ネットワークモニタを使用して IPsec を迂回する - vrrp enable - はじめにはじめに本設定事例集では UNIVERGE WA シリーズの設定事例について説明しています

vrrp enable

vrrp 1 priority 10

14.2. ネットワークモニタを使用して IPsec を迂回する

ネットワークモニタ機能を使用して、主回線障害時にバックアップ回線にルートおよび

IPsec

を切り替える設定を説明します。

本設定は、以下の環境を想定した設定例です。

・装置Ａは

PPPoE

回線経由で装置Ｂと

IPsec

による通信ができます。また、

3G/LTE

データ端末を使用したモバイル回線経由で装置Ｃとも

IPsec

による通信ができます。

・装置Ａは、ネットワークモニタ機能で、主回線（

PPPoE

回線）経由で装置Ｂをホスト監視し、監視経路で障害が発生すると、通信経路をバックアップ回線（モバイル回線）に切り替えます。

・装置Ｂも、ネットワークモニタ機能で、主回線経由で装置Ａをホスト監視し、監視経路で障害が発生すると、

LAN

側の

VRRP

動作を停止します。

・装置Ｂと装置Ｃの

LAN

側で

VRRP

を動作させ、正常通信時の

VRRP

の挙動はマスタルータを装置Ｂ、バックアップルータを装置Ｃとします。

■接続構成

■設定概要

以下の設定を行います。

・

LAN

インタフェース設定

・

WAN

インタフェース設定

・ルーティング設定

・

IPsec

インタフェース設定

・

VRRP

設定

(

装置Ｂ

/

装置Ｃ

)

・ネットワークモニタ設定

(

装置Ａ

/

装置Ｂ

)

GE1.0

ME0 （（（ _モバイル

通信事業者インターネット

サービスプロバイダ

192.0.2.1

端末Ｂ

IKEモード : Aggressive IPsec通信モード : Tunnel 暗号 : AES(256bit)

認証 : SHA2 DH-group : 768bit 192.168.1.0/24

GE0.0

端末Ａ

PPPoE 動的IP

動的IP

IPsec0（主回線）

IPsec1 (バックアップ回線) 装置Ａ

装置Ｂ

装置Ｃ VRRP GE1.0

GE1.0 .200

.201 固定IP

固定IP

192.0.2.2 ホスト監視

ホスト監視

.254

内蔵モジュール

）））

VRRP グループ：ID=1

VRRP 仮想IPアドレス：192.168.2.254

VRRP プライオリティ：

装置Ｂ（WA2610-AP）Priority=20 装置Ｃ（WA1511）Priority=10 UNIVERGE

WA2611-AP

UNIVERGE WA2610-AP

UNIVERGE WA1511

192.168.2.0/24

ME0

■設定（コンフィグ作成バージョン：

Ver7.3.7

）

[

装置Ａ：

WA2611-AP

設定

]

! hostname WA2611-AP

! ppp profile pppoe

authentication username [email protected] authentication password plain test

! interface GigaEthernet0.0 no ip address

encapsulation PPPoE0 no shutdown

! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown

! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable

ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp no shutdown

! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown

! interface MobileEthernet0.0 ip address dhcp

ip tcp adjust-mss auto ip napt enable

ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp mobile id IP example.net mobile username test mobile password plain test auto-connect

no shutdown

! interface IPsec0

ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown

! interface IPsec1

ip address unnumbered

ip tcp adjust-mss auto ipsec map ipsecprof2 no shutdown

! ip route default PPPoE0 ip route 192.0.2.1/32 PPPoE0

ip route 192.0.2.2/32 MobileEthenrnet0.0 ip route 192.168.2.0/24 IPsec0

! network-monitor monitor1

monitor interval occurrence 10 5 monitor interval restorer 10 monitor counter occurrence 3 monitor counter restorer 5 monitor startup-delay 10

event ip unreach-host 192.168.2.200 interface IPsec0 source GigaEthernet1.0 action 10 route-del 192.168.2.0/24 IPsec0 route-add 192.168.2.0/24 IPsec1 action 11 route-del 0.0.0.0/0 PPPoE0 route-add 0.0.0.0/0 dhcp MobileEthernet0.0 action 20 ipsec-sa-clear ipsecprof1

action 30 ipsec-sa-clear ipsecprof2 action 40 pdns-server-del PPPoE0 ipcp

action 50 pdns-server-add MobileEthernet0.0 dhcp action 60 BAK-LED-on

! monitor-group monitor1 enable

monitor-group monitor1 directed-response

! proxy-dns ip enable

proxy-dns server default PPPoE0 ipcp

! ike proposal ikeprop1

encryption-algorithm aes256-cbc

authentication-algorithm hmac-sha2-256 lifetime 28800

! ike proposal ikeprop2

encryption-algorithm aes256-cbc

authentication-algorithm hmac-sha2-256 lifetime 28800

! ike policy ikepol1 mode aggressive local-id key-id test4 dpd-keepalive enable proposal ikeprop1

pre-shared-key plain test3

! ike policy ikepol2 mode aggressive local-id key-id test6 dpd-keepalive enable proposal ikeprop2

pre-shared-key plain test5

! ipsec proposal ipsecprop1

protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800

! ipsec proposal ipsecprop2

protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800

! ipsec policy ipsecpol1 local-id 192.168.1.0/24 remote-id 192.168.2.0/24 proposal ipsecprop1

