【設定事例集】IPSECの設定

VPNのなかで最も使われるIPSEC

今回も、ネットワーク機器の設定事例について掲載します。

今やどんなネットワークでもインターネットへの接続が必須となっています。

今回はいまだに多くの業者にて採用されているPPPoEの接続についてConfigの設定事例をアップします。

※ネスペの解説はサイトマップを見てください。

https://nwspgogomon.blogspot.com/2021/12/blog-post.html

IPSECとは

IPSECはインターネットにおいてIPパケットの機密性と完全性を保証する機能です。AHやESP、IKEというプロトコルから構成されており、それぞれの役割は以下です。

ちなみに覚え方は「行け！良いSP！あー！」です。

　・AH（アー）…IPパケットを認証するためのプロトコル

　・ESP（イ―エスピー）…データを暗号化するためのプロトコル。最近は認証機能も。

　・IKE（アイケイイー）…秘密鍵を交換するためのプロトコル。

今回作る構成

まずは、ネットワークの構成は以下です。

ちなみにIKEのフェーズごとの設定値は以下になります。

　・IKEフェーズ１…事前共有鍵：cisco

　・IKEフェーズ２…暗号化アルゴリズム：esp-aes

　・IKEフェーズ２…ハッシュアルゴリズム：esp-sha-hmac

今回の構成の作り方

IPSECは手順が多く、パッと見ただけではわからないため、メモを記載しておきます。

①IKEフェーズ１のポリシー定義

「crept isakmp policy」コマンドで最初にISAKMP SAを確立するためのパラメータを設定します、

②事前共有鍵の設定

「pre isakmp key」コマンドで認証用パスワードを設定します。

③IPSECトランスフォームセットの定義

IKEフェーズ２でIPSEC SAを確立するためのアルゴリズムを定義します。

④IPSECの対象トラフィックの定義

アクセスリストを使って、IPSECの対象となるトラフィックを指定します。

⑤暗号マップの定義

IPSEC対象のトラフィックやIPSECのピア、IPSECトランスフォームセットの組み合わせを定義します。

⑥IPSEC適用インターフェースの指定

どのインターフェースにIPSECを設定するか指定します。

Configの設定（要点のみ）

●Router１の定義

　hostname Router1

　＃①IKEフェーズ１のポリシー定義

　crypto isakmp policy 1

　 authentication pre-share

　#②事前共有鍵の設定

　crypto isakmp key cisco address 192.168.12.2

　#③IPSECトランスフォームセットの定義

　crypto ipsec transform-set IPSEC esp-aes esp-sha-hmac

　#④IPSECの対象トラフィックの定義

　access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

　#⑤暗号マップの定義

　crypto map CMAP 1 ipsec-isakmp

　 set peer 192.168.12.2

　 set transform-set IPSEC

　 match address 100

　#⑥IPSEC適用インターフェースの指定

　interface FastEthernet0/0

　 ip address 192.168.12.1 255.255.255.0

 　crypto map CMAP

　interface FastEthernet0/1

　 ip address 192.168.10.1 255.255.255.0

　ip route 0.0.0.0 0.0.0.0 192.168.12.2

●Router2の定義

　hostname Router2

　crypto isakmp policy 1

　 authentication pre-share

　crypto isakmp key cisco address 192.168.12.1

　crypto ipsec transform-set IPSEC esp-aes esp-sha-hmac

　access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

　crypto map CMAP 1 ipsec-isakmp

　 set peer 192.168.12.1

　 set transform-set IPSEC

　 match address 100

　interface FastEthernet0/0

　 ip address 192.168.12.2 255.255.255.0

　 crypto map CMAP

　interface FastEthernet0/1

　 ip address 192.168.20.2 255.255.255.0

　ip route 0.0.0.0 0.0.0.0 192.168.12.1

さいごに

今回はGNS３で作りましたが、私のパソコンのせいか反応が遅い・・・

Cisco Packet Tracerはスイッチの機能は多いけどルータの機能は少ないし・・・

実機購入するか？

【設定事例集】PPPoEの設定

