FutureNet

NXR,WXRシリーズ

IPsec編

5. 冗長化設定

5-2. Route Based IPsec冗長化設定(ネットイベントの利用)

この設定例ではセンタ側で回線と機器の冗長化を行います。ルータNXR_BはルータNXR_A1とNXR_A2とIPsecトンネルを確立します。なおNXR_A2とのIPsecトンネルはルータNXR_A1の障害発生時ネットイベント機能を利用して確立します。

 

【 構成図 】

<正常時>

<ルータNXR_A1 ppp0インタフェースリンクダウン時>

<ルータNXR_A1 ethernet0インタフェースリンクダウン時>

  • ルータNXR_A1のppp0インタフェースリンクダウン時、ネットイベント機能でVRRPの優先度を変更します。またWAN側での経路障害などIPsec SA未確立時にLAN_B宛のパケットをルータNXR_A2に転送するためのルートを設定します。その際ルートのディスタンス値はIPsecルートよりも大きい値を設定します。
  • ルータNXR_A1のethernet0インタフェースリンクダウン時、ネットイベント機能でIPsec ISAKMPポリシーの切断を行います。
  • ルータNXR_Bでは正常時ルータNXR_A1とのみIPsec SAを確立します。そしてネットイベント機能でルータNXR_A1のISAKMP SAを監視し、SAが削除された(または削除した)場合ルータNXR_A2へのIPsec接続を開始します。またこの設定例では経路の優先度を明確にするため、ディスタンス値による重み付けも設定します。
  • この設定例ではルータNXR_Bでipsec priority-ignore機能を使用します。この機能に対応していないファームウェアをご利用頂いている場合は、同じフェーズ2のIDを持つIPsec SAを同時に複数個確立することができません。そのため設定例のように同一のIPsecアクセスリストを複数のIPsecトンネルポリシーに適用した場合、IPsec SAを複数同時に確立することができませんので、各IPsecトンネルポリシー毎に異なるルールのIPsecアクセスリストを設定する必要があります。
  • ルータNXR_A2,NXR_BではIPsecルート無効時、カプセル化対象のパケットをルータから出力しないようにするためゲートウェイをnullインタフェースとしたルートを設定します。

 

【 設定データ 】

〔NXR_A1の設定〕

設定項目 設定内容
ホスト名 NXR_A1
LAN側インタフェース ethernet0のIPアドレス 192.168.10.1/24
IPリダイレクト 無効
VRRP グループ 1
IPアドレス 192.168.10.254
プライオリティ 254
プリエンプト 有効
送信間隔 5秒
ネットイベント No. 1
プライオリティ 50
WAN側インタフェース PPPoEクライアント(ethernet1) ppp0
ppp0のIPアドレス 10.10.10.1/32
IPマスカレード 有効
IPアクセスグループ in ppp0_in
SPIフィルタ 有効
TCP MSS自動調整 オート
ISP接続用ユーザID test1@example.jp
ISP接続用パスワード test1pass
IPsecローカルポリシー 1
スタティックルート No.1 宛先IPアドレス 192.168.20.0/24
ゲートウェイ(インタフェース) tunnel1
ディスタンス 1
No.2 宛先IPアドレス 192.168.20.0/24
ゲートウェイ(IPアドレス) 192.168.10.2
ディスタンス 10
No.3 宛先IPアドレス 0.0.0.0/0
ゲートウェイ(インタフェース) ppp0
IPフィルタ ルール名 ppp0_in
ppp0_in No.1 動作 許可
送信元IPアドレス any
宛先IPアドレス 10.10.10.1
プロトコル UDP
送信元ポート 500
宛先ポート 500
No.2 動作 許可
送信元IPアドレス any
宛先IPアドレス 10.10.10.1
プロトコル 50(ESP)
IPsec IPsecアクセスリスト リスト名 ipsec_acl
送信元IPアドレス any
宛先IPアドレス any
IPsecローカルポリシー1 address ip
IPsec ISAKMPポリシー1 名前 NXR_B
認証方式 pre-share
認証鍵 ipseckey1
認証アルゴリズム sha256
暗号化アルゴリズム aes128
DHグループ 5
ライフタイム 10800秒
ISAKMPモード アグレッシブモード
リモートアドレス any
リモートID(FQDN) nxrb
DPD 再送間隔 30秒
リトライ回数 3回
動作 clear
 ローカルポリシー 1
ネットイベント No. 2
動作 disconnect
IPsecトンネルポリシー1 名前 NXR_B
ネゴシエーションモード レスポンダ
認証アルゴリズム sha256
暗号化アルゴリズム aes128
PFS 有効(グループ5)
ライフタイム 3600秒
ISAKMPポリシー 1
IPsecアクセスリスト ipsec_acl
トンネル1インタフェース トンネルモード IPsec(IPv4)
トンネルプロテクション ipsec policy 1
TCP MSS自動調整 オート
トラック No.1 インタフェース ppp0
イニシャルタイムアウト 30秒
No.2 インタフェース ethernet0
DNS サービス 有効
FastFowarding 有効

