暗号化サービスの設定 - Cisco

C H A P T E R
7
暗号化サービスの設定
この章では、Catalyst 4000 Access Gateway Module（AGM）の Encryption Service Adapter（ESA）モ
ジュールを設定する方法について説明します。
この章で説明する内容は、次のとおりです。
•
ESA の概要（p.7-1）
•
ESA の設定（p.7-2）
•
設定の確認（p.7-7）
•
コンフィギュレーション例（p.7-7）
ESA の概要
ESA は、AGM のメインプロセッサから暗号処理の一部を解放してパフォーマンスを向上させる、
高性能データ暗号化モジュールです。ESA はクリプトエンジンと呼ばれるソフトウェアサービス
を介して、AGM にデータ暗号化および認証アルゴリズムを実装します。
ESA には、公開鍵比較プロセッサおよびハードウェア乱数ジェネレータが組み込まれています。こ
れらの機能は、キーの生成、交換、および認証のための公開鍵暗号化に対応しています。ESA は、
2 つの全二重 T1 通信リンクまたは 2 つの全二重 E1 通信リンクを暗号化したり、認証することがで
きます。各データリンクは、個別の暗号化コンテキストを使用してチャネル化されます。ESA は
Protected Entity（PE）の概念に基づいた PK（公開鍵）技術を使用します。IP Security Protocol（IPSec）
DES の 56 ビット暗号、および 3（Triple）DES の 168 ビット暗号が採用されているため、ネット
ワーク上の似たような装備を持つホスト間で、データおよび情報を安全に転送できます。
Catalyst 4000 Access Gateway Module インストレーションコンフィギュレーションノート
OL-3008-01-J
7-1
第7章
暗号化サービスの設定
ESA の設定
ESA の設定
ESA を設定するには、次の手順を実行します。
•
T1 チャネルグループの設定（p.7-2）
•
IKE セキュリティプロトコルの設定（p.7-3）
•
IPSec ネットワークセキュリティの設定（p.7-3）
•
T1 チャネルグループシリアルインターフェイスの暗号化の設定（p.7-6）
T1 チャネルグループの設定
ESA を設定する最初の手順は、T1 接続を確立することです。このためには、コンフィギュレーショ
ングループの特性（速度やスロット番号など）を定義する必要があります。
T1 チャネルグループを設定する手順は、次のとおりです。
コマンド
目的
ステップ 1
gateway(config)# controller
{t1|e1}slot|port
コントローラを指定し、コントローラコンフィギュレー
ションモードを開始します。
ステップ 2
gateway(config-controller)# clock
source {line|internal|loop-timed}
リンクのクロックソースを指定します。
line は、リンクがリンクから復元されたクロックを使
用するように指定します。これがデフォルト設定で
す。一般的に、この設定が最も信頼性が高くなります。
internal は、DS1 リンクが内部クロックを使用するよ
うに指定します。
loop-timed は、T1 または E1 インターフェイスが Rx
（ライン）からクロックを取得し、そのクロックを Tx
に使用するように指定します。この設定の場合、コ
ントローラクロックは、network-clock-select コマン
ドで設定されたシステム全体のクロックからデカッ
プリングされます。
ステップ 3
gateway(config-controller)#
framing {sf|esf}
T1 または E1 データ回線のフレーミングタイプを指定し
ます。
sf は、T1 フレームタイプとしてスーパフレームを
指定します。
esf は、T1 フレームタイプとして Extended Super Frame
（ESF; 拡張スーパフレーム）を指定します。
ステップ 4
gateway(config-controller)#
linecode {ami|b8zs|hdb3}
回線符号方式を指定します。
amiは、回線符号タイプとして Alternate Mark Inversion
（AMI）を指定します。T1 または E1 の場合に有効で
す。T1 回線のデフォルト設定です。
b8zs は、回線符号タイプとして B8ZS を指定します。
T1 コントローラの場合のみ有効です。
hdb3 は、回線符号タイプとして High-Density Bipolar
3（hdb3）を指定します。E1 コントローラの場合の
み有効です。E1 回線のデフォルト設定です。
ステップ 5
gateway(config-controller)#
channel-group channel_number
timeslots range
チャネルグループおよび対応付けるタイムスロットを指
定します。
ステップ 6
gateway(config-controller)# exit
