10. QoS設定
10.1. Precedence値を変更する
Precedence値を変更する例です。
設定
本装置の設定
Router# configure
Router(config)# ip access-list class1-list permit ip src 192.168.0.1/32 dest any
Router(config)# class-map match-all class1
Router(config-cmap-class1)# match ip access-list class1-list
Router(config-cmap-class1)# exit
Router(config)# policy-map in-map
Router(config-pmap-in-map)# class class1
Router(config-pmap-c-class1)# set ip precedence 5
Router(config-pmap-c-class1)# exit
Router(config-pmap-in-map)# class class-default
Router(config-pmap-c-class-default)# set ip precedence 0
Router(config-pmap-c-class-default)# exit
Router(config-pmap-in-map)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# service-policy input in-map
Router(config-GigaEthernet2.0)# no shutdown
Router(config)#
解説
ip access-list class1-list permit ip src 192.168.0.1/32 dest any
class-map match-all class1
match ip access-list class1-list
アクセスリストとクラスマップの設定です。
アクセスリスト
class1-list に該当するパケットはクラスマップの class1 に分類します。policy-map in-map
class class1
set ip precedence 5
class class-default
set ip precedence 0
ポリシーマップの設定です。
クラスマップ
class1 に該当するパケットはPrecedence値 5 を付与します。"class-local"はクラスマップに該当しなかった自生成パケットが該当します。
"class-default"はクラスマップに該当せず、"class-local"にも分類されなかったパケットが該当します。
クラスマップ"class-default"に該当するパケットはPrecedence値
0 を付与します。interface GigaEthernet2.0
service-policy input in-map
ポリシーマップをインタフェースに関連付ける設定です。
GE2.0 受信時にポリシーマップ in-map を処理します。10.2. QoSグループ値を変更する
QoSグループ値を変更する例です。
設定
本装置の設定
Router# configure
Router(config)# ip access-list class1-list permit ip src 192.168.0.1/32 dest any
Router(config)# class-map match-all class1
Router(config-cmap-class1)# match ip access-list class1-list
Router(config-cmap-class1)# exit
Router(config)# class-map match-all class2
Router(config-cmap-class2)# match any
Router(config-cmap-class2)# exit
Router(config)# policy-map in-map
Router(config-pmap-in-map)# class class1
Router(config-pmap-c-class1)# set qos-group 10
Router(config-pmap-c-class1)# exit
Router(config-pmap-in-map)# class class2
Router(config-pmap-c-class2)# set qos-group 20
Router(config-pmap-c-class2)# exit
Router(config-pmap-in-map)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# service-policy input in-map
Router(config-GigaEthernet2.0)# no shutdown
Router(config)#
解説
ip access-list class1-list permit ip src 192.168.0.1/32 dest any
class-map match-all class1
match ip access-list class1-list
class-map match-all class2
match any
アクセスリストとクラスマップの設定です。
アクセスリスト
class1-list に該当するパケットはクラスマップの class1 に分類します。その他パケットはクラスマップの
class2 に分類します。policy-map in-map
class class1
set qos-group 50
class class2
set qos-group 10
ポリシーマップの設定です。
クラスマップ
class1 に該当するパケットはQoSグループ値 10 を付与します。クラスマップ
class2 に該当するパケットはQoSグループ値 20 を付与します。interface GigaEthernet2.0
service-policy input in-map
ポリシーマップをインタフェースに関連付ける設定です。
GE2.0 受信時にポリシーマップ in-map を処理します。10.3. プライオリティキューイング(PQ)を使用する
PQを使用して端末(A)の通信を他端末よりも高い優先度で送信する例です。
設定
本装置の設定
Router# configure
Router(config)# ip route default GigaEthernet0.1
Router(config)# ip access-list class1-list permit ip src 192.168.0.1/32 dest any
Router(config)# ip access-list prece5-list permit ip src any dest any precedence 5
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-a@example.com
Router(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
Router(config-ppp-ppp-prof)# exit
Router(config)# class-map match-all class1
