<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM ARX640S 設定例集 5.1.5 #35

インターネットVPNを利用してのOSPFによるバックアップ構成


CUG(Closed Users Group)サービス(フレッツ・VPNワイド、フレッツ・グループアクセス(NTT東日本)、フレッツ・グループ(NTT西日本)など)とインターネット回線を利用し、CUGをメイン回線、インターネットをバックアップ回線として使用します。CUG側で、通信経路断となった場合、OSPFで経路情報を更新しインターネット側のネットワークへ経路を切り替えます。それぞれの回線の通信ではIPsecでVPNを構築します。この例では、ルーターとして本製品をセンター側(ルーターA)、拠点側(ルーターB)に設置するネットワーク構成を例に解説します。

ISPからは次の情報を提供されているものとします。

表 1:ISPから提供された情報
 
ルーターA(センター側)
ルーターB(拠点側)
PPPユーザー名 center@isp branch@isp
PPPパスワード centpass brapass
PPPoEサービス名 指定なし
IPアドレス 200.100.10.1/32 動的割り当て
DNSサーバー 接続時に通知される


CUGのグループ管理者からは、次の情報を提供されているものとします。

表 2:グループ管理者から提供された情報
 
ルーターA(センター側)
ルーターB(拠点側)
PPPユーザー名 center branch
PPPパスワード passwdA passwdB
PPPoEサービス名 指定なし
使用できるIPアドレス 動的割り当て(172.16.0.1/32固定) 動的割り当て(172.16.0.2/32固定)
接続形態 端末型


以下、ルーターA、Bの基本設定についてまとめます。

表 3:ルーターの基本設定
 
ルーターA
ルーターB
WAN側物理インターフェース gigabitEthernet 0 gigabitEthernet 1 gigabitEthernet 0 gigabitEthernet 1
WAN側IPアドレス 172.16.0.1/32 200.100.10.1/32 172.16.0.2/32 動的割り当て
LAN側(vlan1)IPアドレス 192.168.10.1/24 192.168.20.1/24
VPN接続設定
ローカルセキュアグループ 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0
リモートセキュアグループ 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0
トンネル終端アドレス 172.16.0.2/32 不定 172.16.0.1/32 200.100.10.1/32
IKE設定
交換モード Mainモード Aggressiveモード Mainモード Aggressiveモード
認証方式 事前共有鍵(pre-shared key) 事前共有鍵(pre-shared key)
事前共有鍵 secret(文字列) secret(文字列)
ローカルID/リモートID なし/なし なし/client なし/なし client/なし
暗号化認証アルゴリズム 3DES & SHA1-DH2 3DES & SHA1-DH2
有効期限 21600秒 (6時間)(デフォルト) 21600秒 (6時間)(デフォルト)
DPDによる死活監視 行う 行う
起動時のISAKMPネゴシエーション 行う 行わない 行う
IPsec設定
SAモード トンネルモード トンネルモード
セキュリティープロトコル ESP ESP
暗号化認証アルゴリズム 3DES & SHA1 3DES & SHA1
PFSグループ なし なし
有効期限 3600秒(1時間)(デフォルト) 3600秒(1時間)(デフォルト)


ルーターには、次のような方針で設定を行います。


■ 通常接続時の通信は以下のように行われます。



■ 障害発生時(バックアップ回線使用時)の通信は以下のように行われます。



ルーターAの設定

  1. CUGサービスのグループ管理者から通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。


  2. WAN0インターフェース(gigabitEthernet 0)を有効にします。


  3. WAN0インターフェース上にCUGサービス接続用のPPPoEインターフェース(gigabitEthernet 0.1)を作成し、インターフェースを使用できるようにします。
    接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
    外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。


  4. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。


  5. WAN1インターフェース(gigabitEthernet 1)を有効にします。


  6. WAN1インターフェース上にインターネット(ISP)接続用のPPPoEインターフェース(gigabitEthernet 1.1)を作成し、インターフェースを使用できるようにします。
    ISPから割り当てられたIPアドレスを設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
    また、LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。
    外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。


