FutureNet
NXR,VXRシリーズ
相互接続編
1. YAMAHA製ルータとの接続
1-3. YAMAHA製ルータとのL2TPv3overIPsec接続設定(IPv4)
WAN回線にPPPoE,PPPを使用したハブ&スポーク構成のL2TPv3overIPsec接続設定例です。この例ではハブ拠点にYAMAHA製ルータのRTXシリーズを利用します。
この設定例は弊社独自の検証結果を元に作成しております。よってYAMAHA製ルータとの接続を保証するものではありません。
【 構成図 】
- 動作確認時に利用したYAMAHA製ルータ
– RTX1200(Rev.10.01.65)
(☞) ご利用頂くYAMAHA製ルータやファームウェアバージョンによって設定等異なる可能性もありますので、詳しくはご利用製品のドキュメント等をご参照下さい。
【 設定データ 】
〔NXR_Aの設定〕
設定項目 | 設定内容 | |||
---|---|---|---|---|
ホスト名 | NXR_A | |||
LAN側インタフェース | ethernet0のIPアドレス | 192.168.10.2/24 | ||
WAN側インタフェース | PPPoEクライアント(ethernet1) | ppp0 | ||
ppp0のIPアドレス | 10.10.20.1/32 | |||
IPマスカレード | 有効 | |||
IPアクセスグループ | in | ppp0_in | ||
out | ppp0_out | |||
SPIフィルタ | 有効 | |||
TCP MSS自動調整 | オート | |||
ISP接続用ユーザID | test2@example.jp | |||
ISP接続用パスワード | test2pass | |||
IPsecローカルポリシー | 1 | |||
スタティックルート | 宛先IPアドレス | 0.0.0.0/0 | ||
ゲートウェイ(インタフェース) | ppp0 | |||
IPフィルタ | ルール名 | ppp0_in | ||
ppp0_in | No.1 | 動作 | 許可 | |
送信元IPアドレス | 10.10.10.1 | |||
宛先IPアドレス | 10.10.20.1 | |||
プロトコル | UDP | |||
送信元ポート | 500 | |||
宛先ポート | 500 | |||
No.2 | 動作 | 許可 | ||
送信元IPアドレス | 10.10.10.1 | |||
宛先IPアドレス | 10.10.20.1 | |||
プロトコル | 50(ESP) | |||
ルール名 | ppp0_out | |||
ppp0_out | No.1 | 動作 | 破棄 | |
送信元IPアドレス | 10.10.20.1 | |||
宛先IPアドレス | 10.10.10.1 | |||
プロトコル | UDP | |||
送信元ポート | any | |||
宛先ポート | 1701 | |||
IPsec | IPsecアクセスリスト | リスト名 | ipsec_acl | |
送信元IPアドレス | host | |||
宛先IPアドレス | host | |||
IPsecローカルポリシー1 | address | ip | ||
IPsec ISAKMPポリシー1 | 名前 | YAMAHA | ||
認証方式 | pre-share | |||
認証鍵 | ipseckey1 | |||
認証アルゴリズム | sha256 | |||
暗号化アルゴリズム | aes128 | |||
DHグループ | 5 | |||
ライフタイム | 10800秒 | |||
ISAKMPモード | メインモード | |||
リモートアドレス | 10.10.10.1 | |||
DPD | 再送間隔 | 30秒 | ||
リトライ回数 | 3回 | |||
動作 | restart | |||
ローカルポリシー | 1 | |||
IPsecトンネルポリシー1 | 名前 | YAMAHA | ||
ネゴシエーションモード | オート | |||
認証アルゴリズム | sha256 | |||
暗号化アルゴリズム | aes128 | |||
PFS | 有効(グループ5) | |||
ライフタイム | 3600秒 | |||
ISAKMPポリシー | 1 | |||
IPsecアクセスリスト | ipsec_acl | |||
プロトコルモード | トランスポートモード | |||
L2TPv3 | ホスト名 | nxra | ||
ルータID | 192.168.10.2 | |||
MACアドレス学習機能 | 有効 | |||
MACアドレス保持時間 | 300秒 | |||
over UDP使用時の送信元ポート番号 | 1701 | |||
over UDP使用時のPath MTU Discovery | 有効 | |||
L2TPv3トンネル1 | 名前 | YAMAHA | ||
リモートトンネルアドレス | 10.10.10.1 | |||
リモートホスト名 | yamaha | |||
リモートルータID | 192.168.10.1 | |||
リモートベンダーID | ietf | |||
プロトコル | UDP | |||
over UDP使用時の宛先ポート番号 | 1701 | |||
L2TPv3 Xconnect1 | 名前 | YAMAHA | ||
L2TPv3トンネルID | 1 | |||
Xconnectインタフェース | ethernet0 | |||
リモートエンドID | 1 | |||
再送間隔 | 30秒 | |||
TCP MSS自動調整 | オート | |||
DNS | サービス | 有効 | ||
FastFowarding | 有効 |
〔NXR_Bの設定〕
設定項目 | 設定内容 | |||
---|---|---|---|---|
ホスト名 | NXR_B | |||
LAN側インタフェース | ethernet0のIPアドレス | 192.168.10.3/24 | ||
WAN側インタフェース | mobile1 | ppp0 | ||
ppp0のIPアドレス | 動的IPアドレス | |||
IPマスカレード | 有効 | |||
IPアクセスグループ | in | ppp0_in | ||
out | ppp0_out | |||
SPIフィルタ | 有効 | |||
TCP MSS自動調整 | オート | |||
PPP接続用ユーザID | ユーザID | |||
PPP接続用パスワード | パスワード | |||
