RTシリーズとCISCOルータの相互接続のための設定例集
IPsec(Aggressive mode)での接続
新規作成日 | 2002/Dec/25 |
最終変更日 | 2002/Dec/25 |
文書サイズ | 8kB |
IPsec(Aggressive mode)での接続
PC2 | ------+------ 192.168.1.0/24 |.1 +-----------+ | Cisco3640 | IOS12.2.8T +-----------+ 172.16.2.1 | ‖ | ‖ ~~~ ‖ ~~~ ‖IPsec : ‖ ISDN回線 ‖ ↓ : ‖ IPCP : ‖ +---------+ | RT105i | Rev6.03.15 +---------+ |.1 ------+------ 192.168.0.0/24 | PC1 |
console prompt RT105i: ip lan1 address 192.168.0.1/24 pp select 1 pp bind bri1 isdn remote address call 02 pp auth accept pap chap pp auth myname rt yamaha ppp ipcp ipaddress on ip pp nat descriptor 1 pp enable 1 tunnel select 1 ipsec tunnel 101 tunnel enable 1 ip route default gateway pp 1 ip route 192.168.1.0/24 gateway tunnel 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.0.1 esp nat descriptor masquerade static 1 2 192.168.0.1 udp 500 ipsec auto refresh on ipsec ike local id 1 192.168.0.0/24 ............................... *1 ipsec ike local name 1 rtx@yamaha user-fqdn ....................... *2 ipsec ike pre-shared-key 1 text router ............................ *3 ipsec ike remote address 1 172.16.2.1 ............................. *4 ipsec ike remote id 1 192.168.1.0/24 .............................. *5 ipsec sa policy 101 1 esp des-cbc md5-hmac ........................ *6 |
*1 | IKEのフェーズ2で用いる自分側のIDを設定します。 |
*2 | 自分側のセキュリティゲートウェイの名前を設定します。 |
*3 | 事前共有鍵を設定します。 |
*4 | 相手側のセキュリティゲートウェイのIPアドレスを設定します。 |
*5 | IKEのフェーズ2で用いる相手側のIDを設定します。 |
*6 | セキュリティ・ゲートウェイに対するSAのポリシーを設定します。 |
hostname Cisco3640 ! aaa new-model ! aaa user profile rtx@yamaha ! aaa authorization network AGGRE local .......................... *7 aaa session-id common ! crypto isakmp policy 1 ......................................... *8 hash md5 authentication pre-share ! crypto isakmp client configuration group rtx@yamaha ............ *9 key router .................................................... *10 ! crypto ipsec transform-set DEFAULT esp-des esp-md5-hmac ....... *11 ! crypto dynamic-map Dmap 10 ..................................... *12 set transform-set DEFAULT ! crypto map LAB local-address FastEthernet0/1 ................... *13 crypto map LAB isakmp authorization list AGGRE ................. *14 crypto map LAB 10 ipsec-isakmp dynamic Dmap ................... *15 ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet0/1 ip address 172.16.2.1 255.255.255.0 crypto map LAB ................................................ *16 ! ip classless ip route 0.0.0.0 0.0.0.0 172.16.2.254 |
*7 | 鍵交換にて入手した情報の確認をルータに登録された内容("*9"、"*10")で行う設定にします。 |
*8 | 鍵交換の方式を設定します。 |
*9 | 相手側のセキュリティゲートウェイの名前を登録します。 |
*10 | "*9"で設定した相手との事前共有鍵を設定します。 |
*11 | セキュリティ・ゲートウェイに対するSAのポリシーを設定します。 |
*12 | IPアドレスが不定の相手と接続する設定をします。 |
*13 | 鍵交換時に使用する自分側のIPアドレスを設定します。 |
*14 | 鍵交換で入手した情報の正当性を確認する方法を指定します("*7"を指定しています)。 |
*15 | IPアドレスが不定の相手と接続する設定をします。 |
*16 | IPsecを使用するインタフェースに対し定義した設定を割り当てます。 |
|