セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

プライベート アドレスを使用する 3 つのルータ間での IPSec の設定

2008 年 12 月 18 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 1 月 14 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      ネットワーク ダイアグラム
      設定例
確認
トラブルシューティング
      トラブルシューティングのためのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、プライベート アドレスを使用する 3 つのルータ間のフルメッシュ構成について説明しています。この例では、次の機能について説明しています。

  • Encapsulating Security Payload(ESP):Data Encryption Standard(DES; データ暗号規格)のみ

  • 事前共有鍵

  • 各ルータの背後のプライベート ネットワーク:192.168.1.0、192.168.2.0、および 192.168.3.0

  • isakmp ポリシーおよびクリプトマップの設定

  • access-list および route-map コマンドで定義されるトンネル トラフィック。Cisco IOS(R) ソフトウェア リリース 12.2(4)T2 以降では、Port Address Translation(PAT; ポート アドレス変換)に加え、ルート マップを 1 対 1 のスタティック Network Address Translation(NAT; ネットワーク アドレス変換)に適用できます。詳細については、『NAT:ルート マップを使用したスタティック変換』を参照してください。

注:暗号化テクノロジーは輸出規制の対象になります。暗号化テクノロジーの輸出に関連する法規を理解することは、お客様の責任となります。輸出規制に関する詳細については、電子メールで export@cisco.com までお問い合せください。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS ソフトウェア リリース 12.3.(7)T

  • IPSec が設定された Cisco ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供しています。

注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

30.gif

設定例

このドキュメントでは、次の設定を使用しています。

ルータ 1

Current configuration:  
!  
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!  
hostname router1  
!
boot-start-marker
boot-end-marker
!
!
clock timezone EST 0
no aaa new-model
ip subnet-zero
!
!
ip audit po max-events 100
no ftp-server write-enable
!


!--- ピアごとに Internet Key Exchange(IKE; インターネット鍵交換)ポリシーと 
!--- 事前共有鍵を設定します。



!--- ピア用の IKE ポリシー。


crypto isakmp policy 4  
authentication pre-share


!--- 各ピア用の事前共有鍵。
   

crypto isakmp key xxxxxx1234 address 100.228.202.154  
crypto isakmp key xxxxxx1234 address 200.154.17.130  
!  
!  


!--- IPSec ポリシー:


crypto ipsec transform-set encrypt-des esp-des  
!  
!  
crypto map combined local-address Serial0


!--- ピア、トランスフォーム セット、トンネル ピアの暗号化トラフィックを設定します。


crypto map combined 20 ipsec-isakmp  
   set peer 100.228.202.154  
   set transform-set encrypt-des  
   match address 106  
crypto map combined 30 ipsec-isakmp  
   set peer 200.154.17.130  
   set transform-set encrypt-des  
   match address 105  
!  
!  
interface Serial0  
   ip address 100.232.202.210 255.255.255.252   
   ip nat outside 
   serial restart-delay 0 


!--- インターフェイスにクリプトマップを適用します。
  

   crypto map combined  
!  
interface FastEthernet0  
   ip address 192.168.1.1 255.255.255.0    
   ip nat inside    
!
ip classless  
ip route 0.0.0.0 0.0.0.0 100.232.202.209  
no ip http server  
no ip http secure-server
!


!--- NAT 対象のトラフィックを定義します。


ip nat inside source route-map nonat interface Serial0 overload  


!--- トンネル上で暗号化するトラフィックを示す Access Control List(ACL; アクセス コントロール リスト)。
  

access-list 105 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255  
access-list 106 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255  


!--- トンネル上での NAT を介したトラフィックを回避する ACL。 


access-list 150 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255  
access-list 150 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255  


!--- トンネルを経由しないトラフィックに対して NAT を実行する ACL。


access-list 150 permit ip 192.168.1.0 0.0.0.255 any


!--- IPSec トラフィックに対しては NAT を実行しません。

  
route-map nonat permit 10  
  match ip address 150  
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
!
end 

ルータ 2

Current configuration:  
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
! 
hostname router2
!  
boot-start-marker
boot-end-marker
!
!
clock timezone EST 0
no aaa new-model
ip subnet-zero
!
!
ip audit po max-events 100
no ftp-server write-enable
!


!--- 各ピアの IKE ポリシーと事前共有鍵を設定します。




!--- ピア用の IKE ポリシー。


crypto isakmp policy 4  
    authentication pre-share


!--- 各ピア用の事前共有鍵。
  

crypto isakmp key xxxxxx1234 address  100.228.202.154  
crypto isakmp key xxxxxx1234 address  100.232.202.210  
!  
!


