CentreCOM AR570S 設定例集 2.9: #124

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR570S 設定例集 2.9 #124

BGP-4:センターに対するマルチホーム(MED値による負荷分散)


ドメイン間経路制御プロトコルBGP-4(Border Gateway Protocol version 4)の設定例です。ここでは、CUG(Closed Users Group)サービスにおいてL2TP + IPsecを使用して、センターに複数回線で接続するマルチホームの構成例を示します。BGP-4では、経路情報にさまざまな「属性」を付加することにより、他ASの経路選択プロセスに影響を与えることができます。この例では、MULTI_EXIT_DISC(MED)属性を利用して下りトラフィックの負荷分散を試みます。


Note - 本機能はオプション機能ですので、ご使用にはフィーチャー(追加機能)ライセンスが必要です。

ここでは、次のような構成のネットワークを例に解説します。


ルーター(AS 65020)は配下に2つのサブネット(プレフィックス)を持ち、センター(AS 65010)と2つの回線で接続しています。AS 65020では、センターからの下りトラフィックが次のように負荷分散されることを望んでいます。

これを実現するため、AS 65020はセンターに対し、各プレフィックス(192.168.10.0/24と192.168.20.0/24)に次のようなMED(MULTI_EXIT_DISC)値を付加してセンターに通知します。

MED値は、他ASと複数点で接続している場合に、特定プレフィックス宛のトラフィックをどの回線経由で送信すべきか選択するときに使うメトリック(コスト)値です。値が小さい経路ほど優先的に使用されます。ASは経路制御ポリシーを実現する目的でMED値を設定し、他のASに通知します。このMED値をもとに経路選択を行うのは、通知を受ける側であることに注意してください。

センター側から見た場合、AS 65020内の2つのプレフィックス宛の経路は次のように見えます。

結果として、センターは192.168.10.0/24宛の経路としてppp11側回線を、192.168.20.0/24宛の経路としてppp12側回線を選ぶことが期待されます。また、ppp11側回線がダウンした場合は、192.168.10.0/24宛、192.168.20.0/24宛の両方がppp12側経由で送られてきます。

ここでは、次のようなネットワーク構成を例に解説します。

表 1:グループ管理者から提供された情報
 
ルーター
PPPユーザー名 userA@isp1 userB@isp2
PPPパスワード isppasswdA isppasswdB
IPアドレス 172.16.0.1/32 172.16.1.1/32
接続形態 端末型(アドレス1個固定) 端末型(アドレス1個固定)


ルーターの基本設定を次にまとめます。

表 2:ルーターの基本設定
 
ルーター
WAN側物理インターフェース eth0、eth1
WAN側(ppp11)IPアドレス 192.168.100.1/24
WAN側(ppp12)IPアドレス 192.168.110.1/24
LAN側(vlan10)IPアドレス 192.168.10.1/24
LAN側(vlan20)IPアドレス 192.168.20.1/24


ルーターの設定


  1. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。


    Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。

  2. L2TPモジュールを有効にします。


  3. L2TPサーバーをLAC/LNSの兼用モード(BOTH)で起動します。


  4. センターからのトンネル接続要求時に相手を認証するためのパスワード「l2tpA」を設定します。


  5. L2TPコール「remote1」および「remote2」を作成し、L2TPの接続先情報を登録します。IPには対向ルーターのIPアドレスを指定します。TYPEは呼の種類を示すもので、LAN間接続の場合はVIRTUALを指定します。PRECEDENCEはL2TPの通信が同時に開始された場合、発呼・着呼のどちらを優先するかを指定します。PASSWORDには、接続先で認証を受けるためのパスワードを指定します。


  6. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  7. ISPから通知されたPPPユーザー名とパスワードを設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  8. WAN側Ethernetインターフェース(eth1)上にPPPインターフェースを作成します。「OVER=eth1-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  9. ISPから通知されたPPPユーザー名とパスワードを設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  10. 各ルーター間でBGPを有効にするインターフェースとしてL2TPコール上にPPPインターフェースを作成します。CREATE PPPコマンドでL2TPコールを物理インターフェースとして指定するときは、L2TPコール名の前に「TNL-」を付けます。センター向けのPPPインターフェースを2つ作成します。


