[ 目次
/ ダイヤルアクセス
/ エコノミー
/ スタンダード
]
[ +VPN
/ +専用線
/ +ISDN
/ +フィルタ
/ files
]
新規作成日 | 1998/Jun/11 |
最終変更日 | 2018/Nov/06 |
文書サイズ | 30KB |
[ 条件、特徴など ]
[ VPNの条件など ]
[ ネットワーク設計 ]
OCNエコノミー 端末 端末 OCNエコノミー # : : # 専用線 # : 06-9999-9999/Celery: # 専用線 # :03-1111-1111/Tomato : # +---------+ +---------+ VPN +---------+ +---------+ | RT(A) | | RT(C) |?????????????| RT(D) | | RT(B) | +----+----+ +----+----+ +----+----+ +----+----+ | 〜.33 | 〜.42(43,44) | 〜.42(43,44) | 〜.33 ------+--------------+---------- -----------+--------------+----- | 172.16.184.32/28 172.16.186.32/28 | | | | 172.16.184.45 172.16.186.45 | +----+----+ +----+----+ | RT(E) | | RT(F) | +----+----+ +----+----+ | 192.168.0.1 192.168.1.1 | | 192.168.0.0/24 192.168.1.0/24 | ------+------------------------- --------------------------+-----
SGWアドレス1 | 172.16.184.42…RT(C) |
SGWアドレス2 | 172.16.186.42…RT(D) |
事前共有鍵 | "RT(C)-RT(D)間の事前共有鍵" |
トンネルモード | ESP, 暗号(des-cbc), 認証(md5-hmac) |
[ RT(A)の要件 ]
宛先/ネットマスク | 次のホップ | 生成コマンド |
---|---|---|
default | PP[LEASED] or PP[01] | ip pp route add net |
172.16.186.42/32 | PP[LEASED] or PP[01] | ip pp route add host |
172.16.186.32/28 | LAN1(172.16.184.42) | ip lan1 route add net |
192.168.1.0/24 | LAN1(172.16.184.42) | ip lan1 route add net |
172.16.184.32/28 | LAN1(172.16.184.33) | ip lan1 address |
192.168.0.0/24 | LAN1(172.16.184.45) | ip lan1 route add net |
<外側> …PPインタフェース側 +------------+ | ☆ | …外側アドレス (グローバル・アドレス) | ↑ | | | | | ▲ | …1組のIPマスカレード変換 | / \ | | ↑↑↑↑↑ | | ○○○○○ | …内側アドレス (プライベート・アドレス) +------------+ <内側> …ルーティング側
項目 | 内容 | 生成コマンド |
---|---|---|
適用インタフェース | PP[LEASED] PP[01] | pp select leased pp select 1 |
NAT | 使用する | nat use on |
IPマスカレード | 使用する | nat masqerade on |
グローバルIPアドレス | 172.16.184.46 | nat address global |
プライベートIPアドレス | 192.168.0.1〜192.168.0.254 | nat address private |
静的なNAT設定 | なし | nat address global |
静的IPマスカレード | なし |
項目 | 内容 | 生成コマンド |
---|---|---|
NATディスクリプタ番号 | 1 | |
タイプ | masquerade | nat descriptor type |
外側アドレス | 172.16.184.46 | nat descriptor outer address |
内側アドレス | 192.168.0.1-192.168.0.254 | nat descriptor inner address |
静的なNAT設定 | なし | nat descriptor static |
静的IPマスカレード | なし | nat descriptor masquerade static |
適用インタフェース | PP[LEASED] or PP[01] | ip pp nat descriptor |
# # RTに関する設定 # pp line l128 ip lan address 172.16.184.33/28 ip lan route add net 192.168.0.0/24 172.16.184.45 1 ip lan route add net 172.16.186.32/28 172.16.184.42 1 ip lan route add net 192.168.1.0/24 172.16.184.42 1 ip lan routing protocol none # # 接続相手(OCNエコノミー,専用線)に関する設定 # pp select leased ip pp route add net default 1 ip pp route add host 172.16.186.42 1 nat use on nat masquerade on nat address global 172.16.184.46 nat address private 192.168.0.1-192.168.0.254 pp enable leased # # RTに関する設定 # dns server "172.16.184.