Router(config-cmap-class1)# match ip access-list class1-list
Router(config-cmap-class1)# exit
Router(config)# class-map match-any pq-class
Router(config-cmap-pq-class)# match ip access-list prece5-list high
Router(config-cmap-pq-class)# match any low
Router(config-cmap-pq-class)# exit
Router(config)# policy-map in-map
Router(config-pmap-in-map)# class class1
Router(config-pmap-c-class1)# set ip precedence 5
Router(config-pmap-c-class1)# exit
Router(config-pmap-in-map)# exit
Router(config)# policy-map out-map
Router(config-pmap-out-map)# class pq-class
Router(config-pmap-c-pq-class)# exit
Router(config-pmap-out-map)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# service-policy input in-map
Router(config-GigaEthernet2.0)# no shutdown
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# ip napt enable
Router(config-GigaEthernet0.1)# service-policy enable
Router(config-GigaEthernet0.1)# service-policy output out-map
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)#
解説
本装置の解説
ip access-list class1-list permit ip src 192.168.0.1/32 dest any
class-map match-all class1
match ip access-list class1-list
受信方向側のアクセスリストとクラスマップの設定です。
アクセスリスト
class1-list に該当するパケットはクラスマップの class1 に分類します。policy-map in-map
class class1
set ip precedence 5
受信方向側のポリシーマップの設定です。
クラスマップ
class1 に該当するパケットはPrecedence値 5 を付与します。interface GigaEthernet2.0
service-policy input in-map
受信方向側のポリシーマップをインタフェースに関連付ける設定です。
GE2.0 受信時にポリシーマップ in-map を処理します。ip access-list prece5-list permit ip src any dest any precedence 5
class-map match-any pq-class
match ip access-list prece5-list high
match any low
送信方向側のアクセスリストとクラスマップの設定です。
複数の条件をOR条件で分類するため、"match-any"で設定します。
Precedence値
5 のパケットはPQのHighキューに分類します。それ以外のパケットは全てPQのLowキューに分類します。
policy-map out-map
class pq-class
送信方向側のポリシーマップの設定です。
PQはクラスマップで設定するため、ポリシーマップではクラスマップの関連付けのみ行います。
interface GigaEthernet0.1
service-policy enable
service-policy output out-map
送信方向側のポリシーマップをインタフェースに関連付ける設定です。
GE0.1 送信時にポリシーマップ out-map を処理します。また、キューイング/シェーピング処理を行う際には優先/帯域制御有効化設定("service-policy enable")も行います。
10.4. クラスベースキューイング(CBQ)を使用する
CBQを使用して端末(A)と端末(B)の通信を5:3の比率で最小予約帯域を確保する例です。
設定
本装置の設定
Router# configure
Router(config)# ip route default GigaEthernet0.1
Router(config)# ip access-list class1-list permit ip src 192.168.0.1/32 dest any
Router(config)# ip access-list class2-list permit ip src 192.168.0.2/32 dest any
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-a@example.com
Router(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
Router(config-ppp-ppp-prof)# exit
Router(config)# class-map match-all class1
Router(config-cmap-class1)# match ip access-list class1-list
Router(config-cmap-class1)# exit
Router(config)# class-map match-all class2
Router(config-cmap-class2)# match ip access-list class2-list
Router(config-cmap-class2)# exit
Router(config)# class-map match-all cbq-class1
Router(config-cmap-cbq-class1)# match qos-group 10
Router(config-cmap-cbq-class1)# exit
Router(config)# class-map match-all cbq-class2
Router(config-cmap-cbq-class2)# match qos-group 20
Router(config-cmap-cbq-class2)# exit
Router(config)# policy-map in-map
Router(config-pmap-in-map)# class class1
Router(config-pmap-c-class1)# set qos-group 10
Router(config-pmap-c-class1)# exit
Router(config-pmap-in-map)# class class2
Router(config-pmap-c-class2)# set qos-group 20
