IP : Cisco PIX 500 シリーズ セキュリティ アプライアンス

Sonicwall 製品と PIX ファイアウォールの間の VPN 設定例

2005 年 9 月 26 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2007 年 1 月 5 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      関連製品
      表記法
設定
      ネットワーク ダイアグラム
      Sonicwall の設定
      IPsec メイン モードの設定
      IPsec アグレッシブ モードの設定
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この文書では、アグレッシブ モードとメイン モードの両方を使用して 2 つのプライベート ネットワーク間の通信を行う、事前共有キーを使用した IPsec トンネルの設定方法の例を示します。 この例で通信するネットワークは、Cisco PIX ファイアウォールの内側の 192.168.1.x プライベート ネットワークと Sonicwall(TM) TZ170 ファイアウォールの内側の 172.22.1.x プライベート ネットワークです。

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

  • この設定を開始する前に、PIX の内側のトラフィックと Sonicwall TZ170 の内側のトラフィックがインターネット(ここでは 10.x.x.x ネットワーク)に流れている必要があります。

  • ユーザが IPsec のネゴシエーションに精通している必要があります。 この処理は、2 つの Internet Key Exchange(IKE; インターネット キー エクスチェンジ)フェーズを含む、次の 5 つの手順に分けることができます。

    1. IPsec トンネルが対象トラフィックによって起動されます。 IPsec ピアの間を転送されるトラフィックは、対象トラフィックとみなされます。

    2. IKE フェーズ 1 では、確立済みの IKE Security Association(SA; セキュリティ アソシエーション)ポリシーを IPsec のピア同士がネゴシエートします。 ピアが認証されたら、Internet Security Association and Key Management Protocol(ISAKMP)を使用するセキュアなトンネルが作成されます。

    3. IKE フェーズ 2 では、IPsec のピア同士が認証済みのセキュアなトンネルを使用して、IPsec SA トランスフォームをネゴシエートします。 共有ポリシーのネゴシエーションによって、IPsec トンネルの確立方法が決まります。

    4. IPsec トンネルの作成と IPsec のピア間でデータ転送は、IPsec トランスフォーム セットに設定された IPsec パラメータに基づいて行われます。

    5. IPsec SA が削除されるか、そのライフタイムの有効期限が切れると、IPsec トンネルは終了します。

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco PIX 515E バージョン 6.3(5)

  • Cisco PIX 515 バージョン 7.0(2)

  • Sonicwall TZ170、SonicOS Standard 2.2.0.1

この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。この文書内で使用されているデバイスはすべて、クリアな状態(デフォルト)から設定作業を始めています。対象のネットワークが実稼動中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

関連製品

この設定は、次のバージョンのハードウェアとソフトウェアにも使用できます。

  • PIX 6.3(5) の設定は、同じバージョンのソフトウェアが動作する他のすべての Cisco PIX ファイアウォール製品(PIX 501、506 など)で使用できます。

  • PIX 7.0(2) の設定が使用できるのは、PIX 7.0 トレインのソフトウェアが動作するデバイス(501、506、および一部の古い 515 を除く)だけです。

表記法

文書表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、この文書で説明する機能を設定するための情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

注:IPsec のアグレッシブ モードでは、Sonicwall が PIX に対して IPsec トンネルを起動する必要があります。 この設定のデバッグ情報を解析すれば、これがわかります。 これは IPsec のアグレッシブ モードの動作方法に起因するものです。

