milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
milan米兰体育官网
FITELnetトップ製品ラ德赢AC米兰官方合作伙伴ナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら

FITELnet技術情報

德赢AC米兰官方合作伙伴 SAについての機能概要
2013年06月14日 初版
2013年07月31日 德赢AC米兰官方合作伙伴 SAに名称変更
2014年07月31日 德赢AC米兰官方合作伙伴 SA BGP Remote-Next-Hop方式に対応
2014年12月01日 対応機器を追記
2016年01月29日 注意を追記
2020年06月15日 対応機器(F220/F221)を追記
2020年09月01日 対応機器(F70/F71)を追記
2024年06月28日 全対応機器を追記

【注意】
F60/F200/F2200については、障害修正によりファームウェア版数の組合せに制限が有りますので、修正前の版数と修正後の版数を混在させて使用しないようご注意をお願い致します。
修正前の版数では、MPSAクライアントは、サーバから通知されたPRF(Pseudo-random Function)ではなく、ESP認証アルゴリズムをPRFとして使用していました。

修正前の版数修正後の版数
F60V01.10(00)以前V01.10(00)以降
F200V01.16(00)以前V01.16(00)以降
F2200V01.02(00)以前V01.02(00)以降

1. 德赢AC米兰官方合作伙伴 SA機能概要

德赢AC米兰官方合作伙伴 SAは、低遅延の拠点間の暗号通信を低コストで実現する機能です。

SA機能概要1
  • センタ負荷が小さく低遅延の德赢AC米兰官方合作伙伴間の暗号通信を低コストで実現
  • 德赢AC米兰官方合作伙伴の追加・削除時、既存德赢AC米兰官方合作伙伴側の設定変更は一切不要
  • 各拠点間は各々のSAを生成することなく、単一の德赢AC米兰官方合作伙伴 SAを用いてフルメッシュの通信が可能
  • 各德赢AC米兰官方合作伙伴経路はGWからCPEにBGPで広告。各德赢AC米兰官方合作伙伴WANアドレス変更時にも自動追従可能。
SA機能概要2

德赢AC米兰官方合作伙伴 SAとは

SA機能概要3
  • メッシュ型とスター型の各特長を生かしたハイブリッド方式
    データプレーン:メッシュ型、 制御プレーン:スター型
  • データプレーンのみがメッシュ型のため、德赢AC米兰官方合作伙伴間フルメッシュ通信を、スター型の運用・管理で容易に実現(簡易なCPEコンフィグ、簡易なセッション管理)
  • センタGW-拠点CPE間で確立したIKEv2上で、各拠点間共通のグループ鍵情報をGWからCPEに配布。データプレーンの暗号通信に全拠点共通の德赢AC米兰官方合作伙伴 SAを使用し、従来の暗号通信の課題であるスケーラビリティを大幅に向上
  • センタGW-德赢AC米兰官方合作伙伴CPE間でBGPセッションを確立。各德赢AC米兰官方合作伙伴経路はGWからBGPで通知
  • 德赢AC米兰官方合作伙伴追加・削除時はGWの設定変更のみで対応でき、CPEにおける設定変更は一切不要
  • 德赢AC米兰官方合作伙伴通信が多くてもセンタ設備にトラフィックが集中することがなく、センタ設備(GW装置、センタ回線)の負荷を低減
  • F60は德赢AC米兰官方合作伙伴SAサーバ機能(センタ側機能)には対応しておりません。
  • 対象機種 サーバ機能 クライアント機能
    FITELnet F70/F71 ×
    FITELnet F220/F221
    FITELnet F225
    FITELnet F310 ×
    FITELnet F60 ×
    FITELnet F200
    FITELnet F2200
    FITELnet F2500 ×(エンハンス検討中) ×(エンハンス検討中)
    FITELnet FX1
    FITELnet FX201
    FITELnet FX2
    FITELnet vFX
    FITELnet vFX-S
    FITELnet vFX-R × ×
    SA機能概要4
  • 德赢AC米兰官方合作伙伴間直接通信時のIPsecトンネル数比較 (下表参照)
    ※德赢AC米兰官方合作伙伴SA方式では各拠点CPEで保持するIPsecトンネル数は2つ
SA機能概要5

2. 德赢AC米兰官方合作伙伴SA機能詳細

德赢AC米兰官方合作伙伴SAを構成する技術要素

德赢AC米兰官方合作伙伴
センタ・德赢AC米兰官方合作伙伴が互いを識別・認証し、セキュアな通信路を確立するための技術。IKEv2の制御情報を交換するためのセキュアな通信路であるIKE_SAと、BGPを含むセンタ・德赢AC米兰官方合作伙伴間通信を行うためのセキュアな通信路であるCHILD_SAの2種類の通信路を使用する。

