FutureNet
NXR,VXRシリーズ
IPsec編
5. 冗長化設定
5-2. Route Based IPsec冗長化設定(ネットイベントの利用)
この設定例では、センタ側でWAN回線と機器の冗長化を行います。そして、メインルータでの障害発生時、ネットイベント機能で自動的にバックアップのIPsec接続を行い、通信を継続します。
【 IPsec機能対応機種 】NXR-1300シリーズ,NXR-650,NXR-610Xシリーズ,NXR-530,NXR-350/C,NXR-230/C,NXR-160/LW,NXR-G180/L-CA,NXR- G200シリーズ,NXR-G110シリーズ,NXR-G100シリーズ,NXR-G050シリーズ,VXRシリーズ(2022/9現在)
設定例で使用している機能の対応状況は、各製品の更新履歴やユーザーズガイドをご確認ください。
| コンテンツ | ||||
| 構成図 | 設定例 | 設定例解説 | 端末の設定例 | 付録 |
【 構成図 】
- この例ではセンタメインルータ(以下NXR_A-M)のWAN回線のインタフェースをppp0,センタバックアップルータ(以下NXR_A-B)のWAN回線のインタフェースをeth1とします。
- この例で使用しているルータは、NXR_A-M,NXR_A-BがNXR-650、拠点ルータ(以下NXR_B)がNXR-G110/Lです。
- NXR-G180/L-CAはキャリアアグリゲーション対応の内蔵通信モジュールがmobile1(LTE1),キャリアアグリゲーション未対応の内蔵通信モジュールがmobile2(LTE2)となりますので、モバイル設定する場合はmobile1をmobile2に読み替えて設定してください。
- NXR-G050シリーズの内蔵通信モジュールはmobile2となりますので、モバイル設定する場合はmobile1をmobile2に読み替えて設定してください。
〔 正常時 〕
- NXR_BではNXR_A-Mに対してのみIPsecトンネルを確立します。
〔 NXR_A-M WAN回線障害時 〕
- NXR_A-MのWAN回線障害時、NXR_A-Mのネットイベント機能でVRRPの優先度を254 -> 50に変更することにより、NXR_A-BがVRRPマスタになります。
(☞) NXR_A-MのWAN回線の障害は、ppp0インタフェースがダウンすることを想定しています。 - NXR_Bではネットイベント機能でipsec isakmp policy 1のダウンを検知後、ipsec isakmp policy 2の接続を開始します。
〔 NXR_A-M LANインタフェース障害時 〕
- NXR_A-MのLANインタフェース障害時、NXR_A-BがVRRPマスタになります。またNXR_A-Mではネットイベントでipsec isakmp policy 1をdisconnectし、IPsecトンネルを確立しないようにします。
(☞) NXR_A-MのLANインタフェース障害は、eth0インタフェースがダウンすることを想定しています。 - NXR_Bではネットイベント機能でipsec isakmp policy 1のダウンを検知後、ipsec isakmp policy 2の接続を開始します。
〔 NXR_A-M 機器障害時 〕
- NXR_A-Mの機器障害時、NXR_A-BがVRRPマスタになります。
(☞) NXR_A-Mの機器障害は、機器故障など機器がダウンすることを想定しています。 - NXR_Bではネットイベント機能でipsec isakmp policy 1のダウンを検知後、ipsec isakmp policy 2の接続を開始します。
【 設定例 】
〔 NXR_A-Mの設定 〕
nxr650(config)#hostname NXR_A-M
NXR_A-M(config)#track 1 interface ppp 0 initial-timeout 30
NXR_A-M(config)#track 2 interface ethernet 0
NXR_A-M(config)#interface ethernet 0
NXR_A-M(config-if)#ip address 192.168.10.1/24
NXR_A-M(config-if)#no ip redirects
NXR_A-M(config-if)#vrrp ip 1 address 192.168.10.254
NXR_A-M(config-if)#vrrp ip 1 priority 254
NXR_A-M(config-if)#vrrp ip 1 preempt
NXR_A-M(config-if)#vrrp ip 1 timers advertise 5
NXR_A-M(config-if)#vrrp ip 1 netevent 1 priority 50
NXR_A-M(config-if)#exit
NXR_A-M(config)#ip route 192.168.20.0/24 tunnel 1 1
NXR_A-M(config)#ip route 192.168.20.0/24 192.168.10.2 10
NXR_A-M(config)#ip route 0.0.0.0/0 ppp 0
NXR_A-M(config)#ip access-list ppp0_IN permit any 192.0.2.1 udp 500 500
NXR_A-M(config)#ip access-list ppp0_IN permit any 192.0.2.1 50
NXR_A-M(config)#ipsec access-list IPsec_ACL ip any any
NXR_A-M(config)#ipsec local policy 1
NXR_A-M(config-ipsec-local)#address ip
NXR_A-M(config-ipsec-local)#exit
NXR_A-M(config)#ipsec isakmp policy 1
