5. インターネットVPN(IKEv2)設定

5.1. 固定IPアドレスによるインターネットVPN(IKEv2)

PPPoE接続によるインターネットVPN接続設定例です。
IPsecのIKEv2による両拠点とも固定IPアドレス契約で接続する例です。
../_images/5.1.png

設定

本装置(A)の設定

Router# configure
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ikev2 authentication psk id keyid id-a key char key-a
Router(config)# ikev2 authentication psk id keyid id-b key char key-b
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-a@example.com
Router(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
Router(config-ppp-ppp-prof)# exit
Router(config)# ikev2 default-profile
Router(config-ikev2-dprof)# local-authentication psk id keyid id-a
Router(config-ikev2-dprof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address 10.0.0.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec-ikev2
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ikev2 connect-type auto
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 peer 10.1.1.1 authentication psk id keyid id-b
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

本装置(B)の設定

Router# configure
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ikev2 authentication psk id keyid id-a key char key-a
Router(config)# ikev2 authentication psk id keyid id-b key char key-b
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-b@example.com
Router(config-ppp-ppp-prof)# authentication password user-b@example.com password-b
Router(config-ppp-ppp-prof)# exit
Router(config)# ikev2 default-profile
Router(config-ikev2-dprof)# local-authentication psk id keyid id-b
Router(config-ikev2-dprof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address 10.1.1.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec-ikev2
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ikev2 connect-type auto
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 peer 10.0.0.1 authentication psk id keyid id-a
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

解説

本装置(A)の解説

ip route 192.168.1.0/24 Tunnel0.0

IPsec接続先をトンネルインタフェースに設定します。

ikev2 authentication psk id keyid id-a key char key-a
ikev2 authentication psk id keyid id-b key char key-b
IKEv2の認証情報の設定です。
認証方式に自装置のIDと事前共有鍵、対向装置のIDと事前共有鍵をそれぞれ設定します。
ikev2 default-profile
  local-authentication psk id keyid id-b
IKEv2デフォルトプロファイルの設定です。
自装置の認証情報のIDを設定します。
アルゴリズムやライフタイムなどの指定を省略した場合、自装置が対応している値全てを提案し、対向装置も対応している値の中から最もセキュリティの高い値を選択します。
interface Tunnel0.0
  tunnel mode ipsec-ikev2

トンネルモードをIPsec IKEv2に設定します。

interface Tunnel0.0
  ikev2 connect-type auto
IPsecオートコネクトの設定です。
10秒間隔でSAの有無を周期的に監視し、SAが存在しない場合はIKEv2を動作させてSAを自動的に生成します。
interface Tunnel0.0
  ikev2 outgoing-interface GigaEthernet0.1
IKEv2ではトンネルインタフェース毎にIKEv2パケットの出力インタフェースを固定することができます。
この設定により、"ip route 10.1.1.1/32 GigaEthernet0.1"というルーティング設定が不要となります。
interface Tunnel0.0
  ikev2 peer 10.1.1.1 authentication psk id keyid id-b
対向先の設定です。
対向装置のIPアドレスと対向装置の認証情報のIDを設定します。
ppp profile ppp-prof
  authentication myname user-a@example.com
  authentication password user-a@example.com password-a
interface GigaEthernet0.1
  encapsulation pppoe
  ppp binding ppp-prof
PPPoE接続の設定です。
PPPプロファイルにユーザー名/パスワードを設定し、インタフェースにPPPプロファイルの関連付けを行います。
インタフェースのカプセル化種別をPPPoEに設定します。
interface Tunnel0.0
  ip unnumbered GigaEthernet2.0
トンネルインタフェースのIPアドレス設定です。
"ip unnumbered"コマンドにより、LAN側インタフェース GE2.0 と共有することもできます。
interface Tunnel0.0
  ip tcp adjust-mss auto
トンネルを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に自動調整します。
この設定はTCPフローが通る経路の一箇所に設定すればよいため、本例では本装置(A)側にのみ設定をしています。

本装置(B)の解説

本装置(A)と同様の考え方で設定します。

5.2. 動的IPアドレスによるインターネットVPN(IKEv2)