! ipsec policy ipsecpol2 local-id 192.168.1.0/24 remote-id 192.168.2.0/24 proposal ipsecprop2

! ipsec profile ipsecprof1 mode tunnel

ipsec policy ipsecpol1 ike policy ikepol1 source PPPoE0 peer 192.0.2.1

! ipsec profile ipsecprof2 mode tunnel

ipsec policy ipsecpol2 ike policy ikepol2

source MobileEthernet0.0 peer 192.0.2.2

[

装置Ｂ：

WA2610-AP

設定

]

（コンフィグ作成バージョン：

Ver7.3.7

）

! hostname CENTER-WA2610-AP

! interface GigaEthernet0.0 ip address 192.0.2.1/32 ip napt enable

ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp no shutdown

! interface GigaEthernet1.0 ip address 192.168.2.200/24 vrrp 1 ip 192.168.2.254 vrrp 1 priority 20

no shutdown

! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown

ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown

! ip route default GigaEthernet0.0 ip route 192.168.1.0/24 IPsec0

! network-monitor monitor2

monitor interval occurrence 10 5 monitor interval restorer 10 monitor counter occurrence 3 monitor counter restorer 5 monitor startup-delay 10

event ip unreach-host 192.168.1.254 interface IPsec0 source GigaEthernet1.0 action 10 vrrp 1 shutdown

action 20 ipsec-sa-clear ipsecprof1

! monitor-group monitor2 enable

! proxy-dns ip enable

proxy-dns server default 192.0.2.3

! ike proposal ikeprop1

encryption-algorithm aes256-cbc

authentication-algorithm hmac-sha2-256 lifetime 28800

! ike policy ikepol1 mode aggressive remote-id key-id test4 dpd-keepalive enable proposal ikeprop1

pre-shared-key plain test3

! ipsec proposal ipsecprop1

protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800

! ipsec policy ipsecpol1 local-id 192.168.2.0/24 remote-id 192.168.1.0/24 commit-bit enable

proposal ipsecprop1

! ipsec profile ipsecprof1 mode tunnel

ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any

! vrrp enable

[

装置Ｃ：

WA1511

設定

]

（コンフィグ作成バージョン：

Ver7.3.7

）

! hostname CENTER-WA1511

! interface GigaEthernet0.0 no ip address

shutdown

! interface GigaEthernet1.0 ip address 192.168.2.201/24 vrrp 1 ip 192.168.2.254 vrrp 1 priority 10

no shutdown

! interface MobileEthernet0.0 no ip address dhcp ip tcp adjust-mss auto mobile id IP example.net mobile username test3 mobile password plain test3 ip napt enable

ip napt reserve udp 500 ip napt reserve esp ip napt reserve icmp no shutdown

! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown

! interface IPsec0

ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown

! ip route default MobileEthernet0.0 ip route 192.168.1.0/24 IPsec0

! proxy-dns ip enable

proxy-dns server default MobileEthernet0.0 dhcp

! ike proposal ikeprop1

encryption-algorithm aes256-cbc

authentication-algorithm hmac-sha2-256 lifetime 28800

! ike policy ikepol1 mode aggressive remote-id key-id test6 dpd-keepalive enable proposal ikeprop1

pre-shared-key plain test5

ipsec proposal ipsecprop1

protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800

! ipsec policy ipsecpol1 local-id 192.168.2.0/24 remote-id 192.168.1.0/24 proposal ipsecprop1

! ipsec profile ipsecprof1 mode tunnel

ipsec policy ipsecpol1 ike policy ikepol1

source MobileEthernet0.0 peer any

! vrrp enable

■解説

[

装置Ａ：

WA2611-AP

設定

] ip route 192.0.2.1/32 PPPoE0

装置Ｂ向けの

IPsec peer

ルートを設定します。

ip route 192.0.2.2/32 MobileEthernet0.0

装置Ｃ向けの

IPsec peer

ルートを設定します。

ip route 192.168.2.0/24 IPsec0

IPsec

通信が必要なパケットを、

IPsec

インタフェースに転送します。

ドキュメント内はじめにはじめに本設定事例集では UNIVERGE WA シリーズの設定事例について説明していますルータと組み合わせて使用する構成では UNIVERGE IX2000/IX3000 シリーズの設定例を記載しています各コマンドの詳細についてはコマンドリファレンスや機能説明書をご参照下さい本 (ページ 182-188)