Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드
예제 설정
센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신
요약
추가 및 노트
- 베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용.
- 각 위치는 NAT를 사용하여 IPSEC 네트워크 주소를 명백히 변경합니다.
- 베이스 1 ... 192.168.3.0/24
- 베이스 2 ... 192.168.2.0/24
- 각 기지는 또한 센터를 통한 VPN 커뮤니케이션을 고려하여 수신 방향으로 NAT 정적을 설정합니다.
- BASE 1 ... 커뮤니케이션이 192.168.3.100으로 192.168.1.100으로 전달되었습니다
- BASE 2 ... 커뮤니케이션이 192.168.2.100으로 192.168.1.100으로 전달되었습니다
- 중복 네트워크 주소가있는 모든 위치에서 VPN-NAT 설정이 필요합니다.
- 중앙 측면에서 네트워크 주소의 복제를 피하십시오.
전제 조건
이 설정 예제는 다음 주소 및 환경에 따라 설명됩니다.
제공자가 할당 한 주소 (주소는 예입니다)
| 센터 측 | 192.0.2.1 |
| 베이스 1면 | 불확실한 |
| 베이스 2 측면 | 불확실한 |
환경 설정
| 릴레이 패킷 (중앙 측) IPSEC를 대상으로 | 192.168.0.0/16 → 192.168.3.0/24 192.168.0.0/16 → 192.168.2.0/24 |
| IPSEC (stand 1 side)를 대상으로하는 릴레이 패킷 | 192.168.0.0/16 ← 192.168.3.0/24 |
| IPSEC (Base 2 Side)를 대상으로하는 릴레이 패킷 | 192.168.0.0/16 ← 192.168.2.0/24 |
| IPSEC Phase1 정책 | 모드 ... 공격적인 모드 인증 방법 ... 사전 공유 키 방법 암호화 방법 ... AES 256 비트 해시 방법 ... SHA-256 Diffie-Hellman ... 그룹 14 |
| IPSEC PHASE2 정책 | 암호화 방법 ... AES 256 비트 해시 방법 ... SHA-256 PFS ... 그룹 14 |
인터페이스 구성 모드
| 항목 | 센터 (F220) | 베이스 1/베이스 2 (F220) |
| WAN 인터페이스 | 인터페이스 Gigaethernet 2/1* | 인터페이스 Gigaethernet 2/1* |
| 인터페이스 이름 | 5Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드 | 5Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드 |
| vlan-id value | 5센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신 | 5센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신 |
| 브리지 그룹 번호 | 5베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용. | 5베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용. |
| 인터페이스 설정 | 인터페이스 터널 1 | 인터페이스 터널 1 |
| pppoe 프로파일 | pppoe_prof | pppoe_prof |
| PPPOE 프로필 설정 | PPPOE 프로파일 PPPOE_PROF | PPPOE 프로파일 PPPOE_PROF |
| LAN 인터페이스 | 인터페이스 Gigaethernet 1/1* | 인터페이스 Gigaethernet 1/1* |
| 인터페이스 이름 | Channel-Group 1 | Channel-Group 1 |
| vlan-id value | vlan-id 1 | vlan-id 1 |
| 브리지 그룹 번호 | 7각 위치는 NAT를 사용하여 IPSEC 네트워크 주소를 명백히 변경합니다. | 7각 위치는 NAT를 사용하여 IPSEC 네트워크 주소를 명백히 변경합니다. |
| 인터페이스 설정 | 인터페이스 포트 채널 1 | 인터페이스 포트 채널 1 |
*Vlanid 및 Bridge Group 설정은 Gigaethernet을 구성해야합니다.
