FutureNet

NXR,WXRシリーズ

IPsec編

4. Virtual Private Cloud(VPC)設定

4-4. Amazon VPCとのVPN接続(BGPの利用)

Amazon VPC(Amazon Virtual Private Cloud)とIPsec接続する設定例です。なおこの設定例では経路制御にBGPを利用します。またこの設定例は弊社独自の検証結果を元に作成しております。よってAmazon VPCの仮想ネットワークとの接続および動作を保証するものではありません。また今後の仕様変更により接続できない可能性があります。

※Amazon VPCに関する情報は下記URL をご参照ください。

https://aws.amazon.com/jp/vpc/

【構成図】

この設定例ではNXRでRoute Based IPsec設定を行います。
NXRではVPN用に固定のグローバルIPアドレスが必要になります。

【設定データ】

〔Amazon VPCの設定パラメータ〕

この設定例ではAmazon VPCでVPN設定作成後、ベンダに「Generic」を指定してダウンロードした設定パラメータの条件を下記とします。

IPSec Tunnel #1
==================================================
#1: Internet Key Exchange Configuration
– Authentication Method : Pre-Shared Key
– Pre-Shared Key : ipseckey1
– Authentication Algorithm : sha1
– Encryption Algorithm : aes-128-cbc
– Lifetime : 28800 seconds
– Phase 1 Negotiation Mode : main
– Perfect Forward Secrecy : Diffie-Hellman Group 2
#2: IPSec Configuration
– Protocol : esp
– Authentication Algorithm : hmac-sha1-96
– Encryption Algorithm : aes-128-cbc
– Lifetime : 3600 seconds
– Mode : tunnel
– Perfect Forward Secrecy : Diffie-Hellman Group 2
– DPD Interval : 10
– DPD Retries : 3
– TCP MSS Adjustment : 1379 bytes
– Clear Don’t Fragment Bit : enabled
– Fragmentation : Before encryption
#3: Tunnel Interface Configuration
Outside IP Addresses:
– Customer Gateway : 10.10.10.1
– Virtual Private Gateway : 10.10.100.1
Inside IP Addresses
– Customer Gateway : 169.254.27.190/30
– Virtual Private Gateway : 169.254.27.189/30
– Tunnel interface MTU : 1436 bytes
#4: Border Gateway Protocol (BGP) Configuration:
– Customer Gateway ASN : 65000
– Virtual Private Gateway ASN : 10124
– Neighbor IP Address : 169.254.27.189
– Neighbor Hold Time : 30

IPSec Tunnel #2
==================================================
#1: Internet Key Exchange Configuration
– Authentication Method : Pre-Shared Key
– Pre-Shared Key : ipseckey2
– Authentication Algorithm : sha1
– Encryption Algorithm : aes-128-cbc
– Lifetime : 28800 seconds
– Phase 1 Negotiation Mode : main
– Perfect Forward Secrecy : Diffie-Hellman Group 2
#2: IPSec Configuration
– Protocol : esp
– Authentication Algorithm : hmac-sha1-96
– Encryption Algorithm : aes-128-cbc
– Lifetime : 3600 seconds
– Mode : tunnel
– Perfect Forward Secrecy : Diffie-Hellman Group 2
– DPD Interval : 10
– DPD Retries : 3
– TCP MSS Adjustment : 1379 bytes
– Clear Don’t Fragment Bit : enabled
– Fragmentation : Before encryption
#3: Tunnel Interface Configuration
Outside IP Addresses:
– Customer Gateway : 10.10.10.1
– Virtual Private Gateway : 10.10.100.2
Inside IP Addresses
– Customer Gateway : 169.254.25.122/30
– Virtual Private Gateway : 169.254.25.121/30
– Tunnel interface MTU : 1436 bytes
#4: Border Gateway Protocol (BGP) Configuration:
BGP Configuration Options:
– Customer Gateway ASN : 65000
– Virtual Private Gateway ASN : 10124
– Neighbor IP Address : 169.254.25.121
– Neighbor Hold Time : 30

