遠隔操作での拠点間ルータ移動の手順

拠点間で、ルータを移動する際の手順。
もちろん実際にルータを物理接続するため、
作業員の方には現地にいていただく必要あり。

以下、遠隔操作の手順

1 まだルータと遠隔で接続できている時に、
  新dialerだけ入れておく。
   ※論理IFのdialer自体がNTTのアドレスを持つ
    (つながる側も新アドレスに対応したものを入れておく)

   ip route 相手 Dialer 1 があるのに
   ip route 同相手 Dialer 2 を追加すると、
   Dialerは常にUPのため、当コストとなって分散してしまうので
   250などをつけて優先度下げる等しないかぎりは、
   ぎりぎり当日まで入れないでおく。

   ちなみに追加する場合は、
   dialer pool 2 をつくり、
   適用している物理IFに
   pppoe-client dial-pool-number2
   を追加する。

   そして
   ip access-list extended INT-FILTER
   (DialerにIN方向でつけているACL、
    espとかisakmpの許可をしてるもの)
   に追加。
   
   ★NTTの共通通路なので、気にするお客さんにはSSH接続
    ただ、
    新Dialerには、はじめACLをかけないでおく冒険もあり。
    というのは、時々NTTの発行してくる書類が間違えていることも
    なきにしもあらずなので、その場合ACLをかけてしまっていると
    入れ直したくても全く入れない事態になるので。
    まあそれでも、この冒険はおすすめしません。

   ここでwriteしとくのわすれずに。

2 ルータを現地間で移動し、電源確保
  作業員が社内等でなく業者に委託の場合、現地で何か直接入力の
  作業をしてもらう事態が起きた時のために一時PWも設定してあるといいかも。
  
3 つなぐ側から、新拠点とのPPPOEが張れたかを確認
   show pppoe se あとcrypto keyあたりで

  そして NTT物理アドレス(新Dialer)へ、遠隔で入る。
   ★IPSECしていない間に流す通信なので、最低限の作業にとどめ、
    IPSECで入り直し、臨時ACLを消す等の残りの作業をする。

  ちなみに

   crypto ipsec profile VTI
    set transform-set IPSEC

   crypto map A1 ipsec-isakmp
    set transform-set IPSEC

  この上記ふたつが入っていた場合、
  以下のIPSECの取り合いになってしまう
   crypto ipsec transform-set IPSEC

  なので、
   transform-set IPSEC だけでなく
   transform-set VTI も用意する
  ようするに、

   crypto ipsec profile VTI
set transform-set VTI

   crypto map A1 ipsec-isakmp
    set transform-set IPSEC

  なお、crypto map が、以下のようになっている時、
    crypto map A1
    crypto map A2
    crypto map A3
        ・
        ・
    A2だけ消したいときは、
     no crypto map A2 で可能だが、
    A1しかない場合は、
    まず物理のほうから消す必要あり