milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
milan米兰体育官网入口例
IKEv2で接続する(センタ(IP固定), 拠点(IP不定), VPNピア識別:FQDN形式)
概要
補足・注意点
前提条件
当milan米兰体育官网入口例では、以下のアドレス・環境を前提に説明しています。
プロバイダより割り振られたアドレス(アドレスは一例です)
| センタ側 | 192.0.2.1 |
| 拠点側 | milan米兰体育官网入口無し |
milan米兰体育官网入口環境
| IPsecの対象とする中継パケット | 192.168.1.0/24 ⇔ 192.168.2.0/24 |
| IPsec Phase1ポリシー | 認証方式 ・・・ 事前共有鍵方式 暗号化方式 ・・・ AES 256ビット ハッシュ方式 ・・・ SHA-256 Diffie-Hellman ・・・ milan米兰体育官网入口4 IKE SAライフタイム ・・・ 86400秒 IKE SAソフトリミット ・・・ 30秒(拠点のみ) (リキー衝突回避のため拠点のみmilan米兰体育官网入口) |
| IPsec Phase2ポリシー | PFS ・・・ milan米兰体育官网入口4 暗号化方式 ・・・ AES 256ビット ハッシュ方式 ・・・ SHA-256 IPsec SAライフタイム ・・・ 28800秒 |
インターフェースmilan米兰体育官网入口モード
| 項目 | センタ(F220) | 拠点(F220) |
| WANmilan米兰体育官网入口ーフェース | interface GigaEthernet 2/1※ | interface GigaEthernet 2/1※ |
| milan米兰体育官网入口ーフェース名 | pppoe enable | pppoe enable |
| VLAN-ID値 | vlan-id 2 | vlan-id 2 |
| ブリッジグループ番号 | bridge-group 2 | bridge-group 2 |
| インターフェースmilan米兰体育官网入口 | interface Tunnel 1 | interface Tunnel 1 |
| PPPoE プロファイル | PPPOE_PROF | PPPOE_PROF |
| PPPoE プロファイルmilan米兰体育官网入口 | pppoe profile PPPOE_PROF | pppoe profile PPPOE_PROF |
| LANmilan米兰体育官网入口ーフェース | interface GigaEthernet 1/1※ | interface GigaEthernet 1/1※ |
| milan米兰体育官网入口ーフェース名 | channel-milan米兰体育官网入口 | channel-milan米兰体育官网入口 |
| VLAN-ID値 | vlan-id 1 | vlan-id 1 |
| ブリッジグループ番号 | bridge-milan米兰体育官网入口 | bridge-milan米兰体育官网入口 |
| インターフェースmilan米兰体育官网入口 | interface Port-channel 1 | interface Port-channel 1 |
※GigaEthernet のmilan米兰体育官网入口には必ずvlanidとbridge-groupのmilan米兰体育官网入口が必要です。
VPNmilan米兰体育官网入口モード
| 項目 | センタ(F220) | 拠点(F220) |
| インターフェースmilan米兰体育官网入口 | interface Tunnel 2 | interface Tunnel 2 |
| マップ名 | KYOTEN | CENTER |
| マップmilan米兰体育官网入口 | crypto map KYOTEN ipsec-isakmp | crypto map CENTER ipsec-isakmp |
| セレクタ名 | SELECTOR | SELECTOR |
| ISAKMP プロファイル | PROF0001 | PROF0001 |
| セレクタmilan米兰体育官网入口 (VPN対象パケット) |
crypto ipsec selector SELECTOR | crypto ipsec selector SELECTOR |
| ISAKMP プロファイルmilan米兰体育官网入口 | milan米兰体育官网入口 profile PROF0001 | milan米兰体育官网入口 profile PROF0001 |
| ISAKMP ポリシー名 | P1-POLICY | P1-POLICY |
| IPSEC ポリシー名 | P2-POLICY | P2-POLICY |
| 対向装置の識別方法milan米兰体育官网入口 | match identity user id-kyoten | match identity user center |
| 本装置の識別方法milan米兰体育官网入口 | self-identity user-fqdn center | self-identity user-fqdn id-kyoten |
| ISAKMP ポリシーmilan米兰体育官网入口 | milan米兰体育官网入口 policy P1-POLICY | milan米兰体育官网入口 policy P1-POLICY |
| IPSEC ポリシーmilan米兰体育官网入口 | crypto ipsec policy P2-POLICY | crypto ipsec policy P2-POLICY |
コマンドmilan米兰体育官网入口の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官网入口を利用したい方は
センタ側
!
