Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
インターネット キー交換
インターネット キー交換
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

インターネット キー交換

インターネット キー交換(IKE)

IKE ポリシー

IKE ポリシーの追加/編集

IKE 事前共有キー

事前共有キーの追加/編集

IKE プロファイル

IKE プロファイルの追加/編集

インターネット キー交換

この章の各トピックでは、インターネット キー交換(IKE)の設定画面について説明します。

インターネット キー交換(IKE)

インターネット キー交換(IKE)は、認証された安全な通信の準備を行うための標準方式です。IKE は、ネットワーク上の 2 つのホスト間でセッション キー(およびそれに関連付けられた暗号とネットワーク設定)を確立します。

Cisco CP では、認証中にピア IDを保護する IKE ポリシーが作成されます。また、ピアが交換する事前共有キーも作成できます。

実行する操作

 

目的
手順

IKE についての理解を深める。

IKE に関する詳細情報

」を参照する。

IKE を有効にする。

IKE ネゴシエーションを使用するために VPN 接続で IKE を有効にする必要がある。

[グローバル設定]をクリックし、[編集]をクリックして、IKE を有効にし、さらにその他の IKE のグローバル設定を行う。

IKE のポリシーを作成する。

Cisco CP は、デフォルトの IKE ポリシーを提供するが、ピアが同じポリシーを保持している保証はない。ピアが受け入れることができる IKE ポリシーをルータが提示できるように、他の IKE ポリシーを設定する必要がある。

[VPN]ツリーの[IKE ポリシー]ノードをクリックする。詳細については、「IKE ポリシー」を参照。

事前共有キーを作成する。

IKE が使用されている場合、両端のピアは事前共有キーを交換して相互に認証する必要がある。

[VPN]ツリーの[事前共有キー]ノードをクリックする。詳細については、「IKE 事前共有キー」を参照。

IKE プロファイルを作成する。

[VPN]ツリーの[IKE プロファイル]ノードをクリックする。詳細については、「IKE プロファイル」を参照。

IKE ポリシー

IKE ネゴシエーションは保護する必要があるので、個々の IKE ネゴシエーションは、各ピアが共通の(共有)IKE ポリシーに同意することから始まります。このポリシーにより、以降の IKE ネゴシエーションを保護するために使用されるセキュリティ パラメータが指定されます。このウィンドウには、ルータに設定されている IKE ポリシーが表示されており、ルータの設定内で IKE ポリシーを追加、編集、または削除できます。IKE ポリシーがルータに設定されていない場合、このウィンドウにはデフォルト IKE ポリシーが表示されます。

2 つのピアがポリシーについて同意した後、各ピアで確立されているセキュリティ アソシエーションによって、そのポリシーのセキュリティ パラメータが特定されます。これらのセキュリティ アソシエーションは、ネゴシエーション中にこれ以降のすべての IKE トラフィックに提供されます。

このリスト内の IKE ポリシーは、すべての VPN 接続で利用できます。

優先順位

このポリシーの、設定されている他の IKE ポリシーに対する優先順位を指定する整数値です。ルータで優先的に使用する IKE ポリシーには、最小の数字を割り当てます。ルータは、ネゴシエーション中にこのポリシーを最初に提示します。

暗号化

この IKE ポリシーとの通信に使用する必要がある暗号化のタイプです。

ハッシュ

ネゴシエーションに使用される認証アルゴリズムです。次のいずれかの値を設定できます。

SHA(Secure Hash Algorithm)

MD5(Message Digest 5)

認証

使用される認証方式です。

事前共有 ― 認証は事前共有キーを使用して実行されます。

RSA_SIG ― 認証はデジタル証明書を使用して実行されます。

タイプ

[SDM_DEFAULT]または[ユーザ定義]のいずれかになります。SDM_DEFAULT ポリシーは編集できません。

実行する操作

 

目的
手順

IKE ポリシーについての理解を深める。

IKE ポリシーに関する詳細情報 」を参照する。

IKE ポリシーをルータの設定に追加する。

Cisco CP は、デフォルトの IKE ポリシーを提供するが、ピアが同じポリシーを保持している保証はない。ピアが受け入れることができる IKE ポリシーをルータが提示できるように、他の IKE ポリシーを設定する必要がある。

