セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

ASA 9.x: OSPF を使った VPN/IPsec の設定例

2015 年 8 月 14 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 7 月 21 日) | フィードバック

概要

この資料は Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)で Open Shortest Path First(OSPF)を VPN/IPsec に設定 例を提供したものです。 ASA は OSPF ユニキャストが既存の VPN 接続を実行するようにします。 総称ルーティング カプセル化(GRE)トンネルを設定する必要はなくなります。

Dinkar Sharma および Amandeep Singh によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco は ASA の IPsec サイト間VPN トンネル設定の基本的な知識があることを推奨します。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 9.x およびそれ以降を実行する ASA 5500-x セキュリティ アプライアンス モデル

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

コマンド・ライン コンフィギュレーション

この資料は IKEv1 および IKEv2 両方の設定例をプロトコル リストしたものでが、IPSecトンネルは IKEv2 だけと形成されました。

ローカル ASA

ASA Version 9.1(5)
!
hostname LOCAL-ASA
!

!--- Configure the Inside and Outside interface.

interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 203.0.113.1 255.255.255.0
ospf cost 10
ospf network point-to-point non-broadcast
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.20.1 255.255.255.0
!

!--- Configure a manual Network Address Translation (NAT) Rule so that traffic
!--- should not be translated.

object network NETWORK_OBJ_172.16.20.0_24
subnet 172.16.20.0 255.255.255.0
object network NETWORK_OBJ_172.16.30.0_24
subnet 172.16.30.0 255.255.255.0

nat (inside,outside) source static NETWORK_OBJ_172.16.20.0_24
NETWORK_OBJ_172.16.20.0_24 destination static NETWORK_OBJ_172.16.30.0_24
NETWORK_OBJ_172.16.30.0_24 no-proxy-arp route-lookup

!--- The traffic specified by this Access Control List (ACL) is traffic that is
!--- to be encrypted and sent across the VPN tunnel.


access-list outside_cryptomap extended permit ip 172.16.20.0 255.255.255.0
172.16.30.0 255.255.255.0
access-list outside_cryptomap extended permit ospf interface outside host 198.51.100.1

!---
Add this ARP entry in the ASA.


arp outside 198.51.100.1 c84c.7522.1a32

!--- Configure the OSPF router process.

router ospf 100
network 172.16.20.0 255.255.255.0 area 0
network 203.0.113.0 255.255.255.0 area 0
area 0 neighbor 198.51.100.1 interface outside
log-adj-changes
!
route outside 198.51.100.0 255.255.255.0 203.0.113.2 1


!--- PHASE 1 CONFIGURATION ---!
!--- This configuration uses ISAKMP policy 30 for IKEv1 and policy for IKEv2.
!--- The configuration commands here define the Phase 1 policy parameters that are used.

crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev2 policy 1
encryption aes-256
integrity sha group 5 2
prf sha
lifetime seconds 86400

!--- In order to create and manage the database of connection-specific records for
!--- ipsec-l2l-IPsec (LAN-to-LAN) tunnels, use the command tunnel-group in global
!--- configuration mode. For L2L connections the name of the tunnel group MUST be the
!--- IP address of the IPsec peer.


tunnel-group 198.51.100.1 type ipsec-l2l

!--- Enter the preshared key in order to configure the authentication method.

tunnel-group 198.51.100.1 ipsec-attributes
ikev1 pre-shared-key *****
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key *****

!--- PHASE 2 CONFIGURATION ---!
!--- The encryption types for Phase 2 are defined here.
!--- Define the transform set for Phase 2.

crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev2 ipsec-proposal DES protocol esp encryption 3des protocol esp
integrity sha-1 md5

!--- Define which traffic should be sent to the IPsec peer.

crypto map outside_map 1 match address outside_cryptomap

!--- Sets the IPsec peer.

crypto map outside_map 1 set peer 198.51.100.1

!--- Sets the IPsec transform set "ESP-AES-128-SHA" to be used with the crypto map
!--- entry "outside_map".

crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 1 set ikev2 ipsec-proposal DES

!--- Specifies the interface to be used with the settings defined in this
!--- configuration.

crypto map outside_map interface outside

!--- Enable IKEv1/IKEv2 on the outside interface.

crypto ikev2 enable outside
crypto ikev1 enable outside

リモート ASA

ASA Version 9.1(5)
!
hostname REMOTE-ASA
!

!--- Configure the Inside and Outside interface.


interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 198.51.100.1 255.255.255.0
ospf cost 10
ospf network point-to-point non-broadcast
!

interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.30.1 255.255.255.0
!

