目的
このドキュメントの目的は、RV34xシリーズルータでIKEv2を使用してIPSecプロファイルを設定する方法を示すことです。
概要
RV34xシリーズルータのファームウェアバージョン1.0.02.16は、サイト間VPNおよびクライアントとサイト間VPNのInternet Key Exchange Version 2(IKEv2)をサポートするようになりました。IKEは、Oakleyキー交換とSkemeキー交換をInternet Security Association and Key Management Protocol(ISAKMP)フレームワーク内に実装するハイブリッドプロトコルです。IKEは、IPsecピアの認証を提供し、IPsecキーをネゴシエートし、IPsecセキュリティアソシエーションをネゴシエートします。
IKEv2は引き続きUDPポート500を使用しますが、いくつかの変更に注意してください。Dead Peer Detection(DPD)の管理が異なり、組み込まれています。セキュリティアソシエーション(SA)ネゴシエーションは、最大4メッセージまで最小化されます。この新しいアップデートでは、AAAサーバとDenial of Service(DoS)保護を利用できるExtensible Authentication Protocol(EAP)認証もサポートされています。
次の表は、IKEv1とIKEv2の違いをさらに示しています
IKEv1 |
IKEv2 |
SA 2フェーズのネゴシエーション (メインモードとアグレッシブモード) |
SA単相ネゴシエーション(簡素化) |
|
ローカル/リモート証明書のサポート |
|
衝突処理の改善 |
|
キー再生機構の改善 |
|
NATトラバーサル内蔵 |
|
AAAサーバのEAPサポート |
IPsecにより、インターネット上でセキュアなプライベート通信が可能になります。インターネットを介して機密情報を送信するための、2つ以上のホストのプライバシー、整合性、および信頼性を提供します。IPsecは一般的にバーチャルプライベートネットワーク(VPN)で使用され、IP層で実装されます。これにより、多くのセキュアでないアプリケーションにセキュリティを追加できます。VPNは、インターネットなどのセキュアでないネットワークを介して送信される機密データおよびIP情報のためのセキュアな通信メカニズムを提供するために使用されます。また、リモートユーザや組織が同じネットワーク上の他のユーザから機密情報を保護するための柔軟なソリューションも提供します。
VPNトンネルの両端が正常に暗号化されて確立されるためには、両方とも暗号化、復号化、および認証の方法について合意する必要があります。IPsecプロファイルは、IPsecの中央設定で、自動モードでのフェーズIおよびIIネゴシエーションの暗号化、認証、およびDiffie-Hellman(DH)グループなどのアルゴリズムを定義します。フェーズIは、セキュアな認証通信を作成するために事前共有キーを確立します。フェーズIIでは、トラフィックが暗号化されます。プロトコル(カプセル化セキュリティペイロード(ESP))、認証ヘッダー(AH)、モード(トンネル、トランスポート)、アルゴリズム(暗号化、整合性、Diffie-Hellman)、Perfect Forward Secrecy(PFS)、SAライフタイム、キー管理プロトコル(Internet Key Exchange(IKE) - IKE) v1およびIKEv2)。
Cisco IPsecテクノロジーの詳細については、次のリンクを参照してください。Cisco IPSecテクノロジーの概要.
