ネットワークのおべんきょしませんか？ Cisco CCNA/CCNP/CCIE、ネットワークスペシャリスト試験の勉強にピッタリ

2007年12月アーカイブの最新記事

IPSec その7

（所属カテゴリー：ネットワークセキュリティ---投稿日時：2007年12月31日）

サイト間IPSec VPNの設定手順

サイト間IPSec VPNを設定するには、次のような手順を踏みます。

1.ISAKMPポリシーを設定する
2.IPSecトランスフォームセットを設定する
3.暗号ACLを設定する
4.暗号マップ(crypto map)を設定する
5.暗号マップ(crypto map)をインタフェースに適用する
6.IPSecの通信を可能にするためのACLを設定し、インタフェースに適用する

今回は、

2.IPSecトランスフォームセットを設定する
3.暗号ACLを設定する

について解説します。

IPSecトランスフォームセットの設定

IPSecトランスフォームセットの設定は、グローバルコンフィグレーションモ ードで次のコマンドを入力します。

(config)#crypto ipsec transform-set <transform-set-name> <transform1> [<transform2>] [<transform3>] [<transform4>]

IPSecトランスフォームセットは、IPSecのセキュリティプロトコルとしてESP、 AHのどちらを使うか、暗号化アルゴリズム、ハッシュアルゴリズムの指定です。
指定できるトランスフォームセットのパラメータとして、主なものは次の通り です。

AH

• ah-md5-hmac
• ah-sha-hmac

ESP暗号化

• esp-aes
• esp-aes 192
• esp-aes 256
• esp-des
• esp-3des

ESP認証

• esp-md5-hmac
• esp-sha-hmac

たとえば、「transformset1」という名前でセキュリティプロトコルとしてESP を利用し、3DESの暗号化、md5のハッシュアルゴリズムを用いるのトランスフ ォームセットの設定は次のようになります。

(config)#crypto ipsec transform-set transformset1 esp-3des esp-md5-hmac

設定したトランスフォームセットは、crypto mapの中で関連づけてはじめて、 意味を持ちます。

暗号ACLを設定する

暗号ACLは、通常の標準もしくは拡張アクセスリストです。コマンド構文は、 次の通りです。

(config)#access-list <ACL-num> {permit|deny} {condition}

暗号ACLの目的は、IPSecによって保護するパケットを指定することです。その ため、パケットフィルタリングで利用するACLとpermit/denyの意味が異なるの で注意してください。
暗号ACLでのparmitは、IPSecによって保護する、つまりESPやAHのヘッダを付 加するパケットです。一方、暗号ACLでdenyとなるパケットは、IPSecによって 保護されずそのままで転送されることになります。denyであっても、パケット が捨てられるわけではありません。

たとえば、送信元IPアドレスが192.168.1.0/24のサブネットで、送信先IPアド レスが192.168.2.0/24のサブネットであるIPパケットをIPSecの対象とする暗 号ACLは次のようになります。

(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

やはり、最後に暗黙のdenyがあります。この暗号ACLでpermitされているパケ ットがIPSec化されます。暗黙のdenyでdenyされるその他のパケットは、IPSec 化されずにそのまま転送されます。

暗号ACLは、トランスフォームセットと同じくcrypto mapで関連づける必要が あります。