6.1. NGN閉域網へ接続し拠点間をIPsecで接続する(コマンド設定)

  • 概要

本社側の対応機種は、WA1510/WA1511/WA1512/WA2610-AP/WA2611-AP/WA2611E-AP/WA2612-AP/WA2511E です。
拠点側の対応機種は、WA1510/WA1511/WA1512/WA2610-AP/WA2611-AP/WA2611E-AP/WA2612-AP/WA2511E です。
販売終了機種はこちら→→→ 販売終了機種
本事例は、NGN閉域網に接続し、拠点間をIPsecで接続する構成です。
IPsecのTunnel接続をIPv6で行い、IPsec Tunnel内の通信はIPv4で行います。

  • ネットワーク構成図

img100

  • WA1510-1 サンプルコンフィグ

設定項目

コンフィグ

ホスト名の設定

hostname WA1510-1

DHCPサーバの設定
ip dhcp-server enable
ip dhcp-server profile default
default-gateway auto
dns-server auto
subnet-mask auto

IPv6 DHCPクライアントの設定
ipv6 dhcp-client profile default
information-request
option-request dns-servers
option-request ntp-servers

WANインターフェースの設定
interface GigaEthernet0.0
no ip address
ipv6 dhcp-client binding default
ipv6 enable
ipv6 address autoconfig receive-default
no shutdown

LANインターフェースの設定
interface GigaEthernet1.0
ip address 192.168.1.200/24
ip dhcp-server binding default
no shutdown

ループバックインターフェースの設定
interface Loopback0.0
ip address 127.0.0.1/8
no shutdown

IPsecインターフェースの設定
interface IPsec0
ip address unnumbered
ip tcp adjust-mss auto
ipsec map ipsecprof1
no shutdown

ルーティングの設定

ip route 192.168.2.0/24 IPsec0

DNSプロキシの設定
proxy-dns ipv6 enable
proxy-dns server default GigaEthernet0.0 dhcpv6

IKEプロポーザルの設定
ike proposal ikeprop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256

IKEポリシーの設定
ike policy ikepol1
mode main
dpd-keepalive enable ph1 20 3
proposal ikeprop1
pre-shared-key plain (事前共有鍵)

IPsecプロポーザルの設定
ipsec proposal ipsecprop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256
lifetime 28800

IPsecポリシーの設定
ipsec policy ipsecpol1
proposal ipsecprop1

IPsecプロファイルの設定
ipsec profile ipsecprof1
mode tunnel
ipsec policy ipsecpol1
ike policy ikepol1
source GigaEthernet0.0
peer wa1510-2.example.v6.nmddns.jp ipv6 ※対向ルータ(WA1510-2)のpeer FQDNを設定

NetMeisterの設定
nm ipv6 enable ngn-private west ※NTT西日本はwest、NTT東日本はeastを設定
nm account (NetMeisterグループID名) password plain (NetMeisterグループパスワード)
nm ddns notify interface GigaEthernet0.0

VPN LEDの設定

led vpn ipsec

  • WA1510-2 サンプルコンフィグ

設定項目

コンフィグ

ホスト名の設定

hostname WA1510-2

DHCPサーバの設定
ip dhcp-server enable
ip dhcp-server profile default
default-gateway auto
dns-server auto
subnet-mask auto

IPv6 DHCPクライアントの設定
ipv6 dhcp-client profile default
information-request
option-request dns-servers
option-request ntp-servers

WANインターフェースの設定
interface GigaEthernet0.0
no ip address
ipv6 dhcp-client binding default
ipv6 enable
ipv6 address autoconfig receive-default
no shutdown

LANインターフェースの設定
interface GigaEthernet1.0
ip address 192.168.2.200/24
ip dhcp-server binding default
no shutdown

ループバックインターフェースの設定
interface Loopback0.0
ip address 127.0.0.1/8
no shutdown

IPsecインターフェースの設定
interface IPsec0
ip address unnumbered
ip tcp adjust-mss auto
ipsec map ipsecprof1
no shutdown

ルーティングの設定

ip route 192.168.1.0/24 IPsec0

DNSプロキシの設定
proxy-dns ipv6 enable
proxy-dns server default GigaEthernet0.0 dhcpv6

IKEプロポーザルの設定
ike proposal ikeprop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256

IKEポリシーの設定
ike policy ikepol1
mode main
dpd-keepalive enable ph1 20 3
proposal ikeprop1
pre-shared-key plain (事前共有鍵)

IPsecプロポーザルの設定
ipsec proposal ipsecprop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256
lifetime 28800

IPsecポリシーの設定
ipsec policy ipsecpol1
rekey enable always
proposal ipsecprop1

IPsecプロファイルの設定
ipsec profile ipsecprof1
mode tunnel
ipsec policy ipsecpol1
ike policy ikepol1
source GigaEthernet0.0
peer wa1510-1.example.v6.nmddns.jp ipv6 ※対向ルータ(WA1510-1)のpeer FQDNを設定

NetMeisterの設定
nm ipv6 enable ngn-private west ※NTT西日本はwest、NTT東日本はeastを設定
nm account (NetMeisterグループID名) password plain (NetMeisterグループパスワード)
nm ddns notify interface GigaEthernet0.0

VPN LEDの設定

led vpn ipsec

  • サンプルコンフィグのダウンロード

WA1510-1のサンプルコンフィグのダウンロードはこちら サンプルコンフィグ.
WA1510-2のサンプルコンフィグのダウンロードはこちら サンプルコンフィグ.

  • コンフィグの適用方法

コンフィグの適用方法はこちら→ CLIによるコンフィグの適用方法

注意

本事例は、設定例を示したものであり、動作を保証するものではありません。
ご利用いただく場合には、検証の上ご利用ください。