セキュリティ : Cisco NAC アプライアンス(Clean Access)

リモート アクセス VPN のための NAC アプライアンス(Cisco Clean Access)インバンド仮想ゲートウェイの設定例

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2006 年 10 月 3 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco Network Admission Control(NAC; ネットワーク アドミッション コントロール)アプライアンス(以前の Cisco Clean Access)をインバンド仮想ゲートウェイ モードでリモート アクセス VPN 用に設定する方法について段階的に説明します。 Cisco NAC アプライアンスは展開が容易な NAC 製品であり、ネットワーク インフラストラクチャを使用して、ネットワーク コンピュータ リソースにアクセスしようとするすべてのデバイスにセキュリティ ポリシーを適用します。 ネットワーク管理者は、NAC アプライアンスを使用して、有線、無線、リモートのユーザとマシンを、ネットワークにアクセスする前に認証、認定、評価、および修正できます。 NAC アプライアンスでは、ラップトップ、IP 電話、ゲーム コンソールなどのネットワーク デバイスがネットワークのセキュリティ ポリシーに準拠しているかどうかを判断し、ネットワークへのアクセスを許可する前に脆弱性を修正します。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Clean Access バージョン 4.0.3

  • Cisco Adaptive Security Appliance(ASA)バージョン 7.2

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

nac-inband-remote-vpn-1.gif

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

NAC アプライアンス(Cisco Clean Access)の設定

NAC アプライアンス(Cisco Clean Access)を設定するには、次の手順を実行します。

  1. 管理アカウントを使用して Clean Access Manager(CAM)にログインします。

  2. 管理 > CCA サーバを『Device』 を選択 し、新しい Server タブに Cisco CAM に Cisco Clean Access サーバ(CAS)を追加するために行って下さい。

    この例では、CAS の IP アドレスは 10.10.20.162 です。 参考のためにサーバの場所を入力します。 この例では、CAS はリモート アクセス VPN 用に設定されている Cisco ASA の背後にあります。 Server Location の情報は、VPN Remote Access CAS となっています。 Server Type として Virtual Gateway を選択します。

    仮想ゲートウェイとして設定された CAS は、管理対象ネットワークに対するブリッジのような働きをします。 管理対象のクライアントが信頼されているクライアントとサブネットを共有し、既存のゲートウェイまたはアーキテクチャを修正する必要がないときには、仮想ゲートウェイ設定が適しています。 いずれのルーティング デバイスにもスタティック ルートを定義する必要はありません。

    nac-inband-remote-vpn-2.gif

  3. CAS は List of Servers の下に表示されます。 Status が Connected であることを確認してください。 CAS の設定を表示するには、Manage をクリックします。

    トラブルシューティングのヒント: CAM が CAS のインポートに失敗した場合は、接続に問題がないかどうか確認してください。 root としてログインしている場合は、CAM の CLI から CAS に向けて PING を送ることができます。 また、CAM から CAS への SSH 接続を試みることもできます。 CAS で初期設定が完了していることも確認してください。 CLI を使用して CAS を初期化するには、service perfigo config コマンドを使用します。

    nac-inband-remote-vpn-3.gif

  4. Network タブに移動します。

    通常、CAS は、信頼されていないインターフェイスを、複数の VLAN がトランクされているトランク ポートに接続するように設定されます。 このような状態では、管理用の VLAN ID は、CAS の IP アドレスが属している VLAN の VLAN ID になります。

  5. CAS から 2 ホップ以上離れた場所にいるユーザを許可するには、Enable Layer 3 support にチェックマークを付けます。 この例は VPN 構成であるため、このオプションを有効にする必要があります。

    nac-inband-remote-vpn-4.gif

  6. CCA Server の Advanced タブで VLAN Mapping をクリックし、VLAN 10(信頼されていない VLAN)を VLAN 20(信頼されている VLAN)にマップするための VLAN 情報を入力します。

    nac-inband-remote-vpn-5.gif

  7. Cisco ASA のフィルタを作成して、CAS の背後にある保護ネットワークと通信できるようにします。 管理 > フィルター > デバイスを > 新しい『Device』 を選択 し、Cisco ASA (この例の 00:15:C6:FA:39:F7/10.10.20.100)の MAC アドレスおよび IP アドレスを追加して下さい。