Router(config-pmap-c-class2)# exit
Router(config-pmap-in-map)# exit
Router(config)# policy-map out-map
Router(config-pmap-out-map)# class cbq-class1
Router(config-pmap-c-cbq-class1)# bandwidth percent 50
Router(config-pmap-c-cbq-class1)# exit
Router(config-pmap-out-map)# class cbq-class2
Router(config-pmap-c-cbq-class2)# bandwidth percent 30
Router(config-pmap-c-cbq-class2)# exit
Router(config-pmap-out-map)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# service-policy input in-map
Router(config-GigaEthernet2.0)# no shutdown
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# ip napt enable
Router(config-GigaEthernet0.1)# service-policy enable
Router(config-GigaEthernet0.1)# service-policy output out-map
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)#
解説
本装置の解説
ip access-list class1-list permit ip src 192.168.0.1/32 dest any
ip access-list class2-list permit ip src 192.168.0.2/32 dest any
class-map match-all class1
match ip access-list class1-list
class-map match-all class2
match ip access-list class2-list
受信方向側のアクセスリストとクラスマップの設定です。
アクセスリスト
class1-list に該当するパケットはクラスマップの class1 に分類します。アクセスリスト
class2-list に該当するパケットはクラスマップの class2 に分類します。policy-map in-map
class class1
set qos-group 10
class class2
set qos-group 20
受信方向側のポリシーマップの設定です。
クラスマップ
class1 に該当するパケットはQoSグループ値 10 を付与します。クラスマップ
class2 に該当するパケットはQoSグループ値 20 を付与します。interface GigaEthernet2.0
service-policy input in-map
受信方向側のポリシーマップをインタフェースに関連付ける設定です。
GE2.0 受信時にポリシーマップ in-map を処理します。class-map match-all cbq-class1
match qos-group 10
class-map match-all cbq-class2
match qos-group 20
送信方向側のクラスマップの設定です。
QoSグループ値
10 のパケットは cbq-class1 に分類します。QoSグループ値
20 のパケットは cbq-class2 に分類します。policy-map out-map
class cbq-class1
bandwidth percent 50
class cbq-class2
bandwidth percent 30
送信方向側のポリシーマップの設定です。
cbq-class1 に該当する通信は最小予約帯域 50% を確保します。cbq-class2 に該当する通信は最小予約帯域 30% を確保します。interface GigaEthernet0.1
service-policy enable
service-policy output out-map
送信方向側のポリシーマップをインタフェースに関連付ける設定です。
GE0.1 送信時にポリシーマップ out-map を処理します。また、キューイング/シェーピング処理を行う際には優先/帯域制御有効化設定("service-policy enable")も行います。
10.5. インタフェースシェーピングを使用する
インタフェース単位でのシェーピングを行う例です。 WAN側インタフェース全体で500Mbpsにシェーピングします。
設定
本装置の設定
Router# configure
Router(config)# ip route default GigaEthernet0.1
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-a@example.com
Router(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
Router(config-ppp-ppp-prof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# ip napt enable
Router(config-GigaEthernet0.1)# service-policy enable
Router(config-GigaEthernet0.1)# traffic-shape rate mbps 500
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)#
解説
本装置の解説
interface GigaEthernet0.1
service-policy enable
traffic-shape rate mbps 500
インタフェースシェーピングの設定です。
GE0.1 送信方向で 500Mbps にシェーピングします。また、キューイング/シェーピング処理を行う際には優先/帯域制御有効化設定("service-policy enable")も行います。
10.6. クラスマップシェーピングを使用する
クラスマップ単位でのシェーピングを行う例です。 端末(A)の通信は300Mbpsに、端末(B)の通信は200Mbpsにシェーピングします。
設定
本装置の設定
Router# configure
Router(config)# ip route default GigaEthernet0.1
Router(config)# ip access-list class1-list permit ip src 192.168.0.1/32 dest any
Router(config)# ip access-list class2-list permit ip src 192.168.0.2/32 dest any
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-a@example.com
Router(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
