オンプレミスのL2セグメントと、EtherIPを用いてSoftEtherVPNとをL2ブリッジする場合、インターネット接続をするルータとブリッジするルータが同一であれば構成は簡単ですが、auひかりやCATV環境下などNAPTルータがISPにより提供されている場合、ルータを多段で噛ます構成となり、トラブルの原因となる場合があります。

今回、上位ルータであるRouterBoardでブリッジせず、 IX2015をワンアーム接続する事で、オンプレミスネットワークとSoftEtherVPNをL2ブリッジする設定内容です。

2016-01-19-00
 

■IX2015 設定内容

! NEC Portable Internetwork Core Operating System Software
! IX Series IX2010 (magellan-sec) Software, Version 8.3.48, RELEASE SOFTWARE
! Compiled May 10-Tue-2011 15:33:32 JST #1
!
!--- ホスト名・タイムゾーン
hostname SoftEtherGW
timezone +09 00
!
!--- ログインユーザ設定
username user password hash 0123456789ABCDEF administrator
!
!--- NTP設定(mfeed)
ntp ip enable
ntp server 210.173.160.27
ntp server 210.173.160.57
ntp server 210.173.160.87
ntp retry 3
ntp interval 3600
!
!
!--- ルーティング設定
ip route default 192.168.0.1

!--- ACL設定(SoftEther)
ip access-list softether-acl permit ip src any dest any

!--- ACL設定(Telnet)
ip access-list telnet-acl permit ip src 192.168.0.0/24 dest any
!
!--- EtherIP/IPSecの設定
ike proposal ike-prop encryption aes hash sha group 1024-bit lifetime 3600
!
ike policy ike-policy peer 【SoftEtherVPN GlobalIP】 key 【PSK】 mode aggressive ike-prop
ike keepalive ike-policy 10 2
ike local-id ike-policy keyid 【KeyID】
ike nat-traversal policy ike-policy keepalive 10
!
ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 3600
!
ipsec autokey-map ipsec-map softether-acl peer 【SoftEtherVPN GlobalIP】 ipsec-prop
!
!--- Telnet設定
telnet-server ip enable
telnet-server ip access-list telnet-acl
!
!--- SoftEther側のホストのIPアドレスにKeepAliveを打つ
watch-group keepalive 10
  event 10 ip unreach-host 192.168.0.254 BVI1 source BVI1
!
network-monitor keepalive enable
!
!--- 物理インターフェースをBVI1にブリッジ
interface FastEthernet0/0.0
  no ip address
  bridge-group 1
  no shutdown
!
!--- ブリッジインターフェースにIPを振る
interface BVI1
  ip address 192.168.0.253/24
  bridge-group 1
  no shutdown
!
!--- EtherIP/IPSecをBVI1にブリッジ
interface Tunnel0.0
  tunnel mode ether-ip ipsec
  no ip address
  ipsec policy tunnel ipsec-map out
  bridge-group 1
  no shutdown
!
この場合、稼働後はオンプレミスから仮想ハブまで同一L2セグメントとして扱われ、セグメント内の機器は以下の機器のMACアドレスを学習します。
  • NAT Router(.1)
  • NAS(.xxx)
  • IX2015(.253)
  • SoftEtherVPN VirtualNIC(.254)
また、仮想ハブへPC等の端末を接続した場合、尚且つオンプレミスでDHCPが有効な場合、オンプレミスのDHCPサーバがDHCPリクエストに応答します。DHCPサーバが複数存在する場合、仮想ハブの設定でDHCPパケットの通過を止める事が可能です。

■参考サイト

以下のサイトを参考にしました。