milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
德赢ac米兰vwin例
IKEv1メ德赢ac米兰vwinモードで接続する(拠点のアドレス固定)
概要
補足・注意点
前提条件
IPsec条件
| ISAKMP ポリシー | モード | Mainモード |
| 認証方式 | 事前共有鍵方式 | |
| 暗号化方式 | AES 256ビット | |
| ハッシュ方式 | SHA-256 | |
| Diffie-Hellman | 德赢ac米兰vwin4 | |
| ライフタイム | 86400秒 | |
| IPSEC ポリシー | PFS | Grou德赢ac米兰vwin4 |
| 暗号化方式 | AES 256ビット | |
| ハッシュ方式 | SHA-256 | |
| ライフタイム | 28800秒 | |
| フラグメント | ポストフラグメント | |
| 拠点(F220) | 常にSAを確立する | |
| IPsec対象経路 | センタ(F220) | 192.168.2.0/24 |
| 拠点(F220) | 192.168.1.0/24 |
インターフェース德赢ac米兰vwinモード
| 項目 | センタ(F220) | 拠点(F220) |
| WAN德赢ac米兰vwinーフェース | 德赢ac米兰vwin/1※ | 德赢ac米兰vwin/1※ |
| 德赢ac米兰vwinーフェース名 | pppoe enable | pppoe enable |
| VLAN-ID値 | vlan-id 2 | vlan-id 2 |
| ブリッジグループ番号 | bridge-group 2 | bridge-group 2 |
| インターフェース德赢ac米兰vwin | 德赢ac米兰vwin | 德赢ac米兰vwin |
| PPPoE プロファイル | PPPOE_PROF | PPPOE_PROF |
| PPPoE プロファイル德赢ac米兰vwin | pppoe profile PPPOE_PROF | pppoe profile PPPOE_PROF |
| LAN德赢ac米兰vwinーフェース | interface GigaEthernet 1/1※ | interface GigaEthernet 1/1※ |
| 德赢ac米兰vwinーフェース名 | channel-德赢ac米兰vwin | channel-德赢ac米兰vwin |
| VLAN-ID値 | vlan-id 1 | vlan-id 1 |
| ブリッジグループ番号 | bridge-德赢ac米兰vwin | bridge-德赢ac米兰vwin |
| インターフェース德赢ac米兰vwin | interface Port-channel 1 | interface Port-channel 1 |
※GigaEthernet の德赢ac米兰vwinには必ずvlanidとbridge-groupの德赢ac米兰vwinが必要です。
VPN德赢ac米兰vwinモード
| 項目 | センタ(F220) | 拠点(F220) |
| インターフェース德赢ac米兰vwin | interface Tunnel 2 | interface Tunnel 2 |
| マップ名 | KYOTEN | CENTER |
| マップ德赢ac米兰vwin | crypto map KYOTEN ipsec-isakmp | crypto map CENTER ipsec-isakmp |
| セレクタ名 | SELECTOR | SELECTOR |
| ISAKMP プロファイル | PROF0001 | PROF0001 |
| セレクタ德赢ac米兰vwin (VPN対象パケット) |
crypto ipsec selector SELECTOR | crypto ipsec selector SELECTOR |
| ISAKMP プロファイル德赢ac米兰vwin | 德赢ac米兰vwin profile PROF0001 | 德赢ac米兰vwin profile PROF0001 |
| ISAKMP ポリシー名 | 德赢ac米兰vwin-POLICY | 德赢ac米兰vwin-POLICY |
| IPSEC ポリシー名 | P2-POLICY | P2-POLICY |
| ISAKMP ポリシー德赢ac米兰vwin | 德赢ac米兰vwin policy P1-POLICY | 德赢ac米兰vwin policy P1-POLICY |
| IPSEC ポリシー德赢ac米兰vwin | crypto ipsec policy P2-POLICY | crypto ipsec policy P2-POLICY |
コマンド德赢ac米兰vwinの例
(!の行はコメントです。実際に入力する必要はありません。)
この德赢ac米兰vwinを利用したい方は
センタ
! ! ! 特権ユーザモードに移行します。 ! >enablepassword:super←パスワードを入力します。(実際は表示されない) ! ! ! 基本德赢ac米兰vwinモードに移行します。 ! #configure terminal(config)# ! ! ! デフォルトルートを tunnel 1(PPPoE) に德赢ac米兰vwinします。 ! (config)#ip route 0.0.0.0 0.0.0.0 tunnel 1! ! ! 拠点宛の経路情報をtunnel 2(IPsecトンネル)に德赢ac米兰vwinします。 ! (config)#ip route 192.168.2.0 255.255.255.0 tunnel 2! ! ! ! NAT で変換対象とする送信元アドレス ! (ここではLAN 側アドレスを対象とします)を登録します。 ! (config)#ip nat list 1 192.168.1.0 0.0.0.255! ! ! Port-channel にLAN側IPアドレスを德赢ac米兰vwinします。 ! (config)#interface Port-channel 1(config-if-ch 1)#ip address 192.168.1.254 255.255.255.0(config-if-ch 1)#mss 1300(config-if-ch 1)#exit! ! ! PPPoEの德赢ac米兰vwinをします。 ! プロバイダから指定された 認証ID、パスワードなどを德赢ac米兰vwinします。 ! (config)#pppoe profile PPPOE_PROF(config-pppoe-profile PPPOE_PROF)#account abc012@***.***.ne.jp xxxyyyzzz(config-pppoe-profile PPPOE_PROF)#exit! ! ! Tunnel インタフェース德赢ac米兰vwinモードに移行します。 ! (config)#德赢ac米兰vwin! ! ! プロバイダから指定された IPアドレスなどを德赢ac米兰vwinします。 ! (config-if-tun 1)#description FLETS(德赢ac米兰vwin)#ip address 192.0.2.1 255.255.255.255! ! ! NAT+ の德赢ac米兰vwinをします。 ! (config-if-tun 1)#ip nat inside source list 1 interface! ! ! pppoe profile とのリンク付けをします。 ! (德赢ac米兰vwin)#tunnel mode pppoe profile PPPOE_PROF! ! GigaEthernet 德赢ac米兰vwinフェースとのリンク付けをします。 ! (config-if-tun 1)#pppoe 德赢ac米兰vwin/1*1 ! ! ! 基本德赢ac米兰vwinモードに戻ります。 ! (config-if-tun 1)#exit! ! ! PPPoE 通信で使用する物理インタフェースを德赢ac米兰vwinします。 ! (config)#德赢ac米兰vwin/1*1 (config-if-ge 2/1)#vlan-id 2(config-if-ge 2/1)#bridge-group 2(config-if-ge 2/1)#pppoe enable(config-if-ge 2/1)#exit! ! ! GigaEthernet 德赢ac米兰vwinフェースに、port-channel をリンク付けします。 ! (config)#interface GigaEthernet 1/1*1 (config-if-ge 1/1)#vlan-id 1(config-if-ge 1/1)#bridge-德赢ac米兰vwin(config-if-ge 1/1)#channel-德赢ac米兰vwin(config-if-ge 1/1)#exit! ! ! VPNセレクタの德赢ac米兰vwinを行ないます。 ! (config)#crypto ipsec selector SELECTOR(config-ip-selector)#src 1 ipv4 any(config-ip-selector)#dst 1 ipv4 any(config-ip-selector)#exit! ! ! DPDの德赢ac米兰vwinをします。 ! (config)#德赢ac米兰vwin keepalive! ! ! VPN通信動作中の詳細なログを残す德赢ac米兰vwinにします。 ! (config)#德赢ac米兰vwin sa(config)#德赢ac米兰vwin session(config)#德赢ac米兰vwin negotiation-fail! (config)#logging buffer level informational! ! ! ISAKMP ポリシーの德赢ac米兰vwinを行ないます。 ! (config)#德赢ac米兰vwin policy P1-POLICY! ! ! 認証方式に事前共有鍵を使用します。 ! (config-isakmp)#authentication pre-share! ! ! 暗号方式の指定します。 ! (config-isakmp)#encryption aes! ! ! 鍵長を指定します。 ! (config-isakmp)#encryption-keysize aes 256 256 256! ! ! Diffie Hellmanのグループの指定します。 ! (config-isakmp)#德赢ac米兰vwin4! ! ! IKE SAのライフタイムの指定(秒)します。 ! (config-isakmp)#lifetime 86400! ! ! ハッシュ方式の指定します。 ! (config-isakmp)#hash sha-256! ! ! メ德赢ac米兰vwinモードを使用します。 ! (config-isakmp)#initiate-mode main! ! ! 基本德赢ac米兰vwinモードに戻ります。 ! (config-isakmp)#exit! ! ! 拠点向けのISAKMP プロファイルを德赢ac米兰vwinします。 ! (config)#德赢ac米兰vwin profile PROF0001! ! ! 自装置のWAN アドレスを德赢ac米兰vwinします。 ! (conf-isa-prof)#local-address 192.0.2.1! ! ! ISAKMP ポリシーとリンク付けします。 ! (conf-isa-prof)#set isakmp-policy 德赢ac米兰vwin-POLICY! ! ! IPSEC ポリシーとリンク付けします。 ! (conf-isa-prof)#set ipsec-policy P2-POLICY! ! ! 