Boston デマンドダイヤル ルーターの構成
トピック
Seattle ルーターのルーター認証アカウントの作成
オフライン コンピュータ証明書の作成
コンピュータ証明書のインストール
ルーティングとリモート アクセス サービスの構成
L2TP ポートの構成
デマンドダイヤル インターフェイスの構成
OSPF の構成
IGMP の構成
L2TP パケット フィルタの構成
リモート アクセス ポリシーの構成
Seattle ルーターのルーター認証アカウントの作成
接続の確立時にユーザー アカウントを資格情報として使用するために、双方のルーターにユーザー アカウントを追加する必要があります。noam.reskit.com ドメインには、Boston Router アカウントを追加しました。Boston ルーター BOS-NA-W2RT-01 はスタンドアロン サーバーであるため、ローカル ユーザー アカウントとして Seattle Router ルーター アカウントを一時的に追加する必要があります。
Boston ルーター BOS-NA-W2RT-01 で以下の手順を実行します。
デマンドダイヤル ルーティングをサポートするアカウントおよびグループを作成するには
アカウント BOS-NA-W2RT-01\Administrator を使用してログオンします。
[デスクトップ] から [マイ コンピュータ] を右クリックし、[管理] をクリックします。
[コンピュータの管理] スナップインで、[ローカル ユーザーとグループ] を展開し、[ユーザー] を右クリックして [新しいユーザー] をクリックします。
[新しいユーザー] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。
ダイアログ ボックスのフィールド
設定操作
ユーザー名
SeattleRouter と入力します。
フル ネーム
Seattle Router と入力します。
パスワード
=sR84k,3;mw49と入力します。
パスワードの確認入力
=sR84k,3;mw49 と入力します。
ユーザーは次回ログオン時にパスワードの変更が必要
オフにします。
ユーザーはパスワードを変更できない
オンにします。
パスワードを無期限にする
オンにします。
[新しいユーザー] ダイアログ ボックスで、[作成] をクリックして、[閉じる] をクリックします。
[コンピュータの管理] スナップインを閉じます。
オフライン コンピュータ証明書の作成
Boston ルーターが L2TP/IPSec を使用して Seattle ルーターに接続する場合、IPSec では IPSec セキュリティ アソシエーション (SA) を開始するためのコンピュータ証明書が必要になります。ResKit 証明機関から取得したオフライン コンピュータ証明書を用意し、オフライン コンピュータ証明書をディスクにエクスポートする必要があります。
SEA-NA-CA-01 で以下の手順を実行します。
BOS-NA-W2RT-01 ルーターのためのオフライン証明書を要求するには
アカウント SEA-NA-CA-01\Administrator を使用してログオンします。
[スタート] メニューから、[ファイル名を指定して実行] をクリックします。
[ファイル名を指定して実行] ダイアログ ボックスの [名前] ボックスで、http://SEA-NA-CA-01/certsrv と入力し、[OK] をクリックします。
以下の表に従って、Microsoft 証明書サービス Web ページの設定項目を指定します。表に指定のない項目は、既定の設定を使用します。
Web ページの表示
設定操作
ようこそ
[証明書の要求] をクリックします。
要求する種類の選択
[要求の詳細設定] をクリックします。
証明書の要求の詳細設定
[フォームを使用してこの CA への証明書の要求を送信します] をクリックします。
証明書の要求の詳細設定
[名前] ボックスに、BOS-NA-W2RT-01.noam.reskit.com と入力します。
[目的] ボックスで、[サーバー認証証明書] をクリックします。
[エクスポート可能なキーとしてマークする] チェック ボックスをオンにします。
[ローカル コンピュータ ストアを使用する] チェック ボックスをオンにします。
フォームの設定が完了したら、[送信] をクリックします。
ウィンドウを閉じます。
SEA-NA-CA-01 上で以下の手順を実行します。
BOS-NA-W2RT-01 ルーターのオフライン証明書を発行するには
アカウント SEA-NA-CA-01\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[証明機関] をクリックします。
[証明機関] スナップインで、[Reskit_Root_CA] を展開し、[保留中の要求] をクリックします。
詳細ペインの [要求の共通名] 列で [BOS-NA-W2RT-01.noam.reskit.com] を含む要求を右クリックし、[すべてのタスク] をクリックし、[発行] をクリックします。
