milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
milan米兰体育官网
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
米兰体育中国官方网站例
3.米兰体育中国官方网站単体冗長、トンネルルート使用
概要
  • 拠点側米兰体育中国官方网站単体で回線冗長を行い、メイン経路はインターネットへPPPoE(IPアドレス不定)接続、バックアップ経路は対向のE30へISDNでダイヤルアップ接続します。
  • センタ側で米兰体育中国官方网站されるトンネルルート機能とは、IPsec-アグレッシブモードのレスポンダ側の場合でのみ使用可能です。これは対向装置のピアへのルートをIKEネゴを契機としてnexthopを登録する機能です。
  • 拠点側米兰体育中国官方网站で常時L3監視(Pingを使用)を行い、一定のしきい値をトリガにバックアップ経路(ISDN)に切り替わります。(しきい値の調整は「冗長米兰体育中国官方网站(2)」を参照)
  • メイン経路復旧後の切り戻しも拠点側米兰体育中国官方网站が自動的に行います。
  • バックアップ経路使用時、米兰体育中国官方网站から見た拠点側は見かけ上は1ホストからの通信に見えます。
    (NAT+(IPマスカレード)変換により、全て192.168.100.3に集約されます)
    ※ このとき、米兰体育中国官方网站から拠点側の特定の端末(サーバ等)への通信は行えません
  • センター側米兰体育中国官方网站は、192.168.3.0/24宛のパケットはPPPoE1へ、192.168.100.0/24宛のパケットはE30へ転送します。
  • E30は、192.168.100.0/24宛のパケットはISDNへ、それ以外のパケットはセンター側米兰体育中国官方网站へ転送します。
  • IPsecはアグレッシブモードのため米兰体育中国官方网站契機のVPNは張れません。しかし、拠点側からのL3監視パケットをVPN内を通すことで結果としてSAは常時維持されます。
    (又は「set security-association always-up」コマンドを使用する方法もあります)
  • ISDN回線は、無通信状態が一定時間(60秒)続くと自動的に切断されます。
    (詳細は「calling idle-timeout」「called idle-timeout」コマンド参照)
  • インターネットへのアクセスは米兰体育中国官方网站ファイヤーウォール経由で行います。
    ※ 米兰体育中国官方网站でNAT+(IPマスカレード)を使用したインターネットアクセスは行いません
補足・注意点
動作説明
前提条件
当米兰体育中国官方网站例では、以下のアドレス・環境を前提に説明しています。
プロバイダより割り振られたアドレス(アドレスは一例です)
センタ側米兰体育中国官方网站 200.200.200.1
拠点側米兰体育中国官方网站 指定なし
米兰体育中国官方网站環境
IPsecおよび冗長の対象とする中継パケット any ⇔ 192.168.3.0/24
IPsec Phase1ポリシー モード ・・・ Aggressiveモード
認証方式 ・・・ 事前共有鍵方式
暗号化方式 ・・・ AES 128
ハッシュ方式 ・・・ SHA
Diffie-Hellman ・・・ Group 2
IPsec Phase2ポリシー 暗号化方式 ・・・ AES 128
ハッシュ方式 ・・・ SHA
拠点側米兰体育中国官方网站-ISDNインタフェースのIPアドレス 192.168.100.3
L3監視パケット宛先 192.168.1.1
米兰体育中国官方网站ISDN番号 01-2345-6789
拠点側ISDN番号 98-7654-3210
ファイヤーウォール
(経路制御について)		 192.168.3.0/24宛のパケットはセンター側米兰体育中国官方网站へ
192.168.100.0宛のパケットはE30へ
グローバルIPアドレス宛のパケットは米兰体育中国官方网站
コマンド米兰体育中国官方网站の例
(!の行はコメントです。実際に入力する必要はありません。)
この米兰体育中国官方网站利用したい方は
拠点側FITELnet-米兰体育中国官方网站の設定 
!
!
! 米兰体育中国官方网站。
!
RouterenableEnter password:super←パスワードを入力します。(実際は表示されない)

