milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
milan米兰体育官方网站例
IKEv1で電子証明書を使ってmilan米兰体育官方网站する
概要
補足・注意点
RSA デジタル署名(RSA Signature)方式を使って、IPsecトンネリングの接続をします。
milan米兰体育官方网站局(CA)を利用する環境にてご使用ください。
本milan米兰体育官方网站例では、RSA signatures認証で使用するIDタイプはFQDNとしています。
RSAデジタル署名に必要な証明書の登録手順はこちらを参照して下さい。
milan米兰体育官方网站局(CA)を利用する環境にてご使用ください。
本milan米兰体育官方网站例では、RSA signatures認証で使用するIDタイプはFQDNとしています。
RSAデジタル署名に必要な証明書の登録手順はこちらを参照して下さい。
前提条件
IPsec条件
| ISAKMP ポリシー | モード | Mainモード |
| milan米兰体育官方网站方式 | RSA デジタル署名方式 | |
| milan米兰体育官方网站方式 | AES 256ビット | |
| ハッシュ方式 | SHA-256 | |
| Diffie-Hellman | milan米兰体育官方网站4 | |
| ライフタイム | 86400秒 | |
| IPSEC ポリシー | PFS | Groumilan米兰体育官方网站4 |
| milan米兰体育官方网站方式 | AES 256ビット | |
| ハッシュ方式 | SHA-256 | |
| ライフタイム | 28800秒 | |
| フラグメント | ポストフラグメント | |
| 拠点(F220) | 常にSAを確立する | |
| IPsec対象経路 | センタ(F220) | 192.168.2.0/24 |
| 拠点(F220) | 192.168.100.0/24 |
インターフェースmilan米兰体育官方网站モード
| 項目 | センタ(F220) | 拠点(F220) |
| WANmilan米兰体育官方网站ーフェース | milan米兰体育官方网站/1※ | milan米兰体育官方网站/1※ |
| milan米兰体育官方网站ーフェース名 | channel-group 2 | channel-group 2 |
| VLAN-ID値 | vlan-id 2 | vlan-id 2 |
| ブリッジグループ番号 | bridge-group 2 | bridge-group 2 |
| インターフェースmilan米兰体育官方网站 | milan米兰体育官方网站 | milan米兰体育官方网站 |
| LANmilan米兰体育官方网站ーフェース | milan米兰体育官方网站/1※ | milan米兰体育官方网站/1※ |
| milan米兰体育官方网站ーフェース名 | channel-milan米兰体育官方网站 | channel-milan米兰体育官方网站 |
| VLAN-ID値 | vlan-id 1 | vlan-id 1 |
| ブリッジグループ番号 | bridge-milan米兰体育官方网站 | bridge-milan米兰体育官方网站 |
| インターフェースmilan米兰体育官方网站 | milan米兰体育官方网站 | milan米兰体育官方网站 |
※GigaEthernet のmilan米兰体育官方网站には必ずvlanidとbridge-groupのmilan米兰体育官方网站が必要です。
VPNmilan米兰体育官方网站モード
| 項目 | センタ(F220) | 拠点(F220) |
| インターフェースmilan米兰体育官方网站 | interface Tunnel 1 | interface Tunnel 1 |
| マップ名 | KYOTEN | CENTER |
| マップmilan米兰体育官方网站 | crypto map KYOTEN ipsec-isakmp | crypto map CENTER ipsec-isakmp |
| セレクタ名 | SELECTOR | SELECTOR |
| ISAKMP プロファイル | PROF0001 | PROF0001 |
| セレクタmilan米兰体育官方网站 (VPN対象パケット) |
crypto ipsec selector SELECTOR | crypto ipsec selector SELECTOR |
| ISAKMP プロファイルmilan米兰体育官方网站 | milan米兰体育官方网站 profile PROF0001 | milan米兰体育官方网站 profile PROF0001 |
| ISAKMP ポリシー名 | milan米兰体育官方网站-POLICY | milan米兰体育官方网站-POLICY |
| IPSEC ポリシー名 | P2-POLICY | P2-POLICY |
| ISAKMP ポリシーmilan米兰体育官方网站 | milan米兰体育官方网站 policy P1-POLICY | milan米兰体育官方网站 policy P1-POLICY |
| IPSEC ポリシーmilan米兰体育官方网站 | crypto ipsec policy P2-POLICY | crypto ipsec policy P2-POLICY |
コマンドmilan米兰体育官方网站の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官方网站を利用したい方は
センタ
