セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX 7.x と VPN 3000 コンセントレータ間での IPsec トンネルの設定例

2010 年 11 月 15 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 9 月 13 日) | 英語版 (2008 年 10 月 16 日) | フィードバック


概要

このドキュメントでは、PIX ファイアウォール 7.x と Cisco VPN 3000 コンセントレータ間に LAN-to-LAN IPsec VPN トンネルを確立する方法について、設定例を示して説明します。

PIX 間に LAN-to-LAN トンネルを確立することによって、ハブ PIX を介して VPN Client がスポーク PIX にアクセスできるようにするシナリオの詳細は、『TACACS+ 認証を使用した PIX/ASA 7.x 拡張 Spoke-to-Client VPN の設定例』を参照してください。

PIX/ASA と IOS ルータ間に LAN-to-LAN トンネルを確立するシナリオの詳細は、『IOS ルータの LAN-to-LAN IPSec トンネルに対する PIX/ASA 7.x セキュリティ アプライアンスの設定例』を参照してください。



前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • このドキュメントの内容は、IPsec プロトコルに関する基本的知識が前提となっています。IPsec に関する知識を深めるには、『IP Security(IPSec)暗号化の概要』を参照してください。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 7.1(1) が稼働している Cisco PIX 500 シリーズ セキュリティ アプライアンス

  • ソフトウェア バージョン 4.7.2(B) が稼働している Cisco VPN 3060 コンセントレータ

注:PIX 506/506E では、7.x はサポートされません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

PIX 6.x を設定するには、『コンセントレータ、Cisco VPN 3000 コンセントレータ、PIX ファイアウォール間の接続』を参照してください。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



設定

このセクションでは、このドキュメントで説明する機能の設定に必要な情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。



ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/69115/ipsec-pix7x-vpn-con-1.gif



PIX の設定

PIX

PIX7#show running-config
: Saved
:
PIX Version 7.1(1)
!
hostname PIX7
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!

!--- PIX の outside インターフェイスを設定します。


!--- デフォルトでは、outside インターフェイスのセキュリティ レベルは 0 です。

interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!

!--- PIX の inside インターフェイスを設定します。


!--- デフォルトでは、 inside インターフェイスのセキュリティ レベルは 100 です。

interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!

!--- NAT を設定しない IP アドレスを定義します。

access-list nonat extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
access-list outside extended permit icmp any any

!--- IPsec トンネル経由で通信できる IP アドレスを定義します。

access-list 101 extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
access-list OUT extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
no failover
asdm image flash:/asdm-504.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list nonat
access-group OUT in interface outside
route outside 0.0.0.0 0.0.0.0 10.1.1.2 1

!--- 出力を省略。


!--- クライアントとのネゴシエートに使用される IPsec パラメータ。

crypto ipsec transform-set my-set esp-aes-256 esp-sha-hmac
crypto map mymap 20 match address 101
crypto map mymap 20 set peer 172.30.1.1
crypto map mymap 20 set transform-set my-set
crypto map mymap interface outside

!--- 2 つのピアによってネゴシエートされるフェーズ I パラメータ。

isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes-256
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

!---  トンネル グループには、トンネルの接続ポリシーが含まれた 
!--- レコードのセットで構成されます。2 つの属性は、 
!--- General と IPsec です。リモート ピアの IP アドレスを 
!--- トンネル グループの名前として使用します。この例では、ピアの IP アドレスは 172.30.1.1 です。 
!--- 詳細は、「トンネル グループ」を参照してください。

tunnel-group 172.30.1.1 type ipsec-l2l
tunnel-group 172.30.1.1 ipsec-attributes
 pre-shared-key *

!--- 出力を省略。

!
: end
PIX7#




VPN 3000 コンセントレータの設定

VPN コンセントレータは、工場出荷時に IP アドレスが事前にプログラムされていません。メニュー ベースのコマンドライン インターフェイス(CLI)で初期設定を行うには、コンソール ポートを使用する必要があります。コンソールを使用した設定方法についての詳細は、『コンソール経由での VPN コンセントレータの設定』を参照してください。

イーサネット 1(プライベート)インターフェイス上の IP アドレスを設定し終えたら、CLI または ブラウザ インターフェイスのいずれかを使用して、残りの項目を設定できます。ブラウザ インターフェイスでは、HTTP と HTTPS(HTTP over Secure Socket Layer)の両方がサポートされています。

次のパラメータは、コンソールを使用して設定されます。

  • 時間/日付:時間と日付を正確に設定することはきわめて重要です。それによって、ロギングとアカウンティングのエントリが正確になり、システムが有効なセキュリティ認証を作成するのに役立つためです。

  • イーサネット 1(プライベート)インターフェイス:IP アドレスおよびマスク(ネットワーク トポロジ 172.16.5.100/16)。

これで、内部ネットワークから HTML ブラウザを使用して、VPN コネクタにアクセスできるようになります。CLI モードでの VPN コネクタの設定方法の詳細は、『クイック コンフィギュレーションでのコマンドライン インターフェイスの使用』を参照してください。

GUI インターフェイスをイネーブルにするために、Web ブラウザからプライベート インターフェイスの IP アドレスを入力します。

[save needed] アイコンをクリックして、変更をメモリに保存します。工場出荷時のデフォルトのユーザ名およびパスワードは、admin です(大文字と小文字は区別されます)。

  1. GUI を起動し、[Configuration] > [Interfaces] を選択して、パブリック インターフェイスおよびデフォルト ゲートウェイの IP アドレスを設定します。

    ipsec-pix7x-vpn-con-2.gif

  2. [Configuration] > [Policy Management] > Traffic Management] > [Network Lists] > [Add or Modify] を選択して、暗号化されるトラフィックを定義するネットワーク リストを作成します。

