Cisco製ルータの841MJを2台用意し、フレッツで拠点間VPNを組み、サーバを公開し、インターネットも使えるようにします。なお、標準のGUIは使わずにCUIで設定します。 interface Vlan1 no ip address pppoe enable group pppoe01 ! interface Vlan20 ip address 192.168.110.254 255.255.255.0 ip tcp adjust-mss 1332 ! 2つのNICを持つWindowsサーバ2008R2 上で、片方のNICをCisco SSL VPN用として使い、もう一つは別目的のネットワーク接続に使いたいのですが、 Cisco SSL VPN ClientソフトでVPN AnyConnectへのセッションが確立すると、もう一方のネットワークも使えなくなります。 2つにNICのIPアドレスは別の … crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key cisco address 64.100.2.101 crypto isakmp key cisco address 64.100.3.101 crypto isakmp keepalive 30 ! © 2020 Cisco and/or its affiliates. (2)XK と 12.2. interface FastEthernet0 no ip address duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 ! Cisco 841M を用いて、企業内でハブ & スポーク型の VPN を構築する場合のコマンドラインによる設定例です。 <シナリオ> 本社、支店共に1回線でISPに接続し、インターネットに直接接続(Direct Internet Access, DIA)。 本社-支店間はインターネット上でVPN接続される。 end, hostname 1812J-A ! Cisco ISR ルータを使用し、インターネットに接続します。 この三つの拠点間にてインターネット上で IPSec VPN を設定し、かつそのトンネル上にてルーテ ィングプロトコルを動作させる為の設定を行います。 3.想定する環境 interface Vlan3 no ip address pppoe enable group pppoe03 ! interface Virtual-Template2 mtu 1454 ip unnumbered Loopback2 peer default ip address pool pool02 ppp authentication pap chap ! 2020.04.18 2020.05.28. end, ---------------------------- "crypto isakmp policy 1" <コマンド種別> グローバルコンフィグレーションコマンド <コマンドの機能> IKE ネゴシエーション時に使用されるIKEポリシーを作成します。プライオリティ番号の範囲は 1〜10000 で、プライオリティが最も高いのが 1 です。 また、Internet Security Association Key and Management Protocol(ISAKMP)ポリシー コンフィギュレーション モードを開始します。 ---------------------------- "encryption 3des" <コマンド種別> ISAKMP ポリシー コンフィギュレーション モード <コマンドの機能> IKE ポリシーに使用される暗号化アルゴリズムを指定します。des(DES 56 ビット)、3des(3DES 168 ビット)、aes(AES)が選択可能です。 デフォルトでは、56 ビット DES を使用します。 ---------------------------- "hash md5" <コマンド種別> ISAKMP ポリシー コンフィギュレーション モード <コマンドの機能> IKE ポリシーに使用されるハッシュ アルゴリズムを指定します。 この例では、Message Digest 5(MD5)アルゴリズムを指定します。デフォルトは、Secure Hash 標準(SHA-1)です。 ---------------------------- "authentication pre-share" <コマンド種別> ISAKMP ポリシー コンフィギュレーション モード <コマンドの機能> IKE ポリシーに使用される認証方式を指定します。 この例では、事前共有キーを使用します。 ---------------------------- "group 2" <コマンド種別> ISAKMP ポリシー コンフィギュレーション モード <コマンドの機能> IKE ポリシーに使用される Diffie-Hellman グループを指定します。 ---------------------------- "crypto isakmp key cisco address 64.100.2.101" <コマンド種別> グローバルコンフィグレーションコマンド <コマンドの機能> リモートピアの IP アドレスと、そのピアに対する IKE 事前共有キーを指定します。 ---------------------------- "lifetime seconds" <コマンド種別> ISAKMP ポリシー コンフィギュレーション モード <コマンドの機能> IKE Security Association(SA; セキュリティ アソシエーション)のライフタイム(60〜86400 秒)を指定します。 ---------------------------- "crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac" <コマンド種別> グローバルコンフィグレーションコマンド <コマンドの機能> トランスフォーム セット(IPSec セキュリティ プロトコルとアルゴリズムの有効な組み合わせ)を定義します。 ---------------------------- "crypto map GRE-IPSEC 1 ipsec-isakmp" <コマンド種別> グローバルコンフィグレーションコマンド <コマンドの機能> 暗号マップ プロファイルを作成します。 また、暗号マップコンフィギュレーションコマンドを開始します。 ---------------------------- "set peer 64.100.1.101" <コマンド種別> 暗号マップコンフィギュレーションコマンド <コマンドの機能> トラフィックの暗号化/復号化を許可するピアを指定します。 ---------------------------- "set transform-set IPSEC" <コマンド種別> 暗号マップコンフィギュレーションコマンド <コマンドの機能> 暗号マップ エントリに使用できるトランスフォーム セットを指定します。 ---------------------------- "match address 100" <コマンド種別> 暗号マップコンフィギュレーションコマンド <コマンドの機能> 暗号マップ エントリに適用するトラフィックを識別するためのアクセスリストを指定します。 ---------------------------- "access-list 100 permit gre host 64.100.1.101 host 64.100.2.101" <コマンド種別> グローバルコンフィグレーションコマンド <コマンドの機能> リモートピアの IP アドレスと、そのピアに対する IKE 事前共有キーを指定します。 ---------------------------- "crypto isakmp keepalive 30" <コマンド種別> グローバルコンフィグレーションコマンド <コマンドの機能> IKE キープアライブを送信する間隔を指定します。 デフォルトの振る舞いとして、On-Demand(ESP パケットの送受信状況をモニタし、必要時だけ送信)が選択されます。 ---------------------------- "crypto map GRE-IPSEC" <コマンド種別> インタフェースコンフィグレーションコマンド <コマンドの機能> インターフェイスに暗号マップを適用します。本設定ではダイアラーインタフェースに指定します。 ---------------------------- "interface Tunnel 0" <コマンド種別> グローバルコンフィグレーションコマンド <コマンドの機能> GRE トンネル インターフェイスを作成します。 ---------------------------- "ip address 192.168.1.1 255.255.255.0" <コマンド種別> インタフェースコンフィグレーションコマンド <コマンドの機能> GRE トンネルに IP アドレスを割り当てます。 ---------------------------- "tunnel source Dialer1" <コマンド種別> インタフェースコンフィグレーションコマンド <コマンドの機能> GRE トンネルにルータの送信元を指定します。 ---------------------------- "tunnel destination 64.100.2.101" <コマンド種別> インタフェースコンフィグレーションコマンド <コマンドの機能> GRE トンネルにルータの宛先を指定します。 ---------------------------- "access-list 100 permit gre host 64.100.1.101 host 64.100.2.101" <コマンド種別> グローバルコンフィグレーションコマンド <コマンドの機能> アクセスリストにより暗号化対象トラフィックを定義します。本設定ではアドレスに GRE トンネルのエンドポイントを指定し、プロトコルをGREに指定しています。 ----------------------------, PPPoE 使用時の MTU サイズは、通常時よりも小さくなります。(フレッツでは、1454 バイトを推奨)また本設定例では GRE オーバヘット(24byte)ならび IPSec Tunnel モードのオーバヘッド(36byte+trailer)も考慮し、MTU サイズ、TCP の MSS(最大セグメントサイズ)の値をそれに合わせて調整することが必要となる点に注意してください。, PPPoEインターフェース上での ip route 0.0.0.0 0.0.0.0 Dialer1 と指定した際にはファーストスイッチとなります。PPPoE にてより高速な CEF スイッチを実現する為にはサービスプロバイダーの BAS アドレスが PPP ネゴシエーション時にルータにインストールされている必要があります。インストールされている様であれば、dialer インターフェースにて ppp ipcp route default を設定し、再度 PPPoE セッション確立してください。PPP ネゴシエーション終了時に BAS アドレスを nexthop としたデフォルトルートが作成されます。本設定に関しては実際のトラフィックは OSPF により学習されたルートを選択する為、あまり考慮する必要がありません。, 以前 IOS では PPPoE クライアントにおいて、下記のコマンドが必要でしたが、現在の IOS では必要がありません。またこのコマンドを設定する事により PPPoE サーバの機能が有効になり、WAN側の同一セグメントにおいて、PPPoE クライアントが存在する際には、broadcast で送られるPADIに対し、PADO を返してしまいます。こちらの設定は行わないで下さい。 vpdn enable vpdn-group 1 request-dialin protocol pppoe, 1812J や 871 の様な SW 内臓のプラットホームまたは HWIC-4ESW/HWIC-9DESW などのスイッチモジュールを使用し、vlan を使用する際には、vlan database コマンドにて追加するvlanを指定する必要があります。, 全ての ISR では、HW 暗号化アクセラレータがオンボードにて提供されています。1841/2800/3800 にてより高速でスケーラビリティのある拡張暗号化モジュールが必要の際には下記モジュールをご購入下さい。, 事前共有キーの設定はユーザ個別もしくはグループ事前共有で行います。ユーザ個別の場合、各 IPSec ピアで個別に事前共有キーの設定を行います。グループ事前共有キーを設定する場合、下記のようにグループ内で同一の事前共有キーを設定します。 crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0 上記設定では全ての IP アドレスからの IPSec のネゴシエーションを許容する為に、セキュリティレベルは落ちる事を注意してください。, Cisco VPN Client ソフトウェアにて接続時にも PPPoE 接続時などは MTU を考慮する必要があります。