設定例集#37: QoS基本設定例（PPPoEインターネット接続環境における2点間IPsec VPN、両側アドレス固定）

構成

設定開始前に

自動設定の確認と削除

システム時刻の設定

QoS機能の基本設定例です。
ここでは、IPsecトンネルで接続された2つの拠点間でトラフィックの制御を行います。
なおこの例では、グローバルアドレス1個を固定的に割り当てられているサイト間をIPsec（ESP）のトンネルで接続しています。

構成

	ルーターA	ルーターB
ISPから提供された情報
ISP接続用ユーザー名	user@ispA	user@ispB
ISP接続用パスワード	isppasswdA	isppasswdB
PPPoEサービス名	指定なし	指定なし
使用できるアドレス	10.0.0.1/32	10.1.1.1/32
接続形態	端末型（アドレス1個固定）	端末型（アドレス1個固定）
ルーターの基本設定
WAN側物理インターフェース	eth1	eth1
WAN側（ppp0）IPアドレス	10.0.0.1/32	10.1.1.1/32
LAN側（vlan10）IPアドレス	192.168.10.1/24	192.168.30.1/24
LAN側（vlan20）IPアドレス	192.168.20.1/24	192.168.40.1/24
IKEフェーズ1（ISAKMP）設定
IKEバージョン・交換モード	IKEv1 Mainモード
アルゴリズム	AES128 / SHA256 / Group15
IKEフェーズ2（IPsec）設定
アルゴリズム	AES128 / SHA256

[事前共有鍵]

ルーターA・B間: secret

[QoS設定]
ここでは、ルーターA・B間で外に向かうトラフィックに対して、各インターフェースで以下のようなQoSポリシーを適応します。

トンネルインターフェース

70mbitで帯域制御する。
Priority Queue (PQ) を使用し、OSPFパケットを優先させる。
Weighted Round Robin (WRR) を使用し、vlan10からのTCPパケット、vlan20からのTCPパケット、vlan10からのUDPパケットを6:3:1で重み付けする。

REDカーブを使用し、vlan10からのTCPパケット、vlan20からのTCPパケットにはカスタムREDカーブテンプレート「TEST」を、また、vlan10からのUDPパケットにはデフォルトのREDカーブテンプレート「default」を適用する。
各REDカーブテンプレート（red-curveコマンド）のパラメーターは次のとおり。

	TEST	default
平均パケットサイズ (Bytes)	256	576
破棄開始点（パケット）	10	10
完全破棄点（パケット）	50	32
最大キュー長（パケット）	127	127
完全破棄点における破棄率（%）	20	2
明示的輻輳通知（ECN）	無効	無効

PPPインターフェース
- 100mbitで帯域制御する。
- Priority Queue (PQ) を使用し、IPsecパケット(isakmp, esp)を優先させる。

設定開始前に

自動設定の確認と削除

本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態（スタートアップコンフィグなしで起動した状態）から入力することを前提としています。

そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。

ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。

これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。

ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。

自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。

システム時刻の設定

ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。

手動で設定する方法 - 「運用・管理」/「システム」
NTPで自動設定する方法 - 「運用・管理」/「NTP」

ルーターAの設定

LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
```
no spanning-tree rstp enable
```
WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface eth1
 encapsulation ppp 0
```
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

・LCP EchoによるPPP接続状態の確認（keepalive）
・ユーザー名（ppp username）
・パスワード（ppp password）
・IPアドレスの固定設定（ip address）
・MSS書き換え（ip tcp adjust-mss）

PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface ppp0
 keepalive
 ppp username user@ispA
 ppp password isppasswdA
 ip address 10.0.0.1/32
 ip tcp adjust-mss pmtu
```
LAN側で使用するVLANを作成します。
これには、vlan databaseコマンドとvlanコマンドを使います。
VLANの詳細は「L2スイッチング」/「バーチャルLAN」をご覧ください。
```
vlan database
 vlan 10,20 state enable
```
LANポート1.0.1～1.0.4をvlan10のタグなしポートに設定します。
これには、switchport modeコマンド、switchport access vlanコマンドを使います。
VLANについては「L2スイッチング」/「バーチャルLAN」をご覧ください。
```
interface port1.0.1-1.0.4
 switchport
 switchport mode access
 switchport access vlan 10
```