PPPoE接続によるインターネットVPN接続設定例です。
IPsecのIKEv2による一方の拠点が動的IPアドレス契約で接続する例です。
../_images/5.2.png

設定

本装置(A)の設定

Router# configure
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ikev2 authentication psk id keyid id-a key char key-a
Router(config)# ikev2 authentication psk id keyid id-b key char key-b
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-a@example.com
Router(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
Router(config-ppp-ppp-prof)# exit
Router(config)# ikev2 default-profile
Router(config-ikev2-dprof)# local-authentication psk id keyid id-a
Router(config-ikev2-dprof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address 10.0.0.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec-ikev2
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 peer any authentication psk id keyid id-b
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

本装置(B)の設定

Router# configure
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ikev2 authentication psk id keyid id-a key char key-a
Router(config)# ikev2 authentication psk id keyid id-b key char key-b
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-b@example.com
Router(config-ppp-ppp-prof)# authentication password user-b@example.com password-b
Router(config-ppp-ppp-prof)# exit
Router(config)# ikev2 default-profile
Router(config-ikev2-dprof)# local-authentication psk id keyid id-b
Router(config-ikev2-dprof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec-ikev2
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ikev2 connect-type auto
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 peer 10.0.0.1 authentication psk id keyid id-a
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

解説

本装置(A)の解説

ip route 192.168.1.0/24 Tunnel0.0

IPsec接続先をトンネルインタフェースに設定します。

ikev2 authentication psk id keyid id-a key char key-a
ikev2 authentication psk id keyid id-b key char key-b
IKEv2の認証情報の設定です。
認証方式に自装置のIDと事前共有鍵、対向装置のIDと事前共有鍵をそれぞれ設定します。
ikev2 default-profile
  local-authentication psk id keyid id-a
IKEv2デフォルトプロファイルの設定です。
自装置の認証情報のIDを設定します。
アルゴリズムやライフタイムなどの指定を省略した場合、自装置が対応している値全てを提案し、対向装置も対応している値の中から最もセキュリティの高い値を選択します。
interface Tunnel0.0
  tunnel mode ipsec-ikev2

トンネルモードをIPsec IKEv2に設定します。

interface Tunnel0.0
  ikev2 outgoing-interface GigaEthernet0.1
IKEv2ではトンネルインタフェース毎にIKEv2パケットの出力インタフェースを固定することができます。
この設定により、"ip route default GigaEthernet0.1"というルーティング設定が不要となります。
interface Tunnel0.0
  ikev2 peer any authentication psk id keyid id-b
対向先の設定です。
対向装置のIPアドレスと対向装置の認証情報のIDを設定します。
対向先のIPアドレスが不明な場合はanyを指定します。
ppp profile ppp-prof
  authentication myname user-a@example.com
  authentication password user-a@example.com password-a
interface GigaEthernet0.1
  encapsulation pppoe
  ppp binding ppp-prof
PPPoE接続の設定です。
PPPプロファイルにユーザー名/パスワードを設定し、インタフェースにPPPプロファイルの関連付けを行います。
インタフェースのカプセル化種別をPPPoEに設定します。
interface Tunnel0.0
  ip unnumbered GigaEthernet2.0
トンネルインタフェースのIPアドレス設定です。
"ip unnumbered"コマンドにより、LAN側インタフェース GE2.0 と共有することもできます。
interface Tunnel0.0
  ip tcp adjust-mss auto
トンネルを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に自動調整します。
この設定はTCPフローが通る経路の一箇所に設定すればよいため、本例では本装置(A)側にのみ設定をしています。

本装置(B)の解説

interface Tunnel0.0
  ikev2 connect-type auto
IPsecオートコネクトの設定です。
10秒間隔でSAの有無を周期的に監視し、SAが存在しない場合はIKEv2を動作させてSAを自動的に生成します。

5.3. 動的IPアドレスによる複数対地インターネットVPN(IKEv2)

PPPoE接続によるインターネットVPN接続設定例です。
IPsecのIKEv2による1対多対地の動的IPアドレス契約で接続します。
センター経由でインターネット通信が行えるように、センタールーター[本装置(A)]にNAPTの設定も行います。
../_images/5.3.png

