セキュリティと VPN : WebVPN/SSL VPN

IPSec LAN間トンネル 設定例上の ASA Clientless SSL VPN トラフィック

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Cisco に適応性がある IPSec LAN間トンネルに接続される遠隔地にあるセキュリティ アプライアンス モデル(門脈 ASA) Clientless SSLVPN を接続しサーバにアクセスする方法を記述されています。

Ciscoエンジニアによって貢献される。

前提条件

要件

次の項目に関する知識があることが推奨されます。

使用するコンポーネント

バージョン 9.2(1)を実行するが、すべての ASA バージョンに適用しますこの文書に記載されている情報は ASA 5500-X シリーズに基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 実稼働中 の ネットワークで変更を行なう前にあらゆるコマンドの潜在的影響を理解するようにして下さい。

背景説明 

Clientless SSLVPN セッションからのトラフィックが LAN-to-LAN トンネルを横断するとき、2 つの接続があることに注目して下さい:

  • クライアントから ASA への
  • ASA から宛先ホストへの。

ASA に宛先 ホスト接続に関しては、宛先ホストに」最も密接な ASA インターフェイス「の IP アドレスは使用されます。 従って、LAN-to-LAN な 関連 トラフィックはそのインターフェイス アドレスからリモートネットワークにプロキシの身元を含む必要があります。

:  スマート トンネルがブックマークのために使用される場合、宛先にまだ最も密接な ASA インターフェイスの IP アドレスは使用されます。 

設定

このダイアグラムでは、トラフィックが 192.168.10.x から 192.168.20.x に通じるようにする 2 ASA 間に LAN-to-LAN トンネルがあります。

access-list そのトンネルのための関連 トラフィックを判別する:

ASA1

access-list l2l-list extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0
255.255.255.0

ASA2

access-list l2l-list extended permit ip 192.168.20.0 255.255.255.0 192.168.10.0
255.255.255.0

  

clientless SSLVPN ユーザが 192.168.20.x ネットワークのホストと通信することを試みる場合 ASA1 はそのトラフィックのためにソースとして 209.165.200.225 アドレスを使用します。 LAN-to-LAN な Access Control List (ACL)がプロキシの身元として 209.168.200.225 が含まれていないので、トラフィックは LAN-to-LAN トンネルに送信 されません。

LAN-to-LAN トンネル上のトラフィックを送信 するために、新しいアクセス制御エントリ (ACE)は関連 トラフィック ACL に追加する必要があります。

ASA1

access-list l2l-list extended permit ip host 209.165.200.225 192.168.20.0
255.255.255.0

ASA2

access-list l2l-list extended permit ip 192.168.20.0 255.255.255.0 host
209.165.200.225

この同じプリンシパルは Clientless SSLVPN トラフィック必要 U ターンが同じインターフェイスそれ入ったコンフィギュレーションにそれが LAN-to-LAN トンネルを通過するはずでなくても、適用されます。

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

通常、ASA2 はインターネットアクセスを提供するために 192.168.20.0/24 のためのポート アドレス変換 (PAT)を行ないます。 そのケースでは、それから ASA 2 の 192.168.20.0/24 からのトラフィックは PAT プロセスから 209.165.200.225 に行くとき除く必要があります。 さもなければ、応答は LAN-to-LAN トンネルを通過しません。 次に、例を示します。   

ASA2

nat (inside,outside) source static obj-192.168.20.0 obj-
192.168.20.0 destination
static obj-209.165.200.225 obj-209.165.200.225
!
object network obj-192.168.20.0
nat (inside,outside) dynamic interface

確認

このセクションでは、設定が正常に機能していることを確認します。

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

  • ASA1 プロキシ IP アドレスとリモートネットワーク間の Security Association (SA)が作成されたことを暗号 ipsec がこのコマンドで sa 確認することを示して下さい。 暗号化され、復号化されたカウンターがとサーバ Clientless SSLVPN ユーザアクセス増えるかどうか確認して下さい。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

セキュリティ結合が構築されない場合、失敗の原因に IPSec デバッギングを使用できます:

  •  debug crypto ipsec <level>

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117739