WARV-1の他社ルータVPN接続マニュアル

WARV-1 他社製ルータとの相互接続に関しまして
1.8 版 2012 年08 月23 日 株式会社アルチザネットワークス
1. はじめに
平素は格別のご高配を賜わり、厚く御礼申し上げます。本資料は、WARV-1 と他社製ルータとの相互接続に関して、設定例をまとめたものです。
2. Cisco 社製ルータとの接続
IPSec トンネルモード(固定 IP アドレス)
2.1.
2.1.1.
接続試験構成
接続構成を図 2-1に示します。
WiMAX
192.168.1.50
LAN1:
192.168.0.254/24
PC1
FE0:192.168.1.30/24
FE1:192.168.3.1/24
IPSec tunnel
WARV-1
cisco1812J
PC2
図 2-1 Cisco 社製ルータ IPSec トンネル接続試験構成図
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
1
2.1.2.
WARV コンフィグレーション
ピア IP アドレスに cisco の IP アドレスを、暗号化アルゴリズム、認証アルゴリズム、事前共有鍵には cisco に設定したものと同じ値を設定します。ト
ンネル IP アドレス・サブネットマスクにトンネルする IP アドレス・サブネットマスクを設定します。
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
2
2.1.3.
Cisco コンフィグレーション
!
crypto isakmp policy 1
encr aes
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 192.168.1.50
crypto isakmp keepalive 30 periodic
!
crypto ipsec transform-set IPSEC esp-aes esp-md5-hmac
!
crypto map IPSEC-TUNNEL 1 ipsec-isakmp
set peer 192.168.1.50
set transform-set IPSEC
match address 100
!
interface FastEthernet0
ip address 192.168.1.30 255.255.255.0
duplex auto
speed auto
crypto map IPSEC-TUNNEL
!
interface FastEthernet1
ip address 192.168.3.1 255.255.255.0
duplex auto
speed auto
!
access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.0.255
!
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
3
IPSec トンネルモード(WARV-1 が動的 IP アドレスの場合)
2.2.
2.2.1.
接続試験構成
接続構成を図 2-2に示します。
WiMAX
動的IPアドレス
LAN1:
192.168.0.254/24
PC1
2.2.2.
IPSec tunnel
WARV-1
図 2-2
FE0:192.168.1.30/24
FE1:192.168.3.1/24
cisco1812J
PC2
Cisco 社製ルータ IPSec トンネル接続試験構成図(動的IP アドレス)
WARV コンフィグレーション
ID として user_fqdn を選択し、cisco に設定した値と同じ User FQDN(図では”warv1@artiza.co.jp”)を設定します。ピア IP アドレスに
cisco の IP アドレスを、暗号化アルゴリズム、認証アルゴリズム、事前共有鍵には cisco に設定したものと同じ値を設定します。トンネル IP アドレス・
サブネットマスクにトンネルする IP アドレス・サブネットマスクを設定します。EX モードは、aggressive を選択します。
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
4
2.2.3.
Cisco コンフィグレーション
aaa new-model
!
aaa authorization network AGGRE local
aaa session-id common
!
crypto isakmp policy 1
encr aes
hash md5
authentication pre-share
group 2
crypto isakmp keepalive 30 periodic
!
crypto isakmp client configuration group warv1@artiza.co.jp
key warv1
!
crypto ipsec transform-set IPSEC esp-aes esp-md5-hmac
!
crypto dynamic-map Dmap 10
set transform-set IPSEC
!
crypto map LAB local-address FastEthernet0
crypto map LAB isakmp authorization list AGGRE
crypto map LAB 10 ipsec-isakmp dynamic Dmap
!
interface FastEthernet0
ip address 192.168.1.30 255.255.255.0
duplex auto
speed auto
crypto map LAB
!
interface FastEthernet1
ip address 192.168.3.1 255.255.255.0
duplex auto
speed auto
!
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
5
IPSec トンネルモード(WARV-1 が動的 IP アドレスで複数の場合)
2.3.
2.3.1.
接続試験構成
接続構成を図 2-3に示します。
WiMAX
動的IPアドレス
LAN1:
192.168.0.254/24
PC1
IPSec tunnel
WARV-1 #1
LAN1:
192.168.10.254/24
PC2
ne
c tun
IPSe
l
FE1:192.168.3.1/24
cisco1812J
PC3
WiMAX
動的IPアドレス
WARV-1 #2
図 2-3
2.3.2.