NXR_A-M(config-ipsec-isakmp)#description NXR_B
NXR_A-M(config-ipsec-isakmp)#authentication pre-share IPsecKEY1
NXR_A-M(config-ipsec-isakmp)#hash sha256
NXR_A-M(config-ipsec-isakmp)#encryption aes128
NXR_A-M(config-ipsec-isakmp)#group 5
NXR_A-M(config-ipsec-isakmp)#lifetime 86400
NXR_A-M(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_A-M(config-ipsec-isakmp)#remote address ip any
NXR_A-M(config-ipsec-isakmp)#remote identity fqdn NXRB
NXR_A-M(config-ipsec-isakmp)#keepalive 30 3 periodic clear
NXR_A-M(config-ipsec-isakmp)#local policy 1
NXR_A-M(config-ipsec-isakmp)#netevent 2 disconnect
NXR_A-M(config-ipsec-isakmp)#exit
NXR_A-M(config)#interface tunnel 1
NXR_A-M(config-tunnel)#tunnel mode ipsec ipv4
NXR_A-M(config-tunnel)#tunnel protection ipsec policy 1
NXR_A-M(config-tunnel)#ip tcp adjust-mss auto
NXR_A-M(config-tunnel)#exit
NXR_A-M(config)#ipsec tunnel policy 1
NXR_A-M(config-ipsec-tunnel)#description NXR_B
NXR_A-M(config-ipsec-tunnel)#negotiation-mode responder
NXR_A-M(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_A-M(config-ipsec-tunnel)#set pfs group5
NXR_A-M(config-ipsec-tunnel)#set sa lifetime 28800
NXR_A-M(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_A-M(config-ipsec-tunnel)#match address IPsec_ACL
NXR_A-M(config-ipsec-tunnel)#exit
NXR_A-M(config)#ppp account username [ISP_A接続用ユーザID] password [ISP_A接続用パスワード]
NXR_A-M(config)#interface ppp 0
NXR_A-M(config-ppp)#ip address 192.0.2.1/32
NXR_A-M(config-ppp)#ip masquerade
NXR_A-M(config-ppp)#ip spi-filter
NXR_A-M(config-ppp)#ip access-group in ppp0_IN
NXR_A-M(config-ppp)#ip tcp adjust-mss auto
NXR_A-M(config-ppp)#ppp username [ISP_A接続用ユーザID]
NXR_A-M(config-ppp)#ipsec policy 1
NXR_A-M(config-ppp)#exit
NXR_A-M(config)#interface ethernet 1
NXR_A-M(config-if)#no ip address
NXR_A-M(config-if)#pppoe-client ppp 0
NXR_A-M(config-if)#exit
NXR_A-M(config)#dns
NXR_A-M(config-dns)#service enable
NXR_A-M(config-dns)#exit
NXR_A-M(config)#fast-forwarding enable
NXR_A-M(config)#exit
NXR_A-M#save config
〔 NXR_A-Bの設定 〕
nxr650(config)#hostname NXR_A-B
NXR_A-B(config)#interface ethernet 0
NXR_A-B(config-if)#ip address 192.168.10.2/24
NXR_A-B(config-if)#no ip redirects
NXR_A-B(config-if)#vrrp ip 1 address 192.168.10.254
NXR_A-B(config-if)#vrrp ip 1 priority 100
NXR_A-B(config-if)#vrrp ip 1 preempt
NXR_A-B(config-if)#vrrp ip 1 timers advertise 5
NXR_A-B(config-if)#exit
NXR_A-B(config)#ip route 192.168.20.0/24 tunnel 1 1
NXR_A-B(config)#ip route 192.168.20.0/24 null 254
NXR_A-B(config)#ip route 0.0.0.0/0 203.0.113.2
NXR_A-B(config)#ip access-list eth1_IN permit any 203.0.113.1 udp 500 500
