キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

C841M IPsec VPN 設定例(IP-VPN / FletsVPNwide , 本社のみインターネットに接続)

Cisco 841M を用いて、企業内でハブ & スポーク型の VPN を構築する場合のコマンドラインによる設定例です。

<シナリオ>
本社は、1回線でISPとFletsVPNwideに接続し、インターネットに直接接続(Direct Internet Access, DIA)。
支店は、1回線でFletsVPNwideのみに接続。
本社-支店間はFletsVPNwide上でVPN接続される。
支店は、本社経由でインターネットに通信。

※トポロジ図はページ下部に掲載


<本社側設定例>

!-------------------基本設定---------------------------
!!!
!!!はじめに、ルータの基本設定を行います。
!!!
!
! /このルータのホストネーム(名前)を設定します。
! このシナリオでは、本社側ルータ名を"HQ-Router"とします。/
hostname HQ-Router
!
! /Ciscoルータはデフォルトで、万が一認識できない文字列を入力してしまった場合、
! ネットワーク上のDNSサーバにブロードキャスト(255.255.255.255)で問い合わせを行うため、
! しばらくの間、コマンドの入力を受け付けない状態が続きます。
! 下記コマンドでその機能を無効にすることを推奨します。/
no ip domain lookup
!
!
!
!
!--------------------LAN設定---------------------------
!!!
!!!本社LAN側ネットワークの設定を行います。
!!!このシナリオでは、GigabitEthernet0/3インタフェース,GigabitEthernet0/6インタフェースが
!!!本社LAN側ネットワークに接続され、それぞれVLAN10,VLAN20という仮想ネットワークに属しています。
!!!例えば、VLAN10を営業部門ネットワーク、VLAN20を人事部門ネットワークなどと、
!!!LANを区別することが可能です。
!!!
!!!
!
!!!部門ごとに仮想ネットワーク(Virtual Local Area Network,VLAN)を作成します。
!
! /VLAN10,VLAN20を作成します(VLAN1はデフォルトで存在)。"name"コマンドでVLANに名前を設定できます。/
vlan 10
name SALES
!
vlan 20
name HR
!
!!!インタフェースの設定を行います。
!
interface GigabitEthernet0/0
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
! /このシナリオでは、Gi0/3インタフェースが本社の営業部門ネットワークに接続しています。/
interface GigabitEthernet0/3
description to_SALES
! /このインタフェースをVLAN10アクセスポートと設定し、VLAN10に紐付けます(デフォルトはVLAN1)。/
switchport access vlan 10
no ip address
!
interface GigabitEthernet0/4
no ip address
!
interface GigabitEthernet0/5
no ip address
!
! /このシナリオでは、Gi0/6インタフェースが本社の人事部門ネットワークに接続しています。/
interface GigabitEthernet0/6
description to_HR
! /このインタフェースをVLAN20アクセスポートと設定し、VLAN20に紐付けます。/
switchport access vlan 20
no ip address
!
interface GigabitEthernet0/7
no ip address
!
!
! /VLANインタフェースを作成、設定します。/
interface Vlan10
description to_SALES-LAN
! /このシナリオでは、VLAN10のネットワークアドレスは192.168.10.0/24とします。/
ip address 192.168.10.254 255.255.255.0
! /アドレス変換(NAT/PAT)における内部(LAN側、プライベートネットワーク側)であると定義します。/
ip nat inside
ip virtual-reassembly in
!
interface Vlan20
description to_HR-LAN
! /このシナリオでは、VLAN20のネットワークアドレスは192.168.20.0/24とします。/
ip address 192.168.20.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
!
!
!
!--------------------WAN設定 1---------------------------
!!!
!!!本社WAN側ネットワーク(ISP/FletsVPNwide接続)の設定を行います。
!!!このシナリオでは、GigabitEthernet0/9インタフェースが物理的にISP/FletsVPNwideと接続され、
!!!論理インタフェース Dialer1 がISPネットワークとPPPoEセッションを確立し、Gi0/9と紐付きます。
!!!加えて、論理インタフェース Dialer2 がFletsVPNwideネットワークとPPPoEセッションを確立し、Gi0/9と紐付きます。
!!!
!!!
!
!!!インタフェースの設定を行います。
!
interface GigabitEthernet0/8
no ip address
shutdown
duplex auto
speed auto
!
! /このシナリオでは、Gi0/9インタフェースがISP/FletsVPNwideに物理的に接続します。/
interface GigabitEthernet0/9
description to_ISP_and_FletsVPNwide
! /物理インタフェースでは、IPアドレスを設定しません。/
no ip address
duplex auto
speed auto
! /インタフェースにおいてPPPoEプロトコルを使用可能にします。/
pppoe enable group global
! /論理インタフェース Dialer1(後で作成します) を使用し、PPPoEセッションを確立するように設定します。
! コマンド番号"1"は、Dialer1 インタフェースに設定されている"dialer pool 1"の"1"とマッッピング。/
pppoe-client dial-pool-number 1
! /論理インタフェース Dialer2(後で作成します) を使用し、PPPoEセッションを確立するように設定します。
