セキュリティ : Cisco Adaptive Security Device Manager

VPN トンネル設定例上の内部インターフェイスからの ASDM への ASA アクセス

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に 2 Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)ファイアウォールの使用で LAN-to-LAN VPN トンネルを設定する方法を記述されています。 Cisco Adaptive Security Device Manager (ASDM)は公衆側の outside インターフェイスを通ってリモート ASA、およびそれで暗号化します両方規則的なネットワークおよび ASDM トラフィックを動作します。 ASDM は GUI と ASA ファイアウォールを設定し、設定し、監視するのを助けるために設計されているブラウザ ベースのコンフィギュレーション ツールです。 ASA ファイアウォール CLI の広範なナレッジを必要としません。 

Dinkar Sharma、Prashant Joshi、およびマグナス Mortensen によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • IPSec暗号化
  • Cisco ASDM

: トポロジーで使用するデバイスすべてが Cisco ASA 5500 シリーズ ハードウェアインストールガイドに説明がある要件を満たすことを確認して下さい。

ヒント: 基本的な IPSec暗号化を用いる習熟度を得るために IPセキュリティ(IPSec) 暗号化入門 Cisco の 記事を参照して下さい。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ASA ファイアウォールソフトウェアリリース 9.x。

  • ASA-1 および ASA-2 は Cisco ASA ファイアウォール 5520 です

  • ASA 2 使用 ASDM バージョン 7.2(1)

: ASDM のユーザ名 および パスワードのためにプロンプト表示されるとき、デフォルト設定はユーザ名を必要としません。 イネーブルパスワードが前もって設定された場合、ASDM パスワードとしてそのパスワードを入力して下さい。 イネーブルパスワードがない場合、両方のユーザ名 および パスワード申込用紙を残し、続くために『OK』 をクリック して下さい。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

情報を使用して下さいこの資料に説明がある機能を設定するためにこのセクションに説明がある。

: このセクションで使用されているコマンドの詳細を調べるには、コマンド検索ツール登録ユーザ専用)を使用してください。

ネットワーク図

設定

ASA-1 で使用されるこれは設定です:

ASA-1

ASA Version 9.1(5)
!
hostname ASA-1
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 203.0.113.2 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.18.124.1 255.255.255.0
!

!--- Traffic matching ACL 101 is punted to VPN
!--- Encrypt/Decrypt traffic matching ACL 101


access-list 101 extended permit ip 172.18.124.0 255.255.255.0 192.168.10.0
255.255.255.0

!--- Do not use NAT
!--- on traffic matching below Identity NAT


object network obj_192.168.10.0
subnet 192.168.10.0 255.255.255.0

object network obj_172.18.124.0
subnet 172.18.124.0 255.255.255.0

nat (inside,outside) source static obj_172.18.124.0 obj_172.18.124.0 destination
static obj_192.168.10.0 obj_192.168.10.0 no-proxy-arp route-lookup

!--- Configures a default route towards the gateway router.

route outside 0.0.0.0 0.0.0.0 203.0.113.252 1

!--- Point the configuration to the appropriate version of ASDM in flash


asdm image asdm-722.bin

!--- Enable the HTTP server required to run ASDM.


http server enable

!--- This is the interface name and IP address of the host or
!--- network that initiates the HTTP connection.


http 172.18.124.102 255.255.255.255 inside

!--- Implicitly permit any packet that came from an IPsec
!--- tunnel and bypass the checking of an associated access-group
!--- command statement for IPsec connections.


sysopt connection permit-vpn

!--- Specify IPsec (phase 2) transform set.
!--- Specify IPsec (phase 2) attributes.


crypto ipsec ikev1 transform-set vpn esp-3des esp-md5-hmac
crypto ipsec security-association pmtu-aging infinite
crypto map vpn 10 match address 101
crypto map vpn 10 set peer 198.51.100.2
crypto map vpn 10 set ikev1 transform-set vpn
crypto map vpn interface outside

!--- Specify ISAKMP (phase 1) attributes.


crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

!--- Specify tunnel-group ipsec attributes.

tunnel-group 198.51.100.2 type ipsec-l2l
tunnel-group 198.51.100.2 ipsec-attributes
ikev1 pre-shared-key cisco

ASA-2 で使用されるこれは設定です:

ASA-2

ASA Version 9.1(5)
!
hostname ASA-2
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 198.51.100.2 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0
!

