IPsec IKE Phase 1 - Cisco Configuration



 ◆ IPsecの設定( IKE Phase1の設定)

 IPsecによる通信を行うためには、先ず、ISAKMP SAを生成するための設定が必要になります。


   


 先ず最初に、IKEフェーズ1のポリシーを定義するために、ISAKMPコンフィグレーションモードに入ります。
 crypto isakmp policy の後の番号は「1」から「10000」を指定することができます。この値はポリシーの
 優先度を示します。複数のポリシーがある場合は、数字が低いほど優先度が高くなるので「1」が最優先です。

 ◆ ISAKMPポリシーの設定
 (config)# crypto isakmp policy priority



 次に、ISAKMP SAで使用する暗号化アルゴリズムを設定します。デフォルトの値は「des」となります。

 ◆ ISAKMPポリシー:暗号化アルゴリズムの設定
 (config-isakmp)# encryption [ des | 3des | aes 128 | aes 192 | aes 256 ]


 次に、ISAKMP SAで使用するハッシュアルゴリズムを設定します。デフォルトの値は「sha」となります。

 
◆ ISAKMPポリシー:ハッシュアルゴリズムの設定
 (config-isakmp)#
hash [ md5 | sha | sha256 | sha384 | sha512 ]


 次に、ISAKMP SAで使用する認証方式を設定します。デフォルトの値は「
rsa-sig」となります。

 ◆ ISAKMPポリシー:認証方式の設定
 (config-isakmp)#
authentication [ rsa-sig | rsa-encr | pre-share ]

コマンド引数 説明
 rsa-sig

 認証方式にRSA署名を指定

 rsa-encr  認証方式にRSA暗号化ナンスを指定
 pre-share  認証方式に事前共有鍵を指定



 次に、認証方式に事前共有鍵(pre-share)を指定した場合、事前共有鍵のパスワード設定を行います。

 
◆ ISAKMPポリシー:事前共有鍵のピアアドレスとパスワード設定
 (config)#
crypto isakmp key password address address

コマンド引数 説明
 password

 IPsecのピアと同じパスワードを設定

 address  IPsecのピアのIPアドレスを設定



 次に、ISAKMP SAで使用するDH(Diffie-Hellman)グループを設定します。デフォルト値は「1」です。

 ◆ ISAKMPポリシー:Diffie-Hellmanグループの設定
 (config-isakmp)# group [ 1 | 2 | 5 ]


 次に、ISAKMP SAのライフタイム(生存期間)を設定します。デフォルト値は
86400秒(24時間)です。
 この値は「 60 」から「 86400 」まで指定できます。Cisco機器同士でIPsecのピアの接続をする場合は、
 一般的にデフォルト値にすることが多いです。なお、
ISAKMP SAのライフタイム を短くすればするほど、
 それだけ鍵の再生成が多くなりセキュアになります。一方、長ければ長いほどIPsecSAを早く生成できます。

 
◆ ISAKMPポリシー:ISAKMP SAのライフタイムの設定
 (config-isakmp)#
lifetime seconds


 オプションの設定として、IKEのキープアライブ(
DPD)の設定をします。必須の設定ではありませんが
 このコマンドによって、IPsecトンネルの通信断をリアルタイムに検出することができるようになります。
 Ciscoではルータのdead peerを検出すると、そのピアとのIKEとIPsecのSAを自動的に削除します。なお
 デフォルトは無効でありDPDは送信されません。IPsec-VPN環境でダイナミックルーティングを行わない
 場合は、定期的にDPDを送信する「
periodic」キーワードを指定することが推奨されます。

 ◆ ISAKMPポリシー:DPD(Dead Peer Detection)の設定
 (config)#
crypto isakmp keepalive seconds [
retries ] [ periodic | on-demand ]


ISAKMP SAのパラメータ 選択肢 デフォルト値
encryption
( 暗号化アルゴリズム )

 ・ des ( 56-bit DES-CBC)
 ・ 3des ( 168-bit DES )
 ・ aes ( 128-bit AES )
 ・ aes 192 ( 192-bit AES )
 ・ aes 256 ( 256-bit AES )

des
hash
( ハッシュアルゴリズム )

 ・ sha ( SHA-1 )
 ・ md5 ( MD5 )

sha
lifetime
( IKE SAライフタイム )
 ・ 60〜86400 86400 ( 1日)
authentication
( 認証方式 )

 ・ rsa-sig ( RSA署名 )
 ・ rsa-encr ( RSA暗号化ナンス )
 ・ pre-share ( pre-shared key)

rsa-sig
group
( DHグループ )

 ・ 1 ( 768-bit Diffie-Hellman )
 ・ 2 ( 1024-bit Diffie-Hellman )
 ・ 5 ( 1536-bit Diffie-Hellman )

1

crypto isakmp key string address address
( Pre-shared key と ピアとなるアドレス )

 −



 以下の設定例では、暗号化に3DES、ハッシュアルゴリズムにsha、ISAKMP SAのライフタイムに12時間
 認証にpre-shared kdy、DHグループに2を指定しています。また、pre-shared key(パスフレーズ)を
 「cisco」、VPN認証相手のIPを「100.1.1.1」としています。また30秒毎にDPDを送信するようにします。


 
Cisco(config)# crypto isakmp policy 1
 Cisco(config-isakmp)# encryption 3des
 Cisco(config-isakmp)# hash sha
 Cisco(config-isakmp)# authentication pre-share
 Cisco(config-isakmp)# group 2
 Cisco(config-isakmp)# lifetime 43200

 
Cisco(config)# crypto isakmp key cisco address 100.1.1.1
 Cisco(config)# crypto isakmp keepalive 30 periodic




IPsec、IPsec-VPN、リモートアクセスVPN

ネットワークエンジニアとして

Copyright (C) 2002-2024 ネットワークエンジニアとして All Rights Reserved.