    ローカルとリモートの両方のネットワークをここに追加します。IP アドレスは、リモート PIX に設定されたアクセス リストのアドレスと一致させる必要があります。

    次の例では、2 つのネットワーク リストは、それぞれ remote_networkVPN Client Local LAN です。

    /image/gif/paws/69115/ipsec-pix7x-vpn-con-3.gif

  3. [Configuration] > [System] > [Tunneling Protocols] > [IPSec LAN-to-LAN] > [Add] を選択して、IPsec LAN-to-LAN トンネルを設定します。完了したら、[Apply] をクリックします。

    ピアの IP アドレス、ステップ 2 で作成したネットワーク リスト、IPsec と ISAKMP のパラメータ、および事前共有鍵を入力します。

    次の例では、ピアの IP アドレスは 10.1.1.1、ネットワーク リストは remote_networkVPN Client Local LAN、そして cisco が事前共有鍵です。

    /image/gif/paws/69115/ipsec-pix7x-vpn-con-4.gif

  4. [Configuration] > [User Management] > [Groups] > [Modify 10.1.1.1] を選択して、自動生成されたグループに関する情報を表示します。

    注:これらのグループ設定は変更しないでください。

    /image/gif/paws/69115/ipsec-pix7x-vpn-con-5.gif



確認

このセクションでは、設定が正常に動作していることを確認します。



PIX の確認

特定の show コマンドが、アウトプットインタープリタ ツール登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

  • show isakmp sa:ピアにおける現在の IKE Security Associations(SA; セキュリティ アソシエーション)をすべて表示します。MM_ACTIVE というステートは、IPsec VPN トンネルのセットアップにメイン モードが使用されていることを示します。

    次の例では、PIX ファイアウォールによって IPsec 接続が開始されています。ピアの IP アドレスは 172.30.1.1 であり、メイン モードを使用して接続を確立します。

    PIX7#show isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 172.30.1.1
        Type    : L2L             Role    : initiator
        Rekey   : no              State   : MM_ACTIVE
    
  • show ipsec sa:現在の SA で使用されている設定を表示します。ピアの IP アドレス、ローカルとリモートの両端でアクセス可能なネットワーク、および使用されているトランスフォーム セットをチェックします。各方向に 1 つずつ、2 つの ESP SA があります。

    PIX7#show ipsec sa
    interface: outside
        Crypto map tag: mymap, seq num: 20, local addr: 10.1.1.1
    
          access-list 101 permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
    
          local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
          remote ident (addr/mask/prot/port): (172.16.0.0/255.255.0.0/0/0)
          current_peer: 172.30.1.1
    
          #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
          #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 10.1.1.1, remote crypto endpt.: 172.30.1.1
    
          path mtu 1500, ipsec overhead 76, media mtu 1500
          current outbound spi: 136580F6
    
        inbound esp sas:
          spi: 0xF24F4675 (4065281653)
             transform: esp-aes-256 esp-sha-hmac
             in use settings ={L2L, Tunnel,}
             slot: 0, conn_id: 1, crypto-map: mymap
             sa timing: remaining key lifetime (kB/sec): (3824999/28747)
             IV size: 16 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x136580F6 (325419254)
             transform: esp-aes-256 esp-sha-hmac
             in use settings ={L2L, Tunnel,}
             slot: 0, conn_id: 1, crypto-map: mymap
             sa timing: remaining key lifetime (kB/sec): (3824999/28745)
             IV size: 16 bytes
             replay detection support: Y

    clear ipsec sa および clear isakmp sa コマンドを使用して、トンネルをリセットします。



VPN 3000 コンセントレータの確認

[Monitoring] > [Statics] > [IPsec] を選択して、VPN 3000 コンセントレータでトンネルがアップ状態になっているかどうかを確認します。IKE パラメータと IPsec パラメータの両方に関する統計情報が表示されます。

ipsec-pix7x-vpn-con-6.gif

[Monitoring] > [Sessions] では、セッションをアクティブに監視できます。たとえば、ここで IPsec トンネルをリセットできます。

/image/gif/paws/69115/ipsec-pix7x-vpn-con-7.gif



トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。



PIX のトラブルシューティング

特定の show コマンドが、アウトプットインタープリタ ツール登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

次に、PIX で VPN トンネルに使用できる debug コマンドを示します。



VPN 3000 コンセントレータのトラブルシューティング

Cisco ルータの debug コマンドと同様に、イベント クラスを設定してすべてのアラームを表示できます。[Configuration] > [System] > [Events] > [Class] > [Add] を選択して、イベント クラスのロギングをオンにします。

[Monitoring] > [Filterable Event Log] を選択して、イネーブルなイベントを監視します。

ipsec-pix7x-vpn-con-8.gif



PFS

IPSec のネゴシエーションでは、Perfect Forward Secrecy(PFS; 完全転送秘密)によって、それぞれの新しい暗号鍵が以前の鍵とは独立したものであることが保証されます。両方のトンネル ピアで PFS をイネーブルまたはディセーブルにします。そうでないと、PIX/ASA で LAN-to-LAN(L2L)の IPSec トンネルが確立されません。

PFS はデフォルトでディセーブルになっています。PFS をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで、enable キーワードを指定して pfs コマンドを使用します。PFS をディセーブルにするには、disable キーワードを指定します。

hostname(config-group-policy)#pfs {enable | disable}

実行コンフィギュレーションから PFS アトリビュートを削除するには、このコマンドの no 形式を入力します。グループ ポリシーでは PFS に関する値を他のグループ ポリシーから継承できます。値を継承しないようにするには、このコマンドの no 形式を使用します。

hostname(config-group-policy)#no pfs 



関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 69115