德赢ac米兰官方合作伙伴 ipsec access-list 1 ipsec

milan米兰体育ネットワーク機器の総合ブランド　ファイテルネット

德赢ac米兰官方合作伙伴例

sFlowエージェント機能を利用する

概要

各拠点装置のLAN側でフローサンプリングを行い、センタ側に設置したsFlowコレクタへ送信させる場合の德赢ac米兰官方合作伙伴例です。

マルチポイントSAを利用する場合、拠点間通信はセンター装置を経由せずに行われるため、拠点間通信の状況を詳しく把握するには拠点装置上でsFlowエージェント機能によるフローサンプリングを行ってsFlowコレクタで観測する方法が有効です。

※sFlowエージェント機能は下記のファームウェアにて対応しています。
F60V01.11(00)以降
德赢ac米兰官方合作伙伴00V01.17(00)以降
德赢ac米兰官方合作伙伴200V01.03(00)以降

※マルチポイントSAの德赢ac米兰官方合作伙伴例につきましては、こちらをご参照ください。

【ポイントとなる德赢ac米兰官方合作伙伴】

フローサンプリングを行う装置に対して德赢ac米兰官方合作伙伴行います。
（本德赢ac米兰官方合作伙伴例では、センタ装置ではフローサンプリングを行わないのでsFlow関連德赢ac米兰官方合作伙伴がありません）

sflow profile （基本德赢ac米兰官方合作伙伴モード）
sFlow profile設定モードに移行し、sFlowエージェントに関する各種德赢ac米兰官方合作伙伴行います。

sflow-agent address　（基本德赢ac米兰官方合作伙伴モード）
sFlowコレクタに通知する自装置のIPアドレスを德赢ac米兰官方合作伙伴します。

sflow profile　（インタフェース德赢ac米兰官方合作伙伴モード）
sflow sampling-rate　（インタフェース德赢ac米兰官方合作伙伴モード）
こ德赢ac米兰官方合作伙伴追加したインタフェースでフローサンプリングを有効化します。

【補足・注意点】

sflow profile, sflow sampling-rate 德赢ac米兰官方合作伙伴行うインタフェースは、LAN・EWAN・USB Ethernet です。
LANポートでvlanifのみ使用している場合は、物理インタフェースであるLAN（interface lan 1）にこ德赢ac米兰官方合作伙伴追加します。

サンプリングレートについて
高レートの通信を常時行うような環境では、サンプリングレートを小さくしすぎると中継性能の低下につながる可能性があります。逆にサンプリングレートを大きくしすぎると、sFlowコレクタでの観測精度が低下してしまいます。

<サンプリングレート德赢ac米兰官方合作伙伴値の目安
10Mbps程度の通信で頻度がまばらな拠点：10〜50
100Mbps程度の通信が頻繁に行われる拠点：100〜500
数百Mbps程度の通信が頻繁に行われる拠点：1000〜5000
※拠点装置のLAN側インタフェースで送受信するパケットの平均サイズを512byteとしたときの値

コマンド德赢ac米兰官方合作伙伴の例

（!の行はコメントです。実際に入力する必要はありません。）

こ德赢ac米兰官方合作伙伴利用したい方は

センター

<pre>ip route 172.16.0.101 255.255.255.255 connected ipsecif 1
ip route 172.16.0.102 255.255.255.255 connected ipsecif 2
!
ipv6 route ::/0 ewan 1
!
vpn enable
vpnlog enable
!
ipsec access-list 1 ipsec ip any any
ipsec access-list 2 ipsec ip any any
ipsec access-list 64 bypass ip any any
ipsec transform-set CENTER-TRANS ikev2 esp-aes esp-sha-hmac
ipsec transform-set GROUP-TRANS ikev2 esp-aes esp-sha-hmac
ipsec transform-keysize AES256 esp-aes-cbc 256 256 256
!
hostname CENTER-A_德赢ac米兰官方合作伙伴00
!
interface ewan 1
 ipv6 enable
 ipv6 address autoconfig
 ipv6 nd receive-ra
 ipv6 mtu 1500
exit
interface ipsecif 1
 description To_KYOTEN-A
 crypto map KYOTEN-A
 ip mtu 1500
exit
interface ipsecif 2
 description To_KYOTEN-B
 crypto map KYOTEN-B
 ip mtu 1500
exit
interface lan 1
 ip address 192.168.0.1 255.255.255.0
exit
interface loopback 1
 ip address 172.16.0.1
exit
!
crypto ikev2 policy 1
 key ascii SecretKey
 authentication pre-share
 encryption aes
 encryption-keysize aes 256 256 256
 group 2
 hash sha
 lifetime 86400
 match identity user kyoten-a@example.jp
 self-identity fqdn IPsecGW1.example.jp
 group-security server 1
exit
crypto ikev2 policy 2
 key ascii SecretKey
 authentication pre-share
 encryption aes
 encryption-keysize aes 256 256 256
 group 2
 hash sha
 lifetime 86400
 match identity user kyoten-b@example.jp
 self-identity fqdn IPsecGW1.example.jp
 group-security server 1
exit
crypto map KYOTEN-A 1
 match address 1
 set security-association lifetime seconds 28800
 set transform-set CENTER-TRANS
 set ikev2-policy 1
 set transform-keysize AES256
exit
crypto map KYOTEN-B 2
 match address 2
 set security-association lifetime seconds 28800
 set transform-set CENTER-TRANS
 set ikev2-policy 2
 set transform-keysize AES256
exit
crypto ipsec group-security policy 1
 set transform-keysize AES256
 set transform-set GROUP-TRANS
 lifetime 600 60
 rollover 30 30
 spi mask hex 00ffffff 01000000
exit
!
router bgp 65000
 bgp router-id 172.16.0.1
 bgp log-neighbor-changes
 neighbor 172.16.0.101 description KYOTEN-A
 neighbor 172.16.0.101 encap default interface ipsecif 1
 neighbor 172.16.0.101 remote-as 65000
 neighbor 172.16.0.101 route-reflector-client
 neighbor 172.16.0.101 update-source loopback 1
 neighbor 172.16.0.101 passive
 neighbor 172.16.0.102 description KYOTEN-B
 neighbor 172.16.0.102 encap default interface ipsecif 2
 neighbor 172.16.0.102 remote-as 65000
 neighbor 172.16.0.102 route-reflector-client
 neighbor 172.16.0.102 update-source loopback 1
 neighbor 172.16.0.102 passive
 redistribute connected
exit
!
end</pre>

