-1-
IRASⅡ
(
IPsec Remote Access Service Ⅱ)
ハードウェアクライアント設定マニュアル
-2- はじめに
IRASⅡ(IPsec Remote Access ServiceⅡ)は、インターネット暗号化技術により、お客様ネットワ ークにセキュアなリモ-トアクセス環境を提供いたします。IRASⅡハードウェアクライアントでは Cisco Systems の IOS ルータ機能を利用します。
本マニュアルに記載のある内容は、接続設定の簡易マニュアルであり、Cisco IOS ルータのすべ ての機能を説明するものではありません。
Cisco IOS ルータ機能の詳細については、Cisco Systems の web サイトをご確認下さい。 (http://www.cisco.com)
本マニュアルにて設定した内容は、お客様機器へのセキュリティを確実に保証するものではあり ません。必要に応じてセキュリティ設定を追加いただくようお願いいたします。
本マニュアルの内容は、改善等のため予告無く変更する場合がございますので予めご了承下さ い。
-3- 第1章 システム条件
1. 【 ハードウェア 】
ルータによる接続をご利用いただく場合以下のKDDI が指定する機器を用意する必要性があり ます。
1. Cisco Systems 製ルータ Cisco 851 (もしくは Cisco 871) 2. 【 ソフトウェア 】
上記ハードウェア上にKDDI が指定するバージョンの IOS をインストールしたものをご利用いた だく必要性があります。
※指定外のIOS をご利用になられた場合、保守対応ができません。 · IOS:12.4(15)T1 ADVANCED SECURITY
3. 【 インターネット接続環境 】
利用ISP の指定はありませんが、Proxy サーバ経由でのインターネット接続環境ではご利用い ただけません。
-4- 第2章 ルータの設定 IRASⅡハードウェアクライアントとして利用するルータの設定には、いくつかの方法があります。 本資料においては、コマンドライン(console)からの設定をご説明いたします。 本資料中の作業では、既に装置上に設定されている機能への影響は考慮しておりませんので 予めご了承下さい。 1. 【 設定の準備 】 本資料では、インターネット接続可能な状態で既にルータが設定されていることを前提として記 載されています。 ① 事前準備 · RS232C シリアルポートを有した PC を用意します。 ※ 近年のノート PC は RS232C ポートが無い物があります。USB ポート⇔RS232C ポートへ変換するケーブルが市販されておりますのでご用意下さい。 · 変換ケーブルは、COM ポートとして PC に認識されます。(通常ドライバが必要 です。) ※ ケーブルの準備ができない場合は、telnet 等での作業をお願いいたします。 ※ telnet からの作業の場合 LAN アドレスの変換等を行うとアドレス変更に伴いセッシ ョンが切れてしまう為注意が必要です。 · PC にターミナルソフト(ハイパーターミナル(Windows 標準)/teraterm(フリーソフト) 等)をインストールしてください。 ※ 本資料ではteraterm を利用しています。 ※ PC 上 USB⇔RS232C 変換ケーブルが COM ポートとして認識されますが、ご利用 PC の環境によりターミナルソフトが認識できない COM ポート番号となる場合があ ります。その際は、ターミナルソフトの設定を変更いただき認識可能とするか、認識 された COM ポートの割当を変更いただく必要があります。本作業による PC への 影響はお客様責任となります。 ② PC とルータの接続 · ルータと同梱されている設定用ケーブル(通常 水色)の RJ45 インターフェース側を ルータ側のconsole と表記のあるポートへ、RS232C インターフェース側を PC の RS232C ポートに接続します。 · ターミナルソフトウェアのポート設定は、以下とします。 速度: 9600bps データビット: 8 パリティ: 無 ストップビット: 1 フローコントロール: 無
-5- 2. 【 設定の実行 】 ① ルータへアクセス · ターミナルソフトを起動し、ケーブルを接続したCOM ポートで通信を開始します。 ケーブル接続したCOM ポー トを指定してOK をクリック 数回Enter を押すことでルー タからの応答が表示される。 ※ルータ設定状態によっては ID/パスワードが必要です。
