• 専用線をインターネットVPNでバックアップする構成です。



• 拠点は専用線で、また、センターはイーサアクセスでIP-VPNに接続しており、センターと拠点は、正常時はIP-VPNを使って平文で通信を行います。



• 拠点からは、直接インターネットアクセスはせず、インターネットVPNを通して、センターのファイヤーウォール経由でアクセスします。



• なお、インターネットアクセスについては、専用線でバックアップされません。



• メイン経路（拠点のF100 DIALER1〜センターのF100 EWAN1の間、F1000#1を含む）に障害が発生すると、自動的にバックアップ経路のインターネットVPNに切り替わります。



• また、障害が復旧すれば、自動的にメイン経路に切り戻ります。



• 拠点F100では、センターF100のEWAN1をL3監視することで、センター宛の通信の経路を切り替え／切り戻しします。



• センターF100のマルチルーティング機能を使うことで、送信元を見てセンターから拠点宛の通信を、VRRPの代表アドレス宛に転送するようにしています（その他の拠点宛の通信はF1000#2に転送）。



• マルチルーティング機能はF100のみのサポートとなります。



• センターF1000のLAN側でVRRP機能を使う＆拠点からのunicast ripを利用することで、センターから拠点宛ての通信を、正常時にはIP-VPN側に、異常時にはインターネットVPN側に転送するようにしています。



• VRRP機能はF1000のみのサポートとなります。



• 専用線（64/128kbps）はBRIモジュールのバージョンが2.00以降かつF100のファームウェアのバージョンがV01.19(01)以降でサポートしています。



• 128kbpsの回線でも、回線上は最大で90kbps程度のスループットとなります。

Router> enable
Enter password: super ←パスワードを入力します（実際は何も表示されません）。

Router#
Router# configure terminal
Router(config)#
!
!
! LAN1インタフェースの設定を行います。
!
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 192.168.2.254 255.255.255.0
Router(config-if lan 1)# exit
!
!
! 専用線の設定をします。
!
Router(config)# interface bri 1
Router(config-if bri 1)# leased-line 128
Router(config-if bri 1)# exit
Router(config)#
Router(config)# interface dialer 1
Router(config-if dialer 1)# dialer interface bri 1
Router(config-if dialer 1)# ip address 10.0.0.1 255.255.255.0
Router(config-if dialer 1)# exit
Router(config)#
!
!
! PPPoE1の各種設定をします。
!
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# crypto map center
Router(config-if pppoe 1)# pppoe server FLETS
Router(config-if pppoe 1)# pppoe account abc456@***.***.ne.jp pass456
Router(config-if pppoe 1)# pppoe type host
Router(config-if pppoe 1)# exit
!
!
! IPsec機能をEWAN1ポート（PPPoE1〜4）でのみ利用します。
!
Router(config)# vpn enable ewan 1
!
!
! Phase1ポリシーの設定を行ないます。
!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# negotiation-mode aggressive
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption 3des
Router(config-isakmp)# hash md5
Router(config-isakmp)# key ascii secret-vpn
Router(config-isakmp)# my-identity id-kyoten1
Router(config-isakmp)# peer-identity address 200.200.200.200
Router(config-isakmp)# exit
!
!
! Phase2ポリシーの設定を行ないます。
!
Router(config)# ipsec transform-set P2-3des-md5 esp-3des esp-md5-hmac
!
!
! VPNセレクタの設定を行ないます。
!
Router(config)# ipsec access-list 1 ipsec ip 192.168.2.0 0.0.0.255 any
!
Router(config)# crypto map center 1
Router(config-crypto-map)# match address 1
Router(config-crypto-map)# set peer address 200.200.200.200
Router(config-crypto-map)# set security-association always-up
Router(config-crypto-map)# set transform-set P2-3des-md5
Router(config-crypto-map)# exit
!
!
! L3監視の設定を行ないます。
!
Router(config)#redundancy pathcheck-list 1
Router(config-red-pathcheck-list 1)# ip address 1.1.1.1
!                                    センターF100のEWAN1を監視します。
Router(config-red-pathcheck-list 1)# route dialer 1
!                                    監視は常にDIALER1インターフェースから行います。
Router(config-red-pathcheck-list 1)# pathcheck-fail 2
!                                    障害発生後、30〜60秒でバックアップ側に切り替えるようにします。
Router(config-red-pathcheck-list 1)# restcheck-success 3
!                                    障害復旧後、60〜90秒でメイン側に切り戻すようにします。
Router(config-red-pathcheck-list 1)# exit
Router(config)# 
!
!
! 冗長対象パケットの設定を行ないます。
!
Router(config)#redundancy pathfilter-list 1
Router(config-red-pathfilter-list 1)# destination 192.168.1.0 255.255.255.0
!                                     バックアップ対象の宛先ネットワークを指定します。
Router(config-red-pathfilter-list 1)# pathcheck-list 1
!                                     上のL3監視の結果を受けて、切り替え、切り戻しを行います。
Router(config-red-pathfilter-list 1)# 1st dialer 1
!                                     正常時はDIALER1から送信します。
Router(config-red-pathfilter-list 1)# 2nd pppoe 1
!                                     異常時はPPPoE1から送信します。
Router(config-red-pathfilter-list 1)# exit
!
Router(config)#redundancy pathfilter-list 2
Router(config-red-pathfilter-list 1)# destination 172.16.0.1 255.255.255.255
!                                     センターF1000#1のEWAN1アドレスも冗長対象とすることで、unicast ripの
!                                     送信を拠点側の切り替え、切り戻しに同期させるようにします。
Router(config-red-pathfilter-list 1)# pathcheck-list 1
Router(config-red-pathfilter-list 1)# 1st dialer 1
Router(config-red-pathfilter-list 1)# 2nd pppoe 1
Router(config-red-pathfilter-list 1)# exit
!
!
! センターF100のEWAN1側ネットワークへのルートを設定します。
! 冗長対象となるネットワークに対するルートは、冗長機能により自動的に登録されますので、
! スタティックでは設定してはいけません。
!
Router(config)# ip route 172.16.0.0 255.255.255.0 10.0.0.254
!
!
! インターネットアクセス用にデフォルトルートをPPPoE1に向けます。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1
!
!
! RIPの設定をします。
! 拠点側からのRIPにより、センター側F1000#1のルートを制御します。
!
Router(config)# router rip
Router(config-rip)# neighbor 172.16.0.1
Router(config-rip)# network dialer 1
Router(config-rip)# passive-interface dialer 1
!                   multicastのripは出さなくなりますが、unicastのripは出します。
Router(config-rip)# route 192.168.2.0 255.255.255.0
Router(config-rip)# unicastrip
Router(config-rip)# exit
!
!
! 設定を保存します。
!
Router(config)# end
Router# save SIDE-A.cfg
% saving working-config
% finished saving

