古河電工ネットワーク機器の総合ブランド ファイテルネット
設定例
1. センタ(IP固定)、拠点(IP固定)
概要
アクセス回線としてNTT西日本のフレッツ・光プレミアムを利用した環境において、FITELnet-Fシリーズ(F40を除く)でIPsecを行うための設定例について記載致します。
- IPsecのMain modeにて接続します
- IPsec以外に各拠点から直接、平文でのインターネットへの接続を可能とします
-
本接続において、加入者網終端装置(CTU)の設定変更が必要です
(本文の後半に設定手順を記載してあります)
補足・注意点
動作説明
- その他情報
- 使用機器
-
- F100(EAST) ※FITELnet-Fシリーズ(F40を除く)であれば同様に使用可能です
- F100(WEST) ※FITELnet-Fシリーズ(F40を除く)であれば同様に使用可能です
- CTU:加入者網終端装置 2004W(S) 住友電工製
- 使用サービス
-
- 両拠点とも各プロバイダのIP1固定アドレスサービスを利用します
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
設定例 F100(EAST)側
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)# ! ! ! ホスト名をEASTとします。 ! Router(config)# hostname EAST EAST(config)# ! ! ! LANインタフェースのIPアドレス/サブネットマスクを設定します。 ! EAST(config)# interface lan 1 EAST(config-if lan 1)# ip address 192.168.1.254 255.255.255.0 EAST(config-if lan 1)# exit ! ! ! EWAN1インタフェースの各種設定を行います。 ! EAST(config)# interface ewan 1 EAST(config-if ewan 1)# ip mtu 1400 EAST(config-if ewan 1)# ip address 192.168.24.60 255.255.255.0 EAST(config-if ewan 1)# exit ! ! ! NAT+の設定を行います。 ! EAST(config)# access-list 1 permit 192.168.1.0 0.0.0.255 EAST(config)# interface ewan 1 EAST(config-if ewan 1)# ip nat inside source list 1 interface EAST(config-if ewan 1)# exit ! ! ! ProxyDNSの設定を行います。 ! EAST(config)# proxydns mode both EAST(config)# proxydns default name-server v4 192.168.24.1 ! ! ! デフォルトルートの設定を行います。 ! EAST(config)# ip route 0.0.0.0 0.0.0.0 192.168.24.1 ! ! ! スタティックのフィルタリングルールを指定します。 ! EAST(config)# access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255 EAST(config)# access-list 160 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255 ! ! ! 学習フィルタリングのルールを指定します。 ! EAST(config)# access-list 190 dynamic permit ip any any EAST(config)# access-list 199 deny ip any any ! ! ! フィルタリングルールをEWAN1インタフェースに関連付けます。 ! EAST(config)# interface ewan 1 EAST(config-if ewan 1)# ip access-group 150 out EAST(config-if ewan 1)# ip access-group 160 in EAST(config-if ewan 1)# ip access-group 190 out EAST(config-if ewan 1)# ip access-group 199 in EAST(config-if ewan 1)# exit ! ! ! DHCPサーバ機能の設定を行います。 ! EAST(config)# service dhcp-server ! EAST(config)# ip dhcp pool lan1 *1 EAST(config-dhcp-pool)# dns-server 0.0.0.0 EAST(config-dhcp-pool)# default-router 0.0.0.0 EAST(config-dhcp-pool)# exit ! ! ! VPN機能を有効にします。 ! EAST(config)# vpn enable ! ! ! VPN通信動作中の詳細なログを残す設定にします。 ! EAST(config)# vpnlog enable ! ! ! Phase1ポリシーの設定を行ないます。 ! EAST(config)# crypto isakmp policy 1 EAST(config-isakmp)# authentication prekey EAST(config-isakmp)# encryption aes 128 EAST(config-isakmp)# hash sha EAST(config-isakmp)# group 2 EAST(config-isakmp)# key ascii FITELnet EAST(config-isakmp)# negotiation-mode main EAST(config-isakmp)# peer-identity address x.40.45.160 EAST(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! EAST(config)# ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac ! ! ! VPNセレクタの設定を行ないます。 ! EAST(config)# ipsec access-list 10 ipsec ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255 EAST(config)# ipsec access-list 64 bypass ip any any ! EAST(config)# crypto map PATH-1 1 EAST(config-crypto-map)# match address 10 EAST(config-crypto-map)# set peer address x.40.45.160 EAST(config-crypto-map)# set transform-set P2-POLICY EAST(config-crypto-map)# exit ! EAST(config)# interface ewan 1 EAST(config-if ewan 1)# crypto map PATH-1 EAST(config-if ewan 1)# exit ! ! ! 特権ユーザモードに戻ります。 ! EAST(config)# end ! ! ! 設定を保存します。 ! EAST# save SIDE-A.cfg % saving working-config % finished saving EAST# ! ! ! 設定を有効にするために再起動します。 ! EAST# reset Are you OK to cold start?(y/n) y
