FutureNet

NXR,VXRシリーズ

IPsec編

5. 冗長化設定

5-2. Route Based IPsec冗長化設定(ネットイベントの利用)

この設定例では、センタ側でWAN回線と機器の冗長化を行います。そして、メインルータでの障害発生時、ネットイベント機能で自動的にバックアップのIPsec接続を行い、通信を継続します。

 

【 IPsec機能対応機種 】NXR-1300シリーズ,NXR-650,NXR-610Xシリーズ,NXR-530,NXR-350/C,NXR-230/C,NXR-160/LW,NXR-G180/L-CA,NXR- G200シリーズ,NXR-G110シリーズ,NXR-G100シリーズ,NXR-G050シリーズ,VXRシリーズ(2022/9現在)

設定例で使用している機能の対応状況は、各製品の更新履歴やユーザーズガイドをご確認ください。

 

コンテンツ
構成図 設定例 設定例解説 端末の設定例 付録

 

【 構成図 】

  • この例ではセンタメインルータ(以下NXR_A-M)のWAN回線のインタフェースをppp0,センタバックアップルータ(以下NXR_A-B)のWAN回線のインタフェースをeth1とします。
  • この例で使用しているルータは、NXR_A-M,NXR_A-BがNXR-650、拠点ルータ(以下NXR_B)がNXR-G110/Lです。
  • NXR-G180/L-CAはキャリアアグリゲーション対応の内蔵通信モジュールがmobile1(LTE1),キャリアアグリゲーション未対応の内蔵通信モジュールがmobile2(LTE2)となりますので、モバイル設定する場合はmobile1をmobile2に読み替えて設定してください。
  • NXR-G050シリーズの内蔵通信モジュールはmobile2となりますので、モバイル設定する場合はmobile1をmobile2に読み替えて設定してください。

 

〔 正常時 〕

  • NXR_BではNXR_A-Mに対してのみIPsecトンネルを確立します。

 

〔 NXR_A-M WAN回線障害時 〕

  • NXR_A-MのWAN回線障害時、NXR_A-Mのネットイベント機能でVRRPの優先度を254 -> 50に変更することにより、NXR_A-BがVRRPマスタになります。
    (☞) NXR_A-MのWAN回線の障害は、ppp0インタフェースがダウンすることを想定しています。
  • NXR_Bではネットイベント機能でipsec isakmp policy 1のダウンを検知後、ipsec isakmp policy 2の接続を開始します。

 

〔 NXR_A-M LANインタフェース障害時 〕

  • NXR_A-MのLANインタフェース障害時、NXR_A-BがVRRPマスタになります。またNXR_A-Mではネットイベントでipsec isakmp policy 1をdisconnectし、IPsecトンネルを確立しないようにします。
    (☞) NXR_A-MのLANインタフェース障害は、eth0インタフェースがダウンすることを想定しています。
  • NXR_Bではネットイベント機能でipsec isakmp policy 1のダウンを検知後、ipsec isakmp policy 2の接続を開始します。

 

〔 NXR_A-M 機器障害時 〕

  • NXR_A-Mの機器障害時、NXR_A-BがVRRPマスタになります。
    (☞) NXR_A-Mの機器障害は、機器故障など機器がダウンすることを想定しています。
  • NXR_Bではネットイベント機能でipsec isakmp policy 1のダウンを検知後、ipsec isakmp policy 2の接続を開始します。

 