Router(config-ppp-ppp-prof)# exit
Router(config)# class-map match-all shape-class1
Router(config-cmap-shape-class1)# match ip access-list class1-list
Router(config-cmap-shape-class1)# exit
Router(config)# class-map match-all shape-class2
Router(config-cmap-shape-class2)# match ip access-list class2-list
Router(config-cmap-shape-class2)# exit
Router(config)# policy-map out-map
Router(config-pmap-out-map)# class shape-class1
Router(config-pmap-c-shape-class1)# shape mbps 300
Router(config-pmap-c-shape-class1)# exit
Router(config-pmap-out-map)# class shape-class2
Router(config-pmap-c-shape-class2)# shape mbps 200
Router(config-pmap-c-shape-class2)# exit
Router(config-pmap-out-map)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# ip napt enable
Router(config-GigaEthernet0.1)# service-policy enable
Router(config-GigaEthernet0.1)# service-policy output out-map
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)#
解説
本装置の解説
ip access-list class1-list permit ip src 192.168.0.1/32 dest any
ip access-list class2-list permit ip src 192.168.0.2/32 dest any
class-map match-all shape-class1
match ip access-list class1-list
class-map match-all shape-class2
match ip access-list class2-list
クラスマップの設定です。
送信元IPアドレスが
192.168.0.1 のパケットは shape-class1 に分類します。送信元IPアドレスが
192.168.0.2 のパケットは shape-class2 に分類します。policy-map out-map
class shape-class1
shape mbps 300
class shape-class2
shape mbps 200
ポリシーマップの設定です。
shape-class1 に該当する通信は 300Mbps にシェーピングします。shape-class2 に該当する通信は 200Mbps にシェーピングします。interface GigaEthernet0.1
service-policy enable
service-policy output out-map
ポリシーマップをインタフェースに関連付ける設定です。
GE0.1 送信時にポリシーマップ out-map を処理します。また、キューイング/シェーピング処理を行う際には優先/帯域制御有効化設定("service-policy enable")も行います。
10.7. 複数対地インターネットVPN(IKEv2)のQoS設定
PPPoE接続によるインターネットVPN接続設定例です。
IPsecのIKEv2による1対多対地の動的IPアドレス契約で接続します。
PQを使用して優先端末の通信を他端末よりも高い優先度で送信します。
また、シェーピングも行います。
設定
本装置(A)の設定
Router# configure
Router(config)# hostname Center
Center(config)# ip route default GigaEthernet0.1
Center(config)# ip route 192.168.1.0/24 Tunnel1.0
Center(config)# ip route 192.168.2.0/24 Tunnel2.0
Center(config)# ip access-list si1-co1-list permit ip src 192.168.0.1/32 dest 192.168.1.0/24
Center(config)# ip access-list si1-co2-list deny ip src 192.168.0.1/32 dest 192.168.1.0/24
Center(config)# ip access-list si1-co2-list permit ip src any dest 192.168.1.0/24
Center(config)# ip access-list si2-co1-list permit ip src 192.168.0.1/32 dest 192.168.2.0/24
Center(config)# ip access-list si2-co2-list deny ip src 192.168.0.1/32 dest 192.168.2.0/24
Center(config)# ip access-list si2-co2-list permit ip src any dest 192.168.2.0/24
Center(config)# proxy-dns server 10.1.1.1 priority 110
Center(config)# proxy-dns server 10.1.1.2 priority 90
Center(config)# ikev2 authentication psk id keyid id-a key char key-a
Center(config)# ikev2 authentication psk id keyid id-b key char key-b
Center(config)# ikev2 authentication psk id keyid id-c key char key-c
Center(config)# ppp profile ppp-prof
Center(config-ppp-ppp-prof)# authentication myname user-a@example.com
Center(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
Center(config-ppp-ppp-prof)# exit
Center(config)# ip dhcp profile dhcp-prof
Center(config-dhcp-dhcp-prof)# dns-server 192.168.0.254
Center(config-dhcp-dhcp-prof)# fixed-assignment 192.168.0.1 11:22:33:44:55:01
