インターネットVPNとISDNバックアップを利用する : コマンド設定

センターと複数の拠点をつなぐ大規模ネットワーク
インターネットVPNとISDNバックアップで安全で確実な運用を提案

本設定例は、以下の機種に対応しています。

センター側対応機種: RTX5000 RTX3500

拠点1、拠点n側対応機種: RTX1210 RTX1200

センターと複数の拠点間をVPNで安全に接続する構成

センターと複数の拠点間をVPNで安全に接続する設定例です。
1台のルーターに2本の回線を収容し、回線の障害の状態に応じて自動で回線を切り替えます。回線の障害時は、ISDNを使用してセンターと拠点を直結します。

PRIモジュール(別売)の増設で複数PRIのバックアップソリューション

RTX5000 および RTX3500は、拡張モジュールスロットを装備しています。別売の拡張モジュールを増設することにより、ISDNを使用したネットワークを構築できます。
PRIインタフェースを搭載した拡張モジュール「YBC-1PRI-M」を増設することでINS1500に対応し、また、増設したPRIインタフェースに複数の仮想チャンネルを設定できるため、余裕を持って拠点ごとのISDNバックアップを実現できます。

センター RTX5000の設定

ゲートウェイの設定 ip route (拠点1の固定グローバルIPアドレス) gateway pp 1
ip route (拠点2の固定グローバルIPアドレス) gateway pp 1
ip route 192.168.1.0/24 gateway tunnel 1
ip route 192.168.2.0/24 gateway tunnel 2
ip icmp redirect send off
LANインタフェースの
設定
ip lan1 address 192.168.0.1/24
ISDNの設定
(共通項目)
line type pri1 isdn-ntt
isdn local address pri1 (センターの電話番号(PRI))
WAN(ISP)
インタフェースの設定
pp select 1
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname (センターのISP接続ID) (センターのISP接続パスワード)
ppp lcp mru on 1454
ip pp address (センターの固定グローバルIPアドレス)
ip pp mtu 1454
ip pp secure filter in 1101 1102
ip pp secure filter out 1001 1002
pp enable 1
WAN(ISDN PRI)
インタフェースの設定
(拠点1)
pp select 2
pp bind pri1
isdn remote address call (拠点1の電話番号)
pp auth request chap
pp auth username (拠点1のユーザー名) (拠点1のパスワード)
pp enable 2
WAN(ISDN PRI)
インタフェースの設定
(拠点n)
pp select 3
pp bind pri1
isdn remote address call (拠点nの電話番号)
pp auth request chap
pp auth username (拠点nのユーザー名) (拠点nのパスワード)
pp enable 3
VPN(IPsec)の設定
(共通項目)
ipsec auto refresh on
VPN(IPsec)の設定
(拠点1)
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 (センターの固定グローバルIPアドレス)
ipsec ike pre-shared-key 1 text (事前共有鍵1)
ipsec ike remote address 1 (拠点1の固定グローバルIPアドレス)
tunnel backup pp 2
tunnel enable 1
VPN(IPsec)の設定
(拠点n)
tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on
ipsec ike local address 2 (センターの固定グローバルIPアドレス)
ipsec ike pre-shared-key 2 text (事前共有鍵n)
ipsec ike remote address 2 (拠点nの固定グローバルIPアドレス)
tunnel backup pp 3
tunnel enable 2
フィルターの設定 ip filter 1001 pass (センターの固定グローバルIPアドレス) * udp * 500 # 注釈1
ip filter 1002 pass (センターの固定グローバルIPアドレス) * esp # 注釈1
ip filter 1101 pass * (センターの固定グローバルIPアドレス) udp * 500 # 注釈1
ip filter 1102 pass * (センターの固定グローバルIPアドレス) esp # 注釈1
DHCPの設定 dhcp service server
dhcp scope 1 192.168.0.2-192.168.0.191/24