〔NXR_A2の設定〕

設定項目 設定内容
ホスト名 NXR_A2
LAN側インタフェース ethernet0のIPアドレス 192.168.10.2/24
IPリダイレクト 無効
VRRP グループ 1
IPアドレス 192.168.10.254
プライオリティ 100
プリエンプト 有効
送信間隔 5秒
WAN側インタフェース ethernet1のIPアドレス 10.10.20.1/30
IPマスカレード 有効
IPアクセスグループ in eth1_in
SPIフィルタ 有効
IPsecローカルポリシー 1
スタティックルート No.1 宛先IPアドレス 192.168.20.0/24
ゲートウェイ(インタフェース) tunnel1
ディスタンス 1
No.2 宛先IPアドレス 192.168.20.0/24
ゲートウェイ(インタフェース) null
ディスタンス 254
No.3 宛先IPアドレス 0.0.0.0/0
ゲートウェイ(IPアドレス) 10.10.20.2
IPフィルタ ルール名 eth1_in
eth1_in No.1 動作 許可
送信元IPアドレス any
宛先IPアドレス 10.10.20.1
プロトコル UDP
送信元ポート 500
宛先ポート 500
No.2 動作 許可
送信元IPアドレス any
宛先IPアドレス 10.10.20.1
プロトコル 50(ESP)
IPsec IPsecアクセスリスト リスト名 ipsec_acl
送信元IPアドレス any
宛先IPアドレス any
IPsecローカルポリシー1 address ip
IPsec ISAKMPポリシー1 名前 NXR_B
認証方式 pre-share
認証鍵 ipseckey2
認証アルゴリズム sha256
暗号化アルゴリズム aes128
DHグループ 5
ライフタイム 10800秒
ISAKMPモード アグレッシブモード
リモートアドレス any
リモートID(FQDN) nxrb
DPD 再送間隔 30秒
リトライ回数 3回
動作 clear
 ローカルポリシー 1
IPsecトンネルポリシー1 名前 NXR_B
ネゴシエーションモード レスポンダ
認証アルゴリズム sha256
暗号化アルゴリズム aes128
PFS 有効(グループ5)
ライフタイム 3600秒
ISAKMPポリシー 1
IPsecアクセスリスト ipsec_acl
トンネル1インタフェース トンネルモード IPsec(IPv4)
トンネルプロテクション ipsec policy 1
TCP MSS自動調整 オート
DNS サービス 有効
DNSサーバ プライマリ 10.10.20.2
FastFowarding 有効

〔NXR_Bの設定〕

設定項目 設定内容
ホスト名 NXR_B
LAN側インタフェース ethernet0のIPアドレス 192.168.20.1/24
WAN側インタフェース mobile1 ppp0
ppp0のIPアドレス 動的IPアドレス
IPマスカレード 有効
IPアクセスグループ in ppp0_in
SPIフィルタ 有効
TCP MSS自動調整 オート
PPP接続用ユーザID ユーザID
PPP接続用パスワード パスワード
APN APN
CID CID
PDPタイプ PDPタイプ(IPまたはPPP)
発信用電話番号 *99***[CID]#
ダイアルタイムアウト 30秒
IPsecローカルポリシー 1
モバイルエラーリカバリー リセット
モバイルターミネーションリカバリー リセット
スタティックルート No.1 宛先IPアドレス 192.168.10.0/24
ゲートウェイ(インタフェース) tunnel1
ディスタンス 1
No.2 宛先IPアドレス 192.168.10.0/24
ゲートウェイ(インタフェース) tunnel2
ディスタンス 10
No.3 宛先IPアドレス 192.168.10.0/24
ゲートウェイ(インタフェース) null
ディスタンス 254
No.4 宛先IPアドレス 0.0.0.0/0
ゲートウェイ(インタフェース) ppp0
IPフィルタ ルール名 ppp0_in
ppp0_in No.1 動作 許可
送信元IPアドレス 10.10.10.1
宛先IPアドレス any
プロトコル UDP
送信元ポート 500
宛先ポート 500
No.2 動作 許可
送信元IPアドレス 10.10.10.1
宛先IPアドレス any
プロトコル 50(ESP)
No.3 動作 許可
送信元IPアドレス 10.10.20.1
宛先IPアドレス any
プロトコル UDP
送信元ポート 500
宛先ポート 500
No.4 動作 許可
送信元IPアドレス 10.10.20.1
宛先IPアドレス any
プロトコル 50(ESP)
IPsec IPsecアクセスリスト リスト名 ipsec_acl
送信元IPアドレス any
宛先IPアドレス any
IPsec priority-ignore 有効
IPsecローカルポリシー1 address ip
セルフID(FQDN) nxrb
IPsec ISAKMPポリシー1 名前 NXR_A1
認証方式 pre-share
認証鍵 ipseckey1
認証アルゴリズム sha256
暗号化アルゴリズム aes128
DHグループ 5
ライフタイム 10800秒
ISAKMPモード アグレッシブモード
リモートアドレス 10.10.10.1
DPD 再送間隔 30秒
リトライ回数 3回
動作 restart
ローカルポリシー 1
IPsecトンネルポリシー1 名前 NXR_A1
ネゴシエーションモード オート
認証アルゴリズム sha256
暗号化アルゴリズム aes128
PFS 有効(グループ5)
ライフタイム 3600秒
ISAKMPポリシー 1
IPsecアクセスリスト ipsec_acl
IPsec ISAKMPポリシー2 名前 NXR_A2
認証方式 pre-share
認証鍵 ipseckey2
認証アルゴリズム sha256
暗号化アルゴリズム aes128
DHグループ 5
ライフタイム 10800秒
ISAKMPモード アグレッシブモード
リモートアドレス 10.10.20.1
DPD 再送間隔 30秒
リトライ回数 3回
動作 restart
ローカルポリシー 1
ネットイベント No. 1
動作 connect
IPsecトンネルポリシー2 名前 NXR_A2
ネゴシエーションモード オート
認証アルゴリズム sha256
暗号化アルゴリズム aes128
PFS 有効(グループ5)
ライフタイム 3600秒
ISAKMPポリシー 2
IPsecアクセスリスト ipsec_acl
トンネル1インタフェース トンネルモード IPsec(IPv4)
トンネルプロテクション ipsec policy 1
TCP MSS自動調整 オート
トンネル2インタフェース トンネルモード IPsec(IPv4)
トンネルプロテクション ipsec policy 2
TCP MSS自動調整 オート
トラック No.1 ISAKMPポリシー 1
DNS サービス 有効

 

