RV34xシリーズルータでのIKEv2の設定

ダウンロードオプション

PDF (1.7 MB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (1.7 MB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (1.2 MB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2019 年 1 月 2 日

Document ID:1546466190906363

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

目的

このドキュメントの目的は、RV34xシリーズルータでIKEv2を使用してIPSecプロファイルを設定する方法を示すことです。

概要

RV34xシリーズルータのファームウェアバージョン1.0.02.16は、サイト間VPNおよびクライアントとサイト間VPNのInternet Key Exchange Version 2(IKEv2)をサポートするようになりました。IKEは、Oakleyキー交換とSkemeキー交換をInternet Security Association and Key Management Protocol(ISAKMP)フレームワーク内に実装するハイブリッドプロトコルです。IKEは、IPsecピアの認証を提供し、IPsecキーをネゴシエートし、IPsecセキュリティアソシエーションをネゴシエートします。

IKEv2は引き続きUDPポート500を使用しますが、いくつかの変更に注意してください。Dead Peer Detection(DPD)の管理が異なり、組み込まれています。セキュリティアソシエーション(SA)ネゴシエーションは、最大4メッセージまで最小化されます。この新しいアップデートでは、AAAサーバとDenial of Service(DoS)保護を利用できるExtensible Authentication Protocol(EAP)認証もサポートされています。

次の表は、IKEv1とIKEv2の違いをさらに示しています

IKEv1	IKEv2
SA 2フェーズのネゴシエーション（メインモードとアグレッシブモード）	SA単相ネゴシエーション（簡素化）
	ローカル/リモート証明書のサポート
	衝突処理の改善
	キー再生機構の改善
	NATトラバーサル内蔵
	AAAサーバのEAPサポート

IPsecにより、インターネット上でセキュアなプライベート通信が可能になります。インターネットを介して機密情報を送信するための、2つ以上のホストのプライバシー、整合性、および信頼性を提供します。IPsecは一般的にバーチャルプライベートネットワーク(VPN)で使用され、IP層で実装されます。これにより、多くのセキュアでないアプリケーションにセキュリティを追加できます。VPNは、インターネットなどのセキュアでないネットワークを介して送信される機密データおよびIP情報のためのセキュアな通信メカニズムを提供するために使用されます。また、リモートユーザや組織が同じネットワーク上の他のユーザから機密情報を保護するための柔軟なソリューションも提供します。

VPNトンネルの両端が正常に暗号化されて確立されるためには、両方とも暗号化、復号化、および認証の方法について合意する必要があります。IPsecプロファイルは、IPsecの中央設定で、自動モードでのフェーズIおよびIIネゴシエーションの暗号化、認証、およびDiffie-Hellman(DH)グループなどのアルゴリズムを定義します。フェーズIは、セキュアな認証通信を作成するために事前共有キーを確立します。フェーズIIでは、トラフィックが暗号化されます。プロトコル(カプセル化セキュリティペイロード(ESP))、認証ヘッダー(AH)、モード（トンネル、トランスポート）、アルゴリズム（暗号化、整合性、Diffie-Hellman）、Perfect Forward Secrecy(PFS)、SAライフタイム、キー管理プロトコル(Internet Key Exchange(IKE) - IKE) v1およびIKEv2)。

Cisco IPsecテクノロジーの詳細については、次のリンクを参照してください。Cisco IPSecテクノロジーの概要.

サイト間VPNを設定する場合、リモートルータはローカルルータと同じIPsecプロファイル設定を必要とすることに注意してください。

次に、ローカルルータとリモートルータの両方の設定の表を示します。このドキュメントでは、ルータAを使用してローカルルータを設定します。

フィールド	ローカルルータ（ルータA）	リモートルータ（ルータB）
プロファイル名	ホームオフィス	RemoteOffice
キーイングモード	自動	自動
IKEバージョン	IKEv2	IKEv2
フェーズIオプション	フェーズIオプション	フェーズIオプション
DH group	グループ2:1024ビット	グループ2:1024ビット
暗号化	AES-192	AES-192
[Authentication]	SHA2-256	SHA2-256
SAライフタイム	28800	28800
フェーズIIオプション	フェーズIIオプション	フェーズIIオプション
プロトコル選択	ESP	ESP
暗号化	AES-192	AES-192
[Authentication]	SHA2-256	SHA2-256
SAライフタイム	3600	3600
完全転送秘密	有効	有効
DH group	グループ2:1024ビット	グループ2:1024ビット

