@network Cisco・アライド実機で学ぶ > Cisco実機で学ぶ(CCNP) > VPN(インターネットVPN・IPsec)

 Rakuten
@network Cisco・アライド実機で学ぶ
◆VPN(インターネットVPN・IPsec)

※動作確認は、Cisco2500、Cisco1720、Cisco1721、Cisco2611、Cisco2650、Cisco3620シリーズのルータ、Catalyst2900、Catalyst2950シリーズのスイッチなどで確認しています。コマンド、出力結果、動作は、機種、IOSのバージョンで異なる場合があります。
 資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。

スポンサードリンク

◆VPN(インターネットVPN・IPsec)

 現在VPNは、インターネットを介して、自前でVPNを構築する「インターネットVPN」と、ISPが提供するIP網を利用してVPNを構築する「IP-VPN」の2種類が主流です。ここでは、インターネットVPNを構築する際の標準的なプロトコルであるIPSecについて説明します。

 インターネットを介して構築されるVPNをインターネットVPNといいます。インターネットでは、通信内容の盗聴や改ざんが行われる危険があるため、IPsecを使用して認証を行い、通信内容を暗号化し、セキュアな通信を可能にしています。



◆IPsec

 IPsec は、暗号化と認証の総称で、複数のプロトコル体系で構成されています。IPsecを理解するためには、次のプロトコル体系を理解しておく必要ががあります。

●IKE (UDP500番ポート)
●AH (TCP51番ポート)
●ESP (TCP50番ポート)

IPSec では、主にAHとESPの2つのプロトコルで制御されます。


◆IKE

 IKEは、インターネット鍵交換プロトコルで、IPSec におけるセッションとも言える「SA」を制御するためのプロトコルです。

 実際にパケットをやり取りする前に、VPN装置間でコネクションを確立する必要があります。そのコネクションが「SA(Security Assosiation)」と呼ばれるトンネルです。IPSec で通信行う場合、全てこの「SA」というトンネルを経由してパケットを送受信します。


 「SA」とは、単方向のコネクションのため、パケットを送受信するには、2本の「SA」が必要になります。また「SA」は、プロトコルごとに確立されるため、AHとESPの両方使用して双方向で通信を行う場合は、4つの「SA」が必要になります。
※AHとESPの併用はスループットが低下するため、あまり利用されていません。

 IKEを利用することで、鍵の生成と交換、そして、安全性を高めるため鍵の定期的に更新を自動的に行うことができます。


◆AH

 AHは、IPSecでパケットを認証するためのプロトコルです。送信元の認証、改ざんされていないことの保証、リプレイ・アタックの阻止などの機能を提供します。


◆ESP

 ESPは、IPSecでパケットの暗号化を行うためのプロトコルです。今では、認証機能も持つため、AHをを使わなくともESPのみでIPSecの実装が可能です。

 昔は、AHとESPの住み分けができていましたが、AHとESPを併用するとスループットが低下するため、現在、併用して利用されることは、あまりありません。認証を強化したい場合は、併用します。


◆IPSecの動作

 IPSecの動作の流れを簡単に示すと以下のようになります。IPSecを用いたVPNでは、フェーズ1、フェーズ2を行った後に、暗号化したIPパケットを通信を通信するようになっています。

●ISAKMP SA(フェーズ1)・・・ISAKMP SAを確立する。
●IPSec SA(フェーズ2)・・・フェーズ1で作成したISAKMP SA内で、IPSec SAを確立する。
●IPSecの暗号通信・・・フェーズ2で作成したISAKMP SA内で、暗号化したパケットを通信する。

 次の「VPN(IKE・フェーズ1・フェーズ2)」では、IKEにおける「ISAKMP SA」、「IPSec SA」の確立について説明します。



<ネットワーク資格の練習問題に挑戦>
CCNA練習問題に挑戦!(650問)
Network+練習問題に挑戦!(393問)
テクニカルエンジニア(ネットワーク)試験
◆Cisco実機で学ぶ(CCNAルータ編)

ルータの概要・基本操作・設定1 (17項目)
ルータの概要・基本操作・設定3 (22項目)
IGRP・EIGRPの設定 (18項目)
アクセスリスト・ACLの設定 (14項目)
NAT・DHCPの設定 (8項目)
ルータの概要・基本操作・設定2 (17項目)
RIPv1・RIPv2の設定 (14項目)
OSPFの設定・デフォルトルートの伝播(16項目)
WANの設定 (10項目)
◆Cisco実機で学ぶ(CCNAスイッチ編)

スイッチの基本操作・設定 (14項目)
VTP・スパニングツリーの設定 (12項目)
MACアドレスの管理・VLANの設定 (12項目)

◆アライドテレシス実機で学ぶ

基本操作・設定 (11項目)
OSPFの設定 (9項目)
ポリシールーティング・VRRPなど (12項目)
VLAN・マルチホーミング・RIPの設定 (10項目)
STP・ポートトランキングなど (14項目)
<関連コンテンツ>
◆Cisco実機で学ぶ(CCNP)

VPN(VPNとは)
VPN(IKE・フェーズ1・フェーズ2)
VPN(暗号化・認証アルゴリズム)
VPN(VPNの設定手順 その2)
VPN(基本設定 その1)
VPN(基本設定 その3 検証)
VPN(VPN接続とインターネット その1)
VPN(VPN接続とインターネット その3)
VPN(GREトンネルとルーティングプロトコル 1)
VPN(GREトンネルとルーティングプロトコル 3)
VPN(GREトンネルとルーティングプロトコル 5)
VPN(3拠点のVPN接続 その1)
VPN(3拠点のVPN接続 その3)
VPN(DMVPN その1)
VPN(DMVPN その3)
VPN(DMVPN その5)
VPN(DMVPN その7)
VPN(VPNとNAT その1)
VPN(VPNとNAT その3)
VPN(VPNとNAT その5)
VPN(VPNとNAT その7)
VPN(トンネル・エンドポイント・ディスカバリ 2)
VPN(トンネル・エンドポイント・ディスカバリ 4)
VPN(トンネル・エンドポイント・ディスカバリ 6)
VPN(インターネットVPN・IPsec)
VPN(トランスポートモード・トンネルモード)
VPN(VPNの設定手順 その1)
VPN(VPNの設定手順 まとめ)
VPN(基本設定 その2)
VPN(基本設定 その4 確認)
VPN(VPN接続とインターネット その2)
VPN(VPNとルーティングプロトコル)
VPN(GREトンネルとルーティングプロトコル 2)
VPN(GREトンネルとルーティングプロトコル 4)
VPN(GREトンネルとルーティングプロトコル 6)
VPN(3拠点のVPN接続 その2)
VPN(3拠点のVPN接続 その4)
VPN(DMVPN その2)
VPN(DMVPN その4)
VPN(DMVPN その6)
VPN(DMVPN その8)
VPN(VPNとNAT その2)
VPN(VPNとNAT その4)
VPN(VPNとNAT その6)
VPN(トンネル・エンドポイント・ディスカバリ 1)
VPN(トンネル・エンドポイント・ディスカバリ 3)
VPN(トンネル・エンドポイント・ディスカバリ 5)
VPN(トンネル・エンドポイント・ディスカバリ 7)

<関連メニュー>
CCNA実機で学ぶ
CCNP実機で学ぶ
アライドテレシス実機で学ぶ
TCP/IP入門・無料ネットワークツール

Copyright(c)2006- @network Cisco・アライド実機で学ぶ All rights reserved.