設定例集#117: SD-WANロードバランス（単一Ethインターフェース使用構成）

構成

設定開始前に

自動設定の確認と削除

システム時刻の設定

センター・拠点間を2本のインターネットVPN回線で接続している構成において、センター側 vlan10、拠点側 vlan11 からの通信はつねに ISP-A 側のVPN回線を用いますが、センター側 vlan20、拠点側 vlan21 からの通信は、SD-WANロードバランス機能を利用して2本のVPN回線の状態を監視し、状態のよいほうを選択して通信します。どちらかの回線で障害が発生した場合は、もう一方の回線を使用して通信を行います。

構成

	ルーターA	ルーターB
ISP-Aから提供された情報
接続用ユーザー名	user01@ispA	user02@ispA
接続用パスワード	isppasswdA-01	isppasswdA-02
PPPoEサービス名	指定なし	指定なし
WAN側IPアドレス	10.0.0.1	10.0.0.2
ISP-Bから提供された情報
接続用ユーザー名	user01@ispB	user02@ispB
接続用パスワード	isppasswdB-01	isppasswdB-02
PPPoEサービス名	指定なし	指定なし
WAN側IPアドレス	10.1.0.1	10.1.0.2
ルーターの基本設定
WAN側物理インターフェース	eth1	eth1
WAN側IPアドレス(1)	10.0.0.1/32 (ppp0)	10.0.0.2/32 (ppp0)
WAN側IPアドレス(2)	10.1.0.1/32 (ppp1)	10.1.0.2/32 (ppp1)
LAN側IPアドレス(1)	192.168.10.1/24 (vlan10)	192.168.11.1/24 (vlan11)
LAN側IPアドレス(2)	192.168.20.1/24 (vlan20)	192.168.21.1/24 (vlan21)
IPsecトンネルIPアドレス(1)	172.16.0.1/30 （tunnel0）	172.16.0.2/30 （tunnel0）
IPsecトンネルIPアドレス(2)	172.16.0.5/30 （tunnel1）	172.16.0.6/30 （tunnel1）

[事前共有鍵]

ルーターA・B間（tunnel0）: secret1
ルーターA・B間（tunnel1）: secret2

設定開始前に

自動設定の確認と削除

本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態（スタートアップコンフィグなしで起動した状態）から入力することを前提としています。

そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。

ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。

これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。

ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。

自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。

システム時刻の設定

ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。

手動で設定する方法 - 「運用・管理」/「システム」
NTPで自動設定する方法 - 「運用・管理」/「NTP」

ルーターAの設定

LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
```
no spanning-tree rstp enable
```
WANポートeth1上にPPPoEインターフェースppp0とppp1を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface eth1
 encapsulation ppp 0
 encapsulation ppp 1
```
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

・LCP EchoによるPPP接続状態の確認（keepalive）
・ユーザー名（ppp username）
・パスワード（ppp password）
・IPアドレスの固定設定（ip address）
・MSS書き換え（ip tcp adjust-mss）

PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface ppp0
 keepalive
 ppp username user01@ispA
 ppp password isppasswdA-01
 ip address 10.0.0.1/32
 ip tcp adjust-mss pmtu
```

同様にしてPPPインターフェースppp1に対し、PPPoE接続のための設定を行います。

interface ppp1
 keepalive
 ppp username user01@ispB
 ppp password isppasswdB-01
 ip address 10.1.0.1/32
 ip tcp adjust-mss pmtu

