FutureNet
NXR,VXRシリーズ
IPsec編
5. 冗長化設定
5-5. Route Based IPsec冗長化設定(local policy changeの利用)
この設定例では、拠点側でWAN回線の冗長化を行います。そして、メインWAN回線の障害検知時、ネットイベント機能で自動的にバックアップWAN回線への切り替えおよびIPsec接続を行い、通信を継続します。
【 IPsec機能対応機種 】
NXR-1300シリーズ,NXR-650,NXR-610Xシリーズ,NXR-530,NXR-350/C,NXR-230/C,NXR-160/LW,NXR-G180/L-CA,NXR- G200シリーズ,NXR-G110シリーズ,NXR-G100シリーズ,NXR-G050シリーズ,VXRシリーズ(2022/12現在)
設定例で使用している機能の対応状況は、各製品の更新履歴やユーザーズガイドをご確認ください。
| コンテンツ | ||||
| 構成図 | 設定例 | 設定例解説 | 端末の設定例 | 付録 |
【 構成図 】
- この例で使用しているルータは、センタルータ(以下NXR_A)がNXR-650、拠点ルータ(以下NXR_B)がNXR-G110/Lです。
- NXR-G180/L-CAはキャリアアグリゲーション対応の内蔵通信モジュールがmobile1(LTE1),キャリアアグリゲーション未対応の内蔵通信モジュールがmobile2(LTE2)となりますので、モバイル設定する場合はmobile1をmobile2に読み替えて設定してください。
- NXR-G050シリーズの内蔵通信モジュールはmobile2となりますので、モバイル設定する場合はmobile1をmobile2に読み替えて設定してください。
〔 正常時 〕
- NXR_BではNXR_Aに対してPPPoE回線でIPsecトンネルを確立します。
〔 NXR_B メインWAN回線側障害時 〕
- NXR_BのメインWAN回線側障害時、ネットイベント機能で下記アクションを実行します。
– ppp1インタフェースの接続開始。
– IPsec ISAKMPポリシー設定のIPsecローカルポリシーの変更(1 -> 2)。
(☞) NXR_BのメインWAN回線側の障害は、メインWAN回線監視先へのPingがNGとなり、トラック状態がダウンすることを想定しています。
【 設定例 】
〔 NXR_Aの設定 〕
nxr650(config)#hostname NXR_A
NXR_A(config)#interface ethernet 0
NXR_A(config-if)#ip address 192.168.10.1/24
NXR_A(config-if)#exit
NXR_A(config)#ip route 192.168.20.0/24 tunnel 1 1
NXR_A(config)#ip route 192.168.20.0/24 null 254
NXR_A(config)#ip route 0.0.0.0/0 203.0.113.2
NXR_A(config)#ip access-list eth1_IN permit any 203.0.113.1 udp 500 500
NXR_A(config)#ip access-list eth1_IN permit any 203.0.113.1 50
NXR_A(config)#ip access-list eth1_IN permit any 203.0.113.1 icmp 8 0
NXR_A(config)#ipsec access-list IPsec_ACL ip any any
NXR_A(config)#ipsec local policy 1
NXR_A(config-ipsec-local)#address ip
NXR_A(config-ipsec-local)#exit
NXR_A(config)#ipsec isakmp policy 1
NXR_A(config-ipsec-isakmp)#description NXR_B
NXR_A(config-ipsec-isakmp)#authentication pre-share IPsecKEY
NXR_A(config-ipsec-isakmp)#hash sha256
NXR_A(config-ipsec-isakmp)#encryption aes128
NXR_A(config-ipsec-isakmp)#group 5
NXR_A(config-ipsec-isakmp)#lifetime 86400
NXR_A(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_A(config-ipsec-isakmp)#remote address ip any
NXR_A(config-ipsec-isakmp)#remote identity fqdn NXRB
NXR_A(config-ipsec-isakmp)#keepalive 30 3 periodic clear
NXR_A(config-ipsec-isakmp)#local policy 1
NXR_A(config-ipsec-isakmp)#exit
NXR_A(config)#interface tunnel 1
NXR_A(config-tunnel)#tunnel mode ipsec ipv4
