NECの純正ルータであるIXシリーズ。IPSECでのVPNをはじめ、Ether over IPによるL2延伸もできる、つぶしの利くルータです。
よく使うコマンドをIX2215をベースに、早見表として紹介します。(順次更新していきます)
システムホスト名
hostname <ホスト名>
設定モード
configure
※show runなども、設定モードでないと動作しない
現在のConfigを確認
show run
設定保存
wrime memory
NTP指定
timezone +09 00 #タイムゾーン指定
ntp ip enable
ntp server 210.173.160.27
ntp source GigaEthernet0.0 #取りに行くインターフェースを記載
ユーザーとパスワード
コンソールのユーザとパスワードを指定
username admin password <任意のpassword>
SSH有効化
ssh-server ip enable
Webコンソール有効化
http-server ip enable
http-server username admin #上記で設定したユーザを指定
インターフェースの考え方
device GigaEther X ・・・物理ポート。
例えば、IX2215のGigaEther2.0の場合、スイッチになっているが、このスイッチにポートを独立させる場合は、このdeviceコマンドで行う。
物理ポートの分離(いわゆるポートVLAN的な考え)
device GigaEthernet2
vlan-group 1 port 5 # GigaEthernet2のポート5番をポートVLANの1に指定する
GigaEther X.0 ・・・ .Xは、インターフェース全体。
サブインターフェースを作成する場合は、0の部分を.1~.32を指定する。
タグVLANを利用する場合は、このサブインターフェースに対してVLANを指定する
インターフェースにIPを指定する
interface GigaEther2.0
ip address X.X.X.X/X
タグVLANを指定する
interface GigaEther2.1
encapsulation dot1q <VLAN-ID>
GigaEther X:Y.Z・・・:Yは、ポートVLANで分離したグループ番号。
.Zは、サブインターフェース
独立したVLANグループにIPを付与する
interface GigaEther2:1.0
ip address X.X.X.X/X
PPPoEを設定する
ISPの情報プロファイルを作成
ppp profile <ISP-NAME>
authentication myname <ユーザ名>
authentication password <ユーザ名> <パスワード>
PPPoEインターフェースを設定
interface GigaEthernet0.1 #サブインターフェスでないとPPPoEの設定ができない
encapsulation pppoe
auto-connect
ppp binding <ppp profileで指定したISP-NAME>
ip address ipcp
ip tcp adjust-mss auto
ip napt enable #NATする場合
no shutdown
NATでポートを開ける場合
interface GigaEthernetX.X
ip napt enable
ip napt static GigaEthernet0.1 tcp <ポート番号>
ip napt static GigaEthernet0.1 50 <ESPを開ける場合>
ip napt static GigaEthernet0.1 udp <ポート番号>
IPv6でRAでIPを取得する場合
no ip address #IPv4利用なし
ipv6 enable
ipv6 interface-identifier 00:00:00:00:00:00:00:25 後ろ64ビットを指定する
ipv6 address autoconfig receive-default #これを入れないとデフォルトゲートウェイを取得しない
ipv6 nd ra enable
ipv6 nd ra other-config-flag
no shutdown
ルーティングを追加
ip route default X.X.X.X #デフォルトゲートウェイ
ip route X.X.X.X/X X.X.X.X
#IPv6の場合
ipv6 route default XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX
L2VPNを構築する
IKEv2を使って、L2-VPNを張る設定サンプル
なお、bridge-groupとtunnelインターフェースを分ければ、1つのルータで複数拠点に別々のL2-VPNを設定可能です。
IKEのパスフレーズを作成
ikev2 authentication psk id keyid ID_HONTEN key char <パスフレーズ>
ikev2 authentication psk id keyid ID_KYOTEN1 key char <パスフレーズ>
IKEのプロファイルを作成する
ikev2 default-profile
dpd interval 10
local-authentication psk id keyid ID_HONTEN
nat-traversal keepalive 20 force
sa-proposal enc aes-cbc-256
sa-proposal integrity sha2-256
sa-proposal dh 768-bit
sa-proposal prf sha2-256
ブリッジに使うインターフェースを指定
interface GigaEthernet1.0
no ip address
bridge-group 1
no shutdown
ブリッジ用の中間インターフェースの作成
interface BVI1
no ip address
bridge-group 1
no shutdown
トンネルインターフェースを作成
interface Tunnel0.0
tunnel mode ether-ip ipsec-ikev2
no ip address
bridge-group 1
bridge ip tcp adjust-mss 1300
ikev2 connect-type auto
ikev2 ipsec pre-fragment
ikev2 nat-traversal keepalive 60
ikev2 outgoing-interface GigaEthernet0.0 auto #VPNトンネルをはるWAN側インターフェースを指定
ikev2 ipsec-mode transport
--
ikev2 peer any authentication psk id keyid ID_KYOTEN1 #拠点のWAN-IPが動的な場合
# or
ikev2 peer <相手のIXのWAN-IP> authentication psk id keyid ID_HONTEN #本店(固定IP)や、WAN-IPが固
定の場合
--
no shutdown
VPNの設定は、プロファイルとトンネルインターフェースに指定した内容だけでよいので、これらの設定だけでEther over IPのVPNが利用できます。
ファームウェアアップデート
Router(config)# software-update tftp://<tftp-server>/ix2215-boot-26.1-gate-ms-10
フラッシュの中を確認
Router(config)# show flash
Codes: M - Main-side, B - Backup-side, N - Newfile, R - Runnable
A - Active-file, + - Next-boot, * - Bootmode-entry
Length Name Status
4977665 ix2215-ms-8.10.11.b.ldc MA
9451973 ix2215-ms-10.11.14.ldc N+
現在稼働しているファームウェアファイルが「MA」、新しく取得し、次回起動時に読み込まれるファームウェアが「N+」としてステータスに表示されます。
再起動
reload
L2-VPNのサンプル構成を以下で記載しています。
参考