サイト間VPNを設定する場合、リモートルータはローカルルータと同じIPsecプロファイル設定を必要とすることに注意してください。
次に、ローカルルータとリモートルータの両方の設定の表を示します。このドキュメントでは、ルータAを使用してローカルルータを設定します。
フィールド |
ローカルルータ(ルータA) |
リモートルータ(ルータB) |
プロファイル名 |
ホームオフィス |
RemoteOffice |
キーイングモード |
自動 |
自動 |
IKEバージョン |
IKEv2 |
IKEv2 |
フェーズIオプション |
フェーズIオプション |
フェーズIオプション |
DH group |
グループ2:1024ビット |
グループ2:1024ビット |
暗号化 |
AES-192 |
AES-192 |
[Authentication] |
SHA2-256 |
SHA2-256 |
SAライフタイム |
28800 |
28800 |
フェーズIIオプション |
フェーズIIオプション |
フェーズIIオプション |
プロトコル選択 |
ESP |
ESP |
暗号化 |
AES-192 |
AES-192 |
[Authentication] |
SHA2-256 |
SHA2-256 |
SAライフタイム |
3600 |
3600 |
完全転送秘密 |
有効 |
有効 |
DH group |
グループ2:1024ビット |
グループ2:1024ビット |
RV34xでサイト間VPNを設定する方法については、次のリンクをクリックしてください。RV34xでのサイト間VPNの設定。
該当するデバイス
・ RV34x
[Software Version]
·1.0.02.16
IKEv2によるIPsecプロファイルの設定
ステップ1:ローカルルータ(ルータA)のWeb設定ページにログインします。
ステップ2:[VPN] > [IPSec Profiles]に移動します。
ステップ3:[IPSec Profiles]テーブルで、[Add]をクリックして、新しいIPSecプロファイルを作成します。プロファイルを編集、削除、または複製するオプションもあります。プロファイルを複製すると、IPsecプロファイルテーブルにすでに存在するプロファイルをすばやく複製できます。同じ設定で複数のプロファイルを作成する必要がある場合は、クローンを作成することで時間を節約できます。
ステップ4:プロファイル名を入力し、キーイングモード(自動または手動)を選択します。 プロファイル名は他のルータと一致する必要はありませんが、キーイングモードが一致する必要があります。
[プロファイル名]としてHomeOfficeが入力されます。
Autoがキーイングモードに選択されます。
ステップ5:IKEのバージョンとしてIKEv1またはIKEv2を選択します。IKEは、ISAKMPフレームワーク内でOakleyキー交換とSkemeキー交換を実装するハイブリッドプロトコルです。OakleyとSkemeはどちらも認証済みキーマテリアルの導出方法を定義しますが、Skemeには迅速なキーリフレッシュも含まれています。IKEv2は、キー交換に必要なパケットが少なく、より多くの認証オプションをサポートしますが、IKEv1は共有キーと証明書ベースの認証のみを行うため、より効率的です。
この例では、IKEのバージョンとしてIKEv2が選択されています。
注:使用しているデバイスがIKEv2をサポートしている場合は、IKEv2を使用することをお勧めします。使用しているデバイスがIKEv2をサポートしていない場合は、IKEv1を使用します。
ステップ6:フェーズIは、フェーズIIでデータを暗号化するために使用するキーを設定および交換します。[フェーズI]セクションで、DHグループを選択します。DHはキー交換プロトコルで、異なるプライムキー長の2つのグループGroup 2 - 1024ビットとGroup 5 - 1536ビットを持ちます。
このデモンストレーションでは、グループ2 - 1024ビットが選択されました。
注:速度が速くセキュリティが低い場合は、グループ2を選択します。速度が遅くセキュリティが高い場合は、グループ5を選択します。グループ2がデフォルトとして選択されます。
ステップ7:ドロップダウンリストから暗号化オプション(3DS、AES-128、AES-192、またはAES-256)を選択します。このメソッドは、ESP/ISAKMPパケットの暗号化および復号化に使用されるアルゴリズムを決定します。Triple Data Encryption Standard(3DES)は、DES暗号化を3回使用するが、従来のアルゴリズムであり、他に選択肢がない場合にのみ使用する必要がある。これは、まだ限界を超えているが許容できるセキュリティレベルを提供しているからである。一部の「ブロック・コリジョン」攻撃に対して脆弱なため、後方互換性のために必要な場合にのみ使用してください。Advanced Encryption Standard(AES;高度暗号化規格)は、DESよりも安全に設計された暗号化アルゴリズムです。AESでは、より大きなキーサイズを使用します。これにより、メッセージを復号化する唯一の既知のアプローチは、侵入者が可能なすべてのキーを試すことになります。使用しているデバイスでAESがサポートされている場合は、AESを使用することをお勧めします。
この例では、暗号化オプションとしてAES-192を選択しています。
注:ハイパーリンクをクリックすると、IPSecまたはNext Generation Encryptionを使用したVPNのセキュリティの設定に関する詳細が表示されます。
