米兰体育中国官方网站 pppoe 5)#,pppoe server

end　　製品ラインナップ　　 FITELnet-Fシリーズ　　 FITELnet-F100・1000　　　　冗長米兰体育中国官方网站(5)

1．F100単体で冗長、米兰体育中国官方网站、バックアップ回線共に暗号化　

※F100をF1000に置き換えても運用できます

・A拠点側F100は単体で回線冗長を行い、PPPoE(IPアドレス不定)を2セッション使用米兰体育中国官方网站。
　なお、PPPoEの1〜4は物理ポートEWAN1、PPPoE5のみ物理ポートEWAN2を使用米兰体育中国官方网站。
また、PPPoE1と4を使用した米兰体育中国官方网站も可能です。(物理ポートEWAN1を共有)

・A拠点側F100はメイン米兰体育中国官方网站のみ米兰体育中国官方网站監視を行います。
　(米兰体育中国官方网站監視にはICMP(Ping)のKeepaliveを使用)

・メイン米兰体育中国官方网站、バックアップ米兰体育中国官方网站の切り替えはA拠点側F100が自動的に行い、メイン米兰体育中国官方网站復旧後の
　切り戻しもA拠点側F100が自動的に行います。
　※Keepaliveによりメイン経路の障害時にそのSAを消去します。バックアップ経路は米兰体育中国官方网站の関連
　　付けがされているPPPoE5が自動的にnexthopに米兰体育中国官方网站されます。

・IPsecはアグレッシブモードのため米兰体育中国官方网站契機のVPNは張れません。そのため、A拠点側での
　IPsec米兰体育中国官方网站にてSAの常時維持を行います。

・B拠点側2台のF100の米兰体育中国官方网站制御用に別途L3スイッチ等を使用します。
　F1000を２台利用する場合は、VRRP機能を使うことにより、L3SW不要の構成とすることができます。
　米兰体育中国官方网站例はこちら。

・B拠点側のF100-CはSAの確立を契機として到達可能となった米兰体育中国官方网站情報をLAN側に広告(sa-upルート
　機能とRIP)米兰体育中国官方网站。
　B拠点側の米兰体育中国官方网站制御はL3SWがメトリック値をもとに判断します。

・回線障害時の切り替えには平均で30秒ほどかかります。
　(Keepaliveの送信間隔が初期値で60秒に米兰体育中国官方网站されているためです)
　(Keepaliveに関する米兰体育中国官方网站は「alive」コマンドを参照)

※この米兰体育中国官方网站例での2つのSA(経路)はActive-Standbyです
　（常時2つのSAをActive-Activeで使用する米兰体育中国官方网站例はこちら）

＜プロバイダより割り振られたアドレス（アドレスは一例です）＞

A拠点側F100 PPPoE1	指定なし
A拠点側F100 PPPoE5	指定なし
米兰体育中国官方网站F100-B	200.200.200.200
米兰体育中国官方网站F100-C	100.100.100.100

＜米兰体育中国官方网站条件＞

米兰体育中国官方网站環境は図のとおり

IPsecの対象とする中継パケット	any ⇔ 192.168.1.0/24 ※米兰体育中国官方网站L3SWの背後の別セグメントからもVPN可能
A拠点側 F100(LAN側)	192.168.1.1
B拠点側（米兰体育中国官方网站） F100(LAN側)	192.168.0.1
B拠点側（米兰体育中国官方网站） F100(LAN側)	192.168.0.2
IPsec Phase1ポリシー	モード･･･ Aggressiveモード認証方式･･･事前共有鍵方式暗号化方式･･･米兰体育中国官方网站ハッシュ方式･･･ MD5
IPsec Phase2ポリシー	暗号化方式･･･米兰体育中国官方网站ハッシュ方式･･･ MD5 IPsec SA確立契機･･･常にSAを確立する　　　　　　　　　　（A拠点側メイン経路のみ米兰体育中国官方网站）
L3SWの米兰体育中国官方网站	・rip(Ver2)を受信・192.168.1.0/24へのスタティックルートをF100-Bに米兰体育中国官方网站スタティックの優先度は、ripよりも低くして下さい。