〔NXRの設定〕

設定項目				設定内容
LAN側インタフェース	ethernet0のIPアドレス			192.168.10.1/24
WAN側インタフェース	ethernet1のIPアドレス			10.10.10.1/30
	IPマスカレード			有効
	IPアクセスグループ	in		eth1_in
	SPIフィルタ			有効
	IPsecローカルポリシー			1
スタティックルート	No.1	宛先IPアドレス		10.0.0.0/16
		ゲートウェイ(インタフェース)		null
		ディスタンス		254
	No.2	宛先IPアドレス		0.0.0.0/0
	No.2	ゲートウェイ(IPアドレス)		10.10.10.2
BGP4	自AS番号			65000
	ネットワーク			192.168.10.0/24
	ネイバー 169.254.27.189	リモートAS番号		10124
		update-source		tunnel1
		タイマー	キープアライブタイマー	10秒
		タイマー	ホールドタイマー	30秒
	ネイバー 169.254.25.121	リモートAS番号		10124
		update-source		tunnel2
		タイマー	キープアライブタイマー	10秒
		タイマー	ホールドタイマー	30秒
IPフィルタ	ルール名			eth1_in
	eth1_in	No.1	動作	許可
			送信元IPアドレス	10.10.100.1
			宛先IPアドレス	10.10.10.1
			プロトコル	UDP
			送信元ポート	500
			宛先ポート	500
		No.2	動作	許可
			送信元IPアドレス	10.10.100.1
			宛先IPアドレス	10.10.10.1
			プロトコル	50(ESP)
		No.3	動作	許可
			送信元IPアドレス	10.10.100.2
			宛先IPアドレス	10.10.10.1
			プロトコル	UDP
			送信元ポート	500
			宛先ポート	500
		No.4	動作	許可
			送信元IPアドレス	10.10.100.2
			宛先IPアドレス	10.10.10.1
			プロトコル	50(ESP)
IPsec	IPsecアクセスリスト	リスト名		ipsec_acl
		送信元IPアドレス		any
		宛先IPアドレス		any
	IPsec priority-ignore			有効
	IPsecローカルポリシー1	address		ip
	IPsec ISAKMPポリシー1	名前		IPSecTunnel1
		認証方式		pre-share
		認証鍵		ipseckey1
		認証アルゴリズム		sha1
		暗号化アルゴリズム		aes128
		DHグループ		2
		ライフタイム		28800秒
		ISAKMPモード		メインモード
		リモートアドレス		10.10.100.1
		DPD	再送間隔	10秒
			リトライ回数	3回
			動作	restart
		ローカルポリシー		1
	IPsecトンネルポリシー1	名前		IPSecTunnel1
		ネゴシエーションモード		オート
		認証アルゴリズム		sha1
		暗号化アルゴリズム		aes128
		PFS		有効(グループ2)
		ライフタイム		3600秒
		ISAKMPポリシー		1
		IPsecアクセスリスト		ipsec_acl
	IPsec ISAKMPポリシー2	名前		IPSecTunnel2
		認証方式		pre-share
		認証鍵		ipseckey2
		認証アルゴリズム		sha1
		暗号化アルゴリズム		aes128
		DHグループ		2
		ライフタイム		28800秒
		ISAKMPモード		メインモード
		リモートアドレス		10.10.100.2
		DPD	再送間隔	10秒
			リトライ回数	3回
			動作	restart
		ローカルポリシー		1
	IPsecトンネルポリシー2	名前		IPSecTunnel2
		ネゴシエーションモード		オート
		認証アルゴリズム		sha1
		暗号化アルゴリズム		aes128
		PFS		有効(グループ2)
		ライフタイム		3600秒
		ISAKMPポリシー		2
		IPsecアクセスリスト		ipsec_acl
トンネル1インタフェース	IPアドレス			169.254.27.190/30
	トンネルモード			IPsec(IPv4)
	トンネルプロテクション			ipsec policy 1
	Path MTU Discovery			無効
	MTU			1436
	TCP MSS調整			1379
トンネル2インタフェース	IPアドレス			169.254.25.122/30
	トンネルモード			IPsec(IPv4)
	トンネルプロテクション			ipsec policy 2
	Path MTU Discovery			無効
	MTU			1436
	TCP MSS調整			1379
DNS	サービス			有効
DNS	DNSサーバ	プライマリ		10.10.10.2
FastFowarding				有効

