Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
NIP
PO
N T
EL
EG
RA
PH
AN
D T
EL
EP
HO
NE
EA
ST
CO
RP
OR
AT
ION
フレッツ・VPN プライオモバイルバックアップ 設定ガイド
(YAMAHA機器)
目次
2
ページ 手順 備考
9 1.RTX1210の設定例(センタ:拠点1側)
必ず実施
12 2.RTX830の設定例(エンド:拠点2側)
15 3.NVR700Wの設定例(エンド:拠点3側) 拠点数に応じて実施
-3-
本開通ガイドの一部または全部を、東日本電信電話株式会社の許可なく複製することを禁じます。
本開通ガイドの内容は、予告なく変更することがあります。
本開通ガイドにおけるサービスや製品に関する記述は、あくまで情報を提供する目的で書かれたもので、保証もしくは推奨するものではありません。
その他のサービス名などの固有名詞は、各社の登録商標または商標です。
本文中の各社の登録商標または商標には®マークは表示しておりません。
本ガイドの位置付け
「モバイル接続サービス」は、NTT東日本が提供するフレッツ・VPNサービス※1
に対し、モバイル事業者が提供するモバイル回線※2から、インターネットを介さない閉域での接続を可能とする、定額制のオプションサービスです。
本ガイドでは「モバイル接続サービス」を、フレッツ・VPN プライオ拠点のバックアップ回線として利用する場合の、ルータ(YAMAHA機器)の設定例についてご案内いたします。
ご利用にあたっては、当社が提供するフレッツ・VPN プライオと株式会社インターネットイニシアティブが提供するIIJモバイルサービスの本サービス専用プランのご契約が必要です。
-4-
※1 「フレッツ・VPN ワイド」及び「フレッツ・VPN プライオ」※2 2020年6月30日時点では、株式会社インターネットイニシアティブ(IIJ)の「IIJモバイルサービス」に対応
5
■YAMAHA機器による構成例
フレッツ・VPN プライオ モバイルバックアップ構成
[設計上の注意事項]
SIMのIPアドレスが、フレッツ・VPN プライオのIPアドレスと重複しないよう設計して下さい。
SIMのIPアドレスと、LAN側のIPアドレスは重複しないよう設計してください。
各機器の対象ファームウエアのバージョンは下記の通りです。
端末機器のファームウェアは、最新の状態に更新の上、検証・導入いただけますようお願い致します。
USBドングルをVPNルータに接続する構成の場合には、USBドングルの設定を「モデムモード」に変更頂く必要がございます。
【動作確認機器】■VPNルータ
- RTX1210 (ファームウェア Rev.14.01.34)- RTX830 (ファームウェア Rev.15.02.13)- NVR700W (ファームウェア Rev.15.00.16)
■USBドングル- FS040U(v2.2.0)
フレッツ・VPN プライオ モバイルバックアップ構成
■バックアップ構成概要
• センターエンド型のトポロジを想定
• CPE下部にルータを設置
• センタ拠点回線:[メイン]光 [バックアップ]モバイル
• エンド拠点回線:[メイン]光 [バックアップ]モバイル
• センタ拠点側の光回線異常時は、センタ側拠点側のアクセスがモバイル回線に切り替わる
• エンド拠点側の光回線異常時は、異常のあったエンド拠点側のアクセスのみ、モバイル回線に切り替わる
• エンド拠点側の光回線も、センタ拠点側の光回線ともに異常時は、エンド拠点側、センタ拠点側のアクセスいずれも、モバイル回線に切り替わる
• 各拠点は、光回線が復旧し次第、モバイル回線から光回線に通信経路を自動で切り戻す
6
機種 備考
拠点1 RTX1210 センタ拠点
拠点2 RTX830 エンド拠点1
拠点3 NVR700W エンド拠点2
ONU ONU
モバイル接続サービス
拠点2
拠点1
フレッツ・VPN プライオ(NTT東日本)
モバイル事業者ネットワーク
CPE
CPE
lan1:192.168.241.1
usb1:192.168.1.6
<NW構成>
拠点3
CPE
lan1:192.168.242.1
PC等 PC等 PC等 PC等
192.168.240.0/24
usb1:192.168.1.5
lan1:192.168.240.1
192.168.241.0/24
usb1:192.168.1.7
192.168.242.0/24
IPSecトンネル (メイン)
IPSecトンネル (バックアップ)※
※エンド拠点側アクセスは光、センタ拠点側アクセスはモバイル
RTX1210
RTX830 NVR700W
lan2:192.168.11.1
lan2:192.168.7.1
onu1:192.168.3.1
ONU
NVR700W
ONUONUONU ONU
モバイル接続
サービス
拠点2
拠点1
フレッツ・VPN プライオ(NTT東日本)
モバイル事業者ネットワーク
CPE
CPE
lan1:192.168.241.1
usb1:192.168.1.6
<正常時>
拠点3
CPE
lan1:192.168.242.1
PC等 PC等 PC等 PC等
192.168.240.0/24
lo: 192.168.240.2lan1:192.168.240.1
192.168.241.0/24
usb1:192.168.1.7
192.168.242.0/24
モバイル接続サービス
拠点2
拠点1
フレッツ・VPN プライオ(NTT東日本)
モバイル事業者ネットワーク
CPE
CPE
lan1:192.168.241.1
usb1:192.168.1.6
拠点3
CPE
lan1:192.168.242.1
PC等 PC等 PC等 PC等
192.168.240.0/24
lo: 192.168.240.2lan1:192.168.240.1
192.168.241.0/24
usb1:192.168.1.7
192.168.242.0/24
<センタ拠点(拠点1)光異常時>
バックアップ用トンネルの経路にゲートウェイを切り替えて通信する
• センタ拠点側光の障害時はメインのトンネルが全拠点において切断されるが、その際バックアップ用のトンネルに経路が切り替わる動作となる
