サイト間IPSec VPNの設定手順
サイト間IPSec VPNを設定するには、次のような手順を踏みます。
1.ISAKMPポリシーを設定する
2.IPSecトランスフォームセットを設定する
3.暗号ACLを設定する
4.暗号マップ(crypto map)を設定する
5.暗号マップ(crypto map)をインタフェースに適用する
6.IPSecの通信を可能にするためのACLを設定し、インタフェースに適用する
以下で、このサイト間IPSec VPNの設定コマンドを紹介します。
ISAKMPポリシーの設定
ISAKMPポリシーを設定するには、グローバルコンフィグレーションモードで 次のコマンドを入力します。
(config)#crypto isakmp policy <priority>
<priority>は、ISAKMPポリシーの優先順位で複数のISAKMPポリシーがあるとき、
<priority>が小さいISAKMPポリシーからピアとネゴシエーションします。
具体的にネゴシエーションするISAKMPポリシーのパラメータは、次のコマンド
で設定します。
(config)#crypto isakmp policy <priority>
(config-isakmp)#encryption
(config-isakmp)#hash
(config-isakmp)#authenticaion
(config-isakmp)#group
(config-isakmp)#lifetime
各パラメータのデフォルト値は、次のように決まっています。
- encryption; default = 56-bit DES-CBC
- hash; default = SHA-1
- authenticaion; default = RSA signatures
- group ; default = 768-bit Diffie-Hellman
- lifetime ; default = 86,400 秒 (1日)
パラメータの設定を省略すると、デフォルト値が適用されます。
そして、ISAKMP SAを確立するピア認証でPSK(pre shared key)を利用する場合 には、ピア間で共通の秘密鍵を設定します。そのためのコマンドは、次の通り です。
(config)#crypto isakmp key <keystring> address <peer-address>
