Cisco Router and Security Device Manager (SDM) バージョン 2.1ユーザーズ ガイド
インターネット キー交換
インターネット キー交換
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

インターネット キー交換

インターネット キー交換(IKE)

IKE ポリシー

IKE ポリシーの追加/編集

IKE 事前共有キー

事前共有キーの追加/編集

インターネット キー交換

インターネット キー交換(IKE)

インターネット キー交換(IKE)は、認証された安全な通信の準備を行うための標準方式です。IKE は、ネットワーク上の 2 つのホスト間でセッション キー(およびそれに関連付けられた暗号とネットワーク設定)を確立します。

SDM では、認証中にピア IDを保護する IKE ポリシーが作成されます。また、ピアが交換する事前共有キーも作成できます。

実行する操作

 

目的
手順

IKE についての理解を深める。

IKE に関する詳細情報 をクリックする。

IKE を有効にする。

IKE ネゴシエーションを使用するために VPN 接続で IKE を有効にする必要がある。

[グローバル設定] をクリックし、 [編集] をクリックして、IKE を有効にし、さらにその他の IKE のグローバル設定を行う。

IKE のポリシーを作成する。

SDM は、デフォルトの IKE ポリシーを提供するが、ピアが同じポリシーを保持している保証はない。ピアが受け入れることができる IKE ポリシーを提示できるように、ルータは他の IKE ポリシーを設定する必要がある。

[VPN]ツリーの[ IKE ポリシー] ノードをクリックする。

事前共有キーを作成する。

IKE が使用されている場合、両端のピアは事前共有キーを交換して相互に認証する必要がある。

[VPN]ツリーの[ 事前共有キー] ノードをクリックする。

IKE ポリシー

IKE ネゴシエーションは保護する必要があるので、個々の IKE ネゴシエーションは、各ピアが共通の(共有)IKE ポリシーに同意することから始まります。このポリシーにより、以降の IKE ネゴシエーションを保護するために使用されるセキュリティ パラメータが指定されます。このウィンドウには、ルータに設定されている IKE ポリシーが表示されており、ルータの設定内で IKE ポリシーを追加、編集、または削除できます。IKE ポリシーがルータに設定されていない場合、このウィンドウにはデフォルト IKE ポリシーが表示されます。

2 つのピアがポリシーについて同意した後、各ピアで確立されているセキュリティ アソシエーションによって、そのポリシーのセキュリティ パラメータが特定されます。これらのセキュリティ アソシエーションは、ネゴシエーション中にこれ以降のすべての IKE トラフィックに提供されます。

このリスト内の IKE ポリシーは、すべての VPN 接続で利用できます。

優先順位

このポリシーの、設定されている他の IKE ポリシーに対する優先順位を指定する整数値です。ルータで優先的に使用する IKE ポリシーには、最小の数値を指定します。ルータは、ネゴシエーション中にこのポリシーを最初に提示します。

暗号化

この IKE ポリシーとの通信に使用する必要がある暗号化のタイプです。

ハッシュ

ネゴシエーションに使用される認証アルゴリズムです。次のいずれかの値を設定できます。

SHA(Secure Hash Algorithm)

MD5(Message Digest 5)

認証

使用される認証方式です。

事前共有。認証は事前共有キーを使用して実行されます。

RSA_SIG。認証はデジタル証明書を使用して実行されます。

タイプ

[SDM_DEFAULT]または[ユーザ定義]のいずれかになります。SDM_DEFAULT ポリシーは編集できません。

実行する操作

 

目的
手順

IKE ポリシーについての理解を深める。

IKE ポリシーに関する詳細情報 」を参照。

IKE ポリシーをルータの設定に追加する。

SDM は、デフォルトの IKE ポリシーを提供するが、ピアが同じポリシーを保持している保証はない。ピアが受け入れることができる IKE ポリシーを提示できるように、ルータは他の IKE ポリシーを設定する必要がある。

[追加] をクリックし、[IKE ポリシーの追加]ウィンドウで新しい IKE ポリシーを設定する。

既存の IKE ポリシーを編集する。

編集する IKE ポリシーを選択して[ 編集] をクリックする。次に、[IKE ポリシーの編集]ウィンドウで IKE ポリシーを編集する。

デフォルト IKE ポリシーは読み取り専用なので編集できない。

IKE ポリシーをルータの設定から削除する。

削除する IKE ポリシーを選択して[ 削除] をクリックする。

IKE ポリシーの追加/編集

このウィンドウでは、IKE ポリシーを追加または編集します。


) • すべてのルータがすべての暗号化タイプをサポートしているわけではありません。サポートされていないタイプは、画面に表示されません。

SDM がサポートしているすべての暗号化タイプをすべての IOS イメージがサポートしているわけではありません。IOS イメージでサポートされていないタイプは、画面に表示されません。

ハードウェア暗号化が有効になっている場合は、ハードウェア暗号化と IOS イメージの両方でサポートされている暗号化タイプだけが画面に表示されます。


 

優先順位

このポリシーの、設定されている他の IKE ポリシーに対する優先順位を指定する整数値です。ルータで優先的に使用する IKE ポリシーには、最小の数字を割り当てます。ルータは、ネゴシエーション中にこのポリシーを最初に提示します。

暗号化

この IKE ポリシーとの通信に使用する必要がある暗号化のタイプです。SDM は、さまざまなタイプの暗号化をサポートしています。これらは安全性が高い順にリスト表示されています。暗号化タイプが安全であるほど、処理時間が長くなります。


