ネットワークのおべんきょしませんか？

ネットワークのおべんきょしませんか？Vol.899 IPSec

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
        『キーマンズネット』 http://www.n-study.com/keymansnet.htm
リクルートが提供するIT製品情報提供サイトです。無料で利用することができ
ます。
企業向けのサービスが多く登場しています。「目的のシステムには、どのサー
ビスを利用すればいいんだろう？」というのは、ITエンジニアの共通の悩みに
なっていることでしょう。サービスを提供する事業者のWebサイトで比較したり、
合い見積もりを取ったりされていることだと思います。
キーマンズネットでは、さまざまなITサービスの簡単な仕組みを解説し、そし
てそれらを提供する事業者へのURLへのリンクがあるので、サービス選択のポ
イントを勉強して、その後、簡単にサービスの内容を調べられるようになって
います。
IT業界に身をおいている人は、エンジニアの方も営業職の方も関わりなく、キ
ーマンズネットへの登録をオススメします！
キーマンズネットへの登録は、以下のURLからバナーをクリックしてください。
http://www.n-study.com/keymansnet.htm
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※IT系の企業の社員の方は黙って登録しましょう。ネットワークに限らず、IT
  業界のどんな分野でも必ず仕事に役立つ情報を得られます。
  キーマンズネットのコンテンツのリンク一覧を作ってみました。
  http://www.n-study.com/books/2005/03/it.html#keymans
  こんなにたくさんのコンテンツを会員登録だけで、無料で見られます。(Gene)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
              BCMSNテキストリリース開始しました！！
         http://www.n-study.com/library/2007/10/bcmsn.html

試験に必要な技術に加えて、実践的なキャンパスLAN構築のノウハウを学習し
ていただける内容です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┌──ALL_@bout_Network────────────────────────┐
｜                                                                     ｜
｜              ネットワークのおべんきょしませんか？                   ｜
｜                       http://www.n-study.com/                       ｜
└─────────────────────────ALL_@bout_Network─┘
2008/01/11 Vol.899  発行部数 約30000

Back Number：      http://blog.mag2.com/m/log/0000046467
有料版PREMIUM：    http://www.n-study.com/premium/index.htm
広告掲載について： http://www.n-study.com/2005/08/post_4.html
WEBサイト広告掲載：http://www.n-study.com/2005/09/web.html
コンテンツ提供：   http://www.n-study.com/2005/09/post.html

※メルマガ解除は自己責任で行ってください。発行者ではいっさい対応しませ
  ん。メルマガの最後に各発行スタンドへのリンクを記載しています

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1日1クリック。習慣にしましょ。
http://blog.livedoor.jp/gene_survive/archives/5734503.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※1日1クリックで、ちょっとした社会貢献。ぜひ、習慣にしてください。(Gene)

┌──ALL_@bout_Network────────────────────────┐

  〜INDEX〜

        ◆はじめに
        ◆IPSec その9
        ◆終わりに
        ◆The Power of Words

└─────────────────────────ALL_@bout_Network─┘

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
         【新バージョンのCCNAにいち早く対応！ 日経BP刊】

Cisco CCNA ICND1テキスト 640-822[640-802含む]対応
www.amazon.co.jp/exec/obidos/ASIN/4822283410/networkstudy-22/ref=nosim/

Cisco CCNA ICND2テキスト 640-816[640-802含む]対応
www.amazon.co.jp/exec/obidos/ASIN/4822283429/networkstudy-22/ref=nosim/

新バージョンに対応した書籍では、一番早いはずです。内容的には、試験の範
囲よりもかなり詳細に記述しているところがたくさんあります。これは、単に
試験に合格するだけではなくて、自信を持って「ネットワーク技術の基本は完
璧です！！」と言っていただけるようにするためです。
いろんなプロトコルの動作の仕組みまできちんと理解して、現場で活用できる
ネットワークエンジニアになっていただくための一助となれば、とても幸いで
す。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┌──ALL_@bout_Network────────────────────────┐


  「はじめに」

こんにちは、発行者の Gene(ジーン) です。

次世代DVDの規格争いに大きく進展がありました。これまでBlu-RayとHD-DVDの
両方のフォーマットでコンテンツを提供していたワーナーがBlu-Rayのみに変
更。昨年パラマウントがHD-DVDのみに変更したんですが、ヨーロッパ、アメリ
カの年末商戦でBlu-Rayが優勢。日本では、圧倒的なBlu-Ray優位だったみたい
で、ワーナーの決断をうながしたようです。
ワーナーの転向によって、パラマウントが再びBlu-Rayに戻ってくるという話も。
トランスフォーマーがHD-DVDだけだったのが残念だったので、パラマウントが
またBlu-Rayに戻ってきて欲しいです。