! コマンド番号"2"は、Dialer2 インタフェースに設定されている"dialer pool 2"の"2"とマッッピング。/
pppoe-client dial-pool-number 2
! /インタフェースを起動します。/
no shutown
!
!
! /論理インタフェース Dialer1 を作成、設定します。
! PPPoE(ISP)セッションは、この Dialer1 インタフェースにより終端されます。
! また、PPPoEセッションは Dialerインタフェースの動作により確立要求されます。/
interface Dialer1
description to_ISP
! /PPPセッション確立時にIPアドレスがダイナミックにアサインされます。/
ip address negotiated
! /アドレス変換(NAT/PAT)における外部(WAN側、グローバルネットワーク側)であると定義します。/
ip nat outside
ip virtual-reassembly in
! /このインタフェースは PPPカプセル化によりパケットの入出力をします。/
encapsulation ppp
! /Dialer1 インタフェースと実際にPPPoE接続する物理インタフェースが紐付けられます。
!コマンド番号"1"と Gi0/9インタフェースの"pppoe-client dial-pool-number 1"の"1"がマッッピング。/
dialer pool 1
! /"dialer-list 1"(後で設定します) で定義されたトラフィックパターンを本Dialerインタフェースに適用します。
! このトラフィックがダイヤル対象として認識され 本Dialerインタフェース から出て行くときに、PPPoEセッションの確立要求を起動します。/
dialer-group 1
! /ISPにアクセスする際の認証方法をCHAPに指定します。"callin"パラメータにより、認証はISPによるユーザー認証の片方向のみ行われます。/
ppp authentication chap callin
! /PPP の CHAP認証 を行なう際に必要なユーザー名(ISP契約時に提供されます。このシナリオでは"ISP1@cisco.com")を設定します。
!このユーザー名の@以下(ISP ID)により、接続先ISP を判別します。/
ppp chap hostname ISP1@cisco.com
! /PPP の CHAP認証 を行なう際に必要なパスワード(ISP契約時に提供されます。このシナリオでは"cisco")を設定します。/
ppp chap password 0 cisco
! /DNSサーバアドレスをPPP接続時に自動取得するように設定します。/
ppp ipcp dns request accept
! /BAS(Broadband Access Server)のアドレスをNexthopとしたデフォルトルートを自動生成するように設定します。/
ppp ipcp route default
!
!
! /論理インタフェース Dialer2 を作成、設定します。
! PPPoE(FletsVPNwide)セッションは、この Dialer2 インタフェースにより終端されます。
! また、PPPoEセッションは Dialerインタフェースの動作により確立要求されます。/
interface Dialer2
description to_FletsVPNwide
! /NTT(FletsVPNwide)から配布されたIPアドレスを設定します。
!(Dialer1同様に"ip address negotiated"の場合もあります。)/
ip address 30.255.255.1 255.255.255.0
ip virtual-reassembly in
! /このインタフェースは PPPカプセル化によりパケットの入出力をします。/
encapsulation ppp
! /Dialer2 インタフェースと実際にPPPoE接続する物理インタフェースが紐付けられます。
!コマンド番号"2"と Gi0/9インタフェースの"pppoe-client dial-pool-number 2"の"2"がマッッピング。/
dialer pool 2
! /"dialer-list 1"(後で設定します) で定義されたトラフィックパターンを本Dialerインタフェースに適用します。
! このトラフィックがダイヤル対象として認識され 本Dialerインタフェース から出て行くときに、PPPoEセッションの確立要求を起動します。/
dialer-group 1
! /FletsVPNwideにアクセスする際の認証方法をCHAPに指定します。"callin"パラメータにより、認証はFletsVPNwideによるユーザー認証の片方向のみ行われます。/
ppp authentication chap callin
! /PPP の CHAP認証 を行なう際に必要なユーザー名(FletsVPNwide契約時に提供されます。このシナリオでは"NTT1@domain")を設定します。
!このユーザー名の@以下(ISP ID)により、接続先ISP を判別します。/
ppp chap hostname NTT1@domain
! /PPP の CHAP認証 を行なう際に必要なパスワード(FletsVPNwide契約時に提供されます。このシナリオでは"nttuser")を設定します。/
ppp chap password 0 nttuser
!
!
!!!ルーティングテーブルの設定を行います。
!
! /スタティックデフォルトルートとして Dialer1 を指定します。
! Dialer1 インタフェースで"ppp ipcp route default"コマンドでデフォルトルートを
! 自動生成している場合は、この設定は不要です。/
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
!!!PPPoEセッション確立要求のトリガーとなるトラフィックを定義します。
!
! /dialer-listに適用させるトラフィックを指定します。
! このシナリオでは、全てのIPトラフィックをダイヤル対象に設定します。/
dialer-list 1 protocol ip permit
!
!
!!!アドレス変換(PAT)の設定を行います。
!
! /ネットワーク 192.168.10.0/24, 192.168.20.0/24 を送信元とするトラフィックがマッチする標準アクセスリストです。
! このシナリオでは、アドレス変換対象のトラフィックを定義しています。/
access-list 1 permit 192.168.0.0 0.0.255.255
!
!※
!access-list 1 permit 192.168.10.0 0.0.0.255
!access-list 1 permit 192.168.20.0 0.0.0.255
!と設定も可能です(ワイルドカードマスクに注意)。
!
! /アクセスリスト 1番 にマッチするトラフィックは、Dialer1 インタフェースの IPアドレスを
! グローバルアドレスとして利用して、アドレス変換(PAT)が行われます。/
