古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
 
設定例
センター側を機器および回線冗長の構成とする
概要
補足・注意点
構成図
前提条件

IPsec条件
ISAKMP ポリシー モード Aggressiveモード
認証方式 事前共有鍵方式
暗号化方式 AES 256ビット
ハッシュ方式 SHA-256
Diffie-Hellman Group 14
ライフタイム 86400秒
IPSEC ポリシー PFS Group14
暗号化方式 AES 256ビット
ハッシュ方式 SHA-256
ライフタイム 28800秒
フラグメント ポストフラグメント
拠点(F220) 常にSAを確立する
IPsec対象経路 センタ(F220) 192.168.2.0/24
192.168.3.0/24
拠点1(F220) 192.168.1.0/24
拠点2(F220) 192.168.1.0/24

インターフェース設定モード
項目 センタ(F220) 拠点(F220)
WANインターフェース interface GigaEthernet 2/1  ※ interface GigaEthernet 2/1  ※
  インターフェース名 pppoe enable pppoe enable
  VLAN-ID値 vlan-id 2 vlan-id 2
  ブリッジグループ番号 bridge-group 2 bridge-group 2
インターフェース設定 interface Tunnel 1 interface Tunnel 1
  PPPoE プロファイル PPPOE_PROF PPPOE_PROF
PPPoE プロファイル設定 pppoe profile PPPOE_PROF pppoe profile PPPOE_PROF
LANインターフェース interface GigaEthernet 1/1  ※ interface GigaEthernet 1/1  ※
  インターフェース名 channel-group 1 channel-group 1
  VLAN-ID値 vlan-id 1 vlan-id 1
  ブリッジグループ番号 bridge-group 1 bridge-group 1
インターフェース設定 interface Port-channel 1 interface Port-channel 1
  VRRP機能 有効 -
※GigaEthernet の設定には必ずvlanidとbridge-groupの設定が必要です。
VPN設定モード
項目 センタ(F220) 拠点(F220)
インターフェース設定 interface Tunnel 2
interface Tunnel 3
interface Tunnel 2
interface Tunnel 3
  マップ名 KYOTEN_1
KYOTEN_2
CENTER
CENTER_BK
マップ設定 crypto map KYOTEN_1 ipsec-isakmp
crypto map KYOTEN_2 ipsec-isakmp
crypto map CENTER ipsec-isakmp
crypto map CENTER_BK ipsec-isakmp
  セレクタ名 SELECTOR SELECTOR
  ISAKMP プロファイル PROF0001
PROF0002
PROF0001
PROF0002
セレクタ設定
(VPN対象パケット)
crypto ipsec selector SELECTOR crypto ipsec selector SELECTOR
ISAKMP プロファイル設定 crypto isakmp profile PROF0001
crypto isakmp profile PROF0002
crypto isakmp profile PROF0001
crypto isakmp profile PROF0002
  ISAKMP ポリシー名 P1-POLICY P1-POLICY
  IPSEC ポリシー名 P2-POLICY P2-POLICY
ISAKMP ポリシー設定 crypto isakmp policy P1-POLICY crypto isakmp policy P1-POLICY
IPSEC ポリシー設定 crypto ipsec policy P2-POLICY crypto ipsec policy P2-POLICY
  • センタ側の端末は VRRP 代表IPアドレス(192.168.1.254)をゲートウェイアドレスとして設定します。
  • センタ1はグローバル側の回線DOWN/UPを利用したイベントアクションの設定を行います。
  • 拠点側はsurveyによる経路制御の設定を行います。


  • コマンド設定の例
    (!の行はコメントです。実際に入力する必要はありません。)
    この設定を利用したい方は
    センタ1
    !
    !
    ! 特権ユーザモードに移行します。
    !
    > enable
    password: super ←パスワードを入力します。(実際は表示されない)
    !
    !
    ! 基本設定モードに移行します。
    !
    #configure terminal
    