Cisco System VPN Client->Set MTU にて適切なMTUに設定をして下さい。. access-list 100 permit gre host 64.100.3.101 host 64.100.1.101 dialer-list 1 protocol ip permit ! ip cef ! router ospf 1 log-adjacency-changes network 192.168.1.0 0.0.0.255 area 0 network 192.168.110.0 0.0.0.255 area 0 ! シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。, Dynamic Multipoint VPN(DMVPN; ダイナミック マルチポイント VPN)機能を使用すると、Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)トンネル、IPSec カプセル化、Next Hop Resolution Protocol(NHRP)を組み合わせて、大規模および小規模の IPSec VPN のスケーリングがより適切に行われます。これにより、ユーザは暗号化プロファイルを使用した簡単な設定方法(静的暗号化マップを定義するための要件は無効になります)とトンネルのエンドポイントのダイナミック ディスカバリが利用できるようになります。, このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。, 注: 注:マルチプル IPSec パススルーがサポートされているのは、Cisco IOS ソフトウェア リリース 12.2. router ospf 1 log-adjacency-changes network 192.168.1.0 0.0.0.255 area 0 network 192.168.2.0 0.0.0.255 area 0 network 192.168.100.0 0.0.0.255 area 0 ! interface Virtual-Template3 mtu 1454 ip unnumbered Loopback3 peer default ip address pool pool03 ppp authentication pap chap ! © 2020 Cisco and/or its affiliates. EthernetのLAN環境から、企業に拠点があって通信業者のWAN網を使う場合、 または、インターネットに接続する際などに、「PPPoE」という技術を使います。, PPPoEとは、PPP over Ethernetの略でEthernet上でPPPフレームをやりとりできる。, また、PPPとは、Point to Point Protocolの略で、ポイントツーポイントで接続し、認証やIPアドレスの割り当てなどを行うプロトコルです。, このPPPoEの検証を社内など通信事業者の回線の引いていない場所で行う場合、CiscoルータでPPPoEサーバをたてて、実際に拠点間でうまく通信ができるかなどのように検証します。, 今回は、CiscoルータでPPPoEサーバをたてるためのコンフィグを備忘録的に書いておこうと思います。, **********************************************************************, username 〈拠点ルータ①username〉 password 〈拠点ルータ①password〉 username 〈拠点ルータ②username〉 password 〈拠点ルータ②password〉 username 〈拠点ルータ③username〉 password 〈拠点ルータ③password〉, bba-group pppoe pppoe01 virtual-template 1 ! interface Dialer1 ip unnumbered Loopback1 ip mtu 1454 encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication chap callin ppp chap hostname Flet's-c@cisco.com ppp chap password 0 cisco crypto map GRE-IPSEC ! end, hostname 1812J-B ! interface Loopback0 ip address 64.100.2.101 255.255.255.0 ! ip cef ! interface GigabitEthernet2 switchport access vlan 2 ! interface Vlan20 ip address 192.168.120.254 255.255.255.0 ip tcp adjust-mss 1332 ! 2 つの拠点がそれぞれ、PPPoE 方式を利用するブロードバンド回線接続を提供するサービスにて、Cisco ISR サービス統合型ルータを使用し、インターネットに接続します。また二つの拠点間にてインターネット上で IPSec VPN を設定します。 ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! interface FastEthernet0/0 no ip address duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 ! interface FastEthernet3 switchport access vlan 20 ! crypto map GRE-IPSEC 1 ipsec-isakmp set peer 64.100.2.101 set transform-set IPSEC match address 100 crypto map GRE-IPSEC 2 ipsec-isakmp set peer 64.100.3.101 set transform-set IPSEC match address 101 ! crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac ! 三つの拠点がそれぞれ、PPPoE 方式を利用するブロードバンド回線接続を提供するサービスにて Cisco ISR ルータを使用し、インターネットに接続します。この三つの拠点間にてインターネット上で IPSec VPN を設定し、かつそのトンネル上にてルーティングプロトコルを動作させる為の設定 … (13)T 以降だけです。, このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。, 各スポークには(ネットワーク内のほかのスポークではなく)ハブへの固定 IPSec トンネルがあります。 各スポークは、NHRP サーバのクライアントとして登録します。, あるスポークが別のスポーク上の宛先(プライベート)サブネットにパケットを送信する必要がある場合、宛先(ターゲット)スポークの実(外部)アドレスを NHRP サーバに照会します。, 発信元スポークは、ターゲット スポークのピア アドレスを学習した後、ターゲット スポークへのダイナミック IPSec トンネルを開始できます。, マルチポイント GRE(mGRE)インターフェイス上に、スポークツースポーク トンネルが構築されます。, スポーク間にトラフィックがある場合は常に、スポークツースポーク リンクは、オンデマンドで確立されます。 その後、パケットはハブをバイパスし、スポークツースポーク トンネルを使用できます。, NHRP: クライアント/サーバ プロトコルの 1 つ。ハブがサーバの役割を果たし、スポークがクライアントとして機能します。 ハブでは、各スポークのパブリック インターフェイス アドレスの NHRP データベースが維持されます。 各スポークは、ブート時や、直接トンネルを構築するために、宛先スポークの実アドレスを NHRP データベースに照会する際に、その実アドレスを登録します。, mGRE トンネル インターフェイス:1 つの GRE インターフェイスで複数の IPSec トンネルをサポートできるため、設定のデータ量が少なくなり、設定操作も簡単になります。, 注: 注:スポークツースポーク トンネルで事前設定されている非アクティブ時間が経過すると、ルータは、リソースを節約するためにそのトンネルを廃棄します(IPSec Security Associations(SA; セキュリティ結合))。, 注: トラフィックのプロファイルは、80-20 % のルールに従う必要があります。 トラフィックの 80 % はスポークツーハブのトラフィックから構成され、トラフィックの 20 % はスポーツツースポークのトラフィックから構成される必要があります。, ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。, 注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してください。, このセクションでは、設定が正しく動作していることを確認する方法について説明します。, 特定の show コマンドは、Output Interpreter Tool(登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。, show crypto engine connection active:SA ごとの合計の暗号化/復号化を表示します。, show crypto ipsec sa:アクティブなトンネルの統計情報を表示します。, show crypto isakmp sa:ISAKMP SA の状態を表示します。, ルータ間の隣接関係の形成の問題によって、DMVPN トンネルがフラップすることがあるため、DMVPN トンネルがフラップする場合はルータ間の隣接関係を確認します。 この問題を解決するには、ルータ間の隣接関係が常にアップ状態であるようにします。, 注: debug コマンドを使用する前に、『debug コマンドに関する重要な情報』を参照してください。, debug crypto isakmp:インターネット キー エクスチェンジ(IKE)イベントに関するメッセージを表示します。, IPSec のトラブルシューティングの詳細については、「IP Security のトラブルシューティング - debug コマンドの理解と使用」を参照してください。, 次のデバッグ出力は、NHRP 要求と NHRP 解決応答を示しています。 このデバッグは、スポーク sv9-4 と sv9-3、およびハブ sv9-2 からキャプチャされたものです。, 次のデバッグ出力は、ISAKMP と IPSec ネゴシエーションを示しています。 このデバッグは、スポーク sv9-4 と sv9-3 からキャプチャされたものです。. 三つの拠点がそれぞれ、PPPoE 方式を利用するブロードバンド回線接続を提供するサービスにて Cisco ISR ルータを使用し、インターネットに接続します。 この三つの拠点間にてインターネット上で IPSec VPN を設定し、かつそのトンネル上にてルーティングプロトコルを動作させる為の設定を行います。, それぞれの拠点に設置しているルータには、サービスプロバイダより固定の IP アドレスを提供されています。 三つの拠点間の通信をインターネット上にてセキュアに行う為に、各ルータに IPSec VPN の設定を行う設定をします。 また各拠点間の経路交換の為に OSPF を使用します。ルーティングプロトコルを動作させる為に拠点間にて GRE トンネルを設定します。 IPSec VPN に関するパラメータは以下のものを設定します。, ISR シリーズは全てオンボードにて 2FE(もしくは 2GE)を具備します。ISR シリーズにて本構成が実現可能なハードウェア/ソフトウェアの組み合わせは下記になります。, 本設定例においては、支社側にて Cisco1812J : IOS12.4(6)T、本社側にて Cisco 2811 : IOS12.4(5a)を使用しています。, hostname C2811 !

.

マイクラ 溶岩 フェンスゲート 燃える 4, 浪漫革命 アバンチュール 歌詞 7, みおり 漢字 一文字 6, 沢尻エリカ 昔 写真 7, 慶應義塾大学 法学部 Fit入試 過去 問 13, 國學院久我山 清水監督 退任後 8, 和田豊 息子 ソース 8, Gravit Designer 縦書き 50, ドコモ 外装交換 日数 4, Tokyo Mx 受信レベル低下 2019 5, Bose スピーカー マイク接続 7, ライム 韻 違い 10, Sp ドラマ 動画 5話 35, チャン ヒョク 家庭 9, 内省的なボス パクヘス 歌 22, 漢 Akagami 年収 15, 高橋ユウ 旦那 ブログ 11, コミコ 作者 死亡 30, ハニー 漫画 登場 人物 8, タッセル 作り方 二 色 4, ソロモンの偽証 藤野涼子 結婚 6, 花 咲く いろは 結名 うざい 4, 漢 Akagami 年収 15, コードブルー3 3話 Pandora 4, ラブ ジェネレーション 名シーン 29, ギルティ 最終回 動画 21,