Cisco 850 / 870 シリーズ アクセス ルータ ソフトウェア コンフィギュレーション ガイド
Easy VPN および IPSec トンネルによ る VPN の設定
Easy VPN および IPSec トンネルによる VPN の設定
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

Easy VPN および IPSec トンネルによる VPN の設定

IKE ポリシーの設定

グループ ポリシー情報の設定

暗号マップに対するモード設定の適用

ポリシー検索のイネーブル化

IPSec トランスフォームおよびプロトコルの設定

IPSec 暗号方式およびパラメータの設定

暗号マップの物理インターフェイスへの適用

Easy VPN リモートの設定

Easy VPN の設定の確認

設定例

Easy VPN および IPSec トンネルによる VPN の設定

Cisco 870 シリーズ ルータは、Virtual Private Network(VPN; 仮想私設網)の構築をサポートしています。

シスコ ルータおよびその他のブロードバンド デバイスを使用すると、インターネットへの高速接続を実現できますが、高度な認証機能と 2 つのエンドポイント間でのデータ暗号化を実行する VPN 接続を使用して、セキュリティを確保する必要のあるアプリケーションも数多く存在します。

サポートされている VPN は、サイト間 VPN とリモート アクセス VPN の 2 種類です。サイト間 VPN は、ブランチ オフィスとコーポレート オフィスを接続する場合などに使用します。リモート アクセス VPN は、リモート クライアントが企業ネットワークにログインする場合に使用します。

この章の構成例は、Cisco Easy VPN と IPSec トンネルを使用して、リモート クライアントと企業ネットワーク間の接続を保護するリモート アクセス VPN を示しています。図6-1 は、一般的なネットワークの構成例を示しています。


) この章で扱っている内容は、Cisco 850 ルータには適用されません。Cisco 850 シリーズ ルータは、Cisco Easy VPN をサポートしていません。


図6-1 IPSec トンネルを使用したリモート アクセス VPN

 

 

1

リモート(ネットワークに接続されたユーザ)

2

VPN クライアント ― Cisco 870 シリーズ アクセス ルータ

3

ルータ ― 本社オフィスへのネットワーク アクセスを提供

4

VPN サーバ ― Easy VPN サーバ(外部インターフェイス アドレスを 210.110.101.1 に設定した Cisco VPN 3000 コンセントレータなど)

5

本社オフィス(ネットワーク アドレス 10.1.1.1 を使用)

6

IPSec トンネル

Cisco Easy VPN

Cisco Easy VPN クライアントの機能を使用すると、Cisco Unity Client プロトコルを実行して、面倒な設定作業の多くを省略することができます。このプロトコルを使用すると、大半の VPN パラメータ(内部 IP アドレス、内部サブネット マスク、DHCP サーバ アドレス、WINS サーバ アドレス、およびスプリットトンネリング フラグなど)を VPN サーバ(IPSec サーバとして動作する Cisco VPN 3000 シリーズ コンセントレータなど)で定義できます。

Easy VPN サーバ対応デバイスは、PC 上で Cisco Easy VPN リモート ソフトウェアを使用しているモバイル ユーザやリモート ユーザが起動した VPN トンネルを終端できます。Easy VPN サーバ対応装置により、リモート ルータが Easy VPN リモート ノードとして機能することができます。

Cisco Easy VPN クライアントは、クライアント モードまたはネットワーク拡張モードのいずれかのモードで設定できます。クライアント モードはデフォルト設定です。クライアント モードを使用すると、クライアント サイトのデバイスだけが中央サイトにあるリソースにアクセスできます。クライアント サイトにあるリソースは、中央サイトでは利用できません。ネットワーク拡張モードを使用すると、(VPN 3000 シリーズ コンセントレータが配置された)中央サイトのユーザがクライアント サイトのネットワーク リソースにアクセスできます。

IPSec サーバが設定されている場合は、サポート対象の Cisco 870 シリーズ アクセス ルータといった IPSec クライアント上で最小限の設定を行うことにより、VPN 接続を作成できます。IPSec クライアントが VPN トンネル接続を開始すると、IPSec サーバは IPSec クライアントに IPSec ポリシーを設定し、対応する VPN トンネル接続を作成します。


