古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
 
設定例
3.センタ(IP固定),拠点(ISDN回線)
概要
補足・注意点
前提条件
当設定例では、以下のアドレス・環境を前提に説明しています。
プロバイダより割り振られたアドレス(アドレスは一例です)
センタ側 200.200.200.1
拠点側 指定なし
設定環境
拠点側ISDN 時間による従量制課金(非通信時は回線切断)
※センタ側契機によるIPsecは行えません
IPsecの対象とする中継パケット 192.168.1.0/24 ⇔ 192.168.2.0/24
IPsec Phase1ポリシー モード ・・・ Aggressiveモード
認証方式 ・・・ 事前共有鍵方式
暗号化方式 ・・・ 3DES
ハッシュ方式 ・・・ SHA
Diffie-Hellman ・・・ Group 2
IPsec Phase2ポリシー 暗号化方式 ・・・ 3DES
ハッシュ方式 ・・・ SHA
WEB設定の例
設定画面 設定項目 設定値 備考
センタ 拠点
インタフェース設定 LAN側設定 LAN側IPアドレス 192.168.1.254 192.168.2.254
サブネットマスク 255.255.255.0 255.255.255.0
DHCPサーバ機能 使用しない 使用しない
【送信】 【送信】 送信ボタンを押します
EWAN
PPPoE接続
PPPoE1
名称
FLETS (設定不要) わかりやすい名称
ユーザID abc012@***.***.ne.jp (設定不要) IDは一例です
パスワード xxxyyyzzz (設定不要) パスワードは一例です
接続タイプ 端末型 (設定不要)
IPアドレス 200.200.200.1 (設定不要)
【送信】 送信ボタンを押します
ルーティングプロトコルの設定 スタティックルーティング 通信先指定 0.0.0.0/0 0.0.0.0/0
中継先指定
インタフェース指定
PPPOE1 DIALER1
【送信】 【送信】 送信ボタンを押します
NAT機能 PPPoE1
NAT+の登録
LAN上の端末指定 192.168.1.0/24 (設定不要) NAT変換前のアドレス
【送信】 送信ボタンを押します
各種機能 簡易DNS 簡易DNS機能 (設定不要) IPv4
【送信】 送信ボタンを押します
ダイアルアップ関連 自身の認証IDとパスワードの登録 認証ID (設定不要) fitelF100 IDは一例です
パスワード (設定不要) fitelnet パスワードは一例です
【送信】 送信ボタンを押します
ダイアルアップ回線接続先の登録
ダイアラー1の設定
NAT動作モード (設定不要) NAT+
接続相手の名称 (設定不要) A-Provider わかりやすい名称
接続相手の電話番号 (設定不要) 03777777
【送信】 送信ボタンを押します
ISDNに関する設定 発信時の無通信監視時間 (設定不要) 監視する
60
【送信】 送信ボタンを押します
VPNの設定 VPN動作モード ON ON
VPN通信動作中のイベントログ 残す 残す
【送信】 【送信】 送信ボタンを押します
VPNの設定 VPN対象パケットの登録 優先度 1 1
宛先指定 IPアドレス指定
192.168.2.0/24
IPアドレス指定
192.168.1.0/24
送信元指定 IPアドレス指定
192.168.1.0/24
IPアドレス指定
192.168.2.0/24
プロトコル IP IP
IPsec処理タイプ IPsec処理して中継 IPsec処理して中継
【送信】 【送信】
優先度 64 64
宛先指定 すべて すべて
送信元指定 すべて すべて
プロトコル IP IP
IPsec処理タイプ IPsec処理しないで中継 IPsec処理しないで中継
【送信】 【送信】 送信ボタンを押します
暗号化ポリシーの登録 名前 P2-POLICY P2-POLICY
暗号アルゴリズム 3DES 3DES
認証アルゴリズム HMAC-SHA HMAC-SHA
【送信】 【送信】 送信ボタンを押します
IKEポリシーの登録 ID 1 1
IKEポリシー認証アルゴリズム Pre-shared Key(拡張認証なし) Pre-shared Key(拡張認証なし)
暗号化アルゴリズム 3des 3des
Diffie-Hellman Group 2 2
ハッシュアルゴリズム sha sha
FQDNタイプ UserFQDN UserFQDN
鍵データ アスキー
SECRET-VPN
アスキー
SECRET-VPN
IKE SA のライフタイム(秒) 1000 1000
IKE SAネゴシエーションモード Aggressive Aggressive
自身の名前 (設定不要) REMOTE
VPNピアのIPアドレス (設定不要) 200.200.200.1
VPNピアの名前 REMOTE (設定不要)
【送信】 【送信】 送信ボタンを押します
MAPの登録 MAP名 KYOTEN CENTER
VPN対象パケット優先度 1 1
VPNピアのIPアドレス (設定不要) 200.200.200.1
VPNピアのホスト名 REMOTE (設定不要)
暗号化ポリシー P2-POLICY P2-POLICY
IPsec SAの生存時間 600秒 600秒
【送信】 【送信】 送信ボタンを押します
インタフェースのMAP登録
PPPoE1のMAP登録
MAP名 KYOTEN
【送信】 送信ボタンを押します
装置の再起動 装置を再起動する 【送信】 【送信】
DialerインタフェースのMAP登録をする設定が、WEB設定画面にはありませんので、以下のコマンドで、別途設定する必要があります。
Router# configure terminal
Router(config)# interface dialer 1
Router(config-if dialer 1)# crypto map CENTER
Router(config-if dialer 1)# exit
設定を有効にするために、装置の再起動を行います。
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
センタ
!
!
! 特権ユーザモードに移行します。
!
Router> enable
Enter password: super ←パスワードを入力します。(実際は表示されない)

