4. インターネットVPN(IKEv1)設定

4.1. メインモードによるインターネットVPN(IKEv1)

PPPoE接続によるインターネットVPN接続設定例です。
IPsec IKEv1のメインモードで接続します。
../_images/ikev1_main.png

4.1.1. 設定

4.1.1.1. 本装置(A)の設定

Router# configure
Router(config)# ip route 198.51.100.1/32 GigaEthernet0.1
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
Router(config)# ike policy ike-policy peer 198.51.100.1 key psk ike-proposal
Router(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
Router(config)# ipsec autokey-map ipsec-policy ipv4 peer 198.51.100.1 ipsec-proposal
Router(config)# ipsec local-id ipsec-policy 192.168.0.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.1.0/24
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-a@example.com
Router(config-ppp-ppp-profile)# authentication password user-a@example.com ppp-password-a
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 203.0.113.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ipsec policy tunnel ipsec-policy
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

4.1.1.2. 本装置(B)の設定

Router# configure
Router(config)# ip route 203.0.113.1/32 GigaEthernet0.1
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
Router(config)# ike policy ike-policy peer 203.0.113.1 key psk ike-proposal
Router(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
Router(config)# ipsec autokey-map ipsec-policy ipv4 peer 203.0.113.1 ipsec-proposal
Router(config)# ipsec local-id ipsec-policy 192.168.1.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.0.0/24
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-b@example.com
Router(config-ppp-ppp-profile)# authentication password user-b@example.com ppp-password-b
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 198.51.100.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ipsec policy tunnel ipsec-policy
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

4.1.2. 解説

4.1.2.1. 本装置(A)の解説

ip route 198.51.100.1/32 GigaEthernet0.1
ip route 192.168.1.0/24 Tunnel0.0
IPsecのpeerの宛先をPPPoEインタフェースに設定します。
IPsec接続先をトンネルインタフェースに設定します。
ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
ike policy ike-policy peer 198.51.100.1 key psk ike-proposal
ISAKMP SA確立に使用するプロポーザルを指定します。
本例では、暗号アルゴリズムを AES-256bit 、認証アルゴリズムを SHA2-512 、DHグループ 15 と指定しています。
また、IKEのネゴシエーションを行う対向装置のIPアドレスと事前共有鍵を設定します。
ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
ipsec autokey-map ipsec-policy ipv4 peer 198.51.100.1 ipsec-proposal
IPsec SA確立に使用するプロポーザルを指定します。
本例では、暗号アルゴリズムを AES-256bit 、認証アルゴリズムを SHA2-512 と指定しています。
また、対向装置のIPアドレスを設定します。
ipsec local-id ipsec-policy 192.168.0.0/24
ipsec remote-id ipsec-policy 192.168.1.0/24
IPsecフェーズ2のID設定です。
IPsecで接続する対向装置とIDが対になるように設定します。
interface Tunnel0.0
  tunnel mode ipsec
  ipsec policy tunnel ipsec-policy
トンネルモードをIPsecに設定します。
トンネルインタフェースにIPsecのポリシー名を関連付けます。
interface Tunnel0.0
  ip unnumbered GigaEthernet2.0
トンネルインタフェースのIPアドレス設定です。
"ip unnumbered"コマンドにより、LAN側インタフェース : GE2.0 のIPアドレスと共有することができます。
interface Tunnel0.0
  ip tcp adjust-mss auto

トンネルインタフェースを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に自動調整します。

4.1.2.2. 本装置(B)の解説

本装置(A)と同様の考え方で設定します。

4.2. アグレッシブモードによるインターネットVPN(IKEv1)

PPPoE接続によるインターネットVPN接続設定例です。
IPsec IKEv1のアグレッシブモードで接続します。
../_images/ikev1_aggressive.png

4.2.1. 設定

4.2.1.1. 本装置(A)の設定

Router# configure
Router(config)# ip route default GigaEthernet0.1
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
Router(config)# ike policy ike-policy peer any key psk mode aggressive ike-proposal
Router(config)# ike commit-bit ike-policy
Router(config)# ike remote-id ike-policy keyid ike-id
Router(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
Router(config)# ipsec dynamic-map ipsec-policy ipv4 ipsec-proposal ike ike-policy
Router(config)# ipsec commit-bit ipsec-policy
Router(config)# ipsec local-id ipsec-policy 192.168.0.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.1.0/24
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-a@example.com
Router(config-ppp-ppp-profile)# authentication password user-a@example.com ppp-password-a
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 203.0.113.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ipsec policy tunnel ipsec-policy
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

4.2.1.2. 本装置(B)の設定

Router# configure
Router(config)# ip route 203.0.113.1/32 GigaEthernet0.1
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
Router(config)# ike suppress-dangling
Router(config)# ike policy ike-policy peer 203.0.113.1 key psk mode aggressive ike-proposal
Router(config)# ike keepalive ike-policy 10 3
Router(config)# ike local-id ike-policy keyid ike-id
Router(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
Router(config)# ipsec autokey-map ipsec-policy ipv4 peer 203.0.113.1 ipsec-proposal
Router(config)# ipsec local-id ipsec-policy 192.168.1.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.0.0/24
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-b@example.com
Router(config-ppp-ppp-profile)# authentication password user-b@example.com ppp-password-b
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address ipcp
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ipsec policy tunnel ipsec-policy
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

