セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

PIX/ASA 7.x 以降:オーバーラップ ネットワーク構成を使用した LAN-to-LAN IPSec VPN の例

2011 年 3 月 29 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2010 年 12 月 9 日) | フィードバック


概要

このドキュメントでは、2 台のセキュリティ アプライアンス間の LAN-to-LAN(L2L)IPsec トンネルを通過する、VPN トラフィックの変換(NAT)、およびインターネット トラフィックを PAT する際に使用する手順について説明します。各セキュリティ アプライアンスには、その背後に保護された、プライベート ネットワークがあります。次の例では、まったく同じオーバーラップしている内部ネットワークを持つ 2 台の Cisco Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)が、VPN トンネル上で接続されています。通常のシナリオでは、ユーザが同じサブネットの IP アドレスを ping 送信しても ping パケットがローカル サブネットから離れないため、VPN 上の通信は不可能です。これらの 2 つの内部ネットワークは相互通信に使用されるため、通信が正常に行われるように Policy NAT が両方の ASA でローカル サブネットの変換に使用されます。



前提条件

要件

設定例に進む前に、Cisco 適応型セキュリティ アプライアンスにインターフェイスの IP アドレスが設定され、基本的な接続が確立されていることを確認します。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアのバージョンに基づくものです。

  • Cisco 適応型セキュリティ アプライアンス ソフトウェア バージョン 7.x 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

関連製品

この設定は、Cisco PIX セキュリティ アプライアンス バージョン 7.x 以降にも適用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



設定

このセクションでは、このドキュメントで説明する機能の設定に必要な情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

asa8x-vpn-olap-config-01.gif

設定

このドキュメントでは、次の設定を使用します。

ASA -1
ASA-1#show running-config 
: Saved
:
ASA Version 8.0(3)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.162.1.1 255.255.255.0

!--- Outside インターフェイスを設定します。

!

interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0

!--- Inside インターフェイスを設定します。


passwd 2KFQnbNIdI.2KYOU encrypted                                                      
ftp mode passive


access-list new extended permit ip 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0

!--- このアクセス リスト(新規)は、暗号化し、トンネルを通過して 
!--- 送信するトラフィックを決定するために、 
!--- クリプト マップ(outside map)とともに使用されます。



access-list policy-nat extended permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0


!--- Policy-nat ACL は、VPN トラフィックを変換と一致させるため static 
!--- コマンドとともに使用されます。

pager lines 24
mtu outside 1500
mtu inside 1500
no failover
asdm image flash:/asdm-615.bin
no asdm history enable
arp timeout 14400


static (inside,outside) 192.168.2.0  access-list policy-nat

!--- これは、Policy NAT ステートメントです。
!--- アクセス リスト(Policy-nat)を持つ static コマンドは、
!--- 発信 VPN トラフィック用に VPN トラフィックを一致させ、 
!--- ソース(192.168.1.0)を 192.168.2.0 に変換します。


global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

!--- 上記のステートメントは、IP アドレス 172.17.1.1 を使用する  
!--- VPN トラフィック以外のインターネット トラフィックを PAT します。 


route outside 0.0.0.0 0.0.0.0 172.162.1.2 1



!--- 出力を省略。



!--- フェーズ 2 の設定 ---!
!--- ここではフェーズ 2 の暗号タイプが定義されています。


crypto ipsec transform-set CISCO esp-des esp-md5-hmac

!--- フェーズ 2 のトランスフォーム セットを定義します。

crypto map outside_map 20 match address new

!--- アクセス リスト(新規)を使用して、どのトラフィックを 
!--- IPSec ピアに送信するのかを定義します。


crypto map outside_map 20 set peer 172.162.1.2

!--- IPSec ピア(リモート エンド ポイント)を設定します。


crypto map outside_map 20 set transform-set CISCO

!--- IPSec トランスフォーム セット「CISCO」をクリプト マップ エントリ
!--- 「outside_map」とともに使用するように設定します。

crypto map outside_map interface outside

!--- この設定で定義した設定値とともに使用する 
!--- インターフェイスを指定します。

!--- フェーズ 1 の設定 ---!

