古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
 
設定例
IKEv1で電子証明書を使って認証する
概要
補足・注意点
RSA デジタル署名(RSA Signature)方式を使って、IPsecトンネリングの接続をします。
認証局(CA)を利用する環境にてご使用ください。
本設定例では、RSA signatures認証で使用するIDタイプはFQDNとしています。
RSAデジタル署名に必要な証明書の登録手順は こちら を参照して下さい。

構成図
前提条件

IPsec条件
ISAKMP ポリシー モード Mainモード
認証方式 RSA デジタル署名方式
暗号化方式 AES 256ビット
ハッシュ方式 SHA-256
Diffie-Hellman Group 14
ライフタイム 86400秒
IPSEC ポリシー PFS Group14
暗号化方式 AES 256ビット
ハッシュ方式 SHA-256
ライフタイム 28800秒
フラグメント ポストフラグメント
拠点(F220) 常にSAを確立する
IPsec対象経路 センタ(F220) 192.168.2.0/24
拠点(F220) 192.168.100.0/24

インターフェース設定モード
項目 センタ(F220) 拠点(F220)
WANインターフェース interface GigaEthernet 2/1  ※ interface GigaEthernet 2/1  ※
  インターフェース名 channel-group 2 channel-group 2
  VLAN-ID値 vlan-id 2 vlan-id 2
  ブリッジグループ番号 bridge-group 2 bridge-group 2
インターフェース設定 interface Port-channel 2 interface Port-channel 2
LANインターフェース interface GigaEthernet 1/1  ※ interface GigaEthernet 1/1  ※
  インターフェース名 channel-group 1 channel-group 1
  VLAN-ID値 vlan-id 1 vlan-id 1
  ブリッジグループ番号 bridge-group 1 bridge-group 1
インターフェース設定 interface Port-channel 1 interface Port-channel 1
※GigaEthernet の設定には必ずvlanidとbridge-groupの設定が必要です。
VPN設定モード
項目 センタ(F220) 拠点(F220)
インターフェース設定 interface Tunnel 1 interface Tunnel 1
  マップ名 KYOTEN CENTER
マップ設定 crypto map KYOTEN ipsec-isakmp crypto map CENTER ipsec-isakmp
  セレクタ名 SELECTOR SELECTOR
  ISAKMP プロファイル PROF0001 PROF0001
セレクタ設定
(VPN対象パケット)
crypto ipsec selector SELECTOR crypto ipsec selector SELECTOR
ISAKMP プロファイル設定 crypto isakmp profile PROF0001 crypto isakmp profile PROF0001
  ISAKMP ポリシー名 P1-POLICY P1-POLICY
  IPSEC ポリシー名 P2-POLICY P2-POLICY
ISAKMP ポリシー設定 crypto isakmp policy P1-POLICY crypto isakmp policy P1-POLICY
IPSEC ポリシー設定 crypto ipsec policy P2-POLICY crypto ipsec policy P2-POLICY


コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
センタ
!
!
! 特権ユーザモードに移行します。
!
> enable
password: super ←パスワードを入力します。(実際は表示されない)
!
!
! 基本設定モードに移行します。
!
#configure terminal