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
# # RTに関する設定 # bri line 1 l128 ip lan address 172.16.184.33/28 ip lan route add net 192.168.0.0/24 172.16.184.45 1 ip lan route add net 172.16.186.32/28 172.16.184.42 1 ip lan route add net 192.168.1.0/24 172.16.184.42 1 ip lan routing protocol none # # 接続相手(OCNエコノミー,専用線)に関する設定 # pp select 1 pp bind bri 1 ip pp route add net default 1 ip pp route add host 172.16.186.42 1 nat use on nat masquerade on nat address global 172.16.184.46 nat address private 192.168.0.1-192.168.0.254 pp enable 1 # # RTに関する設定 # dns server "172.16.184.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
[ RT(B)の要件 ]
宛先/ネットマスク | 次のホップ | 生成コマンド |
---|---|---|
default | PP[LEASED] or PP[01] | ip pp route add net |
172.16.184.42/32 | PP[LEASED] or PP[01] | ip pp route add host |
172.16.184.32/28 | LAN1(172.16.186.42) | ip lan1 route add net |
192.168.0.0/24 | LAN1(172.16.186.42) | ip lan1 route add net |
172.16.186.32/28 | LAN1(172.16.186.33) | ip lan1 address |
192.168.1.0/24 | LAN1(172.16.186.45) | ip lan1 route add net |
<外側> …PPインタフェース側 +------------+ | ☆ | …外側アドレス (グローバル・アドレス) | ↑ | | | | | ▲ | …1組のIPマスカレード変換 | / \ | | ↑↑↑↑↑ | | ○○○○○ | …内側アドレス (プライベート・アドレス) +------------+ <内側> …ルーティング側
項目 | 内容 | 生成コマンド |
---|---|---|
適用インタフェース | PP[LEASED] PP[01] | pp select leased pp select 1 |
NAT | 使用する | nat use on |
IPマスカレード | 使用する | nat masqerade on |
グローバルIPアドレス | 172.16.186.46 | nat address global |
プライベートIPアドレス | 192.168.1.1〜192.168.1.254 | nat address private |
静的なNAT設定 | なし | nat address global |
静的IPマスカレード | なし |
項目 | 内容 | 生成コマンド |
---|---|---|
NATディスクリプタ番号 | 1 | |
タイプ | masquerade | nat descriptor type |
外側アドレス | 172.16.186.46 | nat descriptor outer address |
内側アドレス | 192.168.1.1-192.168.1.254 | nat descriptor inner address |
静的なNAT設定 | なし | nat descriptor static |
静的IPマスカレード | なし | nat descriptor masquerade static |
適用インタフェース | PP[LEASED] or PP[01] | ip pp nat descriptor |
# # RTに関する設定 # pp line l128 ip lan address 172.16.186.33/28 ip lan route add net 192.168.1.0/24 172.16.186.45 1 ip lan route add net 172.16.184.32/28 172.16.186.42 1 ip lan route add net 192.168.0.0/24 172.16.186.42 1 ip lan routing protocol none # # 接続相手(OCNエコノミー,専用線)に関する設定 # pp select leased ip pp route add net default 1 ip pp route add host 172.16.184.42 1 nat use on nat masquerade on nat address global 172.16.186.46 nat address private 192.168.1.1-192.168.1.254 pp enable leased # # RTに関する設定 # dns server "172.16.186.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
# # RTに関する設定 # bri line 1 l128 ip lan address 172.16.186.33/28 ip lan route add net 192.168.1.0/24 172.16.186.45 1 ip lan route add net 172.16.184.32/28 172.16.186.42 1 ip lan route add net 192.168.0.0/24 172.16.186.42 1 ip lan routing protocol none # # 接続相手(OCNエコノミー,専用線)に関する設定 # pp select 1 pp bind bri 1 ip pp route add net default 1 ip pp route add host 172.16.184.42 1 nat use on nat masquerade on nat address global 172.16.186.46 nat address private 192.168.1.1-192.168.1.254 pp enable 1 # # RTに関する設定 # dns server "172.16.186.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
[ RT(C)の要件 ]
