[ 目次
/ ダイヤルアクセス
/ エコノミー
/ スタンダード
]
[ +VPN
/ +専用線
/ +ISDN
/ +フィルタ
/ files
]
新規作成日 | 1998/Jun/11 |
最終変更日 | 2018/Nov/06 |
文書サイズ | 29KB |
[ 条件、特徴など ]
[ VPNの条件など ]
[ ネットワーク設計 ]
----------+----------------------- ----------+----------------------- | 192.168.0.0/24(p) | 192.168.1.0/24(p) | 172.16.184.32/28(g) | 172.16.186.32/28(g) | 192.168.0.1(2) | 192.168.1.1(2) | 172.16.184.33(1) | 172.16.186.33(1) +---------+---------+ +---------+---------+ | [LAN] | | [LAN] | | | | | | RT(A) | | RT(B) | | | | | | [BRI] [tunnel] | | [tunnel] [BRI] | +-------------------+ +-------------------+ # ? ? ? # OCNエコノミー ? ????????????????????????? OCNエコノミー ? VPN(1) ? VPN(2) ?????????????? ? OCNエコノミー ? # ? +-------------------+ | [BRI] [tunnel] | | | | RT(C) | | | | [LAN] | +---------+---------+ | 172.16.188.33(1) | 192.168.2.1(2) | 172.16.188.32/28(g) | 192.168.2.0/24(p) ----------+-----------------------
SGWアドレス1 | 172.16.184.33…RT(A) |
SGWアドレス2 | 172.16.186.33…RT(B) |
事前共有鍵 | "RT(A)-RT(B)間の事前共有鍵" |
トンネルモード | ESP, 暗号(des-cbc), 認証(md5-hmac) |
SGWアドレス1 | 172.16.184.33…RT(A) |
SGWアドレス3 | 172.16.188.33…RT(C) |
事前共有鍵 | "RT(A)-RT(C)間の事前共有鍵" |
トンネルモード | ESP, 暗号(des-cbc), 認証(md5-hmac) |
RT(A)を経由した通信をする。
VPN(1)+VPN(2)。
[ RT(A)の要件 ]
宛先/ネットマスク | 次のホップ | 生成コマンド |
---|---|---|
default | PP[LEASED] or PP[01] | ip pp route add net |
172.16.186.33 | PP[LEASED] or PP[01] | ip pp route add host |
172.16.188.33 | PP[LEASED] or PP[01] | ip pp route add host |
172.16.186.32/28 | TUNNEL[01] | ip tunnel route add net |
192.168.1.0/24 | TUNNEL[01] | ip tunnel route add net |
172.16.188.32/28 | TUNNEL[02] | ip tunnel route add net |
192.168.2.0/24 | TUNNEL[02] | ip tunnel route add net |
172.16.184.32/28 | LAN1(172.16.184.33) | ip lan1 address |
192.168.0.0/24 | LAN1(192.168.0.1) | ip lan1 secondary address |
<外側> …PPインタフェース側 +------------+ | ☆ | …外側アドレス (グローバル・アドレス) | ↑ | | | | | ▲ | …1組のIPマスカレード変換 | / \ | | ↑↑↑↑↑ | | ○○○○○ | …内側アドレス (プライベート・アドレス) +------------+ <内側> …ルーティング側
項目 | 内容 | 生成コマンド |
---|---|---|
適用インタフェース | PP[LEASED] PP[01] | pp select leased pp select 1 |
NAT | 使用する | nat use on |
IPマスカレード | 使用する | nat masqerade on |
グローバルIPアドレス | 172.16.184.46 | nat address global |
プライベートIPアドレス | 192.168.0.1〜192.168.0.254 | nat address private |
静的なNAT設定 | なし | nat address global |
静的IPマスカレード | なし |
項目 | 内容 | 生成コマンド |
---|---|---|
NATディスクリプタ番号 | 1 | |
タイプ | masquerade | nat descriptor type |
外側アドレス | 172.16.184.46 | nat descriptor outer address |
内側アドレス | 192.168.0.1-192.168.0.254 | nat descriptor inner address |
静的なNAT設定 | なし | nat descriptor static |
静的IPマスカレード | なし | nat descriptor masquerade static |
適用インタフェース | PP[LEASED] or PP[01] | ip pp nat descriptor |
