Japan
サイト内の現在位置を表示しています。
UNIVERGE IXシリーズ 技術情報
フレッツ・VPNワイド、フレッツ・グループ(アクセス)向け 設定ガイド集冗長構成-ISDNバックアップ(OSPF)設定ガイド
端末型払い出しのIPアドレスを利用して、拠点間をIPSecトンネル(フレッツ・VPNワイド)とISDN回線で接続し、フレッツ回線障害時に自動的にISDN回線でバックアップする設定例です。
IPSecトンネルの障害時でもISDN回線で通信を継続することができるため、ネットワークの信頼性が高まります。
本例では、IPSecトンネルの障害を検出する方法として、ルーティングプロトコル(OSPF)を使用します。
ルータのコンフィグモードに入るには、
Router# enable-config
と入力します。
STEP1 ルータR1の設定
概要
ルータR1に、インターネット接続の設定と、拠点間通信のためのIPSecトンネルの設定、IPSecトンネル障害時のISDNバックアップの設定を行います。
- (1) ip route default GigaEthernet0.2
- (2) ip route 192.168.2.0/24 Dialer0 distance 200
- (3) ip route 192.168.20.1/32 GigaEthernet0.1
- ip route 192.168.20.1/32 Null0.0 metric 100
- ip ufs-cache enable
- !
- (4) ike proposal ike-prop encryption aes hash sha
- ike policy ike-policy peer 192.168.20.1 key [事前共有鍵] ike-prop
- !
- (5) ip access-list sec-list permit ip src any dest any
- ipsec autokey-proposal ipsec-prop esp-aes esp-sha
- ipsec autokey-map ipsec-map sec-list peer 192.168.20.1 ipsec-prop
- ipsec local-id ipsec-map 192.168.1.0/24
- ipsec remote-id ipsec-map 192.168.2.0/24
- !
- (6) proxy-dns ip enable
- proxy-dns interface GigaEthernet0.2 priority 200
- !
- (7) ip router ospf 1
- originate-default
- router-id 200.0.0.1
- passive-interface GigaEthernet2.0
- area 0
- network GigaEthernet2.0 area 0
- network Tunnel0.0 area 0
- !
- (8) ppp profile internet
- authentication myname [ISPへの接続ID]
- authentication password [ISPへの接続ID] [パスワード]
- !
- (9) ppp profile isdn
- authentication request chap
- authentication myname [ISDNユーザID]
- authentication password [ISDNユーザID] [パスワード]
- authentication password [ルータR2のISDNユーザID] [R2のパスワード]
- !
- (10) ppp profile vpn
- authentication myname [フレッツVPNへの接続ID]
- authentication password [フレッツVPNへの接続ID] [パスワード]
- !
- (11) device BRI0
- isdn switch-type ins64
- isdn answer1 [ルータR1の電話番号]
- !
- (12) interface GigaEthernet2.0
- ip address 192.168.1.254/24
- no shutdown
- !
- (13) interface GigaEthernet0.1
- encapsulation pppoe
- auto-connect
- ppp binding vpn
- ip address 192.168.10.1/32
- no shutdown
- !
- (14) interface GigaEthernet0.2
- encapsulation pppoe
- auto-connect
- ppp binding internet
- ip address ipcp
- ip tcp adjust-mss auto
- ip napt enable
- no shutdown
- !
- (15) interface Dialer0
- encapsulation ppp
- no auto-connect
- dialer string [ルータR2の電話番号]
- ppp binding isdn
- ip unnumbered Loopback0.0
- no shutdown
- !
- (16) interface Loopback0.0
- ip address 10.10.10.1/30
- !
