固定アドレス間のポリシーベースIPsec(スター型)
IPアドレスの割り当てが固定のネットワークにおける、ポリシーベースIPsecの設定例。
このタスクについて
VPNを構成する各拠点のIPv4アドレスが固定割り当てである場合の設定例です。
ここでは、1つのセンター拠点と2つのエッジ拠点でスター型のVPNを構成するコンフィグを紹介します。
手順
- 設定情報の用意
項目 値 備考 センター拠点(A)のIPアドレス 198.51.100.1WAN側インタフェースのグローバルIPアドレス エッジ拠点(B)のIPアドレス 192.0.2.2WAN側インタフェースのグローバルIPアドレス エッジ拠点(C)のIPアドレス 203.0.113.3WAN側インタフェースのグローバルIPアドレス 拠点A-Bの事前共有鍵 A-B_xYYrRk5n8PhR-ra*IPsec/IKEの折衝を行う対向と共有する文字列 - 全拠点で共通の鍵を使用することもできます。
拠点A-Cの事前共有鍵 A-C_0nJX/C9?KF*Bo_8&拠点B-Cの事前共有鍵 B-C_F-+P^s9P!SD]s5cdVPN全体のネットワークアドレス 192.168.0.0/16センター拠点(A)のLAN側ネットワークアドレス 192.168.1.0/24エッジ拠点(B)のLAN側ネットワークアドレス 192.168.2.0/24エッジ拠点(C)のLAN側ネットワークアドレス 192.168.3.0/24IKEの鍵交換モード main各拠点のIPアドレスが固定のためメインモードを使用する - センター拠点(A)の設定例A-B間の設定
ike.peer.0.address : 192.0.2.2 ike.peer.0.exchange-mode : main ike.peer.0.preshared-key : A-B_xYYrRk5n8PhR-ra* ipsec.security-association.sa0.local-address : 198.51.100.1 ipsec.security-association.sa0.remote-address : 192.0.2.2 ipsec.security-policy.0.source.address : 192.168.0.0/16 ipsec.security-policy.0.destination.address : 192.168.2.0/24 ipsec.security-policy.0.security-association : sa0A-C間の設定ike.peer.1.address : 203.0.113.3 ike.peer.1.exchange-mode : main ike.peer.1.preshared-key : A-C_0nJX/C9?KF*Bo_8& ipsec.security-association.sa1.local-address : 198.51.100.1 ipsec.security-association.sa1.remote-address : 203.0.113.3 ipsec.security-policy.2.source.address : 192.168.0.0/16 ipsec.security-policy.2.destination.address : 192.168.3.0/24 ipsec.security-policy.2.security-association : sa1- センター拠点はエッジ拠点間の通信を中継するため、各エッジ拠点向けのセキュリティポリシーの source.address にVPN全体のネットワークアドレスを指定します。
- エッジ拠点(B)の設定例B-A間の設定
ike.peer.0.address : 198.51.100.1 ike.peer.0.exchange-mode : main ike.peer.0.preshared-key : A-B_xYYrRk5n8PhR-ra* ipsec.security-association.sa0.local-address : 192.0.2.2 ipsec.security-association.sa0.remote-address : 198.51.100.1 ipsec.security-policy.10.source.address : 192.168.2.0/24 ipsec.security-policy.10.destination.address : 192.168.0.0/16 ipsec.security-policy.10.security-association : sa0自拠点内の通信をパス(除外)する設定ipsec.security-policy.0.source.address : 192.168.2.1/32 ipsec.security-policy.0.destination.address : 192.168.2.0/24 ipsec.security-policy.0.security-association : pass- エッジ拠点は他のエッジ拠点へのパケットもセンター拠点へ送信するため、センター拠点向けのセキュリティポリシーの destination.address にVPN全体のネットワークアドレスを指定します。
- これに加えて、自拠点内の通信をセンター拠点へ送信しないためのセキュリティアソシエーションを設定します。
注:除外のためのポリシーには他より若いインデックス番号を指定する必要があります。
- これに加えて、自拠点内の通信をセンター拠点へ送信しないためのセキュリティアソシエーションを設定します。
- エッジ拠点は他のエッジ拠点へのパケットもセンター拠点へ送信するため、センター拠点向けのセキュリティポリシーの destination.address にVPN全体のネットワークアドレスを指定します。
- エッジ拠点(C)の設定例C-A間の設定
ike.peer.0.address : 198.51.100.1 ike.peer.0.exchange-mode : main ike.peer.0.preshared-key : A-C_0nJX/C9?KF*Bo_8& ipsec.security-association.sa0.local-address : 203.0.113.3 ipsec.security-association.sa0.remote-address : 198.51.100.1 ipsec.security-policy.10.source.address : 192.168.3.0/24 ipsec.security-policy.10.destination.address : 192.168.0.0/16 ipsec.security-policy.10.security-association : sa0自拠点内の通信をパス(除外)する設定ipsec.security-policy.0.source.address : 192.168.3.1/32 ipsec.security-policy.0.destination.address : 192.168.3.0/24 ipsec.security-policy.0.security-association : pass- エッジ拠点(B)と同様に、IPアドレスを読み替えて設定します。