SGW定義 | |
---|---|
SGWアドレス | 172.16.186.33 |
RT(A)-RT(B)事前共有鍵 | "RT(A)-RT(B)間の事前共有鍵" |
SGW定義 | |
SGWアドレス | 172.16.188.33 |
RT(A)-RT(C)事前共有鍵 | "RT(A)-RT(C)間の事前共有鍵" |
IPsecポリシーの定義 | |
ポリシー識別番号 | 101 |
形式 | ESP |
暗号 | des-cbc |
認証 | md5-hmac |
IPsecポリシーの定義 | |
ポリシー識別番号 | 102 |
形式 | ESP |
暗号 | des-cbc |
認証 | md5-hmac |
トンネルの定義 | |
トンネルIF番号 | 1 |
ボリシー番号 | 101 |
トンネルの定義 | |
トンネルIF番号 | 2 |
ボリシー番号 | 102 |
# # RTに関する設定 # pp line l128 ip lan address 172.16.184.33/28 ip lan secondary address 192.168.0.1/24 ip lan routing protocol none # # 鍵交換に関する設定 (IPsecリリース3) # ipsec auto refresh on ipsec ike remote address 1 172.16.186.33 ipsec ike remote address 2 172.16.188.33 !# !# 鍵交換に関する設定 (IPsecリリース1,2) !# !ipsec auto refresh on !ipsec ike host 172.16.186.33 172.16.188.33 # # トンネル(VPN-1)に関する設定 # ipsec pre-shared-key 172.16.186.33 "RT(A)-RT(B)間の事前共有鍵" ipsec sa policy 101 172.16.186.33 esp 3des-cbc sha-hmac # tunnel select 1 ip tunnel route add net 172.16.186.32/28 1 ip tunnel route add net 192.168.1.0/24 1 ipsec tunnel 101 tunnel enable 1 # # トンネル(VPN-2)に関する設定 # ipsec pre-shared-key 172.16.188.33 "RT(A)-RT(C)間の事前共有鍵" ipsec sa policy 102 172.16.188.33 esp 3des-cbc sha-hmac # tunnel select 2 ip tunnel route add net 172.16.188.32/28 1 ip tunnel route add net 192.168.2.0/24 1 ipsec tunnel 102 tunnel enable 2 # # 接続相手(OCNエコノミー,専用線)に関する設定 # pp select leased ip pp route add net default 1 ip pp route add host 172.16.186.33 1 ip pp route add host 172.16.188.33 1 nat use on nat masquerade on nat address global 172.16.184.46 nat address private 192.168.0.1-192.168.0.254 pp enable leased # # RTに関する設定 # dns server "172.16.184.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
# # RTに関する設定 # bri line 1 l128 ip lan address 172.16.184.33/28 ip lan secondary address 192.168.0.1/24 ip lan routing protocol none # # 鍵交換に関する設定 (IPsecリリース3) # ipsec auto refresh on ipsec ike remote address 1 172.16.186.33 ipsec ike remote address 2 172.16.188.33 !# !# 鍵交換に関する設定 (IPsecリリース1,2) !# !ipsec auto refresh on !ipsec ike host 172.16.186.33 172.16.188.33 # # トンネル(VPN-1)に関する設定 # ipsec pre-shared-key 172.16.186.33 "RT(A)-RT(B)間の事前共有鍵" ipsec sa policy 101 172.16.186.33 esp 3des-cbc sha-hmac # tunnel select 1 ip tunnel route add net 172.16.186.32/28 1 ip tunnel route add net 192.168.1.0/24 1 ipsec tunnel 101 tunnel enable 1 # # トンネル(VPN-2)に関する設定 # ipsec pre-shared-key 172.16.188.33 "RT(A)-RT(C)間の事前共有鍵" ipsec sa policy 102 172.16.188.33 esp 3des-cbc sha-hmac # tunnel select 2 ip tunnel route add net 172.16.188.32/28 1 ip tunnel route add net 192.168.2.0/24 1 ipsec tunnel 102 tunnel enable 2 # # 接続相手(OCNエコノミー,専用線)に関する設定 # pp select 1 pp bind bri 1 ip pp route add net default 1 ip pp route add host 172.16.186.33 1 ip pp route add host 172.16.188.33 1 nat use on nat masquerade on nat address global 172.16.184.46 nat address private 192.168.0.1-192.168.0.254 pp enable 1 # # RTに関する設定 # dns server "172.16.184.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
[ RT(B)の要件 ]
