| ネットワーク機器トップ > 製品ラインナップ > FITELnet-Fシリーズ > FITELnet-F100・1000 > 設定例 > FITELnet-F100対向でIPsec通信をする(2) |
| 2.センタ(IP固定),拠点(IP不定) |
| ※F100をF1000に置き換えても運用できます |
| センタ側 | 200.200.200.1 |
| 拠点側 | 指定なし |
<設定条件>
設定環境は図のとおり
| IPsecの対象とする中継パケット | 192.168.1.0/24 ⇔ 192.168.2.0/24 |
| IPsec Phase1ポリシー | モード ・・・ Aggressiveモード 認証方式 ・・・ 事前共有鍵方式 暗号化方式 ・・・ DES ハッシュ方式 ・・・ MD5 Diffie-Hellman ・・・ Group1 IKE SAライフタイム ・・・ 1000秒 |
| IPsec Phase2ポリシー | PFS ・・・ Group2 暗号化方式 ・・・ DES ハッシュ方式 ・・・ MD5 IPsec SAライフタイム ・・・ 600秒 IPsec SA確立契機 ・・・ 常にSAを確立する(拠点側のみ設定) |
<WEB設定の例>
| 設定画面 | 設定項目 | 設定値 | 備考 | ||
|---|---|---|---|---|---|
| センタ | 拠点 | ||||
| インタフェース設定 | LAN側設定 | LAN側IPアドレス | 192.168.1.254 | 192.168.2.254 | |
| サブネットマスク | 255.255.255.0 | 255.255.255.0 | |||
| DHCPサーバ機能 | 使用しない | 使用しない | |||
| 【送信】 | 【送信】 | 送信ボタンを押します | |||
| EWAN PPPoE接続 |
PPPoE1 名称 |
B-FLETS | FLETS-ADSL | わかりやすい名称 | |
| ユーザID | abc012@***.***.ne.jp | abc345@***.***.ne.jp | IDは一例です | ||
| パスワード | xxxyyyzzz | zzzyyyxxx | パスワードは一例です | ||
| 接続タイプ | 端末型 | 端末型 | |||
| IPアドレス | 200.200.200.1 | (設定不要) | |||
| NAT動作モード | NAT+ | NAT+ | |||
| 【送信】 | 【送信】 | 送信ボタンを押します | |||
| ルーティングプロトコルの設定 | スタティックルーティング | 通信先指定 | 0.0.0.0/0 | 0.0.0.0/0 | |
| 中継先指定 インタフェース指定 |
PPPOE1 | PPPOE1 | |||
| 【送信】 | 【送信】 | 送信ボタンを押します | |||
| NAT機能 | PPPoE1 NAT+の登録 |
LAN上の端末指定 | 192.168.1.0/24 | 192.168.2.0/24 | NAT変換前のアドレス |
| 【送信】 | 【送信】 | 送信ボタンを押します | |||
| VPNの設定 | VPN動作モード | ON | ON | ||
| 【送信】 | 【送信】 | 送信ボタンを押します | |||
| VPNの設定 | VPN対象パケットの登録 | 優先度 | 1 | 1 | |
| 宛先指定 | IPアドレス指定 192.168.2.0/24 |
IPアドレス指定 192.168.1.0/24 | |||
| 送信元指定 | IPアドレス指定 192.168.1.0/24 |
IPアドレス指定 192.168.2.0/24 | |||
| プロトコル | IP | IP | |||
| IPsec処理タイプ | IPsec処理して中継 | IPsec処理して中継 | |||
| 【送信】 | 【送信】 | 送信ボタンを押します | |||
| 優先度 | 64 | 64 | |||
| 宛先指定 | すべて | すべて | |||
| 送信元指定 | すべて | すべて | |||
| プロトコル | IP | IP | |||
| IPsec処理タイプ | IPsec処理しないで中継 | IPsec処理しないで中継 | |||
| 【送信】 | 【送信】 | 送信ボタンを押します | |||
| 暗号化ポリシーの登録 | 名前 | P2-DES-MD5 | P2-DES-MD5 | ||
| 暗号アルゴリズム | DES | DES | |||
| 認証アルゴリズム | HMAC-MD5 | HMAC-MD5 | |||
| 【送信】 | 【送信】 | 送信ボタンを押します | |||
| IKEポリシーの登録 | ID | 1 | 1 | ||
| IKEポリシー認証アルゴリズム | Pre-shared Key(拡張認証なし) | Pre-shared Key(拡張認証なし) | |||
| DHグループ | group1 | group1 | |||
| 暗号化アルゴリズム | des | des | |||
| ハッシュアルゴリズム | md5 | md5 | |||
| FQDNタイプ | UserFQDN | UserFQDN | |||
| 鍵データ | アスキー SECRET-VPN |
アスキー SECRET-VPN | |||
| IKE SAライフタイム | 1000秒 | 1000秒 | |||
| IKE SAネゴシエーションモード | Aggressive | Aggressive | |||
| 自身の名前 | (設定不要) | kyoten | |||
| VPNピアの名前 | kyoten | (設定不要) | |||
| VPNピアのIPアドレス | (設定不要) | 200.200.200.1 | |||
| 【送信】 | 【送信】 | 送信ボタンを押します | |||
| MAPの登録 | MAP名 | KYOTEN | CENTER | ||
| VPN対象パケット優先度 | 1 | 1 | |||
| VPNピアのIPアドレス | (設定不要) | 200.200.200.1 | |||
| VPNピアのホスト名 | kyoten | (設定不要) | |||
| 暗号化ポリシー | P2-DES-MD5 | P2-DES-MD5 | |||
