milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
milan米兰体育官网入口例
1.F100対向でmilan米兰体育官网入口
概要
補足・注意点
動作説明
- 拠点側とセンター側で、milan米兰体育官网入口構成です。
- 従来のポリシーベースの方式の場合は、ipsec access-listにマッチするかどうかで暗号化するかどうかを決めていましたが、IPsec SAをインターフェースとして扱うことにより、どの通信を暗号化の対象にするのかを、ルートのmilan米兰体育官网入口によって決めることができるようになります。
- 従来、上記のようなセンター側に複数のセグメントがあり、拠点側から直接インターネット抜けるような構成の場合、拠点側では複数のIPsec SAが必要でしたが、milan米兰体育官网入口ことで、1つのSAで可能となります。
- IPsec SAのインターフェース化は、milan米兰体育官网入口のV01.16のファームウェアからのサポートとなります。
- milan米兰体育官网入口、スループットは最大50Mbpsとなります(V01.16のファームウェアの場合。V01.17(00)以降のファームウェアで高速化しており、従来方式と同等のスループットが得られるようになっています)。
- IPsecインターフェースは、SAの有無にかかわらず、常にアップとなります。ただし、関連付けられているcrypto mapに、set security-association always-upの設定がある場合に限り、SAの有無に連動してアップ、ダウンします。IPsecインターフェースがダウンした場合、対象の通信は残りの有効なテーブルに従ってルーティングされることになりますので、ルートの設定によっては、平文で出て行くことになります。これを防止するには、ipsec access-listにdiscardのmilan米兰体育官网入口入れておくか、nullインターフェースを利用します(V01.17(00)以降のファームウェアで利用可)。
- 同一のF100で、milan米兰体育官网入口と従来のポリシーベースの方式を併用することはできません。
- 1台のF100がmilan米兰体育官网入口利用、対向のF100/F1000がポリシーベースの方式を利用という組み合わせは、双方のipsec access-listが一致していれば、構成可能です。
- milan米兰体育官网入口でも、暗号化対象となる通信がcrypto mapで関連付けられたipsec access-listにマッチしている必要があります。(この例のように、対向のF100がお互いにIPsecインターフェースを利用しているような場合は、送信元:any、宛先:anyのipsec access-listとすることで、任意の通信を暗号化の対象とすることができます。逆に、送信元を指定することで、暗号化通信を許可する端末を限定することもできます)。
- milan米兰体育官网入口、同じ内容のipsec access-listを複数書くことができます(この例のセンター側のように、送信元:any、宛先:anyのipsec access-listを2つ以上書くことができます。逆に、送信元と宛先が同じだからといって、1つのipsec access-listを、複数のcrypto mapに結び付けることはできません)。
- 1つのmilan米兰体育官网入口には、1つのcrypto mapしか関連付けることができません(同じ名称にして複数のcrypto mapを関連付けることもできません)。
- IPsecインターフェースに関連付けられたipsec access-listの優先度は、1-64の任意にmilan米兰体育官网入口することができます(優先度は意味を持ちません)。
- 平文の通信は、IPsecインターフェースに関連付けがないipsec access-listとのマッチングをチェックされます。従って、bypassのmilan米兰体育官网入口がないと、discardされることになります(こちらの場合は、1番から順番に見ていくことになるので、優先度は意味を持ちます)。
- milan米兰体育官网入口で、QoS機能を利用することもできます。
- IPsecインターフェースで、NAT機能(VPN-NAT機能)を利用したい場合は、従来と同じくcrypto isakmp policyでmilan米兰体育官网入口します。IPsecインターフェースでmilan米兰体育官网入口することはできません。
- milan米兰体育官网入口、L3監視冗長やIPsec冗長・IPsec負荷分散機能と併用することはできません。
コマンドmilan米兰体育官网入口の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官网入口利用したい方は
拠点1側F100のmilan米兰体育官网入口
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します(実際は何も表示されません)。 Router# ! ! ! 基本milan米兰体育官网入口モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN1インタフェースのmilan米兰体育官网入口行います。 ! Router(config)#interface lan 1Router(config-if lan 1)#milan米兰体育官网入口.168.2.254 255.255.255.0Router(config-if lan 1)#exit! ! ! PPPoE1の各種milan米兰体育官网入口します。 ! Router(config)#interface pppoe 1Router(milan米兰体育官网入口)#pppoe server FLETSRouter(milan米兰体育官网入口)#pppoe account abc345@***.***.ne.jp pass345Router(milan米兰体育官网入口)#pppoe type hostRouter(milan米兰体育官网入口)#ip nat inside source list 1 interfaceRouter(milan米兰体育官网入口)#exit! ! ! access-list に、NAT変換milan米兰体育官网入口とするアドレス(LAN側アドレス)を登録します。 ! Router(config)#milan米兰体育官网入口.168.2.0 0.0.0.255! ! ! VPN機能を有効にします。 ! Router(config)#vpn enable! ! ! VPN通信動作中の詳細なログを残すmilan米兰体育官网入口にします。 ! Router(config)#vpnlog enable! ! ! Phase1ポリシーのmilan米兰体育官网入口行ないます。 ! Router(config)#milan米兰体育官网入口Router(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#my-identity id-kyoten1Router(config-isakmp)#peer-identity address 200.200.200.200Router(config-isakmp)#exit! ! ! Phase2ポリシーのmilan米兰体育官网入口行ないます。 ! Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! ! ! VPNセレクタのmilan米兰体育官网入口行ないます。 ! Router(config)#milan米兰体育官网入口Router(config)#milan米兰体育官网入口 2 discard ip any 192.168.1.0 0.0.0.255Router(config)#milan米兰体育官网入口 3 discard ip any 172.16.1.0 0.0.0.255 ! milan米兰体育官网入口がダウンしたときに、センター宛の通信が ! 平文でそのまま出て行かmilan米兰体育官网入口ようにします(注1)。Router(config)#milan米兰体育官网入口 64 bypass ip any any! Router(config)#milan米兰体育官网入口 1Router(config-crypto-map)#milan米兰体育官网入口Router(config-crypto-map)#milan米兰体育官网入口.200.200.200Router(config-crypto-map)#set security-association always-up ! このmilan米兰体育官网入口がある場合に限り、SAの有無に応じて ! milan米兰体育官网入口がアップ、ダウンします。Router(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! IPsec1インタフェースのmilan米兰体育官网入口行います。 ! Router(config)#milan米兰体育官网入口Router(milan米兰体育官网入口)#milan米兰体育官网入口 ! milan米兰体育官网入口と、crypto mapの結び付けを行います。 ! これでmilan米兰体育官网入口が利用可能となります。Router(milan米兰体育官网入口)#exit! ! ! ルート情報のmilan米兰体育官网入口によって、どの通信をIPsec対象とするか指定します。 ! Router(config)#milan米兰体育官网入口92.168.1.0 255.255.255.0 connected ipsecif 1Router(config)#milan米兰体育官网入口72.16.1.0 255.255.255.0 connected ipsecif 1 ! センター宛通信のNexthopとして、milan米兰体育官网入口指定することで、 ! 暗号化通信のmilan米兰体育官网入口とすることができます。Router(config)#milan米兰体育官网入口 0.0.0.0 0.0.0.0 pppoe 1! ! ! 特権ユーザモードに戻ります。 ! Router(config)#end! ! ! milan米兰体育官网入口保存します。 ! Router#save SIDE-A.cfg% saving working-config % finished saving Router# ! ! ! milan米兰体育官网入口有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)y
| 注1 : | V01.17(00)以降のファームウェアでは、ipsec access-listでdiscardをmilan米兰体育官网入口する替わりに、nullインターフェースを利用して、
|
コマンドmilan米兰体育官网入口の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官网入口利用したい方は
拠点2側F100のmilan米兰体育官网入口
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します(実際は何も表示されません)。 Router# ! ! ! 基本milan米兰体育官网入口モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN1インタフェースのmilan米兰体育官网入口行います。 ! Router(config)#interface lan 1Router(config-if lan 1)#milan米兰体育官网入口.168.3.254 255.255.255.0Router(config-if lan 1)#exit! ! ! PPPoE1の各種milan米兰体育官网入口します。 ! Router(config)#interface pppoe 1Router(milan米兰体育官网入口)#pppoe server FLETSRouter(milan米兰体育官网入口)#pppoe account abc678@***.***.ne.jp pass678Router(milan米兰体育官网入口)#pppoe type hostRouter(milan米兰体育官网入口)#ip nat inside source list 1 interfaceRouter(milan米兰体育官网入口)#exit! ! ! access-list に、NAT変換milan米兰体育官网入口とするアドレス(LAN側アドレス)を登録します。 ! Router(config)#milan米兰体育官网入口.168.3.0 0.0.0.255! ! ! VPN機能を有効にします。 ! Router(config)#vpn enable! ! ! VPN通信動作中の詳細なログを残すmilan米兰体育官网入口にします。 ! Router(config)#vpnlog enable! ! ! Phase1ポリシーのmilan米兰体育官网入口行ないます。 ! Router(config)#milan米兰体育官网入口Router(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#my-identity id-kyoten2Router(config-isakmp)#peer-identity address 200.200.200.200Router(config-isakmp)#exit! ! ! Phase2ポリシーのmilan米兰体育官网入口行ないます。 ! Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! ! ! VPNセレクタのmilan米兰体育官网入口行ないます。 ! Router(config)#milan米兰体育官网入口Router(config)#milan米兰体育官网入口 2 discard ip any 192.168.1.0 0.0.0.255Router(config)#milan米兰体育官网入口 3 discard ip any 172.16.1.0 0.0.0.255Router(config)#milan米兰体育官网入口 64 bypass ip any any! Router(config)#milan米兰体育官网入口 1Router(config-crypto-map)#milan米兰体育官网入口Router(config-crypto-map)#milan米兰体育官网入口.200.200.200Router(config-crypto-map)#set security-association always-upRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! IPsec1インタフェースのmilan米兰体育官网入口行います。 ! Router(config)#milan米兰体育官网入口Router(milan米兰体育官网入口)#milan米兰体育官网入口Router(milan米兰体育官网入口)#exit! ! ! ルート情報のmilan米兰体育官网入口によって、どの通信をIPsec対象とするか指定します。 ! Router(config)#milan米兰体育官网入口92.168.1.0 255.255.255.0 connected ipsecif 1Router(config)#milan米兰体育官网入口72.16.1.0 255.255.255.0 connected ipsecif 1Router(config)#milan米兰体育官网入口 0.0.0.0 0.0.0.0 pppoe 1! ! ! 特権ユーザモードに戻ります。 ! Router(config)#end! ! ! milan米兰体育官网入口保存します。 ! Router#save SIDE-A.cfg% saving working-config % finished saving Router# ! ! ! milan米兰体育官网入口有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)y
