<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR550S 設定例集 2.9 #92
RSAデジタル署名を利用したIPsec VPN(PKIX-CMPによるオンライン登録)
IPsecを使って2つの拠点をインターネット経由でIP接続するVPNの設定例です(自動鍵管理)。この例では、IKEフェーズ1の相手ルーター認証にRSAデジタル署名を使用しています。署名検証に必要な相手の公開鍵は、PKIモジュールを使って取得・検証します。ここでは、PKIX-CMPプロトコルを利用して、自分の公開鍵証明書の発行要求をオンラインでCA(認証局)に送信する例を示します。ルーターのアドレスは両方とも固定であると仮定します。また、ファイアウォールとダイナミックENATにより、VPN通信だけでなくインターネット通信もできるように設定します。
この例では、ルーターAは専用線128KでISPと接続しており、グローバルIPアドレス8個を割り当てられているものとします。また、ルーターBはPPPoEによる常時接続で、グローバルIPアドレス1個を固定的に割り当てられているものとします。また、認証局とLDAPサーバーは、ルーターAのLAN側グローバルセグメント(DMZ)に置かれているものとします。
Note
- 本機能はオプション機能ですので、ご使用にはフィーチャー(追加機能)ライセンスが必要です。
表 1
|
ルーターA |
ルーターB |
TDMグループ名 |
isp |
− |
回線速度 |
128Kbps |
− |
WAN側物理インターフェース |
bri0 |
eth0 |
PPPユーザー名 |
− |
user@isp |
PPPパスワード |
− |
isppasswd |
PPPoEサービス名 |
− |
指定なし |
WAN側(ppp0)IPアドレス |
Unnumbered |
12.34.56.78/32 |
LAN側(eth1)IPアドレス(1) |
4.4.4.1/29 |
192.168.20.1/24 |
LAN側(vlan1)IPアドレス(2) |
192.168.10.1/24 |
− |
表 2:PKI関連のパラメーター
|
ルーターA |
ルーターB |
RSA鍵ペアの鍵長(ビット) |
1024 |
1024 |
証明書の識別名(DN) |
cn=RouterA,o=birds,c=jp |
cn=RouterB,o=birds,c=jp |
証明書の登録方法 |
PKIX-CMP |
PKIX-CMP |
証明書発行要求の参照番号 |
87654321 |
12345678 |
証明書発行要求の承認コード |
RCPYX6P4SZS |
SLS76PNCTWP |
認証局(CA)のIPアドレス |
4.4.4.2 |
4.4.4.2 |
認証局(CA)の識別名 |
o=birds,c=jp |
o=birds,c=jp |
証明書失効リスト(CRL)のロード |
行う |
行う |
証明書失効リスト(CRL)の識別名(DN) |
cn=crl1,o=birds,c=jp |
cn=crl1,o=birds,c=jp |
LDAPサーバーのIPアドレス |
4.4.4.3 |
4.4.4.3 |
表 3:IKEフェーズ1(ISAKMP SAのネゴシエーション)
ルーター間の認証方式 |
RSAデジタル署名 |
IKE交換モード |
Mainモード |
Oakleyグループ |
1(デフォルト) |
ISAKMPメッセージの暗号化方式 |
DES(デフォルト) |
ISAKMPメッセージの認証方式 |
SHA1(デフォルト) |
ISAKMP SAの有効期限(時間) |
86400秒(24時間)(デフォルト) |
ISAKMP SAの有効期限(KByte数) |
なし(デフォルト) |
起動時のISAKMPネゴシエーション |
行わない |
表 4:IKEフェーズ2(IPsec SAのネゴシエーション)
SAモード |
トンネルモード |
セキュリティープロトコル |
ESP(暗号化+認証) |
暗号化方式 |
DES |
認証方式 |
SHA1 |
IPsec SAの有効期限(時間) |
28800秒(8時間)(デフォルト) |
IPsec SAの有効期限(KByte数) |
なし(デフォルト) |
トンネリング対象IPアドレス |
192.168.10.0/24 ←→ 192.168.20.0/24 |
トンネル終端アドレス |
4.4.4.1(A)・12.34.56.78(B) |
インターネットとの平文通信 |
行う |
- IPsecはセキュリティーモードでないと動作しないので、同モードで管理設定を行うことのできるSecurity Officerレベルのユーザーをあらかじめ登録しておきます。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerのパスワードは厳重に管理してください。
- 専用線の設定を行います。
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=isp INT=bri0 SLOTS=1-2 ↓
- PPPインターフェースを作成します。
CREATE PPP=0 OVER=TDM-isp LQR=OFF ↓
- IPモジュールを有効にします。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。この例ではWAN側(ppp0)がUnnumberedなので、LAN側を2つのサブネットにわけ、片方(eth1)にグローバルアドレスを、もう一方(vlan1)にプライベートアドレスを割り当てます。
