UNIVERGE IXシリーズ 技術情報

フレッツ・VPNワイド、フレッツ・グループ(アクセス)向け 設定ガイド集

冗長構成-ISDNバックアップ(OSPF)設定ガイド

端末型払い出しのIPアドレスを利用して、拠点間をIPSecトンネル(フレッツ・VPNワイド)とISDN回線で接続し、フレッツ回線障害時に自動的にISDN回線でバックアップする設定例です。

IPSecトンネルの障害時でもISDN回線で通信を継続することができるため、ネットワークの信頼性が高まります。

本例では、IPSecトンネルの障害を検出する方法として、ルーティングプロトコル(OSPF)を使用します。

冗長構成-ISDNバックアップ(OSPF)設定ガイド
図1.冗長構成-ISDNバックアップ(OSPF)のネットワーク構成例 (フレッツ・VPNワイド)

ルータのコンフィグモードに入るには、
Router# enable-config
と入力します。

STEP1 ルータR1の設定

概要

ルータR1に、インターネット接続の設定と、拠点間通信のためのIPSecトンネルの設定、IPSecトンネル障害時のISDNバックアップの設定を行います。

show running-config 設定データをテキスト形式でダウンロード

  • (1)  ip route default GigaEthernet0.2
  • (2)  ip route 192.168.2.0/24 Dialer0 distance 200
  • (3)  ip route 192.168.20.1/32 GigaEthernet0.1
  • ip route 192.168.20.1/32 Null0.0 metric 100
  • ip ufs-cache enable
  • !
  • (4)  ike proposal ike-prop encryption aes hash sha
  • ike policy ike-policy peer 192.168.20.1 key [事前共有鍵] ike-prop
  • !
  • (5)  ip access-list sec-list permit ip src any dest any
  • ipsec autokey-proposal ipsec-prop esp-aes esp-sha
  • ipsec autokey-map ipsec-map sec-list peer 192.168.20.1 ipsec-prop
  • ipsec local-id ipsec-map 192.168.1.0/24
  • ipsec remote-id ipsec-map 192.168.2.0/24
  • !
  • (6)  proxy-dns ip enable
  • proxy-dns interface GigaEthernet0.2 priority 200
  • !
  • (7)  ip router ospf 1
  • originate-default
  • router-id 200.0.0.1
  • passive-interface GigaEthernet2.0
  • area 0
  • network GigaEthernet2.0 area 0
  • network Tunnel0.0 area 0
  • !
  • (8)  ppp profile internet
  • authentication myname [ISPへの接続ID]
  • authentication password [ISPへの接続ID] [パスワード]
  • !
  • (9)  ppp profile isdn
  • authentication request chap
  • authentication myname [ISDNユーザID]
  • authentication password [ISDNユーザID] [パスワード]
  • authentication password [ルータR2のISDNユーザID] [R2のパスワード]
  • !
  • (10) ppp profile vpn
  • authentication myname [フレッツVPNへの接続ID]
  • authentication password [フレッツVPNへの接続ID] [パスワード]
  • !
  • (11) device BRI0
  • isdn switch-type ins64
  • isdn answer1 [ルータR1の電話番号]
  • !
  • (12) interface GigaEthernet2.0
  • ip address 192.168.1.254/24
  • no shutdown
  • !
  • (13) interface GigaEthernet0.1
  • encapsulation pppoe
  • auto-connect
  • ppp binding vpn
  • ip address 192.168.10.1/32
  • no shutdown
  • !
  • (14) interface GigaEthernet0.2
  • encapsulation pppoe
  • auto-connect
  • ppp binding internet
  • ip address ipcp
  • ip tcp adjust-mss auto
  • ip napt enable
  • no shutdown
  • !
  • (15) interface Dialer0
  • encapsulation ppp
  • no auto-connect
  • dialer string [ルータR2の電話番号]
  • ppp binding isdn
  • ip unnumbered Loopback0.0
  • no shutdown
  • !
  • (16) interface Loopback0.0
  • ip address 10.10.10.1/30
  • !
  • (17) interface Tunnel0.0
  • tunnel mode ipsec
  • ip unnumbered GigaEthernet2.0
  • ip tcp adjust-mss auto
  • ipsec policy tunnel ipsec-map out
  • no shutdown

