セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

ルータ間ハブおよびスポークにおける IPSec の設定

2004 年 6 月 21 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 1 月 14 日) | フィードバック

目次

概要
前提条件
     要件
     使用するコンポーネント
     表記法
設定
     ネットワーク ダイアグラム
     設定例
確認
トラブルシューティング
     トラブルシューティングのためのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この文書では、1 つのルータ(「ハブ」)と 3 つの他のルータ(「スポーク」)の間で行う、ハブとスポークの暗号化について説明します。 ハブ ルータには、3 つの各ピアの背後にあるネットワークを指定した暗号マップが 1 つあります。 各スポーク ルータの暗号マップでは、ハブ ルータの背後のネットワークが指定されています。

次のネットワーク間で暗号化が行われます。

  • 160.160.160.x ネットワークから 170.170.170.x ネットワーク

  • 160.160.160.x ネットワークから 180.180.180.x ネットワーク

  • 160.160.160.x ネットワークから 190.190.190.x ネットワーク

前提条件

要件

この文書に関する特別な要件はありません。

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco IOS(R) ソフトウェア リリース 12.0.7.T 以降

  • Cisco 2500 ルータ

この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。この文書内で使用されているデバイスはすべて、クリアな状態(デフォルト)から設定作業を始めています。対象のネットワークが実稼動中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

表記法

文書表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、この文書で説明する機能を設定するための情報を提供します。

注:この文書で使用されているコマンドの詳細を調べるには、Command Lookup Tool を使用してください(登録ユーザ専用)。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

この文書では、次のネットワーク構成を使用しています。

ios_hub-spoke.gif

設定例

この文書では、次の設定を使用します。

dr_whoovie の設定

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname dr_whoovie
!
enable secret 5 $1$KxKv$cbqKsZtQTLJLGPN.tErFZ1
enable password ww
!
ip subnet-zero
!
cns event-service server

!--- 各ピアに Internet Key Exchange(IKE; インターネット キー エクスチェンジ)の
!--- ポリシーおよび事前共有キーを設定します。
!--- ピア用の IKE ポリシー。

crypto isakmp policy 1
authentication pre-share

!--- 各ピア用の事前共有キー。

crypto isakmp key cisco170 address 150.150.150.2 
crypto isakmp key cisco180 address 150.150.150.3 
crypto isakmp key cisco190 address 150.150.150.4 

!--- IPSec パラメータを設定します。
!--- IPSec トランスフォーム セット。

crypto ipsec transform-set 170cisco esp-des esp-md5-hmac 
crypto ipsec transform-set 180cisco esp-des esp-md5-hmac 
crypto ipsec transform-set 190cisco esp-des esp-md5-hmac 
!
crypto map ETH0 17 ipsec-isakmp 

!--- ピアを設定します。

set peer 150.150.150.2

!--- このトンネルに使用する IPSec トランスフォーム セット。

set transform-set 170cisco 

!--- ピア 150.150.150.2 の対象トラフィック。

match address 170
crypto map ETH0 18 ipsec-isakmp

!--- ピアを設定します。 

set peer 150.150.150.3

!--- このトンネルに使用する IPSec トランスフォーム セット。

set transform-set 180cisco 

!--- ピア 150.150.150.3 の対象トラフィック。

match address 180
crypto map ETH0 19 ipsec-isakmp

!--- ピアを設定します。 

set peer 150.150.150.4

!--- このトンネルに使用する IPSec トランスフォーム セット。

set transform-set 190cisco

!--- ピア 150.150.150.4 の対象トラフィック。
 
match address 190
!
interface Ethernet0
ip address 150.150.150.1 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
no mop enabled

!--- インターフェイスに暗号マップを適用します。

crypto map ETH0
!
interface Serial0
ip address 160.160.160.1 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no fair-queue
!
ip classless
ip route 170.170.170.0 255.255.255.0 150.150.150.2
ip route 180.180.180.0 255.255.255.0 150.150.150.3
ip route 190.190.190.0 255.255.255.0 150.150.150.4
no ip http server
!

!--- yertle からの暗号化対象トラフィックを示すアクセス リスト。

access-list 170 permit ip 160.160.160.0 0.0.0.255 170.170.170.0 0.0.0.255

!--- thidwick からの暗号化対象トラフィックを示すアクセス リスト。

access-list 180 permit ip 160.160.160.0 0.0.0.255 180.180.180.0 0.0.0.255

!--- sam-i-am からの暗号化対象トラフィックを示すアクセス リスト。

access-list 190 permit ip 160.160.160.0 0.0.0.255 190.190.190.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
end

sam-I-am の設定

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Sam-I-am
!
enable secret 5 $1$HDyw$qubSJdqfIC0f1VLvHmg/P0
enable password ww
!
ip subnet-zero
!
isdn switch-type basic-5ess
isdn voice-call-failure 0
cns event-service server

!--- ハブの IKE ポリシーおよび事前共有キーを設定します。

crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco190 address 150.150.150.1 

