※F100をF1000に置き換えても運用できます
センタ側 | 20.20.20.1 |
拠点1側 | 不定 |
拠点2側 | 不定 |
IPsecの対象とする中継パケット(センタ側) |
192.168.0.0/16 → 192.168.3.0/24 192.168.0.0/16 → 192.168.2.0/24 |
IPsecの対象とする中継パケット(拠点1側) | 192.168.0.0/16 ← 192.168.3.0/24 |
IPsecの対象とする中継パケット(拠点2側) | 192.168.0.0/16 ← 192.168.2.0/24 |
IPsec Phase1ポリシー |
モード ・・・ Aggressiveモード 認証方式 ・・・ 事前共有鍵方式 暗号化方式 ・・・ AES 128 ハッシュ方式 ・・・ SHA Diffie-Hellman ・・・ Group 2 |
IPsec Phase2ポリシー |
暗号化方式 ・・・ AES 128 ハッシュ方式 ・・・ SHA |
センタ
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)# ! ! ! ホスト名を center とします。 ! Router(config)# hostname center center(config)# ! ! ! LANインタフェースのIPアドレス/サブネットマスクを設定します。 ! center(config)# interface lan 1 center(config-if lan 1)# ip address 192.168.100.1 255.255.255.0 center(config-if lan 1)# exit ! ! ! PPPoE1インタフェースの各種設定を行います。 ! center(config)# interface pppoe 1 center(config-if pppoe 1)# pppoe server A-Provider center(config-if pppoe 1)# pppoe account test1@test password center(config-if pppoe 1)# ip address 20.20.20.1 center(config-if pppoe 1)# pppoe type host center(config-if pppoe 1)# exit ! ! ! NAT+の設定を行います。 ! center(config)# access-list 1 permit 192.168.100.0 0.0.0.255 center(config)# interface pppoe 1 center(config-if pppoe 1)# ip nat inside source list 1 interface center(config-if pppoe 1)# exit ! ! ! デフォルトルートの設定を行います。 ! center(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! ! DHCPサーバ機能の設定を行います。 ! center(config)# service dhcp-server center(config)# ip dhcp pool lan1 center(config-dhcp-pool)# default-router 0.0.0.0 center(config-dhcp-pool)# exit ! ! ! VPN機能を有効にします。 ! center(config)# vpn enable ! ! ! VPN通信動作中の詳細なログを残す設定にします。 ! center(config)# vpnlog enable ! ! ! Phase1ポリシーの設定を行ないます。 ! center(config)# crypto isakmp policy 1 center(config-isakmp)# authentication prekey center(config-isakmp)# encryption aes 128 center(config-isakmp)# group 2 center(config-isakmp)# hash sha center(config-isakmp)# idtype-pre userfqdn center(config-isakmp)# key ascii SECRET-VPN center(config-isakmp)# negotiation-mode aggressive center(config-isakmp)# peer-identity host KYOTEN-1 center(config-isakmp)# exit ! center(config)# crypto isakmp policy 2 center(config-isakmp)# authentication prekey center(config-isakmp)# encryption aes 128 center(config-isakmp)# group 2 center(config-isakmp)# hash sha center(config-isakmp)# idtype-pre userfqdn center(config-isakmp)# key ascii SECRET-VPN center(config-isakmp)# negotiation-mode aggressive center(config-isakmp)# peer-identity host KYOTEN-2 center(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! center(config)# ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac ! ! ! VPNセレクタの設定を行ないます。 ! center(config)# ipsec access-list 1 ipsec ip 192.168.0.0 0.0.255.255 192.168.3.0 0.0.0.255 ! 拠点1とは見かけ上192.168.3.0/24とIPsecを行います center(config)# ipsec access-list 2 ipsec ip 192.168.0.0 0.0.255.255 192.168.2.0 0.0.0.255 ! 拠点2とは見かけ上192.168.2.0/24とIPsecを行います center(config)# ipsec access-list 64 bypass ip any any ! center(config)# crypto map kyoten1 1 center(config-crypto-map)# match address 1 center(config-crypto-map)# set peer host KYOTEN-1 center(config-crypto-map)# set transform-set P2-POLICY center(config-crypto-map)# exit ! center(config)# crypto map kyoten2 2 center(config-crypto-map)# match address 2 center(config-crypto-map)# set peer host KYOTEN-2 center(config-crypto-map)# set transform-set P2-POLICY center(config-crypto-map)# exit ! center(config)# interface pppoe 1 center(config-if pppoe 1)# crypto map kyoten1 center(config-if pppoe 1)# crypto map kyoten2 center(config-if pppoe 1)# exit ! ! ! 特権ユーザモードに戻ります。 ! center(config)# end ! ! ! 設定を保存します。 ! center# save SIDE-A.cfg % saving working-config % finished saving center# ! ! ! 設定を有効にするために再起動します。 ! center# reset Are you OK to cold start?(y/n) y
