VPN(VPNの設定手順 その1)

ここでは、CiscoルータにおけるVPNの設定の流れを解説していきます。

Ciscoルータで、インターネットVPNを設定する手順は、次のようになります。

インターネットVPNの設定の流れ

  1. VPNの対象とするトラフィックの定義(アクセスリスト)
  2. IKEポリシーの定義(SAパラメータの指定)
  3. 認証の設定(共通鍵とIPアドレスの関連付け)
  4. トランスフォームセットの定義(IPSec通信設定)
  5. IPSecポリシーの定義
  6. インターフェイスへのIPSec ポリシーの適用

ここでは、手順1~手順3までを解説します。

1.VPNの対象とするトラフィックの定義

 まずは、インターネット向けの通信で、どのトラフィックがIPSec VPNの対象のトラフィックなのかを指示する必要があります。

 VPN対象のトラフィックを指示するには、アクセスリストを使用します。送信元と宛先を指定できる拡張アクセスリストを使用します。

拡張IPアクセスリストの構文は以下のようになります。

Router(config)#access-list {番号} {permit | deny} {プロトコル} {送信元IP} {送信元ワイルドカードマスク} {宛先IP} {宛先ワイルドカードマスク} [オプション]

 「permit」は、VPN対象のトラフィックになります。「deny」は、拒否でパケットをブロックするわけではないので注意して下さい。「deny」は、VPN通信の対象外という意味になります。

拡張アクセスリストについては、こちら「拡張ACL」で説明しています。

2.IKEポリシーの定義
●ISAKAMPポリシーの定義

 ISAKMP SA(フェーズ1)の暗号化、認証の各パラメータを設定していきます。設定は「config-isakmp」モードで指定します。

Router(config)#crypto isakmp policy {ポリシー番号}

ポリシー番号:1~10000(1が最優先)

コマンドを入力すると次のようにプロンプトが変わります。

Router(config)#crypto isakmp policy 1
Router(config-isakmp)#

●各パラメータの定義

各パラメータには、次のものがあります。

  • 認証方式
  • 暗号化アルゴリズム
  • Diffie-Hellmanグループ
  • ハッシュアルゴリズム
  • 有効期限
  • 認証の設定(共通鍵とIPアドレスの関連付け)

 「暗号化アルゴリズム」、「Diffie-Hellmanグループ」、「ハッシュアルゴリズム」、「有効期限」にはデフォルト値が用意されています。

【認証方式】

認証方式には、公開鍵方式と共通鍵方式があります。

Router(config-isakmp)#authentication {pre-share | Pre-Shared Key}

Router(config-isakmp)#authentication ?
  pre-share  Pre-Shared Key
Router(config-isakmp)#authentication 

Packet tracerでは「pre-share」しか選択できませんが、一般的にはを「pre-share」選択するため、問題ないでしょう。

【暗号化アルゴリズム】

暗号化アルゴリズムを指定します。

Router(config-isakmp)#encryption {3des| aes | des}

Router(config-isakmp)#encryption ?
  3des  Three key triple DES
  aes   AES - Advanced Encryption Standard
  des   DES - Data Encryption Standard (56 bit keys).

設定例では「3des」を選択していきます。

【Diffie-Hellmanグループ】

秘密鍵を安全に送受信するための「Diffie-Hellman」のグループを選択します。

 「Group1(768bit)」、「Group2(1,024bit)」、「Group5(1,536bit)」があり、数値の大きいほうが暗号化強度が高い。ただし、高いほどオーバーヘッドがかかります。

Router(config-isakmp)#group { 1 | 2 | 5 }

Router(config-isakmp)#group ?
  1  Diffie-Hellman group 1
  2  Diffie-Hellman group 2
  5  Diffie-Hellman group 5

指定しない場合のデフォルト値は、「group 1」です。

【ハッシュアルゴリズム】

 認証アルゴリズムを指定します。ハッッシュアルゴリズムには、「md5」、「sha」が選択できますが、一般的には、セキュリティが高いSHA-1の「sha」を選択します。

Router(config-isakmp)#hash {md5| sha}

Router(config-isakmp)#hash ?
  md5  Message Digest 5
  sha  Secure Hash Standard

【有効期限】

 有効期限を設定します。SAを長い時間、使用するとはセキュリティの脆弱性になりかねません。適当な時間を指定します。

Router(config-isakmp)#lifetime {秒数}

Router(config-isakmp)#lifetime ?
  <60-86400>  lifetime in seconds

デフォルト値は、「86400」で1日となっています。

3.認証の設定(共通鍵とIPアドレスの関連付け)

対向ルータと共通で使用する共通鍵(パスワード)とIPアドレスの関連付けを行います。

Router(config)#crypto isakmp key {パスワード} address {対向ルータのIPアドレス}

パスワードは、任意ですが、対向ルータとあわせておく必要があります。

次の「VPN(VPNの設定手順 その2)」では、手順4~手順6までを解説します。

関連コンテンツ