IPSecトンネル (メイン)
IPSecトンネル (バックアップ)※
※エンド拠点側アクセスは光、センタ拠点側アクセスはモバイル
IPSecトンネル (メイン)
IPSecトンネル (バックアップ)※
※エンド拠点側アクセスは光、センタ拠点側アクセスはモバイル
センタ-エンド間通信の流れ センタ-エンド間通信の流れ
RTX1210
RTX830 NVR700W
RTX1210
lan2:192.168.11.1
lan2:192.168.7.1
lan2:192.168.7.1
onu1:192.168.3.1
onu1:192.168.3.1
lan2:192.168.11.1
ONUONU
RTX830
usb1:192.168.1.5(NAT前IP:10.128.136.1)
usb1:192.168.1.5(NAT前IP:10.128.136.1)
7
フレッツ・VPN プライオ モバイルバックアップ構成
• エンド拠点側光の障害時は、障害のあった拠点のみが、モバイル側のインタフェース(usb1)から、センタ側拠点に対してメイン用とバックアップ用のトンネルを接続し直す動作となる
NVR700W
ONU
モバイル接続
サービス
拠点2
拠点1
フレッツ・VPN プライオ(NTT東日本)
モバイル事業者ネットワーク
CPE
lan1:192.168.241.1
usb1:192.168.1.6
拠点3
CPE
lan1:192.168.242.1
PC等 PC等 PC等 PC等
192.168.240.0/24
lo: 192.168.240.2lan1:192.168.240.1
192.168.241.0/24
usb1:192.168.1.7
192.168.242.0/24
<センタ拠点(拠点1)光異常時>
IPSecトンネル (メイン)
IPSecトンネル (バックアップ)※
※エンド拠点側アクセスは光、センタ拠点側アクセスはモバイル
センタ-エンド間通信の流れ
RTX1210
lan2:192.168.7.1
onu1:192.168.3.1
lan2:192.168.11.1
ONU
RTX830
障害のないエンド拠点はゲートウェイは切り替わらない
ゲートウェイをモバイル側に切り替える
ONU ONU
モバイル接続
サービス
拠点2
拠点1
フレッツ・VPN プライオ(NTT東日本)
モバイル事業者ネットワーク
CPE
CPE
lan1:192.168.241.1
usb1:192.168.1.6
<正常時>
拠点3
CPE
lan1:192.168.242.1
PC等 PC等 PC等 PC等
192.168.240.0/24
usb1:192.168.1.5(NAT前IP:10.128.136.1)
lo: 192.168.240.2lan1:192.168.240.1
192.168.241.0/24
usb1:192.168.1.7
192.168.242.0/24
IPSecトンネル (メイン)
IPSecトンネル (バックアップ)※
※エンド拠点側アクセスは光、センタ拠点側アクセスはモバイル
センタ-エンド間通信の流れ
RTX1210
RTX830 NVR700W
lan2:192.168.11.1
lan2:192.168.7.1
onu1:192.168.3.1
ONU
ONU
CPE
usb1:192.168.1.5(NAT前IP:10.128.136.1)
8
フレッツ・VPN プライオ モバイルバックアップ構成
9
1.RTX1210の設定例(センタ:拠点1側) (1/3)
ゲートウェイの設定等 ip route change log onip route default gateway 192.168.11.254 filter 1 gateway pp 2 filter 2ip route 192.168.241.0/24 gateway tunnel 1 hide gateway tunnel 11 weight 0ip route 192.168.242.0/24 gateway tunnel 2 hide gateway tunnel 12 weight 0
LAN側I/Fの設定(lan1を使用)
ip lan1 address 192.168.240.1/24ip lan1 proxyarp onip loopback1 address 192.168.240.2/32
WAN(VPNプライオ)側I/Fの設定(lan2を使用)
ip lan2 address 192.168.11.1/24ip lan2 nat descriptor 1
モバイル側I/Fの設定(usb1を使用)
pp select 2pp bind usb1pp keepalive interval 10 count=6pp always-on onpp auth accept pap chappp auth myname [モバイル接続サービスユーザ名] [モバイル接続サービスパスワード]ppp lcp mru off 1792ppp lcp accm onppp ipcp ipaddress onppp ipcp msext onppp ipv6cp use offip pp nat descriptor 11mobile auto connect onmobile access-point name kxm.iijmobile.jp cid=2mobile access limit length offmobile access limit time offpp enable 2
モバイル接続サービスのAPN名
タイプDの場合: kxm.iijmobile.jpタイプKの場合: k.iijmobile.jpタイプIの場合 : h.iijmobile.biz
フレッツ・VPN プライオ モバイルバックアップ構成
10
1.RTX1210の設定例(センタ:拠点1側) (2/3)
IPSecトンネルの設定・拠点1-拠点2間通信用・メイン
