<前頁 次頁> << >> ↓ 目次 (番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細))
CentreCOM AR550S 設定例集 2.9 #151
xDSL回線を2本使ってそれぞれ異なるインターネットサービスプロバイダー(ISP)に接続し、WANロードバランス機能によってトラフィック負荷を分散させます。この例では、VPN接続でインターネット上の3拠点間を結びます。またWANロードバランスの方式としては、トラフィックを均等に配分するRound Robinモードを使います。
Note - 本機能はオプション機能ですので、ご使用にはフィーチャー(追加機能)ライセンスが必要です。
PPPユーザー名 | aa@isp1.com | bb@isp2.com | cc@isp3.com | dd@isp4.com | ee@isp5.com | ff@isp6.com |
PPPパスワード | internet1 | internet2 | internet3 | internet4 | internet5 | internet6 |
PPPoEサービス名 | 指定なし | 指定なし | 指定なし | 指定なし | 指定なし | 指定なし |
IPアドレス | グローバルアドレス1個(固定) | グローバルアドレス1個(固定) | グローバルアドレス1個(固定) | グローバルアドレス1個(固定) | グローバルアドレス1個(固定) | グローバルアドレス1個(固定) |
ルーター間の認証方式 | 事前共有鍵(pre-shared key) |
IKE交換モード | Mainモード |
事前共有鍵 | secret(文字列) |
Oakleyグループ | 1(デフォルト) |
ISAKMPメッセージの暗号化方式 | DES(デフォルト) |
ISAKMPメッセージの認証方式 | SHA1(デフォルト) |
ISAKMP SAの有効期限(時間) | 86400秒(24時間)(デフォルト) |
ISAKMP SAの有効期限(KByte数) | なし(デフォルト) |
起動時のISAKMPネゴシエーション | 行わない |
SAモード | トンネルモード |
セキュリティープロトコル | ESP(暗号化+認証) |
暗号化方式 | DES |
認証方式 | SHA1 |
IPsec SAの有効期限(時間) | 28800秒(8時間)(デフォルト) |
IPsec SAの有効期限(KByte数) | なし(デフォルト) |
トンネリング対象IPアドレス | 192.168.1.0/24 ←→ 192.168.2.0/24 |
192.168.1.0/24 ←→ 192.168.3.0/24 | |
192.168.2.0/24 ←→ 192.168.3.0/24 | |
トンネル終端アドレス | ルーターA:100.10.10.1, 110.10.10.1 |
ルーターB:110.11.10.1, 110.11.11.1 | |
ルーターC:111.10.10.1, 111.11.10.1 | |
インターネットとの平文通信 | 行う |
ルーターAの設定 |
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER LO=YES ↓
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 IPREQUEST=ON USERNAME="aa@isp1.com" PASSWORD="internet1" ↓
SET PPP=0 OVER=ETH0-ANY LQR=OFF ECHO=ON BAP=OFF ↓
CREATE PPP=1 OVER=eth1-ANY ↓
SET PPP=1 IPREQUEST=ON USERNAME="bb@isp2.com" PASSWORD="internet2" ↓
SET PPP=1 OVER=eth1-ANY LQR=OFF ECHO=ON BAP=OFF ↓
CREATE VLAN=VLAN2 VID=2 ↓
ADD VLAN=VLAN2 PORT=4 FRAME=TAGGED ↓
ENABLE IP ↓
ENABLE IP DNSRELAY ↓
ENABLE IP REMOTE ↓
ADD IP FIL=100 TY=POLICY SO=192.168.1.0 ENT=1 SM=255.255.255.0 DES=192.168.2.0 DM=255.255.255.0 POLI=1 ↓
ADD IP FIL=100 TY=POLICY SO=192.168.1.0 ENT=2 SM=255.255.255.0 DES=192.168.3.0 DM=255.255.255.0 POLI=1 ↓
Note - Pingポーリング異常検知時の動作については本章末尾のメモをご参照ください。
ADD IP INT=vlan2 IP=192.168.1.2 MASK=255.255.255.255 ↓
ADD IP INT=vlan1 IP=192.168.1.1 POL=100 ↓
ADD IP INT=ppp0 IP=0.0.0.0 MASK=0.0.0.0 ↓
ADD IP INT=ppp1 IP=0.0.0.0 MASK=0.0.0.0 ↓
DISABLE IP ROUTE MULTIPATH ↓
ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=ppp1 NEXT=0.0.0.0 ↓
ADD IP ROU=110.11.10.1 MASK=255.255.255.255 INT=ppp0 NEXT=0.0.0.0 ↓
ADD IP ROU=110.11.11.1 MASK=255.255.255.255 INT=ppp1 NEXT=0.0.0.0 ↓
ADD IP ROU=111.10.10.1 MASK=255.255.255.255 INT=ppp0 NEXT=0.0.0.0 ↓
ADD IP ROU=111.11.10.1 MASK=255.255.255.255 INT=ppp1 NEXT=0.0.0.0 ↓
