Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드
예제 설정
IPSEC 중복 센터 측에서 사용 (L3SW의 경우 구성이 필요하지 않음)
요약
추가 및 노트
데이터 설정 예제
| 항목 | 값 설정 |
|---|---|
| fitelnet_a lan 사이드 IP 주소 | 192.168.1.251/24 |
| FitelNet_B LAN 사이드 IP 주소 | 192.168.1.252/24 |
| LAN 측 대표 IP 주소 | 192.168.1.254 |
| fitelnet_a wan 사이드 IP 주소 | 200.200.200.200 |
| fitelnet_b wan 사이드 IP 주소 | 100.100.100.100 |
| fitelnet_c lan 사이드 IP 주소 | 192.168.2.254/24 |
| fitelnet_c wan side (pppoe1) IP 주소 | 정의되지 않은 (Ewan 포트 사용) |
| fitelnet_c wan side (pppoe5) IP 주소 | 정의되지 않은 (LAN 포트 사용) |
- IPSec 중복의 수신 측에서 VRRP 함수를 사용하여 L3SW가 필요하지 않은 구성을 구현할 수 있습니다.
- vrrp에 의해 중앙 측면에있는 두 개의 LAN 측면을 그룹화하여 LAN 쪽에서 마치 단일 장치 인 것처럼 보입니다.
명령 구성의 예
(라인의 주석입니다. 실제로 입력 할 필요가 없습니다.)
이 설정을 사용하려면 사용하십시오
중앙 측 Fitelnet_A (마스터) 설정
3예제 설정활성화암호 입력 :3추가 및 노트← 비밀번호를 입력하십시오 (실제로는 아무것도 표시되지 않습니다).터미널 구성라우터 (config)#3Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드3예제 설정*13예제 설정인터페이스 lan 1라우터 (config-if lan 1)#IP 주소 192.168.1.251 255.255.255.0라우터 (config-if lan 1)#VRRP 1 주소 192.168.1.2543예제 설정VRID가 1으로 설정된 대표 IP 주소를 설정합니다.라우터 (config-if lan 1)#VRRP 1 우선 순위 2543예제 설정백업 측보다 우선 순위를 높이기3예제 설정(숫자가 높을수록 우선 순위가 높음).라우터 (config-if lan 1)#VRRP 1 선점3예제 설정마스터 쪽의 고장이 복원되면 마스터쪽으로 반환3예제 설정의사 소통을하십시오.라우터 (config-if lan 1)#출구3예제 설정인터페이스 pppoe 1라우터 (config-if pppoe 1)#PPPOE 서버 A 프로비더라우터 (config-if pppoe 1)#pppoe 계정 user-a@xxxx.ne.jp Secret-A라우터 (config-if pppoe 1)#pppoe 유형 호스트라우터 (config-if pppoe 1)#7IPSEC 중복 센터 측에서 사용 (L3SW의 경우 구성이 필요하지 않음)라우터 (config-if pppoe 1)#IP 주소 200.200.200.200라우터 (config-if pppoe 1)#출구3예제 설정IP 경로 0.0.0.0 0.0.0.0 192.168.1.2003예제 설정vpn enable라우터 (config)#8IPSEC 중복 센터 측에서 사용 (L3SW의 경우 구성이 필요하지 않음)3예제 설정Crypto ISAKMP 정책 1라우터 (config-isakmp)#인증 prekey라우터 (config-isakmp)#암호화 AES 128라우터 (config-isakmp)#그룹 2라우터 (config-isakmp)#9IPSEC 중복 센터 측에서 사용 (L3SW의 경우 구성이 필요하지 않음)라우터 (config-isakmp)#Keepalive ICMP Always-Send라우터 (config-isakmp)#KeepAlive-ICMP 피어-드레스 192.168.2.254라우터 (config-isakmp)#KeepAlive-ICMP 소스 인터페이스 LAN 1라우터 (config-isakmp)#키 ASCII VPN라우터 (config-isakmp)#협상 모드 공격라우터 (config-isakmp)#Peer-Identity Host KTN-Main라우터 (config-isakmp)#터널 경로 인터페이스 PPPOE 1 *23예제 설정1 단계가있는 Nego 패킷을 받고 NextTop을 사용하십시오3예제 설정ppppoe 기본 피어로의 경로 등록 1.