＜前頁 次頁＞ ＜＜ ＞＞ ↓ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）

PPPoEインターネット接続環境における3点間IPsec VPN（支社間通信なし、支社はアドレス不定）

PPPoEでインターネットに接続している3つの拠点をIPsec（ESP）トンネルで結ぶVPN構築例です。この例では本社と各支社のみを接続する構成とし、支社間の通信は行わないものとします。またこの例では、本社にのみグローバルアドレス1個が固定的に割り当てられており、各支社のルーターのアドレスは不定（動的割り当て）であると仮定しています。

表 1：ISPから提供された情報

	ルーターA（本社）	ルーターB（支社）	ルーターC（支社）
PPPユーザー名	user@ispA	user@ispB	user@ispC
PPPパスワード	isppasswdA	isppasswdB	isppasswdC
PPPoEサービス名	指定なし
使用できるIPアドレス	200.100.10.1/32	グローバルアドレス1個を接続時に割り当て
接続形態	端末型（アドレス1個固定）	端末型（アドレス1個不定）

表 2：ルーターの基本設定

	ルーターA（本社）	ルーターB（支社）	ルーターC（支社）
WAN側物理インターフェース	gigabitEthernet 0
WAN側（gigabitEthernet 0.1）IPアドレス	200.100.10.1/32	動的割り当て
LAN側（vlan 1）IPアドレス	192.168.10.1/24	192.168.20.1/24	192.168.30.1/24
VPN接続設定
ローカルセキュアグループ	192.168.10.0/24	192.168.20.0/24	192.168.30.0/24
リモートセキュアグループ	192.168.20.0/24、192.168.30.0/24	192.168.10.0/24
トンネル終端アドレス	不定	200.100.10.1
IKE設定
交換モード	Aggressiveモード
認証方式	事前共有鍵（pre-shared key）
事前共有鍵	secret-ab（文字列）、secret-ac（文字列）	secret-ab（文字列）	secret-ac（文字列）
ローカルID/リモートID	なし/client_B、なし/client_C	client_B/なし	client_C/なし
暗号化認証アルゴリズム	3DES & SHA1-DH2
有効期限	21600秒（6時間）（デフォルト）
DPDによる死活監視	行う
起動時のISAKMPネゴシエーション	行わない	行う
IPsec設定
SAモード	トンネルモード
セキュリティープロトコル	ESP
暗号化認証アルゴリズム	3DES & SHA1
PFSグループ	なし
有効期限	3600秒（1時間）（デフォルト）

• 事前に購入時に含まれている初期設定を削除します（設定例1を参照してください）。
  
  
• 本社、支社のルーター（A、B、C）は、ファイアウォール（アクセスリスト）とダイナミックENAT（ダイナミックNAPT）を使用した通常の端末型設定（Aはアドレス1個固定。BとCはアドレス不定）です。
  

ルーターAの設定

1. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
   

   ppp profile pppoe0 ↓
    my-username user@ispA password isppasswdA ↓
       

   
   
2. WAN0インターフェース（gigabitEthernet 0）を有効にします。
   

   interface gigabitEthernet 0 ↓
    no shutdown ↓
       

   
   
3. WAN0インターフェース上にPPPoEインターフェース（gigabitEthernet 0.1）を作成し、インターフェースを使用できるようにします。
   ISPから割り当てられたIPアドレスを設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
   また、LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。
   外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
   

   interface gigabitEthernet 0.1 ↓
    ip address 200.100.10.1/32 ↓
    ip tcp mss auto ↓
    no shutdown ↓
    pppoe enable ↓
     ppp bind-profile pppoe0 ↓
    ip napt inside any ↓
    ip ids in protect ↓
       

   
   
4. LAN側インターフェース（vlan 1）にIPアドレスを設定します。
   

   interface vlan 1 ↓
    ip address 192.168.10.1/24 ↓
       

   
   
5. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。
   

   ip address-up-always ↓
       

   
   
6. デフォルトルートを設定します。
   

   ip route default gigabitEthernet 0.1 ↓
       

   
   
7. ISAKMPパケットは通しつつ、他の外側からの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、PPPoEインターフェース上に割り当てます。
   

   access-list ip extended pppoe0-in ↓
    dynamic permit udp any interface gigabitEthernet 0.1 eq 500 ↓
   access-list ip extended pppoe0-out ↓
    dynamic permit ip any any ↓
   interface gigabitEthernet 0.1 ↓
    ip traffic-filter pppoe0-in in ↓
    ip traffic-filter pppoe0-out out ↓
       

   
   
8. Phase1のProposalを設定します。
   

   isakmp proposal isakmp encryption 3des hash sha1 group 2 ↓
       

   
   
