milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
milan米兰体育官网
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
德赢ac米兰vwin例
3.FITELnet-F100とルータ配下のNetScreen-Remote德赢ac米兰vwinソフトでIPsec通信する
概要
補足・注意点
vpnclient-3
動作説明
  • NetScreen-Remote 德赢ac米兰vwinソフトは、デフォルトでは端末の実アドレス(上図では NAT ルータ配下のローカルアドレス)を送信元アドレスにして IPsec 通信を行います。

  • 一方、F100 で 德赢ac米兰vwin の宛先を peer とした場合、相手から受信した ISAKMP パケットの送信元アドレス(上図では NAT ルータのグローバルアドレス)を IPsec 通信の相手として認識します。

  • そのため、上図のような構成の場合、そのままではセレクタ不一致となって 德赢ac米兰vwinすることができません。

  • この場合、NetScreen-Remote クライアントソフト側で仮想 IP アドレス(Internal Network Address、上図では 192.168.254.1 としています)を德赢ac米兰vwinします。IPsec 通信する場合には、端末の実アドレスではなく、このアドレスが送信元となりますので、対向の F100 では ipsec access-list でこのアドレスを IPsec 通信の宛先として指定します。
コマンド德赢ac米兰vwinの例
(!の行はコメントです。実際に德赢ac米兰vwinする必要はありません。)
この德赢ac米兰vwinを利用したい方は
センタ
!
!
! 特権ユーザモードに移行します。
!
RouterenableEnter password:super←パスワードを入力します。(実際は表示されない)

Router#
!
!
! 基本德赢ac米兰vwinモードに移行します。
!
Router#configure terminalRouter(config)#
!
!
! LAN側のIPアドレスを德赢ac米兰vwinします。
!
Router(config)#interface lan 1Router(config-if lan 1)#德赢ac米兰vwin 192.168.1.254 255.255.255.0Router(config-if lan 1)#exit!
!
! PPPoEの各種德赢ac米兰vwinをします。
!
Router(config)#德赢ac米兰vwinRouter(德赢ac米兰vwin)#德赢ac米兰vwin 210.158.0.17Router(德赢ac米兰vwin)#pppoe server FLETSRouter(德赢ac米兰vwin)#pppoe account abc012@***.***.ne.jp xxxyyyzzzRouter(德赢ac米兰vwin)#pppoe type host!
! 
! NAT+ の德赢ac米兰vwinをします。
!
Router(config-if pppoe 1)#ip nat inside source list 1 interfaceRouter(德赢ac米兰vwin)#exit!
!
! access-list で変換対象とする送信元アドレス(LAN側アドレス)を指定します。
!
Router(config)#德赢ac米兰vwin permit 192.168.1.0 0.0.0.255!
!
! デフォルトルートをPPPoE1に向けます。
!
Router(config)#ip route 0.0.0.0 0.0.0.0 pppoe 1 *1!
!
! フィルタリングの德赢ac米兰vwinをします。
!
Router(config)#德赢ac米兰vwin20 permit ip 192.168.1.0 0.0.0.255 host 192.168.254.1Router(config)#德赢ac米兰vwin30 permit ip host 192.168.254.1 192.168.1.0 0.0.0.255Router(config)#德赢ac米兰vwin90 dynamic permit ip any anyRouter(config)#德赢ac米兰vwin99 deny ip any any!
Router(config)#德赢ac米兰vwinRouter(德赢ac米兰vwin)#德赢ac米兰vwin20 outRouter(德赢ac米兰vwin)#德赢ac米兰vwin30 inRouter(德赢ac米兰vwin)#德赢ac米兰vwin90 outRouter(德赢ac米兰vwin)#德赢ac米兰vwin99 inRouter(德赢ac米兰vwin)#exit!
!
! VPN機能を有効にします。
!
Router(config)#vpn enable!
!
! VPN通信の詳細なログを残すようにします。
!
Router(config)#vpnlog enable!
!
! Phase1ポリシーの德赢ac米兰vwinを行ないます。
!
Router(config)#crypto isakmp policy 1 *2Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 128Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity host abc345@***.***.ne.jpRouter(config-isakmp)#exit!
!
! Phase2ポリシーの德赢ac米兰vwinを行ないます。
!
Router(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac!
!
! VPNセレクタの德赢ac米兰vwinを行ないます。
!
Router(config)#ipsec 德赢ac米兰vwin ipsec ip 192.168.1.0 0.0.0.255 host 192.168.254.1 *3Router(config)#德赢ac米兰vwin 64 bypass ip any any!
Router(config)#crypto map vpnclient 1Router(config-crypto-map)#match address 1Router(config-crypto-map)#set peer host abc345@***.***.ne.jpRouter(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit!
Router(config)#德赢ac米兰vwinRouter(德赢ac米兰vwin)#crypto map vpnclientRouter(德赢ac米兰vwin)#exit!
!
! 特権ユーザモードに戻ります。
!
Router(config)#end!
!
! 德赢ac米兰vwinを保存します。
!
Router#save SIDE-A.cfg% saving working-config
% finished saving

