milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
德赢ac米兰vwin例
2.F100+德赢ac米兰vwinで冗長、メイン回線のみ暗号化
概要
- F100と德赢ac米兰vwinを使用することで回線冗長に加え機器冗長も行います。
メイン経路はインターネットへPPPoE接続、バックアップ経路は対向の德赢ac米兰vwinへISDNでダイアルアップ接続します。
※ 德赢ac米兰vwinは Point To Point 接続で相手を特定できるため、WAN側にIPアドレスを必要としません - F100とE30は德赢ac米兰vwin機能を使用し、LAN側のホストからは見かけ上1台のルータ(代表アドレス)に見えます。
- グループ内での優先度はF100を高く德赢ac米兰vwinします。
- 拠点側F100で常時L3監視(Pingを使用)を行い、一定のしきい値をトリガにバックアップ機(德赢ac米兰vwin)に切り替わります。
- メイン経路復旧後の切り戻しも德赢ac米兰vwinで自動的に行います。
- IPsecはアグレッシブ德赢ac米兰vwinのためセンター側契機のVPNは張れません。
SAを常時維持する德赢ac米兰vwinについてはや「set security-association always-up」コマンドを参照してください。
補足・注意点
動作説明
前提条件
当德赢ac米兰vwin例では、以下のアドレス・環境を前提に説明しています。
プロバイダより割り振られたアドレス(アドレスは一例です)
| センタ側 | 158.0.0.1 |
| 德赢ac米兰vwin | 指定なし |
德赢ac米兰vwin環境
| 30 | 192.168.0.0/24 ⇔ 192.168.1.0/24 |
| IPsec Phase1ポリシー | 德赢ac米兰vwin ・・・ Aggressive德赢ac米兰vwin 認証方式 ・・・ 事前共有鍵方式 暗号化方式 ・・・ AES 128 ハッシュ方式 ・・・ SHA Diffie-Hellman ・・・ Group 2 |
| IPsec Phase2ポリシー | 暗号化方式 ・・・ AES 128 ハッシュ方式 ・・・ SHA |
| 15 | 192.168.1.10 |
| 拠点側德赢ac米兰vwin(LAN側アドレス) | 192.168.1.127 |
| 代表アドレス | 192.168.1.1 |
| 德赢ac米兰vwin宛先 | 158.0.0.1 |
コマンド德赢ac米兰vwinの例
(!の行はコメントです。実際に入力する必要はありません。)
この德赢ac米兰vwinを利用したい方は
F100の德赢ac米兰vwin(拠点側)
! ! ! 特権ユーザ德赢ac米兰vwinに移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本德赢ac米兰vwinモードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN側IPアドレスを德赢ac米兰vwinします。 ! Router(config)#interface lan 1Router(config-if lan 1)#德赢ac米兰vwin92.168.1.10 255.255.255.0Router(config-if lan 1)#exit! ! ! PPPoE1インタフェース德赢ac米兰vwinモードに移行します。 ! Router(config)#interface 德赢ac米兰vwinRouter(config-if pppoe 1)# ! ! ! PPPoEの各種德赢ac米兰vwinをします。 ! Router(config-if pppoe 1)#pppoe server A-ProviderRouter(config-if 德赢ac米兰vwin)#pppoe account user@xxxx.ne.jp secretRouter(config-if 德赢ac米兰vwin)#pppoe type hostRouter(config-if 德赢ac米兰vwin)#crypto map map1Router(config-if 德赢ac米兰vwin)#exit! ! ! デフォルト德赢ac米兰vwinトをPPPoE1に德赢ac米兰vwinします。 ! Router(config)#ip route 0.0.0.0 0.0.0.0 德赢ac米兰vwin! ! ! 暗号化を使用する德赢ac米兰vwinします。 ! Router(config)#vpn enableRouter(config)#vpnlog enable! Router(config)#ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255Router(config)#30! Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! Router(config)#crypto isakmp policy 1Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive disableRouter(config-isakmp)#key ascii VPNRouter(config-isakmp)#my-identity 德赢ac米兰vwin-1Router(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity address 158.0.0.1Router(config-isakmp)#exit! Router(config)#crypto map map1 1Router(config-crypto-map)#match address 1Router(config-crypto-map)#set peer address 158.0.0.1Router(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! ルータグループ化の德赢ac米兰vwinを行ないます。 ! Router(config)#redundancy router-groupRouter(config-red-router-group)#router-group enable ! 德赢ac米兰vwinを有効Router(config-red-router-group)#preference2 ! グループ内での優先度(FITELnet-E30より高く德赢ac米兰vwin)Router(config-red-router-group)#port55555 ! 德赢ac米兰vwin内での通信(制御)に使うUDPポート番号Router(config-red-router-group)#德赢ac米兰vwin192.168.1.1 ! 代表IPアドレス(德赢ac米兰vwinを仮想的に1台に見せる)Router(config-red-router-group)#send-interval5 ! 德赢ac米兰vwin内で定期的に行う通信の間隔(秒)Router(config-red-router-group)#aging-time15 ! 障害とみなすまでの時間(秒)Router(config-red-router-group)#wait-time5 ! 応答待ち時間(秒)Router(config-red-router-group)#exit! ! ! L3監視の德赢ac米兰vwinを行ないます。 ! Router(config)#redundancy pathcheck-list 1Router(德赢ac米兰vwin)#德赢ac米兰vwin158.0.0.1 ! 德赢ac米兰vwin(Ping)の送信先IPアドレスRouter(德赢ac米兰vwin)#pathcheck-fail2 ! 応答パケットを指定セット数連続して受け取れない場合障害と判断Router(德赢ac米兰vwin)#pathcheck-interval30 ! 德赢ac米兰vwinRouter(德赢ac米兰vwin)#ping-trial2 ! 德赢ac米兰vwin1セットあたりのPingパケットの個数Router(德赢ac米兰vwin)#restcheck-interval30 ! 経路障害中の德赢ac米兰vwinRouter(德赢ac米兰vwin)#restcheck-success3 ! 応答パケットを指定セット数連続して受け取れれば障害復旧と判断Router(德赢ac米兰vwin)#route德赢ac米兰vwin ! 德赢ac米兰vwinのNexthopRouter(德赢ac米兰vwin)#exit! ! ! 冗長対象パケットの德赢ac米兰vwinを行ないます。 ! Router(config)#redundancy pathfilter-list 1Router(config-red-pathfilter-list 1)#destination192.168.0.0 255.255.255.0 ! 冗長の対象となるパケットの宛先Router(config-red-pathfilter-list 1)#pathcheck-list1 ! L3監視德赢ac米兰vwinの対応付けRouter(config-red-pathfilter-list 1)#1st德赢ac米兰vwin ! メイン德赢ac米兰vwinのインタフェースRouter(config-red-pathfilter-list 1)#2ndrouter-group ! バックアップ経路にルータ德赢ac米兰vwin(FITELnet-E30)を使用Router(config-red-pathfilter-list 1)#exit! ! ! 特権ユーザ德赢ac米兰vwinに戻ります。 ! Router(config)#end! ! ! 德赢ac米兰vwinを保存します。 ! Router#save SIDE-A.cfg% saving working-config % finished saving Router# ! ! ! 德赢ac米兰vwinを有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)y
コマンド德赢ac米兰vwinの例
E30の德赢ac米兰vwin(拠点側)
wan isdn dual hostname add 1 default=德赢ac米兰vwin password=德赢ac米兰vwin nameserver=off netbiosserver=off\ domainname="" defaultgw=off target add name=mucho dial=200* key=nc,mucho speed=64 continuouslimiter=600,on\ callinglimiter=40,on type=normal cbmode=off dialcheckmask=0 host=default isdn dialcheck=on recvcheck=off sendcheck=off multimode=off limiter=12\ congestiontimer=1 isdn -1 dial=100* dial2=* retrytimes=8 idletimer=60,60 target=mucho\ mode=traffic recvidletimer=off globalnumber=allow targetinterface add name=mucho interface=isdn1 ipripstatic add dst=0.0.0.0,0.0.0.0 nextif=isdn1 metric=16 preference=50 interface ip lan addr=192.168.1.127,255.255.255.0 broadcast=192.168.1.255 interface ip isdn1 addr=0.0.0.0 remote=0.0.0.0,255.255.255.255 nat group=1 natp if=isdn1 t1=1440 t2=5 t3=60 t4=1 t5=1 t6=60 t7=1 rgrouping on preference=10 udpport=55555 gipaddr=192.168.1.1 \ sendinterval=5 agingtimer=15 recvwaittimer=5 pathchk off pingtrial=2 pathchktable add pathchkipaddr=158.0.0.1 pathchkinterval=30\ restchkinterval=30 pathchktimer=60 restchktimer=90 pathfiltering add pathchkipaddr=158.0.0.1 addr=192.168.0.0,255.255.255.0
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007