<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM ARX640S 設定例集 5.1.5 #15

キープアライブトリガーによるメイン回線からインターネットVPNバックアップへの自動切り替え(ISP接続+CUGサービス〜アドレスLAN型編〜)


PPPoEセッションを2本使い、拠点間通信にCUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)を利用し、バックアップ回線としてインターネットVPNを利用するネットワークを構築します。


この例では、ルーターとして本製品をセンター側(ルーターA)、拠点側(ルーターB)に設置するネットワーク構成を例に解説します。

インターネットサービスプロバイダー(ISP)からは、次の情報を提供されているものとします。

表 1:ISPから提供された情報
 
ルーターA(センター側)
ルーターB(拠点側)
PPPユーザー名 center@isp branch@isp
PPPパスワード centpass brapass
PPPoEサービス名 指定なし
使用できるIPアドレス 200.100.10.1/32 グローバルアドレス1個(動的割り当て)
接続形態 端末型(アドレス1個固定) 端末型(アドレス1個不定)
DNSサーバー 接続時に通知される


CUGのグループ管理者からは、次の情報を提供されているものとします。

表 2:グループ管理者から提供された情報
 
ルーターA(センター側)
ルーターB(拠点側)
PPPユーザー名 center branch
PPPパスワード passwdA passwdB
PPPoEサービス名 指定なし
使用できるIPアドレス 192.168.10.0/24 192.168.20.0/24
接続形態 LAN型


以下、ルーターA、Bの基本設定についてまとめます。

表 3:ルーターの基本設定
 
ルーターA(センター側)
ルーターB(拠点側)
WAN側物理インターフェース gigabitEthernet 0
WAN側(gigabitEthernet 0.1)IPアドレス 200.100.10.1/32 接続時にISPから取得する
WAN側(gigabitEthernet 0.2)IPアドレス Unnumbered
LAN側(vlan 1)IPアドレス 192.168.10.1/24 192.168.20.1/24
DHCPサーバー機能 有効



■ 通常接続時の通信は以下のように行われます。



■ 障害発生時(バックアップ回線使用時)の通信は以下のように行われます。



ルーターAの設定

  1. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。


  2. CUGサービスのグループ管理者から通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。


  3. WAN0インターフェース(gigabitEthernet 0)を有効にします。


  4. WAN0インターフェース上にインターネット(ISP)接続用のPPPoEインターフェース(gigabitEthernet 0.1)を作成し、インターフェースを使用できるようにします。
    ISPから割り当てられたIPアドレスを設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
    また、LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。
    外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。


  5. WAN0インターフェース上にCUGサービス接続用のPPPoEインターフェース(gigabitEthernet 0.2)を作成し、インターフェースを使用できるようにします。
    IPv4 Unnumbered インターフェースの設定を行い、このインターフェース上で使用するPPP設定情報を括り付けます。
    外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。


  6. LAN側インターフェース(vlan 1)にIPアドレスを設定します。


  7. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。


  8. デフォルトルートを設定します。


  9. ルーターBのLAN側宛のパケットをCUG側へ送出するルートを設定します。


  10. ISAKMPパケットは通しつつ、他の外側からの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、インターネット(ISP)接続用のPPPoEインターフェース上に割り当てます。



  11. 外側からの通信を遮断しつつ、ルーターBのLAN側との通信は自由に行えるようにするファイアウォール機能の設定をし、CUGサービス接続用のPPPoEインターフェース上に割り当てます。


  12. バックアップ回線を使用したインターネットVPN通信をする設定をします。
    Phase1のProposal、およびISAKMPポリシーを設定します。


  13. Phase2のProposal、およびIPsecポリシーを設定します。


  14. トンネルインターフェース(tunnel 0)を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースに対応するIPsecポリシーを設定します。


  15. バックアップ回線を使用したルーターBのLAN側(192.168.20.0/24)宛のルートを設定します。
    また、ルーター間のVPN接続が有効になるまでは、このルートを使用できないように設定します。


  16. ルーターAのCUG側インターフェース(gigabitEthernet 0.2)を経由したルーターB宛の通信状態が「unreach」になった場合に、以下のアクションを実行する非到達性監視トリガーを作成し、有効にします。


  17. ルーターAのCUG側インターフェース(gigabitEthernet 0.2)を経由したルーターB宛の通信状態が「reach」になった場合に、以下のアクションを実行する到達性監視トリガーを作成します。