-6- ② 設定モードへ移行 · ルータの設定を行う為、特権モード(enable)になり設定モードに移行します。 ③ 設定ファイルの準備 · 通常設定は、1 行ずつコマンドを入力していきますが、本資料の最後にある参考情 報の IRASⅡ接続用最小コマンド例を任意のテキストファイルに書き出し、KDDI よ りお渡しする開通案内の情報等を転記した上で保存します。転記する項目は、以 下の通りです。 Suffix PreShared-Key GW アドレス 認証用ユーザ ID パスワード アクセスリストルール(通信先 Prefix) ④ 設定ファイルの流し込み · 設定ファイルを1 行ずつルータに流し込みを行います。流し込みの際に文字欠けが 発生しないように設定する必要性があります。 “enable“と入力し特権モード になります。(パスワードが設 定されている場合はパスワー ドを入力してください。) 特 権 モ ー ド に な っ た ら”configure terminal”と入 力 し 設 定 モ ー ド に 移 行 し ま す。 文字欠けが発生しないように シ リア ルポ ート の transmit delay を設定します。
-7- ⑤ 設定の保存 · ファイルの流し込みが完了したら、設定は終了です。設定モードを抜け、“copy running-config startup-config”を入力し保存してください。 Transmit delay を適当な時 間 に増やします 。(ここでは 50msec にしています。) 流し込む設定ファイルを選択 します。 保存したテキストファイルを選 択し、開くをクリックします。
-8- 第3章 接続設定の修正と削除 接続設定に間違いが有った場合、以下の手順で修正することが可能です。 設定項目の削除を行う場合、誤削除等については充分な注意を払った上で作業下さい。 1. 【 IRASⅡ接続設定の修正 】 ① ルータへのログイン · 設定を修正する為、ルータへログインします。 ② 設定内容の確認 · ログイン後、特権モード(enable)に移行し、”show running-config”とコマンドを打 つことで設定内容を確認することができます。 ③ 項目の修正 · 修正を実施する項目が確認できたら、設定モード(configure terminal)になり、修正 項目のところまで移動します。 ※ ”no ****”とすることで既存のエントリ(設定内容) が消えます。 例:Preshared-Key に間違いが有った場合 誤=kddtest 正=kdditest
Router(config)# crypto ipsec client ezvpn iras_hw
Router(config-crypto-ezvpn)# no group s1.iras.test key kddtest Router(config-crypto-ezvpn)# group s1.iras.test key kdditest
※ 修正箇所によっては、配下の情報を全て入力しなおす必要性がでる場合があ ります。
例:配下の情報が全て消えてしまう場合
Router(config)# no crypto ipsec client ezvpn iras_hw
上記の場合は、配下に設定してあるPreshared-Key の情報や認証アカウント情報 などが消えてしまいます。
-9- · 修正が完了したら、設定モードを抜け、“copy running-config startup-config”を入
力し保存してください。 2. 【 IRASⅡ接続設定の削除 】 ① ルータへのログイン · 設定を削除する為、ルータへログインします。 ② 設定内容の確認 · ログイン後、特権モード(enable)に移行し、”show running-config”とコマンドを打 つことで設定内容を確認することができます。 ④ 項目の削除 · 削除を実施する項目が確認できたら、設定モード(configure terminal)になり、削除 項目のところまで移動します。 ※ ”no ****”とすることで既存のエントリ(設定内容) が消えます。
-10- 第4章 IRASⅡへの接続 IRASⅡ接続設定が完了となりましたら、インターネット側/LAN 側のケーブルを接続し、LAN 側 に設置されたPC より通信を開始してください。 ルータは、自動的にIRASⅡへの接続を行い、IPsec 通信を開始します。 ※ 接続には、鍵の交換/認証が必要となりますので数秒程度時間がかかる場合があります。 第5章 接続状態の確認
