FITELnet-F100/設定例/F100単体で冗長、メイン、バックアップ回線共に暗号化

ネットワーク機器トップ　>　製品ラインナップ　>　FITELnet-Fシリーズ　>　FITELnet-F100・1000　>　設定例　>　冗長設定(5)

1．F100単体で冗長、メイン、バックアップ回線共に暗号化 　

※F100をF1000に置き換えても運用できます

・A拠点側F100は単体で回線冗長を行い、PPPoE(IPアドレス不定)を2セッション使用します。
　なお、PPPoEの1～4は物理ポートEWAN1、PPPoE5のみ物理ポートEWAN2を使用します。
　また、PPPoE1と4を使用した設定も可能です。(物理ポートEWAN1を共有)

・A拠点側F100はメイン経路のみ経路監視を行います。
　(経路監視にはICMP(Ping)のKeepaliveを使用)

・メイン経路、バックアップ経路の切り替えはA拠点側F100が自動的に行い、メイン経路復旧後の
　切り戻しもA拠点側F100が自動的に行います。
　※Keepaliveによりメイン経路の障害時にそのSAを消去します。バックアップ経路は設定の関連
　　付けがされているPPPoE5が自動的にnexthopに設定されます。

・IPsecはアグレッシブモードのためB拠点側契機のVPNは張れません。そのため、A拠点側での
　IPsec設定にてSAの常時維持を行います。

・B拠点側2台のF100の経路制御用に別途L3スイッチ等を使用します。
　F1000を２台利用する場合は、VRRP機能を使うことにより、L3SW不要の構成とすることができます。
　設定例はこちら。

・B拠点側のF100-CはSAの確立を契機として到達可能となった経路情報をLAN側に広告(sa-upルート
　機能とRIP)します。
　B拠点側の経路制御はL3SWがメトリック値をもとに判断します。

・回線障害時の切り替えには平均で30秒ほどかかります。
　(Keepaliveの送信間隔が初期値で60秒に設定されているためです)
　(Keepaliveに関する設定は「alive」コマンドを参照)

※この設定例での2つのSA(経路)はActive-Standbyです
　（常時2つのSAをActive-Activeで使用する設定例はこちら）

＜プロバイダより割り振られたアドレス（アドレスは一例です）＞

A拠点側F100 PPPoE1	指定なし
A拠点側F100 PPPoE5	指定なし
B拠点側F100-B	200.200.200.200
B拠点側F100-C	100.100.100.100

＜設定条件＞

設定環境は図のとおり

IPsecの対象とする中継パケット	any ⇔ 192.168.1.0/24 ※B拠点側L3SWの背後の別セグメントからもVPN可能
A拠点側 F100(LAN側)	192.168.1.1
B拠点側（メイン） F100(LAN側)	192.168.0.1
B拠点側（バックアップ） F100(LAN側)	192.168.0.2
IPsec Phase1ポリシー	モード･･･ Aggressiveモード認証方式･･･事前共有鍵方式暗号化方式･･･ 3DES ハッシュ方式･･･ MD5
IPsec Phase2ポリシー	暗号化方式･･･ 3DES ハッシュ方式･･･ MD5 IPsec SA確立契機･･･常にSAを確立する　　　　　　　　　　（A拠点側メイン経路のみ設定）
L3SWの設定	・rip(Ver2)を受信・192.168.1.0/24へのスタティックルートをF100-Bに設定スタティックの優先度は、ripよりも低くして下さい。

