古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
 
設定例
3.IPsecのセンタ側で1台をホットスタンバイさせておく
概要
補足・注意点
設定データの例
項目 設定値
F1000#1 LAN 側 IP アドレス 192.168.1.251/24
F1000#2 LAN 側 IP アドレス 192.168.1.252/24
LAN 側代表 IP アドレス 192.168.1.254
F1000#1 WAN 側 IP アドレス 200.200.200.4/29
F1000#2 WAN 側 IP アドレス 200.200.200.5/29
WAN 側代表 IP アドレス 200.200.200.1
F100 LAN 側 IP アドレス 192.168.2.254/24
F100 WAN 側 IP アドレス 不定
  • VRRP 機能を使って、F1000 を 2 台でグループ化することにより、機器冗長の構成を取ることが可能となります。
  • ここでは F1000 で VRRP 機能を使う例としていますが、F80/F100 でも構築可能です。
  • VRRP 機能のサポートは、F80 は V01.00(00) 以降、F100 は V02.01(00) 以降、F1000 は V01.06/V02.00(00) 以降のファームウェアとなります。
  • F1000 を 2 台でグループ化して、代表アドレスを設定することで、LAN 側からも WAN 側からも、あたかも1台の装置のように見えます。
  • WAN 側をグループ化する場合、F1000 で PPPoE を終端することはできません。この例のように、PPPoE を終端するルータが別途必要になります。また、PPPoE では、IP8 のような複数アドレスの払い出しを受ける必要があります。
  • WAN 側をグループ化して、代表アドレスで IPsec 通信する場合、証明書を使った RSA signature 認証を利用することはできません。
  • VRID を LAN 側と WAN 側で同じに設定することにより、LAN 側と WAN 側の動作を同期させることができます。
  • VRRP は EWAN 1 〜 2 、LAN 1、VLAN 1 〜 16 のいずれのインターフェースでも動作可能です(F1000 の Ver1 系のファームウェアでは、VLAN は未サポートとなります)。
  • VRID の設定範囲は 1 〜 255 となりますが、1 台の装置で設定できる VRID は 2 つまでとなります(F100/F1000 については、V02.06(00) で拡張され、1 つのインターフェースで 2 つまで、装置全体で 32 までとなりました)。
    この例のように、同一の VRID を複数のインターフェースに適用することもできます。
  • メインの F1000#1 に装置故障が発生したり、WAN 側あるいは LAN 側のリンクが落ちた場合には、F1000#2 が F1000#1 に替わって通信を行います。

    *SAの情報を引き継ぐことはできません。
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
センター側F1000#1(マスター)の設定
!
!
! 特権ユーザモードに移行します。
!
Router> enable
Enter password: super ←パスワードを入力します(実際は何も表示されません)。

Router#
!
!
! 基本設定モードに移行します。
!
Router# configure terminal
Router(config)#
!
!
! VRRP 機能を有効にします。
!
Router(config)# ip vrrp enable
!
!
! LAN 1 インタフェースの設定を行います。*1
!
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 192.168.1.251 255.255.255.0
Router(config-if lan 1)# vrrp 1 address 192.168.1.254
!                        VRID を 1 として、代表 IP アドレスを設定します。
Router(config-if lan 1)# vrrp 1 priority 254
!                        バックアップ側より優先度を高く設定します。
!                        (数字が大きいほど優先度は高くなります)
Router(config-if lan 1)# exit
!
!
! EWAN 1 インターフェースの設定を行います。
!
Router(config)# interface ewan 1
Router(config-if ewan 1)# ip address 200.200.200.4 255.255.255.248
Router(config-if ewan 1)# vrrp 1 address 200.200.200.1
Router(config-if ewan 1)# vrrp 1 priority 254
!                         VRID を LAN 側と同じにして、動作を同期させます。
Router(config-if ewan 1)# crypto map kyoten
Router(config-if ewan 1)# exit
!
!
! デフォルトルートを設定します。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 200.200.200.6
!
!
! IPsec の各種設定をします。
!
Router(config)# vpn enable
Router(config)# vpnlog enable
!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption aes 128
Router(config-isakmp)# group 2
Router(config-isakmp)# hash sha
Router(config-isakmp)# keepalive always-send
Router(config-isakmp)# key ascii VPN
Router(config-isakmp)# negotiation-mode aggressive
Router(config-isakmp)# peer-identity host F100kyoten
Router(config-isakmp)# source-interface ewan 1 vrid 1
!                      代表アドレスを使って SA を確立するようにします。
Router(config-isakmp)# exit
!
Router(config)# ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac
!
Router(config)# ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Router(config)# ipsec access-list 64 bypass ip any any
!
Router(config)# crypto map kyoten 1
Router(config-crypto-map)# match address 1
Router(config-crypto-map)# set peer host F100kyoten
Router(config-crypto-map)# set transform-set P2-POLICY
Router(config-crypto-map)# exit
!
!
! 特権ユーザモードに戻ります。
!
Router(config)# end
!
!
! 設定を保存します。
!
Router# save SIDE-A.cfg
% saving working-config
% finished saving

