最終更新日:2013年5月17日

<サイトに戻る> <資料室に戻る> <IPSecトップへ戻る>

PPPoE接続(片側固定IP)によるIPSec構築例

PPPoE接続で、片側固定/片側非固定のIPアドレス環境下でのVPN接続として、以下の図のような環境を想定します。 

構成図

この構成では、NATで守られたセキュリティゾーンへはセキュリティゾーン間で IPSecによる相互にアクセスが可能です。 また、インターネット回線を使った場合にはそれぞれのセキュリティゾーン内からはインターネットへのアクスもも可能です。東京側のみ固定IPとして、対向のルータのWAN側のIPアドレスはダイナミックに割りあてられるものとします。

設定例

設定例では次のようなパラメータ値で設定を実施します。 なお、以下のルータAについては説明を簡略化するためにアライドテレシス社の製品にて説明を行い、ルータBは各社のルータにて説明を行う事とします。


VPNルータ-A VPNルータ-B
WAN側アドレス 172.16.1.101/32 非固定(ダイナミック)
LAN側アドレス 192.168.10..254/24 192.168.20.254/24
PPPoE接続 ID site-a@domain.co.jp site-b@domain.co.jp
PPPoE接続 Password isp-pass-a isp-pass-b
フェーズ1 プロポーサル(IKE Proposal)
    ルータ認証方式 事前共通キー方式(Pre-Shared Key :PSK)
IKE交換モード aggressive(クイック)モード(片側のみ固定IP方式)
事前共通キー (文字列)ipsec_pass
PFSのDiffie-Hellmanグループ グループ2 (1024bit MODP)
IKEの暗号化方式 DES
IKEの認証用ハッシュアルゴリズム MD5
ISAKMP(フェーズ1)の生存期間 28800秒(8時間) 
IKEキープアライブ方式  DPD 
Local-IDタイプ  - FQDN 
Local-ID  - router-b 
フェーズ2 プロポーサル(IPSec Proposal)
   SAモード トンネル
セキュリティプロトコル ESP
暗号方式  DES 
認証用ハッシュアルゴリズム SHA1
トンネル対象IPアドレス 192.168.20.0/24 192.168.10.0/24
PFSの利用 off(False)
SA(フェーズ2)の生存期間 1800秒(30分)
MTU値  1454 (NTT Flets網を想定) 


■ルータ-A(アライドテレシス, )

以下の設定で、”option”部分は設定しなくても影響のない部分ですので、利用者にて設定するか判断してください。また、アライドの場合には、コンフィグファイルそのものだけでは、セキュリティモードなどが説明できないので、キーボード入力での設定手順として記載しています。

■アライドテレシス

AR415S
version 2.9.2-07
(DPD)

※ AR410S 以前のモデルは暗号化拡張ボードを別途、購入し ていないとIPSecでの通信はできません(設定はできるみたいです)
# *********************
# * AR415S での設定手順 *
# *********************
# セキュリティ管理者用アカウント作成
add user=admin pass=admin-pass priv=securityOfficer <--- admin/admin-passは任意の文字列

set user  securedelay=1800 <---コンソールの使用制限時間を1800秒(30分)に変更(option)

# IPSec Share Key create
create enco key=1 type=general value="ipsec_pass" <---シェアキーの作成

# セキュリティ管理者で、ログインしなおし。
login admin <---セキュリティ管理者として上記のパスワード"admin-pass"でログイン

# セキュリティモード中は、Telnetでのアクセスができないので、特定のアドレスからは出来るように設定(option)
add user rso ip=192.168.10.0 mask=255.255.255.0
enable user rso

# ASYN configuration
set asyn=asyn0 flow=char <--- コンソールのフロー制御(XON/XOFF)指定(option)

# PPP configuration
create ppp=0 over=eth0-any
set ppp=0 bap=off username="site-a@domain.co.jp" password="isp-pass-a"
set ppp=0 over=eth0-any lqr=off echo=10

# IP configuration
enable ip
enable ip remote
add ip int=vlan1 ip=192.168.10.254
add ip int=ppp0 ip=172.16.1.101 mask=255.255.255.255
set ip loc ip=192.168.10.254 (※2Option)
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0

