milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
米兰ac体育例
メ米兰ac体育がPPPoEでバックアップがモバイル接続内蔵LTE[拠点側はF71/F221/F221/EXで利用可能]
対象装置:F70/F71/F220/F221/F220 EX/F221 EX
対象装置:F70/F71/F220/F221/F220 EX/F221 EX
概要
補足・注意点
LTE内蔵モジュールを利用するにはデータ通信接続用の microSIM が必要です。
sim-profile モードに米兰ac体育します。
sim-profile モードに米兰ac体育します。
| SIM契約 | account 米兰ac体育 | APN米兰ac体育 | |
|---|---|---|---|
| 認証ID | 認証パスワード | ||
| OCN モバイル | xxx123yyy@xxxxx.xx.jp | XXX123 | lte-ocn.ntt.com |
コマンドによる回線切断時の注意
常時接続モードが有効な状態で、lte-module disconnect コマンドを実行した場合、常時接続モードは無効となる。
再び常時接続モードを有効とするには以下のいずれかの対応を必要とする。
・lte-module connectコマンドを実行する
・SIMプロファイルの米兰ac体育を変更する(変更後の常時接続モードが有効な場合)
・SIMスロットの切り替えコマンドを実行する (切り替え後の常時接続モードが有効な場合)
・interface LTE-Moduleをshutdown ⇒ no shutdownする
常時接続モードが有効な状態で、lte-module disconnect コマンドを実行した場合、常時接続モードは無効となる。
再び常時接続モードを有効とするには以下のいずれかの対応を必要とする。
・lte-module connectコマンドを実行する
・SIMプロファイルの米兰ac体育を変更する(変更後の常時接続モードが有効な場合)
・SIMスロットの切り替えコマンドを実行する (切り替え後の常時接続モードが有効な場合)
・interface LTE-Moduleをshutdown ⇒ no shutdownする
前提条件
IPsec条件
| ISAKMP ポリシー | モード | Aggressiveモード |
| 認証方式 | 事前共有鍵方式 | |
| 暗号化方式 | AES 256ビット | |
| ハッシュ方式 | SHA-256 | |
| Diffie-Hellman | 米兰ac体育4 | |
| ライフタイム | 86400秒 | |
| IPSEC ポリシー | PFS | Grou米兰ac体育4 |
| 暗号化方式 | AES 256ビット | |
| ハッシュ方式 | SHA-256 | |
| ライフタイム | 28800秒 | |
| フラグメント | ポストフラグメント | |
| 拠点(F71/F221) | 常にSAを確立する | |
| IPsec対象経路 | センタ | 192.168.2.0/24 |
| 拠点(F71/F221) | 192.168.1.0/24 |
インターフェース米兰ac体育モード
| 項目 | センタ | 拠点(F71/F221) |
| WAN米兰ac体育ーフェース | 米兰ac体育/1※ | 米兰ac体育/1※ |
| 米兰ac体育ーフェース名 | pppoe enable | pppoe enable |
| VLAN-ID値 | vlan-id 2 | vlan-id 2 |
| ブリッジグループ番号 | bridge-group 2 | bridge-group 2 |
| インターフェース米兰ac体育 | 米兰ac体育 | 米兰ac体育 |
| PPPoE プロファイル | PPPOE_PROF | PPPOE_PROF |
| PPPoE プロファイル米兰ac体育 | pppoe profile PPPOE_PROF | pppoe profile PPPOE_PROF |
| モバイル米兰ac体育ーフェース | - | interface LTE-Module 1 |
| 米兰ac体育ーフェース名 | - | channel-group 2 |
| SIM プロファイル名 | - | SIM1 |
| インターフェース米兰ac体育 | - | interface Port-channel 2 |
| SIM プロファイル米兰ac体育 | - | sim-profile SIM1 |
| LAN米兰ac体育ーフェース | 米兰ac体育/1※ | 米兰ac体育/1※ |
| 米兰ac体育ーフェース名 | channel-米兰ac体育 | channel-米兰ac体育 |
| VLAN-ID値 | vlan-id 1 | vlan-id 1 |
| ブリッジグループ番号 | bridge-米兰ac体育 | bridge-米兰ac体育 |
| インターフェース米兰ac体育 | interface Port-channel 1 | interface Port-channel 1 |
| VRRP機能 | 有効 | - |
※GigaEthernet の米兰ac体育には必ずvlanidとbridge-groupの米兰ac体育が必要です。
VPN米兰ac体育モード
| 項目 | センタ | 拠点(F71/F221) |
| インターフェース米兰ac体育 | 米兰ac体育 2 | 米兰ac体育 2 米兰ac体育 3 |
| マップ名 | KYOTEN_1 | CENTER CENTER_BK |
| マップ米兰ac体育 | crypto map KYOTEN_1 ipsec-isakmp | crypto map CENTER ipsec-isakmp crypto map CENTER_BK ipsec-isakmp |
| セレクタ名 | SELECTOR | SELECTOR |
| ISAKMP プロファイル | PROF0001 | PROF0001 PROF0002 |
| セレクタ米兰ac体育 (VPN対象パケット) |
crypto ipsec selector SELECTOR | crypto ipsec selector SELECTOR |
| ISAKMP プロファイル米兰ac体育 | 米兰ac体育 profile PROF0001 | 米兰ac体育 profile PROF0001 米兰ac体育 profile PROF0002 |