vlan10 と vlan20 を作成します。
VLANの詳細は「L2スイッチング」/「バーチャルLAN」をご覧ください。
```
vlan database
 vlan 10,20 state enable
```
スイッチポート port1.0.1 を vlan10 に割り当てます。
```
interface port1.0.1
 switchport access vlan 10
```
スイッチポート port1.0.2 を vlan20 に割り当てます。
```
interface port1.0.2
 switchport access vlan 20
```
vlan10にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface vlan10
 ip address 192.168.10.1/24
```
同様にしてvlan20にIPアドレスを設定します。
```
interface vlan20
 ip address 192.168.20.1/24
```
ファイアウォール、NAT、ポリシーベースルーティング（PBR）のルール作成時に使うエンティティー（通信主体）を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
```
zone private
 network peer
  ip subnet 192.168.11.0/24
  ip subnet 192.168.21.0/24
 network tun
  ip subnet 172.16.0.0/30 interface tunnel0
  ip subnet 172.16.0.4/30 interface tunnel1
 network v10
  ip subnet 192.168.10.0/24
 network v20
  ip subnet 192.168.20.0/24
```

外部ネットワークを表すゾーン「public」を作成します。
前記コマンドに加え、ここではhost、ip addressの各コマンドも使います。

zone public
 network wan1
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1
 network wan2
  ip subnet 0.0.0.0/0 interface ppp1
  host ppp1
   ip address 10.1.0.1

ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、dportの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

ESPパケットを表すカスタムアプリケーション「esp」を定義します。
```
application esp
 protocol 50
```
ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
```
application isakmp
 protocol udp
 dport 500
```
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。

・rule 10 - 内部から内部への通信を許可します
・rule 20 - 内部から外部への通信を許可します
・rule 30 - ppp0(wan1)から外部への通信を許可します
・rule 40 - ppp0(wan1)上でISAKMPパケットを許可します
・rule 50 - ppp0(wan1)上でESPパケットを許可します
・rule 60 - ppp1(wan2)から外部への通信を許可します
・rule 70 - ppp1(wan2)上でISAKMPパケットを許可します
・rule 80 - ppp1(wan2)上でESPパケットを許可します

ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
```
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit any from public.wan1.ppp0 to public.wan1
 rule 40 permit isakmp from public.wan1 to public.wan1.ppp0
 rule 50 permit esp from public.wan1 to public.wan1.ppp0
 rule 60 permit any from public.wan2.ppp1 to public.wan2
 rule 70 permit isakmp from public.wan2 to public.wan2.ppp1
 rule 80 permit esp from public.wan2 to public.wan2.ppp1
 protect
```
NAT機能の設定を行います。
これには、nat、rule、enableの各コマンドを使います。

・rule 10, 20 - 内部のコンピューターがダイナミックENAT機能を使用できるようにします

NATの詳細は「UTM」/「NAT」をご覧ください。
```
nat
 rule 10 masq any from private to public.wan1 with src public.wan1.ppp0
 rule 20 masq any from private to public.wan2 with src public.wan2.ppp1
 enable
```
対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
```
crypto isakmp key secret1 address 10.0.0.2
crypto isakmp key secret2 address 10.1.0.2
```
ここから、SD-WANロードバランス機能において、VPN回線の状況を調べるために使うリンク監視機能の設定を行います。
最初にISP-A側（tunnel0側）のVPN回線用にリンク監視プローブ「PROBE0」を作成します。linkmon probeでプローブを作成し、以下の各パラメーターを設定します。

・調査パケットの送信先（destination）
・調査パケットの送出インターフェース（egress interface）
・調査パケットの始点アドレス（source）
・リンク監視プローブの有効化（enable）

リンク監視機能の詳細は「トラフィック制御」/「SD-WANロードバランス」をご覧ください。
```
linkmon probe name PROBE0
 destination 172.16.0.2
 egress interface tunnel0
 source tunnel0
 enable
```
同様にして、ISP-B側（tunnel1側）のVPN回線用にリンク監視プローブ「PROBE1」を作成します。
```
linkmon probe name PROBE1
 destination 172.16.0.6
 egress interface tunnel1
 source tunnel1
 enable
```
ロードバランス対象のVPN回線（ネクストホップ）をリンク監視グループ「probegroup」に束ねます。これには、linkmon group、memberの各コマンドを使います。
```
linkmon group probegroup