APN | APN | |||
CID | CID | |||
PDPタイプ | PDPタイプ(IPまたはPPP) | |||
発信用電話番号 | *99***[CID]# | |||
ダイアルタイムアウト | 30秒 | |||
IPsecローカルポリシー | 1 | |||
モバイルエラーリカバリー | リセット | |||
モバイルターミネーションリカバリー | リセット | |||
スタティックルート | 宛先IPアドレス | 0.0.0.0/0 | ||
ゲートウェイ(インタフェース) | ppp0 | |||
IPフィルタ | ルール名 | ppp0_in | ||
ppp0_in | No.1 | 動作 | 許可 | |
送信元IPアドレス | 10.10.10.1 | |||
宛先IPアドレス | any | |||
プロトコル | UDP | |||
送信元ポート | 500 | |||
宛先ポート | 500 | |||
No.2 | 動作 | 許可 | ||
送信元IPアドレス | 10.10.10.1 | |||
宛先IPアドレス | any | |||
プロトコル | 50(ESP) | |||
ルール名 | ppp0_out | |||
ppp0_out | No.1 | 動作 | 破棄 | |
送信元IPアドレス | any | |||
宛先IPアドレス | 10.10.10.1 | |||
プロトコル | UDP | |||
送信元ポート | any | |||
宛先ポート | 1701 | |||
IPsec | IPsecアクセスリスト | リスト名 | ipsec_acl | |
送信元IPアドレス | host | |||
宛先IPアドレス | host | |||
IPsecローカルポリシー1 | address | ip | ||
セルフID(FQDN) | nxrb | |||
IPsec ISAKMPポリシー1 | 名前 | YAMAHA | ||
認証方式 | pre-share | |||
認証鍵 | ipseckey2 | |||
認証アルゴリズム | sha256 | |||
暗号化アルゴリズム | aes128 | |||
DHグループ | 5 | |||
ライフタイム | 10800秒 | |||
ISAKMPモード | アグレッシブモード | |||
リモートアドレス | 10.10.10.1 | |||
DPD | 再送間隔 | 30秒 | ||
リトライ回数 | 3回 | |||
動作 | restart | |||
ローカルポリシー | 1 | |||
IPsecトンネルポリシー1 | 名前 | YAMAHA | ||
ネゴシエーションモード | オート | |||
認証アルゴリズム | sha256 | |||
暗号化アルゴリズム | aes128 | |||
PFS | 有効(グループ5) | |||
ライフタイム | 3600秒 | |||
ISAKMPポリシー | 1 | |||
IPsecアクセスリスト | ipsec_acl | |||
プロトコルモード | トランスポートモード | |||
L2TPv3 | ホスト名 | nxrb | ||
ルータID | 192.168.10.3 | |||
MACアドレス学習機能 | 有効 | |||
MACアドレス保持時間 | 300秒 | |||
over UDP使用時の送信元ポート番号 | 1701 | |||
over UDP使用時のPath MTU Discovery | 有効 | |||
L2TPv3トンネル1 | 名前 | YAMAHA | ||
リモートトンネルアドレス | 10.10.10.1 | |||
リモートホスト名 | yamaha | |||
リモートルータID | 192.168.10.1 | |||
リモートベンダーID | ietf | |||
プロトコル | UDP | |||
over UDP使用時の宛先ポート番号 | 1701 | |||
L2TPv3 Xconnect1 | 名前 | YAMAHA | ||
L2TPv3トンネルID | 1 | |||
Xconnectインタフェース | ethernet0 | |||
リモートエンドID | 1 | |||
再送間隔 | 30秒 | |||
TCP MSS自動調整 | オート | |||
DNS | サービス | 有効 |
【 設定例 】
〔YAMAHA製ルータの設定〕
YAMAHA製ルータの設定方法についてはご利用製品のドキュメント等をご参照下さい。
bridge member bridge1 lan1 tunnel1-tunnel2
ip bridge1 address 192.168.10.1/24
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname test1@example.jp test1pass
ppp lcp mru on 1454
ppp ipcp msext on
ppp ccp type none
ip pp address 10.10.10.1/32
ip pp mtu 1454
ip pp secure filter in 110 120 130 2000
ip pp secure filter out 3000 dynamic 210 220
ip pp nat descriptor 1
pp enable 1
tunnel select 1
tunnel encapsulation l2tpv3
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha256-hmac
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha256
ipsec ike keepalive use 1 on dpd
ipsec ike local address 1 10.10.10.1
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text ipseckey1
ipsec ike remote address 1 10.10.20.1
l2tp always-on on
l2tp hostname yamaha
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.10.1
l2tp remote router-id 192.168.10.2
l2tp remote end-id 1
