アクセス回線としてNTT西日本のフレッツ・光プレミアムを利用した環境において、FITELnet-Fシリーズ(F40を除く)でIPsecを行うための設定例について記載致します。
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)# ! ! ! ホスト名をEASTとします。 ! Router(config)# hostname EAST EAST(config)# ! ! ! LANインタフェースのIPアドレス/サブネットマスクを設定します。 ! EAST(config)# interface lan 1 EAST(config-if lan 1)# ip address 192.168.1.254 255.255.255.0 EAST(config-if lan 1)# exit ! ! ! EWAN1インタフェースの各種設定を行います。 ! EAST(config)# interface ewan 1 EAST(config-if ewan 1)# ip mtu 1400 EAST(config-if ewan 1)# ip address 192.168.24.60 255.255.255.0 EAST(config-if ewan 1)# exit ! ! ! NAT+の設定を行います。 ! EAST(config)# access-list 1 permit 192.168.1.0 0.0.0.255 EAST(config)# interface ewan 1 EAST(config-if ewan 1)# ip nat inside source list 1 interface EAST(config-if ewan 1)# exit ! ! ! ProxyDNSの設定を行います。 ! EAST(config)# proxydns mode both EAST(config)# proxydns default name-server v4 192.168.24.1 ! ! ! デフォルトルートの設定を行います。 ! EAST(config)# ip route 0.0.0.0 0.0.0.0 192.168.24.1 ! ! ! スタティックのフィルタリングルールを指定します。 ! EAST(config)# access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255 EAST(config)# access-list 160 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255 ! ! ! 学習フィルタリングのルールを指定します。 ! EAST(config)# access-list 190 dynamic permit ip any any EAST(config)# access-list 199 deny ip any any ! ! ! フィルタリングルールをEWAN1インタフェースに関連付けます。 ! EAST(config)# interface ewan 1 EAST(config-if ewan 1)# ip access-group 150 out EAST(config-if ewan 1)# ip access-group 160 in EAST(config-if ewan 1)# ip access-group 190 out EAST(config-if ewan 1)# ip access-group 199 in EAST(config-if ewan 1)# exit ! ! ! DHCPサーバ機能の設定を行います。 ! EAST(config)# service dhcp-server ! EAST(config)# ip dhcp pool lan1 *1 EAST(config-dhcp-pool)# dns-server 0.0.0.0 EAST(config-dhcp-pool)# default-router 0.0.0.0 EAST(config-dhcp-pool)# exit ! ! ! VPN機能を有効にします。 ! EAST(config)# vpn enable ! ! ! VPN通信動作中の詳細なログを残す設定にします。 ! EAST(config)# vpnlog enable ! ! ! Phase1ポリシーの設定を行ないます。 ! EAST(config)# crypto isakmp policy 1 EAST(config-isakmp)# authentication prekey EAST(config-isakmp)# encryption aes 128 EAST(config-isakmp)# hash sha EAST(config-isakmp)# group 2 EAST(config-isakmp)# key ascii FITELnet EAST(config-isakmp)# negotiation-mode main EAST(config-isakmp)# peer-identity address x.40.45.160 EAST(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! EAST(config)# ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac ! ! ! VPNセレクタの設定を行ないます。 ! EAST(config)# ipsec access-list 10 ipsec ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255 EAST(config)# ipsec access-list 64 bypass ip any any ! EAST(config)# crypto map PATH-1 1 EAST(config-crypto-map)# match address 10 EAST(config-crypto-map)# set peer address x.40.45.160 EAST(config-crypto-map)# set transform-set P2-POLICY EAST(config-crypto-map)# exit ! EAST(config)# interface ewan 1 EAST(config-if ewan 1)# crypto map PATH-1 EAST(config-if ewan 1)# exit ! ! ! 特権ユーザモードに戻ります。 ! EAST(config)# end ! ! ! 設定を保存します。 ! EAST# save SIDE-A.cfg % saving working-config % finished saving EAST# ! ! ! 設定を有効にするために再起動します。 ! EAST# reset Are you OK to cold start?(y/n) y
