NXR,WXRシリーズ

5-5. Route Based IPsec冗長化設定(local policy changeの利用)

この設定例では拠点側で回線の冗長化を行います。正常時はルータ間でメインWAN回線を利用したIPsec通信を行います。そして拠点側でPing監視を行い障害検出時は拠点側ルータでバックアップWAN回線に切り替えて通信を行います。なおこの設定例では拠点側のバックアップ回線にモバイル回線を利用します。

【 構成図 】

<正常時>

<ルータNXR_B Ping監視NG時>

• ルータNXR_BではPing監視NG時、ネットイベント機能でipsec local policyを1→2に変更します。
  (☞) これにより1つのIPsec設定で冗長化を実現します。
• ルータNXR_AではPing監視を受け付けるため、WAN側インタフェースの入力フィルタでICMP Echo Request(Type8 Code0)を許可します。

【 設定データ 】

〔NXR_Aの設定〕

〔NXR_Bの設定〕

【 設定例 】

〔NXR_Aの設定〕

〔NXR_Bの設定〕

【 設定例解説 】

〔NXR_Aの設定〕

1. <ホスト名の設定>

ホスト名を設定します。

2. <LAN側(ethernet0)インタフェース設定>

ethernet0インタフェースのIPアドレスを設定します。

3. <スタティックルート設定>

LAN_B向けのルートを設定します。なおIPsec SA確立時はトンネル1インタフェースを、未確立時はnullインタフェースのルートを利用するように設定します。
(☞) nullインタフェースが出力インタフェースとして有効な場合、パケットが出力されることはありません(ドロップされます)。

デフォルトルートを設定します。

4. <IPアクセスリスト設定>

IPアクセスリスト名をeth1_inとし、WAN側IPアドレス10.10.10.1宛のIKEパケット(UDPポート500番)、ESPパケット(プロトコル番号50)を許可します。
なおこのIPアクセスリスト設定はethernet1インタフェース設定で登録します。
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングしたいインタフェースでの登録が必要になります。

宛先IPアドレス10.10.10.1,ICMP Type8 Code0(ICMP Echo Request)のパケットを許可します。
(☞) ルータNXR_BのPing監視用のフィルタになります。

5. <IPsecアクセスリスト設定>

ipsec_aclという名前のIPsecアクセスリストを設定します。なお送信元IPアドレス,宛先IPアドレスともにanyとします。

6. <IPsecローカルポリシー設定>

IPsecトンネルの送信元IPアドレスにip(IPv4)を設定します。

7. <IPsec ISAKMPポリシー設定>

ISAKMPポリシーの説明としてNXR_B、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckeyを設定します。なお事前共有鍵はルータNXR_Bと共通の値を設定します。

認証アルゴリズムとしてsha256、暗号化アルゴリズムとしてaes128，Diffie-Hellman(DH)グループとしてgroup 5、ISAKMP SAのライフタイムとして10800秒、フェーズ1のネゴシエーションモードとしてアグレッシブモードを設定します。

ルータNXR_Bのppp0,ppp1インタフェースからの接続を受け付けるため、リモートアドレスにanyを設定します。またリモートIDをFQDN方式でnxrbとし、ルータNXR_BのセルフIDと同じIDを設定します。そしてIKE KeepAlive(DPD)を監視間隔30秒,リトライ回数3回としkeepalive失敗時にSAを削除するように設定します。さらにIPsecローカルポリシー1と関連づけを行います。

8. <IPsecトンネルポリシー設定>

IPsecトンネルポリシーの説明としてNXR_B、ネゴシエーションモードとしてresponderを設定します。

暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha256、PFSを有効にし、かつDHグループとしてgroup5、IPsec SAのライフタイムとして3600秒を設定します。

