ー目次
ー設定例について
動作を確認したルーター設定例を提供いたします。参考情報としてご利用ください。
当社にて動作を保証するものではなく、 また、特定の機器を推奨するものではありません。
各製品についてのお問い合せには当社ではお答えいたしかねます。開発メーカ・販売会社へお問い合わせください。
ー設定に必要なパラメータ
契約サービスの詳細画面より、接続に必要なパラメータを取得できます。
UIMS項目名称 | 設定コンフィグのラベル |
---|---|
NAPTアドレス | NAPT後アドレス |
IPSec GWの接続先グローバル | IPSecGlobalIP |
IPSec トンネルID | hogehoge@nfv.nttpc.ne.jp |
IPSec プリシェアードキー | PRESHARE |
接続仕様についてはこちらを参照ください。
ー動作確認Version
次のVersionで動作確認しています。
「10.2.16」
ー設定例
1 IX2215自身からIPv4 PPPoEで接続する例
2 HGWやブロードバンドルータ等上位ルータがインターネット接続を提供しており、そのLAN配下にIX2215をDHCPで接続する例
ーその他
ルーターへのリモートメンテナンス環境についてはパートナーさまにて検討・準備ください。
※NECプラットフォームズ製品はNetMeisterでルーターを遠隔管理できます。
NetMeisterを使う場合はルーターとのアクセス経路にご配慮ください。
■IX2215自身からIPv4 PPPoEで接続する例
※GigabitEthernet0 にWAN側回線を、GigabitEthernet2にLAN側の接続をした例となります。
※斜体で記載のパラメータはお客様の環境に合わせた設定をお願い致します。
!
hostname samplerouter
timezone +09 00
!
logging buffered 131072
logging subsystem acl warn
logging subsystem arp warn
logging subsystem cnfg notice
logging subsystem dhc warn
logging subsystem dhs warn
logging subsystem env notice
logging subsystem eth notice
logging subsystem flt warn
logging subsystem ike2 notice
logging subsystem ip notice
logging subsystem key info
logging subsystem ppoe info
logging subsystem ppp info
logging subsystem sec warn
logging timestamp datetime
!
username adminuser password plain AdMiNuSer1 administrator
!
ip ufs-cache enable
ip route default Tunnel0.0
ip route IPSecGlobalIP/32 GigaEthernet0.1
ip dhcp enable
ip access-list sshd permit ip src 192.168.100.119/32 dest any
ip access-list ussgw-in permit udp src IPSecGlobalIP/32 sport eq 500 dest any dport eq 500
ip access-list ussgw-in permit 50 src IPSecGlobalIP/32 dest any
ip access-list ussgw-out permit udp src any sport eq 500 dest IPSecGlobalIP/32 dport eq 500
ip access-list ussgw-out permit 50 src any dest IPSecGlobalIP/32
!
no ipsec ike-passthru
!
ip name-server 8.8.8.8 Tunnel0.0
ip name-server 8.8.4.4 Tunnel0.0
!
ssh-server ip access-list sshd
ssh-server ip enable
!
ikev2 authentication psk id ipv4 IPSecGlobalIP key char PRESHARE
!
ip dhcp profile lan
assignable-range 192.168.100.10 192.168.100.90
subnet-mask 255.255.255.0
default-gateway 192.168.100.1
dns-server 8.8.8.8 8.8.4.4
!
ppp profile ppp_profile
authentication myname ISPから提供されるPPPoEID
authentication password ISPから提供されるPPPoEID ISPから提供されるPPPoEPassword
no ipcp request-local-dns
!
ikev2 default-profile
anti-replay off
child-lifetime 7200
child-pfs 2048-bit
child-proposal enc aes-cbc-256
child-proposal integrity sha2-256
dpd interval 10
local-authentication id rfc822-addr hogehoge@nfv.nttpc.ne.jp
nat-traversal keepalive 60
negotiation-direction initiator
sa-lifetime 14400
sa-proposal enc aes-cbc-256
sa-proposal integrity sha2-256
sa-proposal dh 2048-bit
sa-proposal prf sha2-256
ipsec-mode tunnel
!
device GigaEthernet0
!
device GigaEthernet1
!
device GigaEthernet2
!
device BRI0
isdn switch-type hsd128k
!
device USB0
shutdown
!
interface GigaEthernet0.0
no ip address
no shutdown
!
interface GigaEthernet1.0
no ip address
shutdown
!
interface GigaEthernet2.0
ip address 192.168.100.1/24
ip tcp adjust-mss auto
ip dhcp binding lan
no shutdown
!
interface BRI0.0
encapsulation ppp
no auto-connect
no ip address
shutdown
!
interface USB-Serial0.0
encapsulation ppp
no auto-connect
no ip address
shutdown
!
