ネットワークのおべんきょしませんか？

ネットワークのおべんきょしませんか？Vol.903 IPSec

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
         【新バージョンのCCNAにいち早く対応！ 日経BP刊】

Cisco CCNA ICND1テキスト 640-822[640-802含む]対応
www.amazon.co.jp/exec/obidos/ASIN/4822283410/networkstudy-22/ref=nosim/

Cisco CCNA ICND2テキスト 640-816[640-802含む]対応
www.amazon.co.jp/exec/obidos/ASIN/4822283429/networkstudy-22/ref=nosim/

新バージョンに対応した書籍では、一番早いはずです。内容的には、試験の範
囲よりもかなり詳細に記述しているところがたくさんあります。これは、単に
試験に合格するだけではなくて、自信を持って「ネットワーク技術の基本は完
璧です！！」と言っていただけるようにするためです。
いろんなプロトコルの動作の仕組みまできちんと理解して、現場で活用できる
ネットワークエンジニアになっていただくための一助となれば、とても幸いで
す。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┌──ALL_@bout_Network────────────────────────┐
｜                                                                     ｜
｜              ネットワークのおべんきょしませんか？                   ｜
｜                       http://www.n-study.com/                       ｜
└─────────────────────────ALL_@bout_Network─┘
2008/01/25 Vol.903  発行部数 約30000

Back Number：      http://blog.mag2.com/m/log/0000046467
有料版PREMIUM：    http://www.n-study.com/premium/index.htm
広告掲載について： http://www.n-study.com/2005/08/post_4.html
WEBサイト広告掲載：http://www.n-study.com/2005/09/web.html
コンテンツ提供：   http://www.n-study.com/2005/09/post.html

※メルマガ解除は自己責任で行ってください。発行者ではいっさい対応しませ
  ん。メルマガの最後に各発行スタンドへのリンクを記載しています

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1日1クリック。習慣にしましょ。
http://blog.livedoor.jp/gene_survive/archives/5734503.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※1日1クリックで、ちょっとした社会貢献。ぜひ、習慣にしてください。(Gene)

┌──ALL_@bout_Network────────────────────────┐

  〜INDEX〜

        ◆はじめに
        ◆IPSec その11
        ◆終わりに
        ◆The Power of Words

└─────────────────────────ALL_@bout_Network─┘

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
        『キーマンズネット』 http://www.n-study.com/keymansnet.htm
リクルートが提供するIT製品情報提供サイトです。無料で利用することができ
ます。
企業向けのサービスが多く登場しています。「目的のシステムには、どのサー
ビスを利用すればいいんだろう？」というのは、ITエンジニアの共通の悩みに
なっていることでしょう。サービスを提供する事業者のWebサイトで比較したり、
合い見積もりを取ったりされていることだと思います。
キーマンズネットでは、さまざまなITサービスの簡単な仕組みを解説し、そし
てそれらを提供する事業者へのURLへのリンクがあるので、サービス選択のポ
イントを勉強して、その後、簡単にサービスの内容を調べられるようになって
います。
IT業界に身をおいている人は、エンジニアの方も営業職の方も関わりなく、キ
ーマンズネットへの登録をオススメします！
キーマンズネットへの登録は、以下のURLからバナーをクリックしてください。
http://www.n-study.com/keymansnet.htm
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※IT系の企業の社員の方は黙って登録しましょう。ネットワークに限らず、IT
  業界のどんな分野でも必ず仕事に役立つ情報を得られます。
  キーマンズネットのコンテンツのリンク一覧を作ってみました。
  http://www.n-study.com/books/2005/03/it.html#keymans
  こんなにたくさんのコンテンツを会員登録だけで、無料で見られます。(Gene)

┌──ALL_@bout_Network────────────────────────┐


  「はじめに」

こんにちは、発行者の Gene(ジーン) です。

日経コミュニケーションの記事で見たのですが、IPv4アドレスの枯渇がもう間
近だそうです。


「IPv4アドレスは2010年に枯渇」  
  http://itpro.nikkeibp.co.jp/article/COLUMN/20080116/291204/


すぐに全面的にIPv6に切り替わることはないでしょうけど、IPv6への切り替え
が本格的に進んでいきそうです。これから、ITエンジニアの方たちはIPv6の知
識が必須になるかもしれませんね。

Windows Vistaで、IPv6がデフォルトで使えるようになっているので、Windows Vista
もからめてIPv6のコンテンツをあらためて考えていくと面白そうです。今後の
メルマガのネタとして、ちょっと検討しようかなぁと思っています。

