セキュリティ : Cisco FlexVPN

FlexVPN のサイト間の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

このドキュメントでは、FlexVPN のサイト間のインターネット プロトコル セキュリティ(IPsec)トンネルおよび総称ルーティング カプセル化(GRE)トンネルの設定例を紹介します。

Cisco TAC エンジニア、Jay Young および Atri Basu 寄稿。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

PSK トンネルの設定

このセクションの手順では、このネットワーク環境のトンネルを設定するために事前共有キー(PSK)を使用する方法について説明します。

Left-Router

  1. インターネット キー交換バージョン 2(IKEv2)キーリングを設定します。
     crypto ikev2 keyring mykeys
    peer Right-Router
    address 172.20.5.43
    pre-shared-key Cisco123
    !
  2. 次を実行するために、IKEv2 デフォルト プロファイルを再設定します
    • IKE ID の照合
    • ローカルとリモートの認証方式の設定
    • 前の手順でリストされたキーリングの参照
       crypto ikev2 profile default
      match identity remote address 172.20.5.43 255.255.255.255
      authentication local pre-share
      authentication remote pre-share
      keyring local mykeys
      dpd 60 2 on-demand
      !
  3. IKEv2 デフォルト プロファイルを参照するために、IPSec デフォルト プロファイルを再設定します。
    crypto ipsec profile default
    set ikev2-profile default
    !
    interface Tunnel0
    ip address 10.1.12.100 255.255.255.0
    tunnel source Ethernet0/0
    tunnel destination 172.20.5.43
    tunnel protection ipsec profile default
    !
  4. LAN および WAN インターフェイスを設定します。
     interface Ethernet0/0
    description WAN
    ip address 172.18.3.52 255.255.255.0
    !
    interface Ethernet0/1
    description LAN
    ip address 192.168.100.1 255.255.255.0
    !
    ip route 0.0.0.0 0.0.0.0 172.18.3.1 name route_to_internet

Right-Router

次の必要な変更を加えて、Left-Router の手順を繰り返します。

 crypto ikev2 keyring mykeys
peer Left-Router
address 172.18.3.52
pre-shared-key Cisco123
!
crypto ikev2 profile default
match identity remote address 172.18.3.52 255.255.255.255
authentication local pre-share
authentication remote pre-share
keyring local mykeys
dpd 60 2 on-demand
!
crypto ipsec profile default
set ikev2-profile default
!
interface Tunnel0
ip address 10.1.12.1 255.255.255.0
tunnel source Ethernet0/0
tunnel destination 172.18.3.52
tunnel protection ipsec profile default
!
interface Ethernet0/0
description WAN
ip address 172.20.5.43 255.255.255.0
!
interface Ethernet0/1
description LAN
ip address 192.168.200.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 172.20.5.1 name route_to_internet

PKI トンネルの設定

PSK を使用して前のセクションからのトンネルが完了したら、公開キー インフラストラクチャ(PKI)を認証に使用するために簡単に変更できます。 この例では、Left-Router は Right-Router への証明書で自身を認証します。 Right-Router は、Left-Router に対して自身を認証するため、引き続き PSK を使用します。 これは、非対称認証を示すために行われました。 ただし、証明書認証を使用するように両方を切り替えることは、ほとんど問題になりません。

Left-Router

  1. ルータで Cisco IOS® 認証局(CA)を設定します。
    Left-Router#config t
    Left-Router(config)#ip http server
    Left-Router(config)#crypto pki server S2S-CA
    Left-Router(cs-server)#issuer-name cn="S2S-CA"
    Left-Router(cs-server)#grant auto
    Left-Router(cs-server)#no shut
    %Some server settings cannot be changed after CA certificate generation.
    % Please enter a passphrase to protect the private key
    % or type Return to exit
    Password:

    Re-enter password:
    % Generating 1024 bit RSA keys, keys will be non-exportable...
    [OK] (elapsed time was 0 seconds)
    % Exporting Certificate Server signing certificate and keys...
  2. ID トラストポイントの認証と登録を行います。
    Left-Router#config t
    Left-Router(config)#ip domain name cisco.com
    Left-Router(config)#crypto pki trustpoint S2S-ID
    Left-Router(ca-trustpoint)#enrollment url http://172.18.3.52:80
    Left-Router(ca-trustpoint)#subject-name cn=Left-Router.cisco.com
    Left-Router(ca-trustpoint)#exit
    Left-Router(config)#crypto pki authenticate S2S-ID
    Certificate has the following attributes:
    Fingerprint MD5: C11CD575 EC2DEACD 97E9AA3A 2DACFCAB
    Fingerprint SHA1: A8A6E79B D1932175 F12652F1 4F967077 3AEFAF08

    % Do you accept this certificate? [yes/no]: yes
    Trustpoint CA certificate accepted.
    Left-Router(config)#
    Left-Router(config)#crypto pki enroll S2S-ID
    %
    % Start certificate enrollment ..
    % Create a challenge password. You will need to verbally provide this
    password to the CA Administrator in order to revoke your certificate.
    For security reasons your password will not be saved in the configuration.
    Please make a note of it.

