<前頁 次頁> << >> ↓ 目次 (番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細))
CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #84
IP層で暗号化とデータ認証を行うIPsecの設定例です。手動で鍵とSAの設定を行う手動鍵管理の設定例です。ISDNによるIP3点間接続の構成例をもとに解説しています。
ここでは、次のようなネットワーク構成を例に解説します。Note - IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに別売の暗号ボード(AR010)または暗号・圧縮ボード(AR011)を装着する必要があります。
ISDN番号 | 03-1234-1111 | 06-1234-2222 | 045-123-3333 |
ISDNコール名(1) | AB(対B) | BA(対A) | CA(対A) |
ISDNコール名(2) | AC(対C) | BC(対C) | CB(対B) |
ISDN発着優先(1) | 着呼優先(対B) | 発呼優先(対A) | 発呼優先(対A) |
ISDN発着優先(2) | 着呼優先(対C) | 着呼優先(対C) | 発呼優先(対B) |
ISDN識別方式 | 発番号識別 | 発番号識別 | 発番号識別 |
WAN側物理インターフェース | bri0 | bri0 | bri0 |
WAN側(ppp0)IPアドレス | 192.168.100.1/24(対B) | 192.168.100.2/24(対A) | 192.168.130.3/24(対A) |
WAN側(ppp1)IPアドレス | 192.168.130.1/24(対C) | 192.168.120.2/24(対C) | 192.168.120.3/24(対B) |
LAN側(eth0)IPアドレス | 192.168.10.1/24 | 192.168.20.1/24 | 192.168.30.1/24 |
SAモード | トンネルモード | トンネルモード | トンネルモード |
セキュリティープロトコル | ESP(暗号化+認証) | ESP(暗号化+認証) | ESP(暗号化+認証) |
暗号化方式 | DES | DES | DES |
暗号鍵 | 0x1122334455667788(8バイト) | 0x2233445566778899(8バイト) | 0x3344556677889900(8バイト) |
認証方式 | SHA1 | SHA1 | SHA1 |
認証鍵 | 0x11223344556677881122 33445566778811223344(20バイト) | 0x22334455667788992233 44556677889922334455(20バイト) | 0x33445566778899003344 55667788990033445566(20バイト) |
IPComp | 使わない | 使わない | 使わない |
SPI | 1000(A→B)・1001(B→A) | 2000(A→C)・2001(C→A) | 3000(B→C)・3001(C→B) |
トンネリング対象アドレス | 192.168.10.0/24←→192.168.20.0/24 | 192.168.10.0/24←→192.168.30.0/24 | 192.168.20.0/24←→192.168.30.0/24 |
トンネル終端アドレス | 192.168.100.1(A)・192.168.100.2(B) | 192.168.130.1(A)・192.168.130.3(C) | 192.168.120.2(B)・192.168.120.3(C) |
ルーターAの設定 |
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
ADD ISDN CALL=AB NUMBER=0612342222 PREC=IN ↓
ADD ISDN CALL=AC NUMBER=0451233333 PREC=IN ↓
SET ISDN CALL=AB SEARCHCLI=ON ↓
SET ISDN CALL=AC SEARCHCLI=ON ↓
CREATE PPP=0 OVER=ISDN-AB IDLE=ON ↓
CREATE PPP=1 OVER=ISDN-AC IDLE=ON ↓
ENABLE IP ↓
ADD IP INT=eth0 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=192.168.100.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp1 IP=192.168.130.1 MASK=255.255.255.0 ↓
ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INT=ppp0 NEXT=0.0.0.0 ↓
ADD IP ROUTE=192.168.30.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 ↓
CREATE ENCO KEY=1 TYPE=DES VAL=0x1122334455667788 ↓
CREATE ENCO KEY=2 TYPE=GENERAL VAL=0x1122334455667788112233445566778811223344 ↓
CREATE ENCO KEY=3 TYPE=DES VAL=0x2233445566778899 ↓
CREATE ENCO KEY=4 TYPE=GENERAL VAL=0x2233445566778899223344556677889922334455 ↓
