@network Cisco・アライド実機で学ぶ > Cisco実機で学ぶ(CCNP) > VPN(IKE・フェーズ1・フェーズ2)

 Amazon
@network Cisco・アライド実機で学ぶ
◆VPN(IKE・フェーズ1・フェーズ2)

※動作確認は、Cisco2500、Cisco1720、Cisco1721、Cisco2611、Cisco2650、Cisco3620シリーズのルータ、Catalyst2900、Catalyst2950シリーズのスイッチなどで確認しています。コマンド、出力結果、動作は、機種、IOSのバージョンで異なる場合があります。
 資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。

スポンサードリンク

◆VPN(IKE・フェーズ1・フェーズ2)

 VPNで、実際にパケットをやり取りする前に、VPN装置間でコネクションを確立する必要があります。そのコネクションは「SA」と呼ばれるトンネルです。IPSec で通信行う場合、全てこの「SA」というトンネルを経由してパケットを送受信します。

 「SA」を生成するためにIPSecでは、IKE(インターネット鍵交換プロトコル)を使用してIPSec においてセッションとも言える「SA」を制御しています。

 IKEのコネクションは、安全性を高めるためにフェーズ1とフェーズ2の2つの段階を経て「SA」が構築されます。フェーズ1は、「SA」を生成するための下準備になります。

【フェーズ1の役割】

●SAを確立する相手の認証
●フェーズ2の通信を安全に行う為の共有秘密鍵の生成
●ISAKMP SAの確立

【フェーズ2の役割】

●IPsecで通信時に使用する秘密鍵の生成
●IPsec SAの確立

それでは、フェーズ1から、何が行われるかを説明してゆきます。


◆フェーズ1(ISAKMP SA)

 「ISAKMP」と書いて「アイサキャンプ」と読みます。フェーズ1には、「メインモード」と「アグレッシブモード」の2種類があります。この2つのモードの大きな違いは、接続先相手の認証で交換されるID情報が暗号化されるかどうかです。

 メインモードは、ID情報を暗号化して送信するのに対して、アグレッシブモードでは、暗号化されず、平文のままで送信されます。

 IKEでは、対になるVPN装置ごとに秘密鍵を設定するようになっています。アグレッシブモードでは、ID情報が暗号化されないため、IPアドレスで相手を特定する必要がありません。メインモードでは、送信元IPアドレスをIDとして使用する実装になっています。

●メインモード

 アグレッシブモードよりセキュリティの高いネゴシエーション方法です。IPSec を張る側装置のIPアドレスは、固定でなければなりません。ISPより不定期にIPアドレスが切り替わってしまうインターネット環境で、利用するのは困難な方法です。

セッションは、「固定IP+固定IP」になります。

●アグレッシブモード

 メインモードよりもセキュリティが低いネゴシエーション方法です。IPSec を張る側装置のIPアドレスは、動的に変化しても利用可能です。ISPより不定期にIPアドレスが切り替わってしまうインターネット環境では、こちらのモードが利用されます。

セッションは、「動的IP+固定IP」になります。

●Diffie-Hellman交換

 安全でない通信経路上で秘密鍵を安全に送受信するための鍵交換方式で、「離数対数」という計算方式で得られる乱数を使用する。

 「Group1(768bit)」、「Group2(1,024bit)」、「Group5(1,536bit)」などがあり、数値の大きいほうが暗号化強度が高い。ただし、高いほどオーバーヘッドがかかります。

●IPSec 通信の流れ
メインモード アグレッシブモード
【フェース1】
(Initiator)          (Responder)
@SAパラメータの交換
 アルゴリズム方式、SAパラメータ
−−−−−−−−−−−−−−−−−→
 条件の一つを選択
←−−−−−−−−−−−−−−−−−



ADiffie-Hellmanによる鍵交換
−−−−−−−−−−−−−−−−−→
←−−−−−−−−−−−−−−−−−

B接続先認証(VPNルータ間)
−−−−−−−−−−−−−−−−−→
←−−−−−−−−−−−−−−−−−

ISAKMP SAの生成
【フェース1】
(Initiator)          (Responder)
@SAパラメータの交換
 ほとんどの情報(SAパラメータ、ID、秘密鍵など)
−−−−−−−−−−−−−−−−−→
 全て交換
←−−−−−−−−−−−−−−−−−
 ハッシュ値の交換
−−−−−−−−−−−−−−−−−→









ISAKMP SAの生成
【フェーズ2】
IPSec SAの生成
【フェーズ2】
IPSec SAの生成
Initiator:セッション開始側
Responder:セッション応答側


◆フェーズ2(IPSec SA)

 フェーズ1で暗号化された経路「ISAKMP SA」が確立されているので、メッセージのやり取りは、簡略化されています。やり取りする内容は、IPSec SAの暗号化方式や鍵の生成に必要な情報や鍵の有効期限などです。フェーズ2で実際に暗号化したいデータを暗号化と認証が行われます。


