古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
 
設定例
ニフティクラウドと L3VPN 接続する (IPsec VTI、IKEv1、拠点 IP 固定)
概要
鍵交換プロトコルにIKEv1を用いて、IPsec tunnel により、ニフティクラウドと拠点 (IP 固定、複数セグメント) との間を L3VPN 接続するための設定例です。
下記のアドレスは一例となりますので、VPNゲートウェイのグローバルアドレスおよび拠点ルータのグローバルアドレスは指定されたものに、クラウド側のプライベートネットワークおよび拠点LANのネットワークは設定したものに置き換えて下さい。
構成図
補足・注意点
ニフティクラウドでは拠点 LAN とプライベート LAN を IPsec により、VPN 接続することができます。
ニフティクラウド VPN ゲートウェイについては Web で提供されている技術資料をご覧ください。

ニフティクラウドの設定

ニフティクラウドの設定を行います。
以下、主要な設定画面について説明していきます。

1.プライベート LAN の作成

プライベート LAN を作成します。ニフティクラウドコントロールパネルより、”プライベート LAN作成” をクリックします。

設定画面#1


プライベート LAN CIDR など、各パラメータを入力し、”確認へ” をクリックします。

設定画面#2


設定内容を確認し、”作成する”をクリックします。

設定画面#3


各パラメータの詳細は Web で提供されている技術資料をご覧ください。

2.VPN ゲートウェイの作成

ニフティクラウドコントロールパネルより、”VPN ゲートウェイ作成” をクリックします。
環境にあったパラメータを入力し、”ファイアウォール設定へ” をクリックします。

設定画面#4


必要に応じてファイアウォールの設定を行い、”確認へ”をクリックします。

設定画面#5


設定内容を確認し、”作成する”をクリックします。

設定画面#6


各パラメータの詳細は Web で提供されている技術資料をご覧ください。

3.カスタマーゲートウェイの作成

ニフティクラウドコントロールパネルより、”カスタマーゲートウェイ作成” をクリックします。

設定画面#7


対向機器 IP アドレス、接続方式: VTI/IPsec、対向機器 LAN 側 IP アドレス帯など、各パラメータを入力し、”作成する” をクリックします。

設定画面#8


各パラメータの詳細は Web で提供されている技術資料をご覧ください。

4.VPN コネクションの作成

ニフティクラウドコントロールパネルより、VPN ゲートウェイをクリックし、”VPN コネクション作成” をクリックします。

設定画面#9


接続方式: VTI/IPsec、IKE バージョン: IKEv1 など、IPsec 関連のパラメータを入力し、”トンネル設定へ” をクリックします。

設定画面#10


”確認へ”をクリックします。

設定画面#11


設定内容を確認し、”作成する”をクリックします。

設定画面#12


各パラメータの詳細は Web で提供されている技術資料をご覧ください。

5.ルートテーブルの作成

ニフティクラウドコントロールパネルより、”ルートテーブル作成” をクリックします。

設定画面#13


拠点 LAN 宛のルートを追加し、”作成する” をクリックします。

設定画面#14


詳細は Web で提供されている技術資料をご覧ください。

6.ルートテーブルの設定

ニフティクラウドコントロールパネルより、VPN ゲートウェイをクリックし、”ルートテーブル設定変更” をクリックします。

設定画面#15


変更するルートテーブル ID に手順 5. で作成したルートテーブルを設定し、”変更する”をクリックします。

設定画面#16


下図のように拠点 LAN 宛のルートテーブルが登録されていることを確認します。

設定画面#17


詳細は Web で提供されている技術資料をご覧ください。



F シリーズのルータ設定例
〜IPsec Phase1 ポリシー〜
暗号化アルゴリズム: AES128
認証アルゴリズム: SHA-1
認証方式: Pre-Shared Key
事前共有鍵の形式: プレインテキスト
Pre-Shared Key: ニフティクラウドの VPN コネクション作成時に設定したものを利用します。
※本設定例では、”SECRET” として Pre-Shared Key を設定
Diffie-Hellman (DH): Group 2
Phase1 ライフタイム: 28,800 秒
VPN ピア IP アドレス: ニフティクラウド VPN ゲートウェイのグローバル IP を指定します。
DPD: DPD メッセージ送信間隔 15 秒、リトライ回数 5 回
〜IPsec Phase2 ポリシー〜
暗号化アルゴリズム: AES128
認証アルゴリズム: SHA-1
PFS: Group 2
Phase2 ライフタイム: 3,600 秒

ルータの設定
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
!
!
! 特権ユーザモードに移行します。
!
Router> enable
Enter password: super ←パスワードを入力します(実際は何も表示されません)。