NXR_A-B(config)#ip access-list eth1_IN permit any 203.0.113.1 50
NXR_A-B(config)#ipsec access-list IPsec_ACL ip any any
NXR_A-B(config)#ipsec local policy 1
NXR_A-B(config-ipsec-local)#address ip
NXR_A-B(config-ipsec-local)#exit
NXR_A-B(config)#ipsec isakmp policy 1
NXR_A-B(config-ipsec-isakmp)#description NXR_B
NXR_A-B(config-ipsec-isakmp)#authentication pre-share IPsecKEY2
NXR_A-B(config-ipsec-isakmp)#hash sha256
NXR_A-B(config-ipsec-isakmp)#encryption aes128
NXR_A-B(config-ipsec-isakmp)#group 5
NXR_A-B(config-ipsec-isakmp)#lifetime 86400
NXR_A-B(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_A-B(config-ipsec-isakmp)#remote address ip any
NXR_A-B(config-ipsec-isakmp)#remote identity fqdn NXRB
NXR_A-B(config-ipsec-isakmp)#keepalive 30 3 periodic clear
NXR_A-B(config-ipsec-isakmp)#local policy 1
NXR_A-B(config-ipsec-isakmp)#exit
NXR_A-B(config)#interface tunnel 1
NXR_A-B(config-tunnel)#tunnel mode ipsec ipv4
NXR_A-B(config-tunnel)#tunnel protection ipsec policy 1
NXR_A-B(config-tunnel)#ip tcp adjust-mss auto
NXR_A-B(config-tunnel)#exit
NXR_A-B(config)#ipsec tunnel policy 1
NXR_A-B(config-ipsec-tunnel)#description NXR_B
NXR_A-B(config-ipsec-tunnel)#negotiation-mode responder
NXR_A-B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_A-B(config-ipsec-tunnel)#set pfs group5
NXR_A-B(config-ipsec-tunnel)#set sa lifetime 28800
NXR_A-B(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_A-B(config-ipsec-tunnel)#match address IPsec_ACL
NXR_A-B(config-ipsec-tunnel)#exit
NXR_A-B(config)#interface ethernet 1
NXR_A-B(config-if)#ip address 203.0.113.1/30
NXR_A-B(config-if)#ip masquerade
NXR_A-B(config-if)#ip spi-filter
NXR_A-B(config-if)#ip access-group in eth1_IN
NXR_A-B(config-if)#ip tcp adjust-mss auto
NXR_A-B(config-if)#ipsec policy 1
NXR_A-B(config-if)#exit
NXR_A-B(config)#dns
NXR_A-B(config-dns)#service enable
NXR_A-B(config-dns)#address 203.0.113.253
NXR_A-B(config-dns)#address 203.0.113.254
NXR_A-B(config-dns)#exit
NXR_A-B(config)#fast-forwarding enable
NXR_A-B(config)#exit
NXR_A-B#save config
〔 NXR_Bの設定 〕
nxrg110(config)#hostname NXR_B
NXR_B(config)#interface ethernet 0
NXR_B(config-if)#ip address 192.168.20.1/24
NXR_B(config-if)#exit
NXR_B(config)#ip route 192.168.10.0/24 tunnel 1 1
NXR_B(config)#ip route 192.168.10.0/24 tunnel 2 10
NXR_B(config)#ip route 192.168.10.0/24 null 254
NXR_B(config)#ip route 0.0.0.0/0 ppp 0
NXR_B(config)#ip access-list ppp0_IN permit 192.0.2.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_IN permit 192.0.2.1 any 50
NXR_B(config)#ip access-list ppp0_IN permit 203.0.113.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_IN permit 203.0.113.1 any 50
