複数回線同時利用によるトラフィック分散および冗長構成で安心ネットワーク : コマンド設定

センター側の多重化と、拠点側のISDNバックアップで安心ネットワークを実現

本設定例は、以下の機種に対応しています。

センター側対応機種: RTX5000 RTX3500

拠点1、拠点2側対応機種: RTX1210 RTX1200

複数回線同時利用によるトラフィック分散および冗長構成で安心ネットワーク : コマンド設定正常時

センター側で使用するルーターについて

グループ	仮想IPアドレス	センター側で使用するルーター
VRRP1	192.168.0.10	RTX5000(1)
VRRP2	192.168.0.11	RTX5000(2)

拠点側で使用する経路について

拠点	拠点側で使用する経路
拠点1	VPN(主系:RTX5000(1)宛て)
拠点2	VPN(主系:RTX5000(2)宛て)

複数回線同時利用によるトラフィック分散および冗長構成で安心ネットワーク : コマンド設定センター側の回線異常時(VRRP機能使用)

センター側で使用するルーターについて

グループ	仮想IPアドレス	センター側で使用するルーター
VRRP1	192.168.0.10	RTX5000(2)
VRRP2	192.168.0.11	RTX5000(2)

複数回線同時利用によるトラフィック分散および冗長構成で安心ネットワーク : コマンド設定拠点側の回線異常時(ネットワークバックアップ機能使用)

拠点側で使用する経路について

拠点	拠点側で使用する経路
拠点1	ISDN(RTX5000(3)宛て)
拠点2	VPN(主系:RTX5000(2)宛て)

設定例の概要

センターに3本の回線を収容したバックアップソリューションです。
また、拠点を複数のグループに分割して複数の回線にトラフィックを分散させています。
冗長性を高めつつ、回線の有効利用を実現します。

なお、センター側のルーター(RTX5000, RTX3500)でISDNを使用するには、 BRIモジュールもしくは PRIモジュールの搭載が必要です。本設定例は、PRIモジュール(YBC-1PRI-M) を搭載した前提で説明します。

センターの設定について

WWWサーバーは、インターネットに公開します。LANに設置したサーバーは、拠点側からアクセスされる構成です。
2台のルーターでインターネット回線を二重化するとともに、もう1台のルーターでISDNのバックアップ回線を収容します。機器や回線に障害が発生したときは、VRRP機能によって、残りのインターネット回線やISDN回線を使って拠点と接続します。
VRRPは、3台のルーターで構成します。

2つのVRRPグループを定義して、使用する回線の優先順位を変えます。
VRRP1はグループ1の拠点と対応するもので、VRRP2はグループ2の拠点と対応するものです。
RTX5000(1)ではVRRP1を、RTX5000(2)ではVRRP2の優先度を高くします。
この優先度の違いによって通信の負荷分散を実現しています。

グループ	仮想IPアドレス	センター側で使用するルーターの優先順位
VRRP1	192.168.0.10	RTX5000(1)→　RTX5000(2)→　RTX5000(3)
VRRP2	192.168.0.11	RTX5000(2)→　RTX5000(1)→　RTX5000(3)

LANに設置したサーバーでは、各VRRPグループの仮想IPアドレスをゲートウェイに指定しておく必要があります。
例えば、グループ1に対する経路のゲートウェイは、VRRP1の仮想IPアドレス(192.168.0.10)になります。
同様に、グループ2に対する経路のゲートウェイは、VRRP2の仮想IPアドレス(192.168.0.11)になります。

拠点の設定について

ISDNのバックアップ回線を収容していますので、インターネット回線に障害が発生したときには、ネットワークバックアップ機能によって、ISDN回線を使ってセンターに接続します。

拠点	拠点側で使用する経路の優先順位
拠点1	VPN(主系:RTX5000(1)宛て)→　VPN(従系:RTX5000(2)宛て)→　ISDN(RTX5000(3)宛て)
拠点2	VPN(主系:RTX5000(2)宛て)→　VPN(従系:RTX5000(1)宛て)→　ISDN(RTX5000(3)宛て)

