16. GRE設定
16.1. GREトンネリングを使用する
GREトンネリングの設定例です。
設定
本装置(A)の設定
Router# configure
Router(config)# ip route 10.1.1.1/32 GigaEthernet0.1
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-a@example.com
Router(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
Router(config-ppp-ppp-prof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address 10.0.0.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode gre ip
Router(config-Tunnel0.0)# tunnel destination 10.1.1.1
Router(config-Tunnel0.0)# tunnel source 10.0.0.1
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
本装置(B)の設定
Router# configure
Router(config)# ip route 10.0.0.1/32 GigaEthernet0.1
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-b@example.com
Router(config-ppp-ppp-prof)# authentication password user-b@example.com password-b
Router(config-ppp-ppp-prof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address 10.1.1.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode gre ip
Router(config-Tunnel0.0)# tunnel destination 10.0.0.1
Router(config-Tunnel0.0)# tunnel source 10.1.1.1
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
解説
本装置(A)の解説
ip route 10.1.1.1/32 GigaEthernet0.1
ip route 192.168.1.0/24 Tunnel0.0
GREトンネルのdestinationの宛先をPPPoEインタフェースに設定します。
GREトンネルの通信先をトンネルインタフェースに設定します。
interface Tunnel0.0
tunnel mode gre ip
tunnel destination 10.1.1.1
tunnel source 10.0.0.1
トンネルモードをGRE IPv4に設定します。
トンネルの宛先と送信元IPアドレスを設定します。
本装置(B)の解説
本装置(A)と同様の考え方で設定します。
16.2. GREキープアライブによるPPPoE迂回構成
GREキープアライブ機能の設定例です。
正常時は回線Aを利用しますが、障害発生時は回線Bでバックアップを行います。
設定
本装置(A)の設定
Router(config)# ip route 10.0.0.2/32 GigaEthernet0.1
Router(config)# ip route 10.1.1.2/32 GigaEthernet1.1
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ip route 192.168.1.0/24 Tunnel1.0 metric 10
Router(config)# ppp profile ppp-prof1
Router(config-ppp-ppp-prof1)# authentication myname user-a1@example.com
Router(config-ppp-ppp-prof1)# authentication password user-a1@example.com password-a1
Router(config-ppp-ppp-prof1)# exit
Router(config)# ppp profile ppp-prof2
Router(config-ppp-ppp-prof2)# authentication myname user-b1@example.com
Router(config-ppp-ppp-prof2)# authentication password user-b1@example.com password-b1
Router(config-ppp-ppp-prof2)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof1
Router(config-GigaEthernet0.1)# ip address 10.0.0.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface GigaEthernet1.1
Router(config-GigaEthernet1.1)# encapsulation pppoe
Router(config-GigaEthernet1.1)# ppp binding ppp-prof2
Router(config-GigaEthernet1.1)# ip address 10.1.1.1/32
Router(config-GigaEthernet1.1)# no shutdown
Router(config-GigaEthernet1.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode gre ip
Router(config-Tunnel0.0)# tunnel destination 10.0.0.2
Router(config-Tunnel0.0)# tunnel source 10.0.0.1
Router(config-Tunnel0.0)# tunnel keepalive
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)# interface Tunnel1.0
Router(config-Tunnel1.0)# tunnel mode gre ip
Router(config-Tunnel1.0)# tunnel destination 10.1.1.2
Router(config-Tunnel1.0)# tunnel source 10.1.1.1
Router(config-Tunnel1.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel1.0)# no shutdown
Router(config-Tunnel1.0)# exit
Router(config)#
本装置(B)の設定
Router(config)# ip route 10.0.0.1/32 GigaEthernet0.1
Router(config)# ip route 10.1.1.1/32 GigaEthernet1.1
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ip route 192.168.0.0/24 Tunnel1.0 metric 10
Router(config)# ppp profile ppp-prof1
Router(config-ppp-ppp-prof1)# authentication myname user-a2@example.com
Router(config-ppp-ppp-prof1)# authentication password user-a2@example.com password-a2
Router(config-ppp-ppp-prof1)# exit
Router(config)# ppp profile ppp-prof2
Router(config-ppp-ppp-prof2)# authentication myname user-b2@example.com
Router(config-ppp-ppp-prof2)# authentication password user-b2@example.com password-b2
Router(config-ppp-ppp-prof2)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof1
Router(config-GigaEthernet0.1)# ip address 10.0.0.2/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface GigaEthernet1.1
Router(config-GigaEthernet1.1)# encapsulation pppoe
Router(config-GigaEthernet1.1)# ppp binding ppp-prof2
Router(config-GigaEthernet1.1)# ip address 10.1.1.2/32
Router(config-GigaEthernet1.1)# no shutdown
Router(config-GigaEthernet1.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode gre ip
Router(config-Tunnel0.0)# tunnel destination 10.0.0.1
Router(config-Tunnel0.0)# tunnel source 10.0.0.2
Router(config-Tunnel0.0)# tunnel keepalive
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)# interface Tunnel1.0
Router(config-Tunnel1.0)# tunnel mode gre ip
Router(config-Tunnel1.0)# tunnel destination 10.1.1.1
Router(config-Tunnel1.0)# tunnel source 10.1.1.2
Router(config-Tunnel1.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel1.0)# no shutdown
Router(config-Tunnel1.0)# exit
Router(config)#
解説
本装置(A)の解説
ip route 10.0.0.2/32 GigaEthernet0.1
ip route 10.1.1.2/32 GigaEthernet1.1
GREトンネルのdestinationの宛先をPPPoEインタフェースに設定します。
ip route 192.168.1.0/24 Tunnel0.0
ip route 192.168.1.0/24 Tunnel1.0 metric 10