グローバルコンフィギュレーションモードに戻ります。
Catalyst 4000 Access Gateway Module インストレーションコンフィギュレーションノート
7-2
OL-3008-01-J
第7章
暗号化サービスの設定
ESA の設定
IKE セキュリティプロトコルの設定
次に行う手順は、暗号化に使用する Internet Key Exchange（IKE）セキュリティプロトコルを確立
することです。
IKE プロトコルは、IPSec 規格と組み合わせて使用される鍵管理プロトコル規格です。IPSec は、IP
パケットに堅牢な認証および暗号化を提供する Internet Protocol（IP）セキュリティ機能です。IPSec
は IKE を使用しなくても設定できますが、IKE を使用すると IPSec プロトコルが拡張され、機能や
フレキシビリティが追加されるとともに、IPSec 規格の設定が簡易化されます（詳細については、
「IPSec ネットワークセキュリティの設定」[p.7-3] を参照）。
IKE セキュリティプロトコルを設定する手順は、次のとおりです。
コマンド
ステップ 1
目的
gateway(config)# crypto isakmp policy 一意のプライオリティ値を持つ IKE ポリシー1 を作成
priority
し、Internet Security Association and Key Management
Protocol（ISAKMP2）ポリシーコンフィギュレーショ
ンモードを開始します。
（注）
ステップ 2
gateway(config-isakmp)#
各ピアに複数のポリシーを設定できます3。た
だし、最低 1 つのポリシーに、リモートピア
のポリシーとまったく同一の暗号化、認証、
およびその他のパラメータ値が設定されてい
る必要があります。
IKE ポリシーで使用される認証方式を指定します。
authentication
{rsa-sig|rsa-encr|pre-share}
ステップ 3
gateway(config-isakmp)# exit
グローバルコンフィギュレーションモードに戻ります。
ステップ 4
gateway(config)# crypto isakmp key
鍵を共有する各ピアの認証鍵を設定します。
keystring address
peer_address|peer_hostname
1. IKE ポリシーは、各ピアで作成する必要があります。IKE ポリシーは、IKE ネゴシエーション中に使用するセキュリティパラ
メータの組み合わせを定義します。IKE ネゴシエーションは保護されなければなりません。したがって、各 IKE ネゴシエー
ションを開始するには、共通の（共用の）IKE ポリシーに関して各ピアが合意する必要があります。このポリシーは、以降の
IKE ネゴシエーションを保護するために使用されるセキュリティパラメータを指定します。2 つのピアがポリシーに関して合
意すると、ピアごとに確立されたセキュリティアソシエーションによって、ポリシーのセキュリティパラメータが識別され
ます。これらのセキュリティアソシエーションは、ネゴシエーション中に、以降のすべての IKE トラフィックに適用されます。
2. ペイロードフォーマット、鍵交換プロトコルの実装メカニズム、およびセキュリティアソシエーションのネゴシエーション
を定義するプロトコルフレームワーク。
3. このマニュアル内のピアという用語は、IPSec および IKE に参加する Catalyst 4224、またはその他のデバイスを表します。
秘密鍵または公開鍵の作成方法、および証明書のダウンロード方法については、次の Web サイト
を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121cgcr/secur_c/scprt4/scdipsec.htm
IPSec ネットワークセキュリティの設定
3 番目の手順は、T1 データの処理方法を定義することです。このためには、IPSec セキュリティを
使用する必要があります。
IPSec は、加入ピア間にデータ保護、データ統合、およびデータ認証を提供するオープン仕様のフ
レームワークです。IPSec は、これらのセキュリティサービスを IP レイヤで実施します。IPSec は
IKE を使用することにより、ローカルポリシーに基づいてプロトコルおよびアルゴリズムのネゴシ
Catalyst 4000 Access Gateway Module インストレーションコンフィギュレーションノート
OL-3008-01-J
7-3
第7章
暗号化サービスの設定
ESA の設定
エーションを処理したり、IPSec が使用する暗号および認証鍵を生成します。IPSec により、ホスト
ペア間、セキュリティゲートウェイペア間、またはセキュリティゲートウェイとホスト間の 1 つ
または複数のデータフローを保護することができます。
IPSec ネットワークセキュリティを設定する手順は、次のとおりです。
ステップ 1
コマンド
目的
gateway(config)# crypto ipsec
