IPsec/IKE設定概要
SEILシリーズでIPsec/IKEを設定する際の手順を説明します。ここでは主にポリシーベースIPsecを設定する手順を説明します。ルーティングベースIPsecを設定する際はIPsecインタフェースの設定に加え、ここで説明するIPsec/IKE設定を行います。IPsec/IKE設定の流れ
IPsec/IKEを設定するためのコマンドについて説明します。IKEによる鍵交換をせず、固定の鍵を手動で設定する場合にはIKEの設定は不要です。その場合にはIPsecの設定において鍵情報を直接設定する必要があります。IPsecの設定に関するコマンド
VPNの通信内容を保護するため、保護の対象や、暗号化トンネルを構成し管理するための設定を行います。
IPsec セキュリティポリシー
# ipsec security-policy add ~
IPsecによる保護の対象としたい通信内容を、パケットのアドレス情報などを元に指定します(通常は送信元と宛先のネットワークアドレスで指定します)。パケットフィルタの設定に似ており、マッチした通信は指定した暗号化トンネル(セキュリティアソシエーション)に通されます。
※ IPsec-VPNの設定手法によってはIPsecセキュリティポリシーは自動生成され設定が不要な場合があります。
IPsec セキュリティアソシエーション
# ipsec security-association add ~
暗号化トンネルを構成する情報を設定します。IPsecの動作モード(トンネルモード/トランスポートモード)や、暗号化トンネル始点―終点のアドレス、AH/ESPの使用有無などを指定します。また、秘密鍵をIKEにより自動管理する場合は鍵の生成に使用するパラメータ群(セキュリティアソシエーションプロポーザル)を指定し、IKEを使用しない場合には秘密鍵を直接設定します。
IPsec セキュリティアソシエーションプロポーザル
# ipsec security-association proposal add ~
IKEにより秘密鍵を管理(動的に生成)するための、暗号アルゴリズムや有効期限といったパラメータを指定します。IKEはこれらのパラメータを対向機器に提示し、互いに合意すると暗号化トンネル構成のための鍵情報を生成します。
IKEの設定に関するコマンド
IPsecの秘密鍵を定期的に自動生成し、対向機器と安全に交換するための設定を行います。
事前共有鍵
# ike preshared-key ~
IKEの通信を行う相手を認証するための、相手を識別する情報(識別子)とパスワード(事前共有鍵)を設定します。ピア(対向機器)となる相手からIKEのセッションが開始されると、識別子とパスワードにより相手を認証します。
IKE ピア
# ike peer add ~
IKEによる鍵管理を行う相手(暗号化トンネルの終端)ごとに、鍵交換モード(Mainモード/Aggressiveモード)や交換開始のタイミング、使用する暗号パラメータ群(IKEプロポーザル)などを指定します。また、他のIKE実装(他社のVPN装置など)との動作の違いを吸収するためのチューニング設定が可能です。
IKE プロポーザル
# ike proposal ~
IKEによる鍵管理を安全に行うための、暗号アルゴリズムや鍵の有効期限に関するパラメータを指定します。
【参考】
IPsec/IKEを設定する目的は、IPsecセキュリティポリシーにマッチする通信を暗号化して保護することにあります。暗号化トンネルを複数設定可能であったりパラメータ群を汎用的に使いまわせるようなコマンド体系になっています。識別子による関連付けを行うため、コマンド入力の順番は紹介した順とは逆になります。(プロポーザルなどのパラメータ群を先に設定し、それを関連付けながら最後にセキュリティポリシーを設定します)なお、使用可能な暗号アルゴリズムや有効期限を指定するプロポーザル設定("ipsec security-association proposal","ike proposal")は、工場出荷状態で基本的なパラメータ群が2種類づつ設定されていますので、これらのパラメータを使用する場合にはIPsec/IKE設定の工数を削減することができます。
工場出荷状態で設定されているIKEプロポーザルとIPsecセキュリティアソシエーションプロポーザル
1| # show config ike 2| ike proposal add ikep01 encryption 3des hash sha1 authentication preshared-key dh-group modp1536 lifetime-of-time 1d 3| ike proposal add ikep02 encryption des hash md5 authentication preshared-key dh-group modp768 lifetime-of-time 08h 4| # show config ipsec 5| ipsec security-association proposal add sap01 pfs-group modp1536 authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des lifetime-of-time 03h 6| ipsec security-association proposal add sap02 pfs-group modp768 authentication-algorithm hmac-md5,hmac-sha1 encryption-algorithm des,3des lifetime-of-time 30m
