サイト間IPSec VPNの設定例
今回は、次の図のようなシンプルなネットワーク構成におけるサイト間IPSec VPN の設定例を考えましょう。
図 サイト間IPSec VPNの設定例 構成
インターネットを介して、2つの拠点のLAN1、LAN2を接続するサイト間IPSec VPN です。
ISAKMPポリシーの設定
まずは、IKEフェーズ1、すなわちISAKMPポリシーを設定し。今回、ISAKMPポリ シーは次の通りとします。
・ピア認証:PSK(Pre Shared Key)
・キー:「password」
・ハッシュアルゴリズム:SHA
・暗号化アルゴリズム:AES128ビット
・Diffie-Hellman交換:グループ2
このポリシーに基づいたVPNGW1の設定は次のようになります。
【VPNGW1】
crypto isakmp policy 10
authentication pre-shared
hash sha
encryption aes 128
group 2
crypto isakmp key password address 100.2.2.2
VPNGW2の設定は、ピアのアドレスが変わるだけでVPNGW1とほとんど同じです。
【VPNGW1】
crypto isakmp policy 10
authentication pre-shared
hash sha
encryption aes 128
group 2
crypto isakmp key password address 100.1.1.1
IPSecトランスフォームセットの設定
次にIPSec SAでどのような暗号化・ハッシュアルゴリズムを利用するかという
IPSecトランスフォームセットの設定を考えます。
今回のサンプルでは、次の通りとします。
・暗号化アルゴリズム:AES128ビット
・ハッシュアルゴリズム:SHA
・トランスフォームセット名:「aes-sha」
上記に基づいたVPNGW1/VPNGW2のトランスフォームセットの設定はどちらも同 じで、次のようになります。
【VPNGW1/VPNGW2】
crypto ipsec transform-set aes-sha esp-aes 128 esp-sha-hmac
暗号ACLの設定
続いて、IPSecによって暗号化する対象パケットを指定するための暗号ACLを設 定します。IPSec化するパケットは、それぞれの拠点のLAN間通信すべてとしま す。VPNGW1、VPNGW2それぞれで考えると次のようになります。
【VPNGW1】
・送信元IPアドレス:192.168.1.0/24
・送信先IPアドレス:192.168.2.0/24
【VPNGW2】
・送信元IPアドレス:192.168.2.0/24
・送信先IPアドレス:192.168.1.0/24
VPNGW1とVPNGW2では、アドレスの情報が反転することに注意してください。こ の辺が設定ミスが多いところです。暗号ACLの設定は次のようになります。
【VPNGW1】
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
【VPNGW2】
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
暗号マップ(crypto map)の設定
そして、キーの管理方法やIPSecピア、IPSec化対象パケット、トランスフォー ムセットの情報をまとめる暗号マップを設定します。
【VPNGW1】
crypto map VPN_TO_GW2 10 ipsec-isakmp
set peer 100.2.2.2
match address 100
set transform-set aes-sha
【VPNGW2】
crypto map VPN_TO_GW1 10 ipsec-isakmp
set peer 100.1.1.1
match address 100
set transform-set aes-sha
crypto mapの中の「ipsec-isakmp」は、キーの管理にISAKMPを利用することを 表しています。
暗号マップの適用
暗号マップは、定義しただけでは全く意味がありません。適切なインタフェー スに適用する必要があります。暗号マップを適用するのは、インターネットに 接続される方向のインタフェースです。今回の例では、VPNGW1/VPNGW2ともにSe0/0 です。
【VPNGW1】
interface serial 0/0
crypto map VPN_TO_GW2
【VPNGW2】
interface serial 0/0
crypto map VPN_TO_GW1
暗号マップの適用には方向はありません。適用したインタフェースから出力す るときに暗号マップの内容にしたがって、パケットをIPSec化します。
また、大事なポイントはルーティングがきちんとできていないとダメだという ことです。お互いのLANあてのパケットをルーティングできるようにSerial0/0 から出力できるようにしておかないとIPSec化できません。多くの場合、スタ ティックルートの設定を行います。今回の構成例では、次のようなスタティッ クルートを設定するといいでしょう。
【VPNGW1】
ip route 192.168.2.0 255.255.255.0 100.2.2.2
【VPNGW2】
ip route 192.168.1.0 255.255.255.0 100.1.1.1
RIP、OSPFなどのルーティングプロトコルを利用することもできますが、ちょ っと工夫が必要です。
ACLの設定
インターネットに接続するインタフェースは、セキュリティのため、通常のACL によるパケットフィルタを行っていることがほとんどです。インターネットを 介してIPSec化したパケットを送受信するためには、ACLに条件を追加しなけれ ばいけません。今回の例で、追加するACLの条件の例は次の通りです。
【VPNGW1】
access-list 101 permit ahp host 100.2.2.2 host 100.1.1.1
access-list 101 permit esp host 100.2.2.2 host 100.1.1.1
access-list 101 permit udp host 100.2.2.2 host 100.1.1.1 eq isakmp
interface serial 0/0
ip access-group 101 in
【VPNGW2】
access-list 101 permit ahp host 100.1.1.1 host 100.2.2.2
access-list 101 permit esp host 100.1.1.1 host 100.2.2.2
access-list 101 permit udp host 100.1.1.1 host 100.2.2.2 eq isakmp
interface serial 0/0
ip access-group 101 in
このACLは、インターネット接続のインタフェースのインで適用し、ピアのIP アドレスから自分のIPアドレスあてのAH、ESPおよびISAKMP(UDP500)をpermit しているものです。
設定のまとめ
ここまでのサイト間IPSec VPNの設定を図にまとめます。
図 サイト間IPSec VPNの設定例 まとめ
