FutureNet

NXR,WXRシリーズ

IPsec編

4. Virtual Private Cloud(VPC)設定

4-4. Amazon VPCとのVPN接続(BGPの利用)

Amazon VPC(Amazon Virtual Private Cloud)とIPsec接続する設定例です。なおこの設定例では経路制御にBGPを利用します。またこの設定例は弊社独自の検証結果を元に作成しております。よってAmazon VPCの仮想ネットワークとの接続および動作を保証するものではありません。また今後の仕様変更により接続できない可能性があります。

 

※Amazon VPCに関する情報は下記URL をご参照ください。

https://aws.amazon.com/jp/vpc/

 

【 構成図 】

  • この設定例ではNXRでRoute Based IPsec設定を行います。
  • NXRではVPN用に固定のグローバルIPアドレスが必要になります。

 

【 設定データ 】

〔Amazon VPCの設定パラメータ〕

この設定例ではAmazon VPCでVPN設定作成後、ベンダに「Generic」を指定してダウンロードした設定パラメータの条件を下記とします。

IPSec Tunnel #1
==================================================
#1: Internet Key Exchange Configuration
– Authentication Method : Pre-Shared Key
– Pre-Shared Key : ipseckey1
– Authentication Algorithm : sha1
– Encryption Algorithm : aes-128-cbc
– Lifetime : 28800 seconds
– Phase 1 Negotiation Mode : main
– Perfect Forward Secrecy : Diffie-Hellman Group 2
#2: IPSec Configuration
– Protocol : esp
– Authentication Algorithm : hmac-sha1-96
– Encryption Algorithm : aes-128-cbc
– Lifetime : 3600 seconds
– Mode : tunnel
– Perfect Forward Secrecy : Diffie-Hellman Group 2
– DPD Interval : 10
– DPD Retries : 3
– TCP MSS Adjustment : 1379 bytes
– Clear Don’t Fragment Bit : enabled
– Fragmentation : Before encryption
#3: Tunnel Interface Configuration
Outside IP Addresses:
– Customer Gateway : 10.10.10.1
– Virtual Private Gateway : 10.10.100.1
Inside IP Addresses
– Customer Gateway : 169.254.27.190/30
– Virtual Private Gateway : 169.254.27.189/30
– Tunnel interface MTU : 1436 bytes
#4: Border Gateway Protocol (BGP) Configuration:
– Customer Gateway ASN : 65000
– Virtual Private Gateway ASN : 10124
– Neighbor IP Address : 169.254.27.189
– Neighbor Hold Time : 30
IPSec Tunnel #2
==================================================
#1: Internet Key Exchange Configuration
– Authentication Method : Pre-Shared Key
– Pre-Shared Key : ipseckey2
– Authentication Algorithm : sha1
– Encryption Algorithm : aes-128-cbc
– Lifetime : 28800 seconds
– Phase 1 Negotiation Mode : main
– Perfect Forward Secrecy : Diffie-Hellman Group 2
#2: IPSec Configuration
– Protocol : esp
– Authentication Algorithm : hmac-sha1-96
– Encryption Algorithm : aes-128-cbc
– Lifetime : 3600 seconds
– Mode : tunnel
– Perfect Forward Secrecy : Diffie-Hellman Group 2
– DPD Interval : 10
– DPD Retries : 3
– TCP MSS Adjustment : 1379 bytes
– Clear Don’t Fragment Bit : enabled
– Fragmentation : Before encryption
#3: Tunnel Interface Configuration
Outside IP Addresses:
– Customer Gateway : 10.10.10.1
– Virtual Private Gateway : 10.10.100.2
Inside IP Addresses
– Customer Gateway : 169.254.25.122/30
– Virtual Private Gateway : 169.254.25.121/30
– Tunnel interface MTU : 1436 bytes
#4: Border Gateway Protocol (BGP) Configuration:
BGP Configuration Options:
– Customer Gateway ASN : 65000
– Virtual Private Gateway ASN : 10124
– Neighbor IP Address : 169.254.25.121
– Neighbor Hold Time : 30