) Cisco Easy VPN クライアントの機能は、宛先ピアを 1 つだけ使用する構成をサポートしています。複数の VPN トンネルを作成する必要がある場合には、クライアントとサーバの両方で IPSec VPN および Network Address Translation/Peer Address Translation(NAT/PAT)パラメータを手動で設定する必要があります。


設定作業

ルータでこのネットワーク構成を設定するには、次の作業を行います。

IKE ポリシーの設定

グループ ポリシー情報の設定

暗号マップに対するモード設定の適用

ポリシー検索のイネーブル化

IPSec トランスフォームおよびプロトコルの設定

IPSec 暗号方式およびパラメータの設定

暗号マップの物理インターフェイスへの適用

Easy VPN リモートの設定

これらの作業を行った場合の設定例については、「設定例」を参照してください。


) この章で説明する手順は、基本的なルータ機能に加えて、NAT による PPPoE または PPPoA、DHCP、および VLAN がすでに設定されていることを前提としています。これらの設定作業が済んでいない場合には、使用しているルータに応じて、「基本的なルータの設定」「NAT による PPPoE の設定」「NAT による PPP over ATM の設定」、および「DHCP および VLAN を使用した LAN の設定」を参照してください。



) この章にある例は、Cisco 870 シリーズ ルータのエンドポイント設定のみを参照しています。どの VPN 接続も、両端のエンドポイントが適切に機能するように設定されている必要があります。他のルータ モデルで VPN を設定するために、必要に応じてソフトウェア設定マニュアルを参照してください。


IKE ポリシーの設定

Internet Key Exchange(IKE)ポリシーを設定するには、グローバル コンフィギュレーション モードから、次の作業を行います。

 

コマンドまたは操作
目的

ステップ 1

crypto isakmp policy priority

例:

Router(config)# crypto isakmp policy 1
Router(config-isakmp)#
 

IKE ネゴシエーションで使用する IKE ポリシーを作成します。プライオリティは 1 ~ 10000 の番号(1 が最高)です。

このとき、Internet Security Association and Key
Management Protocol(ISAKMP)ポリシー コンフィギュレーション モードが開始されます。

ステップ 2

encryption {des | 3des | aes | aes 192 | aes 256}

例:

Router(config-isakmp)# encryption 3des
Router(config-isakmp)#
 

IKE ポリシーで使用する暗号化アルゴリズムを指定します。

例では、168 ビットの DES が指定されています。

ステップ 3

hash {md5 | sha}

例:

Router(config-isakmp)# hash md5
Router(config-isakmp)#
 

IKE ポリシーで使用するハッシュ アルゴリズムを指定します。

例では、Message Digest 5(MD5)アルゴリズムが指定されています。デフォルトは Secure Hash standard(SHA-1)です。

ステップ 4

authentication {rsa-sig | rsa-encr | pre-share}

例:

Router(config-isakmp)# authentication pre-share
Router(config-isakmp)#
 

IKE ポリシーで使用する認証方式を指定します。

例では、事前共有鍵が指定されています。

ステップ 5

group {1 | 2 | 5}

例:

Router(config-isakmp)# group 2
Router(config-isakmp)#
 

IKE ポリシーで使用する Diffie-Hellman グループを指定します。

ステップ 6

lifetime seconds

例:

Router(config-isakmp)# lifetime 480
Router(config-isakmp)#
 

IKE SA(セキュリティ アソシエーション)のライフタイム(60 ~ 86400 秒)を指定します。

ステップ 7

exit

例:

Router(config-isakmp)# exit
Router(config)#
 

IKE ポリシーのコンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに切り替えます。

グループ ポリシー情報の設定

グループ ポリシーを設定するには、グローバル コンフィギュレーション モードから、次の作業を行います。

 

コマンドまたは操作
目的

ステップ 1

crypto isakmp client configuration group { group-name | default }

例:

Router(config)# crypto isakmp client configuration group rtr-remote
Router(config-isakmp-group)#
 

リモート クライアントにダウンロードされる属性を格納する IKE ポリシー グループを作成します。

このとき、ISAKMP グループ ポリシー コンフィギュレーション モードが開始されます。

ステップ 2

key name

例:

Router(config-isakmp-group)# key secret-password
Router(config-isakmp-group)#
 

グループ ポリシーの IKE 事前共有鍵を指定します。

ステップ 3

dns primary-server

例:

Router(config-isakmp-group)# dns 10.50.10.1
Router(config-isakmp-group)#
 

グループのプライマリ Domain Name System(DNS; ドメイン ネーム システム)サーバを指定します。


winsコマンドを使用して、グループの Windows Internet Naming Service(WINS)サーバを指定することもできます。


ステップ 4

domain name

例:

Router(config-isakmp-group)# domain company.com
Router(config-isakmp-group)#
 

グループのドメイン メンバーシップを指定します。

ステップ 5

exit

例:

Router(config-isakmp-group)# exit
Router(config)#
 

IKE グループ ポリシーのコンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに切り替えます。

ステップ 6

ip local pool { default | poolname } [ low-ip-address [ high-ip-address ]]

例:

Router(config)# ip local pool dynpool 30.30.30.20 30.30.30.30
Router(config)#
 

グループのローカル アドレス プールを指定します。

このコマンドの詳細および設定可能なその他のパラメータについては、『 Cisco IOS Dial Technologies Command Reference』を参照してください。

暗号マップに対するモード設定の適用

暗号マップにモード設定を適用するには、グローバル コンフィギュレーション モードから始めて、次の作業を行います。

 

コマンドまたは操作
目的

ステップ 1

crypto map map-name isakmp authorization list list-name

例:

Router(config)# crypto map dynmap isakmp authorization list rtr-remote
Router(config)#
 

暗号マップにモード設定を適用し、Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)サーバからのグループ ポリシーの鍵検索(IKE 要求)を有効にします。

ステップ 2

crypto map tag client configuration address [initiate | respond]

例:

Router(config)# crypto map dynmap client configuration address respond
Router(config)#
 

リモート クライアントからのモード設定要求に応答するようにルータを設定します。

ポリシー検索のイネーブル化

AAA によるポリシー検索をイネーブルにするには、グローバル コンフィギュレーション モードから、次の作業を行います。

 

コマンドまたは操作
目的

ステップ 1

aaa new-model

例:

Router(config)# aaa new-model
Router(config)#
 

AAA アクセス制御モデルをイネーブルにします。

ステップ 2

aaa authentication login {default | list-name } method1 [ method2... ]

例:

Router(config)# aaa authentication login rtr-remote local
Router(config)#
 

特定のユーザに関するログイン時の AAA 認証を設定し、使用する方式を指定します。

この例では、ローカル認証データベースが使用されます。ここで RADIUS サーバを使用することもできます。詳しくは、『 Cisco IOS Security Configuration Guide』および『 Cisco IOS Security Command Reference』を参照してください。

ステップ 3

aaa authorization {network | exec | commands level | reverse-access | configuration} {default | list-name } [ method1 [ method2... ]]

例:

Router(config)# aaa authorization network rtr-remote local
Router(config)#
 

すべてのネットワーク関連サービス要求(PPP など)に関する AAA 許可を設定し、許可方式を指定します。

この例では、ローカル許可データベースが使用されます。ここで RADIUS サーバを使用することもできます。詳しくは、『 Cisco IOS Security Configuration Guide』および『 Cisco IOS Security Command Reference』を参照してください。

ステップ 4

username name {nopassword | password password | password encryption-type encrypted-password }

例:

Router(config)# username Cisco password 0 Cisco
Router(config)#
 

ユーザ名に基づく認証システムを確立します。

この例では、ユーザ名 Cisco と暗号化パスワード Cisco を指定しています。

IPSec トランスフォームおよびプロトコルの設定

トランスフォーム セットは、セキュリティ プロトコルとアルゴリズムの特定の組み合わせです。IKE ネゴシエーションの実行時に、両ピアはデータ フローを保護するために特定のトランスフォーム セットの使用に同意します。

IKE ネゴシエーションの実行時に、両ピアは、複数のトランスフォーム セットから両ピアに共通するトランスフォームを検索します。共通のトランスフォーム セットが見つかると、そのセットが選択され、両ピアのコンフィギュレーションの一部として、そのセットが保護対象トラフィックに適用されます。