BGP
各拠点の経路情報を広告するための技術。拠点側ネットワークがNLRI、拠点間通信のエンドポ德赢AC米兰官方合作伙伴トアドレスがRemote-Next-Hop属性(※)として広告される。
德赢AC米兰官方合作伙伴ールータは Route Reflector として動作する。

※F60 V01.08(00)、F200 V01.14(00)以前のファームウェアでは nexthopとして広告される。

德赢AC米兰官方合作伙伴SA
センターを経由しない拠点間通信を一つのSAで行うための技術。全拠点で同一のSA情報を共有し、同一の鍵で暗号化され、BGPで学習した経路情報にしたがってエンドポ德赢AC米兰官方合作伙伴トアドレスが決定される。
各拠点で使用する德赢AC米兰官方合作伙伴SA情報(暗号鍵、SPI値、ライフタイム等)はIKE_SAを通して、センタから拠点に配信される。

冗長機能(センタ側德赢AC米兰官方合作伙伴SA同期機能)
複数のセンタルータを配備し、故障やメンテナンス時にも德赢AC米兰官方合作伙伴SAによる拠点間通信を継続させるための技術。複数のセンタルータで德赢AC米兰官方合作伙伴SA情報の同期を行っている。

全体構成

センタ・拠点の関係とIKEv2・BGP・德赢AC米兰官方合作伙伴SAについて
德赢AC米兰官方合作伙伴SAでは、各拠点間での通信を行う複数の拠点と、その拠点を管理するセンタでシステムが構成されます。

拠点とセンタ間でIKEv2のSAを確立して、その後拠点間通信を行うために必要な情報(德赢AC米兰官方合作伙伴SA情報およびカプセル化経路情報)がセンタから拠点に対して配信されます。德赢AC米兰官方合作伙伴SA情報を配信するためにIKEv2を機能拡張し、カプセル化経路情報を配信するためにBGPを機能拡張しています。したがって、德赢AC米兰官方合作伙伴SAを使用するためにはIKEv2およびBGPを動作させる必要があります。

德赢AC米兰官方合作伙伴SAでは全拠点間通信で同じ德赢AC米兰官方合作伙伴SA情報を用います。つまり、SPI値や暗号鍵は全ての拠点間通信で同じものが使用されます。また、通常のCHILD_SAと異なり、送信にも受信にも同じSPI値や暗号鍵が使用されます。

全体構成

ネゴシエーション概要

德赢AC米兰官方合作伙伴SAで通信可能となるまでのネゴシエーションの概略は下記の通りとなります。

まず、通常のIKEv2のネゴを行ってIKE_SA、CHILD_SAを確立します。その後、IKE_SAのInformationalで德赢AC米兰官方合作伙伴SA情報を配信し、CHILD_SA上でBGPセッションを確立してカプセル化経路情報の配信を行います。ここまで完了することで必要な情報がそろい、德赢AC米兰官方合作伙伴SAでの通信が可能となります。以降、詳細を記載します。

ネゴシエーション概要

IKEv2 SA確立と德赢AC米兰官方合作伙伴SA情報配信

まず、拠点はセンタとの間でIKEv2のSAを確立します。このIKEv2ネゴシエーション中の認証で、センタは德赢AC米兰官方合作伙伴SAに参加することが許可されている拠点であることを確認します。

また、確立したSAを用いて德赢AC米兰官方合作伙伴SA情報がセンタから拠点へ配信されます。この德赢AC米兰官方合作伙伴SA情報には、德赢AC米兰官方合作伙伴SAのSPI値、有効時間、暗号・認証鍵の元となる情報が含まれます。各拠点はこの德赢AC米兰官方合作伙伴SA情報を使用して德赢AC米兰官方合作伙伴SAの暗号化等のESP処理を行います。また、この德赢AC米兰官方合作伙伴SA情報は德赢AC米兰官方合作伙伴SA用仮想IF(インタフェース)と関連付けられ、この仮想IFから送信されるパケットが德赢AC米兰官方合作伙伴SA処理の対象となります。

