ネットワーク機器トップ > 製品ラインナップ > FITELnet-Fシリーズ > FITELnet-F100・1000 > 設定例  > フレッツプレミアム回線上でのIPsec(Main modeでのSA確立)
設定例


アクセス回線としてNTT西日本のフレッツ・光プレミアムを利用した環境においてFITELnet-F80/F100/F1000でIPsecを 行うための設定例について記載致します。 




その他情報

使用機器
  • F100(EAST) ※F80,F1000でも同様に使用可能です
  • F100(WEST) ※F80,F1000でも同様に使用可能です
  • CTU:加入者網終端装置 2004W(S) 住友電工製

使用サービス
  • 両拠点とも各プロバイダのIP1固定アドレスサービスを利用します


<コマンドによる設定>(!の行はコメントです。実際に入力する必要はありません)

設定例 F100(EAST)側
!
ip route 0.0.0.0 0.0.0.0 192.168.24.1
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 102 dynamic permit ip any any
access-list 199 deny ip any any
!
proxydns mode both
proxydns default name-server v4 ***.***.***.*** +++.+++.+++.+++
vpn enable
vpnlog enable
!
ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
ipsec access-list 64 bypass ip any any
ipsec transform-set P2P esp-aes-128 esp-sha-hmac
!
service dhcp-server
!
hostname EAST
!
interface ewan 1
 crypto map PATH-1

 ip address 192.168.24.60 255.255.255.0
 ip access-group 100 out
 ip access-group 101 in
 ip access-group 102 out
 ip access-group 199 in
 ip nat inside source list 1 interface
exit
interface lan 1
 ip address 192.168.1.254 255.255.255.0
exit
!
!
crypto isakmp policy 1
 authentication prekey
 encryption aes 128
 hash sha
 group 2
 key ascii FITEL
 negotiation-mode main
 peer-identity address ***.40.45.160
exit
crypto map PATH-1 1
 match address 1
 set peer address ***.40.45.160
 set transform-set P2P
exit
!
!
ip dhcp pool lan1
 dns-server 0.0.0.0
 default-router 0.0.0.0
exit
!
!
end

  

設定例 F100(WEST)側
!
ip route 0.0.0.0 0.0.0.0 192.168.24.1
!
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 102 dynamic permit ip any any
access-list 199 deny ip any any
!
proxydns mode both
proxydns default name-server v4 221.113.139.250 202.234.232.6
vpn enable
vpnlog enable
!
ipsec access-list 1 ipsec ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
ipsec access-list 64 bypass ip any any
ipsec transform-set P2P esp-aes-128 esp-sha-hmac
!
service dhcp-server
!
hostname WEST
!
interface ewan 1
 crypto map PATH-1

 ip address 192.168.24.70 255.255.255.0
 ip access-group 100 out
 ip access-group 101 in
 ip access-group 102 out
 ip access-group 199 in
 ip nat inside source list 1 interface
exit
interface lan 1
 ip address 192.168.10.254 255.255.255.0
exit
!
!
crypto isakmp policy 1
 authentication prekey
 encryption aes 128
 hash sha
 group 2
 key ascii FITEL
 negotiation-mode main
 peer-identity address ***.40.45.161
exit
crypto map PATH-1 1
 match address 1
 set peer address ***.40.45.161
 set transform-set P2P
exit
!
!
ip dhcp pool lan1
 dns-server 0.0.0.0
 default-router 0.0.0.0
exit
!
!
end
  


加入者網終端装置(2004W(S))の設定手順
はじめに静的アドレス設定を行います。
  • CTU設定のTOP画面から 「静的アドレス変換設定(ポート指定)」を選択してください
  • 優先順位に「1」を入力し、「追加」ボタンを押します
  • 「接続先1」 … (プロバイダへの接続設定がしてある接続先を指定してください)
    プロトコル 「全プロトコル」
  • LAN側端末IPアドレスのIPアドレスを入力してください
    「192.168.234.60」…EAST側,「192.168.24.70」…WEST側
以上で静的アドレス設定は終了です。

続いてファイアウォール設定を変更します。
  • CTU設定のTOP画面から「ファイアウォール設定」を選択してください
  • 以下の通り設定を変更してください
    「低[初期設定]」 → 「制限なし」
以上で加入者網終端装置の設定は終了です。


ページトップへ