＜前頁 次頁＞ ＜＜ ＞＞ ↓ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）

RSAデジタル署名を利用したIPsec VPN（手動登録。片側のアドレス不定）

IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です（自動鍵管理）。片側の拠点がダイヤルアップ接続でIPアドレスが不定な場合の例です。この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証します。ここでは、公開鍵証明書の発行要求をオフラインで行う例を示します。片側のルーターのアドレスが不定な場合の例です。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネット通信もできるように設定します。

Note - IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに別売の暗号ボード（AR010）または暗号・圧縮ボード（AR011）を装着する必要があります。

Note - 本機能はオプション機能ですので、ご使用にはフィーチャー（追加機能）ライセンスが必要です。

表 1

	ルーターA	ルーターB
TDMグループ名	isp	−
回線速度	128Kbps	−
ISDNコール名	−	isp
ISPアクセスポイントの番号	−	03-1234-5678
WAN側物理インターフェース	bri0	bri0
PPPユーザー名	−	ispuser
PPPパスワード	−	isppasswd
WAN側（ppp0）IPアドレス	Unnumbered	0.0.0.0（動的割り当て）
LAN側（eth0-0）IPアドレス(1)	4.4.4.1/29	192.168.20.1/24
LAN側（eth0-1）IPアドレス(2)	192.168.10.1/24	−

表 2：PKI関連のパラメーター

	ルーターA	ルーターB
RSA鍵ペアの鍵長（ビット）	1024	1024
証明書の識別名（DN）	cn=RouterA,o=birds,c=jp	cn=RouterB,o=birds,c=jp
証明書の登録方法	手動（PKCS#10）	手動（PKCS#10）
証明書失効リスト（CRL）のロード	行わない	行わない
TFTPサーバーのIPアドレス	192.168.10.5	192.168.20.5

表 3：IKEフェーズ1（ISAKMP SAのネゴシエーション）

ルーター間の認証方式	RSAデジタル署名
IKE交換モード	Mainモード
ルーターAのID	DN：cn=RouterA,o=birds,c=jp
ルーターBのID	DN：cn=RouterB,o=birds,c=jp
Oakleyグループ	1（デフォルト）
ISAKMPメッセージの暗号化方式	DES（デフォルト）
ISAKMPメッセージの認証方式	SHA1（デフォルト）
ISAKMP SAの有効期限（時間）	86400秒（24時間）（デフォルト）
ISAKMP SAの有効期限（Kbyte数）	なし（デフォルト）
起動時のISAKMPネゴシエーション	行わない

表 4：IKEフェーズ2（IPsec SAのネゴシエーション）

SAモード	トンネルモード
セキュリティープロトコル	ESP（暗号化＋認証）
暗号化方式	DES
認証方式	SHA1
IPComp	使わない
IPsec SAの有効期限（時間）	28800秒（8時間）（デフォルト）
IPsec SAの有効期限（Kbyte数）	なし（デフォルト）
トンネリング対象IPアドレス	192.168.10.0/24 ←→ 192.168.20.0/24
トンネル終端アドレス	4.4.4.1（A）・不定（B）
インターネットとの平文通信	行なう

ルーターAの設定

1. IPsecはセキュリティーモードでないと動作しないので、同モードで管理設定を行うことのできるSecurity Officerレベルのユーザーをあらかじめ登録しておきます。
   
   ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
   
   

   Note - Security Officerのパスワードは厳重に管理してください。

   
   
2. 専用線の設定を行います。
   
   SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=isp INT=bri0 SLOTS=1-2 ↓

   
   
3. PPPインターフェースを作成します。
   
   CREATE PPP=0 OVER=TDM-isp LQR=OFF ↓
   
   
4. IPモジュールを有効にします。
   
   ENABLE IP ↓
   
   
5. LAN側（eth0）インターフェースにIPアドレスを設定します。この例ではWAN側（ppp0）がUnnumberedなので、LAN側をマルチホーミングして2つのサブネットを作り、片方（eth0-0）にグローバルアドレスを、もう一方（eth0-1）にプライベートアドレスを割り当てます。
   
