iosvpn

目次

VPNの概要

VPN(Virtual Private Nework)とは、仮想的なプライベートネットワーク接続のことです。VPNによりインターネットなどの公衆網を利用する場合でも、IPsec等の高度なセキュリティを実装させられるので、安全に企業の拠点間通信を実現できます。また、安価なFTTHの広帯域な回線をWANとして利用できます。

VPNの分類使用技術説明
インタネットVPNIPSec-VPNセキュリティプロトコルにIPsecを使用
SSL-VPNセキュリティプロトコルにSSLを使用
IP-VPNMPLS-VPN通信事業者のプライベートIP網内
インターネットVPNのタイプ説明
サイト間VPNVPNを実装したルータ同士を接続する構成。
リモートアクセスVPNVPNを実装したルータとVPNクライアントソフトをインストールしたPCとを接続する構成。

IPSec-VPN(サイト間)の設定

ISAKMPポリシーの設定

 (config)# crypto isakmp policy [priority]
  priority :優先度(「1」から「10000」で数値が小さいほど優先度が高い)

暗号化アルゴリズムの設定(デフォルト値:des)
 (config-isakmp)# encryption [ des | 3des | aes 128 | aes 192 | aes 256 ]

ISAKMP SAで使用するハッシュアルゴリズムを設定(デフォルト値:sha)
 (config-isakmp)# hash [ md5 | sha | sha256 | sha384 | sha512 ]

認証方式の設定
 (config-isakmp)# authentication [ rsa-sig | rsa-encr | pre-share ]
  rsa-sig:RSA署名
  rsa-encr:RSA暗号化ナンス
  pre-share:事前共有鍵

パスワードやモードの設定

事前共有鍵のピアアドレスとパスワード設定
 (config)# crypto isakmp key [password] address [address]
  password:パスワード
  address:ピアアドレス

トランスフォームセットの定義
 (config)# crypto ipsec transform-set [name] [transform1] [transform2]
  Name:名前
  Transform1:暗号化
  Transform2:認証
IPSec通信モードの指定
 (cfg-crypto-trans)# mode [tunnel | transport] (デフォルト値:tunnel)

マップ関連設定

暗号マップの定義
 (config)# crypto map [map-name] [seq-number] ipsec-isakmp
 (config-crypto-map)# match address [acl-number]
 (config-crypto-map)# set transform-set [name]
 (config-crypto-map)# set peer [address]

  map-name :暗号マップの名前
  seq-number:番号(小さい値ほど優先度が高くなる)
  acl-number :IPsec対象を定義したACL
  name  :定義済みのトランスフォーム名
  address  :IPsecピアのアドレス

暗号マップのインターフェースへの適用
 (config)# interface [interface-id]
 (config-if)# crypto map [crypto-map-name]
  crypto-map-name:暗号マップを定義したmap名

IPSec-VPN(サイト間)の設定の例

ルーターRT-Aの設定

※VPN用
RT-A(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
※PAT用
RT-A(config)# access-list 102 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
RT-A(config)# access-list 102 permit ip 192.168.10.0 0.0.0.255 any
 
RT-A(config)# crypto isakmp policy 1
RT-A(config-isakmp)# encryption 3des
RT-A(config-isakmp)# hash md5
RT-A(config-isakmp)# authentication pre-share
RT-A(config-isakmp)# group 2
RT-A(config-isakmp)# exit

RT-A(config)# crypto isakmp key cisco address 120.20.20.1
RT-A(config)# crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
RT-A(cfg-crypto-trans)# mode tunnel
RT-A(cfg-crypto-trans)# exit

RT-A(config)# crypto map M-ipsec 1 ipsec-isakmp
RT-A(config-crypto-map)# set peer 120.20.20.1
RT-A(config-crypto-map)# set transform-set IPSEC
RT-A(config-crypto-map)# match address 101
RT-A(config-crypto-map)# exit

RT-A(config)# interface GigabitEthernet 0/1
RT-A(config-if)#crypto map M-ipsec

ルーターRT-Bの設定

※VPN用
RT-B(config)# access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
※PAT用
RT-B(config)# access-list 102 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
RT-B(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 any
 
RT-B(config)# crypto isakmp policy 1
RT-B(config-isakmp)# encryption 3des
RT-B(config-isakmp)# hash md5
RT-B(config-isakmp)# authentication pre-share
RT-B(config-isakmp)# group 2
RT-B(config-isakmp)# exit

RT-B(config)# crypto isakmp key cisco address 110.10.10.1
RT-B(config)# crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
RT-B(cfg-crypto-trans)# mode tunnel
RT-B(cfg-crypto-trans)# exit

RT-B(config)# crypto map M-ipsec 1 ipsec-isakmp
RT-B(config-crypto-map)# set peer 110.10.10.1
RT-B(config-crypto-map)# set transform-set IPSEC
RT-B(config-crypto-map)# match address 101
RT-B(config-crypto-map)# exit

RT-B(config)# interface GigabitEthernet 0/1
RT-B(config-if)#crypto map M-ipsec

 
 
Cisco IOSカテゴリーのトップページは、Cisco IOSです。