古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
 

FITELnet技術情報

マルチポイント SAについての機能概要
2013年06月14日 初版
2013年07月31日 マルチポイント SAに名称変更
2014年07月31日 マルチポイント SA BGP Remote-Next-Hop方式に対応
2014年12月01日 対応機器を追記
2016年01月29日 注意を追記

【注意】
障害修正によりファームウェア版数の組合せに制限が有りますので、修正前の版数と修正後の版数を混在させて使用しないようご注意をお願い致します。
修正前の版数では、MPSAクライアントは、サーバから通知されたPRF(Pseudo-random Function)ではなく、ESP認証アルゴリズムをPRFとして使用していました。

       修正前の版数    修正後の版数
F60   V01.10(00)以前  V01.10(00)以降
F200  V01.16(00)以前  V01.16(00)以降
F2200 V01.02(00)以前  V01.02(00)以降

1. マルチポイント SA機能概要

マルチポイント SAは、低遅延の拠点間の暗号通信を低コストで実現する機能です。

SA機能概要1
  • センタ負荷が小さく低遅延の拠点間の暗号通信を低コストで実現
  • 拠点の追加・削除時、既存拠点側の設定変更は一切不要
  • 各拠点間は各々のSAを生成することなく、単一のマルチポイント SAを用いてフルメッシュの通信が可能
  • 各拠点経路はGWからCPEにBGPで広告。各拠点WANアドレス変更時にも自動追従可能。
SA機能概要2

マルチポイント SAとは

SA機能概要3
  • メッシュ型とスター型の各特長を生かしたハイブリッド方式
    データプレーン:メッシュ型、 制御プレーン:スター型
  • データプレーンのみがメッシュ型のため、拠点間フルメッシュ通信を、スター型の運用・管理で容易に実現(簡易なCPEコンフィグ、簡易なセッション管理)
  • センタGW-拠点CPE間で確立したIKEv2上で、各拠点間共通のグループ鍵情報をGWからCPEに配布。データプレーンの暗号通信に全拠点共通のマルチポイント SAを使用し、従来の暗号通信の課題であるスケーラビリティを大幅に向上
  • センタGW-拠点CPE間でBGPセッションを確立。各拠点経路はGWからBGPで通知
  • 拠点追加・削除時はGWの設定変更のみで対応でき、CPEにおける設定変更は一切不要
  • 拠点通信が多くてもセンタ設備にトラフィックが集中することがなく、センタ設備(GW装置、センタ回線)の負荷を低減
  • F60はマルチポイントSAサーバ機能(センタ側機能)には対応しておりません。
  • 対象機種 サーバ機能 クライアント機能
    FITELnet F60 ×
    FITELnet F200
    FITELnet F2200
    SA機能概要4
  • 拠点間直接通信時のIPsecトンネル数比較 (下表参照)
    ※マルチポイントSA方式では各拠点CPEで保持するIPsecトンネル数は2つ
SA機能概要5

2. マルチポイントSA機能詳細

マルチポイントSAを構成する技術要素

IKEv2
センタ・拠点が互いを識別・認証し、セキュアな通信路を確立するための技術。IKEv2の制御情報を交換するためのセキュアな通信路であるIKE_SAと、BGPを含むセンタ・拠点間通信を行うためのセキュアな通信路であるCHILD_SAの2種類の通信路を使用する。

BGP
各拠点の経路情報を広告するための技術。拠点側ネットワークがNLRI、拠点間通信のエンドポイントアドレスがRemote-Next-Hop属性(※)として広告される。
センタールータは Route Reflector として動作する。

※F60 V01.08(00)、F200 V01.14(00)以前のファームウェアでは nexthopとして広告される。

マルチポイントSA
センターを経由しない拠点間通信を一つのSAで行うための技術。全拠点で同一のSA情報を共有し、同一の鍵で暗号化され、BGPで学習した経路情報にしたがってエンドポイントアドレスが決定される。
各拠点で使用するマルチポイントSA情報(暗号鍵、SPI値、ライフタイム等)はIKE_SAを通して、センタから拠点に配信される。

