古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
 
設定例
5.センタ(IP固定,アドレス1),拠点(IP不定)
概要
※F100をF1000に置き換えても運用できます
補足・注意点
前提条件
当設定例では、以下のアドレス・環境を前提に説明しています。
プロバイダより割り振られたアドレス(アドレスは一例です)
センタ側 200.200.200.1
拠点1側 指定なし
拠点2側 指定なし
設定環境
IPsecの対象とする中継パケット

192.168.0.0/22 ⇔ 192.168.2.0/24

192.168.0.0/22 ⇔ 192.168.3.0/24

IPsec Phase1ポリシー

モード ・・・ Aggressiveモード

認証方式 ・・・ 事前共有鍵方式

暗号化方式 ・・・ 3DES

ハッシュ方式 ・・・ SHA

Diffie-Hellman ・・・ Group 2

IPsec Phase2ポリシー

暗号化方式 ・・・ 3DES

ハッシュ方式 ・・・ SHA

IPsec SA確立契機 ・・・ 常にSAを確立する
                     (拠点側のみ設定)

WEB設定の例
設定画面 設定項目 設定値 備考
センタ 拠点1 拠点2

インタフェース設定

LAN側設定

LAN側IPアドレス 192.168.1.254 192.168.2.254 192.168.3.254
サブネットマスク 255.255.255.0 255.255.255.0 255.255.255.0
DHCPサーバ機能 使用しない 使用しない 使用しない
【送信】 【送信】 【送信】 送信ボタンを押します
EWAN1
PPPoE接続
PPPoE1
名称
FLETS FLETS FLETS わかりやすい名称
ユーザID abc012@***.***.ne.jp abc345@***.***.ne.jp abc678@***.***.ne.jp IDは一例です
パスワード xxxyyyzzz zzzyyyxxx yyyxxxzzz パスワードは一例です
接続タイプ 端末型 端末型 端末型
IPアドレス 200.200.200.1 (設定不要) (設定不要)
【送信】 【送信】 【送信】 送信ボタンを押します

ルーティングプロトコルの設定

スタティックルーティング 通信先指定 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0
中継先指定
インタフェース指定
PPPOE1 PPPOE1 PPPOE1
【送信】 【送信】 【送信】 送信ボタンを押します
NAT機能 PPPoE1
NAT+の登録
LAN上の端末指定 192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 NAT変換前のアドレス
【送信】 【送信】 【送信】 送信ボタンを押します
VPNの設定 VPN動作モード ON ON ON
VPN通信動作中のイベントログ 残す 残す 残す
【送信】 【送信】 【送信】 送信ボタンを押します
VPNの設定 VPN対象パケットの登録 優先度 1 1
宛先指定 IPアドレス指定
192.168.2.0/24
IPアドレス指定
192.168.0.0/22 ※
※ 192.168.0.0/22
になっているところがポイントです。
送信元指定 IPアドレス指定
192.168.0.0/22 ※
IPアドレス指定
192.168.2.0/24
※ 192.168.0.0/22
になっているところがポイントです。
プロトコル IP IP
IPsec処理タイプ IPsec処理して中継 IPsec処理して中継
【送信】 送信ボタンを押します
優先度 2 1
宛先指定 IPアドレス指定
192.168.3.0/24
IPアドレス指定
192.168.0.0/22 ※
※ 192.168.0.0/22
になっているところがポイントです。
送信元指定 IPアドレス指定
192.168.0.0/22 ※
IPアドレス指定
192.168.3.0/24
※ 192.168.0.0/22
になっているところがポイントです。
プロトコル IP IP
IPsec処理タイプ IPsec処理して中継 IPsec処理して中継
【送信】 【送信】 送信ボタンを押します
優先度 64 64 64
宛先指定 すべて すべて すべて
送信元指定 すべて すべて すべて
プロトコル IP IP IP
IPsec処理タイプ IPsec処理しないで中継 IPsec処理しないで中継 IPsec処理しないで中継
【送信】 【送信】 【送信】 送信ボタンを押します
暗号化ポリシーの登録 名前 P2-POLICY P2-POLICY P2-POLICY
暗号アルゴリズム 3DES 3DES 3DES
認証アルゴリズム HMAC-SHA HMAC-SHA HMAC-SHA
【送信】 【送信】 【送信】 送信ボタンを押します
IKEポリシーの登録 ID 1 1
IKEポリシー認証アルゴリズム Pre-shared Key(拡張認証なし) Pre-shared Key(拡張認証なし)
暗号化アルゴリズム 3des 3des
Diffie-Hellman Group 2 2
ハッシュアルゴリズム sha sha
FQDNタイプ UserFQDN UserFQDN
鍵データ アスキー
SECRET-VPN1
アスキー
SECRET-VPN1
IKE SAネゴシエーションモード Aggressive Aggressive
自身の名前 (設定不要) kyoten1
VPNピアのIPアドレス (設定不要) 200.200.200.1
VPNピアの名前 kyoten1 (設定不要)
【送信】 送信ボタンを押します
ID 2 1
IKEポリシー認証アルゴリズム Pre-shared Key(拡張認証なし) Pre-shared Key(拡張認証なし)
暗号化アルゴリズム 3des 3des
Diffie-Hellman Group 2 2
ハッシュアルゴリズム sha sha
FQDNタイプ UserFQDN UserFQDN
鍵データ アスキー
SECRET-VPN2
アスキー
SECRET-VPN2
IKE SAネゴシエーションモード Aggressive Aggressive
自身の名前 (設定不要) kyoten2
VPNピアのIPアドレス (設定不要) 200.200.200.1
VPNピアの名前 kyoten2 (設定不要)
【送信】 【送信】 送信ボタンを押します
MAPの登録 MAP名 KYOTEN1 CENTER
VPN対象パケット優先度 1 1
VPNピアのIPアドレス (設定不要) 200.200.200.1
VPNピアのホスト名 kyoten1 (設定不要)
暗号化ポリシー P2-POLICY P2-POLICY
IPsec SA確立契機 (設定不要) 常にSAを確立する
【送信】 送信ボタンを押します
MAP名 KYOTEN2 CENTER
VPN対象パケット優先度 2 1
VPNピアのIPアドレス (設定不要) 200.200.200.1
VPNピアのホスト名 kyoten2 (設定不要)
暗号化ポリシー P2-POLICY P2-POLICY
IPsec SA確立契機 (設定不要) 常にSAを確立する
【送信】 【送信】 送信ボタンを押します
インタフェースのMAP登録
PPPoE1のMAP登録
MAP名 KYOTEN1 CENTER CENTER
KYOTEN2
【送信】 【送信】 【送信】
装置の再起動 装置を再起動する 【送信】 【送信】 【送信】
※:設定を有効にするために、装置の再起動を行います。
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は

