FITELnet-F140/設定例/ダイナミックDNS機能を使用したIPsec通信を行う

設定例　>　ダイナミックDNS機能を使用したIPsec通信を行う

23．ダイナミックDNS機能を使用して、アドレス不定の拠点間でIPsec通信を行う

＜センター側設定データの例＞

のデータはIPsec

設定内容	設定モード	設定コマンド名	設定項目	入力値	備考
LAN側IPアドレス	LANインタフェース設定モード	ip address	LAN側IPアドレスサブネットマスク	192.168.100.254 255.255.255.0	設定例1を参照
PPPoEインタフェース	PPPoEインタフェース設定モード	pppoe server	接続相手名称	A-Provider
		pppoe account	ユーザID パスワード	user@xxxx.ne.jp secret
		ip address	WAN側IPアドレス	200.200.200.1
ダイナミックDNSを使用する	基本設定モード	ddns-server enable	ダイナミックDNS機能を行う	enable
	PPPoEインタフェース設定モード	ip igmp proxy	PPPoEインタフェースでマルチキャストルーティングを行う	ip igmp proxy
	PPPoEインタフェース設定モード	ip igmp proxy-group	アクセスリスト番号10をグループアドレスとし、LANインタフェースを上流インタフェースに指定する	10 upstream lan 1
	PPPoEインタフェース設定モード	ip igmp source-interface	LAN １にIGMPパケットソースアドレスを設定する	lan 1
VPN動作モード	基本設定モード	vpn enable	VPNを使用するかどうか	enable
Phase1ポリシーの設定	基本設定モード	crypto isakmp policy	IKEポリシー設定モードに移行する	ポリシー番号：1
	IKEポリシー設定モード	encryption	暗号化アルゴリズム	aes 256
	IKEポリシー設定モード	hash	ハッシュアルゴリズム	sha
	IKEポリシー設定モード	key	鍵データ	secret-vpn（文字列）
	IKEポリシー設定モード	peer-identity address	VPNピアのIPアドレス	200.200.200.1
Phase2ポリシーの設定	基本設定モード	ipsec transform-set	Phase2のポリシー	aes 256/hmac （Phase2ポリシー名：P2-aes256）
VPNセレクタの設定	基本設定モード	ipsec access-list	VPNセレクタの登録	192.168.200.0 0.0.0.255
	基本設定モード	crypto map	VPNセレクタ設定モードに以降する	セレクタ名称：map1
	VPNセレクタ設定モード	match address	適用するVPNアクセスリスト	10
	VPNセレクタ設定モード	set peer address	VPNピアのIPアドレス	200.200.200.1
	IPsecIFインタフェース設定モード	crypto map	適用インタフェース	map1

＜コマンドによる設定＞（!の行はコメントです。実際に入力する必要はありません。）

この設定を適用したい方は

!
!
! LAN側IPアドレスを設定します。
!
Router> enable
Enter password: super ←パスワードを入力します。（実際は表示されない）

Router#
Router# configure terminal
Router(config)#
Router(config)# interface lan 1
Router(config-if lan 1)#
Router(config-if lan 1)# ip address 192.168.100.254 255.255.255.0
Router(config-if lan 1)# exit
!
!
! PPPoE1インタフェース設定の設定をします。
!
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# pppoe server A-Provider
Router(config-if pppoe 1)# pppoe account user@xxxx.ne.jp secret
Router(config-if pppoe 1)# ip address 200.200.200.1
Router(config-if pppoe 1)# exit
!
!
! 拠点ネットワーク向けのルートを設定します。
!
Router(config)# ip route 192.168.1.0 255.255.255.0 connected ipsecif 1
Router(config)# ip route 192.168.2.0 255.255.255.0 connected ipsecif 2
!
!
! ダイナミック DNS サーバの設定をします。
!

      Router(config)# ddns-server enable

      Router(config)# ddns-server accept-fqdn type v4 nagoya.branch.jp
      password ngy lifetime 86400 

      Router(config)# ddns-server accept-fqdn type v4 oosaka.branch.jp
      password osk lifetime 86400 

      Router(config)# ddns-server logging address-changes
!

      !

      ! VPN動作モードを指定します。

      !

      Router(config)# vpn enable

      Router(config)# vpnlog enable

      !

      !
! 拠点1用のPhase1ポリシーの設定を行ないます。

      !