라우터 (config-isakmp)#출구3예제 설정IPSEC 변환 세트 P2-Policy ESP-AES-128 ESP-SHA-HMAC3예제 설정IPSEC ACCESS-LIST 1 IPSEC IP Any 192.168.2.0 0.0.0.255라우터 (config)#IPSEC ACCESS-LIST 64 우회 IP 모든3예제 설정암호화지도 메인 1라우터 (config-crypto-map)#일치 주소 1라우터 (config-crypto-map)#1vrrp에 의해 중앙 측면에있는 두 개의 LAN 측면을 그룹화하여 LAN 쪽에서 마치 단일 장치 인 것처럼 보입니다.라우터 (config-crypto-map)#변환 세트 설정 P2-Policy라우터 (config-crypto-map)#SA-UP 경로 인터페이스 PPPOE 1 *33예제 설정Phase2 SA를 설정 한 후 NexThop은 PPPOE 13예제 설정IPSEC 액세스 목록의 대상 네트워크에 경로를 등록합니다.라우터 (config-crypto-map)#출구3예제 설정라우터 RIP라우터 (config-rip)#Network Lan 1라우터 (config-rip)#타이머 기본 30 90 120라우터 (config-rip)#출구3예제 설정백업 통신으로 전환 할 때 fitelnet_a에서 fitelnet_b로 전달되는 경우3예제 설정필터링에 의해 리디렉션되지 않으면 장치의 경로 정보가 영향을받습니다3예제 설정그것이 나오지 않도록하십시오.3예제 설정Access-List 150 ICMP 거부3예제 설정인터페이스 lan 1라우터 (config-if lan 1)#IP 액세스 그룹 150 out라우터 (config-if lan 1)#출구3예제 설정1의사 소통을하십시오.3예제 설정16IPSEC 중복 센터 측에서 사용 (L3SW의 경우 구성이 필요하지 않음)% 저장 작업-콘피드1인터페이스 pppoe 1콜드 스타트에 괜찮습니까? (y/n)1PPPOE 서버 A 프로비더
| 1보스 토토 (config-if pppoe 1)# | 인터페이스에 속하는 모든 포트가 다운되지 않으면 링크 다운을 감지 할 수 없으므로 VRRP를 사용하면 하나의 포트 만 사용됩니다. 예를 들어, LAN의 포트 1과 2가 Vlanif 1이고 포트 3과 4 포트가 Vlanif 2 인 경우 포트 1과 2가 모두 다운되지 않으면 Vlanif 1이 다운되지 않습니다 (포트 3과 4의 상태가 Vlanif 1에 영향을 미치지 않는 경우). 포트 1 ~ 4 포트가 LAN 1 인터페이스로 사용될 때의 연결 예는 다음과 같습니다.  아래 그림과 같이 미사용 포트를 종료하면 실수로 장치를 연결하더라도 UP가 작동하지 않습니다.
|
| *2 : | PPPOE 1 대신 EWAN 1의 주소를 수동으로 구성하면 다음과 같이 NextThop의 주소를 명시 적으로 설정해야합니다.
|
| 18IPSEC 중복 센터 측에서 사용 (L3SW의 경우 구성이 필요하지 않음) | PPPOE 1 대신 EWAN 1의 주소를 수동으로 구성하면 다음과 같이 NexThop의 주소를 명시 적으로 설정해야합니다.
|
명령 구성의 예
(라인의 주석입니다. 실제로 입력 할 필요가 없습니다.)
이 설정을 사용하려면 사용하십시오
센터 사이드 FitelNet_B (백업) 설정
3예제 설정1Keepalive ICMP Always-Send암호 입력 :3추가 및 노트← 비밀번호를 입력하십시오 (실제로는 아무것도 표시되지 않습니다).터미널 구성라우터 (config)#3Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드3예제 설정인터페이스 lan 1라우터 (config-if lan 1)#IP 주소 192.168.1.252 255.255.255.0라우터 (config-if lan 1)#VRRP 1 주소 192.168.1.254라우터 (config-if lan 1)#VRRP 1 우선 순위 2223예제 설정우선 순위를 마스터 측보다 낮게 설정3예제 설정(숫자가 높을수록 우선 순위가 높습니다).라우터 (config-if lan 1)#출구3예제 설정인터페이스 pppoe 1라우터 (config-if pppoe 1)#21fitelnet_a lan 사이드 IP 주소라우터 (config-if pppoe 1)#pppoe 계정 사용자 b@xxxx.ne.jp Secret-B라우터 (config-if pppoe 1)#pppoe 유형 호스트라우터 (config-if pppoe 1)#암호화지도 백업라우터 (config-if pppoe 1)#IP 주소 100.100.100.100라우터 (config-if pppoe 1)#출구3예제 설정IP 경로 0.0.0.0 0.0.0.0 192.168.1.2003예제 설정vpn enable라우터 (config)#8IPSEC 중복 센터 측에서 사용 (L3SW의 경우 구성이 필요하지 않음)3예제 설정암호화 ISAKMP 정책 1라우터 (config-isakmp)#인증 prekey라우터 (config-isakmp)#암호화 AES 128라우터 (config-isakmp)#그룹 