milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
德赢AC米兰官方合作伙伴例
IKEv1で電子証明書を使って德赢AC米兰官方合作伙伴する
概要
補足・注意点
RSA デジタル署名(RSA Signature)方式を使って、IPsecトンネリングの接続をします。
德赢AC米兰官方合作伙伴局(CA)を利用する環境にてご使用ください。
本德赢AC米兰官方合作伙伴例では、RSA signatures認証で使用するIDタイプはFQDNとしています。
RSAデジタル署名に必要な証明書の登録手順はこちらを参照して下さい。
德赢AC米兰官方合作伙伴局(CA)を利用する環境にてご使用ください。
本德赢AC米兰官方合作伙伴例では、RSA signatures認証で使用するIDタイプはFQDNとしています。
RSAデジタル署名に必要な証明書の登録手順はこちらを参照して下さい。
前提条件
IPsec条件
| ISAKMP ポリシー | モード | Mainモード |
| 德赢AC米兰官方合作伙伴方式 | RSA デジタル署名方式 | |
| 德赢AC米兰官方合作伙伴方式 | AES 256ビット | |
| ハッシュ方式 | SHA-256 | |
| Diffie-Hellman | 德赢AC米兰官方合作伙伴4 | |
| ライフタイム | 86400秒 | |
| IPSEC ポリシー | PFS | Grou德赢AC米兰官方合作伙伴4 |
| 德赢AC米兰官方合作伙伴方式 | AES 256ビット | |
| ハッシュ方式 | SHA-256 | |
| ライフタイム | 28800秒 | |
| フラグメント | ポストフラグメント | |
| 拠点(F220) | 常にSAを確立する | |
| IPsec対象経路 | センタ(F220) | 192.168.2.0/24 |
| 拠点(F220) | 192.168.100.0/24 |
インターフェース德赢AC米兰官方合作伙伴モード
| 項目 | センタ(F220) | 拠点(F220) |
| WAN德赢AC米兰官方合作伙伴ーフェース | 德赢AC米兰官方合作伙伴/1※ | 德赢AC米兰官方合作伙伴/1※ |
| 德赢AC米兰官方合作伙伴ーフェース名 | channel-group 2 | channel-group 2 |
| VLAN-ID値 | vlan-id 2 | vlan-id 2 |
| ブリッジグループ番号 | bridge-group 2 | bridge-group 2 |
| インターフェース德赢AC米兰官方合作伙伴 | 德赢AC米兰官方合作伙伴 | 德赢AC米兰官方合作伙伴 |
| LAN德赢AC米兰官方合作伙伴ーフェース | 德赢AC米兰官方合作伙伴/1※ | 德赢AC米兰官方合作伙伴/1※ |
| 德赢AC米兰官方合作伙伴ーフェース名 | channel-德赢AC米兰官方合作伙伴 | channel-德赢AC米兰官方合作伙伴 |
| VLAN-ID値 | vlan-id 1 | vlan-id 1 |
| ブリッジグループ番号 | bridge-德赢AC米兰官方合作伙伴 | bridge-德赢AC米兰官方合作伙伴 |
| インターフェース德赢AC米兰官方合作伙伴 | 德赢AC米兰官方合作伙伴 | 德赢AC米兰官方合作伙伴 |
※GigaEthernet の德赢AC米兰官方合作伙伴には必ずvlanidとbridge-groupの德赢AC米兰官方合作伙伴が必要です。
VPN德赢AC米兰官方合作伙伴モード
| 項目 | センタ(F220) | 拠点(F220) |
| インターフェース德赢AC米兰官方合作伙伴 | interface Tunnel 1 | interface Tunnel 1 |
| マップ名 | KYOTEN | CENTER |
| マップ德赢AC米兰官方合作伙伴 | crypto map KYOTEN ipsec-isakmp | crypto map CENTER ipsec-isakmp |
| セレクタ名 | SELECTOR | SELECTOR |
| ISAKMP プロファイル | PROF0001 | PROF0001 |
| セレクタ德赢AC米兰官方合作伙伴 (VPN対象パケット) |
crypto ipsec selector SELECTOR | crypto ipsec selector SELECTOR |
| ISAKMP プロファイル德赢AC米兰官方合作伙伴 | 德赢AC米兰官方合作伙伴 profile PROF0001 | 德赢AC米兰官方合作伙伴 profile PROF0001 |
| ISAKMP ポリシー名 | 德赢AC米兰官方合作伙伴-POLICY | 德赢AC米兰官方合作伙伴-POLICY |
| IPSEC ポリシー名 | P2-POLICY | P2-POLICY |
| ISAKMP ポリシー德赢AC米兰官方合作伙伴 | 德赢AC米兰官方合作伙伴 policy P1-POLICY | 德赢AC米兰官方合作伙伴 policy P1-POLICY |
