Pingポーリングによるメイン回線からインターネットVPNバックアップへの自動切り替え（ISP接続＋フレッツグループアクセス～L2TP編～）

センター、拠点間の通信にフレッツグループアクセス（以下「FGA」と省略します）を利用し、バックアップ回線としてインターネットVPNを利用するネットワークを構築します。

この例では、ルーターとして本製品をセンター側（ルーターA）、拠点側（ルーターB）に設置するネットワーク構成を例に解説します。
ここでは、それぞれの拠点ルーターのインターフェースに次の接続を想定して説明します。

表 1：インターフェース

インターフェース名 接続

ppp0 PPPoE、ISP接続、インターネットVPN接続、バックアップ回線

ppp1 PPPoE、FGA接続、L2TP接続

ppp11 L2TP Call用インターフェース

インターネットサービスプロバイダー（ISP）、およびFGAのグループ管理者からは、次の情報を提供されているものとします。

表 2：ISPおよびFGAグループ管理者から提供された情報

ルーターA（センター側） ルーターB（拠点側）

インターフェース ppp0 ppp1 ppp0 ppp1

PPPユーザー名 center@isp center@flets branch@isp branch@flets

PPPパスワード centpass fletsa brapass fletsb

PPPoEサービス名指定なし指定なし指定なし指定なし

IPアドレス 200.100.10.1/32 1.1.1.1/32（端末型） - 2.2.2.2/32（端末型）

グローバルアドレス1個（固定） CUGサービス網から取得（毎回同じアドレスが割り当てられる）グローバルアドレス1個（不定） CUGサービス網から取得（毎回同じアドレスが割り当てられる）

DNSサーバー接続時に通知される接続時に通知される接続時に通知される接続時に通知される

また、次のような環境を想定しています。

FGAと各ルーター間、ISPとルーター間をPPPoE接続する
インターネット向けの通信はそれぞれの拠点で契約しているISPを利用し、拠点間通信はFGA経由で行う
拠点間通信はL2TPでトンネリングする。FGA＋L2TPでは、それぞれの拠点ルーターのWANアドレスに常に同じアドレスが割り当てられるため、拠点間通信はセンター側からでも拠点側からでも通信を開始することができる
インターネットVPNでは、拠点側ルーターのWANアドレスが不定のため、拠点側からのみ通信を開始することができる
L2TPがダウンした場合でも、L2TP経由のパケットのルートが無効にならないよう、idleタイマーを設定する（L2TP経由で送出されるべきpingポーリングパケットのルートが無効になると、デフォルトルートであるppp0側にpingポーリングのパケットが回り込んできてしまうため）
Pingポーリングを対向ルーターのLAN側インターフェースに向け、定期的に通信状況を確認し、障害発生時にはトリガーを起動してバックアップ回線（PPPoE+インターネットVPN）へ通信ルートを切り替える
それぞれの拠点からインターネット通信を行うために、ルーターのISP接続インターフェース（ppp0）にENATを設定する

■ 通常接続時の通信は以下のように行われます。

センター/拠点からのインターネット向けの通信ルート

ルーターAのLAN側からISP宛に送出されたパケットは、ルーターAのLAN側インターフェース（vlan1）からルーターAのppp0に転送され、プライベートアドレス（192.168.1.x/24）からppp0のグローバルアドレス（200.100.10.1/32）にENAT変換されてパケットが転送されます。
同様に、ルーターBのLAN側からISP宛に送出されたパケットは、ルーターBのLAN側インターフェース（vlan1）からルーターBのppp0に転送され、プライベートアドレス（192.168.2.x/24）からppp0のグローバルアドレス（200.100.20.1/32）にENAT変換されてパケットが転送されます。
センター/拠点間の通信ルート

ルーターAのLAN側から拠点（ルーターB）宛に送出されたパケットは、ppp1インターフェースのL2TPトンネリングによって、プライベートアドレス（192.168.1.x/24）のままルーターBのvlan1へ届きます。
同様に、ルーターBのLAN側からセンター（ルーターA）宛に送出されたパケットは、ppp1インターフェースのL2TPトンネリングによってプライベートアドレス（192.168.2.x/24）のままルーターAのLAN側インターフェース（vlan1）へ届きます。

