[index] CentreCOM ARX640S コマンドリファレンス 5.1.5

IPsec / 一般設定

IPsec（IP security）は、IPプロトコルファミリーに暗号化や認証などのセキュリティー機能を提供する一連のプロトコル群です。

本製品は、次のIPsec関連機能をサポートしています。

保護対象プロトコル
- IPv4、IPv6をサポート
  - IPsec、IKEv1（ISAKMP）、IKEv2のすべてにおいて、IPv4とIPv6の両方に対応
  - トンネルモードIPsecにおける内側/外側パケットは、IPv4/IPv4、IPv4/IPv6、IPv6/IPv6、IPv6/IPv4のすべての組み合わせが可能
鍵交換と通信路のネゴシエーション機能
- IKEv1（ISAKMP）、IKEv2をサポート
  - IKEv1フェーズ1では、Mainモード、Aggressiveモードをサポート
  - Diffie-Hellman（Oakley）グループは、1、2、5、14をサポート
  - 認証方式
    - 事前共有鍵（IKEv1、IKEv2）
    - 非対称認証（IKEv2）
      - 自装置が応答者（Responder）のとき
        
        自装置 RSA、対向装置 EAP-MD5（RADIUS使用可）
        
        自装置 RSA、対向装置 MS-CHAPv2（RADIUS使用可）
      - 自装置が始動者（Initiator）のとき
        
        自装置 EAP-MD5、対向装置 RSA
通信を保護するための機能
- IPsecプロトコル
  - ESP（暗号化、認証）、AH（認証）
- IPsec動作モード
  - トンネルモード、トランスポートモード
- 暗号化アルゴリズム
  - DES、3DES、AES（128/192/256ビット）
- 認証アルゴリズム
  - MD5、SHA1
その他オプション機能
- ISAKMPキープアライブ
  - DPD（Dead Peer Detection）、ISAKMPハートビート
- 内部NAT
- NAT-Traversal（NAT-T）
- IKEv2 CP（Configurationプロトコル）
  - 対向装置へのIPアドレス割り当て要求と自インターフェースへの自動設定
  - 対向装置へのIPアドレス割り当て（RADIUS使用可）

本製品のIPsec機能を利用すると、次のようなことが可能になります。

拠点間IPsec VPN
IKEv2を利用したリモートアクセス型IPsec VPN
EtherIP over IPsecによるリモートブリッジング（L2 VPN）

以下では、拠点間IPsec VPNの基本設定について説明します。EtherIP over IPsecによるリモートブリッジングについては、「ブリッジング」の「一般設定」をご覧ください。IKEv2を利用したリモートアクセス型IPsec VPNをはじめ、IPsecを使用するための具体的かつ全体的な設定については、別途提供の「設定例集」をご覧ください。

基本設定

拠点間IPsec VPN

IPsec VPNの基本構成を次に示します。

以下では、上記構成図のルーターAを例に、IKEv1を使って基本的な拠点間IPsec VPNを構築するための具体的な設定手順を示します。
なお、前提事項として、ルーターA・BはPPPoEでインターネットに接続しているものとします。WAN側インターフェースのIPアドレスは固定であり、ルーター間でのIP通信もできているものとします。

IKEv1を利用したIPsec VPNを構築する場合は、以下の設定が必要です。

ISAKMPポリシーの設定
- 対向装置の指定
- ISAKMP通信仕様の指定（ISAKMPプロポーザル）
- 認証の設定
IPsecポリシーの設定
- 対向装置の指定
- IPsec通信仕様の指定（IPsecプロポーザル）
- IPsec処理対象パケットの指定（アクセスリスト）
IPsecトンネルインターフェースの設定
- トンネルインターフェースの作成
- トンネルインターフェースへのIPsecポリシー関連付け
- IPsec処理対象パケットをトンネルインターフェースにルーティングする設定

