FutureNet
NXR,WXRシリーズ
IPsec編
5. 冗長化設定
5-2. Route Based IPsec冗長化設定(ネットイベントの利用)
この設定例ではセンタ側で回線と機器の冗長化を行います。ルータNXR_BはルータNXR_A1とNXR_A2とIPsecトンネルを確立します。なおNXR_A2とのIPsecトンネルはルータNXR_A1の障害発生時ネットイベント機能を利用して確立します。
【 構成図 】
<正常時>
<ルータNXR_A1 ppp0インタフェースリンクダウン時>
<ルータNXR_A1 ethernet0インタフェースリンクダウン時>
- ルータNXR_A1のppp0インタフェースリンクダウン時、ネットイベント機能でVRRPの優先度を変更します。またWAN側での経路障害などIPsec SA未確立時にLAN_B宛のパケットをルータNXR_A2に転送するためのルートを設定します。その際ルートのディスタンス値はIPsecルートよりも大きい値を設定します。
- ルータNXR_A1のethernet0インタフェースリンクダウン時、ネットイベント機能でIPsec ISAKMPポリシーの切断を行います。
- ルータNXR_Bでは正常時ルータNXR_A1とのみIPsec SAを確立します。そしてネットイベント機能でルータNXR_A1のISAKMP SAを監視し、SAが削除された(または削除した)場合ルータNXR_A2へのIPsec接続を開始します。またこの設定例では経路の優先度を明確にするため、ディスタンス値による重み付けも設定します。
- この設定例ではルータNXR_Bでipsec priority-ignore機能を使用します。この機能に対応していないファームウェアをご利用頂いている場合は、同じフェーズ2のIDを持つIPsec SAを同時に複数個確立することができません。そのため設定例のように同一のIPsecアクセスリストを複数のIPsecトンネルポリシーに適用した場合、IPsec SAを複数同時に確立することができませんので、各IPsecトンネルポリシー毎に異なるルールのIPsecアクセスリストを設定する必要があります。
- ルータNXR_A2,NXR_BではIPsecルート無効時、カプセル化対象のパケットをルータから出力しないようにするためゲートウェイをnullインタフェースとしたルートを設定します。
【 設定データ 】
〔NXR_A1の設定〕
設定項目 | 設定内容 | |||
---|---|---|---|---|
ホスト名 | NXR_A1 | |||
LAN側インタフェース | ethernet0のIPアドレス | 192.168.10.1/24 | ||
IPリダイレクト | 無効 | |||
VRRP | グループ | 1 | ||
IPアドレス | 192.168.10.254 | |||
プライオリティ | 254 | |||
プリエンプト | 有効 | |||
送信間隔 | 5秒 | |||
ネットイベント | No. | 1 | ||
プライオリティ | 50 | |||
WAN側インタフェース | PPPoEクライアント(ethernet1) | ppp0 | ||
ppp0のIPアドレス | 10.10.10.1/32 | |||
IPマスカレード | 有効 | |||
IPアクセスグループ | in | ppp0_in | ||
SPIフィルタ | 有効 | |||
TCP MSS自動調整 | オート | |||
ISP接続用ユーザID | test1@example.jp | |||
ISP接続用パスワード | test1pass | |||
IPsecローカルポリシー | 1 | |||
スタティックルート | No.1 | 宛先IPアドレス | 192.168.20.0/24 | |
ゲートウェイ(インタフェース) | tunnel1 | |||
ディスタンス | 1 | |||
No.2 | 宛先IPアドレス | 192.168.20.0/24 | ||
ゲートウェイ(IPアドレス) | 192.168.10.2 | |||
ディスタンス | 10 | |||
No.3 | 宛先IPアドレス | 0.0.0.0/0 | ||
ゲートウェイ(インタフェース) | ppp0 | |||
IPフィルタ | ルール名 | ppp0_in | ||
ppp0_in | No.1 | 動作 | 許可 | |
送信元IPアドレス | any | |||
宛先IPアドレス | 10.10.10.1 | |||
プロトコル | UDP | |||
送信元ポート | 500 | |||
宛先ポート | 500 | |||
No.2 | 動作 | 許可 | ||
送信元IPアドレス | any | |||
宛先IPアドレス | 10.10.10.1 | |||
プロトコル | 50(ESP) | |||
IPsec | IPsecアクセスリスト | リスト名 | ipsec_acl | |
送信元IPアドレス | any | |||
宛先IPアドレス | any | |||
IPsecローカルポリシー1 | address | ip | ||
IPsec ISAKMPポリシー1 | 名前 | NXR_B | ||
認証方式 | pre-share | |||
認証鍵 | ipseckey1 | |||
認証アルゴリズム | sha256 | |||
暗号化アルゴリズム | aes128 | |||
DHグループ | 5 | |||
ライフタイム | 10800秒 | |||
ISAKMPモード | アグレッシブモード | |||
リモートアドレス | any | |||
リモートID(FQDN) | nxrb | |||
DPD | 再送間隔 | 30秒 | ||
リトライ回数 | 3回 | |||
動作 | clear | |||
ローカルポリシー | 1 | |||
ネットイベント | No. | 2 | ||
動作 | disconnect | |||
IPsecトンネルポリシー1 | 名前 | NXR_B | ||
ネゴシエーションモード | レスポンダ | |||
認証アルゴリズム | sha256 | |||
暗号化アルゴリズム | aes128 | |||
PFS | 有効(グループ5) | |||
ライフタイム | 3600秒 | |||
ISAKMPポリシー | 1 | |||
IPsecアクセスリスト | ipsec_acl | |||
トンネル1インタフェース | トンネルモード | IPsec(IPv4) | ||
トンネルプロテクション | ipsec policy 1 | |||
TCP MSS自動調整 | オート | |||
トラック | No.1 | インタフェース | ppp0 | |
イニシャルタイムアウト | 30秒 | |||
No.2 | インタフェース | ethernet0 | ||
DNS | サービス | 有効 | ||
FastFowarding | 有効 |
〔NXR_A2の設定〕
設定項目 | 設定内容 | |||
---|---|---|---|---|
ホスト名 | NXR_A2 | |||
LAN側インタフェース | ethernet0のIPアドレス | 192.168.10.2/24 | ||
IPリダイレクト | 無効 | |||
VRRP | グループ | 1 | ||
IPアドレス | 192.168.10.254 | |||
プライオリティ | 100 | |||
プリエンプト | 有効 | |||
送信間隔 | 5秒 | |||
WAN側インタフェース | ethernet1のIPアドレス | 10.10.20.1/30 | ||
IPマスカレード | 有効 | |||
IPアクセスグループ | in | eth1_in | ||
SPIフィルタ | 有効 | |||
IPsecローカルポリシー | 1 | |||
スタティックルート | No.1 | 宛先IPアドレス | 192.168.20.0/24 | |
ゲートウェイ(インタフェース) | tunnel1 | |||
ディスタンス | 1 | |||
No.2 | 宛先IPアドレス | 192.168.20.0/24 | ||
