milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
米兰ac体育例
5.IPsecパススルーをする センタ(IP固定),拠点(IP固定)
概要
| ※ | 米兰ac体育はIKE(ISAKMP)パケット及びESPパケット(プロトコル番号50)のみLAN側WindowsXPに対してパススルーします |
| ※ | WindowsXPのローカルIPアドレスは固定 |
補足・注意点
前提条件
当米兰ac体育例では、以下のアドレス・環境を前提に説明しています。
プロバイダより割り振られたアドレス(アドレスは一例です)
| センタ側 | 200.200.200.1 |
| 拠点側 | 210.210.210.100 |
米兰ac体育環境
| IPsecの対象とする中継パケット | 192.168.1.0/24 ⇔ 172.16.0.100 |
| IPsec Phase1ポリシー | モード ・・・ Mainモード 認証方式 ・・・ 事前共有鍵方式 暗号化方式 ・・・ 3DES ハッシュ方式 ・・・ MD5 Diffie-Hellman ・・・ Group2 |
| IPsec Phase2ポリシー | 暗号化方式 ・・・ 3DES ハッシュ方式 ・・・ MD5 |
コマンド米兰ac体育の例
(!の行はコメントです。実際に入力する必要はありません。)
この米兰ac体育利用したい方は
センタ
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本米兰ac体育モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN側IPアドレスを米兰ac体育します。 ! Router(config)#interface lan 1Router(config-if lan 1)#ip address 192.168.0.1 255.255.255.0Router(config-if lan 1)#exit! ! ! PPPoE1インタフェース米兰ac体育モードに移行します。 ! Router(config)#interface pppoe 1Router(config-if pppoe 1)# ! ! ! PPPoEの各種米兰ac体育します。 ! Router(config-if pppoe 1)#pppoe server FLETSRouter(米兰ac体育)#pppoe account abc012@***.***.ne.jp xxxyyyzzzRouter(米兰ac体育)#pppoe type hostRouter(米兰ac体育)#ip address 200.200.200.1! ! ! NAT+(IPマスカレード)の米兰ac体育します。 ! Router(config-if pppoe 1)#ip nat inside source list 1 interfaceRouter(米兰ac体育)#exit! ! ! access-list に、NAT+変換前アドレス(LAN側アドレス)を登録します。 ! Router(config)#米兰ac体育 permit 192.168.0.0 0.0.0.255! ! ! スタティックのフィルタリングでIPsec通信を許可します。 ! Router(config)#米兰ac体育30 permit ip 192.168.0.0 0.0.0.255 host 172.16.0.100Router(config)#米兰ac体育40 permit ip host 172.16.0.100 192.168.0.0 0.0.0.255Router(config)#interface pppoe 1Router(米兰ac体育)#米兰ac体育30 outRouter(米兰ac体育)#米兰ac体育40 inRouter(米兰ac体育)#exit! ! ! 学習フィルタリング(SPI)の米兰ac体育 ! Router(config)#米兰ac体育90 dynamic permit ip 192.168.0.0 0.0.0.255 anyRouter(config)#米兰ac体育99 deny ip any anyRouter(config)#interface pppoe 1Router(米兰ac体育)#米兰ac体育90 outRouter(米兰ac体育)#米兰ac体育99 inRouter(米兰ac体育)#exit! ! ! DHCPサーバ機能を有効にします。 ! Router(config)#service dhcp-server! ! ! 代理DNSサーバ機能を有効にします。 ! Router(config)#proxydns mode v4! IPv4にて使用 ! ! ! ホスト名の米兰ac体育(名称は任意) ! Router(config)#hostname CENTER! ! ! デフォルトルートをPPPoE1に米兰ac体育します。 ! CENTER(config)#ip route 0.0.0.0 0.0.0.0 pppoe 1! ! ! LAN側にDHCPで広告する情報を米兰ac体育します。 ! CENTER(config)#ip dhcp pool lan1CENTER(config-dhcp-pool)#dns-server 0.0.0.0! 米兰ac体育自身を広告 CENTER(config-dhcp-pool)#default-router 0.0.0.0! 米兰ac体育自身を広告 CENTER(config-dhcp-pool)#exit! ! ! VPN動作モードを指定します。 ! CENTER(config)#vpn enable! ! ! VPNログを有効にします。 ! CENTER(config)#vpnlog enable! ! ! Phase1ポリシーの米兰ac体育行ないます。 ! CENTER(config)#crypto isakmp policy 1CENTER(config-isakmp)#negotiation-modemain ! WindowsXPはメインモードのみサポートCENTER(config-isakmp)#authentication prekeyCENTER(config-isakmp)#encryption3desCENTER(config-isakmp)#hashmd5CENTER(config-isakmp)#group2 ! WindowsXPの初期米兰ac体育値に合わせますCENTER(config-isakmp)#key ascii SECRET-VPNCENTER(config-isakmp)#peer-identity address210.210.210.100 ! 見かけ上のVPNエンドポイントは米兰ac体育すCENTER(config-isakmp)#exit! ! ! Phase2ポリシーの米兰ac体育行ないます。 ! CENTER(config)#ipsec transform-set P2-POLICY esp-3des esp-md5-hmac! ! ! VPNセレクタの米兰ac体育行ないます。 ! CENTER(config)#ipsec 米兰ac体育 ipsec ip 192.168.0.0 0.0.0.255172.16.0.100 0.0.0.0 ! 対向のWindowsXPのIPアドレスCENTER(config)#ipsec access-list 64 bypass ip any any! CENTER(config)#crypto map KYOTEN 1CENTER(config-crypto-map)#match address 1CENTER(config-crypto-map)#set peer address210.210.210.100 ! 