21. GRE設定

21.1. GREトンネリングを使用する

GREトンネリングの設定例です。

../_images/gre_tunnel.png

21.1.1. 設定

21.1.1.1. 本装置(A)の設定

Router# configure
Router(config)# ip route 198.51.100.1/32 GigaEthernet0.1
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-a@example.com
Router(config-ppp-ppp-profile)# authentication password user-a@example.com ppp-password-a
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 203.0.113.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode gre ip
Router(config-Tunnel0.0)# tunnel destination 198.51.100.1
Router(config-Tunnel0.0)# tunnel source 203.0.113.1
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

21.1.1.2. 本装置(B)の設定

Router# configure
Router(config)# ip route 203.0.113.1/32 GigaEthernet0.1
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-b@example.com
Router(config-ppp-ppp-profile)# authentication password user-b@example.com ppp-password-b
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 198.51.100.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode gre ip
Router(config-Tunnel0.0)# tunnel destination 203.0.113.1
Router(config-Tunnel0.0)# tunnel source 198.51.100.1
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

21.1.2. 解説

21.1.2.1. 本装置(A)の解説

ip route 198.51.100.1/32 GigaEthernet0.1
ip route 192.168.1.0/24 Tunnel0.0
GREトンネルのdestinationの宛先をPPPoEインタフェースに設定します。
GREトンネルの通信先をトンネルインタフェースに設定します。
interface Tunnel0.0
  tunnel mode gre ip
  tunnel destination 198.51.100.1
  tunnel source 203.0.113.1
トンネルモードをGRE IPv4に設定します。
トンネルの宛先と送信元IPアドレスを設定します。

21.1.2.2. 本装置(B)の解説

本装置(A)と同様の考え方で設定します。

21.2. GREキープアライブによるPPPoE迂回構成

GREキープアライブ機能の設定例です。
正常時は回線Aを利用しますが、障害発生時は回線Bでバックアップします。
../_images/gre_keepalive.png

21.2.1. 設定

21.2.1.1. 本装置(A)の設定

Router(config)# ip route 203.0.113.2/32 GigaEthernet0.1
Router(config)# ip route 198.51.100.2/32 GigaEthernet1.1
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ip route 192.168.1.0/24 Tunnel1.0 metric 10
Router(config)# ppp profile ppp-profile-a
Router(config-ppp-ppp-profile-a)# authentication myname user-a1@example.com
Router(config-ppp-ppp-profile-a)# authentication password user-a1@example.com ppp-password-a1
Router(config-ppp-ppp-profile-a)# exit
Router(config)# ppp profile ppp-profile-b
Router(config-ppp-ppp-profile-b)# authentication myname user-b1@example.com
Router(config-ppp-ppp-profile-b)# authentication password user-b1@example.com ppp-password-b1
Router(config-ppp-ppp-profile-b)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile-a
Router(config-GigaEthernet0.1)# ip address 203.0.113.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface GigaEthernet1.1
Router(config-GigaEthernet1.1)# encapsulation pppoe
Router(config-GigaEthernet1.1)# ppp binding ppp-profile-b
Router(config-GigaEthernet1.1)# ip address 198.51.100.1/32
Router(config-GigaEthernet1.1)# no shutdown
Router(config-GigaEthernet1.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode gre ip
Router(config-Tunnel0.0)# tunnel destination 203.0.113.2
Router(config-Tunnel0.0)# tunnel source 203.0.113.1
Router(config-Tunnel0.0)# tunnel keepalive
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)# interface Tunnel1.0
Router(config-Tunnel1.0)# tunnel mode gre ip
Router(config-Tunnel1.0)# tunnel destination 198.51.100.2
Router(config-Tunnel1.0)# tunnel source 198.51.100.1
Router(config-Tunnel1.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel1.0)# no shutdown
Router(config-Tunnel1.0)# exit
Router(config)#

21.2.1.2. 本装置(B)の設定

Router(config)# ip route 203.0.113.1/32 GigaEthernet0.1
Router(config)# ip route 198.51.100.1/32 GigaEthernet1.1
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ip route 192.168.0.0/24 Tunnel1.0 metric 10
Router(config)# ppp profile ppp-profile-a
Router(config-ppp-ppp-profile-a)# authentication myname user-a2@example.com
Router(config-ppp-ppp-profile-a)# authentication password user-a2@example.com ppp-password-a2
Router(config-ppp-ppp-profile-a)# exit
Router(config)# ppp profile ppp-profile-b
Router(config-ppp-ppp-profile-b)# authentication myname user-b2@example.com
Router(config-ppp-ppp-profile-b)# authentication password user-b2@example.com ppp-password-b2
Router(config-ppp-ppp-profile-b)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile-a
Router(config-GigaEthernet0.1)# ip address 203.0.113.2/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface GigaEthernet1.1
Router(config-GigaEthernet1.1)# encapsulation pppoe
Router(config-GigaEthernet1.1)# ppp binding ppp-profile-b
Router(config-GigaEthernet1.1)# ip address 198.51.100.2/32
Router(config-GigaEthernet1.1)# no shutdown
Router(config-GigaEthernet1.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode gre ip
Router(config-Tunnel0.0)# tunnel destination 203.0.113.1
Router(config-Tunnel0.0)# tunnel source 203.0.113.2
Router(config-Tunnel0.0)# tunnel keepalive
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)# interface Tunnel1.0
Router(config-Tunnel1.0)# tunnel mode gre ip
Router(config-Tunnel1.0)# tunnel destination 198.51.100.1
Router(config-Tunnel1.0)# tunnel source 198.51.100.2
Router(config-Tunnel1.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel1.0)# no shutdown
Router(config-Tunnel1.0)# exit
Router(config)#

