! ipsec policy ipsecpol1 proposal ipsecprop1
! ipsec profile ipsecprof1 mode transport ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer 192.0.2.1
!
■解説
[
装置A:WA1510]
bridge ieee enable
ブリッジ機能を有効化します。
interface GigaEthernet1.0 bridge ieee 1
ブリッジ接続するインタフェースでブリッジを動作させます。
interface EtherIP0 bridge ieee 1
ether-ip peer 192.0.2.2
論理インタフェース
EtherIP0
でブリッジを動作させ、IP
カプセル化するソースインタ フェースと宛先IP
アドレスを指定します。本設定例では、EtherIP
フレームのソース アドレスはインタフェースGigaEthernet0.0
アドレス、宛先アドレスは”192.0.2.1”
とし ています。ソース指定はIP
アドレスでも設定可能です。bridge ip tcp adjust-mss 1286
TCP/IP
パケットのフラグメントを防ぐために、tcp-mss
調整を設定します。本設定例では、
MSS
長を”1286”
バイトに設定していますが、EtherIP
のMTU
長(MSS
長)は、カプセル化したパケットを出力するインタフェースの
MTU
長や、IPsec
機能との 併用有無によって変わりますので、環境に適した値を設定してください。EtherIP over IPsec (アグレッシブ/トランスポート)接続を行う
EtherIP
とIPsec
を併用することで、セキュリティを保ったままインターネット間でブリッジ接続を行うことができます。
IKE
アグレッシブモード/IPsec
トランスポートモードを使用したEtherIP
設定を説明し ます。■接続構成
■設定概要
以下の設定を行います。
・
WAN
インタフェース設定・
IPsec
インタフェース設定・ ブリッジ設定
・
EtherIP
インタフェース設定GE1.0 ME0.0
内蔵モジュール
(((
ワイヤレス データ通信事業者
インターネット サービスプロバイダ UNIVERGE
WA1511
動的IP
GE1.0 GE0.0
固定IP: 192.0.2.1 EtherIP over IPsec
端末B
IKEモード : Aggressive IPsec通信モード : Transport 暗号 : AES(256bit)
認証 : SHA2 DH-group : 768bit
192.168.1.0/24 192.168.1.0/24
UNIVERGE IX2215
装置A 装置B
端末A
■設定(コンフィグ作成バージョン:
Ver7.5.4
)[
装置A:WA1511
設定]
! hostname WA1511
! no wireless-adapter enable
! bridge ieee enable
! interface GigaEthernet1.0 no ip address
bridge ieee 1 no shutdown
! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown
! interface MobileEthernet0.0 ip address dhcp
ipsec map ipsecprof1 mobile id IP example.net mobile username test mobile password plain test auto-connect
no shutdown
! interface EtherIP0 bridge ieee 1
bridge ip tcp adjust-mss 1286 ether-ip peer 192.0.2.1
ether-ip source MobileEthernet0.0 no shutdown
! ip route default MobileEthernet0.0
! ike proposal ikeprop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256 lifetime 28800
! ike policy ikepol1 mode aggressive local-id key-id test2 proposal ikeprop1
pre-shared-key plain test
! ipsec proposal ipsecprop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800
! ipsec policy ipsecpol1 local-id 1.1.1.1/32 remote-id 2.2.2.2/32
proposal ipsecprop1
! ipsec profile ipsecprof1 mode transport ipsec policy ipsecpol1 ike policy ikepol1
source MobileEthernet0.0 peer 192.0.2.1
!
以下に装置B(
IX2215
)の設定例を記載しますが詳細についてはIX
マニュアルをご確認く ださい。[
装置B:IX2215
設定]
! hostname IX2215
! ip route default 192.0.2.2
! ip access-list list1 permit ip src any dest any
! ike proposal ikeprop1 encryption aes-256 hash sha2-256
! ike policy ikepol1 peer any key test mode aggressive ikeprop1 ike remote-id ikepol1 keyid test2
! ipsec autokey-proposal ipsecprop1 esp-aes-256 esp-sha2-256
! ipsec dynamic-map ipsecpol1 list1 ipsecprop1 ipsec local-id ipsecpol1 2.2.2.2
ipsec remote-id ipsecpol1 1.1.1.1
! bridge irb enable
! interface GigaEthernet0.0 ip address 192.0.2.1/24 no shutdown
! interface GigaEthernet1.0 no ip address
bridge-group 1 no shutdown
! interface Tunnel0.0
tunnel mode ether-ip ipsec no ip address
ipsec policy transport ipsecpol1 bridge-group 1
no shutdown
!
■解説
bridge ieee enable
ブリッジ機能を有効化します。
interface GigaEthernet1.0 bridge ieee 1
ブリッジ接続するインタフェース