    (config)#
    !
    !
    ! デフォルトルートを tunnel 1(PPPoE) に設定します。
    !
    (config)#ip route 0.0.0.0 0.0.0.0 tunnel 1
    !
    !
    ! 拠点宛の経路情報を各tunnel(IPsecトンネル)に設定します。
    !
    (config)#ip route 192.168.2.0 255.255.255.0 tunnel 2
    (config)#ip route 192.168.3.0 255.255.255.0 tunnel 3
    !
    !
    !
    ! NAT で変換対象とする送信元アドレス
    ! (ここではLAN 側アドレスを対象とします)を登録します。
    !
    (config)#ip nat list 1 192.168.1.0 0.0.0.255
    !
    !
    ! Port-channel にLAN側IPアドレスを設定します。
    !
    (config)#interface Port-channel 1
    (config-if-ch 1)# ip address 192.168.1.251 255.255.255.0
    (config-if-ch 1)# mss 1300
    (config-if-ch 1)#exit
    !
    !
    ! PPPoEの設定をします。
    ! プロバイダから指定された 認証ID、パスワードなどを設定します。
    !
    (config)#pppoe profile PPPOE_PROF
    (config-pppoe-profile PPPOE_PROF)# account abc012@***.***.ne.jp xxxyyyzzz
    (config-pppoe-profile PPPOE_PROF)#exit
    !
    !
    ! Tunnel インタフェース設定モードに移行します。
    !
    (config)#interface Tunnel 1
    !
    !
    ! プロバイダから指定された IPアドレスなどを設定します。
    !
    (config-if-tun 1)# description FLETS
    (config-if-tun 1)# ip address 192.0.2.1 255.255.255.255
    !
    !
    ! NAT+ の設定をします。
    !
    (config-if-tun 1)# ip nat inside source list 1 interface
    !
    !
    ! pppoe profile とのリンク付けをします。
    !
    (config-if-tun 1)# tunnel mode pppoe profile PPPOE_PROF
    !
    !
    GigaEthernet インタフェースとのリンク付けをします。
    !
    (config-if-tun 1)# pppoe interface gigaethernet 2/1 *1
    !
    !
    ! 基本設定モードに戻ります。
    !
    (config-if-tun 1)#exit
    !
    !
    ! PPPoE 通信で使用する物理インタフェースを設定します。
    !
    (config)#interface GigaEthernet 2/1 *1
    (config-if-ge 2/1)# vlan-id 2
    (config-if-ge 2/1)# bridge-group 2
    (config-if-ge 2/1)# pppoe enable
    (config-if-ge 2/1)#exit
    !
    !
    ! GigaEthernet インタフェースに、port-channel をリンク付けします。
    !
    (config)#interface GigaEthernet 1/1 *1
    (config-if-ge 1/1)# vlan-id 1
    (config-if-ge 1/1)# bridge-group 1
    (config-if-ge 1/1)# channel-group 1
    (config-if-ge 1/1)#exit
    !
    !
    ! VPNセレクタの設定を行ないます。
    !
    (config)#crypto ipsec selector SELECTOR
    (config-ip-selector)# src 1 ipv4 any
    (config-ip-selector)# dst 1 ipv4 any
    (config-ip-selector)#exit
    !
    !
    ! DPDの設定をします。
    !
    (config)#crypto isakmp keepalive
    !
    !
    ! VPN通信動作中の詳細なログを残す設定にします。
    !
    (config)#crypto isakmp log sa
    (config)#crypto isakmp log session
    (config)#crypto isakmp log negotiation-fail
    !
    !
    ! ISAKMP ポリシーの設定を行ないます。
    !
    (config)#crypto isakmp policy P1-POLICY
    !
    !
    ! 認証方式に事前共有鍵を使用します。
    !
    (config-isakmp)# authentication pre-share
    !
    !
    ! 暗号方式の指定します。
    !
    (config-isakmp)# encryption aes
    !
    !
    ! 鍵長を指定します。
    !
    (config-isakmp)# encryption-keysize aes 256 256 256
    !
    !
    ! Diffie Hellmanのグループの指定します。
    !
    (config-isakmp)# group 14
    !
    !
    ! IKE SAのライフタイムの指定(秒)します。
    !
    (config-isakmp)# lifetime 86400
    !
    !
    ! ハッシュ方式の指定します。
    !
    (config-isakmp)# hash sha-256
    !
    !
    ! アグレッシブモードを使用します。
    !
    (config-isakmp)# initiate-mode aggressive
    !
    !
    ! 基本設定モードに戻ります。
    !
    (config-isakmp)#exit
    !
    !
    ! 拠点1向けのISAKMP プロファイルを設定します。
    !
    (config)#crypto isakmp profile PROF0001
    !
    !
    ! 対向拠点のユーザ名(ID-TYPE=User-FQDN) を指定します。
    !
    (conf-isa-prof)# match identity user id-kyoten1
    !
    !
    ! 自装置のWAN アドレスを設定します。
    !
    (conf-isa-prof)# local-address 192.0.2.1
    !
    !
    ! ISAKMP ポリシーとリンク付けします。
    !
    (conf-isa-prof)# set isakmp-policy P1-POLICY
    !
    !
    ! IPSEC ポリシーとリンク付けします。
    !
    (conf-isa-prof)# set ipsec-policy P2-POLICY
    !
    !
    ! IKE バージョンを指定します。
    !
    (conf-isa-prof)# ike-version 1
    !
    !
    ! 共通鍵を設定します。
    !
    (conf-isa-prof)# local-key SECRET-VPN
    !
    !
    ! 基本設定モードに戻ります。
    !
    (conf-isa-prof)#exit
    !
    !
    ! 同様に、拠点2向けのISAKMP プロファイルを設定します。
    !
    (config)#crypto isakmp profile PROF0002
    (conf-isa-prof)# match identity user id-kyoten2
