milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
milan米兰体育官网入口例
センタ(2台各1回線)・拠点(1台1回線)でIPsec負荷分散を行う
概要
補足・注意点
動作説明
- 拠点側は1台で、PPPoE(IPmilan米兰体育官网入口不定)を1セッション使用します。
センタ側は2台で機器冗長と回線冗長を行い、それぞれPPPoE(IPmilan米兰体育官网入口固定)を1セッション使用します。 - IPsecはアグレッシブモードですが、拠点側から常にSAを確立しているので、センタ側契機の通信にも対応できます。
- 拠点側はmilan米兰体育官网入口された比率で負荷分散を行います(2つのVPNはActive-Activeです)。分散比率は 0 〜 10 の間の、任意の整数値でmilan米兰体育官网入口できます。
10:0 とした場合は、通常時 0 側にユーザデータは流れず、Active-Standbyになります(keep aliveのICMPパケットは流れます)。 - 一方のVPNが不通となった場合は、残りのVPNで全ての通信をまかないます。
また、VPNの復旧後は再びmilan米兰体育官网入口された比率で負荷分散を行います。 - 拠点側はVPN1経路、VPN2経路共に経路監視を行います。
センタ側はそれぞれの経路を監視します(経路監視にはICMPのkeep aliveを使用します)。 - VPN1経路、VPN2経路の切り替えは、拠点側が自動的に行い、経路復旧後の切り戻しも拠点側が自動的に行います。
経路障害時には、keep alive機能により、SAを消去します。負荷分散構成の場合、イニシエータ側でもsa-upルート機能(Phase2 SAの確立を契機として、到達可能となった経路情報を登録する機能)を使うことにより、自身のルーティングテーブルを動的に書き換えます。 - センタ側2台は、sa-upルート機能で登録したルート情報をLAN側にRIPで広告します。センタ側の経路制御は、2台のFITELnetからRIPを受けたL3SWが、メトリック値をもとに判断することになります。この例の場合、FITELner_A側のVPN1経路の優先度が高くなるようにして、RIPを広告しています。
- センタ側でmilan米兰体育官网入口しているトンネルルート機能は、対向装置のピアへのルートを、IKEのネゴを契機として登録する機能です。この機能を使うことにより、この例のように対向装置のピアのアドレスが不定の場合でも、デフォルトルートをL3SW側に向けることができるようになります。この機能は、アグレッシブモードのレスポンダ側でのみmilan米兰体育官网入口可能です。
- 回線障害時の切り替えには平均で30秒ほどかかります(keep aliveの送信間隔が初期値で60秒にmilan米兰体育官网入口されているため)。
keep aliveに関するmilan米兰体育官网入口は「alive」コマンドを参照。
前提条件
当milan米兰体育官网入口例では、以下のアドレス・環境を前提に説明しています。
プロバイダより割り振られたmilan米兰体育官网入口(milan米兰体育官网入口は一例です)
| センタ側milan米兰体育官网入口A PPPoE1 | 200.200.200.200 |
| センタ側milan米兰体育官网入口B PPPoE1 | 100.100.100.100 |
| 拠点側 PPPoE1 | milan米兰体育官网入口不定 |
milan米兰体育官网入口環境
| IPsecの対象とする中継パケット | any ⇔ 172.16.0.0/16 ※センタ側L3SWの背後の別セグメントからもVPN可能 |
| IPsec Phase1ポリシー | モード ・・・ Aggressiveモード 認証方式 ・・・ 事前共有鍵方式 暗号化方式 ・・・ AES 128 Diffie-Hellman ・・・ Group 2 ハッシュ方式 ・・・ SHA |
| IPsec Phase2ポリシー | 暗号化方式 ・・・ AES 128 ハッシュ方式 ・・・ SHA |
| IPsec負荷分散の比率 (VPN1:VPN2) |
2:1 ※1 (拠点側) |
| L3SW (192.168.3.254) | RIP(Ver.2)を受信 |
コマンドmilan米兰体育官网入口の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官网入口を利用したい方は
拠点側のmilan米兰体育官网入口
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本milan米兰体育官网入口モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN側IPアドレスをmilan米兰体育官网入口します。 ! Router(config)#interface milan米兰体育官网入口Router(config-if milan米兰体育官网入口)#ip address 172.16.0.1 255.255.0.0Router(config-if milan米兰体育官网入口)#exit! ! ! PPPoE1 の各種milan米兰体育官网入口をします。 ! Router(config)#milan米兰体育官网入口Router(config-if pppoe 1)#pppoe server A-ProviderRouter(config-if pppoe 1)#pppoe account user@xxxx.ne.jp secretRouter(config-if pppoe 1)#pppoe type hostRouter(config-if pppoe 1)#crypto map VPN1Router(config-if pppoe 1)#crypto map VPN2! 1つのインタフェース上で2つのVPNを張ります Router(config-if pppoe 1)#exit! ! ! センタ側のピアへのルートをmilan米兰体育官网入口します。 ! Router(config)#ip route 200.200.200.200 255.255.255.255 pppoe 1Router(config)#ip route 100.100.100.100 255.255.255.255 pppoe 1! ! ! DHCPサーバ機能をmilan米兰体育官网入口します。 ! Router(config)#service dhcp-serverRouter(config)#ip dhcp pool milan米兰体育官网入口Router(config-dhcp-pool)#default-router 0.0.0.0Router(config-dhcp-pool)#exit! ! ! milan米兰体育官网入口。 ! Router(config)#vpn enableRouter(config)#vpnlog enable! Router(config)#crypto isakmp policy 1Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive icmpalways-send ! icmpにより常時keep aliveを行いますRouter(config-isakmp)#keepalive-icmppeer-address192.168.3.1 ! 監視先のアドレスをmilan米兰体育官网入口しますRouter(config-isakmp)#keepalive-icmpsource-interfacemilan米兰体育官网入口 ! 送信元IPmilan米兰体育官网入口をLAN側IPmilan米兰体育官网入口とすることにより、 ! VPNトンネルを通してkeep aliveをおこないますRouter(config-isakmp)#keepalive-icmpmulti-pathmilan米兰体育官网入口 *1 ! keep aliveの送受信インタフェースを固定しますRouter(config-isakmp)#key ascii furukawaRouter(config-isakmp)#my-identity kyoten1-1Router(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity address 200.200.200.200Router(config-isakmp)#exit! Router(config)#crypto isakmp policy 2Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive icmpalways-sendRouter(config-isakmp)#keepalive-icmppeer-address192.168.3.20Router(config-isakmp)#keepalive-icmpsource-interfacemilan米兰体育官网入口Router(config-isakmp)#keepalive-icmpmulti-pathmilan米兰体育官网入口 *1Router(config-isakmp)#key ascii furukawaRouter(config-isakmp)#my-identity kyoten1-2Router(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity address 100.100.100.100Router(config-isakmp)#exit! Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! Router(config)#ipsec access-list 10 ipsec ip 172.16.0.0 0.0.255.255 anyRouter(config)#ipsec access-list 64 bypass ip any any! Router(config)#crypto map VPN1 1Router(config-crypto-map)#match address 10multi-path balance 2 *2 ! VPN1側の比率を2として負荷分散しますRouter(config-crypto-map)#set peer address 200.200.200.200Router(config-crypto-map)#set security-associationalways-up ! SAを常時確立しておくようにしますRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#sa-up routemilan米兰体育官网入口 local-prot1 *3 ! SAの確立を契機としてセンタ側LAN(any)へのルート情報を ! nexthopをpppoe1として登録しますRouter(config-crypto-map)#exit! Router(config)#crypto map VPN2 2Router(config-crypto-map)#match address 10multi-path balance 1 *2 ! VPN2側の比率を1として負荷分散しますRouter(config-crypto-map)#set peer address 100.100.100.100Router(config-crypto-map)#set security-associationalways-upRouter(config-crypto-map)#sa-up routemilan米兰体育官网入口 local-prot2 *3 ! VPN1とVPN2で全く同じルート情報が登録されることになるので、 ! この2つをlocal-protオプションを付けて区別できるようにします。Router(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! 特権ユーザモードに戻ります。 ! Router(config)#end! ! ! milan米兰体育官网入口を保存します。 ! Router#save SIDE-A.cfg% saving working-config % finished saving Router# ! ! ! milan米兰体育官网入口を有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)y
| *1 : | pppoe 1 ではなく、ewan 1 でアドレスをマニュアルmilan米兰体育官网入口している場合は、次のようにmilan米兰体育官网入口します。
|
| *2 : | 負荷分散の比率は送信方向のパケットに対してのみ機能します。 |
| *3 : | pppoe 1 ではなく、ewan 1 でアドレスをマニュアルmilan米兰体育官网入口している場合は、次のようにmilan米兰体育官网入口します。
|
