古河電工ネットワーク機器の総合ブランド ファイテルネット
設定例
IKEv1で電子証明書を使って認証する
概要
補足・注意点
RSA デジタル署名(RSA Signature)方式を使って、IPsecトンネリングの接続をします。
認証局(CA)を利用する環境にてご使用ください。
本設定例では、RSA signatures認証で使用するIDタイプはFQDNとしています。
RSAデジタル署名に必要な証明書の登録手順は こちら を参照して下さい。
認証局(CA)を利用する環境にてご使用ください。
本設定例では、RSA signatures認証で使用するIDタイプはFQDNとしています。
RSAデジタル署名に必要な証明書の登録手順は こちら を参照して下さい。
前提条件
IPsec条件
| ISAKMP ポリシー | モード | Mainモード |
| 認証方式 | RSA デジタル署名方式 | |
| 暗号化方式 | AES 256ビット | |
| ハッシュ方式 | SHA-256 | |
| Diffie-Hellman | Group 14 | |
| ライフタイム | 86400秒 | |
| IPSEC ポリシー | PFS | Group14 |
| 暗号化方式 | AES 256ビット | |
| ハッシュ方式 | SHA-256 | |
| ライフタイム | 28800秒 | |
| フラグメント | ポストフラグメント | |
| 拠点(F220) | 常にSAを確立する | |
| IPsec対象経路 | センタ(F220) | 192.168.2.0/24 |
| 拠点(F220) | 192.168.100.0/24 |
インターフェース設定モード
| 項目 | センタ(F220) | 拠点(F220) |
| WANインターフェース | interface GigaEthernet 2/1 ※ | interface GigaEthernet 2/1 ※ |
| インターフェース名 | channel-group 2 | channel-group 2 |
| VLAN-ID値 | vlan-id 2 | vlan-id 2 |
| ブリッジグループ番号 | bridge-group 2 | bridge-group 2 |
| インターフェース設定 | interface Port-channel 2 | interface Port-channel 2 |
| LANインターフェース | interface GigaEthernet 1/1 ※ | interface GigaEthernet 1/1 ※ |
| インターフェース名 | channel-group 1 | channel-group 1 |
| VLAN-ID値 | vlan-id 1 | vlan-id 1 |
| ブリッジグループ番号 | bridge-group 1 | bridge-group 1 |
| インターフェース設定 | interface Port-channel 1 | interface Port-channel 1 |
※GigaEthernet の設定には必ずvlanidとbridge-groupの設定が必要です。
VPN設定モード
| 項目 | センタ(F220) | 拠点(F220) |
| インターフェース設定 | interface Tunnel 1 | interface Tunnel 1 |
| マップ名 | KYOTEN | CENTER |
| マップ設定 | crypto map KYOTEN ipsec-isakmp | crypto map CENTER ipsec-isakmp |
| セレクタ名 | SELECTOR | SELECTOR |
| ISAKMP プロファイル | PROF0001 | PROF0001 |
|
セレクタ設定 (VPN対象パケット) |
crypto ipsec selector SELECTOR | crypto ipsec selector SELECTOR |
| ISAKMP プロファイル設定 | crypto isakmp profile PROF0001 | crypto isakmp profile PROF0001 |
| ISAKMP ポリシー名 | P1-POLICY | P1-POLICY |
| IPSEC ポリシー名 | P2-POLICY | P2-POLICY |
| ISAKMP ポリシー設定 | crypto isakmp policy P1-POLICY | crypto isakmp policy P1-POLICY |
| IPSEC ポリシー設定 | crypto ipsec policy P2-POLICY | crypto ipsec policy P2-POLICY |
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
センタ
! ! ! 特権ユーザモードに移行します。 ! > enable password: super ←パスワードを入力します。(実際は表示されない) ! ! ! 基本設定モードに移行します。 ! #configure terminal (config)# ! ! ! VPN peer 宛の経路情報を設定します。 ! (config)#ip route 10.0.0.4 255.255.255.252 10.0.0.1 ! ! ! 拠点宛の経路情報をtunnel 1(IPsecトンネル)に設定します。 ! (config)#ip route 192.168.2.0 255.255.255.0 tunnel 1 ! ! ! Port-channel 1 にLAN側IPアドレスを設定します。 ! (config)#interface Port-channel 1 (config-if-ch 1)# ip address 192.168.100.1 255.255.255.0 (config-if-ch 1)# mss 1300 (config-if-ch 1)#exit ! ! ! GigaEthernet インタフェースに、port-channel をリンク付けします。 ! (config)#interface GigaEthernet 1/1 *1 (config-if-ge 1/1)# vlan-id 1 (config-if-ge 1/1)# bridge-group 1 (config-if-ge 1/1)# channel-group 1 (config-if-ge 1/1)#exit ! ! ! Port-channel 2 にWAN側IPアドレスを設定します。 ! (config)#interface Port-channel 2 (config-if-ch 2)# ip address 10.0.0.2 255.255.255.252 (config-if-ch 2)#exit ! ! ! GigaEthernet インタフェースに、port-channel をリンク付けします。 ! (config)#interface GigaEthernet 2/1 *1 (config-if-ge 2/1)# vlan-id 2 (config-if-ge 2/1)# bridge-group 2 (config-if-ge 2/1)# channel-group 2 (config-if-ge 2/1)#exit ! ! ! VPNセレクタの設定を行ないます。 ! (config)#crypto ipsec selector SELECTOR (config-ip-selector)# src 1 ipv4 any (config-ip-selector)# dst 1 ipv4 any (config-ip-selector)#exit ! ! ! DPDの設定をします。 ! (config)#crypto isakmp keepalive ! ! ! VPN通信動作中の詳細なログを残す設定にします。 ! (config)#crypto isakmp log sa (config)#crypto isakmp log session (config)#crypto isakmp log negotiation-fail ! (config)#logging buffer level informational ! ! ! ISAKMP ポリシーの設定を行ないます。 ! (config)#crypto isakmp policy P1-POLICY ! ! ! ISAKMP-SA/IKE SA の認証方式を、RSA-signatures とします。 ! (config-isakmp)# authentication rsa-sig ! ! ! 暗号方式の指定します。 ! (config-isakmp)# encryption aes ! ! ! 鍵長を指定します。 ! (config-isakmp)# encryption-keysize aes 256 256 256 ! ! ! Diffie Hellmanのグループの指定します。 ! (config-isakmp)# group 14 ! ! ! IKE SAのライフタイムの指定(秒)します。 ! (config-isakmp)# lifetime 86400 ! ! ! ハッシュ方式の指定します。 ! (config-isakmp)# hash sha-256 ! ! ! メインモードを使用します。 ! (config-isakmp)# initiate-mode main ! ! ! 基本設定モードに戻ります。 ! (config-isakmp)#exit ! ! ! 拠点向けのISAKMP プロファイルを設定します。 ! (config)#crypto isakmp profile PROF0001 ! ! ! RSA signatures認証で使用する、VPN peer のホスト名(IDタイプ=FQDN)を指定します。 ! (conf-isa-prof)# match identity host KYOTEN.example.com ! ! ! IPsec トンネルを確立する、本装置のIP アドレスを指定します。 ! (conf-isa-prof)# local-address 10.0.0.2 ! ! ! RSA signatures認証で使用する、本装置のホスト名(IDタイプ=FQDN)を指定します。 ! (conf-isa-prof)# self-identity fqdn CENTER.example.com ! ! ! ISAKMP ポリシーとリンク付けします。 ! (conf-isa-prof)# set isakmp-policy P1-POLICY ! ! ! IPSEC ポリシーとリンク付けします。 ! (conf-isa-prof)# set ipsec-policy P2-POLICY ! ! ! IKE バージョンを指定します。 ! (conf-isa-prof)# ike-version 1 ! ! ! RSA signatures 認証時に使用するroot CA 名を設定します。 ! (conf-isa-prof)# ca trustpoint rootCA ! ! ! 基本設定モードに戻ります。 ! (conf-isa-prof)#exit ! ! ! IPSEC ポリシーを設定します。 ! (config)#crypto ipsec policy P2-POLICY ! ! ! Diffie Hellmanのグループの指定します。 ! (conf-ipsec)# set pfs group14 ! ! ! IPsec SAのライフタイムの指定(秒)します。 ! (conf-ipsec)# set security-association lifetime seconds 28800 ! ! ! 鍵長を指定します。 ! (conf-ipsec)# set security-association transform-keysize aes 256 256 256 ! ! ! 暗号化アルゴリズム、認証アルゴリズムを指定します。 ! (conf-ipsec)# set security-association transform esp-aes esp-sha256-hmac ! ! ! 