設定例 > ダイナミックDNSの設定 |
7.アドレス不定の拠点間で直接IPsec通信を行なう |
ダイナミックDNS機能を使用して、アドレス不定の拠点間で直接IPsec通信を行なう。
設定内容 | 設定モード | 設定コマンド名 | 設定項目 | 入力値 | 備考 |
---|---|---|---|---|---|
LAN側IPアドレス | LANインタフェース設定モード | ip address | LAN側IPアドレスサブネットマスク | 192.168.100.254 255.255.255.0 |
設定例1を参照 |
ダイナミックDNSサーバ機能 | 基本設定モード | ddns-server enable | ダイナミックDNSサーバ機能有効 | enable | |
ddns-server accept-fqdn | FQDNの設定 | type v4 nagoya.branch.jp password ngy lifetime
86400 type v4 osaka.branch.jp password osk lifetime 86400 |
|||
ddns-server logging address-changes | アドレス変更時のlog出力 | - | パラメータ無し | ||
HTTPクライアント機能(拠点1) | HTTPクライアント設定モード | request-timeout | 登録要求メッセージの応答待ち時間とリトライ時間 | 10 retry 5 | |
method | HTTPのRequest-Lineの指定 | 1 get url http://192.168.100.254/cgi-bin/ddns-v4.cgi dn nagoya.branch.jp i4 $i4 pw ngy | |||
reference-interface | 登録要求メッセージのアドレス置換時に参照するインターフェース名の指定 | pppoe 1 | |||
source-interface | 登録要求メッセージの送信元アドレスをインターフェース名で設定 | lan 1 | |||
loggin | ログ出力レベルと出力ログの選択 | error |
<コマンドによる設定>(!の行はコメントです。実際に入力する必要はありません。) この設定を適用したい方は
センターの設定
! ! ! LAN側IPアドレスを設定します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# configure terminal Router(config)# ! ! ! 各インタフェースに関する設定します。 ! Router(config)# interface lan 1 Router(config-if lan 1)# ip address 192.168.100.254 255.255.255.0 Router(config-if lan 1)# exit Router(config)# ! Router(config)# interface pppoe 1 Router(config-if ewan 1)# ip address 200.200.200.1 Router(config-if ewan 1)# pppoe server Flets Router(config-if ewan 1)# pppoe account abc123@furukawa.co.jp pass456 Router(config-if ewan 1)# exit Router(config)# ! Router(config)# interface ipsecif 1 Router(config-if ipsecif 1)# crypto map nagoya Router(config-if ipsecif 1)# exit Router(config)# interface ipsecif 2 Router(config-if ipsecif 2)# crypto map osaka Router(config-if ipsecif 2)# exit Router(config)# ! ! ! 各拠点のネットワーク向けのルートを設定します。 ! Router(config)# ip route 192.168.1.0 255.255.255.0 connected ipsecif 1 Router(config)# ip route 192.168.2.0 255.255.255.0 connected ipsecif 2 ! ! ! ダイナミックDNSサーバの設定をします。 ! Router(config)# ddns-server enable Router(config)# ddns-server accept-fqdn type v4 nagoya.branch.jp password ngy lifetime 86400 Router(config)# ddns-server accept-fqdn type v4 osaka.branch.jp password osk lifetime 86400 Router(config)# ddns-server logging address-changes ! ! ! ProxyDNS 機能の設定をします。 ! Router(config)# proxydns mode v4 ! ! ! VPN 機能およびVPNログ機能を有効にします。 ! Router(config)# vpn enable Router(config)# vpnlog enable ! ! ! 拠点 1 用の Phase 1 ポリシーの設定を行ないます。 ! Router(config)# crypto isakmp policy 1 Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption aes 128 Router(config-isakmp)# group 2 Router(config-isakmp)# hash sha Router(config-isakmp)# keepalive always-send Router(config-isakmp)# key ascii secret-vpn Router(config-isakmp)# negotiation-mode aggressive Router(config-isakmp)# peer-identity host kyoten@nagoya Router(config-isakmp)# tunnel-route interface pppoe 1 Router(config-isakmp)# exit ! ! ! 拠点 2 用の Phase 1 ポリシーの設定を行ないます。 ! Router(config)# crypto isakmp policy 2 Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption aes 128 Router(config-isakmp)# group 2 Router(config-isakmp)# hash sha Router(config-isakmp)# keepalive always-send Router(config-isakmp)# key ascii secret-vpn Router(config-isakmp)# negotiation-mode aggressive Router(config-isakmp)# peer-identity host kyoten@osaka Router(config-isakmp)# tunnel-route interface pppoe 1 Router(config-isakmp)# exit ! ! ! Phase 2 ポリシーの設定を行ないます。 ! Router(config)# ipsec transform-set P2-a128-sha esp-aes-128 esp-sha-hmac ! ! ! 拠点 1 用の VPN セレクタの設定を行ないます。 ! Router(config)# ipsec access-list 10 ipsec ip any any ! Router(config)# crypto map nagoya 1 Router(config-crypto-map)# match address 10 Router(config-crypto-map)# set peer host kyoten@nagoya Router(config-crypto-map)# set transform-set P2-a128-sha Router(config-crypto-map)# exit ! ! ! 拠点 2 用の VPN セレクタの設定を行ないます。 ! Router(config)# ipsec access-list 11 ipsec ip any any ! Router(config)# crypto map osaka 2 Router(config-crypto-map)# match address 11 Router(config-crypto-map)# set peer host kyoten@osaka Router(config-crypto-map)# set transform-set P2-a128-sha Router(config-crypto-map)# exit ! ! ! 特権ユーザモードに戻ります。 ! Router(config)# end ! ! ! 設定を保存します。 ! Router# save SIDE-A.cfg % saving working-config % finished saving Router# ! ! ! 設定を有効にするために再起動します。 ! Router# reset Are you OK to cold start?(y/n) y |
拠点1の設定 この設定を適用したい方は
! ! ! LAN側IPアドレスを設定します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# configure terminal Router(config)# ! ! ! 各インタフェースに関する設定します。 ! Router(config)# interface lan 1 Router(config-if lan 1)# ip address 192.168.1.254 255.255.255.0 Router(config-if lan 1)# exit Router(config)# ! Router(config)# interface pppoe 1 Router(config-if ewan 1)# ip address 200.200.200.1 Router(config-if ewan 1)# pppoe server Flets Router(config-if ewan 1)# pppoe account abc456@furukawa.co.jp pass789 Router(config-if ewan 1)# exit Router(config)# ! Router(config)# interface ipsecif 1 Router(config-if ipsecif 1)# crypto map tokyo Router(config-if ipsecif 1)# exit Router(config)# interface ipsecif 2 Router(config-if ipsecif 2)# crypto map osaka Router(config-if ipsecif 2)# exit Router(config)# ! ! ! センターのピアに対するルートを設定します。 ! Router(config)# ip route 200.200.200.1 255.255.255.255 pppoe 1 ! ! ! デフォルトルートを設定します。(拠点 2 のピアに対するルートとなります。) ! Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! ! センターと拠点 2 のネットワーク向けのルートを設定します。 ! Router(config)# ip route 192.168.100.0 255.255.255.0 connected ipsecif 1 Router(config)# ip route 192.168.2.0 255.255.255.0 connected ipsecif 2 ! ! ! ダイナミックDNSクライアントの設定をします。 ! Router(config)# http-client 1 Router(config-http-client 1)# method 1 get url http://192.168.100.254/cgi-bin/ddns-v4.cgi dn nagoya.branch.jp i4 $i4 pw ngy Router(config-http-client 1)# reference-interface pppoe 1 Router(config-http-client 1)# request-timeout 10 retry 5 Router(config-http-client 1)# source-interface lan 1 Router(config-http-client 1)# logging error Router(config-http-client 1)# exit ! ! ! ダイナミック DNS サーバに登録に行くタイミングを指定します。 ! Router(config)# interface pppoe 1 Router(config-if pppoe 1)# ddns-client address ip action http-client 1 delay 30 interval 300 Router(config-if pppoe 1)# exit ! ! ! DNS リゾルバの設定をします。 ! Router(config)# ip name-server 192.168.100.254 Router(config)# ip name-server source-interface lan 1 ! ! ! VPN 機能およびVPNログ機能を有効にします。 ! Router(config)# vpn enable Router(config)# vpnlog enable ! ! ! センター用の Phase 1 ポリシーの設定を行ないます。 ! Router(config)# crypto isakmp policy 1 Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption aes 128 Router(config-isakmp)# group 2 Router(config-isakmp)# hash sha Router(config-isakmp)# keepalive always-send Router(config-isakmp)# key ascii secret-vpn Router(config-isakmp)# my-identity kyoten@nagoya Router(config-isakmp)# negotiation-mode aggressive Router(config-isakmp)# peer-identity address 200.200.200.1 Router(config-isakmp)# exit ! ! ! 拠点 2 用の Phase 1 ポリシーの設定を行ないます。 ! Router(config)# crypto isakmp policy 2 Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption aes 128 Router(config-isakmp)# group 2 Router(config-isakmp)# hash sha Router(config-isakmp)# keepalive always-send Router(config-isakmp)# key ascii secret-vpn Router(config-isakmp)# my-identity kyoten@nagoya Router(config-isakmp)# negotiation-mode aggressive Router(config-isakmp)# peer-identity address osaka.branch.jp Router(config-isakmp)# peer-identity host kyoten@osaka Router(config-isakmp)# exit ! ! ! Phase 2 ポリシーの設定を行ないます。 ! Router(config)# ipsec transform-set P2-a128-sha esp-aes-128 esp-sha-hmac ! ! ! センター用の VPN セレクタの設定を行ないます。 ! Router(config)# ipsec access-list 10 ipsec ip any any ! Router(config)# crypto map tokyo 1 Router(config-crypto-map)# match address 10 Router(config-crypto-map)# set peer address 200.200.200.1 Router(config-crypto-map)# set security-association always-up Router(config-crypto-map)# set transform-set P2-a128-sha Router(config-crypto-map)# exit ! ! ! 拠点 2 用の VPN セレクタの設定を行ないます。 ! Router(config)# ipsec access-list 11 ipsec ip any any ! Router(config)# crypto map osaka 2 Router(config-crypto-map)# match address 11 Router(config-crypto-map)# set peer address osaka.branch.jp Router(config-crypto-map)# set peer host kyoten@osaka Router(config-crypto-map)# set transform-set P2-a128-sha Router(config-crypto-map)# exit ! ! ! 特権ユーザモードに戻ります。 ! Router(config)# end ! ! ! 設定を保存します。 ! Router# save SIDE-A.cfg % saving working-config % finished saving Router# ! ! ! 設定を有効にするために再起動します。 ! Router# reset Are you OK to cold start?(y/n) y |
拠点2の設定 この設定を適用したい方は
! ! ! LAN側IPアドレスを設定します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# configure terminal Router(config)# ! ! ! 各インタフェースに関する設定します。 ! Router(config)# interface lan 1 Router(config-if lan 1)# ip address 192.168.2.254 255.255.255.0 Router(config-if lan 1)# exit Router(config)# ! Router(config)# interface pppoe 1 Router(config-if ewan 1)# ip address 200.200.200.1 Router(config-if ewan 1)# pppoe server Flets Router(config-if ewan 1)# pppoe account abc789@furukawa.co.jp pass456 Router(config-if ewan 1)# exit Router(config)# ! Router(config)# interface ipsecif 1 Router(config-if ipsecif 1)# crypto map tokyo Router(config-if ipsecif 1)# exit Router(config)# interface ipsecif 2 Router(config-if ipsecif 2)# crypto map nagoya Router(config-if ipsecif 2)# exit Router(config)# ! ! ! センターのピアに対するルートを設定します。 ! Router(config)# ip route 200.200.200.1 255.255.255.255 pppoe 1 ! ! ! デフォルトルートを設定します。(拠点 1 のピアに対するルートとなります。) ! Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! ! センターと拠点 1 のネットワーク向けのルートを設定します。 ! Router(config)# ip route 192.168.100.0 255.255.255.0 connected ipsecif 1 Router(config)# ip route 192.168.1.0 255.255.255.0 connected ipsecif 2 ! ! ! ダイナミックDNSクライアントの設定をします。 ! Router(config)# http-client 1 Router(config-http-client 1)# method 1 get url http://192.168.100.254/cgi-bin/ddns-v4.cgi dn osaka.branch.jp i4 $i4 pw osk Router(config-http-client 1)# reference-interface pppoe 1 Router(config-http-client 1)# request-timeout 10 retry 5 Router(config-http-client 1)# source-interface lan 1 Router(config-http-client 1)# logging error Router(config-http-client 1)# exit ! ! ! ダイナミック DNS サーバに登録に行くタイミングを指定します。 ! Router(config)# interface pppoe 1 Router(config-if pppoe 1)# ddns-client address ip action http-client 1 delay 30 interval 300 Router(config-if pppoe 1)# exit ! ! ! DNS リゾルバの設定をします。 ! Router(config)# ip name-server 192.168.100.254 Router(config)# ip name-server source-interface lan 1 ! ! ! VPN 機能およびVPNログ機能を有効にします。 ! Router(config)# vpn enable Router(config)# vpnlog enable ! ! ! センター用の Phase 1 ポリシーの設定を行ないます。 ! Router(config)# crypto isakmp policy 1 Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption aes 128 Router(config-isakmp)# group 2 Router(config-isakmp)# hash sha Router(config-isakmp)# keepalive always-send Router(config-isakmp)# key ascii secret-vpn Router(config-isakmp)# my-identity kyoten@osaka Router(config-isakmp)# negotiation-mode aggressive Router(config-isakmp)# peer-identity address 200.200.200.1 Router(config-isakmp)# exit ! ! ! 拠点 2 用の Phase 1 ポリシーの設定を行ないます。 ! Router(config)# crypto isakmp policy 2 Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption aes 128 Router(config-isakmp)# group 2 Router(config-isakmp)# hash sha Router(config-isakmp)# keepalive always-send Router(config-isakmp)# key ascii secret-vpn Router(config-isakmp)# my-identity kyoten@osaka Router(config-isakmp)# negotiation-mode aggressive Router(config-isakmp)# peer-identity address nagoya.branch.jp Router(config-isakmp)# peer-identity host kyoten@nagoya Router(config-isakmp)# exit ! ! ! Phase 2 ポリシーの設定を行ないます。 ! Router(config)# ipsec transform-set P2-a128-sha esp-aes-128 esp-sha-hmac ! ! ! センター用の VPN セレクタの設定を行ないます。 ! Router(config)# ipsec access-list 10 ipsec ip any any ! Router(config)# crypto map tokyo 1 Router(config-crypto-map)# match address 10 Router(config-crypto-map)# set peer address 200.200.200.1 Router(config-crypto-map)# set security-association always-up Router(config-crypto-map)# set transform-set P2-a128-sha Router(config-crypto-map)# exit ! ! ! 拠点 1 用の VPN セレクタの設定を行ないます。 ! Router(config)# ipsec access-list 11 ipsec ip any any ! Router(config)# crypto map nagoya 2 Router(config-crypto-map)# match address 11 Router(config-crypto-map)# set peer address nagoya.branch.jp Router(config-crypto-map)# set peer host kyoten@nagoya Router(config-crypto-map)# set transform-set P2-a128-sha Router(config-crypto-map)# exit ! ! ! 特権ユーザモードに戻ります。 ! Router(config)# end ! ! ! 設定を保存します。 ! Router# save SIDE-A.cfg % saving working-config % finished saving Router# ! ! ! 設定を有効にするために再起動します。 ! Router# reset Are you OK to cold start?(y/n) y |