milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
milan米兰体育官网例
VPN-NATを行う(1)milan米兰体育官网間のアドレスが重なっている場合
概要
補足・注意点
- milan米兰体育官网1、2のネットワークアドレスが重複しているLAN間をIPsecにてVPNを構築する場合にVPN-NATを使用します。
- 各milan米兰体育官网ではIPsecのネットワークアドレスをNATを使用することで見かけ上の変更を行います。
- milan米兰体育官网1・・・192.168.3.0/24と見せます
- milan米兰体育官网2・・・192.168.2.0/24と見せます
- 各拠点ではセンタ経由のVPN通信を考慮し、受信方向にNATスタティックもmilan米兰体育官网します。
- milan米兰体育官网1・・・192.168.3.100宛ての通信は192.168.1.100に転送
- milan米兰体育官网2・・・192.168.2.100宛ての通信は192.168.1.100に転送
- ネットワークアドレスが重複する全ての拠点でVPN-NATmilan米兰体育官网が必要です。
- センタ側のネットワークアドレスとの重複は避けてください。
前提条件
当milan米兰体育官网例では、以下のアドレス・環境を前提に説明しています。
プロバイダより割り振られたアドレス(アドレスは一例です)
| センタ側 | 192.0.2.1 |
| milan米兰体育官网1側 | 不定 |
| milan米兰体育官网2側 | 不定 |
milan米兰体育官网環境
| IPsecの対象とする中継パケット(センタ側) | 192.168.0.0/16 → 192.168.3.0/24 192.168.0.0/16 → 192.168.2.0/24 |
| IPsecの対象とする中継パケット(milan米兰体育官网1側) | 192.168.0.0/16 ← 192.168.3.0/24 |
| IPsecの対象とする中継パケット(milan米兰体育官网2側) | 192.168.0.0/16 ← 192.168.2.0/24 |
| IPsec Phase1ポリシ | milan米兰体育官网 ・・・ Aggressivemilan米兰体育官网 認証方式 ・・・ 事前共有鍵方式 暗号化方式 ・・・ AES 256ビット ハッシュ方式 ・・・ SHA-256 Diffie-Hellman ・・・ milan米兰体育官网4 |
| IPsec Phase2ポリシ | 暗号化方式 ・・・ AES 256ビット ハッシュ方式 ・・・ SHA-256 PFS ・・・ milan米兰体育官网4 |
インターフェースmilan米兰体育官网モード
| 項目 | センタ(F220) | milan米兰体育官网1/milan米兰体育官网2(F220) |
| WANmilan米兰体育官网ーフェース | interface GigaEthernet 2/1※ | interface GigaEthernet 2/1※ |
| milan米兰体育官网ーフェース名 | pppoe enable | pppoe enable |
| VLAN-ID値 | vlan-id 2 | vlan-id 2 |
| ブリッジグループ番号 | bridge-group 2 | bridge-group 2 |
| インターフェースmilan米兰体育官网 | interface Tunnel 1 | interface Tunnel 1 |
| PPPoE プロファイル | PPPOE_PROF | PPPOE_PROF |
| PPPoE プロファイルmilan米兰体育官网 | pppoe profile PPPOE_PROF | pppoe profile PPPOE_PROF |
| LANmilan米兰体育官网ーフェース | interface GigaEthernet 1/1※ | interface GigaEthernet 1/1※ |
| milan米兰体育官网ーフェース名 | channel-milan米兰体育官网 | channel-milan米兰体育官网 |
| VLAN-ID値 | vlan-id 1 | vlan-id 1 |
| ブリッジグループ番号 | bridge-milan米兰体育官网 | bridge-milan米兰体育官网 |
| インターフェースmilan米兰体育官网 | interface Port-channel 1 | interface Port-channel 1 |
※GigaEthernet のmilan米兰体育官网には必ずvlanidとbridge-groupのmilan米兰体育官网が必要です。
VPNmilan米兰体育官网モード
| 項目 | センタ(F220) | milan米兰体育官网1/milan米兰体育官网2(F220) |
| インターフェースmilan米兰体育官网 | interface Tunnel 2 | interface Tunnel 2 |
| マップ名 | KYOTEN | CENTER |
| マップmilan米兰体育官网 | crypto map KYOTEN ipsec-isakmp | crypto map CENTER ipsec-isakmp |
| セレクタ名 | SELECTOR | SELECTOR |
| ISAKMP プロファイル | PROF0001 | PROF0001 |
| セレクタmilan米兰体育官网 (VPN対象パケット) |
crypto ipsec selector SELECTOR | crypto ipsec selector SELECTOR |
| ISAKMP プロファイルmilan米兰体育官网 | (milan米兰体育官网1向) milan米兰体育官网 profile PROF0001 (milan米兰体育官网2向) milan米兰体育官网 profile PROF0002 |
milan米兰体育官网 profile PROF0001 |
| ISAKMP ポリシー名 | P1-POLICY | P1-POLICY |
| IPSEC ポリシー名 | P2-POLICY | P2-POLICY |
| 対向装置の識別方法milan米兰体育官网 | (milan米兰体育官网1向) match identity user id-kyoten1 (milan米兰体育官网2向) match identity user id-kyoten2 |
match identity user center |