Router#
!
!
! 基本設定モードに移行します。
!
Router# configure terminal
Router(config)#
!
!
! LAN側IPアドレスを設定します。
!
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 192.168.1.254 255.255.255.0
Router(config-if lan 1)# exit
!
!
! PPPoE1インタフェース設定モードに移行します。
!
Router(config)# interface pppoe 1
Router(config-if pppoe 1)#
!
!
! PPPoEの各種設定をします。
!
Router(config-if pppoe 1)# pppoe server FLETS
Router(config-if pppoe 1)# pppoe account abc012@***.***.ne.jp xxxyyyzzz
Router(config-if pppoe 1)# pppoe type host ※1
Router(config-if pppoe 1)# ip address 200.200.200.1 ※2
!
!
! NAT+の設定をします。
!
Router(config-if pppoe 1)# ip nat inside source list 99 interface
Router(config-if pppoe 1)# exit
!
!
! access-list に、NAT+変換前アドレス(LAN側アドレス)を登録します。
!
Router(config)# access-list 99 permit 192.168.1.0 0.0.0.255
!
!
! デフォルトルートをPPPoE1に設定します。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1
!
!
! VPN機能を有効にします。
!
Router(config)# vpn enable
!
!
! VPN通信動作中の詳細なログを残す設定にします。
!
Router(config)# vpnlog enable
!
!
! Phase1ポリシーの設定を行ないます。
!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# negotiation-mode aggressive
!                                          アグレッシブモード
Router(config-isakmp)# authentication prekey
!                                       認証方式に共有キーを使用
Router(config-isakmp)# encryption 3des
!                                   暗号方式の指定
Router(config-isakmp)# group 2
!                            Diffie-Hellman Groupの指定
Router(config-isakmp)# hash sha
!                            ハッシュ方式の指定
Router(config-isakmp)# key ascii SECRET-VPN
!                                  対向の拠点側F100と共通のキー(文字列)を設定
Router(config-isakmp)# peer-identity host REMOTE
!                                      対向の拠点側F100が通知してくる名称
!                                      (この例ではuserfqdn名)
Router(config-isakmp)# idtype-pre userfqdn
!                                   名称のフォーマットタイプ
Router(config-isakmp)# exit
!
!
! Phase2ポリシーの設定を行ないます。
!
Router(config)# ipsec transform-set P2-POLICY esp-3des esp-sha-hmac
!                                      名称は任意   暗号方式 ハッシュ方式
!
!
! VPNセレクタの設定を行ないます。
!
Router(config)# ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 
!                                       暗号化    送信元IPアドレス          送信先IPアドレス
Router(config)# ipsec access-list 64 bypass ip any any
!                                       暗号化せず通過
Router(config)# crypto map KYOTEN 1
!                            マップ名は任意
Router(config-crypto-map)# match address 1
!                                          IPsecアクセスリスト番号
Router(config-crypto-map)# set peer host REMOTE
!                                          対向の拠点側F100が通知してくる名称
!                                          (この例ではuserfqdn名)
Router(config-crypto-map)# set transform-set P2-POLICY
!                                               Phase2ポリシーとの関連付け
Router(config-crypto-map)# exit
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# crypto map KYOTEN
!                                       マップ(VPNセレクタ)との関連付け
Router(config-if pppoe 1)# exit
!
!
! 特権ユーザモードに戻ります。
!
Router(config)# end
!
!
! 設定を保存します。
!
Router# save SIDE-A.cfg
% saving working-config
% finished saving
!
!
! 設定を有効にするために再起動します。
!
Router# reset
Are you OK to cold start?(y/n) y
※1 OCN ADSLアクセス IP8/IP16「フレッツ」プランのような複数のアドレスを割り当てられる契約の場合は、"pppoe type lan"と設定します。
※2 OCN ADSLアクセス IP8/IP16「フレッツ」プランのような複数のアドレスを割り当てられる契約の場合は、指定されたIPアドレスに +1 したアドレスを設定します。

