6. EtherIP設定

6.1. 固定IPアドレスによるEtherIP接続

PPPoE接続によるEtherIP(Ethernet over IP)接続設定例です。

両拠点とも固定IPアドレス契約で接続する例です。

設定

本装置(A)の設定

Router# configure
Router(config)# ip route 10.1.1.1/32 GigaEthernet0.1
Router(config)# bridge irb enable
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-a@example.com
Router(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
Router(config-ppp-ppp-prof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# bridge-group 1
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address 10.0.0.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface BVI0
Router(config-BVI0)# ip address 192.168.0.254/24
Router(config-BVI0)# bridge-group 1
Router(config-BVI0)# no shutdown
Router(config-BVI0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ether-ip ip
Router(config-Tunnel0.0)# tunnel destination 10.1.1.1
Router(config-Tunnel0.0)# tunnel source GigaEthernet0.1
Router(config-Tunnel0.0)# bridge-group 1
Router(config-Tunnel0.0)# bridge ip tcp adjust-mss 1416
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

本装置(B)の設定

Router# configure
Router(config)# ip route 10.0.0.1/32 GigaEthernet0.1
Router(config)# bridge irb enable
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-b@example.com
Router(config-ppp-ppp-prof)# authentication password user-b@example.com password-b
Router(config-ppp-ppp-prof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# bridge-group 1
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address 10.1.1.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface BVI0
Router(config-BVI0)# ip address 192.168.0.253/24
Router(config-BVI0)# bridge-group 1
Router(config-BVI0)# no shutdown
Router(config-BVI0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ether-ip ip
Router(config-Tunnel0.0)# tunnel destination 10.0.0.1
Router(config-Tunnel0.0)# tunnel source GigaEthernet0.1
Router(config-Tunnel0.0)# bridge-group 1
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

解説

本装置(A)の解説

ip route 10.1.1.1/32 GigaEthernet0.1

EtherIPの宛先をPPPoEインタフェースに設定します。

bridge irb enable

ブリッジ機能を有効化します。

interface GigaEthernet2.0
  bridge-group 1
interface BVI0
  bridge-group 1
interface Tunnel0.0
  bridge-group 1

ブリッジグループを設定します。

同一のブリッジグループを割り当てたインタフェースは同一のLANインタフェースとして扱われます。

interface Tunnel0.0
  tunnel mode ether-ip ip
  tunnel destination 10.1.1.1
  tunnel source GigaEthernet0.1

トンネルモードをEtherIP IPv4に設定します。

トンネルの接続先と送信元IPアドレスを設定します。

interface Tunnel0.0
  bridge ip tcp adjust-mss 1416

トンネルを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に調整します。

"bridge ip tcp adjust-mss"設定では"auto"による自動設定が行えないため、手動で値を指定します。

この設定はTCPフローが通る経路の一箇所に設定すればよいため、本例では本装置(A)側にのみ設定をしています。

ppp profile ppp-prof
  authentication myname user-a@example.com
  authentication password user-a@example.com password-a
interface GigaEthernet0.1
  encapsulation pppoe
  ppp binding ppp-prof

PPPoE接続の設定です。

PPPプロファイルにユーザー名/パスワードを設定し、インタフェースにPPPプロファイルの関連付けを行います。

インタフェースのカプセル化種別をPPPoEに設定します。

本装置(B)の解説

本装置(A)と同様の考え方で設定します。

6.2. アグレッシブモードによるEtherIP/IPsec接続(IKEv1)

