C H A P T E R 7 暗号化サービスの設定 この章では、Catalyst 4000 Access Gateway Module(AGM)の Encryption Service Adapter(ESA)モ ジュールを設定する方法について説明します。 この章で説明する内容は、次のとおりです。 • ESA の概要(p.7-1) • ESA の設定(p.7-2) • 設定の確認(p.7-7) • コンフィギュレーション例(p.7-7) ESA の概要 ESA は、AGM のメイン プロセッサから暗号処理の一部を解放してパフォーマンスを向上させる、 高性能データ暗号化モジュールです。ESA はクリプト エンジンと呼ばれるソフトウェア サービス を介して、AGM にデータ暗号化および認証アルゴリズムを実装します。 ESA には、公開鍵比較プロセッサおよびハードウェア乱数ジェネレータが組み込まれています。こ れらの機能は、キーの生成、交換、および認証のための公開鍵暗号化に対応しています。ESA は、 2 つの全二重 T1 通信リンクまたは 2 つの全二重 E1 通信リンクを暗号化したり、認証することがで きます。各データ リンクは、個別の暗号化コンテキストを使用してチャネル化されます。ESA は Protected Entity(PE)の概念に基づいた PK(公開鍵)技術を使用します。IP Security Protocol(IPSec) DES の 56 ビット暗号、および 3(Triple)DES の 168 ビット暗号が採用されているため、ネット ワーク上の似たような装備を持つホスト間で、データおよび情報を安全に転送できます。 Catalyst 4000 Access Gateway Module インストレーション コンフィギュレーション ノート OL-3008-01-J 7-1 第7章 暗号化サービスの設定 ESA の設定 ESA の設定 ESA を設定するには、次の手順を実行します。 • T1 チャネル グループの設定(p.7-2) • IKE セキュリティ プロトコルの設定(p.7-3) • IPSec ネットワーク セキュリティの設定(p.7-3) • T1 チャネル グループ シリアル インターフェイスの暗号化の設定(p.7-6) T1 チャネル グループの設定 ESA を設定する最初の手順は、T1 接続を確立することです。このためには、コンフィギュレーショ ン グループの特性(速度やスロット番号など)を定義する必要があります。 T1 チャネル グループを設定する手順は、次のとおりです。 コマンド 目的 ステップ 1 gateway(config)# controller {t1|e1}slot|port コントローラを指定し、コントローラ コンフィギュレー ション モードを開始します。 ステップ 2 gateway(config-controller)# clock source {line|internal|loop-timed} リンクのクロック ソースを指定します。 line は、リンクがリンクから復元されたクロックを使 用するように指定します。これがデフォルト設定で す。一般的に、この設定が最も信頼性が高くなります。 internal は、DS1 リンクが内部クロックを使用するよ うに指定します。 loop-timed は、T1 または E1 インターフェイスが Rx (ライン)からクロックを取得し、そのクロックを Tx に使用するように指定します。この設定の場合、コ ントローラ クロックは、network-clock-select コマン ドで設定されたシステム全体のクロックからデカッ プリングされます。 ステップ 3 gateway(config-controller)# framing {sf|esf} T1 または E1 データ回線のフレーミング タイプを指定し ます。 sf は、T1 フレーム タイプとしてスーパ フレームを 指定します。 esf は、T1 フレーム タイプとして Extended Super Frame (ESF; 拡張スーパ フレーム)を指定します。 ステップ 4 gateway(config-controller)# linecode {ami|b8zs|hdb3} 回線符号方式を指定します。 amiは、回線符号タイプとして Alternate Mark Inversion (AMI)を指定します。T1 または E1 の場合に有効で す。T1 回線のデフォルト設定です。 b8zs は、回線符号タイプとして B8ZS を指定します。 T1 コントローラの場合のみ有効です。 hdb3 は、回線符号タイプとして High-Density Bipolar 3(hdb3)を指定します。E1 コントローラの場合の み有効です。E1 回線のデフォルト設定です。 ステップ 5 gateway(config-controller)# channel-group channel_number timeslots range チャネル グループおよび対応付けるタイムスロットを指 定します。 ステップ 6 gateway(config-controller)# exit グローバル コンフィギュレーション モードに戻ります。 Catalyst 4000 Access Gateway Module インストレーション コンフィギュレーション ノート 7-2 OL-3008-01-J 第7章 暗号化サービスの設定 ESA の設定 IKE セキュリティ プロトコルの設定 次に行う手順は、暗号化に使用する Internet Key Exchange(IKE)セキュリティ プロトコルを確立 することです。 IKE プロトコルは、IPSec 規格と組み合わせて使用される鍵管理プロトコル規格です。IPSec は、IP パケットに堅牢な認証および暗号化を提供する Internet Protocol(IP)セキュリティ機能です。