【 設定例 】

〔 NXR_A-Mの設定 〕

nxr650#configure terminal
nxr650(config)#hostname NXR_A-M
NXR_A-M(config)#track 1 interface ppp 0 initial-timeout 30
NXR_A-M(config)#track 2 interface ethernet 0
NXR_A-M(config)#interface ethernet 0
NXR_A-M(config-if)#ip address 192.168.10.1/24
NXR_A-M(config-if)#no ip redirects
NXR_A-M(config-if)#vrrp ip 1 address 192.168.10.254
NXR_A-M(config-if)#vrrp ip 1 priority 254
NXR_A-M(config-if)#vrrp ip 1 preempt
NXR_A-M(config-if)#vrrp ip 1 timers advertise 5
NXR_A-M(config-if)#vrrp ip 1 netevent 1 priority 50
NXR_A-M(config-if)#exit
NXR_A-M(config)#ip route 192.168.20.0/24 tunnel 1 1
NXR_A-M(config)#ip route 192.168.20.0/24 192.168.10.2 10
NXR_A-M(config)#ip route 0.0.0.0/0 ppp 0
NXR_A-M(config)#ip access-list ppp0_IN permit any 192.0.2.1 udp 500 500
NXR_A-M(config)#ip access-list ppp0_IN permit any 192.0.2.1 50
NXR_A-M(config)#ipsec access-list IPsec_ACL ip any any
NXR_A-M(config)#ipsec local policy 1
NXR_A-M(config-ipsec-local)#address ip
NXR_A-M(config-ipsec-local)#exit
NXR_A-M(config)#ipsec isakmp policy 1
NXR_A-M(config-ipsec-isakmp)#description NXR_B
NXR_A-M(config-ipsec-isakmp)#authentication pre-share IPsecKEY1
NXR_A-M(config-ipsec-isakmp)#hash sha256
NXR_A-M(config-ipsec-isakmp)#encryption aes128
NXR_A-M(config-ipsec-isakmp)#group 5
NXR_A-M(config-ipsec-isakmp)#lifetime 86400
NXR_A-M(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_A-M(config-ipsec-isakmp)#remote address ip any
NXR_A-M(config-ipsec-isakmp)#remote identity fqdn NXRB
NXR_A-M(config-ipsec-isakmp)#keepalive 30 3 periodic clear
NXR_A-M(config-ipsec-isakmp)#local policy 1
NXR_A-M(config-ipsec-isakmp)#netevent 2 disconnect
NXR_A-M(config-ipsec-isakmp)#exit
NXR_A-M(config)#interface tunnel 1
NXR_A-M(config-tunnel)#tunnel mode ipsec ipv4
NXR_A-M(config-tunnel)#tunnel protection ipsec policy 1
NXR_A-M(config-tunnel)#ip tcp adjust-mss auto
NXR_A-M(config-tunnel)#exit
NXR_A-M(config)#ipsec tunnel policy 1
NXR_A-M(config-ipsec-tunnel)#description NXR_B
NXR_A-M(config-ipsec-tunnel)#negotiation-mode responder
NXR_A-M(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_A-M(config-ipsec-tunnel)#set pfs group5
NXR_A-M(config-ipsec-tunnel)#set sa lifetime 28800
NXR_A-M(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_A-M(config-ipsec-tunnel)#match address IPsec_ACL
NXR_A-M(config-ipsec-tunnel)#exit
NXR_A-M(config)#ppp account username [ISP_A接続用ユーザID] password [ISP_A接続用パスワード]
NXR_A-M(config)#interface ppp 0
NXR_A-M(config-ppp)#ip address 192.0.2.1/32
NXR_A-M(config-ppp)#ip masquerade
NXR_A-M(config-ppp)#ip spi-filter
NXR_A-M(config-ppp)#ip access-group in ppp0_IN
NXR_A-M(config-ppp)#ip tcp adjust-mss auto
NXR_A-M(config-ppp)#ppp username [ISP_A接続用ユーザID]
NXR_A-M(config-ppp)#ipsec policy 1
NXR_A-M(config-ppp)#exit
NXR_A-M(config)#interface ethernet 1
NXR_A-M(config-if)#no ip address
NXR_A-M(config-if)#pppoe-client ppp 0
NXR_A-M(config-if)#exit
NXR_A-M(config)#dns
NXR_A-M(config-dns)#service enable
NXR_A-M(config-dns)#exit
NXR_A-M(config)#fast-forwarding enable
NXR_A-M(config)#exit
NXR_A-M#save config

〔 NXR_A-Bの設定 〕

nxr650#configure terminal
nxr650(config)#hostname NXR_A-B
NXR_A-B(config)#interface ethernet 0
NXR_A-B(config-if)#ip address 192.168.10.2/24
NXR_A-B(config-if)#no ip redirects
NXR_A-B(config-if)#vrrp ip 1 address 192.168.10.254
NXR_A-B(config-if)#vrrp ip 1 priority 100
NXR_A-B(config-if)#vrrp ip 1 preempt
NXR_A-B(config-if)#vrrp ip 1 timers advertise 5
NXR_A-B(config-if)#exit
NXR_A-B(config)#ip route 192.168.20.0/24 tunnel 1 1
NXR_A-B(config)#ip route 192.168.20.0/24 null 254
NXR_A-B(config)#ip route 0.0.0.0/0 203.0.113.2
NXR_A-B(config)#ip access-list eth1_IN permit any 203.0.113.1 udp 500 500
NXR_A-B(config)#ip access-list eth1_IN permit any 203.0.113.1 50
NXR_A-B(config)#ipsec access-list IPsec_ACL ip any any
NXR_A-B(config)#ipsec local policy 1
NXR_A-B(config-ipsec-local)#address ip
NXR_A-B(config-ipsec-local)#exit
NXR_A-B(config)#ipsec isakmp policy 1
NXR_A-B(config-ipsec-isakmp)#description NXR_B
NXR_A-B(config-ipsec-isakmp)#authentication pre-share IPsecKEY2
NXR_A-B(config-ipsec-isakmp)#hash sha256
NXR_A-B(config-ipsec-isakmp)#encryption aes128
NXR_A-B(config-ipsec-isakmp)#group 5
NXR_A-B(config-ipsec-isakmp)#lifetime 86400
NXR_A-B(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_A-B(config-ipsec-isakmp)#remote address ip any
NXR_A-B(config-ipsec-isakmp)#remote identity fqdn NXRB
NXR_A-B(config-ipsec-isakmp)#keepalive 30 3 periodic clear
NXR_A-B(config-ipsec-isakmp)#local policy 1
NXR_A-B(config-ipsec-isakmp)#exit
NXR_A-B(config)#interface tunnel 1
NXR_A-B(config-tunnel)#tunnel mode ipsec ipv4
NXR_A-B(config-tunnel)#tunnel protection ipsec policy 1
NXR_A-B(config-tunnel)#ip tcp adjust-mss auto
NXR_A-B(config-tunnel)#exit
NXR_A-B(config)#ipsec tunnel policy 1
NXR_A-B(config-ipsec-tunnel)#description NXR_B
NXR_A-B(config-ipsec-tunnel)#negotiation-mode responder
NXR_A-B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_A-B(config-ipsec-tunnel)#set pfs group5
NXR_A-B(config-ipsec-tunnel)#set sa lifetime 28800
NXR_A-B(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_A-B(config-ipsec-tunnel)#match address IPsec_ACL
NXR_A-B(config-ipsec-tunnel)#exit
NXR_A-B(config)#interface ethernet 1
NXR_A-B(config-if)#ip address 203.0.113.1/30
NXR_A-B(config-if)#ip masquerade
NXR_A-B(config-if)#ip spi-filter
NXR_A-B(config-if)#ip access-group in eth1_IN
NXR_A-B(config-if)#ip tcp adjust-mss auto
NXR_A-B(config-if)#ipsec policy 1
NXR_A-B(config-if)#exit
NXR_A-B(config)#dns
NXR_A-B(config-dns)#service enable
NXR_A-B(config-dns)#address 203.0.113.253
NXR_A-B(config-dns)#address 203.0.113.254
NXR_A-B(config-dns)#exit
NXR_A-B(config)#fast-forwarding enable
NXR_A-B(config)#exit
NXR_A-B#save config

