セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

AES 暗号化を使用した IOS-IOS 間 IPSec の設定

2004 年 9 月 14 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 2 月 2 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      設定例
確認
トラブルシューティング
      トラブルシューティングのためのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Advanced Encryption Standard(AES)暗号化を使用した、IOS-IOS 間 IPSec トンネルの設定例を説明します。

前提条件

要件

AES 暗号化サポートは、Cisco IOS(R) 12.2(13)T で導入されました。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco IOS ソフトウェア リリース 12.3(10)

  • Cisco 1721 ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメント内で使用されているデバイスはすべて、クリアな状態(デフォルト)から設定作業を始めています。対象のネットワークが実稼動中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供します。

注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool を使用してください(登録ユーザ専用)。

設定

このドキュメントでは、次に示す設定を使用しています。

ルータ 1721-A

R-1721-A#show run
 Building configuration...
 Current configuration : 1706 bytes
 !
 ! Last configuration change at 00:46:32 UTC Fri Sep 10 2004
 ! NVRAM config last updated at 00:45:48 UTC Fri Sep 10 2004
 !
 version 12.3
 service timestamps debug datetime msec
 service timestamps log datetime msec
 no service password-encryption
 !
 hostname R-1721-A
 !
 boot-start-marker
 boot-end-marker
 !
 !
 memory-size iomem 15
 mmi polling-interval 60
 no mmi auto-configure
 no mmi pvc
 mmi snmp-timeout 180
 no aaa new-model
 ip subnet-zero
 ip cef
 !
 !
 !
 ip audit po max-events 100
 no ip domain lookup
 no ftp-server write-enable
 !
 !
 ! 
 !
 
 !--- Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ポリシーを定義します。
 
 crypto isakmp policy 10
 
 !--- IKE ポリシー内での暗号化アルゴリズムとして
 !--- 256 ビットの AES を指定します。
 
  encr aes 256
 
 !--- 事前共有キー認証を使用するように指定します。
 
  authentication pre-share
 
 !--- 共有秘密を指定します。
 
 crypto isakmp key cisco123 address 10.48.66.146
 !
 !
 
 !--- IPSec トランスフォーム セットを定義します。
 
 crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac 
 !
 
 !--- IKE を使用して Security Association(SA; セキュリティ アソシエーション)を確立する
 !--- 暗号マップのエントリ名「aesmap」を定義します。
 
 crypto map aesmap 10 ipsec-isakmp 
 
 !--- リモート IPSec ピアを指定します。
 
  set peer 10.48.66.146
 
 !--- この暗号マップ エントリに使用可能な
 !--- トランスフォーム セットを定義します。
 
  set transform-set aesset 
 
 !--- IPSec によって保護されるトラフィックを定義する
 !--- アクセス リストの名前を指定します。
 
  match address acl_vpn
 !
 !
 !
 interface ATM0
  no ip address
  shutdown
  no atm ilmi-keepalive
  dsl equipment-type CPE
  dsl operating-mode GSHDSL symmetric annex A
  dsl linerate AUTO
 !
 interface Ethernet0
  ip address 192.168.100.1 255.255.255.0
  ip nat inside
  half-duplex
 !
 interface FastEthernet0
  ip address 10.48.66.147 255.255.254.0
  ip nat outside
  speed auto
 
 !--- インターフェイスに暗号マップを適用します。
 
  crypto map aesmap
 !
 ip nat inside source list acl_nat interface FastEthernet0 overload
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.48.66.1
 ip route 192.168.200.0 255.255.255.0 FastEthernet0
 no ip http server
 no ip http secure-server
 !
 ip access-list extended acl_nat
 
 !--- 保護されたトラフィックを NAT 処理から除外します。
 
  deny   ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
  permit ip 192.168.100.0 0.0.0.255 any
 
 ! --- IPSec によって保護されるトラフィックを定義するアクセス リストです。
 
 ip access-list extended acl_vpn
  permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
 !
 !
 line con 0
  exec-timeout 0 0
 line aux 0
 line vty 0 4
 !
 end
 R-1721-A#

ルータ 1721-B

R-1721-B#show run
 Building configuration...
 Current configuration : 1492 bytes
 !
 ! Last configuration change at 14:11:41 UTC Wed Sep 8 2004
 !
 version 12.3
 service timestamps debug datetime msec
 service timestamps log datetime msec
 no service password-encryption
 !
 hostname R-1721-B
 !
 boot-start-marker
 boot-end-marker
 !
 !
 memory-size iomem 15
 mmi polling-interval 60
 no mmi auto-configure
 no mmi pvc
 mmi snmp-timeout 180
 no aaa new-model
 ip subnet-zero
 ip cef
 !
 !
 !
 ip audit po max-events 100
 no ip domain lookup
 no ftp-server write-enable
 !
 !
 !
 ! 
 !
 