■ 障害発生時（バックアップ回線使用時）の通信は以下のように行われます。

センター/拠点からのインターネット向けの通信ルート

通常接続時と同様、ルーターAのLAN側からISP宛に送出されたパケットは、ルーターAのLAN側インターフェース（vlan1）からルーターAのppp0に転送され、プライベートアドレス（192.168.1.x/24）からppp0のグローバルアドレス（200.100.10.1/32）にENAT変換されてパケットが転送されます。
同様に、ルーターBのLAN側からISP宛に送出されたパケットは、ルーターBのLAN側インターフェース（vlan1）からルーターBのppp0に転送され、プライベートアドレス（192.168.2.x/24）からppp0のグローバルアドレス（200.100.20.1/32）にENAT変換されてパケットが転送されます。
センター/拠点間の通信ルート

ルーターAのLAN側から拠点（ルーターB）宛に送出されたパケットは、ルーターAのLAN側インターフェース（vlan1）からルーターAのppp0に転送されます。その後、インターネットVPNを経由してルーターBのppp0へ届き、ルーターBのLAN側インターフェース（vlan1）に転送されます。
同様に、ルーターBのLAN側からセンター（ルーターA）宛に送出されたパケットはルーターBのppp0インターフェースへ転送されます。その後、インターネットVPNを経由してルーターAのppp0へ届き、ルーターAのLAN側インターフェース（vlan1）に転送されます。このとき、IPsecを経由した通信が未確立の場合は、拠点間通信を開始する側（拠点側）から通信を開始します。

ルーターAの設定

セキュリティーモードで管理設定を行うことができるSecurity Officerレベルのユーザーを作成します。
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
L2TPモジュールを有効にします。
L2TPサーバーの機能を有効にして、サーバーモードに「BOTH」（LNSおよびLAC）を指定します。
L2TPコールを定義します。ここでは、コール名に「remote」、対向ルーター（ルーターB）の呼の名前に「remote」、接続先のIPアドレスに「2.2.2.2」、対向ルーターの呼の種類に「VIRTUAL」、着呼優先、ルーターBとの認証にパスワード「l2tp」を使用するように設定しています。
eth0インターフェース上にppp0インターフェースを作成します。ここでは、サービス名に「ANY」を設定しています。ISPから通知されたPPPoE認証のユーザー名とパスワードを指定します。ここでは、BAPを「OFF」、ユーザー名に「center@isp」、パスワードに「centpass」を設定しています。リンク状態の監視にLCP Echoパケットを使用するため、LQRを「OFF」、ECHOを「ON」に設定します。
5.と同様にeth1インターフェース上にppp1インターフェースを作成します。ユーザー名に「center@flets」、パスワードに「fletsa」を設定しています。
L2TPコール「remote」上にppp11インターフェースを作成します。PPPの再接続ができるようidleタイマーを設定します。
IPモジュールを有効にします。
IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。
LAN側インターフェース（vlan1）にIPアドレス「192.168.1.1/24」を設定します。
ISPから通知されたIPアドレス「200.100.10.1/32」をppp0インターフェースに設定します。
CUGサービス接続用のppp1インターフェースにIPアドレス「0.0.0.0」を設定します。CUGサービスとの接続が確立するまで、IPアドレスは確定しません。
ppp11インターフェースのIPアドレスを「0.0.0.0」に設定します。（実際の通信には、このインターフェースのアドレスは使用されません）
スタティックルートを設定します。この設定で、ルーターBのLAN側インターフェース（vlan1）にPingポーリングのICMPパケットをルーティングします。INTERFACEにppp11を指定することで、L2TPのカプセル化が行われます。
Note - 後述のとおり、192.168.2.0のルートは回線切断時にトリガーによりIPsec(ppp0)側に書き換わってしまうため、別々に設定を行います。
スタティックルートを設定します。この設定で、ルーターBのLAN側宛のパケットをL2TPトンネル経由でルーティングします。INTERFACEにppp11を指定することで、L2TPのカプセル化が行われます。
スタティックルートを設定します。この設定で、ppp11でL2TPのカプセル化がされたパケットを実際の送出インターフェースであるppp1へルーティングします。
デフォルトルートを設定します。この設定で、インターネット向けの通信をルーティングします。
ファイアウォール機能を有効にします。
ファイアウォールポリシーを作成します。ここでは、ポリシー名を「net」としています。
ICMPパケットはPing（Echo/EchoReply）とUnreachableのみ通過させるように設定します。
identプロキシー機能を無効にします。identプロキシーは、FIREWALL有効時に、外部から内部へのident要求に対して代理応答する機能です。無効に設定した場合、ident接続要求に対してRSTを返し、TCPコネクションをただちに終了させます。
ファイアウォール適用対象の各インターフェースを設定します。
LAN側インターフェース（vlan1）にENATの設定をします。
相手ルーターから受信したIKEパケット（UDP500番）がファイアウォールを通過できるように設定します。
相手ルーターから受信したL2TPパケット（UDP1701番）がファイアウォールを通過できるように設定します。
IPsec通信を行う際、ローカルLANからリモートLANへのパケットにはNATをかけないように設定します。
基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.1.1～192.168.1.254、つまり、ローカル側LANならばNATの対象外とする」の意味になります。
ルーターBのLAN側インターフェース（vlan1）を監視対象としてPingポーリングの設定をします。ここでは、PingポーリングIDを「1」に設定しています。NORMALINTERVALは監視対象機器がUPのときのポーリング間隔（秒）、UPCOUNTは機器の状態が「Down」「Critical Down」から「UP」に戻るのに必要な連続した「応答あり」の数です。SAMPLESIZEは、到達性判断のために保持しておくPingパケットの数です。ここではNORMALINTERVALを「10」、UPCOUNTを「5」、SAMPLESIZEを「10」に設定しています。
Pingポーリングを有効にします。
ISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します（ルーターBと同じに設定）。
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）などで設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。

Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵（鍵番号「1」）を指定し、HEARTBEATMODEにBOTHを指定して、ISAKMPハートビートを使用します。また、この例では相手のアドレスが不定なため、PEERにANYを、REMOTEIDで相手の認証IDを指定し、「MODE=AGGRESSIVE」でAggressiveモードを使うよう設定します。
IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード（デフォルト）、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット（ISAKMP）に設定します。
実際のIPsec通信に使用するIPsecポリシー「vpn」を、PPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、BUNDLEにはSAバンドルスペック「1」を指定します。相手のIPアドレスが不定なので、ISAKMPの認証をパスしたものだけを指定する意味で、PEERにDYNAMICを指定します。
IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
Security Officerレベルのユーザーでログインしなおします。
動作モードをセキュリティーモードに切り替えます。
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください（ENABLE USER RSOコマンド）。
pingポーリングでFGA上の経路ステータスが変化した場合のスクリプトを作成します。
ルーターAのFGA側（ppp1側）インターフェースでのpingポーリングステートが「down」になった場合に、ppp0側にあらかじめ設定されているIPsec設定を有効にし、FGA経由の拠点間通信パケットのスタティックルートを削除し、IPsec（ppp0）を経由するスタティックルートを追加するスクリプト「pingd.scp」を作成します。
Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド（内蔵フルスクリーンエディター）などを使って設定スクリプトファイル（.CFG）にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。

Note - IPsecを経由するスタティックルートは追加しなくても、デフォルトルートであるppp0へ送信されますが、切り替えをスムーズに行う目的であえて追加しています。
ルーターAのFGA側（ppp1側）インターフェースでのpingポーリングステートが「up」になった場合に、ルーターBのLAN側アドレス宛に送出される拠点間通信パケットをFGA経由で送出するスタティックルートを追加し、IPsec（ppp0）を経由するスタティックルートを削除し、ppp0側で有効になっているIPsec設定を無効にするスクリプト「pingu.scp」を作成します。（このスタティックルートの追加により、拠点間通信のパケットが再びFGA経由で送出されるようになります。）
ppp1インターフェースのステータス変化を検知した場合のスクリプトを作成します。
インターフェーストリガーを併用することにより、インターフェースがダウンした場合にpingポーリングよりも早くステータスの変化を検知させることができます。ここでは、インターフェースがダウンした場合に、FGA経由のスタティックルートを削除し、あらかじめ設定されているIPsec設定をenableにするスクリプト「down.scp」を作成します。またインターフェースのダウンの場合、経路が変わるとL2TPパケットがIPsec側に回り込んでしまうことがあるため、経路を変更すると同時にpingポーリングをdisableにします。
FGA(ppp1)インターフェースが復旧した場合に、FGA経由のスタティックルートを追加し、disableになっていたpingポーリングをenableにするスクリプト「up.scp」を作成します。
トリガー機能を有効にします。
PingポーリングによりデバイスのUPを検出すると、先に作成したスクリプト「pingu.scp」を実行するトリガー「1」を作成します。
PingポーリングによりデバイスのDOWNを検出すると、先に作成したスクリプト「pingd.scp」を実行するトリガー「2」を作成します。
インターフェースイベント「UP」を検出すると、先に作成したスクリプト「up.scp」を実行するトリガー「3」を作成します。
インターフェースイベント「DOWN」を検出すると、先に作成したスクリプト「down.scp」を実行するトリガー「4」を作成します。
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