ISAKMPポリシー1と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。

9. <トンネル1インタフェース設定>

トンネル1インタフェースでトンネルモードをipsec ipv4、使用するトンネルポリシーとして1を設定します。またTCP MSSの調整機能をオートに設定します。

10. <WAN側(ethernet1)インタフェース設定>

ethernet1インタフェースのIPアドレスを設定します。

IPマスカレード、ステートフルパケットインスペクションを有効に設定します。またIPアクセスリストeth1_inをinフィルタに適用します。

IPsecトンネルのエンドポイントとなるためIPsecローカルポリシー1を設定します。

11. <DNS設定>

DNSサービスを有効にします。またプライマリDNSサーバアドレスを設定します。

12. <ファストフォワーディングの有効化>

ファストフォワーディングを有効にします。ファストフォワーディングを設定することによりパケット転送の高速化を行うことができます。
(☞) ファストフォワーディングの詳細および利用時の制約については、NXR,WXRシリーズのユーザーズガイド(CLI版)に記載されているファストフォワーディングの解説をご参照ください。

〔NXR_Bの設定〕

1. <ホスト名の設定>

ホスト名を設定します。

2. <トラック設定(Ping監視)>

Ping監視設定をトラックNo.1に登録します。指定回数リトライ後、応答が得られない場合はダウン状態に遷移します。
(☞) インタフェース名を指定した場合はそのインタフェースのIPアドレスが監視パケットの送信元IPアドレスとなります。
(☞) ディレイは復旧時(ステータスをアップと認識した場合)から実際にアップ時の動作を実行するまでの遅延時間となります。そしてディレイタイマが動作している間はダウン状態が維持され、この間もPing監視は行われます。なおディレイタイマ中にダウンイベントを検知した場合は、ディレイタイマはキャンセルされます。そしてディレイタイマがタイムアウトするとアップ状態に遷移します。このときディレイタイマ中にカウントしたPing監視の失敗回数は0クリアされ、再びPing監視が開始されます。

3. <LAN側(ethernet0)インタフェース設定>

ethernet0インタフェースのIPアドレスを設定します。

4. <スタティックルート設定>

LAN_A向けのルートを設定します。なおIPsec SA確立時はトンネル1インタフェースを、未確立時はnullインタフェースのルートを利用するように設定します。
(☞) nullインタフェースが出力インタフェースとして有効な場合、パケットが出力されることはありません(ドロップされます)。

デフォルトルートを設定します。なおこのルートのディスタンス値としてppp0インタフェースは1，ppp1インタフェースは10を設定します。

5. <IPアクセスリスト設定>

IPアクセスリスト名をwan_inとし、送信元がルータNXR_AのWAN側IPアドレス10.10.10.1のIKEパケット(UDPポート500番)、ESPパケット(プロトコル番号50)を許可します。なおこのIPアクセスリスト設定はppp0,ppp1インタフェース設定で登録します。

6. <IPsecアクセスリスト設定>

ipsec_aclという名前のIPsecアクセスリストを設定します。なお送信元IPアドレス,宛先IPアドレスともにanyとします。

7. <IPsecローカルポリシー1設定>

IPsecトンネルの送信元IPアドレスにip(IPv4)を設定します。またセルフIDをFQDN方式でnxrbとし、ルータNXR_AのリモートIDと同じIDを設定します。
(☞) このIPsecローカルポリシー設定はppp0インタフェースに登録します。
(☞) identityはIPsecローカルポリシー2と同じ値を設定します。

8. <IPsecローカルポリシー2設定>

IPsecトンネルの送信元IPアドレスにip(IPv4)を設定します。またセルフIDをFQDN方式でnxrbとし、ルータNXR_AのリモートIDと同じIDを設定します。
(☞) このIPsecローカルポリシー設定はppp1インタフェースに登録します。
(☞) identityはIPsecローカルポリシー1と同じ値を設定します。

9. <IPsec ISAKMPポリシー設定>

ISAKMPポリシーの説明としてNXR_A、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckeyを設定します。なお事前共有鍵はNXR_Aと共通の値を設定します。

認証アルゴリズムとしてsha256、暗号化アルゴリズムとしてaes128，Diffie-Hellman(DH)グループとしてgroup 5、ISAKMP SAのライフタイムとして10800秒、フェーズ1のネゴシエーションモードとしてアグレッシブモードを設定します。

