GTM-MML4VXJ
Skip to main content
  1. ホーム >
  2. 製品 >
  3. ネットワーク機器 >
  4. ルータ >
  5. IPアクセスルータ Si-Rシリーズ >
  6. 技術情報 >
  7. クラウド接続 >
  8. 「Windows Azure」との接続 複数セグメントからの接続

技術情報 : Si-R/Si-R brinシリーズ設定例

「Windows Azure」との接続 複数セグメントからの接続

本設定例は、弊社で独自に接続試験を行った結果を元に作成しており、
接続を保証するものではありません。

Si-R Gシリーズで「Windows Azure」と複数セグメントからIPsec接続する場合の設定例です。

設定例のイメージ図です

対象機種と版数

  • Si-R Gシリーズ V2.03以降

設定内容

  • Si-R Gのether 2 1-4 をLAN側とします。
  • Si-R GのLAN側に192.168.100.1/24を割り当るとします。
  • 192.168.20.0/24,192.168.30.0/24ネットワークへのゲートウェイ(ルータ)アドレスは、192.168.10.254を割り当るとします。
  • 本設定例では、Windows Azure側の設定については、省略します。
    Windows Azure側の設定については、「Windows Azure」との接続を参照ください。
・IKE フェーズ1
項目 設定値
自側トンネルエンドポイントアドレス xxx.xxx.xxx.xxx/(ISPより割当)
ISP側ゲートウェイアドレス xxx.xxx.xxx.xxz/(ISPより割当)
相手側トンネルエンドポイントアドレス yyy.yyy.yyy.yyy
ポータルサイトより確認
IKE交換モード main
lan側ローカルアドレス 192.168.10.1/24
暗号情報 aes-cbc-256
認証(ハッシュ)情報 hmac-sha256
DHグループ group 2(modp1024)
IKE SA有効時間 8h
IKEセッション共有鍵 ポータルサイトより確認
・IKE フェーズ2
項目 設定値
IPsec情報のセキュリティプロトコル esp
暗号情報 aes-cbc-256
認証(ハッシュ)情報 hmac-sha256
DHグループ off
IPsec SA有効時間 1h
IPsec SA有効パケット量 100000m
IPsec対象範囲(送信元1) 192.168.10.0/24
IPsec対象範囲(送信元2) 192.168.20.0/24
IPsec対象範囲(送信元3) 192.168.30.0/24
IPsec対象範囲(宛先) 172.16.10.0/24
IPsec情報のセキュリティプロトコル esp
暗号情報 aes-cbc-256
認証(ハッシュ)情報 hmac-sha256