ゲートウェイ(インタフェース) | null | |||
ディスタンス | 254 | |||
No.3 | 宛先IPアドレス | 0.0.0.0/0 | ||
ゲートウェイ(IPアドレス) | 10.10.20.2 | |||
IPフィルタ | ルール名 | eth1_in | ||
eth1_in | No.1 | 動作 | 許可 | |
送信元IPアドレス | any | |||
宛先IPアドレス | 10.10.20.1 | |||
プロトコル | UDP | |||
送信元ポート | 500 | |||
宛先ポート | 500 | |||
No.2 | 動作 | 許可 | ||
送信元IPアドレス | any | |||
宛先IPアドレス | 10.10.20.1 | |||
プロトコル | 50(ESP) | |||
IPsec | IPsecアクセスリスト | リスト名 | ipsec_acl | |
送信元IPアドレス | any | |||
宛先IPアドレス | any | |||
IPsecローカルポリシー1 | address | ip | ||
IPsec ISAKMPポリシー1 | 名前 | NXR_B | ||
認証方式 | pre-share | |||
認証鍵 | ipseckey2 | |||
認証アルゴリズム | sha256 | |||
暗号化アルゴリズム | aes128 | |||
DHグループ | 5 | |||
ライフタイム | 10800秒 | |||
ISAKMPモード | アグレッシブモード | |||
リモートアドレス | any | |||
リモートID(FQDN) | nxrb | |||
DPD | 再送間隔 | 30秒 | ||
リトライ回数 | 3回 | |||
動作 | clear | |||
ローカルポリシー | 1 | |||
IPsecトンネルポリシー1 | 名前 | NXR_B | ||
ネゴシエーションモード | レスポンダ | |||
認証アルゴリズム | sha256 | |||
暗号化アルゴリズム | aes128 | |||
PFS | 有効(グループ5) | |||
ライフタイム | 3600秒 | |||
ISAKMPポリシー | 1 | |||
IPsecアクセスリスト | ipsec_acl | |||
トンネル1インタフェース | トンネルモード | IPsec(IPv4) | ||
トンネルプロテクション | ipsec policy 1 | |||
TCP MSS自動調整 | オート | |||
DNS | サービス | 有効 | ||
DNSサーバ | プライマリ | 10.10.20.2 | ||
FastFowarding | 有効 |
〔NXR_Bの設定〕
設定項目 | 設定内容 | |||
---|---|---|---|---|
ホスト名 | NXR_B | |||
LAN側インタフェース | ethernet0のIPアドレス | 192.168.20.1/24 | ||
WAN側インタフェース | mobile1 | ppp0 | ||
ppp0のIPアドレス | 動的IPアドレス | |||
IPマスカレード | 有効 | |||
IPアクセスグループ | in | ppp0_in | ||
SPIフィルタ | 有効 | |||
TCP MSS自動調整 | オート | |||
PPP接続用ユーザID | ユーザID | |||
PPP接続用パスワード | パスワード | |||
APN | APN | |||
CID | CID | |||
PDPタイプ | PDPタイプ(IPまたはPPP) | |||
発信用電話番号 | *99***[CID]# | |||
ダイアルタイムアウト | 30秒 | |||
IPsecローカルポリシー | 1 | |||
モバイルエラーリカバリー | リセット | |||
モバイルターミネーションリカバリー | リセット | |||
スタティックルート | No.1 | 宛先IPアドレス | 192.168.10.0/24 | |
ゲートウェイ(インタフェース) | tunnel1 | |||
ディスタンス | 1 | |||
No.2 | 宛先IPアドレス | 192.168.10.0/24 | ||
ゲートウェイ(インタフェース) | tunnel2 | |||
ディスタンス | 10 | |||
No.3 | 宛先IPアドレス | 192.168.10.0/24 | ||
ゲートウェイ(インタフェース) | null | |||
ディスタンス | 254 | |||
No.4 | 宛先IPアドレス | 0.0.0.0/0 | ||
ゲートウェイ(インタフェース) | ppp0 | |||
IPフィルタ | ルール名 | ppp0_in | ||
ppp0_in | No.1 | 動作 | 許可 | |
送信元IPアドレス | 10.10.10.1 | |||
宛先IPアドレス | any | |||
プロトコル | UDP | |||
送信元ポート | 500 | |||
宛先ポート | 500 | |||
No.2 | 動作 | 許可 | ||
送信元IPアドレス | 10.10.10.1 | |||
宛先IPアドレス | any | |||
プロトコル | 50(ESP) | |||
No.3 | 動作 | 許可 | ||
送信元IPアドレス | 10.10.20.1 | |||
宛先IPアドレス | any | |||
プロトコル | UDP | |||
送信元ポート | 500 | |||
宛先ポート | 500 | |||
No.4 | 動作 | 許可 | ||
送信元IPアドレス | 10.10.20.1 | |||
宛先IPアドレス | any | |||
プロトコル | 50(ESP) | |||
IPsec | IPsecアクセスリスト | リスト名 | ipsec_acl | |
送信元IPアドレス | any | |||
宛先IPアドレス | any | |||
IPsec priority-ignore | 有効 | |||
IPsecローカルポリシー1 | address | ip | ||
セルフID(FQDN) | nxrb | |||
IPsec ISAKMPポリシー1 | 名前 | NXR_A1 | ||
認証方式 | pre-share | |||
認証鍵 | ipseckey1 | |||
認証アルゴリズム | sha256 | |||
暗号化アルゴリズム | aes128 | |||
DHグループ | 5 | |||
ライフタイム | 10800秒 | |||
ISAKMPモード | アグレッシブモード | |||
リモートアドレス | 10.10.10.1 | |||
DPD | 再送間隔 | 30秒 | ||
リトライ回数 | 3回 | |||
動作 | restart | |||
ローカルポリシー | 1 | |||
IPsecトンネルポリシー1 | 名前 | NXR_A1 | ||
ネゴシエーションモード | オート | |||
認証アルゴリズム | sha256 | |||
暗号化アルゴリズム | aes128 | |||
PFS | 有効(グループ5) | |||
ライフタイム | 3600秒 | |||
ISAKMPポリシー | 1 | |||
IPsecアクセスリスト | ipsec_acl | |||
IPsec ISAKMPポリシー2 | 名前 | NXR_A2 | ||
認証方式 | pre-share | |||
認証鍵 | ipseckey2 | |||
認証アルゴリズム | sha256 | |||
暗号化アルゴリズム | aes128 | |||
DHグループ | 5 | |||
ライフタイム | 10800秒 | |||
ISAKMPモード | アグレッシブモード | |||
リモートアドレス | 10.10.20.1 | |||
DPD | 再送間隔 | 30秒 | ||
リトライ回数 | 3回 | |||
動作 | restart | |||
ローカルポリシー | 1 | |||
ネットイベント | No. | 1 | ||