4.2.2. 解説

4.2.2.1. 本装置(A)の解説

ip route default GigaEthernet0.1
ip route 192.168.1.0/24 Tunnel0.0
デフォルトルートをPPPoEインタフェースに設定します。
IPsec接続先をトンネルインタフェースに設定します。
ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
ike policy ike-policy peer any key psk mode aggressive ike-proposal
ISAKMP SA確立に使用するプロポーザルを指定します。
本例では、暗号アルゴリズムを AES-256bit 、認証アルゴリズムを SHA2-512 、DHグループ 15 と指定しています。
また、IKEのネゴシエーションを行う対向装置のIPアドレスと事前共有鍵を設定します。
対向装置が動的IPアドレスの場合は、"any"を指定します。
アグレッシブモードの場合は、"mode aggressive"と設定します。
ike commit-bit ike-policy

IKEアグレッシブモードにてコミットビットを使用します。

ike remote-id ike-policy keyid ike-id
IKEフェーズ1で接続を許可するIDを設定します。
対向装置と同じIDを設定します。
ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
ipsec dynamic-map ipsec-policy ipv4 ipsec-proposal ike ike-policy
IPsec SA確立に使用するプロポーザルを指定します。
本例では、暗号アルゴリズムを AES-256bit 、認証アルゴリズムを SHA2-512 と指定しています。
対向装置が動的IPアドレスの場合、ダイナミックマップを使用します。
ipsec commit-bit ipsec-policy

IPsecフェーズ2でもコミットビットを使用します。

ipsec local-id ipsec-policy 192.168.0.0/24
ipsec remote-id ipsec-policy 192.168.1.0/24
IPsecフェーズ2のID設定です。
IPsecで接続する対向装置とIDが対になるように設定します。
interface Tunnel0.0
  tunnel mode ipsec
  ipsec policy tunnel ipsec-policy
トンネルモードをIPsecに設定します。
トンネルインタフェースにIPsecのポリシー名を関連付けます。
interface Tunnel0.0
  ip unnumbered GigaEthernet2.0
トンネルインタフェースのIPアドレス設定です。
"ip unnumbered"コマンドにより、LAN側インタフェース : GE2.0 のIPアドレスと共有することができます。
interface Tunnel0.0
  ip tcp adjust-mss auto

トンネルインタフェースを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に自動調整します。

4.2.2.2. 本装置(B)の解説

ike suppress-dangling

ダングリングSA抑止機能を有効にします。

ike keepalive ike-policy 10 3
IKEキープアライブの設定です。
デフォルト10秒間隔でキープアライブを送信し、3回連続で応答を受信しなかった場合にSAを削除します。
ike local-id ike-policy keyid ike-id
IKEフェーズ1で送信するIDを設定します。
対向装置と同じIDを設定します。

4.3. アグレッシブモードによる複数対地インターネットVPN(IKEv1)

PPPoE接続による複数対地インターネットVPN接続設定例です。
IPsec IKEv1のアグレッシブモードで接続します。
センター経由でインターネット通信が行えるように、センタールーター本装置(A)にNAPTの設定も行います。
また、ログ取得設定やDHCPサーバー設定など実用的な機能もあわせて設定します。
../_images/ikev1_multiple.png

4.3.1. 設定

4.3.1.1. 本装置(A)の設定

Router# configure
Router(config)# hostname Center
Center(config)# syslog enable
Center(config)# syslog function all warn
Center(config)# ip route default GigaEthernet0.1
Center(config)# ip route 192.168.1.0/24 Tunnel1.0
Center(config)# ip route 192.168.2.0/24 Tunnel2.0
Center(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
Center(config)# ike policy ike-policy-b peer any key psk mode aggressive ike-proposal
Center(config)# ike commit-bit ike-policy-b
Center(config)# ike remote-id ike-policy-b keyid ike-id-b
Center(config)# ike policy ike-policy-c peer any key psk mode aggressive ike-proposal
Center(config)# ike commit-bit ike-policy-c
Center(config)# ike remote-id ike-policy-c keyid ike-id-c
Center(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
Center(config)# ipsec dynamic-map ipsec-policy-b ipv4 ipsec-proposal ike ike-policy-b
Center(config)# ipsec commit-bit ipsec-policy-b
Center(config)# ipsec local-id ipsec-policy-b 192.168.0.0/24
Center(config)# ipsec remote-id ipsec-policy-b 192.168.1.0/24
Center(config)# ipsec dynamic-map ipsec-policy-c ipv4 ipsec-proposal ike ike-policy-c
Center(config)# ipsec commit-bit ipsec-policy-c
Center(config)# ipsec local-id ipsec-policy-c 192.168.0.0/24
Center(config)# ipsec remote-id ipsec-policy-c 192.168.2.0/24
Center(config)# proxy-dns server 198.51.100.1 priority 110
Center(config)# proxy-dns server 198.51.100.2 priority 90
Center(config)# ppp profile ppp-profile
Center(config-ppp-ppp-profile)# authentication myname user-a@example.com
Center(config-ppp-ppp-profile)# authentication password user-a@example.com ppp-password-a
Center(config-ppp-ppp-profile)# exit
Center(config)# ip dhcp profile dhcp-profile
Center(config-dhcp-dhcp-profile)# dns-server 192.168.0.254
Center(config-dhcp-dhcp-profile)# exit
Center(config)# interface GigaEthernet2.0
Center(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Center(config-GigaEthernet2.0)# ip dhcp enable
Center(config-GigaEthernet2.0)# ip dhcp binding dhcp-profile
Center(config-GigaEthernet2.0)# proxy-dns ip enable
Center(config-GigaEthernet2.0)# no shutdown
Center(config-GigaEthernet2.0)# exit
Center(config)# interface GigaEthernet0.1
Center(config-GigaEthernet0.1)# encapsulation pppoe
Center(config-GigaEthernet0.1)# ppp binding ppp-profile
Center(config-GigaEthernet0.1)# ip address 203.0.113.1/32
Center(config-GigaEthernet0.1)# ip napt enable
Center(config-GigaEthernet0.1)# ip napt static GigaEthernet0.1 udp 500
Center(config-GigaEthernet0.1)# ip napt static GigaEthernet0.1 50
Center(config-GigaEthernet0.1)# no shutdown
Center(config-GigaEthernet0.1)# exit
Center(config)# interface Tunnel1.0
Center(config-Tunnel1.0)# tunnel mode ipsec
Center(config-Tunnel1.0)# ip unnumbered GigaEthernet2.0
Center(config-Tunnel1.0)# ip tcp adjust-mss auto
Center(config-Tunnel1.0)# ipsec policy tunnel ipsec-policy-b
Center(config-Tunnel1.0)# proxy-dns ip enable
Center(config-Tunnel1.0)# no shutdown
Center(config-Tunnel1.0)# exit
Center(config)# interface Tunnel2.0
Center(config-Tunnel2.0)# tunnel mode ipsec
Center(config-Tunnel2.0)# ip unnumbered GigaEthernet2.0
Center(config-Tunnel2.0)# ip tcp adjust-mss auto
Center(config-Tunnel2.0)# ipsec policy tunnel ipsec-policy-c
Center(config-Tunnel2.0)# proxy-dns ip enable
Center(config-Tunnel2.0)# no shutdown
Center(config-Tunnel2.0)# exit
Center(config)#