security-association lifetime
seconds seconds kilobytes kilobytes
セキュリティアソシエーション1 の寿命を指定します。
一般に、（ある地点までの）寿命が短いほど、IKE ネ
ゴシエーションは安全です。ただし、寿命が長いほ
ど、あとで IPSec セキュリティアソシエーションを
セットアップするときに、より迅速に実行できます。
デフォルトの寿命は 3600 秒（1 時間）、および 4608000
キロバイト（1 時間につき 10 メガバイト / 秒）です。
ステップ 2
gateway(config)# crypto ipsec
transform-set transform_set_name
transform1 [transform2 [transform3]]
トランスフォームセット2 を指定し、transform-set コ
ンフィギュレーションモードを開始します。
トランスフォームセットを定義するには、
「transform1」∼「transform3」を指定します。各 transform
は、使用する IPSec セキュリティプロトコル（ESP ま
たは AH）およびアルゴリズムを表します。IPSec セ
キュリティアソシエーションのネゴシエーション中
に特定のトランスフォームセットを使用する場合は、
そのトランスフォームセット全体（プロトコル、ア
ルゴリズム、およびその他の設定の組み合わせ）がリ
モートピアのトランスフォームセットと一致してい
る必要があります。
ステップ 3
gateway(cfg-crypto-trans)# exit
グローバルコンフィギュレーションモードに戻ります。
ステップ 4
gateway(config)# crypto map map_name
3
seq_num ipsec-isakmp [dynamic
dynamic_map_name] [discover]
map-name という名前のクリプトマップを作成しま
す。dynamic キーワードを使用している場合を除き、
クリプトマップ設定モードを開始します。
seq-num は、クリプトマップエントリに割り当てられ
た数字です。
ipsec-isakmp は、IKE を使用して IPSec セキュリティ
アソシエーションを確立することにより、クリプト
マップエントリで指定されたトラフィックを保護す
るように指示します。
dynamic は、このクリプトマップエントリが既存のダ
イナミッククリプトマップを表していることを示す
オプションの引数です。ダイナミッククリプトマッ
プは、ピア IPSec デバイスからのネゴシエーション要
求を処理するときに使用されるポリシーテンプレー
トです。このキーワードを使用した場合、クリプト
マップコンフィギュレーションコマンドはすべて使
用できなくなります。
dynamic-map-name は、ポリシーテンプレートとして
使用する必要があるダイナミッククリプトマップ
セットの名前を指定します。
Catalyst 4000 Access Gateway Module インストレーションコンフィギュレーションノート
7-4
OL-3008-01-J
第7章
暗号化サービスの設定
ESA の設定
コマンド
目的
ステップ 5
gateway(config-crypto map)# set peer 前記手順（IKE セキュリティプロトコルの設定
hostname|ip_address
（p.7-3））のステップ 4 で指定したのと同じリモート
ステップ 6
gateway(config-crypto map)# set
IPSec ピアを指定します。
transform-set transform_set_name
ステップ 7
gateway(config-crypto map)# match
address [access_list_id | name]
このクリプトマップエントリに、この手順のステッ
プ 2 で指定したのと同じトランスフォームセットを
指定します。
クリプトマップエントリ用の拡張アクセスリストを
指定します。この値は、拡張アクセスリストの
access-list-number または名前引数と一致している必要
があります。
ステップ 8
gateway(cfg-crypto-trans)# exit
グローバルコンフィギュレーションモードに戻りま
す。
ステップ 9
gateway(config)# access-list
access_list_number {permit | deny}
{type_code wild_mask | address mask}
アクセスリスト4 を作成します。
access_list_number は、1 ∼ 99 の IP リスト番号を示し
ます。
permit または deny は、このリストの許可または拒否
条件を指定します。
IP アドレスは、テスト中のアドレスと比較される IP
アドレスです。
wild-mask はアドレスのワイルドカードマスクビット
（32 ビットのドット付き 10 進表記）です。