 !--- IKE ポリシーを定義します。
 
 crypto isakmp policy 10
 
 !--- IKE ポリシー内での暗号化アルゴリズムとして
 !--- 256 ビットの AES を指定します。
 
  encr aes 256
 
 !--- 事前共有キー認証を使用するように指定します。
 
  authentication pre-share
 
 !--- 共有秘密を指定します。
 
 crypto isakmp key cisco123 address 10.48.66.147
 !
 !
 
 !--- IPSec トランスフォーム セットを定義します。
 
 crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac 
 !
 
 !--- IKE を使用して Security Association(SA; セキュリティ アソシエーション)を確立する
 !--- 暗号マップのエントリ名「aesmap」を定義します。
 
 crypto map aesmap 10 ipsec-isakmp 
 
 !--- リモート IPSec ピアを指定します。
 
  set peer 10.48.66.147
 
 !--- この暗号マップ エントリに使用可能な
 !--- トランスフォーム セットを定義します。
 
  set transform-set aesset 
 
 !--- IPSec によって保護されるトラフィックを定義する
 !--- アクセス リストの名前を指定します。
 
  match address acl_vpn
 !
 !
 !
 interface Ethernet0
  ip address 192.168.200.1 255.255.255.0
  ip nat inside
  half-duplex
 !
 interface FastEthernet0
  ip address 10.48.66.146 255.255.254.0
  ip nat outside
  speed auto
 
 !--- インターフェイスに暗号マップを適用します。
 
  crypto map aesmap
 !
 ip nat inside source list acl_nat interface FastEthernet0 overload
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.48.66.1
 ip route 192.168.100.0 255.255.255.0 FastEthernet0
 no ip http server
 no ip http secure-server
 !
 ip access-list extended acl_nat
 
 !--- 保護されたトラフィックを NAT 処理から除外します。
 
  deny   ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
  permit ip 192.168.200.0 0.0.0.255 any
 
 ! --- IPSec によって保護されるトラフィックを定義するアクセス リストです。
 
 ip access-list extended acl_vpn
  permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
 !
 !
 line con 0
  exec-timeout 0 0
 line aux 0
 line vty 0 4
 !
 end
 R-1721-B#

確認

このセクションでは、設定が正しく動作していることを確認するために使用できる情報を提供します。

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)でサポートされています。このツールを使用すると、show コマンドの出力を分析できます。

一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show crypto isakmp sa - Internet Security Association and Key Management Protocol(ISAKMP)SA の状態を表示します。

    ルータ 1721-A

    R-1721-A#show crypto isakmp sa     
     dst             src             state          conn-id slot
     10.48.66.147    10.48.66.146    QM_IDLE              1    0

    ルータ 1721-B

    R-1721-B#show crypto isakmp sa     
     dst             src             state          conn-id slot
     10.48.66.147    10.48.66.146    QM_IDLE              1    0