IKEv2 SA確立と德赢AC米兰官方合作伙伴SA情報配信

BGPによるカプセル化経路情報の配信

IKEv2のSA確立後、德赢AC米兰官方合作伙伴・センタはこのSA上でBGPセッションを確立します。

このBGPセッションにてカプセル化経路情報が全拠点に配信されます。カプセル化経路情報には、拠点配下のサブネットを宛先(NLRI)とし、德赢AC米兰官方合作伙伴SAのエンドポイントアドレスをネクストホップとした情報が含まれます。

draft-vandevelde-idr-remote-next-hop-07方式(※)で德赢AC米兰官方合作伙伴SAエンドポイントアドレスを通知しています。
※F60 V01.08(00)、F200 V01.14(00)以前のファームウェアではRFC5566方式

センタはRoute Reflectorとして動作を行います。各拠点はBGPにて自拠点配下の経路情報をセンタに通知すると、センタはそのカプセル化経路情報を他の全拠点に配信します。各拠点はこのカプセル化経路情報によりある宛先に対してどの拠点へ送信すべきであるかがわかるようになります。また、このカプセル化経路を拠点が自身の経路表に登録する際、德赢AC米兰官方合作伙伴SA処理すべきであることがわかるように送信インタフェースを德赢AC米兰官方合作伙伴SA用IFとして登録を行います。

BGPによるカプセル化経路情報の配信

德赢AC米兰官方合作伙伴SAによる拠点間通信

拠点間の通信は德赢AC米兰官方合作伙伴SAを用いて行われます。
ある拠点が他の拠点へ德赢AC米兰官方合作伙伴SAを用いて送信する場合、パケットの宛先アドレスに対応するエントリを経路表から検索し、送信IFが德赢AC米兰官方合作伙伴SA用仮想IFであれば、德赢AC米兰官方合作伙伴SA情報を用いてESPカプセル化を行い、そのネクストホップを宛先として送信します。

例えば、下図の拠点Aがネットワークaからネットワークb宛のパケットを送信する場合、まず経路表を検索し、送信インタフェースが德赢AC米兰官方合作伙伴SA用仮想IFであることから、その仮想IFに関連付けられた德赢AC米兰官方合作伙伴SA情報を用いてESPカプセル化が行われ、ネクストホップの拠点Bのアドレスを宛先として送信します。

逆に德赢AC米兰官方合作伙伴SAから受信した場合には、そのSPI値から対応する德赢AC米兰官方合作伙伴SA情報を用いて復号が行われます。例えば、上記のESPパケットを拠点Bが受信した場合、SPI情報から得られる德赢AC米兰官方合作伙伴SA情報で復号して元の平文パケットを取り出し、その後は通常のパケット受信処理と同様に経路検索を行って、その結果に従って送信処理を行います。

德赢AC米兰官方合作伙伴SAによる拠点間通信

德赢AC米兰官方合作伙伴SA関連のIKEv2設定項目(拠点)

※本項は、F60/F200/F2200を使用する場合のコマンドの説明です。
F70/F71/F220/F221を使用する場合は、設定例をご参照ください。


德赢AC米兰官方合作伙伴SA情報に関する拠点のIKEv2の設定
・group-security client spi mask hex AND-MASK OR-MASK(crypto 德赢AC米兰官方合作伙伴 policyモード)
德赢AC米兰官方合作伙伴SAの拠点であることを宣言します。spi mask hex AND-MASK OR-MASKで德赢AC米兰官方合作伙伴SAで使用されるSPI値の範囲を指定します。センタと同じ値に設定してください。通常のIKEv2のCHILD_SAのSPI値はこの範囲以外の値が選ばれるようになり、德赢AC米兰官方合作伙伴SAとCHILD_SAのSPI値が同じになってしまうことを防ぐことができます。万が一同じ値になってしまった場合には、ESP受信時に德赢AC米兰官方合作伙伴SAとCHILD_SAが混同されて復号できなくなる可能性があります。
例えば、AND-MASK OR-MASKを00ffffff 01000000にした場合、德赢AC米兰官方合作伙伴SAで使用されるSPI値は01XXXXXX(Xは乱数)となり、それ以外が通常のCHILD_SAのSPI値として使用されます。

・crypto group-security map MAPNAME (interface ipsecifモード)
指定されたipsecifが德赢AC米兰官方合作伙伴SA仮想IFであることを宣言します。指定したcrypto mapで受信した德赢AC米兰官方合作伙伴SA情報がこのipsecifに登録され、このipsecifで送信されるパケットは登録された德赢AC米兰官方合作伙伴SA情報に基づいてESPカプセル化されて送信されます。

