セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PDM を使用した 2 台の PIX 間の LAN-to-LAN VPN トンネルの設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco PIX Device Manager(PDM)を使用して 2 つの PIX Firewall 間に VPN のトンネルを設定する手順について説明します。 PDM は、GUI を使用して PIX Firewall をセットアップ、設定、モニタするために設計されているブラウザ ベースの設定ツールです。 PIX Firewall は、2 つの異なるサイトに配置されます。

トンネルは IPsec を使用して形成されます。 IPSec とは、IPSec ピア間でデータの機密性、データの完全性、およびデータの発信元の認証を提供するオープン スタンダードの組み合わせです。

前提条件

要件

この資料のための必要条件がありません。

使用するコンポーネント

この文書に記載されている情報は 6.x および PDM バージョン 3.0 との CiscoセキュアPIX 515E ファイアウォールに基づいています。

簡単なPIX-to-PIX VPNトンネルの Command Line Interface (CLI)を使用した 2 つの PIXデバイス間の VPN トンネルの設定の設定例のための IPsec を使用した設定を参照して下さい。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

l2l-tunnel-using-pdm-a.gif

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

IPsec ネゴシエーションは 5 つのステップ分割することができ 2 インターネット キー エクスチェンジ(IKE)フェーズが含まれています。

  1. IPSecトンネルは関連 トラフィックによって開始します。 IPsec ピアの間を転送されるトラフィックは、対象トラフィックとみなされます。

  2. IKE フェーズ 1 では、IPSec ピアは確立された IKE Security Association (SA) ポリシーをネゴシエートします。 ピアが認証されると、Internet Security Association and Key Management Protocol(ISAKMP)を使用して安全なトンネルが作成されます。

  3. IKE フェーズ 2 では、IPSec ピアは IPsec SA 変換をネゴシエートするのに認証済み の 安全なトンネルを使用します。 共有ポリシーのネゴシエーションによって、IPsec トンネルの確立方法が決まります。

  4. IPSecトンネルは作成され、データは IPsec トランスフォーム セットで設定される IPSecパラメータに基づいて IPSec ピアの間で転送されます。

  5. IPsec SA が削除されるか、そのライフタイムの有効期限が切れると、IPsec トンネルは終了します。

    注: 2 つの PIX 間の IPsec ネゴシエーションは IKE フェーズの両方の SA が同位で一致する場合失敗します。

設定手順

イーサネットによってそれにアクセスする PIX の CLI の他の一般的 な 設定から離れて 0 インターフェイスは、<local_ip> および <mask> が PDM がインストールされているワークステーションの IP アドレスおよびマスクであるコマンド HTTPサーバ イネーブルをおよび HTTPサーバ <local_ip> <mask> <interface> を使用します。 この資料の設定は PIX-01 のためです。 PIX-02 は別のアドレスで同じステップを使用して設定することができます。

次の手順を実行します。

  1. ブラウザを開き、PDM の PIX にアクセスするために https:// <Inside_IP_Address_of_PIX> を入力して下さい。

  2. VPN タブに『Configuration』 をクリック し、行って下さい。

    l2l-tunnel-using-pdm-1.gif

  3. 設定 される トランスフォームを作成するために IPSec の下で『Transform Sets』 をクリック して下さい。

    l2l-tunnel-using-pdm-2.gif

  4. 『Add』 をクリック し、すべての適切なオプションを選択し、設定 される新しいトランスフォームを作成するために『OK』 をクリック して下さい。

    l2l-tunnel-using-pdm-3.gif

  5. 事前共有キーを設定するために IKE の下で『Pre-Shared Keys』 をクリック して下さい。

    l2l-tunnel-using-pdm-5.gif

  6. 新しい事前共有キーを追加するために『Add』 をクリック して下さい。

    l2l-tunnel-using-pdm-6.gif

    トンネル アソシエーションのためのパスワードであるこのウィンドウはキーを表示します。 これはトンネルの両側で一致するなりません。

    l2l-tunnel-using-pdm-7.gif

  7. ポリシーを設定するために IKE の下で『Policies』 をクリック して下さい。

    l2l-tunnel-using-pdm-8.gif

  8. 適切なフィールドを『Add』 をクリック し、記入して下さい。

    l2l-tunnel-using-pdm-9.gif

  9. 新しいポリシーを追加するために『OK』 をクリック して下さい。

    l2l-tunnel-using-pdm-10.gif

  10. outside インターフェイスを選択して下さい、『Enable』 をクリック すれば、識別 Pull Down メニューから『address』 を選択 して下さい。

    l2l-tunnel-using-pdm-11.gif

  11. IPsec ルールを作成するために IPSec の下で『IPSec Rules』 をクリック して下さい。

    l2l-tunnel-using-pdm-12.gif

  12. 適切なフィールドを記入して下さい。

    l2l-tunnel-using-pdm-14.gif

  13. トンネル ポリシーで『New』 をクリック して下さい。 トンネル ポリシー ウィンドウは現われます。 適切なフィールドを記入して下さい。

    l2l-tunnel-using-pdm-15.gif

  14. IPsec 設定されたルールを見るために『OK』 をクリック して下さい。

  15. すべての IPSecトラフィックがあるようにバイパス アクセスチェックを『VPN Systems Options』 をクリック し、確認して下さい。

    l2l-tunnel-using-pdm-16.gif

確認

関連 トラフィックがピアへある場合、トンネルは PIX-01 と PIX-02 の間で確立されます。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

トンネルの形成を確認するために PDM のホームの下で VPN ステータスを(赤で強調表示されている)表示して下さい。

l2l-tunnel-using-pdm-17.gif

また PDM のツールの下で CLI を使用してトンネルの形成を確認できます。 暗号化されるトンネルの形成をチェックし、カプセル化される観察するパケットの数を show crypto ipsec sa コマンドを発行する show crypto isakmp sa コマンドを等発行して下さい。

注: PIX の内部インターフェイスはトンネルの形成のために管理アクセス コマンドがグローバル な confirguration モードで設定されなければ ping することができません。

PIX-02(config)#management-access inside
PIX-02(config)#show management-access
management-access inside

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 67929