  1. インターネットに接続するためのデフォルトルートの設定です。
    本例では、インターネットへの接続にインタフェースGigaEthernet0.2を使用します。
  2. ルータR2のLAN側ネットワークの経路情報は通常OSPFで学習しますが、IPSecトンネルの障害でOSPFの経路が消滅したときに、ISDN回線でバックアップするためのスタティックルート設定(フローティングスタティック)を行います。
    本例では、ISDN接続用インタフェースとしてDialer0を使用します。
    注1:OSPFとスタティックルートの優先度の調整はディスタンス値で行います。OSPFのディスタンス値はデフォルト「110」です。
  3. ルータR2のWAN側アドレスと、フレッツ・VPNワイド経由でIPSecトンネルを確立するためのスタティックルートです。
    本例では、フレッツ・VPNワイドへの接続に、インタフェースGigaEthernet0.1を使用します。
    また、GigaEthernet0.1がダウンしたときに、トンネルの終点宛パケットをルータ内部で廃棄するための設定(Nullインタフェースへのルーティング)を、GigaEthernet0.1へのルーティングよりも優先度を低くして設定を行います。
    注1:この設定を省略すると、GigaEthernet0.1のダウン時に、トンネルの終点宛パケットをGigaEthernet0.2から送信してしまいます。
    注2:スタティックルートの優先度はメトリック値で指定します。
  4. IKEの設定です。ISAKMP SAの確立に使用します。
    ike proposalコマンドで暗号/認証方式を選択し、ike policyコマンドで接続先アドレスと事前共有鍵を登録します。
  5. IPSecの設定です。IPSec SAの確立に使用します。
    ipsec autokey-proposalコマンドで暗号/認証方式を選択し、ipsec autokey-mapコマンドで接続先アドレスとIPSec処理を適用するトラフィック(ip access-listコマンドで指定)の指定を行います。
  6. プロキシDNSの設定です。
    LAN側端末には、DNSサーバのアドレスとしてルータR1のLAN側アドレス(192.168.1.254)を登録します。
    ルータR1は、端末からのDNS問い合わせを、上位DNSサーバであるISPのDNSサーバへ転送します。
  7. OSPFの設定です。
    networkコマンドで、OSPFを動作させるインタフェースを設定します(インタフェースGigaEthernet2.0は、同一リンク内に他のOSPFルータが存在しないため、パッシブインタフェースとします)。
    また、ルータR2のLAN側端末から、ルータR1を経由してインターネットへアクセスできるように、デフォルトルートを広告します。
  8. ISPに接続するためのIDとパスワードを設定します。
  9. ISDN回線で、ルータR2と相互認証するためのIDとパスワードを設定します。
  10. フレッツ・VPNワイドに接続するためのIDとパスワードを設定します。
  11. BRIポートの設定です。
    交換機種別の設定(ins64:再起動が必要)と、自局電話番号を設定します。
  12. LAN側インタフェースGigaEthernet2.0の設定です。
  13. フレッツ・VPNワイド接続用インタフェースGigaEthernet0.1の設定です。
  14. インターネット接続用インタフェースGigaEthernet0.2の設定です。
    インターネットに接続するためのアドレス変換(NAPT)の設定が必要です。
  15. ISDN接続用インタフェースDialer0の設定です。
    ルータR2の電話番号の設定を行います。
    本例では、IPアドレスはアンナンバードに設定しています。
  16. ループバックインタフェースLoopback0.0の設定です。
    ISDN接続で使用するIPアドレスを本インタフェースに設定します。
  17. ルータR2とIPSecトンネルで接続するためのインタフェースTunnel0.0の設定です。

STEP2 ルータR2の設定

概要

ルータR2は、インターネット接続を、ルータR1との間で確立するIPSecトンネル経由で行います。
また、IPSecトンネル障害時にISDN回線でバックアップする設定を行います。