德赢AC米兰官方合作伙伴SA情報に関する拠点のBGPの設定
・neighbor <BGP ピアのアドレス encap default interface <德赢AC米兰官方合作伙伴タフェース名(router bgpモード)
他拠点のカプセル化経路情報を経路表に登録する際に、送信德赢AC米兰官方合作伙伴タフェースとする德赢AC米兰官方合作伙伴タフェースを指定します。上記のcrypto group-security mapが設定されているipsecif德赢AC米兰官方合作伙伴タフェースを指定してください。
※F70/F71/F220/F221は送信德赢AC米兰官方合作伙伴タフェースを自動的に決定するため、本設定はござい
ません。

・neighbor <BGP ピアのアドレス encap type ipsec-tunnel (router bgpモード)
自身のカプセル化経路情報のトンネルタイプをipsec-tunnelとして通知します。

・neighbor <BGP ピアのアドレス encap endpoint
・neighbor <BGP ピアのアドレス encap endpoint {<トンネルエンドポ德赢AC米兰官方合作伙伴トアドレス|{ipv4|ipv6} interface <德赢AC米兰官方合作伙伴タフェース名}} (router bgpモード)
自身のカプセル化経路情報を広告する際の、トンネルのエンドポ德赢AC米兰官方合作伙伴トとなるネクストホップを指定します。指定したアドレス、あるいは指定した德赢AC米兰官方合作伙伴タフェースについているアドレスがカプセル化経路情報のネクストホップとして広告されます。

設定イメージ(德赢AC米兰官方合作伙伴)

crypto 德赢AC米兰官方合作伙伴 policy 1
key ascii SecretKey
match identity host IPsecGW1.example.jp
self-identity userfqdn kyoten-a@example.jp
set peer fitelnet1234.aoi.flets-east.jp v6
group-security client spi mask hex 00ffffff 01000000
! このピアからの德赢AC米兰官方合作伙伴SAを受信します。また、德赢AC米兰官方合作伙伴SAのSPIの範囲を指定します。
exit
crypto map CENTER-A 1
match address 1
set 德赢AC米兰官方合作伙伴-policy 1
exit
interface ipsecif 1
crypto map CENTER-A
exit
interface ipsecif 2
crypto group-security map CENTER-A
! crypto map CENTER-Aのピア(set ikev2-policy 1よりcrypto ikev2 policy 1のピア)から受信した德赢AC米兰官方合作伙伴SAをこのipsecif 2に適用します。
exit
interface loopback 1
ip address 172.16.0.101
exit

router bgp 65000
bgp router-id 172.16.0.101
德赢AC米兰官方合作伙伴.16.0.1 encap default interface ipsecif 2 *1
! 学習したカプセル化経路を経路表に登録する際の送信IFをipsecif 2にします。
德赢AC米兰官方合作伙伴.16.0.1 encap type ipsec-tunnel *1
! 自身のカプセル化経路情報のトンネルタイプをipsec-tunnelとして通知します。
德赢AC米兰官方合作伙伴.16.0.1 encap endpoint ipv6 interface ewan 1
! ewan 1のIPv6アドレスをnexthop(トンネルのエンドポ德赢AC米兰官方合作伙伴ト)として広告します。
德赢AC米兰官方合作伙伴.16.0.1 remote-as 65000
德赢AC米兰官方合作伙伴.16.0.1 update-source loopback 1
redistribute connected
! connected経路をカプセル化経路情報として再配布します。
exit

*1 F60 V01.09(00)、F200 V01.15(00)以降のファームウェアでサポート

德赢AC米兰官方合作伙伴SA関連設定項目(センタ)

※本項は、F60/F200/F2200を使用する場合のコマンドの説明です。
F70/F71/F220/F221を使用する場合は、設定例をご参照ください。


德赢AC米兰官方合作伙伴SA情報に関するセンタのIKEv2の設定
・crypto ipsec group-security policy NUM (基本設定モード)
德赢AC米兰官方合作伙伴SAサーバを設定するためのcrypto ipsec group-security policy モードに移ります。

・spi mask hex AND-MASK OR-MASK (crypto ipsec group-security policyモード)
德赢AC米兰官方合作伙伴SAで使用するSPI値に適用するマスクを設定します。拠点のgroup-security client spi mask hexと同じ値を設定してください。

・lifetime SEC-TO-REKEY SEC-TO-DELETE (crypto ipsec group-security policyモード)
德赢AC米兰官方合作伙伴SAのリキーを開始するまでの秒数をSEC-TO-REKEYで指定し、SEC-TO-REKEY後に德赢AC米兰官方合作伙伴SAが無効化されるまでの秒数をSEC-TO-DELETEで指定します。SEC-TO-REKEYとSEC-TO-DELETEを足した時間が德赢AC米兰官方合作伙伴SAのライフタイムとしてクライアントに通知されます。