  18. 設定は以上です。設定内容をstartup-configに保存します。


ルーターBの設定

  1. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。


  2. CUGサービスのグループ管理者から通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。


  3. WAN0インターフェース(gigabitEthernet 0)を有効にします。


  4. WAN0インターフェース上にインターネット(ISP)接続用のPPPoEインターフェース(gigabitEthernet 0.1)を作成し、インターフェースを使用できるようにします。
    接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
    また、LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。
    外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。


  5. WAN0インターフェース上にCUGサービス接続用のPPPoEインターフェース(gigabitEthernet 0.2)を作成し、インターフェースを使用できるようにします。
    IPv4 Unnumbered インターフェースの設定を行い、このインターフェース上で使用するPPP設定情報を括り付けます。
    外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。


  6. LAN側インターフェース(vlan 1)にIPアドレスを設定します。


  7. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。


  8. デフォルトルートを設定します。


  9. ルーターAのLAN側宛のパケットをCUG側へ送出するルートを設定します。


  10. 外側からの通信を遮断しつつ、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、インターネット(ISP)接続用のPPPoEインターフェース上に割り当てます。



  11. 外側からの通信を遮断しつつ、ルーターAのLAN側との通信は自由に行えるようにするファイアウォール機能の設定をし、CUGサービス接続用のPPPoEインターフェース上に割り当てます。


  12. バックアップ回線を使用したインターネットVPN通信をする設定をします。
    Phase1のProposal、およびISAKMPポリシーを設定します。


  13. Phase2のProposal、およびIPsecポリシーを設定します。


  14. トンネルインターフェース(tunnel 0)を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースに対応するIPsecポリシーを設定します。


  15. バックアップ回線を使用したルーターAのLAN側(192.168.10.0/24)宛のルートを設定します。
    また、ルーター間のVPN接続が有効になるまでは、このルートを使用できないように設定します。


  16. ルーターBのCUG側インターフェース(gigabitEthernet 0.2)を経由したルーターA宛の通信状態が「unreach」になった場合に、以下のアクションを実行する非到達性監視トリガーを作成し、有効にします。


  17. ルーターBのCUG側インターフェース(gigabitEthernet 0.2)を経由したルーターA宛の通信状態が「reach」になった場合に、以下のアクションを実行する到達性監視トリガーを作成します。


  18. 設定は以上です。設定内容をstartup-configに保存します。

まとめ

ルーターAのコンフィグ
!
service password-encryption
!
clock timezone JST 9
!
!
ip address-up-always
ppp profile pppoe0
 my-username center@isp password 8 e$QrAq9z74BzW1jk1bEKE2+RAAA
ppp profile pppoe1
 my-username center password 8 e$Ih7p7xgv6c0kA
!
interface gigabitEthernet 0
 no shutdown
!
interface gigabitEthernet 0.1
 ip address 200.100.10.1/32
 ip tcp mss auto
 no shutdown
 pppoe enable
  ppp bind-profile pppoe0
 ip napt inside any
 ip traffic-filter pppoe0-in in
 ip traffic-filter pppoe0-out out
 ip ids in protect
!
interface gigabitEthernet 0.2
 ip unnumbered vlan 1
 ip tcp mss auto
 no shutdown
 pppoe enable
  ppp bind-profile pppoe1
 ip traffic-filter pppoe1-in in
 ip traffic-filter pppoe1-out out
 ip ids in protect
!
interface gigabitEthernet 1
 shutdown
!
interface gigabitEthernet 2
 no shutdown
!
interface gigabitEthernet 3
 no shutdown
!
interface gigabitEthernet 4
 no shutdown
!
interface gigabitEthernet 5
 no shutdown
!
interface loop 0
 shutdown
!
interface loop 1
 shutdown
!
interface tunnel 0
 tunnel mode ipsec
 ip unnumbered vlan 1
 ip tcp mss auto
 no shutdown
 tunnel policy vpn
!
interface vlan 1
 ip address 192.168.10.1/24
 no shutdown
!
ip route default gigabitEthernet 0.1
ip route 192.168.20.0/24 gigabitEthernet 0.2
ip route 192.168.20.0/24 tunnel 0 10
ip route 192.168.20.0/24 Null 254
!
access-list ip extended ipsec
 permit ip any any
access-list ip extended pppoe0-in
 dynamic permit udp any interface gigabitEthernet 0.1 eq 500
access-list ip extended pppoe0-out
 dynamic permit ip any any
access-list ip extended pppoe1-in
 dynamic permit ip 192.168.20.0/24 192.168.10.0/24
access-list ip extended pppoe1-out
 dynamic permit ip any any
!
isakmp proposal isakmp encryption 3des hash sha1 group 2
!
isakmp policy i
 peer any
 mode aggressive
 auth preshared key 8 e$I3eQu7yNuLxQA
 remote-id client
 proposal isakmp
 keepalive enable
!
ipsec proposal ipsec esp encryption 3des hash sha1
!
ipsec policy vpn
 peer any
 access-list ipsec
 local-id 192.168.10.0/24
 remote-id 192.168.20.0/24
 proposal ipsec
 always-up-sa
!
!
!
!
event-group polling_down
 event keepalive ip 192.168.20.1 src 192.168.10.1 out-if gigabitEthernet 0.2
 action 10 ip shutdown-route 192.168.20.0/24 gigabitEthernet 0.2
 action 20 event-group polling_up enable
 action 30 event-group polling_down disable
 trigger enable
event-group polling_up
 event keepalive ip 192.168.20.1 src 192.168.10.1 mode reach out-if gigabitEthernet 0.2
 action 10 ip resume-route 192.168.20.0/24 gigabitEthernet 0.2
 action 20 ipsec clear-sa
 action 30 event-group polling_down enable
 action 40 event-group polling_up disable
!
end


