セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

VPN サービス モージュールを搭載した Catalyst 6500 と Cisco IOS ルータ間の IPSec LAN-to-LAN トンネルの設定例

2006 年 2 月 2 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 1 月 14 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
背景説明
設定
      ネットワーク ダイアグラム
      レイヤ 2 のアクセス ポートまたはトランク ポートを使用した IPSec の設定
      ルーテッド ポートを使用した IPSec の設定
確認
トラブルシューティング
      トラブルシューティングのためのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントは、VPN Acceleration サービス モジュールを搭載した Cisco Catalyst 6500 シリーズ スイッチと
Cisco IOS(R) ルータの間に IPSec LAN-to-LAN トンネルを作成する方法について説明します。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • IPSec VPN サービス モジュールを搭載した、Catalyst 6000 スーパーバイザ エンジン用 Cisco IOS ソフトウェア リリース 12.2(14)SY2

  • Cisco IOS ソフトウェア リリース 12.3(4)T を実行する Cisco 3640 ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されています。このドキュメント内で使用されているデバイスは、すべてクリアな(デフォルト)設定で作業が開始されています。対象のネットワークが実稼動中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

Catalyst 6500 VPN サービス モジュールには 2 つの Gigabit Ethernet(GE; ギガビット イーサネット)ポートがありますが、外部から見えるコネクタはありません。 これらのポートは、設定の目的にのみアドレスを指定できます。 ポート 1 は、常に内部ポートです。 このポートでは、内部ネットワークと送受信されるすべてのトラフィックが処理されます。 2 つ目のポート(ポート 2)では、WAN や外部ネットワークと送受信されるすべてのトラフィックが処理されます。 2 つのポートは常に 802.1Q トランキング モードに設定されます。 VPN サービス モジュールでは、パケット フローに Bump In The Wire (BITW)と呼ばれる技術が使用されます。

パケットは、1 対の VLAN、1 つのレイヤ 3 内部 VLAN、および 1 つのレイヤ 2 外部 VLAN によって処理されます。 内部から外部へ伝送されるパケットは、Encoded Address Recognition Logic(EARL)という方式で内部 VLAN へルーティングされます。 VPN サービス モジュールでは、パケットを暗号化した後、対応する外部 VLAN が使用されます。 復号化プロセスでは、外部から内部へ入るパケットは外部 VLAN を使用して VPN サービス モジュールにブリッジされます。 VPN サービス モジュールがパケットを復号化し、VLAN を対応する内部 VLAN にマッピングすると、パケットは EARL によって適切な LAN ポートへルーティングされます。 crypto connect vlan コマンドを発行することによって、レイヤ 3 内部 VLAN とレイヤ 2 外部 VLAN が接続されます。 Catalyst 6500 シリーズ スイッチには、3 種類のポートがあります。

  • ルーテッド ポート - デフォルトでは、すべてのイーサネット ポートはルーテッド ポートです。 これらのポートには、隠し VLAN が 1 つ関連付けられています。

  • アクセス ポート - これらのポートには、外部 VLAN または VLAN Trunk Protocol(VTP)VLAN が 1 つ関連付けられています。 定義済み VLAN には、複数のポートを関連付けることができます。

  • トランク ポート - これらのポートは多数の外部 VLAN または VTP VLAN を保持しており、すべてのパケットが 802.1Q ヘッダーによってカプセル化されます。

設定

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供します。

注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool を使用してください(登録ユーザ専用)。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のダイヤグラムに示すネットワーク設定を使用します。

lan_lan_vam_router-1.gif

レイヤ 2 のアクセス ポートまたはトランク ポートを使用した IPSec の設定

外部物理インターフェイスにレイヤ 2 のアクセス ポートまたはトランク ポートを使用して IPSec を設定するには、次のステップを実行します。

  1. 内部 VLAN を VPN サービス モジュールの内部ポートに追加します。

    VPN サービス モジュールがスロット 4 にあると仮定します。内部 VLAN に VLAN 100、外部 VLAN に VLAN 209 を使用します。 VPN サービス モジュールの GE ポートを次のように設定します。

