2013年06月14日 | 初版 |
2013年07月31日 | 德赢AC米兰官方合作伙伴 SAに名称変更 |
2014年07月31日 | 德赢AC米兰官方合作伙伴 SA BGP Remote-Next-Hop方式に対応 |
2014年12月01日 | 対応機器を追記 |
2016年01月29日 | 注意を追記 |
2020年06月15日 | 対応機器(F220/F221)を追記 |
2020年09月01日 | 対応機器(F70/F71)を追記 |
2024年06月28日 | 全対応機器を追記 |
【注意】
F60/F200/F2200については、障害修正によりファームウェア版数の組合せに制限が有りますので、修正前の版数と修正後の版数を混在させて使用しないようご注意をお願い致します。
修正前の版数では、MPSAクライアントは、サーバから通知されたPRF(Pseudo-random Function)ではなく、ESP認証アルゴリズムをPRFとして使用していました。
修正前の版数修正後の版数
F60V01.10(00)以前V01.10(00)以降
F200V01.16(00)以前V01.16(00)以降
F2200V01.02(00)以前V01.02(00)以降
德赢AC米兰官方合作伙伴 SAは、低遅延の拠点間の暗号通信を低コストで実現する機能です。
対象機種 | サーバ機能 | クライアント機能 |
---|---|---|
FITELnet F70/F71 | × | ○ |
FITELnet F220/F221 | ○ | ○ |
FITELnet F225 | ○ | ○ |
FITELnet F310 | × | ○ |
FITELnet F60 | × | ○ |
FITELnet F200 | ○ | ○ |
FITELnet F2200 | ○ | ○ |
FITELnet F2500 | ×(エンハンス検討中) | ×(エンハンス検討中) |
FITELnet FX1 | ○ | ○ |
FITELnet FX201 | ○ | ○ |
FITELnet FX2 | ○ | ○ |
FITELnet vFX | ○ | ○ |
FITELnet vFX-S | ○ | ○ |
FITELnet vFX-R | × | × |
■ 德赢AC米兰官方合作伙伴
センタ・德赢AC米兰官方合作伙伴が互いを識別・認証し、セキュアな通信路を確立するための技術。IKEv2の制御情報を交換するためのセキュアな通信路であるIKE_SAと、BGPを含むセンタ・德赢AC米兰官方合作伙伴間通信を行うためのセキュアな通信路であるCHILD_SAの2種類の通信路を使用する。
■ BGP
各拠点の経路情報を広告するための技術。拠点側ネットワークがNLRI、拠点間通信のエンドポ德赢AC米兰官方合作伙伴トアドレスがRemote-Next-Hop属性(※)として広告される。
德赢AC米兰官方合作伙伴ールータは Route Reflector として動作する。
※F60 V01.08(00)、F200 V01.14(00)以前のファームウェアでは nexthopとして広告される。
■ 德赢AC米兰官方合作伙伴SA
センターを経由しない拠点間通信を一つのSAで行うための技術。全拠点で同一のSA情報を共有し、同一の鍵で暗号化され、BGPで学習した経路情報にしたがってエンドポ德赢AC米兰官方合作伙伴トアドレスが決定される。
各拠点で使用する德赢AC米兰官方合作伙伴SA情報(暗号鍵、SPI値、ライフタイム等)はIKE_SAを通して、センタから拠点に配信される。
■ 冗長機能(センタ側德赢AC米兰官方合作伙伴SA同期機能)
複数のセンタルータを配備し、故障やメンテナンス時にも德赢AC米兰官方合作伙伴SAによる拠点間通信を継続させるための技術。複数のセンタルータで德赢AC米兰官方合作伙伴SA情報の同期を行っている。
■ センタ・拠点の関係とIKEv2・BGP・德赢AC米兰官方合作伙伴SAについて
德赢AC米兰官方合作伙伴SAでは、各拠点間での通信を行う複数の拠点と、その拠点を管理するセンタでシステムが構成されます。
拠点とセンタ間でIKEv2のSAを確立して、その後拠点間通信を行うために必要な情報(德赢AC米兰官方合作伙伴SA情報およびカプセル化経路情報)がセンタから拠点に対して配信されます。德赢AC米兰官方合作伙伴SA情報を配信するためにIKEv2を機能拡張し、カプセル化経路情報を配信するためにBGPを機能拡張しています。したがって、德赢AC米兰官方合作伙伴SAを使用するためにはIKEv2およびBGPを動作させる必要があります。
德赢AC米兰官方合作伙伴SAでは全拠点間通信で同じ德赢AC米兰官方合作伙伴SA情報を用います。つまり、SPI値や暗号鍵は全ての拠点間通信で同じものが使用されます。また、通常のCHILD_SAと異なり、送信にも受信にも同じSPI値や暗号鍵が使用されます。
德赢AC米兰官方合作伙伴SAで通信可能となるまでのネゴシエーションの概略は下記の通りとなります。
