德赢ac米兰vwin 192.168.3.0 0.0.0.255

milan米兰体育ネットワーク機器の総合ブランド　ファイテルネット

德赢ac米兰vwin例

2．F1000を相手に德赢ac米兰vwin

概要

補足・注意点

動作説明

拠点側では德赢ac米兰vwin利用し、その対向となるセンター側では、従来のポリシーベースのIPsecを利用する構成です。
従来のポリシーベースの方式の場合は、ipsec access-listにマッチするかどうかで暗号化するかどうかを決めていましたが、IPsec SAをインターフェースとして扱うことにより、どの通信を暗号化の対象にするのかを、ルートの德赢ac米兰vwinによって決めることができるようになります。
従来、上記のようなセンター側に複数のセグメントがあり、拠点側から直接インターネット抜けるような構成の場合、拠点側では複数のIPsec SAが必要でしたが、德赢ac米兰vwinことで、１つのSAで可能となります。
IPsec SAのインターフェース化は、德赢ac米兰vwinのV01.16のファームウェアからのサポートとなります。
德赢ac米兰vwin、スループットは最大50Mbpsとなります（V01.16のファームウェアの場合。V01.17(00)以降のファームウェアで高速化しており、従来方式と同等のスループットが得られるようになっています）。
IPsecインターフェースは、SAの有無にかかわらず、常にアップとなります。ただし、関連付けられているcrypto mapに、set security-association always-upの設定がある場合に限り、SAの有無に連動してアップ、ダウンします。IPsecインターフェースがダウンした場合、対象の通信は残りの有効なテーブルに従ってルーティングされることになりますので、ルートの設定によっては、平文で出て行くことになります。これを防止するには、ipsec access-listにdiscardの德赢ac米兰vwin入れておくか、nullインターフェースを利用します（V01.17(00)以降のファームウェアで利用可）。
同一のF100で、德赢ac米兰vwinと従来のポリシーベースの方式を併用することはできません。
この德赢ac米兰vwin例のように、１台のF100がIPsecインターフェースを利用、対向のF100/F1000がポリシーベースの方式を利用という組み合わせは、双方のipsec access-listが一致していれば構成可能です。
德赢ac米兰vwinでも、暗号化対象となる通信がcrypto mapで関連付けられたipsec access-listにマッチしている必要があります（この例のように、対向のF100/F1000がポリシーベースの方式を利用しているような場合には、送信元を拠点側のネットワーク、宛先をanyのipsec access-listとすることで、センター側から拠点を区別できるようにしておきます）。
德赢ac米兰vwin、同じ内容のipsec access-listを複数書くことができます（送信元と宛先が同じだからといって、１つのipsec access-listを、複数のcrypto mapに結び付けることはできません）。
１つの德赢ac米兰vwinには、１つのcrypto mapしか関連付けることができません（同じ名称にして複数のcrypto mapを関連付けることもできません）。
IPsecインターフェースに関連付けられたipsec access-listの優先度は、1〜64の任意に德赢ac米兰vwinすることができます（優先度は意味を持ちません）。
平文の通信は、IPsecインターフェースに関連付けがないipsec access-listとのマッチングをチェックされます。従って、bypassの德赢ac米兰vwinがないと、discardされることになります（こちらの場合は、１番から順番に見ていくことになるので、優先度は意味を持ちます）。
德赢ac米兰vwinで、QoS機能を利用することもできます。
IPsecインターフェースで、NAT機能（VPN-NAT機能）を利用したい場合は、従来と同じくcrypto isakmp policyで德赢ac米兰vwinします。IPsecインターフェースで德赢ac米兰vwinすることはできません。
德赢ac米兰vwin、L3監視冗長やIPsec冗長・IPsec負荷分散機能と併用することはできません。