ip nat inside source list 1 interface Dialer1 overload
!
!
!!!ここまでの設定で、本社のインターネット接続は可能となりました。
!
!
!
!
!--------------------WAN設定 2---------------------------
!!!
!!!本社WAN側ネットワーク(VPN接続)の設定を行います。
!!!このシナリオでは、ハブアンドスポーク型の拠点間VPNが提供されます。
!!!VPNの種類はIP-VPNで、論理インタフェース Dialer2と接続されている
!!!FletsVPNwideネットワーク上にVPNトンネルが確立されます。
!!!(NTTのVPNサービスの中で、さらにVPNを確立させる。)
!!!
!!!
!
!!!暗号化に使用するIPsecの設定を行います。
!
! /IKEネゴシエーション時に使用されるIKEポリシーを作成します。コマンド番号は任意。/
crypto isakmp policy 1
! /IKEポリシーに使用される暗号化アルゴリズムを指定します。このシナリオでは、3DESを使用。/
encr 3des
! /IKEポリシーに使用されるハッシュアルゴリズムを指定します。このシナリオでは、MD5を使用。/
hash md5
! /IKEポリシーに使用される認証方式を指定します。このシナリオでは、事前共有鍵認証を使用。/
authentication pre-share
! /IKEポリシーに使用されるDiffie-Hellmanグループを指定します。このシナリオでは、グループ2(1024bit)を使用。/
group 2
! /リモートピアのIPアドレス(0.0.0.0はワイルドカード)と、
! そのピアに対するIKE事前共有キー(このシナリオでは"cisco")を指定します。/
crypto isakmp key cisco address 0.0.0.0
! /IKEキープアライブ(Dead Peer Ditection, DPD)を送信する間隔を指定します。/
crypto isakmp keepalive 30
!
!
! /トランスフォームセット"MYSET"(IPSecセキュリティプロトコルとアルゴリズムの有効な組み合わせ)を定義します。/
crypto ipsec transform-set MYSET esp-3des esp-md5-hmac
! /IPsecトンネルモードを指定します。/
mode tunnel
!
! /IPSecパラメータを定義するためにIPsecプロファイル"TP"を作成します。/
crypto ipsec profile TP
! /TPプロファイルで使用するトランスフォームセット"MYSET"を指定します。/
set transform-set MYSET
!
!
!!!トンネルインタフェースの設定を行います。
!
! /仮想トンネルインタフェース(支店向きのVPNインタフェース)を作成、設定します。/
interface Tunnel1
description to_BR1
! /トンネルインタフェースにIPアドレス(拠点間でユニークなアドレス)を設定します。/
ip address 172.16.1.1 255.255.255.0
! /アドレス変換(NAT/PAT)における内部(LAN側、プライベートネットワーク側)であると定義します。
! このシナリオでは、支店からのインターネット宛のトラフィックは本社を経由するため、
! 各Tunnel インタフェースでこの設定が必要です。/
ip nat inside
! /IPSec VPNトンネルにルータの送信元エンドポイントを指定します。このシナリオでは、Dialer2を指定。/
tunnel source Dialer2
! /トンネルのカプセル化方法を IPSecトンネルを利用したカプセル化方法に指定します。/
tunnel mode ipsec ipv4
! /IPSec VPNトンネルにルータの宛先エンドポイントを指定します。
! 宛先は、支店(BR1)のDialer インタフェースに割り振られたグローバルIPアドレスを指定します。/
tunnel destination 40.255.255.1
! /トンネルインターフェースに IPSecプロファイルを適用します。/
tunnel protection ipsec profile TP
!
! /二つ目の支店向きのVPNインタフェース。支店の数だけTunnel3,Tunnel4...と増やせばよい。/
interface Tunnel2
description to_BR2
ip address 172.16.2.1 255.255.255.0
ip nat inside
tunnel source Dialer2
tunnel mode ipsec ipv4
tunnel destination 80.255.255.1
tunnel protection ipsec profile TP
!
!
!!!ルーティングテーブルの設定を行います
!
! /Tunnel インタフェースのtunnel destination(トンネルエンドポイント)宛のルートを定義します。
! この設定はトンネルの確立のために必要です。(デフォルトルートが Dialer1 であるため。)/
ip route 40.255.255.0 255.255.255.0 Dialer2
ip route 80.255.255.0 255.255.255.0 Dialer2
!
! /支店向きのスタティックルートを定義します。/
ip route 192.168.30.0 255.255.255.0 Tunnel1
ip route 192.168.40.0 255.255.255.0 Tunnel2
!
!
!!!アドレス変換(PAT)の設定を行います。※
!
! /ネットワーク 192.168.30.0/24 (BR1のLANネットワーク), 192.168.40.0/24 (BR2のLANネットワーク)
! を送信元とするトラフィックがマッチする標準アクセスリストです。
! このシナリオでは、アドレス変換対象のトラフィックを定義しています。/
access-list 1 permit 192.168.30.0 0.0.0.255
access-list 1 permit 192.168.40.0 0.0.0.255
!
!※
!WAN設定1 で
!access-list 1 permit 192.168.0.0 0.0.255.255
!と設定した場合は、192.168.30.0/24 (BR1のLANネットワーク), 192.168.40.0/24 (BR2のLANネットワーク)
!もマッチするので、この設定を加える必要はありません。
!
!
! /アクセスリスト 1番 にマッチするトラフィックは、Dialer1 インタフェースの IPアドレスを
! グローバルアドレスとして利用して、アドレス変換(PAT)が行われます。
! ※この設定は WAN設定1 で設定済みです。/
ip nat inside source list 1 interface Dialer1 overload
!
!
end
!
!
!!!これで、本社側の設定は終了です。
!
!

