YAMAHAルータとciscoルータのIPSec接続

スポンサーリンク

※2017/12/07 カテゴリーにciscoを追加

はじめに

あんまり見かけなかったので。・・・あんまりやらないとは思いますが。

YAMAHAルータとciscoルータでのIPSecです。ネット上に思ったほど例を見なかったので載せてみました。

だけどpingが飛ぶところまでしか確認しておらず、
商用環境で実際に使ったことはありませんのであしからず。

検証用です!

このページは特に参考程度にとどめてください。というか同じベンダーで揃えましょう。

そのほうが夜ぐっすり寝れます。

参考サイト様

YAMAHA側はこちらを参照。パラメータ表はこのページの表を参考にさせていただきました。

cisco側はこちらを参照。

他ベンダー間のIPSecとしてこちらのサイト様も参考にさせていただきました。

構成図

パラメータ表

フェーズ1

パラメータyamahaAyamahaA_commandciscoBciscoB_command備考
認証方式pre-shared-keyipsec ike pre-shared-key 1 text yamahapre-shared-keyauthentication pre-share
暗号アルゴリズム3des-cbcipsec ike encryption 1 3des-cbc3desencr 3des
ハッシュアルゴリズムshaipsec ike hash 1 shashahash sha ※デフォルトなので消える
DH(Diffie-Hellman)グループmodp1024ipsec ike group 1 modp10242group 2※modp1024=group 2
ISAKMP SAの寿命28800ipsec ike duration isakmp-sa 1 2880028800lifetime 28800
交換モード(exchange mode)main-mainmainかaggressiveかYAMAHAは自動で切り替えてる?
IDの種類ipsec ike local id
ipsec ike local id 1 1.1.1.0/24
※この設定がないとうまく行かず。ciscoのACLと対応しているのか?
IDの種類ipsec ike remote idipsec ike remote id 1 2.2.2.0/24※この設定がないとうまく行かず。ciscoのACLと対応しているのか?

フェーズ2

パラメータyamahaAyamahaA_commandciscoBciscoB_command備考
セキュリティプロトコルespipsec sa policy 101 1 esp 3des-cbc sha-hmacespcrypto ipsec transform-set IPSEC esp-3des esp-sha-hmac
暗号アルゴリズム3des-cbcipsec sa policy 101 1 esp 3des-cbc sha-hmacesp-3descrypto ipsec transform-set IPSEC esp-3des esp-sha-hmac
認証アルゴリズムsha-hmacipsec sa policy 101 1 esp 3des-cbc sha-hmacesp-sha-hmaccrypto ipsec transform-set IPSEC esp-3des esp-sha-hmac
通信モードtunnelipsec tunnel 101tunnelmode tunnel
IPsec SAの寿命3600
※初期値は28800
ipsec ike duration ipsec-sa 36003600
※初期値は3600
crypto ipsec security-association lifetime secondcisco側はデフォルト値のようで設定すると消える

yamahaA (yamaha)

RTX1210 Rev.14.01.09

yamahaA config

yamahaA status

ciscoB (cisco)

CISCO892-K9
Cisco IOS Software, C890 Software (C890-UNIVERSALK9-M), Version 15.3(3)M2
c890-universalk9-mz.153-3.M2.bin

ciscoB config

ciscoB status

エージング試験

12時間くらい1.1.1.1→2.2.2.2と2.2.2.2→1.1.1.1へお互いpingを打ち続けたところ、

それぞれ1秒のtimeoutが合計3、4発くらい発生していた。

この辺が許容できるならいいけど、許されないなら同じベンダーにしたほうがいい。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする