高度なネットワーク導入シナリオ
この章では、高度な導入シナリオについて説明します。この章全体で導入シナリオに使用されている設定は、GSM 用です。同じ設定にわずかな変更を加えることで、CDMA 導入シナリオに使用できます。
NAT/PAT および IPSec を使用したプライマリおよびバックアップの導入
図 5-1 には、プライマリ リンクとして DSL インターフェイスを使用し、バックアップ リンクとしてセルラー インターフェイスを使用する導入が示されています。この導入では、ブランチ オフィス ルータのホストとパブリック ネットワーク経由の本社サイトのホスト間のセキュア通信に、ブランチ オフィスで NAT/PAT および IPSec を使用します。この導入により、インターネット上のホストとのノンセキュア(非 IPsec)通信も行えるようになります。
図 5-1 NAT/PAT および IPSec を使用したプライマリおよびバックアップの導入
ブランチ オフィス ルータの設定
例 5-1 ブランチ オフィス ルータの設定
この設定内で青色の斜体で記載されたテキストは コメント を示すために使用されており、通常のコンソール出力を表示した場合には表示されません。太字のテキストは、エラーが発生した場合に戻って参照するための重要なコマンドを示すために使用されています。デバッグする場合は、太字で示されているすべてのコマンドがコンソール出力でも同じであることを確認します。
特に明記されていない限り、太字のテキストは基本セルラー コマンドに関連付けられているコマンドを示します。太字のテキストは暗号化 IPsec 設定、バックアップ設定、IP SLA 設定、およびモバイル IP の設定など、他の設定にも使用されます。これらの各設定に関連付けられているコマンドはサンプル全体にわたって呼び出されるため、デバッグ時に簡単に参照できます。
! この設定では、信頼できるオブジェクト トラッキングを使用した IP SLA が使用されます。この設定は
! 任意です。これを使用して、このプライマリ インターフェイスを介した外部ネットワークで、
! ICMP の ping を使用して、ある既知の IP 宛先アドレスへのプライマリ(DSL)インターフェイスを介した
! 接続性のトラッキングを行えます。ping への応答の受信に失敗すると、プライマリ インターフェイスを介した
! デフォルト ルートがルーティング テーブルから削除され、セルラー インターフェイスを介した
! (より高い管理距離で設定されている)デフォルト ルートが有効なパスになり、
! バックアップ パスを介して接続できるようになります。
! これが設定されていなくても、PPP/物理層でネットワーク接続障害を検出し、
! バックアップ(セルラー)インターフェイスへのスイッチオーバーを行う
! 'backup interface ...' コマンドを使用して、
ip dhcp excluded-address 10.4.0.254
! 基本的に、このコマンドはどのホストに対しても IP アドレス 10.4.0.254 の割り当てを行いません。
! これは、このアドレスが VLAN 104 のファスト イーサネット ポート 0/1/0 から 0/3/0 で
! 接続されているホストのデフォルト ゲートウェイ アドレスとして使用されているからです。
network 10.4.0.0 255.255.0.0
dns-server 66.209.10.201 66.102.163.231
default-router 10.4.0.254
! VLAN 104 のファスト イーサネット ポート 0/1/0 から 0/3/0 に接続されている
chat-script gsmscript "" "atdt*98*1#" TIMEOUT 20 "CONNECT"
! セルラー インターフェイスを介したダイヤル アウトへのチャット スクリプト。
username cisco privilege 15 secret 5 $1$ccw8$TFmKUmI4QVZhOMuxzq/SH/
track 234 rtr 1 reachability
! operation 1 を使用して、到達可能性のトラッキングに使用されるトラッキング対象のオブジェクト番号 234
! を設定します。オブジェクトは、到達可能性条件が満たされる場合は 'UP' です。
! これは、(プライマリ リンクとして使用される)ATM DSL インターフェイスを介して ping パケットを送信し、
! 応答を監視するために使用されます。また、応答がない場合に(セルラーへの)スイッチオーバーが
! (priority 1 を設定して)IKE ポリシーを定義し、IKE ネゴシエーション中に 3DES を指定します。また、
! 事前定義されたキーを使用して事前共有認証を指定します。ライフタイムの値(1 日に 86,400 秒に設定)、
! グループ(768 ビットディフィー・ヘルマン鍵共有に設定)、
! およびハッシュ(SHA-1 に設定)は、デフォルト値に設定されます。
crypto isakmp key mykey address 20.20.241.234
! セキュリティ アソシエーションの設定に使用されるキー(mykey)
! およびゲートウェイの IP アドレス(IPsec peer)を定義します。
crypto ipsec transform-set mytransformset ah-sha-hmac esp-3des
! セキュリティ プロトコル、アルゴリズム、および他の設定の許容可能な組み合わせである
! トランスフォーム セット(mytransformset)を定義して、IPsec で保護されている
crypto map gsm1 10 ipsec-isakmp
set transform-set mytransformset
! クリプト マップは(match address <access-list> コマンドを使用して)保護対象のトラフィック、
! 使用するピア エンド ポイント、および使用するトランスフォーム セット
! (以前に定義した mytransformset)を指定します。
ip address 1.1.1.1 255.255.255.255
interface GigabitEthernet0/0
interface GigabitEthernet0/1
interface FastEthernet0/1/0
switchport access vlan 104
interface FastEthernet0/1/1
switchport access vlan 104
interface FastEthernet0/1/2
switchport access vlan 104
interface FastEthernet0/1/3
switchport access vlan 104
! DHCP クライアント ホストによって使用されるファスト イーサネット ポート。
! プライマリ インターフェイスとして使用される ATM(DSL)物理インターフェイス。
interface ATM0/0/0.1 point-to-point
pppoe-client dial-pool-number 2
! プライマリ接続として PVC に使用する ATM サブインターフェイス。このインターフェイスでは
! pppoe-client dial-pool-number 2 は PPP over Ethernet(PPOE)クライアントを設定し、
! 使用するダイヤラ プール 2 を指定します。このインターフェイスは、以下で定義されている 'interface
ppp chap hostname isp-provided-hostname
ppp chap password 0 isp-provided-password
! 上記で定義したクリプト マップ gsm1 を、このバックアップ インターフェイスに適用します。
! dialer-group 1 は group number 1 を定義します。この設定では、これは以下で指定される
! dialer-list 1...コマンドに関連付けられます。これは、ダイヤル アウトをトリガーし、
! PPP を確立した後にインターフェイスをオンラインにする「対象のトラフィック」を
! 定義します。通常、このインターフェイスはスタンバイ状態のままになることに注意してください。このため、
! 対象のトラフィックではダイヤル アウトはトリガーされません。トラフィックはすでに
! プライマリ(ATM DSL)インターフェイスを介してフローしています。
! NAT のインターフェイスを外部で定義します。
description ip address used as default gateway address for DHCP clients
ip address 10.4.0.254 255.255.0.0
! NAT(内部インターフェイス)を使用して、ファスト イーサネット ポート 0/1/0 から 0/1/3
! に接続されたホストに VLAN 104 を定義します
ppp authentication chap callin
ppp chap hostname isp-provided-hostname
ppp chap password 0 isp-provided-password
ppp pap sent-username isp-provided-hostname password 0 isp-provided-password
! dialer pool 2 コマンドはこのダイヤラ インターフェイスをATM サブインターフェイス
! atm0/0/0.1 に関連付けます。'dialer-group 2' は group number 2 を定義します。この設定では、
! これは以下で指定されている dialer-list 2... コマンドに関連付けられます。これは、PPP を確立した後に、
! ダイヤル アウトをトリガーし、インターフェイスをオンラインにする「対象のトラフィック」
! NAT のインターフェイスを外部で定義します。
! 上記で定義したクリプト マップ gsm1 をこのプライマリ インターフェイスに適用します。
ip local policy route-map track-primary-if
! ルート マップの track-primary-if で定義されているように、
ip route 0.0.0.0 0.0.0.0 Dialer2 track 234
! 上記で定義したトラッキング オブジェクト(234)を指定し、ダイヤラ 2(ATM DSL)
! ルートはトラッキング対象オブジェクト(234)が 'UP' である場合のみインストールされます。
ip route 0.0.0.0 0.0.0.0 Cellular0/3/0 254
! 管理距離を 254(ダイヤラ 2 のインターフェイスより高い)に設定して、
! セルラー インターフェイスを介してデフォルト ルートを定義します。通常このインターフェイスは
! バックアップ インターフェイスとして想定されているからです。
ip http authentication local
ip http timeout-policy idle 5 life 86400 requests 10000
ip nat inside source route-map nat2cell interface Cellular0/3/0 overload
! セルラー インターフェイスを介して、外部 NAT トラフィックの条件としてルート マップ nat2cell を
! 定義します(以下で指定)。'overload' オプションを使用すると、PAT が使用されるようになります。
! ルート マップ nat2cell で定義されている条件が満たされる場合に、このコマンドが使用されます。
ip nat inside source route-map nat2dsl interface Dialer2 overload
! 上記と同様に、ダイヤラ 2 インターフェイス(ATM DSL)を使用して、外部 NAT トラフィックに対して
! ルート マップ nat2cell を(以下で定義されているように)定義します。'overload' オプションを
! 使用すると、PAT が使用されるようになります。
! ルート マップ nat2dsl で定義されている条件が満たされる場合に、このコマンドが使用されます。
icmp-echo 209.131.36.158 source-interface Dialer2
ip sla schedule 1 life forever start-time now
! 2 秒間隔(frequency 2)で、ping への応答に 1000 ミリ秒の待機(タイムアウト 1000)を設定し、
! ソース インターフェイスとしてダイヤラ 2(ATM DSL)を使用して、
! IP アドレス 209.131.36.158 に ping を送信するためのサービス レベル契約(SLA)を
! 定義された SLA を開始し、これを継続的に実行します。
! 以下の 'dialer-list 1 protocol ip list 1' コマンドに関連付けられています
access-list 101 permit ip 10.4.0.0 0.0.255.255 any
! ルート マップ nat2dsl と nat2cell の下に定義されているように、
! 適切な発信インターフェイスを決定するために、トラフィックが一致するように指定します
! (ネットワーク 10.4.0.0 のソース アドレスと一致)。
access-list 102 permit icmp any host 209.131.36.158
! このインターフェイスがアクティブな場合にのみ、ATM DSL インターフェイスを介して送信されるように、
