Cisco PIX Firewall/VPN コンフィギュレーション ガイド
サイトツーサイト VPN の設定例
サイトツーサイト VPN の設定例
発行日;2012/02/04 | 英語版ドキュメント(2010/08/26 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

サイトツーサイト VPN の設定例

事前共有キーを使用

シナリオの説明

VPN トンネリングを使用する場合の PIX Firewall 1 の設定

VPN トンネリングを使用する場合の PIX Firewall 2 の設定

PIX Firewall と VeriSign CA を使用

シナリオの説明

VeriSign CA を使用する場合の PIX Firewall 1 の設定

VeriSign CA を使用する場合の PIX Firewall 2 の設定

PIX Firewall とインハウス CA を使用

シナリオの説明

インハウス CA を使用する場合の PIX Firewall 1 の設定

インハウス CA を使用する場合の PIX Firewall 2 の設定

暗号化トンネルによる証明書の取得

事前共有キーを使用する場合のトンネルの確立

PIX Firewall 1 のコンフィギュレーション

PIX Firewall 2 のコンフィギュレーション

証明書を使用する場合のトンネルの確立

PIX Firewall 1 のコンフィギュレーション

PIX Firewall 2 のコンフィギュレーション

Catalyst 6500 および Cisco 7600 Series IPSec VPN Services Module への接続

シナリオの説明

トランク ポートを使用した IPSec の設定

ルーテッド ポートを使用した IPSec の設定

コンフィギュレーションの確認

NAT を使用した手動設定

PIX Firewall 1 のコンフィギュレーション

PIX Firewall 2 のコンフィギュレーション

サイトツーサイト VPN の設定例

サイトツーサイト VPN は、保護されたネットワーク上のネットワーク リソースを、パブリック インターネットなどの保護されていないネットワーク上のユーザによる不正使用から保護します。 このタイプの実装の基本については、「IPSec と認証局の設定」で説明しています。この章では、次のサイトツーサイト VPN の設定例を紹介します。

「事前共有キーを使用」

「PIX Firewall と VeriSign CA を使用」

「PIX Firewall とインハウス CA を使用」

「暗号化トンネルによる証明書の取得」

「Catalyst 6500 および Cisco 7600 Series IPSec VPN Services Module への接続」

「NAT を使用した手動設定」


) この章の例では、ローカル PIX Firewall 装置を PIX Firewall 1 とし、リモート装置を PIX Firewall 2 として識別します。 この識別によって、それぞれに必要な設定を明確にできます。


事前共有キーを使用

ここでは、事前共有キーを使用するための設定例を説明します。次の項目について説明します。

「シナリオの説明」

「VPN トンネリングを使用する場合の PIX Firewall 1 の設定」

「VPN トンネリングを使用する場合の PIX Firewall 2 の設定」

シナリオの説明

図 7-1の例では、イントラネットで未登録アドレスが使用され、サイトツーサイト VPN によってパブリック インターネットを介して接続されています。このシナリオでは、パブリック インターネットへの接続には NAT が必要です。しかし、2 つのイントラネット間には NAT は必要ではなく、パブリック インターネットを介した VPN トンネルを使用して伝送が可能です。


) イントラネット トラフィックに VPN トンネリングが必要ない場合は、この例を利用するときに access-list または nat 0 access-list コマンドを除外してください。これらのコマンドは、アクセス リストの基準に一致するトラフィックについて NAT をディセーブルにします。


登録 IP アドレスの数が限られており、PAT を使用できない場合は、パブリック インターネットへの接続に NAT を使用するように PIX Firewall を設定できますが、2 つのイントラネット間のトラフィックには NAT の使用を避けてください。2 つのイントラネット間に直接的な専用回線接続を置き換える場合も、このコンフィギュレーションが有用です。

図 7-1 VPN トンネル ネットワーク

 

この例に示すコンフィギュレーションでは、アクセス リストを使用して、2 つのイントラネット間のトラフィックを NAT から除外しています。 このコンフィギュレーションでは、登録 IP アドレスのグローバル プールをほかのすべてのトラフィックに対して割り当て、これを NAT が使用できるようにしています。イントラネット トラフィックを NAT から除外することによって、登録 IP アドレスをより少なくできます。

VPN トンネリングを使用する場合の PIX Firewall 1 の設定

次の手順を実行して、PIX Firewall 1 を設定します。


ステップ 1 ホスト名を定義します。

hostname NewYork
 

ステップ 2 ISAKMP ポリシーを設定します。

isakmp enable outside
isakmp policy 9 authentication pre-share
isakmp policy 9 encrypt 3des
 

ステップ 3 事前共有キーを設定し、ピアに関連付けます。

crypto isakmp key cisco1234 address 209.165.200.229

ステップ 4 サポートされる IPSec トランスフォームを設定します。

crypto ipsec transform-set strong esp-3des esp-sha-hmac
 

ステップ 5 アクセス リストを作成します。

access-list 90 permit ip 192.168.12.0 255.255.255.0 10.0.0.0 255.0.0.0
 

このアクセス リストは、ネットワーク 192.168.12.0 から 10.0.0.0 へのトラフィックを定義します。これらのネットワークの両方が、未登録アドレスを使用します。


