milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
ac 米兰官网例
5.メイン IPsec 、ac 米兰官网 ISDN 平文で冗長する
概要
補足・注意点
動作説明
- ac 米兰官网機能を使って、通常時はブロードバンドの IPsec で通信を行い、メイン回線に障害が発生したときには ISDN の平文でバックアップする構成です。
- ac 米兰官网機能はバージョン 2 系のファームウェアでのサポートとなります。
- 拠点側ではイベントアクション機能を利用して、メインのトンネル経由で対向のルータをac 米兰官网し、ac 米兰官网に失敗したらバックアップの ISDN に向けたルートを追加することで、経路の切り替えを行います。そして、ac 米兰官网に成功するようになったら、ISDN に向けたルートを削除することで、経路を切り戻します。
- 一方、センター側では Phase 2 SA の有無に応じて登録/削除される sa-up ルート機能を利用してac 米兰官网、切り戻しを行います。
- バックアップの ISDN 回線はパケット契機で発呼して接続します。そして通信が無くなると、無通信監視タイマーにより切断されます。また、経路が切り戻ったときも、回線切断は経路の削除とは連動せず、無通信監視により切断されます。無通信監視タイマーは発信時(calling idle-timeout)と着信時(called idle-timeout)のそれぞれでac 米兰官网することができますが、デフォルトではどちらも 60 秒となっています。
- F100 の BRI で ISDN 回線を使う場合、MP ac 米兰官网はできますが、2ヶ所同時ac 米兰官网はできません。ac 米兰官网相手は 20ヶ所まで登録できますが、同時に通信できるのは 1ヶ所だけとなります。
コマンドac 米兰官网の例
(!の行はコメントです。ac 米兰官网入力する必要はありません。)
このac 米兰官网利用したい方は
ac 米兰官网F100
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本ac 米兰官网モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN 側 IP アドレスをac 米兰官网します。 ! Router(config)#ac 米兰官网Router(config-if lan 1)#ip ac 米兰官网92.168.2.254 255.255.255.0Router(config-if lan 1)#exit! ! ! PPPoE の各種ac 米兰官网します。 ! Router(config)#ac 米兰官网Router(ac 米兰官网)#pppoe server FLETSRouter(ac 米兰官网)#pppoe account abc123@furukawa.co.jp pass456Router(ac 米兰官网)#exit! ! ! BRI インタフェースのac 米兰官网します。*1! Router(config)#ac 米兰官网Router(config-if bri 1)#exit! ! ! Dialer インターフェースの各種ac 米兰官网します。 ! Router(config)#interface dialer 1Router(ac 米兰官网)#dialer map ip broadcast namecenter0366661111 ! 相手をPPPで認証する場合、nameには相手のIDをac 米兰官网します。Router(ac 米兰官网)#dialer ac 米兰官网Router(ac 米兰官网)#ip ac 米兰官网92.168.100.2 255.255.255.0Router(ac 米兰官网)#ppp authentication chapRouter(ac 米兰官网)#50! ! ! ダイヤルアップ接続で相手を認証する場合のIDとパスワードをac 米兰官网します。 ! Router(config)#usernamecenterpassword pass-center ! このIDをdialer mapのnameとしてac 米兰官网する必要があります。! ! ! ダイヤルアップ接続で自身が認証される場合のIDとパスワードをac 米兰官网します。 ! Router(config)#ppp hostname kyoten password pass-kyoten! ! ! VPN 機能を有効にします。 ! Router(config)#vpn enable ewan 1! ! ! VPN 通信の詳細なログを残すようにします。 ! Router(config)#vpnlog enable! ! ! Phase 1 ポリシーのac 米兰官网行ないます。 ! Router(config)#crypto isakmp policy 1Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive always-sendRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#my-identity kyotenRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity address 200.200.200.1Router(config-isakmp)#exit! ! ! Phase 2 ポリシーのac 米兰官网行ないます。 ! Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! ! ! VPN セレクタのac 米兰官网行ないます。 ! Router(config)#ac 米兰官网 192.168.2.0 0.0.0.255 any! Router(config)#ac 米兰官网t 1Router(config-crypto-map)#match ac 米兰官网0Router(config-crypto-map)#set peer address 200.200.200.1Router(config-crypto-map)#set security-association always-upRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! IPsec インターフェースのac 米兰官网します。 ! Router(config)#interface ipsecif 1Router(config-if ipsecif 1)#ac 米兰官网Router(config-if ipsecif 1)#exit! ! ! センターのピアに対するルートをac 米兰官网します。 ! Router(config)#ac 米兰官网 200.200.200.1 255.255.255.255 pppoe 1! ! ! センターのネットワークに対するメインのルートをac 米兰官网します。 ! Router(config)#ac 米兰官网.168.1.0 255.255.255.0 connected ipsecif 150 ! メイン経路に障害が発生した場合に、ac 米兰官网で追加されるルートを ! 優先したいので、こちらの優先度を下げておきます。! ! ! 経路監視のac 米兰官网します。*2! nexthop を指定することで、装置のルート情報に左右されることなく、常にトンネル経由で ! センターの LAN 側をac 米兰官网するようにします。 ! icmp-class の status としては、ac 米兰官网が成功している間は true で、失敗すると false となります。 ! Router(config)#icmp-class 1 *3Router(config-icmp-class 1)#ac 米兰官网92.168.1.254 nexthop connected ipsecif 1 source-interface lan 1 *4Router(config-icmp-class 1)#exit! ! ! イベントクラスのac 米兰官网します。 ! ここではアクションの契機となるイベントを設定します。 ! イベントの staus が true になると、アクションが実行されます。 ! 今回の場合、経路監視が失敗したら、アクションとして経路を追加したいので、invert オプションを付けて ! icmp-class の status を反転させます。 ! Router(config)#event-class 1 *3Router(config-event-class 1)#check ip-icmp 1invertRouter(config-event-class 1)#exit! ! ! イベントアクションのac 米兰官网します。 ! アクションとしてバックアップ側の経路を追加するようにします。 ! Router(config)#event-action 1 *3Router(config-event-action 1)#add ac 米兰官网.168.1.0 255.255.255.0 dialer 1Router(config-event-action 1)#exit! ! ! イベントマップのac 米兰官网します。 ! ここでイベントクラスとイベントアクションの結び付けを行います。 ! Router(config)#event-mapRouter(config-event-map)#event-class 1 event-action 1Router(config-event-map)#exit! ! ! 特権ユーザモードに戻ります。 ! Router(config)#end! ! ! ac 米兰官网保存します。 ! Router#save SIDE-A.cfg% saving working-config % finished saving Router# ! ! ! ac 米兰官网有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)y
| *1 : | V01.19(01) 以降および Ver 2 系のファームウェアで ISDN 回線を利用する場合、アイドルタイマーなどのac 米兰官网しない場合でも、下記の設定が必須となります。
|
| *2 : | デフォルトでは 30 秒間隔で ping によるac 米兰官网を行い、1 回のac 米兰官网で 2 パケットまで送信します。そして 1 パケットでも reply があれば、その回のac 米兰官网は成功と判断されます。 icmp-class の status としては、2 回連続でac 米兰官网に失敗すると、false となります。そして、3 回連続でac 米兰官网に成功すると、true となります。これらの値は下記のコマンドにより変更可能です。
|
| *3 : | 各設定モードにおいて下記のac 米兰官网入れておくと、それぞれの status に変化があった場合に、slog に記録されるようになります。
|
| *4 : | source-interface 指定がない場合、送信元アドレスはパケットが実際に送信されるインターフェースのアドレスとなりますが、ここで nexthop として指定している ipsecif は unnumbered のインターフェースのため、アドレスを付けることができず、パケットを送信することができなくなります(ac 米兰官网が失敗となります)。 |
コマンドac 米兰官网の例
(!の行はコメントです。ac 米兰官网入力する必要はありません。)
このac 米兰官网利用したい方は
センターのF100
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本ac 米兰官网モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN 側 IP アドレスをac 米兰官网します。 ! Router(config)#ac 米兰官网Router(config-if lan 1)#ip ac 米兰官网92.168.1.254 255.255.255.0Router(config-if lan 1)#exit! ! ! PPPoE の各種ac 米兰官网します。 ! Router(config)#ac 米兰官网Router(ac 米兰官网)#ac 米兰官网 200.200.200.1Router(ac 米兰官网)#pppoe server FLETSRouter(ac 米兰官网)#pppoe account abc456@furukawa.co.jp pass789Router(ac 米兰官网)#exit! ! ! BRI インタフェースのac 米兰官网します。 ! Router(config)#ac 米兰官网Router(config-if bri 1)#exit! ! ! Dialer インターフェースの各種ac 米兰官网します。 ! Router(config)#interface dialer 1Router(ac 米兰官网)#dialer map ip broadcast name kyoten 0366662222Router(ac 米兰官网)#dialer ac 米兰官网Router(ac 米兰官网)#ip ac 米兰官网92.168.100.1 255.255.255.0Router(ac 米兰官网)#ppp authentication chapRouter(ac 米兰官网)#exit! ! ! ダイヤルアップ接続で相手を認証する場合のIDとパスワードをac 米兰官网します。 ! Router(config)#username kyoten password pass-kyoten! ! ! ダイヤルアップ接続で自身が認証される場合のIDとパスワードをac 米兰官网します。 ! Router(config)#ppp hostname center password pass-center! ! ! VPN 機能を有効にします。 ! Router(config)#vpn enable ewan 1! ! ! VPN 通信の詳細なログを残すようにします。 ! Router(config)#vpnlog enable! ! ! Phase 1 ポリシーのac 米兰官网行ないます。 ! Router(config)#crypto isakmp policy 1Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive always-send *5 ! keepalive を行って、ac 米兰官网に障害が発生した場合には SA を消して ! sa-up route を削除してルートがac 米兰官网替わるようにします。Router(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity host kyotenRouter(config-isakmp)#tunnel-route ac 米兰官网 *6 ! Phase 1 のネゴパケットの受信を契機に、nexthop を pppoe 1 として ! ac 米兰官网 peer 宛のルートを登録します。Router(config-isakmp)#exit! ! ! Phase 2 ポリシーのac 米兰官网行ないます。 ! Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! ! ! VPN セレクタのac 米兰官网行ないます。 ! Router(config)#ac 米兰官网 any 192.168.2.0 0.0.0.255 *7! Router(config)#ac 米兰官网 1Router(config-crypto-map)#match ac 米兰官网0Router(config-crypto-map)#set peer host kyotenRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#sa-up route interface ipsecif 1 *8 ! Phase2 SA の確立を契機に、nexthop を ipsecif 1 として ! ipsec access-list の宛先ネットワーク宛のルートを登録します。Router(config-crypto-map)#exit! ! ! IPsec インターフェースのac 米兰官网します。 ! Router(config)#interface ipsecif 1Router(config-if ipsecif 1)#ac 米兰官网Router(config-if ipsecif 1)#exit! ! ! 拠点のネットワークに対するバックアップのルートをac 米兰官网します。 ! Router(config)#ac 米兰官网.168.2.0 255.255.255.0 dialer 1 *9! ! ! 特権ユーザモードに戻ります。 ! Router(config)#end! ! ! ac 米兰官网保存します。 ! Router#save SIDE-A.cfg% saving working-config % finished saving Router# ! ! ! ac 米兰官网有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)y
| *5 : | always-send とすることで、定期的に(デフォルトでは 60 秒間隔) keepalive を行うようになります。 |
| *6 : | pppoe 1 ではなく、ewan 1 でアドレスをマニュアルac 米兰官网している場合は、次のように明示的に nexthop のアドレスをac 米兰官网する必要があります。
|
| *7 : | IPsec インターフェースを使ったルートベースの IPsec の場合、通常は宛先も any としておけば良いのですが、sa-up route を使ってac 米兰官网の制御を行っているので、ここでは宛先を拠点のネットワークとしています。拠点側の ipsec access-list もこれに合わせています。 |
| *8 : | nexthop に ipsecif を指定できるのは、V02.01(00) 以降のファームウェアとなります。 |
| *9 : | 特に明示的に distance 値はac 米兰官网していませんが、デフォルトではスタティックルートの distance 値が 1 なのに対して、sa-up route の distance 値は 0 となっています。 従って、Phase 2 SA ができている間は sa-up route で登録されるac 米兰官网ルートが優先されることになります。 |
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007