例えば、200.200.200.48/29 を割り当てられた場合は、"200.200.200.49"を設定します。
また、割り当てられた複数アドレスを、PPPoE のインタフェースでしか使用しない場合は、網とFITELnet-F100 との間で輻輳を防止するために、未使用のアドレスはフィルタリングしておいて下さい。

前出の例の場合ですと、
Router(config)# access-list 100 permit ip any 200.200.200.49 0.0.0.0
Router(config)# access-list 100 deny ip any 200.200.200.48 0.0.0.7
Router(config-if pppoe 1)# ip access-group 100 in
のように設定します。
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
拠点
!
!
! 特権ユーザモードに移行します。
!
Router> enable
Enter password: super ←パスワードを入力します。(実際は表示されない)

Router#
!
!
! 基本設定モードに移行します。
!
Router# configure terminal
Router(config)#
!
!
! LAN側IPアドレスを設定します(基本設定の1を参照)。
!
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 192.168.2.254 255.255.255.0
Router(config-if lan 1)# exit
!
!
! BRIインタフェース設定モードに移行します。
!
Router(config)# interface bri 1
Router(config-if bri 1)# calling idle-timeout 60
!                        発信時の無通信監視時間を60秒に設定
Router(config-if bri 1)# exit
!
!
! dialerインタフェース設定モードに移行します。
!
Router(config)# interface dialer 1
Router(config-if dialer 1)#
!
! 
! dialerの各種設定をします。
!
Router(config-if dialer 1)# dialer map name A-Provider 037777777 
!                                              任意の名称   発呼先電話番号
Router(config-if dialer 1)# dialer interface bri 1
!                           物理インタフェースとしてBRIインタフェースをを使用
!
! 基本設定モードに戻ります。
!
Router(config-if dialer 1)# exit
!
!
! デフォルトルートをdialer 1に設定します。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 dialer 1
!
!
! プロバイダ接続用のIDとパスワードを設定します。
!
Router(config)# ppp hostname fitelF100 password fitelnet
!               接続相手に送信する、認証用ユーザ名、パスワードを設定
! 
! NAT+の設定をします。
!
Router(config)# interface dialer 1
Router(config-if dialer 1)# ip nat inside source list 99 interface
Router(config-if dialer 1)# exit
!
!
! access-list に、NAT+変換前アドレスを登録します。
!
Router(config)# access-list 99 permit any
!
!
! ProxyDNS機能の設定をします。
!
Router(config)# proxydns mode v4
!
!
! VPN機能を有効にします。
!
Router(config)# vpn enable
!
!
! VPN通信動作中の詳細なログを残す設定にします。
!
Router(config)# vpnlog enable
!
!
! Phase1ポリシーの設定を行ないます。
!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# negotiation-mode aggressive
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption 3des
Router(config-isakmp)# group 2
Router(config-isakmp)# hash sha
Router(config-isakmp)# key ascii SECRET-VPN
Router(config-isakmp)# idtype-pre userfqdn
!                                   名称のフォーマットタイプ
Router(config-isakmp)# my-identity REMOTE
!                                    自分の名称の設定(この例ではuserfqdn名)
Router(config-isakmp)# peer-identity address 200.200.200.1
!                                       対向のセンター側F100のグローバルアドレス
Router(config-isakmp)# exit
!
!
! Phase2ポリシーの設定を行ないます。
!
Router(config)# ipsec transform-set P2-POLICY esp-3des esp-sha-hmac
!
!
! VPNセレクタの設定を行ないます。
!
Router(config)# ipsec access-list 1 ipsec ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 
Router(config)# ipsec access-list 64 bypass ip any any
Router(config)# crypto map CENTER 1
Router(config-crypto-map)# match address 1
Router(config-crypto-map)# set peer address 200.200.200.1
!                                     対向のセンター側F100のグローバルアドレス
Router(config-crypto-map)# set transform-set P2-POLICY
Router(config-crypto-map)# exit
Router(config)# interface dialer 1
Router(config-if dialer 1)# crypto map CENTER
Router(config-if dialer 1)# exit
!
!
! 特権ユーザモードに戻ります。
!
Router(config)# end
!
!
! 設定を保存します。
!
Router# save SIDE-A.cfg
% saving working-config
% finished saving

Router#
!
!
! 設定を有効にするために再起動します。
!
Router# reset 
Are you OK to cold start?(y/n) y

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007