ホーム > 製品情報 > ネットワーク周辺機器 > 設定例 > VPN提案 > センター&複数拠点間ネットワーク > 複数回線同時利用によるトラフィック分散および冗長構成で安心ネットワーク
複数回線同時利用によるトラフィック分散および冗長構成で安心ネットワーク
複数回線同時利用によるトラフィック分散
および冗長構成で安心ネットワーク
|
グループ
|
仮想IPアドレス
|
優先順位
|
|
VRRP1
|
192.168.0.10
|
RTX3000(1)→ RTX3000(2)→ RT250i
|
|
VRRP2
|
192.168.0.11
|
RTX3000(2)→ RTX3000(1)→ RT250i
|
3本の回線を使ったバックアップソリューションです。
拠点側を複数のグループに分割し、複数の回線にトラフィックを分散。
冗長性を高めつつも、回線を有効に利用することができます。
インターネットVPNにも対応し安全な通信を実現します。
センターではRTX3000を使ってインターネットへのアクセス回線を二重化するとともに、RT250iを使ってバックアップの回線を収容します。
拠点は2つのグループに分割し、センターの2本のFTTH回線を使い分けるようにします。
通常は2本のFTTH回線を使用しますが、センターの機器や回線に障害が発生したときには、両方のグループが残りの1本のFTTH回線を使ってセンターにアクセスします。
拠点もバックアップの回線を収容しているので、インターネットへのアクセス回線に障害が発生したときには、ISDN回線を使ってセンターに接続することができます。
[VRRPの設定について]
VRRPは、2台のRTX3000とRT250iの合計3台で構成します。
ただし、グループによって 優先順位が異なるため、2つのVRRPグループを定義しています。
VRRP1というグループは、グループ1の拠点に対応するもので、VRRP2というグループは、グループ2の拠点に対応するものです。
VRRP1については、RTX1200(1)の優先度を高く設定しており、VRRP2については、RTX1200(2)の優先度を高く設定しています。
この優先度の違いによって、負荷分散が可能になっています。
センターのサーバーでは、グループごとにゲートウェイを振り分ける必要があります。
例えば、拠点1はグループ1に属しているので、拠点1に対する経路のゲートウェイは VRRP1の仮想アドレス(192.168.0.10)になります。
同様に、拠点2に対する経路の ゲートウェイは、VRRP2の仮想アドレス(192.168.0.11)になります。
RTX3000(A)の設定例
LANの
インタフェースの設定 |
ip lan1 address 192.168.0.1/24
|
DMZの
インタフェースの設定 |
ip lan4 address 192.168.10.1/24
|
| VRRPの設定 |
ip lan1 vrrp 1 192.168.0.10 priority=200 #注釈1
ip lan1 vrrp shutdown trigger 1 pp 1
ip lan1 vrrp 2 192.168.0.11 priority=100 #注釈1
ip lan1 vrrp shutdown trigger 2 pp 1
|
WAN(ISP1)の
インタフェースの設定 |
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP1に接続するID) (ISP1に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp address (グローバルアドレス1)
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
ip route default gateway pp 1
|
| NATの設定 |
nat descriptor type 1 masquerade
nat descriptor address outer 1 (グローバルアドレス1)
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
nat descriptor masquerade static 1 3 192.168.10.2 tcp www #注釈2
|
| VPN(IPsec)の設定 |
ipsec auto refresh on
|
VPN(IPsec)の設定
(拠点1) |
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.0.1
ipsec ike pre-shared-key 1 text key
ipsec ike remote address 1 any
ipsec ike remote name 1 kyoten1
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
tunnel select 1
ipsec ike hash 1 sha
ipsec tunnel 101
tunnel enable 1
|
VPN(IPsec)の設定
(拠点2) |
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on
ipsec ike local address 2 192.168.0.1
ipsec ike pre-shared-key 2 text key
ipsec ike remote address 2 any
ipsec ike remote name 2 kyoten2
ipsec sa policy 102 2 esp 3des-cbc sha-hmac
tunnel select 2
ipsec tunnel 102
ipsec ike hash 2 sha
tunnel enable 2
|
ネットワークバックアップ
の設定 |
ip route 192.168.1.0/24 gateway tunnel 1 keepalive 1 gateway 192.168.0.2 weight 0 keepalive 11 gateway 192.168.0.3 weight 0 #注釈3
ip route 192.168.2.0/24 gateway tunnel 2 keepalive 2 gateway 192.168.0.3 weight 0 #注釈3
ip route 192.168.1.1 gateway tunnel 1
