次の方法で共有

Seattle デマンドダイヤル ルーターの構成

  • [アーティクル]

Seattle デマンドダイヤル ルーター SEA-NA-RAS-01 では、L2TP ベースのデマンドダイヤル ルーティングをサポートし、さらに RADIUS 認証を使用した OSPF および IGMP をサポートする構成が必要です。

トピック

コンピュータ証明書のインストール
ルーティングとリモート アクセス サービスの構成
L2TP ポートの構成
デマンドダイヤル インターフェイスの構成
OSPF の構成
IGMP の構成
L2TP パケット フィルタの構成

コンピュータ証明書のインストール

IPSec VPN 経由の L2TP 接続では、呼び出し側ルーターと応答側ルーターの双方で、"コンピュータ証明書" が必要です。Seattle サイト内の証明機関によるコンピュータ証明書の自動登録処理によって、ドメイン内のすべてのメンバにコンピュータ証明書がインストールされます。

Seattle ドメイン コントローラ SEA-NA-DC-01 で以下の手順を実行する必要があります。

noam.reskit.com ドメイン内のすべてのコンピュータを対象にしたコンピュータ証明書の自動登録処理を構成するには

  1. アカウント NOAM\Administrator を使用してログオンします。

  2. [スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[Active Directory ユーザーとコンピュータ] をクリックします。

  3. コンソール ツリーで、[Active Directory ユーザーとコンピュータ] を展開し、[noam.reskit.com] を展開します。

  4. [noam.reskit.com] を右クリックし、[プロパティ] をクリックします。

  5. [noam.reskit.com のプロパティ] ダイアログ ボックスの [グループ ポリシー] タブで、[Default Domain Policy] を選択し、[編集] をクリックします。

  6. [グループ ポリシー] スナップインで、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[公開キーのポリシー] を順に展開します。

  7. [自動証明書要求の設定] を右クリックし、[新規作成] をクリックして、[自動証明要求] をクリックします。

  8. 自動証明書要求のセットアップ ウィザードが表示されたら、以下の表の設定を指定します。表に指定のない項目は、既定の設定を使用します。

    ウィザードのページ

    設定操作

    証明書テンプレート

    [コンピュータ] を選択します。

    Certificate Authority

    [your_certificate_authority] をクリックします (your_certificate_authority は、組織の証明機関サーバーです)。

  9. ウィザードの設定が完了したら、[完了] をクリックします。

    図 1 の [グループ ポリシー] には、コンピュータ証明書の自動登録のための新しいポリシーが表示されています。

    route-03-01
    図 1: コンピュータ証明書の自動登録処理を構成した後の [グループ ポリシー] スナップイン

  10. [グループ ポリシー] スナップインを閉じます。

  11. [noam.reskit.com のプロパティ] ダイアログ ボックスで、[OK] をクリックします。

  12. [Active Directory ユーザーとコンピュータ] スナップインを閉じます。

  13. コマンド プロンプトを開いて、secedit/refreshpolicy machine_policy と入力し、Enter キーを押します。

    このコマンドによって、グループ ポリシーを直ちに実装するようにドメイン コントローラに強制します。

  14. コマンド プロンプトを閉じます。

ルーティングとリモート アクセス サービスの構成

Seattle デマンドダイヤル ルーター上で、RADIUS 認証を可能にするためにルーティングとリモート アクセス サービスを有効にして構成することが必要です。

Seattle デマンドダイヤル ルーター SEA-NA-RAS-01 で以下の手順を実行します。

内部ルート パスを検索するデマンドダイヤル ルーターを構成するには

  1. アカウント NOAM\Administrator を使用してログオンします。

  2. [スタート] メニューから、[ファイル名を指定して実行] をクリックします。

  3. [ファイル名を指定して実行] ダイアログ ボックスで、 [名前] ボックスに cmd と入力し、[OK] をクリックします。

  4. コマンド プロンプトで、route add 172.16.0.0 mask 255.255.0.0 172.16.40.1 と入力し、Enter キーを押します。

  5. コマンド プロンプトを閉じます。

    注意
    SEA-NA-RAS-01 のデフォルト ゲートウェイは、境界ルーター SEA-RKE-CISCO-01 です。したがって SEA-NA-RAS-01 は、Seattle プライベート ネットワーク内のすべてのサブネットの検索方法を把握していません。この静的なルートによって、SEA-NA-RAS-01 で一時的にすべての内部ルートを検索することを可能にします。OSPF の構成後の手順で、この静的ルートは削除します。