Router#
!
!
! 設定を有効にするために再起動します。
!
Router# reset
Are you OK to cold start?(y/n) y
*1: 明示的に linkdown-detect on の設定をしなくても、ip vrrp enable の設定があるだけで、リンクダウンの検出をするようになります(F100/F1000 V02.06(00) で vrrp enable の設定があることに加えて、LAN または LAN のポートを使う VLAN インターフェースに VRRP の設定がある場合、という条件が加わりました。この場合、どちらかのインターフェースに VRRP の設定があれば、VRRP の設定がないインターフェースを含めてリンクダウンを検出するようになります)。
なお、そのインターフェースに属するポート全てがダウンしないと、リンクダウンを検出できませんので、VRRP を利用する場合、ポートは 1 つのみ使用するようにして下さい。
例えば、LAN のポート 1 と 2 を VLANIF 1 、ポート 3 と 4 を VLANIF 2 としている場合、ポート 1 と 2 の両方が down しないと VLANIF 1 は down しません(この時、ポート 3 と 4 の状態は VLANIF 1 には影響しません)。
ポート 1 〜 4 を LAN 1 インターフェースとして使っている場合の接続例は下記のようになります。



使用していないポートは下記のように shutdown しておくと、間違って機器を接続しても up することはなくなります。
line lan 1 ※F60/F200/F2000/F2200ではlanコマンドが変更になり [line lan]です。
 shutdown 2
 shutdown 3
 shutdown 4

コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
センター側F1000#2(バックアップ)の設定
!
!
! 特権ユーザモードに移行します。
!
Router> enable
Enter password: super ←パスワードを入力します(実際は何も表示されません)。

Router#
!
!
! 基本設定モードに移行します。
!
Router# configure terminal
Router(config)#
!
!
! VRRP 機能を有効にします。
!
Router(config)# ip vrrp enable
!
!
! LAN 1 インタフェースの設定を行います。
!
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 192.168.1.252 255.255.255.0
Router(config-if lan 1)# vrrp 1 address 192.168.1.254
Router(config-if lan 1)# vrrp 1 priority 222
!                        マスター側より優先度を低く設定します。
!                        (数字が大きいほど優先度は高くなります)
Router(config-if lan 1)# exit
!
!
! EWAN 1 インターフェースの設定を行います。
!
Router(config)# interface ewan 1
Router(config-if ewan 1)# ip address 200.200.200.5 255.255.255.248
Router(config-if ewan 1)# vrrp 1 address 200.200.200.1
Router(config-if ewan 1)# vrrp 1 priority 222
Router(config-if ewan 1)# crypto map kyoten
Router(config-if ewan 1)# exit
!
!
! デフォルトルートを設定します。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 200.200.200.6
!
!
! IPsec の各種設定をします。
!
Router(config)# vpn enable
Router(config)# vpnlog enable
!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption aes 128
Router(config-isakmp)# group 2
Router(config-isakmp)# hash sha
Router(config-isakmp)# keepalive always-send
Router(config-isakmp)# key ascii VPN
Router(config-isakmp)# negotiation-mode aggressive
Router(config-isakmp)# peer-identity host F100kyoten
Router(config-isakmp)# source-interface ewan 1 vrid 1
Router(config-isakmp)# exit
!
Router(config)# ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac
!
Router(config)# ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Router(config)# ipsec access-list 64 bypass ip any any
!
Router(config)# crypto map kyoten 1
Router(config-crypto-map)# match address 1
Router(config-crypto-map)# set peer host F100kyoten
Router(config-crypto-map)# set transform-set P2-POLICY
Router(config-crypto-map)# exit
!
!
! 特権ユーザモードに戻ります。
!
Router(config)# end
!
!
! 設定を保存します。
!
Router# save SIDE-A.cfg
% saving working-config
% finished saving