 member 10 destination tunnel0 probe PROBE0
 member 20 destination tunnel1 probe PROBE1
```
各VPN回線の状況を判断するための基準をリンク性能プロファイル「probequality」として作成します。これには、linkmon profile、latency bad-above、jitter bad-above、pktloss bad-above、preferenceの各コマンドを使います。
```
linkmon profile probequality
 latency bad-above 100
 jitter bad-above 30
 pktloss bad-above 10.0
 preference pktloss
```
ポリシーベースルーティングを有効化し、センター側 vlan20 から拠点へのトラフィックをリンク監視グループ「probegroup」に所属するVPN回線間でロードバランスするよう設定します。これには、policy-based-routing、policy-based-routing enable、ip policy-routeの各コマンドを使います。
対象トラフィックの送信には、リンク性能プロファイル「probequality」にもとづく判定でより状況のよいほうが使われます。

ポリシーベースルーティングの詳細は「トラフィック制御」/「ポリシーベースルーティング」をご覧ください。
```
policy-based-routing
 ip policy-route 20 from private.v20 to private.peer linkmon-group probegroup linkmon-profile probequality
 policy-based-routing enable
```
IPsecトンネルインターフェースtunnel0を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

・トンネルインターフェースのMTU（mtu）
・トンネルインターフェースから送信するデリバリーパケットの始点（自装置）アドレス（tunnel source）
・トンネルインターフェースから送信するデリバリーパケットの終点（対向装置）アドレス（tunnel destination）
・トンネルインターフェースに対するIPsec保護の適用（tunnel protection ipsec）
・トンネリング方式（tunnel mode ipsec）
・トンネルインターフェースのIPアドレス（ip address）
・トンネルインターフェースにおけるMSS書き換え設定（ip tcp adjust-mss）
```
interface tunnel0
 mtu 1300
 tunnel source ppp0
 tunnel destination 10.0.0.2
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.1/30
 ip tcp adjust-mss 1260
```

同様にしてIPsecトンネルインターフェースtunnel1を作成します。

interface tunnel1
 mtu 1300
 tunnel source ppp1
 tunnel destination 10.1.0.2
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.5/30
 ip tcp adjust-mss 1260

ISP-A側VPN回線（tunnel0）経由での対向ルーターへの接続性を監視するPingポーリング「1」を作成します。
これには、ping-poll、ip、normal-interval、up-count、sample-size、activeの各コマンドを使います。
Pingポーリングの詳細は「IP付加機能」/「Pingポーリング」をご覧ください。
```
ping-poll 1
 ip 172.16.0.2
 normal-interval 10
 up-count 5
 sample-size 10
 active
```
Pingポーリングトリガーを作成します。
これには、trigger、type ping-poll、scriptの各コマンドを使います。

・trigger 1 - ISP-A側VPN回線（tunnel0）経由での対向ルーターへの接続性が失われた場合に、ISP-B側VPN回線（tunnel1）経由のルートに切り替えるpingdown.scpスクリプトを実行する
・trigger 2 - ISP-A側VPN回線（tunnel0）経由での対向ルーターへの接続性が回復した場合に、ISP-A側VPN回線（tunnel0）経由のルートに切り替えるpingup.scpスクリプトを実行する

トリガースクリプトの具体的内容は「トリガースクリプト」を、トリガーの詳細は「運用・管理」/「トリガー」をご覧ください。
```
trigger 1
 type ping-poll 1 down
 script 1 flash:/pingdown.scp
trigger 2
 type ping-poll 1 up
 script 1 flash:/pingup.scp
```
IPの経路情報をスタティックに設定します。これにはip routeコマンドを使います。

・ISP-A側の対向ルーターB（10.0.0.2）には ppp0 経由で接続します
・ISP-B側の対向ルーターB（10.1.0.2）には ppp1 経由で接続します
・拠点側のvlan11（192.168.11.0/24）には通常 ISP-A側VPN回線（tunnel0）経由で通信し、ISP-A側がダウンしているときはISP-B側VPN回線（tunnel1）経由で通信します（VPN回線が両方ともダウンしているときは破棄）
・拠点側のvlan21（192.168.21.0/24）には通常 ISP-A側VPN回線（tunnel0）経由で通信し、ISP-A側がダウンしているときはISP-B側VPN回線（tunnel1）経由で通信します（VPN回線が両方ともダウンしているときは破棄）

IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
```
ip route 10.0.0.2/32 ppp0
ip route 10.1.0.2/32 ppp1
ip route 192.168.11.0/24 tunnel0
ip route 192.168.11.0/24 tunnel1 10
ip route 192.168.11.0/24 Null 254
ip route 192.168.21.0/24 tunnel0
ip route 192.168.21.0/24 tunnel1 10
ip route 192.168.21.0/24 Null 254
```
以上で設定は完了です。
```
end
```

ルーターBの設定

LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
```
no spanning-tree rstp enable
```
WANポートeth1上にPPPoEインターフェースppp0とppp1を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface eth1
 encapsulation ppp 0
 encapsulation ppp 1
```
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

