milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
milan米兰体育官方网站例
10.milan米兰体育官方网站不定の拠点間で直接IPsec通信を行なう
概要
補足・注意点
動作説明
- ダイナミック DNS 機能を使うことで、milan米兰体育官方网站不定の拠点間でも直接 IPsec 通信することが可能となります。
- ダイナミック DNS 機能は F100/F1000 の V02.06(00) 以降でのサポートとなります。
- milan米兰体育官方网站固定のセンターの F100 で、ダイナミック DNS サーバ機能を動作させます。
- アドレス不定の拠点は、自身のアドレスとドメイン名をセンターのダイナミック DNS サーバに登録しておきます。そして IPsec の対向となるアドレス不定の拠点のピアとして、相手のドメイン名をmilan米兰体育官方网站しておき、そのアドレスをセンターのダイナミック DNS サーバに問い合わせに行きます。
- milan米兰体育官方网站間の Phase 1 のネゴは aggressive mode で行われますが、どちらのmilan米兰体育官方网站からもネゴを開始することができます。
コマンドmilan米兰体育官方网站の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官方网站利用したい方は
milan米兰体育官方网站 F100
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本milan米兰体育官方网站モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN 側 IP アドレスをmilan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站Router(config-if lan 1)#ip address 192.168.100.254 255.255.255.0Router(config-if lan 1)#exit! ! ! PPPoE の各種milan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站Router(milan米兰体育官方网站)#ip address 200.200.200.1Router(milan米兰体育官方网站)#pppoe server FletsRouter(milan米兰体育官方网站)#pppoe account abc123@furukawa.co.jp pass456Router(milan米兰体育官方网站)#exit! ! ! VPN 機能を有効にします。 ! Router(config)#vpn enable! ! ! VPN 通信の詳細なログを残すようにします。 ! Router(config)#vpnlog enable! ! ! 拠点 1 用の Phase 1 ポリシーのmilan米兰体育官方网站行ないます。 ! Router(config)#milan米兰体育官方网站Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive always-sendRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity host kyoten@nagoyaRouter(config-isakmp)#tunnel-route milan米兰体育官方网站 *1 ! Phase 1 のネゴパケットの受信を契機に、nexthop を pppoe 1 として ! milan米兰体育官方网站の peer 宛のルートを登録します。Router(config-isakmp)#exit! ! ! 拠点 2 用の Phase 1 ポリシーのmilan米兰体育官方网站行ないます。 ! Router(config)#milan米兰体育官方网站Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive always-sendRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity host kyoten@oosakaRouter(config-isakmp)#tunnel-route milan米兰体育官方网站Router(config-isakmp)#exit! ! ! Phase 2 ポリシーのmilan米兰体育官方网站行ないます。 ! Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! ! ! 拠点 1 用の VPN セレクタのmilan米兰体育官方网站行ないます。 ! Router(config)#ipsec access-list 10 ipsec ip any any! Router(config)#milan米兰体育官方网站 nagoya 1Router(config-crypto-map)#match address 10Router(config-crypto-map)#milan米兰体育官方网站nagoyaRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! 拠点 2 用の VPN セレクタのmilan米兰体育官方网站行ないます。 ! Router(config)#ipsec access-list 11 ipsec ip any any! Router(config)#milan米兰体育官方网站 oosaka 2Router(config-crypto-map)#match address 11Router(config-crypto-map)#milan米兰体育官方网站oosakaRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! 拠点 1 用の IPsec インターフェースのmilan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站Router(milan米兰体育官方网站)#milan米兰体育官方网站 nagoyaRouter(milan米兰体育官方网站)#exit! ! ! 拠点 2 用の IPsec インターフェースのmilan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站Router(milan米兰体育官方网站)#milan米兰体育官方网站 oosakaRouter(milan米兰体育官方网站)#exit! ! ! 各拠点のネットワーク向けのルートをmilan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站.168.1.0 255.255.255.0 connected ipsecif 1Router(config)#milan米兰体育官方网站.168.2.0 255.255.255.0 connected ipsecif 2! ! ! ダイナミック DNS サーバのmilan米兰体育官方网站します。*2! Router(config)#ddns-server enableRouter(config)#ddns-server accept-fqdn type v4 nagoya.branch.jp password ngy lifetime 86400 *3 *4Router(config)#ddns-server accept-fqdn type v4 oosaka.branch.jp password osk lifetime 86400 *3 *4 ! ここでmilan米兰体育官方网站したレコードに合致したmilan米兰体育官方网站要求のみ受け入れを許可します。Router(config)#ddns-server logging address-changes! ! ! ProxyDNS 機能のmilan米兰体育官方网站します。*5 ! 各拠点からの名前解決要求に応答するために必須のmilan米兰体育官方网站となります。! Router(config)#proxydns mode v4! ! ! 特権ユーザモードに戻ります。 ! Router(config)#end! ! ! milan米兰体育官方网站保存します。 ! Router#save SIDE-A.cfg% saving working-config % finished saving Router# ! ! ! milan米兰体育官方网站有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)y
