milan米兰体育官方网站
milan米兰体育官方网站milan米兰体育官方网站FITELnetシリーズは、国内開発・製造の純国産品  製品ラインナップ  FITELnet-Fシリーズ   milan米兰体育官方网站例   
NetScreenとFITELnet-milan米兰体育官方网站を接続する(2)
milan米兰体育官方网站例


NetScreenとFITELnet-milan米兰体育官方网站を接続する
2.NAT-Traversalの構成  

NetScreenのmilan米兰体育官方网站は参考です。
NetScreenのmilan米兰体育官方网站内容に関しては弊社ではサポート致しかねます旨、ご承知ください。

NetScreenとFITELnet-milan米兰体育官方网站を接続する(NAT-Traversalの構成)

<プロバイダより割り振られたアドレス(アドレスは一例です)>

<コマンド操作>

【milan米兰体育官方网站例表記方法のご案内】

本来一行で入力すべきコマンドでありながら,スペースの関係で複数行に渡った場合,行末に「\」を付けています.
FITELnet-F40は,この「\」を認識しますので,本ページのmilan米兰体育官方网站例をコンソールにペーストできます.


センタ(NetScreen)
ScreenOS 4.0.1 r3.0

Trust側IFのmilan米兰体育官方网站set interface trust ip 192.168.1.254/24
set interface trust routeUntrust側IFのmilan米兰体育官方网站set interface untrust ip 210.158.***.17/32
set interface untrust routeネットワークアドレスの定義set address "trust" "ns-net" 192.168.1.0 255.255.255.0
set address "untrust" "milan米兰体育官方网站-net" 192.168.3.0 255.255.255.0VPNポリシーの登録set ike p1-proposal "ike-policy" preshare group1 esp des md5 second 1000
set ike p2-proposal "ipsec-policy" no-pfs esp des md5 second 600接続先の登録(id 名には @ を含む必要があるので注意)set ike gateway "milan米兰体育官方网站-gw" ip 0.0.0.0 id "milan米兰体育官方网站@kyoten" aggr outgoing-interface "untrust" preshare "secret-vpn" proposal "ike-policy"NAT Traversalのmilan米兰体育官方网站set ike gateway "milan米兰体育官方网站-gw" nat-traversal
set ike gateway "milan米兰体育官方网站-gw" nat-traversal udp-chcksum
set ike gateway "milan米兰体育官方网站-gw" nat-traversal keepalive-frequency 5VPN対象トンネルの登録set vpn "milan米兰体育官方网站-sel" id 1 gateway "milan米兰体育官方网站-gw" no-replay tunnel idletime 0 proposal "ipsec-policy"VPN対象の登録set policy id 0 name "milan米兰体育官方网站ns" from "untrust" to "trust" "milan米兰体育官方网站-net" "ns-net" "any" tunnel vpn "milan米兰体育官方网站-sel"
set policy id 1 name "nsmilan米兰体育官方网站" from "trust" to "untrust" "ns-net" "milan米兰体育官方网站-net" "any" tunnel vpn "milan米兰体育官方网站-sel"
拠点(FITELnet-milan米兰体育官方网站)
milan米兰体育官方网站EWAN側は固定のIPアドレスを使用する
#wan type=manual#
#EWAN側IPアドレスのmilan米兰体育官方网站
#(アドレスは一例です。
# ルータモデムのLAN側のmilan米兰体育官方网站に合わせてください)
#interface wan addr=192.168.2.254,255.255.255.0#
#LAN側IPアドレスのmilan米兰体育官方网站
#interface lan addr=192.168.3.254,255.255.255.0#
#ルート情報のmilan米兰体育官方网站
#(nexthopのアドレスは一例です。
# ルータモデムのLAN側のアドレスをmilan米兰体育官方网站してください)
#ipripstatic delete default
ipripstatic add dst=0.0.0.0,0.0.0.0 nexthop=192.168.2.253#
#NATプラスを使用する
#→VPN対象外のパケットをインターネットアクセスさせる場合には
# VPNセレクタのmilan米兰体育官方网站と併せて必要
#nat wan natpmilan米兰体育官方网站VPN機能を使用する
#vpn on#
#PhaseIポリシーのmilan米兰体育官方网站(暗号アルゴリズムはDES,認証方法はPre-shared key方式,
#認証アルゴリズムはMD5→センター側のmilan米兰体育官方网站と合わせる。ライフタイムはデフォルトで1000秒)
#vpnikepolicy add id=1 encr=des method=prekey hash=md5#
#PhaseIIポリシーのmilan米兰体育官方网站(暗号アルゴリズムはDES,認証アルゴリズムはMD5
#→センター側のmilan米兰体育官方网站と合わせる。ライフタイムはデフォルトで600秒)
#vpnpolicy add id=1 encr=des auth=hmac-md5#
#VPNピアのmilan米兰体育官方网站(鍵データは文字列でsecret-vpn→センター側と同じにする。
#NAT-Traversal 機能を使用する)
#vpnpeer add addr=210.158.***.17 myname=milan米兰体育官方网站@kyoten\
 idtype-pre=userfqdn key=a,secret-vpn nat=off mode=aggressive ikepolicy=1\
 nat-traversal=on#
#VPN対象パケット(VPNセレクタ)のmilan米兰体育官方网站
#vpnselector add id=1 dst=192.168.1.0,255.255.255.0\
 src=192.168.3.0,255.255.255.0 type=ipsec\
 peeraddr=210.158.***.17 policy=1milan米兰体育官方网站VPN対象外のパケットをインターネットアクセスさせる場合には必要
#vpnselector add id=64 dst=all src=all type=bypass#
#milan米兰体育官方网站を保存して装置を再起動
#(再起動しないとmilan米兰体育官方网站が有効にならない項目もあるので注意)
#exitConfiguration modified. save ok?(y/n):yplease reset#resetDo you want to continue(y/n)?:y
拠点側の「VPN対象パケット(VPNセレクタ)のmilan米兰体育官方网站」で,以下のようにretrynegoをonにすることで,SA が確立するまで繰り返し確立を試みるようになります。
また,negotypeをlifetimeにmilan米兰体育官方网站しておくことで,SAが確立された後は,ライフタイム満了前に新しいSAを確立しにいくようになります。
この二つの機能を利用することで,常にSAを確立した状態を維持でき,拠点側に固定アドレスがなくても,データの発生契機や方向に関わらず,VPN通信を自動的に再開できるようになります。
vpnselector set id=1 dst=192.168.1.0,255.255.255.0\
 src=192.168.3.0,255.255.255.0 negotype=,lifetime\
 retrynego=on peeraddr=210.158.xxx.17 policy=1


ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2003