※上記コンフィグは工場出荷状態のSEILX1, X2には投入されておりません。
IPsec/IKE簡易設定例:IPsec トンネルモード
2拠点間(LAN同士)をVPNで接続し、SEIL間でIPsecにより通信内容を保護するための、IPsec及びIKEの設定例を紹介します。
【構成図】
- 2FE-Aと2FE-BでIPsec-VPNを構築し、LAN-A(PC-A)とLAN-B(PC-B)間の通信が可能となるよう設定します
- ネットワーク対ネットワークの通信を保護するため、IPsecトンネルモードを使用します
※ 2FE-Aと2FE-Bが疎通可能であれば、それぞれのlan1インタフェースが異なるネットワークに属していても問題ありません。PPPoE接続環境やSEIL/neu 2FE以外の機種でも利用可能です。
設定コマンド
工場出荷場を元に以下の設定を加えます。インタフェースと経路の設定
[2FE-A]
1| # interface lan0 address 192.168.1.1/24 2| # interface lan1 address 172.16.1.1/16 3| # route modify default 172.16.2.1
[2FE-B]
1| # interface lan0 address 192.168.2.1/24 2| # interface lan1 address 172.16.2.1/16 3| # route modify default 172.16.1.1
| 1行目 ~2行目 |
2FE-A,Bそれぞれの、IPアドレスなどLAN側/WAN側インタフェースの設定をします。PPPoEインタフェースなどLANインタフェース以外を使用する場合でも、設定によりWAN側インタフェース同士が疎通可能な状態となれば、以降のIKE,IPsecの設定は共通です。 |
|---|---|
| 3行目 | 工場出荷状態ではデフォルト経路がpppoe0インタフェースを指定されているため、対向のSEILへ変更しています。 |
IKEの設定
[2FE-A]
1| # ike preshared-key add 172.16.2.1 "PSKEY" 2| # ike peer add PR01 address 172.16.2.1 exchange-mode main proposals ikep01
[2FE-B]
1| # ike preshared-key add 172.16.1.1 "PSKEY" 2| # ike peer add PR01 address 172.16.1.1 proposals ikep01 exchange-mode main
| 1行目 | "ike preshared-key"コマンドで事前共有鍵を設定します。 "add <鍵識別子> <鍵>"として追加します。鍵交換モード(次項)にメインモードを使用する場合には、鍵識別子は共有相手のIPアドレスである必要があります。鍵は任意の文字列もしくは16進数表記(0x~)で、接続相手同士で共通のものを指定します。 |
|---|---|
| 2行目 | "ike peer"コマンドで接続相手の特定情報と接続方法などを設定します。 接続相手のIPアドレス"address"と、使用するIKEプロポーザル"proposals"には工場出荷状態で設定されている"ikep01"を指定しています。また、鍵交換モード"exchange-mode"にメインモード"main"を指定しています。接続相手同士のIPアドレスが固定である場合には基本的にメインモードを使用します。 |
IPsecの設定
[2FE-A]
1| # ipsec security-association add SA01 tunnel 172.16.1.1 172.16.2.1 ike sap01 esp enable 2| # ipsec security-policy add SP01 src 192.168.1.0/24 dst 192.168.2.0/24 security-association SA01
[2FE-B]
1| # ipsec security-association add SA01 tunnel 172.16.2.1 172.16.1.1 ike sap01 esp enable 2| # ipsec security-policy add SP01 src 192.168.2.0/24 dst 192.168.1.0/24 security-association SA01
| 1行目 | "ipsec security-association"コマンドで、IPsecトンネル(IPsec-SA)を構成する情報を設定します。IPsecはトンネルモードを使用するため、始点と終点を"tunnel <自分側> <相手側>"として指定します。鍵交換にIKEを使用するため、使用するSAプロポーザルを"ike |
|---|---|
| 2行目 | "ipsec security-policy"コマンドで、IPsecを適用して通信内容を保護する対象を設定します。通信の送信元"src <送信元IPアドレス/netmask>"と宛先"dst <宛先IPアドレス/netmask>"を指定し、これにマッチした通信を通す暗号化トンネル(IPsec-SA)には1行目で設定した"SA01"指定しています。 |
以上で設定は完了です。
動作確認
IPsec/IKEのセッションが正常に張れ、LAN-AとLAN-B間での通信が可能になるか確認します。
IPsec-SP/IPsec-SAの状態を確認(未接続状態)
