RTシリーズとNETSCREEN製品の相互接続のための設定例集
IPsec(Aggressive mode)での接続
新規作成日 | 2002/Jul/22 |
最終変更日 | 2002/Jul/22 |
文書サイズ | 8kB |
IPsec(Aggressive mode)での接続
PC2 | ------+------ 192.168.1.0/24 |.1 +-------------+ |NETSCREEN-5XP| SW Version 3.0.2r3.0 +-------------+ 172.16.2.1 | ‖ | ‖ ~~~ ‖ ~~~ ‖IPsec : ‖ ISDN回線 ‖ ↓ : ‖ IPCP : ‖ +---------+ | RT105i | Rev6.03.08 +---------+ |.1 ------+------ 192.168.0.0/24 | PC1 |
console prompt RT105i: ip lan1 address 192.168.0.1/24 isdn local address bri1 01 pp select 1 pp bind bri1 isdn remote address call 02 pp auth accept pap chap pp auth myname RT Yamaha ppp ipcp ipaddress on pp enable 1 tunnel select 1 ipsec tunnel 101 tunnel enable 1 ip route default gateway pp 1 ip route 192.168.1.0/24 gateway tunnel 1 ipsec auto refresh on ipsec ike duration ipsec-sa 1 3600 .................................. *1 ipsec ike encryption 1 3des-cbc ..................................... *1 ipsec ike group 1 modp1024 .......................................... *1 ipsec ike hash 1 md5 ................................................ *1 ipsec ike local id 1 192.168.0.0/24 ................................. *2 ipsec ike local name 1 RT105i@yamaha.com user-fqdn .................. *3 ipsec ike pre-shared-key 1 text TEST ................................ *4 ipsec ike remote address 1 172.16.2.1 ............................... *5 ipsec ike remote id 1 192.168.1.0/24 ................................ *6 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ......................... *7 |
*1 | NETSCREEN-5XPの動作に合わせ各パラメータを設定します。 |
*2 | IKEのフェーズ2で用いる自分側のIDを設定します。 |
*3 | 自分側のセキュリティゲートウェイの名前を設定します。 |
*4 | 事前共有鍵を設定します。 |
*5 | 相手側のセキュリティゲートウェイのIPアドレスを設定します。 |
*6 | IKEのフェーズ2で用いる相手側のIDを設定します。 |
*7 | セキュリティ・ゲートウェイに対するSAのポリシーを設定します。 |
set interface trust ip 192.168.1.1 255.255.255.0 set interface untrust ip 172.16.2.1 255.255.255.0 set interface untrust gateway 172.16.2.254 set interface trust manage ping set interface untrust manage ping set address untrust "OUTSIDE" 192.168.0.0 255.255.255.0 set address trust "INSIDE" 192.168.1.0 255.255.255.0 set ike gateway "to-YAMAHA" ip 0.0.0.0 id "RT105i@yamaha.com" Aggr preshare "TEST" proposal "pre-g2-3des-md5" .. *8 unset ike gateway "to-YAMAHA" nat-traversal set vpn "RT-NETSCREEN" id 1 gateway "to-YAMAHA" replay tunnel idletime 0 proposal "nopfs-esp-3des-md5" ......... *9 set vpn "RT-NETSCREEN" monitor set ike id-mode subnet set policy id 0 outgoing "INSIDE" "OUTSIDE" "ANY" Tunnel vpn "RT-NETSCREEN" id 2 log count ..................... *10 set policy id 1 incoming "OUTSIDE" "INSIDE" "ANY" Tunnel vpn "RT-NETSCREEN" id 2 log count ..................... *10 |
*8 | IKEのフェーズ1で使用するパラメータを設定します(ブラウザ設定では、VPN→Gateway(P1)画面)。 |
*9 | IKEのフェーズ2で使用するパラメータを設定します(ブラウザ設定では、VPN→AutoKey(P2)画面)。 |
*10 | IPsec Tunnelを使用した通信を行うパケットを設定します(ブラウザ設定では、Policy→Incoming/Outgoing画面)。 |
|