複数回線同時利用によるトラフィック分散および冗長構成で安心ネットワーク : コマンド設定

センター側の多重化と、拠点側のISDNバックアップで安心ネットワークを実現

本設定例は、以下の機種に対応しています。

センター側対応機種: RTX5000 RTX3500

拠点1、拠点2側対応機種: RTX1210 RTX1200

複数回線同時利用によるトラフィック分散および冗長構成で安心ネットワーク : コマンド設定 正常時

センター側で使用するルーターについて

グループ 仮想IPアドレス センター側で使用するルーター
VRRP1 192.168.0.10 RTX5000(1)
VRRP2 192.168.0.11 RTX5000(2)

拠点側で使用する経路について

拠点 拠点側で使用する経路
拠点1 VPN(主系:RTX5000(1)宛て)
拠点2 VPN(主系:RTX5000(2)宛て)
下矢印:障害発生/上矢印:復旧 複数回線同時利用によるトラフィック分散および冗長構成で安心ネットワーク : コマンド設定 センター側の回線異常時(VRRP機能使用)

センター側で使用するルーターについて

グループ 仮想IPアドレス センター側で使用するルーター
VRRP1 192.168.0.10 RTX5000(2)
VRRP2 192.168.0.11 RTX5000(2)
複数回線同時利用によるトラフィック分散および冗長構成で安心ネットワーク : コマンド設定 拠点側の回線異常時(ネットワークバックアップ機能使用)

拠点側で使用する経路について

拠点 拠点側で使用する経路
拠点1 ISDN(RTX5000(3)宛て)
拠点2 VPN(主系:RTX5000(2)宛て)

設定例の概要

センターに3本の回線を収容したバックアップソリューションです。
また、拠点を複数のグループに分割して複数の回線にトラフィックを分散させています。
冗長性を高めつつ、回線の有効利用を実現します。

なお、センター側のルーター(RTX5000, RTX3500)でISDNを使用するには、 BRIモジュール もしくは PRIモジュール の搭載が必要です。本設定例は、PRIモジュール(YBC-1PRI-M) を搭載した前提で説明します。

センターの設定について

  • WWWサーバーは、インターネットに公開します。LANに設置したサーバーは、拠点側からアクセスされる構成です。
  • 2台のルーターでインターネット回線を二重化するとともに、もう1台のルーターでISDNのバックアップ回線を収容します。機器や回線に障害が発生したときは、VRRP機能によって、残りのインターネット回線やISDN回線を使って拠点と接続します。
  • VRRPは、3台のルーターで構成します。
  • 2つのVRRPグループを定義して、使用する回線の優先順位を変えます。
    VRRP1はグループ1の拠点と対応するもので、VRRP2はグループ2の拠点と対応するものです。
    RTX5000(1)ではVRRP1を、RTX5000(2)ではVRRP2の優先度を高くします。
    この優先度の違いによって通信の負荷分散を実現しています。
    グループ 仮想IPアドレス センター側で使用するルーターの優先順位
    VRRP1 192.168.0.10 RTX5000(1)→ RTX5000(2)→ RTX5000(3)
    VRRP2 192.168.0.11 RTX5000(2)→ RTX5000(1)→ RTX5000(3)
  • LANに設置したサーバーでは、各VRRPグループの仮想IPアドレスをゲートウェイに指定しておく必要があります。
    例えば、グループ1に対する経路のゲートウェイは、VRRP1の仮想IPアドレス(192.168.0.10)になります。
    同様に、グループ2に対する経路のゲートウェイは、VRRP2の仮想IPアドレス(192.168.0.11)になります。

拠点の設定について

  • ISDNのバックアップ回線を収容していますので、インターネット回線に障害が発生したときには、ネットワークバックアップ機能によって、ISDN回線を使ってセンターに接続します。
    拠点 拠点側で使用する経路の優先順位
    拠点1 VPN(主系:RTX5000(1)宛て)→ VPN(従系:RTX5000(2)宛て)→ ISDN(RTX5000(3)宛て)
    拠点2 VPN(主系:RTX5000(2)宛て)→ VPN(従系:RTX5000(1)宛て)→ ISDN(RTX5000(3)宛て)