動作 | connect | |||
IPsecトンネルポリシー2 | 名前 | NXR_A2 | ||
ネゴシエーションモード | オート | |||
認証アルゴリズム | sha256 | |||
暗号化アルゴリズム | aes128 | |||
PFS | 有効(グループ5) | |||
ライフタイム | 3600秒 | |||
ISAKMPポリシー | 2 | |||
IPsecアクセスリスト | ipsec_acl | |||
トンネル1インタフェース | トンネルモード | IPsec(IPv4) | ||
トンネルプロテクション | ipsec policy 1 | |||
TCP MSS自動調整 | オート | |||
トンネル2インタフェース | トンネルモード | IPsec(IPv4) | ||
トンネルプロテクション | ipsec policy 2 | |||
TCP MSS自動調整 | オート | |||
トラック | No.1 | ISAKMPポリシー | 1 | |
DNS | サービス | 有効 |
【 設定例 】
〔NXR_A1の設定〕
Enter configuration commands, one per line. End with CNTL/Z.
nxr230(config)#hostname NXR_A1
NXR_A1(config)#track 1 interface ppp 0 initial-timeout 30
NXR_A1(config)#track 2 interface ethernet 0
NXR_A1(config)#interface ethernet 0
NXR_A1(config-if)#ip address 192.168.10.1/24
NXR_A1(config-if)#no ip redirects
NXR_A1(config-if)#vrrp ip 1 address 192.168.10.254
NXR_A1(config-if)#vrrp ip 1 priority 254
NXR_A1(config-if)#vrrp ip 1 preempt
NXR_A1(config-if)#vrrp ip 1 timers advertise 5
NXR_A1(config-if)#vrrp ip 1 netevent 1 priority 50
NXR_A1(config-if)#exit
NXR_A1(config)#ip route 192.168.20.0/24 tunnel 1 1
NXR_A1(config)#ip route 192.168.20.0/24 192.168.10.2 10
NXR_A1(config)#ip route 0.0.0.0/0 ppp 0
NXR_A1(config)#ip access-list ppp0_in permit any 10.10.10.1 udp 500 500
NXR_A1(config)#ip access-list ppp0_in permit any 10.10.10.1 50
NXR_A1(config)#ipsec access-list ipsec_acl ip any any
NXR_A1(config)#ipsec local policy 1
NXR_A1(config-ipsec-local)#address ip
NXR_A1(config-ipsec-local)#exit
NXR_A1(config)#ipsec isakmp policy 1
NXR_A1(config-ipsec-isakmp)#description NXR_B
NXR_A1(config-ipsec-isakmp)#authentication pre-share ipseckey1
NXR_A1(config-ipsec-isakmp)#hash sha256
NXR_A1(config-ipsec-isakmp)#encryption aes128
NXR_A1(config-ipsec-isakmp)#group 5
NXR_A1(config-ipsec-isakmp)#lifetime 10800
NXR_A1(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_A1(config-ipsec-isakmp)#remote address ip any
NXR_A1(config-ipsec-isakmp)#remote identity fqdn nxrb
NXR_A1(config-ipsec-isakmp)#keepalive 30 3 periodic clear
NXR_A1(config-ipsec-isakmp)#local policy 1
NXR_A1(config-ipsec-isakmp)#netevent 2 disconnect
NXR_A1(config-ipsec-isakmp)#exit
NXR_A1(config)#ipsec tunnel policy 1
NXR_A1(config-ipsec-tunnel)#description NXR_B
NXR_A1(config-ipsec-tunnel)#negotiation-mode responder
NXR_A1(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_A1(config-ipsec-tunnel)#set pfs group5
NXR_A1(config-ipsec-tunnel)#set sa lifetime 3600
NXR_A1(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_A1(config-ipsec-tunnel)#match address ipsec_acl
NXR_A1(config-ipsec-tunnel)#exit
NXR_A1(config)#interface tunnel 1
NXR_A1(config-tunnel)#tunnel mode ipsec ipv4
NXR_A1(config-tunnel)#tunnel protection ipsec policy 1
NXR_A1(config-tunnel)#ip tcp adjust-mss auto
NXR_A1(config-tunnel)#exit
NXR_A1(config)#ppp account username test1@example.jp password test1pass
NXR_A1(config)#interface ppp 0
NXR_A1(config-ppp)#ip address 10.10.10.1/32
NXR_A1(config-ppp)#ip masquerade
NXR_A1(config-ppp)#ip access-group in ppp0_in
NXR_A1(config-ppp)#ip spi-filter
NXR_A1(config-ppp)#ip tcp adjust-mss auto
NXR_A1(config-ppp)#ppp username test1@example.jp
NXR_A1(config-ppp)#ipsec policy 1
NXR_A1(config-ppp)#exit
NXR_A1(config)#interface ethernet 1
NXR_A1(config-if)#no ip address
NXR_A1(config-if)#pppoe-client ppp 0
NXR_A1(config-if)#exit
NXR_A1(config)#dns
NXR_A1(config-dns)#service enable
NXR_A1(config-dns)#exit
NXR_A1(config)#fast-forwarding enable
NXR_A1(config)#exit
NXR_A1#save config
〔NXR_A2の設定〕
Enter configuration commands, one per line. End with CNTL/Z.