宛先/ネットマスク | 次のホップ | 生成コマンド |
---|---|---|
default | LAN1(172.16.184.33) | ip lan1 route add net |
172.16.186.42/32 | LAN1(172.16.184.33) | ip lan1 route add net |
172.16.186.32/28 | TUNNEL[01] | ip tunnel route add net |
192.168.1.0/24 | TUNNEL[01] | ip tunnel route add net |
172.16.184.32/28 | LAN1(172.16.184.42) | ip lan1 address |
192.168.0.0/24 | LAN1(172.16.184.45) | ip lan1 route add net |
172.16.184.43/32 | PP[ANONYMOUS] | ip pp remote address pool |
172.16.184.44/32 | PP[ANONYMOUS] | ip pp remote address pool |
SGW定義 | |
---|---|
SGWアドレス | 172.16.186.42 |
RT(A)-RT(B)事前共有鍵 | "RT(C)-RT(D)間の事前共有鍵" |
IPsecポリシーの定義 | |
ポリシー識別番号 | 101 |
形式 | ESP |
暗号 | des-cbc |
認証 | md5-hmac |
トンネルの定義 | |
トンネルIF番号 | 1 |
ボリシー番号 | 101 |
# # RTに関する設定 # isdn local address 03-1111-1111/Tomato ip lan address 172.16.184.42/28 ip lan route add net default 172.16.184.33 1 ip lan route add net 192.168.0.0/24 172.16.184.45 1 ip lan route add host 172.16.186.42 172.16.184.33 1 ip lan proxyarp on ip lan routing protocol none # # 鍵交換に関する設定 (IPsecリリース3) # ipsec auto refresh on ipsec ike remote address 1 172.16.186.42 !# !# 鍵交換に関する設定 (IPsecリリース1,2) !# !ipsec auto refresh on !ipsec ike host 172.16.186.42 # # トンネル(VPN)に関する設定 # ipsec pre-shared-key 172.16.186.42 "RT(C)-RT(D)間の事前共有鍵" ipsec sa policy 101 172.16.186.42 esp 3des-cbc sha-hmac # tunnel select 1 ip tunnel route add net 172.16.186.32/28 1 ip tunnel route add net 192.168.1.0/24 1 ipsec tunnel 101 tunnel enable 1 # # 接続相手に関する設定 # pp select anonymous ip pp remote address pool 172.16.184.43 172.16.184.44 pp auth request chap-pap pp auth username "接続ユーザ名#C1" "接続パスワード#C1" pp auth username "接続ユーザ名#C2" "接続パスワード#C2" pp auth username "接続ユーザ名#C3" "接続パスワード#C3" pp auth username "接続ユーザ名#C4" "接続パスワード#C4" : : メモリの許す限り必要なだけ続けて書く(書ける) : ppp ipcp msext on pp enable anonymous # # RTに関する設定 # dns server "172.16.184.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
# # RTに関する設定 # bri local address 1 03-1111-1111/Tomato ip lan address 172.16.184.42/28 ip lan route add net default 172.16.184.33 1 ip lan route add net 192.168.0.0/24 172.16.184.45 1 ip lan route add host 172.16.186.42 172.16.184.33 1 ip lan proxyarp on ip lan routing protocol none # # 鍵交換に関する設定 (IPsecリリース3) # ipsec auto refresh on ipsec ike remote address 1 172.16.186.42 !# !# 鍵交換に関する設定 (IPsecリリース1,2) !