センター RTX5000(1)の設定例

ゲートウェイと
ネットワークバックアップ
の設定
ip route default gateway pp 1
ip route 192.168.1.0/24 gateway tunnel 1 keepalive 1 gateway 192.168.0.2 weight 0 keepalive 11 gateway 192.168.0.3 weight 0 # 注釈1
ip route 192.168.1.1 gateway tunnel 1
ip route 192.168.2.0/24 gateway tunnel 2 keepalive 2 gateway 192.168.0.3 weight 0 # 注釈1
ip route 192.168.2.1 gateway tunnel 2
ip icmp redirect send off # 注釈2
ip keepalive 1 icmp-echo 5 5 192.168.1.1 # 注釈3
ip keepalive 2 icmp-echo 5 5 192.168.2.1 # 注釈3
ip keepalive 11 icmp-echo 5 5 192.168.0.2 # 注釈3
LANの
インタフェースの設定
ip lan1 address 192.168.0.1/24
DMZの
インタフェースの設定
ip lan2 address 192.168.10.1/24
ip lan2 secure filter in 2000
ip lan2 secure filter out 3000 dynamic 101 200
VRRPの設定 ip lan1 vrrp 1 192.168.0.10 priority=200 # 注釈4
ip lan1 vrrp shutdown trigger 1 pp 1
ip lan1 vrrp 2 192.168.0.11 priority=100 # 注釈4
ip lan1 vrrp shutdown trigger 2 pp 1
WAN(ISP1)の
インタフェースの設定
pp select 1
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname (ISP1に接続するID) (ISP1に接続するパスワード)
ppp lcp mru on 1454
ip pp address (RTX5000(1)の固定グローバルIPアドレス)
ip pp mtu 1454
ip pp secure filter in 1020 1030 1031 1040 1041 2000 dynamic 201
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
ip pp nat descriptor 1
pp enable 1
VPN(IPsec)の設定 ipsec auto refresh on
VPN(IPsec)の設定
(拠点1)
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.0.1
ipsec ike pre-shared-key 1 text (拠点1との事前共有鍵)
ipsec ike remote address 1 any
ipsec ike remote name 1 (拠点1に設定された名前) key-id
tunnel enable 1
VPN(IPsec)の設定
(拠点2)
tunnel select 2
ipsec tunnel 102
ipsec sa policy 102 2 esp aes-cbc sha-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on
ipsec ike local address 2 192.168.0.1
ipsec ike pre-shared-key 2 text (拠点2との事前共有鍵)
ipsec ike remote address 2 any
ipsec ike remote name 2 (拠点2に設定された名前) key-id
tunnel enable 2
フィルターの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 1031 pass * 192.168.10.2 tcpflag=0x0002/0x0fff * www # 注釈5
ip filter 1040 pass * 192.168.0.1 udp * 500 # 注釈6
ip filter 1041 pass * 192.168.0.1 esp # 注釈6
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 200 192.168.0.0/24 * telnet # 注釈7
ip filter dynamic 201 * 192.168.10.2 www # 注釈8
NATの設定 nat descriptor type 1 masquerade
nat descriptor address outer 1 (RTX5000(1)の固定グローバルIPアドレス)
nat descriptor masquerade static 1 1 192.168.0.1 udp 500 # 注釈6
nat descriptor masquerade static 1 2 192.168.0.1 esp # 注釈6
nat descriptor masquerade static 1 3 192.168.10.2 tcp www # 注釈9
DHCPの設定 dhcp service server
dhcp scope 1 192.168.0.101-192.168.0.200/24
DNSの設定 dns server (ISP1より指定されたDNSサーバーのIPアドレス)
dns private address spoof on