# show status ipsec security-policy
192.168.2.0/24[any] 192.168.1.0/24[any] any
Type: ipsec Direction: in
esp/tunnel/172.16.2.1-172.16.1.1/unique
192.168.1.0/24[any] 192.168.2.0/24[any] any
Type: ipsec Direction: out
esp/tunnel/172.16.1.1-172.16.2.1/unique
# show status ipsec security-association
No Security Association
IPsecのセッションは送信と受信とを分けて扱うため、"ipsec security-policy"コマンドの設定により、保護対象を識別するためのIPsec-SPは送信用と受信用の2つ生成されます。また、設定直後でIKEによる鍵交換が行われていない状態では、IPsec-SAはありません。
IKEセッションの状態を確認(未接続状態)
# show status ike
IKE server: up
IKE Phase1 Sessions:
No session
IKEセッションは、IPsec-SPにマッチする通信が発生してIPsec-SA生成の必要が発生するまでは待機状態(セッションのない状態)になります。
[PC-A](Windows XP)から[PC-B]へのping
C:\>ping 192.168.2.10 -t
Pinging 192.168.2.10 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Reply from 192.168.2.10: bytes=32 time=4ms TTL=62
Reply from 192.168.2.10: bytes=32 time=3ms TTL=62
Reply from 192.168.2.10: bytes=32 time=3ms TTL=62
Reply from 192.168.2.10: bytes=32 time=3ms TTL=62
Reply from 192.168.2.10: bytes=32 time=3ms TTL=62
Ping statistics for 192.168.2.10:
Packets: Sent = 11, Received = 5, Lost = 6 (54% loss),
Approximate round trip times in milli-seconds:
Minimum = 3ms, Maximum = 4ms, Average = 3ms
PC-AからPC-Bへの通信といった、IPsec-SPにマッチする通信が発生すると、その時点でIKEによる鍵交換とIPsec-SAの生成が行われます。鍵交換とIPsec-SAの生成は機種によってはやや時間がかかり、IKEプロポーザルやIPsec-SAプロポーザルで指定された暗号アルゴリズムやPFSの種類によっても処理時間は変化します。このため、IPsec/IKEセッションのない状態からIPsec-SPにマッチする通信が発生した場合には、このコマンドログのようにPC-AからPC-Bへpingが通るまでに時間がかかることがあります。IKEの自動接続設定が有効な場合には、設定が完了した時点で折衝が行われるため、初回通信時のタイムラグがなくなります。
【参考】IKEの自動接続設定
SEILの起動時や設定直後など、IPsec/IKEの設定が有効でIPsec-SAが無い時に自動的にIKEの折衝を行いIPsec-SAを確立することが可能です。
# ike auto-initiation enable
自動接続設定を有効にすると、次のようなメリットがあります。
- 初回通信時のタイムラグがなくなる
- 障害(電源OFF/ON等)によりSAが失われた場合に自動復旧できる(起動直後に対向装置と再折衝し、SAを再構成します)
- トラフィックのない状態でも折衝が行われるため、IPsec/IKEの動作に異常があった場合に早期に発見できる
[2FE-A]IKEセッションの確認(接続状態)
# show status ike
IKE server: up
IKE Phase1 Sessions:
172.16.1.1 172.16.2.1
Cookies: 0xf0ad3f95:0x83e6d300
Status: established
Side: initiator
Phase2 Negotiations: 1
Created Time: 2001-01-01 11:05:59
Lifetime (time): 86400
Lifetime (byte): 0
正常にIKEによる鍵交換が完了した状態では、このようなステータスが表示されます。
[2FE-A]IPsec-SAの状態を確認(接続状態)
# show status ipsec security-association
172.16.1.1 172.16.2.1
ESP tunnel spi=115040853(0x06DB6255)
Encap: 3DES 0xB78C3B67642D3C237DF485ACDD34E0146ED3A4F61B0C60CD
Auth: HMAC-SHA1 0xB3626A59F4E506EBDCADFA5A06D48454EC2B6E6F
State: mature
Add Time: 2001-01-01 10:43:25
Use Time: 2001-01-01 10:43:33
Use Packets: 5