RV34xでサイト間VPNを設定する方法については、次のリンクをクリックしてください。RV34xでのサイト間VPNの設定。

該当するデバイス

・ RV34x

[Software Version]

·1.0.02.16

IKEv2によるIPsecプロファイルの設定

ステップ1：ローカルルータ（ルータA）のWeb設定ページにログインします。

ステップ2:[VPN] > [IPSec Profiles]に移動します。

ステップ3:[IPSec Profiles]テーブルで、[Add]をクリックして、新しいIPSecプロファイルを作成します。プロファイルを編集、削除、または複製するオプションもあります。プロファイルを複製すると、IPsecプロファイルテーブルにすでに存在するプロファイルをすばやく複製できます。同じ設定で複数のプロファイルを作成する必要がある場合は、クローンを作成することで時間を節約できます。

ステップ4：プロファイル名を入力し、キーイングモード（自動または手動）を選択します。プロファイル名は他のルータと一致する必要はありませんが、キーイングモードが一致する必要があります。

[プロファイル名]としてHomeOfficeが入力されます。

Autoがキーイングモードに選択されます。

ステップ5:IKEのバージョンとしてIKEv1またはIKEv2を選択します。IKEは、ISAKMPフレームワーク内でOakleyキー交換とSkemeキー交換を実装するハイブリッドプロトコルです。OakleyとSkemeはどちらも認証済みキーマテリアルの導出方法を定義しますが、Skemeには迅速なキーリフレッシュも含まれています。IKEv2は、キー交換に必要なパケットが少なく、より多くの認証オプションをサポートしますが、IKEv1は共有キーと証明書ベースの認証のみを行うため、より効率的です。

この例では、IKEのバージョンとしてIKEv2が選択されています。

注：使用しているデバイスがIKEv2をサポートしている場合は、IKEv2を使用することをお勧めします。使用しているデバイスがIKEv2をサポートしていない場合は、IKEv1を使用します。

ステップ6：フェーズIは、フェーズIIでデータを暗号化するために使用するキーを設定および交換します。[フェーズI]セクションで、DHグループを選択します。DHはキー交換プロトコルで、異なるプライムキー長の2つのグループGroup 2 - 1024ビットとGroup 5 - 1536ビットを持ちます。

このデモンストレーションでは、グループ2 - 1024ビットが選択されました。

注：速度が速くセキュリティが低い場合は、グループ2を選択します。速度が遅くセキュリティが高い場合は、グループ5を選択します。グループ2がデフォルトとして選択されます。

ステップ7：ドロップダウンリストから暗号化オプション(3DS、AES-128、AES-192、またはAES-256)を選択します。このメソッドは、ESP/ISAKMPパケットの暗号化および復号化に使用されるアルゴリズムを決定します。Triple Data Encryption Standard(3DES)は、DES暗号化を3回使用するが、従来のアルゴリズムであり、他に選択肢がない場合にのみ使用する必要がある。これは、まだ限界を超えているが許容できるセキュリティレベルを提供しているからである。一部の「ブロック・コリジョン」攻撃に対して脆弱なため、後方互換性のために必要な場合にのみ使用してください。Advanced Encryption Standard（AES；高度暗号化規格）は、DESよりも安全に設計された暗号化アルゴリズムです。AESでは、より大きなキーサイズを使用します。これにより、メッセージを復号化する唯一の既知のアプローチは、侵入者が可能なすべてのキーを試すことになります。使用しているデバイスでAESがサポートされている場合は、AESを使用することをお勧めします。

この例では、暗号化オプションとしてAES-192を選択しています。

注：ハイパーリンクをクリックすると、IPSecまたはNext Generation Encryption を使用したVPNのセキュリティの設定に関する詳細が表示されます。

ステップ8：認証方法は、ESPヘッダーパケットの検証方法を決定します。これは、サイドAとサイドBが実際に自分の身元を証明するために認証で使用されるハッシュアルゴリズムです。MD5は、128ビットのダイジェストを生成し、SHA1よりも高速な一方向ハッシュアルゴリズムです。SHA1は160ビットのダイジェストを生成する一方向ハッシュアルゴリズムで、SHA2-256は256ビットのダイジェストを生成します。SHA2-256の方がセキュアであるため、この方法が推奨されます。VPNトンネルの両端で同じ認証方式が使用されていることを確認します。認証(MD5、SHA1、またはSHA2-256)を選択します。

