センタ側 | 200.200.200.1 |
拠点側 | 指定なし |
拠点側ISDN | 時間による従量制課金(非通信時は回線切断) ※センタ側契機によるIPsecは行えません |
IPsecの対象とする中継パケット | 192.168.1.0/24 ⇔ 192.168.2.0/24 |
IPsec Phase1ポリシー | モード ・・・ Aggressiveモード 認証方式 ・・・ 事前共有鍵方式 暗号化方式 ・・・ 3DES ハッシュ方式 ・・・ SHA Diffie-Hellman ・・・ Group 2 |
IPsec Phase2ポリシー |
暗号化方式 ・・・ 3DES ハッシュ方式 ・・・ SHA |
設定画面 | 設定項目 | 設定値 | 備考 | ||
---|---|---|---|---|---|
センタ | 拠点 | ||||
インタフェース設定 | LAN側設定 | LAN側IPアドレス | 192.168.1.254 | 192.168.2.254 | |
サブネットマスク | 255.255.255.0 | 255.255.255.0 | |||
DHCPサーバ機能 | 使用しない | 使用しない | |||
【送信】 | 【送信】 | 送信ボタンを押します | |||
EWAN PPPoE接続 |
PPPoE1 名称 |
FLETS | (設定不要) | わかりやすい名称 | |
ユーザID | abc012@***.***.ne.jp | (設定不要) | IDは一例です | ||
パスワード | xxxyyyzzz | (設定不要) | パスワードは一例です | ||
接続タイプ | 端末型 | (設定不要) | |||
IPアドレス | 200.200.200.1 | (設定不要) | |||
【送信】 | 送信ボタンを押します | ||||
ルーティングプロトコルの設定 | スタティックルーティング | 通信先指定 | 0.0.0.0/0 | 0.0.0.0/0 | |
中継先指定 インタフェース指定 |
PPPOE1 | DIALER1 | |||
【送信】 | 【送信】 | 送信ボタンを押します | |||
NAT機能 | PPPoE1 NAT+の登録 |
LAN上の端末指定 | 192.168.1.0/24 | (設定不要) | NAT変換前のアドレス |
【送信】 | 送信ボタンを押します | ||||
各種機能 | 簡易DNS | 簡易DNS機能 | (設定不要) | IPv4 | |
【送信】 | 送信ボタンを押します | ||||
ダイアルアップ関連 | 自身の認証IDとパスワードの登録 | 認証ID | (設定不要) | fitelF100 | IDは一例です |
パスワード | (設定不要) | fitelnet | パスワードは一例です | ||
【送信】 | 送信ボタンを押します | ||||
ダイアルアップ回線接続先の登録 ダイアラー1の設定 |
NAT動作モード | (設定不要) | NAT+ | ||
接続相手の名称 | (設定不要) | A-Provider | わかりやすい名称 | ||
接続相手の電話番号 | (設定不要) | 03777777 | |||
【送信】 | 送信ボタンを押します | ||||
ISDNに関する設定 | 発信時の無通信監視時間 | (設定不要) |
監視する 60 |
||
【送信】 | 送信ボタンを押します | ||||
VPNの設定 | VPN動作モード | ON | ON | ||
VPN通信動作中のイベントログ | 残す | 残す | |||
【送信】 | 【送信】 | 送信ボタンを押します | |||
VPNの設定 | VPN対象パケットの登録 | 優先度 | 1 | 1 | |
宛先指定 | IPアドレス指定 192.168.2.0/24 |
IPアドレス指定 192.168.1.0/24 |
|||
送信元指定 | IPアドレス指定 192.168.1.0/24 |
IPアドレス指定 192.168.2.0/24 |
|||
プロトコル | IP | IP | |||
IPsec処理タイプ | IPsec処理して中継 | IPsec処理して中継 | |||
【送信】 | 【送信】 | ||||
優先度 | 64 | 64 | |||
宛先指定 | すべて | すべて | |||
送信元指定 | すべて | すべて | |||
プロトコル | IP | IP | |||
IPsec処理タイプ | IPsec処理しないで中継 | IPsec処理しないで中継 | |||
【送信】 | 【送信】 | 送信ボタンを押します | |||
暗号化ポリシーの登録 | 名前 | P2-POLICY | P2-POLICY | ||
暗号アルゴリズム | 3DES | 3DES | |||
認証アルゴリズム | HMAC-SHA | HMAC-SHA | |||
【送信】 | 【送信】 | 送信ボタンを押します | |||
IKEポリシーの登録 | ID | 1 | 1 | ||
IKEポリシー認証アルゴリズム | Pre-shared Key(拡張認証なし) | Pre-shared Key(拡張認証なし) | |||
暗号化アルゴリズム | 3des | 3des | |||
Diffie-Hellman Group | 2 | 2 | |||
ハッシュアルゴリズム | sha | sha | |||
FQDNタイプ | UserFQDN | UserFQDN | |||
鍵データ | アスキー SECRET-VPN |
アスキー SECRET-VPN |
|||
IKE SA のライフタイム(秒) | 1000 | 1000 | |||
IKE SAネゴシエーションモード | Aggressive | Aggressive | |||
自身の名前 | (設定不要) | REMOTE | |||
VPNピアのIPアドレス | (設定不要) | 200.200.200.1 | |||
VPNピアの名前 | REMOTE | (設定不要) | |||
【送信】 | 【送信】 | 送信ボタンを押します | |||
MAPの登録 | MAP名 | KYOTEN | CENTER | ||
VPN対象パケット優先度 | 1 | 1 | |||
VPNピアのIPアドレス | (設定不要) | 200.200.200.1 | |||
VPNピアのホスト名 | REMOTE | (設定不要) | |||
暗号化ポリシー | P2-POLICY | P2-POLICY | |||
IPsec SAの生存時間 | 600秒 | 600秒 | |||
【送信】 | 【送信】 | 送信ボタンを押します | |||