     interface GigabitEthernet4/1
      no ip address
      flowcontrol receive on
      flowcontrol send off
      switchport
      switchport trunk encapsulation dot1q
      switchport trunk allowed vlan 1,100,1002-1005
      switchport mode trunk
      cdp enable
     interface GigabitEthernet4/2
      no ip address
      flowcontrol receive on
      flowcontrol send off
      switchport
      switchport trunk encapsulation dot1q
      switchport trunk allowed vlan 1,209,1002-1005
      switchport mode trunk
      cdp enable
      spanning-tree portfast trunk
  2. VLAN 100 インターフェイスと、トンネルが終端するインターフェイス(次に示すように、この場合は interface Vlan 209)を追加します。

     interface Vlan100
      ip address 10.66.79.180 255.255.255.224
     interface Vlan209
      no ip address
      crypto connect vlan 100
     
  3. 外部物理ポートをアクセス ポートまたはトランク ポート(次に示すように、この場合は FastEthernet 3/48)に設定します。

     
     !--- これはアクセス ポートを使用する設定です。
     
     interface FastEthernet3/48
      no ip address
      switchport
      switchport access vlan 209
      switchport mode access
     
     !--- これはトランク ポートを使用する設定です。
     
     interface FastEthernet3/48
      no ip address switchport
      switchport trunk encapsulation dot1q
      switchport mode trunk
     
  4. 暗号設定と、暗号化するトラフィックを定義するための Access Control List(ACL; アクセス コントロール リスト)を作成します。

    1. 次のように、内部ネットワーク 192.168.5.0/24 からリモート ネットワーク 192.168.6.0/24 へ送信されるトラフィックを定義する ACL(この場合は ACL 100)を作成します。

       access-list 100 permit ip 
      192.168.5.0 0.0.0.255
      192.168.6.0 0.0.0.255
    2. 次のように、Internet Security Association and Key Management Protocol(ISAKMP)ポリシーのプロポーザルを定義します。

       crypto isakmp policy 1
       hash md5
       authentication pre-share
       group 2
       
    3. 事前共有キーを使用し、定義するために、(この例では)次のコマンドを発行します。

       crypto isakmp key cisco 
      address 10.66.79.99
    4. 次のように、IPSec プロポーザルを定義します。

       crypto ipsec transform-set 
      cisco esp-des esp-md5-hmac
    5. 次のように、crypto map 文を作成します。

       crypto map cisco 10 ipsec-isakmp
       set peer 10.66.79.99
       set transform-set cisco
       match address 100
       
  5. 次のように、暗号マップを VLAN 100 インターフェイスに適用します。

     interface vlan100
     crypto map cisco
     

次の設定が使用されます。

Catalyst 6500

 
 !--- フェーズ 1 のポリシーを定義します。
 
 crypto isakmp policy 1
  hash md5
  authentication pre-share
  group 2
 crypto isakmp key cisco address 10.66.79.99
 !
 !
 
 !--- この設定の暗号化ポリシーを定義します。
 
 crypto ipsec transform-set cisco esp-des esp-md5-hmac
 !
 
