古河電工ネットワーク機器の総合ブランド ファイテルネット
設定例
2.F100+E30で冗長、メイン回線のみ暗号化
概要
-
F100とE30を使用することで回線冗長に加え機器冗長も行います。
メイン経路はインターネットへPPPoE接続、バックアップ経路は対向のE30へISDNでダイアルアップ接続します。
※ E30は Point To Point 接続で相手を特定できるため、WAN側にIPアドレスを必要としません - F100とE30はルータグループ化機能を使用し、LAN側のホストからは見かけ上1台のルータ(代表アドレス)に見えます。
- グループ内での優先度はF100を高く設定します。
- 拠点側F100で常時L3監視(Pingを使用)を行い、一定のしきい値をトリガにバックアップ機(E30)に切り替わります。
- メイン経路復旧後の切り戻しも拠点側で自動的に行います。
-
IPsecはアグレッシブモードのためセンター側契機のVPNは張れません。
SAを常時維持する設定については「冗長設定(3)」や「set security-association always-up」コマンドを参照してください。
補足・注意点
動作説明
前提条件
当設定例では、以下のアドレス・環境を前提に説明しています。
プロバイダより割り振られたアドレス(アドレスは一例です)
| センタ側 | 158.0.0.1 |
| 拠点側 | 指定なし |
設定環境
| IPsecの対象とする中継パケット | 192.168.0.0/24 ⇔ 192.168.1.0/24 |
| IPsec Phase1ポリシー |
モード ・・・ Aggressiveモード 認証方式 ・・・ 事前共有鍵方式 暗号化方式 ・・・ AES 128 ハッシュ方式 ・・・ SHA Diffie-Hellman ・・・ Group 2 |
| IPsec Phase2ポリシー |
暗号化方式 ・・・ AES 128 ハッシュ方式 ・・・ SHA |
| 拠点側F100(LAN側アドレス) | 192.168.1.10 |
| 拠点側E30(LAN側アドレス) | 192.168.1.127 |
| 代表アドレス | 192.168.1.1 |
| L3監視パケット宛先 | 158.0.0.1 |
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
F100の設定(拠点側)
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)# ! ! ! LAN側IPアドレスを設定します。 ! Router(config)# interface lan 1 Router(config-if lan 1)# ip address 192.168.1.10 255.255.255.0 Router(config-if lan 1)# exit ! ! ! PPPoE1インタフェース設定モードに移行します。 ! Router(config)# interface pppoe 1 Router(config-if pppoe 1)# ! ! ! PPPoEの各種設定をします。 ! Router(config-if pppoe 1)# pppoe server A-Provider Router(config-if pppoe 1)# pppoe account user@xxxx.ne.jp secret Router(config-if pppoe 1)# pppoe type host Router(config-if pppoe 1)# crypto map map1 Router(config-if pppoe 1)# exit ! ! ! デフォルトルートをPPPoE1に設定します。 ! Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! ! 暗号化を使用する設定します。 ! Router(config)# vpn enable Router(config)# vpnlog enable ! Router(config)# ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 Router(config)# ipsec access-list 64 bypass ip any any ! Router(config)# ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac ! Router(config)# crypto isakmp policy 1 Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption aes 128 Router(config-isakmp)# group 2 Router(config-isakmp)# hash sha Router(config-isakmp)# keepalive disable Router(config-isakmp)# key ascii VPN Router(config-isakmp)# my-identity F100-1 Router(config-isakmp)# negotiation-mode aggressive Router(config-isakmp)# peer-identity address 158.0.0.1 Router(config-isakmp)# exit ! Router(config)# crypto map map1 1 Router(config-crypto-map)# match address 1 Router(config-crypto-map)# set peer address 158.0.0.1 Router(config-crypto-map)# set transform-set P2-POLICY Router(config-crypto-map)# exit ! ! ! ルータグループ化の設定を行ないます。 ! Router(config)# redundancy router-group Router(config-red-router-group)# router-group enable ! ルータグループ化を有効 Router(config-red-router-group)# preference 2 ! グループ内での優先度(FITELnet-E30より高く設定) Router(config-red-router-group)# port 55555 ! グループ内での通信(制御)に使うUDPポート番号 Router(config-red-router-group)# ip address 192.168.1.1 ! 