NXR_A(config-tunnel)#tunnel protection ipsec policy 1
NXR_A(config-tunnel)#ip tcp adjust-mss auto
NXR_A(config-tunnel)#exit
NXR_A(config)#ipsec tunnel policy 1
NXR_A(config-ipsec-tunnel)#description NXR_B
NXR_A(config-ipsec-tunnel)#negotiation-mode responder
NXR_A(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_A(config-ipsec-tunnel)#set pfs group5
NXR_A(config-ipsec-tunnel)#set sa lifetime 28800
NXR_A(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_A(config-ipsec-tunnel)#match address IPsec_ACL
NXR_A(config-ipsec-tunnel)#exit
NXR_A(config)#interface ethernet 1
NXR_A(config-if)#ip address 203.0.113.1/30
NXR_A(config-if)#ip masquerade
NXR_A(config-if)#ip spi-filter
NXR_A(config-if)#ip access-group in eth1_IN
NXR_A(config-if)#ip tcp adjust-mss auto
NXR_A(config-if)#ipsec policy 1
NXR_A(config-if)#exit
NXR_A(config)#dns
NXR_A(config-dns)#service enable
NXR_A(config-dns)#address 203.0.113.253
NXR_A(config-dns)#address 203.0.113.254
NXR_A(config-dns)#exit
NXR_A(config)#fast-forwarding enable
NXR_A(config)#exit
NXR_A#save config
〔 NXR_Bの設定 〕
nxrg110(config)#hostname NXR_B
NXR_B(config)#interface ethernet 0
NXR_B(config-if)#ip address 192.168.20.1/24
NXR_B(config-if)#exit
NXR_B(config)#ip route 192.168.10.0/24 tunnel 1 1
NXR_B(config)#ip route 192.168.10.0/24 null 254
NXR_B(config)#ip route 0.0.0.0/0 ppp 0 1
NXR_B(config)#ip route 0.0.0.0/0 ppp 1 10
NXR_B(config)#ip access-list WAN_IN permit 203.0.113.1 any udp 500 500
NXR_B(config)#ip access-list WAN_IN permit 203.0.113.1 any 50
NXR_B(config)#track 2048 ip reachability
NXR_B(config-track)#destination 203.0.113.1
NXR_B(config-track)#source interface ppp 0
NXR_B(config-track)#transmit interval 30 variable
NXR_B(config-track)#transmit retries 4
NXR_B(config-track)#exit
NXR_B(config)#ipsec access-list IPsec_ACL ip any any
NXR_B(config)#ipsec local policy 1
NXR_B(config-ipsec-local)#address ip
NXR_B(config-ipsec-local)#self-identity fqdn NXRB
NXR_B(config-ipsec-local)#exit
NXR_B(config)#ipsec local policy 2
NXR_B(config-ipsec-local)#address ip
NXR_B(config-ipsec-local)#self-identity fqdn NXRB
NXR_B(config-ipsec-local)#exit
NXR_B(config)#ipsec isakmp policy 1
NXR_B(config-ipsec-isakmp)#description NXR_A
NXR_B(config-ipsec-isakmp)#authentication pre-share IPsecKEY
NXR_B(config-ipsec-isakmp)#hash sha256
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 86400