Note - ルーター自身から送信するパケットはWANロードバランスの対象にはなりません。そのため、これらのルートは前項で設定したデフォルトルートよりも優先されます。
ADD IP ROU=192.168.2.2 MASK=255.255.255.255 INT=ppp1 NEXT=0.0.0.0 ↓
ADD IP ROU=192.168.2.1 MASK=255.255.255.255 INT=ppp0 NEXT=0.0.0.0 ↓
ADD IP ROU=192.168.3.2 MASK=255.255.255.255 INT=ppp1 NEXT=0.0.0.0 ↓
ADD IP ROU=192.168.3.1 MASK=255.255.255.255 INT=ppp0 NEXT=0.0.0.0 ↓
Note - ルーター自身から送信するパケットはWANロードバランスの対象にはなりません。そのため、これらのルートは8.で設定したデフォルトルートよりも優先されます。
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY="wanlb" ↓
ENABLE FIREWALL POLICY="wanlb" ICMP_F=ALL ↓
ADD FIREWALL POLICY="wanlb" INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY="wanlb" INT=vlan2 TYPE=PRIVATE ↓
ADD FIREWALL POLICY="wanlb" INT=ppp1 TYPE=PUBLIC ↓
ADD FIREWALL POLICY="wanlb" INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLI="wanlb" NAT=ENHANCED INT=vlan1 GBLIN=ppp1 ↓
ADD FIREWALL POLI="wanlb" NAT=ENHANCED INT=vlan1 GBLIN=ppp0 ↓
ADD FIREWALL POLI="wanlb" RU=1 AC=NON INT=ppp0 PROT=ALL IP=192.168.1.0-192.168.1.255 ↓
SET FIREWALL POLI="wanlb" RU=1 REM=192.168.0.1-192.168.255.255 ENC=IPS ↓
ADD FIREWALL POLI="wanlb" RU=2 AC=ALLO INT=ppp0 PROT=UDP PO=500 IP=110.10.10.1 GBLIP=0.0.0.0 ↓
SET FIREWALL POLI="wanlb" RU=2 REM=110.11.10.1 ↓
ADD FIREWALL POLI="wanlb" RU=3 AC=ALLO INT=ppp0 PROT=UDP PO=500 IP=110.10.10.1 GBLIP=0.0.0.0 ↓
SET FIREWALL POLI="wanlb" RU=3 REM=111.10.10.1 ↓
ADD FIREWALL POLI="wanlb" RU=4 AC=NON INT=ppp1 PROT=ALL IP=192.168.1.0-192.168.1.255 ↓
SET FIREWALL POLI="wanlb" RU=4 REM=192.168.0.1-192.168.255.255 ENC=IPS ↓
ADD FIREWALL POLI="wanlb" RU=5 AC=ALLO INT=ppp1 PROT=UDP PO=500 IP=100.10.10.1 GBLIP=0.0.0.0 ↓
SET FIREWALL POLI="wanlb" RU=5 REM=110.11.11.1 ↓
ADD FIREWALL POLI="wanlb" RU=6 AC=ALLO INT=ppp1 PROT=UDP PO=500 IP=100.10.10.1 GBLIP=0.0.0.0 ↓
SET FIREWALL POLI="wanlb" RU=6 REM=111.11.10.1 ↓
ADD FIREWALL POLI="wanlb" RU=7 AC=NON INT=vlan1 PROT=ALL IP=192.168.1.0-192.168.1.255 ↓
SET FIREWALL POLI="wanlb" RU=7 REM=192.168.0.1-192.168.255.255 ↓
ADD PING POLL=1 IP=192.168.2.1 CRI=5 DESC=RouterB-vlan1 NOR=5 SIPA=192.168.1.1 UPC=5 ↓
ENABLE PING POLL=1 ↓
ADD PING POLL=2 IP=192.168.2.2 CRI=5 DESC=RouterB-vlan2 NOR=5 SIPA=192.168.1.2 UPC=5 ↓
ENABLE PING POLL=2 ↓
ADD PING POLL=3 IP=192.168.3.1 CRI=5 DESC=RouterC-vlan1 NOR=5 SIPA=192.168.1.1 UPC=5 ↓
ENABLE PING POLL=3 ↓
ADD PING POLL=4 IP=192.168.3.2 CRI=5 DESC=RouterC-vlan2 NOR=5 SIPA=192.168.1.2 UPC=5 ↓
ENABLE PING POLL=4 ↓
Note - Pingの送信間隔や条件は、ご使用の環境の合わせて任意で変更してください。
Note - このPingポーリングの異常検知をトリガーとした一連の動作については、本章末尾のメモをご参照ください。
ENABLE SYSTEM SECURITY_MODE ↓
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行ってください。
LOGIN secoff ↓
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