・LCP EchoによるPPP接続状態の確認（keepalive）
・ユーザー名（ppp username）
・パスワード（ppp password）
・IPアドレスの固定設定（ip address）
・MSS書き換え（ip tcp adjust-mss）

PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface ppp0
 keepalive
 ppp username user02@ispA
 ppp password isppasswdA-02
 ip address 10.0.0.2/32
 ip tcp adjust-mss pmtu
```

同様にしてPPPインターフェースppp1に対し、PPPoE接続のための設定を行います。

interface ppp1
 keepalive
 ppp username user02@ispB
 ppp password isppasswdB-02
 ip address 10.1.0.2/32
 ip tcp adjust-mss pmtu

vlan11 と vlan21 を作成します。
VLANの詳細は「L2スイッチング」/「バーチャルLAN」をご覧ください。
```
vlan database
 vlan 11,21 state enable
```
スイッチポート port1.0.1 を vlan11 に割り当てます。
```
interface port1.0.1
 switchport access vlan 11
```
スイッチポート port1.0.2 を vlan21 に割り当てます。
```
interface port1.0.2
 switchport access vlan 21
```
vlan11にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface vlan11
 ip address 192.168.11.1/24
```
同様にしてvlan21にIPアドレスを設定します。
```
interface vlan21
 ip address 192.168.21.1/24
```
ファイアウォール、NAT、ポリシーベースルーティング（PBR）のルール作成時に使うエンティティー（通信主体）を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
```
zone private
 network peer
  ip subnet 192.168.10.0/24
  ip subnet 192.168.20.0/24
 network tun
  ip subnet 172.16.0.0/30 interface tunnel0
  ip subnet 172.16.0.4/30 interface tunnel1
 network v11
  ip subnet 192.168.11.0/24
 network v21
  ip subnet 192.168.21.0/24
```

外部ネットワークを表すゾーン「public」を作成します。
前記コマンドに加え、ここではhost、ip addressの各コマンドも使います。

zone public
 network wan1
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.2
 network wan2
  ip subnet 0.0.0.0/0 interface ppp1
  host ppp1
   ip address 10.1.0.2

ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、dportの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

ESPパケットを表すカスタムアプリケーション「esp」を定義します。
```
application esp
 protocol 50
```
ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
```
application isakmp
 protocol udp
 dport 500
```
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。