      Router(config)# crypto isakmp policy 1

      Router(config-isakmp)# authentication prekey

      Router(config-isakmp)# encryption aes 128

      Router(config-isakmp)# group 2

      Router(config-isakmp)# hash sha

      Router(config-isakmp)# keepalive always-send

      Router(config-isakmp)# key ascii secret-vpn

      Router(config-isakmp)# negotiation-mode aggressive

      Router(config-isakmp)# peer-identity host kyoten@nagoya

      Router(config-isakmp)# tunnel-route interface pppoe 1

      Router(config-isakmp)# exit
!
!
! 拠点2用のPhase1ポリシーの設定を行ないます。
!

      Router(config)# crypto isakmp policy 1

      Router(config-isakmp)# authentication prekey

      Router(config-isakmp)# encryption aes 128

      Router(config-isakmp)# group 2

      Router(config-isakmp)# hash sha

      Router(config-isakmp)# keepalive always-send

      Router(config-isakmp)# key ascii secret-vpn

      Router(config-isakmp)# negotiation-mode aggressive

      Router(config-isakmp)# peer-identity host kyoten@oosaka

      Router(config-isakmp)# tunnel-route interface pppoe 1

      Router(config-isakmp)# exit

      !

      !

      ! Phase2ポリシーの設定を行ないます。

      !

      Router(config)# ipsec transform-set P2-a128-sha esp-aes-128
      esp-sha-hmac

      !

      !
! 拠点1用のVPNセレクタの設定を行ないます。

      !

      Router(config)# ipsec access-list 10 ipsec ip any any

      !

      Router(config)# crypto map nagoya 1

      Router(config-crypto-map)# match address 10

      Router(config-crypto-map)# set peer host kyoten@nagoya

      Router(config-crypto-map)# set transform-set P2-a128-sha

      Router(config-crypto-map)# exit
!
!
! 拠点2用のVPNセレクタの設定を行ないます。
!

      Router(config)# ipsec access-list 11 ipsec ip any any

      !

      Router(config)# crypto map oosaka 2

      Router(config-crypto-map)# match address 11

      Router(config-crypto-map)# set peer host kyoten@oosaka

      Router(config-crypto-map)# set transform-set P2-a128-sha

      Router(config-crypto-map)# exit

      !

      !
! 拠点1用のIPsecインターフェースの設定をします。

      !

      Router(config)# interface ipsecif 1

      Router(config-if ipsecif 1)# crypto map nagoya

      Router(config-if ipsecif 1)# exit

      !

      !
! 拠点2用のIPsecインターフェースの設定をします。

      !

      Router(config)# interface ipsecif 2

      Router(config-if ipsecif 2)# crypto map oosaka

      Router(config-if ipsecif 2)# exit
!
!
! ProxyDNS 機能の設定をします。
!
Router(config)# proxydns mode v4
!

      Router(config)# end

      Router# save SIDE-A.cfg

      % saving working-config

      % finished saving

この設定を適用したい方は

!
!
! LAN側IPアドレスを設定します。
!
Router> enable
Enter password: super ←パスワードを入力します。（実際は表示されない）

Router#
Router# configure terminal
Router(config)#
Router(config)# interface lan 1
Router(config-if lan 1)#
Router(config-if lan 1)# ip address 192.168.1.254 255.255.255.0
Router(config-if lan 1)# exit
!
!
! PPPoE1インタフェース設定の設定をします。
!
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# pppoe server A-Provider
Router(config-if pppoe 1)# pppoe account user@xxxx.ne.jp secret
Router(config-if pppoe 1)# exit
!
!
! センターのピアに対するルートを設定します。

      !

      Router(config)# ip route 200.200.200.1 255.255.255.255 pppoe
      1

      !

      !

      ! デフォルトルートを設定します。拠点 2 のピアに対するルートとなります。

      !

      Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1

      !

      !

      ! センターと拠点 2 のネットワーク向けのルートを設定します。

      !