 

〔 NXR_Bの設定 〕

nxrg110#configure terminal
nxrg110(config)#hostname NXR_B
NXR_B(config)#interface ethernet 0
NXR_B(config-if)#ip address 192.168.20.1/24
NXR_B(config-if)#exit
NXR_B(config)#ip route 192.168.10.0/24 tunnel 1 1
NXR_B(config)#ip route 192.168.10.0/24 tunnel 2 10
NXR_B(config)#ip route 192.168.10.0/24 null 254
NXR_B(config)#ip route 0.0.0.0/0 ppp 0
NXR_B(config)#ip access-list ppp0_IN permit 192.0.2.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_IN permit 192.0.2.1 any 50
NXR_B(config)#ip access-list ppp0_IN permit 203.0.113.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_IN permit 203.0.113.1 any 50
NXR_B(config)#track 1 ipsec isakmp 1
NXR_B(config)#ipsec priority-ignore enable
NXR_B(config)#ipsec access-list IPsec_ACL ip any any
NXR_B(config)#ipsec local policy 1
NXR_B(config-ipsec-local)#address ip
NXR_B(config-ipsec-local)#self-identity fqdn NXRB
NXR_B(config-ipsec-local)#exit
NXR_B(config)#ipsec isakmp policy 1
NXR_B(config-ipsec-isakmp)#description NXR_A-M
NXR_B(config-ipsec-isakmp)#authentication pre-share IPsecKEY1
NXR_B(config-ipsec-isakmp)#hash sha256
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 86400
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_B(config-ipsec-isakmp)#remote address ip 192.0.2.1
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1
NXR_B(config-ipsec-isakmp)#exit
NXR_B(config)#interface tunnel 1
NXR_B(config-tunnel)#tunnel mode ipsec ipv4
NXR_B(config-tunnel)#tunnel protection ipsec policy 1
NXR_B(config-tunnel)#ip tcp adjust-mss auto
NXR_B(config-tunnel)#exit
NXR_B(config)#ipsec tunnel policy 1
NXR_B(config-ipsec-tunnel)#description NXR_A-M
NXR_B(config-ipsec-tunnel)#negotiation-mode auto
NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 28800
NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_B(config-ipsec-tunnel)#match address IPsec_ACL
NXR_B(config-ipsec-tunnel)#exit
NXR_B(config)#ipsec isakmp policy 2
NXR_B(config-ipsec-isakmp)#description NXR_A-B
NXR_B(config-ipsec-isakmp)#authentication pre-share IPsecKEY2
NXR_B(config-ipsec-isakmp)#hash sha256
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 86400
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_B(config-ipsec-isakmp)#remote address ip 203.0.113.1
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1
NXR_B(config-ipsec-isakmp)#netevent 1 connect
NXR_B(config-ipsec-isakmp)#exit
NXR_B(config)#interface tunnel 2
NXR_B(config-tunnel)#tunnel mode ipsec ipv4
NXR_B(config-tunnel)#tunnel protection ipsec policy 2
NXR_B(config-tunnel)#ip tcp adjust-mss auto
NXR_B(config-tunnel)#exit
NXR_B(config)#ipsec tunnel policy 2
NXR_B(config-ipsec-tunnel)#description NXR_A-B
NXR_B(config-ipsec-tunnel)#negotiation-mode auto
NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 28800
NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 2
NXR_B(config-ipsec-tunnel)#match address IPsec_ACL
NXR_B(config-ipsec-tunnel)#exit
NXR_B(config)#ppp account username [モバイル(PPP)接続用ユーザID] password [モバイル(PPP)接続用パスワード]
NXR_B(config)#interface ppp 0
NXR_B(config-ppp)#ip address negotiated
NXR_B(config-ppp)#ip masquerade
NXR_B(config-ppp)#ip spi-filter
NXR_B(config-ppp)#ip access-group in ppp0_IN
NXR_B(config-ppp)#ip tcp adjust-mss auto
NXR_B(config-ppp)#ppp username [モバイル(PPP)接続用ユーザID]
NXR_B(config-ppp)#mobile apn [APN] cid 1 pdp-type ip
NXR_B(config-ppp)#dial-up string *99***1#
NXR_B(config-ppp)#dial-up timeout 30
NXR_B(config-ppp)#ipsec policy 1
NXR_B(config-ppp)#exit
NXR_B(config)#mobile error-recovery-reset
NXR_B(config)#mobile termination-recovery reset
NXR_B(config)#mobile 1 ppp 0
NXR_B(config)#mobile 1 carrier [キャリア]
NXR_B(config)#exit
NXR_B#clear mobile 1
NXR_B#configure terminal
NXR_B(config)#dns
NXR_B(config-dns)#service enable
NXR_B(config-dns)#exit
NXR_B(config)#exit
NXR_B#save config

 

【 設定例解説 】

〔 NXR_A-Mの設定 〕

1. <ホスト名の設定>
nxr650(config)#hostname NXR_A-M

ホスト名を設定します。

 

