<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM ARX640S 設定例集 5.1.5 #22

キープアライブトリガーによるメイン回線から移動体データ通信サービスVPNバックアップへの自動切り替え(CUGサービス+移動体データ通信サービス〜VRRP編〜)

センター側にマスター/バックアップルーターを各1台ずつ設置してVRRPを使用した冗長構成を構築します。マスタールーターでは拠点間通信にCUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)を利用し、バックアップルーターではバックアップ回線としてインターネットVPNを利用するネットワークを構築します。


拠点側では拠点間通信にCUGサービスを利用し、バックアップ回線として移動体データ通信サービスでのVPNを利用するネットワークを構築します。

この例では、ルーターとして本製品をセンター側(ルーターAとルーターB)、拠点側(ルーターC)に設置するネットワーク構成を例に解説します。

インターネットサービスプロバイダー(ISP)からは、次の情報を提供されているものとします。

表 1:ISPから提供された情報
 
ルーターB(バックアップ)
ルーターC(拠点側)
PPPユーザー名 center@isp user@3gnet.co.jp
PPPパスワード centpass 3gpasswd
アクセスポイント名 指定なし 3gnet.co.jp
CID - 10
IPアドレス 200.100.10.1/32 動的割り当て
DNSサーバー 接続時に通知される


CUGのグループ管理者からは、次の情報を提供されているものとします。

表 2:グループ管理者から提供された情報
 
ルーターA(マスター)
ルーターC(拠点側)
PPPユーザー名 center branch
PPPパスワード passwdA passwdC
PPPoEサービス名 指定なし
使用できるIPアドレス 動的割り当て(172.16.0.1/32固定) 動的割り当て(172.16.0.2/32固定)
接続形態 端末型


以下、ルーターA、B、Cの基本設定についてまとめます。

表 3:VRRPの構成
 
ルーターA(マスター)
ルーターB(バックアップ)
VRID 1
VRIP 192.168.10.1/24
Priority 101 99
VRRP Status Master Backup
実IP 192.168.10.253/24 192.168.10.254/24


表 4:ルーターの基本設定
 
ルーターA(マスター)
ルーターB(バックアップ)
ルーターC(拠点側)
WAN側物理インターフェース gigabitEthernet 0 gigabitEthernet 0 usb 0
WAN側IPアドレス 172.16.0.1/32 200.100.10.1/32 172.16.0.2/32 動的割り当て
WAN側(gigabitEthernet 1)IPアドレス 192.168.20.1/24 192.168.20.2/24 -
LAN側(vlan 1)IPアドレス 192.168.10.253/24 192.168.10.254/24 192.168.1.1/24
VPN接続設定
ローカルセキュアグループ 0.0.0.0/0 192.168.1.0/24
リモートセキュアグループ 192.168.1.0/24 0.0.0.0/0
トンネル終端アドレス 172.16.0.2/32 不定 172.16.0.1/32 200.100.10.1/32
IKE設定
交換モード Mainモード Aggressiveモード Mainモード Aggressiveモード
認証方式 事前共有鍵(pre-shared key)
事前共有鍵 secret(文字列)
ローカルID/リモートID - なし/client - client/なし
暗号化認証アルゴリズム 3DES & SHA1-DH2
有効期限 21600秒(6時間)(デフォルト)
DPDによる死活監視 行う
起動時のISAKMPネゴシエーション 行う
IPsec設定
SAモード トンネルモード
セキュリティープロトコル ESP
暗号化認証アルゴリズム 3DES & SHA1
PFSグループ なし
有効期限 3600秒(1時間)(デフォルト)




次のような環境を想定しています。

■ 通常接続時の通信は以下のように行われます。


■ メイン回線で障害発生時の通信は以下のように行われます。


■ ルーターAのLAN側で障害発生時の通信は以下のように行われます。


■ ルーターA、ルーターB間のWAN側で障害発生時の通信は以下のように行われます。


ルーターAの設定

  1. CUGサービスのグループ管理者から通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。


  2. WAN0インターフェース(gigabitEthernet 0)を有効にします。


  3. WAN0インターフェース上にCUGサービス接続用のPPPoEインターフェース(gigabitEthernet 0.1)を作成し、インターフェースを使用できるようにします。
    接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。