Use Bytes: 560
Lifetime (hard):
Time: 10800
Byte: 0
Lifetime (soft):
Time: 8640
Byte: 0
172.16.2.1 172.16.1.1
ESP tunnel spi=25376182(0x018335B6)
Encap: 3DES 0x4712A882F579C7968B3755E2650361061FEBD1D111098F56
Auth: HMAC-SHA1 0xDC0A1C6BBD376F68B81685B72551247FC0917B8D
State: mature
Add Time: 2001-01-01 10:43:25
Use Time: 2001-01-01 10:43:33
Use Packets: 5
Use Bytes: 300
Lifetime (hard):
Time: 10800
Byte: 0
Lifetime (soft):
Time: 8640
Byte: 0
IKEによる鍵交換が完了し、IPsec-SAが生成された状態でステータスを確認すると、
このようにIPsec-SAの状態が表示されます。
[2FE-A]ログの確認
# show log function ike 1 Jan 1 10:42:58 info ike racoon: IPsec-SA request for 172.16.2.1 queued due to no phase1 found. 2 Jan 1 10:42:58 info ike racoon: initiate new phase 1 negotiation: 72.16.1.1[500]<=> 172.16.2.1[500] 3 Jan 1 10:42:58 info ike racoon: begin Identity Protection mode. 4 Jan 1 10:43:00 info ike racoon: received Vendor ID: KAME/racoon 5 Jan 1 10:43:09 info ike racoon: received Vendor ID: KAME/racoon 6 Jan 1 10:43:12 info ike racoon: ISAKMP-SA established 172.16.1.1[500]-172.16.2.1[500] spi:f4a733066c8f8f7e:94de1b29299a3edc 7 Jan 1 10:43:13 info ike racoon: initiate new phase 2 negotiation: 172.16.1.1<=>172.16.2.1 spi:f4a733066c8f8f7e:94de1b29299a3edc 8 Jan 1 10:43:25 info ike racoon: IPsec-SA established: ESP/Tunnel 172.16.2.1->172.16.1.1 spi=25376182(0x18335b6) 9 Jan 1 10:43:25 info ike racoon: IPsec-SA established: ESP/Tunnel 172.16.1.1->172.16.2.1 spi=115040853(0x6db6255)
ログでは、IKEの処理に関する記録が参照できます。
正常にセッションが生成できない場合には、ログやコンフィグ、ステータスの参照が解決の糸口となります。
Tunnelインタフェースを使用したインターネットVPN
【概要】
- インターネット接続を使用している拠点間で簡易VPNを使用する例です
- Tunnelインタフェース(IPencapトンネル)を使用し、暗号化を行いません。そのため通信内容は保護されませんが、暗号化処理による通信速度の低下もありません
- VPN経由で通信するホスト間で、SSLやSSHなど使用してホスト自身でセキュリティを確保する場合に向いています
- この例ではPPPoE接続を使用していますが、インターネット接続の設定以外は2FE以外の機種でも同様です。また、広域LAN等の閉域網中の2点間でのトンネリングに利用可能です
- この例ではTunnelインタフェースを使用していますが、IPsecインタフェースに置き換えることによりIPsec-VPNとすることも可能です
【構成図】
- 各拠点では、IPアドレスを固定で1つ以上割り当てるサービスを使用する必要があります
- SEIL/neuごとに、4対地(tunnel0~tunnel3)までのトンネルを設定することができますので、支店A,Bと同様の設定で支店C,Dを増設可能です(機種ごとにTunnelインタフェースの設定数上限は異なります)
- 支店A-B間の通信は本社を経由する、スター型VPNとなります
設定情報
【2FE-1[本社]設定情報】
| 接続ID | sample01@example.jp |
| パスワード | PassWord |
| 認証方式 | CHAP |
| 割り当てIPアドレス | 172.16.1.1/32 (グローバルアドレス固定割り当て1個) |
| WAN側(pppoe0) IPアドレス | 割当IPアドレスを自動取得 |
| LAN側(lan0) IPアドレス | 192.168.1.1/24 |
| Tunnel(tunnel0)始点 / 終点 | 172.16.1.1 / 172.16.2.1 (2FE-1[本社] / 2FE-2[支社A]) |
| Tunnel(tunnel1)始点 / 終点 | 172.16.1.1 / 172.16.3.1 (2FE-1[本社] / 2FE-3[支社B]) |