インタフェースのMAP登録 PPPoE1のMAP登録 |
MAP名 | KYOTEN | ★ | ||
【送信】 | 送信ボタンを押します | ||||
装置の再起動 | 装置を再起動する | 【送信】 | 【送信】 | ※ |
★ | : | DialerインタフェースのMAP登録をする設定が、WEB設定画面にはありませんので、以下のコマンドで、別途設定する必要があります。
|
※ | : | 設定を有効にするために、装置の再起動を行います。 |
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)# ! ! ! LAN側IPアドレスを設定します。 ! Router(config)# interface lan 1 Router(config-if lan 1)# ip address 192.168.1.254 255.255.255.0 Router(config-if lan 1)# exit ! ! ! PPPoE1インタフェース設定モードに移行します。 ! Router(config)# interface pppoe 1 Router(config-if pppoe 1)# ! ! ! PPPoEの各種設定をします。 ! Router(config-if pppoe 1)# pppoe server FLETS Router(config-if pppoe 1)# pppoe account abc012@***.***.ne.jp xxxyyyzzz Router(config-if pppoe 1)# pppoe type host ※1 Router(config-if pppoe 1)# ip address 200.200.200.1 ※2 ! ! ! NAT+の設定をします。 ! Router(config-if pppoe 1)# ip nat inside source list 99 interface Router(config-if pppoe 1)# exit ! ! ! access-list に、NAT+変換前アドレス(LAN側アドレス)を登録します。 ! Router(config)# access-list 99 permit 192.168.1.0 0.0.0.255 ! ! ! デフォルトルートをPPPoE1に設定します。 ! Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! ! VPN機能を有効にします。 ! Router(config)# vpn enable ! ! ! VPN通信動作中の詳細なログを残す設定にします。 ! Router(config)# vpnlog enable ! ! ! Phase1ポリシーの設定を行ないます。 ! Router(config)# crypto isakmp policy 1 Router(config-isakmp)# negotiation-mode aggressive ! アグレッシブモード Router(config-isakmp)# authentication prekey ! 認証方式に共有キーを使用 Router(config-isakmp)# encryption 3des ! 暗号方式の指定 Router(config-isakmp)# group 2 ! Diffie-Hellman Groupの指定 Router(config-isakmp)# hash sha ! ハッシュ方式の指定 Router(config-isakmp)# key ascii SECRET-VPN ! 対向の拠点側F100と共通のキー(文字列)を設定 Router(config-isakmp)# peer-identity host REMOTE ! 対向の拠点側F100が通知してくる名称 ! (この例ではuserfqdn名) Router(config-isakmp)# idtype-pre userfqdn ! 名称のフォーマットタイプ Router(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! Router(config)# ipsec transform-set P2-POLICY esp-3des esp-sha-hmac ! 名称は任意 暗号方式 ハッシュ方式 ! ! ! VPNセレクタの設定を行ないます。 ! Router(config)# ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ! 暗号化 送信元IPアドレス 送信先IPアドレス Router(config)# ipsec access-list 64 bypass ip any any ! 暗号化せず通過 Router(config)# crypto map KYOTEN 1 ! マップ名は任意 Router(config-crypto-map)# match address 1 ! IPsecアクセスリスト番号 Router(config-crypto-map)# set peer host REMOTE ! 対向の拠点側F100が通知してくる名称 ! (この例ではuserfqdn名) Router(config-crypto-map)# set transform-set P2-POLICY ! Phase2ポリシーとの関連付け Router(config-crypto-map)# exit Router(config)# interface pppoe 1 Router(config-if pppoe 1)# crypto map KYOTEN ! マップ(VPNセレクタ)との関連付け Router(config-if pppoe 1)# exit ! ! ! 特権ユーザモードに戻ります。 ! Router(config)# end ! ! ! 設定を保存します。 ! Router# save SIDE-A.cfg % saving working-config % finished saving ! ! ! 設定を有効にするために再起動します。 ! Router# reset Are you OK to cold start?(y/n) y
※1 | : | OCN ADSLアクセス IP8/IP16「フレッツ」プランのような複数のアドレスを割り当てられる契約の場合は、"pppoe type lan"と設定します。 |