LANポート1.0.5～1.0.8をvlan20のタグなしポートに設定します。

interface port1.0.5-1.0.8
 switchport
 switchport mode access
 switchport access vlan 20

LAN側のvlan10にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface vlan10
 ip address 192.168.10.1/24
```
LAN側のvlan20にIPアドレスを設定します。
```
interface vlan20
 ip address 192.168.20.1/24
```
ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
```
zone private
 network lan
  ip subnet 0.0.0.0/0 interface tunnel1
  ip subnet 172.16.0.0/30
  ip subnet 192.168.10.0/24
  ip subnet 192.168.20.0/24
 network ospf
  ip subnet 224.0.0.5/32
  ip subnet 224.0.0.6/32
```
外部ネットワークを表すゾーン「public」を作成します。
前記コマンドに加え、ここではhost、ip addressの各コマンドも使います。
```
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1
```

QoS制御のためのゾーン「qos」を作成します。

zone qos
 network ppp0
  ip subnet 0.0.0.0/0 interface ppp0
 network tunnel1
  ip subnet 0.0.0.0/0 interface tunnel1
 network vlan10
  ip subnet 192.168.10.0/24 interface vlan10
 network vlan20
  ip subnet 192.168.20.0/24 interface vlan20

ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、sport、dport、icmp-type、icmp-codeの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
```
application esp
 protocol 50
```
ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
```
application isakmp
 protocol udp
 dport 500
```
OSPFパケットを表すカスタムアプリケーション「ospf」を定義します。
```
application ospf
 protocol 89
```
TCPパケットを表すカスタムアプリケーション「tcp」を定義します。
```
application tcp
 protocol tcp
 sport any
 dport any
```
UDPパケットを表すカスタムアプリケーション「udp」を定義します。
```
application udp
 protocol udp
 sport any
 dport any
```
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。

・rule 10 - 内部から内部への通信を許可します
・rule 20 - 内部から外部への通信を許可します
・rule 30, 40 - ISAKMPパケットを許可します
・rule 50, 60 - IPsec（ESP）パケットを許可します

ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
```
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.ppp0 to public
 rule 40 permit isakmp from public to public.wan.ppp0
 rule 50 permit esp from public.wan.ppp0 to public
 rule 60 permit esp from public to public.wan.ppp0
 protect
```
LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
これには、nat、rule、enableの各コマンドを使います。

NATの詳細は「UTM」/「NAT」をご覧ください。
```
nat
 rule 10 masq any from private to public
 enable
```
IPsecの通信方式を規定するIPsecプロファイルを作成します。
IPsecプロファイルの詳細は「VPN」/「IPsec」をご覧ください。

ここでは、crypto ipsec profileコマンドでIPsecプロファイルを作成し、以下の情報を設定します。

・アルゴリズム（transform）
```
crypto ipsec profile ipsec1
 transform 1 protocol esp integrity SHA256 encryption AES128
```
ISAKMPの通信方式を規定するISAKMPプロファイルを作成します。
ISAKMPプロファイルの詳細は「VPN」/「IPsec」をご覧ください。

ここでは、crypto isakmp profileコマンドでISAKMPプロファイルを作成し、以下の情報を設定します。

・IKEバージョン（version）
・アルゴリズム（transform）
```
crypto isakmp profile isakmp1
 version 1 mode main
 transform 1 integrity SHA256 encryption AES128 group 15
```
対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
```
crypto isakmp key secret address 10.1.1.1
```
対向ルーターとの間で使用するISAKMPプロファイルを指定します。これにはcrypto isakmp peerコマンドを使います。
```
crypto isakmp peer address 10.1.1.1 profile isakmp1
```
IPsecトンネルインターフェースtunnel1を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

・トンネルインターフェースから送信するデリバリーパケットの始点（自装置）アドレス（tunnel source）
・トンネルインターフェースから送信するデリバリーパケットの終点（対向装置）アドレス（tunnel destination）
・トンネルインターフェースに対するIPsec保護の適用とIPsecプロファイルの指定（tunnel protection ipsec）
・トンネリング方式（tunnel mode ipsec）
・トンネルインターフェースのIPアドレス（ip address）
・トンネルインターフェースにおけるMSS書き換え設定（ip tcp adjust-mss）
・トンネルインターフェースのMTU（mtu）
```
interface tunnel1
 tunnel source ppp0
 tunnel destination 10.1.1.1
 tunnel protection ipsec profile ipsec1
 tunnel mode ipsec ipv4
 ip address 172.16.0.1/30
 ip tcp adjust-mss 1260
 mtu 1300
```

QoSの設定をします。

QoSの詳細は「トラフィック制御」/「Quality of Service」をご覧ください。

traffic-control
 red-curve TEST avpkt 256 max 50 probability 20
 policy MYQOS priority
  class HIGH priority-level 11
  class MED priority-level 10
  class LOW priority-level 9 sub-class-policy wrr
   sub-class A weight 6 red-curve TEST
   sub-class B weight 3 red-curve TEST
   sub-class C weight 1 red-curve default
 rule 10 match ospf to qos.tunnel1 policy MYQOS.HIGH
 rule 20 match isakmp to qos.ppp0 policy MYQOS.MED
 rule 30 match esp to qos.ppp0 policy MYQOS.MED
 rule 40 match tcp from qos.vlan10 to qos.tunnel1 policy MYQOS.LOW.A
 rule 50 match tcp from qos.vlan20 to qos.tunnel1 policy MYQOS.LOW.B
 rule 60 match udp from qos.vlan10 to qos.tunnel1 policy MYQOS.LOW.C
 interface ppp0 virtual-bandwidth 100mbit
 interface tunnel1 virtual-bandwidth 70mbit
 traffic-control enable

OSPFの設定をします。

router ospf
 ospf router-id 0.0.0.1
 network 172.16.0.0/30 area 0
 network 192.168.10.0/24 area 0
 network 192.168.20.0/24 area 0

デフォルト経路（0.0.0.0/0）を設定します。これにはip routeコマンドを使います。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
```
ip route 0.0.0.0/0 ppp0
```
以上で設定は完了です。
```
end
```

ルーターBの設定

LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
```
no spanning-tree rstp enable
```
WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface eth1
 encapsulation ppp 0
```
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

