[index] CentreCOM ARX640S コマンドリファレンス 5.1.5

IPsec / 一般設定


基本設定
拠点間IPsec VPN
他機能との関係(パケット処理順序)


IPsec(IP security)は、IPプロトコルファミリーに暗号化や認証などのセキュリティー機能を提供する一連のプロトコル群です。

本製品は、次のIPsec関連機能をサポートしています。

本製品のIPsec機能を利用すると、次のようなことが可能になります。

以下では、拠点間IPsec VPNの基本設定について説明します。EtherIP over IPsecによるリモートブリッジングについては、「ブリッジング」の「一般設定」をご覧ください。IKEv2を利用したリモートアクセス型IPsec VPNをはじめ、IPsecを使用するための具体的かつ全体的な設定については、別途提供の「設定例集」をご覧ください。

基本設定

拠点間IPsec VPN

IPsec VPNの基本構成を次に示します。

以下では、上記構成図のルーターAを例に、IKEv1を使って基本的な拠点間IPsec VPNを構築するための具体的な設定手順を示します。
なお、前提事項として、ルーターA・BはPPPoEでインターネットに接続しているものとします。WAN側インターフェースのIPアドレスは固定であり、ルーター間でのIP通信もできているものとします。

IKEv1を利用したIPsec VPNを構築する場合は、以下の設定が必要です。
その他オプション機能として以下の設定を行います。

次に各手順を示します。
  1. 鍵交換プロトコルIKEv1の通信仕様(ISAKMP SAの通信仕様)を規定するISAKMPプロポーザルを作成します。これにはisakmp proposalコマンドを使います。
    ここでは、ISAKMP SAの暗号化に3DES、認証にSHA-1、鍵交換にDHグループ2を使うよう指定します。

    *Router(config)# isakmp proposal isakmp encryption 3des hash sha1 group 2
    


  2. IKEv1の動作を規定するISAKMPポリシーの設定を行います。ISAKMPポリシーを作成するには、isakmp policyコマンドを実行します。

    *Router(config)# isakmp policy isakmp
    


  3. IKEv1ネゴシエーションの相手ルーターを指定します。これには、peerコマンドを使います。

    *Router(config-isakmp-policy)# peer 10.2.2.2
    


  4. IKEv1ネゴシエーション中にルーター間で認証を行うためのパスワード(事前共有鍵)を設定します。これには、auth preshared keyコマンドを使います。共有鍵なので、鍵の値は両方のルーターで同じでなくてはなりません。

    *Router(config-isakmp-policy)# auth preshared key jogejoge
    


  5. IKEv1の通信仕様を規定するISAKMPプロポーザルを指定します。これには、proposalコマンドを使います。手順1で作成したISAKMPプロポーザル名を指定してください。

    *Router(config-isakmp-policy)# proposal isakmp
    


  6. ISAKMPキープアライブのDPDによる死活監視を有効にします。これには、keepalive enableコマンドを使います。

    *Router(config-isakmp-policy)# keepalive enable
    


  7. 以上でISAKMPポリシーの設定は完了です。exitコマンドでISAKMPポリシーモードを抜けます。

    *Router(config-isakmp-policy)# exit
    


  8. 次に、IPsec処理の対象パケットを指定するための拡張IPアクセスリストを作成します。これには、access-list ip extended(list)コマンドとaccess-list ip extended(rule entry)コマンドを使います。
    通常のIPsec VPNでは、ルーティング設定によってIPsecの適用対象を指定するため、アクセスリストの設定では、本例のようにすべてのパケットをpermitしてください。

    *Router(config)# access-list ip extended ipsec
    *Router(config-acl-ip-ext)# permit ip any any
    *Router(config-acl-ip-ext)# exit
    

    Note - IPsec設定用のアクセスリストでは、permitルールだけを使用してください(denyルールとdynamic permitルールは無視されます)。

  9. IPsecの通信仕様(IPsec SAの通信仕様)を規定するIPsecプロポーザルを作成します。これにはipsec proposalコマンドを使います。
    ここでは、ESP(暗号ペイロード)を使ってIPパケットの暗号化と認証を行います。暗号化には3DESを、認証にはSHA-1を行うよう指定します。

    *Router(config)# ipsec proposal ipsec esp encryption 3des hash sha1
    


  10. IPsecの動作を規定するIPsecポリシーの設定を行います。IPsecポリシーを作成するには、ipsec policyコマンドを実行します。

    *Router(config)# ipsec policy ipsec
    


  11. IPsec通信の相手ルーターを指定します。これには、peerコマンドを使います。ISAKMPポリシーで指定したのと同じアドレスを指定してください。

    *Router(config-ipsec-policy)# peer 10.2.2.2
    


  12. IPsecの通信仕様を規定するIPsecプロポーザルを指定します。これには、proposalコマンドを使います。手順9で作成したIPsecプロポーザル名を指定してください。

    *Router(config-ipsec-policy)# proposal ipsec
    


  13. IPsec処理の対象パケットを指定します。これには、access-listコマンドを使います。手順8で作成したアクセスリスト名を指定してください。

    *Router(config-ipsec-policy)# access-list ipsec
    


  14. IPsec SAのネゴシエーションに使うフェーズ2IDを設定します。local-idコマンドで自装置側のサブネットアドレスを、remote-idコマンドで対向装置側のサブネットアドレスを指定してください。

    *Router(config-ipsec-policy)# local-id 192.168.10.0/24
    *Router(config-ipsec-policy)# remote-id 192.168.20.0/24
    


