古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
 
設定例
メインがPPPoEでバックアップがモバイル接続内蔵LTE [拠点側はF221で利用可能]
概要
補足・注意点
構成図
LTE内蔵モジュールを利用するにはデータ通信接続用の microSIM が必要です。
sim-profile モードに設定します。

SIM契約 account 設定 APN設定
認証ID 認証パスワード
OCN モバイル xxx123yyy@xxxxx.xx.jp XXX123 lte-ocn.ntt.com
コマンドによる回線切断時の注意
常時接続モードが有効な状態で、lte-module disconnect コマンドを実行した場合、常時接続モードは無効となる。
再び常時接続モードを有効とするには以下のいずれかの対応を必要とする。
・lte-module connectコマンドを実行する
・SIMプロファイルの設定を変更する(変更後の常時接続モードが有効な場合)
・SIMスロットの切り替えコマンドを実行する (切り替え後の常時接続モードが有効な場合)
・interface LTE-Moduleをshutdown ⇒ no shutdownする

前提条件

IPsec条件
ISAKMP ポリシー モード Aggressiveモード
認証方式 事前共有鍵方式
暗号化方式 AES 256ビット
ハッシュ方式 SHA-256
Diffie-Hellman Group 14
ライフタイム 86400秒
IPSEC ポリシー PFS Group14
暗号化方式 AES 256ビット
ハッシュ方式 SHA-256
ライフタイム 28800秒
フラグメント ポストフラグメント
拠点(F221) 常にSAを確立する
IPsec対象経路 センタ(F220) 192.168.2.0/24
拠点(F221) 192.168.1.0/24

インターフェース設定モード
項目 センタ(F220) 拠点(F221)
WANインターフェース interface GigaEthernet 2/1  ※ interface GigaEthernet 2/1  ※
  インターフェース名 pppoe enable pppoe enable
  VLAN-ID値 vlan-id 2 vlan-id 2
  ブリッジグループ番号 bridge-group 2 bridge-group 2
インターフェース設定 interface Tunnel 1 interface Tunnel 1
  PPPoE プロファイル PPPOE_PROF PPPOE_PROF
PPPoE プロファイル設定 pppoe profile PPPOE_PROF pppoe profile PPPOE_PROF
モバイルインターフェース - interface LTE-Module 1
  インターフェース名 - channel-group 2
  SIM プロファイル名 - SIM1
インターフェース設定 - interface Port-channel 2
SIM プロファイル設定 - sim-profile SIM1
LANインターフェース interface GigaEthernet 1/1  ※ interface GigaEthernet 1/1  ※
  インターフェース名 channel-group 1 channel-group 1
  VLAN-ID値 vlan-id 1 vlan-id 1
  ブリッジグループ番号 bridge-group 1 bridge-group 1
インターフェース設定 interface Port-channel 1 interface Port-channel 1
  VRRP機能 有効 -
※GigaEthernet の設定には必ずvlanidとbridge-groupの設定が必要です。
VPN設定モード
項目 センタ(F220) 拠点(F220)
インターフェース設定 interface Tunnel 2 interface Tunnel 2
interface Tunnel 3
  マップ名 KYOTEN_1 CENTER
CENTER_BK
マップ設定 crypto map KYOTEN_1 ipsec-isakmp crypto map CENTER ipsec-isakmp
crypto map CENTER_BK ipsec-isakmp
  セレクタ名 SELECTOR SELECTOR
  ISAKMP プロファイル PROF0001 PROF0001
PROF0002
セレクタ設定
(VPN対象パケット)
crypto ipsec selector SELECTOR crypto ipsec selector SELECTOR
ISAKMP プロファイル設定 crypto isakmp profile PROF0001 crypto isakmp profile PROF0001
crypto isakmp profile PROF0002
  ISAKMP ポリシー名 P1-POLICY P1-POLICY
  IPSEC ポリシー名 P2-POLICY P2-POLICY
ISAKMP ポリシー設定 crypto isakmp policy P1-POLICY crypto isakmp policy P1-POLICY
IPSEC ポリシー設定(メイン) crypto ipsec policy P2-POLICY crypto ipsec policy P2-POLICY
IPSEC ポリシー設定(バックアップ) crypto ipsec policy P2-POLICY crypto ipsec policy P2-POLICY_BK
  NAT-Traversal設定 set udp-encapsulation nat-t set udp-encapsulation nat-t
  • センタ側の端末は VRRP 代表IPアドレス(192.168.1.254)をゲートウェイアドレスとして設定します。
  • センタ1はグローバル側の回線DOWN/UPを利用したイベントアクションの設定を行います。
  • 拠点側はsurveyによる経路制御の設定を行います。


  • コマンド設定の例
    (!の行はコメントです。実際に入力する必要はありません。)
    この設定を利用したい方は
    センタ1
    !
    !
    ! 特権ユーザモードに移行します。
    !
    > enable
    password: super ←パスワードを入力します。(実際は表示されない)
    !
    !
    ! 基本設定モードに移行します。
    !
    #configure terminal
    