! この德赢ac米兰官方合作伙伴例ではセンター装置においてフローサンプリングを行わないため、sFlow用の德赢ac米兰官方合作伙伴はありません。!
!
! 特権ユーザモードに移行します。
!
RouterenableEnter password: 

Router#
!
!
! 既存(工場出荷)德赢ac米兰官方合作伙伴初期化します。
!
Router#clear working.cfg!
!
! 基本德赢ac米兰官方合作伙伴モードに移行します。
!
Router#configure terminal!
!
! 自装置の表示ホスト名を德赢ac米兰官方合作伙伴します。
!
Router(config)#hostname CENTER-A_德赢ac米兰官方合作伙伴00!
! IPv6通信時のネクストホップはewan 1インタフェースとします。（IPoEの場合）
!
CENTER-A_德赢ac米兰官方合作伙伴00(config)#ip德赢ac米兰官方合作伙伴 route ::/0 ewan 1!
! EWAN1インタフェースの設定を行います。
! （WAN回線はIPoE接続で、RAによるIPv6グローバルアドレス自動割り当ての場合）
!
CENTER-A_德赢ac米兰官方合作伙伴00(config)#interface ewan 1CENTER-A_德赢ac米兰官方合作伙伴00(config-if ewan 1)#ip德赢ac米兰官方合作伙伴 enableCENTER-A_德赢ac米兰官方合作伙伴00(config-if ewan 1)#ip德赢ac米兰官方合作伙伴 address autoconfigCENTER-A_德赢ac米兰官方合作伙伴00(config-if ewan 1)#ip德赢ac米兰官方合作伙伴 nd receive-raCENTER-A_德赢ac米兰官方合作伙伴00(config-if ewan 1)#ip德赢ac米兰官方合作伙伴 mtu 1500CENTER-A_德赢ac米兰官方合作伙伴00(config-if ewan 1)#exit!
! LAN1インタフェースの設定を行います。
!
CENTER-A_德赢ac米兰官方合作伙伴00(config)#interface lan 1CENTER-A_德赢ac米兰官方合作伙伴00(config-if lan 1)#ip address 192.168.0.1 255.255.255.0CENTER-A_德赢ac米兰官方合作伙伴00(config-if lan 1)#exit!
!
! Loopback1インタフェースの設定を行います。
! （センタ德赢ac米兰官方合作伙伴00と各拠点装置は、このアドレスでBGPセッションを確立します）
!
CENTER-A_德赢ac米兰官方合作伙伴00(config)#interface loopback 1CENTER-A_德赢ac米兰官方合作伙伴00(config-if loopback 1)#ip address 172.16.0.1CENTER-A_德赢ac米兰官方合作伙伴00(config-if loopback 1)#exit!
!
! VPN機能を有効にします。
!
CENTER-A_德赢ac米兰官方合作伙伴00(config)#vpn enable!
!
! VPN通信動作中の詳細なログ記録を有効にします。
!
CENTER-A_德赢ac米兰官方合作伙伴00(config)#vpnlog enable!
! IKEv2のIKE SAポリシーを各拠点ごとに設定します。
!
CENTER-A_德赢ac米兰官方合作伙伴00(config)#crypto 德赢ac米兰官方合作伙伴 policy 1!　　　　            拠点A用のIKEv2ポリシー
CENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#authentication pre-shareCENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#encryption aesCENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#encryption-keysize aes 256 256 256CENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#group 2CENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#hash shaCENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#key ascii SecretKeyCENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#lifetime 86400CENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#match identity user kyoten-a@example.jpCENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#self-identity fqdn IPsecGW1.example.jpCENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#group-security server 1CENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#exitCENTER-A_德赢ac米兰官方合作伙伴00(config)#crypto 德赢ac米兰官方合作伙伴 policy 2!　　　　            拠点B用のIKEv2ポリシー
CENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#authentication pre-shareCENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#encryption aesCENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#encryption-keysize aes 256 256 256CENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#group 2CENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#hash shaCENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#key ascii SecretKeyCENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#lifetime 86400CENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#match identity user kyoten-b@example.jpCENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#self-identity fqdn IPsecGW1.example.jpCENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#group-security server 1CENTER-A_德赢ac米兰官方合作伙伴00(config-ikev2)#exit!
! センタ−各拠点間のCHILD SA(IKEv2)のトランスフォームセットを設定します。
!
CENTER-A_德赢ac米兰官方合作伙伴00(config)#ipsec transform-set CENTER-TRANS 德赢ac米兰官方合作伙伴 esp-aes esp-sha-hmacCENTER-A_德赢ac米兰官方合作伙伴00(config)#ipsec transform-keysize AES256 esp-aes-cbc 256 256 256!
!
! VPNセレクタ（ipsec access-list）の設定を行います。
!
CENTER-A_德赢ac米兰官方合作伙伴00(config)#ipsec access-list 1 ipsec ip any anyCENTER-A_德赢ac米兰官方合作伙伴00(config)#ipsec access-list 2 ipsec ip any anyCENTER-A_德赢ac米兰官方合作伙伴00(config)#ipsec access-list 64 bypass ip any any!
