セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

PIX/ASA(バージョン 7.x 以降)ネットワーク アドレス変換を使用した IPSec VPN トンネルの設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この設定例では、ネットワーク アドレス変換(NAT)を実行するファイアウォール経由の IPSec VPN トンネルを示します。 この設定はポート アドレス変換 (PAT)と Cisco IOS を使用する場合機能しませんか。 12.2(13)T を含む先のソフトウェア リリースよりおよびない。 この種 の 設定が IP トラフィックをトンネル伝送するのに使用することができます。 この設定がトラフィックを暗号化するのに使用することができません IPX またはルーティング更新のようなファイアウォールを、通過しない。 総称ルーティング カプセル化(GRE)トンネリングはより適切な選択です。 この例では、Cisco 2621 および 3660 ルータは 2 つのプライベート ネットワークを結合するコンジットとの IPSecトンネル エンドポイントまたは中間 PIX のアクセス コントロール リスト(ACL) IPSecトラフィックを許可するためにです。

注: NAT は 1 対 1 のアドレス変換です。多(ファイアウォールの Inside)対 1 の変換である PAT と混同しないでください。 NAT オペレーションおよび設定に関する詳細については、NAT がどのようにはたらくか NAT の動作確認と NAT の基本的なトラブルシューティングをまたは参照して下さい。

注: PAT の IPsec は外部トンネルエンドポイント デバイスが 1 IP アドレスからの複数 の トンネルを処理できないのできちんとはたらかないかもしれません。 トンネルエンドポイント デバイスが PAT を使用したかどうか確認するためにベンダーに連絡して下さい。 さらに、Cisco IOS ソフトウェア Release 12.2(13)T と それ以降で、NAT 透過 機能は PAT に使用することができます。 詳細については、IPSec NAT 透過を参照して下さい。 Cisco IOS ソフトウェア Release 12.2(13)T と それ以降のこれらの機能について詳細を学ぶために IPSec ESP によって NAT のためのサポートを参照して下さい。

注: 一般的な質問に対する多くの回答がある Cisco テクニカル サポートとのケースをオープンする前に、NAT に関する FAQ を参照して下さい。

PIXバージョン 6.x およびそれ以前の NAT でファイアウォールによって IPSecトンネルを設定する方法に関する詳細については NAT での IPSecトンネルのファイアウォールによって設定を参照して下さい。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS ソフトウェア リリース 12.0.7.T (Cisco IOS ソフトウェア リリース 12.2(13)T より前)

    より多くの最近のバージョンに関しては、IPSec NAT 透過を参照して下さい。

  • Cisco 2621 ルータ

  • Cisco 3660 ルータ

  • 7.x を以上に実行する Cisco PIX 500 シリーズ セキュリティ アプライアンス モデル。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

関連製品

このドキュメントは、ソフトウェア バージョン 7.x 以降を実行する Cisco 5500 シリーズ適応型セキュリティ アプライアンス(ASA)でも使用できます。

設定

このセクションでは、このドキュメントで説明している機能の設定に使用するための情報を説明します。

注: このドキュメントで使用されているコマンドの詳細を調べるには、コマンド検索ツール登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/63881/ipsec-pix70-nat-01.gif

設定

このドキュメントでは、次の設定を使用します。

Cisco 2621
Current configuration:
 !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-2621
 !
 ip subnet-zero
 !
 ip audit notify log
 ip audit po max-events 100
 isdn voice-call-failure 0
 cns event-service server
 !

!--- The IKE policy.

 crypto isakmp policy 10
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.2     
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac 
 !
 crypto map mymap local-address FastEthernet0/1
 

!--- IPsec policy.

 
 crypto map mymap 10 ipsec-isakmp   
  set peer 99.99.99.2
  set transform-set myset
 
 
!--- Include the private-network-to-private-network traffic
 !--- in the encryption process.
 
 
  match address 101
 !
 controller T1 1/0
 !
 interface FastEthernet0/0
  ip address 10.2.2.1 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 !
 interface FastEthernet0/1
  ip address 10.1.1.2 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 

!--- Apply to the interface.

 
  crypto map mymap
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.1.1.1
 no ip http server
 
 
!--- Include the private-network-to-private-network traffic
 !--- in the encryption process.

 
 access-list 101 permit ip 10.2.2.0 0.0.0.255 10.3.3.0 0.0.0.255
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 no scheduler allocate
 end

Cisco 3660
version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-3660
 !
 ip subnet-zero
 !
 cns event-service server
 !
 

