RV130およびRV130W VPNルータのインターネットキーエクスチェンジ(IKE)ポリシー設定

ダウンロード オプション

  • PDF     (426.6 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2017 年 8 月 18 日
Document ID:SMB4991

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

RV130およびRV130W VPNルータのインターネットキーエクスチェンジ(IKE)ポリシー設定

目的

インターネットキーエクスチェンジ(IKE)は、2つのネットワーク間でセキュアな通信を確立するプロトコルです。IKEを使用すると、パケットは暗号化され、2つのパーティが使用するキーでロックおよびロック解除されます。

VPNポリシーを設定する前に、インターネットキーエクスチェンジ(IKE)ポリシーを作成する必要があります。詳細は、『RV130およびRV130WでのVPNポリシー設定』を参照してください。

このドキュメントの目的は、IKEプロファイルをRV130およびRV130W VPNルータに追加する方法を説明することです。

適用可能なデバイス

・ RV130
・ RV130W

手順

ステップ 1:Router Configuration Utilityを使用して、左側のメニューからVPN > Site-to-Site IPSec VPN > Advanced VPN Setupの順に選択します。Advanced VPN Setupページが表示されます。

ステップ 2:IKE Policy Tableの下で、Add Rowをクリックします。新しいウィンドウが表示されます。

ステップ 3:IKE NameフィールドにIKEポリシーの名前を入力します。

ステップ 4:Exchange Modeドロップダウンメニューから、キー交換を使用してセキュアな通信を確立するモードを選択します。

使用可能なオプションは、次のように定義されます。

・ Main:ピアのIDを保護してセキュリティを向上させます。

・ アグレッシブ:ピアIDは保護されませんが、より高速な接続が提供されます。

ステップ 5:Local Identifier Typeドロップダウンメニューから、プロファイルが保持するIDのタイプを選択します。

使用可能なオプションは、次のように定義されます。

・ ローカルWAN(インターネット)IP:インターネット経由で接続します。

・ IPアドレス:ネットワーク上で通信するためにインターネットプロトコルを使用している各マシンを識別するピリオドで区切られた一意の数字ストリング。

ステップ6:(オプション)ステップ5でドロップダウンリストからIP Addressを選択した場合は、Local IdentifierフィールドにローカルIPアドレスを入力します。

手順 7:Remote Identifier Typeドロップダウンメニューから、プロファイルのIDのタイプを選択します。

使用可能なオプションは、次のように定義されます。

・ ローカルWAN(インターネット)IP:インターネット経由で接続します。

・ IPアドレス:ネットワーク上で通信するためにインターネットプロトコルを使用している各マシンを識別するピリオドで区切られた一意の数字ストリング。

ステップ8:(オプション)ステップ7でドロップダウンリストからIP Addressを選択した場合は、Remote IdentifierフィールドにリモートIPアドレスを入力します。

ステップ 9:Encryption Algorithmドロップダウンメニューから、通信を暗号化するアルゴリズムを選択します。AES-128がデフォルトとして選択されます。

使用可能なオプションは、セキュリティのレベルが最も低いものから最も高いものまで、次のとおりです。

・ DES:Data Encryption Standard(データ暗号規格)。

・ 3DES:Triple Data Encryption Standard(トリプルデータ暗号規格)。

・ AES-128:Advanced Encryption Standard(AES)では128ビットキーが使用されます。

・ AES-192:Advanced Encryption Standard(AES)では192ビットキーが使用されます。

・ AES-256:Advanced Encryption Standard(AES)では256ビットキーが使用されます。

注:AESは、より優れたパフォーマンスとセキュリティを実現する、DESおよび3DESを介した標準的な暗号化方式です。AESキーを長くすると、パフォーマンスが低下してセキュリティが向上します。AES-128は、速度とセキュリティの間で最適な妥協点を提供するため、推奨されます。

ステップ 10:Authentication Algorithmドロップダウンメニューから、通信を認証するアルゴリズムを選択します。SHA-1がデフォルトとして選択されます。

使用可能なオプションは、次のように定義されます。

・ MD5:メッセージダイジェストアルゴリズムには128ビットのハッシュ値があります。

・ SHA-1 – セキュアハッシュアルゴリズムには160ビットのハッシュ値があります。

・ SHA2-256:256ビットのハッシュ値を使用するセキュアハッシュアルゴリズム。

注:MD5とSHAはどちらも暗号化ハッシュ関数です。データの一部を取得し、圧縮して、通常は再現不可能な一意の16進数出力を作成します。MD5は、基本的にハッシュ衝突に対するセキュリティを提供しないため、衝突耐性が不要なスモールビジネス環境でのみ使用する必要があります。SHA1はMD5よりも優れた選択肢です。わずかな速度差でセキュリティが向上するからです。最適な結果を得るために、SHA2-256には実用的な攻撃がなく、最適なセキュリティが提供されます。前述したように、セキュリティを高くすると、速度が遅くなります。

ステップ 11Pre-Shared Keyフィールドに、8 ~ 49文字の長さのパスワードを入力します。

ステップ 12DH Groupドロップダウンメニューから、DHグループを選択します。ビット数は、セキュリティのレベルを示します。接続の両端が同じグループに属している必要があります。

ステップ 13SA-Lifetimeフィールドに、セキュリティアソシエーションが有効である期間を秒単位で入力します。デフォルト値は 28800 秒です。

ステップ14:(オプション)非アクティブピアとの接続を無効にする場合は、Dead Peer DetectionフィールドのEnableチェックボックスにチェックマークを入れます。Dead peer Detectionをイネーブルにしていない場合は、ステップ17に進みます。

ステップ15:(オプション)Dead Peer Detectionをイネーブルにした場合は、DPD Delayフィールドに値を入力します。この値は、ルータがクライアント接続の確認を待機する時間の長さを指定します。

ステップ16:(オプション)Dead Peer Detectionをイネーブルにした場合は、DPD Timeoutフィールドに値を入力します。この値は、クライアントがタイムアウトになるまで接続を維持する時間を指定します。

ステップ 17:[Save] をクリックして変更を保存します。

更新履歴

改定 発行日 コメント
1.0
12-Dec-2018
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