Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드
예제 설정
IKEV2 센터 (고정 IP), 기본 (고정 IP) VPN 피어 식별 : FQDN 형식
요약
추가 및 노트
이 기능은 다음 펌웨어 버전에서 지원됩니다
F200 : V0110 (00)
F60 : V0104 (00)
F200 : V0110 (00)
F60 : V0104 (00)
전제 조건
이 설정 예제는 다음 주소 및 환경에 따라 설명됩니다
제공자가 할당 한 주소 (주소는 예입니다)
| 센터 측 | 192.0.2.1 |
| 베이스 쪽 | 사양 없음 |
환경 설정
| IPSEC를 대상으로하는 릴레이 패킷 | 19216810/24 ⇔ 19216820/24 |
| IPSEC Phase1 정책 | 인증 방법 사전 공유 키 방법 암호화 방법 3DES 해시 방법 Sha Diffie-Hellman 그룹 2 Ike SA Lifetime 1000 초 |
| IPSEC PHASE2 정책 | 2이 기능은 다음 펌웨어 버전에서 지원됩니다 암호화 방법 3DES 해시 방법 Sha IPSEC SA LIFETIME 600 초 ipsec SA의 초기 설정 항상 SA를 설정하십시오 (베이스에서만 설정) |
명령 구성의 예
(라인의 주석입니다 실제로 입력 할 필요가 없습니다)
이 설정을 사용하려면 사용하십시오
중앙 측면
3이 기능은 다음 펌웨어 버전에서 지원됩니다활성화비밀번호를 입력 :Clear Workingcfg3이 기능은 다음 펌웨어 버전에서 지원됩니다터미널 구성라우터 (config)#인터페이스 lan 1라우터 (config-if lan 1)#IP 주소 1921681254 2552552550라우터 (config-if lan 1)#출구3이 기능은 다음 펌웨어 버전에서 지원됩니다인터페이스 pppoe 1라우터 (config-if pppoe 1)#PPPOE 서버 플레트3이 기능은 다음 펌웨어 버전에서 지원됩니다서버 이름은 선택 사항입니다라우터 (config-if pppoe 1)#pppoe 계정 abc012@*** ***nejp xxxyyyzzz3이 기능은 다음 펌웨어 버전에서 지원됩니다계정 ID 비밀번호라우터 (config-if pppoe 1)#pppoe 유형 호스트 *1라우터 (config-if pppoe 1)#IP 주소 192021 *23이 기능은 다음 펌웨어 버전에서 지원됩니다IP NAT 소스 목록 99 인터페이스3이 기능은 다음 펌웨어 버전에서 지원됩니다인터페이스의 IP 주소 (PPPOE)로 NAT+ 변환라우터 (config-if pppoe 1)#출구3이 기능은 다음 펌웨어 버전에서 지원됩니다Access-List 99 허가 19216810 0002553이 기능은 다음 펌웨어 버전에서 지원됩니다IP 경로 00000 0000 pppoe 13이 기능은 다음 펌웨어 버전에서 지원됩니다vpn enable3이 기능은 다음 펌웨어 버전에서 지원됩니다7F200 : V0110 (00)3이 기능은 다음 펌웨어 버전에서 지원됩니다crypto ikev2 정책 13이 기능은 다음 펌웨어 버전에서 지원됩니다IKEV2 정책 설정 모드로 이동라우터 (config-kikev2)#인증 사전 공유3이 기능은 다음 펌웨어 버전에서 지원됩니다인증 방법을 위해 사전 공유 키 사용라우터 (config-kikev2)#암호화 3DES3이 기능은 다음 펌웨어 버전에서 지원됩니다암호화 지정라우터 (config-kikev2)#그룹 23이 기능은 다음 펌웨어 버전에서 지원됩니다Diffie Hellman Group 지정라우터 (config-kikev2)#Hash Sha3이 기능은 다음 펌웨어 버전에서 지원됩니다해시 메소드 지정라우터 (config-kikev2)#Lifetime 10003이 기능은 다음 펌웨어 버전에서 지원됩니다IKE SA (Seconds)의 수명 지정라우터 (config-kikev2)#키 ASCII 비밀 VPN3이 기능은 다음 펌웨어 버전에서 지원됩니다반대쪽 기지로 공통 키 (문자열) 설정라우터 (config-kikev2)#일치 