IRASⅡへの接続状態の確認は、”show crypt ipsec client ezvpn”コマンドにて確認が可能で す。 第6章 IRASⅡ接続の為の疎通確保 ルータでの IRASⅡへの接続は、ソフトウェアクライアント同様に FWやブロードバンドルータ等 の配下からの接続をすることが可能です。 FW 等配下からハードウェアクライアントで IRASⅡに接続する場合、ハードウェアクライアント用 ルータでファイアーウォール機能を利用中の場合、以下のアドレス間のプロトコル/ポート番号の 疎通を確保する必要性があります。 ※ ルータでの接続は、NAT Traversal に対応しています。 【 LAN ⇒ WAN 方向 】 アドレス : Src=ハードウェアクライアント WAN 側アドレス Dst=“GW アドレス” プロトコル/ポート: IPsec 確立済 割当アドレス表示 通信先 Prefix GW アドレス表示
-11- UDP Src Port:不定 Dst Port:500
UDP Src Port:不定 Dst Port :4500 ESP パケット
※ インターネット接続ルータとIRASⅡ接続ルータを併用する場合(NAT 配下からの接 続で無い場合)ルータと GW アドレス間で ESP パケットのパケットを疎通させる必要 性があります。
※ ESP とは、”Encapsulation Security Payload”の略で IPsec による暗号化された パケットを表します。 【 WAN ⇒ LAN 方向 】 アドレス : Src=GW アドレス Dst=ハードウェアクライアント WAN 側アドレス プロトコル/ポート:
UDP Src Port:500 Dst Port:不定 UDP Src Port:4500 Dst Port :不定 ESP パケット
※ インターネット接続ルータとIRASⅡ接続ルータを併用する場合(NAT 配下からの接 続で無い場合)ルータと GW アドレス間で ESP パケットのパケットを疎通させる必要 性があります。
-12- 【参考情報】 コンソール(コマンドライン)から設定する場合の必要情報(テキスト版:一部) ! 【 Easy VPN Client の設定 】
crypto isakmp keepalive 300 30 crypto ipsec client ezvpn iras_hw connect acl iras_acl
group “Suffix” key “Preshared-Key” mode client
peer “GW アドレス”
username “IRAS 接続 ID(@含)” password “Password” xauth userid mode local
!
! 【 LAN 側インターフェースに IRASⅡ接続ルール適用 】 interface Vlan1
crypto ipsec client ezvpn iras_hw inside ip mtu 1300
ip tcp adjust-mss 1260 !
! 【 WAN 側インターフェースに IRASⅡ接続ルール適用 】 interface “WAN インターフェース”
crypto ipsec client ezvpn iras_hw ip mtu 1300
!
! 【 IRASⅡPrefix の設定 】
!※ここでは、Private アドレス領域 3 空間を定義しています。 !※お申込になられる Prefix 登録に合わせて修正してください。 ip access-list extended iras_acl
permit ip any 10.0.0.0 0.255.255.255 permit ip any 172.16.0.0 0.15.255.255 permit ip any 192.168.0.0 0.0.255.255
! 【 WAN 側インターフェースでアクセスリストを適用している場合 】 !※In 方向
access-list 101 permit udp host “GW アドレス” any eq non500-isakmp access-list 101 permit udp host “GW アドレス” any eq isakmp
-13- 本マニュアルお問い合わせにつきましては、弊社営業担当までご連絡下さい。
IRASⅡ(IPsec Remote Access Service Ⅱ)
ハードウェアクライアント設定マニュアル コマンドライン設定版 作成日:2008 年 03 月 03 日 第 1.0 版 作成者:KDDI 株式会社 ※ 「本マニュアルの著作権はKDDI株式会社に帰属します。無断で複写、複製すること を禁止します。」 ※ 本マニュアルの内容は改善のため、予告なく変更する可能性があります。