Note - DESの暗号鍵を作成する場合にはTYPEに「DES」を指定します。DESの暗号鍵の長さは8 バイトです。認証鍵を作成する場合のTYPEは「GENERAL」です。認証鍵の長さは使用する認証アルゴリズムによって決まっており、SHAは20バイト、MD5は16バイトになります。
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
CREATE IPSEC SASPEC=1 KEYMAN=MANUAL PROT=ESP ENCALG=DES HASHALG=SHA OUTSPI=1000 INSPI=1001 ENCKEY=1 HASHKEY=2 ↓
CREATE IPSEC SASPEC=2 KEYMAN=MANUAL PROT=ESP ENCALG=DES HASHALG=SHA OUTSPI=2000 INSPI=2001 ENCKEY=3 HASHKEY=4 ↓
CREATE IPSEC BUNDLE=1 KEYMAN=MANUAL STRING="1" ↓
CREATE IPSEC BUNDLE=2 KEYMAN=MANUAL STRING="2" ↓
CREATE IPSEC POLICY="RouterB" INT=ppp0 ACTION=IPSEC KEYMAN=MANUAL BUNDLE=1 PEER=192.168.100.2 ↓
SET IPSEC POLICY="RouterB" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY="RouterC" INT=ppp1 ACTION=IPSEC KEYMAN=MANUAL BUNDLE=2 PEER=192.168.130.3 ↓
SET IPSEC POLICY="RouterC" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.30.0 RMA=255.255.255.0 ↓
ENABLE IPSEC ↓
LOGIN secoff ↓
ENABLE SYSTEM SECURITY_MODE ↓
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
ルーターBの設定 |
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
ADD ISDN CALL=BA NUMBER=0312341111 PREC=OUT ↓
ADD ISDN CALL=BC NUMBER=0451233333 PREC=IN ↓
SET ISDN CALL=BA SEARCHCLI=ON ↓
SET ISDN CALL=BC SEARCHCLI=ON ↓
CREATE PPP=0 OVER=ISDN-BA IDLE=ON ↓
CREATE PPP=1 OVER=ISDN-BC IDLE=ON ↓
ENABLE IP ↓
ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=192.168.100.2 MASK=255.255.255.0 ↓
ADD IP INT=ppp1 IP=192.168.120.2 MASK=255.255.255.0 ↓
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INT=ppp0 NEXT=0.0.0.0 ↓
ADD IP ROUTE=192.168.30.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 ↓
CREATE ENCO KEY=1 TYPE=DES VAL=0x1122334455667788 ↓
CREATE ENCO KEY=2 TYPE=GENERAL VAL=0x1122334455667788112233445566778811223344 ↓
CREATE ENCO KEY=3 TYPE=DES VAL=0x3344556677889900 ↓
CREATE ENCO KEY=4 TYPE=GENERAL VAL=0x3344556677889900334455667788990033445566 ↓
Note - DESの暗号鍵を作成する場合にはTYPEに「DES」を指定します。DESの暗号鍵の長さは8 バイトです。認証鍵を作成する場合のTYPEは「GENERAL」です。認証鍵の長さは使用する認証アルゴリズムによって決まっており、SHAは20バイト、MD5は16バイトになります。
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
CREATE IPSEC SASPEC=1 KEYMAN=MANUAL PROT=ESP ENCALG=DES HASHALG=SHA OUTSPI=1001 INSPI=1000 ENCKEY=1 HASHKEY=2 ↓
CREATE IPSEC SASPEC=2 KEYMAN=MANUAL PROT=ESP ENCALG=DES HASHALG=SHA OUTSPI=3000 INSPI=3001 ENCKEY=3 HASHKEY=4 ↓
CREATE IPSEC BUNDLE=1 KEYMAN=MANUAL STRING="1" ↓
CREATE IPSEC BUNDLE=2 KEYMAN=MANUAL STRING="2" ↓
CREATE IPSEC POLICY="RouterA" INT=ppp0 ACTION=IPSEC KEYMAN=MANUAL BUNDLE=1 PEER=192.168.100.1 ↓
SET IPSEC POLICY="RouterA" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY="RouterC" INT=ppp1 ACTION=IPSEC KEYMAN=MANUAL BUNDLE=2 PEER=192.168.120.3 ↓