    (conf-isa-prof)# local-address 192.0.2.1
    (conf-isa-prof)# set isakmp-policy P1-POLICY
    (conf-isa-prof)# set ipsec-policy P2-POLICY
    (conf-isa-prof)# ike-version 1
    (conf-isa-prof)# local-key SECRET-VPN
    (conf-isa-prof)#exit
    !
    !
    !
    !
    ! IPSEC ポリシーを設定します。
    !
    (config)#crypto ipsec policy P2-POLICY
    !
    !
    ! Diffie Hellmanのグループの指定します。
    !
    (conf-ipsec)# set pfs group14
    !
    !
    ! IPsec SAのライフタイムの指定(秒)します。
    !
    (conf-ipsec)# set security-association lifetime seconds 28800
    !
    !
    ! 鍵長を指定します。
    !
    (conf-ipsec)# set security-association transform-keysize aes 256 256 256
    !
    !
    ! 暗号化アルゴリズム、認証アルゴリズムを指定します。
    !
    (conf-ipsec)# set security-association transform esp-aes esp-sha256-hmac
    !
    !
    ! 暗号化されたESPパケットの MTU 長を設定します。
    !
    (conf-ipsec)# set mtu 1454
    !
    !
    ! インナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。
    !
    (conf-ipsec)# set ip df-bit 0
    !
    !
    ! Post-Fragment 方式(*3)とします。
    !
    (conf-ipsec)# set ip fragment post
    !
    !
    ! 基本設定モードに戻ります。
    !
    (conf-ipsec)#exit
    !
    !
    ! 拠点1のVPNピアとのセレクタ情報をエントリします。
    !
    (config)#crypto map KYOTEN_1 ipsec-isakmp
    (config-crypto-map)# match address SELECTOR
    (config-crypto-map)# set isakmp-profile PROF0001
    (config-crypto-map)#exit
    !
    !
    ! 拠点2のVPNピアとのセレクタ情報をエントリします。
    !
    (config)#crypto map KYOTEN_2 ipsec-isakmp
    (config-crypto-map)# match address SELECTOR
    (config-crypto-map)# set isakmp-profile PROF0002
    (config-crypto-map)#exit
    !
    !
    !
    ! 拠点1のtunnel インタフェースで有効にするVPNセレクタを設定します。
    !
    (config)#interface Tunnel 2
    (config-if-tun 2)# tunnel mode ipsec map KYOTEN_1
    (config-if-tun 2)# link-state sync-sa
    (config-if-tun 2)#exit
    !
    !
    !
    ! 拠点2のtunnel インタフェースで有効にするVPNセレクタを設定します。
    !
    (config)#interface Tunnel 3
    (config-if-tun 3)# tunnel mode ipsec map KYOTEN_2
    (config-if-tun 3)# link-state sync-sa
    (config-if-tun 3)#exit
    !
    !
    ! 学習フィルタリングの設定をします。
    !
    (config)#access-list 111 deny ip any any
    (config)#access-list 121 spi ip any any
    !
    (config)#interface tunnel 1
    (config-if-tun 1)# ip access-group 111 in
    (config-if-tun 1)# ip access-group 121 out
    (config-if-tun 1)#exit
    !
    !
    ! VPNで使用するパケットを受信許可するフィルタリングの設定をします。
    !
    (config)#access-list 100 permit udp any eq 500 192.0.2.1 0.0.0.0 eq 500
    (config)#access-list 100 permit 50 any 192.0.2.1 0.0.0.0
    !
    (config)#interface tunnel 1
    (config-if-tun 1)# ip access-group 100 in
    (config-if-tun 1)#exit
    !
    !
    ! VRRP 機能を有効にします。
    !
    (config)#ip vrrp enable
    !
    ! Port-channel にVRRP を設定します。
    !
    (config)#interface Port-channel 1
    (config-if-ch 1)# vrrp 1 address 192.168.1.254
    (config-if-ch 1)# vrrp 1 priority 200
    (config-if-ch 1)# vrrp 1 preempt
    (config-if-ch 1)#exit
    !
    !
    ! 障害復旧時にセンタのSAが確立するまでの経路を設定します。
    !
    (config)#ip route 192.168.2.0 255.255.255.0 192.168.1.252 100
    (config)#ip route 192.168.3.0 255.255.255.0 192.168.1.252 100
    !
    !
    ! グローバル側の回線に障害が発生した際の切替(イベントアクション)を設定します。
    !
    (config)#event-action 1
    !
    ! PPPoEトンネルに障害が発生した際のイベントを設定します。
    !
    (config-event-action)# event interface tunnel 1 down
    !
    ! ローカル側のポートをDOWNさせるアクションを設定します。
    !
    (config-event-action)# action 1.0 interface gigaethernet 1/1 down
    (config-event-action)#exit
    !
    !
    ! グローバル側の回線が復旧した際の切替(イベントアクション)を設定します。
    !
    (config)#event-action 2
    !
    ! PPPoEトンネルが復旧した際のイベントを設定します。
    !
    (config-event-action)# event interface tunnel 1 up
    !
    ! ローカル側のポートをUPさせるアクションを設定します。
    !
    (config-event-action)# action 2.0 interface gigaethernet 1/1 up
    (config-event-action)#exit
    !
    !
    !
    ! 特権ユーザモードに戻ります。
    !
    (config)#end
    !
    ! 設定を保存します。
    ! 任意の名前で保存して下さい(*2)。
    !
    #save [ファイル名]
    !
    !
    ! 設定を有効にするために refresh をします。
    !
    #refresh
    refresh ok?[y/N]:yes
    ..................Done
    