[証明機関] スナップインを閉じます。
SEA-NA-CA-01 上で以下の手順を実行します。
BOS-NA-W2RT-01 ルーターのオフライン証明書をインストールするには
アカウント SEA-NA-CA-01\Administrator を使用してログオンします。
[スタート] メニューから、[ファイル名を指定して実行] をクリックします。
[ファイル名を指定して実行] ダイアログ ボックスの [名前] ボックスで、http://SEA-NA-CA-01/certsrv と入力し、[OK] をクリックします。
以下の表に従って、Microsoft 証明書サービス Web ページの設定項目を指定します。表に指定のない項目は、既定の設定を使用します。
Web ページの表示
設定操作
ようこそ
[保留中の証明書の確認] をクリックします。
保留中の証明書の要求の確認
[サーバー認証証明書 (日時 )] を選択します (日時 は、現時点での証明書要求の発行日時です)。
証明書は発行されました
[この証明書のインストール] をクリックします。
ウィザードの処理が完了すると、証明書が正常にインストールされたことが通知されます。
ウィンドウを閉じます。
SEA-NA-CA-01 上で以下の手順を実行します。
BOS-NA-W2RT-01 ルーターのオフライン証明書をエクスポートするには
アカウント SEA-NA-CA-01\Administrator を使用してログオンします。
[ファイル名を指定して実行] ダイアログ ボックスの [名前] ボックスで、mmc と入力し、[OK] をクリックします。
MMCで、[コンソール] メニューの [スナップインの追加と削除] をクリックします。
[スナップインの追加と削除] ダイアログ ボックスで [追加] をクリックします。
[スタンドアロン スナップインの追加] ダイアログ ボックスで、[証明書] をクリックし、[追加] をクリックします。
[証明書スナップイン] ダイアログ ボックスで、[コンピュータ アカウント] をクリックし、[次へ] をクリックします。
[コンピュータの選択] ダイアログ ボックスで、[ローカル コンピュータ] をクリックし、[完了] をクリックします。
[スタンドアロン スナップインの追加] ダイアログ ボックスで [閉じる] をクリックします。
[スナップインの追加と削除] ダイアログ ボックスで [OK] をクリックします。
コンソール ツリーで、[証明書] 、[個人] 、 [証明書] を順に展開します。
詳細ペインで、 [BOS-NA-W2RT-01.noam.reskit.com] を右クリックし、[すべてのタスク] をクリックして [エクスポート] をクリックします。
フロッピー ディスク ドライブにフロッピー ディスクを挿入します。
証明書のエクスポート ウィザードが表示されたら、以下の表の設定をウィザードに指定します。表に指定のない項目は、既定の設定を使用します。
ウィザードのページ
設定操作
秘密キーのエクスポート
[はい、秘密キーをエクスポートします] をクリックします。
エクスポート ファイルの形式
[Personal Information Exchange – PKCS#12] をクリックします。
[証明のパスにある証明書を可能であればすべて含む] チェック ボックスをオンにします。
[強力な保護を有効にする (IE 5.0、NT 4.0 SP4 またはそれ以上が必要)] チェック ボックスをオンにします。
パスワード
[パスワード] ボックスと [パスワードの確認入力] ボックスに、w#365)P3d4 と入力します。
エクスポートするファイル
[ファイル名] ボックスに A:\BOS-NA-W2RT-01 と入力します。
証明書のエクスポート ウィザードの完了
エクスポート ファイルのパスとファイル名に注意します。このファイルはフロッピー ディスクにコピーされます。
[証明書のエクスポート ウィザード] ダイアログ ボックスで、[OK] をクリックします。
スナップインを閉じます。
フロッピー ディスク ドライブからフロッピー ディスクを取り除きます。
コンピュータ証明書のインストール
IPSec セキュリティ アソシエーション (SA) を確立するには、Boston デマンドダイヤル ルーターにコンピュータ証明書をインストールする必要があります。コンピュータ証明書は、企業のオフィス内の証明機関から発行し、ディスクにエクスポートします。そしてこのコンピュータ証明書を、Boston デマンドダイヤル ルーターの証明書リストにインポートすることが必要です。
Boston デマンドダイヤル ルーター BOS-NA-W2RT-01 で以下の手順を実行します。
Boston デマンドダイヤル ルーターにコンピュータ証明書をインストールするには
アカウント BOS-NA-W2RT-01\Administrator を使用してログオンします。