1. SA（セキュリティアソシエーショ）は、複数のエントリがセキュリティサービスを利用して安全に通信する方法を示します。
たとえば、IPSec SA は、IPSec 接続中に使用される暗号化アルゴリズム（使用される場合）、認証アルゴリズム、および共有
セッション鍵を定義します。IPSec と IKE の両方に SA が必要です。これらはともに、SA を使用して接続パラメータを識別し
ます。IKE は独自に SA をネゴシエーションし、確立します。IPSec SA を確立するには、IKE を使用するか、手動でユーザ設
定を行います。
2. トランスフォームセットは、セキュリティプロトコルおよびアルゴリズムの特定の組み合わせを表します。IPSec セキュリ
ティアソシエーションのネゴシエーション中に、ピアは両方のピア上で同一のトランスフォームセットを検索します。この
ようなトランスフォームセットが検出された場合は、検出されたトランスフォームセットが選択されて、両方のピアの IPSec
セキュリティアソシエーションの一部として、保護対象トラフィックに適用されます。
3. IPSec を使用している場合は、2 つの IPSec ピア間で保護するトラフィックを定義します。そのためには、アクセスリストを
設定し、設定されたアクセスリストをクリプトマップセットを介してインターフェイスに適用します。クリプトマップセッ
トには、それぞれ異なるアクセスリストを持つ複数のエントリが格納されます。Catalyst 4224 はクリプトマップエントリを順
に検索し、検索されたパケットとこのエントリ内で指定されたアクセスリストとの比較を試みます。
4. ネットワーク上を流れるパケットを制御する場合は、パケットフィルタリングが有効です。このような制御によってネット
ワークトラフィックを制限し、特定のユーザまたはデバイスによるネットワークの使用を制限することができます。指定され
たインターフェイスを通過するパケットを許可または拒否できるように、シスコシステムズはアクセスリスト機能を提供して
います。アクセスリストは、IP アドレスに適用する許可および拒否条件を集めて順番に並べたものです。
Catalyst 4000 Access Gateway Module インストレーションコンフィギュレーションノート
OL-3008-01-J
7-5
第7章
暗号化サービスの設定
ESA の設定
T1 チャネルグループシリアルインターフェイスの暗号化の設定
4 番目の手順は、T1 シリアルインターフェイスに IP アドレスおよびクリプトマップを設定するこ
とです。
T1 チャネルグループに暗号化を設定する手順は、次のとおりです。
コマンド
目的
ステップ 1
gateway (config)# interface serial
slot|port:timeslot
シリアルインターフェイスを選択し、インターフェ
イスコンフィギュレーションモードを開始します。
ステップ 2
gateway (config-if)# ip address
address mask
IP アドレスを指定し、その後にこのインターフェイス
のサブネットマスクを指定します。
ステップ 3
gateway (config-if)# crypto map
map_name
このインターフェイスにクリプトマップを割り当て
ます。
ステップ 4
gateway(config-if)# exit
グローバルコンフィギュレーションモードに戻りま
す。
ステップ 5
gateway(config)# exit
イネーブルモードに戻ります。
ステップ 6
gateway# show running-config
すべての変更内容を含めて、現在稼働中の設定を表示
します。
ステップ 7
gateway# show startup-config
NVRAM（不揮発性 RAM）に現在保存されているコ
ンフィギュレーションを表示します。
ステップ 8
gateway# copy running-config
startup-config
イネーブルプロンプトに変更内容を入力して、
NVRAM に保存します。
（注）
コンフィギュレーションに変更を加えた後、
それを NVRAM に保存していない場合は、
show running-config コマンドと
show startup-config コマンドの結果が異なり
ます。
コンフィギュレーションコマンド、およびスイッチ上の LAN や WAN インターフェイスの設定に
関する詳細については、Cisco IOS コンフィギュレーションガイドおよびコマンドリファレンスを
参照してください。
Catalyst 4000 Access Gateway Module インストレーションコンフィギュレーションノート
7-6
OL-3008-01-J
第7章
暗号化サービスの設定
設定の確認
設定の確認
インターフェイスを新規に設定した後で次のコマンドを使用し、正しく動作しているかどうかを確
認します。
（注）
•
show version ― ルータハードウェアコンフィギュレーションを表示します。リストに新しい
インターフェイスが含まれているかどうかを確認します。
•