ADD IP INT=eth1 IP=4.4.4.1 MASK=255.255.255.248 ↓
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
Note
- IPsecを使用する場合、WAN側がUnnumberedであるなどの理由でLAN側をマルチホーミングするときは、IPsecの始点アドレスとして使うグローバルアドレスを先に設定(入力)してください。設定ファイルを直接編集する場合は、グローバルアドレスの設定コマンドを先に記述してください。
- WAN側(ppp0)インターフェースをUnnumberedに設定します。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
- UTC(協定世界時)との時差を設定します。これは、PKIで使用される時刻がUTCに基づいているためです。ここでは日本標準時(JST)に設定します。
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側グローバルセグメント(eth1)をPUBLIC(外部)に設定します。eth1側には認証局(4.4.4.2)とLDAPサーバー(4.4.4.3)が設置されているため、ルーターBからアクセスできるようPUBLICに設定しています。
ADD FIREWALL POLICY=net INT=eth1 TYPE=PUBLIC ↓
- LAN側プライベートセグメント(vlan1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
- WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- LAN側プライベートセグメント(vlan1)に接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ルーターのeth1に設定したインターフェースアドレスを共用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 GBLIP=4.4.4.1 ↓
- このままでは、対向ルーターからのISAKMPパケットがファイアウォールを通過できないので、穴をあける設定を施します。
ADD FIREWALL POLICY=net RULE=1 ACTION=ALLOW INT=ppp0 PROT=UDP GBLPORT=500 GBLIP=4.4.4.1 PORT=500 IP=4.4.4.1 ↓
- ローカルLANからリモートLANへのパケットにはNATをかけないよう設定します。
ADD FIREWALL POLICY=net RULE=2 ACTION=NONAT INT=vlan1 PROT=ALL IP=192.168.10.1-192.168.10.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254 ↓
- 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.10.1〜192.168.10.254、つまり、ローカル側LANならばNATの対象外とする」の意味になります。
ADD FIREWALL POLICY=net RULE=3 ACTION=NONAT INT=ppp0 PROT=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC ↓
- ここからPKIの設定を行います。最初に、システム内の証明書データベースにCA証明書を登録します。CA証明書は、他のルーターの証明書の内容が正当であることを確認するために必要です。ここではADD PKI CERTIFICATEコマンドを使って、LDAPレポジトリーからCA証明書ファイルをダウンロードし、直接(いったんファイルに保存せずに)証明書データベースに登録します。LDAPレポジトリーのアドレスは4.4.4.3とします。
ADD PKI CERTIFICATE=cacer LOCATION="ldap://4.4.4.3/o=birds,c=jp" TYPE=CA TRUSTED=TRUE ↓
- 次にルーターA自身のデジタル証明書の準備をします。最初に、証明書の発行を要求するときに必要な識別名(DN)を設定します。これは、公開鍵の所有者を示すSubjectフィールドで使われるもので、ルーターAを一意に識別する名前となります。識別名は複数の属性から構成されますが、認証局によって各種制限があるため、認証局の管理者とご相談の上決定してください。なお、cn、o、cなどの属性名は小文字で記述する必要がありますのでご注意ください。
SET SYSTEM DISTINGUISHEDNAME="cn=RouterA,o=birds,c=jp" ↓
- ルーターA自身のRSA公開鍵ペアを作成します。
CREATE ENCO KEY=1 TYPE=RSA LENGTH=1024 ↓
Note
- RSA鍵の作成には時間がかかります。コンソールに「RSA Key generation process completed.」と表示されるまで待ってから、次の手順に進んでください。
Note
- このコマンドはコンソールから直接入力したときだけ有効で、エディターなどで設定ファイルに記述した場合は無効になります。
