IPsec - IKE Mode Configuration



 ◆ IPsec - IKE モードコンフィグ

 リモートアクセスVPNを実現するためには「
Mode ConfigXAUTH」の技術を実装する必要があります。
 IKE Mode Configは、IPsec機器間で設定パラメータをセキュアに送受信するためのIPsecの拡張技術です。
 例えば、VPNクライアントがVPNサーバの認証を完了した後、VPNサーバ側のLANでアクセスできるために、
 VPNクライアントにIPアドレスを割り当てる際に使用する機能です。


   



 リモートアクセスを行うクライアントPCがグローバルIPアドレス取得後に、自社が公開するVPNサーバに
 リモートアクセスVPNを行うとします。VPNクライアントがVPNサーバと接続する際に「XAUTH」による
 認証を行い、認証成功後にVPNサーバで「Mode Config」が有効である場合、VPNサーバにより、指定した
 プライベートIPアドレスが割り当てられます。結果、社内LANに適切にルーティングされて通信ができます。

 
※ Mode Configは上図の構成だけでなくNATトラバーサルのNW構成でも使用します。リモートアクセスVPNでは必須技術です。
 ※ Mode ConfigでVPNサーバ側からVPNクライアントに付与できるパラメータは、IPアドレス以外にDNS、WINSなどがあります。


 ◆ IPsec - IKE Mode Configのメッセージ交換手順

 IKE Mode Configでは、「Configuration Transaction」というメッセージ交換手順が定義されています。
 交換メッセージは4種類あり、これらのメッセージ交換でVPNクライアントへIP情報などを付与しています。
 ※ XAUTHでもユーザ/パスワードをこのメッセージ交換でやりとりしています。つまり、XAUTHはモードコンフィグを使用します。

メッセージ メッセージの役割 ペアとなるもの
REQUEST 設定情報を要求するメッセージ 同じISAKMPのメッセージIDを使用
REPLY REQUESTの要求を受けて設定を返すメッセージ
SET 相手に使わせたい設定値を通知するメッセージ 同じISAKMPのメッセージIDを使用
ACKNOWLEDGE SETの設定値の受信を応答するメッセージ



    


 Transaction交換は、通常はIKE フェーズ1の完了後に実行されているのでISAKMP_SAで保護されています。
 IKE Mode ConfigではAttributeペイロードというISAKMPペイロードを定義しています。そこにVPNサーバと
 VPNクライアントでやりとりしたい情報の属性と属性値を設定して、やりとりしてIP情報を付与しています。

 VPNサーバをCiscoルータにしてCiscoルータでIKE Mode Configurationを実装する場合、以下コマンドが
 必要です。リモートクライアントなどIPアドレスの要求に対して、ルータが応答できるようにするためには
 例えば、EzVPNを利用してISAKMPプロファイル名をV-profileとする場合、以下のコンフィグとなります。


 
Cisco(config)# crypto isakmp profile V-profile
 Cisco(config-isakmp-profile)# client configuration address respond



 上記は、VPNサーバ(ciscoルータ)をレスポンダとして動作させる場合のTransaction処理と設定となりますが
 下記は、VPNサーバ(ciscoルータ)をイニシエータとして動作させる場合のTransaction処理と設定となります。
 ※ リモートアクセスVPNといえば、IKE Mode Configuration は client configuration address respondだけの実装の方が多いです。


 
Cisco(config)# crypto isakmp profile V-profile
 Cisco(config-isakmp-profile)# client configuration address initiate



    



IPsec、IPsec-VPN、リモートアクセスVPN

ネットワークエンジニアとして

Copyright (C) 2002-2020 ネットワークエンジニアとして All Rights Reserved.