# Firewall configuration
enable firewall
create firewall policy="net"
disable firewall policy="net" identproxy
enable firewall policy="net" icmp_f=unre,ping
enable firewall policy="net" fragment=icmp ※1
add firewall policy="net" int=vlan1 type=private
add firewall policy="net" int=ppp0 type=public
add firewall poli="net" nat=enhanced int=vlan1 gblin=ppp0
add firewall poli="net" ru=1 ac=allo int=ppp0 prot=udp po=500
add firewall poli="net" ru=99 ac=non int=ppp0 prot=ALL ip=192.168.10.1-192.168.10.254 enc=ips
add firewall poli="net" ru=2 ac=non int=vlan1 prot=ALL ip=192.168.10.1-192.168.10.254
set firewall poli="net" ru=2 rem=192.168.20.1-192.168.20.254

# NTP configuration (option)
enable ntp
set ntp utc=+09:00:00
add ntp peer=172.16.1.250

# IPSEC configuration (フェーズ2の設定)
# ポリシーの順は動作に影響があるので注意すること。
create ipsec sas=1 key=isakmp prot=esp enc=des hasha=sha
create ipsec bund=1 key=isakmp string="1" expirys=1800
create ipsec pol="vpn" int=ppp0 ac=permit pos=1
set ipsec pol="vpn" lp=500 rp=500 tra=UDP
create ipsec pol="vpn_1" int=ppp0 ac=ipsec key=isakmp bund=1 peer=DYNAMIC pos=2
set ipsec pol="vpn_1" lad=192.168.10.0 lma=255.255.255.0 rad=192.168.20.0 rma=255.255.255.0
create ipsec pol="inet" int=ppp0 ac=permit pos=3
enable ipsec

# ISAKMP configuration (フェーズ1の設定)
create isakmp pol="ike_rt" pe=any mod=aggressive has=md5 key=1
set isakmp pol="ike_rt" SRCINTERFACE=ppp0 ※2
set isakmp pol="ike_rt" expirys=28800 gro=2
set isakmp pol="ike_rt" sendn=true
set isakmp pol="ike_rt" dpdm=both dpdi=5 remotei="router-b"
enable isakmp

# セキュリティモードにしないままで保存した場合には、作成したシェアキーやISAKMP情報が登録され
# ないので要注意。
enable system security_mode <---セキュリティモードにする。
create config=ipsec_demo.cfg
set config=ipsec_demo.cfg

※1: VPNを使ったActive Directory(AD)環境において、遠隔地にあるWindows XP端末に対してグループポリシーの適用が正常に行えない事があります。 これは、Windows XPとADの間で最初にネットワークの回線速度の検査を行うために2048オクテッドのICMPを通信する事に起因します。 ARのデフォルト状態では1780オクテッド以上のパケットは場合によってはフラグメンテーション攻撃のパケットとして判断されて破棄されてしまいます。 これを回避するには、Windows XP側でレジストリを操作してこのチェック用パケットの長さを1500以下にするか、AR側でこのパケット破棄を実施しないようにすれば良いことになります。

※2 :"set ip loc"する事で、ルータから送り出されるパケットのソースアドレスを指定したアドレスで行う事が可能になります。 ただし、これを指定した場合にはフェーズ1の際の接続パケットのソースアドレスまで"set ip loc"で指定したものになってしまい、フェーズ1の接続に失敗してしまいます。 それを避けるには、フェーズ1接続の際に使うインターフェース(SRCINTERFACE=ppp0)を明示的に指定することで正常にフェーズ1の接続が行えるようになります。

アライドのルータのコンフィグを初期状態にするには、
# set config=none
# restart router
とする。

■ルータ-B(SonicWALL, NEC, NetScreen, YAMAHA, Fujitsu, 古川電工, Cisco )

