milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
德赢AC米兰官方合作伙伴例
4.センター、拠点各1台で回線冗長する
概要
補足・注意点
動作説明
- イベントアクション機能を使って、通常時はブロードバンドの IPsec で通信を行い、德赢AC米兰官方合作伙伴回線に障害が発生したときには同じくブロードバンドの IPsec でバックアップする構成です。
- 德赢AC米兰官方合作伙伴機能は F100/F1000 のバージョン 2 系のファームウェアおよび F80 でのサポートとなります。
- 拠点側ではイベントアクション機能を利用して、メインのトンネル経由で対向のルータを監視し、監視に失敗したらバックアップのトンネルに向けた德赢AC米兰官方合作伙伴を追加することで、経路の切り替えを行います。そして、監視に成功するようになったら、バックアップのトンネルに向けた德赢AC米兰官方合作伙伴を削除することで、経路を切り戻します。
- 一方、センター側では Phase 2 SA の有無に応じて登録/削除される sa-up 德赢AC米兰官方合作伙伴機能を利用して経路の切り替え、切り戻しを行います。
- 德赢AC米兰官方合作伙伴とバックアップ側で、回線事業者、プロバイダを別のものにしておくと耐障害性が高まります。
コマンド德赢AC米兰官方合作伙伴の例
(!の行はコメントです。実際に入力する必要はありません。)
この德赢AC米兰官方合作伙伴利用したい方は
拠点のF100
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本德赢AC米兰官方合作伙伴モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN 側 IP アドレスを德赢AC米兰官方合作伙伴します。 ! Router(config)#interface lan 1Router(config-if lan 1)#ip 德赢AC米兰官方合作伙伴92.168.2.254 255.255.255.0Router(config-if lan 1)#exit! ! ! メイン側の PPPoE の各種德赢AC米兰官方合作伙伴します。 ! Router(config)#德赢AC米兰官方合作伙伴Router(德赢AC米兰官方合作伙伴)#德赢AC米兰官方合作伙伴Router(德赢AC米兰官方合作伙伴)#pppoe account abc123@furukawa.co.jp pass456Router(德赢AC米兰官方合作伙伴)#exit! ! ! バックアップ側の PPPoE の各種德赢AC米兰官方合作伙伴します。 ! Router(config)#德赢AC米兰官方合作伙伴Router(德赢AC米兰官方合作伙伴)#德赢AC米兰官方合作伙伴Router(德赢AC米兰官方合作伙伴)#pppoe account abc456@furukawa.co.jp pass123Router(德赢AC米兰官方合作伙伴)#exit! ! ! VPN 機能を有効にします。 ! Router(config)#vpn enable! ! ! VPN 通信の詳細なログを残すようにします。 ! Router(config)#vpnlog enable! ! ! メイン側の Phase 1 ポリシーの德赢AC米兰官方合作伙伴行ないます。 ! Router(config)#德赢AC米兰官方合作伙伴Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#50Router(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#my-identity kyoten@mainRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity address 200.200.200.1Router(config-isakmp)#exit! ! ! バックアップ側の Phase 1 ポリシーの德赢AC米兰官方合作伙伴行ないます。 ! Router(config)#德赢AC米兰官方合作伙伴Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive always-sendRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#my-identity kyoten@backupRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity 德赢AC米兰官方合作伙伴00.100.100.1Router(config-isakmp)#exit! ! ! Phase 2 ポリシーの德赢AC米兰官方合作伙伴行ないます。 ! Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! ! ! メイン側の VPN セレクタの德赢AC米兰官方合作伙伴行ないます。 ! Router(config)#德赢AC米兰官方合作伙伴0 ipsec ip 192.168.2.0 0.0.0.255 any! Router(config)#德赢AC米兰官方合作伙伴 1Router(config-crypto-map)#match 德赢AC米兰官方合作伙伴0Router(config-crypto-map)#德赢AC米兰官方合作伙伴 200.200.200.1Router(config-crypto-map)#set security-association always-upRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! バックアップ側の VPN セレクタの德赢AC米兰官方合作伙伴行ないます。 ! Router(config)#德赢AC米兰官方合作伙伴1 ipsec ip 192.168.2.0 0.0.0.255 any! Router(config)#德赢AC米兰官方合作伙伴 2Router(config-crypto-map)#match 德赢AC米兰官方合作伙伴1Router(config-crypto-map)#set peer 德赢AC米兰官方合作伙伴00.100.100.1Router(config-crypto-map)#set security-association always-upRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! メイン側の IPsec インターフェースの德赢AC米兰官方合作伙伴します。 ! Router(config)#德赢AC米兰官方合作伙伴Router(德赢AC米兰官方合作伙伴)#德赢AC米兰官方合作伙伴Router(德赢AC米兰官方合作伙伴)#exit! ! ! バックアップ側の IPsec インターフェースの德赢AC米兰官方合作伙伴します。 ! Router(config)#德赢AC米兰官方合作伙伴Router(config-if ipsecif 2)#德赢AC米兰官方合作伙伴Router(config-if ipsecif 2)#exit! ! ! センターのピアに対するルートを德赢AC米兰官方合作伙伴します。*1! Router(config)#德赢AC米兰官方合作伙伴 200.200.200.1 255.255.255.255 pppoe 1Router(config)#德赢AC米兰官方合作伙伴00.100.100.1 255.255.255.255 pppoe 5! ! ! センターのネットワークに対するメインのルートを德赢AC米兰官方合作伙伴します。*2! Router(config)#德赢AC米兰官方合作伙伴92.168.1.0 255.255.255.0 connected ipsecif 150 ! メイン経路に障害が発生した場合に、イベントアクションで追加される德赢AC米兰官方合作伙伴を ! 優先したいので、こちらの優先度を下げておきます。! ! ! 経路監視の德赢AC米兰官方合作伙伴します。*3! nexthop を指定することで、装置の德赢AC米兰官方合作伙伴情報に左右されることなく、常にトンネル経由で ! センターの LAN 側を監視するようにします。 ! icmp-class の status としては、監視が成功している間は true で、失敗すると false となります。 ! Router(config)#icmp-class 1 *4Router(config-icmp-class 1)#德赢AC米兰官方合作伙伴92.168.1.254 nexthop connected ipsecif 1 source-interface lan 1 *5Router(config-icmp-class 1)#exit! ! ! イベントクラスの德赢AC米兰官方合作伙伴します。 ! ここではアクションの契機となるイベントを設定します。 ! イベントの staus が true になると、アクションが実行されます。 ! 今回の場合、経路監視が失敗したら、アクションとして経路を追加したいので、 ! invert オプションを付けて icmp-class の status を反転させます。 ! Router(config)#event-class 1 *4Router(config-event-class 1)#check ip-icmp 1invertRouter(config-event-class 1)#exit! ! ! イベントアクションの德赢AC米兰官方合作伙伴します。 ! アクションとしてバックアップ側の経路を追加するようにします。*2! Router(config)#event-action 1 *4Router(config-event-action 1)#add 德赢AC米兰官方合作伙伴92.168.1.0 255.255.255.0 connected ipsecif 2Router(config-event-action 1)#exit! ! ! イベントマップの德赢AC米兰官方合作伙伴します。 ! ここでイベントクラスとイベントアクションの結び付けを行います。 ! Router(config)#event-mapRouter(config-event-map)#event-class 1 event-action 1Router(config-event-map)#exit! ! ! 特権ユーザモードに戻ります。 ! Router(config)#end! ! ! 德赢AC米兰官方合作伙伴保存します。 ! Router#save SIDE-A.cfg% saving working-config % finished saving Router# ! ! ! 德赢AC米兰官方合作伙伴有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)y
| *1 : | ルートベースの IPsec の場合、ルーティングテーブルに従って SA を確立しに行きます。デフォルトルートを pppoe に向けて德赢AC米兰官方合作伙伴してあるような場合、対向の peer へのホストルートが落ちると、意図しないインターフェースで SA を確立してしまうことがあります。 この場合、下記のような null ルートを德赢AC米兰官方合作伙伴しておくことで、これを防止することができます。
|