さて、今回はインターネットVPNをバックアップとして利用する設定を考えて
います。とても基本的な設定だけですが、よろしければ参考にしてください。
実際にCiscoルータで設定したログは、またあらためてご紹介します。


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
            ★PCのアイドル中に社会貢献「Folding@home」★
               http://folding.stanford.edu/japanese/
  チームを作成しました！よろしければ、一緒にご参加ください！！
  チーム番号：64236
  チーム名：N-STUDY
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
                      無料レポートはじめました！！

  ・究める無線LAN 〜初級編〜
  ・テクニカルエンジニア(ネットワーク)平成14年解説
  ・Ciscoルータのダイアルバックアップ
  ・レイヤ3スイッチの考え方とCisco Catalystスイッチの設定
  ・CiscoルータでのBGP集約

 を1つのPDFファイルで読んでいただけます！お申し込みはこちらから↓
                http://www.n-study.com/report.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

└─────────────────────────ALL_@bout_Network─┘

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
『日経NETWORK』 http://www.n-study.com/books/2005/06/network.html
いくつかネットワーク技術雑誌がありますが、最も部数が多いのが
『日経NETWORK』でしょう。単に部数が多いだけでなく、非常にビジュアルで
わかりやすい記事構成になっています。
2000年の創刊号からずっと読んでいますが、「ネットワークのおべんきょしま
せんか？」のネタ元になっていたりします(笑)。雑誌という性格上、記事の内
容は、1年ぐらいでまた同じような記事が載せられていることがあります。で
も、最近ではQoS(Quality of Service)やネットワーク設計についての特集が
あったりして、同じような記事の繰り返しだけではないものもたくさんありま
す。
とにかく『日経NETWORK』を1年間、特集だけでもきちんと読むようにすれば、
ネットワーク技術についての知識は飛躍的に向上することでしょう。仕組みが
わかれば、とても面白くなります。ネットワーク技術をこれから勉強するとい
う初心者の方にとてもオススメです。
詳細や購読申し込みは、以下のURLをクリックしてください。
http://www.n-study.com/books/2005/06/network.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※ネットワーク技術雑誌でどんな雑誌を読めばいいか迷ったら、とりあえず
  『日経NETWORK』を読んでおきましょう。
  ぼくも最初は『日経NETWORK』で始めました。購読して1年ぐらいして、よう
  やくネットワーク技術っていうものが見えてきましたね。(Gene)

┌──ALL_@bout_Network────────────────────────┐




  「IPSec その11」

〜インターネットVPNを利用したバックアップの構成〜

インターネットVPNを利用したバックアップの構成を考えてみましょう。次の
図です。


http://www.n-study.com/network/image/gre_over_ipsec01.html
図 インターネットVPNによるバックアップ構成例


拠点間を専用線で接続していることを想定しています。ルーティングプロトコ
ルは、CiscoのEIGRPを使っているものとします。専用線でポイントツーポイン
ト接続しているならルーティングプロトコルは特に必要ありません。
でも、専用線が切れてしまったときにインターネットVPN経由に経路を切り替
えるために、ルーティングプロトコルを利用します。
例では、EIGRPを使っていますがRIPでもOSPFでももちろん使えます。



〜GREトンネルの作成〜

まずは、GREトンネルを作成します。GREトンネルによって、インターネット経
由であたかもR1とR2がポイントツーポイントで接続されているかのようにしま
す。
ポイントツーポイント接続したGREトンネルで、IPパケットをルーティングす
るためには当然、IPアドレスが必要です。この部分は、プライベートアドレス
でいいです。インターネットを経由していても、GREトンネルは内部ネットワ
ーク扱いです。

R1、R2の設定は、次のようになります。

【R1】
interface tunnel 0
  tunnel source serial0/0
  tunnel destination 200.2.2.2
  ip address 10.0.1.1 255.255.255.0


【R2】
interface tunnel 0
  tunnel source serial0/0
  tunnel destination 200.1.1.1
  ip address 10.0.1.2 255.255.255.0


Tunnelインタフェースは、tunnel destinationのIPアドレスに到達可能でなけ
ればいけません。そのためには、インターネット側へのルーティングができて
いないといけません。今回は、デフォルトルートを設定しておきます。
R1、R2ともに次のように設定します。