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel encapsulation l2tpv3
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha256-hmac
ipsec ike always-on 2 off
ipsec ike encryption 2 aes-cbc
ipsec ike group 2 modp1536
ipsec ike hash 2 sha256
ipsec ike keepalive use 2 on dpd
ipsec ike local address 2 10.10.10.1
ipsec ike payload type 2 3
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text ipseckey2
ipsec ike remote address 2 any
ipsec ike remote name 2 nxrb fqdn
l2tp always-on on
l2tp hostname yamaha
l2tp tunnel disconnect time off
l2tp keepalive use on 60 3
l2tp keepalive log on
l2tp syslog on
l2tp local router-id 192.168.10.1
l2tp remote router-id 192.168.10.3
l2tp remote end-id 1
ip tunnel tcp mss limit auto
tunnel enable 2
ip filter 110 pass * 192.168.10.0/24 icmp
ip filter 120 pass * 10.10.10.1 udp * 500
ip filter 130 pass * 10.10.10.1 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 210 * * tcp
ip filter dynamic 220 * * udp
nat descriptor type 1 masquerade
nat descriptor address outer 1 10.10.10.1
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 10.10.10.1 udp 500
nat descriptor masquerade static 1 2 10.10.10.1 esp
ipsec auto refresh on
ipsec transport 1 1 udp 1701
ipsec transport 2 2 udp 1701
dns server pp 1
dns private address spoof on
l2tp service on l2tpv3
〔NXR_Aの設定〕
Enter configuration commands, one per line. End with CNTL/Z.
nxrg100(config)#hostname NXR_A
NXR_A(config)#interface ethernet 0
NXR_A(config-if)#ip address 192.168.10.2/24
NXR_A(config-if)#exit
NXR_A(config)#ip route 0.0.0.0/0 ppp 0
NXR_A(config)#ip access-list ppp0_in permit 10.10.10.1 10.10.20.1 udp 500 500
NXR_A(config)#ip access-list ppp0_in permit 10.10.10.1 10.10.20.1 50
NXR_A(config)#ip access-list ppp0_out deny 10.10.20.1 10.10.10.1 udp any 1701
NXR_A(config)#ipsec access-list ipsec_acl ip host host
NXR_A(config)#ipsec local policy 1
NXR_A(config-ipsec-local)#address ip
NXR_A(config-ipsec-local)#exit
NXR_A(config)#ipsec isakmp policy 1
NXR_A(config-ipsec-isakmp)#description YAMAHA
NXR_A(config-ipsec-isakmp)#authentication pre-share ipseckey1
NXR_A(config-ipsec-isakmp)#hash sha256
NXR_A(config-ipsec-isakmp)#encryption aes128
NXR_A(config-ipsec-isakmp)#group 5
NXR_A(config-ipsec-isakmp)#lifetime 10800
NXR_A(config-ipsec-isakmp)#isakmp-mode main
NXR_A(config-ipsec-isakmp)#remote address ip 10.10.10.1
NXR_A(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_A(config-ipsec-isakmp)#local policy 1
NXR_A(config-ipsec-isakmp)#exit
NXR_A(config)#ipsec tunnel policy 1
NXR_A(config-ipsec-tunnel)#description YAMAHA
NXR_A(config-ipsec-tunnel)#negotiation-mode auto
NXR_A(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_A(config-ipsec-tunnel)#set pfs group5
NXR_A(config-ipsec-tunnel)#set sa lifetime 3600
NXR_A(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_A(config-ipsec-tunnel)#match address ipsec_acl