〔NXRの設定〕

設定項目 設定内容
LAN側インタフェース ethernet0のIPアドレス 192.168.10.1/24
WAN側インタフェース ethernet1のIPアドレス 10.10.10.1/30
IPマスカレード 有効
IPアクセスグループ in eth1_in
SPIフィルタ 有効
IPsecローカルポリシー 1
スタティックルート No.1 宛先IPアドレス 10.0.0.0/16
ゲートウェイ(インタフェース) null
ディスタンス 254
No.2 宛先IPアドレス 0.0.0.0/0
ゲートウェイ(IPアドレス) 10.10.10.2
BGP4 自AS番号 65000
ネットワーク 192.168.10.0/24
ネイバー 169.254.27.189 リモートAS番号 10124
update-source tunnel1
タイマー キープアライブタイマー 10秒
ホールドタイマー 30秒
ネイバー 169.254.25.121 リモートAS番号 10124
update-source tunnel2
タイマー キープアライブタイマー 10秒
ホールドタイマー 30秒
IPフィルタ ルール名 eth1_in
eth1_in No.1 動作 許可
送信元IPアドレス 10.10.100.1
宛先IPアドレス 10.10.10.1
プロトコル UDP
送信元ポート 500
宛先ポート 500
No.2 動作 許可
送信元IPアドレス 10.10.100.1
宛先IPアドレス 10.10.10.1
プロトコル 50(ESP)
No.3 動作 許可
送信元IPアドレス 10.10.100.2
宛先IPアドレス 10.10.10.1
プロトコル UDP
送信元ポート 500
宛先ポート 500
No.4 動作 許可
送信元IPアドレス 10.10.100.2
宛先IPアドレス 10.10.10.1
プロトコル 50(ESP)
IPsec IPsecアクセスリスト リスト名 ipsec_acl
送信元IPアドレス any
宛先IPアドレス any
IPsec priority-ignore 有効
IPsecローカルポリシー1 address ip
IPsec ISAKMPポリシー1 名前 IPSecTunnel1
認証方式 pre-share
認証鍵 ipseckey1
認証アルゴリズム sha1
暗号化アルゴリズム aes128
DHグループ 2
ライフタイム 28800秒
ISAKMPモード メインモード
リモートアドレス 10.10.100.1
DPD 再送間隔 10秒
リトライ回数 3回
動作 restart
ローカルポリシー 1
IPsecトンネルポリシー1 名前 IPSecTunnel1
ネゴシエーションモード オート
認証アルゴリズム sha1
暗号化アルゴリズム aes128
PFS 有効(グループ2)
ライフタイム 3600秒
ISAKMPポリシー 1
IPsecアクセスリスト ipsec_acl
IPsec ISAKMPポリシー2 名前 IPSecTunnel2
認証方式 pre-share
認証鍵 ipseckey2
認証アルゴリズム sha1
暗号化アルゴリズム aes128
DHグループ 2
ライフタイム 28800秒
ISAKMPモード メインモード
リモートアドレス 10.10.100.2
DPD 再送間隔 10秒
リトライ回数 3回
動作 restart
ローカルポリシー 1
IPsecトンネルポリシー2 名前 IPSecTunnel2
ネゴシエーションモード オート
認証アルゴリズム sha1
暗号化アルゴリズム aes128
PFS 有効(グループ2)
ライフタイム 3600秒
ISAKMPポリシー 2
IPsecアクセスリスト ipsec_acl
トンネル1インタフェース IPアドレス 169.254.27.190/30
トンネルモード IPsec(IPv4)
トンネルプロテクション ipsec policy 1
Path MTU Discovery 無効
MTU 1436
TCP MSS調整 1379
トンネル2インタフェース IPアドレス 169.254.25.122/30
トンネルモード IPsec(IPv4)
トンネルプロテクション ipsec policy 2
Path MTU Discovery 無効
MTU 1436
TCP MSS調整 1379
DNS サービス 有効
DNSサーバ プライマリ 10.10.10.2
FastFowarding 有効