(config)#
!
!
! VPN peer 宛の経路情報を設定します。
!
(config)#ip route 10.0.0.4 255.255.255.252 10.0.0.1
!
!
! 拠点宛の経路情報をtunnel 1(IPsecトンネル)に設定します。
!
(config)#ip route 192.168.2.0 255.255.255.0 tunnel 1
!
!
! Port-channel 1 にLAN側IPアドレスを設定します。
!
(config)#interface Port-channel 1
(config-if-ch 1)# ip address 192.168.100.1 255.255.255.0
(config-if-ch 1)# mss 1300
(config-if-ch 1)#exit
!
!
! GigaEthernet インタフェースに、port-channel をリンク付けします。
!
(config)#interface GigaEthernet 1/1 *1
(config-if-ge 1/1)# vlan-id 1
(config-if-ge 1/1)# bridge-group 1
(config-if-ge 1/1)# channel-group 1
(config-if-ge 1/1)#exit
!
!
! Port-channel 2 にWAN側IPアドレスを設定します。
!
(config)#interface Port-channel 2
(config-if-ch 2)# ip address 10.0.0.2 255.255.255.252
(config-if-ch 2)#exit
!
!
! GigaEthernet インタフェースに、port-channel をリンク付けします。
!
(config)#interface GigaEthernet 2/1 *1
(config-if-ge 2/1)# vlan-id 2
(config-if-ge 2/1)# bridge-group 2
(config-if-ge 2/1)# channel-group 2
(config-if-ge 2/1)#exit
!
!
! VPNセレクタの設定を行ないます。
!
(config)#crypto ipsec selector SELECTOR
(config-ip-selector)# src 1 ipv4 any
(config-ip-selector)# dst 1 ipv4 any
(config-ip-selector)#exit
!
!
! DPDの設定をします。
!
(config)#crypto isakmp keepalive
!
!
! VPN通信動作中の詳細なログを残す設定にします。
!
(config)#crypto isakmp log sa
(config)#crypto isakmp log session
(config)#crypto isakmp log negotiation-fail
!
!
! ISAKMP ポリシーの設定を行ないます。
!
(config)#crypto isakmp policy P1-POLICY
!
!
! ISAKMP-SA/IKE SA の認証方式を、RSA-signatures とします。
!
(config-isakmp)# authentication rsa-sig
!
!
! 暗号方式の指定します。
!
(config-isakmp)# encryption aes
!
!
! 鍵長を指定します。
!
(config-isakmp)# encryption-keysize aes 256 256 256
!
!
! Diffie Hellmanのグループの指定します。
!
(config-isakmp)# group 14
!
!
! IKE SAのライフタイムの指定(秒)します。
!
(config-isakmp)# lifetime 86400
!
!
! ハッシュ方式の指定します。
!
(config-isakmp)# hash sha-256
!
!
! メインモードを使用します。
!
(config-isakmp)# initiate-mode main
!
!
! 基本設定モードに戻ります。
!
(config-isakmp)#exit
!
!
! 拠点向けのISAKMP プロファイルを設定します。
!
(config)#crypto isakmp profile PROF0001
!
!
! RSA signatures認証で使用する、VPN peer のホスト名(IDタイプ=FQDN)を指定します。
!
(conf-isa-prof)# match identity host KYOTEN.example.com
!
!
! IPsec トンネルを確立する、本装置のIP アドレスを指定します。
!
(conf-isa-prof)# local-address 10.0.0.2
!
!
! RSA signatures認証で使用する、本装置のホスト名(IDタイプ=FQDN)を指定します。
!
(conf-isa-prof)# self-identity fqdn CENTER.example.com
!
!
! ISAKMP ポリシーとリンク付けします。
!
(conf-isa-prof)# set isakmp-policy P1-POLICY
!
!
! IPSEC ポリシーとリンク付けします。
!
(conf-isa-prof)# set ipsec-policy P2-POLICY
!
!
! IKE バージョンを指定します。
!
(conf-isa-prof)# ike-version 1
!
!
! RSA signatures 認証時に使用するroot CA 名を設定します。
!
(conf-isa-prof)# ca trustpoint rootCA
!
!
! 基本設定モードに戻ります。
!
(conf-isa-prof)#exit
!
!
! IPSEC ポリシーを設定します。
!
(config)#crypto ipsec policy P2-POLICY
!
!
! Diffie Hellmanのグループの指定します。
!
(conf-ipsec)# set pfs group14
!
!
! IPsec SAのライフタイムの指定(秒)します。
!
(conf-ipsec)# set security-association lifetime seconds 28800
!
!
! 鍵長を指定します。
!
(conf-ipsec)# set security-association transform-keysize aes 256 256 256
!
!
! 暗号化アルゴリズム、認証アルゴリズムを指定します。
!
(conf-ipsec)# set security-association transform esp-aes esp-sha256-hmac
!
!
! 暗号化されたESPパケットの MTU 長を設定します。
!
!(conf-ipsec)# set mtu 1500
!
!
! インナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。
!
(conf-ipsec)# set ip df-bit 0
!
!
! Post-Fragment 方式(*3)とします。
!
(conf-ipsec)# set ip fragment post
!
!
! 基本設定モードに戻ります。
!
(conf-ipsec)#exit
!
!
! 拠点のVPNピアとのセレクタ情報をエントリします。
!
(config)#crypto map KYOTEN ipsec-isakmp
(config-crypto-map)# match address SELECTOR
(config-crypto-map)# set isakmp-profile PROF0001
(config-crypto-map)#exit
!
!
!
! 拠点のtunnel インタフェースで有効にするVPNセレクタを設定します。
!
(config)#interface Tunnel 1
(config-if-tun 1)# tunnel mode ipsec map KYOTEN
(config-if-tun 1)#exit
!
!
!
! 特権ユーザモードに戻ります。
!
(config)#end
!
! 設定を保存します。
! 任意の名前で保存して下さい(*2)。
!
#save [ファイル名]
!
!
! 設定を有効にするために refresh をします。
!
#refresh
refresh ok?[y/N]:yes
..................Done


