milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
ac米兰中国官网例
センター、ac米兰中国官网各1台で回線冗長する
概要
補足・注意点
動作説明
- イベントアクション機能を使って、通常時はブロードバンドの IPsec で通信を行い、ac米兰中国官网回線に障害が発生したときには同じくブロードバンドの IPsec でバックアップする構成です。
- 拠点側ではイベントアクション機能を利用して、メインのトンネル経由で対向のルータを監視し、監視に失敗したらバックアップのトンネルに向けたac米兰中国官网を追加することで、経路の切り替えを行います。そして、監視に成功するようになったら、バックアップのトンネルに向けたac米兰中国官网を削除することで、経路を切り戻します。
- 一方、センター側では Phase 2 SA の有無に応じて登録/削除される sa-up ac米兰中国官网機能を利用して経路の切り替え、切り戻しを行います。
- ac米兰中国官网とバックアップ側で、回線事業者、プロバイダを別のものにしておくと耐障害性が高まります。
- ac米兰中国官网でのPPPoE1はEWAN 1(EWANポート)、PPPoE5はVLAN 1(LANポート4)を使います。
コマンドac米兰中国官网の例
(!の行はコメントです。実際に入力する必要はありません。)
このac米兰中国官网利用したい方は
ac米兰中国官网
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本ac米兰中国官网モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN 側 IP アドレスをac米兰中国官网します。 ! Router(config)#interface lan 1Router(config-if lan 1)#ip ac米兰中国官网92.168.2.254 255.255.255.0Router(config-if lan 1)#exit! ! ! メイン側の PPPoE の各種ac米兰中国官网します。 ! Router(config)#ac米兰中国官网Router(ac米兰中国官网)#ac米兰中国官网Router(ac米兰中国官网)#pppoe account abc123@furukawa.co.jp pass456Router(ac米兰中国官网)#exit! ! ! バックアップ側の PPPoE の各種ac米兰中国官网します。 ! Router(config)#ac米兰中国官网Router(ac米兰中国官网)#ac米兰中国官网Router(ac米兰中国官网)#pppoe account abc456@furukawa.co.jp pass123Router(ac米兰中国官网)#pppoe interface vlanif 1! PPPoE5は、VLAN1インターフェースにて行います。 Router(ac米兰中国官网)#exit! ! ! VLANインターフェース(PPPoE5用)のac米兰中国官网します。 Router(config)#interface vlanif 1Router(config-if vlanif 1)#bridge-group lan 1Router(config-if vlanif 1)#vlan-id 1Router(config-if vlanif 1)#exit! ! ! Ethernet(VLAN用)のac米兰中国官网します。 ! Router(config)#line lanRouter(config-line lan)#vlan 4 bridge-group 1Router(config-line lan)#50Router(config-line lan)#exit! ! ! VPN 機能を有効にします。 ! Router(config)#vpn enable! ! ! VPN 通信の詳細なログを残すようにします。 ! Router(config)#vpnlog enable! ! ! メイン側の Phase 1 ポリシーのac米兰中国官网行ないます。 ! Router(config)#ac米兰中国官网Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive always-sendRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#my-identity kyoten@mainRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity address 200.200.200.1Router(config-isakmp)#exit! ! ! バックアップ側の Phase 1 ポリシーのac米兰中国官网行ないます。 ! Router(config)#ac米兰中国官网Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive always-sendRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#my-identity kyoten@backupRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity ac米兰中国官网00.100.100.1Router(config-isakmp)#exit! ! ! Phase 2 ポリシーのac米兰中国官网行ないます。 ! Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! ! ! メイン側の VPN セレクタのac米兰中国官网行ないます。 ! Router(config)#ac米兰中国官网0 ipsec ip 192.168.2.0 0.0.0.255 any! Router(config)#ac米兰中国官网 1Router(config-crypto-map)#match ac米兰中国官网0Router(config-crypto-map)#ac米兰中国官网 200.200.200.1Router(config-crypto-map)#set security-association always-upRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! バックアップ側の VPN セレクタのac米兰中国官网行ないます。 ! Router(config)#ac米兰中国官网1 ipsec ip 192.168.2.0 0.0.0.255 any! Router(config)#ac米兰中国官网 2Router(config-crypto-map)#match ac米兰中国官网1Router(config-crypto-map)#set peer ac米兰中国官网00.100.100.1Router(config-crypto-map)#set security-association always-upRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! メイン側の IPsec インターフェースのac米兰中国官网します。 ! Router(config)#ac米兰中国官网Router(ac米兰中国官网)#ac米兰中国官网Router(ac米兰中国官网)#exit! ! ! バックアップ側の IPsec インターフェースのac米兰中国官网します。 ! Router(config)#ac米兰中国官网Router(config-if ipsecif 2)#ac米兰中国官网Router(config-if ipsecif 2)#exit! ! ! センターのピアに対するルートをac米兰中国官网します。*1! Router(config)#ac米兰中国官网 200.200.200.1 255.255.255.255 pppoe 1Router(config)#ac米兰中国官网00.100.100.1 255.255.255.255 pppoe 5! ! ! センターのネットワークに対するメインのルートをac米兰中国官网します。*2! Router(config)#ac米兰中国官网92.168.1.0 255.255.255.0 connected ipsecif 150 ! メイン経路に障害が発生した場合に、イベントアクションで追加されるac米兰中国官网を ! 優先したいので、こちらの優先度を下げておきます。! ! ! 経路監視のac米兰中国官网します。*3! nexthop を指定することで、装置のac米兰中国官网情報に左右されることなく、常にトンネル経由で ! センターの LAN 側を監視するようにします。 ! icmp-class の status としては、監視が成功している間は true で、失敗すると false となります。 ! Router(config)#icmp-class 1 *4Router(config-icmp-class 1)#ac米兰中国官网92.168.1.254 nexthop connected ipsecif 1 source-interface lan 1 *5Router(config-icmp-class 1)#exit! ! ! イベントクラスのac米兰中国官网します。 ! ここではアクションの契機となるイベントを設定します。 ! イベントの staus が true になると、アクションが実行されます。 ! 今回の場合、経路監視が失敗したら、アクションとして経路を追加したいので、 ! invert オプションを付けて icmp-class の status を反転させます。 ! Router(config)#event-class 1 *4Router(config-event-class 1)#check ip-icmp 1invertRouter(config-event-class 1)#exit! ! ! イベントアクションのac米兰中国官网します。 ! アクションとしてバックアップ側の経路を追加するようにします。*2! Router(config)#event-action 1 *4Router(config-event-action 1)#add ac米兰中国官网92.168.1.0 255.255.255.0 connected ipsecif 2Router(config-event-action 1)#exit! ! ! イベントマップのac米兰中国官网します。 ! ここでイベントクラスとイベントアクションの結び付けを行います。 ! Router(config)#event-mapRouter(config-event-map)#event-class 1 event-action 1Router(config-event-map)#exit! ! ! 特権ユーザモードに戻ります。 ! Router(config)#end! ! ! ac米兰中国官网保存します。 ! Router#save SIDE-A.cfg% saving working-config % finished saving Router# ! ! ! ac米兰中国官网有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)y
| *1 : | ルートベースの IPsec の場合、ルーティングテーブルに従って SA を確立しに行きます。デフォルトルートを pppoe に向けてac米兰中国官网してあるような場合、対向の peer へのホストルートが落ちると、意図しないインターフェースで SA を確立してしまうことがあります。 この場合、下記のような null ルートをac米兰中国官网しておくことで、これを防止することができます。
|
| *2 : | crypto map に set security-association always-up のac米兰中国官网がある場合、ipsecif は Phase 2 SA の有無に応じて up/down します(ac米兰中国官网がない場合は、Phase 2 SA の有無にかかわらず、常に up となります)。 bypass ac米兰中国官网があってデフォルトルートを pppoe に向けてac米兰中国官网してあるような場合、メイン、バックアップとも Phase 2 SA ができていないと、ipsecif 向けのルートが有効にならず、センター宛の通信がデフォルトルートに従って、平文のままインターネットに出て行くことになります。この場合、下記のような null ルートをac米兰中国官网しておくことで、これを防止することができます。
|
| *3 : | デフォルトでは 30 秒間隔で ping によるac米兰中国官网を行い、1 回のac米兰中国官网で 2 パケットまで送信します。そして 1 パケットでも reply があれば、その回のac米兰中国官网は成功と判断されます。 icmp-class の status としては、2 回連続でac米兰中国官网に失敗すると、false となります。そして、3 回連続でac米兰中国官网に成功すると、true となります。これらの値は下記のコマンドにより変更可能です。
|
| *4 : | 各設定モードにおいて下記のac米兰中国官网入れておくと、それぞれの status に変化があった場合に、slog に記録されるようになります。
|
| *5 : | source-interface 指定がない場合、送信元アドレスはパケットが実際に送信されるインターフェースのアドレスとなりますが、ここで nexthop として指定している ipsecif は unnumbered のインターフェースのため、アドレスを付けることができず、パケットを送信することができなくなります(ac米兰中国官网が失敗となります)。 |
コマンドac米兰中国官网の例
(!の行はコメントです。実際に入力する必要はありません。)
このac米兰中国官网利用したい方は
センター