| PFS | group2 | group2 | |||
| IPsec SAの生存時間 | 600秒 | 600秒 | |||
| IPsec SA確立契機 | (設定不要) | 常にSAを確立する | |||
| 【送信】 | 【送信】 | 送信ボタンを押します | |||
| インタフェースのMAP登録 PPPoE1のMAP登録 |
MAP名 | KYOTEN | CENTER | ||
| 【送信】 | 【送信】 | 送信ボタンを押します | |||
| 装置の再起動 | 装置を再起動する | 【送信】 | 【送信】 | ※ | |
! ! ! LAN側IPアドレスを設定します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# Router# configure terminal Router(config)# Router(config)# interface lan 1 Router(config-if lan 1)# Router(config-if lan 1)# ip address 192.168.1.254 255.255.255.0 Router(config-if lan 1)# exit ! ! ! PPPoE1インタフェース設定モードに移行します。 ! Router(config)# interface pppoe 1 Router(config-if pppoe 1)# ! ! ! PPPoEの各種設定をします。 ! Router(config-if pppoe 1)# pppoe server B-FLETS ! サーバ名称は任意 Router(config-if pppoe 1)# pppoe account abc012@***.***.ne.jp xxxyyyzzz ! アカウントID パスワード Router(config-if pppoe 1)# pppoe type host ※1 Router(config-if pppoe 1)# ip address 200.200.200.1 ※2 ! ! ! NAT+の設定をします。 ! Router(config-if pppoe 1)# ip nat inside source list 1 interface ! インタフェース(PPPoE)のIPアドレスでNAT+ ! 変換 Router(config-if pppoe 1)# exit ! ! ! access-list に、変換前アドレス(LAN側アドレス)を登録します。 ! Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 ! ! ! デフォルトルートをPPPoE1に設定します。 ! Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! ! VPN動作モードを指定します。 ! Router(config)# vpn enable ! ! ! Phase1ポリシーの設定を行ないます。 ! Router(config)# crypto isakmp policy 1 Router(config-isakmp)# negotiation-mode aggressive ! アグレッシブモード Router(config-isakmp)# authentication prekey ! 認証方式に事前共有鍵を使用 Router(config-isakmp)# encryption des ! 暗号方式の指定 Router(config-isakmp)# hash md5 ! ハッシュ方式の指定 Router(config-isakmp)# group 1 ! Diffie Hellmanのグループの指定 Router(config-isakmp)# lifetime 1000 ! IKE SAのライフタイムの指定(秒) Router(config-isakmp)# key ascii SECRET-VPN ! 対向の拠点側F100と共通のキー(文字列)を設定 Router(config-isakmp)# peer-identity host kyoten ! 対向の拠点側F100が通知してくる名称(この例ではuserfqdn名) Router(config-isakmp)# idtype-pre userfqdn ! 名称のフォーマットタイプ Router(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! Router(config)# ipsec transform-set P2-DES-MD5 esp-des esp-md5-hmac ! 名称は任意 暗号方式 ハッシュ方式 ! ! VPNセレクタの設定を行ないます。 ! Router(config)# ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ! 暗号化 送信元IPアドレス 送信先IPアドレス Router(config)# ipsec access-list 64 bypass ip any any ! 暗号化せず通過 Router(config)# crypto map KYOTEN 1 ! マップ名は任意 Router(config-crypto-map)# match address 1 ! IPsecアクセスリスト番号 Router(config-crypto-map)# set peer host kyoten ! 対向の拠点側F100が通知してくる名称(この例ではuserfqdn名) Router(config-crypto-map)# set transform-set P2-DES-MD5 ! Phase2ポリシーとの関連付け Router(config-crypto-map)# set pfs group2 ! Diffie Hellmanのグループの指定 Router(config-crypto-map)# set security-association lifetime seconds 600 ! IPsec SAのライフタイムの指定(秒) Router(config-crypto-map)# exit Router(config)# interface pppoe 1 Router(config-if pppoe 1)# crypto map KYOTEN ! マップ(VPNセレクタ)との関連付け Router(config-if pppoe 1)# exit Router(config)# end Router# save SIDE-A.cfg % saving working-config % finished saving |
