最近、コロナ禍においてリモート環境の需要が増えております。
Arubaのリモートソリューションは3つのソリューションを提供しております。
VPNソリューションの詳細は
こちらを参照して下さい。
そのうち、RAPとVIAを併用して導入するケースも増えてきております。
簡単に違いを説明すると、RAPはAPがMobility ControllerとIPsec-VPN接続するので、
社外でもクライアントはIPsec-VPN接続せずに社内と同じポリシー適用する事が可能です。
一方でVIAはクライアント(デバイス)からMobility ControllerにIPsec-VPN接続を行いますので、
APがなくてもPublicスペースでインターネットがあれば、VPN接続可能となります。
RAPとVIAはIPsec-VPNのため、仮想IPアドレスを設定する必要があります。
ip local poolコマンドにて設定を行いますが、意図的にRoleにpoolアドレスをアサインしない場合は、
show vpdn l2tp configurationの最初に設定されたpoolアドレスがアサインされます。
(VIA-7030) [mynode] #
show vpdn l2tp configurationEnabled
Hello timeout: 60 seconds
DNS primary server: 8.8.8.8
DNS secondary server: 0.0.0.0
WINS primary server: 0.0.0.0
WINS secondary server: 0.0.0.0
PPP client authentication methods:
PAP
IP LOCAL POOLS:
via-pool:
192.168.5.17 - 192.168.5.22 <<< こちらのpoolアドレスrap: 172.16.0.10 - 172.16.0.20
※poolアドレスの順番を入れ替えたい場合は、対象poolアドレスを削除して再設定を行って下さい。
RAPとVIAをpoolアドレスを意図的に分けたい場合は、VIAのroleにpoolアドレスをアサインし、
RAPはuser-role default-vpn-roleにpoolアドレスをアサインして下さい。
user-role
default-vpn-rolepool l2tp rapaccess-list session global-sacl
access-list session apprf-default-vpn-role-sacl
access-list session ra-guard
access-list session allowall
access-list session v6-allowall
!
RAPのアドレスを管理上、スタティックにアドレスを割り振りたい場合は、whitelist-dbにてremote-ipをアサインして下さい。
poolアドレスが設定されていても、whitelist-dbが優先されます。
------------------------------
Tomonori Tanamachi
------------------------------