FE0:192.168.1.30/24
Cisco 社製ルータ IPSec トンネル接続試験構成図(WARV-1 が動的IP アドレスで複数の場合)
WARV コンフィグレーション
WARV-1 #1 の設定は、2.2.2と同じですのでそちらを参照してください。また、 WARV-1#2 の設定は ID として user_fqdn を選択し、cisco
に設定した値と同じUser FQDN(今回は”warv2@artiza.co.jp”)を設定します。LAN1の設定を192.168.10.254/24と設定します。それ
以外に WARV-1#1 設定と同じになります。
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
6
2.3.3.
Cisco コンフィグレーション
2.2.3の設定との差分を網掛けしています。
aaa new-model
aaa authorization network AGGRE local
aaa session-id common
!
crypto isakmp policy 1
encr aes
hash md5
authentication pre-share
group 2
crypto isakmp keepalive 30 periodic
!
crypto isakmp client configuration group warv1@artiza.co.jp
key warv1
!
crypto isakmp client configuration group warv2@artiza.co.jp
key warv1
!
crypto ipsec transform-set IPSEC esp-aes esp-md5-hmac
!
crypto dynamic-map Dmap 10
set transform-set IPSEC
crypto dynamic-map Dmap2 11
set transform-set IPSEC
!
crypto map LAB local-address FastEthernet0
crypto map LAB isakmp authorization list AGGRE
crypto map LAB 10 ipsec-isakmp dynamic Dmap
crypto map LAB 11 ipsec-isakmp dynamic Dmap2
!
interface FastEthernet0
ip address 192.168.1.30 255.255.255.0
duplex auto
speed auto
crypto map LAB
interface FastEthernet1
ip address 192.168.3.1 255.255.255.0
duplex auto
speed auto
!
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
7
GRE over IPSec
2.4.
2.4.1.
接続試験構成
接続構成を図 2-4に示します。
LAN0:
192.168.1.50/24
LAN1:
192.168.0.254/24
PC1
FE0:192.168.1.30/24
GRE over IPSec tunnel
WARV-1
FE1:192.168.3.1/24
cisco1812J
PC2
図 2-4 Cisco 社製ルータ GRE over IPSec トンネル接続試験構成図
2.4.2.
WARV コンフィグレーション
ピア IP アドレスに cisco の IP アドレスを、暗号化アルゴリズム、認証アルゴリズム、事前共有鍵には cisco に設定したものと同じ値を設定します。GRE
を使用するにチェックし、GRE 経路 IP アドレス・サブネットマスクにトンネルする IP アドレス・サブネットマスクを設定します。プロトコル番号には GRE のプロ
トコル番号47 を設定します。
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
8
2.4.3.
Cisco コンフィグレーション
!
crypto isakmp policy 1
encr aes
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 192.168.1.50
crypto isakmp keepalive 30 periodic
!
crypto ipsec transform-set IPSEC esp-aes esp-md5-hmac
mode transport
!
crypto map GRE-IPSEC 1 ipsec-isakmp
set peer 192.168.1.50
set transform-set IPSEC
set pfs group2
match address 101
!
interface Tunnel0
ip address 192.168.0.254 255.255.255.0
ip mtu 1372
tunnel source FastEthernet0
tunnel destination 192.168.1.50
!
interface FastEthernet0
ip address 192.168.1.30 255.255.255.0
duplex auto
speed auto
crypto map GRE-IPSEC
!
interface FastEthernet1
ip address 192.168.3.1 255.255.255.0
duplex auto
speed auto
!
access-list 101 permit gre host 192.168.1.30 host 192.168.1.50
!
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
9
2.5.
2.5.1.
GRE over IPSec(WARV-1 が複数台の場合)
接続試験構成
接続構成を図 2-5に示します。
WAN:
192.168.1.50/24
LAN1:
192.168.0.254/24
PC1
GRE over IPSec tunnel
WARV-1 #1
LAN1:
192.168.10.254/24
PC2
FE0:192.168.1.30/24
nne
ec tu
S
P
I
over
GRE
FE1:192.168.3.1/24
l
cisco1812J
PC3
WAN:
192.168.1.51/24
WARV-1 #2
図 2-5 Cisco 社製ルータ GRE over IPSec トンネル接続試験構成図(WARV-1 が複数台の場合)
2.5.2.
WARV コンフィグレーション
WARV-1 #1 の設定は、2.4 と同じですのでそちらを参照してください。また、WARV-1 #2 の設定も LAN1 のアドレスを 192.168.10.254/24 に
設定する以外は、WARV1 #1 と同じになります。
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
10
2.5.3.
Cisco コンフィグレーション
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 192.168.1.50
crypto isakmp key cisco address 192.168.1.51
crypto isakmp keepalive 30 periodic
!
