VPN UNIVERGE WA シリーズ address 192.168.1.254/24 no shutdown ! interface GigaEthernet0.1 encapsulation pppoe auto-connect pppoe service-name IP,1,example.net ppp binding mobile

ワイヤレスアダプタ/ワイヤレス VPN ルータ

UNIVERGE WA シリーズ

設定事例集第 8.1a 版

（ソフトウェア Ver8.1 対応）

ご注意

ご使用の前にこのマニュアルをよくお読みの上で、正しくお使いください。

お読みになったあとは、いつでもご覧になれる場所に必ず保管してください。

はじめに

i

はじめに本設定事例集では、UNIVERGE WA シリーズの設定事例について説明しています。ルータと組み合わせて使用する構成では、UNIVERGE IX2000/IX3000 シリーズの設定例を

記載しています。各コマンドの詳細については、コマンドリファレンスや機能説明書をご参照下さい。本設定事例集は UNIVERGE WA シリーズソフトウェア Ver.8.1 に対応しています。ご注意 (１) 本書の内容の一部または全部を無断で転載することは禁止されています。 (２) 本書の内容については、将来予告なしに変更することがあります。 (３) 本書は内容について万全を期しておりますが、万一ご不審な点や誤り､記載漏れなど

お気づきの点がありましたら、ご連絡ください。 (４) 運用した結果については、（３）項にかかわらずいかなる責任も負いかねますので、

あらかじめご了承ください。

もくじ

ii

はじめに ··························································· i

もくじ ····························································· ii

1. ·· アダプタモード設定 ···································· 1-1 1.1. 内蔵モジュールを使用する ···························································· 1-1 1.2. データ通信端末（3G/LTE）を使用する ··········································· 1-5

2. ·· インターネット接続設定 ······························ 2-1 2.1. データ通信端末を PPP 接続してインターネットに常時接続する ··········· 2-1 2.2. データ通信端末を NDIS 接続してインターネットに常時接続する ·········· 2-4 2.3. PPPoE を使用して常時接続を行う ················································· 2-7 2.4. SIM ロックフリーモデルで任意のモバイルキャリアを利用する ··········· 2-10 2.5. v6 プラス「固定 IP サービス」を RA の prefix 取得で常時接続を行う · 2-13 2.6. v6 プラス「固定 IP サービス」を DHCPv6-PD で常時接続を行う ······· 2-19 2.7. DS-Lite を使用した RA の prefix 取得で常時接続を行う ···················· 2-25 2.8. DS-Lite を使用して DHCPv6-PD で常時接続を行う ·························· 2-30

3. ·· IPv4 設定 ·················································· 3-1 3.1. 複数の経路情報を設定する ···························································· 3-1

4. ·· IPv6 設定 ·················································· 4-1 4.1. PPPoEv6 を使用して常時接続を行う ·············································· 4-1 4.2. RA 方式を使用して常時接続を行う ················································· 4-5

5. ·· ブリッジ設定 ············································· 5-1 5.1. トランスペアレントブリッジを使用する ·········································· 5-1 5.2. PPPoE ブリッジを使用する ·························································· 5-4 5.3. レイヤ 2 高速切替機能でブリッジ経路切替を行う ······························ 5-8

6. ·· NAT／NAPT 設定 ······································· 6-1 6.1. スタティック NAT を使用する ······················································· 6-3 6.2. ダイナミック NAT を使用する ······················································· 6-5 6.3. スタティック NAPT 機能を使用して Web サーバを公開する ················ 6-8 6.4. IPsec inner NAT 機能を使用する ·················································· 6-10 6.5. NAPT 除外設定を使用した IPsec 接続を行う ··································· 6-16

7. ·· DHCP 設定 ················································ 7-1 7.1. DHCP サーバ機能を使用する························································· 7-1 7.2. 複数の DHCP サーバ機能を使用する ··············································· 7-4 7.3. DHCP リレーエージェント機能を使用する ······································· 7-7

8. ·· Dynamic DNS 設定 ····································· 8-1

もくじ

iii

8.1. NetMeister のダイナミック DNS を利用して VPN 接続を行う ············· 8-2 8.2. WA シリーズ専用 DDNS サービスを利用しリモートメンテナンスを行う 8-6

9. ·· IPsec 設定 ················································ 9-1 9.1. メインモードの IPsec 接続を行う ·················································· 9-1 9.2. アグレッシブモードの IPsec 接続を行う ·········································· 9-6 9.3. IPsec トンネル経由でインターネットに接続する ····························· 9-14 9.4. キャリアグレード NAT された通信網で IPsec 接続を行う ·················· 9-22 9.5. peerFQDN を使用して動的 IP アドレス環境で IPsec 接続を行う ········· 9-30 9.6. IPsec 簡単コンフィグを使用して VPN 設定を行う ···························· 9-39 9.7. NGN 閉域網で NetMeister のダイナミック DNS による IPsec 接続 ······ 9-44

10. · IKEv2/IPsec 設定 ····································· 10-1 10.1. IPv6 網に IKEv2/IPsec トンネルを生成し、拠点間通信を行う ············· 10-1

11. · L2 トンネル設定 ······································ 11-1 EtherIP 接続を行う ···································································· 11-1 EtherIP over IPsec（メイン／トランスポート）接続を行う ··············· 11-3 EtherIP over IPsec（アグレッシブ／トランスポート）接続を行う ······ 11-8 L2TPv3 over IPsec（メイン／トンネル）接続を行う ······················ 11-12 L2TP インタフェースでパケットに VLAN Tag を付ける ·················· 11-18 NGN 閉域網 IPv6 環境で L2TPv3 を利用する ································· 11-24

12. · GRE 設定················································ 12-1 12.1. GRE over IPsec（トランスポート）接続を行う ······························· 12-1

13. · VLAN 設定 ·············································· 13-1 13.1. タグ VLAN を使用する ································································ 13-1 13.2. ポート VLAN を使用する ····························································· 13-4

14. · 冗長構成 ················································· 14-1 14.1. VRRP を使用してルータを冗長化する ············································ 14-1 14.2. ネットワークモニタを使用して IPsec を迂回する ····························· 14-6 14.3. 同一 IP に複数 IPsec トンネルを設定して迂回する ························· 14-15 14.4. デュアルモバイルで WAN 回線を冗長化する ································· 14-24 14.5. ネットワークモニタ機能の複数イベントを使用する ························ 14-28

15. · ポリシールーティング設定 ························· 15-1 15.1. アプリケーション毎に経路を分ける ··············································· 15-1 15.2. 自発パケットの経路を分ける ························································ 15-4

16. · 無線 LAN 設定 ········································· 16-1 16.1. マルチ SSID で複数のアクセス方式に対応する································· 16-1 16.2. 有線 LAN と無線 LAN を BVI で同一セグメントとして扱う ················ 16-5 16.3. ２つの無線 LAN グループを別セグメントとして扱う ························ 16-9

もくじ

iv

16.4. 暗号化キーを自動的に定期更新する ············································· 16-16

17. · AAA 設定················································ 17-1 17.1. ログイン認証を行う ···································································· 17-3

18. · 端末認証設定 ··········································· 18-1 18.1. 有線 LAN および無線 LAN で IEEE802.1X 認証を行う ······················· 18-1 18.2. 有線 LAN および無線 LAN で MAC 認証を行う ································ 18-7 18.3. 異なるインタフェースで異なる認証方式を有効にする ····················· 18-13

19. · QoS 設定 ················································ 19-1 19.1. 自発パケットを優先送信する ························································ 19-1 19.2. 送信パケットに DSCP 値を付与する（カラーリング機能） ················ 19-4 19.3. 物理ポートでトラフィックシェーピングを設定する ·························· 19-6

20. · BGP4 設定 ·············································· 20-1 20.1. AS 間で経路情報を交換する ························································· 20-1

21. · URL オフロード設定例 ······························ 21-1 21.1. 経路制御処理を利用した構成（HTTP プロキシサーバを利用しない） ··· 21-1 21.2. フィルタ処理を利用した構成（HTTP プロキシサーバを利用する） ······ 21-5

22. · URL リダイレクト設定 ······························ 22-1 22.1 設定したサイトを利用者のブラウザへ表示させる ····························· 22-1

23. · 管理・保守 ·············································· 23-1 SNTP クライアントを使用して時刻を設定する ································ 23-1 SNMP を使用して情報を収集する ················································· 23-3 SYSLOG を使用して情報を収集する ·············································· 23-6 FTP 自動バージョンアップ機能を使用する ······································ 23-8 起動時 HTTP 自動バージョンアップ機能を使用する ························ 23-12 スケジューラ機能を利用して MAC アドレスフィルタを変更する ······· 23-16 初期コンフィグモードを変更する ················································ 23-20 NetMeister を利用して、装置の管理・保守する ····························· 23-22

24. · IP トンネル設定 ······································· 24-1 IPv4 over IPv6 トンネル ······························································ 24-1 IPv4 over IPv4 トンネル ······························································ 24-6 IPv6 over IPv4 トンネル ···························································· 24-11 IPv6 over IPv6 トンネル ···························································· 24-16

25. · Web 認証設定 ·········································· 25-1 25.1 有線 LAN および無線 LAN で Web 認証を行う ································· 25-1

もくじ

v

モバイル網接続に必要なパラメータ ········· 付-1

使用可能なデータ通信端末 ····················· 付-4

アダプタモード

1-1

1. アダプタモード設定 1.1. 内蔵モジュールを使用する WA1511 の内蔵モジュールを使用したアダプタモードの基本的な設定を説明します。本設

定により、配下に接続するルータからインターネットアクセス等を行うことが可能となり

ます。本設定例は、WA1511 での MobileEthernet0.0（NDIS 接続）を使用した PPPoE-DHCP 接

続を例に挙げています。なお、内蔵モジュールは、Serial0（PPP 接続）を使用した PPPoE-PPP 接続はサポートしていません。Serial 接続はデータ通信端末が必要です。1.2 項を参

照願います。 ■接続構成

■設定概要以下の設定を行います。

・アダプタモード設定・ MobileEthernet0.0 インタフェース設定（アクセスポイント設定）・メンテナンス用 IP アドレス設定・オペレータアカウント登録

配下ルータ（IX2215）には以下の設定を行います。

・ PPP プロファイル、PPPoE 設定・アクセスポイント、ダイヤルアップ番号設定

192.168.1.0/24

UNIVERGE IX2215

PPPoE

GE1.0 .254 （（（モバイル

通信事業者

インターネットサービスプロバイダ

GE0.1 GE1.0

端末Ａ 192.168.200.0/24（メンテナンス

.254 .253

GE0.0

インターネット接続

装置Ａ装置Ｂ

UNIVERGE WA1511

DHCP (NDIS 接続)

PDP-Type:IP CID :1 APN :example.net


1-2

■設定（コンフィグ作成バージョン：Ver7.1.3） [装置Ａ：WA1511 設定]

! hostname WA1511 ! username test password plain test operator ! https-username test2 password plain test2 operator ! wireless-adapter enable MobileEthernet0.0 ! device usb0 ! device module0 ! interface GigaEthernet0.0 no ip address shutdown ! interface GigaEthernet1.0 ip address 192.168.200.253/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 ip address dhcp mobile id IP example.net mobile username test mobile password plain test test auto-connect no shutdown ! ip route 192.168.1.0/24 192.168.200.254 ! telnet-server ip enable ! sntp-client enable ntp-server server servername ! https-server ip enable ! led vpn ipsec !

以下に装置Ｂ（IX2215）の設定例を記載しますが、詳細については IX マニュアルをご確認

下さい。 [装置Ｂ：IX2215 設定]

! hostname IX2215 ! ip route default GigaEthernet0.1


1-1

! proxy-dns ip enable ! ppp profile mobile authentication myname test authentication password test test ! device GigaEthernet0 ! device GigaEthernet1 ! interface GigaEthernet0.0 ip address 192.168.200.254/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface GigaEthernet0.1 encapsulation pppoe auto-connect pppoe service-name IP,1,example.net ppp binding mobile ip address ipcp ip tcp adjust-mss auto ip napt enable no shutdown !

■解説 [装置Ａ：WA1511 設定] username test password plain test operator https-username test2 password plain test2 operator

ログイン（CLI、telnet、Web-GUI）するオペレータ権限のユーザアカウントを登録しま

す。 wireless-adapter enable MobileEthernet0.0

動作モードを、内蔵モジュールを使用した NDIS 接続アダプタモードとします。 interface GigaEthernet1.0 ip address 192.168.200.253/24

インタフェース GigaEthernet1.0 にメンテナンス用の IP アドレスを設定します。設定

した IP アドレスが telnet 宛先、http アドレスになります。 interface MobileEthernet0.0 ip address dhcp

DHCP によるアドレス割り当てを有効とします。 mobile id IP example.net mobile username test mobile password plain test test

PDP-Type”IP”、APN”example.net”、ID、Password を設定します。NDIS 接続の場合、


1-4

CID は設定不要です。PDP-Type、CID、APN、ID、Password は事業者毎に異なります

ので、本書の付録をご覧頂くか、通信事業者にご確認ください。配下ルータで Service-Name タグが動作する場合は、WA1511 に PDP-Type、APN、ID、Password の設定は

不要です。 ip route 192.168.1.0/24 192.168.200.254

メンテナンスを行う端末Ａへの IP ルートを設定します。 telnet-server enable

メンテナンスのために telnet サーバ機能を有効化します。 https-server ip enable

メンテナンスのために Web サーバ機能を有効化します。（デフォルトで有効）


1-1

1.2. データ通信端末（3G/LTE）を使用するデータ通信端末を使用したアダプタモードの基本的な設定を説明します。本設定により、

配下に接続するルータからインターネットアクセス等を行うことが可能となります。本設定例は、Serial（PPP 接続）を使用した PPPoE-PPP 接続を例に挙げていますが、

MobileEthernet（NDIS 接続）を使用した PPPoE-DHCP 接続もサポートしています。データ通信端末を使用したアダプタモードは、WA1020、WA1510、WA1511 および WA1512でサポートしております。 ■接続構成


・アダプタモード設定・ Serial0 インタフェース設定（アクセスポイント設定）・メンテナンス用 IP アドレス設定・オペレータアカウント登録

配下ルータ（IX2215）には以下の設定を行います。

・ PPP、PPPoE 設定・アクセスポイント、ダイヤルアップ番号設定

192.168.1.0/24

UNIVERGE IX2215

UNIVERGE WA1510

PPPoE

GE1.0

Serial0 (PPP 接続)

データ通信端末 .254

（（（ワイヤレスデータ通信事業者


3G/LTE GE0.1 GE1.0

端末Ａ 192.168.200.0/24（メンテナンス

.254 .253

GE0.0


装置Ａ装置Ｂ

PDP-Type:PPP CID :1 APN :example.net


1-6


! hostname WA1510 ! username test password plain test operator ! https-username test2 password plain test2 operator ! wireless-adapter enable Serial0 ! interface GigaEthernet1.0 ip address 192.168.200.253/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Serial0 ip address ipcp mobile id PPP 1 example.net mobile number *99***CID# auto-connect no shutdown ! ip route 192.168.1.0/24 192.168.200.254 ! telnet-server ip enable ! https-server ip enable https-server ip permit 192.168.1.0/24 !

以下に装置Ｂ（IX2215）の設定例を記載しますが、詳細については IX マニュアルをご確認

下さい。 [装置Ｂ：IX2215 設定]

! hostname IX2215 ! ip route default GigaEthernet0.1 ! proxy-dns ip enable ! ppp profile mobile authentication myname test authentication password test test ! device GigaEthernet0 ! device GigaEthernet1 ! interface GigaEthernet0.0


1-1

ip address 192.168.200.254/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface GigaEthernet0.1 encapsulation pppoe auto-connect pppoe service-name PPP,1,example.net ppp binding mobile ip address ipcp ip napt enable no shutdown !

■解説 [装置Ａ：WA1510 設定] username test password plain test operator https-username test2 password plain test2 operator

ログイン（CLI、telnet、Web-GUI）するオペレータ権限のユーザアカウントを登録しま

す。 wireless-adapter enable Serial0

動作モードは Serial0 を使用するアダプタモードとします。 interface GigaEthernet1.0 ip address 192.168.200.253/24

インタフェース GigaEthernet1.0 にメンテナンス用の IP アドレスを設定します。設定

した IP アドレスが telnet 宛先、http アドレスになります。 interface Serial0 ip address ipcp

アダプタモードでは設定不要です。 mobile id PPP 1 example.net

PDP-Type”PPP”、CID”1”、APN”example.net”を設定します。PDP-Type、CID、APN は

事業者毎に異なりますので、本書の付録をご覧頂くか、通信事業者にご確認ください。

配下ルータで Service-Name タグが動作する場合は、WA1510 に PDP-Type、CID、APNの設定は不要です。

mobile number *99***CID# 電話番号を設定します。ほとんどの通信事業者は初期値”*99**CID#”で接続できますが、

KDDI など一部キャリアは設定を変更する必要がありますので、本書の付録をご覧頂く

か、通信事業者にご確認ください。 ip route 192.168.1.0/24 192.168.200.254

メンテナンスを行う端末Ａへの IP ルートを設定します。 telnet-server ip enable


1-8

メンテナンスのために telnet サーバ機能を有効化します。 https-server ip enable https-server ip permit 192.168.1.0/24

メンテナンスのために Web サーバ機能を有効化します。（デフォルトで有効）ただし、ソフトウェアバージョン 7.5 以降では、https-server ip permit コマンドが

GigaEthernet1.0 の LAN 指定で設定されています。Web-GUI にて、上記以外の LAN か

らアクセスする場合は、この設定を変更する必要があります。


2-1

2. インターネット接続設定 2.1. データ通信端末を PPP 接続してインターネットに常時接続するデータ通信端末（3G/LTE）を PPP（Serial インタフェース）で接続し、インターネットに

常時接続する基本的な設定を説明します。 ■接続構成


・ルータモード設定・ PPP プロファイル設定・ Serial0 インタフェース設定・プロキシ DNS 設定・ GigaEthernet1.0 インタフェース設定・ NAPT 設定・ルーティング設定

192.168.1.0/24

UNIVERGE WA1510

GE1.0 Serial0


（（（モバイル通信事業者


3G/LTE

端末Ａ PDP-Type:PPP CID :1 APN :example.net

装置Ａ


2-2

■設定（コンフィグ作成バージョン：Ver7.5.4） [装置 A：WA1510 設定]

! hostname WA1510 ! no wireless-adapter enable ! ppp profile mobile authentication username test authentication password plain test ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Serial0 ip address ipcp ppp profile mobile ip napt enable mobile id PPP 1 example.net mobile number *99***CID# auto-connect no shutdown ! ip route default Serial0 ! proxy-dns ip enable proxy-dns server default Serial0 ipcp !

■解説 no wireless-adapter enable

動作モードをルータモードに設定します。 ppp profile mobile authentication username test authentication password plain test

PPP プロファイル”mobile”を作成し、通信事業者が指定するユーザ ID とパスワードを

設定します。補足

KDDI のデータ通信端末 DATA01、DATA03、DATA04、DATA07 を使用する場合は、LCP Echo-Request を無効にする no lcp echo enable 設定が必要です。

interface Serial0

補足

ソフトバンクのデータ通信端末 C01/LC、C02/LC、203HW を使用する場合は、mobile


2-3

dial tone 設定が必要です。 ip address ipcp

インタフェース Serial0 の IP アドレスを設定します。ip address ipcp を設定すること

で、IPCP を使用して IP アドレスを取得します。 ppp profile mobile

PPP プロファイル”mobile”をインタフェース Serial0 に適用します。 ip napt enable

インタフェース Serial0 で NAPT 機能を有効化して、複数台の端末が同時にインターネ

ット接続できるように設定します mobile id PPP 1 example.net

PDP-Type、CID、APN を設定します。PDP-Type、CID、APN は事業者毎に異なりま

すので、本書の付録をご覧頂くか、通信事業者にご確認ください。 mobile number *99***CID#

電話番号を設定します。ほとんどの通信事業者は初期値”*99**CID#”で接続できますが、

KDDI など一部キャリアは設定を変更する必要がありますので、本書の付録をご覧頂く

か、通信事業者にご確認ください。 auto-connect

回線接続を常時接続に設定します。 proxy-dns ip enable proxy-dns server default Serial0 ipcp

プロキシ DNS を有効化します。プロキシ DNS が問合せを行う DNS サーバとして、PPP の IPCP にて取得した DNSサーバを設定します。この設定は、本装置からのDNS問合せをする際にも使用します。

interface GigaEthernet1.0 ip address 192.168.1.254/24

インタフェース GigaEthernet1.0 の IP アドレスを設定します。 ip route default Serial0

インタフェース Serial0 をデフォルトルートに設定します。


2-4

2.2. データ通信端末を NDIS 接続してインターネットに常時接続するデータ通信端末（3G/LTE）を NDIS（MobileEthernet インタフェース）で接続し、インタ

ーネットに常時接続する基本的な設定を説明します。 ■接続構成


・ルータモード設定・ MobileEthernet インタフェース設定・プロキシ DNS 設定・ GigaEthernet1.0 インタフェース設定・ NAPT 設定・ルーティング設定

192.168.1.0/24

UNIVERGE WA1510

GE1.0 ME0.0




3G/LTE

端末Ａ PDP-Type:IP APN :example.net

装置Ａ


2-5

■設定（コンフィグ作成バージョン：Ver7.5.4） [装置 A：WA1510 設定]

! hostname WA1510 ! no wireless-adapter enable ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Serial0 ip address ipcp mobile number *99***CID# auto-connect shutdown ! interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example.net mobile username test mobile password plain test auto-connect no shutdown ! ip route default MobileEthernet0.0 ! proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp !

■解説 no wireless-adapter enable

動作モードをルータモードに設定します。 interface MobileEthernet0.0

NDIS が動作するデータ通信端末用インタフェースです。補足

インタフェース Serial0 とは排他です。MobileEthernet0.0 インタフェースを有効にし

た場合、インタフェース Serial0 は自動的に無効になります。 ip address dhcp

DHCP を使用して IP アドレスを取得します。 ip tcp adjust-mss auto

TCP 通信の最大データ長を調整する mss を auto に設定します。 ip napt enable


2-6

NAPT 機能を有効化して、複数台の端末が同時にインターネット接続できるように設

定します。 mobile id IP example.net mobile username test mobile password plain test

PDP-Type、APN および通信事業者が指定するユーザ ID とパスワードを設定します。 CID は不要です。PDP-Type、APN は事業者毎に異なりますので、本書の付録をご覧頂

くか、通信事業者にご確認ください。 ip route default MobileEthernet0.0

インタフェース MobileEthernet0.0 をデフォルトルートに設定します。 proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp

プロキシ DNS を有効化します。プロキシ DNS が問合せを行う DNS サーバとして、DHCP にて取得した DNS サーバ

を設定します。この設定は、本装置からの DNS 問合せをする際にも使用します。


2-7

2.3. PPPoE を使用して常時接続を行う有線回線における基本的な設定を説明します。本設定により、端末からインターネットア

クセスを行うことが可能となります。 ■接続構成


・ PPP プロファイル設定・ GigaEthernet0.0 インタフェース設定・ PPPoE0 インタフェース設定・ NAPT 設定・プロキシ DNS 設定・ GigaEthernet1.0 インタフェース設定・ルーティング設定

192.168.1.0/24

通信事業者ネットワーク


端末Ａ

GE0.0 GE1.0

.254

userID : [email protected] password : test

PPPoE0

装置 A

UNIVERGE WA2610-AP


2-8

■設定（コンフィグ作成バージョン：Ver7.1.3） [装置 A：WA2610-AP 設定]

! hostname WA2610-AP ! ppp profile pppoe authentication username [email protected] authentication password plain test ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable no shutdown ! ip route default PPPoE0 ! proxy-dns ip enable proxy-dns server default PPPoE0 ipcp !


2-9

■解説 ppp profile pppoe authentication username [email protected] authentication password plain test

PPP プロファイル”pppoe”を作成し、通信事業者が指定するユーザ ID とパスワードを

設定します。 interface PPPoE0 ip address ipcp

論理インタフェース PPPoE0 の IP アドレスを設定します。ip address ipcp を設定する

ことで、IPCP を使用して IP アドレスを取得します。 ip tcp adjust-mss auto

PPPoE のカプセル化にともない MTU が LAN の 1500 より小さくなるため、tcp 通信

の最大データ長を調整する mss を auto に設定します。 ppp profile pppoe

論理インタフェース PPPoE0 に回線の認証に使用する PPP プロファイル”pppoe”を適

用します。 auto-connect

回線接続を常時接続に設定します。 ip napt enable

論理インタフェース PPPoE0 で NAPT 機能を有効化して、複数台の端末が同時にイン

ターネット接続できるように設定します。 interface GigaEthernet0.0 no ip address encapsulation PPPoE0

有線回線を収容するインタフェース GigaEthernet0.0 に、論理インタフェース PPPoE0を割当てます。インタフェース GigaEthernet0.0 の IP アドレスは設定しません。

proxy-dns ip enable proxy-dns server default PPPoE0 ipcp



インタフェース GigaEthernet1.0 の IP アドレスを設定します。 ip route default PPPoE0

論理インタフェース PPPoE0 をデフォルトルートに設定します。


2-10

2.4. SIM ロックフリーモデルで任意のモバイルキャリアを利用する SIM ロックフリーモデル WA2612-AP-ML01 の内蔵モジュールを使用して、サポートする

モバイルキャリアと接続する設定を説明します。 ■接続構成


・ MobileEthernet0.0 インタフェース設定・ NAPT 設定・プロキシ DNS 設定・ GigaEthernet1.0 インタフェース設定・ルーティング設定

メモ

・SIM ロックフリーは、WA2612-AP-ML01 のみ対応しております。・FW バージョン 7.3.7 以降は、Serial0 インタフェースおよび MobileEthernt0.0 インタ

フェースのいずれも利用可能です。上記以前の FW バージョンでは、使用できるインタフェースに制限がございますので、

詳しくは取扱説明書でご確認ください。・au、SoftBank が提供する M2M 用 SIM はご利用になれますが、データ通信用 SIM は

ご利用になれません。MVNO 事業者が提供するデータ通信用 SIM はご利用になれます

が、一部、利用できない契約/サービスの場合がございますので、ご使用になる前に必ず販

売元および通信事業者様に契約内容を確認してください。・3G 専用の SIM カードはご利用できません。

192.168.1.0/24 au

MVNO

端末Ａ

GE1.0

.254

内蔵モジュール

装置 A

UNIVERGE WA2612-AP-ML01

au MNO

ドコモ MNO/MVNO

Softbank MNO


2-11


! hostname WA2612-AP ! interface GigaEthernet0.0 no ip address no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile username [email protected] mobile password plain test mobile id IP (APN) mobile carrier auto auto-connect no shutdown ! ip route default MobileEthenret0.0 ! proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp !

■解説 ip address dhcp

DHCP を使用して IP アドレスを取得します。 ip tcp adjust-mss auto

TCP 通信の最大データ長を調整する mss を auto に設定します。 ip napt enable

NAPT 機能を有効化して、複数台の端末が同時にインターネット接続できるように設

定します。 mobile username [email protected] mobile username test mobile password plain test

PDP-Type、APN および通信事業者が指定するユーザ ID とパスワードを設定します。 CID は不要です。PDP-Type、APN は事業者毎に異なりますので、本書の付録をご覧頂

くか、通信事業者にご確認ください。 mobile carrier auto

接続する通信事業者を設定します。”auto”で通信事業者を自動判別しますが、au MVNO


2-12

の SIM を使用する場合は、 ”other” を選択してください。通信事業

者 ”docomo” ”au” ”softbank” を固定設定することもできます。


2-13

2.5. v6 プラス「固定 IP サービス」を RA の prefix 取得で常時接続を行う日本ネットワークイネイブラー株式会社（以下、JPNE 社）が提供する v6 プラス「固定 IPサービス」を利用して、IPv4 インターネットと IPv6 インターネットを同時に利用するた

めのインターネット接続設定を説明します。本設定により、端末から IPv6 及び IPv4 によ

るインターネットアクセスを行うことが可能です。本設定は、以下の環境を想定した設定例です。・IPv6 IPoE サービスで「ひかり電話契約」が無い場合です。ひかり電話契約が無い場

合、IPv6 IPoE 網からは「RA（Router Advertisement）」により IPv6 プレフィックスの

払い出しが行われます。・IPv4 通信は、固定 IP を１つ割り当てる接続です。・装置Ａは、JPNE 社からの RA によりインタフェース GE0.0 に IPv6 アドレスの prefix

が割り当てられます。ND-proxy 機能により GE1.0 配下 LAN が、割り当てられた prefixの端末として通信します。

・端末Ａは、装置Ａの RA により IPv6 アドレスを割り当てられます。・RA で割り当てる IPv6 アドレスは、JPNE 社から RA で割り当てられたグローバルア

ドレスです。 ■接続構成

インターネット IPv4 網

端末Ａ

GE0.0 GE1.0

RA による prefix 取得

IPv6 自動取得

装置Ａ

UNIVERGE WA2610-AP

DHCP による IPv4 自動取得

IPv4 自動取得

端末Ｂ

RA による IPv6 自動取得

IPv6 網 IPoE

BR (JPNE 社設備)


固定 IP

IPv4 over IPv6 トンネル

Interface-identifier ::beef:cafe:0001:0000

BR の IPv6 アドレス 2001:db8:0:1:100::1

IPv4 アドレス 10.1.1.2/32


2-14


・ IPv6 フィルタ設定・ stateless DHCPv6 クライアント設定・ stateless DHCPv6 サーバ設定・ DHCP サーバ設定・ WAN インタフェース（GE0）設定・ ND プロキシ設定・プロキシ DNS 設定・ LAN インタフェース（GE1）設定・ Tunnel0 インタフェース設定・ V6 プラス接続用 DDNS 設定・ルーティング設定

WA ルータの WAN 側インタフェース（GE0.0）に ND プロキシで IPv6 アドレスを自動設

定の取得先インタフェースを指定し、そのインタフェースの IPv6 アドレスを使用して

JPNE の BR（Border Relay）と IPv4 over IPv6 トンネルを設定します。本設定例には、JPNE 社指定の文字列もしくはアドレス情報を入力する必要がある箇所が

存在します。以下の表を参考に設定を行います。

V6 プラス接続必要パラメータ内容 url アップデートサーバの URL user ユーザ名 pass パスワード ipv6 interface-identifier インタフェース ID（GE1.0 設定） tunnel peer BR の IPv6 アドレス（Tunnel0.0 設定） ip address IPv4 グローバルアドレス（Tunnel0.0 設定）


2-15

■設定（コンフィグ作成バージョン：Ver8.1.3） [装置Ａ：WA2610-AP 設定]

! hostname WA2610-AP ! ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546 ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547 ipv6 access-list icmpv6-list permit icmp src any dest any ipv6 access-list tunnel-list permit 4 src any dest any ipv6 access-list block-list deny ip src any dest any ipv6 access-list dynamic dflt-list permit tcp src any sport any dest any dport any ipv6 access-list dynamic dflt-list permit udp src any sport any dest any dport any ipv6 access-list dynamic dflt-list permit icmp src any dest any ! ip dhcp-server enable ip dhcp-server profile lan default-gateway auto dns-server auto subnet-mask auto ! ipv6 dhcp-client profile dhcpv6-cl information-request option-request dns-servers ! ipv6 dhcp-server enable ! ipv6 dhcp-server profile dhcpv6-sv ! interface GigaEthernet0.0 no ip address ipv6 dhcp-client binding dhcpv6-cl ipv6 enable ipv6 nd proxy GigaEthernet1.0 receive-default ipv6 filter dhcpv6-list 1 in ipv6 filter icmpv6-list 2 in ipv6 filter tunnel-list 3 in ipv6 filter block-list 100 in ipv6 filter dhcpv6-list 1 out ipv6 filter icmpv6-list 2 out ipv6 filter tunnel-list 3 out ipv6 filter dflt-list 100 out no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.1/24 ip dhcp-server binding lan ipv6 dhcp-server binding dhcpv6-sv ipv6 interface-identifier::beef:cafe:0001:0000 ipv6 enable ipv6 nd send-ra ipv6 nd ra other-config-flag no shutdown ! interface Loopback0.0


2-16

ip address 127.0.0.1/8 no shutdown ! interface Tunnel0.0 description IPv4-over-IPv6 tunnel peer 2001:db8:0:1:100::1 tunnel source GigaEthernet1.0 ip address 10.1.1.2/32 ip tcp adjust-mss auto ip napt enable no shutdown ! ip route default Tunnel0.0 ! proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6 ! sntp-client enable ntp-server server dhcpv6 interface GigaEthernet0.0 ! ddns profile v6plus-update url http://xxxx.xxxxx.xx.xx/xxxxx query user=xxxxxxxxxxxx&pass=xxxxxxxxxxxx transport ipv6 source GigaEthernet1.0 ! ddns enable ddns account profile v6plus-update !

■解説 [装置Ａ：WA2610-AP 設定] ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546 ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547 ipv6 access-list icmpv6-list permit icmp src any dest any ipv6 access-list tunnel-list permit 4 src any dest any ipv6 access-list block-list deny ip src any dest any ipv6 access-list dynamic dflt-list permit tcp src any sport any dest any dport any ipv6 access-list dynamic dflt-list permit udp src any sport any dest any dport any ipv6 access-list dynamic dflt-list permit icmp src any dest any

外部からの不正アクセスを防ぐためフィルタを設定します。IPv6 の制御用通信以外は

動的フィルタで通信を制限します。 ip dhcp-server enable ip dhcp-server profile lan default-gateway auto dns-server auto subnet-mask auto

DHCP サーバ機能を有効にします。DHCP サーバ機能のプロファイルを作成します。 ipv6 dhcp-client profile dhcpv6-cl


2-17

information-request option-request dns-servers

stateless DHCPv6 クライアントプロファイルを作成し、DHCPv6 サーバから取得する

情報（dns サーバ）を設定します。 ipv6 dhcp-server enable

DHCPv6 サーバ機能を有効にします。 ipv6 dhcp-server profile dhcpv6-sv

stateless DHCPv6 サーバ機能のプロファイルを作成します。 interface GigaEthernet0.0 ipv6 dhcp-client binding dhcpv6-cl

stateless DHCPv6 クライアントのプロファイルを指定します。 ipv6 enable

IPv6 を有効化します。 ipv6 nd proxy GigaEthernet1.0 receive-default

ND プロキシを動作させ、適用インタフェース指定およびデフォルトルートを取得する

設定を行います。 ipv6 tcp adjust-mss auto

TCP セッション確立時の MSS 値の設定を行います。 ipv6 filter dhcpv6-list 1 in ipv6 filter icmpv6-list 2 in ipv6 filter tunnel-list 3 in ipv6 filter block-list 100 in ipv6 filter dhcpv6-list 1 out ipv6 filter icmpv6-list 2 out ipv6 filter tunnel-list 3 out ipv6 filter dflt-list 100 out

外部からの不正アクセス対応のフィルタ指定と動的フィルタを設定します。 interface GigaEthernet1.0 ip address 192.168.1.1/24 ip dhcp-server binding lan

GE1.0 の IP アドレスを設定します。また配下端末に配信する DHCP サーバのプロフ

ァイルを指定します。 ipv6 interface-identifier::beef:cafe:0001:0000

JPNE 社から提示された IPv6 のインタフェース ID を指定します。 ipv6 dhcp-server binding dhcpv6-sv ipv6 enable ipv6 nd send-ra ipv6 nd ra other-config-flag

DHCPv6 クライアントから取得した DNS サーバの設定とプレフィックスを LAN 配下

の端末に配信します。RA 配信時に O フラグをセットすることで DNS サーバのアドレ

スを自動設定させることが可能です。 interface Tunnel0.0 tunnel peer 2001:db8:0:1:100::1


2-18

IPv4 over IPv6 トンネルの接続先（BR）の設定を行います。 tunnel source GigaEthernet1.0

IPv4 over IPv6 トンネルの送信元の設定を行います。 ip address 10.1.1.2/32

JPNE 社から提示されたグローバル固定 IP アドレスの設定を行います。 ip tcp adjust-mss auto

TCP セッション確立時の MSS 値の設定を行います。 ip napt enable

LAN側端末の IPアドレスをグローバル IPアドレスに変換するNAPT設定を行います。 ip route default Tunnel0.0

IPv4 通信のデフォルトルートを設定します。 proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6

IPv4/IPv6 のプロキシ DNS の設定を有効化します。また、使用する DNS サーバを指定

します。 ddns profile v6plus-update url http://xxxx.xxxxx.xx.xx/xxxxx

V6 プラスの DDNS のアップデート先の URL を指定します。 query user=xxxxxxxxxxxx&pass=xxxxxxxxxxxx

接続時のユーザ名、パスワードの設定を行います。 transport ipv6

DDNS アップデートに使用する通信プロトコルの設定を行います。 source GigaEthernet1.0

アップデートのソースアドレスとなるインタフェースを指定します。 ddns enable ddns account profile v6plus-update

DDNS を有効化します。有効にするプロファイルを指定します。


2-19

2.6. v6 プラス「固定 IP サービス」を DHCPv6-PD で常時接続を行う IPv6 IPoE サービスで「ひかり電話契約」が有りの場合の設定例を紹介します。ひかり電話

契約有り場合、IPv6 IPoE 網からは「DHCPv6-PD」により IPv6 プレフィックスの払い出

しが行われます。なお、ひかり電話契約有りの場合でも、ひかり電話対応機器（ひかり電話ルータ／ホーム

ゲートウェイなど）の LAN ポートに WA シリーズを接続する場合には、設定例 2.5.の RAの prefix 取得での設定をご利用ください。以下は DHCPv6-PD による IPv4 インターネット

と IPv6 インターネットを同時に利用するためのインターネット接続設定を説明します。本設定は、以下の環境を想定した設定例です。・IPv6 IPoE サービスで「ひかり電話契約」が有りの場合です。・IPv4 通信は、固定 IP を１つ割り当てる接続です。・装置Ａは、JPNE 社からの DHCPv6-PD により、IPv6 アドレスの prefix が割り当てら

れます。DHCPv6 の prefix の再配付機能により、GE1.0 配下 LAN が、割り当てられた

prefix の端末として通信します。・端末Ａは、装置Ａの RA により IPv6 アドレスを割り当てられます。・RA で割り当てる IPv6 アドレスは、JPNE 社から DHCPv6-PD で割り当てられたグロ

ーバルアドレスです。 ■接続構成


端末Ａ

GE0.0 GE1.0

DHCPv6-PD による prefix 取得

IPv6 自動取得

装置Ａ

UNIVERGE WA2610-AP


IPv4 自動取得

端末Ｂ

RAによる IPv6自動取得

IPv6 網 IPoE

BR (JPNE 社設備)


固定 IP


Interface-identifier ::beef:cafe:0001:0000

BR の IPv6 アドレス 2001:db8:0:1:100::1

IPv4 アドレス 10.1.1.2/32


2-20


・ IPv6 フィルタ設定・ DHCPv6-PD クライアント設定・プレフィックスデリゲーションプロファイルの設定・ stateless DHCPv6 サーバ設定・ DHCP サーバ設定・ WAN インタフェース(GE0)設定・ ND プロキシ設定・プロキシ DNS 設定・ LAN インタフェース（GE1）設定・ Tunnel0 インタフェース設定・ V6 プラス接続用 DDNS 設定・ルーティング設定

WA ルータの WAN 側インタフェース（GE0.0）に DHCPv6-PD クライアントで IPv6 のプ

レフィックスを取得する設定を行い、取得したプレフィックスの割り当てを LAN インタフ

ェースに指定し、そのインタフェースの IPv6 アドレスを使用して JPNE の BR（Border Relay）と IPv4 over IPv6 トンネルを設定します。本設定例には、JPNE 社指定の文字列もしくはアドレス情報を入力する必要がある箇所が

存在します。以下の表を参考に設定を行います。

V6 プラス接続必要パラメータ内容 url アップデートサーバの URL user ユーザ名 pass パスワード ipv6 interface-identifier インタフェース ID（GE1.0 設定） tunnel peer BR の IPv6 アドレス（Tunnel0.0 設定） ip address IPv4 グローバルアドレス（Tunnel0.0 設定）


2-21


! hostname WA2610-AP ! ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546 ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547 ipv6 access-list icmpv6-list permit icmp src any dest any ipv6 access-list tunnel-list permit 4 src any dest any ipv6 access-list block-list deny ip src any dest any ipv6 access-list dynamic dflt-list permit tcp src any sport any dest any dport any ipv6 access-list dynamic dflt-list permit udp src any sport any dest any dport any ipv6 access-list dynamic dflt-list permit icmp src any dest any ! ip dhcp-server enable ip dhcp-server profile lan default-gateway auto dns-server auto subnet-mask auto ! ipv6 dhcp-client profile dhcpv6-cl option-request dns-servers ia-option ia-pd ! ipv6 dhcp-server enable ! ipv6 dhcp-server profile dhcpv6-sv ! ipv6 prefix-delegation profile pd6-prof source-interface GigaEthernet0.0 ::beef:cafe:0001:0000 ! interface GigaEthernet0.0 no ip address ipv6 dhcp-client binding dhcpv6-cl ipv6 enable ipv6 filter dhcpv6-list 1 in ipv6 filter icmpv6-list 2 in ipv6 filter tunnel-list 3 in ipv6 filter block-list 100 in ipv6 filter dhcpv6-list 1 out ipv6 filter icmpv6-list 2 out ipv6 filter tunnel-list 3 out ipv6 filter dflt-list 100 out no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.1/24 ip dhcp-server binding lan ipv6 dhcp-server binding dhcpv6-sv ipv6 address pd-profile pd6-prof ipv6 enable ipv6 nd ra other-config-flag ipv6 nd send-ra no shutdown


2-22

! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Tunnel0.0 description IPv4-over-IPv6 tunnel peer 2001:db8:0:1:100::1 tunnel source GigaEthernet1.0 ip address 10.1.1.2/32 ip tcp adjust-mss auto ip napt enable no shutdown ! ip route default Tunnel0.0 ! ipv6 route default dhcpv6 GigaEthernet0.0 ! proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6 ! sntp-client enable ntp-server server dhcpv6 interface GigaEthernet0.0 ! ddns profile v6plus-update url http://xxxx.xxxxx.xx.xx/xxxxx query user=xxxxxxxxxxxx&pass=xxxxxxxxxxxx transport ipv6 source GigaEthernet1.0 ! ddns enable ddns account profile v6plus-update !



動的フィルタで通信を制限します。 ip dhcp-server enable ip dhcp-server profile lan default-gateway auto dns-server auto


2-23

subnet-mask auto DHCP サーバ機能を有効にします。DHCP サーバ機能のプロファイルを作成します。

ipv6 dhcp-client profile dhcpv6-cl option-request dns-servers ia-option ia-pd

DHCPv6-PD クライアントプロファイルを作成し、DHCPv6-PD サーバから取得する

prefix を取得し、option 情報(dns サーバ)取得を設定します。 ipv6 dhcp-server enable


stateless DHCPv6 サーバ機能のプロファイルを作成します。 ipv6 prefix-delegation profile pd6-prof source-interface GigaEthernet0.0 ::beef:cafe:0001:0000

プレフィックスデリゲーションプロファイルを作成します。DHCPv6-PD で使用する

インタフェースのインタフェース ID を設定します。 interface GigaEthernet0.0 ipv6 dhcp-client binding dhcpv6-cl

DHCPv6-PD クライアントのプロファイルを指定します。 ipv6 enable

IPv6 を有効化します。 ipv6 filter dhcpv6-list 1 in ipv6 filter icmpv6-list 2 in ipv6 filter tunnel-list 3 in ipv6 filter block-list 100 in ipv6 filter dhcpv6-list 1 out ipv6 filter icmpv6-list 2 out ipv6 filter tunnel-list 3 out ipv6 filter dflt-list 100 out



ァイルを指定します。 ipv6 dhcp-server binding dhcpv6-sv ipv6 address pd-profile pd6-prof

stateless DHCPv6 サーバの割り当てと DHCPv6-PD で取得した prefix を割り当てるデ

リゲーションプロファイルを割り当てます。 ipv6 enable

IPv6 を有効化します。 ipv6 nd ra other-config-flag ipv6 nd send-ra


2-24



スを自動設定させることが可能です。 interface Tunnel0.0 tunnel peer 2001:db8:0:1:100::1

IPv4 over IPv6 トンネルの接続先の設定を行います。 tunnel source GigaEthernet1.0

IPv4 over IPv6 トンネルの送信元の設定を行います。 ip address 10.1.1.2/32

JPNE 社から提示されたグローバル固定 IP アドレスの設定を行います。 ip tcp adjust-mss auto

TCP セッション確立時の MSS 値の設定を行います。 ip napt enable

LAN側端末の IPアドレスをグローバル IPアドレスに変換するNAPT設定を行います。 ip route default Tunnel0.0

IPv4 通信のデフォルトルートを設定します。 ipv6 route default dhcpv6 GigaEthernet0.0


IPv4/IPv6 のプロキシ DNS の設定を有効化します。また、使用する DNS サーバを指定

します。 ddns profile v6plus-update url http://xxxx.xxxxx.xx.xx/xxxxx

V6 プラスの DDNS のアップデート先の URL を指定します。 query user=xxxxxxxxxxxx&pass=xxxxxxxxxxxx

接続時のユーザ名、パスワードの設定を行います。 transport ipv6

DDNS アップデートに使用する通信プロトコルの設定を行います。 source GigaEthernet1.0

アップデートのソースアドレスとなるインタフェースを指定します。 ddns enable ddns account profile v6plus-update

DDNS を有効化します。有効にするプロファイルを指定します。


2-25

2.7. DS-Lite を使用した RA の prefix 取得で常時接続を行う IPv4 over IPv6 トンネリング技術の 1 つである DS-Lite を利用して、IPv4 インターネット

と IPv6 インターネットを同時に利用するためのインターネット接続設定を説明します。本

設定により、端末から IPv6 及び IPv4 によるインターネットアクセスを行うことが可能で

す。本設定は、以下の環境を想定した設定例です。・IPv6 IPoE サービスで「ひかり電話契約」が無い場合です。ひかり電話契約が無い場

合、IPv6 IPoE 網からは「RA（Router Advertisement）」により IPv6 プレフィックスの

払い出しが行われます。・装置Ａは、DS-Lite を使用するキャリアからの RA によりインタフェース GE0.0 に IPv6

アドレスの prefix が割り当てられます。ND-Proxy 機能により GE1.0 配下 LAN が、割

り当てられた prefix の端末として通信します。その IPv6 アドレスを使用して指定の

AFTR（Address Family Transition Router）と IPv4 over IPv6 トンネルを設定します。・端末Ａは、装置Ａの RA により IPv6 アドレスを割り当てられます。・RA で割り当てる IPv6 アドレスは、通信事業者から RA で割り当てられたグローバル

アドレスです。・装置Ａの IPv4 アドレスは、任意の IP アドレスを設定します。IPv4 通信は、網側でア

ドレス変換（CGNAT）されますので、装置Ａでの NAPT 設定も不要です。 ■接続構成


端末Ａ

GE0.0 GE1.0

RA による prefix 取得

IPv6 自動取得

装置Ａ

UNIVERGE WA2610-AP


IPv4 自動取得

端末Ｂ


IPv6 網 IPoE

AFTR


固定 IP


AFTR のドメイン名 AFTR.DOMAIN.NAME

IPv4 アドレス 192.168.1.1/24


2-26


・ IPv6 フィルタ設定・ stateless DHCPv6 クライアント設定・ stateless DHCPv6 サーバ設定・ DHCP サーバ設定・ WAN インタフェース（GE0）設定・ ND プロキシ設定・プロキシ DNS 設定・ LAN インタフェース（GE1）設定・ Tunnel0 インタフェース設定・ルーティング設定

WA ルータの WAN 側インタフェース（GE0.0）に ND プロキシで IPv6 アドレスを自動設

定の取得先インタフェースを指定し、そのインタフェースの IPv6 アドレスを使用して

AFTR と IPv4 over IPv6 トンネルを設定します。 ■設定（コンフィグ作成バージョン：Ver8.1.4） [装置Ａ：WA2610-AP 設定]

! hostname WA2610-AP ! ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546 ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547 ipv6 access-list icmpv6-list permit icmp src any dest any ipv6 access-list tunnel-list permit 4 src any dest any ipv6 access-list block-list deny ip src any dest any ipv6 access-list dynamic dflt-list permit tcp src any sport any dest any dport any ipv6 access-list dynamic dflt-list permit udp src any sport any dest any dport any ipv6 access-list dynamic dflt-list permit icmp src any dest any ! ip dhcp-server enable ip dhcp-server profile lan default-gateway auto dns-server auto subnet-mask auto ! ipv6 dhcp-client profile dhcpv6-cl information-request option-request dns-servers ! ipv6 dhcp-server enable ! ipv6 dhcp-server profile dhcpv6-sv ! interface GigaEthernet0.0


2-27

no ip address ipv6 dhcp-client binding dhcpv6-cl ipv6 enable ipv6 nd proxy GigaEthernet1.0 receive-default ipv6 filter dhcpv6-list 1 in ipv6 filter icmpv6-list 2 in ipv6 filter tunnel-list 3 in ipv6 filter block-list 100 in ipv6 filter dhcpv6-list 1 out ipv6 filter icmpv6-list 2 out ipv6 filter tunnel-list 3 out ipv6 filter dflt-list 100 out no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.1/24 ip dhcp-server binding lan ipv6 dhcp-server binding dhcpv6-sv ipv6 enable ipv6 nd send-ra ipv6 nd ra other-config-flag no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Tunnel0.0 description IPv4-over-IPv6 tunnel peer AFTR.DOMAIN.NAME ipv6 tunnel source GigaEthernet1.0 ip address unnumbered GigaEthernet1.0 ip tcp adjust-mss auto no shutdown ! ip route default Tunnel0.0 ! proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6 !




