@network Cisco・アライド実機で学ぶ > Cisco実機で学ぶ(CCNP) > VPN(VPNの設定手順 その1)

 Rakuten
@network Cisco・アライド実機で学ぶ
◆VPN(VPNの設定手順 その1)

※動作確認は、Cisco2500、Cisco1720、Cisco1721、Cisco2611、Cisco2650、Cisco3620シリーズのルータ、Catalyst2900、Catalyst2950シリーズのスイッチなどで確認しています。コマンド、出力結果、動作は、機種、IOSのバージョンで異なる場合があります。
 資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。

スポンサードリンク

◆VPN(VPNの設定手順 その1)

ここでは、CiscoルータにおけるVPNの設定の流れを説明してゆきます。

Ciscoルータで、インターネットVPNを設定する手順は、次のようになります。

●インターネットVPNの設定の流れ

1.VPNの対象とするトラフィックの定義(アクセスリスト)
2.IKEポリシーの定義(SAパラメータの指定)
3.認証の設定(共通鍵とIPアドレスの関連付け)

4.トランスフォームセットの定義(IPSec通信設定)
5.IPSecポリシーの定義
6.インタフェースへのIPSec ポリシーの適用

ここでは、手順1〜手順3までを説明してゆきます。


1.VPNの対象とするトラフィックの定義

 まずは、インターネット向けの通信で、どのトラフィックがIPSec VPNの対象のトラフィックなのかを指示する必要があります。

 VPN対象のトラフィックを指示するには、アクセスリストを使用します。送信元と宛先を指定できる拡張アクセスリストを使用します。

拡張IPアクセスリストの構文は以下のようになります。

Router(config)#access-list {番号} {permit | deny} {プロトコル} {送信元IP} {送信元ワイルドカードマスク} {宛先IP} {宛先ワイルドカードマスク} [オプション]

 「permit」は、VPN対象のトラフィックになります。「deny」は、拒否でパケットをブロックするわけではないので注意して下さい。「deny」は、VPN通信の対象外という意味になります。

拡張アクセスリストについては、こちら「拡張ACL」で説明しています。


2.IKEポリシーの定義

◆ISAKAMPポリシーの定義

 ISAKMP SA(フェーズ1)の暗号化、認証の各パラメータを設定してゆきます。設定は、「config-isakmp」モードで指定してゆきます。

Router(config)#crypto isakmp policy {ポリシー番号}

ポリシー番号:1〜10000(1が最優先)

コマンドを入力すると次のようにプロンプトが変わります。

Router(config)#crypto isakmp policy 1
Router(config-isakmp)#

◆各パラメータの定義

各パラメータには、次のものがあります。

●認証方式
●暗号化アルゴリズム
●Diffie-Hellmanグループ
●ハッシュアルゴリズム
●有効期限
●認証の設定(共通鍵とIPアドレスの関連付け)


 「暗号化アルゴリズム」、「Diffie-Hellmanグループ」、「ハッシュアルゴリズム」、「有効期限」にはデフォルト値が用意されています。

【認証方式】

認証方式には、公開鍵方式と共通鍵方式があります。

Router(config-isakmp)#authentication {pre-share | rsa-encr | rsa-sig}

Router(config-isakmp)#authentication ?
  pre-share  Pre-Shared Key
  rsa-encr   Rivest-Shamir-Adleman Encryption
  rsa-sig    Rivest-Shamir-Adleman Signature

「pre-share」を選択するのが一般的です。

【暗号化アルゴリズム】

暗号化アルゴリズムを指定します。

Router(config-isakmp)#encryption {3des| aes | des}

Router(config-isakmp)#encryption ?
  3des  Three key triple DES
  aes   AES - Advanced Encryption Standard.
  des   DES - Data Encryption Standard (56 bit keys).

「3des」を選択するのが一般的です。

【Diffie-Hellmanグループ】

秘密鍵を安全に送受信するための「Diffie-Hellman」のグループを選択します。

 「Group1(768bit)」、「Group2(1,024bit)」、「Group5(1,536bit)」があり、数値の大きいほうが暗号化強度が高い。ただし、高いほどオーバーヘッドがかかります。

Router(config-isakmp)#group {1| 2 | 5}

Router(config-isakmp)#group ?
  1  Diffie-Hellman group 1
  2  Diffie-Hellman group 2
  5  Diffie-Hellman group 5

指定しない場合のデフォルト値は、「group 1」です。

【ハッシュアルゴリズム】

 認証アルゴリズムを指定します。ハッッシュアルゴリズムには、「md5」、「sha」が選択できますが、一般的には、セキュリティが高いSHA-1の「sha」を選択します。