RADIUS 認証のためにルーティングとリモート アクセス サービスを構成して有効にするには

  1. アカウント NOAM\Administrator を使用してログオンします。

  2. [スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。

  3. コンソール ツリーで、[SEA-NA-RAS-01] を右クリックし、[ルーティングとリモート アクセスの構成と有効化] をクリックします。

  4. ルーティングとリモート アクセス サーバーのセットアップ ウィザードで、[次へ] をクリックします。

  5. [標準的な構成] ページで、[手動で構成したサーバー] をクリックし、[次へ] をクリックします。

  6. [完了] をクリックします。

  7. ルーティングとリモート アクセス サービスを開始するか尋ねるメッセージが表示されたら、[はい] をクリックします。

  8. コンソール ツリーで、[SEA-NA-RAS-01] を右クリックして、[プロパティ] をクリックします。

  9. [SEA-NA-RAS-01 のプロパティ] ダイアログ ボックスの [セキュリティ] タブの [認証プロバイダ] で、[RADIUS 認証] をクリックし、[構成] をクリックします。

  10. [RADIUS 認証] ダイアログ ボックスで、[追加] をクリックします。

  11. [RADIUS サーバーの追加] ダイアログ ボックスの [サーバー名] ボックスに、SEA-NA-IAS-01 と入力し (図 2 を参照)、[変更] をクリックします。

  12. [シークレットの変更] ダイアログ ボックスの [新しいシークレット] ボックスと [新しいシークレットの確認入力] ボックスに s(5%jkw#Q9d$mP4 と入力し、[OK] をクリックします。

  13. [RADIUS サーバーの追加] ダイアログ ボックスで、[常にデジタル署名を使う] チェック ボックスをオンにして、[OK] をクリックします。

  14. [RADIUS 認証] ダイアログ ボックスで、[OK] をクリックします。

  15. 新しい RADIUS パラメータを有効にするには、ルーティングとリモート アクセス サービスを再開する必要があることを通知するメッセージが表示されたら、[OK] をクリックします。

    route-03-02
    図 2: RADIUS 認証用の RADIUS サーバーとして Seattle IAS サーバーを構成

  16. [SEA-NA-RAS-01] ダイアログ ボックスの [セキュリティ] タブの [アカウンティング プロバイダ] ボックスから、[RADIUS アカウンティング] を選択し、[構成] をクリックします。

  17. [RADIUS アカウンティング] ダイアログ ボックスで、[追加] をクリックします。

  18. [RADIUS サーバーの追加] ダイアログ ボックスの [サーバー名] ボックスに SEA-NA-IAS-01 と入力します。

  19. [RADIUS サーバーの追加] ダイアログ ボックスで、[変更] をクリックします。

  20. [シークレットの変更] ダイアログ ボックスの [新しいシークレット] ボックスと [新しいシークレットの確認入力] ボックスに s(5%jkw#Q9d$mP4 と入力し、[OK] をクリックします。

  21. [RADIUS アカウンティングのオン/オフのメッセージを送信する] チェック ボックスをオンにして、[OK] をクリックします。

  22. [RADIUS アカウンティング] ダイアログ ボックスで、[OK] をクリックします。

  23. 新しい RADIUS パラメータを有効にするには、ルーティングとリモート アクセス サービスを再開する必要があることを通知するメッセージが表示されたら、[OK] をクリックします。

  24. [IP] タブの [アダプタ] リストで、[SeattleSubnet] インターフェイス (Seattle イントラネットに接続するインターフェイス) を選択します。

  25. [IP] タブの [IP アドレスの割り当て] で、[静的アドレス プールを使う] をクリックし、[追加] をクリックします。

  26. [新しいアドレス範囲] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

    ダイアログ ボックスのフィールド

    設定操作

    開始 IP アドレス

    172.31.0.1 と入力します。

    終了 IP アドレス

    172.31.0.254 と入力します。

  27. [新しいアドレス範囲] ダイアログ ボックスで、[OK] をクリックします。

  28. [SEA-NA-RAS-01 (ローカル) のプロパティ] ダイアログ ボックスで、[OK] をクリックします。

  29. この変更を有効にするためには、新しい認証プロバイダを使用して、 ルーティングとリモート アクセス サービスを再開する必要があることを通知されたら、[はい] をクリックします。

    route-03-03
    図 3: RADIUS アカウンティング用の RADIUS サーバーとして Seattle IAS サーバーを構成

  30. コンソール ツリーで、[SEA-NA-RAS-01] を右クリックし、[すべてのタスク] をポイントして、[再起動] をクリックしてルーティングとリモート アクセス サービスを再開します。