【R1/R2】
ip route 0.0.0.0 0.0.0.0 serial0/0


これでR1とR2間のGREトンネルの設定は完了です。GREトンネルによって、R1と
R2はまるでポイントツーポイント接続されているかのように見えることになり
ます。


〜ルーティングの設定〜

R1とR2間でEIGRPの設定を行います。GREトンネル上でもEIGRPを動作させるこ
とで、GREトンネル経由でお互いの拠点のルート情報を学習できます。GREトン
ネルは、インタフェースの帯域幅が小さいので、EIGRPでは最適ルートとして
専用線経由のルートを選択します。つまり、専用線が正常な場合は、専用線経
由のルートがルーティングテーブルに載っています。

もし、専用線が切れてしまったら代わりにGREトンネル経由のルートがルーテ
ィングテーブルに載ります。


【R1/R2】

router eigrp 1
 network 10.0.0.0


http://www.n-study.com/network/image/gre_over_ipsec02.html
図 GREトンネルとEIGRPの構成


〜IPSecの設定〜

あとは、GREトンネル経由で送信されるパケットをIPSecで暗号化するだけです。
ここで普通のIPSecの設定と違ってくるのは、IPSec化する対象パケットの指定
です。

R1およびR2のTunnelインタフェースからルーティングされるパケットは次のよ
うにカプセル化されています。


http://www.n-study.com/network/image/gre_over_ipsec03.html
図 GREカプセル化されたパケット


このGREでカプセル化されたパケットは、インターネットに接続されているSerial0/0
からルーティングされることになります。IPSecのcrypto mapはインターネッ
トに接続されるSerial0/0に適用します。つまり、IPSecの対象パケットは、GRE
カプセル化したパケットを指定すればよいことになります。
R1では、

送信先IPアドレス：200.2.2.2
送信元IPアドレス：200.1.1.1
プロトコル：GRE

のパケットです。

R2では、

送信先IPアドレス：200.1.1.1
送信元IPアドレス：200.2.2.2
プロトコル：GRE

のパケットです。
上記のIPSec化対象パケットを指定する暗号アクセスリストは次のようになり
ます。


【R1】
access-list 100 permit gre host 200.1.1.1 host 200.2.2.2

【R2】
access-list 100 permit gre host 200.2.2.2 host 200.1.1.1


GRE over IPSecは、この暗号アクセスリストさえ気をつければ、あとは普通の
IPSecの設定と同じです。

次の条件でIPSecの設定を考えます。

IKEフェーズ1
・ピア認証：PSK(Pre Shared Key)
・キー：「password」
・ハッシュアルゴリズム：SHA
・暗号化アルゴリズム：AES128ビット
・Diffie-Hellman交換：グループ2

IPSecトランスフォームセット
・暗号化アルゴリズム：AES128ビット
・ハッシュアルゴリズム：SHA
・トランスフォームセット名：「aes-sha」

この条件に基づく設定は次のようになります。

【R1】
〜IKEフェーズ1〜
crypto isakmp policy 10
  authentication pre-shared
  hash sha
  encryption aes 128
  group 2

crypto isakmp key password address 200.2.2.2


〜IPSecトランスフォームセット〜
crypto ipsec transform-set aes-sha esp-aes 128 esp-sha-hmac


〜暗号アクセスリスト〜
access-list 100 permit gre host 200.1.1.1 host 200.2.2.2


〜crypto map
crypto map VPN_TO_R2 10 ipsec-isakmp
  set peer 200.2.2.2
  match address 100
  set transform-set aes-sha


interface serial 0/0
  crypto map VPN_TO_R2


【R2】
〜IKEフェーズ1〜
crypto isakmp policy 10
  authentication pre-shared
  hash sha
  encryption aes 128
  group 2

crypto isakmp key password address 200.1.1.1


〜IPSecトランスフォームセット〜
crypto ipsec transform-set aes-sha esp-aes 128 esp-sha-hmac


〜暗号アクセスリスト〜
access-list 100 permit gre host 200.2.2.2 host 200.1.1.1


〜crypto map
crypto map VPN_TO_R1 10 ipsec-isakmp
  set peer 200.1.1.1
  match address 100
  set transform-set aes-sha


interface serial 0/0
  crypto map VPN_TO_R1


〜設定のまとめ〜

ここまでのインターネットVPN(GRE over IPSec)によるバックアップ構成の設
定を図にまとめます。


http://www.n-study.com/network/image/gre_over_ipsec04.html
図 インターネットVPNによるバックアップ設定のまとめ