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
mode transport
!
crypto map GRE-IPSEC 1 ipsec-isakmp
set peer 192.168.1.50
set transform-set IPSEC
set pfs group2
match address 101
crypto map GRE-IPSEC 2 ipsec-isakmp
set peer 192.168.1.51
set transform-set IPSEC
set pfs group2
match address 102
!
interface Tunnel0
ip address 192.168.0.254 255.255.255.0
ip mtu 1300
tunnel source FastEthernet0
tunnel destination 192.168.1.50
!
interface Tunnel1
ip address 192.168.10.254 255.255.255.0
ip mtu 1300
tunnel source FastEthernet0
tunnel destination 192.168.1.51
!
~cisco コンフィグレーション続き~
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
11
!
interface FastEthernet0
description internet
ip address 192.168.1.30 255.255.255.0
duplex auto
speed auto
crypto map GRE-IPSEC
!
interface FastEthernet1
ip address 192.168.3.1 255.255.255.0
duplex auto
speed auto
!
access-list 101 permit gre host 192.168.1.30 host 192.168.1.50
access-list 102 permit gre host 192.168.1.30 host 192.168.1.51
!
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
12
2.6.
2.6.1.
1 対 1 での L2TPv3 接続
接続試験構成
接続構成を、図 2-6に示します。
FE1
ブリッジ接続
WAN(WiMAX)
10.0.10.1/24
FE0
10.0.0.1/24
WiMAX
Cisco 1812J
図 2-6
2.6.2.
LAN
ブリッジ接続
WARV-1
Cisco 社製ルータ 1 対1 での L2TPv3 接続試験構成図
WARV コンフィグレーション
WARV-1 の設定例を、図 2-7および表 2-1に示します。
図 2-7 WARV-1 の設定例
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
13
表 2-1 各設定値
2.6.3.
設定項目
設定値
L2TP ルータ ID
任意
L2TP ホスト名
任意
ピア IP アドレス
10.0.0.1
Remote-End-ID
Cisco に設定した値と同じ値を設定してください。例では”1”となります。
Cisco 互換AVP
チェックしてください。
COOKIE サイズ
4 または 8(任意)
パスワード
Cisco に設定した値と同じ値を設定してください。例では”artiza”となります。
cisco コンフィグレーション
WAN 側インターフェース(FE0)の IP アドレスの設定
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface FastEthernet0
Router(config-if)#ip address 10.0.0.1 255.255.255.0
必要ならデフォルトルートの設定を行います。
Router(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2
必要ならパスワード、COOKIE サイズを設定します。
Router(config)#l2tp-class L2TPv3
Router(config-l2tp-class)#password artiza
Router(config-l2tp-class)#cookie size 8
Pseudo Wire クラスを設定します。
Router(config)#pseudowire-class L2TPv3
Router(config-pw-class)#encapsulation l2tpv3
Router(config-pw-class)#protocol l2tpv3 L2TPv3
Router(config-pw-class)#ip local interface FastEthernet 0
L2TPv3 のピアの IP アドレス、Remote-End-ID を設定します。また使用する Pseudo Wire クラスを割り当てます。
Router(config)#interface FastEthernet1
Router(config-if)# xconnect 10.0.10.1 1 pw-class L2TPv3
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
14
完成した Cisco 1812J のコンフィグ(抜粋)を、図 2-8 Cisco 1812J コンフィグ(抜粋)に示します。
hostname Router
!
l2tp-class L2TPv3
password 7 1416001F051E2B
cookie size 8
!
pseudowire-class L2TPv3
encapsulation l2tpv3
protocol l2tpv3 L2TPv3
!
interface FastEthernet0
ip address 10.0.0.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1
no ip address
duplex auto
speed auto
xconnect 10.0.10.1 1 pw-class L2TPv3
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
!
end
図 2-8 Cisco 1812J コンフィグ(抜粋)
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
15
2.7.
2.7.1.
マルチ L2TPv3 接続
接続試験構成
接続構成を図 2-9に示します。
L2TPv3 over IP/ L2TP v3 over IPSec
over VLAN(VID=1)
WARV #1
10.0.100.19
)
ID=2
Cisco ISR 1841
N(V
A
L
er V
FE0/0 172.16.20.150/24
v
o
IP
over
Pv 3
L2T
WARV #2
10.0.100.20
図 2-9 Cisco 社製ルータ マルチ L2TPv3 接続試験構成図
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
16
2.7.2.
