Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드
예제 설정
8 f100 (2)로 VPN-NAT를 수행하십시오
요약
*F100을 F1000으로 대체하는 데 사용될 수도 있습니다
- 네트워크 주소가 겹치는 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용
IPSEC는 중복 네트워크 주소가있는 환경에서 사용할 수 없습니다 따라서 VPN-NAT를 사용함으로써 명백한 네트워크 주소가 변경되고 iPSEC가 실현됩니다
- (전송되면 NAT 변환 후 암호화됩니다)
- (수신되면 Decoding 후 NAT 변환이 수행됩니다)
- 센터와베이스 간의 통신은 NAT 변환 후 주소로 전달됩니다
예 : 기본 측면에서 센터 서버 (1921680100)에 액세스 할 때 대상 주소를 [19216810100]로 설정하십시오
추가 및 노트
전제 조건
이 설정 예제는 다음 주소 및 환경에 따라 설명됩니다
제공자가 할당 한 주소 (주소는 예입니다)
| 센터 측 | 200.200.200.1 |
| 베이스 쪽 | 불확실한 |
환경 설정
| IPSEC를 대상으로하는 릴레이 패킷 (중앙 측) | 19216800/24 → 1921681000/24 |
| IPSEC를 대상으로하는 릴레이 패킷 (베이스 쪽) | 192168100/24 ← 19216800/24 |
| IPSEC Phase1 정책 | 모드 공격적인 모드 인증 방법 사전 공유 키 방법 암호화 방법 AES 128 해시 방법 Sha Diffie-Hellman 그룹 2 |
| IPSEC PHASE2 정책 | 암호화 방법 AES 128 해시 방법 Sha |
명령 구성의 예
(라인의 주석입니다 실제로 입력 할 필요가 없습니다)
이 설정을 사용하려면 사용하십시오
센터
3(수신되면 Decoding 후 NAT 변환이 수행됩니다)활성화암호 입력 :슈퍼← 비밀번호를 입력하십시오 (실제로 표시되지 않습니다)터미널 구성라우터 (config)#인터페이스 lan 1라우터 (config-if lan 1)#IP 주소 19216801 2552552550라우터 (config-if lan 1)#출구3(수신되면 Decoding 후 NAT 변환이 수행됩니다)인터페이스 pppoe 1라우터 (config-if pppoe 1)#PPPOE 서버 A 프로비더라우터 (config-if pppoe 1)#pppoe 계정 abc@***nejp password라우터 (config-if pppoe 1)#pppoe 유형 호스트라우터 (config-if pppoe 1)#IP 주소 20020020013(수신되면 Decoding 후 NAT 변환이 수행됩니다)IP NAT 소스 목록 1 인터페이스라우터 (config-if pppoe 1)#출구3(수신되면 Decoding 후 NAT 변환이 수행됩니다)액세스 목록 1 허가 19216800 000255! 생명선으로 인터넷 연결proxydns 모드 v4! IPv4와 함께 사용됩니다IP 경로 0000 0000 pppoe 13(수신되면 Decoding 후 NAT 변환이 수행됩니다)Service DHCP-Server3(수신되면 Decoding 후 NAT 변환이 수행됩니다)IP DHCP 풀 LAN1라우터 (config-dhcp-pool)#7네트워크 주소가 겹치는 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용! F100 자체를 광고하십시오기본-로터 0000! F100 자체를 광고하십시오출구3(수신되면 Decoding 후 NAT 변환이 수행됩니다)HostName Center3(수신되면 Decoding 후 NAT 변환이 수행됩니다)vpn enable3(수신되면 Decoding 후 NAT 변환이 수행됩니다)8네트워크 주소가 겹치는 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용3(수신되면 Decoding 후 NAT 변환이 수행됩니다)Crypto ISAKMP 정책 1센터 (config-isakmp)#협상 모드 공격적센터 (config-isakmp)#인증 prekey센터 (config-isakmp)#키 ASCII Secret-VPN센터 (config-isakmp)#암호화 AES 128센터 (config-isakmp)#그룹 2센터 (config-isakmp)#10Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드센터 (config-isakmp)#idtype-pre userfqdn센터 (config-isakmp)#Peer-Identity Host Kyoten센터 (config-isakmp)#IP VPN-NAT 내부 소스 STATIC-SUBNET 19216800 192168100 25525525503(수신되면 Decoding 후 NAT 변환이 수행됩니다)LAN → WAN을 떠나는 개별 패킷의 소스 주소에 대한 번역 규칙을 지정합니다3(수신되면 Decoding 후 NAT 변환이 수행됩니다)이 설정은 19216801이 192168101, 19216802임을 의미합니다3(수신되면 Decoding 후 NAT 변환이 수행됩니다)1921680254는 이제 19216810254와 같이 정적으로 변환됩니다센터 (config-isakmp)#IP VPN-NAT 내부 대상 정적 서브넷 192168100 19216800 25525525503(수신되면 Decoding 후 NAT 변환이 수행됩니다)WAN → LAN에 