    (config)#
    !
    !
    ! デフォルトルートを tunnel 1(PPPoE) に設定します。
    !
    (config)#ip route 0.0.0.0 0.0.0.0 tunnel 1
    !
    !
    ! 拠点宛の経路情報を各tunnel(IPsecトンネル)に設定します。
    !
    (config)#ip route 192.168.2.0 255.255.255.0 tunnel 2
    !
    !
    !
    ! NAT で変換対象とする送信元アドレス
    ! (ここではLAN 側アドレスを対象とします)を登録します。
    !
    (config)#ip nat list 1 192.168.1.0 0.0.0.255
    !
    !
    ! Port-channel にLAN側IPアドレスを設定します。
    !
    (config)#interface Port-channel 1
    (config-if-ch 1)# ip address 192.168.1.251 255.255.255.0
    (config-if-ch 1)# mss 1300
    (config-if-ch 1)#exit
    !
    !
    ! PPPoEの設定をします。
    ! プロバイダから指定された 認証ID、パスワードなどを設定します。
    !
    (config)#pppoe profile PPPOE_PROF
    (config-pppoe-profile PPPOE_PROF)# account abc012@***.***.ne.jp xxxyyyzzz
    (config-pppoe-profile PPPOE_PROF)#exit
    !
    !
    ! Tunnel インタフェース設定モードに移行します。
    !
    (config)#interface Tunnel 1
    !
    !
    ! プロバイダから指定された IPアドレスなどを設定します。
    !
    (config-if-tun 1)# description FLETS
    (config-if-tun 1)# ip address 192.0.2.1 255.255.255.255
    !
    !
    ! NAT+ の設定をします。
    !
    (config-if-tun 1)# ip nat inside source list 1 interface
    !
    !
    ! pppoe profile とのリンク付けをします。
    !
    (config-if-tun 1)# tunnel mode pppoe profile PPPOE_PROF
    !
    !
    GigaEthernet インタフェースとのリンク付けをします。
    !
    (config-if-tun 1)# pppoe interface gigaethernet 2/1 *1
    !
    !
    ! 基本設定モードに戻ります。
    !
    (config-if-tun 1)#exit
    !
    !
    ! PPPoE 通信で使用する物理インタフェースを設定します。
    !
    (config)#interface GigaEthernet 2/1 *1
    (config-if-ge 2/1)# vlan-id 2
    (config-if-ge 2/1)# bridge-group 2
    (config-if-ge 2/1)# pppoe enable
    (config-if-ge 2/1)#exit
    !
    !
    ! GigaEthernet インタフェースに、port-channel をリンク付けします。
    !
    (config)#interface GigaEthernet 1/1 *1
    (config-if-ge 1/1)# vlan-id 1
    (config-if-ge 1/1)# bridge-group 1
    (config-if-ge 1/1)# channel-group 1
    (config-if-ge 1/1)#exit
    !
    !
    ! VPNセレクタの設定を行ないます。
    !
    (config)#crypto ipsec selector SELECTOR
    (config-ip-selector)# src 1 ipv4 any
    (config-ip-selector)# dst 1 ipv4 any
    (config-ip-selector)#exit
    !
    !
    ! DPDの設定をします。
    !
    (config)#crypto isakmp keepalive
    !
    !
    ! VPN通信動作中の詳細なログを残す設定にします。
    !
    (config)#crypto isakmp log sa
    (config)#crypto isakmp log session
    (config)#crypto isakmp log negotiation-fail
    !
    !
    ! ISAKMP ポリシーの設定を行ないます。
    !
    (config)#crypto isakmp policy P1-POLICY
    !
    !
    ! 認証方式に事前共有鍵を使用します。
    !
    (config-isakmp)# authentication pre-share
    !
    !
    ! 暗号方式の指定します。
    !
    (config-isakmp)# encryption aes
    !
    !
    ! 鍵長を指定します。
    !
    (config-isakmp)# encryption-keysize aes 256 256 256
    !
    !
    ! Diffie Hellmanのグループの指定します。
    !
    (config-isakmp)# group 14
    !
    !
    ! IKE SAのライフタイムの指定(秒)します。
    !
    (config-isakmp)# lifetime 86400
    !
    !
    ! ハッシュ方式の指定します。
    !
    (config-isakmp)# hash sha-256
    !
    !
    ! アグレッシブモードを使用します。
    !
    (config-isakmp)# initiate-mode aggressive
    !
    !
    ! 基本設定モードに戻ります。
    !
    (config-isakmp)#exit
    !
    !
    ! 拠点向けのISAKMP プロファイルを設定します。
    !
    (config)#crypto isakmp profile PROF0001
    !
    !
    ! 対向拠点のユーザ名(ID-TYPE=User-FQDN) を指定します。
    !
    (conf-isa-prof)# match identity user id-kyoten1
    !
    !
    ! 自装置のWAN アドレスを設定します。
    !
    (conf-isa-prof)# local-address 192.0.2.1
    !
    !
    ! ISAKMP ポリシーとリンク付けします。
    !
    (conf-isa-prof)# set isakmp-policy P1-POLICY
    !
    !
    ! IPSEC ポリシーとリンク付けします。
    !