- 作成した公開鍵に対する証明書の発行を要求します。ここでは、CMPプロトコルを利用してオンラインで直接認証局に要求を送信します。このコマンドで必要なREFERENCE(参照番号)とSECRET(承認コード)については、認証局の管理者にご確認ください。認証局のアドレスは4.4.4.2とします。
CREATE PKI ENROLLMENTREQUEST=myreq PROTOCOL=CMP KEYPAIR=1 REFERENCE=87654321 SECRET=RCPYX6P4SZS LOCATION=4.4.4.2 ↓
Note
- 証明書の発行要求には時間がかかります。コンソールに「PKI Management Request myreq completed.」と表示されるまで待ってから、次の手順に進んでください。
Note
- このコマンドはコンソールから直接入力したときだけ有効で、エディターなどで設定ファイルに記述した場合は無効になります。
Note
- ご利用の認証局によっては、承認コードのフォーマットが本製品の期待しているものと異なる場合があります。たとえば、Entrust社の認証局は「RCPY-X6P4-SZSJ」のようなフォーマットですが、この場合ハイフンと最終桁のチェックストリングは入力不要です。
- 認証局が発行したルーターA自身の証明書ファイルを証明書データベースに登録します。ここでは、LDAPを使ってレポジトリーから直接登録します。
ADD PKI CERTIFICATE=mycer LOCATION="ldap://4.4.4.3/cn=RouterA,o=birds,c=jp" TYPE=SELF ↓
- 認証局が発行する証明書失効リスト(CRL)をCRLデータベースに登録します。ここではLDAPを使ってレポジトリーから直接登録します。CRLの識別名(DN)については、認証局の管理者にご確認ください。LDAPサーバーから登録した場合、一定の間隔でCRLを自動的に取り寄せます。デフォルトでは24時間ごとです。この間隔はSET PKIコマンドのCRLUPDATEPERIODパラメーターで変更できます。
ADD PKI CRL=cacrl LOCATION="ldap://4.4.4.3/cn=crl1,o=birds,c=jp" ↓
- PKIの設定はここまでです。IPsecの設定に進む前に、SHOW PKI CERTIFICATEコマンドを実行し、CA証明書とルーター自身の証明書がデータベースに正しく登録されているかどうかを確認してください。State欄が「TRUSTED」になっていれば正常です。
Manager > show pki certificate
Certificate Database: [ref.#: 12332-1396]
Name State MTrust Type Source
------------------------------------------------------------------------------
mycer TRUSTED FALSE SELF COMMAND
cacer TRUSTED TRUE CA COMMAND
------------------------------------------------------------------------------
|
- ルーターBとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。PEERには対向ルーターのIPアドレスを指定します。認証方式(AUTHTYPE)としてはRSAデジタル署名(RSASIG)を、LOCALRSAKEYに自分の鍵ペアの番号を指定します。
CREATE ISAKMP POLICY=i PEER=12.34.56.78 AUTHTYPE=RSASIG LOCALRSAKEY=1 SENDN=TRUE ↓
- ここでは対向ルーターも本製品なので、独自機能のISAKMPハートビートを使って、対向ルーターとのリンク切断時に不要なSAが残らないようにします。
SET ISAKMP POLICY=i HEARTBEATMODE=BOTH ↓
- IPsec通信の基本仕様を定義するSAスペック「1」を作成します。セキュリティープロトコル、暗号、ハッシュの両アルゴリズムを指定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROT=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペックをとりまとめるSAバンドルスペック「1」を作成します。ESPとAHを併用する場合などは、複数のSAスペックを作成して、本コマンドのSTRINGパラメーターで「1 and 2」のように指定します。この例ではSAスペックが1つだけなので、単に「1」と指定します。
CREATE IPSEC BUNDLESPEC=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPパケットを通過させるためのIPsecポリシー「isa」を作成します。ISAKMP使用時は必ず最初にこのポリシーを作成してください。
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
