Cisco4_VPN

【 Cisco】#4 初心者ネットワーク勉強会＠秋葉原UDX アジェンダ 今日、出来るようになる事 1100～1110 今日出来るようになる事、自己紹介 CiscoルータでVPN接続してみた 1110～1120 まずは物理結線とスタティックルート こんな要件 1120～1130 Wire Shark で通信確認 ・新しく支店（グループ会社）を作成する 1130～1135 【5分講義】VPNとは 1135～1205 VPN設定の投入 1205～1230 wiresharkで暗号化されたことを確認 ・支店は30名程度のユーザがいる。 ・ユーザPCに新しいソフトウェアをインストールしたくない。 ・専用線はコスト高いので、インターネットを利用する ・通信を途中で盗聴されても、中身が判らないようにしたい 参加いただきありがとうございます！！！ 鈴木メモ 持ち物：PC×4、Router×4 LAN線×１０、シリアルケーブル×４、 Switch×１ 講師メモ： ・既存のデータセンターにてCiscoを利用している 以下は対象外です ・SSL-VPNのAnyConnect ・Ciscoでのスタティックルート → Ciscoラボ１へ 無断複製・転載は著作権法第21条の侵害になります。ご遠慮ください ペア演習なのでIPアドレスやVLAN番号は全て資料通りでOKです FOR SE 1

【 Cisco-Cisco 】支店間VPN システム構成図 上海海外現地法人 .10 192.168.10.0/24 データセンター #Gi7 .1 #Gi8 #Gi8 .1 .2 #Gi0/1 #Gi8 #Gi7 .2 .2 #Gi0/2 RT10 RT20 .10 192.168.11.0/24 #Gi0/8 172.16.10.0/30 【5分講義】 用語 インターネットVPN VPN（Vitual Private Network） 専用線、広域イーサネット→高い。 インターネット→安い。けど知らない人に見られちゃう。 IPsec SecurityArchitecture for Internet Protocol 通信相手を認証して、通信を暗号化して、のぞき見防止で安全に。 IKE Internet Key Exchange 鍵交換プロトコル。フェーズ１とフェーズ２に分かれて2段階 ISAKMP SA IPsec SA FOR SE 意味 ネットワーク用語の最後の「P」はProtocol、InternetSecurityAssociation and KeyManagementProtocol で合意された。SecurityAssociation ikeフェーズ１で作成する。通信監理、制御用 ikeフェーズ2で作成する。通信用のSA、送信用と受信用は別のSA 2

【Cisco】PCの設定 まずはPC 電源を投入して下さい IPアドレスを変更する。 「スタートメニュー」→「設定」(歯車マーク)→「ネットワークとインターネット」→ 「イーサネット」→「アダプターのオプションを変更する」→「イーサネット」→ 「インターネット プロトコル バージョン 4 (TCP/IPv4)」→「プロパティ」→ 「次の IPアドレスを使う」→「IPアドレス」を「192.168.10.x」に設定 「サブネットマスク」を「255.255.255.0」に設定 「デフォルトゲートウェイ」を「192.168.10.1」に設定 電源入った事をLED（ランプ）で確認してください ① PCから「tera term」を起動 奇数の方 IPアドレス→192.168.10.10 サブネットマスク→255.255.255.0 デフォルトゲートウェイ192.168.10.1 ② 「シリアル」を選択 ③ Portから、USBを選択 偶数の方 IPアドレス→192.168.11.10 サブネットマスク→255.255.255.0 デフォルトゲートウェイ192.168.11.2 FOR SE 3