! ルート マップ 'track-primary-interface' のトラフィックを指定します。
! この特定のアドレスは、ATM DSL インターフェイス(プライマリ リンク)を介して定期的に ping される
! アドレスであるため、リンク/PPP レベル以外のネットワーク障害も検出される場合があり、
! セルラー(セカンダリ)インターフェイスへのスイッチオーバーが
! ping されるアドレスが信頼でき、ping に応答することを確認します。
access-list 103 permit ip host 166.138.186.119 20.20.0.0 0.0.255.255
access-list 103 permit ip host 75.40.113.246 20.20.0.0 0.0.255.255
! クリプト マップ gsm1 の下に定義されたとおりの、
! IPsec に対して保護されたトラフィックの指定。
! ソース アドレス(166.138.186.119 および 75.40.113.246)は、セルラー インターフェイス(セカンダリ)
! とATM DSL インターフェイス(プライマリ)の IP アドレスです。
! 20.20.0.0 は宛先ネットワークであり、対応するゲートウェイが接続されています
dialer-list 1 protocol ip list 1
! セルラー インターフェイスがダイヤル アウトする原因となる 'interesting traffic' を指定します。
! それによって、access-list 1 が(上記で定義されたこのコマンドの一部として)さらに指定されます。
dialer-list 2 protocol ip permit
! ATM DSL インターフェイスが(ダイヤラ 2 インターフェイスの一部として)ダイヤル アウトするようにする
! 'interesting traffic' を指定します。
route-map track-primary-if permit 10
set interface Dialer2 null0
! ローカル ルーティング用にポリシー条件として使用されるルート マップを指定します
! (上記の関連するコマンド 'ip local policy route-map track-primary-if'
! これが宛先 209.131.36.158 の ping パケットで、インターフェイス ダイヤラ 2
! (ATM DSL)が 'UP' の状態で接続されている場合、ping パケットを送信します。この ping パケットは、
! ATM DSL インターフェイスを介してのみ送信され、セルラー インターフェイスを介しては送信されません。
! これは、接続が失敗したときにスイッチオーバーを実行するために、ATM DSL インターフェイスを介して
! 接続(到達可能性)を定期的にモニタリングするためです。
route-map nat2dsl permit 10
! 上記のアクセス リスト 101 によって定義されている一致条件を満たし、
! ダイヤラ 2 インターフェイスが 'UP' の状態で接続されている場合、
! このルート マップが使用されるように指定します。
! トラフィックのソースが 10.4.0.0 ネットワークからのものであり、
! インターフェイスのダイヤラ 2 が 'UP' の状態で DSL ネットワークに接続されている場合、
! このルート マップが 'ip nat inside source nat2dsl ...' コマンドによって使用されます。
route-map nat2cell permit 10
match interface Cellular0/3/0
! 上記のアクセス リスト 101 によって定義されている一致条件を満たし、
! ダイヤラ 2 インターフェイスが 'UP' の状態で接続されている場合、
! このルート マップが使用されるように指定します。
! トラフィックのソースが 10.4.0.0 ネットワークからのものであり、
! インターフェイス セルラーが 'UP' の状態でセルラー ネットワークに接続されている場合、このルート マップ
! が'ip nat inside source nat2cell ...' コマンドによって使用されます。
! スイッチオーバーで、プライマリおよびバックアップ インターフェイスから NAT エントリを削除します。
event manager applet pri_back
event track 234 state any
action 2.0 cli command "clear ip nat trans forced"
scheduler allocate 20000 1000
本社サイトのルータの設定
例 5-2 本社サイトのルータの設定
この設定内で青色の斜体で記載されたテキストはコメントを示すために使用されており、通常のコンソール出力を表示した場合には表示されません。太字のテキストは、エラーが発生した場合に戻って参照するための重要なコマンドを示すために使用されています。デバッグする場合は、太字で示されているすべてのコマンドがコンソール出力でも同じであることを確認します。
太字のテキストは基本セルラー設定、暗号化 IPsec 設定、IP SLA バックアップ設定、およびモバイル IP 設定の呼び出しに使用されます。これらの各設定に関連付けられている次の各コマンドは、サンプル全体にわたって呼び出されるため、デバッグ時に簡単に参照できます。
ip dhcp excluded-address 20.20.248.254
ip dhcp excluded-address 20.20.248.253
ip dhcp excluded-address 20.20.248.225
ip dhcp excluded-address 10.10.0.254
ip dhcp excluded-address 10.10.0.1
network 20.20.248.224 255.255.255.224
default-router 20.20.248.254
! 20.20 ネットワーク上のホストの DHCP プール
network 10.10.0.0 255.255.0.0
default-router 10.10.0.254
! 10.10.0.0 ネットワーク上の VPN のホストの DHCP プール
username cisco privilege 15 secret 5 $1$QF4K$Z1rE.mwS69FVx1e5l9DCU1
crypto isakmp key mykey address 0.0.0.0 0.0.0.0
crypto ipsec transform-set mytset ah-sha-hmac esp-3des
crypto dynamic-map gw_map 10
description IPsec tunnel to DSL/Cellular at remote branch-router
crypto map mytunnelcrypto 10 ipsec-isakmp dynamic gw_map
! リモート ブランチ ルータで、IPsec トンネルの mytunnelcrypto マップを
! ATM DSL/ およびセルラー インターフェイスに定義します。
interface GigabitEthernet0/0
description connected to cisco network, next hop:20.20.241.233
ip address 20.20.241.234 255.255.255.252
crypto map mytunnelcrypto
! クリプト マップを適用する物理インターフェイス。上記の IPsec トンネルが
interface GigabitEthernet0/1
interface FastEthernet0/1/0
switchport access vlan 10
! VPN のホストが(10.10.0.0 ネットワークで)接続されるファスト イーサネット ポート。
interface FastEthernet0/1/8
switchport stacking-partner interface FastEthernet0/3/8
interface FastEthernet0/3/0
switchport access vlan 20
! 他のホストが(20.20 ネットワークで)接続されるファスト イーサネット ポート。
interface FastEthernet0/3/8
switchport stacking-partner interface FastEthernet0/1/8
description private networking vlan
ip address 10.10.0.254 255.255.0.0
! VPN のホストの VLAN(10.10.0.0 ネットワーク内)
description network:20.20.248.224/27
ip address 20.20.248.254 255.255.255.224
! 他のホストの VLAN(20.20 ネットワーク内)
ip route 0.0.0.0 0.0.0.0 20.20.241.233
! GigabitEthernet0/0 インターフェイスのネクスト ホップを介するデフォルト ルート。
access-list 101 permit ip host 20.20.241.234 host 75.40.113.246
! IPsec で保護されるトラフィックを定義するアクセス リスト。これは、
! リモート エンドで DSL インターフェイスに送信されるトラフィックです。
access-list 101 permit ip host 20.20.241.234 host 166.138.186.119
! IPsec で保護されるトラフィックを定義するアクセス リスト。これは、
! リモート エンドでセルラー インターフェイスに送信されるトラフィックです。
scheduler allocate 20000 1000
webvpn context Default_context
ssl authenticate verify all
GRE トンネルおよび IPSec を使用したプライマリおよびバックアップの導入
この導入では、パブリック ネットワークを介したブランチ オフィスのルータのホストと本社サイトのホストの間でセキュアな通信を行うために、GRE トンネルと IPsec をブランチ オフィスで使用して、プライマリ リンクとして DSL インターフェイスを使用し、バックアップ リンクとしてセルラー インターフェイスを使用します。この導入により、インターネット上のホストとのノンセキュア(非 IPsec)通信も行えるようになります。ダイナミック ルーティングを使用した GRE トンネル経由の IPSec 構成の詳細については、「 Configuring a GRE Tunnel over IPsec with OSPF 」を参照してください。
図 5-2 GRE トンネルおよび IPSec を使用したプライマリおよびバックアップの導入
ブランチ オフィス ルータの設定
例 5-3 ブランチ オフィス ルータの設定
この設定内で青色の斜体で記載されたテキストは コメント を示すために使用されており、通常のコンソール出力を表示した場合には表示されません。太字のテキストは、エラーが発生した場合に戻って参照するための重要なコマンドを示すために使用されています。デバッグする場合は、太字で示されているすべてのコマンドがコンソール出力でも同じであることを確認します。
特に明記されていない限り、太字のテキストは基本セルラー コマンドに関連付けられているコマンドを示します。太字のテキストは暗号化 IPsec 設定、バックアップ設定、IP SLA 設定、およびモバイル IP の設定など、他の設定にも使用されます。これらの各設定に関連付けられているコマンドはサンプル全体にわたって呼び出されるため、デバッグ時に簡単に参照できます。
次の設定では、信頼できるオブジェクト トラッキングを使用した IP SLA が使用されます。この設定は任意です。
ip dhcp excluded-address 10.4.0.254
! このアドレスは、VLAN 104 のファスト イーサネット ポート 0/1/0 から 0/3/0 上で
! 接続されているホストのデフォルト ゲートウェイ アドレスとして使用されます。
network 10.4.0.0 255.255.0.0
dns-server 66.209.10.201 66.102.163.231
default-router 10.4.0.254
! VLAN 104 のファスト イーサネット ポート 0/1/0 から 0/3/0 に
chat-script gsmscript "" "atdt*98*1#" TIMEOUT 30 "CONNECT"
! セルラー インターフェイスを介したダイヤル アウトへのチャット スクリプト。
username cisco privilege 15 secret 5 $1$ccw8$TFmKUmI4QVZhOMuxzq/SH/
track 234 rtr 1 reachability
! operation 1 を使用して、到達可能性のトラッキングに使用されるトラッキング対象のオブジェクト番号 234
! を設定します。オブジェクトは、到達可能性条件が満たされる場合は 'UP' です。
! これは、(プライマリ リンクとして使用される)ATM DSL インターフェイスを介して ping パケットを送信し、
! 応答を監視するために使用されます。また、応答がない場合に(セルラーへの)スイッチオーバーが
! (priority 1 を設定して)IKE ポリシーを定義し、IKE ネゴシエーション中に 3DES を指定します。また、
