Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드
예제 설정
2 IPsec로드 밸런싱은 중앙 F1000 (단위당 2 줄)과베이스 F100 (단위당 2 줄, 정의되지 않은 주소)에서 수행됩니다
요약
*중앙 측의 F1000도 F100으로 대체 할 수 있습니다
- 구성된 비율로로드 밸런싱 (2 개의 VPN은 활성 활성)
* 비율은 모든 정수 값 (0 ~ 10)으로 설정할 수 있습니다
(0과 10은 V0110 이상으로 f100으로, f1000은 v0103 이상 펌웨어)
10 : 0이라면 사용자 데이터는 정상적인 상황에서 0쪽으로 흐르지 않으며 활성화됩니다
(KeepAlive의 ICMP 패킷이 흐릅니다) - 하나의 VPN이 비활성화되면 모든 통신이 나머지 VPN으로 처리됩니다 또한, VPN이 복원 된 후,로드 밸런싱은 세트 비율로 다시 수행됩니다
- F100 및 F1000은 자체적으로 라인 중복성을 수행하고 PPPOE의 두 세션을 사용합니다
- F100 및 F1000 기본 경로와 백업 경로 모두에 대한 모니터 경로 (ICMP (PINT) KeepAlive는 경로 모니터링에 사용됩니다)
- F100 및 F1000은 기본 경로와 백업 경로를 자동으로 전환하고 F100 및 F1000은 기본 경로가 복원 된 후 자동으로 다시 전환됩니다
* 경로 고장시 SA를 지우게됩니다 SA-UP 경로 기능과 함께 자체 라우팅 테이블을 동적으로 재 작성합니다 - IPSEC는 공격적인 모드에 있지만 SA는 항상베이스에서 설정되므로 중앙 측면과 통신하는 데 사용될 수도 있습니다
- 중앙 측에 설정된 터널 경로 함수는 IPSEC 공격 모드의 응답자 쪽에만 사용할 수 있습니다
이것은 Ike Nego를 사용하여 상대 장치의 피어로가는 경로와 함께 NextTop을 등록하는 기능입니다 - 평균적으로 라인 고장시 전환하는 데 약 30 초가 걸립니다 (이것은 기본적으로 KeepAlive의 전송 간격이 60 초로 설정되어 있기 때문입니다)
(keepAlive 구성스포츠 토토 사이트 SE SE SA명령 참조)
추가 및 노트
| *1 | 반대 EWAN2 측면으로 SA를 설정하는 인터페이스의 주소는 정의되지 않으므로 반대 장치의 펌웨어 버전은 F100 및 V0102 이상 이후 F1000의 경우 V0109 이상입니다 |
전제 조건
이 설정 예제는 다음 주소 및 환경에 따라 설명됩니다
제공자가 할당 한 주소 (주소는 예입니다)
| 센터 측 PPPOE1 | 200.200.200.200 |
| 센터 측 PPPOE5 | 100.100.100.100 |
| 기본 측면 pppoe1 | 사양 없음 |
| 기본 측면 pppoe5 | 사양 없음 |
환경 설정
| IPSEC를 대상으로하는 릴레이 패킷 | 19216830/24 ⇔ 1721600/16 |
| IPSEC Phase1 정책 | 모드 공격적인 모드 인증 방법 사전 공유 키 방법 암호화 방법 AES 128 Diffie-Hellman 그룹 2 해시 방법 Sha |
| IPSEC PHASE2 정책 | 암호화 방법 AES 128 해시 방법 Sha |
| IPSEC로드 밸런싱 비율 (pppoe1 : pppoe5) |
52 IPsec로드 밸런싱은 중앙 F1000 (단위당 2 줄)과베이스 F100 (단위당 2 줄, 정의되지 않은 주소)에서 수행됩니다 |
명령 구성의 예
(라인의 주석입니다 실제로 입력 할 필요가 없습니다)
이 설정을 사용하려면 사용하십시오
기본 측면에서 Fitelnet-F100의 설정