2-28


DHCP サーバ機能を有効にします。DHCP サーバ機能のプロファイルを作成します。 ipv6 dhcp-client profile dhcpv6-cl information-request option-request dns-servers

stateless DHCPv6 クライアントプロファイルを作成し、DHCPv6 サーバから取得する

情報（DNS サーバ）を設定します。 ipv6 dhcp-server enable


stateless DHCPv6 サーバ機能のプロファイルを作成します。 interface GigaEthernet0.0 ipv6 dhcp-client binding dhcpv6-cl

stateless DHCPv6 クライアントのプロファイルを指定します。 ipv6 enable

IPv6 を有効化します。 ipv6 nd proxy GigaEthernet1.0 receive-default

ND プロキシを動作させ、適用インタフェース指定およびデフォルトルートを取得する

設定を行います。 ipv6 tcp adjust-mss auto

TCP セッション確立時の MSS 値の設定を行います。 ipv6 filter dhcpv6-list 1 in ipv6 filter icmpv6-list 2 in ipv6 filter tunnel-list 3 in ipv6 filter block-list 100 in ipv6 filter dhcpv6-list 1 out ipv6 filter icmpv6-list 2 out ipv6 filter tunnel-list 3 out ipv6 filter dflt-list 100 out



ァイルを指定します。 ipv6 dhcp-server binding dhcpv6-sv ipv6 enable


2-29

ipv6 nd send-ra ipv6 nd ra other-config-flag



スを自動設定させることが可能です。 interface Tunnel0.0 tunnel peer AFTR.DOMAIN.NAME ipv6

IPv4 over IPv6 トンネルの接続先（AFTR）の設定を FQDN で行います。 tunnel source GigaEthernet1.0

IPv4 over IPv6 トンネルの送信元の設定を行います。 ip address unnumbered GigaEthernet1.0

IP アドレスの設定を GigaEthernet1.0 インタフェースの unnumbered で指定します。 ip tcp adjust-mss auto

TCP セッション確立時の MSS 値の設定を行います。 ip route default Tunnel0.0

IPv4 通信のデフォルトルートを設定します。 proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6 IPv6 のプロキシ DNS の設定を有効化します。また、使用する DNS サーバを指定します。


2-30

2.8. DS-Lite を使用して DHCPv6-PD で常時接続を行う IPv6 IPoE サービスで「ひかり電話契約」が有りの場合の設定例を紹介します。ひかり電話

契約有り場合、IPv6 IPoE 網からは「DHCPv6-PD」により IPv6 プレフィックスの払い出

しが行われます。なお、ひかり電話契約有りの場合でも、ひかり電話対応機器（ひかり電話ルータ／ホーム

ゲートウェイなど）の LAN ポートに WA シリーズを接続する場合には、設定例 2.7.の RAの prefix 取得での設定をご利用ください。以下は DHCPv6-PD による IPv4 インターネット

と IPv6 インターネットを同時に利用するためのインターネット接続設定を説明します。本設定は、以下の環境を想定した設定例です。・IPv6 IPoE サービスで「ひかり電話契約」が有りの場合です。・装置Ａは、通信事業者からの DHCPv6-PD により、IPv6 アドレスの prefix が割り当て

られます。DHCPv6 の prefix の再配付機能により、GE1.0 配下 LAN が、割り当てられ

た prefix の端末として通信します。・端末Ａは、装置Ａの RA により IPv6 アドレスを割り当てられます。・RA で割り当てる IPv6 アドレスは、通信事業者から DHCPv6-PD で割り当てられたグ

ローバルアドレスです。・装置Ａの IPv4 アドレスは、任意の IP アドレスを設定します。IPv4 通信は、網側でア

ドレス変換（CGNAT）されますので、装置Ａでの NAPT 設定も不要です。 ■接続構成


端末Ａ

GE0.0 GE1.0

DHCPv6-PD による prefix 取得

IPv6 自動取得

装置Ａ

UNIVERGE WA2610-AP


IPv4 自動取得

端末Ｂ


IPv6 網 IPoE

AFTR


固定 IP


AFTR のドメイン名 AFTR.DOMAIN.NAME

IPv4 アドレス 192.168.1.1/24


2-31


・ IPv6 フィルタ設定・ DHCPv6-PD クライアント設定・プレフィックスデリゲーションプロファイルの設定・ stateless DHCPv6 サーバ設定・ DHCP サーバ設定・ WAN インタフェース（GE0）設定・ ND プロキシ設定・プロキシ DNS 設定・ LAN インタフェース（GE1）設定・ Tunnel0 インタフェース設定・ルーティング設定

WA ルータの WAN 側インタフェース（GE0.0）に DHCPv6-PD クライアントで IPv6 のプ

レフィックスを取得する設定を行い、取得したプレフィックスの割り当てを LAN インタフ

ェースに指定し、そのインタフェースの IPv6 アドレスを使用して AFTR と IPv4 over IPv6トンネルを設定します。 ■設定（コンフィグ作成バージョン：Ver8.1.4） [装置Ａ：WA2610-AP 設定]

! hostname WA2610-AP ! ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546 ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547 ipv6 access-list icmpv6-list permit icmp src any dest any ipv6 access-list tunnel-list permit 4 src any dest any ipv6 access-list block-list deny ip src any dest any ipv6 access-list dynamic dflt-list permit tcp src any sport any dest any dport any ipv6 access-list dynamic dflt-list permit udp src any sport any dest any dport any ipv6 access-list dynamic dflt-list permit icmp src any dest any ! ip dhcp-server enable ip dhcp-server profile lan default-gateway auto dns-server auto subnet-mask auto ! ipv6 dhcp-client profile dhcpv6-cl option-request dns-servers ia-option ia-pd ! ipv6 dhcp-server enable ! ipv6 dhcp-server profile dhcpv6-sv


2-32

! ipv6 prefix-delegation profile pd6-prof source-interface GigaEthernet0.0 ::beef:cafe:0001:0000 ! interface GigaEthernet0.0 no ip address ipv6 dhcp-client binding dhcpv6-cl ipv6 enable ipv6 filter dhcpv6-list 1 in ipv6 filter icmpv6-list 2 in ipv6 filter tunnel-list 3 in ipv6 filter block-list 100 in ipv6 filter dhcpv6-list 1 out ipv6 filter icmpv6-list 2 out ipv6 filter tunnel-list 3 out ipv6 filter dflt-list 100 out no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.1/24 ip dhcp-server binding lan ipv6 dhcp-server binding dhcpv6-sv ipv6 address pd-profile pd6-prof ipv6 enable ipv6 nd ra other-config-flag ipv6 nd send-ra no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Tunnel0.0 description IPv4-over-IPv6 tunnel peer AFTR.DOMAIN.NAME ipv6 tunnel source GigaEthernet1.0 ip address unnumbered GigaEthernet1.0 ip tcp adjust-mss auto no shutdown ! ip route default Tunnel0.0 ! ipv6 route default dhcpv6 GigaEthernet0.0 ! proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6 !

■解説 [装置Ａ：WA2610-AP 設定] ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546 ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547 ipv6 access-list icmpv6-list permit icmp src any dest any


2-33

ipv6 access-list tunnel-list permit 4 src any dest any ipv6 access-list block-list deny ip src any dest any ipv6 access-list dynamic dflt-list permit tcp src any sport any dest any dport any ipv6 access-list dynamic dflt-list permit udp src any sport any dest any dport any ipv6 access-list dynamic dflt-list permit icmp src any dest any



DHCP サーバ機能を有効にします。DHCP サーバ機能のプロファイルを作成します。 ipv6 dhcp-client profile dhcpv6-cl option-request dns-servers ia-option ia-pd

DHCPv6-PD クライアントプロファイルを作成し、DHCPv6-PD サーバから取得する

prefix を取得し、option 情報（DNS サーバ）取得を設定します。 ipv6 dhcp-server enable


stateless DHCPv6 サーバ機能のプロファイルを作成します。 ipv6 prefix-delegation profile pd6-prof source-interface GigaEthernet0.0 ::beef:cafe:0001:0000

プレフィックスデリゲーションプロファイルを作成します。DHCPv6-PD で使用する

インタフェースのインタフェース ID を設定します。 interface GigaEthernet0.0 ipv6 dhcp-client binding dhcpv6-cl


IPv6 を有効化します。 ipv6 filter dhcpv6-list 1 in ipv6 filter icmpv6-list 2 in ipv6 filter tunnel-list 3 in ipv6 filter block-list 100 in ipv6 filter dhcpv6-list 1 out ipv6 filter icmpv6-list 2 out ipv6 filter tunnel-list 3 out ipv6 filter dflt-list 100 out

外部からの不正アクセス対応のフィルタ指定と動的フィルタを設定します。 interface GigaEthernet1.0 ip address 192.168.1.1/24


2-34

ip dhcp-server binding lan GE1.0 の IP アドレスを設定します。また配下端末に配信する DHCP サーバのプロフ

ァイルを指定します。 ipv6 dhcp-server binding dhcpv6-sv ipv6 address pd-profile pd6-prof

stateless DHCPv6 サーバの割り当てと DHCPv6-PD で取得した prefix を割り当てるデ

リゲーションプロファイルを割り当てます。 ipv6 enable

IPv6 を有効化します。 ipv6 nd ra other-config-flag ipv6 nd send-ra



スを自動設定させることが可能です。 interface Tunnel0.0 tunnel peer AFTR.DOMAIN.NAME ipv6

IPv4 over IPv6 トンネルの接続先（AFTR）の設定を FQDN で行います。 tunnel source GigaEthernet1.0

IPv4 over IPv6 トンネルの送信元の設定を行います。 ip address unnumbered GigaEthernet1.0

IP アドレスの設定を GigaEthernet1.0 インタフェースの unnumbered で行います。 ip tcp adjust-mss auto

TCP セッション確立時の MSS 値の設定を行います。 ip route default Tunnel0.0

IPv4 通信のデフォルトルートを設定します。 ipv6 route default dhcpv6 GigaEthernet0.0


IPv6 のプロキシ DNS の設定を有効化します。また、使用する DNS サーバを指定しま

す。

IPv4 設定

3-1

3. IPv4 設定 3.1. 複数の経路情報を設定する LAN 間を接続するローカルルータの設定を説明します。 ■接続構成


・ GigaEthernet0.0インタフェース設定・ GigaEthernet1.0インタフェース設定・ルーティング設定


! hostname WA1510 ! no wireless-adapter enable ! interface GigaEthernet0.0 ip address 192.168.3.254/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! ip route default 192.168.3.253 ip route 192.168.1.0/24 192.168.2.253 !

192.168.2.0/24

GE1.0 インターネット

サービスプロバイダ装置Ａ

GE0.0

192.168.1.0/24 192.168.3.0/24

ルータＢ

ルータＡ

.254 .254 .253

.253 UNIVERGE

WA1510

IPv4 設定

3-2

■解説 interface GigaEthernet0.0 ip address 192.168.3.254/24 no shutdown

インタフェース GigaEthernet0.0 に IP アドレス”192.168.3.254/24”を設定します。 interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown

インタフェース GigaEthernet1.0 に IP アドレス”192.168.2.254/24”を設定します。 ip route default 192.168.3.253

デフォルトルートを IP アドレス”192.168.3.253”とします。宛先がルートテーブルに無

いパケットは全てデフォルトルートに転送します。 ip route 192.168.1.0/24 192.168.2.253

宛先が”192.168.1.0/24”ネットワークのパケットは IP アドレス”192.168.2.253”に転送

します。

IPv6 設定

4-1

4. IPv6 設定 4.1. PPPoEv6 を使用して常時接続を行う IPv6 のルータモードにおける基本的な PPPoEv6 設定を説明します。本設定により、端末

から IPv6 によるインターネットアクセスを行うことが可能です。本設定は、以下の環境を想定した設定例です。・ISP と PPPoE 接続した装置Ａは、DHCP-PD によりインタフェース GE1.0 に IPv6 アド

レスが割り当てられます。・端末Ａは、装置Ａの RA により IPv6 アドレスを割り当てられます。・RA で割り当てる IPv6 アドレスは、DHCP-PD によって ISP から割り当てられたグロー

バルアドレスです。 ■接続構成


・ PPP プロファイル設定・ IPv6 フィルタ設定・ DHCPv6-PD クライアント設定・ PPPoE インタフェース設定・物理インタフェース（GE0）設定・プロキシ DNS 設定・ stateless DHCPv6 サーバ設定・ LAN インタフェース（GE1）設定・ルーティング設定



端末Ａ

PPPoE0 GE1.0

DHCP-PD による自動取得

自動取得

装置Ａ

UNIVERGE WA2610-AP

RA による自動取得

IPv6 設定

4-2


! hostname WA2610-AP ! ipv6 access-list fw-lst deny ip src any dest any ipv6 access-list dhcp-lst permit udp src any sport any dest any dport eq 546 ipv6 access-list dhcp-lst permit udp src any sport eq 546 dest any dport any ipv6 access-list ndp-lst permit icmp src any dest any ipv6 access-list dynamic ok-lst permit icmp src any dest any ipv6 access-list dynamic ok-lst permit tcp src any sport any dest any dport any ipv6 access-list dynamic ok-lst permit udp src any sport any dest any dport any ! ppp profile test authentication username [email protected] authentication password plain test ! ! ipv6 dhcp-client profile test-cl option-request dns-servers ia-option ia-pd ! ipv6 dhcp-server enable ! ipv6 dhcp-server profile test-sv ! ipv6 prefix-delegation profile default source-interface PPPoE0 ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 no ip address ipv6 dhcp-server binding test-sv ipv6 address pd-profile default ipv6 enable ipv6 nd ra other-config-flag ipv6 nd send-ra no shutdown ! interface PPPoE0 no ip address ipv6 dhcp-client binding test-cl ipv6 enable ipv6 tcp adjust-mss auto ppp profile test auto-connect ipv6 filter ndp-lst 1 in ipv6 filter dhcp-lst 2 in ipv6 filter fw-lst 10 in ipv6 filter ok-lst 1 out

IPv6 設定

4-3

ipv6 filter ndp-lst 2 out ipv6 filter dhcp-lst 3 out no shutdown ! ipv6 route default PPPoE0 ! proxy-dns ipv6 enable proxy-dns server default PPPoE0 dhcpv6 !

■解説 [装置Ａ：WA2610-AP 設定] ipv6 access-list fw-lst deny ip src any dest any ipv6 access-list dhcp-lst permit udp src any sport any dest any dport eq 546 ipv6 access-list dhcp-lst permit udp src any sport eq 546 dest any dport any ipv6 access-list ndp-lst permit icmp src any dest any ipv6 access-list dynamic ok-lst permit icmp src any dest any ipv6 access-list dynamic ok-lst permit tcp src any sport any dest any dport any ipv6 access-list dynamic ok-lst permit udp src any sport any dest any dport any 外部からの不正アクセスを防ぐためフィルタを設定します。IPv6 の制御用通信以外は動的

フィルタで通信を制限します。 ppp profile test authentication username [email protected] authentication password plain test

PPP プロファイル”test”を作成し、通信事業者が指定するユーザ ID とパスワードを設

定します。 ipv6 dhcp-client profile test-cl option-request dns-servers ia-option ia-pd

DHCPv6-PD クライアントプロファイルを作成し、DHCPv6-PD サーバから取得する情

報(dns サーバ)を設定します。 ipv6 dhcp-server enable

DHCP サーバ機能を有効にします。 ipv6 dhcp-server profile test-sv

stateless DHCP サーバ機能のプロファイルを作成します。 ipv6 prefix-delegation profile default source-interface PPPoE0

DHCPv6-PD サーバから取得した prefix 情報を GE1.0 へ割り当てるためのプロファイ

ル設定を行います。

IPv6 設定

4-4

interface GigaEthernet0.0 encapsulation PPPoE0

PPPoE インタフェースを割り当てる設定を行います。 interface GigaEthernet1.0 ipv6 dhcp-server binding test-sv ipv6 address pd-profile default ipv6 enable ipv6 nd ra other-config-flag ipv6 nd send-ra

DHCPv6 クライアントから取得した DNS サーバの設定とプレフィックスを LAN 配下の端末に配信します。RA 配信時に O フラグをセットすることで DNS サーバのア

ドレスを自動設定させることが可能です。 interface PPPoE0

PPPoE インタフェースを作成します。 ipv6 dhcp-client binding test-cl


IPv6 を有効化します。 ipv6 tcp adjust-mss auto

TCP セッション確立時の MSS 値の設定を行います。 ppp profile test

PPP プロファイルを適用します。 ipv6 filter ndp-lst 1 in ipv6 filter dhcp-lst 2 in ipv6 filter fw-lst 10 in ipv6 filter ok-lst 1 out ipv6 filter ndp-lst 2 out ipv6 filter dhcp-lst 3 out

外部からの不正アクセス対応のフィルタ指定と動的フィルタを設定します。 ipv6 route default PPPoE0

デフォルトルートを設定します。 proxy-dns ipv6 enable proxy-dns server default PPPoE0 dhcpv6

IPv6 プロキシ DNS の設定を有効化します。

IPv6 設定

4-5

4.2. RA 方式を使用して常時接続を行う IPv6 網接続方式の RA（Router Advertisement）方式の設定例を説明します。IPv6 網から、

RA により Prefix を取得して IPv6 アドレスを登録します。LAN 側は、L2 トンネル機能の

EtherIP を使用して、IPv6 網を経由した L2VPN 通信の設定例として説明をします。 ■接続構成

■設定概要以下の設定を行います。・ IKE プロポーザルの設定・ IKE ポリシーの設定・ IPsec プロポーザルの設定・ IPsec ポリシーの設定・ IPsec プロファイルの設定・ IPsec インタフェースの設定・ルーティングの設定・ IPv6 フィルタの設定・ WAN 側インタフェースの設定・ブリッジの設定・ EtherIP インタフェースの設定・ DNS サーバの設定・ Dynamic DNS の設定(装置 B) ・ Dynamic DNS サービスの登録確認

GE1

.1

端末1

172.16.1.0/24

装置Ａ

GE0

GE0

WAN

WAN

装置Ｂ

装置Ｂ GE0: 2001:db8:1:0:cafe::1/64 DNSサーバ:2001:db8:0:0:abc::1

固定IPv6 RA受信

インターネット

サービスプロバイダ

暗号 : AES(256bit) 認証 : SHA2 DH-group : 1024bit

EtherIP over IPsec(IPv6)

172.16.1.0/24

.2

端末2

GE1

DDNS サービス：DDNS.example.jp username：user password：passwd FQDN:c.DDNS.example.jp

EtherIP 接続の対向 loopback インタフェース装置Ａ：192.168.1.1/32 装置Ｂ：192.168.1.2/32

UNIVERGE WA2610-AP

UNIVERGE WA1510

IPv6 設定

4-6


! no password encrypted ! hostname WA1510 ! ipv6 access-list fw-lst deny ip src any dest any ipv6 access-list ndp-lst permit icmp src any dest any ipv6 access-list sec-lst permit 50 src any dest any ipv6 access-list sec-lst permit udp src any sport eq 500 dest any dport eq 500 ! bridge ieee enable ! interface GigaEthernet0.0 no ip address ipv6 enable ipv6 address autoconfig receive-default ipv6 tcp adjust-mss auto ipv6 filter ndp-lst 1 in ipv6 filter sec-lst 2 in ipv6 filter fw-lst 10 in ipv6 filter ndp-lst 1 out ipv6 filter sec-lst 2 out ipv6 filter fw-lst 10 out no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface Loopback0.0 ip address 192.168.1.1/32 no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsecprof1 no shutdown ! interface EtherIP0 bridge ieee 1 bridge ip tcp adjust-mss 1330 ether-ip peer 192.168.1.2 ether-ip source 192.168.1.1 no shutdown ! ip route 192.168.1.2/32 IPsec0 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800

IPv6 設定

4-7

dh-group 1024-bit ! ike policy ikepol1 mode aggressive local-id key-id wa1500 dpd-keepalive enable ph1 20 3 proposal ikeprop1 pre-shared-key plain hogehoge ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 2001:db8:a:0::1/128 remote-id 2001:db8:1:0:cafe::1/128 proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer c.DDNS.example.jp ipv6 ! ipv6 name-server 2001:db8:0:0:abc::1 !

[装置Ｂ：WA2610-AP 設定]

! no password encrypted ! hostname WA2600 ! ipv6 access-list fw-lst deny ip src any dest any ipv6 access-list ndp-lst permit icmp src any dest any ipv6 access-list sec-lst permit 50 src any dest any ipv6 access-list sec-lst permit udp src any sport eq 500 dest any dport eq 500 ! bridge ieee enable ! interface GigaEthernet0.0 no ip address ipv6 enable ipv6 address 2001:db8:1:0:cafe::1/64 ipv6 tcp adjust-mss auto ipv6 filter ndp-lst 1 in ipv6 filter sec-lst 2 in ipv6 filter fw-lst 10 in ipv6 filter ndp-lst 1 out ipv6 filter sec-lst 2 out ipv6 filter fw-lst 10 out

IPv6 設定

4-8

no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface Loopback0.0 ip address 192.168.1.2/32 no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsecprof1 no shutdown ! interface EtherIP0 bridge ieee 1 bridge ip tcp adjust-mss 1330 ether-ip peer 192.168.1.1 ether-ip source 192.168.1.2 no shutdown ! ip route 192.168.1.1/32 IPsec0 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 dh-group 1024-bit ! ike policy ikepol1 mode aggressive remote-id key-id wa1500 dpd-keepalive enable ph1 20 3 proposal ikeprop1 pre-shared-key plain hogehoge ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 2001:db8:1:0:cafe::1/128 remote-id 2001:db8:a:0::1/128 proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1

IPv6 設定

4-9

ike policy ikepol1 source GigaEthernet0.0 peer any ipv6 ! ipv6 name-server 2001:db8:0:0:abc::1 ! ddns profile test source GigaEthernet0.0 query dn=c.DDNS.example.jp&ipv6=<IPV6> transport ipv6 url http://user:[email protected]/index.html ! ddns enable ddns interval 30 ddns account profile test !

■解説 [装置Ａ：WA1510 設定] ipv6 access-list fw-lst deny ip src any dest any ipv6 access-list ndp-lst permit icmp src any dest any ipv6 access-list sec-lst permit 50 src any dest any ipv6 access-list sec-lst permit udp src any sport eq 500 dest any dport eq 500

外部からの不正アクセスを防ぐためフィルタを設定します。IPv6 の必要な通信と制御

用通信以外は通信を制限します。icmpv6 は、NDP や RA 等 IPv6 の制御系で使用しま

す。 interface GigaEthernet0.0 no ip address ipv6 enable ipv6 address autoconfig receive-default ipv6 tcp adjust-mss auto ipv6 filter ndp-lst 1 in ipv6 filter sec-lst 2 in ipv6 filter fw-lst 10 in ipv6 filter ndp-lst 1 out ipv6 filter sec-lst 2 out ipv6 filter fw-lst 10 out no shutdown

RA による Prefix 取得を利用する GigaEthernet0.0 インタフェースに、RA 受信とデフ

ォルトルート生成の設定を行います。IPv6 フィルタを登録して、IPsec 通信以外の不

要な通信をフィルタします。 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0

IPv6 設定

4-10

peer c.DDNS.example.jp ipv6 IPsec プロファイル名”ipsecprof1”を設定し、動作モード、適用する IPsec ポリシー、

IKE ポリシー、peer（対向先）、source (SA を確立するインタフェース）を設定します。

mode は tunnel を指定します。peer（対向先）は、装置Ａは装置Ｂの peer を IPv6 FQDNで指定し、装置Ｂは装置Ａの peer を peer any ipv6（レスポンダ）で設定します。

ipv6 name-server 2001:db8:0:0:abc::1

DNS サーバの IPv6 アドレスを設定します。ipv6 name-server コマンドにて、事業者か

ら提示された DNS サーバを登録し、装置Ａ、Ｂで FQDN の名前解決のリゾルバを動

作させます。 [装置Ｂ：WA2610-AP 設定] ddns profile test

ダイナミック DNS プロファイルを設定します。 IPv6 での ddns 利用は、http のプロファイル方式になります。ddns profile コマンドに

て DDNS の動作設定を行います。 source GigaEthernet0.0 query dn=c.DDNS.example.jp&ipv6=<IPV6>

ダイナミック DNS サーバへ送信するクエリ情報を設定します。 transport ipv6

ダイナミック DNS サーバへの問い合わせに使用するプロトコルを指定します。 url http://user:[email protected]/index.html

ダイナミック DNS サーバの URL を登録します。 ddns enable

ダイナミック DNS 機能を有効化します。 ddns interval 30

ダイナミック DNS サービスへの IP アドレス登録間隔を設定します。 ddns account profile test

ダイナミック DNS サーバへアクセスを行います。メモ・DDNS サービスは、事業者により仕様が異なりますので、profile で指定する内容や動作

については、事業者にご確認願います。サービスの仕様によってはご利用になれない場

合がございます。・profile の指定は、１つのみとなります。・登録確認の方法は、登録した FQDN を指定し IP アドレスが解決されることを確認しま

す。インターネットに接続できる PC 等から、登録している FQDN の IPv6 アドレスを

nslookup にて確認し、show ipv6 address コマンドで表示される IP アドレスと同じであ

ることを確認します。

ブリッジ

5-1

5. ブリッジ設定 5.1. トランスペアレントブリッジを使用するトランスペアレントブリッジ機能を使用して、同じブリッジグループに属する端末間の通

信を行う設定を説明します。本設定は、以下の環境を想定した設定例です。・装置Ａのインタフェース GE0.0 では、送信元 MAC アドレスが端末Ｃで、且つ宛先 MAC

アドレスが端末Ａの IPv4 パケット、ならびに送信元 MAC アドレスが監視端末の IPv4パケットを受信許可します。

・装置Ａのインタフェース GE1.0 では、送信元 MAC アドレスが端末Ａで、且つ宛先 MACアドレスが端末Ｃの IPv4 パケットを受信許可します。

・装置Ａを IP ホストとするためにインタフェース BVI を設定します。監視端末から装置Ａ

への ping や telnet が可能となります。・ブリッジ学習テーブル保持時間を 300 秒（デフォルト 1200 秒）とします。 ■接続構成


・ブリッジ設定・ GigaEthernet0.0インタフェース設定・ GigaEthernet1.0インタフェース設定・ BVI0.0インタフェース設定・ MACフィルタ設定

端末Ａ

端末Ｂ

端末Ｃ

端末Ｄ

監視端末

GE0.0 GE1.0 00:11:22:33:44:aa

00:11:22:33:44:bb

00:11:22:33:44:cc

00:11:22:33:44:dd

192.168.1.10 00:11:22:33:44:ee

192.168.1.100

UNIVERGE WA1510

装置Ａ

ブリッジ

5-2


! hostname WA1510 ! bridge ieee enable bridge ieee aging-time 300 ! interface GigaEthernet0.0 no ip address bridge ieee 1 mac-filter-extended in ge0 no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 mac-filter-extended in ge1 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface BVI0.0 ip address 192.168.1.100/24 bridge ieee 1 no shutdown ! mac access-list-extended ge0 permit src 00:11:22:33:44:cc ff:ff:ff:ff:ff:ff dest 00:11:22:33:44:aa ff:ff:ff:ff:ff:ff ethertype ip permit src 00:11:22:33:44:ee ff:ff:ff:ff:ff:ff dest any ethertype ip ! mac access-list-extended ge1 permit src 00:11:22:33:44:aa ff:ff:ff:ff:ff:ff dest 00:11:22:33:44:cc ff:ff:ff:ff:ff:ff ethertype ip ! telnet-server ip permit !

■解説 [装置Ａ：WA1510 設定] bridge ieee enable bridge ieee aging-time 300

ブリッジ機能を有効化し、ブリッジ学習テーブル保持時間を 300 秒に設定します。 interface GigaEthernet0.0 bridge ieee 1 mac-filter-extended in ge0

インタフェース GigaEthernet0.0 にブリッジを設定します。 MAC フィルタリスト”ge0”を受信方向で適用します。

interface GigaEthernet1.0

ブリッジ

5-3

bridge ieee 1 mac-filter-extended in ge1

インタフェース GigaEthernet1.0 にブリッジを設定します。 MAC フィルタリスト”ge1”を受信方向で適用します。

interface BVI0.0 ip address 192.168.1.100/24 bridge ieee 1

インタフェース BVI0.0 に IP アドレスを設定し、IP ホスト機能を有効化します。ブリッジを設定します。

mac access-list-extended ge0 permit src 00:11:22:33:44:cc ff:ff:ff:ff:ff:ff dest 00:11:22:33:44:aa ff:ff:ff:ff:ff:ff ethertype ip permit src 00:11:22:33:44:ee ff:ff:ff:ff:ff:ff dest any ethertype ip

MAC アクセスリスト”ge0”を作成します。送信元：00:11:22:33:44:cc、宛先：00:11:22:33:44:aa、且つ IPv4 送信元：00:11:22:33:44:ee、宛先：任意、且つ IPv4 のパケットが許可されます。

mac access-list-extended ge1 permit src 00:11:22:33:44:aa ff:ff:ff:ff:ff:ff dest 00:11:22:33:44:cc ff:ff:ff:ff:ff:ff ethertype ip

MAC アクセスリスト”ge1”を作成します。送信元：00:11:22:33:44:aa、宛先：00:11:22:33:44:cc、且つ IPv4 のパケットが許可されます。

ブリッジ

5-4

5.2. PPPoE ブリッジを使用する BVI インタフェースの PPPoE 機能とブリッジ機能を併用して、LAN 内の PPPoE クライ

アントが存在するような環境にも対応する設定を説明します。本設定は、以下の環境を想定した設定例です。・端末Ａからの IPv4 パケットは、装置Ａが PPPoE クライアントとして、NAPT、PPPoE

カプセル化を行い、WAN 側と送受信されます。・端末Ｂからのパケットはルータが PPPoE クライアントとして、PPPoE カプセル化を行

います。装置Ａは、ルータから受信した PPPoE パケットをそのまま WAN 側に転送しま

す。また、WAN 側から受信した PPPoE パケットをそのままルータに転送します。 ■接続構成


・ブリッジ設定・ GigaEthernet0.0インタフェース設定・ GigaEthernet1.0インタフェース設定・ PPPoE0インタフェース設定・ BVI0.0インタフェース設定・ VLAN**インタフェース設定・ルーティング設定

GE1.0 P1～2


装置Ａ

192.168.1.0/24

ルータ

UNIVERGE WA2610-AP

GE0.0

GE1.0 P3～4

PPPoE クライアント

PPPoE セッション 1

PPPoE セッション 2

.254 端末Ａ

端末Ｂ

ブリッジ

5-5


! hostname WA2610-AP ! ppp profile pppoe authentication username [email protected] authentication password plain test ! bridge ieee enable ! ip dhcp-server enable ip dhcp-server profile vlan1 default-gateway auto dns-server auto subnet-mask auto ! interface GigaEthernet0.0 no ip address bridge ieee 1 no shutdown ! interface GigaEthernet1.0 vlan-type port VLAN1 port 1 2 vlan-type port VLAN2 port 3 4 no ip address no shutdown ! interface PPPoE0 ip address ipcp ppp profile pppoe ip tcp adjust-mss auto auto-connect ip napt enable no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface VLAN1 ip address 192.168.1.254/24 ip dhcp-server binding vlan1 no shutdown ! interface VLAN2 no ip address bridge ieee 1 no shutdown ! interface BVI0.0 no ip address bridge ieee 1 encapsulation PPPoE0

ブリッジ

5-6

no shutdown ! ip route default PPPoE0 ! proxy-dns ip enable proxy-dns server default PPPoE0 ipcp !

■解説 [装置Ａ：WA2610-AP 設定] ppp profile pppoe authentication username [email protected] authentication password plain test


設定します。本プロファイルは自装置の PPPoE 接続に用います。 bridge ieee enable

ブリッジ機能を有効化します。 interface GigaEthernet0.0 no ip address bridge ieee 1

インタフェース GigaEthernet0.0 にブリッジを設定します。 interface GigaEthernet1.0 vlan-type port VLAN1 port 1 2 vlan-type port VLAN2 port 3 4

インタフェース GigaEthernet1.0 にポート VLAN を設定し、２つの論理セグメン

ト”VLAN1”と”VLAN2”に分離します。ポート 1～2 をインタフェース VLAN1、ポート 3～4 をインタフェース VLAN2 に割り当てます。

interface PPPoE0 ip address ipcp









ターネット接続できるように設定します。 interface VLAN1

ブリッジ

5-7

ip address 192.168.1.254/24 ip dhcp-server binding vlan1

インタフェース VLAN1（GE1 ポート 1～2）に IP アドレスを設定します。 interface VLAN2 no ip address bridge ieee 1

インタフェース VLAN2（GE1 ポート 3～4）にブリッジを設定します。インタフェー

ス GigaEthernet0.0 と同じブリッジグループとなります。 interface BVI0.0 no ip address bridge ieee 1 encapsulation PPPoE0

インタフェース BVI0.0 に PPPoE インタフェースをバインドします。インタフェース

VLAN1 のパケットはルーティングを行いつつ、インタフェース VLAN2 のパケットは

ブリッジします。

ブリッジ

5-8

5.3. レイヤ 2 高速切替機能でブリッジ経路切替を行うレイヤ 2 高速切替機能は、L2 トンネルの冗長構成を組む際、メイン経路からバックアップ

経路に切り替わった場合に、メイン経路の通信で学習された MAC アドレスを送信元アド

レスとするダミーMAC パケットを、バックアップ経路に送信することでネットワーク上位

の L2 スイッチの学習テーブルをバックアップ経路側に移動させる機能です。２つの WAN 回線で L2TPv3 トンネル冗長を組み、メイン経路障害時にバックアップ経路

からダミーMAC パケットを送信する設定を説明します。本設定は、以下の環境を想定した設定例です。・装置Ａは、装置Ｂと装置Ｃにそれぞれ異なる２つの L2 トンネルを確立します。・装置Ａは、ネットワークモニタ機能でメイン経路（装置Ｂ経路）の状態をモニタします。・装置Ａは、ネットワーク異常を検知した場合、L2TP0 のブリッジ設定を無効化し、代わ

りにバックアップ経路の L2TP1 のブリッジ機能を有効化し、L2 トンネル経路を切り替

えます。同時に、装置Ｂと装置Ｃが接続されているＳＷ－ＨＵＢのブリッジ学習テーブ

ルを更新するために、ダミーパケットをバックアップ経路から送信します。・バックアップ経路からメイン経路に切戻る場合も、同様の制御を行います。 ■接続構成


・ブリッジ設定・ GigaEthernet0.0 インタフェース設定・ GigaEthernet1.0 インタフェース設定・ PPPoE0 インタフェース設定・ MobileEthernet0.0 インタフェース設定・ L2TP0 インタフェース設定・ L2TP1 インタフェース設定・ルーティング設定・ダミーMAC パケット送信プロファイル作成・ネットワークモニタ設定

GE1.0 ワイヤレス

データ通信事業者インターネット


GE1.0

GE0.0 固定 IP: 192.0.1.2

L2TP0

装置Ａ

装置Ｂ UNIVERGE WA2612-AP

UNIVERGE WA2610-AP

GE1.0

GE0.0

固定 IP: 192.0.2.2 装置 C

UNIVERGE WA2610-AP

端末Ａ

固定 IP: 192.0.1.1 PPPoE0

L2TP1

ME0.0 固定 IP: 192.0.2.1

端末Ｂ

SW HUB

ダミーMAC パケット

ブリッジ

5-9


! hostname WA2612-AP ! bridge ieee enable ! ppp profile pppoe authentication username [email protected] authentication password plain test ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect no shutdown ! interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto mobile id IP example2.net mobile username test2 mobile password plain test2 auto-connect no shutdown ! interface L2TP0 l2tp encapsulation l2tpv3 l2tp source PPPoE0 l2tp peer 192.0.1.2 bridge ieee 1 bridge ip tcp adjust-mss 1312 no shutdown ! interface L2TP1 l2tp encapsulation l2tpv3 l2tp source MobileEthernet0.0 l2tp peer 192.0.2.2 bridge ip tcp adjust-mss 1312

ブリッジ

5-10

no shutdown ! ip route 192.0.1.2/32 pppoe0 ip route 192.0.2.2/32 MobileEthernet0.0 ! dummy-mac profile dummymac source GigaEthernet1.0 destination occurrence L2TP1 destination restorer L2TP0 retry occurrence 3 interval 5 retry restorer 3 interval 5 ! network-monitor monitor1 monitor interval occurrence 2 monitor interval restorer 1 monitor counter occurrence 3 monitor counter restorer 5 monitor startup-delay 30 event ip unreach-host 192.0.1.2 interface PPPoE0 source PPPoE0 action 10 bridge-add 1 L2TP1 action 20 bridge 1 dummy-mac dummymac action 30 bridge-del 1 L2TP0 action 40 BAK-LED-on ! monitor-group monitor1 enable !

[装置Ｂ：WA2610-AP 設定] （装置Ｃも同様の設定です。）

! hostname WA2610-AP-B ! bridge ieee enable ! interface GigaEthernet0.0 ip address 192.0.1.2/32 no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface L2TP0 l2tp encapsulation l2tpv3 l2tp source GigaEthernet0.0 l2tp peer 192.0.1.1 bridge ieee 1 bridge ip tcp adjust-mss 1312 no shutdown

ブリッジ

5-11

! ip route 192.0.1.1/32 GigaEthernet0.0 !

■解説 [装置Ａ：WA2612-AP 設定] bridge ieee enable

ブリッジ機能を有効化します。 interface GigaEthernet1.0 bridge ieee 1

インタフェース GigaEthernet1.0 にブリッジを設定します。

interface L2TP0 l2tp encapsulation l2tpv3 l2tp source PPPoE0 l2tp peer 192.0.1.2 bridge ieee 1

インタフェース L2TP0 を装置Ｂの L2TP トンネルと接続します。ブリッジは、インタ

フェース GE1.0 と同じブリッジグループを設定します。 interface L2TP1 l2tp encapsulation l2tpv3 l2tp source MobileEthernet0.0 l2tp peer 192.0.2.2

インタフェース L2TP1 を装置Ｃの L2TP トンネルと接続します。このインタフェース

L2TP1 はバックアップ経路であり、ネットワーク正常時、パケット転送は不要なので、

ブリッジ設定は無効化しておきます。また、ブリッジを無効化することで、予期せぬネ

ットワークループを回避することもできます。 dummy-mac profile dummymac

レイヤ２高速切替機能のためのダミーMAC パケット送信プロファイル”dummymac”を作成します。

source GigaEthernet1.0 ダミーMAC パケットの送信元となる MAC アドレスを学習しているインタフェース名

を設定します。source インタフェースが一つも設定されていない場合は、送信先に指

定したインタフェース以外のインタフェースが送信元となります。宛先 MAC アドレス

は、デフォルト FF:FF:FF:FF:FF:FF です。 destination occurrence L2TP1

イベント発生時、ダミーMAC パケットを送信するインタフェースを L2TP1 に設定し

ます。 destination restorer L2TP0

イベント復旧時、ダミーMAC パケットを送信するインタフェースを L2TP0 に設定し

ます。 retry occurrence 3 interval 5

イベント発生時のダミーMAC パケット送信回数を”3 回”、送信間隔を”5 秒”に設定しま

す。

ブリッジ

5-12

retry restorer 3 interval 5 イベント復旧のダミーMAC パケット送信回数を”3 回”、送信間隔を”5 秒”に設定します。

network-monitor monitor1 action 10 bridge-add 1 L2TP1 action 20 bridge 1 dummy-mac dummymac action 30 bridge-del 1 L2TP0

イベント発生時、インタフェース L2TP1 のブリッジグループ 1 設定を有効化し、ダミ

ーMAC パケット送信プロファイル”dummymac”を実行します。その後、インタフェー

ス L2TP0 のブリッジグループ 1 設定を無効化します。イベント復旧時は逆の手順で動

作します。メモこの順番の場合、action 10 を実施したときに、L2TP0 と L2TP1 が同時にブリッジに

参加していることになり、ループが発生する可能性があります。しかし、L2TP0 はす

でに通信ができていないため、実質的にはループが発生する可能性は少ないと考えら

れます。 monitor-group monitor1 enable

ネットワークモニタ”monitor1”を有効化します。

NAT／NAPT

6-1

6. NAT／NAPT 設定 NAT/NAPT とフィルタ機能の併用設定にて、使用するソフトウェアバージョンにより動作

上の仕様差があります。以下をご確認ください。

ソフトウェアバージョン 7.5.11 まで、NAT/NAPT と静的フィルタが併用できない制限があ

りましたが、ソフトウェアバージョン 8.0.3 から NAT/NAPT と静的フィルタが併用できる

ようになりました。

この影響で、ソフトウェアバージョン 7.5.11 以前のプログラムファイルの動作に従った設

定内容で、ソフトウェアバージョン 8.0.3 以降のプログラムファイルにバージョンアップ

すると、通信ができなくなる場合がありますので注意してください。

ソフトウェアバージョン 7.5.11 以前の動作仕様

NAT/NAPT と静的フィルタが併用できません。 NAT/NAPT を使用したインタフェースにおいて、NAT/NAPT が動作しキャッシュが生成さ

れた状態では、入力方向の静的パケットフィルタが働きません。

例えば、以下のような設定が該当します。 ip access-list FLT permit ip src 10.10.10.1/32 dest any ! interface GigaEthernet0.0 ip filter FLT 1 in ip napt enable ! この設定では WAN 側の 10.10.10.1/32 からのアクセスだけを許可したいのですが、LAN側から WAN 側の通信により NAPT が動作すると、WAN 側からの折りかえり通信用の受信

側 NAPT キャッシュが生成され、受信側静的フィルタよりも優先されるようになります。このため、受信側の静的フィルタは無効になり、10.10.10.1/32 以外からの通信をフィルタ

できず、LAN 側から WAN 側にはアクセスリストによる IP アドレスの制限がかかりませ

ん。 LAN 側から開始した宛先の IP アドレスに対し、アクセスできてしまいます。

ソフトウェアバージョン 8.0.3 以降の動作仕様

NAT/NAPT と静的フィルタが併用できるようになりました。上記と同様な設定の場合、LAN 側から WAN 側の通信により NAPT が動作しても、WAN 側

からの折りかえり通信用の受信側 NAPT キャッシュは、受信側静的フィルタに影響を与え

ません。従いまして、設定通り、10.10.10.1/32 以外との通信はできません。

注意すべき点

上記の例では、ソフトウェアバージョン 7.5.11 以前で意図せず 10.10.10.1/32 以外との通

信ができていても、本来 10.10.10.1/32 以外との通信はできない設定になっているため、

バージョンアップして制限事項がなくなったプログラムファイルを適用すると、

10.10.10.1/32 以外との通信ができない状態になります。

NAT／NAPT

6-2

対応例

コンフィグレーションを見直してください。

静的フィルタを残したまま、NAPT を利用して 10.10.10.1/32 以外との通信を許可するた

めには、送信側のダイナミックフィルタを個別に設定するようにしてください。 ip access-list FLT permit ip src 10.10.10.1/32 dest any ip access-list dynamic d-flt permit tcp src any sport any dest 172.16.1.1/32 dport any ! interface GigaEthernet0.0 ip filter FLT 1 in ip filter d-flt 2 out ip napt enable ! 出力インタフェースでは、NAT/NAPT 変換後にフィルタを評価します。このため、出力側

の OUT フィルタでは、NAT/NAPT 変換前の送信元アドレスをフィルタ条件に設定できま

せん。送信先アドレスを OUT フィルタ条件に設定してください。NAT/NAPT 変換前の送信元ア

ドレスをフィルタ条件に設定したい場合には、LAN 側の受信インタフェースで IN フィル

タを使用するようにしてください。本仕様の動作となるパケットの評価フロー図については、取扱説明書の＜付録＞を確認く

ださい。

NAT／NAPT

6-3

6.1. スタティック NAT を使用するスタティック NAT を使用して、プライベート空間に存在する端末からの通信をグローバル

アドレスに固定的に変換する設定を説明します。本設定は、以下の環境を想定した設定例です。・本装置のグローバルアドレスには 203.0.113.1 が設定されています。・端末 1 からの通信は 203.0.113.2 に、端末 2 からの通信は 203.0.113.3 に変換されます ■接続構成


・ GigaEthernet0.0 インタフェース設定・スタティック NAT 設定・ GigaEthernet1.0 インタフェース設定・ルーティング設定

192.168.1.0/24

GE1.0

IPv4 ネットワーク

装置Ａ端末 1

192.168.1.1 GE0.0

192.168.1.200

端末 2 192.168.1.2

203.0.113.1

UNIVERGE WA2610-AP

プライベート空間

203.0.113.0/24

ルータ

203.0.113.254

NAT／NAPT

6-4

■設定（コンフィグ作成バージョン：Ver8.0） [装置Ａ：WA2610-AP 設定]

! hostname WA2610-AP ! interface GigaEthernet0.0 ip address 203.0.113.1/24 ip nat enable ip nat static 192.168.1.1 203.0.113.2 priority 1 ip nat static 192.168.1.2 203.0.113.3 priority 2 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.200/24 no shutdown ! ip route default 203.0.113.254

■解説 interface GigaEthernet0.0 ip nat enable

インタフェース GigaEthernet0.0 で NAT 機能を有効化します。 ip nat static 192.168.1.1 203.0.113.2 priority 1

ip nat static 192.168.1.2 203.0.113.3 priority 2 配下端末のアドレスに対応した 1 対 1 の NAT 変換設定を行います。本設定に従い、配

下端末からのパケットが NAT 変換されます。

NAT／NAPT

6-5

6.2. ダイナミック NAT を使用するダイナミック NAT を使用して、プライベート空間に存在する端末からの通信をグローバル

アドレスに動的に変換する設定を説明します。本設定は、以下の環境を想定した設定例です。・本装置のグローバルアドレスには 203.0.113.1 が設定されています。・プライベート空間 A から外部へアクセスするときは、グローバルアドレス 203.0.113.2～

203.0.113.15 を使用します。・プライベート空間 B から外部へアクセスするときは、グローバルアドレス 203.0.113.16

～203.0.113.29 を使用します。 ■接続構成


・アクセスリスト設定・ GigaEthernet0.0 インタフェース設定・ダイナミック NAT 設定・ GigaEthernet1.0 インタフェース設定・ VLAN インタフェース設定・ルーティング設定・ NAT プール設定

192.168.1.0/28

VLAN1

IPv4 ネットワーク

装置Ａ

GE0.0 192.168.1.1 203.0.113.1

UNIVERGE WA2610-AP

プライベート空間 A 203.0.113.0/24

ルータ

203.0.113.254 VLAN2 192.168.2.1 プライベート空間 B

192.168.2.0/28

NAT／NAPT

6-6

■設定（コンフィグ作成バージョン：Ver8.0） [装置Ａ：WA2610-AP 設定] ! hostname WA2610-AP ! ip access-list ACL1 permit ip src 192.168.1.0/28 dest any ip access-list ACL2 permit ip src 192.168.2.0/28 dest any ! interface GigaEthernet0.0 ip address 203.0.113.1/24 ip nat enable ip nat dynamic list ACL1 pool POOL1 ip nat dynamic list ACL2 pool POOL2 no shutdown ! interface GigaEthernet1.0 vlan-type port VLAN1 port 1 vlan-type port VLAN2 port 2 no ip address no shutdown ! interface VLAN1 ip address 192.168.1.1/28 no shutdown ! interface VLAN2 ip address 192.168.2.1/28 no shutdown ! ip route default 203.0.113.254 ! ip nat pool POOL1 203.0.113.2 203.0.113.15 ip nat pool POOL2 203.0.113.16 203.0.113.29 ! ■解説 ip access-list ACL1 permit ip src 192.168.1.0/28 dest any ip access-list ACL2 permit ip src 192.168.2.0/28 dest any

NAT 変換対象となるパケットをアクセスリストで指定します。 interface GigaEthernet0.0 ip nat enable

インタフェース GigaEthernet0.0 で NAT 機能を有効化します。 ip nat dynamic list ACL1 pool POOL1 ip nat dynamic list ACL2 pool POOL2

NAT 変換対象を指定したアクセスリストと、変換用にプールされているアドレスを指

定します。アクセスリストにマッチしたパケットが NAT 変換の対象となります。変換

NAT／NAPT

6-7

後のアドレスは、NAT プールで設定したアドレス範囲から割り当てられます。 interface GigaEthernet1.0 vlan-type port VLAN1 port 1 vlan-type port VLAN2 port 2

インタフェース GigaEthernet1.0 にポート VLAN を設定します。スイッチポート 1 を

VLAN1 インタフェースに、スイッチポート 2 を VLAN2 インタフェースに割り当てま

す。 ip nat pool POOL1 203.0.113.2 203.0.113.15 ip nat pool POOL2 203.0.113.16 203.0.113.29

NAT 変換用にプールするアドレス範囲を指定します。

NAT／NAPT

6-8

6.3. スタティック NAPT 機能を使用して Web サーバを公開するプライベートネットワーク上の Web サーバをインターネットへ公開する設定を説明しま

す。本設定は、以下の環境を想定した設定例です。・PPPoE 回線の IP アドレスは、固定 IP アドレスサービスを利用します。・プライベートネットワーク上の Web サーバを、https の 443 ポートを使用して外部に公

開します。 ■接続構成


・ PPP プロファイル設定・ PPPoE0 インタフェース設定・ NAPT 設定・スタティック NAPT 設定・ GigaEthernet0.0 インタフェース設定・ GigaEthernet1.0 インタフェース設定・プロキシ DNS 設定・ルーティング設定

192.168.1.0/24

GE1.0 通信事業者ネットワーク


装置Ａ Web サーバ

192.168.1.200

GE0.0

PPPoE0

固定 IP UNIVERGE WA2610-AP

NAT／NAPT

6-9


! hostname WA2610-AP ! ppp profile pppoe authentication username [email protected] authentication password plain test ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable ip napt static 192.168.1.200 tcp 443 priority 1 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! ip route default PPPoE0 ! proxy-dns ip enable proxy-dns server default PPPoE0 ipcp !