・LCP EchoによるPPP接続状態の確認（keepalive）
・ユーザー名（ppp username）
・パスワード（ppp password）
・IPアドレスの固定設定（ip address）
・MSS書き換え（ip tcp adjust-mss）

PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface ppp0
 keepalive
 ppp username user@ispB
 ppp password isppasswdB
 ip address 10.1.1.1/32
 ip tcp adjust-mss pmtu
```
LAN側で使用するVLANを作成します。
これには、vlan databaseコマンドとvlanコマンドを使います。
VLANの詳細は「L2スイッチング」/「バーチャルLAN」をご覧ください。
```
vlan database
 vlan 10,20 state enable
```
LANポート1.0.1～1.0.4をvlan10のタグなしポートに設定します。
これには、switchport modeコマンド、switchport access vlanコマンドを使います。
VLANについては「L2スイッチング」/「バーチャルLAN」をご覧ください。
```
interface port1.0.1-1.0.4
 switchport
 switchport mode access
 switchport access vlan 10
```

同様にLANポート1.0.5～1.0.8をvlan20のタグなしポートに設定します。

interface port1.0.5-1.0.8
 switchport
 switchport mode access
 switchport access vlan 20

LAN側のvlan10にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface vlan10
 ip address 192.168.30.1/24
```
LAN側のvlan20にIPアドレスを設定します。
```
interface vlan20
 ip address 192.168.40.1/24
```
ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
```
zone private
 network lan
  ip subnet 0.0.0.0/0 interface tunnel1
  ip subnet 172.16.0.0/30
  ip subnet 192.168.30.0/24
  ip subnet 192.168.40.0/24
 network ospf
  ip subnet 224.0.0.5/32
  ip subnet 224.0.0.6/32
```
外部ネットワークを表すゾーン「public」を作成します。
前記コマンドに加え、ここではhost、ip addressの各コマンドも使います。
```
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.1.1.1
```

QoS制御のためのゾーン「qos」を作成します。

zone qos
 network ppp0
  ip subnet 0.0.0.0/0 interface ppp0
 network tunnel1
  ip subnet 0.0.0.0/0 interface tunnel1
 network vlan10
  ip subnet 192.168.30.0/24 interface vlan10
 network vlan20
  ip subnet 192.168.40.0/24 interface vlan20

ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、sport、dport、icmp-type、icmp-codeの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
```
application esp
 protocol 50
```
ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
```
application isakmp
 protocol udp
 dport 500
```
OSPFパケットを表すカスタムアプリケーション「ospf」を定義します。
```
application ospf
 protocol 89
```
TCPパケットを表すカスタムアプリケーション「tcp」を定義します。
```
application tcp
 protocol tcp
 sport any
 dport any
```
UDPパケットを表すカスタムアプリケーション「udp」を定義します。
```
application udp
 protocol udp
 sport any
 dport any
```
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。

・rule 10 - 内部から内部への通信を許可します
・rule 20 - 内部から外部への通信を許可します
・rule 30, 40 - ISAKMPパケットを許可します
・rule 50, 60 - IPsec（ESP）パケットを許可します

ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
```
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.ppp0 to public
 rule 40 permit isakmp from public to public.wan.ppp0
 rule 50 permit esp from public.wan.ppp0 to public
 rule 60 permit esp from public to public.wan.ppp0
 protect
```
LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
これには、nat、rule、enableの各コマンドを使います。

NATの詳細は「UTM」/「NAT」をご覧ください。
```
nat
 rule 10 masq any from private to public
 enable
```
IPsecの通信方式を規定するIPsecプロファイルを作成します。
IPsecプロファイルの詳細は「VPN」/「IPsec」をご覧ください。

ここでは、crypto ipsec profileコマンドでIPsecプロファイルを作成し、以下の情報を設定します。

・アルゴリズム（transform）
```
crypto ipsec profile ipsec1
 transform 1 protocol esp integrity SHA256 encryption AES128
```
ISAKMPの通信方式を規定するISAKMPプロファイルを作成します。
ISAKMPプロファイルの詳細は「VPN」/「IPsec」をご覧ください。

ここでは、crypto isakmp profileコマンドでISAKMPプロファイルを作成し、以下の情報を設定します。

・IKEバージョン（version）
・アルゴリズム（transform）
```
crypto isakmp profile isakmp1
 version 1 mode main
 transform 1 integrity SHA256 encryption AES128 group 15
```
対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
```
crypto isakmp key secret address 10.0.0.1
```
対向ルーターとの間で使用するISAKMPプロファイルを指定します。これにはcrypto isakmp peerコマンドを使います。
```
crypto isakmp peer address 10.0.0.1 profile isakmp1
```
IPsecトンネルインターフェースtunnel1を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

・トンネルインターフェースから送信するデリバリーパケットの始点（自装置）アドレス（tunnel source）
・トンネルインターフェースから送信するデリバリーパケットの終点（対向装置）アドレス（tunnel destination）
・トンネルインターフェースに対するIPsec保護の適用とIPsecプロファイルの指定（tunnel protection ipsec）
・トンネリング方式（tunnel mode ipsec）
・トンネルインターフェースのIPアドレス（ip address）
・トンネルインターフェースにおけるMSS書き換え設定（ip tcp adjust-mss）
・トンネルインターフェースのMTU（mtu）
```
interface tunnel1
 tunnel source ppp0
 tunnel destination 10.0.0.1
 tunnel protection ipsec profile ipsec1
 tunnel mode ipsec ipv4
 ip address 172.16.0.2/30
 ip tcp adjust-mss 1260
 mtu 1300
```

QoSの設定をします。

QoSの詳細は「トラフィック制御」/「Quality of Service」をご覧ください。

traffic-control
 red-curve TEST avpkt 256 max 50 probability 20
 policy MYQOS priority
  class HIGH priority-level 11
  class MED priority-level 10
  class LOW priority-level 9 sub-class-policy wrr
   sub-class A weight 6 red-curve TEST
   sub-class B weight 3 red-curve TEST
   sub-class C weight 1 red-curve default
 rule 10 match ospf to qos.tunnel1 policy MYQOS.HIGH
 rule 20 match isakmp to qos.ppp0 policy MYQOS.MED
 rule 30 match esp to qos.ppp0 policy MYQOS.MED
 rule 40 match tcp from qos.vlan10 to qos.tunnel1 policy MYQOS.LOW.A
 rule 50 match tcp from qos.vlan20 to qos.tunnel1 policy MYQOS.LOW.B
 rule 60 match udp from qos.vlan10 to qos.tunnel1 policy MYQOS.LOW.C
 interface ppp0 virtual-bandwidth 100mbit
 interface tunnel1 virtual-bandwidth 70mbit
 traffic-control enable