宛先/ネットマスク | 次のホップ | 生成コマンド |
---|---|---|
default | PP[LEASED] or PP[01] | ip pp route add net |
172.16.184.33 | PP[LEASED] or PP[01] | ip pp route add host |
172.16.184.32/28 | TUNNEL[01] | ip tunnel route add net |
192.168.0.0/24 | TUNNEL[01] | ip tunnel route add net |
172.16.188.32/28 | TUNNEL[01] | ip tunnel route add net |
192.168.2.0/24 | TUNNEL[01] | ip tunnel route add net |
172.16.186.32/28 | LAN1(172.16.186.33) | ip lan1 address |
192.168.1.0/24 | LAN1(192.168.1.1) | ip lan1 secondary address |
<外側> …PPインタフェース側 +------------+ | ☆ | …外側アドレス (グローバル・アドレス) | ↑ | | | | | ▲ | …1組のIPマスカレード変換 | / \ | | ↑↑↑↑↑ | | ○○○○○ | …内側アドレス (プライベート・アドレス) +------------+ <内側> …ルーティング側
項目 | 内容 | 生成コマンド |
---|---|---|
適用インタフェース | PP[LEASED] PP[01] | pp select leased pp select 1 |
NAT | 使用する | nat use on |
IPマスカレード | 使用する | nat masqerade on |
グローバルIPアドレス | 172.16.186.46 | nat address global |
プライベートIPアドレス | 192.168.1.1〜192.168.1.254 | nat address private |
静的なNAT設定 | なし | nat address global |
静的IPマスカレード | なし |
項目 | 内容 | 生成コマンド |
---|---|---|
NATディスクリプタ番号 | 1 | |
タイプ | masquerade | nat descriptor type |
外側アドレス | 172.16.186.46 | nat descriptor outer address |
内側アドレス | 192.168.1.1-192.168.1.254 | nat descriptor inner address |
静的なNAT設定 | なし | nat descriptor static |
静的IPマスカレード | なし | nat descriptor masquerade static |
適用インタフェース | PP[LEASED] or PP[01] | ip pp nat descriptor |
SGW定義 | |
---|---|
SGWアドレス | 172.16.184.33 |
RT(A)-RT(B)事前共有鍵 | "RT(A)-RT(B)間の事前共有鍵" |
IPsecポリシーの定義 | |
ポリシー識別番号 | 101 |
形式 | ESP |
暗号 | des-cbc |
認証 | md5-hmac |
トンネルの定義 | |
トンネルIF番号 | 1 |
ボリシー番号 | 101 |
# # RTに関する設定 # pp line l128 ip lan address 172.16.186.33/28 ip lan secondary address 192.168.1.1/24 ip lan routing protocol none # # 鍵交換に関する設定 (IPsecリリース3) # ipsec auto refresh on ipsec ike remote address 172.16.184.33 !# !# 鍵交換に関する設定 (IPsecリリース1,2) !# !ipsec auto refresh on !ipsec ike host 172.16.184.33 # # トンネル(VPN-1)に関する設定 # ipsec pre-shared-key 172.16.184.33 "RT(A)-RT(B)間の事前共有鍵" ipsec sa policy 101 172.16.184.33 esp 3des-cbc sha-hmac # tunnel select 1 ip tunnel route add net 172.16.184.32/28 1 ip tunnel route add net 192.168.0.0/24 1 ip tunnel route add net 172.16.188.32/28 1 ip tunnel route add net 192.168.2.0/24 1 ipsec tunnel 101 tunnel enable 1 # # 接続相手(OCNエコノミー,専用線)に関する設定 # pp select leased ip pp route add net default 1 ip pp route add host 172.16.184.33 1 nat use on nat masquerade on nat address global 172.16.186.46 nat address private 192.168.1.1-192.168.1.254 pp enable leased # # RTに関する設定 # dns server "172.16.186.