!--- Configure a manual NAT Rule so that traffic should not be translated.

object network NETWORK_OBJ_172.16.20.0_24
subnet 172.16.20.0 255.255.255.0
object network NETWORK_OBJ_172.16.30.0_24
subnet 172.16.30.0 255.255.255.0

nat (inside,outside) source static NETWORK_OBJ_172.16.30.0_24
NETWORK_OBJ_172.16.30.0_24 destination static NETWORK_OBJ_172.16.20.0_24
NETWORK_OBJ_172.16.20.0_24 no-proxy-arp route-lookup

!--- The traffic specified by this ACL is traffic that is to be encrypted and sent
!--- across the VPN tunnel.


access-list outside_cryptomap extended permit ip 172.16.30.0 255.255.255.0
172.16.20.0 255.255.255.0
access-list outside_cryptomap extended permit ospf interface outside host
203.0.113.1 log disable

!---
Add this ARP entry in ASA.


arp outside 203.0.113.1 c84c.7522.1a33

!--- Configure the OSPF router process.


router ospf 100
network 172.16.30.0 255.255.255.0 area 0
network 198.51.100.0 255.255.255.0 area 0
area 0 neighbor 203.0.113.1 interface outside
log-adj-changes !

route management 10.24.21.126 255.255.255.255 10.105.130.1 1
route outside 203.0.113.0 255.255.255.0 198.51.100.2 1

!--- PHASE 1 CONFIGURATION ---!
!--- This configuration uses isakmp policy 30 for IKEv1 and policy for IKEv2.
!--- The configuration commands here define the Phase 1 policy parameters that are used.



crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev2 policy 1
encryption aes-256
integrity sha group 5 2
prf sha
lifetime seconds 86400

!--- In order to create and manage the database of connection-specific records for
!--- ipsec-l2l-IPsec (LAN-to-LAN) tunnels, use the command tunnel-group in global
!--- configuration mode. For L2L connections the name of the tunnel group MUST be the
!--- IP address of the IPsec peer.


tunnel-group 203.0.113.1 type ipsec-l2l

!--- Enter the preshared key in order to configure the authentication method.

tunnel-group 203.0.113.1 ipsec-attributes
ikev1 pre-shared-key *****
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key ***** !

!--- PHASE 2 CONFIGURATION ---!
!--- The encryption types for Phase 2 are defined here.
!--- Define the transform set for Phase 2.

crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev2 ipsec-proposal DES protocol esp encryption 3des protocol esp
integrity sha-1 md5

!--- Define which traffic should be sent to the IPsec peer.

crypto map outside_map 1 match address outside_cryptomap

!--- Sets the IPsec peer.

crypto map outside_map 1 set peer 203.0.113.1

!--- Sets the IPsec transform set "TSET" to be used with the crypto map entry
!--- "outside_map".

crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 1 set ikev2 ipsec-proposal DES

!--- Specifies the interface to be used with the settings defined in this
!--- configuration.

crypto map outside_map interface outside

!--- Enable IKEv1/IKEv2 on the outside interface.

crypto ikev2 enable outside
crypto ikev1 enable outside

: OSPF 更新は VPN トンネルによって渡されるようにするために OSPFネイバを規定 する前にインターフェイスにクリプト マップを結合 する必要があります。 OSPFネイバを規定 した後インターフェイスにクリプト マップを結合 したら、OSPF 接続をクリアするためにクリア ローカル ホスト コマンドを入力して下さいそうすれば OSPF 隣接関係は VPN トンネルに確立することができます。

ASA デバイスマネージャ 設定

  1. サイト間VPN トンネルを作成するために Wizards > VPN Wizard の順に選択 して下さい。 ここに示されているように VPN ウィザード ウィンドウでは、VPN 設定を始めるために『Next』 をクリック して下さい。

  2. ピアIP アドレスおよびからピアが到達可能である入り、『Next』 をクリック して下さいインターフェイスに。

    : すなわち、ピア到達可能性のための必須ルーティングが既にあっていることをピアデバイスがローカルデバイスから到達可能であることが仮定されます。

  3. 通信を保護し、『Next』 をクリック したいリモート サブネットおよびローカルを入力して下さい。

  4. 事前共有キー認証を用いるサイト間VPN を構築しているので、使用されるべき事前共有キーを入力し、『Next』 をクリック して下さい。

  5. ローカルおよびリモート サブネットのための NAT 免除を設定し、ソースインターフェイスを、すなわち選択する、オプションをローカルサブネットに接続されるインターフェイス チェックして下さい。 [Next] をクリックします。

