ネットワーク機器トップ > 製品ラインナップ > FITELnet-Fシリーズ > FITELnet-F100・1000 > 設定例 > F100対向でIPsecインターフェースを利用する |
1.F100対向でIPsecインターフェースを利用する |
|
この設定を適用したい方は |
Router> enable Enter password: super ←パスワードを入力します(実際は何も表示されません)。 ! Router# Router# configure terminal Router(config)# ! ! ! LAN1インタフェースの設定を行います。 ! Router(config)# interface lan 1 Router(config-if lan 1)# ip address 192.168.2.254 255.255.255.0 Router(config-if lan 1)# exit ! ! ! PPPoE1の各種設定をします。 ! Router(config)# interface pppoe 1 Router(config-if pppoe 1)# pppoe server FLETS Router(config-if pppoe 1)# pppoe account abc345@***.***.ne.jp pass345 Router(config-if pppoe 1)# pppoe type host Router(config-if pppoe 1)# ip nat inside source list 1 interface Router(config-if pppoe 1)# exit ! ! ! access-list に、NAT変換対象とするアドレス(LAN側アドレス)を登録します。 ! Router(config)# access-list 1 permit 192.168.2.0 0.0.0.255 ! ! ! IPsec機能を利用します。 ! Router(config)# vpn enable ! ! ! Phase1ポリシーの設定を行ないます。 ! Router(config)# crypto isakmp policy 1 Router(config-isakmp)# negotiation-mode aggressive Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption 3des Router(config-isakmp)# hash md5 Router(config-isakmp)# key ascii secret-vpn Router(config-isakmp)# my-identity id-kyoten1 Router(config-isakmp)# peer-identity address 200.200.200.200 Router(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! Router(config)# ipsec transform-set P2-3des-md5 esp-3des esp-md5-hmac ! ! ! VPNセレクタの設定を行ないます。 ! Router(config)# ipsec access-list 1 ipsec ip any any Router(config)# ipsec access-list 2 discard ip any 192.168.1.0 0.0.0.255 Router(config)# ipsec access-list 3 discard ip any 172.16.1.0 0.0.0.255 ! IPsecインターフェースがダウンしたときに、センター宛の通信が平文でそのまま出て行かない ! ようにします(注1)。 Router(config)# ipsec access-list 64 bypass ip any any ! Router(config)# crypto map center 1 Router(config-crypto-map)# match address 1 Router(config-crypto-map)# set peer address 200.200.200.200 Router(config-crypto-map)# set security-association always-up ! この設定がある場合に限り、SAの有無に応じてIPsecインターフェースがアップ、 ! ダウンします。 Router(config-crypto-map)# set transform-set P2-3des-md5 Router(config-crypto-map)# exit ! ! ! IPsec1インタフェースの設定を行います。 ! Router(config)# interface ipsecif 1 Router(config-if ipsecif 1)# crypto map center ! IPsecインターフェースと、crypto mapの結び付けを行います。 ! これでIPsecインターフェースが利用可能となります。 Router(config-if ipsecif 1)# exit ! ! ! ルート情報の設定によって、どの通信をIPsec対象とするか指定します。 ! Router(config)# ip route 192.168.1.0 255.255.255.0 connected ipsecif 1 Router(config)# ip route 172.16.1.0 255.255.255.0 connected ipsecif 1 ! センター宛通信のNexthopとして、IPsecインターフェースを指定することで、暗号化通信の ! 対象とすることができます。 Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! ! 設定を保存します。 ! Router(config)# end Router# save SIDE-A.cfg % saving working-config % finished saving Router# ! ! ! 設定を有効にするために再起動します。 ! Router# reset Are you OK to cold start?(y/n) y |
注1:V01.17(00)以降のファームウェアでは、ipsec access-listでdiscardを設定する替わりに、nullインターフェースを利用して、 ip route 192.168.1.0 255.255.255.0 connected null 0 150 ip route 172.16.1.0 255.255.255.0 connected null 0 150 とすることで、ルートの設定により廃棄することができるようになりました(最後の150はdistance値で、ipsecifに向けたルートより優先度が低くなりますので、ipsecifがダウンしたときに、こちらのルートが有効になって廃棄されます)。 |
この設定を適用したい方は |
Router> enable Enter password: super ←パスワードを入力します(実際は何も表示されません)。 ! Router# Router# configure terminal Router(config)# ! ! ! LAN1インタフェースの設定を行います。 ! Router(config)# interface lan 1 Router(config-if lan 1)# ip address 192.168.3.254 255.255.255.0 Router(config-if lan 1)# exit ! ! ! PPPoE1の各種設定をします。 ! Router(config)# interface pppoe 1 Router(config-if pppoe 1)# pppoe server FLETS Router(config-if pppoe 1)# pppoe account abc678@***.***.ne.jp pass678 Router(config-if pppoe 1)# pppoe type host Router(config-if pppoe 1)# ip nat inside source list 1 interface Router(config-if pppoe 1)# exit ! ! ! access-list に、NAT変換対象とするアドレス(LAN側アドレス)を登録します。 ! Router(config)# access-list 1 permit 192.168.3.0 0.0.0.255 ! ! ! IPsec機能を利用します。 ! Router(config)# vpn enable ! ! ! Phase1ポリシーの設定を行ないます。 ! Router(config)# crypto isakmp policy 1 Router(config-isakmp)# negotiation-mode aggressive Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption 3des Router(config-isakmp)# hash md5 Router(config-isakmp)# key ascii secret-vpn Router(config-isakmp)# my-identity id-kyoten2 Router(config-isakmp)# peer-identity address 200.200.200.200 Router(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! Router(config)# ipsec transform-set P2-3des-md5 esp-3des esp-md5-hmac ! ! ! VPNセレクタの設定を行ないます。 ! Router(config)# ipsec access-list 1 ipsec ip any any Router(config)# ipsec access-list 2 discard ip any 192.168.1.0 0.0.0.255 Router(config)# ipsec access-list 3 discard ip any 172.16.1.0 0.0.0.255 Router(config)# ipsec access-list 64 bypass ip any any ! Router(config)# crypto map center 1 Router(config-crypto-map)# match address 1 Router(config-crypto-map)# set peer address 200.200.200.200 Router(config-crypto-map)# set security-association always-up Router(config-crypto-map)# set transform-set P2-3des-md5 Router(config-crypto-map)# exit ! ! ! IPsec1インタフェースの設定を行います。 ! Router(config)# interface ipsecif 1 Router(config-if ipsecif 1)# crypto map center Router(config-if ipsecif 1)# exit ! ! ! ルート情報の設定によって、どの通信をIPsec対象とするか指定します。 ! Router(config)# ip route 192.168.1.0 255.255.255.0 connected ipsecif 1 Router(config)# ip route 172.16.1.0 255.255.255.0 connected ipsecif 1 Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! ! 設定を保存します。 ! Router(config)# end Router# save SIDE-A.cfg % saving working-config % finished saving Router# ! ! ! 設定を有効にするために再起動します。 ! Router# reset Are you OK to cold start?(y/n) y |
この設定を適用したい方は |
Router> enable Enter password: super ←パスワードを入力します(実際は何も表示されません)。 ! Router# Router# configure terminal Router(config)# ! ! ! LAN1インタフェースの設定を行います。 ! Router(config)# interface lan 1 Router(config-if lan 1)# ip address 192.168.1.254 255.255.255.0 Router(config-if lan 1)# exit ! ! ! PPPoE1の各種設定をします。 ! Router(config)# interface pppoe 1 Router(config-if pppoe 1)# pppoe server FLETS Router(config-if pppoe 1)# pppoe account abc012@***.***.ne.jp pass012 Router(config-if pppoe 1)# pppoe type host Router(config-if pppoe 1)# ip address 200.200.200.200 Router(config-if pppoe 1)# ip nat inside source list 1 interface Router(config-if pppoe 1)# exit ! ! ! access-list に、NAT変換対象とするアドレス(LAN側アドレス)を登録します。 ! Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 ! ! ! IPsec機能を利用します。 ! Router(config)# vpn enable ! ! ! 拠点1用のPhase1ポリシーの設定を行ないます。 ! Router(config)# crypto isakmp policy 1 Router(config-isakmp)# negotiation-mode aggressive Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption 3des Router(config-isakmp)# hash md5 Router(config-isakmp)# key ascii secret-vpn Router(config-isakmp)# peer-identity host id-kyoten1 Router(config-isakmp)# exit ! ! ! 拠点2用のPhase1ポリシーの設定を行ないます。 ! Router(config)# crypto isakmp policy 2 Router(config-isakmp)# negotiation-mode aggressive Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption 3des Router(config-isakmp)# hash md5 Router(config-isakmp)# key ascii secret-vpn Router(config-isakmp)# peer-identity host id-kyoten2 Router(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! Router(config)# ipsec transform-set P2-3des-md5 esp-3des esp-md5-hmac ! ! ! ipsec access-listの設定を行ないます。 ! Router(config)# ipsec access-list 1 ipsec ip any any Router(config)# ipsec access-list 2 ipsec ip any any ! センター側ではcrypto mapにset security-association always-upの設定がないので、 ! IPsecインターフェースは常にアップした状態になります。従って、discardの設定は不要です。 Router(config)# ipsec access-list 64 bypass ip any any ! ! ! 拠点1用のcrypto mapの設定を行ないます。 ! Router(config)# crypto map kyoten1 1 Router(config-crypto-map)# match address 1 Router(config-crypto-map)# set peer host id-kyoten1 Router(config-crypto-map)# set transform-set P2-3des-md5 Router(config-crypto-map)# exit ! ! ! 拠点2用のcrypto mapの設定を行ないます。 ! Router(config)# crypto map kyoten2 2 Router(config-crypto-map)# match address 2 Router(config-crypto-map)# set peer host id-kyoten2 Router(config-crypto-map)# set transform-set P2-3des-md5 Router(config-crypto-map)# exit ! ! ! IPsec1インタフェースの設定を行います(拠点1用)。 ! Router(config)# interface ipsecif 1 Router(config-if ipsecif 1)# crypto map kyoten1 Router(config-if ipsecif 1)# exit ! ! ! IPsec2インタフェースの設定を行います(拠点2用)。 ! Router(config)# interface ipsecif 2 Router(config-if ipsecif 2)# crypto map kyoten2 Router(config-if ipsecif 2)# exit ! ! ! ルート情報の設定によって、どの通信をIPsec対象とするか指定します。 ! Router(config)# ip route 192.168.2.0 255.255.255.0 connected ipsecif 1 Router(config)# ip route 192.168.3.0 255.255.255.0 connected ipsecif 2 Router(config)# ip route 172.16.1.0 255.255.255.0 192.168.1.1 Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! ! 設定を保存します。 ! Router(config)# end Router# save SIDE-A.cfg % saving working-config % finished saving Router# ! ! ! 設定を有効にするために再起動します。 ! Router# reset Are you OK to cold start?(y/n) y |