IPSec トランスフォーム セットおよびプロトコルを設定するには、グローバル コンフィギュレーション モードから、次の作業を行います。

 

コマンドまたは操作
目的

ステップ 1

crypto ipsec transform-set transform-set-name transform1 [transform2] [transform3] [transform4]

例:

Router(config)# crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac
Router(config)#
 

トランスフォーム セット(IPSec セキュリティ プロトコルおよびアルゴリズムの使用可能な組み合わせ)を定義します。

有効なトランスフォームおよび組み合わせの詳細については、『 Cisco IOS Security Command Reference 』を参照してください。

ステップ 2

crypto ipsec security-association lifetime { seconds seconds | kilobytes kilobytes}

例:

Router(config)# crypto ipsec security-association lifetime seconds 86400
Router(config)#
 

IPSec セキュリティ アソシエーション(SA)のネゴシエート時に使用されるグローバル ライフタイムの値を指定します。

詳細については、『 Cisco IOS Security Command Reference 』を参照してください。


SA を手動で設定する場合には、ピア間のネゴシエーションは実行されないので、両ピアに同じトランスフォーム セットを指定する必要があります。


IPSec 暗号方式およびパラメータの設定

ダイナミック暗号マップ ポリシーは、ルータがすべての暗号マップ パラメータ(IP アドレスなど)を認識していない場合でも、リモート IPSec ピアからの新しい SA のネゴシエーション要求を処理します。

IPSec 暗号方式を設定するには、グローバル コンフィギュレーション モードから、次の作業を行います。

 

コマンドまたは操作
目的

ステップ 1

crypto dynamic-map dynamic-map-name dynamic-seq-num

例:

Router(config)# crypto dynamic-map dynmap 1
Router(config-crypto-map)#
 

ダイナミック暗号マップ エントリを作成して、暗号マップ コンフィギュレーション モードを開始します。

このコマンドの詳細については、『 Cisco IOS Security Command Reference 』を参照してください。

ステップ 2

set transform-set transform-set-name [transform-set-name2...transform-set-name6]

例:

Router(config-crypto-map)# set transform-set vpn1
Router(config-crypto-map)#
 

暗号マップ エントリで使用可能なトランスフォーム セットを指定します。

ステップ 3

reverse-route

例:

Router(config-crypto-map)# reverse-route
Router(config-crypto-map)#
 

暗号マップ エントリの送信元プロキシ情報を作成します。

詳細については、『 Cisco IOS Security Command Reference 』を参照してください。

ステップ 4

exit

例:

Router(config-crypto-map)# exit
Router(config)#
 

グローバル コンフィギュレーション モードに戻ります。

ステップ 5

crypto map map-name seq-num [ ipsec-isakmp ] [ dynamic dynamic-map-name] [ discover ] [ profile profile-name]

例:

Router(config)# crypto map static-map 1 ipsec-isakmp dynamic dynmap
Router(config)#
 

暗号マップ プロファイルを作成します。

暗号マップの物理インターフェイスへの適用

IP Security(IPSec)トラフィックが流れる各インターフェイスには、暗号マップを適用する必要があります。物理インターフェイスに暗号マップを適用すると、ルータはすべてのトラフィックを SA データベースに対して評価するようになります。デフォルト設定の場合、ルータは接続を保護するためにリモート サイト間で送信されるトラフィックを暗号化します。この場合、パブリック インターフェイスを使用して、他のトラフィックの伝送やインターネットとの接続を利用することが可能です。

インターフェイスに暗号マップを適用するには、グローバル コンフィギュレーション モードから、次の作業を行います。

 

コマンドまたは操作
目的

ステップ 1

interface type number

例:

Router(config)# interface fastethernet 4
Router(config-if)#
 

暗号マップを適用するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

ステップ 2

crypto map map-name

例:

Router(config-if)# crypto map static-map
Router(config-if)#
 

暗号マップをインターフェイスに適用します。

このコマンドの詳細については、『 Cisco IOS Security Command Reference 』を参照してください。

ステップ 3

exit

例:

