CiscoルータでIPsec VTI

あまりテンプレみたいなものを残してこなかったので、
よく使うIPsecのConfigをメモしておく。

内容はIKEv1でVTIを使うやり方が簡単で良いと思うし、一般的なように感じる。
本来であればIKEv2へ移行していかないといけないのだろうが、
対応していない機器もまだまだ多く出回っていることも確か。

VTIとは"Virtual Tunnel Interface"の略で所謂ルートベースでのIPsecを行うものだ。
crypto mapを用いたIPsecではユニキャストしか通せないのに対し、
VTIはマルチキャストも通すことができるので、
ダイナミックルーティングが使えることが利点と言える。

マルチキャストの回避策としてGRE over IPsecなんかも一時期流行っていたが、
VTIの方が使い勝手が良いのでだんだんと使われなくなってきているように感じる。


IPsec VTI


これが正解と言うわけではないが、だいたいこんな感じ。
あとは環境に合わせてカスタマイズしていけば良い。

パラメータは以下のような感じで。

IKEバージョンバージョン1
暗号化アルゴリズムAES 256bit
ハッシュアルゴリズムSHA-2(256bit)
認証方式事前共有鍵
DHグループグループ14(2048bit)
ライフタイムbyte無効
モードMainモード
PFSなし


Configにするとこんな感じ。

crypto isakmp policy 1
encr aes 256
hash sha256
authentication pre-share
group 14

crypto isakmp key CISCO address 1.1.1.1
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10

crypto ipsec security-association lifetime kilobyte disable

crypto ipsec transform-set IPSEC esp-aes 256 esp-sha256-hmac
mode tunnel

crypto ipsec profile VTI
set transform-set IPSEC

interface tunnel 1
ip unnumbered GigabitEthernet0/0
ip mtu 1438
tunnel source GigabitEthernet0/0
tunnel mode ipsec ipv4
tunnel destination 1.1.1.1
tunnel protection ipsec profile VTI

interface GigabitEthernet0/0
ip address 2.2.2.2 255.255.255.252
duplex auto
speed auto

interface GigabitEthernet0/1
ip address 192.168.1.254 255.255.255.0
ip tcp adjust-mss 1398

ip route 1.1.1.1 255.255.255.255. 2.2.2.1
ip route 192.168.2.0 255.255.255.0 tunnel1


細かいConfigの説明は割愛する。


以上。



マスタリングTCP/IP IPsec編


人気記事