<前頁 次頁> << >> ↓ 目次 (番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細))
CentreCOM AR415S 設定例集 2.9 #150
インターネット上に暗号化されたトンネルを張り、2つの拠点をIPv6接続するIPsec VPNの設定例です(自動鍵管理)。両側のルーターにグローバルアドレスが固定的に設定されている場合の基本設定です。なお、この例ではIPsecの基本設定を示すため、各拠点からインターネットへのアクセスについては考慮していません。
ここでは、次のようなネットワーク構成を例に解説します。
WAN側物理インターフェース | eth0 | eth0 |
WAN側(eth0)IPアドレス | 1234::1/64 | 1234::2/64 |
LAN側(vlan1)IPアドレス | 3ffe::1/64 | 2000::1/64 |
ルーター間の認証方式 | 事前共有鍵(pre-shared key) |
IKE交換モード | Mainモード |
事前共有鍵 | secret(文字列) |
Oakleyグループ | 1(デフォルト) |
ISAKMPメッセージの暗号化方式 | DES(デフォルト) |
ISAKMPメッセージの認証方式 | SHA1(デフォルト) |
ISAKMP SAの有効期限(時間) | 86400秒(24時間)(デフォルト) |
ISAKMP SAの有効期限(KByte数) | なし(デフォルト) |
起動時のISAKMPネゴシエーション | 行わない |
SAモード | トンネルモード |
セキュリティープロトコル | ESP(暗号化+認証) |
暗号化方式 | DES |
認証方式 | SHA1 |
IPsec SAの有効期限(時間) | 28800秒(8時間)(デフォルト) |
IPsec SAの有効期限(KByte数) | なし(デフォルト) |
トンネリング対象IPアドレス | 3ffe::0/64 ←→ 2000::0/64 |
トンネル終端アドレス | 1234::1/64(A)・1234::2/64(B) |
インターネットとの平文通信 | 行わない |
ルーターAの設定 |
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
ENABLE IPV6 ↓
ADD IPV6 INT=vlan1 IP=3ffe::1/64 PUBLISH=yes ↓
ADD IPV6 INT=eth0 IP=1234::1/64 ↓
ADD IPV6 ROUTE=::/0 INT=eth0 NEXT=1234::2 ↓
ENABLE IPV6 ADVERTISE ↓
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
CREATE ISAKMP POLICY=isakmp PEER=1234::2 KEY=1 IPVERSION=6 ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isakmp_mes" INT=eth0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP IPVERSION=6 ↓
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
CREATE IPSEC POLICY="ipsec_sa" INT=eth0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=1234::2 IPVERSION=6 ↓
SET IPSEC POLICY="ipsec_sa" LAD=3ffe::/64 RAD=2000::/64 ↓
CREATE IPSEC POLICY="icmp_nd" INT=eth0 ACTION=permit IPVERSION=6 ICMPTYPE=NDALL ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
LOGIN secoff ↓
ENABLE SYSTEM SECURITY_MODE ↓
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
ルーターBの設定 |
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note - Security Officerレベルのユーザーを作成しておかないと、セキュリティーモードに移行できませんのでご注意ください。
ENABLE IPV6 ↓
ADD IPV6 INT=vlan1 IP=2000::1/64 PUBLISH=yes ↓
ADD IPV6 INT=eth0 IP=1234::2/64 ↓
ADD IPV6 ROUTE=::/0 INT=eth0 NEXT=1234::1 ↓
ENABLE IPV6 ADVERTISE ↓
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)などで設定スクリプトファイル(.CFG)にこのコマンドを記述しても無効になりますのでご注意ください。
Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティーモードに移行して鍵が保存されるようにしてください。
CREATE ISAKMP POLICY=isakmp PEER=1234::1 KEY=1 IPVERSION=6 ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY="isakmp_mes" INT=eth0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP IPVERSION=6 ↓
Note - ISAKMPを使用する場合は、必ず最初のIPsecポリシーでISAKMPメッセージが通過できるような設定を行ってください。「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使用します。
CREATE IPSEC POLICY="ipsec_sa" INT=eth0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=1234::1 IPVERSION=6 ↓
SET IPSEC POLICY="ipsec_sa" LAD=2000::/64 RAD=3ffe::/64 ↓
CREATE IPSEC POLICY="icmp_nd" INT=eth0 ACTION=permit IPVERSION=6 ICMPTYPE=NDALL ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
LOGIN secoff ↓
ENABLE SYSTEM SECURITY_MODE ↓
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてください(本章末尾のメモを参照)。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
メモ |
ENABLE USER RSO ↓
ADD USER RSO IP=3ffe::0/64 ↓
SET USER SECUREDELAY=300 ↓
まとめ |
ルーターAのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ |
ルーターBのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓ |
(C) 2006-2017 アライドテレシスホールディングス株式会社
PN: 613-000668 Rev.N