Router(config-crypto-map)# exit
Router(config)#
 

グローバル コンフィギュレーション モードに戻ります。

Easy VPN リモートの設定

IPSec リモート ルータとして機能するルータでは、Easy VPN リモートの設定を作成して、発信インターフェイスにこの設定を関連付ける必要があります。

リモートの設定を作成するには、グローバル コンフィギュレーション モードから、次の作業を行います。

 

コマンドまたは操作
目的

ステップ 1

crypto ipsec client ezvpn name

例:

Router(config)# crypto ipsec client ezvpn ezvpnclient
Router(config-crypto-ezvpn)#
 

Cisco Easy VPN リモートの設定を作成し、Cisco Easy VPN リモート コンフィギュレーション モードを開始します。

ステップ 2

group group-name key group-key

例:

Router(config-crypto-ezvpn)# group ezvpnclient key secret-password
Router(config-crypto-ezvpn)#
 

VPN 接続用の IPSec グループおよび IPSec キーを指定します。

ステップ 3

peer {ipaddress | hostname}

例:

Router(config-crypto-ezvpn)# peer 192.168.100.1
Router(config-crypto-ezvpn)#
 

VPN 接続のピア IP アドレスまたはホスト名を指定します。


) ホスト名を指定できるのは、ルータが DNS サーバを使用してホスト名を解決できる場合だけです。


ステップ 4

mode { client | network-extension | network extension plus }

例:

Router(config-crypto-ezvpn)# mode client
Router(config-crypto-ezvpn)#
 

VPN の動作モードを指定します。

ステップ 5

exit

例:

Router(config-crypto-ezvpn)# exit
Router(config)#
 

グローバル コンフィギュレーション モードに戻ります。

ステップ 6

interface type number

例:

Router(config)# interface fastethernet 4
Router(config-if)#
 

Cisco Easy VPN リモートの設定を適用するインターフェイスで、インターフェイス コンフィギュレーション モードを開始します。


) ATM WAN インターフェイスを備えているルータの場合、このコマンドはinterface atm 0になります。


ステップ 7

crypto ipsec client ezvpn name [ outside | inside ]

例:

Router(config-if)# crypto ipsec client ezvpn ezvpnclient outside
Router(config-if)#
 

Cisco Easy VPN リモートの設定を WAN インターフェイスに関連付けます。これにより、ルータは VPN 接続に必要な NAT または Port Address Translation(PAT;ポート アドレス変換)、およびアクセス リストの設定を自動的に作成します。

ステップ 8

exit

例:

Router(config-crypto-ezvpn)# exit
Router(config)#
 

グローバル コンフィギュレーション モードに戻ります。

Easy VPN の設定の確認

Router# show crypto ipsec client ezvpn
 
Tunnel name :ezvpnclient
Inside interface list:vlan 1
Outside interface:fastethernet 4
Current State:IPSEC_ACTIVE
Last Event:SOCKET_UP
Address:8.0.0.5
Mask:255.255.255.255
Default Domain:cisco.com
 

設定例

次の設定例は、この章で説明した VPN および IPSec トンネルのコンフィギュレーション ファイルの一部です。

!
aaa new-model
!
aaa authentication login rtr-remote local
aaa authorization network rtr-remote local
aaa session-id common
!
username Cisco password 0 Cisco
!
crypto isakmp policy 1
encryption 3des
authentication pre-share
group 2
lifetime 480
!
crypto isakmp client configuration group rtr-remote
key secret-password
dns 10.50.10.1 10.60.10.1
domain company.com
pool dynpool
!
crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac
!
crypto ipsec security-association lifetime seconds 86400
!
crypto dynamic-map dynmap 1
set transform-set vpn1
reverse-route
!
crypto map static-map 1 ipsec-isakmp dynamic dynmap
crypto map dynmap isakmp authorization list rtr-remote
crypto map dynmap client configuration address respond
 
crypto ipsec client ezvpn ezvpnclient
connect auto
group 2 key secret-password
mode client
peer 192.168.100.1
!
 
interface fastethernet 4
crypto ipsec client ezvpn ezvpnclient outside
crypto map static-map
!
interface vlan 1
crypto ipsec client ezvpn ezvpnclient inside
!