!
! 特権ユーザモードに移行します。
!
> enablepassword:super *4←パスワードを入力します。(実際は表示されない)
!
!
! 基本milan米兰体育官网入口モードに移行します。
!
#configure terminal(config)#
!
!
! デフォルトルートを tunnel 1(PPPoE) にmilan米兰体育官网入口します。
!
(config)#ip route 0.0.0.0 0.0.0.0 tunnel 1!
!
! 拠点宛の経路情報をtunnel 2(IPsecトンネル)にmilan米兰体育官网入口します。
!
(config)#ip route 192.168.2.0 255.255.255.0 tunnel 2!
!
!
! NAT で変換対象とする送信元アドレス
! (ここではLAN 側アドレスを対象とします)を登録します。
!
(config)#ip nat list 1 192.168.1.0 0.0.0.255!
!
! Port-channel にLAN側IPアドレスをmilan米兰体育官网入口します。
!
(config)#interface Port-channel 1(config-if-ch 1)#ip address 192.168.1.254 255.255.255.0(config-if-ch 1)#mss 1300(config-if-ch 1)#exit!
!
! PPPoEのmilan米兰体育官网入口をします。
! プロバイダから指定された 認証ID、パスワードなどをmilan米兰体育官网入口します。
!
(config)#pppoe profile PPPOE_PROF(config-pppoe-profile PPPOE_PROF)#account abc012@***.***.ne.jp xxxyyyzzz(config-pppoe-profile PPPOE_PROF)#exit!
!
! Tunnel インタフェースmilan米兰体育官网入口モードに移行します。
!
(config)#interface Tunnel 1!
!
! プロバイダから指定された IPアドレスなどをmilan米兰体育官网入口します。
!
(config-if-tun 1)#description FLETS(milan米兰体育官网入口)#ip address 192.0.2.1 255.255.255.255!
!
! NAT+ のmilan米兰体育官网入口をします。
!
(config-if-tun 1)#ip nat inside source list 1 interface!
!
! pppoe profile とのリンク付けをします。
!
(milan米兰体育官网入口)#tunnel mode pppoe profile PPPOE_PROF!
!
GigaEthernet milan米兰体育官网入口フェースとのリンク付けをします。
!
(config-if-tun 1)#pppoe interface gigaethernet 2/1 *1!
!
! 基本milan米兰体育官网入口モードに戻ります。
!
(config-if-tun 1)#exit!
!
! PPPoE 通信で使用する物理インタフェースをmilan米兰体育官网入口します。
!
(config)#interface GigaEthernet 2/1 *1(config-if-ge 2/1)#vlan-id 2(config-if-ge 2/1)#bridge-group 2(config-if-ge 2/1)#pppoe enable(config-if-ge 2/1)#exit!
!
! GigaEthernet milan米兰体育官网入口フェースに、port-channel をリンク付けします。
!
(config)#interface GigaEthernet 1/1 *1(config-if-ge 1/1)#vlan-id 1(config-if-ge 1/1)#bridge-milan米兰体育官网入口(config-if-ge 1/1)#channel-milan米兰体育官网入口(config-if-ge 1/1)#exit!
!
! VPNセレクタのmilan米兰体育官网入口を行ないます。
!
(config)#crypto ipsec selector SELECTOR(config-ip-selector)#src 1 ipv4 any(config-ip-selector)#dst 1 ipv4 any(config-ip-selector)#exit!
!
! DPDのmilan米兰体育官网入口をします。
!
(config)#milan米兰体育官网入口 keepalive!
!
! VPN通信動作中の詳細なログを残すmilan米兰体育官网入口にします。
!