!
! VPNセレクタ（crypto map）の設定を行います。
!
CENTER-A_德赢ac米兰官方合作伙伴00(config)#crypto map KYOTEN-A 1CENTER-A_德赢ac米兰官方合作伙伴00(config-crypto-map)#match address 1CENTER-A_德赢ac米兰官方合作伙伴00(config-crypto-map)#set security-association lifetime seconds 28800CENTER-A_德赢ac米兰官方合作伙伴00(config-crypto-map)#set transform-set CENTER-TRANSCENTER-A_德赢ac米兰官方合作伙伴00(config-crypto-map)#set 德赢ac米兰官方合作伙伴-policy 1CENTER-A_德赢ac米兰官方合作伙伴00(config-crypto-map)#set transform-keysize AES256CENTER-A_德赢ac米兰官方合作伙伴00(config-crypto-map)#exitCENTER-A_德赢ac米兰官方合作伙伴00(config)#crypto map KYOTEN-B 2CENTER-A_德赢ac米兰官方合作伙伴00(config-crypto-map)#match address 2CENTER-A_德赢ac米兰官方合作伙伴00(config-crypto-map)#set security-association lifetime seconds 28800CENTER-A_德赢ac米兰官方合作伙伴00(config-crypto-map)#set transform-set CENTER-TRANSCENTER-A_德赢ac米兰官方合作伙伴00(config-crypto-map)#set 德赢ac米兰官方合作伙伴-policy 2CENTER-A_德赢ac米兰官方合作伙伴00(config-crypto-map)#set transform-keysize AES256CENTER-A_德赢ac米兰官方合作伙伴00(config-crypto-map)#exit!
!
! マルチポイントSAサーバの設定を行います。
!
CENTER-A_德赢ac米兰官方合作伙伴00(config)#ipsec transform-set GROUP-TRANS 德赢ac米兰官方合作伙伴 esp-aes esp-sha-hmacCENTER-A_德赢ac米兰官方合作伙伴00(config)#crypto ipsec group-security policy 1CENTER-A_德赢ac米兰官方合作伙伴00(config-gr-sec)#set transform-keysize AES256CENTER-A_德赢ac米兰官方合作伙伴00(config-gr-sec)#set transform-set GROUP-TRANSCENTER-A_德赢ac米兰官方合作伙伴00(config-gr-sec)#lifetime 600 60CENTER-A_德赢ac米兰官方合作伙伴00(config-gr-sec)#rollover 30 30CENTER-A_德赢ac米兰官方合作伙伴00(config-gr-sec)#spi mask hex 00ffffff 01000000CENTER-A_德赢ac米兰官方合作伙伴00(config-gr-sec)#exit!
!
! IPsecインタフェースの設定を行います。
!
CENTER-A_德赢ac米兰官方合作伙伴00(config)#interface ipsecif 1CENTER-A_德赢ac米兰官方合作伙伴00(config-if ipsecif 1)#description To_KYOTEN-ACENTER-A_德赢ac米兰官方合作伙伴00(config-if ipsecif 1)#crypto map KYOTEN-ACENTER-A_德赢ac米兰官方合作伙伴00(config-if ipsecif 1)#ip mtu 1500CENTER-A_德赢ac米兰官方合作伙伴00(config-if ipsecif 1)#exitCENTER-A_德赢ac米兰官方合作伙伴00(config)#interface ipsecif 2CENTER-A_德赢ac米兰官方合作伙伴00(config-if ipsecif 2)#description To_KYOTEN-BCENTER-A_德赢ac米兰官方合作伙伴00(config-if ipsecif 2)#crypto map KYOTEN-BCENTER-A_德赢ac米兰官方合作伙伴00(config-if ipsecif 2)#ip mtu 1500CENTER-A_德赢ac米兰官方合作伙伴00(config-if ipsecif 2)#exit!
!
! スタティック経路設定で、IPsec対象とする通信を指定します。
!
CENTER-A_德赢ac米兰官方合作伙伴00(config)#ip route 172.16.0.101 255.255.255.255 connected ipsecif 1CENTER-A_德赢ac米兰官方合作伙伴00(config)#ip route 172.16.0.102 255.255.255.255 connected ipsecif 2!
! BGPの設定を行います。
! 各拠点それぞれとBGPピアを確立、経路交換するための設定が必要です。
!
CENTER-A_德赢ac米兰官方合作伙伴00(config)#router bgp 65000CENTER-A_德赢ac米兰官方合作伙伴00(config-bgp)#bgp router-id 172.16.0.1CENTER-A_德赢ac米兰官方合作伙伴00(config-bgp)#bgp log-neighbor-changesCENTER-A_德赢ac米兰官方合作伙伴00(config-bgp)#德赢ac米兰官方合作伙伴.16.0.101 description KYOTEN-ACENTER-A_德赢ac米兰官方合作伙伴00(config-bgp)#德赢ac米兰官方合作伙伴.16.0.101 encap default interface ipsecif 1 *1CENTER-A_德赢ac米兰官方合作伙伴00(config-bgp)#德赢ac米兰官方合作伙伴.16.0.101 route-reflector-client *1CENTER-A_德赢ac米兰官方合作伙伴00(config-bgp)#德赢ac米兰官方合作伙伴.16.0.101 remote-as 65000CENTER-A_德赢ac米兰官方合作伙伴00(config-bgp)#德赢ac米兰官方合作伙伴.16.0.101 update-source loopback 1CENTER-A_德赢ac米兰官方合作伙伴00(config-bgp)#德赢ac米兰官方合作伙伴.16.0.101 passiveCENTER-A_德赢ac米兰官方合作伙伴00(config-bgp)#德赢ac米兰官方合作伙伴.16.0.102 description KYOTEN-BCENTER-A_德赢ac米兰官方合作伙伴00(config-bgp)#德赢ac米兰官方合作伙伴.16.0.102 encap default interface ipsecif 2 *1CENTER-A_德赢ac米兰官方合作伙伴00(config-bgp)#德赢ac米兰官方合作伙伴.16.0.102 route-reflector-client *1CENTER-A_德赢ac米兰官方合作伙伴00(config-bgp)#德赢ac米兰官方合作伙伴.16.0.102 remote-as 65000CENTER-A_德赢ac米兰官方合作伙伴00(config-bgp)#德赢ac米兰官方合作伙伴.16.0.102 update-source loopback 1CENTER-A_德赢ac米兰官方合作伙伴00(config-bgp)#德赢ac米兰官方合作伙伴.16.0.102 passiveCENTER-A_德赢ac米兰官方合作伙伴00(config-bgp)#redistribute connectedCENTER-A_德赢ac米兰官方合作伙伴00(config-bgp)#exitCENTER-A_德赢ac米兰官方合作伙伴00(config)#!
!
!
! 特権ユーザモードに戻ります。
!
CENTER-A_德赢ac米兰官方合作伙伴00(config)#end!
!
! 設定を保存します。
!
CENTER-A_德赢ac米兰官方合作伙伴00#save SIDE-A.cfg% saving working-config
% finished saving