【設定例】

〔NXRの設定〕

nxrg100#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
nxrg100(config)#interface ethernet 0
nxrg100(config-if)#ip address 192.168.10.1/24
nxrg100(config-if)#exit
nxrg100(config)#ip route 10.0.0.0/16 null 254
nxrg100(config)#ip route 0.0.0.0/0 10.10.10.2
nxrg100(config)#ip access-list eth1_in permit 10.10.100.1 10.10.10.1 udp 500 500
nxrg100(config)#ip access-list eth1_in permit 10.10.100.1 10.10.10.1 50
nxrg100(config)#ip access-list eth1_in permit 10.10.100.2 10.10.10.1 udp 500 500
nxrg100(config)#ip access-list eth1_in permit 10.10.100.2 10.10.10.1 50
nxrg100(config)#ipsec access-list ipsec_acl ip any any
nxrg100(config)#ipsec priority-ignore enable
% restart ipsec service to take affect.
nxrg100(config)#ipsec local policy 1
nxrg100(config-ipsec-local)#address ip
nxrg100(config-ipsec-local)#exit
nxrg100(config)#ipsec isakmp policy 1
nxrg100(config-ipsec-isakmp)#description IPSecTunnel1
nxrg100(config-ipsec-isakmp)#authentication pre-share ipseckey1
nxrg100(config-ipsec-isakmp)#hash sha1
nxrg100(config-ipsec-isakmp)#encryption aes128
nxrg100(config-ipsec-isakmp)#group 2
nxrg100(config-ipsec-isakmp)#lifetime 28800
nxrg100(config-ipsec-isakmp)#isakmp-mode main
nxrg100(config-ipsec-isakmp)#remote address ip 10.10.100.1
nxrg100(config-ipsec-isakmp)#keepalive 10 3 periodic restart
nxrg100(config-ipsec-isakmp)#local policy 1
nxrg100(config-ipsec-isakmp)#exit
nxrg100(config)#ipsec tunnel policy 1
nxrg100(config-ipsec-tunnel)#description IPSecTunnel1
nxrg100(config-ipsec-tunnel)#negotiation-mode auto
nxrg100(config-ipsec-tunnel)#set transform esp-aes128 esp-sha1-hmac
nxrg100(config-ipsec-tunnel)#set pfs group2
nxrg100(config-ipsec-tunnel)#set sa lifetime 3600
nxrg100(config-ipsec-tunnel)#set key-exchange isakmp 1
nxrg100(config-ipsec-tunnel)#match address ipsec_acl
nxrg100(config-ipsec-tunnel)#exit
nxrg100(config)#interface tunnel 1
nxrg100(config-tunnel)#ip address 169.254.27.190/30
nxrg100(config-tunnel)#tunnel mode ipsec ipv4
nxrg100(config-tunnel)#tunnel protection ipsec policy 1
nxrg100(config-tunnel)#no tunnel path-mtu-discovery
nxrg100(config-tunnel)#mtu 1436
nxrg100(config-tunnel)#ip tcp adjust-mss 1379
nxrg100(config-tunnel)#exit
nxrg100(config)#ipsec isakmp policy 2
