目次
Easy VPN および IPSec トンネルを使用した VPN の設定
IKE ポリシーの設定
グループ ポリシー情報の設定
暗号マップへのモード設定の適用
ポリシー ルックアップのイネーブル化
IPSec トランスフォームおよびプロトコルの設定
IPSec 暗号方式およびパラメータの設定
物理インターフェイスへの暗号マップの適用
Easy VPN リモート コンフィギュレーションの作成
Easy VPN の設定の検証
設定例
Easy VPN および IPSec トンネルを使用した VPN の設定
Cisco 1800 シリーズ サービス統合型固定構成ルータは Virtual Private Network(VPN; バーチャル プライベート ネットワーク)の作成をサポートします。
Cisco ルータと他のブロードバンド デバイスは、インターネットへの高パフォーマンスな接続を提供しますが、多くのアプリケーションでは、高レベルの認証を実行し、2 つの特定のエンドポイント間でデータを暗号化する VPN 接続のセキュリティも必要です。
サイト間とリモート アクセスの 2 種類の VPN がサポートされます。サイト間 VPN は、ブランチ オフィスとコーポレート オフィスを接続する場合などに使用します。リモート アクセス VPN は、企業ネットワークにログインする際にリモート クライアントによって使用されます。
この章の例は、Cisco Easy VPN と IPSec トンネルを使用してリモート クライアントと企業ネットワーク間の接続を設定し、セキュアにするリモート アクセス VPN の構成を示しています。図 6-1 は、一般的な構成例を示します。
図 6-1 IPSec トンネルを使用したリモート アクセス VPN
|
|
リモート、ネットワークで接続されたユーザ
|
|
|
VPN クライアント:Cisco 1800 シリーズ サービス統合型ルータ
|
|
|
ルータ:本社オフィスへのネットワーク アクセスを提供
|
|
|
VPN サーバ:Easy VPN サーバ(外部インターフェイス アドレスが 192.168.101.1 の Cisco VPN 3000 コンセントレータなど)
|
|
|
ネットワーク アドレスが 10.1.1.1 のコーポレート オフィス
|
|
|
IPSec トンネル
|
Cisco Easy VPN
Cisco Easy VPN クライアント機能を使用し、Cisco Unity Client プロトコルを実装することにより、面倒な設定作業が大幅に削減されます。このプロトコルでは、ほとんどの VPN パラメータ(内部 IP アドレス、内部サブネット マスク、DHCP サーバ アドレス、WINS サーバ アドレス、スプリットトンネリング フラグなど)を、VPN サーバ(IPSec サーバとして機能している Cisco VPN 3000 シリーズ コンセントレータなど)で定義することができます。
Easy VPN サーバ対応のデバイスでは、PC 上で Cisco Easy VPN リモート ソフトウェアを実行しているモバイルおよびリモート作業者が開始した VPN トンネルを終了できます。Easy VPN サーバ対応のデバイスでは、リモート ルータを Easy VPN リモート ノードとして動作させることができます。
Cisco Easy VPN クライアント機能は、クライアント モードとネットワーク拡張モードの 2 つのモードのいずれかに設定できます。デフォルト設定はクライアント モードで、クライアント サイトの装置だけが中央サイトのリソースにアクセスできます。クライアント サイトのリソースは、中央サイトでは利用できません。ネットワーク拡張モードを使用すると、(VPN 3000 シリーズ コンセントレータが配置された)中央サイトのユーザがクライアント サイトのネットワーク リソースにアクセスできます。
IPSec サーバが設定されている場合は、サポート対象の Cisco 1800 サービス統合型ルータなどの IPSec クライアント上で最小限の設定を行うことにより、VPN 接続を作成できます。IPSec クライアントが VPN トンネル接続を開始すると、IPSec サーバは IPSec ポリシーを IPSec クライアントに転送し、対応する VPN トンネル接続を作成します。
(注) Cisco Easy VPN クライアント機能で設定できるのは、1 つの宛先ピアだけです。アプリケーションで複数の VPN トンネルを作成する必要がある場合、手動でクライアントおよびサーバ側の両方に IPSec VPN および Network Address Translation/Peer Address Translation(NAT/PAT; ネットワーク アドレス変換/ピア アドレス変換)パラメータを設定する必要があります。
設定作業
