ブリッジのセキュリティ

ダウンロードオプション

PDF (338.0 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (80.5 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (66.5 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2006 年 5 月 10 日

Document ID:12540

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

はじめに

前提条件

要件

使用するコンポーネント

背景理論

表記法

設定

ネットワーク図

コンフィギュレーション

確認

トラブルシュート

はじめに

イーサネットセグメント間のブリッジドワイヤレスリンクを設計する際には、セキュリティを考慮することが重要です。この文書では、IPSec トンネルを使用してブリッジドワイヤレスリンクを通過するトラフィックのセキュリティを確保する方法を例示します。

この例では、2台のCisco Aironet 350シリーズブリッジがWEPを確立し、2台のルータがIPSECトンネルをセットアップします。

前提条件

要件

この設定を試す前に、次の項目の使用に関して問題ないか確認してください。

Cisco Aironet Bridge 設定インターフェイス
Cisco IOS IOC コマンドラインインターフェイス

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

IOS バージョン 12.1 を実行している Cisco2600 シリーズルータ
ファームウェアバージョン 11.08T を実行している Cisco Aironet 350 シリーズブリッジ

このマニュアルの情報は、特定のラボ環境に置かれたデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、使用前にその潜在的な影響について確実に理解しておく必要があります。

背景理論

Cisco Aironet 340、350、および 1400 シリーズブリッジは最大 128 ビットの WEP 暗号化を提供します。「WEPアルゴリズムのセキュリティ」および『Cisco Aironetの報道への対応 – セキュリティの欠陥』で説明されているように、WEPアルゴリズムの既知の問題と悪用の容易さにより、これはセキュアな接続には依存できません。

ワイヤレスブリッジドリンクを通過するトラフィックのセキュリティを向上させる 1 つの方法は、リンクを使用するルータ間で暗号化された IPSec トンネルを作成する方法です。この方法を使用できるのは、ブリッジが OSI モデルのレイヤ 2 で動作しているためです。ブリッジ間の接続を利用するルータ間に IPSec を適用できます。

ワイヤレスリンクのセキュリティが侵害されても、それに含まれるトラフィックは引き続き暗号化されたままで安全です。

表記法

ドキュメント表記の詳細は、『シスコテクニカルティップスの表記法』を参照してください。

設定

このセクションでは、この文書で説明する機能を設定するために必要な情報を提供します。

注：このドキュメントで使用されているコマンドの詳細を調べるには、IOS Command Lookupツールを使用してください。

ネットワーク図

このドキュメントでは、次の図に示すネットワーク設定を使用します。

コンフィギュレーション

このドキュメントでは、次のコンフィギュレーションを使用します。

RouterA
RouterB
ブリッジの例

RouterA（Cisco 2600 ルータ）
RouterA#show running-config Building configuration... Current configuration : 1258 bytes ! version 12.1 no service single-slot-reload-enable no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname RouterA ! logging rate-limit console 10 except errors ! ip subnet-zero no ip finger ip dhcp excluded-address 10.1.1.20 ip dhcp excluded-address 10.1.1.30 ! ip dhcp pool wireless network 10.1.1.0 255.255.255.0 ! ip audit notify log ip audit po max-events 100 call rsvp-sync ! crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key cisco address 10.1.1.30 ! ! crypto ipsec transform-set set esp-3des esp-md5-hmac ! crypto map vpn 10 ipsec-isakmp set peer 10.1.1.30 set transform-set set match address 120 ! interface Loopback0 ip address 20.1.1.1 255.255.255.0 ! interface Ethernet0 ip address 10.1.1.20 255.255.255.0 crypto map vpn ! ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.30 no ip http server no ip http cable-monitor ! access-list 120 permit ip 20.1.1.0 0.0.0.255 30.1.1.0 0.0.0.255 ! ! line con 0 transport input none line vty 0 4 ! end

RouterA（Cisco 2600 ルータ）

RouterA#show running-config 
Building configuration...