    (conf-isa-prof)# set ipsec-policy P2-POLICY
    !
    !
    ! IKE バージョンを指定します。
    !
    (conf-isa-prof)# ike-version 1
    !
    !
    ! 共通鍵を設定します。
    !
    (conf-isa-prof)# local-key SECRET-VPN
    !
    !
    ! 基本設定モードに戻ります。
    !
    (conf-isa-prof)#exit
    !
    !
    ! IPSEC ポリシーを設定します。
    !
    (config)#crypto ipsec policy P2-POLICY
    !
    !
    ! Diffie Hellmanのグループの指定します。
    !
    (conf-ipsec)# set pfs group14
    !
    !
    ! IPsec SAのライフタイムの指定(秒)します。
    !
    (conf-ipsec)# set security-association lifetime seconds 28800
    !
    !
    ! 鍵長を指定します。
    !
    (conf-ipsec)# set security-association transform-keysize aes 256 256 256
    !
    !
    ! 暗号化アルゴリズム、認証アルゴリズムを指定します。
    !
    (conf-ipsec)# set security-association transform esp-aes esp-sha256-hmac
    !
    !
    ! 暗号化されたESPパケットの MTU 長を設定します。
    !
    (conf-ipsec)# set mtu 1454
    !
    !
    ! インナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。
    !
    (conf-ipsec)# set ip df-bit 0
    !
    !
    ! Post-Fragment 方式(*3)とします。
    !
    (conf-ipsec)# set ip fragment post
    !
    !
    ! 基本設定モードに戻ります。
    !
    (conf-ipsec)#exit
    !
    !
    ! 拠点のVPNピアとのセレクタ情報をエントリします。
    !
    (config)#crypto map KYOTEN_1 ipsec-isakmp
    (config-crypto-map)# match address SELECTOR
    (config-crypto-map)# set isakmp-profile PROF0001
    (config-crypto-map)#exit
    !
    !
    ! 学習フィルタリングの設定をします。
    !
    (config)#access-list 111 deny ip any any
    (config)#access-list 121 spi ip any any
    !
    (config)#interface tunnel 1
    (config-if-tun 1)# ip access-group 111 in
    (config-if-tun 1)# ip access-group 121 out
    (config-if-tun 1)#exit
    !
    !
    ! VPNで使用するパケットを受信許可するフィルタリングの設定をします。
    !
    (config)#access-list 100 permit udp any eq 500 192.0.2.1 0.0.0.0 eq 500
    (config)#access-list 100 permit 50 any 192.0.2.1 0.0.0.0
    !
    (config)#interface tunnel 1
    (config-if-tun 1)# ip access-group 100 in
    (config-if-tun 1)#exit
    !
    !
    ! 拠点のtunnel インタフェースで有効にするVPNセレクタを設定します。
    !
    (config)#interface Tunnel 2
    (config-if-tun 2)# tunnel mode ipsec map KYOTEN_1
    (config-if-tun 2)# link-state sync-sa
    (config-if-tun 2)#exit
    !
    !
    ! VRRP 機能を有効にします。
    !
    (config)#ip vrrp enable
    !
    ! Port-channel にVRRP を設定します。
    !
    (config)#interface Port-channel 1
    (config-if-ch 1)# vrrp 1 address 192.168.1.254
    (config-if-ch 1)# vrrp 1 priority 200
    (config-if-ch 1)# vrrp 1 preempt
    (config-if-ch 1)#exit
    !
    !
    ! 障害復旧時にセンタのSAが確立するまでの経路を設定します。
    !
    (config)#ip route 192.168.2.0 255.255.255.0 192.168.1.252 100
    !
    !
    ! グローバル側の回線に障害が発生した際の切替(イベントアクション)を設定します。
    !
    (config)#event-action 1
    !
    ! PPPoEトンネルに障害が発生した際のイベントを設定します。
    !
    (config-event-action)# event interface tunnel 1 down
    !
    ! ローカル側のポートをDOWNさせるアクションを設定します。
    !
    (config-event-action)# action 1.0 interface gigaethernet 1/1 down
    (config-event-action)#exit
    !
    !
    ! グローバル側の回線が復旧した際の切替(イベントアクション)を設定します。
    !
    (config)#event-action 2
    !
    ! PPPoEトンネルが復旧した際のイベントを設定します。
    !
    (config-event-action)# event interface tunnel 1 up
    !
    ! ローカル側のポートをUPさせるアクションを設定します。
    !
    (config-event-action)# action 2.0 interface gigaethernet 1/1 up
    (config-event-action)#exit
    !
    !
    !
    ! 特権ユーザモードに戻ります。
    !
    (config)#end
    !
    ! 設定を保存します。
    ! 任意の名前で保存して下さい(*2)。
    !
    #save [ファイル名]
    !
    !
    ! 設定を有効にするために refresh をします。
    !
    #refresh
    refresh ok?[y/N]:yes
    ..................Done
    
