IPsec(サイト間トンネル)機能を用いた接続

動作確認バージョン:Brocade 5600vRouter Version4.2R1S1
Brocade 5600vRouter では、IPsecがサポートされています。IPsecを利用してサイト間接続用トンネルの設定を紹介します。
IPsecのトンネルを構築することで、互いのサイト内ネットワークをIPsecトンネルを経由して接続し通信をすることが可能になります。

注釈

IPsecの宛先にVRRPの仮想IPアドレスを指定できません。IPsecでの冗長設定に関しては、動作確認済み構成例のモデル をご参照ください。

IPsec(site-to-siteモード)接続

サンプル設定のシナリオ

  • ファイアウォール間をVPN接続(トンネル接続)させ各ファイアウォール配下のサーバ間で通信が可能にしたい
  • VPN接続の方式は、IPsec機能(site-to-site)を利用したい
  • IPsecの認証パラメータは、以下の表に基づいて設定したい
構成図
IPsec_fig1

IPsecパラメータ情報

ファイアウォールでIPsecネゴシエーションや暗号化に必要になるパラメータは以下のとおり設定していきます。
  • 認証情報
パラメータ
Key management protocol IKEv1(ISAKMP + Oakley)
Phase1  
Authentication Method pre-shared key
pre-shared key password test_key_1
DH group 2
Hash Algorithm SHA1
ISAKMP SA life time 28800 seconds
key exchange mode Main mode
Phase2  
IPsec SA life time 3600 seconds
Security protocol ESP
Authentication Algorithm HMAC-SHA1
Perfect Forward Secrecy Enable
Capsuling mode Tunnel
key exchange mode Quick mode

注釈

IPsec設定前に、2台のファイアウォール間の通信は確立できているものとします。

シナリオにおける設定の流れ

  • ファイアウォール1号機側設定
1.インタフェースにvti0というトンネルのインタフェースを作成
2.vti0のインタフェースは、10.1.1.2/30を設定
3.ESPの設定は、ESP-1W を設定パラメータにしたがって設定
4.IKEの設定は、IKE-1W を設定パラメータにしたがって設定
5.IPsecのモードをsite-to-siteに設定
6.IPsec接続する対向のファイアウォールのアドレスに、153.xxx.xxx.182を設定
7.設定した対向アドレスに、IKE-1W/ESP-1W/vti0インタフェースを設定
8.対向ファイアウォール配下のネットワーク(192.168.3.128/28)はトンネル経由の通信になるようにスタティックルート設定
  • ファイアウォール2号機側設定
1.インタフェースにvti0というトンネルのインタフェースを作成
2.vti0のインタフェースは、10.1.1.1/30を設定
3.ESPの設定は、ESP-1W を設定パラメータにしたがって設定
4.IKEの設定は、IKE-1W を設定パラメータにしたがって設定
5.IPsecのモードをsite-to-siteに設定
6.IPsecが接続する対向のファイアウォールのアドレスに、153.xxx.xxx.227を設定
7.設定した対向アドレスに、IKE-1W/ESP-1W/vti0インタフェースを設定
8.対向ファイアウォール配下のネットワーク(192.168.1.0/28)はトンネル経由の通信になるようにスタティックルート設定

