! interface vlan13 bridge ieee 3

! interface vlan11 bridge ieee 1

! interface vlan12 bridge ieee 2

! interface vlan13 bridge ieee 3

インタフェース

VLAN**

にブリッジグループを設定します。同じブリッジグループを割 り当てると、それぞれの

VLAN

インタフェースが同一ブロードキャストドメインとな ります。この場合、ブリッジグループ１で

VLAN11

とインタフェース

WE0.0

、ブリ ッジグループ２で

VLAN2

と

VLAN12

、ブリッジグループ３で

VLAN3

と

VLAN13

が同一ブロードキャストドメインとなります。

12. GRE 設定

12.1. GRE over IPsec （トランスポート）接続を行う

GRE

と

IPsec

を併用することで、セキュリティを保ったままインターネット間で

GRE

接

続を行うことができます。

IKE

メインモード／

IPsec

トランスポートモードを使用した

GRE

設定を説明します。

本設定は、以下の環境を想定した設定例です。

・装置Ａ、Ｂとも

WAN

側

IP

アドレスは固定

IP

アドレスです。（固定

IP

サービス契約）

・暗号化アルゴリズムは

AES-CBC

、認証アルゴリズムは

SHA2 MAC

とします。

・インターネットアクセスは行わず、

IPsec

による

VPN

接続（拠点間通信）のみを行いま す。

■接続構成

■設定概要

以下の設定を行います。

・

GigaEthernet0.0

インタフェース設定

・

GigaEthernet1.0

インタフェース設定

・

IPsec

インタフェース設定

・

IKE

プロポーザル設定

・

IKE

ポリシー設定

・

IPsec

プロポーザル設定

・

IPsec

ポリシー設定

・

IPsec

プロファイル設定

・ ルーティング設定

・

GRE

インタフェース設定

・

GRE

オプション設定

GE1.0 GE0.0

端末Ｂ

192.168.1.0/24 192.168.2.0/24

GE1.0 UNIVERGE

IX2215 GE0.0

インターネット サービスプロバイダ

192.0.2.2/32（固定IP） 192.0.2.1/32（固定IP）

GRE over IPsec

IKEモード : Main

IPsec通信モード : Transport 暗号 : AES(256bit)

認証 : SHA2 DH-group : 768bit

装置Ａ 装置Ｂ

UNIVERGE WA2610-AP

GREオプション : checksum : key

: sequence-number 端末Ａ

■設定（コンフィグ作成バージョン：

Ver7.4.1

）

[

装置Ａ：

WA2610-AP

設定

]

! hostname WA2610

! interface GigaEthernet0.0 ip address 192.0.2.1/32 ip tcp adjust-mss auto ipsec map ipsecprof1 no shutdown

! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown

! interface GRE0.0 gre peer 192.0.2.2

gre source GigaEthernet0.0 gre checksum

gre key hogehoge gre sequence-number

ip address unnumbered GigaEthernet1.0 no shutdown

! ip route 192.168.2.0/24 GRE0.0

! ike proposal ikeprop1

encryption-algorithm aes256-cbc

authentication-algorithm hmac-sha2-256 lifetime 28800

! ike policy ikepol1 mode main

dpd-keepalive enable ph1 proposal ikeprop1

pre-shared-key plain hogehoge

! ipsec proposal ipsecprop1

protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800

! ipsec policy ipsecpol1 proposal ipsecprop1

! ipsec profile ipsecprof1 mode transport ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer 192.0.2.2

!

以下に装置Ｂ（

IX2215

）の設定例を記載しますが詳細については

IX

マニュアルをご確認く ださい。

[

装置Ｂ：

IX2215

設定

]

! hostname IX2215

! ip route default Tunnel0.0

ip access-list sec-list permit ip src any dest any

! ike proposal ike-prop encryption aes-256 hash sha2-256

! ike policy ike-policy peer 192.0.2.1 key hogehoge ike-prop ike keepalive ike-policy 10 3

! ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha2-256

! ipsec autokey-map ipsec-policy sec-list peer 192.0.2.1 ipsec-prop

! interface GigaEthernet0.0 ip address 192.0.2.2/32 no shutdown

! interface GigaEthernet2.0 ip address 192.168.2.254/24 no shutdown

! interface Tunnel0.0 tunnel mode gre ipsec tunnel checksum tunnel key hogehoge tunnel sequence-number

ip unnumbered GigaEthernet2.0

ipsec policy transport ipsec-policy with-id-payload no shutdown

!

■解説

[

装置Ａ：

WA2610-AP

設定

] interface GRE0.0

gre peer 192.0.2.2

gre source GigaEthernet0.0

IP

カプセル化するソースインタフェース指定と宛先

IP

アドレスを指定します。本設 定例では、ソースインタフェースを”

GigaEthernet0.0

”、宛先を”

192.0.2.2

”としてい ます。ソース指定は

IP

アドレスでも設定可能です。

gre checksum

ドキュメント内 はじめに はじめに 本設定事例集では UNIVERGE WA シリーズの設定事例について説明しています ルータと組み合わせて使用する構成では UNIVERGE IX2000/IX3000 シリーズの設定例を記載しています 各コマンドの詳細については コマンドリファレンスや機能説明書をご参照下さい 本 (ページ 166-169)