    
    *1:物理ポート番号の設定
    *2:ファイル名を省略した場合、boot.cfgで保存されます。
       装置起動時に適用する設定はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。
    
    *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。
       それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
    

    コマンド設定の例
    (!の行はコメントです。実際に入力する必要はありません。)
    この設定を利用したい方は
    センタ2
    !
    !
    ! 特権ユーザモードに移行します。
    !
    > enable
    password: super ←パスワードを入力します。(実際は表示されない)
    !
    !
    ! 基本設定モードに移行します。
    !
    #configure terminal
    
    (config)#
    !
    !
    ! デフォルトルートを tunnel 1(PPPoE) に設定します。
    !
    (config)#ip route 0.0.0.0 0.0.0.0 tunnel 1
    !
    !
    ! 拠点宛の経路情報を各tunnel(IPsecトンネル)に設定します。
    !
    (config)#ip route 192.168.2.0 255.255.255.0 tunnel 2
    !
    !
    !
    ! NAT で変換対象とする送信元アドレス
    ! (ここではLAN 側アドレスを対象とします)を登録します。
    !
    (config)#ip nat list 1 192.168.1.0 0.0.0.255
    !
    !
    ! Port-channel にLAN側IPアドレスを設定します。
    !
    (config)#interface Port-channel 1
    (config-if-ch 1)# ip address 192.168.1.252 255.255.255.0
    (config-if-ch 1)# mss 1300
    (config-if-ch 1)#exit
    !
    !
    ! PPPoEの設定をします。
    ! プロバイダから指定された 認証ID、パスワードなどを設定します。
    !
    (config)#pppoe profile PPPOE_PROF
    (config-pppoe-profile PPPOE_PROF)# account abc123@***.***.ne.jp yyyxxxzzz
    (config-pppoe-profile PPPOE_PROF)#exit
    !
    !
    ! Tunnel インタフェース設定モードに移行します。
    !
    (config)#interface Tunnel 1
    !
    !
    ! プロバイダから指定された IPアドレスなどを設定します。
    !
    (config-if-tun 1)# description FLETS
    (config-if-tun 1)# ip address 192.0.2.2 255.255.255.255
    !
    !
    ! NAT+ の設定をします。
    !
    (config-if-tun 1)# ip nat inside source list 1 interface
    !
    !
    ! pppoe profile とのリンク付けをします。
    !
    (config-if-tun 1)# tunnel mode pppoe profile PPPOE_PROF
    !
    !
    ! GigaEthernet インタフェースとのリンク付けをします。
    !
    (config-if-tun 1)# pppoe interface gigaethernet 2/1 *1
    !
    !
    ! 基本設定モードに戻ります。
    !
    (config-if-tun 1)#exit
    !
    !
    ! PPPoE 通信で使用する物理インタフェースを設定します。
    !
    (config)#interface GigaEthernet 2/1 *1
    (config-if-ge 2/1)# vlan-id 2
    (config-if-ge 2/1)# bridge-group 2
    (config-if-ge 2/1)# pppoe enable
    (config-if-ge 2/1)#exit
    !
    !
    ! GigaEthernet インタフェースに、port-channel をリンク付けします。
    !
    (config)#interface GigaEthernet 1/1 *1
    (config-if-ge 1/1)# vlan-id 1
    (config-if-ge 1/1)# bridge-group 1
    (config-if-ge 1/1)# channel-group 1
    (config-if-ge 1/1)#exit
    !
    !
    ! VPNセレクタの設定を行ないます。
    !
    (config)#crypto ipsec selector SELECTOR
    (config-ip-selector)# src 1 ipv4 any
    (config-ip-selector)# dst 1 ipv4 any
    (config-ip-selector)#exit
    !
    !
    ! DPDの設定をします。
    !
    (config)#crypto isakmp keepalive
    !
    !
    ! VPN通信動作中の詳細なログを残す設定にします。
    !
    (config)#crypto isakmp log sa
    (config)#crypto isakmp log session
    (config)#crypto isakmp log negotiation-fail
    !
    !
    ! ISAKMP ポリシーの設定を行ないます。
    !
    (config)#crypto isakmp policy P1-POLICY
    !
    !
    ! 認証方式に事前共有鍵を使用します。
    !
    (config-isakmp)# authentication pre-share
    !
    !
    ! 暗号方式の指定します。
    !
    (config-isakmp)# encryption aes
    !
    !
    ! 鍵長を指定します。
    !
    (config-isakmp)# encryption-keysize aes 256 256 256
    !
    !
    ! Diffie Hellmanのグループの指定します。
    !
    (config-isakmp)# group 14
    !
    !
    ! IKE SAのライフタイムの指定(秒)します。
    !
    (config-isakmp)# lifetime 86400
    !
    !
    ! ハッシュ方式の指定します。
    !
    (config-isakmp)# hash sha-256