＜コマンドによる米兰体育中国官方网站＞（!の行はコメントです。実際に入力する必要はありません）

A拠点 FITELnet-F100-Aの米兰体育中国官方网站

この米兰体育中国官方网站を適用したい方は

!
RouterenableEnter password:super←パスワードを入力米兰体育中国官方网站。（実際は表示されない）

Router#
Router#configure terminalRouter(config)#
!
!
! LAN側IPアドレスを米兰体育中国官方网站します。
!
Router(config)#interface lan 1Router(config-if lan 1)#ip address 192.168.1.1 255.255.255.0Router(config-if lan 1)#exit!
!
! PPPoE1インタフェース米兰体育中国官方网站モードに移行します。
!
Router(config)#interface pppoe 1Router(config-if pppoe 1)#pppoe server A-ProviderRouter(config-if pppoe 1)#pppoe account user@xxxx.ne.jp secretRouter(config-if pppoe 1)#pppoe type hostRouter(config-if pppoe 1)#crypto map MAINRouter(config-if pppoe 1)#exit!
!
! PPPoE5インタフェース（バックアップ用）米兰体育中国官方网站モードに移行します。
!
Router(config)#interface pppoe 5Router(config-if pppoe 5)#pppoe server B-ProviderRouter(config-if pppoe 5)#pppoe account user@xxxx.ne.jp secretRouter(config-if pppoe 5)#pppoe type hostRouter(config-if pppoe 5)#crypto map BACKUPRouter(config-if pppoe 5)#exit!
!
! デフォルトルートをPPPoE１に米兰体育中国官方网站します。
!
Router(config)#ip route 0.0.0.0 0.0.0.0 pppoe 1
!               米兰体育中国官方网站側で通信する場合の、センターの米兰体育中国官方网站側のpeerへのルートと、IPsec通信対象ネット
!               ワークへのルートとなります。米兰体育中国官方网站時には、PPPoE5側に向けたセンターのバック
!               アップ側のpeerへのルートと、IPsec通信対象ネットワークへのルートが自動的に登録されます。!
!
! 暗号化を使用する米兰体育中国官方网站します。
!
Router(config)#vpn enableRouter(config)#vpnlog enable
!Router(config)#ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255any
!               米兰体育中国官方网站LANのネットワークアドレスを任意
!                 →L3SWの内側のネットワークを問わないRouter(config)#ipsec access-list 64 bypass ip any anyRouter(config)#ipsec transform-set P2-米兰体育中国官方网站-MD5 esp-米兰体育中国官方网站 esp-md5-hmac!
Router(config)#crypto isakmp policy 1Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption 米兰体育中国官方网站Router(config-isakmp)#hash md5Router(config-isakmp)#keepalive icmp
!                      米兰体育中国官方网站側に関しては always-send オプションを付けなくても、always-send 相当の
!                      動きになります（always-send オプションを付けても問題ありません）。Router(config-isakmp)#keepalive-icmp peer-address 192.168.0.1Router(config-isakmp)#keepalive-icmp source-interface lan 1Router(config-isakmp)#keepalive-icmp redundancyinterface pppoe 1 *1
!                                        IPsec冗長機能使用時にICMPのkeepaliveにて監視Router(config-isakmp)#key ascii muchoRouter(config-isakmp)#my-identity F100MAINRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity address 200.200.200.200Router(config-isakmp)#exit!
Router(config)#crypto isakmp policy 2Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption 米兰体育中国官方网站Router(config-isakmp)#hash md5Router(config-isakmp)#key ascii muchoRouter(config-isakmp)#my-identity F100BACKUPRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity address 100.100.100.100Router(config-isakmp)#exit!
Router(config)#crypto map MAIN 1Router(config-crypto-map)#match address 11st
!                                             IPsec冗長機能の米兰体育中国官方网站SAを指定Router(config-crypto-map)#set peer address200.200.200.200Router(config-crypto-map)#set security-association always-upRouter(config-crypto-map)#set transform-set P2-米兰体育中国官方网站-MD5Router(config-crypto-map)#exit!
Router(config)#crypto map BACKUP 2 *2Router(config-crypto-map)#match address 12nd
!                                             IPsec冗長機能の米兰体育中国官方网站SAを指定Router(config-crypto-map)#set peer address100.100.100.100Router(config-crypto-map)#set security-association always-up*3
Router(config-crypto-map)#set transform-set P2-米兰体育中国官方网站-MD5Router(config-crypto-map)#set redundancydelete-message-send
!                                           米兰体育中国官方网站SAの復帰時にバックアップSAを削除Router(config-crypto-map)#exit!
Router(config)#endRouter#save SIDE-A.cfg% saving working-config
% finished saving