| *1 | : | pppoe 1 ではなく、ewan 1 でアドレスをマニュアルmilan米兰体育官方网站している場合は、次のように明示的に nexthop のアドレスをmilan米兰体育官方网站する必要があります。
|
| *2 | : | F100 の場合、http-server shutdown で HTTP サーバ機能を停止してあると、milan米兰体育官方网站機能を利用することができません。 |
| *3 | : | FQDN は大文字、小文字の区別はされません。 |
| *4 | : | ライフタイムは拠点からの登録インターバルより大きな値にmilan米兰体育官方网站しておく必要があります。 |
| *5 | : | F100/F1000 V02.06(00) で応答バケットについては、問い合わせを受けたmilan米兰体育官方网站送信元とするようにしました(これより前のファームでは、実際に応答パケットを送信するインターフェースのmilan米兰体育官方网站、送信元アドレスとしていました。そのため、今回のように、各拠点向けの送信インターフェースとなるのが ipsecif だと、unnumbered のインターフェースのため、milan米兰体育官方网站付けることができず、パケットを送信することができませんでした)。 なお、proxydns default source-interface のmilan米兰体育官方网站は、上位の DNS サーバに問い合わせに行く場合の送信元アドレスにのみ適用され、応答パケットについては適用されません。 |
コマンドmilan米兰体育官方网站の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官方网站利用したい方は
milan米兰体育官方网站 の F100
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本milan米兰体育官方网站モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN 側 IP アドレスをmilan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站Router(config-if lan 1)#ip address 192.168.1.254 255.255.255.0Router(config-if lan 1)#exit! ! ! PPPoE の各種milan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站Router(milan米兰体育官方网站)#pppoe server FletsRouter(milan米兰体育官方网站)#pppoe account abc456@furukawa.co.jp pass789Router(milan米兰体育官方网站)#exit! ! ! VPN 機能を有効にします。 ! Router(config)#vpn enable! ! ! VPN 通信の詳細なログを残すようにします。 ! Router(config)#vpnlog enable! ! ! センター用の Phase 1 ポリシーのmilan米兰体育官方网站行ないます。 ! Router(config)#milan米兰体育官方网站Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive always-sendRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#my-identity kyoten@nagoyaRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity address 200.200.200.1Router(config-isakmp)#exit! ! ! 拠点 2 用の Phase 1 ポリシーのmilan米兰体育官方网站行ないます。 ! Router(config)#milan米兰体育官方网站Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive always-sendRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#my-identity kyoten@nagoyaRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity addressoosaka.branch.jp ! milan米兰体育官方网站不定の対向の peer を FQDN で指定します。Router(config-isakmp)#peer-identity host kyoten@oosakaRouter(config-isakmp)#exit! ! ! Phase 2 ポリシーのmilan米兰体育官方网站行ないます。 ! Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! ! ! センター用の VPN セレクタのmilan米兰体育官方网站行ないます。 ! Router(config)#ipsec access-list 10 ipsec ip any any! Router(config)#milan米兰体育官方网站 tokyo 1Router(config-crypto-map)#match address 10Router(config-crypto-map)#milan米兰体育官方网站 200.200.200.1Router(config-crypto-map)#set security-association always-up *6Router(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! 拠点 2 用の VPN セレクタのmilan米兰体育官方网站行ないます。 ! Router(config)#ipsec access-list 11 ipsec ip any any! Router(config)#milan米兰体育官方网站 oosaka 2Router(config-crypto-map)#match address 11Router(config-crypto-map)#milan米兰体育官方网站oosaka.branch.jpRouter(config-crypto-map)#milan米兰体育官方网站oosakaRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! センター用の IPsec インターフェースのmilan米兰体育官方网站します。