!--- IPSec ポリシー。

 
crypto ipsec transform-set encrypt-des esp-des 
!  
!  
crypto map combined local-address Ethernet1


!--- ピア、トランスフォーム セット、トンネル ピアの暗号化トラフィックを設定します。


crypto map combined 7 ipsec-isakmp 
      set peer 100.232.202.210  
      set transform-set encrypt-des  
      match address 105  

crypto map combined 8 ipsec-isakmp  
      set peer 100.228.202.154  
      set transform-set encrypt-des  
      match address 106  
!  
!  
!  
interface Ethernet0  
      ip address 192.168.3.1 255.255.255.0   
      ip nat inside  
!  
interface Ethernet1  
      ip address 200.154.17.130 255.255.255.224 
      ip nat outside 


!--- インターフェイスにクリプトマップを適用します。


      crypto map combined  
!  
ip classless  
ip route 0.0.0.0 0.0.0.0 200.154.17.129  
no ip http server
no ip http secure-server
!


!--- NAT 対象のトラフィックを定義します。


ip nat inside source route-map nonat interface Ethernet1 overload  


!--- トンネル上で暗号化するトラフィックを示す ACL。 
 

access-list 105 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255  
access-list 106 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255  


!--- トンネル上での NAT を介したトラフィックを回避する ACL。


access-list 150 deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255  
access-list 150 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255  


!--- トンネルを経由しないトラフィックに対して NAT を実行する ACL。
 

access-list 150 permit ip any any


!--- IPSec トラフィックに対しては NAT を実行しません。


route-map nonat permit 10  
  match ip address 150  
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
!
end 

ルータ 3 の設定

Current configuration:  
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname router3
!
boot-start-marker
boot-end-marker
!
!
clock timezone EST 0
no aaa new-model
ip subnet-zero
!
!
ip audit po max-events 100
no ftp-server write-enable
!


!--- 各ピアの IKE ポリシーと事前共有鍵を設定します。



!--- ピア用の IKE ポリシー。


crypto isakmp policy 4  
  authentication pre-share 



!--- 各ピア用の事前共有鍵。


crypto isakmp key xxxxxx1234 address 100.232.202.210  
crypto isakmp key xxxxxx1234 address 200.154.17.130  
!  
!


!--- IPSec ポリシー:
 

crypto ipsec transform-set encrypt-des esp-des 
!  
!


!--- ピア、トランスフォーム セット、トンネル ピアの暗号化トラフィックを設定します。


crypto map combined local-address Serial0  
crypto map combined 7 ipsec-isakmp  
  set peer 100.232.202.210  
  set transform-set encrypt-des  
  match address 106  
crypto map combined 8 ipsec-isakmp  
  set peer 200.154.17.130  
  set transform-set encrypt-des  
  match address 105  
!  
!  
interface Serial0  
  ip address 100.228.202.154 255.255.255.252  
  ip nat outside
  serial restart-delay 0


!--- インターフェイスにクリプトマップを適用します。
  

  crypto map combined  
!  
  interface FastEthernet0  
  ip address 192.168.2.1 255.255.255.0  
  ip nat inside 
!  
ip classless  
ip route 0.0.0.0 0.0.0.0 100.228.202.153  
no ip http server 
no ip http secure-server 
!


!--- NAT 対象のトラフィックを定義します。


ip nat inside source route-map nonat interface Serial0 overload  


!--- トンネル上で暗号化するトラフィックを示す ACL。
  

access-list 105 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255  
access-list 106 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255  


!--- トンネル上での NAT を介したトラフィックを回避する ACL。


access-list 150 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255  
access-list 150 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255  


!--- トンネルを経由しないトラフィックに対して NAT を実行する ACL。


access-list 150 permit ip 192.168.2.0 0.0.0.255 any


!--- IPSec トラフィックに対しては NAT を実行しません。


route-map nonat permit 10  
  match ip address 150  
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 login
!
!
end

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示しています。

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)でサポートされています。このツールを使用すると、show コマンドの出力を分析できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show crypto engine connections active:IPSec ピア間の暗号化および復号化されたパケットを表示します。

  • show crypto isakmp sa:ピアにおける現在の IKE Security Association(SA; セキュリティ アソシエーション)すべてを表示します。

  • show crypto ipsec sa:現在の(IPSec)SA で使用されている設定を表示します。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供しています。

トラブルシューティングのためのコマンド

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)でサポートされています。このツールを使用すると、show コマンドの出力を分析できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

注:debug コマンドを実行する前に、『debug コマンドの重要な情報』を参照してください。

注:次のデバッグは両方の IPSec ルータ(ピア)で実行する必要があります。SA のクリアは両方のピアで行う必要があります。

  • debug crypto isakmp:フェーズ 1 のエラーを表示します。

  • debug crypto ipsec:フェーズ 2 のエラーを表示します。

  • debug crypto engine:暗号エンジンからの情報を表示します。

  • clear crypto connection connection-id [slot | rsm | vip]:現在進行中の暗号化セッションを終了します。通常、暗号化セッションは、タイムアウトになると終了します。connection-id 値を調べるには、show crypto cisco connections コマンドを使用します。

  • clear crypto isakmp:フェーズ 1 SA をクリアします。

  • clear crypto sa:フェーズ 2 SA をクリアします。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 14124