セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

NAT を使用した IPSec/GRE の設定方法

2003 年 6 月 1 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 8 月 29 日) | フィードバック

目次


概要

この設定例は、generic routing encapsulation(GRE)/IPsec トンネルがネットワークアドレス変換(NAT)を稼動しているファイアウォールを通過する IPSecurity (IPSec)上に GRE を設定する方法を示しています。

注: これは、ポートアドレス変換(PAT)では動作しません。

この種の設定は、IPX (ここでの例では)やルーティングアップデートなどの通常はファイアウォールを通過しないトラフィックをトンネルし暗号化するために使用できます。この例では、LAN セグメント上のデバイスからトラフィックが生成されたときに(IPSec ルータからの拡張 IP/IPX ping は除く)、2612 と 3660 間のトンネルだけが稼動します。IP/IPX 接続は、2513A と 2513B 間で IP/IPX ping を使用してテストされました。

ハードウェアとソフトウェアのバージョン

この設定は、次のソフトウェア バージョンを使用して開発およびテストされました。

  • Cisco IOS® 12.0.7.T

ネットワークダイアグラム

ネットワークダイアグラムの注記

  • 10.2.2.1 から 10.3.3.1 (IPX ネットワーク BB)への GRE トンネル 
  • 10.1.1.2 (99.99.99.12) から 99.99.99.2 への IPSec トンネル

設定

デバイス 2513A
ipx routing 00e0.b064.20c1
!
interface Ethernet0
ip address 10.2.2.2 255.255.255.0 no ip directed-broadcast ipx network AA ! ip route 0.0.0.0 0.0.0.0 10.2.2.1

2621
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname goss-2621
!
ip subnet-zero
!
ip audit notify log
ip audit po max-events 100
ipx routing 0030.1977.8f80
isdn voice-call-failure 0
cns event-service server
!
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key cisco123 address 99.99.99.2
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap local-address FastEthernet0/1
crypto map mymap 10 ipsec-isakmp
set peer 99.99.99.2
set transform-set myset
match address 101
! controller T1 1/0 ! interface Tunnel0 ip address 192.168.100.1 255.255.255.0 no ip directed-broadcast ipx network BB
tunnel source FastEthernet0/0
tunnel destination 10.3.3.1
crypto map mymap
! interface FastEthernet0/0 ip address 10.2.2.1 255.255.255.0 no ip directed-broadcast duplex auto speed auto ipx network AA ! interface FastEthernet0/1 ip address 10.1.1.2 255.255.255.0 no ip directed-broadcast duplex auto speed auto crypto map mymap ! ip classless ip route 10.3.3.0 255.255.255.0 Tunnel0 ip route 10.3.3.1 255.255.255.255 10.1.1.1 ip route 99.99.99.0 255.255.255.0 10.1.1.1 no ip http server ! access-list 101 permit gre host 10.2.2.1 host 10.3.3.1 ! line con 0 transport input none line aux 0 line vty 0 4 ! no scheduler allocate end

PIX
ip address outside 99.99.99.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
global (outside) 1 99.99.99.50-99.99.99.60
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 99.99.99.12 10.1.1.2 netmask 255.255.255.255 0 0
conduit permit esp host 99.99.99.12 host 99.99.99.2
conduit permit udp host 99.99.99.12 eq isakmp host 99.99.99.2

route outside 0.0.0.0 0.0.0.0 99.99.99.2 1
route inside 10.2.2.0 255.255.255.0 10.1.1.2 1

3660
version 12.0
service timestamps debug datetime
service timestamps log uptime
no service password-encryption
!
hostname goss-e4-3660
!
memory-size iomem 30
ip subnet-zero
no ip domain-lookup
!
ipx routing 0030.80f2.2950
cns event-service server
!
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key cisco123 address 99.99.99.12
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap local-address FastEthernet0/0
crypto map mymap 10 ipsec-isakmp
set peer 99.99.99.12
set transform-set myset
match address 101
! interface Tunnel0 ip address 192.168.100.2 255.255.255.0 no ip directed-broadcast ipx network BB
tunnel source FastEthernet0/1
tunnel destination 10.2.2.1
crypto map mymap
! interface FastEthernet0/0 ip address 99.99.99.2 255.255.255.0 no ip directed-broadcast ip nat outside duplex auto speed auto crypto map mymap ! interface FastEthernet0/1 ip address 10.3.3.1 255.255.255.0 no ip directed-broadcast ip nat inside duplex auto speed auto ipx network CC ! ip nat pool 3660-nat 99.99.99.70 99.99.99.80 netmask 255.255.255.0 ip nat inside source list 1 pool 3660-nat ip classless ip route 0.0.0.0 0.0.0.0 Tunnel0 ip route 10.2.2.1 255.255.255.255 99.99.99.1 ip route 99.99.99.12 255.255.255.255 99.99.99.1 no ip http server ! access-list 1 permit 10.3.3.0 0.0.0.255 access-list 101 permit gre host 10.3.3.1 host 10.2.2.1 ! line con 0 transport input none line aux 0 line vty 0 4 login ! end

Device 2513B
ipx routing 00e0.b063.e811
!
interface Ethernet0
ip address 10.3.3.2 255.255.255.0 no ip directed-broadcast ipx network CC ! ip route 0.0.0.0 0.0.0.0 10.3.3.1

debug コマンドと show コマンド

debug コマンドを投入する前に、デバッグ コマンドに関する重要事項に目を通してください。

show コマンド

  • show crypto ipsec sa: フェーズ 2 セキュリティ アソシエーション(SA)を表示する

  • show crypto isakmp sa: フェーズ 1 SA を表示する

  • show crypto engine connections active [slot | rsm | vip]: すべての暗号化エンジンに対して現在アクティブな暗号化セッション接続を表示する

    オプション:
  • show interfaces tunnel number: トンネル インタフェース情報を表示する

  • show ip route: すべてのスタティック IP ルート、または、認証、許可、およびアカウンティング(AAA)ルート ダウンロード機能を使用してインストールされたスタティック IP ルートを表示する

  • show ipx route: IPX ルーティング テーブルの内容を表示する

debug コマンド

  • debug crypto engine: 暗号化されているトラフィックを表示する

  • debug crypto ipsec: フェーズ 2 の IPSec ネゴシエーションを表示する

  • debug crypto isakmp: フェーズ 1 の Internet Security Association and Key Management Protocol (ISAKMP)ネゴシエーションを表示する

    オプション:
  • debug ip routing: Routing Information Protocol (RIP) ルーティング テーブルの更新とルートキャッシュ更新に関する情報を表示する

  • debug ipx routing {activity | events}: ルータが送受信する IPX ルーティング パケットに関する情報を表示する

SAの消去

  • clear crytpo ipsec: すべての IPSec SA を消去する

  • clear crypto isakmp: IKE SA を消去する

    オプション:
  • clear ipx route *: IPX ルーティング テーブルからすべてのルートを削除する


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 14137