!활성화암호 입력 :6예제 설정← 비밀번호를 입력하십시오 (실제로 표시되지 않습니다)터미널 구성라우터 (config)#인터페이스 lan 1라우터 (config-if lan 1)#IP 주소 1721601 25525500라우터 (config-if lan 1)#출구!인터페이스 pppoe 1라우터 (config-if pppoe 1)#PPPOE 서버 A 프로비더라우터 (config-if pppoe 1)#pppoe 계정 a-user@xxxxnejp a-secret라우터 (config-if pppoe 1)#pppoe 유형 호스트라우터 (config-if pppoe 1)#8Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드라우터 (config-if pppoe 1)#출구!인터페이스 pppoe 5라우터 (config-if pppoe 5)#8구성된 비율로로드 밸런싱 (2 개의 VPN은 활성 활성)라우터 (config-if pppoe 5)#pppoe 계정 b-user@xxxxnejp b-secret라우터 (config-if pppoe 5)#pppoe 유형 호스트라우터 (config-if pppoe 5)#crypto map multipath_2라우터 (config-if pppoe 5)#출구!액세스 목록 1 허가 1721600 00255255!IP 경로 200200200200 255255255255255 PPPOE 1라우터 (config)#IP 경로 100100100100 255255255255255 PPPOE 5!Service DHCP-Server라우터 (config)#IP DHCP 풀 LAN1 *5라우터 (config-dhcp-pool)#기본-로터 0000라우터 (config-dhcp-pool)#출구!1(KeepAlive의 ICMP 패킷이 흐릅니다)라우터 (config)#112 IPsec로드 밸런싱은 중앙 F1000 (단위당 2 줄)과베이스 F100 (단위당 2 줄, 정의되지 않은 주소)에서 수행됩니다!암호화 ISAKMP 정책 1라우터 (config-isakmp)#인증 prekey라우터 (config-isakmp)#키 ASCII Furukawa라우터 (config-isakmp)#협상 모드 공격라우터 (config-isakmp)#암호화 AES 128라우터 (config-isakmp)#그룹 2라우터 (config-isakmp)#1반대 EWAN2 측면으로 SA를 설정하는 인터페이스의 주소는 정의되지 않으므로 반대 장치의 펌웨어 버전은 F100 및 V0102 이상 이후 F1000의 경우 V0109 이상입니다라우터 (config-isakmp)#12(0과 10은 V0110 이상으로 f100으로, f1000은 v0103 이상 펌웨어)라우터 (config-isakmp)#피어 식별 주소 200200200200라우터 (config-isakmp)#132 IPsec로드 밸런싱은 중앙 F1000 (단위당 2 줄)과베이스 F100 (단위당 2 줄, 정의되지 않은 주소)에서 수행됩니다항상 선정!ICMP (PING)를 사용한 상수 keepalive라우터 (config-isakmp)#13비율은 모든 정수 값 (0 ~ 10)으로 설정할 수 있습니다13(0과 10은 V0110 이상으로 f100으로, f1000은 v0103 이상 펌웨어) 192.168.3.1!모니터링 된 주소 설정라우터 (config-isakmp)#13비율은 모든 정수 값 (0 ~ 10)으로 설정할 수 있습니다소스 인터페이스14구성된 비율로로드 밸런싱 (2 개의 VPN은 활성 활성)!소스 IP 주소를 통해 LAN 사이드 IP 주소를 사용하여 VPN 터널을 통해!15Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드라우터 (config-isakmp)#1(pppoe1 : pppoe5)152 IPsec로드 밸런싱은 중앙 F1000 (단위당 2 줄)과베이스 F100 (단위당 2 줄, 정의되지 않은 주소)에서 수행됩니다인터페이스 pppoe 1 *1!keepAlive의 보내기 인터페이스 구성라우터 (config-isakmp)#출구!