はじめに IRASⅡ(IPsec Remote Access ServiceⅡ) はインターネット暗号化技術によりお客様ネットワークにセキュアなリモ-トアクセス環境を提供いたします IRASⅡハードウェアクライアントでは Cisco Systems の IOS ルータ機能を利用します本マニュア

IRASⅡ (IPsec Remote Access Service Ⅱ) ハードウェアクライアント設定マニュアルコマンドライン設定版 -1-

はじめに IRASⅡ(IPsec Remote Access ServiceⅡ) はインターネット暗号化技術によりお客様ネットワークにセキュアなリモ-トアクセス環境を提供いたします IRASⅡハードウェアクライアントでは Cisco Systems の IOS ルータ機能を利用します本マニュアルに記載のある内容は接続設定の簡易マニュアルであり Cisco IOS ルータのすべての機能を説明するものではありません Cisco IOS ルータ機能の詳細については Cisco Systems の web サイトをご確認下さい (http://www.cisco.com) 本マニュアルにて設定した内容はお客様機器へのセキュリティを確実に保証するものではありません必要に応じてセキュリティ設定を追加いただくようお願いいたします本マニュアルの内容は改善等のため予告無く変更する場合がございますので予めご了承下さい -2-

第 1 章システム条件 1. ハードウェアルータによる接続をご利用いただく場合以下の KDDI が指定する機器を用意する必要性があります 1. Cisco Systems 製ルータ Cisco 851 ( もしくは Cisco 871) 2. ソフトウェア上記ハードウェア上に KDDI が指定するバージョンの IOS をインストールしたものをご利用いただく必要性があります指定外の IOS をご利用になられた場合保守対応ができません IOS:12.4(15)T1 ADVANCED SECURITY 3. インターネット接続環境利用 ISP の指定はありませんが Proxy サーバ経由でのインターネット接続環境ではご利用いただけません IRASⅡへの接続の為 KDDI 指定のプロトコル / ポート番号を疎通させる必要性があります -3-

第 2 章ルータの設定 IRASⅡハードウェアクライアントとして利用するルータの設定にはいくつかの方法があります本資料においてはコマンドライン (console) からの設定をご説明いたします本資料中の作業では既に装置上に設定されている機能への影響は考慮しておりませんので予めご了承下さい 1. 設定の準備本資料ではインターネット接続可能な状態で既にルータが設定されていることを前提として記載されています 1 事前準備 RS232C シリアルポートを有した PC を用意します近年のノート PC は RS232C ポートが無い物があります USB ポート RS232C ポートへ変換するケーブルが市販されておりますのでご用意下さい変換ケーブルは COM ポートとして PC に認識されます ( 通常ドライバが必要です ) ケーブルの準備ができない場合は telnet 等での作業をお願いいたします telnet からの作業の場合 LAN アドレスの変換等を行うとアドレス変更に伴いセッションが切れてしまう為注意が必要です PC にターミナルソフト ( ハイパーターミナル (Windows 標準 )/teraterm( フリーソフト ) 等 ) をインストールしてください本資料では teraterm を利用しています PC 上 USB RS232C 変換ケーブルが COM ポートとして認識されますがご利用 PC の環境によりターミナルソフトが認識できない COM ポート番号となる場合がありますその際はターミナルソフトの設定を変更いただき認識可能とするか認識された COM ポートの割当を変更いただく必要があります本作業による PC への影響はお客様責任となります 2 PC とルータの接続ルータと同梱されている設定用ケーブル ( 通常水色 ) の RJ45 インターフェース側をルータ側の console と表記のあるポートへ RS232C インターフェース側を PC の RS232C ポートに接続しますターミナルソフトウェアのポート設定は以下とします速度 : 9600bps データビット : 8 パリティ : 無ストップビット : 1 フローコントロール : 無 -4-

2. 設定の実行 1 ルータへアクセスターミナルソフトを起動しケーブルを接続した COM ポートで通信を開始しますケーブル接続した COM ポートを指定して OK をクリック数回 Enter を押すことでルータからの応答が表示されるルータ設定状態によっては ID/ パスワードが必要です -5-

2 設定モードへ移行ルータの設定を行う為特権モード (enable) になり設定モードに移行します enable と入力し特権モードになります ( パスワードが設定されている場合はパスワードを入力してください ) 特権モードになったら configure terminal と入力し設定モードに移行します 3 設定ファイルの準備通常設定は 1 行ずつコマンドを入力していきますが本資料の最後にある参考情報の IRASⅡ 接続用最小コマンド例を任意のテキストファイルに書き出し KDDI よりお渡しする開通案内の情報等を転記した上で保存します転記する項目は以下の通りです Suffix PreShared-Key GW アドレス認証用ユーザ ID パスワードアクセスリストルール ( 通信先 Prefix) 4 設定ファイルの流し込み設定ファイルを 1 行ずつルータに流し込みを行います流し込みの際に文字欠けが発生しないように設定する必要性があります文字欠けが発生しないようにシリアルポートの transmit delay を設定します -6-

Transmit delay を適当な時間に増やします ( ここでは 50msec にしています ) 流し込む設定ファイルを選択します保存したテキストファイルを選択し開くをクリックします 5 設定の保存ファイルの流し込みが完了したら設定は終了です設定モードを抜け copy running-config startup-config を入力し保存してください -7-

