18. EtherIP設定
18.1. 固定IPアドレスによるEtherIP接続
PPPoE接続によるEtherIP(Ethernet over IP)接続設定例です。
両拠点とも固定IPアドレス契約で接続する例です。
18.1.1. 設定
18.1.1.1. 本装置(A)の設定
Router# configure
Router(config)# ip route 198.51.100.1/32 GigaEthernet0.1
Router(config)# bridge irb enable
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-a@example.com
Router(config-ppp-ppp-profile)# authentication password user-a@example.com ppp-password-a
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# bridge-group 1
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 203.0.113.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface BVI0
Router(config-BVI0)# ip address 192.168.0.254/24
Router(config-BVI0)# bridge-group 1
Router(config-BVI0)# no shutdown
Router(config-BVI0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ether-ip ip
Router(config-Tunnel0.0)# tunnel destination 198.51.100.1
Router(config-Tunnel0.0)# tunnel source GigaEthernet0.1
Router(config-Tunnel0.0)# no ip address
Router(config-Tunnel0.0)# bridge-group 1
Router(config-Tunnel0.0)# bridge ip tcp adjust-mss 1416
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
18.1.1.2. 本装置(B)の設定
Router# configure
Router(config)# ip route 203.0.113.1/32 GigaEthernet0.1
Router(config)# bridge irb enable
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-b@example.com
Router(config-ppp-ppp-profile)# authentication password user-b@example.com ppp-password-b
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# bridge-group 1
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 198.51.100.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface BVI0
Router(config-BVI0)# ip address 192.168.0.253/24
Router(config-BVI0)# bridge-group 1
Router(config-BVI0)# no shutdown
Router(config-BVI0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ether-ip ip
Router(config-Tunnel0.0)# tunnel destination 203.0.113.1
Router(config-Tunnel0.0)# tunnel source GigaEthernet0.1
Router(config-Tunnel0.0)# no ip address
Router(config-Tunnel0.0)# bridge-group 1
Router(config-Tunnel0.0)# bridge ip tcp adjust-mss 1416
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
18.1.2. 解説
18.1.2.1. 本装置(A)の解説
ip route 198.51.100.1/32 GigaEthernet0.1
EtherIPの宛先をPPPoEインタフェースに設定します。
bridge irb enable
ブリッジ機能を有効化します。
interface GigaEthernet2.0
bridge-group 1
interface BVI0
bridge-group 1
interface Tunnel0.0
bridge-group 1
ブリッジグループを設定します。
同じブリッジグループ番号を割り当てたインタフェースは、同一のインタフェースとして扱われます。
interface Tunnel0.0
tunnel mode ether-ip ip
tunnel destination 198.51.100.1
tunnel source GigaEthernet0.1
トンネルモードをEtherIP IPv4に設定します。
トンネルの接続先と送信元IPアドレスを設定します。
interface Tunnel0.0
bridge ip tcp adjust-mss 1416
トンネルを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に調整します。
"bridge ip tcp adjust-mss"設定では"auto"による自動設定が行えないため、手動で値を指定します。
18.1.2.2. 本装置(B)の解説
本装置(A)と同様の考え方で設定します。
18.2. アグレッシブモードによるEtherIP/IPsec(IKEv1)接続
EtherIP/IPsec(IKEv1)接続設定例です。
一方の拠点が動的IPアドレス契約の場合は、IPsecを併用する必要があります。
18.2.1. 設定
18.2.1.1. 本装置(A)の設定
Router# configure
Router(config)# ip route default GigaEthernet0.1
Router(config)# bridge irb enable
Router(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
Router(config)# ike policy ike-policy peer any key psk mode aggressive ike-proposal
Router(config)# ike commit-bit ike-policy
Router(config)# ike remote-id ike-policy keyid ike-id
Router(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
Router(config)# ipsec dynamic-map ipsec-policy ipv4 ipsec-proposal ike ike-policy
Router(config)# ipsec commit-bit ipsec-policy
Router(config)# ipsec local-id ipsec-policy 192.168.0.254
Router(config)# ipsec remote-id ipsec-policy 192.168.0.253
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-a@example.com
