セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

ルータと PIX 間で、NAT を使用してダイナミック IPsec とスタティック IPsec 間の接続を行うための設定例

2005 年 9 月 13 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2007 年 3 月 8 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      ネットワーク ダイアグラム
      設定
確認
トラブルシューティング
      トラブルシューティングのためのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、ルータで PIX からのダイナミック IPSec 接続許可をイネーブルにする設定例を紹介しています。 リモート ルータは、プライベート ネットワーク 10.0.0.x がインターネットにアクセスする場合、Network Address Translation(NAT; ネットワーク アドレス変換)を行います。 10.0.0.x から PIX の背後にあるプライベート ネットワーク 10.1.0.x へのトラフィックは、NAT プロセスからは除外されます。 ルータは PIX への接続を開始できますが、PIX はルータへの接続を開始できません。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco IOS(R) ソフトウェア リリース 12.3.(8)T5

  • Cisco PIX Firewall ソフトウェア リリース 6.3.4

  • Cisco Secure PIX Firewall 515E

  • Cisco 2811 ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されています。このドキュメント内で使用されているデバイスはすべて、クリアな状態(デフォルト)から設定作業を始めています。対象のネットワークが実稼動中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供します。

注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool を使用してください(登録ユーザ専用)。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク設定を使用します。

router-pix-dynm-static-config-1.gif

設定

このドキュメントでは、次の設定を使用します。

PIX 515E

PIX Version 6.3(4)
  interface ethernet0 100full
  interface ethernet1 100full
  interface ethernet2 shut
  nameif ethernet0 outside security0
  nameif ethernet1 inside security100
  nameif ethernet2 intf2 security4
  enable password 8Ry2YjIyt7RRXU24 encrypted
  passwd 2KFQnbNIdI.2KYOU encrypted
  hostname PIX515E
  fixup protocol dns maximum-length 512
  fixup protocol ftp 21
  fixup protocol h323 h225 1720
  fixup protocol h323 ras 1718-1719
  fixup protocol http 80
  fixup protocol rsh 514
  fixup protocol rtsp 554
  fixup protocol sip 5060
  fixup protocol sip udp 5060
  fixup protocol skinny 2000
  fixup protocol smtp 25
  fixup protocol sqlnet 1521
  fixup protocol tftp 69
  names
  
  !--- IPSec パケットで NAT を回避するアクセス コントロール リスト(ACL)。
  
  access-list NO-NAT permit ip 10.1.0.0 255.255.255.0 10.0.0.0 255.255.255.0 
  
  !--- 暗号マップで適用される ACL。
  !--- 暗号化プロセスに プライベート ネットワーク相互間のトラフィックが
  !--- 含まれます。
  
  access-list 101 permit ip 10.1.0.0 255.255.255.0 10.0.0.0 255.255.255.0 
  pager lines 24
  logging on
  mtu outside 1500
  mtu inside 1500
  mtu intf2 1500
  ip address outside 10.95.49.11 255.255.255.0
  ip address inside 10.1.0.3 255.255.255.0
  ip audit info action alarm
  ip audit attack action alarm
  no failover
  failover timeout 0:00:00
  failover poll 15
  no failover ip address outside
  no failover ip address inside
  no failover ip address intf2
  pdm history enable
  arp timeout 14400
  global (outside) 1 interface
  nat (inside) 0 access-list NO-NAT
  nat (inside) 1 0.0.0.0 0.0.0.0 0 0
  route outside 10.0.0.0 255.255.255.0 10.95.49.21 1
  timeout xlate 3:00:00
  timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
  timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
  timeout uauth 0:05:00 absolute
  aaa-server TACACS+ protocol tacacs+ 
  aaa-server TACACS+ max-failed-attempts 3 
  aaa-server TACACS+ deadtime 10 
  aaa-server RADIUS protocol radius 
  aaa-server RADIUS max-failed-attempts 3 
  aaa-server RADIUS deadtime 10 
  aaa-server LOCAL protocol local 
  no snmp-server location
  no snmp-server contact
  snmp-server community public
  no snmp-server enable traps
  floodguard enable
  sysopt connection permit-ipsec
  
  !--- IPSec の設定、フェーズ 2。
  
  crypto ipsec transform-set DYN-TS esp-des esp-md5-hmac 
  crypto map IPSEC 10 ipsec-isakmp
  crypto map IPSEC 10 match address 101
  crypto map IPSEC 10 set peer 10.95.49.21
  crypto map IPSEC 10 set transform-set DYN-TS
  crypto map IPSEC interface outside
  