暗号化されたESPパケットの MTU 長を設定します。 ! !(conf-ipsec)# set mtu 1500 ! ! ! インナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。 ! (conf-ipsec)# set ip df-bit 0 ! ! ! Post-Fragment 方式(*3)とします。 ! (conf-ipsec)# set ip fragment post ! ! ! 基本設定モードに戻ります。 ! (conf-ipsec)#exit ! ! ! 拠点のVPNピアとのセレクタ情報をエントリします。 ! (config)#crypto map KYOTEN ipsec-isakmp (config-crypto-map)# match address SELECTOR (config-crypto-map)# set isakmp-profile PROF0001 (config-crypto-map)#exit ! ! ! ! 拠点のtunnel インタフェースで有効にするVPNセレクタを設定します。 ! (config)#interface Tunnel 1 (config-if-tun 1)# tunnel mode ipsec map KYOTEN (config-if-tun 1)#exit ! ! ! ! 特権ユーザモードに戻ります。 ! (config)#end ! ! 設定を保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名] ! ! ! 設定を有効にするために refresh をします。 ! #refresh refresh ok?[y/N]:yes ..................Done *1:物理ポート番号の設定 *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用する設定はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
拠点
! ! ! 特権ユーザモードに移行します。 ! > enable password: super ←パスワードを入力します。(実際は表示されない) ! ! ! 基本設定モードに移行します。 ! #configure terminal (config)# ! ! ! VPN peer 宛の経路情報を設定します。 ! (config)#ip route 10.0.0.0 255.255.255.252 10.0.0.5 ! ! ! センタ宛の経路情報をtunnel 1(IPsecトンネル)に設定します。 ! (config)#ip route 192.168.100.0 255.255.255.0 tunnel 1 ! ! ! Port-channel 1 にLAN側IPアドレスを設定します。 ! (config)#interface Port-channel 1 (config-if-ch 1)# ip address 192.168.2.1 255.255.255.0 (config-if-ch 1)# mss 1300 (config-if-ch 1)#exit ! ! ! GigaEthernet インタフェースに、port-channel をリンク付けします。 ! (config)#interface GigaEthernet 1/1 *1 (config-if-ge 1/1)# vlan-id 1 (config-if-ge 1/1)# bridge-group 1 (config-if-ge 1/1)# channel-group 1 (config-if-ge 1/1)#exit ! ! ! Port-channel 2 にWAN側IPアドレスを設定します。 ! (config)#interface Port-channel 2 (config-if-ch 2)# ip address 10.0.0.6 255.255.255.252 (config-if-ch 2)#exit ! ! ! GigaEthernet インタフェースに、port-channel をリンク付けします。 ! (config)#interface GigaEthernet 2/1 *1 (config-if-ge 2/1)# vlan-id 2 (config-if-ge 2/1)# bridge-group 2 (config-if-ge 2/1)# channel-group 2 (config-if-ge 2/1)#exit ! ! ! VPNセレクタの設定を行ないます。 ! (config)#crypto ipsec selector SELECTOR (config-ip-selector)# src 1 ipv4 any (config-ip-selector)# dst 1 ipv4 any (config-ip-selector)#exit ! ! ! DPDの設定をします。 ! (config)#crypto isakmp keepalive ! ! ! VPN通信動作中の詳細なログを残す設定にします。 ! (config)#crypto isakmp log sa (config)#crypto isakmp log session (config)#crypto isakmp log negotiation-fail ! (config)#logging buffer level informational ! ! ! ISAKMP ポリシーの設定を行ないます。 ! (config)#crypto isakmp policy P1-POLICY ! ! ! ISAKMP-SA/IKE SA の認証方式を、RSA-signatures とします。 ! (config-isakmp)# authentication rsa-sig ! ! ! 暗号方式の指定します。 ! (config-isakmp)# encryption aes ! ! ! 