古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
 
設定例
1. センタ(IP固定)、拠点(IP固定)
概要

アクセス回線としてNTT西日本のフレッツ・光プレミアムを利用した環境において、FITELnet-Fシリーズ(F40を除く)でIPsecを行うための設定例について記載致します。

  • IPsecのMain modeにて接続します
  • IPsec以外に各拠点から直接、平文でのインターネットへの接続を可能とします
  • 本接続において、加入者網終端装置(CTU)の設定変更が必要です
    (本文の後半に設定手順を記載してあります)
補足・注意点
動作説明
その他情報
使用機器
  • F100(EAST) ※FITELnet-Fシリーズ(F40を除く)であれば同様に使用可能です
  • F100(WEST) ※FITELnet-Fシリーズ(F40を除く)であれば同様に使用可能です
  • CTU:加入者網終端装置 2004W(S) 住友電工製
使用サービス
  • 両拠点とも各プロバイダのIP1固定アドレスサービスを利用します
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
設定例 F100(EAST)側
!
!
! 特権ユーザモードに移行します。
!
Router> enable
Enter password: super ←パスワードを入力します。(実際は表示されない)

Router#
!
!
! 基本設定モードに移行します。
!
Router# configure terminal
Router(config)#
!
!
! ホスト名をEASTとします。
!
Router(config)# hostname EAST
EAST(config)#
!
!
! LANインタフェースのIPアドレス/サブネットマスクを設定します。
!
EAST(config)# interface lan 1
EAST(config-if lan 1)# ip address 192.168.1.254 255.255.255.0
EAST(config-if lan 1)# exit
!
!
! EWAN1インタフェースの各種設定を行います。
!
EAST(config)# interface ewan 1
EAST(config-if ewan 1)# ip mtu 1400
EAST(config-if ewan 1)# ip address 192.168.24.60 255.255.255.0
EAST(config-if ewan 1)# exit
!
!
! NAT+の設定を行います。
!
EAST(config)# access-list 1 permit 192.168.1.0 0.0.0.255
EAST(config)# interface ewan 1
EAST(config-if ewan 1)# ip nat inside source list 1 interface
EAST(config-if ewan 1)# exit
!
!
! ProxyDNSの設定を行います。
!
EAST(config)# proxydns mode both
EAST(config)# proxydns default name-server v4 192.168.24.1
!
!
! デフォルトルートの設定を行います。
!
EAST(config)# ip route 0.0.0.0 0.0.0.0 192.168.24.1
!
!
! スタティックのフィルタリングルールを指定します。
!
EAST(config)# access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
EAST(config)# access-list 160 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
!
!
! 学習フィルタリングのルールを指定します。
!
EAST(config)# access-list 190 dynamic permit ip any any
EAST(config)# access-list 199 deny ip any any
!
!
! フィルタリングルールをEWAN1インタフェースに関連付けます。
!
EAST(config)# interface ewan 1
EAST(config-if ewan 1)# ip access-group 150 out
EAST(config-if ewan 1)# ip access-group 160 in
EAST(config-if ewan 1)# ip access-group 190 out
EAST(config-if ewan 1)# ip access-group 199 in
EAST(config-if ewan 1)# exit
!
!
! DHCPサーバ機能の設定を行います。
!
EAST(config)# service dhcp-server
!
EAST(config)# ip dhcp pool lan1 *1
EAST(config-dhcp-pool)# dns-server 0.0.0.0
EAST(config-dhcp-pool)# default-router 0.0.0.0
EAST(config-dhcp-pool)# exit
!
!
! VPN機能を有効にします。
!
EAST(config)# vpn enable
!
!
! VPN通信動作中の詳細なログを残す設定にします。
!
EAST(config)# vpnlog enable
!
!
! Phase1ポリシーの設定を行ないます。
!
EAST(config)# crypto isakmp policy 1
EAST(config-isakmp)# authentication prekey
EAST(config-isakmp)# encryption aes 128
EAST(config-isakmp)# hash sha
EAST(config-isakmp)# group 2
EAST(config-isakmp)# key ascii FITELnet
EAST(config-isakmp)# negotiation-mode main
EAST(config-isakmp)# peer-identity address x.40.45.160
EAST(config-isakmp)# exit
!
!
! Phase2ポリシーの設定を行ないます。
!
EAST(config)# ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac
!
!
! VPNセレクタの設定を行ないます。
!
EAST(config)# ipsec access-list 10 ipsec ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
EAST(config)# ipsec access-list 64 bypass ip any any
!
EAST(config)# crypto map PATH-1 1
EAST(config-crypto-map)# match address 10
EAST(config-crypto-map)# set peer address x.40.45.160
EAST(config-crypto-map)# set transform-set P2-POLICY
EAST(config-crypto-map)# exit
!
EAST(config)# interface ewan 1
EAST(config-if ewan 1)# crypto map PATH-1
EAST(config-if ewan 1)# exit
!
!
! 特権ユーザモードに戻ります。
!
EAST(config)# end
!
!
! 設定を保存します。
!
EAST# save SIDE-A.cfg
% saving working-config
% finished saving

EAST#
!
!
! 設定を有効にするために再起動します。
!
EAST# reset
Are you OK to cold start?(y/n) y
*1: FITELnet F60/F200/F2000/F2200では、コマンド書式が変更になっており、下記の様なコマンドとなります。