コマンドmilan米兰体育官网入口の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官网入口利用したい方は
センター側F100のmilan米兰体育官网入口
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します(実際は何も表示されません)。 Router# ! ! ! 基本milan米兰体育官网入口モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN1インタフェースのmilan米兰体育官网入口行います。 ! Router(config)#interface lan 1Router(config-if lan 1)#milan米兰体育官网入口.168.1.254 255.255.255.0Router(config-if lan 1)#exit! ! ! PPPoE1の各種milan米兰体育官网入口します。 ! Router(config)#interface pppoe 1Router(milan米兰体育官网入口)#pppoe server FLETSRouter(milan米兰体育官网入口)#pppoe account abc012@***.***.ne.jp pass012Router(milan米兰体育官网入口)#pppoe type hostRouter(milan米兰体育官网入口)#ip address 200.200.200.200Router(milan米兰体育官网入口)#ip nat inside source list 1 interfaceRouter(milan米兰体育官网入口)#exit! ! ! access-list に、NAT変換milan米兰体育官网入口とするアドレス(LAN側アドレス)を登録します。 ! Router(config)#milan米兰体育官网入口.168.1.0 0.0.0.255! ! ! VPN機能を有効にします。 ! Router(config)#vpn enable! ! ! VPN通信動作中の詳細なログを残すmilan米兰体育官网入口にします。 ! Router(config)#vpnlog enable! ! ! 拠点1用のPhase1ポリシーのmilan米兰体育官网入口行ないます。 ! Router(config)#milan米兰体育官网入口Router(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#peer-identity host id-kyoten1Router(config-isakmp)#exit! ! ! 拠点2用のPhase1ポリシーのmilan米兰体育官网入口行ないます。 ! Router(config)#milan米兰体育官网入口 2Router(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#peer-identity host id-kyoten2Router(config-isakmp)#exit! ! ! Phase2ポリシーのmilan米兰体育官网入口行ないます。 ! Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! ! ! ipsec access-listのmilan米兰体育官网入口行ないます。 ! Router(config)#milan米兰体育官网入口Router(config)#milan米兰体育官网入口 2 ipsec ip any any ! センター側ではcrypto mapにset security-association always-upのmilan米兰体育官网入口が ! ないので、milan米兰体育官网入口は常にアップした状態になります。 ! 従って、discardのmilan米兰体育官网入口は不要です。Router(config)#milan米兰体育官网入口 64 bypass ip any any! ! ! 拠点1用のcrypto mapのmilan米兰体育官网入口行ないます。 ! Router(config)#milan米兰体育官网入口1 1Router(config-crypto-map)#milan米兰体育官网入口Router(config-crypto-map)#milan米兰体育官网入口1Router(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! 拠点2用のcrypto mapのmilan米兰体育官网入口行ないます。 ! Router(config)#milan米兰体育官网入口2 2Router(config-crypto-map)#match address 2Router(config-crypto-map)#milan米兰体育官网入口2Router(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! IPsec1インタフェースのmilan米兰体育官网入口行います(拠点1用)。 ! Router(config)#milan米兰体育官网入口Router(milan米兰体育官网入口)#milan米兰体育官网入口1Router(milan米兰体育官网入口)#exit! ! ! IPsec2インタフェースのmilan米兰体育官网入口行います(拠点2用)。 ! Router(config)#interface ipsecif 2Router(config-if ipsecif 2)#milan米兰体育官网入口2Router(config-if ipsecif 2)#exit! ! ! ルート情報のmilan米兰体育官网入口によって、どの通信をIPsec対象とするか指定します。 ! Router(config)#milan米兰体育官网入口92.168.2.0 255.255.255.0 connected ipsecif 1Router(config)#milan米兰体育官网入口92.168.3.0 255.255.255.0 connected ipsecif 2Router(config)#milan米兰体育官网入口72.16.1.0 255.255.255.0 192.168.1.1Router(config)#milan米兰体育官网入口 0.0.0.0 0.0.0.0 pppoe 1! ! ! 特権ユーザモードに戻ります。 ! Router(config)#end! ! ! milan米兰体育官网入口保存します。 ! Router#save SIDE-A.cfg% saving working-config % finished saving Router# ! ! ! milan米兰体育官网入口有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)y
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007