신원 호스트 Kyoten3이 기능은 다음 펌웨어 버전에서 지원됩니다반대 기지가 귀하에게 알리는 이름 (이 예에서는 FQDN 이름)라우터 (config-kikev2)#자기 정체성 FQDN 센터3이 기능은 다음 펌웨어 버전에서 지원됩니다장치 이름 설정 (이 예에서 FQDN 이름)라우터 (config-kikev2)#출구3이 기능은 다음 펌웨어 버전에서 지원됩니다IPSEC 변환 세트 P2-Policy IKEV2 ESP-3DES ESP-SHA-HMAC *33이 기능은 다음 펌웨어 버전에서 지원됩니다이름은 선택적 IKEV2 암호화 방법 해시 메소드3이 기능은 다음 펌웨어 버전에서 지원됩니다IPSEC ACCESS-LIST 1 IPSEC IP 19216810 000255 19216820 0002553이 기능은 다음 펌웨어 버전에서 지원됩니다암호화 된 소스 IP 주소 대상 IP 주소라우터 (config)#IPSEC ACCESS-LIST 64 우회 IP 모든3이 기능은 다음 펌웨어 버전에서 지원됩니다암호화없이 통과라우터 (config)#1ipsec SA의 초기 토토 항상 SA를 토토하십시오 (베이스에서만 토토)3이 기능은 다음 펌웨어 버전에서 지원됩니다지도 이름은 선택 사항입니다라우터 (config-crypto-map)#일치 주소 13이 기능은 다음 펌웨어 버전에서 지원됩니다IPSEC 액세스 목록 번호라우터 (config-crypto-map)#Set Transform-Set P2-Policy3이 기능은 다음 펌웨어 버전에서 지원됩니다Phase2 정책과의 연관성라우터 (config-crypto-map)#PFS Group2 세트3이 기능은 다음 펌웨어 버전에서 지원됩니다Diffie Hellman Group 지정라우터 (config-crypto-map)#보안 관련 생명 시간 설정 6003이 기능은 다음 펌웨어 버전에서 지원됩니다IPSEC SA의 수명 (초) 지정라우터 (config-crypto-map)#15Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드 *43이 기능은 다음 펌웨어 버전에서 지원됩니다1 단계 정책과의 연관라우터 (config-crypto-map)#출구라우터 (config)#인터페이스 pppoe 1라우터 (config-if pppoe 1)#Crypto Map Kyoten3이 기능은 다음 펌웨어 버전에서 지원됩니다지도와의 관계 (vpn selector)라우터 (config-if pppoe 1)#출구3이 기능은 다음 펌웨어 버전에서 지원됩니다1IP NAT 소스 목록 99 인터페이스3이 기능은 다음 펌웨어 버전에서 지원됩니다1인터페이스의 IP 주소 (PPPOE)로 NAT+ 변환% 저장 작업 콘피드16전제 조건콜드 스타트에 괜찮습니까? (y/n)1Access-List 99 허가 19216810 000255
| *1 : | OCN ADSL IP8/IP16 "FLETS"계획과 같은 여러 주소를 지정할 수있는 계약에 대한 ADSL 액세스는 "PPPOE Type LAN"으로 설정합니다 |
| *2 : | OCN ADSL IP8/IP16 "FLETS"계획과 같은 여러 주소를 지정할 수있는 계약에 대한 OCN ADSL 액세스는 +1 주소를 지정된 IP 주소로 설정합니다 예를 들어, 1920248/29가 할당 된 경우, 1920249 세트 |
| *3 : | IKEV2 옵션이 지정되지 않은 경우 IKEV1 Phase2 정책이 사용됩니다 IKEV2에서는 다중 암호화 및 해싱 방법을 지정할 수 있습니다 |
| *4 : | 이 설정의 유무에 따라 IKEV1 또는 IKEV2가 활성화되어 있는지 여부가 결정됩니다 이 설정을 사용할 수 없으면 IKEV1이 활성화되고 IKEV2를 사용할 수 없습니다 |
명령 구성의 예
(라인의 주석입니다 실제로 입력 할 필요가 없습니다)
이 설정을 사용하려면 사용하십시오
기반