CENTER-A_德赢ac米兰官方合作伙伴00#
!
!
! 設定を有効にするために再起動します。
!
CENTER-A_德赢ac米兰官方合作伙伴00#resetAre you OK to cold start?(y/n)y

*1 :	F60 V01.09(00)、德赢ac米兰官方合作伙伴00 V01.15(00)以降のファームウェアでサポート

コマンド德赢ac米兰官方合作伙伴の例

（!の行はコメントです。実際に入力する必要はありません。）

こ德赢ac米兰官方合作伙伴利用したい方は

拠点A

<pre>ip route 172.16.0.0 255.255.255.0 connected ipsecif 2
ip route 172.16.0.1 255.255.255.255 connected ipsecif 1
ip name-server ::1
ip resolver-cache-time 60
!
ipv6 route ::/0 ewan 1
!
proxydns mode v6
vpn enable
vpnlog enable
!
ipsec access-list 1 ipsec ip any any
ipsec access-list 64 bypass ip any any
ipsec transform-set CENTER-TRANS 德赢ac米兰官方合作伙伴 esp-aes esp-sha-hmac
ipsec transform-keysize AES256 esp-aes-cbc 256 256 256
!
hostname KYOTEN-A
!
sflow-agent address 172.16.0.101
!
interface ewan 1
 ipv6 enable
 ipv6 address autoconfig
 ipv6 nd receive-ra
 ipv6 mtu 1500
 ipv6 dhcp client ipv6dns_client
exit
interface ipsecif 1
 description To_CENTER-A
 crypto map CENTER-A
 ip mtu 1500
exit
interface ipsecif 2
 description Group_SA
 crypto group-security map CENTER-A
 ip mtu 1500
exit
interface lan 1
 ip address 192.168.101.1 255.255.255.0
 sflow profile 1
 sflow sampling-rate 500
exit
interface loopback 1
 ip address 172.16.0.101
exit
!
crypto 德赢ac米兰官方合作伙伴 policy 1
 key ascii SecretKey
 authentication pre-share
 encryption aes
 encryption-keysize aes 256 256 256
 group 2
 hash sha
 lifetime 86400
 match identity host IPsecGW1.example.jp
 self-identity userfqdn kyoten-a@example.jp
 set peer fitelnet1234.aoi.flets-east.jp v6
 group-security client spi mask hex 00ffffff 01000000
exit
crypto map CENTER-A 1
 match address 1
 set security-association lifetime seconds 28800
 set transform-set CENTER-TRANS
 set 德赢ac米兰官方合作伙伴-policy 1
 set transform-keysize AES256
exit
!
router bgp 65000
 bgp router-id 172.16.0.101
 bgp log-neighbor-changes
 neighbor 172.16.0.1 description CENTER-A
 neighbor 172.16.0.1 encap default interface ipsecif 2
 neighbor 172.16.0.1 encap endpoint ipv6 interface ewan 1
 neighbor 172.16.0.1 encap type ipsec-tunnel
 neighbor 172.16.0.1 remote-as 65000
 neighbor 172.16.0.1 update-source loopback 1
 redistribute connected
exit
!
sflow profile 1
 collector address 192.168.0.100
 source-interface loopback 1
exit
!
ipv6 dhcp client-profile ipv6dns_client
 option-request dns-servers
exit
!
end</pre>

!
!
! 特権ユーザモードに移行します。
!
RouterenableEnter password: 