 !--- モード ipsec-isakmp で、ピアの
 !--- スタティック暗号マップ エントリを定義します。 
 !--- この暗号マップ エントリで指定されたトラフィックを保護するため、
 !--- Internet Key Exchange(IKE; インターネット キー エクスチェンジ) 
 !--- を使用して IPSec セキュリティ アソシエーション(SA)が
確立されることが !--- 示されています。
crypto map cisco 10 ipsec-isakmp set peer 10.66.79.99 set transform-set cisco match address 100 ! ! no spanning-tree vlan 100 ! ! ! interface FastEthernet3/1 ip address 192.168.5.1 255.255.255.0 ! !--- これは、VLAN 209 のトラフィックの侵入を !--- 許可する外部レイヤ 2 ポートです。 interface FastEthernet3/48 no ip address switchport switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet4/1 no ip address flowcontrol receive on flowcontrol send off switchport switchport trunk encapsulation dot1q !--- VLAN 100 は Interface VLAN(IVLAN)として定義されています。 switchport trunk allowed vlan 1,100,1002-1005 switchport mode trunk cdp enable ! interface GigabitEthernet4/2 no ip address flowcontrol receive on flowcontrol send off switchport switchport trunk encapsulation dot1q !--- Port VLAN(PVLAN)の設定は、ユーザによる設定や関与なしに !--- VPN サービス モジュールによって透過的に !--- 処理されます。 設定にも表示されません。 !--- : 各 IVLAN には、対応する PVLAN が存在します。 switchport trunk allowed vlan 1,209,1002-1005 switchport mode trunk cdp enable spanning-tree portfast trunk ! interface Vlan1 no ip address shutdown ! !--- これは、セキュア ポートへ送信されるトラフィックを !--- 代行受信するように設定された IVLAN です。セキュア ポートは !--- VPN サービス モジュールの内部ポートであり、
唯一の存在するポートです。
interface Vlan100 ip address 10.66.79.180 255.255.255.224 crypto map cisco !--- これは 、仮想レイヤ 3 インターフェイスであるセキュア ポートです。 !--- このインターフェイスには、意図的にレイヤ 3 の IP アドレスが !--- 設定されていません。 これは 、通常の BITW プロセスです。 !--- BITW を実行するため、IP アドレスがこのインターフェイスから
VLAN 100 に !--- 移動します。 これにより VPN サービス モジュールがパケットのパスに !--- 入ります。
interface Vlan209 no ip address crypto connect vlan 100 ! ip classless !--- デバイスが宛先ネットワークへ到達するように、 !--- ルーティングを設定します。 ip route 0.0.0.0 0.0.0.0 10.66.79.161 ! !--- これは暗号 ACL です。 access-list 100 permit ip
192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255

Cisco IOS ルータ

SV3-2# show run
 Building configuration...
 Current configuration : 1268 bytes
 !
 version 12.3
 service timestamps debug datetime msec
 service timestamps log datetime msec
 no service password-encryption
 !
 hostname SV3-2
 !
 boot-start-marker
 boot-end-marker
 !
 !
 no aaa new-model
 ip subnet-zero
 !
 ip audit notify log
 ip audit po max-events 100
 ip ssh break-string 
 no ftp-server write-enable
 !
 
 !--- フェーズ 1 のポリシーを定義します。
 
 crypto isakmp policy 1
  hash md5
  authentication pre-share
  group 2
 crypto isakmp key cisco address 10.66.79.180
 !
 ! 
 
 !--- この設定の暗号化ポリシーを定義します。
 
 crypto ipsec transform-set cisco esp-des esp-md5-hmac 
 !
 
 !--- モード ipsec-isakmp で、ピアの
 !--- スタティック暗号マップ エントリを定義します。 
この暗号マップ エントリで指定された
 !--- トラフィックを保護するため、IKE を使用して
 !--- IPSec SA が確立されることが
 !--- 示されています。 
 
 
 crypto map cisco 10 ipsec-isakmp 
  set peer 10.66.79.180
  set transform-set cisco 
  match address 100
 !
 !
 
 !--- インターフェイスに暗号マップを適用します。
 
 interface Ethernet0/0
  ip address 10.66.79.99 255.255.255.224
  half-duplex
  crypto map cisco
 !
 interface Ethernet0/1
  ip address 192.168.6.1 255.255.255.0
  half-duplex
  no keepalive
 !
 !
 ip http server
 no ip http secure-server
 ip classless
 
 !--- デバイスが宛先ネットワークへ到達するように、
 !--- ルーティングを設定します。
 
 
 ip route 0.0.0.0 0.0.0.0 10.66.79.97
 !
 !
 
 !--- これは暗号 ACL です。
 
 access-list 100 permit ip 
192.168.6.0 0.0.0.255 192.168.5.0 0.0.0.255
! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 ! end

ルーテッド ポートを使用した IPSec の設定

外部物理インターフェイスにレイヤ 3 ルーテッド ポートを使用して IPSec を設定するには、次のステップを実行します。

  1. 内部 VLAN を VPN サービス モジュールの内部ポートに追加します。

    VPN サービス モジュールがスロット 4 にあると仮定します。内部 VLAN に VLAN 100、外部 VLAN に VLAN 209 を使用します。 VPN サービス モジュールの GE ポートを次のように設定します。

