<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #85

2点間IPsec VPN基本設定(自動鍵。両側アドレス固定。インターネットアクセスなし)

インターネット上に暗号化されたトンネルを張り、2つの拠点をIP接続するIPsec VPNの設定例です(自動鍵管理)。両側のルーターにグローバルアドレスが固定的に設定されている場合の基本設定です。なお、この例ではIPsecの基本設定を示すため、各拠点からインターネットへのアクセスについては考慮していません。

ここでは、次のようなネットワーク構成を例に解説します。

Note - IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに別売の暗号ボード(AR010)または暗号・圧縮ボード(AR011)を装着する必要があります。

表 1
 
ルーターA
ルーターB
TDMグループ名 ISPA ISPB
回線速度 128Kbps 128Kbps
WAN側物理インターフェース bri0 bri0
WAN側(ppp0)IPアドレス 200.100.10.1/28 200.100.20.1/28
LAN側(eth0)IPアドレス 192.168.10.1/24 192.168.20.1/24


表 2:IKEフェーズ1(ISAKMP SAのネゴシエーション)
ルーター間の認証方式 事前共有鍵(pre-shared key)
IKE交換モード Mainモード
事前共有鍵 secret(文字列)
Oakleyグループ 1(デフォルト)
ISAKMPメッセージの暗号化方式 DES(デフォルト)
ISAKMPメッセージの認証方式 SHA1(デフォルト)
ISAKMP SAの有効期限(時間) 86400秒(24時間)(デフォルト)
ISAKMP SAの有効期限(Kbyte数) なし(デフォルト)
起動時のISAKMPネゴシエーション 行なう


表 3:IKEフェーズ2(IPsec SAのネゴシエーション)
SAモード トンネルモード
セキュリティープロトコル ESP(暗号化+認証)
暗号化方式 DES
認証方式 SHA1
IPComp 使わない
IPsec SAの有効期限(時間) 28800秒(8時間)(デフォルト)
IPsec SAの有効期限(Kbyte数) なし(デフォルト)
トンネリング対象IPアドレス 192.168.10.0/24 ←→ 192.168.20.0/24
トンネル終端アドレス 200.100.10.1(A)・200.100.20.1(B)
インターネットとの平文通信 行わない



ルーターAの設定

  1. セキュリティーモードで各種設定を行なうことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。


    Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。

  2. BRIインターフェース「0」の全スロット(1〜2)を、常時起動のTDM(専用線)モードに設定します。


  3. bri0のスロット1〜2(128Kbps)に対して、TDMグループ「ISPA」を作成します。


  4. PPPインターフェース「0」をTDMグループ「ISPA」上に作成します。


  5. IPモジュールを有効にします。


  6. LAN側(eth0)インターフェースにIPアドレスを設定します。


  7. WAN側(ppp0)インターフェースにIPアドレスを設定します。


  8. デフォルトルートを設定します。


  9. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターBと同じに設定)。


    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

  10. ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERには対向ルーターのIPアドレスを指定します。また、お互いに専用線接続のため、「PRENEGOTIATE=TRUE」を指定して、ルーター起動時にIKEのネゴシエーションを行っておきます。


  11. IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。


  12. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。


  13. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。


    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  14. 実際のIPsec通信に使用するIPsecポリシー「vpn」を、PPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERには対向ルーターのIPアドレスを、BUNDLEには該当パケットに適用するSAバンドルスペックの番号を指定します。