■SonicWALL

TZ 170 SonicWALLをアグレッシブルモード利用すると、どうもうまく行かない様子です。   機会があったらもう少し詳しく調べてみたいと思います。


■NEC

IX2025
Version 8.3.13
(DPD)
configure
ip route default FastEthernet0/0.1
ip route 192.168.10.0/24 Tunnel0.0
ip access-list napt-list permit ip src 192.168.20.0/24 dest any
ip access-list sec-list permit ip src any dest any
ip ufs-cache enable
!
ike initial-contact always
!
ike proposal ike-prop1 encryption des hash md5 group 1024-bit lifetime 28800
!
ike policy ike-policy1 peer 172.16.1.101 key ipsec_pass mode aggressive ike-prop1
ike keepalive ike-policy1 60 10
ike local-id ike-policy1 fqdn router-b
!
!
ipsec autokey-proposal ipsec-prop1 esp-des esp-sha lifetime time 1800
!
ipsec rekey unconditional-rekeying
!
ipsec autokey-map ipsec-policy sec-list peer 172.16.1.101 ipsec-prop1
ipsec local-id ipsec-policy 192.168.20.0/24
ipsec remote-id ipsec-policy 192.168.10.0/24
!
watch-group watch-router-a 10
 event 10 ip unreach-host 192.168.10.254 Tunnel0.0 source FastEthernet1/0.0
 action 10 ipsec clear-sa Tunnel0.0
 probe-counter variance 5
 probe-counter restorer 3
 probe-timer variance 5
 probe-timer restorer 10
!
network-monitor watch-router-a enable
!
ppp profile my-profile
 authentication myname site-b@domain.co.jp
 authentication password site-b@domain.co.jp isp-pass-b
 exit

! IXシリーズでは、物理ポートに実際に機器が接続(LinkUP)されないと、インターフェースとして認識されません。 テストをする場合には、物理ポートにHUBやPCなどを接続してテストを実施してください。
interface FastEthernet1/0.0
 ip address 192.168.20.254/24
 no shutdown
 exit

! WAN側ポートには、FastEthernet0/0 を使用しています。
interface FastEthernet0/0.1
 encapsulation pppoe
 auto-connect
 ppp binding my-profile
 ip address ipcp
 ip mtu 1454
 ip tcp adjust-mss auto
 ip napt enable
 ip napt inside list napt-list
 ip napt static FastEthernet0/0.1 udp 500
 no shutdown
 exit
!
interface Tunnel0.0
 tunnel mode ipsec
 ip unnumbered FastEthernet0/0.1
 ipsec policy tunnel ipsec-policy out
 no shutdown
 exit

write mem

IXシリーズでコンフィグファイルを工場出荷時に戻す場合には、スーパーリセットを実施してください。 スーパーリセットの手順は取り扱い説明書の6章を参照してください。


■NetScreen

NetScreen-5GT
Vev.6.2.0r13.00
(DPD)