SET IPSEC POLICY="RouterC" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.30.0 RMA=255.255.255.0 ↓
ENABLE IPSEC ↓
LOGIN secoff ↓
ENABLE SYSTEM SECURITY_MODE ↓
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
ルーターCの設定 |
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
ADD ISDN CALL=CA NUMBER=0312341111 PREC=OUT ↓
ADD ISDN CALL=CB NUMBER=0612342222 PREC=OUT ↓
SET ISDN CALL=CA SEARCHCLI=ON ↓
SET ISDN CALL=CB SEARCHCLI=ON ↓
CREATE PPP=0 OVER=ISDN-CA IDLE=ON ↓
CREATE PPP=1 OVER=ISDN-CB IDLE=ON ↓
ENABLE IP ↓
ADD IP INT=eth0 IP=192.168.30.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=192.168.130.3 MASK=255.255.255.0 ↓
ADD IP INT=ppp1 IP=192.168.120.3 MASK=255.255.255.0 ↓
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INT=ppp0 NEXT=0.0.0.0 ↓
ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INT=ppp1 NEXT=0.0.0.0 ↓
CREATE ENCO KEY=1 TYPE=DES VAL=0x2233445566778899 ↓
CREATE ENCO KEY=2 TYPE=GENERAL VAL=0x2233445566778899223344556677889922334455 ↓
CREATE ENCO KEY=3 TYPE=DES VAL=0x3344556677889900 ↓
CREATE ENCO KEY=4 TYPE=GENERAL VAL=0x3344556677889900334455667788990033445566 ↓
Note - DESの暗号鍵を作成する場合にはTYPEに「DES」を指定します。DESの暗号鍵の長さは8 バイトです。認証鍵を作成する場合のTYPEは「GENERAL」です。認証鍵の長さは使用する認証アルゴリズムによって決まっており、SHAは20バイト、MD5は16バイトになります。
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
CREATE IPSEC SASPEC=1 KEYMAN=MANUAL PROT=ESP ENCALG=DES HASHALG=SHA OUTSPI=2001 INSPI=2000 ENCKEY=1 HASHKEY=2 ↓
CREATE IPSEC SASPEC=2 KEYMAN=MANUAL PROT=ESP ENCALG=DES HASHALG=SHA OUTSPI=3001 INSPI=3000 ENCKEY=3 HASHKEY=4 ↓
CREATE IPSEC BUNDLE=1 KEYMAN=MANUAL STRING="1" ↓
CREATE IPSEC BUNDLE=2 KEYMAN=MANUAL STRING="2" ↓
CREATE IPSEC POLICY="RouterA" INT=ppp0 ACTION=IPSEC KEYMAN=MANUAL BUNDLE=1 PEER=192.168.130.1 ↓
SET IPSEC POLICY="RouterA" LAD=192.168.30.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY="RouterB" INT=ppp1 ACTION=IPSEC KEYMAN=MANUAL BUNDLE=2 PEER=192.168.120.2 ↓
SET IPSEC POLICY="RouterB" LAD=192.168.30.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
ENABLE IPSEC ↓
LOGIN secoff ↓
ENABLE SYSTEM SECURITY_MODE ↓
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
メモ |
ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
ADD USER RSO IP=192.168.20.0 MASK=255.255.255.0 ↓
ADD USER RSO IP=192.168.30.0 MASK=255.255.255.0 ↓
SET USER SECUREDELAY=300 ↓
まとめ |
ルーターAのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ |
ルーターBのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ |
ルーターCのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ |
Copyright (C) 1997-2003 アライドテレシス株式会社
PN: J613-M0507-00 Rev.G