Japan
サイト内の現在位置を表示しています。
UNIVERGE IXシリーズ 技術情報
フレッツ・VPNワイド、フレッツ・グループ(アクセス)向け 設定ガイド集 冗長構成-ISDNバックアップ(Pingによる障害監視)設定ガイド
端末型払い出しのIPアドレスを利用して、拠点間をIPSecトンネル(フレッツ・VPNワイド)とISDN回線で接続し、フレッツ回線障害時に自動的にISDN回線でバックアップする設定例です。
IPSecトンネルの障害時でもISDN回線で通信を継続することができるため、ネットワークの信頼性が高まります。
本例では、IPSecトンネルの障害を検出する方法として、pingによる監視(ネットワークモニタ機能)を使用します。
図1.冗長構成-ISDNバックアップ(Pingによる障害監視)のネットワーク構成例 (フレッツ・VPNワイド)
ルータのコンフィグモードに入るには、
Router# enable-config
と入力します。
STEP1 ルータR1の設定
概要
ルータR1に、インターネット接続の設定と、拠点間通信のためのIPSecトンネルの設定、IPSecトンネル障害時のISDNバックアップの設定を行います。
設定データをテキスト形式でダウンロード
- (1) ip route default GigaEthernet0.2
- (2) ip route 192.168.2.0/24 Tunnel0.0
- ip route 192.168.2.0/24 Dialer0 metric 100
- (3) ip route 192.168.20.1/32 GigaEthernet0.1
- ip route 192.168.20.1/32 Null0.0 metric 100
- ip ufs-cache enable
- !
- (4) ike proposal ike-prop encryption aes hash sha
- ike policy ike-policy peer 192.168.20.1 key [事前共有鍵] ike-prop
- !
- (5) ip access-list sec-list permit ip src any dest any
- ipsec autokey-proposal ipsec-prop esp-aes esp-sha
- ipsec autokey-map ipsec-map sec-list peer 192.168.20.1 ipsec-prop
- ipsec local-id ipsec-map 192.168.1.0/24
- ipsec remote-id ipsec-map 192.168.2.0/24
- !
- (6) proxy-dns ip enable
- proxy-dns interface GigaEthernet0.2 priority 200
- !
- (7) watch-group watch-tun0.0 10
- event 10 ip unreach-host 192.168.2.254 Tunnel0.0 source GigaEthernet2.0
- action 10 ip shutdown-route 192.168.2.0/24 Tunnel0.0
- action 20 turn-BAK-LED-on
- !
- network-monitor watch-tun0.0 directed-response
- network-monitor watch-tun0.0 enable
- !
- (8) ppp profile internet
- authentication myname [ISPへの接続ID]
- authentication password [ISPへの接続ID] [パスワード]
- !
- (9) ppp profile isdn
- authentication request chap
- authentication myname [ISDNユーザID]
- authentication password [ISDNユーザID] [パスワード]
- authentication password [ルータR2のISDNユーザID] [R2のパスワード]
- !
- (10) ppp profile vpn
- authentication myname [フレッツVPNへの接続ID]
- authentication password [フレッツVPNへの接続ID] [パスワード]
- !
- (11) device BRI0
- isdn switch-type ins64
- isdn answer1 [ルータR1の電話番号]
- !
- (12) interface GigaEthernet2.0
- ip address 192.168.1.254/24
- no shutdown
- !
- (13) interface GigaEthernet0.1
- encapsulation pppoe
- auto-connect
- ppp binding vpn
- ip address 192.168.10.1/32
- no shutdown
- !
- (14) interface GigaEthernet0.2
- encapsulation pppoe
- auto-connect
- ppp binding internet
- ip address ipcp
- ip tcp adjust-mss auto
- ip napt enable
- no shutdown
- !
- (15) interface Dialer0
- encapsulation ppp
- no auto-connect
- dialer string [ルータR2の電話番号]
- ppp binding isdn
- ip unnumbered Loopback0.0
- no shutdown
- !
- (16) interface Loopback0.0
- ip address 10.10.10.1/30
- !