  6. 正確さのための設定 の 要約を検討し、次に『Finish』 をクリック して下さい

  7. OSPF トラフィックが VPN トンネルによって暗号化され、送信 されるように暗号 ACL の OSPF トラフィックを規定 する必要があります。 これをするために、> サイト間VPN > 進みました > ACL Manager 『Configuration』 を選択 して下さい。 ステップ 3 で設定し、上の > Add ACE を『Add』 を選択 する 暗号 ACL を選択して下さい。 ソースを outside インターフェイス、宛先 リモートピア IP アドレスとして、および OSPF としてサービスとして選択し、『OK』 をクリック して下さい。 ASA への変更を押すために『Apply』 をクリック して下さい。

  8. OSPF を設定するために、> デバイス セットアップ > ルーティング > OSPF > 設定される『Configuration』 を選択 して下さい。 プロセス 例タブをクリックし、OSPFプロセスを有効に し、OSPFプロセス ID を入力して下さい。

  9. Area/Networks タブをクリックし、エリアID (0 この場合)を設定し、OSPFプロセスを実行するネットワークを追加するために『Add』 をクリック して下さい。 内部および外部サブネットを追加し、次に『OK』 をクリック して下さい。

  10. ASA にコンフィギュレーション変更を押すために『Apply』 をクリック して下さい。

  11. VPN 上のリモートピアでのポイントツーポイント隣接性を形成できるように outside インターフェイスを設定して下さい。 > デバイス セットアップ > ルーティング > OSPF > インターフェイス 『Configuration』 を選択 して下さい。 Properties タブをクリックし、outside インターフェイスを選択して下さい。 [Edit] をクリックします。 編集ボックスでは、ブロードキャスト チェックボックスのチェックを外し、『OK』 をクリック して下さい。 変更を押すために『Apply』 をクリック して下さい。

  12. 静的な OSPFネイバとしてリモートピアを規定 して下さい。 > デバイス セットアップ > ルーティング > OSPF > 静的ネイバー 『Configuration』 を選択 し、『Add』 をクリック して下さい。 追加 OSPFネイバ エントリ ウィンドウ、なぜならステップ 8 で定義される OSPFプロセス ID ではネイバーとしてリモートピア IP および外部としてインターフェイスを規定 して下さい。 『OK』 をクリック し、次に『Apply』 をクリック して下さい。

  13. リモートピア IP アドレスのためのローカル ASA の静的なアドレス解決プロトコル(ARP) エントリを設定して下さい。 この理由はこの ASA が OSPF によって学習するルートにネクスト ホップとしてピアIP アドレス 198.51.100.1 があることです。 198.51.100.1 に達するために、ASA は再度 ASA が再帰ルート ルックアップをサポートしないので可能性のあるではないルート ルックアップをしなければなりません。 リモート宛先のためのパケットを転送するために、ピアIP アドレスに対応する ASA はレイヤ2 アドレスを必要とします。 ネクスト ホップ IP アドレスの MAC アドレスをマッピング するために VPN ピアIP アドレスにスタティック ARP を与えて下さい。 これをするために、『Configuration』 を選択 するために > デバイス管理は > > ARP > ARP スタティックテーブル進み、ここに示されているようにスタティック ARP を設定するために『Add』 をクリック します。 リモート エンドの同じようで静的な ARPエントリを同様に与えなければなりません。

  14. テストの目的で、VPN トンネルによる内部インターフェイスのイネーブル 管理アクセス。 これをするため、> デバイス管理 > 管理アクセス > マネージメントインターフェイス 『Configuration』 を選択 し、管理アクセス インターフェイスを中として規定 するため。

確認

ここでは、設定が正常に動作していることを確認します。

特定の show コマンドがアウトプット インタープリタ ツール登録ユーザ専用)でサポートされています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用します。

show crypto isakmp sa - Internet Security Association and Key Management Protocol(ISAKMP) Security Association (SA)を示します同位の間で構築される。

LOCAL-ASA# show crypto isakmp sa

There are no IKEv1 SAs

IKEv2 SAs:

Session-id:6, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local Remote Status Role
5924753 203.0.113.1/500 198.51.100.1/500 READY INITIATOR
Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/7922 sec
Child sa: local selector 203.0.113.1/0 - 203.0.113.1/0
remote selector 198.51.100.1/0 - 198.51.100.1/0
ESP spi in/out: 0x28b5cd3d/0xb785cc6d