IPSec は IKE を使用しなくても設定できますが、IKE を使用すると IPSec プロトコルが拡張され、機能や フレキシビリティが追加されるとともに、IPSec 規格の設定が簡易化されます(詳細については、 「IPSec ネットワーク セキュリティの設定」[p.7-3] を参照)。 IKE セキュリティ プロトコルを設定する手順は、次のとおりです。 コマンド ステップ 1 目的 gateway(config)# crypto isakmp policy 一意のプライオリティ値を持つ IKE ポリシー1 を作成 priority し、Internet Security Association and Key Management Protocol(ISAKMP2)ポリシー コンフィギュレーショ ン モードを開始します。 (注) ステップ 2 gateway(config-isakmp)# 各ピアに複数のポリシーを設定できます3。た だし、最低 1 つのポリシーに、リモート ピア のポリシーとまったく同一の暗号化、認証、 およびその他のパラメータ値が設定されてい る必要があります。 IKE ポリシーで使用される認証方式を指定します。 authentication {rsa-sig|rsa-encr|pre-share} ステップ 3 gateway(config-isakmp)# exit グローバル コンフィギュレーション モードに戻ります。 ステップ 4 gateway(config)# crypto isakmp key 鍵を共有する各ピアの認証鍵を設定します。 keystring address peer_address|peer_hostname 1. IKE ポリシーは、各ピアで作成する必要があります。IKE ポリシーは、IKE ネゴシエーション中に使用するセキュリティ パラ メータの組み合わせを定義します。IKE ネゴシエーションは保護されなければなりません。したがって、各 IKE ネゴシエー ションを開始するには、共通の(共用の)IKE ポリシーに関して各ピアが合意する必要があります。このポリシーは、以降の IKE ネゴシエーションを保護するために使用されるセキュリティ パラメータを指定します。2 つのピアがポリシーに関して合 意すると、ピアごとに確立されたセキュリティ アソシエーションによって、ポリシーのセキュリティ パラメータが識別され ます。これらのセキュリティ アソシエーションは、ネゴシエーション中に、以降のすべての IKE トラフィックに適用されます。 2. ペイロード フォーマット、鍵交換プロトコルの実装メカニズム、およびセキュリティ アソシエーションのネゴシエーション を定義するプロトコル フレームワーク。 3. このマニュアル内のピアという用語は、IPSec および IKE に参加する Catalyst 4224、またはその他のデバイスを表します。 秘密鍵または公開鍵の作成方法、および証明書のダウンロード方法については、次の Web サイト を参照してください。 http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121cgcr/secur_c/scprt4/scdipsec.htm IPSec ネットワーク セキュリティの設定 3 番目の手順は、T1 データの処理方法を定義することです。このためには、IPSec セキュリティを 使用する必要があります。 IPSec は、加入ピア間にデータ保護、データ統合、およびデータ認証を提供するオープン仕様のフ レームワークです。IPSec は、これらのセキュリティ サービスを IP レイヤで実施します。IPSec は IKE を使用することにより、ローカル ポリシーに基づいてプロトコルおよびアルゴリズムのネゴシ Catalyst 4000 Access Gateway Module インストレーション コンフィギュレーション ノート OL-3008-01-J 7-3 第7章 暗号化サービスの設定 ESA の設定 エーションを処理したり、IPSec が使用する暗号および認証鍵を生成します。IPSec により、ホスト ペア間、セキュリティ ゲートウェイ ペア間、またはセキュリティ ゲートウェイとホスト間の 1 つ または複数のデータ フローを保護することができます。 IPSec ネットワーク セキュリティを設定する手順は、次のとおりです。 ステップ 1 コマンド 目的 gateway(config)# crypto ipsec security-association lifetime seconds seconds kilobytes kilobytes セキュリティ アソシエーション1 の寿命を指定します。 一般に、(ある地点までの)寿命が短いほど、IKE ネ ゴシエーションは安全です。ただし、寿命が長いほ ど、あとで IPSec セキュリティ アソシエーションを セットアップするときに、より迅速に実行できます。 デフォルトの寿命は 3600 秒(1 時間)、および 4608000 キロバイト(1 時間につき 10 メガバイト / 秒)です。 ステップ 2 gateway(config)# crypto ipsec transform-set transform_set_name transform1 [transform2 [transform3]] トランスフォーム セット2 を指定し、transform-set コ ンフィギュレーション モードを開始します。 トランスフォーム セットを定義するには、 「transform1」∼「transform3」を指定します。各 transform は、使用する IPSec セキュリティ プロトコル(ESP ま たは AH)およびアルゴリズムを表します。