拠点のWAN アドレスを德赢ac米兰vwinします。 ! (conf-isa-prof)#set peer 192.0.2.10! ! ! IKE バージョンを指定します。 ! (conf-isa-prof)#ike-version 1! ! ! 共通鍵を德赢ac米兰vwinします。 ! (conf-isa-prof)#local-key SECRET-VPN! ! ! 基本德赢ac米兰vwinモードに戻ります。 ! (conf-isa-prof)#exit! ! ! IPSEC ポリシーを德赢ac米兰vwinします。 ! (config)#crypto ipsec policy P2-POLICY! ! ! Diffie Hellmanのグループの指定します。 ! (conf-ipsec)#set pfs grou德赢ac米兰vwin4! ! ! IPsec SAのライフタイムの指定(秒)します。 ! (conf-ipsec)#set security-association lifetime seconds 28800! ! ! 鍵長を指定します。 ! (conf-ipsec)#set security-association transform-keysize aes 256 256 256! ! ! 暗号化アルゴリズム、認証アルゴリズムを指定します。 ! (conf-ipsec)#set security-association transform esp-aes esp-sha256-hmac! ! ! 暗号化されたESPパケットの MTU 長を德赢ac米兰vwinします。 ! !(conf-ipsec)#set mtu 1454! ! ! 德赢ac米兰vwinナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。 ! (conf-ipsec)#set ip df-bit 0! ! ! Post-Fragment 方式(*3)とします。 ! (conf-ipsec)#set ip fragment post! ! ! 基本德赢ac米兰vwinモードに戻ります。 ! (conf-ipsec)#exit! ! ! 拠点のVPNピアとのセレクタ情報をエントリします。 ! (config)#crypto map KYOTEN ipsec-isakmp(config-crypto-map)#match address SELECTOR(config-crypto-map)#set isakmp-profile PROF0001(config-crypto-map)#exit! ! ! 拠点のtunnel インタフェースで有効にするVPNセレクタを德赢ac米兰vwinします。 ! (config)#interface Tunnel 2(config-if-tun 2)#tunnel mode ipsec map KYOTEN(config-if-tun 2)#exit! ! ! 学習フィルタリングの德赢ac米兰vwinをします。 ! (config)#德赢ac米兰vwin11 deny ip any any(config)#德赢ac米兰vwin21 spi ip any any! (config)#德赢ac米兰vwin(德赢ac米兰vwin)#ip access-德赢ac米兰vwin11 in(德赢ac米兰vwin)#ip access-德赢ac米兰vwin21 out(德赢ac米兰vwin)#exit! ! ! VPNで使用するパケットを受信許可するフィルタリングの德赢ac米兰vwinをします。 ! (config)#德赢ac米兰vwin00 permit udp any eq 500 any eq 500(config)#德赢ac米兰vwin00 permit udp any eq 4500 any eq 4500(config)#德赢ac米兰vwin00 permit 50 any any! (config)#德赢ac米兰vwin(德赢ac米兰vwin)#ip access-德赢ac米兰vwin00 in(德赢ac米兰vwin)#exit! ! ! 特権ユーザモードに戻ります。 ! (config)#end! ! 德赢ac米兰vwinを保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名]! ! ! 德赢ac米兰vwinを有効にするために refresh をします。 ! #refreshrefresh ok?[y/N]:yes..................Done *1:物理ポート番号の德赢ac米兰vwin *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用する德赢ac米兰vwinはboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
コマンド德赢ac米兰vwinの例
(!の行はコメントです。実際に入力する必要はありません。)
この德赢ac米兰vwinを利用したい方は
拠点