2. <トラック設定>
NXR_A-M(config)#track 1 interface ppp 0 initial-timeout 30

以下のルールでトラックを設定します。

  • トラック番号 … 1
  • 監視方法 … インタフェースリンク監視
  • 対象インタフェース … ppp0
  • イニシャルタイムアウト … 30秒

(☞) インタフェースリンク監視設定で監視開始直後、リンクダウン状態の場合、トラックステータスはイニット(init)になります(リンクアップ後、トラックステータスはアップに遷移します)。イニシャルタイムアウトを設定することで設定時間経過後、トラックステータスをダウンに遷移することができます。

NXR_A-M(config)#track 2 interface ethernet 0

以下のルールでトラックを設定します。

  • トラック番号 … 2
  • 監視方法 … インタフェースリンク監視
  • 対象インタフェース … ethernet0

 

3. <LAN側(ethernet0)インタフェース設定>
NXR_A-M(config)#interface ethernet 0
NXR_A-M(config-if)#ip address 192.168.10.1/24

ethernet0インタフェースのIPアドレスを設定します。

NXR_A-M(config-if)#no ip redirects

ICMPリダイレクトを無効にします。

NXR_A-M(config-if)#vrrp ip 1 address 192.168.10.254

VRRPの仮想IPアドレスを設定します。

NXR_A-M(config-if)#vrrp ip 1 priority 254

VRRPのプライオリティを設定します。

NXR_A-M(config-if)#vrrp ip 1 preempt

VRRPのプリエンプトを有効にします。
(☞) プリエンプトが有効の場合、プライオリティの最も高いルータが常にマスタールータとなります。

NXR_A-M(config-if)#vrrp ip 1 timers advertise 5

VRRPアドバタイズの送信間隔を設定します。

NXR_A-M(config-if)#vrrp ip 1 netevent 1 priority 50

トラック1設定(ppp0のインタフェースリンク監視)で障害を検知した場合、VRRPのプライオリティを変更します。

 

4. <スタティックルート設定>
NXR_A-M(config)#ip route 192.168.20.0/24 tunnel 1 1
NXR_A-M(config)#ip route 192.168.20.0/24 192.168.10.2 10

192.168.20.0/24向けのルートを設定します。

NXR_A-M(config)#ip route 0.0.0.0/0 ppp 0

デフォルトルートを設定します。

 

5. <IPアクセスリスト設定>
NXR_A-M(config)#ip access-list ppp0_IN permit any 192.0.2.1 udp 500 500
NXR_A-M(config)#ip access-list ppp0_IN permit any 192.0.2.1 50

IPアクセスリストppp0_INを以下のルールで設定します。

  • 宛先IPアドレス192.0.2.1、送信元,宛先UDPポート500番を許可
  • 宛先IPアドレス192.0.2.1、プロトコル番号50(ESP)を許可

(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングを行うインタフェースでの登録が必要になります。

 

6. <IPsecアクセスリスト設定>
NXR_A-M(config)#ipsec access-list IPsec_ACL ip any any

IPsecアクセスリストIPsec_ACLを以下のルールで設定します。

  • 送信元IPアドレス … any
  • 宛先IPアドレス … any

 

7. <IPsecローカルポリシー設定>
NXR_A-M(config)#ipsec local policy 1
NXR_A-M(config-ipsec-local)#address ip

IPsecトンネルの送信元IPアドレスにipを設定します。

 

8. <IPsec ISAKMPポリシー設定>
NXR_A-M(config)#ipsec isakmp policy 1
NXR_A-M(config-ipsec-isakmp)#description NXR_B

ISAKMPポリシー1の説明文を設定します。

NXR_A-M(config-ipsec-isakmp)#authentication pre-share IPsecKEY1

認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵を設定します。
(☞) 事前共有鍵はNXR_Bのipsec isakmp policy 1と共通の値を設定します。

NXR_A-M(config-ipsec-isakmp)#hash sha256

認証アルゴリズムをsha256に設定します。

NXR_A-M(config-ipsec-isakmp)#encryption aes128

暗号化アルゴリズムをaes128に設定します。

NXR_A-M(config-ipsec-isakmp)#group 5

Diffie-Hellman(DH)グループをgroup 5に設定します。

NXR_A-M(config-ipsec-isakmp)#lifetime 86400

ISAKMP SAのライフタイムを設定します。

NXR_A-M(config-ipsec-isakmp)#isakmp-mode aggressive

フェーズ1のネゴシエーションモードをアグレッシブモードに設定します。

NXR_A-M(config-ipsec-isakmp)#remote address ip any

リモートアドレスにanyを設定します。

NXR_A-M(config-ipsec-isakmp)#remote identity fqdn NXRB

リモートID(FQDN方式)を設定します。
(☞) NXR_Bのipsec local policy 1のセルフIDと同じIDを設定します。

NXR_A-M(config-ipsec-isakmp)#keepalive 30 3 periodic clear

IKE KeepAlive(DPD)を以下のルールで設定します。

  • 監視間隔 … 30秒
  • リトライ回数 … 3回
  • ダウン検知後の動作 … SA削除
NXR_A-M(config-ipsec-isakmp)#local policy 1

このIPsec ISAKMPポリシーで使用するIPsecローカルポリシーを設定します。

NXR_A-M(config-ipsec-isakmp)#netevent 2 disconnect

トラック2設定(ethernet0のインタフェースリンク監視)で障害を検知した場合、IPsecを切断します。

 

9. <トンネル1インタフェース設定>
NXR_A-M(config)#interface tunnel 1
NXR_A-M(config-tunnel)#tunnel mode ipsec ipv4

