閉域網とインターネットVPNを併用 : コマンド設定

本設定例は、以下の機種に対応しています。

本社側対応機種: RTX5000 RTX3500 RTX3000

拠点1、拠点n側対応機種: RTX1210 RTX1200

閉域網とインターネットVPNを併用して帯域拡張を実現
基幹系は閉域網、情報系はインターネットVPNを利用する

データの種類に応じて、複数のネットワークを使い分けることで帯域拡張を実現するソリューションです。例えば、機密性の高い基幹系データは閉域網サービス、大容量化する情報系データはインターネットVPNを利用します。QoS機能も活用することで帯域の有効活用も実現します。

図 閉域網とインターネットVPNを併用 : コマンド設定

本社基幹系ルーター

IPアドレスの設定
(LAN側)
ip lan1 address 10.0.1.1/24
IPアドレスの設定
(IP-VPN)
ip lan3 address (本社 IP-VPN接続IP)
BGP4の設定 bgp use on
bgp autonomous-system (プロバイダに割り当てられたAS番号)
bgp neighbor 1 (プロバイダ側のAS番号) (IP-VPN網側接続ポイントのIP)
bgp import filter 1 include 10.0.1.0/24
bgp import (プロバイダ側のAS番号) static filter 1
bgp export filter 1 include all
bgp export (プロバイダ側のAS番号) filter 1

本社情報系ルーター

経路設定 ip route 10.1.0.0/24 gateway tunnel 1
ip route 10.2.0.0/24 gateway tunnel 2
ip route (拠点1のインターネット側固定IP) gateway pp 1
ip route (拠点nのインターネット側固定IP) gateway pp 1
IPアドレスの設定
(LAN側)
ip lan1 address 10.0.2.1/24
インタフェースの設定
(情報系ネットワーク)
pp select 1
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname (本社情報系のインターネット接続用アカウント) (パスワード)
ppp lcp mru on 1454
ip pp address (プロバイダより割り振られた本社情報系の固定IP)
ip pp mtu 1454
ip pp secure filter in 1001 1002 2000
ip pp secure filter out 1001 1002 2000
pp enable 1
トンネルインタフェースの設定
(拠点1)
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 (プロバイダより割り振られた本社情報系の固定IP)
ipsec ike pre-shared-key 1 text (パスワードA)
ipsec ike remote address 1 (拠点1のインターネット側固定IP)
tunnel enable 1
トンネルインタフェースの設定
(拠点n)
tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on
ipsec ike local address 2 (プロバイダより割り振られた本社情報系の固定IP)
ipsec ike pre-shared-key 2 text (パスワードB)
ipsec ike remote address 2 (拠点nのインターネット側固定IP)
tunnel enable 2
フィルターの設定 ip filter 1001 pass * * udp * 500 # 注釈1
ip filter 1002 pass * * esp # 注釈1
ip filter 2000 reject * *
IPsecを利用する上で
必須の設定
ipsec auto refresh on

拠点1

経路設定 ip route 10.0.2.0/24 gateway tunnel 1
ip route (本社情報系ルーターのWAN側IP) gateway pp 1
IPアドレスの設定
(LAN側)
ip lan1 address 10.1.0.1/24
IPアドレスの設定
(IP-VPN)
ip lan2 address (拠点1 IP-VPNへの接続IP)
インタフェースの設定
(情報系ネットワーク)
pp select 1
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname (拠点1のインターネット接続用アカウント) (パスワード)
ppp lcp mru on 1454
ip pp address (プロバイダより割り振られた拠点1の固定IP)
ip pp mtu 1454
ip pp secure filter in 1001 1002 2000
ip pp secure filter out 1001 1002 2000
pp enable 1
トンネルインタフェースの設定 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 (プロバイダより割り振られた拠点1の固定IP)
ipsec ike pre-shared-key 1 text (パスワードA)
ipsec ike remote address 1 (本社情報系ルーターのWAN側IP)
tunnel enable 1
フィルターの設定 ip filter 1001 pass * * udp * 500 # 注釈1
ip filter 1002 pass * * esp # 注釈1
ip filter 2000 reject * *
BGP4の設定 bgp use on
bgp autonomous-system (プロバイダに割り当てられたAS番号)
bgp neighbor 1 (プロバイダ側のAS番号) (IP-VPN網側接続ポイントのIP)
bgp import filter 1 include 10.1.0.0/24
bgp import (プロバイダ側のAS番号) static filter 1
bgp export filter 1 include all
bgp export (プロバイダ側のAS番号) filter 1
IPsecを利用する上で
必須の設定
ipsec auto refresh on

拠点n

経路設定 ip route 10.0.2.0/24 gateway tunnel 1
ip route (本社情報系ルーターのWAN側IP) gateway pp 1
IPアドレスの設定
(LAN側)
ip lan1 address 10.2.0.1/24
回線種別を設定 line type bri1 l128
インタフェースの設定
(情報系ネットワーク)
pp select 1
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname (拠点nのインターネット接続用アカウント) (パスワード)
ppp lcp mru on 1454
ip pp address (プロバイダより割り振られた拠点nの固定IP)
ip pp mtu 1454
ip pp secure filter in 1001 1002 2000
ip pp secure filter out 1001 1002 2000
pp enable 1
インタフェースの設定
(基幹系ネットワーク)
pp select 2
pp bind bri1
ip pp address (拠点n IP-VPNへの接続IP)
ip pp remote address (IP-VPN網側接続ポイントのIP)
pp enable 2
トンネルインタフェースの設定 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 (プロバイダより割り振られた拠点nの固定IP)
ipsec ike pre-shared-key 1 text (パスワードB)
ipsec ike remote address 1 (本社情報系ルーターのWAN側IP)
tunnel enable 1
フィルターの設定 ip filter 1001 pass * * udp * 500 # 注釈1
ip filter 1002 pass * * esp # 注釈1
ip filter 2000 reject * *
BGP4の設定 bgp use on
bgp autonomous-system (プロバイダに割り当てられたAS番号)
bgp neighbor 1 (プロバイダ側のAS番号) (IP-VPN網側接続ポイントのIP)
bgp import filter 1 include 10.2.0.0/24
bgp import (プロバイダ側のAS番号) static filter 1
bgp export filter 1 include all
bgp export (プロバイダ側のAS番号) filter 1
IPsecを利用する上で
必須の設定
ipsec auto refresh on

[注釈の説明]

注釈1:
VPN(IPsec)に関係するパケットを通過させる設定です。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。