サイト間IPSec VPNの設定手順
サイト間IPSec VPNを設定するには、次のような手順を踏みます。
1.ISAKMPポリシーを設定する
2.IPSecトランスフォームセットを設定する
3.暗号ACLを設定する
4.暗号マップ(crypto map)を設定する
5.暗号マップ(crypto map)をインタフェースに適用する
6.IPSecの通信を可能にするためのACLを設定し、インタフェースに適用する
今回は、
4.暗号マップ(crypto map)を設定する
5.暗号マップ(crypto map)をインタフェースに適用する
6.IPSecの通信を可能にするためのACLを設定し、インタフェースに適用する
について解説します。
暗号マップ(crypto map)を設定する
暗号マップ(crypto map)とは、これまでに設定したトランスフォームセットや
暗号ACL、IPSec SAを構成するピアの情報をひとまとめにしたものです。また、
IPSec SAを構成するためにIKEを利用するかどうかも決められます。
crypto mapを設定するには、グローバルコンフィグレーションモードで次のよ
うに設定します。
(config)crypto map
crypto mapのモードの中で、暗号ACLやトランスフォームセットやピアを次の
ように設定します。
(config-crypto-map)#match address
暗号ACLを関連づけます。
(config-crypto-map)#set transform-set
設定しているトランスフォームセットを関連づけます。
(config-crypto-map)#set peer
IPSec SAを構成するピアのIPアドレスを設定します。
暗号マップ(crypto map)をインタフェースに適用する
crypto mapを作成しただけでは、IPSec SAを作成することはできません。crypto map
をインタフェースに適用し、crypto map内で指定されているIPパケットがやっ
てきてはじめてIPSec SAを作成するようになります。
インタフェースにcrypto mapを適用するには、インタフェースコンフィグレー
ションモードで次のように設定します。
(config-if)#crypto map
ここで、注意することはcrypto mapを適用するインタフェースです。crypto map の適用はIPSec化するパケットの出力インタフェースにします。サイト間IPSec VPN はインターネットを経由することがほとんどです。そのため、crypto mapを適 用するインタフェースは、インターネットに接続される(方向の)インタフェース です。
IPSecの通信を可能にするためのACLを設定し、インタフェースに適用する
crypto mapをインターネットに接続されるインタフェースに適用にされるわけ
ですが、通常、インターネットに接続されるインタフェースにはACLを設定し
ています。インターネット側から不要なパケットを受信しないようにするため
ですね。
IPSecの通信を行う場合、インターネット側のインタフェースのACLにIPSecを
許可する条件を追加してあげる必要があります。
IPSecを許可するには、次のプロトコルをpermitする必要があります。
IKE:UDPポート500
AH:IPプロトコル番号51
ESP:IPプロトコル番号50
典型的なACLの例は次のようになります。
(config)#access-list 100 permit ahp any any
(config)#access-list 100 permit esp any any
(config)#access-list 100 permit udp any any eq isakmp
例ではアドレスをany anyとしていますが、必要であれば、アドレスの指定を もう少し細かく行います。ACLはインタフェースへの適用も忘れないようにし てください。
