2009/12/25
ネットワークのおべんきょしませんか?Vol.1022 IPSecのトラブル 解答と解説
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 『キーマンズネット』 http://www.n-study.com/books/2005/03/it.html リクルートが提供するIT製品情報提供サイトです。無料で利用することができ ます。 IT業界に身をおいている人は、エンジニアの方も営業職の方も関わりなく、キ ーマンズネットへの登録をオススメします! キーマンズネットへの登録は、以下のURLからバナーをクリックしてください。 http://www.n-study.com/books/2005/03/it.html ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ┌──ALL_@bout_Network────────────────────────┐ | | | ネットワークのおべんきょしませんか? | | http://www.n-study.com/ | └─────────────────────────ALL_@bout_Network─┘ 2009/12/25 Vol.1022 発行部数 約30000 Back Number: http://blog.mag2.com/m/log/0000046467 有料版PREMIUM: http://www.n-study.com/premium/index.htm 広告掲載について: http://www.n-study.com/2006/12/post_1.html WEBサイト広告掲載:http://www.n-study.com/2006/12/web.html コンテンツ提供: http://www.n-study.com/2006/12/post_2.html ※メルマガ解除は自己責任で行ってください。発行者ではいっさい対応しませ ん。メルマガの最後に各発行スタンドへのリンクを記載しています ┌──ALL_@bout_Network────────────────────────┐ ~INDEX~ ◆はじめに ◆IPSecのトラブル 解答と解説 【CCNPレベル】 ◆Geneが講師を担当するセミナー情報 ◆終わりに └─────────────────────────ALL_@bout_Network─┘ ┌──ALL_@bout_Network────────────────────────┐ 「はじめに」 こんにちは、発行者の Gene(じーん) です。 IPSecのトラブルの解答と解説をお届けします。10人の読者の方から回答メー ルをいただきました。正答率は50%でした。ちょっと難しかったかもしれませ んね。 NATとIPSecの関連の設定は、以前にはまったことがありました。この辺のこと をきちんと解説しているようなドキュメントがないなぁと思ったので、今回の 問題にしてみました。これを参考にして、IPSecとNATの設定ではまる方が少な くなればうれしいです。 そうそう、Dynamipsで検証できるようにファイルをダウンロードできるように しています。Dynamipsを使える方は、試してみてください。 http://www.n-study.com/MM_Vol1021.net 気がつけばクリスマスです。もう今年もあと1週間になってしまいました。こ れが今年最後のメルマガです。今年は、完全に週刊になってしまいました・・・ 来年はレビューも復活させます。年明けは、1/6に発行予定です。 今年も「ネットワークのおべんきょしませんか?」をご覧いただきましてあり がとうございました。来年もどうぞよろしくお願いいたします。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ IT用語を調べるときには・・・キーマンズネット「IT単語帳」 http://www.n-study.com/network/2008/10/itit.html ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 無料レポートはじめました!! ・テクニカルエンジニア(ネットワーク)平成16年午後解説 ≪New≫ ・テクニカルエンジニア(ネットワーク)平成15年午後解説 ≪New≫ ・IPルーティング 再び ・IPSecの概要 ・IPアドレッシングを基本から復習しましょ! ・テクニカルエンジニア(ネットワーク)平成14年午後解説 ・Ciscoルータのダイアルバックアップ ・レイヤ3スイッチの考え方とCisco Catalystスイッチの設定 ・CiscoルータでのBGP集約 を1つのPDFファイルで読んでいただけます!お申し込みはこちらから↓ http://www.n-study.com/report.html ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ★PCのアイドル中に社会貢献「Folding@home」★ http://folding.stanford.edu/Japanese/Main チームを作成しました!よろしければ、一緒にご参加ください!! チーム番号:64236 チーム名:N-STUDY ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ └─────────────────────────ALL_@bout_Network─┘ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ CCIEラボ試験対策を効率よく進めるためのコンテンツ 「究めるOSPF」 http://www.n-study.com/library/2005/11/ccnaccnpccieospfospf.html 「究めるBGP」 http://www.n-study.com/library/2008/07/bgp_for_ccie_lab.html 「究めるIPマルチキャスト」 http://www.n-study.com/library/2009/02/ccie_ip_multicast.html CCNPとCCIEラボ試験には、非常に大きな隔たりがあります。