    Password:
    Re-enter password:
    *Oct 29 15:15:50.287: %CRYPTO-6-AUTOGEN: Generated new 512 bit key pair

    % The subject name in the certificate will include: cn=R1.cisco.com
    % The subject name in the certificate will include: R1.cisco.com
    % Include the router serial number in the subject name? [yes/no]: no
    % Include an IP address in the subject name? [no]: no
    Request certificate from CA? [yes/no]: yes
    % Certificate request sent to Certificate Authority
    % The 'show crypto pki certificate verbose S2S-ID' command will show the fingerprint.

    *Oct 29 15:15:57.722: CRYPTO_PKI: Certificate Request Fingerprint MD5:
    CA34FD51 A85007EF A785E058 60D8877D
    *Oct 29 15:15:57.722: CRYPTO_PKI: Certificate Request Fingerprint SHA1:
    E37AAE3C 851953C3 9FABE1FD 2F0EACD5 566F361E
    Left-Router(config)#exit
    Left-Router#
    *Oct 29 15:16:57.829: %PKI-6-CERTRET: Certificate received from Certificate Authority
  3. IKEv2 プロファイルを再設定します。
     crypto ikev2 profile default
    authentication local rsa-sig
    identity local dn
    pki trustpoint S2S-ID

Right-Router

  1. ルータが Left-Router の証明書を検証できるように、CA トラストポイントを認証します。
    Right-Router#config t
    Right-Router(config)#ip domain name cisco.com
    Right-Router(config)#crypto pki trustpoint S2S-ID
    Right-Router(ca-trustpoint)#enrollment url http://172.18.3.52:80
    Right-Router(ca-trustpoint)#revocation-check none
    Right-Router(ca-trustpoint)#exit
    Right-Router(config)#crypto pki authenticate S2S-IDCertificate has the following attributes:
    Fingerprint MD5: C11CD575 EC2DEACD 97E9AA3A 2DACFCAB
    Fingerprint SHA1: A8A6E79B D1932175 F12652F1 4F967077 3AEFAF08

    % Do you accept this certificate? [yes/no]: yes
    Trustpoint CA certificate accepted.
    Right-Router(config)#
  2. 着信接続を照合するために、IKEv2 プロファイルを再設定します。
     crypto pki certificate map S2S-Cert-Map 10
    issuer eq cn=S2S-CA
    crypto ikev2 profile default
    match certificate S2S-Cert-Map
    authentication remote rsa-sig

確認

show crypto ikev2 sa detailed コマンドを使用し、設定を確認します。

Right-Router は次を示します。

  • Auth Sign = このルータが Left-Router に対して自身を認証する方法 = 事前共有キー
  • Auth Verify = Left-Router がこのルータに対して自身を認証する方法 = RSA(証明書)
  • Local/Remote id = 交換される ISAKMP ID
 IPv4 Crypto IKEv2  SA

Tunnel-id Local Remote fvrf/ivrf Status
1 172.20.5.43/500 172.18.3.52/500 none/none READY
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:5, Auth sign: PSK, Auth
verify: RSA
Life/Active Time: 86400/3165 sec
CE id: 1043, Session-id: 22
Status Description: Negotiation done
Local spi: 3443E884EB151E8D Remote spi: 92779BC873F58132
Local id: 172.20.5.43
Remote id: hostname=Left-Router.cisco.com,cn=Left-Router.cisco.com
Local req msg id: 0 Remote req msg id: 4
Local next msg id: 0 Remote next msg id: 4
Local req queued: 0 Remote req queued: 4
Local window: 5 Remote window: 5
DPD configured for 60 seconds, retry 2
NAT-T is not detected
Cisco Trust Security SGT is disabled
Initiator of SA : No

IPv6 Crypto IKEv2 SA

ルーティングの設定

前の設定例はトンネルを確立できるようにしますが、ルーティングに関する情報(つまり、トンネルで使用できる宛先)は提供されません。 IKEv2 では、この情報を交換する次の 2 つの方法があります それは、ダイナミック ルーティング プロトコルと IKEv2 ルートです。

ダイナミック ルーティング プロトコル

トンネルはポイントツーポイント GRE トンネルであるため、他のポイントツーポイント インターフェイスと同様の動作となります(例: シリアル、ダイヤラ)。ルーティング情報を交換するために、リンク上で内部ゲートウェイ プロトコル(IGP)/外部ゲートウェイ プロトコル(EGP)を実行することが可能です。 拡張内部ゲートウェイ ルーティング プロトコル(EIGRP)の例を次に示します.