[追加]をクリックし、[IKE ポリシーの追加]ウィンドウで新しい IKE ポリシーを設定する。

既存の IKE ポリシーを編集する。

編集する IKE ポリシーを選択して[編集]をクリックする。次に、[IKE ポリシーの編集]ウィンドウで IKE ポリシーを編集する。

デフォルト IKE ポリシーは読み取り専用なので編集できない。

IKE ポリシーをルータの設定から削除する。

削除する IKE ポリシーを選択して[削除]をクリックする。

IKE ポリシーの追加/編集

このウィンドウでは、IKE ポリシーを追加または編集します。


) • すべてのルータがすべての暗号化タイプをサポートしているわけではありません。サポートされていないタイプは、画面に表示されません。

Cisco CP がサポートしている暗号化タイプには、IOS イメージでサポートしていないものもあります。IOS イメージでサポートされていないタイプは、画面に表示されません。

ハードウェア暗号化が有効になっている場合は、ハードウェア暗号化と IOS イメージの両方でサポートされている暗号化タイプだけが画面に表示されます。


 

優先順位

このポリシーの、設定されている他の IKE ポリシーに対する優先順位を指定する整数値です。ルータで優先的に使用する IKE ポリシーには、最小の数字を割り当てます。ルータは、ネゴシエーション中にこのポリシーを最初に提示します。

暗号化

この IKE ポリシーとの通信に使用する必要がある暗号化のタイプです。Cisco CP は、さまざまなタイプの暗号化をサポートしています。これらは安全性が高い順にリスト表示されています。暗号化タイプが安全であるほど、処理時間が長くなります。


) ルータでサポートされていない暗号化タイプは、リストに表示されません。


Cisco CP では、次のタイプの暗号化がサポートされています。

DES(Data Encryption Standard) ― この暗号形式は 56 ビットの暗号化をサポートします。

3DES(Triple Data Encryption Standard) ― DES よりも強力な暗号形式で、168 ビットの暗号化をサポートします。

AES-128 ― 128 ビット キーを使用する Advanced Encryption Standard(AES)暗号化。AES は、DES よりも強力なセキュリティを提供し、トリプル DES よりも計算効率が高くなります。

AES-192 ― 192 ビット キーを使用する Advanced Encryption Standard(AES)暗号化。

AES-256 ― 256 ビット キーを使用する Advanced Encryption Standard(AES)暗号化。

ハッシュ

ネゴシエーションに使用される認証アルゴリズムです。次の 2 つのオプションがあります。

SHA(Secure Hash Algorithm)

MD5(Message Digest 5)

認証

使用される認証方式です。

事前共有 ― 認証は事前共有キーを使用して実行されます。

RSA_SIG ― 認証はデジタル証明書を使用して実行されます。

D-H グループ

Diffie-Hellman(D-H)グループです。Diffie-Hellman は、2 つのルータ間で安全ではない通信チャネルを使用して秘密情報を共有できるようにするパブリック キー暗号プロトコルです。オプションは次のとおりです。

グループ 1 ― 768 ビットの D-H グループ。D-H グループ 1。

グループ 2 ― 1,024 ビットの D-H グループ。D-H グループ 2。このグループは、グループ 1 よりも強力なセキュリティを提供しますが、処理時間が長くなります。

グループ 5 ― 1,536 ビットの D-H グループ。D-H グループ 5。このグループは、グループ 2 よりも強力なセキュリティを提供しますが、処理時間が長くなります。


) • ルータでグループ 5 がサポートされていない場合は、グループ 5 はこのリストには表示されません。

Easy VPN サーバでは、D-H グループ 1 はサポートされていません。


 

ライフ タイム

セキュリティ アソシエーションのライフタイムを時、分、秒で指定します。デフォルト値は 1 日(24:00:00)です。

IKE 事前共有キー

このウィンドウでは、ルータの設定内の IKE 事前共有キーを追加、編集、または削除できます。事前共有キーは、IKE ネゴシエーション中にリモート ピアと交換されます。両方のピアで同じキーを設定する必要があります。

アイコン

 

 

事前共有キーが読み取り専用の場合は、このカラムに読み取り専用アイコンが表示されます。事前共有キーは、 no-xauth CLI オプションが設定されている場合のみ読み取り専用になります。

ピア IP/名前

このキーを共有しているピアの IP アドレスまたは名前です。IP アドレスを指定する場合は、ネットワークまたはサブネットワークのすべてのピアを指定することも、個別のホストだけを指定することもできます。名前を指定した場合は、その名前のピアだけがキーを共有します。

ネットワーク マスク

ネットワーク マスクは、ピアの IP アドレスのどの部分がネットワーク アドレスに使用され、どの部分がホスト アドレスに使用されるかを指定します。ネットワーク マスク 255.255.255.255 は、ピア IP アドレスが、特定のホストのアドレスであることを示します。最下位バイトに 0 を含むネットワーク マスクは、ピア IP アドレスが、ネットワークまたはサブネット アドレスであることを示します。たとえば、ネットワーク マスク 255.255.248.0 は、アドレスの最初の 22 ビットがネットワーク アドレスに使用され、最後の 10 ビットがそのアドレスのホスト部分であることを示します。