鍵長を指定します。 ! (config-isakmp)# encryption-keysize aes 256 256 256 ! ! ! Diffie Hellmanのグループの指定します。 ! (config-isakmp)# group 14 ! ! ! IKE SAのライフタイムの指定(秒)します。 ! (config-isakmp)# lifetime 86400 ! ! ! ハッシュ方式の指定します。 ! (config-isakmp)# hash sha-256 ! ! ! メインモードを使用します。 ! (config-isakmp)# initiate-mode main ! ! ! 基本設定モードに戻ります。 ! (config-isakmp)#exit ! ! ! センタ向けのISAKMP プロファイルを設定します。 ! (config)#crypto isakmp profile PROF0001 ! ! ! RSA signatures認証で使用する、VPN peer のホスト名(IDタイプ=FQDN)を指定します。 ! (conf-isa-prof)# match identity host CENTER.example.com ! ! ! IPsec トンネルを確立する、本装置のIP アドレスを指定します。 ! (conf-isa-prof)# local-address 10.0.0.6 ! ! ! RSA signatures認証で使用する、本装置のホスト名(IDタイプ=FQDN)を指定します。 ! (conf-isa-prof)# self-identity fqdn KYOTEN.example.com ! ! ! ISAKMP ポリシーとリンク付けします。 ! (conf-isa-prof)# set isakmp-policy P1-POLICY ! ! ! IPSEC ポリシーとリンク付けします。 ! (conf-isa-prof)# set ipsec-policy P2-POLICY ! ! ! センタのWAN アドレスを設定します。 ! (conf-isa-prof)# set peer 10.0.0.2 ! ! ! IKE バージョンを指定します。 ! (conf-isa-prof)# ike-version 1 ! ! ! RSA signatures 認証時に使用するroot CA 名を設定します。 ! (conf-isa-prof)# ca trustpoint rootCA ! ! ! 基本設定モードに戻ります。 ! (conf-isa-prof)#exit ! ! ! IPSEC ポリシーを設定します。 ! (config)#crypto ipsec policy P2-POLICY ! ! ! Diffie Hellmanのグループの指定します。 ! (conf-ipsec)# set pfs group14 ! ! ! 常にSAを確立しておく設定をします。 ! (conf-ipsec)# set security-association always-up ! ! ! IPsec SAのライフタイムの指定(秒)します。 ! (conf-ipsec)# set security-association lifetime seconds 28800 ! ! ! 鍵長を指定します。 ! (conf-ipsec)# set security-association transform-keysize aes 256 256 256 ! ! ! 暗号化アルゴリズム、認証アルゴリズムを指定します。 ! (conf-ipsec)# set security-association transform esp-aes esp-sha256-hmac ! ! ! 暗号化されたESPパケットの MTU 長を設定します。 ! !(conf-ipsec)# set mtu 1500 ! ! ! インナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。 ! (conf-ipsec)# set ip df-bit 0 ! ! ! Post-Fragment 方式(*3)とします。 ! (conf-ipsec)# set ip fragment post ! ! ! 基本設定モードに戻ります。 ! (conf-ipsec)#exit ! ! ! センタのVPNピアとのセレクタ情報をエントリします。 ! (config)#crypto map CENTER ipsec-isakmp (config-crypto-map)# match address SELECTOR (config-crypto-map)# set isakmp-profile PROF0001 (config-crypto-map)#exit ! ! ! ! センタのtunnel インタフェースで有効にするVPNセレクタを設定します。 ! (config)#interface Tunnel 1 (config-if-tun 1)# tunnel mode ipsec map CENTER (config-if-tun 1)#exit ! ! ! ! 特権ユーザモードに戻ります。 ! (config)#end ! ! 設定を保存します。 ! 任意の名前で保存して下さい(*2)。 ! #save [ファイル名] ! ! ! 設定を有効にするために refresh をします。 ! #refresh refresh ok?[y/N]:yes ..................Done *1:物理ポート番号の設定 *2:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用する設定はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。 *3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。 それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2019