＜前頁 次頁＞ ＜＜ ＞＞ ↓ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）

インターネットVPNを利用してのOSPFによるバックアップ構成

CUG（Closed Users Group）サービス（フレッツ・VPNワイド、フレッツ・グループアクセス（NTT東日本）、フレッツ・グループ（NTT西日本）など）とインターネット回線を利用し、CUGをメイン回線、インターネットをバックアップ回線として使用します。CUG側で、通信経路断となった場合、OSPFで経路情報を更新しインターネット側のネットワークへ経路を切り替えます。それぞれの回線の通信ではIPsecでVPNを構築します。この例では、ルーターとして本製品をセンター側（ルーターA）、拠点側（ルーターB）に設置するネットワーク構成を例に解説します。

表 1：ISPから提供された情報

	ルーターA（センター側）	ルーターB（拠点側）
PPPユーザー名	center@isp	branch@isp
PPPパスワード	centpass	brapass
PPPoEサービス名	指定なし
IPアドレス	200.100.10.1/32	動的割り当て
DNSサーバー	接続時に通知される

表 2：グループ管理者から提供された情報

	ルーターA（センター側）	ルーターB（拠点側）
PPPユーザー名	center	branch
PPPパスワード	passwdA	passwdB
PPPoEサービス名	指定なし
使用できるIPアドレス	動的割り当て（172.16.0.1/32固定）	動的割り当て（172.16.0.2/32固定）
接続形態	端末型

表 3：ルーターの基本設定

	ルーターA		ルーターB
WAN側物理インターフェース	gigabitEthernet 0	gigabitEthernet 1	gigabitEthernet 0	gigabitEthernet 1
WAN側IPアドレス	172.16.0.1/32	200.100.10.1/32	172.16.0.2/32	動的割り当て
LAN側（vlan1）IPアドレス	192.168.10.1/24		192.168.20.1/24
VPN接続設定
ローカルセキュアグループ	0.0.0.0/0	0.0.0.0/0	0.0.0.0/0	0.0.0.0/0
リモートセキュアグループ	0.0.0.0/0	0.0.0.0/0	0.0.0.0/0	0.0.0.0/0
トンネル終端アドレス	172.16.0.2/32	不定	172.16.0.1/32	200.100.10.1/32
IKE設定
交換モード	Mainモード	Aggressiveモード	Mainモード	Aggressiveモード
認証方式	事前共有鍵（pre-shared key）		事前共有鍵（pre-shared key）
事前共有鍵	secret（文字列）		secret（文字列）
ローカルID/リモートID	なし/なし	なし/client	なし/なし	client/なし
暗号化認証アルゴリズム	3DES & SHA1-DH2		3DES & SHA1-DH2
有効期限	21600秒 (6時間)（デフォルト）		21600秒 (6時間)（デフォルト）
DPDによる死活監視	行う		行う
起動時のISAKMPネゴシエーション	行う	行わない	行う
IPsec設定
SAモード	トンネルモード		トンネルモード
セキュリティープロトコル	ESP		ESP
暗号化認証アルゴリズム	3DES & SHA1		3DES & SHA1
PFSグループ	なし		なし
有効期限	3600秒（1時間）（デフォルト）		3600秒（1時間）（デフォルト）

• 事前に購入時に含まれている初期設定を削除します（設定例1を参照してください）。
  
  
• 本社側、拠点側共にPPPoEセッションを2本使い片方はCUG、もう片方はインターネット（ISP）へ接続します。
  
  
• インターネット回線のIPアドレスは本社側が固定IPアドレス、拠点側は動的IPアドレスを割り当てます。
  
  
• インターネット側のインターフェースのOSPFのコスト値をCUG側よりも大きくし、CUG側が優先されるように設定します。
  
  
• インターネット側のVPNは拠点側のIPアドレスが不定のため拠点側からのみ通信を開始します。
  
  
• VPNはDPDで対向機器への死活監視を行います。
  

• センター/拠点からのインターネット向けの通信ルート
  
  ルーターAのLAN側からISP宛に送出されたパケットは、ルーターAのLAN側インターフェース（vlan 1）からルーターAのgigabitEthernet 1.1に転送され、ENAT（NAPT）機能によりプライベートアドレス（192.168.10.x/24）からgigabitEthernet 1.1のグローバルアドレス（200.100.10.1/32）に変換されてパケットが転送されます。同様に、ルーターBのLAN側からISP宛に送出されたパケットは、ルーターBのLAN側インターフェース（vlan 1）からルーターBのgigabitEthernet 1.1に転送され、ENAT機能によりプライベートアドレス（192.168.20.x/24）からgigabitEthernet 1.1のグローバルアドレス（ISPから取得）に変換されてパケットが転送されます。
  