ネットワーク ダイアグラム

この文書では、次のネットワーク構成を使用しています。

vpn-sonicwall-pixfw-1.gif

Sonicwall の設定

Sonicwall TZ170 の設定は、Web ベースのインターフェイスで行います。

次の手順を実行します。

  1. 標準の Web ブラウザを使用して、内部インターフェイスの 1 つにあるルータの IP アドレスに接続します。

    次のログイン ウィンドウが表示されます。

    vpn-sonicwall-pixfw-2.gif

  2. Sonicwall デバイスにログインして、VPN > Settings の順に選択します。

    vpn-sonicwall-pixfw-3.gif

  3. 使用する VPN ピアの IP アドレスと事前共有秘密を入力します。 Destination Networks の Add をクリックします。

    vpn-sonicwall-pixfw-4.gif

  4. 宛先ネットワークを入力します。

    vpn-sonicwall-pixfw-5.gif

    Settings ウィンドウが表示されます。

    vpn-sonicwall-pixfw-6.gif

  5. Settings ウィンドウの上部の Proposals タブをクリックします。

  6. この設定で使用する交換モード(メイン モードまたはアグレッシブ モード)を、フェーズ 1 とフェーズ 2 の他の設定とともに選択します。

    この設定例では、両方のフェーズで AES-256 暗号化を使用し、認証には SHA1 ハッシュ アルゴリズム、IKE ポリシーには 1024 ビット Diffie-Hellman グループ 2 を使用しています。

    vpn-sonicwall-pixfw-7.gif

  7. Advanced タブをクリックします。

    このタブでは、さらに追加オプションを設定する必要がある場合もあります。 この設定例では、次のように設定されています。

    vpn-sonicwall-pixfw-8.gif

  8. OK をクリックします。

    この設定とリモート PIX の設定が終わったら、Settings ウィンドウは、次の Settings ウィンドウの例のようになっている必要があります。

    vpn-sonicwall-pixfw-9.gif

IPsec メイン モードの設定

このセクションでは、次の設定を使用します。

Cisco PIX 515e バージョン 6.3(5)

  pix515e-635#show running-config
   : Saved
   :
   PIX Version 6.3(5)
   
   !--- 両方のインターフェイスのハードウェア速度を auto に設定します。
   
   interface ethernet0 auto
   interface ethernet1 auto
   
   !--- 内側と外側のインターフェイスを指定します。
   
   nameif ethernet0 outside security0
   nameif ethernet1 inside security100
   enable password 8Ry2YjIyt7RRXU24 encrypted
   passwd 2KFQnbNIdI.2KYOU encrypted
   hostname pix515e-635
 
   fixup protocol dns maximum-length 512
   fixup protocol ftp 21
   fixup protocol h323 h225 1720
   fixup protocol h323 ras 1718-1719
   fixup protocol http 80
   fixup protocol rsh 514
   fixup protocol rtsp 554
   fixup protocol sip 5060
   fixup protocol sip udp 5060
   fixup protocol skinny 2000
   fixup protocol smtp 25
   fixup protocol sqlnet 1521
   fixup protocol tftp 69
   names
   
   !--- IPsec トンネルを通過できるトラフィックを指定します。
   
   access-list pixtosw permit ip 192.168.1.0 255.255.255.0 172.22.1.0 255.255.255.0
   pager lines 24
   mtu outside 1500
   mtu inside 1500
   
   !--- 内側と外側の IP アドレスとサブネット マスクを設定します。
   
   ip address outside 10.20.20.1 255.255.255.0
   ip address inside 192.168.1.1 255.255.255.0
   ip audit info action alarm
   ip audit attack action alarm
   pdm history enable
   arp timeout 14400
   
   !--- 外側のインターフェイスの IP アドレスに対して PAT を実行するように PIX に指示します。
   
   global (outside) 1 interface
   
   !--- NAT 対象外のアドレス(トンネリングするトラフィック)を指定します。
   
   nat (inside) 0 access-list pixtosw
   
   !--- どのアドレスに NAT を適用するか(対象外のアドレス以外はすべて)を指定します。
   
   nat (inside) 1 0.0.0.0 0.0.0.0 0 0
   
   !--- 外側のインターフェイスにデフォルト ルートを指定します。
   
   route outside 0.0.0.0 0.0.0.0 10.20.20.2 1
   timeout xlate 3:00:00
   timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
   timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
   timeout sip-disconnect 0:02:00 sip-invite 0:03:00
   timeout uauth 0:05:00 absolute
   aaa-server TACACS+ protocol tacacs+
   aaa-server TACACS+ max-failed-attempts 3
   aaa-server TACACS+ deadtime 10
   aaa-server RADIUS protocol radius
   aaa-server RADIUS max-failed-attempts 3
   aaa-server RADIUS deadtime 10
   aaa-server LOCAL protocol local
   no snmp-server location
   no snmp-server contact
   snmp-server community public
   no snmp-server enable traps
   floodguard enable
   