GUIでの設定手順
unset key protection enable
set clock dst-off
set clock timezone 9
set clock dst recurring start-weekday 2 0 3 02:00 end-weekday 1 0 11 02:00
set vrouter trust-vr sharable
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset auto-route-export
exit
set alg appleichat enable
unset alg appleichat re-assembly enable
set alg sctp enable
set auth-server "Local" id 0
set auth-server "Local" server-name "Local"
set auth default auth server "Local"
set auth radius accounting port 1646
set admin name "netscreen"
set admin password "nKVUM2rwMUzPcrkG5sWIHdCtqkAibn"
set admin auth web timeout 30
set admin auth server "Local"
set admin format dos
set zone "Trust" vrouter "trust-vr"
set zone "Untrust" vrouter "trust-vr"
set zone "VLAN" vrouter "trust-vr"
set zone id 100 "VPN-Zone"
set zone "Untrust-Tun" vrouter "trust-vr"
set zone "Trust" tcp-rst
set zone "Untrust" block
unset zone "Untrust" tcp-rst
set zone "MGT" block
unset zone "V1-Trust" tcp-rst
unset zone "V1-Untrust" tcp-rst
unset zone "VLAN" tcp-rst
unset zone "VPN-Zone" tcp-rst
set zone "Untrust" screen tear-drop
set zone "Untrust" screen syn-flood
set zone "Untrust" screen ping-death
set zone "Untrust" screen ip-filter-src
set zone "Untrust" screen land
set zone "V1-Untrust" screen tear-drop
set zone "V1-Untrust" screen syn-flood
set zone "V1-Untrust" screen ping-death
set zone "V1-Untrust" screen ip-filter-src
set zone "V1-Untrust" screen land
set interface "trust" zone "Trust"
set interface "untrust" zone "Untrust"
set interface "tunnel.1" zone "VPN-Zone"
unset interface vlan1 ip
set interface trust ip 192.168.20.254/24
set interface trust nat
set interface untrust ip 172.16.1.102/32
set interface untrust route
set interface tunnel.1 ip unnumbered interface untrust
set interface untrust mtu 1454
unset interface vlan1 bypass-others-ipsec
unset interface vlan1 bypass-non-ip
unset interface vlan1 bypass-ipv6-others-ipsec
set interface vlan1 bypass-icmpv6-ndp
set interface vlan1 bypass-icmpv6-mld
unset interface vlan1 bypass-icmpv6-mrd
unset interface vlan1 bypass-icmpv6-msp
set interface vlan1 bypass-icmpv6-snd
set interface trust ip manageable
unset interface untrust ip manageable
set flow tcp-mss
set flow all-tcp-mss 1304
unset flow no-tcp-seq-check
set flow tcp-syn-check
unset flow tcp-syn-bit-check
set flow reverse-route clear-text prefer
set flow reverse-route tunnel always
set dbuf usb filesize 0
set pki authority default scep mode "auto"
set pki x509 default cert-path partial
set crypto-policy
exit
set ike p1-proposal "ar-pre-g2-des-md5" preshare group2 esp des md5 second 28800
set ike p2-proposal "ar-nopfs-des-sha" no-pfs esp des sha-1 second 1800
set ike gateway "ar-gw" address 172.16.1.101 Aggr local-id "router-b" outgoing-interface "untrust" preshare "8wDTEk9LN1VX8/sAOjC3Cs7sgdn9VN6q+g==" proposal "ar-pre-g2-des-md5"
set ike gateway "ar-gw" dpd-liveness interval 10
set ike respond-bad-spi 1
set ike ikev2 ike-sa-soft-lifetime 60
unset ike ikeid-enumeration
unset ike dos-protection
unset ipsec access-session enable
set ipsec access-session maximum 5000
set ipsec access-session upper-threshold 0
set ipsec access-session lower-threshold 0
set ipsec access-session dead-p2-sa-timeout 0
unset ipsec access-session log-error
unset ipsec access-session info-exch-connected
unset ipsec access-session use-error-log
set vpn "ar-vpn" gateway "ar-gw" no-replay tunnel idletime 0 proposal "ar-nopfs-des-sha"
set vpn "ar-vpn" monitor source-interface trust destination-ip 192.168.10.254 rekey
set vpn "ar-vpn" id 0x1 bind interface tunnel.1
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
exit
set url protocol websense
exit
set vpn "ar-vpn" proxy-id local-ip 192.168.20.0/24 remote-ip 192.168.10.0/24 "ANY"
set policy id 1 from "Trust" to "Untrust" "Any-IPv4" "Any-IPv4" "ANY" permit
set policy id 1
exit
set policy id 2 from "Trust" to "VPN-Zone" "Any-IPv4" "Any-IPv4" "ANY" permit
set policy id 2
exit
set policy id 3 from "VPN-Zone" to "Trust" "Any-IPv4" "Any-IPv4" "ANY" permit
set policy id 3
exit
set pppoe name "ISP-B"
set pppoe name "ISP-B" username "site-b@domain.co.jp" password "7MtzNkIXNt6EkxsIlqC0HBCqQXnJfvzO/Q=="
set pppoe name "ISP-B" idle 0
set pppoe name "ISP-B" interface untrust
set pppoe name "ISP-B" auto-connect 1
set nsmgmt bulkcli reboot-timeout 60
set ssh version v2
set config lock timeout 5
unset license-key auto-update
set telnet client enable
set modem speed 115200
set modem retry 3
set modem interval 10
set modem idle-time 10
set snmp port listen 161
set snmp port trap 162
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset add-default-route
set route 192.168.10.0/24 interface tunnel.1
exit
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
exit

save

NetScreenのコンフィグを初期状態にするには、コンソールから
# unset all
Erase all system config, are you sure y/[n] ? y
# reset
Configuration modified, save? [y]/n n
System reset, are you sure? y/[n] y

