皆さんこんにちは。Smart Innovation株式会社です。
1/16にCCNP CAMP第6回目が無事終了しましたので、その様子をお伝えします!
▼CCNP CAMPの詳細はコチラからどうぞ!
【CCNA取得者必見】給与を年間で〇〇万円上げる資格とは?結論:CCNPを取得しましょう。 - Smart Innovation -日常を、一歩前へ-
目次
第6回目のCCNP ENARSI取得講座の内容は?
第6回目の講座内容は以下のとおりです。
■Part7. VRF, MPLS, and MPLSLayer 3 VPNs
・Chapter 20 Securing DMVPNTunnels
※前回時間が押してしまい、繰越の講義となりました
■Part8. Troubleshooting ACLsand Prefix Lists
・Chapter 21 TroubleshootingACLs and Prefix Lists
■Part9. Infrastructure Security
・Chapter 22 InfrastructureSecurity
■Part10. Device Managementand Management ToolsTroubleshooting
・Chapter 23 DeviceManagement and ManagementTools Troubleshooting
今回も大変濃い回となりました。その中でも特に皆さんに伝えたい点として、先週に引き続き(IPSec with) DMVPNについて、概念を記載します。難しい分野だからこそ、イメージをつけてもらえると嬉しいです。
IPSecはチーズバーガーである!?
まず、伝えたいのがIPSecはプロトコルではないということです。プロトコルではなく、暗号化を実現するための仕組みとなります。その構成要素は以下の通り。
•セキュリティプロトコル (AH or ESP)
•セキュリティアソシエーション (IKE SA 、 IPSec SA)
•鍵管理 (IKE 、 IKEv2)
そして、これらを実装するために必要な設定は以下の通りです。
※タイトルの通り、頭に入りやすいようにこれらをチーズバーガーに例えて説明します
1.IKEv2キーリング(パティのタレ)
2.IKEv2プロファイル(タレ付きパティ(肉))
3.IPsecトランスフォームセット(チーズ)
4.IPsecプロファイル(素材を串刺ししてまとめる作業)
①IKEv2キーリング(パティのタレ)
ここで、キーリングを定義し、その配下に事前共有鍵を作成します。
crypto ikev2 keyring DMVPN-KEYRING ←キーリング(パティのタレ)の名前
peer ANY
address 0.0.0.0 0.0.0.0
pre-shared-key CISCO456 ←事前共有鍵
②IKEv2プロファイル(タレ付きパティ(肉))
ここでは、IKEv2プロファイル(IKE SA中に使用されるセキュリティパラメータの集まり)の設定を記載します。
crypto ikev2 profile DMVPN IKE-PROFILE ←IKEv2プロファイルの名前
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local DMVPN-KEYRING ←パティのタレをパティにつけるconfig
上記にて、キーリング(タレ)をIKEv2プロファイル(パティ(肉))に紐づけます。
③IPsecトランスフォームセット(チーズ)
ここでは、以下の2つの設定を行います。
1.VPNには完全性と機密性が必要となりますので、それらを担保するトランスフォームを選択する
2.パケットを転送する為に必要なESPのモードを選択する(トンネルモードorトランスポートモード)
具体的なconfigは以下の通りです。
crypto ipsec transform-set AES256/SHA/TRANSPORT esp-aes-256 esp-sha-hmac
mode transport
完全性を担保するためにはハッシュ化が必要となり、選べるプロトコルはAH(モッツァレラチーズ)とESP(チェダーチーズ)です。今回はESPを選択しています。また、機密性を担保するためには暗号化が必要であり、選べるプロトコルはESPとなるため、ESPを使用しています。上記configでいくと、
・esp-aes-256:暗号化のアルゴリズム
・esp-sha-hmac:ハッシュ化のアルゴリズム
となります。
そして、(IPsec with)DMVPNでは必ずESPのモードとしてトランスポートモードを使用するのですが、なぜだか分かりますでしょうか。ヒントが必要な方は反転してみてください。
ヒント:「DMVPNではGREを使っている」「従って既にトンネルIPヘッダーが付与されている)」
4.IPsecプロファイル(素材を串刺ししてまとめる作業)
IPsecプロファイルは、 IPsec トランスフォームセット(チーズ)と IKEv2プロファイル(タレ付きパティ)を組み合わせたものです。
crypto ipsec profile DMVPN-IPSEC-PROFILE ←串刺しにする作業
set transform-set AES256/SHA/TRANSPORT ←チーズ
set ikev2 profile DMVPN-IKE-PROFILE ←タレ付きパティ
そして、tunnelにチーズバーガーを食べさせてあげよう!
上記で作成したIsecプロファイル(串刺しチーズバーガー)ですが、tunnelに適用してあげないと(食べさせてあげないと)効力を発揮しません。せっかくチーズバーガーを作ったので、tunnel君に以下のconfigで食べさせて(適用して)あげます。
interface Tunnel 100
tunnel protection ipsec profile DMVPN-IPSEC-PROFILE
いかがでしたでしょうか。少しでもIPsecの設定についてイメージが湧きましたら幸いです。
CCNP Enterprise認定についてなんでも相談に乗ります!
当社はCCNP Enterprise認定に関する相談をなんでも受け付けています!もしご相談したい方は、以下LINE宛にご質問ください。
▼研修実績はコチラから!
【第2回 CCNP CAMP ENARSI】スタティックルートのIF指定はダメ?
【第2回 CCNP CAMP ENARSI編】OSPF stub設定のサンプルあり
【第2回 CCNP CAMP ENARSI編】ここまでやるか・・・!BGP!!
【第2回 CCNP CAMP ENARSI編】VRF、MPLS、DMVPN