OSPFの設定をします。

router ospf
 ospf router-id 0.0.0.2
 network 172.16.0.0/30 area 0.0.0.0
 network 192.168.30.0/24 area 0.0.0.0
 network 192.168.40.0/24 area 0.0.0.0

デフォルト経路（0.0.0.0/0）を設定します。これにはip routeコマンドを使います。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
```
ip route 0.0.0.0/0 ppp0
```
以上で設定は完了です。
```
end
```

設定の保存

■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。

awplus# copy running-config startup-config ↓
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。

awplus# write memory ↓
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド（log(filter)）を実行します。

awplus(config)# log buffered level informational facility local5 ↓

■ 記録されたログを見るには、次のコマンド（show log）を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。

awplus# show log | include Firewall ↓

ルーターAのコンフィグ

!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 keepalive
 ppp username user@ispA
 ppp password isppasswdA
 ip address 10.0.0.1/32
 ip tcp adjust-mss pmtu
!
vlan database
 vlan 10,20 state enable
!
interface port1.0.1-1.0.4
 switchport
 switchport mode access
 switchport access vlan 10
!
interface port1.0.5-1.0.8
 switchport
 switchport mode access
 switchport access vlan 20
!
interface vlan10
 ip address 192.168.10.1/24
!
interface vlan20
 ip address 192.168.20.1/24
!
zone private
 network lan
  ip subnet 0.0.0.0/0 interface tunnel1
  ip subnet 172.16.0.0/30
  ip subnet 192.168.10.0/24
  ip subnet 192.168.20.0/24
 network ospf
  ip subnet 224.0.0.5/32
  ip subnet 224.0.0.6/32
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1
!
zone qos
 network ppp0
  ip subnet 0.0.0.0/0 interface ppp0
 network tunnel1
  ip subnet 0.0.0.0/0 interface tunnel1
 network vlan10
  ip subnet 192.168.10.0/24 interface vlan10
 network vlan20
  ip subnet 192.168.20.0/24 interface vlan20
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 dport 500
!
application ospf
 protocol 89
!
application tcp
 protocol tcp
 sport any
 dport any
!
application udp
 protocol udp
 sport any
 dport any
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.ppp0 to public
 rule 40 permit isakmp from public to public.wan.ppp0
 rule 50 permit esp from public.wan.ppp0 to public
 rule 60 permit esp from public to public.wan.ppp0
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
crypto ipsec profile ipsec1
 transform 1 protocol esp integrity SHA256 encryption AES128
!
crypto isakmp profile isakmp1
 version 1 mode main
 transform 1 integrity SHA256 encryption AES128 group 15
!
crypto isakmp key secret address 10.1.1.1
!
crypto isakmp peer address 10.1.1.1 profile isakmp1
!
interface tunnel1
 tunnel source ppp0
 tunnel destination 10.1.1.1
 tunnel protection ipsec profile ipsec1
 tunnel mode ipsec ipv4
 ip address 172.16.0.1/30
 ip tcp adjust-mss 1260
 mtu 1300
!
traffic-control
 red-curve TEST avpkt 256 max 50 probability 20
 policy MYQOS priority
  class HIGH priority-level 11
  class MED priority-level 10
  class LOW priority-level 9 sub-class-policy wrr
   sub-class A weight 6 red-curve TEST
   sub-class B weight 3 red-curve TEST
   sub-class C weight 1 red-curve default
 rule 10 match ospf to qos.tunnel1 policy MYQOS.HIGH
 rule 20 match isakmp to qos.ppp0 policy MYQOS.MED
 rule 30 match esp to qos.ppp0 policy MYQOS.MED
 rule 40 match tcp from qos.vlan10 to qos.tunnel1 policy MYQOS.LOW.A
 rule 50 match tcp from qos.vlan20 to qos.tunnel1 policy MYQOS.LOW.B
 rule 60 match udp from qos.vlan10 to qos.tunnel1 policy MYQOS.LOW.C
 interface ppp0 virtual-bandwidth 100mbit
 interface tunnel1 virtual-bandwidth 70mbit
 traffic-control enable
!
router ospf
 ospf router-id 0.0.0.1
 network 172.16.0.0/30 area 0
 network 192.168.10.0/24 area 0
 network 192.168.20.0/24 area 0
!
ip route 0.0.0.0/0 ppp0
!
end

