本文へジャンプします。

ニフクラ ユーザーガイド

クラウド トップ>ユーザーガイド>コンピューティング>VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(Cisco IOS)

VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(Cisco IOS)

拠点側VPN装置にCisco IOSを使用した場合の設定です。

下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。
ヘルプ:VPNコネクション:作成

構成

VPNゲートウェイを利用し、ニフクラとお客様拠点をIPsec VPN(L3VPN)で接続するためには、以下の項目を事前にご確認ください。 以降の設定手順、確認手順では下記を検証環境、構成例として用います。

検証環境
ソフトウエア IOS 15.1以上
構成例
VPNゲートウェイのIPアドレス 198.51.100.123
拠点VPN装置のIPアドレス 203.0.113.234
プライベートLAN CIDR 172.31.1.0/24
拠点CIDR 192.168.1.0/24
共有鍵 0582877a-3907-4357-8763-d32e9050eb08
WAN側のインターフェース gigabitEthernet0
IPsecトランスフォーム・セット名 niftycloudset
暗号マップ名 niftycloudmap

設定手順

  1. 設定モードに移行します。

    c892j#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
  2. IKEの暗号アルゴリズムとハッシュ・アルゴリズムの設定を行います。

    c892j(config)#crypto isakmp policy 1
    c892j(config-isakmp)#encryption aes
    c892j(config-isakmp)#hash sha
    c892j(config-isakmp)#authentication pre-share
    c892j(config-isakmp)#group 2
    c892j(config-isakmp)#lifetime 28800
    c892j(config-isakmp)#exit
  3. IKEの事前共有鍵を設定します。

    ※「198.51.100.123」は実際のVPNゲートウエイのIPアドレスに、「0582877a-3907-4357-8763-d32e9050eb08」は実際の共有鍵にそれぞれ置き換えてください。

    c892j(config)#crypto isakmp key 0582877a-3907-4357-8763-d32e9050eb08 address 198.51.100.123
  4. DPDの設定を行います。

    c892j(config)#crypto isakmp keepalive 15 periodic
  5. IPsecトランスフォーム・セット設定を行います。

    c892j(config)#crypto ipsec transform-set niftycloudset esp-aes esp-sha-hmac
    c892j(cfg-crypto-trans)#exit
  6. IPsecトンネルを通すアドレスの拡張アクセスリストを設定します。

    ※「192.168.1.0/24」を実際の拠点CIDRの値に、「172.31.1.0/24」を実際のプライベートLAN CIDRの値に、それぞれ置き換えてください。

    c892j(config)#ip access-list extended acl_vpn_niftycloud
    c892j(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 172.31.1.0 0.0.0.255
    c892j(config-ext-nacl)#exit
  7. 暗号マップの設定を行います。

    ※「198.51.100.123」を実際のVPNゲートウェイのIPアドレスの値に、置き換えてください。

    c892j(config)#crypto map niftycloudmap 10 ipsec-isakmp
    % NOTE: This new crypto map will remain disabled until a peer
     and a valid access list have been configured.
    c892j(config-crypto-map)#set peer 198.51.100.123
    c892j(config-crypto-map)#set security-association lifetime seconds 3600
    c892j(config-crypto-map)#set transform-set niftycloudset
    c892j(config-crypto-map)#match address acl_vpn_niftycloud
    c892j(config-crypto-map)#exit
  8. WAN側のインターフェースに暗号マップを適用します。

    c892j(config)#interface gigabitEthernet0
    c892j(config-if)#crypto map niftycloudmap
    c892j(config-if)#exit

    プライベートLAN CIDR宛てのパケットをIPsecトンネルに通すためにはプライベートLAN CIDRがルーティングテーブル上に存在する必要があります。

    デフォルトゲートウェイの設定がされている場合

    設定は不要です

    デフォルトゲートウェイの設定がされていない場合

    プライベートLAN CIDR宛てのルーティングの設定を行います。

    ※「172.31.1.0 255.255.255.0」を実際のプライベートLAN CIDRに、「203.0.113.1」を実際の上流ルーターのアドレスに、それぞれ置き換えてください。

    c892j(config)#ip route 172.31.1.0 255.255.255.0 203.0.113.1

    WAN側のインターフェースでNATを利用している場合

    プライベートLAN CIDR宛てのパケットをNATによるアドレス変換対象から除外する必要があります。
    これは、Cisco IOSがIPsecトンネルを通すか通さないかの判断をする前にNATを適用するためです。

    WAN側のインターフェースでNATを利用している場合はNATを適用するルールを以下のような拡張アクセスリストに変更してください。

    c892j(config)#ip access-list extended acl_nat
    c892j(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 172.31.1.0 0.0.0.255
    c892j(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any
    c892j(config-ext-nacl)#exit
  9. 設定を保存します。

    c892j(config)#exit
    c892j#copy running-config startup-config
    Destination filename [startup-config]? 
    Building configuration…
    [OK]
    c892j#

確認手順

IKEのSAが正常に確立されているか確認する

show crypto isakmp saコマンドを実行します。
下記のようにACTIVEとなっていれば正常に確立できています。

c892j#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
203.0.113.234 198.51.100.123 QM_IDLE 2005 ACTIVE

IPv6 Crypto ISAKMP SA

c892j#  
ESPのSAが正常に確立されているか確認する

show crypto ipsec saコマンドを実行します。
下記のようにStatusがACTIVEとなっていれば正常に確立できています。

c892j#show crypto ipsec sa 
     PFS (Y/N): Y, DH group: group2

interface: GigabitEthernet0
    Crypto map tag: niftycloudmap, local addr 203.0.113.234

   protected vrf: (none)
   local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.31.1.0/255.255.255.0/0/0)
   current_peer 198.51.100.123 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10
    #pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 15, #recv errors 0

     local crypto endpt.: 203.0.113.234, remote crypto endpt.: 198.51.100.123
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0
     current outbound spi: 0x3B1B8B62(991660898)

     inbound esp sas:
      spi: 0xB4DD1BBD(3034389437)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 1, flow_id: Motorola SEC 2.0:1, sibling_flags 80000046, crypto map: niftycloudmap
        sa timing: remaining key lifetime (k/sec): (4583285/3055)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x3B1B8B62(991660898)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2, flow_id: Motorola SEC 2.0:2, sibling_flags 80000046, crypto map: niftycloudmap
        sa timing: remaining key lifetime (k/sec): (4583285/3055)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE
          
     outbound ah sas:

     outbound pcp sas:
c892j#

ニフティクラウド サイト内検索

ユーザーガイドメニュー

  • ツイッターでフォローしてください
  • ニフクラ公式フェイスブックページ

推奨画面サイズ 1024×768 以上