  15. トンネルインターフェースのリンクステータスをIPsec SAの状態と連動させるため、IPsec SAの常時確立オプションを有効にします。これには、always-up-saコマンドを使います。

    *Router(config-ipsec-policy)# always-up-sa
    


  16. 以上でIPsecポリシーの設定は完了です。exitコマンドでIPsecポリシーモードを抜けます。

    *Router(config-ipsec-policy)# exit
    


  17. トンネルインターフェースを作成します。これには、interface tunnelコマンドを使います。

    *Router(config)# interface tunnel 0
    


  18. トンネルインターフェースをIPsecモードに設定します。これには、tunnel modeコマンドを使います。

    *Router(config-if-tunnel)# tunnel mode ipsec
    


  19. トンネルインターフェースにIPsecポリシーを関連付けます。これには、tunnel policyコマンドを使います。手順10で作成したIPsecポリシー名を指定してください。

    *Router(config-if-tunnel)# tunnel policy ipsec
    


  20. トンネルインターフェースをUnnumbered IPインターフェースに設定します。これには、ip unnumberedコマンドを使います。
    対向サブネット宛てにPingを実行したり、将来ダイナミックルーティングプロトコルを使用する場合などに備え、始点IPアドレスとしてvlan 1インターフェースのIPアドレスを使うよう設定しておきます。

    *Router(config-if-tunnel)# ip unnumbered vlan 1
    


  21. IPsecトンネルインターフェースでは、通過するTCPパケットのMSS値を自動的に書き換えるよう設定してください。これには、ip tcp mssコマンドでautoを指定します。

    *Router(config-if-tunnel)# ip tcp mss auto
    


  22. 作成直後のトンネルインターフェースは無効なので、shutdownコマンドをno形式で実行して有効化します。

    *Router(config-if-tunnel)# no shutdown
    


  23. 以上でトンネルインターフェースの設定は完了です。exitコマンドでトンネルインターフェースモードから抜けます。

    *Router(config-if-tunnel)# exit
    


  24. 対向サブネット宛てのパケットをトンネルインターフェースにルーティングするため、ip routeコマンドでスタティック経路を設定します。

    *Router(config)# ip route 192.168.20.0/24 tunnel 0
    


  25. IPsec SA未確立時、対向サブネット宛てのパケットが暗号化されずにインターネットに送信されることを防ぐため、送出インターフェースとして「null」を指定したブラックホール経路を低い優先度(大きい管理距離)で設定しておきます。
    手順15のalways-up-saコマンドにより、IPsec SAの状態とトンネルインターフェースtunnle 0のリンクステータスが連動しているため、IPsec SA未確立時は手順23で設定したtunnel 0側経路がダウンし、結果的に対向サブネット宛てのパケットはブラックホール経路によって破棄されます。
    IPsec SA確立後はtunnel 0側経路がアップし、ブラックホール経路とtunnel 0側経路の両方が有効になりますが、ブラックホール経路の管理距離が意図的に大きく設定した254であるのに対し、tunnel 0側経路の管理距離はスタティック経路の初期値である1なので、対向サブネット宛てのパケットはtunnel 0に転送され、IPsecによってカプセル化・暗号化された上で送出されます。

    *Router(config)# ip route 192.168.20.0/24 null 254
    

設定は以上です。

■ WAN側インターフェース(本例ではgigabitEthernet 0.1)に受信用IPフィルターを適用している場合は、該当インターフェース宛てのIKEパケット(UDP 500番ポート宛てのパケット)を許可する必要があります。
たとえば、IKEパケットだけを許可する拡張IPアクセスリストは次のような設定になります。拡張IPアクセスリストの設定コマンドについては、access-list ip extended(list)コマンド、access-list ip extended(rule entry)コマンドのページを、IPフィルターの設定全般については「ファイアウォール」の「IPフィルター」をご覧ください。

*Router(config)# access-list ip extended pppoe_in
*Router(config-acl-ip-ext)# dynamic permit udp any interface gigabitEthernet 0.1 eq 500


■ 本例のように、両方のルーターがISAKMPネゴシエーションを開始する側(始動者)になりうる構成では、確立したSAに不一致が生じて正常なIPsec通信を行えなくなる場合があります。
この状態を回避するため、両方のルーターが始動者になりうる構成では、片方または両方のルーターでINITIAL-CONTACT(交換情報の初期化通知)の送信を無効にするか、両方のルーターでISAKMPキープアライブのDPDを有効にすることを推奨します。

■ IKEv1のフェーズ1で生成されたISAKMP SAの情報を確認するには、show isakmp saコマンドを使います。

*Router# show isakmp sa


■ IKEv1のフェーズ2で生成されたIPsec SAの情報を確認するには、show ipsec saコマンドを使います。

*Router# show ipsec sa


■ ISAKMP、IKEv2の統計情報を確認するには、show isakmp statisticsコマンドを使います。

*Router# show isakmp statistics


■ IPsecの統計情報を確認するには、show ipsec statisticsコマンドを使います。

*Router# show ipsec statistics


他機能との関係(パケット処理順序)

パケット転送処理(ブリッジング、ルーティング)や各種フィルタリング機能を含む、パケット処理順序の詳細については、「付録」の「パケット処理フロー」をご参照ください。


(C) 2011 - 2014 アライドテレシスホールディングス株式会社

PN: 613-001491 Rev.E