NXR_B(config)#track 1 ipsec isakmp 1
NXR_B(config)#ipsec priority-ignore enable
NXR_B(config)#ipsec access-list IPsec_ACL ip any any
NXR_B(config)#ipsec local policy 1
NXR_B(config-ipsec-local)#address ip
NXR_B(config-ipsec-local)#self-identity fqdn NXRB
NXR_B(config-ipsec-local)#exit
NXR_B(config)#ipsec isakmp policy 1
NXR_B(config-ipsec-isakmp)#description NXR_A-M
NXR_B(config-ipsec-isakmp)#authentication pre-share IPsecKEY1
NXR_B(config-ipsec-isakmp)#hash sha256
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 86400
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_B(config-ipsec-isakmp)#remote address ip 192.0.2.1
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1
NXR_B(config-ipsec-isakmp)#exit
NXR_B(config)#interface tunnel 1
NXR_B(config-tunnel)#tunnel mode ipsec ipv4
NXR_B(config-tunnel)#tunnel protection ipsec policy 1
NXR_B(config-tunnel)#ip tcp adjust-mss auto
NXR_B(config-tunnel)#exit
NXR_B(config)#ipsec tunnel policy 1
NXR_B(config-ipsec-tunnel)#description NXR_A-M
NXR_B(config-ipsec-tunnel)#negotiation-mode auto
NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 28800
NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_B(config-ipsec-tunnel)#match address IPsec_ACL
NXR_B(config-ipsec-tunnel)#exit
NXR_B(config)#ipsec isakmp policy 2
NXR_B(config-ipsec-isakmp)#description NXR_A-B
NXR_B(config-ipsec-isakmp)#authentication pre-share IPsecKEY2
NXR_B(config-ipsec-isakmp)#hash sha256
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 86400
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_B(config-ipsec-isakmp)#remote address ip 203.0.113.1
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1
NXR_B(config-ipsec-isakmp)#netevent 1 connect
NXR_B(config-ipsec-isakmp)#exit
NXR_B(config)#interface tunnel 2
NXR_B(config-tunnel)#tunnel mode ipsec ipv4
NXR_B(config-tunnel)#tunnel protection ipsec policy 2
NXR_B(config-tunnel)#ip tcp adjust-mss auto
NXR_B(config-tunnel)#exit
NXR_B(config)#ipsec tunnel policy 2
NXR_B(config-ipsec-tunnel)#description NXR_A-B
NXR_B(config-ipsec-tunnel)#negotiation-mode auto
NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 28800
NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 2
NXR_B(config-ipsec-tunnel)#match address IPsec_ACL
NXR_B(config-ipsec-tunnel)#exit
NXR_B(config)#ppp account username [モバイル(PPP)接続用ユーザID] password [モバイル(PPP)接続用パスワード]
NXR_B(config)#interface ppp 0
NXR_B(config-ppp)#ip address negotiated
NXR_B(config-ppp)#ip masquerade
NXR_B(config-ppp)#ip spi-filter
NXR_B(config-ppp)#ip access-group in ppp0_IN
NXR_B(config-ppp)#ip tcp adjust-mss auto
