セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

PIX とルータ間で、NAT を使用してダイナミック IPsec とスタティック IPsec 間の接続を行うための設定

2006 年 2 月 2 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 9 月 26 日) | フィードバック

目次

概要
はじめに
      表記法
      前提条件
      使用するコンポーネント
設定
      ネットワーク ダイアグラム
      設定例
確認
トラブルシューティング
      トラブルシューティングのためのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、PIX がダイナミック IPSec 接続を受け入れられるようにするための設定例について説明します。リモート ルータは、プライベート ネットワーク 10.1.1.x がインターネットにアクセスする際に Network Address Translation(NAT; ネットワーク アドレス変換)を行います。10.1.1.x から PIX の背後にあるプライベート ネットワーク 192.168.1.x へのトラフィックは、NAT プロセスからは除外されます。ルータは PIX への接続を開始できますが、PIX はルータへの接続を開始できません。

はじめに

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

前提条件

このドキュメントに適用される特定の前提条件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS(R) ソフトウェア リリース 12.2.(8)T、12.2.(15)T2、および 12.3(1)

  • Cisco PIX Firewall ソフトウェア リリース 6.1.3 および 6.3.1

  • Cisco Secure PIX Firewall 515E

  • Cisco 7206 ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されています。このドキュメント内で使用されているデバイスではすべて、クリアな(デフォルト)設定で作業を開始しています。実稼動中のネットワークで作業する場合は、コマンドの実行によって生じる影響について、事前に理解しておいてください。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供します。

注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは次の図に示すネットワーク設定を使用しています。

pix_router_dyn_01.gif

設定例

このドキュメントで使用する設定を次に示します。

Elf(PIX)
  Building configuration...
  : Saved
  :
  PIX Version 6.3(1)
  nameif ethernet0 outside security0
  nameif ethernet1 inside security100
  nameif ethernet2 intf2 security10
  enable password 8Ry2YjIyt7RRXU24 encrypted
  passwd 2KFQnbNIdI.2KYOU encrypted
  hostname elf
  fixup protocol ftp 21
  fixup protocol http 80
  fixup protocol h323 1720
  fixup protocol rsh 514
  fixup protocol rtsp 554
  fixup protocol smtp 25
  fixup protocol sqlnet 1521
  fixup protocol sip 5060
  fixup protocol skinny 2000
  names
  
  !--- IPSec パケットで NAT を回避するアクセス コントロール リスト(ACL)
  
  access-list nonat permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0
  pager lines 24
  logging on
  logging buffered debugging
  interface ethernet0 auto
  interface ethernet1 auto
  interface ethernet2 auto shutdown
  mtu outside 1500
  mtu inside 1500
  mtu intf2 1500
  ip address outside 172.18.124.2 255.255.255.0
  ip address inside 192.168.1.1 255.255.255.0
  ip address intf2 127.0.0.1 255.255.255.255
  ip audit info action alarm
  ip audit attack action alarm
  no failover
  failover timeout 0:00:00
  failover poll 15
  failover ip address outside 0.0.0.0
  failover ip address inside 0.0.0.0
  failover ip address intf2 0.0.0.0
  pdm history enable
  arp timeout 14400
  global (outside) 1 interface
  
  !--- IPSec パケットで NAT を回避するため、ACL nonat を NAT 文にバインドします。
  
  nat (inside) 0 access-list nonat
  nat (inside) 1 0.0.0.0 0.0.0.0 0 0
  
  !--- テストのため Internet Control Message Protocol(ICMP)トラフィックを許可します。
  !--- これは実稼働ネットワークでは有効にしないでください。
  
  conduit permit icmp any any
  route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
  timeout xlate 3:00:00
  timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00
  h323 0:05:00 sip 0:30:00 sip_media 0:02:00
  timeout uauth 0:05:00 absolute
  aaa-server TACACS+ protocol tacacs+
  aaa-server RADIUS protocol radius
  aaa-server LOCAL protocol tacacs+
  no snmp-server location
  no snmp-server contact
  snmp-server community public
  no snmp-server enable traps
  floodguard enable
  sysopt connection permit-ipsec
  no sysopt route dnat
  
