VPN(VPNの設定手順 その2)

ここでは、CiscoルータにおけるVPNの設定の流れの続きを解説していきます。

 「VPN(VPNの設定手順 その1)」では、手順1~手順3までを説明しました。ここでは、残りの手順4~手順6までを解説します。

インターネットVPNの設定の流れ

  1. VPNの対象とするトラフィックの定義(アクセスリスト)
  2. IKEポリシーの定義(SAパラメータの指定)
  3. 認証の設定(共通鍵とIPアドレスの関連付け)
  4. トランスフォームセットの定義(IPSec通信設定)
  5. IPSecポリシーの定義
  6. インターフェイスへのIPSec ポリシーの適用
4.トランスフォームセットの定義(IPSec通信設定)

 トランスフォームセットでは、AHやESPで使用する認証プロトコルや暗号アルゴリズムの指定。また、IPSec通信モードの指定を行います。

●トランスフォームセットの名前定義

Router(config)#crypto ipsec transform-set {ストリング} {オプション}

ストリング:トランスフォームセットに任意の名前を定義します。

オプションは、以下のように様々な指定が可能です。

Router(config)#crypto ipsec transform-set TS-IPSEC ?
  ah-md5-hmac   AH-HMAC-MD5 transform
  ah-sha-hmac   AH-HMAC-SHA transform
  esp-3des      ESP transform using 3DES(EDE) cipher (168 bits)
  esp-aes       ESP transform using AES cipher
  esp-des       ESP transform using DES cipher (56 bits)
  esp-md5-hmac  ESP transform using HMAC-MD5 auth
  esp-sha-hmac  ESP transform using HMAC-SHA auth

具体的には、次のように指定します。

Router(config)#crypto ipsec transform-set TS-IPSEC esp-3des esp-sha-hmac

これは、一般的な設定例です。必ずこのように指定しなければならないと言うわけではありません。

●IPSec通信モードの指定

※Packet tracerでは、モードの指定はできません。

IPSec通信のモードを指定します。モードには、「トランスポートモード」、「トンネルモード」が指定できます。

Router(cfg-crypto-trans)#mode { transport | tunnel }

ルータを介してホスト間でVPNを構築する場合は、「transport」モードを指定します。

5.IPSecポリシーの定義

IPSec SA(フェーズ2)の設定を行います。ここで定義するポリシーマップを後に、インターフェイスに適用します。

●crypto mapの定義

Router(config)#crypto map {ストリング} {シーケンス番号} ipsec-isakmp

ストリング:任意のマップ名を定義します。トランスフォームセットとは別物なので、マップ名は異なる名前を定義します。

シーケンス番号:1~65535

具体的には、次のように指定します。

Router(config)#crypto map MAP-IPSEC 1 ipsec-isakmp

これは、一般的な設定例です。必ずこのように指定しなければならないと言うわけではありません。

コマンドを入力するとプロンプトが、「config-crypto-map」に変わります。

Router(config)#crypto map MAP-IPSEC 1 ipsec-isakmp 
Router(config-crypto-map)#
●アクセスリストの選択

IPSec通信の対象となるトラフィックを定義したアクセスリストを指定します。

Router(config-crypto-map)#match address { アクセスリスト番号 | アクセスリスト名 }

●IPSec対向ルータのIPアドレス指定

Router(config-crypto-map)#set peer { hostname | ip address }

●トランスフォームセットの指定

Router(config-crypto-map)#set transform-set {トランスフォームセット名}

●IPSec SAの生存時間の指定

 IPSec SAの生存時間を指定します。指定には、キロバイト数、秒数が指定できます。どちらかの条件に早く合致した方が適用されます。

Router(config-crypto-map)#set security-association lifetime { kilobytes | seconds } { 数値 }

デフォルト値は以下の通りです。

キロバイト数:4.6ギガバイト
秒数:3600秒(1H)

6.インターフェイスへの IPSec ポリシーの適用

作成したIPSecポリシーをインターフェイスに適用します。

Router(config)#interface { インターフェイス }
Router(config-if)#crypto map { crypto map名 }

少し長くなりましたが、これで、基本的なインタネットVPNの設定手順の解説は終わりです。

 もう少し設定を分かりやすくするために、設定手順をまとめたものを次の「VPN(VPNの設定手順 まとめ)」で解説します。

関連コンテンツ