設定例
センタ−拠点間をVPN接続する(IKEv1、電子証明書を利用)
概要
補足・注意点
RSA デジタル署名(RSA Signature)方式を使って、IPsecトンネリングの接続をします。
認証局(CA)を利用する環境にてご使用ください。
本設定例では、RSA signatures認証で使用するIDタイプはFQDNとしています。
RSAデジタル署名に必要な証明書の登録手順は
こちら を参照して下さい。
前提条件
IPsec条件
ISAKMP ポリシー
|
モード
|
Mainモード
|
認証方式
|
RSA デジタル署名方式
|
暗号化方式
|
AES 256ビット
|
ハッシュ方式
|
SHA-256
|
Diffie-Hellman
|
Group 14
|
ライフタイム
|
86400秒
|
IPSEC ポリシー
|
PFS
|
Group14
|
暗号化方式
|
AES 256ビット
|
ハッシュ方式
|
SHA-256
|
ライフタイム
|
28800秒
|
フラグメント
|
ポストフラグメント
|
拠点(F220)
|
常にSAを確立する
|
IPsec対象経路
|
センタ(F220)
|
192.168.2.0/24
|
拠点(F220)
|
192.168.100.0/24
|
インターフェース設定モード
項目
|
センタ(F220)
|
拠点(F220)
|
WANインターフェース
|
interface GigaEthernet 2/1 ※
|
interface GigaEthernet 2/1 ※
|
インターフェース名
|
channel-group 2
|
channel-group 2
|
VLAN-ID値
|
vlan-id 2
|
vlan-id 2
|
ブリッジグループ番号
|
bridge-group 2
|
bridge-group 2
|
インターフェース設定
|
interface Port-channel 2
|
interface Port-channel 2
|
LANインターフェース
|
interface GigaEthernet 1/1 ※
|
interface GigaEthernet 1/1 ※
|
インターフェース名
|
channel-group 1
|
channel-group 1
|
VLAN-ID値
|
vlan-id 1
|
vlan-id 1
|
ブリッジグループ番号
|
bridge-group 1
|
bridge-group 1
|
インターフェース設定
|
interface Port-channel 1
|
interface Port-channel 1
|
※GigaEthernet の設定には必ずvlanidとbridge-groupの設定が必要です。
VPN設定モード
項目
|
センタ(F220)
|
拠点(F220)
|
インターフェース設定
|
interface Tunnel 1
|
interface Tunnel 1
|
マップ名
|
KYOTEN
|
CENTER
|
マップ設定
|
crypto map KYOTEN ipsec-isakmp
|
crypto map CENTER ipsec-isakmp
|
セレクタ名
|
SELECTOR
|
SELECTOR
|
ISAKMP プロファイル
|
PROF0001
|
PROF0001
|
セレクタ設定 (VPN対象パケット)
|
crypto ipsec selector SELECTOR
|
crypto ipsec selector SELECTOR
|
ISAKMP プロファイル設定
|
crypto isakmp profile PROF0001
|
crypto isakmp profile PROF0001
|
ISAKMP ポリシー名
|
P1-POLICY
|
P1-POLICY
|
IPSEC ポリシー名
|
P2-POLICY
|
P2-POLICY
|
ISAKMP ポリシー設定
|
crypto isakmp policy P1-POLICY
|
crypto isakmp policy P1-POLICY
|
IPSEC ポリシー設定
|
crypto ipsec policy P2-POLICY
|
crypto ipsec policy P2-POLICY
|
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
センタ
!
!
! 特権ユーザモードに移行します。
!
> enable
password: super ←パスワードを入力します。(実際は表示されない)
!
!
! 基本設定モードに移行します。
!
#configure terminal
(config)#
!
!
! VPN peer 宛の経路情報を設定します。
!
(config)#ip route 10.0.0.4 255.255.255.252 10.0.0.1
!
!
! 拠点宛の経路情報をtunnel 1(IPsecトンネル)に設定します。
!
(config)#ip route 192.168.2.0 255.255.255.0 tunnel 1
!
!
! Port-channel 1 にLAN側IPアドレスを設定します。
!
(config)#interface Port-channel 1
(config-if-ch 1)# ip address 192.168.100.1 255.255.255.0
(config-if-ch 1)# mss 1300
(config-if-ch 1)#exit
!