(config)#milan米兰体育官网入口 sa(config)#milan米兰体育官网入口 session(config)#milan米兰体育官网入口 negotiation-fail!
(config)#logging buffer level informational!
!
! ISAKMP ポリシーのmilan米兰体育官网入口を行ないます。
!
(config)#milan米兰体育官网入口 policy P1-POLICY!
!
! 認証方式に事前共有鍵を使用します。
!
(config-isakmp)#authentication pre-share!
!
! 暗号方式のmilan米兰体育官网入口します。
!
(config-isakmp)#encryption aes!
!
! 鍵長をmilan米兰体育官网入口します。
!
(config-isakmp)#encryption-keysize aes 256 256 256!
!
! Diffie Hellmanのグループのmilan米兰体育官网入口します。
!
(config-isakmp)#milan米兰体育官网入口4!
!
! IKE SAのライフタイムのmilan米兰体育官网入口(秒)します。
!
(config-isakmp)#lifetime 86400!
!
! ハッシュ方式のmilan米兰体育官网入口します。
!
(config-isakmp)#hash sha-256!
!
! 基本milan米兰体育官网入口モードに戻ります。
!
(config-isakmp)#exit!
!
! 拠点向けのISAKMP プロファイルをmilan米兰体育官网入口します。
!
(config)#milan米兰体育官网入口 profile PROF0001!
!
! 自装置のWAN アドレスをmilan米兰体育官网入口します。
!
(conf-isa-prof)#local-address 192.0.2.1!
!
! ISAKMP ポリシーとリンク付けします。
!
(conf-isa-prof)#set isakmp-policy P1-POLICY!
!
! IPSEC ポリシーとリンク付けします。
!
(conf-isa-prof)#set ipsec-policy P2-POLICY!
!
! 対向装置の識別方法をmilan米兰体育官网入口します。
!
(conf-isa-prof)#match identity user id-kyoten!
!
! 本装置の識別方法をmilan米兰体育官网入口します。
!
(conf-isa-prof)#self-identity user-fqdn center!
!
! IKE バージョンをmilan米兰体育官网入口します。
!
(conf-isa-prof)#ike-version 2!
!
! 共通鍵をmilan米兰体育官网入口します。
!
(conf-isa-prof)#local-key SECRET-VPN!
!
! 基本milan米兰体育官网入口モードに戻ります。
!
(conf-isa-prof)#exit!
!
! IPSEC ポリシーをmilan米兰体育官网入口します。
!
(config)#crypto ipsec policy P2-POLICY!
!
! Diffie Hellmanのグループのmilan米兰体育官网入口します。
!
(conf-ipsec)#set pfs group14!
!
! IPsec SAのライフタイムのmilan米兰体育官网入口(秒)します。
!
(conf-ipsec)#milan米兰体育官网入口 lifetime seconds 28800!
!
! 鍵長をmilan米兰体育官网入口します。
!
(conf-ipsec)#milan米兰体育官网入口!
!
! 暗号化アルゴリズム、認証アルゴリズムをmilan米兰体育官网入口します。
!
(conf-ipsec)#milan米兰体育官网入口 esp-aes esp-sha256-hmac!
!
! 暗号化されたESPパケットの MTU 長をmilan米兰体育官网入口します。
!
!(conf-ipsec)#set mtu 1454!
!
! milan米兰体育官网入口ナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。
!
(conf-ipsec)#set ip df-bit 0!
!
! Post-Fragment 方式とします。*3!
(conf-ipsec)#set ip fragment post!
!
! 基本milan米兰体育官网入口モードに戻ります。
!
(conf-ipsec)#exit!
!
! 拠点のVPNピアとのセレクタ情報をエントリします。
!
(config)#crypto map KYOTEN ipsec-isakmp(config-crypto-map)#match address SELECTOR(config-crypto-map)#set isakmp-profile PROF0001(config-crypto-map)#exit!
!
! 拠点のtunnel インタフェースで有効にするVPNセレクタをmilan米兰体育官网入口します。
!
(config)#interface Tunnel 2(config-if-tun 2)#tunnel mode ipsec map KYOTEN(config-if-tun 2)#exit!
!