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
# # RTに関する設定 # bri line 1 l128 ip lan address 172.16.186.33/28 ip lan secondary address 192.168.1.1/24 ip lan routing protocol none # # 鍵交換に関する設定 (IPsecリリース3) # ipsec auto refresh on ipsec ike remote address 172.16.184.33 !# !# 鍵交換に関する設定 (IPsecリリース1,2) !# !ipsec auto refresh on !ipsec ike host 172.16.184.33 # # トンネル(VPN-1)に関する設定 # ipsec pre-shared-key 172.16.184.33 "RT(A)-RT(B)間の事前共有鍵" ipsec sa policy 101 172.16.184.33 esp 3des-cbc sha-hmac # tunnel select 1 ip tunnel route add net 172.16.184.32/28 1 ip tunnel route add net 192.168.0.0/24 1 ip tunnel route add net 172.16.188.32/28 1 ip tunnel route add net 192.168.2.0/24 1 ipsec tunnel 101 tunnel enable 1 # # 接続相手(OCNエコノミー,専用線)に関する設定 # pp select 1 pp bind bri 1 ip pp route add net default 1 ip pp route add host 172.16.184.33 1 nat use on nat masquerade on nat address global 172.16.186.46 nat address private 192.168.1.1-192.168.1.254 pp enable 1 # # RTに関する設定 # dns server "172.16.186.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
[ RT(C)の要件 ]
宛先/ネットマスク | 次のホップ | 生成コマンド |
---|---|---|
default | PP[LEASED] or PP[01] | ip pp route add net |
172.16.184.33 | PP[LEASED] or PP[01] | ip pp route add host |
172.16.184.32/28 | TUNNEL[01] | ip tunnel route add net |
192.168.0.0/24 | TUNNEL[01] | ip tunnel route add net |
172.16.186.32/28 | TUNNEL[01] | ip tunnel route add net |
192.168.1.0/24 | TUNNEL[01] | ip tunnel route add net |
172.16.188.32/28 | LAN1(172.16.186.33) | ip lan1 address |
192.168.2.0/24 | LAN1(192.168.1.1) | ip lan1 secondary address |
<外側> …PPインタフェース側 +------------+ | ☆ | …外側アドレス (グローバル・アドレス) | ↑ | | | | | ▲ | …1組のIPマスカレード変換 | / \ | | ↑↑↑↑↑ | | ○○○○○ | …内側アドレス (プライベート・アドレス) +------------+ <内側> …ルーティング側
項目 | 内容 | 生成コマンド |
---|---|---|
適用インタフェース | PP[LEASED] PP[01] | pp select leased pp select 1 |
NAT | 使用する | nat use on |
IPマスカレード | 使用する | nat masqerade on |
グローバルIPアドレス | 172.16.188.46 | nat address global |
プライベートIPアドレス | 192.168.2.1〜192.168.2.254 | nat address private |
静的なNAT設定 | なし | nat address global |
静的IPマスカレード | なし |
項目 | 内容 | 生成コマンド |
---|---|---|
NATディスクリプタ番号 | 1 | |
タイプ | masquerade | nat descriptor type |
外側アドレス | 172.16.188.46 | nat descriptor outer address |
内側アドレス | 192.168.2.1-192.168.2.254 | nat descriptor inner address |
静的なNAT設定 | なし | nat descriptor static |
静的IPマスカレード | なし | nat descriptor masquerade static |
適用インタフェース | PP[LEASED] or PP[01] | ip pp nat descriptor |
SGW定義 | |
---|---|
SGWアドレス | 172.16.184.33 |
