2tpv3 mac-learning
NXR_B(config)#l2tpv3 mac-aging 300

MACアドレス学習機能を有効にし、エージングタイムを設定します。

NXR_B(config)#l2tpv3 udp source-port 1701
NXR_B(config)#l2tpv3 udp path-mtu-discovery enable

L2TPv3overUDP使用時の送信元ポート番号を設定します。またPath MTU Discoveryを有効にします。

 

15. <L2TPv3トンネル設定>
NXR_B(config)#l2tpv3 tunnel 1
NXR_B(config-l2tpv3-tunnel)#description YAMAHA
NXR_B(config-l2tpv3-tunnel)#tunnel address 10.10.10.1

L2TPv3トンネル1の説明としてYAMAHA、リモートアドレスにRTXのWAN側IPアドレスを設定します。

NXR_B(config-l2tpv3-tunnel)#tunnel hostname yamaha
NXR_B(config-l2tpv3-tunnel)#tunnel router-id 192.168.10.1
NXR_B(config-l2tpv3-tunnel)#tunnel vendor ietf

RTXのL2TPv3ホスト名およびルータIDを設定します。そしてベンダIDとしてietfを設定します。

NXR_B(config-l2tpv3-tunnel)#tunnel protocol udp
NXR_B(config-l2tpv3-tunnel)#tunnel udp port 1701

プロトコルをUDPとし、L2TPv3overUDP使用時の宛先ポート番号を設定します。

 

16. <L2TPv3 Xconnect設定>
NXR_B(config)#l2tpv3 xconnect 1
NXR_B(config-l2tpv3-xconnect)#description YAMAHA
NXR_B(config-l2tpv3-xconnect)#tunnel 1

L2TPv3 Xconnect1の説明としてYAMAHA、関連づけを行うL2TPv3トンネルとしてL2TPv3トンネル1を設定します。

NXR_B(config-l2tpv3-xconnect)#xconnect ethernet 0
NXR_B(config-l2tpv3-xconnect)#xconnect end-id 1
NXR_B(config-l2tpv3-xconnect)#retry-interval 30
NXR_B(config-l2tpv3-xconnect)#ip tcp adjust-mss auto

Xconnectインタフェースとしてethernet0インタフェースおよびリモートエンドIDを設定します。またリトライインターバルを設定します。そしてTCP MSSの調整機能をオートに設定します。

 

17. <DNS設定>
NXR_B(config)#dns
NXR_B(config-dns)#service enable

DNSサービスを有効にします。

 

【 端末の設定例 】

LAN_Aの端末 LAN_Bの端末 LAN_Cの端末
IPアドレス 192.168.10.101 192.168.10.102 192.168.10.103
サブネットマスク 255.255.255.0
デフォルトゲートウェイ 192.168.10.1 192.168.10.2 192.168.10.3
DNSサーバ