NOTE
2つに分けて考える
- IKE1(ISAKMP SA)
- IKE2(IPsec SA)
- ポリシは複数作れる
- ISAKMP SA確立の時にそれぞれのポリシを比較し、一致するものがあれば、それが使われる
- 数字はポリシが複数ある時の優先度(小さいほうが優先)
- 通信相手を認証する為のPWとSource IP(0の場合は相手は何でもよい)
crypto isakmp policy 2 authentication pre-share crypto isakmp key CISCO address 0.0.0.0 0.0.0.0
- 予めIPsec通信を行うSourceとDestinationを決めておく
access-list 100 permit ip 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255
- IPsec SAのパラメータを指定して、パラメータ群に名前をつける
crypto ipsec transform-set TR-SET-R1-R3 esp-des esp-sha-hmac
- crypto mapを作る
- 適用する時の通信相手はset peer で物理IPを指定
- 送信元と宛先はACL100で指定
crypto map MAP-R1-R3-IPSEC 1 ipsec-isakmp set peer 200.0.23.3 set transform-set TR-SET-R1-R3 match address 100
- I/Fにcrypto mapを適用する
interface FastEthernet0/1 crypto map MAP-R1-R3-IPSEC
- 対向LANとPeer IFの解決
ip route 10.0.3.0 255.255.255.0 200.0.12.2 ip route 200.0.23.0 255.255.255.0 200.0.12.2
- IPsec通信以外はインターネット宛にするためにはインターネットに出さない(NAPTしない)アドレスを指定する
interface FastEthernet0/0 ip nat inside interface FastEthernet0/1 ip nat outside no ip route 10.0.3.0 255.255.255.0 200.0.12.2 no ip route 200.0.23.0 255.255.255.0 200.0.12.2 ip route 0.0.0.0 0.0.0.0 200.0.12.2 ip nat inside source route-map NO-IPSEC interface FastEthernet0/1 overload access-list 110 deny ip 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255 access-list 110 permit ip 10.0.1.0 0.0.0.255 any route-map NO-IPSEC permit 10 match ip address 110
セキュリティ・プロトコル⇒どのようにIPパケットをカプセル化するのか
– ESP 暗号(秘匿)と認証(完全性)
– AH 認証(完全性のみで暗号無し)
!!!!! ESP esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-aes ESP transform using AES cipher esp-des ESP transform using DES cipher (56 bits) esp-gcm ESP transform using GCM cipher esp-gmac ESP transform using GMAC cipher esp-seal ESP transform using SEAL cipher (160 bits) esp-null ESP transform w/o cipher !!!!! ESP esp-md5-hmac ESP transform using HMAC-MD5 auth esp-sha-hmac ESP transform using HMAC-SHA auth esp-sha256-hmac ESP transform using HMAC-SHA256 auth esp-sha384-hmac ESP transform using HMAC-SHA384 auth esp-sha512-hmac ESP transform using HMAC-SHA512 auth !!!!! AH ah-md5-hmac AH-HMAC-MD5 transform ah-sha-hmac AH-HMAC-SHA transform ah-sha256-hmac AH-HMAC-SHA256 transform ah-sha384-hmac AH-HMAC-SHA384 transform ah-sha512-hmac AH-HMAC-SHA512 transform !!!!! Compress comp-lzs IP Compression using the LZS compression algorithm
コメント