| ISAKMP ポリシー名 | 米兰ac体育-POLICY | 米兰ac体育-POLICY |
| IPSEC ポリシー名 | P2-POLICY | P2-POLICY |
| ISAKMP ポリシー米兰ac体育 | 米兰ac体育 policy P1-POLICY | 米兰ac体育 policy P1-POLICY |
| IPSEC ポリシー米兰ac体育(メイン) | crypto ipsec policy P2-POLICY | crypto ipsec policy P2-POLICY |
| IPSEC ポリシー米兰ac体育(バックアップ) | crypto ipsec policy P2-POLICY | crypto ipsec policy P2-POLICY_BK |
| NAT-Traversal米兰ac体育 | set udp-encapsulation nat-t | set udp-encapsulation nat-t |
コマンド米兰ac体育の例
(!の行はコメントです。実際に入力する必要はありません。)
この米兰ac体育を利用したい方は
センタ1
! ! ! 特権ユーザモードに移行します。 ! >enablepassword:super←パスワードを入力します。(実際は表示されない) ! ! ! 基本米兰ac体育モードに移行します。 ! #configure terminal(config)# ! ! ! デフォルトルートを tunnel 1(PPPoE) に米兰ac体育します。 ! (config)#米兰ac体育 0.0.0.0 0.0.0.0 tunnel 1! ! ! 拠点宛の経路情報を各tunnel(IPsecトンネル)に米兰ac体育します。 ! (config)#米兰ac体育.168.2.0 255.255.255.0 tunnel 2! ! ! ! NAT で変換対象とする送信元アドレス ! (ここではLAN 側アドレスを対象とします)を登録します。 ! (config)#ip nat list 1 192.168.1.0 0.0.0.255! ! ! Port-channel にLAN側IPアドレスを米兰ac体育します。 ! (config)#interface Port-channel 1(config-if-ch 1)#ip address 192.168.1.251 255.255.255.0(config-if-ch 1)#mss 1300(config-if-ch 1)#exit! ! ! PPPoEの米兰ac体育をします。 ! プロバイダから指定された 認証ID、パスワードなどを米兰ac体育します。 ! (config)#pppoe profile PPPOE_PROF(config-pppoe-profile PPPOE_PROF)#account abc012@***.***.ne.jp xxxyyyzzz(config-pppoe-profile PPPOE_PROF)#exit! ! ! Tunnel インタフェース米兰ac体育モードに移行します。 ! (config)#米兰ac体育! ! ! プロバイダから指定された IPアドレスなどを米兰ac体育します。 ! (config-if-tun 1)#description FLETS(米兰ac体育)#ip address 192.0.2.1 255.255.255.255! ! ! NAT+ の米兰ac体育をします。 ! (config-if-tun 1)#ip nat inside source list 1 interface! ! ! pppoe profile とのリンク付けをします。 ! (米兰ac体育)#tunnel mode pppoe profile PPPOE_PROF! ! GigaEthernet 米兰ac体育フェースとのリンク付けをします。 ! (config-if-tun 1)#pppoe 米兰ac体育/1*1 ! ! ! 基本米兰ac体育モードに戻ります。 ! (config-if-tun 1)#exit! ! ! PPPoE 通信で使用する物理インタフェースを米兰ac体育します。 ! (config)#米兰ac体育/1*1 (config-if-ge 2/1)#vlan-id 2(config-if-ge 2/1)#bridge-group 2(config-if-ge 2/1)#pppoe enable(config-if-ge 2/1)#exit! ! ! GigaEthernet 米兰ac体育フェースに、port-channel をリンク付けします。 ! (config)#米兰ac体育/1*1 (config-if-ge 1/1)#vlan-id 1(config-if-ge 1/1)#bridge-米兰ac体育(config-if-ge 1/1)#channel-米兰ac体育(config-if-ge 1/1)#exit! ! ! VPNセレクタの米兰ac体育を行ないます。 ! (config)#crypto ipsec selector SELECTOR(config-ip-selector)#src 1 ipv4 any(config-ip-selector)#dst 1 ipv4 any(config-ip-selector)#exit! ! ! DPDの米兰ac体育をします。 ! (config)#米兰ac体育 keepalive! ! ! VPN通信動作中の詳細なログを残す米兰ac体育にします。 ! (config)#米兰ac体育 sa(config)#米兰ac体育 session(config)#米兰ac体育 negotiation-fail! ! ! ISAKMP ポリシーの米兰ac体育を行ないます。 ! (config)#米兰ac体育 policy P1-POLICY! ! ! 認証方式に事前共有鍵を使用します。 ! (config-isakmp)#authentication pre-share! ! ! 暗号方式の指定します。 ! (config-isakmp)#encryption aes! ! ! 鍵長を指定します。 ! (config-isakmp)#encryption-keysize aes 256 256 256! ! ! Diffie Hellmanのグループの指定します。 ! (config-isakmp)#米兰ac体育4! ! ! IKE SAのライフタイムの指定(秒)します。 ! (config-isakmp)#lifetime 86400! ! ! ハッシュ方式の指定します。 ! (config-isakmp)#hash sha-256! ! ! アグレッシブモードを使用します。 ! (config-isakmp)#initiate-mode aggressive! ! ! 基本米兰ac体育モードに戻ります。 ! (config-isakmp)#exit! ! ! 拠点向けのISAKMP プロファイルを米兰ac体育します。 ! (config)#米兰ac体育 profile PROF0001! ! ! 対向拠点のユーザ名(ID-TYPE=User-FQDN) を指定します。 ! (conf-isa-prof)#match identity user id-kyoten1! ! ! 自装置のWAN アドレスを米兰ac体育します。 ! (conf-isa-prof)#local-address 192.0.2.1! ! ! ISAKMP ポリシーとリンク付けします。 ! (conf-isa-prof)#set isakmp-policy 米兰ac体育-POLICY! ! ! IPSEC ポリシーとリンク付けします。 ! (conf-isa-prof)#set ipsec-policy P2-POLICY! ! ! IKE バージョンを指定します。 ! (conf-isa-prof)#ike-version 1! ! ! 共通鍵を米兰ac体育します。 ! (conf-isa-prof)#local-key SECRET-VPN! ! ! 基本米兰ac体育モードに戻ります。 ! (conf-isa-prof)#exit! ! ! IPSEC ポリシーを米兰ac体育します。 ! (config)#crypto ipsec policy P2-POLICY! ! ! Diffie Hellmanのグループの指定します。 ! (conf-ipsec)#set pfs grou米兰ac体育4! ! ! IPsec SAのライフタイムの指定(秒)します。 ! (conf-ipsec)#米兰ac体育 lifetime seconds 28800! ! ! 鍵長を指定します。 ! (conf-ipsec)#米兰ac体育! ! ! 暗号化アルゴリズム、認証アルゴリズムを指定します。 ! (conf-ipsec)#米兰ac体育 esp-aes esp-sha256-hmac! ! ! 暗号化されたESPパケットの MTU 長を米兰ac体育します。 ! (conf-ipsec)#set mtu 1454! ! ! 米兰ac体育ナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。 ! (conf-ipsec)#set ip df-bit 0! ! ! Post-Fragment 方式(*3)とします。 ! (conf-ipsec)#set ip fragment post! ! ! 基本米兰ac体育モードに戻ります。 ! (conf-ipsec)#exit! ! ! 拠点のVPNピアとのセレクタ情報をエントリします。 ! (config)#crypto map KYOTEN_1 ipsec-isakmp(config-crypto-map)#match address SELECTOR(config-crypto-map)#set isakmp-profile PROF0001(config-crypto-map)#exit! ! ! 学習フィルタリングの米兰ac体育をします。 ! (config)#米兰ac体育11 deny ip any any(config)#米兰ac体育21 spi ip any any! (config)#米兰ac体育(米兰ac体育)#ip access-米兰ac体育11 in(米兰ac体育)#ip access-米兰ac体育21 out(米兰ac体育)#exit! ! ! VPNで使用するパケットを受信許可するフィルタリングの米兰ac体育をします。 ! (config)#米兰ac体育00 permit udp any eq 500 192.0.2.1 0.0.0.0 eq 500(config)#米兰ac体育00 permit 50 any 192.0.2.1 0.0.0.0! (config)#米兰ac体育(米兰ac体育)#ip access-米兰ac体育00 in(米兰ac体育)#exit! ! ! 拠点のtunnel インタフェースで有効にするVPNセレクタを米兰ac体育します。 ! (config)#米兰ac体育 2(config-if-tun 2)#tunnel mode ipsec map KYOTEN_1(config-if-tun 2)#link-state sync-sa(config-if-tun 2)#exit! ! ! VRRP 機能を有効にします。 ! (config)#ip vrrp enable! ! Port-channel にVRRP を米兰ac体育します。 ! (config)#interface Port-channel 1(config-if-ch 1)#vrrp 1 address 192.168.1.254(config-if-ch 1)#vrrp 1 priority 200(config-if-ch 1)#vrrp 1 preempt(config-if-ch 1)#exit! ! ! 障害復旧時にセンタのSAが確立するまでの経路を米兰ac体育します。 ! (config)#米兰ac体育.168.2.0 255.255.255.0 192.168.1.252 100! ! ! グローバル側の回線に障害が発生した際の切替(イベントアクション)を米兰ac体育します。 ! (config)#event-action 1! ! PPPoEトンネルに障害が発生した際のイベントを米兰ac体育します。 ! (config-event-action)#event 米兰ac体育 down! ! ローカル側のポートをDOWNさせるアクションを米兰ac体育します。 ! (config-event-action)#action 1.0 米兰ac体育/1 down(config-event-action)#exit! ! ! グローバル側の回線が復旧した際の切替(イベントアクション)を米兰ac体育します。 ! (config)#event-action 2! ! PPPoEトンネルが復旧した際のイベントを米兰ac体育します。 ! (config-event-action)#event 米兰ac体育 up! ! ローカル側のポートをUPさせるアクションを米兰ac体育します。 ! (config-event-action)#action 2.0 米兰ac体育/1 up(config-event-action)#exit! ! ! ! 特権ユーザモードに戻ります。 ! (config)#end! ! 米兰ac体育を保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名]! ! ! 米兰ac体育を有効にするために refresh をします。 ! #refreshrefresh ok?[y/N]:yes..................Done *1:物理ポート番号の米兰ac体育 *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用する米兰ac体育はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