nxrg100(config-ipsec-isakmp)#description IPSecTunnel2
nxrg100(config-ipsec-isakmp)#authentication pre-share ipseckey2
nxrg100(config-ipsec-isakmp)#hash sha1
nxrg100(config-ipsec-isakmp)#encryption aes128
nxrg100(config-ipsec-isakmp)#group 2
nxrg100(config-ipsec-isakmp)#lifetime 28800
nxrg100(config-ipsec-isakmp)#isakmp-mode main
nxrg100(config-ipsec-isakmp)#remote address ip 10.10.100.2
nxrg100(config-ipsec-isakmp)#keepalive 10 3 periodic restart
nxrg100(config-ipsec-isakmp)#local policy 1
nxrg100(config-ipsec-isakmp)#exit
nxrg100(config)#ipsec tunnel policy 2
nxrg100(config-ipsec-tunnel)#description IPSecTunnel2
nxrg100(config-ipsec-tunnel)#negotiation-mode auto
nxrg100(config-ipsec-tunnel)#set transform esp-aes128 esp-sha1-hmac
nxrg100(config-ipsec-tunnel)#set pfs group2
nxrg100(config-ipsec-tunnel)#set sa lifetime 3600
nxrg100(config-ipsec-tunnel)#set key-exchange isakmp 2
nxrg100(config-ipsec-tunnel)#match address ipsec_acl
nxrg100(config-ipsec-tunnel)#exit
nxrg100(config)#interface tunnel 2
nxrg100(config-tunnel)#ip address 169.254.25.122/30
nxrg100(config-tunnel)#tunnel mode ipsec ipv4
nxrg100(config-tunnel)#tunnel protection ipsec policy 2
nxrg100(config-tunnel)#no tunnel path-mtu-discovery
nxrg100(config-tunnel)#mtu 1436
nxrg100(config-tunnel)#ip tcp adjust-mss 1379
nxrg100(config-tunnel)#exit
nxrg100(config)#interface ethernet 1
nxrg100(config-if)#ip address 10.10.10.1/30
nxrg100(config-if)#ip masquerade
nxrg100(config-if)#ip access-group in eth1_in
nxrg100(config-if)#ip spi-filter
nxrg100(config-if)#ipsec policy 1
nxrg100(config-if)#exit
nxrg100(config)#router bgp 65000
nxrg100(config-router)#network 192.168.10.0/24
nxrg100(config-router)#neighbor 169.254.27.189 remote-as 10124
nxrg100(config-router)#neighbor 169.254.27.189 update-source tunnel 1
nxrg100(config-router)#neighbor 169.254.27.189 timers 10 30
nxrg100(config-router)#neighbor 169.254.25.121 remote-as 10124
nxrg100(config-router)#neighbor 169.254.25.121 update-source tunnel 2
nxrg100(config-router)#neighbor 169.254.25.121 timers 10 30
nxrg100(config-router)#exit
nxrg100(config)#dns
nxrg100(config-dns)#service enable
nxrg100(config-dns)#address 10.10.10.2
nxrg100(config-dns)#exit
nxrg100(config)#fast-forwarding enable
nxrg100(config)#exit
nxrg100#save config

