拠点間VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(富士通 IPCOM EX2(SC/NW/IN)/ IPCOM VE2(SC/SC PLUS))
拠点側VPN装置に富士通 IPCOM EX2シリーズ(SC/NW/IN)/ IPCOM VE2シリーズ(SC/SC PLUS)を使用した場合の設定です。
下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ:VPNコネクション:作成
構成
拠点間VPNゲートウェイを利用し、ニフクラとお客様拠点を IPsec VPN(L3VPN)で接続するためには、以下の項目を事前にご確認ください。
以降の設定手順、確認手順では下記を検証環境、構成例として用います。
検証環境
| 製品 | 富士通 IPCOM EX2シリーズ(SC/NW/IN)/ IPCOM VE2シリーズ(SC/SC PLUS) |
| ソフトウェア | V01L05以上 |
構成例
| 拠点間VPNゲートウェイのIPアドレス | 198.51.100.123 |
| プライベートLAN CIDR | 172.31.1.0/24 |
| 拠点CIDR | 192.168.1.0/24 |
| 共有鍵 | hoge |
| 暗号化アルゴリズム | AES128 |
| 認証アルゴリズム | SHA1 |
| DH Group | 2 (1024-bit MODP Group) |
| PPPユーザー名 | user@isp |
| PPPパスワード | isppasswd |
| WAN側物理インタフェース | lan0.0 |
| 拠点側物理インタフェース | lan0.3 |
設定手順
コンフィグ編集モードへ移行します。
ipcom# configure terminal ipcom(config)# load running-configLAN側インタフェースにアドレスを設定します。
※192.168.1.1/24は実際の拠点CIDRの値に書き換えてください。ipcom(edit)# interface lan0.3 ipcom(edit-if)# ip address 192.168.1.1 255.255.255.0 ipcom(edit-if)# ip-routingPPPoEインタフェースの設定をします。
ipcom(edit)# interface lan0.0 ipcom(edit-if)# exit ipcom(edit)# interface ppp0 ipcom(edit-if)# ip address auto ipcom(edit-if)# ip-routing ipcom(edit-if)# ppp user-name user@isp ipcom(edit-if)# ppp password isppasswd ipcom(edit-if)# ppp authentication-protocol auto ipcom(edit-if)# ppp dns-server auto ipcom(edit-if)# ppp add-routers distance 50 ipcom(edit-if)# ppp-link lan0.0 ipcom(edit-if)# ppp mru 1454 ipcom(edit-if)# mtu 1454セレクタの設定をします。
※192.168.1.0/24は実際の拠点IPアドレスの値に、172.31.1.0/24はプライベートLAN CIDRの値にそれぞれ書き換えてください。ipcom(edit)# class-map match-all ipsec ipcom(edit-cmap)# match source-address ipv4 192.168.1.0/24 ipcom(edit-cmap)# match destination-address ipv4 172.31.1.0/24IPsecの設定をします。
※hogeを実際の共有鍵、198.51.100.123は実際の拠点間VPNゲートウェイのIPアドレスにそれぞれ書き換えてください。ipcom(edit)# ike rule 10 ipcom(edit-ike-rule)# set-peer ipv4 198.51.100.123 interface ppp0 ipcom(edit-ike-rule)# dpd-keep-alive idleonly ipcom(edit-ike-rule)# policy 10 ipcom(edit-ike-rule-policy)#authentication pre-share ipcom(edit-ike-rule-policy)# hash hmac-sha1 ipcom(edit-ike-rule-policy)# encryption aes128 ipcom(edit-ike-rule-policy)# lifetime time 8 hour ipcom(edit-ike-rule-policy)# group 2 ipcom(edit)# ike pre-shared-key ipv4 198.51.100.123 key hoge ipcom(edit)# ipsec rule 100 ipcom(edit-ipsec-rule)# set-peer ipv4 198.51.100.123 interface ppp0 ipcom(edit-ipsec-rule)# class-map ipsec ipcom(edit-ipsec-rule)# set-transform esp-hmac-sha1-aes128 ipcom(edit-ipsec-rule)# lifetime time 1 hour最後に設定をrunning-configとstartup-configに保存します(commitコマンドの後、yを2回押す)
ipcom(edit)# commit
確認手順
IKE、ESPのSAが正常に確立されているか確認します。
IKEのSAが正常に確立されているか確認するためには「show ike-information detail-all」「show ipsec-information detail-all」コマンドを実行します。
「show ipsec-information detail-all」コマンドの結果、
下記のように対象のSA内のパケットのカウンタ(Packets内の数字)が上がっていれば、確立されたトンネル内に通信が流れていることが確認できます。
[IPsec SA Information]
[No 0001]
(Current IPsec SA)
Mode(tunnel)
Local-IP(ppp0: x.x.x.x)
Peer-IP(y.y.y.y)
Direction(IN), Protocol(ESP), Spi(2280102812,0x87e79b9c)
Source(192.168.1.0/24[0]:any)
Destination(10.0.0.0/24[0]:any)
~省略~
MaxSequence(4080218930), Sequence(187)
Packets(187), UserOctets(13524)bytes