!
! GigaEthernet インタフェースに、port-channel をリンク付けします。
!
(config)#interface GigaEthernet 1/1 *1
(config-if-ge 1/1)# vlan-id 1
(config-if-ge 1/1)# bridge-group 1
(config-if-ge 1/1)# channel-group 1
(config-if-ge 1/1)#exit
!
!
! Port-channel 2 にWAN側IPアドレスを設定します。
!
(config)#interface Port-channel 2
(config-if-ch 2)# ip address 10.0.0.2 255.255.255.252
(config-if-ch 2)#exit
!
!
! GigaEthernet インタフェースに、port-channel をリンク付けします。
!
(config)#interface GigaEthernet 2/1 *1
(config-if-ge 2/1)# vlan-id 2
(config-if-ge 2/1)# bridge-group 2
(config-if-ge 2/1)# channel-group 2
(config-if-ge 2/1)#exit
!
!
! VPNセレクタの設定を行ないます。
!
(config)#crypto ipsec selector SELECTOR
(config-ip-selector)# src 1 ipv4 any
(config-ip-selector)# dst 1 ipv4 any
(config-ip-selector)#exit
!
!
! DPDの設定をします。
!
(config)#crypto isakmp keepalive
!
!
! VPN通信動作中の詳細なログを残す設定にします。
!
(config)#crypto isakmp log sa
(config)#crypto isakmp log session
(config)#crypto isakmp log negotiation-fail
!
(config)#logging buffer level informational
!
!
! ISAKMP ポリシーの設定を行ないます。
!
(config)#crypto isakmp policy P1-POLICY
!
!
! ISAKMP-SA/IKE SA の認証方式を、RSA-signatures とします。
!
(config-isakmp)# authentication rsa-sig
!
!
! 暗号方式の指定します。
!
(config-isakmp)# encryption aes
!
!
! 鍵長を指定します。
!
(config-isakmp)# encryption-keysize aes 256 256 256
!
!
! Diffie Hellmanのグループの指定します。
!
(config-isakmp)# group 14
!
!
! IKE SAのライフタイムの指定(秒)します。
!
(config-isakmp)# lifetime 86400
!
!
! ハッシュ方式の指定します。
!
(config-isakmp)# hash sha-256
!
!
! メインモードを使用します。
!
(config-isakmp)# initiate-mode main
!
!
! 基本設定モードに戻ります。
!
(config-isakmp)#exit
!
!
! 拠点向けのISAKMP プロファイルを設定します。
!
(config)#crypto isakmp profile PROF0001
!
!
! RSA signatures認証で使用する、VPN peer のホスト名(IDタイプ=FQDN)を指定します。
!
(conf-isa-prof)# match identity host KYOTEN.example.com
!
!
! IPsec トンネルを確立する、本装置のIP アドレスを指定します。
!
(conf-isa-prof)# local-address 10.0.0.2
!
!
! RSA signatures認証で使用する、本装置のホスト名(IDタイプ=FQDN)を指定します。
!
(conf-isa-prof)# self-identity fqdn CENTER.example.com
!
!
! ISAKMP ポリシーとリンク付けします。
!
(conf-isa-prof)# set isakmp-policy P1-POLICY
!
!
! IPSEC ポリシーとリンク付けします。
!
(conf-isa-prof)# set ipsec-policy P2-POLICY
!
!
! IKE バージョンを指定します。
!
(conf-isa-prof)# ike-version 1
!
!
! RSA signatures 認証時に使用するroot CA 名を設定します。
!
(conf-isa-prof)# ca trustpoint rootCA
!
!
! 基本設定モードに戻ります。
!
(conf-isa-prof)#exit
!
!
! IPSEC ポリシーを設定します。
!
(config)#crypto ipsec policy P2-POLICY
!
!
! Diffie Hellmanのグループの指定します。
!
(conf-ipsec)# set pfs group14
!
!
! IPsec SAのライフタイムの指定(秒)します。
!
(conf-ipsec)# set security-association lifetime seconds 28800
!
!
! 鍵長を指定します。
!
(conf-ipsec)# set security-association transform-keysize aes 256 256 256
!
!
! 暗号化アルゴリズム、認証アルゴリズムを指定します。
!