암호화 ISAKMP 정책 2라우터 (config-isakmp)#인증 prekey라우터 (config-isakmp)#키 ASCII Furukawa라우터 (config-isakmp)#협상 모드 공격라우터 (config-isakmp)#암호화 AES 128라우터 (config-isakmp)#그룹 2라우터 (config-isakmp)#1반대 EWAN2 측면으로 SA를 설정하는 인터페이스의 주소는 정의되지 않으므로 반대 장치의 펌웨어 버전은 F100 및 V0102 이상 이후 F1000의 경우 V0109 이상입니다라우터 (config-isakmp)#17*중앙 측의 F1000도 F100으로 대체 할 수 있습니다라우터 (config-isakmp)#피어 식별 주소 100100100100라우터 (config-isakmp)#13비율은 모든 정수 값 (0 ~ 10)으로 설정할 수 있습니다13(0과 10은 V0110 이상으로 f100으로, f1000은 v0103 이상 펌웨어) 192.168.3.1라우터 (config-isakmp)#13비율은 모든 정수 값 (0 ~ 10)으로 설정할 수 있습니다소스 인터페이스14구성된 비율로로드 밸런싱 (2 개의 VPN은 활성 활성)라우터 (config-isakmp)#13비율은 모든 정수 값 (0 ~ 10)으로 설정할 수 있습니다152 IPsec로드 밸런싱은 중앙 F1000 (단위당 2 줄)과베이스 F100 (단위당 2 줄, 정의되지 않은 주소)에서 수행됩니다인터페이스 pppoe 5 *1라우터 (config-isakmp)#132 IPsec로드 밸런싱은 중앙 F1000 (단위당 2 줄)과베이스 F100 (단위당 2 줄, 정의되지 않은 주소)에서 수행됩니다항상 선정라우터 (config-isakmp)#출구!IPSEC 변환 세트 P2-Policy ESP-AES-128 ESP-SHA-HMAC!IPSEC ACCESS-LIST 10 IPSEC IP 1721600 00255255 19216830 000255라우터 (config)#IPSEC ACCESS-LIST 64 우회 IP 모든!202 IPsec로드 밸런싱은 중앙 F1000 (단위당 2 줄)과베이스 F100 (단위당 2 줄, 정의되지 않은 주소)에서 수행됩니다라우터 (config-crypto-map)#일치 주소 1020구성된 비율로로드 밸런싱 (2 개의 VPN은 활성 활성) *2!비율로로드 밸런싱 2라우터 (config-crypto-map)#피어 주소 설정 200200200200라우터 (config-crypto-map)#212 IPsec로드 밸런싱은 중앙 F1000 (단위당 2 줄)과베이스 F100 (단위당 2 줄, 정의되지 않은 주소)에서 수행됩니다라우터 (config-crypto-map)#보안 관련 설정항상 업!항상 SA 유지라우터 (config-crypto-map)#SA-UP 경로인터페이스2(keepAlive 구성 *3!기회로 SA 설정, 중앙 측 LAN에 경로 정보를 등록 (19216830/24);!Nextthop을 pppoe1로 보자라우터 (config-crypto-map)#출구!crypto map multipath_2 2라우터 (config-crypto-map)#일치 주소 10다중 경로 밸런스 1 *2!비율로로드 밸런싱 1라우터 (config-crypto-map)#피어 주소 설정 100100100100라우터 (config-crypto-map)#Transform-Set Set P2-Policy라우터 (config-crypto-map)#보안 관련 설정항상 업라우터 (config-crypto-map)#SA-UP 경로인터페이스24비율은 모든 정수 값 (0 ~ 10)으로 설정할 수 있습니다 *3라우터 (config-crypto-map)#출구!252 IPsec로드 밸런싱은 중앙 F1000 (단위당 2 줄)과베이스 F100 (단위당 2 줄, 정의되지 않은 주소)에서 수행됩니다!25*중앙 측의 F1000도 F100으로 대체 할 수 있습니다% 저장 작업-콘피드Reset콜드 스타트에 괜찮습니까? (y/n)25(0과 10은 V0110 이상으로 f100으로, f1000은 v0103 이상 펌웨어)
| 26Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드 | pppoe 1 또는 pppoe 5 대신 Ewan 1 또는 Ewan 2로 수동으로 주소를 설정 한 경우 다음과 같이 설정하십시오
