古河電工ネットワーク機器の総合ブランド ファイテルネット
設定例
NGN(IPv6)網内でのIPsec接続をする設定
概要
NGN(IPv6)網内でのIPsec接続をする設定例です。
補足・注意点
本設定例を利用するには、フレッツ・v6オプションでネームの登録が必要です。
NTT東日本からNTT西日本、NTT西日本からNTT東日本といった、東西エリア間を超えてネームを利用しての通信を行うことはできません。
【FITELnetが提供する機能】
・IPoE IPv6の終端機能
・IPv6プレフィックスやDNSサーバアドレスの取得(RA・DHCPv6)
・端末へのIPv6プレフィックスの広告(RA・DHCPv6)
NTT東日本からNTT西日本、NTT西日本からNTT東日本といった、東西エリア間を超えてネームを利用しての通信を行うことはできません。
【FITELnetが提供する機能】
・IPoE IPv6の終端機能
・IPv6プレフィックスやDNSサーバアドレスの取得(RA・DHCPv6)
・端末へのIPv6プレフィックスの広告(RA・DHCPv6)
拠点1コマンド例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal ! ! ! IPv6通信時のネクストホップはewan 1インタフェース(IPv6 IPoE)とします。 ! Router(config)#ipv6 route ::/0 ewan 1 ! ! ! V6ネームの名前解決を行うため、DNSリゾルバの設定をします。 ! Router(config)#ip name-server ::1 Router(config)#ip resolver-cache-time 60 ! ! ! ProxyDNS機能の設定をします。 ! Router(config)#proxydns mode v6 ! ! ! LAN側IPアドレスを設定する。 ! Router(config)#interface lan 1 Router(config-if lan 1)# ip address 192.168.1.254 255.255.255.0 Router(config-if lan 1)#exit ! ! ! ewan 1インタフェース設定モードに移行します。 ! DHCPv6クライアント機能を動作させ、RAにて受信したIPv6プレフィックスを使用し ! でIPv6アドレスを自動生成し、DNSサーバのアドレスを取得します。 ! Router(config)#interface ewan 1 Router(config-if ewan 1)# ipv6 enable Router(config-if ewan 1)# ipv6 address autoconfig Router(config-if ewan 1)# ipv6 nd receive-ra Router(config-if ewan 1)# ipv6 nd rs-times 0 Router(config-if ewan 1)# ipv6 mtu-receive-enable Router(config-if ewan 1)# ipv6 mtu 1500 Router(config-if ewan 1)# ipv6 dhcp client ipv6dns_client Router(config-if ewan 1)#exit Router(config)#ipv6 dhcp client-profile ipv6dns_client Router(config-ipv6-dhcp-client-prof)# option-request dns-servers Router(config-ipv6-dhcp-client-prof)#exit ! ! ! VPN機能を有効にします。 ! Router(config)#vpn enable ! ! ! VPN通信の詳細なログを残すようにします。 ! Router(config)#vpnlog enable ! ! ! Phase 1ポリシーの設定を行います。 ! Router(config)#crypto isakmp policy 1 Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption aes 256 Router(config-isakmp)# group 2 Router(config-isakmp)# hash sha Router(config-isakmp)# idtype-pre userfqdn Router(config-isakmp)# keepalive always-send Router(config-isakmp)# key ascii secret-vpn Router(config-isakmp)# lifetime 86400 Router(config-isakmp)# my-identity kyoten1@example.com Router(config-isakmp)# negotiation-mode aggressive Router(config-isakmp)# peer-identity address fitelnet5678.aoi.flets-east.jp Router(config-isakmp)# peer-identity host kyoten2@example.com Router(config-isakmp)#exit ! ! ! 拠点2のネットワーク向けのルートを設定します。 ! Router(config)#ip route 192.168.2.0 255.255.255.0 connected ipsecif 1 ! ! ! Phase 2ポリシーの設定を行います。 ! Router(config)#ipsec transform-set P2-POLICY esp-aes-256 esp-sha-hmac ! ! ! VPNセレクタの設定を行います。 ! Router(config)#ipsec access-list 11 ipsec ip any any ! Router(config)#crypto map kyoten2 1 Router(config-crypto-map)# match address 11 Router(config-crypto-map)# set peer address fitelnet5678.aoi.flets-east.jp Router(config-crypto-map)# set peer host kyoten2@example.com Router(config-crypto-map)# set security-association lifetime seconds 28800 Router(config-crypto-map)# set security-association always-up Router(config-crypto-map)# set transform-set P2-POLICY Router(config-crypto-map)#exit ! ! ! IPsecインタフェースの設定を行います。 ! Router(config)#mss ipsecif 1 1300 Router(config)#interface ipsecif 1 Router(config-if ipsecif 1)# crypto map kyoten2 Router(config-if ipsecif 1)# ip mtu 1500 Router(config-if ipsecif 1)#exit ! ! ! 特権ユーザモードに戻ります。 ! Router(config)# end ! ! ! 設定を保存します。 ! Router# save SIDE-A.cfg % saving working-config % finished saving Router# ! ! ! 設定を有効にするために再起動します。 ! Router# reset Are you OK to cold start?(y/n) y