*6! Router(config)#milan米兰体育官方网站Router(milan米兰体育官方网站)#milan米兰体育官方网站 tokyoRouter(milan米兰体育官方网站)#exit! ! ! 拠点 2 用の IPsec インターフェースのmilan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站Router(milan米兰体育官方网站)#milan米兰体育官方网站 oosakaRouter(milan米兰体育官方网站)#exit! ! ! センターのピアに対するルートをmilan米兰体育官方网站します。*7! Router(config)#milan米兰体育官方网站 200.200.200.1 255.255.255.255 pppoe 1! ! ! デフォルトルートをmilan米兰体育官方网站します。拠点 2 のピアに対するルートとなります。*8! Router(config)#milan米兰体育官方网站 0.0.0.0 0.0.0.0 pppoe 1! ! ! センターと拠点 2 のネットワーク向けのルートをmilan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站.168.100.0 255.255.255.0 connected ipsecif 1 *6Router(config)#milan米兰体育官方网站.168.2.0 255.255.255.0 connected ipsecif 2! ! ! ダイナミック DNS クライアントのmilan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站Router(config-milan米兰体育官方网站)#method 1 get url http://192.168.100.254/cgi-bin/ddns-v4.cgi dn nagoya.branch.jp i4 $i4 pw ngy ! 自身の FQDN をmilan米兰体育官方网站 F100 に登録します。登録要求するパラメータは ! dni4 ! milan米兰体育官方网站として $i4 を指定すると、次の reference-interface で指定した ! インターフェースの IPv4 milan米兰体育官方网站が参照されます。Router(config-milan米兰体育官方网站)#reference-milan米兰体育官方网站 ! 上の $i4 として pppoe 1 のmilan米兰体育官方网站指定します。Router(config-milan米兰体育官方网站)#request-timeout 10 retry 5 ! milan米兰体育官方网站要求に対して応答が 10 秒以内になかった場合、5 回までリトライするようにします。Router(config-milan米兰体育官方网站)#source-milan米兰体育官方网站Router(config-milan米兰体育官方网站)#logging errorRouter(config-milan米兰体育官方网站)#exit! ! ! milan米兰体育官方网站。 ! Router(config)#milan米兰体育官方网站Router(milan米兰体育官方网站)#ddns-client address ip action milan米兰体育官方网站 delay 30 interval 300 *9 ! milan米兰体育官方网站に変更があった場合、30 秒待ってから再登録しに行きます。 ! また、300 秒間隔で定期的にmilan米兰体育官方网站に行きます。Router(milan米兰体育官方网站)#exit! ! ! DNS リゾルバのmilan米兰体育官方网站します。 !対向の peer の FQDN を名前解決する必要があるので必須のmilan米兰体育官方网站となります。! Router(config)#ip name-server 192.168.100.254 ! name server としてmilan米兰体育官方网站 F100 を指定します。Router(config)#ip name-server source-milan米兰体育官方网站! ! ! 特権ユーザモードに戻ります。 ! Router(config)#end! ! ! milan米兰体育官方网站保存します。 ! Router#save SIDE-A.cfg% saving working-config % finished saving Router# ! ! ! milan米兰体育官方网站有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)ypw <パスワード のように記述します。
| *6 | : | crypto map に set security-association always-up のmilan米兰体育官方网站がある場合、その crypto map に結び付けられた ipsecif は Phase 2 SA の有無に応じて up/down します(milan米兰体育官方网站がない場合は、Phase 2 SA の有無にかかわらず、常に up となります)。 今回の例では bypass milan米兰体育官方网站がないので、その心配はありませんが、デフォルトルートが pppoe に向いていて bypass milan米兰体育官方网站がある場合、センター向けの Phase 2 SA ができていないと、ipsecif 向けのルートが有効にならず、センター宛の通信がデフォルトルートに従って、平文のままインターネットに出て行くことになります。この場合、下記のような優先度を下げた null ルートをmilan米兰体育官方网站しておくことで、これを防止することができます。
|
| *7 | : | デフォルトルートに包含されるので、省略可能ですが、重要なルート情報なので、ここでは明示的にmilan米兰体育官方网站しています。 |
| *8 | : | 対向の peer のmilan米兰体育官方网站が不定なので、initiator となるにはデフォルトルートを拠点 2 の peer に向けておくことが必須となります。 |
| *9 | : | milan米兰体育官方网站側のライフタイムが満了する前に再登録しに行く必要があります。 |
コマンドmilan米兰体育官方网站の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官方网站利用したい方は
milan米兰体育官方网站 の F100