  15. IPsecポリシー「vpn」に対して実際にIPsec通信を行なうIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。


  16. IPsecモジュールを有効にします。


  17. ISAKMPモジュールを有効にします。


  18. Security Officerレベルのユーザーでログインしなおします。


  19. 動作モードをセキュリティーモードに切り替えます。


    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。

  20. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


ルーターBの設定

  1. セキュリティーモードで各種設定を行なうことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。


    Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。

  2. BRIインターフェース「0」の全スロット(1〜2)を、常時起動のTDM(専用線)モードに設定します。


  3. bri0のスロット1〜2(128Kbps)に対して、TDMグループ「ISPB」を作成します。


  4. PPPインターフェース「0」をTDMグループ「ISPB」上に作成します。


  5. IPモジュールを有効にします。


  6. LAN側(eth0)インターフェースにIPアドレスを設定します。


  7. WAN側(ppp0)インターフェースにIPアドレスを設定します。


  8. デフォルトルートを設定します。


  9. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」という文字列で指定します(ルーターAと同じに設定)。


    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)等で設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。

  10. ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵(鍵番号「1」)を、PEERには対向ルーターのIPアドレスを指定します。また、お互いに専用線接続のため、「PRENEGOTIATE=TRUE」を指定して、ルーター起動時にIKEのネゴシエーションを行っておきます。


  11. IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード(デフォルト)、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。


  12. SAスペック「1」だけからなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。


  13. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット(ISAKMP)に設定します。


    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

  14. 実際のIPsec通信に使用するIPsecポリシー「vpn」を、PPPインターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEERには対向ルーターのIPアドレスを、BUNDLEには該当パケットに適用するSAバンドルスペックの番号を指定します。


  15. IPsecポリシー「vpn」に対して実際にIPsec通信を行なうIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。


  16. IPsecモジュールを有効にします。


  17. ISAKMPモジュールを有効にします。


  18. Security Officerレベルのユーザーでログインしなおします。


  19. 動作モードをセキュリティーモードに切り替えます。


    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。

  20. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。



メモ

■ セキュリティーモードに移行すると、Security OfficerレベルでルーターにTelnetログインすることができなくなります。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)コマンドを使ってログインを許可するホストのIPアドレスを指定しておく必要があります。

たとえば、ネットワーク192.168.10.0/24、192.168.20.0/24上のすべてのホストからSecurity OfficerレベルでのTelnetログインを許可する場合は、次のようにします。


■ セキュリティーモードでは、たとえSecurity Officerでログインした場合であっても、セキュリティーコマンドを一定期間入力しないでいると、次回セキュリティーコマンドを入力したときにパスワードの再入力を求められます。このタイムアウト値は、下記コマンドによって変更できますが、IPsecの設定を行うときは、ノーマルモードで設定を行った後、セキュリティーモードに変更することをおすすめします。


■ セキュリティー関連コマンドのタイムアウトは、次のコマンドで変更できます。SECUREDELAYパラメーターには、10〜600(秒)を指定します。デフォルトは60秒です。

まとめ

ルーターAのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2
CREATE TDM GROUP=ISPA INT=bri0 SLOTS=1-2
CREATE PPP=0 OVER=TDM-ISPA LQR=OFF
ENABLE IP
ADD IP INT=eth0 IP=192.168.10.1 MASK=255.255.255.0
ADD IP INT=ppp0 IP=200.100.10.1 MASK=255.255.255.240
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i" PEER=200.100.20.1 KEY=1 SENDN=TRUE PRENEGOTIATE=TRUE
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1"
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.20.1
SET IPSEC POLICY="vpn" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE


ルーターBのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2
CREATE TDM GROUP=ISPB INT=bri0 SLOTS=1-2
CREATE PPP=0 OVER=TDM-ISPB LQR=OFF
ENABLE IP
ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0
ADD IP INT=ppp0 IP=200.100.20.1 MASK=255.255.255.240
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0
# CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret"
CREATE ISAKMP POLICY="i" PEER=200.100.10.1 KEY=1 SENDN=TRUE PRENEGOTIATE=TRUE
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1"
CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP
CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1
SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0
ENABLE IPSEC
ENABLE ISAKMP
# LOGIN secoff
# ENABLE SYSTEM SECURITY_MODE




CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #85

Copyright (C) 1997-2003 アライドテレシス株式会社

PN: J613-M0507-00 Rev.G

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)