【Cisco】初期設定 ルータ の設定１(ここだけ共通、以降分岐します） 手順１ 手順５ ルータは起動に時間がかかります セットアップモードが起動したら、noと入力、もしくはcttl+c ホスト名を設定します。設定後プロンプトがホスト名に変更された事を確認します。ホ スト名は講師が指示します --- System Configuration Dialog --Would you like to enter the initial configuration dialog? [yes/no]:no Router（config）#hostname RT-10（RT-20, RT-30…） RT-10（config）# 手順２ 手順６ メッセージが表示され、Enterキーを押します。Router>のプロンプトが表示されます 特権モードに戻ります。 Press RETURN to get started! Router> 手順３ 特権モードに移行します。Router#のプロンプトが表示されます Router>enable Router# 手順４ グローバルコンフィグレーションモードに移行します。Router(config)#が表示されま す Router#configure terminal Router(config)# FOR SE RT-10（config）#end RT-10# 手順７ タイプミス対策をします。 RT-10 #configure terminal RT-10(config)#no ip domain lookup RT-10(config)#end 手順８ 改行メッセージ対策します RT-10 #configure terminal RT-10(config)#line console 0 RT-10(config-line)#logging synchronous RT-10(config-line)#end 4

【Cisco】PC接続用VLAN作成、仮想インターフェース ルータ (奇数) の設定2 手順９ PC接続用のポート、VLANの作成、仮想インターフェースの作成 RT-10# configure terminal RT-10(config)#vlan 10←スペースあり（VLAN作成） RT-10(config-vlan)#exit RT-10(config)#interface vlan10 ←スペースなし（仮想インターフェース作成） RT-10(config-if)#ip address 192.168.10.1 255.255.255.0 RT-10(config-if)#no shutdown RT-10(config-if)#end RT-10# 手順1１ 検証します RT-10#show vlan-switch VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Gi0, Gi1, Gi2, Gi3, Gi4, Gi5 Gi6 10 VLAN0010 active Gi7 手順1２ PCとルーターのgi7を結線して検証します コマンドプロンプトでping 192.168.10.1 手順10 7番物理ポートにVLANをアサインします RT-10#configure terminal RT-10(config)#interface gigabitEthernet 7 RT-10(config-if)#switchport access vlan 10 ←スペースあり RT-10(config-if)#end RT-10# FOR SE 5

【Cisco】IPアドレス作成 ルータ (奇数) の設定3 ここの部分 手順１３ IPアドレスを設定して RT-10#configure terminal RT-10(config)#interface gigabitEthernet 8 RT-10(config-if)#ip address 172.16.10.1 255.255.255.252 RT-10(config-if)#no shutdown RT-10(config-if)#end RT-10# 手順１３．５ 手順1４ 検証します RT-10#show ip interface brief Interface IP-Address OK? Method Status Protocol Async3 unassigned YES unset down down BRI0 unassigned YES unset administratively down down BRI0:1 unassigned YES unset administratively down down BRI0:2 unassigned YES unset administratively down down FastEthernet0 unassigned YES manual down down GigabitEthernet0 unassigned YES unset down down GigabitEthernet1 unassigned YES unset down down GigabitEthernet2 unassigned YES unset down down GigabitEthernet3 unassigned YES unset down down GigabitEthernet4 unassigned YES unset down down GigabitEthernet5 unassigned YES unset down down GigabitEthernet6 unassigned YES unset down down GigabitEthernet7 unassigned YES unset up up GigabitEthernet8 172.16.10.1 YES manual up up Vlan1 unassigned YES unset down down Vlan10 192.168.10.1 YES manual up up RT-10# RT-10#show interfaces vlan10 | include Internet Internet address is 192.168.10.1/24 RT-10# RT-10#show interfaces gigabitEthernet8 | include Internet Internet address is 172.16.10.1/30 RT-10# p3の構成図をもとに結線をします FOR SE 6

【Cisco】スタティックルート作成 ルータ (奇数) の設定4 手順１５ スタティックルートを設定します RT-10#configure terminal Enter configuration commands, one per line. End with CNTL/Z. RT-10(config)#ip route 192.168.11.0 255.255.255.0 172.16.10.2 RT-10(config)#end 手順１６ スタティックルートを検証します RT-10#show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP a - application route + - replicated route, % - next hop overrideGateway of last resort is not set 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks C 172.16.10.0/30 is directly connected, GigabitEthernet8 L 172.16.10.1/32 is directly connected, GigabitEthernet8 192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.10.0/24 is directly connected, Vlan10 L 192.168.10.1/32 is directly connected, Vlan10 S 192.168.11.0/24 [1/0] via 172.16.10.2 FOR SE 7

