最終更新:2020-08-15 (土) 01:24:54 (39d)  

UNIVERGE IX/VPN

IPsec

本社

  • GE010.10.10.100ip adress 10.10.10.100
    GE0PPPoEppp binding <profile>
    GE2192.168.0.254ip address 192.168.0.254/24
    LAN192.168.0.x

拠点 (y)

  • GE010.10.10.yip adress 10.10.10.y
    GE0PPPoEppp binding <profile>
    GE2192.168.y.254ip address 192.168.y.254/24
    LAN192.168.y.x
  • ルーティング
    ip ufs-cache enable
    ip route 10.10.10.100/32 GigaEthernet0.1トンネルの接続先(10.10.10.100)へ到達するためのスタティックルート
    GE0.1:出力先としてWAN回線に接続するPPPoEインタフェースの名前
    ip route default Tunnel0.0トンネル経由で接続先のLANへ到達するためのスタティックルート
    トンネルインタフェースをdefaultルートとして指定することで、各拠点からの通信は全て本社経由で行われる。
  • IKE (フェーズ1)
    ike proposal ike-prop encryption aes-256 hash sha lifetime 3600IKEプロポーザルの作成
    |ike policy ike1 peer 10.10.10.100 key mykey ike-prop|IKEポリシーの設定
    mykey:事前共有鍵(対向装置と同じ値にする)
    ike-prop:プロポーザル|''
  • IKE (フェーズ2)
    ip access-list sec-list permit ip src any dest anyIPv4 アクセスリストの登録
    ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha lifetime time 3600自動鍵プロポーザルの作成
    ipsec autokey-map ipsec1 sec-list peer 10.10.10.100 ipsec-prop自動鍵ポリシーマップの登録
    ipec1:ポリシーマップ名
    peer ピアアドレス
    ipsec local-id ipsec1 192.168.y.0/24自装置側のIPsec ID の設定 (サブネットアドレス)
    ipsec remote-id ipsec1 192.168.0.0/24相手装置のIPsec ID の設定 (サブネットアドレス)
  • トンネル
    interface Tunnel0.0インターフェイス設定
    tunnel mode ipsecトンネルモード設定
    ip unnumbered GigaEthernet2.0IPsecポリシーの設定
    ipsec policy tunnel ipsec1 out作成したIPsecポリシーの関連付け
    ip tcp adjust-mss? autoTCP MSS調整
  • フィルタ
    • インターネット側から受信するパケットを、送信元がトンネルの接続先のパケットに限定
    ip access-list f-list permit ip src 10.10.10.100/32 dest 10.10.10.y/32フィルタを定義
    interface GigaEthernet0.1
    ip filter f-list 1 inフィルタを適用

メモ

  • 初めて疎通確認を行う場合(ping)、1つ目のパケットはIPsec確立のトリガーとして使用されるためロスします。

L2VPN

対応

同一セグメント

接続種類

ダイナミックVPN

IPsec

IPトンネル

L2TP/IPsec (L2TPv2)

メモ