NXR_B(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_B(config-ipsec-isakmp)#remote address ip 203.0.113.1
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1 netevent 2048 change 2
NXR_B(config-ipsec-isakmp)#exit
NXR_B(config)#interface tunnel 1
NXR_B(config-tunnel)#tunnel mode ipsec ipv4
NXR_B(config-tunnel)#tunnel protection ipsec policy 1
NXR_B(config-tunnel)#ip tcp adjust-mss auto
NXR_B(config-tunnel)#exit
NXR_B(config)#ipsec tunnel policy 1
NXR_B(config-ipsec-tunnel)#description NXR_A
NXR_B(config-ipsec-tunnel)#negotiation-mode auto
NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 28800
NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_B(config-ipsec-tunnel)#match address IPsec_ACL
NXR_B(config-ipsec-tunnel)#exit
NXR_B(config)#ppp account username [ISP_B接続用ユーザID] password [ISP_B接続用パスワード]
NXR_B(config)#ppp account username [モバイル(PPP)接続用ユーザID] password [モバイル(PPP)接続用パスワード]
NXR_B(config)#interface ppp 0
NXR_B(config-ppp)#ip address negotiated
NXR_B(config-ppp)#ip masquerade
NXR_B(config-ppp)#ip spi-filter
NXR_B(config-ppp)#ip access-group in WAN_IN
NXR_B(config-ppp)#ip tcp adjust-mss auto
NXR_B(config-ppp)#ppp username [ISP_B接続用ユーザID]
NXR_B(config-ppp)#ipsec policy 1
NXR_B(config-ppp)#exit
NXR_B(config)#interface ethernet 1
NXR_B(config-if)#no ip address
NXR_B(config-if)#pppoe-client ppp 0
NXR_B(config-if)#exit
NXR_B(config)#interface ppp 1
NXR_B(config-ppp)#ip address negotiated
NXR_B(config-ppp)#ip masquerade
NXR_B(config-ppp)#ip spi-filter
NXR_B(config-ppp)#ip access-group in WAN_IN
NXR_B(config-ppp)#ip tcp adjust-mss auto
NXR_B(config-ppp)#ip send-source local
NXR_B(config-ppp)#ppp username [モバイル(PPP)接続用ユーザID]
NXR_B(config-ppp)#mobile apn [APN] cid 1 pdp-type ip
NXR_B(config-ppp)#dial-up string *99***1#
NXR_B(config-ppp)#dial-up timeout 30
NXR_B(config-ppp)#ipsec policy 2
NXR_B(config-ppp)#netevent 2048 connect
NXR_B(config-ppp)#exit
NXR_B(config)#mobile error-recovery-reset
NXR_B(config)#mobile termination-recovery reset
NXR_B(config)#mobile 1 ppp 1
NXR_B(config)#mobile 1 carrier [キャリア]
NXR_B(config)#exit
NXR_B#clear mobile 1
NXR_B#configure terminal
NXR_B(config)#dns
NXR_B(config-dns)#service enable
NXR_B(config-dns)#priority ppp 0 1
NXR_B(config-dns)#priority ppp 1 10
NXR_B(config-dns)#exit
NXR_B(config)#fast-forwarding enable
NXR_B(config)#exit
NXR_B#save config
【 設定例解説 】
〔 NXR_Aの設定 〕
1. <ホスト名の設定>
