@network Cisco・アライド実機で学ぶ > Cisco実機で学ぶ(CCNP) > VPN(VPNの設定手順 その2)

 Rakuten
@network Cisco・アライド実機で学ぶ
◆VPN(VPNの設定手順 その2)

※動作確認は、Cisco2500、Cisco1720、Cisco1721、Cisco2611、Cisco2650、Cisco3620シリーズのルータ、Catalyst2900、Catalyst2950シリーズのスイッチなどで確認しています。コマンド、出力結果、動作は、機種、IOSのバージョンで異なる場合があります。
 資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。

スポンサードリンク

◆VPN(VPNの設定手順 その2)

ここでは、CiscoルータにおけるVPNの設定の流れを説明してゆきます。

 「VPN(VPNの設定手順 その1)」では、手順1〜手順3までを説明しました。ここでは、手順4〜手順6までを説明してゆきます。

●インターネットVPNの設定の流れ

1.VPNの対象とするトラフィックの定義(アクセスリスト)
2.IKEポリシーの定義(SAパラメータの指定)
3.認証の設定(共通鍵とIPアドレスの関連付け)
4.トランスフォームセットの定義(IPSec通信設定)
5.IPSecポリシーの定義
6.インタフェースへのIPSec ポリシーの適用



4.トランスフォームセットの定義(IPSec通信設定)

 トランスフォームセットでは、AHやESPで使用する認証プロトコルや暗号アルゴリズムの指定。また、IPSec通信モードの指定を行います。

◆トランスフォームセットの名前定義

Router(config)#crypto ipsec transform-set {ストリング} {オプション}

ストリング:トランスフォームセットに任意の名前を定義します。

オプションは、以下のように様々な指定が可能です。

Router(config)#crypto ipsec transform-set TS-IPSEC ?
  ah-md5-hmac   AH-HMAC-MD5 transform
  ah-sha-hmac   AH-HMAC-SHA transform
  comp-lzs      IP Compression using the LZS compression algorithm
  esp-3des      ESP transform using 3DES(EDE) cipher (168 bits)
  esp-aes       ESP transform using AES cipher
  esp-des       ESP transform using DES cipher (56 bits)
  esp-md5-hmac  ESP transform using HMAC-MD5 auth
  esp-null      ESP transform w/o cipher
  esp-seal      ESP transform using SEAL cipher (160 bits)
  esp-sha-hmac  ESP transform using HMAC-SHA auth

具体的には、次のように指定します。

Router(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac

これは、一般的な設定例です。必ずこのように指定しなければならないと言うわけではありません。

コマンドを入力するとプロンプトが、「cfg-crypto-trans」に変わります。

Router(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac
Router(cfg-crypto-trans)#


◆IPSec通信モードの指定

IPSec通信のモードを指定します。モードには、「トランスポートモード」、「トンネルモード」が指定できます。

Router(cfg-crypto-trans)#mode {transport | tunnel}

Router(cfg-crypto-trans)#mode ?
  transport  transport (payload encapsulation) mode
  tunnel     tunnel (datagram encapsulation) mode

ルータを介してVPNを構築する場合は、「transport」モードを指定します。


5.IPSecポリシーの定義

IPSec SA(フェーズ2)の設定を行います。ここで定義するポリシーマップを後に、インタフェースに適用します。

◆crypto mapの定義

Router(config)#crypto map {ストリング} {シーケンス番号} ipsec-isakmp

ストリング:任意のマップ名を定義します。トランスフォームセットとは別物なので、マップ名は異なる名前を定義します。

シーケンス番号:1〜65535

具体的には、次のように指定します。

Router(config)#crypto map MAP-IPSEC 1 ipsec-isakmp

これは、一般的な設定例です。必ずこのように指定しなければならないと言うわけではありません。

コマンドを入力するとプロンプトが、「config-crypto-map」に変わります。

Router(config)#crypto map MAP-IPSEC 1 ipsec-isakmp
Router(config-crypto-map)#

◆アクセスリストの選択

IPSec通信の対象となるトラフィックを定義したアクセスリストを指定します。

Router(config-crypto-map)#match address {アクセスリスト番号 | アクセスリスト名}

◆IPSec対向ルータのIPアドレス指定

Router(config-crypto-map)#set peer {hostname | ip address}

◆トランスフォームセットの指定

Router(config-crypto-map)#set transform-set {トランスフォームセット名}

◆IPSec SAの生存時間の指定

 IPSec SAの生存時間を指定します。指定には、キロバイト数、秒数が指定できます。どちらかの条件に早く合致した方が適用されます。

Router(config-crypto-map)#set security-association lifetime {kilobytes | seconds} {数値}