リモートアドレスにルータNXR_AのWAN側IPアドレスを設定します。またIKE KeepAlive(DPD)を監視間隔30秒,リトライ回数3回としkeepalive失敗時にSAを削除しIKEのネゴシエーションを開始するように設定します。

IPsecローカルポリシー1と関連づけを行います。またtrack 1コマンドで指定したPing監視で障害を検知した場合、IPsecローカルポリシーを1から2に変更するように設定します。

10. <IPsec トンネルポリシー設定>

IPsecトンネルポリシーの説明としてNXR_A、ネゴシエーションモードとしてautoを設定します。

暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha256、PFSを有効にし、かつDHグループとしてgroup5、IPsec SAのライフタイムとして3600秒を設定します。

ISAKMPポリシー1と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。

11. <トンネル1インタフェース設定>

トンネル1インタフェースでトンネルモードをipsec ipv4、使用するトンネルポリシーとして1を設定します。またTCP MSSの調整機能をオートに設定します。

12. <PPPアカウント設定>

ppp0インタフェースで使用するISP接続用ユーザID,パスワードを設定します。

ppp1インタフェースで使用するPPP接続用ユーザID,パスワードを設定します。

13. <WANメイン側(ppp0)インタフェース設定>

ppp0インタフェースのIPアドレスが動的IPアドレスのためnegotiatedを設定します。

IPマスカレード、ステートフルパケットインスペクションを有効に設定します。またIPアクセスリストwan_inをinフィルタに適用します。そしてTCP MSSの調整機能をオートに設定します。

ISP接続用ユーザIDを設定します。またIPsecトンネルのエンドポイントとなるためIPsecローカルポリシー1を設定します。

14. <WANバックアップ側(ppp1)インタフェース設定>

ppp1インタフェースのIPアドレスが動的IPアドレスのためnegotiatedを設定します。

IPマスカレード、ステートフルパケットインスペクションを有効に設定します。またIPアクセスリストwan_inをinフィルタに適用します。そしてTCP MSSの調整機能をオートに設定します。

ip send-sourceを有効に設定します。
(☞) ip send-source機能はPPPインタフェースに設定されているIPアドレスを送信元IPアドレスとするパケットを送信する際、必ずIPアドレスの所有者であるPPPインタフェースから出力する機能です。

PPP接続用ユーザIDを設定します。またAPN,CID,PDPタイプを設定します。

発信用の電話番号およびダイアルタイムアウトを設定します。
(☞) ここで設定する電話番号はSIMカードの電話番号ではありません。

IPsecトンネルのエンドポイントとなるためIPsecローカルポリシー2を設定します。

ネットイベントを設定します。
trackコマンドで指定した監視方式で障害を検知した場合に実行する動作を指定します。
ここではtrack 1コマンドで指定したPing監視で障害(宛先IPアドレスへの疎通不可)を検知した場合、ppp1インタフェースでPPP接続を開始します。

15. <ethernet1インタフェース設定>

PPPoEクライアントとしてppp0インタフェースを使用できるように設定します。

16. <モバイルエラーリカバリー設定>

通信モジュールとの通信に重大な問題が発生する可能性が高いと判断した場合、通信モジュールのリセットを行うように設定します。

17. <モバイルターミネーションリカバリー設定>

PPP接続時に網側から切断された場合、通信モジュールのリセットを行うように設定します。

18. <モバイル割り当て設定>

mobile1と認識されている通信モジュールとppp1インタフェースの関連づけを行います。
通信モジュールをPPPインタフェースで使用する場合は、mobileコマンドによるPPPインタフェースへの関連付けが必要になります。

19. <DNS設定>

DNSサービスを有効にします。

20. <ファストフォワーディングの有効化>

ファストフォワーディングを有効にします。

【 端末の設定例 】

• 設定例show config形式サンプル(NXR_A)
• 設定例show config形式サンプル(NXR_B)