ホスト名を設定します。
2. <LAN側(ethernet0)インタフェース設定>
NXR_A(config-if)#ip address 192.168.10.1/24
ethernet0インタフェースのIPアドレスを設定します。
3. <スタティックルート設定>
NXR_A(config)#ip route 192.168.20.0/24 null 254
192.168.20.0/24向けのルートを設定します。
デフォルトルートを設定します。
4. <IPアクセスリスト設定>
NXR_A(config)#ip access-list eth1_IN permit any 203.0.113.1 50
NXR_A(config)#ip access-list eth1_IN permit any 203.0.113.1 icmp 8 0
IPアクセスリストeth1_INを以下のルールで設定します。
- 宛先IPアドレス203.0.113.1、送信元,宛先UDPポート500番を許可
- 宛先IPアドレス203.0.113.1、プロトコル番号50(ESP)を許可
- 宛先IPアドレス203.0.113.1、ICMP Type8 Code0(Echo Request)を許可
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングを行うインタフェースでの登録が必要になります。
5. <IPsecアクセスリスト設定>
IPsecアクセスリストIPsec_ACLを以下のルールで設定します。
- 送信元IPアドレス … any
- 宛先IPアドレス … any
6. <IPsecローカルポリシー設定>
NXR_A(config-ipsec-local)#address ip
IPsecトンネルの送信元IPアドレスにipを設定します。
7. <IPsec ISAKMPポリシー設定>
NXR_A(config-ipsec-isakmp)#description NXR_B
ISAKMPポリシー1の説明文を設定します。
認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵を設定します。
(☞) 事前共有鍵はNXR_Bのipsec isakmp policy 1と共通の値を設定します。
認証アルゴリズムをsha256に設定します。
暗号化アルゴリズムをaes128に設定します。
Diffie-Hellman(DH)グループをgroup 5に設定します。
ISAKMP SAのライフタイムを設定します。
フェーズ1のネゴシエーションモードをアグレッシブモードに設定します。
リモートアドレスにanyを設定します。
リモートID(FQDN方式)を設定します。
(☞) NXR_Bのipsec local policy 1,2のセルフIDと同じIDを設定します。
IKE KeepAlive(DPD)を以下のルールで設定します。
- 監視間隔 … 30秒
- リトライ回数 … 3回
- ダウン検知後の動作 … SA削除
このIPsec ISAKMPポリシーで使用するIPsecローカルポリシーを設定します。
8. <トンネル1インタフェース設定>
NXR_A(config-tunnel)#tunnel mode ipsec ipv4
トンネル1インタフェースのトンネルモードをipsec ipv4に設定します。
このトンネルインタフェースで使用するIPsecトンネルポリシーを設定します。
TCP MSSの調整機能をオートに設定します。
9. <IPsec トンネルポリシー設定>
NXR_A(config-ipsec-tunnel)#description NXR_B
IPsecトンネルポリシー1の説明文を設定します。
ネゴシエーションモードをresponderに設定します。
暗号化アルゴリズムをaes128、認証アルゴリズムをsha256に設定します。
PFSを有効、DHグループをgroup5に設定します。
IPsec SAのライフタイムを設定します。
このIPsecトンネルポリシーで使用するIPsec ISAKMPポリシーを設定します。
IPsecアクセスリストを設定します。
10. <WAN側(ethernet1)インタフェース設定>
NXR_A(config-if)#ip address 203.0.113.1/30
ethernet1インタフェースのIPアドレスを設定します。
NXR_A(config-if)#ip spi-filter
IPマスカレード、ステートフルパケットインスペクションを有効にします。
IPアクセスグループのinフィルタにIPアクセスリストeth1_INを設定します。
TCP MSSの調整機能をオートに設定します。
このインタフェースで使用するIPsecローカルポリシーを設定します。
11. <DNS設定>
NXR_A(config-dns)#service enable
DNSサービスを有効にします。
NXR_A(config-dns)#address 203.0.113.254
DNSサーバアドレスを設定します。
12. <ファストフォワーディング設定>
ファストフォワーディングを有効にします。
13. <設定の保存>
設定内容を保存します。
〔 NXR_Bの設定 〕
1. <ホスト名の設定>
ホスト名を設定します。
2. <LAN側(ethernet0)インタフェース設定>
NXR_B(config-if)#ip address 192.168.20.1/24