! 学習フィルタリングのmilan米兰体育官网入口をします。
!
(config)#access-list 111 deny ip any any(config)#access-list 121 spi ip any any!
(config)#interface tunnel 1(milan米兰体育官网入口)#ip access-milan米兰体育官网入口11 in(milan米兰体育官网入口)#ip access-milan米兰体育官网入口21 out(milan米兰体育官网入口)#exit!
!
! VPNで使用するパケットを受信許可するフィルタリングのmilan米兰体育官网入口をします。
!
(config)#access-list 100 permit udp any eq 500 any eq 500(config)#access-list 100 permit 50 any any!
(config)#interface tunnel 1(milan米兰体育官网入口)#ip access-milan米兰体育官网入口00 in(milan米兰体育官网入口)#exit!
!
! 特権ユーザモードに戻ります。
!
(config)#end!
!
! milan米兰体育官网入口を有効にするために refresh をします。
!
#refreshrefresh ok?[y/N]:yes
..................Done
!
!
! milan米兰体育官网入口を保存します。
! 任意の名前で保存して下さい(*2)。
!
#save [ファイル名]save ok?[y/N]:yes
% saving working-config
100% |*************************************************| xxx/ xxx ( Lines)
#
*1: 物理ポート番号のmilan米兰体育官网入口
*2: ファイル名を省略した場合、boot.cfgで保存されます。
装置起動時に適用するmilan米兰体育官网入口はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。
*3: インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。
それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
*4:特権ユーザモード移行時のパスワードは、初期状態ではmilan米兰体育官网入口されていません。
本milan米兰体育官网入口例のように、パスワード "super" を受け付けるようにするためには、あらかじめ特権ユーザモードにて
password enable super を実行しておくことが必要です。
コマンドmilan米兰体育官网入口の例
(!の行はコメントです。実際に入力する必要はありません。)
このmilan米兰体育官网入口を利用したい方は
拠点
!
!
! 特権ユーザモードに移行します。
!
> enablepassword:super *4←パスワードを入力します。(実際は表示されない)
!
!
! 基本milan米兰体育官网入口モードに移行します。
!
#configure terminal(config)#
!
!
! デフォルトルートを tunnel 1(PPPoE) にmilan米兰体育官网入口します。
!
(config)#ip route 0.0.0.0 0.0.0.0 tunnel 1!
!
! センタ宛の経路情報をtunnel 2(IPsecトンネル)にmilan米兰体育官网入口します。
!
(config)#ip route 192.168.1.0 255.255.255.0 tunnel 2!
!
!
! NAT で変換対象とする送信元アドレス
! (ここではLAN 側アドレスを対象とします)を登録します。
!
(config)#ip nat list 1 192.168.2.0 0.0.0.255!
!
! Port-channel にLAN側IPアドレスをmilan米兰体育官网入口します。
!
(config)#interface Port-channel 1(config-if-ch 1)#ip address 192.168.2.254 255.255.255.0(config-if-ch 1)#mss 1300(config-if-ch 1)#exit!
!
! PPPoEのmilan米兰体育官网入口をします。
! プロバイダから指定された 認証ID、パスワードなどをmilan米兰体育官网入口します。
!
(config)#pppoe profile PPPOE_PROF(config-pppoe-profile PPPOE_PROF)#account abc345@***.***.ne.jp zzzyyyxxx(config-pppoe-profile PPPOE_PROF)#exit!
!
! Tunnel インタフェースmilan米兰体育官网入口モードに移行します。
!
(config)#interface Tunnel 1(milan米兰体育官网入口)#description FLETS!
!
! NAT+ のmilan米兰体育官网入口をします。
!
(config-if-tun 1)#ip nat inside source list 1 interface!
!
! pppoe profile とのリンク付けをします。
!
(milan米兰体育官网入口)#tunnel mode pppoe profile PPPOE_PROF!
!
GigaEthernet milan米兰体育官网入口フェースとのリンク付けをします。
!
(config-if-tun 1)#pppoe interface gigaethernet 2/1 *1!
!
! 基本milan米兰体育官网入口モードに戻ります。
!
(config-if-tun 1)#exit!
!