※2 | : | OCN ADSLアクセス IP8/IP16「フレッツ」プランのような複数のアドレスを割り当てられる契約の場合は、指定されたIPアドレスに +1 したアドレスを設定します。 例えば、200.200.200.48/29 を割り当てられた場合は、"200.200.200.49"を設定します。 また、割り当てられた複数アドレスを、PPPoE のインタフェースでしか使用しない場合は、網とFITELnet-F100 との間で輻輳を防止するために、未使用のアドレスはフィルタリングしておいて下さい。 前出の例の場合ですと、
|
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)# ! ! ! LAN側IPアドレスを設定します(基本設定の1を参照)。 ! Router(config)# interface lan 1 Router(config-if lan 1)# ip address 192.168.2.254 255.255.255.0 Router(config-if lan 1)# exit ! ! ! BRIインタフェース設定モードに移行します。 ! Router(config)# interface bri 1 Router(config-if bri 1)# calling idle-timeout 60 ! 発信時の無通信監視時間を60秒に設定 Router(config-if bri 1)# exit ! ! ! dialerインタフェース設定モードに移行します。 ! Router(config)# interface dialer 1 Router(config-if dialer 1)# ! ! ! dialerの各種設定をします。 ! Router(config-if dialer 1)# dialer map name A-Provider 037777777 ! 任意の名称 発呼先電話番号 Router(config-if dialer 1)# dialer interface bri 1 ! 物理インタフェースとしてBRIインタフェースをを使用 ! ! 基本設定モードに戻ります。 ! Router(config-if dialer 1)# exit ! ! ! デフォルトルートをdialer 1に設定します。 ! Router(config)# ip route 0.0.0.0 0.0.0.0 dialer 1 ! ! ! プロバイダ接続用のIDとパスワードを設定します。 ! Router(config)# ppp hostname fitelF100 password fitelnet ! 接続相手に送信する、認証用ユーザ名、パスワードを設定 ! ! NAT+の設定をします。 ! Router(config)# interface dialer 1 Router(config-if dialer 1)# ip nat inside source list 99 interface Router(config-if dialer 1)# exit ! ! ! access-list に、NAT+変換前アドレスを登録します。 ! Router(config)# access-list 99 permit any ! ! ! ProxyDNS機能の設定をします。 ! Router(config)# proxydns mode v4 ! ! ! VPN機能を有効にします。 ! Router(config)# vpn enable ! ! ! VPN通信動作中の詳細なログを残す設定にします。 ! Router(config)# vpnlog enable ! ! ! Phase1ポリシーの設定を行ないます。 ! Router(config)# crypto isakmp policy 1 Router(config-isakmp)# negotiation-mode aggressive Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption 3des Router(config-isakmp)# group 2 Router(config-isakmp)# hash sha Router(config-isakmp)# key ascii SECRET-VPN Router(config-isakmp)# idtype-pre userfqdn ! 名称のフォーマットタイプ Router(config-isakmp)# my-identity REMOTE ! 自分の名称の設定(この例ではuserfqdn名) Router(config-isakmp)# peer-identity address 200.200.200.1 ! 対向のセンター側F100のグローバルアドレス Router(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! Router(config)# ipsec transform-set P2-POLICY esp-3des esp-sha-hmac ! ! ! VPNセレクタの設定を行ないます。 ! Router(config)# ipsec access-list 1 ipsec ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 Router(config)# ipsec access-list 64 bypass ip any any Router(config)# crypto map CENTER 1 Router(config-crypto-map)# match address 1 Router(config-crypto-map)# set peer address 200.200.200.1 ! 対向のセンター側F100のグローバルアドレス Router(config-crypto-map)# set transform-set P2-POLICY Router(config-crypto-map)# exit Router(config)# interface dialer 1 Router(config-if dialer 1)# crypto map CENTER Router(config-if dialer 1)# exit ! ! ! 特権ユーザモードに戻ります。 ! Router(config)# end ! ! ! 設定を保存します。 ! Router# save SIDE-A.cfg % saving working-config % finished saving Router# ! ! ! 設定を有効にするために再起動します。 ! Router# reset Are you OK to cold start?(y/n) y