国际米兰中文官网 ,key ascii SECRET,Router(

国际米兰中文官网ネットワーク機器の総合ブランド　ファイテルネット

設定例

ニフクラ（旧名称：ニフティクラウド）と L3VPN 接続する (IPsec VTI、IKEv1、拠点 IP 固定)

概要

鍵交換プロトコルにIKEv1を用いて、IPsec tunnel により、ニフクラ（旧名称：ニフティクラウド）と拠点 (IP 固定、複数セグメント) との間を L3VPN 接続するための設定例です。
下記のアドレスは一例となりますので、VPNゲートウェイのグローバルアドレスおよび拠点ルータのグローバルアドレスは指定されたものに、クラウド側のプライベートネットワークおよび拠点LANのネットワークは設定したものに置き換えて下さい。

補足・注意点

ニフクラでは拠点 LAN とプライベート LAN を IPsec により、VPN 接続することができます。
ニフクラ VPN ゲートウェイについては Web で提供されている技術資料をご覧ください。

ニフクラの設定

ニフクラの設定を行います。
以下、主要な設定画面について説明していきます。

1.プライベート LAN の作成

プライベート LAN を作成します。ニフクラコントロールパネルより、”プライベート LAN作成” をクリックします。

プライベート LAN CIDR など、各パラメータを入力し、”確認へ” をクリックします。

設定内容を確認し、”作成する”をクリックします。

各パラメータの詳細は Web で提供されている技術資料をご覧ください。

2.VPN ゲートウェイの作成

ニフクラコントロールパネルより、”VPN ゲートウェイ作成” をクリックします。
環境にあったパラメータを入力し、”ファイアウォール設定へ” をクリックします。

必要に応じてファイアウォールの設定を行い、”確認へ”をクリックします。

設定内容を確認し、”作成する”をクリックします。

各パラメータの詳細は Web で提供されている技術資料をご覧ください。

3.カスタマーゲートウェイの作成

ニフクラコントロールパネルより、”カスタマーゲートウェイ作成” をクリックします。

対向機器 IP アドレス、接続方式: VTI/IPsec、対向機器 LAN 側 IP アドレス帯など、各パラメータを入力し、”作成する” をクリックします。

各パラメータの詳細は Web で提供されている技術資料をご覧ください。

4.VPN コネクションの作成

ニフクラコントロールパネルより、VPN ゲートウェイをクリックし、”VPN コネクション作成” をクリックします。

接続方式: VTI/IPsec、IKE バージョン: IKEv1 など、IPsec 関連のパラメータを入力し、”トンネル設定へ” をクリックします。

”確認へ”をクリックします。

設定内容を確認し、”作成する”をクリックします。

各パラメータの詳細は Web で提供されている技術資料をご覧ください。

5.ルートテーブルの作成

ニフクラコントロールパネルより、”ルートテーブル作成” をクリックします。

拠点 LAN 宛のルートを追加し、”作成する” をクリックします。

詳細は Web で提供されている技術資料をご覧ください。

6.ルートテーブルの設定

ニフクラコントロールパネルより、VPN ゲートウェイをクリックし、”ルートテーブル設定変更” をクリックします。

変更するルートテーブル ID に手順 5. で作成したルートテーブルを設定し、”変更する”をクリックします。

下図のように拠点 LAN 宛のルートテーブルが登録されていることを確認します。

詳細は Web で提供されている技術資料をご覧ください。

F シリーズのルータ設定例

〜IPsec Phase1 ポリシー〜

暗号化アルゴリズム: AES128
認証アルゴリズム: SHA-1
認証方式: Pre-Shared Key
事前共有鍵の形式: プレインテキスト
Pre-Shared Key: ニフクラの VPN コネクション作成時に設定したものを利用します。
※本設定例では、”SECRET” として Pre-Shared Key を設定
Diffie-Hellman (DH): Group 2
Phase1 ライフタイム: 28,800 秒
VPN ピア IP アドレス: ニフクラ VPN ゲートウェイのグローバル IP を指定します。
DPD: DPD メッセージ送信間隔 15 秒、リトライ回数 5 回

〜IPsec Phase2 ポリシー〜

暗号化アルゴリズム: AES128
認証アルゴリズム: SHA-1
PFS: Group 2
Phase2 ライフタイム: 3,600 秒

ルータの設定

（!の行はコメントです。実際に入力する必要はありません。）

この設定を利用したい方は

!
!
! 特権ユーザモードに移行します。
!
Router> enableEnter password:super←パスワードを入力します（実際は何も表示されません）。

