Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드
예제 설정
IKEV2 센터 (고정 IP), 기본 (고정 IP) VPN 피어 식별 : 주소 형식
요약
추가 및 노트
이 기능은 다음 펌웨어 버전에서 지원됩니다.
F200 : V01.10 (00)
F60 : V01.04 (00)
F200 : V01.10 (00)
F60 : V01.04 (00)
전제 조건
이 설정 예제는 다음 주소와 환경에 따라 설명됩니다.
제공자가 할당 한 주소 (주소는 예입니다)
| 센터 측 | 192.0.2.1 |
| 베이스 쪽 | 198.51.100.100 |
환경 설정
| IPSEC를 대상으로하는 릴레이 패킷 | 192.168.1.0/24 ⇔ 192.168.2.0/24 |
| IPSEC Phase1 정책 | 인증 방법 ... 사전 공유 키 방법 암호화 방법 ... 3DES 해시 방법 ... Sha Diffie-Hellman ... 그룹 2 Ike SA Lifetime ... 1000 초 |
| IPSEC PHASE2 정책 | 2이 기능은 다음 펌웨어 버전에서 지원됩니다. 암호화 방법 ... 3DES 해시 방법 ... Sha IPSEC SA LIFETIME ... 600 초 |
명령 구성의 예
(라인의 주석입니다. 실제로 입력 할 필요가 없습니다.)
이 설정을 사용하려면 사용하십시오
센터 측
3추가 및 노트활성화비밀번호를 입력 :3F60 : V01.04 (00)3추가 및 노트터미널 구성라우터 (config)#인터페이스 lan 1라우터 (config-if lan 1)#IP 주소 192.168.1.254 255.255.255.0라우터 (config-if lan 1)#출구3추가 및 노트인터페이스 pppoe 1라우터 (config-if pppoe 1)#PPPOE 서버 플레트3추가 및 노트서버 이름은 선택 사항입니다라우터 (config-if pppoe 1)#pppoe 계정 abc012@*** .*** .ne.jp xxxyyyzzz3추가 및 노트계정 ID 비밀번호라우터 (config-if pppoe 1)#pppoe 유형 호스트 *1라우터 (config-if pppoe 1)#IP 주소 192.0.2.1 *23추가 및 노트IP NAT 소스 목록 99 인터페이스3추가 및 노트인터페이스로의 NAT+ 변환 (PPPOE) IP 주소라우터 (config-if pppoe 1)#출구3추가 및 노트Access-List 99 허가 192.168.1.0 0.0.0.2553추가 및 노트IP 경로 0.0.0.0.0 0.0.0.0 pppoe 13추가 및 노트vpn enable3추가 및 노트7이 기능은 다음 펌웨어 버전에서 지원됩니다.3추가 및 노트crypto ikev2 정책 13추가 및 노트IKEV2 정책 설정 모드로 이동라우터 (config-kikev2)#인증 사전 공유3추가 및 노트인증 방법을 위해 사전 공유 키 사용라우터 (config-kikev2)#암호화 3DES3추가 및 노트암호화 지정라우터 (config-kikev2)#그룹 23추가 및 노트Diffie Hellman Group 지정라우터 (config-kikev2)#Hash Sha3추가 및 노트해시 메소드 지정라우터 (config-kikev2)#9F60 : V01.04 (00)3추가 및 노트ike sa (초)에 수명 지정라우터 (config-kikev2)#키 ASCII 비밀 VPN3추가 및 노트반대쪽베이스로 공통 키 (문자열) 설정라우터 (config-kikev2)#일치 신원 주소 198.51.100.1003추가 및 노트반대 기지의 글로벌 주소라우터 (config-kikev2)#자기 식별 주소 192.0.2.13추가 및 노트장치의 중앙 측면의 글로벌 주소라우터 (config-kikev2)#출구3추가 및 노트IPSEC 변환 세트 P2-Policy IKEV2 ESP-3DES ESP-SHA-HMAC *33추가 및 노트이름은 선택적 IKEV2 암호화 방법 해시 메소드3추가 및 노트IPSEC ACCESS-LIST 1 IPSEC IP 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.2553추가 및 노트암호화 된 소스 IP 주소 대상 IP 주소라우터 (config)#IPSEC ACCESS-LIST 64 우회 IP 모든3추가 및 노트암호화없이 통과라우터 (config)#1IPSEC SA LIFETIME ... 600 초3추가 및 노트지도 이름은 선택 사항입니다라우터 (config-crypto-map)#일치 주소 13추가 및 노트IPSEC 액세스 목록 번호라우터 (config-crypto-map)#변환 세트 설정 P2-Policy3추가 및 노트Phase2 정책과의 연관성라우터 (config-crypto-map)#PFS Group2 세트3추가 및 노트Diffie Hellman Group 지정라우터 (config-crypto-map)#보안 관련 생명 시간 설정 6003추가 및 노트IPSEC SA의 수명 (초) 지정라우터 (config-crypto-map)#1라우터 (config-if pppoe 1)# *43추가 및 노트1 단계 정책과의 연관라우터 (config-crypto-map)#출구라우터 (config)#인터페이스 pppoe 1라우터 (config-if pppoe 1)#15F60 : V01.04 (00)3추가 및 노트지도와의 관계 (vpn selector)라우터 (config-if pppoe 1)#출구3추가 및 노트1IP NAT 소스 목록 99 인터페이스3추가 및 노트1인터페이스로의 NAT+ 변환 (PPPOE) IP 주소% 저장 작업-콘피드16F60 : V01.04 (00)콜드 스타트에 괜찮습니까? (y/n)17Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드