   !--- IPsec トンネルからのすべてのパケットに対する暗示的な許可。
   
   sysopt connection permit-ipsec
   
   !--- フェーズ 2 の設定:
   !--- フェーズ 2 の暗号化と認証で使用するトランスフォーム セットを定義します。
   !--- Austinlab は aes-256 の暗号化と SHA1 ハッシュ アルゴリズムを認証に使用する 
   !--- トランスフォーム セットの名前です。
  
   
   crypto ipsec transform-set austinlab esp-aes-256 esp-sha-hmac
   
   !---  マップ「maptosw」で使用する IPsec SA を確立するために IKE を使用することを指定します。
   
   crypto map maptosw 67 ipsec-isakmp
   
   !--- ACL「pixtosw」をこのマップで使用することを指定します。
   . 
   crypto map maptosw 67 match address pixtosw
   
   !--- このマップで使用する IPsec ピアを指定します。
   
   crypto map maptosw 67 set peer 10.10.10.1
   
   !--- 使用するトランスフォーム セットを指定します。
   
   crypto map maptosw 67 set transform-set austinlab
   
   !--- このマップで使用するインターフェイスを指定します。
   
   crypto map maptosw interface outside
   
   
   !--- フェーズ 1 の設定
 
   !--- IPsec トンネルに使用するインターフェイスを指定します。
   
   isakmp enable outside
   
   !--- 事前共有キーとそのキーとともに使用するアドレスを指定します。
   !--- この場合は、1 つのアドレスだけで事前共有キー cisco123 が使用されています。
   
   isakmp key ******** address 10.10.10.1 netmask 255.255.255.255
   
   !--- IKE ネゴシエーションで PIX が自分自身を特定する方法 
   !--- (この場合は IP アドレス)を指定します。
  
   
   isakmp identity address
   
   !--- 次の 5 つのコマンドで、この設定例特有の 
   !--- フェーズ 1 の設定を指定します。
  
   
   isakmp policy 13 authentication pre-share
   isakmp policy 13 encryption aes-256
   isakmp policy 13 hash sha
   isakmp policy 13 group 2
   isakmp policy 13 lifetime 28800
   telnet timeout 5
   ssh timeout 5
   console timeout 0
   terminal width 80
   Cryptochecksum:07a3815d59db9965b72c7d8a7aaf7f5f
   : end
   pix515e-635#

Cisco PIX 515 バージョン 7.0(2)

  pix515-702#show running-config
   : Saved
   :
   PIX Version 7.0(2)
   names
   !
   
   !--- PIX 7 では、Cisco IOS(R) に似たインターフェイス設定モードを使用します。
   !--- この出力では、Ethernet0 と Ethernet1 インターフェイスの 
   !--- IP アドレス、インターフェイス名、およびセキュリティ レベルが設定されています。
  
   
   interface Ethernet0
     nameif outside
     security-level 0
     ip address 10.20.20.1 255.255.255.0
   !
   interface Ethernet1
     nameif inside
     security-level 100
     ip address 192.168.1.1 255.255.255.0
   !
   interface Ethernet2
     shutdown
     no nameif
     no security-level
     no ip address
   !
   interface Ethernet3
     shutdown
     no nameif
     no security-level
     no ip address
   !
   interface Ethernet4
     shutdown
     no nameif
     no security-level
     no ip address
   !
   interface Ethernet5
     shutdown
     no nameif
     no security-level
     no ip address
   !
   enable password 8Ry2YjIyt7RRXU24 encrypted
   passwd 2KFQnbNIdI.2KYOU encrypted
   hostname pix515-702
   domain-name cisco.com
   ftp mode passive
   
   !--- IPsec トンネルを通過できるトラフィックを指定します。
   
   access-list pixtosw extended permit ip 192.168.1.0 255.255.255.0 172.22.1.0 255.255.255.0
   pager lines 24
   mtu inside 1500
   mtu outside 1500
   no failover
   monitor-interface inside
   monitor-interface outside
   no asdm history enable
   arp timeout 14400
   