センタ

!
!
! 特権ユーザモードに移行します。
!
Router> enable
Enter password: super ←パスワードを入力します。(実際は表示されない)

Router#
!
!
! 基本設定モードに移行します。
!
Router# configure terminal
Router(config)#
!
!
! LAN側IPアドレスを設定します。
!
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 192.168.1.254 255.255.255.0
Router(config-if lan 1)# exit
!
!
! PPPoE1インタフェース設定モードに移行します。
!
Router(config)# interface pppoe 1
Router(config-if pppoe 1)#
!
!
! PPPoEの各種設定をします。
!
Router(config-if pppoe 1)# pppoe server FLETS
Router(config-if pppoe 1)# pppoe account abc012@***.***.ne.jp xxxyyyzzz
Router(config-if pppoe 1)# pppoe type host ※1
Router(config-if pppoe 1)# ip address 200.200.200.1 ※2
!
! 
! NAT+の設定をします。
!
Router(config-if pppoe 1)# ip nat inside source list 1 interface
Router(config-if pppoe 1)# exit
!
!
! access-list に、変換前アドレス(LAN側アドレス)を登録します。
!
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
!
!
! デフォルトルートをPPPoE1に設定します。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1
!
!
! VPN機能を有効にします。
!
Router(config)# vpn enable
!
!
! VPN通信動作中の詳細なログを残す設定にします。
!
Router(config)# vpnlog enable
!
!
! Phase1ポリシー(拠点1用)の設定を行ないます。
!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# negotiation-mode aggressive
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption 3des
Router(config-isakmp)# group 2
Router(config-isakmp)# hash sha
Router(config-isakmp)# key ascii SECRET-VPN1
Router(config-isakmp)# peer-identity host kyoten1
Router(config-isakmp)# idtype-pre userfqdn
Router(config-isakmp)# exit
!
!
!  Phase1ポリシー(拠点2用)の設定を行ないます。
!
Router(config)# crypto isakmp policy 2
Router(config-isakmp)# negotiation-mode aggressive
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption 3des
Router(config-isakmp)# group 2
Router(config-isakmp)# hash sha
Router(config-isakmp)# key ascii SECRET-VPN2
Router(config-isakmp)# peer-identity host kyoten2
Router(config-isakmp)# idtype-pre userfqdn
Router(config-isakmp)# exit
!
!
!  Phase2ポリシーの設定を行ないます。
!
Router(config)# ipsec transform-set P2-POLICY esp-3des esp-sha-hmac
!
!
!  VPNセレクタ(拠点1用、拠点2用)の設定を行ないます。
!  VPNセレクタの送信元アドレスが、192.168.0.0/22になっているところがポイントです。※3
!
Router(config)# ipsec access-list 1 ipsec ip 192.168.0.0 0.0.3.255 192.168.2.0 0.0.0.255 
Router(config)# ipsec access-list 2 ipsec ip 192.168.0.0 0.0.3.255 192.168.3.0 0.0.0.255 
Router(config)# ipsec access-list 64 bypass ip any any
Router(config)# crypto map KYOTEN1 1
Router(config-crypto-map)# match address 1
Router(config-crypto-map)# set peer host kyoten1
Router(config-crypto-map)# set transform-set P2-POLICY
Router(config-crypto-map)# exit
Router(config)# crypto map KYOTEN2 2
Router(config-crypto-map)# match address 2
Router(config-crypto-map)# set peer host kyoten2
Router(config-crypto-map)# set transform-set P2-POLICY
Router(config-crypto-map)# exit
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# crypto map KYOTEN1
Router(config-if pppoe 1)# crypto map KYOTEN2
Router(config-if pppoe 1)# exit
!
!
! 特権ユーザモードに戻ります。
!
Router(config)# end
!
!
! 設定を保存します。
!
Router# save SIDE-*.cfg ←*には、保存したい面に応じて、A・Bのどちらかを入れる
% saving working-config
% finished saving