拠点2コマンド例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)# ! ! ! IPv6通信時のネクストホップはewan 1インタフェース(IPv6 IPoE)とします。 ! Router(config)#ipv6 route ::/0 ewan 1 ! ! ! V6ネームの名前解決を行うため、DNSリゾルバの設定をします。 ! Router(config)#ip name-server ::1 Router(config)#ip resolver-cache-time 60 ! ! ! ProxyDNS機能の設定をします。 ! Router(config)#proxydns mode v6 ! ! ! LAN側IPアドレスを設定する。 ! Router(config)#interface lan 1 Router(config-if lan 1)# ip address 192.168.2.254 255.255.255.0 Router(config-if lan 1)#exit ! ! ! ewan 1インタフェース設定モードに移行します。 ! DHCPv6クライアント機能を動作させ、RAにて受信したIPv6プレフィックスを使用し ! でIPv6アドレスを自動生成し、DNSサーバのアドレスを取得します。 ! Router(config)#interface ewan 1 Router(config-if ewan 1)# ipv6 enable Router(config-if ewan 1)# ipv6 address autoconfig Router(config-if ewan 1)# ipv6 nd receive-ra Router(config-if ewan 1)# ipv6 nd rs-times 0 Router(config-if ewan 1)# ipv6 mtu-receive-enable Router(config-if ewan 1)# ipv6 mtu 1500 Router(config-if ewan 1)# ipv6 dhcp client ipv6dns_client Router(config-if ewan 1)#exit Router(config)#ipv6 dhcp client-profile ipv6dns_client Router(config-ipv6-dhcp-client-prof)# option-request dns-servers Router(config-ipv6-dhcp-client-prof)#exit ! ! ! VPN機能を有効にします。 ! Router(config)#vpn enable ! ! ! VPN通信の詳細なログを残すようにします。 ! Router(config)#vpnlog enable ! ! ! Phase 1ポリシーの設定を行います。 ! Router(config)#crypto isakmp policy 1 Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption aes 256 Router(config-isakmp)# group 2 Router(config-isakmp)# hash sha Router(config-isakmp)# idtype-pre userfqdn Router(config-isakmp)# keepalive always-send Router(config-isakmp)# key ascii secret-vpn Router(config-isakmp)# lifetime 86400 Router(config-isakmp)# my-identity kyoten2@example.com Router(config-isakmp)# negotiation-mode aggressive Router(config-isakmp)# peer-identity address fitelnet1234.aoi.flets-east.jp Router(config-isakmp)# peer-identity host kyoten1@example.com Router(config-isakmp)#exit ! ! ! 拠点1のネットワーク向けのルートを設定します。 ! Router(config)#ip route 192.168.1.0 255.255.255.0 connected ipsecif 1 ! ! ! Phase 2ポリシーの設定を行います。 ! Router(config)#ipsec transform-set P2-POLICY esp-aes-256 esp-sha-hmac ! ! ! VPNセレクタの設定を行います。 ! Router(config)#ipsec access-list 11 ipsec ip any any ! Router(config)#crypto map kyoten1 1 Router(config-crypto-map)# match address 11 Router(config-crypto-map)# set peer address fitelnet1234.aoi.flets-east.jp Router(config-crypto-map)# set peer host kyoten2@example.com Router(config-crypto-map)# set security-association lifetime seconds 28800 Router(config-crypto-map)# set security-association always-up Router(config-crypto-map)# set transform-set P2-POLICY Router(config-crypto-map)#exit ! ! ! IPsecインタフェースの設定を行います。 ! Router(config)#mss ipsecif 1 1300 Router(config)#interface ipsecif 1 Router(config-if ipsecif 1)# crypto map kyoten1 Router(config-if ipsecif 1)# ip mtu 1500 Router(config-if ipsecif 1)#exit ! ! ! 特権ユーザモードに戻ります。 ! Router(config)# end ! ! ! 設定を保存します。 ! Router# save SIDE-A.cfg % saving working-config % finished saving Router# ! ! ! 設定を有効にするために再起動します。 ! Router# reset Are you OK to cold start?(y/n) y