- IPsec通信の範囲を指定するIPsecポリシーを作成します。ここで指定した条件に一致するパケットに対して、BUNDLEパラメーターで指定したSAバンドルスペックに基づくIPsec処理が行われます。INTERFACEパラメーターで指定したインターフェースを通過するときに、IPsecの暗号化、復号化処理が行われます。PEERには相手のIPアドレスを指定します。
CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=12.34.56.78 ↓
SET IPSEC POLICY=vpn LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
- インターネットとの通信を素通しさせるIPsecポリシー「inet」を作成します。
CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT ↓
- IPsecを有効化します。
- ISAKMPを有効化します。
- Security Officerレベルのユーザーでログインしなおします。
- セキュリティーモードに移行します。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードに移行したあとで、再度ノーマルモードに戻すと、暗号鍵などの情報は失われます。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- IPsecはセキュリティーモードでないと動作しないので、同モードで管理設定を行うことのできるSecurity Officerレベルのユーザーをあらかじめ登録しておきます。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
Note
- Security Officerのパスワードは厳重に管理してください。
- ISPにPPPoEで接続するための設定を行います。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。
CREATE PPP=0 OVER=eth0-ANY BAP=OFF LQR=OFF ECHO=ON ↓
SET PPP=0 USERNAME=user@isp PASSWORD=isppasswd ↓
- IPモジュールを有効にします。
- LAN側(vlan1)インターフェースにIPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにIPアドレスを設定します。ここでは、ISPからグローバルアドレス1個を固定で割り当てられている環境を想定しています。
ADD IP INT=ppp0 IP=12.34.56.78 MASK=255.255.255.255 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
- UTC(協定世界時)との時差を設定します。これは、PKIで使用される時刻がUTCに基づいているためです。ここでは日本標準時(JST)に設定します。
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース(vlan1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
- WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
- このままでは、対向ルーターからのISAKMPパケットがファイアウォールを通過できないので、穴をあける設定を施します。
ADD FIREWALL POLICY=net RULE=1 ACTION=ALLOW INT=ppp0 PROT=UDP GBLPORT=500 GBLIP=12.34.56.78 PORT=500 IP=12.34.56.78 ↓
- ローカルLANからリモートLANへのパケットにはNATをかけないよう設定します。
ADD FIREWALL POLICY=net RULE=2 ACTION=NONAT INT=vlan1 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓
- 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が192.168.20.1〜192.168.20.254、つまり、ローカル側LANならばNATの対象外とする」の意味になります。
ADD FIREWALL POLICY=net RULE=3 ACTION=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓
- ここからPKIの設定を行います。最初に、システム内の証明書データベースにCA証明書を登録します。CA証明書は、他のルーターの証明書の内容が正当であることを確認するために必要です。ここではADD PKI CERTIFICATEコマンドを使って、LDAPレポジトリーからCA証明書ファイルをダウンロードし、直接(いったんファイルに保存せずに)証明書データベースに登録します。LDAPレポジトリーはルーターA側にあり、アドレスは4.4.4.3とします。
ADD PKI CERTIFICATE=cacer LOCATION="ldap://4.4.4.3/o=birds,c=jp" TYPE=CA TRUSTED=TRUE ↓