IPSec セ キュリティ アソシエーションのネゴシエーション中 に特定のトランスフォーム セットを使用する場合は、 そのトランスフォーム セット全体(プロトコル、ア ルゴリズム、およびその他の設定の組み合わせ)がリ モート ピアのトランスフォーム セットと一致してい る必要があります。 ステップ 3 gateway(cfg-crypto-trans)# exit グローバル コンフィギュレーション モードに戻ります。 ステップ 4 gateway(config)# crypto map map_name 3 seq_num ipsec-isakmp [dynamic dynamic_map_name] [discover] map-name という名前のクリプトマップを作成しま す。dynamic キーワードを使用している場合を除き、 クリプトマップ設定モードを開始します。 seq-num は、クリプトマップ エントリに割り当てられ た数字です。 ipsec-isakmp は、IKE を使用して IPSec セキュリティ アソシエーションを確立することにより、クリプト マップ エントリで指定されたトラフィックを保護す るように指示します。 dynamic は、このクリプトマップ エントリが既存のダ イナミック クリプトマップを表していることを示す オプションの引数です。ダイナミック クリプトマッ プは、ピア IPSec デバイスからのネゴシエーション要 求を処理するときに使用されるポリシー テンプレー トです。このキーワードを使用した場合、クリプト マップ コンフィギュレーション コマンドはすべて使 用できなくなります。 dynamic-map-name は、ポリシー テンプレートとして 使用する必要があるダイナミック クリプトマップ セットの名前を指定します。 Catalyst 4000 Access Gateway Module インストレーション コンフィギュレーション ノート 7-4 OL-3008-01-J 第7章 暗号化サービスの設定 ESA の設定 コマンド 目的 ステップ 5 gateway(config-crypto map)# set peer 前 記 手 順(IKE セ キ ュ リ テ ィ プ ロ ト コ ル の 設 定 hostname|ip_address (p.7-3))のステップ 4 で指定したのと同じリモート ステップ 6 gateway(config-crypto map)# set IPSec ピアを指定します。 transform-set transform_set_name ステップ 7 gateway(config-crypto map)# match address [access_list_id | name] このクリプトマップ エントリに、この手順のステッ プ 2 で指定したのと同じトランスフォーム セットを 指定します。 クリプトマップ エントリ用の拡張アクセス リストを 指 定 し ま す。こ の 値 は、拡 張 ア ク セ ス リ ス ト の access-list-number または名前引数と一致している必要 があります。 ステップ 8 gateway(cfg-crypto-trans)# exit グローバル コンフィギュレーション モードに戻りま す。 ステップ 9 gateway(config)# access-list access_list_number {permit | deny} {type_code wild_mask | address mask} アクセス リスト4 を作成します。 access_list_number は、1 ∼ 99 の IP リスト番号を示し ます。 permit または deny は、このリストの許可または拒否 条件を指定します。 IP アドレスは、テスト中のアドレスと比較される IP アドレスです。 wild-mask はアドレスのワイルドカード マスク ビット (32 ビットのドット付き 10 進表記)です。 1. SA(セキュリティ アソシエーショ)は、複数のエントリがセキュリティ サービスを利用して安全に通信する方法を示します。 たとえば、IPSec SA は、IPSec 接続中に使用される暗号化アルゴリズム(使用される場合)、認証アルゴリズム、および共有 セッション鍵を定義します。IPSec と IKE の両方に SA が必要です。これらはともに、SA を使用して接続パラメータを識別し ます。IKE は独自に SA をネゴシエーションし、確立します。IPSec SA を確立するには、IKE を使用するか、手動でユーザ設 定を行います。 2. トランスフォーム セットは、セキュリティ プロトコルおよびアルゴリズムの特定の組み合わせを表します。IPSec セキュリ ティ アソシエーションのネゴシエーション中に、ピアは両方のピア上で同一のトランスフォーム セットを検索します。この ようなトランスフォーム セットが検出された場合は、検出されたトランスフォーム セットが選択されて、両方のピアの IPSec セキュリティ アソシエーションの一部として、保護対象トラフィックに適用されます。 3. IPSec を使用している場合は、2 つの IPSec ピア間で保護するトラフィックを定義します。そのためには、アクセス リストを 設定し、設定されたアクセス リストをクリプトマップ セットを介してインターフェイスに適用します。クリプトマップ セッ トには、それぞれ異なるアクセス リストを持つ複数のエントリが格納されます。Catalyst 4224 はクリプトマップ エントリを順 に検索し、検索されたパケットとこのエントリ内で指定されたアクセス リストとの比較を試みます。 4. ネットワーク上を流れるパケットを制御する場合は、パケット フィルタリングが有効です。このような制御によってネット ワーク トラフィックを制限し、特定のユーザまたはデバイスによるネットワークの使用を制限することができます。