21.2.2. 解説

21.2.2.1. 本装置(A)の解説

ip route 203.0.113.2/32 GigaEthernet0.1

GREトンネルのdestinationの宛先をPPPoEインタフェースに設定します。

ip route 192.168.1.0/24 Tunnel0.0
ip route 192.168.1.0/24 Tunnel1.0 metric 10
GREトンネルの通信先をトンネルインタフェースに設定します。
優先度を下げてバックアップ用のGREトンネルのルーティングも設定します。
interface Tunnel0.0
  tunnel mode gre ip
  tunnel destination 203.0.113.2
  tunnel source 203.0.113.1
トンネルモードをGRE IPv4に設定します。
トンネルの宛先と送信元IPアドレスを設定します。
interface Tunnel0.0
  tunnel keepalive
トンネルキープアライブの設定です。
デフォルトでは10秒周期でキープアライブパケットを送信し、3回連続で応答がない場合に障害と判断します。
障害検出時にTunnel0.0をダウンし、バックアップ回線のGREトンネルに切り替えます。
3回応答があれば復旧と判定し、メイン回線のGREトンネルを復旧します。

21.2.2.2. 本装置(B)の解説

本装置(A)と同様の考え方で設定します。

21.3. アグレッシブモードによるGRE/IPsec(IKEv1)接続

GRE/IPsecのIKEv1によるアグレッシブモードで接続する例です。

../_images/gre_ikev1_aggressive.png

21.3.1. 設定

21.3.1.1. 本装置(A)の設定

Router# configure
Router(config)# ip route default GigaEthernet0.1
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
Router(config)# ike policy ike-policy peer any key psk mode aggressive ike-proposal
Router(config)# ike commit-bit ike-policy
Router(config)# ike remote-id ike-policy keyid ike-id
Router(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
Router(config)# ipsec dynamic-map ipsec-policy ipv4 ipsec-proposal ike ike-policy
Router(config)# ipsec commit-bit ipsec-policy
Router(config)# ipsec local-id ipsec-policy 192.168.0.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.1.0/24
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-a@example.com
Router(config-ppp-ppp-profile)# authentication password user-a@example.com ppp-password-a
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 203.0.113.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode gre ipsec
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ipsec policy transport ipsec-policy with-id-payload
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

21.3.1.2. 本装置(B)の設定

Router# configure
Router(config)# ip route 203.0.113.1/32 GigaEthernet0.1
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
Router(config)# ike suppress-dangling
Router(config)# ike policy ike-policy peer 203.0.113.1 key psk mode aggressive ike-proposal
Router(config)# ike keepalive ike-policy 10 3
Router(config)# ike local-id ike-policy keyid ike-id
Router(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
Router(config)# ipsec autokey-map ipsec-policy ipv4 peer 203.0.113.1 ipsec-proposal
Router(config)# ipsec local-id ipsec-policy 192.168.1.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.0.0/24
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-b@example.com
Router(config-ppp-ppp-profile)# authentication password user-b@example.com ppp-password-b
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode gre ipsec
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ipsec policy transport ipsec-policy with-id-payload
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

21.3.2. 解説

21.3.2.1. 本装置(A)の解説

ip route default GigaEthernet0.1
ip route 192.168.1.0/24 Tunnel0.0
デフォルトルートをPPPoEインタフェースに設定します。
IPsec接続先をトンネルインタフェースに設定します。
interface Tunnel0.0
  tunnel mode gre ipsec
  ipsec policy transport ipsec-policy with-id-payload
トンネルモードをGRE IPsecに設定します。
トンネルインタフェースにIPsecのポリシー名を関連付けます。
通信モードをトランスポートに設定します。
IPsecのID交換が行えるように、"with-id-payload"オプションが必要になります。

21.3.2.2. 本装置(B)の解説

本装置(A)と同様の考え方で設定します。

21.4. 動的IPアドレスによるGRE/IPsec(IKEv2)接続

GRE/IPsecのIKEv2による一方の拠点が動的IPアドレス契約で接続する例です。

../_images/gre_ikev2_dynamic.png

21.4.1. 設定

21.4.1.1. 本装置(A)の設定

Router# configure
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ikev2 authentication psk id keyid id-a key char key-a
Router(config)# ikev2 authentication psk id keyid id-b key char key-b
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-a@example.com
Router(config-ppp-ppp-profile)# authentication password user-a@example.com ppp-password-a
Router(config-ppp-ppp-profile)# exit
Router(config)# ikev2 default-profile
Router(config-ikev2-dprof)# local-authentication psk id keyid id-a
Router(config-ikev2-dprof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 203.0.113.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode gre ipsec-ikev2
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer any authentication psk id keyid id-b
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

21.4.1.2. 本装置(B)の設定

Router# configure
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ikev2 authentication psk id keyid id-a key char key-a
Router(config)# ikev2 authentication psk id keyid id-b key char key-b
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-b@example.com
Router(config-ppp-ppp-profile)# authentication password user-b@example.com ppp-password-b
Router(config-ppp-ppp-profile)# exit
Router(config)# ikev2 default-profile
Router(config-ikev2-dprof)# local-authentication psk id keyid id-b
Router(config-ikev2-dprof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode gre ipsec-ikev2
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ikev2 connect-type auto
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer 203.0.113.1 authentication psk id keyid id-a
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

21.4.2. 解説

21.4.2.1. 本装置(A)の解説

ip route 192.168.1.0/24 Tunnel0.0

IPsec接続先をトンネルインタフェースに設定します。

interface Tunnel0.0
  tunnel mode gre ipsec-ikev2
  ikev2 ipsec-mode transport
トンネルモードをGRE IPsec IKEv2に設定します。
IPsecの通信モードをトランスポートに設定します。

21.4.2.2. 本装置(B)の解説

本装置(A)と同様の考え方で設定します。