2.3.1. 固定アドレス間をEtherIP over IPsecで接続する(コマンド設定)

  • 概要

拠点側の対応機種は、WA1511/WA1512/WA2611-AP/WA2611E-AP/WA2612-AP/WA2511E です。
販売終了機種はこちら→→→ 販売終了機種

本社側はIX2106を使用します。
本事例は、本社、拠点が同一サブネットの場合に、EtherIP over IPsecでセキュアな接続を行う構成です。
本社ネットワークは光回線、拠点ネットワークはモバイル回線を利用します。
光回線のPPPoEユーザ名、PPPoEパスワードは事前にご契約された通信事業にご確認ください。
SIMのAPN、ユーザ名、パスワードは事前にご契約された通信事業者にご確認ください。

  • ネットワーク構成図

img100

  • WA1512 サンプルコンフィグ

設定項目

コンフィグ

ホスト名の設定

hostname WA1512
ログインユーザ名、
パスワードの設定

username (ログインユーザ名) password plain (ログインパスワード) administrator
Web-GUIログインユーザ名、
パスワードの設定

http-username (Web-GUIログイン名) password plain (Web-GUIログインパスワード) administrator

ブリッジの有効化

bridge ieee enable
DHCPサーバの設定
ip dhcp-server enable
ip dhcp-server profile default
assignable-range 192.168.1.10 50
default-gateway 192.168.1.200
dns-server 192.168.1.200
subnet-mask 24

LANインタフェースの設定
interface GigaEthernet1.0
ip address 192.168.1.200/24
ip dhcp-server binding default
bridge ieee 1
no shutdown

WANインターフェースの設定
interface MobileEthernet0.0
ip address dhcp
ipsec map ipsecprof1
ip napt enable
ip napt reserve icmp
ip napt reserve udp 500
ip napt reserve esp
ip napt reserve udp 4500
mobile id IP (APN)
mobile username (ユーザ名)
mobile password plain (パスワード)
auto-connect
no shutdown

EtherIPインターフェスの設定
interface EtherIP0
bridge ieee 1
ether-ip peer 100.100.100.100 ※実網のグローバルアドレスを設定
ether-ip source MobileEthernet0.0
no shutdown

ルーティングの設定

ip route default MobileEthernet0.0

DNSプロキシの設定
proxy-dns ip enable
proxy-dns server default MobileEthernet0.0 dhcp

IKEプロポーザルの設定
ike proposal ikeprop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256
lifetime 28800

IKEポリシーの設定
ike policy ikepol1
mode main
dpd-keepalive enable ph1 20 3
proposal ikeprop1
pre-shared-key plain (事前共有鍵)

IPsecプロポーザルの設定
ipsec proposal ipsecprop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256
lifetime 28800

IPsecポリシーの設定
ipsec policy ipsecpol1
rekey enable always
proposal ipsecprop1

IPsecプロファイルの作成
ipsec profile ipsecprof1
mode transport
ipsec policy ipsecpol1
ike policy ikepol1
source MobileEthernet0.0
peer 100.100.100.100 ※実網のグローバルアドレスを設定

Webサーバの設定
https-server ip enable
https-server ip permit 192.168.1.0/24
https-server ip redirect enable

VPN LEDの設定

led vpn ipsec

  • IX2106 サンプルコンフィグ

設定項目

コンフィグ

ホスト名の設定

hostname IX2106

ルーティングの設定

ip route default GigaEthernet0.1

IPsecアクセスリストの設定

ip access-list sec-list permit ip src any dest any

IKEプロポーザルの設定

ike proposal ikeprop1 encryption aes-256 hash sha2-256

IKEポリシーの設定
ike policy ikepol1 peer 200.200.200.200 key (事前共有鍵) mode main ikeprop1
※200.200.200.200は実網のグローバルアドレスを設定

IPsecポリシーの設定
ipsec autokey-proposal ipsecprop1 esp-aes-256 esp-sha2-256
ipsec dynamic-map ipsecpol1 sec-list ipsecprop1

ブリッジの有効化

bridge irb enable

DHCPサーバの設定
ip dhcp profile default
assignable-range 192.168.1.60 192.168.1.99
subnet-mask 255.255.255.0
default-gateway 192.168.1.254
dns-server 192.168.1.254

PPPoEプロファイルの設定
ppp profile pppprofile
authentication myname (PPPoEユーザ名)
authentication password (PPPoEユーザ名) (PPPoEパスワード)

LANインターフェースの設定
interface GigaEthernet1.0
no ip address
bridge-group 1
no shutdown

PPPoEインターフェースの設定
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding pppprofile
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
ip napt static GigaEthernet0.1 50
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 udp 4500
ip napt static GigaEthernet0.1 1
no shutdown

BVIインターフェースの設定
interface BVI0
ip address 192.168.1.254/24
ip dhcp binding default
bridge-group 1
no shutdown

IPsecインターフェースの設定
interface Tunnel0.0
tunnel mode ether-ip ipsec
no ip address
ipsec policy transport ipsecpol1
bridge-group 1
no shutdown

DNSプロキシの設定
proxy-dns ip enable
proxy-dns interface GigaEthernet0.1 priority 254

  • サンプルコンフィグのダウンロード

WA1512のサンプルコンフィグのダウンロードはこちら サンプルコンフィグ.
IX2106のサンプルコンフィグのダウンロードはこちら サンプルコンフィグ.

  • コンフィグの適用方法

コンフィグの適用方法はこちら→ CLIによるコンフィグの適用方法

  • 動作確認済みSIM

動作確認済みのSIMはこちら

注意

本事例は、設定例を示したものであり、動作を保証するものではありません。
ご利用いただく場合には、検証の上ご利用ください。