まず、通常のIKEv2のネゴを行ってIKE_SA、CHILD_SAを確立します。その後、IKE_SAのInformationalで德赢AC米兰官方合作伙伴SA情報を配信し、CHILD_SA上でBGPセッションを確立してカプセル化経路情報の配信を行います。ここまで完了することで必要な情報がそろい、德赢AC米兰官方合作伙伴SAでの通信が可能となります。以降、詳細を記載します。
まず、拠点はセンタとの間でIKEv2のSAを確立します。このIKEv2ネゴシエーション中の認証で、センタは德赢AC米兰官方合作伙伴SAに参加することが許可されている拠点であることを確認します。
また、確立したSAを用いて德赢AC米兰官方合作伙伴SA情報がセンタから拠点へ配信されます。この德赢AC米兰官方合作伙伴SA情報には、德赢AC米兰官方合作伙伴SAのSPI値、有効時間、暗号・認証鍵の元となる情報が含まれます。各拠点はこの德赢AC米兰官方合作伙伴SA情報を使用して德赢AC米兰官方合作伙伴SAの暗号化等のESP処理を行います。また、この德赢AC米兰官方合作伙伴SA情報は德赢AC米兰官方合作伙伴SA用仮想IF(インタフェース)と関連付けられ、この仮想IFから送信されるパケットが德赢AC米兰官方合作伙伴SA処理の対象となります。
IKEv2のSA確立後、德赢AC米兰官方合作伙伴・センタはこのSA上でBGPセッションを確立します。
このBGPセッションにてカプセル化経路情報が全拠点に配信されます。カプセル化経路情報には、拠点配下のサブネットを宛先(NLRI)とし、德赢AC米兰官方合作伙伴SAのエンドポイントアドレスをネクストホップとした情報が含まれます。
draft-vandevelde-idr-remote-next-hop-07方式(※)で德赢AC米兰官方合作伙伴SAエンドポイントアドレスを通知しています。
※F60 V01.08(00)、F200 V01.14(00)以前のファームウェアではRFC5566方式
センタはRoute Reflectorとして動作を行います。各拠点はBGPにて自拠点配下の経路情報をセンタに通知すると、センタはそのカプセル化経路情報を他の全拠点に配信します。各拠点はこのカプセル化経路情報によりある宛先に対してどの拠点へ送信すべきであるかがわかるようになります。また、このカプセル化経路を拠点が自身の経路表に登録する際、德赢AC米兰官方合作伙伴SA処理すべきであることがわかるように送信インタフェースを德赢AC米兰官方合作伙伴SA用IFとして登録を行います。
拠点間の通信は德赢AC米兰官方合作伙伴SAを用いて行われます。
ある拠点が他の拠点へ德赢AC米兰官方合作伙伴SAを用いて送信する場合、パケットの宛先アドレスに対応するエントリを経路表から検索し、送信IFが德赢AC米兰官方合作伙伴SA用仮想IFであれば、德赢AC米兰官方合作伙伴SA情報を用いてESPカプセル化を行い、そのネクストホップを宛先として送信します。
例えば、下図の拠点Aがネットワークaからネットワークb宛のパケットを送信する場合、まず経路表を検索し、送信インタフェースが德赢AC米兰官方合作伙伴SA用仮想IFであることから、その仮想IFに関連付けられた德赢AC米兰官方合作伙伴SA情報を用いてESPカプセル化が行われ、ネクストホップの拠点Bのアドレスを宛先として送信します。
逆に德赢AC米兰官方合作伙伴SAから受信した場合には、そのSPI値から対応する德赢AC米兰官方合作伙伴SA情報を用いて復号が行われます。例えば、上記のESPパケットを拠点Bが受信した場合、SPI情報から得られる德赢AC米兰官方合作伙伴SA情報で復号して元の平文パケットを取り出し、その後は通常のパケット受信処理と同様に経路検索を行って、その結果に従って送信処理を行います。
※本項は、F60/F200/F2200を使用する場合のコマンドの説明です。
F70/F71/F220/F221を使用する場合は、設定例をご参照ください。
■德赢AC米兰官方合作伙伴SA情報に関する拠点のIKEv2の設定
・group-security client spi mask hex AND-MASK OR-MASK(crypto 德赢AC米兰官方合作伙伴 policyモード)
德赢AC米兰官方合作伙伴SAの拠点であることを宣言します。spi mask hex AND-MASK OR-MASKで德赢AC米兰官方合作伙伴SAで使用されるSPI値の範囲を指定します。センタと同じ値に設定してください。通常のIKEv2のCHILD_SAのSPI値はこの範囲以外の値が選ばれるようになり、德赢AC米兰官方合作伙伴SAとCHILD_SAのSPI値が同じになってしまうことを防ぐことができます。万が一同じ値になってしまった場合には、ESP受信時に德赢AC米兰官方合作伙伴SAとCHILD_SAが混同されて復号できなくなる可能性があります。
例えば、AND-MASK OR-MASKを00ffffff 01000000にした場合、德赢AC米兰官方合作伙伴SAで使用されるSPI値は01XXXXXX(Xは乱数)となり、それ以外が通常のCHILD_SAのSPI値として使用されます。