NXR_A(config-ipsec-tunnel)#set protocol-mode transport
NXR_A(config-ipsec-tunnel)#exit
NXR_A(config)#ppp account username test2@example.jp password test2pass
NXR_A(config)#interface ppp 0
NXR_A(config-ppp)#ip address 10.10.20.1/32
NXR_A(config-ppp)#ip masquerade
NXR_A(config-ppp)#ip access-group in ppp0_in
NXR_A(config-ppp)#ip access-group out ppp0_out
NXR_A(config-ppp)#ip spi-filter
NXR_A(config-ppp)#ip tcp adjust-mss auto
NXR_A(config-ppp)#ppp username test2@example.jp
NXR_A(config-ppp)#ipsec policy 1
NXR_A(config-ppp)#exit
NXR_A(config)#interface ethernet 1
NXR_A(config-if)#no ip address
NXR_A(config-if)#pppoe-client ppp 0
NXR_A(config-if)#exit
NXR_A(config)#l2tpv3 hostname nxra
NXR_A(config)#l2tpv3 router-id 192.168.10.2
NXR_A(config)#l2tpv3 mac-learning
NXR_A(config)#l2tpv3 mac-aging 300
NXR_A(config)#l2tpv3 udp source-port 1701
NXR_A(config)#l2tpv3 udp path-mtu-discovery enable
NXR_A(config)#l2tpv3 tunnel 1
NXR_A(config-l2tpv3-tunnel)#description YAMAHA
NXR_A(config-l2tpv3-tunnel)#tunnel address 10.10.10.1
NXR_A(config-l2tpv3-tunnel)#tunnel hostname yamaha
NXR_A(config-l2tpv3-tunnel)#tunnel router-id 192.168.10.1
NXR_A(config-l2tpv3-tunnel)#tunnel vendor ietf
NXR_A(config-l2tpv3-tunnel)#tunnel protocol udp
NXR_A(config-l2tpv3-tunnel)#tunnel udp port 1701
NXR_A(config-l2tpv3-tunnel)#exit
NXR_A(config)#l2tpv3 xconnect 1
NXR_A(config-l2tpv3-xconnect)#description YAMAHA
NXR_A(config-l2tpv3-xconnect)#tunnel 1
NXR_A(config-l2tpv3-xconnect)#xconnect ethernet 0
NXR_A(config-l2tpv3-xconnect)#xconnect end-id 1
NXR_A(config-l2tpv3-xconnect)#retry-interval 30
NXR_A(config-l2tpv3-xconnect)#ip tcp adjust-mss auto
NXR_A(config-l2tpv3-xconnect)#exit
NXR_A(config)#dns
NXR_A(config-dns)#service enable
NXR_A(config-dns)#exit
NXR_A(config)#fast-forwarding enable
NXR_A(config)#exit
NXR_A#save config
〔NXR_Bの設定〕
Enter configuration commands, one per line. End with CNTL/Z.
nxrg100(config)#hostname NXR_B
NXR_B(config)#interface ethernet 0
NXR_B(config-if)#ip address 192.168.10.3/24
NXR_B(config-if)#exit
NXR_B(config)#ip route 0.0.0.0/0 ppp 0
NXR_B(config)#ip access-list ppp0_in permit 10.10.10.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_in permit 10.10.10.1 any 50
NXR_B(config)#ip access-list ppp0_out deny any 10.10.10.1 udp any 1701
NXR_B(config)#ipsec access-list ipsec_acl ip host host
NXR_B(config)#ipsec local policy 1
NXR_B(config-ipsec-local)#address ip
NXR_B(config-ipsec-local)#self-identity fqdn nxrb
NXR_B(config-ipsec-local)#exit
NXR_B(config)#ipsec isakmp policy 1
NXR_B(config-ipsec-isakmp)#description YAMAHA
NXR_B(config-ipsec-isakmp)#authentication pre-share ipseckey2
NXR_B(config-ipsec-isakmp)#hash sha256
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 10800
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_B(config-ipsec-isakmp)#remote address ip 10.10.10.1
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1
NXR_B(config-ipsec-isakmp)#exit
NXR_B(config)#ipsec tunnel policy 1
NXR_B(config-ipsec-tunnel)#description YAMAHA
NXR_B(config-ipsec-tunnel)#negotiation-mode auto
NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 3600
NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_B(config-ipsec-tunnel)#match address ipsec_acl
NXR_B(config-ipsec-tunnel)#set protocol-mode transport
NXR_B(config-ipsec-tunnel)#exit
NXR_B(config)#ppp account username [ユーザID] password [パスワード]
NXR_B(config)#interface ppp 0
NXR_B(config-ppp)#ip address negotiated
NXR_B(config-ppp)#ip masquerade
NXR_B(config-ppp)#ip access-group in ppp0_in
NXR_B(config-ppp)#ip access-group out ppp0_out
NXR_B(config-ppp)#ip spi-filter
NXR_B(config-ppp)#ip tcp adjust-mss auto
NXR_B(config-ppp)#ppp username [ユーザID]
NXR_B(config-ppp)#mobile apn [APN] cid [CID] pdp-type [PDPタイプ]
NXR_B(config-ppp)#dial-up string *99***[CID]#
NXR_B(config-ppp)#dial-up timeout 30
NXR_B(config-ppp)#ipsec policy 1
NXR_B(config-ppp)#exit
NXR_B(config)#mobile error-recovery-reset
NXR_B(config)#mobile termination-recovery reset
NXR_B(config)#mobile 1 ppp 0
NXR_B(config)#l2tpv3 hostname nxrb
NXR_B(config)#l2tpv3 router-id 192.168.10.3
NXR_B(config)#l2tpv3 mac-learning
NXR_B(config)#l2tpv3 mac-aging 300
NXR_B(config)#l2tpv3 udp source-port 1701
NXR_B(config)#l2tpv3 udp path-mtu-discovery enable
NXR_B(config)#l2tpv3 tunnel 1
NXR_B(config-l2tpv3-tunnel)#description YAMAHA
NXR_B(config-l2tpv3-tunnel)#tunnel address 10.10.10.1
NXR_B(config-l2tpv3-tunnel)#tunnel hostname yamaha
NXR_B(config-l2tpv3-tunnel)#tunnel router-id 192.168.10.1
NXR_B(config-l2tpv3-tunnel)#tunnel vendor ietf
NXR_B(config-l2tpv3-tunnel)#tunnel protocol udp
NXR_B(config-l2tpv3-tunnel)#tunnel udp port 1701
NXR_B(config-l2tpv3-tunnel)#exit
NXR_B(config)#l2tpv3 xconnect 1
NXR_B(config-l2tpv3-xconnect)#description YAMAHA
NXR_B(config-l2tpv3-xconnect)#tunnel 1
NXR_B(config-l2tpv3-xconnect)#xconnect ethernet 0
NXR_B(config-l2tpv3-xconnect)#xconnect end-id 1
NXR_B(config-l2tpv3-xconnect)#retry-interval 30
NXR_B(config-l2tpv3-xconnect)#ip tcp adjust-mss auto
NXR_B(config-l2tpv3-xconnect)#exit
NXR_B(config)#dns
NXR_B(config-dns)#service enable
NXR_B(config-dns)#exit
NXR_B(config)#exit
NXR_B#save config
【 設定例解説 】
〔NXR_Aの設定〕
1. <ホスト名の設定>
ホスト名を設定します。
2. <LAN側(ethernet0)インタフェース設定>
NXR_A(config-if)#ip address 192.168.10.2/24
ethernet0インタフェースのIPアドレスを設定します。
3. <スタティックルート設定>
デフォルトルートを設定します。
4. <IPアクセスリスト設定>
NXR_A(config)#ip access-list ppp0_in permit 10.10.10.1 10.10.20.1 50
IPアクセスリスト名をppp0_inとし、送信元がRTXのWAN側IPアドレス10.10.10.1、宛先IPアドレスが10.10.20.1のIKEパケット(UDPポート500番)、ESPパケット(プロトコル番号50)を許可します。なおこのIPアクセスリスト設定はppp0インタフェース設定で登録します。
IPアクセスリスト名をppp0_outとし、送信元IPアドレスが10.10.20.1、宛先がRTXのWAN側IPアドレス10.10.10.1のL2TPv3overUDPのパケット(UDPポート1701番)を破棄します。なおこのIPアクセスリスト設定はppp0インタフェース設定で登録します。
(☞) この設定は、IPsec SA未確立時などWAN側(ppp0)インタフェースから直接L2TPv3overUDPのパケットを出力しないようにするための設定です。
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングしたいインタフェースでの登録が必要になります。
5. <IPsecアクセスリスト設定>
ipsec_aclという名前のIPsecアクセスリストを設定します。なお送信元IPアドレス,宛先IPアドレスともにhostとします。
6. <IPsecローカルポリシー設定>
NXR_A(config-ipsec-local)#address ip
IPsecトンネルの送信元IPアドレスにip(IPv4)を設定します。
7. <IPsec ISAKMPポリシー設定>
NXR_A(config-ipsec-isakmp)#description YAMAHA
NXR_A(config-ipsec-isakmp)#authentication pre-share ipseckey1
ISAKMPポリシーの説明としてYAMAHA、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckey1を設定します。なお事前共有鍵はRTXのipsec tunnel1と共通の値を設定します。
NXR_A(config-ipsec-isakmp)#encryption aes128
NXR_A(config-ipsec-isakmp)#group 5
NXR_A(config-ipsec-isakmp)#lifetime 10800
NXR_A(config-ipsec-isakmp)#isakmp-mode main
認証アルゴリズムとしてsha256、暗号化アルゴリズムとしてaes128,Diffie-Hellman(DH)グループとしてgroup 5、ISAKMP SAのライフタイムとして10800秒、フェーズ1のネゴシエーションモードとしてメインモードを設定します。
NXR_A(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_A(config-ipsec-isakmp)#local policy 1
リモートアドレスにRTXのWAN側IPアドレスを設定します。またIKE KeepAlive(DPD)を監視間隔30秒,リトライ回数3回としkeepalive失敗時にSAを削除しIKEのネゴシエーションを開始するように設定します。そしてIPsecローカルポリシー1と関連づけを行います。
8. <IPsecトンネルポリシー設定>
NXR_A(config-ipsec-tunnel)#description YAMAHA
NXR_A(config-ipsec-tunnel)#negotiation-mode auto
IPsecトンネルポリシーの説明としてYAMAHA、ネゴシエーションモードとしてautoを設定します。
NXR_A(config-ipsec-tunnel)#set pfs group5
NXR_A(config-ipsec-tunnel)#set sa lifetime 3600
暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha256、PFSを有効にし、かつDHグループとしてgroup5、IPsec SAのライフタイムとして3600秒を設定します。
NXR_A(config-ipsec-tunnel)#match address ipsec_acl
ISAKMPポリシー1と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。
カプセル化モードをトランスポートモードに設定します。
9. <PPPアカウント設定>
ppp0インタフェースで使用するISP接続用ユーザID,パスワードを設定します。
(☞) ここで設定したアカウントはppp0インタフェースの設定で利用します。
10. <WAN側(ppp0)インタフェース設定>
NXR_A(config-ppp)#ip address 10.10.20.1/32
ppp0インタフェースのIPアドレスを設定します。
NXR_A(config-ppp)#ip access-group in ppp0_in
NXR_A(config-ppp)#ip access-group out ppp0_out
NXR_A(config-ppp)#ip spi-filter
NXR_A(config-ppp)#ip tcp adjust-mss auto
IPマスカレード、ステートフルパケットインスペクションを有効に設定します。またIPアクセスリストppp0_inをinフィルタにppp0_outをoutフィルタに適用します。そしてTCP MSSの調整機能をオートに設定します。
NXR_A(config-ppp)#ipsec policy 1
ISP接続用ユーザIDを設定します。またIPsecトンネルのエンドポイントとなるためIPsecローカルポリシー1を設定します。
11. <ethernet1インタフェース設定>
NXR_A(config-if)#no ip address
NXR_A(config-if)#pppoe-client ppp 0
PPPoEクライアントとしてppp0インタフェースを使用できるように設定します。
12. <L2TPv3設定>
NXR_A(config)#l2tpv3 router-id 192.168.10.2
L2TPv3のホスト名としてnxraを設定します。またルータIDを設定します。
NXR_A(config)#l2tpv3 mac-aging 300
MACアドレス学習機能を有効にし、エージングタイムを設定します。
NXR_A(config)#l2tpv3 udp path-mtu-discovery enable
L2TPv3overUDP使用時の送信元ポート番号を設定します。またPath MTU Discoveryを有効にします。
13. <L2TPv3トンネル設定>
NXR_A(config-l2tpv3-tunnel)#description YAMAHA
NXR_A(config-l2tpv3-tunnel)#tunnel address 10.10.10.1
L2TPv3トンネル1の説明としてYAMAHA、リモートアドレスにRTXのWAN側IPアドレスを設定します。
NXR_A(config-l2tpv3-tunnel)#tunnel router-id 192.168.10.1
NXR_A(config-l2tpv3-tunnel)#tunnel vendor ietf
RTXのL2TPv3ホスト名およびルータIDを設定します。そしてベンダIDとしてietfを設定します。
NXR_A(config-l2tpv3-tunnel)#tunnel udp port 1701
プロトコルをUDPとし、L2TPv3overUDP使用時の宛先ポート番号を設定します。
14. <L2TPv3 Xconnect設定>
NXR_A(config-l2tpv3-xconnect)#description YAMAHA
NXR_A(config-l2tpv3-xconnect)#tunnel 1
L2TPv3 Xconnect1の説明としてYAMAHA、関連づけを行うL2TPv3トンネルとしてL2TPv3トンネル1を設定します。
NXR_A(config-l2tpv3-xconnect)#xconnect end-id 1
NXR_A(config-l2tpv3-xconnect)#retry-interval 30
NXR_A(config-l2tpv3-xconnect)#ip tcp adjust-mss auto
Xconnectインタフェースとしてethernet0インタフェースおよびリモートエンドIDを設定します。またリトライインターバルを設定します。そしてTCP MSSの調整機能をオートに設定します。
15. <DNS設定>
NXR_A(config-dns)#service enable
DNSサービスを有効にします。
16. <ファストフォワーディングの有効化>
ファストフォワーディングを有効にします。
〔NXR_Bの設定〕
1. <ホスト名の設定>
ホスト名を設定します。
2. <LAN側(ethernet0)インタフェース設定>
NXR_B(config-if)#ip address 192.168.10.3/24
ethernet0インタフェースのIPアドレスを設定します。
3. <スタティックルート設定>
デフォルトルートを設定します。
4. <IPアクセスリスト設定>
NXR_B(config)#ip access-list ppp0_in permit 10.10.10.1 any 50
IPアクセスリスト名をppp0_inとし、送信元がRTXのWAN側IPアドレス10.10.10.1のIKEパケット(UDPポート500番)、ESPパケット(プロトコル番号50)を許可します。なおこのIPアクセスリスト設定はppp0インタフェース設定で登録します。
IPアクセスリスト名をppp0_outとし、宛先がRTXのWAN側IPアドレス10.10.10.1のL2TPv3overUDPのパケット(UDPポート1701番)を破棄します。なおこのIPアクセスリスト設定はppp0インタフェース設定で登録します。
(☞) この設定は、IPsec SA未確立時などWAN側(ppp0)インタフェースから直接L2TPv3overUDPのパケットを出力しないようにするための設定です。
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングしたいインタフェースでの登録が必要になります。
5. <IPsecアクセスリスト設定>
ipsec_aclという名前のIPsecアクセスリストを設定します。なお送信元IPアドレス,宛先IPアドレスともにhostとします。
6. <IPsecローカルポリシー設定>
NXR_B(config-ipsec-local)#address ip
NXR_B(config-ipsec-local)#self-identity fqdn nxrb
IPsecトンネルの送信元IPアドレスにip(IPv4)を設定します。またセルフIDをFQDN方式でnxrbとし、RTXのipsec tunnel2のリモートネームと同じIDを設定します。
7. <IPsec ISAKMPポリシー設定>
NXR_B(config-ipsec-isakmp)#description YAMAHA
NXR_B(config-ipsec-isakmp)#authentication pre-share ipseckey2
ISAKMPポリシーの説明としてYAMAHA、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckey2を設定します。なお事前共有鍵はRTXのipsec tunnel2と共通の値を設定します。
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 10800
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive
認証アルゴリズムとしてsha256、暗号化アルゴリズムとしてaes128,Diffie-Hellman(DH)グループとしてgroup 5、ISAKMP SAのライフタイムとして10800秒、フェーズ1のネゴシエーションモードとしてアグレッシブモードを設定します。
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1
リモートアドレスにRTXのWAN側IPアドレスを設定します。またIKE KeepAlive(DPD)を監視間隔30秒,リトライ回数3回としkeepalive失敗時にSAを削除しIKEのネゴシエーションを開始するように設定します。そしてIPsecローカルポリシー1と関連づけを行います。
8. <IPsecトンネルポリシー設定>
NXR_B(config-ipsec-tunnel)#description YAMAHA
NXR_B(config-ipsec-tunnel)#negotiation-mode auto
IPsecトンネルポリシーの説明としてYAMAHA、ネゴシエーションモードとしてautoを設定します。
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 3600
暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha256、PFSを有効にし、かつDHグループとしてgroup5、IPsec SAのライフタイムとして3600秒を設定します。
NXR_B(config-ipsec-tunnel)#match address ipsec_acl
NXR_B(config-ipsec-tunnel)#set protocol-mode transport
ISAKMPポリシー1と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。またカプセル化モードをトランスポートモードに設定します。