冗長機能(センタ側マルチポイントSA同期機能)
複数のセンタルータを配備し、故障やメンテナンス時にもマルチポイントSAによる拠点間通信を継続させるための技術。複数のセンタルータでマルチポイントSA情報の同期を行っている。

全体構成

センタ・拠点の関係とIKEv2・BGP・マルチポイントSAについて
マルチポイントSAでは、各拠点間での通信を行う複数の拠点と、その拠点を管理するセンタでシステムが構成されます。

拠点とセンタ間でIKEv2のSAを確立して、その後拠点間通信を行うために必要な情報(マルチポイントSA情報およびカプセル化経路情報)がセンタから拠点に対して配信されます。マルチポイントSA情報を配信するためにIKEv2を機能拡張し、カプセル化経路情報を配信するためにBGPを機能拡張しています。したがって、マルチポイントSAを使用するためにはIKEv2およびBGPを動作させる必要があります。

マルチポイントSAでは全拠点間通信で同じマルチポイントSA情報を用います。つまり、SPI値や暗号鍵は全ての拠点間通信で同じものが使用されます。また、通常のCHILD_SAと異なり、送信にも受信にも同じSPI値や暗号鍵が使用されます。

全体構成

ネゴシエーション概要

マルチポイントSAで通信可能となるまでのネゴシエーションの概略は下記の通りとなります。

まず、通常のIKEv2のネゴを行ってIKE_SA、CHILD_SAを確立します。その後、IKE_SAのInformationalでマルチポイントSA情報を配信し、CHILD_SA上でBGPセッションを確立してカプセル化経路情報の配信を行います。ここまで完了することで必要な情報がそろい、マルチポイントSAでの通信が可能となります。以降、詳細を記載します。

ネゴシエーション概要

IKEv2 SA確立とマルチポイントSA情報配信

まず、拠点はセンタとの間でIKEv2のSAを確立します。このIKEv2ネゴシエーション中の認証で、センタはマルチポイントSAに参加することが許可されている拠点であることを確認します。

また、確立したSAを用いてマルチポイントSA情報がセンタから拠点へ配信されます。このマルチポイントSA情報には、マルチポイントSAのSPI値、有効時間、暗号・認証鍵の元となる情報が含まれます。各拠点はこのマルチポイントSA情報を使用してマルチポイントSAの暗号化等のESP処理を行います。また、このマルチポイントSA情報はマルチポイントSA用仮想IF(インタフェース)と関連付けられ、この仮想IFから送信されるパケットがマルチポイントSA処理の対象となります。

IKEv2 SA確立とマルチポイントSA情報配信

BGPによるカプセル化経路情報の配信

IKEv2のSA確立後、拠点・センタはこのSA上でBGPセッションを確立します。

このBGPセッションにてカプセル化経路情報が全拠点に配信されます。カプセル化経路情報には、拠点配下のサブネットを宛先(NLRI)とし、マルチポイントSAのエンドポイントアドレスをネクストホップとした情報が含まれます。

draft-vandevelde-idr-remote-next-hop-07方式(※)でマルチポイントSAエンドポイントアドレスを通知しています。
※F60 V01.08(00)、F200 V01.14(00)以前のファームウェアではRFC5566方式

センタはRoute Reflectorとして動作を行います。各拠点はBGPにて自拠点配下の経路情報をセンタに通知すると、センタはそのカプセル化経路情報を他の全拠点に配信します。各拠点はこのカプセル化経路情報によりある宛先に対してどの拠点へ送信すべきであるかがわかるようになります。また、このカプセル化経路を拠点が自身の経路表に登録する際、マルチポイントSA処理すべきであることがわかるように送信インタフェースをマルチポイントSA用IFとして登録を行います。

BGPによるカプセル化経路情報の配信

マルチポイントSAによる拠点間通信

拠点間の通信はマルチポイントSAを用いて行われます。
ある拠点が他の拠点へマルチポイントSAを用いて送信する場合、パケットの宛先アドレスに対応するエントリを経路表から検索し、送信IFがマルチポイントSA用仮想IFであれば、マルチポイントSA情報を用いてESPカプセル化を行い、そのネクストホップを宛先として送信します。