nxr230(config)#hostname NXR_A2
NXR_A2(config)#interface ethernet 0
NXR_A2(config-if)#ip address 192.168.10.2/24
NXR_A2(config-if)#no ip redirects
NXR_A2(config-if)#vrrp ip 1 address 192.168.10.254
NXR_A2(config-if)#vrrp ip 1 priority 100
NXR_A2(config-if)#vrrp ip 1 preempt
NXR_A2(config-if)#vrrp ip 1 timers advertise 5
NXR_A2(config-if)#exit
NXR_A2(config)#ip route 192.168.20.0/24 tunnel 1 1
NXR_A2(config)#ip route 192.168.20.0/24 null 254
NXR_A2(config)#ip route 0.0.0.0/0 10.10.20.2
NXR_A2(config)#ip access-list eth1_in permit any 10.10.20.1 udp 500 500
NXR_A2(config)#ip access-list eth1_in permit any 10.10.20.1 50
NXR_A2(config)#ipsec access-list ipsec_acl ip any any
NXR_A2(config)#ipsec local policy 1
NXR_A2(config-ipsec-local)#address ip
NXR_A2(config-ipsec-local)#exit
NXR_A2(config)#ipsec isakmp policy 1
NXR_A2(config-ipsec-isakmp)#description NXR_B
NXR_A2(config-ipsec-isakmp)#authentication pre-share ipseckey2
NXR_A2(config-ipsec-isakmp)#hash sha256
NXR_A2(config-ipsec-isakmp)#encryption aes128
NXR_A2(config-ipsec-isakmp)#group 5
NXR_A2(config-ipsec-isakmp)#lifetime 10800
NXR_A2(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_A2(config-ipsec-isakmp)#remote address ip any
NXR_A2(config-ipsec-isakmp)#remote identity fqdn nxrb
NXR_A2(config-ipsec-isakmp)#keepalive 30 3 periodic clear
NXR_A2(config-ipsec-isakmp)#local policy 1
NXR_A2(config-ipsec-isakmp)#exit
NXR_A2(config)#ipsec tunnel policy 1
NXR_A2(config-ipsec-tunnel)#description NXR_B
NXR_A2(config-ipsec-tunnel)#negotiation-mode responder
NXR_A2(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_A2(config-ipsec-tunnel)#set pfs group5
NXR_A2(config-ipsec-tunnel)#set sa lifetime 3600
NXR_A2(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_A2(config-ipsec-tunnel)#match address ipsec_acl
NXR_A2(config-ipsec-tunnel)#exit
NXR_A2(config)#interface tunnel 1
NXR_A2(config-tunnel)#tunnel mode ipsec ipv4
NXR_A2(config-tunnel)#tunnel protection ipsec policy 1
NXR_A2(config-tunnel)#ip tcp adjust-mss auto
NXR_A2(config-tunnel)#exit
NXR_A2(config)#interface ethernet 1
NXR_A2(config-if)#ip address 10.10.20.1/30
NXR_A2(config-if)#ip masquerade
NXR_A2(config-if)#ip access-group in eth1_in
NXR_A2(config-if)#ip spi-filter
NXR_A2(config-if)#ipsec policy 1
NXR_A2(config-if)#exit
NXR_A2(config)#dns
NXR_A2(config-dns)#service enable
NXR_A2(config-dns)#address 10.10.20.2
NXR_A2(config-dns)#exit
NXR_A2(config)#fast-forwarding enable
NXR_A2(config)#exit
NXR_A2#save config
〔NXR_Bの設定〕
Enter configuration commands, one per line. End with CNTL/Z.
nxrg100(config)#hostname NXR_B
NXR_B(config)#track 1 ipsec isakmp 1
NXR_B(config)#interface ethernet 0
NXR_B(config-if)#ip address 192.168.20.1/24
NXR_B(config-if)#exit
NXR_B(config)#ip route 192.168.10.0/24 tunnel 1 1
NXR_B(config)#ip route 192.168.10.0/24 tunnel 2 10
NXR_B(config)#ip route 192.168.10.0/24 null 254
NXR_B(config)#ip route 0.0.0.0/0 ppp 0
NXR_B(config)#ip access-list ppp0_in permit 10.10.10.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_in permit 10.10.10.1 any 50
NXR_B(config)#ip access-list ppp0_in permit 10.10.20.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_in permit 10.10.20.1 any 50
NXR_B(config)#ipsec access-list ipsec_acl ip any any
NXR_B(config)#ipsec priority-ignore enable
% restart ipsec service to take affect.
