古河電気 FITELnet
このチュートリアルでは、古河電気のFITELnet F220およびF70デバイスをIPsecトンネルを介してCloudflare Magic WANに接続する方法について説明します。このチュートリアルで説明するユースケースは、東西(支店間)および南北(インターネット向け)の両方に対応しています。
これらの構成は、以下のファームウェアバージョンを持つFITELnet F220およびF70シリーズでテストされました。
- F220シリーズ: バージョン 01.11(00)
- F70シリーズ: バージョン 01.09(00)
- Cloudflareダッシュボード ↗にアクセスし、アカウントを選択します。
- Magic WAN > Configurationに移動します。
- TunnelsタブからCreateを選択します。
- 最初のIPsecトンネルについて、以下の設定が定義されていることを確認します(ここで言及されていない設定についてはAdd tunnelsを参照してください):
- Tunnel name:
FITEL-tunnel-1 - Interface address: 最初のトンネルには
10.0.0.1/31を入力します。 - Customer endpoint: ルーターがタイプ
ID_IPV4_ADDRのIKE IDを使用していない限り、この設定は必要ありません。 - Cloudflare endpoint: アカウントチームから割り当てられたCloudflareのAnycast IP。
- Pre-shared key: 最初のトンネル用のプレシェアードキーを作成します。
- Tunnel name:
- 2番目のIPsecトンネルについて、最初のトンネルと同じ変更を行い、以下の追加設定が定義されていることを確認します:
- Tunnel name:
FITEL-tunnel-2 - Interface address: 2番目のトンネルには
10.0.0.3/31を入力します。 - Customer endpoint: ルーターがタイプ
ID_IPV4_ADDRのIKE IDを使用していない限り、この設定は必要ありません。 - Cloudflare endpoint: アカウントチームから割り当てられたCloudflareのAnycast IP。
- Pre-shared key: 2番目のトンネル用のプレシェアードキーを作成します。
- Tunnel name:
CLIを使用してこれらの設定を構成します:
interface Tunnel 1 ip address 10.0.0.0 255.255.255.254 tunnel mode ipsec map MAP1 link-state sync-saexit!
crypto ipsec policy IPsec_POLICY set security-association always-up set security-association lifetime seconds 28800 set security-association transform-keysize aes 256 256 256 set security-association transform esp-aes esp-sha256-hmac set mtu 1460 set mss 1350 set ip df-bit 0 set ip fragment post ! CloudflareとFITELnetの間にNATルーターがある場合、 ! 以下の2つのudp-encapsulationオプションを追加します set udp-encapsulation nat-t keepalive interval 30 always-send set udp-encapsulation-forceexit!crypto ipsec selector SELECTOR src 1 ipv4 any dst 1 ipv4 anyexit!crypto isakmp keepalivecrypto isakmp log sacrypto isakmp log sessioncrypto isakmp log negotiation-failcrypto isakmp negotiation always-up-params interval 100 max-initiate 10 max-pending 10 delay 1crypto ipsec replay-check disable!crypto isakmp policy ISAKMP_POLICY authentication pre-share encryption aes encryption-keysize aes 256 256 256 group 14 lifetime 14400 hash sha sha-256 initiate-mode aggressiveexit!crypto isakmp profile PROF1 ! 自己識別のためのFQDN IDの値を設定 self-identity fqdn <FQDN-ID-TUNNEL01> set isakmp-policy ISAKMP_POLICY set ipsec-policy IPsec_POLICY set peer <CLOUDFLARE-ANYCAST-ADDRESS> ike-version 2 local-key <PRE-SHARED-KEY-TUNNEL01>exit!crypto map MAP1 ipsec-isakmp match address SELECTOR set isakmp-profile PROF1exit!CLIを使用してこれらの設定を構成します:
interface Tunnel 2 ip address 10.0.0.2 255.255.255.254 tunnel mode ipsec map MAP1 link-state sync-saexit!