国际米兰中文官网#
!
!
! 基本設定モードに移行します。
!
国际米兰中文官网#configure terminal国际米兰中文官网(config)#!
国际米兰中文官网(config)#! VPN 設定
国际米兰中文官网(config)#!
国际米兰中文官网(config)#vpn enable国际米兰中文官网(config)#vpnlog enable国际米兰中文官网(config)#!
国际米兰中文官网(config)#ip route 172.16.1.0 255.255.255.0 connected ipsecif 1国际米兰中文官网(config)#!
国际米兰中文官网(config)#ipsec access-list 1 ipsec ip any any国际米兰中文官网(config)#ipsec access-list 64 bypass ip any any国际米兰中文官网(config)#!
国际米兰中文官网(config)#ipsec transform-set P2-POLICY esp-aes-128 esp-sha-hmac国际米兰中文官网(config)#!
国际米兰中文官网(config)#crypto isakmp policy 1国际米兰中文官网(config-isakmp)#authentication prekey国际米兰中文官网(config-isakmp)#encryption aes 128国际米兰中文官网(config-isakmp)#group 2国际米兰中文官网(config-isakmp)#hash sha国际米兰中文官网(config-isakmp)#keepalive always-send国际米兰中文官网(config-isakmp)#key ascii SECRET国际米兰中文官网(config-isakmp)#lifetime 28800国际米兰中文官网(config-isakmp)#negotiation-mode main国际米兰中文官网(config-isakmp)#peer-identity address 198.51.100.1国际米兰中文官网(config-isakmp)#exit国际米兰中文官网(config)#!
国际米兰中文官网(config)#crypto security-association国际米兰中文官网(config-crypto-sa)#ikealive freq 15国际米兰中文官网(config-crypto-sa)#ikealive retry max 5国际米兰中文官网(config-crypto-sa)#ikealive retry timer 15国际米兰中文官网(config-crypto-sa)#exit国际米兰中文官网(config)#!
国际米兰中文官网(config)#crypto map CENTER 1国际米兰中文官网(config-crypto-map)#match address 1国际米兰中文官网(config-crypto-map)#set peer address 198.51.100.1国际米兰中文官网(config-crypto-map)#set pfs group2国际米兰中文官网(config-crypto-map)#set security-association lifetime seconds 3600国际米兰中文官网(config-crypto-map)#set transform-set P2-POLICY国际米兰中文官网(config-crypto-map)#exit国际米兰中文官网(config)#!
国际米兰中文官网(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255国际米兰中文官网(config)#access-list 100 permit ip 10.0.1.0 0.0.0.255 172.16.1.0 0.0.0.255国际米兰中文官网(config)#access-list 100 deny ip any any国际米兰中文官网(config)#!
国际米兰中文官网(config)#interface ipsecif 1国际米兰中文官网(config-if ipsecif 1)#crypto map CENTER国际米兰中文官网(config-if ipsecif 1)#ip access-group 100 out国际米兰中文官网(config-if ipsecif 1)#ip mtu 1500国际米兰中文官网(config-if ipsecif 1)#exit国际米兰中文官网(config)#mss vlanif 1 1300国际米兰中文官网(config)#mss vlanif 2 1300国际米兰中文官网(config)#mss ipsecif 1 1300国际米兰中文官网(config)#!
国际米兰中文官网(config)#! 経路設定
国际米兰中文官网(config)#ip route 0.0.0.0 0.0.0.0 pppoe 1国际米兰中文官网(config)#!
国际米兰中文官网(config)#! NAT 対象設定
国际米兰中文官网(config)#access-list 1 permit 192.168.1.0 0.0.0.255国际米兰中文官网(config)#access-list 1 permit 10.0.1.0 0.0.0.255国际米兰中文官网(config)#!
国际米兰中文官网(config)#! フィルタ対象設定
国际米兰中文官网(config)#access-list 150 permit esp host 203.0.113.1 host 198.51.100.1国际米兰中文官网(config)#access-list 160 permit esp host 198.51.100.1 host 203.0.113.1国际米兰中文官网(config)#access-list 190 dynamic permit ip any any国际米兰中文官网(config)#access-list 199 deny ip any any国际米兰中文官网(config)#!
国际米兰中文官网(config)#! WAN インターフェース設定