   !--- 外側のインターフェイスの IP アドレスに対して PAT を実行するように PIX に指示します。
   
   global (outside) 1 interface
   
   !--- NAT 対象外のアドレス(トンネリングするトラフィック)を指定します。
   
   nat (inside) 0 access-list pixtosw
   
   !--- どのアドレスに NAT を適用するか(対象外のアドレス以外はすべて)を指定します。
   
   nat (inside) 1 0.0.0.0 0.0.0.0
   
   !--- 外側のインターフェイスにデフォルト ルートを指定します。
   
   route outside 0.0.0.0 0.0.0.0 10.20.20.2 1
   timeout xlate 3:00:00
   timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
   timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
   timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
   timeout uauth 0:05:00 absolute
   no snmp-server location
   no snmp-server contact
   snmp-server enable traps snmp
   
   !--- IPsec トンネルからのすべてのパケットに対する暗示的な許可。
   
   sysopt connection permit-ipsec
   
   
   !--- フェーズ 2 の設定
   !--- フェーズ 2 の暗号化と認証で使用するトランスフォーム セットを定義します。
   !--- Austinlab は aes-256 の暗号化と SHA1 ハッシュ アルゴリズムを認証に使用する
   !--- トランスフォーム セットの名前です。
  
   
   crypto ipsec transform-set austinlab esp-aes-256 esp-sha-hmac
   
   !--- ACL pixtosw をこのマップで使用することを指定します。
   
   crypto map maptosw 67 match address pixtosw
   
   !--- このマップで使用する IPsec ピアを指定します。
   
   crypto map maptosw 67 set peer 10.10.10.1
   
   !--- 使用するトランスフォーム セットを指定します。
   
   crypto map maptosw 67 set transform-set austinlab
   
   !--- このマップで使用するインターフェイスを指定します。
   .
   crypto map maptosw interface outside
   
   
   !--- フェーズ 1 の設定
 
   !--- IKE ネゴシエーションで PIX が自分自身を特定する方法
   !--- (この場合は IP アドレス)を指定します。
  
   
   isakmp identity address
   
   !--- IPsec トンネルに使用するインターフェイスを指定します。
   
   isakmp enable outside
   
   !--- 次の 5 つのコマンドで、この設定例特有の 
   !--- フェーズ 1 の設定を指定します。
  
   
   isakmp policy 13 authentication pre-share
   isakmp policy 13 encryption aes-256
   isakmp policy 13 hash sha
   isakmp policy 13 group 2
   isakmp policy 13 lifetime 28800
   telnet timeout 5
   ssh timeout 5
   console timeout 0
   
   !--- 次の 3 行では、リモート ピアへのトンネルで使用する IPsec アトリビュートを
   !--- 設定しています。  ここで、フェーズ 1 で使用する事前共有キーを定義し、
   !--- IPsec のトンネル タイプをサイトツーサイトに設定します。
  
   
   tunnel-group 10.10.10.1 type ipsec-l2l
   tunnel-group 10.10.10.1 ipsec-attributes
   pre-shared-key *
   Cryptochecksum:092b6fc5370e2ef0cf07c2bc10f1d44a
   : end
   pix515-702#

IPsec アグレッシブ モードの設定

このセクションでは、次の設定を使用します。

Cisco PIX 515e バージョン 6.3(5)

  pix515e-635#show running-config
   : Saved
   :
   PIX Version 6.3(5)
   
   !--- 両方のインターフェイスのハードウェア速度を auto に設定します。
   
   interface ethernet0 auto
   interface ethernet1 auto
   
   !--- 内側と外側のインターフェイスを指定します。
   
   nameif ethernet0 outside security0
   nameif ethernet1 inside security100         
   enable password 8Ry2YjIyt7RRXU24 encrypted
   passwd 2KFQnbNIdI.2KYOU encrypted
   hostname pix515e-635
   fixup protocol dns maximum-length 512
   fixup protocol ftp 21
   fixup protocol h323 h225 1720
   fixup protocol h323 ras 1718-1719
   fixup protocol http 80
   fixup protocol rsh 514
   fixup protocol rtsp 554
   fixup protocol sip 5060
   fixup protocol sip udp 5060
   fixup protocol skinny 2000
   fixup protocol smtp 25
   fixup protocol sqlnet 1521
   fixup protocol tftp 69
   names
   