!--- The IKE policy.

 
 crypto isakmp policy 10
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.12    
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac 
 !
 crypto map mymap local-address FastEthernet0/0
 

!--- The IPsec policy.

 
 crypto map mymap 10 ipsec-isakmp   
  set peer 99.99.99.12
  set transform-set myset
 
 
!--- Include the private-network-to-private-network traffic
 !--- in the encryption process. 
 
 
  match address 101
 !
 interface FastEthernet0/0
  ip address 99.99.99.2 255.255.255.0
  no ip directed-broadcast
  ip nat outside
  duplex auto
  speed auto
 

!--- Apply to the interface.

 
  crypto map mymap
 !
 interface FastEthernet0/1
  ip address 10.3.3.1 255.255.255.0
  no ip directed-broadcast
  ip nat inside
  duplex auto
  speed auto
 !
 interface Ethernet3/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface Serial3/0
  no ip address
  no ip directed-broadcast
  no ip mroute-cache
  shutdown
 !
 interface Ethernet3/1
  no ip address
  no ip directed-broadcast
 interface Ethernet4/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface TokenRing4/0
  no ip address
  no ip directed-broadcast
  shutdown
  ring-speed 16
 !
 
 
!--- The pool from which inside hosts translate to 
 !--- the globally unique 99.99.99.0/24 network.

 
 ip nat pool OUTSIDE 99.99.99.70 99.99.99.80 netmask 255.255.255.0
 

!--- Except the private network from the NAT process.

 
 ip nat inside source route-map nonat pool OUTSIDE
 ip classless
 ip route 0.0.0.0 0.0.0.0 99.99.99.1
 no ip http server
 !
 
 
!--- Include the private-network-to-private-network traffic
 !--- in the encryption process. 

 
 access-list 101 permit ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 101 deny   ip 10.3.3.0 0.0.0.255 any
 

!--- Except the private network from the NAT process.

 
 access-list 110 deny   ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 110 permit ip 10.3.3.0 0.0.0.255 any
 route-map nonat permit 10
  match ip address 110
 !
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 end

PIX セキュリティ アプライアンス モデルおよびアクセスリスト設定

ASDM 5.0 設定

ASDM を使用して PIXファイアウォール バージョン 7.0 を設定するためにこれらのステップを完了して下さい。

  1. PIX にコンソール接続します。 クリアされたコンフィギュレーションから、ワークステーション 10.1.1.3 からの PIX の管理のための拡張セキュリティ デバイスマネージャ GUI (ASDM)を有効に するのに対話型プロンプトを使用して下さい。

    PIXファイアウォール ASDM ブートストラップ
    Pre-configure Firewall now through interactive prompts [yes]? yes
    Firewall Mode [Routed]: 
    Enable password [<use current password>]: cisco
    Allow password recovery [yes]? 
    Clock (UTC):
      Year [2005]: 
      Month [Mar]: 
      Day [15]: 
      Time [05:40:35]: 14:45:00
    Inside IP address: 10.1.1.1
    Inside network mask: 255.255.255.0
    Host name: pix-firewall
    Domain name: cisco.com
    IP address of host running Device Manager: 10.1.1.3
    The following configuration will be used:
             Enable password: cisco
             Allow password recovery: yes
             Clock (UTC): 14:45:00 Mar 15 2005
             Firewall Mode: Routed
             Inside IP address: 10.1.1.1
             Inside network mask: 255.255.255.0
             Host name: OZ-PIX
             Domain name: cisco.com
             IP address of host running Device Manager: 10.1.1.3
    Use this configuration and write to flash? yes
             INFO: Security level for "inside" set to 100 by default.
             Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5 
    965 bytes copied in 0.880 secs

  2. ワークステーション 10.1.1.3 から、Webブラウザを開発し、ADSM を使用して下さい(この例で、https://10.1.1.1)。

  3. 認証プロンプトで『Yes』 を選択 し、イネーブルパスワードと PIXファイアウォール ASDM ブートストラップ設定の設定によってログインして下さい。

  4. これが最初にあれば ASDM は PC で動作します ASDM ランチャーを使用するか、または Java アプリケーションとして ASDM を使用するために、かどうかプロンプト表示します。