  !--- Internet Security Association and Key Management Protocol(ISAKMP)
  !--- ポリシー、フェーズ 1。
  !--- 注:実際の show run 出力では、事前共有キーは ******* と表示されます。
  
  isakmp enable outside
  isakmp key cisco123 address 10.95.49.21 netmask 255.255.255.255 
  isakmp policy 10 authentication pre-share
  isakmp policy 10 encryption des
  isakmp policy 10 hash md5
  isakmp policy 10 group 1
  isakmp policy 10 lifetime 86400
  telnet timeout 5
  ssh timeout 5
  console timeout 0
  terminal width 80
  Cryptochecksum:f0294298e214a947fc2e03f173e4a405
  : end

R2(Cisco 2811 ルータ)

R2#show running-configuration
  Building configuration...
  Current configuration : 1916 bytes
  !
  version 12.3
  service timestamps debug datetime msec
  service timestamps log datetime msec
  service password-encryption
  !
  hostname r1800
  !
  boot-start-marker
  boot-end-marker
  !
  !
  no aaa new-model
  !
  resource policy
  !
  mmi polling-interval 60
  no mmi auto-configure
  no mmi pvc
  mmi snmp-timeout 180
  ip subnet-zero
  ip cef 
  !
  !
  no ip dhcp use vrf connected
  !
  !
  no ip ips deny-action ips-interface
  !
  no ftp-server write-enable
  !
  ! 
  
  !--- ISAKMP ポリシー、フェーズ 1。
  
  crypto isakmp policy 10
  hash md5
  authentication pre-share
  crypto isakmp key 6 cisco123 address 0.0.0.0 0.0.0.0
  !
  !
  
  !--- IPSec ポリシー、フェーズ 2。
  
  crypto ipsec transform-set DYN-TS esp-des esp-md5-hmac 
  !
  crypto dynamic-map DYN 10
  set transform-set DYN-TS 
  match address 101
  !
  !
  crypto map IPSEC 10 ipsec-isakmp dynamic DYN 
  !
  !
  !
  interface FastEthernet0/0
  ip address 10.95.49.21 255.255.255.0
  ip nat outside
  ip virtual-reassembly
  load-interval 30
  duplex auto
  speed auto
  crypto map IPSEC
  !
  interface FastEthernet0/1
  ip address 10.0.0.1 255.255.255.0
  ip nat inside
  ip virtual-reassembly
  duplex auto
  speed auto
  !
  ip classless
  ip route 10.1.0.0 255.255.255.0 10.95.49.11
  !
  ip http server
  no ip http secure-server
  
  !--- NAT プロセスからプライベート ネットワークを除きます。
  
  ip nat inside source list 102 interface FastEthernet0/0 overload
  !
  
  !--- 暗号化プロセスに
  !--- プライベート ネットワーク相互間のトラフィックが含まれます。
  
  access-list 101 permit ip 10.0.0.0 0.0.0.255 10.1.0.0 0.0.0.255
  
  !--- NAT プロセスからプライベート ネットワークを除きます。
  
  access-list 102 deny ip 10.0.0.0 0.0.0.255 10.1.0.0 0.0.0.255
  access-list 102 permit ip 10.0.0.0 0.0.0.255 any
  !
  !
  control-plane
  !
  !
  line con 0
  exec-timeout 0 0
  line aux 0
  line vty 0 4
  exec-timeout 0 0
  login 
  !
  end

確認

このセクションを使用して、設定が正しく動作していることを確認します。

アウトプットインタープリタ登録ユーザ専用)(OIT)では特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show crypto isakmp sa - ピアにおける現在の IKE Security Association(SA; セキュリティ アソシエーション)すべてを表示します。

  • show crypto ipsec sa - 現在の(IPSec)SA が使用している設定を表示します。

  • show crypto engine connections active - 暗号化パケットと復号化パケットに関して、現在の接続と情報を表示します(ルータ専用)。

両方のピアで SA をクリアする必要があります。

設定モードで、次の PIX コマンドを実行します。

  • clear crypto isakmp sa - フェーズ 1 SA をクリアします。

  • clear crypto ipsec sa - フェーズ 2 SA をクリアします。

イネーブル モードで、次のルータ コマンドを実行します。

  • clear crypto isakmp - フェーズ 1 SA をクリアします。

  • clear crypto sa - フェーズ 2 SA をクリアします。

トラブルシューティング

このセクションを使用して、設定のトラブルシューティングを行います。

トラブルシューティングのためのコマンド

アウトプットインタープリタ登録ユーザ専用)(OIT)では特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

注:debug コマンドを使用する前に、『デバッグ コマンドの重要な情報』を参照してください。

  • show crypto isakmp sa - ピアにおける現在の IKE SA をすべて表示します。

  • show crypto ipsec sa - 現在の(IPSec)SA が使用している設定を表示します。

  • show crypto engine connections active - 暗号化パケットと復号化パケットに関して、現在の接続と情報を表示します(ルータ専用)。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 66173