設定例集#13: 広域Ethernet（OSPF）＋バックアップIPsec構成

メイン回線として広域Ethernet、バックアップ回線としてインターネットVPNを使用している2つの拠点間でPingポーリング機能を使用し、メイン回線の障害発生時に自動的にバックアップ回線に切り替える設定例です。
この例では、本製品を本社側（ルーターA）と支社側（ルーターB）に設置するネットワーク構成を例に解説します。

Note
本設定例ではLAN側ポートを1つWANポートに変更します。LAN側ポートをWANポートに変更した場合、下記設定の入力完了後に設定を保存し、再起動してください。

構成

	ルーターA	ルーターB
ISPから提供された情報
ISP接続用ユーザー名	user@ispA	user@ispB
ISP接続用パスワード	isppasswdA	isppasswdB
PPPoEサービス名	指定なし	指定なし
WAN側IPアドレス	10.1.1.1/32	10.1.1.2/32
ルーターの基本設定
WAN側（広域Ethernet）物理インターフェース	eth1	eth1
WAN側（eth1）IPアドレス	172.16.0.1/24	172.16.0.2/24
WAN側（インターネット）物理インターフェース	port1.0.4	port1.0.4
WAN側（ppp0）IPアドレス	10.1.1.1/32	10.1.1.2/32
LAN側（vlan1）IPアドレス	192.168.10.1/24	192.168.20.1/24
IPsecトンネル（tunnel0）IPアドレス	192.0.0.1/24	192.0.0.2/24

[事前共有鍵]

ルーターA・B間: secret

想定する環境は次のとおりです。

本社・支社間は広域Ethernet環境でIP接続する。
広域Ethernet環境ではルーティングプロトコルとしてOSPFを使用する。
Pingポーリングを対向ルーターのWAN側インターフェースに向け、定期的に通信状況を確認し、障害発生時にはトリガーを起動してバックアップ回線（インターネットVPN）へ通信ルートを切り替える。

■ 通常接続時の通信は以下のように行われます。

ルーターAのLAN側から支社のLAN側宛に送出されたパケットは、広域Ethernetを経由して、ルーターBのLAN側インターフェース（vlan1）へと届きます。
同様に、ルーターBのLAN側から本社のLAN側宛に送出されたパケットは、広域Ethernetを経由して、ルーターAのLAN側インターフェース（vlan1）へと届きます。

■ 本社側のメイン回線で障害発生時（バックアップ回線（インターネットVPN）使用時）の通信は以下のように行われます。

ルーターAのLAN側から支社のLAN側宛に送出されたパケットは、インターネット上に張られたIPsecトンネルを通ってプライベートアドレス（192.168.10.x/24）のままルーターBのLAN側インターフェース（vlan1）へ届きます。
同様に、ルーターBのLAN側から本社のLAN側宛に送出されたパケットは、IPsecトンネルを通ってプライベートアドレス（192.168.20.x/24）のままルーターAのLAN側インターフェース（vlan1）へ届きます。

■ 支社側のメイン回線で障害発生時（バックアップ回線（インターネットVPN）使用時）の通信は以下のように行われます。

ルーターAのLAN側から支社のLAN側宛に送出されたパケットは、インターネット上に張られたIPsecトンネルを通ってプライベートアドレス（192.168.10.x/24）のままルーターBのLAN側インターフェース（vlan1）へ届きます。
同様に、ルーターBのLAN側から本社のLAN側宛に送出されたパケットは、IPsecトンネルを通ってプライベートアドレス（192.168.20.x/24）のままルーターAのLAN側インターフェース（vlan1）へ届きます。

設定開始前に

自動設定の確認と削除

本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態（スタートアップコンフィグなしで起動した状態）から入力することを前提としています。

そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。

ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。

これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。

ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。

自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。

システム時刻の設定

ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。

手動で設定する方法 - 「運用・管理」/「システム」
NTPで自動設定する方法 - 「運用・管理」/「NTP」

ルーターAの設定

LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
```
no spanning-tree rstp enable
```
広域Ethernet接続用のWANポートeth1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface eth1
 ip address 172.16.0.1/24
```
port1.0.4をWANポートに変更します。これには、switchportコマンドをNO形式で使用します。
インターネット接続用のWANポートport1.0.4上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。

※LAN側ポートをWANポートに変更した場合、設定を保存し再起動するまで、本設定は有効になりません。
```
interface port1.0.4
 no switchport
 encapsulation ppp 0
```
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

・LCP EchoによるPPP接続状態の確認（keepalive）
・IPCPによるIPアドレスの取得要求（ip address negotiated）
・ユーザー名（ppp username）
・パスワード（ppp password）
・MSS書き換え（ip tcp adjust-mss）

なおこの例では、メイン回線に障害が発生しているときだけPPP接続を確立するため、初期状態ではppp0インターフェースを無効状態（shutdown）にします。

PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface ppp0
 keepalive
 ip address negotiated
 ppp username user@ispA
 ppp password isppasswdA
 ip tcp adjust-mss pmtu
 shutdown
```
LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface vlan1
 ip address 192.168.10.1/24
```
対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
```
crypto isakmp key secret address 10.1.1.2
```
IPsecトンネルインターフェースtunnel0を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

・トンネルインターフェースのIPアドレス（ip address）
・トンネルインターフェースから送信するデリバリーパケットの始点（自装置）アドレス（tunnel source）
・トンネルインターフェースから送信するデリバリーパケットの終点（対向装置）アドレス（tunnel destination）
・トンネリング方式（tunnel mode ipsec）
・トンネルインターフェースに対するIPsec保護の適用（tunnel protection ipsec）
・トンネルインターフェースにおけるMSS書き換え設定（ip tcp adjust-mss）
・トンネルインターフェースのMTU（mtu）
```
interface tunnel0
 ip address 192.0.0.1/24
 tunnel source ppp0
 tunnel destination 10.1.1.2
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip tcp adjust-mss 1260
 mtu 1300
```
ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。

ここでは、OSPFパケットの送信先となるマルチキャストグループアドレスもゾーン「private」に含めています。
```
zone private
 network base
  ip subnet 192.168.20.0/24
 network center
  ip subnet 192.168.10.0/24
 network ospf-DR
  ip subnet 224.0.0.6/32
 network ospf-mc
  ip subnet 224.0.0.5/32
 network WAE
  ip subnet 172.16.0.0/24
```
外部ネットワークを表すゾーン「public」を作成します。
前記コマンドに加え、ここではhost、ip addressの各コマンドも使います。
```
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
```
ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、sport、dport、icmp-type、icmp-codeの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
```
application esp
 protocol 50
```
ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
```
application isakmp
 protocol udp
 sport 500
 dport 500
```
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。

・rule 10 - 内部から内部への通信を許可します
・rule 20 - 内部から外部への通信を許可します
・rule 30, 40 - ISAKMPパケットを許可します
・rule 50, 60 - IPsec（ESP）パケットを許可します

ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
```
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.ppp0 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.ppp0
 rule 50 permit esp from public.wan.ppp0 to public.wan
 rule 60 permit esp from public.wan to public.wan.ppp0
 protect
```
広域Ethernet上における対向ルーターへの接続性を監視するPingポーリング「1」を作成します。
これには、ping-poll、ip、normal-interval、up-count、sample-size、activeの各コマンドを使います。
Pingポーリングの詳細は「IP付加機能」/「Pingポーリング」をご覧ください。
```
ping-poll 1
 ip 172.16.0.2
 normal-interval 10
 up-count 5
 sample-size 10
 active
```
Pingポーリングトリガーを作成します。
これには、trigger、type ping-poll、scriptの各コマンドを使います。

・trigger 1 - 広域Ethernet上で対向ルーターへの接続性が失われた場合に、バックアップ回線（ppp0）を有効にするpingdown.scpスクリプトを実行する
・trigger 2 - 広域Ethernet上で対向ルーターへの接続性が回復した場合に、バックアップ回線（ppp0）を無効にするpingup.scpスクリプトを実行する

トリガースクリプトの具体的内容は「トリガースクリプト」を、トリガーの詳細は「運用・管理」/「トリガー」をご覧ください。
```
trigger 1
 type ping-poll 1 down
 script 1 flash:/pingdown.scp
trigger 2
 type ping-poll 1 up
 script 1 flash:/pingup.scp
```
経路制御プロトコルOSPFの設定を行います。
これには、service ospf、router ospf、ospf router-id、networkの各コマンドを使います。
OSPFの詳細は「IP」/「経路制御（OSPF）」をご覧ください。
```
service ospf
router ospf
 ospf router-id 192.168.10.1
 network 172.16.0.0/24 area 0.0.0.0
 network 192.168.10.0/24 area 0
```
デフォルト経路（0.0.0.0/0）とルーターBのLAN側（192.168.20.0/24）への経路を設定します。これにはip routeコマンドを使います。
ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
```
ip route 0.0.0.0/0 ppp0
ip route 192.168.20.0/24 tunnel0
ip route 192.168.20.0/24 Null 254
```
以上で設定は完了です。
```
end
```

ルーターBの設定

LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
```
no spanning-tree rstp enable
```
広域Ethernet接続用のWANポートeth1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface eth1
 ip address 172.16.0.2/24
```
port1.0.4をWANポートに変更します。これには、switchportコマンドをNO形式で使用します。
インターネット接続用のWANポートport1.0.4上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。