(conf-ipsec)# set security-association transform esp-aes esp-sha256-hmac
!
!
! 暗号化されたESPパケットの MTU 長を設定します。
!
!(conf-ipsec)# set mtu 1500
!
!
! インナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。
!
(conf-ipsec)# set ip df-bit 0
!
!
! Post-Fragment 方式(*3)とします。
!
(conf-ipsec)# set ip fragment post
!
!
! 基本設定モードに戻ります。
!
(conf-ipsec)#exit
!
!
! 拠点のVPNピアとのセレクタ情報をエントリします。
!
(config)#crypto map KYOTEN ipsec-isakmp
(config-crypto-map)# match address SELECTOR
(config-crypto-map)# set isakmp-profile PROF0001
(config-crypto-map)#exit
!
!
!
! 拠点のtunnel インタフェースで有効にするVPNセレクタを設定します。
!
(config)#interface Tunnel 1
(config-if-tun 1)# tunnel mode ipsec map KYOTEN
(config-if-tun 1)#exit
!
!
!
! 特権ユーザモードに戻ります。
!
(config)#end
!
! 設定を保存します。
! 任意の名前で保存して下さい(*2)。
!
#save [ファイル名]
!
!
! 設定を有効にするために refresh をします。
!
#refresh
refresh ok?[y/N]:yes
..................Done
*1:物理ポート番号の設定
*2:ファイル名を省略した場合、boot.cfgで保存されます。
装置起動時に適用する設定はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。
*3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。
それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
拠点
!
!
! 特権ユーザモードに移行します。
!
> enable
password: super ←パスワードを入力します。(実際は表示されない)
!
!
! 基本設定モードに移行します。
!
#configure terminal
(config)#
!
!
! VPN peer 宛の経路情報を設定します。
!
(config)#ip route 10.0.0.0 255.255.255.252 10.0.0.5
!
!
! センタ宛の経路情報をtunnel 1(IPsecトンネル)に設定します。
!
(config)#ip route 192.168.100.0 255.255.255.0 tunnel 1
!
!
! Port-channel 1 にLAN側IPアドレスを設定します。
!
(config)#interface Port-channel 1
(config-if-ch 1)# ip address 192.168.2.1 255.255.255.0
(config-if-ch 1)# mss 1300
(config-if-ch 1)#exit
!
!
! GigaEthernet インタフェースに、port-channel をリンク付けします。
!
(config)#interface GigaEthernet 1/1 *1
(config-if-ge 1/1)# vlan-id 1
(config-if-ge 1/1)# bridge-group 1
(config-if-ge 1/1)# channel-group 1
(config-if-ge 1/1)#exit
!
!
! Port-channel 2 にWAN側IPアドレスを設定します。
!
(config)#interface Port-channel 2
(config-if-ch 2)# ip address 10.0.0.6 255.255.255.252
(config-if-ch 2)#exit
!
!
! GigaEthernet インタフェースに、port-channel をリンク付けします。
!
(config)#interface GigaEthernet 2/1 *1
(config-if-ge 2/1)# vlan-id 2
(config-if-ge 2/1)# bridge-group 2
(config-if-ge 2/1)# channel-group 2
(config-if-ge 2/1)#exit
!
!
! VPNセレクタの設定を行ないます。
!
(config)#crypto ipsec selector SELECTOR
(config-ip-selector)# src 1 ipv4 any
(config-ip-selector)# dst 1 ipv4 any
(config-ip-selector)#exit
!
!
! DPDの設定をします。
!
(config)#crypto isakmp keepalive
!
!
! VPN通信動作中の詳細なログを残す設定にします。
!
(config)#crypto isakmp log sa
(config)#crypto isakmp log session
(config)#crypto isakmp log negotiation-fail
!
(config)#logging buffer level informational
!
!
! ISAKMP ポリシーの設定を行ないます。
!
(config)#crypto isakmp policy P1-POLICY
!
!
! ISAKMP-SA/IKE SA の認証方式を、RSA-signatures とします。
!
(config-isakmp)# authentication rsa-sig
!
!
! 暗号方式の指定します。
!
(config-isakmp)# encryption aes
!
!
! 鍵長を指定します。
!
(config-isakmp)# encryption-keysize aes 256 256 256
!
!