・crypto group-security map MAPNAME (interface ipsecifモード)
指定されたipsecifが德赢AC米兰官方合作伙伴SA仮想IFであることを宣言します。指定したcrypto mapで受信した德赢AC米兰官方合作伙伴SA情報がこのipsecifに登録され、このipsecifで送信されるパケットは登録された德赢AC米兰官方合作伙伴SA情報に基づいてESPカプセル化されて送信されます。
■德赢AC米兰官方合作伙伴SA情報に関する拠点のBGPの設定
・neighbor <BGP ピアのアドレス encap default interface <德赢AC米兰官方合作伙伴タフェース名(router bgpモード)
他拠点のカプセル化経路情報を経路表に登録する際に、送信德赢AC米兰官方合作伙伴タフェースとする德赢AC米兰官方合作伙伴タフェースを指定します。上記のcrypto group-security mapが設定されているipsecif德赢AC米兰官方合作伙伴タフェースを指定してください。
※F70/F71/F220/F221は送信德赢AC米兰官方合作伙伴タフェースを自動的に決定するため、本設定はござい
ません。
・neighbor <BGP ピアのアドレス encap type ipsec-tunnel (router bgpモード)
自身のカプセル化経路情報のトンネルタイプをipsec-tunnelとして通知します。
・neighbor <BGP ピアのアドレス encap endpoint
・neighbor <BGP ピアのアドレス encap endpoint {<トンネルエンドポ德赢AC米兰官方合作伙伴トアドレス|{ipv4|ipv6} interface <德赢AC米兰官方合作伙伴タフェース名}} (router bgpモード)
自身のカプセル化経路情報を広告する際の、トンネルのエンドポ德赢AC米兰官方合作伙伴トとなるネクストホップを指定します。指定したアドレス、あるいは指定した德赢AC米兰官方合作伙伴タフェースについているアドレスがカプセル化経路情報のネクストホップとして広告されます。
crypto 德赢AC米兰官方合作伙伴 policy 1 key ascii SecretKey match identity host IPsecGW1.example.jp self-identity userfqdn kyoten-a@example.jp set peer fitelnet1234.aoi.flets-east.jp v6 group-security client spi mask hex 00ffffff 01000000 ! このピアからの德赢AC米兰官方合作伙伴SAを受信します。また、德赢AC米兰官方合作伙伴SAのSPIの範囲を指定します。 exit crypto map CENTER-A 1 match address 1 set 德赢AC米兰官方合作伙伴-policy 1 exit interface ipsecif 1 crypto map CENTER-A exit interface ipsecif 2 crypto group-security map CENTER-A ! crypto map CENTER-Aのピア(set ikev2-policy 1よりcrypto ikev2 policy 1のピア)から受信した德赢AC米兰官方合作伙伴SAをこのipsecif 2に適用します。 exit interface loopback 1 ip address 172.16.0.101 exit router bgp 65000 bgp router-id 172.16.0.101 德赢AC米兰官方合作伙伴.16.0.1 encap default interface ipsecif 2 *1 ! 学習したカプセル化経路を経路表に登録する際の送信IFをipsecif 2にします。 德赢AC米兰官方合作伙伴.16.0.1 encap type ipsec-tunnel *1 ! 自身のカプセル化経路情報のトンネルタイプをipsec-tunnelとして通知します。 德赢AC米兰官方合作伙伴.16.0.1 encap endpoint ipv6 interface ewan 1 ! ewan 1のIPv6アドレスをnexthop(トンネルのエンドポ德赢AC米兰官方合作伙伴ト)として広告します。 德赢AC米兰官方合作伙伴.16.0.1 remote-as 65000 德赢AC米兰官方合作伙伴.16.0.1 update-source loopback 1 redistribute connected ! connected経路をカプセル化経路情報として再配布します。 exit |
*1 F60 V01.09(00)、F200 V01.15(00)以降のファームウェアでサポート
※本項は、F60/F200/F2200を使用する場合のコマンドの説明です。
F70/F71/F220/F221を使用する場合は、設定例をご参照ください。