show running-config 設定データをテキスト形式でダウンロード

  • (1)  ip route 192.168.10.1/32 GigaEthernet0.1
  • ip route 192.168.10.1/32 Null0.0 metric 100
  • (2)  ip route default Dialer0 distance 200
  • ip ufs-cache enable
  • !
  • (3)  ike proposal ike-prop encryption aes hash sha
  • ike policy ike-policy peer 192.168.10.1 key [事前共有鍵] ike-prop
  • !
  • (4)  ip access-list sec-list permit ip src any dest any
  • ipsec autokey-proposal ipsec-prop esp-aes esp-sha
  • ipsec autokey-map ipsec-map sec-list peer 192.168.10.1 ipsec-prop
  • ipsec local-id ipsec-map 192.168.2.0/24
  • ipsec remote-id ipsec-map 192.168.1.0/24
  • !
  • (5)  ip router ospf 1
  • router-id 200.0.0.2
  • passive-interface GigaEthernet2.0
  • area 0
  • network GigaEthernet2.0 area 0
  • network Tunnel0.0 area 0
  • !
  • (6)  proxy-dns ip enable
  • proxy-dns server 192.168.1.254
  • !
  • (7)  ppp profile isdn
  • authentication request chap
  • authentication myname [ISDNユーザID]
  • authentication password [ISDNユーザID] [パスワード]
  • authentication password [ルータR1のISDNユーザID] [R1のパスワード]
  • !
  • (8)  ppp profile vpn
  • authentication myname [フレッツVPNへの接続ID]
  • authentication password [フレッツVPNへの接続ID] [パスワード]
  • !
  • (9)  device BRI0
  • isdn switch-type ins64
  • isdn answer1 [ルータR2の電話番号]
  • !
  • (10) interface GigaEthernet2.0
  • ip address 192.168.2.254/24
  • no shutdown
  • !
  • (11) interface GigaEthernet0.1
  • encapsulation pppoe
  • auto-connect
  • ppp binding vpn
  • ip address 192.168.20.1/32
  • no shutdown
  • !
  • (12) interface Dialer0
  • encapsulation ppp
  • no auto-connect
  • dialer string [ルータR1の電話番号]
  • ppp binding isdn
  • ip unnumbered Loopback0.0
  • no shutdown
  • !
  • (13) interface Loopback0.0
  • ip address 10.10.10.2/30
  • !
  • (14) interface Tunnel0.0
  • tunnel mode ipsec
  • ip unnumbered GigaEthernet2.0
  • ip tcp adjust-mss auto
  • ipsec policy tunnel ipsec-map out
  • no shutdown

  1. ルータR1のWAN側アドレスと、フレッツ・VPNワイド経由でIPSecトンネルを確立するためのスタティックルートです。
    本例では、フレッツ・VPNワイドへの接続に、インタフェースGigaEthernet0.1を使用します。
    また、GigaEthernet0.1がダウンしたときに、トンネルの終点宛パケットをルータ内部で廃棄するための設定(Nullインタフェースへのルーティング)を、GigaEthernet0.1へのルーティングよりも優先度を低くして設定を行います。
    注1:この設定を省略すると、GigaEthernet0.1のダウン時に、トンネルの終点宛パケットをISDN回線(Dialer0)から送信してしまいます。
    注2:スタティックルートの優先度はメトリック値で指定します。
  2. デフォルトルートは通常OSPFで学習しますが、IPSecトンネルの障害でOSPFの経路が消滅したときに、ISDN回線でバックアップするためのデフォルトルート設定(フローティングスタティック)を行います。
    本例では、ISDN接続用インタフェースとしてDialer0を使用します。
    注1:OSPFとスタティックルートの優先度の調整はディスタンス値で行います。OSPFのディスタンス値はデフォルト「110」です。
  3. IKEの設定です。ISAKMP SAの確立に使用します。
    ike proposalコマンドで暗号/認証方式を選択し、ike policyコマンドで接続先アドレスと事前共有鍵を登録します。
  4. IPSecの設定です。IPSec SAの確立に使用します。
    ipsec autokey-proposalコマンドで暗号/認証方式を選択し、ipsec autokey-mapコマンドで接続先アドレスとIPSec処理を適用するトラフィック(ip access-listコマンドで指定)の指定を行います。
  5. OSPFの設定です。
    networkコマンドで、OSPFを動作させるインタフェースを設定します(インタフェースGigaEthernet2.0は、同一リンク内に他のOSPFルータが存在しないため、パッシブインタフェースとします)。
  6. プロキシDNSの設定です。
    LAN側端末には、DNSサーバのアドレスとしてルータR2のLAN側アドレス(192.168.2.254)を登録します。
    ルータR2は、LAN側端末からのDNS問い合わせを、上位DNSサーバであるルータR1へ転送します。
  7. ISDN回線で、ルータR1と相互認証するためのIDとパスワードを設定します。
  8. フレッツ・VPNワイドに接続するためのIDとパスワードを設定します。
  9. BRIポートの設定です。
    交換機種別の設定(ins64:再起動が必要)と、自局電話番号を設定します。
  10. LAN側インタフェースGigaEthernet2.0の設定です。
  11. フレッツ・VPNワイド接続用インタフェースGigaEthernet0.1の設定です。
  12. ISDN接続用インタフェースDialer0の設定です。
    ルータR1の電話番号の設定を行います。
    本例では、IPアドレスはアンナンバードに設定しています。
  13. ループバックインタフェースLoopback0.0の設定です。
    ISDN接続で使用するIPアドレスを本インタフェースに設定します。
  14. ルータR1とIPsecトンネルで接続するためのインタフェースTunnel0.0の設定です。

最後に設定の保存を行います。
Router(config)# write memory

資料請求・お問い合わせ