※LAN側ポートをWANポートに変更した場合、設定を保存し再起動するまで、本設定は有効になりません。
```
interface port1.0.4
 no switchport
 encapsulation ppp 0
```
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

・LCP EchoによるPPP接続状態の確認（keepalive）
・IPCPによるIPアドレスの取得要求（ip address negotiated）
・ユーザー名（ppp username）
・パスワード（ppp password）
・MSS書き換え（ip tcp adjust-mss）

なおこの例では、メイン回線に障害が発生しているときだけPPP接続を確立するため、初期状態ではppp0インターフェースを無効状態（shutdown）にします。

PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface ppp0
 keepalive
 ip address negotiated
 ppp username user@ispB
 ppp password isppasswdB
 ip tcp adjust-mss pmtu
 shutdown
```
LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface vlan1
 ip address 192.168.20.1/24
```
対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
```
crypto isakmp key secret address 10.1.1.1
```
IPsecトンネルインターフェースtunnel0を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

・トンネルインターフェースのIPアドレス（ip address）
・トンネルインターフェースから送信するデリバリーパケットの始点（自装置）アドレス（tunnel source）
・トンネルインターフェースから送信するデリバリーパケットの終点（対向装置）アドレス（tunnel destination）
・トンネリング方式（tunnel mode ipsec）
・トンネルインターフェースに対するIPsec保護の適用（tunnel protection ipsec）
・トンネルインターフェースにおけるMSS書き換え設定（ip tcp adjust-mss）
・トンネルインターフェースのMTU（mtu）
```
interface tunnel0
 ip address 192.0.0.2/24
 tunnel source ppp0
 tunnel destination 10.1.1.1
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip tcp adjust-mss 1260
 mtu 1300
```
ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。

ここでは、OSPFパケットの送信先となるマルチキャストグループアドレスもゾーン「private」に含めています。
```
zone private
 network base
  ip subnet 192.168.20.0/24
 network center
  ip subnet 192.168.10.0/24
 network ospf-DR
  ip subnet 224.0.0.6/32
 network ospf-mc
  ip subnet 224.0.0.5/32
 network WAE
  ip subnet 172.16.0.0/24
```
外部ネットワークを表すゾーン「public」を作成します。
前記コマンドに加え、ここではhost、ip addressの各コマンドも使います。
```
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
```
ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、sport、dport、icmp-type、icmp-codeの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

IPsecのESPパケットを表すカスタムアプリケーション「esp」を定義します。
```
application esp
 protocol 50
```
ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
```
application isakmp
 protocol udp
 sport 500
 dport 500
```
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。

・rule 10 - 内部から内部への通信を許可します
・rule 20 - 内部から外部への通信を許可します
・rule 30, 40 - ISAKMPパケットを許可します
・rule 50, 60 - IPsec（ESP）パケットを許可します

ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
```
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.ppp0 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.ppp0
 rule 50 permit esp from public.wan.ppp0 to public.wan
 rule 60 permit esp from public.wan to public.wan.ppp0
 protect
```
広域Ethernet上における対向ルーターへの接続性を監視するPingポーリング「1」を作成します。
これには、ping-poll、ip、normal-interval、up-count、sample-size、activeの各コマンドを使います。
Pingポーリングの詳細は「IP付加機能」/「Pingポーリング」をご覧ください。
```
ping-poll 1
 ip 172.16.0.1
 normal-interval 10
 up-count 5
 sample-size 10
 active
```
Pingポーリングトリガーを作成します。
これには、trigger、type ping-poll、scriptの各コマンドを使います。

・trigger 1 - 広域Ethernet上で対向ルーターへの接続性が失われた場合に、バックアップ回線（ppp0）を有効にするpingdown.scpスクリプトを実行する
・trigger 2 - 広域Ethernet上で対向ルーターへの接続性が回復した場合に、バックアップ回線（ppp0）を無効にするpingup.scpスクリプトを実行する

トリガースクリプトの具体的内容は「トリガースクリプト」を、トリガーの詳細は「運用・管理」/「トリガー」をご覧ください。
```
trigger 1
 type ping-poll 1 down
 script 1 flash:/pingdown.scp
trigger 2
 type ping-poll 1 up
 script 1 flash:/pingup.scp
```
経路制御プロトコルOSPFの設定を行います。
これには、service ospf、router ospf、ospf router-id、networkの各コマンドを使います。
OSPFの詳細は「IP」/「経路制御（OSPF）」をご覧ください。
```
service ospf
router ospf
 ospf router-id 0.0.0.2
 network 172.16.0.0/24 area 0.0.0.0
 network 192.168.20.0/24 area 0
```
デフォルト経路（0.0.0.0/0）とルーターAのLAN側（192.168.10.0/24）への経路を設定します。これにはip routeコマンドを使います。
ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
```
ip route 0.0.0.0/0 ppp0
ip route 192.168.10.0/24 tunnel0
ip route 192.168.10.0/24 Null 254
```
以上で設定は完了です。
```
end
```