- (17) interface Tunnel0.0
- tunnel mode ipsec
- ip unnumbered GigaEthernet2.0
- ip tcp adjust-mss auto
- ipsec policy tunnel ipsec-map out
- no shutdown
- インターネットに接続するためのデフォルトルートの設定です。
本例では、インターネットへの接続にインタフェースGigaEthernet0.2を使用します。 - ルータR2のLAN側ネットワークへ、IPSecトンネル経由で通信を行うためのスタティックルートの設定です。
本例では、トンネル接続用インタフェースとしてTunnel0.0を使用します。
また、IPSecトンネル障害時、ISDN回線経由で通信を行うためのスタティックルートを、IPSecトンネル経由よりも優先度を低くして設定を行います。
本例では、ISDN接続用インタフェースとしてDialer0を使用します。
注1:スタティックルートの優先度はメトリック値で指定します。 - ルータR2のWAN側アドレスと、フレッツ・VPNワイド経由でIPSecトンネルを確立するためのスタティックルートです。
本例では、フレッツ・VPNワイドへの接続に、インタフェースGigaEthernet0.1を使用します。
また、GigaEthernet0.1がダウンしたときに、トンネルの終点宛パケットをルータ内部で廃棄するための設定(Nullインタフェースへのルーティング)を、GigaEthernet0.1へのルーティングよりも優先度を低くして設定を行います。
注1:この設定を省略すると、GigaEthernet0.1のダウン時に、トンネルの終点宛パケットをGigaEthernet0.2から送信してしまいます。
注2:スタティックルートの優先度はメトリック値で指定します。 - IKEの設定です。ISAKMP SAの確立に使用します。
ike proposalコマンドで暗号/認証方式を選択し、ike policyコマンドで接続先アドレスと事前共有鍵を登録します。 - IPSecの設定です。IPSec SAの確立に使用します。
ipsec autokey-proposalコマンドで暗号/認証方式を選択し、ipsec autokey-mapコマンドで接続先アドレスとIPSec処理を適用するトラフィック(ip access-listコマンドで指定)の指定を行います。 - プロキシDNSの設定です。
LAN側端末には、DNSサーバのアドレスとしてルータR1のLAN側アドレス(192.168.1.254)を登録します。
ルータR1は、端末からのDNS問い合わせを、上位DNSサーバであるISPのDNSサーバへ転送します。 - ネットワークモニタ機能の設定です。
eventコマンドで、Pingの送信先(ルータR2のアドレス:192.168.2.254)と出力インタフェース(Tunnel0.0)、Pingの送信元(GigaEthernet2.0)を指定します。
actionコマンドで、Pingによる障害検出時に隠蔽するスタティックルートの指定と、装置前面のBAKランプ点灯の設定を行います。 - ISPに接続するためのIDとパスワードを設定します。
- ISDN回線で、ルータR2と相互認証するためのIDとパスワードを設定します。
- フレッツ・VPNワイドに接続するためのIDとパスワードを設定します。
- BRIポートの設定です。
交換機種別の設定(ins64:再起動が必要)と、自局電話番号を設定します。 - LAN側インタフェースGigaEthernet2.0の設定です。
- フレッツ・VPNワイド接続用インタフェースGigaEthernet0.1の設定です。
- インターネット接続用インタフェースGigaEthernet0.2の設定です。
インターネットに接続するためのアドレス変換(NAPT)の設定が必要です。 - ISDN接続用インタフェースDialer0の設定です。
ルータR2の電話番号の設定を行います。
本例では、IPアドレスはアンナンバードに設定しています。 - ループバックインタフェースLoopback0.0の設定です。
ISDN接続で使用するIPアドレスを本インタフェースに設定します。 - ルータR2とIPSecトンネルで接続するためのインタフェースTunnel0.0の設定です。
STEP2 ルータR2の設定
概要
ルータR2は、インターネット接続を、ルータR1との間で確立するIPSecトンネル経由で行います。
また、IPSecトンネル障害時にISDN回線でバックアップする設定を行います。
設定データをテキスト形式でダウンロード
- (1) ip route 192.168.10.1/32 GigaEthernet0.1
- ip route 192.168.10.1/32 Null0.0 metric 100
- (2) ip route default Tunnel0.0
- ip route default Dialer0 metric 100
- ip ufs-cache enable
- !
- (3) ike proposal ike-prop encryption aes hash sha
- ike policy ike-policy peer 192.168.10.1 key [事前共有鍵] ike-prop
- !
- (4) ip access-list sec-list permit ip src any dest any
- ipsec autokey-proposal ipsec-prop esp-aes esp-sha
- ipsec autokey-map ipsec-map sec-list peer 192.168.10.1 ipsec-prop
- ipsec local-id ipsec-map 192.168.2.0/24
- ipsec remote-id ipsec-map 192.168.1.0/24
- !
- (5) watch-group watch-tun0.0 10
- event 10 ip unreach-host 192.168.1.254 Tunnel0.0 source GigaEthernet2.0
- action 10 ip shutdown-route 0.0.0.0/0 Tunnel0.0
- action 20 turn-BAK-LED-on
- !
- network-monitor watch-tun0.0 directed-response
- network-monitor watch-tun0.0 enable
- !
