Easy VPN について
Easy VPN を使用すると、リモート オフィスの VPN 展開が容易になります。Easy VPN では、ヘッド エンドに定義されたセキュリティ ポリシーがリモート VPN デバイスにプッシュされるため、クライアントには、セキュアな接続を確立する前に確実に最新のポリシーが配置されます。
Security Manager では、ハブアンドスポーク VPN トポロジにおける Easy VPN ポリシーの設定がサポートされています。このような設定では、ほとんどの VPN パラメータは、ハブ デバイスとして機能する Easy VPN サーバに定義されます。集中管理された IPsec ポリシーは、サーバによって Easy VPN クライアント デバイスにプッシュされるため、リモート(スパイク)デバイス設定を最小限に抑えることができます。
Easy VPN サーバーは、Cisco IOS ルータ、PIX ファイアウォール、または ASA 5500 シリーズ デバイスです。Easy VPN クライアントは、PIX 6.3 を実行する PIX 501、506、506E Firewall、Cisco 800 ~ 3900 シリーズ ルータ、および ASA ソフトウェア リリース 7.2 以降を実行する ASA 5505 デバイスでサポートされます。
バージョン 4.17 以降、Cisco Security Manager は BVI による Easy VPN のサポートを提供します。通常、Easy VPN は、ASA の起動時に最高および最低のセキュリティレベルのインターフェイスを判別します。最も低いセキュリティレベルのインターフェイスは、VPN クライアントがヘッドエンドへのトンネリングを開始する外部インターフェイスとして使用され、最も高いセキュリティレベルのインターフェイスは、内部のセキュリティで保護されたインターフェイスとして使用されます。
ASA5506 プラットフォームでは、デフォルト設定に、最高セキュリティ レベル インターフェイスを示す 100 に設定された BVI(そのメンバーインターフェイスもレベル 100 に設定)と、セキュリティレベルが 0 の外部インターフェイスが含まれます。VPN クライアントは、同じ最高セキュリティレベルの複数のインターフェイスを拒否します。Easy VPN によって同じ最高セキュリティレベルの複数のインターフェイスがあることが特定され、VPN クライアントが無効になります。
この問題を解決するために、ASA 9.9(2) 以降のすべての ASA 5506、5508、および 5512 [x/h/w] デバイスに vpnclient secure interface CLI が導入されました。そのため、Cisco Security Manager で CLI をサポートするために、バージョン 4.17 以降、新しいコンポーネント「VPN クライアント インターフェイス」がタイプ(Easy VPN)のハブアンドスポークトポロジに導入されました。
(注) |
Easy VPN トポロジで使用されるポリシーの中には、リモート アクセス VPN で使用されるポリシーに類似しているものもあります。リモート アクセス VPN では、ポリシーはサーバと VPN クライアント ソフトウェアを実行するモバイル リモート PC との間に設定されますが、サイト間 Easy VPN トポロジでは、クライアントはハードウェア デバイスです。 |
ここでは、次の内容について説明します。
Easy VPN とダイヤル バックアップ
Easy VPN のダイヤル バックアップを使用すると、リモート クライアント デバイスにダイヤル バックアップ トンネル接続を設定できます。このバックアップ機能は、実際のトラフィックの送信準備が完了したときにだけアクティブになります。これにより、トラフィックがない場合に高価なダイヤルアップまたは ISDN リンクを作成および維持する必要がなくなります。
(注) |
Easy VPN ダイヤル バックアップは、IOS バージョン 12.3(14)T 以降を実行するルータであるリモート クライアントにだけ設定できます。 |
Easy VPN 設定では、リモート デバイスがサーバへの接続を試み、追跡された IP がアクセスできない場合には、プライマリ接続がティアダウンされて、Easy VPN バックアップ トンネル経由でサーバへの新しい接続が確立されます。プライマリ ハブに到達できない場合は、プライマリ設定が、バックアップ設定ではなく、同じプライマリ設定を持つフェールオーバー ハブに切り替えられます。