【設定例解説】

1. <LAN側(ethernet0)インタフェース設定>

nxrg100(config)#interface ethernet 0
nxrg100(config-if)#ip address 192.168.10.1/24

ethernet0インタフェースのIPアドレスを設定します。

2. <スタティックルート設定>

nxrg100(config)#ip route 10.0.0.0/16 null 254

Amazon VPC向けのルートを設定します。なおゲートウェイインタフェースはnullを設定します。またこのルートのディスタンス値として254を設定します。
(☞) nullインタフェースが出力インタフェースとして有効な場合、パケットが出力されることはありません(ドロップされます)。

nxrg100(config)#ip route 0.0.0.0/0 10.10.10.2

デフォルトルートを設定します。

3. <IPアクセスリスト設定>

nxrg100(config)#ip access-list eth1_in permit 10.10.100.1 10.10.10.1 udp 500 500
nxrg100(config)#ip access-list eth1_in permit 10.10.100.1 10.10.10.1 50
nxrg100(config)#ip access-list eth1_in permit 10.10.100.2 10.10.10.1 udp 500 500
nxrg100(config)#ip access-list eth1_in permit 10.10.100.2 10.10.10.1 50

IPアクセスリスト名をeth1_inとし、送信元がAmazon VPCのIPsecTunnel#1にあるOutside IP AddressesのVirtual Private Gateway、宛先がWAN側IPアドレス10.10.10.1のIKEパケット(UDPポート500番)およびESPパケット(プロトコル番号50)、また送信元がAmazon VPCのIPsecTunnel#2にあるOutside IP AddressesのVirtual Private Gateway、宛先がWAN側IPアドレス10.10.10.1のIKEパケット(UDPポート500番)およびESPパケット(プロトコル番号50)を許可します。
なおこのIPアクセスリスト設定はethernet1インタフェース設定で登録します。

4. <IPsecアクセスリスト設定>

nxrg100(config)#ipsec access-list ipsec_acl ip any any

ipsec_aclという名前のIPsecアクセスリストを設定します。なお送信元IPアドレス,宛先IPアドレスともにanyとします。

5. <IPsec priority-ignore設定>

nxrg100(config)#ipsec priority-ignore enable

ipsec priority-ignoreを有効に設定します。

6. <IPsecローカルポリシー設定>

nxrg100(config)#ipsec local policy 1
nxrg100(config-ipsec-local)#address ip

IPsecトンネルの送信元IPアドレスにip(IPv4)を設定します。

7. <IPsec ISAKMPポリシー1設定>

nxrg100(config)#ipsec isakmp policy 1
nxrg100(config-ipsec-isakmp)#description IPSecTunnel1
nxrg100(config-ipsec-isakmp)#authentication pre-share ipseckey1

ISAKMPポリシーの説明としてIPSecTunnel1、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckey1を設定します。なお事前共有鍵はIPsecTunnel#1と共通の値を設定します。

nxrg100(config-ipsec-isakmp)#hash sha1
nxrg100(config-ipsec-isakmp)#encryption aes128
nxrg100(config-ipsec-isakmp)#group 2
nxrg100(config-ipsec-isakmp)#lifetime 28800
nxrg100(config-ipsec-isakmp)#isakmp-mode main

認証アルゴリズムとしてsha1、暗号化アルゴリズムとしてaes128，Diffie-Hellman(DH)グループとしてgroup 2、ISAKMP SAのライフタイムとして28800秒、フェーズ1のネゴシエーションモードとしてメインモードを設定します。

nxrg100(config-ipsec-isakmp)#remote address ip 10.10.100.1
nxrg100(config-ipsec-isakmp)#keepalive 10 3 periodic restart
nxrg100(config-ipsec-isakmp)#local policy 1

リモートアドレスにAmazon VPCのIPsecTunnel#1にあるOutside IP AddressesのVirtual Private Gatewayを設定します。またIKE KeepAlive(DPD)を監視間隔10秒,リトライ回数3回としkeepalive失敗時にSAを削除しIKEのネゴシエーションを開始するように設定します。そしてIPsecローカルポリシー1と関連づけを行います。

8. <IPsec トンネルポリシー1設定>

nxrg100(config)#ipsec tunnel policy 1
nxrg100(config-ipsec-tunnel)#description IPSecTunnel1
nxrg100(config-ipsec-tunnel)#negotiation-mode auto

IPsecトンネルポリシーの説明としてIPSecTunnel1、ネゴシエーションモードとしてautoを設定します。

nxrg100(config-ipsec-tunnel)#set transform esp-aes128 esp-sha1-hmac
nxrg100(config-ipsec-tunnel)#set pfs group2
nxrg100(config-ipsec-tunnel)#set sa lifetime 3600

暗号化アルゴリズムとしてaes128、認証アルゴリズムとしてsha1、PFSを有効にし、かつDHグループとしてgroup2、IPsec SAのライフタイムとして3600秒を設定します。

nxrg100(config-ipsec-tunnel)#set key-exchange isakmp 1
nxrg100(config-ipsec-tunnel)#match address ipsec_acl

ISAKMPポリシー1と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。

9. <トンネル1インタフェース設定>

nxrg100(config)#interface tunnel 1
nxrg100(config-tunnel)#ip address 169.254.27.190/30
nxrg100(config-tunnel)#tunnel mode ipsec ipv4
nxrg100(config-tunnel)#tunnel protection ipsec policy 1