# !ipsec auto refresh on !ipsec ike host 172.16.186.42 # # トンネル(VPN)に関する設定 # ipsec pre-shared-key 172.16.186.42 "RT(C)-RT(D)間の事前共有鍵" ipsec sa policy 101 172.16.186.42 esp 3des-cbc sha-hmac # tunnel select 1 ip tunnel route add net 172.16.186.32/28 1 ip tunnel route add net 192.168.1.0/24 1 ipsec tunnel 101 tunnel enable 1 # # 接続相手に関する設定 # pp select anonymous pp bind bri 1 ip pp remote address pool 172.16.184.43 172.16.184.44 pp auth request chap-pap pp auth username "接続ユーザ名#C1" "接続パスワード#C1" pp auth username "接続ユーザ名#C2" "接続パスワード#C2" pp auth username "接続ユーザ名#C3" "接続パスワード#C3" pp auth username "接続ユーザ名#C4" "接続パスワード#C4" : : メモリの許す限り必要なだけ続けて書く(書ける) : ppp ipcp msext on pp enable anonymous # # RTに関する設定 # dns server "172.16.184.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
[ RT(D)の要件 ]
宛先/ネットマスク | 次のホップ | 生成コマンド |
---|---|---|
default | LAN1(172.16.186.33) | ip lan1 route add net |
172.16.184.42/32 | LAN1(172.16.186.33) | ip lan1 route add host |
172.16.184.32/28 | TUNNEL[01] | ip tunnel route add net |
192.168.0.0/24 | TUNNEL[01] | ip tunnel route add net |
172.16.186.32/28 | LAN1(172.16.186.42) | ip lan1 address |
192.168.1.0/24 | LAN1(172.16.186.45) | ip lan1 route add net |
172.16.186.43/32 | PP[ANONYMOUS] | ip pp remote address pool |
172.16.186.44/32 | PP[ANONYMOUS] | ip pp remote address pool |
SGW定義 | |
---|---|
SGWアドレス | 172.16.184.42 |
RT(A)-RT(B)事前共有鍵 | "RT(C)-RT(D)間の事前共有鍵" |
IPsecポリシーの定義 | |
ポリシー識別番号 | 101 |
形式 | ESP |
暗号 | des-cbc |
認証 | md5-hmac |
トンネルの定義 | |
トンネルIF番号 | 1 |
ボリシー番号 | 101 |
# # RTに関する設定 # isdn local address 06-9999-9999/Celery ip lan address 172.16.186.42/28 ip lan route add net default 172.16.186.33 1 ip lan route add host 172.16.184.42 172.16.186.33 1 ip lan route add net 192.168.1.0/24 172.16.186.45 1 ip lan proxyarp on ip lan routing protocol none # # 鍵交換に関する設定 (IPsecリリース3) # ipsec auto refresh on ipsec ike remote address 1 172.16.184.42 !# !# 鍵交換に関する設定 (IPsecリリース1,2) !# !ipsec auto refresh on !ipsec ike host 172.16.184.42 # # トンネル(VPN)に関する設定 # ipsec pre-shared-key 172.16.184.42 "RT(C)-RT(D)間の事前共有鍵" ipsec sa policy 101 172.16.184.42 esp 3des-cbc sha-hmac # tunnel select 1 ip tunnel route add net 172.16.184.32/28 1 ip tunnel route add net 192.168.0.0/24 1 ipsec tunnel 101 tunnel enable 1 # # 接続相手に関する設定 # pp select anonymous ip pp remote address pool 172.16.186.43 172.16.186.44 pp auth request chap-pap pp auth username "接続ユーザ名#D1" "接続パスワード#D1" pp auth username "接続ユーザ名#D2" "接続パスワード#D2" pp auth username "接続ユーザ名#D3" "接続パスワード#D3" pp auth username "接続ユーザ名#D4" "接続パスワード#D4" : : メモリの許す限り必要なだけ続けて書く(書ける) : ppp ipcp msext on pp enable anonymous # # RTに関する設定 # dns server "172.16.186.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
# # RTに関する設定 # bri local address 1 06-9999-9999/Celery ip lan address 172.16.186.42/28 ip lan route add net default 172.16.186.33 1 ip lan route add host 172.16.184.42 172.16.186.33 1 ip lan route add net 192.168.1.0/24 172.16.186.45 1 ip lan proxyarp on ip lan routing protocol none # # 鍵交換に関する設定 (IPsecリリース3) # ipsec auto refresh on ipsec ike remote address 1 172.16.184.42 !# !# 鍵交換に関する設定 (IPsecリリース1,2) !