サイト間IPSec VPNの設定手順
サイト間IPSec VPNを設定するには、次のような手順を踏みます。
1.ISAKMPポリシーを設定する
2.IPSecトランスフォームセットを設定する
3.暗号ACLを設定する
4.暗号マップ(crypto map)を設定する
5.暗号マップ(crypto map)をインタフェースに適用する
6.IPSecの通信を可能にするためのACLを設定し、インタフェースに適用する
今回は、
2.IPSecトランスフォームセットを設定する
3.暗号ACLを設定する
について解説します。
IPSecトランスフォームセットの設定
IPSecトランスフォームセットの設定は、グローバルコンフィグレーションモ ードで次のコマンドを入力します。
(config)#crypto ipsec transform-set <transform-set-name> <transform1> [<transform2>] [<transform3>] [<transform4>]
IPSecトランスフォームセットは、IPSecのセキュリティプロトコルとしてESP、
AHのどちらを使うか、暗号化アルゴリズム、ハッシュアルゴリズムの指定です。
指定できるトランスフォームセットのパラメータとして、主なものは次の通り
です。
AH
- ah-md5-hmac
- ah-sha-hmac
ESP暗号化
- esp-aes
- esp-aes 192
- esp-aes 256
- esp-des
- esp-3des
ESP認証
- esp-md5-hmac
- esp-sha-hmac
たとえば、「transformset1」という名前でセキュリティプロトコルとしてESP を利用し、3DESの暗号化、md5のハッシュアルゴリズムを用いるのトランスフ ォームセットの設定は次のようになります。
(config)#crypto ipsec transform-set transformset1 esp-3des esp-md5-hmac
設定したトランスフォームセットは、crypto mapの中で関連づけてはじめて、 意味を持ちます。
暗号ACLを設定する
暗号ACLは、通常の標準もしくは拡張アクセスリストです。コマンド構文は、 次の通りです。
(config)#access-list <ACL-num> {permit|deny} {condition}
暗号ACLの目的は、IPSecによって保護するパケットを指定することです。その
ため、パケットフィルタリングで利用するACLとpermit/denyの意味が異なるの
で注意してください。
暗号ACLでのparmitは、IPSecによって保護する、つまりESPやAHのヘッダを付
加するパケットです。一方、暗号ACLでdenyとなるパケットは、IPSecによって
保護されずそのままで転送されることになります。denyであっても、パケット
が捨てられるわけではありません。
たとえば、送信元IPアドレスが192.168.1.0/24のサブネットで、送信先IPアド レスが192.168.2.0/24のサブネットであるIPパケットをIPSecの対象とする暗 号ACLは次のようになります。
(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
やはり、最後に暗黙のdenyがあります。この暗号ACLでpermitされているパケ ットがIPSec化されます。暗黙のdenyでdenyされるその他のパケットは、IPSec 化されずにそのまま転送されます。
暗号ACLは、トランスフォームセットと同じくcrypto mapで関連づける必要が あります。
