インターネットVPN[他のインターネット(ブロードバンド)回線にバックアップ](センタールータを1台で構成)

バックアップ回線による通信断からの自動復旧のための設定例

[ インターネットVPN[他のインターネット(ブロードバンド)回線にバックアップ ](センタールータを1台で構成) ]

[目次]

正常運用時の説明
拠点にて回線障害発生時の説明
センターにて回線障害発生時の説明
この設定例の条件
設定例

[正常運用]

通常運用時は上図のようにVPN通信を行っているとします。

センター側、拠点側ともに回線障害に備えて、2本の別々の回線を通してインターネット接続を設定しています。メイン回線障害発生時には自動的にバックアップ回線に切り替わり、インターネット接続およびVPN接続を行います。

[拠点にて回線障害発生]

例えば、拠点2とインターネットを結ぶメイン回線がダウンしたとします。すると上図のようにRT(3)は自動的にバックアップ回線を通してセンターの RT(1)と接続を試みます。

拠点側ではメイン回線で障害発生を検知し、バックアップ回線によるインターネット接続に切り替わります。この際、VPNトンネルも一時的に切断されることになりますが、バックアップ回線によるインターネット接続確立後に再度センターとの間にトンネルが生成されます。
メイン回線が復旧するとインターネットへの接続はバックアップ回線からメイン回線に戻ることになります。この時VPNトンネルも一旦切断されることになりますが、すぐに復旧したメイン回線を通してセンターと再接続され、正常運用に戻ります。

[センターにて回線障害発生]

センターとインターネットを結ぶメイン回線がダウンしたとします。すると上図のように拠点側ルータ(RT(2)、RT(3))はセンターとのVPN トンネルを確立します。

センターではメイン回線で障害が発生することにより、バックアップ回線でのインターネット接続を開始します。
拠点側ではセンター側のRT(1)とのVPNトンネルが切断されたことを検知し、自動的にバックアップトンネルの起動を行い、センターとの間に新たなVPNトンネルを生成します。
センターのメイン回線が復旧すれば、拠点側(RT(2)、RT(3))ではセンターとの間のメイントンネルが復旧します。復旧されれば自動的にセンターとの通信には復旧されたメイントンネルを使うようになり、正常運用に戻ります。

[この設定例の条件]

センター、拠点共にフレッツADSLもしくはBフレッツ等にてプロバイダとPPPoE接続を2本確保しており、センター側はメイン回線、バックアップ回線ともに固定のアドレス割り当てを受けているものとします。
本設定例においてはセンター、拠点ともにBフレッツとADSLによる接続を確保しており、 Bフレッツ接続をメイン回線として使用することとします。

[該当機種]

RT(1) : RTX2000、RTX1000
RT(2) : RTX2000、RTX1000
RT(3) : RTX2000、RTX1000

[注意点など]

本設定例では拠点数は2としていますが、設定例内の拠点に関する設定を増やすことで複数の拠点とのVPN通信をバックアップする設定を行うことが可能です。

　（注）Rev7.00.14以降のみ対応です。

[設定例]

センター RT(1)
拠点1 RT(2)
拠点2 RT(3)

[センター RT(1) 設定例]

設定のポイント

各拠点とのトンネルはメイントンネルとバックアップトンネルをそれぞれ別々に設定します。
"pp backup pp 2"コマンドにより、メイン回線に障害が生じた時にバックアップ回線でインターネット接続を行うように設定します。
"tunnel backup tunnel"コマンドにより、メイントンネルに障害が生じたときにバックアップトンネルによる拠点間通信を行うように設定します。

#
#LANの設定
#
ip lan1 address 192.168.0.254/24

#
#プロバイダとの接続設定(メイン回線)
#
pp select 1
#メイン回線障害時のバックアップ回線への切替え設定 … B
pp backup pp 2
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (プロバイダに接続するID) (プロバイダに接続するパスワード)
ppp lcp mru on 1454
ppp ccp type none
ip pp address (プロバイダより割り当てられた固定アドレス1)
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1