トンネル1インタフェースのトンネルモードをipsec ipv4に設定します。

NXR_A-M(config-tunnel)#tunnel protection ipsec policy 1

このトンネルインタフェースで使用するIPsecトンネルポリシーを設定します。

NXR_A-M(config-tunnel)#ip tcp adjust-mss auto

TCP MSSの調整機能をオートに設定します。

 

10. <IPsec トンネルポリシー設定>
NXR_A-M(config)#ipsec tunnel policy 1
NXR_A-M(config-ipsec-tunnel)#description NXR_B

IPsecトンネルポリシー1の説明文を設定します。

NXR_A-M(config-ipsec-tunnel)#negotiation-mode responder

ネゴシエーションモードをresponderに設定します。

NXR_A-M(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac

暗号化アルゴリズムをaes128、認証アルゴリズムをsha256に設定します。

NXR_A-M(config-ipsec-tunnel)#set pfs group5

PFSを有効、DHグループをgroup5に設定します。

NXR_A-M(config-ipsec-tunnel)#set sa lifetime 28800

IPsec SAのライフタイムを設定します。

NXR_A-M(config-ipsec-tunnel)#set key-exchange isakmp 1

このIPsecトンネルポリシーで使用するIPsec ISAKMPポリシーを設定します。

NXR_A-M(config-ipsec-tunnel)#match address IPsec_ACL

IPsecアクセスリストを設定します。

 

11. <PPPアカウント設定>
NXR_A-M(config)#ppp account username [ISP_A接続用ユーザID] password [ISP_A接続用パスワード]

ISP_A接続用ユーザID,パスワードを設定します。

 

12. <WAN側(ppp0)インタフェース設定>
NXR_A-M(config)#interface ppp 0
NXR_A-M(config-ppp)#ip address 192.0.2.1/32

ppp0インタフェースのIPアドレスを設定します。

NXR_A-M(config-ppp)#ip masquerade
NXR_A-M(config-ppp)#ip spi-filter

IPマスカレード、ステートフルパケットインスペクションを有効にします。

NXR_A-M(config-ppp)#ip access-group in ppp0_IN

IPアクセスグループのinフィルタにIPアクセスリストppp0_INを設定します。

NXR_A-M(config-ppp)#ip tcp adjust-mss auto

TCP MSSの調整機能をオートに設定します。

NXR_A-M(config-ppp)#ppp username [ISP_A接続用ユーザID]

ISP_A接続用ユーザIDを設定します。

NXR_A-M(config-ppp)#ipsec policy 1

このインタフェースで使用するIPsecローカルポリシーを設定します。

 

13. <ethernet1インタフェース設定>
NXR_A-M(config)#interface ethernet 1
NXR_A-M(config-if)#no ip address
NXR_A-M(config-if)#pppoe-client ppp 0

PPPoEクライアントにppp0を設定します。

 

14. <DNS設定>
NXR_A-M(config)#dns
NXR_A-M(config-dns)#service enable

DNSサービスを有効にします。

 

15. <ファストフォワーディング設定>
NXR_A-M(config)#fast-forwarding enable

ファストフォワーディングを有効にします。

 

16. <設定の保存>
NXR_A-M#save config

設定内容を保存します。

 

〔 NXR_A-Bの設定 〕

1. <ホスト名の設定>
nxr650(config)#hostname NXR_A-B

ホスト名を設定します。

 

2. <LAN側(ethernet0)インタフェース設定>
NXR_A-B(config)#interface ethernet 0
NXR_A-B(config-if)#ip address 192.168.10.2/24

ethernet0インタフェースのIPアドレスを設定します。

NXR_A-B(config-if)#no ip redirects

ICMPリダイレクトを無効にします。

NXR_A-B(config-if)#vrrp ip 1 address 192.168.10.254

VRRPの仮想IPアドレスを設定します。

NXR_A-B(config-if)#vrrp ip 1 priority 100

VRRPのプライオリティを設定します。

NXR_A-B(config-if)#vrrp ip 1 preempt

VRRPのプリエンプトを有効にします。

NXR_A-B(config-if)#vrrp ip 1 timers advertise 5

VRRPアドバタイズの送信間隔を設定します。

 

3. <スタティックルート設定>
NXR_A-B(config)#ip route 192.168.20.0/24 tunnel 1 1
NXR_A-B(config)#ip route 192.168.20.0/24 null 254

192.168.20.0/24向けのルートを設定します。

NXR_A-B(config)#ip route 0.0.0.0/0 203.0.113.2

デフォルトルートを設定します。

 

4. <IPアクセスリスト設定>
NXR_A-B(config)#ip access-list eth1_IN permit any 203.0.113.1 udp 500 500
NXR_A-B(config)#ip access-list eth1_IN permit any 203.0.113.1 50

IPアクセスリストeth1_INを以下のルールで設定します。

  • 宛先IPアドレス203.0.113.1、送信元,宛先UDPポート500番を許可
  • 宛先IPアドレス203.0.113.1、プロトコル番号50(ESP)を許可

 

5. <IPsecアクセスリスト設定>
NXR_A-B(config)#ipsec access-list IPsec_ACL ip any any

IPsecアクセスリストIPsec_ACLを以下のルールで設定します。

  • 送信元IPアドレス … any
  • 宛先IPアドレス … any

 

6. <IPsecローカルポリシー設定>
NXR_A-B(config)#ipsec local policy 1
NXR_A-B(config-ipsec-local)#address ip

IPsecトンネルの送信元IPアドレスにipを設定します。

 

7. <IPsec ISAKMPポリシー設定>
NXR_A-B(config)#ipsec isakmp policy 1
NXR_A-B(config-ipsec-isakmp)#description NXR_B