WARV#1 コンフィグレーション
VLAN 設定で LAN1 の VID に 1 を設定します。
L2TPv3 設定で、ピア IP アドレスに、172.16.20.150、Remote-End-ID に 1、PWType に VLAN(4)、Cisco 互換 AVP にチェック、COOKIE
サイズ、パスワードに cisco に設定したものと同じ値を設定します。
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
17
L2TPv3 over IPSec の場合、IPSec 設定で以下のように設定します。
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
18
2.7.3.
WARV#2 コンフィグレーション
VLAN 設定で LAN1 の VID に 2 を設定します。
L2TPv3 設定で、ピア IP アドレスに、172.16.20.150、Remote-End-ID に 2、PWType に VLAN(4)、Cisco 互換 AVP にチェック、COOKIE
サイズ、パスワードに cisco に設定したものと同じ値を設定します。
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
19
2.7.4.
Cisco コンフィグレーション(L2TPv3 over IP)
l2tp-class L2TPv3-1
password 7 1416001F051E2B
cookie size 8
l2tp-class L2TPv3-2
password 7 1416001F051E2B
cookie size 8
!
pseudowire-class L2TPv3-1
encapsulation l2tpv3
protocol l2tpv3 L2TPv3-1
ip local interface FastEthernet0/0
pseudowire-class L2TPv3-2
encapsulation l2tpv3
protocol l2tpv3 L2TPv3-2
ip local interface FastEthernet0/0
!
interface FastEthernet0/0
ip address 172.16.20.150 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
interface FastEthernet0/1.1
encapsulation dot1Q 1
xconnect 10.0.100.19 1 pw-class L2TPv3-1
interface FastEthernet0/1.2
encapsulation dot1Q 2
xconnect 10.0.100.20 2 pw-class L2TPv3-2
!
ip route 0.0.0.0 0.0.0.0 172.16.20.254
!
end
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
20
2.7.5.
Cisco コンフィグレーション(L2TPv3 over IPSec)
crypto isakmp policy 1
encr aes
hash sha
authentication pre-share
group 2
crypto isakmp key artiza address 10.0.100.19
crypto isakmp keepalive 30 periodic!
crypto ipsec transform-set IPSEC esp-aes esp-sha-hmac
mode transport
!
crypto map L2TPv3-IPSEC 1 ipsec-isakmp
set peer 10.0.100.19
set transform-set IPSEC
match address 100
!
interface FastEthernet0/0
ip address 172.16.20.150 255.255.255.0
duplex auto
speed auto
crypto map L2TPv3-IPSEC
!
access-list 100 permit 115 host 172.16.20.150 host 10.0.100.19
!
~ 以下同様のため省略 ~
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
21
2.8.
2.8.1.
IPSec トンネル上でのマルチ L2TPv3 接続(WARV-1 が動的 IP アドレスの場合)
接続試験構成
接続構成を図 2-10に示します。
L2TP v3 over IPSec Tunnel
over VLAN(VID=100)
無線LAN
WARV #1
Loopback0 10.0.0.2/32
l
nne
c Tu )
e
S
IP
0
over (VID=20
Pv 3
L2T er VLAN
ov
Cisco 1812J
FE0 172.16.20.150/24
Loopback0 10.0.0.1/32
無線LAN
WARV #2
Loopback0 10.0.0.3/32
図 2-10 Cisco 社製ルータ IPSec トンネル上でのマルチ L2TPv3 接続試験構成図
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
22
2.8.2.
WARV#1 コンフィグレーション
Loopback0 インタフェース間で、IPSec トンネルを生成するために、[ネットワーク設定]-[LAN設定]で、Loopback0 に IPアドレス(10.0.0.2)
を付与します。また、LAN1 はブリッジ接続となるので、IP アドレスを削除(0.0.0.0)します。
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
23
[ネットワーク設定]-[IPSec 設定]で、トンネルインターフェースに「Loopback0」を設定します。トンネル IP アドレス・サブネットマスクで、
Cisco に設定した Loopback0 の IP アドレス・サブネットマスクを設定します。その他のパラメータも Cisco のコンフィグレーションに合わせ
て設定します。
VLAN 設定で L2TPv3 でトンネルを行うインタフェースの VID に 100 を設定します。
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
24
L2TPv3 設定で、「ローカルインタフェースに Loopback0 を使用する」にチェックし、ピア IP アドレスに、Cisco の Loopback0 インターフェースのアドレ
ス(10.0.0.1)、Remote-End-IDに 1、PWType に VLAN(4)、Cisco 互換AVP にチェック、COOKIEサイズ、パスワードに cisco に設定したもの
と同じ値を設定します。
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
25
2.8.3.