  7. LAN側インターフェース(vlan 1)にIPアドレスを設定します。


  8. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。


  9. デフォルトルートを設定します。


  10. ルーターBのWAN側インターフェース宛のパケットをCUG側へ送出するルートを設定します。
    また、gigabitEthernet 0.1のPPPoEインターフェースが有効になるまでは、このルートを使用できないように設定します。


  11. ISAKMPパケットは通しつつ、他の外側からの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、CUGサービス接続用のPPPoEインターフェース上に割り当てます。


  12. ISAKMPパケットは通しつつ、他の外側からの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、インターネット(ISP)接続用のPPPoEインターフェース上に割り当てます。


  13. Phase1のProposalを設定します。


  14. CUG側に作成するVPNのISAKMPポリシーを設定します。


  15. ISP側に作成するVPNのISAKMPポリシーを設定します。


  16. IPsecポリシーにて指定するアクセスリスト、およびPhase2のProposalを設定します。
    また、同一のフェーズ2 IDでの接続を複数受け入れる設定をします。


  17. CUG側に作成するVPNのIPsecポリシーを設定します。


  18. ISP側に作成するVPNのIPsecポリシーを設定します。


  19. トンネルインターフェース(tunnel 0)を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースを使用してCUG側を経由したルーターBとの通信が行えるように、対応するIPsecポリシーを設定します。


  20. トンネルインターフェース(tunnel 1)を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースを使用してISP側を経由したルーターBとの通信が行えるように、対応するIPsecポリシーを設定します。
    また、このトンネルインターフェースをバックアップ用にするため、OSPFのコスト値を大きく設定します。


  21. OSPFを利用してルーターBと経路情報を交換します。
    LAN側(vlan1)配下に隣接ルーターが存在しないため、LAN側へのOSPFのHelloパケットの送信を停止します。


  22. DNSリレー(プロキシーDNS)機能を有効にします。


  23. 設定は以上です。設定内容をstartup-configに保存します。


ルーターBの設定

  1. CUGサービスのグループ管理者から通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。


  2. WAN0インターフェース(gigabitEthernet 0)を有効にします。


  3. WAN0インターフェース上にCUGサービス接続用のPPPoEインターフェース(gigabitEthernet 0.1)を作成し、インターフェースを使用できるようにします。
    接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
    外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。


  4. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。


  5. WAN1インターフェース(gigabitEthernet 1)を有効にします。


  6. WAN1インターフェース上にインターネット(ISP)接続用のPPPoEインターフェース(gigabitEthernet 1.1)を作成し、インターフェースを使用できるようにします。
    接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
    また、LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。
    外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。


  7. LAN側インターフェース(vlan 1)にIPアドレスを設定します。


  8. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。


  9. デフォルトルートを設定します。


  10. ルーターAのWAN側インターフェース宛のパケットをCUG側へ送出するルートを設定します。
    また、gigabitEthernet 0.1のPPPoEインターフェースが有効になるまでは、このルートを使用できないように設定します。


  11. ISAKMPパケットは通しつつ、他の外側からの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、CUGサービス接続用のPPPoEインターフェース上に割り当てます。


  12. 外側からの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、インターネット(ISP)接続用のPPPoEインターフェース上に割り当てます。


  13. Phase1のProposalを設定します。


  14. CUG側に作成するVPNのISAKMPポリシーを設定します。


  15. ISP側に作成するVPNのISAKMPポリシーを設定します。


  16. IPsecポリシーにて指定するアクセスリスト、およびPhase2のProposalを設定します。


  17. CUG側に作成するVPNのIPsecポリシーを設定します。


  18. ISP側に作成するVPNのIPsecポリシーを設定します。


  19. トンネルインターフェース(tunnel 0)を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースを使用してCUG側を経由したルーターAとの通信が行えるように、対応するIPsecポリシーを設定します。