- 次にルーターB自身のデジタル証明書の準備をします。最初に、証明書の発行を要求するときに必要な識別名(DN)を設定します。これは、公開鍵の所有者を示すSubjectフィールドで使われるもので、ルーターBを一意に識別する名前となります。識別名は複数の属性から構成されますが、認証局によって各種制限があるため、認証局の管理者とご相談の上決定してください。なお、cn、o、cなどの属性名は小文字で記述する必要がありますのでご注意ください。
SET SYSTEM DISTINGUISHEDNAME="cn=RouterB,o=birds,c=jp" ↓
- ルーターB自身のRSA公開鍵ペアを作成します。
CREATE ENCO KEY=1 TYPE=RSA LENGTH=1024 ↓
Note
- RSA鍵の作成には時間がかかります。コンソールに「RSA Key generation process completed.」と表示されるまで待ってから、次の手順に進んでください。
Note
- このコマンドはコンソールから直接入力したときだけ有効で、エディターなどで設定ファイルに記述した場合は無効になります。
- 作成した公開鍵に対する証明書の発行を要求します。ここでは、CMPプロトコルを利用してオンラインで直接認証局に要求を送信します。このコマンドで必要なREFERENCE(参照番号)とSECRET(承認コード)については、認証局の管理者にご確認ください。認証局はルーターA側にあり、アドレスは4.4.4.2とします。
CREATE PKI ENROLLMENTREQUEST=myreq PROTOCOL=CMP KEYPAIR=1 REFERENCE=12345678 SECRET=SLS76PNCTWP LOCATION=4.4.4.2 ↓
Note
- 証明書の発行要求には時間がかかります。コンソールに「PKI Management Request myreq completed.」と表示されるまで待ってから、次の手順に進んでください。
Note
- このコマンドはコンソールから直接入力したときだけ有効で、エディターなどで設定ファイルに記述した場合は無効になります。
Note
- ご利用の認証局によっては、承認コードのフォーマットが本製品の期待しているものと異なる場合があります。たとえば、Entrust社の認証局は「SLS7-6PNC-TWPR」のようなフォーマットですが、この場合ハイフンと最終桁のチェックストリングは入力不要です。
- 認証局が発行したルーターB自身の証明書ファイルを証明書データベースに登録します。ここでは、LDAPを使ってレポジトリーから直接登録します。
ADD PKI CERTIFICATE=mycer LOCATION="ldap://4.4.4.3/cn=RouterB,o=birds,c=jp" TYPE=SELF ↓
- 認証局が発行する証明書失効リスト(CRL)をCRLデータベースに登録します。ここではLDAPを使ってレポジトリーから直接登録します。CRLの識別名(DN)については、認証局の管理者にご確認ください。LDAPサーバーから登録した場合、一定の間隔でCRLを自動的に取り寄せます。デフォルトでは24時間ごとです。この間隔はSET PKIコマンドのCRLUPDATEPERIODパラメーターで変更できます。
ADD PKI CRL=cacrl LOCATION="ldap://4.4.4.3/cn=crl1,o=birds,c=jp" ↓
- PKIの設定はここまでです。IPsecの設定に進む前に、SHOW PKI CERTIFICATEコマンドを実行し、CA証明書とルーター自身の証明書がデータベースに正しく登録されているかどうかを確認してください。State欄が「TRUSTED」になっていれば正常です。
Manager > show pki certificate
Certificate Database: [ref.#: 12332-1396]
Name State MTrust Type Source
------------------------------------------------------------------------------
mycer TRUSTED FALSE SELF COMMAND
cacer TRUSTED TRUE CA COMMAND
------------------------------------------------------------------------------
|
- ルーターAとのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。ISAKMPは鍵とSAのネゴシエーションを自動的に行うためのプロトコルです。PEERには相手ルーターのグローバルアドレスを指定します。また、認証方式(AUTHTYPE)としてRSAデジタル署名(RSASIG)を指定し、LOCALRSAKEYに自分の鍵ペアの番号を指定します。
CREATE ISAKMP POLICY=i PEER=4.4.4.1 AUTHTYPE=RSASIG LOCALRSAKEY=1 SENDN=TRUE ↓
- ここでは対向ルーターも本製品なので、独自機能のISAKMPハートビートを使って、対向ルーターとのリンク切断時に不要なSAが残らないようにします。
SET ISAKMP POLICY=i HEARTBEATMODE=BOTH ↓
- IPsec通信の基本仕様を定義するSAスペック「1」を作成します。鍵管理方式、セキュリティープロトコル、暗号、ハッシュの両アルゴリズムを指定します。
