古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
 
設定例
2.拡張認証(Xauth)を利用する場合
概要

VPNに関する設定例です。相手から拡張認証(Xauth)されるケースを考えます。
インターネットに接続するための設定は、別途行ってください。

  • VPNを行うインタフェースにPPPoE1を使用。
  • IPsecはアグレッシブモードのため、PPPoE1に固定IPアドレスは不要です。
    (センター側は固定IPアドレス158.0.0.1)
補足・注意点
設定データの例
設定内容 設定モード 設定コマンド名 設定項目 入力値 備考
VPN動作モード 基本設定モード vpn enable VPNを使用するかどうか enable
VPN通信動作中のログ 基本設定モード vpnlog enable VPN通信動作中の詳細なログを残すかどうか enable
Phase1ポリシーの設定 基本設定モード crypto isakmp policy ポリシー番号 1 IKEポリシー設定モードに移行する
IKEポリシー設定モード negotiation-mode IKEネゴシエーションモード aggressive
authentication Phase1の認証方式 prekeyxauth 事前共有鍵方式(拡張認証)
encryption 暗号化アルゴリズム 3des
group Diffie-Hellman Groupの指定 2
hash ハッシュアルゴリズム sha
key 文字列 ascii
鍵データ SECRET-VPN
my-identity 自身のID FITELnet-F100 文字列
peer-identity address VPNピアのIPアドレス 158.0.0.1
拡張認証の設定 IKEポリシー設定モード aaa 拡張認証時のID my-name FITELnet-F100-1
パスワード password F100-pass
Phase2ポリシーの設定 基本設定モード ipsec transform-set Phase2ポリシー名称 P2-POLICY 任意の名称
暗号化方式 esp-3des
認証アルゴリズム esp-sha-hmac
VPNセレクタの設定 基本設定モード ipsec access-list ipsec access-list番号 10
暗号化対象とする ipsec
プロトコル名 ip
送信元 IPアドレス / Wildcardマスク 192.168.0.0 0.0.0.255
宛先 IPアドレス / Wildcardマスク 158.0.0.0 0.0.255.255
crypto map セレクタ名称(任意の名称) Tokyo VPNセレクタ設定モードに移行する
シーケンス番号 1
VPNセレクタ設定モード match address 適用するipsec access-listの番号 10
set peer address VPNピアのIPアドレス 158.0.0.1
set transform-set 適用するPhase2ポリシー名称 P2-POLICY
PPPoEインタフェース設定モード crypto map セレクタ名称 Tokyo インタフェースに適用
WEB設定の例
設定画面 設定項目 設定値 備考
VPNの設定 VPN動作モード ON
VPN通信動作中のイベントログ 残す
【送信】 送信ボタンを押します
VPNの設定 VPN対象パケットの登録 優先度 10
宛先指定 IPアドレス指定
158.0.0.1/16
送信元指定 IPアドレス指定
192.168.0.0/24
プロトコル IP
IPsec処理タイプ IPsec処理して中継
【送信】 送信ボタンを押します
暗号化ポリシーの登録 名前 P2-POLICY
暗号アルゴリズム 3DES
認証アルゴリズム MHAC-SHA
【送信】 送信ボタンを押します
IKEポリシーの登録 ID 1
拡張認証 : こちらの名称 FITELnet-F100-1
拡張認証 : こちらのパスワード F100-pass
IKEポリシー認証アルゴリズム Pre-shared Key(拡張認証あり)
暗号化アルゴリズム 3des
Diffie-Hellman Group 2
ハッシュアルゴリズム sha
IKEネゴシエーションモード aggressive
鍵データ アスキー
SECRET-VPN
自身の名前 FITELnet-F100
VPNピアのIPアドレス 158.0.0.1
【送信】 送信ボタンを押します
MAPの登録 MAP名 Tokyo
VPN対象パケット優先度 10
VPNピアのIPアドレス 158.0.0.1
暗号化ポリシー P2-POLICY
【送信】 送信ボタンを押します
インタフェースのMAP登録
PPPoE1のMAP登録		 MAP名 Tokyo
【送信】 送信ボタンを押します
装置の再起動 装置の再起動をする 【送信】
設定を有効にするために、装置の再起動を行います。
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
!
!
!  特権ユーザモードに移行します。
!
Router> enable
Enter password: super ←パスワードを入力します。(実際は表示されない)

Router#
!
!
!  基本設定モードに移行します。
!
Router# configure terminal
Router(config)#
!
!
!  VPN機能を有効にします。
!
Router(config)# vpn enable
!
!
!  VPN通信動作中の詳細なログを残す設定にします。
!
Router(config)# vpnlog enable
!
!
!  Phase1ポリシーの設定を行ないます。
!
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# authentication prekeyxauth
Router(config-isakmp)# encryption 3des
Router(config-isakmp)# group 2
Router(config-isakmp)# hash sha
Router(config-isakmp)# key ascii SECRET-VPN
Router(config-isakmp)# my-identity FITELnet-F100
Router(config-isakmp)# peer-identity address 158.0.0.1
!
!
!  拡張認証(Xauth)の設定を行ないます。
!
Router(config-isakmp)# aaa my-name FITELnet-F100-1 password F100-pass
Router(config-isakmp)# exit
!
!
!  Phase2ポリシーの設定を行ないます。
!
Router(config)# ipsec transform-set P2-POLICY esp-3des esp-sha-hmac
!
!
!  VPNセレクタの設定を行ないます。
!
Router(config)# ipsec access-list 10 ipsec ip 192.168.0.0 0.0.0.255 158.0.0.0 0.0.255.255
Router(config)# crypto map Tokyo 1
Router(config-crypto-map)# match address 10
Router(config-crypto-map)# set peer address 158.0.0.1
Router(config-crypto-map)# set transform-set P2-POLICY
Router(config-crypto-map)# exit
Router(config)# interface pppoe 1
Router(config-if pppoe 1)# crypto map Tokyo
Router(config-if pppoe 1)# exit
!
!
! 特権ユーザモードに戻ります。
!
Router(config)# end
!
!
! 設定を保存します。
!
Router# save SIDE-A.cfg
% saving working-config
% finished saving
!
!
! 設定を有効にするために再起動します。
!
Router# reset
Are you OK to cold start?(y/n) y

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007