tunnel select 1ipsec tunnel 1ipsec sa policy 1 1 esp aes-cbc sha-hmacipsec ike keepalive use 1 on heartbeat 10 6ipsec ike local address 1 192.168.11.1ipsec ike pre-shared-key 1 text test123ipsec ike remote address 1 anyipsec ike remote name 1 kyoten1-m key-idip tunnel tcp mss limit autotunnel enable 1
IPSecトンネルの設定・拠点1-拠点3間通信用・メイン
tunnel select 2ipsec tunnel 2ipsec sa policy 2 2 esp aes-cbc sha-hmacipsec ike keepalive use 2 on heartbeat 10 6ipsec ike local address 2 192.168.11.1ipsec ike pre-shared-key 2 text test123ipsec ike remote address 2 anyipsec ike remote name 2 kyoten2-m key-idip tunnel tcp mss limit autotunnel enable 2
IPSecトンネルの設定・拠点1-拠点2間通信用・バックアップ
tunnel select 11ipsec tunnel 11ipsec sa policy 11 11 esp aes-cbc sha-hmacipsec ike keepalive use 11 on heartbeat 10 6ipsec ike local address 11 10.128.136.1ipsec ike pre-shared-key 11 text test123ipsec ike remote address 11 anyipsec ike remote name 11 kyoten1-b key-idip tunnel tcp mss limit autotunnel enable 11
IPSecトンネルの設定・拠点1-拠点3間通信用・バックアップ
tunnel select 12ipsec tunnel 12ipsec sa policy 12 12 esp aes-cbc sha-hmacipsec ike keepalive use 12 on heartbeat 10 6ipsec ike local address 12 10.128.136.1ipsec ike pre-shared-key 12 text test123ipsec ike remote address 12 anyipsec ike remote name 12 kyoten2-b key-idip tunnel tcp mss limit autotunnel enable 12
モバイルSIMのNAT前IPアドレス(申込書に記載のものとは異なります)
※作業対象のSIMについて、実機でアドレスを確認の上、config作成をお願いいたします。当該ルータにドングル及びSIMを装着し、コンソールより前ページ「モバイル側I/Fの設定(usb1を使用)」および次ページ「ドングルを使用する」の設定を入力した後、
# show status pp 2
を実行いただくことで表示されるコンソール出力において「PPPオプション」の「PP IP Address Local: 」に続いて表示されるIPアドレスが、該当のものとなります。
フレッツ・VPN プライオ モバイルバックアップ構成
11
1.RTX1210の設定例(センタ:拠点1側) (3/3)
フィルタ設定 ip filter 1 pass 192.168.11.1 *ip filter 2 pass 192.168.240.2 *
NAT設定 nat descriptor type 1 masqueradenat descriptor masquerade static 1 1 192.168.11.1 espnat descriptor masquerade static 1 2 192.168.11.1 udp 500nat descriptor masquerade static 1 3 192.168.11.1 udp 4500nat descriptor type 2 masqueradenat descriptor masquerade static 2 1 192.168.11.1 espnat descriptor masquerade static 2 2 192.168.11.1 udp 500nat descriptor masquerade static 2 3 192.168.11.1 udp 4500nat descriptor type 11 masqueradenat descriptor masquerade static 11 1 192.168.240.2 espnat descriptor masquerade static 11 2 192.168.240.2 udp 500nat descriptor masquerade static 11 3 192.168.240.2 udp 4500nat descriptor type 12 masqueradenat descriptor masquerade static 12 1 192.168.240.2 espnat descriptor masquerade static 12 2 192.168.240.2 udp 500nat descriptor masquerade static 12 3 192.168.240.2 udp 4500
DHCPの設定 dhcp service serverdhcp server rfc2131 compliant except remain-silentdhcp scope 1 192.168.240.3-192.168.240.191/24
IPSecの自動リフレッシュ設定
ipsec auto refresh on
ドングルを使用する mobile use usb1 on
フレッツ・VPN プライオ モバイルバックアップ構成
12
2.RTX830の設定例(エンド:拠点2側) (1/3)
ゲートウェイ、バックアップ等の設定