VPN 구성 모드
| 항목 | 센터 (F220) | 베이스 1/베이스 2 (F220) |
| 인터페이스 설정 | 인터페이스 터널 2 | 인터페이스 터널 2 |
| 지도 이름 | Kyoten | 센터 |
| 지도 설정 | 암호화지도 kyoten ipsec-isakmp | 암호화 맵 센터 ipsec-isakmp |
| 선택기 이름 | 셀렉터 | 셀렉터 |
| ISAKMP 프로파일 | 10Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드 | 10Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드 |
| 선택기 설정 (VPN 대상 패킷) |
crypto ipsec 선택기 선택기 | crypto ipsec 선택기 선택기 |
| ISAKMP 프로필 설정 | (기본 1) Crypto ISAKMP 프로파일 Prof0001 (기지 2) Crypto ISAKMP 프로파일 Prof0002 |
Crypto ISAKMP 프로파일 Prof0001 |
| ISAKMP 정책 이름 | 11센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신 | 11센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신 |
| ipsec 정책 이름 | 11베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용. | 11베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용. |
| 반대 장치 식별 설정 | (베이스 1) 일치 신원 사용자 ID-KITEN1 (기본 2) 일치 신원 사용자 ID-KITEN2 |
일치 신원 사용자 센터 |
| 이 장치의 식별 방법 설정 | 자기 식별 사용자 FQDN 센터 | (기본 1) 자가 식별 사용자 -fqdn id-kyoten1 (기본 2) 자기 식별 사용자 FQDN ID-KITEN2 |
| ISAKMP 정책 설정 | 암호화 ISAKMP 정책 P1-Policy | 암호화 ISAKMP 정책 P1-Policy |
| IPSEC 정책 설정 | Crypto IPsec 정책 P2-Policy | Crypto IPsec 정책 P2-Policy |
명령 구성의 예
(라인의 주석입니다. 실제로 입력 할 필요가 없습니다.)
이 설정을 사용하려면 사용하십시오
센터
! ! ! 特権ユーザモードに移行します。 ! > 활성화비밀번호 :슈퍼 *4← 비밀번호를 입력하십시오. (실제로 표시되지 않습니다)터미널 구성14베이스 1 ... 192.168.3.0/24IP 경로 0.0.0.0.0 0.0.0.0 터널 113베이스 2 ... 192.168.2.0/24IP 경로192.168.2.0 255.255.255.0터널 314베이스 1 ... 192.168.3.0/24IP 경로15베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용.터널 213베이스 2 ... 192.168.2.0/24IP NAT 목록 1 192.168.100.0 0.0.0.255"인터페이스 포트 채널 1(토토 사이트-if-ch 1)#IP 주소 192.168.100.1 255.255.255.0(토토 사이트-if-ch 1)#1PPPOE 프로파일 PPPOE_PROF(토토 사이트-if-ch 1)#출구13베이스 2 ... 192.168.2.0/24#pppoe 프로필 pppoe_prof17Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드계정 abc012@****** .ne.jp xxxyyyzzz17Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드출구13베이스 2 ... 192.168.2.0/24인터페이스 터널 113베이스 2 ... 192.168.2.0/24설명 플레트17베이스 1 ... 192.168.3.0/24IP 주소 192.0.2.1 255.255.255.255.25513베이스 2 ... 192.168.2.0/24IP NAT 소스 목록 1 인터페이스13베이스 2 ... 192.168.2.0/24터널 모드 PPPOE 프로파일 PPPOE_PROF13베이스 2 ... 192.168.2.0/24PPPOE 인터페이스 GigaEthernet 2/1 *113베이스 2 ... 192.168.2.0/24출구13베이스 2 ... 192.168.2.0/24인터페이스 Gigaethernet 2/1 *1(토토 사이트-if-ge 2/1)#5센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신(토토 사이트-if-ge 2/1)#5베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용.(토토 사이트-if-ge 2/1)#5Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드(토토 사이트-if-ge 2/1)#출구13베이스 2 ... 192.168.2.0/24인터페이스 Gigaethernet 1/1 *120센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신vlan-id 120센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신브리지 그룹 120센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신Channel-Group 120센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신출구13베이스 2 ... 192.168.2.0/24crypto ipsec 셀렉터 선택기21센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신2중앙 측면에서 네트워크 주소의 복제를 피하십시오.(토토 사이트-ip-selector)#21베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용.21각 위치는 NAT를 사용하여 IPSEC 네트워크 주소를 명백히 변경합니다.출구13베이스 2 ... 192.168.2.0/2422Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드13베이스 2 ... 192.168.2.0/24crypto isakmp log sa14베이스 1 ... 192.168.3.0/24암호화 ISAKMP 로그 세션14베이스 1 ... 192.168.3.0/24crypto isakmp log 협상-결점13베이스 2 ... 192.168.2.0/24로깅 버퍼 레벨 정보13베이스 2 ... 