) ルータでサポートされていない暗号化タイプは、リストに表示されません。


SDM では、次のタイプの暗号化がサポートされています。

DES(Data Encryption Standard)― この暗号形式は 56 ビットの暗号化をサポートします。

3DES(Triple Data Encryption Standard)― DES よりも強力な暗号形式で、168 ビットの暗号化をサポートします。

AES-128 ― 128 ビット キーを使用する Advanced Encryption Standard(AES)暗号化。AES は、DES よりも強力なセキュリティを提供し、トリプル DES よりも計算効率が高くなります。

AES-192 ― 192 ビット キーを使用する Advanced Encryption Standard(AES)暗号化。

AES-256 ― 256 ビット キーを使用する Advanced Encryption Standard(AES)暗号化。

ハッシュ

ネゴシエーションに使用される認証アルゴリズムです。次の 2 つのオプションがあります。

SHA(Secure Hash Algorithm)

MD5(Message Digest 5)

認証

使用される認証方式です。

事前共有。認証は事前共有キーを使用して実行されます。

RSA_SIG。認証はデジタル証明書を使用して実行されます。

D-H グループ

Diffie-Hellman(D-H)グループです。Diffie-Hellman は、2 つのルータ間で安全ではない通信チャネルを使用して秘密情報を共有できるようにするパブリック キー暗号プロトコルです。オプションは次のとおりです。

グループ 1 ― 768 ビットの D-H グループ。D-H グループ 1。

グループ 2 ― 1024 ビットの D-H グループ。D-H グループ 2。このグループは、グループ 1 よりも強力なセキュリティを提供しますが、処理時間が長くなります。

グループ 5 ― 1536 ビットの D-H グループ。D-H グループ 5。このグループは、グループ 2 よりも強力なセキュリティを提供しますが、処理時間が長くなります。


) • ルータでグループ 5 がサポートされていない場合は、グループ 5 はこのリストには表示されません。

Easy VPN サーバでは、D-H グループ 1 はサポートされていません。


 

ライフ タイム

セキュリティ アソシエーションのライフタイムを時、分、秒で指定します。デフォルト値は 1 日(24:00:00)です。

IKE 事前共有キー

このウィンドウでは、ルータの設定内の IKE 事前共有キーを追加、編集、または削除できます。事前共有キーは、IKE ネゴシエーション中にリモート ピアと交換されます。両方のピアで同じキーを設定する必要があります。

アイコン

 

 

事前共有キーが読み取り専用の場合は、このカラムに読み取り専用アイコンが表示されます。事前共有キーは、 no-xauth CLI オプションが設定されている場合のみ読み取り専用になります。

ピア IP/名前

このキーを共有しているピアの IP アドレスまたは名前です。IP アドレスを指定する場合は、ネットワークまたはサブネットワークのすべてのピアを指定することも、個別のホストだけを指定することもできます。名前を指定した場合は、その名前のピアだけがキーを共有します。

ネットワーク マスク

ネットワーク マスクは、ピアの IP アドレスのどの部分がネットワーク アドレスに使用され、どの部分がホスト アドレスに使用されるかを指定します。ネットワーク マスク 255.255.255.255 は、ピア IP アドレスが、特定のホストのアドレスであることを示します。最下位バイトに 0 を含むネットワーク マスクは、ピア IP アドレスが、ネットワークまたはサブネット アドレスであることを示します。たとえば、ネットワーク マスク 255.255.248.0 は、アドレスの最初の 22 ビットがネットワーク アドレスに使用され、最後の 10 ビットがそのアドレスのホスト部分であることを示します。

事前共有キー

事前共有キーは、SDM のウィンドウでは読めません。事前共有キーについて確認する必要がある場合は、 [表示] [実行コンフィギュレーション] の順に選択します。これにより、実行コンフィギュレーションが表示されます。このキーは、 crypto isakmp key コマンドで確認することもできます。

 

目的
手順

ルータの設定に事前共有キーを追加する。

[追加] をクリックし、[事前共有キーの追加]ウィンドウで事前共有キーを追加する。

事前共有キーを編集する。

事前共有キーを選択し、 [編集] をクリックする。次に、[事前共有キーの編集]ウィンドウでキーを編集する。

事前共有キーを削除する。

事前共有キーのエントリを選択して、 [削除] をクリックする。

事前共有キーの追加/編集

このウィンドウでは、事前共有キーを追加または編集します。

キー

これは、リモート ピアと交換する英数字の文字列です。同じキーをリモート ピアで設定する必要があります。このキーは推測が難しいものにしてください。事前共有キーでは、疑問符(?)およびスペースを使用してはなりません。

Reenter Key(キーの再入力)

確認のために、[キー]フィールドに入力したものと同じ文字列を再入力します。

ピア

キーを特定のホストに適用する場合は、 [ホスト名] を選択します。ネットワークまたはサブネットワークを指定する場合、またはホスト名を IP アドレスに変換する DNS サーバがないために特定のホストの IP アドレスを入力する場合は、 [IP アドレス] を選択します。

ホスト名

このフィールドは、[ピア]フィールドで[ ホスト名] を選択した場合に表示されます。ピアのホスト名を入力します。ネットワーク上に、ホスト名を IP アドレスに解決できる DNS サーバが必要です。

IP アドレス/サブネット マスク

これらのフィールドは、[ピア]フィールドで[IP アドレス]を選択した場合に表示されます。[IP アドレス]フィールドにネットワークまたはサブネットの IP アドレスを入力します。このネットワークまたはサブネット内のすべてのピアに事前共有キーが適用されます。詳細については、「 IP アドレスとサブネット マスク」を参照してください。

入力した IP アドレスが特定のホストのアドレスではなくサブネット アドレスの場合は、サブネット マスクを入力します。

ユーザ認証[Xauth]

サイト間 VPN ピアでその認証に Xauth を使用する場合は、このチェック ボックスを選択します。VPN グローバル設定で Xauth 認証が有効になっている場合は、Easy VPN 接続だけでなくサイト間ピアでも有効になります。