입력하는 개별 패킷의 대상 주소에 대한 번역 규칙을 지정합니다3(수신되면 Decoding 후 NAT 변환이 수행됩니다)이 설정은 192168101이 19216801, 192168102임을 의미합니다3(수신되면 Decoding 후 NAT 변환이 수행됩니다)19216810254는 이제 1921680254와 같이 정적으로 변환됩니다3(수신되면 Decoding 후 NAT 변환이 수행됩니다)이것은 중앙 측면에서베이스의 장치에 액세스 할 수 있습니다3(수신되면 Decoding 후 NAT 변환이 수행됩니다)두 경우 모두 마지막 서브넷 마스크는 이전 두 네트워크 주소 모두에 있습니다3(수신되면 Decoding 후 NAT 변환이 수행됩니다)차지합니다센터 (config-isakmp)#출구3(수신되면 Decoding 후 NAT 변환이 수행됩니다)IPSEC 변환 세트 P2-Policy ESP-AES-128 ESP-SHA-HMAC3(수신되면 Decoding 후 NAT 변환이 수행됩니다)IPSEC ACCESS-LIST 1 IPSEC IP 19216800 000255 1921681000 0002553(수신되면 Decoding 후 NAT 변환이 수행됩니다)중앙 측면 네트워크 주소 → 기본의 명백한 네트워크 주소센터 (config)#IPSEC ACCESS-LIST 64 우회 IP 모든센터 (config)#암호화 맵 센터 1센터 (config-crypto-map)#일치 주소 1센터 (config-crypto-map)#PEER 호스트 KYOTEN 세트센터 (config-crypto-map)#변환 세트 설정 P2-Policy센터 (config-crypto-map)#SET SECURING-ASSOCIATION IPSEC-SRC-ID 192168100 0002553(수신되면 Decoding 후 NAT 변환이 수행됩니다)Phase2를 협상 할 때 VPN-NAT 네트워크 주소를 소스로 사용3(수신되면 Decoding 후 NAT 변환이 수행됩니다)저에게 알리십시오센터 (config-crypto-map)#출구센터 (config)#인터페이스 pppoe 1센터 (config-if pppoe 1)#암호화 맵 센터센터 (config-if pppoe 1)#출구3(수신되면 Decoding 후 NAT 변환이 수행됩니다)16Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드3(수신되면 Decoding 후 NAT 변환이 수행됩니다)측면 저장-* CFG←* 저장하려는 측면에 따라 A 또는 B가 될 수 있습니다Reset콜드 스타트에 괜찮습니까? (y/n)16네트워크 주소가 겹치는 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용
명령 구성의 예
(라인의 주석입니다 실제로 입력 할 필요가 없습니다)
이 설정을 사용하려는 경우
기반
3(수신되면 Decoding 후 NAT 변환이 수행됩니다)활성화암호 입력 :17*F100을 F1000으로 대체하는 데 사용될 수도 있습니다← 비밀번호를 입력하십시오 (실제로 표시되지 않습니다)터미널 구성라우터 (config)#인터페이스 lan 1라우터 (config-if lan 1)#IP 주소 19216801 2552552550라우터 (config-if lan 1)#출구3(수신되면 Decoding 후 NAT 변환이 수행됩니다)인터페이스 pppoe 1라우터 (config-if pppoe 1)#18IPSEC는 중복 네트워크 주소가있는 환경에서 사용할 수 없습니다 따라서 VPN-NAT를 사용함으로써 명백한 네트워크 주소가 변경되고 iPSEC가 실현됩니다라우터 (config-if pppoe 1)#pppoe 계정 xyz@***nejp password라우터 (config-if pppoe 1)#pppoe 유형 호스트3(수신되면 Decoding 후 NAT 변환이 수행됩니다)IP NAT 내부 소스 목록 1 인터페이스라우터 (config-if pppoe 1)#출구3(수신되면 Decoding 후 NAT 변환이 수행됩니다)액세스 목록 1 허가 19216800 000255! 생명선으로 인터넷 연결proxydns 모드 v4! IPv4와 함께 사용됩니다IP 경로 00000 0000 pppoe 13(수신되면 Decoding 후 NAT 변환이 수행됩니다)Service DHCP-Server3(수신되면 Decoding 후 NAT 변환이 수행됩니다)IP DHCP 풀 LAN1라우터 (config-dhcp-pool)#7네트워크 주소가 겹치는 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용! F100 자체를 광고하십시오기본-로터 0000! F100 자체를 광고하십시오출구3(수신되면 Decoding 후 NAT 변환이 수행됩니다)218 f100 (2)로 VPN-NAT를 수행하십시오2이 설정 예제는 다음 주소 및 환경에 따라 설명됩니다vpn enable3(수신되면 Decoding 후 NAT 변환이 수행됩니다)8네트워크 주소가 겹치는 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용3(수신되면 Decoding 후 NAT 변환이 수행됩니다)암호화 ISAKMP 정책 122Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드인증 prekey22Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드암호화 AES 