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)# ! ! ! ホスト名を kyoten-1 とします。 ! Router(config)# hostname kyoten-1 kyoten-1(config)# ! ! ! LANインタフェースのIPアドレス/サブネットマスクを設定します。 ! kyoten-1(config)# interface lan 1 kyoten-1(config-if lan 1)# ip address 192.168.1.1 255.255.255.0 kyoten-1(config-if lan 1)# exit ! ! ! PPPoE1インタフェースの各種設定を行います。 ! kyoten-1(config)# interface pppoe 1 kyoten-1(config-if pppoe 1)# pppoe server B-Provider kyoten-1(config-if pppoe 1)# pppoe account test2@test password kyoten-1(config-if pppoe 1)# pppoe type host kyoten-1(config-if pppoe 1)# exit ! ! ! NAT+の設定を行います。 ! kyoten-1(config)# access-list 1 permit 192.168.1.0 0.0.0.255 kyoten-1(config)# interface pppoe 1 kyoten-1(config-if pppoe 1)# ip nat inside source list 1 interface kyoten-1(config-if pppoe 1)# exit ! ! ! デフォルトルートの設定を行います。 ! kyoten-1(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! ! DHCPサーバ機能の設定を行います。 ! kyoten-1(config)# service dhcp-server kyoten-1(config)# ip dhcp pool lan1 kyoten-1(config-dhcp-pool)# default-router 0.0.0.0 kyoten-1(config-dhcp-pool)# exit ! ! ! VPN機能を有効にします。 ! kyoten-1(config)# vpn enable ! ! ! VPN通信動作中の詳細なログを残す設定にします。 ! kyoten-1(config)# vpnlog enable ! ! ! Phase1ポリシーの設定を行ないます。 ! kyoten-1(config)# crypto isakmp policy 1 kyoten-1(config-isakmp)# authentication prekey kyoten-1(config-isakmp)# encryption aes 128 kyoten-1(config-isakmp)# group 2 kyoten-1(config-isakmp)# hash sha kyoten-1(config-isakmp)# idtype-pre userfqdn kyoten-1(config-isakmp)# key ascii SECRET-VPN kyoten-1(config-isakmp)# my-identity KYOTEN-1 kyoten-1(config-isakmp)# negotiation-mode aggressive kyoten-1(config-isakmp)# peer-identity address 20.20.20.1 kyoten-1(config-isakmp)# ip vpn-nat pool VPN-POOL-OUT 192.168.3.0 0.0.0.255 ! NAT変換プール「VPN-POOL-OUT」の設定 ! (相手に見せるVPN-NAT変換後のネットワークアドレス) kyoten-1(config-isakmp)# ip vpn-nat inside source list 1 pool VPN-POOL-OUT ! アクセスリスト1で示される送信元ネットワークを、 ! 指定プールで示されるネットワークにNAT変換する kyoten-1(config-isakmp)# ip vpn-nat inside destination static 192.168.3.100 192.168.1.100 ! センタ側→拠点1側へのNATスタティック設定 ! (192.168.3.100宛ての通信は192.168.1.100(サーバ)へ変換する) kyoten-1(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! kyoten-1(config)# ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac ! ! ! VPNセレクタの設定を行ないます。 ! kyoten-1(config)# ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255 kyoten-1(config)# ipsec access-list 64 bypass ip any any ! kyoten-1(config)# crypto map center 1 kyoten-1(config-crypto-map)# match address 1 kyoten-1(config-crypto-map)# set peer address 20.20.20.1 kyoten-1(config-crypto-map)# set security-association always-up kyoten-1(config-crypto-map)# set transform-set P2-POLICY kyoten-1(config-crypto-map)# exit ! kyoten-1(config)# interface pppoe 1 kyoten-1(config-if pppoe 1)# crypto map center kyoten-1(config-if pppoe 1)# exit ! ! ! 特権ユーザモードに戻ります。 ! kyoten-1(config)# end ! ! ! 設定を保存します。 ! kyoten-1# save SIDE-A.cfg % saving working-config % finished saving kyoten-1# ! ! ! 設定を有効にするために再起動します。 ! kyoten-1# reset Are you OK to cold start?(y/n) y