└─────────────────────────ALL_@bout_Network─┘

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    たまにはシティーホテルでのんびり過ごしたいなぁって言う方は
               一休ドットコムの高級ホテル・旅館の予約
                 ≪ http://www.n-study.com/ikkyu/ ≫
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
        BSCIv3テキスト、日経BP社より出版されました！
 www.amazon.co.jp/exec/obidos/ASIN/4822283305/networkstudy-22/ref=nosim/

試験対策はもちろんOSPF/EIGRP/BGPをバリバリと使えるようになるためにお役
に立てるはず。CCIEの基礎としても有効です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┌──ALL_@bout_Network────────────────────────┐


  「終わりに」

風邪が完治しません・・・よくよく考えてみると、2週間ぐらいずっと風邪気
味。早く完治させたいです・・・

└─────────────────────────ALL_@bout_Network─┘

┌──ALL_@bout_Network────────────────────────┐

 「The Power of Words」
  http://www.n-study.com/words/


  手をぬかないで  今だけは  むなしい明日がイヤなら
  汗といっしょに  飛び散れ  お飾りの愛情も
  バリアのような  恨みつらみも  ONE ON ONE


                                                  〜B'z「ONE ON ONE」〜
          www.amazon.co.jp/exec/obidos/ASIN/B000WP0B2U/networkstudy-22/

└─────────────────────────ALL_@bout_Network─┘

                    ★ご購読ありがとうございました★
┌──ALL_@bout_Network────────────────────────┐
｜                                                                     ｜
｜WRITTEN BY：Engineer Support info@n-study.com                        ｜
｜WEB PAGE  ：http://www.n-study.com/                                  ｜
｜                                                                     ｜
｜           Copyright(C) 2007 Engineer Support All Rights Reserved 　 ｜
｜                                                                     ｜
｜このメールマガジンは以下のシステムを利用して発行しています。解除、メ ｜
｜ールアドレス変更は以下のリンクからご自分で行ってください。代行は行い ｜
｜ません。                                                             ｜
｜なお、このメールマガジンの内容について、いかなる損害が生じても補償を ｜
｜することはできません。記載されている情報は、読者の方々の各自のご判断 ｜
｜でご利用ください。                                                   ｜
｜                                                                     ｜
｜◆めろんぱん  http://www.melonpan.net/                               ｜
｜  http://www.melonpan.net/melonpa/mag-detail.php3?mag_id=000105      ｜
｜◆インターネットの本屋さん『まぐまぐ』 http://www.mag2.com/          ｜
｜  http://www.mag2.com/m/0000046467.htm                               ｜
｜◆総合メールマガジンポータルサイト melma! http://www.melma.com       ｜
｜  http://www.melma.com/mag/01/m00017301/                             ｜
｜◆無料メールマガジン発行サービスのメルマガ天国 http://melten.com/    ｜
｜  http://melten.com/m/2209.html                                      ｜
｜◆カプライト                                                         ｜
｜  http://cgi.kapu.biglobe.ne.jp/m/1676.html                          ｜
｜◆E-Magazine                                                         ｜
｜  http://www.emaga.com/info/gene.html                                ｜
｜                                                                     ｜
└─────────────────────────ALL_@bout_Network─┘

エクセル(EXCEL)＋ワード(WORD)＝MOUS School：マイクロソフト公認の資格をとろう！

マイクロソフト オフィスユーザ検定試験（MOUS）の資格取得を目的とした、各種情報（練習問題、解説）をご提供。仕事で役立つWord（ワード）／Exc...

IP Network Skill

IPを中心に、ネットワーク技術の説明。情報処理試験やベンダ試験対策に。ネスペ解説、技術動向解説。

メール・インターネット　ワンポイント講座

パソコン初心者を対象にメールやインターネットのテクニックやマナーを載せます。１日１歩ずつ、ゆっくりですが、確実にレベルアップして行きましょう。

ＩＰネットワーク考

インターネットのネットワークＳＥの実務者が、IPネットワークにまつわる話題、問題、技術について実務者ならではの視点から解説します。ネットワーク、TC...

役に立たない駄話

読者の皆様の貴重なお昼の休憩時間にどうでもいい話、つかえない豆知識、あまりにもしょうがないので笑ってしまうバカニュースなどを携えてやってきます。現在...

この記事へのコメント

おすすめカードローン！

オリックスＶＩＰローンカードなら

<<年率5.9％〜15.0％、利用可能枠最高500万円>>
ゆとりのカードローンです。
お申込みはこちら⇒

melma!協賛企業