設定例

  • 以下の設定例を、コピー&ペーストでご利用いただくことができます。

Si-R G設定例

ether 1 1 vlan untag 1

ether 2 1-4 vlan untag 2

lan 0 ip address xxx.xxx.xxx.xxx/xx 3

lan 0 ip route 0 yyy.yyy.yyy.yyy/32 xxx.xxx.xxx.xxz 1 1

lan 0 ip nat mode multi xxx.xxx.xxx.xxx 1 5m

lan 0 ip nat static 0 xxx.xxx.xxx.xxx 500 xxx.xxx.xxx.xxx 500 17

lan 0 ip nat static 1 xxx.xxx.xxx.xxx any xxx.xxx.xxx.xxx any 50

lan 0 vlan 1

lan 1 ip address 192.168.10.1/24 3

lan 1 ip route 0 192.168.20.0/24 192.168.10.254 1 1

lan 1 ip route 1 192.168.30.0/24 192.168.10.254 1 1

lan 1 vlan 2

remote 0 name MS-Azure

remote 0 ap 0 name NET1

remote 0 ap 0 datalink type ipsec

remote 0 ap 0 multiroute pattern 0 use 192.168.10.0/24 any
172.16.10.0/24 any any any remote 0 ap 0 ipsec type ike remote 0 ap 0 ipsec ike protocol esp remote 0 ap 0 ipsec ike range 192.168.10.0/24 172.16.10.0/24 remote 0 ap 0 ipsec ike encrypt aes-cbc-256 remote 0 ap 0 ipsec ike auth hmac-sha256 remote 0 ap 0 ipsec ike lifetime 1h remote 0 ap 0 ipsec ike lifebyte 100000m remote 0 ap 0 ike mode main remote 0 ap 0 ike shared key text abcdefghijklmnopqrstuvwxyz12345 remote 0 ap 0 ike proposal 0 encrypt aes-cbc-256 remote 0 ap 0 ike proposal 0 hash hmac-sha256 remote 0 ap 0 ike proposal 0 pfs modp1024 remote 0 ap 0 ike proposal 0 lifetime 8h remote 0 ap 0 tunnel local xxx.xxx.xxx.xxx remote 0 ap 0 tunnel remote yyy.yyy.yyy.yyy remote 0 ap 1 name NET2 remote 0 ap 1 datalink type ipsec remote 0 ap 1 multiroute pattern 0 use 192.168.20.0/24 any
172.16.10.0/24 any any any remote 0 ap 1 ipsec type ike remote 0 ap 1 ipsec ike protocol esp remote 0 ap 1 ipsec ike range 192.168.20.0/24 172.16.10.0/24 remote 0 ap 1 ipsec ike encrypt aes-cbc-256 remote 0 ap 1 ipsec ike auth hmac-sha256 remote 0 ap 1 ipsec ike lifetime 1h remote 0 ap 1 ipsec ike lifebyte 100000m remote 0 ap 1 ike bind ap 0 remote 0 ap 2 name NET3 remote 0 ap 2 datalink type ipsec remote 0 ap 2 ipsec type ike remote 0 ap 2 ipsec ike protocol esp remote 0 ap 2 ipsec ike range 192.168.30.0/24 172.16.10.0/24 remote 0 ap 2 ipsec ike encrypt aes-cbc-256 remote 0 ap 2 ipsec ike auth hmac-sha256 remote 0 ap 2 ipsec ike lifetime 1h remote 0 ap 2 ipsec ike lifebyte 100000m remote 0 ap 2 ike bind ap 0 remote 0 ip route 0 172.16.10.0/24 1 1 syslog facility 23 time zone 0900 consoleinfo autologout 8h telnetinfo autologout 5m terminal charset SJIS

解説

Si-R_G設定解説

ether 1 1 vlan untag 1

ポートをTag なしVLAN1に設定します。

ether 2 1-4 vlan untag 2

ポートをTag なしVLAN2に設定します。

lan 0 ip address xxx.xxx.xxx.xxx/xx 3

WAN側IPアドレス(ISPより割当)を設定します。
xxx.xxx.xxx.xxx/xx : WAN側のIPアドレス/マスクです。
3 :ブロードキャストアドレスのタイプです。通常は3で構いません。

lan 0 ip route 0 yyy.yyy.yyy.yyy/32 xxx.xxx.xxx.xxz 1 1

Azureへのスタティックルートを設定します。
yyy.yyy.yyy.yyy/32 : Azure側のトンネルエンドポイントです。
xxx.xxx.xxx.xxz : ISP側ゲートウェイアドレスです。
1 : metric値です。通常は1で構いません。
1 : distance値です。通常は1で構いません。

lan 0 ip nat mode multi xxx.xxx.xxx.xxx 1 5m

マルチNATを設定します。

lan 0 ip nat static 0 xxx.xxx.xxx.xxx 500 xxx.xxx.xxx.xxx 500 17 
lan 0 ip nat static 1 xxx.xxx.xxx.xxx any xxx.xxx.xxx.xxx any 50