Router#
!
!
! 設定を有効にするために再起動します。
!
Router# reset 
Are you OK to cold start?(y/n) y

Router> enable
Enter password: super ←パスワードを入力します（実際は何も表示されません）。

Router#
Router# configure terminal
Router(config)#
!
!
! LAN1インタフェースの設定を行います。
!
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 192.168.1.254 255.255.255.0
Router(config-if lan 1)# exit
!
!
! EWAN1インタフェースの設定をします。
!
Router(config)# interface ewan 1
Router(config-if ewan 1)# ip address 1.1.1.1 255.255.255.0
Router(config-if ewan 1)# exit
!
!
! 拠点F100のDIALER1側ネットワークへのルートをF1000#1に向けます。
! 拠点側から来るL3監視の戻りのルートとして必要です。
!
Router(config)# ip route 10.0.0.0 255.255.255.0 1.1.1.251
!
!
! 拠点側ネットワークへのルートをF1000#2に向けます。
! インターネットアクセスの戻りは、このルートに従うことになります。
!
Router(config)# ip route 192.168.2.0 255.255.255.0 1.1.1.252
!
!
! マルチルーティング機能により、拠点192.168.2.0/24宛の通信でも、送信元が192.168.1.0/24のものについては、
! nexthopをVRRPの代表アドレスにします。
!
Router(config)# multiroute static 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 nexthop 1.1.1.254
!
!
! デフォルトルートをファイヤーウォールに向けます。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.200
!
!
! 設定を保存します。
!
Router(config)# end
Router# save SIDE-A.cfg
% saving working-config
% finished saving

Router#
!
!
! 設定を有効にするために再起動します。
!
Router# reset 
Are you OK to cold start?(y/n) y