Center(config-dhcp-dhcp-prof)# exit
Center(config)# class-map match-all site1-coloring1
Center(config-cmap-site1-coloring1)# match ip access-list si1-co1-list
Center(config-cmap-site1-coloring1)# exit
Center(config)# class-map match-all site1-coloring2
Center(config-cmap-site1-coloring2)# match ip access-list si1-co2-list
Center(config-cmap-site1-coloring2)# exit
Center(config)# class-map match-all site2-coloring1
Center(config-cmap-site2-coloring1)# match ip access-list si2-co1-list
Center(config-cmap-site2-coloring1)# exit
Center(config)# class-map match-all site2-coloring2
Center(config-cmap-site2-coloring2)# match ip access-list si2-co2-list
Center(config-cmap-site2-coloring2)# exit
Center(config)# class-map match-any site1-qos
Center(config-cmap-site1-qos)# match qos-group 10 high
Center(config-cmap-site1-qos)# match qos-group 15 low
Center(config-cmap-site1-qos)# exit
Center(config)# class-map match-any site2-qos
Center(config-cmap-site2-qos)# match qos-group 20 high
Center(config-cmap-site2-qos)# match qos-group 25 low
Center(config-cmap-site2-qos)# exit
Center(config)# policy-map in-map
Center(config-pmap-in-map)# class site1-coloring1
Center(config-pmap-c-site1-coloring1)# set qos-group 10
Center(config-pmap-c-site1-coloring1)# exit
Center(config-pmap-in-map)# class site1-coloring2
Center(config-pmap-c-site1-coloring2)# set qos-group 15
Center(config-pmap-c-site1-coloring2)# exit
Center(config-pmap-in-map)# class site2-coloring1
Center(config-pmap-c-site2-coloring1)# set qos-group 20
Center(config-pmap-c-site2-coloring1)# exit
Center(config-pmap-in-map)# class site2-coloring2
Center(config-pmap-c-site2-coloring2)# set qos-group 25
Center(config-pmap-c-site2-coloring2)# exit
Center(config-pmap-in-map)# exit
Center(config)# policy-map out-map
Center(config-pmap-out-map)# class site1-qos
Center(config-pmap-c-site1-qos)# shape mbps 300
Center(config-pmap-c-site1-qos)# exit
Center(config-pmap-out-map)# class site2-qos
Center(config-pmap-c-site2-qos)# shape mbps 200
Center(config-pmap-c-site2-qos)# exit
Center(config-pmap-out-map)# exit
Center(config)# ikev2 default-profile
Center(config-ikev2-dprof)# anti-replay off
Center(config-ikev2-dprof)# local-authentication psk id keyid id-a
Center(config-ikev2-dprof)# exit
Center(config)# interface GigaEthernet2.0
Center(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Center(config-GigaEthernet2.0)# ip dhcp enable
Center(config-GigaEthernet2.0)# ip dhcp binding dhcp-prof
Center(config-GigaEthernet2.0)# service-policy input in-map
Center(config-GigaEthernet2.0)# proxy-dns ip enable
Center(config-GigaEthernet2.0)# no shutdown
Center(config-GigaEthernet2.0)# exit
Center(config)# interface GigaEthernet0.1
Center(config-GigaEthernet0.1)# encapsulation pppoe
Center(config-GigaEthernet0.1)# ppp binding ppp-prof
Center(config-GigaEthernet0.1)# ip address 10.0.0.1/32
Center(config-GigaEthernet0.1)# ip napt enable
Center(config-GigaEthernet0.1)# ip napt static GigaEthernet0.1 udp 500
Center(config-GigaEthernet0.1)# ip napt static GigaEthernet0.1 50
Center(config-GigaEthernet0.1)# service-policy enable
Center(config-GigaEthernet0.1)# service-policy output out-map
Center(config-GigaEthernet0.1)# no shutdown
Center(config-GigaEthernet0.1)# exit
Center(config)# interface Tunnel1.0
Center(config-Tunnel1.0)# tunnel mode ipsec-ikev2