  1. LAN およびトンネル インターフェイスで EIGRP をイネーブルおよびアドバタイズするように Left-Router を設定します。
    router eigrp 100
    no auto-summary
    network 10.1.12.0 0.0.0.255
    network 192.168.100.0 0.0.0.255
  2. LAN およびトンネル インターフェイスで EIGRP をイネーブルおよびアドバタイズするように Right-Router を設定します。
    router eigrp 100
    no auto-summary
    network 10.1.12.0 0.0.0.255
    network 192.168.200.0 0.0.0.255
  3. EIGRP を通じてトンネル経由で 192.168.200.0/24 へのルートが学習されることを確認します。
    Left-Router#show ip route
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
    + - replicated route, % - next hop override

    Gateway of last resort is 172.18.3.1 to network 0.0.0.0

    S* 0.0.0.0/0 [1/0] via 172.18.3.1
    10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
    C 10.1.12.0/24 is directly connected, Tunnel0
    L 10.1.12.100/32 is directly connected, Tunnel0
    172.18.0.0/16 is variably subnetted, 2 subnets, 2 masks
    C 172.18.3.0/24 is directly connected, Ethernet0/0
    L 172.18.3.52/32 is directly connected, Ethernet0/0
    192.168.100.0/24 is variably subnetted, 2 subnets, 2 masks
    C 192.168.100.0/24 is directly connected, Ethernet0/1
    L 192.168.100.1/32 is directly connected, Ethernet0/1
    D 192.168.200.0/24 [90/27008000] via 10.1.12.1, 00:00:22, Tunnel0

IKEv2 ルート

ダイナミック ルーティング プロトコル ルートを使用してトンネル経由で宛先を学習するのではなく、IKEv2 セキュリティ アソシエーション(SA)の確立中にルートが交換される可能性があります。

  1. Left-Router で、Left-Router が Right-Router にアドバタイズするサブネットのリストを設定します。
    ip access-list standard Net-List
    permit 192.168.100.0 0.0.0.255
  2. Left-Router で、アドバタイズするサブネットを指定するために、許可ポリシーを設定します。
    • /32:トンネルのインターフェイスで設定
    • /24:ACL で参照されるルート
    crypto ikev2 authorization policy default
    route set interface
    route set access-list Net-List
  3. Left-Router では、事前共有鍵が使用される場合に許可ポリシーが参照されるよう IKEv2 プロファイルを再設定します。
    crypto ikev2 profile default
    aaa authorization group psk list default default
  4. Right-Router では、証明書が使用される場合に許可ポリシーが参照されるよう、ステップ 1 と 2 を繰り返し、IKEv2 プロファイルを調整します。
    ip access-list standard Net-List
    permit 192.168.200.0 0.0.0.255

    crypto ikev2 authorization policy default
    route set interface
    route set access-list Net-List

    crypto ikev2 profile default
    aaa authorization group cert list default default
  5. 新しい IKEv2 SA が構築されるよう、トンネル インターフェイスで shut および no shut コマンドを使用します。

  6. IKEv2 ルートが交換されていることを確認します。 この出力例の「Remote subnets」を参照してください。
    Right-Router#show crypto ikev2 sa detailed 
    IPv4 Crypto IKEv2 SA

    Tunnel-id Local Remote fvrf/ivrf Status
    1 172.20.5.43/500 172.18.3.52/500 none/none READY
    Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:5, Auth sign: PSK, Auth verify: RSA
    Life/Active Time: 86400/3165 sec
    CE id: 1043, Session-id: 22
    Status Description: Negotiation done
    Local spi: 3443E884EB151E8D Remote spi: 92779BC873F58132
    Local id: 172.20.5.43
    Remote id: hostname=R100.cisco.com,cn=R100.cisco.com
    Local req msg id: 0 Remote req msg id: 4
    Local next msg id: 0 Remote next msg id: 4
    Local req queued: 0 Remote req queued: 4
    Local window: 5 Remote window: 5
    DPD configured for 60 seconds, retry 2
    NAT-T is not detected
    Cisco Trust Security SGT is disabled Initiator of SA : No

    Remote subnets:
    10.1.12.100 255.255.255.255
    192.168.100.0 255.255.255.0

    IPv6 Crypto IKEv2 SA

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 115782