<本社側 running-config>

version 15.5
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HQ-Router
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
ethernet lmi ce
!
!
!
!
!
!
!
!
no ip domain lookup
ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
!
license udi pid C841M-8X-JAIS/K9 sn FGL200420EP
!
!
!
redundancy
!
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 0.0.0.0
crypto isakmp keepalive 30
!
!
crypto ipsec transform-set MYSET esp-3des esp-md5-hmac
mode tunnel
!
crypto ipsec profile TP
set transform-set MYSET
!
!
!
!
!
!
!
!
interface Tunnel1
ip address 172.16.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
tunnel source Dialer2
tunnel mode ipsec ipv4
tunnel destination 40.255.255.1
tunnel protection ipsec profile TP
!
interface Tunnel2
ip address 172.16.2.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
tunnel source Dialer2
tunnel mode ipsec ipv4
tunnel destination 80.255.255.1
tunnel protection ipsec profile TP
!
interface GigabitEthernet0/0
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface GigabitEthernet0/3
description to_SLALES
switchport access vlan 10
no ip address
!
interface GigabitEthernet0/4
no ip address
!
interface GigabitEthernet0/5
no ip address
!
interface GigabitEthernet0/6
description to_HR
switchport access vlan 20
no ip address
!
interface GigabitEthernet0/7
no ip address
!
interface GigabitEthernet0/8
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0/9
description to_ISP_and_FletsVPNwide
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
pppoe-client dial-pool-number 2
!
interface Vlan1
no ip address
!
interface Vlan10
description to_SALES-LAN
ip address 192.168.10.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan20
description to_HR-LAN
ip address 192.168.20.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Dialer1
description to_ISP
ip address negotiated
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname ISP1@cisco.com
ppp chap password 0 cisco
ppp ipcp dns request accept
ppp ipcp route default
!
interface Dialer2
description to_FletsVPNwide
ip address 30.255.255.1 255.255.255.0
ip virtual-reassembly in
encapsulation ppp
dialer pool 2
dialer-group 1
ppp authentication chap callin
ppp chap hostname NTT1@domain
ppp chap password 0 nttuser
!
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list 1 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 40.255.255.0 255.255.255.0 Dialer2
ip route 80.255.255.0 255.255.255.0 Dialer2
ip route 192.168.30.0 255.255.255.0 Tunnel1
ip route 192.168.40.0 255.255.255.0 Tunnel2
!
dialer-list 1 protocol ip permit
!
!
access-list 1 permit 192.168.0.0 0.0.255.255
!
control-plane
!
!
!
line con 0
no modem enable
line vty 0 4
login
transport input none
!
no scheduler allocate
!
end


<支店側設定例>

!-------------------基本設定---------------------------
!!!
!!!はじめに、ルータの基本設定を行います。
!!!
!
! /このルータのホストネーム(名前)を設定します。
! このシナリオでは、支店側ルータ名を"BR1-Router"とします。/
hostname BR1-Router
!
!
!
no ip domain lookup
!
!
!
!
!--------------------LAN設定---------------------------
!!!
!!!支店LAN側ネットワークの設定を行います。
!!!このシナリオでは、GigabitEthernet0/3インタフェースが
!!!支店LAN側ネットワークに接続され、VLAN30という仮想ネットワークに属しています。