  
• センター/拠点間の通信ルート
  
  ルーターAのLAN側からルーターBのLAN側宛に送出されたパケットは、ルーターAのLAN側インターフェース（vlan 1）から、gigabitEthernet 0.1上のIPトンネルを通ってプライベートアドレス（192.168.10.x/24）のままルーターBのLAN側インターフェース（vlan 1）へ届きます。同様に、ルーターBのLAN側からルーターAのLAN側宛に送出されたパケットは、ルーターBのLAN側インターフェース（vlan 1）から、gigabitEthernet 0.1上のIPトンネルを通ってプライベートアドレス（192.168.20.x/24）のままルーターAのLAN側インターフェース（vlan 1）へ届きます。
  

• センター/拠点からのインターネット向けの通信ルート
  
  通常接続時と同様、ルーターAのLAN側からISP宛に送出されたパケットは、ルーターAのLAN側インターフェース（vlan 1）からルーターAのgigabitEthernet 1.1に転送され、ENAT機能によりプライベートアドレス（192.168.10.x/24）からgigabitEthernet 1.1のグローバルアドレス（200.100.10.1/32）に変換されてパケットが転送されます。同様に、ルーターBのLAN側からISP宛に送出されたパケットは、ルーターBのLAN側インターフェース（vlan 1）からルーターBのgigabitEthernet 1.1に転送され、ENAT機能によりプライベートアドレス（192.168.20.x/24）からgigabitEthernet 1.1のグローバルアドレス（ISPから取得）に変換されてパケットが転送されます。
  
  
• センター/拠点間の通信ルート
  
  ルーターAのLAN側からルーターBのLAN側宛に送出されたパケットは、ルーターAのLAN側インターフェース（vlan 1）から、gigabitEthernet 1.1上のIPトンネルを通ってプライベートアドレス（192.168.10.x/24）のままルーターBのLAN側インターフェース（vlan 1）へ届きます。同様に、ルーターBのLAN側からルーターAのLAN側宛に送出されたパケットは、ルーターBのLAN側インターフェース（vlan 1）から、gigabitEthernet 1.1上のIPトンネルを通ってプライベートアドレス（192.168.20.x/24）のままルーターAのLAN側インターフェース（vlan 1）へ届きます。このとき、IPsecを経由した通信が未確立の場合は、拠点間通信を開始する側（拠点側）から通信を開始します。
  

ルーターAの設定

1. CUGサービスのグループ管理者から通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
   

   ppp profile pppoe0 ↓
    my-username center password passwdA ↓
       

   
   
2. WAN0インターフェース（gigabitEthernet 0）を有効にします。
   

   interface gigabitEthernet 0 ↓
    no shutdown ↓
       

   
   
3. WAN0インターフェース上にCUGサービス接続用のPPPoEインターフェース（gigabitEthernet 0.1）を作成し、インターフェースを使用できるようにします。
   接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
   外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
   

   interface gigabitEthernet 0.1 ↓
    ip address ipcp ↓
    ip tcp mss auto ↓
    no shutdown ↓
    pppoe enable ↓
     ppp bind-profile pppoe0 ↓
    ip ids in protect ↓
       

   
   
4. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
   

   ppp profile pppoe1 ↓
    my-username center@isp password centpass ↓
       

   
   
5. WAN1インターフェース（gigabitEthernet 1）を有効にします。
   

   interface gigabitEthernet 1 ↓
    no shutdown ↓
       

   
   
