セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

IPSec ルータ間の フルメッシュの設定方法

2003 年 12 月 1 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2005 年 2 月 17 日) | フィードバック

概要

この設定例は、3 台のルータ間のフルメッシュ暗号化を示しています。つまり、各ルータは 2 つのピアそれぞれの背後にあるネットワークに対して、1つずつ暗号化マップを使用しています。

暗号化は、次の方向で実行されます。

  • 160.160.160.x ネットワークから 170.170.170.x ネットワークへ

  • 160.160.160.x ネットワークから 180.180.180.x ネットワークへ

  • 170.170.170.x ネットワークから 180.180.180.x ネットワークへ

ハードウェアとソフトウェアのバージョン

この設定を実装するには、次のものが必要です。

  • Cisco IOS® ソフトウェア リリース 12.0.7.T (C2500 - ios561-l.120-7.T)

  • Cisco 2500 ルータ

ネットワークダイアグラム



 

 

設定

Dr_Whoovie の設定
Current configuration:

 !

 version 12.0

 service timestamps debug uptime

 service timestamps log uptime

 no service password-encryption

 !

 hostname dr_whoovie

 !

 enable secret 5 $1$KxKv$cbqKsZtQTLJLGPN.tErFZ1

 enable password ww

 !

 ip subnet-zero

 !

 cns event-service server

 !

 !--- IKE ポリシー

 crypto isakmp policy 1

 authentication pre-share

 crypto isakmp key cisco123 address 150.150.150.3 

 crypto isakmp key cisco123 address 150.150.150.2 

 !

 !--- IPSec ポリシー

 crypto ipsec transform-set 170cisco esp-des esp-md5-hmac 

 crypto ipsec transform-set 180cisco esp-des esp-md5-hmac 

 !

 crypto map ETH0 17 ipsec-isakmp 

 set peer 150.150.150.2

 set transform-set 170cisco

 !--- 暗号化プロセスに 160.160.160.x から 170.170.170.x までのネットワークを

 !--- 含めます。 

 match address 170

 crypto map ETH0 18 ipsec-isakmp 

 set peer 150.150.150.3

 set transform-set 180cisco 

 !--- 暗号化プロセスに 160.160.160.x から 180.180.180.x までのネットワークを

 !--- 含めます。

 match address 180

 !

 interface Ethernet0

 ip address 150.150.150.1 255.255.255.0

 no ip directed-broadcast

 no ip route-cache

 no ip mroute-cache

 no mop enabled

 crypto map ETH0

 !

 interface Ethernet1

 no ip address

 no ip directed-broadcast

 shutdown

 !

 interface Serial0

 ip address 160.160.160.1 255.255.255.0

 no ip directed-broadcast

 no ip mroute-cache

 no fair-queue

 !

 interface Serial1

 no ip address 

 no ip directed-broadcast

 clockrate 4000000

 !

 ip classless

 ip route 170.170.170.0 255.255.255.0 150.150.150.2

 ip route 180.180.180.0 255.255.255.0 150.150.150.3

 no ip http server

 !

 !--- 暗号化プロセスに 160.160.160.x から 170.170.170.x までの

 !--- ネットワークを含めます。

 access-list 170 permit ip 160.160.160.0 0.0.0.255 170.170.170.0 0.0.0.255

 !--- 暗号化プロセスに 160.160.160.x から 180.180.180.x までの

 !--- ネットワークを含めます。

 access-list 180 permit ip 160.160.160.0 0.0.0.255 180.180.180.0 0.0.0.255

 dialer-list 1 protocol ip permit

 dialer-list 1 protocol ipx permit

 !

 line con 0

 transport input none

 line aux 0

 line vty 0 4

 password ww

 login

 !

 end

 

Yertle の設定
Current configuration:

 !

 version 12.0

 service timestamps debug uptime

 service timestamps log uptime

 no service password-encryption

 !

 hostname yertle

 !

 enable secret 5 $1$me5Q$2kF5zKlPPTvHEBdGiEZ9m/

 enable password ww

 !

 ip subnet-zero

 !

 cns event-service server

 !

 !--- IKE ポリシー

 crypto isakmp policy 1

 authentication pre-share

 crypto isakmp key cisco123 address 150.150.150.3 

 crypto isakmp key cisco123 address 150.150.150.1 

 !

 !--- IPSec ポリシー

 crypto ipsec transform-set 160cisco esp-des esp-md5-hmac 

 crypto ipsec transform-set 180cisco esp-des esp-md5-hmac 

 !

 crypto map ETH0 16 ipsec-isakmp 

 set peer 150.150.150.1

 set transform-set 160cisco

 !--- 暗号化プロセスに 170.170.170.x から 160.160.160.x までの

 !--- ネットワークを含めます。 

 match address 160

 crypto map ETH0 18 ipsec-isakmp 

 set peer 150.150.150.3

 set transform-set 180cisco 

 !--- 暗号化プロセスに 170.170.170.x から 180.180.180.x までの

 !--- ネットワークを含めます。 

 match address 180

 !

 interface Ethernet0

 ip address 150.150.150.2 255.255.255.0

 no ip directed-broadcast

 no ip route-cache

 no ip mroute-cache

 no mop enabled

 crypto map ETH0

 !

 interface Serial0

 no ip address

 no ip directed-broadcast

 no ip mroute-cache

 shutdown

 no fair-queue

 !

 interface Serial1

 ip address 170.170.170.1 255.255.255.0

 no ip directed-broadcast

 !

 ip classless

 ip route 160.160.160.0 255.255.255.0 150.150.150.1

 ip route 180.180.180.0 255.255.255.0 150.150.150.3

 no ip http server

 !