192.168.2.0/24암호화 ISAKMP 정책 P1-Policy13베이스 2 ... 192.168.2.0/24인증 사전 공유13베이스 2 ... 192.168.2.0/24암호화 AES13베이스 2 ... 192.168.2.0/24암호화-키즈 AES 256 256 25613베이스 2 ... 192.168.2.0/24그룹 1413베이스 2 ... 192.168.2.0/2424Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드13베이스 2 ... 192.168.2.0/24Hash Sha-25613베이스 2 ... 192.168.2.0/24시작 모드 공격13베이스 2 ... 192.168.2.0/24출구13베이스 2 ... 192.168.2.0/24Crypto ISAKMP 프로파일 Prof000113베이스 2 ... 192.168.2.0/24로컬 아 드레스 192.0.2.113베이스 2 ... 192.168.2.0/24SET ISAKMP-Policy P1-Policy13베이스 2 ... 192.168.2.0/2425센터와토토 사이트 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여토토 사이트 간 IP 주소가 겹치는 환경에서의 통신13베이스 2 ... 192.168.2.0/24일치 신원 사용자 ID-KITEN113베이스 2 ... 192.168.2.0/24자기 식별 사용자 FQDN 센터13베이스 2 ... 192.168.2.0/2426Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드13베이스 2 ... 192.168.2.0/24Local-Key Secret-VPN13베이스 2 ... 192.168.2.0/24출구13베이스 2 ... 192.168.2.0/24Crypto ISAKMP 프로파일 Prof000213베이스 2 ... 192.168.2.0/24로컬 아 드레스 192.0.2.113베이스 2 ... 192.168.2.0/24SET ISAKMP-Policy P1-Policy13베이스 2 ... 192.168.2.0/2425센터와토토 사이트 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여토토 사이트 간 IP 주소가 겹치는 환경에서의 통신13베이스 2 ... 192.168.2.0/24일치 신원 사용자 ID-KITEN213베이스 2 ... 192.168.2.0/24자가 식별 사용자 FQDN 센터13베이스 2 ... 192.168.2.0/2426Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드13베이스 2 ... 192.168.2.0/24Local-Key Secret-VPN13베이스 2 ... 192.168.2.0/24출구13베이스 2 ... 192.168.2.0/24crypto ipsec 정책 p2-policy13베이스 2 ... 192.168.2.0/2428베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용.13베이스 2 ... 192.168.2.0/24보안 관련 생애 초 2880013베이스 2 ... 192.168.2.0/24SET SECURITY-ASSOCIATION TRANSHIP-KEYSIZE AES 256 256 256 25613베이스 2 ... 192.168.2.0/24SET SECURITY-ASSOCIATION TRANSTER ESP-AES ESP-SHA256-HMAC13베이스 2 ... 192.168.2.0/242암호화지도 kyoten ipsec-isakmp13베이스 2 ... 192.168.2.0/2429베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용.13베이스 2 ... 192.168.2.0/24*3)라고 가정 해 봅시다.IP 조각 SET POST13베이스 2 ... 192.168.2.0/24출구13베이스 2 ... 192.168.2.0/24암호화 맵 kyoten1 ipsec-isakmp(토토 사이트-crypto-map)#일치 주소 선택기(토토 사이트-crypto-map)#SET ISAKMP-Profile Prof0001(토토 사이트-crypto-map)#출구13베이스 2 ... 192.168.2.0/243BASE 2 ... 커뮤니케이션이 192.168.2.100으로 192.168.1.100으로 전달되었습니다(토토 사이트-crypto-map)#일치 주소 선택기(토토 사이트-crypto-map)#31베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용.(토토 사이트-crypto-map)#출구13베이스 2 ... 192.168.2.0/24인터페이스 터널 2(토토 사이트-if-tun 2)#터널 모드 ipsec 맵 kyoten1(토토 사이트-if-tun 2)#출구13베이스 2 ... 192.168.2.0/24인터페이스 터널 332각 위치는 NAT를 사용하여 IPSEC 네트워크 주소를 명백히 변경합니다.터널 모드 ipsec 맵 kyoten232각 위치는 NAT를 사용하여 IPSEC 네트워크 주소를 명백히 변경합니다.출구13베이스 2 ... 192.168.2.0/24Access-List 111 IP 거부14베이스 1 ... 192.168.3.0/24Access-List 121 SPI IP 모든13베이스 2 ... 192.168.2.0/24인터페이스 터널 117베이스 1 ... 192.168.3.0/24IP 액세스 그룹 111 in17베이스 1 ... 192.168.3.0/24IP 액세스 그룹 121 Out17베이스 1 ... 192.168.3.0/24출구13베이스 2 ... 192.168.2.0/24Access-List 100 허가 UDP eq 500 eq 50014베이스 1 ... 192.168.3.0/24Access-List 100 허가 5013베이스 2 ... 192.168.2.0/24인터페이스 터널 117베이스 1 ... 192.168.3.0/24IP 액세스 그룹 100 in17베이스 1 ... 192.168.3.0/24출구13베이스 2 ... 192.168.2.0/2435센터와토토 사이트 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여토토 사이트 간 IP 주소가 겹치는 환경에서의 통신13베이스 2 ... 192.168.2.0/24새로 고침새로 고침 OK? [Y/N] : 예*2).저장 [filename]저장 확인? [Y/N] : 예
명령 구성의 예
(라인의 주석입니다. 실제로 입력 할 필요가 없습니다.)
