シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

C841M IPsec VPN 設定例

Cisco 841M を用いて、企業内でハブ & スポーク型の VPN を構築する場合のコマンドラインによる設定例です。

本社側: 1回線で、ISP とフレッツ VPN ワイドに接続

支店側: フレッツ VPN ワイド 1回線で本社に接続、本社経由でインターネット通信を行う

<本社側設定>
version 15.5
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
!
hostname 4xJAIS-01
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
bsd-client server url https://cloudsso.cisco.com/as/token.oauth2
!
!
no ip source-route
!
!
!
!
!
!
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
!
cts logging verbose
license udi pid C841M-4X-JAIS/K9 sn FGL19352176
!
!
!
redundancy
!
!
!
!
!
!
! IKE ネゴシエーション時に使用される IKE ポリシーを作成
crypto isakmp policy 1
! IKE ポリシーに使用される暗号化アルゴリズムを指定
encr aes
! IKE ポリシーに使用される認証方式を指定
authentication pre-share
! Diffie-Hellman(DH)グループ ID を指定 (デフォルト1)
group 2
! リモートピアの IP アドレスと、そのピアに対する IKE 事前共有キーを指定
crypto isakmp key password address 0.0.0.0
! IKE キープアライブを送信する間隔を指定 (オプション)
crypto isakmp keepalive 10 6
!
! トランスフォーム セット"MYSET"(IPSec セキュリティ プロトコルとアルゴリズムの有効な組み合わせ)を定義
crypto ipsec transform-set MYSET esp-3des esp-sha256-hmac
! IPsecトンネルモードを指定
mode tunnel
!
! IPSec パラメータをプロファイル名 "TP" の中で指定
crypto ipsec profile TP
! 使用できるトランスフォーム セットを指定。"crypto ipsec transform-set" コマンドで設定済のトランスフォームセット名を指定
set transform-set MYSET
!
!
!
!
!
!
! トンネルインターフェースの設定
interface Tunnel1
! IPアドレスはIOS内部用。装置内ユニークなアドレスを設定
ip address 10.255.255.1 255.255.255.252
ip tcp adjust-mss 1454
! トンネルのソースとしてDialer2インターフェースを指定
tunnel source Dialer2
! トンネルの宛先として対地のアドレスを指定
tunnel destination 192.168.100.2
! スタティック仮想トンネルインターフェース(SVTI)の設定
tunnnel mode ipsec ipv4
! IPsecトンネルプロテクションを設定し、このトンネルインターフェースをIPsecでプロテクトする
tunnel protection ipsec profile TP
!
interface Tunnel2
ip address 10.255.255.2 255.255.255.252
ip tcp adjust-mss 1454
tunnel source Dialer2
tunnel destination 192.168.100.3
tunnel mode ipsec ipv4
tunnel protection ipsec profile TP
!
interface Tunnel3
ip address 10.255.255.3 255.255.255.252
ip tcp adjust-mss 1454
tunnel source Dialer2
tunnel destination 192.168.100.4
tunnel mode ipsec ipv4
tunnel protection ipsec profile TP
!
interface Tunnel4
ip address 10.255.255.4 255.255.255.252
ip tcp adjust-mss 1454
tunnel source Dialer2
tunnel destination 192.168.100.5
tunnel mode ipsec ipv4
tunnel protection ipsec profile TP
!
interface Tunnel5
ip address 10.255.255.5 255.255.255.252
ip tcp adjust-mss 1454
tunnel source Dialer2
tunnel destination 192.168.100.6
tunnel mode ipsec ipv4
tunnel protection ipsec profile TP
!
interface Tunnel6
ip address 10.255.255.6 255.255.255.252
ip tcp adjust-mss 1454
tunnel source Dialer2
tunnel destination 192.168.100.7
tunnel mode ipsec ipv4
tunnel protection ipsec profile TP
!
interface Tunnel7
ip address 10.255.255.7 255.255.255.252
ip tcp adjust-mss 1454
tunnel source Dialer2
tunnel destination 192.168.100.8
tunnel mode ipsec ipv4
tunnel protection ipsec profile TP
!
interface GigabitEthernet0/0
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface GigabitEthernet0/3
no ip address
!
! 物理インターフェース側の設定で論理インターフェース(Dialer1)とマッピングする (GigabitEthernet 0/4にDialerインターフェースをマッピングする場合の例)
interface GigabitEthernet0/4
no ip address
duplex auto
speed auto
pppoe enable group global
! dial-pool-number 2 と dialer pool 2 の”2”がマッピングされる
pppoe-client dial-pool-number 2
! dial-pool-number 1 と dialer pool 1 の”1”がマッピングされる
pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/5
no ip address
duplex auto
speed auto
!
! VLAN1 インターフェースを作成し、IPアドレスを設定 スイッチポートはデフォルトでVLAN1を利用
interface Vlan1
ip address 192.168.1.7 255.255.255.0
! 本社LANからインターネット宛のトラフィック用のNAT insideの設定
ip nat inside
!
! Dialer1という論理インターフェースを定義。インターネット通信用のISPのPPPoEセッションはこのインターフェースで終端
interface Dialer1
description for ISP
! PPPセッション確立時にIPアドレスがこのインターフェースにダイナミックにアサイン
ip address negotiated
! IN_filterというACLを作成し論理インターフェースに適用
ip access-group IN_filter in
! OUT_filterというACLを作成し論理インターフェースに適用
ip access-group OUT_filter out
! パケットの最大送信サイズを指定
ip mtu 1454
! NAT アウトサイドを宣言
ip nat outside
ip virtual-reassembly in
! カプセル化 PPPを指定
encapsulation ppp
! オンデマンド接続(DDR)の有効化(オプション)
dialer in-band
! トラフィックがないときに回線を切断するまでの待ち時間(オプション)
! デフォルトでは120秒, 事前に"dialer in-band"コマンドでDDRの有効化が必要
dialer idle-timeout 60
! dialer pool 1 と pppoe-client dial-pool-number 1 の ”1”がマッピングされる
dialer pool 1
! dialer-group 1 と dialer-list 1の”1”がマッピングされる
dialer-group 1
! ISPにアクセスする際の認証方式を指定。"callin"パラメータによりISPによる片方向のユーザ認証となる
ppp authentication chap pap callin
! PPPの認証ユーザ名を設定
ppp chap hostname ISP1@cisco.com
! PPPの認証パスワードを設定
ppp chap password 0 cisco
! DNSサーバアドレスをPPP接続時に自動取得
ppp ipcp dns request accept
! BASのアドレスをNexthopとしたデフォルトルートを自動で作成
ppp ipcp route default
!
! Dialer2という論理インターフェースを定義。フレッツVPNワイドのPPPoEセッションはこのインターフェースで終端
interface Dialer2
description for VPN_wide
ip address 192.168.100.1 255.255.255.0
ip mtu 1454
! 支店側からインターネット宛のトラフィック用のNAT inside の設定
ip nat inside
ip virtual-reassembly in
encapsulation ppp
dialer in-band
dialer idle-timeout 60
dialer pool 2
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname user@domain
ppp chap password 0 user
!
ip forward-protocol nd
! ルータのHTTPサーバ機能を無効にする
no ip http server
no ip http secure-server
!
! DialerインターフェースでPATする設定
ip nat inside source list 1 interface Dialer1 overload
! ネクストホップをDialer1インターフェースに向けたデフォルトルートの設定
ip route 0.0.0.0 0.0.0.0 Dialer1
! 各対地向け用のStaticRouteの設定
ip route 192.168.4.0 255.255.255.0 Tunnel1
ip route 192.168.5.0 255.255.255.0 Tunnel2
ip route 192.168.6.0 255.255.255.0 Tunnel3
ip route 192.168.7.0 255.255.255.0 Tunnel4
ip route 192.168.21.0 255.255.255.0 Tunnel5
ip route 192.168.22.0 255.255.255.0 Tunnel6
ip route 192.168.23.0 255.255.255.0 Tunnel7
! フレッツVPNワイド向けのStaticRouteの設定
ip route 192.168.100.0 255.255.255.0 Dialer2
!
! パケットフィルタの設定
ip access-list extended IN_filter
deny ip 192.168.0.0 0.0.255.255 any
permit icmp 192.168.0.0 0.0.255.255 any
ip access-list extended OUT_filter
deny udp any any eq 135
deny tcp any any eq 135
deny udp any any eq netbios-ns netbios-ss
deny tcp any any eq 139
deny udp any any eq 445
deny tcp any any eq 445
permit ip any any
permit tcp any any eq ftp www domain smtp pop3
permit udp any any
!
dialer-list 1 protocol ip permit
!
!
access-list 1 permit any
!
control-plane
!
!
!
line con 0
no modem enable
line vty 0 4
login
transport input none
!
scheduler allocate 20000 1000
ntp server pnpntpserver.cisco.com
!
end