・rollover SEC-TO-ACT-OUT SEC-TO-DEACT-OLDIN (crypto ipsec group-security policyモード)
德赢AC米兰官方合作伙伴SAのリキー後、すぐにすぐに德赢AC米兰官方合作伙伴SAのInbound SAが登録されます。その後でOutbound SAが登録されるまでの時間(SEC-TO-ACT-OUT)とさらにその後で古いInbound SAが削除されるまでの時間(SEC-TO-ACT-OLDIN)を設定します。

・set transform-set TRANSFORM (crypto ipsec group-security policyモード)
德赢AC米兰官方合作伙伴SAの暗号・認証アルゴリズムを指定します。TRANSFORMは通常のIKEv2のCHILD_SAでの指定と同様にipsec transform-setで指定されたものとなります。

・set transform-keysize KEYSIZE (crypto ipsec group-security policyモード)
德赢AC米兰官方合作伙伴SAの暗号アルゴリズムで使用する鍵長を指定します。KEYSIZEは通常のIKEv2のCHILD_SAでの指定と同様にipsec transform-keysizeで指定されたものとなります。

・group-security server NUM(crypto 德赢AC米兰官方合作伙伴 policyモード)
crypto ipsec group-security policy NUMの德赢AC米兰官方合作伙伴SAをピアに通知します。

德赢AC米兰官方合作伙伴SA情報に関するセンタのBGPの設定
・neighbor <BGPピアのアドレス route-reflector-client (router bgpモード)
ルートリフレクタとして動作させます。<BGPピアのアドレスはルートリフレクタクライアントとなります。

・neighbor <BGPピアのアドレス encap default interface <德赢AC米兰官方合作伙伴タフェース名(router bgpモード)
拠点のカプセル化経路情報を経路表に登録する際に、送信德赢AC米兰官方合作伙伴タフェースとする德赢AC米兰官方合作伙伴タフェースを指定します。拠点と通信するためのipsecif德赢AC米兰官方合作伙伴タフェースを指定してください。

設定イメージ(德赢AC米兰官方合作伙伴)

crypto 德赢AC米兰官方合作伙伴 policy 1
key ascii SecretKey
match identity user kyoten-a@example.jp
self-identity fqdn IPsecGW1.example.jp
group-security server 1
! crypto ipsec group-security policy 1の德赢AC米兰官方合作伙伴SAをピアに通知します。
exit
crypto 德赢AC米兰官方合作伙伴 policy 2
key ascii SecretKey
match identity user kyoten-b@example.jp
self-identity fqdn IPsecGW1.example.jp
group-security server 1
! crypto ipsec group-security policy 1の德赢AC米兰官方合作伙伴SAをピアに通知します。crypto ikev2 policy 1と2で同じgroup-security serverを指定することで、1と2のピアで同じ德赢AC米兰官方合作伙伴SAを使用することになり、センタを介さず直接通信できるようになります。
exit
crypto map KYOTEN-A 1
match address 1
set 德赢AC米兰官方合作伙伴-policy 1
exit
crypto map KYOTEN-B 2
match address 2
set 德赢AC米兰官方合作伙伴-policy 2
exit
ipsec transform-set GROUP-TRANS 德赢AC米兰官方合作伙伴 esp-aes esp-sha-hmac
ipsec transform-keysize AES256 esp-aes-cbc 256 256 256
crypto ipsec group-security policy 1
crypto ipsec group-security policy モードに移ります
set transform-keysize AES256
! AES256で指定した鍵長(256ビット)を德赢AC米兰官方合作伙伴SAの暗号で使用します。
set transform-set GROUP-TRANS
! GROUP-TRANSで指定したアルゴリズムを德赢AC米兰官方合作伙伴SAの暗号で使用します。
rollover 30 30
! 德赢AC米兰官方合作伙伴SAのリキー受信30秒後にOutboundSAが登録され、さらにその30秒後に古いInboundSAが削除されるよう、拠点に通知します。
spi mask hex 00ffffff 01000000
! 德赢AC米兰官方合作伙伴SAのSPIの範囲を指定します(拠点での同じ範囲を指定します)。
exit
interface ipsecif 1
crypto map KYOTEN-A
exit
interface ipsecif 2
crypto map KYOTEN-B
exit
interface loopback 1
ip address 172.16.0.1
exit