이 설정을 사용하려면 사용하십시오
베이스 1
! ! ! 特権ユーザモードに移行します。 ! > 활성화비밀번호 :37Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드 *4← 비밀번호를 입력하십시오. (실제로 표시되지 않습니다)터미널 구성14베이스 1 ... 192.168.3.0/24IP 경로 0.0.0.0.0 0.0.0.0 터널 113베이스 2 ... 192.168.2.0/2437각 위치는 NAT를 사용하여 IPSEC 네트워크 주소를 명백히 변경합니다.13베이스 2 ... 192.168.2.0/24IP NAT 목록 1 192.168.1.0 0.0.0.25513베이스 2 ... 192.168.2.0/24인터페이스 포트 채널 1(토토 사이트-if-ch 1)#IP 주소 192.168.1.1 255.255.255.0(토토 사이트-if-ch 1)#1PPPOE 프로파일 PPPOE_PROF(토토 사이트-if-ch 1)#출구13베이스 2 ... 192.168.2.0/24PPPOE 프로파일 PPPOE_PROF17Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드계정 abc345@****** .ne.jp zzzyyyxxx17Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드출구13베이스 2 ... 192.168.2.0/24인터페이스 터널 113베이스 2 ... 192.168.2.0/24설명 플레트13베이스 2 ... 192.168.2.0/24IP NAT 소스 목록 1 인터페이스13베이스 2 ... 192.168.2.0/24터널 모드 PPPOE 프로파일 PPPOE_PROF13베이스 2 ... 192.168.2.0/24PPPOE 인터페이스 GigaEthernet 2/1 *113베이스 2 ... 192.168.2.0/24출구13베이스 2 ... 192.168.2.0/24인터페이스 Gigaethernet 2/1 *1(토토 사이트-if-ge 2/1)#5센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신(토토 사이트-if-ge 2/1)#5베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용.(토토 사이트-if-ge 2/1)#5Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드(토토 사이트-if-ge 2/1)#출구13베이스 2 ... 192.168.2.0/24인터페이스 Gigaethernet 1/1 *120센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신vlan-id 120센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신7각 위치는 NAT를 사용하여 IPSEC 네트워크 주소를 명백히 변경합니다.20센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신Channel-Group 120센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신출구13베이스 2 ... 192.168.2.0/24crypto ipsec 셀렉터 셀렉터(토토 사이트-ip-selector)#4IPSEC Phase1 정책(토토 사이트-ip-selector)#21베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용.21각 위치는 NAT를 사용하여 IPSEC 네트워크 주소를 명백히 변경합니다.출구13베이스 2 ... 192.168.2.0/2422Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드13베이스 2 ... 192.168.2.0/24crypto isakmp log sa14베이스 1 ... 192.168.3.0/24Crypto ISAKMP 로그 세션14베이스 1 ... 192.168.3.0/24crypto isakmp log 협상-결점13베이스 2 ... 192.168.2.0/24로깅 버퍼 레벨 정보13베이스 2 ... 192.168.2.0/24암호화 ISAKMP 정책 P1-Policy13베이스 2 ... 192.168.2.0/24인증 사전 공유13베이스 2 ... 192.168.2.0/24암호화 AES13베이스 2 ... 192.168.2.0/24암호화-키즈 AES 256 256 25613베이스 2 ... 192.168.2.0/24그룹 1413베이스 2 ... 192.168.2.0/2424Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드13베이스 2 ... 192.168.2.0/24Hash Sha-25613베이스 2 ... 192.168.2.0/24시작 모드 공격13베이스 2 ... 192.168.2.0/24출구13베이스 2 ... 192.168.2.0/24Crypto ISAKMP 프로파일 Prof000113베이스 2 ... 192.168.2.0/24SET ISAKMP-Policy P1-Policy13베이스 2 ... 