• 検索結果がありません。

IPsec 機能と他機能との併用

ドキュメント内 MR1000 コマンド設定事例集 (ページ 192-196)

( IPv6 フィルタリング)

2.13 IPsec 機能を使う

2.13.9 IPsec 機能と他機能との併用

IPsec機能を使う

192

IPsec機能を使う

193

本社を設定する

● コマンド

IPsec 変換前のシェーピング機能と帯域制御( WFQ )機能の併用例

● 設定条件

[本社]

• シェーピングレート :2Mbps

• 帯域制御対象送信元 IPアドレス : 192.168.2.0/24

• 帯域制御対象送信元ポート番号 :すべて

• 帯域制御対象あて先 IPアドレス : 192.168.1.0/24

• 帯域制御対象あて先ポート番号 :すべて

• 帯域制御対象プロトコル : TCP

• 帯域制御対象 TOS値 :すべて

• 割り当て帯域 :最優先

上記の設定条件に従って設定を行う場合のコマンド例を示します。

本社を設定する

● コマンド

IPsec機能と帯域制御( WFQ)機能を併用する場合、 IPsec前のパケットに対して帯域制御を行うときには、 IPsec用の

remoteで設定します。この場合、 IPsec用の remoteでシェーピングを行うか、または、実回線の remoteで IPsec後の

パケットに対して帯域制御を設定する必要があります。

IPsec 変換前の MSS 書き換え機能との併用例

● 設定条件

[共通]

• MSS書き換え値 : 1414Byte

上記の設定条件に従って設定を行う場合のコマンド例を示します。

支社を設定する

● コマンド

# remote 0 ip filter 0 pass 192.168.1.0/24 any 192.168.2.0/24 21,23 6 yes any any

# remote 0 ip filter 1 pass 192.168.2.0/24 21,23 192.168.1.0/24 any 6 no any any

# remote 0 ip filter 2 reject any any any any 0 yes any any

# remote 0 ip tos 0 192.168.2.0/24 20,21 192.168.1.0/24 20,21 6 any a0

# remote 0 shaping on 2m

# remote 0 ip priority 0 192.168.2.0/24 any 192.168.1.0/24 any 6 any express

# remote 1 ip msschange 1414

IPsec機能を使う

194

本社を設定する

● コマンド

IPsec 変換前の MTU 分割機能との併用例

● 設定条件

[共通]

• MTU長 : 1460Byte

上記の設定条件に従って設定を行う場合のコマンド例を示します。

支社を設定する

● コマンド

本社を設定する

● コマンド

接続先監視機能との併用例

● 設定条件

[支社]

• 送信元 IPアドレス : 192.168.1.1

• あて先 IPアドレス : 192.168.2.1

• タイムアウト時間 : 5秒

• 正常時送信間隔 : 10秒

• 異常時送信間隔 : 1分

上記の設定条件に従って設定を行う場合のコマンド例を示します。

支社を設定する

● コマンド

# remote 0 ip msschange 1414

# remote 1 mtu 1460

# remote 0 mtu 1460

監視対象装置は、本社側 VPN装置を指定します。

# remote 1 ap 0 sessionwatch 192.168.1.1 192.168.2.1 10s 1m 5s

IPsec機能を使う

195

IKE セッション監視機能との併用例

● 設定条件

[支社]

• あて先 IPアドレス : 192.168.2.1

• タイムアウト時間 : 5秒

• 正常時送信間隔 : 10秒

• 異常時送信間隔 : 1分

上記の設定条件に従って設定を行う場合のコマンド例を示します。

支社を設定する

● コマンド

• 接続先監視/ IKEセッション監視のあて先 IPアドレスは、 remote ap ipsec ike rangeコマンドで設定する IPsec対 象パケット範囲に含まれる IPアドレスを指定してください。

• 接続先監視/ IKEセッション監視のあて先 IPアドレスに、常時運転している IPsec対象の装置を指定してください。

あて先 IPアドレスに相手 IKEサーバとは異なる装置を指定した場合、 あて先 IPアドレスからの応答が受信できなくな ります。その場合、 相手 IKEサーバが生存していても IPsec/IKE SAは解放されます。そのため通信が不安定にあるこ とがあります。

動的経路( RIP )機能との併用例

● 設定条件

[共通]

• RIP送信 : v1

• RIP受信 : v1

• RIP送信時加算メトリック値 : 0

上記の設定条件に従って設定を行う場合のコマンド例を示します。

支社を設定する

● コマンド

本社を設定する

● コマンド

監視対象装置は、本社側 VPN装置を指定します。

# remote 1 ap 0 ike sessionwatch 192.168.2.1 10s 1m 5s

# delete remote 1 ip route

# remote 1 ip rip use v1 v1 0 off

# delete remote 1 ip route

# remote 0 ip rip use v1 v1 0 off

システムログを採取する

196

ドキュメント内 MR1000 コマンド設定事例集 (ページ 192-196)
今ダウンロードする "MR1000 コマンド設定事..."

Outline

関連したドキュメント