| 静的ルーティング | default → pppoe0 (既定値) 192.168.2.0/24 → tunnel0 (支社A行き) 192.168.3.0/24 → tunnel1 (支社B行き) |
| ホスト名 | honsha |
【2FE-2[支店A]設定情報】
| 接続ID | sample02@example.jp |
| パスワード | PassWord |
| 認証方式 | CHAP |
| 割り当てIPアドレス | 172.16.2.1/32 (グローバルアドレス固定割り当て1個) |
| WAN側(pppoe0) IPアドレス | 割当IPアドレスを自動取得 |
| LAN側(lan0) IPアドレス | 192.168.2.1/24 |
| Tunnel(tunnel0)始点 / 終点 | 172.16.2.1 / 172.16.1.1 (2FE-2[支社A] / 2FE-1[本社]) |
| 静的ルーティング | default → pppoe0 (既定値) 192.168.1.0/24 → tunnel0 (本社行き) 192.168.3.0/24 → tunnel0 (支社B行き) |
| ホスト名 | shishaA |
【2FE-3[支店B]設定情報】
| 接続ID | sample03@example.jp |
| パスワード | PassWord |
| 認証方式 | CHAP |
| 割り当てIPアドレス | 172.16.3.1/32 (グローバルアドレス固定割り当て1個) |
| WAN側(pppoe0) IPアドレス | 割当IPアドレスを自動取得 |
| LAN側(lan0) IPアドレス | 192.168.3.1/24 |
| Tunnel(tunnel0)始点 / 終点 | 172.16.3.1 / 172.16.1.1 (2FE-2[支社B] / 2FE-1[本社]) |
| 静的ルーティング | default → pppoe0 (既定値) 192.168.1.0/24 → tunnel0 (本社行き) 192.168.2.0/24 → tunnel0 (支社A行き) |
| ホスト名 | shishaB |
設定手順
インターネットVPNの設定は、各拠点のインターネット接続の設定が完了しておりトンネルの終点(対向となるルータ)までの通信の到達性が確保されている必要があります。したがって、設定手順は次のようになります。- 各拠点のインターネット接続設定
- 拠点間の疎通確認
- VPNトンネル(トンネルインタフェース)の設定
各2FEのインターネット接続とLANの設定
それぞれのSEIL/neuにPPPoE接続の設定を行います。2FE以外のSEIL/neuを使用する場合はインターネット接続が可能になるようWAN側インターフェイスの設定を行います。このインターネット接続の設定以外の設定項目は他の機種でも同様です。 また、LAN側インターフェイスのIPアドレスも各拠点ネットワークに合うよう変更します。
2FE-1[本社]のPPPoE・LAN0設定
1| # hostname honsha 2| # ppp add ISP01 keepalive 30 ipcp-address on ipcp-dns on ipv6cp disable authentication-method chap identifier sample01@example.jp passphrase PassWord 3| # interface pppoe0 ppp-configuration ISP01 4| # interface lan0 address 192.168.1.1/24
2FE-2[支店A]のPPPoE・LAN0設定
1| # hostname shishaA 2| # ppp add ISP01 keepalive 30 ipcp-address on ipcp-dns on ipv6cp disable authentication-method chap identifier sample02@example.jp passphrase PassWord 3| # interface pppoe0 ppp-configuration ISP01 4| # interface lan0 address 192.168.2.1/24
2FE-3[支店B]のPPPoE・LAN0設定
1| # hostname shishaB 2| # ppp add ISP01 keepalive 30 ipcp-address on ipcp-dns on ipv6cp disable authentication-method chap identifier sample03@example.jp passphrase PassWord 3| # interface pppoe0 ppp-configuration ISP01 4| # interface lan0 address 192.168.3.1/24
| 1行目 | hostname honsha(shishaA,shishaB) メンテナンス時の識別のためホスト名を設定します(必須ではありません) |
|---|---|
| 2行目 | keepalive 30 トンネル終端との常時接続性が必要になりますのでセッションキープアライブを使用します。 |
※ 各2FEの設定で特に異なる点はありません。
※ ここでは触れていませんが、必要に応じてDHCP機能等を設定して下さい。
疎通確認