＜コマンドによる設定＞（!の行はコメントです。実際に入力する必要はありません）

A拠点 FITELnet-F100-Aの設定

この設定を適用したい方は

!
Router> enable
Enter password: super ←パスワードを入力します。（実際は表示されない）

Router#
Router# configure terminal
Router(config)#
!
!
! LAN側IPアドレスを設定します。
!
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 192.168.1.1 255.255.255.0
Router(config-if lan 1)# exit
!
!
! PPPoE1インタフェース設定モードに移行します。
!
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# pppoe server A-Provider
Router(config-if pppoe 1)# pppoe account user@xxxx.ne.jp secret
Router(config-if pppoe 1)# pppoe type host
Router(config-if pppoe 1)# crypto map MAIN
Router(config-if pppoe 1)# exit
!
!
! PPPoE5インタフェース（バックアップ用）設定モードに移行します。
!
Router(config)# interface pppoe 5
Router(config-if pppoe 5)# pppoe server B-Provider
Router(config-if pppoe 5)# pppoe account user@xxxx.ne.jp secret
Router(config-if pppoe 5)# pppoe type host
Router(config-if pppoe 5)# crypto map BACKUP
Router(config-if pppoe 5)# exit
!
!
! デフォルトルートをPPPoE１に設定します。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1
!               メイン側で通信する場合の、センターのメイン側のpeerへのルートと、IPsec通信対象ネット
!               ワークへのルートとなります。バックアップ時には、PPPoE5側に向けたセンターのバック
!               アップ側のpeerへのルートと、IPsec通信対象ネットワークへのルートが自動的に登録されます。
!
!
! 暗号化を使用する設定します。
!
Router(config)# vpn enable
Router(config)# vpnlog enable
!
Router(config)# ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 any
!               B拠点側LANのネットワークアドレスを任意
!                 →L3SWの内側のネットワークを問わない
Router(config)# ipsec access-list 64 bypass ip any any
Router(config)# ipsec transform-set P2-3DES-MD5 esp-3des esp-md5-hmac
!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption 3des
Router(config-isakmp)# hash md5
Router(config-isakmp)# keepalive icmp
!                      メイン側に関しては always-send オプションを付けなくても、always-send 相当の
!                      動きになります（always-send オプションを付けても問題ありません）。
Router(config-isakmp)# keepalive-icmp peer-address 192.168.0.1
Router(config-isakmp)# keepalive-icmp source-interface lan 1
Router(config-isakmp)# keepalive-icmp redundancy interface pppoe 1 *1
!                                        IPsec冗長機能使用時にICMPのkeepaliveにて監視
Router(config-isakmp)# key ascii mucho
Router(config-isakmp)# my-identity F100MAIN
Router(config-isakmp)# negotiation-mode aggressive
Router(config-isakmp)# peer-identity address 200.200.200.200
Router(config-isakmp)# exit
!
Router(config)# crypto isakmp policy 2
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption 3des
Router(config-isakmp)# hash md5
Router(config-isakmp)# key ascii mucho
Router(config-isakmp)# my-identity F100BACKUP
Router(config-isakmp)# negotiation-mode aggressive
Router(config-isakmp)# peer-identity address 100.100.100.100
Router(config-isakmp)# exit
!
Router(config)#crypto map MAIN 1
Router(config-crypto-map)# match address 1 1st
!                                             IPsec冗長機能のメインSAを指定
Router(config-crypto-map)# set peer address 200.200.200.200
Router(config-crypto-map)# set security-association always-up
Router(config-crypto-map)# set transform-set P2-3DES-MD5
Router(config-crypto-map)# exit
!
Router(config)#crypto map BACKUP 2 *2
Router(config-crypto-map)# match address 1 2nd
!                                             IPsec冗長機能のバックアップSAを指定
Router(config-crypto-map)# set peer address 100.100.100.100
Router(config-crypto-map)# set security-association always-up *3
Router(config-crypto-map)# set transform-set P2-3DES-MD5
Router(config-crypto-map)# set redundancy delete-message-send
!                                           メインSAの復帰時にバックアップSAを削除
Router(config-crypto-map)# exit
!
Router(config)# end
Router# save SIDE-A.cfg
% saving working-config
% finished saving

*1：メイン側が pppoe 1 ではなく、ewan 1 でアドレスをマニュアル設定して
　　いる場合は、次のように設定します。

　keepalive-icmp redundancy interface ewan 1
　keepalive-icmp redundancy address <メイン側の nexthop のアドレス>

*2：バックアップ側が pppoe 5 ではなく、ewan 2 でアドレスをマニュアル設定して
　　いる場合は、バックアップ側の crypto map に次の設定も必要になります。

　set redundancy address <バックアップ側の nexthop のアドレス>

*3：FITELnet-F100の場合、V01.07以降のファームウェアで設定できます。
　　FITELnet-F1000は、最初のファームウェアV01.00から設定できます。
　　この設定により、バックアップ通信に切り替わった場合でも、常にSAを
　　確立した状態を維持できるようになり、センター契機の通信にも対応できます。

B拠点 FITELnet-F100-Bの設定

!
ip route 0.0.0.0 0.0.0.0 pppoe 1
!
access-list 1 permit 192.168.0.0 0.0.0.255
!
vpn enable
vpnlog enable
!
ipsec access-list 1 ipsec ip any 192.168.1.0 0.0.0.255
ipsec access-list 64 bypass ip any any
ipsec transform-set P2-3DES-MD5 esp-3des esp-md5-hmac
!
interface lan 1
 ip address 192.168.0.1 255.255.255.0
exit
!
interface pppoe 1
 crypto map MAIN
 ip address 200.200.200.200
 ip nat inside source list 1 interface
 pppoe server A-Provider
 pppoe account e1111111@xxx.ne.jp abcd123 
 pppoe type host
exit
!
crypto isakmp policy 1
 authentication prekey
 encryption 3des
 hash md5
 key ascii mucho
 negotiation-mode aggressive
 peer-identity host F100MAIN
exit
!
crypto map MAIN 1
 match address 1
 set peer host F100MAIN
 set transform-set P2-3DES-MD5
exit
!
!
end

B拠点 FITELnet-F100-Cの設定

!
ip route 0.0.0.0 0.0.0.0 pppoe 1
!
access-list 1 permit 192.168.0.0 0.0.0.255
!
vpn enable
vpnlog enable
!
ipsec access-list 1 ipsec ip any 192.168.1.0 0.0.0.255
ipsec access-list 64 bypass ip any any
ipsec transform-set P2-3DES-MD5 esp-3des esp-md5-hmac
!
interface lan 1
 ip address 192.168.0.2 255.255.255.0
exit
!
interface pppoe 1
 crypto map BACKUP
 ip address 100.100.100.100
 ip nat inside source list 1 interface
 pppoe server B-Provider
 pppoe account e222222@xxx.ne.jp abcd345 
 pppoe type host
exit
!
crypto isakmp policy 1
 authentication prekey
 encryption 3des
 hash md5
 key ascii mucho
 negotiation-mode aggressive
 peer-identity host F100BACKUP
exit
!
crypto map BACKUP 1
 match address 1
 set peer host F100BACKUP
 set transform-set P2-3DES-MD5
 sa-up route interface pppoe 1 *4
!            SAの確立を契機としてA拠点側LAN(192.168.1.0/24)へのルート情報を登録し、
!            nexthopをpppoe1とする
exit
!
router rip
 network lan 1
!        ripを使用するインタフェース指定
 timers basic 30 90 120
!             定期送信間隔
!                経路情報を削除するまでの時間
!                   経路情報を一時到達不能にするまでの時間
 version 2
exit
!
end

*4： pppoe 1 ではなく、ewan 1 でアドレスをマニュアル設定している場合は、
　　次のように設定します。

　sa-up route address <nexthop のアドレス>