本文へジャンプします。

【重要なお知らせ】サービス統合に基づくサービス名称の読み替えのお願い(2024年4月1日)

2024年4月1日をもって、「ニフクラ」は、「FJcloud-V」に統合し、名称を変更しました。
当サイトのアドレス(ドメイン名)に含まれる「nifcloud.com」は現時点では変更はございませんが、
各ページに記載の「ニフクラ」「NIFCLOUD」「nifcloud」は、「FJcloud-V」に読み替えていただきますようお願いいたします。

ニフクラ ユーザーガイド

クラウド トップ>ネットワーク>ユーザーガイド>拠点間VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(Cisco IOS)

拠点間VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(Cisco IOS)

拠点側VPN装置にCisco IOSを使用した場合の設定です。

下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ:VPNコネクション:作成

構成

拠点間VPNゲートウェイを利用し、ニフクラとお客様拠点をIPsec VPN(L3VPN)で接続するためには、以下の項目を事前にご確認ください。
以降の設定手順、確認手順では下記を検証環境、構成例として用います。

検証環境
ソフトウェア IOS 15.1以上
構成例
拠点間VPNゲートウェイのIPアドレス 198.51.100.123
拠点VPN装置のIPアドレス 203.0.113.234
プライベートLAN CIDR 172.31.1.0/24
拠点CIDR 192.168.1.0/24
共有鍵 0582877a-3907-4357-8763-d32e9050eb08
WAN側のインターフェース gigabitEthernet0
IPsecトランスフォーム・セット名 niftycloudset
暗号マップ名 niftycloudmap

設定手順

  1. 設定モードに移行します。

    c892j#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.

  2. IKEの暗号アルゴリズムとハッシュ・アルゴリズムの設定を行います。

    c892j(config)#crypto isakmp policy 1
c892j(config-isakmp)#encryption aes
c892j(config-isakmp)#hash sha
c892j(config-isakmp)#authentication pre-share
c892j(config-isakmp)#group 2
c892j(config-isakmp)#lifetime 28800
c892j(config-isakmp)#exit

  3. IKEの事前共有鍵を設定します。

    ※「198.51.100.123」は実際のVPNゲートウエイのIPアドレスに、「0582877a-3907-4357-8763-d32e9050eb08」は実際の共有鍵にそれぞれ置き換えてください。

    c892j(config)#crypto isakmp key 0582877a-3907-4357-8763-d32e9050eb08 address 198.51.100.123

  4. DPDの設定を行います。

    c892j(config)#crypto isakmp keepalive 15 periodic

  5. IPsecトランスフォーム・セット設定を行います。

    c892j(config)#crypto ipsec transform-set niftycloudset esp-aes esp-sha-hmac
c892j(cfg-crypto-trans)#exit

  6. IPsecトンネルを通すアドレスの拡張アクセスリストを設定します。

    ※「192.168.1.0/24」を実際の拠点CIDRの値に、「172.31.1.0/24」を実際のプライベートLAN CIDRの値に、それぞれ置き換えてください。

    c892j(config)#ip access-list extended acl_vpn_niftycloud
c892j(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 172.31.1.0 0.0.0.255
c892j(config-ext-nacl)#exit

  7. 暗号マップの設定を行います。

    ※「198.51.100.123」を実際の拠点間VPNゲートウェイのIPアドレスの値に、置き換えてください。

    c892j(config)#crypto map niftycloudmap 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
 and a valid access list have been configured.
c892j(config-crypto-map)#set peer 198.51.100.123
c892j(config-crypto-map)#set security-association lifetime seconds 3600
c892j(config-crypto-map)#set transform-set niftycloudset
c892j(config-crypto-map)#match address acl_vpn_niftycloud
c892j(config-crypto-map)#exit

  8. WAN側のインターフェースに暗号マップを適用します。

    c892j(config)#interface gigabitEthernet0
c892j(config-if)#crypto map niftycloudmap
c892j(config-if)#exit

    プライベートLAN CIDR宛てのパケットをIPsecトンネルに通すためにはプライベートLAN CIDRがルーティングテーブル上に存在する必要があります。

    デフォルトゲートウェイの設定がされている場合

    設定は不要です

    デフォルトゲートウェイの設定がされていない場合

    プライベートLAN CIDR宛てのルーティングの設定を行います。

    ※「172.31.1.0 255.255.255.0」を実際のプライベートLAN CIDRに、「203.0.113.1」を実際の上流ルーターのアドレスに、それぞれ置き換えてください。

    c892j(config)#ip route 172.31.1.0 255.255.255.0 203.0.113.1

    WAN側のインターフェースでNATを利用している場合

    プライベートLAN CIDR宛てのパケットをNATによるアドレス変換対象から除外する必要があります。
    これは、Cisco IOSがIPsecトンネルを通すか通さないかの判断をする前にNATを適用するためです。

    WAN側のインターフェースでNATを利用している場合はNATを適用するルールを以下のような拡張アクセスリストに変更してください。

    c892j(config)#ip access-list extended acl_nat
c892j(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 172.31.1.0 0.0.0.255
c892j(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any
c892j(config-ext-nacl)#exit

  9. 設定を保存します。

    c892j(config)#exit
c892j#copy running-config startup-config
Destination filename [startup-config]? 
Building configuration…
[OK]
c892j#

確認手順

IKEのSAが正常に確立されているか確認する

show crypto isakmp saコマンドを実行します。
下記のようにACTIVEとなっていれば正常に確立できています。

c892j#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
203.0.113.234 198.51.100.123 QM_IDLE 2005 ACTIVE

IPv6 Crypto ISAKMP SA

c892j#
ESPのSAが正常に確立されているか確認する

show crypto ipsec saコマンドを実行します。
下記のようにStatusがACTIVEとなっていれば正常に確立できています。

c892j#show crypto ipsec sa 
     PFS (Y/N): Y, DH group: group2

interface: GigabitEthernet0
    Crypto map tag: niftycloudmap, local addr 203.0.113.234

   protected vrf: (none)
   local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.31.1.0/255.255.255.0/0/0)
   current_peer 198.51.100.123 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10
    #pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 15, #recv errors 0

     local crypto endpt.: 203.0.113.234, remote crypto endpt.: 198.51.100.123
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0
     current outbound spi: 0x3B1B8B62(991660898)

     inbound esp sas:
      spi: 0xB4DD1BBD(3034389437)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 1, flow_id: Motorola SEC 2.0:1, sibling_flags 80000046, crypto map: niftycloudmap
        sa timing: remaining key lifetime (k/sec): (4583285/3055)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x3B1B8B62(991660898)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2, flow_id: Motorola SEC 2.0:2, sibling_flags 80000046, crypto map: niftycloudmap
        sa timing: remaining key lifetime (k/sec): (4583285/3055)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE
          
     outbound ah sas:

     outbound pcp sas:
c892j#

アンケート
アンケートにご協力を

ニフクラ サイト内検索

ユーザーガイドメニュー

  • ツイッターでフォローしてください
  • ニフクラ公式フェイスブックページ
  • ※本ページ記載の金額は、すべて税抜表示です。
  • ※本ページ記載の他社製品名および会社名などは、各社の商標または登録商標です。
  • ※本ページの内容は、2024年11月18日時点の情報です。

推奨画面サイズ 1024×768 以上

ページの先頭へ