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本milan米兰体育官方网站モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN 側 IP アドレスをmilan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站Router(config-if lan 1)#ip address 192.168.2.254 255.255.255.0Router(config-if lan 1)#exit! ! ! PPPoE の各種milan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站Router(milan米兰体育官方网站)#pppoe server FletsRouter(milan米兰体育官方网站)#pppoe account abc789@furukawa.co.jp pass456Router(milan米兰体育官方网站)#exit! ! ! VPN 機能を有効にします。 ! Router(config)#vpn enable! ! ! VPN 通信の詳細なログを残すようにします。 ! Router(config)#vpnlog enable! ! ! センター用の Phase 1 ポリシーのmilan米兰体育官方网站行ないます。 ! Router(config)#milan米兰体育官方网站Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive always-sendRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#my-identity kyoten@oosakaRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity address 200.200.200.1Router(config-isakmp)#exit! ! ! 拠点 1 用の Phase 1 ポリシーのmilan米兰体育官方网站行ないます。 ! Router(config)#milan米兰体育官方网站Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#keepalive always-sendRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#my-identity kyoten@oosakaRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity addressnagoya.branch.jpRouter(config-isakmp)#peer-identity host kyoten@nagoyaRouter(config-isakmp)#exit! ! ! Phase 2 ポリシーのmilan米兰体育官方网站行ないます。 ! Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! ! ! センター用の VPN セレクタのmilan米兰体育官方网站行ないます。 ! Router(config)#ipsec access-list 10 ipsec ip any any! Router(config)#milan米兰体育官方网站 tokyo 1Router(config-crypto-map)#match address 10Router(config-crypto-map)#milan米兰体育官方网站 200.200.200.1Router(config-crypto-map)#set security-association always-upRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! 拠点 1 用の VPN セレクタのmilan米兰体育官方网站行ないます。 ! Router(config)#ipsec access-list 11 ipsec ip any any! Router(config)#milan米兰体育官方网站 nagoya 2Router(config-crypto-map)#match address 11Router(config-crypto-map)#milan米兰体育官方网站nagoya.branch.jpRouter(config-crypto-map)#milan米兰体育官方网站nagoyaRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! センター用の IPsec インターフェースのmilan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站Router(milan米兰体育官方网站)#milan米兰体育官方网站 tokyoRouter(milan米兰体育官方网站)#exit! ! ! 拠点 1 用の IPsec インターフェースのmilan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站Router(milan米兰体育官方网站)#milan米兰体育官方网站 nagoyaRouter(milan米兰体育官方网站)#exit! ! ! センターのピアに対するルートをmilan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站 200.200.200.1 255.255.255.255 pppoe 1! ! ! デフォルトルートをmilan米兰体育官方网站します。拠点 1 のピアに対するルートとなります。 ! Router(config)#milan米兰体育官方网站 0.0.0.0 0.0.0.0 pppoe 1! ! ! センターと拠点 1 のネットワーク向けのルートをmilan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站.168.100.0 255.255.255.0 connected ipsecif 1Router(config)#milan米兰体育官方网站.168.1.0 255.255.255.0 connected ipsecif 2! ! ! ダイナミック DNS クライアントのmilan米兰体育官方网站します。 ! Router(config)#milan米兰体育官方网站Router(config-milan米兰体育官方网站)#method 1 get url http://192.168.100.254/cgi-bin/ddns-v4.cgi dn oosaka.branch.jp i4 $i4 pw oskRouter(config-milan米兰体育官方网站)#reference-milan米兰体育官方网站Router(config-milan米兰体育官方网站)#request-timeout 10 retry 5Router(config-milan米兰体育官方网站)#source-milan米兰体育官方网站Router(config-milan米兰体育官方网站)#logging errorRouter(config-milan米兰体育官方网站)#exit! ! ! milan米兰体育官方网站。 ! Router(config)#milan米兰体育官方网站Router(milan米兰体育官方网站)#ddns-client address ip action milan米兰体育官方网站 delay 30 interval 300Router(milan米兰体育官方网站)#exit! ! ! DNS リゾルバのmilan米兰体育官方网站します。 ! Router(config)#ip name-server 192.168.100.254Router(config)#ip name-server source-milan米兰体育官方网站! ! ! 特権ユーザモードに戻ります。 ! Router(config)#end! ! ! milan米兰体育官方网站保存します。 ! Router#save SIDE-A.cfg% saving working-config % finished saving Router# ! ! ! milan米兰体育官方网站有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)y
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007