目次
特徴
場合によっては、IPSEC VPN 経由で暗号化する必要があるデータの送信元アドレスまたは宛先アドレスが複数の異なるネットワーク セグメントである場合があります。この場合、対象となる IPSEC フローを構成するときにすべてのネットワーク セグメントを定義する必要があります。利息の流れ。
1. ネットワーク要件
ブランチ 1 には、192.168.1.0/24、172.18.0.0/24、および 172.18.1.0/24 の 3 つのネットワーク セグメントがあります。これら 3 つのネットワーク セグメントはすべて、本社の 192.168.0.0/24 にアクセスする必要があり、相互アクセス用のデータも必要です。 IPSEC に合格し、VPN は暗号化されます。
2. ネットワークトポロジ
3. 構成のポイント
1. 基本的な IPSEC 機能を設定する
2. ブランチ 1 で IPSEC マルチインタレスト フローを設定します。
知らせ:
RSR10/20 10.3 (5b6) より前のバージョン、RSR30 10.4 (3b11) より前のバージョン、および RSR50/RSR50E のマルチインタレスト フローの設定方法は、この記事で説明する設定方法とは異なりますので、詳細は付録を参照してください。
4. 設定手順
1. 基本的な IPSEC 機能を設定する
オンサイトの環境と顧客のニーズに応じて、適切な IPSEC 導入ソリューションを選択してください。詳細な構成については、IPSEC の「基本構成」の章を参照してください (標準構成 ---> セキュリティ ---> IPSEC ---> 基本構成)
2. ブランチ 1 で IPSEC マルチインタレスト フローを設定します。
複数のインタレスト フローの設定と単一のインタレスト フローの設定の唯一の違いは、インタレスト フローの ACL を設定するときに、すべてのネットワーク セグメントのトラフィックが定義されることです。
ip アクセスリスト拡張 101
10 許可 IP 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
20 許可 IP 172.18.0.0 0.0.0.255 192.168.0.0 0.0.0.255
30 許可 IP 172.18.1.0 0.0.0.255 192.168.0.0 0.0.0.255
5. 構成の検証
設定を完了し、ブランチ 1 で対象のフローを開始して IPSEC ネゴシエーションを正常にトリガーすると、ブランチ 1 と本社の間で複数の ipsec sa が正常にネゴシエートされたことがわかります。各 ipsec sa は、対象となるフローのペアに対応します。
site1# ping 192.168.0.1 なので 192.168.1.1
5 つの 100 バイト ICMP エコーを 192.168.0.1 に送信、タイムアウトは 2 秒です。
< Ctrl+C を押して中断>
.!!!!
成功率は 100 パーセント (5/5)、往復の最小/平均/最大 = 1/8/10 ミリ秒です。
site1# ping 192.168.0.1 なので 172.18.0.1
5 つの 100 バイト ICMP エコーを 192.168.0.1 に送信、タイムアウトは 2 秒です。
< Ctrl+C を押して中断>
.!!!!
成功率は 100 パーセント (5/5)、往復の最小/平均/最大 = 1/8/10 ミリ秒です。
site1# ping 192.168.0.1 なので 172.18.1.1
5 つの 100 バイト ICMP エコーを 192.168.0.1 に送信、タイムアウトは 2 秒です。
< Ctrl+C を押して中断>
.!!!!
成功率は 80 パーセント (4/5)、往復の最小/平均/最大 = 10/15/20 ミリ秒です。
site1# show crypto isakmp sa
宛先ソース状態 conn-id ライフタイム(秒)
10.0.0.1 10.0.0.2 IKE_IDLE 0 86192 //1 isakmp saを生成
site1#で暗号化 ipsec を表示
インターフェイス: ファストイーサネット 0/0
クリプト マップ タグ:mymap
ローカル IPv4 アドレス 10.0.0.2
メディア 1500名
=================================
sub_map タイプ:静的、シーケンス番号:10、id=3
ローカル ID (アドレス/マスク/プロット/ポート): (192.168.1.0/0.0.0.255/0/0))
リモート ID (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0)) // 対象の最初のフローに対して生成された ipsec sa
許可する
#pkts カプセル化: 9、#pkts 暗号化: 9、#pkts ダイジェスト 0
#pkts decaps: 9、#pkts decrypt: 9、#pkts verify 0
#送信エラー 1、#受信エラー 0
受信ESP SA:
spi:0x4b8e642c (1267622956)
変換: esp-3des
使用中の設定={トンネル カプセル化,}
クリプトマップマイマップ10
sa タイミング: 残りのキーの有効期間 (k/秒): (4606997/3388)
IVサイズ:8バイト
リプレイ検出サポート:N
アウトバウンド esp sas:
spi:0x36ee6e8e (921595534)
変換: esp-3des
使用中の設定={トンネル カプセル化,}
クリプトマップマイマップ10
sa タイミング: 残りのキーの有効期間 (k/秒): (4606997/3388)
IVサイズ:8バイト
リプレイ検出サポート:N
=================================
sub_map タイプ:静的、シーケンス番号:10、id=4
ローカル ID (アドレス/マスク/プロット/ポート): (172.18.0.0/0.0.0.255/0/0))
リモート ID (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0)) // 対象の 2 番目のフローに対して生成された ipsec sa
許可する
#pkts カプセル化: 14、#pkts 暗号化: 14、#pkts ダイジェスト 0
#pkts decaps: 14、#pkts decrypt: 14、#pkts verify 0
#送信エラー 1、#受信エラー 0
受信ESP SA:
spi:0x1cdd2b74 (484256628)
変換: esp-3des
使用中の設定={トンネル カプセル化,}
クリプトマップマイマップ10
sa タイミング: 残りのキーの有効期間 (k/秒): (4606996/3437)
IVサイズ:8バイト
リプレイ検出サポート:N
アウトバウンド esp sas:
spi:0x62a1a190 (1654759824)
変換: esp-3des
使用中の設定={トンネル カプセル化,}
クリプトマップマイマップ10
sa タイミング: 残りのキーの有効期間 (k/秒): (4606996/3437)
IVサイズ:8バイト
リプレイ検出サポート:N
=================================
sub_map タイプ:静的、シーケンス番号:10、id=5
ローカル ID (アドレス/マスク/プロット/ポート): (172.18.1.0/0.0.0.255/0/0))
リモート ID (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0)) // 対象の 3 番目のフローに対して生成された ipsec sa
許可する
#pkts カプセル化: 4、#pkts 暗号化: 4、#pkts ダイジェスト 0
#pkts decaps: 4、#pkts decrypt: 4、#pkts verify 0
#送信エラー 1、#受信エラー 0
受信ESP SA:
spi:0x1b614775 (459360117)
変換: esp-3des
使用中の設定={トンネル カプセル化,}
クリプトマップマイマップ10
sa タイミング: 残りのキーの有効期間 (k/秒): (4606998/3556)
IVサイズ:8バイト
リプレイ検出サポート:N
アウトバウンド esp sas:
spi:0x390bcf20 (957075232)
変換: esp-3des
使用中の設定={トンネル カプセル化,}
クリプトマップマイマップ10
sa タイミング: 残りのキーの有効期間 (k/秒): (4606998/3556)
IVサイズ:8バイト
リプレイ検出サポート:N
6. 付録
1. 旧バージョンにおけるマルチインタレストストリームの設定方法
注: 古いバージョンには、RSR10/20 10.3 (5b6) より前のバージョン、RSR30 10.4 (3b11) より前のバージョン、RSR50/RSR50E が含まれます。