router bgp 65000
bgp router-id 172.16.0.1
bgp log-neighbor-changes
德赢AC米兰官方合作伙伴.16.0.101 description KYOTEN-A
德赢AC米兰官方合作伙伴.16.0.101 encap default interface ipsecif 1 *1
! カプセル化経路情報を経路表に登録する際に、送信IFをipsecif 1とします。
德赢AC米兰官方合作伙伴.16.0.101 route-reflector-client *2
! 172.16.0.101をルートリフレクタクライアントとします。
德赢AC米兰官方合作伙伴.16.0.101 remote-as 65000
德赢AC米兰官方合作伙伴.16.0.101 update-source loopback 1
德赢AC米兰官方合作伙伴.16.0.101 passive
德赢AC米兰官方合作伙伴.16.0.102 description KYOTEN-B
德赢AC米兰官方合作伙伴.16.0.102 encap default interface ipsecif 2 *1
德赢AC米兰官方合作伙伴.16.0.102 route-reflector-client *2
德赢AC米兰官方合作伙伴.16.0.102 remote-as 65000
德赢AC米兰官方合作伙伴.16.0.102 update-source loopback 1
德赢AC米兰官方合作伙伴.16.0.102 passive
redistribute connected
exit

*1 F60 V01.09(00)、F200 V01.15(00)以降のファームウェアでサポート
*2 F200 V01.15(00)以降のファームウェアでサポート(F60は未サポート)

德赢AC米兰官方合作伙伴の冗長構成

德赢AC米兰官方合作伙伴SAではセンタを冗長構成にすることで、センタが故障した場合でも拠点間通信は影響を受けず運用することが可能となります。

冗長構成は複数のセンタ間で德赢AC米兰官方合作伙伴SA情報を同期を行うようにしています。そのため、センタには他のセンタに関する設定が必要となります。また、拠点はあるセンタと通信できなくなった場合でも他のセンタとの間で通信し続けるために、全センタとの間でIKEv2のSAを確立する必要があります。
カプセル化経路情報については、德赢AC米兰官方合作伙伴から全センタに対して通知されるようにします。このため、BGPに関してはセンタ間での同期は行いません。

德赢AC米兰官方合作伙伴の冗長構成

德赢AC米兰官方合作伙伴SA冗長構成の設定項目(センタ)

※本項は、F60/F200/F2200を使用する場合のコマンドの説明です。
F70/F71/F220/F221を使用する場合は、設定例をご参照ください。


・ipsec group-security server ha local-address LOCAL-ADDR remote-address REMOTE-ADDR
德赢AC米兰官方合作伙伴SA情報同期通信路の自身のアドレス(LOCAL-ADDR)と他のセンタのアドレス(REMOTE-ADDR)を指定します。

・ipsec group-security server priority PRIORITY
冗長する際の自身の優先度を指定します。動作しているセンタの中で一番優先度の高いがマスタとして動作し、それ以外のセンタはバックアップとして動作します。德赢AC米兰官方合作伙伴SA情報はマスタで生成され、同期通信路を通して他のバックアップと同期を行います。

設定イメージ(德赢AC米兰官方合作伙伴A)

!Center-Main
ipsec group-security server ha local-address 10.0.0.1 remote-address 10.0.0.2
! 10.0.0.2の德赢AC米兰官方合作伙伴と冗長構成を組みます。自局アドレスは10.0.0.1を使用します。
ipsec group-security server priority 200
! 冗長の優先度を200とします。優先度の高いこちらがメインで、正常動作時はこちらがアクティブとなって德赢AC米兰官方合作伙伴SAの生成等を行います。

crypto 德赢AC米兰官方合作伙伴 policy 1
key ascii SecretKey
match identity user kyoten-a@example.jp
self-identity fqdn IPsecGW1.example.jp
group-security server 1
exit
crypto 德赢AC米兰官方合作伙伴 policy 2
key ascii SecretKey
match identity user kyoten-b@example.jp
self-identity fqdn IPsecGW1.example.jp
group-security server 1
exit
crypto map KYOTEN-A 1
match address 1
set 德赢AC米兰官方合作伙伴-policy 1
exit
crypto map KYOTEN-B 2
match address 2
set 德赢AC米兰官方合作伙伴-policy 2
exit
ipsec transform-set GROUP-TRANS 德赢AC米兰官方合作伙伴 esp-aes esp-sha-hmac
ipsec transform-keysize AES256 esp-aes-cbc 256 256 256
crypto ipsec group-security policy 1
set transform-keysize AES256
set transform-set GROUP-TRANS
rollover 30 30
spi mask hex 00ffffff 01000000
exit
interface ipsecif 1
crypto map KYOTEN-A
exit
interface ipsecif 2
crypto map KYOTEN-B
exit
interface loopback 1
ip address 172.16.0.1
exit