設定の保存

■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。

awplus# copy running-config startup-config ↓
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。

awplus# write memory ↓
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド（log(filter)）を実行します。

awplus(config)# log buffered level informational facility local5 ↓

■ 記録されたログを見るには、次のコマンド（show log）を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。

awplus# show log | include Firewall ↓

ルーターAのコンフィグ

!
no spanning-tree rstp enable
!
interface eth1
 ip address 172.16.0.1/24
!
interface port1.0.4
 no switchport
 encapsulation ppp 0
!
interface ppp0
 keepalive
 ip address negotiated
 ppp username user@ispA
 ppp password isppasswdA
 ip tcp adjust-mss pmtu
 shutdown
!
interface vlan1
 ip address 192.168.10.1/24
!
crypto isakmp key secret address 10.1.1.2
!
interface tunnel0
 ip address 192.0.0.1/24
 tunnel source ppp0
 tunnel destination 10.1.1.2
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip tcp adjust-mss 1260
 mtu 1300
!
zone private
 network base
  ip subnet 192.168.20.0/24
 network center
  ip subnet 192.168.10.0/24
 network ospf-DR
  ip subnet 224.0.0.6/32
 network ospf-mc
  ip subnet 224.0.0.5/32
 network WAE
  ip subnet 172.16.0.0/24
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 sport 500
 dport 500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.ppp0 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.ppp0
 rule 50 permit esp from public.wan.ppp0 to public.wan
 rule 60 permit esp from public.wan to public.wan.ppp0
 protect
!
ping-poll 1
 ip 172.16.0.2
 normal-interval 10
 up-count 5
 sample-size 10
 active
!
trigger 1
 type ping-poll 1 down
 script 1 flash:/pingdown.scp
trigger 2
 type ping-poll 1 up
 script 1 flash:/pingup.scp
!
service ospf
router ospf
 ospf router-id 192.168.10.1
 network 172.16.0.0/24 area 0.0.0.0
 network 192.168.10.0/24 area 0
!
ip route 0.0.0.0/0 ppp0
ip route 192.168.20.0/24 tunnel0
ip route 192.168.20.0/24 Null 254
!
end

ルーターBのコンフィグ

!
no spanning-tree rstp enable
!
interface eth1
 ip address 172.16.0.2/24
!
interface port1.0.4
 no switchport
 encapsulation ppp 0
!
interface ppp0
 keepalive
 ip address negotiated
 ppp username user@ispB
 ppp password isppasswdB
 ip tcp adjust-mss pmtu
 shutdown
!
interface vlan1
 ip address 192.168.20.1/24
!
crypto isakmp key secret address 10.1.1.1
!
interface tunnel0
 ip address 192.0.0.2/24
 tunnel source ppp0
 tunnel destination 10.1.1.1
 tunnel mode ipsec ipv4
 tunnel protection ipsec
 ip tcp adjust-mss 1260
 mtu 1300
!
zone private
 network base
  ip subnet 192.168.20.0/24
 network center
  ip subnet 192.168.10.0/24
 network ospf-DR
  ip subnet 224.0.0.6/32
 network ospf-mc
  ip subnet 224.0.0.5/32
 network WAE
  ip subnet 172.16.0.0/24
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 sport 500
 dport 500
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.ppp0 to public.wan
 rule 40 permit isakmp from public.wan to public.wan.ppp0
 rule 50 permit esp from public.wan.ppp0 to public.wan
 rule 60 permit esp from public.wan to public.wan.ppp0
 protect
!
ping-poll 1
 ip 172.16.0.1
 normal-interval 10
 up-count 5
 sample-size 10
 active
!
trigger 1
 type ping-poll 1 down
 script 1 flash:/pingdown.scp
trigger 2
 type ping-poll 1 up
 script 1 flash:/pingup.scp
!
service ospf
router ospf
 ospf router-id 0.0.0.2
 network 172.16.0.0/24 area 0.0.0.0
 network 192.168.20.0/24 area 0
!
ip route 0.0.0.0/0 ppp0
ip route 192.168.10.0/24 tunnel0
ip route 192.168.10.0/24 Null 254
!
end

トリガースクリプト（ルーターA/B共通）

■ pingdown.scp

enable
configure terminal
int ppp0
no shutdown
end

■ pingup.scp

enable
configure terminal
int ppp0
shutdown
end

PN: 613-003319 Rev.D