milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
ac 米兰官网例
7.F100でVPN-NATをする(1)
概要
※F100をF1000に置き換えても運用できます
- ac 米兰官网1、2のネットワークアドレスが重複しているLAN間をIPsecにてVPNを構築する場合にVPN-NATを使用します。
- 各ac 米兰官网ではIPsecのネットワークアドレスをNATを使用することで見かけ上の変更を行います。
- ac 米兰官网1・・・192.168.3.0/24と見せます
- ac 米兰官网2・・・192.168.2.0/24と見せます
- 各拠点ではセンタ経由のVPN通信を考慮し、受信方向にNATスタティックもac 米兰官网します。
- ac 米兰官网1・・・192.168.3.100宛ての通信は192.168.1.100に転送
- ac 米兰官网2・・・192.168.2.100宛ての通信は192.168.1.100に転送
- (ac 米兰官网経由のVPN通信はmilan米兰体育官方网站 access-list 2を参照)
- ネットワークアドレスが重複する全ての拠点でVPN-NATac 米兰官网が必要です。
- センタ側のac 米兰官网アドレスとの重複は避けてください。
補足・注意点
前提条件
当ac 米兰官网例では、以下のアドレス・環境を前提に説明しています。
プロバイダより割り振られたアドレス(アドレスは一例です)
| ac 米兰官网 | 20.20.20.1 |
| ac 米兰官网1側 | 不定 |
| ac 米兰官网2側 | 不定 |
ac 米兰官网環境
| IPsecの対象とする中継パケット(ac 米兰官网) | 192.168.0.0/16 → 192.168.3.0/24 192.168.0.0/16 → 192.168.2.0/24 |
| IPsecの対象とする中継パケット(ac 米兰官网1側) | 192.168.0.0/16 ← 192.168.3.0/24 |
| IPsecの対象とする中継パケット(ac 米兰官网2側) | 192.168.0.0/16 ← 192.168.2.0/24 |
| IPsec Phase1ポリシー | ac 米兰官网 ・・・ Aggressiveac 米兰官网 認証方式 ・・・ 事前共有鍵方式 暗号化方式 ・・・ AES 128 ハッシュ方式 ・・・ SHA Diffie-Hellman ・・・ Group 2 |
| IPsec Phase2ポリシー | 暗号化方式 ・・・ AES 128 ハッシュ方式 ・・・ SHA |
コマンドac 米兰官网の例
(!の行はコメントです。実際に入力する必要はありません。)
このac 米兰官网利用したい方は
ac 米兰官网
! ! ! ac 米兰官网移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本ac 米兰官网モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! ホスト名を center とします。 ! Router(config)#hostname centercenter(config)# ! ! ! LANインタフェースのIPアドレス/サブネットマスクをac 米兰官网します。 ! center(config)#interface lan 1center(config-if lan 1)#ip address 192.168.100.1 255.255.255.0center(config-if lan 1)#exit! ! ! PPPoE1インタフェースの各種ac 米兰官网行います。 ! center(config)#ac 米兰官网center(ac 米兰官网)#pppoe server A-Providercenter(ac 米兰官网)#pppoe account test1@test passwordcenter(ac 米兰官网)#ip address 20.20.20.1center(ac 米兰官网)#pppoe type hostcenter(ac 米兰官网)#exit! ! ! NAT+のac 米兰官网行います。 ! center(config)#ac 米兰官网.168.100.0 0.0.0.255center(config)#ac 米兰官网center(ac 米兰官网)#ip nat inside source ac 米兰官网 interfacecenter(ac 米兰官网)#exit! ! ! デフォルトルートのac 米兰官网行います。 ! center(config)#ip route 0.0.0.0 0.0.0.0 pppoe 1! ! ! DHCPサーバ機能のac 米兰官网行います。 ! center(config)#service dhcp-servercenter(config)#ip dhcp pool lan1center(config-dhcp-pool)#default-router 0.0.0.0center(config-dhcp-pool)#exit! ! ! VPN機能を有効にします。 ! center(config)#vpn enable! ! ! VPN通信動作中の詳細なログを残すac 米兰官网にします。 ! center(config)#vpnlog enable! ! ! Phase1ポリシーのac 米兰官网行ないます。 ! center(config)#ac 米兰官网center(config-isakmp)#authentication prekeycenter(config-isakmp)#encryption aes 128center(config-isakmp)#group 2center(config-isakmp)#hash shacenter(config-isakmp)#idtype-pre userfqdncenter(config-isakmp)#key ascii SECRET-VPNcenter(config-isakmp)#negotiation-mode aggressivecenter(config-isakmp)#peer-identity host KYOTEN-1center(config-isakmp)#exit! center(config)#crypto isakmp policy 2center(config-isakmp)#authentication prekeycenter(config-isakmp)#encryption aes 128center(config-isakmp)#group 2center(config-isakmp)#hash shacenter(config-isakmp)#idtype-pre userfqdncenter(config-isakmp)#key ascii SECRET-VPNcenter(config-isakmp)#negotiation-mode aggressivecenter(config-isakmp)#peer-identity host KYOTEN-2center(config-isakmp)#exit! ! ! Phase2ポリシーのac 米兰官网行ないます。 ! center(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! ! ! VPNセレクタのac 米兰官网行ないます。 ! center(config)#ac 米兰官网.168.0.0 0.0.255.255192.168.3.0 0.0.0.255 ! ac 米兰官网1とは見かけ上192.168.3.0/24とIPsecを行いますcenter(config)#ac 米兰官网 2 ipsec ip 192.168.0.0 0.0.255.255192.168.2.0 0.0.0.255 ! ac 米兰官网2とは見かけ上192.168.2.0/24とIPsecを行いますcenter(config)#ac 米兰官网! center(config)#ac 米兰官网1 1center(config-crypto-map)#match address 1center(config-crypto-map)#set peer host KYOTEN-1center(config-crypto-map)#set transform-set P2-POLICYcenter(config-crypto-map)#exit! center(config)#ac 米兰官网2 2center(config-crypto-map)#match address 2center(config-crypto-map)#set peer host KYOTEN-2center(config-crypto-map)#set transform-set P2-POLICYcenter(config-crypto-map)#exit! center(config)#ac 米兰官网center(ac 米兰官网)#ac 米兰官网1center(ac 米兰官网)#ac 米兰官网2center(ac 米兰官网)#exit! ! ! ac 米兰官网戻ります。 ! center(config)#end! ! ! ac 米兰官网保存します。 ! center#save SIDE-A.cfg% saving working-config % finished saving center# ! ! ! ac 米兰官网有効にするために再起動します。 ! center#resetAre you OK to cold start?(y/n)y
コマンドac 米兰官网の例
(!の行はコメントです。実際に入力する必要はありません。)
このac 米兰官网利用したい方は
ac 米兰官网1
! ! ! ac 米兰官网移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本ac 米兰官网モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! ホスト名を kyoten-1 とします。 ! Router(config)#hostname kyoten-1kyoten-1(config)# ! ! ! LANインタフェースのIPアドレス/サブネットマスクをac 米兰官网します。 ! kyoten-1(config)#interface lan 1kyoten-1(config-if lan 1)#ip address 192.168.1.1 255.255.255.0kyoten-1(config-if lan 1)#exit! ! ! PPPoE1インタフェースの各種ac 米兰官网行います。 ! kyoten-1(config)#ac 米兰官网kyoten-1(ac 米兰官网)#pppoe server B-Providerkyoten-1(ac 米兰官网)#pppoe account test2@test passwordkyoten-1(ac 米兰官网)#pppoe type hostkyoten-1(ac 米兰官网)#exit! ! ! NAT+のac 米兰官网行います。 ! kyoten-1(config)#ac 米兰官网.168.1.0 0.0.0.255kyoten-1(config)#ac 米兰官网kyoten-1(ac 米兰官网)#ip nat inside source ac 米兰官网 interfacekyoten-1(ac 米兰官网)#exit! ! ! デフォルトルートのac 米兰官网行います。 ! kyoten-1(config)#ip route 0.0.0.0 0.0.0.0 pppoe 1! ! ! DHCPサーバ機能のac 米兰官网行います。 ! kyoten-1(config)#service dhcp-serverkyoten-1(config)#ip dhcp pool lan1kyoten-1(config-dhcp-pool)#default-router 0.0.0.0kyoten-1(config-dhcp-pool)#exit! ! ! VPN機能を有効にします。 ! kyoten-1(config)#vpn enable! ! ! VPN通信動作中の詳細なログを残すac 米兰官网にします。 ! kyoten-1(config)#vpnlog enable! ! ! Phase1ポリシーのac 米兰官网行ないます。 ! kyoten-1(config)#ac 米兰官网kyoten-1(config-isakmp)#authentication prekeykyoten-1(config-isakmp)#encryption aes 128kyoten-1(config-isakmp)#group 2kyoten-1(config-isakmp)#hash shakyoten-1(config-isakmp)#idtype-pre userfqdnkyoten-1(config-isakmp)#key ascii SECRET-VPNkyoten-1(config-isakmp)#my-identity KYOTEN-1kyoten-1(config-isakmp)#negotiation-mode aggressivekyoten-1(config-isakmp)#peer-identity address 20.20.20.1kyoten-1(config-isakmp)#ac 米兰官网 poolVPN-POOL-OUT 192.168.3.0 0.0.0.255 ! NAT変換プール「VPN-POOL-OUT」のac 米兰官网 ! (相手に見せるVPN-NAT変換後のac 米兰官网アドレス)kyoten-1(config-isakmp)#ac 米兰官网 sourceac 米兰官网poolVPN-POOL-OUT ! アクセスリスト1で示される送信元ac 米兰官网を、 ! 指定プールで示されるac 米兰官网にNAT変換するkyoten-1(config-isakmp)#ac 米兰官网 destination static192.168.3.100 192.168.1.100 ! センタ側→拠点1側へのNATスタティックac 米兰官网 ! (192.168.3.100宛ての通信は192.168.1.100(サーバ)へ変換する)kyoten-1(config-isakmp)#exit! ! ! Phase2ポリシーのac 米兰官网行ないます。 ! kyoten-1(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! ! ! VPNセレクタのac 米兰官网行ないます。 ! kyoten-1(config)#ac 米兰官网.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255kyoten-1(config)#ac 米兰官网! kyoten-1(config)#ac 米兰官网 1kyoten-1(config-crypto-map)#match address 1kyoten-1(config-crypto-map)#set peer address 20.20.20.1kyoten-1(config-crypto-map)#set security-association always-upkyoten-1(config-crypto-map)#set transform-set P2-POLICYkyoten-1(config-crypto-map)#exit! kyoten-1(config)#ac 米兰官网kyoten-1(ac 米兰官网)#ac 米兰官网kyoten-1(ac 米兰官网)#exit! ! ! ac 米兰官网戻ります。 ! kyoten-1(config)#end! ! ! ac 米兰官网保存します。 ! kyoten-1#save SIDE-A.cfg% saving working-config % finished saving kyoten-1# ! ! ! ac 米兰官网有効にするために再起動します。 ! kyoten-1#resetAre you OK to cold start?(y/n)y
コマンドac 米兰官网の例
(!の行はコメントです。実際に入力する必要はありません。)
このac 米兰官网利用したい方は
ac 米兰官网2
! ! ! ac 米兰官网移行します。 ! RouterenableEnter password:super←パスワードを入力します。(実際は表示されない) Router# ! ! ! 基本ac 米兰官网モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! ホスト名を kyoten-2 とします。 ! Router(config)#hostname kyoten-2kyoten-2(config)# ! ! ! LANインタフェースのIPアドレス/サブネットマスクをac 米兰官网します。 ! kyoten-2(config)#interface lan 1kyoten-2(config-if lan 1)#ip address 192.168.1.1 255.255.255.0kyoten-2(config-if lan 1)#exit! ! ! PPPoE1インタフェースの各種ac 米兰官网行います。 ! kyoten-2(config)#ac 米兰官网kyoten-2(ac 米兰官网)#pppoe server C-Providerkyoten-2(ac 米兰官网)#pppoe account test3@test passwordkyoten-2(ac 米兰官网)#pppoe type hostkyoten-2(ac 米兰官网)#exit! ! ! NAT+のac 米兰官网行います。 ! kyoten-2(config)#ac 米兰官网.168.1.0 0.0.0.255kyoten-2(config)#ac 米兰官网kyoten-2(ac 米兰官网)#ip nat inside source ac 米兰官网 interfacekyoten-2(ac 米兰官网)#exit! ! ! デフォルトルートのac 米兰官网行います。 ! kyoten-2(config)#ip route 0.0.0.0 0.0.0.0 pppoe 1! ! ! DHCPサーバ機能のac 米兰官网行います。 ! kyoten-2(config)#service dhcp-serverkyoten-2(config)#ip dhcp pool lan1kyoten-2(config-dhcp-pool)#default-router 0.0.0.0kyoten-2(config-dhcp-pool)#exit! ! ! VPN機能を有効にします。 ! kyoten-2(config)#vpn enable! ! ! VPN通信動作中の詳細なログを残すac 米兰官网にします。 ! kyoten-2(config)#vpnlog enable! ! ! Phase1ポリシーのac 米兰官网行ないます。 ! kyoten-2(config)#ac 米兰官网kyoten-2(config-isakmp)#authentication prekeykyoten-2(config-isakmp)#encryption aes 128kyoten-2(config-isakmp)#group 2kyoten-2(config-isakmp)#hash shakyoten-2(config-isakmp)#idtype-pre userfqdnkyoten-2(config-isakmp)#key ascii SECRET-VPNkyoten-2(config-isakmp)#my-identity KYOTEN-2kyoten-2(config-isakmp)#negotiation-mode aggressivekyoten-2(config-isakmp)#peer-identity address 20.20.20.1kyoten-2(config-isakmp)#ac 米兰官网 poolVPN-POOL-OUT 192.168.2.0 0.0.0.255 ! NAT変換プール「VPN-POOL-OUT」のac 米兰官网 ! (相手に見せるVPN-NAT変換後のac 米兰官网アドレス)kyoten-2(config-isakmp)#ac 米兰官网 sourceac 米兰官网poolVPN-POOL-OUT ! アクセスリスト1で示される送信元ac 米兰官网を、 ! 指定プールで示されるac 米兰官网にNAT変換するkyoten-2(config-isakmp)#ac 米兰官网 destination static192.168.2.100 192.168.1.100 ! センタ側→拠点1側へのNATスタティックac 米兰官网 ! (192.168.2.100宛ての通信は192.168.1.100(サーバ)へ変換する)kyoten-2(config-isakmp)#exit! ! ! Phase2ポリシーのac 米兰官网行ないます。 ! kyoten-2(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac! ! ! VPNセレクタのac 米兰官网行ないます。 ! kyoten-2(config)#ac 米兰官网.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255kyoten-2(config)#ac 米兰官网! kyoten-2(config)#ac 米兰官网 1kyoten-2(config-crypto-map)#match address 1kyoten-2(config-crypto-map)#set peer address 20.20.20.1kyoten-2(config-crypto-map)#set security-association always-upkyoten-2(config-crypto-map)#set transform-set P2-POLICYkyoten-2(config-crypto-map)#exit! kyoten-2(config)#ac 米兰官网kyoten-2(ac 米兰官网)#ac 米兰官网kyoten-2(ac 米兰官网)#exit! ! ! ac 米兰官网戻ります。 ! kyoten-2(config)#end! ! ! ac 米兰官网保存します。 ! kyoten-2#save SIDE-A.cfg% saving working-config % finished saving kyoten-2# ! ! ! ac 米兰官网有効にするために再起動します。 ! kyoten-2#resetAre you OK to cold start?(y/n)y
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007