4.3.1.2. 本装置(B)の設定

Router# configure
Router(config)# hostname Site1
Site1(config)# syslog enable
Site1(config)# syslog function all warn
Site1(config)# ip route default Tunnel0.0
Site1(config)# ip route 203.0.113.1/32 GigaEthernet0.1
Site1(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
Site1(config)# ike suppress-dangling
Site1(config)# ike policy ike-policy peer 203.0.113.1 key psk mode aggressive ike-proposal
Site1(config)# ike keepalive ike-policy 10 3
Site1(config)# ike local-id ike-policy keyid ike-id-b
Site1(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
Site1(config)# ipsec autokey-map ipsec-policy ipv4 peer 203.0.113.1 ipsec-proposal
Site1(config)# ipsec local-id ipsec-policy 192.168.1.0/24
Site1(config)# ipsec remote-id ipsec-policy 192.168.0.0/24
Site1(config)# ppp profile ppp-profile
Site1(config-ppp-ppp-profile)# authentication myname user-b@example.com
Site1(config-ppp-ppp-profile)# authentication password user-b@example.com ppp-password-b
Site1(config-ppp-ppp-profile)# exit
Site1(config)# ip dhcp profile dhcp-profile
Site1(config-dhcp-dhcp-profile)# dns-server 192.168.0.254
Site1(config-dhcp-dhcp-profile)# exit
Site1(config)# interface GigaEthernet2.0
Site1(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Site1(config-GigaEthernet2.0)# ip dhcp enable
Site1(config-GigaEthernet2.0)# ip dhcp binding dhcp-profile
Site1(config-GigaEthernet2.0)# no shutdown
Site1(config-GigaEthernet2.0)# exit
Site1(config)# interface GigaEthernet0.1
Site1(config-GigaEthernet0.1)# encapsulation pppoe
Site1(config-GigaEthernet0.1)# ppp binding ppp-profile
Site1(config-GigaEthernet0.1)# ip address ipcp
Site1(config-GigaEthernet0.1)# no shutdown
Site1(config-GigaEthernet0.1)# exit
Site1(config)# interface Tunnel0.0
Site1(config-Tunnel0.0)# tunnel mode ipsec
Site1(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Site1(config-Tunnel0.0)# ip tcp adjust-mss auto
Site1(config-Tunnel0.0)# ipsec policy tunnel ipsec-policy
Site1(config-Tunnel0.0)# no shutdown
Site1(config-Tunnel0.0)# exit
Site1(config)#

