このドキュメントの目的は、RV160およびRV260シリーズルータでIPsec Profile for Manual Keyingモードを設定する方法を示すことです。
IPsecにより、インターネット上でセキュアなプライベート通信が可能になります。インターネットを介して機密情報を送信するための、2つ以上のホストのプライバシー、整合性、および信頼性を提供します。IPsecは一般的に仮想プライベートネットワーク(VPN)で使用され、IPレイヤで実装され、セキュリティを欠く多くのアプリケーションを支援できます。VPNは、インターネットなどのセキュアでないネットワークを介して送信される機密データおよびIP情報のためのセキュアな通信メカニズムを提供するために使用されます。リモートユーザや組織が同じネットワーク上の他のユーザから機密情報を保護するための柔軟なソリューションを提供します。
手動キーイングモードにより、IPsecの柔軟性とオプションが低下します。ユーザは、設定する各デバイスに鍵関連情報と必要なセキュリティアソシエーション情報を提供する必要があります。手動キー入力は、小規模な環境で通常使用するのが最適であるため、適切にスケールしません。
この方法を使用するのは、このルータでのInternet Key Exchange(IKE;インターネット鍵交換)v1またはIKEv2の実装がリモートルータと同じでない場合、またはルータの1つがIKEをサポートしていない場合だけです。このような場合、キーを手動で入力できます。ルータがIKEv1とIKEv2の両方をサポートし、同じ規格に準拠している場合は、手動キーイングモードではなく、IPsecプロファイルのオートキーモードを設定することを推奨します。
手動キーイングモードを使用する場合は、ローカルルータのキーインがリモートルータのキーアウトであり、リモートルータのキーインがローカルルータのキーアウトであることを確認してください。
2台のルータの設定例を次に示します。
フィールド | ルータ A | ルータ B |
SPI受信 | 100 | 100 |
SPI発信 | 100 | 100 |
暗号化 | AES-256 | AES-256 |
キーイン | ...91bb2b489ba0d28c7741b | ...858b8c5ec355505650b16 |
キーアウト | ...858b8c5ec355505650b16 | ...91bb2b489ba0d28c7741b |
[Authentication] | SHA2-256 | SHA2-256 |
キーイン | ...A00997ec3a195061c81e4 | ...2f2de681af020b9ad5f3e3 |
キーアウト | ...2f2de681af020b9ad5f3e3 | ...A00997ec3a195061c81e4 |
Cisco IPsecテクノロジーの詳細については、次のリンクを参照してください。Cisco IPSecテクノロジーの概要。
RV160およびRV260でオートキーモードを使用してIPsecプロファイルを設定する方法については、ここをクリックしてください。
RV160およびRV260でサイト間VPNを設定する方法については、ここをクリックしてください。
セットアップウィザードを使用してサイト間VPNを設定するには、次の記事を参照してください。RV160およびRV260でのVPNセットアップウィザードの設定』を参照してください。
・ RV160
・ RV260
·1.0.00.15
ステップ1:Web設定ユーティリティにログインします。
ステップ2:[VPN] > [IPSec VPN] > [IPSec Profiles]に移動します。
ステップ3:プラスアイコンを押して、新しいIPsecプロファイルを作成します。
ステップ4:[Profile Name]フィールドにプロファイル名を入力します。
ステップ5:キーイングモードに対してManualを選択します。
ステップ6:[IPSec Configuration(IPSecの設定)]セクションで、Security Parameter Index(SPI)IncomingおよびSPI Outgoingを入力します。SPIは、IPトラフィックのトンネリングにIPsecを使用しながら、ヘッダーに追加される識別タグです。このタグは、異なる暗号化ルールとアルゴリズムが使用されている2つのトラフィックストリーム間の区別に役立ちます。16進数範囲は100 ~ FFFFFFFFです。
SPIの着信と発信の両方に対してデフォルト値100を使用します。
ステップ7:ドロップダウンリストから暗号化(3DES、AES-128、AES-192、またはAES-256)を選択します。この方式は、ESP/ISAKMPパケットの暗号化または復号化に使用されるアルゴリズムを決定します。Triple Data Encryption Standard(3DES)は、DES暗号を3回使用しているが、現在はレガシーアルゴリズムである。これは、より優れた選択肢がない場合にのみ使用する必要があることを意味します。これは、まだ限界を持ちながらも許容可能なセキュリティレベルを提供しているためです。一部の「ブロック・コリジョン」攻撃に対して脆弱なため、後方互換性のために必要な場合にのみ使用してください。3DESはセキュアとは見なされないため、使用することは推奨されません。
高度暗号化規格(AES)は、3DESよりも安全に設計された暗号化アルゴリズムです。AESでは、より大きなキーサイズを使用します。これにより、メッセージを復号化する唯一の既知のアプローチは、侵入者が可能なすべてのキーを試すことになります。使用しているデバイスでAESがサポートされている場合は、AESを使用することをお勧めします。
この例では、暗号化としてAES-256を使用します。
ステップ8:[Key In]フィールドに64文字の16進数を入力してください。これは、16進形式で受信されたESPパケットを復号化するためのキーです。
ベスト プラクティス:ランダムな16進数ジェネレータを使用して、キーインとキーアウトを設定します。リモートルータの16進数が同じであることを確認します。
ステップ9:[Key Out(キーアウト)]フィールドに64文字の16進数を入力してください。これは、プレーンパケットを16進形式で暗号化するためのキーです。
ステップ10:認証方式は、ESPヘッダーパケットの検証方法を決定します。これは、サイドAとサイドBが実際に自分の身元を証明するために認証で使用されるハッシュアルゴリズムです。
MD5は、128ビットのダイジェストを生成し、SHA1よりも高速な一方向ハッシュアルゴリズムです。SHA1は160ビットのダイジェストを生成する一方向ハッシュアルゴリズムで、SHA2-256は256ビットのダイジェストを生成します。SHA2-256の方がセキュアであるため、この方法が推奨されます。VPNトンネルの両端で同じ認証方式が使用されていることを確認します。認証(MD5、SHA1、またはSHA2-256)を選択します。
この例では、SHA2-256を選択します。
ステップ11:[Key In]フィールドに64文字の16進数を入力します。これは、16進形式で受信されたESPパケットを復号化するためのキーです。
ステップ12:[Key Out]フィールドに64文字の16進数を入力します。これは、プレーンパケットを16進形式で暗号化するためのキーです。
ステップ13:[Apply]を押して新しいIPsecプロファイルを作成します。
ステップ14:ページの上部にある[保存]ボタンをクリックします。[構成管理]ページに移動します。
ステップ15:ルータが現在使用しているすべての設定は、実行コンフィギュレーションファイルにあります。デバイスの電源が切れた場合、またはデバイスがリブートされた場合、設定は失われます。実行コンフィギュレーションファイルをスタートアップコンフィギュレーションファイルにコピーすると、コンフィギュレーションが確実に保存されます。[Configuration Management]で、[Source]が[Running Configuration]で、[Destination]が[Startup Configuration]であることを確認します。[Apply] をクリックします。
これで、RV160またはRV260で手動キーイングモードを使用してIPsecプロファイルを正しく設定できました。