WARV#2 コンフィグレーション
Loopback0 インタフェース間で、IPSec トンネルを生成するために、[ネットワーク設定]-[LAN設定]で、Loopback0 に IPアドレス(10.0.0.3)
を付与します。また、LAN1 はブリッジ接続となるので、IP アドレスを削除(0.0.0.0)します。
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
26
[ネットワーク設定]-[IPSec 設定]で、トンネルインターフェースに「Loopback0」を設定します。トンネル IP アドレス・サブネットマスクで、Cisco
に設定した Loopback0 の IP アドレス・サブネットマスクを設定します。その他のパラメータも Cisco のコンフィグレーションに合わせて設定し
ます。
VLAN 設定で L2TPv3 でトンネルを行うインタフェースの VID に 200 を設定します。
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
27
L2TPv3 設定で、「ローカルインタフェースに Loopback0 を使用する」にチェックし、ピア IP アドレスに、Cisco の Loopback0 インターフェースのアドレ
ス(10.0.0.1)、Remote-End-IDに 2、PWType に VLAN(4)、Cisco 互換AVP にチェック、COOKIEサイズ、パスワードに cisco に設定したもの
と同じ値を設定します。
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
28
2.8.4.
Cisco コンフィグレーション
hostname Router
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
dot11 syslog
!
ip cef
!
l2tp-class L2TPv3
password 7 0305491F0F1520
cookie size 4
!
multilink bundle-name authenticated
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key artiza1 hostname artiza1@artiza.co.jp
crypto isakmp key artiza2 hostname artiza2@artiza.co.jp
crypto isakmp keepalive 30 periodic
!
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
!
crypto dynamic-map sa1-dynamic 10
set transform-set IPSEC
match address 100
!
crypto dynamic-map sa2-dynamic 11
set transform-set IPSEC
match address 101
!
crypto map sa1 10 ipsec-isakmp dynamic sa1-dynamic
crypto map sa1 11 ipsec-isakmp dynamic sa2-dynamic
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
29
~cisco コンフィグレーション続き~
archive
log config
hidekeys
!
pseudowire-class L2TPv3
encapsulation l2tpv3
protocol l2tpv3 L2TPv3
ip local interface Loopback0
!
interface Loopback0
ip address 10.0.0.1 255.255.255.255
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet0
ip address 192.168.20.150 255.255.255.0
duplex auto
speed auto
crypto map sa1
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet1.1
encapsulation dot1Q 100
xconnect 10.0.0.2 1 pw-class L2TPv3
!
interface FastEthernet1.2
encapsulation dot1Q 200
xconnect 10.0.0.3 2 pw-class L2TPv3
!
interface FastEthernet2
!
interface FastEthernet3
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
30
~cisco コンフィグレーション続き~
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
switchport mode trunk
no cdp enable
!
interface FastEthernet7
switchport access vlan 100
no cdp enable
!
interface FastEthernet8
switchport access vlan 200
no cdp enable
!
interface FastEthernet9
!
interface Vlan1
no ip address
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.20.1
!
no ip http server
no ip http secure-server
!
access-list 100 permit ip host 10.0.0.1 host 10.0.0.2
access-list 101 permit ip host 10.0.0.1 host 10.0.0.3
!
control-plane
!
line con 0
line aux 0
line vty 0 4
login
!
end
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
31
3. YAMAHA 社製ルータとの接続
WARV-1 が動的アドレスの場合
3.1.
3.1.1.
接続試験構成
接続構成を図 3-1に示します。
WiMAX
動的IPアドレス
LAN1:
192.168.1.254/24
LAN2:
192.168.0.1/24
IPSec tunnel
PC1
WARV-1
LAN1:
192.168.10.1/24
YAMAHA
RTX1100
PC2
図 3-1 YAMAHA 社製ルータ IPSec トンネル接続試験構成図
3.1.2.
YAMAHA RTX1100 コンフィグレーション
YAMAHA RTX1100 のコンフィグレーションを、図 3-2に示します。
# show config
# RTX1100 Rev.8.03.37 (Mon Mar 20 14:27:17 2006)
# MAC Address : 00:a0:de:32:40:4e, 00:a0:de:32:40:4f, 00:a0:de:32:40:50,
# Memory 32Mbytes, 3LAN, 1BRI
# main: RTX1100 ver=e0 serial=N1A040039 MAC-Address=00:a0:de:32:40:4e MAC-Addr
ess=00:a0:de:32:40:4f MAC-Address=00:a0:de:32:40:50
ip route 192.168.1.0/24 gateway tunnel 1
ip lan1 address 192.168.10.1/24
ip lan2 address 192.168.0.1/24
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
ipsec ike group 1 modp1024
ipsec ike pre-shared-key 1 text artiza
ipsec ike remote address 1 any
ipsec ike remote name 1 monden@artiza.co.jp
tunnel enable 1
ipsec auto refresh on
#
図 3-2 YAMAHA RTX1100 コンフィグレーション
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
32
3.1.3.
