milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
milan米兰体育官方网站例
4.milan米兰体育官方网站F1000)とWindowsXPでIPsec通信をする
センタ(IP固定),Windows XP(IP固定)
センタ(IP固定),Windows XP(IP固定)
概要
補足・注意点
前提条件
当milan米兰体育官方网站例では、以下のアドレス・環境を前提に説明しています。
milan米兰体育官方网站バイダより割り振られたアドレス(アドレスは一例です)
| センタ側 | 200.200.200.1 |
| Windows XP側 | 210.210.210.100 |
milan米兰体育官方网站環境
| IPsecの対象とする中継パケット | 192.168.1.0/24 ⇔ 210.210.210.100 |
| IPsec Phase1ポリシー | milan米兰体育官方网站 ・・・ Mainmilan米兰体育官方网站 認証方式 ・・・ 事前共有鍵方式 milan米兰体育官方网站方式 ・・・ 3DES ハッシュ方式 ・・・ milan米兰体育官方网站 Diffie-Hellman ・・・ Groumilan米兰体育官方网站 |
| IPsec Phase2ポリシー | milan米兰体育官方网站方式 ・・・ 3DES ハッシュ方式 ・・・ milan米兰体育官方网站 |
コマンドmilan米兰体育官方网站の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官方网站を利用したい方は
センタ
! ! ! 特権ユーザmilan米兰体育官方网站に移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本milan米兰体育官方网站モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN側IPアドレスをmilan米兰体育官方网站します。 ! Router(config)#interface lan 1Router(config-if lan 1)#milan米兰体育官方网站.168.1.254 255.255.255.0Router(config-if lan 1)#exit! ! ! PPPoE1インタフェースmilan米兰体育官方网站モードに移行します。 ! Router(config)#interface pppoe 1Router(config-if pppoe 1)# ! ! ! PPPoEの各種milan米兰体育官方网站をします。 ! Router(config-if pppoe 1)#pppoe server FLETS! サーバ名称は任意 Router(milan米兰体育官方网站)#pppoe account abc012@***.***.ne.jp xxxyyyzzz! アカウントID パスワード Router(milan米兰体育官方网站)#pppoe type hostRouter(milan米兰体育官方网站)#milan米兰体育官方网站.200.200.1! ! ! NAT+のmilan米兰体育官方网站をします。 ! Router(config-if pppoe 1)#ip nat inside source list 1 interface! インタフェース(PPPoE)のIPアドレスでNAT+変換 Router(milan米兰体育官方网站)#exit! ! ! access-list に、milan米兰体育官方网站前アドレス(LAN側アドレス)を登録します。 ! Router(config)#milan米兰体育官方网站.168.1.0 0.0.0.255! ! ! デフォルトルートをPPPoE1にmilan米兰体育官方网站します。 ! Router(config)#ip route 0.0.0.0 0.0.0.0 pppoe 1! ! ! VPN機能を有効にします。 ! Router(config)#vpn enable! ! ! VPN通信動作中の詳細なログを残すmilan米兰体育官方网站にします。 ! Router(config)#vpnlog enable! ! ! Phase1ポリシーのmilan米兰体育官方网站を行ないます。 ! Router(config)#crypto isakmp policy 1Router(config-isakmp)#negotiation-modemain ! WindowsXPはメmilan米兰体育官方网站モードのみサポートRouter(config-isakmp)#authenticationprekey ! 共通鍵方式Router(config-isakmp)#encryption3desRouter(config-isakmp)#hashmilan米兰体育官方网站Router(config-isakmp)#group2 ! WindowsXPの初期milan米兰体育官方网站値に合わせますRouter(config-isakmp)#key asciiSECRET-VPN ! 対向のWindowsXPと共通のキー(文字列)をmilan米兰体育官方网站Router(config-isakmp)#peer-identity address210.210.210.100 ! 対向のWindowsXPのグローバルアドレスRouter(config-isakmp)#exit! ! ! Phase2ポリシーのmilan米兰体育官方网站を行ないます。 ! Router(config)#ipsec transform-setP2-POLICY esp-milan米兰体育官方网站 ! 名称はmilan米兰体育官方网站 暗号方式 ハッシュ方式! ! VPNセレクタのmilan米兰体育官方网站を行ないます。 ! Router(config)#milan米兰体育官方网站ipsecip192.168.1.0 0.0.0.255 210.210.210.100 0.0.0.0 ! 暗号化 milan米兰体育官方网站元IPアドレス milan米兰体育官方网站先IPアドレス ! 送信先IPアドレスが単一IPアドレスであることがポmilan米兰体育官方网站トですRouter(config)#milan米兰体育官方网站bypassip any any ! milan米兰体育官方网站せず通過Router(config)#milan米兰体育官方网站WinXP 1 ! マップ名はmilan米兰体育官方网站Router(config-crypto-map)#match address1 ! IPsecアクセスリスト番号Router(config-crypto-map)#set peer address210.210.210.100 ! WindowsXPのグローバルアドレスRouter(config-crypto-map)#set transform-setmilan米兰体育官方网站 ! Phase2ポリシーとの関連付けRouter(config-crypto-map)#exitRouter(config)#interface pppoe 1Router(milan米兰体育官方网站)#milan米兰体育官方网站WinXP ! マップ(VPNセレクタ)との関連付けRouter(milan米兰体育官方网站)#exit! ! ! 特権ユーザmilan米兰体育官方网站に戻ります。 ! Router(config)#end! ! ! milan米兰体育官方网站を保存します。 ! Router#save SIDE-*.cfg←*には、保存したい面に応じて、A・Bのどちらかを入れる % saving working-config % finished saving ! ! ! milan米兰体育官方网站を有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)y
WindowsXP
※ WindowsXPは固定IPアドレスであること1. MMC(Microsoft Management Console)を起動します
「スタート」ボタン→「ファイル名を指定して実行」から"mmc"と入力します。
2.「ファイル」→「スナップmilan米兰体育官方网站の追加と削除」から次のスナップmilan米兰体育官方网站を追加
・IPセキュリティポリシーの管理
・IPセキュリティモニタ(milan米兰体育官方网站ストールしなくともIPsec通信に影響はありません)
3a.「操作」→「IPフィルタ一覧とフィルタ操作の管理」からフィルタの作成
「IPフィルタ一覧の管理」タブにてIPフィルタを追加します。
※このフィルタはmilan米兰体育官方网站と受信方向の2種類必要です
IPフィルタウィザードでは次のmilan米兰体育官方网站を行います。(名前は任意)
to F100(送信方向)
・IPトラフィックの発信元 このコンピュータ
・IPトラフィックの宛先 192.168.1.0/24
・IPプロトコルの種類 任意
・プロパティを編集する チェックします
・ミラー化 チェック外します
to XP(受信方向)
・IPトラフィックの発信元 192.168.1.0/24
・IPトラフィックの宛先 このコンピュータ
・IPプロトコルの種類 任意
・プロパティを編集する チェックします
・ミラー化 チェック外します
3b.「フィルタ操作の管理」タブにてフィルタ操作を追加
フィルタ操作ウィザードでは次のmilan米兰体育官方网站を行います。
・名前 任意(この例ではVPN)
・フィルタ操作の全般オプション セキュリティのネゴシエート
・IPsecをサポートしないコンピュータと通信しない
・IPトラフィックセキュリティ カスタム→「milan米兰体育官方网站」へ
・AH チェック外す
・ESP MD5、3DES
・セッションキーのmilan米兰体育官方网站 秒(時間方式)を選択
4. 「操作」→「IPセキュリティポリシーの作成」にてポリシーの追加
IPセキュリティポリシーウィザードでは次のmilan米兰体育官方网站を行います。
・名前 任意(この例ではIPsec)
・セキュリティで保護された通信の要求 チェック外す(規定の応答規則無効)
セキュリティ規則に関するウィンドウが開きます。
ここでも送信方向と受信方向の2種類を追加します。
送信方向
・トンネルエンドポイント 200.200.200.1
・ネットワークの種類 すべてのネットワーク接続
・認証方法 事前共有キー「SECRET-VPN」
・IPフィルタ一覧 送信方向の「to F100」
・フィルタ操作 「VPN」
・プロパティを編集する チェック外す
受信方向
・トンネルエンドポイント 210.210.210.100
・ネットワークの種類 すべてのネットワーク接続
・認証方法 事前共有キー「SECRET-VPN」
・IPフィルタ一覧 送信方向の「to XP」
・フィルタ操作 「VPN」
・プロパティを編集する チェック外す
5. milan米兰体育官方网站の有効化 作成したIPsecmilan米兰体育官方网站の初期状態は無効状態です。 (ポリシーの割り当てが"いいえ") 画面右の"IPsec"を右クリック→割り当て
※ 補足事項 WindowsXPではISAKMP SAに関するmilan米兰体育官方网站を初期値として既に4セット持っているため、 このmilan米兰体育官方网站例ではそのまま使用しました。 任意にmilan米兰体育官方网站する場合は、MMC画面内右の「IPsec」をダブルクリック →「全般タブ」→「詳細milan米兰体育官方网站」→「メソッド」で表示される画面にて行えます。
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007