    この例では、ASDM ランチャーは選択され、これらのプロンプトをインストールします。

  5. ASDM Home ウィンドウに進み、Configuration タブを選択して下さい。

    /image/gif/paws/63881/ipsec-pix70-nat-02.gif

  6. イーサネットを 0 インターフェイス強調表示し、Outside インターフェイスを設定するために『Edit』 をクリック して下さい。

    /image/gif/paws/63881/ipsec-pix70-nat-03.gif

  7. 編集インターフェイス プロンプトで『OK』 をクリック して下さい。

    /image/gif/paws/63881/ipsec-pix70-nat-04.gif

  8. インターフェイスの詳細を入力し、完了したら [OK] をクリックします。

    /image/gif/paws/63881/ipsec-pix70-nat-05.gif

  9. インターフェイス プロンプトの変更で『OK』 をクリック して下さい。

    /image/gif/paws/63881/ipsec-pix70-nat-06.gif

  10. [Apply] をクリックして、インターフェイス設定を承認します。 設定内容は PIX にもプッシュされます。 この例ではスタティック ルートを使用します。

    ipsec-pix70-nat-07.gif

  11. ルーティングを機能タブの下でクリックし、スタティック ルートを強調表示し、『Add』 をクリック して下さい。

    /image/gif/paws/63881/ipsec-pix70-nat-08.gif

  12. デフォルト ゲートウェイを設定し、[OK] をクリックします。

    /image/gif/paws/63881/ipsec-pix70-nat-09.gif

  13. [Add] をクリックして、inside ネットワークにルートを追加します。

    /image/gif/paws/63881/ipsec-pix70-nat-10.gif

  14. 正しいルートが設定されていることを確認して、[Apply] をクリックします。

    ipsec-pix70-nat-11.gif

  15. この例では、NAT を使用します。 イネーブル トラフィックのためのボックスのチェックをファイアウォールによってアドレス 変換なしで取除き、NAT ルールを設定するために『Add』 をクリック して下さい。

    /image/gif/paws/63881/ipsec-pix70-nat-12.gif

  16. ソースネットワーク(uese この例)を設定して下さい。 それから PAT を定義するために『Manage Pools』 をクリック して下さい。

    /image/gif/paws/63881/ipsec-pix70-nat-13.gif

  17. outside インターフェイスを選択し、[Add] をクリックします。

    ipsec-pix70-nat-14.gif

    この例はインターフェイスの IP アドレスを使用して PAT を使用します。

    /image/gif/paws/63881/ipsec-pix70-nat-15.gif

  18. PAT が設定される時『OK』 をクリック して下さい。

    /image/gif/paws/63881/ipsec-pix70-nat-16.gif

  19. スタティック トランスレーションを設定するために『Add』 をクリック して下さい。

    ipsec-pix70-nat-17.gif

  20. ドロップダウン インターフェイスで選択しそして IP アドレス 10.1.1.2 を、サブネット マスク 255.255.255.255 入力して下さい、IP Address フィールド タイプ外部アドレス 99.99.99.12スタティックをおよび選択して下さい。 完了したら、[OK] をクリックします。

    ipsec-pix70-nat-18.gif

  21. [Apply] をクリックして、インターフェイスの設定を承認します。 設定内容は PIX にもプッシュされます。

    ipsec-pix70-nat-19.gif

  22. セキュリティポリシー ルールを設定するために機能タブの下でポリシーを『Security』 を選択 して下さい。

    ipsec-pix70-nat-20.gif

  23. 特別にトラフィックを許可し、続くために『OK』 をクリック するために『Add』 をクリック して下さい。

    ipsec-pix70-nat-21.gif

  24. ISAKMP トラフィックを許可し、続くために『OK』 をクリック するために『Add』 をクリック して下さい。

    ipsec-pix70-nat-22.gif

  25. NAT-T のための UDP ポート 4500 トラフィックを許可し、続くために『OK』 をクリック するために『Add』 をクリック して下さい。

    /image/gif/paws/63881/ipsec-pix70-nat-22-ext.gif

  26. [Apply] をクリックして、インターフェイス設定を承認します。 設定内容は PIX にもプッシュされます。

    /image/gif/paws/63881/ipsec-pix70-nat-23.gif

  27. 設定は現在完了しました。

    [File] > [Show Running Configuration in New Windows] の順に選択し、CLI 設定を確認します。

    /image/gif/paws/63881/ipsec-pix70-nat-24.gif

PIX ファイアウォールの設定

PIX ファイアウォール
pixfirewall# show run
: Saved
:
PIX Version 7.0(0)102 
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 99.99.99.1 255.255.255.0 
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name cisco.com
ftp mode passive

access-list outside_access_in remark Access Rule to Allow ESP traffic
access-list outside_access_in 
            extended permit esp host 99.99.99.2 host 99.99.99.12 

access-list outside_access_in 
            remark Access Rule to allow ISAKMP to host 99.99.99.12
access-list outside_access_in 
            extended permit udp host 99.99.99.2 eq isakmp host 99.99.99.12 