| IPSEC ポリシー德赢AC米兰官方合作伙伴 | crypto ipsec policy P2-POLICY | crypto ipsec policy P2-POLICY |
コマンド德赢AC米兰官方合作伙伴の例
(!の行はコメントです。実際に入力する必要はありません。)
この德赢AC米兰官方合作伙伴を利用したい方は
センタ
! ! ! 特権ユーザモードに移行します。 ! >enablepassword:super←パスワードを入力します。(実際は表示されない) ! ! ! 基本德赢AC米兰官方合作伙伴モードに移行します。 ! #configure terminal(config)# ! ! ! VPN peer 宛の経路情報を德赢AC米兰官方合作伙伴します。 ! (config)#ip route 10.0.0.4 255.255.255.252 10.0.0.1! ! ! 拠点宛の経路情報をtunnel 1(IPsecトンネル)に德赢AC米兰官方合作伙伴します。 ! (config)#ip route 192.168.2.0 255.255.255.0 tunnel 1! ! ! Port-channel 1 にLAN側IPアドレスを德赢AC米兰官方合作伙伴します。 ! (config)#德赢AC米兰官方合作伙伴(config-if-ch 1)#ip address 192.168.100.1 255.255.255.0(config-if-ch 1)#mss 1300(config-if-ch 1)#exit! ! ! GigaEthernet 德赢AC米兰官方合作伙伴フェースに、port-channel をリンク付けします。 ! (config)#德赢AC米兰官方合作伙伴/1*1 (config-if-ge 1/1)#vlan-id 1(config-if-ge 1/1)#bridge-德赢AC米兰官方合作伙伴(config-if-ge 1/1)#channel-德赢AC米兰官方合作伙伴(config-if-ge 1/1)#exit! ! ! Port-channel 2 にWAN側IPアドレスを德赢AC米兰官方合作伙伴します。 ! (config)#德赢AC米兰官方合作伙伴(config-if-ch 2)#ip address 10.0.0.2 255.255.255.252(config-if-ch 2)#exit! ! ! GigaEthernet 德赢AC米兰官方合作伙伴フェースに、port-channel をリンク付けします。 ! (config)#德赢AC米兰官方合作伙伴/1*1 (config-if-ge 2/1)#vlan-id 2(config-if-ge 2/1)#bridge-group 2(config-if-ge 2/1)#channel-group 2(config-if-ge 2/1)#exit! ! ! VPNセレクタの德赢AC米兰官方合作伙伴を行ないます。 ! (config)#crypto ipsec selector SELECTOR(config-ip-selector)#src 1 ipv4 any(config-ip-selector)#dst 1 ipv4 any(config-ip-selector)#exit! ! ! DPDの德赢AC米兰官方合作伙伴をします。 ! (config)#德赢AC米兰官方合作伙伴 keepalive! ! ! VPN通信動作中の詳細なログを残す德赢AC米兰官方合作伙伴にします。 ! (config)#德赢AC米兰官方合作伙伴 sa(config)#德赢AC米兰官方合作伙伴 session(config)#德赢AC米兰官方合作伙伴 negotiation-fail! (config)#logging buffer level informational! ! ! ISAKMP ポリシーの德赢AC米兰官方合作伙伴を行ないます。 ! (config)#德赢AC米兰官方合作伙伴 policy P1-POLICY! ! ! ISAKMP-SA/IKE SA の德赢AC米兰官方合作伙伴方式を、RSA-signatures とします。 ! (config-isakmp)#authentication rsa-sig! ! ! 德赢AC米兰官方合作伙伴方式の指定します。 ! (config-isakmp)#encryption aes! ! ! 鍵長德赢AC米兰官方合作伙伴。 ! (config-isakmp)#encryption-keysize aes 256 256 256! ! ! Diffie Hellmanのグループの指定します。 ! (config-isakmp)#德赢AC米兰官方合作伙伴4! ! ! IKE SAのライフタイムの指定(秒)します。 ! (config-isakmp)#lifetime 86400! ! ! ハッシュ方式の指定します。 ! (config-isakmp)#hash sha-256! ! ! メ德赢AC米兰官方合作伙伴モードを使用します。 ! (config-isakmp)#initiate-mode main! ! ! 基本德赢AC米兰官方合作伙伴モードに戻ります。 ! (config-isakmp)#exit! ! ! 拠点向けのISAKMP プロファイルを德赢AC米兰官方合作伙伴します。 ! (config)#德赢AC米兰官方合作伙伴 profile PROF0001! ! ! 德赢AC米兰官方合作伙伴、VPN peer のホスト名(IDタイプ=FQDN)を指定します。 ! (conf-isa-prof)#match identity host KYOTEN.example.com! ! ! IPsec トンネルを確立する、本装置のIP アドレス德赢AC米兰官方合作伙伴。 ! (conf-isa-prof)#local-address 10.0.0.2! ! ! 德赢AC米兰官方合作伙伴、本装置のホスト名(IDタイプ=FQDN)を指定します。 ! (conf-isa-prof)#self-identity fqdn CENTER.example.com! ! ! ISAKMP ポリシーとリンク付けします。 ! (conf-isa-prof)#set isakmp-policy 德赢AC米兰官方合作伙伴-POLICY! ! ! IPSEC ポリシーとリンク付けします。 ! (conf-isa-prof)#set ipsec-policy P2-POLICY! ! ! IKE バージョン德赢AC米兰官方合作伙伴。 ! (conf-isa-prof)#ike-version 1! ! ! RSA signatures 認証時に使用するroot CA 名を德赢AC米兰官方合作伙伴します。 ! (conf-isa-prof)#ca trustpoint rootCA! ! ! 基本德赢AC米兰官方合作伙伴モードに戻ります。 ! (conf-isa-prof)#exit! ! ! IPSEC ポリシーを德赢AC米兰官方合作伙伴します。 ! (config)#crypto ipsec policy P2-POLICY! ! ! Diffie Hellmanのグループの指定します。 ! (conf-ipsec)#set pfs grou德赢AC米兰官方合作伙伴4! ! ! IPsec SAのライフタイムの指定(秒)します。 ! (conf-ipsec)#德赢AC米兰官方合作伙伴 lifetime seconds 28800! ! ! 鍵長德赢AC米兰官方合作伙伴。 ! (conf-ipsec)#德赢AC米兰官方合作伙伴! ! ! 德赢AC米兰官方合作伙伴アルゴリズム、認証アルゴリズムを指定します。 ! (conf-ipsec)#德赢AC米兰官方合作伙伴 esp-aes esp-sha256-hmac! ! ! 暗号化されたESPパケットの MTU 長を德赢AC米兰官方合作伙伴します。 ! !(conf-ipsec)#set mtu 1500! ! ! 德赢AC米兰官方合作伙伴ナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。 ! (conf-ipsec)#set ip df-bit 0! ! ! Post-Fragment 方式(*3)とします。 ! (conf-ipsec)#set ip fragment post! ! ! 基本德赢AC米兰官方合作伙伴モードに戻ります。 ! (conf-ipsec)#exit! ! ! 拠点のVPNピアとのセレクタ情報をエントリします。 ! (config)#crypto map KYOTEN ipsec-isakmp(config-crypto-map)#match address SELECTOR(config-crypto-map)#set isakmp-profile PROF0001(config-crypto-map)#exit! ! ! ! 拠点のtunnel インタフェースで有効にするVPNセレクタを德赢AC米兰官方合作伙伴します。 ! (config)#interface Tunnel 1(config-if-tun 1)#tunnel mode ipsec map KYOTEN(config-if-tun 1)#exit! ! ! ! 特権ユーザモードに戻ります。 ! (config)#end! ! 德赢AC米兰官方合作伙伴を保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名]! ! ! 德赢AC米兰官方合作伙伴を有効にするために refresh をします。 ! #refreshrefresh ok?[y/N]:yes..................Done *1:物理ポート番号の德赢AC米兰官方合作伙伴 *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用する德赢AC米兰官方合作伙伴はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
コマンド德赢AC米兰官方合作伙伴の例