! 事前定義されたキーを使用して事前共有認証を指定します。ライフタイムの値(1 日に 86,400 秒に設定)、
! グループ(768 ビットディフィー・ヘルマン鍵共有に設定)、
! およびハッシュ(SHA-1 に設定)は、デフォルト値に設定されます。
crypto isakmp key mykey address 20.20.241.234
! セキュリティ アソシエーションの設定に使用されるキー(mykey)
! およびゲートウェイの IP アドレス(IPsec peer)を定義します。
crypto ipsec transform-set mytransformset ah-sha-hmac esp-3des
! セキュリティ プロトコル、アルゴリズム、および他の設定の許容可能な組み合わせである
! トランスフォーム セット(mytransformset)を定義して、IPsec で保護されている
crypto map mytunnelcrypto 10 ipsec-isakmp
set transform-set mytransformset
match address gre-traffic
! クリプト マップの mytunnelcrypto を定義します
! クリプト マップは(match address <access-list> コマンドを使用して)保護対象のトラフィック、
! 使用するピア エンド ポイント、および使用するトランスフォーム セット
! (以前に定義した mytransformset)を指定します。
tunnel destination 20.20.241.234
! 宛先 10.10.0.0 のネットワークへのトラフィックの GRE トンネル。ATM DSL(プライマリ)インター
! フェイスに関連付けられたトンネル。このトンネルは、通常 'UP' の状態です。リモート トンネルのエンド
! ポイント(20.20.241.234)は、リモート VPN ゲートウェイにあります。ローカル トンネルのエンドポイント
! は、ATM DSL リンクによって取得されるアドレスです。
ip unnumbered Cellular0/3/0
tunnel source Cellular0/3/0
tunnel destination 20.20.241.234
! 宛先 10.10.0.0 のネットワークへのトラフィックの GRE トンネル。ATM DSL(プライマリ)インターフェイ
! スに関連付けられたトンネル。セルラー(セカンダリ)インターフェイス。このトンネルは、通常 'Down' の
! 状態です。リモート トンネルのエンドポイント(20.20.241.234)は、リモート VPN ゲートウェイにありま
! す。ローカル トンネルのエンドポイントは、セルラー リンクによって取得されるアドレスです。このトンネルは、
! セルラー インターフェイスでスイッチオーバーが行われると 'UP' になります。
ip address 1.1.1.1 255.255.255.255
interface GigabitEthernet0/0
interface GigabitEthernet0/1
interface FastEthernet0/1/0
switchport access vlan 104
interface FastEthernet0/1/1
switchport access vlan 104
interface FastEthernet0/1/2
switchport access vlan 104
interface FastEthernet0/1/3
switchport access vlan 104
! DHCP クライアント ホストによって使用されるファスト イーサネット ポート
! プライマリ インターフェイスとして使用される ATM(DSL)物理インターフェイス
interface ATM0/0/0.1 point-to-point
pppoe-client dial-pool-number 2
! プライマリ接続として PVC に使用する ATM サブインターフェイス。このインターフェイスでは
! pppoe-client dial-pool-number 2 は PPP over Ethernet (PPOE) クライアントを設定し、
! 使用するダイヤラ プール 2 を指定します。このインターフェイスは、
! 'interface Dialer 2' に関連付けられています。
ppp chap hostname crlaswlech@wwan.ccs
ppp chap password 0 frludi3gIa
crypto map mytunnelcrypto
! 上記で定義したクリプト マップ mytunnelcrypto を、このバックアップ インターフェイスに適用します。
! dialer-group 1 は group number 1 を定義します。
! この設定では、これは以下に定義されている 'dialer-list 1 ...' コマンドに関連付けられます。これは、
! ダイヤル アウトをトリガーし、PPP を確立した後にインターフェイス をオンラインにする「対象のトラフィッ
! ク」を定義します。通常、このインターフェイスはスタンバイ状態のままになることに注意してください。
! このため、対象のトラフィックではダイヤル アウトはトリガーされません。トラフィックはすでに
! プライマリ(ATM DSL)インターフェイスを介してフローしています。
! NAT のインターフェイスを外部で定義します。
description used as default gateway address for DHCP clients
ip address 10.4.0.254 255.255.0.0
! NAT(内部インターフェイス)を使用して、ファスト イーサネット ポート 0/1/0 から 0/1/3 に
! 接続されたホストに VLAN 104 を定義します。
! NAT/PAT は、トンネルを介してピア ゲートウェイの 20.20.0.0 ネットワークに送信されるように
ppp authentication chap callin
ppp chap hostname cisco@cisco.com
ppp chap password 0 cisco123
ppp pap sent-username cisco@cisco.com password 0 cisco123
crypto map mytunnelcrypto
! "dialer pool 2 コマンドは、このダイヤラ インターフェイスを ATM サブ インターフェイス
! atm0/0/0.1 に関連付けます。'dialer-group 2' は group number 2 を定義します。この設定では、
! これは以下で指定されている 'dialer-list 2 ...' コマンドに関連付けられます。これは、PPP を確立した
! 後に、ダイヤル アウトをトリガーし、インターフェイスをオンラインにする
! NAT のインターフェイスを外部で定義します。
! 上記で定義したクリプト マップ mytunnelcrypto をこのプライマリ インターフェイスに適用します。
ip local policy route-map track-primary-if
! ルート マップの track-primary-if で定義されているように、
ip route 0.0.0.0 0.0.0.0 Dialer2 track 234
! 上記で定義したトラッキング オブジェクト(234)を指定し、ダイヤラ 2(ATM DSL)
! ルートはトラッキング対象オブジェクト(234)が 'UP' である場合のみインストールされます。
ip route 0.0.0.0 0.0.0.0 Cellular0/3/0 254
! 管理距離を 254(ダイヤラ 2 のインターフェイスより高い)に設定して、
! セルラー インターフェイスを介してデフォルト ルートを定義します。通常このインターフェイスは
! バックアップ インターフェイスとして想定されているからです。
ip route 10.10.0.0 255.255.0.0 Tunnel1
! リモート 10.10.0.0 VPN ネットワークへのルートは、ATM DSL(プライマリ)インターフェイスに
! 関連付けられた GRE トンネルを経由します。
ip route 10.10.0.0 255.255.0.0 Tunnel2 254
! リモート 10.10.0.0 VPN ネットワークへのルートは、セルラー(セカンダリ)インターフェイスに
! 関連付けられた GRE トンネルを経由します。管理距離は 254(Tunnel1 のものよりも高い)に
ip nat inside source route-map nat2cell interface Cellular0/3/0 overload
! セルラー インターフェイスを介して、外部 NAT トラフィックの条件としてルート マップ nat2cell を定義し
! ます(以下で指定)。'overload' オプションを使用すると、PAT が使用されるようになります。
! ルート マップ nat2cell で定義されている条件が満たされる場合に、このコマンドが使用されます。
ip nat inside source route-map nat2dsl interface Dialer2 overload
! 上記と同様に、ダイヤラ 2 インターフェイス(ATM DSL)を使用して、外部 NAT トラフィックに対して
! route-map nat2cell を(以下で定義されているように)定義します。'overload' オプションを使用すると、
! ルート マップ nat2dsl で定義されている条件が満たされる場合に、このコマンドが使用されます。
ip access-list extended gre-traffic
permit gre host 75.40.113.246 host 20.20.241.234
permit gre host 166.138.186.119 host 20.20.241.234
! GRE トンネルを経由して IPSec トラフィックを保護するための gre-traffic アクセス リスト。
! これは DSL/セルラー インターフェイス(どちらかアクティブな方)と、
! リモート ゲートウェイ上の IPsec ピア(20.20.241.234)を介した GRE トンネリング
icmp-echo 209.131.36.158 source-interface Dialer2
ip sla schedule 1 life forever start-time now
! 2 秒間隔(frequency 2)で、ping への応答に 1000 ミリ秒の待機(タイムアウト 1000)を設定し、
! ソース インターフェイスとしてダイヤラ 2(ATM DSL)を使用して、
! IP アドレス 209.131.36.158 に ping を送信するための
! 定義された SLA を開始し、これを継続的に実行します。
! 以下の 'dialer-list 1 protocol ip list 1' コマンドに関連付けられています
access-list 101 permit ip 10.4.0.0 0.0.255.255 any
! ルート マップ nat2dsl と nat2cell の下に定義されているように、
! 適切な発信インターフェイスを決定するために、トラフィックが一致するように
! 指定します(ネットワーク 10.4.0.0 のソース アドレスと一致)。
access-list 102 permit icmp any host 209.131.36.158
! このインターフェイスがアクティブな場合にのみ、ATM DSL インターフェイスを介して
! 送信されるように、ルート マップ 'track-primary-interface' のトラフィックを指定します。
! この特定のアドレスは、ATM DSL インターフェイス(プライマリ リンク)を介して定期的に ping される
! アドレスであるため、リンク/PPP レベル以外のネットワーク障害も検出される場合があり、
! セルラー(セカンダリ)インターフェイスへのスイッチオーバーがまだ実行される
! ping されるアドレスが信頼でき、ping に応答することを確認します。
dialer-list 1 protocol ip list 1
! セルラー インターフェイスがダイヤル アウトする原因となる 'interesting traffic' を指定します。
! それによって、access-list 1 が(上記で定義されたこのコマンドの一部として)さらに指定されます。
dialer-list 2 protocol ip permit
! ATM DSL インターフェイスが(ダイヤラ 2 インターフェイスの一部として)ダイヤル アウトするようにする
! 'interesting traffic' を指定します。
route-map track-primary-if permit 10
set interface Dialer2 null0
! ローカル ルーティング用にポリシー条件として使用されるルート マップを指定します
! (上記の関連するコマンド 'ip local policy route-map track-primary-if'
! これが宛先 209.131.36.158 の ping パケットで、インターフェイス ダイヤラ
! 2(ATM DSL)が 'UP' の状態で接続されている場合、ping パケットを送信します。この ping パケットは、
! ATM DSL インターフェイスを介してのみ送信され、セルラー インターフェイスを介しては送信されません。
! これは、接続が失敗したときにスイッチオーバーを実行するために、ATM DSL インターフェイスを介して