実環境での接続テストが可能であれば、本社⇔支社A間、本社⇔支社B間で、トンネルの終端となるアドレスへpingなどの到達性があることを確認します。この段階ではリモートネットワークのLAN側のアドレスへの到達制はありません。
(例)2FE-1から2FE-2へのping
honsya# ping 172.16.2.1 PING 172.16.2.1 (172.16.2.1): 56 data bytes 64 bytes from 172.16.2.1: icmp_seq=0 ttl=248 time=14.270 ms 64 bytes from 172.16.2.1: icmp_seq=1 ttl=248 time=6.088 ms 64 bytes from 172.16.2.1: icmp_seq=2 ttl=248 time=9.105 ms 64 bytes from 172.16.2.1: icmp_seq=3 ttl=248 time=10.161 ms ^C ----172.16.2.1 PING Statistics---- 4 packets transmitted, 4 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 6.088/9.906/14.270/3.383 ms
[本社]VPN設定
VPNの設定は大きく分けて次の2点の設定が必要になります。- Tunnelインタフェースの設定
VPNのためのTunnelインタフェースを設定します - ルーティングの設定
リモートネットワークへの経路をTunnelインタフェースへ向けます
トンネルインタフェースの設定
1| # interface tunnel0 tunnel 172.16.1.1 172.16.2.1 2| # interface tunnel0 unnumbered 3| # interface tunnel1 tunnel 172.16.1.1 172.16.3.1 4| # interface tunnel1 unnumbered
| 1,3行目 | tunnel0 tunnel <始点> <終点> 始点として本社(2FE-1)のアドレスを、終点として支社A(2FE-2)のアドレスを指定し、トンネルインタフェースを設定します。 |
|---|---|
| 2,4行目 | tunnel0 unnumbered トンネルインタフェースをunnumberedインタフェースとして設定します。tunnel0は支社Aと張るトンネル、tunnel1は支社Bと張るトンネルですので、tunnel0と同様にtunnel1も支社Bのパラメータを使用して設定します。 |
支社A,Bへの静的経路追加
1| # route add 192.168.2.0/24 tunnel0 ・・・支社Aへ 2| # route add 192.168.3.0/24 tunnel1 ・・・支社Bへ
| 1行目 | 192.168.2.0/24 tunnel0 支社AのLAN側ネットワーク宛の通信はtunnel0インタフェースへ向けます。同様に、支社Bのネットワーク宛の通信はtunnel1インタフェースへ向けます。このほかにデフォルト経路がpppoe0へ向いていますので(既定値)、インターネットへの経路も確保されています。 |
|---|
[支社A]VPN設定
支社Aでは、本社と張るトンネルインタフェースを設定し、本社と支社B宛の通信をトンネルインタフェースへ向けます。
トンネルインタフェースの設定
# interface tunnel0 tunnel 172.16.2.1 172.16.1.1 # interface tunnel0 unnumbered
本社と支社Bへの静的経路追加
# route add 192.168.1.0/24 tunnel0 # route add 192.168.3.0/24 tunnel0
[支社B]VPN設定
支社Bでも支社Aと同様に、本社と張るトンネルインタフェースを設定し、本社と支社A宛の通信をトンネルインタフェースへ向けます。
トンネルインタフェースの設定
# interface tunnel0 tunnel 172.16.3.1 172.16.1.1 # interface tunnel0 unnumbered
本社と支社Aへの静的経路追加
# route add 192.168.1.0/24 tunnel0 # route add 192.168.2.0/24 tunnel0
NAT/NAPT
必要に応じて各拠点のNAT/NAPT設定を変更します。
(例)本社の2FEでNAPTを使用してLAN内ホストからインターネットを利用する場合
# nat napt add private 192.168.1.0-192.168.1.255 interface pppoe0
工場出荷状態では"192.168.0.0-192.168.255.255"が範囲指定されているので、そのままでも各拠点共NAPTの適用範囲となります。
不要な設定の削除/使用しない機能の停止
各2FEにおいて、使用しない次の項目を削除/停止します。- デフォルトのPPP設定"pppoe-sample"の削除
- デフォルトのIPsec/IKEプロポーザル
- DHCPサーバ機能の停止(使用するのであれば停止する必要はありません)
# ppp delete pppoe-sample # ipsec security-association proposal delete all # ike proposal delete all # dhcp disable
以上で設定は完了です。
LAN内ホスト間の疎通確認
トンネルインタフェースと経路の設定が完了するとリモートネットワークのLAN内プライベートアドレスとの通信が可能になりますので、ping等でテストします。
