Security Gateway and IPsec release 3

1. 設定例1(IPsecリリース3とIPsecリリース3で接続)
2. 設定例2(IPsecリリース2とIPsecリリース3で接続)

[ ダイヤルアップVPNに関する補足 ]

• Rev.4.00.33から追加されたダイ ヤルアップVPN機能により、[ipsec pre-shared-key]コマンドの仕様変更 があり、コマンドも[ipsec ike pre-shared-key]へと変更されました。

設定例1

• IPsecリリース3とIPsecリリース3の接続

  2台のRTを専用線で接続し、2つのネットワーク192.168.10.0/24と 192.168.20.0/24をVPNで接続する場合の設定例を示す。 セキュリティ・ゲートウェイのアドレスは、192.168.10.1と192.168.20.1 である。

• 構成

         ----------+-------------------- 192.168.10.0/24
                   |
                   | 192.168.10.1
              +----+----+
  ???? (SGW1) | RT140i  |  ←IPsecリリース3
  ?           +----+----+
  ?                :  
  ?                :
  ? VPN       (Unnumbered) 128Kbit/sの専用線
  ?                :
  ?                : 
  ?           +----+----+
  ???? (SGW2) | RT140i  |  ←IPsecリリース3
              +----+----+
                   | 192.168.20.1
                   |
         ----------+-------------------- 192.168.20.0/24
  

• SGW1 (192.168.10.1のRT140i, IPsecリリース3) 赤字はRev.4.00.32以前の設定

  bri line 1 l128
  ip lan1 address 192.168.10.1/24
  
  ipsec ike remote address 1 192.168.20.1
  ipsec ike pre-shared-key 1 text key             ipsec pre-shared-key 192.168.20.1 text key
  ipsec sa policy 101 1 esp des-cbc               ipsec sa policy 101 192.168.20.1 esp des-cbc
  
  pp select 1
  pp bind bri 1
  ip pp route add host 192.168.20.1
  pp enable 1
  
  tunnel select 1
  ipsec tunnel 101
  ip tunnel route add net 192.168.20.0/24 1
  tunnel enable 1
  
  ipsec auto refresh on
  

• SGW2 (192.168.20.1のRT140i, IPsecリリース3) 赤字はRev.4.00.32以前の設定

  bri line 1 l128
  ip lan1 address 192.168.20.1/24
  
  ipsec ike remote address 1 192.168.10.1
  ipsec ike pre-shared-key 1 text key             ipsec pre-shared-key 192.168.10.1 text key
  ipsec sa policy 101 1 esp des-cbc               ipsec sa policy 101 192.168.10.1 esp des-cbc
  
  pp select 1
  pp bind bri 1
  ip pp route add host 192.168.10.1
  pp enable 1
  
  tunnel select 1
  ipsec tunnel 101
  ip tunnel route add net 192.168.10.0/24 1
  tunnel enable 1
  
  ipsec auto refresh on
  

設定例2

• IPsecリリース2とIPsecリリース3の接続

  2台のRTを専用線で接続し、2つのネットワーク192.168.10.0/24と 192.168.20.0/24をVPNで接続する場合の設定例を示す。 セキュリティ・ゲートウェイのアドレスは、192.168.10.1と192.168.20.1 である。

• 構成

         ----------+-------------------- 192.168.10.0/24
                   |
                   | 192.168.10.1
              +----+----+
  ???? (SGW1) | RT140i  |  ←IPsecリリース3
  ?           +----+----+
  ?                :  
  ?                :
  ? VPN       (Unnumbered) 128Kbit/sの専用線
  ?                :
  ?                : 
  ?           +----+----+
  ???? (SGW2) | RT140i  |  ←IPsecリリース2
              +----+----+
                   | 192.168.20.1
                   |
         ----------+-------------------- 192.168.20.0/24
  

• SGW1 (192.168.10.1のRT140i, IPsecリリース3)

  bri line 1 l128
  ip lan1 address 192.168.10.1/24
  
  ipsec ike remote address 1 192.168.20.1
  ipsec pre-shared-key 192.168.20.1 text key
  ipsec ike pfs 1 on
  ipsec ike payload type 1 1
  ipsec sa policy 101 192.168.20.1 esp des-cbc
  
  pp select 1
  pp bind bri 1
  ip pp route add host 192.168.20.1
  pp enable 1
  
  tunnel select 1
  ipsec tunnel 101
  ip tunnel route add net 192.168.20.0/24 1
  tunnel enable 1
  
  ipsec auto refresh on
  

• SGW2 (192.168.20.1のRT140i, IPsecリリース2)

  ※IPsecリリース2に該当するリビジョンは、Rev.3.01.11〜Rev.4.00.14

  bri line 1 l128
  ip lan1 address 192.168.20.1/24
  
  ipsec ike host 192.168.10.1
  ipsec pre-shared-key 192.168.10.1 text key
  ipsec sa policy 101 192.168.10.1 esp des-cbc
  
  pp select 1
  pp bind bri 1
  ip pp route add host 192.168.10.1
  pp enable 1
  
  tunnel select 1
  ipsec tunnel 101
  ip tunnel route add net 192.168.10.0/24 1
  tunnel enable 1
  
  ipsec auto refresh on