ルーターBのコンフィグ
!
service password-encryption
!
clock timezone JST 9
!
!
ip address-up-always
ppp profile pppoe0
 my-username branch@isp password 8 e$ILwks03RXPHAA
ppp profile pppoe1
 my-username branch password 8 e$I6rT3jJQw6oIA
!
interface gigabitEthernet 0
 no shutdown
!
interface gigabitEthernet 0.1
 ip address ipcp
 ip tcp mss auto
 no shutdown
 pppoe enable
  ppp bind-profile pppoe0
 ip napt inside any
 ip traffic-filter pppoe0-in in
 ip traffic-filter pppoe0-out out
 ip ids in protect
!
interface gigabitEthernet 0.2
 ip unnumbered vlan 1
 ip tcp mss auto
 no shutdown
 pppoe enable
  ppp bind-profile pppoe1
 ip traffic-filter pppoe1-in in
 ip traffic-filter pppoe1-out out
 ip ids in protect
!
interface gigabitEthernet 1
 shutdown
!
interface gigabitEthernet 2
 no shutdown
!
interface gigabitEthernet 3
 no shutdown
!
interface gigabitEthernet 4
 no shutdown
!
interface gigabitEthernet 5
 no shutdown
!
interface loop 0
 shutdown
!
interface loop 1
 shutdown
!
interface tunnel 0
 tunnel mode ipsec
 ip unnumbered vlan 1
 ip tcp mss auto
 no shutdown
 tunnel policy vpn
!
interface vlan 1
 ip address 192.168.20.1/24
 no shutdown
!
ip route default gigabitEthernet 0.1
ip route 192.168.10.0/24 gigabitEthernet 0.2
ip route 192.168.10.0/24 tunnel 0 10
ip route 192.168.10.0/24 Null 254
!
access-list ip extended ipsec
 permit ip any any
access-list ip extended pppoe0-in
access-list ip extended pppoe0-out
 dynamic permit ip any any
access-list ip extended pppoe1-in
 dynamic permit ip 192.168.10.0/24 192.168.20.0/24
access-list ip extended pppoe1-out
 dynamic permit ip any any
!
isakmp proposal isakmp encryption 3des hash sha1 group 2
!
isakmp policy i
 peer 200.100.10.1
 mode aggressive
 auth preshared key 8 e$I3eQu7yNuLxQA
 local-id client
 proposal isakmp
 keepalive enable
!
ipsec proposal ipsec esp encryption 3des hash sha1
!
ipsec policy vpn
 peer 200.100.10.1
 access-list ipsec
 local-id 192.168.20.0/24
 remote-id 192.168.10.0/24
 proposal ipsec
 always-up-sa
!
!
!
!
event-group polling_down
 event keepalive ip 192.168.10.1 src 192.168.20.1 out-if gigabitEthernet 0.2
 action 10 ip shutdown-route 192.168.10.0/24 gigabitEthernet 0.2
 action 20 event-group polling_up enable
 action 30 event-group polling_down disable
 trigger enable
event-group polling_up
 event keepalive ip 192.168.10.1 src 192.168.20.1 mode reach out-if gigabitEthernet 0.2
 action 10 ip resume-route 192.168.10.0/24 gigabitEthernet 0.2
 action 20 ipsec clear-sa
 action 30 event-group polling_down enable
 action 40 event-group polling_up disable
!
end





CentreCOM ARX640S 設定例集 5.1.5 #15

(C) 2011-2014 アライドテレシスホールディングス株式会社

PN: 613-001568 Rev.E

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)