     interface GigabitEthernet4/1
      no ip address
      flowcontrol receive on
      flowcontrol send off
      switchport
      switchport trunk encapsulation dot1q
      switchport trunk allowed vlan 1,100,1002-1005
      switchport mode trunk
      cdp enable
     interface GigabitEthernet4/2
      no ip address
      flowcontrol receive on
      flowcontrol send off
      switchport
      switchport trunk encapsulation dot1q
      switchport trunk allowed vlan 1,209,1002-1005
      switchport mode trunk
      cdp enable
      spanning-tree portfast trunk
  2. VLAN 100 インターフェイスと、トンネルが終端するインターフェイス(次に示すように、この場合は FastEthernet3/48)を追加します。

     interface Vlan100
      ip address 10.66.79.180 255.255.255.224
     interface FastEthernet3/48
      no ip address
      crypto connect vlan 100
     
  3. 暗号設定と、暗号化するトラフィックを定義するための ACL を作成します。

    1. 次のように、内部ネットワーク 192.168.5.0/24 からリモート ネットワーク 192.168.6.0/24 へ送信されるトラフィックを定義する ACL(この場合は ACL 100)を作成します。

       access-list 100 permit ip 
      192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255
    2. 次のように、ISAKMP ポリシー のプロポーザルを定義します。

       crypto isakmp policy 1
       hash md5
       authentication pre-share
       group 2
       
    3. 事前共有キーを使用し、定義するために、(この例では)次のコマンドを発行します。

       crypto isakmp key cisco address 10.66.79.99
       
    4. 次のように、IPSec プロポーザルを定義します。

       crypto ipsec transform-set 
      cisco esp-des esp-md5-hmac
    5. 次のように、crypto map 文を作成します。

       crypto map cisco 10 ipsec-isakmp
        set peer 10.66.79.99
        set transform-set cisco
        match address 100
       
  4. 次のように、暗号マップを VLAN 100 インターフェイスに適用します。

     interface vlan100
     crypto map cisco
     

次の設定が使用されます。

Catalyst 6500

 
 !--- フェーズ 1 のポリシーを定義します。
  
 crypto isakmp policy 1
  hash md5
  authentication pre-share
  group 2
 crypto isakmp key cisco address 10.66.79.99
 !
 !
 
 !--- この設定の暗号化ポリシーを定義します。 
 
 crypto ipsec transform-set cisco esp-des esp-md5-hmac
 !
 
 !--- モード ipsec-isakmp で、ピアの
 !--- スタティック暗号マップ エントリを定義します。 
この暗号マップ エントリで指定された
 !--- トラフィックを保護するため、IKE を使用して
 !--- IPSec SA が確立されることが
 !--- 示されています。
  
 crypto map cisco 10 ipsec-isakmp   
  set peer 10.66.79.99
  set transform-set cisco 
  match address 100
 !
 !
 no spanning-tree vlan 100
 !
 !
 !
 interface FastEthernet3/1
  ip address 192.168.5.1 255.255.255.0
 
 !--- これは 、ルーテッド ポート モードで
設定されたセキュア ポートです。 
 !--- この ルーテッド ポート モードには、レイヤ 3 IP アドレスが
 !--- 設定されていません。 これは 、通常の BITW プロセスです。 
 !--- BITW を実行するため、IP アドレスがこのインターフェイスから 
VLAN 100 に !--- 移動します。 これにより VPN サービス モジュールがパケットのパスに !--- 入ります。 これは レイヤ 2 ポート VLAN であり、 ここには VPN サービス モジュールの !--- 外部ポートも属しています。
interface FastEthernet3/48 no ip address crypto connect vlan 100 ! interface GigabitEthernet4/1 no ip address flowcontrol receive on flowcontrol send off switchport switchport trunk encapsulation dot1q !--- VLAN 100 は IVLAN として定義されています。 switchport trunk allowed vlan 1,100,1002-1005 switchport mode trunk cdp enable ! interface GigabitEthernet4/2 no ip address flowcontrol receive on flowcontrol send off switchport switchport trunk encapsulation dot1q !--- PVLAN の設定は、ユーザによる設定や関与なしに !--- VPN サービス モジュールによって透過的に !--- 処理されます。 設定にも表示されません。 !--- : 各 IVLAN には、対応する PVLAN が存在します。 switchport trunk allowed vlan 1,209,1002-1005 switchport mode trunk cdp enable spanning-tree portfast trunk ! interface Vlan1 no ip address shutdown ! !--- これは、セキュア ポートへ送信されるトラフィックを !--- 代行受信するように設定された IVLAN です。セキュア ポートは !--- VPNサービス モジュールの内部ポートであり、
唯一の存在するポートです。
interface Vlan100 ip address 10.66.79.180 255.255.255.224 crypto map cisco ! ip classless !--- デバイスが宛先ネットワークへ到達するように、 !--- ルーティングを設定します。 ip route 0.0.0.0 0.0.0.0 10.66.79.161 ! !--- これは暗号 ACL です。 access-list 100 permit ip
192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255