見かけ上のVPNエンドポイントは米兰ac体育すCENTER(config-crypto-map)#set transform-set P2-POLICYCENTER(config-crypto-map)#exit! CENTER(config)#interface pppoe 1CENTER(米兰ac体育)#crypto map KYOTENCENTER(米兰ac体育)#exit! ! ! 特権ユーザモードに戻ります。 ! CENTER(config)#end! ! ! 米兰ac体育保存します。 ! CENTER#save SIDE-*.cfg←*には、保存したい面に応じて、A・Bのどちらかを入れる % saving working-config % finished saving CENTER# ! ! ! 米兰ac体育有効にするために再起動します。 ! CENTER#resetAre you OK to cold start?(y/n)y
コマンド米兰ac体育の例
(!の行はコメントです。実際に入力する必要はありません。)
この米兰ac体育利用したい方は
拠点
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本米兰ac体育モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! LAN側IPアドレスを米兰ac体育します。 ! Router(config)#interface lan 1Router(config-if lan 1)#ip address 172.16.0.1 255.255.0.0Router(config-if lan 1)#exit! ! ! access-list の米兰ac体育します。 ! Router(config)#米兰ac体育 permit 172.16.0.0 0.0.255.255! NAT+用の変換前アドレス(LAN側アドレス)を登録 Router(config)#access-list130 permit udp any any eq isakmp log ! IKE(ISAKMP)パケットを許可 ! ※ logオプションは"show flog"コマンド用Router(config)#access-list140 permit 50 host 200.200.200.1 host 172.16.0.100 ! センタ側米兰ac体育→WinXP方向のIPsec(ESP)パケットを許可 ! ※ ESPパケットはプロトコル番号50Router(config)#access-list145 permit 50 host 172.16.0.100 host 200.200.200.1 ! WinXP→センタ側米兰ac体育方向のIPsec(ESP)パケットを許可Router(config)#米兰ac体育90 dynamic permit ip any any! 学習フィルタリング(SPI) Router(config)#米兰ac体育99 deny ip any any! ! ! PPPoE1インタフェース米兰ac体育モードに移行します。 ! Router(config)#interface pppoe 1Router(config-if pppoe 1)# ! ! ! PPPoEの各種米兰ac体育します。 ! Router(config-if pppoe 1)#pppoe server FLETSRouter(米兰ac体育)#pppoe account abc345@***.***.ne.jp zzzyyyxxxRouter(米兰ac体育)#pppoe type hostRouter(米兰ac体育)#ip address 210.210.210.100! ! ! NAT+(IPマスカレード)の米兰ac体育します。 ! Router(config-if pppoe 1)#ip nat inside source list 1 interface! ! ! NATの米兰ac体育します(WAN→LAN方向)。 ! Router(config-if pppoe 1)#ip nat insidedestination static 210.210.210.100 172.16.0.100 ! 拠点側米兰ac体育はIPsecパケットをWinXPに転送! ! ! access-listの関連付けをします。 ! Router(米兰ac体育)#米兰ac体育130 out ! IKE(ISAKMP)パケットRouter(米兰ac体育)#米兰ac体育130 in ! IKE(ISAKMP)パケットRouter(米兰ac体育)#米兰ac体育140 in ! センタ側米兰ac体育→WinXP方向のIPsec(ESP)パケットRouter(米兰ac体育)#米兰ac体育145 out ! WinXP→センタ側米兰ac体育方向のIPsec(ESP)パケットRouter(米兰ac体育)#米兰ac体育90 outRouter(米兰ac体育)#米兰ac体育99 inRouter(米兰ac体育)#exit! ! ! DHCPサーバ機能を有効にします。 ! Router(config)#service dhcp-server! ! ! 代理DNSサーバ機能を有効にします。 ! Router(config)#proxydns mode v4! IPv4にて使用 ! ! ! ホスト名の米兰ac体育(名称は任意) ! Router(config)#hostname KYOTEN! ! ! デフォルトルートをPPPoE1に米兰ac体育します。 ! KYOTEN(config)#ip route 0.0.0.0 0.0.0.0 pppoe 1! ! ! LAN側にDHCPで広告する情報を米兰ac体育します。 ! KYOTEN(config)#ip dhcp pool lan1KYOTEN(config-dhcp-pool)#dns-server 0.0.0.0! 米兰ac体育自身を広告 KYOTEN(config-dhcp-pool)#default-router 0.0.0.0! 米兰ac体育自身を広告 KYOTEN(config-dhcp-pool)#exit! ! ! 特権ユーザモードに戻ります。 ! KYOTEN(config)#end! ! ! 米兰ac体育保存します。 ! KYOTEN#save SIDE-*.cfg←*には、保存したい面に応じて、A・Bのどちらかを入れる % saving working-config % finished saving KYOTEN# ! ! ! 米兰ac体育有効にするために再起動します。 ! KYOTEN#resetAre you OK to cold start?(y/n)y
WindowsXP
| WindowsXPのIPsec米兰ac体育手順詳細は「FITELnet-米兰ac体育とWinXPでIPsec通信をする」をご参照ください。 |
| なお、IPsecパススルーの関係で一部米兰ac体育値が異なりますのでご注意ください。 |
| ・ | センタ側米兰ac体育→WinXP方向のVPNエンドポイント・・・172.16.0.100(WinXP自身のローカルIP) |
| ・ | WinXP→センタ側米兰ac体育方向のVPNエンドポイント・・・200.200.200.1 |
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007