国际米兰中文官网(config)#interface pppoe 1国际米兰中文官网(config-if pppoe 1)#ip address 203.0.113.1国际米兰中文官网(config-if pppoe 1)#pppoe server PPPOE_SVR国际米兰中文官网(config-if pppoe 1)#pppoe account xxxxxxxx@xxx.xxx.ne.jp xxxxxxxx国际米兰中文官网(config-if pppoe 1)#pppoe type lan国际米兰中文官网(config-if pppoe 1)#! NAT 設定
国际米兰中文官网(config-if pppoe 1)#ip nat inside source list 1 interface国际米兰中文官网(config-if pppoe 1)#! フィルタ設定
国际米兰中文官网(config-if pppoe 1)#ip access-group 150 out国际米兰中文官网(config-if pppoe 1)#ip access-group 160 in国际米兰中文官网(config-if pppoe 1)#ip access-group 190 out国际米兰中文官网(config-if pppoe 1)#ip access-group 199 in国际米兰中文官网(config-if pppoe 1)#exit国际米兰中文官网(config)#!
国际米兰中文官网(config)#! LAN インターフェース設定
国际米兰中文官网(config)#line lan国际米兰中文官网(config-line lan)#vlan 1 bridge-group 11国际米兰中文官网(config-line lan)#vlan 1 port-vlan 11国际米兰中文官网(config-line lan)#vlan 2 bridge-group 12国际米兰中文官网(config-line lan)#vlan 2 port-vlan 12国际米兰中文官网(config-line lan)#exit国际米兰中文官网(config)#!
国际米兰中文官网(config)#interface vlanif 1国际米兰中文官网(config-if vlanif 1)#ip address 192.168.1.254 255.255.255.0国际米兰中文官网(config-if vlanif 1)#bridge-group lan 11国际米兰中文官网(config-if vlanif 1)#vlan-id 11国际米兰中文官网(config-if vlanif 1)#exit国际米兰中文官网(config)#!
国际米兰中文官网(config)#interface vlanif 2国际米兰中文官网(config-if vlanif 2)#ip address 10.0.1.254 255.255.255.0国际米兰中文官网(config-if vlanif 2)#bridge-group lan 12国际米兰中文官网(config-if vlanif 2)#vlan-id 12国际米兰中文官网(config-if vlanif 2)#exit国际米兰中文官网(config)#!
国际米兰中文官网(config)#! proxydns 設定	
国际米兰中文官网(config)#proxydns mode v4国际米兰中文官网(config)#!
国际米兰中文官网(config)#! DHCP サーバ設定
国际米兰中文官网(config)#service dhcp-server国际米兰中文官网(config)#ip dhcp pool vlanif 1国际米兰中文官网(config-dhcp-pool)#dns-server 0.0.0.0国际米兰中文官网(config-dhcp-pool)#default-国际米兰中文官网 0.0.0.0国际米兰中文官网(config-dhcp-pool)#allocate-address 192.168.1.1 100国际米兰中文官网(config-dhcp-pool)#lease 0 8国际米兰中文官网(config-dhcp-pool)#exit国际米兰中文官网(config)#!
国际米兰中文官网(config)#ip dhcp pool vlanif 2国际米兰中文官网(config-dhcp-pool)#dns-server 0.0.0.0国际米兰中文官网(config-dhcp-pool)#default-国际米兰中文官网 0.0.0.0国际米兰中文官网(config-dhcp-pool)#allocate-address 10.0.1.1 100国际米兰中文官网(config-dhcp-pool)#lease 0 8国际米兰中文官网(config-dhcp-pool)#exit国际米兰中文官网(config)#!
国际米兰中文官网(config)#! 特権ユーザモードに戻ります。
国际米兰中文官网(config)#!
国际米兰中文官网(config)#end国际米兰中文官网#
!
!
! 設定を保存します。
!
国际米兰中文官网#save SIDE-A.cfg% saving working-config
% finished saving

国际米兰中文官网#
!
!
! 設定を有効にするために再起動します。
!
国际米兰中文官网#resetAre you OK to cold start?(y/n)y

ニフクラへの VPN 接続確立確認

拠点ルータからニフクラのプライベート LAN に作成したサーバーへ PING による疎通確認ができます。

国际米兰中文官网#ping 172.16.1.1 source-interface vlanif 1
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms

国际米兰中文官网#
国际米兰中文官网#ping 172.16.1.1 source-interface vlanif 2
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms

国际米兰中文官网#

ページトップへ