【 設定例 】

〔NXR_A1の設定〕

nxr230#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
nxr230(config)#hostname NXR_A1
NXR_A1(config)#track 1 interface ppp 0 initial-timeout 30
NXR_A1(config)#track 2 interface ethernet 0
NXR_A1(config)#interface ethernet 0
NXR_A1(config-if)#ip address 192.168.10.1/24
NXR_A1(config-if)#no ip redirects
NXR_A1(config-if)#vrrp ip 1 address 192.168.10.254
NXR_A1(config-if)#vrrp ip 1 priority 254
NXR_A1(config-if)#vrrp ip 1 preempt
NXR_A1(config-if)#vrrp ip 1 timers advertise 5
NXR_A1(config-if)#vrrp ip 1 netevent 1 priority 50
NXR_A1(config-if)#exit
NXR_A1(config)#ip route 192.168.20.0/24 tunnel 1 1
NXR_A1(config)#ip route 192.168.20.0/24 192.168.10.2 10
NXR_A1(config)#ip route 0.0.0.0/0 ppp 0
NXR_A1(config)#ip access-list ppp0_in permit any 10.10.10.1 udp 500 500
NXR_A1(config)#ip access-list ppp0_in permit any 10.10.10.1 50
NXR_A1(config)#ipsec access-list ipsec_acl ip any any
NXR_A1(config)#ipsec local policy 1
NXR_A1(config-ipsec-local)#address ip
NXR_A1(config-ipsec-local)#exit
NXR_A1(config)#ipsec isakmp policy 1
NXR_A1(config-ipsec-isakmp)#description NXR_B
NXR_A1(config-ipsec-isakmp)#authentication pre-share ipseckey1
NXR_A1(config-ipsec-isakmp)#hash sha256
NXR_A1(config-ipsec-isakmp)#encryption aes128
NXR_A1(config-ipsec-isakmp)#group 5
NXR_A1(config-ipsec-isakmp)#lifetime 10800
NXR_A1(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_A1(config-ipsec-isakmp)#remote address ip any
NXR_A1(config-ipsec-isakmp)#remote identity fqdn nxrb
NXR_A1(config-ipsec-isakmp)#keepalive 30 3 periodic clear
NXR_A1(config-ipsec-isakmp)#local policy 1
NXR_A1(config-ipsec-isakmp)#netevent 2 disconnect
NXR_A1(config-ipsec-isakmp)#exit
NXR_A1(config)#ipsec tunnel policy 1
NXR_A1(config-ipsec-tunnel)#description NXR_B
NXR_A1(config-ipsec-tunnel)#negotiation-mode responder
NXR_A1(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_A1(config-ipsec-tunnel)#set pfs group5
NXR_A1(config-ipsec-tunnel)#set sa lifetime 3600
NXR_A1(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_A1(config-ipsec-tunnel)#match address ipsec_acl
NXR_A1(config-ipsec-tunnel)#exit
NXR_A1(config)#interface tunnel 1
NXR_A1(config-tunnel)#tunnel mode ipsec ipv4
NXR_A1(config-tunnel)#tunnel protection ipsec policy 1
NXR_A1(config-tunnel)#ip tcp adjust-mss auto
NXR_A1(config-tunnel)#exit
NXR_A1(config)#ppp account username test1@example.jp password test1pass
NXR_A1(config)#interface ppp 0
NXR_A1(config-ppp)#ip address 10.10.10.1/32
NXR_A1(config-ppp)#ip masquerade
NXR_A1(config-ppp)#ip access-group in ppp0_in
NXR_A1(config-ppp)#ip spi-filter
NXR_A1(config-ppp)#ip tcp adjust-mss auto
NXR_A1(config-ppp)#ppp username test1@example.jp
NXR_A1(config-ppp)#ipsec policy 1
NXR_A1(config-ppp)#exit
NXR_A1(config)#interface ethernet 1
NXR_A1(config-if)#no ip address
NXR_A1(config-if)#pppoe-client ppp 0
NXR_A1(config-if)#exit
NXR_A1(config)#dns
NXR_A1(config-dns)#service enable
NXR_A1(config-dns)#exit
NXR_A1(config)#fast-forwarding enable
NXR_A1(config)#exit
NXR_A1#save config

〔NXR_A2の設定〕

nxr230#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
nxr230(config)#hostname NXR_A2
NXR_A2(config)#interface ethernet 0
NXR_A2(config-if)#ip address 192.168.10.2/24
NXR_A2(config-if)#no ip redirects
NXR_A2(config-if)#vrrp ip 1 address 192.168.10.254
NXR_A2(config-if)#vrrp ip 1 priority 100
NXR_A2(config-if)#vrrp ip 1 preempt
NXR_A2(config-if)#vrrp ip 1 timers advertise 5
NXR_A2(config-if)#exit
NXR_A2(config)#ip route 192.168.20.0/24 tunnel 1 1
NXR_A2(config)#ip route 192.168.20.0/24 null 254
NXR_A2(config)#ip route 0.0.0.0/0 10.10.20.2
NXR_A2(config)#ip access-list eth1_in permit any 10.10.20.1 udp 500 500
NXR_A2(config)#ip access-list eth1_in permit any 10.10.20.1 50
NXR_A2(config)#ipsec access-list ipsec_acl ip any any
NXR_A2(config)#ipsec local policy 1
NXR_A2(config-ipsec-local)#address ip
NXR_A2(config-ipsec-local)#exit
NXR_A2(config)#ipsec isakmp policy 1
NXR_A2(config-ipsec-isakmp)#description NXR_B
NXR_A2(config-ipsec-isakmp)#authentication pre-share ipseckey2
NXR_A2(config-ipsec-isakmp)#hash sha256
NXR_A2(config-ipsec-isakmp)#encryption aes128
NXR_A2(config-ipsec-isakmp)#group 5
NXR_A2(config-ipsec-isakmp)#lifetime 10800
NXR_A2(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_A2(config-ipsec-isakmp)#remote address ip any
NXR_A2(config-ipsec-isakmp)#remote identity fqdn nxrb
NXR_A2(config-ipsec-isakmp)#keepalive 30 3 periodic clear
NXR_A2(config-ipsec-isakmp)#local policy 1
NXR_A2(config-ipsec-isakmp)#exit
NXR_A2(config)#ipsec tunnel policy 1
NXR_A2(config-ipsec-tunnel)#description NXR_B
NXR_A2(config-ipsec-tunnel)#negotiation-mode responder
NXR_A2(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_A2(config-ipsec-tunnel)#set pfs group5
NXR_A2(config-ipsec-tunnel)#set sa lifetime 3600
NXR_A2(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_A2(config-ipsec-tunnel)#match address ipsec_acl
NXR_A2(config-ipsec-tunnel)#exit
NXR_A2(config)#interface tunnel 1
NXR_A2(config-tunnel)#tunnel mode ipsec ipv4
NXR_A2(config-tunnel)#tunnel protection ipsec policy 1
NXR_A2(config-tunnel)#ip tcp adjust-mss auto
NXR_A2(config-tunnel)#exit
NXR_A2(config)#interface ethernet 1
NXR_A2(config-if)#ip address 10.10.20.1/30
NXR_A2(config-if)#ip masquerade
NXR_A2(config-if)#ip access-group in eth1_in
NXR_A2(config-if)#ip spi-filter
NXR_A2(config-if)#ipsec policy 1
NXR_A2(config-if)#exit
NXR_A2(config)#dns
NXR_A2(config-dns)#service enable
NXR_A2(config-dns)#address 10.10.20.2
NXR_A2(config-dns)#exit
NXR_A2(config)#fast-forwarding enable
NXR_A2(config)#exit
NXR_A2#save config