!!!
!!!
!
!!!仮想ネットワーク(Virtual Local Area Network,VLAN)を作成します。
!
! /VLAN30を作成します。/
vlan 30
name SALES
!
!
!!!インタフェースの設定を行います。
!
interface GigabitEthernet0/0
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
! /このシナリオでは、Gi0/3インタフェースが支店のネットワークに接続しています。/
interface GigabitEthernet0/3
description to_SALES
switchport access vlan 30
no ip address
!
!
interface Vlan30
description to_SALES-LAN
! /このシナリオでは、VLAN30のネットワークアドレスは192.168.30.0/24とします。/
ip address 192.168.30.254 255.255.255.0
ip virtual-reassembly in
!
!
!--------------------WAN設定 1---------------------------
!!!
!!!支店WAN側ネットワーク(FletsVPNwide接続)の設定を行います。
!!!このシナリオでは、GigabitEthernet0/5インタフェースが物理的にFletsVPNwideと接続され、
!!!論理インタフェース Dialer1 がFletsVPNwideネットワークとPPPoEセッションを確立し、Gi0/5と紐付きます。
!!!
!!!
!
!!!インタフェースの設定を行います。
!
interface GigabitEthernet0/4
no ip address
shutdown
duplex auto
speed auto
!
! /このシナリオでは、Gi0/5インタフェースがFletsVPNwideに物理的に接続します。/
interface GigabitEthernet0/5
description to_FletsVPNwide
! /本社同様、物理インタフェースでは、IPアドレスを設定しません。/
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no shutown
!
!
interface Dialer1
description to_FletsVPNwide
ip address 40.255.255.1 255.255.255.0
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
! /PPP の CHAP認証 を行なう際に必要なユーザー名(FletsVPNwide契約時に提供されます。このシナリオでは"NTT2@domain")を設定します。
!このユーザー名の@以下(ISP ID)により、接続先ISP を判別します。/
ppp chap hostname NTT2@domain
! /PPP の CHAP認証 を行なう際に必要なパスワード(FletsVPNwide契約時に提供されます。このシナリオでは"nttuser")を設定します。/
ppp chap password 0 nttuser
!
!
!
!!!PPPoEセッション確立要求のトリガーとなるトラフィックを定義します。
!
! /dialer-listに適用させるトラフィックを指定します。
! このシナリオでは、全てのIPトラフィックをダイヤル対象に設定します。/
dialer-list 1 protocol ip permit
!
!
!!!ここまでの設定では、まだ支店はインターネット、本社に接続できません。
!
!
!
!
!--------------------WAN設定 2---------------------------
!!!
!!!支店WAN側ネットワーク(VPN接続)の設定を行います。
!!!このシナリオでは、ハブアンドスポーク型の拠点間VPNが提供されます。
!!!VPNの種類はIP-VPNで、論理インタフェース Dialer1と接続されている
!!!FletsVPNwideネットワーク上にVPNトンネルが確立されます。
!!!また支店側のインターネット通信は、VPNを通り本社経由で行われます。
!!!
!!!
!
!!!暗号化に使用するIPsecの設定を行います。
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
! /リモートピアのIPアドレス(本社側 Dialer2 インタフェースのIPアドレス:30.255.255.1と
! ワイルドカードを合わせて、30.255.255.0としています)と、
! そのピアに対するIKE事前共有キー(このシナリオでは"cisco")を指定します。/
crypto isakmp key cisco address 30.255.255.0
crypto isakmp keepalive 30
!
!
crypto ipsec transform-set MYSET esp-3des esp-md5-hmac
mode tunnel
!
crypto ipsec profile TP
set transform-set MYSET
!
!
!!!トンネルインタフェースの設定を行います。
!
! /仮想トンネルインタフェース(本社向きのVPNインタフェース)を作成、設定します。/
interface Tunnel1
description to_HQ
! /トンネルインタフェースにIPアドレス(拠点間でユニークなアドレス)を設定します。
! 本社側 Tunnel1 インタフェース:172.16.1.1/24と同じネットワーク:172.168.1.0/24のアドレスに設定します。/
ip address 172.16.1.2 255.255.255.0
tunnel source Dialer1
tunnel mode ipsec ipv4
! /IPSec VPNトンネルにルータの宛先エンドポイントを指定します。
! 宛先は、本社(HQ)のDialer インタフェースに割り振られたグローバルIPアドレスを指定します。/
tunnel destination 30.255.255.1
tunnel protection ipsec profile TP
!
!
!!!ルーティングテーブルの設定を行います
!
! /スタティックデフォルトルートとして Tunnel1 を指定します。
! このルートには、本社、他支店、インターネット向きのルートが含まれます。/
ip route 0.0.0.0 0.0.0.0 Tunnel1
!
! /Tunnel インタフェースのtunnel destination(トンネルエンドポイント)宛のルートを定義します。
! この設定はトンネルの確立のために必要です。(デフォルトルートが Tunnel1 であるため。)/
ip route 30.255.255.0 255.255.255.0 Dialer1
!
end
!
!
!!!これで、支店の設定は終了です。
!
!