ip route change log onip route 192.168.11.0/24 gateway 192.168.7.254 keepalive 1 gateway pp 2 weight 0ip route 192.168.1.0/24 gateway 192.168.7.254 keepalive 2 gateway pp 2 weight 0ip route 192.168.240.0/24 gateway tunnel 1 keepalive 3 gateway tunnel 11 weight 0ip route 192.168.242.0/24 gateway tunnel 1 keepalive 3 gateway tunnel 11 weight 0ip keepalive 1 icmp-echo 10 6 192.168.11.1ip keepalive 2 icmp-echo 10 6 192.168.1.5ip keepalive 3 icmp-echo 10 6 192.168.240.1ip keepalive 10 icmp-echo 20 6 192.168.240.2 ipsec-refresh-down=1,11
LAN側I/Fの設定(lan1を使用)
ip lan1 address 192.168.241.1/24ip lan1 proxyarp on
WAN(VPNプライオ)側I/Fの設定(lan2を使用)
ip lan2 address 192.168.7.1/24ip lan2 nat descriptor 1
モバイル側I/Fの設定(usb1を使用)
pp select 2pp bind usb1pp keepalive interval 10 count=6pp always-on onpp auth accept pap chappp auth myname [モバイル接続サービスユーザ名] [モバイル接続サービスパスワード]ppp lcp mru off 1792ppp lcp accm onppp ipcp ipaddress onppp ipcp msext onppp ipv6cp use offip pp nat descriptor 11mobile auto connect onmobile access-point name k.iijmobile.biz cid=2mobile access limit length offmobile access limit time offpp enable 2
モバイル接続サービスのAPN名
タイプDの場合: kxm.iijmobile.jpタイプKの場合: k.iijmobile.jpタイプIの場合 : h.iijmobile.biz
フレッツ・VPN プライオ モバイルバックアップ構成
13
2.RTX830の設定例(エンド:拠点2側) (2/3)
IPSecトンネルの設定・拠点1-拠点2間通信用・メイン
tunnel select 1ipsec tunnel 1ipsec sa policy 1 1 esp aes-cbc sha-hmacipsec ike keepalive use 1 on heartbeat 10 6ipsec ike local address 1 192.168.241.1ipsec ike local name 1 kyoten1-m key-idipsec ike pre-shared-key 1 text test123ipsec ike remote address 1 192.168.11.1ip tunnel tcp mss limit autotunnel enable 1
IPSecトンネルの設定・拠点1-拠点2間通信用・バックアップ
tunnel select 11ipsec tunnel 11ipsec sa policy 11 11 esp aes-cbc sha-hmacipsec ike keepalive use 11 on heartbeat 10 6ipsec ike local address 11 192.168.241.1ipsec ike local name 11 kyoten1-b key-idipsec ike pre-shared-key 11 text test123ipsec ike remote address 11 192.168.1.5ip tunnel tcp mss limit autotunnel enable 11
フレッツ・VPN プライオ モバイルバックアップ構成
14
2.RTX830の設定例(エンド:拠点2側) (3/3)
NAT設定 nat descriptor type 1 masqueradenat descriptor address outer 1 primarynat descriptor masquerade static 1 1 192.168.241.1 espnat descriptor masquerade static 1 2 192.168.241.1 udp 500nat descriptor masquerade static 1 3 192.168.241.1 udp 4500nat descriptor type 11 masqueradenat descriptor masquerade static 11 1 192.168.241.1 espnat descriptor masquerade static 11 2 192.168.241.1 udp 500nat descriptor masquerade static 11 3 192.168.241.1 udp 4500
DHCPの設定 dhcp service serverdhcp server rfc2131 compliant except remain-silentdhcp scope 1 192.168.241.2-192.168.241.191/24
IPSecの自動リフレッシュ設定
ipsec auto refresh on
ドングルを使用する mobile use usb1 on
フレッツ・VPN プライオ モバイルバックアップ構成
15
3.NVR700Wの設定例(エンド:拠点3側) (1/3)