【 設定例 】

〔NXRの設定〕

nxrg100#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
nxrg100(config)#interface ethernet 0
nxrg100(config-if)#ip address 192.168.10.1/24
nxrg100(config-if)#exit
nxrg100(config)#ip route 10.0.0.0/16 null 254
nxrg100(config)#ip route 0.0.0.0/0 10.10.10.2
nxrg100(config)#ip access-list eth1_in permit 10.10.100.1 10.10.10.1 udp 500 500
nxrg100(config)#ip access-list eth1_in permit 10.10.100.1 10.10.10.1 50
nxrg100(config)#ip access-list eth1_in permit 10.10.100.2 10.10.10.1 udp 500 500
nxrg100(config)#ip access-list eth1_in permit 10.10.100.2 10.10.10.1 50
nxrg100(config)#ipsec access-list ipsec_acl ip any any
nxrg100(config)#ipsec priority-ignore enable
% restart ipsec service to take affect.
nxrg100(config)#ipsec local policy 1
nxrg100(config-ipsec-local)#address ip
nxrg100(config-ipsec-local)#exit
nxrg100(config)#ipsec isakmp policy 1
nxrg100(config-ipsec-isakmp)#description IPSecTunnel1
nxrg100(config-ipsec-isakmp)#authentication pre-share ipseckey1
nxrg100(config-ipsec-isakmp)#hash sha1
nxrg100(config-ipsec-isakmp)#encryption aes128
nxrg100(config-ipsec-isakmp)#group 2
nxrg100(config-ipsec-isakmp)#lifetime 28800
nxrg100(config-ipsec-isakmp)#isakmp-mode main
nxrg100(config-ipsec-isakmp)#remote address ip 10.10.100.1
nxrg100(config-ipsec-isakmp)#keepalive 10 3 periodic restart
nxrg100(config-ipsec-isakmp)#local policy 1
nxrg100(config-ipsec-isakmp)#exit
nxrg100(config)#ipsec tunnel policy 1
nxrg100(config-ipsec-tunnel)#description IPSecTunnel1
nxrg100(config-ipsec-tunnel)#negotiation-mode auto
nxrg100(config-ipsec-tunnel)#set transform esp-aes128 esp-sha1-hmac
nxrg100(config-ipsec-tunnel)#set pfs group2
nxrg100(config-ipsec-tunnel)#set sa lifetime 3600
nxrg100(config-ipsec-tunnel)#set key-exchange isakmp 1
nxrg100(config-ipsec-tunnel)#match address ipsec_acl
nxrg100(config-ipsec-tunnel)#exit
nxrg100(config)#interface tunnel 1
nxrg100(config-tunnel)#ip address 169.254.27.190/30
nxrg100(config-tunnel)#tunnel mode ipsec ipv4
nxrg100(config-tunnel)#tunnel protection ipsec policy 1
nxrg100(config-tunnel)#no tunnel path-mtu-discovery
nxrg100(config-tunnel)#mtu 1436
nxrg100(config-tunnel)#ip tcp adjust-mss 1379
nxrg100(config-tunnel)#exit
nxrg100(config)#ipsec isakmp policy 2
nxrg100(config-ipsec-isakmp)#description IPSecTunnel2
nxrg100(config-ipsec-isakmp)#authentication pre-share ipseckey2
nxrg100(config-ipsec-isakmp)#hash sha1
nxrg100(config-ipsec-isakmp)#encryption aes128
nxrg100(config-ipsec-isakmp)#group 2
nxrg100(config-ipsec-isakmp)#lifetime 28800
nxrg100(config-ipsec-isakmp)#isakmp-mode main
nxrg100(config-ipsec-isakmp)#remote address ip 10.10.100.2
nxrg100(config-ipsec-isakmp)#keepalive 10 3 periodic restart
nxrg100(config-ipsec-isakmp)#local policy 1
nxrg100(config-ipsec-isakmp)#exit
nxrg100(config)#ipsec tunnel policy 2
nxrg100(config-ipsec-tunnel)#description IPSecTunnel2
nxrg100(config-ipsec-tunnel)#negotiation-mode auto
nxrg100(config-ipsec-tunnel)#set transform esp-aes128 esp-sha1-hmac
nxrg100(config-ipsec-tunnel)#set pfs group2
nxrg100(config-ipsec-tunnel)#set sa lifetime 3600
nxrg100(config-ipsec-tunnel)#set key-exchange isakmp 2
nxrg100(config-ipsec-tunnel)#match address ipsec_acl
nxrg100(config-ipsec-tunnel)#exit
nxrg100(config)#interface tunnel 2
nxrg100(config-tunnel)#ip address 169.254.25.122/30
nxrg100(config-tunnel)#tunnel mode ipsec ipv4
nxrg100(config-tunnel)#tunnel protection ipsec policy 2
nxrg100(config-tunnel)#no tunnel path-mtu-discovery
nxrg100(config-tunnel)#mtu 1436
nxrg100(config-tunnel)#ip tcp adjust-mss 1379
nxrg100(config-tunnel)#exit
nxrg100(config)#interface ethernet 1
nxrg100(config-if)#ip address 10.10.10.1/30
nxrg100(config-if)#ip masquerade
nxrg100(config-if)#ip access-group in eth1_in
nxrg100(config-if)#ip spi-filter
nxrg100(config-if)#ipsec policy 1
nxrg100(config-if)#exit
nxrg100(config)#router bgp 65000
nxrg100(config-router)#network 192.168.10.0/24
nxrg100(config-router)#neighbor 169.254.27.189 remote-as 10124
nxrg100(config-router)#neighbor 169.254.27.189 update-source tunnel 1
nxrg100(config-router)#neighbor 169.254.27.189 timers 10 30
nxrg100(config-router)#neighbor 169.254.25.121 remote-as 10124
nxrg100(config-router)#neighbor 169.254.25.121 update-source tunnel 2
nxrg100(config-router)#neighbor 169.254.25.121 timers 10 30
nxrg100(config-router)#exit
nxrg100(config)#dns
nxrg100(config-dns)#service enable
nxrg100(config-dns)#address 10.10.10.2
nxrg100(config-dns)#exit
nxrg100(config)#fast-forwarding enable
nxrg100(config)#exit
nxrg100#save config