! 接続(到達可能性)を定期的にモニタリングするためです。
route-map nat2dsl permit 10
! 上記のアクセス リスト 101 によって定義されている一致条件を満たし、
! ダイヤラ 2 インターフェイスが 'UP' の状態で接続されている場合、
! このルート マップが使用されるように指定します。
! トラフィックのソースが 10.4.0.0 ネットワークからのものであり、
! インターフェイスのダイヤラ 2 が 'UP' の状態で DSL ネットワークに接続されている場合、
! このルート マップが 'ip nat inside source nat2dsl ...' コマンドによって使用されます。
route-map nat2cell permit 10
match interface Cellular0/3/0
! 上記のアクセス リスト 101 によって定義されている一致条件を満たし、
! ダイヤラ 2 インターフェイスが 'UP' の状態で接続されている場合、
! このルート マップが使用されるように指定します。
! トラフィックのソースが 10.4.0.0 ネットワークからのものであり、
! インターフェイス セルラーが 'UP' の状態でセルラー ネットワークに接続されている場合、このルート マップ
! が 'ip nat inside source nat2cell ...' コマンドによって使用されます。
! スイッチオーバーで、プライマリおよびバックアップ インターフェイスから NAT エントリを削除します。
event manager applet pri_back
event track 234 state any
action 2.0 cli command "clear ip nat trans forced"
scheduler allocate 20000 1000
本社サイトのルータの設定
例 5-4 本社サイトのルータの設定
この設定内で青色の斜体で記載されたテキストはコメントを示すために使用されており、通常のコンソール出力を表示した場合には表示されません。太字のテキストは、エラーが発生した場合に戻って参照するための重要なコマンドを示すために使用されています。デバッグする場合は、太字で示されているすべてのコマンドがコンソール出力でも同じであることを確認します。
太字のテキストは基本セルラー設定、暗号化 IPsec 設定、IP SLA バックアップ設定、およびモバイル IP 設定の呼び出しに使用されます。これらの各設定に関連付けられている次の各コマンドは、サンプル全体にわたって呼び出されるため、デバッグ時に簡単に参照できます。
ip dhcp excluded-address 20.20.248.254
ip dhcp excluded-address 20.20.248.253
ip dhcp excluded-address 20.20.248.225
ip dhcp excluded-address 10.10.0.254
ip dhcp excluded-address 10.10.0.1
network 20.20.248.224 255.255.255.224
default-router 20.20.248.254
! 20.20 ネットワーク上のホストの DHCP プール
network 10.10.0.0 255.255.0.0
default-router 10.10.0.254
! 10.10.0.0 ネットワーク上の VPN のホストの DHCP プール
username cisco privilege 15 secret 5 $1$QF4K$Z1rE.mwS69FVx1e5l9DCU1
crypto isakmp key mykey address 0.0.0.0 0.0.0.0
crypto ipsec transform-set mytset ah-sha-hmac esp-3des
crypto dynamic-map gre_tunnel2 10
description IPsec tunnel to DSL at remote
match address gre-tunnel2
crypto dynamic-map gre_tunnel21 10
description IPsec tunnel to Cellular at remote
match address gre-tunnel21
crypto map mytunnelcrypto 10 ipsec-isakmp dynamic gre_tunnel2
crypto map mytunnelcrypto 20 ipsec-isakmp dynamic gre_tunnel21
! リモート ブランチ ルータで、トンネルの mytunnelcrypto マップを ATM DSL インターフェイス
! (Tunnel2)およびセルラー インターフェイス(Tunnel21)に定義します。
description tunnel to remote DSL link 75.40.113.246
tunnel source GigabitEthernet0/0
tunnel destination 75.40.113.246
! リモート ブランチ ルータの ATM DSL インターフェイスへのトンネル。通常、これは
description tunnel to remote Cellular link 166.138.186.119
tunnel source GigabitEthernet0/0
tunnel destination 166.138.186.119
! リモート ブランチ ルータのセルラー インターフェイスへのトンネル。リモート エンドでの DSL インター
! フェイスを介した接続がダウンしない限り、通常、このトンネルはアクティブではありません。
interface GigabitEthernet0/0
description connected to cisco network, next hop:20.20.241.233
ip address 20.20.241.234 255.255.255.252
crypto map mytunnelcrypto
! クリプト マップを適用する物理インターフェイス。上記のトンネルが
interface GigabitEthernet0/1
interface FastEthernet0/1/0
switchport access vlan 10
! VPN のホストが(10.10.0.0 ネットワークで)接続されるファスト イーサネット ポート。
interface FastEthernet0/1/8
switchport stacking-partner interface FastEthernet0/3/8
interface FastEthernet0/3/0
switchport access vlan 20
! 他のホストが(20.20 ネットワークで)接続されるファスト イーサネット ポート。
interface FastEthernet0/3/8
switchport stacking-partner interface FastEthernet0/1/8
description private networking vlan
ip address 10.10.0.254 255.255.0.0
! VPN のホストの VLAN(10.10.0.0 ネットワーク内)
description network:20.20.248.224/27
ip address 20.20.248.254 255.255.255.224
! 他のホストの VLAN(20.20 ネットワーク内)
ip route 0.0.0.0 0.0.0.0 20.20.241.233
ip route 10.4.0.0 255.255.0.0 Tunnel2
! DSL インターフェイスにリモート エンドポイントを持つトンネルを経由する、
!ブランチ ルータ上のリモート VPN(10.4.0.0 ネットワーク)へのルート
ip route 10.4.0.0 255.255.0.0 Tunnel21 254
! セルラー インターフェイスにリモート エンドポイントを持つトンネルを経由する、
! ブランチ ルータ上のリモート VPN(10.4.0.0 ネットワーク)へのルート。このルートの管理距離は
ip access-list extended gre-tunnel2
permit gre host 20.20.241.234 host 75.40.113.246
! IPsec で保護されるトラフィックを定義するアクセス リスト。これは、
! リモート エンドでセルラー インターフェイスに送信されるトラフィックです。
ip access-list extended gre-tunnel21
permit gre host 20.20.241.234 host 166.138.186.119
! IPsec で保護されるトラフィックを定義するアクセス リスト。これは、
! リモート エンドでセルラー インターフェイスに送信されるトラフィックです。
scheduler allocate 20000 1000
GRE トンネル、IPSec、および OSPF ルーティングを使用したプライマリおよびバックアップの導入
この導入では、パブリック ネットワークを介したブランチ オフィスのルータのホストと本社サイトのホストの間でセキュアな通信を行うために、GRE トンネルと IPsec をブランチ オフィスで使用して、プライマリ リンクとして DSL インターフェイスを使用し、バックアップ リンクとしてセルラー インターフェイスを使用します。また、VPN ネットワーク(10.4.0.0 および 10.10.0.0 ネットワーク)で OSPF を使用し、OSPF でサポートされたルーティングを行えるようにもします。この導入により、インターネット上のホストとのノンセキュア(非 IPsec)通信を行えるようになります。詳細については、「 Configuring a GRE Tunnel over IPsec with OSPF 」を参照してください。
図 5-3 GRE トンネル、IPSec、および OSPF ルーティングを使用したプライマリおよびバックアップの導入
ブランチ オフィス ルータの設定
この設定内で青色の斜体で記載されたテキストはコメントを示すために使用されており、通常のコンソール出力を表示した場合には表示されません。太字のテキストは、エラーが発生した場合に戻って参照するための重要なコマンドを示すために使用されています。デバッグする場合は、太字で示されているすべてのコマンドがコンソール出力でも同じであることを確認します。
太字のテキストは基本セルラー設定、暗号化 IPsec 設定、IP SLA バックアップ設定、およびモバイル IP 設定の呼び出しに使用されます。これらの各設定に関連付けられている次の各コマンドは、サンプル全体にわたって呼び出されるため、デバッグ時に簡単に参照できます。
次の設定では、信頼できるオブジェクト トラッキングを使用した IP SLA が使用されます。この設定は任意です。
例 5-5 ブランチ オフィス ルータの設定
no ip dhcp use vrf connected
ip dhcp excluded-address 10.4.0.254
! このアドレスは、VLAN 104 のファスト イーサネット ポート 0/1/0 から 0/3/0 上の
! 接続済みホスト用デフォルト ゲートウェイ アドレスとして使用されます。
network 10.4.0.0 255.255.0.0
dns-server 66.209.10.201 66.102.163.231
default-router 10.4.0.254
! VLAN 104 のファスト イーサネット ポート 0/1/0 から 0/3/0 に接続されている
chat-script gsmscript "" "atdt*98*1#" TIMEOUT 30 "CONNECT"
! セルラー インターフェイスを介したダイヤル アウトへのチャット スクリプト
username cisco privilege 15 secret 5 $1$ccw8$TFmKUmI4QVZhOMuxzq/SH/
track 234 rtr 1 reachability
! operation 1 を使用して、到達可能性のトラッキングに使用されるトラッキング対象のオブジェクト番号 234
! を設定します。オブジェクトは、到達可能性条件が満たされる場合は 'UP' です。
! これは、(プライマリ リンクとして使用される)ATM DSL インターフェイスを介して ping パケットを送信し、
! 応答を監視するために使用されます。また、応答がない場合に(セルラーへの)スイッチオーバーが
! (priority 1 を設定して)IKE ポリシーを定義し、IKE ネゴシエーション中に 3DES を指定します。また、
! 事前定義されたキーを使用して事前共有認証を指定します。ライフタイムの値(1 日に 86,400 秒に設定)、
! グループ(768 ビット ディフィー・ヘルマン鍵共有に設定)、
! およびハッシュ(SHA-1 に設定)は、デフォルト値に設定されます。
crypto isakmp key mykey address 20.20.241.234
! セキュリティ アソシエーションの設定に使用されるキー(mykey)およびゲートウェイの
! IP アドレス(IPsec peer)を定義します。
crypto ipsec transform-set mytransformset ah-sha-hmac esp-3des
! セキュリティ プロトコル、アルゴリズム、および他の設定の許容可能な組み合わせである
! トランスフォーム セット(mytransformset)を定義して、IPsec で保護されている
