トポロジーは以下
前提として
IPアドレスはトポロジーの通りに振ってあります。
では、実際にコマンド叩いてみます。
R1
R1(config)# access-list 100 permit ip any any
R1(config)# crypto isakmp policy 1
R1(config-isakmp)# encryption des
R1(config-isakmp)# hash md5
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# lifetime 84000
R1(config-isakmp)# group 2
R1(config-isakmp)# exit
R1(config-isakmp)# encryption des
R1(config-isakmp)# hash md5
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# lifetime 84000
R1(config-isakmp)# group 2
R1(config-isakmp)# exit
R1(config)#crypto isakmp key cisco address 10.233.20.2
R1(config)# crypto ipsec transform-set vpn-transform esp-des esp-md5-hmac
R1(cfg-crypto-trans)# mode tunnel
R1(cfg-crypto-trans)# exit
R1(config)# crypto map vpn-set 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R1(config-crypto-map)#match address 100
R1(config-crypto-map)#set transform-set vpn-transform
R1(config-crypto-map)#set peer 10.233.20.2
R1(config)#int f1/0
R1(config-if)#crypto map vpn-set
R1(config-if)#
R1(config-if)#crypto map vpn-set
R1(config-if)#
*May 18 22:38:04.427: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config-if)#exit
R1(config)#ip route 192.168.2.0 255.255.255.0 10.233.20.2
この色がついてるのはコマンドを叩くと出るメッセージ
PC(OSはLinux)側にIPアドレス「192.168.1.1/24」とデフォルトゲートウェイ「192.168.1.254」を設定
設定コマンド
sudo do
ifconfig eth0 192.168.1.1 netmask 255.255.255.0 up
route add default gateway 192.168.1.254
以下、簡単な説明。
この色がついてるところはアクセスリストの設定。
ここで指定したネットワークアドレスがIPSec VPNを使用して通信できるようになる。
access-list 100 permit ip any any
この色がついてるところがIKEフェーズ1に該当する設定。
crypto isakmp policy 1 … 番号はプライオリティ番号
複数のポリシーがある場合、若い番号のほうが優先度は高くなる
encryption < 3des | des | aes > … ISAKMP Saでの暗号化アルゴリズム
hash < md5 | sha > … ISAKMP Saでもハッシュアルゴリズム
authentication < pre-share | rsa-encr | rsa-sig > … ISAKMP Sa上でのピアの認証方式
group < 1 | 2 | 5 > … Diffie-Hellman交換のパラメータ
lifetime 84000 … ISAKMP SAの有効時間。病数で指定
hash < md5 | sha > … ISAKMP Saでもハッシュアルゴリズム
authentication < pre-share | rsa-encr | rsa-sig > … ISAKMP Sa上でのピアの認証方式
group < 1 | 2 | 5 > … Diffie-Hellman交換のパラメータ
lifetime 84000 … ISAKMP SAの有効時間。病数で指定
ここまでがIKEフェーズ1の設定。
ここからがIKEフェーズ2の設定。
IPSec SAを生成するときの鍵を交換する相手の設定。
crypto isakmp key <鍵の名前> address <対向VPNのインターフェースのアドレス>
IPSec SA用のセキュリティプロトコルを設定。
crypto ipsec transform-set <トランスフォーム名> <暗号化方式> <認証方式>
| セキュリティプロトコル |
暗号化方式 | 認証方式 |
|---|---|---|
| AH | - | ah-md5-hmac ah-sha-hmac |
| ESP | esp-aes esp-aes 192 esp-aes 256 esp-des esp-3des |
esp-md5-hmac esp-sha-hmac |
カプセル化モードの指定
mode < tunnel | transport >
この色がついたところで、アクセスリストで許可したネットワークアドレスからの通信はIPSec SAを使用する設定
crypto map <暗号マップ名> 10 ipsec-isakmp
match address <作成したアクセスリストの番号>
set transform-set <トランスフォーム名>
set transform-set <トランスフォーム名>
set peer <対向ルータのインターフェースアドレス>
暗号マップをインターネットと接続するインターフェースに適用。
interface <インターネットと接続するインターフェース>
crypto map <暗号マップ名>
crypto map <暗号マップ名>
最後に、IPSec VPNではダイナミックルーティングプロトコルが使用できないのでスタティックルートで設定。
ip route 192.168.2.0 255.255.255.0 10.233.20.2
設定を終えたらQEMU1からQEMU2にpingを通してみます
4つのパケットを送り、応答がありました(゚∀゚)
ついでに、R1ルータで
show crypto engine connections active
show crypto ipsec sa
でVPNを張れているか確認してみます。
show crypto ipsec saコマンドの
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
あたりも
カプセル化、暗号化、カプセル化解除、複合化、パケット認証
などの表示だと思うのですが、ciscoのページでも説明が無かったように思われるので分かりません
むぅ