9. ルーターBとのISAKMPポリシーを設定します。
   

   isakmp policy i_B ↓
    peer any ↓
    mode aggressive ↓
    auth preshared key secret-ab ↓
    remote-id client_B ↓
    proposal isakmp ↓
    keepalive enable ↓
       

   
   
10. ルーターCとのISAKMPポリシーを設定します。
    

    isakmp policy i_C ↓
     peer any ↓
     mode aggressive ↓
     auth preshared key secret-ac ↓
     remote-id client_C ↓
     proposal isakmp ↓
     keepalive enable ↓
        

    
    
11. IPsecポリシーにて指定するアクセスリスト、およびPhase2のProposalを設定します。
    

    access-list ip extended ipsec ↓
     permit ip any any ↓
    ipsec proposal ipsec esp encryption 3des hash sha1 ↓
        

    
    
12. ルーターBとのIPsecポリシーを設定します。
    

    ipsec policy vpn_B ↓
     peer any ↓
     access-list ipsec ↓
     local-id 192.168.10.0/24 ↓
     remote-id 192.168.20.0/24 ↓
     proposal ipsec ↓
     always-up-sa ↓
        

    
    
13. ルーターCとのIPsecポリシーを設定します。
    

    ipsec policy vpn_C ↓
     peer any ↓
     access-list ipsec ↓
     local-id 192.168.10.0/24 ↓
     remote-id 192.168.30.0/24 ↓
     proposal ipsec ↓
     always-up-sa ↓
        

    
    
14. トンネルインターフェース（tunnel 0）を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースを使用してルーターBとの通信が行えるように、対応するIPsecポリシーを設定します。
    

    interface tunnel 0 ↓
     tunnel mode ipsec ↓
     ip unnumbered vlan 1 ↓
     ip tcp mss auto ↓
     no shutdown ↓
     tunnel policy vpn_B ↓
        

    
    
15. トンネルインターフェース（tunnel 1）を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースを使用してルーターCとの通信が行えるように、対応するIPsecポリシーを設定します。
    

    interface tunnel 1 ↓
     tunnel mode ipsec ↓
     ip unnumbered vlan 1 ↓
     ip tcp mss auto ↓
     no shutdown ↓
     tunnel policy vpn_C ↓
        

    
    
16. ルーターBのLAN側（192.168.20.0/24）宛のルートを設定します。
    また、ルーター間のVPN接続が有効になるまでは、このルートを使用できないように設定します。
    

    ip route 192.168.20.0/24 tunnel 0 ↓
    ip route 192.168.20.0/24 Null 254 ↓
        

    
    
17. ルーターCのLAN側（192.168.30.0/24）宛のルートを設定します。
    また、ルーター間のVPN接続が有効になるまでは、このルートを使用できないように設定します。
    

    ip route 192.168.30.0/24 tunnel 1 ↓
    ip route 192.168.30.0/24 Null 254 ↓
        

    
    
18. 設定は以上です。設定内容をstartup-configに保存します。
    

    copy running-config startup-config ↓
        

ルーターBの設定

1. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
   

   ppp profile pppoe0 ↓
    my-username user@ispB password isppasswdB ↓
       

   
   
2. WAN0インターフェース（gigabitEthernet 0）を有効にします。
   

   interface gigabitEthernet 0 ↓
    no shutdown ↓
       

   
   
3. WAN0インターフェース上にPPPoEインターフェース（gigabitEthernet 0.1）を作成し、インターフェースを使用できるようにします。
   接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
   また、LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。
   外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
   

   interface gigabitEthernet 0.1 ↓
    ip address ipcp ↓
    ip tcp mss auto ↓
    no shutdown ↓
    pppoe enable ↓
     ppp bind-profile pppoe0 ↓
    ip napt inside any ↓
    ip ids in protect ↓
       

   
   
4. LAN側インターフェース（vlan 1）にIPアドレスを設定します。
   

   interface vlan 1 ↓
    ip address 192.168.20.1/24 ↓
       

   
   
5. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。
   

   ip address-up-always ↓
       

   
   
6. デフォルトルートを設定します。
   

   ip route default gigabitEthernet 0.1 ↓
       

   
   
7. 外側からの通信を遮断しつつ、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、PPPoEインターフェース上に割り当てます。
   

   access-list ip extended pppoe0-in ↓
   access-list ip extended pppoe0-out ↓
    dynamic permit ip any any ↓
   interface gigabitEthernet 0.1 ↓
    ip traffic-filter pppoe0-in in ↓
    ip traffic-filter pppoe0-out out ↓
       

   
   