   ADD IP INT=eth0-0 IP=4.4.4.1 MASK=255.255.255.248 ↓
ADD IP INT=eth0-1 IP=192.168.10.1 MASK=255.255.255.0 ↓

   
   

   Note - IPsecを使用する場合、WAN側がUnnumberedであるなどの理由でLAN側をマルチホーミングするときは、IPsecの始点アドレスとして使うグローバルアドレスを先に設定（入力）してください。設定ファイルを直接編集する場合は、グローバルアドレスの設定コマンドを先に記述してください。

   
   
6. WAN側（ppp0）インターフェースをUnnumberedに設定します。
   
   ADD IP INT=ppp0 IP=0.0.0.0 ↓
   
   
7. デフォルトルートを設定します。
   
   ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
   
   
8. UTC（協定世界時）との時差を設定します。これは、PKIで使用される時刻がUTCに基づいているためです。ここでは日本標準時（JST）に設定します。
   
   SET NTP UTCOFFSET=JST ↓
   
   
9. ファイアウォール機能を有効にします。
   
   ENABLE FIREWALL ↓
   
   
10. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
    
    CREATE FIREWALL POLICY=net ↓
    
    
11. ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
    
    ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
    
    

    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

    
    
12. ルーターのidentプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
    
    DISABLE FIREWALL POLICY=net IDENTPROXY ↓
    
    
13. ファイアウォールポリシーの適用対象となるインターフェースを指定します。
    
    
    • LAN側グローバルセグメント（eth0-0）をPUBLIC（外部）に設定します。
      
      ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PUBLIC ↓
      
      
    • LAN側プライベートセグメント（eth0-1）をPRIVATE（内部）に設定します。
      
      ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE ↓
      
      
    • WAN側インターフェース（ppp0）をPUBLIC（外部）に設定します。
      
      ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓

    
    
14. LAN側プライベートセグメント（eth0-1）に接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ルーターのeth0-0に設定したインターフェースアドレスを共用します。
    
    ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0-1 GBLINT=ppp0 GBLIP=4.4.4.1 ↓
    
    
15. このままでは、対向ルーターからのISAKMPパケットがファイアウォールを通過できないので、穴をあける設定を施します。
    
    ADD FIREWALL POLICY=net RULE=1 ACTION=ALLOW INT=ppp0 PROT=UDP GBLPORT=500 GBLIP=4.4.4.1 PORT=500 IP=4.4.4.1 ↓
    
    
16. ローカルLANからリモートLANへのパケットにはNATをかけないよう設定します。
    
    ADD FIREWALL POLICY=net RULE=2 ACTION=NONAT INT=eth0-1 PROT=ALL IP=192.168.10.1-192.168.10.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254 ↓

    
    
17. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.10.1〜192.168.10.254、つまり、ローカル側LANならばNATの対象外とする」の意味になります。
    
    ADD FIREWALL POLICY=net RULE=3 ACTION=NONAT INT=ppp0 PROT=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC ↓

    
    
18. ここからPKIの設定を行います。最初に、システム内の証明書データベースにCA証明書を登録します。CA証明書は、他のルーターの証明書の内容が正当であることを確認するために必要です。最初にTFTPサーバーからCA証明書ファイルをダウンロードし、ついでADD PKI CERTIFICATEコマンドでファイルからデータベースにインポートします。
    
    LOAD FILE=ca.cer SERVER=192.168.10.5 ↓
ADD PKI CERTIFICATE=cacer LOCATION=ca.cer TYPE=CA TRUSTED=TRUE ↓

    
    
19. 次にルーターA自身のデジタル証明書の準備をします。最初に、証明書の発行を要求するときに必要な識別名（DN）を設定します。これは、公開鍵の所有者を示すSubjectフィールドで使われるもので、ルーターAを一意に識別する名前となります。識別名は複数の属性から構成されますが、認証局によって各種制限があるため、認証局の管理者とご相談の上決定してください。なお、cn、o、cなどの属性名は小文字で記述する必要がありますのでご注意ください。
    
    SET SYSTEM DISTINGUISHEDNAME="cn=RouterA,o=birds,c=jp" ↓
    
    
20. ルーターA自身のRSA公開鍵ペアを作成します。
    
    CREATE ENCO KEY=1 TYPE=RSA LENGTH=1024 ↓
    
    