■解説 interface PPPoE0 ip napt enable ip napt static 192.168.1.200 tcp 443 priority 1


ターネット接続できるように設定します。インターネットからプライベートネットワーク上のWeb サーバにアクセス可能にする

ため、スタティック NAPT の設定をします。Web サーバの IP アドレス”192.168.1.200”と、使用する tcp ポート番号”443”を指定します。priority は、設定順に自動で１から昇

順に付与されます。 ip route default PPPoE0


NAT／NAPT

6-10

6.4. IPsec inner NAT 機能を使用する IPsec 通信を行うパケットに対して、スタティック NAT を行う設定を説明します。本設定は、以下の環境を想定した設定例です。・各店舗のネットワーク体系は同一（10.1.1.0/24）とします。・店舗 101 端末からの IP パケット（10.1.1.xx）は、装置Ａの IPsec インタフェースでネッ

トワーク部のみスタティック NAT され、送信元アドレスを 192.168.101.xxとして、IPsecトンネル経由でセンター局に送信されます。

・同様に、店舗 102 端末からの IP パケット（10.1.1.xx）は、装置Ｂの IPsec インタフェー

スでネットワーク部のみスタティック NAT され、送信元アドレスを 192.168.102.xx と

して、IPsec トンネル経由でセンター局に送信されます。・よって、各店舗 LAN のネットワーク体系が同じでも、装置Ｃでは、店舗 101 と店舗 102

の通信を区別することができます。 ■接続構成


・ GigaEthernet0.0 インタフェース設定・ GigaEthernet1.0 インタフェース設定・ Lookback0.0 インタフェース設定（自発パケット）・ IPsec インタフェース設定・ IPsec inner NAT 設定・ルーティング設定

GE0.0

装置Ｃ

192.168.1.0/24

192.168.100.0/24 GE1.0

GE0.0 インターネットサービスプロバイダ

10.10.1.1/32

IPsec

装置Ａ

UNIVERGE WA2610-AP

UNIVERGE WA1510

GE0.0

192.168.1.0/24

GE1.0

装置Ｂ

UNIVERGE WA1510

IPsec 10.10.2.1/32

GE1.0

10.10.3.1/32

LP0:192.168.200.101

LP0:192.168.200.102

.1

.2 .254

.1

.2

店舗 101

店舗 102

センター局

IP L

S S IPsec

192.168.1.xx

172.16.102.xx

NAT／NAPT

6-11


! hostname WA1510A ! interface GigaEthernet0.0 ip address 10.10.1.1/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 192.168.200.101/32 no shutdown ! interface IPsec0 ip address unnumbered loopback0.0 ip tcp adjust-mss auto ipsec map ipsec0 ip nat enable ip nat static network 192.168.1.0/24 172.16.101.0/24 ip nat static network 192.168.200.101/32 172.16.200.101/32 no shutdown ! ip route 10.10.3.1/32 GigaEthernet0.0 ip route 192.168.100.0/24 IPsec0 ! ike proposal ipsec0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ipsec0 mode main proposal ipsec0 pre-shared-key plain test1 ! ipsec proposal ipsec0 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsec0 proposal ipsec0 ! ipsec profile ipsec0 mode tunnel ipsec policy ipsec0 ike policy ipsec0 source GigaEthernet0.0 peer 10.10.3.1 !

NAT／NAPT

6-12

[装置Ｂ：WA1510 設定]

! hostname WA1510B ! interface GigaEthernet0.0 ip address 10.10.2.1/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 192.168.200.102/32 no shutdown ! interface IPsec0 ip address unnumbered loopback0.0 ip tcp adjust-mss auto ipsec map ipsec0 ip nat enable ip nat static network 192.168.1.0/24 172.16.102.0/24 ip nat static network 192.168.200.102/32 172.16.200.102/32 no shutdown ! ip route 10.10.3.1/32 GigaEthernet0.0 ip route 192.168.100.0/24 IPsec0 ! ike proposal ipsec0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ipsec0 mode main proposal ipsec0 pre-shared-key plain test2 ! ipsec proposal ipsec0 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsec0 proposal ipsec0 ! ipsec profile ipsec0 mode tunnel ipsec policy ipsec0 ike policy ipsec0 source GigaEthernet0.0 peer 10.10.3.1 !

NAT／NAPT

6-13

[装置Ｃ：WA2610-AP 設定]

! hostname WA2610 ! interface GigaEthernet0.0 ip address 10.10.3.1/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.100.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec0 no shutdown ! interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec1 no shutdown ! ip route 10.10.1.1/32 GigaEthernet0.0 ip route 10.10.2.1/32 GigaEthernet0.0 ip route 172.16.101.0/24 IPsec0 ip route 172.16.102.0/24 IPsec1 ip route 172.16.200.101/32 IPsec0 ip route 172.16.200.102/32 IPsec1 ! ike proposal ipsec0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike proposal ipsec1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ipsec0 mode main proposal ipsec0 pre-shared-key plain test1 ! ike policy ipsec1 mode main proposal ipsec1 pre-shared-key plain test2

NAT／NAPT

6-14

! ipsec proposal ipsec0 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec proposal ipsec1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsec0 proposal ipsec0 ! ipsec policy ipsec1 proposal ipsec1 ! ipsec profile ipsec0 mode tunnel ipsec policy ipsec0 ike policy ipsec0 source GigaEthernet0.0 peer 10.10.1.1 ! ipsec profile ipsec1 mode tunnel ipsec policy ipsec1 ike policy ipsec1 source GigaEthernet0.0 peer 10.10.2.1 !

■解説 [装置Ａ：WA1510 設定]（装置Ｂも同様です） interface GigaEthernet1.0 ip address 192.168.1.254/24

店舗 LAN の IP アドレスを設定します。本設定例では、全ての店舗で同一のネットワー

クアドレス体系となります。 interface IPsec0 ip address unnumbered loopback0.0

IP ホスト機能のソースインタフェースを”loopback0.0”とします。自発パケットの発信

元 IP アドレスが loopback0.0 インタフェースの IP アドレスとなります。 ip nat enable

NAT 機能を有効化します。 ip nat static network 192.168.1.0/24 172.16.101.0/24

ネットワーク設定の静的 NAT を設定します。内部ネットワークアドレス”192.168.1.0”、ネットマスク”24”、外部ネットワークアドレス”172.16.101.0”、ネットマスク”24”で変換

を行います。ネットワーク部のみ変換され、ホストアドレスは変換されません。本設定例では、店舗ごとに外部ネットワークアドレス体系が異なります。

ip nat static network 192.168.200.102/32 172.16.200.102/32 ネットワーク設定の静的 NAT を設定します。内部ネットワークアドレ

NAT／NAPT

6-15

ス”192.168.200.101”、ネットマスク”32”、外部ネットワークアドレス”172.16.200.101”、ネットマスク”32”で変換を行います。IPsec インタフェースを経由する ping や telnet など自発パケットのソースアドレスを外部ネットワークアドレスに変換します。本設定例では、店舗ごとに外部ネットワークアドレス体系が異なります。

■解説 [装置Ｃ：WA2610-AP 設定] ip route 172.16.101.0/24 IPsec0 ip route 172.16.102.0/24 IPsec1

各店舗の外部ネットワークアドレスの経路を設定します。 p route 172.168.200.101/32 IPsec0 ip route 172.16.200.102/32 IPsec1

装置Ａ、装置Ｂの自発パケットの経路を設定します。

NAT／NAPT

6-16

6.5. NAPT 除外設定を使用した IPsec 接続を行うアグレッシブモードで IPsec 接続を行う場合、WAN 側インタフェースに NAPT の設定を

すると共に、IPsec 接続用のプロトコルを NAPT 対象から除外する NAPT 除外設定をする

必要があります。NAPT 除外設定を使用してインターネット上に VPN を構築する設定を説

明します。本設定は、以下の環境を想定した設定例です。・外部からの不正アクセスを防ぐためにフィルタ設定をすると共に、NTP 同期用と疎通確

認用の通信を許可します。（1）IPsec 接続で必要なプロトコル（ESP、IKE）（2）NTP 動作時に外部 DNS サーバと接続するための IP アドレス（プライマリ、セカンダリ）（3）対向装置との通信確認用の ICMP

・NAPT 除外設定（esp / udp / icmp）を行います。icmp は疎通確認用です。 ■接続構成


・フィルタ設定・ NAPT 除外設定

注意・設定例のフィルタを設定した場合はインターネットへのアクセスが出来ません。・WAN 側は NAPT が動作していますので、IN 側のフィルタ設定は出来ません。

フィルタ設定より NAPT 変換の優先順位が高いためです。ソフトウェアバージョン 8.0 以降は、IN 側のフィルタ設定が可能となります。ただし、out 側フィルタの送信元アドレスは、NAPT 変換後のアドレス指定となりますの

で指定ができません。送信元アドレスを指定したい場合は、IN 側のフィルタで指定が必

要となります。

FE0.0 MobileEthernet

データ通信端末

（（（

モバイル通信事業者


3G/LTE

動的 IP 固定 IP 192.0.2.2/32

IPsec

端末Ｂ

IKE モード : Aggressive IPsec 通信モード : Tunnel 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit

192.168.1.0/24 192.168.2.0/24

GE1.0 GE0.0 端末Ａ

装置Ｂ

UNIVERGE WA2610-AP

UNIVERGE WA1510

装置Ａ

NAT／NAPT

6-17


! hostname WA1510 ! ip access-list FLT-1 permit 50 src any dest 192.0.2.2/32 ip access-list FLT-1 permit udp src any sport eq 500 dest 192.0.2.2/32 dport eq 500 ip access-list FLT-1 permit udp src any sport any dest any dport eq 53 ip access-list FLT-1 permit icmp src any dest 192.0.2.2/32 ! no wireless-adapter enable ! interface GigaEthernet0.0 no ip address no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 ip address dhcp ip filter FLT-1 10 out ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp mobile id IP example.net auto-connect no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ! ip route default MobileEthernet0.0 ip route 192.168.2.0/24 IPsec0 ! proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive local-id key-id test2 dpd-keepalive enable ph1 20 3

NAT／NAPT

6-18

proposal ikeprop1 pre-shared-key plain test ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 192.168.1.0/24 remote-id 192.168.2.0/24 proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source MobileEthernet0.0 peer 192.0.2.2 ! led vpn ipsec !


! hostname WA2610-AP ! ip dhcp-server enable ip dhcp-server profile default default-gateway auto dns-server auto subnet-mask auto ! interface GigaEthernet0.0 ip address 192.0.2.2/24 ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.254/24 ip dhcp-server binding default no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown

NAT／NAPT

6-19

! ip route 192.168.1.0/24 IPsec0 ip route default 192.0.2.1 ! proxy-dns ip enable proxy-dns server default 172.16.2.1 172.16.2.2 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive remote-id key-id test2 dpd-keepalive enable ph1 20 3 proposal ikeprop1 pre-shared-key plain test ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 192.168.2.0/24 remote-id 192.168.1.0/24 commit-bit enable proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any !

NAT／NAPT

6-20

■解説 [装置Ａ：WA1510 設定] ip access-list FLT-1 permit 50 src any dest 192.0.2.2/32

ESP（パケットの認証、ペイロード部の暗号化）を行うためのパケットを許可します。 ip access-list FLT-1 permit udp src any sport eq 500 dest 192.0.2.2/32 dport eq 500

IKE（秘密鍵情報の交換）を安全に行うためのパケットを許可します。 ip access-list FLT-1 permit udp src any sport any dest any dport eq 53

NTP 動作時に外部の DNS サーバと通信するためのアドレスを許可します。 ip access-list FLT-1 permit icmp src any dest 192.0.2.2/32

対向装置との疎通確認のためのアドレスを許可します。 interface MobileEthernet0.0 ip filter FLT-1 10 out

外部からの不正アクセス対応のフィルタ指定をします。 ip napt enable

インターネットアクセスを行うため NAPT 機能を有効化します。 ip napt reserve esp ip napt reserve udp 500

ESP、IKE(UDP500)を NAPT 処理の対象から外します。 ip napt reserve icmp

ICMP を NAPT 処理の対象から外します。 ip napt reserve icmpは疎通確認の時のみに設定してください。フィルタが存在しない状態での設定はセキュリティが低くなる恐れがあります。疎通確認の必要がない場合はフィルタの設定をおこなうか、設定を削除することをお

薦めします。 [装置Ｂ：WA2610-AP 設定] ip napt reserve の設定は装置Ｂも同様です。

DHCP

7-1

7. DHCP 設定 7.1. DHCP サーバ機能を使用する DHCP サーバ機能を使用した基本的な設定を説明します。 ■接続構成


・ DHCP プロファイル設定・ GigaEthernet1.0 インタフェース設定・ MobileEthernet0.0 インタフェース設定・ルーティング設定

192.168.1.0/24

GE1.0 ME0.0




（（（ 3G/LTE 端末Ａ

DHCP クライアント

UNIVERGE WA1510

装置Ａ

アドレス付与範囲 192.168.1.100～192.168.1.149

（50 アドレス）

DHCP

7-2


! hostname WA1510 ! no wireless-adapter enable ! ip dhcp-server enable ! ip dhcp-server profile local assignable-range 192.168.1.100 50 default-gateway auto dns-server auto subnet-mask auto lease-time 28800 ! interface GigaEthernet1.0 ip address 192.168.1.254/24 ip dhcp-server binding local no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Serial0 ip address ipcp mobile number *99***CID# auto-connect shutdown ! interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example.net mobile username test mobile password plain test auto-connect no shutdown ! ip route default MobileEthernet0.0 ! proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp !

■解説 ip dhcp-server enable

DHCP サーバ機能を有効化します。 ip dhcp-server profile local

DHCP

7-3

assignable-range 192.168.1.100 50 DHCP プロファイル”local”を作成します。 DHCP クライアントに割当てるアドレス範囲を 192.168.1.100～192.168.1.149（50 ア

ドレス）までとします。

default-gateway auto atuo 設定の場合、DHCP プロファイルを設定したインタフェースの IP アドレスをデフ

ォルトゲートウェイとして DHCP クライアントに通知します。 dns-server auto

atuo 設定の場合、DHCP プロファイルを設定したインタフェースの IP アドレスを DNSサーバの IP アドレスとして DHCP クライアントに通知します。 ※DHCP クライアントからの DNS 問い合わせに応答するために、プロキシ DNS の設

定が必要です。 subnet-mask auto

atuo 設定の場合、DHCP プロファイルを設定したインタフェースのサブネットマスク

を DHCP クライアントに通知します。 lease-time 28800

DHCP リースタイムを”28,800”秒に設定します。 interface GigaEthernet1.0 ip address 192.168.1.254/24 ip dhcp-server binding local

インタフェース GigaEthernet1.0 に IP アドレス”192.168.1.254/24”を設定し、DHCP プ

ロファイル”local”を割当てます。

DHCP

7-4

7.2. 複数の DHCP サーバ機能を使用する DHCP サーバ機能を使用して、LAN 側の PC 等に IP アドレスを割り当てる設定を説明し

ます。ポート VLAN で 2 つのセグメントを設定し、それぞれのセグメントで異なる DHCPサーバを動作させます。 ■接続構成


・ GigaEthernet1.0 インタフェース設定・ VLAN インタフェース設定・ DHCP プロファイル設定・ DHCP バインド設定・ GigaEthernet0.0 インタフェース設定・ルーティング設定・再起動（VLAN 有効化）

192.168.1.0/24

GE1.0/P1 GE0.0

192.168.2.0/24 GE1.0/P2 DHCP

クライアント

端末Ｂ

端末Ａ


DNS サーバ

192.168.4.0/24

192.168.4.1

192.168.3.0/24 装置Ａ装置Ｂ

ルータ

アドレス付与範囲 192.168.1.100～192.168.1.149


アドレス付与範囲 192.168.2.1～192.168.2.32


UNIVERGE WA2610-AP

DHCP

7-5


! hostname WA2610-AP ! ip dhcp-server enable ! ip dhcp-server profile vlan1dhcp assignable-range 192.168.1.100 50 default-gateway auto dns-server 192.168.4.1 subnet-mask auto lease-time 28800 ! ip dhcp-server profile vlan2dhcp default-gateway auto dns-server 192.168.4.1 subnet-mask auto ! interface GigaEthernet0.0 ip address 192.168.3.254/24 no shutdown ! interface GigaEthernet1.0 vlan-type port VLAN1 port 1 vlan-type port VLAN2 port 2 no ip address no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface VLAN1 ip address 192.168.1.254/24 ip dhcp-server binding vlan1dhcp no shutdown ! interface VLAN2 ip address 192.168.2.254/24 ip dhcp-server binding vlan2dhcp no shutdown ! ip route 192.168.4.0/24 192.168.3.254 !


DHCP サーバ機能を有効化します。 ip dhcp-server profile vlan1dhcp assignable-range 192.168.1.100 50

DHCP

7-6

DHCP プロファイル”vlan1dhcp”を作成します。 DHCP クライアントに割当てるアドレス範囲を 192.168.1.100～192.168.1.149（50 ア

ドレス）までとします。 default-gateway auto

atuo 設定の場合、DHCP プロファイルを設定したインタフェースの IP アドレスをデフ

ォルトゲートウェイとして DHCP クライアントに通知します。 dns-server 192.168.4.1

DNS サーバアドレス”192.168.4.1”を DHCP クライアントに通知します。 subnet-mask auto


を DHCP クライアントに通知します。 lease-time 28800

DHCP リースタイムを”28,800”秒に設定します。 ip dhcp-server profile vlan2dhcp

DHCP プロファイル”vlan2dhcp”を作成します。 DHCP クライアントに割当てるアドレス範囲を指定しない場合は、DHCP プロファイ

ルを設定したインタフェースの IP アドレスに“＋1”したアドレスから始まるアドレ

スで 32 アドレスが自動的に割当てられます。本設定例では 192.168.2.1～192.168.2 32 までが割当てられます。

interface VLAN1 ip address 192.168.1.254/24 ip dhcp-server binding vlan1dhcp

VLAN1 インタフェースに IP アドレス”192.168.1.254/24”を設定し、DHCP プロファイ

ル”vlan1dhcp”を割当てます。 interface VLAN2 ip address 192.168.2.254/24 ip dhcp-server binding vlan2dhcp

VLAN2 インタフェースに IP アドレス”192.168.2.254/24”を設定し、DHCP プロファイ

ル”vlan2dhcp”を割当てます。

DHCP

7-7

7.3. DHCP リレーエージェント機能を使用する DHCP リレー機能を使用して、同一ネットワーク上に存在しない DHCP サーバから IP ア

ドレスを取得する設定を説明します。 ■接続構成


・ GigaEthernet1.0 インタフェース設定・ GigaEthernet0.0 インタフェース設定・リレー先の DHCP サーバ設定・ DHCP リレーエージェント機能の有効化・ルーティング設定


! hostname WA2610-AP ! ip dhcp-relay enable ! interface GigaEthernet0.0 ip address 192.168.3.254/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 ip dhcp-relay server 192.168.2.1 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! ip route default 192.168.3.1 !

192.168.1.0/24

GE0.0

端末Ａ


DHCP サーバ

192.168.2.0/24

192.168.2.1

192.168.3.0/24 装置Ａ装置Ｂ

ルータ

UNIVERGE WA2610-AP

GE1.0

DHCP

7-8

■解説 ip dhcp-relay enable

DHCP リレーエージェント機能を有効化します。 interface GigaEthernet1.0 ip dhcp-relay server 192.168.2.1

GE1 インタフェースにリレー先の DHCP サーバアドレスを設定します。

DNS

8-1

8. Dynamic DNS 設定 WA シリーズでは、ご利用可能な Dynamic DNS サービスを 2 種類ご提供しております。・NetMeister Dynamic DNS サービス UNIVERGE WA シリーズソフトウェア Ver.7.5.4 から利用可能なサービスです。 FQDN を任意に決めることができ、IPv4、IPv6 どちらでも利用可能です。・WA シリーズ専用 Dynamic DNS サービス UNIVERGE WA シリーズソフトウェア Ver.2.3.1 から利用可能なサービスです。 FQDN は装置固定で、IPv4 のみに対応しています。

DNS

8-2

8.1. NetMeister のダイナミック DNS を利用して VPN 接続を行う NetMeister のダイナミック DNS を利用して、動的 IP アドレスが付与される拠点との VPN接続を行う場合の設定を説明します。本設定は、以下の環境を想定した設定例です。・装置Ａの WAN インタフェースは動的 IP アドレスです。・装置Ａの WAN 側 IP アドレス解決のために、

NetMeister のダイナミック DDNS を利用します。・装置Ｂの IPsec の peer に設定する装置Ａの FQDN は

wa1510.wa-series-sample.nmddns.jp です。 ■接続構成

■事前準備

NetMeisterユーザ管理サイトへアクセスし、ユーザ登録などを行ってください。以下を参考にしてください。 https://www.necplatforms.co.jp/product/netmeister/outline.html#anc-howto

本設定例では、グループ ID（サブドメイン）を ” wa-series-sample”、装置更新パスワード

を ”testtest”、装置名を ” wa1510”としています。 ■設定概要以下の設定を行います。

・ GigaEthernet1.0 インタフェース設定・ GigaEthernet0.0 インタフェース設定・ PPPoE0 インタフェース設定（装置 A）・スタティックルート設定・プロキシ DNS 設定・ NetMeister Dynamic DNS 設定（装置 A）

メモ

本設定例は IPv4 の場合ですが、IPv6 も同様の設定となります。一部のコマンドで、IPv6 を利用するためのパラメータ設定をする必要があります。

端末Ｂ

192.168.1.0/24

192.168.2.0/24

GE1.0 インターネットサービスプロバイダ

192.0.2.1/24（固定 IP）

装置Ａ装置Ｂ

PPPoE00

（動的 IP）

NetMeister ダイナミック DNS

FQDN : wa1510.wa-series- sample.nmddns.jp

UNIVERGE WA2610-AP

端末Ａ

UNIVERGE WA1510

192.0.2.2 (GW アドレス) (ProxyDNS アドレス)

GE0.0 GE1.0

IPsec

DNS

8-3


! hostname WA1510 ! ppp profile pppoe authentication username [email protected] authentication password plain test ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable ip napt reserve icmp ip napt reserve esp ip napt reserve udp 500 no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ikev2 ipsec-mode tunnel ikev2 source-address PPPoE0 ikev2 peer 192.0.2.1 ikev2 local-authentication psk plain host-a ikev2 remote-authentication psk plain host-b ikev2 local-id key-id wa1500 ikev2 remote-id key-id wa2600 ikev2 dpd interval 10 no shutdown ! ip route default PPPoE0 ip route 192.168.2.0/24 IPsec0 ! proxy-dns ip enable proxy-dns server default PPPoE0 ipcp ! nm ip enable

DNS

8-4

nm account wa-series-sample password plain testtest nm ddns notify interface PPPoE0 protocol ip nm ddns hostname wa1510 !


! hostname WA2610-AP ! interface GigaEthernet0.0 ip address 192.0.2.1/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ikev2 ipsec-mode tunnel ikev2 source-address GigaEthernet0.0 ikev2 peer wa1510.wa-series-sample.nmddns.jp ikev2 local-authentication psk plain host-b ikev2 remote-authentication psk plain host-a ikev2 local-id key-id wa2600 ikev2 remote-id key-id wa1500 ikev2 dpd interval 10 no shutdown ! ip route default 192.0.2.2 ip route 192.168.1.0/24 IPsec0 ! proxy-dns ip enable proxy-dns server default 192.0.2.2 !

DNS

8-5

■解説 [装置Ａ：WA1510 設定] nm ip enable

NetMeister サーバへの接続を有効化します。IPv6 アドレスを利用する場合はパラメー

タに ipv6 を指定します。 nm account wa-series-sample password plain testtest

予め NetMeister ユーザ管理サイトに登録したグループＩＤ、および装置更新パスワー

ドを設定します。本設定例では、グループＩＤを ”wa-series-sample”、装置更新パスワ

ードを ”testtest” としています。 nm ddns notify interface PPPoE0 protocol ip

NetMeister のダイナミックDNSに登録する IPアドレスが付与されたインタフェース、

および IP プロトコル（IPv4/IPv6）を設定します。IP プロトコルが IPv4 の場合 ”IP” 、IPv6 の場合 ”IPv6” となります。

nm ddns hostname wa1510 NetMeister のダイナミック DNS に登録するホスト名を設定します。本設定例では予めグループ ID（サブドメイン）を ” wa-series-sample” で登録してあ

りますので、装置Ａの FQDN は wa1510.wa-series-sample.nmddns.jp となります。 ip route default PPPoE0 proxy-dns ip enable proxy-dns server default PPPoE0 ipcp

NetMeister DDNS を利用するには、proxy-dns 機能が有効化されている必要がありま

す。 [装置Ｂ：WA2610-AP 設定] interface IPsec0 ikev2 peer wa1510.wa-series-sample.nmddns.jp

IPsec SA を確立する装置Ａの FQDN を設定します。 ip route default 192.0.2.2 proxy-dns ip enable proxy-dns server default 192.0.2.2

FQDN アドレス解決のために、proxy-dns 機能を有効化します。本設定例では、proxy-dns サーバの IP アドレス、および装置Ｂのデフォルト GW は “192.0.2.2” としていま

す。

DNS

8-6

8.2. WA シリーズ専用 DDNS サービスを利用しリモートメンテナンスを行う WA シリーズ専用 Dynamic DNS サービスを利用して、WA2610-AP をリモートでメンテナ

ンスする場合の設定を説明します。本設定は、以下の環境を想定した設定例です。・装置Ａをリモートからメンテナンスします。・装置Ａの WAN インタフェースは動的 IP アドレスです。・装置Ａの WAN 側 IP アドレス解決のために、WA シリーズ専用 DDNS サービスを利用し

ます。・セキュリティ強化のため、telnet で使用するポート番号の変更「6023 番」と、アクセス

リストによるフィルタリングを行います。 ■接続構成


・ GigaEthernet1.0 インタフェース設定・ PPPoE0 インタフェース設定・アクセスリスト設定・スタティックルート設定・プロキシ DNS 設定・ Dynamic DNS 設定

メモ

WA シリーズ専用 Dynamic DNS サービスをご利用になる場合の FQDN は装置固有で、任

意の FQDN を指定することは出来ません。

GE0.0

端末Ｂ

192.168.1.0/24 192.168.2.0/24

GE1.0 ルータインターネット


192.0.2.1/32（固定

IP

装置Ａ装置Ｂ

PPPoE00

（動的

IP

DynamicDNS サービス名称：waddns

FQDN : waXXXXX.waddns.com

telnet 使用ポート：6023

UNIVERGE WA2610-AP

端末Ａ

DNS

8-7


! hostname WA2610-AP ! ip access-list telport permit ip src 192.0.2.1/32 dest any ! ppp profile pppoe authentication username [email protected] authentication password plain test ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip filter telport 1 in ip napt enable ip napt reserve tcp 6023 no shutdown ! ip route default PPPoE0 ! proxy-dns ip enable proxy-dns server default PPPoE0 ipcp ! telnet-server ip port 6023 telnet-server ip enable ! ddns enable ddns interval 1 ddns account waddns source-ip auto !

DNS

8-8

■解説 [装置Ａ：WA2610-AP 設定] ip access-list telport permit ip src 192.0.2.1/32 dest any

リモートアクセスの接続機器を特定するアクセスリスト”telport”を設定します。ここでは、ソースアドレス”192.0.2.1”の端末の通信のみを許可します。

interface PPPoE0 ip filter telport 1 in

インタフェース PPPoE にアクセスリスト”telport”を適用します。入力パケット”in”に対

してフィルタを適用します。 ip napt enable ip napt reserve tcp 6023

NAPT を有効にします。リモートアクセスのための通信用のポート番号”tcp 6023”を NAPT 変換対象から除外

します。 proxy-dns ip enable proxy-dns server default PPPoE0 ipcp

プロキシ DNS を有効化します。プロキシ DNS が問合せを行う DNS サーバとして、IPCP にて取得した DNS サーバを

設定します。この設定は、本装置からの DNS 問合せをする際にも使用します。 telnet-server ip port 6023 telnet-server ip enable

セキュリティ強化のため telnet サーバの接続ポートを通常の 23 番から”6023”番に変更

します。 telnet サーバの起動を設定します。

ddns enable

Dynamic DNS を有効化します。動的 IP アドレス環境下から FQDN を使用して、WA シリーズや配下機器にアクセスす

ることが可能になります。 ddns interval 1

IP アドレス登録間隔を”1”分間隔に設定します。 ddns account waddns source-ip auto

WA シリーズ専用 Dynamic DNS へアカウントを登録します。 DDNS サーバには、WA 固有の FQDN と DDNS サーバへのアクセスに用いた IP アド

レスが登録されます。

IPsec

9-1

9. IPsec 設定 9.1. メインモードの IPsec 接続を行う IPsec メインモードを使用してインターネット上に VPN を構築する設定を説明します。本設定は、以下の環境を想定した設定例です。・装置Ａ、Ｂとも WAN 側 IP アドレスは固定 IP アドレスです。（固定 IP サービス契約）・暗号化アルゴリズムは AES-CBC、認証アルゴリズムは HMAC-SHA2 とします。・インターネットアクセスは行わず、IPsec による VPN 接続（拠点間通信）のみを行いま

す。 ■接続構成


・ GigaEthernet0.0 インタフェース設定・ GigaEthernet1.0 インタフェース設定・ IPsec インタフェース設定・ IKE プロポーザル設定・ IKE ポリシー設定・ IPsec プロポーザル設定・ IPsec ポリシー設定・ IPsec プロファイル設定・ルーティング設定

メモ

・Version 3.0.x、3.1.x ではトンネルモードのみサポートのため、本コマンドの有無に関わ

らず"tunnel"以外の動作は出来ません。

GE1.0 GE0.0

端末Ｂ

192.168.1.0/24 192.168.2.0/24

GE1.0 UNIVERGE IX2215



192.0.2.2/32（固定

IP 192.0.2.1/32（固定

IP

IPsec

IKE モード : Main IPsec 通信モード : Tunnel 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit

装置Ａ装置Ｂ

UNIVERGE WA2610-AP

端末Ａ

IPsec

9-2


! hostname WA2610-AP ! interface GigaEthernet0.0 ip address 192.0.2.1/32 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsecprof1 ip tcp adjust-mss auto no shutdown ! ip route 192.0.2.2/32 GigaEthernet0.0 ip route 192.168.2.0/24 IPsec0 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode main dpd-keepalive enable proposal ikeprop1 pre-shared-key plain test ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer 192.0.2.2 !

IPsec

9-3

以下に装置Ｂ（IX2215）の設定例を記載しますが詳細については IX マニュアルをご確認く

ださい。 [装置Ｂ：IX2215 設定]

! hostname IX2215 ! ip route 192.0.2.1/32 GigaEthernet0.0 ip route 192.168.1.0/24 Tunnel0.0 ! ip access-list list1 permit ip src any dest any ! ike proposal ikeprop1 encryption aes-256 hash sha2-256 ! ike policy ikepol1 peer 192.0.2.1 key test ikeprop1 ike keepalive ikepol1 10 3 ! ipsec autokey-proposal ipsecprop1 esp-aes-256 esp-sha2-256 ! ipsec autokey-map ipsecpol1 list1 peer 192.0.2.1 ipsecprop1 ! interface GigaEthernet0.0 ip address 192.0.2.2/32 no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown ! interface Tunnel0.0 tunnel mode ipsec ip unnumbered GigaEthernet1.0 ipsec policy tunnel ipsecpol1 out no shutdown !

■解説 [装置Ａ：WA2610-AP 設定] ike proposal ikeprop1

IKE プロポーザルを"ikeprop1"で設定します。 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256

使用するセキュリティプロトコルとアルゴリズムを設定します。暗号アルゴリズムを"aes256-cbc"、認証アルゴリズムを"hmac-sha2-256"に設定します。

lifetime 28800 IKE SA の有効期間を"28800"に設定します。（初期値：28800）

ike policy ikepol1

IKE ポリシーを"ikepol1"で設定します。 mode main

動作モードを"main"に設定します。 dpd-keepalive enable

IPsec

9-4

IPsec トンネルの通信断をリアルタイムに検出するために DPD-KeepAlive 機能を有効

化します。 DPD-KeepAlive の応答を受信できなくなると、SA を削除します。回線契約が従量課金の場合、DPD-KeepAlive は課金対象となりますので送信間隔やリ

トライ回数にご注意ください。 proposal ikeprop1

IKE プロポーザル"ikeprop1"を適用します。 pre-shared-key plain test

事前共有鍵（Pre-shared Key）を文字列"test"に設定します。 ipsec proposal ipsecprop1

IKE プロポーザルを"ipsecprop1"で設定します。 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256

使用するセキュリティプロトコルとアルゴリズムを設定します。暗号アルゴリズムを"aes256"、認証アルゴリズムを"sha2-256"に設定します。

lifetime 28800 IPsec SA の有効期間を"28800"に設定します。（初期値：28800）

ipsec policy ipsecpol1

IPsec ポリシーを"ipsecpol1"で設定します。 proposal ipsecprop1

IPsec プロポーザル"ipsecprop1"を適用します。 ipsec profile ipsecprof1

IPsec プロファイルを"ipsecprof1"で設定します。 mode tunnel

IPsec カプセル化モードを"tunnel"に設定します。 ipsec policy ipsecpol1

IPsec ポリシー"ipsecpol1"を適用します。 ike policy ikepol1

IKE ポリシー"ikepol1"を適用します。 source GigaEthernet0.0

IPsec SA を確立するソースインタフェースを"GigaEthernet0.0"に設定します。 peer 192.0.2.2

IPsec SA を確立する対向装置のアドレスを"192.0.2.2"に設定します。 ※メインモードでは、"any"は使用できません。

interface IPsec0

IPsec 通信を行うための専用の論理インタフェース"IPsec0"を設定します。 ip address unnumbered

論理インタフェース IPsec0 の IP アドレスは通信に使用しませんので、IP アドレス付

与は必要ありませんが、ルーティング設定を行いますので”unnumbered”を設定します。 ipsec map ipsecprof1

利用する IPsec プロファイル"ipsecprof1"を適用します。 IPsec インタフェースでは IPsec プロファイルで指定されている IPsec カプセル化モ

ードがトンネルモード時のみ有効となります。 ip tcp adjust-mss auto

IPsec

9-5

TCP MSS 調整機能を MSS 自動計算"auto"に設定します。 ip route 192.0.2.2/32 GigaEthernet0.0

対向先(Peer)向けのルーティングを設定します。本設定では、IPsec による VPN 接続

（拠点間通信）のみを行いますので、デフォルトルートの設定は行いません。 ip route 192.168.2.0/24 IPsec0

IPsec 通信が必要なパケットを、IPsec インタフェースに転送します。

IPsec

9-6

9.2. アグレッシブモードの IPsec 接続を行う IPsec アグレッシブモードを使用してインターネット上に VPN を構築する設定を説明しま

す。本設定は、以下の環境を想定した設定例です。・IPsec アグレッシブモード（装置Ａはイニシエータ、装置Ｂはレスポンダ）を使用しま

す。・暗号化アルゴリズムは AES-CBC、認証アルゴリズムは HMAC-SHA2 とします。・装置Ａではデータ通信端末（3G/LTE、動的 IP アドレス）を使用します。・インターネットアクセスと IPsec による VPN 接続（拠点間通信）の両方を行います。・動的 IP が付与される拠点側は、ローカル ID を指定します。・固定 IP が付与される拠点側は、リモート ID を指定します。・対向先（Peer）の IP アドレスが動的アドレスとなる場合は、peer any を指定します。 ■接続構成


・ LAN インタフェース設定・ WAN インタフェース設定・ IPsec インタフェース設定・ IKE プロポーザル設定・ IKE ポリシー設定・ IPsec プロポーザル設定・ IPsec ポリシー設定・ IPsec プロファイル設定・ルーティング設定・ NAPT 除外設定

メモ



GE1.0 ME0.0


（（（



3G/LTE

UNIVERGE WA1510 動的 IP

固定 IP 192.0.2.2/32

IPsec

端末Ｂ


192.168.1.0/24 192.168.2.0/24


装置Ｂ

UNIVERGE WA2610-AP

装置Ａ

IPsec

9-7


! hostname WA1510 ! no wireless-adapter enable ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 ip address dhcp ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp mobile id IP example.net mobile username test mobile password plain test auto-connect no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsecprof1 ip tcp adjust-mss auto no shutdown ! ip route default MobileEthernet0.0 ip route 192.168.2.0/24 IPsec0 ! proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive local-id key-id test2 dpd-keepalive enable ph1 20 3 proposal ikeprop1 pre-shared-key plain test ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800

IPsec

9-8

! ipsec policy ipsecpol1 local-id 192.168.1.0/24 remote-id 192.168.2.0/24 proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source MobileEthernet0.0 peer 192.0.2.2 !


! hostname WA2610-AP ! interface GigaEthernet0.0 ip address 192.0.2.2/32 ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown ! ip route default GigaEthernet0.0 ip route 192.168.1.0/24 IPsec0 ! proxy-dns ip enable proxy-dns server default 192.0.2.3 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive remote-id key-id test2

IPsec

9-9

dpd-keepalive enable ph1 20 3 proposal ikeprop1 pre-shared-key plain test ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 192.168.2.0/24 remote-id 192.168.1.0/24 commit-bit enable proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any !

■解説 [装置Ａ：WA1510 設定] ike proposal ikeprop1




ike policy ikepol1

IKE ポリシーを"ikepol1"で設定します。 mode aggressive

動作モードを"aggressive"に設定します。 local-id key-id test2

IKE フェーズ 1 で送信する自装置の ID ペイロードを設定します。ローカル ID を"key-id test2"に設定します。動的 IP が付与される拠点側は、ローカル ID を指定します。

dpd-keepalive enable ph1 20 3 IPsec トンネルの通信断をリアルタイムに検出するために DPD-KeepAlive 機能を有効



IKE プロポーザル"ikeprop1"を適用します。

IPsec

9-10

pre-shared-key plain test 事前共有鍵（Pre-shared Key）を文字列"test"に設定します。

ipsec proposal ipsecprop1





IPsec ポリシーを"ipsecpol1"で設定します。 local-id 192.168.1.0/24

IKE フェーズ 2 で送信する自装置側の ID ペイロードを設定します。ローカル ID を"192.168.1.0/24"に設定します。

remote-id 192.168.2.0/24 IKE フェーズ 2 で受信する対向装置の ID ペイロードを設定します。リモート ID を"192.168.2.0/24"に設定します。ローカル ID、リモート ID は対向拠点と対になるように設定する必要があります。

proposal ipsecprop1

IPsec プロポーザル"ipsecprop1"を適用します。 ipsec profile ipsecprof1




IKE ポリシー"ikepol1"を適用します。 source MobileEthernet0.0

IPsec SA を確立するソースインタフェースを"MobileEthernet0.0"に設定します。 peer 192.0.2.2

IPsec SA を確立する対向装置のアドレスを"192.0.2.2"に設定します。 interface IPsec0






IPsec

9-11

TCP MSS 調整機能を MSS 自動計算"auto"に設定します。 ip route default MobileEthernet0.0

インターネットアクセスのためにデフォルトルートを設定します。 ip route 192.168.2.0/24 IPsec0

IPsec 通信が必要なパケットを、IPsec インタフェースに転送します。 interface MobileEthernet0.0 ip napt enable




薦めします。 [装置Ｂ：WA2610-AP 設定] ike proposal ikeprop1




ike policy ikepol1


動作モードを"aggressive"に設定します。 remote-id key-id test2

IKE フェーズ 1 で受信する対向装置の ID ペイロードを設定します。リモート ID を"key-id test2"に設定します。固定 IP が付与される拠点側は、リモート ID を指定します。

dpd-keepalive enable ph1 20 3 IPsec トンネルの通信断をリアルタイムに検出するために DPD-KeepAlive 機能を有効



IPsec

9-12










commit-bit enable IKE フェーズ 2 でのコミットビット機能を有効化します。レスポンダのみに適用されます。 IKE フェーズ 1 でのコミットビット機能の設定としても使用されます。

proposal ipsecprop1 IPsec プロポーザル"ipsecprop1"を適用します。

ipsec profile ipsecprof1





IPsec SA を確立するソースインタフェースを"GigaEthernet0.0"に設定します。 peer any

IPsec SA を確立する対向装置のアドレスを"any"に設定します。対向先(Peer)の IP アドレスが動的アドレスとなる場合は、peer any を指定します。

interface IPsec0



与は必要ありませんが、ルーティング設定を行いますので”unnumbered”を設定します。

IPsec

9-13

ipsec map ipsecprof1 利用する IPsec プロファイル"ipsecprof1"を適用します。 IPsec インタフェースでは IPsec プロファイルで指定されている IPsec カプセル化モ


TCP MSS 調整機能を MSS 自動計算"auto"に設定します。 ip route default GigaEthernet0.0


IPsec 通信が必要なパケットを、IPsec インタフェースに転送します。 interface GigaEthernet0.0 ip napt enable




薦めします。

IPsec

9-14

9.3. IPsec トンネル経由でインターネットに接続する IPsec トンネルを経由して、対向ルータ側のゲートウェイからインターネットに接続する

場合の設定を説明します。本設定は、以下の環境を想定した設定例です。・IPsec アグレッシブモード（装置Ａはイニシエータ、装置Ｂはレスポンダ）を使用しま

す。・端末Ａは、IPsec トンネルから装置Ａを経由し、LAN 上のゲートウェイルータ（GW）を

介してインターネットにアクセスします。・装置Ａは、WAN インタフェースにデータ通信端末（3G/LTE、動的 IP アドレス）を使用

します。・装置Ｂのデフォルトゲートウェイ設定は、ゲートウェイルータ（GW：192.168.2.100）

です。・装置Ｂの IPsec 通信インタフェース（GE0.0）は、固定 IP アドレス：192.0.2.2 を使用

し、そのネクストホップアドレスは 192.0.2.3 です。・装置Ｂでは、対向先装置Ａの IP アドレスが動的 IP アドレスですので、IPsec peer は

peer any を指定します。 ■接続構成


・ LAN インタフェース設定・ WAN インタフェース設定・ IPsec インタフェース設定・ IKE プロポーザル設定・ IKE ポリシー設定・ IPsec プロポーザル設定・ IPsec ポリシー設定（outgoing-interface 設定）・ IPsec プロファイル設定

GE0.0 Serial0


（（（



3G/LTE

動的 IP

IPsec

端末Ｂ


192.168.1.0/24 192.168.2.0/24

GE0.0

端末Ａ

装置Ｂ

GW インターネット

.100 UNIVERGE WA2610-AP

固定 IP 192.0.2.2/32

192.0.2.3

UNIVERGE WA1510

GE1.0

装置Ａ

IPsec

9-15

・ルーティング設定・ NAPT 除外設定

メモ

・本事例で使用する outgoing-interface コマンドは、Version7.4.1 からのサポートです。 ■設定（コンフィグ作成バージョン：Ver7.4.1） [装置Ａ：WA1510 設定]

! hostname WA1510 ! no wireless-adapter enable ! ppp profile mobile authentication username test authentication password plain test ! interface GigaEthernet0.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Serial0 ip address ipcp ppp profile mobile ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp mobile id PPP 1 example.net mobile number *99***CID# auto-connect no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsecprof1 ip tcp adjust-mss auto no shutdown ! ip route default IPsec0 ip route 192.0.2.2/32 Serial0 ! proxy-dns ip enable proxy-dns server default 192.168.2.100 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc

IPsec

9-16

authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive local-id key-id test2 dpd-keepalive enable 20 3 proposal ikeprop1 pre-shared-key plain test ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 192.168.1.0/24 remote-id 192.168.2.0/24 proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source Serial0 peer 192.0.2.2 !


! hostname WA2610-AP ! interface GigaEthernet0.0 ip address 192.0.2.2/32 ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsecprof1 ip tcp adjust-mss auto no shutdown ! ip route default 192.168.2.100

IPsec

9-17

ip route 192.168.1.0/24 IPsec0 ! proxy-dns ip enable proxy-dns server default 192.168.2.100 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive remote-id key-id test2 outgoing-interface GigaEthernet0.0 192.0.2.3 dpd-keepalive enable 20 3 proposal ikeprop1 pre-shared-key plain test ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 192.168.2.0/24 remote-id 192.168.1.0/24 commit-bit enable proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any !





ike policy ikepol1


動作モードを"aggressive"に設定します。

IPsec

9-18

local-id key-id test2 IKE フェーズ 1 で送信する自装置の ID ペイロードを設定します。ローカル ID を"key-id test2"に設定します。動的 IP が付与される拠点側は、ローカル ID を指定します。

dpd-keepalive enable 20 3 IPsec トンネルの通信断をリアルタイムに検出するために DPD-KeepAlive 機能を有効

















IKE ポリシー"ikepol1"を適用します。 source Serial0

IPsec SA を確立するソースインタフェースを"Serial0"に設定します。 peer 192.0.2.2

IPsec SA を確立する対向装置のアドレスを"192.0.2.2"に設定します。

IPsec

9-19

interface IPsec0






TCP MSS 調整機能を MSS 自動計算"auto"に設定します。 ip route default IPsec0

IPsec 通信が必要なパケットを、IPsec インタフェースに転送します。 ip route 192.0.2.2/32 Serial0

IPsec peer 宛のパケットのみ、Serial0 インタフェースに転送します。 interface Serial0 ip napt enable








ike policy ikepol1


動作モードを"aggressive"に設定します。

IPsec

9-20

remote-id key-id test2 IKE フェーズ 1 で受信する対向装置の ID ペイロードを設定します。リモート ID を"key-id test2"に設定します。固定 IP が付与される拠点側は、リモート ID を指定します。

outgoing-interface GigaEthernet0.0 192.0.2.3 動的 IP アドレスの IPsec 対向先と、アグレッシブモード（ipsec peer any）で IPsec ト

ンネルを張るために本設定を施します。（デフォルトゲートウェイが IPsec 送信インタ

フェース先に設定されている場合は、本設定は不要です。）IPsec パケットの送信イン

タフェース（GigaEthernet0.0）と nexthop（192.0.2.3）を設定します。 dpd-keepalive enable 20 3

















IPsec

9-21




IPsec SA を確立するソースインタフェースを"GigaEthernet0.0"に設定します。 peer any


interface IPsec0






TCP MSS 調整機能を MSS 自動計算"auto"に設定します。 ip route default 192.168.2.100






薦めします。

IPsec

9-22

9.4. キャリアグレード NAT された通信網で IPsec 接続を行うキャリアグレード NAT（ラージスケール NAT）が設定されている通信事業者網で、IPsecアグレッシブモードを使用して VPN を構築する設定を説明します。本設定は、以下の環境を想定した設定例です。・NAT トラバーサル機能を使用して、キャリアグレード NAT 間で IPsec を確立します。・IPsec アグレッシブモード（装置Ａはイニシエータ、装置Ｂはレスポンダ）を使用しま

す。・暗号化アルゴリズムは AES-CBC、認証アルゴリズムは SHA2 MAC とします。・インターネットアクセスと IPsec による VPN 接続（拠点間通信）の両方を行います。・動的 IP が付与される拠点側は、ローカル ID を指定します。・固定 IP が付与される拠点側は、リモート ID を指定します。・対向先（Peer）の IP アドレスが動的アドレスとなる場合は、peer any を指定します。 ■接続構成


・ GigaEthernet0.0 インタフェース設定・ MobileEthernet0.0、GigaEthernet1.0 インタフェース設定・ IPsec インタフェース設定・ IKE プロポーザル設定・ IKE ポリシー設定・ IPsec プロポーザル設定・ IPsec ポリシー設定・ IPsec プロファイル設定・ルーティング設定・ NAPT 除外設定

メモ



GE1.0

ME0 内蔵モジュール

（（（モバイル

通信事業者

動的 IP

固定 IP 192.0.2.2/32

IPsec

端末Ｂ


192.168.1.0/24 192.168.2.0/24


装置Ｂ

UNIVERGE WA2610-AP

UNIVERGE WA1511

インターネットサービス

プロバイダ

アドレス変換装置Ａ

IPsec

9-23


! hostname WA1511 ! no wireless-adapter enable ! interface GigaEthernet0.0 no ip address shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 ip address dhcp ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve udp 4500 ip napt reserve icmp mobile id IP example.net mobile username test mobile password plain test auto-connect no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsecprof1 ip tcp adjust-mss auto no shutdown ! ip route default MobileEthernet0.0 ip route 192.168.2.0/24 IPsec0 ! proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive local-id key-id test2 dpd-keepalive enable 20 3 proposal ikeprop1

IPsec

9-24

pre-shared-key plain test nat-traversal enable keepalive 30 ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 192.168.1.0/24 remote-id 192.168.2.0/24 proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source Serial0 peer 192.0.2.2 !


