FMCによって管理されるFTDでのルートベースのサイト間VPNトンネルの設定

ダウンロード オプション

  • PDF     (1.3 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.1 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (923.5 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2023 年 12 月 11 日
Document ID:216276

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Firepower Management Center(CMC)によって管理されるFirepower Threat Defense(FTD)で、スタティックルートベースのサイト間VPNトンネルを設定する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • VPNトンネルの動作方法に関する基本的な知識。
    • FMCのナビゲート方法を理解していること。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。

    • CiscoFirepowerマネジメントセンター(FMC)バージョン6.7.0
    • CiscoFirepower脅威対策(FTD)バージョン6.7.0

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    ルートベースのVPNでは、暗号化する対象トラフィック、またはVPNトンネル経由で送信する対象トラフィックを判別でき、ポリシーベースまたはクリプトマップベースのVPNのように、ポリシー/アクセスリストの代わりにトラフィックルーティングを使用できます。 暗号化ドメインは、IPSecトンネルに入るすべてのトラフィックを許可するように設定されます。IPsecローカルおよびリモートトラフィックセレクタは0.0.0.0/0.0.0..0に設定されます。つまり、IPSecトンネルにルーティングされるすべてのトラフィックは、送信元/宛先サブネットに関係なく暗号化されます。

    このドキュメントでは、スタティック仮想トンネルインターフェイス(SVTI)の設定を中心に説明します。セキュアファイアウォールでのダイナミック仮想トンネルインターフェイス(DVTI)の設定については、このドキュメントを参照してください。

    制限と制約事項

    次に、FTDのルートベーストンネルに関する既知の制限事項と制約事項を示します。

    • IPsecのみをサポートします。GREはサポートされていません。

    • IPv4インターフェイスと、IPv4、保護されたネットワーク、またはVPNペイロードのみをサポートします(IPv6はサポートされません)。

    • VPNのトラフィックを分類するVTIインターフェイスでは、スタティックルーティングとBGPダイナミックルーティングプロトコルだけがサポートされます(OSPF、RIPなどの他のプロトコルはサポートされません)。

    • インターフェイスごとに100のVTIだけがサポートされます。

    • VTIはFTDクラスタではサポートされていません。

    • VTIは、次のポリシーではサポートされていません。

      •QoS
      •NAT
      ・プラットフォームの設定

    FMC/FTDバージョン6.7.0では、新しいVPNトンネルに対して次のアルゴリズムはサポートされていません(FMCは、FTD < 6.7を管理するために削除されたすべての暗号をサポートします)。

    • 3DES、DES、およびNULL暗号化は、IKEポリシーではサポートされていません。

    • DHグループ1、2、および24は、IKEポリシーおよびIPsecプロポーザルではサポートされていません。

    • MD5整合性はIKEポリシーではサポートされていません。

    • PRF MD5はIKEポリシーでサポートされていません。

    • IPSecプロポーザルでは、DES、3DES、AES-GMAC、AES-GMAC-192、およびAES-GMAC-256暗号化アルゴリズムはサポートされていません。

    注:これは、サイト間ルートベースおよびポリシーベースのVPNトンネルの両方に当てはまります。古いFTDをFMCから6.7にアップグレードするために、アップグレードをブロックする削除された暗号に関連する変更についてユーザに警告する事前検証チェックがトリガーされます。

    FTD 6.7はFMC 6.7で管理 使用可能な設定 サイト間VPNトンネル
    新規インストール
    脆弱な暗号を使用できますが、FTD 6.7デバイスの設定には使用できません。
    		脆弱な暗号を使用できますが、FTD 6.7デバイスの設定には使用できません。
    アップグレード:FTDは脆弱な暗号のみで設定されている
    FMC 6.7 UIからアップグレードすると、検証前チェックでエラーが表示されます。アップグレードは再構成されるまでブロックされます。
    FTDのアップグレード後、ピアがその設定を変更していないと想定すると、トンネルが終了します。
    アップグレード:FTDは一部の弱い暗号と一部の強い暗号でのみ設定されています。
    FMC 6.7 UIからアップグレードすると、検証前チェックでエラーが表示されます。アップグレードは再構成されるまでブロックされます。
    FTDのアップグレード後、ピアに強力な暗号が設定されていると想定すると、トンネルが再確立されます。
    アップグレード:クラスCの国(強力な暗号ライセンスを持たない)
    		DESを許可する DESを許可する

    を参照。

    注:追加のライセンスは必要ありません。ルートベースVPNは、ライセンスモードと評価モードで設定できます。 暗号化に準拠していない場合(輸出規制機能が有効)、暗号化アルゴリズムとして使用できるのはDESだけです。