このネットワーク シナリオのルータを設定するには、次の作業を実行します。
•
「IKE ポリシーの設定」
•
「グループ ポリシー情報の設定」
•
「暗号マップへのモード設定の適用」
•
「ポリシー ルックアップのイネーブル化」
•
「IPSec トランスフォームおよびプロトコルの設定」
•
「IPSec 暗号方式およびパラメータの設定」
•
「物理インターフェイスへの暗号マップの適用」
•
「Easy VPN リモート コンフィギュレーションの作成」
これらの設定作業の結果を示す例は、
「設定例」
の項に示されています。
(注) この章の手順では、基本的なルータ機能と、NAT、DCHP、および VLAN を使用した PPPoE または PPPoA がすでに設定されていることを前提とします。これらの設定作業を実行していない場合は、使用しているルータに応じて第 1 章「ルータの基本設定」、第 3 章「PPP over Ethernet と NAT の設定」、第 4 章「PPP over ATM と NAT の設定」および第 5 章「DHCP および VLAN による LAN の設定」を参照してください。
IKE ポリシーの設定
Internet Key Exchange(IKE; インターネット キー エクスチェンジ)を設定するには、グローバル コンフィギュレーション モードを開始し、次の手順を実行します。
|
|
|
|
ステップ 1
|
crypto isakmp policy
priority
例:
Router(config)#
crypto isakmp policy 1
|
IKE ネゴシエーション時に使用される IKE ポリシーを作成します。プライオリティ番号の範囲は 1 ~ 10000 で、プライオリティが最も高いのは 1 です。
また、Internet Security Association Key and Management Protocol(ISAKMP; インターネット セキュリティ アソシエーション キーおよび管理)ポリシー コンフィギュレーション モードを開始します。
|
ステップ 2
|
encryption {des | 3des | aes | aes 192 | aes 256}
例:
Router(config-isakmp)#
encryption 3des
|
IKE ポリシーに使用される暗号化アルゴリズムを指定します。
この例では、168 ビット Data Encryption Standard(DES; データ暗号化規格)を指定します。
|
ステップ 3
|
hash {md5 | sha}
例:
Router(config-isakmp)#
hash md5
|
IKE ポリシーに使用されるハッシュ アルゴリズムを指定します。
この例では、Message Digest 5(MD5)アルゴリズムを指定します。デフォルトは、Secure Hash 標準(SHA-1)です。
|
ステップ 4
|
authentication {rsa-sig | rsa-encr | pre-share}
例:
Router(config-isakmp)# authentication pre-share
|
IKE ポリシーに使用される認証方式を指定します。
この例では、事前共有キーを指定します。
|
ステップ 5
|
group {1 | 2 | 5}
例:
Router(config-isakmp)#
group 2
|
IKE ポリシーに使用される Diffie-Hellman グループを指定します。
|
ステップ 6
|
lifetime
seconds
例:
Router(config-isakmp)#
lifetime 480
|
IKE Security Association(SA; セキュリティ アソシエーション)のライフタイム(60 ~ 86400 秒)を指定します。
|
ステップ 7
|
exit
例:
Router(config-isakmp)#
exit
|
IKE ポリシーのコンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに切り替えます。
|
グループ ポリシー情報の設定
グループ ポリシーを設定するには、グローバル コンフィギュレーション モードを開始し、次の手順を実行します。
|
|
|
|
ステップ 1
|
crypto isakmp client configuration group
{
group-name
|
default
}
例:
Router(config)# crypto isakmp client configuration group rtr-remote
Router(config-isakmp-group)#
|
リモート クライアントにダウンロードされるアトリビュートを含む IKE ポリシー グループを作成します。