RT(A)-RT(B)事前共有鍵 | "RT(A)-RT(C)間の事前共有鍵" |
IPsecポリシーの定義 | |
ポリシー識別番号 | 102 |
形式 | ESP |
暗号 | des-cbc |
認証 | md5-hmac |
トンネルの定義 | |
トンネルIF番号 | 1 |
ボリシー番号 | 102 |
# # RTに関する設定 # pp line l128 ip lan address 172.16.188.33/28 ip lan secondary address 192.168.2.1/24 ip lan routing protocol none # # 鍵交換に関する設定 (IPsecリリース3) # ipsec auto refresh on ipsec ike remote address 172.16.184.33 !# !# 鍵交換に関する設定 (IPsecリリース1,2) !# !ipsec auto refresh on !ipsec ike host 172.16.184.33 # # トンネル(VPN-2)に関する設定 # ipsec pre-shared-key 172.16.184.33 "RT(A)-RT(C)間の事前共有鍵" ipsec sa policy 102 172.16.184.33 esp 3des-cbc sha-hmac # tunnel select 1 ip tunnel route add net 172.16.184.32/28 1 ip tunnel route add net 192.168.0.0/24 1 ip tunnel route add net 172.16.186.32/28 1 ip tunnel route add net 192.168.1.0/24 1 ipsec tunnel 102 tunnel enable 1 # # 接続相手(OCNエコノミー,専用線)に関する設定 # pp select leased ip pp route add net default 1 ip pp route add host 172.16.184.33 1 nat use on nat masquerade on nat address global 172.16.188.46 nat address private 192.168.2.1-192.168.2.254 pp enable leased # # RTに関する設定 # dns server "172.16.188.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
# # RTに関する設定 # bri line 1 l128 ip lan address 172.16.188.33/28 ip lan secondary address 192.168.2.1/24 ip lan routing protocol none # # 鍵交換に関する設定 (IPsecリリース3) # ipsec auto refresh on ipsec ike remote address 172.16.184.33 !# !# 鍵交換に関する設定 (IPsecリリース1,2) !# !ipsec auto refresh on !ipsec ike host 172.16.184.33 # # トンネル(VPN-2)に関する設定 # ipsec pre-shared-key 172.16.184.33 "RT(A)-RT(C)間の事前共有鍵" ipsec sa policy 102 172.16.184.33 esp 3des-cbc sha-hmac # tunnel select 1 ip tunnel route add net 172.16.184.32/28 1 ip tunnel route add net 192.168.0.0/24 1 ip tunnel route add net 172.16.186.32/28 1 ip tunnel route add net 192.168.1.0/24 1 ipsec tunnel 102 tunnel enable 1 # # 接続相手(OCNエコノミー,専用線)に関する設定 # pp select 1 pp bind bri 1 ip pp route add net default 1 ip pp route add host 172.16.184.33 1 nat use on nat masquerade on nat address global 172.16.188.46 nat address private 192.168.2.1-192.168.2.254 pp enable 1 # # RTに関する設定 # dns server "172.16.188.34" dns domain "ドメイン名" # # 保存と再起動 # save restart
Question & Answer
IPsecリリースによる仕様の違いを明示することとします。
IPsecリリース1やIPsecリリース2からIPsecリリース3に移行する場合は、 「セキュリティ・ゲートウェイ機能とIPsec」の 「IPsecリリース3への設定変更の手引き」を参考にしてください。
Rev.4.00.33から追加されたダイヤルアップVPN機能により、ipsec pre-shared-keyコマンドの仕様変更 があり、コマンドもipsec ike pre-shared-keyへと変更されました。
Rev.4.00.33以降のファームウェアの場合は、 ipsec pre-shared-keyコマンドの代りにipsec ike pre-shared-keyコマンドを 設定してください。
「pingが通るか通らないか?」という判断もありますが、 パケットが流れる経路を片道づつ検討します。 そこで、往路の経路と復路の経路が確保されていれば、通信可能と判断できます。
[ 目次
/ ダイヤルアクセス
/ エコノミー
/ スタンダード
]
[ +VPN
/ +専用線
/ +ISDN
/ +フィルタ
/ files
]
|