スタティックNATにより、IKE,ESPパケットを通す設定をします。

lan 0 vlan 1

VLAN ID とlan 定義番号の関連付けを行います。
LAN0にTag なしVLAN1を設定します。

lan 1 ip address 192.168.10.1/24 3

LAN側IPアドレスを設定します。
192.168.10.1/24 : LAN側のIPアドレス/マスクです。
3 : ブロードキャストアドレスのタイプです。通常は3で構いません。

lan 1 ip route 0 192.168.20.0/24 192.168.10.254 1 1 
lan 1 ip route 1 192.168.30.0/24 192.168.10.254 1 1

LAN側のスタティックルートを設定します。
192.168.10.254 : ゲートウェイアドレスです。

lan 0 vlan 2

VLAN ID とlan 定義番号の関連付けを行います。
LAN0にTag なしVLAN2を設定します。

remote 0 name MS-Azure

IPsecインターフェースの名前(任意)を設定します。

remote 0 ap 0 name NET1

アクセスポイントの名前(任意、remote nameと同じでも可)を設定します。

remote 0 ap 0 datalink type ipsec

パケット転送方法としてIPSecを設定します。

remote 0 ap 0 multiroute pattern 0 use 192.168.10.0/24 any
172.16.10.0/24 any any any

マルチルートパターンでこのap定義を利用して送信するネットワークを設定します。
対象送信元アドレス/ネットワーク : 192.168.10.0/24
対象あて先アドレス/ネットワーク : 172.16.10.0/24

remote 0 ap 0 ipsec type ike

IPSec情報タイプにIPSec自動鍵交換を設定します。

remote 0 ap 0 ipsec ike protocol esp

自動鍵交換用Ipsec情報のセキュリティプロトコルにESP(暗号)を設定します。

remote 0 ap 0 ipsec ike range 192.168.10.0/24 172.16.10.0/24

自動鍵交換用Ipsec情報の対象範囲を設定します。
対象送信元アドレス/ネットワーク : 192.168.10.0/24
対象あて先アドレス/ネットワーク : 172.16.10.0/24

remote 0 ap 0 ipsec ike encrypt aes-cbc-256

自動鍵交換用IPSec情報の暗号情報にAES256ビットを設定します。

remote 0 ap 0 ipsec ike auth hmac-sha256

自動鍵交換用IPSec情報の認証情報にSHA256を設定します。

remote 0 ap 0 ipsec ike lifetime 1h

自動鍵交換用IPSec情報のSA有効時間に1hを設定します。

remote 0 ap 0 ipsec ike lifebyte 100000m

自動鍵交換用IPSec情報のSA 有効パケット量に100000mを設定します。

remote 0 ap 0 ike mode main

IKE ネゴシエーションの交換モードにメインモードを設定します。

remote 0 ap 0 ike shared key text abcdefghijklmnopqrstuvwxyz12345

IKEセッション確立時の共有鍵(Pre-shared key)を設定します。

remote 0 ap 0 ike proposal 0 encrypt aes-cbc-256

IKEセッション用暗号情報の暗号アルゴリズムにAES256を設定します。

remote 0 ap 0 ike proposal 0 hash hmac-sha256

IKEセッション用認証情報にSHA256を設定します。

remote 0 ap 0 ike proposal 0 pfs modp1024

IKEセッション用DH(Diffie-Hellman)グループにmodp1024を設定します。

remote 0 ap 0 ike proposal 0 lifetime 8h

IKE情報のSA有効時間を8hに設定します。

remote 0 ap 0 tunnel local xxx.xxx.xxx.xxx

IPSecトンネルの送信元アドレスの設定をします。

remote 0 ap 0 tunnel remote yyy.yyy.yyy.yyy

IPSecトンネルのあて先アドレスの設定をします。

remote 0 ap 1 name NET2

アクセスポイントの名前(任意、remote nameと同じでも可)を設定します。

remote 0 ap 1 datalink type ipsec

パケット転送方法としてIPSecを設定します。

remote 0 ap 1 multiroute pattern 0 use 192.168.20.0/24 any
172.16.10.0/24 any any any