192.168.2.0/2425센터와토토 사이트 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여토토 사이트 간 IP 주소가 겹치는 환경에서의 통신13베이스 2 ... 192.168.2.0/24피어 세트 192.0.2.113베이스 2 ... 192.168.2.0/24일치 신원 사용자 센터13베이스 2 ... 192.168.2.0/24자가 식별 사용자 -fqdn id-kyoten113베이스 2 ... 192.168.2.0/2426Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드13베이스 2 ... 192.168.2.0/24Local-Key Secret-VPN13베이스 2 ... 192.168.2.0/24출구13베이스 2 ... 192.168.2.0/24Crypto IPsec 정책 P2-Policy13베이스 2 ... 192.168.2.0/24PFS 그룹 설정 1413베이스 2 ... 192.168.2.0/24보안 관련 설정 항상 설정13베이스 2 ... 192.168.2.0/24보안 관련 생애 초 2880013베이스 2 ... 192.168.2.0/24SET SECURITY-ASSOCIATION TRANSHIP-KEYSIZE AES 256 256 25613베이스 2 ... 192.168.2.0/24SET SECIRPLE-ASSOCIATION 변환 ESP-AES ESP-SHA256-HMAC13베이스 2 ... 192.168.2.0/242암호화지도 kyoten ipsec-isakmp13베이스 2 ... 192.168.2.0/24*5).50Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드13베이스 2 ... 192.168.2.0/2429베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용.13베이스 2 ... 192.168.2.0/24*3)라고 가정 해 봅시다.IP 조각 SET POST13베이스 2 ... 192.168.2.0/24출구13베이스 2 ... 192.168.2.0/24암호화 맵 센터 ipsec-isakmp(토토 사이트-crypto-map)#일치 주소 선택기(토토 사이트-crypto-map)#SET ISAKMP-Profile Prof0001(토토 사이트-crypto-map)#출구13베이스 2 ... 192.168.2.0/24인터페이스 터널 2(토토 사이트-if-tun 2)#터널 모드 IPSEC 맵 센터13베이스 2 ... 192.168.2.0/24Access List 1에 표시된 소스 네트워크의 VPN-NAT 변환 1 지정된 풀에 표시된 네트워크13베이스 2 ... 192.168.2.0/24IP NAT 내부 소스 목록 1 풀 113베이스 2 ... 192.168.2.0/24VPN-NAT 정적 설정 중앙 측면에서베이스 1 측면 (커뮤니케이션이 192.168.3.100 ~ 192.168.1.100 (Server))13베이스 2 ... 192.168.2.0/24IP NAT 목적지 내부 정적 정적 192.168.3.100 192.168.1.10013베이스 2 ... 192.168.2.0/24베이스 1에서 중앙 측면의 VPN-NAT 정적 설정 (192.168.1.100의 소스 주소와의 통신 192.168.3.100)13베이스 2 ... 192.168.2.0/24IP NAT 내부 소스 정적 192.168.1.100 192.168.3.10013베이스 2 ... 192.168.2.0/24출구13베이스 2 ... 192.168.2.0/24VPN-NAT를 사용하여 변환 된 주소를 등록하십시오.13베이스 2 ... 192.168.2.0/24IP Nat Pool 1 192.168.3.1 192.168.3.25413베이스 2 ... 192.168.2.0/24Access-List 111 IP 거부14베이스 1 ... 192.168.3.0/24Access-List 121 SPI IP 모든13베이스 2 ... 192.168.2.0/24인터페이스 터널 117베이스 1 ... 192.168.3.0/24IP 액세스 그룹 111 in17베이스 1 ... 192.168.3.0/24IP 액세스 그룹 121 Out17베이스 1 ... 192.168.3.0/24출구13베이스 2 ... 192.168.2.0/24Access-List 100 허가 UDP eq 500 eq 50014베이스 1 ... 192.168.3.0/24Access-List 100 허가 5013베이스 2 ... 192.168.2.0/24인터페이스 터널 117베이스 1 ... 192.168.3.0/24IP 액세스 그룹 100 in17베이스 1 ... 192.168.3.0/24출구13베이스 2 ... 192.168.2.0/2435센터와토토 사이트 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여토토 사이트 간 IP 주소가 겹치는 환경에서의 통신13베이스 2 ... 192.168.2.0/24새로 고침새로 고침 OK? [Y/N] : 예*2).저장 [filename]저장 확인? [Y/N] : 예
명령 구성의 예
(The Line In! In The Comment입니다. 실제로 입력 할 필요가 없습니다.)