show controllers ― すべてのネットワークモジュールおよびインターフェイスを表示します。
•
show interfaces type slot/port ― 指定されたインターフェイスの詳細を表示します。表示画面の
先頭行に正しいスロット番号およびポート番号が表示され、インターフェイスおよびラインプ
ロトコルが正常な状態（アップまたはダウン）であることを確認します。
•
show protocols ― ルータ全体およびインターフェイスごとに設定されたプロトコルを表示しま
す。必用に応じて、ルータまたはインターフェイス上でルーティングを行うプロトコルを追加
または削除します。
•
show running-config ― 実行コンフィギュレーションを表示します。
•
show startup-config ― NVRAM に保存されたコンフィギュレーションを表示します。
•
ping ― 指定された IP アドレスにエコー要求を送信します。
ESA ハードウェアが搭載されていれば、デフォルトで暗号化はイネーブルです。暗号化をイネーブ
ルにする必要がある場合は、no crypto engine accel コマンドを使用します。このコマンドは、ESA
に関する問題をデバッグする場合や、ソフトウェア暗号化のときにのみ使用可能な機能をテストす
る場合に便利です。
コンフィギュレーション例
具体的な内容は、次のとおりです。
•
2 つのネットワーク間のトラフィックの暗号化（p.7-7）
•
IPSec トンネルを介した暗号化データの交換（p.7-10）
2 つのネットワーク間のトラフィックの暗号化
ここに記載されたコンフィギュレーション例は、IPSec を使用して私設網（10.103.1.x）および公衆
網（98.98.98.x）の間のトラフィックを暗号化する方法を示します。98.98.98.x ネットワークは、プ
ライベートアドレスを使用して、10.103.1.x ネットワークの情報を取得します。10.103.1.x ネット
ワークは、パブリックアドレスを使用して、98.98.98.x ネットワークの情報を取得します。
Catalyst 4000 Access Gateway Module インストレーションコンフィギュレーションノート
OL-3008-01-J
7-7
第7章
暗号化サービスの設定
コンフィギュレーション例
パブリックゲートウェイのコンフィギュレーションファイル
gateway-2b# show running config
Building configuration...
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname gateway-2b
!
ip subnet-zero
!
ip audit notify log
ip audit po max-events 100
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 95.95.95.2
!
crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!
crypto map rtp 1 ipsec-isakmp
set peer 95.95.95.2
set transform-set rtpset
match address 115
!
interface Ethernet0/0
ip address 98.98.98.1 255.255.255.0
no ip directed-broadcast
!
interface Ethernet0/1
ip address 99.99.99.2 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
crypto map rtp
!
interface Ethernet0/2
no ip address
no ip directed-broadcast
shutdown
!
interface Ethernet0/3
no ip address
no ip directed-broadcast
shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 99.99.99.1
no ip http server
!
access-list 115 permit ip 98.98.98.0 0.0.0.255 10.103.1.0 0.0.0.255
access-list 115 deny ip 98.98.98.0 0.0.0.255 any
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end
Catalyst 4000 Access Gateway Module インストレーションコンフィギュレーションノート
7-8
OL-3008-01-J
第7章
暗号化サービスの設定
コンフィギュレーション例
プライベートゲートウェイのコンフィギュレーションファイル
gateway-6a# show running config
Building configuration...