センター RTX5000(1)の設定例

下記の設定（Config）を取り出すことができます。

ゲートウェイとネットワークバックアップの設定	ip route default gateway pp 1 ip route 192.168.1.0/24 gateway tunnel 1 keepalive 1 gateway 192.168.0.2 weight 0 keepalive 11 gateway 192.168.0.3 weight 0 # 注釈1 ip route 192.168.1.1 gateway tunnel 1 ip route 192.168.2.0/24 gateway tunnel 2 keepalive 2 gateway 192.168.0.3 weight 0 # 注釈1 ip route 192.168.2.1 gateway tunnel 2 ip icmp redirect send off # 注釈2 ip keepalive 1 icmp-echo 5 5 192.168.1.1 # 注釈3 ip keepalive 2 icmp-echo 5 5 192.168.2.1 # 注釈3 ip keepalive 11 icmp-echo 5 5 192.168.0.2 # 注釈3
LANのインタフェースの設定	ip lan1 address 192.168.0.1/24
DMZのインタフェースの設定	ip lan2 address 192.168.10.1/24 ip lan2 secure filter in 2000 ip lan2 secure filter out 3000 dynamic 101 200
VRRPの設定	ip lan1 vrrp 1 192.168.0.10 priority=200 # 注釈4 ip lan1 vrrp shutdown trigger 1 pp 1 ip lan1 vrrp 2 192.168.0.11 priority=100 # 注釈4 ip lan1 vrrp shutdown trigger 2 pp 1
WAN(ISP1)のインタフェースの設定	pp select 1 pp always-on on pppoe use lan3 pp auth accept pap chap pp auth myname (ISP1に接続するID) (ISP1に接続するパスワード) ppp lcp mru on 1454 ip pp address (RTX5000(1)の固定グローバルIPアドレス) ip pp mtu 1454 ip pp secure filter in 1020 1030 1031 1040 1041 2000 dynamic 201 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 ip pp nat descriptor 1 pp enable 1
VPN(IPsec)の設定	ipsec auto refresh on
VPN(IPsec)の設定 (拠点1)	tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.0.1 ipsec ike pre-shared-key 1 text (拠点1との事前共有鍵) ipsec ike remote address 1 any ipsec ike remote name 1 (拠点1に設定された名前) key-id tunnel enable 1
VPN(IPsec)の設定 (拠点2)	tunnel select 2 ipsec tunnel 102 ipsec sa policy 102 2 esp aes-cbc sha-hmac ipsec ike keepalive log 2 off ipsec ike keepalive use 2 on ipsec ike local address 2 192.168.0.1 ipsec ike pre-shared-key 2 text (拠点2との事前共有鍵) ipsec ike remote address 2 any ipsec ike remote name 2 (拠点2に設定された名前) key-id tunnel enable 2
フィルターの設定	ip filter source-route on ip filter directed-broadcast on ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/24 * ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 1031 pass * 192.168.10.2 tcpflag=0x0002/0x0fff * www # 注釈5 ip filter 1040 pass * 192.168.0.1 udp * 500 # 注釈6 ip filter 1041 pass * 192.168.0.1 esp # 注釈6 ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp ip filter dynamic 200 192.168.0.0/24 * telnet # 注釈7 ip filter dynamic 201 * 192.168.10.2 www # 注釈8
NATの設定	nat descriptor type 1 masquerade nat descriptor address outer 1 (RTX5000(1)の固定グローバルIPアドレス) nat descriptor masquerade static 1 1 192.168.0.1 udp 500 # 注釈6 nat descriptor masquerade static 1 2 192.168.0.1 esp # 注釈6 nat descriptor masquerade static 1 3 192.168.10.2 tcp www # 注釈9
DHCPの設定	dhcp service server dhcp scope 1 192.168.0.101-192.168.0.200/24
DNSの設定	dns server (ISP1より指定されたDNSサーバーのIPアドレス) dns private address spoof on