    
    *1:物理ポート番号の設定
    *2:ファイル名を省略した場合、boot.cfgで保存されます。
       装置起動時に適用する設定はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。
    
    *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。
       それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
    

    コマンド設定の例
    (!の行はコメントです。実際に入力する必要はありません。)
    この設定を利用したい方は
    センタ2
    !
    !
    ! 特権ユーザモードに移行します。
    !
    > enable
    password: super ←パスワードを入力します。(実際は表示されない)
    !
    !
    ! 基本設定モードに移行します。
    !
    #configure terminal
    
    (config)#
    !
    !
    ! デフォルトルートを tunnel 1(PPPoE) に設定します。
    !
    (config)#ip route 0.0.0.0 0.0.0.0 tunnel 1
    !
    !
    ! 拠点宛の経路情報を各tunnel(IPsecトンネル)に設定します。
    !
    (config)#ip route 192.168.2.0 255.255.255.0 tunnel 2
    (config)#ip route 192.168.3.0 255.255.255.0 tunnel 3
    !
    !
    !
    ! NAT で変換対象とする送信元アドレス
    ! (ここではLAN 側アドレスを対象とします)を登録します。
    !
    (config)#ip nat list 1 192.168.1.0 0.0.0.255
    !
    !
    ! Port-channel にLAN側IPアドレスを設定します。
    !
    (config)#interface Port-channel 1
    (config-if-ch 1)# ip address 192.168.1.252 255.255.255.0
    (config-if-ch 1)# mss 1300
    (config-if-ch 1)#exit
    !
    !
    ! PPPoEの設定をします。
    ! プロバイダから指定された 認証ID、パスワードなどを設定します。
    !
    (config)#pppoe profile PPPOE_PROF
    (config-pppoe-profile PPPOE_PROF)# account abc123@***.***.ne.jp yyyxxxzzz
    (config-pppoe-profile PPPOE_PROF)#exit
    !
    !
    ! Tunnel インタフェース設定モードに移行します。
    !
    (config)#interface Tunnel 1
    !
    !
    ! プロバイダから指定された IPアドレスなどを設定します。
    !
    (config-if-tun 1)# description FLETS
    (config-if-tun 1)# ip address 192.0.2.2 255.255.255.255
    !
    !
    ! NAT+ の設定をします。
    !
    (config-if-tun 1)# ip nat inside source list 1 interface
    !
    !
    ! pppoe profile とのリンク付けをします。
    !
    (config-if-tun 1)# tunnel mode pppoe profile PPPOE_PROF
    !
    !
    ! GigaEthernet インタフェースとのリンク付けをします。
    !
    (config-if-tun 1)# pppoe interface gigaethernet 2/1 *1
    !
    !
    ! 基本設定モードに戻ります。
    !
    (config-if-tun 1)#exit
    !
    !
    ! PPPoE 通信で使用する物理インタフェースを設定します。
    !
    (config)#interface GigaEthernet 2/1 *1
    (config-if-ge 2/1)# vlan-id 2
    (config-if-ge 2/1)# bridge-group 2
    (config-if-ge 2/1)# pppoe enable
    (config-if-ge 2/1)#exit
    !
    !
    ! GigaEthernet インタフェースに、port-channel をリンク付けします。
    !
    (config)#interface GigaEthernet 1/1 *1
    (config-if-ge 1/1)# vlan-id 1
    (config-if-ge 1/1)# bridge-group 1
    (config-if-ge 1/1)# channel-group 1
    (config-if-ge 1/1)#exit
    !
    !
    ! VPNセレクタの設定を行ないます。
    !
    (config)#crypto ipsec selector SELECTOR
    (config-ip-selector)# src 1 ipv4 any
    (config-ip-selector)# dst 1 ipv4 any
    (config-ip-selector)#exit
    !
    !
    ! DPDの設定をします。
    !
    (config)#crypto isakmp keepalive
    !
    !
    ! VPN通信動作中の詳細なログを残す設定にします。
    !
    (config)#crypto isakmp log sa
    (config)#crypto isakmp log session
    (config)#crypto isakmp log negotiation-fail
    !
    !
    ! ISAKMP ポリシーの設定を行ないます。
    !
    (config)#crypto isakmp policy P1-POLICY
    !
    !
    ! 認証方式に事前共有鍵を使用します。
    !
    (config-isakmp)# authentication pre-share
    !
    !
    ! 暗号方式の指定します。
    !
    (config-isakmp)# encryption aes
    !
    !
    ! 鍵長を指定します。
    !
    (config-isakmp)# encryption-keysize aes 256 256 256
    !
    !
    ! Diffie Hellmanのグループの指定します。
    !
    (config-isakmp)# group 14
    !
    !
    ! IKE SAのライフタイムの指定(秒)します。
    !
    (config-isakmp)# lifetime 86400
    !
    !
    ! ハッシュ方式の指定します。
    !
    (config-isakmp)# hash sha-256
    !
    !
    ! アグレッシブモードを使用します。
    !
    (config-isakmp)# initiate-mode aggressive
    !
    !
    ! 基本設定モードに戻ります。
    !
    (config-isakmp)#exit
    !
    !
    ! 拠点1向けのISAKMP プロファイルを設定します。
    !
    (config)#crypto isakmp profile PROF0001
    !
    !
    ! 対向拠点のユーザ名(ID-TYPE=User-FQDN) を指定します。
    !
    (conf-isa-prof)# match identity user id-kyoten1
    !
    !
    ! 自装置のWAN アドレスを設定します。
    !
    (conf-isa-prof)# local-address 192.0.2.2
    !
    !
    ! ISAKMP ポリシーとリンク付けします。
    !
    (conf-isa-prof)# set isakmp-policy P1-POLICY
    !
    !
    ! IPSEC ポリシーとリンク付けします。
    !
    (conf-isa-prof)# set ipsec-policy P2-POLICY
    !
    !
    ! IKE バージョンを指定します。
    !
    (conf-isa-prof)# ike-version 1
    !
    !
    ! 共通鍵を設定します。
    !
    (conf-isa-prof)# local-key SECRET-VPN
    !
    !
    ! 基本設定モードに戻ります。
    !
    (conf-isa-prof)#exit
    !
    !
    ! 同様に、拠点2向けのISAKMP プロファイルを設定します。
    !
    (config)#crypto isakmp profile PROF0002
    (conf-isa-prof)# match identity user id-kyoten2
    (conf-isa-prof)# local-address 192.0.2.2
    (conf-isa-prof)# set isakmp-policy P1-POLICY
    (conf-isa-prof)# set ipsec-policy P2-POLICY
    (conf-isa-prof)# ike-version 1
    (conf-isa-prof)# local-key SECRET-VPN
    (conf-isa-prof)#exit
    !
    !
    !
    !
    ! IPSEC ポリシーを設定します。
    !
    (config)#crypto ipsec policy P2-POLICY
    !
    !
    ! Diffie Hellmanのグループの指定します。
    !
    (conf-ipsec)# set pfs group14
    !
    !
    ! IPsec SAのライフタイムの指定(秒)します。
    !
    (conf-ipsec)# set security-association lifetime seconds 28800
    !
    !
    ! 鍵長を指定します。
    !
    (conf-ipsec)# set security-association transform-keysize aes 256 256 256
    !
    !
    ! 暗号化アルゴリズム、認証アルゴリズムを指定します。
    !
    (conf-ipsec)# set security-association transform esp-aes esp-sha256-hmac
    !
    !
    ! 暗号化されたESPパケットの MTU 長を設定します。
    !
    (conf-ipsec)# set mtu 1454
    !
    !
    ! インナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。
    !
    (conf-ipsec)# set ip df-bit 0
    !
    !
    ! Post-Fragment 方式(*3)とします。
    !
    (conf-ipsec)# set ip fragment post
    !
    !
    ! 基本設定モードに戻ります。
    !
    (conf-ipsec)#exit
    !
    !
    ! 拠点1のVPNピアとのセレクタ情報をエントリします。
    !
    (config)#crypto map KYOTEN_1 ipsec-isakmp
    (config-crypto-map)# match address SELECTOR
    (config-crypto-map)# set isakmp-profile PROF0001
    (config-crypto-map)#exit
    !
    !
    ! 拠点2のVPNピアとのセレクタ情報をエントリします。
    !
    (config)#crypto map KYOTEN_2 ipsec-isakmp
    (config-crypto-map)# match address SELECTOR
    (config-crypto-map)# set isakmp-profile PROF0002
    (config-crypto-map)#exit
    !
    !
    !
    ! 拠点1のtunnel インタフェースで有効にするVPNセレクタを設定します。
    !
    (config)#interface Tunnel 2
    (config-if-tun 2)# tunnel mode ipsec map KYOTEN_1
    (config-if-tun 2)#exit
    !
    !
    !
    ! 拠点2のtunnel インタフェースで有効にするVPNセレクタを設定します。
    !
    (config)#interface Tunnel 3
    (config-if-tun 3)# tunnel mode ipsec map KYOTEN_2
    (config-if-tun 3)#exit
    !
    !
    ! 学習フィルタリングの設定をします。
    !
    (config)#access-list 111 deny ip any any
    (config)#access-list 121 spi ip any any
    !
    (config)#interface tunnel 1
    (config-if-tun 1)# ip access-group 111 in
    (config-if-tun 1)# ip access-group 121 out
    (config-if-tun 1)#exit
    !
    !
    ! VPNで使用するパケットを受信許可するフィルタリングの設定をします。
    !
    (config)#access-list 100 permit udp any eq 500 192.0.2.2 0.0.0.0 eq 500
    (config)#access-list 100 permit 50 any 192.0.2.2 0.0.0.0
    !
    (config)#interface tunnel 1
    (config-if-tun 1)# ip access-group 100 in
    (config-if-tun 1)#exit
    !
    !
    ! VRRP 機能を有効にします。
    !
    (config)#ip vrrp enable
    !
    ! Port-channel にVRRP を設定します。
    !
    (config)#interface Port-channel 1
    (config-if-ch 1)# vrrp 1 address 192.168.1.254
    (config-if-ch 1)# vrrp 1 priority 100
    (config-if-ch 1)# vrrp 1 preempt
    (config-if-ch 1)#exit
    !
    !
    !
    !
    !
    ! 特権ユーザモードに戻ります。
    !
    (config)#end
    !
    ! 設定を保存します。
    ! 任意の名前で保存して下さい(*2)。
    !
    #save [ファイル名]
    !
    !
    ! 設定を有効にするために refresh をします。
    !
    #refresh
    refresh ok?[y/N]:yes
    ..................Done
    