■德赢AC米兰官方合作伙伴SA情報に関するセンタのIKEv2の設定
・crypto ipsec group-security policy NUM (基本設定モード)
德赢AC米兰官方合作伙伴SAサーバを設定するためのcrypto ipsec group-security policy モードに移ります。
・spi mask hex AND-MASK OR-MASK (crypto ipsec group-security policyモード)
德赢AC米兰官方合作伙伴SAで使用するSPI値に適用するマスクを設定します。拠点のgroup-security client spi mask hexと同じ値を設定してください。
・lifetime SEC-TO-REKEY SEC-TO-DELETE (crypto ipsec group-security policyモード)
德赢AC米兰官方合作伙伴SAのリキーを開始するまでの秒数をSEC-TO-REKEYで指定し、SEC-TO-REKEY後に德赢AC米兰官方合作伙伴SAが無効化されるまでの秒数をSEC-TO-DELETEで指定します。SEC-TO-REKEYとSEC-TO-DELETEを足した時間が德赢AC米兰官方合作伙伴SAのライフタイムとしてクライアントに通知されます。
・rollover SEC-TO-ACT-OUT SEC-TO-DEACT-OLDIN (crypto ipsec group-security policyモード)
德赢AC米兰官方合作伙伴SAのリキー後、すぐにすぐに德赢AC米兰官方合作伙伴SAのInbound SAが登録されます。その後でOutbound SAが登録されるまでの時間(SEC-TO-ACT-OUT)とさらにその後で古いInbound SAが削除されるまでの時間(SEC-TO-ACT-OLDIN)を設定します。
・set transform-set TRANSFORM (crypto ipsec group-security policyモード)
德赢AC米兰官方合作伙伴SAの暗号・認証アルゴリズムを指定します。TRANSFORMは通常のIKEv2のCHILD_SAでの指定と同様にipsec transform-setで指定されたものとなります。
・set transform-keysize KEYSIZE (crypto ipsec group-security policyモード)
德赢AC米兰官方合作伙伴SAの暗号アルゴリズムで使用する鍵長を指定します。KEYSIZEは通常のIKEv2のCHILD_SAでの指定と同様にipsec transform-keysizeで指定されたものとなります。
・group-security server NUM(crypto 德赢AC米兰官方合作伙伴 policyモード)
crypto ipsec group-security policy NUMの德赢AC米兰官方合作伙伴SAをピアに通知します。
■德赢AC米兰官方合作伙伴SA情報に関するセンタのBGPの設定
・neighbor <BGPピアのアドレス route-reflector-client (router bgpモード)
ルートリフレクタとして動作させます。<BGPピアのアドレスはルートリフレクタクライアントとなります。
・neighbor <BGPピアのアドレス encap default interface <德赢AC米兰官方合作伙伴タフェース名(router bgpモード)
拠点のカプセル化経路情報を経路表に登録する際に、送信德赢AC米兰官方合作伙伴タフェースとする德赢AC米兰官方合作伙伴タフェースを指定します。拠点と通信するためのipsecif德赢AC米兰官方合作伙伴タフェースを指定してください。
crypto 德赢AC米兰官方合作伙伴 policy 1 key ascii SecretKey match identity user kyoten-a@example.jp self-identity fqdn IPsecGW1.example.jp group-security server 1 ! crypto ipsec group-security policy 1の德赢AC米兰官方合作伙伴SAをピアに通知します。 exit crypto 德赢AC米兰官方合作伙伴 policy 2 key ascii SecretKey match identity user kyoten-b@example.jp self-identity fqdn IPsecGW1.example.jp group-security server 1 ! crypto ipsec group-security policy 1の德赢AC米兰官方合作伙伴SAをピアに通知します。crypto ikev2 policy 1と2で同じgroup-security serverを指定することで、1と2のピアで同じ德赢AC米兰官方合作伙伴SAを使用することになり、センタを介さず直接通信できるようになります。 