Router(config-isakmp)#hash {md5| sha}

Router(config-isakmp)#hash ?
  md5  Message Digest 5
  sha  Secure Hash Standard

【有効期限】

 有効期限を設定します。SAを長い時間、使用するとはセキュリティの脆弱性になりかねません。適当な時間を指定します。

Router(config-isakmp)#lifetime {秒数}

Router(config-isakmp)#lifetime ?
  <60-86400>  lifetime in seconds

デフォルト値は、「86400」で1日となっています。


3.認証の設定(共通鍵とIPアドレスの関連付け)

対向ルータと共通で使用する共通鍵(パスワード)とIPアドレスの関連付けを行います。

Router(config)#crypto isakmp key {パスワード} address {対向ルータのIPアドレス}

パスワードは、任意ですが、対向ルータとあわせておく必要があります。

次の「VPN(VPNの設定手順 その2)」では、手順4〜手順6までを説明します。



<ネットワーク資格の練習問題に挑戦>
CCNA練習問題に挑戦!(650問)
Network+練習問題に挑戦!(393問)
テクニカルエンジニア(ネットワーク)試験
◆Cisco実機で学ぶ(CCNAルータ編)

ルータの概要・基本操作・設定1 (17項目)
ルータの概要・基本操作・設定3 (22項目)
IGRP・EIGRPの設定 (18項目)
アクセスリスト・ACLの設定 (14項目)
NAT・DHCPの設定 (8項目)
ルータの概要・基本操作・設定2 (17項目)
RIPv1・RIPv2の設定 (14項目)
OSPFの設定・デフォルトルートの伝播(16項目)
WANの設定 (10項目)
◆Cisco実機で学ぶ(CCNAスイッチ編)

スイッチの基本操作・設定 (14項目)
VTP・スパニングツリーの設定 (12項目)
MACアドレスの管理・VLANの設定 (12項目)

◆アライドテレシス実機で学ぶ

基本操作・設定 (11項目)
OSPFの設定 (9項目)
ポリシールーティング・VRRPなど (12項目)
VLAN・マルチホーミング・RIPの設定 (10項目)
STP・ポートトランキングなど (14項目)
<関連コンテンツ>
◆Cisco実機で学ぶ(CCNP)

VPN(VPNとは)
VPN(IKE・フェーズ1・フェーズ2)
VPN(暗号化・認証アルゴリズム)
VPN(VPNの設定手順 その2)
VPN(基本設定 その1)
VPN(基本設定 その3 検証)
VPN(VPN接続とインターネット その1)
VPN(VPN接続とインターネット その3)
VPN(GREトンネルとルーティングプロトコル 1)
VPN(GREトンネルとルーティングプロトコル 3)
VPN(GREトンネルとルーティングプロトコル 5)
VPN(3拠点のVPN接続 その1)
VPN(3拠点のVPN接続 その3)
VPN(DMVPN その1)
VPN(DMVPN その3)
VPN(DMVPN その5)
VPN(DMVPN その7)
VPN(VPNとNAT その1)
VPN(VPNとNAT その3)
VPN(VPNとNAT その5)
VPN(VPNとNAT その7)
VPN(トンネル・エンドポイント・ディスカバリ 2)
VPN(トンネル・エンドポイント・ディスカバリ 4)
VPN(トンネル・エンドポイント・ディスカバリ 6)
VPN(インターネットVPN・IPsec)
VPN(トランスポートモード・トンネルモード)
VPN(VPNの設定手順 その1)
VPN(VPNの設定手順 まとめ)
VPN(基本設定 その2)
VPN(基本設定 その4 確認)
VPN(VPN接続とインターネット その2)
VPN(VPNとルーティングプロトコル)
VPN(GREトンネルとルーティングプロトコル 2)
VPN(GREトンネルとルーティングプロトコル 4)
VPN(GREトンネルとルーティングプロトコル 6)
VPN(3拠点のVPN接続 その2)
VPN(3拠点のVPN接続 その4)
VPN(DMVPN その2)
VPN(DMVPN その4)
VPN(DMVPN その6)
VPN(DMVPN その8)
VPN(VPNとNAT その2)
VPN(VPNとNAT その4)
VPN(VPNとNAT その6)
VPN(トンネル・エンドポイント・ディスカバリ 1)
VPN(トンネル・エンドポイント・ディスカバリ 3)
VPN(トンネル・エンドポイント・ディスカバリ 5)
VPN(トンネル・エンドポイント・ディスカバリ 7)

<関連メニュー>
CCNA実機で学ぶ
CCNP実機で学ぶ
アライドテレシス実機で学ぶ
TCP/IP入門・無料ネットワークツール

Copyright(c)2006- @network Cisco・アライド実機で学ぶ All rights reserved.