Boston コンピュータ証明書 (以前の手順でエクスポートした BOS-NA-W2RT-01.pfx) を含むフロッピー ディスクを BOS-NA-W2RT-01 のフロッピー ディスク ドライブに挿入します。
[ファイル名を指定して実行] ダイアログ ボックスの [名前] ボックスで、mmc と入力し、[OK] をクリックします。
MMC で、[コンソール] メニューの [スナップインの追加と削除] をクリックします。
[スナップインの追加と削除] ダイアログ ボックスで [追加] をクリックします。
[スタンドアロン スナップインの追加] ダイアログ ボックスで、[証明書] をクリックし、[追加] をクリックします。
[証明書スナップイン] ダイアログ ボックスで、[コンピュータ アカウント] をクリックし、[次へ] をクリックします。
[コンピュータの選択] ダイアログ ボックスで、[ローカル コンピュータ] をクリックし、[完了] をクリックします。
[スタンドアロン スナップインの追加] ダイアログ ボックスで [閉じる] をクリックします。
[スナップインの追加と削除] ダイアログ ボックスで [OK] をクリックします。
コンソール ツリーで、[証明書] を展開し、[個人] を右クリックし、[すべてのタスク] をポイントして [インポート] をクリックします。
証明書のインポート ウィザードが表示されたら、以下の表の設定をウィザードに指定します。表に指定のない項目は、既定の設定を使用します。
ウィザードのページ
設定操作
インポートする証明書ファイル
[ファイル名] ボックスに A:\BOS-NA-W2RT-01.pfx と入力します。
パスワード
[パスワード] ボックスに w#365)P3d4 と入力します。
証明書ストア
[証明書の種類に基づいて、自動的に証明書ストアを選択する] をクリックします。
ウィザードの設定が完了したら、[完了] をクリックします。
コンソール ツリーで、[証明書 (ローカル コンピュータ)] 、[個人] 、 [証明書] を順に展開します。
詳細ペインで、BOS-NA-W2RT-01.noam.reskit.com に発行された証明書がインポートされていることに注意してください。
コンソール ツリーで、[証明書 (ローカル コンピュータ)] 、[信頼されたルート証明書機関] 、 [証明書] を順に展開します。
詳細ペインで、Reskit_Root_CA が信頼されたルート証明機関として提示されていることに注意します。
[証明書] スナップインを閉じます。
ルーティングとリモート アクセス サービスの構成
Boston デマンドダイヤル ルーター上で、ルーティングとリモート アクセス サービスを有効にすることが必要です。
Boston デマンドダイヤル ルーター BOS-NA-W2RT-01 で以下の手順を実行します。
ルーティングとリモート アクセス サービスを構成して有効にするには
アカウント BOS-NA-W2RT-01\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。
コンソール ツリーで、[BOS-NA-W2RT-01] を右クリックし、[ルーティングとリモート アクセスの構成と有効化] をクリックします。
ルーティングとリモート アクセス サーバーのセットアップ ウィザードで、[次へ] をクリックします。
[標準的な構成] ページで、[手動で構成したサーバー] をクリックし、[次へ] をクリックします。
[完了] をクリックします。
ルーティングとリモート アクセス サービスを開始するか尋ねるメッセージが表示されたら、[はい] をクリックします。
コンソール ツリーで、[BOS-NA-W2RT-01] を右クリックして、[プロパティ] をクリックします。
[BOS-NA-W2RT-01 のプロパティ] ダイアログ ボックスの [IP] タブの [アダプタ] ボックスで [172.16.56.0] をクリックし、[OK] をクリックします。
[IP] タブの [IP アドレスの割り当て] で、[静的アドレス プールを使う] をクリックし、[追加] をクリックします。
[新しいアドレス範囲] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。
ダイアログ ボックスのフィールド
設定操作
開始 IP アドレス
172.31.1.1 と入力します。
終了 IP アドレス
172.31.1.254 と入力します。
[新しいアドレス範囲] ダイアログ ボックスで、[OK] をクリックします。
[BOS-NA-W2RT-01 (ローカル) のプロパティ] ダイアログ ボックスで、[OK] をクリックします。
[ルーティングとリモート アクセス] スナップインを閉じます。
L2TP ポートの構成
既定の設定では、Boston デマンドダイヤル ルーターに対して許容される同時 L2TP 接続は 5 つだけです。Boston デマンドダイヤル ルーター上で、最大で 300 の同時 L2TP 接続を許容するようにルーティングとリモート アクセス サービスを構成することが必要です。