この例ではSHA2-256が選択されています。

ステップ9:SA Lifetime(Sec)は、このフェーズでIKE SAがアクティブになっている時間を示します。それぞれのライフタイムの後にSAが期限切れになると、新しいネゴシエーションが開始されます。範囲は120 ～ 86400で、デフォルトは28800です。

フェーズIのSAライフタイムとしてはデフォルト値の28800秒を使用します。

注：フェーズIのSAライフタイムは、フェーズIIのSAライフタイムよりも長くすることをお勧めします。フェーズIをフェーズIIよりも短くする場合、データトンネルとは対照的に、頻繁にトンネルの前後を再ネゴシエートする必要があります。データトンネルはより多くのセキュリティを必要とするため、フェーズIIのライフタイムをフェーズIよりも短くすることをお勧めします。

ステップ10:フェーズIIでは、送受信されるデータを暗号化します。[Phase 2 Options]で、ドロップダウンリストからプロトコルを選択します。

・ Encapsulating Security Payload(ESP)：データ暗号化にESPを選択し、暗号化を入力します。

・認証ヘッダー(AH) – データが秘密でない場合、つまり、暗号化されていないが認証が必要な場合に、データの整合性を確保するために選択します。トラフィックの送信元と宛先を検証するためにのみ使用されます。

この例では、プロトコルの選択にESPを使用します。

ステップ11:ドロップダウンリストから暗号化オプション(3DES、AES-128、AES-192、AES-256)を選択します。この方式は、ESP/ISAKMPパケットの暗号化と復号化に使用されるアルゴリズムを決定します。

この例では、暗号化オプションとしてAES-192を使用します。

注：ハイパーリンクをクリックすると、IPSecまたはNext Generation Encryption を使用したVPNのセキュリティの設定に関する詳細が表示されます。

ステップ12：認証方式は、Encapsulating Security Payload Protocol(ESP)ヘッダーパケットの検証方法を決定します。認証(MD5、SHA1、またはSHA2-256)を選択します。

この例ではSHA2-256が選択されています。

ステップ13：このフェーズでVPNトンネル(IPsec SA)がアクティブになっている時間を入力します。フェーズ2のデフォルト値は3600秒です。このデモンストレーションでは、デフォルト値を使用します。

ステップ14:[Enable]をオンにして、Perfect Forward Secrecyを有効にします。Perfect Forward Secrecy（PFS；完全転送秘密）が有効になっている場合、IKEフェーズ2ネゴシエーションによって、IPSecトラフィックの暗号化と認証に関する新しい鍵材料が生成されます。PFSは、公開キー暗号化を使用してインターネット経由で送信される通信のセキュリティを向上するために使用されます。これは、使用しているデバイスでサポートできる場合に推奨されます。

ステップ15:Diffie-Hellman(DH)グループを選択します。DHはキー交換プロトコルで、異なるプライムキー長の2つのグループGroup 2 - 1024ビットとGroup 5 - 1536ビットを持ちます。このデモでは、グループ2 - 1024ビットを選択しました。

注：速度が速くセキュリティが低い場合は、グループ2を選択します。速度が遅くセキュリティが高い場合は、グループ5を選択します。グループ2はデフォルトで選択されています。

ステップ16:[Apply]をクリックして新しいIPsecプロファイルを追加します。

ステップ17:[Apply]をクリックした後、新しいIPsecプロファイルを追加する必要があります。

kev_120718_ikecon_step1

ステップ18：ページの上部にある[保存(Save)]アイコンをクリックして、[構成管理(Configuration Management)]に移動し、実行コンフィギュレーションをスタートアップコンフィギュレーションに保存します。これは、リブート間の設定を保持するためです。

ステップ19:[Configuration Management]で、[Source]が[Running Configuration]で、[Destination]が[Startup Configuration]であることを確認します。次に[Apply]を押して、実行コンフィギュレーションをスタートアップコンフィギュレーションに保存します。ルータが現在使用しているすべての設定は、揮発性であり、リブート間は保持されない実行コンフィギュレーションファイルにあります。実行コンフィギュレーションファイルをスタートアップコンフィギュレーションファイルにコピーすると、リブート間にすべての設定が保持されます。

kev_120718_ikecon_step3