6. WAN1インターフェース上にインターネット（ISP）接続用のPPPoEインターフェース（gigabitEthernet 1.1）を作成し、インターフェースを使用できるようにします。
   ISPから割り当てられたIPアドレスを設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
   また、LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。
   外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
   

   interface gigabitEthernet 1.1 ↓
    ip address 200.100.10.1/32 ↓
    ip tcp mss auto ↓
    no shutdown ↓
    pppoe enable ↓
     ppp bind-profile pppoe1 ↓
    ip napt inside any ↓
    ip ids in protect ↓
       

   
   
7. LAN側インターフェース（vlan 1）にIPアドレスを設定します。
   

   interface vlan 1 ↓
    ip address 192.168.10.1/24 ↓
       

   
   
8. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。
   

   ip address-up-always ↓
       

   
   
9. デフォルトルートを設定します。
   

   ip route default gigabitEthernet 1.1 ↓
       

   
   
10. ルーターBのWAN側インターフェース宛のパケットをCUG側へ送出するルートを設定します。
    また、gigabitEthernet 0.1のPPPoEインターフェースが有効になるまでは、このルートを使用できないように設定します。
    

    ip route 172.16.0.2/32 gigabitEthernet 0.1 ↓
    ip route 172.16.0.2/32 Null 254 ↓
        

    
    
11. ISAKMPパケットは通しつつ、他の外側からの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、CUGサービス接続用のPPPoEインターフェース上に割り当てます。
    

    access-list ip extended pppoe0-in ↓
     dynamic permit udp any interface gigabitEthernet 0.1 eq 500 ↓
    access-list ip extended pppoe0-out ↓
     dynamic permit ip any any ↓
    interface gigabitEthernet 0.1 ↓
     ip traffic-filter pppoe0-in in ↓
     ip traffic-filter pppoe0-out out ↓
        

    
    
12. ISAKMPパケットは通しつつ、他の外側からの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、インターネット（ISP）接続用のPPPoEインターフェース上に割り当てます。
    

    access-list ip extended pppoe1-in ↓
     dynamic permit udp any interface gigabitEthernet 1.1 eq 500 ↓
    access-list ip extended pppoe1-out ↓
     dynamic permit ip any any ↓
    interface gigabitEthernet 1.1 ↓
     ip traffic-filter pppoe1-in in ↓
     ip traffic-filter pppoe1-out out ↓
        

    
    
13. Phase1のProposalを設定します。
    

    isakmp proposal isakmp encryption 3des hash sha1 group 2 ↓
        

    
    
14. CUG側に作成するVPNのISAKMPポリシーを設定します。
    

    isakmp policy vpn_1 ↓
     peer 172.16.0.2 ↓
     auth preshared key secret ↓
     proposal isakmp ↓
     keepalive enable ↓
        

    
    
15. ISP側に作成するVPNのISAKMPポリシーを設定します。
    

    isakmp policy vpn_2 ↓
     peer any ↓
     mode aggressive ↓
     auth preshared key secret ↓
     remote-id client ↓
     proposal isakmp ↓
     keepalive enable ↓
        

    
    
16. IPsecポリシーにて指定するアクセスリスト、およびPhase2のProposalを設定します。
    また、同一のフェーズ2 IDでの接続を複数受け入れる設定をします。
    

    access-list ip extended ipsec ↓
     permit ip any any ↓
    ipsec proposal ipsec esp encryption 3des hash sha1 ↓
    ipsec policy-name-link enable ↓
        

    
    
17. CUG側に作成するVPNのIPsecポリシーを設定します。
    

    ipsec policy vpn_1 ↓
     peer 172.16.0.2 ↓
     access-list ipsec ↓
     local-id 0.0.0.0/0 ↓
     remote-id 0.0.0.0/0 ↓
     proposal ipsec ↓
     always-up-sa ↓
        

    
    
18. ISP側に作成するVPNのIPsecポリシーを設定します。
    

    ipsec policy vpn_2 ↓
     peer any ↓
     access-list ipsec ↓
     local-id 0.0.0.0/0 ↓
     remote-id 0.0.0.0/0 ↓
     proposal ipsec ↓
     always-up-sa ↓
        

    
    
19. トンネルインターフェース（tunnel 0）を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースを使用してCUG側を経由したルーターBとの通信が行えるように、対応するIPsecポリシーを設定します。
    

    interface tunnel 0 ↓
     tunnel mode ipsec ↓
     ip unnumbered vlan 1 ↓
     ip tcp mss auto ↓
     no shutdown ↓
     tunnel policy vpn_1 ↓
        