4.3.1.3. 本装置(C)の設定

Router# configure
Router(config)# hostname Site2
Site2(config)# syslog enable
Site2(config)# syslog function all warn
Site2(config)# ip route default Tunnel0.0
Site2(config)# ip route 203.0.113.1/32 GigaEthernet0.1
Site2(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
Site2(config)# ike suppress-dangling
Site2(config)# ike policy ike-policy peer 203.0.113.1 key psk mode aggressive ike-proposal
Site2(config)# ike keepalive ike-policy 10 3
Site2(config)# ike local-id ike-policy keyid ike-id-c
Site2(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
Site2(config)# ipsec autokey-map ipsec-policy ipv4 peer 203.0.113.1 ipsec-proposal
Site2(config)# ipsec local-id ipsec-policy 192.168.2.0/24
Site2(config)# ipsec remote-id ipsec-policy 192.168.0.0/24
Site2(config)# ppp profile ppp-profile
Site2(config-ppp-ppp-profile)# authentication myname user-c@example.com
Site2(config-ppp-ppp-profile)# authentication password user-c@example.com ppp-password-c
Site2(config-ppp-ppp-profile)# exit
Site2(config)# ip dhcp profile dhcp-profile
Site2(config-dhcp-dhcp-profile)# dns-server 192.168.0.254
Site2(config-dhcp-dhcp-profile)# exit
Site2(config)# interface GigaEthernet2.0
Site2(config-GigaEthernet2.0)# ip address 192.168.2.254/24
Site2(config-GigaEthernet2.0)# ip dhcp enable
Site2(config-GigaEthernet2.0)# ip dhcp binding dhcp-profile
Site2(config-GigaEthernet2.0)# no shutdown
Site2(config-GigaEthernet2.0)# exit
Site2(config)# interface GigaEthernet0.1
Site2(config-GigaEthernet0.1)# encapsulation pppoe
Site2(config-GigaEthernet0.1)# ppp binding ppp-profile
Site2(config-GigaEthernet0.1)# ip address ipcp
Site2(config-GigaEthernet0.1)# no shutdown
Site2(config-GigaEthernet0.1)# exit
Site2(config)# interface Tunnel0.0
Site2(config-Tunnel0.0)# tunnel mode ipsec
Site2(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Site2(config-Tunnel0.0)# ip tcp adjust-mss auto
Site2(config-Tunnel0.0)# ipsec policy tunnel ipsec-policy
Site2(config-Tunnel0.0)# no shutdown
Site2(config-Tunnel0.0)# exit
Site2(config)#

4.3.2. 解説

4.3.2.1. 本装置(A)の解説

ip route default GigaEthernet0.1
ip route 192.168.1.0/24 Tunnel1.0
ip route 192.168.2.0/24 Tunnel2.0
デフォルトルートをPPPoEインタフェースに設定します。
IPsec接続先をトンネルインタフェースに設定します。
ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
ike policy ike-policy-b peer any key psk mode aggressive ike-proposal
ike policy ike-policy-c peer any key psk mode aggressive ike-proposal
ISAKMP SA確立に使用するプロポーザルを指定します。
本例では、暗号アルゴリズムを AES-256bit 、認証アルゴリズムを SHA2-512 、DHグループ 15 と指定しています。
また、IKEのネゴシエーションを行う対向装置のIPアドレスと事前共有鍵を設定します。
対向装置が動的IPアドレスの場合は、"any"を指定します。
アグレッシブモードの場合は、"mode aggressive"と設定します。
ike commit-bit ike-policy-b
ike commit-bit ike-policy-c

IKEアグレッシブモードにてコミットビットを使用します。

ike remote-id ike-policy-b keyid ike-id-b
ike remote-id ike-policy-c keyid ike-id-c
IKEフェーズ1で接続を許可するIDを設定します。
対向装置と同じIDを設定します。
ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
ipsec dynamic-map ipsec-policy-b ipv4 ipsec-proposal ike ike-policy-b
ipsec dynamic-map ipsec-policy-c ipv4 ipsec-proposal ike ike-policy-c
IPsec SA確立に使用するプロポーザルを指定します。
本例では、暗号アルゴリズムを AES-256bit 、認証アルゴリズムを SHA2-512 と指定しています。
対向装置が動的IPアドレスの場合、ダイナミックマップを使用します。
ipsec commit-bit ipsec-policy-b
ipsec commit-bit ipsec-policy-c

IPsecフェーズ2でもコミットビットを使用します。

ipsec local-id ipsec-policy-b 192.168.0.0/24
ipsec remote-id ipsec-policy-b 192.168.1.0/24
ipsec local-id ipsec-policy-c 192.168.0.0/24
ipsec remote-id ipsec-policy-c 192.168.2.0/24
IPsecフェーズ2のID設定です。
IPsecで接続する対向装置とIDが対になるように設定します。
interface Tunnel1.0
  tunnel mode ipsec
  ipsec policy tunnel ipsec-policy-b
interface Tunnel2.0
  tunnel mode ipsec
  ipsec policy tunnel ipsec-policy-c
トンネルモードをIPsecに設定します。
トンネルインタフェースにIPsecのポリシー名を関連付けます。
interface Tunnel1.0
  ip unnumbered GigaEthernet2.0
トンネルインタフェースのIPアドレス設定です。
"ip unnumbered"コマンドにより、LAN側インタフェース : GE2.0 のIPアドレスと共有することができます。
interface Tunnel1.0
  ip tcp adjust-mss auto

トンネルインタフェースを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に自動調整します。

proxy-dns server 198.51.100.1 priority 110
proxy-dns server 198.51.100.2 priority 90
interface GigaEthernet2.0
  proxy-dns ip enable
interface Tunnel1.0
  proxy-dns ip enable
interface Tunnel2.0
  proxy-dns ip enable
プロキシDNSの設定です。
DNSサーバーを複数設定する場合は、優先度に差を付けて設定することを推奨します。
デフォルトの優先度は100です。
プロキシDNSの有効化設定は、インタフェースに行います。
対向先からもDNS解決ができるようにトンネルインタフェースにもプロキシDNSを有効化します。
syslog enable
syslog function all warn