NXR_B(config)#ipsec local policy 1
NXR_B(config-ipsec-local)#address ip
NXR_B(config-ipsec-local)#self-identity fqdn nxrb
NXR_B(config-ipsec-local)#exit
NXR_B(config)#ipsec isakmp policy 1
NXR_B(config-ipsec-isakmp)#description NXR_A1
NXR_B(config-ipsec-isakmp)#authentication pre-share ipseckey1
NXR_B(config-ipsec-isakmp)#hash sha256
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 10800
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_B(config-ipsec-isakmp)#remote address ip 10.10.10.1
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1
NXR_B(config-ipsec-isakmp)#exit
NXR_B(config)#ipsec tunnel policy 1
NXR_B(config-ipsec-tunnel)#description NXR_A1
NXR_B(config-ipsec-tunnel)#negotiation-mode auto
NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 3600
NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_B(config-ipsec-tunnel)#match address ipsec_acl
NXR_B(config-ipsec-tunnel)#exit
NXR_B(config)#interface tunnel 1
NXR_B(config-tunnel)#tunnel mode ipsec ipv4
NXR_B(config-tunnel)#tunnel protection ipsec policy 1
NXR_B(config-tunnel)#ip tcp adjust-mss auto
NXR_B(config-tunnel)#exit
NXR_B(config)#ipsec isakmp policy 2
NXR_B(config-ipsec-isakmp)#description NXR_A2
NXR_B(config-ipsec-isakmp)#authentication pre-share ipseckey2
NXR_B(config-ipsec-isakmp)#hash sha256
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 10800
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_B(config-ipsec-isakmp)#remote address ip 10.10.20.1
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1
NXR_B(config-ipsec-isakmp)#netevent 1 connect
NXR_B(config-ipsec-isakmp)#exit
NXR_B(config)#ipsec tunnel policy 2
NXR_B(config-ipsec-tunnel)#description NXR_A2
NXR_B(config-ipsec-tunnel)#negotiation-mode auto
NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 3600
NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 2
NXR_B(config-ipsec-tunnel)#match address ipsec_acl
NXR_B(config-ipsec-tunnel)#exit
NXR_B(config)#interface tunnel 2
NXR_B(config-tunnel)#tunnel mode ipsec ipv4
NXR_B(config-tunnel)#tunnel protection ipsec policy 2
NXR_B(config-tunnel)#ip tcp adjust-mss auto
NXR_B(config-tunnel)#exit
NXR_B(config)#ppp account username [ユーザID] password [パスワード]
NXR_B(config)#interface ppp 0
NXR_B(config-ppp)#ip address negotiated
NXR_B(config-ppp)#ip masquerade
NXR_B(config-ppp)#ip access-group in ppp0_in
NXR_B(config-ppp)#ip spi-filter
NXR_B(config-ppp)#ip tcp adjust-mss auto
NXR_B(config-ppp)#ppp username [ユーザID]
NXR_B(config-ppp)#mobile apn [APN] cid [CID] pdp-type [PDPタイプ]
NXR_B(config-ppp)#dial-up string *99***[CID]#
NXR_B(config-ppp)#dial-up timeout 30
NXR_B(config-ppp)#ipsec policy 1
NXR_B(config-ppp)#exit
NXR_B(config)#mobile error-recovery-reset
NXR_B(config)#mobile termination-recovery reset
NXR_B(config)#mobile 1 ppp 0
NXR_B(config)#dns
NXR_B(config-dns)#service enable
NXR_B(config-dns)#exit
NXR_B(config)#exit
NXR_B#save config
【 設定例解説 】
〔NXR_A1の設定〕
1. <ホスト名の設定>
ホスト名を設定します。
2. <トラック設定(リンク監視)>
ppp0インタフェースのリンク監視設定をトラックNo.1に登録します。
(☞) インタフェースのリンク監視設定時、初期のトラック状態はイニット(init)でppp0インタフェースのリンクアップ後、トラックはアップ状態になります。またppp0インタフェースがリンクダウン状態の場合、すぐにトラックはダウン状態にはなりません。そのため設定したタイムアウト時間経過後、トラックをダウン状態にするためにイニシャルタイムアウトを設定します。
ethernet0インタフェースのリンク監視設定をトラックNo.2に登録します。
3. <LAN側(ethernet0)インタフェース設定>
NXR_A1(config-if)#ip address 192.168.10.1/24
NXR_A1(config-if)#no ip redirects
ethernet0インタフェースのIPアドレスを設定します。またICMPリダイレクト機能を無効に設定します。
NXR_A1(config-if)#vrrp ip 1 priority 254
NXR_A1(config-if)#vrrp ip 1 preempt
NXR_A1(config-if)#vrrp ip 1 timers advertise 5
VRRPの仮想IPアドレス、プライオリティを設定します。またプリエンプトを有効にします。
そしてアドバタイズの送信間隔を設定します。
(☞) トラフィックが多いネットワークの場合、VRRPアドバタイズの送信間隔を大きい値に設定することで動作が安定する場合があります。
ネットイベントを設定します。
ここではtrack 1コマンドで指定したppp0インタフェースのリンク監視で障害(リンクダウン)を検知した場合、VRRPのプライオリティを50に変更します。
4. <スタティックルート設定>
LAN_B向けのルートを設定します。このルートはIPsec SA確立時に利用します。
LAN_B向けのルートを設定します。ゲートウェイアドレスは、192.168.10.2を設定します。またこのルートのディスタンス値はIPsecルートよりも大きい値を設定します。
(☞) この設定はIPsec SA未確立時にルータNXR_A1で受信した宛先IPアドレス192.168.20.0/24のパケットをルータNXR_A2経由で対向側に転送するためのものです。
デフォルトルートを設定します。
5. <IPアクセスリスト設定>
