no shutdown
! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown
! ip route default PPPoE0
! proxy-dns ip enable
proxy-dns server default PPPoE0 ipcp
!
■解説
interface PPPoE0 ip napt enable
ip napt static 192.168.1.200 tcp 443 priority 1
論理インタフェース
PPPoE0
でNAPT
機能を有効化して、複数台の端末が同時にイン ターネット接続できるように設定します。インターネットからプライベートネットワーク上の
Web
サーバにアクセス可能にする ため、スタティックNAPT
の設定をします。Web
サーバのIP
アドレス”192.168.1.200”
と、使用する
tcp
ポート番号”443”
を指定します。priority
は、設定順に自動で1から昇 順に付与されます。ip route default PPPoE0
論理インタフェース
PPPoE0
をデフォルトルートに設定します。6.4. IPsec inner NAT 機能を使用する
IPsec
通信を行うパケットに対して、スタティックNAT
を行う設定を説明します。本設定は、以下の環境を想定した設定例です。
・各店舗のネットワーク体系は同一(
10.1.1.0/24
)とします。・店舗
101
端末からのIP
パケット(10.1.1.xx
)は、装置AのIPsec
インタフェースでネッ トワーク部のみスタティックNAT
され、送信元アドレスを192.168.101.xx
として、IPsec
トンネル経由でセンター局に送信されます。・同様に、店舗
102
端末からのIP
パケット(10.1.1.xx
)は、装置BのIPsec
インタフェー スでネットワーク部のみスタティックNAT
され、送信元アドレスを192.168.102.xx
として、
IPsec
トンネル経由でセンター局に送信されます。・よって、各店舗
LAN
のネットワーク体系が同じでも、装置Cでは、店舗101
と店舗102
の通信を区別することができます。■接続構成
■設定概要
以下の設定を行います。
・
GigaEthernet0.0
インタフェース設定・
GigaEthernet1.0
インタフェース設定・
Lookback0.0
インタフェース設定(自発パケット)・
IPsec
インタフェース設定・
IPsec inner NAT
設定・ ルーティング設定
GE0.0
装置C 192.168.1.0/24
192.168.100.0/24 GE1.0
GE0.0 インターネット
サービスプロバイダ 10.10.1.1/32
IPsec 装置A
UNIVERGE WA2610-AP UNIVERGE
WA1510
GE0.0 192.168.1.0/24
GE1.0
装置B UNIVERGE
WA1510 10.10.2.1/32 IPsec
GE1.0 10.10.3.1/32
LP0:192.168.200.101
LP0:192.168.200.102 .1
.2 .254
.1
.2 店舗101
店舗102
センター局 IP L
S S IPsec
192.168.1.x
x 172.16.102.xx
■設定(コンフィグ作成バージョン:
Ver7.3.7
)[
装置A:WA1510
設定]
! hostname WA1510A
! interface GigaEthernet0.0 ip address 10.10.1.1/24 no shutdown
! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown
! interface Loopback0.0
ip address 192.168.200.101/32 no shutdown
! interface IPsec0
ip address unnumbered loopback0.0 ip tcp adjust-mss auto
ipsec map ipsec0 ip nat enable
ip nat static network 192.168.1.0/24 172.16.101.0/24
ip nat static network 192.168.200.101/32 172.16.200.101/32 no shutdown
! ip route 10.10.3.1/32 GigaEthernet0.0 ip route 192.168.100.0/24 IPsec0
! ike proposal ipsec0
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256 lifetime 28800
! ike policy ipsec0 mode main proposal ipsec0
pre-shared-key plain test1
! ipsec proposal ipsec0
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800
! ipsec policy ipsec0 proposal ipsec0
! ipsec profile ipsec0 mode tunnel ipsec policy ipsec0 ike policy ipsec0
source GigaEthernet0.0 peer 10.10.3.1
!
[
装置B:WA1510
設定]
! hostname WA1510B
! interface GigaEthernet0.0 ip address 10.10.2.1/24 no shutdown
! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown
! interface Loopback0.0
ip address 192.168.200.102/32 no shutdown
! interface IPsec0
ip address unnumbered loopback0.0 ip tcp adjust-mss auto
ipsec map ipsec0 ip nat enable
ip nat static network 192.168.1.0/24 172.16.102.0/24
ip nat static network 192.168.200.102/32 172.16.200.102/32 no shutdown
! ip route 10.10.3.1/32 GigaEthernet0.0 ip route 192.168.100.0/24 IPsec0
! ike proposal ipsec0
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256 lifetime 28800
! ike policy ipsec0 mode main proposal ipsec0
pre-shared-key plain test2
! ipsec proposal ipsec0
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800
! ipsec policy ipsec0 proposal ipsec0
! ipsec profile ipsec0 mode tunnel ipsec policy ipsec0 ike policy ipsec0
source GigaEthernet0.0 peer 10.10.3.1
!
[
装置C:WA2610-AP
設定]
! hostname WA2610
! interface GigaEthernet0.0 ip address 10.10.3.1/24 no shutdown
! interface GigaEthernet1.0
ip address 192.168.100.254/24 no shutdown
! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown
! interface IPsec0
ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec0 no shutdown
! interface IPsec1
ip address unnumbered ip tcp adjust-mss auto ipsec map ipsec1 no shutdown
! ip route 10.10.1.1/32 GigaEthernet0.0 ip route 10.10.2.1/32 GigaEthernet0.0 ip route 172.16.101.0/24 IPsec0 ip route 172.16.102.0/24 IPsec1 ip route 172.16.200.101/32 IPsec0 ip route 172.16.200.102/32 IPsec1
! ike proposal ipsec0
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256 lifetime 28800
! ike proposal ipsec1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256 lifetime 28800
! ike policy ipsec0 mode main proposal ipsec0
pre-shared-key plain test1
! ike policy ipsec1 mode main proposal ipsec1
pre-shared-key plain test2
! ipsec proposal ipsec0
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800
! ipsec proposal ipsec1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800
! ipsec policy ipsec0 proposal ipsec0
! ipsec policy ipsec1 proposal ipsec1
! ipsec profile ipsec0 mode tunnel ipsec policy ipsec0 ike policy ipsec0
source GigaEthernet0.0 peer 10.10.1.1
! ipsec profile ipsec1 mode tunnel ipsec policy ipsec1 ike policy ipsec1
source GigaEthernet0.0 peer 10.10.2.1
!
■解説
[
装置A:WA1510
設定]
(装置Bも同様です)interface GigaEthernet1.0 ip address 192.168.1.254/24
店舗