また、ISAKMP グループ ポリシー コンフィギュレーション モードを開始します。
|
ステップ 2
|
key
name
例:
Router(config-isakmp-group)#
key secret-password
Router(config-isakmp-group)#
|
グループ ポリシーの IKE 事前共有キーを指定します。
|
ステップ 3
|
dns
primary-server
例:
Router(config-isakmp-group)# dns 10.50.10.1
Router(config-isakmp-group)#
|
グループのプライマリ Domain Name System(DNS; ドメイン ネーム システム)サーバを指定します。
コマンドを使用して、グループに WINS サーバを指定することもできます。
|
ステップ 4
|
domain
name
例:
Router(config-isakmp-group)#
domain company.com
Router(config-isakmp-group)#
|
グループのドメイン メンバーシップを指定します。
|
ステップ 5
|
exit
例:
Router(config-isakmp-group)#
exit
|
IKE グループ ポリシーのコンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに切り替えます。
|
ステップ 6
|
ip local pool
{
default
|
poolname
} [
low-ip-address
[
high-ip-address
]]
例:
Router(config)#
ip local pool dynpool 30.30.30.20 30.30.30.30
|
グループのローカル アドレス プールを指定します。
このコマンドの詳しい説明およびその他の設定可能なパラメータについては、『
Cisco IOS Dial Technologies Command Reference
』を参照してください。
|
暗号マップへのモード設定の適用
暗号マップにモード設定を適用するには、グローバル コンフィギュレーション モードを開始し、次の手順を実行します。
|
|
|
|
ステップ 1
|
crypto map
map-name
isakmp authorization list
list-name
例:
Router(config)# crypto map dynmap isakmp authorization list rtr-remote
|
暗号マップにモード設定を適用し、Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)サーバからのグループ ポリシーのキー ルックアップ(IKE クエリ)をイネーブルにします。
|
ステップ 2
|
crypto map
tag
client configuration address [initiate | respond]
例:
Router(config)# crypto map dynmap client configuration address respond
|
リモート クライアントからのモード設定要求にルータが応答するように設定します。
|
ポリシー ルックアップのイネーブル化
AAA を使用してポリシー ルックアップをイネーブルにするには、グローバル コンフィギュレーション モードを開始し、次の手順を実行します。
|
|
|
|
ステップ 1
|
aaa new-model
例:
Router(config)# aaa new-model
|
AAA アクセス コントロール モデルをイネーブルにします。
|
ステップ 2
|
aaa authentication login {default |
list-name
}
method1
[
method2...
]
例:
Router(config)# aaa authentication login rtr-remote local
|
選択したユーザのログイン時の AAA 認証を指定し、使用する方式を指定します。
この例では、ローカル認証データベースを使用します。RADIUS サーバを使用することもできます。詳細については、『
Cisco IOS Security Configuration Guide
』および『
Cisco IOS Security Command Reference
』を参照してください。
|
ステップ 3
|
aaa authorization {network | exec | commands
level
| reverse-access | configuration} {default |
list-name
} [
method1
[
method2...
