セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

IPSec の設定 - Cisco Secure VPN クライアントでのワイルドカード、事前共有キー、および No-mode Config

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 24 日) | フィードバック


Cisco Secure VPN Client 1.x は廃止です。 詳細については、製品速報 938 を参照して下さい。


目次


概要

この設定例では、ワイルドカード事前共有キー用に設定されたルータ(すべての PC クライアントが共通のキーを共有)を紹介します。 リモート ユーザはネットワークに入り、自身の IP アドレスを保持します。 リモート ユーザの PC とルータ間のデータは暗号化されます。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS(R) ソフトウェア リリース 12.2.8.T1

  • Cisco Secure VPN Client バージョン 1.0 または 1.1 —廃止

  • DES またはトリプル DES イメージの Ciscoルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは次の図に示すネットワーク構成を使用しています。

/image/gif/paws/14148/wild_no_mode.gif

設定

このドキュメントでは次に示す設定を使用しています。

ルータの設定
Current configuration:
!
version 12.2

service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RTCisco
!
enable password hjwwkj
!
!
ip subnet-zero
ip domain-name cisco.com
ip name-server 203.71.57.242
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key mysecretkey address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set mypolicy esp-des esp-md5-hmac
!
crypto dynamic-map dyna 10
set transform-set mypolicy
!
crypto map test 10 ipsec-isakmp dynamic dyna
!
!
interface Serial0
ip address 203.71.90.182 255.255.255.252
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
crypto map test
!
interface Ethernet0
ip address 88.88.88.1 255.255.255.0
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 203.71.90.181
!
!
line con 0
transport input none
line aux 0
transport input all
line vty 0 4
password cscscs
login
!
end

VPN Client の設定
Network Security policy:


1- Myconn
    My Identity
         Connection security: Secure
         Remote Party Identity and addressing
         ID Type: IP subnet
         88.88.88.0
         255.255.255.0
         Port all Protocol all


    Connect using secure tunnel
         ID Type: IP address
         203.71.90.182


    Authentication (Phase 1)
    Proposal 1

        Authentication method: Preshared key
        Encryp Alg: DES
        Hash Alg: MD5
        SA life:  Unspecified
        Key Group: DH 1

    Key exchange (Phase 2)
    Proposal 1
        Encapsulation ESP
        Encrypt Alg: DES
        Hash Alg: MD5
        Encap: tunnel
        SA life: Unspecified
        no AH

2- Other Connections
       Connection security: Non-secure
       Local Network Interface
         Name: Any
         IP Addr: Any
         Port: All

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を提供しています。

特定の show コマンドは、Output Interpreter Tool登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

  • show crypto isakmp sa - フェーズ 1 のセキュリティ結合を表示します。

  • show crypto ipsec sa —フェーズ 1 セキュリティ結合およびプロキシ、カプセル化、暗号化、非カプセル化および解読 の 情報示します。

  • show crypto engine connections active - 暗号化パケットと復号化パケットに関して、現在の接続と情報を表示します。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

トラブルシューティングのためのコマンド

特定の show コマンドは、Output Interpreter Tool登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

注: 両方の同位のセキュリティ結合をクリアして下さい。 non-enableモードで router コマンドを実行して下さい。

注: 両方の IPSec ピアのこれらのデバッグを実行して下さい。

  • debug crypto isakmp:フェーズ 1 のエラーを表示します。

  • debug crypto ipsec:フェーズ 2 のエラーを表示します。

  • debug crypto engine:暗号エンジンからの情報を表示します。

  • clear crypto isakmp - フェーズ 1 のセキュリティ統合をクリアします。

  • clear crypto sa - フェーズ 2 のセキュリティ統合をクリアします。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 14148