Router#
!
!
! 德赢ac米兰vwinを有効にするために再起動します。
!
Router#resetAre you OK to cold start?(y/n)y
*1: デフォルトルートを拠点側とは違った方向に向けたい場合は次のように德赢ac米兰vwinします。
ip route 192.168.254.1 255.255.255.255 pppoe 1
crypto isakmp policy 1
 tunnel-route 德赢ac米兰vwin
*2: 拠点側のNATルータがIPsecパススルーに対応していない場合は次の德赢ac米兰vwinを追加します。
crypto isakmp policy 1
 nat-traversal enable alivefreq off
*3: 宛先としてVPNクライアントソフトに德赢ac米兰vwinする仮想 IP アドレスを指定します。
德赢ac米兰vwin
Security Policy Editorを立ち上げます
[德赢ac米兰vwin画面はSecurity Policy Editor 10.3.5 (Build 6)]

1.オプションの德赢ac米兰vwin
    Options メニューから Global Policy Settings を選択し
    Allow to Specify Internal Network Address にチェックを入れる。
          →  これで My Identity の德赢ac米兰vwinのところで、
              仮想 IP アドレス(Internal Network IP address)
              の德赢ac米兰vwinが現れます。
2.Security Policy の德赢ac米兰vwin
    Add a new connection のアイコンをクリックして、
    Connection Security : Secureでnew connectionを作成
    Remote Party Identity and Addressing の德赢ac米兰vwin
    ID Type : IP Subnetを選択
    Subnet  : 192.168.1.0を入力
    Mask    : 255.255.255.0を入力
    Protocol: Allを選択
    Connect using Secure Gateway Tunnelにチェックを入れる
    ID Type : IP Addressを選択し、210.158.0.17を入力
netscreen2_1 
3.My Identity の德赢ac米兰vwin
    Select Certificate : Noneを選択
    ID Type            : E-mailAddressを選択し、abc345@***.***.ne.jpを入力
      *ここでE-mailAddressを選択するためには、あらかじめ次のSecurity Policy の德赢ac米兰vwinで、
        Negotiation Mode を AggressiveModeにしておく必要があります。
    Internal Network IPaddress: 192.168.254.1(クライアントに德赢ac米兰vwinする仮想IPアドレス)
    Internet Interface : 環境に応じて任意に德赢ac米兰vwin
netscreen2_2a 
Pre-Shared Key の德赢ac米兰vwin
    Pre-Shared Keyのボタンをクリックすると、入力ウィンドウがオープンする。
    そこでEnter Keyボタンをクリックして、センター側と同じ鍵データ(secret-vpn)を入力する。
netscreen2_2b 
4.Security Policy の德赢ac米兰vwin
    Select Phase 1 Negotiation Mode : Aggressive Modeを選択
netscreen2_3 
5.Authentication (Phase1) の德赢ac米兰vwin
    Authentication Method : Pre-Shared Keyを選択
    Encrypt Alg           : AES-128を選択
    Hash Alg              : SHA-1を選択
    SA Life               : Secondsを選択して1000を入力
    Key Group             : Diffie-Hellman Groupe 2を選択
netscreen2_4 
6.Key Exchange (Phase2) の德赢ac米兰vwin
    SA Life       : Secondsを選択して600を入力
    Compression   : Noneを選択
    Encapsulation Protocol (ESP) はチェックを入れる
    Encrypt Alg   : AES-128を選択
    Hash Alg      : SHA-1を選択
    Encapsulation : Tunnelを選択
    Authentication Protocol (AH) はチェックしない
netscreen2_5

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007