   Router(config)# ip dhcp pool lan 1

コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
設定例 F100(WEST)側
!
!
! 特権ユーザモードに移行します。
!
Router> enable
Enter password: super ←パスワードを入力します。(実際は表示されない)

Router#
!
!
! 基本設定モードに移行します。
!
Router# configure terminal
Router(config)#
!
!
! ホスト名をWESTとします。
!
Router(config)# hostname WEST
WEST(config)#
!
!
! LANインタフェースのIPアドレス/サブネットマスクを設定します。
!
WEST(config)# interface lan 1
WEST(config-if lan 1)# ip address 192.168.10.250 255.255.255.0
WEST(config-if lan 1)# exit
!
!
! EWAN1インタフェースの各種設定を行います。
!
WEST(config)# interface ewan 1
WEST(config-if ewan 1)# ip mtu 1400
WEST(config-if ewan 1)# ip address 192.168.24.70 255.255.255.0
WEST(config-if ewan 1)# exit
!
!
! NAT+の設定を行います。
!
WEST(config)# access-list 1 permit 192.168.10.0 0.0.0.255
WEST(config)# interface ewan 1
WEST(config-if ewan 1)# ip nat inside source list 1 interface
WEST(config-if ewan 1)# exit
!
!
! ProxyDNSの設定を行います。
!
WEST(config)# proxydns mode both
WEST(config)# proxydns default name-server v4 192.168.24.1
!
!
! デフォルトルートの設定を行います。
!
WEST(config)# ip route 0.0.0.0 0.0.0.0 192.168.24.1
!
!
! スタティックのフィルタリングルールを指定します。
!
WEST(config)# access-list 150 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
WEST(config)# access-list 160 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
!
!
! 学習フィルタリングのルールを指定します。
!
WEST(config)# access-list 190 dynamic permit ip any any
WEST(config)# access-list 199 deny ip any any
!
!
! フィルタリングルールをEWAN1インタフェースに関連付けます。
!
WEST(config)# interface ewan 1
WEST(config-if ewan 1)# ip access-group 150 out
WEST(config-if ewan 1)# ip access-group 160 in
WEST(config-if ewan 1)# ip access-group 190 out
WEST(config-if ewan 1)# ip access-group 199 in
WEST(config-if ewan 1)# exit
!
!
! DHCPサーバ機能の設定を行います。
!
WEST(config)# service dhcp-server
!
WEST(config)# ip dhcp pool lan1 
WEST(config-dhcp-pool)# dns-server 0.0.0.0
WEST(config-dhcp-pool)# default-router 0.0.0.0
WEST(config-dhcp-pool)# exit
!
!
! VPN機能を有効にします。
!
WEST(config)# vpn enable
!
!
! VPN通信動作中の詳細なログを残す設定にします。
!
WEST(config)# vpnlog enable
!
!
! Phase1ポリシーの設定を行ないます。
!
WEST(config)# crypto isakmp policy 1
WEST(config-isakmp)# authentication prekey
WEST(config-isakmp)# encryption aes 128
WEST(config-isakmp)# hash sha
WEST(config-isakmp)# group 2
WEST(config-isakmp)# key ascii FITELnet
WEST(config-isakmp)# negotiation-mode main
WEST(config-isakmp)# peer-identity address x.40.45.161
WEST(config-isakmp)# exit
!
!
! Phase2ポリシーの設定を行ないます。
!
WEST(config)# ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac
!
!
! VPNセレクタの設定を行ないます。
!
WEST(config)# ipsec access-list 10 ipsec ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
WEST(config)# ipsec access-list 64 bypass ip any any
!
WEST(config)# crypto map PATH-1 1
WEST(config-crypto-map)# match address 10
WEST(config-crypto-map)#  set peer address x.40.45.161
WEST(config-crypto-map)#  set transform-set P2-POLICY
WEST(config-crypto-map)# exit
!
WEST(config)# interface ewan 1
WEST(config-if ewan 1)# crypto map PATH-1
WEST(config-if ewan 1)# exit
!
!
! 特権ユーザモードに戻ります。
!
WEST(config)# end
!
!
! 設定を保存します。
!
WEST# save SIDE-A.cfg
% saving working-config
% finished saving

WEST#
!
!
! 設定を有効にするために再起動します。
!
WEST# reset
Are you OK to cold start?(y/n) y
加入者網終端装置(2004W(S))の設定手順
はじめに静的アドレス設定を行います。
  • CTU設定のTOP画面から 「静的アドレス変換設定(ポート指定)」を選択してください
  • 優先順位に「1」を入力し、「追加」ボタンを押します
  • 「接続先1」 … (プロバイダへの接続設定がしてある接続先を指定してください)プロトコル 「全プロトコル」
  • LAN側端末IPアドレスのIPアドレスを入力してください「192.168.234.60」…EAST側,「192.168.24.70」…WEST側
以上で静的アドレス設定は終了です。
続いてファイアウォール設定を変更します。
  • CTU設定のTOP画面から「ファイアウォール設定」を選択してください
  • 以下の通り設定を変更してください
    「低[初期設定]」 → 「制限なし」
以上で加入者網終端装置の設定は終了です。

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007