!--- IPSec パラメータを設定します。
!--- IPSec トランスフォーム セット。

crypto ipsec transform-set 190cisco esp-des esp-md5-hmac 

!--- ハブ サイトの暗号マップ定義。

crypto map ETH0 19 ipsec-isakmp

!--- ピアを設定します。 

set peer 150.150.150.1

!--- IPSec トランスフォーム セット。

set transform-set 190cisco

!--- ピア 150.150.150.1(ハブ サイト)の対象トラフィック。
 
match address 190
!
interface Ethernet0
ip address 150.150.150.4 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
no mop enabled

!--- インターフェイスに暗号マップを適用します。

crypto map ETH0
!
interface Serial0
ip address 190.190.190.1 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no fair-queue
!
ip classless
ip route 160.160.160.0 255.255.255.0 150.150.150.1
no ip http server

!--- ハブ サイト(dr_whoovie)への
!--- 暗号化対象トラフィックを示すアクセス リスト

access-list 190 permit ip 190.190.190.0 0.0.0.255 160.160.160.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end

thidwick の設定

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname thidwick
!
enable secret 5 $1$Pcpo$fj4FNS1dEDY9lGg3Ne6FK1
enable password ww
!
ip subnet-zero
!
isdn switch-type basic-5ess
isdn voice-call-failure 0
cns event-service server

!--- ハブの IKE ポリシーおよび事前共有キーを設定します。

crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco180 address 150.150.150.1 

!--- IPSec パラメータを設定します。
!--- IPSec トランスフォーム セット。

crypto ipsec transform-set 180cisco esp-des esp-md5-hmac 

!--- ハブ サイトの暗号マップ定義。

crypto map ETH0 18 ipsec-isakmp

!--- ピアを設定します。
 
set peer 150.150.150.1

!--- IPSec トランスフォーム セット。

set transform-set 180cisco

!--- ピア 150.150.150.1(ハブ サイト)の対象トラフィック。
 
match address 180
!
interface Ethernet0
ip address 150.150.150.3 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
no mop enabled

!--- インターフェイスに暗号マップを適用します。

crypto map ETH0
!
interface Serial1
ip address 180.180.180.1 255.255.255.0
no ip directed-broadcast
clockrate 4000000
!
interface BRI0
no ip address
no ip directed-broadcast
shutdown
isdn switch-type basic-5ess
!
ip classless
ip route 160.160.160.0 255.255.255.0 150.150.150.1
no ip http server

!--- ハブ サイト(dr_whoovie)への
!--- 暗号化対象トラフィックを示すアクセス リスト

access-list 180 permit ip 180.180.180.0 0.0.0.255 160.160.160.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end

yertle の設定

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname yertle
!
enable secret 5 $1$me5Q$2kF5zKlPPTvHEBdGiEZ9m/
enable password ww
!
ip subnet-zero
!
cns event-service server

!--- ハブの IKE ポリシーおよび事前共有キーを設定します。

crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco170 address 150.150.150.1 

!--- IPSec パラメータを設定します。
!--- IPSec トランスフォーム セット。

crypto ipsec transform-set 170cisco esp-des esp-md5-hmac

!--- ハブ サイトの暗号マップ定義。

crypto map ETH0 17 ipsec-isakmp 

!--- ピアを設定します。
 
set peer 150.150.150.1

!--- IPSec トランスフォーム セット。

set transform-set 170cisco

!--- ピア 150.150.150.1(ハブ サイト)の対象トラフィック。
 
match address 170
!
interface Ethernet0
ip address 150.150.150.2 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
no mop enabled

!--- インターフェイスに暗号マップを適用します。

crypto map ETH0
!
interface Serial0
no ip address
no ip directed-broadcast
no ip mroute-cache
shutdown
no fair-queue
!
interface Serial1
ip address 170.170.170.1 255.255.255.0
no ip directed-broadcast
!
ip classless
ip route 160.160.160.0 255.255.255.0 150.150.150.1
no ip http server

!--- ハブ サイト(dr_whoovie)への
!--- 暗号化対象トラフィックを示すアクセス リスト

access-list 170 permit ip 170.170.170.0 0.0.0.255 160.160.160.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
tftp-server flash:/c2500-jos56i-l.120-7.T
tftp-server flash:c2500-jos56i-l.120-7.T
tftp-server flash:
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end

確認

このセクションでは、設定が正しく動作していることを確認するために使用できる情報を提供します。

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)でサポートされています。このツールを使用すると、show コマンドの出力を分析できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show crypto ipsec sa - フェーズ 2 セキュリティ結合を表示します。

  • show crypto isakmp sa - フェーズ 1 セキュリティ結合を表示します。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を説明します。

トラブルシューティングのためのコマンド

注:debug コマンドを使用する前に、『デバッグ コマンドの重要な情報』を参照してください。 

  • debug crypto ipsec - IPSec ネゴシエーションのフェーズ 2 を表示します。

  • debug crypto isakmp - ISAKMP ネゴシエーションのフェーズ 1 を表示します。

  • debug crypto engine - 暗号化されたトラフィックを表示します。

  • clear crypto isakmp - フェーズ 1 関連のセキュリティ結合をクリアします。

  • clear crypto sa - フェーズ 2 関連のセキュリティ結合をクリアします。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 14133