*1:物理ポート番号の設定
*2:ファイル名を省略した場合、boot.cfgで保存されます。
   装置起動時に適用する設定はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。

*3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。
   それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。

コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
拠点
!
!
! 特権ユーザモードに移行します。
!
> enable
password: super ←パスワードを入力します。(実際は表示されない)
!
!
! 基本設定モードに移行します。
!
#configure terminal

(config)#
!
!
! VPN peer 宛の経路情報を設定します。
!
(config)#ip route 10.0.0.0 255.255.255.252 10.0.0.5
!
!
! センタ宛の経路情報をtunnel 1(IPsecトンネル)に設定します。
!
(config)#ip route 192.168.100.0 255.255.255.0 tunnel 1
!
!
! Port-channel 1 にLAN側IPアドレスを設定します。
!
(config)#interface Port-channel 1
(config-if-ch 1)# ip address 192.168.2.1 255.255.255.0
(config-if-ch 1)# mss 1300
(config-if-ch 1)#exit
!
!
! GigaEthernet インタフェースに、port-channel をリンク付けします。
!
(config)#interface GigaEthernet 1/1 *1
(config-if-ge 1/1)# vlan-id 1
(config-if-ge 1/1)# bridge-group 1
(config-if-ge 1/1)# channel-group 1
(config-if-ge 1/1)#exit
!
!
! Port-channel 2 にWAN側IPアドレスを設定します。
!
(config)#interface Port-channel 2
(config-if-ch 2)# ip address 10.0.0.6 255.255.255.252
(config-if-ch 2)#exit
!
!
! GigaEthernet インタフェースに、port-channel をリンク付けします。
!
(config)#interface GigaEthernet 2/1 *1
(config-if-ge 2/1)# vlan-id 2
(config-if-ge 2/1)# bridge-group 2
(config-if-ge 2/1)# channel-group 2
(config-if-ge 2/1)#exit
!
!
! VPNセレクタの設定を行ないます。
!
(config)#crypto ipsec selector SELECTOR
(config-ip-selector)# src 1 ipv4 any
(config-ip-selector)# dst 1 ipv4 any
(config-ip-selector)#exit
!
!
! DPDの設定をします。
!
(config)#crypto isakmp keepalive
!
!
! VPN通信動作中の詳細なログを残す設定にします。
!
(config)#crypto isakmp log sa
(config)#crypto isakmp log session
(config)#crypto isakmp log negotiation-fail
!
!
! ISAKMP ポリシーの設定を行ないます。
!
(config)#crypto isakmp policy P1-POLICY
!
!
! ISAKMP-SA/IKE SA の認証方式を、RSA-signatures とします。
!
(config-isakmp)# authentication rsa-sig
!
!
! 暗号方式の指定します。
!
(config-isakmp)# encryption aes
!
!
! 鍵長を指定します。
!
(config-isakmp)# encryption-keysize aes 256 256 256
!
!
! Diffie Hellmanのグループの指定します。
!
(config-isakmp)# group 14
!
!
! IKE SAのライフタイムの指定(秒)します。
!
(config-isakmp)# lifetime 86400
!
!
! ハッシュ方式の指定します。
!
(config-isakmp)# hash sha-256
!
!
! メインモードを使用します。
!
(config-isakmp)# initiate-mode main
!
!
! 基本設定モードに戻ります。
!
(config-isakmp)#exit
!
!