    !
    !
    ! アグレッシブモードを使用します。
    !
    (config-isakmp)# initiate-mode aggressive
    !
    !
    ! 基本設定モードに戻ります。
    !
    (config-isakmp)#exit
    !
    !
    ! 拠点向けのISAKMP プロファイルを設定します。
    !
    (config)#crypto isakmp profile PROF0001
    !
    !
    ! 対向拠点のユーザ名(ID-TYPE=User-FQDN) を指定します。
    !
    (conf-isa-prof)# match identity user id-kyoten1
    !
    !
    ! 自装置のWAN アドレスを設定します。
    !
    (conf-isa-prof)# local-address 192.0.2.2
    !
    !
    ! ISAKMP ポリシーとリンク付けします。
    !
    (conf-isa-prof)# set isakmp-policy P1-POLICY
    !
    !
    ! IPSEC ポリシーとリンク付けします。
    !
    (conf-isa-prof)# set ipsec-policy P2-POLICY
    !
    !
    ! IKE バージョンを指定します。
    !
    (conf-isa-prof)# ike-version 1
    !
    !
    ! 共通鍵を設定します。
    !
    (conf-isa-prof)# local-key SECRET-VPN
    !
    !
    ! 基本設定モードに戻ります。
    !
    (conf-isa-prof)#exit
    !
    !
    ! IPSEC ポリシーを設定します。
    !
    (config)#crypto ipsec policy P2-POLICY
    !
    !
    ! Diffie Hellmanのグループの指定します。
    !
    (conf-ipsec)# set pfs group14
    !
    !
    ! IPsec SAのライフタイムの指定(秒)します。
    !
    (conf-ipsec)# set security-association lifetime seconds 28800
    !
    !
    ! 鍵長を指定します。
    !
    (conf-ipsec)# set security-association transform-keysize aes 256 256 256
    !
    !
    ! 暗号化アルゴリズム、認証アルゴリズムを指定します。
    !
    (conf-ipsec)# set security-association transform esp-aes esp-sha256-hmac
    !
    !
    ! 暗号化されたESPパケットの MTU 長を設定します。
    !
    (conf-ipsec)# set mtu 1454
    !
    !
    ! インナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。
    !
    (conf-ipsec)# set ip df-bit 0
    !
    !
    ! Post-Fragment 方式(*3)とします。
    !
    (conf-ipsec)# set ip fragment post
    !
    ! NAT-Traversal を有効にします。
    !
    (conf-ipsec)# set udp-encapsulation nat-t
    (conf-ipsec)#exit
    !
    !
    ! 基本設定モードに戻ります。
    !
    (conf-ipsec)#exit
    !
    !
    ! 拠点のVPNピアとのセレクタ情報をエントリします。
    !
    (config)#crypto map KYOTEN_1 ipsec-isakmp
    (config-crypto-map)# match address SELECTOR
    (config-crypto-map)# set isakmp-profile PROF0001
    (config-crypto-map)#exit
    !
    !
    ! 拠点のtunnel インタフェースで有効にするVPNセレクタを設定します。
    !
    (config)#interface Tunnel 2
    (config-if-tun 2)# tunnel mode ipsec map KYOTEN_1
    (config-if-tun 2)#exit
    !
    !
    ! 学習フィルタリングの設定をします。
    !
    (config)#access-list 111 deny ip any any
    (config)#access-list 121 spi ip any any
    !
    (config)#interface tunnel 1
    (config-if-tun 1)# ip access-group 111 in
    (config-if-tun 1)# ip access-group 121 out
    (config-if-tun 1)#exit
    !
    !
    ! VPNで使用するパケットを受信許可するフィルタリングの設定をします。
    !
    (config)#access-list 100 permit udp any 192.0.2.2 0.0.0.0 eq 500
    (config)#access-list 100 permit udp any 192.0.2.2 0.0.0.0 eq 4500
    (config)#access-list 100 permit 50 any 192.0.2.2 0.0.0.0
    !
    (config)#interface tunnel 1
    (config-if-tun 1)# ip access-group 100 in
    (config-if-tun 1)#exit
    !
    !
    ! VRRP 機能を有効にします。
    !
    (config)#ip vrrp enable
    !
    ! Port-channel にVRRP を設定します。
    !
    (config)#interface Port-channel 1
    (config-if-ch 1)# vrrp 1 address 192.168.1.254
    (config-if-ch 1)# vrrp 1 priority 100
    (config-if-ch 1)# vrrp 1 preempt
    (config-if-ch 1)#exit
    !
    !
    !
    !
    !
    ! 特権ユーザモードに戻ります。
    !
    (config)#end
    !
    ! 設定を保存します。
    ! 任意の名前で保存して下さい(*2)。
    !
    #save [ファイル名]
    !
    !
    ! 設定を有効にするために refresh をします。
    !
    #refresh
    refresh ok?[y/N]:yes
    ..................Done
    