Router(config-ppp-ppp-profile)# authentication password user-a@example.com ppp-password-a
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# bridge-group 1
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 203.0.113.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface BVI0
Router(config-BVI0)# ip address 192.168.0.254/24
Router(config-BVI0)# bridge-group 1
Router(config-BVI0)# no shutdown
Router(config-BVI0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ether-ip ipsec
Router(config-Tunnel0.0)# no ip address
Router(config-Tunnel0.0)# bridge-group 1
Router(config-Tunnel0.0)# bridge ip tcp adjust-mss 1374
Router(config-Tunnel0.0)# ipsec policy transport ipsec-policy with-id-payload
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
18.2.1.2. 本装置(B)の設定
Router# configure
Router(config)# ip route 203.0.113.1/32 GigaEthernet0.1
Router(config)# bridge irb enable
Router(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
Router(config)# ike suppress-dangling
Router(config)# ike policy ike-policy peer 203.0.113.1 key psk mode aggressive ike-proposal
Router(config)# ike keepalive ike-policy 10 3
Router(config)# ike local-id ike-policy keyid ike-id
Router(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
Router(config)# ipsec autokey-map ipsec-policy ipv4 peer 203.0.113.1 ipsec-proposal
Router(config)# ipsec local-id ipsec-policy 192.168.0.253
Router(config)# ipsec remote-id ipsec-policy 192.168.0.254
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-b@example.com
Router(config-ppp-ppp-profile)# authentication password user-b@example.com ppp-password-b
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# bridge-group 1
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface BVI0
Router(config-BVI0)# ip address 192.168.0.253/24
Router(config-BVI0)# bridge-group 1
Router(config-BVI0)# no shutdown
Router(config-BVI0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ether-ip ipsec
Router(config-Tunnel0.0)# no ip address
Router(config-Tunnel0.0)# bridge-group 1
Router(config-Tunnel0.0)# bridge ip tcp adjust-mss 1374
Router(config-Tunnel0.0)# ipsec policy transport ipsec-policy with-id-payload
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
18.2.2. 解説
18.2.2.1. 本装置(A)の解説
ip route default GigaEthernet0.1
デフォルトルートをPPPoEインタフェースに設定します。
bridge irb enable
ブリッジ機能を有効化します。
interface GigaEthernet2.0
bridge-group 1
interface BVI0
bridge-group 1
interface Tunnel0.0
bridge-group 1
ブリッジグループを設定します。
同じブリッジグループ番号を割り当てたインタフェースは、同一のインタフェースとして扱われます。
interface Tunnel0.0
tunnel mode ether-ip ipsec
ipsec policy transport ipsec-policy with-id-payload
トンネルモードをEtherIP/IPsec IKEv1に設定します。
EtherIPでカプセル化されたパケットをIPsecトランスポートモードでカプセル化します。
IPsecのID交換が行えるように、"with-id-payload"オプションが必要になります。
interface Tunnel0.0
bridge ip tcp adjust-mss 1374
トンネルを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に調整します。
"bridge ip tcp adjust-mss"設定では"auto"による自動設定が行えないため、手動で値を指定します。
18.2.2.2. 本装置(B)の解説
本装置(A)と同様の考え方で設定します。
18.3. 動的IPアドレスによるEtherIP/IPsec(IKEv2)接続
EtherIP/IPsec(IKEv2)接続設定例です。
一方の拠点が動的IPアドレス契約の場合は、IPsecを併用する必要があります。
18.3.1. 設定
18.3.1.1. 本装置(A)の設定
Router# configure
Router(config)# ip route default GigaEthernet0.1
Router(config)# bridge irb enable
Router(config)# ikev2 authentication psk id keyid id-a key char key-a
Router(config)# ikev2 authentication psk id keyid id-b key char key-b
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-a@example.com
Router(config-ppp-ppp-profile)# authentication password user-a@example.com ppp-password-a
Router(config-ppp-ppp-profile)# exit
Router(config)# ikev2 default-profile
Router(config-ikev2-dprof)# local-authentication psk id keyid id-a