・rule 10 - 内部から内部への通信を許可します
・rule 20 - 内部から外部への通信を許可します
・rule 30 - ppp0(wan1)から外部への通信を許可します
・rule 40 - ppp0(wan1)上でISAKMPパケットを許可します
・rule 50 - ppp0(wan1)上でESPパケットを許可します
・rule 60 - ppp1(wan2)から外部への通信を許可します
・rule 70 - ppp1(wan2)上でISAKMPパケットを許可します
・rule 80 - ppp1(wan2)上でESPパケットを許可します
ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
```
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit any from public.wan1.ppp0 to public.wan1
 rule 40 permit isakmp from public.wan1 to public.wan1.ppp0
 rule 50 permit esp from public.wan1 to public.wan1.ppp0
 rule 60 permit any from public.wan2.ppp1 to public.wan2
 rule 70 permit isakmp from public.wan2 to public.wan2.ppp1
 rule 80 permit esp from public.wan2 to public.wan2.ppp1
 protect
```
NAT機能の設定を行います。
これには、nat、rule、enableの各コマンドを使います。

・rule 10, 20 - 内部のコンピューターがダイナミックENAT機能を使用できるようにします

NATの詳細は「UTM」/「NAT」をご覧ください。
```
nat
 rule 10 masq any from private to public.wan1 with src public.wan1.ppp0
 rule 20 masq any from private to public.wan2 with src public.wan2.ppp1
 enable
```
対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
```
crypto isakmp key secret1 address 10.0.0.1
crypto isakmp key secret2 address 10.1.0.1
```
ここから、SD-WANロードバランス機能において、VPN回線の状況を調べるために使うリンク監視機能の設定を行います。
最初にISP-A側（tunnel0側）のVPN回線用にリンク監視プローブ「PROBE0」を作成します。linkmon probeでプローブを作成し、以下の各パラメーターを設定します。

・調査パケットの送信先（destination）
・調査パケットの送出インターフェース（egress interface）
・調査パケットの始点アドレス（source）
・リンク監視プローブの有効化（enable）

リンク監視機能の詳細は「トラフィック制御」/「SD-WANロードバランス」をご覧ください。
```
linkmon probe name PROBE0
 destination 172.16.0.1
 egress interface tunnel0
 source tunnel0
 enable
```
同様にして、ISP-B側（tunnel1側）のVPN回線用にリンク監視プローブ「PROBE1」を作成します。
```
linkmon probe name PROBE1
 destination 172.16.0.5
 egress interface tunnel1
 source tunnel1
 enable
```
ロードバランス対象のVPN回線（ネクストホップ）をリンク監視グループ「probegroup」に束ねます。これには、linkmon group、memberの各コマンドを使います。
```
linkmon group probegroup
 member 10 destination tunnel0 probe PROBE0
 member 20 destination tunnel1 probe PROBE1
```
各VPN回線の状況を判断するための基準をリンク性能プロファイル「probequality」として作成します。これには、linkmon profile、latency bad-above、jitter bad-above、pktloss bad-above、preferenceの各コマンドを使います。
```
linkmon profile probequality
 latency bad-above 100
 jitter bad-above 30
 pktloss bad-above 10.0
 preference pktloss
```
ポリシーベースルーティングを有効化し、拠点側 vlan21 からセンターへのトラフィックをリンク監視グループ「probegroup」に所属するVPN回線間でロードバランスするよう設定します。これには、policy-based-routing、policy-based-routing enable、ip policy-routeの各コマンドを使います。
対象トラフィックの送信には、リンク性能プロファイル「probequality」にもとづく判定でより状況のよいほうが使われます。

ポリシーベースルーティングの詳細は「トラフィック制御」/「ポリシーベースルーティング」をご覧ください。
```
policy-based-routing
 ip policy-route 20 from private.v21 to private.peer linkmon-group probegroup linkmon-profile probequality
 policy-based-routing enable
```
IPsecトンネルインターフェースtunnel0を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

・トンネルインターフェースのMTU（mtu）
・トンネルインターフェースから送信するデリバリーパケットの始点（自装置）アドレス（tunnel source）
・トンネルインターフェースから送信するデリバリーパケットの終点（対向装置）アドレス（tunnel destination）
・トンネルインターフェースに対するIPsec保護の適用（tunnel protection ipsec）
・トンネリング方式（tunnel mode ipsec）
・トンネルインターフェースのIPアドレス（ip address）
・トンネルインターフェースにおけるMSS書き換え設定（ip tcp adjust-mss）
```
interface tunnel0
 mtu 1300
 tunnel source ppp0
 tunnel destination 10.0.0.1
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.2/30
 ip tcp adjust-mss 1260
```