例えば、下図の拠点Aがネットワークaからネットワークb宛のパケットを送信する場合、まず経路表を検索し、送信インタフェースがマルチポイントSA用仮想IFであることから、その仮想IFに関連付けられたマルチポイントSA情報を用いてESPカプセル化が行われ、ネクストホップの拠点Bのアドレスを宛先として送信します。

逆にマルチポイントSAから受信した場合には、そのSPI値から対応するマルチポイントSA情報を用いて復号が行われます。例えば、上記のESPパケットを拠点Bが受信した場合、SPI情報から得られるマルチポイントSA情報で復号して元の平文パケットを取り出し、その後は通常のパケット受信処理と同様に経路検索を行って、その結果に従って送信処理を行います。

マルチポイントSAによる拠点間通信

マルチポイントSA関連のIKEv2設定項目(拠点)

 ■マルチポイントSA情報に関する拠点のIKEv2の設定
 ・group-security client spi mask hex AND-MASK OR-MASK(crypto ikev2 policyモード)
  マルチポイントSAの拠点であることを宣言します。spi mask hex AND-MASK OR-MASKでマルチポイントSAで使用されるSPI値の範囲を指定します。センタと同じ値に設定してください。通常のIKEv2のCHILD_SAのSPI値はこの範囲以外の値が選ばれるようになり、マルチポイントSAとCHILD_SAのSPI値が同じになってしまうことを防ぐことができます。万が一同じ値になってしまった場合には、ESP受信時にマルチポイントSAとCHILD_SAが混同されて復号できなくなる可能性があります。
  例えば、AND-MASK OR-MASKを00ffffff 01000000にした場合、マルチポイントSAで使用されるSPI値は01XXXXXX(Xは乱数)となり、それ以外が通常のCHILD_SAのSPI値として使用されます。

 ・crypto group-security map MAPNAME (interface ipsecifモード)
  指定されたipsecifがマルチポイントSA仮想IFであることを宣言します。指定したcrypto mapで受信したマルチポイントSA情報がこのipsecifに登録され、このipsecifで送信されるパケットは登録されたマルチポイントSA情報に基づいてESPカプセル化されて送信されます。

 ■マルチポイントSA情報に関する拠点のBGPの設定
 ・neighbor <BGP ピアのアドレス> encap default interface <インタフェース名>(router bgpモード)
  他拠点のカプセル化経路情報を経路表に登録する際に、送信インタフェースとするインタフェースを指定します。上記のcrypto group-security mapが設定されているipsecifインタフェースを指定してください。

 ・neighbor <BGP ピアのアドレス> encap type ipsec-tunnel (router bgpモード)
  自身のカプセル化経路情報のトンネルタイプをipsec-tunnelとして通知します。

 ・neighbor <BGP ピアのアドレス> encap endpoint
 ・neighbor <BGP ピアのアドレス> encap endpoint {<トンネルエンドポイントアドレス>|{ipv4|ipv6} interface <インタフェース名>}} (router bgpモード)
  自身のカプセル化経路情報を広告する際の、トンネルのエンドポイントとなるネクストホップを指定します。指定したアドレス、あるいは指定したインタフェースについているアドレスがカプセル化経路情報のネクストホップとして広告されます。

設定イメージ(拠点)

crypto ikev2 policy 1
 key ascii SecretKey
 match identity host IPsecGW1.example.jp
 self-identity userfqdn kyoten-a@example.jp
 set peer fitelnet1234.aoi.flets-east.jp v6
 group-security client spi mask hex 00ffffff 01000000
! このピアからのマルチポイントSAを受信します。また、マルチポイントSAのSPIの範囲を指定します。
exit
crypto map CENTER-A 1
 match address 1
 set ikev2-policy 1
exit
interface ipsecif 1
 crypto map CENTER-A
exit
interface ipsecif 2
 crypto group-security map CENTER-A
! crypto map CENTER-Aのピア(set ikev2-policy 1よりcrypto ikev2 policy 1のピア)から受信したマルチポイントSAをこのipsecif 2に適用します。
exit
interface loopback 1
 ip address 172.16.0.101
exit

router bgp 65000
 bgp router-id 172.16.0.101
 neighbor 172.16.0.1 encap default interface ipsecif 2 *1
! 学習したカプセル化経路を経路表に登録する際の送信IFをipsecif 2にします。
 neighbor 172.16.0.1 encap type ipsec-tunnel *1
! 自身のカプセル化経路情報のトンネルタイプをipsec-tunnelとして通知します。
 neighbor 172.16.0.1 encap endpoint ipv6 interface ewan 1
! ewan 1のIPv6アドレスをnexthop(トンネルのエンドポイント)として広告します。
 neighbor 172.16.0.1 remote-as 65000
 neighbor 172.16.0.1 update-source loopback 1
 redistribute connected
! connected経路をカプセル化経路情報として再配布します。
exit