Boston デマンドダイヤル ルーター BOS-NA-W2RT-01 で以下の手順を実行します。
最大で 100 の同時 L2TP 接続を許容するようにルーティングとリモート アクセス サービスを構成するには
アカウント BOS-NA-W2RT-01\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。
コンソール ツリーで、[BOS-NA-W2RT-01] を展開し、[ポート] を右クリックし、[プロパティ] をクリックします。
[ポートのプロパティ] ダイアログ ボックスで、[WAN ミニポート (L2TP)] デバイスをクリックし、[構成] をクリックします。
[デバイスの構成 - WAN ミニポート (L2TP)] ダイアログ ボックスで、[ポートの最大数] ボックスに 300 と入力し、[OK] をクリックします。
[ポートのプロパティ] ダイアログ ボックスで、[OK] をクリックします。
[ルーティングとリモート アクセス] スナップインを閉じます。
デマンドダイヤル インターフェイスの構成
Seattle デマンドダイヤル ルーターに対する L2TP ベースのデマンドダイヤル接続を開始し、かつ Seattle デマンドダイヤル ルーターから開始された接続をデマンドダイヤル接続として認識するためのデマンドダイヤル インターフェイスを作成する必要があります。
Boston デマンドダイヤル ルーター BOS-NA-W2RT-01 で以下の手順を実行します。
Seattle 支社に対するデマンドダイヤル インターフェイスを作成するには
アカウント BOS-NA-W2RT-01\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。
コンソール ツリーで、[BOS-NA-W2RT-01] を展開し、[ルーティング インターフェイス] を右クリックし、[新しいデマンドダイヤル インターフェイス] をクリックします。
デマンドダイヤル インターフェイス ウィザードが表示されたら、以下の表の設定をウィザードに指定します。表に指定のない項目は、既定の設定を使用します。
ウィザードのページ
設定操作
インターフェイスの名前
[インターフェイス名] ボックスに SeattleRouter と入力します。
接続の種類
[仮想プライベート ネットワーク (VPN) を使って接続する] をクリックします。
VPN の種類
[レイヤ 2 トンネリング プロトコル (L2TP)] をクリックします。
接続先のアドレス
[ホスト名または IP アドレス] ボックスに 131.107.1.131 と入力します。
ダイヤル アウトの資格情報
[ユーザー名] ボックスに BostonRouter と入力します。
[ドメイン] ボックスに NOAM と入力します。
[パスワード] ボックスと [パスワードの確認入力] ボックスに 4fD(c823%!Ow* と入力します。
ウィザードの設定が完了したら、[完了] をクリックします。
詳細ペインで、[SeattleRouter] を右クリックし、[プロパティ] をクリックします。
[SeattleRouter] ダイアログ ボックスの [オプション] タブで (図 19 を参照)、[固定接続] をクリックし、[OK] をクリックします。
図 19: 固定接続として構成
[ネットワーク] タブの [呼び出す VPN サーバーの種類] から、[レイヤ 2 トンネリング プロトコル (L2TP)] を選択します。
[ネットワーク] タブの [インターネット プロトコル (TCP/IP)] を除くすべてのネットワーク コンポーネントを無効にし、[OK] をクリックします。
[ルーティングとリモート アクセス] スナップインを閉じます。
OSPF の構成
Seattle オフィスへの L2TP デマンドダイヤル接続は固定接続であるため、OSPF ルーティング プロトコルはこの L2TP デマンドダイヤル接続経由でルーティング テーブルを更新し、ネットワーク トポロジの変更を収束できます。OSPF は、BostonSubnet LAN インターフェイスおよび Seattle デマンドダイヤル インターフェイスの双方で構成する必要があります。
Boston デマンドダイヤル ルーター BOS-NA-W2RT-01 で以下の手順を実行します。
OSPF を使用するように Boston デマンドダイヤル ルーターを構成するには
アカウント BOS-NA-W2RT-01\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。
コンソール ツリーで、[BOS-NA-W2RT-01] を展開し、[IP ルーティング] を展開し、[全般] を右クリックし、[新しいルーティング プロトコル] をクリックします。
[新しいルーティング プロトコル] ダイアログ ボックスで、[Open Shortest Path First (OSPF)] を選択し、[OK] をクリックします。