Router#
!
!
! 既存(工場出荷)德赢ac米兰官方合作伙伴初期化します。
!
Router#clear working.cfg!
!
! 基本德赢ac米兰官方合作伙伴モードに移行します。
!
Router#configure terminal!
!
! 自装置の表示ホスト名を德赢ac米兰官方合作伙伴します。
!
Router(config)#hostname KYOTEN-A!
!
!sFlowコレクタへ通知するsFlowエージェントアドレスを德赢ac米兰官方合作伙伴します。
! （ここではLoopback 1のアドレスを使用します）KYOTEN-A(config)#sflow-agent address 172.16.0.101!
! sFlowエージェント德赢ac米兰官方合作伙伴します。
KYOTEN-A(config)#sflow profile 1KYOTEN-A(config-sflow-prof)#collector address 192.168.0.100
!　　　　                   sFlowデータの送信先となるコレクタのIPを指定します。KYOTEN-A(config-sflow-prof)#source-interface loopback 1
!　　　　                   sFlowデータの送信元アドレスとなるインタフェースを指定します。KYOTEN-A(config-sflow-prof)#exit!
!
! V6ネームの名前解決を行うため、DNSリゾルバ德赢ac米兰官方合作伙伴します。
!
KYOTEN-A(config)#ip name-server ::1KYOTEN-A(config)#ip resolver-cache-time 60!
!
! ProxyDNS機能（IP德赢ac米兰官方合作伙伴）を有効にします。
!
KYOTEN-A(config)#proxydns mode 德赢ac米兰官方合作伙伴!
!
! IP德赢ac米兰官方合作伙伴通信時のネクストホップはewan 1インタフェースとします。（IPoEの場合）
!
KYOTEN-A(config)#ip德赢ac米兰官方合作伙伴 route ::/0 ewan 1!
!
! EWAN1インタフェース德赢ac米兰官方合作伙伴行います。
! （WAN回線はIPoE接続で、RAによるIPv6グローバルアドレス自動割り当ての場合）
!
KYOTEN-A(config)#interface ewan 1KYOTEN-A(config-if ewan 1)#ip德赢ac米兰官方合作伙伴 enableKYOTEN-A(config-if ewan 1)#ip德赢ac米兰官方合作伙伴 address autoconfigKYOTEN-A(config-if ewan 1)#ip德赢ac米兰官方合作伙伴 nd receive-raKYOTEN-A(config-if ewan 1)#ip德赢ac米兰官方合作伙伴 mtu 1500KYOTEN-A(config-if ewan 1)#ip德赢ac米兰官方合作伙伴 dhcp client ip德赢ac米兰官方合作伙伴dns_clientKYOTEN-A(config-if ewan 1)#exitKYOTEN-A(config)#ip德赢ac米兰官方合作伙伴 dhcp client-profile ip德赢ac米兰官方合作伙伴dns_clientKYOTEN-A(config-ip德赢ac米兰官方合作伙伴-dhcp-client-prof)#option-request dns-serversKYOTEN-A(config-ip德赢ac米兰官方合作伙伴-dhcp-client-prof)#exit!
!
! LAN1インタフェース德赢ac米兰官方合作伙伴行います。
!
KYOTEN-A(config)#interface lan 1KYOTEN-A(config-if lan 1)#ip address 192.168.101.1 255.255.255.0KYOTEN-A(config-if lan 1)#sflow profile 1
!　　　　                   このインタフェース（LAN1）でsFlowエージェント機能を有効化します。KYOTEN-A(config-if lan 1)#sflow sampling-rate 500
!　　　　                   このインタフェース（LAN1）でフローサンプリングを有効化します。
!　　　　                   フローサンプリングのレートは500と德赢ac米兰官方合作伙伴しています。KYOTEN-A(config-if lan 1)#exit!
!
! Loopback1インタフェースの設定を行います。
! （センタ德赢ac米兰官方合作伙伴00と各拠点装置はこのアドレスでBGPセッションを確立を行うほか、sFlowの送信元アドレスとして使用します）
!
KYOTEN-A(config)#interface loopback 1KYOTEN-A(config-if loopback 1)#ip address 172.16.0.101KYOTEN-A(config-if loopback 1)#exit!
!
! VPN機能を有効にします。
!
KYOTEN-A(config)#vpn enable!
!
! VPN通信動作中の詳細なログ記録を有効にします。
!
KYOTEN-A(config)#vpnlog enable!
!
! IKEv2のIKE SAポリシーを德赢ac米兰官方合作伙伴します。
!
KYOTEN-A(config)#crypto 德赢ac米兰官方合作伙伴 policy 1KYOTEN-A(config-德赢ac米兰官方合作伙伴)#authentication pre-shareKYOTEN-A(config-德赢ac米兰官方合作伙伴)#encryption aesKYOTEN-A(config-德赢ac米兰官方合作伙伴)#encryption-keysize aes 256 256 256KYOTEN-A(config-德赢ac米兰官方合作伙伴)#group 2KYOTEN-A(config-德赢ac米兰官方合作伙伴)#hash shaKYOTEN-A(config-德赢ac米兰官方合作伙伴)#key ascii SecretKeyKYOTEN-A(config-德赢ac米兰官方合作伙伴)#lifetime 86400KYOTEN-A(config-德赢ac米兰官方合作伙伴)#match identity host IPsecGW1.example.jpKYOTEN-A(config-德赢ac米兰官方合作伙伴)#self-identity userfqdn kyoten-a@example.jpKYOTEN-A(config-德赢ac米兰官方合作伙伴)#set peer fitelnet1234.aoi.flets-east.jp 德赢ac米兰官方合作伙伴KYOTEN-A(config-德赢ac米兰官方合作伙伴)#group-security client spi mask hex 00ffffff 01000000KYOTEN-A(config-德赢ac米兰官方合作伙伴)#exit! 
! 
! センタ−各拠点間のCHILD SA(IKEv2)のトランスフォームセットを德赢ac米兰官方合作伙伴します。
! 
KYOTEN-A(config)#ipsec transform-set CENTER-TRANS 德赢ac米兰官方合作伙伴 esp-aes esp-sha-hmacKYOTEN-A(config)#ipsec transform-keysize AES256 esp-aes-cbc 256 256 256!
!
! VPNセレクタ（ipsec access-list）德赢ac米兰官方合作伙伴行います。
!
KYOTEN-A(config)#ipsec access-list 1 ipsec ip any anyKYOTEN-A(config)#ipsec access-list 64 bypass ip any any!
!
! VPNセレクタ（crypto map）德赢ac米兰官方合作伙伴行います。
!
KYOTEN-A(config)#crypto map CENTER-A 1KYOTEN-A(config-crypto-map)#match address 1KYOTEN-A(config-crypto-map)#set security-association lifetime seconds 28800KYOTEN-A(config-crypto-map)#set transform-set CENTER-TRANSKYOTEN-A(config-crypto-map)#set 德赢ac米兰官方合作伙伴-policy 1KYOTEN-A(config-crypto-map)#set transform-keysize AES256KYOTEN-A(config-crypto-map)#exit!
!
! IPsecインタフェース德赢ac米兰官方合作伙伴行います。
!
KYOTEN-A(config)#interface ipsecif 1KYOTEN-A(config-if ipsecif 1)#description To_CENTER-AKYOTEN-A(config-if ipsecif 1)#crypto map CENTER-AKYOTEN-A(config-if ipsecif 1)#ip mtu 1500KYOTEN-A(config-if ipsecif 1)#exitKYOTEN-A(config)#interface ipsecif 2KYOTEN-A(config-if ipsecif 2)#description Group_SAKYOTEN-A(config-if ipsecif 2)#crypto group-security map CENTER-AKYOTEN-A(config-if ipsecif 2)#ip mtu 1500KYOTEN-A(config-if ipsecif 2)#exit!
!
! スタティック経路德赢ac米兰官方合作伙伴で、IPsec対象とする通信を指定します。
! （マルチポイントSA通信で使用する経路は、BGPによる経路交換で反映されます）
!
KYOTEN-A(config)#ip route 172.16.0.0 255.255.255.0 connected ipsecif 2!　　　　        他拠点のloopback 1宛ての経路を、MPSAのIPsecトンネルに向けます。
KYOTEN-A(config)#ip route 172.16.0.1 255.255.255.255 connected ipsecif 1!　　　　        センタ德赢ac米兰官方合作伙伴00のloopback 1宛てのホスト経路を、センタ德赢ac米兰官方合作伙伴00と確立したIPsecトンネルに向けます。
!
!
! BGPの設定を行います。
! 各拠点それぞれとBGPピアを確立、経路交換するための設定が必要です。
!
KYOTEN-A(config)#router bgp 65000KYOTEN-A(config-bgp)#bgp router-id 172.16.0.101KYOTEN-A(config-bgp)#bgp log-neighbor-changesKYOTEN-A(config-bgp)#德赢ac米兰官方合作伙伴.16.0.1 description CENTER-AKYOTEN-A(config-bgp)#德赢ac米兰官方合作伙伴.16.0.1 encap default interface ipsecif 2 *1KYOTEN-A(config-bgp)#德赢ac米兰官方合作伙伴.16.0.1 encap type ipsec-tunnel *1KYOTEN-A(config-bgp)#neighbor 172.16.0.1 encap endpoint ip德赢ac米兰官方合作伙伴 interface ewan 1KYOTEN-A(config-bgp)#德赢ac米兰官方合作伙伴.16.0.1 remote-as 65000KYOTEN-A(config-bgp)#德赢ac米兰官方合作伙伴.16.0.1 update-source loopback 1KYOTEN-A(config-bgp)#redistribute connectedKYOTEN-A(config-bgp)#exit!
! 特権ユーザモードに戻ります。
!
KYOTEN-A(config)#end!
!
! 德赢ac米兰官方合作伙伴保存します。
!
KYOTEN-A#save SIDE-A.cfg% saving working-config
% finished saving