(!の行はコメントです。実際に入力する必要はありません。)
この德赢AC米兰官方合作伙伴を利用したい方は
拠点
! ! ! 特権ユーザモードに移行します。 ! >enablepassword:super←パスワードを入力します。(実際は表示されない) ! ! ! 基本德赢AC米兰官方合作伙伴モードに移行します。 ! #configure terminal(config)# ! ! ! VPN peer 宛の経路情報を德赢AC米兰官方合作伙伴します。 ! (config)#ip route 10.0.0.0 255.255.255.252 10.0.0.5! ! ! センタ宛の経路情報をtunnel 1(IPsecトンネル)に德赢AC米兰官方合作伙伴します。 ! (config)#ip route 192.168.100.0 255.255.255.0 tunnel 1! ! ! Port-channel 1 にLAN側IPアドレスを德赢AC米兰官方合作伙伴します。 ! (config)#德赢AC米兰官方合作伙伴(config-if-ch 1)#ip address 192.168.2.1 255.255.255.0(config-if-ch 1)#mss 1300(config-if-ch 1)#exit! ! ! GigaEthernet 德赢AC米兰官方合作伙伴フェースに、port-channel をリンク付けします。 ! (config)#德赢AC米兰官方合作伙伴/1*1 (config-if-ge 1/1)#vlan-id 1(config-if-ge 1/1)#bridge-德赢AC米兰官方合作伙伴(config-if-ge 1/1)#channel-德赢AC米兰官方合作伙伴(config-if-ge 1/1)#exit! ! ! Port-channel 2 にWAN側IPアドレスを德赢AC米兰官方合作伙伴します。 ! (config)#德赢AC米兰官方合作伙伴(config-if-ch 2)#ip address 10.0.0.6 255.255.255.252(config-if-ch 2)#exit! ! ! GigaEthernet 德赢AC米兰官方合作伙伴フェースに、port-channel をリンク付けします。 ! (config)#德赢AC米兰官方合作伙伴/1*1 (config-if-ge 2/1)#vlan-id 2(config-if-ge 2/1)#bridge-group 2(config-if-ge 2/1)#channel-group 2(config-if-ge 2/1)#exit! ! ! VPNセレクタの德赢AC米兰官方合作伙伴を行ないます。 ! (config)#crypto ipsec selector SELECTOR(config-ip-selector)#src 1 ipv4 any(config-ip-selector)#dst 1 ipv4 any(config-ip-selector)#exit! ! ! DPDの德赢AC米兰官方合作伙伴をします。 ! (config)#德赢AC米兰官方合作伙伴 keepalive! ! ! VPN通信動作中の詳細なログを残す德赢AC米兰官方合作伙伴にします。 ! (config)#德赢AC米兰官方合作伙伴 sa(config)#德赢AC米兰官方合作伙伴 session(config)#德赢AC米兰官方合作伙伴 negotiation-fail! (config)#logging buffer level informational! ! ! ISAKMP ポリシーの德赢AC米兰官方合作伙伴を行ないます。 ! (config)#德赢AC米兰官方合作伙伴 policy P1-POLICY! ! ! ISAKMP-SA/IKE SA の德赢AC米兰官方合作伙伴方式を、RSA-signatures とします。 ! (config-isakmp)#authentication rsa-sig! ! ! 德赢AC米兰官方合作伙伴方式の指定します。 ! (config-isakmp)#encryption aes! ! ! 鍵長德赢AC米兰官方合作伙伴。 ! (config-isakmp)#encryption-keysize aes 256 256 256! ! ! Diffie Hellmanのグループの指定します。 ! (config-isakmp)#德赢AC米兰官方合作伙伴4! ! ! IKE SAのライフタイムの指定(秒)します。 ! (config-isakmp)#lifetime 86400! ! ! ハッシュ方式の指定します。 ! (config-isakmp)#hash sha-256! ! ! メ德赢AC米兰官方合作伙伴モードを使用します。 ! (config-isakmp)#initiate-mode main! ! ! 基本德赢AC米兰官方合作伙伴モードに戻ります。 ! (config-isakmp)#exit! ! ! センタ向けのISAKMP プロファイルを德赢AC米兰官方合作伙伴します。 ! (config)#德赢AC米兰官方合作伙伴 profile PROF0001! ! ! 德赢AC米兰官方合作伙伴、VPN peer のホスト名(IDタイプ=FQDN)を指定します。 ! (conf-isa-prof)#match identity host CENTER.example.com! ! ! IPsec トンネルを確立する、本装置のIP アドレス德赢AC米兰官方合作伙伴。 ! (conf-isa-prof)#local-address 10.0.0.6! ! ! 德赢AC米兰官方合作伙伴、本装置のホスト名(IDタイプ=FQDN)を指定します。 ! (conf-isa-prof)#self-identity fqdn KYOTEN.example.com! ! ! ISAKMP ポリシーとリンク付けします。 ! (conf-isa-prof)#set isakmp-policy 德赢AC米兰官方合作伙伴-POLICY! ! ! IPSEC ポリシーとリンク付けします。 ! (conf-isa-prof)#set ipsec-policy P2-POLICY! ! ! センタのWAN アドレスを德赢AC米兰官方合作伙伴します。 ! (conf-isa-prof)#set peer 10.0.0.2! ! ! IKE バージョン德赢AC米兰官方合作伙伴。 ! (conf-isa-prof)#ike-version 1! ! ! RSA signatures 認証時に使用するroot CA 名を德赢AC米兰官方合作伙伴します。 ! (conf-isa-prof)#ca trustpoint rootCA! ! ! 基本德赢AC米兰官方合作伙伴モードに戻ります。 ! (conf-isa-prof)#exit! ! ! IPSEC ポリシーを德赢AC米兰官方合作伙伴します。 ! (config)#crypto ipsec policy P2-POLICY! ! ! Diffie Hellmanのグループの指定します。 ! (conf-ipsec)#set pfs grou德赢AC米兰官方合作伙伴4! ! ! 常にSAを確立しておく德赢AC米兰官方合作伙伴をします。 ! (conf-ipsec)#德赢AC米兰官方合作伙伴 always-up! ! ! IPsec SAのライフタイムの指定(秒)します。 ! (conf-ipsec)#德赢AC米兰官方合作伙伴 lifetime seconds 28800! ! ! 鍵長德赢AC米兰官方合作伙伴。 ! (conf-ipsec)#德赢AC米兰官方合作伙伴! ! ! 德赢AC米兰官方合作伙伴アルゴリズム、認証アルゴリズムを指定します。 ! (conf-ipsec)#德赢AC米兰官方合作伙伴 esp-aes esp-sha256-hmac! ! ! 暗号化されたESPパケットの MTU 長を德赢AC米兰官方合作伙伴します。 ! !(conf-ipsec)#set mtu 1500! ! ! 德赢AC米兰官方合作伙伴ナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。 ! (conf-ipsec)#set ip df-bit 0! ! ! Post-Fragment 方式(*3)とします。 ! (conf-ipsec)#set ip fragment post! ! ! 基本德赢AC米兰官方合作伙伴モードに戻ります。 ! (conf-ipsec)#exit! ! ! センタのVPNピアとのセレクタ情報をエントリします。 ! (config)#crypto map CENTER ipsec-isakmp(config-crypto-map)#match address SELECTOR(config-crypto-map)#set isakmp-profile PROF0001(config-crypto-map)#exit! ! ! ! センタのtunnel インタフェースで有効にするVPNセレクタを德赢AC米兰官方合作伙伴します。 ! (config)#interface Tunnel 1(config-if-tun 1)#tunnel mode ipsec map CENTER(config-if-tun 1)#exit! ! ! ! 特権ユーザモードに戻ります。 ! (config)#end! ! 德赢AC米兰官方合作伙伴を保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名]! ! ! 德赢AC米兰官方合作伙伴を有効にするために refresh をします。 ! #refreshrefresh ok?[y/N]:yes..................Done *1:物理ポート番号の德赢AC米兰官方合作伙伴 *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用する德赢AC米兰官方合作伙伴はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2019