コマンド米兰ac体育の例
(!の行はコメントです。実際に入力する必要はありません。)
この米兰ac体育を利用したい方は
センタ2
! ! ! 特権ユーザモードに移行します。 ! >enablepassword:super←パスワードを入力します。(実際は表示されない) ! ! ! 基本米兰ac体育モードに移行します。 ! #configure terminal(config)# ! ! ! デフォルトルートを tunnel 1(PPPoE) に米兰ac体育します。 ! (config)#米兰ac体育 0.0.0.0 0.0.0.0 tunnel 1! ! ! 拠点宛の経路情報を各tunnel(IPsecトンネル)に米兰ac体育します。 ! (config)#米兰ac体育.168.2.0 255.255.255.0 tunnel 2! ! ! ! NAT で変換対象とする送信元アドレス ! (ここではLAN 側アドレスを対象とします)を登録します。 ! (config)#ip nat list 1 192.168.1.0 0.0.0.255! ! ! Port-channel にLAN側IPアドレスを米兰ac体育します。 ! (config)#interface Port-channel 1(config-if-ch 1)#ip address 192.168.1.252 255.255.255.0(config-if-ch 1)#mss 1300(config-if-ch 1)#exit! ! ! PPPoEの米兰ac体育をします。 ! プロバイダから指定された 認証ID、パスワードなどを米兰ac体育します。 ! (config)#pppoe profile PPPOE_PROF(config-pppoe-profile PPPOE_PROF)#account abc123@***.***.ne.jp yyyxxxzzz(config-pppoe-profile PPPOE_PROF)#exit! ! ! Tunnel インタフェース米兰ac体育モードに移行します。 ! (config)#米兰ac体育! ! ! プロバイダから指定された IPアドレスなどを米兰ac体育します。 ! (config-if-tun 1)#description FLETS(米兰ac体育)#ip address 192.0.2.2 255.255.255.255! ! ! NAT+ の米兰ac体育をします。 ! (config-if-tun 1)#ip nat inside source list 1 interface! ! ! pppoe profile とのリンク付けをします。 ! (米兰ac体育)#tunnel mode pppoe profile PPPOE_PROF! ! ! GigaEthernet 米兰ac体育フェースとのリンク付けをします。 ! (config-if-tun 1)#pppoe 米兰ac体育/1*1 ! ! ! 基本米兰ac体育モードに戻ります。 ! (config-if-tun 1)#exit! ! ! PPPoE 通信で使用する物理インタフェースを米兰ac体育します。 ! (config)#米兰ac体育/1*1 (config-if-ge 2/1)#vlan-id 2(config-if-ge 2/1)#bridge-group 2(config-if-ge 2/1)#pppoe enable(config-if-ge 2/1)#exit! ! ! GigaEthernet 米兰ac体育フェースに、port-channel をリンク付けします。 ! (config)#米兰ac体育/1*1 (config-if-ge 1/1)#vlan-id 1(config-if-ge 1/1)#bridge-米兰ac体育(config-if-ge 1/1)#channel-米兰ac体育(config-if-ge 1/1)#exit! ! ! VPNセレクタの米兰ac体育を行ないます。 ! (config)#crypto ipsec selector SELECTOR(config-ip-selector)#src 1 ipv4 any(config-ip-selector)#dst 1 ipv4 any(config-ip-selector)#exit! ! ! DPDの米兰ac体育をします。 ! (config)#米兰ac体育 keepalive! ! ! VPN通信動作中の詳細なログを残す米兰ac体育にします。 ! (config)#米兰ac体育 sa(config)#米兰ac体育 session(config)#米兰ac体育 negotiation-fail! ! ! ISAKMP ポリシーの米兰ac体育を行ないます。 ! (config)#米兰ac体育 policy P1-POLICY! ! ! 認証方式に事前共有鍵を使用します。 ! (config-isakmp)#authentication pre-share! ! ! 暗号方式の指定します。 ! (config-isakmp)#encryption aes! ! ! 鍵長を指定します。 ! (config-isakmp)#encryption-keysize aes 256 256 256! ! ! Diffie Hellmanのグループの指定します。 ! (config-isakmp)#米兰ac体育4! ! ! IKE SAのライフタイムの指定(秒)します。 ! (config-isakmp)#lifetime 86400! ! ! ハッシュ方式の指定します。 ! (config-isakmp)#hash sha-256! ! ! アグレッシブモードを使用します。 ! (config-isakmp)#initiate-mode aggressive! ! ! 