同様にしてIPsecトンネルインターフェースtunnel1を作成します。

interface tunnel1
 mtu 1300
 tunnel source ppp1
 tunnel destination 10.1.0.1
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.6/30
 ip tcp adjust-mss 1260

ISP-A側VPN回線（tunnel0）経由での対向ルーターへの接続性を監視するPingポーリング「1」を作成します。
これには、ping-poll、ip、normal-interval、up-count、sample-size、activeの各コマンドを使います。
Pingポーリングの詳細は「IP付加機能」/「Pingポーリング」をご覧ください。
```
ping-poll 1
 ip 172.16.0.1
 normal-interval 10
 up-count 5
 sample-size 10
 active
```
Pingポーリングトリガーを作成します。
これには、trigger、type ping-poll、scriptの各コマンドを使います。

・trigger 1 - ISP-A側VPN回線（tunnel0）経由での対向ルーターへの接続性が失われた場合に、ISP-B側VPN回線（tunnel1）経由のルートに切り替えるpingdown.scpスクリプトを実行する
・trigger 2 - ISP-A側VPN回線（tunnel0）経由での対向ルーターへの接続性が回復した場合に、ISP-A側VPN回線（tunnel0）経由のルートに切り替えるpingup.scpスクリプトを実行する

トリガースクリプトの具体的内容は「トリガースクリプト」を、トリガーの詳細は「運用・管理」/「トリガー」をご覧ください。
```
trigger 1
 type ping-poll 1 down
 script 1 flash:/pingdown.scp
trigger 2
 type ping-poll 1 up
 script 1 flash:/pingup.scp
```
IPの経路情報をスタティックに設定します。これにはip routeコマンドを使います。

・ISP-A側の対向ルーターB（10.0.0.1）には ppp0 経由で接続します
・ISP-B側の対向ルーターB（10.1.0.1）には ppp1 経由で接続します
・センター側のvlan10（192.168.10.0/24）には通常 ISP-A側VPN回線（tunnel0）経由で通信し、ISP-A側がダウンしているときはISP-B側VPN回線（tunnel1）経由で通信します（VPN回線が両方ともダウンしているときは破棄）
・センター側のvlan20（192.168.20.0/24）には通常 ISP-A側VPN回線（tunnel0）経由で通信し、ISP-A側がダウンしているときはISP-B側VPN回線（tunnel1）経由で通信します（VPN回線が両方ともダウンしているときは破棄）

IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
```
ip route 10.0.0.1/32 ppp0
ip route 10.1.0.1/32 ppp1
ip route 192.168.10.0/24 Null 254
ip route 192.168.10.0/24 tunnel1 10
ip route 192.168.10.0/24 tunnel0
ip route 192.168.20.0/24 Null 254
ip route 192.168.20.0/24 tunnel1 10
ip route 192.168.20.0/24 tunnel0
```
以上で設定は完了です。
```
end
```

設定の保存

■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。

awplus# copy running-config startup-config ↓
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。

awplus# write memory ↓
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド（log(filter)）を実行します。

awplus(config)# log buffered level informational facility local5 ↓

■ 記録されたログを見るには、次のコマンド（show log）を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。