PPPoE接続によるインターネットVPN接続設定例です。

EtherIP/IPsecのIKEv1によるアグレッシブモードで接続する例です。

設定

本装置(A)の設定

Router# configure
Router(config)# ip route default GigaEthernet0.1
Router(config)# bridge irb enable
Router(config)# ike proposal ike-prop encryption aes-256 hash sha2-512 group 3072-bit
Router(config)# ike policy ike-poli peer any key pres-key mode aggressive ike-prop
Router(config)# ike commit-bit ike-poli
Router(config)# ike remote-id ike-poli keyid ike-id
Router(config)# ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha2-512
Router(config)# ipsec dynamic-map ipsec-poli ipv4 ipsec-prop ike ike-poli
Router(config)# ipsec commit-bit ipsec-poli
Router(config)# ipsec local-id ipsec-poli 192.168.0.254
Router(config)# ipsec remote-id ipsec-poli 192.168.0.253
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-a@example.com
Router(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
Router(config-ppp-ppp-prof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# no ip address
Router(config-GigaEthernet2.0)# bridge-group 1
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address 10.0.0.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface BVI0
Router(config-BVI0)# ip address 192.168.0.254/24
Router(config-BVI0)# bridge-group 1
Router(config-BVI0)# no shutdown
Router(config-BVI0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ether-ip ipsec
Router(config-Tunnel0.0)# no ip address
Router(config-Tunnel0.0)# bridge-group 1
Router(config-Tunnel0.0)# bridge ip tcp adjust-mss 1374
Router(config-Tunnel0.0)# ipsec policy transport ipsec-poli with-id-payload
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

本装置(B)の設定

Router# configure
Router(config)# ip route 10.0.0.1/32 GigaEthernet0.1
Router(config)# bridge irb enable
Router(config)# ike proposal ike-prop encryption aes-256 hash sha2-512 group 3072-bit
Router(config)# ike suppress-dangling
Router(config)# ike policy ike-poli peer 10.0.0.1 key pres-key mode aggressive ike-prop
Router(config)# ike keepalive ike-poli 10 3
Router(config)# ike local-id ike-poli keyid ike-id
Router(config)# ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha2-512
Router(config)# ipsec autokey-map ipsec-poli ipv4 peer 10.0.0.1 ipsec-prop
Router(config)# ipsec local-id ipsec-poli 192.168.0.253
Router(config)# ipsec remote-id ipsec-poli 192.168.0.254
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-b@example.com
Router(config-ppp-ppp-prof)# authentication password user-b@example.com password-b
Router(config-ppp-ppp-prof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# no ip address
Router(config-GigaEthernet2.0)# bridge-group 1
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface BVI0
Router(config-BVI0)# ip address 192.168.0.253/24
Router(config-BVI0)# bridge-group 1
Router(config-BVI0)# no shutdown
Router(config-BVI0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ether-ip ipsec
Router(config-Tunnel0.0)# no ip address
Router(config-Tunnel0.0)# bridge-group 1
Router(config-Tunnel0.0)# ipsec policy transport ipsec-poli with-id-payload
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

解説

本装置(A)の解説

ip route default GigaEthernet0.1

デフォルトルートをPPPoEインタフェースに設定します。

bridge irb enable

ブリッジ機能を有効化します。

interface GigaEthernet2.0
  bridge-group 1
interface BVI0
  bridge-group 1
interface Tunnel0.0
  bridge-group 1

インタフェースのブリッジグループを設定します。

同一のブリッジグループを割り当てたインタフェースは同一のLANとして扱われます。

ike proposal ike-prop encryption aes-256 hash sha2-512 group 3072-bit
ike policy ike-poli peer any key pres-key mode aggressive ike-prop

ISAKMP SA確立に使用するプロポーザルの指定を行います。

本例では、暗号アルゴリズムをAES 256bit 、認証アルゴリズムを SHA2-512 、DHグループ 15 を指定しています。

対向先が動的IPアドレスの場合は、anyを指定します。

ike commit-bit ike-poli

IKEアグレッシブモードにてコミットビットを使用します。

ike remote-id ike-poli keyid ike-id

IKEフェーズ1で接続を許可するIDを設定します。

対向装置と同じIDを設定します。

ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha2-512
ipsec dynamic-map ipsec-poli ipv4 ipsec-prop ike ike-poli