基本米兰ac体育モードに戻ります。 ! (config-isakmp)#exit! ! ! 拠点向けのISAKMP プロファイルを米兰ac体育します。 ! (config)#米兰ac体育 profile PROF0001! ! ! 対向拠点のユーザ名(ID-TYPE=User-FQDN) を指定します。 ! (conf-isa-prof)#match identity user id-kyoten1! ! ! 自装置のWAN アドレスを米兰ac体育します。 ! (conf-isa-prof)#local-address 192.0.2.2! ! ! ISAKMP ポリシーとリンク付けします。 ! (conf-isa-prof)#set isakmp-policy 米兰ac体育-POLICY! ! ! IPSEC ポリシーとリンク付けします。 ! (conf-isa-prof)#set ipsec-policy P2-POLICY! ! ! IKE バージョンを指定します。 ! (conf-isa-prof)#ike-version 1! ! ! 共通鍵を米兰ac体育します。 ! (conf-isa-prof)#local-key SECRET-VPN! ! ! 基本米兰ac体育モードに戻ります。 ! (conf-isa-prof)#exit! ! ! IPSEC ポリシーを米兰ac体育します。 ! (config)#crypto ipsec policy P2-POLICY! ! ! Diffie Hellmanのグループの指定します。 ! (conf-ipsec)#set pfs grou米兰ac体育4! ! ! IPsec SAのライフタイムの指定(秒)します。 ! (conf-ipsec)#米兰ac体育 lifetime seconds 28800! ! ! 鍵長を指定します。 ! (conf-ipsec)#米兰ac体育! ! ! 暗号化アルゴリズム、認証アルゴリズムを指定します。 ! (conf-ipsec)#米兰ac体育 esp-aes esp-sha256-hmac! ! ! 暗号化されたESPパケットの MTU 長を米兰ac体育します。 ! (conf-ipsec)#set mtu 1454! ! ! 米兰ac体育ナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。 ! (conf-ipsec)#set ip df-bit 0! ! ! Post-Fragment 方式(*3)とします。 ! (conf-ipsec)#set ip fragment post! ! NAT-Traversal を有効にします。 ! (conf-ipsec)#set udp-encapsulation nat-t(conf-ipsec)#exit! ! ! 基本米兰ac体育モードに戻ります。 ! (conf-ipsec)#exit! ! ! 拠点のVPNピアとのセレクタ情報をエントリします。 ! (config)#crypto map KYOTEN_1 ipsec-isakmp(config-crypto-map)#match address SELECTOR(config-crypto-map)#set isakmp-profile PROF0001(config-crypto-map)#exit! ! ! 拠点のtunnel インタフェースで有効にするVPNセレクタを米兰ac体育します。 ! (config)#米兰ac体育 2(config-if-tun 2)#tunnel mode ipsec map KYOTEN_1(config-if-tun 2)#exit! ! ! 学習フィルタリングの米兰ac体育をします。 ! (config)#米兰ac体育11 deny ip any any(config)#米兰ac体育21 spi ip any any! (config)#米兰ac体育(米兰ac体育)#ip access-米兰ac体育11 in(米兰ac体育)#ip access-米兰ac体育21 out(米兰ac体育)#exit! ! ! VPNで使用するパケットを受信許可するフィルタリングの米兰ac体育をします。 ! (config)#米兰ac体育00 permit udp any 192.0.2.2 0.0.0.0 eq 500(config)#米兰ac体育00 permit udp any 192.0.2.2 0.0.0.0 eq 4500(config)#米兰ac体育00 permit 50 any 192.0.2.2 0.0.0.0! (config)#米兰ac体育(米兰ac体育)#ip access-米兰ac体育00 in(米兰ac体育)#exit! ! ! VRRP 機能を有効にします。 ! (config)#ip vrrp enable! ! Port-channel にVRRP を米兰ac体育します。 ! (config)#interface Port-channel 1(config-if-ch 1)#vrrp 1 address 192.168.1.254(config-if-ch 1)#vrrp 1 priority 100(config-if-ch 1)#vrrp 1 preempt(config-if-ch 1)#exit! ! ! ! ! ! 特権ユーザモードに戻ります。 ! (config)#end! ! 米兰ac体育を保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名]! ! ! 米兰ac体育を有効にするために refresh をします。 ! #refreshrefresh ok?[y/N]:yes..................Done *1:物理ポート番号の米兰ac体育 *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用する米兰ac体育はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
コマンド米兰ac体育の例
(!の行はコメントです。実際に入力する必要はありません。)
この米兰ac体育を利用したい方は
拠点