  20. トンネルインターフェース(tunnel 1)を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースを使用してISP側を経由したルーターAとの通信が行えるように、対応するIPsecポリシーを設定します。
    また、このトンネルインターフェースをバックアップ用にするため、OSPFのコスト値を大きく設定します。


  21. OSPFを利用してルーターAと経路情報を交換します。
    LAN側(vlan1)配下に隣接ルーターが存在しないため、LAN側へのOSPFのHelloパケットの送信を停止します。


  22. DNSリレー機能を有効にします。


  23. 設定は以上です。設定内容をstartup-configに保存します。

まとめ

ルーターAのコンフィグ
!
service password-encryption
!
clock timezone JST 9
!
!
!
!
ip address-up-always
ppp profile pppoe0
 my-username center password 8 e$Ih7p7xgv6c0kA
ppp profile pppoe1
 my-username center@isp password 8 e$QrAq9z74BzW1jk1bEKE2+RAAA
!
interface gigabitEthernet 0
 no shutdown
!
interface gigabitEthernet 0.1
 ip address ipcp
 ip tcp mss auto
 no shutdown
 pppoe enable
  ppp bind-profile pppoe0
 ip traffic-filter pppoe0-in in
 ip traffic-filter pppoe0-out out
 ip ids in protect
!
interface gigabitEthernet 1
 no shutdown
!
interface gigabitEthernet 1.1
 ip address 200.100.10.1/32
 ip tcp mss auto
 no shutdown
 pppoe enable
  ppp bind-profile pppoe1
 ip napt inside any
 ip traffic-filter pppoe1-in in
 ip traffic-filter pppoe1-out out
 ip ids in protect
!
interface gigabitEthernet 2
 no shutdown
!
interface gigabitEthernet 3
 no shutdown
!
interface gigabitEthernet 4
 no shutdown
!
interface gigabitEthernet 5
 no shutdown
!
interface loop 0
 shutdown
!
interface loop 1
 shutdown
!
interface tunnel 0
 tunnel mode ipsec
 ip unnumbered vlan 1
 ip tcp mss auto
 no shutdown
 tunnel policy vpn_1
!
interface tunnel 1
 tunnel mode ipsec
 ip unnumbered vlan 1
 ip tcp mss auto
 no shutdown
 ip ospf cost 100
 tunnel policy vpn_2
!
interface vlan 1
 ip address 192.168.10.1/24
 no shutdown
!
router ospf
 passive-interface vlan 1
 network tunnel 0 area 0
 network tunnel 1 area 0
 network vlan 1 area 0
!
ip route default gigabitEthernet 1.1
ip route 172.16.0.2/32 gigabitEthernet 0.1
ip route 172.16.0.2/32 Null 254
!
access-list ip extended ipsec
 permit ip any any
access-list ip extended pppoe0-in
 dynamic permit udp any interface gigabitEthernet 0.1 eq 500
access-list ip extended pppoe0-out
 dynamic permit ip any any
access-list ip extended pppoe1-in
 dynamic permit udp any interface gigabitEthernet 1.1 eq 500
access-list ip extended pppoe1-out
 dynamic permit ip any any
!
isakmp proposal isakmp encryption 3des hash sha1 group 2
!
isakmp policy vpn_1
 peer 172.16.0.2
 auth preshared key 8 e$I3eQu7yNuLxQA
 proposal isakmp
 keepalive enable
!
isakmp policy vpn_2
 peer any
 mode aggressive
 auth preshared key 8 e$I3eQu7yNuLxQA
 remote-id client
 proposal isakmp
 keepalive enable
!
ipsec proposal ipsec esp encryption 3des hash sha1
!
ipsec policy-name-link enable
!
ipsec policy vpn_1
 peer 172.16.0.2
 access-list ipsec
 local-id 0.0.0.0/0
 remote-id 0.0.0.0/0
 proposal ipsec
 always-up-sa
!
ipsec policy vpn_2
 peer any
 access-list ipsec
 local-id 0.0.0.0/0
 remote-id 0.0.0.0/0
 proposal ipsec
 always-up-sa
!
proxydns ip enable
!
!
!
end