  11. ルーター配下のネットワークVLAN(vlan10およびvlan20)を作成します。


  12. それぞれのVLANにポートを割り当てます。


  13. IPモジュールを有効にします。


  14. LAN側インターフェース(vlan10およびvlan20)にIPアドレスを設定します。


  15. WAN側(ppp0)インターフェースにISPより割り当てられたIPアドレス「172.16.0.1」を設定します。また、BGPがソースアドレスとして使用するL2TP上のPPPインターフェース(ppp11)にIPアドレスを割り当てます。


  16. WAN側(ppp1)インターフェースにISPより割り当てられたIPアドレス「172.16.1.1」を設定します。また、BGPがソースアドレスとして使用するL2TP上のPPPインターフェース(ppp12)にIPアドレスを割り当てます。


  17. L2TPトンネルを設定するためのルートを設定します。


  18. 自AS番号を設定します。


  19. ppp0側のBGPピアを指定します。自分と異なるAS番号を持つピアはE-BGPピア(外部ピア)となります。


  20. ppp1側のBGPピアを指定します。自分と異なるAS番号を持つピアはE-BGPピア(外部ピア)となります。


  21. コミュニティー値「65020:10」を設定するルートマップ「prefix10」を作成します。


  22. BGPで配布するプレフィックスとして192.168.10.0/24を指定します。同プレフィックスにはルートマップ「prefix10」を適用し、コミュニティー値「65020:10」を付加します。


  23. コミュニティー値「65020:20」を設定するルートマップ「prefix20」を作成します。


  24. BGPで配布するプレフィックスとして192.168.20.0/24を指定します。同プレフィックスにはルートマップ「prefix20」を適用し、コミュニティー値「65020:20」を付加します。


  25. コミュニティー値「65020:10」にマッチするコミュニティーフィルター「1」を作成します。


  26. コミュニティー値「65020:20」にマッチするコミュニティーフィルター「2」を作成します。


  27. E-BGP経由で通知する経路のデフォルトMED値として「10」を指定します。


  28. ルートマップ「set_med_ppp11」を作成し、コミュニティーフィルター「2」にマッチする経路(192.168.20.0/24)にMED値「300」を設定するエントリー「1」を追加します。その他の経路については、デフォルトのMED値の10が設定されます。


  29. ルートマップ「set_med_ppp12」を作成し、コミュニティーフィルター「1」にマッチする経路(192.168.10.0/24)にMED値「300」を設定するエントリー「1」を追加します。その他の経路については、デフォルトのMED値の10が設定されます。


  30. ppp11側のBGPピア(192.168.100.2)に経路を通知するときに、ルートマップ「set_med_ppp11」を適用してから通知するよう設定します。また、COMMUNITIES属性を通知するため「SENDCOMMUNITY=YES」を付けます。


  31. ppp12側のBGPピア(192.168.110.2)に経路を通知するときに、ルートマップ「set_med_ppp12」を適用してから通知するよう設定します。また、COMMUNITIES属性を通知するため「SENDCOMMUNITY=YES」を付けます。


  32. 各BGPピアとのセッションを開始します。


  33. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」、「2」番とし、鍵の値は「secret-ab」、「secret-ac」という文字列で指定します(センター側ルーターと同じに設定)。


    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

    Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。

  34. ppp0側のピアとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i_B」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を指定し、PEERには対向ルーターのIPアドレスを指定します。


  35. ppp1側のピアとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i_C」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「2」)を指定し、PEERには対向ルーターのIPアドレスを指定します。


  36. IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。


  37. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。


  38. ppp0側でISAKMPメッセージを素通しさせるIPsecポリシー「isa_B」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。


    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  39. 実際のIPsec通信に使用するIPsecポリシー「vpn_B」をPPPインターフェース「0」に対して作成します。
    鍵管理方式には「ISAKMP」を、PEERには対向ルーターのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定し、実際にIPsec通信を行うIPアドレスの範囲を指定します。本構成では、L2TPパケットが対象となります。コマンドが長くなるため、できるだけ省略形を用いてください。


    Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまいVPN以外との通信ができなくなります。

  40. ppp1側でISAKMPメッセージを素通しさせるIPsecポリシー「isa_C」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。


  41. 実際のIPsec通信に使用するIPsecポリシー「vpn_C」をPPPインターフェース「1」に対して作成します。
    鍵管理方式には「ISAKMP」を、PEERには対向ルーターのIPアドレスを、BUNDLEにはSAバンドルスペック「1」を指定し、実際にIPsec通信を行うIPアドレスの範囲を指定します。本構成では、L2TPパケットが対象となります。


  42. IPsecモジュールを有効にします。


  43. ISAKMPモジュールを有効にします。


  44. Security Officerレベルのユーザーでログインしなおします。


  45. 動作モードをセキュリティーモードに切り替えます。


    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。

  46. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


メモ


■ 経路表を確認するにはSHOW IP ROUTEコマンドを使います。


■ BGPピアの状態はSHOW BGP PEERコマンドで確認します。


■ BGP-4の経路表を確認するにはSHOW BGP ROUTEコマンドを使います。


■ BGP-4の設定情報を確認するにはSHOW BGPコマンドを使います。


■ コミュニティーフィルターの設定内容はSHOW IP COMMUNITYLISTコマンドで確認します。


■ ルートマップの設定内容はSHOW IP ROUTEMAPコマンドで確認します。


■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。

たとえば、ネットワーク192.168.10.0/24および192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。