【 設定例解説 】

1. <LAN側(ethernet0)インタフェース設定>
nxrg100(config)#interface ethernet 0
nxrg100(config-if)#ip address 192.168.10.1/24

ethernet0インタフェースのIPアドレスを設定します。

 

2. <スタティックルート設定>
nxrg100(config)#ip route 10.0.0.0/16 null 254

Amazon VPC向けのルートを設定します。なおゲートウェイインタフェースはnullを設定します。またこのルートのディスタンス値として254を設定します。
(☞) nullインタフェースが出力インタフェースとして有効な場合、パケットが出力されることはありません(ドロップされます)。

nxrg100(config)#ip route 0.0.0.0/0 10.10.10.2

デフォルトルートを設定します。

 

3. <IPアクセスリスト設定>
nxrg100(config)#ip access-list eth1_in permit 10.10.100.1 10.10.10.1 udp 500 500
nxrg100(config)#ip access-list eth1_in permit 10.10.100.1 10.10.10.1 50
nxrg100(config)#ip access-list eth1_in permit 10.10.100.2 10.10.10.1 udp 500 500
nxrg100(config)#ip access-list eth1_in permit 10.10.100.2 10.10.10.1 50

IPアクセスリスト名をeth1_inとし、送信元がAmazon VPCのIPsecTunnel#1にあるOutside IP AddressesのVirtual Private Gateway、宛先がWAN側IPアドレス10.10.10.1のIKEパケット(UDPポート500番)およびESPパケット(プロトコル番号50)、また送信元がAmazon VPCのIPsecTunnel#2にあるOutside IP AddressesのVirtual Private Gateway、宛先がWAN側IPアドレス10.10.10.1のIKEパケット(UDPポート500番)およびESPパケット(プロトコル番号50)を許可します。
なおこのIPアクセスリスト設定はethernet1インタフェース設定で登録します。

 

4. <IPsecアクセスリスト設定>
nxrg100(config)#ipsec access-list ipsec_acl ip any any

ipsec_aclという名前のIPsecアクセスリストを設定します。なお送信元IPアドレス,宛先IPアドレスともにanyとします。

 

5. <IPsec priority-ignore設定>
nxrg100(config)#ipsec priority-ignore enable

ipsec priority-ignoreを有効に設定します。

 

6. <IPsecローカルポリシー設定>
nxrg100(config)#ipsec local policy 1
nxrg100(config-ipsec-local)#address ip

IPsecトンネルの送信元IPアドレスにip(IPv4)を設定します。

 

7. <IPsec ISAKMPポリシー1設定>
nxrg100(config)#ipsec isakmp policy 1
nxrg100(config-ipsec-isakmp)#description IPSecTunnel1
nxrg100(config-ipsec-isakmp)#authentication pre-share ipseckey1

ISAKMPポリシーの説明としてIPSecTunnel1、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckey1を設定します。なお事前共有鍵はIPsecTunnel#1と共通の値を設定します。

nxrg100(config-ipsec-isakmp)#hash sha1
nxrg100(config-ipsec-isakmp)#encryption aes128
nxrg100(config-ipsec-isakmp)#group 2
nxrg100(config-ipsec-isakmp)#lifetime 28800
nxrg100(config-ipsec-isakmp)#isakmp-mode main