CREATE ENCO KEY=2 TYPE=GENERAL VALUE="secret" ↓
CREATE ENCO KEY=3 TYPE=GENERAL VALUE="secret" ↓
CREATE ENCO KEY=4 TYPE=GENERAL VALUE="secret" ↓
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=DES HASHA=SHA ↓
CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1" ↓
CREATE ISAKMP POL="a0-b0" PE=110.11.10.1 KEY=1 ↓
CREATE ISAKMP POL="a0-c0" PE=111.10.10.1 KEY=2 ↓
CREATE ISAKMP POL="a1-b1" PE=110.11.11.1 KEY=3 ↓
CREATE ISAKMP POL="a1-c1" PE=111.11.10.1 KEY=4 ↓
CREATE IPSEC POLICY="isakmp_mes1" INT=ppp0 AC=PERMIT LP=500 RP=500 TRA=UDP ↓
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
CREATE IPSEC POL="ipsec_sa1" INT=ppp0 AC=IPSEC KEY=ISAKMP BUND=1 PEER=110.11.10.1 ISA="a0-b0" ↓
SET IPSEC POL="ipsec_sa1" LAD=192.168.1.0 LMA=255.255.255.0 RAD=192.168.2.0 RMA=255.255.255.0 ↓
CREATE IPSEC POL="ipsec_sa3" INT=ppp0 AC=IPSEC KEY=ISAKMP BUND=1 PEER=111.10.10.1 ISA="a0-c0" ↓
SET IPSEC POL="ipsec_sa3" LAD=192.168.1.0 LMA=255.255.255.0 RAD=192.168.3.0 RMA=255.255.255.0 ↓
CREATE IPSEC POL="isakmp_mes2" INT=ppp1 AC=PERMIT ↓
SET IPSEC POL="isakmp_mes2" LP=500 RP=500 TRA=UDP ↓
CREATE IPSEC POL="ipsec_sa2" INT=ppp1 AC=IPSEC KEY=ISAKMP BUND=1 PEER=110.11.11.1 ISA="a1-b1" ↓
SET IPSEC POL="ipsec_sa2" LAD=192.168.1.0 LMA=255.255.255.0 RAD=192.168.2.0 RMA=255.255.255.0 ↓
CREATE IPSEC POL="ipsec_sa4" INT=ppp1 AC=IPSEC KEY=ISAKMP BUND=1 PEER=111.11.10.1 ISA="a1-c1" ↓
SET IPSEC POL="ipsec_sa4" LAD=192.168.1.0 LMA=255.255.255.0 RAD=192.168.3.0 RMA=255.255.255.0 ↓
CREATE IPSEC POL="internet0" INT=ppp0 AC=PERMIT ↓
CREATE IPSEC POL="internet1" INT=ppp1 AC=PERMIT ↓
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないとVPN以外との通信ができなくなります。
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
ENABLE WANLB ↓
Note - ECMPがオンのときは、WANロードバランス機能を有効化できません。
ADD WANLB HEAL=1 HO=192.168.2.1 ↓
ADD WANLB HEAL=2 HO=192.168.3.1 ↓
ENABLE WANLB HEAL ↓
Note - この場合のヘルスチェックは自分のインターフェースの状態を確認するためのものであり、機器間通信の状態確認を行うものではありません。その場合にはPingポーリングを設定してください。
ADD WANLB RES=ppp0 HEALTHCHECKSIPADDRESS=192.168.1.1 ↓
ADD WANLB RES=ppp1 HEALTHCHECKSIPADDRESS=192.168.1.2 ↓
ADD SCRIPT=2a_down.scp TEXT="ADD IP ROU=192.168.2.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 POLI=1" ↓
ADD SCRIPT=2a_up.scp TEXT="DEL IP ROU=192.168.2.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 POLI=1" ↓
ADD SCRIPT=2b_down.scp TEXT="ADD IP ROU=192.168.2.0 MASK=255.255.255.0 INT=ppp0 NEXT=0.0.0.0 POLI=1" ↓
ADD SCRIPT=2b_up.scp TEXT="DEL IP ROU=192.168.2.0 MASK=255.255.255.0 INT=ppp0 NEXT=0.0.0.0 POLI=1" ↓
ADD SCRIPT=3a_down.scp TEXT="ADD IP ROU=192.168.3.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 POLI=1" ↓