ethernet0インタフェースのIPアドレスを設定します。
3. <スタティックルート設定>
NXR_B(config)#ip route 192.168.10.0/24 null 254
192.168.10.0/24向けのルートを設定します。
NXR_B(config)#ip route 0.0.0.0/0 ppp 1 10
デフォルトルートを設定します。ディスタンス値を設定することで経路の優先度をppp0→ppp1の順にします。
4. <IPアクセスリスト設定>
NXR_B(config)#ip access-list WAN_IN permit 203.0.113.1 any 50
IPアクセスリストWAN_INを以下のルールで設定します。
- 送信元IPアドレス203.0.113.1、送信元,宛先UDPポート500番を許可
- 送信元IPアドレス203.0.113.1、プロトコル番号50(ESP)を許可
5. <トラック設定>
NXR_B(config-track)#destination 203.0.113.1
NXR_B(config-track)#source interface ppp 0
NXR_B(config-track)#transmit interval 30 variable
NXR_B(config-track)#transmit retries 4
以下のルールで拡張トラックを設定します。
- トラック番号 … 2048
- 監視方法 … Ping(IPv4)監視
- 宛先IPv4アドレス … 203.0.113.1
- 出力インタフェース … ppp0
- 監視間隔 … 30秒(可変)
- リトライ回数 … 4回
6. <IPsecアクセスリスト設定>
IPsecアクセスリストIPsec_ACLを以下のルールで設定します。
- 送信元IPアドレス … any
- 宛先IPアドレス … any
7. <IPsecローカルポリシー1設定>
NXR_B(config-ipsec-local)#address ip
IPsecトンネルの送信元IPアドレスにipを設定します。
セルフID(FQDN方式)を設定します。
(☞) NXR_Aのipsec isakmp policy 1のリモートIDと同じIDを設定します。
8. <IPsecローカルポリシー2設定>
NXR_B(config-ipsec-local)#address ip
IPsecトンネルの送信元IPアドレスにipを設定します。
セルフID(FQDN方式)を設定します。
(☞) NXR_Aのipsec isakmp policy 1のリモートIDと同じIDを設定します。
9. <IPsec ISAKMPポリシー設定>
NXR_B(config-ipsec-isakmp)#description NXR_A
ISAKMPポリシー1の説明文を設定します。
認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵を設定します。
(☞) 事前共有鍵はNXR_Aのipsec isakmp policy 1と共通の値を設定します。
認証アルゴリズムをsha256に設定します。
暗号化アルゴリズムをaes128に設定します。
DHグループをgroup 5に設定します。
ISAKMP SAのライフタイムを設定します。
フェーズ1のネゴシエーションモードをアグレッシブモードに設定します。
リモートアドレスにNXR_AのWAN側IPアドレスを設定します。
IKE KeepAlive(DPD)を以下のルールで設定します。
- 監視間隔 … 30秒
- リトライ回数 … 3回
- ダウン検知後の動作 … IKEの再ネゴシエーション
このIPsec ISAKMPポリシーで使用するIPsecローカルポリシーを設定します。
そして、トラック設定でイベント発生を検知(トラックステータスがダウン)した場合、IPsecローカルポリシーを変更(1 -> 2)します。また、イベント復旧を検知(トラックステータスがアップ)した場合、IPsecローカルポリシーを変更(2 -> 1)します。
10. <トンネル1インタフェース設定>
NXR_B(config-tunnel)#tunnel mode ipsec ipv4
トンネル1インタフェースのトンネルモードをipsec ipv4に設定します。
このトンネルインタフェースで使用するIPsecトンネルポリシーを設定します。
TCP MSSの調整機能をオートに設定します。
11. <IPsec トンネルポリシー設定>
NXR_B(config-ipsec-tunnel)#description NXR_A
IPsecトンネルポリシー1の説明文を設定します。
ネゴシエーションモードをautoに設定します。
暗号化アルゴリズムをaes128、認証アルゴリズムをsha256に設定します。
PFSを有効、DHグループをgroup5に設定します。
IPsec SAのライフタイムを設定します。
このIPsecトンネルポリシーで使用するIPsec ISAKMPポリシーを設定します。
IPsecアクセスリストを設定します。
12. <PPPアカウント設定>
ISP_B接続用ユーザID,パスワードを設定します。
モバイル(PPP)接続用ユーザID,パスワードを設定します。
13. <WAN側(ppp0)インタフェース設定>
