6.1. NGN閉域網へ接続し拠点間をIPsecで接続する(コマンド設定)
概要
本社側の対応機種は、WA1510/WA1511/WA1512/WA2610-AP/WA2611-AP/WA2611E-AP/WA2612-AP/WA2511E です。
拠点側の対応機種は、WA1510/WA1511/WA1512/WA2610-AP/WA2611-AP/WA2611E-AP/WA2612-AP/WA2511E です。
販売終了機種はこちら→→→ 販売終了機種
本事例は、NGN閉域網に接続し、拠点間をIPsecで接続する構成です。
IPsecのTunnel接続をIPv6で行い、IPsec Tunnel内の通信はIPv4で行います。
ネットワーク構成図
WA1510-1 サンプルコンフィグ
設定項目 |
コンフィグ |
---|---|
ホスト名の設定 |
hostname WA1510-1 |
DHCPサーバの設定 |
ip dhcp-server enable
ip dhcp-server profile default
default-gateway auto
dns-server auto
subnet-mask auto
|
IPv6 DHCPクライアントの設定 |
ipv6 dhcp-client profile default
information-request
option-request dns-servers
option-request ntp-servers
|
WANインターフェースの設定 |
interface GigaEthernet0.0
no ip address
ipv6 dhcp-client binding default
ipv6 enable
ipv6 address autoconfig receive-default
no shutdown
|
LANインターフェースの設定 |
interface GigaEthernet1.0
ip address 192.168.1.200/24
ip dhcp-server binding default
no shutdown
|
ループバックインターフェースの設定 |
interface Loopback0.0
ip address 127.0.0.1/8
no shutdown
|
IPsecインターフェースの設定 |
interface IPsec0
ip address unnumbered
ip tcp adjust-mss auto
ipsec map ipsecprof1
no shutdown
|
ルーティングの設定 |
ip route 192.168.2.0/24 IPsec0 |
DNSプロキシの設定 |
proxy-dns ipv6 enable
proxy-dns server default GigaEthernet0.0 dhcpv6
|
IKEプロポーザルの設定 |
ike proposal ikeprop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256
|
IKEポリシーの設定 |
ike policy ikepol1
mode main
dpd-keepalive enable ph1 20 3
proposal ikeprop1
pre-shared-key plain
(事前共有鍵) |
IPsecプロポーザルの設定 |
ipsec proposal ipsecprop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256
lifetime 28800
|
IPsecポリシーの設定 |
ipsec policy ipsecpol1
proposal ipsecprop1
|
IPsecプロファイルの設定 |
ipsec profile ipsecprof1
mode tunnel
ipsec policy ipsecpol1
ike policy ikepol1
source GigaEthernet0.0
peer
wa1510-2.example.v6.nmddns.jp ipv6 ※対向ルータ(WA1510-2)のpeer FQDNを設定 |
NetMeisterの設定 |
nm ipv6 enable ngn-private
west ※NTT西日本はwest、NTT東日本はeastを設定nm account
(NetMeisterグループID名) password plain (NetMeisterグループパスワード) nm ddns notify interface GigaEthernet0.0
|
VPN LEDの設定 |
led vpn ipsec |
WA1510-2 サンプルコンフィグ
設定項目 |
コンフィグ |
---|---|
ホスト名の設定 |
hostname WA1510-2 |
DHCPサーバの設定 |
ip dhcp-server enable
ip dhcp-server profile default
default-gateway auto
dns-server auto
subnet-mask auto
|
IPv6 DHCPクライアントの設定 |
ipv6 dhcp-client profile default
information-request
option-request dns-servers
option-request ntp-servers
|
WANインターフェースの設定 |
interface GigaEthernet0.0
no ip address
ipv6 dhcp-client binding default
ipv6 enable
ipv6 address autoconfig receive-default
no shutdown
|
LANインターフェースの設定 |
interface GigaEthernet1.0
ip address 192.168.2.200/24
ip dhcp-server binding default
no shutdown
|
ループバックインターフェースの設定 |
interface Loopback0.0
ip address 127.0.0.1/8
no shutdown
|
IPsecインターフェースの設定 |
interface IPsec0
ip address unnumbered
ip tcp adjust-mss auto
ipsec map ipsecprof1
no shutdown
|
ルーティングの設定 |
ip route 192.168.1.0/24 IPsec0 |
DNSプロキシの設定 |
proxy-dns ipv6 enable
proxy-dns server default GigaEthernet0.0 dhcpv6
|
IKEプロポーザルの設定 |
ike proposal ikeprop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256
|
IKEポリシーの設定 |
ike policy ikepol1
mode main
dpd-keepalive enable ph1 20 3
proposal ikeprop1
pre-shared-key plain
(事前共有鍵) |
IPsecプロポーザルの設定 |
ipsec proposal ipsecprop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256
lifetime 28800
|
IPsecポリシーの設定 |
ipsec policy ipsecpol1
rekey enable always
proposal ipsecprop1
|
IPsecプロファイルの設定 |
ipsec profile ipsecprof1
mode tunnel
ipsec policy ipsecpol1
ike policy ikepol1
source GigaEthernet0.0
peer
wa1510-1.example.v6.nmddns.jp ipv6 ※対向ルータ(WA1510-1)のpeer FQDNを設定 |
NetMeisterの設定 |
nm ipv6 enable ngn-private
west ※NTT西日本はwest、NTT東日本はeastを設定nm account
(NetMeisterグループID名) password plain (NetMeisterグループパスワード) nm ddns notify interface GigaEthernet0.0
|
VPN LEDの設定 |
led vpn ipsec |
サンプルコンフィグのダウンロード
コンフィグの適用方法
コンフィグの適用方法はこちら→ CLIによるコンフィグの適用方法
注意
本事例は、設定例を示したものであり、動作を保証するものではありません。
ご利用いただく場合には、検証の上ご利用ください。