〔NXR_Bの設定〕

nxrg100#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
nxrg100(config)#hostname NXR_B
NXR_B(config)#track 1 ipsec isakmp 1
NXR_B(config)#interface ethernet 0
NXR_B(config-if)#ip address 192.168.20.1/24
NXR_B(config-if)#exit
NXR_B(config)#ip route 192.168.10.0/24 tunnel 1 1
NXR_B(config)#ip route 192.168.10.0/24 tunnel 2 10
NXR_B(config)#ip route 192.168.10.0/24 null 254
NXR_B(config)#ip route 0.0.0.0/0 ppp 0
NXR_B(config)#ip access-list ppp0_in permit 10.10.10.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_in permit 10.10.10.1 any 50
NXR_B(config)#ip access-list ppp0_in permit 10.10.20.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_in permit 10.10.20.1 any 50
NXR_B(config)#ipsec access-list ipsec_acl ip any any
NXR_B(config)#ipsec priority-ignore enable
% restart ipsec service to take affect.
NXR_B(config)#ipsec local policy 1
NXR_B(config-ipsec-local)#address ip
NXR_B(config-ipsec-local)#self-identity fqdn nxrb
NXR_B(config-ipsec-local)#exit
NXR_B(config)#ipsec isakmp policy 1
NXR_B(config-ipsec-isakmp)#description NXR_A1
NXR_B(config-ipsec-isakmp)#authentication pre-share ipseckey1
NXR_B(config-ipsec-isakmp)#hash sha256
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 10800
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_B(config-ipsec-isakmp)#remote address ip 10.10.10.1
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1
NXR_B(config-ipsec-isakmp)#exit
NXR_B(config)#ipsec tunnel policy 1
NXR_B(config-ipsec-tunnel)#description NXR_A1
NXR_B(config-ipsec-tunnel)#negotiation-mode auto
NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 3600
NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_B(config-ipsec-tunnel)#match address ipsec_acl
NXR_B(config-ipsec-tunnel)#exit
NXR_B(config)#interface tunnel 1
NXR_B(config-tunnel)#tunnel mode ipsec ipv4
NXR_B(config-tunnel)#tunnel protection ipsec policy 1
NXR_B(config-tunnel)#ip tcp adjust-mss auto
NXR_B(config-tunnel)#exit
NXR_B(config)#ipsec isakmp policy 2
NXR_B(config-ipsec-isakmp)#description NXR_A2
NXR_B(config-ipsec-isakmp)#authentication pre-share ipseckey2
NXR_B(config-ipsec-isakmp)#hash sha256
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 10800
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_B(config-ipsec-isakmp)#remote address ip 10.10.20.1
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1
NXR_B(config-ipsec-isakmp)#netevent 1 connect
NXR_B(config-ipsec-isakmp)#exit
NXR_B(config)#ipsec tunnel policy 2
NXR_B(config-ipsec-tunnel)#description NXR_A2
NXR_B(config-ipsec-tunnel)#negotiation-mode auto
NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 3600
NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 2
NXR_B(config-ipsec-tunnel)#match address ipsec_acl
NXR_B(config-ipsec-tunnel)#exit
NXR_B(config)#interface tunnel 2
NXR_B(config-tunnel)#tunnel mode ipsec ipv4
NXR_B(config-tunnel)#tunnel protection ipsec policy 2
NXR_B(config-tunnel)#ip tcp adjust-mss auto
NXR_B(config-tunnel)#exit
NXR_B(config)#ppp account username [ユーザID] password [パスワード]
NXR_B(config)#interface ppp 0
NXR_B(config-ppp)#ip address negotiated
NXR_B(config-ppp)#ip masquerade
NXR_B(config-ppp)#ip access-group in ppp0_in
NXR_B(config-ppp)#ip spi-filter
NXR_B(config-ppp)#ip tcp adjust-mss auto
NXR_B(config-ppp)#ppp username [ユーザID]
NXR_B(config-ppp)#mobile apn [APN] cid [CID] pdp-type [PDPタイプ]
NXR_B(config-ppp)#dial-up string *99***[CID]#
NXR_B(config-ppp)#dial-up timeout 30
NXR_B(config-ppp)#ipsec policy 1
NXR_B(config-ppp)#exit
NXR_B(config)#mobile error-recovery-reset
NXR_B(config)#mobile termination-recovery reset
NXR_B(config)#mobile 1 ppp 0
NXR_B(config)#dns
NXR_B(config-dns)#service enable
NXR_B(config-dns)#exit
NXR_B(config)#exit
NXR_B#save config

 

【 設定例解説 】

〔NXR_A1の設定〕

1. <ホスト名の設定>
nxr230(config)#hostname NXR_A1

ホスト名を設定します。

 

2. <トラック設定(リンク監視)>
NXR_A1(config)#track 1 interface ppp 0 initial-timeout 30

ppp0インタフェースのリンク監視設定をトラックNo.1に登録します。
(☞) インタフェースのリンク監視設定時、初期のトラック状態はイニット(init)でppp0インタフェースのリンクアップ後、トラックはアップ状態になります。またppp0インタフェースがリンクダウン状態の場合、すぐにトラックはダウン状態にはなりません。そのため設定したタイムアウト時間経過後、トラックをダウン状態にするためにイニシャルタイムアウトを設定します。

NXR_A1(config)#track 2 interface ethernet 0

ethernet0インタフェースのリンク監視設定をトラックNo.2に登録します。

 

3. <LAN側(ethernet0)インタフェース設定>
NXR_A1(config)#interface ethernet 0
NXR_A1(config-if)#ip address 192.168.10.1/24
NXR_A1(config-if)#no ip redirects

ethernet0インタフェースのIPアドレスを設定します。またICMPリダイレクト機能を無効に設定します。

NXR_A1(config-if)#vrrp ip 1 address 192.168.10.254
NXR_A1(config-if)#vrrp ip 1 priority 254
NXR_A1(config-if)#vrrp ip 1 preempt
NXR_A1(config-if)#vrrp ip 1 timers advertise 5