    
    *1:物理ポート番号の設定
    *2:ファイル名を省略した場合、boot.cfgで保存されます。
       装置起動時に適用する設定はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。
    
    *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。
       それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
    

    コマンド設定の例
    (!の行はコメントです。実際に入力する必要はありません。)
    この設定を利用したい方は
    拠点
    !
    !
    ! 特権ユーザモードに移行します。
    !
    > enable
    password: super ←パスワードを入力します。(実際は表示されない)
    !
    !
    ! 基本設定モードに移行します。
    !
    #configure terminal
    
    (config)#
    !
    !
    ! メイン経路のデフォルトルートを tunnel 1(PPPoE) に設定します。
    !
    (config)#ip route 0.0.0.0 0.0.0.0 tunnel 1
    !
    !
    ! バックアップ経路のデフォルトルートをDHCPクライアントが動作するインタフェースに設定します。
    !
    (config)#ip route 0.0.0.0 0.0.0.0 dhcp port-channel 2 200
    !
    !
    ! センタ1のVPNピア宛の経路を tunnel 1(PPPoE) に設定します。
    !
    (config)#ip route 192.0.2.1 255.255.255.255 tunnel 1
    !
    !
    ! センタ2のVPNピア宛の経路をDHCPクライアントが動作するインタフェースに設定します。
    !
    (config)#ip route 192.0.2.2 255.255.255.255 dhcp port-channel 2
    !
    ! NAT で変換対象とする送信元アドレス
    ! (ここではLAN 側アドレスを対象とします)を登録します。
    !
    (config)#ip nat list 1 192.168.2.0 0.0.0.255
    !
    !
    ! Port-channel にLAN側IPアドレスを設定します。
    !
    (config)#interface Port-channel 1
    (config-if-ch 1)# ip address 192.168.2.254 255.255.255.0
    (config-if-ch 1)# mss 1300
    (config-if-ch 1)#exit
    !
    !
    ! PPPoEの設定をします。
    ! プロバイダから指定された 認証ID、パスワードなどを設定します。
    !
    (config)#pppoe profile PPPOE_PROF
    (config-pppoe-profile PPPOE_PROF)# account abc345@***.***.ne.jp zzzyyyxxx
    (config-pppoe-profile PPPOE_PROF)#exit
    !
    !
    ! Tunnel インタフェース設定モードに移行します。
    !
    (config)#interface Tunnel 1
    !
    !
    (config-if-tun 1)# description FLETS
    !
    !
    ! NAT+ の設定をします。
    !
    (config-if-tun 1)# ip nat inside source list 1 interface
    !
    !
    ! pppoe profile とのリンク付けをします。
    !
    (config-if-tun 1)# tunnel mode pppoe profile PPPOE_PROF
    !
    !
    GigaEthernet インタフェースとのリンク付けをします。
    !
    (config-if-tun 1)# pppoe interface gigaethernet 2/1 *1
    !
    !
    ! 基本設定モードに戻ります。
    !
    (config-if-tun 1)#exit
    !
    !
    ! PPPoE 通信で使用する物理インタフェースを設定します。
    !
    (config)#interface GigaEthernet 2/1 *1
    (config-if-ge 2/1)# vlan-id 2
    (config-if-ge 2/1)# bridge-group 2
    (config-if-ge 2/1)# pppoe enable
    (config-if-ge 2/1)#exit
    !
    !
    ! GigaEthernet インタフェースに、port-channel をリンク付けします。
    !
    (config)#interface GigaEthernet 1/1 *1
    (config-if-ge 1/1)# vlan-id 1
    (config-if-ge 1/1)# bridge-group 1
    (config-if-ge 1/1)# channel-group 1
    (config-if-ge 1/1)#exit
    !
    !
    ! LTE内蔵モジュールの設定をします。
    !
    電波状態を10分(600秒)間隔でsyslogに出力する設定をします。
    !
    (config)#monitor signal-quality logging lte-module interval 600
    !
    !
    ! Port-channel インタフェース設定モードに移行します。
    !
    (config)#interface Port-channel 2
    !
    ! LTE内蔵モジュールよりアドレスを取得するための、DHCP クライアント機能を有効にします。
    !
    (config-if-ch 2)# ip dhcp service client
    !
    !
    ! NAT+ の設定をします。
    !
    (config-if-ch 2)# ip nat inside source list 1 interface
    !
    ! 基本設定モードに戻ります。
    !
    (config-if-ch 2)#exit
    !
    !
    ! lte-moduleインタフェースに、port-channel をリンク付けします。
    !
    (config)#interface LTE-Module 1
    (config-if-lte 1)# channel-group 2
    !
    ! lte-module インタフェースで有効にするSIMプロファイルを設定します。
    !
    (config-if-lte 1)# sim-profile 1 SIM1 default
    !
    ! 基本設定モードに戻ります。
    !
    (config-if-lte 1)#exit
    !
    !
    ! SIMプロファイル設定モードへ移行します。
    !
    (config)#sim-profile SIM1
    !
    ! LTEの認証に使用するユーザIDとパスワードを設定します。
    !
    (config-sim-profile SIM1)# account xxx123yyy@xxxxx.xx.jp XXX123
    !
    ! LTEで通信するためのAPN名を設定します。
    !
    (config-sim-profile SIM1)# apn-name lte-ocn.ntt.com
    !
    ! 常時接続を有効化します。
    !
    (config-sim-profile SIM1)# auto connect continuous
    !
    ! 接続回数のリミッタを設定します。
    !
    (config-sim-profile SIM1)# max-call disable