   !--- IPsec トンネルを通過できるトラフィックを指定します。
   
   access-list pixtosw permit ip 192.168.1.0 255.255.255.0 172.22.1.0 255.255.255.0
   pager lines 24
   mtu outside 1500
   mtu inside 1500
   
   !--- 内側と外側の IP アドレスとサブネット マスクを設定します。
   
   ip address outside 10.20.20.1 255.255.255.0
   ip address inside 192.168.1.1 255.255.255.0
   ip audit info action alarm
   ip audit attack action alarm
   pdm history enable
   arp timeout 14400
   
   !--- 外側のインターフェイスの IP アドレスに対して PAT を実行するように PIX に指示します。
   
   global (outside) 1 interface
   
   !--- NAT 対象外のアドレス(トンネリングするトラフィック)を指定します。
   
   nat (inside) 0 access-list pixtosw
   
   !--- どのアドレスに NAT を適用するか(対象外のアドレス以外はすべて)を指定します。
   
   nat (inside) 1 0.0.0.0 0.0.0.0 0 0
   
   !--- 外側のインターフェイスにデフォルト ルートを指定します。
   
   route outside 0.0.0.0 0.0.0.0 10.20.20.2 1
   timeout xlate 3:00:00
   timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
   timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
   timeout sip-disconnect 0:02:00 sip-invite 0:03:00
   timeout uauth 0:05:00 absolute
   aaa-server TACACS+ protocol tacacs+
   aaa-server TACACS+ max-failed-attempts 3
   aaa-server TACACS+ deadtime 10
   aaa-server RADIUS protocol radius
   aaa-server RADIUS max-failed-attempts 3
   aaa-server RADIUS deadtime 10
   aaa-server LOCAL protocol local
   no snmp-server location
   no snmp-server contact
   snmp-server community public
   no snmp-server enable traps
   floodguard enable
   
   !--- IPsec トンネルからのすべてのパケットに対する暗示的な許可。
   
   sysopt connection permit-ipsec
   
   
   !--- フェーズ 2 の設定
   !--- フェーズ 2 の暗号化と認証で使用するトランスフォーム セットを定義します。
   !--- Austinlab は aes-256 の暗号化と SHA1 ハッシュ アルゴリズムを認証に使用する 
   !--- トランスフォーム セットの名前です。
  
   
   crypto ipsec transform-set austinlab esp-aes-256 esp-sha-hmac
   
   !--- トランスフォーム セットで使用するダイナミック マップ ciscopix を作成します。
   
   crypto dynamic-map ciscopix 1 set transform-set austinlab
   
   !---  ダイナミック マップで使用する SA を確立するために使用する 
   !--- IKE を指定します。
  
   
   crypto map dynmaptosw 66 ipsec-isakmp dynamic ciscopix
   
   !--- 外側のインターフェイスに、上の設定を適用します。
   
   crypto map dynmaptosw interface outside
   
   
   !--- フェーズ 1 の設定
 
   !--- IPsec トンネルに使用するインターフェイスを指定します。
   .
   isakmp enable outside
   
   !--- 事前共有キーとそのキーとともに使用するアドレスを指定します。
   !--- この場合は、1 つのアドレスだけで事前共有キー「cisco123」が使用されています。
   
   isakmp key ******** address 10.10.10.1 netmask 255.255.255.255
   
   !--- IKE ネゴシエーションで PIX が自分自身を特定する方法 
   !--- (この場合は IP アドレス)を指定します。
  
   
   isakmp identity address
   
   !--- 次の 5 つのコマンドで、この設定例特有の 
   !--- フェーズ 1 の設定を指定します。
  
   
   isakmp policy 13 authentication pre-share
   isakmp policy 13 encryption aes-256
   isakmp policy 13 hash sha
   isakmp policy 13 group 2
   isakmp policy 13 lifetime 28800
   telnet timeout 5
   ssh timeout 5
   console timeout 0
   terminal width 80
   Cryptochecksum:07a3815d59db9965b72c7d8a7aaf7f5f
   : end
   pix515e-635#


Cisco PIX 515 バージョン 7.0(2)

  pix515-702#show running-config
   : Saved
   :
   PIX Version 7.0(2)
   names
   !
   