■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。

セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜3600(秒)を指定します。デフォルトは60秒です。

まとめ

ルーターのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
SET L2TP PASSWORD=l2tpA
ADD L2TP CALL=remote1 REMOTE=remote1 IP=172.16.0.2 TYPE=VIRTUAL PRECEDENCE=OUT PASSWORD=l2tpB
ADD L2TP CALL=remote2 REMOTE=remote2 IP=172.16.1.2 TYPE=VIRTUAL PRECEDENCE=OUT PASSWORD=l2tpC
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY USER=userA@isp1 PASSWORD=isppasswdA LQR=OFF BAP=OFF ECHO=ON
CREATE PPP=1 OVER=eth1-ANY
SET PPP=1 OVER=eth1-ANY USER=userB@isp2 PASSWORD=isppasswdB LQR=OFF BAP=OFF ECHO=ON
CREATE PPP=11 OVER=TNL-remote1 LQR=OFF BAP=OFF ECHO=ON
CREATE PPP=12 OVER=TNL-remote2 LQR=OFF BAP=OFF ECHO=ON
CREATE VLAN=vlan10 VID=10
CREATE VLAN=vlan20 VID=20
ADD VLAN=vlan10 PORT=1-2
ADD VLAN=vlan20 PORT=3-4
ENABLE IP
ADD IP INT=vlan10 IP=192.168.10.1
ADD IP INT=vlan20 IP=192.168.20.1
ADD IP INT=ppp0 IP=172.16.0.1 MASK=255.255.255.255
ADD IP INT=ppp11 IP=192.168.100.1 MASK=255.255.255.0
ADD IP INT=ppp1 IP=172.16.1.1 MASK=255.255.255.255
ADD IP INT=ppp12 IP=192.168.110.1 MASK=255.255.255.0
ADD IP ROUTE=172.16.0.2 MASK=255.255.255.255 INT=ppp0 NEXT=0.0.0.0
ADD IP ROUTE=172.16.1.2 MASK=255.255.255.255 INT=ppp1 NEXT=0.0.0.0
SET IP AUTO=65020
ADD BGP PEER=192.168.100.2 REMOTEAS=65010
ADD BGP PEER=192.168.110.2 REMOTEAS=65010
ADD IP ROUTEMAP=prefix10 ENTRY=1 SET COMMUNITY=65020:10
ADD BGP NETWORK=192.168.10.0/24 ROUTEMAP=prefix10
ADD IP ROUTEMAP=prefix20 ENTRY=1 SET COMMUNITY=65020:20
ADD BGP NETWORK=192.168.20.0/24 ROUTEMAP=prefix20
ADD IP COMMUNITYLIST=1 INCLUDE=65020:10
ADD IP COMMUNITYLIST=2 INCLUDE=65020:20
SET BGP MED=10
ADD IP ROUTEMAP=set_med_ppp11 ENTRY=1 MATCH COMMUNITY=2 ACTION=INCLUDE
ADD IP ROUTEMAP=set_med_ppp11 ENTRY=1 SET MED=300
ADD IP ROUTEMAP=set_med_ppp12 ENTRY=1 MATCH COMMUNITY=1 ACTION=INCLUDE
ADD IP ROUTEMAP=set_med_ppp12 ENTRY=1 SET MED=300
SET BGP PEER=192.168.100.2 OUTROUTEMAP=set_med_ppp11 SENDCOMMUNITY=YES
SET BGP PEER=192.168.110.2 OUTROUTEMAP=set_med_ppp12 SENDCOMMUNITY=YES
ENABLE BGP PEER=192.168.100.2
ENABLE BGP PEER=192.168.110.2
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE=secret-ab
# CREATE ENCO KEY=2 TYPE=GENERAL VALUE=secret-ac
CREATE ISAKMP POLICY=i_B PEER=172.16.0.2 KEY=1 SENDN=TRUE HEARTBEATMODE=BOTH
CREATE ISAKMP POLICY=i_C PEER=172.16.1.2 KEY=2 SENDN=TRUE HEARTBEATMODE=BOTH
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING=1
CREATE IPSEC POLICY=isa_B INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY=vpn_B INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.0.2
SET IPSEC POLICY=vpn_B LAD=172.16.0.1 LPORT=1701 RAD=172.16.0.2 RPORT=1701
CREATE IPSEC POLICY=isa_C INT=ppp1 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY=vpn_C INT=ppp1 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=172.16.1.2
SET IPSEC POLICY=vpn_C LAD=172.16.1.1 LPORT=1701 RAD=172.16.1.2 RPORT=1701
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE





CentreCOM AR570S 設定例集 2.9 #124

(C) 2006-2013 アライドテレシスホールディングス株式会社

PN: 613-000274 Rev.N

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)