設定

本装置(A)の設定

Router# configure
Router(config)# hostname Center
Center(config)# ip route default GigaEthernet0.1
Center(config)# ip route 192.168.1.0/24 Tunnel1.0
Center(config)# ip route 192.168.2.0/24 Tunnel2.0
Center(config)# proxy-dns server 10.1.1.1 priority 110
Center(config)# proxy-dns server 10.1.1.2 priority 90
Center(config)# ikev2 authentication psk id keyid id-a key char key-a
Center(config)# ikev2 authentication psk id keyid id-b key char key-b
Center(config)# ikev2 authentication psk id keyid id-c key char key-c
Center(config)# ppp profile ppp-prof
Center(config-ppp-ppp-prof)# authentication myname user-a@example.com
Center(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
Center(config-ppp-ppp-prof)# exit
Center(config)# ip dhcp profile dhcp-prof
Center(config-dhcp-dhcp-prof)# dns-server 192.168.0.254
Center(config-dhcp-dhcp-prof)# exit
Center(config)# ikev2 default-profile
Center(config-ikev2-dprof)# local-authentication psk id keyid id-a
Center(config-ikev2-dprof)# exit
Center(config)# interface GigaEthernet2.0
Center(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Center(config-GigaEthernet2.0)# ip dhcp enable
Center(config-GigaEthernet2.0)# ip dhcp binding dhcp-prof
Center(config-GigaEthernet2.0)# proxy-dns ip enable
Center(config-GigaEthernet2.0)# no shutdown
Center(config-GigaEthernet2.0)# exit
Center(config)# interface GigaEthernet0.1
Center(config-GigaEthernet0.1)# encapsulation pppoe
Center(config-GigaEthernet0.1)# ppp binding ppp-prof
Center(config-GigaEthernet0.1)# ip address 10.0.0.1/32
Center(config-GigaEthernet0.1)# ip napt enable
Center(config-GigaEthernet0.1)# ip napt static GigaEthernet0.1 udp 500
Center(config-GigaEthernet0.1)# ip napt static GigaEthernet0.1 50
Center(config-GigaEthernet0.1)# no shutdown
Center(config-GigaEthernet0.1)# exit
Center(config)# interface Tunnel1.0
Center(config-Tunnel1.0)# tunnel mode ipsec-ikev2
Center(config-Tunnel1.0)# ip unnumbered GigaEthernet2.0
Center(config-Tunnel1.0)# ip tcp adjust-mss auto
Center(config-Tunnel1.0)# ikev2 outgoing-interface GigaEthernet0.1
Center(config-Tunnel1.0)# ikev2 peer any authentication psk id keyid id-b
Center(config-Tunnel1.0)# proxy-dns ip enable
Center(config-Tunnel1.0)# no shutdown
Center(config-Tunnel1.0)# exit
Center(config)# interface Tunnel2.0
Center(config-Tunnel2.0)# tunnel mode ipsec-ikev2
Center(config-Tunnel2.0)# ip unnumbered GigaEthernet2.0
Center(config-Tunnel2.0)# ip tcp adjust-mss auto
Center(config-Tunnel2.0)# ikev2 outgoing-interface GigaEthernet0.1
Center(config-Tunnel2.0)# ikev2 peer any authentication psk id keyid id-c
Center(config-Tunnel2.0)# proxy-dns ip enable
Center(config-Tunnel2.0)# no shutdown
Center(config-Tunnel2.0)# exit
Center(config)#