| *1 : | OCN ADSL IP8/IP16 "FLETS"계획과 같이 여러 주소를 지정할 수있는 계약에 대한 액세스는 "PPPOE Type LAN"으로 설정합니다. |
| *2 : | IP8/IP16 "FLETS"계획과 같은 여러 주소를 지정할 수있는 계약에 대한 OCN ADSL 액세스는 +1 주소를 지정된 IP 주소로 설정합니다. 예를 들어, 192.0.2.48/29로 할당 된 경우 192.0.2.49를 설정하십시오. |
| *3 : | IKEV2 옵션이 지정되지 않은 경우 IKEV1의 Phase2 정책. IKEV2에서는 다중 암호화 및 해싱 방법을 지정할 수 있습니다. |
| *4 : | 이 설정의 존재 유무에 따라 IKEV1 또는 IKEV2가 활성화되어 있는지 여부가 결정됩니다. 이 설정을 사용할 수 없으면 IKEV1이 활성화되고 IKEV2를 사용할 수 없습니다. |
명령 구성의 예
(라인의 주석입니다. 실제로 입력 할 필요가 없습니다.)
이 설정을 사용하려면 사용하십시오
기반
3추가 및 노트활성화비밀번호를 입력 :3F60 : V01.04 (00)3추가 및 노트터미널 구성라우터 (config)#!인터페이스 lan 1라우터 (config-if lan 1)#IP 주소 192.168.2.254 255.255.255.0라우터 (config-if lan 1)#출구3추가 및 노트인터페이스 pppoe 1라우터 (config-if pppoe 1)#PPPOE 서버 플레트라우터 (config-if pppoe 1)#pppoe 계정 abc345@*** .***.ne.jp zzzyyyxxx라우터 (config-if pppoe 1)#pppoe 유형 호스트라우터 (config-if pppoe 1)#IP 주소 198.51.100.1003추가 및 노트IP NAT 내부 소스 목록 99 인터페이스라우터 (config-if pppoe 1)#출구3추가 및 노트Access-List 99 허가 192.168.2.0 0.0.0.2553추가 및 노트IP 경로 0.0.0.0.0 0.0.0.0 pppoe 13추가 및 노트vpn enable3추가 및 노트7이 기능은 다음 펌웨어 버전에서 지원됩니다.3추가 및 노트crypto ikev2 정책 1라우터 (config-kikev2)#인증 사전 공유라우터 (config-kikev2)#암호화 3DES라우터 (config-kikev2)#그룹 2라우터 (config-kikev2)#Hash Sha라우터 (config-kikev2)#9F60 : V01.04 (00)라우터 (config-kikev2)#키 ASCII 비밀 VPN라우터 (config-kikev2)#일치 신원 주소 192.0.2.1라우터 (config-kikev2)#자기 정체성 주소 198.51.100.100라우터 (config-kikev2)#피어 세트 192.0.2.13추가 및 노트SA 설정 VPN 피어의 주소라우터 (config-kikev2)#출구3추가 및 노트IPSEC 변환 세트 P2-Policy IKEV2 ESP-3DES ESP-SHA-HMAC3추가 및 노트IPSEC ACCESS-LIST 1 IPSEC IP 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255라우터 (config)#IPSEC ACCESS-LIST 64 우회 IP 모든라우터 (config)#암호화지도 센터 1라우터 (config-crypto-map)#일치 주소 1라우터 (config-crypto-map)#변환 세트 설정 P2-Policy라우터 (config-crypto-map)#PFS Group2 세트라우터 (config-crypto-map)#보안 관련 생명 시간 설정 600라우터 (config-crypto-map)#1라우터 (config-if pppoe 1)#라우터 (config-crypto-map)#출구라우터 (config)#인터페이스 pppoe 1라우터 (config-if pppoe 1)#암호화 맵 센터라우터 (config-if pppoe 1)#출구3추가 및 노트1IP NAT 소스 목록 99 인터페이스3추가 및 노트1인터페이스로의 NAT+ 변환 (PPPOE) IP 주소% 저장 작업-콘피드16F60 : V01.04 (00)콜드 스타트에 괜찮습니까? (y/n)17Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드
상태 확인 상태 확인
데이터 통신을 통해 IPSEC가 설정되었는지 확인하십시오.