事前共有キー

事前共有キーは、Cisco CP のウィンドウでは確認できません。事前共有キーについて確認する必要がある場合は、[表示]>[実行コンフィギュレーション]の順に選択します。これにより、実行コンフィギュレーションが表示されます。このキーは、crypto isakmp key コマンドで確認することもできます。

 

目的
手順

ルータの設定に事前共有キーを追加する。

[追加]をクリックし、[新しい事前共有キーの追加]ウィンドウで事前共有キーを追加する。

事前共有キーを編集する。

事前共有キーを選択し、[編集]をクリックする。次に、[事前共有キーの編集]ウィンドウでキーを編集する。

事前共有キーを削除する。

事前共有キーのエントリを選択して、[削除]をクリックする。

事前共有キーの追加/編集

このウィンドウでは、事前共有キーを追加または編集します。

キー

これは、リモート ピアと交換する英数字の文字列です。同じキーをリモート ピアで設定する必要があります。このキーは推測が難しいものにしてください。事前共有キーでは、疑問符(?)およびスペースを使用してはなりません。

キーの再入力

確認のために、[キー]フィールドに入力したものと同じ文字列を再入力します。

ピア

キーを特定のホストに適用する場合は、[ホスト名]を選択します。ネットワークまたはサブネットワークを指定する場合、またはホスト名を IP アドレスに変換する DNS サーバがないために特定のホストの IP アドレスを入力する場合は、[IP アドレス]を選択します。

ホスト名

このフィールドは、[ピア]フィールドで[ホスト名]を選択した場合に表示されます。ピアのホスト名を入力します。ネットワーク上に、ホスト名を IP アドレスに解決できる DNS サーバが必要です。

IP アドレス/サブネット マスク

これらのフィールドは、[ピア]フィールドで[IP アドレス]を選択した場合に表示されます。[IP アドレス]フィールドにネットワークまたはサブネットの IP アドレスを入力します。このネットワークまたはサブネット内のすべてのピアに事前共有キーが適用されます。詳細については、「 IP アドレスとサブネット マスク」を参照してください。

入力した IP アドレスが特定のホストのアドレスではなくサブネット アドレスの場合は、サブネット マスクを入力します。

ユーザ認証(Xauth)

サイト間 VPN ピアでその認証に Xauth を使用する場合は、このチェック ボックスを選択します。VPN グローバル設定で Xauth 認証が有効になっている場合は、Easy VPN 接続だけでなくサイト間ピアでも有効になります。

IKE プロファイル

IKE プロファイルは ISAKMP プロファイルとも呼ばれ、これを使用すると、1 つ以上の IPSec トンネルに関連付けることのできる IKE パラメータのセットを定義できます。IKE プロファイルは、ID 一致条件の概念によって一意に識別される受信 IPSec 接続に対し、パラメータを適用します。これらの条件は受信 IKE 接続が提示する IKE ID に基づき、IP アドレス、完全修飾ドメイン名(FQDN)、およびグループ(仮想プライベート ネットワーク[VPN]リモート クライアント グループ)によって構成されます。

ISAKMP プロファイルの詳細、および Cisco IOS CLI によるこの設定方法については、Cisco.com で次のパスに従って移動してください。

[Products and Services] > [Cisco IOS Software] > [Cisco IOS Security] > [Cisco IOS IPSec] > [Product Literature] > [White Papers] > [ISAKMP Profile Overview]

IKE プロファイル

画面の[IKE プロファイル]エリアには、設定された IKE プロファイルが一覧表示されます。これには、プロファイル名、この IKE プロファイルを使用する IPSec プロファイル、およびプロファイルの説明(入力されている場合)が表示されます。選択した IKE プロファイルを使用する IPSec プロファイルが存在しない場合は、[使用元]カラムには <なし> と表示されます。

このウィンドウで IKE プロファイルを作成すると、作成したプロファイルがリストに表示されます。Easy VPN サーバ ウィザードを使用して設定を作成すると、IKE プロファイルが自動的に作成され、Cisco CP によって名前が付けられ、このリストに表示されます。

IKE プロファイルの詳細

画面の詳細エリアでは、選択したプロファイルの設定値が一覧表示されます。このエリアを使用すると、[編集]ボタンをクリックして追加ダイアログボックスを表示することなく、詳細情報を表示できます。変更を加えるには、[編集]をクリックして、表示されたダイアログボックスで必要な変更を行います。このエリアの各項目の詳細については、「IKE プロファイルの追加/編集」を参照してください。