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本ac米兰中国官网モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN 側 IP アドレスをac米兰中国官网します。 ! Router(config)#interface lan 1Router(config-if lan 1)#ip ac米兰中国官网92.168.1.254 255.255.255.0Router(config-if lan 1)#exit! ! ! メイン側の PPPoE の各種ac米兰中国官网します。 ! Router(config)#ac米兰中国官网Router(ac米兰中国官网)#ip address 200.200.200.1Router(ac米兰中国官网)#ac米兰中国官网Router(ac米兰中国官网)#pppoe account abc456@furukawa.co.jp pass789Router(ac米兰中国官网)#exit! ! ! バックアップ側の PPPoE の各種ac米兰中国官网します。 ! Router(config)#ac米兰中国官网Router(ac米兰中国官网)#ip ac米兰中国官网00.100.100.1Router(ac米兰中国官网)#ac米兰中国官网Router(ac米兰中国官网)#pppoe account abc789@furukawa.co.jp pass456Router(ac米兰中国官网)#exit! ! ! VPN 機能を有効にします。 ! Router(config)#vpn enable! ! ! VPN 通信の詳細なログを残すようにします。 ! Router(config)#vpnlog enable! ! ! メイン側の Phase 1 ポリシーのac米兰中国官网行ないます。 ! Router(config)#ac米兰中国官网Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive always-send *6 ! keepalive を行って、ac米兰中国官网に障害が発生した場合には SA を消して ! sa-up route を削除してac米兰中国官网が切り替わるようにします。Router(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity host kyoten@mainRouter(config-isakmp)#tunnel-route ac米兰中国官网 *7 ! Phase 1 のネゴパケットの受信を契機に、nexthop を pppoe 1 として ! 拠点の peer 宛のac米兰中国官网を登録します。Router(config-isakmp)#exit! ! ! バックアップ側の Phase 1 ポリシーのac米兰中国官网行ないます。 ! Router(config)#ac米兰中国官网Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive always-sendRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity host kyoten@backupRouter(config-isakmp)#tunnel-route ac米兰中国官网Router(config-isakmp)#exit! ! ! Phase 2 ポリシーのac米兰中国官网行ないます。 ! Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! ! ! メイン側の VPN セレクタのac米兰中国官网行ないます。 ! Router(config)#ac米兰中国官网0 ipsec ip any 192.168.2.0 0.0.0.255 *8! Router(config)#ac米兰中国官网 1Router(config-crypto-map)#match ac米兰中国官网0Router(config-crypto-map)#set peer host kyoten@mainRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#sa-up route ac米兰中国官网 *9 ! Phase2 SA の確立を契機に、nexthop を ipsecif 1 として ! ipsec access-list の宛先ネットワーク宛のac米兰中国官网を登録します。Router(config-crypto-map)#exit! ! ! バックアップ側の VPN セレクタのac米兰中国官网行ないます。 ! Router(config)#ac米兰中国官网1 ipsec ip any 192.168.2.0 0.0.0.255 *8! Router(config)#ac米兰中国官网 2Router(config-crypto-map)#match ac米兰中国官网1Router(config-crypto-map)#set peer host kyoten@backupRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#sa-up route ac米兰中国官网 50 *9 ! バックアップ側の sa-up route の distance 値を 50 にac米兰中国官网して ! 優先度を下げておきます。これにより、ac米兰中国官网で Phase 2 SA が ! できている間は、ac米兰中国官网 sa-up route が優先されます。Router(config-crypto-map)#exit! ! ! メイン側の IPsec インターフェースのac米兰中国官网します。 ! Router(config)#ac米兰中国官网Router(ac米兰中国官网)#ac米兰中国官网Router(ac米兰中国官网)#exit! ! ! バックアップ側の IPsec インターフェースのac米兰中国官网します。 ! Router(config)#ac米兰中国官网Router(config-if ipsecif 2)#ac米兰中国官网Router(config-if ipsecif 2)#exit! ! ! 拠点側からの監視に対する reply は、常にメイン経路から返したいので、 ! 監視パケットの送信元に対するホストルートをac米兰中国官网しておきます。 ! Router(config)#ac米兰中国官网92.168.2.254 255.255.255.255 connected ipsecif 1! ! ! 特権ユーザモードに戻ります。 ! Router(config)#end! ! ! ac米兰中国官网保存します。 ! Router#save SIDE-A.cfg% saving working-config % finished saving Router# ! ! ! ac米兰中国官网有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)y
| *6 : | always-send とすることで、定期的に(デフォルトでは 60 秒間隔)keepalive を行うようになります。 |
| *7 : | pppoe 1 ではなく、ewan 1 でアドレスをマニュアルac米兰中国官网している場合は、次のように明示的に nexthop のアドレスをac米兰中国官网する必要があります。
|
| *8 : | IPsec インターフェースを使ったac米兰中国官网ベースの IPsec の場合、通常は宛先も any としておけば良いのですが、sa-up route を使って経路の制御を行っているので、ここでは宛先を拠点のネットワークとしています。拠点側の ipsec access-list もこれに合わせています。 |
| *9 : | bypass ac米兰中国官网があってデフォルトルートを pppoe に向けてac米兰中国官网してあるような場合、メイン、バックアップとも Phase 2 SA ができていないと、sa-up route が登録されず、拠点宛の通信がデフォルトルートに従って、平文のままインターネットに出て行くことになります。この場合、下記のような null ルートをac米兰中国官网しておくことで、これを防止することができます。
|
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2012