<支店側 running-config>


version 15.5
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname BR1-Router
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
ethernet lmi ce
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
license udi pid C841M-4X-JSEC/K9 sn FGL200327BG
!
!
!
redundancy
!
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 30.255.255.1
crypto isakmp keepalive 30
!
!
crypto ipsec transform-set MYSET esp-3des esp-md5-hmac
mode tunnel
!
crypto ipsec profile TP
set transform-set MYSET
!
!
!
!
!
!
!
!
interface Tunnel1
decription to_HQ
ip address 172.16.1.2 255.255.255.0
tunnel source Dialer1
tunnel mode ipsec ipv4
tunnel destination 30.255.255.1
tunnel protection ipsec profile TP
!
interface GigabitEthernet0/0
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface GigabitEthernet0/3
description to_SALES
switchport access vlan 30
no ip address
!
interface GigabitEthernet0/4
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0/5
description to_FletsVPNwide
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Vlan1
no ip address
!
interface Vlan30
description to_SALES-LAN
ip address 192.168.30.254 255.255.255.0
ip virtual-reassembly in
!
interface Dialer1
description to_FletsVPNwide
ip address 40.255.255.1 255.255.255.0
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname NTT2@domain
ppp chap password 0 nttuser
!
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip route 0.0.0.0 0.0.0.0 Tunnel1
ip route 30.255.255.0 255.255.255.0 Dialer1
!
dialer-list 1 protocol ip permit
!
!
!
!
line con 0
no modem enable
line vty 0 4
login
transport input none
!
no scheduler allocate
!
end

バージョン履歴
改訂番号
1/1
最終更新:
‎04-13-2017 02:42 PM
更新者:
 
ラベル(1)