! ! ! 特権ユーザモードに移行します。 ! >enablepassword:super←パスワードを入力します。(実際は表示されない) ! ! ! 基本milan米兰体育官方网站モードに移行します。 ! #configure terminal(config)# ! ! ! VPN peer 宛の経路情報をmilan米兰体育官方网站します。 ! (config)#ip route 10.0.0.4 255.255.255.252 10.0.0.1! ! ! 拠点宛の経路情報をtunnel 1(IPsecトンネル)にmilan米兰体育官方网站します。 ! (config)#ip route 192.168.2.0 255.255.255.0 tunnel 1! ! ! Port-channel 1 にLAN側IPアドレスをmilan米兰体育官方网站します。 ! (config)#milan米兰体育官方网站(config-if-ch 1)#ip address 192.168.100.1 255.255.255.0(config-if-ch 1)#mss 1300(config-if-ch 1)#exit! ! ! GigaEthernet milan米兰体育官方网站フェースに、port-channel をリンク付けします。 ! (config)#milan米兰体育官方网站/1*1 (config-if-ge 1/1)#vlan-id 1(config-if-ge 1/1)#bridge-milan米兰体育官方网站(config-if-ge 1/1)#channel-milan米兰体育官方网站(config-if-ge 1/1)#exit! ! ! Port-channel 2 にWAN側IPアドレスをmilan米兰体育官方网站します。 ! (config)#milan米兰体育官方网站(config-if-ch 2)#ip address 10.0.0.2 255.255.255.252(config-if-ch 2)#exit! ! ! GigaEthernet milan米兰体育官方网站フェースに、port-channel をリンク付けします。 ! (config)#milan米兰体育官方网站/1*1 (config-if-ge 2/1)#vlan-id 2(config-if-ge 2/1)#bridge-group 2(config-if-ge 2/1)#channel-group 2(config-if-ge 2/1)#exit! ! ! VPNセレクタのmilan米兰体育官方网站を行ないます。 ! (config)#crypto ipsec selector SELECTOR(config-ip-selector)#src 1 ipv4 any(config-ip-selector)#dst 1 ipv4 any(config-ip-selector)#exit! ! ! DPDのmilan米兰体育官方网站をします。 ! (config)#milan米兰体育官方网站 keepalive! ! ! VPN通信動作中の詳細なログを残すmilan米兰体育官方网站にします。 ! (config)#milan米兰体育官方网站 sa(config)#milan米兰体育官方网站 session(config)#milan米兰体育官方网站 negotiation-fail! (config)#logging buffer level informational! ! ! ISAKMP ポリシーのmilan米兰体育官方网站を行ないます。 ! (config)#milan米兰体育官方网站 policy P1-POLICY! ! ! ISAKMP-SA/IKE SA のmilan米兰体育官方网站方式を、RSA-signatures とします。 ! (config-isakmp)#authentication rsa-sig! ! ! milan米兰体育官方网站方式の指定します。 ! (config-isakmp)#encryption aes! ! ! 鍵長milan米兰体育官方网站。 ! (config-isakmp)#encryption-keysize aes 256 256 256! ! ! Diffie Hellmanのグループの指定します。 ! (config-isakmp)#milan米兰体育官方网站4! ! ! IKE SAのライフタイムの指定(秒)します。 ! (config-isakmp)#lifetime 86400! ! ! ハッシュ方式の指定します。 ! (config-isakmp)#hash sha-256! ! ! メmilan米兰体育官方网站モードを使用します。 ! (config-isakmp)#initiate-mode main! ! ! 基本milan米兰体育官方网站モードに戻ります。 ! (config-isakmp)#exit! ! ! 拠点向けのISAKMP プロファイルをmilan米兰体育官方网站します。 ! (config)#milan米兰体育官方网站 profile PROF0001! ! ! milan米兰体育官方网站、VPN peer のホスト名(IDタイプ=FQDN)を指定します。 ! (conf-isa-prof)#match identity host KYOTEN.example.com! ! ! IPsec トンネルを確立する、本装置のIP アドレスmilan米兰体育官方网站。 ! (conf-isa-prof)#local-address 10.0.0.2! ! ! milan米兰体育官方网站、本装置のホスト名(IDタイプ=FQDN)を指定します。 ! (conf-isa-prof)#self-identity fqdn CENTER.example.com! ! ! ISAKMP ポリシーとリンク付けします。 ! (conf-isa-prof)#set isakmp-policy milan米兰体育官方网站-POLICY! ! ! IPSEC ポリシーとリンク付けします。 ! (conf-isa-prof)#set ipsec-policy P2-POLICY! ! ! IKE バージョンmilan米兰体育官方网站。 ! (conf-isa-prof)#ike-version 1! ! ! RSA signatures 認証時に使用するroot CA 名をmilan米兰体育官方网站します。 ! (conf-isa-prof)#ca trustpoint rootCA! ! ! 基本milan米兰体育官方网站モードに戻ります。 ! (conf-isa-prof)#exit! ! ! IPSEC ポリシーをmilan米兰体育官方网站します。 ! (config)#crypto ipsec policy P2-POLICY! ! ! Diffie Hellmanのグループの指定します。 ! (conf-ipsec)#set pfs groumilan米兰体育官方网站4! ! ! IPsec SAのライフタイムの指定(秒)します。 ! (conf-ipsec)#milan米兰体育官方网站 lifetime seconds 28800! ! ! 鍵長milan米兰体育官方网站。 ! (conf-ipsec)#milan米兰体育官方网站! ! ! milan米兰体育官方网站アルゴリズム、認証アルゴリズムを指定します。 ! (conf-ipsec)#milan米兰体育官方网站 esp-aes esp-sha256-hmac! ! ! 暗号化されたESPパケットの MTU 長をmilan米兰体育官方网站します。 ! !(conf-ipsec)#set mtu 1500! ! ! milan米兰体育官方网站ナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。 ! (conf-ipsec)#set ip df-bit 0! ! ! Post-Fragment 方式(*3)とします。 ! (conf-ipsec)#set ip fragment post! ! ! 基本milan米兰体育官方网站モードに戻ります。 ! (conf-ipsec)#exit! ! ! 拠点のVPNピアとのセレクタ情報をエントリします。 ! (config)#crypto map KYOTEN ipsec-isakmp(config-crypto-map)#match address SELECTOR(config-crypto-map)#set isakmp-profile PROF0001(config-crypto-map)#exit! ! ! ! 拠点のtunnel インタフェースで有効にするVPNセレクタをmilan米兰体育官方网站します。 ! (config)#interface Tunnel 1(config-if-tun 1)#tunnel mode ipsec map KYOTEN(config-if-tun 1)#exit! ! ! ! 特権ユーザモードに戻ります。 ! (config)#end! ! milan米兰体育官方网站を保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名]! ! ! milan米兰体育官方网站を有効にするために refresh をします。 ! #refreshrefresh ok?[y/N]:yes..................Done *1:物理ポート番号のmilan米兰体育官方网站 *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用するmilan米兰体育官方网站はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
コマンドmilan米兰体育官方网站の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官方网站を利用したい方は
拠点
! ! ! 特権ユーザモードに移行します。 ! >enablepassword:super←パスワードを入力します。(実際は表示されない) ! ! ! 基本milan米兰体育官方网站モードに移行します。 ! #configure terminal(config)# ! ! ! VPN peer 宛の経路情報をmilan米兰体育官方网站します。 ! (config)#ip route 10.0.0.0 255.255.255.252 10.0.0.5! ! ! センタ宛の経路情報をtunnel 1(IPsecトンネル)にmilan米兰体育官方网站します。 ! (config)#ip route 192.168.100.0 255.255.255.0 tunnel 1! ! ! Port-channel 1 にLAN側IPアドレスをmilan米兰体育官方网站します。 ! (config)#milan米兰体育官方网站(config-if-ch 1)#ip address 192.168.2.1 255.255.255.0(config-if-ch 1)#mss 1300(config-if-ch 1)#exit! ! ! GigaEthernet milan米兰体育官方网站フェースに、port-channel をリンク付けします。 ! (config)#milan米兰体育官方网站/1*1 (config-if-ge 1/1)#vlan-id 1(config-if-ge 1/1)#bridge-milan米兰体育官方网站(config-if-ge 1/1)#channel-milan米兰体育官方网站(config-if-ge 1/1)#exit! ! ! Port-channel 2 にWAN側IPアドレスをmilan米兰体育官方网站します。 ! (config)#milan米兰体育官方网站(config-if-ch 2)#ip address 10.0.0.6 255.255.255.252(config-if-ch 2)#exit! ! ! GigaEthernet milan米兰体育官方网站フェースに、port-channel をリンク付けします。 ! (config)#milan米兰体育官方网站/1*1 (config-if-ge 2/1)#vlan-id 2(config-if-ge 2/1)#bridge-group 2(config-if-ge 2/1)#channel-group 2(config-if-ge 2/1)#exit! ! ! VPNセレクタのmilan米兰体育官方网站を行ないます。 ! (config)#crypto ipsec selector SELECTOR(config-ip-selector)#src 1 ipv4 any(config-ip-selector)#dst 1 ipv4 any(config-ip-selector)#exit! ! ! DPDのmilan米兰体育官方网站をします。 ! (config)#milan米兰体育官方网站 keepalive! ! ! VPN通信動作中の詳細なログを残すmilan米兰体育官方网站にします。 ! (config)#milan米兰体育官方网站 sa(config)#milan米兰体育官方网站 session(config)#milan米兰体育官方网站 negotiation-fail! (config)#logging buffer level informational! ! ! ISAKMP ポリシーのmilan米兰体育官方网站を行ないます。 ! (config)#milan米兰体育官方网站 policy P1-POLICY! ! ! ISAKMP-SA/IKE SA のmilan米兰体育官方网站方式を、RSA-signatures とします。 ! (config-isakmp)#authentication rsa-sig! ! ! milan米兰体育官方网站方式の指定します。 ! (config-isakmp)#encryption aes! ! ! 鍵長milan米兰体育官方网站。 ! (config-isakmp)#encryption-keysize aes 256 256 256! ! ! Diffie Hellmanのグループの指定します。 ! (config-isakmp)#milan米兰体育官方网站4! ! ! IKE SAのライフタイムの指定(秒)します。 ! (config-isakmp)#lifetime 86400! ! ! ハッシュ方式の指定します。 ! (config-isakmp)#hash sha-256! ! ! メmilan米兰体育官方网站モードを使用します。 ! (config-isakmp)#initiate-mode main! ! ! 基本milan米兰体育官方网站モードに戻ります。 ! (config-isakmp)#exit! ! ! センタ向けのISAKMP プロファイルをmilan米兰体育官方网站します。 ! (config)#milan米兰体育官方网站 profile PROF0001! ! ! milan米兰体育官方网站、VPN peer のホスト名(IDタイプ=FQDN)を指定します。 ! (conf-isa-prof)#match identity host CENTER.example.com! ! ! IPsec トンネルを確立する、本装置のIP アドレスmilan米兰体育官方网站。 ! (conf-isa-prof)#local-address 10.0.0.6! ! ! milan米兰体育官方网站、本装置のホスト名(IDタイプ=FQDN)を指定します。 ! (conf-isa-prof)#self-identity fqdn KYOTEN.example.com! ! ! ISAKMP ポリシーとリンク付けします。 ! (conf-isa-prof)#set isakmp-policy milan米兰体育官方网站-POLICY! ! ! IPSEC ポリシーとリンク付けします。 ! (conf-isa-prof)#set ipsec-policy P2-POLICY! ! ! センタのWAN アドレスをmilan米兰体育官方网站します。 ! (conf-isa-prof)#set peer 10.0.0.2! ! ! IKE バージョンmilan米兰体育官方网站。 ! (conf-isa-prof)#ike-version 1! ! ! RSA signatures 認証時に使用するroot CA 名をmilan米兰体育官方网站します。 ! (conf-isa-prof)#ca trustpoint rootCA! ! ! 基本milan米兰体育官方网站モードに戻ります。 ! (conf-isa-prof)#exit! ! ! IPSEC ポリシーをmilan米兰体育官方网站します。 ! (config)#crypto ipsec policy P2-POLICY! ! ! Diffie Hellmanのグループの指定します。 ! (conf-ipsec)#set pfs groumilan米兰体育官方网站4! ! ! 常にSAを確立しておくmilan米兰体育官方网站をします。 ! (conf-ipsec)#milan米兰体育官方网站 always-up! ! ! IPsec SAのライフタイムの指定(秒)します。 ! (conf-ipsec)#milan米兰体育官方网站 lifetime seconds 28800! ! ! 鍵長milan米兰体育官方网站。 ! (conf-ipsec)#milan米兰体育官方网站! ! ! milan米兰体育官方网站アルゴリズム、認証アルゴリズムを指定します。 ! (conf-ipsec)#milan米兰体育官方网站 esp-aes esp-sha256-hmac! ! ! 暗号化されたESPパケットの MTU 長をmilan米兰体育官方网站します。 ! !(conf-ipsec)#set mtu 1500! ! ! milan米兰体育官方网站ナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。 ! (conf-ipsec)#set ip df-bit 0! ! ! Post-Fragment 方式(*3)とします。 ! (conf-ipsec)#set ip fragment post! ! ! 基本milan米兰体育官方网站モードに戻ります。 ! (conf-ipsec)#exit! ! ! センタのVPNピアとのセレクタ情報をエントリします。 ! (config)#crypto map CENTER ipsec-isakmp(config-crypto-map)#match address SELECTOR(config-crypto-map)#set isakmp-profile PROF0001(config-crypto-map)#exit! ! ! ! センタのtunnel インタフェースで有効にするVPNセレクタをmilan米兰体育官方网站します。 ! (config)#interface Tunnel 1(config-if-tun 1)#tunnel mode ipsec map CENTER(config-if-tun 1)#exit! ! ! ! 特権ユーザモードに戻ります。 ! (config)#end! ! milan米兰体育官方网站を保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名]! ! ! milan米兰体育官方网站を有効にするために refresh をします。 ! #refreshrefresh ok?[y/N]:yes..................Done *1:物理ポート番号のmilan米兰体育官方网站 *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用するmilan米兰体育官方网站はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2019