IKE & IPSec

IKE (Internet Key Exchange)
 
 
1.事前共有鍵は
  ipsec ike pre-shared-keyコマンドで事前登録しとく
 
  交換の要求に応じるかどうかは
  ipsec ike remote addressコマンドで設定(省略可)
 
2.鍵やその寿命、暗号、認証などのアルゴリズムを
  登録した管理情報は、
  SA (Security Association)で管理。
  SAを区別するIDは自動的に付与される
 
  show ipsec sa
 
  SA自体に鍵の寿命に合わせた寿命あり
  ユーザが指定可能な属性(パラメータ)をポリシーと呼び、
   ipsec sa policy
  で定義し、
   ipsec ike duration ipsec-sa
   ipsec ike duration isakmp-sa
  で寿命を定義
 
  SAの削除は   ipsec sa delete
    初期化は  ipsec reflesh sa
    自動更新は ipsec auto refresh
 
 
 
IPSec
 
 ※IPSec単体ではユニキャストでのみ可(static等)、
  マルチキャスト使うOSPFは使えない
    crpypto map set peer ここに使うACL注意
  詳細は下方★1へ
 
 
トンネルモード(VPN利用モード)
   個々のトンネルインターフェイスは番号で管理され、
   設定のたまえに番号を切り替えるには、
   tunnel selectコマンドを使う。
   (そしてtunnel enable/disableで有効無効 ☆機器 rtx1000)
 
 トランスポートモード
   ルータ自身がパケットの終端となる通信 telnet等
   あとはホスト間(NAT/PAT配下のホストでは使えない可能性)
 
 
 
 VPNを構成する両方のルータが固定GIPをもつ時は、メインモード
   ipsec ike remote addressで対向ルータのIPアドレスを設定
 
 どちらか一方のルータのみの時は、アグレッシブモード
 
 
 
 ★1
  
 GRE Over IPSec
  greそのものはただのカプセル化
  IPSecにgreトンネルを作り、マルチキャストなどを使えるようにする
 
 これの進化系が cisco独自の VTI (Virtual Tunnel Interface)
  greトンネル使わず、
  tunnelインターフェイスに直接、crypto ipsec profileを充てる
  つまりMAP不使用
 
 
 → 主な相違点
 
  GREの場合
   暗号化対応トラフィックをトリガーにSAが確立
    tunnel source Dialer 0 で指定し、
    Dialer 0 に crypto mapを充てる
 
  VTIの場合
   設定が入った時点でSAが確立
    tunnel protection
 
 
 
VTIでのPBR(ポリシーベースルーティング)
 動的。拠点からつないでいく。
 LAN側のトンネルにも設定必要。定義はひとつでいい。
 または動的VPN