NXR_B(config-ppp)#ppp username [モバイル(PPP)接続用ユーザID]
NXR_B(config-ppp)#mobile apn [APN] cid 1 pdp-type ip
NXR_B(config-ppp)#dial-up string *99***1#
NXR_B(config-ppp)#dial-up timeout 30
NXR_B(config-ppp)#ipsec policy 1
NXR_B(config-ppp)#exit
NXR_B(config)#mobile error-recovery-reset
NXR_B(config)#mobile termination-recovery reset
NXR_B(config)#mobile 1 ppp 0
NXR_B(config)#mobile 1 carrier [キャリア]
NXR_B(config)#exit
NXR_B#clear mobile 1
NXR_B#configure terminal
NXR_B(config)#dns
NXR_B(config-dns)#service enable
NXR_B(config-dns)#exit
NXR_B(config)#exit
NXR_B#save config
【 設定例解説 】
〔 NXR_A-Mの設定 〕
1. <ホスト名の設定>
ホスト名を設定します。
2. <トラック設定>
以下のルールでトラックを設定します。
- トラック番号 … 1
- 監視方法 … インタフェースリンク監視
- 対象インタフェース … ppp0
- イニシャルタイムアウト … 30秒
(☞) インタフェースリンク監視設定で監視開始直後、リンクダウン状態の場合、トラックステータスはイニット(init)になります(リンクアップ後、トラックステータスはアップに遷移します)。イニシャルタイムアウトを設定することで設定時間経過後、トラックステータスをダウンに遷移することができます。
以下のルールでトラックを設定します。
- トラック番号 … 2
- 監視方法 … インタフェースリンク監視
- 対象インタフェース … ethernet0
3. <LAN側(ethernet0)インタフェース設定>
NXR_A-M(config-if)#ip address 192.168.10.1/24
ethernet0インタフェースのIPアドレスを設定します。
ICMPリダイレクトを無効にします。
VRRPの仮想IPアドレスを設定します。
VRRPのプライオリティを設定します。
VRRPのプリエンプトを有効にします。
(☞) プリエンプトが有効の場合、プライオリティの最も高いルータが常にマスタールータとなります。
VRRPアドバタイズの送信間隔を設定します。
トラック1設定(ppp0のインタフェースリンク監視)で障害を検知した場合、VRRPのプライオリティを変更します。
4. <スタティックルート設定>
NXR_A-M(config)#ip route 192.168.20.0/24 192.168.10.2 10
192.168.20.0/24向けのルートを設定します。
デフォルトルートを設定します。
5. <IPアクセスリスト設定>
NXR_A-M(config)#ip access-list ppp0_IN permit any 192.0.2.1 50
IPアクセスリストppp0_INを以下のルールで設定します。
- 宛先IPアドレス192.0.2.1、送信元,宛先UDPポート500番を許可
- 宛先IPアドレス192.0.2.1、プロトコル番号50(ESP)を許可
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングを行うインタフェースでの登録が必要になります。
6. <IPsecアクセスリスト設定>
IPsecアクセスリストIPsec_ACLを以下のルールで設定します。
- 送信元IPアドレス … any
- 宛先IPアドレス … any
7. <IPsecローカルポリシー設定>
NXR_A-M(config-ipsec-local)#address ip
IPsecトンネルの送信元IPアドレスにipを設定します。
8. <IPsec ISAKMPポリシー設定>
NXR_A-M(config-ipsec-isakmp)#description NXR_B
ISAKMPポリシー1の説明文を設定します。
認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵を設定します。
(☞) 事前共有鍵はNXR_Bのipsec isakmp policy 1と共通の値を設定します。
認証アルゴリズムをsha256に設定します。
暗号化アルゴリズムをaes128に設定します。
Diffie-Hellman(DH)グループをgroup 5に設定します。
ISAKMP SAのライフタイムを設定します。
フェーズ1のネゴシエーションモードをアグレッシブモードに設定します。
リモートアドレスにanyを設定します。
リモートID(FQDN方式)を設定します。
(☞) NXR_Bのipsec local policy 1のセルフIDと同じIDを設定します。
IKE KeepAlive(DPD)を以下のルールで設定します。
- 監視間隔 … 30秒
- リトライ回数 … 3回
- ダウン検知後の動作 … SA削除
このIPsec ISAKMPポリシーで使用するIPsecローカルポリシーを設定します。
トラック2設定(ethernet0のインタフェースリンク監視)で障害を検知した場合、IPsecを切断します。
9. <トンネル1インタフェース設定>
NXR_A-M(config-tunnel)#tunnel mode ipsec ipv4
トンネル1インタフェースのトンネルモードをipsec ipv4に設定します。
このトンネルインタフェースで使用するIPsecトンネルポリシーを設定します。
TCP MSSの調整機能をオートに設定します。