ルーターBの設定

セキュリティーモードで管理設定を行うことができるSecurity Officerレベルのユーザーを作成します。
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
L2TPモジュールを有効にします。
L2TPサーバーの機能を有効にして、サーバーモードに「BOTH」（LNSおよびLAC）を指定します。
L2TPコールを定義します。ここでは、コール名に「remote」、対向ルーター（ルーターA）の呼の名前に「remote」、接続先のIPアドレスに「1.1.1.1」、対向ルーターの呼の種類に「VIRTUAL」、着呼優先、ルーターAとの認証にパスワード「l2tp」を使用するように設定しています。
eth0インターフェース上にppp0インターフェースを作成します。ここでは、サービス名に「ANY」を設定しています。ISPから通知されたPPPoE認証のユーザー名とパスワードを指定します。ここでは、BAPを「OFF」、ユーザー名に「branch@isp」、パスワードに「brapass」を設定しています。リンク状態の監視にLCP Echoパケットを使用するため、LQRを「OFF」、ECHOを「ON」に設定します。
5.と同様にeth1インターフェース上にppp1インターフェースを作成します。ユーザー名に「branch@flets」、パスワードに「fletsb」を設定しています。
L2TPコール「remote」上にppp11インターフェースを作成します。PPPの再接続ができるようidleタイマーを設定します。
IPモジュールを有効にします。
IPCPネゴシエーションで与えられたIPアドレスをPPPインターフェースで使用するように設定します。
LAN側インターフェース（vlan1）にIPアドレス「192.168.2.1/24」を設定します。
ppp0のインターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまでIPアドレスは確定しません。
CUGサービス接続用のppp1インターフェースにIPアドレス「0.0.0.0」を設定します。CUGサービスとの接続が確立するまで、IPアドレスは確定しません。
ppp11インターフェースのIPアドレスを「0.0.0.0」に設定します。（実際の通信には、このインターフェースのアドレスは使用されません）
スタティックルートを設定します。この設定で、ルーターAのLAN側インターフェース（vlan1）にPingポーリングのICMPパケットをルーティングします。INTERFACEにppp11を指定することで、L2TPのカプセル化が行われます。
スタティックルートを設定します。この設定で、ルーターAのLAN側宛のパケットをL2TPトンネル経由でルーティングします。INTERFACEにppp11を指定することで、L2TPのカプセル化が行われます。
スタティックルートを設定します。この設定で、ppp11でL2TPのカプセル化がされたパケットを実際の送出インターフェースであるppp1へルーティングします。
デフォルトルートを設定します。この設定で、インターネット向けの通信をルーティングします。
ファイアウォール機能を有効にします。
ファイアウォールポリシーを作成します。ここでは、ポリシー名を「net」としています。
ICMPパケットはPing（Echo/EchoReply）とUnreachableのみ通過させるように設定します。
identプロキシー機能を無効にします。identプロキシーは、FIREWALL有効時に、外部から内部へのident要求に対して代理応答する機能です。無効に設定した場合、ident接続要求に対してRSTを返し、TCPコネクションをただちに終了させます。
ファイアウォール適用対象の各インターフェースを設定します。
LAN側インターフェース（vlan1）にENATの設定をします。
IPsec通信を行う際、ローカルLANからリモートLANへのパケットにはNATをかけないように設定します。
基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.2.1～192.168.2.254、つまり、ローカル側LANならばNATの対象外とする」の意味になります。
相手ルーターから受信したL2TPパケット（UDP1701番）がファイアウォールを通過できるように設定します。
ルーターAのLAN側インターフェース（vlan1）を監視対象としてPingポーリングの設定をします。ここでは、PingポーリングIDを「1」に設定しています。NORMALINTERVALは監視対象機器がUPのときのポーリング間隔（秒）、UPCOUNTは機器の状態が「Down」「Critical Down」から「UP」に戻るのに必要な連続した「応答あり」の数です。SAMPLESIZEは、到達性判断のために保持しておくPingパケットの数です。ここではNORMALINTERVALを「10」、UPCOUNTを「5」、SAMPLESIZEを「10」に設定しています。
Pingポーリングを有効にします。
ISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します（ルーターAと同じに設定）。
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）などで設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。

Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵（鍵番号「1」）を指定し、HEARTBEATMODEにBOTHを指定して、ISAKMPハートビートを使用します。PEERには相手のIPアドレス「200.100.10.1」を指定します。また自分のアドレスが不定なため、LOCALIDで自分の認証IDを指定し、「MODE=AGGRESSIVE」でAggressiveモードを使うよう設定します。
IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード（デフォルト）、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット（ISAKMP）に設定します。
実際のIPsec通信に使用するIPsecポリシー「vpn」を、PPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERにはルーターAのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定します。
IPsecポリシー「vpn」に対して実際にIPsec通信を行うIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
Security Officerレベルのユーザーでログインしなおします。
動作モードをセキュリティーモードに切り替えます。
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください（ENABLE USER RSOコマンド）。
pingポーリングでFGA上の経路ステータスが変化した場合のスクリプトを作成します。
ルーターBのFGA側（ppp1側）インターフェースでのpingポーリングステートが「down」になった場合に、ppp0側にあらかじめ設定されているIPsec設定を有効にし、FGA経由の拠点間通信パケットのスタティックルートを削除し、IPsec（ppp0）を経由するスタティックルートを追加するスクリプト「pingd.scp」を作成します。
Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド（内蔵フルスクリーンエディター）などを使って設定スクリプトファイル（.CFG）にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。

Note - IPsecを経由するスタティックルートは追加しなくても、デフォルトルートであるppp0へ送信されますが、切り替えをスムーズに行う目的であえて追加しています。
ルーターBのFGA側（ppp1側）インターフェースでのpingポーリングステートが「up」になった場合に、ルーターAのLAN側アドレス宛に送出される拠点間通信パケットをFGA経由で送出するスタティックルートを追加し、IPsec（ppp0）を経由するスタティックルートを削除し、ppp0側で有効になっているIPsec設定を無効にするスクリプト「pingu.scp」を作成します。（このスタティックルートの追加により、拠点間通信のパケットが再びFGA経由で送出されるようになります。）
ppp1インターフェースのステータス変化を検知した場合のスクリプトを作成します。
インターフェーストリガーを併用することにより、インターフェースがダウンした場合にpingポーリングよりも早くステータスの変化を検知させることができます。ここでは、インターフェースがダウンした場合に、FGA経由のスタティックルートを削除し、あらかじめ設定されているIPsec設定をenableにするスクリプト「down.scp」を作成します。またインターフェースのダウンの場合、経路が変わるとL2TPパケットがIPsec側に回り込んでしまうことがあるため、経路を変更すると同時にpingポーリングをdisableにします。
FGA(ppp1)インターフェースが復旧した場合に、FGA経由のスタティックルートを追加し、disableになっていたpingポーリングをenableにするスクリプト「up.scp」を作成します。
トリガー機能を有効にします。
PingポーリングによりデバイスのUPを検出すると、先に作成したスクリプト「pingu.scp」を実行するトリガー「1」を作成します。
PingポーリングによりデバイスのDOWNを検出すると、先に作成したスクリプト「pingd.scp」を実行するトリガー「2」を作成します。
インターフェースイベント「UP」を検出すると、先に作成したスクリプト「up.scp」を実行するトリガー「3」を作成します。
インターフェースイベント「DOWN」を検出すると、先に作成したスクリプト「down.scp」を実行するトリガー「4」を作成します。
設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

