Ruijie Networks - VPN 機能 - IPSEC 拡張構成 - IPSec トンネル自動接続構成 (autoup)

目次

特徴

1. ネットワーク要件

2. ネットワークトポロジ

3. 構成のポイント

4. 設定手順

5. 構成の検証

---

 

特徴

通常、ipsec トンネルはデータ フローによってトリガーされた後、ネゴシエーションによって確立されます。自動トンネル接続機能 (autoup) を設定すると、トンネルは ipsec モジュールによって内部で自動的にトリガーされます。IPSEC の設定が完了している限り、デバイスはデータ フロー トリガーの有無に関係なく、トンネルが自動的に開始されます。 IPSEC ネゴシエーション。

1. ネットワーク要件

支店と本社の間で交換されるビジネス データは、ダイナミック IPSEC VPN を通じて暗号化されます。本社は時々ブランチ 1 のアプリケーション サーバーにアクセスする必要があるため、ブランチ 1 が本社にアクセスする必要があるかどうかに関係なく、ブランチ 1 と本社の間の IPSEC VPN は永続的にオンラインを維持する必要があります。

2. ネットワークトポロジ

3. 構成のポイント

1. 基本的な IPSEC 機能を設定する

2. ブランチ1のIPSECトンネルの自動接続機能を設定する

4. 設定手順

1. 基本的な IPSEC 機能を設定する

オンサイトの環境と顧客のニーズに応じて、適切な IPSEC 導入ソリューションを選択してください。詳細な構成については、IPSEC の「基本構成」の章を参照してください (標準構成 ---> セキュリティ ---> IPSEC ---> 基本構成)

2. ブランチ1のIPSECトンネルの自動接続機能を設定する

R1(config)#crypto マップ mymap 10 ipsec-isakmp

R1(config-crypto-map)#set autoup                                    //IPSECトンネル自動接続機能の設定

 注: 動的マップでの set autoup の構成は有効になりません。

5. 構成の検証

       ブランチ 1 ルータに IPSEC トンネルの自動接続機能を設定すると、ブランチ 1 が本社へのデータ アクセスによってトリガーされたかどうかに関係なく、IPSEC トンネルが自動的にネゴシエートされ、確立されます。

Ruijie#show crypto isakmp sa                                     // isakmp sa のネゴシエーション ステータスを表示する

 宛先ソース状態 conn-id ライフタイム(秒)

 10.0.0.2 10.0.0.1 IKE_IDLE 0 84129 //isakmp ネゴシエーションが成功しました、ステータスは IKE_IDLE です

Ruijie#show crypto ipsec sa                                             //ipsec sa ネゴシエーション ステータスの表示

インターフェイス: ギガビットイーサネット 0/0

         暗号マップ tag:mymap                 //インターフェースに適用される暗号化マップの名前                                

         local ipv4 addr 10.0.0.1                   // isakmp/ipsec ネゴシエーションに使用される IP アドレス

         メディア 1500名

         =================================

         sub_map タイプ:静的、シーケンス番号:5、id=0

         local ident (addr/mask/prot/port): (192.168.0.0/0.0.0.255/0/0))          // 対象のストリームのソース アドレス

         リモート ID (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0))       // 対象のフローの宛先アドレス

         許可する

         #pkts encaps: 4, #pkts encrypt: 4, #pkts Digest 4          //正常にカプセル化、暗号化、ダイジェストされたメッセージの数

         #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4          //カプセル化解除、復号化、メッセージ数の検証に成功 IPSEC暗号化通信のデータがある場合、show crypto ipsec saコマンドを繰り返し実行して、上記を参照してください。統計の数は今後も増加し続けます。

         #senderrors0,#recverrors0                                     //送受信されたエラーメッセージの数 通常の状況では、この統計は増加しません。

         受信ESP SA:

              spi:0x2ecca8e (49072782)                   //ipsec sa の受信方向 spi

               変換: esp-des esp-md5-hmac    //ipsec 暗号化変換セットは esp-des esp-md5-hmac

               in use settings={Tunnel Encaps,}         //トンネル モードを採用する

               クリプトマップマイマップ5

               sa タイミング: 残りのキーの有効期間 (k/秒): (4606998/1324)  //セキュリティ アソシエーションのライフサイクルが期限切れになるまで、まだ 4606998 キロバイト/1324 秒あります。

               IV サイズ: 8 バイト   //IV ベクトルの長さは 8 です

               リプレイ検出サポート:Y   //アンチリプレイ処理

         アウトバウンド esp sas:

              spi:0x5730dd4b (1462820171)          //ipsec sa アウトバウンド spi. インバウンド spi とアウトバウンド spi が表示された場合のみ、ipsec sa が正常にネゴシエートされたことを意味します。

               変換: esp-des esp-md5-hmac

               使用中の設定={トンネル カプセル化,}

               クリプトマップマイマップ5

               sa タイミング: 残りのキーの有効期間 (k/秒): (4606998/1324)

               IVサイズ：8バイト

               リプレイ検出サポート:Y