マルチルートパターンでこのap定義を利用して送信するネットワークを設定します。
対象送信元アドレス/ネットワーク : 192.168.20.0/24
対象あて先アドレス/ネットワーク : 172.16.10.0/24

remote 0 ap 1 ipsec type ike

IPSec情報タイプにIPSec自動鍵交換を設定します。

remote 0 ap 1 ipsec ike protocol esp

自動鍵交換用Ipsec情報のセキュリティプロトコルにESP(暗号)を設定します。

remote 0 ap 1 ipsec ike range 192.168.20.0/24 172.16.10.0/24

自動鍵交換用Ipsec情報の対象範囲を設定します。
対象送信元アドレス/ネットワーク : 192.168.20.0/24
対象あて先アドレス/ネットワーク : 172.16.10.0/24

remote 0 ap 1 ipsec ike encrypt aes-cbc-256

自動鍵交換用IPSec情報の暗号情報にAES256ビットを設定します。

remote 0 ap 1 ipsec ike auth hmac-sha256

自動鍵交換用IPSec情報の認証情報にSHA256を設定します。

remote 0 ap 1 ipsec ike lifetime 1h

自動鍵交換用IPSec情報のSA有効時間に1hを設定します。

remote 0 ap 1 ipsec ike lifebyte 100000m

自動鍵交換用IPSec情報のSA 有効パケット量に100000mを設定します。

remote 0 ap 1 ike bind ap 0

利用するIKE 定義がされている接続先情報定義番号を設定します。

remote 0 ap 2 name NET3

アクセスポイントの名前(任意、remote nameと同じでも可)を設定します。

remote 0 ap 2 datalink type ipsec

パケット転送方法としてIPSecを設定します。

remote 0 ap 2 ipsec type ike

IPSec情報タイプにIPSec自動鍵交換を設定します。

remote 0 ap 2 ipsec ike protocol esp

自動鍵交換用Ipsec情報のセキュリティプロトコルにESP(暗号)を設定します。

remote 0 ap 2 ipsec ike range 192.168.30.0/24 172.16.10.0/24

自動鍵交換用Ipsec情報の対象範囲を設定します。
対象送信元アドレス/ネットワーク : 192.168.30.0/24
対象あて先アドレス/ネットワーク : 172.16.10.0/24

remote 0 ap 2 ipsec ike encrypt aes-cbc-256

自動鍵交換用IPSec情報の暗号情報にAES256ビットを設定します。

remote 0 ap 2 ipsec ike auth hmac-sha256

自動鍵交換用IPSec情報の認証情報にSHA256を設定します。

remote 0 ap 2 ipsec ike lifetime 1h

自動鍵交換用IPSec情報のSA有効時間に1hを設定します。

remote 0 ap 2 ipsec ike lifebyte 100000m

自動鍵交換用IPSec情報のSA 有効パケット量に100000mを設定します。

remote 0 ap 2 ike bind ap 0

利用するIKE 定義がされている接続先情報定義番号を設定します。

remote 0 ip route 0 172.16.10.0/24 1 1

Azure LAN側ネットワークへのスタティックルートを設定します。
172.16.10.0/24 : Azure側のLAN側ネットワークです。
1 : metric値です。通常は1で構いません。
1 : distance値です。通常は1で構いません。

remote 1 ip msschange 1350

MSS値に1350byteを設定します。

syslog facility 23

システムログ情報の出力情報/出力対象ファシリティを設定します。通常はこのままで構いません。

time zone 0900

タイムゾーンを設定します。通常はこのままで構いません。

consoleinfo autologout 8h
telnetinfo autologout 5m

シリアルコンソール、TELNETコネクションの入出力がない場合のコネクション切断時間を設定します。通常はこのままで構いません。

terminal charset SJIS

ターミナルで使用する漢字コードをShift JISコードに設定します。

ルータに関するお問い合わせ

Webでのお問い合わせ

資料請求・購入相談

技術お問い合わせ

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)