VPN（VPNの設定手順その1）

ここでは、CiscoルータにおけるVPNの設定の流れを解説していきます。

Ciscoルータで、インターネットVPNを設定する手順は、次のようになります。

インターネットVPNの設定の流れ

VPNの対象とするトラフィックの定義（アクセスリスト）
IKEポリシーの定義（SAパラメータの指定）
認証の設定（共通鍵とIPアドレスの関連付け）
トランスフォームセットの定義（IPSec通信設定）
IPSecポリシーの定義
インターフェイスへのIPSec ポリシーの適用

ここでは、手順1～手順3までを解説します。

１．VPNの対象とするトラフィックの定義

　まずは、インターネット向けの通信で、どのトラフィックがIPSec VPNの対象のトラフィックなのかを指示する必要があります。

　VPN対象のトラフィックを指示するには、アクセスリストを使用します。送信元と宛先を指定できる拡張アクセスリストを使用します。

拡張IPアクセスリストの構文は以下のようになります。

Router(config)#access-list {番号} {permit | deny} {プロトコル} {送信元IP} {送信元ワイルドカードマスク} {宛先IP} ｛宛先ワイルドカードマスク｝ [オプション]

　「permit」は、VPN対象のトラフィックになります。「deny」は、拒否でパケットをブロックするわけではないので注意して下さい。「deny」は、VPN通信の対象外という意味になります。

拡張アクセスリストについては、こちら「拡張ACL」で解説しています。

２．IKEポリシーの定義

●ISAKAMPポリシーの定義

　ISAKMP SA（フェーズ1）の暗号化、認証の各パラメータを設定していきます。設定は「config-isakmp」モードで指定します。

Router(config)#crypto isakmp policy {ポリシー番号}

ポリシー番号：1～10000（1が最優先）

コマンドを入力すると次のようにプロンプトが変わります。

Router(config)#crypto isakmp policy 1
Router(config-isakmp)#

●各パラメータの定義

各パラメータには、次のものがあります。

認証方式
暗号化アルゴリズム
Diffie-Hellmanグループ
ハッシュアルゴリズム
有効期限
認証の設定（共通鍵とIPアドレスの関連付け）

　「暗号化アルゴリズム」、「Diffie-Hellmanグループ」、「ハッシュアルゴリズム」、「有効期限」にはデフォルト値が用意されています。

【認証方式】

認証方式には、公開鍵方式と共通鍵方式があります。

Router(config-isakmp)#authentication {pre-share | Pre-Shared Key}

Router(config-isakmp)#authentication ?
  pre-share  Pre-Shared Key
Router(config-isakmp)#authentication

Packet tracerでは「pre-share」しか選択できませんが、一般的にはを「pre-share」選択するため、問題ないでしょう。

【暗号化アルゴリズム】

暗号化アルゴリズムを指定します。

Router(config-isakmp)#encryption {3des| aes | des}

Router(config-isakmp)#encryption ?
  3des  Three key triple DES
  aes   AES - Advanced Encryption Standard
  des   DES - Data Encryption Standard (56 bit keys).

設定例では「3des」を選択していきます。

【Diffie-Hellmanグループ】

秘密鍵を安全に送受信するための「Diffie-Hellman」のグループを選択します。

　「Group1(768bit)」、「Group2(1,024bit)」、「Group5(1,536bit)」があり、数値の大きいほうが暗号化強度が高い。ただし、高いほどオーバーヘッドがかかります。

Router(config-isakmp)#group { 1 | 2 | 5 }

Router(config-isakmp)#group ?
  1  Diffie-Hellman group 1
  2  Diffie-Hellman group 2
  5  Diffie-Hellman group 5

指定しない場合のデフォルト値は、「group 1」です。

【ハッシュアルゴリズム】

　認証アルゴリズムを指定します。ハッッシュアルゴリズムには、「md5」、「sha」が選択できますが、一般的には、セキュリティが高いSHA-1の「sha」を選択します。

Router(config-isakmp)#hash {md5| sha}

Router(config-isakmp)#hash ?
  md5  Message Digest 5
  sha  Secure Hash Standard

【有効期限】

　有効期限を設定します。SAを長い時間、使用するとはセキュリティの脆弱性になりかねません。適当な時間を指定します。

Router(config-isakmp)#lifetime {秒数}

Router(config-isakmp)#lifetime ?
  <60-86400>  lifetime in seconds

デフォルト値は、「86400」で1日となっています。

３．認証の設定（共通鍵とIPアドレスの関連付け）

対向ルータと共通で使用する共通鍵（パスワード）とIPアドレスの関連付けを行います。

Router(config)#crypto isakmp key {パスワード} address {対向ルータのIPアドレス}

パスワードは、任意ですが、対向ルータとあわせておく必要があります。

次の「VPN（VPNの設定手順その2）」では、手順4～手順6までを解説します。

VPN（VPNの設定手順 その1）