    
    *1:物理ポート番号の設定
    *2:ファイル名を省略した場合、boot.cfgで保存されます。
       装置起動時に適用する設定はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。
    
    *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。
       それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
    

    コマンド設定の例
    (!の行はコメントです。実際に入力する必要はありません。)
    この設定を利用したい方は
    拠点1
    !
    !
    ! 特権ユーザモードに移行します。
    !
    > enable
    password: super ←パスワードを入力します。(実際は表示されない)
    !
    !
    ! 基本設定モードに移行します。
    !
    #configure terminal
    
    (config)#
    !
    !
    ! デフォルトルートを tunnel 1(PPPoE) に設定します。
    !
    (config)#ip route 0.0.0.0 0.0.0.0 tunnel 1
    !
    !
    ! NAT で変換対象とする送信元アドレス
    ! (ここではLAN 側アドレスを対象とします)を登録します。
    !
    (config)#ip nat list 1 192.168.2.0 0.0.0.255
    !
    !
    ! Port-channel にLAN側IPアドレスを設定します。
    !
    (config)#interface Port-channel 1
    (config-if-ch 1)# ip address 192.168.2.254 255.255.255.0
    (config-if-ch 1)# mss 1300
    (config-if-ch 1)#exit
    !
    !
    ! PPPoEの設定をします。
    ! プロバイダから指定された 認証ID、パスワードなどを設定します。
    !
    (config)#pppoe profile PPPOE_PROF
    (config-pppoe-profile PPPOE_PROF)# account abc345@***.***.ne.jp zzzyyyxxx
    (config-pppoe-profile PPPOE_PROF)#exit
    !
    !
    ! Tunnel インタフェース設定モードに移行します。
    !
    (config)#interface Tunnel 1
    !
    !
    (config-if-tun 1)# description FLETS
    !
    !
    ! NAT+ の設定をします。
    !
    (config-if-tun 1)# ip nat inside source list 1 interface
    !
    !
    ! pppoe profile とのリンク付けをします。
    !
    (config-if-tun 1)# tunnel mode pppoe profile PPPOE_PROF
    !
    !
    GigaEthernet インタフェースとのリンク付けをします。
    !
    (config-if-tun 1)# pppoe interface gigaethernet 2/1 *1
    !
    !
    ! 基本設定モードに戻ります。
    !
    (config-if-tun 1)#exit
    !
    !
    ! PPPoE 通信で使用する物理インタフェースを設定します。
    !
    (config)#interface GigaEthernet 2/1 *1
    (config-if-ge 2/1)# vlan-id 2
    (config-if-ge 2/1)# bridge-group 2
    (config-if-ge 2/1)# pppoe enable
    (config-if-ge 2/1)#exit
    !
    !
    ! GigaEthernet インタフェースに、port-channel をリンク付けします。
    !
    (config)#interface GigaEthernet 1/1 *1
    (config-if-ge 1/1)# vlan-id 1
    (config-if-ge 1/1)# bridge-group 1
    (config-if-ge 1/1)# channel-group 1
    (config-if-ge 1/1)#exit
    !
    !
    ! VPNセレクタの設定を行ないます。
    !
    (config)#crypto ipsec selector SELECTOR
    (config-ip-selector)# src 1 ipv4 any
    (config-ip-selector)# dst 1 ipv4 any
    (config-ip-selector)#exit
    !
    !
    ! DPDの設定をします。
    !
    (config)#crypto isakmp keepalive
    !
    !
    ! VPN通信動作中の詳細なログを残す設定にします。
    !
    (config)#crypto isakmp log sa
    (config)#crypto isakmp log session
    (config)#crypto isakmp log negotiation-fail
    !
    !
    ! ISAKMP ポリシーの設定を行ないます。
    !
    (config)#crypto isakmp policy P1-POLICY
    !
    !
    ! 認証方式に事前共有鍵を使用します。
    !
    (config-isakmp)# authentication pre-share
    !
    !
    ! 暗号方式の指定します。
    !
    (config-isakmp)# encryption aes
    !
    !
    ! 鍵長を指定します。
    !
    (config-isakmp)# encryption-keysize aes 256 256 256
    !
    !
    ! Diffie Hellmanのグループの指定します。
    !
    (config-isakmp)# group 14
    !
    !
    ! IKE SAのライフタイムの指定(秒)します。
    !
    (config-isakmp)# lifetime 86400
    !
    !
    ! ハッシュ方式の指定します。
    !
    (config-isakmp)# hash sha-256
    !
    !
    ! アグレッシブモードを使用します。
    !
    (config-isakmp)# initiate-mode aggressive
    !
    !
    ! 基本設定モードに戻ります。
    !
    (config-isakmp)#exit
    !
    !
    ! センタ向けのISAKMP プロファイルを設定します。
    !
    (config)#crypto isakmp profile PROF0001
    !
    !
    ! 自装置のユーザ名(ID-TYPE=User-FQDN) を設定します。
    !
    (conf-isa-prof)# self-identity user-fqdn id-kyoten1
    !
    !
    ! ISAKMP ポリシーとリンク付けします。
    !
    (conf-isa-prof)# set isakmp-policy P1-POLICY
    !
    !
    ! IPSEC ポリシーとリンク付けします。
    !
    (conf-isa-prof)# set ipsec-policy P2-POLICY
    !
    !
    ! センタのWAN アドレスを設定します。
    !
    (conf-isa-prof)# set peer 192.0.2.1
    !
    !
    ! IKE バージョンを指定します。
    !
    (conf-isa-prof)# ike-version 1
    !
    !
    ! 共通鍵を設定します。
    !
    (conf-isa-prof)# local-key SECRET-VPN
    !
    !
    ! 基本設定モードに戻ります。
    !
    (conf-isa-prof)#exit
    !
    !
    ! 同様に、センタバックアップ向けのISAKMP プロファイルを設定します。
    !
    (config)#crypto isakmp profile PROF0002
    (conf-isa-prof)# self-identity user-fqdn id-kyoten1