ゲートウェイの設定等 ip route change log onip route 192.168.11.0/24 gateway 192.168.3.254 keepalive 1 gateway pp 2 weight 0ip route 192.168.1.0/24 gateway 192.168.3.254 keepalive 2 gateway pp 2 weight 0ip route 192.168.240.0/24 gateway tunnel 1 keepalive 3 gateway tunnel 11 weight 0ip route 192.168.241.0/24 gateway tunnel 1 keepalive 3 gateway tunnel 11 weight 0ip keepalive 1 icmp-echo 10 6 192.168.11.1ip keepalive 2 icmp-echo 10 6 192.168.1.5ip keepalive 3 icmp-echo 10 6 192.168.240.1ip keepalive 10 icmp-echo 20 6 192.168.240.2 ipsec-refresh-down=1,11
LAN側I/Fの設定(lan1を使用)
ip lan1 address 192.168.242.1/24ip lan1 proxyarp on
WAN(VPNワイド)側I/Fの設定(onu1を使用)
ip onu1 address 192.168.3.1/24ip onu1 nat descriptor 1
モバイル側I/Fの設定(usb1を使用)
pp select 2pp bind usb1pp keepalive interval 10 count=6pp always-on onpp auth accept pap chappp auth myname [モバイル接続サービスユーザ名] [モバイル接続サービスパスワード]ppp lcp mru off 1792ppp lcp accm onppp ipcp ipaddress onppp ipcp msext onppp ipv6cp use offip pp nat descriptor 11mobile auto connect onmobile access-point name h.iijmobile.biz cid=2mobile access limit length offmobile access limit time offpp enable 2
モバイル接続サービスのAPN名
タイプDの場合: kxm.iijmobile.jpタイプKの場合: k.iijmobile.jpタイプIの場合 : h.iijmobile.biz
フレッツ・VPN プライオ モバイルバックアップ構成
16
3.NVR700Wの設定例(エンド:拠点3側) (2/3)
IPSecトンネルの設定・拠点1-拠点2間通信用・メイン
tunnel select 1ipsec tunnel 1ipsec sa policy 1 1 esp aes-cbc sha-hmacipsec ike keepalive use 1 on heartbeat 10 6ipsec ike local address 1 192.168.242.1ipsec ike local name 1 kyoten2-m key-idipsec ike pre-shared-key 1 text test123ipsec ike remote address 1 192.168.11.1ip tunnel tcp mss limit autotunnel enable 1
IPSecトンネルの設定・拠点1-拠点2間通信用・バックアップ
tunnel select 11ipsec tunnel 11ipsec sa policy 11 11 esp aes-cbc sha-hmacipsec ike keepalive use 11 on heartbeat 10 6ipsec ike local address 11 192.168.242.1ipsec ike local name 11 kyoten2-b key-idipsec ike pre-shared-key 11 text test123ipsec ike remote address 11 192.168.1.5ip tunnel tcp mss limit autotunnel enable 11
フレッツ・VPN プライオ モバイルバックアップ構成
17
3.NVR700Wの設定例(エンド:拠点3側) (3/3)
NAT設定 nat descriptor type 1 masqueradenat descriptor address outer 1 primarynat descriptor masquerade static 1 1 192.168.242.1 espnat descriptor masquerade static 1 2 192.168.242.1 udp 500nat descriptor masquerade static 1 3 192.168.242.1 udp 4500nat descriptor type 11 masqueradenat descriptor masquerade static 11 1 192.168.242.1 espnat descriptor masquerade static 11 2 192.168.242.1 udp 500nat descriptor masquerade static 11 3 192.168.242.1 udp 4500
DHCPの設定 dhcp service serverdhcp server rfc2131 compliant except remain-silentdhcp scope 1 192.168.242.2-192.168.242.191/24
IPSecの自動リフレッシュ設定
ipsec auto refresh on
ドングルを使用する mobile use usb1 on
フレッツ・VPN プライオ モバイルバックアップ構成