Center(config-Tunnel1.0)# ip unnumbered GigaEthernet2.0
Center(config-Tunnel1.0)# ip tcp adjust-mss auto
Center(config-Tunnel1.0)# ikev2 outgoing-interface GigaEthernet0.1
Center(config-Tunnel1.0)# ikev2 peer any authentication psk id keyid id-b
Center(config-Tunnel1.0)# proxy-dns ip enable
Center(config-Tunnel1.0)# no shutdown
Center(config-Tunnel1.0)# exit
Center(config)# interface Tunnel2.0
Center(config-Tunnel2.0)# tunnel mode ipsec-ikev2
Center(config-Tunnel2.0)# ip unnumbered GigaEthernet2.0
Center(config-Tunnel2.0)# ip tcp adjust-mss auto
Center(config-Tunnel2.0)# ikev2 outgoing-interface GigaEthernet0.1
Center(config-Tunnel2.0)# ikev2 peer any authentication psk id keyid id-c
Center(config-Tunnel2.0)# proxy-dns ip enable
Center(config-Tunnel2.0)# no shutdown
Center(config-Tunnel2.0)# exit
Center(config)#
本装置(B)の設定
Router# configure
Router(config)# hostname Site1
Site1(config)# ip route default Tunnel0.0
Site1(config)# ikev2 authentication psk id keyid id-a key char key-a
Site1(config)# ikev2 authentication psk id keyid id-b key char key-b
Site1(config)# ppp profile ppp-prof
Site1(config-ppp-ppp-prof)# authentication myname user-b@example.com
Site1(config-ppp-ppp-prof)# authentication password user-b@example.com password-b
Site1(config-ppp-ppp-prof)# exit
Site1(config)# ip dhcp profile dhcp-prof
Site1(config-dhcp-dhcp-prof)# dns-server 192.168.0.254
Site1(config-dhcp-dhcp-prof)# exit
Site1(config)# ikev2 default-profile
Site1(config-ikev2-dprof)# anti-replay off
Site1(config-ikev2-dprof)# local-authentication psk id keyid id-b
Site1(config-ikev2-dprof)# exit
Site1(config)# interface GigaEthernet2.0
Site1(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Site1(config-GigaEthernet2.0)# ip dhcp enable
Site1(config-GigaEthernet2.0)# ip dhcp binding dhcp-prof
Site1(config-GigaEthernet2.0)# no shutdown
Site1(config-GigaEthernet2.0)# exit
Site1(config)# interface GigaEthernet0.1
Site1(config-GigaEthernet0.1)# encapsulation pppoe
Site1(config-GigaEthernet0.1)# ppp binding ppp-prof
Site1(config-GigaEthernet0.1)# ip address ipcp
Site1(config-GigaEthernet0.1)# service-policy enable
Site1(config-GigaEthernet0.1)# traffic-shape rate mbps 300
Site1(config-GigaEthernet0.1)# no shutdown
Site1(config-GigaEthernet0.1)# exit
Site1(config)# interface Tunnel0.0
Site1(config-Tunnel0.0)# tunnel mode ipsec-ikev2
Site1(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Site1(config-Tunnel0.0)# ikev2 connect-type auto
Site1(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Site1(config-Tunnel0.0)# ikev2 peer 10.0.0.1 authentication psk id keyid id-a
Site1(config-Tunnel0.0)# no shutdown
Site1(config-Tunnel0.0)# exit
本装置(C)の設定
Router# configure
Router(config)# hostname Site2
Site2(config)# ip route default Tunnel0.0
Site2(config)# ikev2 authentication psk id keyid id-a key char key-a
Site2(config)# ikev2 authentication psk id keyid id-c key char key-c
Site2(config)# ppp profile ppp-prof
Site2(config-ppp-ppp-prof)# authentication myname user-c@example.com
Site2(config-ppp-ppp-prof)# authentication password user-c@example.com password-c
Site2(config-ppp-ppp-prof)# exit
Site2(config)# ip dhcp profile dhcp-prof
Site2(config-dhcp-dhcp-prof)# dns-server 192.168.0.254
Site2(config-dhcp-dhcp-prof)# exit
Site2(config)# ikev2 default-profile