   !--- PIX 7 では、Cisco IOS に似たインターフェイス設定モードを使用します。
   !--- この出力では、Ethernet0 と Ethernet1 インターフェイスの
   !--- IP アドレス、インターフェイス名、およびセキュリティ レベルが設定されています。
  
   
   interface Ethernet0
     nameif outside
     security-level 0
     ip address 10.20.20.1 255.255.255.0
   !
   interface Ethernet1
     nameif inside
     security-level 100
     ip address 192.168.1.1 255.255.255.0
   !
   interface Ethernet2
     shutdown
     no nameif
     no security-level
     no ip address
   !
   interface Ethernet3
     shutdown
     no nameif
     no security-level
     no ip address
   !
   interface Ethernet4
     shutdown
     no nameif
     no security-level
     no ip address
   !
   interface Ethernet5
     shutdown
     no nameif
     no security-level
     no ip address
   !
   enable password 8Ry2YjIyt7RRXU24 encrypted
   passwd 2KFQnbNIdI.2KYOU encrypted
   hostname pix515-702
   domain-name cisco.com
   ftp mode passive
   
   !--- IPsec トンネルを通過できるトラフィックを指定します。
   
   access-list pixtosw extended permit ip 192.168.1.0 255.255.255.0 172.22.1.0 255.255.255.0
   pager lines 24
   mtu inside 1500
   mtu outside 1500
   no failover
   monitor-interface inside
   monitor-interface outside
   no asdm history enable
   arp timeout 14400
   
   !--- 外側のインターフェイスの IP アドレスに対して PAT を実行するように PIX に指示します。
   
   global (outside) 1 interface
   
   !--- NAT 対象外のアドレス(トンネリングするトラフィック)を指定します。
   
   nat (inside) 0 access-list pixtosw
   
   !--- どのアドレスに NAT を適用するか(対象外のアドレス以外はすべて)を指定します。
   
   nat (inside) 1 0.0.0.0 0.0.0.0
   
   !--- 外側のインターフェイスにデフォルト ルートを指定します。
   
   route outside 0.0.0.0 0.0.0.0 10.20.20.2 1
   timeout xlate 3:00:00
   timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
   timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
   timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
   timeout uauth 0:05:00 absolute
   no snmp-server location
   no snmp-server contact
   snmp-server enable traps snmp
   
   !--- IPsec トンネルからのすべてのパケットに対する暗示的な許可。
   
   sysopt connection permit-ipsec
   
   
   !--- フェーズ 2 の設定
   !--- フェーズ 2 の暗号化と認証で使用するトランスフォーム セットを定義します。
   !--- Austinlab は aes-256 の暗号化と SHA1 ハッシュ アルゴリズムを認証に使用する 
   !--- トランスフォーム セットの名前です。
  
   
   crypto ipsec transform-set austinlab esp-aes-256 esp-sha-hmac
   
   !--- 定義したトランスフォーム セットで使用するダイナミック マップ「ciscopix」を作成します。
   
   crypto dynamic-map ciscopix 1 set transform-set austinlab
   
   !---  定義したダイナミック マップで使用する SA を確立するために
   !--- IKE を使用することを指定します。
  
   
   crypto map dynmaptosw 66 ipsec-isakmp dynamic ciscopix
   
   !--- 外側のインターフェイスに設定を適用します。
   
   crypto map dynmaptosw interface outside
   
   
   !--- フェーズ 1 の設定
 
   !--- IKE ネゴシエーションで PIX が自分自身を特定する方法 
   !--- (この場合は IP アドレス)を指定します。
  
   
   isakmp identity address
   
   !--- IPsec トンネルに使用するインターフェイスを指定します。
   
   isakmp enable outside
   
   !--- 次の 5 つのコマンドで、この設定例特有の 
   !--- フェーズ 1 の設定を指定します。
  
   
   isakmp policy 13 authentication pre-share
   isakmp policy 13 encryption aes-256
   isakmp policy 13 hash sha
   isakmp policy 13 group 2
   isakmp policy 13 lifetime 28800
   telnet timeout 5
   ssh timeout 5
   console timeout 0
   