ISAKMPポリシー1の説明文を設定します。

NXR_A-B(config-ipsec-isakmp)#authentication pre-share IPsecKEY2

認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵を設定します。
(☞) 事前共有鍵はNXR_Bのipsec isakmp policy 2と共通の値を設定します。

NXR_A-B(config-ipsec-isakmp)#hash sha256

認証アルゴリズムをsha256に設定します。

NXR_A-B(config-ipsec-isakmp)#encryption aes128

暗号化アルゴリズムをaes128に設定します。

NXR_A-B(config-ipsec-isakmp)#group 5

Diffie-Hellman(DH)グループをgroup 5に設定します。

NXR_A-B(config-ipsec-isakmp)#lifetime 86400

ISAKMP SAのライフタイムを設定します。

NXR_A-B(config-ipsec-isakmp)#isakmp-mode aggressive

フェーズ1のネゴシエーションモードをアグレッシブモードに設定します。

NXR_A-B(config-ipsec-isakmp)#remote address ip any

リモートアドレスにanyを設定します。

NXR_A-B(config-ipsec-isakmp)#remote identity fqdn NXRB

リモートID(FQDN方式)を設定します。
(☞) NXR_Bのipsec local policy 1のセルフIDと同じIDを設定します。

NXR_A-B(config-ipsec-isakmp)#keepalive 30 3 periodic clear

IKE KeepAlive(DPD)を以下のルールで設定します。

  • 監視間隔 … 30秒
  • リトライ回数 … 3回
  • ダウン検知後の動作 … SA削除
NXR_A-B(config-ipsec-isakmp)#local policy 1

このIPsec ISAKMPポリシーで使用するIPsecローカルポリシーを設定します。

 

8. <トンネル1インタフェース設定>
NXR_A-B(config)#interface tunnel 1
NXR_A-B(config-tunnel)#tunnel mode ipsec ipv4

トンネル1インタフェースのトンネルモードをipsec ipv4に設定します。

NXR_A-B(config-tunnel)#tunnel protection ipsec policy 1

このトンネルインタフェースで使用するIPsecトンネルポリシーを設定します。

NXR_A-B(config-tunnel)#ip tcp adjust-mss auto

TCP MSSの調整機能をオートに設定します。

 

9. <IPsec トンネルポリシー設定>
NXR_A-B(config)#ipsec tunnel policy 1
NXR_A-B(config-ipsec-tunnel)#description NXR_B

IPsecトンネルポリシー1の説明文を設定します。

NXR_A-B(config-ipsec-tunnel)#negotiation-mode responder

ネゴシエーションモードをresponderに設定します。

NXR_A-B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac

暗号化アルゴリズムをaes128、認証アルゴリズムをsha256に設定します。

NXR_A-B(config-ipsec-tunnel)#set pfs group5

PFSを有効、DHグループをgroup5に設定します。

NXR_A-B(config-ipsec-tunnel)#set sa lifetime 28800

IPsec SAのライフタイムを設定します。

NXR_A-B(config-ipsec-tunnel)#set key-exchange isakmp 1

このIPsecトンネルポリシーで使用するIPsec ISAKMPポリシーを設定します。

NXR_A-B(config-ipsec-tunnel)#match address IPsec_ACL

IPsecアクセスリストを設定します。

 

10. <WAN側(ethernet1)インタフェース設定>
NXR_A-B(config)#interface ethernet 1
NXR_A-B(config-if)#ip address 203.0.113.1/30

ethernet1インタフェースのIPアドレスを設定します。

NXR_A-B(config-if)#ip masquerade
NXR_A-B(config-if)#ip spi-filter

IPマスカレード、ステートフルパケットインスペクションを有効にします。

NXR_A-B(config-if)#ip access-group in eth1_IN

IPアクセスグループのinフィルタにIPアクセスリストeth1_INを設定します。

NXR_A-B(config-if)#ip tcp adjust-mss auto

TCP MSSの調整機能をオートに設定します。

NXR_A-B(config-if)#ipsec policy 1

このインタフェースで使用するIPsecローカルポリシーを設定します。

 

11. <DNS設定>
NXR_A-B(config)#dns
NXR_A-B(config-dns)#service enable

DNSサービスを有効にします。

NXR_A-B(config-dns)#address 203.0.113.253
NXR_A-B(config-dns)#address 203.0.113.254

DNSサーバアドレスを設定します。

 

12. <ファストフォワーディング設定>
NXR_A-B(config)#fast-forwarding enable

ファストフォワーディングを有効にします。

 

13. <設定の保存>
NXR_A-B#save config

設定内容を保存します。

 

〔 NXR_Bの設定 〕

1. <ホスト名の設定>
nxrg110(config)#hostname NXR_B

ホスト名を設定します。

 

2. <LAN側(ethernet0)インタフェース設定>
NXR_B(config)#interface ethernet 0
NXR_B(config-if)#ip address 192.168.20.1/24

ethernet0インタフェースのIPアドレスを設定します。

 

3. <スタティックルート設定>
NXR_B(config)#ip route 192.168.10.0/24 tunnel 1 1
NXR_B(config)#ip route 192.168.10.0/24 tunnel 2 10
NXR_B(config)#ip route 192.168.10.0/24 null 254

192.168.10.0/24向けのルートを設定します。
(☞) ディスタンス値により192.168.10.0/24向けのルートの出力インタフェースの優先度はtunnel1→tunnel2→nullの順になります。

NXR_B(config)#ip route 0.0.0.0/0 ppp 0

デフォルトルートを設定します。

 