awplus# show log | include Firewall ↓

ルーターAのコンフィグ

!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
 encapsulation ppp 1
!
interface ppp0
 keepalive
 ppp username user01@ispA
 ppp password isppasswdA-01
 ip address 10.0.0.1/32
 ip tcp adjust-mss pmtu
!
interface ppp1
 keepalive
 ppp username user01@ispB
 ppp password isppasswdB-01
 ip address 10.1.0.1/32
 ip tcp adjust-mss pmtu
!
vlan database
 vlan 10,20 state enable
!
interface port1.0.1
 switchport access vlan 10
!
interface port1.0.2
 switchport access vlan 20
!
interface vlan10
 ip address 192.168.10.1/24
!
interface vlan20
 ip address 192.168.20.1/24
!
zone private
 network peer
  ip subnet 192.168.11.0/24
  ip subnet 192.168.21.0/24
 network tun
  ip subnet 172.16.0.0/30 interface tunnel0
  ip subnet 172.16.0.4/30 interface tunnel1
 network v10
  ip subnet 192.168.10.0/24
 network v20
  ip subnet 192.168.20.0/24
!
zone public
 network wan1
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1
 network wan2
  ip subnet 0.0.0.0/0 interface ppp1
  host ppp1
   ip address 10.1.0.1
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 dport 500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit any from public.wan1.ppp0 to public.wan1
 rule 40 permit isakmp from public.wan1 to public.wan1.ppp0
 rule 50 permit esp from public.wan1 to public.wan1.ppp0
 rule 60 permit any from public.wan2.ppp1 to public.wan2
 rule 70 permit isakmp from public.wan2 to public.wan2.ppp1
 rule 80 permit esp from public.wan2 to public.wan2.ppp1
 protect
!
nat
 rule 10 masq any from private to public.wan1 with src public.wan1.ppp0
 rule 20 masq any from private to public.wan2 with src public.wan2.ppp1
 enable
!
crypto isakmp key secret1 address 10.0.0.2
crypto isakmp key secret2 address 10.1.0.2
!
linkmon probe name PROBE0
 destination 172.16.0.2
 egress interface tunnel0
 source tunnel0
 enable
!
linkmon probe name PROBE1
 destination 172.16.0.6
 egress interface tunnel1
 source tunnel1
 enable
!
linkmon group probegroup
 member 10 destination tunnel0 probe PROBE0
 member 20 destination tunnel1 probe PROBE1
!
linkmon profile probequality
 latency bad-above 100
 jitter bad-above 30
 pktloss bad-above 10.0
 preference pktloss
!
policy-based-routing
 ip policy-route 20 from private.v20 to private.peer linkmon-group probegroup linkmon-profile probequality
 policy-based-routing enable
!
interface tunnel0
 mtu 1300
 tunnel source ppp0
 tunnel destination 10.0.0.2
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.1/30
 ip tcp adjust-mss 1260
!
interface tunnel1
 mtu 1300
 tunnel source ppp1
 tunnel destination 10.1.0.2
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.5/30
 ip tcp adjust-mss 1260
!
ping-poll 1
 ip 172.16.0.2
 normal-interval 10
 up-count 5
 sample-size 10
 active
!
trigger 1
 type ping-poll 1 down
 script 1 flash:/pingdown.scp
trigger 2
 type ping-poll 1 up
 script 1 flash:/pingup.scp
!
ip route 10.0.0.2/32 ppp0
ip route 10.1.0.2/32 ppp1
ip route 192.168.11.0/24 tunnel0
ip route 192.168.11.0/24 tunnel1 10
ip route 192.168.11.0/24 Null 254
ip route 192.168.21.0/24 tunnel0
ip route 192.168.21.0/24 tunnel1 10
ip route 192.168.21.0/24 Null 254
!
end

