ネットワークのおべんきょしませんか？ Cisco CCNA/CCNP/CCIE、ネットワークスペシャリスト試験の勉強にピッタリ

2008年1月アーカイブの最新記事

IPSec　その11

（所属カテゴリー：ネットワークセキュリティ---投稿日時：2008年1月25日）

インターネットVPNを利用したバックアップの構成

インターネットVPNを利用したバックアップの構成を考えてみましょう。次の 図です。

図 インターネットVPNによるバックアップ構成例

拠点間を専用線で接続していることを想定しています。ルーティングプロトコ ルは、CiscoのEIGRPを使っているものとします。専用線でポイントツーポイン ト接続しているならルーティングプロトコルは特に必要ありません。
でも、専用線が切れてしまったときにインターネットVPN経由に経路を切り替 えるために、ルーティングプロトコルを利用します。
例では、EIGRPを使っていますがRIPでもOSPFでももちろん使えます。

GREトンネルの作成

まずは、GREトンネルを作成します。GREトンネルによって、インターネット経 由であたかもR1とR2がポイントツーポイントで接続されているかのようにしま す。
ポイントツーポイント接続したGREトンネルで、IPパケットをルーティングす るためには当然、IPアドレスが必要です。この部分は、プライベートアドレス でいいです。インターネットを経由していても、GREトンネルは内部ネットワ ーク扱いです。

R1、R2の設定は、次のようになります。

【R1】
interface tunnel 0
tunnel source serial0/0
tunnel destination 200.2.2.2
ip address 10.0.1.1 255.255.255.0

【R2】
interface tunnel 0
tunnel source serial0/0
tunnel destination 200.1.1.1
ip address 10.0.1.2 255.255.255.0

Tunnelインタフェースは、tunnel destinationのIPアドレスに到達可能でなけ ればいけません。そのためには、インターネット側へのルーティングができて いないといけません。今回は、デフォルトルートを設定しておきます。 R1、R2ともに次のように設定します。

【R1/R2】
ip route 0.0.0.0 0.0.0.0 serial0/0

これでR1とR2間のGREトンネルの設定は完了です。GREトンネルによって、R1と R2はまるでポイントツーポイント接続されているかのように見えることになり ます。

ルーティングの設定

R1とR2間でEIGRPの設定を行います。GREトンネル上でもEIGRPを動作させるこ とで、GREトンネル経由でお互いの拠点のルート情報を学習できます。GREトン ネルは、インタフェースの帯域幅が小さいので、EIGRPでは最適ルートとして 専用線経由のルートを選択します。つまり、専用線が正常な場合は、専用線経 由のルートがルーティングテーブルに載っています。

もし、専用線が切れてしまったら代わりにGREトンネル経由のルートがルーテ ィングテーブルに載ります。

【R1/R2】

router eigrp 1
network 10.0.0.0

図 GREトンネルとEIGRPの構成

IPSecの設定

あとは、GREトンネル経由で送信されるパケットをIPSecで暗号化するだけです。 ここで普通のIPSecの設定と違ってくるのは、IPSec化する対象パケットの指定 です。

R1およびR2のTunnelインタフェースからルーティングされるパケットは次のよ うにカプセル化されています。

図 GREカプセル化されたパケット

このGREでカプセル化されたパケットは、インターネットに接続されているSerial0/0 からルーティングされることになります。IPSecのcrypto mapはインターネッ トに接続されるSerial0/0に適用します。つまり、IPSecの対象パケットは、GRE カプセル化したパケットを指定すればよいことになります。
R1では、

送信先IPアドレス：200.2.2.2
送信元IPアドレス：200.1.1.1
プロトコル：GRE

のパケットです。

R2では、

送信先IPアドレス：200.1.1.1
送信元IPアドレス：200.2.2.2
プロトコル：GRE

のパケットです。
上記のIPSec化対象パケットを指定する暗号アクセスリストは次のようになり ます。

【R1】
access-list 100 permit gre host 200.1.1.1 host 200.2.2.2

【R2】
access-list 100 permit gre host 200.2.2.2 host 200.1.1.1

GRE over IPSecは、この暗号アクセスリストさえ気をつければ、あとは普通の IPSecの設定と同じです。

次の条件でIPSecの設定を考えます。

IKEフェーズ1
・ピア認証：PSK(Pre Shared Key)
・キー：「password」
・ハッシュアルゴリズム：SHA
・暗号化アルゴリズム：AES128ビット
・Diffie-Hellman交換：グループ2

IPSecトランスフォームセット
・暗号化アルゴリズム：AES128ビット
・ハッシュアルゴリズム：SHA
・トランスフォームセット名：「aes-sha」

この条件に基づく設定は次のようになります。

【R1】
～IKEフェーズ1～
crypto isakmp policy 10
authentication pre-shared
hash sha
encryption aes 128
group 2

crypto isakmp key password address 200.2.2.2

～IPSecトランスフォームセット～
crypto ipsec transform-set aes-sha esp-aes 128 esp-sha-hmac

～暗号アクセスリスト～
access-list 100 permit gre host 200.1.1.1 host 200.2.2.2

～crypto map～
crypto map VPN_TO_R2 10 ipsec-isakmp
set peer 200.2.2.2
match address 100
set transform-set aes-sha

interface serial 0/0
crypto map VPN_TO_R2

【R2】
～IKEフェーズ1～
crypto isakmp policy 10
authentication pre-shared
hash sha
encryption aes 128
group 2

crypto isakmp key password address 200.1.1.1

～IPSecトランスフォームセット～
crypto ipsec transform-set aes-sha esp-aes 128 esp-sha-hmac

～暗号アクセスリスト～
access-list 100 permit gre host 200.2.2.2 host 200.1.1.1

～crypto map
crypto map VPN_TO_R1 10 ipsec-isakmp
set peer 200.1.1.1
match address 100
set transform-set aes-sha

interface serial 0/0
crypto map VPN_TO_R1

設定のまとめ

ここまでのインターネットVPN(GRE over IPSec)によるバックアップ構成の設 定を図にまとめます。

図 インターネットVPNによるバックアップ設定のまとめ