固定アドレス間のポリシーベースIPsec(メッシュ型)
IPアドレスの割り当てが固定のネットワークにおける、ポリシーベースIPsecの設定例。
このタスクについて
VPNを構成する各拠点のIPv4アドレスが固定割り当てである場合の設定例です。
ここでは、3つの拠点でメッシュ型のVPNを構成するコンフィグを紹介します。
手順
- 設定情報の用意
項目 値 備考 拠点AのIPアドレス 198.51.100.1WAN側インタフェースのグローバルIPアドレス 拠点BのIPアドレス 192.0.2.2WAN側インタフェースのグローバルIPアドレス 拠点CのIPアドレス 203.0.113.3WAN側インタフェースのグローバルIPアドレス 拠点A-Bの事前共有鍵 A-B_xYYrRk5n8PhR-ra*IPsec/IKEの折衝を行う対向と共有する文字列 - 全拠点で共通の鍵を使用することもできます。
拠点A-Cの事前共有鍵 A-C_0nJX/C9?KF*Bo_8&拠点B-Cの事前共有鍵 B-C_F-+P^s9P!SD]s5cd拠点AのLAN側ネットワークアドレス 192.168.1.0/24,172.16.0.0/16拠点BのLAN側ネットワークアドレス 192.168.2.0/24拠点CのLAN側ネットワークアドレス 192.168.3.0/24IKEの鍵交換モード main各拠点のIPアドレスが固定のためメインモードを使用する - VPN拠点Aの設定例A-B間の設定
ike.peer.0.address : 192.0.2.2 ike.peer.0.exchange-mode : main ike.peer.0.preshared-key : A-B_xYYrRk5n8PhR-ra* ipsec.security-association.sa0.local-address : 198.51.100.1 ipsec.security-association.sa0.remote-address : 192.0.2.2 ipsec.security-policy.0.source.address : 192.168.1.0/24 ipsec.security-policy.0.destination.address : 192.168.2.0/24 ipsec.security-policy.0.security-association : sa0 ipsec.security-policy.1.source.address : 172.16.0.0/16 ipsec.security-policy.1.destination.address : 192.168.2.0/24 ipsec.security-policy.1.security-association : sa0A-C間の設定ike.peer.1.address : 203.0.113.3 ike.peer.1.exchange-mode : main ike.peer.1.preshared-key : A-C_0nJX/C9?KF*Bo_8& ipsec.security-association.sa1.local-address : 198.51.100.1 ipsec.security-association.sa1.remote-address : 203.0.113.3 ipsec.security-policy.2.source.address : 192.168.1.0/24 ipsec.security-policy.2.destination.address : 192.168.3.0/24 ipsec.security-policy.2.security-association : sa1 ipsec.security-policy.3.source.address : 172.16.0.0/16 ipsec.security-policy.3.destination.address : 192.168.3.0/24 ipsec.security-policy.3.security-association : sa1- A-B間:sa0、A-C間:sa1 としています
- 例として拠点Aは2つの集約できないネットワークを持つため、セキュリティポリシーを2つ設定します。
- セキュリティポリシーにマッチした通信は、指定したSA(sa0,sa1)を使用して送信されます。
- VPN拠点Bの設定例B-A間の設定
ike.peer.0.address : 198.51.100.1 ike.peer.0.exchange-mode : main ike.peer.0.preshared-key : A-B_xYYrRk5n8PhR-ra* ipsec.security-association.sa0.local-address : 192.0.2.2 ipsec.security-association.sa0.remote-address : 198.51.100.1 ipsec.security-policy.0.source.address : 192.168.2.0/24 ipsec.security-policy.0.destination.address : 192.168.1.0/24 ipsec.security-policy.0.security-association : sa0 ipsec.security-policy.1.source.address : 192.168.2.0/24 ipsec.security-policy.1.destination.address : 172.16.0.0/16 ipsec.security-policy.1.security-association : sa0B-C間の設定ike.peer.1.address : 203.0.113.3 ike.peer.1.exchange-mode : main ike.peer.1.preshared-key : B-C_F-+P^s9P!SD]s5cd ipsec.security-association.sa1.local-address : 192.0.2.2 ipsec.security-association.sa1.remote-address : 203.0.113.3 ipsec.security-policy.2.source.address : 192.168.2.0/24 ipsec.security-policy.2.destination.address : 192.168.3.0/24 ipsec.security-policy.2.security-association : sa1- B-A間:sa0、B-C間:sa1 としています
- VPN拠点Cの設定例C-A間の設定
ike.peer.0.address : 198.51.100.1 ike.peer.0.exchange-mode : main ike.peer.0.preshared-key : A-C_0nJX/C9?KF*Bo_8& ipsec.security-association.sa0.local-address : 203.0.113.3 ipsec.security-association.sa0.remote-address : 198.51.100.1 ipsec.security-policy.0.source.address : 192.168.3.0/24 ipsec.security-policy.0.destination.address : 192.168.1.0/24 ipsec.security-policy.0.security-association : sa0 ipsec.security-policy.1.source.address : 192.168.3.0/24 ipsec.security-policy.1.destination.address : 172.16.0.0/16 ipsec.security-policy.1.security-association : sa0C-B間の設定ike.peer.1.address : 192.0.2.2 ike.peer.1.exchange-mode : main ike.peer.1.preshared-key : B-C_F-+P^s9P!SD]s5cd ipsec.security-association.sa1.local-address : 203.0.113.3 ipsec.security-association.sa1.remote-address : 192.0.2.2 ipsec.security-policy.2.source.address : 192.168.3.0/24 ipsec.security-policy.2.destination.address : 192.168.2.0/24 ipsec.security-policy.2.security-association : sa1- C-A間:sa0、C-B間:sa1 としています