【Cisco】PC接続用VLAN作成、仮想インターフェース ルータ (偶数) の設定2 手順９ PC接続用のポート、VLANの作成、仮想インターフェースの作成 RT-20#configure terminal RT-20(config)#vlan 10←スペースあり（VLAN作成） RT-20(config-vlan)#exit RT-20(config)#interface vlan10 ←スペースなし（仮想インターフェース作成） RT-20(config-if)#ip address 192.168.11.2 255.255.255.0 RT-20(config-if)#no shutdown RT-20(config-if)#end RT-20# 手順1１ 検証します RT-20#show vlan-switch VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Gi0, Gi1, Gi2, Gi3, Gi4, Gi5 Gi6 10 VLAN0010 active Gi7 手順1２ PCとルーターのgi7を結線して検証します コマンドプロンプトでping 192.168.11.2 手順10 7番物理ポートにVLANをアサインします RT-20#configure terminal RT-20(config)#interface gigabitEthernet 7 RT-20(config-if)#switchport access vlan 10 ←スペースあり RT-20(config-if)#end RT-20# FOR SE 8

【Cisco】IPアドレス作成 ルータ (偶数) の設定3 ここの部分 手順１３ IPアドレスを設定します RT-20#configure terminal RT-20(config)#interface gigabitEthernet 8 RT-20(config-if)#ip address 172.16.10.2 255.255.255.252 RT-20(config-if)#no shutdown RT-20(config-if)#end RT-20# 手順１３．５ 手順1４ 検証します RT-20#show ip interface brief Interface IP-Address OK? Method Status Protocol Async3 unassigned YES unset down down BRI0 unassigned YES unset administratively down down BRI0:1 unassigned YES unset administratively down down BRI0:2 unassigned YES unset administratively down down FastEthernet0 unassigned YES manual down down GigabitEthernet0 unassigned YES unset down down GigabitEthernet1 unassigned YES unset down down GigabitEthernet2 unassigned YES unset down down GigabitEthernet3 unassigned YES unset down down GigabitEthernet4 unassigned YES unset down down GigabitEthernet5 unassigned YES unset down down GigabitEthernet6 unassigned YES unset down down GigabitEthernet7 unassigned YES unset up up GigabitEthernet8 172.16.10.2 YES manual up up Vlan1 unassigned YES unset down down Vlan10 192.168.11.2 YES manual up up RT-20# RT-20#show interfaces vlan10 | include Internet Internet address is 192.168.11.2/24 RT-20# RT-20#show interfaces gigabitEthernet8 | include Internet Internet address is 172.16.10.2/30 RT-10# p3の構成図をもとに結線します FOR SE 9

【Cisco】スタティックルート作成 ルータ (偶数) の設定4 手順１５ 手順１６ スタティックルートを設定します スタティックルートを検証します RT-20#configure terminal Enter configuration commands, one per line. End with CNTL/Z. RT-20(config)#ip route 192.168.10.0 255.255.255.0 172.16.10.1 RT-20(config)#end RT-20#show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP a - application route + - replicated route, % - next hop overrideGateway of last resort is not set 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks C 172.16.10.0/30 is directly connected, GigabitEthernet8 L 172.16.10.2/32 is directly connected, GigabitEthernet8 192.168.11.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.11.0/24 is directly connected, Vlan10 L 192.168.11.2/32 is directly connected, Vlan10 S 192.168.10.0/24 [1/0] via 172.16.10.1 FOR SE 10