    FMCでの設定手順

    ステップ 1:Devices >VPN > Site To Siteの順に移動します。

    Navigate to Devices, VPN and Site to Site

    ステップ 2:Add VPNをクリックし、図に示すように、Firepower Threat Defense Deviceを選択します。

    Add VPN

    ステップ 3:トポロジ名を入力し、VPNのタイプとしてルートベース(VTI)を選択します。IKE Versionを選択します。

    このデモンストレーションの目的は次のとおりです。

    トポロジ名:VTI-ASA

    IKEバージョン:IKEv2

    Provide Topology Name and Select Type of VPN

    ステップ 4:トンネルを設定する必要があるデバイスを選択します。新しい仮想テンプレートインターフェイスを追加するか(+アイコンをクリック)、または既存のリストから仮想テンプレートインターフェイスを選択できます。

    Choose Device on which Tunnel Needs to be Configured

    ステップ 5:New Virtual Tunnel Interfaceのパラメータを定義します。[OK] をクリックします。

    このデモンストレーションの目的は次のとおりです。

    名前:VTI-ASA

    説明(オプション):エクストラネットASAを使用したVTIトンネル

    セキュリティゾーン:VTIゾーン

    トンネルID:1

    IPアドレス:192.168.100.1/30

    トンネル送信元:GigabitEthernet0/0(外部)

    Add Virtual Tunnel Interface

    手順 6:新しいVTIが作成されたことを示すポップアップでOKをクリックします。

    Verify Virtual Tunnel Interface Added

    手順 7:新しく作成したVTIか、Virtual Tunnel Interfaceの下に存在するVTIを選択します。ノードB(ピアデバイス)の情報を提供します。

    このデモンストレーションの目的は次のとおりです。

    デバイス:エクストラネット

    デバイス名:ASA-Peer

    エンドポイントIPアドレス:10.106.67.252

    Create New VPN Topology

    ステップ 8:IKEタブに移動します。定義済みのポリシーを使用するか、またはポリシータブの横にある+ボタンをクリックして新しいポリシーを作成するかを選択できます。

    Click + to Add New VPN Policy

    ステップ9:(新しいIKEv2ポリシーを作成する場合はオプション) ポリシーの名前を指定し、ポリシーで使用するアルゴリズムを選択します。[Save] をクリックします。

    このデモンストレーションの目的は次のとおりです。

    名前:ASA-IKEv2-Policy

    整合性アルゴリズム:SHA-512

    暗号化アルゴリズム:AES-256

    PRFアルゴリズム:SHA-512

    Diffie-Hellmanグループ:21

    New IKEv2 Policy

    ステップ 10:新しく作成したポリシーまたは既存のポリシーを選択します。Authentication Typeを選択します。事前共有手動キーを使用する場合は、KeyボックスとConfirm Keyボックスにキーを入力します。

    このデモンストレーションの目的は次のとおりです。

    ポリシー:ASA-IKEv2-Policy

    認証タイプ:事前共有手動キー

    キー:cisco123

    確認キー:cisco123

    IKEv2 Settings

    注:両方のエンドポイントが同じFMCに登録されている場合は、Pre-shared Automatic Keyオプションも使用できます。

    ステップ 11IPsecタブに移動します。 定義済みのIKEv2 IPsecプロポーザルを使用するか、新しいプロポーザルを作成するかを選択できます。IKEv2 IPsec Proposalタブの横にあるEditボタンをクリックします。

    Navigate IPsec Tab

    ステップ12:(新しいIKEv2 IPsecプロポーザルを作成する場合はオプション) 提案の名前を入力し、提案で使用するアルゴリズムを選択します。[Save] をクリックします。

    このデモンストレーションの目的は次のとおりです。

    名前:ASA-IPSec-Policy

    ESPハッシュ:SHA-512

    ESP暗号化:AES-256

    Create New IKEv2 IPsec Proposal

    ステップ 13 使用可能なプロポーザルのリストから、新しく作成したプロポーザルまたはプロポーザルを選択します。[OK] をクリックします。

    Search for IKEv2 IPsec Proposal

    ステップ14:(オプション)Perfect Forward Secrecy設定を選択します。IPSecのライフタイム期間とライフタイムサイズを設定します。

    このデモンストレーションの目的は次のとおりです。

    Perfect Forward Secrecy(完全転送秘密):モジュラスグループ21

    Lifetime Duration(ライフタイム期間):28800(デフォルト)

    Lifetime Size(ライフタイムサイズ):4608000(デフォルト)