*1 F60 V01.09(00)、F200 V01.15(00)以降のファームウェアでサポート

マルチポイントSA関連設定項目(センタ)

 ■マルチポイントSA情報に関するセンタのIKEv2の設定
 ・crypto ipsec group-security policy NUM (基本設定モード)
  マルチポイントSAサーバを設定するためのcrypto ipsec group-security policy モードに移ります。

 ・spi mask hex AND-MASK OR-MASK (crypto ipsec group-security policyモード)
  マルチポイントSAで使用するSPI値に適用するマスクを設定します。拠点のgroup-security client spi mask hexと同じ値を設定してください。

 ・lifetime SEC-TO-REKEY SEC-TO-DELETE (crypto ipsec group-security policyモード)
  マルチポイントSAのリキーを開始するまでの秒数をSEC-TO-REKEYで指定し、SEC-TO-REKEY後にマルチポイントSAが無効化されるまでの秒数をSEC-TO-DELETEで指定します。SEC-TO-REKEYとSEC-TO-DELETEを足した時間がマルチポイントSAのライフタイムとしてクライアントに通知されます。

 ・rollover SEC-TO-ACT-OUT SEC-TO-DEACT-OLDIN (crypto ipsec group-security policyモード)
  マルチポイントSAのリキー後、すぐにすぐにマルチポイントSAのInbound SAが登録されます。その後でOutbound SAが登録されるまでの時間(SEC-TO-ACT-OUT)とさらにその後で古いInbound SAが削除されるまでの時間(SEC-TO-ACT-OLDIN)を設定します。

 ・set transform-set TRANSFORM (crypto ipsec group-security policyモード)
  マルチポイントSAの暗号・認証アルゴリズムを指定します。TRANSFORMは通常のIKEv2のCHILD_SAでの指定と同様にipsec transform-setで指定されたものとなります。

 ・set transform-keysize KEYSIZE (crypto ipsec group-security policyモード)
  マルチポイントSAの暗号アルゴリズムで使用する鍵長を指定します。KEYSIZEは通常のIKEv2のCHILD_SAでの指定と同様にipsec transform-keysizeで指定されたものとなります。

 ・group-security server NUM(crypto ikev2 policyモード)
  crypto ipsec group-security policy NUMのマルチポイントSAをピアに通知します。

 ■マルチポイントSA情報に関するセンタのBGPの設定
 ・neighbor <BGPピアのアドレス> route-reflector-client (router bgpモード)
  ルートリフレクタとして動作させます。<BGPピアのアドレス>はルートリフレクタクライアントとなります。

 ・neighbor <BGPピアのアドレス> encap default interface <インタフェース名>(router bgpモード)
  拠点のカプセル化経路情報を経路表に登録する際に、送信インタフェースとするインタフェースを指定します。拠点と通信するためのipsecifインタフェースを指定してください。

設定イメージ(センタ)