本装置(B)の設定

Router# configure
Router(config)# hostname Site1
Site1(config)# ip route default Tunnel0.0
Site1(config)# ikev2 authentication psk id keyid id-a key char key-a
Site1(config)# ikev2 authentication psk id keyid id-b key char key-b
Site1(config)# ppp profile ppp-prof
Site1(config-ppp-ppp-prof)# authentication myname user-b@example.com
Site1(config-ppp-ppp-prof)# authentication password user-b@example.com password-b
Site1(config-ppp-ppp-prof)# exit
Site1(config)# ip dhcp profile dhcp-prof
Site1(config-dhcp-dhcp-prof)# dns-server 192.168.0.254
Site1(config-dhcp-dhcp-prof)# exit
Site1(config)# ikev2 default-profile
Site1(config-ikev2-dprof)# local-authentication psk id keyid id-b
Site1(config-ikev2-dprof)# exit
Site1(config)# interface GigaEthernet2.0
Site1(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Site1(config-GigaEthernet2.0)# ip dhcp enable
Site1(config-GigaEthernet2.0)# ip dhcp binding dhcp-prof
Site1(config-GigaEthernet2.0)# no shutdown
Site1(config-GigaEthernet2.0)# exit
Site1(config)# interface GigaEthernet0.1
Site1(config-GigaEthernet0.1)# encapsulation pppoe
Site1(config-GigaEthernet0.1)# ppp binding ppp-prof
Site1(config-GigaEthernet0.1)# ip address ipcp
Site1(config-GigaEthernet0.1)# no shutdown
Site1(config-GigaEthernet0.1)# exit
Site1(config)# interface Tunnel0.0
Site1(config-Tunnel0.0)# tunnel mode ipsec-ikev2
Site1(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Site1(config-Tunnel0.0)# ikev2 connect-type auto
Site1(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Site1(config-Tunnel0.0)# ikev2 peer 10.0.0.1 authentication psk id keyid id-a
Site1(config-Tunnel0.0)# no shutdown
Site1(config-Tunnel0.0)# exit

本装置(C)の設定

Router# configure
Router(config)# hostname Site2
Site2(config)# ip route default Tunnel0.0
Site2(config)# ikev2 authentication psk id keyid id-a key char key-a
Site2(config)# ikev2 authentication psk id keyid id-c key char key-c
Site2(config)# ppp profile ppp-prof
Site2(config-ppp-ppp-prof)# authentication myname user-c@example.com
Site2(config-ppp-ppp-prof)# authentication password user-c@example.com password-c
Site2(config-ppp-ppp-prof)# exit
Site2(config)# ip dhcp profile dhcp-prof
Site2(config-dhcp-dhcp-prof)# dns-server 192.168.0.254
Site2(config-dhcp-dhcp-prof)# exit
Site2(config)# ikev2 default-profile
Site2(config-ikev2-dprof)# local-authentication psk id keyid id-c
Site2(config-ikev2-dprof)# exit
Site2(config)# interface GigaEthernet2.0
Site2(config-GigaEthernet2.0)# ip address 192.168.2.254/24
Site2(config-GigaEthernet2.0)# ip dhcp enable
Site2(config-GigaEthernet2.0)# ip dhcp binding dhcp-prof
Site2(config-GigaEthernet2.0)# no shutdown
Site2(config-GigaEthernet2.0)# exit
Site2(config)# interface GigaEthernet0.1
Site2(config-GigaEthernet0.1)# encapsulation pppoe
Site2(config-GigaEthernet0.1)# ppp binding ppp-prof
Site2(config-GigaEthernet0.1)# ip address ipcp
Site2(config-GigaEthernet0.1)# no shutdown
Site2(config-GigaEthernet0.1)# exit
Site2(config)# interface Tunnel0.0
Site2(config-Tunnel0.0)# tunnel mode ipsec-ikev2
Site2(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Site2(config-Tunnel0.0)# ikev2 connect-type auto
Site2(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Site2(config-Tunnel0.0)# ikev2 peer 10.0.0.1 authentication psk id keyid id-a
Site2(config-Tunnel0.0)# no shutdown
Site2(config-Tunnel0.0)# exit
Site2(config)#

解説

本装置(A)の解説

ip route default GigaEthernet0.1
ip route 192.168.1.0/24 Tunnel1.0
ip route 192.168.2.0/24 Tunnel2.0
デフォルトルートをPPPoEインタフェースに設定します。
IPsec接続先をトンネルインタフェースに設定します。
ikev2 authentication psk id keyid id-a key char key-a
ikev2 authentication psk id keyid id-b key char key-b
ikev2 authentication psk id keyid id-c key char key-c
IKEv2の認証情報の設定です。
認証方式に自装置のIDと事前共有鍵、対向装置のIDと事前共有鍵をそれぞれ設定します。
ikev2 default-profile
  local-authentication psk id keyid id-a
IKEv2デフォルトプロファイルの設定です。
自装置の認証情報のIDを設定します。
アルゴリズムやライフタイムなどの指定を省略した場合、自装置が対応している値全てを提案し、対向装置も対応している値の中から最もセキュリティの高い値を選択します。
interface Tunnel1.0
  tunnel mode ipsec-ikev2

