[index] CentreCOM ARX640S コマンドリファレンス 5.0.0

IPsec / 一般設定 

  - 基本設定
   - 拠点間IPsec VPN
  - 他機能との関係(パケット処理順序)
IPsec(IP security)は、IPプロトコルファミリーに暗号化や認証などのセキュリティー機能を提供する一連のプロトコル群です。

本製品は、次のIPsec関連機能をサポートしています。

本製品のIPsec機能を利用すると、次のようなことが可能になります。

以下では、拠点間IPsec VPNの基本設定について説明します。EtherIP over IPsecによるリモートブリッジングについては、「ブリッジング」の「一般設定」をご覧ください。IKEv2を利用したリモートアクセス型IPsec VPNをはじめ、IPsecを使用するための具体的かつ全体的な設定については、別途提供の「設定例集」をご覧ください。

基本設定

拠点間IPsec VPN

 IPsec VPNの基本構成を次に示します。

以下では、上記構成図のルーターAを例に、IKEv1を使って基本的な拠点間IPsec VPNを構築するための具体的な設定手順を示します。
なお、前提事項として、ルーターA・BはPPPoEでインターネットに接続しているものとします。WAN側インターフェースのIPアドレスは固定であり、ルーター間でのIP通信もできているものとします。

IKEv1を利用したIPsec VPNを構築する場合は、以下の設定が必要です。

次に各手順を示します。
  1. 鍵交換プロトコルIKEv1の通信仕様(ISAKMP SAの通信仕様)を規定するISAKMPプロポーザルを作成します。これにはisakmp proposalコマンドを使います。
    ここでは、ISAKMP SAの暗号化に3DES、認証にSHA-1、鍵交換にDHグループ2を使うよう指定します。

    *Router(config)# isakmp proposal isakmp encryption 3des hash sha1 group 2


  2. IKEv1の動作を規定するISAKMPポリシーの設定を行います。ISAKMPポリシーを作成するには、isakmp policyコマンドを実行します。

    *Router(config)# isakmp policy isakmp


  3. IKEv1ネゴシエーションの相手ルーターを指定します。これには、peerコマンドを使います。

    *Router(config-isakmp-policy)# peer 10.2.2.2


  4. IKEv1ネゴシエーション中にルーター間で認証を行うためのパスワード(事前共有鍵)を設定します。これには、auth preshared keyコマンドを使います。共有鍵なので、鍵の値は両方のルーターで同じでなくてはなりません。

    *Router(config-isakmp-policy)# auth preshared key jogejoge


  5. IKEv1の通信仕様を規定するISAKMPプロポーザルを指定します。これには、proposalコマンドを使います。手順1で作成したISAKMPプロポーザル名を指定してください。

    *Router(config-isakmp-policy)# proposal isakmp


  6. 以上でISAKMPポリシーの設定は完了です。exitコマンドでISAKMPポリシーモードを抜けます。

    *Router(config-isakmp-policy)# exit


  7. 次に、IPsec処理の対象パケットを指定するための拡張IPアクセスリストを作成します。これには、access-list ip extended(list)コマンドとaccess-list ip extended(rule entry)コマンドを使います。
    通常のIPsec VPNでは、ルーティング設定によってIPsecの適用対象を指定するため、アクセスリストの設定では、本例のようにすべてのパケットをpermitしてください。

    *Router(config)# access-list ip extended ipsec
*Router(config-acl-ip-ext)# permit ip any any
*Router(config-acl-ip-ext)# exit


  8. IPsecの通信仕様(IPsec SAの通信仕様)を規定するIPsecプロポーザルを作成します。これにはipsec proposalコマンドを使います。
    ここでは、ESP(暗号ペイロード)を使ってIPパケットの暗号化と認証を行います。暗号化には3DESを、認証にはSHA-1を行うよう指定します。

    *Router(config)# ipsec proposal ipsec esp encryption 3des hash sha1


  9. IPsecの動作を規定するIPsecポリシーの設定を行います。IPsecポリシーを作成するには、ipsec policyコマンドを実行します。

    *Router(config)# ipsec policy ipsec


  10. IPsec通信の相手ルーターを指定します。これには、peerコマンドを使います。ISAKMPポリシーで指定したのと同じアドレスを指定してください。

    *Router(config-ipsec-policy)# peer 10.2.2.2


  11. IPsecの通信仕様を規定するIPsecプロポーザルを指定します。これには、proposalコマンドを使います。手順8で作成したIPsecプロポーザル名を指定してください。

    *Router(config-ipsec-policy)# proposal ipsec


  12. IPsec処理の対象パケットを指定します。これには、access-listコマンドを使います。手順9で作成したアクセスリスト名を指定してください。

    *Router(config-ipsec-policy)# access-list ipsec


  13. IPsec SAのネゴシエーションに使うフェーズ2IDを設定します。local-idコマンドで自装置側のサブネットアドレスを、remote-idコマンドで対向装置側のサブネットアドレスを指定してください。

    *Router(config-ipsec-policy)# local-id 192.168.10.0/24
*Router(config-ipsec-policy)# remote-id 192.168.20.0/24