Router#
!
!
! 設定を有効にするために再起動します。
!
Router# reset 
Are you OK to cold start?(y/n) y
※1 OCN ADSLアクセス IP8/IP16「フレッツ」プランのような複数のアドレスを割り当てられる契約の場合は、"pppoe type lan"と設定します。
※2 OCN ADSLアクセス IP8/IP16「フレッツ」プランのような複数のアドレスを割り当てられる契約の場合は、指定されたIPアドレスに+1したアドレスを設定します。例えば、200.200.200.48/29 を割り当てられた場合は、200.200.200.49を設定します。
※3 本来ならば拠点1向けのipsec access-listを
ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
ipsec access-list 2 ipsec ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
のように分けて書きますが、送信元のアドレスをサマライズして
ipsec access-list 1 ipsec ip 192.168.0.0 0.0.3.255 192.168.2.0 0.0.0.255
としています。(拠点2向けのipsec acccess-listも同じ。また、拠点1・2側でも同様に宛先アドレスをサマライズして、ipsec access-listを1つにまとめています)したがって、アドレス体系によっては、ワイルドカードマスクの範囲を変えるか、ipsec access-listを分ける必要があります。
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
拠点1
!
!
! 特権ユーザモードに移行します。
!
Router> enable
Enter password: super ←パスワードを入力します。(実際は表示されない)

Router#
!
!
! 基本設定モードに移行します。
!
Router# configure terminal
Router(config)#
!
!
! LAN 側 IP アドレスを設定します。
!
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 192.168.2.254 255.255.255.0
Router(config-if lan 1)# exit
!
!
! PPPoE1インタフェース設定モードに移行します。
!
Router(config)# interface pppoe 1
Router(config-if pppoe 1)#
!
!
! PPPoEの各種設定をします。
!
Router(config-if pppoe 1)# pppoe server FLETS
Router(config-if pppoe 1)# pppoe account abc345@***.***.ne.jp zzzyyyxxx
Router(config-if pppoe 1)# pppoe type host
!
!
! NAT+の設定をします。
!
Router(config-if pppoe 1)# ip nat inside source list 1 interface
Router(config-if pppoe 1)# exit
!
!
! access-list に、変換前アドレス(LAN側アドレス)を登録します。
!
Router(config)# access-list 1 permit 192.168.2.0 0.0.0.255
!
!
! デフォルトルートをPPPoE1に設定します。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1
!
!
! VPN機能を有効にします。
!
Router(config)# vpn enable
!
!
! VPN通信動作中の詳細なログを残す設定にします。
!
Router(config)# vpnlog enable
!
!
! Phase1ポリシーの設定を行ないます。
!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# negotiation-mode aggressive
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption 3des
Router(config-isakmp)# group 2
Router(config-isakmp)# hash sha
Router(config-isakmp)# key ascii SECRET-VPN1
Router(config-isakmp)# my-identity kyoten1
Router(config-isakmp)# peer-identity address 200.200.200.1
Router(config-isakmp)# idtype-pre userfqdn
Router(config-isakmp)# exit
!
!
!  Phase2ポリシーの設定を行ないます。
!
Router(config)# ipsec transform-set P2-POLICY esp-3des esp-sha-hmac
!
!
!  VPNセレクタの設定を行ないます。
!  VPNセレクタの宛先が、192.168.0.0/22になっているところがポイントです。
!
Router(config)# ipsec access-list 1 ipsec ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.3.255 
Router(config)# ipsec access-list 64 bypass ip any any
Router(config)# crypto map CENTER 1
Router(config-crypto-map)# match address 1
Router(config-crypto-map)# set peer address 200.200.200.1
Router(config-crypto-map)# set transform-set P2-POLICY
Router(config-crypto-map)# set security-association always-up
!                                                       常にSAを確立
Router(config-crypto-map)# exit
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# crypto map CENTER
Router(config-if pppoe 1)# exit
!
!
! 特権ユーザモードに戻ります。
!
Router(config)# end
!
!
! 設定を保存します。
!
Router# save SIDE-*.cfg ←*には、保存したい面に応じて、A・Bのどちらかを入れる
% saving working-config
% finished saving