ルーターBのコンフィグ
!
service password-encryption
!
clock timezone JST 9
!
!
!
!
ip address-up-always
ppp profile pppoe0
 my-username branch password 8 e$I6rT3jJQw6oIA
ppp profile pppoe1
 my-username branch@isp password 8 e$ILwks03RXPHAA
!
interface gigabitEthernet 0
 no shutdown
!
interface gigabitEthernet 0.1
 ip address ipcp
 ip tcp mss auto
 no shutdown
 pppoe enable
  ppp bind-profile pppoe0
 ip traffic-filter pppoe0-in in
 ip traffic-filter pppoe0-out out
 ip ids in protect
!
interface gigabitEthernet 1
 no shutdown
!
interface gigabitEthernet 1.1
 ip address ipcp
 ip tcp mss auto
 no shutdown
 pppoe enable
  ppp bind-profile pppoe1
 ip napt inside any
 ip traffic-filter pppoe1-in in
 ip traffic-filter pppoe1-out out
 ip ids in protect
!
interface gigabitEthernet 2
 no shutdown
!
interface gigabitEthernet 3
 no shutdown
!
interface gigabitEthernet 4
 no shutdown
!
interface gigabitEthernet 5
 no shutdown
!
interface loop 0
 shutdown
!
interface loop 1
 shutdown
!
interface tunnel 0
 tunnel mode ipsec
 ip unnumbered vlan 1
 ip tcp mss auto
 no shutdown
 tunnel policy vpn_1
!
interface tunnel 1
 tunnel mode ipsec
 ip unnumbered vlan 1
 ip tcp mss auto
 no shutdown
 ip ospf cost 100
 tunnel policy vpn_2
!
interface vlan 1
 ip address 192.168.20.1/24
 no shutdown
!
router ospf
 passive-interface vlan 1
 network tunnel 0 area 0
 network tunnel 1 area 0
 network vlan 1 area 0
!
ip route default gigabitEthernet 1.1
ip route 172.16.0.1/32 gigabitEthernet 0.1
ip route 172.16.0.1/32 Null 254
!
access-list ip extended ipsec
 permit ip any any
access-list ip extended pppoe0-in
 dynamic permit udp any interface gigabitEthernet 0.1 eq 500
access-list ip extended pppoe0-out
 dynamic permit ip any any
access-list ip extended pppoe1-in
access-list ip extended pppoe1-out
 dynamic permit ip any any
!
isakmp proposal isakmp encryption 3des hash sha1 group 2
!
isakmp policy vpn_1
 peer 172.16.0.1
 auth preshared key 8 e$I3eQu7yNuLxQA
 proposal isakmp
 keepalive enable
!
isakmp policy vpn_2
 peer 200.100.10.1
 mode aggressive
 auth preshared key 8 e$I3eQu7yNuLxQA
 local-id client
 proposal isakmp
 keepalive enable
!
ipsec proposal ipsec esp encryption 3des hash sha1
!
ipsec policy vpn_1
 peer 172.16.0.1
 access-list ipsec
 local-id 0.0.0.0/0
 remote-id 0.0.0.0/0
 proposal ipsec
 always-up-sa
!
ipsec policy vpn_2
 peer 200.100.10.1
 access-list ipsec
 local-id 0.0.0.0/0
 remote-id 0.0.0.0/0
 proposal ipsec
 always-up-sa
!
proxydns ip enable
!
!
!
end





CentreCOM ARX640S 設定例集 5.1.5 #35

(C) 2011-2014 アライドテレシスホールディングス株式会社

PN: 613-001568 Rev.E

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)