    nac-inband-remote-vpn-6.gif

  8. ユーザ認証の後、デバイスに脆弱性が見つからない、もしくは Clean Access Agent の要件が満たされている場合、そのデバイスは各 CAS の CAM によって自動的に Certified Devices リストに追加されます。 認証されたデバイスは、リストから削除されるまではクリーンであると見なされます。 これらのデバイスを任意の時点で Certified Devices リストから削除すると、ネットワークのスキャンとエージェントのチェックを再度実行することができます。

    Clean Access Agent ユーザ用のデバイスは、ログインするたびに要件を満たしているかどうかを確認するために必ずスキャンされます。 フローティング デバイスには、ログインごとに Clean Access の認証が必要であり、ユーザのセッションの間だけ承認されます。 フローティング デバイスの追加は常に手作業で行います。

    この例では、Cisco ASA で終端される VPN Client のセキュリティ ポスチャが CAS によって実行されます。 Cisco ASA は、信頼されている側にあるデバイス(Cisco Secure ACS サーバなど)と通信する必要があります。 ASA はフローティング デバイスとして追加することを推奨します。 Clean Access をデバイス管理の下でクリックし、デバイスを浮かべる証明された Devices > Add を選択して下さい。 ASA の MAC アドレスを入力します(この例では 00:15:C6:FA:39:F7)。 タイプを 1 に設定して、説明を入力します。

    nac-inband-remote-vpn-7.gif

  9. この例では、2 つのロール(sales と engineering)を作成します。 > ユーザの役割 『User Management』 を選択 し、新しいロールを作成するためにロールを『New』 をクリック して下さい。 Role Name と Description に情報を入力します。 この例では、Role Name に sales と入力して、説明を入力します。 Create Role をクリックします。

    nac-inband-remote-vpn-8.gif

  10. 手順 9 を繰り返して engineering ロールを作成します。 このウィンドウは設定後の状態を示しています。

    nac-inband-remote-vpn-9.gif

  11. > ユーザの役割 『User Management』 を選択 し、トラフィック制御タブに各ユーザの役割によって使用されるポリシーを設定するために行って下さい。 該当するロールの下にある Add Policy をクリックします。

    nac-inband-remote-vpn-10.gif

    このウィンドウでは、sales ユーザ用のポリシーを設定しています。 sales ユーザはサブネット 10.1.1.0/24 のみにアクセスできます。 この例では、SALES サブネットへのすべての TCP トラフィックが許可されています。

    nac-inband-remote-vpn-11.gif

    このウィンドウでは、各ユーザ ロールに対して設定されているポリシーがすべて表示されています。 手順 11 を繰り返して sales ユーザと engineering ユーザの UDP トラフィックと TCP トラフィックをそれぞれのサブネットに対して許可するようにします。 また、ICMP も両方のグループに対して許可します。 TCP で修正サーバ(remediation server)(IP アドレス 172.18.85.123)にアクセスできるのは Quarantined ユーザのみです。

    nac-inband-remote-vpn-12.gif

  12. 管理 > Clean Access を『Device』 を選択 し、一般的 な セットアップ タブに行き、エージェント ログインをクリックして下さい。

    各ロールの Require use of Clean Access Agent にチェックマークを付けます。 ユーザ ロールとオペレーティング システムごとに設定します。 ロールに属するユーザは、Web ログインを使用して初めて認証を受けた後、Clean Access Agent のダウンロード ページに転送されます。 エージェントのインストール ファイルをダウンロードして実行するように指示されます。 インストールが完了すると、エージェントを使用してネットワークにログインするためのプロンプトが表示されます。

    nac-inband-remote-vpn-13.gif

  13. NAC アプライアンス(Cisco Clean Access)は、Cisco VPN コンセントレータおよび Cisco ASA(この例の場合)に統合できます。 Cisco Clean Access では、VPN ユーザに対して Single Sign-On(SSO; シングル サインオン)機能を有効にできます。 この機能を実現するには RADIUS アカウンティングを使用します。 CAS は Framed_IP_address 属性または Calling_Station_ID RADIUS 属性から SSO の目的でクライアントの IP アドレスを取得できます。 VPN コンセントレータから CAS/CAM に送信される RADIUS アカウンティング情報によって VPN コンセントレータにログインするユーザの ID と IP アドレス(RADIUS Accounting Start Message)が提供されるため、VPN ユーザは Web ブラウザや Clean Access Agent にログインする必要はありません。 これを実現するには、Cisco VPN デバイス(この例では Cisco ASA)を認証サーバとして追加する必要があります。