【Cisco】ミラーポートを作成してキャプチャする 支店PCからデータセンターPCへ ping PC-PC間の通信を見るため、gi0/1のトラフィックをgi0/8にミラーします。 #Gi8 RT10 #Gi0/1 #Gi0/2 #Gi8 #Gi0/8 RT20 172.16.10.0/30 内容が判ります 早めに設定を入れ終わった方がスイッチに上記の設定を投入して下さい Switch(config)#monitor session 1 source interface GigabitEthernet 0/1 Switch(config)#monitor session 1 destination interface GigabitEthernet 0/8 設定が終わったペアは→のpingとWireSharkでの確認をしてください FOR SE 11

【Cisco】VPN接続前の確認 Ciscoルータ (奇数) の設定1 tracert 192.168.11.10(コマンドプロンプト) 手順１ isakmpの設定をする RT-10#configure terminal RT-10(config)#crypto isakmp policy 1 RT-10(config-isakmp)#authentication pre-share RT-10(config-isakmp)#encryption 3des ←暗号の可能方式 RT-10(config-isakmp)#group 1 ←DHグループ番号 RT-10(config-isakmp)#hash sha ←認証の方式 RT-10(config-isakmp)#lifetime 86400 RT-10(config-isakmp)#exit 手順２ 対向のアドレスとパスワードを設定する RT-10(config)# RT-10(config)#crypto isakmp key akbpassword address 172.16.10.2 手順３ トランスフォームセットの名前定義 RT-10(config)#crypto ipsec transform-set TF-SET esp-3des esp-sha-hmac RT-10(cfg-crypto-trans)#mode tunnel RT-10(cfg-crypto-trans)#exit 手順４ アクセスリストの作成 RT-10(config)#ip access-list extended acl-ipsec RT-10(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255 RT-10(config-ext-nacl)#exit FOR SE 12

【Cisco】VPN設定する Ciscoルータ (奇数) の設定2 手順5 IPSecのポリシー定義 RT-10(config)#crypto map CP-MAP 1 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. RT-10(config-crypto-map)#match address acl-ipsec ←アクセスリストを適用 RT-10(config-crypto-map)#set peer 172.16.10.2 RT-10(config-crypto-map)#set transform-set TF-SET RT-10(config-crypto-map)#set security-association lifetime seconds 3600 RT-10(config-crypto-map)#exit RT-10(config)# 手順6 インターフェースへの適用 RT-10(config)#interface gigabitEthernet 8 RT-10(config-if)#crypto map CP-MAP RT-10(config-if)# *Aug 12 10:40:46.788: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON RT-10(config-if)#end 手順7 投入設定の確認 RT-10#sh run | section isakmp crypto isakmp policy 1 encr 3des authentication pre-share crypto isakmp key akbpassword address 172.16.10.2 crypto map CP-MAP 1 ipsec-isakmp set peer 172.16.10.2 set transform-set TF-SET match address acl-ipsec RT-10#sh run | section ip access-list ip access-list extended acl-ipsec permit ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255 RT-10#sh run | section interface GigabitEthernet8 interface GigabitEthernet8 ip address 172.16.10.1 255.255.255.252 duplex auto speed auto crypto map CP-MAP 手順８ 状態確認 RT-10#show crypt session Crypto session current status Interface: GigabitEthernet8 Session status: DOWN Peer: 172.16.10.2 port 500 IPSEC FLOW: permit ip 192.168.10.0/255.255.255.0 192.168.11.0/255.255.255.0 Active SAs: 0, origin: crypto map FOR SE 13

【Cisco】検証する Ciscoルータ (奇数) の設定3 手順９ 192.168.11.10にping、検証する RT-10#show crypto session Crypto session current status Interface: GigabitEthernet8 Session status: UP-ACTIVE ←疎通前はIDLE Peer: 172.16.10.2 port 500 Session ID: 0 IKEv1 SA: local 172.16.10.1/500 remote 172.16.10.2/500 Active IPSEC FLOW: permit ip 192.168.10.0/255.255.255.0 192.168.11.0/255.255.255.0 Active SAs: 2, origin: crypto map RT-10#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 172.16.10.2 172.16.10.1 QM_IDLE 2001 ACTIVE IPv6 Crypto ISAKMP SA RT-10# FOR SE 14