GREトンネルの通信先をトンネルインタフェースに設定します。
優先度を下げてバックアップ用のGREトンネルのルーティングも設定します。
interface Tunnel0.0
tunnel mode gre ip
tunnel destination 10.0.0.2
tunnel source 10.0.0.1
トンネルモードをGRE IPv4に設定します。
トンネルの宛先と送信元IPアドレスを設定します。
interface Tunnel0.0
tunnel keepalive
トンネルキープアライブの設定です。
デフォルトでは10秒周期でキープアライブパケットを送信し、3回連続で応答がない場合に障害と判断します。
障害検出時にTunnel0.0をdownし、バックアップ回線のGREトンネルに切り替えます。
3回応答があれば復旧と判定し、メイン回線のGREトンネルを復旧します。
本装置(B)の解説
本装置(A)と同様の考え方で設定します。
16.3. アグレッシブモードによるGRE/IPsec(IKEv1)接続
GRE/IPsecのIKEv1によるアグレッシブモードで接続する例です。
設定
本装置(A)の設定
Router# configure
Router(config)# ip route default GigaEthernet0.1
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ike proposal ike-prop encryption aes-256 hash sha2-512 group 3072-bit
Router(config)# ike policy ike-poli peer any key pres-key mode aggressive ike-prop
Router(config)# ike commit-bit ike-poli
Router(config)# ike remote-id ike-poli keyid ike-id
Router(config)# ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha2-512
Router(config)# ipsec dynamic-map ipsec-poli ipv4 ipsec-prop ike ike-poli
Router(config)# ipsec commit-bit ipsec-poli
Router(config)# ipsec local-id ipsec-poli 192.168.0.0/24
Router(config)# ipsec remote-id ipsec-poli 192.168.1.0/24
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-a@example.com
Router(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
Router(config-ppp-ppp-prof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address 10.0.0.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode gre ipsec
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ipsec policy transport ipsec-poli with-id-payload
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
本装置(B)の設定
Router# configure
Router(config)# ip route 10.0.0.1/32 GigaEthernet0.1
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ike proposal ike-prop encryption aes-256 hash sha2-512 group 3072-bit
Router(config)# ike suppress-dangling
Router(config)# ike policy ike-poli peer 10.0.0.1 key pres-key mode aggressive ike-prop
Router(config)# ike keepalive ike-poli 10 3
Router(config)# ike local-id ike-poli keyid ike-id
Router(config)# ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha2-512
Router(config)# ipsec autokey-map ipsec-poli ipv4 peer 10.0.0.1 ipsec-prop
Router(config)# ipsec local-id ipsec-poli 192.168.1.0/24
Router(config)# ipsec remote-id ipsec-poli 192.168.0.0/24
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-b@example.com
Router(config-ppp-ppp-prof)# authentication password user-b@example.com password-b
Router(config-ppp-ppp-prof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode gre ipsec
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ipsec policy transport ipsec-poli with-id-payload
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
解説
本装置(A)の解説
ip route default GigaEthernet0.1
ip route 192.168.1.0/24 Tunnel0.0
デフォルトルートをPPPoEインタフェースに設定します。
IPsec接続先をトンネルインタフェースに設定します。
interface Tunnel0.0
tunnel mode gre ipsec
ipsec policy transport ipsec-poli with-id-payload
トンネルモードをGRE IPsecに設定します。
トンネルインタフェースにIPsecのポリシー名を関連付けます。
通信モードをトランスポートに設定します。
トランスポートモードはデフォルトではIDを送信しないため、識別のためのwith-id-payloadオプションが必要になります。
本装置(B)の解説
本装置(A)と同様の考え方で設定します。
16.4. 動的IPアドレスによるGRE/IPsec(IKEv2)接続
GRE/IPsecのIKEv2による一方の拠点が動的IPアドレス契約で接続する例です。
設定
本装置(A)の設定
Router# configure
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ikev2 authentication psk id keyid id-a key char key-a
Router(config)# ikev2 authentication psk id keyid id-b key char key-b
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-a@example.com
Router(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
Router(config-ppp-ppp-prof)# exit
Router(config)# ikev2 default-profile
Router(config-ikev2-dprof)# local-authentication psk id keyid id-a
Router(config-ikev2-dprof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address 10.0.0.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode gre ipsec-ikev2
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer any authentication psk id keyid id-b
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
本装置(B)の設定
Router# configure
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ikev2 authentication psk id keyid id-a key char key-a
Router(config)# ikev2 authentication psk id keyid id-b key char key-b
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-b@example.com
Router(config-ppp-ppp-prof)# authentication password user-b@example.com password-b
Router(config-ppp-ppp-prof)# exit
Router(config)# ikev2 default-profile
Router(config-ikev2-dprof)# local-authentication psk id keyid id-b
Router(config-ikev2-dprof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode gre ipsec-ikev2
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ikev2 connect-type auto
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer 10.0.0.1 authentication psk id keyid id-a
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#
解説
本装置(A)の解説
ip route 192.168.1.0/24 Tunnel0.0
IPsec接続先をトンネルインタフェースに設定します。
interface Tunnel0.0
tunnel mode gre ipsec-ikev2
トンネルモードをGRE IPsec IKEv2に設定します。
interface Tunnel0.0
ikev2 ipsec-mode transport
IPsecの通信モードをトランスポートに設定します。
本装置(B)の解説
本装置(A)と同様の考え方で設定します。