IPsec LAN-to-LAN

REFERENCE

An Introduction to IP Security (IPSec) Encryption

Phase 1 Authenticated With a Pre-Shared Key

Configuration Professional: Site-to-Site IPsec VPN Between Two IOS Routers Configuration Example

IPsec Troubleshooting: Understanding and Using debug Commands

NOTE

2つに分けて考える

  • IKE1(ISAKMP SA)
  • IKE2(IPsec SA)

 

  • ポリシは複数作れる
  • ISAKMP SA確立の時にそれぞれのポリシを比較し、一致するものがあれば、それが使われる
  • 数字はポリシが複数ある時の優先度(小さいほうが優先)
  • 通信相手を認証する為のPWとSource IP(0の場合は相手は何でもよい)
crypto isakmp policy 2
 authentication pre-share
crypto isakmp key CISCO address 0.0.0.0 0.0.0.0

 

  • 予めIPsec通信を行うSourceとDestinationを決めておく
access-list 100 permit ip 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255

 

  • IPsec SAのパラメータを指定して、パラメータ群に名前をつける
crypto ipsec transform-set TR-SET-R1-R3 esp-des esp-sha-hmac

 

  • crypto mapを作る
  • 適用する時の通信相手はset peer で物理IPを指定
  • 送信元と宛先はACL100で指定
crypto map MAP-R1-R3-IPSEC 1 ipsec-isakmp
 set peer 200.0.23.3
 set transform-set TR-SET-R1-R3
 match address 100

 

  • I/Fにcrypto mapを適用する
interface FastEthernet0/1
 crypto map MAP-R1-R3-IPSEC

 

  • 対向LANとPeer IFの解決
ip route 10.0.3.0 255.255.255.0 200.0.12.2
ip route 200.0.23.0 255.255.255.0 200.0.12.2

 

  • IPsec通信以外はインターネット宛にするためにはインターネットに出さない(NAPTしない)アドレスを指定する
interface FastEthernet0/0
 ip nat inside
interface FastEthernet0/1
 ip nat outside

no ip route 10.0.3.0 255.255.255.0 200.0.12.2
no ip route 200.0.23.0 255.255.255.0 200.0.12.2
ip route 0.0.0.0 0.0.0.0 200.0.12.2

ip nat inside source route-map NO-IPSEC interface FastEthernet0/1 overload

access-list 110 deny   ip 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255
access-list 110 permit ip 10.0.1.0 0.0.0.255 any

route-map NO-IPSEC permit 10
 match ip address 110

 

 

 

セキュリティ・プロトコル⇒どのようにIPパケットをカプセル化するのか
– ESP 暗号(秘匿)と認証(完全性)
– AH 認証(完全性のみで暗号無し)

!!!!! ESP
  esp-3des         ESP transform using 3DES(EDE) cipher (168 bits)
  esp-aes          ESP transform using AES cipher
  esp-des          ESP transform using DES cipher (56 bits)
  esp-gcm          ESP transform using GCM cipher
  esp-gmac         ESP transform using GMAC cipher
  esp-seal         ESP transform using SEAL cipher (160 bits)
  esp-null         ESP transform w/o cipher
!!!!! ESP
  esp-md5-hmac     ESP transform using HMAC-MD5 auth
  esp-sha-hmac     ESP transform using HMAC-SHA auth
  esp-sha256-hmac  ESP transform using HMAC-SHA256 auth
  esp-sha384-hmac  ESP transform using HMAC-SHA384 auth
  esp-sha512-hmac  ESP transform using HMAC-SHA512 auth
!!!!! AH
  ah-md5-hmac      AH-HMAC-MD5 transform
  ah-sha-hmac      AH-HMAC-SHA transform
  ah-sha256-hmac   AH-HMAC-SHA256 transform
  ah-sha384-hmac   AH-HMAC-SHA384 transform
  ah-sha512-hmac   AH-HMAC-SHA512 transform
!!!!! Compress
  comp-lzs         IP Compression using the LZS compression algorithm

 

 

コメント