  4. WAN1インターフェース(gigabitEthernet 1)を有効にし、IPアドレスを設定します。


  5. LAN側インターフェース(vlan 1)にIPアドレスを設定します。


  6. vlan 1にVRID=1を割り当てます。バーチャルIPアドレスを「192.168.10.1」に設定し、優先度は101を設定します。
    VRRPを有効にします。


  7. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。


  8. インターネット宛の通信をルーターBに送信するためのデフォルトルートを設定します。


  9. ルーターCのWAN側インターフェース宛のパケットをCUG側へ送出するルートを設定します。
    また、PPPoEインターフェースが有効になるまでは、このルートを使用できないように設定します。


  10. Phase1のProposal、およびISAKMPポリシーを設定します。


  11. Phase2のProposal、およびIPsecポリシーを設定します。


  12. トンネルインターフェース(tunnel 0)を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースに対応するIPsecポリシーを設定します。


  13. ルーターCのLAN側(192.168.1.0/24)宛のルートを設定します。


  14. ルーターAのPPPoEインターフェースを経由したルーターCのLAN側アドレス宛の通信状態が「unreach」になった場合に、以下のアクションを実行する非到達性監視トリガーを作成し、有効にします。


  15. ルーターAのPPPoEインターフェース上でIPsecトンネルが作成された場合に、以下のアクションを実行するインターフェーストリガーを作成します。


  16. ルーターAのgigabitEthernet 1インターフェースがダウンした場合に、以下のアクションを実行するインターフェーストリガーを作成し、有効にします。


  17. ルーターAのgigabitEthernet 1インターフェースがアップした場合に、以下のアクションを実行するインターフェーストリガーを作成し、有効にします。


  18. 設定は以上です。設定内容をstartup-configに保存します。


ルーターBの設定

  1. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。


  2. WAN0インターフェース(gigabitEthernet 0)を有効にします。


  3. WAN0インターフェース上にインターネット(ISP)接続用のPPPoEインターフェース(gigabitEthernet 0.1)を作成し、インターフェースを使用できるようにします。
    ISPから割り当てられたIPアドレスを設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
    また、LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。
    外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。


  4. WAN1インターフェース(gigabitEthernet 1)を有効にし、IPアドレスを設定します。


  5. LAN側インターフェース(vlan 1)にIPアドレスを設定します。


  6. vlan 1にVRID=1を割り当てます。バーチャルIPアドレスを「192.168.10.1」に設定し、優先度は99を設定します。
    VRRPを有効にします。


  7. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。


  8. デフォルトルートを設定します。


  9. ルーターCのLAN側(192.168.1.0/24)宛のルートを設定します。


  10. ISAKMPパケットは通しつつ、他の外側からの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、PPPoEインターフェース上に割り当てます。


  11. Phase1のProposal、およびISAKMPポリシーを設定します。


  12. Phase2のProposal、およびIPsecポリシーを設定します。


  13. トンネルインターフェース(tunnel 0)を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースに対応するIPsecポリシーを設定します。


  14. ルーターBのVRRPステータスがマスターに変更された時に使用する、ルーターCのLAN側(192.168.1.0/24)宛のルートを設定します。


  15. ルーターBのPPPoEインターフェース上でIPsecトンネルが作成された場合に、以下のアクションを実行するインターフェーストリガーを作成し、有効にします。


  16. ルーターBのPPPoEインターフェース上でIPsecトンネルが削除された場合に、以下のアクションを実行するインターフェーストリガーを作成し、有効にします。


  17. 設定は以上です。設定内容をstartup-configに保存します。


ルーターCの設定

  1. CUGサービスのグループ管理者から通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。


  2. WAN0インターフェース(gigabitEthernet 0)を有効にします。


  3. WAN0インターフェース上にCUGサービス接続用のPPPoEインターフェース(gigabitEthernet 0.1)を作成し、インターフェースを使用できるようにします。
    接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。


