IP : Cisco PIX 500 シリーズ セキュリティ アプライアンス

Cisco VPN 3000 コンセントレータと PIX ファイアウォール間の LAN-to-LAN IPSec トンネルの設定例

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2003 年 10 月 13 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この設定例は、Cisco PIX ファイアウォールの背後にあるプライベート ネットワークを Cisco VPN 3000 コンセントレータの背後にあるプライベート ネットワークに接続することを目標としています。 ネットワーク上のデバイスは、プライベート アドレスによって互いを認識します。

IPsec を参照して下さい: ルータと Cisco PIX/ASA セキュリティ アプライアンス モデル間の LAN-to-LAN トンネル設定に関する詳細についてはルータに PIX セキュリティ アプライアンス モデル 7.x およびそれ以降か ASA 設定例

PIX にソフトウェア バージョン 7.x があるとき PIX 7.x と詳細については VPN 3000 コンセントレータ 設定例間の IPSecトンネルを参照して下さい。

Advance Encryption Standard (AES)の Cisco VPN 3000 コンセントレータ間の L2L IPSecトンネル 設定に関する詳細については AES 設定例の Cisco VPN 3000 コンセントレータおよびルータおよびルータ間の LAN間IPSECトンネルを参照して下さい。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIX ソフトウェア 6.3(1)

  • 4.0.1 を搭載した VPN 3000 コンセントレータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/14100/ALTIGA_pix.gif

設定

PIX の設定

PIX ファイアウォールの設定
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname sv2-11
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names

!--- Access control list (ACL) for interesting traffic
!--- to be encrypted over the tunnel.

access-list 101 permit ip 10.13.1.0 255.255.255.0 10.31.1.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500

!--- IP addresses on the interfaces.

ip address outside 172.18.124.157 255.255.255.0
ip address inside 10.13.1.48 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover   
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
pdm history enable
arp timeout 14400
global (outside) 1 interface

!--- Binding ACL 101 to the Network Address Translation (NAT) statement 
!--- to avoid NAT on the IPSec packet.

nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

!--- Default route to the Internet.

route outside 0.0.0.0 0.0.0.0 172.16.124.132 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

!--- The sysopt command avoids conduit on 
!--- the IPSec-encrypted traffic.

sysopt connection permit-ipsec

!---- IPSec policies

crypto ipsec transform-set aptset esp-3des esp-md5-hmac 

!--- Setting up the tunnel peer, encryption ACL, and transform set.

crypto map aptmap 10 ipsec-isakmp
crypto map aptmap 10 match address 101
crypto map aptmap 10 set peer 172.18.124.132
crypto map aptmap 10 set transform-set aptset

!--- Applying the crypto map on the interface.

crypto map aptmap interface outside
isakmp enable outside

!--- Pre-shared key for the tunnel peer.

isakmp key ******** address 172.18.124.132 netmask 255.255.255.255 

!--- IKE policies

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:1209dc5ffed40ad7c999d655509260f5
: end
[OK]

VPN コンセントレータの設定

VPN コンセントレータを設定するためにこれらのステップを完了して下さい。

この例はラボ 環境でコンソールポートを通した VPN コンセントレータにアクセスし、最小コンフィギュレーションを追加することによって追加設定がグラフィカル ユーザ インターフェイス (GUI)によってされるように実行された(ステップ 1 をおよび 2)参照して下さい。

  1. Administration > System Reboot > Schedule reboot > Reboot with Factory/Default Configuration の順に選択し、リブートします。

  2. リブートした後 VPN コンセントレータが Quick Configuration モードでアップするとき、基本的なデバイス情報を設定して下さい:

    • 時間/日付

    • Configuration > Interfaces(パブリック アドレス = 172.18.124.132/24、プライベート アドレス = 10.31.1.80/24)でインターフェイス/マスク

    • Configuration > System > IP routing > Default_Gateway > 172.18.124.157 でデフォルト ゲートウェイ

    この段階で、内部ネットワークからは、GUI を介して VPN コンセントレータにアクセスできます。

    外部から VPN コンセントレータを管理することもできます。 詳細についてはパブリック ネットワークからの VPN 3000 コンセントレータの管理方法を参照して下さい。

  3. GUI を起動させ、インターフェイスを確認するために Configuration > Interfaces の順に進んで下さい。

    トンネルを終端するインターフェイスには、フィルタが適用されている必要があります。 この場合、パブリック インターフェイスにはパブリック(デフォルト)フィルタが適用されています。 IPSec インターフェイスで適用されているフィルタには、後でルールが自動的に追加されます。

    /image/gif/paws/14100/ALTIGA_pix_1.gif

  4. IPSec LAN間トンネルを設定するために LAN-to-LAN な > Modify or Add を Configuration > System > Tunneling Protocols > IPsec の順に進んで下さい。 終了したら [Apply] をクリックします。

    この例では、PIX の outside インターフェイスのための必要な情報は読み込まれます。

    ALTIGA_pix_2.gif

  5. 設定されたパラメータを自動的に表示する確認ページで、設定を受け入れるために『OK』 をクリック して下さい。

    これらの LAN-to-LAN 設定は変更しないでください。

    /image/gif/paws/14100/ALTIGA_pix_3.gif

  6. ルールが正しく作成され、適用されたことを確認するために > Assign Rules to filter を Configuration > Policy Management > Traffic Management の順に進んで下さい。

    IPSec インターフェイスに適用されているフィルタには、ルールが自動作成され、追加されます。 この場合、パブリック インターフェイスに適用されているパブリック(デフォルト)フィルタには、設定により追加された新しいルールが含まれています。

    /image/gif/paws/14100/ALTIGA_pix_4.gif

  7. 自動的に設定されたグループ 情報を表示する確認ページで、グループ設定を受け入れるために『Apply』 をクリック して下さい。

    これらのグループ設定は変更しないでください。

    /image/gif/paws/14100/ALTIGA_pix_5.gif

  8. 自動作成された Security Association(SA; セキュリティ結合)を表示する確認ページで、IPSec SA のリストに SA が表示されていることを確認します。

    /image/gif/paws/14100/ALTIGA_pix_6.gif

  9. IKEプロポーザルがアクティブとして示されていることを確認するために Configuration > System > Tunneling Protocols > IPSec > IKE Proposals の順に進んで下さい。

    /image/gif/paws/14100/ALTIGA_pix_6a.gif

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

PIX でのトラブルシューティング コマンド

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug crypto engine:暗号化されたトラフィックを表示します。

  • debug crypto ipsec:フェーズ 2 の IPSec ネゴシエーションを表示します。

  • debug crypto isakmp:フェーズ 1 の Internet Security Association and Key Management Protocol(ISAKMP)ネゴシエーションを表示します。

VPN コンセントレータでのトラブルシューティング

これらのデバッグ オプションは Configuration > System > Events > Classes > Add の順に進む場合個別に使用できます。

  • IKE

  • IKEDBG

  • IKEDECODE

  • IPSEC

  • IPSECDBG

  • IPSECDECODE

Monitoring > Event Log に行き、実際のデバッグを参照するために得ますログイン順序をクリックして下さい。

ALTIGA_pix_7.gif

IPSec ステータスを見るために Monitoring > Statistics > IPsec の順に進んで下さい。

ALTIGA_pix_8.gif


関連情報


Document ID: 14100