10. <IPsec トンネルポリシー設定>
NXR_A-M(config-ipsec-tunnel)#description NXR_B
IPsecトンネルポリシー1の説明文を設定します。
ネゴシエーションモードをresponderに設定します。
暗号化アルゴリズムをaes128、認証アルゴリズムをsha256に設定します。
PFSを有効、DHグループをgroup5に設定します。
IPsec SAのライフタイムを設定します。
このIPsecトンネルポリシーで使用するIPsec ISAKMPポリシーを設定します。
IPsecアクセスリストを設定します。
11. <PPPアカウント設定>
ISP_A接続用ユーザID,パスワードを設定します。
12. <WAN側(ppp0)インタフェース設定>
NXR_A-M(config-ppp)#ip address 192.0.2.1/32
ppp0インタフェースのIPアドレスを設定します。
NXR_A-M(config-ppp)#ip spi-filter
IPマスカレード、ステートフルパケットインスペクションを有効にします。
IPアクセスグループのinフィルタにIPアクセスリストppp0_INを設定します。
TCP MSSの調整機能をオートに設定します。
ISP_A接続用ユーザIDを設定します。
このインタフェースで使用するIPsecローカルポリシーを設定します。
13. <ethernet1インタフェース設定>
NXR_A-M(config-if)#no ip address
NXR_A-M(config-if)#pppoe-client ppp 0
PPPoEクライアントにppp0を設定します。
14. <DNS設定>
NXR_A-M(config-dns)#service enable
DNSサービスを有効にします。
15. <ファストフォワーディング設定>
ファストフォワーディングを有効にします。
16. <設定の保存>
設定内容を保存します。
〔 NXR_A-Bの設定 〕
1. <ホスト名の設定>
ホスト名を設定します。
2. <LAN側(ethernet0)インタフェース設定>
NXR_A-B(config-if)#ip address 192.168.10.2/24
ethernet0インタフェースのIPアドレスを設定します。
ICMPリダイレクトを無効にします。
VRRPの仮想IPアドレスを設定します。
VRRPのプライオリティを設定します。
VRRPのプリエンプトを有効にします。
VRRPアドバタイズの送信間隔を設定します。
3. <スタティックルート設定>
NXR_A-B(config)#ip route 192.168.20.0/24 null 254
192.168.20.0/24向けのルートを設定します。
デフォルトルートを設定します。
4. <IPアクセスリスト設定>
NXR_A-B(config)#ip access-list eth1_IN permit any 203.0.113.1 50
IPアクセスリストeth1_INを以下のルールで設定します。
- 宛先IPアドレス203.0.113.1、送信元,宛先UDPポート500番を許可
- 宛先IPアドレス203.0.113.1、プロトコル番号50(ESP)を許可
5. <IPsecアクセスリスト設定>
IPsecアクセスリストIPsec_ACLを以下のルールで設定します。
- 送信元IPアドレス … any
- 宛先IPアドレス … any
6. <IPsecローカルポリシー設定>
NXR_A-B(config-ipsec-local)#address ip
IPsecトンネルの送信元IPアドレスにipを設定します。
7. <IPsec ISAKMPポリシー設定>
NXR_A-B(config-ipsec-isakmp)#description NXR_B
ISAKMPポリシー1の説明文を設定します。
認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵を設定します。
(☞) 事前共有鍵はNXR_Bのipsec isakmp policy 2と共通の値を設定します。
認証アルゴリズムをsha256に設定します。
暗号化アルゴリズムをaes128に設定します。
Diffie-Hellman(DH)グループをgroup 5に設定します。
ISAKMP SAのライフタイムを設定します。
フェーズ1のネゴシエーションモードをアグレッシブモードに設定します。
リモートアドレスにanyを設定します。
リモートID(FQDN方式)を設定します。
(☞) NXR_Bのipsec local policy 1のセルフIDと同じIDを設定します。
IKE KeepAlive(DPD)を以下のルールで設定します。
- 監視間隔 … 30秒
- リトライ回数 … 3回
- ダウン検知後の動作 … SA削除
このIPsec ISAKMPポリシーで使用するIPsecローカルポリシーを設定します。
8. <トンネル1インタフェース設定>
NXR_A-B(config-tunnel)#tunnel mode ipsec ipv4
トンネル1インタフェースのトンネルモードをipsec ipv4に設定します。
このトンネルインタフェースで使用するIPsecトンネルポリシーを設定します。
TCP MSSの調整機能をオートに設定します。
9. <IPsec トンネルポリシー設定>
NXR_A-B(config-ipsec-tunnel)#description NXR_B
IPsecトンネルポリシー1の説明文を設定します。
ネゴシエーションモードをresponderに設定します。
暗号化アルゴリズムをaes128、認証アルゴリズムをsha256に設定します。
PFSを有効、DHグループをgroup5に設定します。
IPsec SAのライフタイムを設定します。
このIPsecトンネルポリシーで使用するIPsec ISAKMPポリシーを設定します。
IPsecアクセスリストを設定します。