ADD SCRIPT=3a_up.scp TEXT="DEL IP ROU=192.168.3.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 POLI=1" ↓
ADD SCRIPT=3b_down.scp TEXT="ADD IP ROU=192.168.3.0 MASK=255.255.255.0 INT=ppp0 NEXT=0.0.0.0 POLI=1" ↓
ADD SCRIPT=3b_up.scp TEXT="DEL IP ROU=192.168.3.0 MASK=255.255.255.0 INT=ppp0 NEXT=0.0.0.0 POLI=1" ↓
Note - ADD SCRIPTコマンドは、コンソールなどからログインした状態で、コマンドラインから実行するコマンドです。そのため、EDITコマンド(内蔵フルスクリーンエディター)などを使って設定スクリプトファイル(.CFG)にこのコマンドを記述しても意図した結果にならない場合がありますのでご注意ください。
ENABLE TRIGGER ↓
CREATE TRIGGER=1 MODULE=PING EVENT=DEVICEDOWN POLL=1 SCRIPT=2a_down.scp ↓
Note - このPing Pollingの異常検知をトリガーとした一連の動作については、本章末尾のメモをご参照ください。
CREATE TRIGGER=2 MODULE=PING EVENT=DEVICEUP POLL=1 SCRIPT=2a_up.scp ↓
CREATE TRIGGER=3 MODULE=PING EVENT=DEVICEDOWN POLL=2 SCRIPT=2b_down.scp ↓
CREATE TRIGGER=4 MODULE=PING EVENT=DEVICEUP POLL=2 SCRIPT=2b_up.scp ↓
CREATE TRIGGER=5 MODULE=PING EVENT=DEVICEDOWN POLL=3 SCRIPT=3a_down.scp ↓
CREATE TRIGGER=6 MODULE=PING EVENT=DEVICEUP POLL=3 SCRIPT=3a_up.scp ↓
CREATE TRIGGER=7 MODULE=PING EVENT=DEVICEDOWN POLL=4 SCRIPT=3b_down.scp ↓
CREATE TRIGGER=8 MODULE=PING EVENT=DEVICEUP POLL=4 SCRIPT=3b_up.scp ↓
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
メモ |
IPsec(VPN通信) | [1] 100.10.10.1(ppp0) → 110.11.10.1(ppp0) | → 「ipsec_sa1」 |
[2] 110.10.10.1(ppp1) → 110.11.11.1(ppp1) | → 「ipsec_sa3」 | |
Pingポーリング(VPN通信監視) | [3] 192.168.1.1(ppp0) → 192.168.2.1(ppp0) | 「ipsec_sa1」経由 |
[4] 192.168.1.2(ppp1) → 192.168.2.2(ppp1) | 「ipsec_sa2」経由 | |
ヘルスチェック(自インターフェース監視) | [5] 192.168.1.1(ppp0) → 192.168.2.1(ppp0) | 「ipsec_sa1」経由 |
[6] 192.168.1.2(ppp1) → 192.168.2.1(ppp0) | 「ipsec_sa1」経由 |
SecOff Router-A> sh ping poll Ping Status --------------------------------------------------------------------------- ID State Destination upCountCurrent Upcount failCountCurrent Failcount/Sample Size --------------------------------------------------------------------------- 1 Down 192.168.2.1 0 5 5 5/5 2 Up 192.168.2.2 31 5 0 5/5 3 Up 192.168.3.1 32 5 0 5/5 4 Up 192.168.3.2 32 5 0 5/5 --------------------------------------------------------------------------- |
CREATE TRIGGER=1 MODULE=PING EVENT=DEVICEDOWN POLL=1 SCRIPT=2a_down.scp ↓
ADD IP ROU=192.168.2.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 POLICY=1 ↓
ADD IP FIL=100 TY=POLICY SO=192.168.1.0 ENT=1 SM=255.255.255.0 DES=192.168.2.0 DM=255.255.255.0 POLI=1 ↓
ADD IP INT=vlan1 IP=192.168.1.1 POL=100 ↓