センター RTX5000(2)の設定例

下記の設定（Config）を取り出すことができます。

ゲートウェイとネットワークバックアップの設定	ip route default gateway pp 1 ip route 192.168.1.0/24 gateway tunnel 1 keepalive 1 gateway 192.168.0.3 weight 0 # 注釈1 ip route 192.168.1.1 gateway tunnel 1 ip route 192.168.2.0/24 gateway tunnel 2 keepalive 2 gateway 192.168.0.1 weight 0 keepalive 12 gateway 192.168.0.3 weight 0 # 注釈1 ip route 192.168.2.1 gateway tunnel 2 ip icmp redirect send off # 注釈2 ip keepalive 1 icmp-echo 5 5 192.168.1.1 # 注釈3 ip keepalive 2 icmp-echo 5 5 192.168.2.1 # 注釈3 ip keepalive 12 icmp-echo 5 5 192.168.0.1 # 注釈3
LANのインタフェースの設定	ip lan1 address 192.168.0.2/24
VRRPの設定	ip lan1 vrrp 1 192.168.0.10 priority=100 # 注釈4 ip lan1 vrrp shutdown trigger 1 pp 1 ip lan1 vrrp 2 192.168.0.11 priority=200 # 注釈4 ip lan1 vrrp shutdown trigger 2 pp 1
WAN(ISP2)のインタフェースの設定	pp select 1 pp always-on on pppoe use lan3 pp auth accept pap chap pp auth myname (ISP2に接続するID) (ISP2に接続するパスワード) ppp lcp mru on 1454 ip pp address (RTX5000(2)の固定グローバルIPアドレス) ip pp mtu 1454 ip pp secure filter in 1020 1030 1040 1041 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 ip pp nat descriptor 1 pp enable 1
VPN(IPsec)の設定	ipsec auto refresh on
VPN(IPsec)の設定 (拠点1)	tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.0.2 ipsec ike pre-shared-key 1 text (拠点1との事前共有鍵) ipsec ike remote address 1 any ipsec ike remote name 1 (拠点1に設定された名前) key-id tunnel enable 1
VPN(IPsec)の設定 (拠点2)	tunnel select 2 ipsec tunnel 102 ipsec sa policy 102 2 esp aes-cbc sha-hmac ipsec ike keepalive log 2 off ipsec ike keepalive use 2 on ipsec ike local address 2 192.168.0.2 ipsec ike pre-shared-key 2 text (拠点2との事前共有鍵) ipsec ike remote address 2 any ipsec ike remote name 2 (拠点2に設定された名前) key-id tunnel enable 2
フィルターの設定	ip filter source-route on ip filter directed-broadcast on ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/24 * ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 1040 pass * 192.168.0.2 udp * 500 # 注釈6 ip filter 1041 pass * 192.168.0.2 esp # 注釈6 ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp
NATの設定	nat descriptor type 1 masquerade nat descriptor address outer 1 (RTX5000(2)の固定グローバルIPアドレス) nat descriptor masquerade static 1 1 192.168.0.2 udp 500 # 注釈6 nat descriptor masquerade static 1 2 192.168.0.2 esp # 注釈6
DNSの設定	dns server (ISP2より指定されたDNSサーバーのIPアドレス) dns private address spoof on

センター RTX5000(3)の設定例

下記の設定（Config）を取り出すことができます。

ゲートウェイの設定	ip route 192.168.1.0/24 gateway pp anonymous name= (ユーザー名A) ip route 192.168.2.0/24 gateway pp anonymous name= (ユーザー名B)
LANのインタフェースの設定	ip lan1 address 192.168.0.3/24
VRRPの設定	ip lan1 vrrp 1 192.168.0.10 priority=50 ip lan1 vrrp 2 192.168.0.11 priority=50
WAN(ISDN PRI)のインタフェースの設定	line type pri1 isdn-ntt isdn local address pri1 (RTX5000(3)の回線番号) pp select anonymous pp bind pri1 pp auth request chap pp auth username (ユーザー名A) (パスワードA) pp auth username (ユーザー名B) (パスワードB) pp enable anonymous