      Router(config)# ip route 192.168.100.0 255.255.255.0 connected
      ipsecif 1 

      Router(config)# ip route 192.168.2.0 255.255.255.0 connected
      ipsecif 2
!
!
! ダイナミック DNS クライアントの設定をします。
!
Router(config)# http-client 1
Router(config-http-client 1)# method 1 get url http://192.168.100.254/cgi-bin/ddns-v4.cgi dn nagoya.branch.jp i4 $i4 pw ngy
Router(config-http-client 1)# reference-interface pppoe 1
Router(config-http-client 1)# request-timeout 10 retry 5
Router(config-http-client 1)# source-interface lan 1
Router(config-http-client 1)# logging error
Router(config-http-client 1)# exit
!
!
! ダイナミック DNS サーバに登録に行くタイミングを指定します。
!
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# ddns-client address ip action http-client 1 delay 30 interval 300 
Router(config-if pppoe 1)# exit
!
!
! DNS リゾルバの設定をします。
! 
Router(config)# ip name-server 192.168.100.254

      Router(config)# ip name-server source-interface lan 1

      !

      !

      ! VPN動作モードを指定します。

      !

      Router(config)# vpn enable

      Router(config)# vpnlog enable

      !

      !

      ! Phase1ポリシーの設定を行ないます。

      !

      Router(config)# crypto isakmp policy 1

      Router(config-isakmp)# authentication prekey

      Router(config-isakmp)# encryption aes 128

      Router(config-isakmp)# group 2

      Router(config-isakmp)# hash sha

      Router(config-isakmp)# keepalive always-send

      Router(config-isakmp)# key ascii secret-vpn

      Router(config-isakmp)# my-identity kyoten@nagoya

      Router(config-isakmp)# negotiation-mode aggressive

      Router(config-isakmp)# peer-identity address 200.200.200.1

      Router(config-isakmp)# exit

      !

      !

      ! 拠点2用のPhase1ポリシーの設定を行ないます。

      !

      Router(config)# crypto isakmp policy 2

      Router(config-isakmp)# authentication prekey

      Router(config-isakmp)# encryption aes 128

      Router(config-isakmp)# group 2

      Router(config-isakmp)# hash sha

      Router(config-isakmp)# keepalive always-send

      Router(config-isakmp)# key ascii secret-vpn

      Router(config-isakmp)# my-identity kyoten@nagoya

      Router(config-isakmp)# negotiation-mode aggressive

      Router(config-isakmp)# peer-identity address oosaka.branch.jp

      Router(config-isakmp)# peer-identity host kyoten@oosaka

      Router(config-isakmp)# exit

      !

      !

      ! Phase2ポリシーの設定を行ないます。

      !

      Router(config)# ipsec transform-set P2-a128-sha esp-aes-128
      esp-sha-hmac

      !

      !

      ! センター用の VPN セレクタの設定を行ないます。

      !

      Router(config)# ipsec access-list 10 ipsec ip any any

      !

      Router(config)# crypto map tokyo 1

      Router(config-crypto-map)# match address 10

      Router(config-crypto-map)# set peer address 200.200.200.1

      Router(config-crypto-map)# set security-association always-up 

      Router(config-crypto-map)# set transform-set P2-a128-sha

      Router(config-crypto-map)# exit

      !

      !

      ! 拠点 2 用の VPN セレクタの設定を行ないます。

      !

      Router(config)# ipsec access-list 11 ipsec ip any any

      !

      Router(config)# crypto map oosaka 2

      Router(config-crypto-map)# match address 11

      Router(config-crypto-map)# set peer address oosaka.branch.jp

      Router(config-crypto-map)# set peer host kyoten@oosaka

      Router(config-crypto-map)# set transform-set P2-a128-sha

      Router(config-crypto-map)# exit

      !

      !

      ! センター用の IPsec インターフェースの設定をします。

      !

      Router(config)# interface ipsecif 1

      Router(config-if ipsecif 1)# crypto map tokyo

      Router(config-if ipsecif 1)# exit

      !

      !

      ! 拠点 2 用の IPsec インターフェースの設定をします。

      !

      Router(config)# interface ipsecif 2

      Router(config-if ipsecif 2)# crypto map oosaka

      Router(config-if ipsecif 2)# exit
!