! PPPoE 通信で使用する物理インタフェースをmilan米兰体育官网入口します。
!
(config)#interface GigaEthernet 2/1 *1(config-if-ge 2/1)#vlan-id 2(config-if-ge 2/1)#bridge-group 2(config-if-ge 2/1)#pppoe enable(config-if-ge 2/1)#exit!
!
! GigaEthernet milan米兰体育官网入口フェースに、port-channel をリンク付けします。
!
(config)#interface GigaEthernet 1/1 *1(config-if-ge 1/1)#vlan-id 1(config-if-ge 1/1)#bridge-milan米兰体育官网入口(config-if-ge 1/1)#channel-milan米兰体育官网入口(config-if-ge 1/1)#exit!
!
! VPNセレクタのmilan米兰体育官网入口を行ないます。
!
(config)#crypto ipsec selector SELECTOR(config-ip-selector)#src 1 ipv4 any(config-ip-selector)#dst 1 ipv4 any(config-ip-selector)#exit!
!
! DPDのmilan米兰体育官网入口をします。
!
(config)#milan米兰体育官网入口 keepalive!
!
! VPN通信動作中の詳細なログを残すmilan米兰体育官网入口にします。
!
(config)#milan米兰体育官网入口 sa(config)#milan米兰体育官网入口 session(config)#milan米兰体育官网入口 negotiation-fail!
(config)#logging buffer level informational!
!
! ISAKMP ポリシーのmilan米兰体育官网入口を行ないます。
!
(config)#milan米兰体育官网入口 policy P1-POLICY!
!
! 認証方式に事前共有鍵を使用します。
!
(config-isakmp)#authentication pre-share!
!
! 暗号方式のmilan米兰体育官网入口します。
!
(config-isakmp)#encryption aes!
!
! 鍵長をmilan米兰体育官网入口します。
!
(config-isakmp)#encryption-keysize aes 256 256 256!
!
! Diffie Hellmanのグループのmilan米兰体育官网入口します。
!
(config-isakmp)#milan米兰体育官网入口4!
!
! IKE SAのライフタイムのmilan米兰体育官网入口(秒)します。
!
(config-isakmp)#lifetime 86400!
!
! IKE SAのソフトリミットのmilan米兰体育官网入口(秒)します(*5)。
!
(conf-ipsec)#milan米兰体育官网入口 softlimit initiate seconds 30(conf-ipsec)#milan米兰体育官网入口 softlimit respond seconds 30!
!
! ハッシュ方式のmilan米兰体育官网入口します。
!
(config-isakmp)#hash sha-256!
!
! 基本milan米兰体育官网入口モードに戻ります。
!
(config-isakmp)#exit!
!
! センタ向けのISAKMP プロファイルをmilan米兰体育官网入口します。
!
(config)#milan米兰体育官网入口 profile PROF0001!
!
! ISAKMP ポリシーとリンク付けします。
!
(conf-isa-prof)#set isakmp-policy P1-POLICY!
!
! IPSEC ポリシーとリンク付けします。
!
(conf-isa-prof)#set ipsec-policy P2-POLICY!
!
! センタのWAN アドレスをmilan米兰体育官网入口します。
!
(conf-isa-prof)#set peer 192.0.2.1!
!
! 対向装置の識別方法をmilan米兰体育官网入口します。
!
(conf-isa-prof)#match identity user center!
!
! 本装置の識別方法をmilan米兰体育官网入口します。
!
(conf-isa-prof)#self-identity user-fqdn id-kyoten!
!
! IKE バージョンをmilan米兰体育官网入口します。
!
(conf-isa-prof)#ike-version 2!
!
! 共通鍵をmilan米兰体育官网入口します。
!
(conf-isa-prof)#local-key SECRET-VPN!
!
! 基本milan米兰体育官网入口モードに戻ります。
!
(conf-isa-prof)#exit!
!
! IPSEC ポリシーをmilan米兰体育官网入口します。
!
(config)#crypto ipsec policy P2-POLICY!
!
! Diffie Hellmanのグループのmilan米兰体育官网入口します。
!
(conf-ipsec)#set pfs group14!