10. <WAN側(ethernet1)インタフェース設定>
NXR_A-B(config-if)#ip address 203.0.113.1/30
ethernet1インタフェースのIPアドレスを設定します。
NXR_A-B(config-if)#ip spi-filter
IPマスカレード、ステートフルパケットインスペクションを有効にします。
IPアクセスグループのinフィルタにIPアクセスリストeth1_INを設定します。
TCP MSSの調整機能をオートに設定します。
このインタフェースで使用するIPsecローカルポリシーを設定します。
11. <DNS設定>
NXR_A-B(config-dns)#service enable
DNSサービスを有効にします。
NXR_A-B(config-dns)#address 203.0.113.254
DNSサーバアドレスを設定します。
12. <ファストフォワーディング設定>
ファストフォワーディングを有効にします。
13. <設定の保存>
設定内容を保存します。
〔 NXR_Bの設定 〕
1. <ホスト名の設定>
ホスト名を設定します。
2. <LAN側(ethernet0)インタフェース設定>
NXR_B(config-if)#ip address 192.168.20.1/24
ethernet0インタフェースのIPアドレスを設定します。
3. <スタティックルート設定>
NXR_B(config)#ip route 192.168.10.0/24 tunnel 2 10
NXR_B(config)#ip route 192.168.10.0/24 null 254
192.168.10.0/24向けのルートを設定します。
(☞) ディスタンス値により192.168.10.0/24向けのルートの出力インタフェースの優先度はtunnel1→tunnel2→nullの順になります。
デフォルトルートを設定します。
4. <IPアクセスリスト設定>
NXR_B(config)#ip access-list ppp0_IN permit 192.0.2.1 any 50
NXR_B(config)#ip access-list ppp0_IN permit 203.0.113.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_IN permit 203.0.113.1 any 50
IPアクセスリストppp0_INを以下のルールで設定します。
- 送信元IPアドレス192.0.2.1、送信元,宛先UDPポート500番を許可
- 送信元IPアドレス192.0.2.1、プロトコル番号50(ESP)を許可
- 送信元IPアドレス203.0.113.1、送信元,宛先UDPポート500番を許可
- 送信元IPアドレス203.0.113.1、プロトコル番号50(ESP)を許可
5. <トラック設定>
以下のルールでトラックを設定します。
- トラック番号 … 1
- 監視方法 … IKE SA監視
- 対象ipsec isakmp policy … 1
6. <IPsec priority-ignore設定>
ipsec priority-ignoreを有効にします。
7. <IPsecアクセスリスト設定>
IPsecアクセスリストIPsec_ACLを以下のルールで設定します。
- 送信元IPアドレス … any
- 宛先IPアドレス … any
8. <IPsecローカルポリシー設定>
NXR_B(config-ipsec-local)#address ip
IPsecトンネルの送信元IPアドレスにipを設定します。
セルフID(FQDN方式)を設定します。
(☞) NXR_A-M,NXR_A-Bのipsec isakmp policy 1のリモートIDと同じIDを設定します。
9. <IPsec ISAKMPポリシー1設定>
NXR_B(config-ipsec-isakmp)#description NXR_A-M
ISAKMPポリシー1の説明文を設定します。
認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵を設定します。
(☞) 事前共有鍵はNXR_A-Mのipsec isakmp policy 1と共通の値を設定します。
認証アルゴリズムをsha256に設定します。
暗号化アルゴリズムをaes128に設定します。
DHグループをgroup 5に設定します。
ISAKMP SAのライフタイムを設定します。
フェーズ1のネゴシエーションモードをアグレッシブモードに設定します。
リモートアドレスにNXR_A-MのWAN側IPアドレスを設定します。
IKE KeepAlive(DPD)を以下のルールで設定します。
- 監視間隔 … 30秒
- リトライ回数 … 3回
- ダウン検知後の動作 … IKEの再ネゴシエーション
このIPsec ISAKMPポリシーで使用するIPsecローカルポリシーを設定します。
10. <トンネル1インタフェース設定>
NXR_B(config-tunnel)#tunnel mode ipsec ipv4
トンネル1インタフェースのトンネルモードをipsec ipv4に設定します。
このトンネルインタフェースで使用するIPsecトンネルポリシーを設定します。
TCP MSSの調整機能をオートに設定します。
11. <IPsec トンネルポリシー1設定>
NXR_B(config-ipsec-tunnel)#description NXR_A-M
IPsecトンネルポリシー1の説明文を設定します。
ネゴシエーションモードをautoに設定します。
暗号化アルゴリズムをaes128、認証アルゴリズムをsha256に設定します。
PFSを有効、DHグループをgroup5に設定します。
IPsec SAのライフタイムを設定します。
このIPsecトンネルポリシーで使用するIPsec ISAKMPポリシーを設定します。
IPsecアクセスリストを設定します。