- (17) interface Tunnel0.0
- tunnel mode ipsec
- ip unnumbered GigaEthernet2.0
- ip tcp adjust-mss auto
- ipsec policy tunnel ipsec-map out
- no shutdown
- インターネットに接続するためのデフォルトルートの設定です。
本例では、インターネットへの接続にインタフェースGigaEthernet0.2を使用します。 - ルータR2のLAN側ネットワークの経路情報は通常OSPFで学習しますが、IPSecトンネルの障害でOSPFの経路が消滅したときに、ISDN回線でバックアップするためのスタティックルート設定(フローティングスタティック)を行います。
本例では、ISDN接続用インタフェースとしてDialer0を使用します。
注1:OSPFとスタティックルートの優先度の調整はディスタンス値で行います。OSPFのディスタンス値はデフォルト「110」です。 - ルータR2のWAN側アドレスと、フレッツ・VPNワイド経由でIPSecトンネルを確立するためのスタティックルートです。
本例では、フレッツ・VPNワイドへの接続に、インタフェースGigaEthernet0.1を使用します。
また、GigaEthernet0.1がダウンしたときに、トンネルの終点宛パケットをルータ内部で廃棄するための設定(Nullインタフェースへのルーティング)を、GigaEthernet0.1へのルーティングよりも優先度を低くして設定を行います。
注1:この設定を省略すると、GigaEthernet0.1のダウン時に、トンネルの終点宛パケットをGigaEthernet0.2から送信してしまいます。
注2:スタティックルートの優先度はメトリック値で指定します。 - IKEの設定です。ISAKMP SAの確立に使用します。
ike proposalコマンドで暗号/認証方式を選択し、ike policyコマンドで接続先アドレスと事前共有鍵を登録します。 - IPSecの設定です。IPSec SAの確立に使用します。
ipsec autokey-proposalコマンドで暗号/認証方式を選択し、ipsec autokey-mapコマンドで接続先アドレスとIPSec処理を適用するトラフィック(ip access-listコマンドで指定)の指定を行います。 - プロキシDNSの設定です。
LAN側端末には、DNSサーバのアドレスとしてルータR1のLAN側アドレス(192.168.1.254)を登録します。
ルータR1は、端末からのDNS問い合わせを、上位DNSサーバであるISPのDNSサーバへ転送します。 - OSPFの設定です。
networkコマンドで、OSPFを動作させるインタフェースを設定します(インタフェースGigaEthernet2.0は、同一リンク内に他のOSPFルータが存在しないため、パッシブインタフェースとします)。
また、ルータR2のLAN側端末から、ルータR1を経由してインターネットへアクセスできるように、デフォルトルートを広告します。 - ISPに接続するためのIDとパスワードを設定します。
- ISDN回線で、ルータR2と相互認証するためのIDとパスワードを設定します。
- フレッツ・VPNワイドに接続するためのIDとパスワードを設定します。
- BRIポートの設定です。
交換機種別の設定(ins64:再起動が必要)と、自局電話番号を設定します。 - LAN側インタフェースGigaEthernet2.0の設定です。
- フレッツ・VPNワイド接続用インタフェースGigaEthernet0.1の設定です。
- インターネット接続用インタフェースGigaEthernet0.2の設定です。
インターネットに接続するためのアドレス変換(NAPT)の設定が必要です。 - ISDN接続用インタフェースDialer0の設定です。
ルータR2の電話番号の設定を行います。
本例では、IPアドレスはアンナンバードに設定しています。 - ループバックインタフェースLoopback0.0の設定です。
ISDN接続で使用するIPアドレスを本インタフェースに設定します。 - ルータR2とIPSecトンネルで接続するためのインタフェースTunnel0.0の設定です。
STEP2 ルータR2の設定
概要
ルータR2は、インターネット接続を、ルータR1との間で確立するIPSecトンネル経由で行います。
また、IPSecトンネル障害時にISDN回線でバックアップする設定を行います。
- (1) ip route 192.168.10.1/32 GigaEthernet0.1
- ip route 192.168.10.1/32 Null0.0 metric 100
- (2) ip route default Dialer0 distance 200
- ip ufs-cache enable
- !
- (3) ike proposal ike-prop encryption aes hash sha
- ike policy ike-policy peer 192.168.10.1 key [事前共有鍵] ike-prop
- !
- (4) ip access-list sec-list permit ip src any dest any
- ipsec autokey-proposal ipsec-prop esp-aes esp-sha
- ipsec autokey-map ipsec-map sec-list peer 192.168.10.1 ipsec-prop
- ipsec local-id ipsec-map 192.168.2.0/24
- ipsec remote-id ipsec-map 192.168.1.0/24
- !
- (5) ip router ospf 1
- router-id 200.0.0.2
- passive-interface GigaEthernet2.0
- area 0
- network GigaEthernet2.0 area 0
- network Tunnel0.0 area 0
- !
- (6) proxy-dns ip enable
- proxy-dns server 192.168.1.254
- !