Router#
!
!
! 基本米兰体育中国官方网站モードに移行します。
!
Router#configure terminal!
!
! VPNの米兰体育中国官方网站します。
!
Router(config)#vpn enable ewan 1Router(config)#vpnlog enable!
Router(config)#ipsec access-list 1 ipsec ip 192.168.3.0 0.0.0.255 anyRouter(config)#ipsec access-list 64 bypass ip any any!
Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac!
Router(config)#crypto isakmp policy 1Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#idtype-pre userfqdnRouter(config-isakmp)#key ascii MUCHORouter(config-isakmp)#my-identity 米兰体育中国官方网站KYOTENRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity address 200.200.200.1Router(config-isakmp)#exit!
Router(config)#crypto map kyoten 1Router(config-crypto-map)#match address 1Router(config-crypto-map)#set peer address 200.200.200.1Router(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit!
!
! L3監視の米兰体育中国官方网站行ないます。
!
Router(config)#redundancy pathcheck-list 1Router(config-red-pathcheck-list 1)#ip address192.168.1.1
!                                    L3監視パケット(Ping)の送信先IPアドレスRouter(config-red-pathcheck-list 1)#route米兰体育中国官方网站
!                                    L3監視パケットのNexthopRouter(config-red-pathcheck-list 1)#source-interfacelan 1
!                            この場合パケットの送信元IPアドレスは192.168.3.1となります
!                            (パケットは暗号化され、IPsecSAを常時維持する機能もします)Router(config-red-pathcheck-list 1)#exit!
!
! 冗長対象パケットの米兰体育中国官方网站行ないます。
!
Router(config)#redundancy pathfilter-list 1Router(config-red-pathfilter-list 1)#destination0.0.0.0 0.0.0.0
!                                     冗長の対象となるパケットの宛先Router(config-red-pathfilter-list 1)#pathcheck-list1
!                                     L3監視米兰体育中国官方网站の対応付けRouter(config-red-pathfilter-list 1)#1st米兰体育中国官方网站
!                                     メイン経路の米兰体育中国官方网站フェースRouter(config-red-pathfilter-list 1)#2nddialer 1
!                                     バックアップ経路の米兰体育中国官方网站フェースRouter(config-red-pathfilter-list 1)#exit!
!
! PPPoEの米兰体育中国官方网站します。
!
Router(config)#interface 米兰体育中国官方网站Router(config-if 米兰体育中国官方网站)#crypto map kyotenRouter(config-if 米兰体育中国官方网站)#pppoe server ProviderARouter(config-if 米兰体育中国官方网站)#pppoe account user@xxxx.ne.jp passwordRouter(config-if 米兰体育中国官方网站)#pppoe type hostRouter(config-if 米兰体育中国官方网站)#exit!
!
! センター側のピアへのルートを米兰体育中国官方网站します。
!冗長対象となるネットワークに対するルートは、冗長機能により自動的に登録されますので、
! スタティックでは米兰体育中国官方网站してはいけません。!
Router(config)#ip route 200.200.200.1 255.255.255.255 米兰体育中国官方网站!
!
! ダイヤルアップ用の米兰体育中国官方网站します。
!
Router(config)#interfacebri 1
!               ISDNの使用を宣言Router(config-if bri 1)#exit!
Router(config)#interface dialer 1Router(config-if dialer 1)#dialer mapip broadcast 0123456798
!                           対向のIPアドレスに指定なし、E30へ発呼する電話番号Router(config-if dialer 1)#dialer interfacebri 1
!                           ダイヤルアップ接続にISDNを使用Router(config-if dialer 1)#ip address192.168.100.3 255.255.255.0
!                           IPアドレスの米兰体育中国官方网站Router(config-if dialer 1)#ip nat inside sourcelist 1 interface
!                           NAT+米兰体育中国官方网站(IPマスカレード)Router(config-if dialer 1)#exit!
!
! LAN側IPアドレスを米兰体育中国官方网站します。
!
Router(config)#interface lan 1Router(config-if lan 1)#ip address 192.168.3.1 255.255.255.0Router(config-if lan 1)#exit!
!
! ProxyDNSの米兰体育中国官方网站します。
!
Router(config)#proxydns mode v4!
!
! DHCPサーバの米兰体育中国官方网站します。
!
Router(config)#service dhcp-server!
Router(config)#ip dhcp pool lan1Router(config-dhcp-pool)#dns-server 0.0.0.0Router(config-dhcp-pool)#default-router 0.0.0.0Router(config-dhcp-pool)#exit!
!
! 米兰体育中国官方网站。
!
Router(config)#end!
!
! 米兰体育中国官方网站保存します。
!
Router#save SIDE-A.cfg% saving working-config
% finished saving

Router#
!
!
! 米兰体育中国官方网站有効にするために再起動します。
!
Router#resetAre you OK to cold start?(y/n)y
コマンド米兰体育中国官方网站の例
(!の行はコメントです。実際に入力する必要はありません。)
この米兰体育中国官方网站利用したい方は
センター側FITELnet-米兰体育中国官方网站の設定
!
!
! 米兰体育中国官方网站。
!
RouterenableEnter password:super←パスワードを入力します。(実際は表示されない)