NXR_A1(config)#ip access-list ppp0_in permit any 10.10.10.1 50
IPアクセスリスト名をppp0_inとし、WAN側IPアドレス10.10.10.1宛のIKEパケット(UDPポート500番)、ESPパケット(プロトコル番号50)を許可します。
なおこのIPアクセスリスト設定はppp0インタフェース設定で登録します。
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングしたいインタフェースでの登録が必要になります。
6. <IPsecアクセスリスト設定>
ipsec_aclという名前のIPsecアクセスリストを設定します。なお送信元IPアドレス,宛先IPアドレスともにanyとします。
7. <IPsecローカルポリシー設定>
NXR_A1(config-ipsec-local)#address ip
IPsecトンネルの送信元IPアドレスにip(IPv4)を設定します。
8. <IPsec ISAKMPポリシー設定>
NXR_A1(config-ipsec-isakmp)#description NXR_B
NXR_A1(config-ipsec-isakmp)#authentication pre-share ipseckey1
ISAKMPポリシーの説明としてNXR_B、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckey1を設定します。なお事前共有鍵はルータNXR_Bと共通の値を設定します。
NXR_A1(config-ipsec-isakmp)#encryption aes128
NXR_A1(config-ipsec-isakmp)#group 5
NXR_A1(config-ipsec-isakmp)#lifetime 10800
NXR_A1(config-ipsec-isakmp)#isakmp-mode aggressive
認証アルゴリズムとしてsha256、暗号化アルゴリズムとしてaes128,Diffie-Hellman(DH)グループとしてgroup 5、ISAKMP SAのライフタイムとして10800秒、フェーズ1のネゴシエーションモードとしてアグレッシブモードを設定します。
NXR_A1(config-ipsec-isakmp)#remote identity fqdn nxrb
NXR_A1(config-ipsec-isakmp)#keepalive 30 3 periodic clear
NXR_A1(config-ipsec-isakmp)#local policy 1
ルータNXR_BのWAN側IPアドレスが動的IPアドレスのため、リモートアドレスにanyを設定します。またリモートIDをFQDN方式でnxrbとし、ルータNXR_BのセルフIDと同じIDを設定します。
そしてIKE KeepAlive(DPD)を監視間隔30秒,リトライ回数3回としkeepalive失敗時にSAを削除するように設定します。さらにIPsecローカルポリシー1と関連づけを行います。
ネットイベントを設定します。
ここではtrack 2コマンドで指定したethernet0インタフェースのリンク監視で障害(リンクダウン)を検知した場合、IPsec ISAKMPポリシー1の切断を行います。
9. <IPsec トンネルポリシー設定>
NXR_A1(config-ipsec-tunnel)#description NXR_B
NXR_A1(config-ipsec-tunnel)#negotiation-mode responder
IPsecトンネルポリシーの説明としてNXR_B、ネゴシエーションモードとしてresponderを設定します。
NXR_A1(config-ipsec-tunnel)#set pfs group5
NXR_A1(config-ipsec-tunnel)#set sa lifetime 3600
暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha256、PFSを有効にし、かつDHグループとしてgroup5、IPsec SAのライフタイムとして3600秒を設定します。
NXR_A1(config-ipsec-tunnel)#match address ipsec_acl
ISAKMPポリシー1と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。
10. <トンネル1インタフェース設定>
NXR_A1(config-tunnel)#tunnel mode ipsec ipv4
NXR_A1(config-tunnel)#tunnel protection ipsec policy 1
NXR_A1(config-tunnel)#ip tcp adjust-mss auto
トンネル1インタフェースでトンネルモードをipsec ipv4、使用するトンネルポリシーとして1を設定します。またTCP MSSの調整機能をオートに設定します。
11. <PPPアカウント設定>
ppp0インタフェースで使用するISP接続用ユーザID,パスワードを設定します。
(☞) ここで設定したアカウントはppp0インタフェースの設定で利用します。
12. <WAN側(ppp0)インタフェース設定>
NXR_A1(config-ppp)#ip address 10.10.10.1/32
ppp0インタフェースのIPアドレスを設定します。
NXR_A1(config-ppp)#ip access-group in ppp0_in
NXR_A1(config-ppp)#ip spi-filter
NXR_A1(config-ppp)#ip tcp adjust-mss auto
IPマスカレード、ステートフルパケットインスペクションを有効に設定します。またIPアクセスリストppp0_inをinフィルタに適用します。そしてTCP MSSの調整機能をオートに設定します。
NXR_A1(config-ppp)#ipsec policy 1
ISP接続用ユーザIDを設定します。またIPsecトンネルのエンドポイントとなるためIPsecローカルポリシー1を設定します。
13. <ethernet1インタフェース設定>
NXR_A1(config-if)#no ip address
NXR_A1(config-if)#pppoe-client ppp 0
PPPoEクライアントとしてppp0インタフェースを使用できるように設定します。
14. <DNS設定>
NXR_A1(config-dns)#service enable
DNSサービスを有効にします。
15. <ファストフォワーディングの有効化>
ファストフォワーディングを有効にします。ファストフォワーディングを設定することによりパケット転送の高速化を行うことができます。
(☞) ファストフォワーディングの詳細および利用時の制約については、NXR,WXRシリーズのユーザーズガイド(CLI版)に記載されているファストフォワーディングの解説をご参照ください。
〔NXR_A2の設定〕
1. <ホスト名の設定>
ホスト名を設定します。
2. <LAN側(ethernet0)インタフェース設定>
NXR_A2(config-if)#ip address 192.168.10.2/24
NXR_A2(config-if)#no ip redirects
ethernet0インタフェースのIPアドレスを設定します。またICMPリダイレクト機能を無効に設定します。
NXR_A2(config-if)#vrrp ip 1 priority 100
NXR_A2(config-if)#vrrp ip 1 preempt
NXR_A2(config-if)#vrrp ip 1 timers advertise 5
VRRPの仮想IPアドレス、プライオリティを設定します。またプリエンプトを有効にします。
そしてアドバタイズの送信間隔を設定します。
3. <スタティックルート設定>
NXR_A2(config)#ip route 192.168.20.0/24 null 254
LAN_B向けのルートを設定します。なおIPsec SA確立時はトンネル1インタフェースを、未確立時はnullインタフェースのルートを利用するように設定します。
(☞) nullインタフェースが出力インタフェースとして有効な場合、パケットが出力されることはありません(ドロップされます)。
デフォルトルートを設定します。
4. <IPアクセスリスト設定>
NXR_A2(config)#ip access-list eth1_in permit any 10.10.20.1 50
IPアクセスリスト名をeth1_inとし、WAN側IPアドレス10.10.20.1宛のIKEパケット(UDPポート500番)、ESPパケット(プロトコル番号50)を許可します。
なおこのIPアクセスリスト設定はethernet1インタフェース設定で登録します。
5. <IPsecアクセスリスト設定>
ipsec_aclという名前のIPsecアクセスリストを設定します。なお送信元IPアドレス,宛先IPアドレスともにanyとします。