  4. ISPから通知された移動体データ通信サービス接続用のPPPユーザー名やパスワード等のPPP設定情報を作成します。
    また、本製品側からの無通信状態が300秒間続いた場合は回線を自動切断するように設定します。

    Note - 従量アクセスポイントの場合、接続時間および送受信するデータ量に応じた料金が発生しますので、設定に間違いがないことを確認してください。

  5. PPPインターフェース(ppp 0)を作成し、インターフェースを使用できるようにします。
    接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報、および使用するUSBポートを括り付けます。
    また、LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるように設定し、
    外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。


  6. LAN側インターフェース(vlan 1)にIPアドレスを設定します。


  7. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。


  8. ルーターAのWAN側インターフェース宛のパケットをCUG側へ送出するルートを設定します。
    また、PPPoEインターフェースが有効になるまでは、このルートを使用できないように設定します。


  9. 外側からの通信を遮断しつつ、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、USB型データ通信端末のPPPインターフェース上に割り当てます。


  10. Phase1のProposalを設定します。


  11. メイン回線(CUG網)を使用してルーターAとのVPN接続を行うためのISAKMPポリシーを設定します。


  12. バックアップ回線(移動体データ通信サービス)を使用してルーターBとのVPN接続を行うためのISAKMPポリシーを設定します。


  13. IPsecポリシーにて指定するアクセスリスト、およびPhase2のProposalを設定します。


  14. メイン回線(CUG網)を使用してルーターAとのVPN接続を行うためのIPsecポリシーを設定します。


  15. バックアップ回線(移動体データ通信サービス)を使用してルーターBとのVPN接続を行うためのIPsecポリシーを設定します。


  16. トンネルインターフェース(tunnel 0)を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースを使用してメイン回線を経由したルーターAとの通信が行えるように、対応するIPsecポリシーを設定します。


  17. トンネルインターフェース(tunnel 1)を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースを使用してバックアップ回線を経由したルーターBとの通信が行えるように、対応するIPsecポリシーを設定します。


  18. メイン回線用のデフォルトルートを設定します。


  19. バックアップ回線用のデフォルトルートを優先度を低くして設定します。


  20. メイン回線上のIPsecトンネルが切断されるまではルーターBのWAN1インターフェース宛(200.100.10.1)の通信が行えないように設定します。


  21. ルーターCのメイン回線を経由したセンター側のVRIPアドレス宛の通信状態が「unreach」になった場合に、以下のアクションを実行する非到達性監視トリガーを作成し、有効にします。