コマンドmilan米兰体育官网入口の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官网入口を利用したい方は
センタ側 milan米兰体育官网入口A の設定
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本milan米兰体育官网入口モードに移行します。 ! Router#configure terminalRouter(config)# ! Router(config)#hostname milan米兰体育官网入口Amilan米兰体育官网入口A(config)# ! ! ! LAN側IPアドレスを設定します。 ! milan米兰体育官网入口A(config)#interface milan米兰体育官网入口milan米兰体育官网入口A(config-if lan 1)#ip address 192.168.3.1 255.255.255.0milan米兰体育官网入口A(config-if lan 1)#exit! ! ! PPPoE1 の各種設定をします。 ! milan米兰体育官网入口A(config)#milan米兰体育官网入口milan米兰体育官网入口A(config-if pppoe 1)#crypto map map1milan米兰体育官网入口A(config-if pppoe 1)#pppoe server testmilan米兰体育官网入口A(config-if pppoe 1)#pppoe account zyx@furukawa.co.jp zyxmilan米兰体育官网入口A(config-if pppoe 1)#pppoe type hostmilan米兰体育官网入口A(config-if pppoe 1)#ip address 200.200.200.200milan米兰体育官网入口A(config-if pppoe 1)#exit! ! ! ルートの設定をします。 ! milan米兰体育官网入口A(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.254! ! ! RIPの設定をします。 ! milan米兰体育官网入口A(config)#router ripmilan米兰体育官网入口A(config-rip)#network milan米兰体育官网入口milan米兰体育官网入口A(config-rip)#exit! ! ! IPsec負荷分散の設定をします。 ! milan米兰体育官网入口A(config)#vpn enablemilan米兰体育官网入口A(config)#vpnlog enable! milan米兰体育官网入口A(config)#crypto isakmp policy 1milan米兰体育官网入口A(config-isakmp)#authentication prekeymilan米兰体育官网入口A(config-isakmp)#encryption aes 128milan米兰体育官网入口A(config-isakmp)#group 2milan米兰体育官网入口A(config-isakmp)#hash shamilan米兰体育官网入口A(config-isakmp)#keepalive icmp always-sendmilan米兰体育官网入口A(config-isakmp)#keepalive-icmp peer-address 172.16.0.1milan米兰体育官网入口A(config-isakmp)#keepalive-icmp source-interface milan米兰体育官网入口milan米兰体育官网入口A(config-isakmp)#keepalive-icmp multi-pathmilan米兰体育官网入口milan米兰体育官网入口A(config-isakmp)#key ascii furukawamilan米兰体育官网入口A(config-isakmp)#negotiation-mode aggressivemilan米兰体育官网入口A(config-isakmp)#peer-identity host kyoten1-1milan米兰体育官网入口A(config-isakmp)#tunnel-routemilan米兰体育官网入口 ! 対向のVPNピアへのルートを、nexthopをPPPoE1として登録しますmilan米兰体育官网入口A(config-isakmp)#exit! milan米兰体育官网入口A(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! milan米兰体育官网入口A(config)#ipsec access-list 10 ipsec ip any 172.16.0.0 0.0.255.255milan米兰体育官网入口A(config)#ipsec access-list 64 bypass ip any any! milan米兰体育官网入口A(config)#crypto map map1 1milan米兰体育官网入口A(config-crypto-map)#match address 10milan米兰体育官网入口A(config-crypto-map)#set peer host kyoten1-1milan米兰体育官网入口A(config-crypto-map)#set transform-set P2-POLICYmilan米兰体育官网入口A(config-crypto-map)#sa-up route milan米兰体育官网入口 ! local-protオプションがない場合、redistributeで指定しなくても、 ! このルート情報をRIPで広告します。 ! local-protオプションがある場合、RIPで広告するには、 ! 明示的にredistributeで指定する必要があります。milan米兰体育官网入口A(config-crypto-map)#exit! ! ! 特権ユーザモードに戻ります。 ! milan米兰体育官网入口A(config)#endmilan米兰体育官网入口A# ! ! ! 設定を保存します。 ! milan米兰体育官网入口A#save SIDE-A.cfg% saving working-config % finished saving milan米兰体育官网入口A# ! ! ! 設定を有効にするために再起動します。 ! milan米兰体育官网入口A#resetAre you OK to cold start?(y/n)y
コマンドmilan米兰体育官网入口の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官网入口を利用したい方は