! hostname WA2610-AP ! interface GigaEthernet0.0 ip address 192.0.2.2/32 ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve udp 4500 ip napt reserve icmp no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsecprof1 ip tcp adjust-mss auto no shutdown ! ip route default GigaEthernet0.0 ip route 192.168.1.0/24 IPsec0 ! proxy-dns ip enable proxy-dns server default 192.0.2.3 ! ike proposal ikeprop1

IPsec

9-25

encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive remote-id key-id test2 dpd-keepalive enable 20 3 proposal ikeprop1 pre-shared-key plain test nat-traversal enable keepalive 30 ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 192.168.2.0/24 remote-id 192.168.1.0/24 commit-bit enable proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any !





ike policy ikepol1


動作モードを"aggressive"に設定します。 local-id key-id test2


dpd-keepalive enable 20 3

IPsec

9-26





事前共有鍵（Pre-shared Key）を文字列"test"に設定します。 nat-traversal enable keepalive 30

NAT トラバーサル機能を有効化します。NAT セッションを保持するためキープアライ

ブパケットの送信間隔を”30 秒”に設定します。 ipsec proposal ipsecprop1













IKE ポリシー"ikepol1"を適用します。 source Serial0

IPsec SA を確立するソースインタフェースを"Serial0"に設定します。 peer 192.0.2.2

IPsec SA を確立する対向装置のアドレスを"192.0.2.2"に設定します。 interface IPsec0

IPsec

9-27






TCP MSS 調整機能を MSS 自動計算"auto"に設定します。 ip route default MobileEthernet0.0


IPsec 通信が必要なパケットを、IPsec インタフェースに転送します。 interface MobileEthernet0.0 ip napt enable


ESP、IKE(UDP500)を NAPT 処理の対象から外します。 ip napt reserve udp 4500

NAT トラバーサルで用いられる ISAKMP メッセージの送信元および宛先ポート番号

「4500」を NAPT 処理の対象から外します。 ip napt reserve icmp






ike policy ikepol1


IPsec

9-28

動作モードを"aggressive"に設定します。 remote-id key-id test2

IKE フェーズ 1 で受信する対向装置の ID ペイロードを設定します。リモート ID を"key-id test2"に設定します。固定 IP が付与される拠点側は、リモート ID を指定します。

dpd-keepalive enable 20 3 IPsec トンネルの通信断をリアルタイムに検出するために DPD-KeepAlive 機能を有効




事前共有鍵（Pre-shared Key）を文字列"test"に設定します。 nat-traversal enable keepalive 30

NAT トラバーサル機能を有効化します。NAT セッションを保持するためキープアライ

ブパケットの送信間隔を”30 秒”に設定します。 ipsec proposal ipsecprop1












IPsec カプセル化モードを"tunnel"に設定します。

IPsec

9-29

ipsec policy ipsecpol1 IPsec ポリシー"ipsecpol1"を適用します。

ike policy ikepol1 IKE ポリシー"ikepol1"を適用します。

source GigaEthernet0.0 IPsec SA を確立するソースインタフェースを"GigaEthernet0.0"に設定します。

peer any IPsec SA を確立する対向装置のアドレスを"any"に設定します。対向先(Peer)の IP アドレスが動的アドレスとなる場合は、peer any を指定します。

interface IPsec0






TCP MSS 調整機能を MSS 自動計算"auto"に設定します。 ip route default GigaEthernet0.0




ESP、IKE(UDP500)を NAPT 処理の対象から外します。 ip napt reserve udp 4500

NAT トラバーサルで用いられる ISAKMP メッセージの送信元および宛先ポート番号

「4500」を NAPT 処理の対象から外します。 ip napt reserve icmp


薦めします。

IPsec

9-30

9.5. peerFQDN を使用して動的 IP アドレス環境で IPsec 接続を行う動的 IP アドレス対向の環境において、Dynamic DNS と組み合わせることで、対向装置の

IP アドレスを FQDN 指定することが可能となり、IPsec 接続を確立することが可能です。

WAN 回線の IP アドレスが接続毎に変化する契約の場合でも IPsec 通信が可能となります。

IPsec のメインモードで peer コマンドの FQDN オプションを使用した場合の設定を説明

します。本設定は、以下の環境を想定した設定例です。・IPsec アグレッシブモード（装置Ａはイニシエータ、装置Ｂはレスポンダ）を使用しま

す。・暗号化アルゴリズムは AES-CBC、認証アルゴリズムは SHA2 MAC とします。・装置Ａ、Ｂとも WAN 側 IP アドレスは動的 IP アドレスを使用します。・装置Ａ、Ｂともインターネットアクセスが可能なように NAPT を設定します。・Dynamic DNS サービス名を testddns、ユーザ名を abcdef、パスワードを dynamic、FQDN

を wa*.example.net と設定します。サービスは架空のものです。 ■接続構成

■設定概要以下の設定を行います。・ルータモード設定・ IPsec インタフェース設定・ IKE プロポーザル設定・ IKE ポリシー設定・ IPsec プロポーザル設定・ IPsec ポリシー設定・ IPsec プロファイル設定

GE1.0 ME0.0

(内蔵モジュール)

（（（



動的 IP

IPsec

端末Ｂ

IKE モード : aggressive IPsec 通信モード : Tunnel 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit

192.168.1.0/24

192.168.2.0/24

GE1.0 PPPoE 端末Ａ

装置Ｂ

動的 IP

DynamicDNS サービス名称：testddns ユーザ名 : abcdef パスワード : dynamic

FQDN : wa2.example.com

装置Ａ

UNIVERGE WA2610-AP

UNIVERGE WA1511

IPsec

9-31

・ LAN インタフェース設定・ WAN インタフェース設定・スタティックルート設定・プロキシ DNS 設定・ Dynamic DNS 設定

メモ

・メインモードの利用はソフトウェアバージョン 4.0 から、ソフトウェアバージョン 3.2以前はアグレッシブモードのみ利用可能です。

・Peer FQDN の設定はアグレッシブモードのイニシエータ側でのみ利用できます。・装置 A に IKE ポリシーのアグレッシブモードの DPD KeepAlive の設定をすることを推

奨します。DPD KeepAlive の設定がされないと、装置 B 側の回線が切断された場合、SAが切れたのち、rekey によって SA が更新されるまで通信ができません。



IPsec

9-32


hostname WA1511 ! no wireless-adapter enable ! interface GigaEthernet0.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 ip address dhcp ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp mobile id IP example.net auto-connect no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsecprof1 no shutdown ! ip route 192.168.2.0/24 IPsec0 ip route default MobileEthernet0.0 ! proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive local-id key-id test2 dpd-keepalive enable proposal ikeprop1 pre-shared-key plain test ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 192.168.1.0/24

IPsec

9-33

remote-id 192.168.2.0/24 proposal ipsecprop1 ! ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source MobileEthernet0.0 peer wa2.example.net !


hostname WA2610-AP ! ppp profile pppoe authentication username [email protected] authentication password plain test ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsecprof1 no shutdown ! ip route 192.168.1.0/24 IPsec0 ip route default PPPoE0 ! proxy-dns ip enable

IPsec

9-34

proxy-dns server default PPPoE0 ipcp ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive remote-id key-id test2 dpd-keepalive enable proposal ikeprop1 pre-shared-key plain test ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 192.168.2.0/24 remote-id 192.168.1.0/24 commit-bit enable proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source PPPoE0 peer any ! ddns enable ddns interval 1 ddns account testddns interface PPPoE0 wa2.example.net username abcdef

password plain dynamic !





ike policy ikepol1


IPsec

9-35

動作モードを"aggressive"に設定します。 dpd-keepalive enable



トライ回数にご注意ください。 local-id key-id test2


proposal ikeprop1 IKE プロポーザル"ikeprop1"を適用します。

pre-shared-key plain test 事前共有鍵（Pre-shared Key）を文字列"test"に設定します。

ipsec proposal ipsecprop1













IKE ポリシー"ikepol1"を適用します。 source MobileEthernet0.0

IPsec SA を確立するソースインタフェースを"FastEthernet1.0"に設定します。 peer wa2.example.net

IPsec

9-36

対向先(Peer)には FQDN を設定します。対向先(Peer)は動的 IP アドレスですが、DNSサービスを利用して FQDN から IP アドレスを解決します。

interface IPsec0






TCP MSS 調整機能を MSS 自動計算"auto"に設定します。 ip route 192.168.2.0/24 IPsec0

IPsec 通信が必要なパケットを、IPsec インタフェースに転送します。

ip route default MobileEthernet0.0 インターネットアクセスのためにデフォルトルートを設定します。

interface MobileEthernet0.0 ip napt enable




薦めします。 proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp

プロキシ DNS を有効化します。Dynamic DNS サービスの名前解決のために必須です。 [装置Ｂ：WA2610-AP 設定] ike proposal ikeprop1




IPsec

9-37

ike policy ikepol1 IKE ポリシーを"ikepol1"で設定します。

mode aggressive 動作モードを"aggressive"に設定します。

remote-id key-id test2 IKE フェーズ 1 で受信する対向装置の ID ペイロードを設定します。リモート ID を"key-id test2"に設定します。固定 IP が付与される拠点側は、リモート ID を指定します。

dpd-keepalive enable IPsec トンネルの通信断をリアルタイムに検出するために DPD-KeepAlive 機能を有効













proposal ipsecprop1 IPsec プロポーザル"ipsecprop1"を適用します。ローカル ID、リモート ID は対向拠点と対になるように設定する必要があります。



IPsec

9-38



IKE ポリシー"ikepol1"を適用します。 source PPPoE0

IPsec SA を確立するソースインタフェースを"PPPoE0"に設定します。 peer any


interface IPsec0






TCP MSS 調整機能を MSS 自動計算"auto"に設定します。 ip route 192.168.1.0/24 IPsec0

IPsec 通信が必要なパケットを、IPsec インタフェースに転送します。 ip route default PPPoE0

インターネットアクセスのためにデフォルトルートを設定します。 proxy-dns ip enable proxy-dns server default PPPoE0 ipcp

プロキシ DNS を有効化します。Dynamic DNS サービスの名前解決のために必須です。 ddns enable

Dynamic DNS 機能を有効化します。 ddns account testddns interface PPPoE0 wa2.example.net username abcdef password plain dynamic

Dynamic DNS サービスのアカウントを登録します。 Dynamic DNS サービス名称を”testddns”、登録する IP アドレスを有するインタフェー

スを”PPPoE0”、登録する FQDN を” wa2.example.net”、ユーザー名を”abcdef”、パスワ

ードを”dynamic”に登録します。利用できるサービスは、WA シリーズ専用 DDNS サービス、または ieServer、MYDNSとなります。設定例では架空のサービス名を testddns としています。

ddns interval 1

Dynamic DNS サービスへの IP アドレス登録間隔を”1”分に設定します。

IPsec

9-39

9.6. IPsec 簡単コンフィグを使用して VPN 設定を行う IPsec 簡単コンフィグを使用することで、1 つのコマンドで VPN 構築に必要な設定を自動

で生成します。設定できることに限りはありますが、簡単且つ設定ミスを防ぐことができ

ます。本設定は、以下の環境を想定した設定例です。・装置Ａ、Ｂとも WAN 側 IP アドレスは固定 IP アドレスです。（固定 IP サービス契約）・暗号化アルゴリズムは AES-CBC、認証アルゴリズムは SHA2 MAC とします。・インターネットアクセスは行わず、IPsec による VPN 接続（拠点間通信）のみを行いま



・ IKE プロポーザル設定・ IKE ポリシー設定・ IPsec プロポーザル設定・ IPsec ポリシー設定・ IPsec プロファイル設定・ IPsec インタフェース設定

メモ

・端末間通信させるには、下記の設定を手動で入力する必要があります。 (1) GE0/GE1 の IP アドレス設定 (2) ルーティング設定 (3) IPsec SA を確立する Source インタフェース設定

・IPsec の基本的な設定を自動で生成します。作成する各名称は、全てパラメータ NAME

で指定した IPsec 識別名となります。mode を指定しない場合は aggressive モードを設

定します。

GE1.0 GE0.0

端末Ｂ

192.168.1.0/24 192.168.2.0/24




192.0.2.2/32（固定

IP 192.0.2.1/32（固定

IP

IPsec

IKE モード : Main IPsec 通信モード : Tunnel 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit

装置Ａ装置Ｂ

UNIVERGE WA2610-AP

端末Ａ

IPsec

9-40

・パラメータで指定した項目以外に以下の設定を自動で行います。

[IPsec インタフェース] ip address unnumberd no shutdown

[IKE プロポーザル] encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800

[IPsec プロポーザル] protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800

[IPsec ポリシー] proposal ipsec-prof-ipsecproposal

[IPsec プロファイル] mode tunnel

■設定（コンフィグ作成バージョン：Ver7.3.7） [CLI 実行]

create ipsec ipsec0 test peer 192.0.2.2 pre-shared-key plain test mode main

[装置Ａ：WA2610-AP 設定] ! hostname WA2600 ! interface GigaEthernet0.0 no ip address no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.200/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface IPsec0 ip address unnumbered ipsec map test1 no shutdown ! ike proposal test1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy test1 mode main proposal test1 pre-shared-key plain test2

IPsec

9-41

! ipsec proposal test1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy test1 proposal test1 ! ipsec profile test1 mode tunnel ipsec policy test1 ike policy test1 peer 192.0.2.2 !

[装置Ａ：WA2610-AP 設定（追加設定：手動）] 端末間通信させるためには下記を追加設定してください。

! interface GigaEthernet0.0 ip address 192.0.2.1/32 ! interface GigaEthernet1.0 ip address 192.168.1.254/24 ! interface IPsec0 ip tcp adjust-mss auto ! ip route 192.0.2.2/32 GigaEthernet0.0 ip route 192.168.2.0/24 IPsec0 ! ike policy test dpd-keepalive enable ! ipsec profile test source GigaEthernet0.0 !



! hostname IX2215 ! ip route 192.0.2.1/32 GigaEthernet0.0 ip route 192.168.1.0/24 Tunnel0.0 ! ip access-list list1 permit ip src any dest any ! ike proposal ikeprop1 encryption aes-256 hash sha2-256 ! ike policy ikepol1 peer 192.0.2.1 key test ikeprop1 ike keepalive ikepol1 10 3

IPsec

9-42

! ipsec autokey-proposal ipsecprop1 esp-aes-256 esp-sha2-256 ! ipsec autokey-map ipsecpol1 list1 peer 192.0.2.1 ipsecprop1 ! interface GigaEthernet0.0 ip address 192.0.2.2/32 no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown ! interface Tunnel0.0 tunnel mode ipsec ip unnumbered GigaEthernet1.0 ipsec policy tunnel ipsecpol1 out no shutdown !

■解説 [装置Ａ：WA2610-AP 設定] ike proposal test1

IKE プロポーザルを"test1"で設定します。（CLI 自動設定） encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256

使用するセキュリティプロトコルとアルゴリズムを設定します。暗号アルゴリズムを"aes256-cbc"、認証アルゴリズムを"hmac-sha2-256"に設定します。（CLI 自動設定）

lifetime 28800 IKE SA の有効期間を"28800"に設定します。（初期値：28800）（CLI 自動設定）

ike policy test1

IKE ポリシーを"test1"で設定します。（CLI 自動設定） mode main

動作モードを"main"に設定します。（CLI で設定可能） proposal test1

IKE プロポーザル"test1"を適用します。（CLI 自動設定） pre-shared-key plain test2

事前共有鍵（Pre-shared Key）を文字列"test2"に設定します。（CLI 自動設定） ipsec proposal test1

IKE プロポーザルを"test1"で設定します。（CLI 自動設定） protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256

使用するセキュリティプロトコルとアルゴリズムを設定します。暗号アルゴリズムを"aes256"、認証アルゴリズムを"sha2-256"に設定します。（CLI 自動設定）

lifetime 28800 IPsec SA の有効期間を"28800"に設定します。（初期値：28800）（CLI 自動設定）

IPsec

9-43

ipsec policy test1

IPsec ポリシーを"test1"で設定します。（CLI 自動設定） proposal test1

IPsec プロポーザル"test1"を適用します。（CLI 自動設定） ipsec profile test1

IPsec プロファイルを"test1"で設定します。（CLI 自動設定） mode tunnel

IPsec カプセル化モードを"tunnel"に設定します。（CLI 自動設定） ipsec policy test1

IPsec ポリシー"test1"を適用します。（CLI 自動設定） ike policy test1

IKE ポリシー"test1"を適用します。（CLI 自動設定） peer 192.0.2.2

IPsec SA を確立する対向装置のアドレスを"192.0.2.2"に設定します。（CLI 自動設定） ※メインモードでは、"any"は使用できません。

interface IPsec0

IPsec 通信を行うための専用の論理インタフェース"IPsec0"を設定します。（CLI 自動設

定） ip address unnumbered


与は必要ありませんが、ルーティング設定を行いますので”unnumbered”を設定します。（CLI 自動設定）

ipsec map test1 利用する IPsec プロファイル"test1"を適用します。 IPsec インタフェースでは IPsec プロファイルで指定されている IPsec カプセル化モ

ードがトンネルモード時のみ有効となります。（CLI 自動設定）

IPsec

9-44

9.7. NGN 閉域網で NetMeister のダイナミック DNS による IPsec 接続 NGN 閉域網内で割り当てられる IPv6 半固定アドレスを NetMeister のダイナミック DNSに登録し、peerFQDN を使用して NGN 閉域網内で VPN 接続する設定を説明します。本設定は、以下の環境を想定した設定例です。・装置Ａ、Ｂの WAN 側は、NTT 東日本の NGN 閉域網 IPv6 に接続します。・装置Ａ、Ｂの WAN 側 IP アドレス解決のために、GW 経由で NetMeister のダイナミッ

ク DDNS を利用します。インターネット通信はせず、NGN 閉域網内で VPN 接続します。メモ

・NTT 東日本と NTT 西日本の NGN 閉域網はそれぞれ独立しているため、NTT 東日本と

NTT 西日本間で通信する場合は、別途 ISP 契約をして頂き、通常のインターネット VPN接続の設定をしてください。

■接続構成


・ IPsec インタフェース設定・ IKE プロポーザル設定・ IKE ポリシー設定・ IPsec プロポーザル設定・ IPsec ポリシー設定・ IPsec プロファイル設定・ LAN インタフェース設定・ WAN インタフェース設定・スタティックルート設定・プロキシ DNS 設定・ NetMeister 設定

メモ

・NGN 閉域網 IPv6 の利用はソフトウェアバージョン 8.0.X から、利用可能です。

GE1.0 GE0.0

NGN 閉域網 NTT 東日本

IPv6半固定

IPsec

端末Ｂ

192.168.10.0/24 192.168.1.0/24


装置Ｂ

IPv6半固定

NetMeiste ダイナミック DNS

FQDN： tiba-1. wa-sample.v6.nmddns.jp

装置Ａ

UNIVERGE WA2610-AP

GW

FQDN： tokyo-1. wa-sample.v6.nmddns.jp

UNIVERGE WA1510

アドレス登録

peerFQDN 解決

アドレス登録

peerFQDN 解決

IPsec

9-45

■設定（コンフィグ作成バージョン：Ver8.0.3） [装置Ａ：WA2610-AP 設定] ! hostname WA2600 ! ip dhcp-server enable ip dhcp-server profile default default-gateway auto dns-server auto subnet-mask auto ! ipv6 dhcp-client profile default information-request option-request dns-servers option-request ntp-servers ! interface GigaEthernet0.0 no ip address ipv6 dhcp-client binding default ipv6 enable ipv6 address autoconfig receive-default no shutdown ! interface GigaEthernet1.0 ip address 192.168.10.200/24 ip dhcp-server binding default no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown ! ip route 192.168.1.0/24 IPsec0 ! proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 dh-group 1024-bit ! ike policy ikepol1 mode main dpd-keepalive enable ph1 20 3

IPsec

9-46

proposal ikeprop1 pre-shared-key plain secret-vpn ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 rekey enable always proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer tiba-1.wa-sample.v6.nmddns.jp ipv6 ! nm ipv6 enable ngn-private east nm account wa-sample password plain testtest nm sitename tokyo nm ddns notify interface GigaEthernet0.0 nm ddns hostname tokyo-1 ! [装置 B：WA1510 設定] ! hostname WA1500 ! no wireless-adapter enable ! ipv6 dhcp-client profile default information-request option-request dns-servers option-request ntp-servers ! interface GigaEthernet0.0 no ip address ipv6 dhcp-client binding default ipv6 enable ipv6 address autoconfig receive-default no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.200/24 ip dhcp-server binding default no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto

IPsec

9-47

ipsec map ipsecprof1 no shutdown ! ip route 192.168.10.0/24 IPsec0 ! proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 dh-group 1024-bit ! ike policy ikepol1 mode main dpd-keepalive enable ph1 20 3 proposal ikeprop1 pre-shared-key plain secret-vpn ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 rekey enable always proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer tokyo-1.wa-sample.v6.nmddns.jp ipv6 ! ! nm ipv6 enable ngn-private east nm account wa-sample password plain testtest nm sitename tiba nm ddns notify interface GigaEthernet0.0 nm ddns hostname tiba-1 ! ■解説 [装置Ａ：WA2610-AP 設定]

IPsec

9-48

ipsec profile ipsecprof1 peer tokyo-1.wa-sample.v6.nmddns.jp ipv6

対向先(Peer)に対向装置の FQDN を設定します。NetMeister のダイナミック DNS を

使用することで、NGN 閉域網内であっても FQDN から IPv6 アドレスを解決します。 nm ipv6 enable ngn-private east

NGN 閉域網内で、NetMeister 機能を有効にします。 nm ipv6 enable ngn-private { east | west }

east ： NTT 東日本のサービスを利用します。 west ： NTT 西日本のサービスを利用します。

本設定例では、NTT 東日本の NGN 閉域網を利用するため east を設定します。 nm account wa-sample password plain testtest

予め NetMeister 管理サイトに登録したグループＩＤ、およびグループパスワードを設

定します。本設定例では、グループＩＤを ”wa-sample”、グループパスワード

を ”testtest” としています。 nm sitename tokyo

本装置に拠点名を紐づけます。紐づけられた拠点名は NetMeister 管理サイトで表示さ

れます。本設定例では、拠点名を”tokyo”としています。 nm ddns notify interface GigaEthernet0.0

GigaEthernet0.0 インタフェースに割り当てられた IPv6 半固定アドレスを NetMeisterのダイナミック DNS に登録します。

nm ddns hostname tokyo-1 NetMeister のダイナミック DNS に登録するドメインに使用するホスト名を設定しま

す。本設定例では、ホスト名を”tokyo-1”としています。

IKEv2/IPsec

10-1

10. IKEv2/IPsec 設定 10.1. IPv6 網に IKEv2/IPsec トンネルを生成し、拠点間通信を行う IKEv2/IPsec を使用して、IPv6 網経由で VPN を構築する設定を説明します。 WAN 側が有線回線の装置Ｂをセンターとし、NetMeister DDNS を使用することで、WAN側モバイル回線の装置Ａから VPN 接続します。本設定は、以下の環境を想定した設定例です。・装置Ａ、Ｂとも WAN 側 IP アドレスは動的 IPv6 アドレスです。・装置Ｂの IPv6 アドレスを NetMeister DDNS に登録し、装置 A の IPsec 設定の peer に

その FQDN を設定します。・IKEv2 の暗号化アルゴリズム、認証アルゴリズム等は明示的に設定せず、装置Ａ、Ｂが

自動で設定します。・インターネットアクセスは行わず、IKEv2/IPsec による VPN 接続（拠点間通信）のみを

行います。・IPsec トンネル内は IPv4 通信のみ透過します。 ■接続構成


・ DHCPv6 クライアントプロファイルの設定・ WAN インタフェース設定・プロキシ DNS の設定・プロファイルの設定・ IPsec インタフェース設定・ルーティング設定

GE1.0 ME0.0

端末Ｂ

192.168.1.0/24 192.168.10.0/24

GE1.0 GE0.0 インターネット


IKEv2/IPsec(IPv6)

IPsec 通信モード : Tunnel

装置Ａ装置Ｂ

UNIVERGE WA2612-AP

UNIVERGE WA2610-AP

RA 受信 RA 受信

DDNS サービス：NetMeister FQDN：wa2610.wa-series-

sample.nmddns.jp

DNS サーバ：2001:db8:0:0:abc::1

端末Ａ

IKEv2/IPsec

10-2


! hostname WA2600 ! ip access-list sec-lst permit ip src any dest any ! ipv6 dhcp-client profile default information-request option-request dns-servers ! interface GigaEthernet1.0 ip address 192.168.1.200/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 ip address dhcp ipv6 dhcp-client binding default ipv6 enable ipv6 address autoconfig receive-default mobile id IPv6 test mobile username test@test mobile password plain test auto-connect no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ikev2 binding IKEv2-prof1 no shutdown ! ip route 192.168.10.0/24 IPsec0 ! proxy-dns ipv6 enable proxy-dns server default MobileEthernet0.0 dhcpv6 ! ikev2 profile IKEv2-prof1 ipsec-mode tunnel source-address MobileEthernet0.0 peer wa2610.wa-series-sample.nmddns.jp ipv6 local-authentication psk plain wa2612 remote-authentication psk plain wa2610 local-id key-id 192.168.1.1 remote-id key-id 192.168.10.1 match sec-lst !

IKEv2/IPsec

10-3

[装置Ｂ：WA2610-AP 設定] ! hostname WA2600 ! ip access-list sec-lst permit ip src any dest any ! ipv6 dhcp-client profile default information-request option-request ntp-servers ! interface GigaEthernet0.0 no ip address ipv6 dhcp-client binding default ipv6 enable ipv6 address autoconfig receive-default no shutdown ! interface GigaEthernet1.0 ip address 192.168.10.200/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ikev2 binding IKEv2-prof1 no shutdown ! ip route 192.168.1.0/24 IPsec0 ! ikev2 profile IKEv2-prof1 ipsec-mode tunnel source-address GigaEthernet0.0 peer any ipv6 local-authentication psk plain wa2610 remote-authentication psk plain wa2612 local-id key-id 192.168.10.1 remote-id key-id 192.168.1.1 match sec-lst ! ipv6 name-server 2001:db8:0:0:abc::1 ! sntp-client enable ntp-server server dhcpv6 interface GigaEthernet0.0 ! nm ipv6 enable nm account wa-series-sample password plain testtest nm ddns notify interface GigaEthernet0.0 protocol ipv6 nm ddns hostname wa2610 !

IKEv2/IPsec

10-4

■解説 [装置Ａ：WA2612-AP 設定] ip access-list sec-lst permit ip src any dest any

IPsec を適用する通信をアクセスリストで指定します。IPv4 通信が適用されます。 ipv6 dhcp-client profile default

DHCPv6 クライアントプロファイルを"default"で設定します。 information-request option-request dns-servers

DNS サーバのアドレスを要求する設定をします。

interface MobileEthernet0.0 ipv6 dhcp-client binding default

DHCPv6 クライアントプロファイル”default”を適用します。 ipv6 enable

インタフェースの IPv6 を有効にします。 ipv6 address autoconfig receive-default

RA を配布するルータ宛てにデフォルトルートを設定します。 mobile id IPv6 test

PDPtype で IPv6 を指定し、APN を設定します。 interface IPsec0 ip address unnumbered

ルーティング設定を行いますので”unnumbered”を設定します。 ikev2 binding IKEv2-prof1

IPsec0 インタフェースに設定する IKEv2 プロファイルを設定します。 ip route 192.168.10.0/24 IPsec0

対向先の LAN 側ネットワーク宛てにルーティングを設定します。 proxy-dns ipv6 enable proxy-dns server default MobileEthernet0.0 dhcpv6

IPv6 のプロキシ DNS を有効にし、代理問い合わせする IPv6 の DNS サーバのアドレス

を登録します。 ikev2 profile IKEv2-prof1 ipsec-mode tunnel

IPsec カプセル化モードを”tunnel”に設定します。 source-address MobileEthernet0.0

Child-SA を確立するソースインタフェースを設定します。 peer wa2610.wa-series-sample.nmddns.jp ipv6

Child-SA を確立する対向装置の IPv6 アドレスの FQDN を設定します。 local-authentication psk plain wa2612

ikev2 自装置認証の設定をします。 remote-authentication psk plain wa2610

ikev2 対向装置認証の設定をします。 local-id key-id 192.168.1.1

IKEv2/IPsec

10-5

ikev2 ローカル ID の設定をします。 remote-id key-id 192.168.10.1

ikev2 リモート ID の設定をします。 match sec-lst

IPsec を適用する通信のアクセスリストを選択します。 [装置Ｂ：WA2610-AP 設定] ip access-list sec-lst permit ip src any dest any

IPsec を適用する通信をアクセスリストで指定します。IPv4 通信が適用されます。 ipv6 dhcp-client profile default

DHCPv6 クライアントプロファイルを"default"で設定します。 information-request option-request ntp-servers

NTP サーバのアドレスを要求する設定をします。 interface GigaEthernet0.0

ipv6 dhcp-client binding default DHCPv6 クライアントプロファイル”default”を適用します。

ipv6 enable インタフェースの IPv6 を有効にします。

ipv6 address autoconfig receive-default RA を配布するルータ宛てにデフォルトルートを設定します。

interface IPsec0 ip address unnumbered

ルーティング設定を行いますので”unnumbered”を設定します。 ikev2 binding IKEv2-prof1

IPsec0 インタフェースに設定する IKEv2 プロファイルを設定します。 ip route 192.168.1.0/24 IPsec0

対向先の LAN 側ネットワーク宛てにルーティングを設定します。 ikev2 profile IKEv2-prof1 ipsec-mode tunnel

IPsec カプセル化モードを”tunnel”に設定します。 source-address MobileEthernet0.0

Child-SA を確立するソースインタフェースを設定します。 Peer any ipv6

Child-SA を確立する相手のアドレスとして、全ての IPv6 アドレスを許容します local-authentication psk plain wa2610

ikev2 自装置認証の設定をします。 remote-authentication psk plain wa2612

ikev2 対向装置認証の設定をします。 local-id key-id 192.168.10.1

ikev2 ローカル ID の設定をします。 remote-id key-id 192.168.1.1

ikev2 リモート ID の設定をします。

IKEv2/IPsec

10-6

match sec-lst IPsec を適用する通信のアクセスリストを選択します。

ipv6 name-server 2001:db8:0:0:abc::1

通信事業者が指定した IPv6 の DNS サーバを設定します。 sntp-client enable ntp-server server dhcpv6 interface GigaEthernet0.0

sntp クライアント機能を有効化し、DHCPv6 クライアントにて取得した NTP サーバを

使用する設定をします。 nm ipv6 enable

NetMeister DDNS サーバ機能を有効化し、IPv6 で送信します。 nm account wa-series-sample password plain testtest

NetMeister に登録したグループ ID とパスワードを設定します。 nm ddns notify interface GigaEthernet0.0 protocol ipv6

NetMeister へ IPv6 アドレスを登録する対象インタフェースを設定します。 nm ddns hostname wa2610

NetMeister に登録するドメインに使用するホスト名を設定します。

L2 トンネル

11-1

11. L2 トンネル設定

EtherIP 接続を行うイーサネットフレームを IP パケットでカプセル化し、離れた拠点間をブリッジ接続する

EtherIP 機能の基本的な設定を説明します。 ■接続構成


・ブリッジ設定・ EtherIP インタフェース設定


! hostname WA2610-AP ! bridge ieee enable ! interface GigaEthernet0.0 ip address 172.16.0.254/16 no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface EtherIP0 bridge ieee 1 ether-ip peer 172.16.0.253 ether-ip source GigaEthernet0.0 no shutdown !

GE1.0 GE0.0

172.16.0.0/16

端末Ｂ

192.168.1.0/24 192.168.1.0/24


GE0.0

.254 .253

装置Ａ装置Ｂ

UNIVERGE WA2610-AP

EtherIP

端末Ａ

L2 トンネル

11-2



! hostname IX2215 ! bridge irb enable ! interface GigaEthernet0.0 ip address 172.16.0.253/16 no shutdown ! interface GigaEthernet1.0 no ip address bridge-group 1 no shutdown ! interface Tunnel0.0 tunnel mode ether-ip ip tunnel destination 172.16.0.254 tunnel source GigaEthernet0.0 no ip address bridge-group 1 no shutdown !

■解説 bridge ieee enable


ブリッジ接続するインタフェース GigaEthernet1.0 でブリッジを動作させます。 interface EtherIP0 bridge ieee 1 ether-ip peer 172.16.0.253 ether-ip source GigaEthernet0.0

論理インタフェース EtherIP0 でブリッジを動作させ、IP カプセル化するソースインタ

フェース指定と宛先 IP アドレスを指定します。本設定例では、ソースインタフェース

を” GigaEthernet0.0”、宛先を” 172.16.0.253”としています。ソース指定は IP アドレス

でも設定可能です。

L2 トンネル

11-3

EtherIP over IPsec（メイン／トランスポート）接続を行う EtherIP と IPsec を併用することで、セキュリティを保ったままインターネット間でブリ

ッジ接続を行うことができます。 IKE メインモード／IPsec トランスポートモードを使用した EtherIP 設定を説明します。 ■接続構成


・ WAN インタフェース設定・ブリッジ設定・ EtherIP インタフェース設定

FE0.0 Serial0


（（（

ワイヤレスデータ通信事業者


3G/LTE

UNIVERGE WA1510

固定 IP 192.0.2.1

固定 IP 192.0.2.2

EtherIP over IPsec

端末Ｂ

IKE モード : Main IPsec 通信モード : Transport 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit

192.168.1.0/24 192.168.1.0/24

GE1.0 GE0.0

端末Ａ

装置Ａ装置Ｂ

UNIVERGE WA2610-AP

L2 トンネル

11-4


! hostname WA1510 ! no wireless-adapter enable ! ppp profile mobile authentication username test authentication password plain test ! bridge ieee enable ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Serial0 ip address ipcp ppp profile mobile ipsec map ipsecprof1 mobile id PPP 1 exmaple.net mobile number *99***CID# auto-connect no shutdown ! interface EtherIP0 bridge ieee 1 bridge ip tcp adjust-mss 1286 ether-ip peer 192.0.2.2 ether-ip source Serial0 no shutdown ! ip route default Serial0 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode main dpd-keepalive enable ph1 proposal ikeprop1 pre-shared-key plain test ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800

L2 トンネル

11-5

! ipsec policy ipsecpol1 proposal ipsecprop1 ! ipsec profile ipsecprof1 mode transport ipsec policy ipsecpol1 ike policy ikepol1 source Serial0 peer 192.0.2.2 !


! hostname WA2610-AP ! bridge ieee enable ! interface GigaEthernet0.0 ip address 192.0.2.2/32 ipsec map ipsecprof1 no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface EtherIP0 bridge ieee 1 bridge ip tcp adjust-mss 1286 ether-ip peer 192.0.2.1 ether-ip source GigaEthernet0.0 no shutdown ! ip route default 192.0.2.1 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode main dpd-keepalive enable ph1 proposal ikeprop1 pre-shared-key plain test ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800

L2 トンネル

11-6

! ipsec policy ipsecpol1 proposal ipsecprop1 ! ipsec profile ipsecprof1 mode transport ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer 192.0.2.1 !

■解説 [装置Ａ：WA1510] bridge ieee enable


ブリッジ接続するインタフェースでブリッジを動作させます。 interface EtherIP0 bridge ieee 1 ether-ip peer 192.0.2.2 ether-ip source Serial0


フェースと宛先 IP アドレスを指定します。本設定例では、EtherIP フレームのソース

アドレスはインタフェース Serial0 アドレス、宛先アドレスは”192.0.2.2”としています。ソース指定は IP アドレスでも設定可能です。

bridge ip tcp adjust-mss 1286 TCP/IP パケットのフラグメントを防ぐために、tcp-mss 調整を設定します。本設定例

では、MSS 長を”1286”バイトに設定していますが、EtherIP の MTU 長（MSS 長）は、

カプセル化したパケットを出力するインタフェースの MTU 長や、IPsec 機能との併用

有無によって変わりますので、環境に適した値を設定してください。 [装置Ｂ：WA2610-AP 設定] bridge ieee enable


ブリッジ接続するインタフェースでブリッジを動作させます。 interface EtherIP0 bridge ieee 1 ether-ip peer 192.0.2.1 ether-ip source GigaEthernet0.0

L2 トンネル

11-7



アドレスはインタフェース GigaEthernet0.0 アドレス、宛先アドレスは”192.0.2.1”とし

ています。ソース指定は IP アドレスでも設定可能です。 bridge ip tcp adjust-mss 1286

TCP/IP パケットのフラグメントを防ぐために、tcp-mss 調整を設定します。本設定例



有無によって変わりますので、環境に適した値を設定してください。

L2 トンネル

11-8

EtherIP over IPsec（アグレッシブ／トランスポート）接続を行う EtherIP と IPsec を併用することで、セキュリティを保ったままインターネット間でブリ

ッジ接続を行うことができます。 IKE アグレッシブモード／IPsec トランスポートモードを使用した EtherIP 設定を説明し

ます。 ■接続構成


・ WAN インタフェース設定・ブリッジ設定・ EtherIP インタフェース設定

GE1.0 ME0.0


（（（



UNIVERGE WA1511

動的 IP GE1.0 GE0.0

固定 IP: 192.0.2.1

EtherIP over IPsec

端末Ｂ

IKE モード : Aggressive IPsec 通信モード : Transport 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit

192.168.1.0/24 192.168.1.0/24

UNIVERGE IX2215

装置Ａ装置Ｂ

端末Ａ

L2 トンネル

11-9


! hostname WA1511 ! no wireless-adapter enable ! bridge ieee enable ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 ip address dhcp ipsec map ipsecprof1 mobile id IP example.net mobile username test mobile password plain test auto-connect no shutdown ! interface EtherIP0 bridge ieee 1 bridge ip tcp adjust-mss 1286 ether-ip peer 192.0.2.1 ether-ip source MobileEthernet0.0 no shutdown ! ip route default MobileEthernet0.0 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive local-id key-id test2 proposal ikeprop1 pre-shared-key plain test ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 1.1.1.1/32 remote-id 2.2.2.2/32

L2 トンネル

11-10

proposal ipsecprop1 ! ipsec profile ipsecprof1 mode transport ipsec policy ipsecpol1 ike policy ikepol1 source MobileEthernet0.0 peer 192.0.2.1 !



! hostname IX2215 ! ip route default 192.0.2.2 ! ip access-list list1 permit ip src any dest any ! ike proposal ikeprop1 encryption aes-256 hash sha2-256 ! ike policy ikepol1 peer any key test mode aggressive ikeprop1 ike remote-id ikepol1 keyid test2 ! ipsec autokey-proposal ipsecprop1 esp-aes-256 esp-sha2-256 ! ipsec dynamic-map ipsecpol1 list1 ipsecprop1 ipsec local-id ipsecpol1 2.2.2.2 ipsec remote-id ipsecpol1 1.1.1.1 ! bridge irb enable ! interface GigaEthernet0.0 ip address 192.0.2.1/24 no shutdown ! interface GigaEthernet1.0 no ip address bridge-group 1 no shutdown ! interface Tunnel0.0 tunnel mode ether-ip ipsec no ip address ipsec policy transport ipsecpol1 bridge-group 1 no shutdown !

L2 トンネル

11-11



ブリッジ接続するインタフェース GigaEthernet1.0 でブリッジを動作させます。 interface EtherIP0 bridge ieee 1 ether-ip peer 192.0.2.1 ether-ip source MobileEthernet0.0



アドレスはインタフェース MobileEthernet0.0 アドレス、宛先アドレスは”192.0.2.1”としています。ソース指定は IP アドレスでも設定可能です。

bridge ip tcp adjust-mss 1286 TCP/IP パケットのフラグメントを防ぐために、tcp-mss 調整を設定します。本設定例



有無によって変わりますので、環境に適した値を設定してください。

L2 トンネル

11-12

L2TPv3 over IPsec（メイン／トンネル）接続を行う L2TPv3 と IPsec を併用することで、セキュリティを保ったままインターネット間でブリ

ッジ接続を行うことができます。 IKE メインモード／IPsec トンネルモードを使用した L2TPv3 設定を説明します。 ■接続構成


・ WAN インタフェース設定・ LAN インタフェース設定・ IPsec インタフェース設定・ブリッジ設定・ L2TPv3 インタフェース設定・ルーティング設定

GE1.0



GE1.0

GE0.0 固定 IP: 192.0.2.2

L2TPv3 over IPsec

装置Ａ

装置Ｂ

192.168.1.0/24

UNIVERGE WA2610-AP

UNIVERGE WA2610-AP

GE1.0

GE0.0

固定 IP: 192.0.2.3 装置 C

UNIVERGE WA2610-AP

端末Ａ

端末Ｂ

192.168.2.0/24

固定 IP: 192.0.2.1

GE0.0

192.168.1.0/24

192.168.2.0/24 L2TPv3 over IPsec

PortVLAN

L2 トンネル

11-13


! hostname WA2610-AP ! bridge ieee enable ! interface GigaEthernet0.0 ip address 192.0.2.1/24 ip tcp adjust-mss auto no shutdown ! interface GigaEthernet1.0 vlan-type port VLAN0 port 1 2 vlan-type port VLAN1 port 3 4 no ip address no shutdown ! interface Loopback0.0 ip address 1.1.1.1/32 no shutdown ! interface Loopback1.0 ip address 2.2.2.2/32 no shutdown ! interface L2TP0 l2tp encapsulation l2tpv3 l2tp source Loopback0.0 l2tp peer 3.3.3.3 bridge ieee 1 bridge ip tcp adjust-mss 1312 no shutdown ! interface L2TP1 l2tp encapsulation l2tpv3 l2tp source Loopback1.0 l2tp peer 4.4.4.4 bridge ieee 2 bridge ip tcp adjust-mss 1312 no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsecprof0 ip tcp adjust-mss auto no shutdown ! interface IPsec1 ip address unnumbered ipsec map ipsecprof1 ip tcp adjust-mss auto no shutdown !

L2 トンネル

11-14

interface vlan0 no ip address bridge ieee 1 no shutdown ! interface vlan1 no ip address bridge ieee 2 no shutdown ! ip route 3.3.3.3/32 ipsec0 ip route 4.4.4.4/32 ipsec1 ! ike proposal ikeprop0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol0 mode main proposal ikeprop0 pre-shared-key plain test0 ! ike policy ikepol1 mode main proposal ikeprop1 pre-shared-key plain test1 ! ipsec proposal ipsecprop0 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol0 proposal ipsecprop0 ! ipsec policy ipsecpol1 proposal ipsecprop1 ! ipsec profile ipsecprof0 mode tunnel ipsec policy ipsecpol0 ike policy ikepol0 source GigaEthernet0.0 peer 192.0.2.2 ! ipsec profile ipsecprof1

L2 トンネル

11-15

mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer 192.0.2.3 !

[装置Ｂ：WA2611-AP 設定] （装置Ｃも同様の設定です。）

! hostname WA2611-AP ! bridge ieee enable ! interface GigaEthernet0.0 ip address 192.0.2.2/24 ip tcp adjust-mss auto no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface Loopback0.0 ip address 3.3.3.3/32 no shutdown ! interface L2TP0 l2tp encapsulation l2tpv3 l2tp source Loopback0.0 l2tp peer 1.1.1.1 bridge ieee 1 bridge ip tcp adjust-mss 1312 no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsecprof0 ip tcp adjust-mss auto no shutdown ! ip route 1.1.1.1/32 ipsec0 ! ike proposal ikeprop0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol0 mode main proposal ikeprop0 pre-shared-key plain test0 ! ipsec proposal ipsecprop0

L2 トンネル

11-16

protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol0 proposal ipsecprop0 ! ipsec profile ipsecprof0 mode tunnel ipsec policy ipsecpol0 ike policy ikepol0 source GigaEthernet0.0 peer 192.0.2.1 !


ブリッジ機能を有効化します。 interface L2TP0 l2tp encapsulation l2tpv3 l2tp source Loopback0.0 l2tp peer 3.3.3.3 bridge ieee 1

論理インタフェース L2TP0 でブリッジを動作させ、IP カプセル化するソースインタフ

ェースと宛先 IP アドレスを指定します。本設定例では、L2TPv3 フレームのソースアドレスはインタフェース Loopback0.0 ア

ドレス、宛先アドレスは”3.3.3.3”とし、ブリッジグループ”1”のパケットを IP カプセル

化しています。ブリッジグループ”1”はインタフェース VLAN0 に関連付けされていま

す。 bridge ip tcp adjust-mss 1312


では、MSS 長を”1312”バイトに設定していますが、L2TPv3 の MTU 長（MSS 長）は、


有無によって変わりますので、環境に適した値を設定してください。 interface L2TP1 l2tp encapsulation l2tpv3 l2tp source Loopback1.0 l2tp peer 4.4.4.4 bridge ieee 2 本設定例では、L2TPv3 フレームのソースアドレスはインタフェース Loopback1.0 アドレ

ス、宛先アドレスは”4.4.4.4”とし、ブリッジグループ”2”のパケットを IP カプセル化してい

ます。ブリッジグループ”2”はインタフェース VLAN1 に関連付けされています。 interface vlan0 bridge ieee 1

インタフェース vlan0 でブリッジを動作させます。ブリッジグループは”1”とします。

L2 トンネル

11-17

interface vlan1 bridge ieee 2

インタフェース vlan1 でブリッジを動作させます。ブリッジグループは”2”とします。

L2 トンネル

11-18

L2TP インタフェースでパケットに VLAN Tag を付ける L2TP インタフェースで、ブリッジグループ毎に各パケットに VLAN タグを取り付ける設

定を説明します。VLAN タグを付けることにより、論理的に分離された複数の LAN セグメ

ントを１つの L2 トンネルで接続することができます。また、２つの L2TPv3 トンネルで２

対地のセグメントをつなぐこともできます。 ■接続構成

■設定概要装置Ａに以下の設定を行います。

・ WAN インタフェース設定・ LAN インタフェース設定・無線 LAN インタフェース設定・ブリッジ設定・ L2TPv3 インタフェース設定・タグ VLAN 設定（L2TPv3 インタフェース） Bridge-group 1=VLAN1=VLAN11：TagID 1001 Bridge-group 2=VLAN2=VLAN12：TagID 1002 Bridge-group 3=VLAN3=VLAN13：TagID 1003 ・ IPsec インタフェース設定・ルーティング設定

装置Ｃ（ＳＷ－ＨＵＢ）には以下の設定を行います。

・ Trunk ポート設定（装置Ｂ接続ポート）・ Access ポート設定（各 VID 設定）

GE0.0 固定 IP: 192.0.2.2

装置Ａ装置Ｂ

UNIVERGE WA2612AP

UNIVERGE WA2610-AP

GE1.0

固定 IP: 192.0.2.1

SW HUB

セグメントＡA192.168.1.0/2

WE0.0 Trunk VID:1001 VID:1002 VID:1003

L2TPv3 over IPsec GE0.0 GE1.0

セグメントＡ

セグメントＢA192.168.121.

セグメントＢ

Ａ

セグメントＣAA192.168.121

セグメントＣAA192.168.121

装置Ｃ

L2 トンネル

11-19


! hostname WA2612-AP ! bridge ieee enable ! interface GigaEthernet0.0 ip address 192.0.2.1/24 ip tcp adjust-mss auto no shutdown ! interface GigaEthernet1.0 vlan-type port VLAN2 port 1 2 vlan-type port VLAN3 port 3 4 no ip address no shutdown ! interface Loopback0.0 ip address 1.1.1.1/32 no shutdown ! interface WirelessEthernet0.0 ssid HOGEHOGE authentication type psk encryption wpa-key plain hogehoge no ip address bridge ieee 1 no shutdown ! interface L2TP0 vlan-type tagged VLAN11 tag-id 1001 vlan-type tagged VLAN12 tag-id 1002 vlan-type tagged VLAN13 tag-id 1003 l2tp encapsulation l2tpv3 l2tp source Loopback0.0 l2tp peer 2.2.2.2 bridge ip tcp adjust-mss 1312 no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsecprof0 ip tcp adjust-mss auto no shutdown ! interface vlan2 no ip address bridge ieee 2 no shutdown ! interface vlan3 no ip address

L2 トンネル

11-20

bridge ieee 3 no shutdown ! interface vlan11 no ip address bridge ieee 1 no shutdown ! interface vlan12 no ip address bridge ieee 2 no shutdown ! interface vlan13 no ip address bridge ieee 3 no shutdown ! ip route 2.2.2.2/32 ipsec0 ! ike proposal ikeprop0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol0 mode main proposal ikeprop0 pre-shared-key plain test0 ! ipsec proposal ipsecprop0 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol0 proposal ipsecprop0 ! ipsec profile ipsecprof0 mode tunnel ipsec policy ipsecpol0 ike policy ikepol0 source GigaEthernet0.0 peer 192.0.2.2 ! led vpn l2tp !

L2 トンネル

11-21


! hostname WA2610-AP ! bridge ieee enable ! interface GigaEthernet0.0 ip address 192.0.2.2/24 ip tcp adjust-mss auto no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface Loopback0.0 ip address 2.2.2.2/32 no shutdown ! interface L2TP0 l2tp encapsulation l2tpv3 l2tp source Loopback0.0 l2tp peer 1.1.1.1 bridge ieee 1 bridge ip tcp adjust-mss 1312 no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsecprof0 ip tcp adjust-mss auto no shutdown ! ip route 1.1.1.1/32 ipsec0 ! ike proposal ikeprop0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol0 mode main proposal ikeprop0 pre-shared-key plain test0 ! ipsec proposal ipsecprop0 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol0 proposal ipsecprop0 ! ipsec profile ipsecprof0

L2 トンネル

11-22

mode tunnel ipsec policy ipsecpol0 ike policy ikepol0 source GigaEthernet0.0 peer 192.0.2.1 ! led vpn l2tp !

以下に装置Ｃ（スイッチングＨＵＢ）の一般的な設定例を記載します。 [装置Ｃ：SW-HUB 設定]

! vlan 1 vlan 1001 vlan 1002 vlan 1003 ! interface GigaEthernet0/1 port link-type trunk port trunk permit vlan 1 1001 to 1003 ! interface GigaEthernet0/2 port access vlan 1001 ! interface GigaEthernet0/3 port access vlan 1002 ! interface GigaEthernet0/4 port access vlan 1003 !


ブリッジ機能を有効化します。

interface GigaEthernet1.0 vlan-type port VLAN2 port 1 2 vlan-type port VLAN3 port 3 4

インタフェースGE1.0でポートVLANを設定し、ポート１、２をインタフェースVLAN2へ、ポート３、４をインタフェース VLAN3 へ割り当てます。

interface WirelessEthernet0.0 no ip address bridge ieee 1

インタフェース WE0.0 にブリッジグループ１設定します。 interface L2TP0 vlan-type tagged VLAN11 tag-id 1001 vlan-type tagged VLAN12 tag-id 1002

L2 トンネル

11-23

vlan-type tagged VLAN13 tag-id 1003 論理インタフェース L2TP0 にて、インタフェース VLAN11 から受信したパケットに

VID”1001”の VLAN タグを付け、インタフェース L2TP0 から送信します。L2TP0 で受

信した VID”1001”の VLAN タグ付きパケットは、VLAN タグを取り外し、インタフェー

ス VLAN11 に転送します。インタフェース VLAN11 および VLAN12 のパケットも同様

に VLAN タグの取り付け、取り外しが行われます。 l2tp encapsulation l2tpv3 l2tp source Loopback0.0 l2tp peer 2.2.2.2

論理インタフェース L2TP0 で、IP カプセル化するソースインタフェースと宛先 IP ア

ドレスを指定します。本設定例では、L2TPv3 フレームのソースアドレスはインタフェース Loopback0.0 ア

ドレス、宛先アドレスは”2.2.2.2”としています。 bridge ip tcp adjust-mss 1312


では、MSS 長を”1312”バイトに設定していますが、L2TPv3 の MTU 長（MSS 長）は、


有無によって変わりますので、環境に適した値を設定してください。 interface vlan2 bridge ieee 2 ! interface vlan3 bridge ieee 3 ! interface vlan11 bridge ieee 1 ! interface vlan12 bridge ieee 2 ! interface vlan13 bridge ieee 3

インタフェース VLAN**にブリッジグループを設定します。同じブリッジグループを割

り当てると、それぞれの VLAN インタフェースが同一ブロードキャストドメインとな

ります。この場合、ブリッジグループ１で VLAN11 とインタフェース WE0.0、ブリッ

ジグループ２で VLAN2 と VLAN12、ブリッジグループ３で VLAN3 と VLAN13 が同一

ブロードキャストドメインとなります。

L2 トンネル

11-24

NGN 閉域網 IPv6 環境で L2TPv3 を利用する peer FQDN を使用して NGN 閉域網内で L2TPv3 を利用した L2 トンネルを構築する設定

を説明します。本設定は、以下の環境を想定した設定例です。・装置Ａ、Ｂの WAN 側は、NTT 西日本の NGN 閉域網 IPv6 に接続します。・インターネット通信は行わず、NGN 閉域網内で LAN 間通信を行います。・装置Ａ、Ｂの WAN 側 IP アドレス解決のために、NGN 網内 GW 経由で NetMeister のダ

イナミック DDNS を利用します。・IPsec カプセル化は行いません。メモ



■接続構成


・ WAN インタフェース設定・ LAN インタフェース設定・ブリッジ設定・ L2TPv3 インタフェース設定・プロキシ DNS 設定・ NetMeister 設定

メモ

・L2TPv3 のソース／宛先 IPv6 アドレス、peer FQDN 設定はソフトウェアバージョン 8.1から利用可能です。

GE1.0 GE0.0

NGN 閉域網 NTT 西日本

IPv6半固定

L2TPv3

端末Ｂ

192.168.1.0/24 192.168.1.0/24


装置Ｂ

IPv6半固定


FQDN： kyoto-r1. wa-sample.v6.nmddns.jp

装置Ａ

UNIVERGE WA2610-AP

GW

FQDN： osaka-r1. wa-sample.v6.nmddns.jp

UNIVERGE WA1510 アドレス登録

peerFQDN 解決

アドレス登録

peerFQDN 解決

L2 トンネル

11-25

■設定（コンフィグ作成バージョン：Ver8.1.3） [装置Ａ：WA2610-AP 設定] ! hostname WA2600 ! bridge ieee enable ! ipv6 dhcp-client profile default information-request option-request dns-servers option-request ntp-servers ! interface GigaEthernet0.0 no ip address ipv6 dhcp-client binding default ipv6 enable ipv6 address autoconfig receive-default no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface L2TP0 l2tp encapsulation l2tpv3 l2tp hello 10 l2tp source GigaEthernet0.0 l2tp peer kyoto-r1.wa-sample.v6.nmddns.jp ipv6 bridge ieee 1 no shutdown ! proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6 ! nm ipv6 enable ngn-private west nm account wa-sample password plain testtest nm sitename osaka nm ddns notify interface GigaEthernet0.0 nm ddns hostname osaka-r1 ! led vpn l2tp !

L2 トンネル

11-26

[装置 B：WA1510 設定] ! hostname WA1510 ! no wireless-adapter enable ! bridge ieee enable ! ipv6 dhcp-client profile default information-request option-request dns-servers option-request ntp-servers ! interface GigaEthernet0.0 no ip address ipv6 dhcp-client binding default ipv6 enable ipv6 address autoconfig receive-default no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface L2TP0 l2tp encapsulation l2tpv3 l2tp hello 10 l2tp source GigaEthernet0.0 l2tp peer osaka-r1.wa-sample.v6.nmddns.jp ipv6 bridge ieee 1 no shutdown ! proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6 ! nm ipv6 enable ngn-private west nm account wa-sample password plain testtest nm sitename kyoto nm ddns notify interface GigaEthernet0.0 nm ddns hostname kyoto-r1 ! led vpn l2tp !

L2 トンネル

11-27


ブリッジ機能を有効化します。 ipv6 dhcp-client profile default information-request option-request dns-servers option-request ntp-servers

DHCPv6 クライアントプロファイルの設定です。DNS サーバのアドレス、NTP サーバ

のアドレスを DHCPv6 で取得します。 interface GigaEthernet1.0 bridge ieee 1

インタフェース GE1.0 にブリッジグループ１設定します。 interface L2TP0 l2tp encapsulation l2tpv3 l2tp source GigaEthernet0.0 l2tp peer kyoto-r1.wa-sample.v6.nmddns.jp ipv6

論理インタフェース L2TP0 で、IP カプセル化するソースアドレス（インタフェース指

定）と宛先 IP アドレスを指定します。本設定例では、L2TPv3 フレームのソースアドレスはインタフェース GigaEthernet0.0アドレス、宛先アドレスは対向装置の FQDN を設定します。IPv6 パラメータを追加す

ることにより、IPv6 アドレスで FQDN を解決します。 bridge ieee 1

インタフェース GE1.0 に設定したブリッジグループと同じブリッジグループ１設定し

ます。 proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6

IPv6 のプロキシ DNS を有効にし、代理問い合わせする IPv6 の DNS サーバのアドレ

スを登録します。 nm ipv6 enable ngn-private west



本設定例では、NTT 西日本の NGN 閉域網を利用するため”west”を設定しています。 nm account wa-sample password plain testtest



を ”testtest” としています。 nm sitename osaka


L2 トンネル

11-28

れます。本設定例では、拠点名を”osaka”としています。 nm ddns notify interface GigaEthernet0.0


nm ddns hostname osaka-r1 NetMeister のダイナミック DNS に登録するドメインに使用するホスト名を設定しま

す。本設定例では、ホスト名を”osaka-r1”としています。 led vpn l2tp

L2TPv3 セッション確立時に VPN LED が点灯します。 [装置Ｂ：WA1510 設定] 設定は、装置Ａの設定に対して、l2tp peer FQDN 設定と NetMesiter のサイト、ホスト名設

定が異なるのみです。 interface L2TP0 l2tp peer osaka-r1.wa-sample.v6.nmddns.jp ipv6 nm sitename kyoto nm ddns hostname kyoto-r1

GRE

12-1

12. GRE 設定 12.1. GRE over IPsec（トランスポート）接続を行う GRE と IPsec を併用することで、セキュリティを保ったままインターネット間で GRE 接

続を行うことができます。 IKE メインモード／IPsec トランスポートモードを使用した GRE 設定を説明します。本設定は、以下の環境を想定した設定例です。・装置Ａ、Ｂとも WAN 側 IP アドレスは固定 IP アドレスです。（固定 IP サービス契約）・暗号化アルゴリズムは AES-CBC、認証アルゴリズムは SHA2 MAC とします。・インターネットアクセスは行わず、IPsec による VPN 接続（拠点間通信）のみを行いま



・ GigaEthernet0.0 インタフェース設定・ GigaEthernet1.0 インタフェース設定・ IKE プロポーザル設定・ IKE ポリシー設定・ IPsec プロポーザル設定・ IPsec ポリシー設定・ IPsec プロファイル設定・ルーティング設定・ GRE インタフェース設定・ GRE オプション設定

GE1.0 GE0.0

端末Ｂ

192.168.1.0/24 192.168.2.0/24




192.0.2.2/32（固定 IP） 192.0.2.1/32（固定 IP）

GRE over IPsec

IKE モード : Main IPsec 通信モード : Transport 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit

装置Ａ装置Ｂ

UNIVERGE WA2610-AP

GRE オプション : checksum : key : sequence-number

端末Ａ

GRE

12-2


! hostname WA2610 ! interface GigaEthernet0.0 ip address 192.0.2.1/32 ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface GRE0.0 gre peer 192.0.2.2 gre source GigaEthernet0.0 gre checksum gre key hogehoge gre sequence-number ip address unnumbered GigaEthernet1.0 no shutdown ! ip route 192.168.2.0/24 GRE0.0 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode main dpd-keepalive enable ph1

proposal ikeprop1 pre-shared-key plain hogehoge ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 proposal ipsecprop1 ! ipsec profile ipsecprof1 mode transport ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer 192.0.2.2 !

GRE

12-3



! hostname IX2215 ! ip route default Tunnel0.0 ip access-list sec-list permit ip src any dest any ! ike proposal ike-prop encryption aes-256 hash sha2-256 ! ike policy ike-policy peer 192.0.2.1 key hogehoge ike-prop ike keepalive ike-policy 10 3 ! ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha2-256 ! ipsec autokey-map ipsec-policy sec-list peer 192.0.2.1 ipsec-prop ! interface GigaEthernet0.0 ip address 192.0.2.2/32 no shutdown ! interface GigaEthernet2.0 ip address 192.168.2.254/24 no shutdown ! interface Tunnel0.0 tunnel mode gre ipsec tunnel checksum tunnel key hogehoge tunnel sequence-number ip unnumbered GigaEthernet2.0 ipsec policy transport ipsec-policy with-id-payload no shutdown !

■解説 [装置Ａ：WA2610-AP 設定] interface GRE0.0 gre peer 192.0.2.2 gre source GigaEthernet0.0

IP カプセル化するソースインタフェース指定と宛先 IP アドレスを指定します。本設

定例では、ソースインタフェースを”GigaEthernet0.0”、宛先を”192.0.2.2”としてい

ます。ソース指定は IP アドレスでも設定可能です。 gre checksum

gre key hogehoge gre sequence-number

各オプションを有効にします。 checksum：GRE ヘッダにチェックサム値を付加します。 key ：GRE ヘッダにキー値を付加します。

GRE

12-4

sequence-number：GRE ヘッダにシーケンス番号値を付加します。

ip address unnumbered GigaEthernet1.0 GRE のスタティックルートを登録するためには、”unnumbered”の設定が必要です。

ip route 192.168.2.0/24 GRE0.0

GRE 通信が必要なパケットを、GRE インタフェースに転送します。

VLAN

13-1

13. VLAN 設定 13.1. タグ VLAN を使用するタグ VLAN の基本的な設定を説明します。 ■接続構成


・ルータモード設定（WA1020 のみ）・ VLAN-Type、VID 設定・ VLAN インタフェース設定・再起動（設定を有効にするには再起動が必要です）

192.168.1.0/24 タグ ID :10

FE0.0

Serial00




3G/LTE 192.168.2.0/24 タグ ID : 20

タグ VLAN 対応

SW-HUB

UNIVERGE WA1020

端末Ａ

端末Ｂ

装置Ａ

VLAN

13-2


! hostname WA1020 ! no wireless-adapter enable ! ppp profile mobile authentication username test authentication password plain test ! interface FastEthernet0.0 vlan-type tagged VLAN1 tag-id 10 vlan-type tagged VLAN2 tag-id 20 no ip address no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Serial0 ip address ipcp ip tcp adjust-mss auto ppp profile mobile ip napt enable mobile id PPP 1 example.net mobile number *99***CID# auto-connect no shutdown ! interface VLAN1 ip address 192.168.1.254/24 no shutdown ! interface VLAN2 ip address 192.168.2.254/24 no shutdown ! ip route default Serial0 ! proxy-dns ip enable proxy-dns server default Serial0 ipcp !

VLAN

13-3

■解説 interface FastEthernet0.0 vlan-type tagged VLAN1 tag-id 10 vlan-type tagged VLAN2 tag-id 20

インタフェース FastEthernet0.0 にタグ VLAN を設定します。タグ VLAN 設定（vlan-type tagged）では、論理 VLAN インタフェースと tag-id（VID）の割当てを行います。

本設定例では、タグ ID:10 を論理インタフェース VLAN1 に、タグ ID:20 を論理インタ

フェース VLAN2 に割当てます。 no ip address

タグ VLAN フレームのみ送受信しますので、ベースインタフェース FastEthernet0.0 に

IP アドレスは設定しません。ベースインタフェース FastEthernet0.0 に IP アドレスを

設定するとで非 VLAN フレームの送受信が可能となります。 interface VLAN1 ip address 192.168.1.254/24

論理インタフェース VLAN1 に IP アドレス”192.168.1.254/24”を設定します。タグ ID:10が設定された VLAN フレームの送受信が可能となります。設定は即時反映されます。

no shutdown 初期値は shutdown ですので、no shutdown でインタフェースをアクティブにします。

interface VLAN2 ip address 192.168.2.254/24

論理インタフェース VLAN2 に IP アドレス”192.168.2.254/24”を設定します。タグ ID:20が設定された VLAN フレームの送受信が可能となります。設定は即時反映されます。

no shutdown 初期値は shutdown ですので、no shutdown でインタフェースをアクティブにします。

VLAN

13-4

13.2. ポート VLAN を使用する GE1 の LAN1～LAN4 の各スイッチポートに対して、それぞれ１つの VLAN インタフェー

スを割り当てることができます。このポート VLAN 機能を使用することで、LAN1～LAN4 の各スイッチポートを独立したセ

グメントとして使用する事ができ、複数のルータポートとして使用することができます。 ■接続構成


・ VLAN-Type 設定・ VLAN インタフェース設定・ WAN インタフェース設定・ルーティング設定・再起動（設定を有効にするには再起動が必要です）

192.168.1.0/24

GE1.0/P1

192.168.2.0/24

プロバイダ GE0.0

PPPoEGE0.0

192.168.4.0/24

装置Ｂ 192.168.3.0/24

GE1.0/P2

GE1.0/P3

GE1.0/P4

端末Ａ

端末Ｂ

端末Ｃ

端末Ｄ

端末Ｅ

装置Ａ

ルータ同一セグメント

UNIVERGE WA2610-AP

VLAN

13-5


! hostname WA2610-AP ! ppp profile pppoe authentication username [email protected] authentication password plain test ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 vlan-type port VLAN1 port 1 vlan-type port VLAN2 port 2 vlan-type port VLAN3 port 3 4 no ip address no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect no shutdown ! interface VLAN1 ip address 192.168.1.254/24 no shutdown ! interface VLAN2 ip address 192.168.2.254/24 no shutdown ! interface VLAN3 ip address 192.168.3.254/24 no shutdown ! ip route 192.168.4.0/24 PPPoE0 !

VLAN

13-6

■解説 interface GigaEthernet1.0 vlan-type port VLAN1 port 1 vlan-type port VLAN2 port 2

インタフェース GigaEthernet1.0 にポート VLAN（vlan-type port）を設定します。ポート VLAN 設定（vlan-type port）では、論理 VLAN インタフェースと各スイッチポ

ートの割当てを行います。本設定例では、スイッチポート 1 を VLAN1 インタフェース

に、スイッチポート 2 を VLAN2 インタフェースに割り当てます。 vlan-type port VLAN3 port 3 4

グルーピング機能により、スイッチポート 3 とスイッチポート 4 を VLAN3 インタフェ

ースに割り当てます。グルーピングにより、スイッチポート 3 とスイッチポート 4 は

同一セグメントになります。補足

ポートVLANが割り当てられていないスイッチポートはリンクダウン状態となります。 no ip address

補足

ポート VLAN 使用時は、ベースインタフェース interface GigaEthernet1.0 を通信に用

いることはできません。 interface VLAN1 ip address 192.168.1.254/24

VLAN1 インタフェースに IP アドレス”192.168.1.254/24”を設定します。設定反映には

装置再起動が必要です。 no shutdown

初期値は shutdown ですので、no shutdown でインタフェースをアクティブにします。 interface VLAN2 ip address 192.168.2.254/24



初期値は shutdown ですので、no shutdown でインタフェースをアクティブにします。 interface VLAN3 ip address 192.168.3.254/24



初期値は shutdown ですので、no shutdown でインタフェースをアクティブにします。

冗長構成

14-1

14. 冗長構成 14.1. VRRP を使用してルータを冗長化する VRRP を使用して、同一 LAN 内の複数のルータを冗長化する設定を説明します。 ■接続構成


・ VLAN インタフェース設定・ VRRP 設定

GE1.0

Serial0

（（（



3G/LTE

192.168.1.0/24 GE0.0

端末Ａ

PPPoE

装置Ａ

装置Ｂ

UNIVERGE WA1510

GE1.0

VRRP グループ：ID=1 VRRP 仮想 IP アドレス：192.168.1.254 VRRP プライオリティ：

装置Ａ（WA2610-AP）Priority=20 装置Ｂ（WA1020） Priority=10


装置Ａ（WA2610-AP）Priority=20 装置Ｂ（WA1020） Priority=10


UNIVERGE WA2610-AP

TagVLAN 0

TagVLAN 0

VLAN 対応 SW-HUB

端末Ｂ

VRRP ID=2

VRRP ID=1

192.168.2.0/24

冗長構成

14-2


! hostname WA2610-AP ! ppp profile pppoe authentication username [email protected] authentication password plain test ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 vlan-type tagged VLAN1 tag-id 10 vlan-type tagged VLAN2 tag-id 20 no ip address no shutdown ! interface PPPoE0 ip address ipcp ppp profile pppoe auto-connect ip napt enable no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface VLAN1 ip address 192.168.1.253/24 vrrp 1 ip 192.168.1.254 vrrp 1 priority 20 no shutdown ! interface VLAN2 ip address 192.168.2.253/24 vrrp 2 ip 192.168.2.254 vrrp 2 priority 20 no shutdown ! ip route default PPPoE0 ! proxy-dns ip enable proxy-dns server default PPPoE0 ipcp ! vrrp enable !

冗長構成

14-3

[装置Ｂ：WA1510 設定]

! hostname WA1510 ! no wireless-adapter enable ! ppp profile mobile authentication username test authentication password plain test ! interface GigaEthernet1.0 vlan-type tagged VLAN1 tag-id 10 vlan-type tagged VLAN2 tag-id 20 no ip address no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Serial0 ip address ipcp ppp profile mobile ip napt enable mobile id PPP 1 example.net mobile number *99***CID# auto-connect no shutdown ! interface VLAN1 ip address 192.168.1.252/24 vrrp 1 ip 192.168.1.254 vrrp 1 priority 10 no shutdown ! interface VLAN2 ip address 192.168.2.252/24 vrrp 2 ip 192.168.2.254 vrrp 2 priority 10 no shutdown ! ip route default Serial0 ! proxy-dns ip enable proxy-dns server default Serial0 ipcp ! vrrp enable !

冗長構成

14-4

■解説 [装置Ａ：WA2610-AP 設定] interface GigaEthernet1.0 vlan-type tagged VLAN1 tag-id 10 vlan-type tagged VLAN2 tag-id 20

インタフェース GigaEthernet1.0 にタグ VLAN を設定します。タグ VLAN 設定（vlan-type tagged）では、論理 VLAN インタフェースと tag-id（VID）の割当てを行います。


フェース VLAN2 に割当てます。 interface VLAN1 ip address 192.168.1.253/24 vrrp 1 ip 192.168.1.254 vrrp 1 priority 20

インタフェース VLAN1 で VRRP を動作させます。実 IP アドレスは”192.168.1.253”に設定します。 VRRP グループ ID は”1”とし、VRRP 仮想 IP アドレスは”192.168.1.254”に設定します。 VRRP プライオリティを”20”に設定します。装置Ｂより優先度を高くすることにより、

正常時は装置Ａが VRRP グループ１のマスタルータとなります。 interface VLAN2 ip address 192.168.2.253/24 vrrp 2 ip 192.168.2.254 vrrp 2 priority 20

インタフェース VLAN2 で VRRP を動作させます。実 IP アドレスは”192.168.2.253”に設定します。 VRRP グループ ID は”2”とし、VRRP 仮想 IP アドレスは”192.168.2.254”に設定します。 VRRP プライオリティを”20”に設定します。装置Ｂより優先度を高くすることにより、

正常時は装置Ａが VRRP グループ１のマスタルータとなります。 vrrp enable

VRRP 機能を有効化します。 [装置Ｂ：WA1510 設定] interface GigaEthernet1.0 vlan-type tagged VLAN1 tag-id 10 vlan-type tagged VLAN2 tag-id 20

インタフェース GigaEthernet1.0 にタグ VLAN を設定します。タグ VLAN 設定（vlan-type tagged）では、論理 VLAN インタフェースと tag-id（VID）の割当てを行います。


フェース VLAN2 に割当てます。 interface VLAN1 ip address 192.168.1.252/24 vrrp 1 ip 192.168.1.254

冗長構成

14-5

vrrp 1 priority 10 インタフェース VLAN1 で VRRP を動作させます。実 IP アドレスは”192.168.1.253”に設定します。 VRRP グループ ID と VRRP 仮想 IP アドレスは装置Ａと同じ値””1”、192.168.1.254”に設定します。 VRRP プライオリティを”10”に設定します。装置Ａより優先度を低くすることにより、

正常時は装置Ｂが VRRP グループ１のバックアップルータとなります。 interface VLAN2 ip address 192.168.2.252/24 vrrp 2 ip 192.168.2.254 vrrp 2 priority 10

インタフェース VLAN2 で VRRP を動作させます。実 IP アドレスは”192.168.2.252”に設定します。 VRRP グループ ID と VRRP 仮想 IP アドレスは装置Ａと同じ値””2”、192.168.2.254”に設定します。 VRRP プライオリティを”10”に設定します。装置Ａより優先度を低くすることにより、

正常時は装置Ｂが VRRP グループ１のバックアップルータとなります。 vrrp enable

VRRP 機能を有効化します。

冗長構成

14-6

14.2. ネットワークモニタを使用して IPsec を迂回するネットワークモニタ機能を使用して、主回線障害時にバックアップ回線にルートおよび

IPsec を切り替える設定を説明します。本設定は、以下の環境を想定した設定例です。・装置Ａは PPPoE 回線経由で装置Ｂと IPsec による通信ができます。また、3G/LTE デー

タ端末を使用したモバイル回線経由で装置Ｃとも IPsec による通信ができます。・装置Ａは、ネットワークモニタ機能で、主回線（PPPoE 回線）経由で装置Ｂをホスト監

視し、監視経路で障害が発生すると、通信経路をバックアップ回線（モバイル回線）に

切り替えます。・装置Ｂも、ネットワークモニタ機能で、主回線経由で装置Ａをホスト監視し、監視経路

で障害が発生すると、LAN 側の VRRP 動作を停止します。・装置Ｂと装置Ｃの LAN 側で VRRP を動作させ、正常通信時の VRRP の挙動はマスタル

ータを装置Ｂ、バックアップルータを装置Ｃとします。 ■接続構成


・ LAN インタフェース設定・ WAN インタフェース設定・ルーティング設定・ IPsec インタフェース設定・ VRRP 設定(装置Ｂ/装置Ｃ) ・ネットワークモニタ設定(装置Ａ/装置Ｂ)

GE1.0

ME0 （（（モバイル通信事業者


プロバイダ

192.0.2.1

端末Ｂ


192.168.1.0/24

GE0.0

端末Ａ

PPPoE 動的 IP

動的 IP

IPsec0（主回

線）

IPsec1 (バックアップ回線)

装置Ａ

装置Ｂ

装置Ｃ

VRRP

GE1.0

GE1.0

.200

.201

固定 IP

固定 IP

192.0.2.2

ホスト監視ホスト監視

.254


内蔵モジュール）））


装置Ｂ（WA2610-AP）Priority=20 装置Ｃ（WA1511）Priority=10

UNIVERGE WA2611-AP

UNIVERGE WA2610-AP

UNIVERGE WA1511

192.168.2.0/24

ME0

冗長構成

14-7


! hostname WA2611-AP ! ppp profile pppoe authentication username [email protected] authentication password plain test ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp mobile id IP example.net mobile username test mobile password plain test auto-connect no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown ! interface IPsec1 ip address unnumbered

冗長構成

14-8

ip tcp adjust-mss auto ipsec map ipsecprof2 no shutdown ! ip route default PPPoE0 ip route 192.0.2.1/32 PPPoE0 ip route 192.0.2.2/32 MobileEthenrnet0.0 ip route 192.168.2.0/24 IPsec0 ! network-monitor monitor1 monitor interval occurrence 10 5 monitor interval restorer 10 monitor counter occurrence 3 monitor counter restorer 5 monitor startup-delay 10 event ip unreach-host 192.168.2.200 interface IPsec0 source GigaEthernet1.0 action 10 route-del 192.168.2.0/24 IPsec0 route-add 192.168.2.0/24 IPsec1 action 11 route-del 0.0.0.0/0 PPPoE0 route-add 0.0.0.0/0 dhcp MobileEthernet0.0 action 20 ipsec-sa-clear ipsecprof1 action 30 ipsec-sa-clear ipsecprof2 action 40 pdns-server-del PPPoE0 ipcp action 50 pdns-server-add MobileEthernet0.0 dhcp action 60 BAK-LED-on ! monitor-group monitor1 enable monitor-group monitor1 directed-response ! proxy-dns ip enable proxy-dns server default PPPoE0 ipcp ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike proposal ikeprop2 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive local-id key-id test4 dpd-keepalive enable proposal ikeprop1 pre-shared-key plain test3 ! ike policy ikepol2 mode aggressive local-id key-id test6 dpd-keepalive enable proposal ikeprop2 pre-shared-key plain test5 ! ipsec proposal ipsecprop1

冗長構成

14-9

protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec proposal ipsecprop2 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 192.168.1.0/24 remote-id 192.168.2.0/24 proposal ipsecprop1 ! ipsec policy ipsecpol2 local-id 192.168.1.0/24 remote-id 192.168.2.0/24 proposal ipsecprop2 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source PPPoE0 peer 192.0.2.1 ! ipsec profile ipsecprof2 mode tunnel ipsec policy ipsecpol2 ike policy ikepol2 source MobileEthernet0.0 peer 192.0.2.2 !

[装置Ｂ：WA2610-AP 設定] （コンフィグ作成バージョン：Ver7.3.7）

! hostname CENTER-WA2610-AP ! interface GigaEthernet0.0 ip address 192.0.2.1/32 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.200/24 vrrp 1 ip 192.168.2.254 vrrp 1 priority 20 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface IPsec0

冗長構成

14-10

ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown ! ip route default GigaEthernet0.0 ip route 192.168.1.0/24 IPsec0 ! network-monitor monitor2 monitor interval occurrence 10 5 monitor interval restorer 10 monitor counter occurrence 3 monitor counter restorer 5 monitor startup-delay 10 event ip unreach-host 192.168.1.254 interface IPsec0 source GigaEthernet1.0 action 10 vrrp 1 shutdown action 20 ipsec-sa-clear ipsecprof1 ! monitor-group monitor2 enable ! proxy-dns ip enable proxy-dns server default 192.0.2.3 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive remote-id key-id test4 dpd-keepalive enable proposal ikeprop1 pre-shared-key plain test3 ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 192.168.2.0/24 remote-id 192.168.1.0/24 commit-bit enable proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any ! vrrp enable !

冗長構成

14-11

[装置Ｃ：WA1511 設定] （コンフィグ作成バージョン：Ver7.3.7）

! hostname CENTER-WA1511 ! interface GigaEthernet0.0 no ip address shutdown ! interface GigaEthernet1.0 ip address 192.168.2.201/24 vrrp 1 ip 192.168.2.254 vrrp 1 priority 10 no shutdown ! interface MobileEthernet0.0 no ip address dhcp ip tcp adjust-mss auto mobile id IP example.net mobile username test3 mobile password plain test3 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown ! ip route default MobileEthernet0.0 ip route 192.168.1.0/24 IPsec0 ! proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive remote-id key-id test6 dpd-keepalive enable proposal ikeprop1 pre-shared-key plain test5 !

冗長構成

14-12

ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 192.168.2.0/24 remote-id 192.168.1.0/24 proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source MobileEthernet0.0 peer any ! vrrp enable !

■解説 [装置Ａ：WA2611-AP 設定] ip route 192.0.2.1/32 PPPoE0

装置Ｂ向けの IPsec peer ルートを設定します。 ip route 192.0.2.2/32 MobileEthernet0.0

装置Ｃ向けの IPsec peer ルートを設定します。 ip route 192.168.2.0/24 IPsec0

IPsec 通信が必要なパケットを、IPsec インタフェースに転送します。 network-monitor monitor1

モニタグループを登録し、各種監視パラメータを設定します。以下の設定では、正常時は 10 秒間隔で ICMP ECHO による監視が継続されますが、

ICMP ECHO による通信不能を検出すると監視間隔が 5 秒間隔になり、3 回目の ICMP ECHO のタイムアウトによりアクションが開始されます。復旧は、10 秒間隔で 5 回の ICMP ECHO 受信により行われます。 monitor コマンドの設定を省略した場合は、自動的に初期値が設定されます。

monitor interval occurrence 10 5

イベント発生監視インターバルを 10 秒間隔に設定します。監視応答が無くなると、監

視インターバルが 5 秒間隔に切り替わる設定をします。 monitor interval restorer 10

イベント復旧監視インターバルを 10 秒間隔に設定します。 monitor counter occurrence 3

アクション実行までの監視失敗回数を 3 回に設定します。3 回失敗するとアクション

を実行します。 monitor counter restorer 5

アクション復旧までの監視成功回数を 5 回に設定します。イベントの監視応答が 5 回

成功するとアクションが復旧します。 monitor startup-delay 10

ネットワークモニタの起動待ち時間を 10 秒に設定します。スタートアップディレイ時

冗長構成

14-13

間を設定します。「monitor-group monitor1 enable」コマンドを認識してから 10 秒後にネットワークモ

ニタが起動します。 event ip unreach-host 192.168.2.200 interface IPsec0 source GigaEthernet1.0

イベント動作を設定します。宛先を 192.168.2.200、送信元 IP アドレスをインタフェ

ース GigaEthernet1.0 の IP アドレス、出力インタフェースを IPsec0 とし、ICMP でホ

スト到達可否を監視します。 action 10 route-del 192.168.2.0/24 IPsec0 route-add 192.168.2.0/24 IPsec1

イベント監視に失敗した時のアクションの動作を設定します。 192.168.2.0/24 へのルートをインタフェース IPsec0 から IPsec1 に切り替えます。

action 11 route-del 0.0.0.0/0 PPPoE0 route-add 0.0.0.0/0 dhcp MobileEthernet0.0 イベント監視に失敗した時のアクションの動作を設定します。デフォルトルートをインタフェース PPPoE0 から MobileEthernet0.0 に切り替えます。

action 20 ipsec-sa-clear ipsecprof1 ipsecprof1 の IPsec SA をクリアします。


action 40 pdns-server-del PPPoE0 ipcp action 50 pdns-server-add MobileEthernet0.0 dhcp

インタフェース PPPoE で取得した DNS サーバのアドレスをインタフェース

MobileEthernet0.0 で取得したアドレスに切り替えます。 action 60 BAK-LED-on

装置前面の BAK LED が点灯します。 monitor-group monitor1 enable

モニタグループ monitor1 のネットワークモニタ機能を有効化します。 monitor-group monitor1 directed-response

受信した監視パケットが、ネットワークモニタのイベントに指定された相手からであ

る場合、受信インタフェースへ応答します。 [装置Ｂ：WA2610-AP 設定] interface GigaEthernet1.0 ip address 192.168.2.200/24 vrrp 1 ip 192.168.10.254 vrrp 1 priority 20

インタフェース GigaEthernet1.0 に VRRP をマスタで設定します。 network-monitor monitor1




冗長構成

14-14










ニタが起動します。 event ip unreach-host 192.168.1.254 interface IPsec0 source GigaEthernet1.0

イベント動作を設定します。宛先を 192.168.1.254、送信元 IP アドレスをインタフェ

ース GigaEthernet1.0 の IP アドレス、出力インタフェースを IPsec0 とし、ICMP でホ

スト到達可否を監視します。 action 10 vrrp 1 shutdown

イベント監視に失敗した時のアクションの動作を設定します。 VRRP 動作を停止します。


monitor-group monitor2 enable

モニタグループ monitor2 のネットワークモニタ機能を有効にします。 vrrp enable

VRRP 機能を有効化します。

冗長構成

14-15

14.3. 同一 IP に複数 IPsec トンネルを設定して迂回する同一 IP アドレスに対して複数の IPsec トンネルを設定することができます。以下では、同一 IP アドレスに対して２つの IPsec トンネルを設定して、片方の IPsec 経路

の障害時にもう片方の IPsec に経路を切り替える設定を説明します。本設定は、以下の環境を想定した設定例です。・装置Ａは、PPPoE 回線経由ならびに内蔵モジュールを使用したモバイル回線経由で、装

置Ｂと IPsec による通信を行います。・装置Ａには、装置Ｂの１つの WAN インタフェース IP アドレスに対して、２つの IPsec

トンネルを設定しておきます。・通常時、IP アドレス 10.0.0 系の通信は IPsec1 を経由、192.168.1 系の通信は IPsec2 を

経由した通信を行います。・装置Ａと装置Ｂは、ネットワークモニタ機能により IPsec1 経由で互いにホスト監視しま

す。監視経路で障害が発生すると、通信経路を IPsec2 経路に切り替えます。 ■接続構成


・ LAN インタフェース設定・ WAN インタフェース設定・ルーティング設定・ IPsec インタフェース設定・ネットワークモニタ設定

ME0 モバイル通信事業者

192.0.1.1


10.0.0.0/24

PPPoE 動的 IP

動的 IP

IPsec1

装置Ａ装置Ｂ固定 IP

192.168.1.0/24 IPsec2

10.0.100.0/24

192.168.100.0/24

G GW .100

ホスト監視 192.0.1.2

ホスト監視

冗長構成

14-16


! hostname WA2611-AP ! ppp profile pppoe authentication username [email protected] authentication password plain test ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 vlan-type port VLAN1 port 1 2 vlan-type port VLAN2 port 3 4 no ip address no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp no shutdown ! interface Loopback0.0 ip address 10.0.200.1/32 no shutdown ! interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp mobile id IP example.net mobile username test mobile password plain test auto-connect no shutdown ! interface IPsec1 ip address unnumbered ipsec map ipsec1 no shutdown ! interface IPsec2

冗長構成

14-17

ip address unnumbered ipsec map ipsec2 no shutdown ! interface VLAN1 ip address 10.0.0.254/24 no shutdown ! interface VLAN2 ip address 192.168.1.254/24 no shutdown ! ip route 10.0.200.100/32 IPsec1 ip route 10.0.100.0/24 IPsec1 ip route 192.168.100.0/24 IPsec2 ! network-monitor monitor1 monitor interval occurrence 10 5 monitor interval restorer 10 monitor counter occurrence 3 monitor counter restorer 5 monitor startup-delay 10 event ip unreach-host 10.0.200.100 interface IPsec1 source Loopback0.0 action 10 route-del 10.0.100.0/24 IPsec1 action 20 route-add 10.0.100.0/24 IPsec2 ! monitor-group monitor1 enable ! ike proposal ipsec1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike proposal ipsec2 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ipsec1 mode aggressive local-id key-id test01 outgoing-interface PPPoE0 auto dpd-keepalive enable ph1 proposal ipsec1 pre-shared-key plain test1 ! ike policy ipsec2 mode aggressive local-id key-id test02 outgoing-interface MobileEthernet0.0 auto dpd-keepalive enable ph1 proposal ipsec2 pre-shared-key plain test2 ! ipsec proposal ipsec1

冗長構成

14-18

protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec proposal ipsec2 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsec1 local-id 10.0.0.0/24 remote-id 10.0.100.0/24 rekey enable always proposal ipsec1 ! ipsec policy ipsec2 local-id 192.168.1.0/24 remote-id 192.168.100.0/24 rekey enable always proposal ipsec2 ! ipsec profile ipsec1 mode tunnel ipsec policy ipsec1 ike policy ipsec1 source PPPoE0 peer 192.0.1.1 ! ipsec profile ipsec2 mode tunnel ipsec policy ipsec2 ike policy ipsec2 source MobileEthernet0.0 peer 192.0.1.1 !

[装置Ｂ：WA2610-AP 設定] （コンフィグ作成バージョン：Ver7.4.1）

! hostname CENTER-WA2610-AP ! interface GigaEthernet0.0 ip address 192.0.1.1/32 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp no shutdown ! interface GigaEthernet1.0 vlan-type port VLAN1 port 1 2 vlan-type port VLAN2 port 3 4 no ip address no shutdown ! interface Loopback0.0

冗長構成

14-19

ip address 10.0.200.100/32 no shutdown ! interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec1 no shutdown ! interface IPsec2 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec2 no shutdown ! interface VLAN1 ip address 10.0.100.254/24 no shutdown ! interface VLAN2 ip address 192.168.100.254/24 no shutdown ! ip route 192.168.1.0/24 IPsec2 ip route 10.0.0.0/24 IPsec1 ip route 10.0.200.1/32 IPsec1 ip route default 192.168.100.100 ! network-monitor monitor2 monitor interval occurrence 10 5 monitor interval restorer 10 monitor counter occurrence 3 monitor counter restorer 5 monitor startup-delay 10 event ip unreach-host 10.0.200.1 interface IPsec1 source Loopback0.0 action 10 route-del 10.0.0.0/24 IPsec1 action 20 route-add 10.0.0.0/24 IPsec2 ! monitor-group monitor2 enable ! ike proposal ipsec1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike proposal ipsec2 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ipsec1 mode aggressive remote-id key-id test01 outgoing-interface GigaEthernet0.0 192.0.1.2 dpd-keepalive enable ph1

冗長構成

14-20

proposal ipsec1 pre-shared-key plain test1 ! ike policy ipsec2 mode aggressive remote-id key-id test02 outgoing-interface GigaEthernet0.0 192.0.1.2 dpd-keepalive enable ph1 proposal ipsec2 pre-shared-key plain test2 ! ipsec proposal ipsec1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec proposal ipsec2 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsec1 local-id 10.0.100.0/24 remote-id 10.0.0.0/24 proposal ipsec1 ! ipsec policy ipsec2 local-id 192.168.100.0/24 remote-id 192.168.1.0/24 proposal ipsec2 ! ipsec profile ipsec1 mode tunnel ipsec policy ipsec1 ike policy ipsec1 peer any ! ipsec profile ipsec2 mode tunnel ipsec policy ipsec2 ike policy ipsec2 peer any !

冗長構成

14-21

■解説 [装置Ａ：WA2611-AP 設定] ike policy ipsec1 outgoing-interface PPPoE0 auto

同一 IP アドレス宛の peer がある場合は、それぞれの IPsec トンネルの送信先インタ

フェース（PPPoE0）と nexthop（auto：IPCP で取得）を設定します。 ike policy ipsec2 outgoing-interface MobileEthernet0.0 auto

同一 IP アドレス宛の peer がある場合は、それぞれの IPsec トンネルの送信先インタ

フェース（MobileEthernet0.0）と nexthop（auto：DHCP で取得）を設定します。

ipsec profile ipsec1 source PPPoE0 peer 192.0.1.1

IPsec1 の宛先 IP アドレス（装置ＢのＷＡＮアドレス）と送信元インタフェース IP ア

ドレスを設定します。

ipsec profile ipsec2 source MobileEthernet0.0 peer 192.0.1.1

IPsec2 の宛先 IP アドレス（装置ＢのＷＡＮアドレス）と送信元インタフェース IP ア

ドレスを設定します。 ip route 10.0.200.100/32 IPsec1 ip route 10.0.100.0/24 IPsec1

IPsec1 を経由する通信を設定します。宛先 IP アドレス 10 系は IPsec1 を経由した通

信を行います。 ip route 192.168.100.0/24 IPsec2

IPsec2 を経由する通信を設定します。宛先 IP アドレス 192.168.100 系は IPsec2 を経

由した通信を行います。 network-monitor monitor1



monitor interval occurrence 10 5 イベント発生監視インターバルを 10 秒間隔に設定します。監視応答が無くなると、監




冗長構成

14-22






ニタが起動します。 event ip unreach-host 10.0.200.100 interface IPsec1 source Loopback0.0

イベント動作を設定します。宛先を 10.0.200.100、送信元 IP アドレスをインタフェー

ス Loopback0.0 の IP アドレス、出力インタフェースを IPsec1 とし、ICMP でホスト

到達可否を監視します。 action 10 route-del 10.0.100.0/24 IPsec1 action 20 route-add 10.0.100.0/24 IPsec2


monitor-group monitor1 enable

モニタグループ monitor1 のネットワークモニタ機能を有効化します。 [装置Ｂ：WA2610-AP 設定] ike policy ipsec1 outgoing-interface GigaEthernet0.0 192.0.1.2

デフォルトルートがほか経路に設定されている場合、IPsec トンネルの送信先インタフ

ェース（GigaEthernet0.0）と nexthop（192.0.1.2）を設定します。 ike policy ipsec2 outgoing-interface GigaEthernet0.0 192.0.1.2

デフォルトルートがほか経路に設定されている場合、IPsec トンネルの送信先インタフ

ェース（GigaEthernet0.0）と nexthop（192.0.1.2）を設定します。

ip route default 192.168.100.100 デフォルトルートを 192.168.100.0/24 上の GW（192.168.100.100）に設定します。

ip route 10.0.0.0/24 IPsec1 ip route 10.0.200.1/32 IPsec1

IPsec1 を経由する通信を設定します。宛先 IP アドレス 10 系は IPsec1 を経由した通

信を行います。 ip route 192.168.1.0/24 IPsec2

IPsec2 を経由する通信を設定します。宛先 IP アドレス 192.168.1 系は IPsec2 を経由

した通信を行います。 network-monitor monitor2


ICMP ECHO による通信不能を検出すると監視間隔が 5 秒間隔になり、3 回目の ICMP

冗長構成

14-23

ECHO のタイムアウトによりアクションが開始されます。復旧は、10 秒間隔で 5 回の ICMP ECHO 受信により行われます。 monitor コマンドの設定を省略した場合は、自動的に初期値が設定されます。

monitor interval occurrence 10 5 イベント発生監視インターバルを 10 秒間隔に設定します。監視応答が無くなると、監









ニタが起動します。 event ip unreach-host 10.0.200.1 interface IPsec1 source Loopback0.0

イベント動作を設定します。宛先を 10.0.200.1、送信元 IP アドレスをインタフェース

Loopback0.0 の IP アドレス、出力インタフェースを IPsec1 とし、ICMP でホスト到達

可否を監視します。 action 10 route-del 10.0.0.0/24 IPsec1 action 20 route-add 10.0.0.0/24 IPsec2


冗長構成

14-24

14.4. デュアルモバイルで WAN 回線を冗長化する２つのモバイル回線を使用して、WAN 回線を冗長化する設定を説明します。本設定は、以下の環境を想定した設定例です。・Ａモバイル回線事業者のデータ通信サービスと、Ｂモバイル回線事業者のデータ通信サ

ービスを装置Ａで収容します。（デュアルモバイル機能）・主回線を、外付けデータ通信端末を利用するインタフェース MobileEthernet1.0、バック

アップ回線を、内蔵モジュールを利用するインタフェース MobileEthernet0.0 に設定し

ます。補足主従関係にインタフェース（MobileEthernet / Serial）の制約はありません。

・ネットワークモニタ機能で、主回線のアンテナレベルを監視し、設定されたレベル以下

になった場合に通信経路をバックアップ回線に切り替えます。アンテナレベルが復旧した場合は、通信経路を主回線に切戻します。

■接続構成


・ WAN インタフェース（MobileEthernet0.0）設定・ WAN インタフェース（MobileEthernet1.0）設定・ルーティング設定・ NAPT 設定・プロキシ DNS 設定・ネットワークモニタ設定

GE1.0

ME1.0

（（（（（（

Ａモバイル通信事業者


3G/LTE 192.168.1.0/24

端末Ａ装置Ａ

（（（（（（

ME0.0 内蔵モジュール

UNIVERGE WA2611-AP

Ｂモバイル通信事業者

アンテナレベル監視

冗長構成

14-25


! hostname WA2611-AP ! ! device usb0 ! device module0 ! interface GigaEthernet0.0 no ip address no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.200/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example-b.net mobile username test-b mobile password plain test-b auto-connect no shutdown ! interface MobileEthernet1.0 ip address dhcp ip napt enable mobile id IP example-a.net mobile username test-a mobile password plain test-a auto-connect no shutdown ! ip route default MobileEthernet1.0 ! network-monitor anntena_level monitor interval occurrence 2 monitor interval restorer 3 monitor counter occurrence 10 monitor counter restorer 30 monitor startup-delay 60 event antenna MobileEthernet1.0 level 2 a-count 5 action 10 route-del 0.0.0.0/0 MobileEthernet1.0 action 11 route-add 0.0.0.0/0 MobileEthernet0.0 action 20 pdns-server-del MobileEthernet1.0 dhcp action 21 pdns-server-add MobileEthernet0.0 dhcp action 30 reset-device usb0

冗長構成

14-26

! monitor-group antenna_level enable ! proxy-dns ip enable proxy-dns server default MobileEthernet1.0 dhcp !

■解説 [装置Ａ：WA2611-AP 設定] interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example-b.net mobile username test-b mobile password plain test-b

インタフェース MobileEthernet0.0 を設定します。内蔵モジュール（Device Module0）を使用したインタフェースです。

interface MobileEthernet1.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example-a.net mobile username test-a mobile password plain test-a

インタフェース MobileEthernet1.0 を設定します。外付けデータ通信端末を使用したイ

ンタフェースです。 network-monitor anntena_level

モニタグループを登録し、各種監視パラメータを設定します。 monitor interval occurrence 2

イベント発生監視インターバルを 2 秒間隔に設定します。 monitor interval restorer 3


アクション実行までの監視回数を 10 回に設定します。 monitor counter restorer 30

アクション復旧までの監視回数を 30 回に設定します。 monitor startup-delay 60


間を設定します。「monitor-group antenna_level enable」コマンドを認識してから 60 秒後にネットワー

クモニタが起動します。 event antenna MobileEthernet1.0 level 2 a-count 5

イベント動作を設定します。アンテナレベルは a-count で指定した回数の平均とし、ア

ンテナレベルが monitor counter で指定した回数で条件に合致した場合にイベントが発

冗長構成

14-27

生します。本設定では、インタフェース MobileEthernet1.0 のアンテナレベルが”5”回平

均で”level 2”を”10”回下回った場合にイベントが発生します。”30”回上回った場合に復

旧イベントが発生します。 action 10 route-del 0.0.0.0/0 MobileEthernet1.0 action 11 route-add 0.0.0.0/0 MobileEthernet0.0

デフォルトルートをインタフェース MobileEthernet1.0 から MobileEthernet0.0 に切り

替えます。 action 20 pdns-server-del MobileEthernet1.0 dhcp action 21 pdns-server-add MobileEthernet0.0 dhcp

インタフェース MobileEthernet1.0 で取得した DNS サーバのアドレスをインタフェー

ス MobileEthernet0.0 で取得したアドレスに切り替えます。 action 30 reset-device usb0

USB0 に接続されているデバイス（外付けデータ通信端末）をリセットします。初期値

では 3 秒間、給電を OFF します。 monitor-group antenna_level enable

モニタグループ antenna_level のネットワークモニタ機能を有効にします。

冗長構成

14-28

14.5. ネットワークモニタ機能の複数イベントを使用するネットワークモニタ機能の複数イベント（AND 条件）を使用して、メイン回線のセンタ側

サーバで複数の障害が発生した時にバックアップサーバへ切り替える設定を説明します。本設定は、以下の環境を想定した設定例です。・装置Ａは、ネットワークモニタ機能の複数イベント（AND 条件）で、主回線（PPPoE 回

線）経由で端末Ｂと端末 C をホスト監視し、複数の監視経路で障害が発生すると、通信

経路をバックアップ回線（モバイル回線）に切り替えます。 ■接続構成


・ LAN インタフェース設定・ WAN インタフェース設定・ルーティング設定・ IPsec インタフェース設定・ネットワークモニタ設定(装置Ａ)

GE1.0

ME0 （（（



プロバイダ

192.0.2.1

端末Ｂ


192.168.1.0/24

GE0.0

端末Ａ

PPPoE 動的 IP

動的 IP

IPsec0（主回線）

IPsec1 (バックアップ回線)

装置Ａ

装置Ｂ

端末 D

GE1.0

GE1.0

.254

.254

固定 IP

固定 IP

192.0.3.1

ホスト監視ホスト監視

.254


UNIVERGE WA2612-AP

UNIVERGE WA2610-AP

UNIVERGE WA1510

192.168.2.0/24

192.168.3.0/24

.1

.2 端末 C

装置 C

冗長構成

14-29


! hostname WA2612-AP ! ppp profile pppoe authentication username [email protected] authentication password plain test ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable ip napt reserve icmp ip napt reserve esp ip napt reserve udp 500 no shutdown ! interface Loopback0.0 ip address 192.168.100.1/32 no shutdown ! interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable ip napt reserve icmp ip napt reserve udp 500 ip napt reserve esp mobile id IP example.net auto-connect shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map IPsec0 no shutdown ! interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map IPsec1

冗長構成

14-30

no shutdown ! ! ip route default PPPoE0 ip route 192.0.2.1/32 PPPoE0 ip route 192.168.100.2/32 IPsec0 ip route 192.168.2.0/24 IPsec0 ! network-monitor monitor1 monitor interval occurrence 10 5 monitor interval restorer 10 monitor counter occurrence 3 monitor counter restorer 5 monitor startup-delay 60 multi-event 10 sub 10 ip unreach-host 192.168.2.1 interface Loopback0.0 multi-event 10 sub 20 ip unreach-host 192.168.2.2 interface Loopback0.0 action 10 ipsec-sa-clear ipsec_prof1 action 20 no-shutdown MobileEthernet0.0 action 30 route-del 0.0.0.0/0 PPPoE0 action 40 route-add 0.0.0.0/0 MobileEthernet0.0 action 50 route-add 192.168.3.0/24 IPsec1 action 60 pdns-server-add MobileEthernet0.0 dhcp action 70 BAK-LED-on ! monitor-group monitor1 enable ! proxy-dns ip enable proxy-dns server default PPPoE0 ipcp ! ike proposal IPsec0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike proposal IPsec1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy IPsec0 mode aggressive local-id key-id test1 dpd-keepalive enable ph1 20 3 proposal IPsec0 pre-shared-key plain test2 ! ike policy IPsec1 mode aggressive local-id key-id test3 dpd-keepalive enable ph1 20 3 proposal IPsec1 pre-shared-key plain test4 ! ! ipsec proposal IPsec0

冗長構成

14-31

protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec proposal IPsec1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy IPsec0 local-id 192.168.1.0/24 remote-id 192.168.2.0/24 rekey enable always pfs enable 768-bit proposal IPsec0 ! ipsec policy IPsec1 local-id 192.168.1.0/24 remote-id 192.168.3.0/24 rekey enable always pfs enable 768-bit proposal IPsec1 ! ipsec profile IPsec0 mode tunnel ipsec policy IPsec0 ike policy IPsec0 source PPPoE0 peer 192.0.2.1 ! ipsec profile IPsec1 mode tunnel ipsec policy IPsec1 ike policy IPsec1 source MobileEthernet0.0 peer 192.0.3.1 !