  22. ルーターCのメイン回線上でIPsecトンネルが作成された場合に、以下のアクションを実行するインターフェーストリガーを作成します。


  23. 設定は以上です。設定内容をstartup-configに保存します。

まとめ

ルーターAのコンフィグ 
!
service password-encryption
!
clock timezone JST 9
!
!
ip address-up-always
ppp profile pppoe0
 my-username center password 8 e$Ih7p7xgv6c0kA
!
interface gigabitEthernet 0
 no shutdown
!
interface gigabitEthernet 0.1
 ip address ipcp
 ip tcp mss auto
 no shutdown
 pppoe enable
  ppp bind-profile pppoe0
!
interface gigabitEthernet 1
 ip address 192.168.20.1/24
 no shutdown
!
interface gigabitEthernet 2
 no shutdown
!
interface gigabitEthernet 3
 no shutdown
!
interface gigabitEthernet 4
 no shutdown
!
interface gigabitEthernet 5
 no shutdown
!
interface loop 0
 shutdown
!
interface loop 1
 shutdown
!
interface tunnel 0
 tunnel mode ipsec
 ip unnumbered vlan 1
 ip tcp mss auto
 no shutdown
 tunnel policy vpn
!
interface vlan 1
 ip address 192.168.10.253/24
 no shutdown
!
router vrrp 1 vlan 1
 virtual-ip 192.168.10.1 backup
 priority 101
 enable
!
ip route default 192.168.20.2
ip route 172.16.0.2/32 gigabitEthernet 0.1
ip route 172.16.0.2/32 Null 254
ip route 192.168.1.0/24 tunnel 0
!
access-list ip extended ipsec
 permit ip any any
!
isakmp proposal isakmp encryption 3des hash sha1 group 2
!
isakmp policy vpn
 peer 172.16.0.2
 auth preshared key 8 e$I3eQu7yNuLxQA
 proposal isakmp
 keepalive enable
 keepalive interval 10
!
ipsec proposal ipsec esp encryption 3des hash sha1
!
ipsec policy vpn
 peer 172.16.0.2
 access-list ipsec
 local-id 0.0.0.0/0
 remote-id 192.168.1.0/24
 proposal ipsec
 always-up-sa
!
!
!
!
event-group ge1_down
 event interface gigabitEthernet 1 down
 action 10 interface gigabitEthernet 0.1 shutdown
 action 20 ipsec clear-sa
 trigger enable
event-group ge1_up
 event interface gigabitEthernet 1 up
 action 10 interface gigabitEthernet 0.1 resume
 trigger enable
event-group polling_down
 event keepalive ip 192.168.1.1 src 192.168.10.253 out-if tunnel 0
 action 10 ip shutdown-vrrp 1 vlan 1
 action 20 ipsec clear-sa
 action 30 event-group tunnel0_up enable
 action 40 event-group polling_down disable
 option keepalive interval 5
 trigger enable
event-group tunnel0_up
 event interface tunnel 0 up
 action 10 ip resume-vrrp 1 vlan 1
 action 20 event-group polling_down enable
 action 30 event-group tunnel0_up disable
!
end


ルーターBのコンフィグ 
!
service password-encryption
!
clock timezone JST 9
!
!
ip address-up-always
ppp profile pppoe0
 my-username center@isp password 8 e$QrAq9z74BzW1jk1bEKE2+RAAA
!
interface gigabitEthernet 0
 no shutdown
!
interface gigabitEthernet 0.1
 ip address 200.100.10.1/32
 ip tcp mss auto
 no shutdown
 pppoe enable
  ppp bind-profile pppoe0
 ip napt inside any
 ip traffic-filter pppoe0-in in
 ip traffic-filter pppoe0-out out
 ip ids in protect
!
interface gigabitEthernet 1
 ip address 192.168.20.2/24
 no shutdown
!
interface gigabitEthernet 2
 no shutdown
!
interface gigabitEthernet 3
 no shutdown
!
interface gigabitEthernet 4
 no shutdown
!
interface gigabitEthernet 5
 no shutdown
!
interface loop 0
 shutdown
!
interface loop 1
 shutdown
!
interface tunnel 0
 tunnel mode ipsec
 ip unnumbered vlan 1
 ip tcp mss auto
 no shutdown
 tunnel policy vpn
!
interface vlan 1
 ip address 192.168.10.254/24
 no shutdown
!
router vrrp 1 vlan 1
 virtual-ip 192.168.10.1 backup
 priority 99
 enable
!
ip route default gigabitEthernet 0.1
ip route 192.168.1.0/24 192.168.20.1
ip route 192.168.1.0/24 tunnel 0 10
!
access-list ip extended ipsec
 permit ip any any
access-list ip extended pppoe0-in
 dynamic permit udp any interface gigabitEthernet 0.1 eq 500
access-list ip extended pppoe0-out
 dynamic permit ip any any
!
isakmp proposal isakmp encryption 3des hash sha1 group 2
!
isakmp policy vpn
 peer any
 mode aggressive
 auth preshared key 8 e$I3eQu7yNuLxQA
 remote-id client
 proposal isakmp
 keepalive enable
 keepalive interval 10
!
ipsec proposal ipsec esp encryption 3des hash sha1
!
ipsec policy vpn
 peer any
 access-list ipsec
 local-id 0.0.0.0/0
 remote-id 192.168.1.0/24
 proposal ipsec
 always-up-sa
!
!
!
!
event-group tunnel0_down
 event interface tunnel 0 down
 action 10 ip resume-route 192.168.1.0/24 192.168.20.1
 trigger enable
event-group tunnel0_up
 event interface tunnel 0 up
 action 10 ip shutdown-route 192.168.1.0/24 192.168.20.1
 trigger enable
!
end