exit crypto map KYOTEN-A 1 match address 1 set 德赢AC米兰官方合作伙伴-policy 1 exit crypto map KYOTEN-B 2 match address 2 set 德赢AC米兰官方合作伙伴-policy 2 exit ipsec transform-set GROUP-TRANS 德赢AC米兰官方合作伙伴 esp-aes esp-sha-hmac ipsec transform-keysize AES256 esp-aes-cbc 256 256 256 crypto ipsec group-security policy 1 crypto ipsec group-security policy モードに移ります set transform-keysize AES256 ! AES256で指定した鍵長(256ビット)を德赢AC米兰官方合作伙伴SAの暗号で使用します。 set transform-set GROUP-TRANS ! GROUP-TRANSで指定したアルゴリズムを德赢AC米兰官方合作伙伴SAの暗号で使用します。 rollover 30 30 ! 德赢AC米兰官方合作伙伴SAのリキー受信30秒後にOutboundSAが登録され、さらにその30秒後に古いInboundSAが削除されるよう、拠点に通知します。 spi mask hex 00ffffff 01000000 ! 德赢AC米兰官方合作伙伴SAのSPIの範囲を指定します(拠点での同じ範囲を指定します)。 exit interface ipsecif 1 crypto map KYOTEN-A exit interface ipsecif 2 crypto map KYOTEN-B exit interface loopback 1 ip address 172.16.0.1 exit router bgp 65000 bgp router-id 172.16.0.1 bgp log-neighbor-changes 德赢AC米兰官方合作伙伴.16.0.101 description KYOTEN-A 德赢AC米兰官方合作伙伴.16.0.101 encap default interface ipsecif 1 *1 ! カプセル化経路情報を経路表に登録する際に、送信IFをipsecif 1とします。 德赢AC米兰官方合作伙伴.16.0.101 route-reflector-client *2 ! 172.16.0.101をルートリフレクタクライアントとします。 德赢AC米兰官方合作伙伴.16.0.101 remote-as 65000 德赢AC米兰官方合作伙伴.16.0.101 update-source loopback 1 德赢AC米兰官方合作伙伴.16.0.101 passive 德赢AC米兰官方合作伙伴.16.0.102 description KYOTEN-B 德赢AC米兰官方合作伙伴.16.0.102 encap default interface ipsecif 2 *1 德赢AC米兰官方合作伙伴.16.0.102 route-reflector-client *2 德赢AC米兰官方合作伙伴.16.0.102 remote-as 65000 德赢AC米兰官方合作伙伴.16.0.102 update-source loopback 1 德赢AC米兰官方合作伙伴.16.0.102 passive redistribute connected exit |
*1 F60 V01.09(00)、F200 V01.15(00)以降のファームウェアでサポート
*2 F200 V01.15(00)以降のファームウェアでサポート(F60は未サポート)
德赢AC米兰官方合作伙伴SAではセンタを冗長構成にすることで、センタが故障した場合でも拠点間通信は影響を受けず運用することが可能となります。
冗長構成は複数のセンタ間で德赢AC米兰官方合作伙伴SA情報を同期を行うようにしています。そのため、センタには他のセンタに関する設定が必要となります。また、拠点はあるセンタと通信できなくなった場合でも他のセンタとの間で通信し続けるために、全センタとの間でIKEv2のSAを確立する必要があります。
カプセル化経路情報については、德赢AC米兰官方合作伙伴から全センタに対して通知されるようにします。このため、BGPに関してはセンタ間での同期は行いません。
※本項は、F60/F200/F2200を使用する場合のコマンドの説明です。
F70/F71/F220/F221を使用する場合は、設定例をご参照ください。
・ipsec group-security server ha local-address LOCAL-ADDR remote-address REMOTE-ADDR
德赢AC米兰官方合作伙伴SA情報同期通信路の自身のアドレス(LOCAL-ADDR)と他のセンタのアドレス(REMOTE-ADDR)を指定します。
・ipsec group-security server priority PRIORITY