Router> enable
Enter password: super ←パスワードを入力します。（実際は表示されない）

Router#
Router# configure terminal
Router(config)#
!
!
! VRRP機能を有効にします。
!
Router(config)# ip vrrp enable
!
!
! LAN1インタフェースの設定をします。
!
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 1.1.1.251 255.255.255.0
Router(config-if lan 1)# vrrp 1 address 1.1.1.254
!                        VRIDを1として、代表IPアドレスを設定します。
Router(config-if lan 1)# vrrp 1 preempt
!                        マスター側の障害が復旧すれば、マスター側に戻して通信を行うようにします。
Router(config-if lan 1)# vrrp 1 priority 254
!                        バックアップ側より優先度を高く設定します（数字が大きいほど優先度は高くなります）。
Router(config-if lan 1)# exit
!
!
! EWAN1インタフェースの設定をします。
!
Router(config)# interface ewan 1
Router(config-if ewan 1)# ip address 172.16.0.1 255.255.255.0
Router(config-if ewan 1)# exit
!
!
! 拠点F100のDIALER1側ネットワークへのルートを設定します。
! 拠点側から来るL3監視の戻りのルートとして必要です。
!
Router(config)# ip route 10.0.0.0 255.255.255.0 172.16.0.254
!
!
! 拠点側ネットワークへのルートをF1000#2に向けます。
! 拠点側から来るunicasut rip（distance値120）より優先度を下げておきます。
!
Router(config)# ip route 192.168.2.0 255.255.255.0 1.1.1.252 150
!
!
! センター側ネットワークへのルートを設定します。
!
Router(config)# ip route 192.168.1.0 255.255.255.0 1.1.1.1
!
!
! RIPの設定をします。
!
Router(config)# router rip
Router(config-rip)# network ewan 1
Router(config-rip)# timers basic 30 60 20
!                   ホールド・タイムを60秒に設定して、センター側の切り替えも60秒以内に行うようにします。
Router(config-rip)# unicastrip
Router(config-rip)# exit
!
!
! 設定を保存します。
!
Router(config)# end
Router# save SIDE-A.cfg
% saving working-config
% finished saving

Router#
!
!
! 設定を有効にするために再起動します。
!
Router# reset 
Are you OK to cold start?(y/n) y

Router> enable
Enter password: super ←パスワードを入力します。（実際は表示されない）

Router#
Router# configure terminal
Router(config)#
!
!
! VRRP機能を有効にします。
!
Router(config)# ip vrrp enable
!
!
! LAN1インタフェースの設定をします。
!
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 1.1.1.252 255.255.255.0
Router(config-if lan 1)# vrrp 1 address 1.1.1.254
Router(config-if lan 1)# vrrp 1 priority 200
!                        マスター側より優先度を低く設定します（数字が大きいほど優先度は高くなります）。
Router(config-if lan 1)# exit
!
!
! PPPoE1の各種設定をします。
!
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# crypto map kyoten
Router(config-if pppoe 1)# ip address 200.200.200.200
Router(config-if pppoe 1)# pppoe server FLETS
Router(config-if pppoe 1)# pppoe account abc123@***.***.ne.jp pass123
Router(config-if pppoe 1)# pppoe type host
Router(config-if pppoe 1)# exit
!
!
! IPsec機能を利用します。
!
Router(config)# vpn enable
!
!
! Phase1ポリシーの設定を行ないます。
!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# negotiation-mode aggressive
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption 3des
Router(config-isakmp)# hash md5
Router(config-isakmp)# key ascii secret-vpn
Router(config-isakmp)# peer-identity host id-kyoten1
Router(config-isakmp)# tunnel-route interface pppoe 1
!                      Phase1のネゴ開始を契機として、拠点のpeerへのルートを登録します。
Router(config-isakmp)# exit
!
!
! Phase2ポリシーの設定を行ないます。
!
Router(config)# ipsec transform-set P2-3des-md5 esp-3des esp-md5-hmac
!
!
! VPNセレクタの設定を行ないます。
!
Router(config)# ipsec access-list 1 ipsec ip any 192.168.2.0 0.0.0.255
!
Router(config)# crypto map kyoten 1
Router(config-crypto-map)# match address 1
Router(config-crypto-map)# set peer host id-kyoten1
Router(config-crypto-map)# set security-association always-up
Router(config-crypto-map)# set transform-set P2-3des-md5
Router(config-crypto-map)# exit
!
!
! 拠点側ネットワークへのルートを設定します。
!
Router(config)# ip route 192.168.2.0 255.255.255.0 pppoe 1
!
!
! デフォルトルートをセンター側F100に向けます。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 1.1.1.1
!
!
! 設定を保存します。
!
Router(config)# end
Router# save SIDE-A.cfg
% saving working-config
% finished saving

Router#
!
!
! 設定を有効にするために再起動します。
!
Router# reset 
Are you OK to cold start?(y/n) y