その他オプション機能として以下の設定を行います。

ISAKMPキープアライブ
- DPD

次に各手順を示します。

鍵交換プロトコルIKEv1の通信仕様（ISAKMP SAの通信仕様）を規定するISAKMPプロポーザルを作成します。これにはisakmp proposalコマンドを使います。
ここでは、ISAKMP SAの暗号化に3DES、認証にSHA-1、鍵交換にDHグループ2を使うよう指定します。
*Router(config)# isakmp proposal isakmp encryption 3des hash sha1 group 2 ↓
IKEv1の動作を規定するISAKMPポリシーの設定を行います。ISAKMPポリシーを作成するには、isakmp policyコマンドを実行します。
*Router(config)# isakmp policy isakmp ↓
IKEv1ネゴシエーションの相手ルーターを指定します。これには、peerコマンドを使います。
*Router(config-isakmp-policy)# peer 10.2.2.2 ↓
IKEv1ネゴシエーション中にルーター間で認証を行うためのパスワード（事前共有鍵）を設定します。これには、auth preshared keyコマンドを使います。共有鍵なので、鍵の値は両方のルーターで同じでなくてはなりません。
*Router(config-isakmp-policy)# auth preshared key jogejoge ↓
IKEv1の通信仕様を規定するISAKMPプロポーザルを指定します。これには、proposalコマンドを使います。手順1で作成したISAKMPプロポーザル名を指定してください。
*Router(config-isakmp-policy)# proposal isakmp ↓
ISAKMPキープアライブのDPDによる死活監視を有効にします。これには、keepalive enableコマンドを使います。
*Router(config-isakmp-policy)# keepalive enable ↓
以上でISAKMPポリシーの設定は完了です。exitコマンドでISAKMPポリシーモードを抜けます。
*Router(config-isakmp-policy)# exit ↓
次に、IPsec処理の対象パケットを指定するための拡張IPアクセスリストを作成します。これには、access-list ip extended(list)コマンドとaccess-list ip extended(rule entry)コマンドを使います。
通常のIPsec VPNでは、ルーティング設定によってIPsecの適用対象を指定するため、アクセスリストの設定では、本例のようにすべてのパケットをpermitしてください。
*Router(config)# access-list ip extended ipsec ↓ *Router(config-acl-ip-ext)# permit ip any any ↓ *Router(config-acl-ip-ext)# exit ↓
Note - IPsec設定用のアクセスリストでは、permitルールだけを使用してください（denyルールとdynamic permitルールは無視されます）。
IPsecの通信仕様（IPsec SAの通信仕様）を規定するIPsecプロポーザルを作成します。これにはipsec proposalコマンドを使います。
ここでは、ESP（暗号ペイロード）を使ってIPパケットの暗号化と認証を行います。暗号化には3DESを、認証にはSHA-1を行うよう指定します。
*Router(config)# ipsec proposal ipsec esp encryption 3des hash sha1 ↓
IPsecの動作を規定するIPsecポリシーの設定を行います。IPsecポリシーを作成するには、ipsec policyコマンドを実行します。
*Router(config)# ipsec policy ipsec ↓
IPsec通信の相手ルーターを指定します。これには、peerコマンドを使います。ISAKMPポリシーで指定したのと同じアドレスを指定してください。
*Router(config-ipsec-policy)# peer 10.2.2.2 ↓
IPsecの通信仕様を規定するIPsecプロポーザルを指定します。これには、proposalコマンドを使います。手順9で作成したIPsecプロポーザル名を指定してください。
*Router(config-ipsec-policy)# proposal ipsec ↓
IPsec処理の対象パケットを指定します。これには、access-listコマンドを使います。手順8で作成したアクセスリスト名を指定してください。
*Router(config-ipsec-policy)# access-list ipsec ↓
IPsec SAのネゴシエーションに使うフェーズ2IDを設定します。local-idコマンドで自装置側のサブネットアドレスを、remote-idコマンドで対向装置側のサブネットアドレスを指定してください。
*Router(config-ipsec-policy)# local-id 192.168.10.0/24 ↓ *Router(config-ipsec-policy)# remote-id 192.168.20.0/24 ↓
トンネルインターフェースのリンクステータスをIPsec SAの状態と連動させるため、IPsec SAの常時確立オプションを有効にします。これには、always-up-saコマンドを使います。
*Router(config-ipsec-policy)# always-up-sa ↓
以上でIPsecポリシーの設定は完了です。exitコマンドでIPsecポリシーモードを抜けます。
*Router(config-ipsec-policy)# exit ↓
トンネルインターフェースを作成します。これには、interface tunnelコマンドを使います。
*Router(config)# interface tunnel 0 ↓
トンネルインターフェースをIPsecモードに設定します。これには、tunnel modeコマンドを使います。
*Router(config-if-tunnel)# tunnel mode ipsec ↓
トンネルインターフェースにIPsecポリシーを関連付けます。これには、tunnel policyコマンドを使います。手順10で作成したIPsecポリシー名を指定してください。
*Router(config-if-tunnel)# tunnel policy ipsec ↓
トンネルインターフェースをUnnumbered IPインターフェースに設定します。これには、ip unnumberedコマンドを使います。
対向サブネット宛てにPingを実行したり、将来ダイナミックルーティングプロトコルを使用する場合などに備え、始点IPアドレスとしてvlan 1インターフェースのIPアドレスを使うよう設定しておきます。
*Router(config-if-tunnel)# ip unnumbered vlan 1 ↓
IPsecトンネルインターフェースでは、通過するTCPパケットのMSS値を自動的に書き換えるよう設定してください。これには、ip tcp mssコマンドでautoを指定します。
*Router(config-if-tunnel)# ip tcp mss auto ↓
作成直後のトンネルインターフェースは無効なので、shutdownコマンドをno形式で実行して有効化します。
*Router(config-if-tunnel)# no shutdown ↓
以上でトンネルインターフェースの設定は完了です。exitコマンドでトンネルインターフェースモードから抜けます。
*Router(config-if-tunnel)# exit ↓
対向サブネット宛てのパケットをトンネルインターフェースにルーティングするため、ip routeコマンドでスタティック経路を設定します。
*Router(config)# ip route 192.168.20.0/24 tunnel 0 ↓
IPsec SA未確立時、対向サブネット宛てのパケットが暗号化されずにインターネットに送信されることを防ぐため、送出インターフェースとして「null」を指定したブラックホール経路を低い優先度（大きい管理距離）で設定しておきます。
手順15のalways-up-saコマンドにより、IPsec SAの状態とトンネルインターフェースtunnle 0のリンクステータスが連動しているため、IPsec SA未確立時は手順23で設定したtunnel 0側経路がダウンし、結果的に対向サブネット宛てのパケットはブラックホール経路によって破棄されます。
IPsec SA確立後はtunnel 0側経路がアップし、ブラックホール経路とtunnel 0側経路の両方が有効になりますが、ブラックホール経路の管理距離が意図的に大きく設定した254であるのに対し、tunnel 0側経路の管理距離はスタティック経路の初期値である1なので、対向サブネット宛てのパケットはtunnel 0に転送され、IPsecによってカプセル化・暗号化された上で送出されます。
*Router(config)# ip route 192.168.20.0/24 null 254 ↓