Router#
!
!
! 設定を有効にするために再起動します。
!
Router# reset
Are you OK to cold start?(y/n) y
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
拠点側F100の設定
!
!
! 特権ユーザモードに移行します。
!
Router> enable
Enter password: super ←パスワードを入力します(実際は何も表示されません)。

Router#
!
!
! 基本設定モードに移行します。
!
Router# configure terminal
Router(config)#
!
!
! LAN 1 インタフェースの設定を行います。
!
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 192.168.2.254 255.255.255.0
Router(config-if lan 1)# exit
!
!
! PPPoE の各種設定をします。
!
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# pppoe server A-Provider
Router(config-if pppoe 1)# pppoe account user-A@xxxx.ne.jp secret-A
Router(config-if pppoe 1)# pppoe type host
Router(config-if pppoe 1)# crypto map center
Router(config-if pppoe 1)# exit
!
!
! デフォルトルートを PPPoE 1 に向けます。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1
!
!
! IPsec の各種設定をします。
!
Router(config)# vpn enable
Router(config)# vpnlog enable
!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption aes 128
Router(config-isakmp)# group 2
Router(config-isakmp)# hash sha
Router(config-isakmp)# key ascii VPN
Router(config-isakmp)# my-identity F100kyoten
Router(config-isakmp)# negotiation-mode aggressive
Router(config-isakmp)# peer-identity address 200.200.200.1
!                      peer として、センター側の代表アドレスを指定します。
Router(config-isakmp)# exit
!
Router(config)# ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac
!
Router(config)# ipsec access-list 1 ipsec ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Router(config)# ipsec access-list 64 bypass ip any any
!
Router(config)# crypto map center 1
Router(config-crypto-map)# match address 1
Router(config-crypto-map)# set peer address 200.200.200.1
Router(config-crypto-map)# set transform-set P2-POLICY
Router(config-crypto-map)# exit
!
!
! 特権ユーザモードに戻ります。
!
Router(config)# end
!
!
! 設定を保存します。
!
Router# save SIDE-A.cfg
% saving working-config
% finished saving

Router#
!
!
! 設定を有効にするために再起動します。
!
Router# reset
Are you OK to cold start?(y/n) y
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は

参考

センター側の PPPoE 終端用ルータとして F100 を使った場合の設定

 

!
!
! 特権ユーザモードに移行します。
!
Router> enable
Enter password: super ←パスワードを入力します(実際は何も表示されません)。

Router#
!
!
! 基本設定モードに移行します。
!
Router# configure terminal
Router(config)#
!
!
! LAN 1 インタフェースの設定を行います。
!
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 200.200.200.6 255.255.255.248
!                        LAN 型で払い出されたアドレスのうち、1 つを
!                        F100 の LAN 側に割り当てます。
Router(config-if lan 1)# exit
!
!
! PPPoE の各種設定をします。
!
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# ip address 200.200.200.6
!                          LAN 型の払い出しの場合、LAN 1 と同じアドレスを
!                          PPPoE1 にも設定しておきます。
Router(config-if pppoe 1)# pppoe server C-Provider
Router(config-if pppoe 1)# pppoe account user-C@xxxx.ne.jp secret-C
Router(config-if pppoe 1)# pppoe type lan
!                          LAN 型の払い出しの場合、type lan とします。
Router(config-if pppoe 1)# exit
!
!
! デフォルトルートを PPPoE 1 に向けます。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1
!
!
! 特権ユーザモードに戻ります。
!
Router(config)# end
!
!
! 設定を保存します。
!
Router# save SIDE-A.cfg
% saving working-config
% finished saving

Router#
!
!
! 設定を有効にするために再起動します。
!
Router# reset
Are you OK to cold start?(y/n) y

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007