4. <IPアクセスリスト設定>
NXR_B(config)#ip access-list ppp0_IN permit 192.0.2.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_IN permit 192.0.2.1 any 50
NXR_B(config)#ip access-list ppp0_IN permit 203.0.113.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_IN permit 203.0.113.1 any 50

IPアクセスリストppp0_INを以下のルールで設定します。

  • 送信元IPアドレス192.0.2.1、送信元,宛先UDPポート500番を許可
  • 送信元IPアドレス192.0.2.1、プロトコル番号50(ESP)を許可
  • 送信元IPアドレス203.0.113.1、送信元,宛先UDPポート500番を許可
  • 送信元IPアドレス203.0.113.1、プロトコル番号50(ESP)を許可

 

5. <トラック設定>
NXR_B(config)#track 1 ipsec isakmp 1

以下のルールでトラックを設定します。

  • トラック番号 … 1
  • 監視方法 … IKE SA監視
  • 対象ipsec isakmp policy … 1

 

6. <IPsec priority-ignore設定>
NXR_B(config)#ipsec priority-ignore enable

ipsec priority-ignoreを有効にします。

 

7. <IPsecアクセスリスト設定>
NXR_B(config)#ipsec access-list IPsec_ACL ip any any

IPsecアクセスリストIPsec_ACLを以下のルールで設定します。

  • 送信元IPアドレス … any
  • 宛先IPアドレス … any

 

8. <IPsecローカルポリシー設定>
NXR_B(config)#ipsec local policy 1
NXR_B(config-ipsec-local)#address ip

IPsecトンネルの送信元IPアドレスにipを設定します。

NXR_B(config-ipsec-local)#self-identity fqdn NXRB

セルフID(FQDN方式)を設定します。
(☞) NXR_A-M,NXR_A-Bのipsec isakmp policy 1のリモートIDと同じIDを設定します。

 

9. <IPsec ISAKMPポリシー1設定>
NXR_B(config)#ipsec isakmp policy 1
NXR_B(config-ipsec-isakmp)#description NXR_A-M

ISAKMPポリシー1の説明文を設定します。

NXR_B(config-ipsec-isakmp)#authentication pre-share IPsecKEY1

認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵を設定します。
(☞) 事前共有鍵はNXR_A-Mのipsec isakmp policy 1と共通の値を設定します。

NXR_B(config-ipsec-isakmp)#hash sha256

認証アルゴリズムをsha256に設定します。

NXR_B(config-ipsec-isakmp)#encryption aes128

暗号化アルゴリズムをaes128に設定します。

NXR_B(config-ipsec-isakmp)#group 5

DHグループをgroup 5に設定します。

NXR_B(config-ipsec-isakmp)#lifetime 86400

ISAKMP SAのライフタイムを設定します。

NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive

フェーズ1のネゴシエーションモードをアグレッシブモードに設定します。

NXR_B(config-ipsec-isakmp)#remote address ip 192.0.2.1

リモートアドレスにNXR_A-MのWAN側IPアドレスを設定します。

NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart

IKE KeepAlive(DPD)を以下のルールで設定します。

  • 監視間隔 … 30秒
  • リトライ回数 … 3回
  • ダウン検知後の動作 … IKEの再ネゴシエーション
NXR_B(config-ipsec-isakmp)#local policy 1

このIPsec ISAKMPポリシーで使用するIPsecローカルポリシーを設定します。

 

10. <トンネル1インタフェース設定>
NXR_B(config)#interface tunnel 1
NXR_B(config-tunnel)#tunnel mode ipsec ipv4

トンネル1インタフェースのトンネルモードをipsec ipv4に設定します。

NXR_B(config-tunnel)#tunnel protection ipsec policy 1

このトンネルインタフェースで使用するIPsecトンネルポリシーを設定します。

NXR_B(config-tunnel)#ip tcp adjust-mss auto

TCP MSSの調整機能をオートに設定します。

 

11. <IPsec トンネルポリシー1設定>
NXR_B(config)#ipsec tunnel policy 1
NXR_B(config-ipsec-tunnel)#description NXR_A-M

IPsecトンネルポリシー1の説明文を設定します。

NXR_B(config-ipsec-tunnel)#negotiation-mode auto

ネゴシエーションモードをautoに設定します。

NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac

暗号化アルゴリズムをaes128、認証アルゴリズムをsha256に設定します。

NXR_B(config-ipsec-tunnel)#set pfs group5

PFSを有効、DHグループをgroup5に設定します。

NXR_B(config-ipsec-tunnel)#set sa lifetime 28800

IPsec SAのライフタイムを設定します。

NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 1

このIPsecトンネルポリシーで使用するIPsec ISAKMPポリシーを設定します。

NXR_B(config-ipsec-tunnel)#match address IPsec_ACL

IPsecアクセスリストを設定します。

 

12. <IPsec ISAKMPポリシー2設定>
NXR_B(config)#ipsec isakmp policy 2
NXR_B(config-ipsec-isakmp)#description NXR_A-B

ISAKMPポリシー2の説明文を設定します。

NXR_B(config-ipsec-isakmp)#authentication pre-share IPsecKEY2

認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵を設定します。
(☞) 事前共有鍵はNXR_A-Bのipsec isakmp policy 1と共通の値を設定します。

