Go to Qiita Advent Calendar 2024 Top
LoginSignup
7
10

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@infra-blog(Shu)

第8回パケットトレーサーでVPN環境を構築

Last updated at Posted at 2020-09-05

6月から始めたアウトプット勉強もついに10個目の記事に突入しました

記念すべき10個目なので、、、

初めてアサインされた構築現場で使用していた技術であるVPNに関して記事を書いていきます。
パケットトレーサーでもVPN構築できることが分かったので復習を兼ねてチャレンジしてみました。

##VPN
(Virtual Private Network)
インターネット上に仮想的な専用線をつくり拠点間をつなぐ技術
暗号化などセキュリテイを重視する場合、暗号化技術のIPsecを活用したIPsec-VPNまたはセッション層で使用されるSSL-VPNが使用されています。

##IPsec
(Security Architecture for Internet Protocol)
ネットワーク層で使用するIPパケット単位で安全な暗号通信を行うプロトコル
データリンクやトランスポート層から影響を受けず、暗号通信が可能です。

##ISAKMP(アイサカンプ)
(Internet Security Association Key Management Protocol)
IPsecで利用されるセキュリテイを確立させるためのプロトコル
VPN通信をする際はフェーズ1と2を経て通信が確立されます。

##SA
(Security Association)
セキュアな通信を提供するために、2つのネットワーク間で同じセキュリティを確立すること。

##構築ネットワーク
2.PNG

###設定内容

閉域網内のRIP構築
一拠点間での通信だったので小規模向けルーティングプロトコルであるRIPを選択

<投入コンフィグ>
router rip 
network 11.0.0.0
RouterA設定
network 192.168.1.0
RouterB設定
network 192.168.2.0
exit

##フェーズ1 ISAKMP設定

★ISAKMP作成
<投入コンフィグ>  RouterA/B共通
ISAKMP SAを生成するためのポリシー設定(数値が低いほど優先度高)
crypto isakmp policy 10
②暗号化アルゴリズムの設定
encryption aes 256
③ハッシュアルゴリズムの設定
hash sha
④認証方式の設定 
authentication pre-share
⑤グループの設定
group 2
ISAKMP SAのライフタイムの設定
lifetime 86400

exit
(pre-share)ハッシュアルゴリズムにおいて事前共有鍵を指定した場合、対抗先との事前共有鍵を設定
crypto isakmp key TEST1 address 11.0.0.2 RouterA設定
crypto isakmp key TEST1 address 11.0.0.1 RouterB設定

##フェーズ2 生成されたISAKMP SAでIPsec SAを生成

IPsecTransform設定
①セキュリティプロトコル+暗号化(esp-aes)+認証(esp-sha-hmac)で設定する
<投入コンフィグ> RouterA/B共通
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
対抗ルーターへのアクセスリスト
IPsecの対象となる送信先と宛先のアクセスリストを設定する
<投入コンフィグ>
RouterA設定
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

RouterB設定
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
CyptoMap設定
<投入コンフィグ>
RouterA設定
③暗号マップ(crypto map)の設定
crypto map CMAP 10 ipsec-isakmp
④対抗先(RouterB)のアドレスの設定
set peer 11.0.0.2
⑤暗号マップに関連付けるアクセスリスト(101)の設定
match address 101
⑥暗号マップに関連付けるIPsecトランスフォームの設定
set transform-set TSET

RouterB設定
③暗号マップ(crypto map)の設定
crypto map CMAP 10 ipsec-isakmp
④対抗先(RouterA)のアドレスの設定
set peer 11.0.0.1
⑤暗号マップに関連付けるアクセスリスト(101)の設定
match address 101
⑥暗号マップに関連付けるIPsecトランスフォームの設定
set transform-set TSET
閉域網側のインターフェースfa0/1でCyptoMapを有効化
⑦どのインターフェースで作成した暗号マップ(crypto map)を適用するか決める
<投入コンフィグ> RouterA/B共通
int fa0/1
crypto map CMAP
do write

##投入結果

PCAからPCBへの通信結果
PCAからBへの通信.PNG

PC AからPC Bに対してICMP疎通ができているのでIPsec-VPN通信が成功しました。

参考: ネットワークエンジニアとして IPsecをはじめから

7
10
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
7
10

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?