  • show crypto ipsec sa - アクティブなトンネルの統計情報を表示します。

    ルータ 1721-A

    R-1721-A#show crypto ipsec sa
     interface: FastEthernet0
         Crypto map tag: aesmap, local addr. 10.48.66.147
        protected vrf: 
        local  ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
        remote ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0)
        current_peer: 10.48.66.146:500
          PERMIT, flags={origin_is_acl,}
         #pkts encaps: 30, #pkts encrypt: 30, #pkts digest 30
         #pkts decaps: 30, #pkts decrypt: 30, #pkts verify 30
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts compr. failed: 0
         #pkts not decompressed: 0, #pkts decompress failed: 0
         #send errors 0, #recv errors 0
          local crypto endpt.: 10.48.66.147, remote crypto endpt.: 10.48.66.146
          path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
          current outbound spi: 2EB0BA1A
          inbound esp sas:
           spi: 0xFECA28BC(4274661564)
             transform: esp-256-aes esp-sha-hmac ,
             in use settings ={Tunnel, }
             slot: 0, conn id: 2000, flow_id: 1, crypto map: aesmap
             sa timing: remaining key lifetime (k/sec): (4554237/2895)
             IV size: 16 bytes
             replay detection support: Y
          inbound ah sas:
          inbound pcp sas:
          outbound esp sas:
           spi: 0x2EB0BA1A(783333914)
             transform: esp-256-aes esp-sha-hmac ,
             in use settings ={Tunnel, }
             slot: 0, conn id: 2001, flow_id: 2, crypto map: aesmap
             sa timing: remaining key lifetime (k/sec): (4554237/2894)
             IV size: 16 bytes
             replay detection support: Y
          outbound ah sas:
          outbound pcp sas:
     R-1721-A#

    ルータ 1721-B

    R-1721-B#show crypto ipsec sa
     interface: FastEthernet0
         Crypto map tag: aesmap, local addr. 10.48.66.146
        protected vrf: 
        local  ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0)
        remote ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
        current_peer: 10.48.66.147:500
          PERMIT, flags={origin_is_acl,}
         #pkts encaps: 30, #pkts encrypt: 30, #pkts digest 30
         #pkts decaps: 30, #pkts decrypt: 30, #pkts verify 30
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts compr. failed: 0
         #pkts not decompressed: 0, #pkts decompress failed: 0
         #send errors 5, #recv errors 0
          local crypto endpt.: 10.48.66.146, remote crypto endpt.: 10.48.66.147
          path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
          current outbound spi: FECA28BC
          inbound esp sas:
           spi: 0x2EB0BA1A(783333914)
             transform: esp-256-aes esp-sha-hmac ,
             in use settings ={Tunnel, }
             slot: 0, conn id: 2000, flow_id: 1, crypto map: aesmap
             sa timing: remaining key lifetime (k/sec): (4583188/2762)
             IV size: 16 bytes
             replay detection support: Y
          inbound ah sas:
          inbound pcp sas:
          outbound esp sas:
           spi: 0xFECA28BC(4274661564)
             transform: esp-256-aes esp-sha-hmac ,
             in use settings ={Tunnel, }
             slot: 0, conn id: 2001, flow_id: 2, crypto map: aesmap
             sa timing: remaining key lifetime (k/sec): (4583188/2761)
             IV size: 16 bytes
             replay detection support: Y
          outbound ah sas:
          outbound pcp sas:
     R-1721-B#

  • show crypto engine connections active - SA ごとの暗号化および復号化の合計数を表示します。

    ルータ 1721-A

    R-1721-A#show crypto engine connections active 
       ID Interface       IP-Address      State  Algorithm           Encrypt  Decrypt
        1 FastEthernet0   10.48.66.147    set    HMAC_SHA+AES_256_C        0        0
     2000 FastEthernet0   10.48.66.147    set    HMAC_SHA+AES_256_C        0       30
     2001 FastEthernet0   10.48.66.147    set    HMAC_SHA+AES_256_C       30        0

    ルータ 1721-B

    R-1721-B#show crypto engine connections active 
       ID Interface       IP-Address      State  Algorithm           Encrypt  Decrypt
        1 FastEthernet0   10.48.66.146    set    HMAC_SHA+AES_256_C        0        0
     2000 FastEthernet0   10.48.66.146    set    HMAC_SHA+AES_256_C        0       30
     2001 FastEthernet0   10.48.66.146    set    HMAC_SHA+AES_256_C       30        0

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を説明します。

トラブルシューティングのためのコマンド

注:debug コマンドを使用する前に、『デバッグ コマンドの重要な情報』を参照してください。

  • debug crypto ipsec - IPSec イベントを表示します。

  • debug crypto isakmp - IKE イベントに関するメッセージを表示します。

  • debug crypto engine - 暗号化エンジンからの情報を表示します。

IPSec のトラブルシューティングの詳細については、『IP Security のトラブルシューティング - debug コマンドの理解と使用』を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 43069