セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

NAT を使用したファイアウォール経由の IPSec トンネルの設定

2008 年 4 月 23 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 9 月 26 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      ネットワーク ダイアグラム
      設定例
確認
トラブルシューティング
      トラブルシューティングのためのコマンド
      セキュリティ アソシエーションのクリア
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Network Address Translation(NAT; ネットワーク アドレス変換)を実行するファイアウォール経由での IPSec トンネルの設定例を示しています。 Cisco IOS(R) ソフトウェア リリース 12.2(13)T より前のリリースを使用している場合、この設定は Port Address Translation(PAT; ポート アドレス変換)では動作しません。 この種の設定は、IP トラフィックのトンネル伝送に使用できます。 IPX やルーティング アップデートなど、ファイアウォールを経由しないトラフィックの暗号化には、この設定は使用できません。 このような種類の設定には、Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)トンネル伝送が適しています。 このドキュメントの例では、Cisco 2621 ルータと 3660 ルータが 2 つのプライベート ネットワークを結合する IPSec トンネルのエンドポイントで、中間の PIX に IPSec トラフィックを許可するためのコンジット(conduit)または Access Control List(ACL; アクセス コントロール リスト)があります。

注:NAT は 1 対 1 のアドレス変換です。多(ファイアウォールの Inside)対 1 の変換である PAT と混同しないでください。 NAT の動作と設定の詳細は、『NAT オペレーションの検証と NAT の基本的なトラブルシューティング』または『NAT の動作の仕組み』を参照してください。

注:PAT を使用する IPSec は、トンネルの Outside のエンドポイントのデバイスが 1 つの IP アドレスからの複数のトンネルを処理できないために、正しく動作しない場合があります。 トンネルのエンドポイントのデバイスが PAT で動作するかどうかを、ベンダーに問い合せて確認する必要があります。 また、バージョン 12.2(13)T 以降では、PAT に対して NAT 透過機能も使用できます。 詳細は、『IPSec NAT 透過』を参照してください。 バージョン 12.2(13)T 以降でのこれらの機能の詳細は、『NAT を使用した IPSec ESP のサポート』を参照してください。 また、TAC でサービス リクエストをオープンする前に、『NAT に関する FAQ』を参照してください。よくある質問に対する多くの回答があります。

PIX/ASA バージョン 7.x で NAT を使用してファイアウォールを通過する IPSec トンネルを設定する方法の詳細は、『アクセス リストと MPF を使用した NAT を使用するセキュリティ アプライアンスをパススルーする IPSec トンネルの設定例』を参照してください。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS ソフトウェア リリース 12.0.7.T(12.2(13)T よりも前)

    さらに新しいバージョンについては、『IPSec NAT 透過』を参照してください。

  • Cisco 2621 ルータ

  • Cisco 3660 ルータ

  • Cisco PIX Firewall

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供しています。

注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

ipsecnat.gif

ネットワーク ダイアグラム
※ 画像をクリックすると、大きく表示されます。

注:この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。 これらは RFC 1918 leavingcisco.com でのアドレスであり、ラボ環境で使用されたものです。

設定例

このドキュメントでは、次の設定を使用しています。

Cisco 2621 の設定
Current configuration:
 !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-2621
 !
 ip subnet-zero
 !
 ip audit notify log
 ip audit po max-events 100
 isdn voice-call-failure 0
 cns event-service server
 !
 
!--- IKE ポリシー

 crypto isakmp policy 10
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 10.99.99.2     
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac 
 !
 crypto map mymap local-address FastEthernet0/1
 
!--- IPSec ポリシー

 crypto map mymap 10 ipsec-isakmp   
  set peer 10.99.99.2
  set transform-set myset
 
!--- 暗号化プロセスにはプライベート ネットワーク相互間のトラフィックが
!--- 含まれます。

  match address 101
 !
 controller T1 1/0
 !
 interface FastEthernet0/0
  ip address 10.2.2.1 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 !
 interface FastEthernet0/1
  ip address 10.1.1.2 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 
!--- インターフェイスに適用します。

  crypto map mymap
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.1.1.1
 no ip http server
 
!--- 暗号化プロセスにはプライベート ネットワーク相互間のトラフィックが
!--- 含まれます。

 access-list 101 permit ip 10.2.2.0 0.0.0.255 10.3.3.0 0.0.0.255
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 no scheduler allocate
 end

Cisco PIX Firewall の部分設定
ip address outside 10.99.99.1 255.255.255.0
 ip address inside 10.1.1.1 255.255.255.0
 