Blu-Rayの次世代規格の映像を見ると、視力がよくなったように感じるぐらい
で、別の世界が開けるような感じです。早く規格争いに決着をつけて、次世代
DVDが普及帯の価格になるように期待しています。

話は変わりますが、明日、マインドマップのインストラクタになるためにお試
し版講座2回目です。12月に行ったときよりも、かなり構成を変えました。2月
にまたやる予定なんですが、そのときはメルマガの読者の方で「マインドマップ
を知りたい！」という方を何名かご招待したいと思います。近いうちにご案内
しますね。


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
            ★PCのアイドル中に社会貢献「Folding@home」★
               http://folding.stanford.edu/japanese/
  チームを作成しました！よろしければ、一緒にご参加ください！！
  チーム番号：64236
  チーム名：N-STUDY
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
                      無料レポートはじめました！！

  ・究める無線LAN 〜初級編〜
  ・テクニカルエンジニア(ネットワーク)平成14年解説
  ・Ciscoルータのダイアルバックアップ
  ・レイヤ3スイッチの考え方とCisco Catalystスイッチの設定
  ・CiscoルータでのBGP集約

 を1つのPDFファイルで読んでいただけます！お申し込みはこちらから↓
                http://www.n-study.com/report.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

└─────────────────────────ALL_@bout_Network─┘

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
『日経NETWORK』 http://www.n-study.com/books/2005/06/network.html
いくつかネットワーク技術雑誌がありますが、最も部数が多いのが
『日経NETWORK』でしょう。単に部数が多いだけでなく、非常にビジュアルで
わかりやすい記事構成になっています。
2000年の創刊号からずっと読んでいますが、「ネットワークのおべんきょしま
せんか？」のネタ元になっていたりします(笑)。雑誌という性格上、記事の内
容は、1年ぐらいでまた同じような記事が載せられていることがあります。で
も、最近ではQoS(Quality of Service)やネットワーク設計についての特集が
あったりして、同じような記事の繰り返しだけではないものもたくさんありま
す。
とにかく『日経NETWORK』を1年間、特集だけでもきちんと読むようにすれば、
ネットワーク技術についての知識は飛躍的に向上することでしょう。仕組みが
わかれば、とても面白くなります。ネットワーク技術をこれから勉強するとい
う初心者の方にとてもオススメです。
詳細や購読申し込みは、以下のURLをクリックしてください。
http://www.n-study.com/books/2005/06/network.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※ネットワーク技術雑誌でどんな雑誌を読めばいいか迷ったら、とりあえず
  『日経NETWORK』を読んでおきましょう。
  ぼくも最初は『日経NETWORK』で始めました。購読して1年ぐらいして、よう
  やくネットワーク技術っていうものが見えてきましたね。(Gene)

┌──ALL_@bout_Network────────────────────────┐


  「IPSec その9」

〜サイト間IPSec VPNの設定例〜

今回は、次の図のようなシンプルなネットワーク構成におけるサイト間IPSec VPN
の設定例を考えましょう。

http://www.n-study.com/network/image/ipsec-vpn-sample01.html
図 サイト間IPSec VPNの設定例 構成

インターネットを介して、2つの拠点のLAN1、LAN2を接続するサイト間IPSec VPN
です。


〜ISAKMPポリシーの設定〜

まずは、IKEフェーズ1、すなわちISAKMPポリシーを設定し。今回、ISAKMPポリ
シーは次の通りとします。

・ピア認証：PSK(Pre Shared Key)
・キー：「password」
・ハッシュアルゴリズム：SHA
・暗号化アルゴリズム：AES128ビット
・Diffie-Hellman交換：グループ2

このポリシーに基づいたVPNGW1の設定は次のようになります。


【VPNGW1】
crypto isakmp policy 10
  authentication pre-shared
  hash sha
  encryption aes 128
  group 2

crypto isakmp key password address 100.2.2.2



VPNGW2の設定は、ピアのアドレスが変わるだけでVPNGW1とほとんど同じです。

【VPNGW1】
crypto isakmp policy 10
  authentication pre-shared
  hash sha
  encryption aes 128
  group 2

crypto isakmp key password address 100.1.1.1


〜IPSecトランスフォームセットの設定〜

次にIPSec SAでどのような暗号化・ハッシュアルゴリズムを利用するかという
IPSecトランスフォームセットの設定を考えます。
今回のサンプルでは、次の通りとします。