ip route 192.168.2.1 gateway tunnel 2
ip keepalive 1 icmp-echo 5 5 192.168.1.1 #注釈4
ip keepalive 2 icmp-echo 5 5 192.168.2.1 #注釈4
ip keepalive 11 icmp-echo 5 5 192.168.0.2 #注釈4
ip icmp redirect send off #注釈5
|
| DHCPの設定 |
dhcp service server
dhcp scope 1 192.168.0.101-192.168.0.200/24
|
| DNSの設定 |
dns server (ISP1より指定されたDNSサーバーのIPアドレス)
dns private address spoof on
|
| フィルタの設定 |
ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 1031 pass * 192.168.10.2 tcpflag=0x0002/0x0fff * www #注釈6
ip filter 1040 pass * 192.168.0.1 udp * 500
ip filter 1041 pass * 192.168.0.1 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 200 192.168.0.0/24 * telnet #注釈7
ip filter dynamic 201 * 192.168.10.2 www #注釈8
ip lan4 secure filter in 2000
ip lan4 secure filter out 3000 dynamic 101 200
pp select 1
ip pp secure filter in 1020 1030 1031 1040 1041 2000 dynamic 201
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
pp enable 1
|
RTX3000(B)の設定例
LANの
インタフェースの設定 |
ip lan1 address 192.168.0.2/24
|
| VRRPの設定 |
ip lan1 vrrp 1 192.168.0.10 priority=100 #注釈1
ip lan1 vrrp shutdown trigger 1 pp 1
ip lan1 vrrp 2 192.168.0.11 priority=200 #注釈1
ip lan1 vrrp shutdown trigger 2 pp 1
|
WAN(ISP2)の
インタフェースの設定 |
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP2に接続するID) (ISP2に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ip pp address (グローバルアドレス2)
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
ip route default gateway pp 1
|
| NATの設定 |
nat descriptor type 1 masquerade
nat descriptor address outer 1 (グローバルアドレス2)
nat descriptor masquerade static 1 1 192.168.0.2 udp 500
nat descriptor masquerade static 1 2 192.168.0.2 esp
|
| VPN(IPsec)の設定 |
ipsec auto refresh on
|
VPN(IPsec)の設定
(拠点1) |
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.0.2
ipsec ike pre-shared-key 1 text key
ipsec ike remote address 1 any
ipsec ike remote name 1 kyoten1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
tunnel select 1
ipsec tunnel 1
ipsec ike hash 1 sha
tunnel enable 1
|
VPN(IPsec)の設定
(拠点2) |
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on
ipsec ike local address 2 192.168.0.2
ipsec ike pre-shared-key 2 text key
ipsec ike remote address 2 any
ipsec ike remote name 2 kyoten2
ipsec sa policy 2 2 esp 3des-cbc sha-hmac
tunnel select 2
ipsec tunnel 2
ipsec ike hash 2 sha
tunnel enable 2
|
ネットワークバックアップ
の設定 |
ip route 192.168.1.0/24 gateway tunnel 1 keepalive 1 gateway 192.168.0.3 weight 0 #注釈3
ip route 192.168.2.0/24 gateway tunnel 2 keepalive 2 gateway 192.168.0.1 weight 0 keepalive 12 gateway 192.168.0.3 weight 0 #注釈3
ip route 192.168.1.1 gateway tunnel 1
ip route 192.168.2.1 gateway tunnel 2
ip keepalive 1 icmp-echo 5 5 192.168.1.1 #注釈4
ip keepalive 2 icmp-echo 5 5 192.168.2.1 #注釈4
ip keepalive 12 icmp-echo 5 5 192.168.0.1 #注釈4
ip icmp redirect send off #注釈5
|
| DNSの設定 |
dns server (ISP2が指定したDNSサーバーのIPアドレス)
dns private address spoof on
|
| フィルタの設定 |
ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 1040 pass * 192.168.0.2 udp * 500
ip filter 1041 pass * 192.168.0.2 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
pp select 1
ip pp secure filter in 1020 1030 1040 1041 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
pp enable 1
|
RT250iの設定例
LANの
インタフェースの設定 |
ip lan1 address 192.168.0.3/24
|
| VRRPの設定 |
ip lan1 vrrp 1 192.168.0.10 priority=50
ip lan1 vrrp 2 192.168.0.11 priority=50
|
| PRIの設定 |
line type pri1 isdn-ntt
isdn local address pri1 (RT250iの回線番号)
pp select anonymous
pp bind pri1
pp auth request chap
pp auth username (ユーザ名A) (パスワードA)
pp auth username (ユーザ名B) (パスワードB)
pp enable anonymous
ip route 192.168.1.0/24 gateway pp anonymous name= (ユーザ名A)
ip route 192.168.2.0/24 gateway pp anonymous name= (ユーザ名B)
|
RTX1200(1)の設定例
LANの
インタフェースの設定 |
ip lan1 address 192.168.1.1/24
|
WAN(ISP3)の
インタフェースの設定 |
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP3に接続するID) (ISP3に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
ip route default gateway pp 1
|
| WAN(ISDN回線)の設定 |
pp select 2
pp bind bri1
isdn remote address call (RT250iの回線番号)
pp auth accept chap
pp auth myname (ユーザ名A) (パスワードA)
pp enable 2
|
| NATの設定 |
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 esp
|
ネットワーク
バックアップ の設定 |
ip route 192.168.0.0/24 gateway tunnel 1 keepalive 1 gateway tunnel 2 weight 0 keepalive 2 gateway pp 2 weight 0 #注釈3
ip route 192.168.0.2 gateway tunnel 2
ip route 192.168.0.1 gateway tunnel 1
ip keepalive 1 icmp-echo 5 5 192.168.0.1 #注釈4
ip keepalive 2 icmp-echo 5 5 192.168.0.2 #注釈4
|
| VPN(IPsec)の設定 |
ipsec auto refresh on
|
VPN(IPsec)の設定
(主系) |
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.1.1
ipsec ike local name 1 kyoten1 key-id
ipsec ike pre-shared-key 1 text key
ipsec ike remote address 1(グローバルアドレス1)
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
tunnel select 1
ipsec tunnel 1
ipsec ike hash 1 sha
tunnel enable 1
|
VPN(IPsec)の設定
(従系) |
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on
ipsec ike local address 2 192.168.1.1
ipsec ike local name 2 kyoten1 key-id
ipsec ike pre-shared-key 2 text key
ipsec ike remote address 2(グローバルアドレス2)
ipsec sa policy 2 2 esp 3des-cbc sha-hmac
tunnel select 2
ipsec tunnel 2
ipsec ike hash 2 sha
tunnel enable 2
|
| DHCPの設定 |
dhcp service server
dhcp scope 1 192.168.1.2-192.168.1.100/24
|
| DNSの設定 |
dns server(ISP3から指定されたDNSサーバーのIPアドレス)
dns private address spoof on
|
| フィルタの設定 |
ip filter source-route on
ip filter directed-broadcast on
ip filter 1001 reject 192.168.1.0/24 *
ip filter 1002 pass * 192.168.1.0/24 icmp
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 pass(グローバルアドレス1)192.168.1.1 udp * 500
ip filter 1021 pass(グローバルアドレス1)192.168.1.1 esp
ip filter 1022 pass(グローバルアドレス2)192.168.1.1 udp * 500
ip filter 1023 pass(グローバルアドレス2)192.168.1.1 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