crypto map mytunnelcrypto 10 ipsec-isakmp
set transform-set mytransformset
match address gre-traffic
! クリプト マップの mytunnelcrypto を定義します
! クリプト マップは(match address <access-list> コマンドを使用して)保護対象のトラフィック、
! 使用するピア エンド ポイント、および使用するトランスフォーム セット(以前に定義した
tunnel destination 20.20.241.234
! 宛先 10.10.0.0 のネットワークへのトラフィックの GRE トンネル。ATM DSL(プライマリ)
! インターフェイスに関連付けられたトンネル。このトンネルは、通常 'UP' の状態です。リモート トンネルの
! エンドポイント(20.20.241.234)は、リモート VPN ゲートウェイにあります。ローカル トンネルのエンド
! ポイントは、ATM DSL リンクによって取得されるアドレスです。
tunnel source Cellular0/3/0
tunnel destination 20.20.241.234
! 'ip ospf demand-circuit' オプション コマンドは、OSPF Hello パケットを抑止します。これは、
! 定期的に、セルラー無線レベルの接続が不必要に(「休止」状態から)「アクティブ」状態
! 宛先 10.10.0.0 のネットワークへのトラフィックの GRE トンネル。セルラー(セカンダリ)インターフェイス
! に関連付けられたトンネル。このトンネルは、通常 'Down' の状態です。リモート トンネルの
! エンドポイント(20.20.241.234)は、リモート VPN ゲートウェイにあります。ローカル トンネルのエンド
! ポイントは、セルラー リンクによって取得されるアドレスです。このトンネルは、
! セルラー インターフェイスでスイッチオーバーが行われると 'UP' になります。
ip address 1.1.1.1 255.255.255.255
interface GigabitEthernet0/0
interface GigabitEthernet0/1
interface FastEthernet0/1/0
switchport access vlan 104
interface FastEthernet0/1/1
switchport access vlan 104
interface FastEthernet0/1/2
switchport access vlan 104
interface FastEthernet0/1/3
switchport access vlan 104
! DHCP クライアント ホストによって使用されるファスト イーサネット ポート
! プライマリ インターフェイスとして使用される ATM(DSL)物理インターフェイス
interface ATM0/0/0.1 point-to-point
pppoe-client dial-pool-number 2
! プライマリ接続として PVC に使用する ATM サブ インターフェイス。このインターフェイスでは
! 'pppoe-client dial-pool-number 2' は PPP over Ethernet(PPOE)クライアントを設定し、
! 使用するダイヤラ プール 2 を指定します。このインターフェイスは、以下で定義されている 'interface
ppp chap hostname crlaswlech@wwan.ccs
ppp chap password 0 frludi3gIa
crypto map mytunnelcrypto
! 'ip ospf demand-circuit' オプション コマンドは、OSPF Hello パケットを抑止します。これは、定期的
! に、セルラー無線レベルの接続が不必要に(「休止」状態から)「アクティブ」状態に
! 上記で定義したクリプト マップ mytunnelcrypto を、このバックアップ インターフェイスに適用します。
! 'dialer-group 1' は group number 1 を定義します。
! この設定では、これは以下に定義されている 'dialer-list 1 ...' コマンドに関連付けられます。これは、
! ダイヤル アウトをトリガーし、PPP を確立した後にインターフェイス をオンラインにする
! 「対象のトラフィック」を定義します。通常、このインターフェイスはスタンバイ状態のままになることに注意して
! ください。このため、対象のトラフィックではダイヤル アウトはトリガーされません。トラフィックはすでに
! プライマリ(ATM DSL)インターフェイスを介してフローしています。
! NAT のインターフェイスを外部で定義します。
description used as default gateway address for DHCP clients
ip address 10.4.0.254 255.255.0.0
! NAT(内部インターフェイス)を使用して、ファスト イーサネット ポート 0/1/0 から 0/1/3 に
! 接続されたホストに VLAN 104 を定義します。
! NAT/PAT は、トンネルを介してピア ゲートウェイの 20.20.0.0 ネットワークに送信されるように
ppp authentication chap callin
ppp chap hostname cisco@cisco.com
ppp chap password 0 cisco123
ppp pap sent-username cisco@cisco.com password 0 cisco123
crypto map mytunnelcrypto
! 'dialer pool 2' コマンドはこのダイヤラ インターフェイスを ATM サブインターフェイス
! atm0/0/0.1 に関連付けます。'dialer-group 2' は group number 2 を定義します。この設定では、
! これは以下で指定されている 'dialer-list 2 ...' コマンドに関連付けられます。これは、
! PPP を確立した後に、ダイヤル アウトをトリガーし、インターフェイスをオンラインにする
! NAT のインターフェイスを外部で定義します。
! 上記で定義したクリプト マップ mytunnelcrypto をこのプライマリ インターフェイスに適用します。
network 10.4.0.0 0.0.0.255 area 0
! VPN ネットワーク 10.4.0.0(Tunnel1/Tunnel2 が含まれます)は、OSPF エリア 0 に含まれています
! OSP Hello は、これらのトンネルを介してブランチ ルータに送信されます
ip local policy route-map track-primary-if
! ルート マップの 'track-primary-if' で定義されているように、IP ルート ポリシーを指定します
ip route 0.0.0.0 0.0.0.0 Dialer2 track 234
! 上記で定義したトラッキング オブジェクト(234)を指定し、ダイヤラ 2(ATM DSL)
! ルートはトラッキング対象オブジェクト(234)が 'UP' である場合のみインストールされます。
ip route 0.0.0.0 0.0.0.0 Cellular0/3/0 254
! 管理距離を 254(ダイヤラ 2 のインターフェイスより高い)に設定して、
! セルラー インターフェイスを介してデフォルト ルートを定義します。通常このインターフェイスは
! バックアップ インターフェイスとして想定されているからです。
ip http authentication local
ip http timeout-policy idle 5 life 86400 requests 10000
ip nat inside source route-map nat2cell interface Cellular0/3/0 overload
! セルラー インターフェイスを介して、外部 NAT トラフィックの条件としてルート マップ nat2cell を定義し
! ます(以下で指定)。'overload' オプションを使用すると、PAT が使用されるようになります。
! ルート マップ nat2cell で定義されている条件が満たされる場合に、このコマンドが使用されます。
ip nat inside source route-map nat2dsl interface Dialer2 overload
! 上記と同様に、ダイヤラ 2 インターフェイス(ATM DSL)を使用して、
! ルート マップ nat2cell を定義します(以下で指定)。'overload' オプションを使用すると、
! ルート マップ nat2dsl で定義されている条件が満たされる場合に、このコマンドが使用されます。
ip access-list extended gre-traffic
permit gre host 75.40.113.246 host 20.20.241.234
permit gre host 166.138.186.119 host 20.20.241.234
! GRE トンネルを経由して IPSec トラフィックを保護するための 'gre-traffic' アクセス リスト
! これは DSL/セルラー インターフェイス(どちらかアクティブな方)と、リモート ゲートウェイ上の
! IPsec ピア(20.20.241.234)を介した GRE トンネリングされた
icmp-echo 209.131.36.158 source-interface Dialer2
ip sla schedule 1 life forever start-time now
! 2 秒間隔(frequency 2)で、ping への応答に 1000 ミリ秒の待機(タイムアウト 1000)を設定し、
! ソース インターフェイスとしてダイヤラ 2(ATM DSL)を使用して、
! IP アドレス 209.131.36.158 に ping を送信するための
! 定義された SLA を開始し、これを継続的に実行します。
! 以下の 'dialer-list 1 protocol ip list 1' コマンドに関連付けられています
access-list 101 permit ip 10.4.0.0 0.0.255.255 any
! ルート マップ nat2dsl と nat2cell の下に定義されているように、適切な発信インターフェイスを
! 決定するために、トラフィックが一致するように指定します
! (ネットワーク 10.4.0.0 のソース アドレスと一致)。
access-list 102 permit icmp any host 209.131.36.158
! このインターフェイスがアクティブな場合にのみ、ICMP の ping が ATM DSL インターフェイスを介して
! 送信されるように、ルート マップ 'track-primary-interface' のトラフィックを指定します。
! この特定のアドレスは、ATM DSL インターフェイス(プライマリ リンク)を介して定期的に ping される
! アドレスであるため、リンク/PPP レベル以外のネットワーク障害も検出される場合があり、
! セルラー(セカンダリ)インターフェイスへのスイッチオーバーが
! ping されるアドレスが信頼でき、ping に応答することを確認します。
dialer-list 1 protocol ip list 1
! セルラー インターフェイスがダイヤル アウトする原因となる 'interesting traffic' を指定します。
! それによって、access-list 1 が(上記で定義されたこのコマンドの一部として)さらに指定されます。
dialer-list 2 protocol ip permit
! ATM DSL インターフェイスが(ダイヤラ 2 インターフェイスの一部として)
! ダイヤル アウトするようにする 'interesting traffic' を指定します。
route-map track-primary-if permit 10
set interface Dialer2 null0
! ローカル ルーティング用にポリシー条件として使用されるルート マップを指定します
! (上記の関連するコマンド 'ip local policy route-map track-primary-if'
! これが宛先 209.131.36.158 の ping パケットで、インターフェイス ダイヤラ
! 2(ATM DSL)が 'UP' の状態で接続されている場合、ping パケットを送信します。この ping パケットは、
! ATM DSL インターフェイスを介してのみ送信され、セルラー インターフェイスを介しては送信されません。
! これは、接続が失敗したときにスイッチオーバーを実行するために、ATM DSL インターフェイスを介して
! 接続(到達可能性)を定期的にモニタリングするためです。
route-map nat2dsl permit 10
! 上記のアクセス リスト 101 によって定義されている一致条件を満たし、
! ダイヤラ 2 インターフェイスが 'UP' の状態で接続されている場合、
! このルート マップが使用されるように指定します。
! トラフィックのソースが 10.4.0.0 ネットワークからのものであり、
! インターフェイスのダイヤラ 2 が 'UP' の状態で DSL ネットワークに接続されている場合、
! このルート マップが 'ip nat inside source nat2dsl ...' コマンドによって使用されます。