    Note - RSA鍵の作成には時間がかかります。コンソールに「RSA Key generation process completed.」と表示されるまで待ってから、次の手順に進んでください。

    
    

    Note - このコマンドはコンソールから直接入力したときだけ有効で、エディター等で設定ファイルに記述した場合は無効になります。

    
    
21. 作成した公開鍵に対する証明書の発行を要求するファイルを作成します。ここでは、PKCS#10形式のPEMフォーマットを指定していますが、その他の証明書要求形式が必要な場合はCREATE PKI ENROLLMENTREQUESTコマンドの説明を参考に、パラメーターを調整してください。必要な形式については認証局の管理者にご確認ください。このコマンドを実行すると、ENROLLMENTREQUESTパラメーターに指定した文字列に拡張子「.csr」を付けた名前のファイルが作成されます。
    
    CREATE PKI ENROLLMENTREQUEST=myreq PROTOCOL=MANUAL KEYPAIR=1 TYPE=PKCS10 FORMAT=PEM ↓
    
    

    Note - このコマンドはコンソールから直接入力したときだけ有効で、エディター等で設定ファイルに記述した場合は無効になります。

    
    
22. 作成された証明書要求ファイルmyreq.csrをTFTPサーバーにアップロードします。
    
    UPLOAD FILE=myreq.csr SERVER=192.168.10.5 ↓
    
    
23. アップロードした証明書要求ファイルを、手動で認証局アプリケーションに渡してください。証明書が発行され、証明書ファイルが作成されます。
    
    
24. 認証局が発行した証明書ファイルをルーターのファイルシステムにダウンロードします。ここではTFTPを使います。このとき、証明書ファイルの拡張子は.cerである必要があります。必要に応じてリネームしてください。
    
    LOAD FILE=routera.cer SERVER=192.168.10.5 ↓
    
    
25. ルーターA自身の証明書ファイルを証明書データベースに登録します。
    
    ADD PKI CERTIFICATE=mycer LOCATION=routera.cer TYPE=SELF ↓
    
    
26. PKIの設定はここまでです。IPsecの設定に進む前に、SHOW PKI CERTIFICATEコマンドを実行し、CA証明書とルーター自身の証明書がデータベースに正しく登録されているかどうかを確認してください。State欄が「TRUSTED」になっていれば正常です。
    
    SHOW PKI CERTIFICATE ↓
    
    

    Manager > show pki certificate Certificate Database: [ref.#: 12332-1396] Name State MTrust Type Source ------------------------------------------------------------------------------ mycer TRUSTED FALSE SELF COMMAND cacer TRUSTED TRUE CA COMMAND ------------------------------------------------------------------------------

    
    
27. ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。この例では相手のアドレスが不定なため、PEERにANYを指定し、REMOTEIDで相手ルーターの証明書の識別名（DN）を指定しています。認証方式（AUTHTYPE）としてはRSAデジタル署名（RSASIG）を、LOCALRSAKEYに自分の鍵ペアの番号を指定します。なお、認証方式にRSAデジタル署名を使うときは、この例のように片側のアドレスが不定でもAggressiveモードを使う必要はありません。
    
    CREATE ISAKMP POLICY=i PEER=ANY AUTHTYPE=RSASIG LOCALRSAKEY=1 SENDN=TRUE REMOTEID="cn=RouterB,o=birds,c=jp" ↓
    
    
28. IPsec通信の基本仕様を定義するSAスペック「1」を作成します。セキュリティープロトコル、暗号、ハッシュの両アルゴリズムを指定します。
    
    CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROT=ESP ENCALG=DES HASHALG=SHA ↓
    
    
29. SAスペックをとりまとめるSAバンドルスペック「1」を作成します。ESPとAHを併用する場合などは、複数のSAスペックを作成して、本コマンドのSTRINGパラメーターで「1 and 2」のように指定します。この例ではSAスペックが1つだけなので、単に「1」と指定します。
    