  31. [ルーティングとリモート アクセス] スナップインを閉じます。

L2TP ポートの構成

既定の設定では、Seattle デマンドダイヤル ルーターに対して許容される同時 L2TP 接続は 5 つだけです。 Seattle デマンドダイヤル ルーター上で、最大で 300 の同時 L2TP 接続を許容するようにルーティングとリモート アクセス サービスを構成することが必要です。

このために、Seattle デマンドダイヤル ルーター SEA-NA-RAS-01 で以下の手順を実行します。

最大で 300 の同時 L2TP 接続を許容するようにルーティングとリモート アクセス サービスを構成するには

  1. アカウント NOAM\Administrator を使用してログオンします。

  2. [スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。

  3. コンソール ツリーで、[SEA-NA-RAS-01] を展開し、[ポート] を右クリックし、[プロパティ] をクリックします。

  4. [ポートのプロパティ] ダイアログ ボックスで、[WAN ミニポート (L2TP)] デバイスをクリックし、[構成] をクリックします。

  5. [デバイスの構成 - WAN ミニポート (L2TP)] ダイアログ ボックスで (図 4 を参照)、[ポートの最大数] ボックスに 300 と入力し、[OK] をクリックします。

  6. [ポートのプロパティ] ダイアログ ボックスで、[OK] をクリックします。

  7. [ルーティングとリモート アクセス] スナップインを閉じます。

    ras-03-01
    図 4: WAN ミニポート (L2TP) デバイスのポート数を 300 に構成

デマンドダイヤル インターフェイスの構成

Boston デマンドダイヤル ルーターに対する L2TP ベースのデマンドダイヤル接続を開始し、かつ Boston デマンドダイヤル ルーターから開始された接続をデマンドダイヤル接続として認識するためのデマンドダイヤル インターフェイスを作成する必要があります。

Boston 支社に対するデマンドダイヤル インターフェイスを作成するには

  1. アカウント NOAM\Administrator を使用してログオンします。

  2. [スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。

  3. コンソール ツリーで、[SEA-NA-RAS-01] を展開し、[ルーティング インターフェイス] を右クリックし、[新しいデマンドダイヤル インターフェイス] をクリックします。

  4. デマンドダイヤル インターフェイス ウィザードで、以下の表の設定を指定します。表に指定のない項目は、既定の設定を使用します。

    ウィザードのページ

    設定操作

    インターフェイスの名前

    [インターフェイス名] ボックスに BostonRouter と入力します。

    接続の種類

    [仮想プライベート ネットワーク (VPN) を使って接続する] をクリックします。

    VPN の種類

    [レイヤ 2 トンネリング プロトコル (L2TP)] をクリックします。

    接続先のアドレス

    [ホスト名または IP アドレス] ボックスに 192.200.210.1 と入力します。

    ダイヤル アウトのアカウント情報

    [ユーザー名] ボックスに SeattleRouter と入力します。

    [ドメイン] ボックスを空白のままにします。

    [パスワード] ボックスと [パスワードの確認入力] ボックスに =sR84k,3;mw49 と入力します。

  5. ウィザードの設定が完了したら、[完了] をクリックします。

    重要 デマンドダイヤル インターフェイス (BostonRouter) のユーザー名は、Seattle ルーターによって認証される Boston ルーターのユーザー名と一致する必要があります。そうでない場合、Boston ルーターからの要求の受信時に、Seattle 内でデマンドダイヤル インターフェイスがアクティブになりません。

  6. 詳細ペインで、[BostonRouter] を右クリックし、[プロパティ] をクリックします。

  7. [BostonRouter] ダイアログ ボックスの [オプション] タブで、[固定接続] をクリックします。

  8. [ネットワーク] タブの [呼び出す VPN サーバーの種類] から、[レイヤ 2 トンネリング プロトコル (L2TP)] を選択し、[OK] をクリックします。

