RTシリーズのIPsec&IKE&VPN&...に関するFAQ

どんなVPN/トンネル(鋼鉄のパイプ)が作れますか?

最終変更日 2018/Nov/06
文書サイズ 5.5KB

どんなVPN/トンネル(鋼鉄のパイプ)が作れますか?

典型的なパターンは、以下の4つのパターンになります。

そして、これらのトンネルパターンと認証/暗号アルゴリズムを組み合せることができます。

[ 典型的なパターン (セキュリティが低い順…処理の軽い順) ]

  1. SGWを認証するトンネル
    トンネルモード(AH:認証)

    IPsecのトンネルモード(AH:認証)を使用する。
    OCN+VPN →2拠点のグローバル機器間の通信をVPN接続#1

    configパターン例 

    ipsec sa policy 101 "SGWアドレス" ah md5-hmac
tunnel select 1
ipsec tunnel 101
tunnel enable 1

  2. 暗号トンネル
    トンネルモード(ESP:暗号)

    IPsecのトンネルモード(ESP)を使用する。
    OCN+VPN →2拠点のグローバル機器間の通信をVPN接続#2

    configパターン例 

    ipsec sa policy 101 "SGWアドレス" esp des-cbc
tunnel select 1
ipsec tunnel 101
tunnel enable 1

  3. 認証+暗号トンネル
    トンネルモード(ESP:暗号+認証)

    IPsecのトンネルモード(ESP)を使用する。
    OCN+VPN →2拠点のグローバル機器間の通信をVPN接続#3
    …この認証は中身の正しさの認証で、SGWは認証していません。

    configパターン例 

    ipsec sa policy 101 "SGWアドレス" esp des-cbc md5-hmac
tunnel select 1
ipsec tunnel 101
tunnel enable 1

  4. SGWを認証する暗号トンネル
    トンネルモード(ESP:暗号)→トランスポートモード(AH:認証)

    IPsecのトンネルモード(ESP)とトランスポートモード(AH)の併用
    OCN+VPN →2拠点のグローバル機器間の通信をVPN接続#4

    configパターン例 

    ipsec sa policy 101 "SGWアドレス" esp des-cbc
ipsec sa policy 102 "SGWアドレス" ah md5-hmac
ipsec transport 1 102 esp * * 
tunnel select 1
ipsec tunnel 101
tunnel enable 1

[ 可能性を追及するならば.... ]

[ FAQ for RT-Series ]
[ FAQ for IPsec / files / IPsec&IKE / Internet+VPN / TCP/IP ]