[装置Ｂ：WA2611-AP 設定] （コンフィグ作成バージョン：Ver8.0.3） ! hostname CENTER-WA2611-AP ! interface GigaEthernet0.0 ip address 192.0.2.1/24 ip napt enable ip napt reserve esp ip napt reserve icmp ip napt reserve udp 500 no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown ! interface Loopback0.0 ip address 192.168.100.2/32

冗長構成

14-32

no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown ! ip route 192.168.1.0/24 IPsec0 ip route default 192.0.2.100 ip route 192.168.111.1/32 IPsec0 ! proxy-dns ip enable proxy-dns server default 192.0.20.100 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive remote-id key-id test1 dpd-keepalive enable ph1 20 3 proposal ikeprop1 pre-shared-key plain test2 ! ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 192.168.2.0/24 remote-id 192.168.1.0/24 pfs enable 768-bit proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any !

[装置Ｃ：WA1510 設定] （コンフィグ作成バージョン：Ver8.0.3）

! hostname CENTER-WA1510 ! interface GigaEthernet0.0 ip address 192.0.3.0/24 ip napt enable ip napt reserve esp

冗長構成

14-33

ip napt reserve icmp ip napt reserve udp 500 no shutdown ! interface GigaEthernet1.0 ip address 192.168.3.254/24 no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown ! ip route default 192.0.3.100 ip route 192.168.1.0/24 IPsec0 ! proxy-dns ip enable proxy-dns server default 192.0.30.100 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive remote-id key-id test3 dpd-keepalive enable ph1 20 3 proposal ikeprop1 pre-shared-key plain test4 ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 192.168.3.0/24 remote-id 192.168.1.0/24 pfs enable 768-bit proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any ! !

冗長構成

14-34

■解説 [装置Ａ：WA2611-AP 設定] ip route 192.0.2.1/32 PPPoE0

装置Ｂ向けの IPsec peer ルートを設定します。 ip route 192.168.2.0/24 IPsec0

IPsec 通信が必要なパケットを、IPsec インタフェースに転送します。 network-monitor monitor1













ニタが起動します。 multi-event 10 sub 10 ip unreach-host 192.168.2.1 interface Loopback0.0

マルチイベント動作（AND 条件）を設定します。宛先を 192.168.2.1、送信元 IP アド

レスをインタフェース Loopback0.0 の IP アドレス、出力インタフェースを IPsec0 と

し、ICMP でホスト到達可否を監視します。イベント発生条件は sub 10 と sub 20 の障害が発生している場合にアクションが動作

します。注）切り替え後に sub 10 もしくは sub 20 のどちらかの障害が復旧した場合は、切り

戻ります。 multi-event 10 sub 20 ip unreach-host 192.168.2.2 interface Loopback0.0

マルチイベント動作（AND 条件）を設定します。宛先を 192.168.2.2、送信元 IP アド

レスをインタフェース Loopback0.0 の IP アドレス、出力インタフェースを IPsec0 と

し、ICMP でホスト到達可否を監視します。イベント発生条件は sub 10 と sub 20 の障害が発生している場合にアクションが動作

します。注）切り替え後に sub 10 もしくは sub 20 のどちらかの障害が復旧した場合は、切り

冗長構成

14-35

戻ります。 action 10 ipsec-sa-clear ipsec_prof1

イベント監視に失敗した時のアクションの動作を設定します。 ipsecprof1 の IPsec SA をクリアします。

action 20 no-shutdown MobileEthernet0.0 MobileEthernet0.0 を no shutdown します。

action 30 route-del 0.0.0.0/0 PPPoE0 デフォルトルートのインタフェース PPPoE0 を削除します。

action 40 route-add 0.0.0.0/0 MobileEthernet0.0 デフォルトルートをインタフェース MobileEthernet0.0 に切り替えます。

action 50 route-add 192.168.3.0/24 IPsec1 バックアップ回線への IPsec 通信が必要なパケットを、IPsec インタフェースに転送す

るためのルートを設定します。 action 60 pdns-server-add MobileEthernet0.0 dhcp

DNS サーバのアドレスをインタフェース MobileEthernet0.0 で取得したアドレスに切

り替えます。 action 70 BAK-LED-on

装置前面の BAK LED が点灯します。 monitor-group monitor1 enable

モニタグループ monitor1 のネットワークモニタ機能を有効化します。

ポリシールーティング

15-1

15. ポリシールーティング設定 15.1. アプリケーション毎に経路を分けるポリシールーティング機能を使用して、アプリケーション毎に送信経路を分ける設定を説

明します。本設定は、以下の環境を想定した設定例です。・デフォルトルートは PPPoE 回線とします。・ネットワーク 192.168.1.0/24 上の端末からの HTTP（TCP 80）パケットは、

MobileEthernet0.0 インタフェースから送信します。・HTTP（TCP 80）以外のパケットは、デフォルトルートの PPPoE0 インタフェースから

送信します。 ■接続構成


・ WANインタフェース設定・ルーティング設定・アクセスリスト設定・ route-map設定・ GigaEthernet1.0インタフェースへのroute-mapの適用

HTTP 通信事業者モバイルネットワーク


192.168.1.0/24

PPPo0

ME0 （（（（（（内蔵モジュール

UNIVERGE WA2611-AP

端末Ａ GE1

HTTP 以外


15-2


! hostname WA2611-AP ! ip access-list POLICYROUTE permit tcp src 192.168.1.0/24 sport any dest any dport eq 80 ! ppp profile pppoe authentication username [email protected] authentication password plain test ! route-map ROUTEMAP 1 match ip access-list POLICYROUTE set ip next-hop dhcp MobileEthernet0.0 ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 ip policy route-map ROUTEMAP no shutdown ! interface PPPoE0 ip address ipcp

ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto

ip napt enable mobile id IP example.net auto-connect no shutdown ! ip route default PPPoE0 ! proxy-dns ip enable proxy-dns server default PPPoE0 ipcp proxy-dns server secondary MobileEthernet0.0 dhcp !


15-3

■解説 ip access-list POLICYROUTE permit tcp src 192.168.1.0/24 sport any

dest any dport eq 80 ポリシールーティング対象とする端末をアクセスリストで指定します。送信元 IP アド

レスが”192.168.1.0/24”で、宛先ポートが”80”のパケットが対象となります。 route-map ROUTEMAP 1

ルートマップ“ROUTEMAP”を作成します。シーケンス番号”1”は任意の番号です。 match ip access-list POLICYROUTE

制御したいトラフィックのマッチ条件をアクセスリストで指定します。 set ip next-hop dhcp MobileEthernet0.0

ポリシーにヒットしたパケットの送信先を設定します。MobileEthernet インタフェー

スを指定する場合は、set interface ではなく、set next-hop ネクストホップアドレスで

設定します。 interface GigaEthernet1.0 ip policy route-map ROUTEMAP

インタフェース GigaEthernet1.0 で受信したパケットに対してポリシールーティング

が適用されます。送信パケットにポリシールーティングを適用することはできません。


15-4

15.2. 自発パケットの経路を分けるローカルポリシールーティング機能を使用して、自装置が生成するパケットの経路を分け

る設定を説明します。本設定は、以下の環境を想定した設定例です。・デフォルトルートは PPPoE 回線とします。・管理端末Ａからの telnet 接続に対する応答パケット（自発パケット）は、Serial0 インタ

フェースから送信します。・管理端末Ａへの telnet 応答パケット以外は、デフォルトルートの PPPoE0 インタフェー

スから送信します。なお、設定例では、アドレス変換機能（NAPT/NAT）やフィルタリング設定等は省略してお

ります。実際にご使用される際は、必ずセキュリティ対策を施してください。 ■接続構成


・ WANインタフェース設定・ルーティング設定・アクセスリスト設定・ route-map設定・ telnetサーバ設定

通信事業者モバイルネットワーク


192.168.1.0/24

PPPo0

Serial0 0 （（（（（（

(内蔵モジュール)

UNIVERGE WA2611-AP 管理端末Ａ

GE1

telnet 応答

デフォルトルート

192.0.1.1/32


15-5


! hostname WA2611-AP ! ip access-list localpolicy permit tcp src any sport eq 23 dest 192.0.1.1/32 dport any ! ppp profile pppoe authentication username [email protected] authentication password plain test ! ppp profile mobile authentication username test authentication password plain test ! route-map LocalPolicy 10 match ip access-list localpolicy set interface Serial0 ! ip local policy route-map LocalPolicy ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Serial0 ip address ipcp ip tcp adjust-mss auto ppp profile mobile mobile id IP 1 example.net mobile number *99***CID# auto-connect no shutdown ! ip route default PPPoE0 ! telnet-server ip enable !


15-6

■解説 ip access-list localpolicy permit tcp src any sport eq 23 dest 192.0.1.1/32 dport any

ローカルポリシールーティングの端末をアクセスリストで指定します。送信ポート

が”23（telnet）”で、宛先 IP アドレスが”192.0.1.1/32”のパケットが対象となります。 route-map LocalPolicy 10

ルートマップ“LocalPolicy”を作成します。シーケンス番号”10”は任意の番号です。 match ip access-list localpolicy

制御したいトラフィックのマッチ条件をアクセスリストで指定します。 set interface Serial0

ポリシーにヒットしたパケットの送信先インタフェースを設定します。 ip local policy route-map LocalPolicy

ローカルポリシールーティングを適用するルートマップを指定します。

無線 LAN

16-1

16. 無線 LAN 設定 16.1. マルチ SSID で複数のアクセス方式に対応する SSID ごとに別々の通信方式やパスワードを有効にする基本的な設定を説明します。本機能は WA2610-AP シリーズ、ならびに WA2021+WA100-AP の組合せで有効です。但

し、WA2021+WA100-AP は、5GHz 帯は非サポートです。 ■接続構成


・無線 LAN（WirelessEthernet0.0～0.2）インタフェース設定・ DHCP サーバ設定・ MobileEthernet0.0 インタフェース設定・ルーティング設定・ NAPT 設定・プロキシ DNS 設定



装置Ａ

UNIVERGE WA2611-AP

WE0.0

192.168.1.0/24 SSID-A

無線 LAN

WE0.1

ME0.0 内蔵モジュール WE0.2

2.4G + 5G

SSID-B

192.168.100.0/24

2.4G

SSID-C

192.168.200.0/24

5G

無線 LAN

16-2


! hostname WA2611-AP ! ip dhcp-server enable ip dhcp-server profile ssid-a default-gateway auto dns-server auto subnet-mask auto ! ip dhcp-server profile ssid-b default-gateway auto dns-server auto subnet-mask auto ! ip dhcp-server profile ssid-c default-gateway auto dns-server auto subnet-mask auto ! wireless 2g channel bgn single auto wireless 2g powerlevel 50 wireless 5g channel anac single 36 wireless 5g powerlevel 100 ! interface GigaEthernet0.0 no ip address no shutdown ! interface GigaEthernet1.0 no ip address no shutdown ! interface WirelessEthernet0.0 ssid SSID-A authentication type psk encryption mode wpa-wpa2 aes-tkip encryption wpa-key plain hogehogehoge frequency dual ip address 192.168.1.254/24 ip dhcp-server binding ssid-a no shutdown ! interface WirelessEthernet0.1 ssid SSID-B authentication type psk encryption wep-key 64bit plain hogeA encryption mode wep frequency 2g ip address 192.168.100.254/24 ip dhcp-server binding ssid-b no shutdown !

無線 LAN

16-3

interface WirelessEthernet0.2 ssid SSID-C authentication type psk encryption wpa-key plain hogehoge encryption mode wpa aes frequency 5g ip address 192.168.200.254/24 ip dhcp-server binding ssid-c no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example.net mobile username test mobile password plain test auto-connect no shutdown ! ip route default MobileEthernet0.0 ! proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp !


DHCP サーバ機能を有効化します。 ip dhcp-server profile ssid-x

DHCP プロファイル”ssid-x”を作成します。 “assignable-range”を省略した場合は、DHCP プロファイルを設定したインタフェース

の IP アドレスに“＋1”したアドレスから始まるアドレス範囲が設定されます。 default-gateway auto






を DHCP クライアントに通知します。

無線 LAN

16-4

wireless 2g channel bgn single auto 2.4GHz 帯の動作モードを”bgn”、バンド幅を”single”、通信チャネルを”auto”に設定しま

す。通信チャネル”auto”では 1～13 チャネルの中から自動で空きチャネルを選択しま

す。（初期値は bgn、single、auto） wireless 2g powerlevel 50

2.4GHz 帯の送信電力を 50%に設定します。（初期値は 100%） wireless 5g channel anac single 36

5GHz 帯の動作モードを”anac”、バンド幅を”single”、通信チャネルを”36”に設定します。

（初期値は anac、single、auto） wireless 5g powerlevel 100

5GHz 帯の送信電力を 100%に設定します。（初期値は 100%） interface WirelessEthernet0.0

初期状態ではインタフェース WirelessEthernet0.0 のみが存在します。補足

無線 LAN を使用される場合は、かならず WirelessEthernet0.0 を有効化してください。初期値は表示されませんので、詳細はコマンドリファレンスを参照下さい。

ssid SSID-A SSID を”SSID-A”に設定とします。

authentication type psk 認証方式を設定します。（初期値は psk）

encryption mode wpa-wpa2 aes-tkip 暗号化モードを”wpa-wpa2 aes-tkip”に設定します。（初期値は wpa-wpa2 aes-tkip）

encryption wpa-key plain hogehogehoge 暗号化キーを WPA/WPA2 キーで”hogehogehoge”に設定します。

frequency dual 利用する周波数帯を設定します。（初期値は dual）

ip address 192.168.1.254/24 ip dhcp-server binding ssid-a

IPアドレスを”192.168.1.254/24”に設定し、DHCPプロファイル”ssid-a”を割当てます。 no shutdown

初期値は”shutdown”です。本インタフェースを使用する場合は、”no shutdown”でイン

タフェースを有効化します。同様に、インタフェース WirelessEthernet0.1、WirelessEthernet0.2 も設定を施してくださ

い。

補足

初期状態ではインタフェース WirelessEthernet0.0 のみが存在しますので、インタフェ

ース WirelessEthernet0.1～WirelessEthernet0.11（WA2021 は～WirelessEthernet0.3）を使用する場合は、コマンド入力でインタフェースを作成する必要があります。

無線 LAN

16-5

16.2. 有線 LAN と無線 LAN を BVI で同一セグメントとして扱う無線 LAN と有線 LAN とを BVI インタフェースを介して同一セグメントとし、インターネ

ット接続する基本的な設定を説明します。本設定は、以下の環境を想定した設定例です。・無線 LAN（WirelessEthernet0.0）と有線 LAN（GigaEthrenet1.0）を、同じブリッジグル

ープとします。・論理インタフェースである BVI インタフェースを設定し、上記２つの LAN と同じブリッ

ジグループに帰属させます。・BVI インタフェースに、ゲートウェイアドレスや、DHCP サーバを設定します。メモ GE1.0 インタフェースに IP アドレスや DHCP サーバを設定し、WE0.0 インタフェースを

帰属させることもできますが、その場合、GE1.0 インタフェースがダウンすると無線子機

も通信不可となります。BVI インタフェースは論理インタフェースで常にアクティブのた

め、ほかインタフェースの影響を受けません。本機能は WA2610-AP シリーズ、ならびに WA2021+WA100-AP の組合せで有効です。但



・ブリッジ設定・有線 LAN（GigaEthernet1.0）インタフェース設定・無線 LAN（WirelessEthernet0.0）インタフェース設定・ BVI0.0 インタフェース設定・ DHCP サーバ設定・ MobileEthernet0.0 インタフェース設定・ルーティング設定・ NAPT 設定・プロキシ DNS 設定

GE1.0

ME0.0




LTE

同一セグメント

端末Ｂ

端末Ａ装置Ａ

UNIVERGE WA2610-AP

192.168.1.0/24

SSID-A

WE0.0

2.4G 5G

BVI0.0

無線 LAN

16-6


! hostname WA2610-AP ! bridge ieee enable ! ip dhcp-server enable ip dhcp-server profile local assignable-range 192.168.1.200 50 default-gateway auto dns-server auto subnet-mask auto ! interface GigaEthernet0.0 no ip address no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface WirelessEthernet0.0 ssid SSID-A authentication type psk encryption mode wep encryption wep-key 64bit plain test1 frequency dual no ip address bridge ieee 1 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Serial0 ip address ipcp mobile number *99***CID# auto-connect shutdown ! interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example.net mobile username test mobile password plain test mobile auto-recovery enable auto-connect no shutdown !

無線 LAN

16-7

interface BVI0.0 ip address 192.168.1.254/24 ip dhcp-server binding local bridge ieee 1 no shutdown ! ip route default MobileEthernet0.0 ! proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp !


ブリッジ機能を有効化します。 ip dhcp-server enable

DHCP サーバ機能を有効化します。 ip dhcp-server profile local assignable-range 192.168.1.200 50

DHCP プロファイル”local”を作成します。 DHCP クライアントに割当てるアドレス範囲を 192.168.1.200～192.168.1.249（50 ア

ドレス）までとします。 default-gateway auto






を DHCP クライアントに通知します。 interface GigaEthernet1.0 no ip address

インタフェース BVI0.0 と同じ IP セグメントですので、IP アドレスは設定しません。 bridge ieee 1

ブリッジ機能を有効化します。インタフェース BVI0.0 および無線 LAN インタフェー

ス WirelessEthernet0.0 と同一ブリッジグループを割り当てることで、同一ブロードキ

ャストドメインとなります。 interface WirelessEthernet0.0


無線 LAN

16-8

初期値は表示されませんので、詳細はコマンドリファレンスを参照下さい。 ssid SSID-A

SSID を”SSID-A”に設定とします。 authentication type psk

認証方式を設定します。（初期値は psk） encryption mode wep

暗号化モードを”WEP”に設定します。（初期値は wpa-wpa2-psk） encryption wep-key 64bit plain test1

暗号化キーを WEP キー、暗号強度 64bit で”test1”に設定します。 frequency dual

利用する周波数帯を設定します。（初期値は dual） no ip address

インタフェース BVI0.0 と同じ IP セグメントですので、IP アドレスは設定しません。 bridge ieee 1

ブリッジ機能を有効にします。インタフェース BVI0.0 およびインタフェース

GigaEthernet1.0 と同一ブリッジグループを割り当てることで、同一ブロードキャスト

ドメインとなります。 no shutdown


タフェースを有効化します。 interface BVI0.0 ip address 192.168.1.254/24 ip dhcp-server binding local

インタフェース BVI0.0 に IP アドレス”192.168.1.254/24”を設定し、DHCP プロファイ

ル”local”を割当てます。有線 LAN 端末および無線 LAN 子機は同一ブロードキャストドメインに属しますので、

この DHCP プロファイルを使用して DHCP で IP アドレスを取得します。 bridge ieee 1

ブリッジ機能を有効化します。インタフェース GigaEthernet1.0 および無線 LAN イン

タフェース WirelessEthernet0.0 と同一ブリッジグループを割り当てることで、同一ブ

ロードキャストドメインとなります。

無線 LAN

16-9

16.3. ２つの無線 LAN グループを別セグメントとして扱う異なる SSID の無線 LAN グループ（SSID-A と SSID-B）をそれぞれ別セグメントとし、

SSID-A 無線 LAN グループの端末は、インターネット VPN 経由で対向拠点の端末とブリ

ッジ接続する、SSID-B 無線 LAN グループの端末は、直接インターネット接続する設定を

説明します。本機能は WA2610-AP シリーズ、ならびに WA2021+WA100-AP の組合せで有効です。但



・ PPPoE インタフェース設定・有線 LAN（GigaEthernet1.0）インタフェース設定・無線 LAN（WirelessEthernet0.0）インタフェース設定・無線 LAN（WirelessEthernet0.1）インタフェース設定・ブリッジ設定・ DHCP サーバ設定・ IPsec 設定・ EtherIP 設定・ルーティング設定・ NAPT 設定・プロキシ DNS 設定・ DynamicDNS 設定

GE1.0


端末Ｂ

端末Ａ

端末Ｃ

10.1.1.0/24

SSID-A

WE0.1

SSID-B

端末Ｄ

装置Ａ装置Ｂ

IPsec+EtherIP

UNIVERGE WA2610-AP

PPPoE

WE0.0

UNIVERGE WA2611-AP

GE0 192.0.2.10

無線 LAN

16-10


! hostname WA2610-AP ! ppp profile pppoe authentication username [email protected] authentication password plain test ! bridge ieee enable ! ip dhcp-server enable ip dhcp-server profile local default-gateway auto dns-server auto subnet-mask auto ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe ip napt enable ip napt reserve icmp ip napt reserve udp 500 ip napt reserve esp auto-connect no shutdown ! interface WirelessEthernet0.0 ssid SSID-A authentication type psk encryption mode wpa-wpa2 aes-tkip encryption wpa-key plain wireless-test-A frequency dual no ip address bridge ieee 1 no shutdown ! interface WirelessEthernet0.1 ssid SSID-B authentication type psk encryption mode wpa-wpa2 aes-tkip encryption wpa-key plain wireless-test-B frequency dual

無線 LAN

16-11

ip address 10.1.1.254/24 ip dhcp-server binding local no shutdown ! interface Loopback0.0 ip address 172.16.0.1/32 no shutdown ! interface MobileEthernet0.0 no ip address auto-connect shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsec_prof0 no shutdown ! interface EtherIP0 bridge ieee 1 ether-ip peer 172.16.0.2 ether-ip source Loopback0.0 no shutdown ! ip route default PPPoE0 ip route 172.16.0.2/32 IPsec0 ! proxy-dns ip enable proxy-dns server default PPPoE0 ipcp ! ike proposal ike_prop0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ike_poli0 mode main proposal ike_prop0 pre-shared-key plain test0 ! ipsec proposal ipsec_prop0 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsec_poli0 proposal ipsec_prop0 ! ipsec profile ipsec_prof0 mode tunnel ipsec policy ipsec_poli0 ike policy ike_poli0 source PPPoE0 peer 192.0.2.10 ! ddns enable

無線 LAN

16-12

ddns account waddns source-ip auto !


! hostname WA2611-AP ! bridge ieee enable ! interface GigaEthernet0.0 ip address 192.0.2.10/32 no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface Loopback0.0 ip address 172.16.0.2/32 no shutdown ! interface Serial0 ip address ipcp mobile number *99***CID# auto-connect no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsec_prof0 no shutdown ! interface EtherIP0 bridge ieee 1 ether-ip peer 172.16.0.1 ether-ip source Loopback0.0 no shutdown ! ip route 172.16.0.1/32 IPsec0 ip route default 192.0.2.1 ! ike proposal ike_prop0 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ike_poli0 mode main proposal ike_prop0 pre-shared-key plain test0 ! ipsec proposal ipsec_prop0 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800

無線 LAN

16-13

! ipsec policy ipsec_poli0 proposal ipsec_prop0 ! ipsec profile ipsec_prof0 mode tunnel ipsec policy ipsec_poli0 ike policy ike_poli0 source GigaEthernet0.0 peer WA2600999999.waddns.com !



DHCP サーバ機能を有効化します。 ip dhcp-server profile local

DHCP プロファイル”local”を作成します。 DHCP クライアントに割当てるアドレス範囲を指定しない場合は、DHCP プロファイ

ルを設定したインタフェースの IP アドレスに“＋1”したアドレスから始まるアドレス

で 32 アドレスが自動的に割当てられます。本設定例では 10.1.1.1～10.1.1.32 までが

割当てられます。 default-gateway auto






を DHCP クライアントに通知します。 interface GigaEthernet1.0 no ip address bridge ieee 1

インタフェース GigaEthernet1.0 でブリッジ機能を有効化します。 interface WirelessEthernet0.0

インタフェース GigaEthernet1.0 と同じセグメントに割当てる無線 LAN インタフェー

スです。補足

無線 LAN

16-14

初期値は表示されません。詳細はコマンドリファレンスを参照下さい。 ssid SSID-A

SSID を”SSID-A”に設定とします。 authentication type psk

認証方式を設定します。（初期値は psk） encryption mode wpa-wpa2 aes-tkip

暗号化モードを”wpa-wpa2 aes-tkip”に設定します。（初期値は wpa-wpa2 aes-tkip） encryption wpa-key plain wireless-test-A

暗号化キーを WPA/WPA2 キーで” wireless-test-A”に設定します。 frequency dual

利用する周波数帯を設定します。（初期値は dual） no ip address bridge ieee 1

インタフェース WirelessEthernet0.0 でブリッジ機能を有効化します。 no shutdown

初期値は”shutdown”です。本インタフェースを使用する場合は”no shutdown”で有効化

します。 interface WirelessEthernet0.1

本設定例で使用するもう１つの無線 LAN インタフェースです。補足

初期状態ではインタフェース WirelessEthernet0.0 のみが存在しますので、インタフェ

ース WirelessEthernet0.1～WirelessEthernet0.11（WA2021 は～WirelessEthernet0.3）を使用する場合は、コマンド入力でインタフェースを作成する必要があります。

ssid SSID-B SSID を”SSID-B”に設定とします。

encryption wpa-key plain wireless-test-B WPA 暗号化キーを” wireless-test-B”に設定します。

ip address 10.1.1.254/24 ip dhcp-server binding local

インタフェース WirelessEthernet0.1 に IP アドレス”10.1.1.254/24”を設定し、DHCP プ

ロファイル”local”を割当てます。 no shutdown

初期値は”shutdown”です。本インタフェースを使用する場合は”no shutdown”で有効化

します。 interface EtherIP0 bridge ieee 1 ether-ip peer 172.16.0.2 ether-ip source Loopback0.0 no shutdown

論理インタフェース EtherIP0 でブリッジを動作させます。ブリッジが動作しているイ

ンタフェース GigaEthernet1.0 と WirelessEtherrnet0.0 上のパケットが EtherIP カプセ

ル化の対象となります。IP カプセル化するソースインタフェース指定と宛先 IP アドレ

スを指定します。本設定例では、IP カプセル化のソース IP アドレスを” Loopback0.0”のアドレス、宛先 IP アドレスを” 172.16.0.2（対向ルータの Loopback インタフェー

ス）”としています。ソース指定は IP アドレスでも設定可能です。

無線 LAN

16-15

interface IPsec0 ike proposal ike_prop0 ike policy ike_poli0 ipsec proposal ipsec_prop0 ipsec policy ipsec_poli0 ipsec profile ipsec_prof0

詳細は IPsec 章をご覧ください。 ip route default PPPoE0

インタフェース PPPoE0 をデフォルトルートに設定します。 ip route 172.16.0.2/32 IPsec0

宛先が”172.16.0.2/32”のパケット、つまり EtherIP カプセル化対象パケットのみインタ

フェース IPsec0 に転送します。 ddns enable ddns account waddns source-ip auto

装置 B に IPsec peer の IP アドレス（PPPoE インタフェースの IP アドレス）を伝える

ために、DynamicDNS を動作させます。

無線 LAN

16-16

16.4. 暗号化キーを自動的に定期更新する差分コンフィグ更新機能を利用して、暗号化キーを自動で定期更新する設定を説明します。本設定は、以下の環境を想定した設定例です。・差分コンフィグ更新機能（自動コンフィグ更新機能）を利用して、コンフィグレーショ

ンの一部を変更する。・更新する暗号化キーは、差分コンフィグファイル（.diff）で提供される。・差分コンフィグファイル（.diff）は、対向ネットワーク上の FTP サーバから FTP で取得

する。・装置Ａの無線 LAN 暗号化キーを毎週日曜日の午前 0 時に更新する。・暗号化キーを変更すると同時に、翌週の差分コンフィグファイル名も変更する。差分コ

ンフィグファイル名は毎週異なるものとする。 ■接続構成


・無線 LAN（WirelessEthernet0.0）インタフェース設定・ FTP サーバへの通信経路設定・差分コンフィグ更新機能設定（更新スケジュール設定）・差分コンフィグファイル（.diff）格納（FTP サーバへ）

SSID-A

FTP サーバ

装置Ａ装置Ｂ

UNIVERGE WA2610-AP

WE0.0

UNIVERGE WA2610-AP

GE0 192.0.1.20

GE0 192.0.1.10

192.168.2.10

192.168.2.0

192.168.1.0

無線 LAN

16-17


! hostname WA2610A ! bridge ieee enable ! ip dhcp-server enable ip dhcp-server profile local default-gateway auto dns-server auto subnet-mask auto ! interface GigaEthernet0.0 ip address 192.0.1.10/24 no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface WirelessEthernet0.0 ssid SSID-A authentication type psk encryption mode wpa-wpa2 aes-tkip encryption wpa-key plain hogehogehoge no ip address bridge ieee 1 no shutdown ! interface BVI0.0 ip address 192.168.1.254/24 ip dhcp-server binding local bridge ieee 1 no shutdown ! ip route 192.168.2.0/24 192.0.1.20 ! auto-config-update enable auto-config-update server 192.168.2.10 auto-config-update authentication username nec auto-config-update authentication password plain password auto-config-update configfile filename key-exchenge-1st-week.diff diff auto-config-update schedule weekly SUN 0:00 auto-config-update schedule retry 3 interval 10 auto-config-update syslog-backup-always !

無線 LAN

16-18

[定義ファイル：「key-exchenge-1st-week.diff」設定例]

! auto-config-update revision 20170901 ! interface WirelessEthernet0.0 encryption wpa-key plain 0123456789 ! auto-config-update configfile filename key-exchenge-2nd-week.diff diff !

■解説 [装置Ａ：WA2610-AP 設定] auto-config-update enable

自動コンフィグ更新機能を有効化します。 auto-config-update server 192.168.2.10 auto-config-update authentication username nec auto-config-update authentication password plain necnec

FTP サーバの IP アドレス、ユーザアカウント、パスワードを設定します。本設定例で

は、ログインホームディレクトリに差分コンフィグファイルが保存されていることを

想定しています。 auto-config-update configfile filename key-exchenge-1st-week.diff diff

差分コンフィグファイルを定義します。定義ファイル名は「key-exchenge-1st-week.diff」です。

auto-config-update schedule weekly SUN 0:00 auto-config-update schedule retry 3 interval 10

毎週日曜日の午前 0 時にコンフィグ更新を実行します。更新に失敗した場合は、10 秒

間隔で 3 回リトライを試みます。 auto-config-update syslog-backup-always

コンフィグ更新後に syslog を保存します。メモ更新後の自動設定保存（auto-config-update diff-save-enable）は、デフォルト”有効”

です。 [定義ファイル] auto-config-update revision 20170901

レビジョン（任意、12 桁以内の数字）を示す専用のコマンドが必須です。上記例で

は、”000020170901”として扱われます。レビジョン記述が無い定義ファイルは無効で

す。レビジョンが、running-config に記述されたレビジョンと同じ場合、更新は行われ

ません。 interface WirelessEthernet0.0

無線 LAN

16-19

encryption wpa-key plain 0123456789 wpa-key を”0123456789”に上書きし、変更します。本コマンドは再起動不要で即時反映されます。

auto-config-update configfile filename key-exchenge-2nd-week.diff diff

次の更新のために、定義ファイル名を” key-exchenge-2nd-week.diff”に変更します。

AAA 認証

17-1

17. AAA 設定 AAA/RADIUS クライアント設定 AAA/RADIUS クライアントは、Ver.7.0 で追加され、Ver8.0 で機能追加しています。 AAAとはネットワークのユーザ及びセキュリティ管理を行うための機能であり以下に示

す 3 つの機能の頭文字をとった略称です。・認証（Authentication）

ユーザにログイン/パスワードを要求し、その正当性を確認する機能・許可（Authorization） (ver8.0 追加機能)

認証完了後、ユーザに対してどのサービスの実行を許可するかを制御する機能・アカウンティング（Accounting）(ver8.0 機能強化：ログイン認証、システム起動)

装置内で発生した各種事象をアカウンティング（記録）する機能

WA シリーズでは、AAA 機能を提供する「AAA サーバ」として、「RADIUS サーバ」と、

「装置自身（Local）」をサポートします。

実際に、AAA を使用することで以下の記録などが可能になります。・ AAA サーバ（RADIUS サーバ）によるユーザアカウントの一元管理・ユーザ接続ログの記録（不正アクセス情報の確認）・再起動発生時刻の記録

RADIUS サービスタイプ属性とログイン権限の関係

RADIUS の「サービスタイプ属性（Service Type Attribute）」とログイン権限（Administrator、Operator）の関係は以下の表の通りです。Monitor 権限に対応するサービスタイプ属性は存在しません。

特権レベルサービスタイプ属性備考 Administrator Administrative 全てのコマンドを実行する権限を

有します。 Framed Operator Login 設定コマンドの実行は出来ません

が、設定情報の確認や統計情報の表

示と削除、ping/traceroute/telnet な

どの実行権限を持ちます。

Framed NAS Prompt 指定なし

AAA 認証

17-2

「AAA」使用時の注意点

・RADIUS サーバと通信するときのポート番号に注意。下記をデフォルトとしていま

す。・ RADIUS 認証サーバ：ポート番号 1812 ・ RADIUS アカウントサーバ：ポート番号 1813

・RADIUS サーバの機種によっては、認証サーバのポート番号が 1645、アカウントサ

ーバのポート番号が 1646 になっている場合があります。この場合、本装置側でポー

ト番号設定の変更が必要になります。例) radius host ip 1.1.1.1 key plain KEY acct-port 1646 auth-port 1645

・RADIUS サーバへ到達可能な出力インタフェースが複数存在する場合は、RADIUS

パケットの送信元アドレスに Loopback インタフェースのアドレスを使用します。・RADIUS サーバは受信 RADIUS パケットの送信元 IP アドレスで認証を行います。・RADIUS サーバへ到達可能な出力インタフェースが複数存在する場合、デフォルト

では RADIUS サーバへ最短で到達可能な出力インタフェースのアドレスが選ばれま

す。このとき、経路の切り替えによって RADIUS サーバに登録されていない IP アド

レスを送信元アドレスに使用した場合、認証に失敗してしまいます。このような状態を防ぐために、物理的なポート状態に影響を受けない Loopback イ

ンタフェースの使用を推奨します。

AAA 認証

17-3

17.1. ログイン認証を行う

監視端末でローカルコンソール、telnet、SSH からのログイン時にユーザ名とパスワード

の認証を行います。認証を有効にする基本的な設定を説明します。本設定は、以下の環境を想定した設定例です。・監視端末(A～C)から装置Ａに、許可されたユーザ名とパスワードでのアクセス時のみ、

RADIUS サーバで認証を行います。・回線障害などで RADIUS サーバと通信できない場合は、ローカル DB(データベース)によ

る認証を行います。認証方法を RADIUS サーバのみに設定すると、RADIUS サーバへアクセスできない場合

は装置へログインできなくなります。RADIUS サーバを使用する場合でも、ローカル DBでログインできるように設定しておく事を推奨します。 RADIUS サーバの設定は、各機器のマニュアルをご参照ください。 ■接続構成


・ AAA 認証設定・ RADIUS サーバ登録・ローカルデータベース(ローカル DB)登録・認証リストの指定・許可リストの指定・アカウンティングリストの指定

GE1.0


監視端末 B： SSH 接続

RADIUSサーバ

装置Ａ装置Ｂ

IPsec

UNIVERGE WA2611-AP

UNIVERGE WA2610-AP

監視端末 C：ローカルコンソール接続

ローカル DB

監視端末 A： TELNET 接続

AAA 認証

17-4


! hostname WA2610-AP ! username wa2610 password plain testkey administrator ! aaa enable aaa authentication login AUTHEN group radius local aaa authorization exec AUTHOR group radius local aaa accounting exec ACCT start-stop group radius local ! radius host ip 10.1.1.1 key plain 12345678 retransmit 2 timeout 2 source Loopback0.0 ! ip access-list ipsecacl permit ip src any dest any ! ip dhcp-server enable ip dhcp-server profile dhcpsv0 default-gateway auto dns-server auto subnet-mask auto ! interface GigaEthernet0.0 ip address 192.0.2.2/24 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp no shutdown ! interface GigaEthernet1.0 ip address 10.2.2.254/24 ip dhcp-server binding dhcpsv0 no shutdown ! interface Loopback0.0 ip address 10.10.10.10/32 no shutdown ! ip route 10.1.1.0/24 ipsec1 ! interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec_prof1 no shutdown ! ike proposal ike_prop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ike_pol1 mode main

AAA 認証

17-5

dpd-keepalive enable ph1 proposal ike_prop1 pre-shared-key plain test1 ! ipsec proposal ipsec_prop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsec_pol1 match ipsecacl proposal ipsec_prop1 ! ipsec profile ipsec_prof1 mode tunnel ipsec policy ipsec_pol1 ike policy ike_pol1 source GigaEthernet0.0 peer 192.0.2.1 ! terminal authentication AUTHEN terminal authorization AUTHOR terminal accounting ACCT ! ! telnet-server ip enable telnet-server authentication AUTHEN telnet-server authorization AUTHOR telnet-server accounting ACCT ! ssh-server ip enable ssh-server authentication AUTHEN ssh-server authorization AUTHOR ssh-server accounting ACCT !


! hostname WA2611-AP ! ip access-list ipsecacl permit ip src any dest any ! interface GigaEthernet0.0 ip address 192.0.2.1/24 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp no shutdown ! interface GigaEthernet1.0 ip address 10.1.1.254/24 no shutdown !

AAA 認証

17-6

interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! ip route 10.2.2.0/24 ipsec1 ip route 10.10.10.10/32 ipsec1 ! interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec_prof1 no shutdown ! ike proposal ike_prop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ike_pol1 mode main dpd-keepalive enable ph1 proposal ike_prop1 pre-shared-key plain test1 ! ipsec proposal ipsec_prop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsec_pol1 match ipsecacl proposal ipsec_prop1 ! ipsec profile ipsec_prof1 mode tunnel ipsec policy ipsec_pol1 ike policy ike_pol1 source GigaEthernet0.0 peer 192.0.2.2 !

■解説 [装置Ａ：WA2610-AP 設定] username wa2610 password plain testkey administrator

ログインアカウント（ログイン名：wa2610、パスワード：testkey）の設定です。 aaa enable

AAA 機能を有効化します。 aaa authentication login AUTHEN group radius local

ログイン認証リスト”AUTHEN”で、一次認証方式を RADIUS サーバ、二次認証方式

をローカル DB に設定します。

AAA 認証

17-7

aaa authorization exec AUTHOR group radius local シェルサービス実行許可リスト”AUTHOR”で、一次認証方式を RADIUS サーバ、二

次認証方式をローカル DB に設定します。 aaa accounting exec ACCT start-stop group radius local

シェルサービスアカウンティングリスト”ACCT”で、ログイン／ログアウトを RADIUSサーバ、およびローカル DB にアカウンティングします。

radius host ip 10.1.1.1 key plain 12345678 retransmit 2 timeout 2 source Loopback0.0

RADIUS サーバの IP アドレスを設定します。認証キー”12345678”は RADIUS サーバ側と同じ文字列を設定します。 RADIUS サーバへの再送回数”２回”、応答待ち時間”２秒”を設定します。 RADIUS サーバとの通信のソースアドレスを Loopback0.0 アドレスに設定します。

terminal authentication AUTHEN

ローカルコンソールのログイン認証を有効化します。認証リストは”AUTHEN”を適用します。

terminal authorization AUTHOR

ローカルコンソールのシェルサービス実行許可で使用する許可リストを指定します。許可リストは”AUTHOR”を適用します。

terminal accounting ACCT

ローカルコンソールのシェルサービスアカウンティングで使用するアカウンティング

リストを指定します。アカウンティングリストは”ACCT”を適用します。

telnet-server ip enable

telnet サーバを有効化します。 telnet-server authentication AUTHEN

telnet サーバのログイン認証を有効化します。認証リストは”AUTHEN”を適用します。

telnet-server authorization AUTHOR

telnet サーバのシェルサービス実行許可で使用する許可リストを指定します。許可リストは”AUTHOR”を適用します。

telnet-server accounting ACCT

telnet サーバのシェルサービスアカウンティングで使用するアカウンティングリスト

を指定します。アカウンティングリストは”ACCT”を適用します。

ssh-server ip enable

SSH サーバを有効化します。

AAA 認証

17-8

ssh-server authentication AUTHEN SSH サーバのログイン認証を有効化します。認証リストは”AUTHEN”を適用します。

ssh-server authorization AUTHOR

SSH サーバのシェルサービス実行許可で使用する許可リストを指定します。許可リストは”AUTHOR”を適用します。

ssh-server accounting ACCT

SSH サーバのシェルサービスアカウンティングで使用するアカウンティングリストを

指定します。アカウンティングリストは”ACCT”を適用します。

端末認証

18-1

18. 端末認証設定 18.1. 有線 LAN および無線 LAN で IEEE802.1X 認証を行う

無線 LAN および有線 LAN で IEEE802.1X 認証を有効にする基本的な設定を説明します。本設定は、以下の環境を想定した設定例です。・装置Ａを Authenticator とし、RADIUS サーバで許可されたサプリカントのみアクセスを

許可とします。・回線障害などで RADIUS サーバと通信できない場合は、Authenticator でローカル認証を

行います。・有線 LAN と無線 LAN は同一セグメントです。 RADIUS サーバおよびサプリカントの設定は、各機器のマニュアルをご参照ください。 ■接続構成


・ AAA 認証設定・ RADIUS サーバ登録・ローカル DB 登録・有線 LAN インタフェースの IEEE802.1X 認証設定・無線 LAN インタフェースの IEEE802.1X 認証設定・ブリッジ設定

GE1.0


端末Ｃ：許可端末

SSID-A

RADIUSサーバ

装置Ａ装置Ｂ

IPsec

UNIVERGE WA2611-AP

端末Ｂ：非認証端末

UNIVERGE WA2610-AP

端末Ｄ：非認証端末

WE0.0


端末Ａ：許可端末

端末認証

18-2


! hostname WA2610-AP ! aaa enable aaa authentication dot1x DOT1X-LIST group radius local aaa authentication fail-action stop aaa accounting dot1x DOT1X-ACCOUNT start-stop group radius local ! radius host ip 10.1.1.1 key plain 12345678 retransmit 2 timeout 2 source Loopback0.0 ! dot1x local-group username user-a password plain hoge username user-b password plain hogehoge ! bridge ieee enable ! ip access-list ipsecacl permit ip src any dest any ! ip dhcp-server enable ip dhcp-server profile dhcpsv0 default-gateway auto dns-server auto subnet-mask auto ! interface GigaEthernet0.0 ip address 192.0.2.2/24 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp no shutdown ! interface GigaEthernet1.0 ip address 10.2.2.254/24 ip dhcp-server binding dhcpsv0 bridge ieee 1 dot1x enable dot1x authentication DOT1X-LIST dot1x accounting DOT1X-ACCOUNT no shutdown ! interface WirelessEthernet0.0 ssid SSID-A encryption mode wpa-wpa2 aes-tkip frequency dual authentication type dot1x no ip address bridge ieee 1 dot1x authentication DOT1X-LIST dot1x accounting DOT1X-ACCOUNT no shutdown !

端末認証

18-3

interface Loopback0.0 ip address 10.10.10.10/32 no shutdown ! ip route 10.1.1.0/24 ipsec1 ! interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec_prof1 no shutdown ! ike proposal ike_prop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ike_pol1 mode main dpd-keepalive enable ph1 proposal ike_prop1 pre-shared-key plain test1 ! ipsec proposal ipsec_prop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsec_pol1 match ipsecacl proposal ipsec_prop1 ! ipsec profile ipsec_prof1 mode tunnel ipsec policy ipsec_pol1 ike policy ike_pol1 source GigaEthernet0.0 peer 192.0.2.1 !


! hostname WA2611-AP ! ip access-list ipsecacl permit ip src any dest any ! interface GigaEthernet0.0 ip address 192.0.2.1/24 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp no shutdown ! interface GigaEthernet1.0 ip address 10.1.1.254/24

端末認証

18-4

no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! ip route 10.2.2.0/24 ipsec1 ip route 10.10.10.10/32 ipsec1 ! interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec_prof1 no shutdown ! ike proposal ike_prop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ike_pol1 mode main dpd-keepalive enable ph1 proposal ike_prop1 pre-shared-key plain test1 ! ipsec proposal ipsec_prop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsec_pol1 match ipsecacl proposal ipsec_prop1 ! ipsec profile ipsec_prof1 mode tunnel ipsec policy ipsec_pol1 ike policy ike_pol1 source GigaEthernet0.0 peer 192.0.2.2 !

■解説 aaa enable

AAA 機能を有効化します。 aaa authentication dot1x DOT1X-LIST group radius local

IEEE802.1X 認証リスト”DOT1X-LIST”で、一次認証方式を RADIUS サーバ、二次認証

方式をローカル DB に設定します。 aaa authentication fail-action stop

一次認証方式で認証失敗時は認証処理を終了します。（初期値は continue）

端末認証

18-5

aaa accounting dot1x DOT1X-ACCOUNT start-stop group radius local

IEEE802.1X 認証アカウンティングリスト”DOT1X-ACCOUNT”で、認証開始／停止を

RADIUS サーバ、およびローカル DB にアカウンティングします。 radius host ip 10.1.1.1 key plain 12345678 retransmit 2 timeout 2 source Loopback0.0


dot1x local-group username user-a password plain hoge username user-b password plain hogehoge

IEEE802.1X ローカル認証で参照するユーザアカウントを設定します。 bridge ieee enable


DHCP サーバ機能を有効化します。 interface GigaEthernet1.0 ip address 10.2.2.254/24 ip dhcp-server binding dhcpsv0

インタフェース GigaEthernet1.0 に IP アドレス”10.2.2.254/24”を設定し、DHCP プロ

ファイル”dhcpsv0”を割当てます。無線 LAN 子機も同一ブロードキャストドメインに属しますので、この DHCP プロファ

イルを使用して DHCP で IP アドレスを取得します。 bridge ieee 1

インタフェース GigaEthernet1.0 でブリッジ機能を有効化します。無線 LAN インタフ

ェース WirelessEthernet0.0 と同一ブリッジグループを割り当てることで、同一ブロー

ドキャストドメインとなります。 dot1x enable dot1x authentication DOT1X-LIST dot1x accounting DOT1X-ACCOUNT

インタフェース GigaEthernet1.0 で IEEE802.1X 認証を有効化します。 IEEE802.1X 認証リストは”DOT1X-LIST”を適用します。 IEEE802.1X 認証アカウンティングリストは”DOT1X-ACCOUNT”を適用します。

interface WirelessEthernet0.0



ssid SSID-A

端末認証

18-6

SSID を”SSID-A”に設定とします。 encryption mode wpa-wpa2 aes-tkip

暗号化モードを”wpa-wpa2 aes-tkip”に設定します。（初期値は wpa-wpa2 aes-tkip） frequency dual

利用する周波数帯を設定します。（初期値は dual） authentication type dot1x

無線 LAN インタフェース WirelessEthernet0.0 で IEEE802.1X 認証を有効化します。

（初期値は psk） dot1x authentication DOT1X-LIST dot1x accounting DOT1X-ACCOUNT

IEEE802.1X 認証リストは”DOT1X-LIST”を適用します。 IEEE802.1X アカウンティングリストは”DOT1X-ACCOUNT”を適用します。

no ip address bridge ieee 1

無線 LAN インタフェース WirelessEthernet0.0 でブリッジ機能を有効化します。イン

タフェース GigaEthernet1.0 と同一ブリッジグループを割り当てることで、同一ブロー

ドキャストドメインとなります。 no shutdown


タフェースを有効化します。

端末認証

18-7

18.2. 有線 LAN および無線 LAN で MAC 認証を行う無線 LAN および有線 LAN で MAC 認証を有効にする基本的な設定を説明します。本設定は、以下の環境を想定した設定例です。・装置Ａを Authenticator とし、RADIUS サーバで許可された MAC アドレスを有する端末

のみアクセスを許可とします。・回線障害などで RADIUS サーバと通信できない場合は、Authenticator でローカル認証を

行います。・有線 LAN と無線 LAN は同一セグメントです。 RADIUS サーバの設定は、各機器のマニュアルをご参照ください。 ■接続構成


・ AAA 認証設定・ RADIUS サーバ登録・ローカル DB 登録・有線 LAN インタフェースの MAC 認証設定・無線 LAN インタフェースの MAC 認証設定・ブリッジ設定

GE1.0



SSID-A

RADIUSサーバ

装置Ａ装置Ｂ

IPsec

UNIVERGE WA2611-AP


UNIVERGE WA2610-AP


WE0.0


端末Ａ：許可端末

端末認証

18-8


! hostname WA2610-AP ! aaa enable aaa authentication mac-auth MAC-LIST group radius local aaa authentication fail-action stop aaa accounting mac-auth MAC-ACCOUNT start-stop group radius local ! radius host ip 10.1.1.1 key plain 12345678 retransmit 2 timeout 2 source Loopback0.0 ! mac-auth local-group mac-address 01:23:45:67:89:ab mac-address 00:11:22:33:44:55 ! bridge ieee enable ! ip access-list ipsecacl permit ip src any dest any ! ip dhcp-server enable ip dhcp-server profile dhcpsv0 default-gateway auto dns-server auto subnet-mask auto ! interface GigaEthernet0.0 ip address 192.0.2.2/24 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp no shutdown ! interface GigaEthernet1.0 ip address 10.2.2.254/24 ip dhcp-server binding dhcpsv0 bridge ieee 1 mac-auth enable mac-auth authentication MAC-LIST mac-auth accounting MAC-ACCOUNT mac-auth address-format case upper mac-auth address-format separator – no shutdown ! interface WirelessEthernet0.0 ssid SSID-A encryption mode wpa-wpa2 aes-tkip frequency dual authentication type psk mac-auth encryption wpa-key plain hogehoge no ip address bridge ieee 1 mac-auth authentication MAC-LIST

端末認証

18-9

mac-auth accounting MAC-ACCOUNT mac-auth address-format case upper mac-auth address-format separator – no shutdown ! interface Loopback0.0 ip address 10.10.10.10/32 no shutdown ! ip route 10.1.1.0/24 ipsec1 ! interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec_prof1 no shutdown ! ike proposal ike_prop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ike_pol1 mode main dpd-keepalive enable ph1 proposal ike_prop1 pre-shared-key plain test1 ! ipsec proposal ipsec_prop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsec_pol1 match ipsecacl proposal ipsec_prop1 ! ipsec profile ipsec_prof1 mode tunnel ipsec policy ipsec_pol1 ike policy ike_pol1 source GigaEthernet0.0 peer 192.0.2.1 !