! センタ向けのISAKMP プロファイルを設定します。
!
(config)#crypto isakmp profile PROF0001
!
!
! RSA signatures認証で使用する、VPN peer のホスト名(IDタイプ=FQDN)を指定します。
!
(conf-isa-prof)# match identity host CENTER.example.com
!
!
! IPsec トンネルを確立する、本装置のIP アドレスを指定します。
!
(conf-isa-prof)# local-address 10.0.0.6
!
!
! RSA signatures認証で使用する、本装置のホスト名(IDタイプ=FQDN)を指定します。
!
(conf-isa-prof)# self-identity fqdn KYOTEN.example.com
!
!
! ISAKMP ポリシーとリンク付けします。
!
(conf-isa-prof)# set isakmp-policy P1-POLICY
!
!
! IPSEC ポリシーとリンク付けします。
!
(conf-isa-prof)# set ipsec-policy P2-POLICY
!
!
! センタのWAN アドレスを設定します。
!
(conf-isa-prof)# set peer 10.0.0.2
!
!
! IKE バージョンを指定します。
!
(conf-isa-prof)# ike-version 1
!
!
! RSA signatures 認証時に使用するroot CA 名を設定します。
!
(conf-isa-prof)# ca trustpoint rootCA
!
!
! 基本設定モードに戻ります。
!
(conf-isa-prof)#exit
!
!
! IPSEC ポリシーを設定します。
!
(config)#crypto ipsec policy P2-POLICY
!
!
! Diffie Hellmanのグループの指定します。
!
(conf-ipsec)# set pfs group14
!
!
! 常にSAを確立しておく設定をします。
!
(conf-ipsec)# set security-association always-up
!
!
! IPsec SAのライフタイムの指定(秒)します。
!
(conf-ipsec)# set security-association lifetime seconds 28800
!
!
! 鍵長を指定します。
!
(conf-ipsec)# set security-association transform-keysize aes 256 256 256
!
!
! 暗号化アルゴリズム、認証アルゴリズムを指定します。
!
(conf-ipsec)# set security-association transform esp-aes esp-sha256-hmac
!
!
! 暗号化されたESPパケットの MTU 長を設定します。
!
!(conf-ipsec)# set mtu 1500
!
!
! インナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。
!
(conf-ipsec)# set ip df-bit 0
!
!
! Post-Fragment 方式(*3)とします。
!
(conf-ipsec)# set ip fragment post
!
!
! 基本設定モードに戻ります。
!
(conf-ipsec)#exit
!
!
! センタのVPNピアとのセレクタ情報をエントリします。
!
(config)#crypto map CENTER ipsec-isakmp
(config-crypto-map)# match address SELECTOR
(config-crypto-map)# set isakmp-profile PROF0001
(config-crypto-map)#exit
!
!
!
! センタのtunnel インタフェースで有効にするVPNセレクタを設定します。
!
(config)#interface Tunnel 1
(config-if-tun 1)# tunnel mode ipsec map CENTER
(config-if-tun 1)#exit
!
!
!
! 特権ユーザモードに戻ります。
!
(config)#end
!
! 設定を保存します。
! 任意の名前で保存して下さい(*2)。
!
#save [ファイル名]
!
!
! 設定を有効にするために refresh をします。
!
#refresh
refresh ok?[y/N]:yes
..................Done


*1:物理ポート番号の設定
*2:ファイル名を省略した場合、boot.cfgで保存されます。
   装置起動時に適用する設定はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。

*3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。
   それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2019