認証アルゴリズムとしてsha1、暗号化アルゴリズムとしてaes128,Diffie-Hellman(DH)グループとしてgroup 2、ISAKMP SAのライフタイムとして28800秒、フェーズ1のネゴシエーションモードとしてメインモードを設定します。

nxrg100(config-ipsec-isakmp)#remote address ip 10.10.100.1
nxrg100(config-ipsec-isakmp)#keepalive 10 3 periodic restart
nxrg100(config-ipsec-isakmp)#local policy 1

リモートアドレスにAmazon VPCのIPsecTunnel#1にあるOutside IP AddressesのVirtual Private Gatewayを設定します。またIKE KeepAlive(DPD)を監視間隔10秒,リトライ回数3回としkeepalive失敗時にSAを削除しIKEのネゴシエーションを開始するように設定します。そしてIPsecローカルポリシー1と関連づけを行います。

 

8. <IPsec トンネルポリシー1設定>
nxrg100(config)#ipsec tunnel policy 1
nxrg100(config-ipsec-tunnel)#description IPSecTunnel1
nxrg100(config-ipsec-tunnel)#negotiation-mode auto

IPsecトンネルポリシーの説明としてIPSecTunnel1、ネゴシエーションモードとしてautoを設定します。

nxrg100(config-ipsec-tunnel)#set transform esp-aes128 esp-sha1-hmac
nxrg100(config-ipsec-tunnel)#set pfs group2
nxrg100(config-ipsec-tunnel)#set sa lifetime 3600

暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha1、PFSを有効にし、かつDHグループとしてgroup2、IPsec SAのライフタイムとして3600秒を設定します。

nxrg100(config-ipsec-tunnel)#set key-exchange isakmp 1
nxrg100(config-ipsec-tunnel)#match address ipsec_acl

ISAKMPポリシー1と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。

 

9. <トンネル1インタフェース設定>
nxrg100(config)#interface tunnel 1
nxrg100(config-tunnel)#ip address 169.254.27.190/30
nxrg100(config-tunnel)#tunnel mode ipsec ipv4
nxrg100(config-tunnel)#tunnel protection ipsec policy 1

トンネル1インタフェースのIPアドレスを設定します。またトンネルモードをipsec ipv4、使用するトンネルポリシーとして1を設定します。

nxrg100(config-tunnel)#no tunnel path-mtu-discovery

Path MTU Discoveryを無効に設定します。

nxrg100(config-tunnel)#mtu 1436

MTU値を1436に設定します。

nxrg100(config-tunnel)#ip tcp adjust-mss 1379

TCP MSS値を1379に設定します。

 

10. <IPsec ISAKMPポリシー2設定>
nxrg100(config)#ipsec isakmp policy 2
nxrg100(config-ipsec-isakmp)#description IPSecTunnel2
nxrg100(config-ipsec-isakmp)#authentication pre-share ipseckey2

ISAKMPポリシーの説明としてIPSecTunnel2、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckey2を設定します。なお事前共有鍵はIPsecTunnel#2と共通の値を設定します。

nxrg100(config-ipsec-isakmp)#hash sha1
nxrg100(config-ipsec-isakmp)#encryption aes128
nxrg100(config-ipsec-isakmp)#group 2
nxrg100(config-ipsec-isakmp)#lifetime 28800
nxrg100(config-ipsec-isakmp)#isakmp-mode main

認証アルゴリズムとしてsha1、暗号化アルゴリズムとしてaes128,Diffie-Hellman(DH)グループとしてgroup 2、ISAKMP SAのライフタイムとして28800秒、フェーズ1のネゴシエーションモードとしてメインモードを設定します。

nxrg100(config-ipsec-isakmp)#remote address ip 10.10.100.2
nxrg100(config-ipsec-isakmp)#keepalive 10 3 periodic restart
nxrg100(config-ipsec-isakmp)#local policy 1

リモートアドレスにAmazon VPCのIPsecTunnel#2にあるOutside IP AddressesのVirtual Private Gatewayを設定します。またIKE KeepAlive(DPD)を監視間隔10秒,リトライ回数3回としkeepalive失敗時にSAを削除しIKEのネゴシエーションを開始するように設定します。そしてIPsecローカルポリシー1と関連づけを行います。

 