代表IPアドレス(グループを仮想的に1台に見せる) Router(config-red-router-group)# send-interval 5 ! グループ内で定期的に行う通信の間隔(秒) Router(config-red-router-group)# aging-time 15 ! 障害とみなすまでの時間(秒) Router(config-red-router-group)# wait-time 5 ! 応答待ち時間(秒) Router(config-red-router-group)# exit ! ! ! L3監視の設定を行ないます。 ! Router(config)# redundancy pathcheck-list 1 Router(config-red-pathcheck-list 1)# ip address 158.0.0.1 ! L3監視パケット(Ping)の送信先IPアドレス Router(config-red-pathcheck-list 1)# pathcheck-fail 2 ! 応答パケットを指定セット数連続して受け取れない場合障害と判断 Router(config-red-pathcheck-list 1)# pathcheck-interval 30 ! L3監視パケットの送信間隔(秒) Router(config-red-pathcheck-list 1)# ping-trial 2 ! L3監視1セットあたりのPingパケットの個数 Router(config-red-pathcheck-list 1)# restcheck-interval 30 ! 経路障害中のL3監視パケットの送信間隔(秒) Router(config-red-pathcheck-list 1)# restcheck-success 3 ! 応答パケットを指定セット数連続して受け取れれば障害復旧と判断 Router(config-red-pathcheck-list 1)# route pppoe 1 ! L3監視パケットのNexthop Router(config-red-pathcheck-list 1)# exit ! ! ! 冗長対象パケットの設定を行ないます。 ! Router(config)# redundancy pathfilter-list 1 Router(config-red-pathfilter-list 1)# destination 192.168.0.0 255.255.255.0 ! 冗長の対象となるパケットの宛先 Router(config-red-pathfilter-list 1)# pathcheck-list 1 ! L3監視設定の対応付け Router(config-red-pathfilter-list 1)# 1st pppoe 1 ! メイン経路のインタフェース Router(config-red-pathfilter-list 1)# 2nd router-group ! バックアップ経路にルータグループ(FITELnet-E30)を使用 Router(config-red-pathfilter-list 1)# exit ! ! ! 特権ユーザモードに戻ります。 ! Router(config)# end ! ! ! 設定を保存します。 ! Router# save SIDE-A.cfg % saving working-config % finished saving Router# ! ! ! 設定を有効にするために再起動します。 ! Router# reset Are you OK to cold start?(y/n) y
コマンド設定の例
E30の設定(拠点側)
wan isdn dual hostname add 1 default=e30 password=e30 nameserver=off netbiosserver=off\ domainname="" defaultgw=off target add name=mucho dial=200* key=nc,mucho speed=64 continuouslimiter=600,on\ callinglimiter=40,on type=normal cbmode=off dialcheckmask=0 host=default isdn dialcheck=on recvcheck=off sendcheck=off multimode=off limiter=12\ congestiontimer=1 isdn -1 dial=100* dial2=* retrytimes=8 idletimer=60,60 target=mucho\ mode=traffic recvidletimer=off globalnumber=allow targetinterface add name=mucho interface=isdn1 ipripstatic add dst=0.0.0.0,0.0.0.0 nextif=isdn1 metric=16 preference=50 interface ip lan addr=192.168.1.127,255.255.255.0 broadcast=192.168.1.255 interface ip isdn1 addr=0.0.0.0 remote=0.0.0.0,255.255.255.255 nat group=1 natp if=isdn1 t1=1440 t2=5 t3=60 t4=1 t5=1 t6=60 t7=1 rgrouping on preference=10 udpport=55555 gipaddr=192.168.1.1 \ sendinterval=5 agingtimer=15 recvwaittimer=5 pathchk off pingtrial=2 pathchktable add pathchkipaddr=158.0.0.1 pathchkinterval=30\ restchkinterval=30 pathchktimer=60 restchktimer=90 pathfiltering add pathchkipaddr=158.0.0.1 addr=192.168.0.0,255.255.255.0
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007