とするか、ログインIDとパスワードにそれぞれシリアル番号を入力する。


■ヤマハ

YAMAHA RTX1200
Rev.10.01.34
(DPD)
ip route default gateway pp 1
ip route 192.168.10.0/24 gateway tunnel 1
ip lan1 address 192.168.20.254/24
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname site-b@domain.co.jp isp-pass-b
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
tunnel select 1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp des-cbc sha-hmac
  ipsec ike always-on 1 on
  ipsec ike duration ipsec-sa 1 1800
  ipsec ike duration isakmp-sa 1 28800
  ipsec ike encryption 1 des-cbc
  ipsec ike group 1 modp1024
  ipsec ike hash 1 md5
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on dpd 10 5
  ipsec ike local id 1 192.168.20.0/24
  ipsec ike log 1 key-info message-info payload-info
  ipsec ike local name 1 router-b fqdn
  ipsec ike payload type 1 2
  ipsec ike pre-shared-key 1 text ipsec_pass
  ipsec ike remote address 1 172.16.1.101
  ipsec ike remote id 1 192.168.10.0/24
 tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 192.168.20.1-192.168.20.254
nat descriptor masquerade static 1 1 192.168.20.254 udp 500
nat descriptor masquerade static 1 2 192.168.20.254 esp
ipsec use on
ipsec auto refresh on
syslog debug off
# tftp host any

no dhcp service server
no dhcp server rfc2131 compliant
no dhcp scope 1

save

コンフィグを初期状態にするには、コンソールから
# cold start

とする。


■富士通

起動時にVPNの接続まで数分掛かるので慌てないこと。
Si-R220C, Si-R180B
Si-R220C
V35.03
(DPD)

Si-R220CのLANポートは、デフォルトでは独立したLANとなっています。
本設定では
LAN0: WAN用
LAN1: LAN用
として、LAN2~LAN3ポートは使用しません。
複数の機器を接続するには、別途SW-HUBを用意してください。

configure

lan 0 mode auto
lan 1 mode auto
lan 1 ip address 192.168.20.254/24 3
lan 1 ip rip use v1 v1 0 off
remote 0 name ISP-b
remote 0 mtu 1454
remote 0 ap 0 name pppoe
remote 0 ap 0 datalink bind lan 0
remote 0 ap 0 ppp auth send site-b@domain.co.jp isp-pass-b
remote 0 ap 0 keep connect
remote 0 ip route 0 default 1 0
remote 0 ip nat mode multi any 1 5m
remote 0 ip nat static 0 192.168.20.254 500 any 500 17
remote 0 ip nat static 1 192.168.20.254 any any any 50
remote 0 ip msschange 1414
remote 1 name vpn1
remote 1 ap 0 name ipsec
remote 1 ap 0 datalink type ipsec
remote 1 ap 0 ipsec type ike
remote 1 ap 0 ipsec ike protocol esp
remote 1 ap 0 ipsec ike range 192.168.20.0/24 192.168.10.0/24
remote 1 ap 0 ipsec ike encrypt des-cbc
remote 1 ap 0 ipsec ike auth hmac-sha1
remote 1 ap 0 ipsec ike lifetime 30m
remote 1 ap 0 ike mode aggressive
remote 1 ap 0 ike name local router-b
remote 1 ap 0 ike shared key text ipsec_pass
remote 1 ap 0 ike proposal 0 encrypt des-cbc
remote 1 ap 0 ike proposal 0 hash hmac-md5 <---これはデフォルト値なので表示されません。
remote 1 ap 0 ike proposal 0 pfs modp1024
remote 1 ap 0 ike proposal 0 lifetime 8h
remote 1 ap 0 ike dpd use on
remote 1 ap 0 ike dpd idle 5m
remote 1 ap 0 ike dpd retry 5s 3
remote 1 ap 0 tunnel remote 172.16.1.101
remote 1 ap 0 sessionwatch address 192.168.20.254 192.168.10.254
remote 1 ip route 0 192.168.10.0/24 1 0
remote 1 ip msschange 1300
syslog facility 23
time zone 0900
consoleinfo autologout 8h
telnetinfo autologout 5m
terminal pager enable
terminal charset SJIS
alias history "show logging command brief"