インターネット接続に必要なPPPoE！

今回も、ネットワーク機器の設定事例について掲載します。

今やどんなネットワークでもインターネットへの接続が必須となっています。

今回はいまだに多くの業者にて採用されているPPPoEの接続についてConfigの設定事例をアップします。

※ネスペの解説はサイトマップを見てください。

ちなみに今回参考にさせていただいたサイトはこちらです。

↓

https://www.infraexpert.com/study/wan9.html

PPPoEとは

まず、PPP（Point-to-Point Protcol）は、電話回線などを使いネットワークに接続するために開発されたものです。その仕組みをEthernetでも利用できるようにしたものがPPPoEです。ユーザ認証やIPアドレスの割り当てなどが利用可能になり、現在でも多くのサービスで利用されています。

今回作る構成

PPPoEの構成は以下です。

接続の条件は以下です。

●Router1)PPPoEクライアント側

　PPPoE接続用ユーザ名：user01

　PPPoE接続用パスワード：pass01

　Dialerインターフェース：自動割当方式

●Router2)PPPoEサーバ側

　PPPoEクライアントに払い出すアドレス：10.0.0.1～10.0.0.3

　PPP接続のユーザアカウント方式：chap

Configの設定（要点のみ）

今回はCisco PacketTracer8がどうやらPPPoE対応していないようでしたので、GNS3で作ってみました。IOSが古いのが気にはなりますが。

Router1の設定

PPPoEのClient側の設定です。通常回線業者とつなぐときは、こちらの設定だけとなります。

　hostname Router1

　

　ip route 0.0.0.0 0.0.0.0 Dialer1

　ip nat inside source list 1 interface Dialer1 overload

　access-list 1 permit 192.168.1.0 0.0.0.255

　

　interface FastEthernet0/0

　 ip address 192.168.1.254 255.255.255.0

　 ip nat inside

　

　interface FastEthernet0/1

　 no ip address

　 pppoe enable group global

　 pppoe-client dial-pool-number 1

　

　interface Dialer1

　#IPアドレスの自動割当設定

　 ip address negotiated

　 ip nat outside

　 encapsulation ppp

　#物理インターフェースとの紐づけ

　 dialer pool 1

　#PPPoEセッション開始トリガーとの紐づけ

　 dialer-group 1

　#CHAP認証

　 ppp authentication chap callin

　 ppp chap hostname user01

　 ppp chap password 0 pass01

　#PPPoEセッション開始トリガー

　dialer-list 1 protocol ip permit

Router2の設定

PPPoEのサーバ側の設定となります。

回線業者ではない私は、ルータの設定試験の時しか設定しません。

　hostname Router2

　#ユーザ情報の登録

　username user01 password 0 pass01

　

　interface Loopback0

　 ip address 10.0.0.254 255.255.255.255

　

　interface FastEthernet0/0

　 ip address 192.168.100.254 255.255.255.0

　 duplex auto

　 speed auto

　

　interface FastEthernet0/1

　 no ip address

　 duplex auto

　 speed auto

　 pppoe enable group GROUP

　

　ip local pool POOL 10.0.0.1 10.0.0.4

　

　interface Virtual-Template1

　#IPアンナ―バード設定

　 ip unnumbered Loopback0

　#PPPoEクライアントへのIPアドレス払い出し

　 peer default ip address pool POOL

　 ppp authentication chap

　#PPPoE着信のためのBBAグループ作成

　bba-group pppoe GROUP

　 virtual-template 1

　

動作確認

PPPoEでは動作確認としてRouter1にて以下のコマンドを実行します。

相手側のMACアドレスが取得できていれば、ひとまずOK！

Router1#show pppoe session

あと、DialerインターフェースにIPアドレスが自動的に割り当てっていればOKです。

Router1#show ip interface brief

さいごに

最近少しずつですが、アクセス数が増えてきました。

なんかうれしいです。あざす！