センター RTX5000(2)の設定例

ゲートウェイと
ネットワークバックアップ
の設定
ip route default gateway pp 1
ip route 192.168.1.0/24 gateway tunnel 1 keepalive 1 gateway 192.168.0.3 weight 0 # 注釈1
ip route 192.168.1.1 gateway tunnel 1
ip route 192.168.2.0/24 gateway tunnel 2 keepalive 2 gateway 192.168.0.1 weight 0 keepalive 12 gateway 192.168.0.3 weight 0 # 注釈1
ip route 192.168.2.1 gateway tunnel 2
ip icmp redirect send off # 注釈2
ip keepalive 1 icmp-echo 5 5 192.168.1.1 # 注釈3
ip keepalive 2 icmp-echo 5 5 192.168.2.1 # 注釈3
ip keepalive 12 icmp-echo 5 5 192.168.0.1 # 注釈3
LANの
インタフェースの設定
ip lan1 address 192.168.0.2/24
VRRPの設定 ip lan1 vrrp 1 192.168.0.10 priority=100 # 注釈4
ip lan1 vrrp shutdown trigger 1 pp 1
ip lan1 vrrp 2 192.168.0.11 priority=200 # 注釈4
ip lan1 vrrp shutdown trigger 2 pp 1
WAN(ISP2)の
インタフェースの設定
pp select 1
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname (ISP2に接続するID) (ISP2に接続するパスワード)
ppp lcp mru on 1454
ip pp address (RTX5000(2)の固定グローバルIPアドレス)
ip pp mtu 1454
ip pp secure filter in 1020 1030 1040 1041 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
ip pp nat descriptor 1
pp enable 1
VPN(IPsec)の設定 ipsec auto refresh on
VPN(IPsec)の設定
(拠点1)
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.0.2
ipsec ike pre-shared-key 1 text (拠点1との事前共有鍵)
ipsec ike remote address 1 any
ipsec ike remote name 1 (拠点1に設定された名前) key-id
tunnel enable 1
VPN(IPsec)の設定
(拠点2)
tunnel select 2
ipsec tunnel 102
ipsec sa policy 102 2 esp aes-cbc sha-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on
ipsec ike local address 2 192.168.0.2
ipsec ike pre-shared-key 2 text (拠点2との事前共有鍵)
ipsec ike remote address 2 any
ipsec ike remote name 2 (拠点2に設定された名前) key-id
tunnel enable 2
フィルターの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 1040 pass * 192.168.0.2 udp * 500 # 注釈6
ip filter 1041 pass * 192.168.0.2 esp # 注釈6
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
NATの設定 nat descriptor type 1 masquerade
nat descriptor address outer 1 (RTX5000(2)の固定グローバルIPアドレス)
nat descriptor masquerade static 1 1 192.168.0.2 udp 500 # 注釈6
nat descriptor masquerade static 1 2 192.168.0.2 esp # 注釈6
DNSの設定 dns server (ISP2より指定されたDNSサーバーのIPアドレス)
dns private address spoof on

センター RTX5000(3)の設定例

ゲートウェイの設定 ip route 192.168.1.0/24 gateway pp anonymous name= (ユーザー名A)
ip route 192.168.2.0/24 gateway pp anonymous name= (ユーザー名B)
LANの
インタフェースの設定
ip lan1 address 192.168.0.3/24
VRRPの設定 ip lan1 vrrp 1 192.168.0.10 priority=50
ip lan1 vrrp 2 192.168.0.11 priority=50
WAN(ISDN PRI)の
インタフェースの設定
line type pri1 isdn-ntt
isdn local address pri1 (RTX5000(3)の回線番号)
pp select anonymous
pp bind pri1
pp auth request chap
pp auth username (ユーザー名A) (パスワードA)
pp auth username (ユーザー名B) (パスワードB)
pp enable anonymous

拠点1 RTX1210(1)の設定例

ゲートウェイと
ネットワークバックアップ
の設定設定
ip route default gateway pp 1
ip route 192.168.0.0/24 gateway tunnel 1 keepalive 1 gateway tunnel 2 weight 0 keepalive 2 gateway pp 2 weight 0 # 注釈1
ip route 192.168.0.1 gateway tunnel 1
ip route 192.168.0.2 gateway tunnel 2
ip keepalive 1 icmp-echo 5 5 192.168.0.1 # 注釈3
ip keepalive 2 icmp-echo 5 5 192.168.0.2 # 注釈3
LANの
インタフェースの設定
ip lan1 address 192.168.1.1/24
WAN(ISP3)の
インタフェースの設定
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP3に接続するID) (ISP3に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp secure filter in 1001 1002 1020 1021 1022 1023 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
ip pp nat descriptor 1
pp enable 1
WAN(ISDN回線)の設定 pp select 2
pp bind bri1
isdn remote address call (RTX5000(3)の回線番号)
pp auth accept chap
pp auth myname (ユーザー名A) (パスワードA)
pp enable 2
VPN(IPsec)の設定 ipsec auto refresh on
VPN(IPsec)の設定
(主系)

tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.1.1
ipsec ike local name 1 (拠点1の名前) key-id
ipsec ike pre-shared-key 1 text (RTX5000(1)との事前共有鍵)
ipsec ike remote address 1 (RTX5000(1)の固定グローバルIPアドレス)