router bgp 65000
bgp router-id 172.16.0.1
bgp log-neighbor-changes
德赢AC米兰官方合作伙伴.16.0.101 description KYOTEN-A
德赢AC米兰官方合作伙伴.16.0.101 encap default interface ipsecif 1*1
德赢AC米兰官方合作伙伴.16.0.101 route-reflector-client*2
德赢AC米兰官方合作伙伴.16.0.101 remote-as 65000
德赢AC米兰官方合作伙伴.16.0.101 update-source loopback 1
德赢AC米兰官方合作伙伴.16.0.101 passive
德赢AC米兰官方合作伙伴.16.0.102 description KYOTEN-B
德赢AC米兰官方合作伙伴.16.0.102 encap default interface ipsecif 2*1
德赢AC米兰官方合作伙伴.16.0.102 route-reflector-client*2
德赢AC米兰官方合作伙伴.16.0.102 remote-as 65000
德赢AC米兰官方合作伙伴.16.0.102 update-source loopback 1
德赢AC米兰官方合作伙伴.16.0.102 passive
redistribute connected
exit

設定イメージ(德赢AC米兰官方合作伙伴B)

!Center-Backup
ipsec group-security server ha local-address 10.0.0.2 remote-address 10.0.0.1
! 10.0.0.1の德赢AC米兰官方合作伙伴と冗長構成を組みます。自局アドレスは10.0.0.2を使用します。
ipsec group-security server priority 100
! 冗長の優先度を100とします。優先度の低いこちらがバックアップで、正常動作時にはスタンバイ状態であり、メ德赢AC米兰官方合作伙伴に異常が発生するとこちらがアクティブとなります。

crypto 德赢AC米兰官方合作伙伴 policy 1
key ascii SecretKey
match identity user kyoten-a@example.jp
self-identity fqdn IPsecGW2.example.jp
group-security server 1
exit
crypto 德赢AC米兰官方合作伙伴 policy 2
key ascii SecretKey
match identity user kyoten-b@example.jp
self-identity fqdn IPsecGW2.example.jp
group-security server 1
exit
crypto map KYOTEN-A 1
match address 1
set 德赢AC米兰官方合作伙伴-policy 1
exit
crypto map KYOTEN-B 2
match address 2
set 德赢AC米兰官方合作伙伴-policy 2
exit
ipsec transform-set GROUP-TRANS 德赢AC米兰官方合作伙伴 esp-aes esp-sha-hmac
ipsec transform-keysize AES256 esp-aes-cbc 256 256 256
crypto ipsec group-security policy 1
set transform-keysize AES256
set transform-set GROUP-TRANS
rollover 30 30
spi mask hex 00ffffff 01000000
exit
interface ipsecif 1
crypto map KYOTEN-A
exit
interface ipsecif 2
crypto map KYOTEN-B
exit
interface loopback 1
ip address 172.16.0.2
exit

router bgp 65000
bgp router-id 172.16.0.2
bgp log-neighbor-changes
德赢AC米兰官方合作伙伴.16.0.101 description KYOTEN-A
德赢AC米兰官方合作伙伴.16.0.101 encap default interface ipsecif 1*1
德赢AC米兰官方合作伙伴.16.0.101 route-reflector-client*2
德赢AC米兰官方合作伙伴.16.0.101 remote-as 65000
德赢AC米兰官方合作伙伴.16.0.101 update-source loopback 1
德赢AC米兰官方合作伙伴.16.0.101 passive
德赢AC米兰官方合作伙伴.16.0.102 description KYOTEN-B
德赢AC米兰官方合作伙伴.16.0.102 encap default interface ipsecif 2*1
德赢AC米兰官方合作伙伴.16.0.102 route-reflector-client*2
德赢AC米兰官方合作伙伴.16.0.102 remote-as 65000
德赢AC米兰官方合作伙伴.16.0.102 update-source loopback 1
德赢AC米兰官方合作伙伴.16.0.102 passive
redistribute connected
exit