*1：メイン側が pppoe 1 ではなく、ewan 1 でアドレスをマニュアル米兰体育中国官方网站して
　　いる場合は、次のように米兰体育中国官方网站します。

　keepalive-icmp redundancy interface ewan 1
　keepalive-icmp redundancy address <米兰体育中国官方网站側の nexthop のアドレス

*2：バックアップ側が pppoe 5 ではなく、ewan 2 でアドレスをマニュアル米兰体育中国官方网站して
　　いる場合は、バックアップ側の crypto map に次の米兰体育中国官方网站も必要になります。

　set redundancy address <米兰体育中国官方网站側の nexthop のアドレス

*3：FITELnet-F100の場合、V01.07以降のファームウェアで米兰体育中国官方网站できます。
　　FITELnet-F1000は、最初のファームウェアV01.00から米兰体育中国官方网站できます。
　　この米兰体育中国官方网站により、バックアップ通信に切り替わった場合でも、常にSAを
　　確立した状態を維持できるようになり、センター契機の通信にも対応できます。

B拠点 FITELnet-F100-Bの米兰体育中国官方网站

!
ip route 0.0.0.0 0.0.0.0 pppoe 1
!
access-list 1 permit 192.168.0.0 0.0.0.255
!
vpn enable
vpnlog enable
!
ipsec access-list 1 ipsec ip any 192.168.1.0 0.0.0.255
ipsec access-list 64 bypass ip any any
ipsec transform-set P2-米兰体育中国官方网站-MD5 esp-米兰体育中国官方网站 esp-md5-hmac
!
interface lan 1
 ip address 192.168.0.1 255.255.255.0
exit
!
interface pppoe 1
 crypto map MAIN
 ip address 200.200.200.200
 ip nat inside source list 1 interface
 pppoe server A-Provider
 pppoe account e1111111@xxx.ne.jp abcd123 
 pppoe type host
exit
!
crypto isakmp policy 1
 authentication prekey
 encryption 米兰体育中国官方网站
 hash md5
 key ascii mucho
 negotiation-mode aggressive
 peer-identity host F100MAIN
exit
!
crypto map MAIN 1
 match address 1
 set peer host F100MAIN
 set transform-set P2-米兰体育中国官方网站-MD5
exit
!
!
end

B拠点 FITELnet-F100-Cの米兰体育中国官方网站

!
ip route 0.0.0.0 0.0.0.0 pppoe 1
!
access-list 1 permit 192.168.0.0 0.0.0.255
!
vpn enable
vpnlog enable
!
ipsec access-list 1 ipsec ip any 192.168.1.0 0.0.0.255
ipsec access-list 64 bypass ip any any
ipsec transform-set P2-米兰体育中国官方网站-MD5 esp-米兰体育中国官方网站 esp-md5-hmac
!
interface lan 1
 ip address 192.168.0.2 255.255.255.0
exit
!
interface pppoe 1
 crypto map BACKUP
 ip address 100.100.100.100
 ip nat inside source list 1 interface
 pppoe server B-Provider
 pppoe account e222222@xxx.ne.jp abcd345 
 pppoe type host
exit
!
crypto isakmp policy 1
 authentication prekey
 encryption 米兰体育中国官方网站
 hash md5
 key ascii mucho
 negotiation-mode aggressive
 peer-identity host F100BACKUP
exit
!
crypto map BACKUP 1
 match address 1
 set peer host F100BACKUP
 set transform-set P2-米兰体育中国官方网站-MD5
 sa-up routeinterface pppoe 1 *4
!            SAの確立を契機としてA拠点側LAN(192.168.1.0/24)へのルート情報を登録し、
!            nexthopをpppoe1とするexit
!
router rip
 networklan 1
!        ripを使用するインタフェース指定timers basic30 90 120
!             定期送信間隔
!                米兰体育中国官方网站情報を削除するまでの時間
!                   米兰体育中国官方网站情報を一時到達不能にするまでの時間version 2
exit
!
end

*4： pppoe 1 ではなく、ewan 1 でアドレスをマニュアル米兰体育中国官方网站している場合は、
　　次のように米兰体育中国官方网站します。

　sa-up route address <nexthop のアドレス