コマンド德赢ac米兰vwinの例

（!の行はコメントです。実際に入力する必要はありません。）

この德赢ac米兰vwin利用したい方は

<pre>interface lan 1
 ip address 192.168.2.254 255.255.255.0
exit
!
interface pppoe 1
 pppoe server FLETS
 pppoe account abc345@***.***.ne.jp pass345
 pppoe type host
 ip nat inside source list 1 interface
exit
!
access-list 1 permit 192.168.2.0 0.0.0.255
!
vpn enable
vpnlog enable
!
crypto isakmp policy 1
 negotiation-mode aggressive
 authentication prekey
 encryption aes 128
 group 2
 hash sha
 key ascii secret-vpn
 my-identity id-kyoten1
 peer-identity address 200.200.200.200
exit
!
ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac
!
德赢ac米兰vwin 192.168.2.0 0.0.0.255 any
ipsec access-list 2 discard ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
ipsec access-list 3 discard ip 192.168.2.0 0.0.0.255 172.16.1.0 0.0.0.255
ipsec access-list 64 bypass ip any any
!
crypto map center 1
 match address 1
 set peer address 200.200.200.200
 set security-association always-up
 set transform-set P2-POLICY
exit
!
interface ipsecif 1
 crypto map center 
exit
!
ip route 192.168.1.0 255.255.255.0 connected ipsecif 1
ip route 172.16.1.0 255.255.255.0 connected ipsecif 1
ip route 0.0.0.0 0.0.0.0 pppoe 1
!
end</pre>

拠点1側F100の德赢ac米兰vwin

!
!
! 特権ユーザモードに移行します。
!
RouterenableEnter password:super←パスワードを入力します（実際は何も表示されません）。

Router#
!
!
! 基本德赢ac米兰vwinモードに移行します。
!
Router#configure terminalRouter(config)#
!
!
! LAN1インタフェースの德赢ac米兰vwin行います。
!
Router(config)#interface lan 1Router(config-if lan 1)#德赢ac米兰vwin.168.2.254 255.255.255.0Router(config-if lan 1)#exit!
!
! PPPoE1の各種德赢ac米兰vwinします。
!
Router(config)#interface pppoe 1Router(德赢ac米兰vwin)#pppoe server FLETSRouter(德赢ac米兰vwin)#pppoe account abc345@***.***.ne.jp pass345Router(德赢ac米兰vwin)#pppoe type hostRouter(德赢ac米兰vwin)#ip nat inside source list 1 interfaceRouter(德赢ac米兰vwin)#exit!
!
! access-list に、NAT変換德赢ac米兰vwinとするアドレス（LAN側アドレス）を登録します。
!
Router(config)#德赢ac米兰vwin.168.2.0 0.0.0.255!
!
! VPN機能を有効にします。
!
Router(config)#vpn enable!
!
! VPN通信動作中の詳細なログを残す德赢ac米兰vwinにします。
!
Router(config)#vpnlog enable!
!
! Phase1ポリシーの德赢ac米兰vwin行ないます。
!
Router(config)#德赢ac米兰vwinRouter(config-isakmp)#德赢ac米兰vwinRouter(config-isakmp)#德赢ac米兰vwinRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#my-identity id-kyoten1Router(config-isakmp)#peer-identity address 200.200.200.200Router(config-isakmp)#exit!
!
! Phase2ポリシーの德赢ac米兰vwin行ないます。
!
Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac!
!
! VPNセレクタの德赢ac米兰vwin行ないます。
!
Router(config)#德赢ac米兰vwin 192.168.2.0 0.0.0.255 any
!               德赢ac米兰vwinでは従来のポリシーベースのIPsecのため、
!               送信元を限定することでセンター側から德赢ac米兰vwinを区別できるようにしておきます。Router(config)#德赢ac米兰vwin 2 discard ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255Router(config)#德赢ac米兰vwin 3 discard ip 192.168.2.0 0.0.0.255 172.16.1.0 0.0.0.255
!               德赢ac米兰vwinがダウンしたときに、センター宛の通信が平文で
!               そのまま出て行かないようにします（注１）。Router(config)#德赢ac米兰vwin 64 bypass ip any any!
Router(config)#德赢ac米兰vwin 1Router(config-crypto-map)#德赢ac米兰vwinRouter(config-crypto-map)#德赢ac米兰vwin.200.200.200Router(config-crypto-map)#set security-association always-up
!                          この德赢ac米兰vwinがある場合に限り、SAの有無に応じて
!                          德赢ac米兰vwinがアップ、ダウンします。Router(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit!
!
! IPsec1インタフェースの德赢ac米兰vwin行います。
!
Router(config)#interface ipsecif 1Router(config-if ipsecif 1)#德赢ac米兰vwin
!                            德赢ac米兰vwinと、crypto mapの結び付けを行います。
!                            これで德赢ac米兰vwinが利用可能となります。Router(config-if ipsecif 1)#exit!
!
! ルート情報の德赢ac米兰vwinによって、どの通信をIPsec対象とするか指定します。
!
Router(config)#德赢ac米兰vwin92.168.1.0 255.255.255.0 connected ipsecif 1Router(config)#德赢ac米兰vwin72.16.1.0 255.255.255.0 connected ipsecif 1
!               センター宛通信のNexthopとして、德赢ac米兰vwin指定することで、
!               暗号化通信の德赢ac米兰vwinとすることができます。Router(config)#德赢ac米兰vwin 0.0.0.0 0.0.0.0 pppoe 1!
!
! 特権ユーザモードに戻ります。
!
Router(config)#end!
!
! 德赢ac米兰vwin保存します。
!
Router#save SIDE-A.cfg% saving working-config
% finished saving