      Router(config)# end

      Router# save SIDE-A.cfg

      % saving working-config

      % finished saving

この設定を適用したい方は

!
!
! LAN側IPアドレスを設定します。
!
Router> enable
Enter password: super ←パスワードを入力します。（実際は表示されない）

Router#
Router# configure terminal
Router(config)#
Router(config)# interface lan 1
Router(config-if lan 1)#
Router(config-if lan 1)# ip address 192.168.2.254 255.255.255.0
Router(config-if lan 1)# exit
!
!
! PPPoE1インタフェース設定の設定をします。
!
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# pppoe server A-Provider
Router(config-if pppoe 1)# pppoe account user@xxxx.ne.jp secret
Router(config-if pppoe 1)# exit
!
!
! センターのピアに対するルートを設定します。
!
Router(config)# ip route 200.200.200.1 255.255.255.255 pppoe 1
!
!
! デフォルトルートを設定します。拠点 2 のピアに対するルートとなります。
!
Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1
!
!
! センターと拠点 2 のネットワーク向けのルートを設定します。
!
Router(config)# ip route 192.168.100.0 255.255.255.0 connected ipsecif 1
Router(config)# ip route 192.168.1.0 255.255.255.0 connected ipsecif 2
!
!
! ダイナミック DNS クライアントの設定をします。
!
Router(config)# http-client 1
Router(config-http-client 1)# method 1 get url http://192.168.100.254/cgi-bin/ddns-v4.cgi dn oosaka.branch.jp i4 $i4 pw osk
Router(config-http-client 1)# reference-interface pppoe 1
Router(config-http-client 1)# request-timeout 10 retry 5
Router(config-http-client 1)# source-interface lan 1
Router(config-http-client 1)# logging error
Router(config-http-client 1)# exit
!
!
! ダイナミック DNS サーバに登録に行くタイミングを指定します。
!
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# ddns-client address ip action http-client 1 delay 30 interval 300 
Router(config-if pppoe 1)# exit
!
!
! DNS リゾルバの設定をします。
! 
Router(config)# ip name-server 192.168.100.254
Router(config)# ip name-server source-interface lan 1
!
!
! VPN動作モードを指定します。
!
Router(config)# vpn enable
Router(config)# vpnlog enable
!
!
! Phase1ポリシーの設定を行ないます。
!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption aes 128
Router(config-isakmp)# group 2
Router(config-isakmp)# hash sha
Router(config-isakmp)# keepalive always-send
Router(config-isakmp)# key ascii secret-vpn
Router(config-isakmp)# my-identity kyoten@oosaka
Router(config-isakmp)# negotiation-mode aggressive
Router(config-isakmp)# peer-identity address 200.200.200.1
Router(config-isakmp)# exit
!
!
! 拠点2用のPhase1ポリシーの設定を行ないます。
!
Router(config)# crypto isakmp policy 2
Router(config-isakmp)# authentication prekey
Router(config-isakmp)# encryption aes 128
Router(config-isakmp)# group 2
Router(config-isakmp)# hash sha
Router(config-isakmp)# keepalive always-send
Router(config-isakmp)# key ascii secret-vpn
Router(config-isakmp)# my-identity kyoten@oosaka
Router(config-isakmp)# negotiation-mode aggressive
Router(config-isakmp)# peer-identity address nagoya.branch.jp
Router(config-isakmp)# peer-identity host kyoten@nagoya
Router(config-isakmp)# exit
!
!
! Phase2ポリシーの設定を行ないます。
!
Router(config)# ipsec transform-set P2-a128-sha esp-aes-128 esp-sha-hmac
!
!
! センター用の VPN セレクタの設定を行ないます。
!
Router(config)# ipsec access-list 10 ipsec ip any any
!
Router(config)# crypto map tokyo 1
Router(config-crypto-map)# match address 10
Router(config-crypto-map)# set peer address 200.200.200.1
Router(config-crypto-map)# set security-association always-up
Router(config-crypto-map)# set transform-set P2-a128-sha
Router(config-crypto-map)# exit
!
!
! 拠点 2 用の VPN セレクタの設定を行ないます。
!
Router(config)# ipsec access-list 11 ipsec ip any any
!
Router(config)# crypto map oosaka 2
Router(config-crypto-map)# match address 11
Router(config-crypto-map)# set peer address nagoya.branch.jp
Router(config-crypto-map)# set peer host kyoten@nagoya
Router(config-crypto-map)# set transform-set P2-a128-sha
Router(config-crypto-map)# exit
!
!
! センター用の IPsec インターフェースの設定をします。
!
Router(config)# interface ipsecif 1
Router(config-if ipsecif 1)# crypto map tokyo
Router(config-if ipsecif 1)# exit
!
!
! 拠点 2 用の IPsec インターフェースの設定をします。
!
Router(config)# interface ipsecif 2
Router(config-if ipsecif 2)# crypto map nagoya
Router(config-if ipsecif 2)# exit
!
Router(config)# end
Router# save SIDE-A.cfg
% saving working-config
% finished saving