インターノウスインフラエンジニアブログ

インターノウスインフラエンジニアブログ

インフラエンジニアの奮闘記。

NEW !
テーマ:
IPsec設定コンフィグ_2
 
前回の続きで、IKE Phase2のコンフィグを紹介。
 
<IPsecの設定コンフィグ(IKE Phase2の設定) ISAKMP SA上でIPsec SAを生成>
 
IKE Phase2の設定では、生成されたISAKMP SA上でIPsec SAを生成するための設定が必要。
 
○IPsecトランスフォームの設定
  crypto ipsec transform-set name transform1 transform2
 transform1:(セキュリティプロトコル+暗号化)
 transform2:(セキュリティプロトコル+認証)
○IPsecトランスフォームの設定(デフォルトは「tunnel」)
  mode [ tunnel | trasport]
○IPsec SA ライフタイムの設定(デフォルトhが3600秒)
 crypto ipsec security-association lifetime [ seconds seconds | kilobytes kilobytes]
○暗号化マップ設定
 crypto map map-name seq-number ipsec-isakmp
    match address acl-number
    set trasform-set name
    set peer address
    set pfs[ group1 | group2 | gruop5 ] ※オプション設定
  set security-association lifetime [seconds seconds | kilobytes kilobytes ] ※オプション設定

○暗号化マップへのインターフェースへの適用
 interface interface-id
    crypto map crypto-map-name

テーマ:
IPsec設定コンフィグ_1
 
VPNトンネルを生成するにあたってインターネットVPNとIP-VPNの2つがあるが
そのうちインターネットVPNの中のセキュリティプロトコルにIPsecを使用したIPsec-VPNの設定方法を紹介します。
IPsec設定コンフィグはIKE Phase1とPhase2の設定が必要。今回はPhase1のコンフィグを紹介。
 
<IPsecの設定コンフィグ(IKE Phase1の設定) ISAKMP SAの生成>
 
IPsecによる通信を行うためには、先ず、ISAKMP SAを生成するための設定が必要。
○ISAKMPポリシーの設定(1から10000を指定 1が最優先)
 crypto isakmp policy priority
○暗号化アルゴリズムの設定(デフォルトは「des」)
  encryption [ des | 3des | aes128 | aes192 | aes256 ]
○ハッシュアルゴリズムの設定(デフォルトは「sha」)
  hash [ md5 | sha | sha256 | sha384 | sha512 ]
○認証方式の設定(デフォルトは「rsa-sig」)
  authentication [ rsa-sig | rsa-encr | pre-share ]
→事前共有鍵(pre-share)を指定した場合のパスワード設定
  crypto isakmp key password address address
○DHグループの設定
 group [ 1 | 2 | 5 ]
○ISAKMP SAのライフタイム設定(デフォルトは86400秒)
  lifetime second
○ISAKMPポリシーのキープアライブの設定
  crypto isakmp keepalive seconds [ retries ] [ periodic | on-demand ]

テーマ:
ルータ設定後に設定保存しても設定が反映されない場合の対処法
 
    config     | 保存場所 |  再起動時
ーーーーーーーーーーーーーーーーーーーーーー
running-config |  メモリ  | 設定消える
startup-config |  NVRAM   | 設定は消えない
 
#show version
  configuration ragister is 0x2142
 
 「0x2142」はNVRAMを読み込まない設定なので
 「0x2102」に戻す
 
#show version
  configuration ragister is 0x2142 (will be 0x2102 at next reload)
 
#reload
 
  これで再起動時にNVRAMが読み込まれる
 ※ここで保存(copy running-config startup-config)を保存すると
  running-configが空の場合、startup-configも消えてしまうので注意
  (copy startup-config running-configすると良いかもしれない。)
 
【備考】
 0x2100 ROMモニターモードで起動(製品テストや霜害対応時に使用)
  0x2102 通常起動(デフォルト)
  0x2142 startup-configを読み込まないで起動(パスワードリカバリ用)

テーマ:
L3SwitchでのACL投入でTCAMエラー
 
%ACLMGR-4-UNLOADING:unloading ACL input label 2 vlan interface xxx IPv4/MAC feature
%ACLMGR-4-ACLTCAMFULL:ACL TCAMFULL.softwareFowarding packets on input label2 on L3
 
(原因)ACL行が長くソフトウェアでの処理が一部できなくなった。
(想定される事象)CPUをつかって処理を行うため、遅延が発生しCPU稼働が高くなる
(対策)ACL行を精査し、再設計を行いACL行を減らす。可能なかぎりセグメントで記載(host-hostではそりが重くなる)
 
SwitchのAC行設定は1000行程度が目安。
 
上記を踏まえてTCAM(Ternary Content Address Memory)使用量を確認する。
 
show platform tcam utilization
 
表示例:
switch#show platform tcam utilization
                                    MAX                Used
                             Masks/Values        Masks/Values
IPv4 security aces:      924/924           897/897
(UsedがMaxに近づいてくれば危険!!)
 
根本的に解決するにはSDMのテンプレートを更新し、メモリの割り当て比率を変更する(ただし再起動が必要)

テーマ:
ACLオプション (log と log-inputの違い)
 
[logオプション]
permit tcp any any log
permit udp any any log
permit ip any any log
 
ACLの条件分の最後にこのキーワードを指定する事で、その条件分に合致するパケットがあればログが出力される。
 
設定例:
*May 1 22:12:13:243:%SEC-6-IPACCESSLOGDP:list ACL-IPv4-E0/0-IN permitted tcp 192.168.1.3(1024)→192.168.2.1(22),1 packet
*May 1 22:12:13:243:%SEC-6-IPACCESSLOGDP:list ACL-IPv4-E0/0-IN permitted tcp 192.168.1.3(1024)→192.168.2.1(22),9 packet
 
[log-inputオプション]
permit tcp any any log-input
permit udp any any log-input
permit ip any any log-input
 
上記のログに入力インターフェースと送信元MACアドレスも追加される
 
設定例:
*May 1 22:12:13:243:%SEC-6-IPACCESSLOGDP:list ACL-IPv4-E0/0-IN permitted tcp 192.168.1.3(1024)(Ethernet0/0 000e.9b5a.9839)
→192.168.2.1(22),1 packet
*May 1 22:12:13:243:%SEC-6-IPACCESSLOGDP:list ACL-IPv4-E0/0-IN permitted tcp 192.168.1.3(1024)(Ethernet0/0 000e.9b5a.9839)
→192.168.2.1(22),9 packet

Ameba人気のブログ