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROT=ESP ENCALG=DES HASHALG=SHA ↓
- SAスペックをとりまとめるSAバンドルスペック「1」を作成します。ESPとAHを併用する場合などは、複数のSAスペックを作成して、本コマンドのSTRINGパラメーターで「1 and 2」のように指定します。この例ではSAスペックが1つだけなので、単に「1」と指定します。
CREATE IPSEC BUNDLESPEC=1 KEYMAN=ISAKMP STRING="1" ↓
- ISAKMPパケットを通過させるためのIPsecポリシー「isa」を作成します。ISAKMP使用時は必ず最初にこのポリシーを作成してください。
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
- IPsec通信の範囲を指定するIPsecポリシーを作成します。ここで指定した条件に一致するパケットに対して、BUNDLEパラメーターで指定したSAバンドルスペックに基づくIPsec処理が行われます。INTERFACEパラメーターで指定したインターフェースを通過するときに、IPsecの暗号化、復号化処理が行われます。
CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=4.4.4.1 ↓
SET IPSEC POLICY=vpn LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
- インターネットとの通信を素通しさせるIPsecポリシー「inet」を作成します。
CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT ↓
- IPsecを有効化します。
- ISAKMPを有効化します。
- Security Officerレベルのユーザーでログインしなおします。
- セキュリティーモードに移行します。
ENABLE SYSTEM SECURITY_MODE ↓
Note
- セキュリティーモードに移行したあとで、再度ノーマルモードに戻すと、暗号鍵などの情報は失われます。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
ルーターAのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=isp INT=bri0 SLOTS=1-2 ↓
CREATE PPP=0 OVER=TDM-isp LQR=OFF ↓
ENABLE IP ↓
ADD IP INT=eth1 IP=4.4.4.1 MASK=255.255.255.248 ↓
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
SET NTP UTCOFFSET=JST ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=eth1 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 GBLIP=4.4.4.1 ↓
ADD FIREWALL POLICY=net RULE=1 ACTION=ALLOW INT=ppp0 PROT=UDP GBLPORT=500 GBLIP=4.4.4.1 PORT=500 IP=4.4.4.1 ↓
ADD FIREWALL POLICY=net RULE=2 ACTION=NONAT INT=vlan1 PROT=ALL IP=192.168.10.1-192.168.10.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.20.1-192.168.20.254 ↓
ADD FIREWALL POLICY=net RULE=3 ACTION=NONAT INT=ppp0 PROT=ALL IP=192.168.10.1-192.168.10.254 ENCAP=IPSEC ↓
ADD PKI CERTIFICATE=cacer LOCATION="ldap://4.4.4.3/o=birds,c=jp" TYPE=CA TRUSTED=TRUE ↓
SET SYSTEM DISTINGUISHEDNAME="cn=RouterA,o=birds,c=jp" ↓
# CREATE ENCO KEY=1 TYPE=RSA LENGTH=1024 ↓
# CREATE PKI ENROLLMENTREQUEST=myreq PROTOCOL=CMP KEYPAIR=1 REFERENCE=87654321 SECRET=RCPYX6P4SZS LOCATION=4.4.4.2 ↓
ADD PKI CERTIFICATE=mycer LOCATION="ldap://4.4.4.3/cn=RouterA,o=birds,c=jp" TYPE=SELF ↓
ADD PKI CRL=cacrl LOCATION="ldap://4.4.4.3/cn=crl1,o=birds,c=jp" ↓
# SHOW PKI CERTIFICATE ↓
CREATE ISAKMP POLICY=i PEER=12.34.56.78 AUTHTYPE=RSASIG LOCALRSAKEY=1 SENDN=TRUE ↓