それを埋めようと 洋書やCCOなどWebの情報を基に勉強するのは、かなりの時間がかかります。 OSPF/BGP/IPマルチキャストについて、CCIEラボ試験レベルの技術を身につけ ていただくためのコンテンツです。 CCIEラボ試験だけでなく、実際のネットワーク構築でも参考にしていただける 内容にしています。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ┌──ALL_@bout_Network────────────────────────┐ 「IPSecのトラブル 解答と解説 【CCNPレベル】」 ~解答~ R1 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ no ip nat inside source list 1 interface FastEthernet0/0.101 overload ip nat inside source route-map NO_NAT interface FastEthernet0/0.101 overload ! access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ! route-map NO_NAT deny 10 match ip address 100 ! route-map NO_NAT permit 100 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R2 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ no ip nat inside source list 1 interface FastEthernet0/0.102 overload ip nat inside source route-map NO_NAT interface FastEthernet0/0.102 overload ! access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 ! route-map NO_NAT deny 10 match ip address 100 ! route-map NO_NAT permit 100 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ~解説~ IPSec VPNの設定を行うときには、NATとの関連も注意する必要があります。 拠点内のホストは基本的に、プライベートアドレスでアドレッシングされてい ます。そのため、インターネットへ通信するときには、NATでプライベートア ドレスとグローバルアドレスの変換が必要です。 IPSec VPNで拠点間の通信を行うパケット、つまりIPSecで暗号化するパケット に対しては、NATの変換をしてはいけません。 http://www.n-study.com/network/image/IPSec02.html 図 IPSec VPNとNAT もし、IPSecで暗号化するパケットをNAT変換すると、次のような問題点が出て きます。 ・ルーティングできない ・IPSecで暗号化するべきパケットが暗号化されなくなる 拠点内はプライベートアドレスでアドレッシングされています。拠点間の通信 なのにNATでグローバルアドレス変換をしてしまうと、ルーティングがうまく できなくなる可能性があります。 また、IPSecで暗号化する対象のパケットをcrypto map内のアクセスリストで 指定します。拠点間の通信なのにNATでアドレス変換してしまうと、crypto map のアクセスリストに一致しなくなります。つまり、IPSecで暗号化するべきパ ケットなのに暗号化されずにそのままインターネットへ転送されることになり ます。 今回のトラブルについては、たとえ拠点間の通信のパケットをNAT変換してし まってもルーティングは大丈夫です。R1、R2ではデフォルトルートがあるから です。 ですが、crypto map内のアクセスリストに一致しなくなり、暗号化せずにイン ターネットへ転送されてしまいます。拠点間の通信のパケットは、送信先IPア ドレスとしてプライベートアドレスが指定されています。これをそのままイン ターネットに転送しても、当然、ISPでルーティングしません。 解決するためには、NATの設定を変更します。 R1、R2のNATの設定を振り返ります。すると、送信元IPアドレスがそれぞれの 拠点内のアドレスになっているパケットをすべてアドレス変換の対象としてい ます。 R1 NAT設定抜粋 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ip nat inside source list 1 interface FastEthernet0/0.101 overload ! access-list 1 permit 192.168.1.0 0.0.0.255 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ この設定を変更して、拠点間の通信はNATによるアドレス変換の対象から除外 します。このために、新しく拡張アクセスリストを作ってもいいのですが、 crypto map内でIPSec化対象パケットを指定する拡張アクセスリストがすでに あります。これを流用してルートマップを使って次のように設定できます。 R1 NAT設定の変更 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ no ip nat inside source list 1 interface FastEthernet0/0.101 overload ip nat inside source route-map NO_NAT interface FastEthernet0/0.101 overload ! access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ! route-map NO_NAT deny 10 match ip address 100 ! route-map NO_NAT permit 100 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ アクセスリスト100は、crypto mapで適用しているIPSec化対象パケットを指定 する拡張アクセスリストです。