【Cisco】検証する Ciscoルータ (奇数) の設定4 手順10 検証する RT-10#show crypto ipsec sa interface: GigabitEthernet8 Crypto map tag: CP-MAP, local addr 172.16.10.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.11.0/255.255.255.0/0/0) current_peer 172.16.10.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 27, #pkts encrypt: 27, #pkts digest: 27 #pkts decaps: 21, #pkts decrypt: 21, #pkts verify: 21 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 172.16.10.1, remote crypto endpt.: 172.16.10.2 plaintext mtu 1446, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet8 current outbound spi: 0x2FE73847(803682375) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0x788E71CC(2022601164) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: Onboard VPN:1, sibling_flags 80004040, crypto map: つづく FOR SE つづき CP-MAP sa timing: remaining key lifetime (k/sec): (4289608/2302) IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x2FE73847(803682375) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Onboard VPN:2, sibling_flags 80004040, crypto map: CP-MAP sa timing: remaining key lifetime (k/sec): (4289609/2302) IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) outbound ah sas: outbound pcp sas: RT-10# 15

【Cisco】VPN接続前の確認 Ciscoルータ (偶数) の設定1 tracert 192.168.10.10 (コマンドプロンプト) 手順１ isakmpの設定をする RT-20#configure terminal RT-20(config)#crypto isakmp policy 1 RT-20(config-isakmp)#authentication pre-share RT-20(config-isakmp)#encryption 3des ←暗号の可能方式 RT-20(config-isakmp)#group 1 ←DHグループ番号 RT-20(config-isakmp)#hash sha ←認証の方式 RT-20(config-isakmp)#lifetime 86400 RT-20(config-isakmp)#exit 手順２ 対向のアドレスとパスワードを設定する RT-20(config)#crypto isakmp key akbpassword address 172.16.10.1 手順３ トランスフォームセットの名前定義 RT-20(config)#crypto ipsec transform-set TF-SET esp-3des esp-sha-hmac RT-20(cfg-crypto-trans)#mode tunnel RT-20(cfg-crypto-trans)#exit 手順４ アクセスリストの作成 RT-20(config)#ip access-list extended acl-ipsec RT-20(config-ext-nacl)#permit ip 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 RT-20(config-ext-nacl)#exit FOR SE 16

【Cisco】VPN設定する Ciscoルータ (偶数) の設定2 手順5 IPSecのポリシー定義 RT-20(config)#crypto map CP-MAP 1 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. RT-20(config-crypto-map)#match address acl-ipsec ←アクセスリストを適用 RT-20(config-crypto-map)#set peer 172.16.10.1 RT-20(config-crypto-map)#set transform-set TF-SET RT-20(config-crypto-map)#set security-association lifetime seconds 3600 RT-20(config-crypto-map)#exit RT-20(config)# 手順6 インターフェースへの適用 RT-20(config)#interface gigabitEthernet 8 RT-20(config-if)#crypto map CP-MAP RT-20(config-if)# *Aug 12 10:40:46.788: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON RT-20(config-if)#end 手順7 投入設定の確認 RT-20#sh run | section isakmp crypto isakmp policy 1 encr 3des authentication pre-share crypto isakmp key akbpassword address 172.16.10.1 crypto map CP-MAP 1 ipsec-isakmp set peer 172.16.10.1 set transform-set TF-SET match address acl-ipsec RT-20#sh run | section ip access-list ip access-list extended acl-ipsec permit ip 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 RT-20#sh run | section interface GigabitEthernet8 interface GigabitEthernet8 ip address 172.16.10.2 255.255.255.252 duplex auto speed auto crypto map CP-MAP 手順８ 状態確認 RT-20#show crypt session Crypto session current status Interface: GigabitEthernet8 Session status: DOWN Peer: 172.16.10.1 port 500 IPSEC FLOW: permit ip 192.168.11.0/255.255.255.0 192.168.10.0/255.255.255.0 Active SAs: 0, origin: crypto map FOR SE 17