SecOff Router-A> sh wanlb res=all WAN Load Balancer Resources ------------------------------------------------------------ Resource ....................... ppp1 Status ......................... ENABLED State .......................... UP Total sessions ................. 2 Current sessions ............... 2 Healthchecks Avg overall response ........ 1 ms Resource up events .......... 1 Resource down events ........ 0 Unreachable host events ..... 1 Source IP address ........... 192.168.1.2 Number Avg response Host ------------------------------------------------------ 1 Unreachable 192.168.2.1 2 1 ms 192.168.3.1 ------------------------------------------------------ ------------------------------------------------------------ Resource ....................... ppp0 Status ......................... ENABLED State .......................... UP Total sessions ................. 4 Current sessions ............... 4 Healthchecks Avg overall response ........ 0 ms Resource up events .......... 1 Resource down events ........ 0 Unreachable host events ..... 1 Source IP address ........... 192.168.1.1 Number Avg response Host ------------------------------------------------------ 1 Unreachable 192.168.2.1 2 0 ms 192.168.3.1 ------------------------------------------------------ ------------------------------------------------------------ |
SecOff Router-A> sh ping poll Ping Status --------------------------------------------------------------------------- ID State Destination upCountCurrent Upcount failCountCurrent Failcount/Sample Size --------------------------------------------------------------------------- 1 Up 192.168.2.1 9 5 0 5/5 2 Up 192.168.2.2 522 5 0 5/5 3 Up 192.168.3.1 524 5 0 5/5 4 Up 192.168.3.2 524 5 0 5/5 --------------------------------------------------------------------------- |
CREATE TRIGGER=2 MODULE=PING EVENT=DEVICEUP POLL=1 SCRIPT=2a_up.scp ↓
DEL IP ROU=192.168.2.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 POLI=1 ↓
まとめ |
ルーターAのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER LO=YES ↓ |
スクリプト「2a_down.scp」 [テキスト版]
ADD IP ROU=192.168.2.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 POLI=1 ↓ |
スクリプト「2a_up.scp」 [テキスト版]
DEL IP ROU=192.168.2.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 POLI=1 ↓ |
スクリプト「2b_down.scp」 [テキスト版]
ADD IP ROU=192.168.2.0 MASK=255.255.255.0 INT=ppp0 NEXT=0.0.0.0 POLI=1 ↓ |
スクリプト「2b_up.scp」 [テキスト版]
DEL IP ROU=192.168.2.0 MASK=255.255.255.0 INT=ppp0 NEXT=0.0.0.0 POLI=1 ↓ |
スクリプト「3a_down.scp」 [テキスト版]
ADD IP ROU=192.168.3.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 POLI=1 ↓ |
スクリプト「3a_up.scp」 [テキスト版]
DEL IP ROU=192.168.3.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 POLI=1 ↓ |
スクリプト「3b_down.scp」 [テキスト版]
ADD IP ROU=192.168.3.0 MASK=255.255.255.0 INT=ppp0 NEXT=0.0.0.0 POLI=1 ↓ |
スクリプト「3b_up.scp」 [テキスト版]
DEL IP ROU=192.168.3.0 MASK=255.255.255.0 INT=ppp0 NEXT=0.0.0.0 POLI=1 ↓ |
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-04 Rev.P