! hostname WA2611-AP ! ip access-list ipsecacl permit ip src any dest any ! interface GigaEthernet0.0 ip address 192.0.2.1/24 ip napt enable ip napt reserve udp 500 ip napt reserve esp

端末認証

18-10

ip napt reserve icmp no shutdown ! interface GigaEthernet1.0 ip address 10.1.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! ip route 10.2.2.0/24 ipsec1 ip route 10.10.10.10/32 ipsec1 ! interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec_prof1 no shutdown ! ike proposal ike_prop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ike_pol1 mode main dpd-keepalive enable ph1 proposal ike_prop1 pre-shared-key plain test1 ! ipsec proposal ipsec_prop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsec_pol1 match ipsecacl proposal ipsec_prop1 ! ipsec profile ipsec_prof1 mode tunnel ipsec policy ipsec_pol1 ike policy ike_pol1 source GigaEthernet0.0 peer 192.0.2.2 !


AAA 機能を有効化します。 aaa authentication mac-auth MAC-LIST group radius local

MAC 認証リスト”MAC-LIST”で、一次認証方式を RADIUS サーバ、二次認証方式をロ

端末認証

18-11

ーカル DB に設定します。 aaa authentication fail-action stop

一次認証方式で認証失敗時は認証処理を終了します。（初期値は continue） aaa accounting mac-auth MAC-ACCOUNT start-stop group radius local

MAC 認証アカウンティングリスト”MAC-ACCOUNT”で、認証開始／停止を RADIUS サ

ーバ、およびローカル DB にアカウンティングします。 radius host ip 10.1.1.1 key plain 12345678 retransmit 2 timeout 2 source Loopback0.0


mac-auth local-group mac-address 01:23:45:67:89:ab mac-address 00:11:22:33:44:55

MAC 認証のローカル認証で参照する端末 MAC アドレスを設定します。 bridge ieee enable




ファイル”dhcpsv0”を割当てます。無線 LAN 子機も同一ブロードキャストドメインに属しますので、この DHCP プロファ

イルを使用して DHCP で IP アドレスを取得します。 bridge ieee 1

インタフェース GigaEthernet1.0 でブリッジ機能を有効化します。無線 LAN インタフ

ェース WirelessEthernet0.0 と同一ブリッジグループを割り当てることで、同一ブロー

ドキャストドメインとなります。 mac-auth enable mac-auth authentication MAC-LIST mac-auth accounting MAC-ACCOUNT

インタフェース GigaEthernet1.0 で MAC 認証を有効化します。 MAC 認証リストは”MAC-LIST”を適用します。 MAC 認証アカウンティングリストは”MAC-ACCOUNT”を適用します。

mac-auth address-format case upper mac-auth address-format separator –

RADIUS サーバとの認証に用いられる MAC アドレスの英字を”大文字(upper)”に、区切

端末認証

18-12

り文字を”-”に設定します。（初期値小文字、区切り文字なし） interface WirelessEthernet0.0






authentication type psk mac-auth 無線 LAN インタフェース WirelessEthernet0.0 で MAC 認証を有効化します。（初期値

は psk のみ） MAC 認証を行う場合も暗号化モード、暗号化キーの設定が必要です。

encryption wpa-key plain hogehoge 暗号化キーを WPA/WPA2 キーで”hogehoge”に設定します。

mac-auth authentication MAC-LIST mac-auth accounting MAC-ACCOUNT




り文字を”-”に設定します。（初期値小文字、区切り文字なし） no ip address bridge ieee 1

無線 LAN インタフェース WirelessEthernet0.0 でブリッジ機能を有効化します。イン

タフェース GigaEthernet1.0 と同一ブリッジグループを割り当てることで、同一ブロー

ドキャストドメインとなります。 no shutdown



端末認証

18-13

18.3. 異なるインタフェースで異なる認証方式を有効にする無線 LAN インタフェースで IEEE802.1X 認証、有線 LAN インタフェースで MAC 認証を

有効にする基本的な設定を説明します。本設定は、以下の環境を想定した設定例です。・装置Ａを Authenticator とし、無線 LAN インタフェース WirelessEthernet0.0 で

IEEE802.1X 認証による認証を行い、有線 LAN インタフェース GigaEthernet1.0 で MAC認証による認証を行います。

・アカウント情報、MAC アドレス情報は RADIUS サーバを参照しますが、回線障害など

で RADIUS サーバと通信できない場合はローカル認証を行います。 RADIUS サーバおよびサプリカントの設定は、各機器のマニュアルをご参照ください。 ■接続構成


・ AAA 認証設定・ RADIUS サーバ登録・ローカル DB 登録・有線 LAN インタフェースの MAC 認証設定・無線 LAN インタフェースの IEEE802.1X 認証設定

GE1.0



SSID-A

RADIUSサーバ

装置Ａ装置Ｂ

IPsec

UNIVERGE WA2611-AP


UNIVERGE WA2610-AP


WE0.0

IEEE802.1 認証

MAC 認証端末Ａ：許可端末

端末認証

18-14


! hostname WA2610-AP ! aaa enable aaa authentication dot1x DOT1X-LIST group radius local aaa authentication mac-auth MAC-LIST group radius local aaa authentication fail-action stop aaa accounting dot1x DOT1X-ACCOUNT start-stop group radius local aaa accounting mac-auth MAC-ACCOUNT start-stop group radius local ! radius host ip 10.1.1.1 key plain 12345678 retransmit 2 timeout 2 source Loopback0.0 ! dot1x local-group username user-a password plain hoge username user-b password plain hogehoge ! mac-auth local-group mac-address 01:23:45:67:89:ab mac-address 00:11:22:33:44:55 ! ip access-list ipsecacl permit ip src any dest any ! ip dhcp-server enable ip dhcp-server profile dhcpsv0 default-gateway auto dns-server auto subnet-mask auto ! ip dhcp-server profile dhcpsv1 default-gateway auto dns-server auto subnet-mask auto ! interface GigaEthernet0.0 ip address 192.0.2.2/24 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp no shutdown ! interface GigaEthernet1.0 ip address 10.2.2.254/24 ip dhcp-server binding dhcpsv0 mac-auth enable mac-auth authentication MAC-LIST mac-auth accounting MAC-ACCOUNT mac-auth address-format case upper mac-auth address-format separator – no shutdown ! interface WirelessEthernet0.0

端末認証

18-15

ssid SSID-A encryption mode wpa-wpa2 aes-tkip frequency dual authentication type psk dot1x ip address 10.3.3.254/24 ip dhcp-server binding dhcpsv1 dot1x authentication DOT1X-LIST dot1x accounting DOT1X-ACCOUNT no shutdown ! interface Loopback0.0 ip address 10.10.10.10/32 no shutdown ! ip route 10.1.1.0/24 ipsec1 ! interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec_prof1 no shutdown ! ike proposal ike_prop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ike_pol1 mode main dpd-keepalive enable ph1 proposal ike_prop1 pre-shared-key plain test1 ! ipsec proposal ipsec_prop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsec_pol1 match ipsecacl proposal ipsec_prop1 ! ipsec profile ipsec_prof1 mode tunnel ipsec policy ipsec_pol1 ike policy ike_pol1 source GigaEthernet0.0 peer 192.0.2.1 !


! hostname WA2611-AP ! ip access-list ipsecacl permit ip src any dest any !

端末認証

18-16

interface GigaEthernet0.0 ip address 192.0.2.1/24 ip napt enable ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp no shutdown ! interface GigaEthernet1.0 ip address 10.1.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! ip route 10.2.2.0/24 ipsec1 ip route 10.3.4.0/24 ipsec1 ip route 10.10.10.10/32 ipsec1 ! interface IPsec1 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec_prof1 no shutdown ! ike proposal ike_prop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ike_pol1 mode main dpd-keepalive enable ph1 proposal ike_prop1 pre-shared-key plain test1 ! ipsec proposal ipsec_prop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsec_pol1 match ipsecacl proposal ipsec_prop1 ! ipsec profile ipsec_prof1 mode tunnel ipsec policy ipsec_pol1 ike policy ike_pol1 source GigaEthernet0.0 peer 192.0.2.2 !

端末認証

18-17


AAA 機能を有効化します。 aaa authentication dot1x DOT1X-LIST group radius local

IEEE802.1X 認証リスト”DOT1X-LIST”で、一次認証方式を RADIUS サーバ、二次認証

方式をローカル DB に設定します。 aaa authentication mac-auth MAC-LIST group radius local

MAC 認証リスト”MAC-LIST”で、一次認証方式を RADIUS サーバ、二次認証方式をロ

ーカル DB に設定します。 aaa authentication fail-action stop

一次認証方式で認証失敗時は認証処理を終了します。（初期値は continue） aaa accounting dot1x DOT1X-ACCOUNT start-stop group radius local

IEEE802.1X 認証アカウンティングリスト”DOT1X-ACCOUNT”で、認証開始／停止を

RADIUS サーバ、およびローカル DB にアカウンティングします。 aaa accounting mac-auth MAC-ACCOUNT start-stop group radius local

MAC 認証アカウンティングリスト”MAC-ACCOUNT”で、認証開始／停止を RADIUS サ

ーバ、およびローカル DB にアカウンティングします。 radius host ip 10.1.1.1 key plain 12345678 retransmit 2 timeout 2 source Loopback0.0


dot1x local-group username user-a password plain hoge username user-b password plain hogehoge

IEEE802.1X ローカル認証で参照するユーザアカウントを設定します。 mac-auth local-group mac-address 01:23:45:67:89:ab mac-address 00:11:22:33:44:55

MAC 認証のローカル認証で参照する端末 MAC アドレスを設定します。 ip dhcp-server enable



ファイル”dhcpsv0”を割当てます。

端末認証

18-18

mac-auth enable mac-auth authentication MAC-LIST mac-auth accounting MAC-ACCOUNT




り文字を”-”に設定します。（初期値小文字、区切り文字なし） interface WirelessEthernet0.0






authentication type dot1x 無線 LAN インタフェース WirelessEthernet0.0 で IEEE802.1X 認証を有効化します。

（初期値は psk） ip address 10.3.3.254/24 ip dhcp-server binding dhcpsv1

無線 LAN インタフェース WirelessEthernet0.0 に IP アドレス”10.3.3.254/24”を設定し、

DHCP プロファイル”dhcpsv1”を割当てます。 dot1x authentication DOT1X-LIST dot1x accounting DOT1X-ACCOUNT

IEEE802.1X 認証リストは”DOT1X-LIST”を適用します。 IEEE802.1X アカウンティングリストは”DOT1X-ACCOUNT”を適用します。

no shutdown 初期値は”shutdown”です。本インタフェースを使用する場合は、”no shutdown”でイン


QoS

19-1

19. QoS 設定 19.1. 自発パケットを優先送信する QoS 機能を使用して、装置Ａから送信される自発パケットを優先制御する設定を説明しま

す。本機能により、IPsec での Keepalive や rekey 処理等の自発パケットを優先送信が可能

となります。 ■接続構成

■設定概要装置Ａに以下の設定を行います。・自発パケットのクラスマップの設定（High キュー）・その他通信のクラスマップの設定（Normal キュー）・ポリシーマップの設定・パケット優先機能の有効化とポリシーマップの適用メモ

・ESP カプセル化された自発パケットも自発パケットとして優先制御されます。・ユーザ間データなど自発パケット以外の ESP カプセル化パケットは、そのほかの通信と

して制御されます。・他装置から装置 A 宛の通信に対する応答パケット（ping 応答や telnet など）も自発パケ

ットとして優先制御されます。・1 つのクラスマップ内で複数の match コマンドを指定した場合プライオリティは同じに

なります。最後に指定したプライオリティで統一され動作します。プライオリティを変

更したい場合は、別のクラスマップを作成してください。

GE1.0 ME0.0


（（（



3G/LTE

動的 IP 固定 IP 192.0.2.2/32

IPsec

端末Ｂ

IKE モード : Aggressive IPsec 通信モード : Tunnel 暗号 : AES(256bit) 認証 : SHA2 DH-group : 768bit (default)

192.168.2.0/24


装置Ｂ

UNIVERGE WA2610-AP

UNIVERGE WA1511

装置Ａ

192.168.1.0/24

QoS

19-2


! hostname WA1500 ! class-map match-any yuusen match local-generate-packet high ! class-map match-any sonota match ip any normal ! policy-map me0-out class yuusen class sonota ! interface GigaEthernet0.0 no ip address no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 ip address dhcp ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve udp 4500 service-policy enable service-policy output me0-out auto-connect no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown ! ip route default MobileEthernet0.0 ip route 192.168.2.0/24 IPsec0 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive

QoS

19-3

local-id key-id wa1500 dpd-keepalive enable ph1 20 3 proposal ikeprop1 pre-shared-key plain hogehoge nat-traversal enable keepalive 20 ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 192.168.1.0/24 remote-id 192.168.2.0/24 proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source MobileEthernet0.0 peer 192.0.2.2 !

■解説 class-map match-any yuusen match local-generate-packet high

クラスマップ”yuusen”を設定します。本クラスマップで、自発パケットを示す“local-generate-packet”パラメータを match コマンドで指定し、最優先の”high”キューに割り

当てます。 class-map match-any sonota match ip any normal

クラスマップ”sonota”を設定します。本クラスマップで、自発パケット以外の全ての

IPv4 パケットを”normal”キューに割り当てます。 policy-map me0-out class yuusen class sonota

ポリシーマップ”me0-out”を設定します。本ポリシーマップに、クラスマップ”yuusenと”sonota”を適用します。

interface MobileEthernet0.0 service-policy enable service-policy output me0-out

service-policy output コマンドにて、本インタフェースから送信するパケットに対し、

ポリシーマップ”me0-out”を適用します。 service-policy enable コマンドにて、本インタフェースでの優先制御機能を有効にしま

す。

QoS

19-4

19.2. 送信パケットに DSCP 値を付与する（カラーリング機能） GE0.0 インタフェースから送信する自発のパケットのプライオリティを high、dscp 値を

48 とし、その他のパケット(ルーティングされた IPv4 および IPv6 パケット)のプライオリ

ティを normal、dscp 値を 0 とする設定を説明します。 ■接続構成

■設定概要以下の設定を行います。・自発パケットのクラスマップの設定（High キュー）・ IPv4 および IPv6 パケットのクラスマップの設定（Normal キュー）・クラスマップ毎のカラーリング（DSCP）設定・パケット優先機能の有効化とポリシーマップの適用 ■設定（コンフィグ作成バージョン：Ver7.3.7） [装置Ａ：WA1511 設定]

! hostname WA1500 ! class-map match-any local match local-generate-packet high ! class-map match-any default match ip any normal match ipv6 any normal ! policy-map ge0_out class local set dscp 48 class default set dscp 0 ! interface GigaEthernet0.0 ip address 192.168.2.254/24 ipv6 enable ipv6 address 2001:db8:cafe:2::1/64 service-policy enable service-policy output ge0_out no shutdown

192.168.1.0/24 2001:db8:cafe:1::0/64

GE1.0

装置Ａ

GE0.0

192.168.2.0/24 2001:db8:cafe:2::0/64

UNIVERGE WA1510

High/DSCP:48

Normal/DSCP: 0

QoS

19-5

! interface GigaEthernet1.0 ip address 192.168.1.254/24 ipv6 enable ipv6 address 2001:db8:cafe:1::1/64 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown !

■解説 class-map match-any local match local-generate-packet high

クラスマップ”local”を設定します。本クラスマップで、自発パケットを示す“local-generate-packet”パラメータを match コマンドで指定し、最優先の”high”キューに割り

当てます。 class-map match-any default match ip any normal

クラスマップ”default”を設定します。本クラスマップで、IPv4 および IPv6 パケット

を”normal”キューに割り当てます。

policy-map ge0_out class local set dscp 48 class default set dscp 0

ポリシーマップ”ge0-out”を設定します。本ポリシーマップに、クラスマップ”local”を適

用し、DSCP 値を”48”に設定します。同様に、クラスマップ”default”を適用し、DSCP値を”0”に設定します。

interface GigaEthernet0.0 service-policy enable service-policy output ge0-out

service-policy output コマンドにて、本インタフェースから送信するパケットに対し、

ポリシーマップ”ge0-out”を適用します。 service-policy enable コマンドにて、本インタフェースでの優先制御機能を有効にしま

す。

QoS

19-6

19.3. 物理ポートでトラフィックシェーピングを設定する GE0.0、GE1.0 および FE0.0（WA1020）イーサネットインタフェースでは、送信トラフィ

ックのシェーピングを行うことができます。GE1.0 イーサネットインタフェースの送信レ

ートを 200Mbps にシェーピングする設定を説明します。 ■接続構成


・シェーピングレート設定 ■設定（コンフィグ作成バージョン：Ver7.3.7） [装置Ａ：WA2610-AP 設定]

! hostname WA2610 ! interface GigaEthernet0.0 ip address 192.168.2.254/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 traffic-shape rate 200M no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown !

■解説 interface GigaEthernet1.0 traffic-shape rate 200M

インタフェース GE1.0 にて、シェーピングレートを 200Mbps に設定します。シェーピングレートは、100Kbps～1000Mbps の範囲で設定可能です。

端末

装置Ａ

UNIVERGE WA2610-AP

GE1.0

200Mbps

BGP4

20-1

20. BGP4 設定 20.1. AS 間で経路情報を交換する AS 間で経路情報を交換するための eBGP 接続の設定を説明します。 ■接続構成

■設定概要以下の設定を行います。・ AS番号の設定

・隣接ルータ(neighbor)の設定

・アドレスファミリーの設定・プレフィックスリストの設定

端末

192.168.1.0/24

.1 .254 GE0 GE0

装置Ａ装置Ｂ

192.168.10.0/24

.2 .1

GE1

BGP4 AS:65100 AS:65200

172.16.1.0/24

.254

GE1

UNIVERGE WA1510

UNIVERGE WA2610-AP

端末

BGP4

20-2


! hostname WA1510 ! ip prefix-list lan-KA 10 permit 192.168.1.0/24 ! interface GigaEthernet0.0 ip address 172.16.1.1/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! router bgp 65100 neighbor 172.16.1.2 remote-as 65200 neighbor 172.16.1.2 description kyoten-B address-family ipv4 unicast neighbor 172.16.1.2 distribute-list lan-KA out network 192.168.1.0/24 !


! hostname WA2610-AP ! ip prefix-list lan-KB 10 permit 192.168.10.0/24 ! interface GigaEthernet0.0 ip address 172.16.1.2/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.10.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! router bgp 65200 neighbor 172.16.1.1 remote-as 65100 neighbor 172.16.1.1 description kyoten-A address-family ipv4 unicast neighbor 172.16.1.1 distribute-list lan-KB out network 192.168.10.0/24 !

BGP4

20-3

■解説 [装置Ａ：WA1510 設定]（装置Ｂも同様です。） ip prefix-list lan-KA 10 permit 192.168.1.0/24

隣接ルータに送付するプレフィックスのリストを作成します。 router bgp 65100

作成する AS の番号を指定し、モードを移ります。 neighbor 172.16.1.2 remote-as 65200

接続する隣接ルータのピアの情報を設定します。接続する隣接ルータの IP アドレス、AS 番号を設定します。

neighbor 172.16.1.2 description kyoten-B コメントとしてピアの情報も設定できます。

address-family ipv4 unicast ipv4 アドレスファミリーモードに移ります。

neighbor 172.16.1.2 distribute-list lan-KA out network 192.168.1.0/24

アドレスファミリーモードで、広告するネットワークの設定を行います。

ＵＲＬオフロード

21-1

21. URL オフロード設定例 21.1. 経路制御処理を利用した構成（HTTP プロキシサーバを利用しない）特定の宛先（URL/IP アドレス）向けのトラフィックのみを通常と異なる経路に転送できま

す。経路制御処理は、ポリシールーティングを使用してオフロード対象の経路変更を行います。本設定は、以下の環境を想定した設定例です。・端末Ａは定義ファイル（オフロード対象となる宛先のリスト）を利用しません。・ユーザネットワークには、HTTP プロキシサーバは設置されていません。・端末Ａの通常の HTTP トラフィックは、装置Ａの IPsec トンネル経由で装置Ｂにルーテ

ィングされ、ゲートウェイ経由でインタ－ネットへアクセスします。・定義ファイルに該当する HTTP トラフィック（クラウドサービスへのアクセス）は、装

置Ａのルートマップ機能で経路を制御され、WAN インタフェースから直接インターネッ

トへ送信されます。 ■接続構成


・ URLオフロードプロファイルの設定・ルートマップの作成・ GigaEthernet0.0 インタフェース設定・ GigaEthernet1.0 インタフェース設定・ PPPoE0 インタフェース設定・ IPsec 設定・ルーティング設定

インタネット

192.168.1.0/24

GE1.0 センタルータ

172.16.1.2

IPsec

装置Ａ装置Ｂ

クラウドサービス

端末Ａ

ゲートウェイ

定義ファイル


通常トラフィック

PPPoE0.0

10.10.10.0/24


21-2


! hostname WA2612 ! url-offload profile urlo-prof url https://example.com/OffloadList.xml offload-protocol both ! ppp profile test1 authentication username test1 authentication password plain test1 ! ip dhcp-server enable ip dhcp-server profile test2 default-gateway auto dns-server auto subnet-mask auto ! route-map urlo-map permit 1 match ip url-offload urlo-prof set interface PPPoE0 ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.200/24 ip dhcp-server binding test2 ip policy route-map urlo-map no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile test1 auto-connect ip napt enable ip napt reserve esp ip napt reserve udp 500 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 ip url-offload profile urlo-prof no shutdown


21-3

! ip route 172.16.1.2/32 PPPoE0 ip route default IPsec0 ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive local-id key-id hoge proposal ikeprop1 pre-shared-key plain hogehoge ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 1.1.1.1/32 remote-id 2.2.2.2/32 proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source PPPoE0 peer 172.16.1.2 !


21-4

■解説 url-offload profile urlo-prof

URL オフロードプロファイル”urlo-prof”を作成します。 url https://example.com/OffloadList.xml

取得する URL オフロードデータベースを指定します。 offload-protocol both

オフロード対象となるプロトコルを指定します。”both”の場合は、HTTP/HTTPS 通信

の両方をオフロードします。 route-map urlo-map permit 1

ルートマップ“urlo-map”を作成します。シーケンス番号”1”は任意の番号です。 match ip url-offload urlo-prof set interface PPPoE0

URL オフロードポリシー”urlo-porf”にヒットしたパケットの送信先を PPPoE0 に設定

します。 interface GigaEthernet1.0 ip policy route-map urlo-map

端末 A から受け取ったパケットをルートマップ“urlo-map”に従い、ポリシールーテ

ィングさせます。 interface IPsec0 ip url-offload profile urlo-prof

IPsec0 インタフェースで URL オフロードを判定します。URL オフロードプロファイ

ル”urlo-prof”の条件にマッチしたパケットがポリシールーティングの対象パケットとな

ります。 ip route default IPsec0

デフォルトルートを IPsec0 に設定します。オフロード対象外の通常トラフィックは

IPsec0 より送信されます。


21-5

21.2. フィルタ処理を利用した構成（HTTP プロキシサーバを利用する）特定の宛先（URL/IP アドレス）向けのトラフィックのみを通常と異なる経路に転送できま

す。フィルタ処理は、オフロード対象ドメインの IP アドレスキャッシュの作成や、オフロード

対象外のパケットの廃棄を行います。本設定は、以下の環境を想定した設定例です。・端末Ａは、装置Ａから定義ファイル（オフロード対象となる宛先のリスト、およびプロ

キシサーバの IP アドレス）を取得します。・ユーザネットワークには HTTP プロキシサーバが設置されており、端末Ａの通常の HTTP

トラフィックは HTTP プロキシサーバを介して、ゲートウェイ経由でインターネットへ

アクセスします。・プロキシサーバ経由ではない HTTP トラフィック（クラウドサービスへのアクセス）は、

装置Ａ内のフィルタを通過して、WAN インタフェースから直接インターネットへ送信さ

れます。 ■接続構成


・ URLオフロードプロファイルの設定

・ DHCPサーバプロファイルの設定・ GigaEthernet0.0 インタフェース設定・ GigaEthernet1.0 インタフェース設定・ PPPoE0 インタフェース設定・ IPsec 設定・ルーティング設定・プロキシ DNS 設定

インタネット

192.168.1.0/24

GE1.0 センタルータ

172.16.1.2

IPsec

装置Ａ装置Ｂ


端末Ａ

ゲートウェイ

定義ファイル proxy.pac


通常トラフィック

PPPoE0.0

10.10.10.10 プロキシサーバ

10.10.10.0/24

proxy.pac

Web サーバ


21-6


! hostname WA2612 ! url-list url1 permit domain *.example1.co.jp ! url-offload profile urlo-prof url https://example.com/OffloadList.xml offload-protocol both proxy-config pac-file http://10.10.10.10/proxy.pac list url1 ! ppp profile test1 authentication username test1 authentication password plain test1 ! ip dhcp-server enable ip dhcp-server profile test2 default-gateway auto dns-server auto subnet-mask auto wpad auto ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.200/24 ip dhcp-server binding test2 no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile test1 auto-connect ip napt enable ip napt reserve esp ip napt reserve udp 500 ip url-offload profile urlo-prof unmatch-action discard no shutdown ! interface Loopback0.0 ip address 172.16.1.1/32 no shutdown ! interface IPsec0 ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown


21-7

! ip route 10.10.10.0/24 IPsec0 ip route default PPPoE0 ! proxy-dns ip enable proxy-dns server default PPPoE0 ipcp ! ike proposal ikeprop1 encryption-algorithm aes256-cbc authentication-algorithm hmac-sha2-256 lifetime 28800 ! ike policy ikepol1 mode aggressive local-id key-id hoge proposal ikeprop1 pre-shared-key plain hogehoge ! ipsec proposal ipsecprop1 protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800 ! ipsec policy ipsecpol1 local-id 1.1.1.1/32 remote-id 2.2.2.2/32 proposal ipsecprop1 ! ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 source PPPoE0 peer 172.16.1.2 ! ! http-server ip enable http-server ip permit 192.168.1.0/24 !


21-8

■解説 url-list url1 permit domain *.example1.co.jp

WA ルータにオフロードの対象の URL として、「*.example1.co.jp」を設定します。外部サーバから取得する定義ファイルに記載されていない URL をオフロード対象にで

きます。 url-offload profile urlo-prof

URL オフロードプロファイル”urlo-prof”を作成します。 url https://example.com/OffloadList.xml

取得する URL オフロードデータベースを指定します。 offload-protocol both

オフロード対象となるプロトコルを指定します。”both”の場合は、HTTP/HTTPS 通信

の両方をオフロードします。 proxy-config pac-file http://10.10.10.10/proxy.pac

使用するプロキシ設定を指定します。PAC ファイルの URL を指定した場合は、その

URL で取得した PAC ファイルを使用します。URL オフロード対象のプロキシ例外の

条件を記述した PAC ファイルを WA ルータに自動生成し、端末に配信します。 list url1

WA ルータに設定した URL オフロードの対象リストを適用します。 ip dhcp-server profile test2 wpad auto

DHCP で端末に配信するプロキシ自動設定ファイルの URL を指定します。装置内で

PAC ファイルを生成している場合は”auto”で指定可能です。 interface PPPoE0 ip url-offload profile urlo-prof unmatch-action discard

PPPoE0 インタフェースで URL オフロードを判定します。URL オフロードプロファイ

ル”urlo-prof”の条件にマッチしないパケットは廃棄します。 ip route 10.10.10.0/24 IPsec0

通常のインターネット通信は IPsec0 を通り、ユーザネットワーク内のプロキシサーバ

を経由して実施します。 ip route default PPPoE0

デフォルトルートを PPPoE0 に設定します。オフロード対象のクラウドサービス用の

トラフィックは IPsec0 を経由せず、PPPoE0 から直接送信されます。 http-server ip enable http-server ip permit 192.168.1.0/24

PAC の自動配信をするために HTTP サーバを有効化します。デフォルトコンフィグでは、HTTPS サーバが有効となっていますので、 no https-server ip enable で HTTPS サーバを無効化してから、HTTP サーバを有効化

します。また、HTTP サーバで許可するホストアドレスを GigaEthernet1.0 配下の端末

とします。本設定もデフォルトコンフィグでは HTTPS サーバを指定しているので、

HTTP サーバ指定に変更します。

URL リダイレクト

22-1

22. URL リダイレクト設定 22.1 設定したサイトを利用者のブラウザへ表示させるネットワークの利用者が外部へ HTTP アクセスする際に、設定したサイトを利用者のブラ

ウザへ表示させる基本的な設定を説明します。配下端末が LAN 接続後、最初にアクセスす

る HTTP サイトを指定できます。HTTPS 通信のリダイレクトは利用できません。 ■接続構成


・ PPP プロファイル設定・ GigaEthernet0.0 インタフェース設定・ PPPoE0 インタフェース設定・ NAPT 設定・プロキシ DNS 設定・ GigaEthernet1.0 インタフェース設定・ルーティング設定・ URL リダイレクト設定

192.168.1.0/24


インターネット or サービスプロバイダ

端末Ａ

GE0.0 GE1.0

.254

userID : [email protected] password : test リダイレクト先 URL: http://url.example.net/

PPPoE0

装置 A

UNIVERGE WA2610-AP

HTTP サーバ

url.example.net リダイレクト先


22-2


! hostname WA2612-AP ! ppp profile pppoe authentication username [email protected] authentication password plain test ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 http-redirect enable no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable no shutdown ! ip route default PPPoE0 ! proxy-dns ip enable proxy-dns server default PPPoE0 ipcp ! http-server ip enable ! http-redirect url http://url.example.net/ !


22-3

■解説 ppp profile pppoe authentication username [email protected] authentication password plain test


設定します。 interface PPPoE0 ip address ipcp









ターネット接続できるように設定します。 interface GigaEthernet0.0 no ip address encapsulation PPPoE0

有線回線を収容するインタフェース GigaEthernet0.0 に、論理インタフェース PPPoE0を割当てます。インタフェース GigaEthernet0.0 の IP アドレスは設定しません。

proxy-dns ip enable proxy-dns server default PPPoE0 ipcp



インタフェース GigaEthernet1.0 の IP アドレスを設定します。 http-redirect enable

URL リダイレクト機能を有効にします。 ip route default PPPoE0


http-redirect url http://url.example.net/ リダイレクト先 URL を設定します。

管理・保守

23-1

23. 管理・保守

SNTP クライアントを使用して時刻を設定する SNTP クライアント機能を使って、本装置の時刻を自動で設定します。 ■接続構成


・ LAN インタフェース設定・ WAN インタフェース設定・ルーティング設定・プロキシ DNS 設定・ SNTP 設定

メモ RTC を有していますので一定時間以内であれば電源を OFF しても時刻情報は保持されま

す。 ■設定（コンフィグ作成バージョン：Ver7.5.4） [装置Ａ：WA1510 設定]

! hostname WA1510 ! no wireless-adapter enable ! ppp profile mobile authentication username test authentication password plain test ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown

192.168.1.0/24

GE1.0 Serial0



3G/LTE .254

NTP サーバ ntp.example.net

装置Ａデータ通信端末

UNIVERGE WA1510

管理・保守

23-2

! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Serial0 ip address ipcp ip tcp adjust-mss auto ppp profile mobile ip napt enable mobile id IP 1 example.net mobile number *99***CID# auto-connect no shutdown ! ip route default Serial0 ! proxy-dns ip enable proxy-dns server default Serial0 ipcp ! sntp-client enable ntp-server server ntp.example.net ntp-server interval 480 !

■解説 [装置Ａ：WA1510 設定] proxy-dns ip enable

プロキシ DNS を有効化します。 proxy-dns server default Serial0 ipcp

プロキシ DNS が問合せを行う DNS サーバとして、PPP の IPCP にて取得した DNSサーバを設定します。この設定は、本装置からのDNS問合せをする際にも使用します。 FQDN を使用する場合はプロキシ DNS 機能を有効にしてください。

sntp-client enable

SNTP クライアントを有効化します。 ntp-server server ntp.example.net

時刻同期を行うために参照する NTP サーバ” ntp.example.net”を設定します。 NTP サ

ーバは FQDN ではなく IP アドレスで設定することも可能です。 ntp-server interval 480

時刻同期間隔を”480”（分）に設定します。初期値は 60 分です。

管理・保守

23-3

SNMP を使用して情報を収集する装置の MIB 情報や SNMP トラップを SNMP マネージャーに送信する設定です。 ■接続構成


・ LAN インタフェース設定・ WAN インタフェース設定・ルーティング設定・ SNMP 設定・ SNMP アクセス制限設定・ ifindex 設定（装置の再起動が必要です。）

■設定（コンフィグ作成バージョン：Ver7.3.7） [WA2610-AP 設定]

! hostname WA2610-AP ! ppp profile mobile authentication username test authentication password plain test ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Serial0 ip address ipcp ip tcp adjust-mss auto ppp profile mobile ip napt enable

GE1.0 Serial0



3G/LTE .254

SNMP マネージャー

データ通信端末装置Ａ

.1 MIB 情報要求

UNIVERGE WA2610-AP

MIB 情報送信

TRAP 送信

管理・保守

23-4

mobile id IP 1 example.net mobile number *99***CID# auto-connect no shutdown ! ip route default Serial0 ! proxy-dns ip enable proxy-dns server default Serial0 ipcp ! sntp-client enable ntp-server server ntp.example.net ! snmp ip enable snmp agent-location test2 snmp contact 0123-45-6789 snmp ip community public read-only snmp ip trap interface GigaEthernet1.0 snmp ip trap destination 192.168.1.1 public v1 snmp ip trap public generic-trap cold-start snmp ip trap public generic-trap link-down snmp ip trap public generic-trap link-up snmp ip trap public private-trap all snmp ip permit 192.168.1.1/32 snmp mib-2 ifindex interface GigaEthernet1.0 1001 snmp mib-2 ifindex interface Serial0 1002 !

■解説 [装置Ａ：WA2610-AP 設定] snmp ip enable

SNMP エージェントを有効化します。 snmp agent-location test2

装置の物理的位置(sysLocation)を設定します。 snmp contact 0123-45-6789

連絡先(syscontact)を設定します。 snmp ip community public read-only

SNMP のコミュニティ名”public”と、アクセスタイプ”read-only”を設定にします。 snmp ip trap interface GigaEthernet1.0

SNMP トラップ送信元インタフェースを設定します。設定したインタフェースの IP ア

ドレスが送信元 IP アドレスとなります。 snmp ip trap destination 192.168.1.1 private v1

SNMP トラップ宛先 IP アドレス”192.168.1.1”と、コミュニティ名”private”、SNMP バ

ージョン”SNMPv1”を設定します。 snmp ip trap public generic-trap cold-start snmp ip trap public generic-trap link-down snmp ip trap public generic-trap link-up snmp ip trap private generic-trap all

送信する標準トラップの種別を設定します。”cold-start”、”link-down”、”link-up”イベン

ト発生時に標準トラップを destination で設定した宛先に送信します。

管理・保守

23-5

snmp ip trap public private-trap all 送信するプライベートトラップの種別を設定します。”all”の場合、サポートしている全

てのプライベートトラップを送信します。 snmp ip permit 192.168.1.1/32

SNMP でのアクセス制限を設定します。上記の場合、”192.168.1.1”以外の IP アドレス

からのアクセスを拒否します。 snmp mib-2 ifindex interface GigaEthernet1.0 1001 snmp mib-2 ifindex interface Serial0 1002

インタフェースの ifindex 値を任意の値に設定します。上記の場合、インタフェース

GigaEthernet1.0 は”1001”、インタフェース Serial0 は”1002”に設定されます。ifindex が

設定されていないインタフェースの ifindex 値は 10001 以上になります。注意 ifindex 値の固定設定を行った場合は、装置を再起動してください。

管理・保守

23-6

SYSLOG を使用して情報を収集する syslog function コマンドで設定されているイベント情報を、Syslog サーバへ送信する設定

です。 ■接続構成


・ SYSLOG 設定・ LAN インタフェース設定・ WAN インタフェース設定・ルーティング設定

■設定（コンフィグ作成バージョン：Ver7.1.3） [WA2610-AP 設定]

! syslog destination 192.168.1.1 syslog enable syslog backup time 00:00 syslog backup enable syslog function all notice ! hostname WA2610-AP ! ppp profile mobile authentication username test authentication password plain test ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown !

GE1.0 Serial0



3G/LTE .254

データ通信端末装置Ａ

.1

UNIVERGE WA2610-AP

SYSLOG サーバ syslog

管理・保守

23-7

interface Serial0 ip address ipcp ip tcp adjust-mss auto ppp profile mobile ip napt enable mobile id IP 1 example.net mobile number *99***CID# auto-connect no shutdown ! ip route default Serial0 ! proxy-dns ip enable proxy-dns server default Serial0 ipcp ! sntp-client enable ntp-server server ntp.example.net !

■解説 [装置Ａ：WA2610-AP 設定] syslog destination 192.168.1.1

Syslog サーバのアドレスに「192.168.1.1」を設定します。イベント情報を Syslog サーバに送信します。 syslog function コマンドで設定されているイベント情報を、Syslog サーバへ送信しま

す。 syslog enable

イベント情報を収集するために Syslog 機能を有効化します。 syslog backup time 00:00

syslog をフラッシュメモリに保存する時刻を「00:00」に指定します。イベント情報をフラッシュメモリに保存します。補足 DRAM に保存されているイベント情報を１日１回指定した時刻にフラッシュメモリに

保存します。フラッシュメモリに保存できるサイズは 128Kbyte で、DRAM 上で保存さ

れているイベント情報の最新のイベントから 128Kbyte 分までが格納されます。なお、

DRAM 上で保存できるサイズは、512Kbyte です。容量が超過すると古いイベント情報

から順に削除されます。 syslog backup enable

Syslog バックアップ機能を有効化します。 syslog function all notice

イベント情報レベルに notice レベルを指定します。

管理・保守

23-8

FTP 自動バージョンアップ機能を使用する FTP 自動バージョンアップ機能を使用して、指定した日時に自動的にソフトウェアのバー

ジョンアップを行う設定を説明します。本設定は、以下の環境を想定した設定例です。・装置Ａをプログラムファイルバージョン x.x.x にバージョンアップします。・定義ファイルを利用した FTP 自動バージョンアップを行います。・FTP サーバには、プログラムファイル（.bin）と定義ファイルを保存しておきます。・装置Ａは、指定した時刻なると FTP サーバの定義ファイルを参照し、FTP サーバからプ

ログラムファイルをダウンロードします。・プログラムファイルダウンロード後、自動的に再起動します。 ■接続構成


・ LAN インタフェース設定・ WAN インタフェース設定・ルーティング設定・プロキシ DNS 設定・ FTP 自動バージョンアップ設定

FTP サーバには定義ファイル、プログラムファイルを保存します。

・定義ファイル保存（FTP サーバ内）・プログラムファイル保存（FTP サーバ内）

192.168.1.0/24

GE1.0 Serial0



.254

FTP サーバ

.1

ftp.example.net

装置Ａ

定義ファイル : wa2600_list.txt 保存パス : wa2600/program

FTP


3G/LTE

UNIVERGE WA2610-AP

管理・保守

23-9


! boot entry flash wa2600.bin ! hostname WA2610-AP ! ppp profile mobile authentication username test authentication password plain test ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Serial0 ip address ipcp ip tcp adjust-mss auto ppp profile mobile ip napt enable mobile id IP 1 example.net mobile number *99***CID# auto-connect no shutdown ! ip route default Serial0 ! proxy-dns ip enable proxy-dns server default Serial0 ipcp ! sntp-client enable ntp-server server ntp.example.net ntp-server interval 480 ! terminal timeout 5 ! auto-versionup enable auto-versionup reboot-enable auto-versionup server ftp.example.net auto-versionup authentication username wa2600 auto-versionup authentication password plain ftppassword auto-versionup definition filename wa2600_list.txt auto-versionup definition path wa2600/program auto-versionup schedule monthly 01 00:00 2 !

管理・保守

23-10

■解説 [装置Ａ：WA2610-AP 設定] boot entry flash wa2600.bin

起動時の実行プログラムファイルを”wa2600.bin”に設定します。FTP 自動バージョン

アップでダウンロードされるプログラムファイルは、WA1020 は「wa1020.bin」、

WA2021 は「wa2021.bin」、WA1510 シリーズは「wa1500.bin」、WA2610-AP シリーズ

は「wa2600.bin」という名称でフラッシュメモリに格納されるためです。 proxy-dns ip enable proxy-dns server default Serial0 ipcp

プロキシ DNS を有効化します。プロキシ DNS が問合せを行う DNS サーバとして、PPP の IPCP にて取得した DNSサーバを設定しますこの設定は、本装置からの DNS 問合せをする際にも使用します。 FQDN を使用する場合はプロキシ DNS 機能を有効にしてください。

sntp-client enable ntp-server server ntp.example.net

SNTP クライアント機能を有効化します。時刻同期を行うために参照する NTP サーバ” ntp.example.net”を設定します。

terminal timeout 5

コンソールのログアウトタイマーを”5”（分）に設定します。ログイン状態では FTP 自

動バージョンアップの装置再起動が動作しません。 auto-versionup enable

FTP 自動バージョンアップ機能を有効化します。 auto-versionup reboot-enable

プログラムファイル更新後の再起動を有効化します。 auto-versionup server ftp.example.net

FTP サーバ” ftp.example.net”を設定します。FTP サーバは FQDN ではなく IP アドレ

スで設定することも可能です。また、TCP ポート番号を変更することも可能です。 auto-versionup authentication username wa2600 auto-versionup authentication password plain ftppassword

FTP アカウントを設定します。ここではユーザー名”wa2600”、パスワード”tfppassword”を設定します。

auto-versionup definition filename wa2600_list.txt

FTP サーバに保存されている定義ファイル名”wa2600_list.txt”を設定します。 auto-versionup definition path wa2600/program

定義ファイルの保存パス”wa2600/program”を設定します。定義ファイルとは、ダウンロードできるバージョン、保存ディレクトリ、プログラムフ

ァイルを定義したテキストファイルです。バージョン変更の必要がないと判断した場

合はプログラムファイルのダウンロードを行いません。

管理・保守

23-11

auto-versionup schedule monthly 01 00:00 2

FTP 自動バージョンアップを行うスケジュールを設定します。毎月 1 日”monthly”,”01”の午前０時”00:00”から２時間”2”の間（00:00～02:00）にバージョンアップを実施しま

す。メモ定義ファイル「wa2600_list.txt」設定例（半角カンマで区切られた CSV フォーマット）

＃コメント行「バージョン情報」，「保存ディレクトリ」／「プログラムファイル」

# WA2600 最新プログラムファイル x.x.x,wa2600/program/wa2600_x_x_x.bin

管理・保守

23-12

起動時 HTTP 自動バージョンアップ機能を使用する起動時 HTTP 自動バージョンアップ機能を使用して、装置起動時に自動的にソフトウェア

のバージョンアップを行う設定を説明します。本設定は、以下の環境を想定した設定例です。・装置Ａをプログラムファイルバージョン x.x.x にバージョンアップします。・定義ファイルを利用した起動時 HTTP 自動バージョンアップを行います。・HTTP サーバには、プログラムファイル（.bin）と定義ファイルを保存しておきます。・装置Ａを起動すると HTTP サーバの定義ファイルを参照し、HTTP サーバからプログラ

ムファイルをダウンロードします。・プログラムファイルダウンロード後、自動的に再起動します。 ■接続構成


・ LAN インタフェース設定・ WAN インタフェース設定・ルーティング設定・プロキシ DNS 設定・起動時 HTTP 自動バージョンアップ設定

HTTP サーバには定義ファイル、プログラムファイルを保存します。

・定義ファイル保存（HTTP サーバ内）・プログラムファイル保存（HTTP サーバ内）

192.168.1.0/24

GE1.0 GigaEthernet



.254

HTTP サーバ

.1

http.example.net

装置Ａ

定義ファイル : wa2600_list.txt 保存先 URL :http.example.net

HTTP


LTE

UNIVERGE WA2610-AP

管理・保守

23-13


! boot entry flash wa2600.bin ! hostname WA2610 ! interface GigaEthernet0.0 no ip address no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example.net auto-connect no shutdown ! ip route default MobileEthernet0.0 ! proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp ! sntp-client enable ntp-server server ntp.example.net ! terminal timeout 5 ! auto-versionup startup-execute retry 5 interval 30 auto-versionup startup-delay 70 auto-versionup led error enable auto-versionup reboot-enable auto-versionup mode http auto-versionup server http.example.net auto-versionup authentication mode basic auto-versionup authentication username wa2600 auto-versionup authentication password plain httppassword auto-versionup definition url http://IPaddress/program/wa2600_list.txt ! https-server ip enable !

管理・保守

23-14

■解説 [装置Ａ：WA2610-AP 設定] boot entry flash wa2600.bin

起動時の実行プログラムファイルを”wa2600.bin”に設定します。HTTP 自動バージョン

アップでダウンロードされるプログラムファイルは、WA1020 は「wa1020.bin」、

WA2021 は「wa2021.bin」、WA1510 シリーズは「wa1500.bin」、WA2610-AP シリーズ

は「wa2600.bin」という名称でフラッシュメモリに格納されるためです。 proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp

プロキシ DNS を有効化します。プロキシ DNS が問合せを行う DNS サーバとして、DHCP にて取得した DNS サーバ

を設定しますこの設定は、本装置からの DNS 問合せをする際にも使用します。 FQDN を使用する場合はプロキシ DNS 機能を有効にしてください。

sntp-client enable ntp-server server ntp.example.net

SNTP クライアント機能を有効化します。時刻同期を行うために参照する NTP サーバ” ntp.example.net”を設定します。

terminal timeout 5

コンソールのログアウトタイマーを”5”（分）に設定します。ログイン状態では HTTP自動バージョンアップの装置再起動が動作しません。

auto-versionup enable

HTTP 自動バージョンアップ機能を有効化します。 auto-versionup reboot-enable

プログラムファイル更新後の再起動を有効化します。 auto-versionup mode http

ダウンロードモードを設定します。 auto-versionup server http.example.net

HTTP サーバ” http.example.net”を設定します。HTTP サーバは FQDN ではなく IP ア

ドレスで設定することも可能です。また、TCP ポート番号を変更することも可能です。 auto-versionup authentication mode basic

HTTP 認証設定を行います。 auto-versionup authentication username wa2600 auto-versionup authentication password plain httppassword

HTTP アカウントを設定します。ここではユーザー名”wa2600”、パスワード”httppassword”を設定します。

管理・保守

23-15

auto-versionup definition url http://http.example.net/wa2600_list.txt HTTP サーバに保存されている定義ファイル名”wa2600_list.txt”を設定します。定義ファイルの保存先 URL” http://http.example.net/”を設定します。定義ファイルとは、ダウンロードできるバージョン、保存ディレクトリ、プログラムフ

ァイルを定義したテキストファイルです。バージョン変更の必要がないと判断した場

合はプログラムファイルのダウンロードを行いません。メモ定義ファイル「wa2600_list.txt」設定例（半角カンマで区切られた CSV フォーマット）

＃コメント行「バージョン情報」，「保存先 URL」／「プログラムファイル」

# WA2600 最新プログラムファイル x.x.x,http://wa2600:[email protected]/wa2600_x_x_x.bin

管理・保守

23-16

スケジューラ機能を利用して MAC アドレスフィルタを変更するスケジューラ機能を使用して、指定した時間に MAC アドレスフィルタを変更する機能を

説明します。本設定は、以下の環境を想定した設定例です。・登録済み MAC アドレス（00:11:22:33:44:55）を有する無線 LAN 子機（端末Ｃ）のアク

セスを制限します。・ゲスト用無線 LAN（ssid ”Guest”）で、受信方向でのアクセス制限を行います。そのほか

の ssid、有線 LAN では、アクセス制限は行いません。・月曜日から金曜日の 8:00 から 20:00 までアクセスを許可します。また、期間は、2017 年

9 月 1 日より 30 日までの一ヶ月間とします。 ■接続構成


・ LAN インタフェース設定・無線 LAN インタフェース設定・ WAN インタフェース設定・ルーティング設定・プロキシ DNS 設定・ NTP 設定・ MAC アドレスフィルタ、スケジューラ設定

192.168.1.0/24

GE1.0

インターネット

装置Ａ

UNIVERGE WA2610-AP

端末Ａ

10.1.1.0/24

SSID:Develop

WE0.1

SSID:Guest

WE0.0 端末Ｂ

端末Ｃ NTP サーバ ntp.example.net MAC 00:11:22:33:44:55

PPPoE0

管理・保守

23-17


! hostname WA2610-AP ! ppp profile test authentication username test authentication password plain test ! bridge ieee enable ! ip dhcp-server enable ip dhcp-server profile develop default-gateway auto dns-server auto subnet-mask auto ! ip dhcp-server profile guest default-gateway auto dns-server auto subnet-mask auto ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile test auto-connect ip napt enable ip napt reserve icmp no shutdown ! interface WirelessEthernet0.0 ssid Develop authentication type psk encryption wpa-key plain hogehoge no ip address bridge ieee 1 no shutdown ! interface WirelessEthernet0.1 ssid Guest authentication type psk encryption wpa-key plain password ip address 10.1.1.254/24

管理・保守

23-18

ip dhcp-server binding guest mac-filter-extended in permitlist 1 mac-filter-extended in denyall 2 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface BVI0.0 ip address 192.168.1.254/24 ip dhcp-server binding develop bridge ieee 1 no shutdown ! ip route default PPPoE0 ! proxy-dns ip enable proxy-dns server default PPPoE0 ipcp ! mac access-list-extended permitlist permit src 00:11:22:33:44:55 ff:ff:ff:ff:ff:ff dest any ethertype any active-time date 2017/09/01 2017/09/30 active-time week MON 08:00 20:00 active-time week TUE 08:00 20:00 active-time week WED 08:00 20:00 active-time week THU 08:00 20:00 active-time week FRI 08:00 20:00 ! mac access-list-extended denyall deny src any dest any ethertype any ! sntp-client enable ntp-server server ntp.example.net !

