最終更新:2020-08-15 (土) 01:24:54 (1343d)
UNIVERGE IX/VPN
Top / UNIVERGE IX / VPN
IPsec
本社
GE0 10.10.10.100 ip adress 10.10.10.100 GE0 PPPoE ppp binding <profile> GE2 192.168.0.254 ip address 192.168.0.254/24 LAN 192.168.0.x
拠点 (y)
GE0 10.10.10.y ip adress 10.10.10.y GE0 PPPoE ppp binding <profile> GE2 192.168.y.254 ip address 192.168.y.254/24 LAN 192.168.y.x
- ルーティング
ip ufs-cache enable ip route 10.10.10.100/32 GigaEthernet0.1 トンネルの接続先(10.10.10.100)へ到達するためのスタティックルート
GE0.1:出力先としてWAN回線に接続するPPPoEインタフェースの名前ip route default Tunnel0.0 トンネル経由で接続先のLANへ到達するためのスタティックルート
トンネルインタフェースをdefaultルートとして指定することで、各拠点からの通信は全て本社経由で行われる。
- IKE (フェーズ1)
|ike policy ike1 peer 10.10.10.100 key mykey ike-prop|IKEポリシーの設定
ike proposal ike-prop encryption aes-256 hash sha lifetime 3600 IKEプロポーザルの作成
mykey:事前共有鍵(対向装置と同じ値にする)
ike-prop:プロポーザル|'' - IKE (フェーズ2)
ip access-list sec-list permit ip src any dest any IPv4 アクセスリストの登録 ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha lifetime time 3600 自動鍵プロポーザルの作成 ipsec autokey-map ipsec1 sec-list peer 10.10.10.100 ipsec-prop 自動鍵ポリシーマップの登録
ipec1:ポリシーマップ名
peer ピアアドレスipsec local-id ipsec1 192.168.y.0/24 自装置側のIPsec ID の設定 (サブネットアドレス) ipsec remote-id ipsec1 192.168.0.0/24 相手装置のIPsec ID の設定 (サブネットアドレス) - トンネル
interface Tunnel0.0 インターフェイス設定 tunnel mode ipsec トンネルモード設定 ip unnumbered GigaEthernet2.0 IPsecポリシーの設定 ipsec policy tunnel ipsec1 out 作成したIPsecポリシーの関連付け ip tcp adjust-mss? auto TCP MSS調整
- フィルタ
- インターネット側から受信するパケットを、送信元がトンネルの接続先のパケットに限定
ip access-list f-list permit ip src 10.10.10.100/32 dest 10.10.10.y/32 フィルタを定義 interface GigaEthernet0.1 ip filter f-list 1 in フィルタを適用
メモ
- 初めて疎通確認を行う場合(ping)、1つ目のパケットはIPsec確立のトリガーとして使用されるためロスします。
L2VPN
対応
同一セグメント
- UNIVERGE IXはL2TPv3に対応してないが、EtherIPに対応しているのでそちらを使うことを推奨。
接続種類
ダイナミックVPN
IPsec
IPトンネル
L2TP/IPsec (L2TPv2)
- https://jpn.nec.com/univerge/ix/faq/l2tpv2.html
- L2TPv2のサーバ側機能にのみ対応しており、クライアント側機能は未サポート
メモ
- L2TPv3は未対応