12. <IPsec ISAKMPポリシー2設定>
NXR_B(config-ipsec-isakmp)#description NXR_A-B
ISAKMPポリシー2の説明文を設定します。
認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵を設定します。
(☞) 事前共有鍵はNXR_A-Bのipsec isakmp policy 1と共通の値を設定します。
認証アルゴリズムをsha256に設定します。
暗号化アルゴリズムをaes128に設定します。
DHグループをgroup 5に設定します。
ISAKMP SAのライフタイムを設定します。
フェーズ1のネゴシエーションモードをアグレッシブモードに設定します。
リモートアドレスにNXR_A-BのWAN側IPアドレスを設定します。
IKE KeepAlive(DPD)を以下のルールで設定します。
- 監視間隔 … 30秒
- リトライ回数 … 3回
- ダウン検知後の動作 … IKEの再ネゴシエーション
このIPsec ISAKMPポリシーで使用するIPsecローカルポリシーを設定します。
トラック設定(IKE監視)で障害を検知した場合、IPsec接続を開始します。
13. <トンネル2インタフェース設定>
NXR_B(config-tunnel)#tunnel mode ipsec ipv4
トンネル2インタフェースのトンネルモードをipsec ipv4に設定します。
このトンネルインタフェースで使用するIPsecトンネルポリシーを設定します。
TCP MSSの調整機能をオートに設定します。
14. <IPsec トンネルポリシー2設定>
NXR_B(config-ipsec-tunnel)#description NXR_A-B
IPsecトンネルポリシー2の説明文を設定します。
ネゴシエーションモードをautoに設定します。
暗号化アルゴリズムをaes128、認証アルゴリズムをsha256に設定します。
PFSを有効、DHグループをgroup5に設定します。
IPsec SAのライフタイムを設定します。
このIPsecトンネルポリシーで使用するIPsec ISAKMPポリシーを設定します。
IPsecアクセスリストを設定します。
15. <PPPアカウント設定>
モバイル(PPP)接続用ユーザID,パスワードを設定します。
16. <WAN側(ppp0)インタフェース設定>
NXR_B(config-ppp)#ip address negotiated
ppp0インタフェースのIPアドレスにnegotiatedを設定します。
NXR_B(config-ppp)#ip spi-filter
IPマスカレード、ステートフルパケットインスペクションを有効にします。
IPアクセスグループのinフィルタにIPアクセスリストppp0_INを設定します。
TCP MSSの調整機能をオートに設定します。
モバイル(PPP)接続用ユーザIDを設定します。
APN,CID,PDPタイプを設定します。
発信用の電話番号を設定します。
(☞) 電話番号の#の前の数字はCIDを表しています。
ダイアルタイムアウトを設定します。
このインタフェースで使用するIPsecローカルポリシーを設定します。
17. <モバイルエラーリカバリー設定>
内蔵通信モジュールとの通信に重大な問題が発生する可能性が高いと判断した場合、内蔵通信モジュールのリセットを行うように設定します。
18. <モバイルターミネーションリカバリー設定>
PPP接続時に網側から切断された場合、内蔵通信モジュールのリセットを行うように設定します。
19. <モバイル割り当て設定>
mobile1として認識されている内蔵通信モジュールとppp0インタフェースの関連づけを行います。
内蔵通信モジュールをPPPインタフェースで使用する場合は、mobileコマンドによるPPPインタフェースへの関連付けが必要になります。
(☞) mobile1の情報はshow mobile 1コマンドで確認することができます。
20. <モバイルキャリア設定>
mobile1のキャリアを設定します。
(☞) キャリア設定は「clear mobile 1」コマンドによるモバイルリセットを行うことで反映されます。
21. <DNS設定>
NXR_B(config-dns)#service enable
DNSサービスを有効にします。
22. <設定の保存>
設定内容を保存します。
【 端末の設定例 】
| 192.168.10.0/24 | 192.168.20.0/24 | |
| IPアドレス | 192.168.10.100 | 192.168.20.100 |
| サブネットマスク | 255.255.255.0 | |
| デフォルトゲートウェイ | 192.168.10.254 | 192.168.20.1 |
| DNSサーバアドレス | 192.168.10.1 192.168.10.2 |
192.168.20.1 |
【 付録 】
目次
更新情報
→ 一覧へカテゴリ
タグ
- CRG
- DDNS
- DHCP
- DNAT
- DNSインターセプト
- Ethernet
- IIJモバイル
- IKE Modeconfig
- IKEv2 Configuration Payload
- IPinIP
- IPoE
- IPv6
- KDDI
- L2TPv3
- MAP-E
- NGN
- NTTドコモ
- PBR
- Policy Based IPsec
- PPP
- PPPoE
- QoS
- RADIUS連携
- RAシリーズ
- Route Based IPsec
- SMS
- SNAT
- SoftBank
- UPnP
- URL転送
- VLAN
- VRRP
- Web認証
- WiMAX
- コンフィグロールバック
- ネットイベント
- フィルタ
- ブリッジ
- モニタログ
- ワイモバイル
- 仮想スイッチ
- 冗長化
- 無線LAN