WARV-1 コンフィグレーション
WARV-1 のコンフィグレーションを、図 3-3に示します。
図 3-3 WARV-1 コンフィグレーション
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
33
WARV-1 が固定アドレスの場合
3.2.
3.2.1.
接続試験構成
接続構成を図 3-4に示します。
WAN:
192.168.50.1/24
LAN1:
192.168.0.1/24
PC1
WARV-1 #1
LAN1:
192.168.1.1/24
PC2
WAN:PPPoE (lan2)
IPSec tunnel
ne
c tun
IPSe
l
lan1:
192.168.100.1/24
RTX1200
PC3
WAN:
192.168.51.1/24
WARV-1 #2
図 3-4 YAMAHA 社製ルータ IPSec トンネル接続構成図(WARV-1 が固定アドレスの場合)
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
34
3.2.2.
YAMAHA RTX1200 コンフィグレーション
YAMAHA RTX1200 のコンフィグレーションを、図 3-5に示します。
ip route default gateway pp 1
ip route 192.168.0.0/24 gateway tunnel 2
ip route 192.168.1.0/24 gateway tunnel 1
ip lan1 address 192.168.100.1/24
pp select 1
pppoe use lan2
pp auth accept pap chap
pp auth myname warv1@artiza.co.jp artiza
ppp lcp mru on 1454
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike always-on 1 off
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 auto heartbeat
ipsec ike local address 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 off
ipsec ike pre-shared-key 1 text artiza
ipsec ike remote address 1 192.168.50.1
ipsec auto refresh 1 on
ip tunnel tcp mss limit auto
tunnel enable 1
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
35
~YAMAHA RTX1200 コンフィグレーション続き~
tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike always-on 2 off
ipsec ike encryption 2 aes-cbc
ipsec ike group 2 modp1024
ipsec ike hash 2 sha
ipsec ike keepalive log 2 on
ipsec ike keepalive use 2 auto heartbeat
ipsec ike local address 2 192.168.100.1
ipsec ike nat-traversal 2 on
ipsec ike pfs 2 off
ipsec ike pre-shared-key 2 text artiza
ipsec ike remote address 2 192.168.51.1
ipsec auto refresh 2 on
ip tunnel tcp mss limit auto
tunnel enable 2
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
#
図 3-5 YAMAHA RTX1200 コンフィグレーション
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
36
3.2.3.
WARV-1 コンフィグレーション
WARV-1 のコンフィグレーションを、図 3-6に示します。IPSec の設定は、WARV-1 #1、WARV-1 #2 で同じになります。
図 3-6 WARV-1 コンフィグレーション
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
37
4. SEIL ルータとの接続
IPSec 接続
4.1.
4.1.1.
接続試験構成
接続構成を図 4-1に示します。
WiMAX
動的IPアドレス
LAN1:
192.168.1.254/24
PC1
LAN1:
192.168.0.1/24
IPSec tunnel
WARV-1
LAN0:
192.168.10.1/24
SEIL/X1
PC2
図 4-1 SEIL ルータ IPSec トンネル接続試験構成図
4.1.2.
SEIL/X1 コンフィグレーション
SEIL/X1 のコンフィグレーションを、図 4-2に示します。
# ~ 省略 ~
interface lan0 media auto
interface lan0 add 192.168.10.1/24
interface lan1 media auto
interface lan0 add 192.168.0.1/24
interface lan1 queue normal
interface lan2 media auto
# ~ 省略 ~
ike preshared-key add "monden@ariza.co.jp" "artiza"
ike proposal add ikeprop_dyn01 encryption 3des hash sha1 authentication preshared-key dh-group modp1024 lifetime-of-time
08h
ike peer add warv_dyn01 address dynamic exchange-mode aggressive proposals ikeprop_dyn01 peers-identifier user-fqdn
"monden@ariza.co.jp"
ipsec
security-association
proposal
add
saprop_dyn01
pfs-group
modp1024
authentication-algorithm
hmac-sha1
encryption-algorithm 3des lifetime-of-time 08h
ipsec security-association add sa_dyn01 tunnel dynamic ike saprop_dyn01 esp enable
ipsec security-policy add sp_dyn01 security-association sa_dyn01 src 192.168.10.0/24 dst 192.168.1.0/24
# ~ 省略 ~
図 4-2 SEIL/X1 コンフィグレーション
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
38
4.1.3.