crypto ikev2 policy 1
 key ascii SecretKey
 match identity user kyoten-a@example.jp
 self-identity fqdn IPsecGW1.example.jp
 group-security server 1
! crypto ipsec group-security policy 1のマルチポイントSAをピアに通知します。
exit
crypto ikev2 policy 2
 key ascii SecretKey
 match identity user kyoten-b@example.jp
 self-identity fqdn IPsecGW1.example.jp
 group-security server 1
! crypto ipsec group-security policy 1のマルチポイントSAをピアに通知します。crypto ikev2 policy 1と2で同じgroup-security serverを指定することで、1と2のピアで同じマルチポイントSAを使用することになり、センタを介さず直接通信できるようになります。
exit
crypto map KYOTEN-A 1
 match address 1
 set ikev2-policy 1
exit
crypto map KYOTEN-B 2
 match address 2
 set ikev2-policy 2
exit
ipsec transform-set GROUP-TRANS ikev2 esp-aes esp-sha-hmac
ipsec transform-keysize AES256 esp-aes-cbc 256 256 256
crypto ipsec group-security policy 1
crypto ipsec group-security policy モードに移ります
 set transform-keysize AES256
! AES256で指定した鍵長(256ビット)をマルチポイントSAの暗号で使用します。
 set transform-set GROUP-TRANS
! GROUP-TRANSで指定したアルゴリズムをマルチポイントSAの暗号で使用します。
 rollover 30 30
! マルチポイントSAのリキー受信30秒後にOutboundSAが登録され、さらにその30秒後に古いInboundSAが削除されるよう、拠点に通知します。
 spi mask hex 00ffffff 01000000
! マルチポイントSAのSPIの範囲を指定します(拠点での同じ範囲を指定します)。
exit
interface ipsecif 1
 crypto map KYOTEN-A
exit
interface ipsecif 2
 crypto map KYOTEN-B
exit
interface loopback 1
 ip address 172.16.0.1
exit

router bgp 65000
 bgp router-id 172.16.0.1
 bgp log-neighbor-changes
 neighbor 172.16.0.101 description KYOTEN-A
 neighbor 172.16.0.101 encap default interface ipsecif 1 *1
! カプセル化経路情報を経路表に登録する際に、送信IFをipsecif 1とします。
 neighbor 172.16.0.101 route-reflector-client *2
! 172.16.0.101をルートリフレクタクライアントとします。
 neighbor 172.16.0.101 remote-as 65000
 neighbor 172.16.0.101 update-source loopback 1
 neighbor 172.16.0.101 passive
 neighbor 172.16.0.102 description KYOTEN-B
 neighbor 172.16.0.102 encap default interface ipsecif 2 *1
 neighbor 172.16.0.102 route-reflector-client *2
 neighbor 172.16.0.102 remote-as 65000
 neighbor 172.16.0.102 update-source loopback 1
 neighbor 172.16.0.102 passive
 redistribute connected
exit

*1 F60 V01.09(00)、F200 V01.15(00)以降のファームウェアでサポート
*2 F200 V01.15(00)以降のファームウェアでサポート(F60は未サポート)

センタの冗長構成

マルチポイントSAではセンタを冗長構成にすることで、センタが故障した場合でも拠点間通信は影響を受けず運用することが可能となります。

冗長構成は複数のセンタ間でマルチポイントSA情報を同期を行うようにしています。そのため、センタには他のセンタに関する設定が必要となります。また、拠点はあるセンタと通信できなくなった場合でも他のセンタとの間で通信し続けるために、全センタとの間でIKEv2のSAを確立する必要があります。
カプセル化経路情報については、拠点から全センタに対して通知されるようにします。このため、BGPに関してはセンタ間での同期は行いません。

センタの冗長構成

マルチポイントSA冗長構成の設定項目(センタ)

 ・ipsec group-security server ha local-address LOCAL-ADDR remote-address REMOTE-ADDR
  マルチポイントSA情報同期通信路の自身のアドレス(LOCAL-ADDR)と他のセンタのアドレス(REMOTE-ADDR)を指定します。

 ・ipsec group-security server priority PRIORITY
  冗長する際の自身の優先度を指定します。動作しているセンタの中で一番優先度の高いがマスタとして動作し、それ以外のセンタはバックアップとして動作します。マルチポイントSA情報はマスタで生成され、同期通信路を通して他のバックアップと同期を行います。

設定イメージ(センタA)