ルーターBのコンフィグ

!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
 encapsulation ppp 1
!
interface ppp0
 keepalive
 ppp username user02@ispA
 ppp password isppasswdA-02
 ip address 10.0.0.2/32
 ip tcp adjust-mss pmtu
!
interface ppp1
 keepalive
 ppp username user02@ispB
 ppp password isppasswdB-02
 ip address 10.1.0.2/32
 ip tcp adjust-mss pmtu
!
vlan database
 vlan 11,21 state enable
!
interface port1.0.1
 switchport access vlan 11
!
interface port1.0.2
 switchport access vlan 21
!
interface vlan11
 ip address 192.168.11.1/24
!
interface vlan21
 ip address 192.168.21.1/24
!
zone private
 network peer
  ip subnet 192.168.10.0/24
  ip subnet 192.168.20.0/24
 network tun
  ip subnet 172.16.0.0/30 interface tunnel0
  ip subnet 172.16.0.4/30 interface tunnel1
 network v11
  ip subnet 192.168.11.0/24
 network v21
  ip subnet 192.168.21.0/24
!
zone public
 network wan1
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.2
 network wan2
  ip subnet 0.0.0.0/0 interface ppp1
  host ppp1
   ip address 10.1.0.2
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 dport 500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit any from public.wan1.ppp0 to public.wan1
 rule 40 permit isakmp from public.wan1 to public.wan1.ppp0
 rule 50 permit esp from public.wan1 to public.wan1.ppp0
 rule 60 permit any from public.wan2.ppp1 to public.wan2
 rule 70 permit isakmp from public.wan2 to public.wan2.ppp1
 rule 80 permit esp from public.wan2 to public.wan2.ppp1
 protect
!
nat
 rule 10 masq any from private to public.wan1 with src public.wan1.ppp0
 rule 20 masq any from private to public.wan2 with src public.wan2.ppp1
 enable
!
crypto isakmp key secret1 address 10.0.0.1
crypto isakmp key secret2 address 10.1.0.1
!
linkmon probe name PROBE0
 destination 172.16.0.1
 egress interface tunnel0
 source tunnel0
 enable
!
linkmon probe name PROBE1
 destination 172.16.0.5
 egress interface tunnel1
 source tunnel1
 enable
!
linkmon group probegroup
 member 10 destination tunnel0 probe PROBE0
 member 20 destination tunnel1 probe PROBE1
!
linkmon profile probequality
 latency bad-above 100
 jitter bad-above 30
 pktloss bad-above 10.0
 preference pktloss
!
policy-based-routing
 ip policy-route 20 from private.v21 to private.peer linkmon-group probegroup linkmon-profile probequality
 policy-based-routing enable
!
interface tunnel0
 mtu 1300
 tunnel source ppp0
 tunnel destination 10.0.0.1
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.2/30
 ip tcp adjust-mss 1260
!
interface tunnel1
 mtu 1300
 tunnel source ppp1
 tunnel destination 10.1.0.1
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.6/30
 ip tcp adjust-mss 1260
!
ping-poll 1
 ip 172.16.0.1
 normal-interval 10
 up-count 5
 sample-size 10
 active
!
trigger 1
 type ping-poll 1 down
 script 1 flash:/pingdown.scp
trigger 2
 type ping-poll 1 up
 script 1 flash:/pingup.scp
!
ip route 10.0.0.1/32 ppp0
ip route 10.1.0.1/32 ppp1
ip route 192.168.10.0/24 Null 254
ip route 192.168.10.0/24 tunnel1 10
ip route 192.168.10.0/24 tunnel0
ip route 192.168.20.0/24 Null 254
ip route 192.168.20.0/24 tunnel1 10
ip route 192.168.20.0/24 tunnel0
!
end

ルーターAのトリガースクリプト

■ pingdown.scp

enable
configure terminal
no ip route 192.168.11.0/24 tunnel0
no ip route 192.168.21.0/24 tunnel0
end

■ pingup.scp

enable
configure terminal
ip route 192.168.11.0/24 tunnel0
ip route 192.168.21.0/24 tunnel0
end

ルーターBのトリガースクリプト

■ pingdown.scp

enable
configure terminal
no ip route 192.168.10.0/24 tunnel0
no ip route 192.168.20.0/24 tunnel0
end

■ pingup.scp

enable
configure terminal
ip route 192.168.10.0/24 tunnel0
ip route 192.168.20.0/24 tunnel0
end

PN: 613-002107 Rev.AY