Router(config-ikev2-dprof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# bridge-group 1
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 203.0.113.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface BVI0
Router(config-BVI0)# ip address 192.168.0.254/24
Router(config-BVI0)# bridge-group 1
Router(config-BVI0)# no shutdown
Router(config-BVI0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ether-ip ipsec-ikev2
Router(config-Tunnel0.0)# no ip address
Router(config-Tunnel0.0)# bridge-group 1
Router(config-Tunnel0.0)# bridge ip tcp adjust-mss 1374
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer any authentication psk id keyid id-b
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
18.3.1.2. 本装置(B)の設定
Router# configure
Router(config)# ip route 203.0.113.1/32 GigaEthernet0.1
Router(config)# bridge irb enable
Router(config)# ikev2 authentication psk id keyid id-a key char key-a
Router(config)# ikev2 authentication psk id keyid id-b key char key-b
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-b@example.com
Router(config-ppp-ppp-profile)# authentication password user-b@example.com ppp-password-b
Router(config-ppp-ppp-profile)# exit
Router(config)# ikev2 default-profile
Router(config-ikev2-dprof)# local-authentication psk id keyid id-b
Router(config-ikev2-dprof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# bridge-group 1
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface BVI0
Router(config-BVI0)# ip address 192.168.0.253/24
Router(config-BVI0)# bridge-group 1
Router(config-BVI0)# no shutdown
Router(config-BVI0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ether-ip ipsec-ikev2
Router(config-Tunnel0.0)# no ip address
Router(config-Tunnel0.0)# bridge-group 1
Router(config-Tunnel0.0)# bridge ip tcp adjust-mss 1374
Router(config-Tunnel0.0)# ikev2 connect-type auto
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer 203.0.113.1 authentication psk id keyid id-a
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
18.3.2. 解説
18.3.2.1. 本装置(A)の解説
bridge irb enable
ブリッジ機能を有効化します。
interface GigaEthernet2.0
bridge-group 1
interface BVI0
bridge-group 1
interface Tunnel0.0
bridge-group 1
インタフェースのブリッジグループを設定します。
同じブリッジグループ番号を割り当てたインタフェースは、同一のインタフェースとして扱われます。
interface Tunnel0.0
tunnel mode ether-ip ipsec-ikev2
ikev2 ipsec-mode transport
トンネルモードをEtherIP/IPsec IKEv2に設定します。
EtherIPでカプセル化されたパケットをIPsecトランスポートモードでカプセル化します。
interface Tunnel0.0
bridge ip tcp adjust-mss 1374
トンネルを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に調整します。
"bridge ip tcp adjust-mss"設定では"auto"による自動設定が行えないため、手動で値を指定します。
18.3.2.2. 本装置(B)の解説
本装置(A)と同様の考え方で設定します。
18.4. 動的IPアドレスによるモバイル接続を利用したEtherIP/IPsec(IKEv2)接続
拠点側がモバイル接続のEtherIP/IPsec(IKEv2)接続設定例です。
一方の拠点が動的IPアドレス契約の場合は、IPsecを併用する必要があります。
18.4.1. 設定
18.4.1.1. 本装置(A)の設定
Router# configure
Router(config)# ip route default GigaEthernet0.1
Router(config)# bridge irb enable
Router(config)# ikev2 authentication psk id keyid id-a key char key-a
Router(config)# ikev2 authentication psk id keyid id-b key char key-b
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-a@example.com
Router(config-ppp-ppp-profile)# authentication password user-a@example.com ppp-password-a
Router(config-ppp-ppp-profile)# exit
Router(config)# ikev2 default-profile
Router(config-ikev2-dprof)# local-authentication psk id keyid id-a
Router(config-ikev2-dprof)# nat-traversal keepalive 20
Router(config-ikev2-dprof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# no ip address
Router(config-GigaEthernet2.0)# bridge-group 1
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 203.0.113.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface BVI0