Router#
!
!
! 設定を有効にするために再起動します。
!
Router# reset
Are you OK to cold start?(y/n) y
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
拠点2
!
!
! 特権ユーザモードに移行します。
!
Router> enable
Enter password: super ←パスワードを入力します。(実際は表示されない)

Router#
!
!
! 基本設定モードに移行します。
!
Router# configure terminal
Router(config)#
!
!
! LAN 側 IP アドレスを設定します。
!
Router(config)# interface lan 1
Router(config-if lan 1)# ip address 192.168.3.254 255.255.255.0
Router(config-if lan 1)# exit
!
!
! PPPoE1インタフェース設定モードに移行します。
!
Router(config)# interface pppoe 1
Router(config-if pppoe 1)#
!
! 
! PPPoEの各種設定をします。
!
Router(config-if pppoe 1)# pppoe server FLETS
Router(config-if pppoe 1)# pppoe account abc678@***.***.ne.jp yyyxxxzzz
Router(config-if pppoe 1)# pppoe type host
!
! 
! NAT+の設定をします。
!
Router(config-if pppoe 1)# ip nat inside source list 1 interface
Router(config-if pppoe 1)# exit
!
!
! access-list に、変換前アドレス(LAN側アドレス)を登録します。
!
Router(config)# access-list 1 permit 192.168.3.0 0.0.0.255
!
!
! デフォルトルートをPPPoE1に設定します。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1
!
!
! VPN機能を有効にします。
!
Router(config)# vpn enable
!
!
! VPN通信動作中の詳細なログを残す設定にします。
!
Router(config)# vpnlog enable
!
!
! Phase1ポリシーの設定を行ないます。
!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# negotiation-mode aggressive
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption 3des
Router(config-isakmp)# group 2
Router(config-isakmp)# hash sha
Router(config-isakmp)# key ascii SECRET-VPN2
Router(config-isakmp)# my-identity kyoten2
Router(config-isakmp)# peer-identity address 200.200.200.1
Router(config-isakmp)# idtype-pre userfqdn
Router(config-isakmp)# exit
!
!
! Phase2ポリシーの設定を行ないます。
!
>Router(config)# ipsec transform-set P2-POLICY esp-3des esp-sha-hmac
!
!
! VPNセレクタの設定を行ないます。
! VPNセレクタの宛先が、192.168.0.0/22になっているところがポイントです。
!
Router(config)# ipsec access-list 1 ipsec ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.3.255 
Router(config)# ipsec access-list 64 bypass ip any any
Router(config)# crypto map CENTER 1
Router(config-crypto-map)# match address 1
Router(config-crypto-map)# set peer address 200.200.200.1
Router(config-crypto-map)# set transform-set P2-POLICY
Router(config-crypto-map)# set security-association always-up
!                                                       常にSAを確立
Router(config-crypto-map)# exit
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# crypto map CENTER
Router(config-if pppoe 1)# exit
!
!
! 特権ユーザモードに戻ります。
!
Router(config)# end
!
!
! 設定を保存します。
!
Router# save SIDE-*.cfg ←*には、保存したい面に応じて、A・Bのどちらかを入れる
% saving working-config
% finished saving

Router#
!
!
! 設定を有効にするために再起動します。
!
Router# reset
Are you OK to cold start?(y/n) y

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007