IPSecで暗号化するパケットはNATの変換対象か らはずすために、ルートマップ「NO_NAT」を作っています。 NO_NATのシーケンス10のmatch条件でアクセスリスト100を関連づけて、これを deny、つまりNATの変換対象からはずすようにしています。そして、シーケン ス100ではそれ以外のすべてのパケットをNATの変換対象にしています。 このルートマップ「NO_NAT」をip nat inside sourceコマンドで適用していま す。 R2でも、R1と同様に拠点間の通信、つまりIPSecで暗号化する対象パケットを NAT変換の対象からはずす設定を行います。 http://www.n-study.com/network/image/IPSec03.html 図 R1でのNAT設定変更のまとめ このようにNATの設定を変更すると、インターネットへの通信も拠点間の通信 もすべて問題なく行うことができます。 R1 インターネット、拠点間の通信の確認とIPSec SA ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R1#ping 150.1.1.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 150.1.1.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/25/64 ms R1#ping 192.168.2.2 source 192.168.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/28/72 ms R1#show crypto ipsec sa interface: FastEthernet0/0.101 Crypto map tag: IPSEC, local addr 100.1.1.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0) current_peer 100.2.2.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10 #pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 5, #recv errors 0 local crypto endpt.: 100.1.1.1, remote crypto endpt.: 100.2.2.2 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0.101 current outbound spi: 0x86F25C31(2264030257) inbound esp sas: spi: 0xAE57D550(2924991824) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2001, flow_id: SW:1, crypto map: IPSEC sa timing: remaining key lifetime (k/sec): (4553498/3580) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x86F25C31(2264030257) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2002, flow_id: SW:2, crypto map: IPSEC sa timing: remaining key lifetime (k/sec): (4553498/3579) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ └─────────────────────────ALL_@bout_Network─┘ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ たまにはシティーホテルでのんびり過ごしたいなぁって言う方は 一休ドットコムの高級ホテル・旅館の予約 ≪ http://www.n-study.com/ikkyu/ ≫ ホテル体験レポートもありますよ! ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ┌──ALL_@bout_Network────────────────────────┐ 「Geneが講師を担当するセミナー情報」 http://www.n-study.com/page/gene.html Geneが講師を担当するセミナー情報です。幅広い分野のネットワーク技術をわ かりやすく解説します。ご興味があるセミナーがあれば、ぜひご参加ください。 「Geneにネットワーク技術の講師をやってもらいたい!」という研修担当の方 は↓をご覧ください。 「Geneが御社のネットワーク技術研修の講師を承ります」 http://www.n-study.com/page/gene-instructor.html また、遠方にお住まいの方から「セミナーに参加できないのでテキストだけで も購入したい」というお問い合わせをちょくちょくいただくようになりました。 セミナー用のテキストの販売も開始しております。 <教材セットの内容> ・セミナーテキスト ・実機デモ資料 ・実機デモ動画解説 ・セミナー内容のマインドマップ ご注文についての詳細は下記リンクをご覧ください。 NE向けセミナー「OSPFの基礎をしっかり身に付ける!」