Router(config-BVI0)# ip address 192.168.0.254/24
Router(config-BVI0)# bridge-group 1
Router(config-BVI0)# no shutdown
Router(config-BVI0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ether-ip ipsec-ikev2
Router(config-Tunnel0.0)# no ip address
Router(config-Tunnel0.0)# bridge-group 1
Router(config-Tunnel0.0)# bridge ip tcp adjust-mss 1374
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer any authentication psk id keyid id-b
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
18.4.1.2. 本装置(B)の設定
Router# configure
Router(config)# ip route 203.0.113.1/32 MobileEthernet1.0
Router(config)# bridge irb enable
Router(config)# ikev2 authentication psk id keyid id-a key char key-a
Router(config)# ikev2 authentication psk id keyid id-b key char key-b
Router(config)# ikev2 default-profile
Router(config-ikev2-dprof)# local-authentication psk id keyid id-b
Router(config-ikev2-dprof)# nat-traversal keepalive 20
Router(config-ikev2-dprof)# exit
Router(config)# device Module1
Router(config-Module1)# no shutdown
Router(config-Module1)# exit
Router(config)# interface GigaEthernet1.0
Router(config-GigaEthernet1.0)# bridge-group 1
Router(config-GigaEthernet1.0)# no shutdown
Router(config-GigaEthernet1.0)# exit
Router(config)# interface MobileEthernet1.0
Router(config-MobileEthernet1.0)# auto-connect
Router(config-MobileEthernet1.0)# ip address dhcp
Router(config-MobileEthernet1.0)# mobile id ip example.com
Router(config-MobileEthernet1.0)# mobile username test-user
Router(config-MobileEthernet1.0)# mobile password plain test-password
Router(config-MobileEthernet1.0)# no shutdown
Router(config-MobileEthernet1.0)# exit
Router(config)# interface BVI0
Router(config-BVI0)# ip address 192.168.0.253/24
Router(config-BVI0)# bridge-group 1
Router(config-BVI0)# no shutdown
Router(config-BVI0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ether-ip ipsec-ikev2
Router(config-Tunnel0.0)# no ip address
Router(config-Tunnel0.0)# bridge-group 1
Router(config-Tunnel0.0)# bridge ip tcp adjust-mss 1374
Router(config-Tunnel0.0)# ikev2 connect-type auto
Router(config-Tunnel0.0)# ikev2 outgoing-interface MobileEthernet1.0
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer 203.0.113.1 authentication psk id keyid id-a
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
18.4.2. 解説
18.4.2.1. 本装置(A)の解説
bridge irb enable
ブリッジ機能を有効化します。
ikev2 default-profile
nat-traversal keepalive 20
NATトラバーサル機能を有効化します。
モバイル通信網ではモバイル通信事業者のネットワーク内でアドレス変換が行われる場合があることから、モバイル通信網を経由してIPsec接続を行う場合は、NATトラバーサルを使用します。
また、IX-R間の経路に存在するNAT装置でアドレス変換情報が消失しないよう、NATトラバーサルのキープアライブを20秒間隔で定期的に送信します。
IKEv2デフォルトプロファイルではなく、トンネルインタフェースに"ikev2 nat-traversal"コマンドで設定することもできます。
interface GigaEthernet2.0
bridge-group 1
interface BVI0
bridge-group 1
interface Tunnel0.0
bridge-group 1
インタフェースのブリッジグループを設定します。
同じブリッジグループ番号を割り当てたインタフェースは、同一のインタフェースとして扱われます。
interface Tunnel0.0
tunnel mode ether-ip ipsec-ikev2
ikev2 ipsec-mode transport
トンネルモードをEtherIP/IPsec IKEv2に設定します。
EtherIPでカプセル化されたパケットをIPsecトランスポートモードでカプセル化します。
interface Tunnel0.0
bridge ip tcp adjust-mss 1374
トンネルを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に調整します。
"bridge ip tcp adjust-mss"設定では"auto"による自動設定が行えないため、手動で値を指定します。
18.4.2.2. 本装置(B)の解説
ip route default MobileEthernet1.0
デフォルトルートをモバイルインタフェースに設定します。
device Module1
no shutdown
内蔵モジュールを有効化します。
interface MobileEthernet1.0
auto-connect
常時接続設定です。
自動でモバイル通信網に接続します。
デフォルトはオンデマンド接続("no auto-connect")設定です。
interface MobileEthernet1.0
ip address dhcp
mobile id ip example.com
mobile username test-user
mobile password plain test-password
IPアドレスはモバイル通信網からDHCPで取得します。
モバイル通信事業者から通知された情報を設定します。