!Center-Main
ipsec group-security server ha local-address 10.0.0.1 remote-address 10.0.0.2
! 10.0.0.2のセンタと冗長構成を組みます。自局アドレスは10.0.0.1を使用します。
ipsec group-security server priority 200
! 冗長の優先度を200とします。優先度の高いこちらがメインで、正常動作時はこちらがアクティブとなってマルチポイントSAの生成等を行います。

crypto ikev2 policy 1
 key ascii SecretKey
 match identity user kyoten-a@example.jp
 self-identity fqdn IPsecGW1.example.jp
group-security server 1
exit
crypto ikev2 policy 2
 key ascii SecretKey
 match identity user kyoten-b@example.jp
 self-identity fqdn IPsecGW1.example.jp
 group-security server 1
exit
crypto map KYOTEN-A 1
 match address 1
 set ikev2-policy 1
exit
crypto map KYOTEN-B 2
 match address 2
 set ikev2-policy 2
exit
ipsec transform-set GROUP-TRANS ikev2 esp-aes esp-sha-hmac
ipsec transform-keysize AES256 esp-aes-cbc 256 256 256
crypto ipsec group-security policy 1
 set transform-keysize AES256
 set transform-set GROUP-TRANS
 rollover 30 30
 spi mask hex 00ffffff 01000000
exit
interface ipsecif 1
 crypto map KYOTEN-A
exit
interface ipsecif 2
 crypto map KYOTEN-B
exit
interface loopback 1
 ip address 172.16.0.1
exit

router bgp 65000
 bgp router-id 172.16.0.1
 bgp log-neighbor-changes
 neighbor 172.16.0.101 description KYOTEN-A
 neighbor 172.16.0.101 encap default interface ipsecif 1 *1
 neighbor 172.16.0.101 route-reflector-client *2
 neighbor 172.16.0.101 remote-as 65000
 neighbor 172.16.0.101 update-source loopback 1
 neighbor 172.16.0.101 passive
 neighbor 172.16.0.102 description KYOTEN-B
 neighbor 172.16.0.102 encap default interface ipsecif 2 *1
 neighbor 172.16.0.102 route-reflector-client *2
 neighbor 172.16.0.102 remote-as 65000
 neighbor 172.16.0.102 update-source loopback 1
 neighbor 172.16.0.102 passive
 redistribute connected
exit

設定イメージ(センタB)

!Center-Backup
ipsec group-security server ha local-address 10.0.0.2 remote-address 10.0.0.1
! 10.0.0.1のセンタと冗長構成を組みます。自局アドレスは10.0.0.2を使用します。
ipsec group-security server priority 100
! 冗長の優先度を100とします。優先度の低いこちらがバックアップで、正常動作時にはスタンバイ状態であり、メインに異常が発生するとこちらがアクティブとなります。

crypto ikev2 policy 1
 key ascii SecretKey
 match identity user kyoten-a@example.jp
 self-identity fqdn IPsecGW2.example.jp
 group-security server 1
exit
crypto ikev2 policy 2
 key ascii SecretKey
 match identity user kyoten-b@example.jp
 self-identity fqdn IPsecGW2.example.jp
 group-security server 1
exit
crypto map KYOTEN-A 1
 match address 1
 set ikev2-policy 1
exit
crypto map KYOTEN-B 2
 match address 2
 set ikev2-policy 2
exit
ipsec transform-set GROUP-TRANS ikev2 esp-aes esp-sha-hmac
ipsec transform-keysize AES256 esp-aes-cbc 256 256 256
crypto ipsec group-security policy 1
 set transform-keysize AES256
 set transform-set GROUP-TRANS
 rollover 30 30
 spi mask hex 00ffffff 01000000
exit
interface ipsecif 1
 crypto map KYOTEN-A
exit
interface ipsecif 2
 crypto map KYOTEN-B
exit
interface loopback 1
 ip address 172.16.0.2
exit

router bgp 65000
 bgp router-id 172.16.0.2
 bgp log-neighbor-changes
 neighbor 172.16.0.101 description KYOTEN-A
 neighbor 172.16.0.101 encap default interface ipsecif 1 *1
 neighbor 172.16.0.101 route-reflector-client *2
 neighbor 172.16.0.101 remote-as 65000
 neighbor 172.16.0.101 update-source loopback 1
 neighbor 172.16.0.101 passive
 neighbor 172.16.0.102 description KYOTEN-B
 neighbor 172.16.0.102 encap default interface ipsecif 2 *1
 neighbor 172.16.0.102 route-reflector-client *2
 neighbor 172.16.0.102 remote-as 65000
 neighbor 172.16.0.102 update-source loopback 1
 neighbor 172.16.0.102 passive
 redistribute connected
exit

