Embedded Files
※ yamahaの資料がとても参考になります。予め見て下さい。
バックアップのあるIPsec接続の設定例です。本社側、店舗側共にバックアップ回線がありIPsec-VPN接続でそれを使用します。回線バックアップも参考にして下さい。更に、RTX1000本体もVRRPによって二重化することも可能です。
この設定では、本社側、店舗側共に回線、及びIPsec-VPNを二重化してますので、余程のことが無い限り長時間にわたって不通になることは無いと思います。
本社の設定
192.168.254.254はRTX1000のアドレス。192.168.254.253はバックアップ回線のルーターアドレスです。
ip lan1 address 192.168.254.254/24
ip route default gateway pp 1 hide gateway 192.168.254.253 weight 0
ip route 192.168.1.0/24 gateway tunnel 1
ip route 192.168.2.0/24 gateway tunnel 2
tunnel disable all
tunnel select 1
tunnel name TUNNEL1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.254.254
ipsec ike pre-shared-key 1 text IKE-KEY
ipsec ike remote address 1 any
ipsec ike remote name 1 TENPO1
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel name TUNNEL2
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 on
ipsec ike local address 2 192.168.254.254
ipsec ike pre-shared-key 2 text IKE-KEY
ipsec ike remote address 2 any
ipsec ike remote name 2 TENPO2
ip tunnel tcp mss limit auto
tunnel enable 2
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.254.254 udp 500
nat descriptor masquerade static 1 2 192.168.254.254 esp
ipsec auto refresh on
店舗1の設定
ip lan1 address 192.168.1.254/24
ip route default gateway pp 1 hide gateway 192.168.1.253 weight 0
ip route 192.168.0.0/16 gateway tunnel 1
tunnel disable all
tunnel select 1
tunnel name TUNNEL1_M
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.1.254
ipsec ike local name 1 TENPO1 key-id
ipsec ike pre-shared-key 1 text IKE-KEY
ipsec ike remote address 1 本社固定IP(メイン)
tunnel backup tunnel 2
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
tunnel name TUNNEL1_B
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 on
ipsec ike local address 2 192.168.1.254
ipsec ike local name 1 TENPO1 key-id
ipsec ike pre-shared-key 2 text IKE-KEY
ipsec ike remote address 2 本社固定IP(バックアップ)
ip tunnel tcp mss limit auto
tunnel enable 2
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.1.254 udp 500
nat descriptor masquerade static 1 2 192.168.1.254 esp
ipsec auto refresh on
店舗2の設定
ip lan1 address 192.168.2.254/24
ip route default gateway pp 1 hide gateway 192.168.2.253 weight 0
ip route 192.168.0.0/16 gateway tunnel 1
tunnel disable all
tunnel select 1
tunnel name TUNNEL1_M
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.2.254
ipsec ike local name 1 TENPO2 key-id
ipsec ike pre-shared-key 1 text IKE-KEY
ipsec ike remote address 1 本社固定IP(メイン)
ip tunnel tcp mss limit auto
tunnel backup tunnel 2
tunnel enable 1
tunnel select 2
tunnel name TUNNEL1_B
ipsec tunnel 2
ipsec sa policy 2 2 esp 3des-cbc md5-hmac
ipsec ike keepalive use 2 on
ipsec ike local address 2 192.168.2.254
ipsec ike local name 1 TENPO2 key-id
ipsec ike pre-shared-key 2 text IKE-KEY
ipsec ike remote address 2 本社固定IP(バックアップ)
ip tunnel tcp mss limit auto
tunnel enable 2
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.2.254 udp 500
nat descriptor masquerade static 1 2 192.168.2.254 esp
ipsec auto refresh on
その他
うちの会社のバックアップ回線(192.168.254.253)は、イーアクセスのADSLを使用しています。接続はPPPoAなので、レンタルされたルーターをつかう必要があり、バックアップ回線はそのルーターを指すようになってます。
※ サポート外ですがPPPoE接続も可能です。その場合にはレンタルルーターをPPPoEブリッジ接続モードへ変更して使用します。
ある日、会社の道路を挟んだ反対側の建物が火事になりました。(死傷者なし) それによって近くの電線や光ケーブルが燃えあがり、メイン回線のフレッツ光が、ほぼ24時間断線しました。バックアップ回線があったので全くトラブルになりませんでしたが、バックアップ回線があってホント良かったと思った1日でした。
Page updated
Google Sites
Report abuse