ログ取得(取得する機能 : all 、取得レベル : warn )の設定です。

ip dhcp profile dhcp-profile
  dns-server 192.168.0.254
interface GigaEthernet2.0
  ip dhcp enable
  ip dhcp binding dhcp-profile
DHCPプロファイルの設定です。
プロキシDNS機能を使用するため、端末に通知するDNSサーバーのIPアドレス : 192.168.0.254 を設定します。
DHCPサーバー機能有効化設定とDHCPプロファイルの関連付けします。
interface GigaEthernet0.1
  ip napt enable
  ip napt static GigaEthernet0.1 udp 500
  ip napt static GigaEthernet0.1 50
プライベートIPアドレスをグローバルIPアドレスに変換するため、NAPTを有効化します。
対向装置からIPsecの接続が開始されるため、IKEパケット(UDP/500)とESPパケット(プロトコル番号:50)をWAN側インタフェースに転送する静的NAPTの設定します。

4.3.2.2. 本装置(B)の解説

ip route default Tunnel0.0
デフォルトルートをトンネルインタフェースに設定します。
これにより拠点2宛てやインターネット通信も全てセンター経由で通信します。
ike suppress-dangling

ダングリングSA抑止機能を有効にします。

ike keepalive ike-policy 10 3
IKEキープアライブの設定です。
デフォルト10秒間隔でキープアライブを送信し、3回連続で応答を受信しなかった場合にSAを削除します。
ike local-id ike-policy keyid ike-id-b
IKEフェーズ1で送信するIDを設定します。
対向装置と同じIDを設定します。

4.3.2.3. 本装置(C)の解説

本装置(A)、本装置(B)と同様の考え方で設定します。

4.4. ダイナミックDNSを使用したインターネットVPN(IKEv1)

PPPoE接続によるインターネットVPN接続設定例です。
NetMeisterのダイナミックDNSを利用してIPsec IKEv1のメインモードで接続します。
グループIDとグループパスワードは、事前に以下の内容でNetMeisterに登録済みとします。
../_images/netmeister.png ../_images/ikev1_dynamic_dns.png

4.4.1. 設定

4.4.1.1. 本装置(A)の設定

Router# configure
Router(config)# hostname IX-R2520-A
IX-R2520-A(config)# ip route default GigaEthernet0.1
IX-R2520-A(config)# ip route 192.168.1.0/24 Tunnel0.0
IX-R2520-A(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
IX-R2520-A(config)# ike policy ike-policy peer-fqdn-ipv4 ix-r2520-b.sample-group.nmddns.jp key psk ike-proposal
IX-R2520-A(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
IX-R2520-A(config)# ipsec autokey-map ipsec-policy ipv4 peer-fqdn-ipv4 ix-r2520-b.sample-group.nmddns.jp ipsec-proposal
IX-R2520-A(config)# ipsec local-id ipsec-policy 192.168.0.0/24
IX-R2520-A(config)# ipsec remote-id ipsec-policy 192.168.1.0/24
IX-R2520-A(config)# nm ip enable
IX-R2520-A(config)# nm account sample-group password plain sample-password
IX-R2520-A(config)# nm sitename tokyo
IX-R2520-A(config)# ppp profile ppp-profile
IX-R2520-A(config-ppp-ppp-profile)# authentication myname user-a@example.com
IX-R2520-A(config-ppp-ppp-profile)# authentication password user-a@example.com ppp-password-a
IX-R2520-A(config-ppp-ppp-profile)# exit
IX-R2520-A(config)# interface GigaEthernet2.0
IX-R2520-A(config-GigaEthernet2.0)# ip address 192.168.0.254/24
IX-R2520-A(config-GigaEthernet2.0)# no shutdown
IX-R2520-A(config-GigaEthernet2.0)# exit
IX-R2520-A(config)# interface GigaEthernet0.1
IX-R2520-A(config-GigaEthernet0.1)# encapsulation pppoe
IX-R2520-A(config-GigaEthernet0.1)# ppp binding ppp-profile
IX-R2520-A(config-GigaEthernet0.1)# ip address ipcp
IX-R2520-A(config-GigaEthernet0.1)# no shutdown
IX-R2520-A(config-GigaEthernet0.1)# exit
IX-R2520-A(config)# interface Tunnel0.0
IX-R2520-A(config-Tunnel0.0)# tunnel mode ipsec
IX-R2520-A(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
IX-R2520-A(config-Tunnel0.0)# ip tcp adjust-mss auto
IX-R2520-A(config-Tunnel0.0)# ipsec policy tunnel ipsec-policy
IX-R2520-A(config-Tunnel0.0)# no shutdown
IX-R2520-A(config-Tunnel0.0)# exit
IX-R2520-A(config)#