トンネル1インタフェースのIPアドレスを設定します。またトンネルモードをipsec ipv4、使用するトンネルポリシーとして1を設定します。

nxrg100(config-tunnel)#no tunnel path-mtu-discovery

Path MTU Discoveryを無効に設定します。

nxrg100(config-tunnel)#mtu 1436

MTU値を1436に設定します。

nxrg100(config-tunnel)#ip tcp adjust-mss 1379

TCP MSS値を1379に設定します。

10. <IPsec ISAKMPポリシー2設定>

nxrg100(config)#ipsec isakmp policy 2
nxrg100(config-ipsec-isakmp)#description IPSecTunnel2
nxrg100(config-ipsec-isakmp)#authentication pre-share ipseckey2

ISAKMPポリシーの説明としてIPSecTunnel2、認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵ipseckey2を設定します。なお事前共有鍵はIPsecTunnel#2と共通の値を設定します。

nxrg100(config-ipsec-isakmp)#remote address ip 10.10.100.2
nxrg100(config-ipsec-isakmp)#keepalive 10 3 periodic restart
nxrg100(config-ipsec-isakmp)#local policy 1

リモートアドレスにAmazon VPCのIPsecTunnel#2にあるOutside IP AddressesのVirtual Private Gatewayを設定します。またIKE KeepAlive(DPD)を監視間隔10秒,リトライ回数3回としkeepalive失敗時にSAを削除しIKEのネゴシエーションを開始するように設定します。そしてIPsecローカルポリシー1と関連づけを行います。

11. <IPsec トンネルポリシー2設定>

nxrg100(config)#ipsec tunnel policy 2
nxrg100(config-ipsec-tunnel)#description IPSecTunnel2
nxrg100(config-ipsec-tunnel)#negotiation-mode auto

IPsecトンネルポリシーの説明としてIPSecTunnel2、ネゴシエーションモードとしてautoを設定します。

nxrg100(config-ipsec-tunnel)#set transform esp-aes128 esp-sha1-hmac
nxrg100(config-ipsec-tunnel)#set pfs group2
nxrg100(config-ipsec-tunnel)#set sa lifetime 3600

nxrg100(config-ipsec-tunnel)#set key-exchange isakmp 2
nxrg100(config-ipsec-tunnel)#match address ipsec_acl

ISAKMPポリシー2と関連づけを行い、IPsecアクセスリストipsec_aclを設定します。

12. <トンネル2インタフェース設定>

nxrg100(config)#interface tunnel 2
nxrg100(config-tunnel)#ip address 169.254.25.122/30
nxrg100(config-tunnel)#tunnel mode ipsec ipv4
nxrg100(config-tunnel)#tunnel protection ipsec policy 2

トンネル2インタフェースのIPアドレスを設定します。またトンネルモードをipsec ipv4、使用するトンネルポリシーとして2を設定します。

nxrg100(config-tunnel)#no tunnel path-mtu-discovery
nxrg100(config-tunnel)#mtu 1436
nxrg100(config-tunnel)#ip tcp adjust-mss 1379

Path MTU Discoveryを無効に設定します。またMTU値を1436,TCP MSS値を1379に設定します。

13. <WAN側(ethernet1)インタフェース設定>

nxrg100(config)#interface ethernet 1
nxrg100(config-if)#ip address 10.10.10.1/30

ethernet1インタフェースのIPアドレスを設定します。

nxrg100(config-if)#ip masquerade
nxrg100(config-if)#ip access-group in eth1_in
nxrg100(config-if)#ip spi-filter

IPマスカレード、ステートフルパケットインスペクションを有効に設定します。またIPアクセスリストeth1_inをinフィルタに適用します。

nxrg100(config-if)#ipsec policy 1

IPsecトンネルのエンドポイントとなるためIPsecローカルポリシー1を設定します。

14. <BGP設定>

nxrg100(config)#router bgp 65000
nxrg100(config-router)#network 192.168.10.0/24

BGP4を有効にし、自AS番号を65000に設定します。
またBGPでアドバタイズするネットワークアドレスを設定します。

nxrg100(config-router)#neighbor 169.254.27.189 remote-as 10124

BGPピアのIPアドレス(IPsecTunnel#1にあるInside IP AddressesのVirtual Private Gateway)およびAS番号を設定します。