Router#
!
!
! 基本米兰体育中国官方网站モードに移行します。
!
Router#configure terminalRouter(config)#
!
Router(config)#hostname 米兰体育中国官方网站_1米兰体育中国官方网站_1(config)#
!
!
! LAN側IPアドレスを設定します。
!
米兰体育中国官方网站_1(config)#interface lan 1米兰体育中国官方网站_1(config-if lan 1)#ip address 192.168.1.1 255.255.255.0米兰体育中国官方网站_1(config-if lan 1)#exit!
!
! PPPoEの設定をします。
!
米兰体育中国官方网站_1(config)#interface 米兰体育中国官方网站米兰体育中国官方网站_1(config-if pppoe 1)#crypto map kyoten米兰体育中国官方网站_1(config-if pppoe 1)#pppoe server A-Provider米兰体育中国官方网站_1(config-if pppoe 1)#pppoe account user@yyyy.co.jp password米兰体育中国官方网站_1(config-if pppoe 1)#pppoe type host米兰体育中国官方网站_1(config-if pppoe 1)#exit!
!
! ルートの設定をします。
!
米兰体育中国官方网站_1(config)#ip route 192.168.3.0 255.255.255.0 米兰体育中国官方网站米兰体育中国官方网站_1(config)#ip route192.168.100.0 255.255.255.0 192.168.1.2
!               192.168.100.0/24宛てのパケット(主にNAT+で変換された192.168.3.0/24のもの)はE30に転送米兰体育中国官方网站_1(config)#ip route0.0.0.0 0.0.0.0 192.168.1.3
!               デフォルトルートはファイヤーウォール!
!
! ProxyDNSの設定をします。
!
米兰体育中国官方网站_1(config)#proxydns mode v4!
!
! DHCPサーバの設定をします。
!
米兰体育中国官方网站_1(config)#service dhcp-server!
米兰体育中国官方网站_1(config)#ip dhcp pool lan1米兰体育中国官方网站_1(config-dhcp-pool)#dns-server 0.0.0.0米兰体育中国官方网站_1(config-dhcp-pool)#default-router 0.0.0.0米兰体育中国官方网站_1(config-dhcp-pool)#exit!
!
! VPNの設定をします。
!
米兰体育中国官方网站_1(config)#vpn enable米兰体育中国官方网站_1(config)#vpnlog enable!
米兰体育中国官方网站_1(config)#crypto isakmp policy 1米兰体育中国官方网站_1(config-isakmp)#authentication prekey米兰体育中国官方网站_1(config-isakmp)#encryption aes 128米兰体育中国官方网站_1(config-isakmp)#hash sha米兰体育中国官方网站_1(config-isakmp)#group 2米兰体育中国官方网站_1(config-isakmp)#idtype-pre userfqdn米兰体育中国官方网站_1(config-isakmp)#key ascii MUCHO米兰体育中国官方网站_1(config-isakmp)#negotiation-mode aggressive米兰体育中国官方网站_1(config-isakmp)#peer-identity host 米兰体育中国官方网站KYOTEN米兰体育中国官方网站_1(config-isakmp)#exit!
米兰体育中国官方网站_1(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac米兰体育中国官方网站_1(config)#ipsec access-list 1 ipsec ip any 192.168.3.0 0.0.0.255!
米兰体育中国官方网站_1(config)#crypto map kyoten 1米兰体育中国官方网站_1(config-crypto-map)#match address 1米兰体育中国官方网站_1(config-crypto-map)#set peer host 米兰体育中国官方网站KYOTEN米兰体育中国官方网站_1(config-crypto-map)#set transform-set P2-POLICY米兰体育中国官方网站_1(config-crypto-map)#exit!
米兰体育中国官方网站_1(config)#crypto security-association米兰体育中国官方网站_1(config-crypto-sa)#tunnel-routeinterface 米兰体育中国官方网站
!                         VPNピアへのNexthopを米兰体育中国官方网站米兰体育中国官方网站_1(config-crypto-sa)#exit!
!
! 特権ユーザモードに戻ります。
!
米兰体育中国官方网站_1(config)#end!
!
! 設定を保存します。
!
米兰体育中国官方网站_1#save SIDE-A.cfg% saving working-config
% finished saving

米兰体育中国官方网站_1#
!
!
! 設定を有効にするために再起動します。
!
米兰体育中国官方网站_1#resetAre you OK to cold start?(y/n)y
コマンド米兰体育中国官方网站の例

センター側FITELnet-E30の米兰体育中国官方网站

"reset -d"(デフォルトリスタート)実行後、以下の米兰体育中国官方网站貼り付けてください。

wan isdn single

target add name=MUCHO dial=9876543210 key=nn, speed=64 continuouslimiter=600,on\
 callinglimiter=40,on cbmode=off dialcheckmask=0

isdn dialcheck=off recvcheck=off sendcheck=off multimode=off limiter=12\
 congestiontimer=1
isdn -1 dial=* dial2=* retrytimes=8 idletimer=60,60 target=MUCHO mode=traffic\
 recvidletimer=off globalnumber=allow

iptarget add addr=192.168.100.3 name=MUCHO

targetinterface add name=MUCHO interface=isdn1

ipripstatic delete all
ipripstatic add dst=192.168.3.0,255.255.255.0 nexthop=192.168.100.3 metric=16\
 preference=50
ipripstatic add dst=0.0.0.0,0.0.0.0 nexthop=192.168.1.3 metric=16 preference=50

interface ip lan addr=192.168.1.2,255.255.255.0 broadcast=192.168.1.255
interface ip isdn1 addr=192.168.100.1,255.255.255.0 broadcast=192.168.100.255
E30のmetric値16は、RIPで外部への広告は行わないが自身のルート情報としては有効

 

ページトップへ

米兰体育中国官方网站
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007
米兰体育中国官方网站