milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
milan米兰体育官网例
NGN(IPmilan米兰体育官网)網内でのIPsec接続をする設定
概要
NGN(IPmilan米兰体育官网)網内でのIPsec接続をする設定例です。
補足・注意点
本設定例を利用するには、フレッツ・milan米兰体育官网オプションでネームの登録が必要です。
NTT東日本からNTT西日本、NTT西日本からNTT東日本といった、東西エリア間を超えてネームを利用しての通信を行うことはできません。
【FITELnetが提供する機能】
・IPoE IPmilan米兰体育官网の終端機能
・IPmilan米兰体育官网プレフィックスやDNSサーバアドレスの取得(RA・DHCPmilan米兰体育官网)
・端末へのIPmilan米兰体育官网プレフィックスの広告(RA・DHCPmilan米兰体育官网)
NTT東日本からNTT西日本、NTT西日本からNTT東日本といった、東西エリア間を超えてネームを利用しての通信を行うことはできません。
【FITELnetが提供する機能】
・IPoE IPmilan米兰体育官网の終端機能
・IPmilan米兰体育官网プレフィックスやDNSサーバアドレスの取得(RA・DHCPmilan米兰体育官网)
・端末へのIPmilan米兰体育官网プレフィックスの広告(RA・DHCPmilan米兰体育官网)
milan米兰体育官网1コマンド例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官网利用したい方は
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password: Router# ! ! ! 基本milan米兰体育官网モードに移行します。 ! Router#configure terminal! ! ! IPmilan米兰体育官网通信時のネクストホップはewan 1インタフェース(IPmilan米兰体育官网 IPoE)とします。 ! Router(config)#ipmilan米兰体育官网 route ::/0 ewan 1! ! ! milan米兰体育官网ネームの名前解決を行うため、DNSリゾルバの設定をします。 ! Router(config)#ip name-server ::1Router(config)#ip resolver-cache-time 60! ! ! ProxyDNS機能のmilan米兰体育官网します。 ! Router(config)#proxydns mode milan米兰体育官网! ! ! LAN側IPアドレスをmilan米兰体育官网する。 ! Router(config)#interface lan 1Router(config-if lan 1)#ip address 192.168.1.254 255.255.255.0Router(config-if lan 1)#exit! ! ! ewan 1インタフェース設定モードに移行します。 ! DHCPmilan米兰体育官网クライアント機能を動作させ、RAにて受信したIPmilan米兰体育官网プレフィックスを使用し ! でIPmilan米兰体育官网アドレスを自動生成し、DNSサーバのアドレスを取得します。 ! Router(config)#interface milan米兰体育官网Router(config-if milan米兰体育官网)#ipmilan米兰体育官网 enableRouter(config-if milan米兰体育官网)#ipmilan米兰体育官网 address autoconfigRouter(config-if milan米兰体育官网)#ipmilan米兰体育官网 nd receive-raRouter(config-if milan米兰体育官网)#ipmilan米兰体育官网 nd rs-times 0Router(config-if milan米兰体育官网)#ipmilan米兰体育官网 mtu-receive-enableRouter(config-if milan米兰体育官网)#ipmilan米兰体育官网 mtu 1500Router(config-if milan米兰体育官网)#ipmilan米兰体育官网 dhcp client ipmilan米兰体育官网dns_clientRouter(config-if milan米兰体育官网)#exitRouter(config)#ipmilan米兰体育官网 dhcp client-profile ipmilan米兰体育官网dns_clientRouter(config-ipmilan米兰体育官网-dhcp-client-prof)#option-request dns-serversRouter(config-ipmilan米兰体育官网-dhcp-client-prof)#exit! ! ! VPN機能を有効にします。 ! Router(config)#vpn enable! ! ! VPN通信の詳細なログを残すようにします。 ! Router(config)#vpnlog enable! ! ! Phase 1ポリシーのmilan米兰体育官网行います。 ! Router(config)#crypto isakmp policy 1Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 256Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#idtype-pre userfqdnRouter(config-isakmp)#keepalive always-sendRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#lifetime 86400Router(config-isakmp)#my-identity milan米兰体育官网.comRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity address fitelnet5678.aoi.flets-east.jp Router(config-isakmp)#peer-identity host milan米兰体育官网.comRouter(config-isakmp)#exit! ! ! 