トンネルモードをIPsec IKEv2に設定します。

interface Tunnel1.0
  ikev2 outgoing-interface GigaEthernet0.1

IKEv2ではトンネルインタフェース毎にIKEv2パケットの出力インタフェースを固定することができます。

interface Tunnel1.0
  ikev2 peer any authentication psk id keyid id-b
interface Tunnel2.0
  ikev2 peer any authentication psk id keyid id-c
対向先の設定です。
対向装置のIPアドレスと対向装置の認証情報のIDを設定します。
対向先のIPアドレスが不明な場合はanyを指定します。
ppp profile ppp-prof
  authentication myname user-a@example.com
  authentication password user-a@example.com password-a
interface GigaEthernet0.1
  encapsulation pppoe
  ppp binding ppp-prof
PPPoE接続の設定です。
PPPプロファイルにユーザー名/パスワードを設定し、インタフェースにPPPプロファイルの関連付けを行います。
インタフェースのカプセル化種別をPPPoEに設定します。
interface Tunnel1.0
  ip unnumbered GigaEthernet2.0
トンネルインタフェースのIPアドレス設定です。
"ip unnumbered"コマンドにより、LAN側インタフェース GE2.0 と共有することもできます。
interface Tunnel1.0
  ip tcp adjust-mss auto
トンネルを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に自動調整します。
この設定はTCPフローが通る経路の一箇所に設定すればよいため、本例では本装置(A)側にのみ設定をしています。
proxy-dns server 10.1.1.1 priority 110
proxy-dns server 10.1.1.2 priority 90
interface GigaEthernet2.0
  proxy-dns ip enable
interface Tunnel1.0
  proxy-dns ip enable
interface Tunnel2.0
  proxy-dns ip enable
プロキシDNSの設定です。
プロキシDNSサーバーを複数設定する場合は、優先度に変化を付けて設定します。
デフォルトの優先度は100です。
プロキシDNSの有効化設定は、インタフェースに行います。
対向先からもDNS解決ができるようにトンネルインタフェースにもプロキシDNSを有効化します。
ip dhcp profile dhcp-prof
  dns-server 192.168.0.254
interface GigaEthernet2.0
  ip dhcp enable
  ip dhcp binding dhcp-prof
DHCPサーバー機能の設定です。
プロキシDNS機能を使用するため、端末に通知するDNSサーバーのIPアドレスを設定します。
interface GigaEthernet0.1
  ip napt enable
  ip napt static GigaEthernet0.1 udp 500
  ip napt static GigaEthernet0.1 50
プライベートIPアドレスをグローバルIPアドレスに変換するため、NAPTを有効化します。
対向装置からIPsecの接続が開始されるため、IKEパケット(UDP/500)とESPパケット(プロトコル番号:50)をWAN側インタフェースに転送する静的NAPTの設定を行います。

本装置(B)の解説

ip route default Tunnel0.0
デフォルトルートをトンネルインタフェースに設定します。
これにより拠点2宛てやインターネット通信も全てセンター経由で通信します。
interface Tunnel0.0
  ikev2 connect-type auto
IPsecオートコネクトの設定です。
10秒間隔でSAの有無を周期的に監視し、SAが存在しない場合はIKEv2を動作させてSAを自動的に生成します。

本装置(C)の解説

本装置(A)、本装置(B)と同様の考え方で設定します。

5.4. ダイナミックDNSを使用したインターネットVPN(IKEv2)

PPPoE接続によるインターネットVPN接続設定例です。
NetMeisterのダイナミックDNSを利用してIKEv2接続する例です。
グループIDとグループパスワードは、以下の内容でNetMeisterに登録済みとします。
../_images/2.5.1.png ../_images/5.4.png