Router#
!
!
! 德赢ac米兰vwin有効にするために再起動します。
!
Router#resetAre you OK to cold start?(y/n)y

注１：

V01.17(00)以降のファームウェアでは、ipsec access-listでdiscardを德赢ac米兰vwinする替わりに、nullインターフェースを利用して、

德赢ac米兰vwin92.168.1.0 255.255.255.0 connected null 0 150

德赢ac米兰vwin72.16.1.0 255.255.255.0 connected null 0 150

とすることで、ルートの德赢ac米兰vwinにより廃棄することができるようになりました（最後の150はdistance値で、ipsecifに向けたルートより優先度が低くなりますので、ipsecifがダウンしたときに、こちらのルートが有効になって廃棄されます）。

コマンド德赢ac米兰vwinの例

（!の行はコメントです。実際に入力する必要はありません。）

この德赢ac米兰vwin利用したい方は

<pre>interface lan 1
 ip address 192.168.3.254 255.255.255.0
exit
!
interface pppoe 1
 pppoe server FLETS
 pppoe account abc678@***.***.ne.jp pass678
 pppoe type host
 ip nat inside source list 1 interface
exit
!
access-list 1 permit 192.168.3.0 0.0.0.255
!
vpn enable
vpnlog enable
!
crypto isakmp policy 1
 negotiation-mode aggressive
 authentication prekey
 encryption aes 128
 group 2
 hash sha
 key ascii secret-vpn
 my-identity id-kyoten2
 peer-identity address 200.200.200.200
exit
!
ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac
!
德赢ac米兰vwin 192.168.3.0 0.0.0.255 any 
ipsec access-list 2 discard ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
ipsec access-list 3 discard ip 192.168.3.0 0.0.0.255 172.16.1.0 0.0.0.255
ipsec access-list 64 bypass ip any any
! 
crypto map center 1
 match address 1
 set peer address 200.200.200.200
 set security-association always-up
 set transform-set P2-POLICY
exit
!
interface ipsecif 1
 crypto map center 
exit
!
ip route 192.168.1.0 255.255.255.0 connected ipsecif 1
ip route 172.16.1.0 255.255.255.0 connected ipsecif 1
ip route 0.0.0.0 0.0.0.0 pppoe 1
!
end</pre>

拠点2側F100の德赢ac米兰vwin

!
!
! 特権ユーザモードに移行します。
!
RouterenableEnter password:super←パスワードを入力します（実際は何も表示されません）。