]]
例:
Router(config)# aaa authorization network rtr-remote local
|
PPP を含むすべてのネットワーク関連サービス要求の AAA 許可を指定してから、さらに許可方式を指定します。
この例では、ローカル許可データベースを使用します。RADIUS サーバを使用することもできます。詳細については、『
Cisco IOS Security Configuration Guide
』および『
Cisco IOS Security Command Reference
』を参照してください。
|
ステップ 4
|
username
name
{
nopassword
|
password
password
|
password
encryption-type
encrypted-password
}
例:
Router(config)# username Cisco password 0 Cisco
|
ユーザ名をベースとした認証システムを構築します。
この例では、ユーザ名
Cisco
と暗号化パスワード
Cisco
を指定しています。
|
IPSec トランスフォームおよびプロトコルの設定
トランスフォーム セットは、特定のセキュリティ プロトコルとアルゴリズムを組み合わせたものです。IKE のネゴシエーション中に、ピアは特定のトランスフォーム セットを使用してデータ フローを保護することに合意します。
IKE ネゴシエーションの実行時に、両ピアは、複数のトランスフォーム セットから両ピアに共通するトランスフォームを検索します。このようなトランスフォーム セットが検出された場合、そのトランスフォーム セットが選択され、両方のピアの設定の一部として、保護するトラフィックに適用されます。
IPSec トランスフォーム セットとプロトコルを指定するには、グローバル コンフィギュレーション モードを開始し、次の手順を実行します。
|
|
|
|
ステップ 1
|
crypto ipsec transform-set
transform-set-name transform1 [transform2] [transform3] [transform4]
例:
Router(config)# crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac
|
トランスフォーム セット(IPSec セキュリティ プロトコルとアルゴリズムの有効な組み合わせ)を定義します。
有効なトランスフォームおよび組み合わせの詳細については、『
Cisco IOS Security Command Reference
』を参照してください。
|
ステップ 2
|
crypto ipsec security-association lifetime
{
seconds
seconds |
kilobytes
kilobytes}
例:
Router(config)# crypto ipsec security-association lifetime seconds 86400
|
IPSec SA ネゴシエーション時のグローバル ライフタイム値を指定します。
詳細については、『
Cisco IOS Security Command Reference
』を参照してください。
|
(注) 手動で確立したセキュリティ アソシエーションの場合は、ピアとのネゴシエーションが存在しないため、両方に同じトランスフォーム セットを指定する必要があります。
IPSec 暗号方式およびパラメータの設定
ダイナミック暗号マップ ポリシーでは、ルータがすべての暗号マップ パラメータ(IP アドレスなど)を認識していない場合でも、リモート IPSec ピアからの新規の SA のネゴシエーション要求を処理します。
IPSec 暗号方式を設定するには、グローバル コンフィギュレーション モードを開始し、次の手順を実行します。
|
|
|
|
ステップ 1
|
crypto dynamic-map
dynamic-map-name dynamic-seq-num
例:
Router(config)# crypto dynamic-map dynmap 1
Router(config-crypto-map)#
|
ダイナミック暗号マップ エントリを作成します。続いて、暗号マップ コンフィギュレーション モードを開始します。
このコマンドの詳細については、『
Cisco IOS Security Command Reference
』を参照してください。
|
ステップ 2
|
set transform-set
transform-set-name [transform-set-name2...transform-set-name6]
例:
Router(config-crypto-map)# set transform-set vpn1
Router(config-crypto-map)#
|
暗号マップ エントリで使用できるトランスフォーム セットを指定します。
|
ステップ 3
|
reverse-route
例:
Router(config-crypto-map)# reverse-route
Router(config-crypto-map)#
|
暗号マップ エントリの送信元プロキシ情報を作成します。
詳細については、『
Cisco IOS Security Command Reference
』を参照してください。
|
ステップ 4
|
exit
例:
Router(config-crypto-map)# exit
|
グローバル コンフィギュレーション モードに戻ります。
|
ステップ 5
|
crypto map
map-name seq-num [
ipsec-isakmp
] [
dynamic
dynamic-map-name] [
discover
] [
profile
profile-name]
例:
Router(config)# crypto map static-map 1 ipsec-isakmp dynamic dynmap
|
暗号マップ プロファイルを作成します。
|
物理インターフェイスへの暗号マップの適用
暗号マップは、IP Security(IPSec; IP セキュリティ)トラフィックが通過する各インターフェイスに適用されている必要があります。物理インターフェイスに暗号マップを適用することにより、ルータがすべてのトラフィックを SA データベースに照合するようになります。デフォルト設定では、ルータは、リモート サイト間に送信されるトラフィックを暗号化して、安全な接続を提供します。ただし、パブリック インターフェイスでは他のトラフィックの通過を許可し、インターネットへの接続を提供しています。