コンソール ツリーで、[OSPF] を右クリックし、[プロパティ] をクリックします。
[OSPF のプロパティ] ダイアログ ボックスの [領域] タブで、[0.0.0.0] を選択し、[編集] をクリックします。
[OSPF 領域の構成] ダイアログ ボックスの [全般] タブで、[普通のテキストのパスワードを有効にする] チェック ボックスをオンにします。
[OSPF 領域の構成] ダイアログ ボックスの [範囲] タブの [宛先] ボックスに 172.16.40.0 と入力し、[ネットワーク マスク] ボックスに 255.255.252.0 と入力し、[追加] をクリックして [OK] をクリックします。
[OSPF のプロパティ] ダイアログ ボックスの [領域] タブで、[追加] をクリックします。
[OSPF 領域の構成] ダイアログ ボックスの [全般] タブで、[領域 ID] ボックスに 0.0.0.1 と入力します。
[OSPF 領域の構成] ダイアログ ボックスの [全般] タブで、[普通のテキストのパスワードを有効にする] チェック ボックスをオンにします。
[範囲] タブで、 [宛先] ボックスに 172.16.52.0 と入力し、[ネットワーク マスク] ボックスに 255.255.252.0 と入力し、[追加] をクリックします。
[範囲] タブで、 [宛先] ボックスに 172.16.56.0 と入力し、[ネットワーク マスク] ボックスに 255.255.252.0 と入力し、[追加] をクリックして [OK] をクリックします。
[OSPF のプロパティ] ダイアログ ボックスで、[OK] をクリックします。
コンソール ツリーで、[OSPF] を右クリックし、[新しいインターフェイス] をクリックします。
[Open Shortest Path First (OSPF) の新しいインターフェイス] ダイアログ ボックスで、[172.16.52.0] をクリックし、[OK] をクリックします。
[OSPF プロパティ - 172.16.52.0] ダイアログ ボックスの [領域 ID] で、[0.0.0.1] をクリックし、[OK} をクリックします。
重要 OSPF に 192.200.210.0 インターフェイスを追加しないようにしてください。
以下の各インターフェイスについて、手順 15 から17 を行います。
領域 0.0.0.1 内の 172.16.56.0
領域 0.0.0.0 内の SeattleRouter
重要 OSPF でサポートされるインターフェイスのリストに 192.200.210.0 インターフェイスが存在しないことを確認してください。
[ルーティングとリモート アクセス] スナップインを閉じます。
IGMP の構成
Seattle デマンドダイヤル ルーターに対して IP マルチキャスト パケットを送受信するには、IGMP ルーティング プロトコル コンポーネントの既定の構成を変更する必要があります。
Boston デマンドダイヤル ルーター BOS-NA-W2RT-01 で以下の手順を実行します。
Seattle ルーターに対して IP マルチキャスト トラフィックを送受信するように IGMP ルーティング プロトコル コンポーネントを構成するには
アカウント BOS-NA-W2RT-01\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。
コンソール ツリーで、[BOS-NA-W2RT-01] を展開し、[IPルーティング] を展開し、[IGMP] をクリックします。
詳細ペインで、既存のインターフェイスをすべて削除します。
コンソール ツリーで、[BOS-NA-W2RT-01] を展開し、[IP ルーティング] を展開し、[IGMP] を右クリックし、[新しいインターフェイス] をクリックします。
[IGMP バージョン 2、ルーターとプロキシの新しいインターフェイス] ダイアログ ボックスで、[SeattleRouter] をクリックし、[OK] をクリックします。
[IGMP プロパティ - SeattleRouter のプロパティ] ダイアログ ボックスで、[IGMP プロキシ] をクリックして [OK] をクリックします。
コンソール ツリーで、[IGMP] を右クリックし、[新しいインターフェイス] をクリックします。
[IGMP バージョン 2、ルーターとプロキシの新しいインターフェイス] ダイアログ ボックスで、[172.16.52.0] をクリックし、[OK] をクリックします。
コンソール ツリーで、[IGMP] を右クリックし、[新しいインターフェイス] をクリックします。
[IGMP バージョン 2、ルーターとプロキシの新しいインターフェイス] ダイアログ ボックスで、[172.16.56.0] をクリックし、[OK] をクリックします。
[ルーティングとリモート アクセス] スナップインを閉じます。
L2TP パケット フィルタの構成