#
#プロバイダとの接続設定(バックアップ回線)
#
pp select 2
pppoe use lan3
pp auth accept pap chap
pp auth myname (プロバイダに接続するID) (プロバイダに接続するパスワード)
ppp lcp mru on 1454
ppp ccp type none
ip pp address (プロバイダより割り当てられた固定アドレス2)
ip pp mtu 1454
ip pp nat descriptor 2
pp enable 2


#
#その他の共通の設定
#
#経路設定
ip route default gateway pp 1 filter 1 gateway pp 2 filter 2 gateway pp 1
ip filter 1 pass (プロバイダより割り当てられた固定アドレス1)
ip filter 2 pass (プロバイダより割り当てられた固定アドレス2)
#IPsec設定
ipsec autorefresh on

#
#NATの設定
#
nat descriptor type 1 masquerade
nat descriptor address outer 1 (プロバイダより割り当てられた固定アドレス1)
nat descriptor masquerade static 1 1 (プロバイダより割り当てられた固定アドレス1) udp 500
nat descriptor masquerade static 1 2 (プロバイダより割り当てられた固定アドレス1) esp
nat descriptor type 2 masquerade
nat descriptor address outer 2 (プロバイダより割り当てられた固定アドレス2)
nat descriptor masquerade static 2 1 (プロバイダより割り当てられた固定アドレス2) udp 500
nat descriptor masquerade static 2 2 (プロバイダより割り当てられた固定アドレス2) esp

#
#拠点1に対する設定 … A
#
#メイントンネル
tunnel select 1
ipsec tunnel 101
#メイントンネル障害時のバックアップトンネルへの切替え設定 … C
tunnel backup tunnel 2 switch-interface=on
tunnel enable 1
ip route 192.168.1.0/24 gateway tunnel 1
ipsec ike keepalive use 1 on
ipsec ike local address 1 (プロバイダより割り当てられた固定アドレス1)
ipsec ike pre-shared-key 1 text ABC
ipsec ike remote address 1 any
ipsec ike remote name 1 kyoten1-1
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
#バックアップトンネル
tunnel select 2
ipsec tunnel 102
tunnel enable 2
ipsec ike keepalive use 2 on
ipsec ike local address 2 (プロバイダより割り当てられた固定アドレス2)
ipsec ike pre-shared-key 2 text ABC
ipsec ike remote address 2 any
ipsec ike remote name 2 kyoten1-2
ipsec sa policy 102 2 esp 3des-cbc md5-hmac

#
#拠点2に対する設定 … A
#
#メイントンネル
tunnel select 3
ipsec tunnel 103
#メイントンネル障害時のバックアップトンネルへの切替え設定 … C
tunnel backup tunnel 4 switch-interface=on
tunnel enable 3
ip route 192.168.2.0/24 gateway tunnel 3
ipsec ike keepalive use 3 on
ipsec ike local address 3 (プロバイダより割り当てられた固定アドレス1)
ipsec ike pre-shared-key 3 text ABC
ipsec ike remote address 3 any
ipsec ike remote name 3 kyoten2-1
ipsec sa policy 103 3 esp 3des-cbc md5-hmac
#バックアップトンネル
tunnel select 4
ipsec tunnel 104
tunnel enable 4
ipsec ike keepalive use 4 on
ipsec ike local address 4 (プロバイダより割り当てられた固定アドレス2)
ipsec ike pre-shared-key 4 text ABC
ipsec ike remote address 4 any
ipsec ike remote name 4 kyoten2-2
ipsec sa policy 104 4 esp 3des-cbc md5-hmac

[拠点1 RT(2) 設定例]

設定のポイント

センターとのトンネルはメイントンネルとバックアップトンネルをそれぞれ別々に設定します。
"pp backup pp 2"コマンドにより、メイン回線に障害が生じた時にバックアップ回線でインターネット接続を行うように設定します。
"tunnel backup tunnel"コマンドにより、メイントンネルに障害が生じたときにバックアップトンネルによる拠点間通信を行うように設定します。

#
#LANの設定
#
ip lan1 address 192.168.1.254/24

#
#プロバイダとの接続設定(メイン回線)
#
pp select 1
#メイン回線障害時のバックアップ回線への切替え設定 … B
pp backup pp 2
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (プロバイダに接続するID) (プロバイダに接続するパスワード)
ppp lcp mru on 1454
ppp ccp type none
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1