KYOTEN-A#
!
!
! 德赢ac米兰官方合作伙伴有効にするために再起動します。
!
KYOTEN-A#resetAre you OK to cold start?(y/n)y

*1 :	F60 V01.09(00)、德赢ac米兰官方合作伙伴00 V01.15(00)以降のファームウェアでサポート

コマンド德赢ac米兰官方合作伙伴の例

（!の行はコメントです。実際に入力する必要はありません。）

こ德赢ac米兰官方合作伙伴利用したい方は

拠点B

<pre>ip route 172.16.0.0 255.255.255.0 connected ipsecif 2
ip route 172.16.0.1 255.255.255.255 connected ipsecif 1
ip name-server ::1
ip resolver-cache-time 60
!
ipv6 route ::/0 ewan 1
!
proxydns mode v6
vpn enable
vpnlog enable
!
ipsec access-list 1 ipsec ip any any
ipsec access-list 64 bypass ip any any
ipsec transform-set CENTER-TRANS 德赢ac米兰官方合作伙伴 esp-aes esp-sha-hmac
ipsec transform-keysize AES256 esp-aes-cbc 256 256 256
!
hostname KYOTEN-B
!
sflow-agent address 172.16.0.102
!
interface ewan 1
 ipv6 enable
 ipv6 address autoconfig
 ipv6 nd receive-ra
 ipv6 mtu 1500
 ipv6 dhcp client ipv6dns_client
exit
interface ipsecif 1
 description To_CENTER-A
 crypto map CENTER-A
 ip mtu 1500
exit
interface ipsecif 2
 description Group_SA
 crypto group-security map CENTER-A
 ip mtu 1500
exit
interface lan 1
 ip address 192.168.102.1 255.255.255.0
 sflow profile 1
 sflow sampling-rate 500
exit
interface loopback 1
 ip address 172.16.0.102
exit
!
crypto 德赢ac米兰官方合作伙伴 policy 1
 key ascii SecretKey
 authentication pre-share
 encryption aes
 encryption-keysize aes 256 256 256
 group 2
 hash sha
 lifetime 86400
 match identity host IPsecGW1.example.jp
 self-identity userfqdn kyoten-b@example.jp
 set peer fitelnet1234.aoi.flets-east.jp v6
 group-security client spi mask hex 00ffffff 01000000
exit
crypto map CENTER-A 1
 match address 1
 set security-association lifetime seconds 28800
 set transform-set CENTER-TRANS
 set 德赢ac米兰官方合作伙伴-policy 1
 set transform-keysize AES256
exit
!
router bgp 65000
 bgp router-id 172.16.0.102
 bgp log-neighbor-changes
 neighbor 172.16.0.1 description CENTER-A
 neighbor 172.16.0.1 encap default interface ipsecif 2
 neighbor 172.16.0.1 encap endpoint ipv6 interface ewan 1
 neighbor 172.16.0.1 encap type ipsec-tunnel
 neighbor 172.16.0.1 remote-as 65000
 neighbor 172.16.0.1 update-source loopback 1
 redistribute connected
exit
!
sflow profile 1
 collector address 192.168.0.100
 source-interface loopback 1
exit
!
ipv6 dhcp client-profile ipv6dns_client
 option-request dns-servers
exit
!
end</pre>

!
!
! 特権ユーザモードに移行します。
!
RouterenableEnter password: 

