日本語フォーラム

 View Only

[VPN]ip local pool addressについて

This thread has been viewed 17 times
  • 1.  [VPN]ip local pool addressについて

    Posted Aug 16, 2021 09:56 PM
    Edited by t.tanamahi Aug 24, 2021 07:28 PM
    最近、コロナ禍においてリモート環境の需要が増えております。
    Arubaのリモートソリューションは3つのソリューションを提供しております。
    VPN

    VPNソリューションの詳細はこちらを参照して下さい。

    そのうち、RAPとVIAを併用して導入するケースも増えてきております。
    簡単に違いを説明すると、RAPはAPがMobility ControllerとIPsec-VPN接続するので、
    社外でもクライアントはIPsec-VPN接続せずに社内と同じポリシー適用する事が可能です。
    一方でVIAはクライアント(デバイス)からMobility ControllerにIPsec-VPN接続を行いますので、
    APがなくてもPublicスペースでインターネットがあれば、VPN接続可能となります。

    RAPとVIAはIPsec-VPNのため、仮想IPアドレスを設定する必要があります。
    ip local poolコマンドにて設定を行いますが、意図的にRoleにpoolアドレスをアサインしない場合は、
    show vpdn l2tp configurationの最初に設定されたpoolアドレスがアサインされます。


    (VIA-7030) [mynode] #show vpdn l2tp configuration

    Enabled
    Hello timeout: 60 seconds
    DNS primary server: 8.8.8.8
    DNS secondary server: 0.0.0.0
    WINS primary server: 0.0.0.0
    WINS secondary server: 0.0.0.0
    PPP client authentication methods:
    PAP
    IP LOCAL POOLS:
    via-pool: 192.168.5.17 - 192.168.5.22   <<< こちらのpoolアドレス
    rap: 172.16.0.10 - 172.16.0.20

    ※poolアドレスの順番を入れ替えたい場合は、対象poolアドレスを削除して再設定を行って下さい。

    RAPとVIAをpoolアドレスを意図的に分けたい場合は、VIAのroleにpoolアドレスをアサインし、
    RAPはuser-role default-vpn-roleにpoolアドレスをアサインして下さい。

    user-role default-vpn-role
    pool l2tp rap
    access-list session global-sacl
    access-list session apprf-default-vpn-role-sacl
    access-list session ra-guard
    access-list session allowall
    access-list session v6-allowall
    !

    RAPのアドレスを管理上、スタティックにアドレスを割り振りたい場合は、whitelist-dbにてremote-ipをアサインして下さい。
    poolアドレスが設定されていても、whitelist-dbが優先されます。


    ------------------------------
    Tomonori Tanamachi
    ------------------------------