多対地接続で、確実な帯域配分を行う : コマンド設定

本設定例では、階層型QoS機能とIPsecトンネル機能を使用しています。

階層型QoS機能の対応機種は、RTX5000RTX3500RTX3000です。

IPsecトンネル機能の対応機種は、RTX5000RTX3500RTX3000RTX1210RTX1200RTX830RTX810NVR700WFWX120です。

階層型QoS機能の利用イメージ

センター側の限られた帯域を有効活用するために「階層型QoS機能」を利用することで、より確実な帯域配分を行うことができます。拠点ごとの経路に対して帯域制御と優先制御の併用が可能です。
センターと拠点側は、IPsecトンネルで接続しています。

光回線に接続するためには、別途ONUが必要です。
NVR700Wは、本体のONUポートに小型ONUを装着することで、光回線に接続できます。

対応機種のうち、設定例を掲載している機種は、以下のとおりです。

機種 掲載内容 備考
本社 RTX5000 RTX3500 RTX3000 コマンド設定例 階層型QoS機能、IPsecトンネル機能
拠点1 RTX1210 RTX1200 RTX830 RTX810 NVR700W FWX120 コマンド設定例 IPsecトンネル機能
拠点100 RTX1210 RTX1200 RTX830 RTX810 NVR700W FWX120 コマンド設定例 IPsecトンネル機能

本社 センタールーター

経路設定
(デフォルトゲートウェイ)
ip route default gateway pp 1
LANインターフェースの設定 ip lan1 address 172.16.1.1/24
送出帯域の設定 speed lan3 10m
Queueの設定 queue lan3 type shaping
queue lan3 class property 1 bandwidth=1m,3m
queue lan3 class property 2 bandwidth=2m,3m
WANインターフェースの設定 pp select 1
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname (ISP1に接続するID) (ISP1に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ip pp address (グローバルアドレス1)
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
VPN(IPsec)の設定
(拠点1)
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac anti-replay-check=off
ipsec ike keepalive use 1 on
ipsec ike local address 1 172.16.1.1
ipsec ike pre-shared-key 1 text (パスワード1)
ipsec ike remote address 1 (グローバルアドレス2)
queue tunnel class filter list 1 2 3
tunnel enable 1
ip route 172.16.2.0/24 gateway tunnel 1
VPN(IPsec)の設定
(拠点100)
tunnel select 2
ipsec tunnel 102
ipsec sa policy 102 2 esp aes-cbc sha-hmac anti-replay-check=off
ipsec ike keepalive use 2 on
ipsec ike local address 2 172.16.1.1
ipsec ike pre-shared-key 2 text (パスワード2)
ipsec ike remote address 2 (グローバルアドレス3)
queue tunnel class filter list 4 5 6 7 8
tunnel enable 2
ip route 172.16.3.0/24 gateway tunnel 2
Queueの設定
(優先パケットのフィルター定義 )
queue class filter 1 1/4 ip * 172.16.2.0/24 udp 5004-5060 *
queue class filter 2 1/4 ip * 172.16.2.0/24 udp * 5004-5060
queue class filter 3 1 ip * 172.16.2.0/24 * * *
queue class filter 4 2/4 ip * 172.16.3.0/24 udp 5004-5060 *
queue class filter 5 2/4 ip * 172.16.3.0/24 udp * 5004-5060
queue class filter 6 2/1 ip * 172.16.3.0/24 tcp www *
queue class filter 7 2/1 ip * 172.16.3.0/24 tcp * www
queue class filter 8 2 ip * 172.16.3.0/24 * * *
NATの設定 nat descriptor type 1 masquerade
nat descriptor address outer 1 (グローバルアドレス1)
nat descriptor masquerade static 1 1 172.16.1.1 udp 500 # 注釈1
nat descriptor masquerade static 1 2 172.16.1.1 esp # 注釈1
DNSの設定 dns server (ISP1から指定されたDNSサーバーのIPアドレス)
dns private address spoof on

※ 必要であればフィルタリング設定を追加します。

拠点1 ルーター(1)

経路設定
(デフォルトゲートウェイ)
ip route default gateway pp 1
LANインターフェースの設定 ip lan1 address 172.16.2.1/24
WANインターフェースの設定 pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP2に接続するID) (ISP2に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ip pp address (グローバルアドレス2)
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
VPN(IPsec)の設定
(共通設定)
ipsec auto refresh on
VPN(IPsec)の設定 tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac anti-replay-check=off
ipsec ike keepalive use 1 on
ipsec ike local address 2 172.16.2.1
ipsec ike pre-shared-key 1 text (パスワード1)
ipsec ike remote address 1 (グローバルアドレス1)
tunnel enable 1
ip route 172.16.1.0/24 gateway tunnel 1
NATの設定 nat descriptor type 1 masquerade
nat descriptor address outer 1 (グローバルアドレス2)
nat descriptor masquerade static 1 1 172.16.2.1 udp 500 # 注釈1
nat descriptor masquerade static 1 2 172.16.2.1 esp # 注釈1
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 172.16.2.2-172.16.2.191/24
DNSの設定 dns server (ISP2から指定されたDNSサーバーのIPアドレス)
dns private address spoof on

※ 必要であればフィルタリング設定を追加します。

拠点100 ルーター(2)

経路設定
(デフォルトゲートウェイ)
ip route default gateway pp 1
LANインターフェースの設定 ip lan1 address 172.16.3.1/24
WANインターフェースの設定 pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP3に接続するID) (ISP3に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ip pp address (グローバルアドレス3)
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
VPN(IPsec)の設定
(共通設定)
ipsec auto refresh on
VPN(IPsec)の設定 tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac anti-replay-check=off
ipsec ike keepalive use 1 on
ipsec ike local address 2 172.16.3.1
ipsec ike pre-shared-key 1 text (パスワード2)
ipsec ike remote address 1 (グローバルアドレス1)
tunnel enable 1
ip route 172.16.1.0/24 gateway tunnel 1
NATの設定 nat descriptor type 1 masquerade
nat descriptor address outer 1 (グローバルアドレス3)
nat descriptor masquerade static 1 1 172.16.3.1 udp 500 # 注釈1
nat descriptor masquerade static 1 2 172.16.3.1 esp # 注釈1
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 172.16.3.2-172.16.3.191/24
DNSの設定 dns server (ISP3から指定されたDNSサーバーのIPアドレス)
dns private address spoof on

※ 必要であればフィルタリング設定を追加します。

[注釈の説明]

注釈1:
VPN(IPsec)に関係するパケットを通過させる設定です。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。