設定イメージ(拠点A)

crypto ikev2 policy 1
 key ascii SecretKey
 match identity host IPsecGW1.example.jp
 self-identity userfqdn kyoten-a@example.jp
 set peer fitelnet1234-1.aoi.flets-east.jp v6
 group-security client spi mask hex 00ffffff 01000000
exit
crypto ikev2 policy 2
 key ascii SecretKey
 match identity host IPsecGW2.example.jp
 self-identity userfqdn kyoten-a@example.jp
 set peer fitelnet1234-2.aoi.flets-east.jp v6
 group-security client spi mask hex 00ffffff 01000000
exit
crypto map CENTER-A 1
 match address 1
 set ikev2-policy 1
exit
crypto map CENTER-B 2
 match address 2
 set ikev2-policy 2
exit
interface ipsecif 1
 crypto map CENTER-A
exit
interface ipsecif 2
 crypto map CENTER-B
exit
interface ipsecif 3
 crypto group-security map CENTER-A
 crypto group-security map CENTER-B
! 冗長する2つセンタのcrypto mapを指定します。
exit
interface loopback 1
 ip address 172.16.0.101
exit

router bgp 65000
 bgp router-id 172.16.0.101
 neighbor 172.16.0.1 encap default interface ipsecif 3 *1
 neighbor 172.16.0.1 encap type ipsec-tunnel *1
 neighbor 172.16.0.1 encap endpoint ipv6 interface ewan 1
 neighbor 172.16.0.1 remote-as 65000
 neighbor 172.16.0.1 update-source loopback 1
 neighbor 172.16.0.2 encap default interface ipsecif 3 *1
 neighbor 172.16.0.2 encap type ipsec-tunnel *1
 neighbor 172.16.0.2 encap endpoint ipv6 interface ewan 1
 neighbor 172.16.0.2 remote-as 65000
 neighbor 172.16.0.2 update-source loopback 1
 redistribute connected
exit

設定イメージ(拠点B)

crypto ikev2 policy 1
 key ascii SecretKey
 match identity host IPsecGW1.example.jp
 self-identity userfqdn kyoten-b@example.jp
 set peer fitelnet1234-1.aoi.flets-east.jp v6
 group-security client spi mask hex 00ffffff 01000000
exit
crypto ikev2 policy 2
 key ascii SecretKey
 match identity host IPsecGW2.example.jp
 self-identity userfqdn kyoten-b@example.jp
 set peer fitelnet1234-2.aoi.flets-east.jp v6
 group-security client spi mask hex 00ffffff 01000000
exit
crypto map CENTER-A 1
 match address 1
 set ikev2-policy 1
exit
crypto map CENTER-B 2
 match address 2
 set ikev2-policy 2
exit
interface ipsecif 1
 crypto map CENTER-A
exit
interface ipsecif 2
 crypto map CENTER-B
exit
interface ipsecif 3
 crypto group-security map CENTER-A
 crypto group-security map CENTER-B
! 冗長する2つセンタのcrypto mapを指定します。
exit
interface loopback 1
 ip address 172.16.0.102
exit

router bgp 65000
 bgp router-id 172.16.0.102
 neighbor 172.16.0.1 encap default interface ipsecif 3 *1
 neighbor 172.16.0.1 encap type ipsec-tunnel *1
 neighbor 172.16.0.1 encap endpoint ipv6 interface ewan 1
 neighbor 172.16.0.1 remote-as 65000
 neighbor 172.16.0.1 update-source loopback 1
 neighbor 172.16.0.2 encap default interface ipsecif 3 *1
 neighbor 172.16.0.2 encap type ipsec-tunnel *1
 neighbor 172.16.0.2 encap endpoint ipv6 interface ewan 1
 neighbor 172.16.0.2 remote-as 65000
 neighbor 172.16.0.2 update-source loopback 1
 redistribute connected
exit

*1 F60 V01.09(00)、F200 V01.15(00)以降のファームウェアでサポート
*2 F200 V01.15(00)以降のファームウェアでサポート(F60は未サポート)

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2013