(例)2FE-2から2FE-1へのping
shishaA# ping 192.168.1.1 PING 192.168.1.1 (192.168.1.1): 56 data bytes 64 bytes from 192.168.1.1: icmp_seq=0 ttl=248 time=14.270 ms 64 bytes from 192.168.1.1: icmp_seq=1 ttl=248 time=6.088 ms 64 bytes from 192.168.1.1: icmp_seq=2 ttl=248 time=9.105 ms 64 bytes from 192.168.1.1: icmp_seq=3 ttl=248 time=10.161 ms ^C ----172.16.2.1 PING Statistics---- 4 packets transmitted, 4 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 6.088/9.906/14.270/3.383 ms
設定内容(show config)
2FE-1[本社]
1| hostname "honsha" 2| timezone "Japan" 3| login-timer 300 4| ppp add ISP01 keepalive 30 ipcp enable ipcp-address on ipcp-dns on ipv6cp disable authentication-method chap identifier sample01@example.jp passphrase PassWord tcp-mss auto 5| interface lan0 media auto 6| interface lan0 add 192.168.1.1/24 7| interface lan1 media auto 8| interface lan1 queue normal 9| interface tunnel0 tunnel 172.16.1.1 172.16.2.1 10| interface tunnel0 unnumbered 11| interface tunnel1 tunnel 172.16.1.1 172.16.3.1 12| interface tunnel1 unnumbered 13| interface pppoe0 over lan1 14| interface pppoe0 ppp-configuration ISP01 15| bridge disable 16| bridge ip-bridging on 17| bridge ipv6-bridging on 18| route add default pppoe0 19| route add 192.168.2.0/24 tunnel0 20| route add 192.168.3.0/24 tunnel1 21| route dynamic rip disable 22| route dynamic ospf disable 23| route6 dynamic ripng disable 24| nat timeout 900 25| nat logging off 26| nat napt add private 192.168.0.0-192.168.255.255 interface pppoe0 27| dhcp disable 28| dhcp expire 24 29| dhcp pool 192.168.0.2 253 30| dhcp dns add 192.168.0.1 31| dns forwarder enable 32| dns forwarder add ipcp 33| ntp disable 34| snmp disable 35| snmp community "public" 36| snmp trap disable 37| syslog debug-level off 38| syslog facility local1 39| syslog remote off 40| translator timeout 300 41| resolver disable 42| rtadvd disable 43| rtadvd advertise auto 44| httpd enable 45| sshd disable 46| telnetd enable 47| remote-console disable 48| vendor OEM
※ 行番号のない行は直前の行の続きです。
2FE-2[支社A]
1| hostname "shishaA" 2| timezone "Japan" 3| login-timer 300 4| ppp add ISP01 keepalive 30 ipcp enable ipcp-address on ipcp-dns on ipv6cp disable authentication-method chap identifier sample02@example.jp passphrase PassWord tcp-mss auto 5| interface lan0 media auto 6| interface lan0 add 192.168.2.1/24 7| interface lan1 media auto 8| interface lan1 queue normal 9| interface tunnel0 tunnel 172.16.2.1 