インターネットVPNと適応型QoSを利用する

本設定例では、IPsecトンネル機能と適応型QoS機能を使用しています。

IPsecトンネル機能の対応機種は、RTX5000RTX3500RTX3000RTX1210RTX1200RTX830RTX810NVR700WFWX120です。

適応型QoS機能の対応機種は、RTX5000RTX3500RTX3000RTX1210RTX1200RTX830RTX810NVR700WFWX120です。

インターネットVPNと適応型QoSを利用する

インターネットVPNを利用して、センターと複数の拠点を接続します。
IPsec機能とヤマハ独自のQoS機能「適応型QoS」を利用することで、ベストエフォート回線を使った安全かつ効率的なネットワークを安価に組むことが可能です。

光回線に接続するためには、別途ONUが必要です。
NVR700Wは、本体のONUポートに小型ONUを装着することで、光回線に接続できます。

ヤマハ独自のQoS機能「適応型QoS」搭載

ヤマハルーターで実現するベストエフォート回線を効率的に利用可能なQoS機能を搭載しました。拠点ごとの経路に対して帯域制御と優先制御の適用が可能な階層型QoSや、QoS連携機能として負荷通知機能、帯域検出機能を搭載し、ネットワーク全体のQoSを向上する仕組みを提供します。

全体構成

ここでは、本社および拠点1と拠点2の設定例を示します。

本社~拠点間は、VoIPによる通話を行います。
本社に、業務用のアプリケーションサーバーが置かれています。各拠点から、このアプリケーションサーバーにアクセスします。
また、本社~拠点間では、社内でのWWWアクセスが発生します。

階層型QoS機能を使用し、本社センタールーターにおいて、第一階層として拠点1向け、拠点2向けそれぞれに帯域制限をかけ、保証帯域と上限帯域を割り当てます。
また、第二階層として、それぞれの帯域の中で優先制御によるクラス分けを行います。
優先順位1位:VoIPによる通話
優先順位2位:業務アプリケーションサーバーとの通信
優先順位3位:社内でのWWWアクセス
とします。

帯域検出機能を併用し、本社センタールーターを帯域検出用サーバーとし、各拠点のルーターをクライアントに設定します。
各拠点では本社に向けた経路での帯域検出動作を行い、LANインターフェースのspeedコマンドに測定結果が反映されます。

対応機種のうち、設定例を掲載している機種は、以下のとおりです。

機種 掲載内容 備考
本社 RTX5000 RTX3500 RTX3000 コマンド設定例 IPsecトンネル機能、適応型QoS機能
拠点1 RTX1210 RTX1200 RTX830 RTX810 NVR700W FWX120 コマンド設定例 IPsecトンネル機能、適応型QoS機能
拠点2 RTX1210 RTX1200 RTX830 RTX810 NVR700W FWX120 コマンド設定例 IPsecトンネル機能、適応型QoS機能

本社 センタールーターの設定

LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 172.16.0.254/24
送出帯域の設定 speed lan3 50m
Queueの設定 queue lan3 type shaping
queue lan3 class property 3 bandwidth=3m,10m
queue lan3 class property 4 bandwidth=2m,10m
WAN(ISP1)のインターフェースの設定
(LAN3ポートを使用)
pp select 1
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname (ISP1へ接続するID) (ISP1へ接続するパスワード)
ppp lcp mru on 1454
ip pp address (本社のグローバルアドレス)
ip pp mtu 1454
ip pp secure filter in 1001 1002 20000
ip pp secure filter out 1101 1102 20000
pp enable 1
ip route (拠点1のグローバルアドレス) gateway pp 1
ip route (拠点2のグローバルアドレス) gateway pp 1
VPNの設定
(共通項目)
ipsec auto refresh on
VPNの設定
(拠点1)
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac anti-replay-check=off
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 (本社のグローバルアドレス)
ipsec ike pre-shared-key 1 text (パスワード1)
ipsec ike remote address 1 (拠点1のグローバルアドレス)
queue tunnel class filter list 1 2 3 4
tunnel enable 1
ip route 172.16.1.0/24 gateway tunnel 1
VPNの設定
(拠点2)
tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac anti-replay-check=off
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on
ipsec ike local address 2 (本社のグローバルアドレス)
ipsec ike pre-shared-key 2 text (パスワード2)
ipsec ike remote address 2 (拠点2のグローバルアドレス)
queue tunnel class filter list 5 6 7 8
tunnel enable 2
ip route 172.16.2.0/24 gateway tunnel 2
フィルターの設定 ip filter 1001 pass * (本社のグローバルアドレス) esp # 注釈1
ip filter 1002 pass * (本社のグローバルアドレス) udp * 500 # 注釈1
ip filter 1101 pass (本社のグローバルアドレス) * esp # 注釈1
ip filter 1102 pass (本社のグローバルアドレス) * udp * 500 # 注釈1
ip filter 20000 reject * *
ip filter 30000 pass * *
帯域検出機能の設定 cooperation bandwidth-measuring server on
cooperation bandwidth-measuring remote 1 client 172.16.1.254
cooperation bandwidth-measuring remote 2 client 172.16.2.254
Queueの設定
(優先パケットのフィルター定義)
queue class filter 1 3/4 ip * 172.16.1.0/24 udp 5004-5060 * #VoIP通話
queue class filter 2 3/4 ip * 172.16.1.0/24 udp * 5004-5060 #VoIP通話
queue class filter 3 3/3 ip 172.16.0.150 172.16.1.0/24 * #業務アプリケーション
queue class filter 4 3/1 ip 172.16.0.200 172.16.1.0/24 tcp www * #社内WWWアクセス
queue class filter 5 4/4 ip * 172.16.2.0/24 udp 5004-5060 * #VoIP通話
queue class filter 6 4/4 ip * 172.16.2.0/24 udp * 5004-5060 #VoIP通話
queue class filter 7 4/3 ip 172.16.0.150 172.16.2.0/24 * #業務アプリケーション
queue class filter 8 4/1 ip 172.16.0.200 172.16.2.0/24 tcp www * #社内WWWアクセス
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 172.16.0.1-172.16.0.100/24

