MENU
  • VPS(レンタルサーバ)比較
  • ITエンジニアの転職
  • IT技術入門(Engineers.LOG)
カテゴリー
  • IT関連 (623)
    • Bootstrap (2)
    • クラウド (4)
    • サーバー技術 (185)
    • ストレージ (7)
      • NetApp (7)
    • ネットワーク技術 (91)
      • Cisco (36)
      • Juniper (18)
      • 負荷分散装置 (17)
    • パソコン関連 (92)
      • MAC (25)
      • Windows (54)
    • プログラミング (154)
      • Ansible (11)
      • C言語 (23)
      • Python (111)
        • Django (20)
    • 仮想化 (88)
      • Docker (63)
      • VMware (23)
  • VPS (200)
    • ABLENET VPS (16)
    • Amazon Lightsail(VPS) (2)
    • ConoHaVPS (37)
    • mixhostVPS (4)
    • WebARENAIndigo (16)
    • XServerVPS (34)
    • お名前.com VPS (12)
    • さくらのVPS (24)
    • カゴヤクラウドVPS (13)
    • シンVPS (7)
  • レンタルサーバー (56)
    • エックスサーバー (38)
  • 光回線 (8)
  • 技術スキルアップ開発・学習 (7)
    • Envader (2)
    • RareTECH (2)
    • Udemy (3)
もう現役20年超えましたー。経験値ならだれにも負けないエンジニア技術ブログ
インフラエンジニアの技術LOG
  • VPS(レンタルサーバ)比較
  • ITエンジニアの転職
  • IT技術入門(Engineers.LOG)
インフラエンジニアの技術LOG
  • VPS(レンタルサーバ)比較
  • ITエンジニアの転職
  • IT技術入門(Engineers.LOG)
  1. ホーム
  2. IT関連
  3. ネットワーク技術
  4. Cisco
  5. 【Cisco】サイト間VPN_IPSec VPN設定手順(Cisco891J)

【Cisco】サイト間VPN_IPSec VPN設定手順(Cisco891J)

2021 7/20
Cisco
2021年7月19日2021年7月20日

Cisco891J、892などで設定するサイト間VPNの設定手順をまとめました。

構築した環境は以下の通りとなります。

目次
安くて高速!高性能VPSで快適開発!
最速5分でサーバー構築
>>>こちらをチェック

エンジニア必見! 技術力を伸ばすVPS徹底比較
>>>VPS比較

「Cisco」サイト間VPN_IPSec VPN設定手順

サイト間VPNの情報は以下となります。

拠点Aネットワーク

  • 拠点Aグローバルアドレス:1.1.1.1
  • 拠点Aゲートウェイアドレス:1.1.1.254
  • 拠点A内部ネットワーク:172.16.1.0/24

拠点Bネットワーク

  • 拠点Bグローバルアドレス:2.2.2.1
  • 拠点Bゲートウェイアドレス:2.2.2.254
  • 拠点B内部ネットワーク:192.168.1.0/24

上記情報をもとにVPNの設定を実施します。

拠点Aネットワーク

拠点Aネットワークの設定手順は以下となります。

  1. ポリシー設定
  2. 暗号ACL設定
  3. 暗号マップ(crypto map)設定
  4. アクセスリスト設定
  5. WAN側インターフェースへ暗号マップ・アクセスリスト適用

ISAKMPポリシー設定

拠点AのISAKMPポリシーを設定します。
設定は以下となります。

crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 2
!
crypto isakmp key <プリシェアードキー> address 2.2.2.1
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
 mode tunnel

ポリシー設定

  • ポリシーの有効化(1が最もプライオリティが高く65534が最も低い)
  • 暗号化方式:AES 256ビット
  • 認証方式をpre-share(事前共有鍵)とする設定
  • Diffie-Hellmanグループを 2 とする設定

残りの詳細設定は以下となります。

プリシェアードキー設定

crypto isakmp key <プリシェアードキー> address 2.2.2.1
  • プリシェアードキー:password

暗号キーのライフタイム設定

crypto ipsec security-association lifetime seconds 86400
  • 暗号キーのライフタイムを1日(86400秒)とする設定

トランスフォームセット(transform-set)の設定

crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
 mode tunnel
  • トランスフォームセット名:IPSEC
  • 暗号化方式:AES 256ビット
  • 暗号化アルゴリズム:HMAC-SHA-1
  • モード:トンネルモード

 

