VPNに関する設定例です。相手から拡張認証(Xauth)されるケースを考えます。
インターネットに接続するための設定は、別途行ってください。
設定内容 | 設定モード | 設定コマンド名 | 設定項目 | 入力値 | 備考 |
---|---|---|---|---|---|
VPN動作モード | 基本設定モード | vpn enable | VPNを使用するかどうか | enable | |
VPN通信動作中のログ | 基本設定モード | vpnlog enable | VPN通信動作中の詳細なログを残すかどうか | enable | |
Phase1ポリシーの設定 | 基本設定モード | crypto isakmp policy | ポリシー番号 | 1 | IKEポリシー設定モードに移行する |
IKEポリシー設定モード | negotiation-mode | IKEネゴシエーションモード | aggressive | ||
authentication | Phase1の認証方式 | prekeyxauth | 事前共有鍵方式(拡張認証) | ||
encryption | 暗号化アルゴリズム | 3des | |||
group | Diffie-Hellman Groupの指定 | 2 | |||
hash | ハッシュアルゴリズム | sha | |||
key | 文字列 | ascii | |||
鍵データ | SECRET-VPN | ||||
my-identity | 自身のID | FITELnet-F100 | 文字列 | ||
peer-identity address | VPNピアのIPアドレス | 158.0.0.1 | |||
拡張認証の設定 | IKEポリシー設定モード | aaa | 拡張認証時のID | my-name FITELnet-F100-1 | |
パスワード | password F100-pass | ||||
Phase2ポリシーの設定 | 基本設定モード | ipsec transform-set | Phase2ポリシー名称 | P2-POLICY | 任意の名称 |
暗号化方式 | esp-3des | ||||
認証アルゴリズム | esp-sha-hmac | ||||
VPNセレクタの設定 | 基本設定モード | ipsec access-list | ipsec access-list番号 | 10 | |
暗号化対象とする | ipsec | ||||
プロトコル名 | ip | ||||
送信元 IPアドレス / Wildcardマスク | 192.168.0.0 0.0.0.255 | ||||
宛先 IPアドレス / Wildcardマスク | 158.0.0.0 0.0.255.255 | ||||
crypto map | セレクタ名称(任意の名称) | Tokyo | VPNセレクタ設定モードに移行する | ||
シーケンス番号 | 1 | ||||
VPNセレクタ設定モード | match address | 適用するipsec access-listの番号 | 10 | ||
set peer address | VPNピアのIPアドレス | 158.0.0.1 | |||
set transform-set | 適用するPhase2ポリシー名称 | P2-POLICY | |||
PPPoEインタフェース設定モード | crypto map | セレクタ名称 | Tokyo | インタフェースに適用 |
設定画面 | 設定項目 | 設定値 | 備考 | |
---|---|---|---|---|
VPNの設定 | VPN動作モード | ON | ||
VPN通信動作中のイベントログ | 残す | |||
【送信】 | 送信ボタンを押します | |||
VPNの設定 | VPN対象パケットの登録 | 優先度 | 10 | |
宛先指定 | IPアドレス指定 158.0.0.1/16 |
|||
送信元指定 | IPアドレス指定 192.168.0.0/24 |
|||
プロトコル | IP | |||
IPsec処理タイプ | IPsec処理して中継 | |||
【送信】 | 送信ボタンを押します | |||
暗号化ポリシーの登録 | 名前 | P2-POLICY | ||
暗号アルゴリズム | 3DES | |||
認証アルゴリズム | MHAC-SHA | |||
【送信】 | 送信ボタンを押します | |||
IKEポリシーの登録 | ID | 1 | ||
拡張認証 : こちらの名称 | FITELnet-F100-1 | |||
拡張認証 : こちらのパスワード | F100-pass | |||
IKEポリシー認証アルゴリズム | Pre-shared Key(拡張認証あり) | |||
暗号化アルゴリズム | 3des | |||
Diffie-Hellman Group | 2 | |||
ハッシュアルゴリズム | sha | |||
IKEネゴシエーションモード | aggressive | |||
鍵データ | アスキー SECRET-VPN |
|||
自身の名前 | FITELnet-F100 | |||
VPNピアのIPアドレス | 158.0.0.1 | |||
【送信】 | 送信ボタンを押します | |||
MAPの登録 | MAP名 | Tokyo | ||
VPN対象パケット優先度 | 10 | |||
VPNピアのIPアドレス | 158.0.0.1 | |||
暗号化ポリシー | P2-POLICY | |||
【送信】 | 送信ボタンを押します | |||
インタフェースのMAP登録 PPPoE1のMAP登録 |
MAP名 | Tokyo | ||
【送信】 | 送信ボタンを押します | |||
装置の再起動 | 装置の再起動をする | 【送信】 | ※ |
※ | : | 設定を有効にするために、装置の再起動を行います。 |
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)# ! ! ! VPN機能を有効にします。 ! Router(config)# vpn enable ! ! ! VPN通信動作中の詳細なログを残す設定にします。 ! Router(config)# vpnlog enable ! ! ! Phase1ポリシーの設定を行ないます。 ! Router(config)# crypto isakmp policy 1 Router(config-isakmp)# authentication prekeyxauth Router(config-isakmp)# encryption 3des Router(config-isakmp)# group 2 Router(config-isakmp)# hash sha Router(config-isakmp)# key ascii SECRET-VPN Router(config-isakmp)# my-identity FITELnet-F100 Router(config-isakmp)# peer-identity address 158.0.0.1 ! ! ! 拡張認証(Xauth)の設定を行ないます。 ! Router(config-isakmp)# aaa my-name FITELnet-F100-1 password F100-pass Router(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! Router(config)# ipsec transform-set P2-POLICY esp-3des esp-sha-hmac ! ! ! VPNセレクタの設定を行ないます。 ! Router(config)# ipsec access-list 10 ipsec ip 192.168.0.0 0.0.0.255 158.0.0.0 0.0.255.255 Router(config)# crypto map Tokyo 1 Router(config-crypto-map)# match address 10 Router(config-crypto-map)# set peer address 158.0.0.1 Router(config-crypto-map)# set transform-set P2-POLICY Router(config-crypto-map)# exit Router(config)# interface pppoe 1 Router(config-if pppoe 1)# crypto map Tokyo Router(config-if pppoe 1)# exit ! ! ! 特権ユーザモードに戻ります。 ! Router(config)# end ! ! ! 設定を保存します。 ! Router# save SIDE-A.cfg % saving working-config % finished saving ! ! ! 設定を有効にするために再起動します。 ! Router# reset Are you OK to cold start?(y/n) y