よく使うIPsecのConfigをメモしておく。
内容はIKEv1でVTIを使うやり方が簡単で良いと思うし、一般的なように感じる。
本来であればIKEv2へ移行していかないといけないのだろうが、
対応していない機器もまだまだ多く出回っていることも確か。
VTIとは"Virtual Tunnel Interface"の略で所謂ルートベースでのIPsecを行うものだ。
crypto mapを用いたIPsecではユニキャストしか通せないのに対し、
VTIはマルチキャストも通すことができるので、
ダイナミックルーティングが使えることが利点と言える。
マルチキャストの回避策としてGRE over IPsecなんかも一時期流行っていたが、
VTIの方が使い勝手が良いのでだんだんと使われなくなってきているように感じる。
IPsec VTI
これが正解と言うわけではないが、だいたいこんな感じ。
あとは環境に合わせてカスタマイズしていけば良い。
パラメータは以下のような感じで。
| IKEバージョン | バージョン1 |
| 暗号化アルゴリズム | AES 256bit |
| ハッシュアルゴリズム | SHA-2(256bit) |
| 認証方式 | 事前共有鍵 |
| DHグループ | グループ14(2048bit) |
| ライフタイム | byte無効 |
| モード | Mainモード |
| PFS | なし |
Configにするとこんな感じ。
crypto isakmp policy 1
encr aes 256
hash sha256
authentication pre-share
group 14
crypto isakmp key CISCO address 1.1.1.1
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10
crypto ipsec security-association lifetime kilobyte disable
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha256-hmac
mode tunnel
crypto ipsec profile VTI
set transform-set IPSEC
interface tunnel 1
ip unnumbered GigabitEthernet0/0
ip mtu 1438
tunnel source GigabitEthernet0/0
tunnel mode ipsec ipv4
tunnel destination 1.1.1.1
tunnel protection ipsec profile VTI
interface GigabitEthernet0/0
ip address 2.2.2.2 255.255.255.252
duplex auto
speed auto
interface GigabitEthernet0/1
ip address 192.168.1.254 255.255.255.0
ip tcp adjust-mss 1398
ip route 1.1.1.1 255.255.255.255. 2.2.2.1
ip route 192.168.2.0 255.255.255.0 tunnel1
細かいConfigの説明は割愛する。
以上。
マスタリングTCP/IP IPsec編