    
    
20. トンネルインターフェース（tunnel 1）を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースを使用してISP側を経由したルーターBとの通信が行えるように、対応するIPsecポリシーを設定します。
    また、このトンネルインターフェースをバックアップ用にするため、OSPFのコスト値を大きく設定します。
    

    interface tunnel 1 ↓
     tunnel mode ipsec ↓
     ip unnumbered vlan 1 ↓
     ip tcp mss auto ↓
     no shutdown ↓
     ip ospf cost 100 ↓
     tunnel policy vpn_2 ↓
        

    
    
21. OSPFを利用してルーターBと経路情報を交換します。
    LAN側（vlan1）配下に隣接ルーターが存在しないため、LAN側へのOSPFのHelloパケットの送信を停止します。
    

    router ospf ↓
     passive-interface vlan 1 ↓
     network tunnel 0 area 0 ↓
     network tunnel 1 area 0 ↓
     network vlan 1 area 0 ↓
        

    
    
22. DNSリレー（プロキシーDNS）機能を有効にします。
    

    proxydns ip enable ↓
        

    
    
23. 設定は以上です。設定内容をstartup-configに保存します。
    

    copy running-config startup-config ↓
        

ルーターBの設定

1. CUGサービスのグループ管理者から通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
   

   ppp profile pppoe0 ↓
    my-username branch password passwdB ↓
       

   
   
2. WAN0インターフェース（gigabitEthernet 0）を有効にします。
   

   interface gigabitEthernet 0 ↓
    no shutdown ↓
       

   
   
3. WAN0インターフェース上にCUGサービス接続用のPPPoEインターフェース（gigabitEthernet 0.1）を作成し、インターフェースを使用できるようにします。
   接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
   外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
   

   interface gigabitEthernet 0.1 ↓
    ip address ipcp ↓
    ip tcp mss auto ↓
    no shutdown ↓
    pppoe enable ↓
     ppp bind-profile pppoe0 ↓
    ip ids in protect ↓
       

   
   
4. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
   

   ppp profile pppoe1 ↓
    my-username branch@isp password brapass ↓
       

   
   
5. WAN1インターフェース（gigabitEthernet 1）を有効にします。
   

   interface gigabitEthernet 1 ↓
    no shutdown ↓
       

   
   
6. WAN1インターフェース上にインターネット（ISP）接続用のPPPoEインターフェース（gigabitEthernet 1.1）を作成し、インターフェースを使用できるようにします。
   接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
   また、LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。
   外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
   

   interface gigabitEthernet 1.1 ↓
    ip address ipcp ↓
    ip tcp mss auto ↓
    no shutdown ↓
    pppoe enable ↓
     ppp bind-profile pppoe1 ↓
    ip napt inside any ↓
    ip ids in protect ↓
       

   
   
7. LAN側インターフェース（vlan 1）にIPアドレスを設定します。
   

   interface vlan 1 ↓
    ip address 192.168.20.1/24 ↓
       

   
   
8. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。
   

   ip address-up-always ↓
       

   
   
9. デフォルトルートを設定します。
   

   ip route default gigabitEthernet 1.1 ↓
       

   
   
10. ルーターAのWAN側インターフェース宛のパケットをCUG側へ送出するルートを設定します。
    また、gigabitEthernet 0.1のPPPoEインターフェースが有効になるまでは、このルートを使用できないように設定します。
    

    ip route 172.16.0.1/32 gigabitEthernet 0.1 ↓
    ip route 172.16.0.1/32 Null 254 ↓
        

    
    
11. ISAKMPパケットは通しつつ、他の外側からの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、CUGサービス接続用のPPPoEインターフェース上に割り当てます。
    

    access-list ip extended pppoe0-in ↓
     dynamic permit udp any interface gigabitEthernet 0.1 eq 500 ↓
    access-list ip extended pppoe0-out ↓
     dynamic permit ip any any ↓
    interface gigabitEthernet 0.1 ↓
     ip traffic-filter pppoe0-in in ↓
     ip traffic-filter pppoe0-out out ↓
        

    
    
12. 外側からの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、インターネット（ISP）接続用のPPPoEインターフェース上に割り当てます。
    

    access-list ip extended pppoe1-in ↓
    access-list ip extended pppoe1-out ↓
     dynamic permit ip any any ↓
    interface gigabitEthernet 1.1 ↓
     ip traffic-filter pppoe1-in in ↓
     ip traffic-filter pppoe1-out out ↓
        

    
    
13. Phase1のProposalを設定します。
    

    isakmp proposal isakmp encryption 3des hash sha1 group 2 ↓
        

    
    
14. CUG側に作成するVPNのISAKMPポリシーを設定します。
    

    isakmp policy vpn_1 ↓
     peer 172.16.0.1 ↓
     auth preshared key secret ↓
     proposal isakmp ↓
     keepalive enable ↓
        

    
    
15. ISP側に作成するVPNのISAKMPポリシーを設定します。
    

    isakmp policy vpn_2 ↓
     peer 200.100.10.1 ↓
     mode aggressive ↓
     auth preshared key secret ↓
     local-id client ↓
     proposal isakmp ↓
     keepalive enable ↓
        

    
    
16. IPsecポリシーにて指定するアクセスリスト、およびPhase2のProposalを設定します。
    

    access-list ip extended ipsec ↓
     permit ip any any ↓
    ipsec proposal ipsec esp encryption 3des hash sha1 ↓
        

    
    
17. CUG側に作成するVPNのIPsecポリシーを設定します。
    

    ipsec policy vpn_1 ↓
     peer 172.16.0.1 ↓
     access-list ipsec ↓
     local-id 0.0.0.0/0 ↓
     remote-id 0.0.0.0/0 ↓
     proposal ipsec ↓
     always-up-sa ↓
        

    
    
18. ISP側に作成するVPNのIPsecポリシーを設定します。
    

    ipsec policy vpn_2 ↓
     peer 200.100.10.1 ↓
     access-list ipsec ↓
     local-id 0.0.0.0/0 ↓
     remote-id 0.0.0.0/0 ↓
     proposal ipsec ↓
     always-up-sa ↓
        

    
    
19. トンネルインターフェース（tunnel 0）を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースを使用してCUG側を経由したルーターAとの通信が行えるように、対応するIPsecポリシーを設定します。
    

    interface tunnel 0 ↓
     tunnel mode ipsec ↓
     ip unnumbered vlan 1 ↓
     ip tcp mss auto ↓
     no shutdown ↓
     tunnel policy vpn_1 ↓
        

    
    
20. トンネルインターフェース（tunnel 1）を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースを使用してISP側を経由したルーターAとの通信が行えるように、対応するIPsecポリシーを設定します。
    また、このトンネルインターフェースをバックアップ用にするため、OSPFのコスト値を大きく設定します。
    

    interface tunnel 1 ↓
     tunnel mode ipsec ↓
     ip unnumbered vlan 1 ↓
     ip tcp mss auto ↓
     no shutdown ↓
     ip ospf cost 100 ↓
     tunnel policy vpn_2 ↓
        

    
    
21. OSPFを利用してルーターAと経路情報を交換します。
    LAN側（vlan1）配下に隣接ルーターが存在しないため、LAN側へのOSPFのHelloパケットの送信を停止します。
    

    router ospf ↓
     passive-interface vlan 1 ↓
     network tunnel 0 area 0 ↓
     network tunnel 1 area 0 ↓
     network vlan 1 area 0 ↓
        

    
    
22. DNSリレー機能を有効にします。
    

    proxydns ip enable ↓
        

    
    