| *2 : | crypto map に set security-association always-up の德赢AC米兰官方合作伙伴がある場合、ipsecif は Phase 2 SA の有無に応じて up/down します(德赢AC米兰官方合作伙伴がない場合は、Phase 2 SA の有無にかかわらず、常に up となります)。 bypass 德赢AC米兰官方合作伙伴があってデフォルトルートを pppoe に向けて德赢AC米兰官方合作伙伴してあるような場合、メイン、バックアップとも Phase 2 SA ができていないと、ipsecif 向けのルートが有効にならず、センター宛の通信がデフォルトルートに従って、平文のままインターネットに出て行くことになります。この場合、下記のような null ルートを德赢AC米兰官方合作伙伴しておくことで、これを防止することができます。
|
| *3 : | デフォルトでは 30 秒間隔で ping による德赢AC米兰官方合作伙伴を行い、1 回の德赢AC米兰官方合作伙伴で 2 パケットまで送信します。そして 1 パケットでも reply があれば、その回の德赢AC米兰官方合作伙伴は成功と判断されます。 icmp-class の status としては、2 回連続で德赢AC米兰官方合作伙伴に失敗すると、false となります。そして、3 回連続で德赢AC米兰官方合作伙伴に成功すると、true となります。これらの値は下記のコマンドにより変更可能です。
|
| *4 : | 各設定モードにおいて下記の德赢AC米兰官方合作伙伴入れておくと、それぞれの status に変化があった場合に、slog に記録されるようになります。
|
| *5 : | source-interface 指定がない場合、送信元アドレスはパケットが実際に送信されるインターフェースのアドレスとなりますが、ここで nexthop として指定している ipsecif は unnumbered のインターフェースのため、アドレスを付けることができず、パケットを送信することができなくなります(德赢AC米兰官方合作伙伴が失敗となります)。 |
コマンド德赢AC米兰官方合作伙伴の例
(!の行はコメントです。実際に入力する必要はありません。)
この德赢AC米兰官方合作伙伴利用したい方は
センターのF100
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本德赢AC米兰官方合作伙伴モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN 側 IP アドレスを德赢AC米兰官方合作伙伴します。 ! Router(config)#interface lan 1Router(config-if lan 1)#ip 德赢AC米兰官方合作伙伴92.168.1.254 255.255.255.0Router(config-if lan 1)#exit! ! ! メイン側の PPPoE の各種德赢AC米兰官方合作伙伴します。 ! Router(config)#德赢AC米兰官方合作伙伴Router(德赢AC米兰官方合作伙伴)#ip address 200.200.200.1Router(德赢AC米兰官方合作伙伴)#德赢AC米兰官方合作伙伴Router(德赢AC米兰官方合作伙伴)#pppoe account abc456@furukawa.co.jp pass789Router(德赢AC米兰官方合作伙伴)#exit! ! ! バックアップ側の PPPoE の各種德赢AC米兰官方合作伙伴します。 ! Router(config)#德赢AC米兰官方合作伙伴Router(德赢AC米兰官方合作伙伴)#ip 德赢AC米兰官方合作伙伴00.100.100.1Router(德赢AC米兰官方合作伙伴)#德赢AC米兰官方合作伙伴Router(德赢AC米兰官方合作伙伴)#pppoe account abc789@furukawa.co.jp pass456Router(德赢AC米兰官方合作伙伴)#exit! ! ! VPN 機能を有効にします。 ! Router(config)#vpn enable! ! ! VPN 通信の詳細なログを残すようにします。 ! Router(config)#vpnlog enable! ! ! メイン側の Phase 1 ポリシーの德赢AC米兰官方合作伙伴行ないます。 ! Router(config)#德赢AC米兰官方合作伙伴Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive always-send *6 ! keepalive を行って、德赢AC米兰官方合作伙伴に障害が発生した場合には SA を消して ! sa-up route を削除して德赢AC米兰官方合作伙伴が切り替わるようにします。Router(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity host kyoten@mainRouter(config-isakmp)#tunnel-route 德赢AC米兰官方合作伙伴 *7 ! Phase 1 のネゴパケットの受信を契機に、nexthop を pppoe 1 として ! 拠点の peer 宛の德赢AC米兰官方合作伙伴を登録します。Router(config-isakmp)#exit! ! ! バックアップ側の Phase 1 ポリシーの德赢AC米兰官方合作伙伴行ないます。 ! Router(config)#德赢AC米兰官方合作伙伴Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive always-sendRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity host kyoten@backupRouter(config-isakmp)#tunnel-route 德赢AC米兰官方合作伙伴Router(config-isakmp)#exit! ! ! Phase 2 ポリシーの德赢AC米兰官方合作伙伴行ないます。 ! Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! ! ! メイン側の VPN セレクタの德赢AC米兰官方合作伙伴行ないます。 ! Router(config)#德赢AC米兰官方合作伙伴0 ipsec ip any 192.168.2.0 0.0.0.255 *8! Router(config)#德赢AC米兰官方合作伙伴 1Router(config-crypto-map)#match 德赢AC米兰官方合作伙伴0Router(config-crypto-map)#set peer host kyoten@mainRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#sa-up route 德赢AC米兰官方合作伙伴 *9 *10 ! Phase2 SA の確立を契機に、nexthop を ipsecif 1 として ! ipsec access-list の宛先ネットワーク宛の德赢AC米兰官方合作伙伴を登録します。Router(config-crypto-map)#exit! ! ! バックアップ側の VPN セレクタの德赢AC米兰官方合作伙伴行ないます。 ! Router(config)#德赢AC米兰官方合作伙伴1 ipsec ip any 192.168.2.0 0.0.0.255 *8! Router(config)#德赢AC米兰官方合作伙伴 2Router(config-crypto-map)#match 德赢AC米兰官方合作伙伴1Router(config-crypto-map)#set peer host kyoten@backupRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#sa-up route 德赢AC米兰官方合作伙伴 50 *9 *10 ! バックアップ側の sa-up route の distance 値を 50 に德赢AC米兰官方合作伙伴して ! 優先度を下げておきます。これにより、德赢AC米兰官方合作伙伴で Phase 2 SA が ! できている間は、德赢AC米兰官方合作伙伴 sa-up route が優先されます。Router(config-crypto-map)#exit! ! ! メイン側の IPsec インターフェースの德赢AC米兰官方合作伙伴します。 ! Router(config)#德赢AC米兰官方合作伙伴Router(德赢AC米兰官方合作伙伴)#德赢AC米兰官方合作伙伴Router(德赢AC米兰官方合作伙伴)#exit! ! ! バックアップ側の IPsec インターフェースの德赢AC米兰官方合作伙伴します。 ! Router(config)#德赢AC米兰官方合作伙伴Router(config-if ipsecif 2)#德赢AC米兰官方合作伙伴Router(config-if ipsecif 2)#exit! ! ! 拠点側からの監視に対する reply は、常にメイン経路から返したいので、 ! 監視パケットの送信元に対するホストルートを德赢AC米兰官方合作伙伴しておきます。 ! Router(config)#德赢AC米兰官方合作伙伴92.168.2.254 255.255.255.255 connected ipsecif 1! ! ! 特権ユーザモードに戻ります。 ! Router(config)#end! ! ! 德赢AC米兰官方合作伙伴保存します。 ! Router#save SIDE-A.cfg% saving working-config % finished saving Router# ! ! ! 德赢AC米兰官方合作伙伴有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)y
| *6 : | always-send とすることで、定期的に(デフォルトでは 60 秒間隔)keepalive を行うようになります。 |
| *7 : | pppoe 1 ではなく、ewan 1 でアドレスをマニュアル德赢AC米兰官方合作伙伴している場合は、次のように明示的に nexthop のアドレスを德赢AC米兰官方合作伙伴する必要があります。
|
| *8 : | IPsec インターフェースを使った德赢AC米兰官方合作伙伴ベースの IPsec の場合、通常は宛先も any としておけば良いのですが、sa-up route を使って経路の制御を行っているので、ここでは宛先を拠点のネットワークとしています。拠点側の ipsec access-list もこれに合わせています。 |
| *9 : | nexthop に ipsecif を指定德赢AC米兰官方合作伙伴るのは、F80 は V01.00(00) 以降、 F100/F1000 は V02.01(00) 以降のファームウェアとなります。 |
| *10: | bypass 德赢AC米兰官方合作伙伴があってデフォルトルートを pppoe に向けて德赢AC米兰官方合作伙伴してあるような場合、メイン、バックアップとも Phase 2 SA ができていないと、sa-up route が登録されず、拠点宛の通信がデフォルトルートに従って、平文のままインターネットに出て行くことになります。この場合、下記のような null ルートを德赢AC米兰官方合作伙伴しておくことで、これを防止することができます。
|
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007