※1:OCN ADSLアクセス IP8/IP16「フレッツ」プランのような複数のアドレスを割り当てられる
契約の場合は、"pppoe type lan"と設定します。
※2:OCN ADSLアクセス IP8/IP16「フレッツ」プランのような複数のアドレスを割り当てられる
契約の場合は、指定されたIPアドレスに+1したアドレスを設定します。
例えば、200.200.200.48/29 を割り当てられた場合は、200.200.200.49を設定します。
! ! ! LAN側IPアドレスを設定します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# Router# configure terminal Router(config)# Router(config)# interface lan 1 Router(config-if lan 1)# Router(config-if lan 1)# ip address 192.168.2.254 255.255.255.0 Router(config-if lan 1)# exit ! ! ! PPPoE1インタフェース設定モードに移行します。 ! Router(config)# interface pppoe 1 Router(config-if pppoe 1)# ! ! ! PPPoEの各種設定をします。 ! Router(config-if pppoe 1)# pppoe server FLETS-ADSL Router(config-if pppoe 1)# pppoe account abc345@***.***.ne.jp zzzyyyxxx Router(config-if pppoe 1)# pppoe type host ! ! ! NAT+の設定をします。 ! Router(config-if pppoe 1)# ip nat inside source list 1 interface Router(config-if pppoe 1)# exit ! ! ! access-list に、変換前アドレス(LAN側アドレス)を登録します。 ! Router(config)# access-list 1 permit 192.168.2.0 0.0.0.255 ! ! ! デフォルトルートをPPPoE1に設定します。 ! Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! ! VPN動作モードを指定します。 ! Router(config)# vpn enable ! ! ! Phase1ポリシーの設定を行ないます。 ! Router(config)# crypto isakmp policy 1 Router(config-isakmp)# negotiation-mode aggressive Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption des Router(config-isakmp)# hash md5 Router(config-isakmp)# group 1 Router(config-isakmp)# lifetime 1000 Router(config-isakmp)# key ascii SECRET-VPN Router(config-isakmp)# my-identity kyoten ! 自分の名称の設定(この例ではuserfqdn名) Router(config-isakmp)# peer-identity address 200.200.200.1 Router(config-isakmp)# idtype-pre userfqdn ! 名称のフォーマットタイプ Router(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! Router(config)# ipsec transform-set P2-DES-MD5 esp-des esp-md5-hmac ! ! ! VPNセレクタの設定を行ないます。 ! Router(config)# ipsec access-list 1 ipsec ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 Router(config)# ipsec access-list 64 bypass ip any any Router(config)# crypto map CENTER 1 Router(config-crypto-map)# match address 1 Router(config-crypto-map)# set peer address 200.200.200.1 Router(config-crypto-map)# set transform-set P2-DES-MD5 Router(config-crypto-map)# set pfs group2 Router(config-crypto-map)# set security-association lifetime seconds 600 Router(config-crypto-map)# set security-association always-up ! 常にSAを確立 Router(config-crypto-map)# exit Router(config)# interface pppoe 1 Router(config-if pppoe 1)# crypto map CENTER Router(config-if pppoe 1)# exit Router(config)# end Router# save SIDE-A.cfg % saving working-config % finished saving |
