＜前頁 次頁＞ ＜＜ ＞＞ ↓ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）

2点間IPsec VPN基本設定（自動鍵。片側アドレス不定。インターネットアクセスなし）

インターネット上に暗号化されたトンネルを張り、2つの拠点をIP接続するIPsec VPNの設定例です（自動鍵管理）。ダイヤルアップ接続など、片側の拠点のIPアドレスが不定な場合の基本設定です。なお、この例ではIPsecの基本設定を示すため、各拠点からインターネットへのアクセスについては考慮していません。

Note - IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに別売の暗号ボード（AR010）または暗号・圧縮ボード（AR011）を装着する必要があります。

表 1

	ルーターA	ルーターB
TDMグループ名	ISPA	−
回線速度	128Kbps	−
ISDNコール名	−	ISPB
ISPアクセスポイントの番号	−	03-1234-5678
WAN側物理インターフェース	bri0	bri0
PPPユーザー名	−	ispuser
PPPパスワード	−	isppasswd
WAN側（ppp0）IPアドレス	200.100.10.1/28	0.0.0.0（動的割り当て）
LAN側（eth0）IPアドレス	192.168.10.1/24	192.168.20.1/24

表 2：IKEフェーズ1（ISAKMP SAのネゴシエーション）

ルーター間の認証方式	事前共有鍵（pre-shared key）
IKE交換モード	Aggressiveモード
事前共有鍵	0x112233445566778899（16進数）
ルーターAの認証ID	IPアドレス：200.100.10.1（デフォルト）
ルーターBの認証ID	名前：remote
Oakleyグループ	1（デフォルト）
ISAKMPメッセージの暗号化方式	DES（デフォルト）
ISAKMPメッセージの認証方式	SHA1（デフォルト）
ISAKMP SAの有効期限（時間）	86400秒（24時間）（デフォルト）
ISAKMP SAの有効期限（Kbyte数）	なし（デフォルト）
起動時のISAKMPネゴシエーション	行わない

表 3：IKEフェーズ2（IPsec SAのネゴシエーション）

SAモード	トンネルモード
セキュリティープロトコル	ESP（暗号＋認証）
暗号化方式	DES
認証方式	SHA1
IPComp	使う
IPsec SAの有効期限（時間）	28800秒（8時間）（デフォルト）
IPsec SAの有効期限（Kbyte数）	なし（デフォルト）
トンネリング対象IPアドレス	192.168.10.0/24 ←→ 192.168.20.0/24
トンネル終端アドレス	200.100.10.1（A）・ 不定（B）
インターネットとの平文通信	行わない

ルーターAの設定

1. セキュリティーモードで各種設定を行なうことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
   
   ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
   
   

   Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。

   
   
2. BRIインターフェース「0」のスロット1〜2を、常時起動のTDM（専用線）モードに設定します。
   
   SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
   
   
3. bri0のスロット1〜2（128Kbps）に対して、TDMグループ「ISPA」を作成します。
   
   CREATE TDM GROUP=ISPA INT=bri0 SLOTS=1-2 ↓
   
   
4. PPPインターフェース「0」をTDMグループ「ISPA」上に作成します。
   
   CREATE PPP=0 OVER=TDM-ISPA LQR=OFF ↓
   
   
5. IPモジュールを有効にします。
   
   ENABLE IP ↓
   
   
6. LAN側（eth0）インターフェースにIPアドレスを設定します。
   
   ADD IP INT=eth0 IP=192.168.10.1 MASK=255.255.255.0 ↓
   
   
7. WAN側（ppp0）インターフェースにIPアドレスを設定します。
   
   ADD IP INT=ppp0 IP=200.100.10.1 MASK=255.255.255.240 ↓
   
   
8. デフォルトルートを設定します。
   
   ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
   
   
9. IPCompで使用するSTAC LZSのソフトウェア圧縮用チャンネルを確保します。IPCompでは、2チャンネルが必要です。
   
   SET ENCO SW STACCHANNELS=2 ↓
   
   

   Note - 暗号・圧縮ボード（AR011）または圧縮ボード（AR012）を装着しているときは、ハードウェアで圧縮処理を行いますので、上記のコマンドは必要ありません。圧縮ボード装着時に上記コマンドを実行すると、ルーターのリソース（メモリー）が無駄になるのでご注意ください。

   
   
10. ISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「11-22-33-44-55-66-77-88-99」という16進数で指定します（ルーターBと同じに設定）。
    
    CREATE ENCO KEY=1 TYPE=GENERAL VALUE="0x112233445566778899" ↓
    
    

    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）等で設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。

    
    
11. ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵（鍵番号「1」）を指定します。また、この例では相手のアドレスが不定なため、PEERにANYを、REMOTEIDで相手の認証IDを指定し、「MODE=AGGRESSIVE」でAggressiveモードを使うよう設定します。
    
    CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE REMOTEID="remote" MODE=AGGRESSIVE ↓
    
    
12. IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード（デフォルト）、鍵管理方式「ISAKMP」、プロトコル「COMP」（IPComp）、圧縮方式「LZS」に設定します。
    
    CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=COMP COMPALG=LZS ↓
    
    
13. IPsec通信の仕様を定義するSAスペック「2」を作成します。トンネルモード（デフォルト）、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
    
    CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
    
    
14. SAスペック「1」と「2」からなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。
    
    CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1 AND 2" ↓
    
    
15. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット（ISAKMP）に設定します。
    
    CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
    
    

    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

    
    
16. 実際のIPsec通信に使用するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。鍵管理方式は「ISAKMP」を指定します。相手ルーターのIPアドレスが不定のため、PEERにはDYNAMIC（ISAKMPの認証をパスした相手を意味します）を指定します。BUNDLEには該当パケットに適用するSAバンドルスペックの番号を指定します。
    
    CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓
    
    
17. IPsecポリシー「vpn」に対して実際にIPsec通信を行なうIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
    
    SET IPSEC POLICY="vpn" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
    
    
18. IPsecモジュールを有効にします。
    
    ENABLE IPSEC ↓
    
    
19. ISAKMPモジュールを有効にします。
    
    ENABLE ISAKMP ↓
    
    
20. Security Officerレベルのユーザーでログインしなおします。
    
    LOGIN secoff ↓
    
    
21. 動作モードをセキュリティーモードに切り替えます。
    
    ENABLE SYSTEM SECURITY_MODE ↓
    
    

    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください（本章末尾のメモを参照）。

    
    
22. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
    
    CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓


ルーターBの設定

1. セキュリティーモードで各種設定を行なうことのできるSecurity Officerレベルのユーザー「secoff」を作成します。パスワードは「PasswordS」とします。
   
   ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
   
   

   Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。

   
   
2. ISDNコール「ISPB」を作成します。
   
   ADD ISDN CALL=ISPB NUMBER=0312345678 PREC=OUT ↓
   
   
3. PPPインターフェース「0」をISDNコール「ISPB」上に作成します。ISPからIPアドレスを取得するため、「IPREQUEST=ON」を指定します。また、LQRはオフにします。
   
   CREATE PPP=0 OVER=ISDN-ISPB IPREQUEST=ON IDLE=60 LQR=OFF ↓
   
   
4. ISPBへの接続に必要なユーザー名とパスワードを設定します。
   
   SET PPP=0 USERNAME="ispuser" PASSWORD="isppasswd" ↓
   
   
5. IPモジュールを有効にします。
   
   ENABLE IP ↓
   
   
6. IPCPネゴシエーションでISPから割り当てられたIPアドレスを、PPPインターフェースで使用するよう設定します。
   
   ENABLE IP REMOTEASSIGN ↓
   
   
7. LAN側（eth0）インターフェースにIPアドレスを設定します。
   
   ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0 ↓
   
   
8. WAN側（ppp0）インターフェースにIPアドレス「0.0.0.0」を設定します。ISPとの接続が確立するまで、IPアドレスは確定しません。
   
   ADD IP INT=ppp0 IP=0.0.0.0 ↓
   
   
9. デフォルトルートを設定します。
   
   ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
   
   
10. IPCompで使用するSTAC LZSのソフトウェア圧縮用チャンネルを確保します。IPCompでは、2チャンネルが必要です。
    
    SET ENCO SW STACCHANNELS=2 ↓
    
    

    Note - 暗号・圧縮ボード（AR011）または圧縮ボード（AR012）を装着しているときは、ハードウェアで圧縮処理を行いますので、上記のコマンドは必要ありません。圧縮ボード装着時に上記コマンドを実行すると、ルーターのリソース（メモリー）が無駄になるのでご注意ください。

    
    
11. ISAKMP用の事前共有鍵（pre-shared key）を作成します。ここでは鍵番号を「1」番とし、鍵の値は「11-22-33-44-55-66-77-88-99」という16進数で指定します（ルーターAと同じに設定）。
    
    CREATE ENCO KEY=1 TYPE=GENERAL VALUE="0x112233445566778899" ↓
    
    

    Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド（内蔵スクリーンエディター）等で設定スクリプトファイル（.CFG）にこのコマンドを記述しても無効になりますのでご注意ください。

    
    
12. ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。KEYには、前の手順で作成した事前共有鍵（鍵番号「1」）を指定します。PEERには相手ルーターのIPアドレスを指定します。また、自分のアドレスが不定なため、LOCALIDで自分の認証IDを指定し、「MODE=AGGRESSIVE」でAggressiveモードを使うよう設定します。
    