2라우터 (config-isakmp)#9IPSEC 중복 센터 측에서 사용 (L3SW의 경우 구성이 필요하지 않음)라우터 (config-isakmp)#Keepalive ICMP Always-Send라우터 (config-isakmp)#KeepAlive-ICMP 피어-드레스 192.168.2.254라우터 (config-isakmp)#KeepAlive-ICMP 소스 인터페이스 lan 1라우터 (config-isakmp)#키 ASCII VPN라우터 (config-isakmp)#협상 모드 공격적라우터 (config-isakmp)#Peer-Identity Host KTN-BKUP라우터 (config-isakmp)#터널 경로 인터페이스 PPPOE 1라우터 (config-isakmp)#출구3예제 설정IPSEC 변환 세트 P2-Policy ESP-AES-128 ESP-SHA-HMAC3예제 설정IPSEC ACCESS-LIST 1 IPSEC IP Any 192.168.2.0 0.0.0.255라우터 (config)#IPSEC ACCESS-LIST 64 우회 IP 모든3예제 설정암호화지도 백업 1라우터 (config-crypto-map)#일치 주소 1라우터 (config-crypto-map)#피어 호스트 세트 ktn-bkup라우터 (config-crypto-map)#Transform-Set Set P2-Policy라우터 (config-crypto-map)#SA-UP 경로 인터페이스 PPPOE 1라우터 (config-crypto-map)#출구3예제 설정SA-UP 경로에서 생성 된 경로 정보를 RIP를 통해 Fitelnet_A로 보내서,3예제 설정백업 통신 중에 패킷을 fitelnet_a에서 fitelnet_b로베이스로 전달합니다.3예제 설정라우터 RIP라우터 (config-rip)#네트워크 lan 1라우터 (config-rip)#타이머 기본 30 90 120라우터 (config-rip)#출구3예제 설정1의사 소통을하십시오.3예제 설정16IPSEC 중복 센터 측에서 사용 (L3SW의 경우 구성이 필요하지 않음)% 저장 작업-콘피드리셋콜드 스타트에 괜찮습니까? (y/n)1PPPOE 서버 A 프로비더
명령 구성의 예
(라인의 주석입니다. 실제로 입력 할 필요가 없습니다.)
이 설정을 사용하려면 사용하십시오
베이스 설정
3예제 설정활성화비밀번호 입력 :3추가 및 노트← 비밀번호를 입력하십시오 (실제로는 아무것도 표시되지 않습니다).터미널 구성라우터 (config)#인터페이스 lan 1라우터 (config-if lan 1)#IP 주소 192.168.2.254 255.255.255.0라우터 (config-if lan 1)#출구3예제 설정인터페이스 pppoe 1라우터 (config-if pppoe 1)#PPPOE 서버 C-Provider라우터 (config-if pppoe 1)#pppoe 계정 user-c@xxxx.ne.jp Secret-C라우터 (config-if pppoe 1)#pppoe 유형 호스트라우터 (config-if pppoe 1)#7IPSEC 중복 센터 측에서 사용 (L3SW의 경우 구성이 필요하지 않음)라우터 (config-if pppoe 1)#출구3예제 설정인터페이스 pppoe 5라우터 (config-if pppoe 5)#PPPOE 서버 D- 프로비더라우터 (config-if pppoe 5)#pppoe 계정 사용자 d@xxxx.ne.jp secret-d라우터 (config-if pppoe 5)#pppoe 유형 호스트라우터 (config-if pppoe 5)#암호화지도 백업라우터 (config-if pppoe 5)#PPPOE 인터페이스 VLANIF 1! PPPOE5는 VLAN1 인터페이스를 사용하여 수행됩니다.출구3예제 설정인터페이스 Vlanif 1라우터 (config-if vlanif 1)#3보스 토토 (config-if lan 1)#라우터 (config-if vlanif 1)#vlan-id 1라우터 (config-if vlanif 1)#출구3예제 설정17IPSEC 중복 센터 측에서 사용 (L3SW의 경우 구성이 필요하지 않음)라우터 (config-line lan)#Vlan 4 Bridge-Group 1라우터 (config-line lan)#3보스 토토 (config-if lan 1)#라우터 (config-line lan)#출구3예제 설정IP 경로 0.0.0.0.0 0.0.0.0 pppoe 1 *43예제 설정vpn enable라우터 (config)#8IPSEC 중복 센터 측에서 사용 (L3SW의 경우 구성이 필요하지 않음)3예제 설정Crypto ISAKMP 정책 1라우터 (config-isakmp)#인증 prekey라우터 (config-isakmp)#암호화 AES 128라우터 (config-isakmp)#그룹 2라우터 (config-isakmp)#9IPSEC 중복 센터 측에서 사용 (L3SW의 경우 구성이 필요하지 않음)라우터 (config-isakmp)#Keepalive ICMP *5라우터 (config-isakmp)#KeepAlive-ICMP 피어-드레스 192.168.1.251라우터 (config-isakmp)#KeepAlive-ICMP 소스 인터페이스 LAN 1라우터 (config-isakmp)#KeepAlive-ICMP 중복성 인터페이스 PPPOE 1 *6라우터 (config-isakmp)#키 ASCII VPN라우터 (config-isakmp)#38fitelnet_a lan 사이드 IP 주소라우터 (config-isakmp)#협상 모드 공격라우터 (config-isakmp)#피어 식별 주소 200.200.200.200라우터 (config-isakmp)#출구3예제 설정IPSEC 변환 세트 P2-Policy ESP-AES-128 ESP-SHA-HMAC3예제 설정IPSEC ACCESS-LIST 1 IPSEC IP 192.168.2.0 0.0.0.255 Any라우터 (config)#IPSEC ACCESS-LIST 64 우회 IP 모든3예제 설정암호화지도 메인 1 *7라우터 (config-crypto-map)#일치 주소 1 1st라우터 (config-crypto-map)#피어 주소 설정 200.200.200.200라우터 (config-crypto-map)#Transform-Set Set P2-Policy라우터 (config-crypto-map)#출구3예제 설정암호화 ISAKMP 정책 2라우터 (config-isakmp)#인증 prekey라우터 (config-isakmp)#암호화 AES 128라우터 (config-isakmp)#그룹 2라우터 (config-isakmp)#9IPSEC 중복 센터 측에서 사용 (L3SW의 경우 구성이 필요하지 않음)라우터 (config-isakmp)#Keepalive ICMP Always-Send라우터 (config-isakmp)#KeepAlive-ICMP 피어-드레스 192.168.1.252라우터 (config-isakmp)#KeepAlive-ICMP 소스 인터페이스 LAN 1라우터 (config-isakmp)#키 ASCII VPN라우터 (config-isakmp)#My-eDidentity ktn-bkup라우터 (config-isakmp)#협상 모드 공격라우터 (config-isakmp)#피어 식별 주소 100.100.100.100라우터 (config-isakmp)#출구3예제 설정암호화지도 백업 2 *8라우터 (config-crypto-map)#일치 주소 1 2nd라우터 (config-crypto-map)#피어 주소 설정 100.100.100.100라우터 (config-crypto-map)#보안 관련 설정 항상 설정라우터 (config-crypto-map)#4VRID가 1으로 설정된 대표 IP 주소를 설정합니다.라우터 (config-crypto-map)#중복 설정 삭제 삭제라우터 (config-crypto-map)#출구3예제 설정1의사 소통을하십시오.3예제 설정16IPSEC 중복 센터 측에서 사용 (L3SW의 경우 구성이 필요하지 않음)% 저축 작업-콘피드1인터페이스 pppoe 1콜드 스타트에도 괜찮습니까? (y/n)1PPPOE 서버 A 프로비더
| 4보스 토토 (config-if lan 1)# | 메인 측면에서 통신 할 때 중앙의 기본 측면으로가는 경로와 IPSEC 통신이 전달되는 네트워크로가는 경로가 포함됩니다. 백업 할 때, PPPOE5 측면을 향한 중앙의 백업 측 피어로가는 경로와 IPSEC 네트워크로가는 경로가 자동으로 등록됩니다 (백업 측면의 경로는 정적으로 구성되어서는 안됩니다). |
| 4인터페이스 pppoe 1 | 주 측면의 경우, 작업은 항상 중단 옵션없이 항상 센센트하는 것과 같습니다 (항상 옵션을 추가하는 것은 좋습니다). |
| 4PPPOE 서버 A 프로비더 | 주 주소가 메인 측면에서 PPPOE 1 대신 EWAN 1으로 수동으로 설정되면 다음과 같이 NextTop 인터페이스와 주소를 모두 지정해야합니다.
|
| 4pppoe 유형 호스트 | 메인 측면에서, 설정 보안 관련 협회가 항상 설정되지 않더라도 ICMP keepAlive는 항상 SA를 설정할 수있는 기회로 작용합니다 (항상 SET SECIRPOR-AWICIATION이 설정 되더라도 괜찮습니다). |
| 47IPSEC 중복 센터 측에서 사용 (L3SW의 경우 구성이 필요하지 않음) | 백업 측이 PPPOE 5가 아닌 VLAN에서 주소를 수동으로 설정 한 경우 백업 측의 암호화 맵에 다음 설정도 필요합니다.
|
모든 권리 보유, 저작권 (C) Furukawa Electric Co., Ltd. 2012