この部分の広告を募集しています。 詳しくはこちら

IPSec その9

(所属カテゴリー:ネットワークセキュリティ---投稿日時:2008年1月11日)

サイト間IPSec VPNの設定例

今回は、次の図のようなシンプルなネットワーク構成におけるサイト間IPSec VPN の設定例を考えましょう。

図 サイト間IPSec VPNの設定例 構成

インターネットを介して、2つの拠点のLAN1、LAN2を接続するサイト間IPSec VPN です。

ISAKMPポリシーの設定

まずは、IKEフェーズ1、すなわちISAKMPポリシーを設定し。今回、ISAKMPポリ シーは次の通りとします。

・ピア認証:PSK(Pre Shared Key)
・キー:「password」
・ハッシュアルゴリズム:SHA
・暗号化アルゴリズム:AES128ビット
・Diffie-Hellman交換:グループ2

このポリシーに基づいたVPNGW1の設定は次のようになります。

【VPNGW1】
crypto isakmp policy 10
authentication pre-shared
hash sha
encryption aes 128
group 2

crypto isakmp key password address 100.2.2.2

VPNGW2の設定は、ピアのアドレスが変わるだけでVPNGW1とほとんど同じです。

【VPNGW1】
crypto isakmp policy 10
authentication pre-shared
hash sha
encryption aes 128
group 2

crypto isakmp key password address 100.1.1.1

IPSecトランスフォームセットの設定

次にIPSec SAでどのような暗号化・ハッシュアルゴリズムを利用するかという IPSecトランスフォームセットの設定を考えます。
今回のサンプルでは、次の通りとします。

・暗号化アルゴリズム:AES128ビット
・ハッシュアルゴリズム:SHA
・トランスフォームセット名:「aes-sha」

上記に基づいたVPNGW1/VPNGW2のトランスフォームセットの設定はどちらも同 じで、次のようになります。

【VPNGW1/VPNGW2】
crypto ipsec transform-set aes-sha esp-aes 128 esp-sha-hmac

暗号ACLの設定

続いて、IPSecによって暗号化する対象パケットを指定するための暗号ACLを設 定します。IPSec化するパケットは、それぞれの拠点のLAN間通信すべてとしま す。VPNGW1、VPNGW2それぞれで考えると次のようになります。

【VPNGW1】
・送信元IPアドレス:192.168.1.0/24
・送信先IPアドレス:192.168.2.0/24

【VPNGW2】
・送信元IPアドレス:192.168.2.0/24
・送信先IPアドレス:192.168.1.0/24

VPNGW1とVPNGW2では、アドレスの情報が反転することに注意してください。こ の辺が設定ミスが多いところです。暗号ACLの設定は次のようになります。

【VPNGW1】
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

【VPNGW2】
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

暗号マップ(crypto map)の設定

そして、キーの管理方法やIPSecピア、IPSec化対象パケット、トランスフォー ムセットの情報をまとめる暗号マップを設定します。

【VPNGW1】
crypto map VPN_TO_GW2 10 ipsec-isakmp
set peer 100.2.2.2
match address 100
set transform-set aes-sha

【VPNGW2】
crypto map VPN_TO_GW1 10 ipsec-isakmp
set peer 100.1.1.1
match address 100
set transform-set aes-sha

crypto mapの中の「ipsec-isakmp」は、キーの管理にISAKMPを利用することを 表しています。

暗号マップの適用

暗号マップは、定義しただけでは全く意味がありません。適切なインタフェー スに適用する必要があります。暗号マップを適用するのは、インターネットに 接続される方向のインタフェースです。今回の例では、VPNGW1/VPNGW2ともにSe0/0 です。

【VPNGW1】
interface serial 0/0
crypto map VPN_TO_GW2

【VPNGW2】
interface serial 0/0
crypto map VPN_TO_GW1

暗号マップの適用には方向はありません。適用したインタフェースから出力す るときに暗号マップの内容にしたがって、パケットをIPSec化します。

また、大事なポイントはルーティングがきちんとできていないとダメだという ことです。お互いのLANあてのパケットをルーティングできるようにSerial0/0 から出力できるようにしておかないとIPSec化できません。多くの場合、スタ ティックルートの設定を行います。今回の構成例では、次のようなスタティッ クルートを設定するといいでしょう。

【VPNGW1】
ip route 192.168.2.0 255.255.255.0 100.2.2.2

【VPNGW2】
ip route 192.168.1.0 255.255.255.0 100.1.1.1

RIP、OSPFなどのルーティングプロトコルを利用することもできますが、ちょ っと工夫が必要です。

ACLの設定

インターネットに接続するインタフェースは、セキュリティのため、通常のACL によるパケットフィルタを行っていることがほとんどです。インターネットを 介してIPSec化したパケットを送受信するためには、ACLに条件を追加しなけれ ばいけません。今回の例で、追加するACLの条件の例は次の通りです。

【VPNGW1】
access-list 101 permit ahp host 100.2.2.2 host 100.1.1.1
access-list 101 permit esp host 100.2.2.2 host 100.1.1.1
access-list 101 permit udp host 100.2.2.2 host 100.1.1.1 eq isakmp

interface serial 0/0
ip access-group 101 in

【VPNGW2】
access-list 101 permit ahp host 100.1.1.1 host 100.2.2.2
access-list 101 permit esp host 100.1.1.1 host 100.2.2.2
access-list 101 permit udp host 100.1.1.1 host 100.2.2.2 eq isakmp

interface serial 0/0
ip access-group 101 in

このACLは、インターネット接続のインタフェースのインで適用し、ピアのIP アドレスから自分のIPアドレスあてのAH、ESPおよびISAKMP(UDP500)をpermit しているものです。

設定のまとめ

ここまでのサイト間IPSec VPNの設定を図にまとめます。

図 サイト間IPSec VPNの設定例 まとめ

Google
Web n-study.com

各コンテンツの最新記事

有料コンテンツライブラリ(ITエンジニア教育資料)

ネットワーク技術雑誌レビュー

ベンダ資格受験記

オススメ!ネットワーク技術雑誌・書籍

MindMapでおべんきょ

結果を出せるコーチング

Geneのつぶやき

The Power of Words

スポンサードリンク

スポンサードリンク