172.16.1.1 10| interface tunnel0 unnumbered 11| interface pppoe0 over lan1 12| interface pppoe0 ppp-configuration ISP01 13| bridge disable 14| bridge ip-bridging on 15| bridge ipv6-bridging on 16| route add default pppoe0 17| route add 192.168.1.0/24 tunnel0 18| route add 192.168.3.0/24 tunnel0 19| route dynamic rip disable 20| route dynamic ospf disable 21| route6 dynamic ripng disable 22| nat timeout 900 23| nat logging off 24| nat napt add private 192.168.0.0-192.168.255.255 interface pppoe0 25| dhcp disable 26| dhcp expire 24 27| dhcp pool 192.168.0.2 253 28| dhcp dns add 192.168.0.1 29| dns forwarder enable 30| dns forwarder add ipcp 31| ntp disable 32| snmp disable 33| snmp community "public" 34| snmp trap disable 35| syslog debug-level off 36| syslog facility local1 37| syslog remote off 38| translator timeout 300 39| resolver disable 40| rtadvd disable 41| rtadvd advertise auto 42| httpd enable 43| sshd disable 44| telnetd enable 45| remote-console disable 46| vendor OEM
※ 行番号のない行は直前の行の続きです。
2FE-3[支社B]
1| hostname "shishaB" 2| timezone "Japan" 3| login-timer 300 4| ppp add ISP01 keepalive 30 ipcp enable ipcp-address on ipcp-dns on ipv6cp disable authentication-method chap identifier sample03@example.jp passphrase PassWord tcp-mss auto 5| interface lan0 media auto 6| interface lan0 add 192.168.3.1/24 7| interface lan1 media auto 8| interface lan1 queue normal 9| interface tunnel0 tunnel 172.16.3.1 172.16.1.1 10| interface tunnel0 unnumbered 11| interface pppoe0 over lan1 12| interface pppoe0 ppp-configuration ISP01 13| bridge disable 14| bridge ip-bridging on 15| bridge ipv6-bridging on 16| route add default pppoe0 17| route add 192.168.1.0/24 tunnel0 18| route add 192.168.2.0/24 tunnel0 19| route dynamic rip disable 20| route dynamic ospf disable 21| route6 dynamic ripng disable 22| nat timeout 900 23| nat logging off 24| nat napt add private 192.168.0.0-192.168.255.255 interface pppoe0 25| dhcp disable 26| dhcp expire 24 27| dhcp pool 192.168.0.2 253 28| dhcp dns add 192.168.0.1 29| dns forwarder enable 30| dns forwarder add ipcp 31| ntp disable 32| snmp disable 33| snmp community "public" 34| snmp trap disable 35| syslog debug-level off 36| syslog facility local1 37| syslog remote off 38| translator timeout 300 39| resolver disable 40| rtadvd disable 41| rtadvd advertise auto 42| httpd enable 43| sshd disable 44| telnetd enable 45| remote-console disable 46| vendor OEM
※ 行番号のない行は直前の行の続きです。