ニフクラの設定を行います。
以下、主要な設定画面について説明していきます。
プライベート LAN を作成します。ニフクラコントロールパネルより、”プライベート LAN作成” をクリックします。
プライベート LAN CIDR など、各パラメータを入力し、”確認へ” をクリックします。
設定内容を確認し、”作成する”をクリックします。
各パラメータの詳細は Web で提供されている技術資料をご覧ください。
ニフクラコントロールパネルより、”VPN ゲートウェイ作成” をクリックします。
環境にあったパラメータを入力し、”ファイアウォール設定へ” をクリックします。
必要に応じてファイアウォールの設定を行い、”確認へ”をクリックします。
設定内容を確認し、”作成する”をクリックします。
各パラメータの詳細は Web で提供されている技術資料をご覧ください。
ニフクラコントロールパネルより、”カスタマーゲートウェイ作成” をクリックします。
対向機器 IP アドレス、接続方式: VTI/IPsec、対向機器 LAN 側 IP アドレス帯など、各パラメータを入力し、”作成する” をクリックします。
各パラメータの詳細は Web で提供されている技術資料をご覧ください。
ニフクラコントロールパネルより、VPN ゲートウェイをクリックし、”VPN コネクション作成” をクリックします。
接続方式: VTI/IPsec、IKE バージョン: IKEv1 など、IPsec 関連のパラメータを入力し、”トンネル設定へ” をクリックします。
”確認へ”をクリックします。
設定内容を確認し、”作成する”をクリックします。
各パラメータの詳細は Web で提供されている技術資料をご覧ください。
ニフクラコントロールパネルより、”ルートテーブル作成” をクリックします。
拠点 LAN 宛のルートを追加し、”作成する” をクリックします。
詳細は Web で提供されている技術資料をご覧ください。
ニフクラコントロールパネルより、VPN ゲートウェイをクリックし、”ルートテーブル設定変更” をクリックします。
変更するルートテーブル ID に手順 5. で作成したルートテーブルを設定し、”変更する”をクリックします。
下図のように拠点 LAN 宛のルートテーブルが登録されていることを確認します。
詳細は Web で提供されている技術資料をご覧ください。
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: super ←パスワードを入力します(実際は何も表示されません)。 Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)#! Router(config)#! VPN 設定 Router(config)#! Router(config)# vpn enable Router(config)# vpnlog enable Router(config)#! Router(config)# ip route 172.16.1.0 255.255.255.0 connected ipsecif 1 Router(config)#! Router(config)# ipsec access-list 1 ipsec ip any any Router(config)# ipsec access-list 64 bypass ip any any Router(config)#! Router(config)# ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac Router(config)#! Router(config)# crypto isakmp policy 1 Router(config-isakmp)# authentication prekey Router(config-isakmp)# encryption aes 128 Router(config-isakmp)# group 2 Router(config-isakmp)# hash sha Router(config-isakmp)# keepalive always-send Router(config-isakmp)# key ascii SECRET Router(config-isakmp)# lifetime 28800 Router(config-isakmp)# negotiation-mode main Router(config-isakmp)# peer-identity address 198.51.100.1 Router(config-isakmp)# exit Router(config)#! Router(config)# crypto security-association Router(config-crypto-sa)# ikealive freq 15 Router(config-crypto-sa)# ikealive retry max 5 Router(config-crypto-sa)# ikealive retry timer 15 Router(config-crypto-sa)# exit Router(config)#! Router(config)# crypto map CENTER 1 Router(config-crypto-map)# match address 1 Router(config-crypto-map)# set peer address 198.51.100.1 Router(config-crypto-map)# set pfs group2 Router(config-crypto-map)# set security-association lifetime seconds 3600 Router(config-crypto-map)# set transform-set P2-POLICY Router(config-crypto-map)# exit Router(config)#! Router(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 Router(config)# access-list 100 permit ip 10.0.1.0 0.0.0.255 172.16.1.0 0.0.0.255 Router(config)# access-list 100 deny ip any any Router(config)#! Router(config)# interface ipsecif 1 Router(config-if ipsecif 1)# crypto map CENTER Router(config-if ipsecif 1)# ip access-group 100 out Router(config-if ipsecif 1)# ip mtu 1500 Router(config-if ipsecif 1)# exit Router(config)# mss vlanif 1 1300 Router(config)# mss vlanif 2 1300 Router(config)# mss ipsecif 1 1300 Router(config)#! Router(config)#! 