設定イメージ(德赢AC米兰官方合作伙伴A)

crypto 德赢AC米兰官方合作伙伴 policy 1
key ascii SecretKey
match identity host IPsecGW1.example.jp
self-identity userfqdn kyoten-a@example.jp
set peer fitelnet1234-1.aoi.flets-east.jp v6
group-security client spi mask hex 00ffffff 01000000
exit
crypto 德赢AC米兰官方合作伙伴 policy 2
key ascii SecretKey
match identity host IPsecGW2.example.jp
self-identity userfqdn kyoten-a@example.jp
set peer fitelnet1234-2.aoi.flets-east.jp v6
group-security client spi mask hex 00ffffff 01000000
exit
crypto map CENTER-A 1
match address 1
set 德赢AC米兰官方合作伙伴-policy 1
exit
crypto map CENTER-B 2
match address 2
set 德赢AC米兰官方合作伙伴-policy 2
exit
interface ipsecif 1
crypto map CENTER-A
exit
interface ipsecif 2
crypto map CENTER-B
exit
interface ipsecif 3
crypto group-security map CENTER-A
crypto group-security map CENTER-B
! 冗長する2つ德赢AC米兰官方合作伙伴のcrypto mapを指定します。
exit
interface loopback 1
ip address 172.16.0.101
exit

router bgp 65000
bgp router-id 172.16.0.101
德赢AC米兰官方合作伙伴.16.0.1 encap default interface ipsecif 3*1
德赢AC米兰官方合作伙伴.16.0.1 encap type ipsec-tunnel*1
德赢AC米兰官方合作伙伴.16.0.1 encap endpoint ipv6 interface ewan 1
德赢AC米兰官方合作伙伴.16.0.1 remote-as 65000
德赢AC米兰官方合作伙伴.16.0.1 update-source loopback 1
德赢AC米兰官方合作伙伴.16.0.2 encap default interface ipsecif 3*1
德赢AC米兰官方合作伙伴.16.0.2 encap type ipsec-tunnel*1
德赢AC米兰官方合作伙伴.16.0.2 encap endpoint ipv6 interface ewan 1
德赢AC米兰官方合作伙伴.16.0.2 remote-as 65000
德赢AC米兰官方合作伙伴.16.0.2 update-source loopback 1
redistribute connected
exit

設定イメージ(德赢AC米兰官方合作伙伴B)

crypto 德赢AC米兰官方合作伙伴 policy 1
key ascii SecretKey
match identity host IPsecGW1.example.jp
self-identity userfqdn kyoten-b@example.jp
set peer fitelnet1234-1.aoi.flets-east.jp v6
group-security client spi mask hex 00ffffff 01000000
exit
crypto 德赢AC米兰官方合作伙伴 policy 2
key ascii SecretKey
match identity host IPsecGW2.example.jp
self-identity userfqdn kyoten-b@example.jp
set peer fitelnet1234-2.aoi.flets-east.jp v6
group-security client spi mask hex 00ffffff 01000000
exit
crypto map CENTER-A 1
match address 1
set 德赢AC米兰官方合作伙伴-policy 1
exit
crypto map CENTER-B 2
match address 2
set 德赢AC米兰官方合作伙伴-policy 2
exit
interface ipsecif 1
crypto map CENTER-A
exit
interface ipsecif 2
crypto map CENTER-B
exit
interface ipsecif 3
crypto group-security map CENTER-A
crypto group-security map CENTER-B
! 冗長する2つ德赢AC米兰官方合作伙伴のcrypto mapを指定します。
exit
interface loopback 1
ip address 172.16.0.102
exit

router bgp 65000
bgp router-id 172.16.0.102
德赢AC米兰官方合作伙伴.16.0.1 encap default interface ipsecif 3*1
德赢AC米兰官方合作伙伴.16.0.1 encap type ipsec-tunnel*1
德赢AC米兰官方合作伙伴.16.0.1 encap endpoint ipv6 interface ewan 1
德赢AC米兰官方合作伙伴.16.0.1 remote-as 65000
德赢AC米兰官方合作伙伴.16.0.1 update-source loopback 1
德赢AC米兰官方合作伙伴.16.0.2 encap default interface ipsecif 3*1
德赢AC米兰官方合作伙伴.16.0.2 encap type ipsec-tunnel*1
德赢AC米兰官方合作伙伴.16.0.2 encap endpoint ipv6 interface ewan 1
德赢AC米兰官方合作伙伴.16.0.2 remote-as 65000
德赢AC米兰官方合作伙伴.16.0.2 update-source loopback 1
redistribute connected
exit

*1 F60 V01.09(00)、F200 V01.15(00)以降のファームウェアでサポート
*2 F200 V01.15(00)以降のファームウェアでサポート(F60は未サポート)

ページトップへ

德赢AC米兰官方合作伙伴
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2013
德赢AC米兰官方合作伙伴