VRRPの仮想IPアドレス、プライオリティを設定します。またプリエンプトを有効にします。
そしてアドバタイズの送信間隔を設定します。
(☞) トラフィックが多いネットワークの場合、VRRPアドバタイズの送信間隔を大きい値に設定することで動作が安定する場合があります。

NXR_A1(config-if)#vrrp ip 1 netevent 1 priority 50

ネットイベントを設定します。
ここではtrack 1コマンドで指定したppp0インタフェースのリンク監視で障害(リンクダウン)を検知した場合、VRRPのプライオリティを50に変更します。

 

4. <スタティックルート設定>
NXR_A1(config)#ip route 192.168.20.0/24 tunnel 1 1

LAN_B向けのルートを設定します。このルートはIPsec SA確立時に利用します。

NXR_A1(config)#ip route 192.168.20.0/24 192.168.10.2 10

LAN_B向けのルートを設定します。ゲートウェイアドレスは、192.168.10.2を設定します。またこのルートのディスタンス値はIPsecルートよりも大きい値を設定します。
(☞) この設定はIPsec SA未確立時にルータNXR_A1で受信した宛先IPアドレス192.168.20.0/24のパケットをルータNXR_A2経由で対向側に転送するためのものです。

NXR_A1(config)#ip route 0.0.0.0/0 ppp 0

デフォルトルートを設定します。

 

5. <IPアクセスリスト設定>
NXR_A1(config)#ip access-list ppp0_in permit any 10.10.10.1 udp 500 500
NXR_A1(config)#ip access-list ppp0_in permit any 10.10.10.1 50

IPアクセスリスト名をppp0_inとし、WAN側IPアドレス10.10.10.1宛のIKEパケット(UDPポート500番)、ESPパケット(プロトコル番号50)を許可します。
なおこのIPアクセスリスト設定はppp0インタフェース設定で登録します。
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングしたいインタフェースでの登録が必要になります。

 

6. <IPsecアクセスリスト設定>
NXR_A1(config)#ipsec access-list ipsec_acl ip any any

ipsec_aclという名前のIPsecアクセスリストを設定します。なお送信元IPアドレス,宛先IPアドレスともにanyとします。

 

7. <IPsecローカルポリシー設定>
NXR_A1(config)#ipsec local policy 1
NXR_A1(config-ipsec-local)#address ip

IPsecトンネルの送信元IPアドレスにip(IPv4)を設定します。

 

8. <IPsec ISAKMPポリシー設定>
NXR_A1(config)#ipsec isakmp policy 1
NXR_A1(config-ipsec-isakmp)#description NXR_B
NXR_A1(config-ipsec-isakmp)#authentication pre-share ipseckey1

ISAKMPポリシーの説明としてNXR_B、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckey1を設定します。なお事前共有鍵はルータNXR_Bと共通の値を設定します。

NXR_A1(config-ipsec-isakmp)#hash sha256
NXR_A1(config-ipsec-isakmp)#encryption aes128
NXR_A1(config-ipsec-isakmp)#group 5
NXR_A1(config-ipsec-isakmp)#lifetime 10800
NXR_A1(config-ipsec-isakmp)#isakmp-mode aggressive

認証アルゴリズムとしてsha256、暗号化アルゴリズムとしてaes128,Diffie-Hellman(DH)グループとしてgroup 5、ISAKMP SAのライフタイムとして10800秒、フェーズ1のネゴシエーションモードとしてアグレッシブモードを設定します。

NXR_A1(config-ipsec-isakmp)#remote address ip any
NXR_A1(config-ipsec-isakmp)#remote identity fqdn nxrb
NXR_A1(config-ipsec-isakmp)#keepalive 30 3 periodic clear
NXR_A1(config-ipsec-isakmp)#local policy 1

ルータNXR_BのWAN側IPアドレスが動的IPアドレスのため、リモートアドレスにanyを設定します。またリモートIDをFQDN方式でnxrbとし、ルータNXR_BのセルフIDと同じIDを設定します。
そしてIKE KeepAlive(DPD)を監視間隔30秒,リトライ回数3回としkeepalive失敗時にSAを削除するように設定します。さらにIPsecローカルポリシー1と関連づけを行います。

NXR_A1(config-ipsec-isakmp)#netevent 2 disconnect

ネットイベントを設定します。
ここではtrack 2コマンドで指定したethernet0インタフェースのリンク監視で障害(リンクダウン)を検知した場合、IPsec ISAKMPポリシー1の切断を行います。

 

9. <IPsec トンネルポリシー設定>
NXR_A1(config)#ipsec tunnel policy 1
NXR_A1(config-ipsec-tunnel)#description NXR_B
NXR_A1(config-ipsec-tunnel)#negotiation-mode responder

IPsecトンネルポリシーの説明としてNXR_B、ネゴシエーションモードとしてresponderを設定します。

NXR_A1(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_A1(config-ipsec-tunnel)#set pfs group5
NXR_A1(config-ipsec-tunnel)#set sa lifetime 3600

暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha256、PFSを有効にし、かつDHグループとしてgroup5、IPsec SAのライフタイムとして3600秒を設定します。

NXR_A1(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_A1(config-ipsec-tunnel)#match address ipsec_acl

ISAKMPポリシー1と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。

 

10. <トンネル1インタフェース設定>
NXR_A1(config)#interface tunnel 1
NXR_A1(config-tunnel)#tunnel mode ipsec ipv4
NXR_A1(config-tunnel)#tunnel protection ipsec policy 1
NXR_A1(config-tunnel)#ip tcp adjust-mss auto

トンネル1インタフェースでトンネルモードをipsec ipv4、使用するトンネルポリシーとして1を設定します。またTCP MSSの調整機能をオートに設定します。

 

11. <PPPアカウント設定>
NXR_A1(config)#ppp account username test1@example.jp password test1pass

ppp0インタフェースで使用するISP接続用ユーザID,パスワードを設定します。
(☞) ここで設定したアカウントはppp0インタフェースの設定で利用します。

 

