セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA 5500 でのリモート VPN Client ロード バランシングの設定例

2008 年 12 月 18 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 2 月 9 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      ネットワーク ダイアグラム
      表記法
制約事項
設定例
      IP アドレスの設定
      クラスタの設定
      監視
確認
トラブルシューティング
      トラブルシューティングのためのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

ロード バランシングとは、ユーザが介入することなく、複数の Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)の間で Cisco VPN Client が共有される機能です。ロード バランシングを使用すると、ユーザにとってパブリック IP アドレスの可用性が向上します。たとえば、パブリック IP アドレスを提供する Cisco ASA で障害が発生した場合は、クラスタ内の別の ASA がそのパブリック IP アドレスを引き継ぎます。

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

  • ASA に IP アドレスが割り当てられていて、デフォルト ゲートウェイが設定されている。

  • VPN Client ユーザ用の ASA に IPSec が設定されている。

  • VPN ユーザは、個別に割り当てられたパブリック IP アドレスを使用してすべての ASA に接続できる。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • VPN Client ソフトウェア リリース 4.6 以降

  • Cisco ASA ソフトウェア リリース 7.0.1 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

remotevpn-loadbal-asa-1.gif

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

制約事項

  • VPN 仮想クラスタ IP アドレス、User Datagram Protocol(UDP; ユーザ データグラム プロトコル)ポート、および共有秘密鍵は、仮想クラスタ内のすべてのデバイスでまったく同じである必要があります。

  • 仮想クラスタ内のすべてのデバイスは、同じ Outside および Inside の IP サブネットに属している必要があります。

設定例

IP アドレスの設定

Outside インターフェイスと Inside インターフェイスに IP アドレスが設定されていること、および ASA からインターネットに到達できることを確認します。

注:Inside インターフェイスと Outside インターフェイスの両方で ISAKMP がイネーブルになっていることを確認します。これを確認するには、Configuration > Features > VPN > IKE > Global Parameters の順に選択します。

クラスタの設定

この手順では、Cisco Adaptive Security Device Manager(ASDM)を使用してロード バランシングを設定する方法について説明しています。

注:この例に含まれる多くのパラメータには、デフォルト値があります。

  1. Configuration > Features > VPN > Load Balancing の順に選択し、Participate in Load Balancing Cluster にチェックマークを付けて VPN ロード バランシングをイネーブルにします。

    remotevpn-loadbal-asa-2.gif

  2. VPN Cluster Configuration グループ ボックスで次の手順を実行して、クラスタに参加しているすべての ASA のパラメータを設定します。

    1. Cluster IP Address テキスト ボックスにクラスタの IP アドレスを入力します。

    2. Enable IPSec Encryption にチェックマークを付けます。

    3. IPSec Shared Secret テキスト ボックスに暗号化鍵を入力し、Verify Secret テキストボックスに暗号化鍵を再入力します。

  3. VPN Server Configuration グループ ボックスで次のオプションを設定します。

    1. Public リストで、着信 VPN 接続を受け入れるインターフェイスを選択します。

    2. Private リストで、プライベート インターフェイスとして使用するインターフェイスを選択します。

    3. オプション)Priority テキスト ボックスで、クラスタ内での ASA の優先順位を変更します。

    4. NAT を使用するファイアウォールの背後にこのデバイスが配置されている場合は、Network Address Translation(NAT)Assigned IP Address に IP アドレスを入力します。

  4. グループに参加しているすべての ASA で、上記の手順を繰り返します。

このセクションの例では、次の CLI コマンドを使用してロード バランシングを設定します。

VPN-ASA2(config)#vpn load-balancing
VPN-ASA2(config-load-balancing)#priority 10
VPN-ASA2(config-load-balancing)#cluster key cisco123
VPN-ASA2(config-load-balancing)#cluster ip address 172.16.172.54
VPN-ASA2(config-load-balancing)#cluster encryption
VPN-ASA2(config-load-balancing)#participate

監視

ASA でロード バランシング機能を監視するには、Monitoring > Features > VPN > VPN Statistics > Cluster Loads の順に選択します。

remotevpn-loadbal-asa-3.gif

確認

ここでは、設定が正常に動作していることを確認します。

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用すると、show コマンドの出力を分析できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show vpn load-balancing:VPN ロード バランシング機能を確認します。

    Status: enabled
    Role: Backup
    Failover: n/a
    Encryption: enabled
    Cluster IP: 172.16.172.54
    Peers: 1
    
    Public IP Role Pri Model Load (%) Sessions
    --------------------------------------------------------------
    * 172.16.172.53 Backup 5 ASA-5520 0 1
    172.16.172.52 Master 4 ASA-5520 n/a n/a
    

トラブルシューティング

ここでは、設定のトラブルシューティングについて説明しています。

トラブルシューティングのためのコマンド

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用すると、show コマンドの出力を分析できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug vpnlb 250:VPN ロード バランシング機能のトラブルシューティングに使用します。

    VPN-ASA2#
    VPN-ASA2# 5718045: Created peer[172.16.172.54]
    5718012: Sent HELLO request to [172.16.172.54]
    5718016: Received HELLO response from [172.16.172.54]
    7718046: Create group policy [vpnlb-grp-pol]
    7718049: Created secure tunnel to peer[192.168.0.11]
    5718073: Becoming slave of Load Balancing in context 0.
    5718018: Send KEEPALIVE request failure to [192.168.0.11]
    5718018: Send KEEPALIVE request failure to [192.168.0.11]
    5718018: Send KEEPALIVE request failure to [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]
    7718023: Received KEEPALIVE response from [192.168.0.11]
    7718035: Received TOPOLOGY indicator from [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]
    7718023: Received KEEPALIVE response from [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]
    7718023: Received KEEPALIVE response from [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]
    7718023: Received KEEPALIVE response from [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]
    7718023: Received KEEPALIVE response from [192.168.0.11]
    7718019: Sent KEEPALIVE request to [192.168.0.11]
    

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 68328