冗長する際の自身の優先度を指定します。動作しているセンタの中で一番優先度の高いがマスタとして動作し、それ以外のセンタはバックアップとして動作します。德赢AC米兰官方合作伙伴SA情報はマスタで生成され、同期通信路を通して他のバックアップと同期を行います。
!Center-Main ipsec group-security server ha local-address 10.0.0.1 remote-address 10.0.0.2 ! 10.0.0.2の德赢AC米兰官方合作伙伴と冗長構成を組みます。自局アドレスは10.0.0.1を使用します。 ipsec group-security server priority 200 ! 冗長の優先度を200とします。優先度の高いこちらがメインで、正常動作時はこちらがアクティブとなって德赢AC米兰官方合作伙伴SAの生成等を行います。 crypto 德赢AC米兰官方合作伙伴 policy 1 key ascii SecretKey match identity user kyoten-a@example.jp self-identity fqdn IPsecGW1.example.jp group-security server 1 exit crypto 德赢AC米兰官方合作伙伴 policy 2 key ascii SecretKey match identity user kyoten-b@example.jp self-identity fqdn IPsecGW1.example.jp group-security server 1 exit crypto map KYOTEN-A 1 match address 1 set 德赢AC米兰官方合作伙伴-policy 1 exit crypto map KYOTEN-B 2 match address 2 set 德赢AC米兰官方合作伙伴-policy 2 exit ipsec transform-set GROUP-TRANS 德赢AC米兰官方合作伙伴 esp-aes esp-sha-hmac ipsec transform-keysize AES256 esp-aes-cbc 256 256 256 crypto ipsec group-security policy 1 set transform-keysize AES256 set transform-set GROUP-TRANS rollover 30 30 spi mask hex 00ffffff 01000000 exit interface ipsecif 1 crypto map KYOTEN-A exit interface ipsecif 2 crypto map KYOTEN-B exit interface loopback 1 ip address 172.16.0.1 exit router bgp 65000 bgp router-id 172.16.0.1 bgp log-neighbor-changes 德赢AC米兰官方合作伙伴.16.0.101 description KYOTEN-A 德赢AC米兰官方合作伙伴.16.0.101 encap default interface ipsecif 1*1 德赢AC米兰官方合作伙伴.16.0.101 route-reflector-client*2 德赢AC米兰官方合作伙伴.16.0.101 remote-as 65000 德赢AC米兰官方合作伙伴.16.0.101 update-source loopback 1 德赢AC米兰官方合作伙伴.16.0.101 passive 德赢AC米兰官方合作伙伴.16.0.102 description KYOTEN-B 德赢AC米兰官方合作伙伴.16.0.102 encap default interface ipsecif 2*1 德赢AC米兰官方合作伙伴.16.0.102 route-reflector-client*2 德赢AC米兰官方合作伙伴.16.0.102 remote-as 65000 德赢AC米兰官方合作伙伴.16.0.102 update-source loopback 1 德赢AC米兰官方合作伙伴.16.0.102 passive redistribute connected exit |
!Center-Backup ipsec group-security server ha local-address 10.0.0.2 remote-address 10.0.0.1 ! 10.0.0.1の德赢AC米兰官方合作伙伴と冗長構成を組みます。自局アドレスは10.0.0.2を使用します。 ipsec group-security server priority 100 ! 冗長の優先度を100とします。優先度の低いこちらがバックアップで、正常動作時にはスタンバイ状態であり、メ德赢AC米兰官方合作伙伴に異常が発生するとこちらがアクティブとなります。 