センタ側 | 158.0.0.1 |
拠点側 | 指定なし |
IPsecの対象とする中継パケット | 192.168.0.0/24 ⇔ 192.168.1.0/24 |
IPsec Phase1ポリシー |
モード ・・・ Aggressiveモード 認証方式 ・・・ 事前共有鍵方式 暗号化方式 ・・・ AES 128 ハッシュ方式 ・・・ SHA Diffie-Hellman ・・・ Group 2 |
IPsec Phase2ポリシー |
暗号化方式 ・・・ AES 128 ハッシュ方式 ・・・ SHA |
拠点側F100(LAN側アドレス) | 192.168.1.10 |
拠点側E30(LAN側アドレス) | 192.168.1.127 |
代表アドレス | 192.168.1.1 |
L3監視パケット宛先 | 158.0.0.1 |
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)# ! ! ! LAN側IPアドレスを設定します。 ! Router(config)# interface lan 1 Router(config-if lan 1)# ip address 192.168.1.10 255.255.255.0 Router(config-if lan 1)# exit ! ! ! PPPoE1インタフェース設定モードに移行します。 ! Router(config)# interface pppoe 1 Router(config-if pppoe 1)# ! ! ! PPPoEの各種設定をします。 ! Router(config-if pppoe 1)# pppoe server A-Provider Router(config-if pppoe 1)# pppoe account user@xxxx.ne.jp secret Router(config-if pppoe 1)# pppoe type host Router(config-if pppoe 1)# crypto map map1 Router(config-if pppoe 1)# exit ! ! ! デフォルトルートをPPPoE1に設定します。 ! Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! ! 暗号化を使用する設定します。 ! Router(config)# vpn enable Router(config)# vpnlog enable ! Router(config)# ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 Router(config)# ipsec access-list 64 bypass ip any any ! Router(config)# ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac ! Router(config)# crypto isakmp policy 1 Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption aes 128 Router(config-isakmp)# group 2 Router(config-isakmp)# hash sha Router(config-isakmp)# keepalive disable Router(config-isakmp)# key ascii VPN Router(config-isakmp)# my-identity F100-1 Router(config-isakmp)# negotiation-mode aggressive Router(config-isakmp)# peer-identity address 158.0.0.1 Router(config-isakmp)# exit ! Router(config)# crypto map map1 1 Router(config-crypto-map)# match address 1 Router(config-crypto-map)# set peer address 158.0.0.1 Router(config-crypto-map)# set transform-set P2-POLICY Router(config-crypto-map)# exit ! ! ! ルータグループ化の設定を行ないます。 ! Router(config)# redundancy router-group Router(config-red-router-group)# router-group enable ! ルータグループ化を有効 Router(config-red-router-group)# preference 2 ! グループ内での優先度(FITELnet-E30より高く設定) Router(config-red-router-group)# port 55555 ! グループ内での通信(制御)に使うUDPポート番号 Router(config-red-router-group)# ip address 192.168.1.1 ! 代表IPアドレス(グループを仮想的に1台に見せる) Router(config-red-router-group)# send-interval 5 ! グループ内で定期的に行う通信の間隔(秒) Router(config-red-router-group)# aging-time 15 ! 障害とみなすまでの時間(秒) Router(config-red-router-group)# wait-time 5 ! 応答待ち時間(秒) Router(config-red-router-group)# exit ! ! ! L3監視の設定を行ないます。 ! Router(config)# redundancy pathcheck-list 1 Router(config-red-pathcheck-list 1)# ip address 158.0.0.1 ! L3監視パケット(Ping)の送信先IPアドレス Router(config-red-pathcheck-list 1)# pathcheck-fail 2 ! 応答パケットを指定セット数連続して受け取れない場合障害と判断 Router(config-red-pathcheck-list 1)# pathcheck-interval 30 ! L3監視パケットの送信間隔(秒) Router(config-red-pathcheck-list 1)# ping-trial 2 ! L3監視1セットあたりのPingパケットの個数 Router(config-red-pathcheck-list 1)# restcheck-interval 30 ! 経路障害中のL3監視パケットの送信間隔(秒) Router(config-red-pathcheck-list 1)# restcheck-success 3 ! 応答パケットを指定セット数連続して受け取れれば障害復旧と判断 Router(config-red-pathcheck-list 1)# route pppoe 1 ! L3監視パケットのNexthop Router(config-red-pathcheck-list 1)# exit ! ! ! 冗長対象パケットの設定を行ないます。 ! Router(config)# redundancy pathfilter-list 1 Router(config-red-pathfilter-list 1)# destination 192.168.0.0 255.255.255.0 ! 冗長の対象となるパケットの宛先 Router(config-red-pathfilter-list 1)# pathcheck-list 1 ! L3監視設定の対応付け Router(config-red-pathfilter-list 1)# 1st pppoe 1 ! メイン経路のインタフェース Router(config-red-pathfilter-list 1)# 2nd router-group ! バックアップ経路にルータグループ(FITELnet-E30)を使用 Router(config-red-pathfilter-list 1)# exit ! ! ! 特権ユーザモードに戻ります。 ! Router(config)# end ! ! ! 設定を保存します。 ! Router# save SIDE-A.cfg % saving working-config % finished saving Router# ! ! ! 設定を有効にするために再起動します。 ! Router# reset Are you OK to cold start?(y/n) y
wan isdn dual hostname add 1 default=e30 password=e30 nameserver=off netbiosserver=off\ domainname="" defaultgw=off target add name=mucho dial=200* key=nc,mucho speed=64 continuouslimiter=600,on\ callinglimiter=40,on type=normal cbmode=off dialcheckmask=0 host=default isdn dialcheck=on recvcheck=off sendcheck=off multimode=off limiter=12\ congestiontimer=1 isdn -1 dial=100* dial2=* retrytimes=8 idletimer=60,60 target=mucho\ mode=traffic recvidletimer=off globalnumber=allow targetinterface add name=mucho interface=isdn1 ipripstatic add dst=0.0.0.0,0.0.0.0 nextif=isdn1 metric=16 preference=50 interface ip lan addr=192.168.1.127,255.255.255.0 broadcast=192.168.1.255 interface ip isdn1 addr=0.0.0.0 remote=0.0.0.0,255.255.255.255 nat group=1 natp if=isdn1 t1=1440 t2=5 t3=60 t4=1 t5=1 t6=60 t7=1 rgrouping on preference=10 udpport=55555 gipaddr=192.168.1.1 \ sendinterval=5 agingtimer=15 recvwaittimer=5 pathchk off pingtrial=2 pathchktable add pathchkipaddr=158.0.0.1 pathchkinterval=30\ restchkinterval=30 pathchktimer=60 restchktimer=90 pathfiltering add pathchkipaddr=158.0.0.1 addr=192.168.0.0,255.255.255.0