暗号ACL設定

IPSecで通信ネットワークを設定します。
暗号ACLは各拠点の内部ネットワーク間を許可させます。

  • 送信元IPアドレス:172.16.1.0/24
  • 宛先IPアドレス:192.168.1.0/24
ip access-list extended VPN-ACL
 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255

暗号マップ(crypto map)設定

IPSecのマップを設定します。
ピアアドレス、トランスフォームセットなどの情報を設定していきます。

crypto map IPSEC-MAP 1 ipsec-isakmp
 set peer 2.2.2.1 default
 set transform-set IPSEC
 set pfs group2
 match address VPN-ACL
  • 暗号マップ名:IPSEC-MAP
  • 隣接アドレス:2.2.2.1
  • トランスフォームセット:IPSEC ※上記で設定済み、(IPSec通信設定)
  • PFS:Group2 ※Diffie-Hellman鍵交換を使用したOakleyと呼ばれる暗号化技術
  • match address:アクセスリスト「VPN-ACL」に一致した場合

アクセスリスト設定

WAN側グローバル通信間におけるACLの設定を実施します。
最低限の暗号化における通信、通信確認のパケットを許可します。

access-list 110 remark ==  WAN ACL GE0 in  ==
access-list 110 permit esp host 2.2.2.1 host 1.1.1.1
access-list 110 permit udp host 2.2.2.1 host 1.1.1.1 eq isakmp
access-list 110 permit icmp host 2.2.2.1 any
access-list 110 deny   ip any any log
access-list 120 remark ==  WAN ACL GE0 out  ==
access-list 120 permit esp host 1.1.1.1 host 2.2.2.1
access-list 120 permit udp host 1.1.1.1 host 2.2.2.1 eq isakmp
access-list 120 permit icmp any host 1.1.1.1
access-list 120 deny   ip any any log

WAN側インターフェースへの「Crypto Map」、アクセスリスト適用

WAN側のインターフェースにおけるIPSecの適用、および上記アクセスリストを適用します。

interface GigabitEthernet0
 ip address 1.1.1.1 255.255.255.0
 ip access-group 110 in
 ip access-group 120 out
 crypto map IPSEC-MAP

サイト間VPN_拠点Bネットワーク

拠点Bネットワークの設定は拠点A同様、以下の手順となります。

  1. ポリシー設定
  2. 暗号ACL設定
  3. 暗号マップ(crypto map)設定
  4. アクセスリスト設定
  5. WAN側インターフェースへ暗号マップ・アクセスリスト適用

ISAKMPポリシー設定

拠点BのISAKMPポリシーを設定します。
設定は以下となります。

crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 2
crypto isakmp key <プリシェアードキー> address 1.1.1.1
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
 mode tunnel

ポリシー設定

  • ポリシーの有効化(1が最もプライオリティが高く65534が最も低い)
  • 暗号化方式:AES 256ビット
  • 認証方式をpre-share(事前共有鍵)とする設定
  • Diffie-Hellmanグループを 2 とする設定

プリシェアードキー設定

crypto isakmp key <プリシェアードキー> address 1.1.1.1
  • プリシェアードキー:password

暗号キーのライフタイム設定

crypto ipsec security-association lifetime seconds 86400
  • 暗号キーのライフタイムを1日(86400秒)とする設定

トランスフォームセット(transform-set)の設定

crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
 mode tunnel
  • トランスフォームセット名:IPSEC
  • 暗号化方式:AES 256ビット
  • 暗号化アルゴリズム:HMAC-SHA-1
  • モード:トンネルモード

 
 
 

暗号ACL設定

IPSecで通信ネットワークを設定します。
暗号ACLは各拠点の内部ネットワーク間を許可させます。

  • 送信元IPアドレス:192.168.1.0.0/24
  • 宛先IPアドレス:172.16.1.0/24

 

ip access-list extended VPN-ACL
 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255

暗号マップ(crypto map)設定

IPSecのマップを設定します。
ピアアドレス、トランスフォームセットなどの情報を設定していきます。

crypto map IPSEC-MAP 1 ipsec-isakmp
 set peer 1.1.1.1 default
 set transform-set IPSEC
 set pfs group2
 match address VPN-ACL
  • 暗号マップ名:IPSEC-MAP
  • 隣接アドレス:1.1.1.1
  • トランスフォームセット:IPSEC ※上記で設定済み、(IPSec通信設定)
  • PFS:Group2 ※Diffie-Hellman鍵交換を使用したOakleyと呼ばれる暗号化技術
  • match address:アクセスリスト「VPN-ACL」に一致した場合