■解説 [装置Ａ：WA2610-AP 設定] interface WirelessEthernet0.1 mac-filter-extended in permitlist 1 mac-filter-extended in denyall 2

無線 LAN インタフェース WirelessEthernet0.1 に、MAC アクセスリスト”denyall”と”permitlist”を受信方向で適用させます。末尾の”1”、”2”はシーケンスナンバーで、複数

の MAC アクセスリストを適用させる場合に、番号を変えて設定します。 mac access-list-extended permitlist permit src 00:11:22:33:44:55 ff:ff:ff:ff:ff:ff dest any ethertype any

MAC アクセスリスト”permitlist”を定義します。permit 設定では、送信元 MAC アドレス

が”00:11:22:33:44:55”、宛先 MAC アドレスはすべて、イーサネットタイプはすべての

プロトコルのフレームを許可します。

管理・保守

23-19

active-time date 2017/09/01 2017/09/30 active-time week MON 08:00 20:00 active-time week TUE 08:00 20:00 active-time week WED 08:00 20:00 active-time week THU 08:00 20:00 active-time week FRI 08:00 20:00

アクティブスケジュールを設定します。2017 年 9 月 1 日より 30 日までの一ヶ月間の

月曜日から金曜日の 8:00 から 20:00 までのみ、本 MAC アクセスリストを有効化しま

す。 mac access-list-extended denyall deny src any dest any ethertype any

MAC アクセスリスト”denyall”を定義します。deny any 設定で、すべてのフレームを拒

否します。前述のスケジューリングされた”permitlist”と異なるアクセスリストを用いる

ことにより、アクティブスケジュール以外での許可されない全ての MAC フレームを廃

棄することができます。 sntp-client enable ntp-server server ntp.example.net

SNTP クライアントを有効化します。時刻同期を行うために参照する NTP サーバ” ntp.example.net”を設定します。 NTP サ

ーバは FQDN ではなく IP アドレスで設定することも可能です。

管理・保守

23-20

初期コンフィグモードを変更する startup-config が保存されていない状態で装置を起動すると、コンソールは web-gui コンフ

ィグモードで立ち上がります。web-gui コンフィグモードは、インタフェース GE1.0 に IPアドレスが設定されており、DHCP サーバ機能も有効になっております。キッティング作

業などの目的で、設定が無い状態で装置を起動したい場合は、コンフィグモードを cli コン

フィグモードに変更することができます。 ■接続構成スタンドアローン ■設定概要以下の設定を行います。

・ web-gui コンフィグモード利用時特権モード、もしくはグローバルコンフィグモードで default-console web を設定する・ cli コンフィグモード利用時特権モード、もしくはグローバルコンフィグモードで default-console command-line を設定する

メモ・本コマンドは show running-config に表示されません。・default-console の設定状態は show version に表示されます。・startup-config が存在する場合は startup-config で起動します。・cli コンフィグモードで初期起動時した場合、Web-GUI 設定は利用できません。 ■設定（コンフィグ作成バージョン：Ver7.3.7）

WA2600# WA2600# default-console command-line % You must reboot the router for this configuration to take effect. WA2600# WA2600# WA2600(config)# default-console web % You must reboot the router for this configuration to take effect. WA2600(config)#

管理・保守

23-21

■デフォルトコンフィグ比較（FW バージョン：Ver7.3.7、WA2610-AP） [web コンフィグモード] ! syslog enable syslog function all warning ! hostname WA2600 ! username admin password ** administrator ! http-username admin password ** administrator ! ip dhcp-server enable ip dhcp-server profile default default-gateway auto dns-server auto subnet-mask auto ! device usb0 ! device module0 ! interface GigaEthernet0.0 no ip address no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.200/24 ip dhcp-server binding default no shutdown ! interface WirelessEthernet0.0 authentication type psk no ip address shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 no ip address auto-connect shutdown ! no mobile expected-attachment usb0 recovery-enable ! https-server ip enable ! led vpn ipsec !

[cli コンフィグモード] ! ! ! ! hostname WA2600 ! username admin password ** administrator ! ! ! ! ! ! ! ! ! device usb0 ! device module0 ! interface GigaEthernet0.0 no ip address no shutdown ! interface GigaEthernet1.0 no ip address no shutdown ! ! interface WirelessEthernet0.0 authentication type psk no ip address shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 no ip address auto-connect shutdown ! no mobile expected-attachment usb0 recovery-enable ! ! ! led vpn ipsec !

管理・保守

23-22

NetMeister を利用して、装置の管理・保守する NetMeister（クラウド型統合管理サービス）を利用して、本装置を管理・保守する設定を説

明します。本設定は、NetMeister 管理サイトで以下を実現するための設定例です。・各種アクションの実行

（装置情報一括取得、コマンド実行、ファームウェア更新など）・装置情報の表示アラーム通知（装置が異常を検知時、NetMeister に通知）デバイスマップ（装置配下端末の MAC アドレス、IP アドレス）の表示装置状態（VPN、無線 LAN、モバイル）の表示

・コンフィグ管理（装置からコンフィグ取得、装置へのコンフィグ反映など） [NetMeister 管理サイトの表示例]

メモ・図右上の「アクション」ボタン押下することで、実行可能な各種アクション（コンフィ

グ取得、装置情報一括取得、コマンド実行、ファームウェア更新など）を表示します。・図の下部に、アラーム通知、デバイスリスト、コンフィグ管理、装置状態（VPN、無線

LAN、モバイル）が表示されます。 NetMeister の詳細は以下を参照願います。 https://www.necplatforms.co.jp/product/netmeister/index.html

管理・保守

23-23

■接続構成


・ LAN インタフェース設定・ WAN インタフェース設定・ルーティング設定・プロキシ DNS 設定・ NetMeister 設定

■設定（コンフィグ作成バージョン：Ver8.1.3） [WA1512 設定]

! hostname WA1512_kanshi ! ip dhcp-server enable ip dhcp-server profile default default-gateway auto dns-server auto subnet-mask auto ! interface GigaEthernet1.0 ip address 192.168.1.254/24 ip dhcp-server binding default device-list enable no shutdown ! interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example.net auto-connect no shutdown ! !

192.168.1.0/24

GE1.0 （（（

モバイル通信事業者 .254

.1

装置Ａ

UNIVERGE WA1512


管理用 PC NetMeister 管理サイトにログイン

.2

NetMeister クラウド

リクエスト

装置情報、コンフィグ

デバイスリスト、

アラーム通知

プログラムファイル

配下端末

配下端末

管理・保守

23-24

ip route default MobileEthernet0.0 ! proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp ! ! nm ip enable nm account wa-series-sample password plain testtest nm sitename tokyo !

■解説 [装置Ａ：WA1512 設定] hostname WA1512_kanshi

ホスト名を設定します。本設定例では、ホスト名を”WA1512_kanshi”としています。設

定したホスト名は NetMeister 管理サイトに表示され、装置を識別する情報となります

ので、固有のホスト名を設定してください。 proxy-dns ip enable proxy-dns server default MobileEthernet0.0 dhcp

プロキシ DNS を有効化します。プロキシ DNS が問合せを行う DNS サーバとして、

MobileEthernet の DHCP にて取得した DNS サーバを設定します。この設定は、本装

置からの DNS 問合せをする際にも使用します。 interface GigaEthernet1.0 device-list enable

デバイスリスト機能を有効にします。NetMeister 管理サイト上に GigaEthernet1.0 配

下端末の MAC アドレス、IP アドレスが表示されます。 nm ip enable

NetMeister サーバへの接続を有効化します。 nm account wa-series-sample password plain testtest


定します。本設定例では、グループＩＤを ”wa-series-sample”、グループパスワード

を ”testtest” としています。 nm sitename tokyo

拠点名を設定します。設定した拠点名を NetMeister 管理サイト上で表示します。本設

定例では、拠点名を”tokyo”としています。

IP トンネル

24-1

24. IP トンネル設定

IPv4 over IPv6 トンネル IPv4 over IPv6 トンネリングにより、IPv6 ネットワーク上で IPv4 アプリケーションサービ

ス（telnet、tftp、SNMP など）を利用する事ができます。IPv4 パケットは IPv6 ネットワ

ーク上では IPv6 パケットにカプセル化されて転送されます。本設定は、以下の環境を想定した設定例です。・装置Ａ、Ｂの WAN 側は、NTT 西日本の NGN 閉域網 IPv6 に接続します。・インターネット通信は行わず、NGN 閉域網内で IPv4 拠点間通信を行います。・装置Ａ、Ｂの WAN 側 IP アドレス解決のために、NGN 網内 GW 経由で NetMeister のダ

イナミック DDNS を利用します。・装置Ａ、Ｂとの間でトンネリングを設定します。(IPsec カプセル化は行いません。) メモ



■接続構成


・ WAN インタフェース設定・ LAN インタフェース設定・ Tunnel インタフェース設定・ルーティング設定・プロキシ DNS 設定・ NetMeister 設定

メモ

・Tunnel インタフェースはソフトウェアバージョン 8.1 から利用可能です。

GE1.0 GE1.0 GE0.0


IPv6半固定

IP トンネル

端末Ｂ

192.168.1.0/24 192.168.2.0/24

GE0.0 端末Ａ装置Ｂ

IPv6半固定



装置Ａ

UNIVERGE WA2610-AP

GW



peerFQDN 解決

アドレス登録

peerFQDN 解決

IP トンネル

24-2

■設定（コンフィグ作成バージョン：Ver8.1.3） [装置Ａ：WA2610-AP 設定] ! hostname WA2600 ! ipv6 dhcp-client profile default information-request option-request dns-servers option-request ntp-servers ! interface GigaEthernet0.0 no ip address ipv6 dhcp-client binding default ipv6 enable ipv6 address autoconfig receive-default no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Tunnel0.0 tunnel peer kyoto-r1.wa-sample.v6.nmddns.jp ipv6 tunnel source GigaEthernet0.0 ip address unnumbered GigaEthernet1.0 ip tcp adjust-mss auto no shutdown ! ip route 192.168.2.0/24 Tunnel0.0 ! proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6 ! nm ipv6 enable ngn-private west nm account wa-sample password plain testtest nm sitename osaka nm ddns notify interface GigaEthernet0.0 nm ddns hostname osaka-r1 ! [装置Ｂ：WA1510 設定] ! hostname WA1510 ! no wireless-adapter enable ! ipv6 dhcp-client profile default information-request

IP トンネル

24-3

option-request dns-servers option-request ntp-servers ! interface GigaEthernet0.0 no ip address ipv6 dhcp-client binding default ipv6 enable ipv6 address autoconfig receive-default no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Tunnel0.0 tunnel peer osaka-r1.wa-sample.v6.nmddns.jp ipv6 tunnel source GigaEthernet0.0 ip address unnumbered GigaEthernet1.0 no shutdown ! ip route 192.168.1.0/24 Tunnel0.0 ! proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6 ! nm ipv6 enable ngn-private west nm account wa-sample password plain testtest nm sitename kyoto nm ddns notify interface GigaEthernet0.0 nm ddns hostname kyoto-r1 !

IP トンネル

24-4

■解説 [装置Ａ：WA2610-AP 設定] ipv6 dhcp-client profile default information-request option-request dns-servers option-request ntp-servers


のアドレスを DHCPv6 で取得します。 interface Tunnel0.0 tunnel peer osaka-r1.wa-sample.v6.nmddns.jp ipv6 tunnel source GigaEthernet0.0

論理インタフェース Tunnel0.0 で、IP トンネルのソースアドレス（インタフェース指

定）と宛先 FQDN アドレスを指定します。本設定例では、IP トンネルのソースアドレスはインタフェース GigaEthernet0.0 アド

レス（IPv6）、宛先アドレスは対向装置の FQDN を設定します。IPv6 パラメータを追

加することにより、IPv6 アドレスで FQDN を解決します。 ip address unnumbered GigaEthernet1.0

トンネルインタフェースで IPv4 機能を有効化するためには、何らかの IPv4 アドレス

を割り振る必要があります。本設定例ではアンナンバードに設定しています。 ip tcp adjust-mss auto

トンネルを通る TCP パケットの MSS 値を、トンネルインタフェースの MTU 長から減算した値に自動的に書き換えます。この設定は、少なくとも TCP フローが通る経路

の一箇所に設定すれば良いので、本設定例では本装置Ａ側にのみ設定を行っています。 ip route 192.168.1.0/24 Tunnel0.0

装置Ｂ側の IPv4 ネットワークへの経路をトンネルインタフェース経由に設定します。 proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6










れます。本設定例では、拠点名を”osaka”としています。

IP トンネル

24-5

nm ddns notify interface GigaEthernet0.0 GigaEthernet0.0 インタフェースに割り当てられた IPv6 半固定アドレスを NetMeisterのダイナミック DNS に登録します。


す。本設定例では、ホスト名を”osaka-r1”としています。 [装置Ｂ：WA1510 設定] 設定は、装置Ａの設定に対して、tunnel peer FQDN 設定とスタティックルート設定、およ

び NetMesiter のサイト、ホスト名設定が異なるのみです。 interface Tunnel0.0 tunnel peer osaka-r1.wa-sample.v6.nmddns.jp ipv6 ip route 192.168.1.0/24 Tunnel0.0 nm sitename kyoto nm ddns hostname kyoto-r1

IP トンネル

24-6

IPv4 over IPv4 トンネル IPv4 over IPv4 トンネリングにより、IPv4 パケットを IPv4 パケットでカプセル化されて転

送されます。これを使用する事によって、プライベートアドレスを用いたネットワークか

らプライベートアドレスを用いたネットワークにグローバルアドレス空間を介して通信す

る事ができます。本設定は、以下の環境を想定した設定例です。・装置Ａ、Ｂの WAN 側は、IPv4 に接続します。・インターネット通信は行わず、IPv4 拠点間通信を行います。・装置Ａ、Ｂの WAN 側 IP アドレス解決のために、NetMeister のダイナミック DDNS を

利用します。・装置Ａ、Ｂとの間でトンネリングを設定します。(IPsec カプセル化は行いません。) ■接続構成



メモ


GE1.0 GE0.0


動的 IP

IP トンネル

端末Ｂ

192.168.1.0/24 192.168.2.0/24


装置Ｂ

動的 IP


FQDN： kyoto-r1. wa-sample.nmddns.jp

装置Ａ

UNIVERGE WA2610-AP

GW

FQDN： osaka-r1. wa-sample.nmddns.jp


peerFQDN 解決

アドレス登録

peerFQDN 解決

IP トンネル

24-7

■設定（コンフィグ作成バージョン：Ver8.1.3） [装置Ａ：WA2610-AP 設定] ! hostname WA2600 ! interface GigaEthernet0.0 ip address dhcp no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Tunnel0.0 tunnel peer kyoto-r1.wa-sample.nmddns.jp tunnel source GigaEthernet0.0 ip address unnumbered GigaEthernet1.0 ip tcp adjust-mss auto no shutdown ! ip route 192.168.2.0/24 Tunnel0.0 ! proxy-dns ip enable proxy-dns server default GigaEthernet0.0 dhcp ! nm ip enable nm account wa-sample password plain testtest nm sitename osaka nm ddns notify interface GigaEthernet0.0 nm ddns hostname osaka-r1 ! [装置Ｂ：WA1510 設定] ! hostname WA1510 ! no wireless-adapter enable ! interface GigaEthernet0.0 ip address dhcp no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8

IP トンネル

24-8

no shutdown ! interface Tunnel0.0 tunnel peer osaka-r1.wa-sample.nmddns.jp tunnel source GigaEthernet0.0 ip address unnumbered GigaEthernet1.0 no shutdown ! ip route 192.168.1.0/24 Tunnel0.0 ! proxy-dns ip enable proxy-dns server default GigaEthernet0.0 dhcp ! nm ip enable nm account wa-sample password plain testtest nm sitename kyoto nm ddns notify interface GigaEthernet0.0 nm ddns hostname kyoto-r1 !

IP トンネル

24-9

■解説 [装置Ａ：WA2610-AP 設定] interface Tunnel0.0 tunnel peer osaka-r1.wa-sample.nmddns.jp tunnel source GigaEthernet0.0



レス（IPv4）、宛先アドレスは対向装置の FQDN を設定します。IPv4 アドレスで FQDNを解決します。

ip address unnumbered GigaEthernet1.0 トンネルインタフェースで IPv4 機能を有効化するためには、何らかの IPv4 アドレス

を割り振る必要があります。本設定例ではアンナンバードに設定しています。 ip tcp adjust-mss auto


の一箇所に設定すれば良いので、本設定例では本装置Ａ側にのみ設定を行っています。 ip route 192.168.1.0/24 Tunnel0.0

装置Ｂ側の IPv4 ネットワークへの経路をトンネルインタフェース経由に設定します。 proxy-dns ip enable proxy-dns server default GigaEthernet0.0 dhcp


スを登録します。 nm ip enable

NetMeister 機能を有効にします。 nm account wa-sample password plain testtest






GigaEthernet0.0 インタフェースに割り当てられた IPv4 動的アドレスを NetMeister のダイナミック DNS に登録します。


す。本設定例では、ホスト名を”osaka-r1”としています。

IP トンネル

24-10

[装置Ｂ：WA1510 設定] 設定は、装置Ａの設定に対して、tunnel peer FQDN 設定とスタティックルート設定、およ

び NetMesiter のサイト、ホスト名設定が異なるのみです。 interface Tunnel0.0 tunnel peer osaka-r1.wa-sample.nmddns.jp ip route 192.168.1.0/24 Tunnel0.0 nm sitename kyoto nm ddns hostname kyoto-r1

IP トンネル

24-11

IPv6 over IPv4 トンネル IPv6 over IPv4 トンネリングにより、IPv4 ネットワーク上で IPv6 アプリケーションサービ

ス（telnet、tftp、SNMP など）を利用する事ができます。 IPv6 ネットワークへの移行過程において、IPv4 ネットワークと IPv6 ネットワークが混在

する事が考えられます。IPv6 over IPv4 トンネリングを使用する事により IPv6 パケットは

IPv4 ネットワーク上では IPv4 パケットにカプセル化されて転送されます。本設定は、以下の環境を想定した設定例です。・装置Ａ、Ｂの WAN 側は、IPv4 に接続します。・インターネット通信は行わず、IPv6 拠点間通信を行います。・装置Ａ、Ｂの WAN 側 IP アドレス解決のために、NetMeister のダイナミック DDNS を利

用します。・装置Ａ、Ｂとの間でトンネリングを設定します。(IPsec カプセル化は行いません。) ■接続構成



メモ


GE1.0 GE0.0


動的 IP

IP トンネル

端末Ｂ

2000:db8:1::/64 2000:db8:2::/64


装置Ｂ

動的 IP


FQDN： kyoto-r1. wa-sample.nmddns.jp

装置Ａ

UNIVERGE WA2610-AP

GW

FQDN： osaka-r1. wa-sample.nmddns.jp


peerFQDN 解決

アドレス登録

peerFQDN 解決

IP トンネル

24-12

■設定（コンフィグ作成バージョン：Ver8.1.3） [装置Ａ：WA2610-AP 設定] ! hostname WA2600 ! interface GigaEthernet0.0 ip address dhcp no shutdown ! interface GigaEthernet1.0 no ip address ipv6 enable ipv6 address 2000:db8:1::254/64 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Tunnel0.0 tunnel peer kyoto-r1.wa-sample.nmddns.jp tunnel source GigaEthernet0.0 ipv6 enable ipv6 address unnumbered GigaEthernet1.0 ipv6 tcp adjust-mss auto no shutdown ! ipv6 route 2000:db8:2::/64 Tunnel0.0 ! proxy-dns ip enable proxy-dns server default GigaEthernet0.0 dhcp ! nm ip enable nm account wa-sample password plain testtest nm sitename osaka nm ddns notify interface GigaEthernet0.0 nm ddns hostname osaka-r1 ! [装置Ｂ：WA1510 設定] ! hostname WA1510 ! no wireless-adapter enable ! interface GigaEthernet0.0 ip address dhcp no shutdown ! interface GigaEthernet1.0 no ip address ipv6 enable

IP トンネル

24-13

ipv6 address 2000:db8:2::254/64 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Tunnel0.0 tunnel peer osaka-r1.wa-sample.nmddns.jp tunnel source GigaEthernet0.0 ipv6 enable ipv6 address unnumbered GigaEthernet1.0 ipv6 tcp adjust-mss auto no shutdown ! ipv6 route 2000:db8:1::/64 Tunnel0.0 ! proxy-dns ip enable proxy-dns server default GigaEthernet0.0 dhcp ! nm ip enable nm account wa-sample password plain testtest nm sitename kyoto nm ddns notify interface GigaEthernet0.0 nm ddns hostname kyoto-r1 !

IP トンネル

24-14

■解説 [装置Ａ：WA2610-AP 設定] interface Tunnel0.0 tunnel peer osaka-r1.wa-sample.nmddns.jp tunnel source GigaEthernet0.0



レス（IPv4）、宛先アドレスは対向装置の FQDN を設定します。IPv4 アドレスで FQDNを解決します。

Ipv6 enable トンネルインタフェースで IPv6 機能を有効化します。

Ipv6 address unnumbered GigaEthernet1.0 トンネルインタフェースで IPv6 機能を有効化するためには、何らかの IPv6 アドレス

を割り振る必要があります。本設定例ではアンナンバードに設定しています。 Ipv6 tcp adjust-mss auto


の一箇所に設定すれば良いので、本設定例では本装置Ａ側にのみ設定を行っています。 ipv6 route 2000:db8:2::/64 Tunnel0.0

装置Ｂ側の IPv6 ネットワークへの経路をトンネルインタフェース経由に設定します。 proxy-dns ip enable proxy-dns server default GigaEthernet0.0 dhcp


スを登録します。 nm ip enable

NetMeister 機能を有効にします。 nm account wa-sample password plain testtest






GigaEthernet0.0 インタフェースに割り当てられた IPv4 動的アドレスを NetMeister のダイナミック DNS に登録します。


す。本設定例では、ホスト名を”osaka-r1”としています。

IP トンネル

24-15

[装置Ｂ：WA1510 設定] 設定は、装置Ａの設定に対して、tunnel peer FQDN 設定とスタティックルート設定、およ

び NetMesiter のサイト、ホスト名設定が異なるのみです。 interface Tunnel0.0 tunnel peer osaka-r1.wa-sample.nmddns.jp ipv6 route 2000:db8:1::/64 Tunnel0.0 nm sitename kyoto nm ddns hostname kyoto-r1

IP トンネル

24-16

IPv6 over IPv6 トンネル IPv6 over IPv6 トンネリングにより、IPv6 パケットを IPv6 パケットでカプセル化されて

転送されます。これを使用する事によって、プライベートアドレスを用いたネットワーク

からプライベートアドレスを用いたネットワークにグローバルアドレス空間を介して通信

する事ができます。本設定は、以下の環境を想定した設定例です。・装置Ａ、Ｂの WAN 側は、NTT 西日本の NGN 閉域網 IPv6 に接続します。・インターネット通信は行わず、NGN 閉域網内で IPv6 拠点間通信を行います。・装置Ａ、Ｂの WAN 側 IP アドレス解決のために、NGN 網内 GW 経由で NetMeister のダ

イナミック DDNS を利用します。・装置Ａ、Ｂとの間でトンネリングを設定します。(IPsec カプセル化は行いません。) メモ



■接続構成



メモ


GE1.0 GE0.0


IPv6半固定

IP トンネル

端末Ｂ

2000:db8:1::/64 2000:db8:2::/64


装置Ｂ

IPv6半固定



装置Ａ

UNIVERGE WA2610-AP

GW



peerFQDN 解決

アドレス登録

peerFQDN 解決

IP トンネル

24-17

■設定（コンフィグ作成バージョン：Ver8.1.3） [装置Ａ：WA2610-AP 設定] ! hostname WA2600 ! ipv6 dhcp-client profile default information-request option-request dns-servers option-request ntp-servers ! interface GigaEthernet0.0 no ip address ipv6 dhcp-client binding default ipv6 enable ipv6 address autoconfig receive-default no shutdown ! interface GigaEthernet1.0 no ip address ipv6 enable ipv6 address 2000:db8:1::254/64 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Tunnel0.0 tunnel peer kyoto-r1.wa-sample.v6.nmddns.jp ipv6 tunnel source GigaEthernet0.0 ipv6 enable ipv6 address unnumbered GigaEthernet1.0 ipv6 tcp adjust-mss auto no shutdown ! ipv6 route 2000:db8:2::/64 Tunnel0.0 ! proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6 ! nm ipv6 enable ngn-private west nm account wa-sample password plain testtest nm sitename osaka nm ddns notify interface GigaEthernet0.0 nm ddns hostname osaka-r1 ! [装置Ｂ：WA1510 設定] ! hostname WA1510 !

IP トンネル

24-18

no wireless-adapter enable ! ipv6 dhcp-client profile default information-request option-request dns-servers option-request ntp-servers ! interface GigaEthernet0.0 no ip address ipv6 dhcp-client binding default ipv6 enable ipv6 address autoconfig receive-default no shutdown ! interface GigaEthernet1.0 no ip address ipv6 enable ipv6 address 2000:db8:2::254/64 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Tunnel0.0 tunnel peer osaka-r1.wa-sample.v6.nmddns.jp ipv6 tunnel source GigaEthernet0.0 ipv6 enable ipv6 address unnumbered GigaEthernet1.0 ipv6 tcp adjust-mss auto no shutdown ! ipv6 route 2000:db8:1::/64 Tunnel0.0 ! proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6 ! nm ipv6 enable ngn-private west nm account wa-sample password plain testtest nm sitename kyoto nm ddns notify interface GigaEthernet0.0 nm ddns hostname kyoto-r1 !

IP トンネル

24-19

■解説 [装置Ａ：WA2610-AP 設定] ipv6 dhcp-client profile default information-request option-request dns-servers option-request ntp-servers


のアドレスを DHCPv6 で取得します。 interface Tunnel0.0 tunnel peer osaka-r1.wa-sample.v6.nmddns.jp ipv6 tunnel source GigaEthernet0.0



レス（IPv6）、宛先アドレスは対向装置の FQDN を設定します。IPv6 パラメータを追

加することにより、IPv6 アドレスで FQDN を解決します。 Ipv6 enable

トンネルインタフェースで IPv6 機能を有効化します。 Ipv6 address unnumbered GigaEthernet1.0

トンネルインタフェースで IPv6 機能を有効化するためには、何らかの IPv6 アドレス

を割り振る必要があります。本設定例ではアンナンバードに設定しています。 Ipv6 tcp adjust-mss auto


の一箇所に設定すれば良いので、本設定例では本装置Ａ側にのみ設定を行っています。 ipv6 route 2000:db8:2::/64 Tunnel0.0

装置Ｂ側の IPv6 ネットワークへの経路をトンネルインタフェース経由に設定します。 proxy-dns ipv6 enable proxy-dns server default GigaEthernet0.0 dhcpv6



NGN 閉域網内で、NetMeister 機能を有効にします。 nm ip enable ngn-private { east | west }







IP トンネル

24-20




す。本設定例では、ホスト名を”osaka-r1”としています。 [装置Ｂ：WA1510 設定] 設定は、装置Ａの設定に対して、tunnel peer FQDN 設定とスタティックルート設定、およ

び NetMesiter のサイト、ホスト名設定が異なるのみです。 interface Tunnel0.0 tunnel peer osaka-r1.wa-sample.v6.nmddns.jp ipv6 ipv6 route 2000:db8:1::/64 Tunnel0.0 nm sitename kyoto nm ddns hostname kyoto-r1

Web 認証

25-1

25. Web 認証設定 25.1有線 LAN および無線 LAN で Web 認証を行う有線 LAN および無線 LAN で Web 認証を有効にする基本的な設定を説明します。接続された端末の使用者が正しいユーザであることを Web 画面で認証することで、不正端

末によるネットワークアクセスを防止します。認証結果に応じて通信を許可したり拒否したりします。本設定は、以下の環境を想定した設定例です。・装置Ａを Authenticator とし、端末からの HTTP/HTTPS 通信を受信すると認証用 Web ペ

ージにリダイレクトし、ユーザ名・パスワードで認証を行います。・端末Ａ(11:11:11: ab:cd:ef)と端末Ｃ(22:22:22:ab:cd:ef)は、認証を行わず、常に通信を許可

する端末として登録します。・端末Ｂと端末Ｄからの HTTP/HTTPS 通信は Web 認証を行います。・無線 LAN 端末間の転送通信を許可しない設定を行います。・再認証タイマ設定の指定間隔が経過した場合、再度 Web 認証が必要です。・有線 LAN と無線 LAN は同一セグメントです。 ■接続構成


・有線 WAN（GigaEthernet0.0）インタフェース設定・有線 LAN（GigaEthernet1.0）インタフェース設定

GE1.0


端末Ｃ常時通信許可端末 22:22:22:ab:cd:ef

SSID-A

装置Ａ

端末Ｂ

UNIVERGE WA2610-AP

端末Ｄ

WE0.0


端末Ａ常時通信許可端末 11:11:11:ab:cd:ef

Web 認証

25-2

・無線 LAN（WirelessEthernet0.0）インタフェース設定・無線 LAN 端末間の転送禁止設定・ブリッジ設定・ルーティング設定・ Web 認証設定・ Web 認証対象外の通信許可端末の設定・ Web 認証再認証タイマ設定・有線 LAN インタフェースの Web 認証設定・無線 LAN インタフェースの Web 認証設定・ HTTP サーバ設定・ URL リダイレクト設定

Web 認証の画面イメージを以下に示します。・認証時・認証 OK の表示

Web 認証

25-3


! hostname WA2610-AP ! web-auth username test password plain testpass web-auth ignore-address 11:11:11: ab:cd:ef web-auth ignore-address 22:22:22:ab:cd:ef web-auth timeout reauth-period 60 ! bridge ieee enable ! ip dhcp-server enable ip dhcp-server profile dhcpsv0 default-gateway auto dns-server auto subnet-mask auto ! interface GigaEthernet0.0 description +++WAN+++ ip address 192.168.100.254/24 no shutdown ! interface GigaEthernet1.0 description +++LAN+++ ip address 192.168.1.200/24 ip dhcp-server binding default bridge ieee 1 web-auth enable http-redirect enable no shutdown ! interface WirelessEthernet0.0 ssid SSID-A authentication type psk encryption wpa-key plain hogehoge client-isolation enable no ip address bridge ieee 1 web-auth enable http-redirect enable no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! ! ip route default GigaEthernet0.0 ! http-server ip enable ! http-redirect mode web-auth !

Web 認証

25-4

■解説 web-auth username test password plain testpass

Web 認証ユーザアカウントを設定します。ユーザ名”test”、パスワード”testpass”に設定

します。 web-auth ignore-address 11:11:11:ab:cd:ef web-auth ignore-address 22:22:22:ab:cd:ef

認証を行わない常に許可する端末の MAC アドレスを設定します。 MAC アドレス” 11:11:11:ab:cd:ef”、” 22:22:22:ab:cd:ef”からの HTTP/HTTPS 通信は、

認証を行わず、常に許可します。 web-auth timeout reauth-period 60

再認証タイマ間隔を”60”（分）に設定します。認証成功後、再認証を行うまでの間隔

を設定します。指定時間が経過すると認証の解除が行われます。 interface GigaEthernet1.0 web-auth enable

インタフェース GigaEthernet1.0 で Web 認証を有効化します。 http-redirect enable

インタフェース GigaEthernet1.0 で URL リダイレクト機能を有効化します。 interface WirelessEthernet0.0 client-isolation enable

インタフェース WirelessEthernet0.0 接続の端末間転送通信を禁止します。 web-auth enable

インタフェース WirelessEthernet0.0 で Web 認証を有効化します。 http-redirect enable

インタフェース WirelessEthernet0.0 で URL リダイレクト機能を有効化します。 http-server ip enable

Web 認証を行う場合は、Web サーバ（Web-GUI）機能を有効化する必要があります。注意 HTTP/HTTPS サーバのどちらかを有効にしてください。

http-redirect mode web-auth

URL リダイレクト機能を Web 認証連携モードにします。

付録

付録-1

モバイル網接続に必要なパラメータ

モバイル通信事業者網に接続するために必要なパラメータです。

■APN（Access Point Name）携帯事業者(ISPやMVNO事業者)網に接続する際に指定するパラメータです。データ通信端末のSIM(USIM)カード内に登録されるデータで、データ通信端末をご購入された際には、初期値として設定されているものがあります。

■CID（Context Identifier）

パケット通信の接続先（APN）に対応した番号です。データ通信端末のSIM(USIM) カード内に登録されるデータで、データ通信端末をご購入された際には、初期値として設定されているものがあります。

■PDP-Type

パケット通信の通信方式です。IPとPPPがあります。 ISPやMVNO事業者の指定する方式を選択してください。

■ダイアル番号

一般的なパケット通信接続を行う際に指定する番号は「*99***CID#」の形式になります。auやその他電話番号指定の必要な接続をご利用の場合は「mobile number」コマンドにて設定が必要です。

■ユーザID／パスワード

PPP接続を行う際に必要なパラメータです。通信事業者から提示されたユーザID/パスワードを設定してください。 MVNO事業者からは明示的に開示されることが多いですが、MNO事業者の場合はパソコンで利用されるユーティリティソフトに秘匿され、正式に公開されないこともあります。詳しくは通信事業者にご確認願います。

付録

付録-2

【注意】各パラメータは通信事業者のサービス仕様によって変更になる場合がありますので、詳細は通信事業者にご確認願います。（2018年9月時点）

通信事業者

（ISP 料金） PDP-Type CID APN ID PASS Mobile Number

NTT ドコモ ※1 従量制（無料）

PPP 1 mopera.ne.jp 任意任意デフォルト (*99***CID#)

NTT ドコモ ※2 従量制（有料）

IP 3 mopera.net 任意任意デフォルト (*99***CID#)

NTT ドコモ ※3 定額制（有料）

PPP 任意 mopera.flat.foma.ne.jp 任意任意デフォルト (*99***CID#)

NTT ドコモ ※4 Xi(クロッシィ)

IP 1 mopera.net 任意任意デフォルト (*99***CID#)

mineo D プラン IP 1 mineo-d.jp [email protected] mineo デフォルト (*99***CID#)

Y!mobile (旧イー・モバイル) 定額制

IP 1 emb.ne.jp em em デフォルト (*99***CID#)

Y!mobile (旧イー・モバイル) LTE プランフラット

（定額）

IP 1 em.std em em デフォルト (*99***CID#)

Y!mobile (旧イー・モバイル) LTE プランステップグ

ローバル IP（従量）

IP 1 em.gbl em em デフォルト (*99***CID#)

ソフトバンク ※5 従量制

IP 1 softbank ai@softbank softbank デフォルト (*99***CID#)

ソフトバンク ※6 定額制

IP 1 emb.ne.jp em em デフォルト (*99***CID#)

ソフトバンク ※7 ULTRA SPEED

IP 1 bizflat.softbank [email protected] biz デフォルト (*99***CID#)

ソフトバンク SoftBank 4G ※13

IP 1 bizflat4g.softbank biz4g biz4g デフォルト (*99***CID#)

U-mobile IP 1 [email protected] sb.mvno umobile デフォルト (*99***CID#)

b-mobile IP 1 bmobile@4g sb.mvno bmobile デフォルト (*99***CID#)

Y!mobile IP 1 plus.acs.jp ym ym デフォルト (*99***CID#)

IIJ モバイル ※8 定額制

IP 1 iijmobile.jp 個別個別デフォルト (*99***CID#)

日本通信 ※8 定額制

IP 1 dm.jplat.net 個別個別デフォルト (*99***CID#)

au by KDDI ※9 定額制/従量制

なしなしなし [email protected] au *99**24#

au by KDDI ※12,15,16

IP 1 au.au-net.ne.jp [email protected] au デフォルト (*99***CID#)

mineo A プラン ※17 IP 1 mineo.jp [email protected] mineo デフォルト (*99***CID#)

IIJ タイプ K ※17 IP 1 k.iijmobile.jp 個別個別デフォルト (*99***CID#)

UQ-mobile ※17 IP 1 uqmobile.jp [email protected] uq デフォルト (*99***CID#)

fiimo ※17 IP 1 mineo.jp [email protected] fiimo デフォルト

付録

付録-3

(*99***CID#) Y!mobile (旧ウィルコム) WILLCOM CORE 3G 定額制 ※10

IP 1 c.willcomcore.jp Wcm wcm デフォルト (*99***CID#)

Y!mobile (旧ウィルコム)※11 定額制

なしなしなし Prin prin 0570570711##64

※1 申し込み不要の無料ISPサービス。パケット代は従量課金

※2 有料のISPサービス。パケット代は従量課金

※3 有料の定額プラン専用ISPサービス

※4 L-02C、L-03D、L-03F

※5 従量プラン(C01SW/C02SW)

※6 定額プラン(C01LC/C02LC) モバイル設定にて "mobile dial tone" の設定が必要な場合あり

※7 004Z

※8 ユーザID/パスワードはISPから個別に通知されたものを利用

※9 APNやPID、PDP-Typeの設定は不要。「mobile number」コマンドにより発信番号の設定が必要 DATA01、DATA03、DATA04、DATA07では、PPPの設定にてLCP Echo-Requestを無効 "no lcp echo enable"にする必要あり

※10 WILLCOM CORE 3G（NTTドコモのMVNO）。

※11 WILLCOMのPHSサービス。MobileNumberは契約内容による（上記はつなぎ放題[４ｘ]の例）

※12 USB STICK LTE HWD12、Speed USB STICK U01、Speed USB STICK U03をご利用の場合、 KDDI様提供の専用ツールによる、動作モードの変更が必要設定パラメータについてはKDDI様にお問い合わせ願います。

※13 203HW。モバイル設定にて "mobile dial tone" の設定が必要

※14 WA1511で、FOMAカード使用時は"IP"を設定

※15 Speed USB STICK U01、Speed USB STICK U03の場合、"mobile id"コマンドは設定せず、替わりに"mobile number *99***1#"を設定してください。

※16 Speed USB STICK U01の場合、ID、Passは不要 Speed USB STICK U03の場合、任意のID、Passの設定が必要

※17 WA2612-APの内蔵モジュール(Serial0とMobileEthernet0.0)で回線接続する場合には、 "mobile carrier other"の設定が必要

付録

付録-4

使用可能なデータ通信端末

WAシリーズでご利用可能なデータ通信端末は以下のとおりです。（2019年3月時点）

通信事業者データ通信端末使用

ポート

通信規格 (※Y)

通信モード

対応 Ver PPP 通信中の

アンテナレベ

ル取得(※Z) その他

内蔵モジュール (NTT ドコモ)

MC7330 内蔵 LTE/3G

NDIS Ver7.0.4 - WA2611-AP のみ ※19

HM-M100 内蔵 LTE/3G NDIS Ver5.0.4 - WA1511 のみ ※10 ※11 ※26

内蔵モジュール (NTT ドコモ、au、Softbank)

AMP570 内蔵 LTE NDIS Ver7.3.7 - WA2612-AP、 WA1512 ※21 ※22 Softbank 対応は

Ver7.3.7 以降。 WA1512 は Ver7.5.11 以降で

NDIS のみ対応 PPP Ver7.3.1 ○

NTT ドコモ L-03F USB LTE/3G NDIS Ver7.0.4 - PPP Ver6.0.5 × ※14 L-03D USB LTE/3G PPP/NDIS Ver4.3.1 ○ L-02C USB LTE/3G NDIS Ver4.3.1 - PPP Ver3.2.8 × L-08C USB 3G PPP Ver4.1.0 × L-05A USB 3G PPP Ver1.2.0 × ※11 L-02A USB 3G PPP Ver1.0.0 × A2502 USB 3G PPP Ver1.0.0 × ※2 Y!mobile GL03D USB LTE/3G PPP Ver4.4.3 ○ (旧イー・モバイル) GD01 USB 3G PPP Ver4.1.0 × D41HW USB 3G PPP Ver3.2.3 × D33HW USB 3G PPP Ver4.1.0 × D32HW USB 3G PPP Ver3.2.0 × D32HW USB 3G PPP Ver3.2.0 × D26HW USB 3G PPP Ver2.2.1 ×

D31HW USB 3G PPP Ver2.1.2 × D23HW USB 3G PPP Ver1.0.0 × D22HW USB 3G PPP Ver1.0.0 ×

D21HW USB 3G PPP Ver1.0.0 × D12HW USB 3G PPP Ver1.0.0 × Y!mobile HX008ZT USB 3G PPP Ver4.0.0 × (旧ウィルコム) HX006ZT USB 3G PPP Ver3.0.2 × RX420IN(NS001

U) USB PHS PPP Ver2.2.5 × ※5

HX003ZT USB 3G PPP Ver2.2.1 × HX004IN USB 3G PPP Ver2.2.1 × IIJ モバイル UX312NC USB LTE/3G NDIS Ver7.0.4 - ※20 タイプ D

タイプ DS PPP Ver5.1.8 ○

UX312NC USB LTE NDIS Ver7.5.4 - ※20 ※24

タイプ K PPP ○

付録

付録-5

通信事業者データ通信端末使用

ポート

通信規格 (※Y)

通信モード

対応 Ver PPP 通信中の

アンテナレベ

ル取得(※Z) その他

510FU USB LTE/3G PPP/NDIS Ver4.4.9 ○

D31HW USB 3G PPP Ver2.1.2 × ※3 D22HW USB 3G PPP Ver1.0.0 × ※3 120FU USB 3G PPP Ver2.2.1 × ※3

110FU USB 3G PPP Ver1.1.2 × ※3 ソフトバンク 604HW USB LTE/3G PPP Ver7.5.4 ○ ※25

403ZT USB LTE/3G PPP Ver7.1.3 ○ UX102NC USB LTE/3G PPP Ver5.0.4 ○

203HW USB LTE/3G PPP Ver4.5.4 ×

004Z USB 3G PPP Ver3.2.8 ×

C02HW USB 3G PPP Ver3.2.0 × C02SW USB 3G PPP Ver2.2.1 × C01SW USB 3G PPP Ver1.1.2 × C02LC USB 3G PPP Ver2.2.1 × C01LC USB 3G PPP Ver1.1.2 × au Speed USB

STICK U03

USB LTE/ WiMAX2+

PPP Ver7.3.7 ○ ※ 15 ※ 16 ※ 17 ※23

Speed USB STICK U01

USB LTE/ WiMAX2+

PPP Ver7.1.3 ○ ※15 ※16 ※17

USB STICK LTE HWD12

USB LTE/3G PPP Ver4.5.5 ○ ※10 ※11 ※12

DATA07 USB 3G PPP Ver4.1.0 × ※7 ※9 ※10 ※

18 DATA03 USB 3G/

WiMAX PPP Ver3.2.8 ○ ※7 ※10 ※13 ※

18 DATA01 USB 3G/

WiMAX PPP Ver3.2.3 ○ ※7 ※10 ※13 ※

18 日本通信 MF626 USB 3G PPP Ver2.2.1 × ※3 MF636 USB 3G PPP Ver2.2.1 × ※3

NTT ｺﾐｭﾆｹｰｼｮﾝｽﾞ UX302NC-R USB LTE/3G NDIS Ver8.0.3 ○

PPP Ver8.0.3 ○

MF112A USB 3G PPP Ver7.1.3 ○

UX302NC USB LTE/3G NDIS Ver7.0.4 - PPP Ver5.1.3 ○

WM320 USB LTE/3G PPP/NDIS Ver4.3.1 ○ ※6

MF121 USB 3G PPP Ver4.1.0 ×

MF120 USB 3G PPP Ver2.2.1 ×

富士ソフト FS040U USB LTE/3G PPP Ver8.0.3 ○ ※27

※1 別途変換アダプタ L01 が必要です。 ※2 WAシリーズではPINコード関連の一部機能をサポートしておりません。

PINコード操作を行わないようにしてください。 ※3 事業者サービスとして、PIN認証機能の利用が禁止されています。

PIN認証に関する機能を利用しないで下さい。

付録

付録-6

※4 (欠番) ※5 別途変換アダプタ NS001U が必要です。 ※6 (欠番) ※7 F/Wバージョン表示機能はありません。 ※8 シリアル番号表示機能はありません。 ※9 接続網種別表示機能はありません。 ※10 PINコード認証機能はありません。 ※11 PINコード変更機能はありません。 ※12 Ver4.5.4以前では、一部のバージョンのHWD12が動作しません。Ver4.5.5以降を

使用願います。 ※13 3G通信のみ対応です。WiMAXは使用不可です。 ※14 端末の仕様によりサービスモードの取得ができません。 ※15 WAシリーズでご利用いただくためには、KDDI様提供の専用ツールによる動作モ

ードの変更が必要です。詳しくは、KDDI様ユーザーサポートページを参照してください

※16 ハイスピードプラスエリアモードに設定にするにはKDDI様提供の専用ツールによる通信モードの変更が必要です。詳しくは、KDDI様ユーザーサポートページを参照してください。

※17 CID=1はAPNを指定して利用することはできません。mobile number コマンドで直接指定してご利用ください。U03を使用する場合、任意のユーザID／パスワードを設定する必要があります。U03を使用する場合の設定例は以下になります。U01を使用する場合、PPPプロファイル設定は不要です。＜設定例＞

ppp profile u03 authentication username au authentication password plain au interface Serial0 ip address ipcp ppp profile u03

mobile number *99***1# auto-connect no shutdown

※18 lcp echo-replyの応答に対応していませんので、ppp profile にて “no lcp echo

enable”を設定してください。 ※19 3G専用SIMは使用できません。3G専用SIMを装着した場合、show mobile status

の phone numberに「---」と表示されます。 ※20 タイプDはNTTドコモのみサポートします。タイプKはauのみサポートします。 ※21 LTEのみ接続します。3Gでは接続しません。 ※22 Ver7.3.7以降でMobileEthernet(NDIS接続)で使用していた場合、

Ver7.3.2/7.3.1(PPP接続のみ使用可能)にそのままバージョンダウンすると内蔵モジュールを認識しなくなります。以下の手順を実施してバージョンダウンしてください。

付録

付録-7

手順1. バージョンダウンする前に、あらかじめSerial0インタフェースを no shutdownする。

手順2. show mobile statusを実行し、modem name表示が"AMP570-PPP"となっていることを確認する。

手順3. Ver7.3.2/7.3.1にバージョンダウンする。また、バージョンダウンした場合には、show mobile status detailと syslog

function mobq の表示において以下の制限事項があります。 - RSSIの値がプラス表示となる（正しくはマイナス表示）

- Tx Powerの値に単位が表示されない（正しくは"dbm"を伴い表示される） ※23 PPP通信をしていない時には、端末の仕様により、アンテナレベルを取得できま

せん。この時のLED表示は「電波受信感度：優」と同じです。 ※24 LAN-WAN連動認証のPPPoE-PPPアダプタモードは未対応です。 ※25 WAシリーズでご利用いただくためには、ソフトバンク様提供の専用ツールによる

動作モードの変更が必要です。詳しくは、ソフトバンク様ユーザーサポートページを参照してください。604HWのFWはversion 1.04(12.450.09.33.1420)以降を利用してください。Ver8.0以降では専用ツールによる変更は不要です。

※26 WA1511はIIJ タイプIのSIMに対応していません。WA2611-AP、WA2612-AP、WA1512はIIJタイプIのSIMに対応しています。

※27 WAシリーズでご利用いただくためには、富士ソフト様提供の専用ツールによる動作モードの変更が必要です。詳しくは、富士ソフト様ユーザーサポートページを参照してください。

※Y データ通信端末がサポートする通信規格です。すべての通信規格をWAシリーズでサポートするわけではありません。

※Z ○印のデータ通信端末はPPP通信中にアンテナレベルを取得できます。このデータ通信端末を使用している場合、「電波サーベイ機能」が動作しません。

UNIVERGE WAシリーズ

設定事例集

D10-0000014893

２０１９年０４月第8．１a版

日本電気株式会社

NECプラットフォームズ株式会社

(禁無断複製)

©NEC Corporation 20０９－２０１９

©NEC Platforms, Ltd. 20０９－２０１９

Documents

VPN UNIVERGE WA シリーズ address 192.168.1.254/24 no shutdown ! interface GigaEthernet0.1 encapsulation pppoe auto-connect pppoe service-name IP,1,example.net ppp binding mobile