  14. トンネルインターフェースのリンクステータスをIPsec SAの状態と連動させるため、IPsec SAの常時確立オプションを有効にします。これには、always-up-saコマンドを使います。

    *Router(config-ipsec-policy)# always-up-sa


  15. 以上でIPsecポリシーの設定は完了です。exitコマンドでIPsecポリシーモードを抜けます。

    *Router(config-ispec-policy)# exit


  16. トンネルインターフェースを作成します。これには、interface tunnelコマンドを使います。

    *Router(config)# interface tunnel 0


  17. トンネルインターフェースをIPsecモードに設定します。これには、tunnel modeコマンドを使います。

    *Router(config-if-tunnel)# tunnel mode ipsec


  18. トンネルインターフェースにIPsecポリシーを関連付けます。これには、tunnel policyコマンドを使います。手順9で作成したIPsecポリシー名を指定してください。

    *Router(config-if-tunnel)# tunnel policy ipsec


  19. トンネルインターフェースをUnnumbered IPインターフェースに設定します。これには、ip unnumberedコマンドを使います。
    対向サブネット宛てにPingを実行したり、将来ダイナミックルーティングプロトコルを使用する場合などに備え、始点IPアドレスとしてvlan 1インターフェースのIPアドレスを使うよう設定しておきます。

    *Router(config-if-tunnel)# ip unnumbered vlan 1


  20. 作成直後のトンネルインターフェースは無効なので、shutdownコマンドをno形式で実行して有効化します。

    *Router(config-if-tunnel)# no shutdown


  21. 以上でトンネルインターフェースの設定は完了です。exitコマンドでトンネルインターフェースモードから抜けます。

    *Router(config-if-tunnel)# exit


  22. 対向サブネット宛てのパケットをトンネルインターフェースにルーティングするため、ip routeコマンドでスタティック経路を設定します。

    *Router(config)# ip route 192.168.20.0/24 tunnel 0


  23. IPsec SA未確立時、対向サブネット宛てのパケットが暗号化されずにインターネットに送信されることを防ぐため、送出インターフェースとして「null」を指定したブラックホール経路を低い優先度(大きい管理距離)で設定しておきます。
    手順14のalways-up-saコマンドにより、IPsec SAの状態とトンネルインターフェースtunnle 0のリンクステータスが連動しているため、IPsec SA未確立時は手順22で設定したtunnel 0側経路がダウンし、結果的に対向サブネット宛てのパケットはブラックホール経路によって破棄されます。
    IPsec SA確立後はtunnel 0側経路がアップし、ブラックホール経路とtunnel 0側経路の両方が有効になりますが、ブラックホール経路の管理距離が意図的に大きく設定した254であるのに対し、tunnel 0側経路の管理距離はスタティック経路の初期値である1なので、対向サブネット宛てのパケットはtunnel 0に転送され、IPsecによってカプセル化・暗号化された上で送出されます。

    *Router(config)# ip route 192.168.20.0/24 null 254

設定は以上です。

■ WAN側インターフェース(本例ではgigabitEthernet 0.1)に受信用IPフィルターを適用している場合は、該当インターフェース宛てのIKEパケット(UDP 500番ポート宛てのパケット)を許可する必要があります。
たとえば、IKEパケットだけを許可する拡張IPアクセスリストは次のような設定になります。拡張IPアクセスリストの設定コマンドについては、access-list ip extended(list)コマンド、access-list ip extended(rule entry)コマンドのページを、IPフィルターの設定全般については「ファイアウォール」の「IPフィルター」をご覧ください。

*Router(config)# access-list ip extended pppoe_in
*Router(config-acl-ip-ext)# dynamic permit udp any interface gigabitEthernet 0.1 eq 500


■ IKEv1のフェーズ1で生成されたISAKMP SAの情報を確認するには、show isakmp saコマンドを使います。

*Router# show isakmp sa


■ IKEv1のフェーズ2で生成されたIPsec SAの情報を確認するには、show ipsec saコマンドを使います。

*Router# show ipsec sa


■ ISAKMP、IKEv2の統計情報を確認するには、show isakmp statisticsコマンドを使います。

*Router# show isakmp statistics


■ IPsecの統計情報を確認するには、show ipsec statisticsコマンドを使います。

*Router# show ipsec statistics


他機能との関係(パケット処理順序)

 パケット転送処理(ブリッジング、ルーティング)や各種フィルタリング機能を含む、パケット処理順序の詳細については、「付録」の「パケット処理フロー」をご参照ください。

(C) 2011 アライドテレシスホールディングス株式会社

PN: 613-001491 Rev.A