ステップ8:認証方法は、ESPヘッダーパケットの検証方法を決定します。これは、サイドAとサイドBが実際に自分の身元を証明するために認証で使用されるハッシュアルゴリズムです。MD5は、128ビットのダイジェストを生成し、SHA1よりも高速な一方向ハッシュアルゴリズムです。SHA1は160ビットのダイジェストを生成する一方向ハッシュアルゴリズムで、SHA2-256は256ビットのダイジェストを生成します。SHA2-256の方がセキュアであるため、この方法が推奨されます。VPNトンネルの両端で同じ認証方式が使用されていることを確認します。認証(MD5、SHA1、またはSHA2-256)を選択します。
この例ではSHA2-256が選択されています。
ステップ9:SA Lifetime(Sec)は、このフェーズでIKE SAがアクティブになっている時間を示します。それぞれのライフタイムの後にSAが期限切れになると、新しいネゴシエーションが開始されます。範囲は120 ~ 86400で、デフォルトは28800です。
フェーズIのSAライフタイムとしてはデフォルト値の28800秒を使用します。
注:フェーズIのSAライフタイムは、フェーズIIのSAライフタイムよりも長くすることをお勧めします。フェーズIをフェーズIIよりも短くする場合、データトンネルとは対照的に、頻繁にトンネルの前後を再ネゴシエートする必要があります。データトンネルはより多くのセキュリティを必要とするため、フェーズIIのライフタイムをフェーズIよりも短くすることをお勧めします。
ステップ10:フェーズIIでは、送受信されるデータを暗号化します。[Phase 2 Options]で、ドロップダウンリストからプロトコルを選択します。
・ Encapsulating Security Payload(ESP):データ暗号化にESPを選択し、暗号化を入力します。
・ 認証ヘッダー(AH) – データが秘密でない場合、つまり、暗号化されていないが認証が必要な場合に、データの整合性を確保するために選択します。トラフィックの送信元と宛先を検証するためにのみ使用されます。
この例では、プロトコルの選択にESPを使用します。
ステップ11:ドロップダウンリストから暗号化オプション(3DES、AES-128、AES-192、AES-256)を選択します。この方式は、ESP/ISAKMPパケットの暗号化と復号化に使用されるアルゴリズムを決定します。
この例では、暗号化オプションとしてAES-192を使用します。
注:ハイパーリンクをクリックすると、IPSecまたはNext Generation Encryptionを使用したVPNのセキュリティの設定に関する詳細が表示されます。
ステップ12:認証方式は、Encapsulating Security Payload Protocol(ESP)ヘッダーパケットの検証方法を決定します。認証(MD5、SHA1、またはSHA2-256)を選択します。
この例ではSHA2-256が選択されています。
ステップ13:このフェーズでVPNトンネル(IPsec SA)がアクティブになっている時間を入力します。フェーズ2のデフォルト値は3600秒です。このデモンストレーションでは、デフォルト値を使用します。
ステップ14:[Enable]をオンにして、Perfect Forward Secrecyを有効にします。Perfect Forward Secrecy(PFS;完全転送秘密)が有効になっている場合、IKEフェーズ2ネゴシエーションによって、IPSecトラフィックの暗号化と認証に関する新しい鍵材料が生成されます。PFSは、公開キー暗号化を使用してインターネット経由で送信される通信のセキュリティを向上するために使用されます。これは、使用しているデバイスでサポートできる場合に推奨されます。
ステップ15:Diffie-Hellman(DH)グループを選択します。DHはキー交換プロトコルで、異なるプライムキー長の2つのグループGroup 2 - 1024ビットとGroup 5 - 1536ビットを持ちます。このデモでは、グループ2 - 1024ビットを選択しました。
注:速度が速くセキュリティが低い場合は、グループ2を選択します。速度が遅くセキュリティが高い場合は、グループ5を選択します。グループ2はデフォルトで選択されています。
ステップ16:[Apply]をクリックして新しいIPsecプロファイルを追加します。
ステップ17:[Apply]をクリックした後、新しいIPsecプロファイルを追加する必要があります。
ステップ18:ページの上部にある[保存(Save)]アイコンをクリックして、[構成管理(Configuration Management)]に移動し、実行コンフィギュレーションをスタートアップコンフィギュレーションに保存します。これは、リブート間の設定を保持するためです。
ステップ19:[Configuration Management]で、[Source]が[Running Configuration]で、[Destination]が[Startup Configuration]であることを確認します。次に[Apply]を押して、実行コンフィギュレーションをスタートアップコンフィギュレーションに保存します。ルータが現在使用しているすべての設定は、揮発性であり、リブート間は保持されない実行コンフィギュレーションファイルにあります。実行コンフィギュレーションファイルをスタートアップコンフィギュレーションファイルにコピーすると、リブート間にすべての設定が保持されます。
ステップ20:すべてのステップに従って、ルータBをセットアップします。
結論
これで、両方のルータのIKEバージョンとしてIKEv2を使用して、新しいIPsecプロファイルが正常に作成されたはずです。サイト間VPNを設定する準備ができました。