Cisco IOS ルータ

SV3-2# show run
 Building configuration...
 Current configuration : 1268 bytes
 !
 version 12.3
 service timestamps debug datetime msec
 service timestamps log datetime msec
 no service password-encryption
 !
 hostname SV3-2
 !
 boot-start-marker
 boot-end-marker
 !
 !
 no aaa new-model
 ip subnet-zero
 !
 ip audit notify log
 ip audit po max-events 100
 ip ssh break-string 
 no ftp-server write-enable
 !
 
 !--- フェーズ 1 のポリシーを定義します。
 
 crypto isakmp policy 1
  hash md5
  authentication pre-share
  group 2
 crypto isakmp key cisco address 10.66.79.180
 !
 ! 
 
 !--- この設定の暗号化ポリシーを定義します。        
 
 crypto ipsec transform-set cisco esp-des esp-md5-hmac 
 !
 
 !--- モード ipsec-isakmp で、ピアの
 !--- スタティック暗号マップ エントリを定義します。 
この暗号マップ エントリで指定された
 !--- トラフィックを保護するため、IKE を使用して
 !--- IPSec SA が確立されることが
 !--- 示されています。
  
 crypto map cisco 10 ipsec-isakmp 
  set peer 10.66.79.180
  set transform-set cisco 
  match address 100
 !
 !
 
 !--- インターフェイスに暗号マップを適用します。
 
 interface Ethernet0/0
  ip address 10.66.79.99 255.255.255.224
  half-duplex
  crypto map cisco
 !
 interface Ethernet0/1
  ip address 192.168.6.1 255.255.255.0
  half-duplex
  no keepalive
 !
 !
 ip http server
 no ip http secure-server
 ip classless
 
 !--- デバイスが宛先ネットワークへ到達するように、
 !--- ルーティングを設定します。
 
 ip route 0.0.0.0 0.0.0.0 10.66.79.97
 !
 !
 
 !--- これは暗号 ACL です。
 
 access-list 100 permit ip 
192.168.6.0 0.0.0.255 192.168.5.0 0.0.0.255
! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 ! end

確認

このセクションでは、設定が正常に動作しているかどうかを確認するための情報について説明します。

アウトプットインタープリタ登録ユーザ専用)では、特定の show コマンドがサポートされています。このツールを使用して、show コマンドの出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show crypto ipsec sa - 現在の IPSec SA が使用している設定を表示します。

  • show crypto isakmp sa - 現在ピアにあるすべての IKE SA を表示します。

  • show crypto vlan - 暗号設定に関連付けられている VLAN を表示します。

  • show crypto eli - VPN サービス モジュールの統計を表示します。

IPSec の確認とトラブルシューティングの詳細については、『IP Security のトラブルシューティング - debug コマンドの理解と使用』を参照してください。

トラブルシューティング

このセクションでは、設定のトラブルシューティングを行うための情報について説明します。

トラブルシューティングのためのコマンド

注:debug  コマンドを実行する前に、『Debug コマンドに関する重要な情報』を参照してください。

  • debug crypto ipsec - IPSec ネゴシエーションのフェーズ 2 を表示します。

  • debug crypto isakmp - ISAKMP ネゴシエーションのフェーズ 1 を表示します。

  • debug crypto engine - 暗号化されたトラフィックを表示します。

  • clear crypto isakmp - フェーズ 1 に関連する SA をクリアします。

  • clear crypto sa - フェーズ 2 に関連する SA をクリアします。

IPSec の確認とトラブルシューティングの詳細については、『IP Security のトラブルシューティング - debug コマンドの理解と使用』を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 26284