   !--- 次の 3 行では、リモート ピアへのトンネルで使用する IPsec アトリビュートを 
   !--- 設定しています。  ここで、フェーズ 1 で使用する事前共有キーを定義し、 
   --- IPsec のトンネル タイプをサイトツーサイトに設定します。
  
   
   tunnel-group 10.10.10.1 type ipsec-l2l
   tunnel-group 10.10.10.1 ipsec-attributes
   pre-shared-key *
   Cryptochecksum:092b6fc5370e2ef0cf07c2bc10f1d44a
   : end
   pix515-702#

確認

このセックションを使用して、設定が正しく動作するかどうかをテストしてください。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。 OIT を使用すれば、show コマンドの出力の解析結果を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show crypto isakmp sa:現在ピアにあるすべての IKE SA を表示します。

  • show crypto ipsec sa:現在の SA が使用している設定を表示します。

次の表は、トンネルが完全に確立された後の、PIX 6.3(5) と PIX 7.0(2) 両方のメイン モードとアグレッシブ モードのデバッグ出力の一部を示しています。

注:これら 2 種類のハードウェアで IPsec トンネルを確立するためには、この情報で十分と考えられます。 ご意見がございましたら、この文書の右側のフィードバック フォームをご使用ください。

Cisco PIX 515e バージョン 6.3(5):メイン モード

pix515e-635#show crypto isakmp sa
   Total     : 1
   Embryonic : 0
           dst               src        state     pending     created
         10.10.10.1       10.20.20.1    QM_IDLE         0           1
   pix515e-635#
   pix515e-635#show crypto ipsec sa
              interface: outside
              Crypto map tag: maptosw, local addr. 10.20.20.1
    local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
              remote ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
              current_peer: 10.10.10.1:500
              PERMIT, flags={origin_is_acl,}
              #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
              #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
              #pkts compressed: 0, #pkts decompressed: 0
              #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
              #send errors 1, #recv errors 0
    local crypto endpt.: 10.20.20.1, remote crypto endpt.: 10.10.10.1
              path mtu 1500, ipsec overhead 72, media mtu 1500
              current outbound spi: ed0afa33
    inbound esp sas:
              spi: 0xac624692(2892121746)
              transform: esp-aes-256 esp-sha-hmac ,
              in use settings ={Tunnel, }
              slot: 0, conn id: 1, crypto map: maptosw
              sa timing: remaining key lifetime (k/sec): (4607999/28718)
              IV size: 16 bytes
              replay detection support: Y
              inbound ah sas:
              inbound pcp sas:
              outbound esp sas:
              spi: 0xed0afa33(3976919603)
              transform: esp-aes-256 esp-sha-hmac ,
              in use settings ={Tunnel, }
              slot: 0, conn id: 2, crypto map: maptosw
              sa timing: remaining key lifetime (k/sec): (4607999/28718)
              IV size: 16 bytes
              replay detection support: Y
              outbound ah sas:
              outbound pcp sas:
   pix515e-635#

Cisco PIX 515 バージョン 7.0(2):メイン モード

pix515-702#show crypto isakmp sa
    Active SA: 1
              Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
              Total IKE SA: 1
   1 IKE Peer: 10.10.10.1
              Type : L2L Role : initiator
              Rekey : no State : MM_ACTIVE
              pix515-702#
   pix515-702#show crypto ipsec sa
   interface: outside
       Crypto map tag: maptosw, local addr: 10.20.20.1
    local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
              remote ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
              current_peer: 10.10.10.1
    #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
              #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
              #pkts compressed: 0, #pkts decompressed: 0
              #pkts not compressed: 5, #pkts comp failed: 0, #pkts decomp failed: 0
              #send errors: 0, #recv errors: 0
    local crypto endpt.: 10.20.20.1, remote crypto endpt.: 10.10.10.1
    path mtu 1500, ipsec overhead 76, media mtu 1500
              current outbound spi: 2D006547
    inbound esp sas:
              spi: 0x309F7A33 (815757875)
              transform: esp-aes-256 esp-sha-hmac
              in use settings ={L2L, Tunnel, }
              slot: 0, conn_id: 1, crypto-map: maptosw
              sa timing: remaining key lifetime (kB/sec): (4274999/28739)
              IV size: 16 bytes
              replay detection support: Y
              outbound esp sas:
              spi: 0x2D006547 (755000647)
              transform: esp-aes-256 esp-sha-hmac
              in use settings ={L2L, Tunnel, }
              slot: 0, conn_id: 1, crypto-map: maptosw
              sa timing: remaining key lifetime (kB/sec): (4274999/28737)
              IV size: 16 bytes
              replay detection support: Y
   pix515-702#