|
| 262 IPsec로드 밸런싱은 중앙 F1000 (단위당 2 줄)과베이스 F100 (단위당 2 줄, 정의되지 않은 주소)에서 수행됩니다 | 이제 F100의 V0110에서 펌웨어에서 0으로 0으로, F1000의 V0103을 설정할 수 있습니다 로드 밸런싱 비율은 전송 방향으로 패킷에 대해서만 작동합니다 (중앙 측면의 리셉션 방향으로 분포 비율을 만듭니다) 중앙과베이스 사이의 분산 비율과 일치 할 필요가 없습니다 |
| 2젠 토토 (config-if lan 1)# | PPPOE 1 또는 PPPOE 5 대신 Ewan 1 또는 Ewan 2로 주소를 수동으로 설정 한 경우 다음과 같이 설정하십시오
|
| 27Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드 | fitelnet 명령 형식이 F200/f2000에 대해 변경되었으며 명령은 다음과 같습니다 라우터 (config)#IP DHCP 풀 LAN 1 |
명령 구성의 예
(라인의 주석입니다 실제로 입력 할 필요가 없습니다)
이 설정을 사용하려면 사용하십시오
Chapter Fitelnet-F1000 설정
!활성화비밀번호 입력 :슈퍼← 비밀번호를 입력하십시오 (실제로 표시되지 않습니다)터미널 구성라우터 (config)#인터페이스 lan 1라우터 (config-if lan 1)#IP 주소 19216831 2552552550라우터 (config-if lan 1)#출구!인터페이스 pppoe 1라우터 (config-if pppoe 1)#8Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드라우터 (config-if pppoe 1)#29구성된 비율로로드 밸런싱 (2 개의 VPN은 활성 활성)라우터 (config-if pppoe 1)#pppoe 계정 abc012@*** ***nejp xxxyyyzzz라우터 (config-if pppoe 1)#pppoe 유형 호스트라우터 (config-if pppoe 1)#IP 주소 200200200200라우터 (config-if pppoe 1)#출구!인터페이스 pppoe 5라우터 (config-if pppoe 5)#crypto map multipath_2라우터 (config-if pppoe 5)#310 : 0이라면 사용자 데이터는 정상적인 상황에서 0쪽으로 흐르지 않으며 활성화됩니다라우터 (config-if pppoe 5)#pppoe 계정 def345@*** ***nejp zzzyyyxxx라우터 (config-if pppoe 5)#pppoe 유형 호스트라우터 (config-if pppoe 5)#IP 주소 100100100100라우터 (config-if pppoe 5)#출구!1(KeepAlive의 ICMP 패킷이 흐릅니다)라우터 (config)#112 IPsec로드 밸런싱은 중앙 F1000 (단위당 2 줄)과베이스 F100 (단위당 2 줄, 정의되지 않은 주소)에서 수행됩니다!암호화 ISAKMP 정책 1라우터 (config-isakmp)#인증 prekey라우터 (config-isakmp)#키 ASCII Furukawa라우터 (config-isakmp)#협상 모드 공격라우터 (config-isakmp)#암호화 AES 128라우터 (config-isakmp)#그룹 2라우터 (config-isakmp)#1반대 EWAN2 측면으로 SA를 설정하는 인터페이스의 주소는 정의되지 않으므로 반대 장치의 펌웨어 버전은 F100 및 V0102 이상 이후 F1000의 경우 V0109 이상입니다라우터 (config-isakmp)#33비율은 모든 정수 값 (0 ~ 10)으로 설정할 수 있습니다라우터 (config-isakmp)#13비율은 모든 정수 값 (0 ~ 10)으로 설정할 수 있습니다 피어-드레스 1721601라우터 (config-isakmp)#13비율은 모든 정수 값 (0 ~ 10)으로 설정할 수 있습니다 소스 