# !ipsec auto refresh on !ipsec ike host 172.16.184.42 # # トンネル(VPN)に関する設定 # ipsec pre-shared-key 172.16.184.42 "RT(C)-RT(D)間の事前共有鍵" ipsec sa policy 101 172.16.184.42 esp 3des-cbc sha-hmac # tunnel select 1 ip tunnel route add net 172.16.184.32/28 1 ip tunnel route add net 192.168.0.0/24 1 ipsec tunnel 101 tunnel enable 1 # # 接続相手に関する設定 # pp select anonymous pp bind bri 1 ip pp remote address pool 172.16.186.43 172.16.186.44 pp auth request chap-pap pp auth username "接続ユーザ名#D1" "接続パスワード#D1" pp auth username "接続ユーザ名#D2" "接続パスワード#D2" pp auth username "接続ユーザ名#D3" "接続パスワード#D3" pp auth username "接続ユーザ名#D4" "接続パスワード#D4" : : メモリの許す限り必要なだけ続けて書く(書ける) : ppp ipcp msext on pp enable anonymous # # RTに関する設定 # dns server "172.16.186.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
[ RT(E)の要件 ]
宛先/ネットマスク | 次のホップ | 生成コマンド |
---|---|---|
default | LAN1(172.16.184.33) | ip lan1 route add net |
172.16.186.42/32 | LAN1(172.16.184.33) | ip lan1 route add host |
172.16.186.32/28 | LAN1(172.16.184.42) | ip lan1 route add net |
192.168.1.0/24 | LAN1(172.16.184.42) | ip lan1 route add net |
172.16.184.32/28 | LAN1(172.16.184.45) | ip lan1 address |
192.168.0.0/24 | LAN2(192.168.0.1) | ip lan2 address |
# # RTに関する設定 # bri line 1 l128 ip lan1 address 172.16.184.45/28 ip lan1 route add net default 172.16.184.33 1 ip lan1 route add net 172.16.186.32/28 172.16.184.42 1 ip lan1 route add net 192.168.1.0/24 172.16.184.42 1 ip lan1 route add host 172.16.186.42 172.16.184.33 1 ip lan1 routing protocol none ip lan2 address 192.168.0.1/24 ip lan2 routing protocol none # # 保存と再起動 # save restart
[ RT(F)の要件 ]
宛先/ネットマスク | 次のホップ | 生成コマンド |
---|---|---|
default | LAN1(172.16.186.33) | ip lan1 route add net |
172.16.184.42/32 | LAN1(172.16.186.33) | ip lan1 route add host |
172.16.184.32/28 | LAN1(172.16.186.42) | ip lan1 route add net |
192.168.0.0/24 | LAN1(172.16.186.42) | ip lan1 route add net |
172.16.186.32/28 | LAN1(172.16.186.45) | ip lan1 address |
192.168.1.0/24 | LAN2(192.168.1.1) | ip lan2 address |
# # RTに関する設定 # bri line 1 l128 ip lan1 address 172.16.186.45/28 ip lan1 route add net default 172.16.186.33 1 ip lan1 route add net 172.16.184.32/28 172.16.186.42 1 ip lan1 route add net 192.168.0.0/24 172.16.186.42 1 ip lan1 route add host 172.16.184.42 172.16.186.33 1 ip lan1 routing protocol none ip lan2 address 192.168.1.1/24 ip lan2 routing protocol none # # 保存と再起動 # save restart
IPsecリリースによる仕様の違いを明示することとします。
IPsecリリース1やIPsecリリース2からIPsecリリース3に移行する場合は、 「セキュリティ・ゲートウェイ機能とIPsec」の 「IPsecリリース3への設定変更の手引き」を参考にしてください。
Rev.4.00.33から追加されたダイヤルアップVPN機能により、ipsec pre-shared-keyコマンドの仕様変更 があり、コマンドもipsec ike pre-shared-keyへと変更されました。
Rev.4.00.33以降のファームウェアの場合は、 ipsec pre-shared-keyコマンドの代りにipsec ike pre-shared-keyコマンドを 設定してください。
[ 目次
/ ダイヤルアクセス
/ エコノミー
/ スタンダード
]
[ +VPN
/ +専用線
/ +ISDN
/ +フィルタ
/ files
]
|