VPN / IPsec

IPsec（IP security）は、IPプロトコルファミリーに暗号化や認証などのセキュリティー機能を提供する一連のプロトコル群です。
本製品では固定IP/IPv6アドレスを持つ拠点間のL3接続（ルーティング接続）に使います。

本製品は、次のIPsec関連機能をサポートしています。

サポートするIPプロトコルファミリー
- デリバリー（外側）プロトコル：IPv4/IPv6
- ペイロード（内側）プロトコル：IPv4/IPv6（ただし、IPv4 over IPv4、IPv6 over IPv6の組み合わせのみサポート）
鍵交換と通信路のネゴシエーション機能
- IKEv2
  - INIT、AUTH、CREATE_CHILD_SA、INFORMATIONAL交換
  - 暗号化アルゴリズム：AES256、AES128、3DES（優先度の高い順）
  - 認証アルゴリズム：SHA256、SHA1（優先度の高い順）
  - Diffie-Hellmanグループ：14、16、5（優先度の高い順）
  - 認証方式：事前共有鍵
  - SA有効期間（ISAKMP SA：24時間、IPsec SA：8時間）
通信を保護するための機能
- IPsecプロトコル：ESP（暗号化・認証）
- IPsec動作モード
  - トンネルモード（IPsecトンネルインターフェース）
  - トランスポートモード（L2TPv3、GRE、IPv6トンネルインターフェース）
- 暗号化アルゴリズム：AES256、AES128、3DES（優先度の高い順）
- 認証アルゴリズム：SHA256、SHA1（優先度の高い順）
その他の機能
- DPD（Dead Peer Detection）

Note - 暗号化アルゴリズム、認証アルゴリズムなど各種パラメーターの組み合わせについては、「デフォルトプロファイル」をご覧ください。

Note - IPsecトンネルインターフェースでは、デリバリー（外側）パケットとペイロード（内側）パケットのプロトコルが一致している必要があります。すなわち、IPsec over IPv4トンネルインターフェース（tunnel mode ipsec ipv4）にはIPv4アドレス（ip address）しか設定できず、IPsec over IPv6トンネルインターフェース（tunnel mode ipsec ipv6）にはIPv6アドレス（ipv6 address）しか設定できません。IPv6 over IPv4のIPsecを実現するには、後述するGREトンネルインターフェースにIPsec保護（tunnel protection ipsec）を適用してください。また、IPv4 over IPv6のIPsecを実現するには、IPv6トンネルインターフェースにIPsec保護（tunnel protection ipsec）を適用してください。

IPsec機能は、IPsecトンネルインターフェースだけでなく、L2TPv3、GRE、IPv6の各トンネルインターフェースでも利用できますが、本解説編ではIPsecトンネルインターフェースに特化した説明を行います。IPsecを利用可能な他のトンネルインターフェースについては下記の各解説編をご参照ください。

トンネルインターフェース全般については「VPN」の「トンネルインターフェース」を、インターフェース全般については「インターフェース」の「一般設定」をご覧ください。

また、IPsecを使用するための具体的かつ全体的な設定については「設定例集」をご覧ください。

基本設定

IPsec over IPv4

IPv4ネットワーク上にIPsecトンネルインターフェースを作成するには、次の手順にしたがいます。

以下では、上記構成図のルーターAを例に、基本的な拠点間IPsec VPNを構築するための具体的な設定手順を示します。
なお、前提事項として、ルーターA・BはIPv4でインターネットに接続しているものとします。WAN側インターフェースのIPアドレスは固定であり、ルーター間でのIP通信もできているものとします。

ISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。addressパラメーターで指定するのは、IPsecの接続相手（対向装置）、すちわち、ルーターBのIPアドレスです。
awplus(config)# crypto isakmp key ouR4ecret address 10.2.2.2 ↓
トンネルインターフェースtunnel0を作成します。
awplus(config)# interface tunnel0 ↓
トンネリング方式としてipsec ipv4（IPsec over IPv4）を指定します。これには、tunnel mode ipsecコマンドを使います。
awplus(config-if)# tunnel mode ipsec ipv4 ↓
トンネルインターフェースから送信するデリバリーパケットの始点・終点アドレス（自装置と対向装置のIPアドレス）を指定します。これには、tunnel source / tunnel destinationコマンドを使います。
awplus(config-if)# tunnel source 10.1.1.1 ↓ awplus(config-if)# tunnel destination 10.2.2.2 ↓
トンネルインターフェースに対し、IPsecによる保護を適用します。これにはtunnel protection ipsecコマンドを使います。
awplus(config-if)# tunnel protection ipsec ↓
トンネルインターフェースtunnel0にIPアドレスを設定して、同インターフェースでIPv4パケットのルーティングが行われるようにします。これには、ip addressコマンドを使います。
awplus(config-if)# ip address 192.168.254.1/30 ↓
Note - トンネルインターフェースにIPアドレスを設定する場合のマスク長は30ビット以下を推奨します。トンネルインターフェースのIPアドレスを「ip address 192.168.254.1/32」のように32ビットマスクで設定することも可能ですが、トンネルインターフェース上でOSPFなどの経路制御プロトコルを動作させる場合は、ホストアドレスを複数取れる30ビット以下のサブネットマスクを設定する必要があるためです。
対向拠点へのスタティック経路を登録します。これには、ip routeコマンドを使います。
awplus(config-if)# exit ↓ awplus(config)# ip route 192.168.20.0/24 tunnel0 ↓