Router#
!
!
! 基本設定モードに移行します。
!
Router# configure terminal
Router(config)#!
Router(config)#! VPN 設定
Router(config)#!
Router(config)# vpn enable 
Router(config)# vpnlog enable
Router(config)#!
Router(config)# ip route 172.16.1.0 255.255.255.0 connected ipsecif 1
Router(config)#!
Router(config)# ipsec access-list 1 ipsec ip any any
Router(config)# ipsec access-list 64 bypass ip any any
Router(config)#!
Router(config)# ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac
Router(config)#!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption aes 128
Router(config-isakmp)# group 2
Router(config-isakmp)# hash sha
Router(config-isakmp)# keepalive always-send
Router(config-isakmp)# key ascii SECRET
Router(config-isakmp)# lifetime 28800
Router(config-isakmp)# negotiation-mode main
Router(config-isakmp)# peer-identity address 198.51.100.1
Router(config-isakmp)# exit
Router(config)#!
Router(config)# crypto security-association
Router(config-crypto-sa)# ikealive freq 15
Router(config-crypto-sa)# ikealive retry max 5
Router(config-crypto-sa)# ikealive retry timer 15
Router(config-crypto-sa)# exit
Router(config)#!
Router(config)# crypto map CENTER 1
Router(config-crypto-map)# match address 1
Router(config-crypto-map)# set peer address 198.51.100.1
Router(config-crypto-map)# set pfs group2
Router(config-crypto-map)# set security-association lifetime seconds 3600
Router(config-crypto-map)# set transform-set P2-POLICY
Router(config-crypto-map)# exit
Router(config)#!
Router(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Router(config)# access-list 100 permit ip 10.0.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Router(config)# access-list 100 deny ip any any
Router(config)#!
Router(config)# interface ipsecif 1
Router(config-if ipsecif 1)# crypto map CENTER
Router(config-if ipsecif 1)# ip access-group 100 out
Router(config-if ipsecif 1)# ip mtu 1500
Router(config-if ipsecif 1)# exit
Router(config)# mss vlanif 1 1300
Router(config)# mss vlanif 2 1300
Router(config)# mss ipsecif 1 1300
Router(config)#!
Router(config)#! 経路設定
Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1
Router(config)#!
Router(config)#! NAT 対象設定
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 permit 10.0.1.0 0.0.0.255
Router(config)#!
Router(config)#! フィルタ対象設定
Router(config)# access-list 150 permit esp host 203.0.113.1 host 198.51.100.1
Router(config)# access-list 160 permit esp host 198.51.100.1 host 203.0.113.1
Router(config)# access-list 190 dynamic permit ip any any
Router(config)# access-list 199 deny ip any any
Router(config)#!
Router(config)#! WAN インターフェース設定
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# ip address 203.0.113.1
Router(config-if pppoe 1)# pppoe server PPPOE_SVR
Router(config-if pppoe 1)# pppoe account xxxxxxxx@xxx.xxx.ne.jp xxxxxxxx
Router(config-if pppoe 1)# pppoe type lan
Router(config-if pppoe 1)#! NAT 設定
Router(config-if pppoe 1)# ip nat inside source list 1 interface
Router(config-if pppoe 1)#! フィルタ設定
Router(config-if pppoe 1)# ip access-group 150 out
Router(config-if pppoe 1)# ip access-group 160 in
Router(config-if pppoe 1)# ip access-group 190 out
Router(config-if pppoe 1)# ip access-group 199 in
Router(config-if pppoe 1)# exit
Router(config)#!
Router(config)#! LAN インターフェース設定
Router(config)# line lan
Router(config-line lan)# vlan 1 bridge-group 11
Router(config-line lan)# vlan 1 port-vlan 11
Router(config-line lan)# vlan 2 bridge-group 12
Router(config-line lan)# vlan 2 port-vlan 12
Router(config-line lan)# exit
Router(config)#!
Router(config)# interface vlanif 1
Router(config-if vlanif 1)# ip address 192.168.1.254 255.255.255.0
Router(config-if vlanif 1)# bridge-group lan 11
Router(config-if vlanif 1)# vlan-id 11
Router(config-if vlanif 1)# exit
Router(config)#!
Router(config)# interface vlanif 2
Router(config-if vlanif 2)# ip address 10.0.1.254 255.255.255.0
Router(config-if vlanif 2)# bridge-group lan 12
Router(config-if vlanif 2)# vlan-id 12
Router(config-if vlanif 2)# exit
Router(config)#!
Router(config)#! proxydns 設定	
Router(config)# proxydns mode v4
Router(config)#!
Router(config)#! DHCP サーバ設定
Router(config)# service dhcp-server
Router(config)# ip dhcp pool vlanif 1
Router(config-dhcp-pool)# dns-server 0.0.0.0
Router(config-dhcp-pool)# default-router 0.0.0.0
Router(config-dhcp-pool)# allocate-address 192.168.1.1 100
Router(config-dhcp-pool)# lease 0 8
Router(config-dhcp-pool)# exit
Router(config)#!
Router(config)# ip dhcp pool vlanif 2
Router(config-dhcp-pool)# dns-server 0.0.0.0
Router(config-dhcp-pool)# default-router 0.0.0.0
Router(config-dhcp-pool)# allocate-address 10.0.1.1 100
Router(config-dhcp-pool)# lease 0 8
Router(config-dhcp-pool)# exit
Router(config)#!
Router(config)#! 特権ユーザモードに戻ります。
Router(config)#!
Router(config)# end
Router#
!
!
! 設定を保存します。
!
Router# save SIDE-A.cfg
% saving working-config
% finished saving

Router#
!
!
! 設定を有効にするために再起動します。
!
Router# reset
Are you OK to cold start?(y/n) y
ニフティクラウドへの VPN 接続確立確認
拠点ルータからニフティクラウドのプライベート LAN に作成したサーバーへ PING による疎通確認ができます。
Router#ping 172.16.1.1 source-interface vlanif 1
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms

Router#
Router#ping 172.16.1.1 source-interface vlanif 2
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms

Router#

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2017