    !
    !
    ! 基本設定モードに戻ります。
    !
    (config-sim-profile SIM1)#exit
    !
    !
    ! VPNセレクタの設定を行ないます。
    !
    (config)#crypto ipsec selector SELECTOR
    (config-ip-selector)# src 1 ipv4 any
    (config-ip-selector)# dst 1 ipv4 any
    (config-ip-selector)#exit
    !
    !
    ! DPDの設定をします。
    !
    (config)#crypto isakmp keepalive
    !
    !
    ! VPN通信動作中の詳細なログを残す設定にします。
    !
    (config)#crypto isakmp log sa
    (config)#crypto isakmp log session
    (config)#crypto isakmp log negotiation-fail
    !
    !
    ! ISAKMP ポリシーの設定を行ないます。
    !
    (config)#crypto isakmp policy P1-POLICY
    !
    !
    ! 認証方式に事前共有鍵を使用します。
    !
    (config-isakmp)# authentication pre-share
    !
    !
    ! 暗号方式の指定します。
    !
    (config-isakmp)# encryption aes
    !
    !
    ! 鍵長を指定します。
    !
    (config-isakmp)# encryption-keysize aes 256 256 256
    !
    !
    ! Diffie Hellmanのグループの指定します。
    !
    (config-isakmp)# group 14
    !
    !
    ! IKE SAのライフタイムの指定(秒)します。
    !
    (config-isakmp)# lifetime 86400
    !
    !
    ! ハッシュ方式の指定します。
    !
    (config-isakmp)# hash sha-256
    !
    !
    ! アグレッシブモードを使用します。
    !
    (config-isakmp)# initiate-mode aggressive
    !
    !
    ! 基本設定モードに戻ります。
    !
    (config-isakmp)#exit
    !
    !
    ! センタ向けのISAKMP プロファイルを設定します。
    !
    (config)#crypto isakmp profile PROF0001
    !
    !
    ! 自装置のユーザ名(ID-TYPE=User-FQDN) を設定します。
    !
    (conf-isa-prof)# self-identity user-fqdn id-kyoten1
    !
    !
    ! ISAKMP ポリシーとリンク付けします。
    !
    (conf-isa-prof)# set isakmp-policy P1-POLICY
    !
    !
    ! IPSEC ポリシーとリンク付けします。
    !
    (conf-isa-prof)# set ipsec-policy P2-POLICY
    !
    !
    ! センタのWAN アドレスを設定します。
    !
    (conf-isa-prof)# set peer 192.0.2.1
    !
    !
    ! IKE バージョンを指定します。
    !
    (conf-isa-prof)# ike-version 1
    !
    !
    ! 共通鍵を設定します。
    !
    (conf-isa-prof)# local-key SECRET-VPN
    !
    !
    ! 基本設定モードに戻ります。
    !
    (conf-isa-prof)#exit
    !
    !
    ! 同様に、センタバックアップ向けのISAKMP プロファイルを設定します。
    !
    (config)#crypto isakmp profile PROF0002
    (conf-isa-prof)# self-identity user-fqdn id-kyoten1
    (conf-isa-prof)# set isakmp-policy P1-POLICY
    (conf-isa-prof)# set ipsec-policy P2-POLICY_BK
    (conf-isa-prof)# set peer 192.0.2.2
    (conf-isa-prof)# ike-version 1
    (conf-isa-prof)# local-key SECRET-VPN
    (conf-isa-prof)#exit
    !
    !
    ! IPSEC ポリシーを設定します。
    !
    (config)#crypto ipsec policy P2-POLICY
    !
    !
    ! Diffie Hellmanのグループの指定します。
    !
    (conf-ipsec)# set pfs group14
    !
    !
    ! 常にSAを確立しておく設定をします。
    !
    (conf-ipsec)# set security-association always-up
    !
    !
    ! IPsec SAのライフタイムの指定(秒)します。
    !
    (conf-ipsec)# set security-association lifetime seconds 28800
    !
    !
    ! 鍵長を指定します。
    !
    (conf-ipsec)# set security-association transform-keysize aes 256 256 256
    !
    !
    ! 暗号化アルゴリズム、認証アルゴリズムを指定します。
    !
    (conf-ipsec)# set security-association transform esp-aes esp-sha256-hmac
    !
    !
    ! 暗号化されたESPパケットの MTU 長を設定します。
    !
    (conf-ipsec)# set mtu 1454
    !
    !
    ! 暗号化されたESPパケットの MSS を設定します(*4)。
    !
    !(conf-ipsec)# set mss 1300
    !
    !
    ! インナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。
    !
    (conf-ipsec)# set ip df-bit 0
    !
    !
    ! Post-Fragment 方式(*3)とします。
    !
    (conf-ipsec)# set ip fragment post
    !
    !
    ! 基本設定モードに戻ります。
    !
    (conf-ipsec)#exit
    !
    !
    ! 同様に、センタバックアップ向けのISAKMP プロファイルを設定します。
    !
    (config)#crypto ipsec policy P2-POLICY_BK
    (conf-ipsec)# set pfs group14
    (conf-ipsec)# set security-association always-up
    (conf-ipsec)# set security-association lifetime seconds 28800
    (conf-ipsec)# set security-association transform-keysize aes 256 256 256
    (conf-ipsec)# set security-association transform esp-aes esp-sha256-hmac
    (conf-ipsec)# set mtu 1500
    (conf-ipsec)# set ip df-bit 0