インターフェースへのIPアドレス設定については「IPルーティング」/「IPインターフェース」を、IPの経路設定については「IPルーティング」/「経路制御」、および、ダイナミックルーティングに関する各セクションをご覧ください。

IPsec over IPv6

IPv6ネットワーク上にIPsecトンネルインターフェースを作成するには、次の手順にしたがいます。

以下では、上記構成図のルーターAを例に、基本的な拠点間IPsec VPNを構築するための具体的な設定手順を示します。
なお、前提事項として、ルーターA・BはIPv6でインターネットに接続しているものとします。WAN側インターフェースのIPv6アドレスは固定であり、ルーター間でのIPv6通信もできているものとします。

ISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。addressパラメーターで指定するのは、IPsecの接続相手（対向装置）、すちわち、ルーターBのIPv6アドレスです。
awplus(config)# crypto isakmp key ouR4ecret address 2001:db8:2:2::2 ↓
トンネルインターフェースtunnel0を作成します。
awplus(config)# interface tunnel0 ↓
トンネリング方式としてipsec ipv6（IPsec over IPv6）を指定します。これには、tunnel mode ipsecコマンドを使います。
awplus(config-if)# tunnel mode ipsec ipv6 ↓
トンネルインターフェースから送信するデリバリーパケットの始点・終点アドレス（自装置と対向装置のIPv6アドレス）を指定します。これには、tunnel source / tunnel destinationコマンドを使います。
awplus(config-if)# tunnel source 2001:db8:1:1::1 ↓ awplus(config-if)# tunnel destination 2001:db8:2:2::2 ↓
トンネルインターフェースに対し、IPsecによる保護を適用します。これにはtunnel protection ipsecコマンドを使います。
awplus(config-if)# tunnel protection ipsec ↓
トンネルインターフェースtunnel0にIPv6のリンクローカルアドレスを設定して、同インターフェースでIPv6パケットのルーティングが行われるようにします。これには、ipv6 enableコマンドを使います。
awplus(config-if)# ipv6 enable ↓
Note - IPv6パケットをルーティング（転送）するだけであれば、トンネルインターフェースのIPv6アドレスはこの例のようにリンクローカルアドレス（ipv6 enable）だけでかまいませんが、BGPを使用する場合などグローバルアドレスが必要な場合はipv6 addressコマンドで適切なIPv6アドレスを設定してください。
対向拠点へのスタティック経路を登録します。これには、ipv6 routeコマンドを使います。
awplus(config-if)# exit ↓ awplus(config)# ipv6 route 2001:db8:10:20::/64 tunnel0 ↓

インターフェースへのIPv6アドレス設定については「IPv6ルーティング」/「IPv6インターフェース」を、IPv6の経路設定については「IPv6ルーティング」/「経路制御」、および、ダイナミックルーティングに関する各セクションをご覧ください。

設定と状態の確認

■ ISAKMP/IPsec SAの情報を確認するには、show isakmp sa / show ipsec saコマンドを使います。

awplus# show isakmp sa ↓ awplus# show ipsec sa ↓

■ ISAKMP/IPsecの統計情報を確認するには、show isakmp counters / show ipsec countersコマンドを使います。

awplus# show isakmp counters ↓ awplus# show ipsec counters ↓

■ IPsecの動作状況を確認するには、show ipsec peer / show ipsec policyコマンドを使います。

awplus# show ipsec peer ↓ awplus# show ipsec policy ↓

■ ISAKMPの事前共有鍵を確認するには、show isakmp keyコマンドを使います。

awplus# show isakmp key ↓

■ 既定のISAKMP/IPsecプロファイル（動作パラメーター）を確認するには、show isakmp profile / show ipsec profileコマンドを使います。

awplus# show isakmp profile ↓ awplus# show ipsec profile ↓

デフォルトプロファイル

本製品では、ISAKMP、IPsecそれぞれの通信で使用する暗号化アルゴリズム、認証アルゴリズムなど各種パラメーターの組み合わせが、優先順位とともに「デフォルトプロファイル」としてあらかじめ定義されているため、設定は不要です（変更はできません）。