REMOTE-ASA# show crypto isakmp sa
There are no IKEv1 SAs
IKEv2 SAs:

Session-id:6, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local Remote Status Role
1760437 198.51.100.1/500 203.0.113.1/500 READY RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/7934 sec
Child sa: local selector 198.51.100.1/0 - 198.51.100.1/0
remote selector 203.0.113.1/0 - 203.0.113.1/0
ESP spi in/out: 0xb785cc6d/0x28b5cd3d

show crypto ipsec sa -構築されるおよび送信 される トラフィック量を示します毎フェーズを 2 SA。

LOCAL-ASA# show crypto ipsec sa
interface: outside
Crypto map tag: outside_map, seq num: 1, local addr: 203.0.113.1

access-list outside_cryptomap extended permit ospf interface outside host
198.51.100.1 log disable
local ident (addr/mask/prot/port): (203.0.113.1/255.255.255.255/89/0)
remote ident (addr/mask/prot/port): (198.51.100.1/255.255.255.255/89/0)
current_peer: 198.51.100.1


#pkts encaps: 828, #pkts encrypt: 828, #pkts digest: 828
#pkts decaps: 814, #pkts decrypt: 814, #pkts verify: 814
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 828, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 203.0.113.1/500, remote crypto endpt.: 198.51.100.1/500
path mtu 1500, ipsec overhead 74(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: B785CC6D
current inbound spi : 28B5CD3D

inbound esp sas:
spi: 0x28B5CD3D (683003197)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, }
slot: 0, conn_id: 126976, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4239306/20803)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0xB785CC6D (3078999149)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, }
slot: 0, conn_id: 126976, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4193224/20803)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001


REMOTE-ASA# show crypto ipsec sa
interface: outside
Crypto map tag: outside_map, seq num: 1, local addr: 198.51.100.1

access-list outside_cryptomap extended permit ospf interface outside host
203.0.113.1 log disable
local ident (addr/mask/prot/port): (198.51.100.1/255.255.255.255/89/0)
remote ident (addr/mask/prot/port): (203.0.113.1/255.255.255.255/89/0)
current_peer: 203.0.113.1


#pkts encaps: 814, #pkts encrypt: 814, #pkts digest: 814
#pkts decaps: 829, #pkts decrypt: 829, #pkts verify: 829
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 814, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 198.51.100.1/500, remote crypto endpt.: 203.0.113.1/500
path mtu 1500, ipsec overhead 74(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: 28B5CD3D
current inbound spi : B785CC6D

inbound esp sas:
spi: 0xB785CC6D (3078999149)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, }
slot: 0, conn_id: 61440, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4008904/20796)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x28B5CD3D (683003197)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, }
slot: 0, conn_id: 61440, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4054986/20796)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001

示して下さい OSPFネイバ- OSPFネイバ関係ステータスを表示します。

LOCAL-ASA# show ospf neighbor

Neighbor ID Pri State Dead Time Address Interface
198.51.100.1 1 FULL/ - 0:00:32 198.51.100.1 outside

REMOTE-ASA# show ospf neighbor

Neighbor ID Pri State Dead Time Address Interface
203.0.113.1 1 FULL/ - 0:00:39 203.0.113.1 outside

show route - IPルーティングテーブル エントリを表示する。

LOCAL-ASA# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

C 203.0.113.0 255.255.255.0 is directly connected, outside
O 172.16.30.0 255.255.255.0 [110/20] via 198.51.100.1, 1:45:52, outside
C 172.16.20.0 255.255.255.0 is directly connected, inside
S 198.51.100.0 255.255.255.0 [1/0] via 203.0.113.2, outside
S 10.24.21.126 255.255.255.255 [1/0] via 10.105.130.1, management
C 10.105.130.0 255.255.255.0 is directly connected, management


REMOTE-ASA# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

S 203.0.113.0 255.255.255.0 [1/0] via 198.51.100.2, outside
C 172.16.30.0 255.255.255.0 is directly connected, inside
O 172.16.20.0 255.255.255.0 [110/20] via 203.0.113.1, 1:45:57, outside
C 198.51.100.0 255.255.255.0 is directly connected, outside
S 10.24.21.126 255.255.255.255 [1/0] via 10.105.130.1, management
C 10.105.130.0 255.255.255.0 is directly connected, management

接続を確認するために各デバイスからピアデバイスの内部インターフェイスを ping して下さい。

LOCAL-ASA# ping inside 172.16.30.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.30.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms


REMOTE-ASA# ping inside 172.16.20.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.20.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 63882