設定

本装置(A)の設定

Router# configure
Router(config)# hostname IX-R2530-A
IX-R2530-A(config)# ip route default GigaEthernet0.1
IX-R2530-A(config)# ip route 192.168.1.0/24 Tunnel0.0
IX-R2530-A(config)# ikev2 authentication psk id keyid id-a key char key-a
IX-R2530-A(config)# ikev2 authentication psk id keyid id-b key char key-b
IX-R2530-A(config)# nm ip enable
IX-R2530-A(config)# nm account sample-gr password plain sample-pw
IX-R2530-A(config)# nm sitename tokyo
IX-R2530-A(config)# ppp profile ppp-prof
IX-R2530-A(config-ppp-ppp-prof)# authentication myname user-a@example.com
IX-R2530-A(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
IX-R2530-A(config-ppp-ppp-prof)# exit
IX-R2530-A(config)# ikev2 default-profile
IX-R2530-A(config-ikev2-dprof)# local-authentication psk id keyid id-a
IX-R2530-A(config-ikev2-dprof)# exit
IX-R2530-A(config)# interface GigaEthernet2.0
IX-R2530-A(config-GigaEthernet2.0)# ip address 192.168.0.254/24
IX-R2530-A(config-GigaEthernet2.0)# no shutdown
IX-R2530-A(config-GigaEthernet2.0)# exit
IX-R2530-A(config)# interface GigaEthernet0.1
IX-R2530-A(config-GigaEthernet0.1)# encapsulation pppoe
IX-R2530-A(config-GigaEthernet0.1)# ppp binding ppp-prof
IX-R2530-A(config-GigaEthernet0.1)# ip address ipcp
IX-R2530-A(config-GigaEthernet0.1)# no shutdown
IX-R2530-A(config-GigaEthernet0.1)# exit
IX-R2530-A(config)# interface Tunnel0.0
IX-R2530-A(config-Tunnel0.0)# tunnel mode ipsec-ikev2
IX-R2530-A(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
IX-R2530-A(config-Tunnel0.0)# ip tcp adjust-mss auto
IX-R2530-A(config-Tunnel0.0)# ikev2 connect-type auto
IX-R2530-A(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
IX-R2530-A(config-Tunnel0.0)# ikev2 peer-fqdn-ipv4 IX-R2530-B.sample-gr.nmddns.jp authentication psk id keyid id-b
IX-R2530-A(config-Tunnel0.0)# no shutdown
IX-R2530-A(config-Tunnel0.0)# exit
IX-R2530-A(config)#

本装置(B)の設定

Router# configure
Router(config)# hostname IX-R2530-B
IX-R2530-B(config)# ip route default GigaEthernet0.1
IX-R2530-B(config)# ip route 192.168.0.0/24 Tunnel0.0
IX-R2530-B(config)# ikev2 authentication psk id keyid id-a key char key-a
IX-R2530-B(config)# ikev2 authentication psk id keyid id-b key char key-b
IX-R2530-B(config)# nm ip enable
IX-R2530-B(config)# nm account sample-gr password plain sample-pw
IX-R2530-B(config)# nm sitename osaka
IX-R2530-B(config)# ppp profile ppp-prof
IX-R2530-B(config-ppp-ppp-prof)# authentication myname user-b@example.com
IX-R2530-B(config-ppp-ppp-prof)# authentication password user-b@example.com password-b
IX-R2530-B(config-ppp-ppp-prof)# exit
IX-R2530-B(config)# ikev2 default-profile
IX-R2530-B(config-ikev2-dprof)# local-authentication psk id keyid id-b
IX-R2530-B(config-ikev2-dprof)# exit
IX-R2530-B(config)# interface GigaEthernet2.0
IX-R2530-B(config-GigaEthernet2.0)# ip address 192.168.1.254/24
IX-R2530-B(config-GigaEthernet2.0)# no shutdown
IX-R2530-B(config-GigaEthernet2.0)# exit
IX-R2530-B(config)# interface GigaEthernet0.1
IX-R2530-B(config-GigaEthernet0.1)# encapsulation pppoe
IX-R2530-B(config-GigaEthernet0.1)# ppp binding ppp-prof
IX-R2530-B(config-GigaEthernet0.1)# ip address ipcp
IX-R2530-B(config-GigaEthernet0.1)# no shutdown
IX-R2530-B(config-GigaEthernet0.1)# exit
IX-R2530-B(config)# interface Tunnel0.0
IX-R2530-B(config-Tunnel0.0)# tunnel mode ipsec-ikev2
IX-R2530-B(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
IX-R2530-B(config-Tunnel0.0)# ikev2 connect-type auto
IX-R2530-B(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
IX-R2530-B(config-Tunnel0.0)# ikev2 peer-fqdn-ipv4 IX-R2530-A.sample-gr.nmddns.jp authentication psk id keyid id-a
IX-R2530-B(config-Tunnel0.0)# no shutdown
IX-R2530-B(config-Tunnel0.0)# exit
IX-R2530-B(config)#

解説

本装置(A)の解説

hostname IX-R2530-A
ホスト名 IX-R2530-A を設定します。
ホスト名は、NetMeister上で装置名として表示されます。
NetMeisterダイナミックDNSサービスのドメインの一部となります。
ip route default GigaEthernet0.1
ip route 192.168.1.0/24 Tunnel0.0
デフォルトルートをPPPoEインタフェースに設定します。
IPsec接続先をトンネルインタフェースに設定します。
nm ip enable

NetMeisterクライアント機能を有効化します。

nm account sample-gr password plain sample-pw

NetMeisterで登録したグループID sample-gr とパスワード sample-pw を設定します。

nm sitename tokyo
NetMeisterで登録する拠点ID tokyo を設定します。
本設定を省略した場合、ホスト名が拠点IDとして設定されます。
ikev2 authentication psk id keyid id-a key char key-a
ikev2 authentication psk id keyid id-b key char key-b
IKEv2の認証情報の設定です。
認証方式に自装置のIDと事前共有鍵、対向装置のIDと事前共有鍵をそれぞれ設定します。
ikev2 default-profile
  local-authentication psk id keyid id-a
IKEv2デフォルトプロファイルの設定です。
自装置の認証情報のIDを設定します。
アルゴリズムやライフタイムなどの指定を省略した場合、自装置が対応している値全てを提案し、対向装置も対応している値の中から最もセキュリティの高い値を選択します。
interface Tunnel0.0
  tunnel mode ipsec-ikev2

トンネルモードをIPsec IKEv2に設定します。

interface Tunnel0.0
  ikev2 connect-type auto
IPsecオートコネクトの設定です。
10秒間隔でSAの有無を周期的に監視し、SAが存在しない場合はIKEv2を動作させてSAを自動的に生成します。
interface Tunnel0.0
  ikev2 outgoing-interface GigaEthernet0.1

IKEv2ではトンネルインタフェース毎にIKEv2パケットの出力インタフェースを固定することができます。

interface Tunnel0.0
  ikev2 peer-fqdn-ipv4 IX-R2530-B.sample-gr.nmddns.jp authentication psk id keyid id-b
対向先の設定です。
対向先のドメイン名と対向先の認証情報のIDを設定します。
ppp profile ppp-prof
  authentication myname user-a@example.com
  authentication password user-a@example.com password-a
interface GigaEthernet0.1
  encapsulation pppoe
  ppp binding ppp-prof
PPPoE接続の設定です。
PPPプロファイルにユーザー名/パスワードを設定し、インタフェースにPPPプロファイルの関連付けを行います。
インタフェースのカプセル化種別をPPPoEに設定します
interface Tunnel0.0
  ip unnumbered GigaEthernet2.0
トンネルインタフェースのIPアドレス設定です。
"ip unnumbered"コマンドにより、LAN側インタフェース GE2.0 と共有することもできます。
interface Tunnel0.0
  ip tcp adjust-mss auto
トンネルを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に自動調整します。
この設定はTCPフローが通る経路の一箇所に設定すればよいため、本例では本装置(A)側にのみ設定をしています。

本装置(B)の解説

本装置(A)と同様の考え方で設定します。

5.5. NAT装置配下によるインターネットVPN(IKEv2)

PPPoE接続によるインターネットVPN接続設定例です。
IPsecのIKEv2によるNATトラバーサル機能を使用して一方の拠点が動的IPアドレス契約で接続する例です。
../_images/5.5.png