IKE プロファイルの追加/編集

このダイアログボックスでは、必要な情報を入力して設定を行い、IKE プロファイルを作成し、これに仮想トンネル インターフェイスを関連付けます。

フィールド リファレンス

表19-1 に、この画面のフィールドの説明を示します。

 

表19-1 IKE プロファイルの追加/編集のフィールド

項目
説明

IKE プロファイル名

この IKE プロファイルの名前を入力します。プロファイルの編集時には、このフィールドは無効になります。

ID タイプの一致

IKE プロファイルには、IKE 接続パラメータの適用先の送受信接続をルータが識別できるようにするための、一致条件が含まれています。ここで、一致条件を VPN グループに適用することができます。グループは、[ID タイプの一致]フィールドで自動的に選択されます。

この IKE プロファイルに関連付ける VPN グループを追加します。

一致条件に追加するグループのリストを作成します。追加したグループが表示されます。

[追加]― 次のオプションを含むメニューを表示するには、[追加]をクリックします。

[外部グループ名の追加]― ルータに設定されていないグループの名前を追加する場合は、[外部グループ名の追加]を選択して、表示されるダイアログにその名前を入力します。

[ローカル グループから選択]― ルータに設定されているグループの名前を追加する場合は、[ローカル グループから選択]を選択します。表示されるダイアログで、追加するグループの横にあるチェック ボックスを選択します。すべてのローカル グループが他の IKE プロファイルで使用されている場合は、すべてのグループがすでに選択されていることを示すメッセージが表示されます。

[削除]― リストからグループを削除するには、そのグループを選択し、[削除]をクリックします。

仮想トンネル インターフェイス

[仮想トンネル インターフェイス]リストでは、この IKE プロファイルを関連付ける仮想トンネル インターフェイスを選択します。仮想トンネル インターフェイスを作成するには、[追加]をクリックして、表示されたダイアログでインターフェイスを新規作成します。

モード設定

次のいずれかのオプションを選択して、Easy VPN サーバがモード設定要求を処理する方法を指定します。

[応答]― Easy VPN サーバを使用してモード設定要求に応答する場合は、[モード設定]フィールドの[応答]を選択します。

[開始]― Easy VPN サーバを使用してモード設定要求を開始する場合は、[開始]を選択します。

[両方]― モード設定要求の開始と応答の両方に、Easy VPN サーバを使用する場合は、[両方]を選択します。

グループ ポリシー検索許可ポリシー

AAA サーバ上のグループ ポリシー情報へのアクセスを制御する許可ポリシーを指定します。

[デフォルト]― グループ ポリシー検索情報へのアクセスを許可する場合は、[デフォルト]を選択します。

[ポリシー名]― ポリシーを指定する場合は、リストから既存のポリシーを選択します。

[追加]― 表示されたダイアログでポリシーを作成する場合は、[追加]をクリックします。

ユーザ認証ポリシー

XAuth ログインを許可する場合、または XAuth ログインに使用するユーザ認証を指定する場合は、[ユーザ認証ポリシー]を選択します。次のいずれかのオプションを選択します。

[デフォルト]― XAuth ログインを許可する場合は、[デフォルト]を選択します。

[ポリシー名]― ルータ上でポリシーが設定されている場合は、リストから使用するポリシーを選択できます。

表示されたダイアログでポリシーを作成し、この IKE ポリシーで使用する場合は、[追加]をクリックします。

デッド ピア検出

ルータからデッド ピア検知( DPD)メッセージを Easy VPN リモート クライアントに送信できるようにするには、[デッド ピア検出]をクリックします。クライアントが DPD メッセージに応答しないと、そのクライアントとの接続は解除されます。

[キープアライブ間隔]― DPD メッセージの間隔を秒単位で指定します。範囲は 10 ~ 3,600 秒です。

[リトライ間隔]― DPD メッセージの送信に失敗した場合の再試行間隔を秒単位で指定します。範囲は 2 ~ 60 秒です。

デッド ピア検出では、管理者の介入なしに接続を管理できますが、接続を維持するために両方のピアで処理する必要がある追加のパケットが生成されます。

PKI 証明書フィールドに基づいて、RADIUS サーバからユーザ属性をダウンロードします。

モード設定時に Easy VPN サーバが RADIUS サーバからユーザ固有属性をダウンロードし、クライアントに通知するように設定するには、このオプションを選択します。Easy VPN サーバはクライアントのデジタル証明書からユーザ名を取得します。

このオプションは、次の場合に表示されます。

ルータが Cisco IOS 12.4(4)T 以降のイメージを実行している場合。

IKE ポリシー設定でデジタル証明書認証を選択した場合。

RADIUS または RADIUS およびローカル グループ許可を選択した場合。

説明

追加または編集している IKE プロファイルの説明を追加できます。