【Cisco】検証する Ciscoルータ (偶数) の設定3 手順９ 192.168.10.10にpingを通し、検証する RT-20#show crypto session Crypto session current status Interface: GigabitEthernet8 Session status: UP-ACTIVE ←疎通前はIDLE Peer: 172.16.10.1 port 500 Session ID: 0 IKEv1 SA: local 172.16.10.2/500 remote 172.16.10.1/500 Active IPSEC FLOW: permit ip 192.168.11.0/255.255.255.0 192.168.10.0/255.255.255.0 Active SAs: 2, origin: crypto map RT-20#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 172.16.10.1 172.16.10.2 QM_IDLE 2001 ACTIVE IPv6 Crypto ISAKMP SA RT-20# FOR SE 18

【Cisco】検証する Ciscoルータ (偶数) の設定4 手順10 検証する RT-20#show crypto ipsec sa interface: GigabitEthernet8 Crypto map tag: CP-MAP, local addr 172.16.10.2 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.11.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0) current_peer 172.16.10.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 27, #pkts encrypt: 27, #pkts digest: 27 #pkts decaps: 21, #pkts decrypt: 21, #pkts verify: 21 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 172.16.10.2, remote crypto endpt.: 172.16.10.1 plaintext mtu 1446, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet8 current outbound spi: 0x2FE73847(803682375) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0x788E71CC(2022601164) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: Onboard VPN:1, sibling_flags 80004040, crypto map: つづく FOR SE つづき CP-MAP sa timing: remaining key lifetime (k/sec): (4289608/2302) IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x2FE73847(803682375) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Onboard VPN:2, sibling_flags 80004040, crypto map: CP-MAP sa timing: remaining key lifetime (k/sec): (4289609/2302) IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) outbound ah sas: outbound pcp sas: RT-20# 19

【Cisco】暗号化されました。 支店PCからデータセンターPCへ ping #検証する（wireshark） プロトコルが暗号化されました!（ESP） VPNのリセット # clear crypto sa FOR SE 20

【Cisco】 パスワードが間違っていた場合 パスワード設定が漏れた場合 パスワードが間違っていた場合 RT-20#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 172.16.10.2 172.16.10.1 DOWN NEGOTIATING RT-10#show crypto session Crypto session current status Interface: GigabitEthernet8 Session status: DOWN ←←← Peer: 172.16.10.2 port 500 IPSEC FLOW: permit ip 192.168.10.0/255.255.255.0 192.168.11.0/255.255.255.0 Active SAs: 0, origin: crypto map RT-10#show crypto isa RT-10#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state IPv6 Crypto ISAKMP SA RT-20# conn-id status IPv6 Crypto ISAKMP SA FOR SE 21

【Cisco】 つながらない？ #show crypto session の結果が正常 NO YES ・Session statusがDOWNになっている ・「#show crypto ipsec sa」の結果がおかしい →フェーズ１でのミス パスワード間違い？ RT-10#show crypto session Crypto session current status Interface: GigabitEthernet8 Session status: DOWN ←←← Peer: 172.16.10.2 port 500 IPSEC FLOW: permit ip 192.168.10.0/255.255.255.0 192.168.11.0/255.255.255.0 Active SAs: 0, origin: crypto map FOR SE ・「%crypto-4-recvd_pkt_not_ipsec: rec‘d packet not an ipsec packet. (ip) vrf/dest_addr=」のようなエラーが対向PCに出ている →フェーズ２でのミス acl間違い？ 22

【 Cisco 】初期化 ルーター初期化(工場出荷状態) Teratermで以下のコマンドを入力し初期化す る。 RT-10 #delete flash:vlan.dat←vlan.dat ファイルを削除 Delete filename [vlan.dat]? enterキーを入力 RT-10#erase startup-config ←NVRAMのコンフィグを削除 [confirm] enterキーを入力 RT-10#reload←←←再起動を実施 [confirm] enterキーを入力 FOR SE 23