! ! ! 特権ユーザモードに移行します。 ! >enablepassword:super←パスワードを入力します。(実際は表示されない) ! ! ! 基本米兰ac体育モードに移行します。 ! #configure terminal(config)# ! ! ! メイン経路のデフォルトルートを tunnel 1(PPPoE) に米兰ac体育します。 ! (config)#米兰ac体育 0.0.0.0 0.0.0.0 tunnel 1! ! ! バックアップ経路のデフォルトルートをDHCPクライアントが動作するインタフェースに米兰ac体育します。 ! (config)#米兰ac体育 0.0.0.0 0.0.0.0 dhcp port-channel 2 200! ! ! センタ1のVPNピア宛の経路を tunnel 1(PPPoE) に米兰ac体育します。 ! (config)#米兰ac体育.0.2.1 255.255.255.255 tunnel 1! ! ! センタ2のVPNピア宛の経路をDHCPクライアントが動作するインタフェースに米兰ac体育します。 ! (config)#米兰ac体育.0.2.2 255.255.255.255 dhcp port-channel 2! ! NAT で変換対象とする送信元アドレス ! (ここではLAN 側アドレスを対象とします)を登録します。 ! (config)#ip nat list 1 192.168.2.0 0.0.0.255! ! ! Port-channel にLAN側IPアドレスを米兰ac体育します。 ! (config)#interface Port-channel 1(config-if-ch 1)#ip address 192.168.2.254 255.255.255.0(config-if-ch 1)#mss 1300(config-if-ch 1)#exit! ! ! PPPoEの米兰ac体育をします。 ! プロバイダから指定された 認証ID、パスワードなどを米兰ac体育します。 ! (config)#pppoe profile PPPOE_PROF(config-pppoe-profile PPPOE_PROF)#account abc345@***.***.ne.jp zzzyyyxxx(config-pppoe-profile PPPOE_PROF)#exit! ! ! Tunnel インタフェース米兰ac体育モードに移行します。 ! (config)#米兰ac体育! ! (米兰ac体育)#description FLETS! ! ! NAT+ の米兰ac体育をします。 ! (config-if-tun 1)#ip nat inside source list 1 interface! ! ! pppoe profile とのリンク付けをします。 ! (米兰ac体育)#tunnel mode pppoe profile PPPOE_PROF! ! GigaEthernet 米兰ac体育フェースとのリンク付けをします。 ! (config-if-tun 1)#pppoe 米兰ac体育/1*1 ! ! ! 基本米兰ac体育モードに戻ります。 ! (config-if-tun 1)#exit! ! ! PPPoE 通信で使用する物理インタフェースを米兰ac体育します。 ! (config)#米兰ac体育/1*1 (config-if-ge 2/1)#vlan-id 2(config-if-ge 2/1)#bridge-group 2(config-if-ge 2/1)#pppoe enable(config-if-ge 2/1)#exit! ! ! GigaEthernet 米兰ac体育フェースに、port-channel をリンク付けします。 ! (config)#interface GigaEthernet1/1 *1 (config-if-ge 1/1)#vlan-id 1(config-if-ge 1/1)#bridge-米兰ac体育(config-if-ge 1/1)#channel-米兰ac体育(config-if-ge 1/1)#exit! ! ! LTE内蔵モジュールの米兰ac体育をします。 ! 電波状態を10分(600秒)間隔でsyslogに出力する米兰ac体育をします。 ! (config)#monitor signal-quality logging lte-module interval 600! ! ! Port-channel インタフェース米兰ac体育モードに移行します。 ! (config)#interface Port-channel 2! ! LTE内蔵モジュールよりアドレスを取得するための、DHCP クライアント機能を有効にします。 ! (config-if-ch 2)#ip dhcp service client! ! ! NAT+ の米兰ac体育をします。 ! (config-if-ch 2)#ip nat inside source list 1 interface! ! 基本米兰ac体育モードに戻ります。 ! (config-if-ch 2)#exit! ! ! lte-module米兰ac体育フェースに、port-channel をリンク付けします。 ! (config)#interface LTE-Module 1(config-if-lte 1)#channel-group 2! ! lte-module インタフェースで有効にするSIMプロファイルを米兰ac体育します。 ! (config-if-lte 1)#sim-profile 1 SIM1 default! ! 基本米兰ac体育モードに戻ります。 ! (config-if-lte 1)#exit! ! ! SIMプロファイル米兰ac体育モードへ移行します。 ! (config)#sim-profile SIM1! ! LTEの認証に使用するユーザIDとパスワードを米兰ac体育します。 ! (config-sim-profile SIM1)#account xxx123yyy@xxxxx.xx.jp XXX123! ! LTEで通信するためのAPN名を米兰ac体育します。 ! (config-sim-profile SIM1)#apn-name lte-ocn.ntt.com! ! 常時接続を有効化します。 ! (config-sim-profile SIM1)#auto connect continuous! ! 接続回数のリミッタを米兰ac体育します。 ! (config-sim-profile SIM1)#max-call disable! ! ! 基本米兰ac体育モードに戻ります。 ! (config-sim-profile SIM1)#exit! ! ! VPNセレクタの米兰ac体育を行ないます。 ! (config)#crypto ipsec selector SELECTOR(config-ip-selector)#src 1 ipv4 any(config-ip-selector)#dst 1 ipv4 any(config-ip-selector)#exit! ! ! DPDの米兰ac体育をします。 ! (config)#米兰ac体育 keepalive! ! ! VPN通信動作中の詳細なログを残す米兰ac体育にします。 ! (config)#米兰ac体育 sa(config)#米兰ac体育 session(config)#米兰ac体育 negotiation-fail! ! ! ISAKMP ポリシーの米兰ac体育を行ないます。 ! (config)#米兰ac体育 policy P1-POLICY! ! ! 認証方式に事前共有鍵を使用します。 ! (config-isakmp)#authentication pre-share! ! ! 暗号方式の指定します。 ! (config-isakmp)#encryption aes! ! ! 鍵長を指定します。 ! (config-isakmp)#encryption-keysize aes 256 256 256! ! ! Diffie Hellmanのグループの指定します。 ! (config-isakmp)#米兰ac体育4! ! ! IKE SAのライフタイムの指定(秒)します。 ! (config-isakmp)#lifetime 86400! ! ! ハッシュ方式の指定します。 ! (config-isakmp)#hash sha-256! ! ! アグレッシブモードを使用します。 ! (config-isakmp)#initiate-mode aggressive! ! ! 基本米兰ac体育モードに戻ります。 ! (config-isakmp)#exit! ! ! センタ向けのISAKMP プロファイルを米兰ac体育します。 ! (config)#米兰ac体育 profile PROF0001! ! ! 自装置のユーザ名(ID-TYPE=User-FQDN) を米兰ac体育します。 ! (conf-isa-prof)#self-identity user-fqdn id-kyoten1! ! ! ISAKMP ポリシーとリンク付けします。 ! (conf-isa-prof)#set isakmp-policy 米兰ac体育-POLICY! ! ! IPSEC ポリシーとリンク付けします。 ! (conf-isa-prof)#set ipsec-policy P2-POLICY! ! ! センタのWAN アドレスを米兰ac体育します。 ! (conf-isa-prof)#set peer 192.0.2.1! ! ! IKE バージョンを指定します。 ! (conf-isa-prof)#ike-version 1! ! ! 共通鍵を米兰ac体育します。 ! (conf-isa-prof)#local-key SECRET-VPN! ! ! 基本米兰ac体育モードに戻ります。 ! (conf-isa-prof)#exit! ! ! 同様に、センタバックアップ向けのISAKMP プロファイルを米兰ac体育します。 ! (config)#米兰ac体育 profile PROF0002(conf-isa-prof)#self-identity user-fqdn id-kyoten1(conf-isa-prof)#set isakmp-policy 米兰ac体育-POLICY(conf-isa-prof)#set ipsec-policy P2-POLICY_BK(conf-isa-prof)#set peer 192.0.2.2(conf-isa-prof)#ike-version 1(conf-isa-prof)#local-key SECRET-VPN(conf-isa-prof)#exit! ! ! IPSEC ポリシーを米兰ac体育します。 ! (config)#crypto ipsec policy P2-POLICY! ! ! Diffie Hellmanのグループの指定します。 ! (conf-ipsec)#set pfs grou米兰ac体育4! ! ! 常にSAを確立しておく米兰ac体育をします。 ! (conf-ipsec)#米兰ac体育 always-up! ! ! IPsec SAのライフタイムの指定(秒)します。 ! (conf-ipsec)#米兰ac体育 lifetime seconds 28800! ! ! 鍵長を指定します。 ! (conf-ipsec)#米兰ac体育! ! ! 暗号化アルゴリズム、認証アルゴリズムを指定します。 ! (conf-ipsec)#米兰ac体育 esp-aes esp-sha256-hmac! ! ! 暗号化されたESPパケットの MTU 長を米兰ac体育します。 ! (conf-ipsec)#set mtu 1454! ! ! 米兰ac体育ナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。 ! (conf-ipsec)#set ip df-bit 0! ! ! Post-Fragment 方式(*3)とします。 ! (conf-ipsec)#set ip fragment post! ! ! 基本米兰ac体育モードに戻ります。 ! (conf-ipsec)#exit! ! ! 同様に、センタバックアップ向けのISAKMP プロファイルを米兰ac体育します。 ! (config)#crypto ipsec policy P2-POLICY_BK(conf-ipsec)#set pfs grou米兰ac体育4(conf-ipsec)#米兰ac体育 always-up(conf-ipsec)#米兰ac体育 lifetime seconds 28800(conf-ipsec)#米兰ac体育(conf-ipsec)#米兰ac体育 esp-aes esp-sha256-hmac(conf-ipsec)#set mtu 1500(conf-ipsec)#set ip df-bit 0(conf-ipsec)#set ip fragment post! ! NAT-Traversal を有効にします。 ! (conf-ipsec)#set udp-encapsulation nat-t(conf-ipsec)#exit! ! ! センタのVPNピアとのセレクタ情報をエントリします。 ! (config)#crypto map CENTER ipsec-isakmp(config-crypto-map)#match address SELECTOR(config-crypto-map)#set isakmp-profile PROF0001(config-crypto-map)#exit! ! ! センタバックアップのVPNピアとのセレクタ情報をエントリします。 ! (config)#crypto map CENTER_BK ipsec-isakmp(config-crypto-map)#match address SELECTOR(config-crypto-map)#set isakmp-profile PROF0002(config-crypto-map)#exit! ! ! ! センタのtunnel インタフェースで有効にするVPNセレクタを米兰ac体育します。 ! (config)#米兰ac体育 2(config-if-tun 2)#tunnel mode ipsec map CENTER(config-if-tun 2)#exit! ! ! センタバックアップのtunnel インタフェースで有効にするVPNセレクタを米兰ac体育します。 ! (config)#米兰ac体育 3(config-if-tun 3)#tunnel mode ipsec map CENTER_BK(config-if-tun 3)#link-state sync-sa(config-if-tun 3)#exit! ! ! 学習フィルタリングの米兰ac体育をします。 ! (config)#米兰ac体育11 deny ip any any(config)#米兰ac体育21 spi ip any any! (config)#米兰ac体育(米兰ac体育)#ip access-米兰ac体育11 in(米兰ac体育)#ip access-米兰ac体育21 out(米兰ac体育)#exit! (config)#interface LTE-Module 1(config-if-lte 1)#ip access-米兰ac体育11 in(config-if-lte 1)#ip access-米兰ac体育21 out(config-if-lte 1)#exit! ! ! PPPoEトンネルにて、VPNで使用するパケットを受信許可するフィルタリングの米兰ac体育をします。 ! (config)#米兰ac体育00 permit udp 192.0.2.1 0.0.0.0 eq 500 any eq 500(config)#米兰ac体育00 permit 50 192.0.2.1 0.0.0.0 any! (config)#米兰ac体育(米兰ac体育)#ip access-米兰ac体育00 in(米兰ac体育)#exit! ! ! LTE内蔵モジュールにて、VPNで使用するパケットを受信許可するフィルタリングの米兰ac体育をします。 ! LTE内蔵モジュールよりアドレスを取得するための、DHCP パケットを受信許可するフィルタリングの米兰ac体育をします。 ! (config)#米兰ac体育01 permit udp 192.0.2.2 0.0.0.0 eq 500 any eq 500(config)#米兰ac体育01 permit udp 192.0.2.2 0.0.0.0 eq 4500 any eq 4500(config)#米兰ac体育01 permit 50 192.0.2.2 0.0.0.0 any(config)#米兰ac体育01 permit udp any eq 67 any eq 68! (config)#interface LTE-Module 1(config-if-lte 1)#ip access-米兰ac体育01 in(config-if-lte 1)#exit! ! ! Survey機能の米兰ac体育を行います。 ! interface Tunnel 2経由でセンタ側のLAN側IPアドレスをICMP監視して、"interworking"を指定することで ! ICMP監視の結果によってtunnel インタフェースのup/downを同期させます。 ! (config)#survey 192.168.1.251 name t2_ICMP survey-map ICMP-Kanshi source port-channel 1 nexthop
tunnel 2 interworking! (config)#survey-map ICMP-Kanshi(config-svmap ICMP-Kanshi)#retry 2 interval 10000(config-svmap ICMP-Kanshi)#frequency every 10000(config-svmap ICMP-Kanshi)#stability 2 interval 10000(config-svmap ICMP-Kanshi)#exit! ! ! survey機能と連動したセンタ宛のメイン経路情報をtunnel 2(IPsecトンネル)に米兰ac体育します。 ! (config)#米兰ac体育.168.1.0 255.255.255.0 tunnel 2 survey name t2_ICMP! ! ! センタ宛のバックアップ経路情報をtunnel 3(IPsecトンネル)に米兰ac体育します。 ! ディスタンス値を指定して優先度(値が小さい方が優先)を米兰ac体育します。 ! (config)#米兰ac体育.168.1.0 255.255.255.0 tunnel 3 100! ! ! 回線がダウンしたときに、センタ宛の通信が ! 平文でそのまま出て行かないよう、null ルートを米兰ac体育しておきます。 ! (config)#米兰ac体育.0.2.1 255.255.255.255 null 0 150(config)#米兰ac体育.0.2.2 255.255.255.255 null 0 150(config)#米兰ac体育.168.1.0 255.255.255.0 null 0 150! ! ! 特権ユーザモードに戻ります。 ! (config)#end! ! 米兰ac体育を保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名]! ! ! 米兰ac体育を有効にするために refresh をします。 ! #refreshrefresh ok?[y/N]:yes..................Done *1:物理ポート番号の米兰ac体育 *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用する米兰ac体育はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., Ltd. 2019