!--- この設定では isakmp ポリシー 65535 を使用します。   
!--- デフォルトでは、ポリシー 65535 が設定に組み込まれています。
!--- これらのコンフィギュレーション コマンドでは、使用されるフェーズ 1 の  
!--- ポリシー パラメータを定義します。

crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 65535
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400

tunnel-group 172.162.1.2 type ipsec-l2l

!--- ipsec-l2l—IPSec(LAN-to-LAN)トンネル用の接続固有レコードの 
!--- データベースを作成して管理するために、グローバル コンフィギュレーション モードで tunnel-group 
!--- コマンドを使用します。
!--- L2L 接続の場合は、必ずトンネル グループ名を 
!--- IPSec ピア(リモート ピア エンド)の IP アドレスにする必要があります。

tunnel-group 172.162.1.2 ipsec-attributes
 pre-shared-key *

!--- 事前共有キーを入力して、認証方式を設定します。



telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:33e1e37cd1280d908210dac0cc26e706
: end

ASA -2
ASA-2#show running-config 
: Saved
:
ASA Version 8.0(3)
!
hostname ASA-2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.162.1.2 255.255.255.0                                                
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!

!--- 出力を省略。


access-list new extended permit ip 192.168.3.0 255.255.255.0 192.168.2.0 255.255.255.0

!--- このアクセス リスト(新規)は、暗号化し、トンネルを通過して 
!--- 送信するトラフィックを決定するために、 
!--- クリプト マップ(outside map)とともに使用されます。



access-list policy-nat extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0


!--- Policy-nat ACL は、VPN トラフィックを変換と一致させるため static 
!--- コマンドとともに使用されます。

pager lines 24
mtu outside 1500
mtu inside 1500
no failover
asdm image flash:/asdm-615.bin
no asdm history enable
arp timeout 14400



static (inside,outside) 192.168.3.0  access-list policy-nat

!--- これは、Policy NAT ステートメントです。
!--- アクセス リスト(Policy-nat)を持つ static コマンドは、
!--- 発信 VPN トラフィック用に VPN トラフィックを一致させ、 
!--- ソース(192.168.1.0)を 192.168.3.0 に変換します。

global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

!--- 上記のステートメントは、outside インターフェイス IP アドレスを使用する 
!--- VPN トラフィック以外のインターネット トラフィックを PAT します。 




 
route outside 0.0.0.0 0.0.0.0 172.162.1.2 1

!--- フェーズ 2 の設定 ---!
!--- ここではフェーズ 2 の暗号タイプが定義されています。


crypto ipsec transform-set CISCO esp-des esp-md5-hmac

!--- フェーズ 2 のトランスフォーム セットを定義します。



crypto map outside_map 20 match address new

!--- どのトラフィックを IPSec ピアに送信するのかを定義します。


crypto map outside_map 20 set peer 172.162.1.1

!--- IPSec ピアを設定します。


crypto map outside_map 20 set transform-set CISCO

!--- IPSec トランスフォーム セット「CISCO」をクリプト マップ エントリ
!--- 「outside_map」とともに使用するように設定します。


crypto map outside_map interface outside


!--- この設定で定義した設定値と共に使用する 
!--- インターフェイスを指定します。

!--- フェーズ 1 の設定 ---!

!--- この設定では isakmp ポリシー 65535 を使用します。
!--- デフォルトでは、ポリシー 65535 が設定に組み込まれています。
!--- ここでのコンフィギュレーション コマンドは、使用するフェーズ 1 の  
!--- ポリシー パラメータを定義します。



crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 65535
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400


!--- 出力を省略。



!--- ipsec-l2l-IPsec(LAN-to-LAN)トンネル用の接続固有レコードの  
!--- データベースを作成して管理するために、グローバル コンフィギュレーション モードで  
!--- tunnel-group コマンドを使用します。
!--- L2L 接続の場合は、必ずトンネル グループ名を 
!--- IPSec ピアの IP アドレスにする必要があります。


tunnel-group 172.162.1.1 type ipsec-l2l
tunnel-group 172.162.1.1 ipsec-attributes
 pre-shared-key *