拠点2のネットワーク向けのルートをmilan米兰体育官网します。 ! Router(config)#ip route 192.168.2.0 255.255.255.0 connected ipsecif 1! ! ! Phase 2ポリシーのmilan米兰体育官网行います。 ! Router(config)#ipsec transform-set P2-POLICY esp-aes-256 esp-sha-hmac! ! ! VPNセレクタのmilan米兰体育官网行います。 ! Router(config)#ipsec access-list 11 ipsec ip any any! Router(config)#crypto map milan米兰体育官网 1Router(config-crypto-map)#match address 11Router(config-crypto-map)#milan米兰体育官网5678.aoi.flets-east.jpRouter(config-crypto-map)#milan米兰体育官网.comRouter(config-crypto-map)#milan米兰体育官网Router(config-crypto-map)#milan米兰体育官网Router(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! IPsecインタフェースのmilan米兰体育官网行います。 ! Router(config)#mss ipsecif 1 1300Router(config)#interface ipsecif 1Router(config-if ipsecif 1)#crypto map milan米兰体育官网Router(config-if ipsecif 1)#ip mtu 1500Router(config-if ipsecif 1)#exit! ! ! 特権ユーザモードに戻ります。 ! Router(config)#end! ! ! milan米兰体育官网保存します。 ! Router#save SIDE-A.cfg% saving working-config % finished saving Router# ! ! ! milan米兰体育官网有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)y
milan米兰体育官网2コマンド例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官网利用したい方は
! ! ! 特権ユーザモードに移行します。 ! RouterenableEnter password: Router# ! ! ! 基本milan米兰体育官网モードに移行します。 ! Router#configure terminalRouter(config)# ! ! ! IPmilan米兰体育官网通信時のネクストホップはewan 1インタフェース(IPmilan米兰体育官网 IPoE)とします。 ! Router(config)#ipmilan米兰体育官网 route ::/0 ewan 1! ! ! milan米兰体育官网ネームの名前解決を行うため、DNSリゾルバの設定をします。 ! Router(config)#ip name-server ::1Router(config)#ip resolver-cache-time 60! ! ! ProxyDNS機能のmilan米兰体育官网します。 ! Router(config)#proxydns mode milan米兰体育官网! ! ! LAN側IPアドレスをmilan米兰体育官网する。 ! Router(config)#interface lan 1Router(config-if lan 1)#ip address 192.168.2.254 255.255.255.0Router(config-if lan 1)#exit! ! ! ewan 1インタフェース設定モードに移行します。 ! DHCPmilan米兰体育官网クライアント機能を動作させ、RAにて受信したIPmilan米兰体育官网プレフィックスを使用し ! でIPmilan米兰体育官网アドレスを自動生成し、DNSサーバのアドレスを取得します。 ! Router(config)#interface milan米兰体育官网Router(config-if milan米兰体育官网)#ipmilan米兰体育官网 enableRouter(config-if milan米兰体育官网)#ipmilan米兰体育官网 address autoconfigRouter(config-if milan米兰体育官网)#ipmilan米兰体育官网 nd receive-raRouter(config-if milan米兰体育官网)#ipmilan米兰体育官网 nd rs-times 0Router(config-if milan米兰体育官网)#ipmilan米兰体育官网 mtu-receive-enableRouter(config-if milan米兰体育官网)#ipmilan米兰体育官网 mtu 1500Router(config-if milan米兰体育官网)#ipmilan米兰体育官网 dhcp client ipmilan米兰体育官网dns_clientRouter(config-if milan米兰体育官网)#exitRouter(config)#ipmilan米兰体育官网 dhcp client-profile ipmilan米兰体育官网dns_clientRouter(config-ipmilan米兰体育官网-dhcp-client-prof)#option-request dns-serversRouter(config-ipmilan米兰体育官网-dhcp-client-prof)#exit! ! ! VPN機能を有効にします。 ! Router(config)#vpn enable! ! ! VPN通信の詳細なログを残すようにします。 ! Router(config)#vpnlog enable! ! ! Phase 1ポリシーのmilan米兰体育官网行います。 ! Router(config)#crypto isakmp policy 1Router(config-isakmp)#authentication prekeyRouter(config-isakmp)#encryption aes 256Router(config-isakmp)#group 2Router(config-isakmp)#hash shaRouter(config-isakmp)#idtype-pre userfqdnRouter(config-isakmp)#keepalive always-sendRouter(config-isakmp)#key ascii secret-vpnRouter(config-isakmp)#lifetime 86400Router(config-isakmp)#my-identity milan米兰体育官网.comRouter(config-isakmp)#negotiation-mode aggressiveRouter(config-isakmp)#peer-identity address fitelnet1234.aoi.flets-east.jpRouter(config-isakmp)#peer-identity host milan米兰体育官网.comRouter(config-isakmp)#exit! ! ! 拠点1のネットワーク向けのルートをmilan米兰体育官网します。 ! Router(config)#ip route 192.168.1.0 255.255.255.0 connected ipsecif 1! ! ! Phase 2ポリシーのmilan米兰体育官网行います。 ! Router(config)#ipsec transform-set P2-POLICY esp-aes-256 esp-sha-hmac! ! ! VPNセレクタのmilan米兰体育官网行います。 ! Router(config)#ipsec access-list 11 ipsec ip any any! Router(config)#milan米兰体育官网Router(config-crypto-map)#match address 11Router(config-crypto-map)#milan米兰体育官网1234.aoi.flets-east.jpRouter(config-crypto-map)#milan米兰体育官网.comRouter(config-crypto-map)#milan米兰体育官网Router(config-crypto-map)#milan米兰体育官网Router(config-crypto-map)#set transform-set P2-POLICYRouter(config-crypto-map)#exit! ! ! IPsecインタフェースのmilan米兰体育官网行います。 ! Router(config)#mss ipsecif 1 1300Router(config)#interface ipsecif 1Router(config-if ipsecif 1)#crypto map milan米兰体育官网Router(config-if ipsecif 1)#ip mtu 1500Router(config-if ipsecif 1)#exit! ! ! 特権ユーザモードに戻ります。 ! Router(config)#end! ! ! milan米兰体育官网保存します。 ! Router#save SIDE-A.cfg% saving working-config % finished saving Router# ! ! ! milan米兰体育官网有効にするために再起動します。 ! Router#resetAre you OK to cold start?(y/n)y
milan米兰体育官网状態の確認1
拠点1のPhase1 SAの情報をmilan米兰体育官网します。
| milan米兰体育官网内容 | 画面表示例 |
|---|---|
| Phase1 SAの情報を表示 ※ |
milan米兰体育官网 isakmp sa ISAKMP SA current sa : 1 [ 1] 2001:db8:face:0:1234:5678:abcd:ef2 milan米兰体育官网.com (fitelnet5678.aoi.flets-east.jp) <--> 2001:db8:face:0:1234:5678:abcd:ef1 milan米兰体育官网.com <R Aggressive Mode UP pre-shared key AES(256bits) SHA Lifetime : 86400secs Current : 8secs,1kbytes mcfg config-mode: off mcfg addr: off mcfg apl-version: IKE Keepalive: dpd ICMP Keepalive: off release on addr-change: off |
| ※:拠点1と拠点2の間でPhase1 SAが確立されている事をmilan米兰体育官网してください。 | |
拠点1のPhase2 SAの情報をmilan米兰体育官网します。
| milan米兰体育官网内容 | 画面表示例 |
|---|---|
| Phase2 SAの情報を表示 ※ |