8. Phase1のProposal、およびISAKMPポリシーを設定します。
   

   isakmp proposal isakmp encryption 3des hash sha1 group 2 ↓
   isakmp policy i_A ↓
    peer 200.100.10.1 ↓
    mode aggressive ↓
    auth preshared key secret-ab ↓
    local-id client_B ↓
    proposal isakmp ↓
    keepalive enable ↓
       

   
   
9. Phase2のProposal、およびIPsecポリシーを設定します。
   

   access-list ip extended ipsec ↓
    permit ip any any ↓
   ipsec proposal ipsec esp encryption 3des hash sha1 ↓
   ipsec policy vpn_A ↓
    peer 200.100.10.1 ↓
    access-list ipsec ↓
    local-id 192.168.20.0/24 ↓
    remote-id 192.168.10.0/24 ↓
    proposal ipsec ↓
    always-up-sa ↓
       

   
   
10. トンネルインターフェース（tunnel 0）を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースに対応するIPsecポリシーを設定します。
    

    interface tunnel 0 ↓
     tunnel mode ipsec ↓
     ip unnumbered vlan 1 ↓
     ip tcp mss auto ↓
     no shutdown ↓
     tunnel policy vpn_A ↓
        

    
    
11. ルーターAのLAN側（192.168.10.0/24）宛のルートを設定します。
    また、ルーター間のVPN接続が有効になるまでは、このルートを使用できないように設定します。
    

    ip route 192.168.10.0/24 tunnel 0 ↓
    ip route 192.168.10.0/24 Null 254 ↓
        

    
    
12. 設定は以上です。設定内容をstartup-configに保存します。
    

    copy running-config startup-config ↓
        

ルーターCの設定

1. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
   

   ppp profile pppoe0 ↓
    my-username user@ispC password isppasswdC ↓
       

   
   
2. WAN0インターフェース（gigabitEthernet 0）を有効にします。
   

   interface gigabitEthernet 0 ↓
    no shutdown ↓
       

   
   
3. WAN0インターフェース上にPPPoEインターフェース（gigabitEthernet 0.1）を作成し、インターフェースを使用できるようにします。
   接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
   また、LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。
   外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
   

   interface gigabitEthernet 0.1 ↓
    ip address ipcp ↓
    ip tcp mss auto ↓
    no shutdown ↓
    pppoe enable ↓
     ppp bind-profile pppoe0 ↓
    ip napt inside any ↓
    ip ids in protect ↓
       

   
   
4. LAN側インターフェース（vlan 1）にIPアドレスを設定します。
   

   interface vlan 1 ↓
    ip address 192.168.30.1/24 ↓
       

   
   
5. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。
   

   ip address-up-always ↓
       

   
   
6. デフォルトルートを設定します。
   

   ip route default gigabitEthernet 0.1 ↓
       

   
   
7. 外側からの通信を遮断しつつ、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、PPPoEインターフェース上に割り当てます。
   

   access-list ip extended pppoe0-in ↓
   access-list ip extended pppoe0-out ↓
    dynamic permit ip any any ↓
   interface gigabitEthernet 0.1 ↓
    ip traffic-filter pppoe0-in in ↓
    ip traffic-filter pppoe0-out out ↓
       

   
   
8. Phase1のProposal、およびISAKMPポリシーを設定します。
   

   isakmp proposal isakmp encryption 3des hash sha1 group 2 ↓
   isakmp policy i_A ↓
    peer 200.100.10.1 ↓
    mode aggressive ↓
    auth preshared key secret-ac ↓
    local-id client_C ↓
    proposal isakmp ↓
    keepalive enable ↓
       

   
   
9. Phase2のProposal、およびIPsecポリシーを設定します。
   

   access-list ip extended ipsec ↓
    permit ip any any ↓
   ipsec proposal ipsec esp encryption 3des hash sha1 ↓
   ipsec policy vpn_A ↓
    peer 200.100.10.1 ↓
    access-list ipsec ↓
    local-id 192.168.30.0/24 ↓
    remote-id 192.168.10.0/24 ↓
    proposal ipsec ↓
    always-up-sa ↓
       

   
   
10. トンネルインターフェース（tunnel 0）を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースに対応するIPsecポリシーを設定します。
    

    interface tunnel 0 ↓
     tunnel mode ipsec ↓
     ip unnumbered vlan 1 ↓
     ip tcp mss auto ↓
     no shutdown ↓
     tunnel policy vpn_A ↓
        

    
    
11. ルーターAのLAN側（192.168.10.0/24）宛のルートを設定します。
    また、ルーター間のVPN接続が有効になるまでは、このルートを使用できないように設定します。
    

    ip route 192.168.10.0/24 tunnel 0 ↓
    ip route 192.168.10.0/24 Null 254 ↓
        

    
    
12. 設定は以上です。設定内容をstartup-configに保存します。
    

    copy running-config startup-config ↓
        

まとめ

ルーターAのコンフィグ

! service password-encryption ! clock timezone JST 9 ! ! ip address-up-always ppp profile pppoe0 my-username user@ispA password 8 e$QNKMe2ohmPDFBWKSYxCJz8gAA ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address 200.100.10.1/32 ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside any ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 0 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy vpn_B ! interface tunnel 1 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy vpn_C ! interface vlan 1 ip address 192.168.10.1/24 no shutdown ! ip route default gigabitEthernet 0.1 ip route 192.168.20.0/24 tunnel 0 ip route 192.168.20.0/24 Null 254 ip route 192.168.30.0/24 tunnel 1 ip route 192.168.30.0/24 Null 254 ! access-list ip extended ipsec permit ip any any access-list ip extended pppoe0-in dynamic permit udp any interface gigabitEthernet 0.1 eq 500 access-list ip extended pppoe0-out dynamic permit ip any any ! isakmp proposal isakmp encryption 3des hash sha1 group 2 ! isakmp policy i_B peer any mode aggressive auth preshared key 8 e$Q8dQupIM3xK8bcuoRYavULQAA remote-id client_B proposal isakmp keepalive enable ! isakmp policy i_C peer any mode aggressive auth preshared key 8 e$Q8dQupIM3xK/jvCLYInwJRAAA remote-id client_C proposal isakmp keepalive enable ! ipsec proposal ipsec esp encryption 3des hash sha1 ! ipsec policy vpn_B peer any access-list ipsec local-id 192.168.10.0/24 remote-id 192.168.20.0/24 proposal ipsec always-up-sa ! ipsec policy vpn_C peer any access-list ipsec local-id 192.168.10.0/24 remote-id 192.168.30.0/24 proposal ipsec always-up-sa ! ! ! ! end

ルーターBのコンフィグ

! service password-encryption ! clock timezone JST 9 ! ! ip address-up-always ppp profile pppoe0 my-username user@ispB password 8 e$QNKMe2ohmPDGyL5Yl1OWFlAAA ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address ipcp ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside any ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 0 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy vpn_A ! interface vlan 1 ip address 192.168.20.1/24 no shutdown ! ip route default gigabitEthernet 0.1 ip route 192.168.10.0/24 tunnel 0 ip route 192.168.10.0/24 Null 254 ! access-list ip extended ipsec permit ip any any access-list ip extended pppoe0-in access-list ip extended pppoe0-out dynamic permit ip any any ! isakmp proposal isakmp encryption 3des hash sha1 group 2 ! isakmp policy i_A peer 200.100.10.1 mode aggressive auth preshared key 8 e$Q8dQupIM3xK8bcuoRYavULQAA local-id client_B proposal isakmp keepalive enable ! ipsec proposal ipsec esp encryption 3des hash sha1 ! ipsec policy vpn_A peer 200.100.10.1 access-list ipsec local-id 192.168.20.0/24 remote-id 192.168.10.0/24 proposal ipsec always-up-sa ! ! ! ! end

ルーターCのコンフィグ

! service password-encryption ! clock timezone JST 9 ! ! ip address-up-always ppp profile pppoe0 my-username user@ispC password 8 e$QNKMe2ohmPDH6RNYgx+E/aQAA ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address ipcp ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside any ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 0 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy vpn_A ! interface vlan 1 ip address 192.168.30.1/24 no shutdown ! ip route default gigabitEthernet 0.1 ip route 192.168.10.0/24 tunnel 0 ip route 192.168.10.0/24 Null 254 ! access-list ip extended ipsec permit ip any any access-list ip extended pppoe0-in access-list ip extended pppoe0-out dynamic permit ip any any ! isakmp proposal isakmp encryption 3des hash sha1 group 2 ! isakmp policy i_A peer 200.100.10.1 mode aggressive auth preshared key 8 e$Q8dQupIM3xK/jvCLYInwJRAAA local-id client_C proposal isakmp keepalive enable ! ipsec proposal ipsec esp encryption 3des hash sha1 ! ipsec policy vpn_A peer 200.100.10.1 access-list ipsec local-id 192.168.30.0/24 remote-id 192.168.10.0/24 proposal ipsec always-up-sa ! ! ! ! end

(C) 2011-2014 アライドテレシスホールディングス株式会社

PN: 613-001568 Rev.E

＜前頁 次頁＞ ＜＜ ＞＞ ↑ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）