まとめ

ルーターAのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ ENABLE L2TP ↓ ENABLE L2TP SERVER=BOTH ↓ ADD L2TP CALL=remote REMOTE=remote IP=2.2.2.2 TYPE=VIRTUAL PRECEDENCE=IN PASS=l2tp ↓ CREATE PPP=0 OVER=eth0-ANY ↓ SET PPP=0 BAP=OFF USERNAME=center@isp PASSWORD=centpass ↓ SET PPP=0 OVER=eth0-ANY LQR=OFF ECHO=ON ↓ CREATE PPP=1 OVER=eth1-ANY ↓ SET PPP=1 BAP=OFF USERNAME=center@flets PASSWORD=fletsa ↓ SET PPP=1 OVER=eth1-ANY LQR=OFF ECHO=ON ↓ CREATE PPP=11 OVER=TNL-remote IDLE=999999999 BAP=OFF LQR=OFF ↓ ENABLE IP ↓ ENABLE IP REMOTEASSIGN ↓ ADD IP INTERFACE=vlan1 IPADDRESS=192.168.1.1 MASK=255.255.255.0 ↓ ADD IP INTERFACE=ppp0 IPADDRESS=200.100.10.1 MASK=255.255.255.255 ↓ ADD IP INTERFACE=ppp1 IPADDRESS=0.0.0.0 ↓ ADD IP INTERFACE=ppp11 IPADDRESS=0.0.0.0 ↓ ADD IP ROUTE=192.168.2.1 MASK=255.255.255.255 INTERFACE=ppp11 NEXT=0.0.0.0 ↓ ADD IP ROUTE=192.168.2.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0 ↓ ADD IP ROUTE=2.2.2.2 MASK=255.255.255.255 INT=ppp1 NEXT=0.0.0.0 ↓ ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INTERFACE=ppp0 NEXT=0.0.0.0 ↓ ENABLE FIREWALL ↓ CREATE FIREWALL POLICY=net ↓ ENABLE FIREWALL POLICY=net ICMP_FORWARDING=PING,UNREACH ↓ DISABLE FIREWALL POLICY=net IDENTPROXY ↓ ADD FIREWALL POLICY=net INTERFACE=vlan1 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INTERFACE=ppp0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net INTERFACE=ppp1 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net INTERFACE=ppp11 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net NAT=ENHANCED INTERFACE=vlan1 GBLINTERFACE=ppp0 GBLIP=200.100.10.1 ↓ ADD FIREWALL POLICY=net RULE=1 ACTION=ALLOW INTERFACE=ppp0 PROTOCOL=UDP GBLPORT=500 GBLIP=200.100.10.1 PORT=500 IP=200.100.10.1 ↓ ADD FIREWALL POLICY=net RULE=2 ACTION=ALLOW INTERFACE=ppp1 PROTOCOL=UDP PORT=1701 ↓ ADD FIREWALL POLICY=net RULE=3 ACTION=NON INTERFACE=vlan1 PROTOCOL=ALL IP=192.168.1.1-192.168.1.254 ↓ SET FIREWALL POLICY=net RULE=3 REMOTEIP=192.168.2.1-192.168.2.254 ↓ ADD FIREWALL POLICY=net RULE=4 ACTION=NON INTERFACE=ppp0 PROTOCOL=ALL IP=192.168.1.1-192.168.1.254 ENCAP=IPSEC ↓ ADD PING POLL=1 IPADDRESS=192.168.2.1 NORMALINTERVAL=10 UPCOUNT=5 SAMPLESIZE=10 ↓ ENABLE PING POLL=1 ↓ # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓ CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH REMOTEID="client" MODE=AGGRESSIVE ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓ CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓ CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="vpn" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓ SET IPSEC POLICY="vpn" LAD=192.168.1.0 LMA=255.255.255.0 RAD=192.168.2.0 RMA=255.255.255.0 ↓ CREATE IPSEC POLICY="inet" INTERFACE=ppp0 ACTION=PERMIT ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓ ENABLE TRIGGER ↓ CREATE TRIGGER=1 MODULE=PING EVENT=DEVICEUP POLL=1 SCRIPT=pingu.scp ↓ CREATE TRIGGER=2 MODULE=PING EVENT=DEVICEDOWN POLL=1 SCRIPT=pingd.scp ↓ CREATE TRIGGER=3 INTERFACE=ppp1 EVENT=UP CP=LCP SCRIPT=up.scp ↓ CREATE TRIGGER=4 INTERFACE=ppp1 EVENT=DOWN CP=LCP SCRIPT=down.scp ↓