Current configuration : 1258 bytes
!
version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterA
!
logging rate-limit console 10 except errors
!
ip subnet-zero
no ip finger
ip dhcp excluded-address 10.1.1.20
ip dhcp excluded-address 10.1.1.30
!
ip dhcp pool wireless
 network 10.1.1.0 255.255.255.0
!
ip audit notify log
ip audit po max-events 100
call rsvp-sync
!
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key cisco address 10.1.1.30
!
!
crypto ipsec transform-set set esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 10.1.1.30
set transform-set set
match address 120
!
interface Loopback0
ip address 20.1.1.1 255.255.255.0
!
interface Ethernet0
ip address 10.1.1.20 255.255.255.0
crypto map vpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.30
no ip http server
no ip http cable-monitor
!
access-list 120 permit ip 20.1.1.0 0.0.0.255 30.1.1.0 0.0.0.255
!
!
line con 0
transport input none
line vty 0 4
!
end

RouterB（Cisco 2600 ルータ）
RouterB#show running-config Building configuration... Current configuration : 1177 bytes ! version 12.1 no service single-slot-reload-enable no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname RouterB ! logging rate-limit console 10 except errors ! ip subnet-zero no ip finger ! ip audit notify log ip audit po max-events 100 call rsvp-sync crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key cisco address 10.1.1.20 ! ! crypto ipsec transform-set set esp-3des esp-md5-hmac ! crypto map vpn 10 ipsec-isakmp set peer 10.1.1.20 set transform-set set match address 120 interface Loopback0 ip address 30.1.1.1 255.255.255.0 ! interface Ethernet0 ip address 10.1.1.30 255.255.255.0 no ip mroute-cache crypto map vpn ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.20 no ip http server no ip http cable-monitor ! access-list 120 permit ip 30.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255 ! ! line con 0 transport input none line vty 0 4 login ! end

RouterB（Cisco 2600 ルータ）

RouterB#show running-config 
Building configuration...

Current configuration : 1177 bytes 
! 
version 12.1 
no service single-slot-reload-enable 
no service pad 
service timestamps debug uptime 
service timestamps log uptime 
no service password-encryption 
! 
hostname RouterB 
! 
logging rate-limit console 10 except errors 
! 
ip subnet-zero 
no ip finger 
! 
ip audit notify log 
ip audit po max-events 100 
call rsvp-sync
crypto isakmp policy 10 
hash md5 
authentication pre-share 
crypto isakmp key cisco address 10.1.1.20 
! 
! 
crypto ipsec transform-set set esp-3des esp-md5-hmac 
! 
crypto map vpn 10 ipsec-isakmp 
set peer 10.1.1.20 
set transform-set set 
match address 120
interface Loopback0 
ip address 30.1.1.1 255.255.255.0 
! 
interface Ethernet0 
ip address 10.1.1.30 255.255.255.0 
no ip mroute-cache 
crypto map vpn 
! 
ip classless 
ip route 0.0.0.0 0.0.0.0 10.1.1.20 
no ip http server 
no ip http cable-monitor 
! 
access-list 120 permit ip 30.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255 
! 
! 
line con 0 
transport input none 
line vty 0 4 
login 
! 
end

Cisco Aironet ブリッジ

確認

ここでは、設定が正しく機能していることを確認するために使用する情報を示します。

特定の show コマンドは、Output Interpreter Tool（登録ユーザ専用）によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

show crypto engine connections active ：このコマンドは、現在アクティブな暗号化セッションの接続を表示するのに使用されます。

RouterA#show crypto engine connection active
  ID Interface   IP-Address      State Algorithm             Encrypt Decrypt 
   1 Ethernet0   10.1.1.20       set   HMAC_MD5+DES_56_CB          0      0 
2002 Ethernet0   10.1.1.20       set   HMAC_MD5+3DES_56_C          0      3 
2003 Ethernet0   10.1.1.20       set   HMAC_MD5+3DES_56_C          3      0 

RouterB#show crypto engine connection active
  ID Interface    IP-Address     State Algorithm             Encrypt Decrypt 
   1  <none>         <none>      set   HMAC_MD5+DES_56_CB          0      0 
2000 Ethernet0    10.1.1.30      set   HMAC_MD5+3DES_56_C          0      3 
2001 Ethernet0    10.1.1.30      set   HMAC_MD5+3DES_56_C          3      0

トラブルシュート

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。

IPSec 接続のトラブルシューティングについては、次の文書を参照してください。

IP セキュリティのトラブルシューティング：debug コマンドの説明と使用
Ciscoネットワークレイヤ暗号化の設定とトラブルシューティング：IPSecとISAKMP、パート1およびパート2

ワイヤレス接続のトラブルシューティングについては、次を参照してください。

ブリッジのセキュリティ

ダウンロードオプション

偏向のない言語

翻訳について

内容

はじめに

前提条件

要件

使用するコンポーネント

背景理論

表記法

設定

ネットワーク図

コンフィギュレーション

確認

トラブルシュート

関連情報

更新履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

ブリッジのセキュリティ

ダウンロード オプション

偏向のない言語

翻訳について

内容

更新履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

ダウンロードオプション