이 설정을 사용하려면 사용하십시오
기지 2
! ! ! 特権ユーザモードに移行します。 ! > 활성화비밀번호 :슈퍼 *4← 비밀번호를 입력하십시오. (실제로 표시되지 않습니다)터미널 구성14베이스 1 ... 192.168.3.0/24IP 경로 0.0.0.0.0 0.0.0.0 터널 113베이스 2 ... 192.168.2.0/24IP Route 192.168.0.0 255.255.0.0 터널 213베이스 2 ... 192.168.2.0/24IP NAT 목록 1 192.168.1.0 0.0.0.25513베이스 2 ... 192.168.2.0/24인터페이스 포트 채널 1(토토 사이트-if-ch 1)#IP 주소 192.168.1.1 255.255.255.0(토토 사이트-if-ch 1)#1PPPOE 프로파일 PPPOE_PROF(토토 사이트-if-ch 1)#출구13베이스 2 ... 192.168.2.0/24PPPOE 프로파일 PPPOE_PROF17Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드계정 abc678@******.ne.jp zzzyyyxxx17Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드출구13베이스 2 ... 192.168.2.0/24인터페이스 터널 113베이스 2 ... 192.168.2.0/24설명 플레트13베이스 2 ... 192.168.2.0/24IP NAT 소스 목록 1 인터페이스13베이스 2 ... 192.168.2.0/24터널 모드 PPPOE 프로파일 PPPOE_PROF13베이스 2 ... 192.168.2.0/24PPPOE 인터페이스 GigaEthernet 2/1 *113베이스 2 ... 192.168.2.0/24출구13베이스 2 ... 192.168.2.0/24인터페이스 Gigaethernet 2/1 *1(토토 사이트-if-ge 2/1)#5센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신(토토 사이트-if-ge 2/1)#5베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용.(토토 사이트-if-ge 2/1)#5Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드(토토 사이트-if-ge 2/1)#출구13베이스 2 ... 192.168.2.0/24인터페이스 Gigaethernet 1/1 *120센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신vlan-id 120센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신7각 위치는 NAT를 사용하여 IPSEC 네트워크 주소를 명백히 변경합니다.20센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신Channel-Group 120센터와베이스 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여베이스 간 IP 주소가 겹치는 환경에서의 통신출구13베이스 2 ... 192.168.2.0/24crypto ipsec 셀렉터 선택기(토토 사이트-ip-selector)#4IPSEC Phase1 정책(토토 사이트-ip-selector)#21베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용.(토토 사이트-ip-selector)#출구13베이스 2 ... 192.168.2.0/2422Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드13베이스 2 ... 192.168.2.0/24crypto isakmp log sa14베이스 1 ... 192.168.3.0/24Crypto ISAKMP 로그 세션14베이스 1 ... 192.168.3.0/24crypto isakmp log 협상-결점13베이스 2 ... 192.168.2.0/24로깅 버퍼 레벨 정보13베이스 2 ... 192.168.2.0/24암호화 ISAKMP 정책 P1-Policy13베이스 2 ... 192.168.2.0/24인증 사전 공유13베이스 2 ... 192.168.2.0/24암호화 AES13베이스 2 ... 192.168.2.0/24암호화 키즈 AES 256 256 25613베이스 2 ... 192.168.2.0/24그룹 1413베이스 2 ... 192.168.2.0/2424Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드13베이스 2 ... 192.168.2.0/24Hash Sha-25613베이스 2 ... 192.168.2.0/24시작 모드 공격13베이스 2 ... 192.168.2.0/24출구13베이스 2 ... 192.168.2.0/24Crypto ISAKMP 프로파일 Prof000113베이스 2 ... 192.168.2.0/24SET ISAKMP-Policy P1-Policy13베이스 2 ... 192.168.2.0/2425센터와토토 사이트 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여토토 사이트 간 IP 주소가 겹치는 환경에서의 통신13베이스 2 ... 