3이 기능은 다음 펌웨어 버전에서 지원됩니다13이 기능은 다음 펌웨어 버전에서 지원됩니다비밀번호를 입력 :Clear Workingcfg3이 기능은 다음 펌웨어 버전에서 지원됩니다터미널 구성라우터 (config)#!인터페이스 lan 1라우터 (config-if lan 1)#IP 주소 1921682254 2552552550라우터 (config-if lan 1)#출구3이 기능은 다음 펌웨어 버전에서 지원됩니다인터페이스 pppoe 1라우터 (config-if pppoe 1)#PPPOE 서버 플레트라우터 (config-if pppoe 1)#pppoe 계정 abc345@*** ***nejp zzzyyyxxx라우터 (config-if pppoe 1)#pppoe 유형 호스트3이 기능은 다음 펌웨어 버전에서 지원됩니다IP NAT 소스 목록 99 인터페이스라우터 (config-if pppoe 1)#출구3이 기능은 다음 펌웨어 버전에서 지원됩니다Access-List 99 허가 19216820 0002553이 기능은 다음 펌웨어 버전에서 지원됩니다IP 경로 00000 0000 pppoe 13이 기능은 다음 펌웨어 버전에서 지원됩니다vpn enable3이 기능은 다음 펌웨어 버전에서 지원됩니다7F200 : V0110 (00)3이 기능은 다음 펌웨어 버전에서 지원됩니다crypto ikev2 정책 1라우터 (config-kikev2)#인증 사전 공유라우터 (config-kikev2)#암호화 3DES라우터 (config-kikev2)#그룹 2라우터 (config-kikev2)#Hash Sha라우터 (config-kikev2)#Lifetime 1000라우터 (config-kikev2)#키 ASCII Secret-VPN라우터 (config-kikev2)#일치 신원 호스트 센터3이 기능은 다음 펌웨어 버전에서 지원됩니다반대 센터가 당신에게 알릴 이름 (이 예에서는 fqdn name)라우터 (config-kikev2)#자기 정체성 FQDN KYOTEN3이 기능은 다음 펌웨어 버전에서 지원됩니다자신의 이름 설정 (이 예에서 FQDN 이름)라우터 (config-kikev2)#피어 세트 1920213이 기능은 다음 펌웨어 버전에서 지원됩니다VPN 피어의 주소 SA라우터 (config-kikev2)#출구3이 기능은 다음 펌웨어 버전에서 지원됩니다IPSEC 변환 세트 P2-Policy IKEV2 ESP-3DES ESP-SHA-HMAC3이 기능은 다음 펌웨어 버전에서 지원됩니다IPSEC ACCESS-LIST 1 IPSEC IP 19216820 000255 19216810 000255라우터 (config)#IPSEC ACCESS-LIST 64 우회 IP 모든라우터 (config)#암호화 맵 센터 1라우터 (config-crypto-map)#일치 주소 1라우터 (config-crypto-map)#Set Transform-Set P2-Policy라우터 (config-crypto-map)#PFS Group2 세트라우터 (config-crypto-map)#보안 관련 생명 시간 설정 600라우터 (config-crypto-map)#보안 관련 설정 항상 설정3이 기능은 다음 펌웨어 버전에서 지원됩니다항상 SA 설정라우터 (config-crypto-map)#15Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드라우터 (config-crypto-map)#출구라우터 (config)#인터페이스 pppoe 1라우터 (config-if pppoe 1)#암호화지도 센터라우터 (config-if pppoe 1)#출구3이 기능은 다음 펌웨어 버전에서 지원됩니다1IP NAT 소스 목록 99 인터페이스3이 기능은 다음 펌웨어 버전에서 지원됩니다1인터페이스의 IP 주소 (PPPOE)로 NAT+ 변환% 저장 작업-콘피드16전제 조건콜드 스타트에 괜찮습니까? (y/n)1Access-List 99 허가 19216810 000255
설정 상태 확인
데이터 통신을 통해 IPSEC가 설정되었는지 확인하십시오
예 : Ping 1921681254 소스 인터페이스 LAN 1은베이스에서 수행됩니다
| 확인 된 내용 | 스크린 디스플레이 예제 |