12. <WAN側(ppp0)インタフェース設定>
NXR_A1(config)#interface ppp 0
NXR_A1(config-ppp)#ip address 10.10.10.1/32

ppp0インタフェースのIPアドレスを設定します。

NXR_A1(config-ppp)#ip masquerade
NXR_A1(config-ppp)#ip access-group in ppp0_in
NXR_A1(config-ppp)#ip spi-filter
NXR_A1(config-ppp)#ip tcp adjust-mss auto

IPマスカレード、ステートフルパケットインスペクションを有効に設定します。またIPアクセスリストppp0_inをinフィルタに適用します。そしてTCP MSSの調整機能をオートに設定します。

NXR_A1(config-ppp)#ppp username test1@example.jp
NXR_A1(config-ppp)#ipsec policy 1

ISP接続用ユーザIDを設定します。またIPsecトンネルのエンドポイントとなるためIPsecローカルポリシー1を設定します。

 

13. <ethernet1インタフェース設定>
NXR_A1(config)#interface ethernet 1
NXR_A1(config-if)#no ip address
NXR_A1(config-if)#pppoe-client ppp 0

PPPoEクライアントとしてppp0インタフェースを使用できるように設定します。

 

14. <DNS設定>
NXR_A1(config)#dns
NXR_A1(config-dns)#service enable

DNSサービスを有効にします。

 

15. <ファストフォワーディングの有効化>
NXR_A1(config)#fast-forwarding enable

ファストフォワーディングを有効にします。ファストフォワーディングを設定することによりパケット転送の高速化を行うことができます。
(☞) ファストフォワーディングの詳細および利用時の制約については、NXR,WXRシリーズのユーザーズガイド(CLI版)に記載されているファストフォワーディングの解説をご参照ください。

 

〔NXR_A2の設定〕

1. <ホスト名の設定>
nxr230(config)#hostname NXR_A2

ホスト名を設定します。

 

2. <LAN側(ethernet0)インタフェース設定>
NXR_A2(config)#interface ethernet 0
NXR_A2(config-if)#ip address 192.168.10.2/24
NXR_A2(config-if)#no ip redirects

ethernet0インタフェースのIPアドレスを設定します。またICMPリダイレクト機能を無効に設定します。

NXR_A2(config-if)#vrrp ip 1 address 192.168.10.254
NXR_A2(config-if)#vrrp ip 1 priority 100
NXR_A2(config-if)#vrrp ip 1 preempt
NXR_A2(config-if)#vrrp ip 1 timers advertise 5

VRRPの仮想IPアドレス、プライオリティを設定します。またプリエンプトを有効にします。
そしてアドバタイズの送信間隔を設定します。

 

3. <スタティックルート設定>
NXR_A2(config)#ip route 192.168.20.0/24 tunnel 1 1
NXR_A2(config)#ip route 192.168.20.0/24 null 254

LAN_B向けのルートを設定します。なおIPsec SA確立時はトンネル1インタフェースを、未確立時はnullインタフェースのルートを利用するように設定します。
(☞) nullインタフェースが出力インタフェースとして有効な場合、パケットが出力されることはありません(ドロップされます)。

NXR_A2(config)#ip route 0.0.0.0/0 10.10.20.2

デフォルトルートを設定します。

 

4. <IPアクセスリスト設定>
NXR_A2(config)#ip access-list eth1_in permit any 10.10.20.1 udp 500 500
NXR_A2(config)#ip access-list eth1_in permit any 10.10.20.1 50

IPアクセスリスト名をeth1_inとし、WAN側IPアドレス10.10.20.1宛のIKEパケット(UDPポート500番)、ESPパケット(プロトコル番号50)を許可します。
なおこのIPアクセスリスト設定はethernet1インタフェース設定で登録します。

 

5. <IPsecアクセスリスト設定>
NXR_A2(config)#ipsec access-list ipsec_acl ip any any

ipsec_aclという名前のIPsecアクセスリストを設定します。なお送信元IPアドレス,宛先IPアドレスともにanyとします。

 

6. <IPsecローカルポリシー設定>
NXR_A2(config)#ipsec local policy 1
NXR_A2(config-ipsec-local)#address ip

IPsecトンネルの送信元IPアドレスにip(IPv4)を設定します。

 

7. <IPsec ISAKMPポリシー設定>
NXR_A2(config)#ipsec isakmp policy 1
NXR_A2(config-ipsec-isakmp)#description NXR_B
NXR_A2(config-ipsec-isakmp)#authentication pre-share ipseckey2

ISAKMPポリシーの説明としてNXR_B、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckey2を設定します。なお事前共有鍵はルータNXR_Bと共通の値を設定します。

NXR_A2(config-ipsec-isakmp)#hash sha256
NXR_A2(config-ipsec-isakmp)#encryption aes128
NXR_A2(config-ipsec-isakmp)#group 5
NXR_A2(config-ipsec-isakmp)#lifetime 10800
NXR_A2(config-ipsec-isakmp)#isakmp-mode aggressive

認証アルゴリズムとしてsha256、暗号化アルゴリズムとしてaes128,Diffie-Hellman(DH)グループとしてgroup 5、ISAKMP SAのライフタイムとして10800秒、フェーズ1のネゴシエーションモードとしてアグレッシブモードを設定します。

NXR_A2(config-ipsec-isakmp)#remote address ip any
NXR_A2(config-ipsec-isakmp)#remote identity fqdn nxrb
NXR_A2(config-ipsec-isakmp)#keepalive 30 3 periodic clear
NXR_A2(config-ipsec-isakmp)#local policy 1

ルータNXR_BのWAN側IPアドレスが動的IPアドレスのため、リモートアドレスにanyを設定します。またリモートIDをFQDN方式でnxrbとし、ルータNXR_BのセルフIDと同じIDを設定します。
そしてIKE KeepAlive(DPD)を監視間隔30秒,リトライ回数3回としkeepalive失敗時にSAを削除するように設定します。さらにIPsecローカルポリシー1と関連づけを行います。

 

8. <IPsec トンネルポリシー設定>
NXR_A2(config)#ipsec tunnel policy 1
NXR_A2(config-ipsec-tunnel)#description NXR_B
NXR_A2(config-ipsec-tunnel)#negotiation-mode responder