設定は以上です。

■ WAN側インターフェース（本例ではgigabitEthernet 0.1）に受信用IPフィルターを適用している場合は、該当インターフェース宛てのIKEパケット（UDP 500番ポート宛てのパケット）を許可する必要があります。
たとえば、IKEパケットだけを許可する拡張IPアクセスリストは次のような設定になります。拡張IPアクセスリストの設定コマンドについては、access-list ip extended(list)コマンド、access-list ip extended(rule entry)コマンドのページを、IPフィルターの設定全般については「ファイアウォール」の「IPフィルター」をご覧ください。

*Router(config)# access-list ip extended pppoe_in ↓ *Router(config-acl-ip-ext)# dynamic permit udp any interface gigabitEthernet 0.1 eq 500 ↓

■ 本例のように、両方のルーターがISAKMPネゴシエーションを開始する側（始動者）になりうる構成では、確立したSAに不一致が生じて正常なIPsec通信を行えなくなる場合があります。
この状態を回避するため、両方のルーターが始動者になりうる構成では、片方または両方のルーターでINITIAL-CONTACT（交換情報の初期化通知）の送信を無効にするか、両方のルーターでISAKMPキープアライブのDPDを有効にすることを推奨します。

INITIAL-CONTACTの送信を無効化するには、ISAKMPポリシーの設定において、initial-contactコマンドをno形式で実行します。
*Router(config-isakmp-policy)# no initial-contact ↓
DPDを有効にするには、ISAKMPポリシーの設定において、keepalive enableコマンドを実行します。
*Router(config-isakmp-policy)# keepalive enable ↓

■ IKEv1のフェーズ1で生成されたISAKMP SAの情報を確認するには、show isakmp saコマンドを使います。

*Router# show isakmp sa ↓

■ IKEv1のフェーズ2で生成されたIPsec SAの情報を確認するには、show ipsec saコマンドを使います。

*Router# show ipsec sa ↓

■ ISAKMP、IKEv2の統計情報を確認するには、show isakmp statisticsコマンドを使います。

*Router# show isakmp statistics ↓

■ IPsecの統計情報を確認するには、show ipsec statisticsコマンドを使います。

*Router# show ipsec statistics ↓

他機能との関係（パケット処理順序）

パケット転送処理（ブリッジング、ルーティング）や各種フィルタリング機能を含む、パケット処理順序の詳細については、「付録」の「パケット処理フロー」をご参照ください。

PN: 613-001491 Rev.E