[ 構成図 ]
[ ルータ A の設定手順 ]
# ip lan1 address 192.168.0.254/24
# pp select 1
pp1# pp always-on on pp1# pppoe use lan2
pp1# pp auth accept pap chap pp1# pp auth myname ID PASSWORD pp1# ppp lcp mru on 1454
pp1# ppp ccp type none
pp1# ip pp address 172.16.0.1/32 pp1# ip pp mtu 1454
pp1# pp enable 1 pp1# tunnel select 1 tunnel1# ipsec tunnel 101
tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac anti-replay-check=off
tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASS tunnel1# ipsec ike local address 1 172.16.0.1 tunnel1# ipsec ike remote address 1 172.17.0.1 tunnel1# tunnel enable 1
tunnel1# tunnel select none
# ipsec auto refresh on
# ip route 172.17.0.1 gateway pp 1
# ip route 192.168.1.0/24 gateway tunnel 1
# queue lan2 type priority
# speed lan2 10m
# queue class filter 1 4 ip * * tcp telnet *
# queue class filter 2 4 ip * * tcp * telnet
# queue class filter 3 3 ip * * tcp www *
# queue class filter 4 3 ip * * tcp * www
# queue class filter 5 1 ip * * tcp ftp *
# queue class filter 6 1 ip * * tcp * ftp
The Internet
WS/PC
WS/PC
172.16.0.1 192.168.0.0 / 24
192.168.0.254
ルータA モデム
WS/PC
192.168.1.0 / 24
192.168.1. 254
プロバイダ
172.17.0.1
ルータB モデム プロバイダ
162
16. 優先 / 帯域制御の設定例
# tunnel select 1
tunnel1# queue tunnel class filter list 1 2 3 4 5 6 tunnel1# tsave
[ ルータ B の設定手順 ]
# ip lan1 address 192.168.1.254/24
# pp select 1
pp1# pp always-on on pp1# pppoe use lan2
pp1# pp auth accept pap chap pp1# pp auth myname ID PASSWORD pp1# ppp lcp mru on 1454
pp1# ppp ccp type none
pp1# ip pp address 172.17.0.1/32 pp1# ip pp mtu 1454
pp1# pp enable 1 pp1# tunnel select 1 tunnel1# ipsec tunnel 101
tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac anti-replay-check=off tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASS
tunnel1# ipsec ike local address 1 172.17.0.1 tunnel1# ipsec ike remote address 1 172.16.0.1 tunnel1# tunnel enable 1
tunnel1# tunnel select none
# ipsec auto refresh on
# ip route 172.16.0.1 gateway pp 1
# ip route 192.168.0.0/24 gateway tunnel 1
# queue lan2 type priority
# speed lan2 10m
# queue class filter 1 4 ip * * tcp telnet *
# queue class filter 2 4 ip * * tcp * telnet
# queue class filter 3 3 ip * * tcp www *
# queue class filter 4 3 ip * * tcp * www
# queue class filter 5 1 ip * * tcp ftp *
# queue class filter 6 1 ip * * tcp * ftp
# tunnel select 1
tunnel1# queue tunnel class filter list 1 2 3 4 5 6 tunnel1# save
[ 解説 ]
本社側が 172.16.0.1、支店側が 172.17.0.1 の固定アドレスの割り当てを受けており、本社と支店は IPsec で接続されていま す。本社側 LAN、支店側 LAN にはそれぞれ WWW サーバ、FTP サーバ、WS/PC が複数台設置され、お互いに業務データの送 受信が行われています。また、TELNET を使用したサーバのメンテナンス業務も行われます。この例では優先制御を使用し、
FTP 通信、WWW 通信が回線帯域を占有し、TELNET によるサーバのメンテナンス業務に支障を与える事がないようにしていま す。
優先度は TELNET > WWW > 指定以外の通信 > FTP としています。
1. # queue lan2 type priority
# speed lan2 10m
優先制御機能の使用と回線帯域を設定します。
16. 優先 / 帯域制御の設定例
1632. # queue class filter 1 4 ip * * tcp telnet *
# queue class filter 2 4 ip * * tcp * telnet
# queue class filter 3 3 ip * * tcp www *
# queue class filter 4 3 ip * * tcp * www
# queue class filter 5 1 ip * * tcp ftp *
# queue class filter 6 1 ip * * tcp * ftp
サービス毎に使用するキュー番号を設定します。ここで設定されていないサービスはデフォルトクラス (2) に入ります。
番号の大きいキューに入っているパケットが優先して送出されます。
3. # tunnel select 1
tunnel1# queue tunnel class filter list 1 2 3 4 5 6 トンネルインタフェース対し優先制御を適用します。
4. # ipsec sa policy 101 1 esp 3des-cbc md5-hmac anti-replay-check=off
優先制御を使用するとパケットの順番の入れ替わりが発生します。IPsec 通信において順番の入れ替わりを監視する機能 を使用しない設定にします。
164