インターフェイスに暗号マップを適用するには、グローバル コンフィギュレーション モードを開始し、次の手順を実行します。
|
|
|
|
ステップ 1
|
interface
type number
例:
Router(config)# interface fastethernet 0
|
暗号マップを適用するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。
|
ステップ 2
|
crypto map
map-name
例:
Router(config-if)# crypto map static-map
|
暗号マップをインターフェイスに適用します。
このコマンドの詳細については、『
Cisco IOS Security Command Reference
』を参照してください。
|
ステップ 3
|
exit
例:
Router(config-crypto-map)# exit
|
グローバル コンフィギュレーション モードに戻ります。
|
Easy VPN リモート コンフィギュレーションの作成
IPSec リモート ルータとして機能するルータは、Easy VPN リモート コンフィギュレーションを作成し、発信インターフェイスに割り当てる必要があります。
リモート コンフィギュレーションを作成するには、グローバル コンフィギュレーション モードを開始し、次の手順を実行します。
|
|
|
|
ステップ 1
|
crypto ipsec client ezvpn
name
例:
Router(config)# crypto ipsec client ezvpn ezvpnclient
Router(config-crypto-ezvpn)#
|
Cisco Easy VPN リモート コンフィギュレーションを作成します。続いて、Cisco Easy VPN リモート コンフィギュレーション モードを開始します。
|
ステップ 2
|
group
group-name
key
group-key
例:
Router(config-crypto-ezvpn)# group ezvpnclient key secret-password
Router(config-crypto-ezvpn)#
|
VPN 接続の IPSec グループおよび IPSec キー値を指定します。
|
ステップ 3
|
peer
{ipaddress | hostname}
例:
Router(config-crypto-ezvpn)# peer 192.168.100.1
Router(config-crypto-ezvpn)#
|
VPN 接続のピア IP アドレスまたはホスト名を指定します。
(注) ホスト名を指定できるのは、ルータから DNS サーバを介してホスト名解決を行える場合だけです。
|
ステップ 4
|
mode
{
client
|
network-extension
|
network extension plus
}
例:
Router(config-crypto-ezvpn)# mode client
Router(config-crypto-ezvpn)#
|
VPN 動作モードを指定します。
|
ステップ 5
|
exit
例:
Router(config-crypto-ezvpn)# exit
|
グローバル コンフィギュレーション モードに戻ります。
|
ステップ 6
|
interface
type number
例:
Router(config)# interface fastethernet 0
|
インターフェイス コンフィギュレーション モードを開始します。
になります。
|
ステップ 7
|
crypto ipsec client ezvpn
name [
outside
|
inside
]
例:
Router(config-if)# crypto ipsec client ezvpn ezvpnclient outside
|
Cisco Easy VPN リモート コンフィギュレーションを WAN インターフェイスに割り当てます。これにより、ルータは VPN 接続に必要な NAT または PAT、およびアクセス リストの設定を自動的に作成します。
|
ステップ 8
|
exit
例:
Router(config-crypto-ezvpn)# exit
|
グローバル コンフィギュレーション モードに戻ります。
|
Easy VPN の設定の検証
Router# show crypto ipsec client ezvpn Inside interface list:vlan 1 Outside interface:fastethernet 0 Current State:IPSEC_ACTIVE
設定例
次の設定例は、この章で説明した VPN および IPSec トンネルのコンフィギュレーション ファイルの一部を示します。
aaa authentication login rtr-remote local aaa authorization network rtr-remote local username Cisco password 0 Cisco crypto isakmp client configuration group rtr-remote dns 10.50.10.1 10.60.10.1 crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac crypto ipsec security-association lifetime seconds 86400 crypto dynamic-map dynmap 1 crypto map static-map 1 ipsec-isakmp dynamic dynmap crypto map dynmap isakmp authorization list rtr-remote crypto map dynmap client configuration address respond crypto ipsec client ezvpn ezvpnclient group 2 key secret-password crypto ipsec client ezvpn ezvpnclient outside crypto ipsec client ezvpn ezvpnclient inside
, ドキュメント全体