    (conf-isa-prof)# set isakmp-policy P1-POLICY
    (conf-isa-prof)# set ipsec-policy P2-POLICY
    (conf-isa-prof)# set peer 192.0.2.2
    (conf-isa-prof)# ike-version 1
    (conf-isa-prof)# local-key SECRET-VPN
    (conf-isa-prof)#exit
    !
    !
    ! IPSEC ポリシーを設定します。
    !
    (config)#crypto ipsec policy P2-POLICY
    !
    !
    ! Diffie Hellmanのグループの指定します。
    !
    (conf-ipsec)# set pfs group14
    !
    !
    ! 常にSAを確立しておく設定をします。
    !
    (conf-ipsec)# set security-association always-up
    !
    !
    ! IPsec SAのライフタイムの指定(秒)します。
    !
    (conf-ipsec)# set security-association lifetime seconds 28800
    !
    !
    ! 鍵長を指定します。
    !
    (conf-ipsec)# set security-association transform-keysize aes 256 256 256
    !
    !
    ! 暗号化アルゴリズム、認証アルゴリズムを指定します。
    !
    (conf-ipsec)# set security-association transform esp-aes esp-sha256-hmac
    !
    !
    ! 暗号化されたESPパケットの MTU 長を設定します。
    !
    (conf-ipsec)# set mtu 1454
    !
    !
    ! 暗号化されたESPパケットの MSS を設定します(*4)。
    !
    !(conf-ipsec)# set mss 1300
    !
    !
    ! インナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。
    !
    (conf-ipsec)# set ip df-bit 0
    !
    !
    ! Post-Fragment 方式(*3)とします。
    !
    (conf-ipsec)# set ip fragment post
    !
    !
    ! 基本設定モードに戻ります。
    !
    (conf-ipsec)#exit
    !
    !
    ! センタのVPNピアとのセレクタ情報をエントリします。
    !
    (config)#crypto map CENTER ipsec-isakmp
    (config-crypto-map)# match address SELECTOR
    (config-crypto-map)# set isakmp-profile PROF0001
    (config-crypto-map)#exit
    !
    !
    ! センタバックアップのVPNピアとのセレクタ情報をエントリします。
    !
    (config)#crypto map CENTER_BK ipsec-isakmp
    (config-crypto-map)# match address SELECTOR
    (config-crypto-map)# set isakmp-profile PROF0002
    (config-crypto-map)#exit
    !
    !
    !
    ! センタのtunnel インタフェースで有効にするVPNセレクタを設定します。
    !
    (config)#interface Tunnel 2
    (config-if-tun 2)# tunnel mode ipsec map CENTER
    (config-if-tun 2)#exit
    !
    !
    ! センタバックアップのtunnel インタフェースで有効にするVPNセレクタを設定します。
    !
    (config)#interface Tunnel 3
    (config-if-tun 3)# tunnel mode ipsec map CENTER_BK
    (config-if-tun 3)# link-state sync-sa
    (config-if-tun 3)#exit
    !
    !
    ! 学習フィルタリングの設定をします。
    !
    (config)#access-list 111 deny ip any any
    (config)#access-list 121 spi ip any any
    !
    (config)#interface tunnel 1
    (config-if-tun 1)# ip access-group 111 in
    (config-if-tun 1)# ip access-group 121 out
    (config-if-tun 1)#exit
    !
    !
    ! VPNで使用するパケットを受信許可するフィルタリングの設定をします。
    !
    (config)#access-list 100 permit udp 192.0.2.1 0.0.0.0 eq 500 any eq 500
    (config)#access-list 100 permit 50 192.0.2.1 0.0.0.0 any
    (config)#access-list 100 permit udp 192.0.2.2 0.0.0.0 eq 500 any eq 500
    (config)#access-list 100 permit 50 192.0.2.2 0.0.0.0 any
    !
    (config)#interface tunnel 1
    (config-if-tun 1)# ip access-group 100 in
    (config-if-tun 1)#exit
    !
    !
    ! Survey機能の設定を行います。
    !  interface Tunnel 2経由でセンタ側のLAN側IPアドレスをICMP監視して、"interworking"を指定することで
    !  ICMP監視の結果によってtunnel インタフェースのup/downを同期させます。
    !
    (config)#survey 192.168.1.251 name t2_ICMP survey-map ICMP-Kanshi source port-channel 1 nexthop
    tunnel 2 interworking
    ! (config)#survey-map ICMP-Kanshi (config-svmap ICMP-Kanshi)# retry 2 interval 10000 (config-svmap ICMP-Kanshi)# frequency every 10000 (config-svmap ICMP-Kanshi)# stability 2 interval 10000 (config-svmap ICMP-Kanshi)#exit ! ! ! survey機能と連動したセンタ宛のメイン経路情報をtunnel 2(IPsecトンネル)に設定します。 ! (config)#ip route 192.168.1.0 255.255.255.0 tunnel 2 survey name t2_ICMP ! ! ! センタ宛のバックアップ経路情報をtunnel 3(IPsecトンネル)に設定します。 ! ディスタンス値を指定して優先度(値が小さい方が優先)を設定します。 ! (config)#ip route 192.168.1.0 255.255.255.0 tunnel 3 100 ! ! ! tunnel インタフェースがダウンしたときに、センタ宛の通信が ! 平文でそのまま出て行かないよう、null ルートを設定しておきます。 ! (config)#ip route 192.168.1.0 255.255.255.0 null 0 150 ! ! ! 特権ユーザモードに戻ります。 ! (config)#end ! ! 設定を保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名] ! ! ! 設定を有効にするために refresh をします。 ! #refresh refresh ok?[y/N]:yes ..................Done *1:物理ポート番号の設定 *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用する設定はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。 *4:IPsecトンネルの先のホストから送信されたDFビットつきのTCPパケットがPPPoE回線で破棄されてしまうような ケースを考慮して、インナーのMTU長以下になるようにMSSの書き換え設定を行います。 センター経由でインターネット上のサーバと通信を行うような場合に、本設定を推奨します。

