Crypto Access Check on Clear-Text Packets

■Task

RT1とRT2はIPsec VPNを形成しており, Loopback I/F 0同士の通信を暗号化対象としている.

以下の要件を満たしなさい.

・お互いのLoopback I/F 0宛のping(icmp)を暗号化前にdropさせなさい.

・その他の通信に影響を与えてはいけません.

■Topology

■Pre-Config

RT1

RT2

■Answer

RT1:
conf t
!
ip access-list extended 102
10 deny icmp host 1.1.1.1 host 2.2.2.2
20 permit ip any any
!
crypto map IPSEC 10 ipsec-isakmp
set ip access-group 102 out
!
end

RT2:
conf t
!
ip access-list extended 102
10 deny icmp host 2.2.2.2 host 1.1.1.1
20 permit ip any any
!
crypto map IPSEC 10 ipsec-isakmp
set ip access-group 102 out
!
end

■Verify

■Note

このTaskは, crypto mapにてACLを適用することで要件を満たすことができる.

crypto mapにてACLを適用することで, 暗号化前のパケットに対してFilteringを行うことができる. I/FにACLを適用したとしても暗号化(カプセル化)されているため, この設定ではESPしかmatchされることができない.

要件にはお互いのLoopback I/Fに対してのpingを暗号化前にdropさせなさい と記載があるため, Extended Access-listにてicmpをdenyし, それ以外をpermitとする.

これをOutbound方向に適用することで, 暗号化する前にAccess-listによりDenyとなり, dropされる.

実際に通信を発生させると, pingは失敗しaccess-listのカウンタが増加していることを確認できる.

※備考

IPsec peer確立後に”set ip access-group”を設定した場合は, IPsec SAをClear(clear crypto sa)しなければ設定が反映されない.

■Reference

Configuration Guide : Crypto Access Check on Clear-Text Packets

Command Reference : set ip access-group

シェアする

フォローする

関連コンテンツ