IPsec SA確立に使用するプロポーザルの指定を行います。

本例では、暗号アルゴリズムをAES 256bit 、認証アルゴリズムを SHA2-512 を指定しています。

対向先が動的IPアドレスの場合、ダイナミックマップを使用します。

ipsec commit-bit ipsec-poli

IPsecフェーズ2でもコミットビットを使用します。

ipsec local-id ipsec-poli 192.168.0.254
ipsec remote-id ipsec-poli 192.168.0.253

IPsecフェーズ2のID設定です。

IPsecで接続する対向装置とIDが対になるように設定します。

interface Tunnel0.0
  tunnel mode ether-ip ipsec
  ipsec policy transport ipsec-poli with-id-payload

EtherIPでカプセル化されたパケットをIPsecトランスポートモードでカプセル化します。

動的アドレス環境でIPsecトランスポートモードを使用する場合、"with-id-payload"オプションが必要になります。

interface Tunnel0.0
  bridge ip tcp adjust-mss 1374

トンネルを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に調整します。

"bridge ip tcp adjust-mss"設定では"auto"による自動設定が行えないため、手動で値を指定します。

この設定はTCPフローが通る経路の一箇所に設定すればよいため、本例では本装置(A)側にのみ設定をしています。

ppp profile ppp-prof
  authentication myname user-a@example.com
  authentication password user-a@example.com password-a
interface GigaEthernet0.1
  encapsulation pppoe
  ppp binding ppp-prof

PPPoE接続の設定です。

PPPプロファイルにユーザー名/パスワードを設定し、インタフェースにPPPプロファイルの関連付けを行います。

インタフェースのカプセル化種別をPPPoEに設定します。

本装置(B)の解説

ike suppress-dangling

ダングリングSA抑止機能を有効にします。

ike keepalive ike-poli 10 3

IKEキープアライブの設定です。

デフォルト10秒間隔でキープアライブを送信し、3回連続で応答を受信しなかった場合にSAを削除します。

ike local-id ike-poli keyid ike-id

IKEフェーズ1で送信するIDを設定します。

対向装置と同じIDを設定します。

6.3. 動的IPアドレスによるEtherIP/IPsec接続(IKEv2)

PPPoE接続によるインターネットVPN接続設定例です。

EtherIP/IPsecのIKEv2による一方の拠点が動的IPアドレス契約で接続する例です。

設定

本装置(A)の設定

Router# configure
Router(config)# bridge irb enable
Router(config)# ikev2 authentication psk id keyid id-a key char key-a
Router(config)# ikev2 authentication psk id keyid id-b key char key-b
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-a@example.com
Router(config-ppp-ppp-prof)# authentication password user-a@example.com password-a
Router(config-ppp-ppp-prof)# exit
Router(config)# ikev2 default-profile
Router(config-ikev2-dprof)# local-authentication psk id keyid id-a
Router(config-ikev2-dprof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# no ip address
Router(config-GigaEthernet2.0)# bridge-group 1
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address 10.0.0.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface BVI0
Router(config-BVI0)# ip address 192.168.0.254/24
Router(config-BVI0)# bridge-group 1
Router(config-BVI0)# no shutdown
Router(config-BVI0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ether-ip ipsec-ikev2
Router(config-Tunnel0.0)# no ip address
Router(config-Tunnel0.0)# bridge-group 1
Router(config-Tunnel0.0)# bridge ip tcp adjust-mss 1374
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer any authentication psk id keyid id-b
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

本装置(B)の設定

Router# configure
Router(config)# bridge irb enable
Router(config)# ikev2 authentication psk id keyid id-a key char key-a
Router(config)# ikev2 authentication psk id keyid id-b key char key-b
Router(config)# ppp profile ppp-prof
Router(config-ppp-ppp-prof)# authentication myname user-b@example.com
Router(config-ppp-ppp-prof)# authentication password user-b@example.com password-b
Router(config-ppp-ppp-prof)# exit
Router(config)# ikev2 default-profile
Router(config-ikev2-dprof)# local-authentication psk id keyid id-b
Router(config-ikev2-dprof)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# no ip address
Router(config-GigaEthernet2.0)# bridge-group 1
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-prof
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface BVI0
Router(config-BVI0)# ip address 192.168.0.253/24
Router(config-BVI0)# bridge-group 1
Router(config-BVI0)# no shutdown
Router(config-BVI0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ether-ip ipsec-ikev2
Router(config-Tunnel0.0)# no ip address
Router(config-Tunnel0.0)# bridge-group 1
Router(config-Tunnel0.0)# ikev2 connect-type auto
Router(config-Tunnel0.0)# ikev2 outgoing-interface GigaEthernet0.1
Router(config-Tunnel0.0)# ikev2 ipsec-mode transport
Router(config-Tunnel0.0)# ikev2 peer 10.0.0.1 authentication psk id keyid id-a
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

解説

本装置(A)の解説

bridge irb enable

ブリッジ機能を有効化します。

interface GigaEthernet2.0
  bridge-group 1
interface BVI0
  bridge-group 1
interface Tunnel0.0
  bridge-group 1

インタフェースのブリッジグループを設定します。

同一のブリッジグループを割り当てたインタフェースは同一のLANとして扱われます。

ikev2 authentication psk id keyid id-a key char key-a
ikev2 authentication psk id keyid id-b key char key-b

IKEv2の認証情報の設定です。

認証方式に自装置のIDと事前共有鍵、対向装置のIDと事前共有鍵をそれぞれ設定します。

ikev2 default-profile
  local-authentication psk id keyid id-a

IKEv2デフォルトプロファイルの設定です。

自装置の認証情報のIDを設定します。

アルゴリズムやライフタイムなどの指定を省略した場合、自装置が対応している値全てを提案し、対向装置も対応している値の中から最もセキュリティの高い値を選択します。

interface Tunnel0.0
  tunnel mode ether-ip ipsec-ikev2

トンネルモードをEtherIP/IPsec IKEv2に設定します。

interface Tunnel0.0
  ikev2 outgoing-interface GigaEthernet0.1

IKEv2ではトンネルインタフェース毎にIKEv2パケットの出力インタフェースを固定することができます。

この設定により、"ip route default GigaEthernet0.1"というルーティング設定が不要となります。

ikev2 ipsec-mode transport

EtherIPでカプセル化されたパケットをIPsecトランスポートモードでカプセル化します。

interface Tunnel0.0
  ikev2 peer any authentication psk id keyid id-b

対向先の設定です。

対向装置のIPアドレスと対向装置の認証情報のIDを設定します。

対向先のIPアドレスが不明な場合はanyを指定します。

interface Tunnel0.0
  bridge ip tcp adjust-mss 1374

トンネルを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に調整します。

"bridge ip tcp adjust-mss"設定では"auto"による自動設定が行えないため、手動で値を指定します。

この設定はTCPフローが通る経路の一箇所に設定すればよいため、本例では本装置(A)側にのみ設定をしています。

ppp profile ppp-prof
  authentication myname user-a@example.com
  authentication password user-a@example.com password-a
interface GigaEthernet0.1
  encapsulation pppoe
  ppp binding ppp-prof

PPPoE接続の設定です。

PPPプロファイルにユーザー名/パスワードを設定し、インタフェースにPPPプロファイルの関連付けを行います。

インタフェースのカプセル化種別をPPPoEに設定します。

本装置(B)の解説

interface Tunnel0.0
  ikev2 connect-type auto

IPsecオートコネクトの設定です。

10秒間隔でSAの有無を周期的に監視し、SAが存在しない場合はIKEv2を動作させてSAを自動的に生成します。