ルーターCのコンフィグ 
!
service password-encryption
!
clock timezone JST 9
!
!
ip address-up-always
ppp profile pppoe0
 my-username branch password 8 e$Ilf24hTCHeMQA
ppp profile 3gnet
 my-username user@3gnet.co.jp password 8 e$QcmDz+RpjEh7KH7j9YuTf4wAA
 idle-timeout 300
 mobile access-point-name 3gnet.co.jp cid 10
!
interface gigabitEthernet 0
 no shutdown
!
interface gigabitEthernet 0.1
 ip address ipcp
 ip tcp mss auto
 no shutdown
 pppoe enable
  ppp bind-profile pppoe0
!
interface gigabitEthernet 1
 shutdown
!
interface gigabitEthernet 2
 no shutdown
!
interface gigabitEthernet 3
 no shutdown
!
interface gigabitEthernet 4
 no shutdown
!
interface gigabitEthernet 5
 no shutdown
!
interface loop 0
 shutdown
!
interface loop 1
 shutdown
!
interface ppp 0
 ip address ipcp
 ip tcp mss auto
 no shutdown
 ppp bind-device usb 0
 ppp bind-profile 3gnet
 ip napt inside any
 ip traffic-filter ppp0-in in
 ip traffic-filter ppp0-out out
 ip ids in protect
!
interface tunnel 0
 tunnel mode ipsec
 ip unnumbered vlan 1
 ip tcp mss auto
 no shutdown
 tunnel policy vpn1
!
interface tunnel 1
 tunnel mode ipsec
 ip unnumbered vlan 1
 ip tcp mss auto
 no shutdown
 tunnel policy vpn2
!
interface vlan 1
 ip address 192.168.1.1/24
 no shutdown
!
ip route default tunnel 0
ip route default tunnel 1 10
ip route 172.16.0.1/32 gigabitEthernet 0.1
ip route 172.16.0.1/32 Null 254
ip route 200.100.10.1/32 Null 254
!
access-list ip extended ipsec
 permit ip any any
access-list ip extended ppp0-in
access-list ip extended ppp0-out
 dynamic permit ip any any
!
isakmp proposal isakmp encryption 3des hash sha1 group 2
!
isakmp policy vpn1
 peer 172.16.0.1
 auth preshared key 8 e$I3eQu7yNuLxQA
 proposal isakmp
 keepalive enable
 keepalive interval 10
!
isakmp policy vpn2
 peer 200.100.10.1
 mode aggressive
 auth preshared key 8 e$I3eQu7yNuLxQA
 local-id client
 proposal isakmp
 keepalive enable
 keepalive interval 10
!
ipsec proposal ipsec esp encryption 3des hash sha1
!
ipsec policy vpn1
 peer 172.16.0.1
 access-list ipsec
 local-id 192.168.1.0/24
 remote-id 0.0.0.0/0
 proposal ipsec
 always-up-sa
!
ipsec policy vpn2
 peer 200.100.10.1
 access-list ipsec
 local-id 192.168.1.0/24
 remote-id 0.0.0.0/0
 proposal ipsec
 always-up-sa
!
!
!
!
event-group polling_down
 event keepalive ip 192.168.10.1 src 192.168.1.1 out-if tunnel 0
 action 10 ip shutdown-route default tunnel 0
 action 20 ipsec clear-sa policy vpn1
 action 30 ip resume-route 200.100.10.1/32 ppp 0
 action 40 event-group tunnel0_up enable
 action 50 event-group polling_down disable
 option keepalive interval 5
 trigger enable
event-group tunnel0_up
 event interface tunnel 0 up
 action 10 ip shutdown-route 200.100.10.1/32 ppp 0
 action 20 ipsec clear-sa policy vpn2
 action 30 ip resume-route default tunnel 0
 action 40 event-group polling_down enable
 action 50 event-group tunnel0_up disable
!
end




CentreCOM ARX640S 設定例集 5.1.5 #22

(C) 2011-2014 アライドテレシスホールディングス株式会社

PN: 613-001568 Rev.E

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)