BOS-NA-W2RT-01 で未承認のインターネット トラフィックの送受信をすべて抑止するために、SEA-NA-RAS-01 のインターネット インターフェイスに対する IP 入出力フィルタを構成する必要があります。IP 入出力フィルタを使用しない場合、インターネット インターフェイスで受信したすべてのトラフィックが転送されます。
注意
このシナリオで使用した IP 入出力フィルタでは、支社ルーターからの L2TP トラフィックに対してのみ、BOS-NA-W2RT-01 を経由する転送を許容します。それぞれの組織では、セキュリティ要件に応じて、その他の IP 入出力フィルタを構成する必要があります。
Boston デマンドダイヤル ルーター BOS-NA-W2RT-01 で以下の手順を実行します。
Boston デマンドダイヤル ルーターのインターネット インターフェイスに対する L2TP パケット フィルタを構成するには
アカウント BOS-NA-W2RT-01\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。
コンソール ツリーで、[BOS-NA-W2RT-01] 、[IP ルーティング] を順に展開し、[全般] をクリックします。
詳細ペインで、[192.200.210.0] を右クリックし、[プロパティ] をクリックします。
[192.200.210.0 のプロパティ] ダイアログ ボックスの [全般] タブで、[入力フィルタ] ボタンをクリックします。
[入力フィルタ] ダイアログ ボックス (図 1 を参照) で、[追加] をクリックします。
[IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。
ダイアログ ボックスのフィールド
設定操作
宛先ネットワーク
オンにします。
IP アドレス
192.200.210.1 と入力します。
サブネット マスク
255.255.255.255 と入力します。
プロトコル
[UDP] を選択します。
発信元ポート
500 と入力します。
宛先ポート
500 と入力します。
[IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。
[入力フィルタ] ダイアログ ボックスで、[追加] をクリックします。
[IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。
ダイアログ ボックスのフィールド
設定操作
宛先ネットワーク
オンにします。
IP アドレス
192.200.210.1 と入力します。
サブネット マスク
255.255.255.255 と入力します。
プロトコル
[UDP] を選択します。
発信元ポート
1701 と入力します。
宛先ポート
1701 と入力します。
[IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。
[入力フィルタ] ダイアログ ボックスで (図 1 を参照)、[下の条件に一致するパケットを除いたすべてのパケットを破棄する] をオンにして、[OK] をクリックします。
図 1: L2TP 入力フィルタの構成
[192.200.210.0 のプロパティ] ダイアログ ボックスの [全般] タブで、[出力フィルタ] ボタンをクリックします。
[出力フィルタ] ダイアログ ボックスで、[追加] をクリックします。
[IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。
このダイアログ ボックスのフィールド
設定操作
発信元ネットワーク
オンにします。
IP アドレス
192.200.210.1 と入力します。
サブネット マスク
255.255.255.255 と入力します。
プロトコル
[UDP] を選択します。
発信元ポート
500 と入力します。
宛先ポート
500 と入力します。
[IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。
[出力フィルタ] ダイアログ ボックスで、[追加] をクリックします。
[IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。
ダイアログ ボックスのフィールド
設定操作
発信元ネットワーク
オンにします。
IP アドレス
192.200.210.1 と入力します。
サブネット マスク
255.255.255.255 と入力します。
プロトコル
[UDP] を選択します。
発信元ポート
1701 と入力します。
宛先ポート
1701 と入力します。
[IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。
[出力フィルタ] ダイアログ ボックスで (図 2 を参照)、[下の条件に一致するパケットを除いたすべてのパケットを破棄する] をオンにして、[OK] をクリックします。