*1: | FITELnet F60/F200/F2000/F2200では、コマンド書式が変更になっており、下記の様なコマンドとなります。 Router(config)# ip dhcp pool lan 1 |
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)# ! ! ! ホスト名をWESTとします。 ! Router(config)# hostname WEST WEST(config)# ! ! ! LANインタフェースのIPアドレス/サブネットマスクを設定します。 ! WEST(config)# interface lan 1 WEST(config-if lan 1)# ip address 192.168.10.250 255.255.255.0 WEST(config-if lan 1)# exit ! ! ! EWAN1インタフェースの各種設定を行います。 ! WEST(config)# interface ewan 1 WEST(config-if ewan 1)# ip mtu 1400 WEST(config-if ewan 1)# ip address 192.168.24.70 255.255.255.0 WEST(config-if ewan 1)# exit ! ! ! NAT+の設定を行います。 ! WEST(config)# access-list 1 permit 192.168.10.0 0.0.0.255 WEST(config)# interface ewan 1 WEST(config-if ewan 1)# ip nat inside source list 1 interface WEST(config-if ewan 1)# exit ! ! ! ProxyDNSの設定を行います。 ! WEST(config)# proxydns mode both WEST(config)# proxydns default name-server v4 192.168.24.1 ! ! ! デフォルトルートの設定を行います。 ! WEST(config)# ip route 0.0.0.0 0.0.0.0 192.168.24.1 ! ! ! スタティックのフィルタリングルールを指定します。 ! WEST(config)# access-list 150 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255 WEST(config)# access-list 160 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255 ! ! ! 学習フィルタリングのルールを指定します。 ! WEST(config)# access-list 190 dynamic permit ip any any WEST(config)# access-list 199 deny ip any any ! ! ! フィルタリングルールをEWAN1インタフェースに関連付けます。 ! WEST(config)# interface ewan 1 WEST(config-if ewan 1)# ip access-group 150 out WEST(config-if ewan 1)# ip access-group 160 in WEST(config-if ewan 1)# ip access-group 190 out WEST(config-if ewan 1)# ip access-group 199 in WEST(config-if ewan 1)# exit ! ! ! DHCPサーバ機能の設定を行います。 ! WEST(config)# service dhcp-server ! WEST(config)# ip dhcp pool lan1 WEST(config-dhcp-pool)# dns-server 0.0.0.0 WEST(config-dhcp-pool)# default-router 0.0.0.0 WEST(config-dhcp-pool)# exit ! ! ! VPN機能を有効にします。 ! WEST(config)# vpn enable ! ! ! VPN通信動作中の詳細なログを残す設定にします。 ! WEST(config)# vpnlog enable ! ! ! Phase1ポリシーの設定を行ないます。 ! WEST(config)# crypto isakmp policy 1 WEST(config-isakmp)# authentication prekey WEST(config-isakmp)# encryption aes 128 WEST(config-isakmp)# hash sha WEST(config-isakmp)# group 2 WEST(config-isakmp)# key ascii FITELnet WEST(config-isakmp)# negotiation-mode main WEST(config-isakmp)# peer-identity address x.40.45.161 WEST(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! WEST(config)# ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac ! ! ! VPNセレクタの設定を行ないます。 ! WEST(config)# ipsec access-list 10 ipsec ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255 WEST(config)# ipsec access-list 64 bypass ip any any ! WEST(config)# crypto map PATH-1 1 WEST(config-crypto-map)# match address 10 WEST(config-crypto-map)# set peer address x.40.45.161 WEST(config-crypto-map)# set transform-set P2-POLICY WEST(config-crypto-map)# exit ! WEST(config)# interface ewan 1 WEST(config-if ewan 1)# crypto map PATH-1 WEST(config-if ewan 1)# exit ! ! ! 特権ユーザモードに戻ります。 ! WEST(config)# end ! ! ! 設定を保存します。 ! WEST# save SIDE-A.cfg % saving working-config % finished saving WEST# ! ! ! 設定を有効にするために再起動します。 ! WEST# reset Are you OK to cold start?(y/n) y