    コマンド設定の例
    (!の行はコメントです。実際に入力する必要はありません。)
    この設定を利用したい方は
    拠点2
    !
    !
    ! 特権ユーザモードに移行します。
    !
    > enable
    password: super ←パスワードを入力します。(実際は表示されない)
    !
    !
    ! 基本設定モードに移行します。
    !
    #configure terminal
    
    (config)#
    !
    !
    ! デフォルトルートを tunnel 1(PPPoE) に設定します。
    !
    (config)#ip route 0.0.0.0 0.0.0.0 tunnel 1
    !
    !
    ! NAT で変換対象とする送信元アドレス
    ! (ここではLAN 側アドレスを対象とします)を登録します。
    !
    (config)#ip nat list 1 192.168.3.0 0.0.0.255
    !
    !
    ! Port-channel にLAN側IPアドレスを設定します。
    !
    (config)#interface Port-channel 1
    (config-if-ch 1)# ip address 192.168.3.254 255.255.255.0
    (config-if-ch 1)# mss 1300
    (config-if-ch 1)#exit
    !
    !
    ! PPPoEの設定をします。
    ! プロバイダから指定された 認証ID、パスワードなどを設定します。
    !
    (config)#pppoe profile PPPOE_PROF
    (config-pppoe-profile PPPOE_PROF)# account abc678@***.***.ne.jp yyyzzzxxx
    (config-pppoe-profile PPPOE_PROF)#exit
    !
    !
    ! Tunnel インタフェース設定モードに移行します。
    !
    (config)#interface Tunnel 1
    !
    !
    (config-if-tun 1)# description FLETS
    !
    !
    ! NAT+ の設定をします。
    !
    (config-if-tun 1)# ip nat inside source list 1 interface
    !
    !
    ! pppoe profile とのリンク付けをします。
    !
    (config-if-tun 1)# tunnel mode pppoe profile PPPOE_PROF
    !
    !
    GigaEthernet インタフェースとのリンク付けをします。
    !
    (config-if-tun 1)# pppoe interface gigaethernet 2/1 *1
    !
    !
    ! 基本設定モードに戻ります。
    !
    (config-if-tun 1)#exit
    !
    !
    ! PPPoE 通信で使用する物理インタフェースを設定します。
    !
    (config)#interface GigaEthernet 2/1 *1
    (config-if-ge 2/1)# vlan-id 2
    (config-if-ge 2/1)# bridge-group 2
    (config-if-ge 2/1)# pppoe enable
    (config-if-ge 2/1)#exit
    !
    !
    ! GigaEthernet インタフェースに、port-channel をリンク付けします。
    !
    (config)#interface GigaEthernet 1/1 *1
    (config-if-ge 1/1)# vlan-id 1
    (config-if-ge 1/1)# bridge-group 1
    (config-if-ge 1/1)# channel-group 1
    (config-if-ge 1/1)#exit
    !
    !
    ! VPNセレクタの設定を行ないます。
    !
    (config)#crypto ipsec selector SELECTOR
    (config-ip-selector)# src 1 ipv4 any
    (config-ip-selector)# dst 1 ipv4 any
    (config-ip-selector)#exit
    !
    !
    ! DPDの設定をします。
    !
    (config)#crypto isakmp keepalive
    !
    !
    ! VPN通信動作中の詳細なログを残す設定にします。
    !
    (config)#crypto isakmp log sa
    (config)#crypto isakmp log session
    (config)#crypto isakmp log negotiation-fail
    !
    !
    ! ISAKMP ポリシーの設定を行ないます。
    !
    (config)#crypto isakmp policy P1-POLICY
    !
    !
    ! 認証方式に事前共有鍵を使用します。
    !
    (config-isakmp)# authentication pre-share
    !
    !
    ! 暗号方式の指定します。
    !
    (config-isakmp)# encryption aes
    !
    !
    ! 鍵長を指定します。
    !
    (config-isakmp)# encryption-keysize aes 256 256 256
    !
    !
    ! Diffie Hellmanのグループの指定します。
    !
    (config-isakmp)# group 14
    !
    !
    ! IKE SAのライフタイムの指定(秒)します。
    !
    (config-isakmp)# lifetime 86400
    !
    !
    ! ハッシュ方式の指定します。
    !
    (config-isakmp)# hash sha-256
    !
    !
    ! アグレッシブモードを使用します。
    !
    (config-isakmp)# initiate-mode aggressive
    !
    !
    ! 基本設定モードに戻ります。
    !
    (config-isakmp)#exit
    !
    !
    ! センタ向けのISAKMP プロファイルを設定します。
    !
    (config)#crypto isakmp profile PROF0001
    !
    !
    ! 自装置のユーザ名(ID-TYPE=User-FQDN) を設定します。
    !
    (conf-isa-prof)# self-identity user-fqdn id-kyoten2
    !
    !
    ! ISAKMP ポリシーとリンク付けします。
    !
    (conf-isa-prof)# set isakmp-policy P1-POLICY
    !
    !
    ! IPSEC ポリシーとリンク付けします。
    !
    (conf-isa-prof)# set ipsec-policy P2-POLICY
    !
    !
    ! センタのWAN アドレスを設定します。
    !
    (conf-isa-prof)# set peer 192.0.2.1
    !
    !
    ! IKE バージョンを指定します。
    !
    (conf-isa-prof)# ike-version 1
    !
    !
    ! 共通鍵を設定します。
    !
    (conf-isa-prof)# local-key SECRET-VPN
    !
    !
    ! 基本設定モードに戻ります。
    !
    (conf-isa-prof)#exit
    !
    !
    ! 同様に、センタバックアップ向けのISAKMP プロファイルを設定します。
    !
    (config)#crypto isakmp profile PROF0002
    (conf-isa-prof)# self-identity user-fqdn id-kyoten2
    (conf-isa-prof)# set isakmp-policy P1-POLICY
    (conf-isa-prof)# set ipsec-policy P2-POLICY
    (conf-isa-prof)# set peer 192.0.2.2
    (conf-isa-prof)# ike-version 1
    (conf-isa-prof)# local-key SECRET-VPN
