Dynamic DNS
サービスのアカウントを登録します。Dynamic DNS
サービス名称を”testddns”
、登録するIP
アドレスを有するインタフェースを
”PPPoE0”
、登録するFQDN
を” wa2.example.net”
、ユーザー名を”abcdef”
、パスワ ードを”dynamic”
に登録します。利用できるサービスは、
WA
シリーズ専用DDNS
サービス、またはieServer
、MYDNS
となります。設定例では架空のサービス名をtestddns
としています。ddns interval 1
Dynamic DNS
サービスへのIP
アドレス登録間隔を”1”
分に設定します。9.6. IPsec 簡単コンフィグを使用して VPN 設定を行う
IPsec
簡単コンフィグを使用することで、1
つのコマンドでVPN
構築に必要な設定を自動で生成します。設定できることに限りはありますが、簡単且つ設定ミスを防ぐことができ ます。
本設定は、以下の環境を想定した設定例です。
・装置A、Bとも
WAN
側IP
アドレスは固定IP
アドレスです。(固定IP
サービス契約)・暗号化アルゴリズムは
AES-CBC
、認証アルゴリズムはSHA2 MAC
とします。・インターネットアクセスは行わず、
IPsec
によるVPN
接続(拠点間通信)のみを行いま す。■接続構成
■設定概要
以下の設定を行います。
・
IKE
プロポーザル設定・
IKE
ポリシー設定・
IPsec
プロポーザル設定・
IPsec
ポリシー設定・
IPsec
プロファイル設定・
IPsec
インタフェース設定メモ
・端末間通信させるには、下記の設定を手動で入力する必要があります。
(1) GE0/GE1
のIP
アドレス設定(2)
ルーティング設定(3) IPsec SA
を確立するSource
インタフェース設定・
IPsec
の基本的な設定を自動で生成します。作成する各名称は、全てパラメータNAME
で指定した
IPsec
識別名となります。mode
を指定しない場合はaggressive
モードを設 定します。GE1.0 GE0.0
端末B
192.168.1.0/24 192.168.2.0/24
GE1.0 UNIVERGE
IX2215 GE0.0
インターネット サービスプロバイダ
192.0.2.2/32(固定 192.0.2.1/32(固定 IP
IP
IPsec
IKEモード : Main
IPsec通信モード : Tunnel 暗号 : AES(256bit)
認証 : SHA2 DH-group : 768bit
装置A 装置B
UNIVERGE WA2610-AP
端末A
・パラメータで指定した項目以外に以下の設定を自動で行います。
[IPsec
インタフェース] ip address unnumberd no shutdown
[IKE
プロポーザル]
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256 lifetime 28800
[IPsec
プロポーザル]
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800
[IPsec
ポリシー]
proposal ipsec-prof-ipsecproposal [IPsec
プロファイル]
mode tunnel
■設定(コンフィグ作成バージョン:
Ver7.3.7
)[CLI
実行]
create ipsec ipsec0 test peer 192.0.2.2 pre-shared-key plain test mode main
[
装置A:WA2610-AP
設定]
! hostname WA2600
! interface GigaEthernet0.0 no ip address
no shutdown
! interface GigaEthernet1.0 ip address 192.168.1.200/24 no shutdown
! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown
! interface IPsec0
ip address unnumbered ipsec map test1
no shutdown
! ike proposal test1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256 lifetime 28800
! ike policy test1 mode main proposal test1
! ipsec proposal test1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800
! ipsec policy test1 proposal test1
! ipsec profile test1 mode tunnel ipsec policy test1 ike policy test1 peer 192.0.2.2
!
[
装置A:WA2610-AP
設定(追加設定:手動)]
端末間通信させるためには下記を追加設定してください。
! interface GigaEthernet0.0 ip address 192.0.2.1/32
! interface GigaEthernet1.0 ip address 192.168.1.254/24
! interface IPsec0
ip tcp adjust-mss auto
! ip route 192.0.2.2/32 GigaEthernet0.0 ip route 192.168.2.0/24 IPsec0
! ike policy test
dpd-keepalive enable
! ipsec profile test
source GigaEthernet0.0
!
以下に装置B(
IX2215
)の設定例を記載しますが詳細についてはIX
マニュアルをご確認く ださい。[
装置B:IX2215
設定]
! hostname IX2215
! ip route 192.0.2.1/32 GigaEthernet0.0 ip route 192.168.1.0/24 Tunnel0.0
! ip access-list list1 permit ip src any dest any
! ike proposal ikeprop1 encryption aes-256 hash sha2-256
! ike policy ikepol1 peer 192.0.2.1 key test ikeprop1 ike keepalive ikepol1 10 3
! ipsec autokey-proposal ipsecprop1 esp-aes-256 esp-sha2-256
! ipsec autokey-map ipsecpol1 list1 peer 192.0.2.1 ipsecprop1
! interface GigaEthernet0.0 ip address 192.0.2.2/32 no shutdown
! interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown
! interface Tunnel0.0 tunnel mode ipsec
ip unnumbered GigaEthernet1.0 ipsec policy tunnel ipsecpol1 out no shutdown
!
■解説
[
装置A:WA2610-AP
設定] ike proposal test1
IKE
プロポーザルを"test1"
で設定します。(CLI
自動設定)encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256
使用するセキュリティプロトコルとアルゴリズムを設定します。
暗号アルゴリズムを
"aes256-cbc"
、認証アルゴリズムを"hmac-sha2-256"
に設定します。(