    CREATE IPSEC BUNDLESPEC=1 KEYMAN=ISAKMP STRING="1" ↓
    
    
30. ISAKMPパケットを通過させるためのIPsecポリシー「isa」を作成します。ISAKMP使用時は必ず最初にこのポリシーを作成してください。
    
    CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
    
    
31. IPsec通信の範囲を指定するIPsecポリシーを作成します。ここで指定した条件に一致するパケットに対して、BUNDLEパラメーターで指定したSAバンドルスペックに基づくIPsec処理が行われます。INTERFACEパラメーターで指定したインターフェースを通過するときに、IPsecの暗号化、復号化処理が行われます。相手のIPアドレスが不定なので、ISAKMPの認証をパスしたものだけを指定する意味で、PEERにはDYNAMICを指定します。
    
    CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓
SET IPSEC POLICY=vpn LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓

    
    
32. インターネットとの通信を素通しさせるIPsecポリシー「inet」を作成します。
    
    CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT ↓
    
    
33. IPsecを有効化します。
    
    ENABLE IPSEC ↓
    
    
34. ISAKMPを有効化します。
    
    ENABLE ISAKMP ↓
    
    
35. Security Officerレベルのユーザーでログインしなおします。
    
    LOGIN secoff ↓
    
    
36. セキュリティーモードに移行します。
    
    ENABLE SYSTEM SECURITY_MODE ↓
    
    

    Note - セキュリティーモードに移行したあとで、再度ノーマルモードに戻すと、暗号鍵などの情報は失われます。

    
    
37. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
    
    CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓


ルーターBの設定

1. IPsecはセキュリティーモードでないと動作しないので、同モードで管理設定を行うことのできるSecurity Officerレベルのユーザーをあらかじめ登録しておきます。
   
   ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
   
   

   Note - Security Officerのパスワードは厳重に管理してください。

   
   
2. ISDNコール「isp」を定義し、ISPにダイヤルアップするための設定を行います。
   
   ADD ISDN CALL=isp NUMBER=0312345678 PRECEDENCE=OUT INTREQ=bri0 ↓
   
   
3. PPPインターフェースを作成します。「IPREQUEST=ON」で接続時にIPアドレスの割り当てを要求するよう設定します。
   
   CREATE PPP=0 OVER=ISDN-isp IPREQUEST=ON IDLE=ON LQR=OFF ↓
SET PPP=0 USERNAME=ispuser PASSWORD=isppasswd ↓

   
   
4. IPモジュールを有効にします。
   
   ENABLE IP ↓
   
   
5. IPCPネゴシエーションでISPから取得したIPアドレスを使用するよう設定します。
   
   ENABLE IP REMOTEASSIGN ↓
   
   
6. LAN側（eth0）インターフェースにIPアドレスを設定します。
   
   ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0 ↓
   
   
7. WAN側（ppp0）インターフェースにIPアドレス0.0.0.0を設定します。これは、ISPとの接続が完了するまでアドレスが確定しないことを示します。
   
   ADD IP INT=ppp0 IP=0.0.0.0 ↓
   
   
8. デフォルトルートを設定します。
   
   ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
   
   
9. UTC（協定世界時）との時差を設定します。これは、PKIで使用される時刻がUTCに基づいているためです。ここでは日本標準時（JST）に設定します。
   
   SET NTP UTCOFFSET=JST ↓
   
   
10. ファイアウォール機能を有効にします。
    
    ENABLE FIREWALL ↓
    
    
11. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
    
    CREATE FIREWALL POLICY=net ↓
    
    
12. ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
    
    ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
    
    

    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

    
    
13. ルーターのidentプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
    
    DISABLE FIREWALL POLICY=net IDENTPROXY ↓
    
    
14. ファイアウォールポリシーの適用対象となるインターフェースを指定します。
    
    
    • LAN側インターフェース（eth0）をPRIVATE（内部）に設定します。
      
      ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ↓
      
      
    • WAN側インターフェース（ppp0）をPUBLIC（外部）に設定します。
      
      ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓

    
    
15. LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
    
    ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0 GBLINT=ppp0 ↓
    
    
16. ローカルLANからリモートLANへのパケットにはNATをかけないよう設定します。
    
    ADD FIREWALL POLICY=net RULE=2 ACTION=NONAT INT=eth0 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓

    
    
17. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.20.1〜192.168.20.254、つまり、ローカル側LANならばNATの対象外とする」の意味になります。
    