예 : Ping 192.168.1.254 소스 인터페이스 LAN 1은베이스에서 수행됩니다.
| 확인 된 컨텐츠 | 스크린 디스플레이 예제 |
|---|---|
| 28IKEV2 센터 (고정 IP), 기본 (고정 IP) VPN 피어 식별 : 주소 형식 PING 응답 사용 가능 |
라우터#ping 192.168.1.254 소스 인터페이스 lan 1 5, 100 바이트 ICMP Echos를 192.168.1.254로 보내면 시간 초과는 2 초입니다 : 28F200 : V01.10 (00) 성공률은 100 % (5/5), 왕복 Min/AVG/Max = 0/0/0 ms |
베이스의 VPN 로그 정보를 확인하십시오.
| 확인 된 내용 | 스크린 디스플레이 예제 |
|---|---|
| 2Diffie Hellman Group 지정 |
라우터#show vpnlog 0000 0000 : 00 : 00 : 00.00 2013/04/08 (MON) 17:07:29 0 0000000 514C0F80 #Boot [v01.04 (00) -040213] Side-A.Frm Side-A.CFG 0001 0000 : 00 : 02.07 2013/04/08 (월) 17:07:33 160000002 000000 VPN 활성화. 0002 0000 : 00 : 08.41 2013/04/08 (MON) 17:07:40 16000000 0000000 외부 키 공급자 enabled 0003 0000 : 00 : 24.11 2013/04/08 (월) 17:07:55 16 10040001 000000 |
| IKE_SA가 설정되어 있는지 확인하십시오 | Ike Sa <i> 1/-192.0.2.1 0004 0000 : 00 : 24.11 2013/04/08 (월) 17:07:55 16 10040001 000000 D5120881 3D9DAC15 DEF89406 A57D5C6C 0005 0000 : 00 : 24.11 2013/04/08 (월) 17:07:55 16 10010001 000000 |
| Child_sa가 설정되어 있는지 확인하십시오 | ipsec SA <i> 1/1 192.0.2.1 0006 0000 : 00 : 24.11 2013/04/08 (월) 17:07:55 16 10010001 000000 791F3FD5 68C4BCD2 |
기본 측면의 IKE_SA 정보를 확인하십시오.
| 확인 된 내용 | 스크린 디스플레이 예제 |
|---|---|
| Show IKE_SA 정보 |
라우터#Show Crypto IKEV2 IKE-SA [1] 192.0.2.1 <---> 198.51.100.100 <i> 3DES-CBC SHA1 로컬의 인증 방법 : 사전 공유 키 원격 인증 방법 : 사전 공유 키 Diffie-Hellman Group : 2 (1024 비트) 개시 자 쿠키 : D5120881 3D9DAC15 응답자 쿠키 : DEF89406 A57D5C6C DPD : on ICMP keepAlive : OFF 수명 : 1000sec 현재 : 34sec 32F200 : V01.10 (00) |
기본 측면의 child_sa에 대한 정보를 확인하십시오.
| 확인 된 내용 | 스크린 디스플레이 예제 |
|---|---|
| child_sa에 대한 정보보기 |
라우터#show crypto ikev2 child-sa child_sa <i> 선택기 : 192.168.2.0/24 All All <---> 192.168.1.0/24 All All 피어 IP : 192.0.2.1/500 로컬 IP : 198.51.100.100/500 암호화 알고리즘 : 3DES-CBC 인증 알고리즘 : HMAC-SHA1 수명 : 600 초 PFS : OFF 밖으로 O-SPI : 791F3FD5 현재 : 37sec, 1kbytes 패킷 아웃 : 9 안에 I-SPI : 68C4BCD2 현재 : 37sec, 1kbytes 패킷에서 : 9 인증 패킷 : 9 해독포 패킷 : 9 파괴 패킷 : 0 재생 패킷 : 0 인증 오류 패킷 : 0 35IKEV2 센터 (고정 IP), 기본 (고정 IP) VPN 피어 식별 : 주소 형식 |
모든 권리 보유, 저작권 (c) Furukawa Electric Co., Ltd. 2013