セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA 8.x/ASDM 6.x: ASDM を使用した既存のサイト間 VPN での新しい VPN のピア情報の追加

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料は新しい VPN ピアが適応性がある Security Device Manager (ASDM)を使用して既存のサイト間VPN 設定に追加されるとき作るために configurational 変更についての情報を提供したものです。 これがこれらのシナリオでは必要となります:

  • インターネットサービスプロバイダー (ISP)は変更され、新しい一組のパブリック IP 範囲は使用されます。

  • サイトのネットワークの完全なデザイン変更。

  • サイトで VPNゲートウェイとして使用されるデバイスは別のパブリックIPアドレスの新しいデバイスに移行されます。

この資料はサイト間VPN が既に正しく設定されている仮定し、とうまく働きます。 この資料は続くようにステップを L2L VPN 設定の VPN ピア情報を変更するために提供したものです。

前提条件

要件

次の項目に関する知識があることが推奨されます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 8.2 およびそれ以降の Cisco Adapative セキュリティ アプライアンス モデル 5500 シリーズ

  • ソフトウェア バージョン 6.3 およびそれ以降の Cisco Adapative Security Device Manager

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Backround 情報

サイト間VPN は HQASA と BQASA の間でうまく働いています。 IP スキーマが ISP レベルで持ち、すべての内部 サブネットワーク 詳細は修正されたがことを BQASA が完全なネットワーク デザイン変更を変わりませんと仮定して下さい。

この設定 例はこれらの IP アドレスを使用します:

  • BQASA 外部 IP アドレスを存在 します- 200.200.200.200

  • 新しい BQASA 外部 IP アドレス- 209.165.201.2

注: ここでは、ピア情報だけ修正されます。 内部 サブネットに他の変更がないので、暗号 access-list は変わりません。

ASDM の設定

このセクションは ASDM を使用して HQASA の VPN ピア情報を変更するのに使用される可能性のある メソッドについての情報を提供します。

新しい接続 プロファイルを作成して下さい

これは既存の VPN 設定を妨げないし、新しい VPN ピア 関連情報で新しい接続 プロファイルを作成できるのでより容易な方式である場合もあります。

  1. 設定 > サイト間VPN > 接続プロファイルに行き、接続プロファイル エリアの下で『Add』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113290-add-new-vpn-peer-01.gif

    追加 IPSec サイト間接続 Profile ウィンドウは開発します。

  2. 基本的なタブの下で、ピアIP アドレス事前共有キーおよび保護されたネットワークに詳細を提供して下さい。 ピア情報を除く既存の VPN として全く同じパラメータを、使用して下さい。 [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113290-add-new-vpn-peer-02.gif

  3. Advanced メニューの下で、暗号マップエントリをクリックして下さい。 優先順位タブを参照して下さい。 この優先順位は同等の CLI 設定のシーケンス番号と等しいです。 既存の暗号マップエントリより少し番号が割り当てられるとき、この新しいプロファイルは最初に実行されます。 より高いプライオリティ番号、より少し値。 これが特定のクリプト マップが実行されるシーケンスの順序を変更するのに使用されています。 新しい接続 プロファイルの作成を完了するために『OK』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113290-add-new-vpn-peer-03.gif

これは関連するクリプト マップと共に自動的に新しいトンネル グループを作成します。 この新しい接続 プロファイルを使用する前に新しい IP アドレスの BQASA に達することができることを確かめて下さい。

既存の VPN 設定を書き換えて下さい

新しいピアを追加するもう一つの方法は現在のコンフィギュレーションを修正することです。 現在の接続 プロファイルは新しいピア情報のために特定のピアに結合 されるので編集することができません。 現在のコンフィギュレーションを書き換えるために、これらのステップを実行する必要があります:

  1. 新しいトンネル グループを作成して下さい

  2. 既存のクリプト マップを編集して下さい

新しいトンネル グループを作成して下さい

> 進み、> トンネル グループは設定 > サイト間VPN に新しい VPN ピア情報が含まれている新しいトンネル グループを作成するために『Add』 をクリック します行きます。 名前および Pre-Shared Key フィールドを規定 し、そして『OK』 をクリック して下さい。

注: 事前共有キーが VPN のもう一方の端と一致することを確かめて下さい。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113290-add-new-vpn-peer-04.gif

注: Name フィールドでは、認証モードが事前共有キーのときリモートピアの IP アドレスだけ入力する必要があります。 認証方式が認証を通ってあるときだけどの名前でも使用することができます。 このエラーは名前が Name フィールドに追加され、認証方式が事前共有であるとき現われます:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113290-add-new-vpn-peer-05.gif

既存のクリプト マップを編集して下さい

既存のクリプト マップは新しいピア情報を関連付けるために編集することができます。

次の手順を実行します。

  1. > 進み、> クリプト マップは設定 > サイト間VPN に、そして選択し、必須クリプト マップを『Edit』 をクリック します行きます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113290-add-new-vpn-peer-06.gif

    編集 IPSec ルール ウィンドウは現われます。

  2. トンネル ポリシー(基本)タブの下で、ピア設定エリアで、追加されたフィールドであるためにピアの IP アドレスの新しいピアを規定 して下さい。 次に、[Add] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113290-add-new-vpn-peer-07.gif

  3. 既存のピアIP アドレスを選択し、新しいピア情報だけを保つために『Remove』 をクリック して下さい。 [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113290-add-new-vpn-peer-08.gif

    注: 現在のクリプト マップのピア情報を修正した後、このクリプト マップと関連付けられる接続プロファイルは ASDM ウィンドウで直ちに削除されます。

  4. 暗号化されたネットワークの詳細は変わりません。 これらを修正する必要がある場合トラフィック選択タブに行って下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113290-add-new-vpn-peer-09.gif

  5. > 進みました > クリプト マップ ペインは設定 > サイト間VPN に修正されたクリプト マップを表示するために行きます。 ただし、これらの変更は『Apply』 をクリック するまで起こりません。 『Apply』 をクリック した後、> 進みました > トンネル グループ メニューは設定 > サイト間VPN に関連するトンネル グループがいるかどうか確認するために行きます。 Yes の場合は、それから関連する接続プロファイルは作成されます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113290-add-new-vpn-peer-10.gif

確認

このセクションでは、設定が正常に機能していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

トラブルシューティング

ここでは、設定に関するトラブルシューティングについて説明します。

IKE Initiator unable to find policy: Intf test_ext、ソース: 172.16.1.103、Dst: 10.1.4.251

このエラーはログメッセージで VPN コンセントレータから ASA に VPN ピアを変更することを試みるとき表示する。

解決策:

これは移行の間に従う不適当な設定ステップにの結果である場合もあります。 新しいピアを追加する前にインターフェイスへの暗号 バインディングが取除かれるようにして下さい。 またトンネル グループでピアの IP アドレスを使用した、ない名前確かめて下さいことを。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113290