IP-VPN網を使ってみる

正常时 ↓障害発生・復旧↑ バックアップ時

IP-VPNサービスを利用して安全なネットワークを構成します。
BGPによるダイナミックルーティングを使って回線の障害を検知し、インターネットへ切り替えることができます。
インターネットへ切り替えたときには通信を暗号化して機密情報の漏洩を防ぎます。

■RTX2000の設定例

LANの
インターフェイスの設定
(LAN1.1ポートを使用)
ip lan1.1 address 192.168.0.1/24
DMZの
インターフェイスの設定
(LAN1.8ポートを使用)
ip lan1.8 address 192.168.10.1/24
WAN(IP-VPN)の
インターフェイスの設定
(LAN1.2ポートを使用)
pp select 1
pp always-on on
pppoe use lan1.2
pp auth accept pap chap
pp auth myname (IP-VPNに接続するID) (IP-VPNに接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ip pp address (プライベートアドレス1)
ip pp mtu 1454
pp enable 1
WAN(ISP1)の
インターフェイスの設定
(LAN1.3ポートを使用)
pp select 2
pp always-on on
pppoe use lan1.3
pp auth accept pap chap
pp auth myname (ISP1に接続するID) (ISP1に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ip pp address (グローバルアドレス1)
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 2
ip route default gateway pp 2
BGP4の設定 bgp use on
bgp autonomous-system (自分側のAS番号)
bgp neighbor 1 (相手側のAS番号) (相手側のIPアドレス)
bgp preference 10001 # 注釈1
bgp import filter 1 include all
bgp import (相手側のAS番号) static filter 1
bgp export filter 1 include all
bgp export (相手側のAS番号) filter 1
NATの設定 nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
nat descriptor masquerade static 1 3 192.168.10.2 tcp www # 注釈2
VPN(IPsec)の設定 ipsec auto refresh on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.0.1
ipsec ike pre-shared-key 1 text (パスワード)
ipsec ike remote address 1 any
ipsec ike remote name 1 kyoten1
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
tunnel select 1
ipsec tunnel 101
ipsec ike hash 1 sha
tunnel enable 1
ip route 192.168.1.0/24 gateway tunnel 1 # 注釈3
DHCPの設定 dhcp scope 1 192.168.0.2-192.168.0.100/24
dhcp service server
DNSの設定 dns server (ISP1より指定されたDNSサーバのIPアドレス)
dns private address spoof on
フィルタの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1001 reject 192.168.0.0/24 *
ip filter 1002 pass * 192.168.0.0/24 icmp
ip filter 1003 pass * 192.168.10.2 tcpflag=0x0002/0x0fff * www # 注釈4
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1016 pass * 192.168.0.1 udp * 500
ip filter 1017 pass * 192.168.0.1 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 200 192.168.0.0/24 * telnet # 注釈5
ip filter dynamic 201 * 192.168.10.2 www # 注釈6
ip lan1.8 secure filter in 2000
ip lan1.8 secure filter out 3000 dynamic 101 200
pp select 2
ip pp secure filter in 500 501 1001 1002 1003 1016 1017 2000 dynamic 201
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
pp enable 2

■RTX1000の設定例

LANの
インターフェイスの設定
(LAN1ポートを使用)
ip lan1 address 192.168.1.1/24
WAN(IP-VPN)の
インターフェイスの設定
(LAN1.2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (IP-VPNに接続するID) (IP-VPNに接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ip pp address (プライベートアドレス2)
ip pp mtu 1454
pp enable 1
WAN(ISP2)の
インターフェイスの設定
pp select 2
pp bind bri1
isdn remote address call (ISP2のアクセスポイントの回線番号)
pp auth accept pap chap
pp auth myname (ISP2に接続するID) (ISP2に接続するパスワード)
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp nat descriptor 1
pp enable 2
ip route default gateway pp 2
BGP4の設定 bgp use on
bgp autonomous-system (自分側のAS番号)
bgp neighbor 1 (相手側のAS番号) (相手側のIPアドレス)
bgp preference 10001 # 注釈1
bgp import filter 1 include all
bgp import (相手側のAS番号) static filter 1
bgp export filter 1 include all
bgp export (相手側のAS番号) filter 1
NATの設定 nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 esp
VPN(IPsec)の設定 ipsec auto refresh on
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.1.1
ipsec ike local name 1 kyoten1
ipsec ike pre-shared-key 1 text (パスワード)
ipsec ike remote address 1 (グローバルアドレス1)
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
tunnel select 1
ipsec tunnel 101
ipsec ike hash 1 sha
tunnel enable 1
ip route 192.168.0.0/24 gateway tunnel 1 # 注釈3
DNSの設定 dns server (ISP2より指定されたDNSサーバのIPアドレス)
dns private address spoof on
フィルタの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1001 reject 192.168.1.0/24 *
ip filter 1002 pass * 192.168.1.0/24 icmp
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 pass (グローバルアドレス1) 192.168.1.1 udp * 500
ip filter 1021 pass (グローバルアドレス1) 192.168.1.1 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
pp select 2
ip pp secure filter in 1001 1002 1020 1021 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
pp enable 2
[注釈の説明]

注釈1
静的経路よりもBGP4の経路を優先する設定です。BGP4の経路を受信しているときにはIP-VPNを使用します。回線の障害が発生してBGP4の経路を受信しなくなったら、静的経路が有効になってインターネットVPNを使用します。

注釈2:
NATの影響で外側からのアクセスができなくなるので、WWWサーバへアクセスできるように穴を開けます。

注釈3:
回線に障害が発生してBGPの経路を受信しなくなったら、この経路が有効になります。

注釈4、注釈6:
WWWサーバへのアクセスのうち、最初のパケット(SYN)だけを通すフィルタです。その後に引き続く通信は、注釈6の動的フィルタで通します。

注釈5:
WWWサーバをメンテナンスするために使うtelnetの通信を通すフィルタです。

ページトップへ戻る