tunnel enable 1

VPN(IPsec)の設定
(従系)
tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on
ipsec ike local address 2 192.168.1.1
ipsec ike local name 2 (拠点1の名前) key-id
ipsec ike pre-shared-key 2 text (RTX5000(2)との事前共有鍵)
ipsec ike remote address 2 (RTX5000(2)の固定グローバルIPアドレス)
tunnel enable 2
フィルターの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1001 reject 192.168.1.0/24 *
ip filter 1002 pass * 192.168.1.0/24 icmp
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 pass (RTX5000(1)の固定グローバルIPアドレス) 192.168.1.1 udp * 500 # 注釈6
ip filter 1021 pass (RTX5000(1)の固定グローバルIPアドレス) 192.168.1.1 esp # 注釈6
ip filter 1022 pass (RTX5000(2)の固定グローバルIPアドレス) 192.168.1.1 udp * 500 # 注釈6
ip filter 1023 pass (RTX5000(2)の固定グローバルIPアドレス) 192.168.1.1 esp # 注釈6
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
NATの設定 nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.1.1 udp 500 # 注釈6
nat descriptor masquerade static 1 2 192.168.1.1 esp # 注釈6
DHCPの設定 dhcp service server
dhcp scope 1 192.168.1.2-192.168.1.100/24
DNSの設定 dns server (ISP3から指定されたDNSサーバーのIPアドレス)
dns private address spoof on

拠点2 RTX1210(2)の設定例

ゲートウェイと
ネットワークバックアップ
の設定設定
ip route default gateway pp 1
ip route 192.168.0.0/24 gateway tunnel 2 keepalive 2 gateway tunnel 1 weight 0 keepalive 1 gateway pp 2 weight 0 # 注釈1
ip route 192.168.0.1 gateway tunnel 1
ip route 192.168.0.2 gateway tunnel 2
ip keepalive 1 icmp-echo 5 5 192.168.0.1 # 注釈3
ip keepalive 2 icmp-echo 5 5 192.168.0.2 # 注釈3
LANの
インタフェースの設定
ip lan1 address 192.168.2.1/24
WAN(ISP4)の
インタフェースの設定
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP4に接続するID) (ISP4に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp secure filter in 1001 1002 1020 1021 1022 1023 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
ip pp nat descriptor 1
pp enable 1
WAN(ISDN回線)の設定 pp select 2
pp bind bri1
isdn remote address call (RTX5000(3)の回線番号)
pp auth accept chap
pp auth myname (ユーザー名B) (パスワードB)
pp enable 2
VPN(IPsec)の設定 ipsec auto refresh on
VPN(IPsec)の設定
(従系)
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.2.1
ipsec ike local name 1 (拠点2の名前) key-id
ipsec ike pre-shared-key 1 text (RTX5000(1)との事前共有鍵)
ipsec ike remote address 1 (RTX5000(1)の固定グローバルIPアドレス)
tunnel enable 1
VPN(IPsec)の設定
(主系)
tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on
ipsec ike local address 2 192.168.2.1
ipsec ike local name 2 (拠点2の名前) key-id
ipsec ike pre-shared-key 2 text (RTX5000(2)との事前共有鍵)
ipsec ike remote address 2 (RTX5000(2)の固定グローバルIPアドレス)
tunnel enable 2
フィルターの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1001 reject 192.168.2.0/24 *
ip filter 1002 pass * 192.168.2.0/24 icmp
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 pass (RTX5000(1)の固定グローバルIPアドレス) 192.168.2.1 udp * 500 # 注釈6
ip filter 1021 pass (RTX5000(1)の固定グローバルIPアドレス) 192.168.2.1 esp # 注釈6
ip filter 1022 pass (RTX5000(2)の固定グローバルIPアドレス) 192.168.2.1 udp * 500 # 注釈6
ip filter 1023 pass (RTX5000(2)の固定グローバルIPアドレス) 192.168.2.1 esp # 注釈6
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
NATの設定 nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.2.1 udp 500 # 注釈6
nat descriptor masquerade static 1 2 192.168.2.1 esp # 注釈6
DHCPの設定 dhcp service server
dhcp scope 1 192.168.2.2-192.168.2.100/24
DNSの設定 dns server (ISP4から指定されたDNSサーバーのIPアドレス)
dns private address spoof on

[注釈の説明]

注釈1:
ネットワークバックアップ機能による経路選択の設定です。keepaliveで指定した設定により、宛先への導通を判断し自動的に経路を選択します。

注釈2:
不必要なICMP redirectメッセージの送出を押さえるための設定です。

注釈3:
ネットワークバックアップ機能を動作させるためのkeepaliveの設定です。この設定により、対象となったIPアドレスにパケットが到達可能かどうかを常に監視します。

注釈4:
VRRPのグループと優先度の設定です。

注釈5、注釈8:
注釈5は、WWWサーバーへのアクセスのうち、最初のパケット(SYN)だけを通すフィルターです。その後に引き続く通信は、注釈8の動的フィルターで通します。

注釈6:
VPN(IPsec)に関係するパケットを通過させる設定です。

注釈7:
WWWサーバーをメンテナンスするために使うtelnetの通信を通すフィルターです。

注釈9:
NATの影響で外側からのアクセスができなくなるので、WWWサーバーへアクセスできるように穴を開けます。