Cisco PIX 515e バージョン 6.3(5):アグレッシブ モード

pix515e-635#show crypto isakmp sa
   Total     : 1
   Embryonic : 0
           dst               src        state     pending     created
         10.20.20.1       10.10.10.1    QM_IDLE         0           1
   pix515e-635#show crypto ipsec sa
              interface: outside
              Crypto map tag: dynmaptosw, local addr. 10.20.20.1
    local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
              remote ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
              current_peer: 10.10.10.1:500
              PERMIT, flags={}
              #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
              #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
              #pkts compressed: 0, #pkts decompressed: 0
              #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
              #send errors 0, #recv errors 0
    local crypto endpt.: 10.20.20.1, remote crypto endpt.: 10.10.10.1
              path mtu 1500, ipsec overhead 72, media mtu 1500
              current outbound spi: efb1149d
    inbound esp sas:
              spi: 0x2ad2c13c(718455100)
              transform: esp-aes-256 esp-sha-hmac ,
              in use settings ={Tunnel, }
              slot: 0, conn id: 2, crypto map: dynmaptosw
              sa timing: remaining key lifetime (k/sec): (4608000/28736)
              IV size: 16 bytes
              replay detection support: Y
              inbound ah sas:
              inbound pcp sas:
              outbound esp sas:
              spi: 0xefb1149d(4021359773)
              transform: esp-aes-256 esp-sha-hmac ,
              in use settings ={Tunnel, }
              slot: 0, conn id: 1, crypto map: dynmaptosw
              sa timing: remaining key lifetime (k/sec): (4608000/28727)
              IV size: 16 bytes
              replay detection support: Y
              outbound ah sas:
              outbound pcp sas:
   pix515e-635#

Cisco PIX 515 バージョン 7.0(2):アグレッシブ モード

pix515-702#show crypto isakmp sa
    Active SA: 1
              Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
              Total IKE SA: 1
   1 IKE Peer: 10.10.10.1
              Type : L2L Role : responder
              Rekey : no State : AM_ACTIVE
              pix515-702#
   pix515-702#show crypto ipsec sa
              interface: outside
              Crypto map tag: ciscopix, local addr: 10.20.20.1
    local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
              remote ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0)
              current_peer: 10.10.10.1
    #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
              #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
              #pkts compressed: 0, #pkts decompressed: 0
              #pkts not compressed: 5, #pkts comp failed: 0, #pkts decomp failed: 0
              #send errors: 0, #recv errors: 0
    local crypto endpt.: 10.20.20.1, remote crypto endpt.: 10.10.10.1
    path mtu 1500, ipsec overhead 76, media mtu 1500
              current outbound spi: D7E2F5FD
    inbound esp sas:
              spi: 0xDCBF6AD3 (3703532243)
              transform: esp-aes-256 esp-sha-hmac
              in use settings ={L2L, Tunnel, }
              slot: 0, conn_id: 1, crypto-map: ciscopix
              sa timing: remaining key lifetime (sec): 28703
              IV size: 16 bytes
              replay detection support: Y
              outbound esp sas:
              spi: 0xD7E2F5FD (3621975549)
              transform: esp-aes-256 esp-sha-hmac
              in use settings ={L2L, Tunnel, }
              slot: 0, conn_id: 1, crypto-map: ciscopix
              sa timing: remaining key lifetime (sec): 28701
              IV size: 16 bytes
              replay detection support: Y
   pix515-702#         

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 66171