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname gateway-6a
!
enable secret 5 $1$S/yK$RE603ZNv8N71GDYDbdMWd0
enable password ww
!
ip subnet-zero
!
ip audit notify log
ip audit PO max-events 100
isdn switch-type basic-5ess
isdn voice-call-failure 0
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 99.99.99.2
!
crypto ipsec transform-set rtpset esp-des esp-md5-hmac
crypto map rtp 1 ipsec-isakmp
set peer 99.99.99.2
set transform-set rtpset
match address 115
!
interface Ethernet0/0
no ip address
no ip directed-broadcast
!
interface Serial0/0
no ip address
no ip directed-broadcast
no ip mroute-cache
shutdown
!
interface Ethernet0/1
no ip address
no ip directed-broadcast
!
interface Serial0/1
no ip address
no ip directed-broadcast
shutdown
!
interface BRI1/0
no ip address
no ip directed-broadcast
shutdown
isdn switch-type basic-5ess
!
interface Ethernet1/0
no ip address
no ip directed-broadcast
shutdown
!
interface Serial1/0
no ip address
no ip directed-broadcast
Catalyst 4000 Access Gateway Module インストレーションコンフィギュレーションノート
OL-3008-01-J
7-9
第7章
暗号化サービスの設定
コンフィギュレーション例
shutdown
!
interface TokenRing1/0
no ip address
no ip directed-broadcast
shutdown
ring-speed 16
!
interface Ethernet3/0
ip address 95.95.95.2 255.255.255.0
no ip directed-broadcast
ip nat outside
no ip route-cache
no ip mroute-cache
crypto map rtp
!
interface Ethernet3/1
no ip address
no ip directed-broadcast
shutdown
!
interface Ethernet3/2
ip address 10.103.1.75 255.255.255.0
no ip directed-broadcast
ip nat inside
!
interface Ethernet3/3
no ip address
no ip directed-broadcast
shutdown
!
ip nat pool FE30 95.95.95.10 95.95.95.10 netmask 255.255.255.0
ip nat inside source route-map nonat pool FE30 overload
ip classless
ip route 0.0.0.0 0.0.0.0 95.95.95.1
ip route 171.68.120.0 255.255.255.0 10.103.1.1
no ip http server
!
access-list 110 deny ip 10.103.1.0 0.0.0.255 98.98.98.0 0.0.0.255
access-list 110 permit ip 10.103.1.0 0.0.0.255 any
access-list 115 permit ip 10.103.1.0 0.0.0.255 98.98.98.0 0.0.0.255
access-list 115 deny ip 10.103.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
route-map nonat permit 10
match ip address 110
!
tftp-server flash:cgateway-io3s56i-mz.120-7.T
!
line con 0
transport input none
line 65 72
line aux 0
line vty 0 4
password WW
login
!
end
IPSec トンネルを介した暗号化データの交換
ここでは、チャネライズド T1 インターフェイスチャネルグループ serial 1/0:0 上のセキュア IPSec
トンネルを介して、暗号化データを交換するようにセットアップされた 2 つのピア AGM のコンフィ
ギュレーションファイルの例を示します。
Catalyst 4000 Access Gateway Module インストレーションコンフィギュレーションノート
7-10
OL-3008-01-J
第7章
暗号化サービスの設定
コンフィギュレーション例
ピア 1 のコンフィギュレーションファイル
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Rose
!
logging buffered 100000 debugging
enable password lab
!
ip subnet-zero
no ip domain-lookup
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key pre-shared address 6.6.6.2
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set transform-1 esp-des
!
crypto map cmap 1 ipsec-isakmp
set peer 6.6.6.2
set transform-set transform-1
match address 101
!
controller T1 1/0
framing esf
linecode b8zs
channel-group 0 timeslots 1-23 speed 64
channel-group 1 timeslots 24 speed 64
!