pp select 1
ip pp secure filter in 1001 1002 1020 1021 1022 1023 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
pp enable 1
|
RTX1200(2)の設定例
LANの
インタフェースの設定 |
ip lan1 address 192.168.2.1/24
|
WAN(ISP4)の
インタフェースの設定 |
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISP4に接続するID) (ISP4に接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
ip route default gateway pp 1
|
| WAN(ISDN回線)の設定 |
pp select 2
pp bind bri1
isdn remote address call (RT250iの回線番号)
pp auth accept chap
pp auth myname (ユーザ名B) (パスワードB)
pp enable 2
|
| NATの設定 |
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.2.1 udp 500
nat descriptor masquerade static 1 2 192.168.2.1 esp
|
ネットワーク
バックアップ の設定 |
ip route 192.168.0.0/24 gateway tunnel 2 keepalive 2 gateway tunnel 1 weight 0 keepalive 1 gateway pp 2 weight 0 #注釈3
ip route 192.168.0.2 gateway tunnel 2
ip route 192.168.0.1 gateway tunnel 1
ip keepalive 1 icmp-echo 5 5 192.168.0.1 #注釈4
ip keepalive 2 icmp-echo 5 5 192.168.0.2 #注釈4
|
| VPN(IPsec)の設定 |
ipsec auto refresh on
|
VPN(IPsec)の設定
(主系) |
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.2.1
ipsec ike local name 1 kyoten2 key-id
ipsec ike pre-shared-key 1 text key
ipsec ike remote address 1 (グローバルアドレス1)
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
tunnel select 1
ipsec tunnel 1
ipsec ike hash 1 sha
tunnel enable 1
|
VPN(IPsec)の設定
(従系) |
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on
ipsec ike local address 2 192.168.2.1
ipsec ike local name 2 kyoten2 key-id
ipsec ike pre-shared-key 2 text key
ipsec ike remote address 2 (グローバルアドレス2)
ipsec sa policy 2 2 esp 3des-cbc sha-hmac
tunnel select 2
ipsec tunnel 2
ipsec ike hash 2 sha
tunnel enable 2
|
| DHCPの設定 |
dhcp service server
dhcp scope 1 192.168.2.2-192.168.2.100/24
|
| DNSの設定 |
dns server (ISP4から指定されたDNSサーバーのIPアドレス)
dns private address spoof on
|
| フィルタの設定 |
ip filter source-route on
ip filter directed-broadcast on
ip filter 1001 reject 192.168.2.0/24 *
ip filter 1002 pass * 192.168.2.0/24 icmp
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 pass (グローバルアドレス1) 192.168.2.1 udp * 500
ip filter 1021 pass (グローバルアドレス1) 192.168.2.1 esp
ip filter 1022 pass (グローバルアドレス2) 192.168.2.1 udp * 500
ip filter 1023 pass (グローバルアドレス2) 192.168.2.1 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
pp select 1
ip pp secure filter in 1001 1002 1020 1021 1022 1023 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
pp enable 1
|
[注釈の説明]
注釈1:
VRRPのグループと優先度の設定です。
注釈2:
NATの影響で外側からのアクセスができなくなるので、WWWサーバーへアクセスできるように穴を開けます。
注釈3:
ネットワークバックアップ機能による経路選択の設定です。keepaliveで指定した設定により、宛先への導通を判断し自動的に経路を選択します。
注釈4:
ネットワークバックアップ機能を動作させるためのkeepaliveの設定です。この設定により、対象となったIPアドレスにパケットが到達可能かどうかを常に監視します。
注釈5:
不必要なICMP redirectメッセージの送出を押さえるための設定です。
注釈6、注釈8:
WWWサーバーへのアクセスのうち、最初のパケット(SYN)だけを通すフィルタです。その後に引き続く通信は、注釈6の動的フィルタで通します。
注釈7:
WWWサーバーをメンテナンスするために使うtelnetの通信を通すフィルタです。
ページトップへ戻る
技術情報(RTpro)