save
Si-R 180B
V35.03
(DPDあり) 
configure

switch 0 use on
lan 0 mode auto
lan 1 mode auto
lan 1 ip address 192.168.20.254/24 3
lan 1 ip rip use v1 v1 0 off
lan 1 vlan bind switch 0
remote 0 name ISP-b
remote 0 mtu 1454
remote 0 ap 0 name pppoe
remote 0 ap 0 datalink bind lan 0
remote 0 ap 0 ppp auth send site-b@domain.co.jp isp-pass-b
remote 0 ap 0 keep connect
remote 0 ip route 0 default 1 0
remote 0 ip nat mode multi any 1 5m
remote 0 ip nat static 0 192.168.20.254 500 any 500 17
remote 0 ip nat static 1 192.168.20.254 any any any 50
remote 0 ip msschange 1414
remote 1 name vpn1
remote 1 ap 0 name ipsec
remote 1 ap 0 datalink type ipsec
remote 1 ap 0 ipsec type ike
remote 1 ap 0 ipsec ike protocol esp
remote 1 ap 0 ipsec ike range 192.168.20.0/24 192.168.10.0/24
remote 1 ap 0 ipsec ike encrypt des-cbc
remote 1 ap 0 ipsec ike auth hmac-sha1
remote 1 ap 0 ipsec ike lifetime 30m
remote 1 ap 0 ike mode aggressive
remote 1 ap 0 ike name local router-b
remote 1 ap 0 ike shared key text ipsec_pass
remote 1 ap 0 ike proposal 0 encrypt des-cbc
remote 1 ap 0 ike proposal 0 hash hmac-md5 <---これはデフォルト値なので表示されません。
remote 1 ap 0 ike proposal 0 pfs modp1024
remote 1 ap 0 ike proposal 0 lifetime 8h
remote 1 ap 0 ike dpd use on
remote 1 ap 0 ike dpd idle 5m
remote 1 ap 0 ike dpd retry 5s 3
remote 1 ap 0 tunnel remote 172.16.1.101
remote 1 ap 0 sessionwatch address 192.168.20.254 192.168.10.254
remote 1 ip route 0 192.168.10.0/24 1 0
remote 1 ip msschange 1300
syslog facility 23
time auto server 0.0.0.0 dhcp
time zone 0900
consoleinfo autologout 8h
telnetinfo autologout 5m
terminal pager enable
terminal charset SJIS
alias history "show logging command brief"

save
 

Si-Rシリーズでコンフィグファイルを工場出荷時に戻す場合には、「reset clear」コマンドを実施するか「ご利用にあたって」の3-3章を参照してください。


■古川電工

古川電工
FITELnet-F100
(V02.10(04) )

(DPD)
enable
configure terminal

ip route 0.0.0.0 0.0.0.0 pppoe 1
!
access-list 99 permit 192.168.20.0 0.0.0.255
!
vpn enable
vpnlog enable
!
ipsec access-list 1 ipsec ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
ipsec access-list 64 bypass ip any any
ipsec transform-set p1-policy esp-des esp-sha-hmac
!
no service dhcp-server
!
mss ipsecif 1 1300
mss ipsec 1300
!
ip dhcp pool lan1
exit
!
interface lan 1
 ip address 192.168.20.254 255.255.255.0
exit
!
interface pppoe 1
crypto map vpn
ip nat inside source list 99 interface
pppoe server ISP-B
pppoe account site-b@domain.co.jp isp-pass-b
pppoe type host
exit
!
crypto isakmp policy 1
 authentication prekey
 encryption des
 group 2
 hash md5
 idtype-pre fqdn
 keepalive always-send
 keepalive-icmp peer-address 192.168.10.254
 keepalive-icmp source-interface lan 1
 key ascii ipsec_pass
 lifetime 28800
 my-identity router-b
 negotiation-mode aggressive
 peer-identity address 172.16.1.101
 release security-association
exit
!
crypto map vpn 1
 match address 1
 set peer address 172.16.1.101
 set security-association lifetime seconds 1800
 set security-association always-up
 set transform-set p1-policy
exit
!
crypto security-association
 alive freq 60
 ikealive retry max 1
 ikealive freq 30
 retry max 1
 retry timer 20
exit
!
crypto ipsec-log
 vpnlog-detail all
exit

end
save SIDE-A.cfg

Fitelシリーズでコンフィグファイルを初期状態に戻す場合には、「reset default」コマンドを実施すか
# clear working.cfg
# save ファイル名

とすることでコンフィグファイルの初期化が可能である。

FITELnetのコンフィグは、保存先としてSIDE-A.cfgとSIDE-B.cfgの2つのファイルに保存でき、これらを切り替えてブートができるようになっている。 現在、どちらのコンフィグを使っているかは
> enable
# show version または、show file configuration

とすることで確認できる。 また、コンフィグの切り替えは
# boot configuration ファイル名

とすることで切り替えが可能である。


■Cisco

Cisco 1812J
(IOS Version 15.1)

!動作未検証!



<TOPに戻る>

 Mail to

Copyright(c) 2001-2012 ROBATA.ORG. All Right Reserved.