◆リキー(ReKey)

 安全性を高めるために、IPSecでは、トンネルの張り直しが行われます。フェーズ1、フェーズ2には有効期限が設定されおり、古いSAは、削除されるようになっています。

 有効期限は、経過時間または、送受信したパケット量(バイト数)で設定するようになっています。有効期限が過ぎると通信が切断されることになるので、切断を防ぐために古いSAが動作している間に、新しいSAを作成しておきます。ことことをリキーと言います。


◆IKEキープアライブ

 対向装置が、動的にIPアドレスを取得している場合、対向装置のIPアドレスが変更されてしまいます。IKEキープアライブ機能は、不意の切断にも再接続を試みて回線を復旧することができます。

「アグレッシブモード」の場合に必要な機能になります。

次の「VPN(トランスポートモード・トンネルモード)」では、VPNの通信モードについて説明します。



<ネットワーク資格の練習問題に挑戦>
CCNA練習問題に挑戦!(650問)
Network+練習問題に挑戦!(393問)
テクニカルエンジニア(ネットワーク)試験
◆Cisco実機で学ぶ(CCNAルータ編)

ルータの概要・基本操作・設定1 (17項目)
ルータの概要・基本操作・設定3 (22項目)
IGRP・EIGRPの設定 (18項目)
アクセスリスト・ACLの設定 (14項目)
NAT・DHCPの設定 (8項目)
ルータの概要・基本操作・設定2 (17項目)
RIPv1・RIPv2の設定 (14項目)
OSPFの設定・デフォルトルートの伝播(16項目)
WANの設定 (10項目)
◆Cisco実機で学ぶ(CCNAスイッチ編)

スイッチの基本操作・設定 (14項目)
VTP・スパニングツリーの設定 (12項目)
MACアドレスの管理・VLANの設定 (12項目)

◆アライドテレシス実機で学ぶ

基本操作・設定 (11項目)
OSPFの設定 (9項目)
ポリシールーティング・VRRPなど (12項目)
VLAN・マルチホーミング・RIPの設定 (10項目)
STP・ポートトランキングなど (14項目)
<関連コンテンツ>
◆Cisco実機で学ぶ(CCNP)

VPN(VPNとは)
VPN(IKE・フェーズ1・フェーズ2)
VPN(暗号化・認証アルゴリズム)
VPN(VPNの設定手順 その2)
VPN(基本設定 その1)
VPN(基本設定 その3 検証)
VPN(VPN接続とインターネット その1)
VPN(VPN接続とインターネット その3)
VPN(GREトンネルとルーティングプロトコル 1)
VPN(GREトンネルとルーティングプロトコル 3)
VPN(GREトンネルとルーティングプロトコル 5)
VPN(3拠点のVPN接続 その1)
VPN(3拠点のVPN接続 その3)
VPN(DMVPN その1)
VPN(DMVPN その3)
VPN(DMVPN その5)
VPN(DMVPN その7)
VPN(VPNとNAT その1)
VPN(VPNとNAT その3)
VPN(VPNとNAT その5)
VPN(VPNとNAT その7)
VPN(トンネル・エンドポイント・ディスカバリ 2)
VPN(トンネル・エンドポイント・ディスカバリ 4)
VPN(トンネル・エンドポイント・ディスカバリ 6)
VPN(インターネットVPN・IPsec)
VPN(トランスポートモード・トンネルモード)
VPN(VPNの設定手順 その1)
VPN(VPNの設定手順 まとめ)
VPN(基本設定 その2)
VPN(基本設定 その4 確認)
VPN(VPN接続とインターネット その2)
VPN(VPNとルーティングプロトコル)
VPN(GREトンネルとルーティングプロトコル 2)
VPN(GREトンネルとルーティングプロトコル 4)
VPN(GREトンネルとルーティングプロトコル 6)
VPN(3拠点のVPN接続 その2)
VPN(3拠点のVPN接続 その4)
VPN(DMVPN その2)
VPN(DMVPN その4)
VPN(DMVPN その6)
VPN(DMVPN その8)
VPN(VPNとNAT その2)
VPN(VPNとNAT その4)
VPN(VPNとNAT その6)
VPN(トンネル・エンドポイント・ディスカバリ 1)
VPN(トンネル・エンドポイント・ディスカバリ 3)
VPN(トンネル・エンドポイント・ディスカバリ 5)
VPN(トンネル・エンドポイント・ディスカバリ 7)

<関連メニュー>
CCNA実機で学ぶ
CCNP実機で学ぶ
アライドテレシス実機で学ぶ
TCP/IP入門・無料ネットワークツール

Copyright(c)2006- @network Cisco・アライド実機で学ぶ All rights reserved.