WARV-1 コンフィグレーション
WARV-1 のコンフィグレーションを、図 4-3に示します。
図 4-3 WARV-1 コンフィグレーション
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
39
L2TPv3 接続
4.2.
4.2.1.
接続試験構成
接続構成を、図 4-4に示します。
WAN(WiMAX)
10.0.10.1/24
LAN
ブリッジ接続
lan1
10.0.0.1/24
lan2
ブリッジ接続
AX
WiM
WARV-1_A
WAN(WiMAX)
10.0.20.1/24
SEIL/X1
Wi
MA
X
LAN
ブリッジ接続
WARV-1_B
図 4-4 SEIL 接続構成
4.2.2.
SEIL/X1 コンフィグレーション
WAN 側インターフェース(lan1)の IP アドレスの設定
seil# interface lan1 add 10.0.0.1/24
必要ならデフォルトルートの設定を行います。
seil#route add default 10.0.0.2
L2TPv3 で使用するホスト名とルータ ID を設定します。
seil#l2tp hostname seil
seil#l2tp router-id 10.0.0.1
ブリッジグループ:BDG1 を追加し、lan2 インターフェースを追加したブリッジグループ:BDG1 に追加します。
seil#bridge group add BDG1 stp off
seil#bridge interface lan2 group BDG1 stp off
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
40
WARV-1_A との L2TPv3 接続設定
L2TPv3のトンネルを生成し、Remote-End-ID:L2TP1を設定します。さらに、生成したL2TPv3トンネルインターフェース:l2tp1をブリッジグ
ループ:BDG1 に追加します。
ホスト名(WiMAX_VPN_1)とルータ ID(1.1.1.1)は、WARV-1_A に設定した値と同じ値を設定する必要があります。
seil# l2tp add wvr1 hostname WiMAX_VPN_1 router-id 1.1.1.1 cookie on
seil# interface l2tp1 tunnel 10.0.0.1 10.0.10.1
seil# interface l2tp1 l2tp wvr1 remote-end-id L2TP1
seil# bridge interface l2tp1 group BDG1 stp off
WARV-1_B との L2TPv3 接続設定
L2TPv3 のトンネルを生成し、Remote-End-ID:L2TP2 を設定します。さらに、生成した L2TPv3 トンネルインターフェース:l2tp2 をブリッジグ
ループ:BDG1 に追加します。
ホスト名(WiMAX_VPN_2)とルータ ID(1.1.1.2)は、WARV-1_B に設定した値と同じ値を設定する必要があります。
seil# l2tp add wvr2 hostname WiMAX_VPN_2 router-id 1.1.1.2 cookie on
seil# interface l2tp2 tunnel 10.0.0.1 10.0.20.1
seil# interface l2tp2 l2tp wvr2 remote-end-id L2TP2
seil# bridge interface l2tp2 group BDG1 stp off
完成した SEIL/X1 のコンフィグ(抜粋)を、図 4-5に示します。
l2tp hostname seil
l2tp router-id 10.0.0.1
l2tp add wvr1 hostname WiMAX_VPN_1 router-id 1.1.1.1 cookie on retry 10 hello-interval 60
l2tp add wvr2 hostname WiMAX_VPN_2 router-id 1.1.1.2 cookie on retry 10 hello-interval 60
interface lan0 media auto
interface lan0 add 192.168.2.1/24
interface lan1 media auto
interface lan1 queue normal
interface lan1 add 10.0.0.1/24
interface lan2 media auto
interface l2tp1 tunnel 10.0.0.1 10.0.10.1
interface l2tp1 l2tp wvr1 remote-end-id L2TP1
interface l2tp2 tunnel 10.0.0.1 10.0.20.1
interface l2tp2 l2tp wvr2 remote-end-id L2TP2
bridge group add BDG1 stp off
bridge interface lan2 group BDG1 stp off
bridge interface l2tp1 group BDG1 stp off
bridge interface l2tp2 group BDG1 stp off
route add default 10.0.0.2
図 4-5 SEIL/X1 コンフィグ(抜粋)
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
41
4.2.3.