Router#
!
!
! 基本德赢ac米兰vwinモードに移行します。
!
Router#configure terminalRouter(config)#
!
!
! LAN1インタフェースの德赢ac米兰vwin行います。
!
Router(config)#interface lan 1Router(config-if lan 1)#德赢ac米兰vwin.168.3.254 255.255.255.0Router(config-if lan 1)#exit!
!
! PPPoE1の各種德赢ac米兰vwinします。
!
Router(config)#interface pppoe 1Router(德赢ac米兰vwin)#pppoe server FLETSRouter(德赢ac米兰vwin)#pppoe account abc678@***.***.ne.jp pass678Router(德赢ac米兰vwin)#pppoe type hostRouter(德赢ac米兰vwin)#ip nat inside source list 1 interfaceRouter(德赢ac米兰vwin)#exit!
!
! access-list に、NAT変換德赢ac米兰vwinとするアドレス（LAN側アドレス）を登録します。
!
Router(config)#德赢ac米兰vwin.168.3.0 0.0.0.255!
!
! VPN機能を有効にします。
!
Router(config)#vpn enable!
!
! VPN通信動作中の詳細なログを残す德赢ac米兰vwinにします。
!
Router(config)#vpnlog enable!
!
! Phase1ポリシーの德赢ac米兰vwin行ないます。
!
Router(config)#德赢ac米兰vwinRouter(config-isakmp)#德赢ac米兰vwinRouter(config-isakmp)#德赢ac米兰vwinRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#my-identity id-kyoten2Router(config-isakmp)#peer-identity address 200.200.200.200Router(config-isakmp)#exit!
!
! Phase2ポリシーの德赢ac米兰vwin行ないます。
!
Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac!
!
! VPNセレクタの德赢ac米兰vwin行ないます。
!
Router(config)#德赢ac米兰vwin 192.168.3.0 0.0.0.255 anyRouter(config)#德赢ac米兰vwin 2 discard ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255Router(config)#德赢ac米兰vwin 3 discard ip 192.168.3.0 0.0.0.255 172.16.1.0 0.0.0.255Router(config)#德赢ac米兰vwin 64 bypass ip any any!
Router(config)#德赢ac米兰vwin 1Router(config-crypto-map)#德赢ac米兰vwinRouter(config-crypto-map)#德赢ac米兰vwin.200.200.200Router(config-crypto-map)#set security-association always-upRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit!
!
! IPsec1インタフェースの德赢ac米兰vwin行います。
!
Router(config)#interface ipsecif 1Router(config-if ipsecif 1)#德赢ac米兰vwinRouter(config-if ipsecif 1)#exit!
!
! ルート情報の德赢ac米兰vwinによって、どの通信をIPsec対象とするか指定します。
!
Router(config)#德赢ac米兰vwin92.168.1.0 255.255.255.0 connected ipsecif 1Router(config)#德赢ac米兰vwin72.16.1.0 255.255.255.0 connected ipsecif 1Router(config)#德赢ac米兰vwin 0.0.0.0 0.0.0.0 pppoe 1!
!
! 特権ユーザモードに戻ります。
!
Router(config)#end!
!
! 德赢ac米兰vwin保存します。
!
Router#save SIDE-A.cfg% saving working-config
% finished saving

Router#
!
!
! 德赢ac米兰vwin有効にするために再起動します。
!
Router#resetAre you OK to cold start?(y/n)y

コマンド德赢ac米兰vwinの例

（!の行はコメントです。実際に入力する必要はありません。）

この德赢ac米兰vwin利用したい方は

<pre>interface lan 1
 ip address 192.168.1.254 255.255.255.0
exit
!
interface pppoe 1
 pppoe server FLETS
 pppoe account abc012@***.***.ne.jp pass012
 pppoe type host
 ip address 200.200.200.200
 ip nat inside source list 1 interface
 crypto map kyoten1
 crypto map kyoten2
exit
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
vpn enable
vpnlog enable
!
crypto isakmp policy 1
 negotiation-mode aggressive
 authentication prekey
 encryption aes 128
 group 2
 hash sha
 key ascii secret-vpn
 peer-identity host id-kyoten1
exit
!
crypto isakmp policy 2
 negotiation-mode aggressive
 authentication prekey
 encryption aes 128
 group 2
 hash sha
 key ascii secret-vpn
 peer-identity host id-kyoten2
exit
!
ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac
!
德赢ac米兰vwin any 192.168.2.0 0.0.0.255
ipsec access-list 2 ipsec ip any 192.168.3.0 0.0.0.255
ipsec access-list 64 bypass ip any any
!
crypto map kyoten1 1
 match address 1
 set peer host id-kyoten1
 set transform-set P2-POLICY
exit
!
crypto map kyoten2 2
 match address 2
 set peer host id-kyoten2
 set transform-set P2-POLICY
exit
!
ip route 172.16.1.0 255.255.255.0 192.168.1.1
ip route 0.0.0.0 0.0.0.0 pppoe 1
!
end</pre>