milan米兰体育官网 ipsec sa IPSEC SA current insa : 1 current outsa : 1 [ 3] 0.0.0.0,0.0.0.0 ALL ALL <-- 0.0.0.0,0.0.0.0 ALL ALL peer: 2001:db8:face:0:1234:5678:abcd:ef2 (fitelnet5678.aoi.flets-east.jp) milan米兰体育官网.com <R UP ESP AES(256bits) HMAC-SHA PFS:off Lifetime: 28800secs Anti-Replay: Enable O-SPI: 0x4001dddaCurrent: 12secs,0kbytes out packet : 0 error packet: 0 I-SPI: 0xa6f54a1dCurrent: 12secs,0kbytes in packet: 0auth packet: 0 decrypt packet : 0discard packet: 0 replay packet: 0auth error packet : 0 |
| ※:拠点1と拠点2の間でPhase2 SAが確立されている事をmilan米兰体育官网してください。 | |
milan米兰体育官网状態の確認2
拠点2のPhase1 SAの情報をmilan米兰体育官网します。
| milan米兰体育官网内容 | 画面表示例 |
|---|---|
| Phase1 SAの情報を表示 ※ |
milan米兰体育官网 isakmp sa ISAKMP SA current sa : 1 [ 1] 2001:db8:face:0:1234:5678:abcd:ef1 milan米兰体育官网.com (fitelnet1234.aoi.flets-east.jp) <--> 2001:db8:face:0:1234:5678:abcd:ef2 milan米兰体育官网.com <R Aggressive Mode UP pre-shared key AES(256bits) SHA Lifetime : 86400secs Current : 369secs,2kbytes mcfg config-mode: off mcfg addr: off mcfg apl-version: IKE Keepalive: dpd ICMP Keepalive: off release on addr-change: off |
| ※:拠点1と拠点2の間でPhase1 SAが確立されている事をmilan米兰体育官网してください。 | |
拠点2のPhase2 SAの情報をmilan米兰体育官网します。
| milan米兰体育官网内容 | 画面表示例 |
|---|---|
| Phase2 SAの情報を表示 ※ |
milan米兰体育官网 ipsec sa IPSEC SA current insa : 1 current outsa : 1 [ 3] 0.0.0.0,0.0.0.0 ALL ALL <-- 0.0.0.0,0.0.0.0 ALL ALL peer: 2001:db8:face:0:1234:5678:abcd:ef1 (fitelnet1234.aoi.flets-east.jp) milan米兰体育官网.com <R UP ESP AES(256bits) HMAC-SHA PFS:off Lifetime: 28800secs Anti-Replay: Enable O-SPI: 0xa6f54a1dCurrent: 12secs,0kbytes out packet : 0 error packet: 0 I-SPI: 0x4001dddaCurrent: 12secs,0kbytes in packet: 0auth packet: 0 decrypt packet : 0discard packet: 0 replay packet: 0auth error packet : 0 |
| ※:拠点1と拠点2の間でPhase2 SAが確立されている事をmilan米兰体育官网してください。 | |
milan米兰体育官网状態の確認3
拠点1のEWAN1インタフェースにてDNSアドレスを取得している事をmilan米兰体育官网します。
| milan米兰体育官网内容 | 画面表示例 |
|---|---|
| DHCPmilan米兰体育官网クライアント機能の状況を表示 DNSアドレスをmilan米兰体育官网 |
Router# show ipmilan米兰体育官网 dhcp client status Interface status EWAN1 Client identifier: **:**:**:**:**:**:**:**:**:** Server identifier: **:**:**:**:**:**:**:**:**:** Server Address: **:**:**:**:**:**:**:**:**:** Prefix Delegation DNS Servers 2001:db8:face::ab Last Update : 2012/07/11 18:16:36 |
拠点2のEWAN1インタフェースにてDNSアドレスを取得している事をmilan米兰体育官网します。
| milan米兰体育官网内容 | 画面表示例 |
|---|---|
| DHCPmilan米兰体育官网クライアント機能の状況を表示 DNSアドレスをmilan米兰体育官网 |
Router# show ipmilan米兰体育官网 dhcp client status Interface status EWAN1 Client identifier: **:**:**:**:**:**:**:**:**:** Server identifier: **:**:**:**:**:**:**:**:**:** Server Address: **:**:**:**:**:**:**:**:**:** Prefix Delegation DNS Servers 2001:db8:face::cd Last Update : 2012/07/11 18:12:56 |
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2012