route-map nat2cell permit 10
match interface Cellular0/3/0
! 上記のアクセス リスト 101 によって定義されている一致条件を満たし、
! ダイヤラ 2 インターフェイスが 'UP' の状態で接続されている場合、
! このルート マップが使用されるように指定します。
! トラフィックのソースが 10.4.0.0 ネットワークからのものであり、
! インターフェイス セルラーが 'UP' の状態でセルラー ネットワークに接続されている場合、このルート マップ
! が 'ip nat inside source nat2cell ...' コマンドによって使用されます。
! スイッチオーバーで、プライマリおよびバックアップ インターフェイスから NAT エントリを削除します。
event manager applet pri_back
event track 234 state any
action 2.0 cli command "clear ip nat trans forced"
scheduler allocate 20000 1000
本社サイトのルータの設定
例 5-6 本社サイトのルータの設定
この設定内で青色の斜体で記載されたテキストはコメントを示すために使用されており、通常のコンソール出力を表示した場合には表示されません。太字のテキストは、エラーが発生した場合に戻って参照するための重要なコマンドを示すために使用されています。デバッグする場合は、太字で示されているすべてのコマンドがコンソール出力でも同じであることを確認します。
太字のテキストは基本セルラー設定、暗号化 IPsec 設定、IP SLA バックアップ設定、およびモバイル IP 設定の呼び出しに使用されます。これらの各設定に関連付けられている次の各コマンドは、サンプル全体にわたって呼び出されるため、デバッグ時に簡単に参照できます。
ip dhcp excluded-address 20.20.248.254
ip dhcp excluded-address 10.10.0.254
ip dhcp excluded-address 10.10.0.1
network 20.20.248.224 255.255.255.224
default-router 20.20.248.254
! 20.20 ネットワーク上のホストの DHCP プール
network 10.10.0.0 255.255.0.0
default-router 10.10.0.254
! 10.10.0.0 ネットワーク上の VPN のホストの DHCP プール
username cisco privilege 15 secret 5 $1$QF4K$Z1rE.mwS69FVx1e5l9DCU1
crypto isakmp key mykey address 0.0.0.0 0.0.0.0
crypto ipsec transform-set mytset ah-sha-hmac esp-3des
crypto dynamic-map gre_tunnel2 10
description IPsec tunnel to DSL at remote
match address gre-tunnel2
crypto dynamic-map gre_tunnel21 10
description IPsec tunnel to Cellular at remote
match address gre-tunnel21
crypto map mytunnelcrypto 10 ipsec-isakmp dynamic gre_tunnel2
crypto map mytunnelcrypto 20 ipsec-isakmp dynamic gre_tunnel21
! リモート ブランチ ルータで、トンネルの mytunnelcrypto マップを ATM DSL インターフェイス
! (Tunnel2)およびセルラー インターフェイス(Tunnel21)に定義します。
description tunnel to remote DSL link 75.40.113.246
tunnel source GigabitEthernet0/0
tunnel destination 75.40.113.246
! リモート ブランチ ルータの ATM DSL インターフェイスへのトンネル。通常、これは
description tunnel to remote Cellular link 166.138.186.119
tunnel source GigabitEthernet0/0
tunnel destination 166.138.186.119
! リモート ブランチ ルータのセルラー インターフェイスへのトンネル。リモート エンドでの DSL インター
! フェイスを介した接続がダウンしない限り、通常、このトンネルはアクティブではありません。
interface GigabitEthernet0/0
description connected to cisco network, next hop:20.20.241.233
ip address 20.20.241.234 255.255.255.252
crypto map mytunnelcrypto
! クリプト マップを適用する物理インターフェイス。上記のトンネルが
interface GigabitEthernet0/1
interface FastEthernet0/1/0
switchport access vlan 10
! VPN のホストが(10.10.0.0 ネットワークで)接続されるファスト イーサネット ポート。
interface FastEthernet0/1/8
switchport stacking-partner interface FastEthernet0/3/8
interface FastEthernet0/3/0
switchport access vlan 20
! 他のホストが(20.20 ネットワークで)接続されるファスト イーサネット ポート。
interface FastEthernet0/3/8
switchport stacking-partner interface FastEthernet0/1/8
description private networking vlan
ip address 10.10.0.254 255.255.0.0
! VPN のホストの VLAN(10.10.0.0 ネットワーク内)。
description network:20.20.248.224/27
ip address 20.20.248.254 255.255.255.224
! 他のホストの VLAN(20.20 ネットワーク内)
network 10.10.0.0 0.0.0.255 area 0
! VPN ネットワーク 10.10.0.0(Tunnel2/Tunnel21 が含まれています)は、OSPF エリア 0 に含まれています
! OSP Hello は、これらのトンネルを介してブランチ ルータに送信されます
ip route 0.0.0.0 0.0.0.0 20.20.241.233
! GigabitEthernet0/0 インターフェイスのネクスト ホップを介するデフォルト ルート。
ip access-list extended gre-tunnel2
permit gre host 20.20.241.234 host 75.40.113.246
! IPsec で保護されるトラフィックを定義するアクセス リスト。これは、
! リモート エンドで DSL インターフェイスに送信されるトラフィックです。
ip access-list extended gre-tunnel21
permit gre host 20.20.241.234 host 166.138.186.119
! IPsec で保護されるトラフィックを定義するアクセス リスト。これは、
! リモート エンドでセルラー インターフェイスに送信されるトラフィックです。
scheduler allocate 20000 1000
IPSec および OSPF を使用した DMVPN の導入
この導入では、ルーティング プロトコルの OSPF とパブリック ネットワークを使用して、ブランチ オフィスのルータのホストと、本社サイトのホストの間でセキュアな通信を行うために、DMVPN(GRE トンネル)と IPsec を使用し、プライマリ リンクとしてセルラー インターフェイスを使用します。DMVPN の詳細については、「 Dynamic Multipoint VPN (DMVPN) 」を参照してください。
図 5-4 IPSec および OSPF 使用する DMVPN を使用した初期導入
ブランチ 1 のオフィス ルータの設定
例 5-7 ブランチ 1 のオフィス ルータの設定
この設定内で青色の斜体で記載されたテキストはコメントを示すために使用されており、通常のコンソール出力を表示した場合には表示されません。太字のテキストは、エラーが発生した場合に戻って参照するための重要なコマンドを示すために使用されています。デバッグする場合は、太字で示されているすべてのコマンドがコンソール出力でも同じであることを確認します。
太字のテキストは基本セルラー設定、暗号化 IPsec 設定、IP SLA バックアップ設定、およびモバイル IP 設定の呼び出しに使用されます。これらの各設定に関連付けられている次の各コマンドは、サンプル全体にわたって呼び出されるため、デバッグ時に簡単に参照できます。
! フェーズ 1 ネゴシエーションの ISAKMP ポリシー
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
! ハブの事前共有キー、およびリモート DMVPN スポーク
crypto ipsec transform-set strong esp-3des esp-md5-hmac
! 実際のデータ暗号化/整合性のための IPsec(フェーズ 2)ポリシー
crypto ipsec profile cisco
set security-association lifetime seconds 86400
! IPsec を介した GRE トンネルに動的に適用される IPsec プロファイル
ip dhcp excluded-address 10.3.0.254
network 10.3.0.0 255.255.0.0
default-router 10.3.0.254
chat-script cdma1 "" "atdt#777" TIMEOUT 180 "CONNECT"
username cisco privilege 15 secret 5 $1$c/5O$W4sr3BFW3AhIB9BRXjy84/
ip address 2.2.2.1 255.255.255.0
ip address 192.168.10.3 255.255.255.0
ip nhrp map multicast dynamic
ip nhrp map multicast 20.20.241.234
ip nhrp map 192.168.10.1 20.20.241.234
ip nhrp registration no-unique
ip nhrp cache non-authoritative
ip ospf network broadcast
tunnel mode gre multipoint
tunnel protection ipsec profile Cisco
! 動的に作成されたすべての GRE トンネルに割り当てられた GRE トンネル テンプレート。
interface GigabitEthernet0/0
interface GigabitEthernet0/1
interface FastEthernet0/2/0
switchport access vlan 103
interface FastEthernet0/2/1
switchport access vlan 103
interface FastEthernet0/2/2
switchport access vlan 103
interface FastEthernet0/2/3
switchport access vlan 103
! 次のセルラー設定は永続的ダイヤラ用です。これは、常にセルラー インターフェイスを
! 起動状態に保ち、IP アドレスを取得します。ダイヤラ プールおよび dialer pool-member コマンドは、
! ダイヤラ インターフェイスとセルラー インターフェイスを関連付けます。
ppp chap hostname isp-provided-hostname
ppp chap password 0 isp-provided-password
ip address 10.3.0.254 255.255.0.0
network 2.2.2.0 0.0.0.255 area 222
network 10.3.0.0 0.0.255.255 area 103
network 192.168.10.0 0.0.0.255 area 0
ip route 20.20.241.234 255.255.255.255 dialer 1
scheduler allocate 20000 1000
ブランチ 2 のオフィス ルータの設定
例 5-8 ブランチ 2 のオフィス ルータの設定
この設定内で青色の斜体で記載されたテキストはコメントを示すために使用されており、通常のコンソール出力を表示した場合には表示されません。太字のテキストは、エラーが発生した場合に戻って参照するための重要なコマンドを示すために使用されています。デバッグする場合は、太字で示されているすべてのコマンドがコンソール出力でも同じであることを確認します。
