セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

IPSec の設定:Cisco Secure VPN Client とアクセスを制御する中央ルータ

2004 年 2 月 27 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 1 月 14 日) | フィードバック

目次

概要
前提条件
     要件
     使用するコンポーネント
     表記法
設定
     ネットワーク ダイアグラム
     設定
確認
トラブルシューティング
     トラブルシューティングのためのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

次の設定は一般的に使用されるものではありませんが、Cisco Secure VPN Client IPSec トンネルを中央ルータで終端できる設計になっています。 トンネルがアップ状態になると、PC は中央ルータの IP アドレス プール(この例では、このルータに「moss」という名前が付いています)から IP アドレスを受信します。次に、プール トラフィックは、moss の背後のローカル ネットワークに到達するすることも、境界外にあるルータ(この例では「carter」というルータ)の背後にあるネットワークにルーティングされて暗号化されることも可能になります。 さらに、プライベート ネットワーク 10.13.1.X から 10.1.1.X へのトラフィックが暗号化されます。ルータでは NAT オーバーロードが実行されています。

前提条件

要件

この文書に関する特別な要件はありません。

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco IOS(R) ソフトウェア リリース 12.1.5.T(c3640-io3s56i-mz.121-5.T)

  • Cisco Secure VPN Client 1.1

この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。 この文書内で使用されているデバイスはすべて、クリアな状態(デフォルト)から設定作業を始めています。 対象のネットワークが実稼動中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

表記法

文書表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、この文書で説明する機能を設定するための情報を提供します。

注:この文書で使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。 


一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

この文書では、次のネットワーク設定を使用します。

oddconfig.gif

設定

この文書では、次の設定を使用します。

moss の設定

Version 12.1
  no service single-slot-reload-enable
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname moss
  !
  logging rate-limit console 10 except errors
  enable password ww
  !
  ip subnet-zero
  !
  no ip finger
  !
  ip audit notify log
  ip audit po max-events 100
  !
  crypto isakmp policy 1
  hash md5
  authentication pre-share
  crypto isakmp key cisco123 address 99.99.99.1
  crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
  crypto isakmp client configuration address-pool local RTP-POOL
  !
  crypto ipsec transform-set rtpset esp-des esp-md5-hmac 
  !
  crypto dynamic-map rtp-dynamic 20
  set transform-set rtpset 
  !
  crypto map rtp client configuration address initiate
  crypto map rtp client configuration address respond
  !crypto map sequence for network to network traffic
  crypto map rtp 1 ipsec-isakmp 
  set peer 99.99.99.1
  set transform-set rtpset 
  match address 115
  !--- VPN Client ネットワーク トラフィック用の暗号マップの順番。
  crypto map rtp 10 ipsec-isakmp dynamic rtp-dynamic 
  !
  call rsvp-sync
  !
  interface Ethernet2/0
  ip address 172.18.124.154 255.255.255.0
  ip nat outside
  no ip route-cache
  no ip mroute-cache
  half-duplex
  crypto map rtp
  !
  interface Serial2/0
  no ip address
  shutdown
  !
  interface Ethernet2/1
  ip address 10.13.1.19 255.255.255.0
  ip nat inside
  half-duplex
  !
  ip local pool RTP-POOL 192.168.1.1 192.168.1.254
  ip nat pool ETH20 172.18.124.154 172.18.124.154 netmask 255.255.255.0
  ip nat inside source route-map nonat pool ETH20 overload
  ip classless
  ip route 0.0.0.0 0.0.0.0 172.18.124.1
  ip route 10.1.1.0 255.255.255.0 172.18.124.158
  ip route 99.99.99.0 255.255.255.0 172.18.124.158
  no ip http server
  !
  !--- トラフィックを NAT 処理から除外します。
  access-list 110 deny ip 10.13.1.0 0.0.0.255 10.1.1.0 0.0.0.255
  access-list 110 deny ip 10.13.1.0 0.0.0.255 192.168.1.0 0.0.0.255
  access-list 110 permit ip 10.13.1.0 0.0.0.255 any
  !--- トラフィックを暗号化処理に含めます。
  access-list 115 permit ip 10.13.1.0 0.0.0.255 10.1.1.0 0.0.0.255
  access-list 115 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255
  route-map nonat permit 10
  match ip address 110
  !
  dial-peer cor custom
  !
  line con 0
  transport input none
  line aux 0
  line vty 0 4
  login
  !
  end

carter の設定

Current configuration : 2059 bytes
  !
  version 12.1
  no service single-slot-reload-enable
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname carter
  !
  logging rate-limit console 10 except errors
  !
  ip subnet-zero
  !
  no ip finger
  !
  ip audit notify log
  ip audit po max-events 100
  !
  crypto isakmp policy 1
  hash md5 
  authentication pre-share
  crypto isakmp key cisco123 address 172.18.124.154
  !
  crypto ipsec transform-set rtpset esp-des esp-md5-hmac 
  !
  !--- ネットワーク間トラフィック用の暗号マップの順番。
  crypto map rtp 1 ipsec-isakmp 
  set peer 172.18.124.154
  set transform-set rtpset 
  match address 115
  !
  call rsvp-sync
  !
  interface Ethernet0/0
  ip address 99.99.99.1 255.255.255.0
  ip nat outside
  half-duplex
  crypto map rtp
  !
  interface FastEthernet3/0
  ip address 10.1.1.1 255.255.255.0
  ip nat inside
  duplex auto
  speed 10
  !
  ip nat pool ETH00 99.99.99.1 99.99.99.1 netmask 255.255.255.0
  ip nat inside source route-map nonat pool ETH00 overload
  ip classless
  ip route 0.0.0.0 0.0.0.0 99.99.99.2
  no ip http server
  !
  !--- トラフィックを NAT 処理から除外します。
  access-list 110 deny ip 10.1.1.0 0.0.0.255 10.13.1.0 0.0.0.255
  access-list 110 deny ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
  access-list 110 permit ip 10.1.1.0 0.0.0.255 any
  !--- トラフィックを暗号化処理に含めます。
  access-list 115 permit ip 10.1.1.0 0.0.0.255 10.13.1.0 0.0.0.255
  access-list 115 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
  route-map nonat permit 10
  match ip address 110
  !
  line con 0
  transport input none
  line aux 0
  line vty 0 4
  password ww
  login
  !
  end

確認

このセクションでは、設定が正しく動作していることを確認するために使用できる情報を提供します。

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)でサポートされています。このツールを使用すると、show コマンドの出力を分析できます。


一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show crypto ipsec sa - フェーズ 2 セキュリティ結合を表示します。

  • show crypto isakmp sa - フェーズ 1 セキュリティ結合を表示します。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を説明します。

トラブルシューティングのためのコマンド

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)でサポートされています。このツールを使用すると、show コマンドの出力を分析できます。


一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

注:debug コマンドを使用する前に、『デバッグ コマンドの重要な情報』を参照してください。 

  • debug crypto ipsec - フェーズ 2 の IPSec ネゴシエーションを表示します。

  • debug crypto isakmp - フェーズ 1 の ISAKMP ネゴシエーションを表示します。

  • debug crypto engine - 暗号化されたトラフィックを表示します。

  • clear crypto isakmp - フェーズ 1 に関連するセキュリティ結合をクリアします。

  • clear crypto sa - フェーズ 2 に関連するセキュリティ結合をクリアします。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 14141