crypto ipsec policy IPsec_POLICY set security-association always-up set security-association lifetime seconds 28800 set security-association transform-keysize aes 256 256 256 set security-association transform esp-aes esp-sha256-hmac set mtu 1460 set mss 1350 set ip df-bit 0 set ip fragment post ! CloudflareとFITELnetの間にNATルーターがある場合、 ! 以下の2つのudp-encapsulationオプションを追加します set udp-encapsulation nat-t keepalive interval 30 always-send set udp-encapsulation-forceexit!crypto ipsec selector SELECTOR src 1 ipv4 any dst 1 ipv4 anyexit!crypto isakmp keepalivecrypto isakmp log sacrypto isakmp log sessioncrypto isakmp log negotiation-failcrypto isakmp negotiation always-up-params interval 100 max-initiate 10 max-pending 10 delay 1crypto ipsec replay-check disable!crypto isakmp policy ISAKMP_POLICY authentication pre-share encryption aes encryption-keysize aes 256 256 256 group 14 lifetime 14400 hash sha sha-256 initiate-mode aggressiveexit!crypto isakmp profile PROF1 ! 自己識別のためのFQDN IDの値を設定 self-identity fqdn <FQDN-ID-TUNNEL02> set isakmp-policy ISAKMP_POLICY set ipsec-policy IPsec_POLICY set peer <CLOUDFLARE-ANYCAST-ADDRESS> ike-version 2 local-key <PRE-SHARED-KEY-TUNNEL02>exit!crypto map MAP1 ipsec-isakmp match address SELECTOR set isakmp-profile PROF1exit!東西(支店間)接続のためのルートを構成するには、以下の設定を参照してください。
- Cloudflareダッシュボード ↗にアクセスし、アカウントを選択します。
- Magic WAN > Configurationに移動します。
- Static RoutesタブからCreateを選択します。
- 最初のルートについて、以下の設定が定義されていることを確認します(ここで言及されていない設定についてはConfigure static routesを参照してください):
- Prefix:
192.168.0.0/24 - Tunnel/Next hop: FITEL-tunnel-1 / 10.0.0.0
- 2番目のルートについて、以下の設定が定義されていることを確認します:
- Prefix:
192.168.1.0/24 - Tunnel/Next hop: FITEL-tunnel-2 / 10.0.0.2
CLIを使用してこれらの設定を構成します:
ip route 192.168.0.0 255.255.255.0 tunnel 1CLIを使用してこれらの設定を構成します:
ip route 192.168.1.0 255.255.255.0 tunnel 2FITELnetルーターのCLIで、show crypto saを実行してIPsecセキュリティアソシエーション(SA)のステータスを確認できます。Total number of ISAKMP/IPSEC SAは確立されたSAの数を示します。
show crypto sa
IKE_SA Mode: <I> Local IP : <LOCAL_IP>/500 Local ID : <LOCAL_ID> (ipv4) Remote IP : anycast-address/500 Remote ID : anycast-address (ipv4) Local Authentication method : Pre-shared key Remote Authentication method : Pre-shared key Encryption algorithm : aes256-cbc Hash algorithm : hmac-sha256-128 Diffie-Hellman group : 14 (2048 bits) Initiator Cookie : aaaaaaaa bbbbbbbb Responder Cookie : cccccccc dddddddd Life time : 6852/14400 sec DPD : on
CHILD_SA <I> Selector : 0.0.0.0/0 ALL ALL <---> 0.0.0.0/0 ALL ALL Interface : tunnel 1 Peer IP : anycast-address/500 Local IP : xxx.xxx.xxx.xxx/500 Encryption algorithm : AES-CBC/256 Authentication algorithm : HMAC-SHA2-256 Life time : 22868/28800 sec PFS : off ESN : off IN SPI : eeeeeeee Packets : 0 Octets : 0 Replay error : 0 Auth error : 0 Padding error : 0 Rule error : 0 OUT SPI : ffffffff Packets : 0 Octets : 0 Seq lapped : 0
Total number of ISAKMP SA 1 Total number of IPSEC SA 1FITELnetルーターのCLIで、show ip routeを実行してルート情報を確認できます。ルート情報に*が表示されている場合、そのルート情報は有効です。
show ip route
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF, B - BGP, T - Tunnel, i - IS-IS, V - VRRP track, Iu - ISAKMP SA up, It - ISAKMP tunnel route, Ip - ISAKMP l2tpv2-ppp Dc - DHCP-client, L - Local Breakout > - selected route, * - FIB route, p - stale info
<snip>S > * 192.168.1.0/24 [100/0] is directly connected, Tunnel1<snip>#