4.4.1.2. 本装置(B)の設定

Router# configure
Router(config)# hostname IX-R2520-B
IX-R2520-B(config)# ip route default GigaEthernet0.1
IX-R2520-B(config)# ip route 192.168.0.0/24 Tunnel0.0
IX-R2520-B(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
IX-R2520-B(config)# ike policy ike-policy peer-fqdn-ipv4 ix-r2520-a.sample-group.nmddns.jp key psk ike-proposal
IX-R2520-B(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
IX-R2520-B(config)# ipsec autokey-map ipsec-policy ipv4 peer-fqdn-ipv4 ix-r2520-a.sample-group.nmddns.jp ipsec-proposal
IX-R2520-B(config)# ipsec local-id ipsec-policy 192.168.1.0/24
IX-R2520-B(config)# ipsec remote-id ipsec-policy 192.168.0.0/24
IX-R2520-B(config)# nm ip enable
IX-R2520-B(config)# nm account sample-group password plain sample-password
IX-R2520-B(config)# nm sitename osaka
IX-R2520-B(config)# ppp profile ppp-profile
IX-R2520-B(config-ppp-ppp-profile)# authentication myname user-b@example.com
IX-R2520-B(config-ppp-ppp-profile)# authentication password user-b@example.com ppp-password-b
IX-R2520-B(config-ppp-ppp-profile)# exit
IX-R2520-B(config)# interface GigaEthernet2.0
IX-R2520-B(config-GigaEthernet2.0)# ip address 192.168.1.254/24
IX-R2520-B(config-GigaEthernet2.0)# no shutdown
IX-R2520-B(config-GigaEthernet2.0)# exit
IX-R2520-B(config)# interface GigaEthernet0.1
IX-R2520-B(config-GigaEthernet0.1)# encapsulation pppoe
IX-R2520-B(config-GigaEthernet0.1)# ppp binding ppp-profile
IX-R2520-B(config-GigaEthernet0.1)# ip address ipcp
IX-R2520-B(config-GigaEthernet0.1)# no shutdown
IX-R2520-B(config-GigaEthernet0.1)# exit
IX-R2520-B(config)# interface Tunnel0.0
IX-R2520-B(config-Tunnel0.0)# tunnel mode ipsec
IX-R2520-B(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
IX-R2520-B(config-Tunnel0.0)# ip tcp adjust-mss auto
IX-R2520-B(config-Tunnel0.0)# ipsec policy tunnel ipsec-policy
IX-R2520-B(config-Tunnel0.0)# no shutdown
IX-R2520-B(config-Tunnel0.0)# exit
IX-R2520-B(config)#

4.4.2. 解説

4.4.2.1. 本装置(A)の解説

hostname IX-R2520-A
ホスト名 : IX-R2520-A を設定します。
ホスト名は、NetMeister上で装置名として表示されます。
NetMeisterダイナミックDNSサービスのドメインの一部となります。
ip route default GigaEthernet0.1
ip route 192.168.1.0/24 Tunnel0.0
デフォルトルートをPPPoEインタフェースに設定します。
IPsec接続先をトンネルインタフェースに設定します。
ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
ike policy ike-policy peer-fqdn-ipv4 ix-r2520-b.sample-group.nmddns.jp key psk ike-proposal
ISAKMP SA確立に使用するプロポーザルを指定します。
本例では、暗号アルゴリズムを AES-256bit 、認証アルゴリズムを SHA2-512 、DHグループ 15 と指定しています。
また、IKEのネゴシエーションを行う対向装置のFQDNと事前共有鍵の設定します。
ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
ipsec autokey-map ipsec-policy ipv4 peer-fqdn-ipv4 ix-r2520-b.sample-group.nmddns.jp ipsec-proposal
IPsec SA確立に使用するプロポーザルを指定します。
本例では、暗号アルゴリズムを AES-256bit 、認証アルゴリズムを SHA2-512 と指定しています。
また、対向装置のFQDNを設定します。
ipsec local-id ipsec-policy 192.168.0.0/24
ipsec remote-id ipsec-policy 192.168.1.0/24
IPsecフェーズ2のID設定です。
IPsecで接続する対向装置とIDが対になるように設定します。
nm ip enable

NetMeisterクライアント機能を有効化します。

nm account sample-group password plain sample-password

NetMeisterで登録したグループID : sample-group とパスワード : sample-password を設定します。

nm sitename tokyo
NetMeisterで登録する拠点ID : tokyo を設定します。
本設定を省略した場合、ホスト名が拠点IDとして設定されます。
interface Tunnel0.0
  tunnel mode ipsec
  ipsec policy tunnel ipsec-policy
トンネルモードをIPsecに設定します。
トンネルインタフェースにIPsecのポリシー名を関連付けます。
interface Tunnel0.0
  ip unnumbered GigaEthernet2.0
トンネルインタフェースのIPアドレス設定です。
"ip unnumbered"コマンドにより、LAN側インタフェース : GE2.0 のIPアドレスと共有することができます。
interface Tunnel0.0
  ip tcp adjust-mss auto

トンネルインタフェースを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に自動調整します。

4.4.2.2. 本装置(B)の解説

本装置(A)と同様の考え方で設定します。

4.5. NAT装置配下によるインターネットVPN(IKEv1)

PPPoE接続によるインターネットVPN接続設定例です。
NATトラバーサル機能を使用してIPsec IKEv1のアグレッシブモードで接続します。
../_images/ikev1_nat.png

4.5.1. 設定

4.5.1.1. 本装置(A)の設定

Router# configure
Router(config)# ip route default GigaEthernet0.1
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ike nat-traversal
Router(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
Router(config)# ike policy ike-policy peer any key psk mode aggressive ike-proposal
Router(config)# ike commit-bit ike-policy
Router(config)# ike remote-id ike-policy keyid ike-id
Router(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
Router(config)# ipsec dynamic-map ipsec-policy ipv4 ipsec-proposal ike ike-policy
Router(config)# ipsec commit-bit ipsec-policy
Router(config)# ipsec local-id ipsec-policy 192.168.0.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.1.0/24
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-a@example.com
Router(config-ppp-ppp-profile)# authentication password user-a@example.com ppp-password-a
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 203.0.113.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ipsec policy tunnel ipsec-policy
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