192.168.2.0/24피어 세트 192.0.2.113베이스 2 ... 192.168.2.0/24일치 신원 사용자 센터13베이스 2 ... 192.168.2.0/24자가 식별 사용자 -fqdn id-kyoten213베이스 2 ... 192.168.2.0/2426Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드13베이스 2 ... 192.168.2.0/24Local-Key Secret-VPN13베이스 2 ... 192.168.2.0/24출구13베이스 2 ... 192.168.2.0/24crypto ipsec 정책 p2-policy13베이스 2 ... 192.168.2.0/2428베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용.13베이스 2 ... 192.168.2.0/24보안 관련 설정 항상 설정13베이스 2 ... 192.168.2.0/24보안 관련 생명 시간 설정 2880013베이스 2 ... 192.168.2.0/24SET SECURITY-ASSOCIATION TRANSHIP-KEYSIZE AES 256 256 25613베이스 2 ... 192.168.2.0/24SET SECURITY-ASSOCIATION TRANSTER ESP-AES ESP-SHA256-HMAC13베이스 2 ... 192.168.2.0/242암호화지도 kyoten ipsec-isakmp13베이스 2 ... 192.168.2.0/24*5).50Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드13베이스 2 ... 192.168.2.0/2429베이스 1과 2의 네트워크 주소가 오버레이 된 LAN간에 ipsec을 사용하여 VPN을 구축 할 때 VPN-NAT 사용.13베이스 2 ... 192.168.2.0/24*3)라고 가정 해 봅시다.IP 조각 SET POST13베이스 2 ... 192.168.2.0/24출구13베이스 2 ... 192.168.2.0/24암호화 맵 센터 ipsec-isakmp(토토 사이트-crypto-map)#일치 주소 선택기(토토 사이트-crypto-map)#SET ISAKMP-Profile Prof0001(토토 사이트-crypto-map)#출구13베이스 2 ... 192.168.2.0/24인터페이스 터널 2(토토 사이트-if-tun 2)#터널 모드 IPSEC 맵 센터13베이스 2 ... 192.168.2.0/24Access List 1에 표시된 소스 네트워크의 VPN-NAT 변환 1 지정된 풀에 표시된 네트워크13베이스 2 ... 192.168.2.0/24 IP NAT 소스 목록 1 풀 113베이스 2 ... 192.168.2.0/24베이스 2쪽으로 중앙 측면의 VPN-NAT 정적 설정 (192.168.2.100 ~ 192.168.1.100 (Server))13베이스 2 ... 192.168.2.0/24 IP NAT 내부 대상 정적 정적 192.168.2.100 192.168.1.10013베이스 2 ... 192.168.2.0/24베이스 1에서 중앙 측면의 VPN-NAT 정적 설정 (소스 주소와 통신 192.168.1.100 (서버)이 192.168.2.100으로 변환됩니다13베이스 2 ... 192.168.2.0/24 IP NAT 내부 소스 정적 192.168.1.100 192.168.2.10013베이스 2 ... 192.168.2.0/24출구13베이스 2 ... 192.168.2.0/24VPN-NAT를 사용하여 변환 된 주소를 등록하십시오.13베이스 2 ... 192.168.2.0/24IP NAT 풀 1 192.168.2.1 192.168.2.25413베이스 2 ... 192.168.2.0/24Access-List 111 IP 거부14베이스 1 ... 192.168.3.0/24Access-List 121 SPI IP 모든13베이스 2 ... 192.168.2.0/24인터페이스 터널 117베이스 1 ... 192.168.3.0/24IP 액세스 그룹 111 in17베이스 1 ... 192.168.3.0/24IP 액세스 그룹 121 Out17베이스 1 ... 192.168.3.0/24출구13베이스 2 ... 192.168.2.0/24Access-List 100 허가 UDP eq 500 eq 50014베이스 1 ... 192.168.3.0/24Access-List 100 허가 5013베이스 2 ... 192.168.2.0/24인터페이스 터널 117베이스 1 ... 192.168.3.0/24IP 액세스 그룹 100 in17베이스 1 ... 192.168.3.0/24출구13베이스 2 ... 192.168.2.0/2435센터와토토 사이트 간의 VPN을 연결합니다 (IKEV1, VPN-NAT를 사용하여토토 사이트 간 IP 주소가 겹치는 환경에서의 통신13베이스 2 ... 192.168.2.0/247Channel-Group 1새로 고침 OK? [Y/N] : 예*2).저장 [filename]저장 확인? [Y/N] : 예
모든 권리 보유, 저작권 (c) Furukawa Electric Co., Ltd. 2019