인터페이스 LAN 1라우터 (config-isakmp)#13비율은 모든 정수 값 (0 ~ 10)으로 설정할 수 있습니다 멀티 경로 인터페이스 PPPOE 1라우터 (config-isakmp)#34구성된 비율로로드 밸런싱 (2 개의 VPN은 활성 활성)라우터 (config-isakmp)#34비율은 모든 정수 값 (0 ~ 10)으로 설정할 수 있습니다인터페이스 pppoe 1*4출구!Crypto ISAKMP 정책 2라우터 (config-isakmp)#인증 prekey라우터 (config-isakmp)#키 ASCII Furukawa라우터 (config-isakmp)#협상 모드 공격라우터 (config-isakmp)#암호화 AES 128라우터 (config-isakmp)#그룹 2라우터 (config-isakmp)#1반대 EWAN2 측면으로 SA를 설정하는 인터페이스의 주소는 정의되지 않으므로 반대 장치의 펌웨어 버전은 F100 및 V0102 이상 이후 F1000의 경우 V0109 이상입니다라우터 (config-isakmp)#Peer-Identity Host Kyoten1-2라우터 (config-isakmp)#13비율은 모든 정수 값 (0 ~ 10)으로 설정할 수 있습니다 피어-드레스 1721601라우터 (config-isakmp)#13비율은 모든 정수 값 (0 ~ 10)으로 설정할 수 있습니다 소스 인터페이스 lan 1라우터 (config-isakmp)#13비율은 모든 정수 값 (0 ~ 10)으로 설정할 수 있습니다 멀티 경로 인터페이스 PPPOE 5라우터 (config-isakmp)#34구성된 비율로로드 밸런싱 (2 개의 VPN은 활성 활성)라우터 (config-isakmp)#34비율은 모든 정수 값 (0 ~ 10)으로 설정할 수 있습니다인터페이스 PPPOE 5*4출구!IPSEC 변환 세트 P2-Policy ESP-AES-128 ESP-SHA-HMAC!IPSEC ACCESS-LIST 10 IPSEC IP 19216830 000255 1721600 00255255라우터 (config)#IPSEC ACCESS-LIST 64 우회 IP 모든!암호화 맵 multipath_1 1라우터 (config-crypto-map)#일치 주소 10 20구성된 비율로로드 밸런싱 (2 개의 VPN은 활성 활성)라우터 (config-crypto-map)#피어 호스트 세트 kyoten1-1라우터 (config-crypto-map)#212 IPsec로드 밸런싱은 중앙 F1000 (단위당 2 줄)과베이스 F100 (단위당 2 줄, 정의되지 않은 주소)에서 수행됩니다라우터 (config-crypto-map)#SA-UP 경로 인터페이스 PPPOE 1라우터 (config-crypto-map)#출구!crypto map multipath_2 2라우터 (config-crypto-map)#일치 주소 10 멀티 폴란드 밸런스 1라우터 (config-crypto-map)#SET PEER HOST KYOTEN1-2라우터 (config-crypto-map)#Transform-Set Set P2-Policy라우터 (config-crypto-map)#SA-UP 경로 인터페이스 PPPOE 5라우터 (config-crypto-map)#출구!252 IPsec로드 밸런싱은 중앙 F1000 (단위당 2 줄)과베이스 F100 (단위당 2 줄, 정의되지 않은 주소)에서 수행됩니다!25*중앙 측의 F1000도 F100으로 대체 할 수 있습니다% 저장 작업-콘피드Reset콜드 스타트에 괜찮습니까? (y/n)25(0과 10은 V0110 이상으로 f100으로, f1000은 v0103 이상 펌웨어)
| 4중앙 측에 설정된 터널 경로 함수는 IPSEC 공격 모드의 응답자 쪽에만 사용할 수 있습니다 | 펌웨어 버전은 F100 및 V0102 이상으로 V0109 이상으로 설정할 수 있습니다 공격적인 모드에서만 작동합니다 |
모든 권리 보유, 저작권 (c) Furukawa Electric Co, Ltd 2007