    ADD FIREWALL POLICY=net RULE=3 ACTION=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓

    
    
18. ここからPKIの設定を行います。最初に、システム内の証明書データベースにCA証明書を登録します。CA証明書は、他のルーターの証明書の内容が正当であることを確認するために必要です。最初にTFTPサーバーからCA証明書ファイルをダウンロードし、ついでADD PKI CERTIFICATEコマンドでファイルからデータベースにインポートします。
    
    LOAD FILE=ca.cer SERVER=192.168.20.5 ↓
ADD PKI CERTIFICATE=cacer LOCATION=ca.cer TYPE=CA TRUSTED=TRUE ↓

    
    
19. 次にルーターB自身のデジタル証明書の準備をします。最初に、証明書の発行を要求するときに必要な識別名（DN）を設定します。これは、公開鍵の所有者を示すSubjectフィールドで使われるもので、ルーターBを一意に識別する名前となります。識別名は複数の属性から構成されますが、認証局によって各種制限があるため、認証局の管理者とご相談の上決定してください。なお、cn、o、cなどの属性名は小文字で記述する必要がありますのでご注意ください。
    
    SET SYSTEM DISTINGUISHEDNAME="cn=RouterB,o=birds,c=jp" ↓
    
    
20. ルーターB自身のRSA公開鍵ペアを作成します。
    
    CREATE ENCO KEY=1 TYPE=RSA LENGTH=1024 ↓
    
    

    Note - RSA鍵の作成には時間がかかります。コンソールに「RSA Key generation process completed.」と表示されるまで待ってから、次の手順に進んでください。

    
    

    Note - このコマンドはコンソールから直接入力したときだけ有効で、エディター等で設定ファイルに記述した場合は無効になります。

    
    
21. 作成した公開鍵に対する証明書の発行を要求するファイルを作成します。ここでは、PKCS#10形式のPEMフォーマットを指定していますが、その他の証明書要求形式が必要な場合はCREATE PKI ENROLLMENTREQUESTコマンドの説明を参考に、パラメーターを調整してください。必要な形式については認証局の管理者にご確認ください。このコマンドを実行すると、ENROLLMENTREQUESTパラメーターに指定した文字列に拡張子「.csr」を付けた名前のファイルが作成されます。
    
    CREATE PKI ENROLLMENTREQUEST=myreq PROTOCOL=MANUAL KEYPAIR=1 TYPE=PKCS10 FORMAT=PEM ↓
    
    

    Note - このコマンドはコンソールから直接入力したときだけ有効で、エディター等で設定ファイルに記述した場合は無効になります。

    
    
22. 作成された証明書要求ファイルmyreq.csrをTFTPサーバーにアップロードします。
    
    UPLOAD FILE=myreq.csr SERVER=192.168.20.5 ↓
    
    
23. アップロードした証明書要求ファイルを、手動で認証局アプリケーションに渡してください。証明書が発行され、証明書ファイルが作成されます。
    
    
24. 認証局が発行した証明書ファイルをルーターのファイルシステムにダウンロードします。ここではTFTPを使います。このとき、証明書ファイルの拡張子は.cerである必要があります。必要に応じてリネームしてください。
    
    LOAD FILE=routerb.cer SERVER=192.168.20.5 ↓
    
    
25. ルーターB自身の証明書ファイルを証明書データベースに登録します。
    
    ADD PKI CERTIFICATE=mycer LOCATION=routerb.cer TYPE=SELF ↓
    
    
26. PKIの設定はここまでです。IPsecの設定に進む前に、SHOW PKI CERTIFICATEコマンドを実行し、CA証明書とルーター自身の証明書がデータベースに正しく登録されているかどうかを確認してください。State欄が「TRUSTED」になっていれば正常です。
    
    SHOW PKI CERTIFICATE ↓
    
    

    Manager > show pki certificate Certificate Database: [ref.#: 12332-1396] Name State MTrust Type Source ------------------------------------------------------------------------------ mycer TRUSTED FALSE SELF COMMAND cacer TRUSTED TRUE CA COMMAND ------------------------------------------------------------------------------

    
    
27. ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。ISAKMPは鍵とSAのネゴシエーションを自動的に行うためのプロトコルです。PEERには相手ルーターのグローバルアドレスを指定します。また、認証方式（AUTHTYPE）としてRSAデジタル署名（RSASIG）を指定し、LOCALRSAKEYに自分の鍵ペアの番号を指定します。また、自分のIPアドレスが不定なので、LOCALIDで自分のDNを指定します。
    
    CREATE ISAKMP POLICY=i PEER=4.4.4.1 AUTHTYPE=RSASIG LOCALRSAKEY=1 SENDN=TRUE LOCALID="cn=RouterB,o=birds,c=jp" ↓
    
    
28. IPsec通信の基本仕様を定義するSAスペック「1」を作成します。鍵管理方式、セキュリティープロトコル、暗号、ハッシュの両アルゴリズムを指定します。
    
    CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROT=ESP ENCALG=DES HASHALG=SHA ↓
    
    
29. SAスペックをとりまとめるSAバンドルスペック「1」を作成します。ESPとAHを併用する場合などは、複数のSAスペックを作成して、本コマンドのSTRINGパラメーターで「1 and 2」のように指定します。この例ではSAスペックが1つだけなので、単に「1」と指定します。
    
    CREATE IPSEC BUNDLESPEC=1 KEYMAN=ISAKMP STRING="1" ↓
    
    
30. ISAKMPパケットを通過させるためのIPsecポリシー「isa」を作成します。ISAKMP使用時は必ず最初にこのポリシーを作成してください。
    
    CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
    
    
31. IPsec通信の範囲を指定するIPsecポリシーを作成します。ここで指定した条件に一致するパケットに対して、BUNDLEパラメーターで指定したSAバンドルスペックに基づくIPsec処理が行われます。INTERFACEパラメーターで指定したインターフェースを通過するときに、IPsecの暗号化、復号化処理が行われます。
    
    CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=4.4.4.1 ↓
SET IPSEC POLICY=vpn LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓

    
    
32. インターネットとの通信を素通しさせるIPsecポリシー「inet」を作成します。
    
    CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT ↓
    
    
33. IPsecを有効化します。
    
    ENABLE IPSEC ↓
    
    
34. ISAKMPを有効化します。
    
    ENABLE ISAKMP ↓
    
    
35. Security Officerレベルのユーザーでログインしなおします。
    
    LOGIN secoff ↓
    
    
36. セキュリティーモードに移行します。
    
    ENABLE SYSTEM SECURITY_MODE ↓
    
    

    Note - セキュリティーモードに移行したあとで、再度ノーマルモードに戻すと、暗号鍵などの情報は失われます。

    
    
37. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
    
    CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓


まとめ

ルーターAのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓ CREATE TDM GROUP=isp INT=bri0 SLOTS=1-2 ↓ CREATE PPP=0 OVER=TDM-isp LQR=OFF ↓ ENABLE IP ↓ ADD IP INT=eth0-0 IP=4.4.4.1 MASK=255.255.255.248 ↓ ADD IP INT=eth0-1 IP=192.168.10.1 MASK=255.255.255.0 ↓ ADD IP INT=ppp0 IP=0.0.0.0 ↓ ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓ SET NTP UTCOFFSET=JST ↓ ENABLE FIREWALL ↓ CREATE FIREWALL POLICY=net ↓ ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓ DISABLE FIREWALL POLICY=net IDENTPROXY ↓ ADD FIREWALL POLICY=net INT=eth0-0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0-1 GBLINT=ppp0 GBLIP=4.4.4.1 ↓ ADD FIREWALL POLICY=net RULE=1 ACTION=ALLOW INT=ppp0 PROT=UDP GBLPORT=500 GBLIP=4.4.4.1 PORT=500 IP=4.4.4.1 ↓ ADD FIREWALL POLICY=net RULE=2 ACTION=NONAT INT=eth0-1 PROT=ALL IP=192.168.10.1-192.168.10.254 ↓ SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254 ↓ ADD FIREWALL POLICY=net RULE=3 ACTION=NONAT INT=ppp0 PROT=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC ↓ # LOAD FILE=ca.cer SERVER=192.168.10.5 ↓ ADD PKI CERTIFICATE=cacer LOCATION=ca.cer TYPE=CA TRUSTED=TRUE ↓ SET SYSTEM DISTINGUISHEDNAME="cn=RouterA,o=birds,c=jp" ↓ # CREATE ENCO KEY=1 TYPE=RSA LENGTH=1024 ↓ # CREATE PKI ENROLLMENTREQUEST=myreq PROTOCOL=MANUAL KEYPAIR=1 TYPE=PKCS10 FORMAT=PEM ↓ # UPLOAD FILE=myreq.csr SERVER=192.168.10.5 ↓ # LOAD FILE=routera.cer SERVER=192.168.10.5 ↓ ADD PKI CERTIFICATE=mycer LOCATION=routera.cer TYPE=SELF ↓ # SHOW PKI CERTIFICATE ↓ CREATE ISAKMP POLICY=i PEER=ANY AUTHTYPE=RSASIG LOCALRSAKEY=1 SENDN=TRUE REMOTEID="cn=RouterB,o=birds,c=jp" ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROT=ESP ENCALG=DES HASHALG=SHA ↓ CREATE IPSEC BUNDLESPEC=1 KEYMAN=ISAKMP STRING="1" ↓ CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓ SET IPSEC POLICY=vpn LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓ CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT ↓ ENABLE IPSEC ↓ ENABLE ISAKMP ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓

ルーターBのコンフィグ [テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル（.cfg）に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。

ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ ADD ISDN CALL=isp NUMBER=0312345678 PRECEDENCE=OUT INTREQ=bri0 ↓ CREATE PPP=0 OVER=ISDN-isp IPREQUEST=ON IDLE=ON LQR=OFF ↓ SET PPP=0 USERNAME=ispuser PASSWORD=isppasswd ↓ ENABLE IP ↓ ENABLE IP REMOTEASSIGN ↓ ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0 ↓ ADD IP INT=ppp0 IP=0.0.0.0 ↓ ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓ SET NTP UTCOFFSET=JST ↓ ENABLE FIREWALL ↓ CREATE FIREWALL POLICY=net ↓ ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓ DISABLE FIREWALL POLICY=net IDENTPROXY ↓ ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0 GBLINT=ppp0 ↓ ADD FIREWALL POLICY=net RULE=2 ACTION=NONAT INT=eth0 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓ SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓ ADD FIREWALL POLICY=net RULE=3 ACTION=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓ # LOAD FILE=ca.cer SERVER=192.168.20.5 ↓ ADD PKI CERTIFICATE=cacer LOCATION=ca.cer TYPE=CA TRUSTED=TRUE ↓ SET SYSTEM DISTINGUISHEDNAME="cn=RouterB,o=birds,c=jp" ↓ # CREATE ENCO KEY=1 TYPE=RSA LENGTH=1024 ↓ # CREATE PKI ENROLLMENTREQUEST=myreq PROTOCOL=MANUAL KEYPAIR=1 TYPE=PKCS10 FORMAT=PEM ↓ # UPLOAD FILE=myreq.csr SERVER=192.168.20.5 ↓ # LOAD FILE=routerb.cer SERVER=192.168.20.5 ↓ ADD PKI CERTIFICATE=mycer LOCATION=routerb.cer TYPE=SELF ↓ # SHOW PKI CERTIFICATE ↓ CREATE ISAKMP POLICY=i PEER=4.4.4.1 AUTHTYPE=RSASIG LOCALRSAKEY=1 SENDN=TRUE LOCALID="cn=RouterB,o=birds,c=jp" ↓ CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROT=ESP ENCALG=DES HASHALG=SHA ↓ CREATE IPSEC BUNDLESPEC=1 KEYMAN=ISAKMP STRING="1" ↓ CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=4.4.4.1 ↓ SET IPSEC POLICY=vpn LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓ CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT ↓ ENABLE IPSEC ↓ ENABLE ISAKMP ↓ # LOGIN secoff ↓ # ENABLE SYSTEM SECURITY_MODE ↓

Copyright (C) 1997-2003 アライドテレシス株式会社

PN: J613-M0507-00 Rev.G

＜前頁 次頁＞ ＜＜ ＞＞ ↑ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）