センタ側 milan米兰体育官网入口B の設定
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本milan米兰体育官网入口モードに移行します。 ! Router#configure terminalRouter(config)# ! Router(config)#hostname milan米兰体育官网入口Bmilan米兰体育官网入口B(config)# ! ! ! LAN側IPアドレスを設定します。 ! milan米兰体育官网入口B(config)#interface milan米兰体育官网入口milan米兰体育官网入口B(config-if lan 1)#ip address 192.168.3.20 255.255.255.0milan米兰体育官网入口B(config-if lan 1)#exit! ! ! PPPoE1 の各種設定をします。 ! milan米兰体育官网入口B(config)#milan米兰体育官网入口milan米兰体育官网入口B(config-if pppoe 1)#crypto map map1milan米兰体育官网入口B(config-if pppoe 1)#ip address 100.100.100.100milan米兰体育官网入口B(config-if pppoe 1)#pppoe server testmilan米兰体育官网入口B(config-if pppoe 1)#pppoe account xyz@furukawa.co.jp xyzmilan米兰体育官网入口B(config-if pppoe 1)#pppoe type hostmilan米兰体育官网入口B(config-if pppoe 1)#exit! ! ! ルートの設定をします。 ! milan米兰体育官网入口B(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.254! ! ! RIPの設定をします。 ! milan米兰体育官网入口B(config)#access-list 10 permit 172.16.0.0 0.0.255.255milan米兰体育官网入口B(config)#router ripmilan米兰体育官网入口B(config-rip)#network milan米兰体育官网入口milan米兰体育官网入口B(config-rip)#offset-list 10 out 5 milan米兰体育官网入口 ! sa-upルートで登録した情報をRIPで広告する際に、metric値を+5して出すようにします。milan米兰体育官网入口B(config-rip)#exit! ! ! IPsec負荷分散の設定をします。 ! milan米兰体育官网入口B(config)#vpn enablemilan米兰体育官网入口B(config)#vpnlog enable! milan米兰体育官网入口B(config)#crypto isakmp policy 1milan米兰体育官网入口B(config-isakmp)#authentication prekeymilan米兰体育官网入口B(config-isakmp)#encryption aes 128milan米兰体育官网入口B(config-isakmp)#group 2milan米兰体育官网入口B(config-isakmp)#hash shamilan米兰体育官网入口B(config-isakmp)#keepalive icmp always-sendmilan米兰体育官网入口B(config-isakmp)#keepalive-icmp peer-address 172.16.0.1milan米兰体育官网入口B(config-isakmp)#keepalive-icmp source-interface milan米兰体育官网入口milan米兰体育官网入口B(config-isakmp)#keepalive-icmp multi-pathmilan米兰体育官网入口milan米兰体育官网入口B(config-isakmp)#key ascii furukawamilan米兰体育官网入口B(config-isakmp)#negotiation-mode aggressivemilan米兰体育官网入口B(config-isakmp)#peer-identity host kyoten1-2milan米兰体育官网入口B(config-isakmp)#tunnel-routemilan米兰体育官网入口milan米兰体育官网入口B(config-isakmp)#exit! milan米兰体育官网入口B(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! milan米兰体育官网入口B(config)#ipsec access-list 10 ipsec ip any 172.16.0.0 0.0.255.255milan米兰体育官网入口B(config)#ipsec access-list 64 bypass ip any any! milan米兰体育官网入口B(config)#crypto map map1 1milan米兰体育官网入口B(config-crypto-map)#match address 10milan米兰体育官网入口B(config-crypto-map)#set peer host kyoten1-2milan米兰体育官网入口B(config-crypto-map)#set transform-set P2-POLICYmilan米兰体育官网入口B(config-crypto-map)#sa-up route milan米兰体育官网入口milan米兰体育官网入口B(config-crypto-map)#exit! ! ! 特権ユーザモードに戻ります。 ! milan米兰体育官网入口B(config)#endmilan米兰体育官网入口B# ! ! ! 設定を保存します。 ! milan米兰体育官网入口B#save SIDE-A.cfg% saving working-config % finished saving milan米兰体育官网入口B# ! ! ! 設定を有効にするために再起動します。 ! milan米兰体育官网入口B#resetAre you OK to cold start?(y/n)y
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2012