23. 設定は以上です。設定内容をstartup-configに保存します。
    

    copy running-config startup-config ↓
        

まとめ

ルーターAのコンフィグ

! service password-encryption ! clock timezone JST 9 ! ! ! ! ip address-up-always ppp profile pppoe0 my-username center password 8 e$Ih7p7xgv6c0kA ppp profile pppoe1 my-username center@isp password 8 e$QrAq9z74BzW1jk1bEKE2+RAAA ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address ipcp ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect ! interface gigabitEthernet 1 no shutdown ! interface gigabitEthernet 1.1 ip address 200.100.10.1/32 ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe1 ip napt inside any ip traffic-filter pppoe1-in in ip traffic-filter pppoe1-out out ip ids in protect ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 0 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy vpn_1 ! interface tunnel 1 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown ip ospf cost 100 tunnel policy vpn_2 ! interface vlan 1 ip address 192.168.10.1/24 no shutdown ! router ospf passive-interface vlan 1 network tunnel 0 area 0 network tunnel 1 area 0 network vlan 1 area 0 ! ip route default gigabitEthernet 1.1 ip route 172.16.0.2/32 gigabitEthernet 0.1 ip route 172.16.0.2/32 Null 254 ! access-list ip extended ipsec permit ip any any access-list ip extended pppoe0-in dynamic permit udp any interface gigabitEthernet 0.1 eq 500 access-list ip extended pppoe0-out dynamic permit ip any any access-list ip extended pppoe1-in dynamic permit udp any interface gigabitEthernet 1.1 eq 500 access-list ip extended pppoe1-out dynamic permit ip any any ! isakmp proposal isakmp encryption 3des hash sha1 group 2 ! isakmp policy vpn_1 peer 172.16.0.2 auth preshared key 8 e$I3eQu7yNuLxQA proposal isakmp keepalive enable ! isakmp policy vpn_2 peer any mode aggressive auth preshared key 8 e$I3eQu7yNuLxQA remote-id client proposal isakmp keepalive enable ! ipsec proposal ipsec esp encryption 3des hash sha1 ! ipsec policy-name-link enable ! ipsec policy vpn_1 peer 172.16.0.2 access-list ipsec local-id 0.0.0.0/0 remote-id 0.0.0.0/0 proposal ipsec always-up-sa ! ipsec policy vpn_2 peer any access-list ipsec local-id 0.0.0.0/0 remote-id 0.0.0.0/0 proposal ipsec always-up-sa ! proxydns ip enable ! ! ! end

ルーターBのコンフィグ

! service password-encryption ! clock timezone JST 9 ! ! ! ! ip address-up-always ppp profile pppoe0 my-username branch password 8 e$I6rT3jJQw6oIA ppp profile pppoe1 my-username branch@isp password 8 e$ILwks03RXPHAA ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address ipcp ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect ! interface gigabitEthernet 1 no shutdown ! interface gigabitEthernet 1.1 ip address ipcp ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe1 ip napt inside any ip traffic-filter pppoe1-in in ip traffic-filter pppoe1-out out ip ids in protect ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 0 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy vpn_1 ! interface tunnel 1 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown ip ospf cost 100 tunnel policy vpn_2 ! interface vlan 1 ip address 192.168.20.1/24 no shutdown ! router ospf passive-interface vlan 1 network tunnel 0 area 0 network tunnel 1 area 0 network vlan 1 area 0 ! ip route default gigabitEthernet 1.1 ip route 172.16.0.1/32 gigabitEthernet 0.1 ip route 172.16.0.1/32 Null 254 ! access-list ip extended ipsec permit ip any any access-list ip extended pppoe0-in dynamic permit udp any interface gigabitEthernet 0.1 eq 500 access-list ip extended pppoe0-out dynamic permit ip any any access-list ip extended pppoe1-in access-list ip extended pppoe1-out dynamic permit ip any any ! isakmp proposal isakmp encryption 3des hash sha1 group 2 ! isakmp policy vpn_1 peer 172.16.0.1 auth preshared key 8 e$I3eQu7yNuLxQA proposal isakmp keepalive enable ! isakmp policy vpn_2 peer 200.100.10.1 mode aggressive auth preshared key 8 e$I3eQu7yNuLxQA local-id client proposal isakmp keepalive enable ! ipsec proposal ipsec esp encryption 3des hash sha1 ! ipsec policy vpn_1 peer 172.16.0.1 access-list ipsec local-id 0.0.0.0/0 remote-id 0.0.0.0/0 proposal ipsec always-up-sa ! ipsec policy vpn_2 peer 200.100.10.1 access-list ipsec local-id 0.0.0.0/0 remote-id 0.0.0.0/0 proposal ipsec always-up-sa ! proxydns ip enable ! ! ! end

(C) 2011-2014 アライドテレシスホールディングス株式会社

PN: 613-001568 Rev.E

＜前頁 次頁＞ ＜＜ ＞＞ ↑ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）