指定され たインターフェイスを通過するパケットを許可または拒否できるように、シスコシステムズはアクセス リスト機能を提供して います。アクセス リストは、IP アドレスに適用する許可および拒否条件を集めて順番に並べたものです。 Catalyst 4000 Access Gateway Module インストレーション コンフィギュレーション ノート OL-3008-01-J 7-5 第7章 暗号化サービスの設定 ESA の設定 T1 チャネル グループ シリアル インターフェイスの暗号化の設定 4 番目の手順は、T1 シリアル インターフェイスに IP アドレスおよびクリプトマップを設定するこ とです。 T1 チャネル グループに暗号化を設定する手順は、次のとおりです。 コマンド 目的 ステップ 1 gateway (config)# interface serial slot|port:timeslot シリアル インターフェイスを選択し、インターフェ イス コンフィギュレーション モードを開始します。 ステップ 2 gateway (config-if)# ip address address mask IP アドレスを指定し、その後にこのインターフェイス のサブネット マスクを指定します。 ステップ 3 gateway (config-if)# crypto map map_name このインターフェイスにクリプトマップを割り当て ます。 ステップ 4 gateway(config-if)# exit グローバル コンフィギュレーション モードに戻りま す。 ステップ 5 gateway(config)# exit イネーブル モードに戻ります。 ステップ 6 gateway# show running-config すべての変更内容を含めて、現在稼働中の設定を表示 します。 ステップ 7 gateway# show startup-config NVRAM(不揮発性 RAM)に現在保存されているコ ンフィギュレーションを表示します。 ステップ 8 gateway# copy running-config startup-config イネーブル プロンプトに変更内容を入力して、 NVRAM に保存します。 (注) コンフィギュレーションに変更を加えた後、 それを NVRAM に保存していない場合は、 show running-config コマンドと show startup-config コマンドの結果が異なり ます。 コンフィギュレーション コマンド、およびスイッチ上の LAN や WAN インターフェイスの設定に 関する詳細については、Cisco IOS コンフィギュレーション ガイドおよびコマンド リファレンスを 参照してください。 Catalyst 4000 Access Gateway Module インストレーション コンフィギュレーション ノート 7-6 OL-3008-01-J 第7章 暗号化サービスの設定 設定の確認 設定の確認 インターフェイスを新規に設定した後で次のコマンドを使用し、正しく動作しているかどうかを確 認します。 (注) • show version ― ルータ ハードウェア コンフィギュレーションを表示します。リストに新しい インターフェイスが含まれているかどうかを確認します。 • show controllers ― すべてのネットワーク モジュールおよびインターフェイスを表示します。 • show interfaces type slot/port ― 指定されたインターフェイスの詳細を表示します。表示画面の 先頭行に正しいスロット番号およびポート番号が表示され、インターフェイスおよびライン プ ロトコルが正常な状態(アップまたはダウン)であることを確認します。 • show protocols ― ルータ全体およびインターフェイスごとに設定されたプロトコルを表示しま す。必用に応じて、ルータまたはインターフェイス上でルーティングを行うプロトコルを追加 または削除します。 • show running-config ― 実行コンフィギュレーションを表示します。 • show startup-config ― NVRAM に保存されたコンフィギュレーションを表示します。 • ping ― 指定された IP アドレスにエコー要求を送信します。 ESA ハードウェアが搭載されていれば、デフォルトで暗号化はイネーブルです。暗号化をイネーブ ルにする必要がある場合は、no crypto engine accel コマンドを使用します。このコマンドは、ESA に関する問題をデバッグする場合や、ソフトウェア暗号化のときにのみ使用可能な機能をテストす る場合に便利です。 コンフィギュレーション例 具体的な内容は、次のとおりです。 • 2 つのネットワーク間のトラフィックの暗号化(p.7-7) • IPSec トンネルを介した暗号化データの交換(p.7-10) 2 つのネットワーク間のトラフィックの暗号化 ここに記載されたコンフィギュレーション例は、IPSec を使用して私設網(10.103.1.x)および公衆 網(98.98.98.x)の間のトラフィックを暗号化する方法を示します。98.98.98.x ネットワークは、プ ライベート アドレスを使用して、10.103.1.x ネットワークの情報を取得します。10.103.1.x ネット ワークは、パブリック アドレスを使用して、98.98.98.x ネットワークの情報を取得します。 Catalyst 4000 Access Gateway Module インストレーション コンフィギュレーション ノート OL-3008-01-J 7-7 第7章 暗号化サービスの設定 コンフィギュレーション例 パブリック ゲートウェイのコンフィギュレーション ファイル gateway-2b# show running config Building configuration... Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname gateway-2b ! ip subnet-zero ! ip audit notify log ip audit po max-events 100 ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 95.95.95.2 ! crypto ipsec transform-set rtpset esp-des esp-md5-hmac ! crypto map rtp 1 ipsec-isakmp set peer 95.95.95.2 set transform-set rtpset match address 115 ! interface Ethernet0/0 ip address 98.98.98.1 255.255.255.0 no ip directed-broadcast ! interface Ethernet0/1 ip address 99.99.99.2 255.255.255.0 no ip directed-broadcast no ip route-cache no ip mroute-cache crypto map rtp ! interface Ethernet0/2 no ip address no ip directed-broadcast shutdown ! interface Ethernet0/3 no ip address no ip directed-broadcast shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 99.99.99.1 no ip http server ! access-list 115 permit ip 98.98.98.0 0.0.0.255 10.103.1.0 0.0.0.255 access-list 115 deny ip 98.98.98.0 0.0.0.255 any ! line con 0 transport input none line aux 0 line vty 0 4 login ! end Catalyst 4000 Access Gateway Module インストレーション コンフィギュレーション ノート 7-8 OL-3008-01-J 第7章 暗号化サービスの設定 コンフィギュレーション例 プライベート ゲートウェイのコンフィギュレーション ファイル gateway-6a# show running config Building configuration... Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname gateway-6a ! enable secret 5 $1$S/yK$RE603ZNv8N71GDYDbdMWd0 enable password ww ! ip subnet-zero ! ip audit notify log ip audit PO max-events 100 isdn switch-type basic-5ess isdn voice-call-failure 0 ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 99.99.99.2 ! crypto ipsec transform-set rtpset esp-des esp-md5-hmac crypto map rtp 1 ipsec-isakmp set peer 99.99.99.2 set transform-set rtpset match address 115 ! interface Ethernet0/0 no ip address no ip directed-broadcast ! interface Serial0/0 no ip address no ip directed-broadcast no ip mroute-cache shutdown ! interface Ethernet0/1 no ip address no ip directed-broadcast ! interface Serial0/1 no ip address no ip directed-broadcast shutdown ! interface BRI1/0 no ip address no ip directed-broadcast shutdown isdn switch-type basic-5ess ! interface Ethernet1/0 no ip address no ip directed-broadcast shutdown ! interface Serial1/0 no ip address no ip directed-broadcast Catalyst 4000 Access Gateway Module インストレーション コンフィギュレーション ノート OL-3008-01-J 7-9 第7章 暗号化サービスの設定 コンフィギュレーション例 shutdown ! interface TokenRing1/0 no ip address no ip directed-broadcast shutdown ring-speed 16 ! interface Ethernet3/0 ip address 95.95.95.2 255.255.255.0 no ip directed-broadcast ip nat outside no ip route-cache no ip mroute-cache crypto map rtp ! interface Ethernet3/1 no ip address no ip directed-broadcast shutdown ! interface Ethernet3/2 ip address 10.103.1.75 255.255.255.0 no ip directed-broadcast ip nat inside ! interface Ethernet3/3 no ip address no ip directed-broadcast shutdown ! ip nat pool FE30 95.95.95.10 95.95.95.10 netmask 255.255.255.0 ip nat inside source route-map nonat pool FE30 overload ip classless ip route 0.0.0.0 0.0.0.0 95.95.95.1 ip route 171.68.120.0 255.255.255.0 10.103.1.1 no ip http server ! access-list 110 deny ip 10.103.1.0 0.0.0.255 98.98.98.0 0.0.0.255 access-list 110 permit ip 10.103.1.0 0.0.0.255 any access-list 115 permit ip 10.103.1.0 0.0.0.255 98.98.98.0 0.0.0.255 access-list 115 deny ip 10.103.1.0 0.0.0.255 any dialer-list 1 protocol ip permit dialer-list 1 protocol ipx permit route-map nonat permit 10 match ip address 110 ! tftp-server flash:cgateway-io3s56i-mz.120-7.T ! line con 0 transport input none line 65 72 line aux 0 line vty 0 4 password WW login ! end IPSec トンネルを介した暗号化データの交換 ここでは、チャネライズド T1 インターフェイス チャネル グループ serial 1/0:0 上のセキュア IPSec トンネルを介して、暗号化データを交換するようにセットアップされた 2 つのピア AGM のコンフィ ギュレーション ファイルの例を示します。 Catalyst 4000 Access Gateway Module インストレーション コンフィギュレーション ノート 7-10 OL-3008-01-J 第7章 暗号化サービスの設定 コンフィギュレーション例 ピア 1 のコンフィギュレーション ファイル version 12.1 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Rose ! logging buffered 100000 debugging enable password lab ! ip subnet-zero no ip domain-lookup ! crypto isakmp policy 10 authentication pre-share crypto isakmp key pre-shared address 6.6.6.2 ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set transform-1 esp-des ! crypto map cmap 1 ipsec-isakmp set peer 6.6.6.2 set transform-set transform-1 match address 101 ! controller T1 1/0 framing esf linecode b8zs channel-group 0 timeslots 1-23 speed 64 channel-group 1 timeslots 24 speed 64 ! controller T1 1/1 channel-group 0 timeslots 1-23 speed 64 channel-group 1 timeslots 24 speed 64 ! process-max-time 200 ! interface FastEthernet0/0 ip address 111.0.0.2 255.0.0.0 no ip directed-broadcast no ip route-cache no ip mroute-cache speed 10 ! interface Serial0/0 no ip address no ip directed-broadcast shutdown ! interface FastEthernet0/1 ip address 4.4.4.1 255.0.0.0 no ip directed-broadcast no ip route-cache no ip mroute-cache load-interval 30 speed 10 ! interface Serial1/0:0 bandwidth 1472 ip address 6.6.6.1 255.0.0.0 no ip directed-broadcast encapsulation ppp no ip route-cache load-interval 30 no fair-queue Catalyst 4000 Access Gateway Module インストレーション コンフィギュレーション ノート OL-3008-01-J 7-11 第7章 暗号化サービスの設定 コンフィギュレーション例 crypto map cmap ! interface Serial1/0:1 no ip address no ip directed-broadcast fair-queue 64 256 