| *1: | FITELnet F60/F200/F2000/F2200では、コマンド書式が変更になっており、下記の様なコマンドとなります。 Router(config)# ip dhcp pool lan 1 |
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
設定例 F100(WEST)側
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)# ! ! ! ホスト名をWESTとします。 ! Router(config)# hostname WEST WEST(config)# ! ! ! LANインタフェースのIPアドレス/サブネットマスクを設定します。 ! WEST(config)# interface lan 1 WEST(config-if lan 1)# ip address 192.168.10.250 255.255.255.0 WEST(config-if lan 1)# exit ! ! ! EWAN1インタフェースの各種設定を行います。 ! WEST(config)# interface ewan 1 WEST(config-if ewan 1)# ip mtu 1400 WEST(config-if ewan 1)# ip address 192.168.24.70 255.255.255.0 WEST(config-if ewan 1)# exit ! ! ! NAT+の設定を行います。 ! WEST(config)# access-list 1 permit 192.168.10.0 0.0.0.255 WEST(config)# interface ewan 1 WEST(config-if ewan 1)# ip nat inside source list 1 interface WEST(config-if ewan 1)# exit ! ! ! ProxyDNSの設定を行います。 ! WEST(config)# proxydns mode both WEST(config)# proxydns default name-server v4 192.168.24.1 ! ! ! デフォルトルートの設定を行います。 ! WEST(config)# ip route 0.0.0.0 0.0.0.0 192.168.24.1 ! ! ! スタティックのフィルタリングルールを指定します。 ! WEST(config)# access-list 150 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255 WEST(config)# access-list 160 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255 ! ! ! 学習フィルタリングのルールを指定します。 ! WEST(config)# access-list 190 dynamic permit ip any any WEST(config)# access-list 199 deny ip any any ! ! ! フィルタリングルールをEWAN1インタフェースに関連付けます。 ! WEST(config)# interface ewan 1 WEST(config-if ewan 1)# ip access-group 150 out WEST(config-if ewan 1)# ip access-group 160 in WEST(config-if ewan 1)# ip access-group 190 out WEST(config-if ewan 1)# ip access-group 199 in WEST(config-if ewan 1)# exit ! ! ! DHCPサーバ機能の設定を行います。 ! WEST(config)# service dhcp-server ! WEST(config)# ip dhcp pool lan1 WEST(config-dhcp-pool)# dns-server 0.0.0.0 WEST(config-dhcp-pool)# default-router 0.0.0.0 WEST(config-dhcp-pool)# exit ! ! ! VPN機能を有効にします。 ! WEST(config)# vpn enable ! ! ! VPN通信動作中の詳細なログを残す設定にします。 ! WEST(config)# vpnlog enable ! ! ! Phase1ポリシーの設定を行ないます。 ! WEST(config)# crypto isakmp policy 1 WEST(config-isakmp)# authentication prekey WEST(config-isakmp)# encryption aes 128 WEST(config-isakmp)# hash sha WEST(config-isakmp)# group 2 WEST(config-isakmp)# key ascii FITELnet WEST(config-isakmp)# negotiation-mode main WEST(config-isakmp)# peer-identity address x.40.45.161 WEST(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! WEST(config)# ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac ! ! ! VPNセレクタの設定を行ないます。 ! WEST(config)# ipsec access-list 10 ipsec ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255 WEST(config)# ipsec access-list 64 bypass ip any any ! WEST(config)# crypto map PATH-1 1 WEST(config-crypto-map)# match address 10 WEST(config-crypto-map)# set peer address x.40.45.161 WEST(config-crypto-map)# set transform-set P2-POLICY WEST(config-crypto-map)# exit ! WEST(config)# interface ewan 1 WEST(config-if ewan 1)# crypto map PATH-1 WEST(config-if ewan 1)# exit ! ! ! 特権ユーザモードに戻ります。 ! WEST(config)# end ! ! ! 設定を保存します。 ! WEST# save SIDE-A.cfg % saving working-config % finished saving WEST# ! ! ! 設定を有効にするために再起動します。 ! WEST# reset Are you OK to cold start?(y/n) y
- 加入者網終端装置(2004W(S))の設定手順
- はじめに静的アドレス設定を行います。
-
- CTU設定のTOP画面から 「静的アドレス変換設定(ポート指定)」を選択してください
- 優先順位に「1」を入力し、「追加」ボタンを押します
- 「接続先1」 … (プロバイダへの接続設定がしてある接続先を指定してください)プロトコル 「全プロトコル」
- LAN側端末IPアドレスのIPアドレスを入力してください「192.168.234.60」…EAST側,「192.168.24.70」…WEST側
- 以上で静的アドレス設定は終了です。
- 続いてファイアウォール設定を変更します。
-
- CTU設定のTOP画面から「ファイアウォール設定」を選択してください
-
以下の通り設定を変更してください
「低[初期設定]」 → 「制限なし」
- 以上で加入者網終端装置の設定は終了です。
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007