アクセスリスト設定

WAN側グローバル通信間におけるACLの設定を実施します。
最低限の暗号化における通信、通信確認のパケットを許可します。

access-list 110 remark ==  WAN ACL GE0 in  ==
access-list 110 permit esp host 1.1.1.1 host 2.2.2.1
access-list 110 permit udp host 1.1.1.1 host 2.2.2.1 eq isakmp
access-list 110 permit icmp host 1.1.1.1 any
access-list 110 deny   ip any any log
access-list 120 remark ==  WAN ACL GigaEther0 out  ==
access-list 120 permit esp host 2.2.2.1 host 1.1.1.1
access-list 120 permit udp host 2.2.2.1 host 1.1.1.1 eq isakmp
access-list 120 permit icmp any host 2.2.2.1
access-list 120 deny   ip any any log

WAN側インターフェースへの「Crypto Map」、アクセスリスト適用

WAN側のインターフェースにおけるIPSecの適用、および上記アクセスリストを適用します。

interface GigabitEthernet0
 ip address 2.2.2.1 255.255.255.0
 ip access-group 110 in
 ip access-group 120 out
 crypto map IPSEC-MAP

IPSec VPN設定後の確認コマンド

上記、サイト間VPN設定後の確認となります。

拠点A VPNルータ

#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
1.1.1.1         2.2.2.1         QM_IDLE           2001 ACTIVE
2.2.2.1         1.1.1.1         QM_IDLE           2002 ACTIVE

IPv6 Crypto ISAKMP SA
#show crypto ipsec sa

interface: GigabitEthernet0
    Crypto map tag: MAP-IPSEC, local addr 1.1.1.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   current_peer 2.2.2.1 port 500
     PERMIT, flags={origin_is_acl,}

------ 中略 ------

拠点B VPNルータ

#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
2.2.2.1         1.1.1.1         QM_IDLE           2001 ACTIVE
1.1.1.1         2.2.2.1         QM_IDLE           2002 ACTIVE

IPv6 Crypto ISAKMP SA
#show crypto ipsec sa

interface: GigabitEthernet0
    Crypto map tag: MAP-IPSEC, local addr 2.2.2.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
   current_peer 1.1.1.1 port 500
     PERMIT, flags={origin_is_acl,}

------ 中略 ------

上記、確認コマンドで正常性が確認がとれ、各VPNルータは以下の内部ネットワーク間で通信ができることが確認できれば完了となります。

以上がVPNルータのサイト間VPNの設定となります。

あわせて読みたい
ネットワークエンジニアへの技術手順書 ネットワークエンジニアとして、ネットワーク機器の設定、構築って初めのころは大変です。 初めのころなんて聞いたころもない横文字だらけで何がなんやらわからないこと...
エンジニアスキルをアップする勉強法

ITエンジニアの開発・検証・学習としてインターネット上で専用のサーバ(VPS)を利用しましょう!
実務経験はVPSで学べます。

あわせて読みたい
現役エンジニアがおすすめするVPSレンタルサーバ比較(高速SSD限定) 格安VPS比較(2025年最新版)

Cisco
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする コメントをキャンセル

email confirm*

post date*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)



検索
カテゴリー
新着記事
  • XServerVPS アニメ風 男の子 プログラミングをしている VPSを利用している 楽しそうにしている
    XServerVPSで証明書(SSL)を取得する方法
    2025年3月24日
    XServerVPS
  • レンタルサーバ アニメ風 女の子 楽しんでパソコンをしている 目がキラキラ
    WordPressがレンタルサーバよりVPSで利用する方がおすすめの理由
    2025年3月19日
    VPS
  • VPS レンタルサーバー アニメ風 女の子 プログラミングをしている VPSを利用している 楽しそうにしている
    VPSとクラウドの違いとは?初心者向けにわかりやすく解説
    2025年3月5日
    VPS
  • シンVPS アニメ風 女の子 パソコン プログラミングをしている VPSを利用している 楽しそうにしている
    シンVPSはWindows serverを利用できない。その理由と利用できるOSは?
    2025年3月4日
    シンVPS
  • シンVPS アニメ風 女の子 パソコン プログラミングをしている VPSを利用している 楽しそうにしている
    シンVPSでゲームを利用する環境はあるのか
    2025年3月4日
    シンVPS
  • シンVPS アニメ風 女の子 パソコン プログラミングをしている VPSを利用している 楽しそうにしている
    シンVPSのサイトの表示速度は他社に比べて早いのか?
    2025年3月4日
    シンVPS
目次
目次