設定状態の確認1
拠点1のPhase1 SAの情報を確認します。
| 確認内容 | 画面表示例 |
|---|---|
|
Phase1 SAの情報を表示 ※ |
Router# show crypto isakmp sa ISAKMP SA current sa : 1 [ 1] 2001:db8:face:0:1234:5678:abcd:ef2 kyoten2@example.com (fitelnet5678.aoi.flets-east.jp) <--> 2001:db8:face:0:1234:5678:abcd:ef1 kyoten1@example.com <R> Aggressive Mode UP pre-shared key AES(256bits) SHA Lifetime : 86400secs Current : 8secs,1kbytes mcfg config-mode: off mcfg addr: off mcfg apl-version: IKE Keepalive: dpd ICMP Keepalive: off release on addr-change: off |
| ※:拠点1と拠点2の間でPhase1 SAが確立されている事を確認してください。 | |
拠点1のPhase2 SAの情報を確認します。
| 確認内容 | 画面表示例 |
|---|---|
|
Phase2 SAの情報を表示 ※ |
Router# show crypto ipsec sa IPSEC SA current insa : 1 current outsa : 1 [ 3] 0.0.0.0,0.0.0.0 ALL ALL <--> 0.0.0.0,0.0.0.0 ALL ALL peer: 2001:db8:face:0:1234:5678:abcd:ef2 (fitelnet5678.aoi.flets-east.jp) kyoten2@example.com <R> UP ESP AES(256bits) HMAC-SHA PFS:off Lifetime: 28800secs Anti-Replay: Enable O-SPI: 0x4001ddda Current: 12secs,0kbytes out packet : 0 error packet : 0 I-SPI: 0xa6f54a1d Current: 12secs,0kbytes in packet : 0 auth packet : 0 decrypt packet : 0 discard packet : 0 replay packet : 0 auth error packet : 0 |
| ※:拠点1と拠点2の間でPhase2 SAが確立されている事を確認してください。 | |
設定状態の確認2
拠点2のPhase1 SAの情報を確認します。
| 確認内容 | 画面表示例 |
|---|---|
|
Phase1 SAの情報を表示 ※ |
Router# show crypto isakmp sa ISAKMP SA current sa : 1 [ 1] 2001:db8:face:0:1234:5678:abcd:ef1 kyoten1@example.com (fitelnet1234.aoi.flets-east.jp) <--> 2001:db8:face:0:1234:5678:abcd:ef2 kyoten2@example.com <R> Aggressive Mode UP pre-shared key AES(256bits) SHA Lifetime : 86400secs Current : 369secs,2kbytes mcfg config-mode: off mcfg addr: off mcfg apl-version: IKE Keepalive: dpd ICMP Keepalive: off release on addr-change: off |
| ※:拠点1と拠点2の間でPhase1 SAが確立されている事を確認してください。 | |
拠点2のPhase2 SAの情報を確認します。
| 確認内容 | 画面表示例 |
|---|---|
|
Phase2 SAの情報を表示 ※ |
Router# show crypto ipsec sa IPSEC SA current insa : 1 current outsa : 1 [ 3] 0.0.0.0,0.0.0.0 ALL ALL <--> 0.0.0.0,0.0.0.0 ALL ALL peer: 2001:db8:face:0:1234:5678:abcd:ef1 (fitelnet1234.aoi.flets-east.jp) kyoten1@example.com <R> UP ESP AES(256bits) HMAC-SHA PFS:off Lifetime: 28800secs Anti-Replay: Enable O-SPI: 0xa6f54a1d Current: 12secs,0kbytes out packet : 0 error packet : 0 I-SPI: 0x4001ddda Current: 12secs,0kbytes in packet : 0 auth packet : 0 decrypt packet : 0 discard packet : 0 replay packet : 0 auth error packet : 0 |
| ※:拠点1と拠点2の間でPhase2 SAが確立されている事を確認してください。 | |
設定状態の確認3
拠点1のEWAN1インタフェースにてDNSアドレスを取得している事を確認します。
| 確認内容 | 画面表示例 |
|---|---|
|
DHCPv6クライアント機能の状況を表示 DNSアドレスを確認 |
Router# show ipv6 dhcp client status
Interface status EWAN1 Client identifier: **:**:**:**:**:**:**:**:**:** Server identifier: **:**:**:**:**:**:**:**:**:** Server Address: **:**:**:**:**:**:**:**:**:** Prefix Delegation DNS Servers 2001:db8:face::ab Last Update : 2012/07/11 18:16:36 |
拠点2のEWAN1インタフェースにてDNSアドレスを取得している事を確認します。
| 確認内容 | 画面表示例 |
|---|---|
|
DHCPv6クライアント機能の状況を表示 DNSアドレスを確認 |
Router# show ipv6 dhcp client status
Interface status EWAN1 Client identifier: **:**:**:**:**:**:**:**:**:** Server identifier: **:**:**:**:**:**:**:**:**:** Server Address: **:**:**:**:**:**:**:**:**:** Prefix Delegation DNS Servers 2001:db8:face::cd Last Update : 2012/07/11 18:12:56 |
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2012