各プライマリ Easy VPN 設定では、1 つのバックアップ設定だけがサポートされています。各内部インターフェイスでは、プライマリおよびバックアップの Easy VPN 設定を指定する必要があります。Easy VPN リモート デバイスでダイヤル バックアップが動作するためには、IP スタティック ルート トラッキングが設定されている必要があります。オブジェクト トラッキング設定は、Easy VPN リモート ダイヤル バックアップ設定とは独立しています。オブジェクトトラッキングの詳細は、スポークの [エンドポイントの編集(Edit Endpoints)] ダイアログボックスで指定します。
ダイヤル バックアップの詳細については、ダイヤル バックアップの設定を参照してください。
ハイ アベイラビリティ Easy VPN
Easy VPN トポロジ内のデバイスにハイ アベイラビリティ(HA)を設定できます。LAN 上で IP を実行する Cisco IOS ルータまたは Catalyst 6500/7600 デバイスに High Availability(HA; ハイ アベイラビリティ)を設定すると、自動デバイス バックアップ機能を使用できます。Easy VPN に、Hot Standby Routing Protocol(HSRP)を使用して透過的な自動デバイス フェールオーバーを提供する 2 つ以上のハブ デバイスで構成された HA グループを作成できます。詳細については、VPN トポロジにおけるハイ アベイラビリティの設定を参照してください。
Easy VPN とダイナミック仮想トンネル インターフェイス
IPsec Virtual Tunnel Interface(VTI; 仮想トンネル インターフェイス)機能を使用すると、IPsec によって保護する必要がある、リモート アクセス リンク用の GRE トンネルの設定が簡素化されます。VTI は、IPsec トンネリングをサポートするインターフェイスです。VTI を使用すると、IPsec トンネルに直接インターフェイス コマンドを適用できます。仮想トンネル インターフェイスの設定では、クリプト マップが適用されている特定の物理インターフェイスに対する IPsec セッションのスタティック マッピングが不要であるため、オーバーヘッドが低減されます。
IPsec VTI では、任意の物理インターフェイスにおいて、ユニキャストとマルチキャストの両方の暗号化されたトラフィックがサポートされます(複数のパスがある場合など)。トラフィックは、トンネル インターフェイスから転送されるときに暗号化され、トンネル インターフェイスに転送されると復号化されます。また、IP ルーティング テーブルによって管理されます。ダイナミックまたはスタティック IP ルーティングを使用して、仮想トンネル インターフェイスにトラフィックをルーティングできます。IP ルーティングを使用してトンネル インターフェイスにトラフィックを転送することによって、アクセス コントロール リスト(ACL)とクリプト マップを使用する複雑なプロセスと比較して IPsec VPN 設定が簡素化されます。ダイナミック VTI は、他のすべての実際のインターフェイスと同様に機能するため、トンネルがアクティブになるとすぐに Quality of Service(QoS)、ファイアウォール、およびその他のセキュリティ サービスを適用できます。
ダイナミック VTI では、IPsec インターフェイスの動的なインスタンス化および管理のために、仮想テンプレート インフラストラクチャが使用されます。Easy VPN トポロジでは、Security Manager によって暗黙的にデバイスに仮想テンプレート インターフェイスが作成されます。デバイスがハブの場合、ユーザは、ハブに仮想テンプレート インターフェイスとして使用される IP アドレスを指定する必要があります。この IP アドレスには、サブネット(アドレスのプール)、既存のループバック インターフェイス、または既存の物理インターフェイスを指定できます。スポークでは、仮想テンプレート インターフェイスは IP アドレスなしで作成されます。
Security Manager では、[Easy VPN IPsec Proposal] ページでダイナミック VTI を設定します。Easy VPN に対するダイナミック VTI の設定を参照してください。
注記
-
ダイナミック VTI は、ハブアンドスポーク VPN トポロジにおいて、IOS バージョン 12.4(2)T 以降を実行する 7600 デバイスを除くルータでだけ設定できます。PIX ファイアウォール、ASA デバイス、または Catalyst 6000 シリーズ スイッチではサポートされていません。
-
検出またはプロビジョニング中に、すべてのハブおよびスポークにダイナミック VTI 設定が必要なわけではありません。(dVTI をサポートしていないルータを含む)既存の Easy VPN トポロジを拡張して、dVTI をサポートするルータを追加できます。
-
ダイナミック VTI は、サーバのみ、クライアントのみ(サーバが dVTI をサポートしていない場合)、およびクライアントとサーバの両方でサポートされます。