[192.200.210.0 のプロパティ] ダイアログ ボックスで、[OK] をクリックします。
[ルーティングとリモート アクセス] スナップインを閉じます。
図 2: L2TP 出力フィルタの構成
リモート アクセス ポリシーの構成
Boston デマンドダイヤル ルーター上で、ルーティングとリモート アクセス サービスを Windows 2000 認証用に構成します。ローカルに構成したリモート アクセス ポリシーを使用して、ほかのデマンドダイヤル ルーターからの受信接続試行を承認します。すべてのデマンドダイヤル接続で Microsoft 暗号化認証 バージョン 2 (MS-CHAP v2) および暗号化を要求するためのリモート アクセス ポリシーを個別に作成します。
Boston デマンドダイヤル ルーター BOS-NA-W2RT-01 で以下の手順を実行します。
デマンドダイヤル接続を対象にしたリモート アクセス ポリシーを構成するには
アカウント BOS-NA-W2RT-01\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。
コンソール ツリーで、[BOS-NA-W2RT-01] を展開し、[リモート アクセス ポリシー] を右クリックし、[新しいリモート アクセス ポリシー] をクリックします。
[リモート アクセス ポリシーの追加] ダイアログ ボックスで、[ポリシーのフレンドリ名] ボックスに Demand-Dial Router Policy と入力し、[次へ] をクリックします。
[条件] ページで、[追加] をクリックします。
[属性の選択] ダイアログ ボックスで、[Calling-Station-Id] を選択し、[追加] をクリックします。
[Calling-Station-Id] ダイアログ ボックスで、 [文字列またはワイルド カードを入力してください] ボックスに 131.107.1.131 と入力し、[OK] をクリックします。
重要 L2TP トンネルの開始時に受け入れる IP アドレスは 131.107.1.131 アドレス (SEA-NA-RAS-01 ルーター) に限定する必要があります。
[条件] ページで、[追加] をクリックします。
[属性の選択] ダイアログ ボックスで、[NAS-Port-Type] を選択し、[追加] をクリックします。
[利用できる種類] ボックスで、[仮想 (VPN)] を選択し、[追加] をクリックして、[OK] をクリックします。
[条件] ページで、[追加] をクリックします。
[属性の選択] ダイアログ ボックスで、[Tunnel-Type] を選択し、[追加] をクリックします。
[利用できる種類] ボックスで、[Layer Two Tunneling Protocol] をクリックし、[追加] をクリックして、[OK] をクリックします。
[条件] ページで、[次へ] をクリックします。
[アクセス許可] ページで、[リモート アクセス許可を与える] をクリックし、[次へ] をクリックします。
[ユーザー プロファイル] ページで、[プロファイルの編集] をクリックします。
[ダイヤルイン プロファイルの編集] ダイアログ ボックスの [認証] タブで、[Microsoft 暗号化認証 (MS-CHAP)] チェック ボックスをオフにします。
[ダイヤルイン プロファイルの編集] ダイアログ ボックスの [暗号化] タブで (図 18 を参照)、[暗号化なし] チェック ボックスをオフにします。
注意
Windows 2000 高度暗号化パックが BOS-NA-W2RT-01 にインストールされているので、最も強力な暗号化設定を使用できます。図 18: デマンドダイヤル接続の暗号化の構成
[ダイヤルイン プロファイルの編集] ダイアログ ボックスで、[OK] をクリックします。
[リモート アクセス ポリシーの追加] ダイアログ ボックスで [完了] をクリックします。
[リモート アクセス ポリシー] の詳細ペインで、[ダイヤルアップリモートアクセスユーザー] (既定のリモート アクセス ポリシー) を右クリックして [削除] をクリックします。
ポリシーを削除してもよいか尋ねるメッセージか表示されたら、[はい] をクリックします。
注意
この構成では、Boston ルーターは Seattle ルーターに対してのみ通信します。その他の種類の接続を承認させるには、さらにリモート アクセス ポリシーを構成する必要があります。[ルーティングとリモート アクセス] スナップインを閉じます。
関連するセットアップ手順
Boston デマンドダイヤル ルーターの構成
関連資料
Windows 2000 Server リソース キット 購入ページ
Windows 2000 Professional リソース キット 購入ページ
Windows 2000 リソース キットの詳細については、こちらを参照してください。
注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。