 !--- 暗号化プロセスに 170.170.170.x から 160.160.160.x までの

 !--- ネットワークを含めます。 

 access-list 160 permit ip 170.170.170.0 0.0.0.255 160.160.160.0 0.0.0.255

 !--- 暗号化プロセスに 170.170.170.x から 180.180.180.x までの

 !--- ネットワークを含めます。 

 access-list 180 permit ip 170.170.170.0 0.0.0.255 180.180.180.0 0.0.0.255

 dialer-list 1 protocol ip permit

 dialer-list 1 protocol ipx permit

 !

 line con 0

 transport input none

 line aux 0

 line vty 0 4

 password ww

 login

 !

 end

 

Thidwick の設定
Current configuration:

 !

 version 12.0

 service timestamps debug uptime

 service timestamps log uptime

 no service password-encryption

 !

 hostname thidwick

 !

 enable secret 5 $1$Pcpo$fj4FNS1dEDY9lGg3Ne6FK1

 enable password ww

 !

 ip subnet-zero

 !

 isdn switch-type basic-5ess

 isdn voice-call-failure 0

 cns event-service server

 !

 !--- IKE ポリシー

 crypto isakmp policy 1

 authentication pre-share

 crypto isakmp key cisco123 address 150.150.150.1 

 crypto isakmp key cisco123 address 150.150.150.2 

 !

 !--- IPSec ポリシー

 crypto ipsec transform-set 160cisco esp-des esp-md5-hmac 

 crypto ipsec transform-set 170cisco esp-des esp-md5-hmac 

 !

 crypto map ETH0 16 ipsec-isakmp 

 set peer 150.150.150.1

 set transform-set 160cisco

 !--- 暗号化プロセスに 180.180.180.x から 160.160.160.x までの

 !--- ネットワークを含めます。  

 match address 160

 crypto map ETH0 17 ipsec-isakmp 

 set peer 150.150.150.2

 set transform-set 170cisco 

 !--- 暗号化プロセスに 180.180.180.x から 170.170.170.x までの

 !--- ネットワークを含めます。 

 match address 170

 !

 interface Ethernet0

 ip address 150.150.150.3 255.255.255.0

 no ip directed-broadcast

 no ip route-cache

 no ip mroute-cache

 no mop enabled

 crypto map ETH0

 !

 interface Serial0

 no ip address

 no ip directed-broadcast

 no ip mroute-cache

 no fair-queue

 clockrate 4000000

 !

 interface Serial1

 ip address 180.180.180.1 255.255.255.0

 no ip directed-broadcast

 clockrate 4000000

 !

 interface BRI0

 no ip address

 no ip directed-broadcast

 shutdown

 isdn switch-type basic-5ess

 !

 ip classless

 ip route 160.160.160.0 255.255.255.0 150.150.150.1

 ip route 170.170.170.0 255.255.255.0 150.150.150.2

 no ip http server

 !

 !--- 暗号化プロセスに 180.180.180.x から 160.160.160.x までの

 !--- ネットワークを含めます。 

 access-list 160 permit ip 180.180.180.0 0.0.0.255 160.160.160.0 0.0.0.255

 !--- 暗号化プロセスに 180.180.180.x から 170.170.170.x までの

 !--- ネットワークを含めます。 

 access-list 170 permit ip 180.180.180.0 0.0.0.255 170.170.170.0 0.0.0.255

 dialer-list 1 protocol ip permit

 dialer-list 1 protocol ipx permit

 !

 line con 0

 transport input none

 line aux 0

 line vty 0 4

 password ww

 login

 !

 end

 

debug コマンドと show コマンド

debug コマンドを投入する前に、デバッグ コマンドに関する重要事項に目を通してください。

  • debug crypto ipsec: フェーズ 2 の IPSec ネゴシエーションを表示する

  • debug crypto isakmp: フェーズ 1 の ISAKMP ネゴシエーションを表示する

  • debug crypto engine: 暗号化されているトラフィックを表示する

  • clear crypto isakmp: フェーズ 1 に関連するセキュリティ アソシエーション(SA)を消去する

  • clear crypto sa: フェーズ 2 に関連する SA を消去する

  • show crypto ipsec sa: 現在の [IPSec] SAによって使用されている設定値を表示する

  • show crypto isakmp sa: ピアの現在の IKE SA をすべて表示する


関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 14134