    1. > Authサーバ > 新しいサーバ 『User Management』 を選択 して下さい。

    2. ドロップダウン メニューから Cisco VPN Server を選択します。

    3. Cisco VPN コンセントレータによって認証されたユーザに割り当てるユーザ ロールを選択します。

      この例では、Unauthenticated Role が選択されています。 このデフォルト ロールは、MAC アドレスまたは IP アドレスに基づいて他のロールが割り当てられていない場合、または RADIUS マッピング規則に一致しなかった場合に使用されます。

    4. 参考のために Cisco ASA の説明を入力し、Add Server をクリックします。

      nac-inband-remote-vpn-14.gif

  14. > Authサーバ > 新しいサーバ 『User Management』 を選択 し、ドロップダウン メニューから Cisco Secure ACS サーバ(RADIUSサーバ)を追加するために『RADIUS』 を選択 して下さい。

    このウィンドウでの設定項目を次に説明します。

    • Provider Name (オプション)この認証プロバイダーに割り当てる一意の名前を入力します。 Web からログインするユーザが Web ログイン ページからプロバイダーを選択する場合は、意味のわかる名前を入力します。

    • サーバ名—完全修飾 ホスト名(たとえば、auth.cisco.com)または RADIUS認証サーバの IP アドレス。 この例では、Cisco Secure ACS の IP アドレスは 172.18.124.101 です。

    • Server Port RADIUS サーバがリスニングを行うポート番号。

    • RADIUS Type RADIUS 認証の方法。 サポートされている方法には、EAPMD5、Password Authentication Protocol(PAP)、Challenge Handshake Authentication Protocol(CHAP)、および Microsoft(MS-CHAP)があります。 この例では PAP を使用します。

    • Timeout (sec) 認証要求のタイムアウト値。

    • Default Role このプロバイダーによって認証されたユーザに割り当てるロールとして unauthenticated role を選択します。 このデフォルト ロールは、MAC アドレスまたは IP アドレスに基づいて他のロールが割り当てられていない場合、または RADIUS マッピング規則に一致しなかった場合に使用されます。

    • Shared Secret 指定したクライアントの IP アドレスにバインドする RADIUS 共有秘密。

    • NAS-Identifier すべての RADIUS 認証パケットとともに送信される NAS 識別子の値。 パケットを送信するには、NAS 識別子または NAS-IP アドレスを指定する必要があります。

    • NAS-IP-Address すべての RADIUS 認証パケットとともに送信される NAS IP アドレスの値。 パケットを送信するには、NAS-IP アドレスまたは NAS 識別子を指定する必要があります。

    • NAS-Port すべての RADIUS 認証パケットとともに送信される NAS ポートの値。

    • NAS-Port-Type すべての RADIUS 認証パケットとともに送信される NAS ポート タイプの値。

    • Enable Failover このオプションを選択すると、プライマリ RADIUS 認証サーバの応答がタイムアウトになった場合に、2 つ目の認証パケットがフェールオーバー先の RADIUS ピア IP アドレスに送信されます。