第 3 章接続設定の修正と削除接続設定に間違いが有った場合以下の手順で修正することが可能です設定項目の削除を行う場合誤削除等については充分な注意を払った上で作業下さい 1. IRASⅡ 接続設定の修正 1 ルータへのログイン設定を修正する為ルータへログインします 2 設定内容の確認ログイン後特権モード (enable) に移行し show running-config とコマンドを打つことで設定内容を確認することができます 3 項目の修正修正を実施する項目が確認できたら設定モード (configure terminal) になり修正項目のところまで移動します no **** とすることで既存のエントリ ( 設定内容 ) が消えます例 :Preshared-Key に間違いが有った場合誤 =kddtest 正 =kdditest Router(config)# crypto ipsec client ezvpn iras_hw Router(config-crypto-ezvpn)# no group s1.iras.test key kddtest Router(config-crypto-ezvpn)# group s1.iras.test key kdditest 修正箇所によっては配下の情報を全て入力しなおす必要性がでる場合があります例 : 配下の情報が全て消えてしまう場合 Router(config)# no crypto ipsec client ezvpn iras_hw 上記の場合は配下に設定してある Preshared-Key の情報や認証アカウント情報などが消えてしまいます 4 設定の保存 -8-

修正が完了したら設定モードを抜け copy running-config startup-config を入力し保存してください 2. IRASⅡ 接続設定の削除 1 ルータへのログイン設定を削除する為ルータへログインします 2 設定内容の確認ログイン後特権モード (enable) に移行し show running-config とコマンドを打つことで設定内容を確認することができます 4 項目の削除削除を実施する項目が確認できたら設定モード (configure terminal) になり削除項目のところまで移動します no **** とすることで既存のエントリ ( 設定内容 ) が消えます -9-

第 4 章 IRASⅡへの接続 IRASⅡ 接続設定が完了となりましたらインターネット側 /LAN 側のケーブルを接続し LAN 側に設置された PC より通信を開始してくださいルータは自動的に IRASⅡへの接続を行い IPsec 通信を開始します接続には鍵の交換 / 認証が必要となりますので数秒程度時間がかかる場合があります第 5 章接続状態の確認 IRASⅡへの接続状態の確認は show crypt ipsec client ezvpn コマンドにて確認が可能です IPsec 確立済割当アドレス表示通信先 Prefix GW アドレス表示第 6 章 IRASⅡ 接続の為の疎通確保ルータでの IRASⅡへの接続はソフトウェアクライアント同様に FWやブロードバンドルータ等の配下からの接続をすることが可能です FW 等配下からハードウェアクライアントで IRASⅡに接続する場合ハードウェアクライアント用ルータでファイアーウォール機能を利用中の場合以下のアドレス間のプロトコル / ポート番号の疎通を確保する必要性がありますルータでの接続は NAT Traversal に対応しています LAN WAN 方向アドレス : Src= ハードウェアクライアント WAN 側アドレス Dst= GW アドレスプロトコル / ポート : -10-

UDP Src Port: 不定 Dst Port:500 UDP Src Port: 不定 Dst Port :4500 ESP パケットインターネット接続ルータと IRASⅡ 接続ルータを併用する場合 (NAT 配下からの接続で無い場合 ) ルータと GW アドレス間で ESP パケットのパケットを疎通させる必要性があります ESP とは Encapsulation Security Payload の略で IPsec による暗号化されたパケットを表します WAN LAN 方向アドレス : Src=GW アドレス Dst= ハードウェアクライアント WAN 側アドレスプロトコル / ポート : UDP Src Port:500 Dst Port: 不定 UDP Src Port:4500 Dst Port : 不定 ESP パケットインターネット接続ルータと IRASⅡ 接続ルータを併用する場合 (NAT 配下からの接続で無い場合 ) ルータと GW アドレス間で ESP パケットのパケットを疎通させる必要性があります -11-

参考情報コンソール ( コマンドライン ) から設定する場合の必要情報 ( テキスト版 : 一部 )! Easy VPN Client の設定 crypto isakmp keepalive 300 30 crypto ipsec client ezvpn iras_hw connect acl iras_acl group Suffix key Preshared-Key mode client peer GW アドレス username IRAS 接続 ID(@ 含 ) password Password xauth userid mode local!! LAN 側インターフェースに IRASⅡ 接続ルール適用 interface Vlan1 crypto ipsec client ezvpn iras_hw inside ip mtu 1300 ip tcp adjust-mss 1260!! WAN 側インターフェースに IRASⅡ 接続ルール適用 interface WAN インターフェース crypto ipsec client ezvpn iras_hw ip mtu 1300!! IRASⅡPrefix の設定! ここでは Private アドレス領域 3 空間を定義しています! お申込になられる Prefix 登録に合わせて修正してください ip access-list extended iras_acl permit ip any 10.0.0.0 0.255.255.255 permit ip any 172.16.0.0 0.15.255.255 permit ip any 192.168.0.0 0.0.255.255! WAN 側インターフェースでアクセスリストを適用している場合! In 方向 access-list 101 permit udp host GW アドレス any eq non500-isakmp access-list 101 permit udp host GW アドレス any eq isakmp access-list 101 permit esp host GW アドレス any -12-

本マニュアルお問い合わせにつきましては弊社営業担当までご連絡下さい IRASⅡ(IPsec Remote Access Service Ⅱ) ハードウェアクライアント設定マニュアルコマンドライン設定版作成日 :2008 年 03 月 03 日作成者 :KDDI 株式会社第 1.0 版本マニュアルの著作権は KDDI 株式会社に帰属します無断で複写複製することを禁止します本マニュアルの内容は改善のため予告なく変更する可能性があります -13-