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: super ←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)# ! ! ! ホスト名を kyoten-2 とします。 ! Router(config)# hostname kyoten-2 kyoten-2(config)# ! ! ! LANインタフェースのIPアドレス/サブネットマスクを設定します。 ! kyoten-2(config)# interface lan 1 kyoten-2(config-if lan 1)# ip address 192.168.1.1 255.255.255.0 kyoten-2(config-if lan 1)# exit ! ! ! PPPoE1インタフェースの各種設定を行います。 ! kyoten-2(config)# interface pppoe 1 kyoten-2(config-if pppoe 1)# pppoe server C-Provider kyoten-2(config-if pppoe 1)# pppoe account test3@test password kyoten-2(config-if pppoe 1)# pppoe type host kyoten-2(config-if pppoe 1)# exit ! ! ! NAT+の設定を行います。 ! kyoten-2(config)# access-list 1 permit 192.168.1.0 0.0.0.255 kyoten-2(config)# interface pppoe 1 kyoten-2(config-if pppoe 1)# ip nat inside source list 1 interface kyoten-2(config-if pppoe 1)# exit ! ! ! デフォルトルートの設定を行います。 ! kyoten-2(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 ! ! ! DHCPサーバ機能の設定を行います。 ! kyoten-2(config)# service dhcp-server kyoten-2(config)# ip dhcp pool lan1 kyoten-2(config-dhcp-pool)# default-router 0.0.0.0 kyoten-2(config-dhcp-pool)# exit ! ! ! VPN機能を有効にします。 ! kyoten-2(config)# vpn enable ! ! ! VPN通信動作中の詳細なログを残す設定にします。 ! kyoten-2(config)# vpnlog enable ! ! ! Phase1ポリシーの設定を行ないます。 ! kyoten-2(config)# crypto isakmp policy 1 kyoten-2(config-isakmp)# authentication prekey kyoten-2(config-isakmp)# encryption aes 128 kyoten-2(config-isakmp)# group 2 kyoten-2(config-isakmp)# hash sha kyoten-2(config-isakmp)# idtype-pre userfqdn kyoten-2(config-isakmp)# key ascii SECRET-VPN kyoten-2(config-isakmp)# my-identity KYOTEN-2 kyoten-2(config-isakmp)# negotiation-mode aggressive kyoten-2(config-isakmp)# peer-identity address 20.20.20.1 kyoten-2(config-isakmp)# ip vpn-nat pool VPN-POOL-OUT 192.168.2.0 0.0.0.255 ! NAT変換プール「VPN-POOL-OUT」の設定 ! (相手に見せるVPN-NAT変換後のネットワークアドレス) kyoten-2(config-isakmp)# ip vpn-nat inside source list 1 pool VPN-POOL-OUT ! アクセスリスト1で示される送信元ネットワークを、 ! 指定プールで示されるネットワークにNAT変換する kyoten-2(config-isakmp)# ip vpn-nat inside destination static 192.168.2.100 192.168.1.100 ! センタ側→拠点1側へのNATスタティック設定 ! (192.168.2.100宛ての通信は192.168.1.100(サーバ)へ変換する) kyoten-2(config-isakmp)# exit ! ! ! Phase2ポリシーの設定を行ないます。 ! kyoten-2(config)# ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac ! ! ! VPNセレクタの設定を行ないます。 ! kyoten-2(config)# ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255 kyoten-2(config)# ipsec access-list 64 bypass ip any any ! kyoten-2(config)# crypto map center 1 kyoten-2(config-crypto-map)# match address 1 kyoten-2(config-crypto-map)# set peer address 20.20.20.1 kyoten-2(config-crypto-map)# set security-association always-up kyoten-2(config-crypto-map)# set transform-set P2-POLICY kyoten-2(config-crypto-map)# exit ! kyoten-2(config)# interface pppoe 1 kyoten-2(config-if pppoe 1)# crypto map center kyoten-2(config-if pppoe 1)# exit ! ! ! 特権ユーザモードに戻ります。 ! kyoten-2(config)# end ! ! ! 設定を保存します。 ! kyoten-2# save SIDE-A.cfg % saving working-config % finished saving kyoten-2# ! ! ! 設定を有効にするために再起動します。 ! kyoten-2# reset Are you OK to cold start?(y/n) y