!--- Traffic matching ACL 101 is punted to VPN
!--- Encrypt/Decrypt traffic matching ACL 101


access-list 101 extended permit ip 192.168.10.0 255.255.255.0 172.18.124.0
255.255.255.0

!--- Do not use NAT
!--- on traffic matching below Identity NAT


object network obj_192.168.10.0
subnet 192.168.10.0 255.255.255.0

object network obj_172.18.124.0
subnet 172.18.124.0 255.255.255.0

nat (inside,outside) source static obj_192.168.10.0 obj_192.168.10.0 destination
static obj_172.18.124.0 obj_172.18.124.0 no-proxy-arp route-lookup

!--- Configures a default route towards the gateway router.

route outside 0.0.0.0 0.0.0.0 198.51.100.252 1

!--- Point the configuration to the appropriate version of ASDM in flash

asdm image asdm-722.bin

!--- Enable the HTTP server required to run ASDM.

http server enable

!--- This is the interface name and IP address of the host or
!--- network that initiates the HTTP connection.


http 192.168.10.102 255.255.255.255 inside

!--- Add an aditional 'http' configuration to allow the remote subnet
!--- to access ASDM over the VPN tunnel


http 172.18.124.0 255.255.255.0 outside

!--- Implicitly permit any packet that came from an IPsec
!--- tunnel and bypass the checking of an associated access-group
!--- command statement for IPsec connections.


sysopt connection permit-vpn

!--- Specify IPsec (phase 2) transform set.
!--- Specify IPsec (phase 2) attributes.


crypto ipsec ikev1 transform-set vpn esp-3des esp-md5-hmac
crypto ipsec security-association pmtu-aging infinite
crypto map vpn 10 match address 101
crypto map vpn 10 set peer 203.0.113.2
crypto map vpn 10 set ikev1 transform-set vpn
crypto map vpn interface outside

!--- Specify ISAKMP (phase 1) attributes.


crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

!--- Specify tunnel-group ipsec attributes.


tunnel-group 203.0.113.2 type ipsec-l2l
tunnel-group 203.0.113.2 ipsec-attributes
ikev1 pre-shared-key cisco

VPN トンネルを渡るアクセス ASDM/SSH

ASDM に ASA-1 内部ネットワークから ASA-2 の内部インターフェイスによってアクセスするために、ここに記述されているコマンドを使用して下さい。 このコマンドは 1 つのインターフェイスにしか使用することができません。 ASA-2 で、管理アクセス内部コマンドで管理アクセスを設定して下さい:

management-access <interface-name>

確認

このセクションは設定はきちんと機能することを確認するために使用できる情報を提供します。

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。 この OIT を使用して、show コマンドの出力の解析を表示します。

設定を確認するためにこれらのコマンドを使用して下さい:

  • フェーズ 1 が正しく確立することを確認するために提示暗号 isakmp sa/show isakmp sa コマンドを入力して下さい。

  • フェーズ 2 が正しく確立することを確認するために show crypto ipsec sa を入力して下さい。

コマンドの概要

VPN コマンドが ASA に入力されれば、VPN トンネルはトラフィックが ASDM PC の間で渡るとき確立されます(172.18.124.102)および ASA-2 の内部インターフェイス(192.168.10.1)。 この時点で、ASDM PC は https://192.168.10.1 に達し、VPN トンネル上の ASA-2 の ASDM インターフェイスと通信できます。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

: ASDM 関連の問題を解決するために Cisco Adaptive Security Device Manager Cisco の 記事に ASA 接続に関する問題を参照して下さい。

debug コマンドの出力例

トンネルを表示するために 198.51.100.2 と 203.0.113.2 の間で形成される show crypto isakmp sa コマンドを入力して下さい:

ASA-2(config)# show crypto isakmp sa

IKEv1 SAs:

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 203.0.113.2
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

トンネルを表示するために 192.168.10.0 255.255.255.0 と 172.18.124.0 255.255.255.0 の間でトラフィックを通過させる show crypto ipsec sa コマンドを入力して下さい:

ASA-2(config)# show crypto ipsec sa
interface: outside
Crypto map tag: vpn, seq num: 10, local addr: 198.51.100.2

access-list 101 extended permit ip 192.168.10.0 255.255.255.0
172.18.124.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.18.124.0/255.255.255.0/0/0)
current_peer: 203.0.113.2

#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 5, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 198.51.100.2/0, remote crypto endpt.: 203.0.113.2/0
path mtu 1500, ipsec overhead 58(36), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: DDE6AD22
current inbound spi : 92425FE5

inbound esp sas:
spi: 0x92425FE5 (2453823461)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, IKEv1, }
slot: 0, conn_id: 28672, crypto-map: vpn
sa timing: remaining key lifetime (kB/sec): (4373999/28658)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x0000003F
outbound esp sas:
spi: 0xDDE6AD22 (3722882338)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, IKEv1, }
slot: 0, conn_id: 28672, crypto-map: vpn
sa timing: remaining key lifetime (kB/sec): (4373999/28658)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118092