スクリプト「pingd.scp」 [テキスト版]

ENABLE ISAKMP ↓ ENABLE IPSEC ↓ DELETE IP ROUTE=192.168.2.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0 ↓ ADD IP ROUTE=192.168.2.0 MASK=255.255.255.0 INTERFACE=ppp0 NEXT=0.0.0.0 ↓

スクリプト「pingu.scp」 [テキスト版]

DELETE IP ROUTE=192.168.2.0 MASK=255.255.255.0 INTERFACE=ppp0 NEXT=0.0.0.0 ↓ ADD IP ROUTE=192.168.2.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0 ↓ DISABLE IPSEC ↓ DISABLE ISAKMP ↓

スクリプト「down.scp」 [テキスト版]

ENABLE ISAKMP ↓ ENABLE IPSEC ↓ DISABLE PING POL=1 ↓ DELETE IP ROUTE=192.168.2.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0 ↓

スクリプト「up.scp」 [テキスト版]

ADD IP ROUTE=192.168.2.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0 ↓ ENA PING POL=1 ↓ DISABLE IPSEC ↓ DISABLE ISAKMP ↓

ルーターBのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ ENABLE L2TP ↓ ENABLE L2TP SERVER=BOTH ↓ ADD L2TP CALL=remote REMOTE="remote" TYPE=VIRTUAL IP=1.1.1.1 PRECEDENCE=OUT PASSWORD=l2tp ↓ CREATE PPP=0 OVER=eth0-ANY ↓ SET PPP=0 BAP=OFF USERNAME=branch@isp PASSWORD=brapass ↓ SET PPP=0 OVER=eth0-ANY LQR=OFF ECHO=ON ↓ CREATE PPP=1 OVER=eth1-ANY ↓ SET PPP=1 BAP=OFF USERNAME=branch@flets PASSWORD=fletsb ↓ SET PPP=1 OVER=eth1-ANY LQR=OFF ECHO=ON ↓ CREATE PPP=11 OVER=TNL-remote BAP=OFF LQR=OFF IPREQUEST=ON IDLE=999999999 ↓ ENABLE IP ↓ ENABLE IP REMOTEASSIGN ↓ ADD IP INTERFACE=vlan1 IPADDRESS=192.168.2.1 MASK=255.255.255.0 ↓ ADD IP INTERFACE=ppp0 IPADDRESS=0.0.0.0 ↓ ADD IP INTERFACE=ppp1 IPADDRESS=0.0.0.0 ↓ ADD IP INTERFACE=ppp11 IPADDRESS=0.0.0.0 ↓ ADD IP ROUTE=192.168.1.1 MASK=255.255.255.255 INTERFACE=ppp11 NEXT=0.0.0.0 ↓ ADD IP ROUTE=192.168.1.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0 ↓ ADD IP ROUTE=1.1.1.1 MASK=255.255.255.255 INT=ppp1 next=0.0.0.0 ↓ ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INTERFACE=ppp0 NEXT=0.0.0.0 ↓ ENABLE FIREWALL ↓ CREATE FIREWALL POLICY=net ↓ ENABLE FIREWALL POLICY=net ICMP_FORWARDING=PING,UNREACH ↓ DISABLE FIREWALL POLICY=net IDENTPROXY ↓ ADD FIREWALL POLICY=net INTERFACE=vlan1 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INTERFACE=ppp0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net INTERFACE=ppp1 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net INTERFACE=ppp11 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net NAT=ENHANCED INTERFACE=vlan1 GBLINTERFACE=ppp0 ↓ ADD FIREWALL POLICY=net RULE=1 ACTION=NON INTERFACE=vlan1 PROTOCOL=ALL IP=192.168.2.1-192.168.2.254 ↓ SET FIREWALL POLICY=net RULE=1 REMOTEIP=192.168.1.1-192.168.1.254 ↓ ADD FIREWALL POLICY=net RULE=2 ACTION=NON INTERFACE=ppp0 PROTOCOL=ALL IP=192.168.2.1-192.168.2.254 ENCAP=IPSEC ↓ ADD FIREWALL POLICY=net RULE=3 ACTION=ALLOW INTERFACE=ppp1 PROTOCOL=UDP PORT=1701 ↓ ADD PING POLL=1 IPADDRESS=192.168.1.1 NORMALINTERVAL=10 UPCOUNT=5 SAMPLESIZE=10 ↓ ENABLE PING POLL=1 ↓ # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓ CREATE ISAKMP POLICY="i" PEER=200.100.10.1 KEY=1 HEARTBEATMODE=BOTH SENDN=TRUE LOCALID="client" MODE=AGGRESSIVE ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓ CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓ CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="vpn" INTERFACE=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1 ↓ SET IPSEC POLICY="vpn" LAD=192.168.2.0 LMA=255.255.255.0 RAD=192.168.1.0 RMA=255.255.255.0 ↓ CREATE IPSEC POLICY="inet" INTERFACE=ppp0 ACTION=PERMIT ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓ ENABLE TRIGGER ↓ CREATE TRIGGER=1 MODULE=PING EVENT=DEVICEUP POLL=1 SCRIPT=pingu.scp ↓ CREATE TRIGGER=2 MODULE=PING EVENT=DEVICEDOWN POLL=1 SCRIPT=pingd.scp ↓ CREATE TRIGGER=3 INTERFACE=ppp1 EVENT=UP CP=LCP SCRIPT=up.scp ↓ CREATE TRIGGER=4 INTERFACE=ppp1 EVENT=DOWN CP=LCP SCRIPT=down.scp ↓

