ポリシーベースIPsec(トンネルモード)の設定例2:暗号化の除外設定の手順

自ネットワーク内から広範囲のネットワークに対する通信をVPN対向へ転送する設定手順、及び、暗号化を除外する設定手順を説明します。

トンネルモードのIPsecは、基本的に暗号化対象とする通信をネットワークアドレスやポート番号により明示的に絞り込んで設定します。 しかし、スター型のVPN構成では、末端側のVPN装置のIPsecセキュリティポリシーの設定において、 対向側のネットワークアドレスをVPN構成全体(アドレスクラス全体など)とする必要があるといった場合があります。

IPsec-SPの設定パラメータは "全ての通信" を指す "any" を使用することができるなど比較的自由度の高い設定が可能ですが、 指定方法によっては、運用上暗号化対象とすべきでない通信も対象となってしまう場合があります。

このような状況では、特定の通信について暗号化対象としない、除外の設定が必要となります。

ここでは、次のような構成において、ローカル側のSEILの設定手順を説明します。

図: 構成イメージ

表 1. ネットワーク情報. ローカル側
項目 備考
接続IPアドレス 10.0.1.1 VPNの始点となるIPアドレス
ネットワークアドレス 192.168.1.0/24 VPN通信の送信元となるネットワーク
表 2. ネットワーク情報. リモート側
項目 備考
接続IPアドレス 10.0.2.1 VPNの終点となるIPアドレス
ネットワークアドレス 192.168.0.0/16 広範囲の送信先をVPN対象とする

IKEプロポーザル・IPsec-SAプロポーザルの設定

  1. 設定パラメータを用意する
    表 3. 暗号パラメータの例
    項目 備考
    IKE:暗号アルゴリズム(encryption) AES(aes)  
    IKE:ハッシュアルゴリズム(hash) SHA-1(sha1)  
    IKE:DHグループ(dh-group) 1024ビットMODP DHグループ(modp1024)  
    IKE:ライフタイム(lifetime-of-time) 12時間(12h)  
    IKE:鍵交換モード(exchange-mode) メインモード(main)  
    IPsec:暗号アルゴリズム(encryption-algorithm) AES(aes)  
    IPsec:認証アルゴリズム(authentication-algorithm) HMAC-SHA1(hmac-sha1)  
    IPsec:PFSグループ(pfs-group) 1024ビットMODP DHグループ(modp1024)  
    IPsec:ライフタイム(lifetime-of-time) 6時間(6h)  
  2. IKEプロポーザルの設定
    # ike proposal add IKEP01 encryption aes hash sha1
      authentication preshared-key dh-group modp1024 lifetime-of-time 12h
    #
    • VPNを構成する各SEILに共通のパラメータを設定します。
  3. IPsec-SAプロポーザルの設定
    # ipsec security-association proposal add SAP01 pfs-group modp1024
      authentication-algorithm hmac-sha1 encryption-algorithm aes lifetime-of-time 6h
    #
    • VPNを構成する各SEILに共通のパラメータを設定します。

IKE事前共有鍵・IKEピアの設定

  1. 設定パラメータを用意する
    表 4. 用意する設定パラメータの例
    項目 備考
    始点IPアドレス 10.0.1.1 設定対象(ローカル側)の接続IPアドレス
    終点IPアドレス 10.0.2.1 対向装置(リモート側)の接続IPアドレス
    事前共有鍵(preshared-key) opensesame 任意文字列
    使用するIKEプロポーザル IKEP01 設定済みの識別子
  2. IKE事前共有鍵の設定
    # ike preshared-key add "10.0.2.1" "opensesame"
    #
    • IKE事前共有鍵は、対向同士で共通の文字列を指定します。 また、鍵交換モードにメインモードを使用するため、事前共有鍵の識別子は、対向装置のIPアドレスを使用します。
    注:
    • 対向装置を設定する際はIPアドレスを読み替えてください。
  3. IKEピアの設定
    # ike peer add PEER01 address 10.0.2.1 exchange-mode main proposals IKEP01
      my-identifier address peers-identifier address initial-contact enable
    # ike auto-initiation enable
    #
    • メインモードでは、相互のIPアドレスを識別に使用します。
    • initial-contact、及び auto-initiation を有効(enable)にすることにより、再起動後などの再折衝が円滑になります。
    注:
    • 対向装置を設定する際はIPアドレスを読み替えてください。

暗号化対象から除外するIPsec-SAとIPsec-SPの設定

  1. 設定パラメータを用意する
    表 5. 用意する設定パラメータの例
    項目 備考
    ローカル側のネットワークアドレス 192.168.1.0/24  
    SEILのLAN側IPアドレス 192.168.1.1  
  2. IPsecセキュリティアソシエーション(パスモード)を設定する
    # ipsec security-association add PASS-SA pass
    #
    • pass指定されたIPsec-SAへ向けられた通信はIPsecによる転送(暗号化)の対象とならず、通常の送信フローに従い送信されます。
  3. IPsecセキュリティポリシー(除外対象の通信の指定)を設定する
    # ipsec security-policy add PASS-SP01 security-association PASS-SA src 192.168.1.1/32 dst 192.168.1.0/24
    #
    • LAN側ネットワーク内の端末とSEILの通信をパスモードのIPsec-SAに向けます。
    注:
    • ローカル側のネットワークアドレスをdstとする必要があることに注意してください。

IPsec-SAの設定

  1. 設定パラメータを用意する
    表 6. 用意する設定パラメータの例
    項目 備考
    始点IPアドレス 10.0.1.1 設定対象(ローカル側)の接続IPアドレス
    終点IPアドレス 10.0.2.1 対向装置(リモート側)の接続IPアドレス
    使用するプロトコル ESP  
    使用するIPsec-SAプロポーザル SAP01 設定済みの識別子
  2. IPsecセキュリティアソシエーションを設定する
    # ipsec security-association add SA01 tunnel 10.0.1.1 10.0.2.1 ike SAP01 esp enable
    #
    注:
    • 対向装置を設定する際はIPアドレスを読み替えてください。

IPsec-SPの設定

  1. 設定パラメータを用意する
    表 7. 用意する設定パラメータの例
    項目 備考
    ローカルネットワークアドレス 192.168.1.0/24  
    リモートネットワークアドレス 192.168.0.0/16  
    使用するIPsec-SA SA01 設定済みの識別子
  2. IPsecセキュリティポリシーを設定する
    # ipsec security-policy add SP01 security-association SA01 src 192.168.1.0/24 dst 192.168.2.0/16
    #
    注:
    • 対向装置を設定する際はネットワークアドレスを読み替えてください。

以上で設定は終了です。