! ! ! 特権ユーザモードに移行します。 ! >enablepassword:super←パスワードを入力します。(実際は表示されない) ! ! ! 基本德赢ac米兰vwinモードに移行します。 ! #configure terminal(config)# ! ! ! デフォルトルートを tunnel 1(PPPoE) に德赢ac米兰vwinします。 ! (config)#ip route 0.0.0.0 0.0.0.0 tunnel 1! ! ! センタ宛の経路情報をtunnel 2(IPsecトンネル)に德赢ac米兰vwinします。 ! (config)#ip route 192.168.1.0 255.255.255.0 tunnel 2! ! ! ! NAT で変換対象とする送信元アドレス ! (ここではLAN 側アドレスを対象とします)を登録します。 ! (config)#ip nat list 1 192.168.2.0 0.0.0.255! ! ! Port-channel にLAN側IPアドレスを德赢ac米兰vwinします。 ! (config)#interface Port-channel 1(config-if-ch 1)#ip address 192.168.2.254 255.255.255.0(config-if-ch 1)#mss 1300(config-if-ch 1)#exit! ! ! PPPoEの德赢ac米兰vwinをします。 ! プロバイダから指定された 認証ID、パスワードなどを德赢ac米兰vwinします。 ! (config)#pppoe profile PPPOE_PROF(config-pppoe-profile PPPOE_PROF)#account abc345@***.***.ne.jp zzzyyyxxx(config-pppoe-profile PPPOE_PROF)#exit! ! ! Tunnel インタフェース德赢ac米兰vwinモードに移行します。 ! (config)#德赢ac米兰vwin! ! ! プロバイダから指定された IPアドレスなどを德赢ac米兰vwinします。 ! (config-if-tun 1)#description FLETS(德赢ac米兰vwin)#ip address 192.0.2.10 255.255.255.255! ! ! NAT+ の德赢ac米兰vwinをします。 ! (config-if-tun 1)#ip nat inside source list 1 interface! ! ! pppoe profile とのリンク付けをします。 ! (德赢ac米兰vwin)#tunnel mode pppoe profile PPPOE_PROF! ! GigaEthernet 德赢ac米兰vwinフェースとのリンク付けをします。 ! (config-if-tun 1)#pppoe 德赢ac米兰vwin/1*1 ! ! ! 基本德赢ac米兰vwinモードに戻ります。 ! (config-if-tun 1)#exit! ! ! PPPoE 通信で使用する物理インタフェースを德赢ac米兰vwinします。 ! (config)#德赢ac米兰vwin/1*1 (config-if-ge 2/1)#vlan-id 2(config-if-ge 2/1)#bridge-group 2(config-if-ge 2/1)#pppoe enable(config-if-ge 2/1)#exit! ! ! GigaEthernet 德赢ac米兰vwinフェースに、port-channel をリンク付けします。 ! (config)#interface GigaEthernet 1/1*1 (config-if-ge 1/1)#vlan-id 1(config-if-ge 1/1)#bridge-德赢ac米兰vwin(config-if-ge 1/1)#channel-德赢ac米兰vwin(config-if-ge 1/1)#exit! ! ! VPNセレクタの德赢ac米兰vwinを行ないます。 ! (config)#crypto ipsec selector SELECTOR(config-ip-selector)#src 1 ipv4 any(config-ip-selector)#dst 1 ipv4 any(config-ip-selector)#exit! ! ! DPDの德赢ac米兰vwinをします。 ! (config)#德赢ac米兰vwin keepalive! ! ! VPN通信動作中の詳細なログを残す德赢ac米兰vwinにします。 ! (config)#德赢ac米兰vwin sa(config)#德赢ac米兰vwin session(config)#德赢ac米兰vwin negotiation-fail! (config)#logging buffer level informational! ! ! ISAKMP ポリシーの德赢ac米兰vwinを行ないます。 ! (config)#德赢ac米兰vwin policy P1-POLICY! ! ! 認証方式に事前共有鍵を使用します。 ! (config-isakmp)#authentication pre-share! ! ! 暗号方式の指定します。 ! (config-isakmp)#encryption aes! ! ! 鍵長を指定します。 ! (config-isakmp)#encryption-keysize aes 256 256 256! ! ! Diffie Hellmanのグループの指定します。 ! (config-isakmp)#德赢ac米兰vwin4! ! ! IKE SAのライフタイムの指定(秒)します。 ! (config-isakmp)#lifetime 86400! ! ! ハッシュ方式の指定します。 ! (config-isakmp)#hash sha-256! ! ! メ德赢ac米兰vwinモードを使用します。 ! (config-isakmp)#initiate-mode main! ! ! 基本德赢ac米兰vwinモードに戻ります。 ! (config-isakmp)#exit! ! ! センタ向けのISAKMP プロファイルを德赢ac米兰vwinします。 ! (config)#德赢ac米兰vwin profile PROF0001! ! ! 自装置のWAN アドレスを德赢ac米兰vwinします。 ! (conf-isa-prof)#local-address 192.0.2.10! ! ! ISAKMP ポリシーとリンク付けします。 ! (conf-isa-prof)#set isakmp-policy 德赢ac米兰vwin-POLICY! ! ! IPSEC ポリシーとリンク付けします。 ! (conf-isa-prof)#set ipsec-policy P2-POLICY! ! ! センタのWAN アドレスを德赢ac米兰vwinします。 ! (conf-isa-prof)#set peer 192.0.2.1! ! ! IKE バージョンを指定します。 ! (conf-isa-prof)#ike-version 1! ! ! 共通鍵を德赢ac米兰vwinします。 ! (conf-isa-prof)#local-key SECRET-VPN! ! ! 基本德赢ac米兰vwinモードに戻ります。 ! (conf-isa-prof)#exit! ! ! IPSEC ポリシーを德赢ac米兰vwinします。 ! (config)#crypto ipsec policy P2-POLICY! ! ! Diffie Hellmanのグループの指定します。 ! (conf-ipsec)#set pfs grou德赢ac米兰vwin4! ! ! 常にSAを確立しておく德赢ac米兰vwinをします。 ! (conf-ipsec)#set security-association always-up! ! ! IPsec SAのライフタイムの指定(秒)します。 ! (conf-ipsec)#set security-association lifetime seconds 28800! ! ! 鍵長を指定します。 ! (conf-ipsec)#set security-association transform-keysize aes 256 256 256! ! ! 暗号化アルゴリズム、認証アルゴリズムを指定します。 ! (conf-ipsec)#set security-association transform esp-aes esp-sha256-hmac! ! ! 暗号化されたESPパケットの MTU 長を德赢ac米兰vwinします。 ! !(conf-ipsec)#set mtu 1454! ! ! 暗号化されたESPパケットの MSS を德赢ac米兰vwinします(*4)。 ! !(conf-ipsec)#set mss 1300! ! ! 德赢ac米兰vwinナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。 ! (conf-ipsec)#set ip df-bit 0! ! ! Post-Fragment 方式(*3)とします。 ! (conf-ipsec)#set ip fragment post! ! ! 基本德赢ac米兰vwinモードに戻ります。 ! (conf-ipsec)#exit! ! ! センタのVPNピアとのセレクタ情報をエントリします。 ! (config)#crypto map CENTER ipsec-isakmp(config-crypto-map)#match address SELECTOR(config-crypto-map)#set isakmp-profile PROF0001(config-crypto-map)#exit! ! ! センタのtunnel インタフェースで有効にするVPNセレクタを德赢ac米兰vwinします。 ! (config)#interface Tunnel 2(config-if-tun 2)#tunnel mode ipsec map CENTER(config-if-tun 2)#exit! ! ! 学習フィルタリングの德赢ac米兰vwinをします。 ! (config)#德赢ac米兰vwin11 deny ip any any(config)#德赢ac米兰vwin21 spi ip any any! (config)#德赢ac米兰vwin(德赢ac米兰vwin)#ip access-德赢ac米兰vwin11 in(德赢ac米兰vwin)#ip access-德赢ac米兰vwin21 out(德赢ac米兰vwin)#exit! ! ! VPNで使用するパケットを受信許可するフィルタリングの德赢ac米兰vwinをします。 ! (config)#德赢ac米兰vwin00 permit udp any eq 500 any eq 500(config)#德赢ac米兰vwin00 permit udp any eq 4500 any eq 4500(config)#德赢ac米兰vwin00 permit 50 any any! (config)#德赢ac米兰vwin(德赢ac米兰vwin)#ip access-德赢ac米兰vwin00 in(德赢ac米兰vwin)#exit! ! ! 特権ユーザモードに戻ります。 ! (config)#end! ! 德赢ac米兰vwinを保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名]! ! ! 德赢ac米兰vwinを有効にするために refresh をします。 ! #refreshrefresh ok?[y/N]:yes..................Done *1:物理ポート番号の德赢ac米兰vwin *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用する德赢ac米兰vwinはboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。 *4:IPsecトンネルの先のホストから送信されたDFビットつきのTCPパケットがPPPoE回線で破棄されてしまうような ケースを考慮して、インナーのMTU長以下になるようにMSSの書き換え德赢ac米兰vwinを行います。 センター経由でインターネット上のサーバと通信を行うような場合に、本德赢ac米兰vwinを推奨します。
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2019