| 本装置の識別方法milan米兰体育官网 | self-identity user-fqdn center | (milan米兰体育官网1) self-identity user-fqdn id-kyoten1 (milan米兰体育官网2) self-identity user-fqdn id-kyoten2 |
| ISAKMP ポリシーmilan米兰体育官网 | milan米兰体育官网 policy P1-POLICY | milan米兰体育官网 policy P1-POLICY |
| IPSEC ポリシーmilan米兰体育官网 | crypto ipsec policy P2-POLICY | crypto ipsec policy P2-POLICY |
コマンドmilan米兰体育官网の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官网を利用したい方は
センタ
! ! !enablepassword:super *4←パスワードを入力します。(実際は表示されない) ! ! ! 基本milan米兰体育官网モードに移行します。 ! #configure terminal(config)# ! ! ! デフォルトルートを tunnel 1(PPPoE) にmilan米兰体育官网します。 ! (config)#ip route 0.0.0.0 0.0.0.0 tunnel 1! ! ! 各拠点宛(NAT変換後)の経路情報をにmilan米兰体育官网します。 ! (config)#ip route192.168.2.0 255.255.255.0tunnel 3(config)#ip route192.168.3.0 255.255.255.0tunnel 2! ! ! NAT で変換対象とする送信元アドレス ! (ここではLAN 側アドレスを対象とします)を登録します。 ! "(config)#ip nat list 1 192.168.100.0 0.0.0.255" ! ! ! Port-channel にLAN側IPアドレスをmilan米兰体育官网します。 ! (config)#interface Port-channel 1(config-if-ch 1)#ip address 192.168.100.1 255.255.255.0(config-if-ch 1)#mss 1300(config-if-ch 1)#exit! ! ! PPPoEのmilan米兰体育官网をします。 ! プロバイダから指定された 認証ID、パスワードなどをmilan米兰体育官网します。 ! (config)#pppoe profile PPPOE_PROF(config-pppoe-profile PPPOE_PROF)#account abc012@***.***.ne.jp xxxyyyzzz(config-pppoe-profile PPPOE_PROF)#exit! ! ! Tunnel インタフェースmilan米兰体育官网モードに移行します。 ! (config)#interface Tunnel 1! ! ! プロバイダから指定された IPアドレスなどをmilan米兰体育官网します。 ! (config-if-tun 1)#description FLETS(milan米兰体育官网)#ip address 192.0.2.1 255.255.255.255! ! ! NAT+ のmilan米兰体育官网をします。 ! (config-if-tun 1)#milan米兰体育官网 list 1 interface! ! ! pppoe profile とのリンク付けをします。 ! (milan米兰体育官网)#tunnel mode pppoe profile PPPOE_PROF! ! GigaEthernet milan米兰体育官网フェースとのリンク付けをします。 ! (config-if-tun 1)#pppoe interface gigaethernet 2/1 *1! ! ! 基本milan米兰体育官网モードに戻ります。 ! (config-if-tun 1)#exit! ! ! PPPoE 通信で使用する物理インタフェースをmilan米兰体育官网します。 ! (config)#interface GigaEthernet 2/1 *1(config-if-ge 2/1)#vlan-id 2(config-if-ge 2/1)#bridge-group 2(config-if-ge 2/1)#pppoe enable(config-if-ge 2/1)#exit! ! ! GigaEthernet milan米兰体育官网フェースに、port-channel をリンク付けします。 ! (config)#interface GigaEthernet 1/1 *1(config-if-ge 1/1)#vlan-id 1(config-if-ge 1/1)#bridge-milan米兰体育官网(config-if-ge 1/1)#channel-milan米兰体育官网(config-if-ge 1/1)#exit! ! ! VPNセレクタのmilan米兰体育官网を行ないます。 ! (config)#crypto ipsec selector SELECTOR(config-ip-selector)#src 1 ipv4 any(config-ip-selector)#dst 1 ipv4 any(config-ip-selector)#exit! ! ! DPDのmilan米兰体育官网をします。 ! (config)#milan米兰体育官网 keepalive! ! ! VPN通信動作中の詳細なログを残すmilan米兰体育官网にします。 ! (config)#milan米兰体育官网 sa(config)#milan米兰体育官网 session(config)#milan米兰体育官网 negotiation-fail! (config)#logging buffer level informational! ! ! ISAKMP ポリシーのmilan米兰体育官网を行ないます。 ! (config)#milan米兰体育官网 policy P1-POLICY! ! ! 認証方式に事前共有鍵を使用します。 ! (config-isakmp)#authentication pre-share! ! ! 暗号方式のmilan米兰体育官网します。 ! (config-isakmp)#encryption aes! ! ! 鍵長をmilan米兰体育官网します。 ! (config-isakmp)#encryption-keysize aes 256 256 256! ! ! Diffie Hellmanのグループのmilan米兰体育官网します。 ! (config-isakmp)#milan米兰体育官网4! ! ! IKE SAのライフタイムのmilan米兰体育官网(秒)します。 ! (config-isakmp)#lifetime 86400! ! ! ハッシュ方式のmilan米兰体育官网します。 ! (config-isakmp)#hash sha-256! ! ! アグレッシブmilan米兰体育官网を使用します。 ! (config-isakmp)#initiate-mode aggressive! ! ! 基本milan米兰体育官网モードに戻ります。 ! (config-isakmp)#exit! ! ! 拠点1向けのISAKMP プロファイルをmilan米兰体育官网します。 ! (config)#milan米兰体育官网 profile PROF0001! ! ! 自装置のWAN アドレスをmilan米兰体育官网します。 ! (conf-isa-prof)#local-address 192.0.2.1! ! ! ISAKMP ポリシーとリンク付けします。 ! (conf-isa-prof)#set isakmp-policy P1-POLICY! ! ! IPSEC ポリシーとリンク付けします。 ! (conf-isa-prof)#set ipsec-policy P2-POLICY! ! ! 対向装置の識別方法をmilan米兰体育官网します。 ! (conf-isa-prof)#match identity user id-kyoten1! ! ! 本装置の識別方法をmilan米兰体育官网します。 ! (conf-isa-prof)#self-identity user-fqdn center! ! ! IKE バージョンをmilan米兰体育官网します。 ! (conf-isa-prof)#ike-version 1! ! ! 共通鍵をmilan米兰体育官网します。 ! (conf-isa-prof)#local-key SECRET-VPN! ! ! 基本milan米兰体育官网モードに戻ります。 ! (conf-isa-prof)#exit! ! ! 拠点2向けのISAKMP プロファイルをmilan米兰体育官网します。 ! (config)#milan米兰体育官网 profile PROF0002! ! ! 自装置のWAN アドレスをmilan米兰体育官网します。 ! (conf-isa-prof)#local-address 192.0.2.1! ! ! ISAKMP ポリシーとリンク付けします。 ! (conf-isa-prof)#set isakmp-policy P1-POLICY! ! ! IPSEC ポリシーとリンク付けします。 ! (conf-isa-prof)#set ipsec-policy P2-POLICY! ! ! 対向装置の識別方法をmilan米兰体育官网します。 ! (conf-isa-prof)#match identity user id-kyoten2! ! ! 本装置の識別方法をmilan米兰体育官网します。 ! (conf-isa-prof)#self-identity user-fqdn center! ! ! IKE バージョンをmilan米兰体育官网します。 ! (conf-isa-prof)#ike-version 1! ! ! 共通鍵をmilan米兰体育官网します。 ! (conf-isa-prof)#local-key SECRET-VPN! ! ! 基本milan米兰体育官网モードに戻ります。 ! (conf-isa-prof)#exit! ! ! IPSEC ポリシーをmilan米兰体育官网します。 ! (config)#crypto ipsec policy P2-POLICY! ! ! Diffie Hellmanのグループのmilan米兰体育官网します。 ! (conf-ipsec)#set pfs group14! ! ! IPsec SAのライフタイムのmilan米兰体育官网(秒)します。 ! (conf-ipsec)#set security-association lifetime seconds 28800! ! ! 鍵長をmilan米兰体育官网します。 ! (conf-ipsec)#set security-association transform-keysize aes 256 256 256! ! ! 暗号化アルゴリズム、認証アルゴリズムをmilan米兰体育官网します。 ! (conf-ipsec)#set security-association transform esp-aes esp-sha256-hmac! ! ! 暗号化されたESPパケットの MTU 長をmilan米兰体育官网します。 ! !(conf-ipsec)#set mtu 1454! ! ! milan米兰体育官网ナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。 ! (conf-ipsec)#set ip df-bit 0! ! ! Post-Fragment 方式(*3)とします。 ! (conf-ipsec)#set ip fragment post! ! ! 基本milan米兰体育官网モードに戻ります。 ! (conf-ipsec)#exit! ! ! milan米兰体育官网1のVPNピアとのセレクタ情報をエントリします。 ! (config)#crypto map KYOTEN1 ipsec-isakmp(config-crypto-map)#match address SELECTOR(config-crypto-map)#set isakmp-profile PROF0001(config-crypto-map)#exit! ! ! milan米兰体育官网2のVPNピアとのセレクタ情報をエントリします。 ! (config)#crypto map KYOTEN2 ipsec-isakmp(config-crypto-map)#match address SELECTOR(config-crypto-map)#set isakmp-profile PROF0002(config-crypto-map)#exit! ! ! 拠点1のtunnel インタフェースで有効にするVPNセレクタをmilan米兰体育官网します。 ! (config)#interface Tunnel 2(config-if-tun 2)#tunnel mode ipsec map KYOTEN1(config-if-tun 2)#exit! ! ! 拠点2のtunnel インタフェースで有効にするVPNセレクタをmilan米兰体育官网します。 ! (config)#interface Tunnel 3(config-if-tun 3)#tunnel mode ipsec map KYOTEN2(config-if-tun 3)#exit! ! ! 学習フィルタリングのmilan米兰体育官网をします。 ! (config)#access-list 111 deny ip any any(config)#access-list 121 spi ip any any! (config)#interface tunnel 1(milan米兰体育官网)#ip access-milan米兰体育官网11 in(milan米兰体育官网)#ip access-milan米兰体育官网21 out(milan米兰体育官网)#exit! ! ! VPNで使用するパケットを受信許可するフィルタリングのmilan米兰体育官网をします。 ! (config)#access-list 100 permit udp any eq 500 any eq 500(config)#access-list 100 permit 50 any any! (config)#interface tunnel 1(milan米兰体育官网)#ip access-milan米兰体育官网00 in(milan米兰体育官网)#exit! ! ! 特権ユーザmilan米兰体育官网に戻ります。 ! (config)#end! ! ! milan米兰体育官网を有効にするために refresh をします。 ! #refreshrefresh ok?[y/N]:yes ..................Done ! ! ! milan米兰体育官网を保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名]save ok?[y/N]:yes % saving working-config 100% |*************************************************| xxx/ xxx ( Lines) # *1:物理ポート番号のmilan米兰体育官网 *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用するmilan米兰体育官网はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。 *4:特権ユーザモード移行時のパスワードは、初期状態ではmilan米兰体育官网されていません。 本milan米兰体育官网例のように、パスワード "super" を受け付けるようにするためには、あらかじめ特権ユーザモードにて password enable super を実行しておくことが必要です。
コマンドmilan米兰体育官网の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官网を利用したい方は
milan米兰体育官网1
! ! !enablepassword:super *4←パスワードを入力します。(実際は表示されない) ! ! ! 基本milan米兰体育官网モードに移行します。 ! #configure terminal(config)# ! ! ! デフォルトルートを tunnel 1(PPPoE) にmilan米兰体育官网します。 ! (config)#ip route 0.0.0.0 0.0.0.0 tunnel 1! ! ! センタ宛(センタ経由の拠点2も含む)の経路情報をtunnel 2(IPsecトンネル)にmilan米兰体育官网します。 ! (config)#ip route 192.168.0.0 255.255.0.0 tunnel 2! ! ! ! NATとVPN-NATで変換対象とする送信元アドレス ! (ここではLAN 側アドレスを対象とします)を登録します。 ! (config)#ip nat list 1 192.168.1.0 0.0.0.255! ! ! Port-channel にLAN側IPアドレスをmilan米兰体育官网します。 ! (config)#interface Port-channel 1(config-if-ch 1)#ip address 192.168.1.1 255.255.255.0(config-if-ch 1)#mss 1300(config-if-ch 1)#exit! ! ! PPPoEのmilan米兰体育官网をします。 ! プロバイダから指定された 認証ID、パスワードなどをmilan米兰体育官网します。 ! (config)#pppoe profile PPPOE_PROF(config-pppoe-profile PPPOE_PROF)#account abc345@***.***.ne.jp zzzyyyxxx(config-pppoe-profile PPPOE_PROF)#exit! ! ! Tunnel インタフェースmilan米兰体育官网モードに移行します。 ! (config)#interface Tunnel 1! (milan米兰体育官网)#description FLETS! ! ! NAT+ のmilan米兰体育官网をします。 ! (config-if-tun 1)#milan米兰体育官网 list 1 interface! ! ! pppoe profile とのリンク付けをします。 ! (milan米兰体育官网)#tunnel mode pppoe profile PPPOE_PROF! ! GigaEthernet milan米兰体育官网フェースとのリンク付けをします。 ! (config-if-tun 1)#pppoe interface gigaethernet 2/1 *1! ! ! 基本milan米兰体育官网モードに戻ります。 ! (config-if-tun 1)#exit! ! ! PPPoE 通信で使用する物理インタフェースをmilan米兰体育官网します。 ! (config)#interface GigaEthernet 2/1 *1(config-if-ge 2/1)#vlan-id 2(config-if-ge 2/1)#bridge-group 2(config-if-ge 2/1)#pppoe enable(config-if-ge 2/1)#exit! ! ! GigaEthernet milan米兰体育官网フェースに、port-channel をリンク付けします。 ! (config)#interface GigaEthernet 1/1 *1(config-if-ge 1/1)#vlan-id 1(config-if-ge 1/1)#bridge-milan米兰体育官网(config-if-ge 1/1)#channel-milan米兰体育官网(config-if-ge 1/1)#exit! ! ! VPNセレクタのmilan米兰体育官网を行ないます。 ! (config)#crypto ipsec selector SELECTOR(config-ip-selector)#src 1 ipv4 any(config-ip-selector)#dst 1 ipv4 any(config-ip-selector)#exit! ! ! DPDのmilan米兰体育官网をします。 ! (config)#milan米兰体育官网 keepalive! ! ! VPN通信動作中の詳細なログを残すmilan米兰体育官网にします。 ! (config)#milan米兰体育官网 sa(config)#milan米兰体育官网 session(config)#milan米兰体育官网 negotiation-fail! (config)#logging buffer level informational! ! ! ISAKMP ポリシーのmilan米兰体育官网を行ないます。 ! (config)#milan米兰体育官网 policy P1-POLICY! ! ! 認証方式に事前共有鍵を使用します。 ! (config-isakmp)#authentication pre-share! ! ! 暗号方式のmilan米兰体育官网します。 ! (config-isakmp)#encryption aes! ! ! 鍵長をmilan米兰体育官网します。 ! (config-isakmp)#encryption-keysize aes 256 256 256! ! ! Diffie Hellmanのグループのmilan米兰体育官网します。 ! (config-isakmp)#milan米兰体育官网4! ! ! IKE SAのライフタイムのmilan米兰体育官网(秒)します。 ! (config-isakmp)#lifetime 86400! ! ! ハッシュ方式のmilan米兰体育官网します。 ! (config-isakmp)#hash sha-256! ! ! アグレッシブmilan米兰体育官网を使用します。 ! (config-isakmp)#initiate-mode aggressive! ! ! 基本milan米兰体育官网モードに戻ります。 ! (config-isakmp)#exit! ! ! センタ向けのISAKMP プロファイルをmilan米兰体育官网します。 ! (config)#milan米兰体育官网 profile PROF0001! ! ! ISAKMP ポリシーとリンク付けします。 ! (conf-isa-prof)#set isakmp-policy P1-POLICY! ! ! IPSEC ポリシーとリンク付けします。 ! (conf-isa-prof)#set ipsec-policy P2-POLICY! ! ! センタのWAN アドレスをmilan米兰体育官网します。 ! (conf-isa-prof)#set peer 192.0.2.1! ! ! 対向装置の識別方法をmilan米兰体育官网します。 ! (conf-isa-prof)#match identity user center! ! ! 本装置の識別方法をmilan米兰体育官网します。 ! (conf-isa-prof)#self-identity user-fqdn id-kyoten1! ! ! IKE バージョンをmilan米兰体育官网します。 ! (conf-isa-prof)#ike-version 1! ! ! 共通鍵をmilan米兰体育官网します。 ! (conf-isa-prof)#local-key SECRET-VPN! ! ! 基本milan米兰体育官网モードに戻ります。 ! (conf-isa-prof)#exit! ! ! IPSEC ポリシーをmilan米兰体育官网します。 ! (config)#crypto ipsec policy P2-POLICY! ! ! Diffie Hellmanのグループのmilan米兰体育官网します。 ! (conf-ipsec)#set pfs group14! ! ! 常にSAを確立しておくmilan米兰体育官网をします。 ! (conf-ipsec)#set security-association always-up! ! ! IPsec SAのライフタイムのmilan米兰体育官网(秒)します。 ! (conf-ipsec)#set security-association lifetime seconds 28800! ! ! 鍵長をmilan米兰体育官网します。 ! (conf-ipsec)#set security-association transform-keysize aes 256 256 256! ! ! 暗号化アルゴリズム、認証アルゴリズムをmilan米兰体育官网します。 ! (conf-ipsec)#set security-association transform esp-aes esp-sha256-hmac! ! ! 暗号化されたESPパケットの MTU 長をmilan米兰体育官网します。 ! !(conf-ipsec)#set mtu 1454! ! ! 暗号化されたESPパケットの MSS をmilan米兰体育官网します(*5)。 ! !(conf-ipsec)#set mss 1300! ! ! milan米兰体育官网ナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。 ! (conf-ipsec)#set ip df-bit 0! ! ! Post-Fragment 方式(*3)とします。 ! (conf-ipsec)#set ip fragment post! ! ! 基本milan米兰体育官网モードに戻ります。 ! (conf-ipsec)#exit! ! ! センタのVPNピアとのセレクタ情報をエントリします。 ! (config)#crypto map CENTER ipsec-isakmp(config-crypto-map)#match address SELECTOR(config-crypto-map)#set isakmp-profile PROF0001(config-crypto-map)#exit! ! ! センタのtunnel インタフェースで有効にするVPNセレクタをmilan米兰体育官网します。 ! (config)#interface Tunnel 2(config-if-tun 2)#tunnel mode ipsec map CENTER! ! !アクセスリスト1で示される送信元ネットワークを、milan米兰体育官网プールで示されるネットワークにVPN-NAT変換! (config-if-tun 2)#milan米兰体育官网 list 1 pool 1! ! !センタ側→拠点1側へのVPN-NATスタティックmilan米兰体育官网 (192.168.3.100宛ての通信は192.168.1.100(サーバ)へ変換)! (config-if-tun 2)#ip nat inside destination static 192.168.3.100 192.168.1.100! ! !拠点1側→センタ側へのVPN-NATスタティックmilan米兰体育官网 (送信元アドレスが192.168.1.100(サーバ)の通信は192.168.3.100へ変換)! (config-if-tun 2)#milan米兰体育官网 static 192.168.1.100 192.168.3.100! ! (config-if-tun 2)#exit! ! !VPN-NAT にて変換後のアドレスを登録します。! (config)#ip nat pool 1 192.168.3.1 192.168.3.254! ! ! 学習フィルタリングのmilan米兰体育官网をします。 ! (config)#access-list 111 deny ip any any(config)#access-list 121 spi ip any any! (config)#interface tunnel 1(milan米兰体育官网)#ip access-milan米兰体育官网11 in(milan米兰体育官网)#ip access-milan米兰体育官网21 out(milan米兰体育官网)#exit! ! ! VPNで使用するパケットを受信許可するフィルタリングのmilan米兰体育官网をします。 ! (config)#access-list 100 permit udp any eq 500 any eq 500(config)#access-list 100 permit 50 any any! (config)#interface tunnel 1(milan米兰体育官网)#ip access-milan米兰体育官网00 in(milan米兰体育官网)#exit! ! ! 特権ユーザmilan米兰体育官网に戻ります。 ! (config)#end! ! ! ! milan米兰体育官网を有効にするために refresh をします。 ! #refreshrefresh ok?[y/N]:yes ..................Done ! ! ! milan米兰体育官网を保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名]save ok?[y/N]:yes % saving working-config 100% |*************************************************| xxx/ xxx ( Lines) # *1:物理ポート番号のmilan米兰体育官网 *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用するmilan米兰体育官网はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。 *4:特権ユーザモード移行時のパスワードは、初期状態ではmilan米兰体育官网されていません。 本milan米兰体育官网例のように、パスワード "super" を受け付けるようにするためには、あらかじめ特権ユーザモードにて password enable super を実行しておくことが必要です。 *5:IPsecトンネルの先のホストから送信されたDFビットつきのTCPパケットがPPPoE回線で破棄されてしまうような ケースを考慮して、インナーのMTU長以下になるようにMSSの書き換えmilan米兰体育官网を行います。 センター経由でインターネット上のサーバと通信を行うような場合に、本milan米兰体育官网を推奨します。
コマンドmilan米兰体育官网の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官网を利用したい方は
milan米兰体育官网2
! ! !enablepassword:super *4←パスワードを入力します。(実際は表示されない) ! ! ! 基本milan米兰体育官网モードに移行します。 ! #configure terminal(config)# ! ! ! デフォルトルートを tunnel 1(PPPoE) にmilan米兰体育官网します。 ! (config)#ip route 0.0.0.0 0.0.0.0 tunnel 1! ! ! センタ宛(センタ経由の拠点2も含む)の経路情報をtunnel 2(IPsecトンネル)にmilan米兰体育官网します。 ! (config)#ip route 192.168.0.0 255.255.0.0 tunnel 2! ! ! ! NATとVPN-NATで変換対象とする送信元アドレス ! (ここではLAN 側アドレスを対象とします)を登録します。 ! (config)#ip nat list 1 192.168.1.0 0.0.0.255! ! ! Port-channel にLAN側IPアドレスをmilan米兰体育官网します。 ! (config)#interface Port-channel 1(config-if-ch 1)#ip address 192.168.1.1 255.255.255.0(config-if-ch 1)#mss 1300(config-if-ch 1)#exit! ! ! PPPoEのmilan米兰体育官网をします。 ! プロバイダから指定された 認証ID、パスワードなどをmilan米兰体育官网します。 ! (config)#pppoe profile PPPOE_PROF(config-pppoe-profile PPPOE_PROF)#account abc678@***.***.ne.jp zzzyyyxxx(config-pppoe-profile PPPOE_PROF)#exit! ! ! Tunnel インタフェースmilan米兰体育官网モードに移行します。 ! (config)#interface Tunnel 1! (milan米兰体育官网)#description FLETS! ! ! NAT+ のmilan米兰体育官网をします。 ! (config-if-tun 1)#milan米兰体育官网 list 1 interface! ! ! pppoe profile とのリンク付けをします。 ! (milan米兰体育官网)#tunnel mode pppoe profile PPPOE_PROF! ! GigaEthernet milan米兰体育官网フェースとのリンク付けをします。 ! (config-if-tun 1)#pppoe interface gigaethernet 2/1 *1! ! ! 基本milan米兰体育官网モードに戻ります。 ! (config-if-tun 1)#exit! ! ! PPPoE 通信で使用する物理インタフェースをmilan米兰体育官网します。 ! (config)#interface GigaEthernet 2/1 *1(config-if-ge 2/1)#vlan-id 2(config-if-ge 2/1)#bridge-group 2(config-if-ge 2/1)#pppoe enable(config-if-ge 2/1)#exit! ! ! GigaEthernet milan米兰体育官网フェースに、port-channel をリンク付けします。 ! (config)#interface GigaEthernet 1/1 *1(config-if-ge 1/1)#vlan-id 1(config-if-ge 1/1)#bridge-milan米兰体育官网(config-if-ge 1/1)#channel-milan米兰体育官网(config-if-ge 1/1)#exit! ! ! VPNセレクタのmilan米兰体育官网を行ないます。 ! (config)#crypto ipsec selector SELECTOR(config-ip-selector)#src 1 ipv4 any(config-ip-selector)#dst 1 ipv4 any(config-ip-selector)#exit! ! ! DPDのmilan米兰体育官网をします。 ! (config)#milan米兰体育官网 keepalive! ! ! VPN通信動作中の詳細なログを残すmilan米兰体育官网にします。 ! (config)#milan米兰体育官网 sa(config)#milan米兰体育官网 session(config)#milan米兰体育官网 negotiation-fail! (config)#logging buffer level informational! ! ! ISAKMP ポリシーのmilan米兰体育官网を行ないます。 ! (config)#milan米兰体育官网 policy P1-POLICY! ! ! 認証方式に事前共有鍵を使用します。 ! (config-isakmp)#authentication pre-share! ! ! 暗号方式のmilan米兰体育官网します。 ! (config-isakmp)#encryption aes! ! ! 鍵長をmilan米兰体育官网します。 ! (config-isakmp)#encryption-keysize aes 256 256 256! ! ! Diffie Hellmanのグループのmilan米兰体育官网します。 ! (config-isakmp)#milan米兰体育官网4! ! ! IKE SAのライフタイムのmilan米兰体育官网(秒)します。 ! (config-isakmp)#lifetime 86400! ! ! ハッシュ方式のmilan米兰体育官网します。 ! (config-isakmp)#hash sha-256! ! ! アグレッシブmilan米兰体育官网を使用します。 ! (config-isakmp)#initiate-mode aggressive! ! ! 基本milan米兰体育官网モードに戻ります。 ! (config-isakmp)#exit! ! ! センタ向けのISAKMP プロファイルをmilan米兰体育官网します。 ! (config)#milan米兰体育官网 profile PROF0001! ! ! ISAKMP ポリシーとリンク付けします。 ! (conf-isa-prof)#set isakmp-policy P1-POLICY! ! ! IPSEC ポリシーとリンク付けします。 ! (conf-isa-prof)#set ipsec-policy P2-POLICY! ! ! センタのWAN アドレスをmilan米兰体育官网します。 ! (conf-isa-prof)#set peer 192.0.2.1! ! ! 対向装置の識別方法をmilan米兰体育官网します。 ! (conf-isa-prof)#match identity user center! ! ! 本装置の識別方法をmilan米兰体育官网します。 ! (conf-isa-prof)#self-identity user-fqdn id-kyoten2! ! ! IKE バージョンをmilan米兰体育官网します。 ! (conf-isa-prof)#ike-version 1! ! ! 共通鍵をmilan米兰体育官网します。 ! (conf-isa-prof)#local-key SECRET-VPN! ! ! 基本milan米兰体育官网モードに戻ります。 ! (conf-isa-prof)#exit! ! ! IPSEC ポリシーをmilan米兰体育官网します。 ! (config)#crypto ipsec policy P2-POLICY! ! ! Diffie Hellmanのグループのmilan米兰体育官网します。 ! (conf-ipsec)#set pfs group14! ! ! 常にSAを確立しておくmilan米兰体育官网をします。 ! (conf-ipsec)#set security-association always-up! ! ! IPsec SAのライフタイムのmilan米兰体育官网(秒)します。 ! (conf-ipsec)#set security-association lifetime seconds 28800! ! ! 鍵長をmilan米兰体育官网します。 ! (conf-ipsec)#set security-association transform-keysize aes 256 256 256! ! ! 暗号化アルゴリズム、認証アルゴリズムをmilan米兰体育官网します。 ! (conf-ipsec)#set security-association transform esp-aes esp-sha256-hmac! ! ! 暗号化されたESPパケットの MTU 長をmilan米兰体育官网します。 ! !(conf-ipsec)#set mtu 1454! ! ! 暗号化されたESPパケットの MSS をmilan米兰体育官网します(*5)。 ! !(conf-ipsec)#set mss 1300! ! ! milan米兰体育官网ナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。 ! (conf-ipsec)#set ip df-bit 0! ! ! Post-Fragment 方式(*3)とします。 ! (conf-ipsec)#set ip fragment post! ! ! 基本milan米兰体育官网モードに戻ります。 ! (conf-ipsec)#exit! ! ! センタのVPNピアとのセレクタ情報をエントリします。 ! (config)#crypto map CENTER ipsec-isakmp(config-crypto-map)#match address SELECTOR(config-crypto-map)#set isakmp-profile PROF0001(config-crypto-map)#exit! ! ! センタのtunnel インタフェースで有効にするVPNセレクタをmilan米兰体育官网します。 ! (config)#interface Tunnel 2(config-if-tun 2)#tunnel mode ipsec map CENTER! ! !アクセスリスト1で示される送信元ネットワークを、milan米兰体育官网プールで示されるネットワークにVPN-NAT変換! (config-if-tun 2)# milan米兰体育官网 list 1 pool 1 ! ! ! センタ側→拠点2側へのVPN-NATスタティックmilan米兰体育官网 (192.168.2.100宛ての通信は192.168.1.100(サーバ)へ変換)! (config-if-tun 2)# ip nat inside destination static 192.168.2.100 192.168.1.100 ! ! ! 拠点1側→センタ側へのVPN-NATスタティックmilan米兰体育官网 (送信元アドレスが192.168.1.100(サーバ)の通信は192.168.2.100へ変換)! (config-if-tun 2)# milan米兰体育官网 static 192.168.1.100 192.168.2.100! ! (config-if-tun 2)#exit ! ! ! VPN-NAT にて変換後のアドレスを登録します。! (config)#ip nat pool 1 192.168.2.1 192.168.2.254! ! ! 学習フィルタリングのmilan米兰体育官网をします。 ! (config)#access-list 111 deny ip any any(config)#access-list 121 spi ip any any! (config)#interface tunnel 1(milan米兰体育官网)#ip access-milan米兰体育官网11 in(milan米兰体育官网)#ip access-milan米兰体育官网21 out(milan米兰体育官网)#exit! ! ! VPNで使用するパケットを受信許可するフィルタリングのmilan米兰体育官网をします。 ! (config)#access-list 100 permit udp any eq 500 any eq 500(config)#access-list 100 permit 50 any any! (config)#interface tunnel 1(milan米兰体育官网)#ip access-milan米兰体育官网00 in(milan米兰体育官网)#exit! ! ! 特権ユーザmilan米兰体育官网に戻ります。 ! (config)#end! ! ! milan米兰体育官网を有効にするために refresh をします。 ! #refreshrefresh ok?[y/N]:yes ..................Done ! ! ! milan米兰体育官网を保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名]save ok?[y/N]:yes % saving working-config 100% |*************************************************| xxx/ xxx ( Lines) # *1:物理ポート番号のmilan米兰体育官网 *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用するmilan米兰体育官网はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。 *4:特権ユーザモード移行時のパスワードは、初期状態ではmilan米兰体育官网されていません。 本milan米兰体育官网例のように、パスワード "super" を受け付けるようにするためには、あらかじめ特権ユーザモードにて password enable super を実行しておくことが必要です。 *5:IPsecトンネルの先のホストから送信されたDFビットつきのTCPパケットがPPPoE回線で破棄されてしまうような ケースを考慮して、インナーのMTU長以下になるようにMSSの書き換えmilan米兰体育官网を行います。 センター経由でインターネット上のサーバと通信を行うような場合に、本milan米兰体育官网を推奨します。
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2019