6. <IPsecローカルポリシー設定>
NXR_A2(config-ipsec-local)#address ip
IPsecトンネルの送信元IPアドレスにip(IPv4)を設定します。
7. <IPsec ISAKMPポリシー設定>
NXR_A2(config-ipsec-isakmp)#description NXR_B
NXR_A2(config-ipsec-isakmp)#authentication pre-share ipseckey2
ISAKMPポリシーの説明としてNXR_B、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckey2を設定します。なお事前共有鍵はルータNXR_Bと共通の値を設定します。
NXR_A2(config-ipsec-isakmp)#encryption aes128
NXR_A2(config-ipsec-isakmp)#group 5
NXR_A2(config-ipsec-isakmp)#lifetime 10800
NXR_A2(config-ipsec-isakmp)#isakmp-mode aggressive
認証アルゴリズムとしてsha256、暗号化アルゴリズムとしてaes128,Diffie-Hellman(DH)グループとしてgroup 5、ISAKMP SAのライフタイムとして10800秒、フェーズ1のネゴシエーションモードとしてアグレッシブモードを設定します。
NXR_A2(config-ipsec-isakmp)#remote identity fqdn nxrb
NXR_A2(config-ipsec-isakmp)#keepalive 30 3 periodic clear
NXR_A2(config-ipsec-isakmp)#local policy 1
ルータNXR_BのWAN側IPアドレスが動的IPアドレスのため、リモートアドレスにanyを設定します。またリモートIDをFQDN方式でnxrbとし、ルータNXR_BのセルフIDと同じIDを設定します。
そしてIKE KeepAlive(DPD)を監視間隔30秒,リトライ回数3回としkeepalive失敗時にSAを削除するように設定します。さらにIPsecローカルポリシー1と関連づけを行います。
8. <IPsec トンネルポリシー設定>
NXR_A2(config-ipsec-tunnel)#description NXR_B
NXR_A2(config-ipsec-tunnel)#negotiation-mode responder
IPsecトンネルポリシーの説明としてNXR_B、ネゴシエーションモードとしてresponderを設定します。
NXR_A2(config-ipsec-tunnel)#set pfs group5
NXR_A2(config-ipsec-tunnel)#set sa lifetime 3600
暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha256、PFSを有効にし、かつDHグループとしてgroup5、IPsec SAのライフタイムとして3600秒を設定します。
NXR_A2(config-ipsec-tunnel)#match address ipsec_acl
ISAKMPポリシー1と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。
9. <トンネル1インタフェース設定>
NXR_A2(config-tunnel)#tunnel mode ipsec ipv4
NXR_A2(config-tunnel)#tunnel protection ipsec policy 1
NXR_A2(config-tunnel)#ip tcp adjust-mss auto
トンネル1インタフェースでトンネルモードをipsec ipv4、使用するトンネルポリシーとして1を設定します。またTCP MSSの調整機能をオートに設定します。
10. <WAN側(ethernet1)インタフェース設定>
NXR_A2(config-if)#ip address 10.10.20.1/30
ethernet1インタフェースのIPアドレスを設定します。
NXR_A2(config-if)#ip access-group in eth1_in
NXR_A2(config-if)#ip spi-filter
IPマスカレード、ステートフルパケットインスペクションを有効に設定します。またIPアクセスリストeth1_inをinフィルタに適用します。
IPsecトンネルのエンドポイントとなるためIPsecローカルポリシー1を設定します。
11. <DNS設定>
NXR_A2(config-dns)#service enable
NXR_A2(config-dns)#address 10.10.20.2
DNSサービスを有効にします。またプライマリDNSサーバアドレスを設定します。
12. <ファストフォワーディングの有効化>
ファストフォワーディングを有効にします。
〔NXR_Bの設定〕
1. <ホスト名の設定>
ホスト名を設定します。
2. <トラック設定(ISAKMP SA監視)>
ISAKMPポリシー1のISAKMP SA監視設定をトラックNo.1に登録します。
3. <LAN側(ethernet0)インタフェース設定>
NXR_B(config-if)#ip address 192.168.20.1/24
ethernet0インタフェースのIPアドレスを設定します。
4. <スタティックルート設定>
NXR_B(config)#ip route 192.168.10.0/24 tunnel 2 10
LAN_A向けのルートを設定します。なおメインのIPsec SA確立時はトンネル1インタフェースを、メインのIPsec SAが未確立でかつバックアップのIPsec SA確立時はトンネル2インタフェースのルートを利用するように設定します。
LAN_A向けのルートを設定します。なおゲートウェイインタフェースはnullを設定します。またこのルートのディスタンス値として254を設定します。
デフォルトルートを設定します。
5. <IPアクセスリスト設定>
NXR_B(config)#ip access-list ppp0_in permit 10.10.10.1 any 50
NXR_B(config)#ip access-list ppp0_in permit 10.10.20.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_in permit 10.10.20.1 any 50
IPアクセスリスト名をppp0_inとし、送信元がルータNXR_A1のWAN側IPアドレス10.10.10.1、ルータNXR_A2のWAN側IPアドレス10.10.20.1のIKEパケット(UDPポート500番)、ESPパケット(プロトコル番号50)を許可します。
なおこのIPアクセスリスト設定はppp0インタフェース設定で登録します。
6. <IPsecアクセスリスト設定>
ipsec_aclという名前のIPsecアクセスリストを設定します。なお送信元IPアドレス,宛先IPアドレスともにanyとします。
7. <IPsec priority-ignore設定>
ipsec priority-ignoreを有効に設定します。
8. <IPsecローカルポリシー設定>
NXR_B(config-ipsec-local)#address ip
NXR_B(config-ipsec-local)#self-identity fqdn nxrb
IPsecトンネルの送信元IPアドレスにip(IPv4)を設定します。またセルフIDをFQDN方式でnxrbとし、ルータNXR_A1,NXR_A2のリモートIDと同じIDを設定します。
9. <IPsec ISAKMPポリシー1設定>
NXR_B(config-ipsec-isakmp)#description NXR_A1
NXR_B(config-ipsec-isakmp)#authentication pre-share ipseckey1
ISAKMPポリシーの説明としてNXR_A1、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckey1を設定します。なお事前共有鍵はNXR_A1と共通の値を設定します。
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 10800
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive
認証アルゴリズムとしてsha256、暗号化アルゴリズムとしてaes128,Diffie-Hellman(DH)グループとしてgroup 5、ISAKMP SAのライフタイムとして10800秒、フェーズ1のネゴシエーションモードとしてアグレッシブモードを設定します。
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1
