ix2015でIPSecを対向にトンネルモードで張るときの基本コンフィグ

ix2015でIPSecを対向にトンネルモードで張るときの基本コンフィグ。
トンネルが増えてくると名前付けの規則、ルーチン化されたコンフィグの流しが絶対必要なのでその例として。
この例ではスター型のトンネルを想定。フルメッシュとか所々でよそよそがつなぐ時にはそれぞれのセグメントの名称を二つ含める必要がある。(第三オクテットの小さい順に名前を並べるとか)

事前条件は下記の通り。該当する名称を置換して利用。

今回の状況は固定IPの待ち受け(?)側でありIPアドレスはxxx.xxx.xxx.xxx、動的IPのコネクションを張りに行く側を想定。
それぞれのIXルータはL3で橋渡しをしてやり、それをOSPFに乗せて情報交換する。
待ち受け側のネットワーク名称はsegment1、張りに行く側のネットワーク名称はsegment2、
segment1は192.168.11.0/24、segment2は192.168.22.0/24とする。
segment1のIXルータは192.168.11.1/24、segment2のIXルータは192.168.22.2/24とする。
待ち受け側のトンネルインタフェースはTunnel0.0、張りに行く側のトンネルインターフェースもTunnel0.0
カギ交換はIKEの事前共有鍵。IKEのセションIDはsegment2-vpnカギ自体は文字列”secret”。

それぞれのIXルータのFastEthernet1/0.0がLAN側への出入り口。
OSPFのrouter-idはLAN側でのIXルータに割り振られたIPアドレスとする。

 ike proposal ike-prop1 encryption 3des hash sha lifetime 3600

ike policy ike-segment2 peer any key secret mode aggressive ike-prop1
 ike commit-bit ike-segment2
 ike keepalive ike-segment2 10 3
 ike remote-id ike-segment2 keyid segment2-vpn

ipsec autokey-proposal ipsec-prop1 esp-3des esp-sha lifetime time 3600

ipsec dynamic-map ipsec-segment2 sec-list ipsec-prop1 ike ike-segment2
 ipsec commit-bit ipsec-segment2
 ipsec local-id ipsec-segment2 192.168.11.0/24
 ipsec remote-id ipsec-segment 192.168.22.0/24

ip router ospf 1
 router-id 192.168.11.1
 area 0
 network Tunnel0.0 area 0

watch-group host 10
 event 22 ip unreach-host 192.168.22.1 Tunnel0.0 source FastEthernet1/0.0

interface Tunnel0.0
 description segment1-segment2
 tunnel mode ipsec
 ip unnumbered FastEthernet1/0.0
 ip tcp adjust-mss auto
 ipsec policy tunnel ipsec-segment2 out
 no shutdown
 

張りに行く側segment2

 ike proposal ike-prop1 encryption 3des hash sha lifetime 3600

 

ike policy ike-segment1 peer xxx.xxx.xxx.xxx key secret mode aggressive ike-prop1
 ike keepalive ike-segment1 30 6
 ike local-id ike-segment1 keyid segment2-vpn

ipsec autokey-proposal ipsec-prop1 esp-3des esp-sha lifetime time 3600

ipsec autokey-map ipsec-segment1 sec-list peer xxx.xxx.xxx.xxx ipsec-prop1
 ipsec local-id ipsec-segment1 192.168.22.0/24
 ipsec remote-id ipsec-segment1 192.168.11.0/24

ip router ospf 1
 router-id 192.168.22.2
 passive-interface FastEthernet1/0.0
 area 0
 network Tunnel0.0 area 0
 network FastEthernet1/0.0 area 0

interface Tunnel0.0
 description segment1-segment2
 tunnel mode ipsec
 ip unnumbered FastEthernet1/0.0
 ip mtu 1382
 ip tcp adjust-mss auto
 ipsec policy tunnel ipsec-segment1 out
 no shutdown
 

コメントを残す