セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PDM を使用したファイアウォール間の冗長トンネルの作成

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco PIX Device Manager(PDM)を使用して、2 つの PIX Firewall 間にトンネルを設定するために使用する手順について説明します。 PIX Firewall は、2 つの異なるサイトに配置されます。 プライマリ パスに到達できない場合は、冗長リンクを経由するトンネルを開始することを推奨します。 IPSec とは、IPSec ピア間でデータの機密性、データの完全性、およびデータの発信元の認証を提供するオープン スタンダードの組み合わせです。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • 6.x および PDM バージョン 3.0 との CiscoセキュアPIX 515E ファイアウォール

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

redundant-firewalls-pdm-10.gif

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

IPsec ネゴシエーションは 5 つのステップ分割することができ 2 インターネット キー エクスチェンジ(IKE)フェーズが含まれています。

IPSecトンネルは関連 トラフィックによって開始します。 IPsec ピアの間を転送されるトラフィックは、対象トラフィックとみなされます。

IKE フェーズ 1 では、IPSec ピアは確立された IKE Security Association (SA) ポリシーをネゴシエートします。 ピアが認証されると、Internet Security Association and Key Management Protocol(ISAKMP)を使用して安全なトンネルが作成されます。

IKE フェーズ 2 では、IPSec ピアは IPsec SA 変換をネゴシエートするのに認証済み の 安全なトンネルを使用します。 共有ポリシーのネゴシエーションによって、IPsec トンネルの確立方法が決まります。

IPSecトンネルは作成され、データは IPsec トランスフォーム セットで設定される IPSecパラメータに基づいて IPSec ピアの間で転送されます。

IPsec SA が削除されるか、そのライフタイムの有効期限が切れると、IPsec トンネルは終了します。

注: 2 つの PIX 間の IPsec ネゴシエーションは IKE フェーズの両方の SA が同位で一致する場合失敗します。

設定

このプロシージャは PIXファイアウォールの 1 の設定によってトンネルを引き起こすために時関連 トラフィック 存在ガイドします。 この設定はまた PIX-01 と PIX-02 間に接続がルータ 1 (R1)を通ってないときルータ 2 (R2)を通してバックアップリンクを通してトンネルを確立するのを助けます。 この資料は PDM を使用して PIX-01 の設定を示したものです。 同じような行の PIX-02 を設定できます。

この資料は既にルーティングを設定してしまったと仮定します。

一度に稼働する 1 リンクだけに関しては R2 に 192.168.1.0 ネットワークのために、また 172.30.0.0 ネットワークのためにより悪いメトリックをアドバタイズさせます。 たとえば、ルーティングのために RIP を使用すれば、R2 に他のネットワーク アドバタイズメントから離れてこの設定があります:

R2(config)#router rip
R2(config-router)#offset-list 1 out 2 s1 
R2(config-router)#offset-list 2 out 2 e0
R2(config-router)#exit 
R2(config)#access-list 1 permit 172.30.0.0 0.0.255.255
R2(config)#access-list 2 permit 192.168.1.0 0.0.0.255

設定手順

PDM を起動させ、VPN タブをはじめてクリックするために https:// <Inside_IP_Address_on_PIX> をタイプする時自動 VPN ウィザード ディスプレイについての情報。

redundant-firewalls-pdm-1.gif

  1. Wizards > VPN Wizard の順に選択 して下さい。

    redundant-firewalls-pdm-2.gif

  2. VPN ウィザードは設定したいと思う VPN の種類のために開始し、プロンプト表示します。 サイト間VPN を選択し、VPN が有効に なる選択し、『Next』 をクリック して下さいインターフェイスとして outside インターフェイスを

    redundant-firewalls-pdm-3.gif

  3. IPSecトンネルが終了する必要があるピアIP アドレスを入力して下さい。 この例では、トンネルは PIX-02 の outside インターフェイスで終了します。 [Next] をクリックします。

    redundant-firewalls-pdm-4.gif

  4. 『Next』 をクリック することを使用し、選択する IKE ポリシー パラメータを入力して下さい。

    redundant-firewalls-pdm-5.gif

  5. 暗号化および認証パラメータを設定 される トランスフォームに提供し、『Next』 をクリック して下さい。

    redundant-firewalls-pdm-6.gif

  6. 保護する必要がある関連 トラフィックを選択するために IPsec を使用して保護する必要があるリモートネットワークおよびローカルネットワークを選択して下さい。

    redundant-firewalls-pdm-7.gif

    redundant-firewalls-pdm-8.gif

確認

関連 トラフィックがピアへある場合、トンネルは PIX-01 と PIX-02 の間で確立されます。

これを確認するために、トンネルが R2 によって PIX-01 と PIX-02 の間でとき関連 トラフィック 存在確立される R1 シリアルインターフェイスをシャットダウンして下さい。

トンネルの形成を確認するために PDM のホームの下で VPN ステータスを(赤で強調表示されている)表示して下さい。

redundant-firewalls-pdm-9.gif

また PDM のツールの下で CLI を使用してトンネルの形成を確認できます。 暗号化されるトンネルの形成をチェックし、カプセル化される観察するパケットの数を show crypto ipsec sa コマンドを発行する show crypto isakmp sa コマンドを等発行して下さい。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

PDM を使用して PIXファイアウォールの設定に関する詳細については Cisco PIX Device Manager 3.0 を参照して下さい。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 66166