デフォルト値は以下の通りです。

キロバイト数:4.6ギガバイト
秒数:3600秒(1H)


6.インタフェースへのIPSec ポリシーの適用

作成したIPSecポリシーをインタフェースに適用します。

Router(config)#interface {インタフェース}
Router(config-if)#crypto map {crypto map名}


少し長くなりましたが、これで、基本的なインタネットVPNの設定手順の説明は終わりです。

 もう少し設定を分かりやすくするために、設定手順をまとめたものを次の「VPN(VPNの設定手順 まとめ)」で紹介します。



<ネットワーク資格の練習問題に挑戦>
CCNA練習問題に挑戦!(650問)
Network+練習問題に挑戦!(393問)
テクニカルエンジニア(ネットワーク)試験
◆Cisco実機で学ぶ(CCNAルータ編)

ルータの概要・基本操作・設定1 (17項目)
ルータの概要・基本操作・設定3 (22項目)
IGRP・EIGRPの設定 (18項目)
アクセスリスト・ACLの設定 (14項目)
NAT・DHCPの設定 (8項目)
ルータの概要・基本操作・設定2 (17項目)
RIPv1・RIPv2の設定 (14項目)
OSPFの設定・デフォルトルートの伝播(16項目)
WANの設定 (10項目)
◆Cisco実機で学ぶ(CCNAスイッチ編)

スイッチの基本操作・設定 (14項目)
VTP・スパニングツリーの設定 (12項目)
MACアドレスの管理・VLANの設定 (12項目)

◆アライドテレシス実機で学ぶ

基本操作・設定 (11項目)
OSPFの設定 (9項目)
ポリシールーティング・VRRPなど (12項目)
VLAN・マルチホーミング・RIPの設定 (10項目)
STP・ポートトランキングなど (14項目)
<関連コンテンツ>
◆Cisco実機で学ぶ(CCNP)

VPN(VPNとは)
VPN(IKE・フェーズ1・フェーズ2)
VPN(暗号化・認証アルゴリズム)
VPN(VPNの設定手順 その2)
VPN(基本設定 その1)
VPN(基本設定 その3 検証)
VPN(VPN接続とインターネット その1)
VPN(VPN接続とインターネット その3)
VPN(GREトンネルとルーティングプロトコル 1)
VPN(GREトンネルとルーティングプロトコル 3)
VPN(GREトンネルとルーティングプロトコル 5)
VPN(3拠点のVPN接続 その1)
VPN(3拠点のVPN接続 その3)
VPN(DMVPN その1)
VPN(DMVPN その3)
VPN(DMVPN その5)
VPN(DMVPN その7)
VPN(VPNとNAT その1)
VPN(VPNとNAT その3)
VPN(VPNとNAT その5)
VPN(VPNとNAT その7)
VPN(トンネル・エンドポイント・ディスカバリ 2)
VPN(トンネル・エンドポイント・ディスカバリ 4)
VPN(トンネル・エンドポイント・ディスカバリ 6)
VPN(インターネットVPN・IPsec)
VPN(トランスポートモード・トンネルモード)
VPN(VPNの設定手順 その1)
VPN(VPNの設定手順 まとめ)
VPN(基本設定 その2)
VPN(基本設定 その4 確認)
VPN(VPN接続とインターネット その2)
VPN(VPNとルーティングプロトコル)
VPN(GREトンネルとルーティングプロトコル 2)
VPN(GREトンネルとルーティングプロトコル 4)
VPN(GREトンネルとルーティングプロトコル 6)
VPN(3拠点のVPN接続 その2)
VPN(3拠点のVPN接続 その4)
VPN(DMVPN その2)
VPN(DMVPN その4)
VPN(DMVPN その6)
VPN(DMVPN その8)
VPN(VPNとNAT その2)
VPN(VPNとNAT その4)
VPN(VPNとNAT その6)
VPN(トンネル・エンドポイント・ディスカバリ 1)
VPN(トンネル・エンドポイント・ディスカバリ 3)
VPN(トンネル・エンドポイント・ディスカバリ 5)
VPN(トンネル・エンドポイント・ディスカバリ 7)

<関連メニュー>
CCNA実機で学ぶ
CCNP実機で学ぶ
アライドテレシス実機で学ぶ
TCP/IP入門・無料ネットワークツール

Copyright(c)2006- @network Cisco・アライド実機で学ぶ All rights reserved.