本文へジャンプします。

ニフクラ ユーザーガイド

クラウド トップ>ユーザーガイド>コンピューティング>拠点間VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(富士通 IPCOM EX2(SC/NW/INソフトウェア))

拠点間VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(富士通 IPCOM EX2(SC/NW/INソフトウェア))

拠点側VPN装置に富士通 IPCOM EX2シリーズ(SC/NW/INソフトウェア)を使用した場合の設定です。

下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ:VPNコネクション:作成

構成

拠点間VPNゲートウェイを利用し、ニフクラとお客様拠点を IPsec VPN(L3VPN)で接続するためには、以下の項目を事前にご確認ください。
以降の設定手順、確認手順では下記を検証環境、構成例として用います。

検証環境
製品 富士通 IPCOM EX2シリーズ(SC/NW/INソフトウェア)
ソフトウエア V01L04以上
構成例
拠点間VPNゲートウェイのIPアドレス 198.51.100.123
プライベートLAN CIDR 172.31.1.0/24
拠点CIDR 192.168.1.0/24
共有鍵 hoge
暗号化アルゴリズム AES128
認証アルゴリズム SHA1
DH Group 2 (1024-bit MODP Group)
PPPユーザー名 user@isp
PPPパスワード isppasswd
WAN側物理インタフェース lan0.0
拠点側物理インタフェース lan0.3

設定手順

  1. コンフィグ編集モードへ移行します。

    ipcom# configure terminal
    ipcom(config)# load running-config
  2. LAN側インタフェースにアドレスを設定します。
    ※192.168.1.1/24は実際の拠点CIDRの値に書き換えてください。

    ipcom(edit)# interface lan0.3
    ipcom(edit-if)# ip address 192.168.1.1 255.255.255.0
    ipcom(edit-if)# ip-routing
  3. PPPoEインタフェースの設定をします。

    ipcom(edit)# interface lan0.0
    ipcom(edit-if)# exit
    ipcom(edit)# interface ppp0
    ipcom(edit-if)# ip address auto
    ipcom(edit-if)# ip-routing
    ipcom(edit-if)# ppp user-name user@isp 
    ipcom(edit-if)# ppp password isppasswd
    ipcom(edit-if)# ppp authentication-protocol auto
    ipcom(edit-if)# ppp dns-server auto
    ipcom(edit-if)# ppp add-routers distance 50
    ipcom(edit-if)# ppp-link lan0.0
    ipcom(edit-if)# ppp mru 1454
    ipcom(edit-if)# mtu 1454
  4. セレクタの設定をします。
    ※192.168.1.0/24は実際の拠点IPアドレスの値に、172.31.1.0/24はプライベートLAN CIDRの値にそれぞれ書き換えてください。

    ipcom(edit)# class-map match-all ipsec
    ipcom(edit-cmap)# match source-address ipv4 192.168.1.0/24
    ipcom(edit-cmap)# match destination-address ipv4 172.31.1.0/24
  5. IPsecの設定をします。
    ※hogeを実際の共有鍵、198.51.100.123は実際の拠点間VPNゲートウェイのIPアドレスにそれぞれ書き換えてください。

    ipcom(edit)# ike rule 10
    ipcom(edit-ike-rule)# set-peer ipv4 198.51.100.123 interface ppp0
    ipcom(edit-ike-rule)# dpd-keep-alive idleonly
    ipcom(edit-ike-rule)# policy 10
    ipcom(edit-ike-rule-policy)#authentication pre-share
    ipcom(edit-ike-rule-policy)# hash hmac-sha1
    ipcom(edit-ike-rule-policy)# encryption aes128
    ipcom(edit-ike-rule-policy)# lifetime time 8 hour
    ipcom(edit-ike-rule-policy)# group 2
    ipcom(edit)# ike pre-shared-key ipv4 198.51.100.123 key hoge
    ipcom(edit)# ipsec rule 100
    ipcom(edit-ipsec-rule)# set-peer ipv4 198.51.100.123 interface ppp0
    ipcom(edit-ipsec-rule)# class-map ipsec
    ipcom(edit-ipsec-rule)# set-transform esp-hmac-sha1-aes128
    ipcom(edit-ipsec-rule)# lifetime time 1 hour
  6. 最後に設定をrunning-configとstartup-configに保存します(commitコマンドの後、yを2回押す)

    ipcom(edit)# commit

確認手順

IKE、ESPのSAが正常に確立されているか確認します。
IKEのSAが正常に確立されているか確認するためには「show ike-information detail-all」「show ipsec-information detail-all」コマンドを実行します。

「show ipsec-information detail-all」コマンドの結果、
下記のように対象のSA内のパケットのカウンタ(Packets内の数字)が上がっていれば、確立されたトンネル内に通信が流れていることが確認できます。

[IPsec SA Information]
[No 0001]
    (Current IPsec SA)
    Mode(tunnel)
    Local-IP(ppp0: x.x.x.x) 
  Peer-IP(y.y.y.y)
    Direction(IN), Protocol(ESP), Spi(2280102812,0x87e79b9c)
    Source(192.168.1.0/24[0]:any)
    Destination(10.0.0.0/24[0]:any)
    ~省略~
    MaxSequence(4080218930), Sequence(187)
    Packets(187), UserOctets(13524)bytes

ニフクラ サイト内検索

ユーザーガイドメニュー

  • ツイッターでフォローしてください
  • ニフクラ公式フェイスブックページ
  • ※本ページ記載の金額は、すべて税抜表示です。
  • ※本ページ記載の他社製品名および会社名などは、各社の商標または登録商標です。
  • ※本ページの内容は、2021年5月25日時点の情報です。

推奨画面サイズ 1024×768 以上