以下にその内容を示します。

デフォルトISAKMPプロファイル

デフォルトISAKMPプロファイルの内容は下記のとおりです。
ISAKMPパラメーターの組み合わせは、優先度の高いほうから順にトランスフォーム 1 ～ 18の18通りが定義されています。

トランスフォーム 1 2 3 4 5 6 7 8 9

暗号化アルゴリズム AES256 AES256 AES256 AES256 AES256 AES256 AES128 AES128 AES128

認証アルゴリズム SHA256 SHA256 SHA256 SHA1 SHA1 SHA1 SHA256 SHA256 SHA256

Diffie-Hellmanグループ 14 16 5 14 16 5 14 16 5

認証方式 事前共有鍵事前共有鍵事前共有鍵事前共有鍵事前共有鍵事前共有鍵事前共有鍵事前共有鍵事前共有鍵

SA有効期間 24時間 24時間 24時間 24時間 24時間 24時間 24時間 24時間 24時間

トランスフォーム 10 11 12 13 14 15 16 17 18

暗号化アルゴリズム AES128 AES128 AES128 3DES 3DES 3DES 3DES 3DES 3DES

認証アルゴリズム SHA1 SHA1 SHA1 SHA256 SHA256 SHA256 SHA1 SHA1 SHA1

Diffie-Hellmanグループ 14 16 5 14 16 5 14 16 5

認証方式 事前共有鍵事前共有鍵事前共有鍵事前共有鍵事前共有鍵事前共有鍵事前共有鍵事前共有鍵事前共有鍵

SA有効期間 24時間 24時間 24時間 24時間 24時間 24時間 24時間 24時間 24時間

デフォルトIPsecプロファイル

デフォルトIPsecプロファイルの内容は下記のとおりです。
IPsecパラメーターの組み合わせは、優先度の高いほうから順にプロポーザル 1 ～ 6の6通りが定義されています。

プロポーザル 1 2 3 4 5 6

IPsecプロトコル ESP ESP ESP ESP ESP ESP

暗号アルゴリズム（CBC） AES256 AES256 AES128 AES128 3DES 3DES

認証アルゴリズム（HMAC） SHA256 SHA1 SHA256 SHA1 SHA256 SHA1

IPsec動作モード トランスポート* トランスポート* トランスポート* トランスポート* トランスポート* トランスポート*

PFS 使用しない使用しない使用しない使用しない使用しない使用しない

SA有効期間 8時間 8時間 8時間 8時間 8時間 8時間

Note - * 実際の動作としては、IPsecトンネルインターフェースではトンネルモード、L2TPv3、GRE、IPv6トンネルインターフェースではトランスポートモードで動作します。

PN: 613-002107 Rev.A

トランスフォーム	1	2	3	4	5	6	7	8	9
暗号化アルゴリズム	AES256	AES256	AES256	AES256	AES256	AES256	AES128	AES128	AES128
認証アルゴリズム	SHA256	SHA256	SHA256	SHA1	SHA1	SHA1	SHA256	SHA256	SHA256
Diffie-Hellmanグループ	14	16	5	14	16	5	14	16	5
認証方式	事前共有鍵	事前共有鍵	事前共有鍵	事前共有鍵	事前共有鍵	事前共有鍵	事前共有鍵	事前共有鍵	事前共有鍵
SA有効期間	24時間	24時間	24時間	24時間	24時間	24時間	24時間	24時間	24時間

トランスフォーム	10	11	12	13	14	15	16	17	18
暗号化アルゴリズム	AES128	AES128	AES128	3DES	3DES	3DES	3DES	3DES	3DES
認証アルゴリズム	SHA1	SHA1	SHA1	SHA256	SHA256	SHA256	SHA1	SHA1	SHA1
Diffie-Hellmanグループ	14	16	5	14	16	5	14	16	5
認証方式	事前共有鍵	事前共有鍵	事前共有鍵	事前共有鍵	事前共有鍵	事前共有鍵	事前共有鍵	事前共有鍵	事前共有鍵
SA有効期間	24時間	24時間	24時間	24時間	24時間	24時間	24時間	24時間	24時間

プロポーザル	1	2	3	4	5	6
IPsecプロトコル	ESP	ESP	ESP	ESP	ESP	ESP
暗号アルゴリズム（CBC）	AES256	AES256	AES128	AES128	3DES	3DES
認証アルゴリズム（HMAC）	SHA256	SHA1	SHA256	SHA1	SHA256	SHA1
IPsec動作モード	トランスポート*	トランスポート*	トランスポート*	トランスポート*	トランスポート*	トランスポート*
PFS	使用しない	使用しない	使用しない	使用しない	使用しない	使用しない
SA有効期間	8時間	8時間	8時間	8時間	8時間	8時間