11. <IPsec トンネルポリシー2設定>
nxrg100(config)#ipsec tunnel policy 2
nxrg100(config-ipsec-tunnel)#description IPSecTunnel2
nxrg100(config-ipsec-tunnel)#negotiation-mode auto

IPsecトンネルポリシーの説明としてIPSecTunnel2、ネゴシエーションモードとしてautoを設定します。

nxrg100(config-ipsec-tunnel)#set transform esp-aes128 esp-sha1-hmac
nxrg100(config-ipsec-tunnel)#set pfs group2
nxrg100(config-ipsec-tunnel)#set sa lifetime 3600

暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha1、PFSを有効にし、かつDHグループとしてgroup2、IPsec SAのライフタイムとして3600秒を設定します。

nxrg100(config-ipsec-tunnel)#set key-exchange isakmp 2
nxrg100(config-ipsec-tunnel)#match address ipsec_acl

ISAKMPポリシー2と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。

 

12. <トンネル2インタフェース設定>
nxrg100(config)#interface tunnel 2
nxrg100(config-tunnel)#ip address 169.254.25.122/30
nxrg100(config-tunnel)#tunnel mode ipsec ipv4
nxrg100(config-tunnel)#tunnel protection ipsec policy 2

トンネル2インタフェースのIPアドレスを設定します。またトンネルモードをipsec ipv4、使用するトンネルポリシーとして2を設定します。

nxrg100(config-tunnel)#no tunnel path-mtu-discovery
nxrg100(config-tunnel)#mtu 1436
nxrg100(config-tunnel)#ip tcp adjust-mss 1379

Path MTU Discoveryを無効に設定します。またMTU値を1436,TCP MSS値を1379に設定します。

 

13. <WAN側(ethernet1)インタフェース設定>
nxrg100(config)#interface ethernet 1
nxrg100(config-if)#ip address 10.10.10.1/30

ethernet1インタフェースのIPアドレスを設定します。

nxrg100(config-if)#ip masquerade
nxrg100(config-if)#ip access-group in eth1_in
nxrg100(config-if)#ip spi-filter

IPマスカレード、ステートフルパケットインスペクションを有効に設定します。またIPアクセスリストeth1_inをinフィルタに適用します。

nxrg100(config-if)#ipsec policy 1

IPsecトンネルのエンドポイントとなるためIPsecローカルポリシー1を設定します。

 

14. <BGP設定>
nxrg100(config)#router bgp 65000
nxrg100(config-router)#network 192.168.10.0/24

BGP4を有効にし、自AS番号を65000に設定します。
またBGPでアドバタイズするネットワークアドレスを設定します。

nxrg100(config-router)#neighbor 169.254.27.189 remote-as 10124

BGPピアのIPアドレス(IPsecTunnel#1にあるInside IP AddressesのVirtual Private Gateway)およびAS番号を設定します。

nxrg100(config-router)#neighbor 169.254.27.189 update-source tunnel 1

BGPピア(IPsecTunnel#1)宛のパケットの送信元IPアドレスをトンネルインタフェース1に設定します。

nxrg100(config-router)#neighbor 169.254.27.189 timers 10 30

BGPピア(IPSecTunnel#1)とのキープアライブタイマーを10秒、ホールドタイマーを30秒に設定します。

nxrg100(config-router)#neighbor 169.254.25.121 remote-as 10124

BGPピアのIPアドレス(IPsecTunnel#2にあるInside IP AddressesのVirtual Private Gateway)およびAS番号を設定します。

nxrg100(config-router)#neighbor 169.254.25.121 update-source tunnel 2

BGPピア(IPsecTunnel#2)宛のパケットの送信元IPアドレスをトンネルインタフェース2に設定します。

nxrg100(config-router)#neighbor 169.254.25.121 timers 10 30

BGPピア(IPSecTunnel#2)とのキープアライブタイマーを10秒、ホールドタイマーを30秒に設定します。

 

15. <DNS設定>
nxrg100(config)#dns
nxrg100(config-dns)#service enable
nxrg100(config-dns)#address 10.10.10.2

DNSサービスを有効にします。またプライマリDNSサーバアドレスを設定します。

 

16. <ファストフォワーディングの有効化>
nxrg100(config)#fast-forwarding enable

ファストフォワーディングを有効にします。

 

【 端末の設定例 】

IPアドレス 192.168.10.100
サブネットマスク 255.255.255.0
デフォルトゲートウェイ 192.168.10.1
DNSサーバ