    (conf-isa-prof)#exit
    !
    !
    ! IPSEC ポリシーを設定します。
    !
    (config)#crypto ipsec policy P2-POLICY
    !
    !
    ! Diffie Hellmanのグループの指定します。
    !
    (conf-ipsec)# set pfs group14
    !
    !
    ! 常にSAを確立しておく設定をします。
    !
    (conf-ipsec)# set security-association always-up
    !
    !
    ! IPsec SAのライフタイムの指定(秒)します。
    !
    (conf-ipsec)# set security-association lifetime seconds 28800
    !
    !
    ! 鍵長を指定します。
    !
    (conf-ipsec)# set security-association transform-keysize aes 256 256 256
    !
    !
    ! 暗号化アルゴリズム、認証アルゴリズムを指定します。
    !
    (conf-ipsec)# set security-association transform esp-aes esp-sha256-hmac
    !
    !
    ! 暗号化されたESPパケットの MTU 長を設定します。
    !
    (conf-ipsec)# set mtu 1454
    !
    !
    ! 暗号化されたESPパケットの MSS を設定します(*4)。
    !
    !(conf-ipsec)# set mss 1300
    !
    !
    ! インナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。
    !
    (conf-ipsec)# set ip df-bit 0
    !
    !
    ! Post-Fragment 方式(*3)とします。
    !
    (conf-ipsec)# set ip fragment post
    !
    !
    ! 基本設定モードに戻ります。
    !
    (conf-ipsec)#exit
    !
    !
    ! センタのVPNピアとのセレクタ情報をエントリします。
    !
    (config)#crypto map CENTER ipsec-isakmp
    (config-crypto-map)# match address SELECTOR
    (config-crypto-map)# set isakmp-profile PROF0001
    (config-crypto-map)#exit
    !
    !
    ! センタバックアップのVPNピアとのセレクタ情報をエントリします。
    !
    (config)#crypto map CENTER_BK ipsec-isakmp
    (config-crypto-map)# match address SELECTOR
    (config-crypto-map)# set isakmp-profile PROF0002
    (config-crypto-map)#exit
    !
    !
    !
    ! センタのtunnel インタフェースで有効にするVPNセレクタを設定します。
    !
    (config)#interface Tunnel 2
    (config-if-tun 2)# tunnel mode ipsec map CENTER
    (config-if-tun 2)#exit
    !
    !
    ! センタバックアップのtunnel インタフェースで有効にするVPNセレクタを設定します。
    !
    (config)#interface Tunnel 3
    (config-if-tun 3)# tunnel mode ipsec map CENTER_BK
    (config-if-tun 3)# link-state sync-sa
    (config-if-tun 3)#exit
    !
    !
    ! 学習フィルタリングの設定をします。
    !
    (config)#access-list 111 deny ip any any
    (config)#access-list 121 spi ip any any
    !
    (config)#interface tunnel 1
    (config-if-tun 1)# ip access-group 111 in
    (config-if-tun 1)# ip access-group 121 out
    (config-if-tun 1)#exit
    !
    !
    ! VPNで使用するパケットを受信許可するフィルタリングの設定をします。
    !
    (config)#access-list 100 permit udp 192.0.2.1 0.0.0.0 eq 500 any eq 500
    (config)#access-list 100 permit 50 192.0.2.1 0.0.0.0 any
    (config)#access-list 100 permit udp 192.0.2.2 0.0.0.0 eq 500 any eq 500
    (config)#access-list 100 permit 50 192.0.2.2 0.0.0.0 any
    !
    (config)#interface tunnel 1
    (config-if-tun 1)# ip access-group 100 in
    (config-if-tun 1)#exit
    !
    !
    ! Survey機能の設定を行います。
    !  interface Tunnel 2経由でセンタ側のLAN側IPアドレスをICMP監視して、"interworking"を指定することで
    !  ICMP監視の結果によってtunnel インタフェースのup/downを同期させます。
    !
    (config)#survey 192.168.1.251 name t2_ICMP survey-map ICMP-Kanshi source port-channel 1 nexthop
    tunnel 2 interworking
    ! (config)#survey-map ICMP-Kanshi (config-svmap ICMP-Kanshi)# retry 2 interval 10000 (config-svmap ICMP-Kanshi)# frequency every 10000 (config-svmap ICMP-Kanshi)# stability 2 interval 10000 (config-svmap ICMP-Kanshi)#exit ! ! ! survey機能と連動したセンタ宛のメイン経路情報をtunnel 2(IPsecトンネル)に設定します。 ! (config)#ip route 192.168.1.0 255.255.255.0 tunnel 2 survey name t2_ICMP ! ! ! センタ宛のバックアップ経路情報をtunnel 3(IPsecトンネル)に設定します。 ! ディスタンス値を指定して優先度(値が小さい方が優先)を設定します。 ! (config)#ip route 192.168.1.0 255.255.255.0 tunnel 3 100 ! ! ! tunnel インタフェースがダウンしたときに、センタ宛の通信が ! 平文でそのまま出て行かないよう、null ルートを設定しておきます。 ! (config)#ip route 192.168.1.0 255.255.255.0 null 0 150 ! ! ! 特権ユーザモードに戻ります。 ! (config)#end ! ! 設定を保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名] ! ! ! 設定を有効にするために refresh をします。 ! #refresh refresh ok?[y/N]:yes ..................Done *1:物理ポート番号の設定 *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用する設定はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。 *4:IPsecトンネルの先のホストから送信されたDFビットつきのTCPパケットがPPPoE回線で破棄されてしまうような ケースを考慮して、インナーのMTU長以下になるようにMSSの書き換え設定を行います。 センター経由でインターネット上のサーバと通信を行うような場合に、本設定を推奨します。

    ページトップへ

    All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., Ltd. 2019