- (6) proxy-dns ip enable
- proxy-dns server 192.168.1.254
- !
- (7) ppp profile isdn
- authentication request chap
- authentication myname [ISDNユーザID]
- authentication password [ISDNユーザID] [パスワード]
- authentication password [ルータR1のISDNユーザID] [R1のパスワード]
- !
- (8) ppp profile vpn
- authentication myname [フレッツVPNへの接続ID]
- authentication password [フレッツVPNへの接続ID] [パスワード]
- !
- (9) device BRI0
- isdn switch-type ins64
- isdn answer1 [ルータR2の電話番号]
- !
- (10) interface GigaEthernet2.0
- ip address 192.168.2.254/24
- no shutdown
- !
- (11) interface GigaEthernet0.1
- encapsulation pppoe
- auto-connect
- ppp binding vpn
- ip address 192.168.20.1/32
- no shutdown
- !
- (12) interface Dialer0
- encapsulation ppp
- no auto-connect
- dialer string [ルータR1の電話番号]
- ppp binding isdn
- ip unnumbered Loopback0.0
- no shutdown
- !
- (13) interface Loopback0.0
- ip address 10.10.10.2/30
- !
- (14) interface Tunnel0.0
- tunnel mode ipsec
- ip unnumbered GigaEthernet2.0
- ip tcp adjust-mss auto
- ipsec policy tunnel ipsec-map out
- no shutdown
- ルータR1のWAN側アドレスと、フレッツ・VPNワイド経由でIPSecトンネルを確立するためのスタティックルートです。
本例では、フレッツ・VPNワイドへの接続に、インタフェースGigaEthernet0.1を使用します。
また、GigaEthernet0.1がダウンしたときに、トンネルの終点宛パケットをルータ内部で廃棄するための設定(Nullインタフェースへのルーティング)を、GigaEthernet0.1へのルーティングよりも優先度を低くして設定を行います。
注1:この設定を省略すると、GigaEthernet0.1のダウン時に、トンネルの終点宛パケットをISDN回線(Dialer0)から送信してしまいます。
注2:スタティックルートの優先度はメトリック値で指定します。 - ルータR1のLAN側ネットワークとインターネットに、IPSecトンネル経由で通信を行うためのデフォルトルートの設定です。
本例では、トンネル接続用インタフェースとしてTunnel0.0を利用します。
また、ネットワークモニタ機能でIPSecトンネルの障害を検出したときに、ISDN回線でバックアップするためのDialerインタフェースへのルーティングを、Tunnel0.0へのルーティングよりも優先度を低くして設定を行います。 - IKEの設定です。ISAKMP SAの確立に使用します。
ike proposalコマンドで暗号/認証方式を選択し、ike policyコマンドで接続先アドレスと事前共有鍵を登録します。 - IPSecの設定です。IPSec SAの確立に使用します。
ipsec autokey-proposalコマンドで暗号/認証方式を選択し、ipsec autokey-mapコマンドで接続先アドレスとIPSec処理を適用するトラフィック(ip access-listコマンドで指定)の指定を行います。 - ネットワークモニタ機能の設定です。
eventコマンドで、Pingの送信先(ルータR1のアドレス:192.168.1.254)と出力インタフェース(Tunnel0.0)、Pingの送信元(GigaEthernet2.0)を指定します。
actionコマンドで、Pingによる障害検出時に隠蔽するスタティックルートの指定と、装置前面のBAKランプ点灯の設定を行います。 - プロキシDNSの設定です。
LAN側端末には、DNSサーバのアドレスとしてルータR2のLAN側アドレス(192.168.2.254)を登録します。
ルータR2は、LAN側端末からのDNS問い合わせを、上位DNSサーバであるルータR1へ転送します。 - ISDN回線で、ルータR1と相互認証するためのIDとパスワードを設定します。
- フレッツ・VPNワイドに接続するためのIDとパスワードを設定します。
- BRIポートの設定です。
交換機種別の設定(ins64:再起動が必要)と、自局電話番号を設定します。 - LAN側インタフェースGigaEthernet2.0の設定です。
- フレッツ・VPNワイド接続用インタフェースGigaEthernet0.1の設定です。
- ISDN接続用インタフェースDialer0の設定です。
ルータR1の電話番号の設定を行います。
本例では、IPアドレスはアンナンバードに設定しています。 - ループバックインタフェースLoopback0.0の設定です。
ISDN接続で使用するIPアドレスを本インタフェースに設定します。 - ルータR1とIPsecトンネルで接続するためのインタフェースTunnel0.0の設定です。
最後に設定の保存を行います。
Router(config)# write memory
資料請求・お問い合わせ