  9. [ルーティングとリモート アクセス] スナップインを閉じます。

OSPF の構成

支社への L2TP デマンドダイヤル接続は固定接続であるため、OSPF ルーティング プロトコルはこの L2TP デマンドダイヤル接続経由でルーティング テーブルを更新し、ネットワーク トポロジの変更を収束できます。OSPF は、SeattleSubnet LAN インターフェイスおよび Boston デマンドダイヤル インターフェイスの双方で構成する必要があります。

このために、Seattle デマンドダイヤル ルーター SEA-NA-RAS-01 で以下の手順を実行します。

OSPF を使用するように Seattle デマンドダイヤル ルーターを構成するには

  1. アカウント NOAM\Administrator を使用してログオンします。

  2. [スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。

  3. コンソール ツリーで、[SEA-NA-RAS-01] を展開し、[IP ルーティング] を展開し、[全般] を右クリックし、[新しいルーティング プロトコル] をクリックします。

  4. [新しいルーティング プロトコル] ダイアログ ボックスで、[Open Shortest Path First (OSPF)] を選択し、[OK] をクリックします。

  5. コンソール ツリーで、[OSPF] を右クリックし、[プロパティ] をクリックします。

  6. [OSPF のプロパティ] ダイアログ ボックスの [領域] タブで、[0.0.0.0] を選択し、[編集] をクリックします。

  7. [OSPF 領域の構成] ダイアログ ボックスの [全般] タブで、[普通のテキストのパスワードを有効にする] チェック ボックスをオンにします。

  8. [範囲] タブの [宛先] ボックスに 172.16.40.0 と入力し、[ネットワーク マスク] ボックスで 255.255.252.0 と入力し、[追加] をクリックして [OK] をクリックします。

  9. [OSPF のプロパティ] ダイアログ ボックスで、[OK] をクリックします。

  10. コンソール ツリーで、[OSPF] を右クリックし、[新しいインターフェイス] をクリックします。

  11. [Open Shortest Path First (OSPF) の新しいインターフェイス] ダイアログ ボックスで、[SeattleSubnet] をクリックし、[OK] をクリックします。

  12. [OSPF プロパティ - SeattleSubnet のプロパティ] ダイアログ ボックスで、[OK] をクリックします。

  13. コンソール ツリーで、[OSPF] を右クリックし、[新しいインターフェイス] をクリックします。

  14. [Open Shortest Path First (OSPF) の新しいインターフェイス] ダイアログ ボックスで、[BostonRouter] をクリックし、[OK] をクリックします。

  15. [OSPF プロパティ - BostonRouter のプロパティ] ダイアログ ボックスで、[OK] をクリックします。

    重要 OSPF でサポートされるインターフェイスのリストに 131.107.1.131 (DMZ) インターフェイスが存在しないことを確認してください。

  16. [ルーティングとリモート アクセス] スナップインを閉じます。

OSPF を機能させた後、先に追加した静的ルートを削除するには

  1. アカウント NOAM\Administrator を使用してログオンします。

  2. [スタート] メニューから、[ファイル名を指定して実行] をクリックします。

  3. [ファイル名を指定して実行] ダイアログ ボックスの [名前] ボックスに cmd と入力し、[OK] をクリックします。

  4. コマンド プロンプトで、route delete 172.16.0.0 と入力し、ENTER キーを押します。

  5. コマンド プロンプトを閉じます。

IGMP の構成

Boston デマンドダイヤル ルーターに対して IP マルチキャスト パケットを送受信するには、IGMP ルーティング プロトコル コンポーネントの既定の構成を変更する必要があります。

Seattle デマンドダイヤル ルーター SEA-NA-RAS-01 で以下の手順を実行します。

Boston ルーターに対して IP マルチキャスト トラフィックを送受信するように IGMP ルーティング プロトコル コンポーネントを構成するには

  1. アカウント NOAM\Administrator を使用してログオンします。

  2. [スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。

  3. コンソール ツリーで、[SEA-NA-RAS-01] を展開し、[IP ルーティング] を展開し、[IGMP] を右クリックし、[新しいインターフェイス] をクリックします。

  4. [IGMP バージョン 2、ルーターとプロキシの新しいインターフェイス] ダイアログ ボックスで、[BostonRouter] を選択し、[OK] をクリックします。