設定

本装置(A)の設定

Router# configure
Router(config)# ip route default GigaEthernet0.1
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ikev2 authentication psk id keyid id-a key char key-a
Router(config)# ikev2 authentication psk id keyid id-b key char key-b
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-a@example.com
Router(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
Router(config-ppp-ppp-prof)# exit
Router(config)# ikev2 default-profile
Router(config-ikev2-dprof)# local-authentication psk id keyid id-a
Router(config-ikev2-dprof)# nat-traversal keepalive 20
Router(config-ikev2-dprof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address 10.0.0.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec-ikev2
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 peer any authentication psk id keyid id-b
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

本装置(B)の設定

Router# configure
Router(config)# ip route default 10.1.1.254
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ikev2 authentication psk id keyid id-a key char key-a
Router(config)# ikev2 authentication psk id keyid id-b key char key-b
Router(config)# ikev2 default-profile
Router(config-ikev2-dprof)# local-authentication psk id keyid id-b
Router(config-ikev2-dprof)# nat-traversal keepalive 20
Router(config-ikev2-dprof)# exit
Router(config)# interface GigaEthernet0.0
Router(config-GigaEthernet0.0)# ip address 10.1.1.1/24
Router(config-GigaEthernet0.0)# no shutdown
Router(config-GigaEthernet0.0)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec-ikev2
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ikev2 connect-type auto
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.0 10.1.1.254
Router(config-Tunnel0.0)# ikev2 peer 10.0.0.1 authentication psk id keyid id-a
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

解説

本装置(A)の解説

ip route default GigaEthernet0.1
ip route 192.168.1.0/24 Tunnel0.0
デフォルトルートをPPPoEインタフェースに設定します。
IPsec接続先をトンネルインタフェースに設定します。
ikev2 authentication psk id keyid id-a key char key-a
ikev2 authentication psk id keyid id-b key char key-b
IKEv2の認証情報の設定です。
認証方式に自装置のIDと事前共有鍵、対向装置のIDと事前共有鍵をそれぞれ設定します。
ikev2 default-profile
  local-authentication psk id keyid id-a
IKEv2デフォルトプロファイルの設定です。
自装置の認証情報のIDを設定します。
アルゴリズムやライフタイムなどの指定を省略した場合、自装置が対応している値全てを提案し、対向装置も対応している値の中から最もセキュリティの高い値を選択します。
ikev2 default-profile
  nat-traversal keepalive 20
NATトラバーサル機能を有効化します。
また、IX-R間の経路に存在するNAT装置でアドレス変換情報が消失しないよう、NATトラバーサルのキープアライブを20秒間隔で定期的に送信します。
interface Tunnel0.0
  tunnel mode ipsec-ikev2

トンネルモードをIPsec IKEv2に設定します。

interface Tunnel0.0
  ikev2 outgoing-interface GigaEthernet0.1

IKEv2ではトンネルインタフェース毎にIKEv2パケットの出力インタフェースを固定することができます。

interface Tunnel0.0
  ikev2 peer any authentication psk id keyid id-b
対向先の設定です。
対向装置のIPアドレスと対向装置の認証情報のIDを設定します。
対向先のIPアドレスが不明な場合はanyを指定します。
ppp profile ppp-prof
  authentication myname user-a@example.com
  authentication password user-a@example.com password-a
interface GigaEthernet0.1
  encapsulation pppoe
  ppp binding ppp-prof
PPPoE接続の設定です。
PPPプロファイルにユーザー名/パスワードを設定し、インタフェースにPPPプロファイルの関連付けを行います。
インタフェースのカプセル化種別をPPPoEに設定します。
interface Tunnel0.0
  ip unnumbered GigaEthernet2.0
トンネルインタフェースのIPアドレス設定です。
"ip unnumbered"コマンドにより、LAN側インタフェース GE2.0 と共有することもできます。
interface Tunnel0.0
  ip tcp adjust-mss auto
トンネルを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に自動調整します。
この設定はTCPフローが通る経路の一箇所に設定すればよいため、本例では本装置(A)側にのみ設定をしています。

本装置(B)の解説

interface Tunnel0.0
  ikev2 connect-type auto
IPsecオートコネクトの設定です。
10秒間隔でSAの有無を周期的に監視し、SAが存在しない場合はIKEv2を動作させてSAを自動的に生成します。