この部分の広告を募集しています。 詳しくはこちら

IPSec その7

(所属カテゴリー:ネットワークセキュリティ---投稿日時:2007年12月31日)

サイト間IPSec VPNの設定手順

サイト間IPSec VPNを設定するには、次のような手順を踏みます。

1.ISAKMPポリシーを設定する
2.IPSecトランスフォームセットを設定する
3.暗号ACLを設定する
4.暗号マップ(crypto map)を設定する
5.暗号マップ(crypto map)をインタフェースに適用する
6.IPSecの通信を可能にするためのACLを設定し、インタフェースに適用する

今回は、

2.IPSecトランスフォームセットを設定する
3.暗号ACLを設定する

について解説します。

IPSecトランスフォームセットの設定

IPSecトランスフォームセットの設定は、グローバルコンフィグレーションモ ードで次のコマンドを入力します。

(config)#crypto ipsec transform-set <transform-set-name> <transform1> [<transform2>] [<transform3>] [<transform4>]

IPSecトランスフォームセットは、IPSecのセキュリティプロトコルとしてESP、 AHのどちらを使うか、暗号化アルゴリズム、ハッシュアルゴリズムの指定です。
指定できるトランスフォームセットのパラメータとして、主なものは次の通り です。

AH

  • ah-md5-hmac
  • ah-sha-hmac

ESP暗号化

  • esp-aes
  • esp-aes 192
  • esp-aes 256
  • esp-des
  • esp-3des

ESP認証

  • esp-md5-hmac
  • esp-sha-hmac

たとえば、「transformset1」という名前でセキュリティプロトコルとしてESP を利用し、3DESの暗号化、md5のハッシュアルゴリズムを用いるのトランスフ ォームセットの設定は次のようになります。

(config)#crypto ipsec transform-set transformset1 esp-3des esp-md5-hmac

設定したトランスフォームセットは、crypto mapの中で関連づけてはじめて、 意味を持ちます。

暗号ACLを設定する

暗号ACLは、通常の標準もしくは拡張アクセスリストです。コマンド構文は、 次の通りです。

(config)#access-list <ACL-num> {permit|deny} {condition}

暗号ACLの目的は、IPSecによって保護するパケットを指定することです。その ため、パケットフィルタリングで利用するACLとpermit/denyの意味が異なるの で注意してください。
暗号ACLでのparmitは、IPSecによって保護する、つまりESPやAHのヘッダを付 加するパケットです。一方、暗号ACLでdenyとなるパケットは、IPSecによって 保護されずそのままで転送されることになります。denyであっても、パケット が捨てられるわけではありません。

たとえば、送信元IPアドレスが192.168.1.0/24のサブネットで、送信先IPアド レスが192.168.2.0/24のサブネットであるIPパケットをIPSecの対象とする暗 号ACLは次のようになります。

(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

やはり、最後に暗黙のdenyがあります。この暗号ACLでpermitされているパケ ットがIPSec化されます。暗黙のdenyでdenyされるその他のパケットは、IPSec 化されずにそのまま転送されます。

暗号ACLは、トランスフォームセットと同じくcrypto mapで関連づける必要が あります。

Google
Web n-study.com

各コンテンツの最新記事

有料コンテンツライブラリ(ITエンジニア教育資料)

ネットワーク技術雑誌レビュー

ベンダ資格受験記

オススメ!ネットワーク技術雑誌・書籍

MindMapでおべんきょ

結果を出せるコーチング

Geneのつぶやき

The Power of Words

スポンサードリンク

スポンサードリンク