IPsec-VPN

インフラエンジニアに関するノート

IPsecはネットワーク層でIPパケットのカプセル化や認証、暗号化を行い、インターネット上に仮想的な専用線(トンネル)を作る仮想化技術です。IPsecは10年以上前から、拠点やリモートユーザを安価、かつ安全に接続できる技術として、広く一般的に使用されてきました。

1・拠点間VPNとリモートVPN

拠点間IPsecVPNは、各地にある拠点をPsecを使用して、インターネット上にトンネル(仮想的な直結回線)を作って、あたかものように専用線で接続されているかのように拠点のネットワークを接続し、専用線と同様に使用できるにもかかわらず、いつものネット接続料金だけで拠点間を接続できるため、大幅なコストを納めることができる。

2・リモートVPN

リモートVPNはモバイルユーザーやリモートアクセスで使用される。自宅からテレワークするような場合に、OSの標準機能や第三者のVPNソフトを使用して、VPN用の仮想的なNICを作って、VPN装置(ルータやファイアウォールなど)にIPsecトンネルをつくることです。

IPsec-VPN(Internet Protocol Security Virtual Private Network)は、インターネット上で安全な通信を確立するための技術です。IPsecは、データの暗号化と認証を行い、データの機密性、完全性、および認証を提供します。

IPsec-VPNの基本構成要素


ISAKMP(Internet Security Association and Key Management Protocol)
:

  • IKE(Internet Key Exchange)を使用して、セキュリティアソシエーション(SA)を確立し、暗号化キーを交換します。

IPsecトランスフォームセット:

  • データの暗号化と認証に使用されるアルゴリズムのセットです。一般的にはAES(Advanced Encryption Standard)やSHA(Secure Hash Algorithm)が使用されます。

暗号マップ(Crypto Map):

  • 暗号化するトラフィックのルールを定義し、どのトラフィックが暗号化されるかを指定します。

設定事例

ネットワーク構成

  • 拠点1(LAN1): 192.168.1.0/24
  • 拠点2(LAN2): 192.168.2.0/24
  • VPNゲートウェイ1(VPNGW1): 100.1.1.1
  • VPNゲートウェイ2(VPNGW2): 100.2.2.2

ISAKMPポリシーの設定

ISAKMPポリシーの設定

VPNGW1:
crypto isakmp policy 10
 authentication pre-shared
 hash sha
 encryption aes 128
 group 2
crypto isakmp key password address 100.2.2.2

VPNGW2:
crypto isakmp policy 10
 authentication pre-shared
 hash sha
 encryption aes 128
 group 2
crypto isakmp key password address 100.1.1.1

IPSecトランスフォームセットの設定

VPNGW1/VPNGW2:
crypto ipsec transform-set aes-sha esp-aes 128 esp-sha-hmac

暗号ACLの設定

VPNGW1:
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

VPNGW2:
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

暗号マップの設定

VPNGW1:
crypto map VPN_TO_GW2 10 ipsec-isakmp
 set peer 100.2.2.2
 match address 100
 set transform-set aes-sha

VPNGW2:
crypto map VPN_TO_GW1 10 ipsec-isakmp
 set peer 100.1.1.1
 match address 100
 set transform-set aes-sha

暗号マップの適用

VPNGW1:
interface serial 0/0
 crypto map VPN_TO_GW2

VPNGW2:
interface serial 0/0
 crypto map VPN_TO_GW1

ルーティングの設定

IPsec-VPNを正しく機能させるためには、適切なルーティング設定が必要です。以下は、スタティックルートの設定例です。

VPNGW1:
ip route 192.168.2.0 255.255.255.0 100.2.2.2

VPNGW2:
ip route 192.168.1.0 255.255.255.0 100.1.1.1

この設定により、各VPNゲートウェイは相手側のLANに対するルートを持つことになります。

NATトラバーサルの設定

NAT(Network Address Translation)環境でIPsecを使用する場合、NATトラバーサル(NAT-T)を有効にする必要があります。以下はその設定例です。

VPNGW1/VPNGW2:
crypto isakmp nat-traversal 20

デバッグとトラブルシューティング

IPsec-VPNの設定が完了したら、接続の確認とトラブルシューティングを行います。以下のコマンドを使用して、接続状況を確認できます。

show crypto isakmp sa
show crypto ipsec sa

これらのコマンドは、ISAKMPとIPsecのセキュリティアソシエーションの状態を表示します。接続が確立されていない場合、設定を再確認し、必要に応じてデバッグコマンドを使用して問題を特定します。

debug crypto isakmp
debug crypto ipsec

スポンサーリンク
タイトルとURLをコピーしました