本文へジャンプします。

ニフティクラウド ユーザーガイド

クラウド トップ>ユーザーガイド>コンピューティング>VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(Cisco IOS)

VPNゲートウェイ:IKEv1 IPsec VPN(L3VPN)で接続する拠点側VPN装置の設定(Cisco IOS)

拠点側VPN装置にCisco IOSを使用した場合の設定です。

下記ページと構成を参考に、事前にVPNコネクション作成を行ってください。

構成

VPNゲートウェイを利用し、ニフティクラウドとお客様拠点をIPsec VPN(L3VPN)で接続するためには、以下の項目を事前にご確認ください。 以降の設定手順、確認手順では下記を検証環境、構成例として用います。

検証環境
ソフトウエア IOS 15.1以上
構成例
VPNゲートウェイのIPアドレス 198.51.100.123
拠点VPN装置のIPアドレス 203.0.113.234
プライベートLAN CIDR 172.31.1.0/24
拠点CIDR 192.168.1.0/24
共有鍵 0582877a-3907-4357-8763-d32e9050eb08
WAN側のインターフェース gigabitEthernet0
IPsecトランスフォーム・セット名 niftycloudset
暗号マップ名 niftycloudmap

設定手順

設定モードに移行します。

c892j#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.

IKEの暗号アルゴリズムとハッシュ・アルゴリズムの設定を行います。

c892j(config)#crypto isakmp policy 1
c892j(config-isakmp)#encryption aes
c892j(config-isakmp)#hash sha
c892j(config-isakmp)#authentication pre-share
c892j(config-isakmp)#group 2
c892j(config-isakmp)#lifetime 28800
c892j(config-isakmp)#exit

IKEの事前共有鍵を設定します。

  • ※「198.51.100.123」は実際のVPNゲートウエイのIPアドレスに、「0582877a-3907-4357-8763-d32e9050eb08」は実際の共有鍵にそれぞれ置き換えてください。
c892j(config)#crypto isakmp key 0582877a-3907-4357-8763-d32e9050eb08 address 198.51.100.123

DPDの設定を行います。

c892j(config)#crypto isakmp keepalive 15 periodic

IPsecトランスフォーム・セット設定を行います。

c892j(config)#crypto ipsec transform-set niftycloudset esp-aes esp-sha-hmac
c892j(cfg-crypto-trans)#exit

IPsecトンネルを通すアドレスの拡張アクセスリストを設定します。

  • ※「192.168.1.0/24」を実際の拠点CIDRの値に、「172.31.1.0/24」を実際のプライベートLAN CIDRの値に、それぞれ置き換えてください。
c892j(config)#ip access-list extended acl_vpn_niftycloud
c892j(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 172.31.1.0 0.0.0.255
c892j(config-ext-nacl)#exit

暗号マップの設定を行います。

  • ※「198.51.100.123」を実際のVPNゲートウェイのIPアドレスの値に、置き換えてください。
c892j(config)#crypto map niftycloudmap 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
c892j(config-crypto-map)#set peer 198.51.100.123
c892j(config-crypto-map)#set security-association lifetime seconds 3600
c892j(config-crypto-map)#set transform-set niftycloudset
c892j(config-crypto-map)#match address acl_vpn_niftycloud
c892j(config-crypto-map)#exit

WAN側のインターフェースに暗号マップを適用します。

c892j(config)#interface gigabitEthernet0
c892j(config-if)#crypto map niftycloudmap
c892j(config-if)#exit

プライベートLAN CIDR宛てのパケットをIPsecトンネルに通すためにはプライベートLAN CIDRがルーティングテーブル上に存在する必要があります。

デフォルトゲートウェイの設定がされている場合

設定は不要です

デフォルトゲートウェイの設定がされていない場合

プライベートLAN CIDR宛てのルーティングの設定を行います。

  • ※「172.31.1.0 255.255.255.0」を実際のプライベートLAN CIDRに、「203.0.113.1」を実際の上流ルーターのアドレスに、それぞれ置き換えてください。
c892j(config)#ip route 172.31.1.0 255.255.255.0 203.0.113.1
WAN側のインターフェースでNATを利用している場合

プライベートLAN CIDR宛てのパケットをNATによるアドレス変換対象から除外する必要があります。
これは、Cisco IOSがIPsecトンネルを通すか通さないかの判断をする前にNATを適用するためです。

WAN側のインターフェースでNATを利用している場合はNATを適用するルールを以下のような拡張アクセスリストに変更してください。

c892j(config)#ip access-list extended acl_nat
c892j(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 172.31.1.0 0.0.0.255
c892j(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any
c892j(config-ext-nacl)#exit

設定を保存します。

c892j(config)#exit
c892j#copy running-config startup-config
Destination filename [startup-config]?
Building configuration…
[OK]
c892j#

確認手順

IKEのSAが正常に確立されているか確認する

show crypto isakmp saコマンドを実行します。
下記のようにACTIVEとなっていれば正常に確立できています。

c892j#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
203.0.113.234 198.51.100.123 QM_IDLE 2005 ACTIVE

IPv6 Crypto ISAKMP SA

c892j#
ESPのSAが正常に確立されているか確認する

show crypto ipsec saコマンドを実行します。
下記のようにStatusがACTIVEとなっていれば正常に確立できています。

c892j#show crypto ipsec sa
     PFS (Y/N): Y, DH group: group2

interface: GigabitEthernet0
    Crypto map tag: niftycloudmap, local addr 203.0.113.234

   protected vrf: (none)
   local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.31.1.0/255.255.255.0/0/0)
   current_peer 198.51.100.123 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10
    #pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 15, #recv errors 0

     local crypto endpt.: 203.0.113.234, remote crypto endpt.: 198.51.100.123
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0
     current outbound spi: 0x3B1B8B62(991660898)

     inbound esp sas:
      spi: 0xB4DD1BBD(3034389437)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 1, flow_id: Motorola SEC 2.0:1, sibling_flags 80000046, crypto map: niftycloudmap
        sa timing: remaining key lifetime (k/sec): (4583285/3055)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x3B1B8B62(991660898)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2, flow_id: Motorola SEC 2.0:2, sibling_flags 80000046, crypto map: niftycloudmap
        sa timing: remaining key lifetime (k/sec): (4583285/3055)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE
          
     outbound ah sas:

     outbound pcp sas:
c892j#

ニフティクラウド サイト内検索

ユーザーガイドメニュー

  • ツイッターでフォローしてください
  • ニフティクラウド公式フェイスブックページ

推奨画面サイズ 1024×768 以上