4.5.1.2. 本装置(B)の設定

Router# configure
Router(config)# ip route default 172.16.1.254
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ike nat-traversal
Router(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
Router(config)# ike suppress-dangling
Router(config)# ike policy ike-policy peer 203.0.113.1 key psk mode aggressive ike-proposal
Router(config)# ike keepalive ike-policy 10 3
Router(config)# ike local-id ike-policy keyid ike-id
Router(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
Router(config)# ipsec autokey-map ipsec-policy ipv4 peer 203.0.113.1 ipsec-proposal
Router(config)# ipsec local-id ipsec-policy 192.168.1.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.0.0/24
Router(config)# interface GigaEthernet0.0
Router(config-GigaEthernet0.0)# ip address 172.16.1.1/24
Router(config-GigaEthernet0.0)# no shutdown
Router(config-GigaEthernet0.0)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ipsec policy tunnel ipsec-policy
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

4.5.2. 解説

4.5.2.1. 本装置(A)の解説

ip route default GigaEthernet0.1
ip route 192.168.1.0/24 Tunnel0.0
デフォルトルートをPPPoEインタフェースに設定します。
IPsec接続先をトンネルインタフェースに設定します。
ike nat-traversal
NATトラバーサル機能を有効化します。
ポリシー名を省略すると全てのIKEポリシーでNATトラバーサルが有効になります。
ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
ike policy ike-policy peer any key psk mode aggressive ike-proposal
ISAKMP SA確立に使用するプロポーザルを指定します。
本例では、暗号アルゴリズムを AES-256bit 、認証アルゴリズムを SHA2-512 、DHグループ 15 と指定しています。
また、IKEのネゴシエーションを行う対向装置のIPアドレスと事前共有鍵を設定します。
対向装置が動的IPアドレスの場合は、"any"を指定します。
アグレッシブモードの場合は、"mode aggressive"と設定します。
ike commit-bit ike-policy
IKEアグレッシブモードにてコミットビットを使用します。
ike remote-id ike-policy keyid ike-id
IKEフェーズ1で接続を許可するIDを設定します。
対向装置と同じIDを設定します。
ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
ipsec dynamic-map ipsec-policy ipv4 ipsec-proposal ike ike-policy
IPsec SA確立に使用するプロポーザルを指定します。
本例では、暗号アルゴリズムを AES-256bit 、認証アルゴリズムを SHA2-512 と指定しています。
対向装置が動的IPアドレスの場合、ダイナミックマップを使用します。
ipsec commit-bit ipsec-policy

IPsecフェーズ2でもコミットビットを使用します。

ipsec local-id ipsec-policy 192.168.0.0/24
ipsec remote-id ipsec-policy 192.168.1.0/24
IPsecフェーズ2のID設定です。
IPsecで接続する対向装置とIDが対になるように設定します。
interface Tunnel0.0
  tunnel mode ipsec
  ipsec policy tunnel ipsec-policy
トンネルモードをIPsecに設定します。
トンネルインタフェースにIPsecのポリシー名を関連付けます。
interface Tunnel0.0
  ip unnumbered GigaEthernet2.0
トンネルインタフェースのIPアドレス設定です。
"ip unnumbered"コマンドにより、LAN側インタフェース : GE2.0 のIPアドレスと共有することができます。
interface Tunnel0.0
  ip tcp adjust-mss auto

トンネルインタフェースを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に自動調整します。

4.5.2.2. 本装置(B)の解説

ike suppress-dangling

ダングリングSA抑止機能を有効にします。

ike keepalive ike-policy 10 3
IKEキープアライブの設定です。
デフォルト10秒間隔でキープアライブを送信し、3回連続で応答を受信しなかった場合にSAを削除します。
ike local-id ike-policy keyid ike-id
IKEフェーズ1で送信するIDを設定します。
対向装置と同じIDを設定します。

4.6. アグレッシブモードによるモバイル接続を使用したインターネットVPN(IKEv1)

拠点側がモバイル接続のインターネットVPN接続設定例です。
IPsec IKEv1のアグレッシブモードで接続します。
../_images/ikev1_aggressive_mobile.png

4.6.1. 設定

4.6.1.1. 本装置(A)の設定

Router# configure
Router(config)# ip route default GigaEthernet0.1
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ike nat-traversal
Router(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
Router(config)# ike policy ike-policy peer any key psk mode aggressive ike-proposal
Router(config)# ike commit-bit ike-policy
Router(config)# ike remote-id ike-policy keyid ike-id
Router(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
Router(config)# ipsec dynamic-map ipsec-policy ipv4 ipsec-proposal ike ike-policy
Router(config)# ipsec commit-bit ipsec-policy
Router(config)# ipsec local-id ipsec-policy 192.168.0.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.1.0/24
Router(config)# ppp profile ppp-profile
Router(config-ppp-ppp-profile)# authentication myname user-a@example.com
Router(config-ppp-ppp-profile)# authentication password user-a@example.com ppp-password-a
Router(config-ppp-ppp-profile)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)# interface GigaEthernet0.1
Router(config-GigaEthernet0.1)# encapsulation pppoe
Router(config-GigaEthernet0.1)# ppp binding ppp-profile
Router(config-GigaEthernet0.1)# ip address 203.0.113.1/32
Router(config-GigaEthernet0.1)# no shutdown
Router(config-GigaEthernet0.1)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ipsec policy tunnel ipsec-policy
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

