目次
VPNの概要
VPN(Virtual Private Nework)とは、仮想的なプライベートネットワーク接続のことです。VPNによりインターネットなどの公衆網を利用する場合でも、IPsec等の高度なセキュリティを実装させられるので、安全に企業の拠点間通信を実現できます。また、安価なFTTHの広帯域な回線をWANとして利用できます。
| VPNの分類 | 使用技術 | 説明 |
|---|---|---|
| インタネットVPN | IPSec-VPN | セキュリティプロトコルにIPsecを使用 |
| SSL-VPN | セキュリティプロトコルにSSLを使用 | |
| IP-VPN | MPLS-VPN | 通信事業者のプライベートIP網内 |
| インターネットVPNのタイプ | 説明 |
|---|---|
| サイト間VPN | VPNを実装したルータ同士を接続する構成。 |
| リモートアクセスVPN | VPNを実装したルータとVPNクライアントソフトをインストールしたPCとを接続する構成。 |
IPSec-VPN(サイト間)の設定
ISAKMPポリシーの設定
(config)# crypto isakmp policy [priority]
priority :優先度(「1」から「10000」で数値が小さいほど優先度が高い)
暗号化アルゴリズムの設定(デフォルト値:des)
(config-isakmp)# encryption [ des | 3des | aes 128 | aes 192 | aes 256 ]
ISAKMP SAで使用するハッシュアルゴリズムを設定(デフォルト値:sha)
(config-isakmp)# hash [ md5 | sha | sha256 | sha384 | sha512 ]
認証方式の設定
(config-isakmp)# authentication [ rsa-sig | rsa-encr | pre-share ]
rsa-sig:RSA署名
rsa-encr:RSA暗号化ナンス
pre-share:事前共有鍵
パスワードやモードの設定
事前共有鍵のピアアドレスとパスワード設定
(config)# crypto isakmp key [password] address [address]
password:パスワード
address:ピアアドレス
トランスフォームセットの定義
(config)# crypto ipsec transform-set [name] [transform1] [transform2]
Name:名前
Transform1:暗号化
Transform2:認証
IPSec通信モードの指定
(cfg-crypto-trans)# mode [tunnel | transport] (デフォルト値:tunnel)
マップ関連設定
暗号マップの定義
(config)# crypto map [map-name] [seq-number] ipsec-isakmp
(config-crypto-map)# match address [acl-number]
(config-crypto-map)# set transform-set [name]
(config-crypto-map)# set peer [address]
map-name :暗号マップの名前
seq-number:番号(小さい値ほど優先度が高くなる)
acl-number :IPsec対象を定義したACL
name :定義済みのトランスフォーム名
address :IPsecピアのアドレス
暗号マップのインターフェースへの適用
(config)# interface [interface-id]
(config-if)# crypto map [crypto-map-name]
crypto-map-name:暗号マップを定義したmap名
IPSec-VPN(サイト間)の設定の例
ルーターRT-Aの設定
※VPN用
RT-A(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
※PAT用
RT-A(config)# access-list 102 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
RT-A(config)# access-list 102 permit ip 192.168.10.0 0.0.0.255 any
RT-A(config)# crypto isakmp policy 1
RT-A(config-isakmp)# encryption 3des
RT-A(config-isakmp)# hash md5
RT-A(config-isakmp)# authentication pre-share
RT-A(config-isakmp)# group 2
RT-A(config-isakmp)# exit
RT-A(config)# crypto isakmp key cisco address 120.20.20.1
RT-A(config)# crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
RT-A(cfg-crypto-trans)# mode tunnel
RT-A(cfg-crypto-trans)# exit
RT-A(config)# crypto map M-ipsec 1 ipsec-isakmp
RT-A(config-crypto-map)# set peer 120.20.20.1
RT-A(config-crypto-map)# set transform-set IPSEC
RT-A(config-crypto-map)# match address 101
RT-A(config-crypto-map)# exit
RT-A(config)# interface GigabitEthernet 0/1
RT-A(config-if)#crypto map M-ipsec
ルーターRT-Bの設定
※VPN用
RT-B(config)# access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
※PAT用
RT-B(config)# access-list 102 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
RT-B(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 any
RT-B(config)# crypto isakmp policy 1
RT-B(config-isakmp)# encryption 3des
RT-B(config-isakmp)# hash md5
RT-B(config-isakmp)# authentication pre-share
RT-B(config-isakmp)# group 2
RT-B(config-isakmp)# exit
RT-B(config)# crypto isakmp key cisco address 110.10.10.1
RT-B(config)# crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
RT-B(cfg-crypto-trans)# mode tunnel
RT-B(cfg-crypto-trans)# exit
RT-B(config)# crypto map M-ipsec 1 ipsec-isakmp
RT-B(config-crypto-map)# set peer 110.10.10.1
RT-B(config-crypto-map)# set transform-set IPSEC
RT-B(config-crypto-map)# match address 101
RT-B(config-crypto-map)# exit
RT-B(config)# interface GigabitEthernet 0/1
RT-B(config-if)#crypto map M-ipsec
VPNの練習はCiscoIOS練習(VPN)にあります。
Cisco IOSカテゴリーのトップページは、Cisco IOSです。