! Diffie Hellmanのグループの指定します。
!
(config-isakmp)# group 14
!
!
! IKE SAのライフタイムの指定(秒)します。
!
(config-isakmp)# lifetime 86400
!
!
! ハッシュ方式の指定します。
!
(config-isakmp)# hash sha-256
!
!
! メインモードを使用します。
!
(config-isakmp)# initiate-mode main
!
!
! 基本設定モードに戻ります。
!
(config-isakmp)#exit
!
!
! センタ向けのISAKMP プロファイルを設定します。
!
(config)#crypto isakmp profile PROF0001
!
!
! RSA signatures認証で使用する、VPN peer のホスト名(IDタイプ=FQDN)を指定します。
!
(conf-isa-prof)# match identity host CENTER.example.com
!
!
! IPsec トンネルを確立する、本装置のIP アドレスを指定します。
!
(conf-isa-prof)# local-address 10.0.0.6
!
!
! RSA signatures認証で使用する、本装置のホスト名(IDタイプ=FQDN)を指定します。
!
(conf-isa-prof)# self-identity fqdn KYOTEN.example.com
!
!
! ISAKMP ポリシーとリンク付けします。
!
(conf-isa-prof)# set isakmp-policy P1-POLICY
!
!
! IPSEC ポリシーとリンク付けします。
!
(conf-isa-prof)# set ipsec-policy P2-POLICY
!
!
! センタのWAN アドレスを設定します。
!
(conf-isa-prof)# set peer 10.0.0.2
!
!
! IKE バージョンを指定します。
!
(conf-isa-prof)# ike-version 1
!
!
! RSA signatures 認証時に使用するroot CA 名を設定します。
!
(conf-isa-prof)# ca trustpoint rootCA
!
!
! 基本設定モードに戻ります。
!
(conf-isa-prof)#exit
!
!
! IPSEC ポリシーを設定します。
!
(config)#crypto ipsec policy P2-POLICY
!
!
! Diffie Hellmanのグループの指定します。
!
(conf-ipsec)# set pfs group14
!
!
! 常にSAを確立しておく設定をします。
!
(conf-ipsec)# set security-association always-up
!
!
! IPsec SAのライフタイムの指定(秒)します。
!
(conf-ipsec)# set security-association lifetime seconds 28800
!
!
! 鍵長を指定します。
!
(conf-ipsec)# set security-association transform-keysize aes 256 256 256
!
!
! 暗号化アルゴリズム、認証アルゴリズムを指定します。
!
(conf-ipsec)# set security-association transform esp-aes esp-sha256-hmac
!
!
! 暗号化されたESPパケットの MTU 長を設定します。
!
!(conf-ipsec)# set mtu 1500
!
!
! インナーのパケットのDFビットの状態にかかわらず、暗号化されたESPパケットではDFビットをoffにします。
!
(conf-ipsec)# set ip df-bit 0
!
!
! Post-Fragment 方式(*3)とします。
!
(conf-ipsec)# set ip fragment post
!
!
! 基本設定モードに戻ります。
!
(conf-ipsec)#exit
!
!
! センタのVPNピアとのセレクタ情報をエントリします。
!
(config)#crypto map CENTER ipsec-isakmp
(config-crypto-map)# match address SELECTOR
(config-crypto-map)# set isakmp-profile PROF0001
(config-crypto-map)#exit
!
!
!
! センタのtunnel インタフェースで有効にするVPNセレクタを設定します。
!
(config)#interface Tunnel 1
(config-if-tun 1)# tunnel mode ipsec map CENTER
(config-if-tun 1)#exit
!
!
!
! 特権ユーザモードに戻ります。
!
(config)#end
!
! 設定を保存します。
! 任意の名前で保存して下さい(*2)。
!
#save [ファイル名]
!
!
! 設定を有効にするために refresh をします。
!
#refresh
refresh ok?[y/N]:yes
..................Done
*1:物理ポート番号の設定
*2:ファイル名を省略した場合、boot.cfgで保存されます。
装置起動時に適用する設定はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。
*3:インナーのパケットを暗号化した上でESPパケットの MTU 長に応じてフラグメントする方式です。
それに対してインナーのパケットをあらかじめフラグメントした上で暗号化する方式をPre-Fragmentと言います。
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2019