NXR_B(config-ipsec-isakmp)#hash sha256

認証アルゴリズムをsha256に設定します。

NXR_B(config-ipsec-isakmp)#encryption aes128

暗号化アルゴリズムをaes128に設定します。

NXR_B(config-ipsec-isakmp)#group 5

DHグループをgroup 5に設定します。

NXR_B(config-ipsec-isakmp)#lifetime 86400

ISAKMP SAのライフタイムを設定します。

NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive

フェーズ1のネゴシエーションモードをアグレッシブモードに設定します。

NXR_B(config-ipsec-isakmp)#remote address ip 203.0.113.1

リモートアドレスにNXR_A-BのWAN側IPアドレスを設定します。

NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart

IKE KeepAlive(DPD)を以下のルールで設定します。

  • 監視間隔 … 30秒
  • リトライ回数 … 3回
  • ダウン検知後の動作 … IKEの再ネゴシエーション
NXR_B(config-ipsec-isakmp)#local policy 1

このIPsec ISAKMPポリシーで使用するIPsecローカルポリシーを設定します。

NXR_B(config-ipsec-isakmp)#netevent 1 connect

トラック設定(IKE監視)で障害を検知した場合、IPsec接続を開始します。

 

13. <トンネル2インタフェース設定>
NXR_B(config)#interface tunnel 2
NXR_B(config-tunnel)#tunnel mode ipsec ipv4

トンネル2インタフェースのトンネルモードをipsec ipv4に設定します。

NXR_B(config-tunnel)#tunnel protection ipsec policy 2

このトンネルインタフェースで使用するIPsecトンネルポリシーを設定します。

NXR_B(config-tunnel)#ip tcp adjust-mss auto

TCP MSSの調整機能をオートに設定します。

 

14. <IPsec トンネルポリシー2設定>
NXR_B(config)#ipsec tunnel policy 2
NXR_B(config-ipsec-tunnel)#description NXR_A-B

IPsecトンネルポリシー2の説明文を設定します。

NXR_B(config-ipsec-tunnel)#negotiation-mode auto

ネゴシエーションモードをautoに設定します。

NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac

暗号化アルゴリズムをaes128、認証アルゴリズムをsha256に設定します。

NXR_B(config-ipsec-tunnel)#set pfs group5

PFSを有効、DHグループをgroup5に設定します。

NXR_B(config-ipsec-tunnel)#set sa lifetime 28800

IPsec SAのライフタイムを設定します。

NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 2

このIPsecトンネルポリシーで使用するIPsec ISAKMPポリシーを設定します。

NXR_B(config-ipsec-tunnel)#match address IPsec_ACL

IPsecアクセスリストを設定します。

 

15. <PPPアカウント設定>
NXR_B(config)#ppp account username [モバイル(PPP)接続用ユーザID] password [モバイル(PPP)接続用パスワード]

モバイル(PPP)接続用ユーザID,パスワードを設定します。

 

16. <WAN側(ppp0)インタフェース設定>
NXR_B(config)#interface ppp 0
NXR_B(config-ppp)#ip address negotiated

ppp0インタフェースのIPアドレスにnegotiatedを設定します。

NXR_B(config-ppp)#ip masquerade
NXR_B(config-ppp)#ip spi-filter

IPマスカレード、ステートフルパケットインスペクションを有効にします。

NXR_B(config-ppp)#ip access-group in ppp0_IN

IPアクセスグループのinフィルタにIPアクセスリストppp0_INを設定します。

NXR_B(config-ppp)#ip tcp adjust-mss auto

TCP MSSの調整機能をオートに設定します。

NXR_B(config-ppp)#ppp username [モバイル(PPP)接続用ユーザID]

モバイル(PPP)接続用ユーザIDを設定します。

NXR_B(config-ppp)#mobile apn [APN] cid 1 pdp-type ip

APN,CID,PDPタイプを設定します。

NXR_B(config-ppp)#dial-up string *99***1#

発信用の電話番号を設定します。
(☞) 電話番号の#の前の数字はCIDを表しています。

NXR_B(config-ppp)#dial-up timeout 30

ダイアルタイムアウトを設定します。

NXR_B(config-ppp)#ipsec policy 1

このインタフェースで使用するIPsecローカルポリシーを設定します。

 

17. <モバイルエラーリカバリー設定>
NXR_B(config)#mobile error-recovery-reset

内蔵通信モジュールとの通信に重大な問題が発生する可能性が高いと判断した場合、内蔵通信モジュールのリセットを行うように設定します。

 

18. <モバイルターミネーションリカバリー設定>
NXR_B(config)#mobile termination-recovery reset

PPP接続時に網側から切断された場合、内蔵通信モジュールのリセットを行うように設定します。

 

19. <モバイル割り当て設定>
NXR_B(config)#mobile 1 ppp 0

mobile1として認識されている内蔵通信モジュールとppp0インタフェースの関連づけを行います。
内蔵通信モジュールをPPPインタフェースで使用する場合は、mobileコマンドによるPPPインタフェースへの関連付けが必要になります。
(☞) mobile1の情報はshow mobile 1コマンドで確認することができます。

 

20. <モバイルキャリア設定>
NXR_B(config)#mobile 1 carrier [キャリア]

mobile1のキャリアを設定します。
(☞) キャリア設定は「clear mobile 1」コマンドによるモバイルリセットを行うことで反映されます。

 

21. <DNS設定>
NXR_B(config)#dns
NXR_B(config-dns)#service enable

DNSサービスを有効にします。

 

22. <設定の保存>
NXR_B#save config

設定内容を保存します。

 

【 端末の設定例 】

192.168.10.0/24 192.168.20.0/24
IPアドレス 192.168.10.100 192.168.20.100
サブネットマスク 255.255.255.0
デフォルトゲートウェイ 192.168.10.254 192.168.20.1
DNSサーバアドレス 192.168.10.1
192.168.10.2
192.168.20.1

 

【 付録 】