ルーターBのコンフィグ

!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 keepalive
 ppp username user@ispB
 ppp password isppasswdB
 ip address 10.1.1.1/32
 ip tcp adjust-mss pmtu
!
vlan database
 vlan 10,20 state enable
!
interface port1.0.1-1.0.4
 switchport
 switchport mode access
 switchport access vlan 10
!
interface port1.0.5-1.0.8
 switchport
 switchport mode access
 switchport access vlan 20
!
interface vlan10
 ip address 192.168.30.1/24
!
interface vlan20
 ip address 192.168.40.1/24
!
zone private
 network lan
  ip subnet 0.0.0.0/0 interface tunnel1
  ip subnet 172.16.0.0/30
  ip subnet 192.168.30.0/24
  ip subnet 192.168.40.0/24
 network ospf
  ip subnet 224.0.0.5/32
  ip subnet 224.0.0.6/32
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.1.1.1
!
zone qos
 network ppp0
  ip subnet 0.0.0.0/0 interface ppp0
 network tunnel1
  ip subnet 0.0.0.0/0 interface tunnel1
 network vlan10
  ip subnet 192.168.30.0/24 interface vlan10
 network vlan20
  ip subnet 192.168.40.0/24 interface vlan20
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 dport 500
!
application ospf
 protocol 89
!
application tcp
 protocol tcp
 sport any
 dport any
!
application udp
 protocol udp
 sport any
 dport any
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.ppp0 to public
 rule 40 permit isakmp from public to public.wan.ppp0
 rule 50 permit esp from public.wan.ppp0 to public
 rule 60 permit esp from public to public.wan.ppp0
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
crypto ipsec profile ipsec1
 transform 1 protocol esp integrity SHA256 encryption AES128
!
crypto isakmp profile isakmp1
 version 1 mode main
 transform 1 integrity SHA256 encryption AES128 group 15
!
crypto isakmp key secret address 10.0.0.1
!
crypto isakmp peer address 10.0.0.1 profile isakmp1
!
interface tunnel1
 tunnel source ppp0
 tunnel destination 10.0.0.1
 tunnel protection ipsec profile ipsec1
 tunnel mode ipsec ipv4
 ip address 172.16.0.2/30
 ip tcp adjust-mss 1260
 mtu 1300
!
traffic-control
 red-curve TEST avpkt 256 max 50 probability 20
 policy MYQOS priority
  class HIGH priority-level 11
  class MED priority-level 10
  class LOW priority-level 9 sub-class-policy wrr
   sub-class A weight 6 red-curve TEST
   sub-class B weight 3 red-curve TEST
   sub-class C weight 1 red-curve default
 rule 10 match ospf to qos.tunnel1 policy MYQOS.HIGH
 rule 20 match isakmp to qos.ppp0 policy MYQOS.MED
 rule 30 match esp to qos.ppp0 policy MYQOS.MED
 rule 40 match tcp from qos.vlan10 to qos.tunnel1 policy MYQOS.LOW.A
 rule 50 match tcp from qos.vlan20 to qos.tunnel1 policy MYQOS.LOW.B
 rule 60 match udp from qos.vlan10 to qos.tunnel1 policy MYQOS.LOW.C
 interface ppp0 virtual-bandwidth 100mbit
 interface tunnel1 virtual-bandwidth 70mbit
 traffic-control enable
!
router ospf
 ospf router-id 0.0.0.2
 network 172.16.0.0/30 area 0.0.0.0
 network 192.168.30.0/24 area 0.0.0.0
 network 192.168.40.0/24 area 0.0.0.0
!
ip route 0.0.0.0/0 ppp0
!
end

PN: 613-002107 Rev.AY