<支店側設定>
version 15.5
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 4xJAIS-01
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
bsd-client server url https://cloudsso.cisco.com/as/token.oauth2
!
!
no ip source-route
!
!
!
!
!
!
!
!
!
ip dhcp excluded-address 192.168.4.1 192.168.4.95
ip dhcp excluded-address 192.168.4.192 192.168.4.255
!
ip dhcp pool POOL1
import all
network 192.168.4.0 255.255.255.0
default-router 192.168.4.1
dns-server 192.168.1.14 192.168.1.213
!
!
!
ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
!
cts logging verbose
license udi pid C841M-4X-JAIS/K9 sn FGL19352176
!
!
!
redundancy
!
!
!
!
!
!
!
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key password1 address 192.168.100.1
crypto isakmp keepalive 10 6
!
!
crypto ipsec transform-set MYSET esp-3des esp-sha256-hmac
mode tunnel
!
crypto ipsec profile TP
set transform-set MYSET
!
!
!
!
!
!
!
interface Tunnel1
ip address 10.255.255.11 255.255.255.252
ip tcp adjust-mss 1454
tunnel source Dialer1
tunnel destination 192.168.100.1
tunnel mode ipsec ipv4
tunnel protection ipsec profile TP
!
interface GigabitEthernet0/0
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface GigabitEthernet0/3
no ip address
!
interface GigabitEthernet0/4
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/5
ip address dhcp
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.4.1 255.255.255.0
!
interface Dialer1
description for VPN_wide
ip address 192.168.100.2 255.255.255.0
ip mtu 1454
encapsulation ppp
dialer in-band
dialer idle-timeout 60
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname user@domain
ppp chap password 0 user
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip route 0.0.0.0 0.0.0.0 Tunnel1
ip route 192.168.100.0 255.255.255.0 Dialer1
!
!
!
dialer-list 1 protocol ip permit
!
control-plane
!
!
!
line con 0
no modem enable
line vty 0 4
login
transport input none
!
scheduler allocate 20000 1000
!
end

バージョン履歴
改訂番号
1/1
最終更新:
‎06-03-2016 11:53 AM
更新者:
 
ラベル(1)