!
! 常にSAを確立しておくmilan米兰体育官网入口をします。
!
(conf-ipsec)#milan米兰体育官网入口 always-up!
!
! IPsec SAのライフタイムのmilan米兰体育官网入口(秒)します。
!
(conf-ipsec)#milan米兰体育官网入口 lifetime seconds 28800!
!
! 鍵長をmilan米兰体育官网入口します。
!
(conf-ipsec)#milan米兰体育官网入口!
!
! 暗号化アルゴリズム、認証アルゴリズムをmilan米兰体育官网入口します。
!
(conf-ipsec)#milan米兰体育官网入口 esp-aes esp-sha256-hmac!
!
! 暗号化されたESPパケットの MTU 長をmilan米兰体育官网入口します。
!
!(conf-ipsec)#set mtu 1454!
!
! 暗号化されたESPパケットの MSS をmilan米兰体育官网入口します(*6)。
!
!(conf-ipsec)#set mss 1300!
!
! milan米兰体育官网入口ナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。
!
(conf-ipsec)#set ip df-bit 0!
!
! Post-Fragment 方式とします。*3!
(conf-ipsec)#set ip fragment post!
!
! 基本milan米兰体育官网入口モードに戻ります。
!
(conf-ipsec)#exit!
!
! センタのVPNピアとのセレクタ情報をエントリします。
!
(config)#crypto map CENTER ipsec-isakmp(config-crypto-map)#match address SELECTOR(config-crypto-map)#set isakmp-profile PROF0001(config-crypto-map)#exit!
!
! センタのtunnel インタフェースで有効にするVPNセレクタをmilan米兰体育官网入口します。
!
(config)#interface Tunnel 2(config-if-tun 2)#tunnel mode ipsec map CENTER(config-if-tun 2)#exit!
!
! 学習フィルタリングのmilan米兰体育官网入口をします。
!
(config)#access-list 111 deny ip any any(config)#access-list 121 spi ip any any!
(config)#interface tunnel 1(milan米兰体育官网入口)#ip access-milan米兰体育官网入口11 in(milan米兰体育官网入口)#ip access-milan米兰体育官网入口21 out(milan米兰体育官网入口)#exit!
!
! VPNで使用するパケットを受信許可するフィルタリングのmilan米兰体育官网入口をします。
!
(config)#access-list 100 permit udp any eq 500 any eq 500(config)#access-list 100 permit 50 any any!
(config)#interface tunnel 1(milan米兰体育官网入口)#ip access-milan米兰体育官网入口00 in(milan米兰体育官网入口)#exit!
!
! 特権ユーザモードに戻ります。
!
(config)#end!
!
! milan米兰体育官网入口を有効にするために refresh をします。
!
#refreshrefresh ok?[y/N]:yes
..................Done
!
!
! milan米兰体育官网入口を保存します。
! 任意の名前で保存して下さい(*2)。
!
#save [ファイル名]save ok?[y/N]:yes
% saving working-config
100% |*************************************************| xxx/ xxx ( Lines)
#
*1: 物理ポート番号のmilan米兰体育官网入口
*2: ファイル名を省略した場合、boot.cfgで保存されます。
装置起動時に適用するmilan米兰体育官网入口はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。
*3: インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。
それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
*4:特権ユーザモード移行時のパスワードは、初期状態ではmilan米兰体育官网入口されていません。
本milan米兰体育官网入口例のように、パスワード "super" を受け付けるようにするためには、あらかじめ特権ユーザモードにて
password enable super を実行しておくことが必要です。
*5:IKEv2の場合、Phase1削除時にPhase2が削除されます。Phase1リキー衝突による削除を防ぐため、拠点のみ
ソフトリミット30秒をmilan米兰体育官网入口します。
*6:IPsecトンネルの先のホストから送信されたDFビットつきのTCPパケットがPPPoE回線で破棄されてしまうような
ケースを考慮して、インナーのMTU長以下になるようにMSSの書き換えmilan米兰体育官网入口を行います。
センター経由でインターネット上のサーバと通信を行うような場合に、本milan米兰体育官网入口を推奨します。
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2019