    (conf-ipsec)# set ip fragment post
    !
    ! NAT-Traversal を有効にします。
    !
    (conf-ipsec)# set udp-encapsulation nat-t
    (conf-ipsec)#exit
    !
    !
    ! センタのVPNピアとのセレクタ情報をエントリします。
    !
    (config)#crypto map CENTER ipsec-isakmp
    (config-crypto-map)# match address SELECTOR
    (config-crypto-map)# set isakmp-profile PROF0001
    (config-crypto-map)#exit
    !
    !
    ! センタバックアップのVPNピアとのセレクタ情報をエントリします。
    !
    (config)#crypto map CENTER_BK ipsec-isakmp
    (config-crypto-map)# match address SELECTOR
    (config-crypto-map)# set isakmp-profile PROF0002
    (config-crypto-map)#exit
    !
    !
    !
    ! センタのtunnel インタフェースで有効にするVPNセレクタを設定します。
    !
    (config)#interface Tunnel 2
    (config-if-tun 2)# tunnel mode ipsec map CENTER
    (config-if-tun 2)#exit
    !
    !
    ! センタバックアップのtunnel インタフェースで有効にするVPNセレクタを設定します。
    !
    (config)#interface Tunnel 3
    (config-if-tun 3)# tunnel mode ipsec map CENTER_BK
    (config-if-tun 3)# link-state sync-sa
    (config-if-tun 3)#exit
    !
    !
    ! 学習フィルタリングの設定をします。
    !
    (config)#access-list 111 deny ip any any
    (config)#access-list 121 spi ip any any
    !
    (config)#interface tunnel 1
    (config-if-tun 1)# ip access-group 111 in
    (config-if-tun 1)# ip access-group 121 out
    (config-if-tun 1)#exit
    !
    (config)#interface LTE-Module 1
    (config-if-lte 1)# ip access-group 111 in
    (config-if-lte 1)# ip access-group 121 out
    (config-if-lte 1)#exit
    !
    !
    ! PPPoEトンネルにて、VPNで使用するパケットを受信許可するフィルタリングの設定をします。
    !
    (config)#access-list 100 permit udp 192.0.2.1 0.0.0.0 eq 500 any eq 500
    (config)#access-list 100 permit 50 192.0.2.1 0.0.0.0 any
    !
    (config)#interface tunnel 1
    (config-if-tun 1)# ip access-group 100 in
    (config-if-tun 1)#exit
    !
    !
    ! LTE内蔵モジュールにて、VPNで使用するパケットを受信許可するフィルタリングの設定をします。
    ! LTE内蔵モジュールよりアドレスを取得するための、DHCP パケットを受信許可するフィルタリングの設定をします。
    !
    (config)#access-list 101 permit udp 192.0.2.2 0.0.0.0 eq 500 any eq 500
    (config)#access-list 101 permit udp 192.0.2.2 0.0.0.0 eq 4500 any eq 4500
    (config)#access-list 101 permit 50 192.0.2.2 0.0.0.0 any
    (config)#access-list 101 permit udp any eq 67 any eq 68
    !
    (config)#interface LTE-Module 1
    (config-if-lte 1)# ip access-group 101 in
    (config-if-lte 1)#exit
    !
    !
    ! Survey機能の設定を行います。
    !  interface Tunnel 2経由でセンタ側のLAN側IPアドレスをICMP監視して、"interworking"を指定することで
    !  ICMP監視の結果によってtunnel インタフェースのup/downを同期させます。
    !
    (config)#survey 192.168.1.251 name t2_ICMP survey-map ICMP-Kanshi source port-channel 1 nexthop
    tunnel 2 interworking
    ! (config)#survey-map ICMP-Kanshi (config-svmap ICMP-Kanshi)# retry 2 interval 10000 (config-svmap ICMP-Kanshi)# frequency every 10000 (config-svmap ICMP-Kanshi)# stability 2 interval 10000 (config-svmap ICMP-Kanshi)#exit ! ! ! survey機能と連動したセンタ宛のメイン経路情報をtunnel 2(IPsecトンネル)に設定します。 ! (config)#ip route 192.168.1.0 255.255.255.0 tunnel 2 survey name t2_ICMP ! ! ! センタ宛のバックアップ経路情報をtunnel 3(IPsecトンネル)に設定します。 ! ディスタンス値を指定して優先度(値が小さい方が優先)を設定します。 ! (config)#ip route 192.168.1.0 255.255.255.0 tunnel 3 100 ! ! ! 回線がダウンしたときに、センタ宛の通信が ! 平文でそのまま出て行かないよう、null ルートを設定しておきます。 ! (config)#ip route 192.0.2.1 255.255.255.255 null 0 150 (config)#ip route 192.0.2.2 255.255.255.255 null 0 150 (config)#ip route 192.168.1.0 255.255.255.0 null 0 150 ! ! ! 特権ユーザモードに戻ります。 ! (config)#end ! ! 設定を保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名] ! ! ! 設定を有効にするために refresh をします。 ! #refresh refresh ok?[y/N]:yes ..................Done *1:物理ポート番号の設定 *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用する設定はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。 *4:IPsecトンネルの先のホストから送信されたDFビットつきのTCPパケットがPPPoE回線で破棄されてしまうような ケースを考慮して、インナーのMTU長以下になるようにMSSの書き換え設定を行います。 センター経由でインターネット上のサーバと通信を行うような場合に、本設定を推奨します。

    ページトップへ

    All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., Ltd. 2019