古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
設定例
IPsecの通信とインターネット通信を同時に使用する設定(拠点のIPアドレスは固定)
全機種対応
説明
インターネット接続の環境にてVPN接続する設定です。
PPPoE回線は、VPN接続する拠点間で固定のIPアドレスを使用します。
インターネットへの通信は、NAT機能を利用します。
構成
コマンド設定

Router A

ip route 0.0.0.0 0.0.0.0 pppoe 1
ip route 192.168.2.0 255.255.255.0 connected ipsecif 1
access-list 99 permit 192.168.1.0 0.0.0.255
proxydns mode v4
vpn enable
vpnlog enable
ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
ipsec access-list 64 bypass ip any any
ipsec transform-set aes256-sha esp-aes-256 esp-sha-hmac
service dhcp-server
hostname Router_A
ip dhcp pool lan 1
 dns-server 0.0.0.0
 default-router 0.0.0.0
exit
interface ipsecif 1
 crypto map Router_B
exit
interface lan 1
 ip address 192.168.1.1 255.255.255.0
exit
interface pppoe 1
 ip address 192.0.2.1
 ip nat inside source list 99 interface
 pppoe server test1
 pppoe account ********@***.***.ne.jp ******
 pppoe type host
exit
crypto isakmp policy 1
 authentication prekey
 encryption aes 256
 group 5
 hash sha
 key ascii secret1
 negotiation-mode main
 peer-identity address 192.0.2.129
exit
crypto map Router_B 1
 match address 1
 set peer address 192.0.2.129
 set pfs group5
 set transform-set aes256-sha
exit
end

Router B

ip route 0.0.0.0 0.0.0.0 pppoe 1
ip route 192.168.1.0 255.255.255.0 connected ipsecif 1
access-list 99 permit 192.168.2.0 0.0.0.255
proxydns mode v4
vpn enable
vpnlog enable
ipsec access-list 1 ipsec ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
ipsec access-list 64 bypass ip any any
ipsec transform-set aes256-sha esp-aes-256 esp-sha-hmac
service dhcp-server
hostname Router_B
ip dhcp pool lan 1
 dns-server 0.0.0.0
 default-router 0.0.0.0
exit
interface ipsecif 1
 crypto map Router_A
exit
interface lan 1
 ip address 192.168.2.1 255.255.255.0
exit
interface pppoe 1
 ip address 192.0.2.129
 ip nat inside source list 99 interface
 pppoe server test1
 pppoe account ********@***.***.ne.jp ******
 pppoe type host
exit
crypto isakmp policy 1
 authentication prekey
 encryption aes 256
 group 5
 hash sha
 key ascii secret1
 negotiation-mode main
 peer-identity address 192.0.2.1
exit
crypto map Router_A 1
 match address 1
 set peer address 192.0.2.1
 set pfs group5
 set transform-set aes256-sha
exit
end
設定手順

Router A

設定内容 画面表示例
特権ユーザモードへの移行
パスワードの入力

設定情報の初期化

設定モードの変更
設定入力














































設定保存



装置再起動 		Router>enable
Enter password:
Router#
Router#clear working.cfg
Router#
Router#configure terminal
Router(config)#ip route 0.0.0.0 0.0.0.0 pppoe 1
Router(config)#ip route 192.168.2.0 255.255.255.0 connected ipsecif 1
Router(config)#access-list 99 permit 192.168.1.0 0.0.0.255
Router(config)#proxydns mode v4
Router(config)#vpn enable
Router(config)#vpnlog enable
Router(config)#ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Router(config)#ipsec access-list 64 bypass ip any any
Router(config)#ipsec transform-set aes256-sha esp-aes-256 esp-sha-hmac
Router(config)#service dhcp-server
Router(config)#hostname Router_A
Router_A(config)#ip dhcp pool lan 1
Router_A(config-dhcp-pool)# dns-server 0.0.0.0
Router_A(config-dhcp-pool)# default-router 0.0.0.0
Router_A(config-dhcp-pool)#exit
Router_A(config)#interface ipsecif 1
Router_A(config-if ipsecif 1)# crypto map Router_B
Router_A(config-if ipsecif 1)#exit
Router_A(config)#interface lan 1
Router_A(config-if lan 1)# ip address 192.168.1.1 255.255.255.0
Router_A(config-if lan 1)#exit
Router_A(config)#interface pppoe 1
Router_A(config-if pppoe 1)# ip address 192.0.2.1
Router_A(config-if pppoe 1)# ip nat inside source list 99 interface
Router_A(config-if pppoe 1)# pppoe server test1
Router_A(config-if pppoe 1)# pppoe account ********@***.***.ne.jp ******
Router_A(config-if pppoe 1)# pppoe type host
Router_A(config-if pppoe 1)#exit
Router_A(config)#crypto isakmp policy 1
Router_A(config-isakmp)# authentication prekey
Router_A(config-isakmp)# encryption aes 256
Router_A(config-isakmp)# group 5
Router_A(config-isakmp)# hash sha
Router_A(config-isakmp)# key ascii secret1
Router_A(config-isakmp)# negotiation-mode main
Router_A(config-isakmp)# peer-identity address 192.0.2.129
Router_A(config-isakmp)#exit
Router_A(config)#crypto map Router_B 1
Router_A(config-crypto-map)# match address 1
Router_A(config-crypto-map)# set peer address 192.0.2.129
Router_A(config-crypto-map)# set pfs group5
Router_A(config-crypto-map)# set transform-set aes256-sha
Router_A(config-crypto-map)#exit
Router_A(config)#
Router_A(config)#end
Router_A#
Router_A#save SIDE-A
% saving working-config
% finished saving