9. <PPPアカウント設定>
ppp0インタフェースで使用するPPP接続用ユーザID,パスワードを設定します。
(☞) ここで設定したアカウントはppp0インタフェースの設定で利用します。
10. <WAN側(ppp0)インタフェース設定>
NXR_B(config-ppp)#ip address negotiated
ppp0インタフェースのIPアドレスが動的IPアドレスのためnegotiatedを設定します。
NXR_B(config-ppp)#ip access-group in ppp0_in
NXR_B(config-ppp)#ip access-group out ppp0_out
NXR_B(config-ppp)#ip spi-filter
NXR_B(config-ppp)#ip tcp adjust-mss auto
IPマスカレード、ステートフルパケットインスペクションを有効に設定します。またIPアクセスリストppp0_inをinフィルタにppp0_outをoutフィルタに適用します。そしてTCP MSSの調整機能をオートに設定します。
NXR_B(config-ppp)#mobile apn [APN] cid [CID] pdp-type [PDPタイプ]
PPP接続用ユーザIDを設定します。またAPN,CID,PDPタイプを設定します。
(☞) MVNOなど接続先設定のパラメータの一例はこちら
NXR_B(config-ppp)#dial-up timeout 30
発信用の電話番号およびダイアルタイムアウトを設定します。
(☞) ここで設定する電話番号はSIMカードの電話番号ではありません。
IPsecトンネルのエンドポイントとなるためIPsecローカルポリシー1を設定します。
11. <モバイルエラーリカバリー設定>
通信モジュールとの通信に重大な問題が発生する可能性が高いと判断した場合、通信モジュールのリセットを行うように設定します。
12. <モバイルターミネーションリカバリー設定>
PPP接続時に網側から切断された場合、通信モジュールのリセットを行うように設定します。
13. <モバイル割り当て設定>
mobile1と認識されている通信モジュールとppp0インタフェースの関連づけを行います。
通信モジュールをPPPインタフェースで使用する場合は、mobileコマンドによるPPPインタフェースへの関連付けが必要になります。
14. <L2TPv3設定>
NXR_B(config)#l2tpv3 router-id 192.168.10.3
L2TPv3のホスト名としてnxrbを設定します。またルータIDを設定します。
NXR_B(config)#l2tpv3 mac-aging 300
MACアドレス学習機能を有効にし、エージングタイムを設定します。
NXR_B(config)#l2tpv3 udp path-mtu-discovery enable
L2TPv3overUDP使用時の送信元ポート番号を設定します。またPath MTU Discoveryを有効にします。
15. <L2TPv3トンネル設定>
NXR_B(config-l2tpv3-tunnel)#description YAMAHA
NXR_B(config-l2tpv3-tunnel)#tunnel address 10.10.10.1
L2TPv3トンネル1の説明としてYAMAHA、リモートアドレスにRTXのWAN側IPアドレスを設定します。
NXR_B(config-l2tpv3-tunnel)#tunnel router-id 192.168.10.1
NXR_B(config-l2tpv3-tunnel)#tunnel vendor ietf
RTXのL2TPv3ホスト名およびルータIDを設定します。そしてベンダIDとしてietfを設定します。
NXR_B(config-l2tpv3-tunnel)#tunnel udp port 1701
プロトコルをUDPとし、L2TPv3overUDP使用時の宛先ポート番号を設定します。
16. <L2TPv3 Xconnect設定>
NXR_B(config-l2tpv3-xconnect)#description YAMAHA
NXR_B(config-l2tpv3-xconnect)#tunnel 1
L2TPv3 Xconnect1の説明としてYAMAHA、関連づけを行うL2TPv3トンネルとしてL2TPv3トンネル1を設定します。
NXR_B(config-l2tpv3-xconnect)#xconnect end-id 1
NXR_B(config-l2tpv3-xconnect)#retry-interval 30
NXR_B(config-l2tpv3-xconnect)#ip tcp adjust-mss auto
Xconnectインタフェースとしてethernet0インタフェースおよびリモートエンドIDを設定します。またリトライインターバルを設定します。そしてTCP MSSの調整機能をオートに設定します。
17. <DNS設定>
NXR_B(config-dns)#service enable
DNSサービスを有効にします。
【 端末の設定例 】
LAN_Aの端末 | LAN_Bの端末 | LAN_Cの端末 | |
IPアドレス | 192.168.10.101 | 192.168.10.102 | 192.168.10.103 |
サブネットマスク | 255.255.255.0 | ||
デフォルトゲートウェイ | 192.168.10.1 | 192.168.10.2 | 192.168.10.3 |
DNSサーバ |
更新情報
→ 一覧へカテゴリ
タグ
- CRG
- DDNS
- DHCP
- DNAT
- DNSインターセプト
- Ethernet
- IIJモバイル
- IKE Modeconfig
- IKEv2 Configuration Payload
- IPinIP
- IPoE
- IPv6
- KDDI
- L2TPv3
- MAP-E
- NGN
- NTTドコモ
- PBR
- Policy Based IPsec
- PPP
- PPPoE
- QoS
- RADIUS連携
- RAシリーズ
- Route Based IPsec
- SMS
- SNAT
- SoftBank
- UPnP
- URL転送
- VLAN
- VRRP
- Web認証
- WiMAX
- コンフィグロールバック
- ネットイベント
- フィルタ
- ブリッジ
- モニタログ
- ワイモバイル
- 仮想スイッチ
- 冗長化
- 無線LAN