crypto 德赢AC米兰官方合作伙伴 policy 1 key ascii SecretKey match identity user kyoten-a@example.jp self-identity fqdn IPsecGW2.example.jp group-security server 1 exit crypto 德赢AC米兰官方合作伙伴 policy 2 key ascii SecretKey match identity user kyoten-b@example.jp self-identity fqdn IPsecGW2.example.jp group-security server 1 exit crypto map KYOTEN-A 1 match address 1 set 德赢AC米兰官方合作伙伴-policy 1 exit crypto map KYOTEN-B 2 match address 2 set 德赢AC米兰官方合作伙伴-policy 2 exit ipsec transform-set GROUP-TRANS 德赢AC米兰官方合作伙伴 esp-aes esp-sha-hmac ipsec transform-keysize AES256 esp-aes-cbc 256 256 256 crypto ipsec group-security policy 1 set transform-keysize AES256 set transform-set GROUP-TRANS rollover 30 30 spi mask hex 00ffffff 01000000 exit interface ipsecif 1 crypto map KYOTEN-A exit interface ipsecif 2 crypto map KYOTEN-B exit interface loopback 1 ip address 172.16.0.2 exit router bgp 65000 bgp router-id 172.16.0.2 bgp log-neighbor-changes 德赢AC米兰官方合作伙伴.16.0.101 description KYOTEN-A 德赢AC米兰官方合作伙伴.16.0.101 encap default interface ipsecif 1*1 德赢AC米兰官方合作伙伴.16.0.101 route-reflector-client*2 德赢AC米兰官方合作伙伴.16.0.101 remote-as 65000 德赢AC米兰官方合作伙伴.16.0.101 update-source loopback 1 德赢AC米兰官方合作伙伴.16.0.101 passive 德赢AC米兰官方合作伙伴.16.0.102 description KYOTEN-B 德赢AC米兰官方合作伙伴.16.0.102 encap default interface ipsecif 2*1 德赢AC米兰官方合作伙伴.16.0.102 route-reflector-client*2 德赢AC米兰官方合作伙伴.16.0.102 remote-as 65000 德赢AC米兰官方合作伙伴.16.0.102 update-source loopback 1 德赢AC米兰官方合作伙伴.16.0.102 passive redistribute connected exit |
crypto 德赢AC米兰官方合作伙伴 policy 1 key ascii SecretKey match identity host IPsecGW1.example.jp self-identity userfqdn kyoten-a@example.jp set peer fitelnet1234-1.aoi.flets-east.jp v6 group-security client spi mask hex 00ffffff 01000000 exit crypto 德赢AC米兰官方合作伙伴 policy 2 key ascii SecretKey match identity host IPsecGW2.example.jp self-identity userfqdn kyoten-a@example.jp set peer fitelnet1234-2.aoi.flets-east.jp v6 group-security client spi mask hex 00ffffff 01000000 exit crypto map CENTER-A 1 match address 1 set 德赢AC米兰官方合作伙伴-policy 1 exit crypto map CENTER-B 2 match address 2 set 德赢AC米兰官方合作伙伴-policy 2 exit interface ipsecif 1 crypto map CENTER-A exit interface ipsecif 2 crypto map CENTER-B exit interface ipsecif 3 crypto group-security map CENTER-A crypto group-security map CENTER-B ! 