今回は、SAProuterにプライベートIPアドレスを付与し、ルータに仮想IPアドレスを持たせた場合の設定をしてみます。
論理構成はこんな感じです。使用機器は前回と同じです。
前回設定した内容に、変わったところだけを変えて設定しました。赤字部分が変更したところです。具体的には、NATの設定が追加されています。
ポイントとして、アクセスリストで暗号化対象パケットを定義していますが、その送信元IPアドレスはNAT変換後のものにします。
Ciscoルータのパケット処理順序は、SAPへ発信する場合はNAT変換後にIPsecにより暗号化されます。逆にSAPから着信する場合は、IPsecによる復号化の後にNAT変換が行われます。
ルータの設定(抜粋)
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key [shared_key] address xx.xx.xx.xx
crypto ipsec transform-set SAPesp esp-3des esp-md5-hmac
crypto map SAP 10 ipsec-isakmp
set peer xx.xx.xx.xx
set security-association lifetime seconds 7200
set transform-set SAPesp
set pfs group2
match address 100
interface FastEthernet0/0
ip address 200.1.1.1 255.255.255.0
ip nat outside
crypto map SAP
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip nat inside source static 192.168.1.1 200.2.1.1
access-list 100 permit ip host 200.2.1.1host 194.117.106.129
次回は、グローバルIPアドレス1つだけでSAP社とリモート回線を接続してみます。
- カテゴリ: クラウド