WARV-1_A コンフィグレーション
WARV-1_A の設定例を、図 4-6および表 4-1に示します。
図 4-6 WARV-1_A の設定例
表 4-1 各設定値
設定項目
設定値
L2TP ルータ ID
SEIL の L2TP ピア設定と同じ値を設定してください。例では、”1.1.1.1”です。
L2TP ホスト名
SEIL の L2TP ピア設定と同じ値を設定してください。例では、”WiMAX_VPN_1”です。
ピア IP アドレス
10.0.0.1
Remote-End-ID
SEIL に設定した値と同じ値を設定してください。例では”L2TP1”となります。
Cisco 互換AVP
チェックしないでください。
COOKIE サイズ
4
パスワード
SEIL のパスワード認証には対応していません。
設定しないでください。
Keepalive メッセージ送信間隔
任意
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
42
4.2.4.
WARV-1_B コンフィグレーション
WARV-1_B の設定例を、図 4-7 WARV-1_B の設定例および表 4-2に示します。
図 4-7 WARV-1_B の設定例
表 4-2 各設定値
設定項目
設定値
L2TP ルータ ID
SEIL の L2TP ピア設定と同じ値を設定してください。例では、”1.1.1.2”です。
L2TP ホスト名
SEIL の L2TP ピア設定と同じ値を設定してください。例では、”WiMAX_VPN_2”です。
ピア IP アドレス
10.0.0.1
Remote-End-ID
SEIL に設定した値と同じ値を設定してください。例では”L2TP2”となります。
Cisco 互換AVP
チェックしないでください。
COOKIE サイズ
4
パスワード
SEIL のパスワード認証には対応していません。
設定しないでください。
Keepalive メッセージ送信間隔
任意
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
43
5. アライドテレシス社製ルータとの接続
5.1.
接続試験構成
接続構成を図 5-1に示します。
WiMAX
192.168.10.254
LAN1:
192.168.1.1/24
eth0:192.168.10.1
vlan1:192.168.0.1/24
IPSec tunnel
PC1
WARV-1
AR570S
PC2
図 5-1 アライドテレシス社製ルータ IPSec トンネル接続試験構成図
5.2.
AR570S コンフィグレーション
AR570S のコンフィグレーションを、図 5-2に示します。
# IP configuration
enable ip
add ip int=vlan1 ip=192.168.0.1
add ip int=eth0 ip=192.168.10.1
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=192.168.10.254
# 省略
# IPSEC configuration
create ipsec sas=1 key=isakmp prot=esp enc=3desouter hasha=sha
create ipsec bund=1 key=isakmp string="1"
create ipsec pol="isa" int=eth0 ac=permit
set ipsec pol="isa" lp=500 rp=500 tra=UDP
create ipsec pol="vpn" int=eth0 ac=ipsec key=isakmp bund=1 peer=192.168.10.254
set ipsec pol="vpn" lad=192.168.0.0 lma=255.255.255.0 rad=192.168.1.0 rma=255.255.255.0
set ipsec pol="vpn" usepfsk=TRUE gro=2
create ipsec pol="inet" int=eth0 ac=permit
enable ipsec
# ISAKMP configuration
create isakmp pol="1" pe=192.168.10.254 enc=3desouter key=1
set isakmp pol="1" gro=2
set isakmp pol="1" sendn=true
enable isakmp
図 5-2 AR570S コンフィグレーション
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
44
5.3.
WARV-1 コンフィグレーション
WARV-1 のコンフィグレーションを、図 5-3に示します。
図 5-3 WARV-1 コンフィグレーション
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
45
6. センチュリー・システムズ社製ルータとの接続
6.1.
接続試験構成
接続構成を図 6-1に示します。
Ethernet0
192.168.0.254/24
Ethernet1
ブリッジ接続
WAN(WiMAX)
192.168.0.1/24
WiMAX
NXR-130/C
図 6-1
6.2.
LAN
ブリッジ接続
WARV-1
センチュリー・システムズ社製ルータでの L2TPv3 接続試験構成図
NXR-130/C コンフィグレーション
NXR-130/C のコンフィグレーションを、図 6-2に示します。
hostname nxr130
!
l2tpv3 hostname nxr
l2tpv3 router-id 192.168.0.254
!
l2tpv3 tunnel 1
tunnel address 192.168.0.1
tunnel hostname warv1
tunnel router-id 192.168.0.1
l2tpv3 xconnect 1
tunnel 1
xconnect ethernet 1
xconnect end-id 1
!
interface ethernet 0
ip address 192.168.0.254/24
!
interface ethernet 1
no ip address
!
interface ethernet 2
no ip address
図 6-2 NXR-130/C コンフィグレーション
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
46
6.3.
WARV-1 コンフィグレーション
WARV-1 のコンフィグレーションを、図 6-3に示します。
図 6-3 WARV-1 コンフィグレーション
以上
〒190-0012 東京都立川市曙町 2-36-2 ファーレ立川センタースクエア TEL 042-529-3494 FAX 042-529-3495
47