IPsecトンネルポリシーの説明としてNXR_B、ネゴシエーションモードとしてresponderを設定します。

NXR_A2(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_A2(config-ipsec-tunnel)#set pfs group5
NXR_A2(config-ipsec-tunnel)#set sa lifetime 3600

暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha256、PFSを有効にし、かつDHグループとしてgroup5、IPsec SAのライフタイムとして3600秒を設定します。

NXR_A2(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_A2(config-ipsec-tunnel)#match address ipsec_acl

ISAKMPポリシー1と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。

 

9. <トンネル1インタフェース設定>
NXR_A2(config)#interface tunnel 1
NXR_A2(config-tunnel)#tunnel mode ipsec ipv4
NXR_A2(config-tunnel)#tunnel protection ipsec policy 1
NXR_A2(config-tunnel)#ip tcp adjust-mss auto

トンネル1インタフェースでトンネルモードをipsec ipv4、使用するトンネルポリシーとして1を設定します。またTCP MSSの調整機能をオートに設定します。

 

10. <WAN側(ethernet1)インタフェース設定>
NXR_A2(config)#interface ethernet 1
NXR_A2(config-if)#ip address 10.10.20.1/30

ethernet1インタフェースのIPアドレスを設定します。

NXR_A2(config-if)#ip masquerade
NXR_A2(config-if)#ip access-group in eth1_in
NXR_A2(config-if)#ip spi-filter

IPマスカレード、ステートフルパケットインスペクションを有効に設定します。またIPアクセスリストeth1_inをinフィルタに適用します。

NXR_A2(config-if)#ipsec policy 1

IPsecトンネルのエンドポイントとなるためIPsecローカルポリシー1を設定します。

 

11. <DNS設定>
NXR_A2(config)#dns
NXR_A2(config-dns)#service enable
NXR_A2(config-dns)#address 10.10.20.2

DNSサービスを有効にします。またプライマリDNSサーバアドレスを設定します。

 

12. <ファストフォワーディングの有効化>
NXR_A2(config)#fast-forwarding enable

ファストフォワーディングを有効にします。

 

〔NXR_Bの設定〕

1. <ホスト名の設定>
nxrg100(config)#hostname NXR_B

ホスト名を設定します。

 

2. <トラック設定(ISAKMP SA監視)>
NXR_B(config)#track 1 ipsec isakmp 1

ISAKMPポリシー1のISAKMP SA監視設定をトラックNo.1に登録します。

 

3. <LAN側(ethernet0)インタフェース設定>
NXR_B(config)#interface ethernet 0
NXR_B(config-if)#ip address 192.168.20.1/24

ethernet0インタフェースのIPアドレスを設定します。

 

4. <スタティックルート設定>
NXR_B(config)#ip route 192.168.10.0/24 tunnel 1 1
NXR_B(config)#ip route 192.168.10.0/24 tunnel 2 10

LAN_A向けのルートを設定します。なおメインのIPsec SA確立時はトンネル1インタフェースを、メインのIPsec SAが未確立でかつバックアップのIPsec SA確立時はトンネル2インタフェースのルートを利用するように設定します。

NXR_B(config)#ip route 192.168.10.0/24 null 254

LAN_A向けのルートを設定します。なおゲートウェイインタフェースはnullを設定します。またこのルートのディスタンス値として254を設定します。

NXR_B(config)#ip route 0.0.0.0/0 ppp 0

デフォルトルートを設定します。

 

5. <IPアクセスリスト設定>
NXR_B(config)#ip access-list ppp0_in permit 10.10.10.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_in permit 10.10.10.1 any 50
NXR_B(config)#ip access-list ppp0_in permit 10.10.20.1 any udp 500 500
NXR_B(config)#ip access-list ppp0_in permit 10.10.20.1 any 50

IPアクセスリスト名をppp0_inとし、送信元がルータNXR_A1のWAN側IPアドレス10.10.10.1、ルータNXR_A2のWAN側IPアドレス10.10.20.1のIKEパケット(UDPポート500番)、ESPパケット(プロトコル番号50)を許可します。
なおこのIPアクセスリスト設定はppp0インタフェース設定で登録します。

 

6. <IPsecアクセスリスト設定>
NXR_B(config)#ipsec access-list ipsec_acl ip any any

ipsec_aclという名前のIPsecアクセスリストを設定します。なお送信元IPアドレス,宛先IPアドレスともにanyとします。

 

7. <IPsec priority-ignore設定>
NXR_B(config)#ipsec priority-ignore enable

ipsec priority-ignoreを有効に設定します。

 

8. <IPsecローカルポリシー設定>
NXR_B(config)#ipsec local policy 1
NXR_B(config-ipsec-local)#address ip
NXR_B(config-ipsec-local)#self-identity fqdn nxrb

IPsecトンネルの送信元IPアドレスにip(IPv4)を設定します。またセルフIDをFQDN方式でnxrbとし、ルータNXR_A1,NXR_A2のリモートIDと同じIDを設定します。

 

9. <IPsec ISAKMPポリシー1設定>
NXR_B(config)#ipsec isakmp policy 1
NXR_B(config-ipsec-isakmp)#description NXR_A1
NXR_B(config-ipsec-isakmp)#authentication pre-share ipseckey1

ISAKMPポリシーの説明としてNXR_A1、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckey1を設定します。なお事前共有鍵はNXR_A1と共通の値を設定します。

NXR_B(config-ipsec-isakmp)#hash sha256
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 10800
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive

認証アルゴリズムとしてsha256、暗号化アルゴリズムとしてaes128,Diffie-Hellman(DH)グループとしてgroup 5、ISAKMP SAのライフタイムとして10800秒、フェーズ1のネゴシエーションモードとしてアグレッシブモードを設定します。

NXR_B(config-ipsec-isakmp)#remote address ip 10.10.10.1
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1

リモートアドレスにルータNXR_A1のWAN側IPアドレスを設定します。またIKE KeepAlive(DPD)を監視間隔30秒,リトライ回数3回としkeepalive失敗時にSAを削除しIKEのネゴシエーションを開始するように設定します。そしてIPsecローカルポリシー1と関連づけを行います。

 