Site2(config-ikev2-dprof)# anti-replay off
Site2(config-ikev2-dprof)# local-authentication psk id keyid id-c
Site2(config-ikev2-dprof)# exit
Site2(config)# interface GigaEthernet2.0
Site2(config-GigaEthernet2.0)# ip address 192.168.2.254/24
Site2(config-GigaEthernet2.0)# ip dhcp enable
Site2(config-GigaEthernet2.0)# ip dhcp binding dhcp-prof
Site2(config-GigaEthernet2.0)# no shutdown
Site2(config-GigaEthernet2.0)# exit
Site2(config)# interface GigaEthernet0.1
Site2(config-GigaEthernet0.1)# encapsulation pppoe
Site2(config-GigaEthernet0.1)# ppp binding ppp-prof
Site2(config-GigaEthernet0.1)# ip address ipcp
Site2(config-GigaEthernet0.1)# service-policy enable
Site2(config-GigaEthernet0.1)# traffic-shape rate mbps 200
Site2(config-GigaEthernet0.1)# no shutdown
Site2(config-GigaEthernet0.1)# exit
Site2(config)# interface Tunnel0.0
Site2(config-Tunnel0.0)# tunnel mode ipsec-ikev2
Site2(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Site2(config-Tunnel0.0)# ikev2 connect-type auto
Site2(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Site2(config-Tunnel0.0)# ikev2 peer 10.0.0.1 authentication psk id keyid id-a
Site2(config-Tunnel0.0)# no shutdown
Site2(config-Tunnel0.0)# exit
Site2(config)#
解説
本装置(A)の解説
ikev2 default-profile
anti-replay off
アンチリプレイ機能をOFFにする設定です。
QoSによりIPsecパケットの到達順序が順不同となっても、IPsecのリプレイ攻撃検出を行わずにパケットを受信できるようにします。
ip access-list si1-co1-list permit ip src 192.168.0.1/32 dest 192.168.1.0/24
ip access-list si1-co2-list deny ip src 192.168.0.1/32 dest 192.168.1.0/24
ip access-list si1-co2-list permit ip src any dest 192.168.1.0/24
ip access-list si2-co1-list permit ip src 192.168.0.1/32 dest 192.168.2.0/24
ip access-list si2-co2-list deny ip src 192.168.0.1/32 dest 192.168.2.0/24
ip access-list si2-co2-list permit ip src any dest 192.168.2.0/24
class-map match-all site1-coloring1
match ip access-list si1-co1-list
class-map match-all site1-coloring2
match ip access-list si1-co2-list
class-map match-all site2-coloring1
match ip access-list si2-co1-list
class-map match-all site2-coloring2
match ip access-list si2-co2-list
受信方向側のアクセスリストとクラスマップの設定です。
PQおよびクラスマップシェーピングを行うため、4つのクラスに分類します。
policy-map in-map
class site1-coloring1
set qos-group 10
class site1-coloring2
set qos-group 15
class site2-coloring1
set qos-group 20
class site2-coloring2
set qos-group 25
受信方向側のポリシーマップの設定です。
4つに分類したクラスにそれぞれQoSグループ値を付与します。
interface GigaEthernet2.0
service-policy input in-map
受信方向側のポリシーマップをインタフェースに関連付ける設定です。
GE2.0 受信時にポリシーマップ in-map を処理します。class-map match-any site1-qos
match qos-group 10 high
match qos-group 15 low
class-map match-any site2-qos
match qos-group 20 high
match qos-group 25 low
送信方向側のアクセスリストとクラスマップの設定です。
複数の条件をOR条件で分類するため、"match-any"で設定します。
QoSグループ値ごとにPQを設定します。
policy-map out-map
class site1-qos
shape mbps 300
class site2-qos
shape mbps 200
送信方向側のポリシーマップの設定です。
拠点ごとにシェーピングを行うため、クラスマップシェーピングを設定します。
interface GigaEthernet0.1
service-policy enable
service-policy output out-map
送信方向側のポリシーマップをインタフェースに関連付ける設定です。
GE0.1 送信時にポリシーマップ out-map を処理します。また、キューイング/シェーピング処理を行う際には優先/帯域制御有効化設定("service-policy enable")も行います。
本装置(B)の解説
interface GigaEthernet0.1
service-policy enable
traffic-shape rate mbps 300
インタフェースシェーピングの設定です。
GE0.1 送信方向で 300Mbps にシェーピングします。また、キューイング/シェーピング処理を行う際には優先/帯域制御有効化設定("service-policy enable")も行います。
本装置(C)の解説
本装置(B)と同様の考え方で設定を行います。