拠点1 RTX1210(1)の設定例

下記の設定（Config）を取り出すことができます。

ゲートウェイとネットワークバックアップの設定設定	ip route default gateway pp 1 ip route 192.168.0.0/24 gateway tunnel 1 keepalive 1 gateway tunnel 2 weight 0 keepalive 2 gateway pp 2 weight 0 # 注釈1 ip route 192.168.0.1 gateway tunnel 1 ip route 192.168.0.2 gateway tunnel 2 ip keepalive 1 icmp-echo 5 5 192.168.0.1 # 注釈3 ip keepalive 2 icmp-echo 5 5 192.168.0.2 # 注釈3
LANのインタフェースの設定	ip lan1 address 192.168.1.1/24
WAN(ISP3)のインタフェースの設定	pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname (ISP3に接続するID) (ISP3に接続するパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ip pp mtu 1454 ip pp secure filter in 1001 1002 1020 1021 1022 1023 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 ip pp nat descriptor 1 pp enable 1
WAN(ISDN回線)の設定	pp select 2 pp bind bri1 isdn remote address call (RTX5000(3)の回線番号) pp auth accept chap pp auth myname (ユーザー名A) (パスワードA) pp enable 2
VPN(IPsec)の設定	ipsec auto refresh on
VPN(IPsec)の設定 (主系)	tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.1.1 ipsec ike local name 1 (拠点1の名前) key-id ipsec ike pre-shared-key 1 text (RTX5000(1)との事前共有鍵) ipsec ike remote address 1 (RTX5000(1)の固定グローバルIPアドレス) tunnel enable 1
VPN(IPsec)の設定 (従系)	tunnel select 2 ipsec tunnel 2 ipsec sa policy 2 2 esp aes-cbc sha-hmac ipsec ike keepalive log 2 off ipsec ike keepalive use 2 on ipsec ike local address 2 192.168.1.1 ipsec ike local name 2 (拠点1の名前) key-id ipsec ike pre-shared-key 2 text (RTX5000(2)との事前共有鍵) ipsec ike remote address 2 (RTX5000(2)の固定グローバルIPアドレス) tunnel enable 2
フィルターの設定	ip filter source-route on ip filter directed-broadcast on ip filter 1001 reject 192.168.1.0/24 * ip filter 1002 pass * 192.168.1.0/24 icmp ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 pass (RTX5000(1)の固定グローバルIPアドレス) 192.168.1.1 udp * 500 # 注釈6 ip filter 1021 pass (RTX5000(1)の固定グローバルIPアドレス) 192.168.1.1 esp # 注釈6 ip filter 1022 pass (RTX5000(2)の固定グローバルIPアドレス) 192.168.1.1 udp * 500 # 注釈6 ip filter 1023 pass (RTX5000(2)の固定グローバルIPアドレス) 192.168.1.1 esp # 注釈6 ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp
NATの設定	nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.1.1 udp 500 # 注釈6 nat descriptor masquerade static 1 2 192.168.1.1 esp # 注釈6
DHCPの設定	dhcp service server dhcp scope 1 192.168.1.2-192.168.1.100/24
DNSの設定	dns server (ISP3から指定されたDNSサーバーのIPアドレス) dns private address spoof on

