古河電工ネットワーク機器の総合ブランド ファイテルネット
設定例
シェーピングする
概要
gigaethernet 1/1 からの出力するパケットに対して 100Mbps でシェーピングを行います。
同時に各IPsecトンネルから送信するパケットを1Mbps にシェーピングを行います。
同時に各IPsecトンネルから送信するパケットを1Mbps にシェーピングを行います。
補足・注意点
動作説明
| 物理インタフェース名 | gigaethernet 1/1 | シェーピング100000(kbps) | shape pir 100000 pbs 4096 | バーストサイズ4096(bytes) |
| インタフェース名 | interface tunnel 1 | シェーピング1000(kbps) | shape pir 1000 pbs 1024 | バーストサイズ1024(bytes) |
| interface tunnel 2 | シェーピング1000(kbps) | shape pir 1000 pbs 1024 | バーストサイズ1024(bytes) |
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
! ! ! 特権ユーザモードに移行します。 ! > enable password: super ←パスワードを入力します。(実際は表示されない) ! ! ! 基本設定モードに移行します。 ! #configure terminal ! (config)# ! ! Port-channel にローカル側IPアドレスを設定します。 ! (config)#interface Port-channel 2 (config-if-ch 2)# ip address 172.16.0.1 255.255.0.0 (config-if-ch 2)#exit ! ! ! GigaEthernet インタフェースに、port-channel をリンク付けします。 ! (config)#interface GigaEthernet 1/2 *1 (config-if-ge 1/2)# channel-group 2 (config-if-ge 1/2)#exit ! ! ! Port-channel にグローバル側IPアドレスを設定します。 ! (config)#interface Port-channel 1 (config-if-ch 1)# ip address 192.0.2.1 255.255.255.0 (config-if-ch 1)#exit ! ! ! GigaEthernet インタフェースに、port-channel をリンク付けします。 ! (config)#interface GigaEthernet 1/1 *1 (config-if-ge 1/1)# channel-group 1 (config-if-ge 1/1)#exit ! ! ! デフォルトルートを設定します。 ! (config)#ip route 0.0.0.0 0.0.0.0 192.0.2.2 ! ! ! VPN通信動作中の詳細なログを残す設定にします。 ! (config)#crypto isakmp log sa (config)#crypto isakmp log session (config)#crypto isakmp log negotiation-fail ! ! 共通 VPNセレクタの設定を行ないます。 ! (config)#crypto ipsec selector SELECTOR (config-ip-selector)# src 1 ipv4 any (config-ip-selector)# dst 1 ipv4 any (config-ip-selector)#exit ! ! ! 共通 DPDの設定をします。 ! (config)#crypto isakmp keepalive ! !共通 ISAKMP ポリシーの設定を行ないます。 ! (config)#crypto isakmp policy P1 (config-isakmp)# authentication pre-share (config-isakmp)# encryption aes (config-isakmp)# encryption-keysize aes 256 256 256 (config-isakmp)# group 5 (config-isakmp)# hash sha (config-isakmp)# initiate-mode main (config-isakmp)#exit ! ! !共通 IPSEC ポリシーを設定します。 ! (config)#crypto ipsec policy P2 (conf-ipsec)# set pfs group2 (conf-ipsec)# set security-association lifetime seconds 28800 (conf-ipsec)# set security-association transform-keysize aes 256 256 256 (conf-ipsec)# set security-association transform esp-aes esp-sha-hmac (conf-ipsec)# set mtu 1500 (conf-ipsec)# set ip df-bit 0 (conf-ipsec)# set ip fragment post (conf-ipsec)#exit ! ! ! 拠点1向けのISAKMP プロファイルを設定します。 ! (config)#crypto isakmp profile PROF0001 (conf-isa-prof)# local-address 100.0.0.1 (conf-isa-prof)# set isakmp-policy P1 (conf-isa-prof)# set ipsec-policy P2 (conf-isa-prof)# set peer 200.0.0.1 (conf-isa-prof)# ike-version 1 (conf-isa-prof)# local-key secret (conf-isa-prof)#exit ! ! ! 拠点2向けのISAKMP プロファイルを設定します。 ! (config)#crypto isakmp profile PROF0002 (conf-isa-prof)# local-address 100.0.0.1 (conf-isa-prof)# set isakmp-policy P1 (conf-isa-prof)# set ipsec-policy P2 (conf-isa-prof)# set peer 200.0.0.2 (conf-isa-prof)# ike-version 1 (conf-isa-prof)# local-key secret (conf-isa-prof)#exit ! ! ! 拠点1のIPsec用マップを設定する。 ! (config)#crypto map MAP0001 ipsec-isakmp (config-crypto-map)# match address SELECTOR (config-crypto-map)# set isakmp-profile PROF0001 (config-crypto-map)#exit ! ! ! 拠点2のIPsec用マップを設定する。 ! (config)#crypto map MAP1001 ipsec-isakmp (config-crypto-map)# match address SELECTOR (config-crypto-map)# set isakmp-profile PROF0002 (config-crypto-map)#exit ! ! ! 拠点1のtunnel インタフェースにIPsec用マップを設定します。 ! (config)#interface Tunnel 1 (config-if-tun 1)# tunnel mode ipsec map MAP0001 (config-if-tun 1)#exit ! ! ! 拠点2のtunnel インタフェースにIPsec用マップを設定します。 ! (config)#interface Tunnel 2 (config-if-tun 2)# tunnel mode ipsec map MAP1001 (config-if-tun 2)#exit ! ! ! 拠点1のtunnel インタフェースのルートを設定します。 ! (config)#ip route 172.17.1.0 255.255.255.0 tunnel 1 ! ! 拠点2のtunnel インタフェースのルートを設定します。 ! (config)#ip route 172.17.2.0 255.255.255.0 tunnel 2 ! ! !物理インタフェースのシェーピングを設定します。 ! (config)#traffic-manager extended (config-tm-e)# ! ! !シェーピングしたい帯域を設定します。 ! (config-tm-e)# port profile sample (config-tm-e-port sample)# shape pir 100000 pbs 4096 (config-tm-e-port sample)# exit (config-tm-e)# ! ! !シェーピングしたい物理インターフェースを設定します。 ! (config-tm-e)# port scheduler gigaethernet 1/1 sample (config-tm-e)#exit ! ! !IPsecトンネルインタフェースのシェーピングを設定します。 ! (config)#traffic-manager network (config-tm-n)# ! ! !ユーザレベルスケジューラ数を設定します。 ! (config-tm-n)# port profile tunnel_profile (config-tm-n-port tunnel_profile)# bandwidth scale 128 (config-tm-n-port tunnel_profile)# exit (config-tm-n)# ! ! !IPsecトンネルインターフェースにスケジューラを設定します。 ! (config-tm-n)# port scheduler tunnel ipsec tunnel_profile (config-tm-n)# ! ! !シェーピングしたい帯域を設定します。 ! (config-tm-n)# bandwidth profile shape_1M (config-tm-n-bw shape_1M)# shape pir 1000 pbs 1024 (config-tm-n-bw shape_1M)# exit (config-tm-n)# ! (config-tm-n)#exit ! ! !拠点1のシェーピング用マップを設定する。 ! (config)#policy-map tunnel_1 (config-pmap tunnel_1)# class class-default (config-pmap-c class-default)# bandwidth profile shape_1M (config-pmap-c class-default)# exit (config-pmap tunnel_1)#exit ! ! !拠点2のシェーピング用マップを設定する。 ! (config)#policy-map tunnel_2 (config-pmap tunnel_2)# class class-default (config-pmap-c class-default)# bandwidth profile shape_1M (config-pmap-c class-default)# exit (config-pmap tunnel_2)#exit ! ! ! 拠点1のtunnel インタフェースにシェーピング用マップを設定します。 ! (config)#interface Tunnel 1 (config-if-tun 1)# service-policy output tunnel_1 (config-if-tun 1)#exit ! ! ! 拠点2のtunnel インタフェースにシェーピング用マップを設定します。 ! (config)#interface Tunnel 2 (config-if-tun 2)# service-policy output tunnel_2 (config-if-tun 2)#exit ! ! ! ! 特権ユーザモードに戻ります。 ! (config)#end ! ! ! 設定を有効にするために refresh をします。 ! #refresh refresh ok?[y/N]:yes ..................Done *1:物理ポート番号の設定 *2:設定保存については、/drive配下に、任意の名前で保存して下さい。 #save /drive/[ファイル名]
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2018