教材セット http://www.n-study.com/library/2009/05/_011.html NE向けセミナー「OSPFの高度な機能をばっちり使えるようになる」教材セット http://www.n-study.com/library/2009/06/neospf.html ネットワークエンジニア向けセミナー「BGPの基本を学ぶ」教材セット http://www.n-study.com/library/2009/06/bgp.html ネットワークエンジニア向けセミナー「高度なBGPの設定」教材セット http://www.n-study.com/library/2009/06/bgp_1.html NE向けセミナー「IPマルチキャスト基礎」教材セット http://www.n-study.com/library/2009/06/neip.html ネットワークエンジニア向けセミナー「IPマルチキャスト応用」教材セット http://www.n-study.com/library/2009/06/ip.html NE向けセミナー「複数のルーティングプロトコルを使いこなす!」教材セット http://www.n-study.com/library/2009/07/ne.html NE向けセミナーIPv6ネットワーク構築のためのアドレッシング、 ルーティング、移行技術」教材セット http://www.n-study.com/library/2009/07/neipv6.html └─────────────────────────ALL_@bout_Network─┘ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【新バージョンのCCNAにいち早く対応! 日経BP刊】 Cisco CCNA ICND1テキスト 640-822[640-802含む]対応 www.amazon.co.jp/exec/obidos/ASIN/4822283410/networkstudy-22/ref=nosim/ Cisco CCNA ICND2テキスト 640-816[640-802含む]対応 www.amazon.co.jp/exec/obidos/ASIN/4822283429/networkstudy-22/ref=nosim/ 新バージョンに対応した書籍では、一番早いはずです。これは、単に試験に 合格するだけではなくて、自信を持って「ネットワーク技術の基本は完 璧です!!」と言っていただけるようにするためです。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 「ICND1/ICND2テキストに準拠したCCNA問題集」 日経BP社から出版されているICND1/ICND2テキストに対応したCCNA問題集です。 もちろん現行試験 640-802Jに対応しています。 豊富な問題数と詳細な解説で、試験合格のみならず、実務でCiscoデバイスを 扱うスキルアップを目指す方にぴったりです。 「ネットワーク技術をしっかり身に付けて CCNAに合格するための『CCNA問題集』 640-802J対応!」 http://www.n-study.com/library/2007/03/ccnaccna.html ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ┌──ALL_@bout_Network────────────────────────┐ 「終わりに」 「シューマッハの復帰決定!」 http://ja.espnf1.com/mercedes/motorsport/story/5611.html メルセデスGPは来るシーズンのレースドライバーとして、ミハエル・シューマ ッハと契約したことを発表した。今回の契約期間は1年、700万ユーロ(約9億1,600万円) と見られている。 ミハエル・シューマッハがF1復帰!ホンダ・トヨタ・BMWと大手自動車メーカー が撤退していって、停滞ムードが漂うF1にはすごくいいニュースです。でも、 フェラーリで復帰するんじゃないんですねぇ・・・ 2000年代前半のフェラーリ黄金時代を築いたシューマッハとブラウンのコンビ がフェラーリのライバルになってしまうのかぁ・・・さすがに3年のブランク があるし、メルセデスGP(旧ブラウン、旧ホンダ)のマシンには今年の開幕時ほ どのアドバンテージは見込めないだろうから、シューマッハといえども苦戦す ると思います。 ライコネンがF1を離れてしまったのは残念ですが、かなりドライバーが変化し た来年のF1は、若手・中堅・ベテランのスタードライバーがそろって面白くな りそうです。 └─────────────────────────ALL_@bout_Network─┘ ★ご購読ありがとうございました★ ┌──ALL_@bout_Network────────────────────────┐ | | |WRITTEN BY:Engineer Support info@n-study.com | |WEB PAGE :http://www.n-study.com/ | | | | Copyright(C) 2008 Engineer Support All Rights Reserved | | | |このメールマガジンは以下のシステムを利用して発行しています。解除、メ | |ールアドレス変更は以下のリンクからご自分で行ってください。代行は行い | |ません。 | |なお、このメールマガジンの内容について、いかなる損害が生じても補償を | |することはできません。記載されている情報は、読者の方々の各自のご判断 | |でご利用ください。 | | | |◆めろんぱん http://www.melonpan.net/ | | http://www.melonpan.net/melonpa/mag-detail.php3?mag_id=000105 | |◆インターネットの本屋さん『まぐまぐ』 http://www.mag2.com/ | | http://www.mag2.com/m/0000046467.htm | |◆総合メールマガジンポータルサイト melma! http://www.melma.com | | http://www.melma.com/mag/01/m00017301/ | |◆カプライト | | http://cgi.kapu.biglobe.ne.jp/m/1676.html | |◆E-Magazine | | http://www.emaga.com/info/gene.html | | | └─────────────────────────ALL_@bout_Network─┘