Router_A#reset
Going to reset with SIDE-A.frm and SIDE-A.cfg.
Boot-back not scheduled for next boot.
Next rebooting firmware SIDE-A.frm is fine.
Are you OK to cold start?(y/n)y

Router B

設定内容 画面表示例
特権ユーザモードへの移行
パスワードの入力

設定情報の初期化

設定モードの変更
設定入力














































設定保存



装置再起動 		Router>enable
Enter password:
Router#
Router#clear working.cfg
Router#
Router#configure terminal
Router(config)#ip route 0.0.0.0 0.0.0.0 pppoe 1
Router(config)#ip route 192.168.1.0 255.255.255.0 connected ipsecif 1
Router(config)#access-list 99 permit 192.168.2.0 0.0.0.255
Router(config)#proxydns mode v4
Router(config)#vpn enable
Router(config)#vpnlog enable
Router(config)#ipsec access-list 1 ipsec ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Router(config)#ipsec access-list 64 bypass ip any any
Router(config)#ipsec transform-set aes256-sha esp-aes-256 esp-sha-hmac
Router(config)#service dhcp-server
Router(config)#hostname Router_B
Router_B(config)#ip dhcp pool lan 1
Router_B(config-dhcp-pool)# dns-server 0.0.0.0
Router_B(config-dhcp-pool)# default-router 0.0.0.0
Router_B(config-dhcp-pool)#exit
Router_B(config)#interface ipsecif 1
Router_B(config-if ipsecif 1)# crypto map Router_A
Router_B(config-if ipsecif 1)#exit
Router_B(config)#interface lan 1
Router_B(config-if lan 1)# ip address 192.168.2.1 255.255.255.0
Router_B(config-if lan 1)#exit
Router_B(config)#interface pppoe 1
Router_B(config-if pppoe 1)# ip address 192.0.2.129
Router_B(config-if pppoe 1)# ip nat inside source list 99 interface
Router_B(config-if pppoe 1)# pppoe server test1
Router_B(config-if pppoe 1)# pppoe account ********@***.***.ne.jp ******
Router_B(config-if pppoe 1)# pppoe type host
Router_B(config-if pppoe 1)#exit
Router_B(config)#crypto isakmp policy 1
Router_B(config-isakmp)# authentication prekey
Router_B(config-isakmp)# encryption aes 256
Router_B(config-isakmp)# group 5
Router_B(config-isakmp)# hash sha
Router_B(config-isakmp)# key ascii secret1
Router_B(config-isakmp)# negotiation-mode main
Router_B(config-isakmp)# peer-identity address 192.0.2.1
Router_B(config-isakmp)#exit
Router_B(config)#crypto map Router_A 1
Router_B(config-crypto-map)# match address 1
Router_B(config-crypto-map)# set peer address 192.0.2.1
Router_B(config-crypto-map)# set pfs group5
Router_B(config-crypto-map)# set transform-set aes256-sha
Router_B(config-crypto-map)#exit
Router_B(config)#
Router_B(config)#end
Router_B#
Router_B#save SIDE-A
% saving working-config
% finished saving

Router_B#reset
Going to reset with SIDE-A.frm and SIDE-A.cfg.
Boot-back not scheduled for next boot.
Next rebooting firmware SIDE-A.frm is fine.
Are you OK to cold start?(y/n)y
設定状態の確認 1

データ通信にてIPSECが確立することを確認します。
例:Router_Aより ping 192.168.2.1 source-interface lan 1を実施します。

確認内容 画面表示例
ping を実行する

ping 応答あり

 Router_A#ping 192.168.2.1 source-interface lan 1
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/2/10 ms
設定状態の確認 2