#
#プロバイダとの接続設定(バックアップ回線)
#
pp select 2
pppoe use lan3
pp auth accept pap chap
pp auth myname (プロバイダに接続するID) (プロバイダに接続するパスワード)
ppp lcp mru on 1454
ppp ccp type none
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 2


#
#共通の設定
#
# IPsec
ipsec autorefresh on
# 経路
ip route default gateway pp 1

#
#NATの設定
#
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.1.254 udp 500
nat descriptor masquerade static 1 2 192.168.1.254 esp

#
#メインVPNトンネル設定
#
tunnel select 1
ipsec tunnel 101
#メイントンネル障害時のバックアップトンネルへの切替え設定 … C
tunnel backup tunnel 2 switch-interface=on
tunnel enable 1
ip route 192.168.0.0/24 gateway tunnel 1
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.1.254
ipsec ike local name 1 kyoten1-1
ipsec ike pre-shared-key 1 text ABC
ipsec ike remote address 1 (センターRT(1)のメイン回線側アドレス)
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
#
#バックアップ用VPNトンネル設定
#
tunnel select 2
ipsec tunnel 102
tunnel enable 2
ipsec ike keepalive use 2 on
ipsec ike local address 2 192.168.1.254
ipsec ike local name 2 kyoten1-2
ipsec ike pre-shared-key 2 text ABC
ipsec ike remote address 2 (センターRT(1)のバックアップ回線側アドレス)
ipsec sa policy 102 2 esp 3des-cbc md5-hmac

[拠点2 RT(3) 設定例]

設定のポイント

センターとのトンネルはメイントンネルとバックアップトンネルをそれぞれ別々に設定します。
"pp backup pp 2"コマンドにより、メイン回線に障害が生じた時にバックアップ回線でインターネット接続を行うように設定します。
"tunnel backup tunnel"コマンドにより、メイントンネルに障害が生じたときにバックアップトンネルによる拠点間通信を行うように設定します。

#
#LANの設定
#
ip lan1 address 192.168.2.254/24

#
#プロバイダとの接続設定(メイン回線)
#
pp select 1
#メイン回線障害時のバックアップ回線への切替え設定 … B
pp backup pp 2
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (プロバイダに接続するID) (プロバイダに接続するパスワード)
ppp lcp mru on 1454
ppp ccp type none
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1

#
#プロバイダとの接続設定(バックアップ回線)
#
pp select 2
pppoe use lan3
pp auth accept pap chap
pp auth myname (プロバイダに接続するID) (プロバイダに接続するパスワード)
ppp lcp mru on 1454
ppp ccp type none
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 2


#
#共通の設定
#
# IPsec
ipsec autorefresh on
# 経路
ip route default gateway pp 1

#
#NATの設定
#
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.2.254 udp 500
nat descriptor masquerade static 1 2 192.168.2.254 esp

#
#メインVPNトンネル設定
#
tunnel select 1
ipsec tunnel 101
#メイントンネル障害時のバックアップトンネルへの切替え設定 … C
tunnel backup tunnel 2 switch-interface=on
tunnel enable 1
ip route 192.168.0.0/24 gateway tunnel 1
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.2.254
ipsec ike local name 1 kyoten2-1
ipsec ike pre-shared-key 1 text ABC
ipsec ike remote address 1 (センターRT(1)のメイン回線側アドレス)
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
#
#バックアップ用VPNトンネル設定
#
tunnel select 2
ipsec tunnel 102
tunnel enable 2
ipsec ike keepalive use 2 on
ipsec ike local address 2 192.168.2.254
ipsec ike local name 2 kyoten2-2
ipsec ike pre-shared-key 2 text ABC
ipsec ike remote address 2 (センターRT(1)のバックアップ回線側アドレス)
ipsec sa policy 102 2 esp 3des-cbc md5-hmac

関連資料

YAMAHA RTシリーズのFAQ / IPsec & IKE & VPN

※「戻る/進む」はブラウザの履歴が使用されます

[ RTpro / ヤマハ / 技術資料 / 設定例集 / RT's FAQ / マニュアル ]