!--- 使用する登録済み IP アドレスの範囲。

 global (outside) 1 10.99.99.50-10.99.99.60
 
!--- インターネットへの送出時に
!--- すべての内部送信元アドレスを変換します。

 nat (inside) 1 0.0.0.0 0.0.0.0 0 0
 static (inside,outside) 10.99.99.12 10.1.1.2 netmask 255.255.255.255 0 0
 conduit permit esp host 10.99.99.12 host 10.99.99.2
 conduit permit udp host 10.99.99.12 eq isakmp host 10.99.99.2
 conduit permit udp host 10.99.99.12 eq 4500 host 10.99.99.2
 
!--- または

 access-list acl-out permit esp host 10.99.99.2 host 10.99.99.12
 access-list acl-out permit udp host 10.99.99.2 host 10.99.99.12 eq isakmp
 access-list acl-out permit udp host 10.99.99.2 host 10.99.99.12 eq 4500

!--- PIX はルータ間の NAT デバイスとして機能するため、
!--- NAT-T 用に UDP ポート 4500 を許可することが重要です。

 access-group acl-out in interface outside
 
 isakmp enable outside
 isakmp enable inside
 Command configured in order to enable NAT-T
isakmp nat-traversal 20
 route outside 0.0.0.0 0.0.0.0 99.99.99.2 1
 route inside 10.2.2.0 255.255.255.0 10.1.1.2 1

Cisco 3660 の設定
version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-3660
 !
 ip subnet-zero
 !
 cns event-service server
 !
 
!--- IKE ポリシー

 crypto isakmp policy 10
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 10.99.99.12    
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac 
 !
 crypto map mymap local-address FastEthernet0/0
 
!--- IPSec ポリシー

 crypto map mymap 10 ipsec-isakmp   
  set peer 10.99.99.12
  set transform-set myset
 
!--- 暗号化プロセスにはプライベート ネットワーク相互間のトラフィックが
!--- 含まれます。

  match address 101
 !
 interface FastEthernet0/0
  ip address 10.99.99.2 255.255.255.0
  no ip directed-broadcast
  ip nat outside
  duplex auto
  speed auto
 
!--- インターフェイスに適用します。

  crypto map mymap
 !
 interface FastEthernet0/1
  ip address 10.3.3.1 255.255.255.0
  no ip directed-broadcast
  ip nat inside
  duplex auto
  speed auto
 !
 interface Ethernet3/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface Serial3/0
  no ip address
  no ip directed-broadcast
  no ip mroute-cache
  shutdown
 !
 interface Ethernet3/1
  no ip address
  no ip directed-broadcast
 interface Ethernet4/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface TokenRing4/0
  no ip address
  no ip directed-broadcast
  shutdown
  ring-speed 16
 !
 
!--- Inside のホストがグローバルに一意の 10.99.99.0/24 ネットワークに
!--- 変換されるプール。

 ip nat pool OUTSIDE 10.99.99.70 10.99.99.80 netmask 255.255.255.0
 
!--- NAT プロセスからプライベート ネットワークを除きます。

 ip nat inside source route-map nonat pool OUTSIDE
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.99.99.1
 no ip http server
 !
 
!--- 暗号化プロセスにはプライベート ネットワーク相互間のトラフィックが
!--- 含まれます。

 access-list 101 permit ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 101 deny   ip 10.3.3.0 0.0.0.255 any
 
!--- NAT プロセスからプライベート ネットワークを除きます。

 access-list 110 deny   ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 110 permit ip 10.3.3.0 0.0.0.255 any
 route-map nonat permit 10
  match ip address 110
 !
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 end

確認

ここでは、設定が正常に動作していることを確認します。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show crypto ipsec sa:フェーズ 2 セキュリティ アソシエーションを表示します。

  • show crypto isakmp sa:フェーズ 1 のセキュリティ アソシエーションを表示します。

  • show crypto engine connections active:暗号化パケットおよび復号化パケットを表示します。

トラブルシューティング

ここでは、設定のトラブルシューティングについて説明します。

トラブルシューティングのためのコマンド

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug crypto engine:暗号化されたトラフィックを表示します。

  • debug crypto ipsec:フェーズ 2 の IPSec ネゴシエーションを表示します。

  • debug crypto isakmp:フェーズ 1 の Internet Security Association and Key Management Protocol(ISAKMP)ネゴシエーションを表示します。

セキュリティ アソシエーションのクリア

  • clear crypto isakmp:Internet Key Exchange(IKE; インターネット鍵交換)のセキュリティ アソシエーションをクリアします。

  • clear crypto ipsec sa:IPSec のセキュリティ アソシエーションをクリアします。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 14138