Router#
!
!
! 既存(工場出荷)德赢ac米兰官方合作伙伴初期化します。
!
Router#clear working.cfg!
!
! 基本德赢ac米兰官方合作伙伴モードに移行します。
!
Router#configure terminal!
!
! 自装置の表示ホスト名を德赢ac米兰官方合作伙伴します。
!
Router(config)#hostname KYOTEN-B!
!
!sFlowコレクタへ通知するsFlowエージェントアドレスを德赢ac米兰官方合作伙伴します。
! （ここではLoopback 1のアドレスを使用します）KYOTEN-B(config)#sflow-agent address 172.16.0.102!
! sFlowエージェント德赢ac米兰官方合作伙伴します。
KYOTEN-B(config)#sflow profile 1KYOTEN-B(config-sflow-prof)#collector address 192.168.0.100
!　　　　                   sFlowデータの送信先となるコレクタのIPを指定します。KYOTEN-B(config-sflow-prof)#source-interface loopback 1
!　　　　                   sFlowデータの送信元アドレスとなるインタフェースを指定します。KYOTEN-B(config-sflow-prof)#exit!
!
! V6ネームの名前解決を行うため、DNSリゾルバ德赢ac米兰官方合作伙伴します。
!
KYOTEN-B(config)#ip name-server ::1KYOTEN-B(config)#ip resolver-cache-time 60!
!
! ProxyDNS機能（IP德赢ac米兰官方合作伙伴）を有効にします。
!
KYOTEN-B(config)#proxydns mode 德赢ac米兰官方合作伙伴!
!
! IP德赢ac米兰官方合作伙伴通信時のネクストホップはewan 1インタフェースとします。（IPoEの場合）
!
KYOTEN-B(config)#ip德赢ac米兰官方合作伙伴 route ::/0 ewan 1!
!
! EWAN1インタフェース德赢ac米兰官方合作伙伴行います。
! （WAN回線はIPoE接続で、RAによるIPv6グローバルアドレス自動割り当ての場合）
!
KYOTEN-B(config)#interface ewan 1KYOTEN-B(config-if ewan 1)#ip德赢ac米兰官方合作伙伴 enableKYOTEN-B(config-if ewan 1)#ip德赢ac米兰官方合作伙伴 address autoconfigKYOTEN-B(config-if ewan 1)#ip德赢ac米兰官方合作伙伴 nd receive-raKYOTEN-B(config-if ewan 1)#ip德赢ac米兰官方合作伙伴 mtu 1500KYOTEN-B(config-if ewan 1)#ip德赢ac米兰官方合作伙伴 dhcp client ip德赢ac米兰官方合作伙伴dns_clientKYOTEN-B(config-if ewan 1)#exitKYOTEN-B(config)#ip德赢ac米兰官方合作伙伴 dhcp client-profile ip德赢ac米兰官方合作伙伴dns_clientKYOTEN-B(config-ip德赢ac米兰官方合作伙伴-dhcp-client-prof)#option-request dns-serversKYOTEN-B(config-ip德赢ac米兰官方合作伙伴-dhcp-client-prof)#exit!
!
! LAN1インタフェース德赢ac米兰官方合作伙伴行います。
!
KYOTEN-B(config)#interface lan 1KYOTEN-B(config-if lan 1)#ip address 192.168.102.1 255.255.255.0KYOTEN-B(config-if lan 1)#sflow profile 1
!　　　　                   このインタフェース（LAN1）でsFlowエージェント機能を有効化します。KYOTEN-B(config-if lan 1)#sflow sampling-rate 500
!　　　　                   このインタフェース（LAN1）でフローサンプリングを有効化します。
!　　　　                   フローサンプリングのレートは500と德赢ac米兰官方合作伙伴しています。KYOTEN-B(config-if lan 1)#exit!
!
! Loopback1インタフェースの設定を行います。
! （センタ德赢ac米兰官方合作伙伴00と各拠点装置はこのアドレスでBGPセッションを確立を行うほか、sFlowの送信元アドレスとして使用します）
!
KYOTEN-B(config)#interface loopback 1KYOTEN-B(config-if loopback 1)#ip address 172.16.0.102KYOTEN-B(config-if loopback 1)#exit!
!
! VPN機能を有効にします。
!
KYOTEN-B(config)#vpn enable!
!
! VPN通信動作中の詳細なログ記録を有効にします。
!
KYOTEN-B(config)#vpnlog enable!
!
! IKEv2のIKE SAポリシーを德赢ac米兰官方合作伙伴します。
!
KYOTEN-B(config)#crypto 德赢ac米兰官方合作伙伴 policy 1KYOTEN-B(config-德赢ac米兰官方合作伙伴)#authentication pre-shareKYOTEN-B(config-德赢ac米兰官方合作伙伴)#encryption aesKYOTEN-B(config-德赢ac米兰官方合作伙伴)#encryption-keysize aes 256 256 256KYOTEN-B(config-德赢ac米兰官方合作伙伴)#group 2KYOTEN-B(config-德赢ac米兰官方合作伙伴)#hash shaKYOTEN-B(config-德赢ac米兰官方合作伙伴)#key ascii SecretKeyKYOTEN-B(config-德赢ac米兰官方合作伙伴)#lifetime 86400KYOTEN-B(config-德赢ac米兰官方合作伙伴)#match identity host IPsecGW1.example.jpKYOTEN-B(config-德赢ac米兰官方合作伙伴)#self-identity userfqdn kyoten-b@example.jpKYOTEN-B(config-德赢ac米兰官方合作伙伴)#set peer fitelnet1234.aoi.flets-east.jp 德赢ac米兰官方合作伙伴KYOTEN-B(config-德赢ac米兰官方合作伙伴)#group-security client spi mask hex 00ffffff 01000000KYOTEN-B(config-德赢ac米兰官方合作伙伴)#exit!
!
! センタ−各拠点間のCHILD SA(IKEv2)のトランスフォームセットを德赢ac米兰官方合作伙伴します。
!
KYOTEN-B(config)#ipsec transform-set CENTER-TRANS 德赢ac米兰官方合作伙伴 esp-aes esp-sha-hmacKYOTEN-B(config)#ipsec transform-keysize AES256 esp-aes-cbc 256 256 256!
!
! VPNセレクタ（ipsec access-list）德赢ac米兰官方合作伙伴行います。
!
KYOTEN-B(config)#ipsec access-list 1 ipsec ip any anyKYOTEN-B(config)#ipsec access-list 64 bypass ip any any!
!
! VPNセレクタ（crypto map）德赢ac米兰官方合作伙伴行います。
!
KYOTEN-B(config)#crypto map CENTER-A 1KYOTEN-B(config-crypto-map)#match address 1KYOTEN-B(config-crypto-map)#set security-association lifetime seconds 28800KYOTEN-B(config-crypto-map)#set transform-set CENTER-TRANSKYOTEN-B(config-crypto-map)#set 德赢ac米兰官方合作伙伴-policy 1KYOTEN-B(config-crypto-map)#set transform-keysize AES256KYOTEN-B(config-crypto-map)#exit!
!
! IPsecインタフェース德赢ac米兰官方合作伙伴行います。
!
KYOTEN-B(config)#interface ipsecif 1KYOTEN-B(config-if ipsecif 1)#description To_CENTER-AKYOTEN-B(config-if ipsecif 1)#crypto map CENTER-AKYOTEN-B(config-if ipsecif 1)#ip mtu 1500KYOTEN-B(config-if ipsecif 1)#exitKYOTEN-B(config)#interface ipsecif 2KYOTEN-B(config-if ipsecif 2)#description Group_SAKYOTEN-B(config-if ipsecif 2)#crypto group-security map CENTER-AKYOTEN-B(config-if ipsecif 2)#ip mtu 1500KYOTEN-B(config-if ipsecif 2)#exit!
!
! スタティック経路德赢ac米兰官方合作伙伴で、IPsec対象とする通信を指定します。
! （マルチポイントSA通信で使用する経路は、BGPによる経路交換で反映されます）
!
KYOTEN-B(config)#ip route 172.16.0.0 255.255.255.0 connected ipsecif 2!　　　　        他拠点のloopback 1宛ての経路を、MPSAのIPsecトンネルに向けます。
KYOTEN-B(config)#ip route 172.16.0.1 255.255.255.255 connected ipsecif 1!　　　　        センタ德赢ac米兰官方合作伙伴00のloopback 1宛てのホスト経路を、センタ德赢ac米兰官方合作伙伴00と確立したIPsecトンネルに向けます。
!
!
! BGPの設定を行います。
! 各拠点それぞれとBGPピアを確立、経路交換するための設定が必要です。
!
KYOTEN-B(config)#router bgp 65000KYOTEN-B(config-bgp)#bgp router-id 172.16.0.102KYOTEN-B(config-bgp)#bgp log-neighbor-changesKYOTEN-B(config-bgp)#德赢ac米兰官方合作伙伴.16.0.1 description CENTER-AKYOTEN-B(config-bgp)#德赢ac米兰官方合作伙伴.16.0.1 encap default interface ipsecif 2 *1KYOTEN-B(config-bgp)#德赢ac米兰官方合作伙伴.16.0.1 encap type ipsec-tunnel *1KYOTEN-B(config-bgp)#neighbor 172.16.0.1 encap endpoint ip德赢ac米兰官方合作伙伴 interface ewan 1KYOTEN-B(config-bgp)#德赢ac米兰官方合作伙伴.16.0.1 remote-as 65000KYOTEN-B(config-bgp)#德赢ac米兰官方合作伙伴.16.0.1 update-source loopback 1KYOTEN-B(config-bgp)#redistribute connectedKYOTEN-B(config-bgp)#exit!
! 特権ユーザモードに戻ります。
!
KYOTEN-B(config)#end!
!
! 德赢ac米兰官方合作伙伴保存します。
!
KYOTEN-B#save SIDE-A.cfg% saving working-config
% finished saving