・暗号化アルゴリズム：AES128ビット
・ハッシュアルゴリズム：SHA
・トランスフォームセット名：「aes-sha」

上記に基づいたVPNGW1/VPNGW2のトランスフォームセットの設定はどちらも同
じで、次のようになります。

【VPNGW1/VPNGW2】
crypto ipsec transform-set aes-sha esp-aes 128 esp-sha-hmac


〜暗号ACLの設定〜

続いて、IPSecによって暗号化する対象パケットを指定するための暗号ACLを設
定します。IPSec化するパケットは、それぞれの拠点のLAN間通信すべてとしま
す。VPNGW1、VPNGW2それぞれで考えると次のようになります。

【VPNGW1】
・送信元IPアドレス：192.168.1.0/24
・送信先IPアドレス：192.168.2.0/24

【VPNGW2】
・送信元IPアドレス：192.168.2.0/24
・送信先IPアドレス：192.168.1.0/24

VPNGW1とVPNGW2では、アドレスの情報が反転することに注意してください。こ
の辺が設定ミスが多いところです。暗号ACLの設定は次のようになります。

【VPNGW1】
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

【VPNGW2】
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255


〜暗号マップ(crypto map)の設定〜

そして、キーの管理方法やIPSecピア、IPSec化対象パケット、トランスフォー
ムセットの情報をまとめる暗号マップを設定します。

【VPNGW1】
crypto map VPN_TO_GW2 10 ipsec-isakmp
  set peer 100.2.2.2
  match address 100
  set transform-set aes-sha

【VPNGW2】
crypto map VPN_TO_GW1 10 ipsec-isakmp
  set peer 100.1.1.1
  match address 100
  set transform-set aes-sha


crypto mapの中の「ipsec-isakmp」は、キーの管理にISAKMPを利用することを
表しています。


〜暗号マップの適用〜

暗号マップは、定義しただけでは全く意味がありません。適切なインタフェー
スに適用する必要があります。暗号マップを適用するのは、インターネットに
接続される方向のインタフェースです。今回の例では、VPNGW1/VPNGW2ともにSe0/0
です。

【VPNGW1】
interface serial 0/0
  crypto map VPN_TO_GW2

【VPNGW2】
interface serial 0/0
  crypto map VPN_TO_GW1

暗号マップの適用には方向はありません。適用したインタフェースから出力す
るときに暗号マップの内容にしたがって、パケットをIPSec化します。

また、大事なポイントはルーティングがきちんとできていないとダメだという
ことです。お互いのLANあてのパケットをルーティングできるようにSerial0/0
から出力できるようにしておかないとIPSec化できません。多くの場合、スタ
ティックルートの設定を行います。今回の構成例では、次のようなスタティッ
クルートを設定するといいでしょう。

【VPNGW1】
ip route 192.168.2.0 255.255.255.0 100.2.2.2

【VPNGW2】
ip route 192.168.1.0 255.255.255.0 100.1.1.1

RIP、OSPFなどのルーティングプロトコルを利用することもできますが、ちょ
っと工夫が必要です。


〜ACLの設定〜

インターネットに接続するインタフェースは、セキュリティのため、通常のACL
によるパケットフィルタを行っていることがほとんどです。インターネットを
介してIPSec化したパケットを送受信するためには、ACLに条件を追加しなけれ
ばいけません。今回の例で、追加するACLの条件の例は次の通りです。

【VPNGW1】
access-list 101 permit ahp host 100.2.2.2 host 100.1.1.1
access-list 101 permit esp host 100.2.2.2 host 100.1.1.1
access-list 101 permit udp host 100.2.2.2 host 100.1.1.1 eq isakmp

interface serial 0/0
  ip access-group 101 in

【VPNGW2】
access-list 101 permit ahp host 100.1.1.1 host 100.2.2.2
access-list 101 permit esp host 100.1.1.1 host 100.2.2.2
access-list 101 permit udp host 100.1.1.1 host 100.2.2.2 eq isakmp

interface serial 0/0
  ip access-group 101 in


このACLは、インターネット接続のインタフェースのインで適用し、ピアのIP
アドレスから自分のIPアドレスあてのAH、ESPおよびISAKMP(UDP500)をpermit
しているものです。


〜設定のまとめ〜

ここまでのサイト間IPSec VPNの設定を図にまとめます。

http://www.n-study.com/network/image/ipsec-vpn-sample02.html
図 サイト間IPSec VPNの設定例 まとめ