太字のテキストは基本セルラー設定、暗号化 IPsec 設定、IP SLA バックアップ設定、およびモバイル IP 設定の呼び出しに使用されます。これらの各設定に関連付けられている次の各コマンドは、サンプル全体にわたって呼び出されるため、デバッグ時に簡単に参照できます。
! フェーズ 1 ネゴシエーションの ISAKMP ポリシー
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
! すべてのリモート DMVPN スポークの事前共有キー
crypto ipsec transform-set strong esp-3des esp-md5-hmac
! 実際のデータ暗号化/整合性のための IPsec(フェーズ 2)ポリシー
crypto ipsec profile cisco
set security-association lifetime seconds 86400
! IPsec を介した GRE トンネルに動的に適用される IPsec プロファイル
ip dhcp excluded-address 10.8.0.1
ip dhcp excluded-address 10.8.0.254
network 10.8.0.0 255.255.0.0
default-router 10.8.0.254
chat-script cdma2 "" "atdt#777" TIMEOUT 180 "CONNECT"
username cisco privilege 15 secret 5 $1$YNWp$1OLVYb0qkTnZFmkgcCK1L0
ip address 1.1.1.1 255.255.255.0
ip address 192.168.10.2 255.255.255.0
ip nhrp map multicast dynamic
ip nhrp map multicast 20.20.241.234
ip nhrp map 192.168.10.1 20.20.241.234
ip nhrp registration no-unique
ip nhrp cache non-authoritative
ip ospf network broadcast
tunnel mode gre multipoint
tunnel protection ipsec profile Cisco
! 動的に作成されたすべての GRE トンネルに割り当てられた GRE トンネル テンプレート。
interface FastEthernet0/0
interface FastEthernet0/1
interface FastEthernet0/3/0
switchport access vlan 108
interface FastEthernet0/3/1
interface FastEthernet0/3/2
switchport access vlan 108
interface FastEthernet0/3/3
switchport access vlan 108
! 次のセルラー設定は永続的ダイヤラ用です。これは、常にセルラー インターフェイスを起動状態に保ち、
! IP アドレスを取得します。ダイヤラ プールおよび dialer pool-member コマンドは、
! ダイヤラ インターフェイスとセルラー インターフェイスを関連付けます。
ppp chap hostname isp-provided-hostname
ppp chap password 0 isp-provided-password
description used as default gateway address for DHCP clients
ip address 10.8.0.254 255.255.0.0
network 1.1.1.0 0.0.0.255 area 111
network 10.8.0.0 0.0.0.255 area 108
network 192.168.10.0 0.0.0.255 area 0
ip route 20.20.241.234 255.255.255.255 dialer 1
transport input telnet ssh
transport input telnet ssh
scheduler allocate 20000 1000
本社サイトのルータの設定
例 5-9 本社サイトのルータの設定
この設定内で青色の斜体で記載されたテキストはコメントを示すために使用されており、通常のコンソール出力を表示した場合には表示されません。太字のテキストは、エラーが発生した場合に戻って参照するための重要なコマンドを示すために使用されています。デバッグする場合は、太字で示されているすべてのコマンドがコンソール出力でも同じであることを確認します。
太字のテキストは基本セルラー設定、暗号化 IPsec 設定、IP SLA バックアップ設定、およびモバイル IP 設定の呼び出しに使用されます。これらの各設定に関連付けられている次の各コマンドは、サンプル全体にわたって呼び出されるため、デバッグ時に簡単に参照できます。
network 20.20.248.224 255.255.255.224
default-router 20.20.248.254
network 10.10.0.0 255.255.0.0
default-router 10.10.0.254
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
! フェーズ 1 ネゴシエーションの ISAKMP ポリシー
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
! すべてのリモート DMVPN スポークの事前共有キー
crypto ipsec transform-set strong esp-3des esp-md5-hmac
! 実際のデータ暗号化/整合性のための IPsec(フェーズ 2)ポリシー
crypto ipsec profile cisco
set security-association lifetime seconds 86400
! IPsec を介した GRE トンネルに動的に適用される IPsec プロファイル
username cisco privilege 15 secret 5 $1$QF4K$Z1rE.mwS69FVx1e5l9DCU1
ip address 3.3.3.3 255.255.255.0
ip address 192.168.10.1 255.255.255.0
ip nhrp map multicast dynamic
ip nhrp cache non-authoritative
ip ospf network broadcast
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile cisco
! 動的に作成されたすべての GRE トンネルに割り当てられた
interface GigabitEthernet0/0
description connected to cisco network, next hop:20.20.241.233
ip address 20.20.241.234 255.255.255.252
interface GigabitEthernet0/1
interface FastEthernet0/1/0
switchport access vlan 10
interface FastEthernet0/1/8
switchport stacking-partner interface FastEthernet0/3/8
interface FastEthernet0/3/0
switchport access vlan 20
interface FastEthernet0/3/8
switchport stacking-partner interface FastEthernet0/1/8
description private networking vlan
ip address 10.10.0.254 255.255.0.0
description network:20.20.248.224,mask:/27,last host:20.20.248.254
ip address 20.20.248.254 255.255.255.224
network 3.3.3.0 0.0.0.255 area 333
network 10.10.0.0 0.0.255.255 area 1010
network 192.168.10.0 0.0.0.255 area 0
ip route 0.0.0.0 0.0.0.0 20.20.241.233
scheduler allocate 20000 1000
プライマリ リンクおよびバックアップ リンクを使用した EzVPN 導入
EzVPN は、特に、多数のブランチを持つ本社ブランチでの導入に対して導入と拡張を簡単に行えるように設計されています。この導入では、プライマリ リンクとして DSL インターフェイスを使用し、バックアップ リンクとしてセルラー リンクを使用します。EzVPN の詳細については、「 Cisco Easy VPN 」を参照してください。
図 5-5 プライマリおよびバックアップを使用した EzVPN の導入
EzVPN クライアント(ブランチ ルータ)の設定
例 5-10 EzVPN クライアント(ブランチ ルータ)の設定
この設定内で青色の斜体で記載されたテキストはコメントを示すために使用されており、通常のコンソール出力を表示した場合には表示されません。太字のテキストは、エラーが発生した場合に戻って参照するための重要なコマンドを示すために使用されています。デバッグする場合は、太字で示されているすべてのコマンドがコンソール出力でも同じであることを確認します。
太字のテキストは基本セルラー設定、暗号化 IPsec 設定、IP SLA バックアップ設定、およびモバイル IP 設定の呼び出しに使用されます。これらの各設定に関連付けられている次の各コマンドは、サンプル全体にわたって呼び出されるため、デバッグ時に簡単に参照できます。
ip dhcp excluded-address 10.13.0.254
network 10.4.0.0 255.255.0.0
dns-server 66.209.10.201 66.102.163.231
default-router 10.13.0.254
chat-script gsmscript "" "atdt*98*1#" TIMEOUT 20 "CONNECT"
! セルラー インターフェイスを介したダイヤル アウトへのチャット スクリプト
username cisco123@cisco.com password 0 lab
username cisco password 0 lab
username sachin@cisco.com password 0 lab
! EzVPN クライアント認証用のローカル ユーザ名およびパスワード。
track 234 rtr 1 reachability
crypto ipsec client ezvpn hw-client-pri
group hw-client-group key cisco123
backup hw-client track 234
username cisco123@cisco.com password lab
! プライマリ WAN インターフェイスの EzVPN クライアントの設定。バックアップ WAN の使用中に、
! ファイルオーバーにトラック 234 を使用してバックアップします。
crypto ipsec client ezvpn hw-client
group hw-client-group key cisco123
username sachin@cisco.com password lab
! バックアップ WAN インターフェイスの EzVPN クライアントの設定
ip address 1.1.1.1 255.255.255.255
interface GigabitEthernet0/0
interface GigabitEthernet0/1
interface FastEthernet0/1/0
switchport access vlan 104
interface FastEthernet0/1/1
switchport access vlan 104
interface FastEthernet0/1/2
switchport access vlan 104
interface FastEthernet0/1/3
switchport access vlan 104
! DHCP クライアント ホストによって使用されるファスト イーサネット ポート。
! プライマリ インターフェイスとして使用される ATM(DSL)物理インターフェイス
interface ATM0/0/0.1 point-to-point
pppoe-client dial-pool-number 2
description ip address used as default gateway address for DHCP clients
ip address 10.13.0.254 255.255.0.0
crypto ipsec client ezvpn hw-client-pri inside
crypto ipsec client ezvpn hw-client inside
! EzVPN 暗号化のための内部インターフェイスの一部となるように、ファスト イーサネット ポート
! 0/1/0 から 0/1/3 に接続されたホストに VLAN 104 を定義します。
ppp chap hostname cisco@cisco.com
ppp chap password 0 cisco123