controller T1 1/1
channel-group 0 timeslots 1-23 speed 64
channel-group 1 timeslots 24 speed 64
!
process-max-time 200
!
interface FastEthernet0/0
ip address 111.0.0.2 255.0.0.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
speed 10
!
interface Serial0/0
no ip address
no ip directed-broadcast
shutdown
!
interface FastEthernet0/1
ip address 4.4.4.1 255.0.0.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
load-interval 30
speed 10
!
interface Serial1/0:0
bandwidth 1472
ip address 6.6.6.1 255.0.0.0
no ip directed-broadcast
encapsulation ppp
no ip route-cache
load-interval 30
no fair-queue
Catalyst 4000 Access Gateway Module インストレーションコンフィギュレーションノート
OL-3008-01-J
7-11
第7章
暗号化サービスの設定
コンフィギュレーション例
crypto map cmap
!
interface Serial1/0:1
no ip address
no ip directed-broadcast
fair-queue 64 256 0
!
interface Serial1/1:0
no ip address
no ip directed-broadcast
!
interface Serial1/1:1
no ip address
no ip directed-broadcast
fair-queue 64 256 0
!
router rip
network 4.0.0.0
network 6.0.0.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 111.0.0.1
no ip http server
!
access-list 101 deny
udp any eq rip any
access-list 101 deny
udp any any eq rip
access-list 101 permit ip 6.6.6.0 0.0.0.255 6.6.6.0 0.0.0.255
!
line con 0
exec-timeout 0 0
transport input none
line aux 0
line vty 0 4
password lab
login
!
end
Catalyst 4000 Access Gateway Module インストレーションコンフィギュレーションノート
7-12
OL-3008-01-J
第7章
暗号化サービスの設定
コンフィギュレーション例
ピア 2 のコンフィギュレーションファイル
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Peony
!
logging buffered 100000 debugging
enable password lab
!
ip subnet-zero
no ip domain-lookup
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key pre-shared address 6.6.6.1
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set transform-1 esp-des
!
crypto map cmap 1 ipsec-isakmp
set peer 6.6.6.1
set transform-set transform-1
match address 101
!
controller T1 1/0
framing esf
linecode b8zs
channel-group 0 timeslots 1-23 speed 64
channel-group 1 timeslots 24 speed 64
!
controller T1 1/1
channel-group 0 timeslots 1-23 speed 64
channel-group 1 timeslots 24 speed 64
!
process-max-time 200
!
interface FastEthernet0/0
ip address 172.0.0.13 255.0.0.0
no ip directed-broadcast
no ip mroute-cache
load-interval 30
no keepalive
speed 10
!
interface FastEthernet0/1
ip address 3.3.3.2 255.0.0.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
load-interval 30
speed 10
!
interface Serial1/0:0
bandwidth 1472
ip address 6.6.6.2 255.0.0.0
no ip directed-broadcast
encapsulation ppp
no ip route-cache
load-interval 30
no fair-queue
crypto map cmap
!
interface Serial1/0:1
no ip address
Catalyst 4000 Access Gateway Module インストレーションコンフィギュレーションノート
OL-3008-01-J
7-13
第7章
暗号化サービスの設定
コンフィギュレーション例
no ip directed-broadcast
fair-queue 64 256 0
!
interface Serial1/1:0
no ip address
no ip directed-broadcast
!
interface Serial1/1:1
no ip address
no ip directed-broadcast
fair-queue 64 256 0
!
router rip
network 3.0.0.0
network 6.0.0.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 111.0.0.1
no ip http server
!
access-list 101 deny
udp any eq rip any
access-list 101 deny
udp any any eq rip
access-list 101 permit ip 6.6.6.0 0.0.0.255 6.6.6.0 0.0.0.255
!
line con 0
exec-timeout 0 0
transport input none
line aux 0
line vty 0 4
login
!!
end
Catalyst 4000 Access Gateway Module インストレーションコンフィギュレーションノート
7-14
OL-3008-01-J

Download Report