  5. [IGMP プロパティ - BostonRouter のプロパティ] ダイアログ ボックスで、[OK] をクリックします。

  6. [ルーティングとリモート アクセス] スナップインを閉じます。

L2TP パケット フィルタの構成

SEA-NA-RAS-01 で未承認のインターネット トラフィックの送受信をすべて抑止するために、SEA-NA-RAS-01 のインターネット インターフェイスに対する IP 入出力フィルタを構成する必要があります。IP 入出力フィルタを使用しない場合、インターネット インターフェイスで受信したすべてのトラフィックが転送されます。

注意
このシナリオで使用した IP 入出力フィルタでは、支社ルーターからの L2TP トラフィックに対してのみ、SEA-NA-RAS-01 を経由する転送を許容します。それぞれの組織では、セキュリティ要件に応じて、その他の IP 入出力フィルタを構成する必要があります。

Seattle デマンドダイヤル ルーター SEA-NA-RAS-01 で以下の手順を実行します。

Seattle デマンドダイヤル ルーターのインターネット インターフェイスに対する L2TP パケット フィルタを構成するには

  1. アカウント NOAM\Administrator を使用してログオンします。

  2. [スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。

  3. コンソール ツリーで、[SEA-NA-RAS-01] を展開し、[IP ルーティング] を展開し、[全般] をクリックします。

  4. 詳細ペインで、[DMZ] (Seattle サイトの中立ゾーンに接続する LAN 接続) を右クリックし、[プロパティ] をクリックします。

  5. [DMZ のプロパティ] ダイアログ ボックスの [全般] タブで、[入力フィルタ] をクリックします。

  6. [入力フィルタ] ダイアログ ボックス (図 5 を参照) で、[追加] をクリックします。

  7. [IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

    ダイアログ ボックスのフィールド

    設定操作

    宛先ネットワーク

    オンにします。

    IP アドレス

    131.107.1.131 と入力します。

    サブネット マスク

    255.255.255.255 と入力します。

    プロトコル

    [UDP] を選択します。

    発信元ポート

    500 と入力します。

    宛先ポート

    500 と入力します。

  8. [IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。

  9. [入力フィルタ] ダイアログ ボックスで、[追加] をクリックします。

  10. [IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

    ダイアログ ボックスのフィールド

    設定操作

    宛先ネットワーク

    オンにします。

    IP アドレス

    131.107.1.131 と入力します。

    サブネット マスク

    255.255.255.255 と入力します。

    プロトコル

    [UDP] を選択します。

    発信元ポート

    1701 と入力します。

    宛先ポート

    1701 と入力します。

  11. [IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。

  12. [入力フィルタ] ダイアログ ボックスで (図 5 を参照)、[下の条件に一致するパケットを除いたすべてのパケットを破棄する] をクリックして、[OK] をクリックします。

    route-03-06
    図 5: L2TP 入力フィルタの構成

  13. [DMZ のプロパティ] ダイアログ ボックスの [全般] タブで、[出力フィルタ] をクリックします。

  14. [出力フィルタ] ダイアログ ボックスで、[追加] をクリックします。

  15. [IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

    ダイアログ ボックスのフィールド

    設定操作

    発信元ネットワーク

    オンにします。

    IP アドレス

    131.107.1.131 と入力します。

    サブネット マスク

    255.255.255.255 と入力します。

    プロトコル

    [UDP] を選択します。

    発信元ポート

    500 と入力します。

    宛先ポート

    500 と入力します。

  16. [IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。

  17. [出力フィルタ] ダイアログ ボックスで、[追加] をクリックします。

  18. [IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

    ダイアログ ボックスのフィールド

    設定操作

    発信元ネットワーク

    オンにします。

    IP アドレス

    131.107.1.131 と入力します。

    サブネット マスク

    255.255.255.255 と入力します。

    プロトコル

    [UDP] をクリックします。

    発信元ポート

    1701 と入力します。

    宛先ポート

    1701 と入力します。

  19. [IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。

  20. [出力フィルタ] ダイアログ ボックスで、[下の条件に一致するパケットを除いたすべてのパケットを破棄する] をクリックして (図 6 を参照)、[OK] をクリックします。

  21. [DMZ のプロパティ] ダイアログ ボックスで、[OK] をクリックします。

  22. [ルーティングとリモート アクセス] スナップインを閉じます。

    route-03-07
    図 6: L2TP 出力フィルタの構成

関連するセットアップ手順

関連資料

注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。