拠点2 RTX1210(2)の設定例

下記の設定（Config）を取り出すことができます。

ゲートウェイとネットワークバックアップの設定設定	ip route default gateway pp 1 ip route 192.168.0.0/24 gateway tunnel 2 keepalive 2 gateway tunnel 1 weight 0 keepalive 1 gateway pp 2 weight 0 # 注釈1 ip route 192.168.0.1 gateway tunnel 1 ip route 192.168.0.2 gateway tunnel 2 ip keepalive 1 icmp-echo 5 5 192.168.0.1 # 注釈3 ip keepalive 2 icmp-echo 5 5 192.168.0.2 # 注釈3
LANのインタフェースの設定	ip lan1 address 192.168.2.1/24
WAN(ISP4)のインタフェースの設定	pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname (ISP4に接続するID) (ISP4に接続するパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ip pp mtu 1454 ip pp secure filter in 1001 1002 1020 1021 1022 1023 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 ip pp nat descriptor 1 pp enable 1
WAN(ISDN回線)の設定	pp select 2 pp bind bri1 isdn remote address call (RTX5000(3)の回線番号) pp auth accept chap pp auth myname (ユーザー名B) (パスワードB) pp enable 2
VPN(IPsec)の設定	ipsec auto refresh on
VPN(IPsec)の設定 (従系)	tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.2.1 ipsec ike local name 1 (拠点2の名前) key-id ipsec ike pre-shared-key 1 text (RTX5000(1)との事前共有鍵) ipsec ike remote address 1 (RTX5000(1)の固定グローバルIPアドレス) tunnel enable 1
VPN(IPsec)の設定 (主系)	tunnel select 2 ipsec tunnel 2 ipsec sa policy 2 2 esp aes-cbc sha-hmac ipsec ike keepalive log 2 off ipsec ike keepalive use 2 on ipsec ike local address 2 192.168.2.1 ipsec ike local name 2 (拠点2の名前) key-id ipsec ike pre-shared-key 2 text (RTX5000(2)との事前共有鍵) ipsec ike remote address 2 (RTX5000(2)の固定グローバルIPアドレス) tunnel enable 2
フィルターの設定	ip filter source-route on ip filter directed-broadcast on ip filter 1001 reject 192.168.2.0/24 * ip filter 1002 pass * 192.168.2.0/24 icmp ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 pass (RTX5000(1)の固定グローバルIPアドレス) 192.168.2.1 udp * 500 # 注釈6 ip filter 1021 pass (RTX5000(1)の固定グローバルIPアドレス) 192.168.2.1 esp # 注釈6 ip filter 1022 pass (RTX5000(2)の固定グローバルIPアドレス) 192.168.2.1 udp * 500 # 注釈6 ip filter 1023 pass (RTX5000(2)の固定グローバルIPアドレス) 192.168.2.1 esp # 注釈6 ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp
NATの設定	nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.2.1 udp 500 # 注釈6 nat descriptor masquerade static 1 2 192.168.2.1 esp # 注釈6
DHCPの設定	dhcp service server dhcp scope 1 192.168.2.2-192.168.2.100/24
DNSの設定	dns server (ISP4から指定されたDNSサーバーのIPアドレス) dns private address spoof on

[注釈の説明]

注釈1:
ネットワークバックアップ機能による経路選択の設定です。keepaliveで指定した設定により、宛先への導通を判断し自動的に経路を選択します。

注釈2:
不必要なICMP redirectメッセージの送出を押さえるための設定です。

注釈3:
ネットワークバックアップ機能を動作させるためのkeepaliveの設定です。この設定により、対象となったIPアドレスにパケットが到達可能かどうかを常に監視します。

注釈4:
VRRPのグループと優先度の設定です。

注釈5、注釈8:
注釈5は、WWWサーバーへのアクセスのうち、最初のパケット(SYN)だけを通すフィルターです。その後に引き続く通信は、注釈8の動的フィルターで通します。

注釈6:
VPN(IPsec)に関係するパケットを通過させる設定です。

注釈7:
WWWサーバーをメンテナンスするために使うtelnetの通信を通すフィルターです。

注釈9:
NATの影響で外側からのアクセスができなくなるので、WWWサーバーへアクセスできるように穴を開けます。