Router AのPhase1 SAの情報を確認します。

確認内容 画面表示例
Phase1 SA の情報を表示



 Router_A#show crypto isakmp sa
ISAKMP SA
        current sa : 1

[ 1] 192.0.2.129
        <--> 192.0.2.1
    <I>Main Mode UP pre-shared key AES(256bits) SHA
    Lifetime : 1000secs
    Current : 3secs,1kbytes
    mcfg config-mode: off
    mcfg addr: off
    mcfg apl-version:
    IKE Keepalive: dpd
    ICMP Keepalive: off
    release on addr-change: off

※:Router A←→Router B間でPhase1 SAが確立されていることを確認してください。

Router AのPhase2 SAの情報を確認します。

確認内容 画面表示例
Phase2 SA の情報を表示




 Router_A#show crypto ipsec sa
IPSEC SA
       current insa  : 1
       current outsa : 1

[ 1] 192.168.2.0,255.255.255.0 ALL ALL
                <--> 192.168.1.0,255.255.255.0 ALL ALL
     peer: 192.0.2.129

    <I> UP   ESP AES(256bits) HMAC-SHA PFS:on(group5)
    Lifetime: 600secs
    Anti-Replay: Enable
    O-SPI: 0x7620251a        Current: 6secs,1kbytes
     out packet      : 5            error packet      : 0
    I-SPI: 0x26f17d45        Current: 6secs,1kbytes
     in packet       : 5            auth packet       : 5
     decrypt packet  : 5            discard packet    : 0
     replay packet   : 0            auth error packet : 0

※:Router A←→Router B間でPhase2 SAが確立されていることを確認してください。

設定状態の確認 3

Router AのVPNログ情報を確認します。

確認内容 画面表示例
ログ情報の表示




vpn enable 状態

isakmp 確立状態



ipsec 確立状態
 Router_A#show vpnlog

0000 0000:00:00.00 2012/02/16 (thu) 14:20:22 0 00000000 4f34ce80
  #BOOT[V01.06(02)a1-021512] SIDE-A.frm SIDE-A.cfg
0001 0000:00:02.01 2012/02/16 (thu) 14:20:26 16 10000002 00000000
  vpn enabled.
0002 0000:02:31.23 2012/02/16 (thu) 14:22:56 16 10000320 00000000
  IKE SA<I> 1/- 192.0.2.129
0003 0000:02:31.23 2012/02/16 (thu) 14:22:56 16 10000320 00000000
  67a72ca491000000 7930099c38000000
0004 0000:02:31.25 2012/02/16 (thu) 14:22:56 16 10000220 00000000
  IPSEC SA<I> 1/1 192.0.2.129
0005 0000:02:31.25 2012/02/16 (thu) 14:22:56 16 10000220 00000000
  7620251a 26f17d45
設定状態の確認 4

平文対象のデータ通信にてNAT変換されることを確認します。
例:Router_Aより ping 192.0.2.129 source-interface lan 1を実施します。

確認内容 画面表示例
ping を実行する

ping 応答あり

 Router_A#ping 192.0.2.129 source-interface lan 1
Sending 5, 100-byte ICMP Echos to 192.0.2.129, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/2/10 ms

Router AのNAT変換テーブルの情報を確認します。

確認内容 画面表示例
NATテーブル情報を表示













 Router_A#show ip nat translation

Session summary (equipment total):
Max sessions: 2048
Reserved sessions: 0
Active sessions: 4 Peak: 4

List of active sessions:

PPPoE1

Local(address port) Global(address port) Remote(address port) prot tm(s)
-------------------+--------------------+--------------------+----+-----
192.168.1.1  18444  192.0.2.1     18444  192.0.2.129   18444  icmp 56
192.168.1.1  18443  192.0.2.1     18443  192.0.2.129   18443  icmp 56
192.0.2.1        0  192.0.2.1         0  192.0.2.129       0  etc  563
192.0.2.1      500  192.0.2.1       500  192.0.2.129     500  udp  263

※:プライベートネットワーク192.168.1.0/24のアドレスからip nat inside sourceで指定した PPPoE1インタフェースの固定アドレス192.0.2.1に変換した場合のNAT変換テーブルを確認してください。

設定状態の確認 5

Router Aのルーティング情報を確認します。

確認内容 画面表示例
ルーティング情報を表示











 Router_A#show ip route
Max entry: 10000 (Commonness in IPv4 and IPv6)
Active entry:5 (IPv4), 2 (IPv6) Peak:5

Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF
       B - BGP, I - IKE, U - SA-UP, D - REDUNDANCY, E - EventAction
       A - AutoConfig, > - selected route, * - FIB route, p - stale info.

S> * 0.0.0.0/0 [1/0] is directly connected, PPPoE1
C> * 127.0.0.0/8 is directly connected, LOOP0
C> * 192.0.2.11/32 is directly connected, PPPoE1
C> * 192.168.1.0/24 is directly connected, LAN
S> * 192.168.2.0/24 [0/0] is directly connected, IPSECIF1

※:IPSECIF1の経路が確立されていることを確認してください。

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2012