nxrg100(config-router)#neighbor 169.254.27.189 update-source tunnel 1

BGPピア(IPsecTunnel#1)宛のパケットの送信元IPアドレスをトンネルインタフェース1に設定します。

nxrg100(config-router)#neighbor 169.254.27.189 timers 10 30

BGPピア(IPSecTunnel#1)とのキープアライブタイマーを10秒、ホールドタイマーを30秒に設定します。

nxrg100(config-router)#neighbor 169.254.25.121 remote-as 10124

BGPピアのIPアドレス(IPsecTunnel#2にあるInside IP AddressesのVirtual Private Gateway)およびAS番号を設定します。

nxrg100(config-router)#neighbor 169.254.25.121 update-source tunnel 2

BGPピア(IPsecTunnel#2)宛のパケットの送信元IPアドレスをトンネルインタフェース2に設定します。

nxrg100(config-router)#neighbor 169.254.25.121 timers 10 30

BGPピア(IPSecTunnel#2)とのキープアライブタイマーを10秒、ホールドタイマーを30秒に設定します。

15. <DNS設定>

nxrg100(config)#dns
nxrg100(config-dns)#service enable
nxrg100(config-dns)#address 10.10.10.2

DNSサービスを有効にします。またプライマリDNSサーバアドレスを設定します。

16. <ファストフォワーディングの有効化>

nxrg100(config)#fast-forwarding enable

ファストフォワーディングを有効にします。

【端末の設定例】

IPアドレス	192.168.10.100
サブネットマスク	255.255.255.0
デフォルトゲートウェイ	192.168.10.1
DNSサーバ	192.168.10.1

設定例show config形式サンプル(NXR)

FutureNet NXR,WXRシリーズ

←前のページ

更新情報

→ 一覧へ

NXR,WXRシリーズ

IPsec編

【構成図】

【設定データ】

〔Amazon VPCの設定パラメータ〕

〔NXRの設定〕

【設定例】

〔NXRの設定〕

【設定例解説】

1. <LAN側(ethernet0)インタフェース設定>

2. <スタティックルート設定>

3. <IPアクセスリスト設定>

4. <IPsecアクセスリスト設定>

5. <IPsec priority-ignore設定>

6. <IPsecローカルポリシー設定>

7. <IPsec ISAKMPポリシー1設定>

8. <IPsec トンネルポリシー1設定>

9. <トンネル1インタフェース設定>

10. <IPsec ISAKMPポリシー2設定>

11. <IPsec トンネルポリシー2設定>

12. <トンネル2インタフェース設定>

13. <WAN側(ethernet1)インタフェース設定>

14. <BGP設定>

15. <DNS設定>

16. <ファストフォワーディングの有効化>

【端末の設定例】

目次

更新情報

カテゴリ

タグ

NXR,WXRシリーズ

IPsec編

【 構成図 】

【 設定データ 】

〔Amazon VPCの設定パラメータ〕

〔NXRの設定〕

【 設定例 】

〔NXRの設定〕

【 設定例解説 】

1. <LAN側(ethernet0)インタフェース設定>

2. <スタティックルート設定>

3. <IPアクセスリスト設定>

4. <IPsecアクセスリスト設定>

5. <IPsec priority-ignore設定>

6. <IPsecローカルポリシー設定>

7. <IPsec ISAKMPポリシー1設定>

8. <IPsec トンネルポリシー1設定>

9. <トンネル1インタフェース設定>

10. <IPsec ISAKMPポリシー2設定>

11. <IPsec トンネルポリシー2設定>

12. <トンネル2インタフェース設定>

13. <WAN側(ethernet1)インタフェース設定>

14. <BGP設定>

15. <DNS設定>

16. <ファストフォワーディングの有効化>

【 端末の設定例 】

目次

更新情報

カテゴリ

タグ

【構成図】

【設定データ】

【設定例】

【設定例解説】

【端末の設定例】