利用する
IPsec
プロファイル"test1"
を適用します。IPsec
インタフェースではIPsec
プロファイルで指定されているIPsec
カプセル化モードがトンネルモード時のみ有効となります。(
CLI
自動設定)9.7. NGN 閉域網 IPv6 で、 NetMeister のダイナミック DNS 機能を利用し、
IPsec 接続を行う
NGN
閉域網内で割り当てられるIPv6
半固定アドレスをNetMeister
のダイナミックDNS
に登録し、peerFQDN
を使用してNGN
閉域網内でVPN
接続する設定を説明します。本設定は、以下の環境を想定した設定例です。
・装置A、Bの
WAN
側は、NTT
東日本のNGN
閉域網IPv6
に接続します。・装置A、Bの
WAN
側IP
アドレス解決のために、GW
経由でNetMeister
のダイナミッ クDDNS
を利用します。インターネット通信はせず、NGN
閉域網内でVPN
接続します。メモ
・
NTT
西日本のNGN
閉域網内でもVPN
接続が可能です。設定が一箇所異なります。・
NTT
東日本とNTT
西日本のNGN
閉域網はそれぞれ独立しているため、NTT
東日本とNTT
西日本間で通信する場合、別途ISP
契約をして頂き、通常のインターネットVPN
接続の設定をしてください。■接続構成
■設定概要
以下の設定を行います。
・
IPsec
インタフェース設定・
IKE
プロポーザル設定・
IKE
ポリシー設定・
IPsec
プロポーザル設定・
IPsec
ポリシー設定・
IPsec
プロファイル設定・
LAN
インタフェース設定・
WAN
インタフェース設定・ スタティックルート設定
・ プロキシ
DNS
設定・
NetMeister
設定GE1.0
GE0.0 NGN
閉域網
NTT東日本
IPv6半固定
IPsec
端末B
192.168.10.0/24 192.168.1.0/24
GE1.0 GE0.0
端末A
装置B IPv6半固定
NetMeiste ダイナミックDNS
FQDN:
tiba-1. wa-sample.v6.nmddns.jp
装置A UNIVERGE
WA2610-AP GW
FQDN:
tokyo-1. wa-sample.v6.nmddns.jp
UNIVERGE WA1510 アドレス登録
peerFQDN解決
アドレス登録
peerFQDN解決
メモ
・
NGN
閉域網IPv6
の利用はソフトウェアバージョン8.0.X
から、利用可能です。■設定(コンフィグ作成バージョン:
Ver8.0.3
)[
装置A:WA2610-AP
設定]
! hostname WA2600
! ip dhcp-server enable ip dhcp-server profile default default-gateway auto dns-server auto subnet-mask auto
! ipv6 dhcp-client profile default information-request
option-request dns-servers option-request ntp-servers
! interface GigaEthernet0.0 no ip address
ipv6 dhcp-client binding default ipv6 enable
ipv6 address autoconfig receive-default no shutdown
! interface GigaEthernet1.0 ip address 192.168.10.200/24 ip dhcp-server binding default no shutdown
! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown
! interface IPsec0
ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown
! ip route 192.168.1.0/24 IPsec0
! proxy-dns ipv6 enable
proxy-dns server default GigaEthernet0.0 dhcpv6
! ike proposal ikeprop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256 lifetime 28800
dh-group 1024-bit
!
ike policy ikepol1 mode main
dpd-keepalive enable ph1 20 3 proposal ikeprop1
pre-shared-key plain secret-vpn
! ipsec proposal ipsecprop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800
! ipsec policy ipsecpol1 rekey enable always proposal ipsecprop1
! ipsec profile ipsecprof1 mode tunnel
ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0
peer tiba-1.wa-sample.v6.nmddns.jp ipv6
! nm ipv6 enable ngn-private east
nm accountwa-sample password plain testtest nm sitename tokyo
nm ddns notify interface GigaEthernet0.0 nm ddns hostname tokyo-1
!
[
装置B
:WA1510
設定]
! hostname WA1500
! no wireless-adapter enable
! ipv6 dhcp-client profile default information-request
option-request dns-servers option-request ntp-servers
! interface GigaEthernet0.0 no ip address
ipv6 dhcp-client binding default ipv6 enable
ipv6 address autoconfig receive-default no shutdown
! interface GigaEthernet1.0 ip address 192.168.1.200/24 ip dhcp-server binding default no shutdown
! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown
interface IPsec0
ip address unnumbered ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown
! ip route 192.168.10.0/24 IPsec0
! proxy-dns ipv6 enable
proxy-dns server default GigaEthernet0.0 dhcpv6
! ike proposal ikeprop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256 lifetime 28800
dh-group 1024-bit
! ike policy ikepol1 mode main
dpd-keepalive enable ph1 20 3 proposal ikeprop1
pre-shared-key plain secret-vpn
! ipsec proposal ipsecprop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800
! ipsec policy ipsecpol1 rekey enable always proposal ipsecprop1
! ipsec profile ipsecprof1 mode tunnel
ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0
peer tokyo-1.wa-sample.v6.nmddns.jp ipv6
! !
nm ipv6 enable ngn-private east
nm account wa-sample password plain testtest nm sitename tiba
nm ddns notify interface GigaEthernet0.0 nm ddns hostname tiba-1
!
■解説
[
装置A:WA2610-AP
設定] ipsec profile ipsecprof1
peer tokyo-1.wa-sample.v6.nmddns.jp ipv6
対向先