CLIにて入力するコマンド

  • ファイアウォール1号機 IPsec(site-to-site)設定
set interfaces vti vti0 address '10.1.1.2/30'
set security vpn ipsec esp-group ESP-1W lifetime '3600'
set security vpn ipsec esp-group ESP-1W proposal 1 encryption 'aes256'
set security vpn ipsec esp-group ESP-1W proposal 1 hash 'sha1'
set security vpn ipsec ike-group IKE-1W lifetime '28800'
set security vpn ipsec ike-group IKE-1W proposal 1 dh-group '2'
set security vpn ipsec ike-group IKE-1W proposal 1 encryption 'aes256'
set security vpn ipsec ike-group IKE-1W proposal 1 hash 'sha1'
set security vpn ipsec site-to-site peer 153.xxx.xx.182 authentication pre-shared-secret 'test_key_1'
set security vpn ipsec site-to-site peer 153.xxx.xx.182 ike-group 'IKE-1W'
set security vpn ipsec site-to-site peer 153.xxx.xx.182 local-address '153.xxx.xxx.227'
set security vpn ipsec site-to-site peer 153.xxx.xx.182 vti bind 'vti0'
set security vpn ipsec site-to-site peer 153.xxx.xx.182 vti esp-group 'ESP-1W'
set protocols static interface-route 192.168.3.128/28 next-hop-interface 'vti0'
  • ファイアウォール2号機 IPsec(site-to-site)設定
set interfaces vti vti0 address '10.1.1.1/30'
set security vpn ipsec esp-group ESP-1W lifetime '3600'
set security vpn ipsec esp-group ESP-1W proposal 1 encryption 'aes256'
set security vpn ipsec esp-group ESP-1W proposal 1 hash 'sha1'
set security vpn ipsec ike-group IKE-1W lifetime '28800'
set security vpn ipsec ike-group IKE-1W proposal 1 dh-group '2'
set security vpn ipsec ike-group IKE-1W proposal 1 encryption 'aes256'
set security vpn ipsec ike-group IKE-1W proposal 1 hash 'sha1'
set security vpn ipsec site-to-site peer 153.xxx.xxx.227 authentication pre-shared-secret 'test_key_1'
set security vpn ipsec site-to-site peer 153.xxx.xxx.227 ike-group 'IKE-1W'
set security vpn ipsec site-to-site peer 153.xxx.xxx.227 local-address '153.xxx.xx.182'
set security vpn ipsec site-to-site peer 153.xxx.xxx.227 vti bind 'vti0'
set security vpn ipsec site-to-site peer 153.xxx.xxx.227 vti esp-group 'ESP-1W'
set protocols static interface-route 192.168.1.0/28 next-hop-interface 'vti0'
正しく設定が完了したときのコンフィグレーションは次のとおりです。
  • ファイアウォール1号機コンフィグ
interfaces {
        vti vti0 {
                address 10.1.1.2/30
        }
}
security {
  vpn {
          ipsec {
                  esp-group ESP-1W {
                          lifetime 3600
                          proposal 1 {
                                  encryption aes256
                                  hash sha1
                          }
                  }
                  ike-group IKE-1W {
                          lifetime 28800
                          proposal 1 {
                                  dh-group 2
                                  encryption aes256
                                  hash sha1
                          }
                  }
                  site-to-site {
                          peer 153.xxx.xx.182 {
                                  authentication {
                                          pre-shared-secret test_key_1
                                  }
                                  ike-group IKE-1W
                                  local-address 153.xxx.xxx.227
                                  vti {
                                          bind vti0
                                          esp-group ESP-1W
                                  }
                          }
                  }
          }
  }
}
protocols {
        static {
                interface-route 192.168.3.128/28 {
    next-hop-interface vti0 {
                      }
          }
  }
}
  • ファイアウォール2号機コンフィグ
interfaces {
        vti vti0 {
                address 10.1.1.1/30
        }
}
security{
  vpn {
          ipsec {
                  esp-group ESP-1W {
                          lifetime 3600
                          proposal 1 {
                                  encryption aes256
                                  hash sha1
                          }
                  }
                  ike-group IKE-1W {
                          lifetime 28800
                          proposal 1 {
                                  dh-group 2
                                  encryption aes256
                                  hash sha1
                          }
                  }
                  site-to-site {
                          peer 153.xxx.xxx.227 {
                                  authentication {
                                          pre-shared-secret test_key_1
                                  }
                                  ike-group IKE-1W
                                  local-address 153.xxx.xx.182
                                  vti {
                                          bind vti0
                                          esp-group ESP-1W
                                  }
                          }
                  }
          }
  }
}
protocols {
        static {
                interface-route 192.168.1.0/28 {
                     next-hop-interface vti0 {
                }
        }
}

動作確認結果

互いのファイアウォールにて、IPsecトンネルが確立しており、配下の端末間での通信も可能であることを確認しましたのでサイト間のIPsec設定が正しく動作していることを確認できました。
  • ファイアウォール1号機と2号機で互いにIPsecトンネルが確立できていることが確認できました。
 # ファイアウォール1号機側でのトンネル状態確認 → OK

user-admin@FW01:~$ show vpn ipsec sa
Peer ID / IP                            Local ID / IP
------------                            -------------
153.xx.xxx.182                          153.xx.xx.227

    Tunnel  State  Bytes Out/In     Encrypt       Hash    A-Time  L-Time  Proto
    ------  -----  -------------  ------------  --------  ------  ------  -----
    vti     up     0.0/0.0        aes256        sha1      1698    3600    all

 # ファイアウォール2号機側でのトンネル状態確認 → OK

user-admin@FW02:~$ show vpn ipsec sa
Peer ID / IP                            Local ID / IP
------------                            -------------
153.xx.xx.227                         153.xx.xx.182

    Tunnel  State  Bytes Out/In     Encrypt       Hash    A-Time  L-Time  Proto
    ------  -----  -------------  ------------  --------  ------  ------  -----
    vti     up     0.0/0.0        aes256        sha1      1364    3600    all
  • ファイアウォール1号機と2号機でIPsec用のvtiインタフェースが正常にUPしていることをが確認できました。
 # ファイアウォール1号機側でのvti0インタフェース状態 → OK

user-admin@FW01:~$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface        IP Address                        S/L  Description
---------        ----------                        ---  -----------
dp0s6            153.xxx.xxx.227/29                u/u
dp0s7            192.168.1.12/28                   u/u
vti0             10.1.1.2/30                       u/u

 # ファイアウォール2号機側でのvti0インタフェース状態 → OK


user-admin@FW02:~$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface        IP Address                        S/L  Description
---------        ----------                        ---  -----------
dp0s8            153.xx.xxx.182/28                 u/u
dp0s11           192.168.3.140/28                  u/u
vti0             10.1.1.1/30                       u/u
  • 仮想サーバ(192.168.1.3)から対向の仮想サーバに対しての通信確認を実行しました。
# Pingを用いた通信確認 → OK

 [test-user@cent001 ~]$ ping 192.168.3.130
 PING 192.168.3.130 (192.168.3.130) 56(84) bytes of data.
 64 bytes from 192.168.3.130: icmp_seq=1 ttl=62 time=195 ms
 64 bytes from 192.168.3.130: icmp_seq=2 ttl=62 time=193 ms
 64 bytes from 192.168.3.130: icmp_seq=3 ttl=62 time=193 ms
 64 bytes from 192.168.3.130: icmp_seq=4 ttl=62 time=193 ms
 64 bytes from 192.168.3.130: icmp_seq=5 ttl=62 time=193 ms
 ^C
 --- 192.168.3.130 ping statistics ---
 5 packets transmitted, 5 received, 0% packet loss, time 4004ms
 rtt min/avg/max/mdev = 193.078/193.838/195.951/1.074 ms
 [test-user@cent001 ~]$


# FTPを用いた通信確認 → OK

 [test-user@cent001 tmp]$ ftp 192.168.3.130
 Connected to 192.168.3.130 (192.168.3.130).
 220 (vsFTPd 3.0.2)
 Name (192.168.3.130:test-user):
 331 Please specify the password.
 Password:
 230 Login successful.
 Remote system type is UNIX.
 Using binary mode to transfer files.
 ftp>
 ftp>
 ftp> dir
 227 Entering Passive Mode (192,168,3,130,118,221).
 150 Here comes the directory listing.
 226 Directory send OK.
 ftp>
 ftp> put test_file
 local: test_file remote: test_file
 227 Entering Passive Mode (192,168,3,130,118,35).
 150 Ok to send data.
 226 Transfer complete.
 ftp>
 ftp> dir
 227 Entering Passive Mode (192,168,3,130,118,209).
 150 Here comes the directory listing.
 -rw-r--r--    1 1000     1000            0 Mar 23 18:12 test_file
 226 Directory send OK.
 ftp>
 ftp> bye
 221 Goodbye.