    Enable Perfect Forward Secrecy

    ステップ 15:設定を確認します。次の図に示すように、Saveをクリックします。

    Check Configured Settings and Save

    ステップ 16:アクセスコントロールポリシーを設定します。[Policies] > [Access Control] > [Access Control] の順に移動します。FTDに適用されるポリシーを編集します。

    注:sysopt connection permit-vpnは、ルートベースのVPNトンネルでは機能しません。アクセスコントロールルールは、IN-> OUTゾーンとOUT -> INゾーンの両方に設定する必要があります。

    Zonesタブで、Source ZonesDestination Zonesを指定します。

    Networksタブで、Source NetworksDestination Networksを指定します。[Add] をクリックします。

    このデモンストレーションの目的は次のとおりです。

    送信元ゾーン:In-ZoneおよびOut-Zone

    宛先ゾーン:アウトゾーンおよびインゾーン

    送信元ネットワーク:ネットワーク内およびリモートネットワーク

    宛先ネットワーク:リモートネットワークおよびネットワーク内

    Source Zones and Destination Zones

    Source Networks and Destination Networks

    ステップ 17:VTIトンネル経由のルーティングを追加します。[Device] > [Device Management]に移動します。VTIトンネルが設定されているデバイスを編集します。

    Routingタブの下のStatic Routeに移動します。[Add Route] をクリックします。

    Interfaceを指定し、Networkを選択して、Gatewayを指定します。[OK] をクリックします。

    このデモンストレーションの目的は次のとおりです。

    インターフェイス:VTI-ASA

    ネットワーク:リモートネットワーク

    ゲートウェイ:VTI-ASA-Tunnel

    Selected Network, Interface and Gateway

    ステップ 18:Deploy > Deploymentの順に移動します。設定を展開する必要があるFTDを選択し、Deployをクリックします。

    導入が成功した後、設定がFTD CLIにプッシュされました。

    crypto ikev2 policy 1
     encryption aes-256
     integrity sha512
     group 21
     prf sha512
     lifetime seconds 86400
    crypto ikev2 enable Outside

    crypto ipsec ikev2 ipsec-proposal CSM_IP_1
     protocol esp encryption aes-256
     protocol esp integrity sha-512
    crypto ipsec profile FMC_IPSEC_PROFILE_1
     set ikev2 ipsec-proposal CSM_IP_1
     set pfs group21

    group-policy .DefaultS2SGroupPolicy internal
    group-policy .DefaultS2SGroupPolicy attributes
     vpn-idle-timeout 30
     vpn-idle-timeout alert-interval 1
     vpn-session-timeout none
     vpn-session-timeout alert-interval 1
     vpn-filter none
     vpn-tunnel-protocol ikev1 ikev2 

    tunnel-group 10.106.67.252 type ipsec-l2l
    tunnel-group 10.106.67.252 general-attributes
     default-group-policy .DefaultS2SGroupPolicy
    tunnel-group 10.106.67.252 ipsec-attributes
     ikev2 remote-authentication pre-shared-key *****
     ikev2 local-authentication pre-shared-key *****

    interface Tunnel1
     description VTI Tunnel with Extranet ASA
     nameif VTI-ASA
     ip address 192.168.100.1 255.255.255.252 
     tunnel source interface Outside
     tunnel destination 10.106.67.252
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile FMC_IPSEC_PROFILE_1

    確認

    FMCのGUIから

    Check Statusオプションをクリックして、GUI自体からVPNトンネルのライブステータスを監視します

    Check Status Option

    これには、FTD CLIから取得した次のコマンドが含まれます。

    • show crypto ipsec sa peer <Peer IP address>
    • show vpn-sessiondb detail l2l filter ipaddress <ピアIPアドレス>

    Tunnel Status

    FTD CLIから

    これらのコマンドは、FTD CLIから使用して、VPNトンネルの設定とステータスを表示できます。

    show running-config crypto
    show running-config nat
    show running-config route
    show crypto ikev1 sa detailed
    show crypto ikev2 sa detailed
    show crypto ipsec sa detailed
    show vpn-sessiondb detail l2l

    更新履歴

    改定 発行日 コメント
    4.0
    11-Dec-2023
    内容が正しいかどうか更新されました。 DVTIの設定に関する「制限事項」セクションと関連資料を更新。
    3.0
    08-Aug-2023
    代替テキストが追加されました。 概要とフォーマットを更新。
    2.0
    19-Jul-2022
    内容が正しいかどうか更新されました。 シスコのガイドラインに準拠するため、フォーマット、ゲルンド、法的免責事項、機械翻訳などを更新。
    1.0
    23-Nov-2020
    初版
    TAC Authored

    シスコ エンジニア提供

    • マリオ・エンリケ・ソロリオ
      プロジェクトマネージャ
    • タジー・カーン
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています