IPsec
通信が必要なパケットを、IPsec
インタフェースに転送します。interface GigaEthernet0.0 ip napt enable
インターネットアクセスを行うため
NAPT
機能を有効化します。ip napt reserve esp ip napt reserve udp 500
ESP
、IKE(UDP500)
をNAPT
処理の対象から外します。ip napt reserve icmp
ICMP
をNAPT
処理の対象から外します。ip napt reserve icmp
は疎通確認の時のみに設定してください。フィルタが存在しない状態での設定はセキュリティが低くなる恐れがあります。
疎通確認の必要がない場合はフィルタの設定をおこなうか、設定を削除することをお 薦めします。
9.3. IPsec トンネル経由でインターネットに接続する
IPsec
トンネルを経由して、対向ルータ側のゲートウェイからインターネットに接続する場合の設定を説明します。
本設定は、以下の環境を想定した設定例です。
・
IPsec
アグレッシブモード(装置Aはイニシエータ、装置Bはレスポンダ)を使用します。
・端末Aは、
IPsec
トンネルから装置Aを経由し、LAN
上のゲートウェイルータ(GW
)を 介してインターネットにアクセスします。・装置Aは、
WAN
インタフェースにデータ通信端末(3G/LTE
、動的IP
アドレス)を使用 します。・装置Bのデフォルトゲートウェイ設定は、ゲートウェイルータ(
GW
:192.168.2.100
) です。・装置Bの
IPsec
通信インタフェース(GE0.0
)は、固定IP
アドレス:192.0.2.2
を使用 し、そのネクストホップアドレスは192.0.2.3
です。・装置Bでは、対向先装置Aの
IP
アドレスが動的IP
アドレスですので、IPsec peer
はpeer any
を指定します。■接続構成
■設定概要
以下の設定を行います。
・
LAN
インタフェース設定・
WAN
インタフェース設定・
IPsec
インタフェース設定・
IKE
プロポーザル設定・
IKE
ポリシー設定・
IPsec
プロポーザル設定・
IPsec
ポリシー設定(outgoing-interface
設定)・
IPsec
プロファイル設定GE0.0 Serial0
データ通信端末
(((
モバイル 通信事業者
インターネット サービスプロバイダ 3G/LTE
動的IP
IPsec
端末B IKEモード : Aggressive
IPsec通信モード : Tunnel 暗号 : AES(256bit)
認証 : SHA2 DH-group : 768bit
192.168.1.0/24 192.168.2.0/24
GE0.0 端末A
装置B
GW インター
ネット UNIVERGE .100
WA2610-AP 固定IP
192.0.2.2/32 192.0.2.3
UNIVERGE WA1510
GE1.0
装置A
・ ルーティング設定
・
NAPT
除外設定メモ 本事例で使用する
outgoing-interface
コマンドは、Version7.4.1
からのサポートで す。■設定(コンフィグ作成バージョン:
Ver7.4.1
)[
装置A:WA1510
設定]
! hostname WA1510
! no wireless-adapter enable
! ppp profile mobile
authentication username test authentication password plain test
! interface GigaEthernet0.0 ip address 192.168.1.254/24 no shutdown
! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown
! interface Serial0 ip address ipcp ppp profile mobile ip napt enable ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp
mobile id PPP 1 example.net mobile number *99***CID#
auto-connect no shutdown
! interface IPsec0
ip address unnumbered ipsec map ipsecprof1 ip tcp adjust-mss auto no shutdown
! ip route default IPsec0 ip route 192.0.2.2/32 Serial0
! proxy-dns ip enable
proxy-dns server default 192.168.2.100
! ike proposal ikeprop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256 lifetime 28800
! ike policy ikepol1 mode aggressive local-id key-id test2
dpd-keepalive enable 20 3 proposal ikeprop1
pre-shared-key plain test
! ipsec proposal ipsecprop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800
! ipsec policy ipsecpol1 local-id 192.168.1.0/24 remote-id 192.168.2.0/24 proposal ipsecprop1
! ipsec profile ipsecprof1 mode tunnel
ipsec policy ipsecpol1 ike policy ikepol1 source Serial0 peer 192.0.2.2
!
[
装置B:WA2610-AP
設定]
! hostname WA2610-AP
! interface GigaEthernet0.0 ip address 192.0.2.2/32 ip napt enable
ip napt reserve esp ip napt reserve udp 500 ip napt reserve icmp no shutdown
! interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown
! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown
! interface IPsec0
ip address unnumbered ipsec map ipsecprof1 ip tcp adjust-mss auto no shutdown
!
ip route 192.168.1.0/24 IPsec0
! proxy-dns ip enable
proxy-dns server default 192.168.2.100
! ike proposal ikeprop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256 lifetime 28800
! ike policy ikepol1 mode aggressive remote-id key-id test2
outgoing-interface GigaEthernet0.0 192.0.2.3 dpd-keepalive enable 20 3
proposal ikeprop1
pre-shared-key plain test
! ipsec proposal ipsecprop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800
! ipsec policy ipsecpol1 local-id 192.168.2.0/24 remote-id 192.168.1.0/24 commit-bit enable
proposal ipsecprop1
! ipsec profile ipsecprof1 mode tunnel
ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer any
!
■解説
[
装置A:WA1510
設定] ike proposal ikeprop1
IKE
プロポーザルを"ikeprop1"
で設定します。encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256
使用するセキュリティプロトコルとアルゴリズムを設定します。
暗号アルゴリズムを
"aes256-cbc"
、認証アルゴリズムを"hmac-sha2-256"
に設定します。lifetime 28800
IKE SA
の有効期間を"28800"
に設定します。(初期値:28800
)ike policy ikepol1
IKE
ポリシーを"ikepol1"
で設定します。mode aggressive
動作モードを
"aggressive"
に設定します。local-id key-id test2
IKE
フェーズ1
で送信する自装置のID
ペイロードを設定します。ローカル
ID
を"key-id test2"
に設定します。動的