H O M E > ネットワークのおべんきょしませんか? Cisco CCNA/CCNP/CCIE、ネットワークスペシャリスト試験の勉強にピッタリ > 2007年12月
(所属カテゴリー:ネットワークセキュリティ---投稿日時:2007年12月31日)
サイト間IPSec VPNを設定するには、次のような手順を踏みます。
1.ISAKMPポリシーを設定する
2.IPSecトランスフォームセットを設定する
3.暗号ACLを設定する
4.暗号マップ(crypto map)を設定する
5.暗号マップ(crypto map)をインタフェースに適用する
6.IPSecの通信を可能にするためのACLを設定し、インタフェースに適用する
今回は、
2.IPSecトランスフォームセットを設定する
3.暗号ACLを設定する
について解説します。
IPSecトランスフォームセットの設定は、グローバルコンフィグレーションモ ードで次のコマンドを入力します。
(config)#crypto ipsec transform-set <transform-set-name> <transform1> [<transform2>] [<transform3>] [<transform4>]
IPSecトランスフォームセットは、IPSecのセキュリティプロトコルとしてESP、
AHのどちらを使うか、暗号化アルゴリズム、ハッシュアルゴリズムの指定です。
指定できるトランスフォームセットのパラメータとして、主なものは次の通り
です。
AH
ESP暗号化
ESP認証
たとえば、「transformset1」という名前でセキュリティプロトコルとしてESP を利用し、3DESの暗号化、md5のハッシュアルゴリズムを用いるのトランスフ ォームセットの設定は次のようになります。
(config)#crypto ipsec transform-set transformset1 esp-3des esp-md5-hmac
設定したトランスフォームセットは、crypto mapの中で関連づけてはじめて、 意味を持ちます。
暗号ACLは、通常の標準もしくは拡張アクセスリストです。コマンド構文は、 次の通りです。
(config)#access-list <ACL-num> {permit|deny} {condition}
暗号ACLの目的は、IPSecによって保護するパケットを指定することです。その
ため、パケットフィルタリングで利用するACLとpermit/denyの意味が異なるの
で注意してください。
暗号ACLでのparmitは、IPSecによって保護する、つまりESPやAHのヘッダを付
加するパケットです。一方、暗号ACLでdenyとなるパケットは、IPSecによって
保護されずそのままで転送されることになります。denyであっても、パケット
が捨てられるわけではありません。
たとえば、送信元IPアドレスが192.168.1.0/24のサブネットで、送信先IPアド レスが192.168.2.0/24のサブネットであるIPパケットをIPSecの対象とする暗 号ACLは次のようになります。
(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
やはり、最後に暗黙のdenyがあります。この暗号ACLでpermitされているパケ ットがIPSec化されます。暗黙のdenyでdenyされるその他のパケットは、IPSec 化されずにそのまま転送されます。
暗号ACLは、トランスフォームセットと同じくcrypto mapで関連づける必要が あります。