セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

LAN のサブネットが重複しているルータ間での IPSec トンネルの設定

2002 年 12 月 1 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 1 月 14 日) | フィードバック

目次


概要

この例では、同じ IP アドレス方式を持つ 2 つの企業の統合をシミュレートします。2 台のルータが VPN トンネルで接続され、各ルータの背後にあるネットワークは同一となっています。あるサイトが他のサイトにあるホストにアクセスする場合、送信元アドレスと送信先アドレスの両方を異なるサブネットに変換するために、ルータ上で NAT が使用されます。注:このような設定は、ネットワーク管理の観点から見ると混乱を招くおそれがあるため、永久的な設定としては推奨しません。 

この例では、サイト A のホスト 172.16.1.2 が同じ IP アドレスを持つサイト B のホストにアクセスする場合、実際のアドレスの 172.16.1.2 ではなく、172.19.1.2 に接続されます。サイト B のホストがサイト A にアクセスする場合には、172.18.1.2 のアドレスに接続されます。ルータ A 上の NAT では、172.16.x.x のアドレスは、172.18.x.x のホスト エントリに一致するように変換されます。ルータ B の NAT では、172.16.x.x を 172.19.x.x に変換します。

注:この設定は、2 つのネットワークの通信でのみ使用できます。インターネット接続には使用できません。インターネットへの接続を追加するには、この 2 つのサイト間の通信の他に別個の接続が必要になります。つまり、それぞれのサイトに別のルータまたはファイアウォールを追加し、ホストには複数の経路を設定する必要があります。

次に、各ルータの暗号機能によって、すでに変換済みのトラフィックがシリアル インターフェイス間で暗号化されます。注:NAT は、ルータでの暗号化の前に処理されます。 

表記法

文書表記の詳細については、「シスコ テクニカル ティップスの表記法」を参照してください。

設定

この項では、この文書で説明する機能を設定するための情報を記載しています。

注:この文書で使用されているコマンドの詳細を調べるには、IOS Command Lookup ツールを使用してください。このツールへのリンクは、この文書の「ツール情報」のセクションにあります。

使用するコンポーネント

この設定は、次に示すソフトウェアとハードウェアのバージョンを使用して作成およびテストされています。

  • Cisco IOS(R) ソフトウェア リリース 12.2(7)C および 12.2.(8)T4
  • Cisco 3620 ルータ
  • Cisco 7000 ルータ

注:この文書で紹介する情報は、特定のラボ環境下にあるデバイスを使って作成 されました(IP アドレスはすべてプライベートとなっています)。また、この 文書で使用するデバイスは、すべて初期(デフォルト)の設定で起動していま す。コマンドを実行する前に、実働しているネットワークに与える影響について 理解し、注意してください。

ネットワーク ダイアグラム

この文書では次の図に示すネットワーク設定を使用しています。

設定例

この文書では次に示す設定を使用しています。

ルータ A の設定
Current configuration:

 !

 version 12.2

 service timestamps debug uptime

 service timestamps log uptime

 no service password-encryption

 !

 hostname rp-4f-7000

 !

 !

 ip subnet-zero

 ip cef

 no ip domain-lookup

 !

 !

 !--- IKE のパラメータ:

 crypto isakmp policy 10

  encr 3des

  hash md5

  authentication pre-share

 crypto isakmp key cisco123 address 10.5.76.57

 !

 !--- IPSec のパラメータ:

 crypto ipsec transform-set myset1 esp-3des esp-md5-hmac

 !

 !

 crypto map mymap 10 ipsec-isakmp

  set peer 10.5.76.57

  set transform-set myset1

  !--- 相手側へ向けて暗号化されたトラフィック。

  match address 100

 !

 !

 !

 interface Serial0/0

  description Interface to Internet

  ip address 10.5.76.58 255.255.0.0

  ip nat outside

  crypto map mymap

 !

 interface Ethernet0/0

  ip address 172.16.1.1 255.255.255.0

  no ip directed-broadcast

  ip nat inside

 !

 !

 !--- NAT のトラフィック:

 ip nat inside source static network 172.16.0.0 172.18.0.0 /16 no-alias

 ip classless

 ip route 0.0.0.0 0.0.0.0 Serial0/0

 no ip http server

 !

 !--- 相手側へ向けて暗号化されたトラフィック。

 access-list 100 permit ip 172.18.0.0 0.0.255.255 172.19.0.0 0.0.255.255

 !

 line con 0

  transport input none

 line aux 0

 line vty 0 4

  password ww

  login

 !

 end

 

ルータ B の設定
Current configuration : 1357 bytes

 !

 version 12.2

 no service single-slot-reload-enable

 service timestamps debug uptime

 service timestamps log uptime

 no service password-encryption

 !

 hostname rp-6i-3620

 !

 logging rate-limit console 10 except errors

 enable password ww

 !

 ip subnet-zero

 !

 !

 no ip domain-lookup

 !

 !

 !--- IKE のパラメータ:

 crypto isakmp policy 10

  encr 3des

  hash md5

  authentication pre-share

 crypto isakmp key cisco123 address 10.5.76.58

 !

 !--- IPSec のパラメータ:

 crypto ipsec transform-set myset1 esp-3des esp-md5-hmac

 !

 crypto map mymap 10 ipsec-isakmp

  set peer 10.5.76.58

  set transform-set myset1

  !--- 相手側へ向けて暗号化されたトラフィック。

  match address 100

 !

 call rsvp-sync

 

 !

 !

 interface Serial0/0

  description Interface to Internet

  ip address 10.5.76.57 255.255.0.0

  ip nat outside

  crypto map mymap

 !

 interface Ethernet0/0

  ip address 172.16.1.1 255.255.255.0

  ip nat inside

  half-duplex

 !

 !--- NAT のトラフィック:

 ip nat inside source static network 172.16.0.0 172.19.0.0 /16 no-alias

 ip classless

 ip route 0.0.0.0 0.0.0.0 Serial0/0

 no ip http server

 !

 !--- 相手側へ向けて暗号化されたトラフィック。

 access-list 100 permit ip 172.19.0.0 0.0.255.255 172.18.0.0 0.0.255.255

 !

 !

 line con 0

  login

 line aux 0

  password ww

  login

 line vty 0 4

  password ww

  login

 !

 end

 

検証

この項では、設定が正しく動作していることを確認する方法について説明します。一部の show コマンドは、show コマンド出力の分析を表示する Output Interpreter ツールでサポートされています。このツールへのリンクは、この文書の「ツール情報」のセクションにあります。

  • show crypto ipsec sa - フェーズ 2 のセキュリティ結合を表示します。
  • show crypto isakmp sa - フェーズ 1 のセキュリティ結合を表示します。
  • show ip nat translation - 現在使用されている NAT 変換を表示します。

トラブルシューティング

このセクションでは、設定に対してトラブルシューティングを行う方法について説明します。debug コマンドを使用する前に、「debug コマンドに関する重要な情報」を参照してください。

  • debug crypto ipsec - フェーズ 2 の IPSec ネゴシエーションを表示します。
  • debug crypto isakmp - フェーズ 1 の ISAKMP ネゴシエーションを表示します。
  • debug crypto engine - 暗号化されたトラフィックを表示します。


ツール情報

その他のリソースについては、シスコの「VPN テクノロジーのための TAC ツール」を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報



Document ID: 14143