<前頁 次頁> << >> ↓ 目次 (番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細))
CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #86
インターネット上に暗号化されたトンネルを張り、2つの拠点をIP接続するIPsec VPNの設定例です(自動鍵管理)。ダイヤルアップ接続など、片側の拠点のIPアドレスが不定な場合の基本設定です。なお、この例ではIPsecの基本設定を示すため、各拠点からインターネットへのアクセスについては考慮していません。
ここでは、次のようなネットワーク構成を例に解説します。Note - IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに別売の暗号ボード(AR010)または暗号・圧縮ボード(AR011)を装着する必要があります。
TDMグループ名 | ISPA | − |
回線速度 | 128Kbps | − |
ISDNコール名 | − | ISPB |
ISPアクセスポイントの番号 | − | 03-1234-5678 |
WAN側物理インターフェース | bri0 | bri0 |
PPPユーザー名 | − | ispuser |
PPPパスワード | − | isppasswd |
WAN側(ppp0)IPアドレス | 200.100.10.1/28 | 0.0.0.0(動的割り当て) |
LAN側(eth0)IPアドレス | 192.168.10.1/24 | 192.168.20.1/24 |
ルーター間の認証方式 | 事前共有鍵(pre-shared key) |
IKE交換モード | Aggressiveモード |
事前共有鍵 | 0x112233445566778899(16進数) |
ルーターAの認証ID | IPアドレス:200.100.10.1(デフォルト) |
ルーターBの認証ID | 名前:remote |
Oakleyグループ | 1(デフォルト) |
ISAKMPメッセージの暗号化方式 | DES(デフォルト) |
ISAKMPメッセージの認証方式 | SHA1(デフォルト) |
ISAKMP SAの有効期限(時間) | 86400秒(24時間)(デフォルト) |
ISAKMP SAの有効期限(Kbyte数) | なし(デフォルト) |
起動時のISAKMPネゴシエーション | 行わない |
SAモード | トンネルモード |
セキュリティープロトコル | ESP(暗号+認証) |
暗号化方式 | DES |
認証方式 | SHA1 |
IPComp | 使う |
IPsec SAの有効期限(時間) | 28800秒(8時間)(デフォルト) |
IPsec SAの有効期限(Kbyte数) | なし(デフォルト) |
トンネリング対象IPアドレス | 192.168.10.0/24 ←→ 192.168.20.0/24 |
トンネル終端アドレス | 200.100.10.1(A)・ 不定(B) |
インターネットとの平文通信 | 行わない |
ルーターAの設定 |
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=ISPA INT=bri0 SLOTS=1-2 ↓
CREATE PPP=0 OVER=TDM-ISPA LQR=OFF ↓
ENABLE IP ↓
ADD IP INT=eth0 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=200.100.10.1 MASK=255.255.255.240 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
SET ENCO SW STACCHANNELS=2 ↓
Note - 暗号・圧縮ボード(AR011)または圧縮ボード(AR012)を装着しているときは、ハードウェアで圧縮処理を行いますので、上記のコマンドは必要ありません。圧縮ボード装着時に上記コマンドを実行すると、ルーターのリソース(メモリー)が無駄になるのでご注意ください。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="0x112233445566778899" ↓
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE REMOTEID="remote" MODE=AGGRESSIVE ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=COMP COMPALG=LZS ↓
CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1 AND 2" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓
SET IPSEC POLICY="vpn" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
LOGIN secoff ↓
ENABLE SYSTEM SECURITY_MODE ↓
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
ルーターBの設定 |
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
ADD ISDN CALL=ISPB NUMBER=0312345678 PREC=OUT ↓
CREATE PPP=0 OVER=ISDN-ISPB IPREQUEST=ON IDLE=60 LQR=OFF ↓
SET PPP=0 USERNAME="ispuser" PASSWORD="isppasswd" ↓
ENABLE IP ↓
ENABLE IP REMOTEASSIGN ↓
ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
SET ENCO SW STACCHANNELS=2 ↓
Note - 暗号・圧縮ボード(AR011)または圧縮ボード(AR012)を装着しているときは、ハードウェアで圧縮処理を行いますので、上記のコマンドは必要ありません。圧縮ボード装着時に上記コマンドを実行すると、ルーターのリソース(メモリー)が無駄になるのでご注意ください。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="0x112233445566778899" ↓
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
CREATE ISAKMP POLICY="i" PEER=200.100.10.1 KEY=1 SENDN=TRUE LOCALID="remote" MODE=AGGRESSIVE ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=COMP COMPALG=LZS ↓
CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1 AND 2" ↓
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1 ↓
SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
LOGIN secoff ↓
ENABLE SYSTEM SECURITY_MODE ↓
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
メモ |
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
ADD USER RSO IP=192.168.20.0 MASK=255.255.255.0 ↓
SET USER SECUREDELAY=300 ↓
まとめ |
ルーターAのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ |
ルーターBのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ |
(C) 1997 - 2005 アライドテレシスホールディングス株式会社
PN: J613-M0507-00 Rev.H