経路設定 Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 Router(config)#! Router(config)#! NAT 対象設定 Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)# access-list 1 permit 10.0.1.0 0.0.0.255 Router(config)#! Router(config)#! フィルタ対象設定 Router(config)# access-list 150 permit esp host 203.0.113.1 host 198.51.100.1 Router(config)# access-list 160 permit esp host 198.51.100.1 host 203.0.113.1 Router(config)# access-list 190 dynamic permit ip any any Router(config)# access-list 199 deny ip any any Router(config)#! Router(config)#! WAN インターフェース設定 Router(config)# interface pppoe 1 Router(config-if pppoe 1)# ip address 203.0.113.1 Router(config-if pppoe 1)# pppoe server PPPOE_SVR Router(config-if pppoe 1)# pppoe account xxxxxxxx@xxx.xxx.ne.jp xxxxxxxx Router(config-if pppoe 1)# pppoe type lan Router(config-if pppoe 1)#! NAT 設定 Router(config-if pppoe 1)# ip nat inside source list 1 interface Router(config-if pppoe 1)#! フィルタ設定 Router(config-if pppoe 1)# ip access-group 150 out Router(config-if pppoe 1)# ip access-group 160 in Router(config-if pppoe 1)# ip access-group 190 out Router(config-if pppoe 1)# ip access-group 199 in Router(config-if pppoe 1)# exit Router(config)#! Router(config)#! LAN インターフェース設定 Router(config)# line lan Router(config-line lan)# vlan 1 bridge-group 11 Router(config-line lan)# vlan 1 port-vlan 11 Router(config-line lan)# vlan 2 bridge-group 12 Router(config-line lan)# vlan 2 port-vlan 12 Router(config-line lan)# exit Router(config)#! Router(config)# interface vlanif 1 Router(config-if vlanif 1)# ip address 192.168.1.254 255.255.255.0 Router(config-if vlanif 1)# bridge-group lan 11 Router(config-if vlanif 1)# vlan-id 11 Router(config-if vlanif 1)# exit Router(config)#! Router(config)# interface vlanif 2 Router(config-if vlanif 2)# ip address 10.0.1.254 255.255.255.0 Router(config-if vlanif 2)# bridge-group lan 12 Router(config-if vlanif 2)# vlan-id 12 Router(config-if vlanif 2)# exit Router(config)#! Router(config)#! proxydns 設定 Router(config)# proxydns mode v4 Router(config)#! Router(config)#! DHCP サーバ設定 Router(config)# service dhcp-server Router(config)# ip dhcp pool vlanif 1 Router(config-dhcp-pool)# dns-server 0.0.0.0 Router(config-dhcp-pool)# default-router 0.0.0.0 Router(config-dhcp-pool)# allocate-address 192.168.1.1 100 Router(config-dhcp-pool)# lease 0 8 Router(config-dhcp-pool)# exit Router(config)#! Router(config)# ip dhcp pool vlanif 2 Router(config-dhcp-pool)# dns-server 0.0.0.0 Router(config-dhcp-pool)# default-router 0.0.0.0 Router(config-dhcp-pool)# allocate-address 10.0.1.1 100 Router(config-dhcp-pool)# lease 0 8 Router(config-dhcp-pool)# exit Router(config)#! Router(config)#! 特権ユーザモードに戻ります。 Router(config)#! Router(config)# end Router# ! ! ! 設定を保存します。 ! Router# save SIDE-A.cfg % saving working-config % finished saving Router# ! ! ! 設定を有効にするために再起動します。 ! Router# reset Are you OK to cold start?(y/n) y
Router#ping 172.16.1.1 source-interface vlanif 1 Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms Router# Router#ping 172.16.1.1 source-interface vlanif 2 Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms Router#