拠点1 ルーター(1)の設定

LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 172.16.1.254/24
Queueの設定 queue lan2 type priority
WAN(ISP2)のインターフェースの設定
(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP2へ接続するID) (ISP2へ接続するパスワード)
ppp lcp mru on 1454
ip pp address (拠点1のグローバルアドレス)
ip pp mtu 1454
pp enable 1
ip route (本社のグローバルアドレス) gateway pp 1
VPNの設定
(共通項目)
ipsec auto refresh on
VPNの設定 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac anti-replay-check=off
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 (拠点1のグローバルアドレス)
ipsec ike pre-shared-key 1 text (パスワード1)
ipsec ike remote address 1 (本社のグローバルアドレス)
queue tunnel class filter list 1 2 3 4
tunnel enable 1
ip route 172.16.0.0/24 gateway tunnel 1
帯域検出機能の設定 cooperation bandwidth-measuring client on
cooperation bandwidth-measuring remote 1 server 172.16.0.254 syslog=on
Queueの設定
(優先パケットのフィルター定義)
queue class filter 1 4 ip 172.16.1.0/24 * udp 5004-5060 *
queue class filter 2 4 ip 172.16.1.0/24 * udp * 5004-5060
queue class filter 3 3 ip 172.16.1.0/24 172.16.0.150
queue class filter 4 1 ip 172.16.1.0/24 172.16.0.200 tcp * www
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 172.16.1.1-172.16.1.100/24

拠点2 ルーター(2)の設定

LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 172.16.2.254/24
Queueの設定 queue lan2 type priority
WAN(ISP3)のインターフェースの設定
(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP3へ接続するID) (ISP3へ接続するパスワード)
ppp lcp mru on 1454
ip pp address (拠点2のグローバルアドレス)
ip pp mtu 1454
pp enable 1
ip route (本社のグローバルアドレス) gateway pp 1
VPNの設定
(共通項目)
ipsec auto refresh on
VPNの設定 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac anti-replay-check=off
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 (拠点2のグローバルアドレス)
ipsec ike pre-shared-key 1 text (パスワード2)
ipsec ike remote address 1 (本社のグローバルアドレス)
queue tunnel class filter list 1 2 3 4
tunnel enable 1
ip route 172.16.0.0/24 gateway tunnel 1
帯域検出機能の設定 cooperation bandwidth-measuring client on
cooperation bandwidth-measuring remote 1 server 172.16.0.254 syslog=on
Queueの設定
(優先パケットのフィルター定義)
queue class filter 1 4 ip 172.16.2.0/24 * udp 5004-5060 *
queue class filter 2 4 ip 172.16.2.0/24 * udp * 5004-5060
queue class filter 3 3 ip 172.16.2.0/24 172.16.0.150
queue class filter 4 1 ip 172.16.2.0/24 172.16.0.200 tcp * www
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 172.16.2.1-172.16.2.100/24

[注釈の説明]

注釈1:
VPN(IPsec)に関係するパケットを通過させる設定です。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。