4.6.1.2. 本装置(B)の設定

Router# configure
Router(config)# ip route 203.0.113.1/32 MobileEthernet1.0
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ike nat-traversal
Router(config)# ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
Router(config)# ike suppress-dangling
Router(config)# ike policy ike-policy peer 203.0.113.1 key psk mode aggressive ike-proposal
Router(config)# ike keepalive ike-policy 10 3
Router(config)# ike local-id ike-policy keyid ike-id
Router(config)# ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
Router(config)# ipsec autokey-map ipsec-policy ipv4 peer 203.0.113.1 ipsec-proposal
Router(config)# ipsec local-id ipsec-policy 192.168.1.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.0.0/24
Router(config)# device Module1
Router(config-Module1)# no shutdown
Router(config-Module1)# exit
Router(config)# interface GigaEthernet1.0
Router(config-GigaEthernet1.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet1.0)# no shutdown
Router(config-GigaEthernet1.0)# exit
Router(config)# interface MobileEthernet1.0
Router(config-MobileEthernet1.0)# auto-connect
Router(config-MobileEthernet1.0)# ip address dhcp
Router(config-MobileEthernet1.0)# mobile id ip example.com
Router(config-MobileEthernet1.0)# mobile username test-user
Router(config-MobileEthernet1.0)# mobile password plain test-password
Router(config-MobileEthernet1.0)# no shutdown
Router(config-MobileEthernet1.0)# exit
Router(config)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet1.0
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# ipsec policy tunnel ipsec-policy
Router(config-Tunnel0.0)# no shutdown
Router(config-Tunnel0.0)# exit
Router(config)#

4.6.2. 解説

4.6.2.1. 本装置(A)の解説

ip route default GigaEthernet0.1
ip route 192.168.1.0/24 Tunnel0.0
デフォルトルートをPPPoEインタフェースに設定します。
IPsec接続先をトンネルインタフェースに設定します。
ike nat-traversal
NATトラバーサル機能を有効化します。
ポリシー名を省略すると全てのIKEポリシーでNATトラバーサルが有効になります。
モバイル通信網ではモバイル通信事業者のネットワーク内でアドレス変換が行われる場合があることから、モバイル通信網を経由してIPsec接続を行う場合は、NATトラバーサルを使用します。
ike proposal ike-proposal encryption aes-256 hash sha2-512 group 3072-bit
ike policy ike-policy peer any key psk mode aggressive ike-proposal
ISAKMP SA確立に使用するプロポーザルを指定します。
本例では、暗号アルゴリズムを AES-256bit 、認証アルゴリズムを SHA2-512 、DHグループ 15 と指定しています。
また、IKEのネゴシエーションを行う対向装置のIPアドレスと事前共有鍵を設定します。
対向装置が動的IPアドレスの場合は、"any"を指定します。
アグレッシブモードの場合は、"mode aggressive"と設定します。
ike commit-bit ike-policy

IKEアグレッシブモードにてコミットビットを使用します。

ike remote-id ike-policy keyid ike-id
IKEフェーズ1で接続を許可するIDを設定します。
対向装置と同じIDを設定します。
ipsec autokey-proposal ipsec-proposal esp-aes-256 esp-sha2-512
ipsec dynamic-map ipsec-policy ipv4 ipsec-proposal ike ike-policy
IPsec SA確立に使用するプロポーザルを指定します。
本例では、暗号アルゴリズムを AES-256bit 、認証アルゴリズムを SHA2-512 と指定しています。
対向装置が動的IPアドレスの場合、ダイナミックマップを使用します。
ipsec commit-bit ipsec-policy

IPsecフェーズ2でもコミットビットを使用します。

ipsec local-id ipsec-policy 192.168.0.0/24
ipsec remote-id ipsec-policy 192.168.1.0/24
IPsecフェーズ2のID設定です。
IPsecで接続する対向装置とIDが対になるように設定します。
interface Tunnel0.0
  tunnel mode ipsec
  ipsec policy tunnel ipsec-policy
トンネルモードをIPsecに設定します。
トンネルインタフェースにIPsecのポリシー名を関連付けます。
interface Tunnel0.0
  ip unnumbered GigaEthernet2.0
トンネルインタフェースのIPアドレス設定です。
"ip unnumbered"コマンドにより、LAN側インタフェース : GE2.0 のIPアドレスと共有することができます。
interface Tunnel0.0
  ip tcp adjust-mss auto

トンネルインタフェースを通るTCPパケットのMSS値をトンネルインタフェースのMTU長以下に自動調整します。

4.6.2.2. 本装置(B)の解説

ip route default MobileEthernet1.0
ip route 192.168.0.0/24 Tunnel0.0
デフォルトルートをモバイルインタフェースに設定します。
IPsec接続先をトンネルインタフェースに設定します。
ike suppress-dangling

ダングリングSA抑止機能を有効にします。

ike keepalive ike-policy 10 3
IKEキープアライブの設定です。
デフォルト10秒間隔でキープアライブを送信し、3回連続で応答を受信しなかった場合にSAを削除します。
ike local-id ike-policy keyid ike-id
IKEフェーズ1で送信するIDを設定します。
対向装置と同じIDを設定します。
device Module1
  no shutdown

内蔵モジュールを有効化します。

interface MobileEthernet1.0
  auto-connect
常時接続設定です。
自動でモバイル通信網に接続します。
デフォルトはオンデマンド接続("no auto-connect")設定です。
interface MobileEthernet1.0
  ip address dhcp
  mobile id ip example.com
  mobile username test-user
  mobile password plain test-password
IPアドレスはモバイル通信網からDHCPで取得します。
モバイル通信事業者から通知された情報を設定します。