NXR_B(config-ppp)#ip address negotiated
ppp0インタフェースのIPアドレスにnegotiatedを設定します。
NXR_B(config-ppp)#ip spi-filter
IPマスカレード、ステートフルパケットインスペクションを有効にします。
IPアクセスグループのinフィルタにIPアクセスリストWAN_INを設定します。
TCP MSSの調整機能をオートに設定します。
ISP_B接続用ユーザIDを設定します。
このインタフェースで使用するIPsecローカルポリシーを設定します。
14. <ethernet1インタフェース設定>
NXR_B(config-if)#no ip address
NXR_B(config-if)#pppoe-client ppp 0
PPPoEクライアントにppp0を設定します。
15. <WAN側(ppp1)インタフェース設定>
NXR_B(config-ppp)#ip address negotiated
ppp1インタフェースのIPアドレスにnegotiatedを設定します。
NXR_B(config-ppp)#ip spi-filter
IPマスカレード、ステートフルパケットインスペクションを有効にします。
IPアクセスグループのinフィルタにIPアクセスリストWAN_INを設定します。
TCP MSSの調整機能をオートに設定します。
ip send-source localを設定します。
(☞) localオプションを指定することで、当該インタフェースのIPアドレスをソースアドレスとするNXRからの自発パケットを当該インタフェースから出力します。
モバイル(PPP)接続用ユーザIDを設定します。
APN,CID,PDPタイプを設定します。
発信用の電話番号を設定します。
(☞) 電話番号の#の前の数字はCIDを表しています。
ダイアルタイムアウトを設定します。
このインタフェースで使用するIPsecローカルポリシーを設定します。
トラック設定でイベント発生を検知(トラックステータスがダウン)した場合、ppp1インタフェースの接続を開始します。また、イベント復旧を検知(トラックステータスがアップ)した場合、ppp1インタフェースを切断します。
16. <モバイルエラーリカバリー設定>
内蔵通信モジュールとの通信に重大な問題が発生する可能性が高いと判断した場合、内蔵通信モジュールのリセットを行うように設定します。
17. <モバイルターミネーションリカバリー設定>
PPP接続時に網側から切断された場合、内蔵通信モジュールのリセットを行うように設定します。
18. <モバイル割り当て設定>
mobile1として認識されている内蔵通信モジュールとppp1インタフェースの関連づけを行います。
内蔵通信モジュールをPPPインタフェースで使用する場合は、mobileコマンドによるPPPインタフェースへの関連付けが必要になります。
(☞) mobile1の情報はshow mobile 1コマンドで確認することができます。
19. <モバイルキャリア設定>
mobile1のキャリアを設定します。
(☞) キャリア設定は「clear mobile 1」コマンドによるモバイルリセットを行うことで反映されます。
20. <DNS設定>
NXR_B(config-dns)#service enable
DNSサービスを有効にします。
NXR_B(config-dns)#priority ppp 1 10
DNSサーバの優先度を変更します。
ppp0インタフェースで取得したDNSサーバアドレスを、ppp1インタフェースで取得したDNSサーバアドレスよりも優先するように設定します。
(☞) デフォルトではppp0,ppp1それぞれでDNSサーバアドレスを取得した場合、優先度はppp1→ppp0の順になります。
21. <ファストフォワーディング設定>
ファストフォワーディングを有効にします。
22. <設定の保存>
設定内容を保存します。
【 端末の設定例 】
| 192.168.10.0/24 | 192.168.20.0/24 | |
| IPアドレス | 192.168.10.100 | 192.168.20.100 |
| サブネットマスク | 255.255.255.0 | |
| デフォルトゲートウェイ | 192.168.10.1 | 192.168.20.1 |
| DNSサーバアドレス | 192.168.10.1 | 192.168.20.1 |
【 付録 】
目次
更新情報
→ 一覧へカテゴリ
タグ
- CRG
- DDNS
- DHCP
- DNAT
- DNSインターセプト
- Ethernet
- IIJモバイル
- IKE Modeconfig
- IKEv2 Configuration Payload
- IPinIP
- IPoE
- IPv6
- KDDI
- L2TPv3
- MAP-E
- NGN
- NTTドコモ
- PBR
- Policy Based IPsec
- PPP
- PPPoE
- QoS
- RADIUS連携
- RAシリーズ
- Route Based IPsec
- SMS
- SNAT
- SoftBank
- UPnP
- URL転送
- VLAN
- VRRP
- Web認証
- WiMAX
- コンフィグロールバック
- ネットイベント
- フィルタ
- ブリッジ
- モニタログ
- ワイモバイル
- 仮想スイッチ
- 冗長化
- 無線LAN