拠点1 RTX1210(1)の設定

ゲートウェイの設定 ip route (センターの固定グローバルIPアドレス) gateway pp 1
ip route 192.168.0.0/24 gateway tunnel 1
LANインタフェースの
設定
ip lan1 address 192.168.1.1/24
ISDNの設定
(共通項目)
line type bri1 isdn-ntt
isdn local address bri1 (拠点1の電話番号)
WAN(ISP)
インタフェースの設定
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (拠点1のISP接続ID) (拠点1のISP接続パスワード)
ppp lcp mru on 1454
ip pp address (拠点1の固定グローバルIPアドレス)
ip pp mtu 1454
ip pp secure filter in 1101 1102
ip pp secure filter out 1001 1002
pp enable 1
WAN(ISDN BRI)
インタフェースの設定
pp select 2
pp bind bri1
isdn remote address call (センターの電話番号(PRI))
pp auth accept chap
pp auth myname (拠点1のユーザー名) (拠点1のパスワード)
pp enable 2
VPN(IPsec)の設定
(共通項目)
ipsec auto refresh on
VPN(IPsec)の設定 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 (拠点1の固定グローバルIPアドレス)
ipsec ike pre-shared-key 1 text (事前共有鍵1)
ipsec ike remote address 1 (センターの固定グローバルIPアドレス)
tunnel backup pp 2
tunnel enable 1
フィルターの設定 ip filter 1001 pass (拠点1の固定グローバルIPアドレス) (センターの固定グローバルIPアドレス) udp * 500 # 注釈1
ip filter 1002 pass (拠点1の固定グローバルIPアドレス) (センターの固定グローバルIPアドレス) esp # 注釈1
ip filter 1101 pass (センターの固定グローバルIPアドレス) (拠点1の固定グローバルIPアドレス) udp * 500 # 注釈1
ip filter 1102 pass (センターの固定グローバルIPアドレス) (拠点1の固定グローバルIPアドレス) esp # 注釈1
DHCPの設定 dhcp service server
dhcp scope 1 192.168.1.2-192.168.1.191/24

拠点n RTX1210(n)の設定

ゲートウェイの設定 ip route (センターの固定グローバルIPアドレス) gateway pp 1
ip route 192.168.0.0/24 gateway tunnel 1
LANインタフェースの
設定
ip lan1 address 192.168.2.1/24
ISDNの設定
(共通項目)
line type bri1 isdn-ntt
isdn local address bri1 (拠点nの電話番号)
WAN(ISP)
インタフェースの設定
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (拠点nのISP接続ID) (拠点nのISP接続パスワード)
ppp lcp mru on 1454
ip pp address (拠点nの固定グローバルIPアドレス)
ip pp mtu 1454
ip pp secure filter in 1101 1102
ip pp secure filter out 1001 1002
pp enable 1
WAN(ISDN BRI)
インタフェースの設定
pp select 2
pp bind bri1
isdn remote address call (センターの電話番号(PRI))
pp auth accept chap
pp auth myname (拠点nのユーザー名) (拠点nのパスワード)
pp enable 2
VPN(IPsec)の設定
(共通項目)
ipsec auto refresh on
VPN(IPsec)の設定 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 (拠点nの固定グローバルIPアドレス)
ipsec ike pre-shared-key 1 text (事前共有鍵n)
ipsec ike remote address 1 (センターの固定グローバルIPアドレス)
tunnel backup pp 2
tunnel enable 1
フィルターの設定 ip filter 1001 pass (拠点nの固定グローバルIPアドレス) (センターの固定グローバルIPアドレス) udp * 500 # 注釈1
ip filter 1002 pass (拠点nの固定グローバルIPアドレス) (センターの固定グローバルIPアドレス) esp # 注釈1
ip filter 1101 pass (センターの固定グローバルIPアドレス) (拠点nの固定グローバルIPアドレス) udp * 500 # 注釈1
ip filter 1102 pass (センターの固定グローバルIPアドレス) (拠点nの固定グローバルIPアドレス) esp # 注釈1
DHCPの設定 dhcp service server
dhcp scope 1 192.168.2.2-192.168.2.191/24

[注釈の説明]

注釈1:
VPN(IPsec)に関係するパケットを通過させる設定です。