└─────────────────────────ALL_@bout_Network─┘

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    たまにはシティーホテルでのんびり過ごしたいなぁって言う方は
               一休ドットコムの高級ホテル・旅館の予約
                 ≪ http://www.n-study.com/ikkyu/ ≫
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
        BSCIv3テキスト、日経BP社より出版されました！
 www.amazon.co.jp/exec/obidos/ASIN/4822283305/networkstudy-22/ref=nosim/

試験対策はもちろんOSPF/EIGRP/BGPをバリバリと使えるようになるためにお役
に立てるはず。CCIEの基礎としても有効です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┌──ALL_@bout_Network────────────────────────┐


  「終わりに」

フェラーリの新車見ました！美しい！！
昨年、マクラーレンのおくれをとった低速サーキットの課題を解決したとのこ
と。さっそく新車に乗ったライコネンの感触も上々のようです。
ライバルの進歩もあるので簡単ではないでしょうけど、2年連続のダブルタイ
トルに向けてがんばってほしいです。
シンガポールGP、見に行きたいと思っているので、そのときにタイトル決めて
くれると大感激です。


└─────────────────────────ALL_@bout_Network─┘

┌──ALL_@bout_Network────────────────────────┐

 「The Power of Words」
  http://www.n-study.com/words/

  さびしげな手ならば にぎりしめよう
  無視しない ズルしない 勇気はどこに？


                                                  〜B'z「純情ACTION」〜
          www.amazon.co.jp/exec/obidos/ASIN/B000WP0B2U/networkstudy-22/

└─────────────────────────ALL_@bout_Network─┘

                    ★ご購読ありがとうございました★
┌──ALL_@bout_Network────────────────────────┐
｜                                                                     ｜
｜WRITTEN BY：Engineer Support info@n-study.com                        ｜
｜WEB PAGE  ：http://www.n-study.com/                                  ｜
｜                                                                     ｜
｜           Copyright(C) 2007 Engineer Support All Rights Reserved 　 ｜
｜                                                                     ｜
｜このメールマガジンは以下のシステムを利用して発行しています。解除、メ ｜
｜ールアドレス変更は以下のリンクからご自分で行ってください。代行は行い ｜
｜ません。                                                             ｜
｜なお、このメールマガジンの内容について、いかなる損害が生じても補償を ｜
｜することはできません。記載されている情報は、読者の方々の各自のご判断 ｜
｜でご利用ください。                                                   ｜
｜                                                                     ｜
｜◆めろんぱん  http://www.melonpan.net/                               ｜
｜  http://www.melonpan.net/melonpa/mag-detail.php3?mag_id=000105      ｜
｜◆インターネットの本屋さん『まぐまぐ』 http://www.mag2.com/          ｜
｜  http://www.mag2.com/m/0000046467.htm                               ｜
｜◆総合メールマガジンポータルサイト melma! http://www.melma.com       ｜
｜  http://www.melma.com/mag/01/m00017301/                             ｜
｜◆無料メールマガジン発行サービスのメルマガ天国 http://melten.com/    ｜
｜  http://melten.com/m/2209.html                                      ｜
｜◆カプライト                                                         ｜
｜  http://cgi.kapu.biglobe.ne.jp/m/1676.html                          ｜
｜◆E-Magazine                                                         ｜
｜  http://www.emaga.com/info/gene.html                                ｜
｜                                                                     ｜
└─────────────────────────ALL_@bout_Network─┘

エクセル(EXCEL)＋ワード(WORD)＝MOUS School：マイクロソフト公認の資格をとろう！

マイクロソフト オフィスユーザ検定試験（MOUS）の資格取得を目的とした、各種情報（練習問題、解説）をご提供。仕事で役立つWord（ワード）／Exc...

IP Network Skill

IPを中心に、ネットワーク技術の説明。情報処理試験やベンダ試験対策に。ネスペ解説、技術動向解説。

メール・インターネット　ワンポイント講座

パソコン初心者を対象にメールやインターネットのテクニックやマナーを載せます。１日１歩ずつ、ゆっくりですが、確実にレベルアップして行きましょう。

ＩＰネットワーク考

インターネットのネットワークＳＥの実務者が、IPネットワークにまつわる話題、問題、技術について実務者ならではの視点から解説します。ネットワーク、TC...

役に立たない駄話

読者の皆様の貴重なお昼の休憩時間にどうでもいい話、つかえない豆知識、あまりにもしょうがないので笑ってしまうバカニュースなどを携えてやってきます。現在...

この記事へのコメント

おすすめカードローン！

オリックスＶＩＰローンカードなら

<<年率5.9％〜15.0％、利用可能枠最高500万円>>
ゆとりのカードローンです。
お申込みはこちら⇒

melma!協賛企業