冗長する2つ德赢AC米兰官方合作伙伴のcrypto mapを指定します。 exit interface loopback 1 ip address 172.16.0.101 exit router bgp 65000 bgp router-id 172.16.0.101 德赢AC米兰官方合作伙伴.16.0.1 encap default interface ipsecif 3*1 德赢AC米兰官方合作伙伴.16.0.1 encap type ipsec-tunnel*1 德赢AC米兰官方合作伙伴.16.0.1 encap endpoint ipv6 interface ewan 1 德赢AC米兰官方合作伙伴.16.0.1 remote-as 65000 德赢AC米兰官方合作伙伴.16.0.1 update-source loopback 1 德赢AC米兰官方合作伙伴.16.0.2 encap default interface ipsecif 3*1 德赢AC米兰官方合作伙伴.16.0.2 encap type ipsec-tunnel*1 德赢AC米兰官方合作伙伴.16.0.2 encap endpoint ipv6 interface ewan 1 德赢AC米兰官方合作伙伴.16.0.2 remote-as 65000 德赢AC米兰官方合作伙伴.16.0.2 update-source loopback 1 redistribute connected exit |
crypto 德赢AC米兰官方合作伙伴 policy 1 key ascii SecretKey match identity host IPsecGW1.example.jp self-identity userfqdn kyoten-b@example.jp set peer fitelnet1234-1.aoi.flets-east.jp v6 group-security client spi mask hex 00ffffff 01000000 exit crypto 德赢AC米兰官方合作伙伴 policy 2 key ascii SecretKey match identity host IPsecGW2.example.jp self-identity userfqdn kyoten-b@example.jp set peer fitelnet1234-2.aoi.flets-east.jp v6 group-security client spi mask hex 00ffffff 01000000 exit crypto map CENTER-A 1 match address 1 set 德赢AC米兰官方合作伙伴-policy 1 exit crypto map CENTER-B 2 match address 2 set 德赢AC米兰官方合作伙伴-policy 2 exit interface ipsecif 1 crypto map CENTER-A exit interface ipsecif 2 crypto map CENTER-B exit interface ipsecif 3 crypto group-security map CENTER-A crypto group-security map CENTER-B ! 冗長する2つ德赢AC米兰官方合作伙伴のcrypto mapを指定します。 exit interface loopback 1 ip address 172.16.0.102 exit router bgp 65000 bgp router-id 172.16.0.102 德赢AC米兰官方合作伙伴.16.0.1 encap default interface ipsecif 3*1 德赢AC米兰官方合作伙伴.16.0.1 encap type ipsec-tunnel*1 德赢AC米兰官方合作伙伴.16.0.1 encap endpoint ipv6 interface ewan 1 德赢AC米兰官方合作伙伴.16.0.1 remote-as 65000 德赢AC米兰官方合作伙伴.16.0.1 update-source loopback 1 德赢AC米兰官方合作伙伴.16.0.2 encap default interface ipsecif 3*1 德赢AC米兰官方合作伙伴.16.0.2 encap type ipsec-tunnel*1 德赢AC米兰官方合作伙伴.16.0.2 encap endpoint ipv6 interface ewan 1 德赢AC米兰官方合作伙伴.16.0.2 remote-as 65000 德赢AC米兰官方合作伙伴.16.0.2 update-source loopback 1 redistribute connected exit |
*1 F60 V01.09(00)、F200 V01.15(00)以降のファームウェアでサポート
*2 F200 V01.15(00)以降のファームウェアでサポート(F60は未サポート)