crypto ipsec client ezvpn hw-client
! セルラー インターフェイスと関連付ける外部ダイヤラ インターフェイス
! このバックアップ インターフェイスにおいて、上記で定義した暗号化 IPsec クライアント ezvpn hw-client。
! これにより、これが EzVPN 暗号化の外部インターフェイスであることが確認されます
ppp chap hostname Cisco@cisco.com
ppp chap password 0 cisco
crypto ipsec client ezvpn hw-client-pri inside
! プライマリ WAN の外部 EzVPN インターフェイスを定義します。
ip local policy route-map track-primary-if
ip route 0.0.0.0 0.0.0.0 Dialer2 track 234
ip route 0.0.0.0 0.0.0.0 Dialer 1 253
access-list 102 permit icmp any host 209.131.36.158
dialer-list 1 protocol ip list 1
dialer-list 2 protocol ip permit
route-map track-primary-if permit 10
set interface Dialer2 null0
scheduler allocate 20000 1000
EzVPN サーバ ルータの設定
例 5-11 EzVPN サーバ ルータの設定
この設定内で青色の斜体で記載されたテキストはコメントを示すために使用されており、通常のコンソール出力を表示した場合には表示されません。太字のテキストは、エラーが発生した場合に戻って参照するための重要なコマンドを示すために使用されています。デバッグする場合は、太字で示されているすべてのコマンドがコンソール出力でも同じであることを確認します。
太字のテキストは基本セルラー設定、暗号化 IPsec 設定、IP SLA バックアップ設定、およびモバイル IP 設定の呼び出しに使用されます。これらの各設定に関連付けられている次の各コマンドは、サンプル全体にわたって呼び出されるため、デバッグ時に簡単に参照できます。
username cisco123@cisco.com password 0 lab
username sachin@cisco.com password 0 lab
crypto isakmp client configuration address-pool local dynpool
crypto isakmp client configuration group hw-client-group
crypto ipsec transform-set set1 esp-3des esp-md5-hmac
crypto dynamic-map dynmap 1
crypto map dynmap isakmp authorization list hw-client-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
! EzVPN サーバ側設定。ACL 111 は、EzVPN クライアントから暗号化される許可されたトラフィックを定義し、
! IPSec トンネルのセットアップ中にネゴシエーションされます
interface GigabitEthernet0/0
ip address 128.107.248.243 255.255.255.224
! クリプト マップはサーバの WAN インターフェイスに適用されます。
interface GigabitEthernet0/1
ip address 10.11.0.1 255.255.255.0
ip local pool dynpool 10.11.0.50 10.11.0.100
! ローカル プールを定義して、IP アドレスをリモート EzVPN クライアントに指定します。
ip nat inside source list 101 interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 128.107.248.254
access-list 111 permit ip 10.11.0.0 0.0.0.255 10.13.0.0 0.0.0.255
! EzVPN リモート クライアント用の暗号化が許可される必要のある対象トラフィックを
! 定義します。このような ACL 版は、暗号化および NAT 用に EzVPN の
CCOA-Only モードでの NEMO Over 3G
Network Mobility(NEMO)は、広範囲にわたる地理的領域にわたって、スタブ ネットワークとして複数のブランチを導入するために使用できる、スケーラブルなオプションです。すべてのブランチはブランチ ルータの背後に接続されたモバイル ネットワークとして機能し、WAN リンクを介したダイナミック モバイル IP トンネルによって、すべての接続を確立します。次の設定例は、Foreign Agent(FA)が存在しない、コロケーション気付アドレスのみ(CCOA-only)のモードでのモバイル IP を示しています。ブランチでの NEMO 導入の詳細については、「 Introduction to Mobile IP 」を参照してください。
図 5-6 3G WAN 経由での NEMO の配置
ブランチ オフィスのモバイル ルータ(MR)の設定
例 5-12 ブランチ オフィスのモバイル ルータ(MR)の設定
ip dhcp excluded-address 10.13.0.254
network 10.4.0.0 255.255.0.0
dns-server 66.209.10.201 66.102.163.231
default-router 10.13.0.254
chat-script gsmscript "" "atdt*98*1#" TIMEOUT 20 "CONNECT"
! セルラー インターフェイスを介したダイヤル アウトへのチャット スクリプト
track 234 rtr 1 reachability
! バックアップ方法のオブジェクト トラッキング。
ip address 10.100.0.3 255.255.255.0
! モバイル ルータに割り当てられた静的 IP アドレス。このアドレスは
interface GigabitEthernet0/0
interface GigabitEthernet0/1
interface FastEthernet0/1/0
switchport access vlan 104
interface FastEthernet0/1/1
switchport access vlan 104
interface FastEthernet0/1/2
switchport access vlan 104
interface FastEthernet0/1/3
switchport access vlan 104
! DHCP クライアント ホストによって使用されるファスト イーサネット ポート
! プライマリ インターフェイスとして使用される ATM(DSL)物理インターフェイス。
interface ATM0/0/0.1 point-to-point
pppoe-client dial-pool-number 2
! モバイル IP の導入に外部ダイヤラ(ダイヤラ 1)を使用し、ダイヤラ pool-member 1 は、
! ダイヤラ プール 1 が設定されているダイヤラ 1 にセルラー インターフェイスを関連付けます
description ip address used as default gateway address for DHCP clients
ip address 10.13.0.254 255.255.0.0
! ファスト イーサネット ポート 0/1/0 から 0/1/3 に接続されたホストに VLAN 104 を定義します。
! このサブネットは、モバイル ルータの背後にあるモバイル ネットワークになります。
ip mobile router-service roam
ip mobile router-service collocated ccoa-only
ppp chap hostname cisco@cisco.com
ppp chap password 0 cisco123
! ccoa-only モバイル IP モードのモバイル IP 設定のセルラーと関連付けられた
ppp chap hostname Cisco@cisco.com
ppp chap password 0 cisco
! このコマンドはルータでモバイル IP 機能をオンにします
ip local policy route-map track-primary-if
ip route 0.0.0.0 0.0.0.0 Dialer2 track 234
ip route 0.0.0.0 0.0.0.0 dialer 0/0/0 253
ip mobile secure home-agent 128.107.248.243 spi decimal 1003 key ascii 1234567891234563 algorithm md5 mode prefix-suffix
! このステートメントは ASCII 値を使用して暗号化の詳細と認証を定義します。
! ASCII 値は HQ 側のルータの HA 設定の値と一致している必要があります
ip mobile registration-lifetime 1800
address 10.100.0.3 255.255.255.0
home-agent 128.107.248.243
mobile-network GigabitEthernet0/1
register retransmit initial 5000 maximum 10000 retry 5
! アドレスは、ループバック 100 に定義されたモバイル ルータの静的 IP アドレスを定義します
! モバイル IP リクエストを開始するユーザをルータが認識できるように、
! ホーム エージェント アドレスが定義されます。
icmp-echo 209.131.36.158 source-interface Dialer2
ip sla schedule 1 life forever start-time now
access-list 102 permit icmp any host 209.131.36.158
dialer-list 1 protocol ip list 1
dialer-list 2 protocol ip permit
route-map track-primary-if permit 10
set interface Dialer2 null0
scheduler allocate 20000 1000
本社のホーム エージェント(HA)のルータの設定
例 5-13 本社のホーム エージェント(HA)のルータの設定
この設定内で青色の斜体で記載されたテキストはコメントを示すために使用されており、通常のコンソール出力を表示した場合には表示されません。太字のテキストは、エラーが発生した場合に戻って参照するための重要なコマンドを示すために使用されています。デバッグする場合は、太字で示されているすべてのコマンドがコンソール出力でも同じであることを確認します。
太字のテキストは基本セルラー設定、暗号化 IPsec 設定、IP SLA バックアップ設定、およびモバイル IP 設定の呼び出しに使用されます。これらの各設定に関連付けられている次の各コマンドは、サンプル全体にわたって呼び出されるため、デバッグ時に簡単に参照できます。
ip address 10.100.0.1 255.255.255.0
! ホーム エージェント(HA)とモバイル ルータ(MR)間のモバイル IP サブネット
interface GigabitEthernet0/0
ip address 128.107.248.243 255.255.255.224
! これは、インターネットを介してモバイル ルータに接続する WAN インターフェイスです
interface GigabitEthernet0/1
ip address 10.11.0.1 255.255.255.0
! HA のルータ上のモバイル IP を有効にします
ip nat inside source list 101 interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 128.107.248.254
ip mobile home-agent reverse-tunnel private-address
ip mobile home-agent QoS policer
ip mobile home-agent address 128.107.248.243 lifetime 1800 replay 255 unknown-ha accept reply
ip mobile host 10.100.0.3 virtual-network 10.100.0.0 255.255.255.0
ip mobile mobile-networks 10.100.0.3
ip mobile secure host 10.100.0.3 spi decimal 1003 key ascii 1234567891234563 algorithm md5 mode prefix-suffix
ip mobile registration-lifetime 1800
! セキュアな通信のためのモバイル ルータ認証(MRに設定されているものと同じ ASCII)
access-list 101 permit ip 13.1.1.0 0.0.0.255 any