スクリプト「pingd.scp」 [テキスト版]

ENABLE ISAKMP ↓ ENABLE IPSEC ↓ DELETE IP ROUTE=192.168.1.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0 ↓ ADD IP ROUTE=192.168.1.0 MASK=255.255.255.0 INTERFACE=ppp0 NEXT=0.0.0.0 ↓

スクリプト「pingu.scp」 [テキスト版]

DELETE IP ROUTE=192.168.1.0 MASK=255.255.255.0 INTERFACE=ppp0 NEXT=0.0.0.0 ↓ ADD IP ROUTE=192.168.1.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0 ↓ DISABLE IPSEC ↓ DISABLE ISAKMP ↓

スクリプト「down.scp」 [テキスト版]

ENABLE ISAKMP ↓ ENABLE IPSEC ↓ DISABLE PING POL=1 ↓ DELETE IP ROUTE=192.168.1.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0 ↓

スクリプト「up.scp」 [テキスト版]

ADD IP ROUTE=192.168.1.0 MASK=255.255.255.0 INTERFACE=ppp11 NEXT=0.0.0.0 ↓ ENA PING POL=1 ↓ DISABLE IPSEC ↓ DISABLE ISAKMP ↓

CentreCOM AR550S 設定例集 2.9 #170

PN: J613-M0710-04 Rev.P

＜前頁次頁＞＜＜＞＞ ↑ 目次（番号順 (詳細)・回線別 (詳細)・機能別 (詳細)）

インターフェース名	接続
ppp0	PPPoE、ISP接続、インターネットVPN接続、バックアップ回線
ppp1	PPPoE、FGA接続、L2TP接続
ppp11	L2TP Call用インターフェース

	ルーターA（センター側）		ルーターB（拠点側）
インターフェース	ppp0	ppp1	ppp0	ppp1
PPPユーザー名	center@isp	center@flets	branch@isp	branch@flets
PPPパスワード	centpass	fletsa	brapass	fletsb
PPPoEサービス名	指定なし	指定なし	指定なし	指定なし
IPアドレス	200.100.10.1/32	1.1.1.1/32（端末型）	-	2.2.2.2/32（端末型）
IPアドレス	グローバルアドレス1個（固定）	CUGサービス網から取得（毎回同じアドレスが割り当てられる）	グローバルアドレス1個（不定）	CUGサービス網から取得（毎回同じアドレスが割り当てられる）
DNSサーバー	接続時に通知される	接続時に通知される	接続時に通知される	接続時に通知される