-
dVTI が設定されたハブ(サーバ)には、ハイ アベイラビリティを設定できません。
-
リモート アクセス VPN でもダイナミック VTI を設定できます。詳細については、リモートアクセス VPN での Dynamic VTI/VRF Aware IPsec の設定(IOS デバイス)を参照してください。
Easy VPN コンフィギュレーション モード
Easy VPN は、Client、Network Extension、および Network Extension Plus の 3 つのモードで設定できます。
-
Client モード:クライアント サイトのデバイスがセントラル サイトのリソースにアクセスできるデフォルトの設定です。ただし、セントラル サイトからクライアント サイトのリソースへはアクセスできません。Client モードでは、VPN 接続が確立されると、単一の IP アドレスがサーバからリモート クライアントにプッシュされます。通常、このアドレスは、お客様のネットワークのプライベート アドレス空間内でルーティング可能なアドレスです。Easy VPN トンネルを通過するすべてのトラフィックでは、そのプッシュされた単一の IP アドレスへのポート アドレス変換(PAT)が実行されます。
-
Network Extension モード:セントラル サイトのユーザは、クライアント サイトのネットワーク リソースにアクセスできます。また、クライアント PC およびホストは、セントラル サイトの PC およびホストに直接アクセスできます。Network Extension モードでは、宛先ネットワークで完全にルーティング可能で、宛先ネットワークから到達可能な IP アドレスを VPN トンネルのクライアント側終端にあるホストに設定することが指定されます。接続の両端のデバイスは、一体となって 1 つの論理ネットワークを形成します。PAT は使用されないため、クライアント側終端のホストは、宛先ネットワークのホストに直接アクセスできます。つまり、ルーティング可能なアドレスが Easy VPN サーバ(ハブ)から Easy VPN クライアント(スポーク)に設定され、クライアントの背後にある LAN において PAT は実行されません。
-
Network Extension Plus モード:Network Extension モードを機能拡張したもので、IOS ルータにだけ設定できます。モード設定を介して受信した IP アドレスを、使用可能なループバック インターフェイスに自動的に割り当てることができます。この IP アドレスを使用してルータに接続し、リモート管理およびトラブルシューティング(ping、Telnet、およびセキュア シェル)を行うことができます。このオプションの選択時に一部のクライアントが IOS ルータでない場合、それらのクライアントは Network Extension モードで設定されません。
(注) |
すべての動作モードで、スプリット トンネリングをサポートすることもできます。スプリット トンネリングを使用すると、VPN トンネル経由で企業リソースに安全にアクセスできることに加えて、ISP などのサービスへの接続を使用したインターネット アクセスも可能となります(そのため、Web アクセス用のパスから企業ネットワークを除外できます)。 |
Easy VPN のクライアント接続特性の設定の説明に従って、Client Connection Characteristics ポリシー内のモードを設定します。
関連項目
Easy VPN および IKE 拡張認証(Xauth)
Easy VPN 設定で IPsec トンネルを確立するためのトンネル パラメータをネゴシエートする場合、IKE Extended Authentication(Xauth; 拡張認証)によって、IPsec 接続を要求するユーザを識別する、追加の認証レベルが追加されます。VPN サーバに Xauth が設定されている場合、IKE Security Association(SA; セキュリティ アソシエーション)の確立後、クライアントは「ユーザ名/パスワード」チャレンジを待機します。エンド ユーザがチャレンジに応答すると、その応答は IPsec ピアに転送され、さらに上のレベルの認証が行われます。
入力された情報は、RADIUS や TACACS+ などの認証、許可、アカウンティング(AAA)プロトコルを使用して認証エンティティに照らしてチェックされます。トークン カードは、AAA プロキシを介して使用することもできます。Xauth 中、ユーザのクレデンシャルが RADIUS を介して検証される場合に、そのユーザに固有の属性を取得できます。
(注) |
リモート クライアントを処理するように設定されている VPN サーバは、ユーザ認証を実行するように常に設定されている必要があります。 |
Security Manager では、Easy VPN トンネルを確立するたびにこれらのクレデンシャルを手動で入力する必要がないように、デバイス自体に Xauth ユーザ名およびパスワードを保存できます。情報は、デバイスの設定ファイルに保存され、トンネルが確立されるたびに使用されます。クレデンシャルをデバイスの設定ファイルに保存する方法は、一般的に、デバイスを複数の PC で共有し、VPN トンネルを常にアップ状態にする場合や、送信するトラフィックがある場合は常に自動的にデバイスでトンネルを確立する場合に使用します。
ただし、デバイスの設定ファイルにクレデンシャルを保存すると、デバイス設定にアクセスできるすべてのユーザーがこの情報を入手できるため、セキュリティ上のリスクとなる可能性があります。Xauth 認証のもう 1 つの方法として、Xauth が要求されるたびにユーザ名とパスワードを手動で入力する方法があります。クレデンシャルの入力に Web ブラウザ ウィンドウまたはルータ コンソールのどちらを使用するかを選択できます。Web ベースの対話形式を使用すると、ログイン ページが表示され、そのページで VPN トンネルを認証するためのクレデンシャルを入力できます。VPN トンネルが確立されると、このリモート サイトの背後のすべてのユーザは、再度ユーザ名とパスワードを求められることなく企業 LAN にアクセスできます。または、VPN トンネルを迂回して、インターネットにだけ接続することもできます。この場合、パスワードは必要ありません。
Easy VPN トンネル アクティベーション
デバイスのクレデンシャル(Xauth ユーザ名とパスワード)がデバイス自体に保存されている場合は、IOS ルータ クライアントのトンネルのアクティベーション方法を選択する必要があります。2 つのオプションから選択できます。
-
[Auto]:Easy VPN トンネルは、Easy VPN 設定がデバイス設定ファイルに配信されると自動的に確立されます。トンネルでタイムアウトまたは障害が発生した場合、トンネルは自動的に再接続し、無制限に再試行します。これがデフォルトのオプションです。
-
[Traffic Triggered Activation]:Easy VPN トンネルは、発信ローカル(LAN 側)トラフィックが検出されるたびに確立されます。トンネル経由で送信するトラフィックがある場合にだけバックアップ トンネルがアクティブになるように、Easy VPN ダイヤル バックアップ設定では [Traffic Triggered Activation] を使用することを推奨します。このオプションを使用している場合は、「対象の」トラフィックを定義するアクセスコントロールリスト(ACL)を指定する必要があります。
(注) |
Xauth パスワードを対話形式で設定することを選択した場合は、手動によるトンネルのアクティベーションが暗黙的に設定されます。この場合、デバイスは、Easy VPN リモート接続の確立を試みる前にコマンドを待機します。トンネルでタイムアウトまたは障害が発生した場合は、後続の接続においてもコマンドを待機する必要があります。 |
Easy VPN のクライアント接続特性の設定の説明に従って、Client Connection Characteristics ポリシー内の xauth およびトンネル アクティベーション モードを設定します。
関連項目
Easy VPN の設定の概要
リモート クライアントから VPN サーバに接続が開始されると、IKE を使用したピア間でのデバイス認証、IKE Extended Authentication(Xauth; 拡張認証)を使用したユーザ認証、VPN ポリシーのプッシュ(Client、Network Extension、または Network Extension Plus モード)、および IPsec Security Association(SA; セキュリティ アソシエーション)の作成が順に実行されます。
次に、このプロセスの概要を示します。
-
認証に事前共有キーが使用される場合はアグレッシブ モードを、デジタル証明書が使用される場合はメイン モードを使用して、クライアントによって IKE フェーズ 1 が開始されます。クライアントが自身を事前共有キーによって識別する場合は、付随するユーザ グループ名(設定時に定義されます)を使用して、このクライアントに関連付けられているグループ プロファイルが特定されます。デジタル証明書が使用される場合は、Distinguished Name(DN; 識別名)の Organizational Unit(OU; 組織ユニット)フィールドを使用してユーザ グループ名が特定されます。[PKI Enrollment] ダイアログボックス - [Certificate Subject Name] タブを参照してください。
(注) |