12822Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드그룹 222Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드10Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드22Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드idtype-pre userfqdn22Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드키 ASCII 비밀 VPN22Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드238 f100 (2)로 VPN-NAT를 수행하십시오22Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드협상 모드 공격적22Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드피어 식별 주소 200200200122Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드IP VPN-NAT 내부 소스 STATIC-SUBNET 19216800 1921681000 25525525503(수신되면 Decoding 후 NAT 변환이 수행됩니다)LAN → WAN을 떠나는 개별 패킷의 소스 주소에 대한 번역 규칙을 지정합니다3(수신되면 Decoding 후 NAT 변환이 수행됩니다)이 설정은 19216801이 1921681001, 19216802임을 의미합니다3(수신되면 Decoding 후 NAT 변환이 수행됩니다)1921680254는 이제 192168100254와 같이 정적으로 변환됩니다22Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드IP VPN-NAT 대상 정적 서브 넷 1921681000 19216800 25525525503(수신되면 Decoding 후 NAT 변환이 수행됩니다)WAN → LAN에 입력하는 개별 패킷의 대상 주소에 대한 번역 규칙을 지정합니다3(수신되면 Decoding 후 NAT 변환이 수행됩니다)이 설정은 1921681001이 19216801, 1921681002임을 의미합니다3(수신되면 Decoding 후 NAT 변환이 수행됩니다)192168100254는 이제 1921680254와 같이 정적으로 변환됩니다3(수신되면 Decoding 후 NAT 변환이 수행됩니다)이것은베이스에서 중앙의 터미널에 액세스 할 수 있습니다3(수신되면 Decoding 후 NAT 변환이 수행됩니다)두 경우 모두 마지막 서브넷 마스크는 이전 두 네트워크 주소 모두에 있습니다3(수신되면 Decoding 후 NAT 변환이 수행됩니다)차지합니다22Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드출구3(수신되면 Decoding 후 NAT 변환이 수행됩니다)IPSEC 변환 세트 P2-Policy ESP-AES-128 ESP-SHA-HMAC3(수신되면 Decoding 후 NAT 변환이 수행됩니다)IPSEC ACCESS-LIST 1 IPSEC IP 19216800 000255 192168100 000255! 기본 네트워크 주소 → 센터의 명백한 네트워크 주소2이 설정 예제는 다음 주소 및 환경에 따라 설명됩니다IPSEC ACCESS-LIST 64 우회 IP 모든2이 설정 예제는 다음 주소 및 환경에 따라 설명됩니다Crypto Map Kyoten 1Kyoten (토토 월드-crypto-map)#일치 주소 1Kyoten (토토 월드-crypto-map)#피어 주소 설정 200200200127네트워크 주소가 겹치는 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용27IPSEC는 중복 네트워크 주소가있는 환경에서 사용할 수 없습니다 따라서 VPN-NAT를 사용함으로써 명백한 네트워크 주소가 변경되고 iPSEC가 실현됩니다27네트워크 주소가 겹치는 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용보안 관련 IPSEC-SRC-ID 1921681000 0002553(수신되면 Decoding 후 NAT 변환이 수행됩니다)Phase2를 협상 할 때 VPN-NAT 네트워크 주소를 소스로 사용하십시오3(수신되면 Decoding 후 NAT 변환이 수행됩니다)저에게 알리십시오Kyoten (토토 월드-crypto-map)#출구2이 설정 예제는 다음 주소 및 환경에 따라 설명됩니다인터페이스 pppoe 1Kyoten (토토 월드-if pppoe 1)#28(수신되면 Decoding 후 NAT 변환이 수행됩니다)Kyoten (토토 월드-if pppoe 1)#출구3(수신되면 Decoding 후 NAT 변환이 수행됩니다)16Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드3(수신되면 Decoding 후 NAT 변환이 수행됩니다)측면 저장-* CFG←* 저장하려는 측면에 따라 A 또는 B가 될 수 있습니다리셋콜드 스타트에 괜찮습니까? (y/n)16네트워크 주소가 겹치는 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용
모든 권리 보유, 저작권 (c) Furukawa Electric Co, Ltd 2007