2012年4月7日土曜日

貴公子 VS Cisco2921 for IPSec

かなり経験のあるネットワークエンジニアにとっても、IPSec設定は、頭の痛い問題でしょうね。
貴公子自身も、以前、Netscreenを使用した、LAN to LANのIPSec接続で、2週間位、死にそうになった事があり(笑)、苦手意識がありました。

今回、緊急でCisco Routerで、IPSEC環境を構築する事になったのですが、辛かったですねえ。
(まだ、仕掛中だけど。)
設定機種は、Cisco2921。

まず、IOSのバージョンを間違えて購入したところが、事の発端。
Cisco2921のIPベースと言うライセンスでは、IPSecは、サポートできないとの事。
ベンダーに問い合わせたら、納期は2週間と言われたので、ますます焦った!

しかし、散々、調べたところ、IPベースのIOSには、Security9K Evaluationライセンスが、DefaultでBundleされているとの事だったので、この60日ライセンスをActivationして、急場は凌げました。
(助かった!!)

Activation方法は、ここ。
http://www.cisco.com/en/US/docs/routers/access/sw_activation/SA_on_ISR.html#wp1155619


この問題が一番大きかったですねえ。
ただ、それ以外にも、Ciscoコマンドを使い慣れている訳ではないので、ネットでイチイチ調べながら、何とかやるのがしんどかったなあ。(まだ、仕掛中だけど。)

因みに、IPSEC設定は基本的に難しいので、復習がてら、下記の記事を読む事から開始しました。

IPSecの基本を説いたサイト。

http://www.atmarkit.co.jp/fpc/kaisetsu/ipsec/ipsec02.html

http://www.infraexpert.com/study/ipsec24.html

Ciscoコマンド全体に関するサイト。(Cisco製品の設定では、いつも重宝しております。)
http://atnetwork.info/ccna2/nat5.html

NAT設定を、IPSecルータ上で掛けてはいけないと言う根拠。
http://www.infraexpert.com/study/ipsec14.html
>NAT/NAPTデバイスを経由した通常のIPsecの通信はAH, ESP, IKE のどれにおいても問題
>が発生します。


IPSec接続だけではなく、Internet接続もしたい場合の設定方法。
http://www.infraexpert.com/study/ipsec13.html
>先ほど紹介したIPsec-VPNのコンフィグの場合、拠点間のWAN接続は可能となりますが、拠点か>らのインターネット接続は出来ません。

本日は、土曜日に出勤して、6時間集中して、何とか見えてきました。(まだ、終わってないけど。)
残りは、月曜日ですね。
やっと週末を迎えられます!

0 件のコメント:

コメントを投稿