クライアントで、IKE アグレッシブ モードが開始される事前共有キー認証が設定される可能性があるため、管理者は、crypto isakmp identity hostname コマンドを使用して、VPN デバイスのアイデンティティを変更する必要があります。この操作は、IKE メイン モードを使用した証明書認証には影響しません。 |
-
クライアントは、クライアントのパブリック IP アドレスと VPN サーバのパブリック IP アドレスとの間で IKE SA の確立を試みます。クライアントに手動で設定する作業量を減らすために、暗号化アルゴリズム、ハッシュ アルゴリズム、認証方式、および D-H グループ サイズのあらゆる組み合わせが提案されます。
-
IKE ポリシー設定に応じて、VPN サーバはどのプロポーザルを受け入れてフェーズ 1 のネゴシエーションを続行するかを判断します。
(注) |
この時点でデバイス認証が終了し、ユーザ認証が開始されます。 |
-
IKE SA が正常に確立され、VPN サーバーに Xauth が設定されている場合、クライアントは「ユーザー名/パスワード」チャレンジを待機して、ピアのチャレンジに応答します。入力された情報は、RADIUS や TACACS+ などの認証、許可、アカウンティング(AAA)プロトコルを使用して認証エンティティに照らしてチェックされます。トークン カードは、AAA プロキシを介して使用することもできます。Xauth 中、ユーザのクレデンシャルが RADIUS を介して検証される場合に、そのユーザに固有の属性を取得できます。
(注) |
リモート クライアントを処理するように設定されている VPN サーバは、ユーザ認証を実行するように常に設定されている必要があります。 |
-
サーバから認証が成功したことを通知されると、クライアントはさらにピアから設定パラメータを要求します。残りのシステム パラメータ(IP アドレス、DNS、スプリット トンネル属性など)が、Client モードまたは Network Extension モード設定を使用してクライアントにプッシュされます。
(注) |
(Rivest, Shamir, and Adelman(RSA)の署名が使用されていない場合)IP アドレス プールおよびグループ事前共有キーだけがグループ プロファイルで必要なパラメータです。その他すべてのパラメータはオプションです。 |
-
モード設定を介して各クライアントに内部 IP アドレスが割り当てられたあと、Reverse Route Injection(RRI; 逆ルート注入)によってデバイスの各クライアント内部 IP アドレスに対してスタティック ルートが作成されます(RRI が設定されている場合)。
-
IKE クイック モードが開始されて、IPsec SA のネゴシエーションおよび作成が行われます。
これで、接続が完了します。
Easy VPN 設定に関する重要事項
トポロジに Easy VPN ポリシーを設定する前に、次の事項を把握しておく必要があります。
-
Easy VPN トポロジ設定では、リモート クライアント デバイスとして 72xx シリーズ ルータが使用されていると展開に失敗します。Easy VPN クライアントは、PIX 6.3 を実行する PIX 501、506、506E Firewall、Cisco 800 ~ 3900 シリーズ ルータ、および ASA ソフトウェア リリース 7.2 以降を実行する ASA 5505 デバイスでサポートされます。
-
Easy VPN トポロジ設定において PIX 6.3 リモート クライアントに Public Key Infrastructure(PKI)ポリシーの設定を試みると、展開に失敗します。このデバイスに正常に展開するには、最初に CA サーバに PKI 証明書を発行してから、再度デバイスの展開を試みます。PKI ポリシーの詳細については、Public Key Infrastructure ポリシーについてを参照してください。
-
外部インターフェイスではなく NAT(または PAT)内部インターフェイスにクリプト マップが設定されている場合は、Easy VPN クライアントとして機能するデバイスで展開が失敗する場合があります。一部のプラットフォームでは、内部インターフェイスと外部インターフェイスが固定されています。たとえば、Cisco 1700 シリーズルータでは、VPN インターフェイスはデバイスの FastEthernet0 インターフェイスである必要があります。Cisco 800 シリーズルータでは、VPN インターフェイスは設定に応じてデバイスの Ethernet0 インターフェイスまたは Dialer1 インターフェイスのいずれかです。Cisco uBR905 および uBR925 ケーブル アクセス ルータでは、VPN インターフェイスは Ethernet0 インターフェイスである必要があります。