!--- 事前共有キーを入力して、認証方式を設定します。



prompt hostname context
Cryptochecksum:6b505b4a05c1aee96a71e67c23e71865
: end



確認

このセクションでは、設定が正常に動作していることを確認します。

特定の show コマンドが、Output Interpreter Tool登録ユーザ専用)(OIT; アウトプット インタープリタ ツール)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

  • show crypto isakmp sa:ピアにおける現在の IKE Security Associations(SA; セキュリティ アソシエーション)をすべて表示します。

  • show crypto ipsec sa:現在の SA が使用している設定を表示します。

ASA-1 からの show コマンド

ASA-1#show crypto isakmp sa

   

Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 172.162.1.2
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE
ASA-1#show crypto ipsec sa
interface: outside
    Crypto map tag: outside_map, seq num: 20, local addr: 172.162.1.1

      access-list new permit ip 192.168.2.0 255.255.255.0 192.168.3.0 

255.255.2
5.0
      local ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
      current_peer: 172.162.1.2

      #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
      #pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.162.1.1, remote crypto endpt.: 172.162.1.2

      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 0BA6CD7E

    inbound esp sas:
      spi: 0xFB4BD01A (4216049690)
         transform: esp-des esp-md5-hmac none
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 8192, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (3824999/27738)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x0BA6CD7E (195480958)
         transform: esp-des esp-md5-hmac none
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 8192, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (3824999/27738)
         IV size: 8 bytes
         replay detection support: Y
ASA-1#show nat


NAT policies on Interface inside:
  match ip inside 192.168.1.0 255.255.255.0 outside 192.168.3.0 255.255.255.0
    static translation to 192.168.2.0
    translate_hits = 12, untranslate_hits = 5
  match ip inside any outside any
    dynamic translation to pool 1 (172.162.1.1 [Interface PAT])
    translate_hits = 0, untranslate_hits = 0
  match ip inside any inside any
    dynamic translation to pool 1 (No matching global)
    translate_hits = 0, untranslate_hits = 0
  match ip inside any dmz any
    dynamic translation to pool 1 (No matching global)
    translate_hits = 0, untranslate_hits = 0
ASA-1#show xlate

1 in use, 1 most used
Global 192.168.2.0 Local 192.168.1.0

ASA-2 からの show コマンド

ASA-2#show crypto ipsec sa

interface: outside
    Crypto map tag: outside_map, seq num: 20, local addr: 172.162.1.2

      access-list new permit ip 192.168.3.0 255.255.255.0 192.168.2.0 

255.255.25
5.0
      local ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
      current_peer: 172.162.1.1

      #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
      #pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.162.1.2, remote crypto endpt.: 172.162.1.1

      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: FB4BD01A

    inbound esp sas:
      spi: 0x0BA6CD7E (195480958)
         transform: esp-des esp-md5-hmac none
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 8192, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4274999/26902)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0xFB4BD01A (4216049690)
         transform: esp-des esp-md5-hmac none
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 8192, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4274999/26902)
         IV size: 8 bytes
         replay detection support: Y

ASA-2#show crypto isakmp sa

Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 172.162.1.1
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE


トラブルシューティング

セキュリティ アソシエーションのクリア

トラブルシューティングを行う際には、変更を加えた後、既存の SA を必ずクリアしてください。PIX の特権モードで、次のコマンドを使用します。

  • clear crypto ipsec sa:アクティブな IPSec SA を削除します。

  • clear crypto isakmp sa:アクティブな IKE SA を削除します。

トラブルシューティングのためのコマンド

特定の show コマンドが、Output Interpreter Tool登録ユーザ専用)(OIT; アウトプット インタープリタ ツール)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug crypto ipsec:フェーズ 2 の IPSec ネゴシエーションを表示します。

  • debug crypto isakmp:フェーズ 1 の ISAKMP ネゴシエーションを表示します。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 112049