    CREATE ISAKMP POLICY="i" PEER=200.100.10.1 KEY=1 SENDN=TRUE LOCALID="remote" MODE=AGGRESSIVE ↓
    
    
13. IPsec通信の仕様を定義するSAスペック「1」を作成します。トンネルモード（デフォルト）、鍵管理方式「ISAKMP」、プロトコル「COMP」（IPComp）、圧縮方式「LZS」に設定します。
    
    CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=COMP COMPALG=LZS ↓
    
    
14. IPsec通信の仕様を定義するSAスペック「2」を作成します。トンネルモード（デフォルト）、鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式「DES」、認証方式「SHA」に設定します。
    
    CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
    
    
15. SAスペック「1」と「2」からなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」に設定します。
    
    CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1 AND 2" ↓
    
    
16. ISAKMPメッセージを素通しさせるIPsecポリシー「isa」を作成します。ポリシーの適用対象を、ローカルの500番ポートからリモートの500番ポート宛のUDPパケット（ISAKMP）に設定します。
    
    CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
    
    

    Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。

    
    
17. 実際のIPsec通信に使用するIPsecポリシー「vpn」をPPPインターフェース「0」に対して作成します。鍵管理方式は「ISAKMP」を指定します。PEERには対向ルーターのIPアドレスを、BUNDLEには該当パケットに適用するSAバンドルスペックの番号を指定します。
    
    CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1 ↓
    
    
18. IPsecポリシー「vpn」に対して実際にIPsec通信を行なうIPアドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。
    
    SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
    
    
19. IPsecモジュールを有効にします。
    
    ENABLE IPSEC ↓
    
    
20. ISAKMPモジュールを有効にします。
    
    ENABLE ISAKMP ↓
    
    
21. Security Officerレベルのユーザーでログインしなおします。
    
    LOGIN secoff ↓
    
    
22. 動作モードをセキュリティーモードに切り替えます。
    
    ENABLE SYSTEM SECURITY_MODE ↓
    
    

    Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO（Remote Security Officer）の設定を行っておいてください（本章末尾のメモを参照）。

    
    
23. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
    
    CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓


メモ

ENABLE USER RSO ↓
ADD USER RSO IP=192.168.10.0 MASK=255.255.255.0 ↓
ADD USER RSO IP=192.168.20.0 MASK=255.255.255.0 ↓


SET USER SECUREDELAY=300 ↓

まとめ

ルーターAのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓ CREATE TDM GROUP=ISPA INT=bri0 SLOTS=1-2 ↓ CREATE PPP=0 OVER=TDM-ISPA LQR=OFF ↓ ENABLE IP ↓ ADD IP INT=eth0 IP=192.168.10.1 MASK=255.255.255.0 ↓ ADD IP INT=ppp0 IP=200.100.10.1 MASK=255.255.255.240 ↓ ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓ SET ENCO SW STACCHANNELS=2 ↓ # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="0x112233445566778899" ↓ CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE REMOTEID="remote" MODE=AGGRESSIVE ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=COMP COMPALG=LZS ↓ CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓ CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1 AND 2" ↓ CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓ SET IPSEC POLICY="vpn" LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓ ENABLE IPSEC ↓ ENABLE ISAKMP ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓

ルーターBのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ ADD ISDN CALL=ISPB NUMBER=0312345678 PREC=OUT ↓ CREATE PPP=0 OVER=ISDN-ISPB IPREQUEST=ON IDLE=60 LQR=OFF ↓ SET PPP=0 USERNAME="ispuser" PASSWORD="isppasswd" ↓ ENABLE IP ↓ ENABLE IP REMOTEASSIGN ↓ ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0 ↓ ADD IP INT=ppp0 IP=0.0.0.0 ↓ ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓ SET ENCO SW STACCHANNELS=2 ↓ # CREATE ENCO KEY=1 TYPE=GENERAL VALUE="0x112233445566778899" ↓ CREATE ISAKMP POLICY="i" PEER=200.100.10.1 KEY=1 SENDN=TRUE LOCALID="remote" MODE=AGGRESSIVE ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=COMP COMPALG=LZS ↓ CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓ CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1 AND 2" ↓ CREATE IPSEC POLICY="isa" INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY="vpn" INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=200.100.10.1 ↓ SET IPSEC POLICY="vpn" LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓ ENABLE IPSEC ↓ ENABLE ISAKMP ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓

Copyright (C) 1997-2003 アライドテレシス株式会社

PN: J613-M0507-00 Rev.G

＜前頁 次頁＞ ＜＜ ＞＞ ↑ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）