10. <IPsec トンネルポリシー1設定>
NXR_B(config)#ipsec tunnel policy 1
NXR_B(config-ipsec-tunnel)#description NXR_A1
NXR_B(config-ipsec-tunnel)#negotiation-mode auto

IPsecトンネルポリシーの説明としてNXR_A1、ネゴシエーションモードとしてautoを設定します。

NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 3600

暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha256、PFSを有効にし、かつDHグループとしてgroup5、IPsec SAのライフタイムとして3600秒を設定します。

NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_B(config-ipsec-tunnel)#match address ipsec_acl

ISAKMPポリシー1と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。

 

11. <トンネル1インタフェース設定>
NXR_B(config)#interface tunnel 1
NXR_B(config-tunnel)#tunnel mode ipsec ipv4
NXR_B(config-tunnel)#tunnel protection ipsec policy 1
NXR_B(config-tunnel)#ip tcp adjust-mss auto

トンネル1インタフェースでトンネルモードをipsec ipv4、使用するトンネルポリシーとして1を設定します。またTCP MSSの調整機能をオートに設定します。

 

12. <IPsec ISAKMPポリシー2設定>
NXR_B(config)#ipsec isakmp policy 2
NXR_B(config-ipsec-isakmp)#description NXR_A2
NXR_B(config-ipsec-isakmp)#authentication pre-share ipseckey2

ISAKMPポリシーの説明としてNXR_A2、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckey2を設定します。なお事前共有鍵はNXR_A2と共通の値を設定します。

NXR_B(config-ipsec-isakmp)#hash sha256
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 10800
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive

認証アルゴリズムとしてsha256、暗号化アルゴリズムとしてaes128,Diffie-Hellman(DH)グループとしてgroup 5、ISAKMP SAのライフタイムとして10800秒、フェーズ1のネゴシエーションモードとしてアグレッシブモードを設定します。

NXR_B(config-ipsec-isakmp)#remote address ip 10.10.20.1
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1

リモートアドレスにルータNXR_A2のWAN側IPアドレスを設定します。またIKE KeepAlive(DPD)を監視間隔30秒,リトライ回数3回としkeepalive失敗時にSAを削除しIKEのネゴシエーションを開始するように設定します。そしてIPsecローカルポリシー1と関連づけを行います。

NXR_B(config-ipsec-isakmp)#netevent 1 connect

ネットイベントを設定します。
ここではtrack 1コマンドで指定したISAKMP SA監視で障害(SA未確立)を検知した場合、IPsec ISAKMPポリシー2の接続を行います。

 

13. <IPsec トンネルポリシー2設定>
NXR_B(config)#ipsec tunnel policy 2
NXR_B(config-ipsec-tunnel)#description NXR_A2
NXR_B(config-ipsec-tunnel)#negotiation-mode auto

IPsecトンネルポリシーの説明としてNXR_A2、ネゴシエーションモードとしてautoを設定します。

NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 3600

暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha256、PFSを有効にし、かつDHグループとしてgroup5、IPsec SAのライフタイムとして3600秒を設定します。

NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 2
NXR_B(config-ipsec-tunnel)#match address ipsec_acl

ISAKMPポリシー2と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。

 

14. <トンネル2インタフェース設定>
NXR_B(config)#interface tunnel 2
NXR_B(config-tunnel)#tunnel mode ipsec ipv4
NXR_B(config-tunnel)#tunnel protection ipsec policy 2
NXR_B(config-tunnel)#ip tcp adjust-mss auto

トンネル2インタフェースでトンネルモードをipsec ipv4、使用するトンネルポリシーとして2を設定します。またTCP MSSの調整機能をオートに設定します。

 

15. <PPPアカウント設定>
NXR_B(config)#ppp account username [ユーザID] password [パスワード]

ppp0インタフェースで使用するPPP接続用ユーザID,パスワードを設定します。

 

16. <WAN側(ppp0)インタフェース設定>
NXR_B(config)#interface ppp 0
NXR_B(config-ppp)#ip address negotiated

ppp0インタフェースのIPアドレスが動的IPアドレスのためnegotiatedを設定します。

NXR_B(config-ppp)#ip masquerade
NXR_B(config-ppp)#ip access-group in ppp0_in
NXR_B(config-ppp)#ip spi-filter
NXR_B(config-ppp)#ip tcp adjust-mss auto

IPマスカレード、ステートフルパケットインスペクションを有効に設定します。またIPアクセスリストppp0_inをinフィルタに適用します。そしてTCP MSSの調整機能をオートに設定します。

NXR_B(config-ppp)#ppp username [ユーザID]
NXR_B(config-ppp)#mobile apn [APN] cid [CID] pdp-type [PDPタイプ]

PPP接続用ユーザIDを設定します。またAPN,CID,PDPタイプを設定します。

NXR_B(config-ppp)#dial-up string *99***[CID]#
NXR_B(config-ppp)#dial-up timeout 30

発信用の電話番号およびダイアルタイムアウトを設定します。
(☞) ここで設定する電話番号はSIMカードの電話番号ではありません。

NXR_B(config-ppp)#ipsec policy 1

IPsecトンネルのエンドポイントとなるためIPsecローカルポリシー1を設定します。

 

17. <モバイルエラーリカバリー設定>
NXR_B(config)#mobile error-recovery-reset

通信モジュールとの通信に重大な問題が発生する可能性が高いと判断した場合、通信モジュールのリセットを行うように設定します。

 

18. <モバイルターミネーションリカバリー設定>
NXR_B(config)#mobile termination-recovery reset

PPP接続時に網側から切断された場合、通信モジュールのリセットを行うように設定します。

 

19. <モバイル割り当て設定>
NXR_B(config)#mobile 1 ppp 0

mobile1と認識されている通信モジュールとppp0インタフェースの関連づけを行います。
通信モジュールをPPPインタフェースで使用する場合は、mobileコマンドによるPPPインタフェースへの関連付けが必要になります。

 

20. <DNS設定>
NXR_B(config)#dns
NXR_B(config-dns)#service enable

DNSサービスを有効にします。

 

【 端末の設定例 】

LAN_Aの端末 LAN_Bの端末
IPアドレス 192.168.10.100 192.168.20.100
サブネットマスク 255.255.255.0
デフォルトゲートウェイ 192.168.10.254 192.168.20.1
DNSサーバ 192.168.10.1
192.168.10.2