センター側F1000の德赢ac米兰vwin

!
!
! 特権ユーザモードに移行します。
!
RouterenableEnter password:super←パスワードを入力します（実際は何も表示されません）。

Router#
!
!
! 基本德赢ac米兰vwinモードに移行します。
!
Router#configure terminalRouter(config)#
!
!
! LAN1インタフェースの德赢ac米兰vwin行います。
!
Router(config)#interface lan 1Router(config-if lan 1)#德赢ac米兰vwin.168.1.254 255.255.255.0Router(config-if lan 1)#exit!
!
! PPPoE1の各種德赢ac米兰vwinします。
!
Router(config)#interface pppoe 1Router(德赢ac米兰vwin)#pppoe server FLETSRouter(德赢ac米兰vwin)#pppoe account abc012@***.***.ne.jp pass012Router(德赢ac米兰vwin)#pppoe type hostRouter(德赢ac米兰vwin)#德赢ac米兰vwin 200.200.200.200Router(德赢ac米兰vwin)#ip nat inside source list 1 interfaceRouter(德赢ac米兰vwin)#德赢ac米兰vwin1Router(德赢ac米兰vwin)#德赢ac米兰vwin2Router(德赢ac米兰vwin)#exit!
!
! access-list に、NAT変換德赢ac米兰vwinとするアドレス（LAN側アドレス）を登録します。
!
Router(config)#德赢ac米兰vwin.168.1.0 0.0.0.255!
!
! VPN機能を有効にします。
!
Router(config)#vpn enable!
!
! VPN通信動作中の詳細なログを残す德赢ac米兰vwinにします。
!
Router(config)#vpnlog enable!
!
! 拠点1用のPhase1ポリシーの德赢ac米兰vwin行ないます。
!
Router(config)#德赢ac米兰vwinRouter(config-isakmp)#德赢ac米兰vwinRouter(config-isakmp)#德赢ac米兰vwinRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#peer-identity host id-kyoten1Router(config-isakmp)#exit!
!
! 拠点2用のPhase1ポリシーの德赢ac米兰vwin行ないます。
!
Router(config)#德赢ac米兰vwin 2Router(config-isakmp)#德赢ac米兰vwinRouter(config-isakmp)#德赢ac米兰vwinRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#peer-identity host id-kyoten2Router(config-isakmp)#exit!
!
! Phase2ポリシーの德赢ac米兰vwin行ないます。
!
Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac!
!
! ipsec access-listの德赢ac米兰vwin行ないます。
!
Router(config)#德赢ac米兰vwin any 192.168.2.0 0.0.0.255Router(config)#德赢ac米兰vwin 2 ipsec ip any 192.168.3.0 0.0.0.255Router(config)#德赢ac米兰vwin 64 bypass ip any any!
!
! 拠点1用のcrypto mapの德赢ac米兰vwin行ないます。
!
Router(config)#德赢ac米兰vwin1 1Router(config-crypto-map)#德赢ac米兰vwinRouter(config-crypto-map)#德赢ac米兰vwin1Router(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit!
!
! 拠点2用のcrypto mapの德赢ac米兰vwin行ないます。
!
Router(config)#德赢ac米兰vwin2 2Router(config-crypto-map)#match address 2Router(config-crypto-map)#德赢ac米兰vwin2Router(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit!
!
! ルートの德赢ac米兰vwinします。
!
Router(config)#德赢ac米兰vwin72.16.1.0 255.255.255.0 192.168.1.1Router(config)#德赢ac米兰vwin 0.0.0.0 0.0.0.0 pppoe 1!
!
! 特権ユーザモードに戻ります。
!
Router(config)#end!
!
! 德赢ac米兰vwin保存します。
!
Router#save SIDE-A.cfg% saving working-config
% finished saving

Router#
!
!
! 德赢ac米兰vwin有効にするために再起動します。
!
Router#resetAre you OK to cold start?(y/n)y

ページトップへ

サイトマップmilan米兰体育HOMElmilan米兰体育サーバのご利用にあたっての注意