|---|---|
| 29Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드 PING 응답 사용 가능 |
라우터#ping 1921681254 소스 인터페이스 lan 1 5, 100 바이트 ICMP Echos를 1921681254로 보내면 시간 초과는 2 초입니다 : 2토토 (config-kikev2)# 성공률은 100 % (5/5), 왕복 Min/AVG/Max = 0/0/0 ms |
베이스의 VPN 로그 정보를 확인하십시오
| 확인 된 내용 | 스크린 디스플레이 예제 |
|---|---|
| VPNLOG보기 |
라우터#show vpnlog 0000 0000 : 00 : 0000 2013/04/08 (월) 16:47:00 0 00000000 514C0F80 #Boot [v0104 (00) -040213] Side-AFrm Side-ACFG 0001 0000 : 00 : 0207 2013/04/08 (MON) 16:47:04 160000002 000000 VPN 활성화 0002 0000 : 00 : 0840 2013/04/08 (MON) 16:47:11 16000000 0000000 외부 키 공급자 enabled 0003 0000 : 00 : 3531 2013/04/08 (월) 16:47:38 16 10040001 0000000 |
| IKE_SA가 설정되어 있는지 확인하십시오 | Ike Sa <i> 1/-192021 0004 0000 : 00 : 3531 2013/04/08 (월) 16:47:38 16 10040001 000000 EA99DA31 0F7FD94C 48614CA2 AE171E20 0005 0000 : 00 : 2411 2013/04/08 (월) 17:07:55 16 10010001 000000 |
| Child_SA가 설정되어 있는지 확인하십시오 | ipsec SA <i> 1/1 192021 0006 0000 : 00 : 3531 2013/04/08 (월) 16:47:38 16 10010001 000000 6A7CD85F B60E1AAC |
BASE IKE_SA의 정보를 확인하십시오
| 확인 된 내용 | 스크린 디스플레이 예제 |
|---|---|
| IKE_SA 정보 표시 |
라우터#show crypto ikev2 ike-sa [1] 192021 센터 (FQDN) <---> 19851100100 Kyoten (FQDN) <i> 3DES-CBC SHA1 로컬의 인증 방법 : 사전 공유 키 원격 인증 방법 : 사전 공유 키 Diffie-Hellman Group : 2 (1024 비트) 개시 자 쿠키 : EA99DA31 0F7FD94C 응답자 쿠키 : 48614CA2 AE171E20 DPD : on ICMP keepAlive : OFF 수명 : 1000sec 현재 : 42SEC ISAKMP SA 1 |
기본 측면의 child_sa의 정보를 확인하십시오
| 확인 된 내용 | 스크린 디스플레이 예제 |
|---|---|
| child_sa에 대한 정보보기 |
라우터#show crypto ikev2 child-sa child_sa <i> 선택기 : 19216820/24 All All <---> 19216810/24 All All 피어 IP : 192021/500 로컬 IP : 19851100100/500 암호화 알고리즘 : 3DES-CBC 인증 알고리즘 : HMAC-SHA1 수명 : 600 초 PFS : OFF 밖으로 O-SPI : 6A7CD85F 현재 : 46sec, 0kbytes 패킷 아웃 : 5 오류 패킷 : 0 안에 I-SPI : B60E1AAC 현재 : 46sec, 0kbytes 패킷에서 : 5 인증 패킷 : 5 해독포 패킷 : 5 파괴 패킷 : 0 재생 패킷 : 0 인증 오류 패킷 : 0 36Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드 |
모든 권리 보유, 저작권 (c) Furukawa Electric Co, Ltd 2013