access-list outside_access_in 
            remark Access Rule to allow port 4500 (NAT-T) to host 99.99.99.12
access-list outside_access_in 
                    extended permit udp host 99.99.99.2 eq 4500 host 99.99.99.12
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
monitor-interface inside
monitor-interface outside
asdm image flash:/asdmfile.50073
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 0.0.0.0 0.0.0.0
static (inside,outside) 99.99.99.12 10.1.1.2 netmask 255.255.255.255 
access-group outside_access_in in interface outside
route inside 10.2.2.0 255.255.255.0 10.1.1.2 1
route outside 0.0.0.0 0.0.0.0 99.99.99.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 
sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.1.1.3 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map asa_global_fw_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy asa_global_fw_policy global
Cryptochecksum:0a12956036ce4e7a97f351cde61fba7e
: end

PIX セキュリティ アプライアンス モデルおよび MPF (モジュラ 政策の枠組)設定

アクセス リストの代りに、PIX/ASA セキュリティ アプライアンス モデルを通して IPSecトラフィックを通過させるために MPF (モジュラ 政策の枠組)で ipsec パスによるコマンド Inspect を使用して下さい。

このインスペクションは ESP トラフィックのためのピンホールを開くために設定されます。 存在 する前方フローがそこに割り当てることができる接続の最大数の制限のときすべての ESP データフローが割り当てられ。 AH は許可されません。 ESP データフローのためのデフォルト アイドル タイムアウトは 10 分にデフォルトで設定 されます。 クラスおよび match コマンド モードが含まれているこのインスペクションはすべての位置で他のインスペクションが適用しますこと適用することができます。 IPSec パス スルー アプリケーション インスペクションは ESP の便利な走査を提供します(IP プロトコル 50) トラフィックは IKE UDP ポート 500 接続と関連付けました。 それは割り当て ESP トラフィックに長いアクセスリスト設定を避け、またタイムアウトおよび最大値接続をセキュリティに与えます。 トラフィック クラスを定義し、inspect コマンドをクラスに適用し、1つ以上のインターフェイスにポリシーを適用するために class-mappolicy-map および service-policy コマンドを使用して下さい。 有効に されたとき、設定できないコマンド IPSec パスによる Inspect は 10 分のタイムアウトの無制限 ESP トラフィックを可能にします。 NAT および NAT 以外のトラフィックは許可されます。

hostname(config)#access-list test-udp-acl extended permit udp any any eq 500
hostname(config)#class-map test-udp-class
hostname(config-cmap)#match access-list test-udp-acl
hostname(config)#policy-map test-udp-policy
hostname(config-pmap)#class test-udp-class
hostname(config-pmap-c)#inspect ipsec-pass-thru
hostname(config)#service-policy test-udp-policy interface outside

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示しています。

特定の show コマンドは、Output Interpreter Tool登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

  • show crypto ipsec sa - フェーズ 2 のセキュリティ アソシエーションを表示します。

  • show crypto isakmp sa:フェーズ 1 のセキュリティ アソシエーションを表示します。

  • show crypto engine connections active — 暗号化パケット および 復号化パケットを示します。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

ルータIPSec のためのトラブルシューティング コマンド

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug crypto engine:暗号化されたトラフィックを表示します。

  • debug crypto ipsec:フェーズ 2 の IPSec ネゴシエーションを表示します。

  • debug crypto isakmp —フェーズ 1.の Internet Security Association and Key Management Protocol(ISAKMP)ネゴシエーションを表示する。

セキュリティ アソシエーションのクリア

  • clear crypto isakmp:Internet Key Exchange(IKE; インターネット キー交換)のセキュリティ アソシエーションをクリアします。

  • clear crypto ipsec sa —オフ IPSecセキュリティアソシエーション結合。

PIX のためのトラブルシューティング コマンド

特定の show コマンドは、Output Interpreter Tool登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • logging buffer debugging:PIX を通過する接続がホストと確立されたか、ホストから拒否されたかが表示されます。 この情報は PIX ログ バッファに保存されており、show log コマンドを使用して表示できます。

  • また ASDM がロギングを有効に し、これらのステップに示すようにログを調べるのに使用することができます。

  1. > 記録 する イネーブル Configuration > Properties > Logging > Logging Setup の順に選択 し、次に『Apply』 をクリック して下さい

    ipsec-pix70-nat-25.gif

  2. > ロギング > ログ レベル > ロギングバッファのログ バッファ > 『Monitoring』 を選択 し、そして『View』 をクリック して下さい。

    /image/gif/paws/63881/ipsec-pix70-nat-26.gif

    これはログ バッファの例です。

    ipsec-pix70-nat-27.gif

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 63881