KYOTEN-B#
!
!
! 德赢ac米兰官方合作伙伴有効にするために再起動します。
!
KYOTEN-B#resetAre you OK to cold start?(y/n)y

*1 :	F60 V01.09(00)、德赢ac米兰官方合作伙伴00 V01.15(00)以降のファームウェアでサポート

動作状況の確認

sFlowエージェントの統計情報を確認します。
※sFlowエージェント機能が有効化されている拠点側装置で確認可能です。

確認内容	画面表示例
	KYOTEN-A#show sflow statistics sFlow profile 1 sFlow Agent address: 172.16.0.101 Total Sampling pool: 10291 Total sFlow samples: 23 Total Dropped sFlow samples: 0 Collector exported sFlow packet samples : 23 Collector exported sFlow counter samples : 0 Max sampled size: 128 Max datagram size : 1400 Collector IP address : 192.168.0.100 Port: 6343 Source Interface: loopback 1 Send Packets: 23 Send failed: 0 Configured sFlow interface
フローサンプリングを德赢ac米兰官方合作伙伴したlan 1の情報が表示されることを確認 lan 1で送受信が発生すると、サンプリング母集団の数を示す"Sampling pool"がカウントされ、レートに応じてサンプル数を示す"sFlow samples"がカウントされます	lan 1 Sampling pool: 10291 sFlow samples: 23 Dropped sFlow samples : 0 sampling-rate: 500 polling-interval: 0

確認内容

画面表示例

KYOTEN-A#show sflow statistics
sFlow profile 1
sFlow Agent address: 172.16.0.101
Total Sampling pool: 10291
Total sFlow samples: 23
Total Dropped sFlow samples: 0
Collector exported sFlow packet samples : 23
Collector exported sFlow counter samples : 0
Max sampled size: 128
Max datagram size : 1400
Collector IP address : 192.168.0.100
Port: 6343
Source Interface: loopback 1
Send Packets: 23
Send failed: 0
Configured sFlow interface

フローサンプリングを德赢ac米兰官方合作伙伴したlan 1の情報が表示されることを確認
lan 1で送受信が発生すると、サンプリング母集団の数を示す"Sampling pool"がカウントされ、レートに応じてサンプル数を示す"sFlow samples"がカウントされます

lan 1
Sampling pool: 10291
sFlow samples: 23
Dropped sFlow samples : 0
sampling-rate: 500
polling-interval: 0

ページトップへ

サイトマップmilan米兰体育HOMElmilan米兰体育サーバのご利用にあたっての注意