    • Failover Peer IP フェールオーバー用の RADIUS 認証サーバの IP アドレス。

    • Allow Badly Formed RADIUS Packets このオプションを選択すると、応答に成功または失敗のコードが含まれている場合、RADIUS 認証クライアントが誤った形式の RADIUS 認証応答に含まれるエラーを無視するようになります。 これは古い形式の RADIUS サーバと互換性を持たせる場合に必要となる場合があります。

    nac-inband-remote-vpn-15.gif

  15. CAS で Single Sign-On(SSO; シングル サインオン)を有効にするには、次の手順を実行します。

    1. 管理 > CCA サーバを『Device』 を選択 し、サーバを選択して下さい(この場合 10.10.20.162)。

    2. Authentication タブを開き、VPN Auth を選択します。

    3. Single Sign-On および Auto Logout にチェックマークを付けて、RADIUS アカウンティング ポートを入力します(サポートされているのはポート 1813 のみです)。

    nac-inband-remote-vpn-16.gif

  16. VPN Concentrators サブタブを開き、ASA 情報を入力して、Add VPN Concentrator をクリックします。

    nac-inband-remote-vpn-17.gif

  17. Accounting Servers サブタブを開き、RADIUS アカウンティング サーバの情報を入力して、Add Accounting Server をクリックします。

    nac-inband-remote-vpn-18.gif

  18. Accounting Mapping サブタブを開き、VPN Concentrator プルダウン メニューから ASA を選択し(この例では asa1.cisco.com [10.10.20.100])、アカウンティング サーバを選択します(この例では acs1.cisco.com [172.18.85.181:1813])。

    nac-inband-remote-vpn-19.gif

Cisco ASA の設定

このセクションでは、Adaptive Security Device Manager(ASDM)を使用して Cisco ASA を設定する方法について説明します。 VPN Wizard では、基本的な LAN-to-LAN 接続とリモート アクセス VPN 接続を設定できます。 高度な機能の編集や設定には ASDM を使用します。

  1. 起動 VPN ウィザードを Configuration > VPN の順に選択 し、VPN ウィザードを起動させるためにクリックして下さい。

    nac-inband-remote-vpn-20.gif

  2. VPN Tunnel Type パネルで、定義する VPN トンネルのタイプとしてリモート アクセスまたは LAN-to-LAN を選択し、リモート IPsec ピアに接続するインターフェイスを指定します。

    Remote Access をクリックして、モバイル ユーザなどの VPN クライアントが安全なリモート アクセスを行うための設定を作成します。 このオプションを選択すると、リモート ユーザが中央のネットワーク リソースへ安全にアクセスできるようになります。 このオプションを選択すると、リモート アクセス VPN に必要な属性を入力するための一連のパネルが VPN Wizard によって表示されます。

    リモート IPsec ピアとの安全なトンネルを確立するためのインターフェイスを選択します(この例では、VPN クライアントはインターネットから接続するため、外部インターフェイスを使用します)。 セキュリティ アプライアンスに複数のインターフェイスがある場合は、このウィザードを実行する前に VPN の設定を計画し、安全な接続が必要なリモート IPsec ピアごとにどのインターフェイスを使用するかを決める必要があります。 インターフェイス アクセス リストをバイパスするには、インバウンド IPsec セッションを有効にします。 これにより、IPsec 認証を受けたインバウンド セッションがセキュリティ アプライアンスの通過を常に許可されるようになります(つまり、インターフェイス アクセス リストのステートメントによるチェックを受けなくなります)。 インバウンド セッションがバイパスするのはインターフェイス Access Control List(ACL; アクセス コントロール リスト)だけであることに注意してください。 設定されたグループ ポリシー ACL、ユーザ ACL、およびダウンロードされた ACL は引き続き適用されます。 [Next] をクリックします。

    nac-inband-remote-vpn-21.gif

  3. リモート アクセス クライアントのタイプを選択します。 この例では、クライアントが Cisco VPN Client を使用しているため、Cisco VPN Client Release 3.x or higher, or other Easy VPN Remote product を選択します。 [Next] をクリックします。

    nac-inband-remote-vpn-22.gif

  4. この例では、トンネル認証に事前共有キーを使用しています。 事前共有キー(この例では cisco123)と VPN Tunnel Group Name(この例では vpngroup)を入力します。 [Next] をクリックします。

    nac-inband-remote-vpn-23.gif

  5. Client Authentication パネルを使用して、セキュリティ アプライアンスがリモート ユーザの認証に使用する方法を選択します。 この例では、RADIUS サーバを使用して VPN クライアントの認証を行います。 New をクリックして新しい AAA サーバ グループを設定します。

    nac-inband-remote-vpn-24.gif

  6. 次の情報を入力して、サーバが 1 台だけ含まれる新しい AAA サーバ グループを設定します。

    • サーバグループ name —タイプ サーバグループの名前。 この名前は、このサーバを使用して認証するユーザに関連付けられます。 この例で使用する Server Group Name は authgroup です。