SET ISAKMP POLICY=i HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROT=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLESPEC=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=12.34.56.78 ↓
SET IPSEC POLICY=vpn LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
ルーターBのコンフィグ
[テキスト版]
* 「#」で始まる行は、コンソールから入力しないと意味を持たないコマンドか、設定ファイル(.cfg)に記述しても無効なコマンドを示しています。詳細は本文の説明をご覧ください。
ADD USER=secoff PASSWORD=PasswordS PRIVILEGE=SECURITYOFFICER ↓
CREATE PPP=0 OVER=eth0-ANY BAP=OFF LQR=OFF ECHO=ON ↓
SET PPP=0 USERNAME=user@isp PASSWORD=isppasswd ↓
ENABLE IP ↓
ADD IP INT=vlan1 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=12.34.56.78 MASK=255.255.255.255 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓
SET NTP UTCOFFSET=JST ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net RULE=1 ACTION=ALLOW INT=ppp0 PROT=UDP GBLPORT=500 GBLIP=12.34.56.78 PORT=500 IP=12.34.56.78 ↓
ADD FIREWALL POLICY=net RULE=2 ACTION=NONAT INT=vlan1 PROT=ALL IP=192.168.20.1-192.168.20.254 ↓
SET FIREWALL POLICY=net RULE=2 REMOTEIP=192.168.10.1-192.168.10.254 ↓
ADD FIREWALL POLICY=net RULE=3 ACTION=NONAT INT=ppp0 PROT=ALL IP=192.168.20.1-192.168.20.254 ENCAP=IPSEC ↓
ADD PKI CERTIFICATE=cacer LOCATION="ldap://4.4.4.3/o=birds,c=jp" TYPE=CA TRUSTED=TRUE ↓
SET SYSTEM DISTINGUISHEDNAME="cn=RouterB,o=birds,c=jp" ↓
# CREATE ENCO KEY=1 TYPE=RSA LENGTH=1024 ↓
# CREATE PKI ENROLLMENTREQUEST=myreq PROTOCOL=CMP KEYPAIR=1 REFERENCE=12345678 SECRET=SLS76PNCTWP LOCATION=4.4.4.2 ↓
ADD PKI CERTIFICATE=mycer LOCATION="ldap://4.4.4.3/cn=RouterB,o=birds,c=jp" TYPE=SELF ↓
ADD PKI CRL=cacrl LOCATION="ldap://4.4.4.3/cn=crl1,o=birds,c=jp" ↓
# SHOW PKI CERTIFICATE ↓
CREATE ISAKMP POLICY=i PEER=4.4.4.1 AUTHTYPE=RSASIG LOCALRSAKEY=1 SENDN=TRUE ↓
SET ISAKMP POLICY=i HEARTBEATMODE=BOTH ↓
CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROT=ESP ENCALG=DES HASHALG=SHA ↓
CREATE IPSEC BUNDLESPEC=1 KEYMAN=ISAKMP STRING="1" ↓
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 RPORT=500 TRANSPORT=UDP ↓
CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=4.4.4.1 ↓
SET IPSEC POLICY=vpn LAD=192.168.20.0 LMA=255.255.255.0 RAD=192.168.10.0 RMA=255.255.255.0 ↓
CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT ↓
ENABLE IPSEC ↓
ENABLE ISAKMP ↓
# LOGIN secoff ↓
# ENABLE SYSTEM SECURITY_MODE ↓
|
CentreCOM AR550S 設定例集 2.9 #92
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-04 Rev.P
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))