- (7) ppp profile isdn
- authentication request chap
- authentication myname [ISDNユーザID]
- authentication password [ISDNユーザID] [パスワード]
- authentication password [ルータR1のISDNユーザID] [R1のパスワード]
- !
- (8) ppp profile vpn
- authentication myname [フレッツVPNへの接続ID]
- authentication password [フレッツVPNへの接続ID] [パスワード]
- !
- (9) device BRI0
- isdn switch-type ins64
- isdn answer1 [ルータR2の電話番号]
- !
- (10) interface GigaEthernet2.0
- ip address 192.168.2.254/24
- no shutdown
- !
- (11) interface GigaEthernet0.1
- encapsulation pppoe
- auto-connect
- ppp binding vpn
- ip address 192.168.20.1/32
- no shutdown
- !
- (12) interface Dialer0
- encapsulation ppp
- no auto-connect
- dialer string [ルータR1の電話番号]
- ppp binding isdn
- ip unnumbered Loopback0.0
- no shutdown
- !
- (13) interface Loopback0.0
- ip address 10.10.10.2/30
- !
- (14) interface Tunnel0.0
- tunnel mode ipsec
- ip unnumbered GigaEthernet2.0
- ip tcp adjust-mss auto
- ipsec policy tunnel ipsec-map out
- no shutdown
- ルータR1のWAN側アドレスと、フレッツ・VPNワイド経由でIPSecトンネルを確立するためのスタティックルートです。
本例では、フレッツ・VPNワイドへの接続に、インタフェースGigaEthernet0.1を使用します。
また、GigaEthernet0.1がダウンしたときに、トンネルの終点宛パケットをルータ内部で廃棄するための設定(Nullインタフェースへのルーティング)を、GigaEthernet0.1へのルーティングよりも優先度を低くして設定を行います。
注1:この設定を省略すると、GigaEthernet0.1のダウン時に、トンネルの終点宛パケットをISDN回線(Dialer0)から送信してしまいます。
注2:スタティックルートの優先度はメトリック値で指定します。 - デフォルトルートは通常OSPFで学習しますが、IPSecトンネルの障害でOSPFの経路が消滅したときに、ISDN回線でバックアップするためのデフォルトルート設定(フローティングスタティック)を行います。
本例では、ISDN接続用インタフェースとしてDialer0を使用します。
注1:OSPFとスタティックルートの優先度の調整はディスタンス値で行います。OSPFのディスタンス値はデフォルト「110」です。 - IKEの設定です。ISAKMP SAの確立に使用します。
ike proposalコマンドで暗号/認証方式を選択し、ike policyコマンドで接続先アドレスと事前共有鍵を登録します。 - IPSecの設定です。IPSec SAの確立に使用します。
ipsec autokey-proposalコマンドで暗号/認証方式を選択し、ipsec autokey-mapコマンドで接続先アドレスとIPSec処理を適用するトラフィック(ip access-listコマンドで指定)の指定を行います。 - OSPFの設定です。
networkコマンドで、OSPFを動作させるインタフェースを設定します(インタフェースGigaEthernet2.0は、同一リンク内に他のOSPFルータが存在しないため、パッシブインタフェースとします)。 - プロキシDNSの設定です。
LAN側端末には、DNSサーバのアドレスとしてルータR2のLAN側アドレス(192.168.2.254)を登録します。
ルータR2は、LAN側端末からのDNS問い合わせを、上位DNSサーバであるルータR1へ転送します。 - ISDN回線で、ルータR1と相互認証するためのIDとパスワードを設定します。
- フレッツ・VPNワイドに接続するためのIDとパスワードを設定します。
- BRIポートの設定です。
交換機種別の設定(ins64:再起動が必要)と、自局電話番号を設定します。 - LAN側インタフェースGigaEthernet2.0の設定です。
- フレッツ・VPNワイド接続用インタフェースGigaEthernet0.1の設定です。
- ISDN接続用インタフェースDialer0の設定です。
ルータR1の電話番号の設定を行います。
本例では、IPアドレスはアンナンバードに設定しています。 - ループバックインタフェースLoopback0.0の設定です。
ISDN接続で使用するIPアドレスを本インタフェースに設定します。 - ルータR1とIPsecトンネルで接続するためのインタフェースTunnel0.0の設定です。
最後に設定の保存を行います。
Router(config)# write memory
資料請求・お問い合わせ