0 ! interface Serial1/1:0 no ip address no ip directed-broadcast ! interface Serial1/1:1 no ip address no ip directed-broadcast fair-queue 64 256 0 ! router rip network 4.0.0.0 network 6.0.0.0 ! ip classless ip route 0.0.0.0 0.0.0.0 111.0.0.1 no ip http server ! access-list 101 deny udp any eq rip any access-list 101 deny udp any any eq rip access-list 101 permit ip 6.6.6.0 0.0.0.255 6.6.6.0 0.0.0.255 ! line con 0 exec-timeout 0 0 transport input none line aux 0 line vty 0 4 password lab login ! end Catalyst 4000 Access Gateway Module インストレーション コンフィギュレーション ノート 7-12 OL-3008-01-J 第7章 暗号化サービスの設定 コンフィギュレーション例 ピア 2 のコンフィギュレーション ファイル version 12.1 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Peony ! logging buffered 100000 debugging enable password lab ! ip subnet-zero no ip domain-lookup ! crypto isakmp policy 10 authentication pre-share crypto isakmp key pre-shared address 6.6.6.1 ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set transform-1 esp-des ! crypto map cmap 1 ipsec-isakmp set peer 6.6.6.1 set transform-set transform-1 match address 101 ! controller T1 1/0 framing esf linecode b8zs channel-group 0 timeslots 1-23 speed 64 channel-group 1 timeslots 24 speed 64 ! controller T1 1/1 channel-group 0 timeslots 1-23 speed 64 channel-group 1 timeslots 24 speed 64 ! process-max-time 200 ! interface FastEthernet0/0 ip address 172.0.0.13 255.0.0.0 no ip directed-broadcast no ip mroute-cache load-interval 30 no keepalive speed 10 ! interface FastEthernet0/1 ip address 3.3.3.2 255.0.0.0 no ip directed-broadcast no ip route-cache no ip mroute-cache load-interval 30 speed 10 ! interface Serial1/0:0 bandwidth 1472 ip address 6.6.6.2 255.0.0.0 no ip directed-broadcast encapsulation ppp no ip route-cache load-interval 30 no fair-queue crypto map cmap ! interface Serial1/0:1 no ip address Catalyst 4000 Access Gateway Module インストレーション コンフィギュレーション ノート OL-3008-01-J 7-13 第7章 暗号化サービスの設定 コンフィギュレーション例 no ip directed-broadcast fair-queue 64 256 0 ! interface Serial1/1:0 no ip address no ip directed-broadcast ! interface Serial1/1:1 no ip address no ip directed-broadcast fair-queue 64 256 0 ! router rip network 3.0.0.0 network 6.0.0.0 ! ip classless ip route 0.0.0.0 0.0.0.0 111.0.0.1 no ip http server ! access-list 101 deny udp any eq rip any access-list 101 deny udp any any eq rip access-list 101 permit ip 6.6.6.0 0.0.0.255 6.6.6.0 0.0.0.255 ! line con 0 exec-timeout 0 0 transport input none line aux 0 line vty 0 4 login !! end Catalyst 4000 Access Gateway Module インストレーション コンフィギュレーション ノート 7-14 OL-3008-01-J
© Copyright 2024 ExpyDoc