    • Authentication Protocol サーバが使用する認証プロトコルを選択します。 この例では RADIUS を使用します。

    • Server IP Address AAA サーバの IP アドレスを入力します。 この例で使用する RADIUS サーバの IP アドレスは 172.18.124.101 です。

    • Interface AAA サーバが存在するセキュリティ アプライアンス インターフェイスを選択します。 この例では、AAA サーバは内部インターフェイスに存在します。

    • Server Secret Key 127 文字以下の英数字でキーワードを入力します(大文字と小文字は区別されます)。 サーバとセキュリティ アプライアンスの間で送受信されるデータは、このキーを使用して暗号化します。 このキーは、サーバとセキュリティ アプライアンスの両方で一致している必要があります。 特殊文字も使用できますが、スペースは使用できません。

    • Confirm Server Secret Key 秘密キーを再度入力します。

    nac-inband-remote-vpn-25.gif

  7. VPN クライアントに割り当てるアドレスのアドレス プールを設定します。 新しいプールを作成するには New をクリックします。

    nac-inband-remote-vpn-26.gif

  8. プールの名前、範囲、サブネット マスクを追加します。

    nac-inband-remote-vpn-27.gif

  9. Attributes Pushed to Client (Optional) ウィンドウを使用して、セキュリティ アプライアンスがリモート アクセス クライアントに DNS サーバ、WINS サーバ、デフォルト ドメイン名に関する情報を渡すように設定します。 プライマリおよびセカンダリの DNS サーバと WINS サーバの情報を入力します。 Default Domain Name も入力します。

    nac-inband-remote-vpn-28.gif

  10. IKE Policy ウィンドウを使用して、Phase 1 IKE ネゴシエーションの条項をセットします。 この例では、VPN クライアント接続の IKE ポリシーとして、3DES、SHA、および Diffie-Hellman Group 2 を使用しています。

    nac-inband-remote-vpn-29.gif

  11. IPSec Encryption and Authentication ウィンドウを使用して、Phase 2 IKE ネゴシエーションに使用する暗号化方式と認証方式を選択します。これにより安全な VPN トンネルが作成されます。 この例では、3DES と SHA を使用しています。

    nac-inband-remote-vpn-30.gif

  12. Address Translation Exemption (Optional) ウィンドウを使用して、アドレス変換を必要としないローカルのホストとネットワークを指定します。

    デフォルトでは、内部のホストとネットワークの実際の IP アドレスは、セキュリティ アプライアンスによって外側のホストから見えないようにされています。これにはダイナミックまたはスタティックな Network Address Translation(NAT; ネットワーク アドレス変換)が使用されます。 NAT を使用すると信頼されていない外側のホストから攻撃を受けるリスクを最小限に抑えることができますが、VPN によって認証され保護されるホストに対しては不適切な場合があります。

    たとえば、ダイナミック NAT を使用する内部ホストは、プールからランダムに選択されたアドレスにマッチングすることによって変換された IP アドレスを持っています。 外側から見えるのは変換されたアドレスだけです。 リモートの VPN クライアントが、これらのホストに接続しようとして実際の IP アドレスにデータを送信しても、NAT の除外ルールを設定しない限り接続することはできません。

    nac-inband-remote-vpn-31.gif

  13. Summary ウィンドウで情報が正確であることを確認し、Finish をクリックします。

    nac-inband-remote-vpn-32.gif

  14. これは非常に重要な手順です。 Cisco ASA では、SSO を実行してセキュリティ ポスチャ チェックを行うために、RADIUS アカウンティング メッセージを CAS に送信する必要があります。