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding ppp_profile
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
ip filter ussgw-in 10 in
ip filter ussgw-out 10 out
no shutdown
!
interface Loopback0.0
no ip address
!
interface Null0.0
no ip address
!
interface Tunnel0.0
tunnel mode ipsec-ikev2
ip address NAPT後アドレス/30
ip forced-fragment
ip tcp adjust-mss auto
ip napt enable
ip napt address NAPT後アドレス
ikev2 connect-type auto
ikev2 ipsec mtu ignore
ikev2 ipsec pre-fragment
ikev2 outgoing-interface GigaEthernet0.1
ikev2 peer IPSecGlobalIP authentication psk id ipv4 IPSecGlobalIP
no shutdown
■HGWやブロードバンドルータ等上位ルータがインターネット接続を提供しており、そのLAN配下にてIX2215をDHCPで接続する例
※GigabitEthernet0 に上位ルータを、GigabitEthernet2にLAN側の接続をした例となります。
※上位ルータがDHCPサーバ機能によりアドレスを払い出している前提の例となります。
※上位ルータにてUDP500、UDP4500、ESPパケット(ip proto 50)、フラグメントパケットを拒否しないように設定してください。
※斜体で記載のパラメータはお客様の環境に合わせた設定をお願い致します。
!
hostname samplerouter
timezone +09 00
!
logging buffered 131072
logging subsystem acl warn
logging subsystem arp warn
logging subsystem cnfg notice
logging subsystem dhc warn
logging subsystem dhs warn
logging subsystem env notice
logging subsystem eth notice
logging subsystem flt warn
logging subsystem ike2 notice
logging subsystem ip notice
logging subsystem key info
logging subsystem sec warn
logging timestamp datetime
!
username adminuser password plain AdMiNuSerZ administrator
!
ip ufs-cache enable
ip route default Tunnel0.0
ip route IPSecGlobalIP/32 GigaEthernet0.0 dhcp
ip dhcp enable
ip access-list sshd permit ip src 192.168.100.119/32 dest any
!
no ipsec ike-passthru
!
ssh-server ip access-list sshd
ssh-server ip enable
!
ikev2 authentication psk id ipv4 IPSecGlobalIP key char PRESHARE
!
ip dhcp profile lan
assignable-range 192.168.100.10 192.168.100.90
subnet-mask 255.255.255.0
default-gateway 192.168.100.1
dns-server 8.8.8.8 8.8.4.4
!
ikev2 default-profile
anti-replay off
child-lifetime 7200
child-pfs 2048-bit
child-proposal enc aes-cbc-256
child-proposal integrity sha2-256
dpd interval 10
local-authentication id rfc822-addr hogehoge@nfv.nttpc.ne.jp
nat-traversal keepalive 60
negotiation-direction initiator
sa-lifetime 14400
sa-proposal enc aes-cbc-256
sa-proposal integrity sha2-256
sa-proposal dh 2048-bit
sa-proposal prf sha2-256
ipsec-mode tunnel
!
device GigaEthernet0
!
device GigaEthernet1
!
device GigaEthernet2
!
device BRI0
isdn switch-type hsd128k
!
device USB0
shutdown
!
interface GigaEthernet0.0
ip address dhcp
no shutdown
!
interface GigaEthernet1.0
no ip address
shutdown
!
interface GigaEthernet2.0
ip address 192.168.100.1/24
ip tcp adjust-mss auto
ip dhcp binding lan
no shutdown
!
interface BRI0.0
encapsulation ppp
no auto-connect
no ip address
shutdown
!
interface USB-Serial0.0
encapsulation ppp
no auto-connect
no ip address
shutdown
!
interface Loopback0.0
no ip address
!
interface Null0.0
no ip address
!
interface Tunnel0.0
tunnel mode ipsec-ikev2
ip address NAPT後アドレス/30
ip forced-fragment
ip tcp adjust-mss auto
ip napt enable
ip napt address NAPT後アドレス
ikev2 connect-type auto
ikev2 ipsec mtu ignore
ikev2 ipsec pre-fragment
ikev2 outgoing-interface GigaEthernet0.0 auto
ikev2 peer IPSecGlobalIP authentication psk id ipv4 IPSecGlobalIP
no shutdown
コメント
0件のコメント
記事コメントは受け付けていません。