  !--- IPSec の設定
  
  crypto ipsec transform-set router-set esp-des esp-md5-hmac
  crypto dynamic-map cisco 1 set transform-set router-set
  crypto map dyn-map 10 ipsec-isakmp dynamic cisco
  crypto map dyn-map interface outside
  isakmp enable outside
  
  !--- リモート PIX からダイナミックな接続を受け入れるための
  !--- Internet Security Association and Key Management Protocol(ISAKMP)ポリシー。
  !--- 注: 実際の show run 出力では、事前共有キーは ******* と表示されます。
  
  isakmp key cisco123 address 0.0.0.0 netmask 0.0.0.0
  isakmp policy 10 authentication pre-share
  isakmp policy 10 encryption des
  isakmp policy 10 hash md5
  isakmp policy 10 group 1
  isakmp policy 10 lifetime 86400
  telnet timeout 5
  ssh timeout 5
  terminal width 80
  Cryptochecksum:eeb67d5df47045f7e6ac4aa090aab683
  : end
  [OK]
  elf#
  

Mop(Cisco 7204 ルータ)
  mop#show running-configuration
  Building configuration...
Current configuration : 1916 bytes
! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname mop ! ! ip subnet-zero ! ! no ip domain-lookup ! ip cef ip audit notify log ip audit po max-events 100 ! !--- Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ポリシー crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 172.18.124.2 ! ! !--- IPSec ポリシー crypto ipsec transform-set pix-set esp-des esp-md5-hmac ! crypto map pix 10 ipsec-isakmp set peer 172.18.124.2 set transform-set pix-set match address 101 ! interface FastEthernet0/0 no ip address shutdown duplex half ! interface Ethernet1/0 ip address 172.18.124.1 255.255.255.0 ip nat outside duplex half crypto map pix ! interface Ethernet1/1 ip address 10.1.1.1 255.255.255.0 ip nat inside duplex half ! !--- NAT プロセスからプライベート ネットワークを除きます。 ip nat inside source route-map nonat interface Ethernet1/0 overload ip classless ip route 0.0.0.0 0.0.0.0 172.18.124.2 no ip http server ip pim bidir-enable ! !--- 暗号化プロセスに !--- プライベート ネットワーク相互間のトラフィックを含めます。 access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 !--- NAT プロセスからプライベート ネットワークを除きます。 access-list 110 deny ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 110 permit ip 10.1.1.0 0.0.0.255 any ! route-map nonat permit 10 match ip address 110 ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login ! ! end

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示します。

一部の show コマンドは、show コマンド出力の分析を表示するアウトプットインタープリタ登録ユーザ専用)でサポートされています。

一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

次の show コマンドは、PIX およびルータ上で実行できます。

  • show crypto isakmp sa - ピアにおける現在の IKE Security Association(SA; セキュリティ アソシエーション)すべてを表示します。

  • show crypto ipsec sa - 現在の [IPSec] SA が使用している設定を表示します。

  • show crypto engine connections active - 暗号化パケットと復号化パケットに関して、現在の接続と情報を表示します。(ルータ専用)

両方のピアで SA をクリアする必要があります。

  • PIX コマンドは、設定モードで実行されます。

    • clear crypto isakmp sa - フェーズ 1 SA をクリアします。

    • clear crypto ipsec sa - フェーズ 2 SA をクリアします。

  • ルータのコマンドは、イネーブル モードで実行されます。

    • clear crypto isakmp - フェーズ 1 SA をクリアします。

    • clear crypto sa - フェーズ 2 SA をクリアします。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を説明します。

トラブルシューティングのためのコマンド

注:debug コマンドを使用する前に、『デバッグ コマンドの重要な情報』を参照してください。

  • show crypto isakmp sa - ピアにおける現在の IKE Security Associations(SA; セキュリティ アソシエーション)をすべて表示します。

  • show crypto ipsec sa - 現在の [IPSec] SA が使用している設定を表示します。

  • show crypto engine connections active - 暗号化パケットと復号化パケットに関して、現在の接続と情報を表示します。(ルータ専用)


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報