クラウドユーザーガイド(ネットワーク:拠点間VPNゲートウェイ:IKEv1 IPsec VPN（L3VPN）で接続する拠点側VPN装置の設定（NEC IX）)

拠点間VPNゲートウェイ：IKEv1 IPsec VPN（L3VPN）で接続する拠点側VPN装置の設定（NEC IX）

拠点側VPN装置にNEC IXシリーズを使用した場合の設定です。

下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ：VPNコネクション：作成

構成

拠点間VPNゲートウェイを利用し、ニフクラとお客様拠点をIPsec VPN（L3VPN）で接続するためには、以下の項目を事前にご確認ください。
以降の設定手順、確認手順では下記を検証環境、構成例として用います。

検証環境

製品	NEC IXシリーズ
ソフトウェア	Ver.8.9.17以上

構成例

拠点間VPNゲートウェイのIPアドレス	198.51.100.123
拠点VPN装置のIPアドレス	203.0.113.234
プライベートLAN CIDR	172.31.1.0/24
拠点CIDR	192.168.1.0/24
共有鍵	0582877a-3907-4357-8763-d32e9050eb08
WAN側のインターフェース	GigaEthernet0.0
LAN側のインターフェース	GigaEthernet1.0
IPsecアクセスリスト名	niftycloudacl
IKEプロポーザル名	niftycloudikeprop
IPsecプロポーザル名	niftycloudipsecprop
IKEポリシー名	niftycloudikepolicy
IPsecポリシー名	niftycloudipsecpolicy

設定手順

1. 設定モードに移行します。

   Router# enable-config
   Enter configuration commands, one per line. End with CNTL/Z.
   Router(config)#

2. UFSキャッシュ機能を有効化します。

   Router(config)# ip ufs-cache enable
   Router(config)#

3. IPsecトンネルを通すアドレスのアクセスリストを設定します。

   Router(config)# ip access-list niftycloudacl permit ip src any dest any
   Router(config)#

4. IPsecトンネルを通すアドレスのアクセスリストを設定します。

   Router(config)# ip access-list niftycloudacl permit ip src any dest any
   Router(config)#

5. IKEの設定をします。

   ※「0582877a-3907-4357-8763-d32e9050eb08」は、実際の共有鍵に置き換えてください。

   Router(config)# ike proposal niftycloudikeprop encryption aes hash sha group 1024-bit
   Router(config)# ike policy niftycloudikepolicy peer 198.51.100.123 key 0582877a-3907-4357-8763-d32e9050eb08 niftycloudikeprop
   Router(config)#

6. IPsecの設定をします。

   ※「198.51.100.123」を拠点間VPNゲートウェイのIPアドレスに、「192.168.1.0/24」を実際の拠点CIDRに、「172.31.1.0/24」を実際のプライベートLAN CIDRに、それぞれ置き換えてください。

   
   Router(config)# ipsec autokey-proposal niftycloudipsecprop esp-aes esp-sha lifetime time 3600
   Router(config)# ipsec autokey-map niftycloudipsecpolicy niftycloudacl peer 198.51.100.123  niftycloudipsecprop
   Router(config)# ipsec local-id niftycloudipsecpolicy 192.168.1.0/24
   Router(config)# ipsec remote-id niftycloudipsecpolicy 172.31.1.0/24
   Router(config)#
   

7. IPsecトンネル・インターフェースの設定をします。

   ※「GigaEthernet1.0」を実際のLAN側インターフェースに置き換えてください。

   Router(config)# interface Tunnel0.0
   Router(config-Tunnel0.0)# tunnel mode ipsec
   Router(config-Tunnel0.0)# ipsec policy tunnel niftycloudipsecpolicy out
   Router(config-Tunnel0.0)# ip unnumbered GigaEthernet1.0
   Router(config-Tunnel0.0)# ip tcp adjust-mss auto
   Router(config-Tunnel0.0)# no shutdown
   Router(config-Tunnel0.0)# exit
   Router(config)#

8. プライベートLAN CIDR宛のパケットがIPsecトンネル・インターフェースを通るようルーティングの設定を行います。

   ※「172.31.1.0/24」を実際のプライベートLAN CIDRに置き換えてください。

   Router(config)# ip route 172.31.1.0/24 Tunnel0.0
   Router(config)#

9. 設定を保存します。

   Router(config)# copy running-config startup-config
   Copying from "running-config" to "startup-config"
   Building configuration...
   % Warning: do NOT enter CNTL/Z while saving to avoid config corruption.
   Router(config)#

確認手順

IKEのSAが正常に確立されているか確認する

show ike saコマンドを実行します。
下記のようにState is establishedなSAが表示されれば正常に確立できています。

Router(config)# show ike sa
ISAKMP SA - 1 configured, 2 created
Local address is 203.0.113.234, port is 500
Remote address is 198.51.100.123, port is 500
  IKE policy name is niftycloudikepolicy
  Direction is initiator
  Initiator's cookie is 0x747fcaa81b181ce3
  Responder's cookie is 0x44bd63e9f054b7f5
  Exchange type is main mode
  State is established
  Authentication method is pre-shared
  Encryption algorithm is aes
  Hash algorithm is sha
  DH group is modp1024, lifetime is 28297 seconds
  #ph1 success: 1, #ph1 failure: 0
  #ph1 hash err: 0, #ph1 timeout: 0, #ph1 resend: 0
  #ph2 success: 1, #ph2 failure: 1
  #ph2 hash err: 0, #ph2 timeout: 1, #ph2 resend: 3
Local address is 203.0.113.234, port is 500
Remote address is 198.51.100.123, port is 500
  IKE policy name is niftycloudikepolicy
  Direction is responder
  Initiator's cookie is 0xd9f8cc6a06ba8cd9
  Responder's cookie is 0x0d1dcb7c316a242c
  Exchange type is main mode
  State is established
  Authentication method is pre-shared
  Encryption algorithm is aes
  Hash algorithm is sha
  DH group is modp1024, lifetime is 28312 seconds
  #ph1 success: 1, #ph1 failure: 0
  #ph1 hash err: 0, #ph1 timeout: 0, #ph1 resend: 0
  #ph2 success: 1, #ph2 failure: 0
  #ph2 hash err: 0, #ph2 timeout: 0, #ph2 resend: 0
Router(config)#

ESPのSAが正常に確立されているか確認する

show ipsec saコマンドを実行します。
下記のように表示されれば正常に確立できています。

Router(config)# show ipsec sa
IPsec SA - 1 configured, 2 created
Interface is Tunnel0.0
  Key policy map name is niftycloudipsecpolicy
    Tunnel mode, 4-over-4, autokey-map
    Local address is 203.0.113.234
    Remote address is 198.51.100.123
    Outgoing interface is GigaEthernet0.1
    Interface MTU is 1398, path MTU is 1454
    Inbound:
      ESP, SPI is 0x53e596af(1407555247)
        Transform is ESP-AES-HMAC-SHA-96
        Remaining lifetime is 3158 seconds
      Replay detection support is on
    Outbound:
      ESP, SPI is 0xd170c450(3513828432)
        Transform is ESP-AES-HMAC-SHA-96
        Remaining lifetime is 3158 seconds
      Replay detection support is on
    Perfect forward secrecy is 1024-bit
Router(config)#

---

アンケート

アンケートにご協力を