リモートアドレスにルータNXR_A1のWAN側IPアドレスを設定します。またIKE KeepAlive(DPD)を監視間隔30秒,リトライ回数3回としkeepalive失敗時にSAを削除しIKEのネゴシエーションを開始するように設定します。そしてIPsecローカルポリシー1と関連づけを行います。
10. <IPsec トンネルポリシー1設定>
NXR_B(config-ipsec-tunnel)#description NXR_A1
NXR_B(config-ipsec-tunnel)#negotiation-mode auto
IPsecトンネルポリシーの説明としてNXR_A1、ネゴシエーションモードとしてautoを設定します。
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 3600
暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha256、PFSを有効にし、かつDHグループとしてgroup5、IPsec SAのライフタイムとして3600秒を設定します。
NXR_B(config-ipsec-tunnel)#match address ipsec_acl
ISAKMPポリシー1と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。
11. <トンネル1インタフェース設定>
NXR_B(config-tunnel)#tunnel mode ipsec ipv4
NXR_B(config-tunnel)#tunnel protection ipsec policy 1
NXR_B(config-tunnel)#ip tcp adjust-mss auto
トンネル1インタフェースでトンネルモードをipsec ipv4、使用するトンネルポリシーとして1を設定します。またTCP MSSの調整機能をオートに設定します。
12. <IPsec ISAKMPポリシー2設定>
NXR_B(config-ipsec-isakmp)#description NXR_A2
NXR_B(config-ipsec-isakmp)#authentication pre-share ipseckey2
ISAKMPポリシーの説明としてNXR_A2、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckey2を設定します。なお事前共有鍵はNXR_A2と共通の値を設定します。
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 10800
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive
認証アルゴリズムとしてsha256、暗号化アルゴリズムとしてaes128,Diffie-Hellman(DH)グループとしてgroup 5、ISAKMP SAのライフタイムとして10800秒、フェーズ1のネゴシエーションモードとしてアグレッシブモードを設定します。
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1
リモートアドレスにルータNXR_A2のWAN側IPアドレスを設定します。またIKE KeepAlive(DPD)を監視間隔30秒,リトライ回数3回としkeepalive失敗時にSAを削除しIKEのネゴシエーションを開始するように設定します。そしてIPsecローカルポリシー1と関連づけを行います。
ネットイベントを設定します。
ここではtrack 1コマンドで指定したISAKMP SA監視で障害(SA未確立)を検知した場合、IPsec ISAKMPポリシー2の接続を行います。
13. <IPsec トンネルポリシー2設定>
NXR_B(config-ipsec-tunnel)#description NXR_A2
NXR_B(config-ipsec-tunnel)#negotiation-mode auto
IPsecトンネルポリシーの説明としてNXR_A2、ネゴシエーションモードとしてautoを設定します。
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 3600
暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha256、PFSを有効にし、かつDHグループとしてgroup5、IPsec SAのライフタイムとして3600秒を設定します。
NXR_B(config-ipsec-tunnel)#match address ipsec_acl
ISAKMPポリシー2と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。
14. <トンネル2インタフェース設定>
NXR_B(config-tunnel)#tunnel mode ipsec ipv4
NXR_B(config-tunnel)#tunnel protection ipsec policy 2
NXR_B(config-tunnel)#ip tcp adjust-mss auto
トンネル2インタフェースでトンネルモードをipsec ipv4、使用するトンネルポリシーとして2を設定します。またTCP MSSの調整機能をオートに設定します。
15. <PPPアカウント設定>
ppp0インタフェースで使用するPPP接続用ユーザID,パスワードを設定します。
16. <WAN側(ppp0)インタフェース設定>
NXR_B(config-ppp)#ip address negotiated
ppp0インタフェースのIPアドレスが動的IPアドレスのためnegotiatedを設定します。
NXR_B(config-ppp)#ip access-group in ppp0_in
NXR_B(config-ppp)#ip spi-filter
NXR_B(config-ppp)#ip tcp adjust-mss auto
IPマスカレード、ステートフルパケットインスペクションを有効に設定します。またIPアクセスリストppp0_inをinフィルタに適用します。そしてTCP MSSの調整機能をオートに設定します。
NXR_B(config-ppp)#mobile apn [APN] cid [CID] pdp-type [PDPタイプ]
PPP接続用ユーザIDを設定します。またAPN,CID,PDPタイプを設定します。
NXR_B(config-ppp)#dial-up timeout 30
発信用の電話番号およびダイアルタイムアウトを設定します。
(☞) ここで設定する電話番号はSIMカードの電話番号ではありません。
IPsecトンネルのエンドポイントとなるためIPsecローカルポリシー1を設定します。
17. <モバイルエラーリカバリー設定>
通信モジュールとの通信に重大な問題が発生する可能性が高いと判断した場合、通信モジュールのリセットを行うように設定します。
18. <モバイルターミネーションリカバリー設定>
PPP接続時に網側から切断された場合、通信モジュールのリセットを行うように設定します。
19. <モバイル割り当て設定>
mobile1と認識されている通信モジュールとppp0インタフェースの関連づけを行います。
通信モジュールをPPPインタフェースで使用する場合は、mobileコマンドによるPPPインタフェースへの関連付けが必要になります。
20. <DNS設定>
NXR_B(config-dns)#service enable
DNSサービスを有効にします。
【 端末の設定例 】
LAN_Aの端末 | LAN_Bの端末 | |
IPアドレス | 192.168.10.100 | 192.168.20.100 |
サブネットマスク | 255.255.255.0 | |
デフォルトゲートウェイ | 192.168.10.254 | 192.168.20.1 |
DNSサーバ | 192.168.10.1 | |
192.168.10.2 |
目次
更新情報
→ 一覧へカテゴリ
タグ
- CRG
- DDNS
- DHCP
- DNAT
- DNSインターセプト
- Ethernet
- IIJモバイル
- IKE Modeconfig
- IKEv2 Configuration Payload
- IPinIP
- IPoE
- IPv6
- KDDI
- L2TP/IPsec
- L2TPv3
- MAP-E
- NGN
- NTTドコモ
- PBR
- Policy Based IPsec
- PPP
- PPPoE
- QoS
- RADIUS連携
- RAシリーズ
- Route Based IPsec
- SMS
- SNAT
- SoftBank
- UPnP
- URL転送
- VLAN
- VRRP
- Web認証
- WiMAX
- コンフィグロールバック
- ネットイベント
- ファームウェア
- フィルタ
- ブリッジ
- モニタログ
- ワイモバイル
- 仮想スイッチ
- 冗長化
- 無線LAN