    新しい AAA サーバ グループを追加するには、次の手順を実行します。

    1. Configuration > Properties > AAA Setup > AAA Server Groups の順に選択 し、『Add』 をクリック して下さい。

    2. Server Group にサーバ グループ名を入力します(この例では CAS_Accounting)。

    3. Protocol として RADIUS を選択します。

    4. Accounting Mode を Single に、Reactivation Mode を Depletion に設定します。

    5. [OK] をクリックします。

    nac-inband-remote-vpn-33.gif

  15. 新しい AAA サーバ エントリを追加します。 この例では、内部インターフェイスに存在する CAS の IP アドレス(10.10.20.162)がこの AAA サーバになります。 Server Authentication Port(1812)と Server Accounting Port(1813)を設定します。 [OK] をクリックします。

    nac-inband-remote-vpn-34.gif

    次のように新しい AAA サーバ グループと AAA サーバが表示されます。

    nac-inband-remote-vpn-35.gif

  16. 設定した VPN グループ(この例では vpngroup)のアカウンティング サーバとして CAS を追加するには、次の手順を実行します。

    1. Configuration > VPN > General > Tunnel Group の順に選択 して下さい。

    2. トンネル グループを選択します。

    3. [Edit] をクリックします。

    nac-inband-remote-vpn-36.gif

  17. Accounting タブを開き、Accounting Server Group プルダウン メニューから新しい AAA サーバ グループを選択します(この例では CAS_Accounting)。

    nac-inband-remote-vpn-37.gif

ASA CLI の設定

ASA-1#show running-config
: Saved
:
ASA Version 7.2(1)
!
hostname ASA-1
domain-name cisco.com
enable password 8Ry2YjIyt7RRXU24 encrypted
names
dns-guard
!
interface GigabitEthernet0/0
description Outside Interface Facing the Internet
nameif outside
security-level 0
ip address 209.165.200.225 255.255.255.0
!
interface GigabitEthernet0/1
description Inside Interface
nameif inside
security-level 100
ip address 10.10.20.100 255.0.0.0
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 172.18.85.174 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa721-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name cisco.com
access-list outside_cryptomap extended permit ip any 10.10.55.0 255.255.255.0
access-list something extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
mtu management 1500
ip local pool pool1 10.10.55.1-10.10.55.254 mask 255.255.255.0
no failover
icmp permit any inside
icmp permit any management
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
access-group something in interface outside
access-group something in interface inside
route inside 172.18.85.181 255.255.255.255 10.10.20.1 1
route inside 0.0.0.0 0.0.0.0 10.10.20.1 tunneled
route outside 0.0.0.0 0.0.0.0 209.165.200.226 1
route inside 172.18.85.0 255.255.255.0 10.10.20.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
aaa-server authgroup protocol radius
aaa-server authgroup host 172.18.85.181
timeout 5
key cisco123
authentication-port 1812
accounting-port 1813
aaa-server test protocol radius
aaa-server test host 10.10.20.162
key cisco123
accounting-port 1813
aaa-server CAS_Accounting protocol radius
aaa-server CAS_Accounting host 10.10.20.162
key cisco123
authentication-port 1812
accounting-port 1813
radius-common-pw cisco123
group-policy vpngroup internal
group-policy vpngroup attributes
wins-server value 172.18.108.40 172.18.108.41
dns-server value 172.18.108.40 172.18.108.41
vpn-tunnel-protocol IPSec
default-domain value cisco.com
username cisco password ffIRPGpDSOJh9YLq encrypted
http server enable
http 0.0.0.0 0.0.0.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set FirstSet esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto map abcmap 1 set peer 202.83.212.69
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group vpngroup type ipsec-ra
tunnel-group vpngroup general-attributes
address-pool pool1
authentication-server-group authgroup
accounting-server-group CAS_Accounting
default-group-policy vpngroup
tunnel-group vpngroup ipsec-attributes
pre-shared-key *
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 management
ssh timeout 5
console timeout 0
!
class-map class_sip_tcp
match port tcp eq sip
class-map class_sip_udp
match port udp eq sip
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect sqlnet
inspect sunrpc
inspect tftp
inspect xdmcp
class class_sip_tcp
inspect sip
class class_sip_udp
inspect sip
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:8e30f7ade3dcb3d1ae0da79a9d94371e
: end
[OK]

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 71573