) すべてのトラフィックについて NAT をイネーブルにする場合は、ステップ 5 および 6 は必要ありません。


ステップ 6 イントラネット間のトラフィックを NAT から除外します。

nat 0 access-list 90
 

これを行うことにより、アクセス リスト 90 に一致するトラフィックが NAT から除外されます。 nat 0 コマンドは常に、ほかの nat コマンドよりも先に処理されます。

ステップ 7 ほかのすべてのトラフィックについて、NAT をイネーブルにします。

nat (inside) 1 0 0
 

ステップ 8 NAT および PAT 用のグローバル アドレス プールを割り当てます。

global (outside) 1 209.165.201.9-209.165.201.30
global (outside) 1 209.165.201.7
 

登録アドレスのプールは、パブリック インターネットへの接続にだけ使用されます。

ステップ 9 暗号マップを定義します。

crypto map toSanJose 20 ipsec-isakmp
crypto map toSanJose 20 match address 90
crypto map toSanJose 20 set transform-set strong
crypto map toSanJose 20 set peer 209.165.200.229
 

ステップ 10 暗号マップを外部インターフェイスに適用します。

crypto map toSanJose interface outside
 

ステップ 11 IPSec トラフィックが暗黙的に信頼される(許可される)ことを指定します。

sysopt connection permit-ipsec
 


 

例7-1に、PIX Firewall 1 のコンフィギュレーションのリストを示します。

例7-1 PIX Firewall 1 の VPN トンネル コンフィギュレーション

nameif ethernet0 outside security0
nameif ethernet1 inside security100
interface ethernet0 auto
interface ethernet1 auto
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname NewYork
domain-name example.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 24
no logging on
mtu outside 1500
mtu inside 1500
ip address outside 209.165.201.8 255.255.255.224
ip address inside 192.168.12.1 255.255.255.0
no failover
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400
nat (inside) 0 access-list 90
access-list 90 permit ip 192.168.12.0 255.255.255.0 10.0.0.0 255.0.0.0
nat (inside) 1 0 0
global (outside) 1 209.165.201.9-209.165.201.30
global (outside) 1 209.165.201.7
no rip outside passive
no rip outside default
rip inside passive
no rip inside default
route outside 0.0.0.0 0.0.0.0 209.165.201.7 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
sysopt connection permit-ipsec
crypto ipsec transform-set strong esp-3des esp-sha-hmac
crypto map toSanJose 20 ipsec-isakmp
crypto map toSanJose 20 match address 90
crypto map toSanJose 20 set peer 209.165.200.229
crypto map toSanJose 20 set transform-set strong
crypto map toSanJose interface outside
isakmp enable outside
isakmp key cisco1234 address 209.165.200.229 netmask 255.255.255.255
isakmp policy 9 authentication pre-share
isakmp policy 9 encryption 3des
telnet timeout 5
terminal width 80
 

) この例で、すべてのトラフィックについて NAT をイネーブルにする場合は、次の文は使用しません。
nat 0 access-list 90
access-list 90 permit ip 192.168.12.0 255.255.255.0 10.0.0.0 255.0.0.0


VPN トンネリングを使用する場合の PIX Firewall 2 の設定

次の手順を実行して、PIX Firewall 2 を設定します。


ステップ 1 ホスト名を定義します。

hostname SanJose

ステップ 2 ドメイン名を定義します。

domain-name example.com
 

ステップ 3 ISAKMP ポリシーを設定します。

isakmp enable outside
isakmp policy 8 authentication pre-share
isakmp policy 8 encryption 3des
 

ステップ 4 事前共有キーを設定し、ピアに関連付けます。

crypto isakmp key cisco1234 address 209.165.201.8
 

ステップ 5 IPSec サポート対象のトランスフォームを設定します。

crypto ipsec transform-set strong esp-3des esp-sha-hmac
 

ステップ 6 アクセス リストを作成します。

access-list 80 permit ip 10.0.0.0 255.0.0.0 192.168.12.0 255.255.255.0
 

このアクセス リストは、ネットワーク 10.0.0.0 から 192.168.12.0 へのトラフィックを定義します。これらのネットワークの両方が、未登録アドレスを使用します。


) すべてのトラフィックについて NAT をイネーブルにする場合は、ステップ 7 および 8 は必要ありません。


ステップ 7 イントラネット間のトラフィックを NAT から除外します。

nat 0 access-list 80
 

これを行うことにより、アクセス リスト 80 に一致するトラフィックが NAT から除外されます。 nat 0 コマンドは常に、ほかの nat コマンドよりも先に処理されます。

ステップ 8 ほかのすべてのトラフィックについて、NAT をイネーブルにします。

nat (inside) 1 0 0
 

ステップ 9 NAT および PAT 用のグローバル アドレス プールを割り当てます。

global (outside) 1 209.165.200.240-209.165.200.250
global (outside) 1 209.165.202.251
 

登録アドレスのプールは、パブリック インターネットへの接続にだけ使用されます。

ステップ 10 暗号マップを定義します。

crypto map newyork 10 ipsec-isakmp
crypto map newyork 10 match address 80
crypto map newyork 10 set transform-set strong
crypto map newyork 10 set peer 209.165.201.8
 

ステップ 11 暗号マップをインターフェイスに適用します。

crypto map newyork interface outside
 

ステップ 12 IPSec トラフィックが暗黙的に信頼される(許可される)ことを指定します。

sysopt connection permit-ipsec
 

例7-2に、PIX Firewall 2 のコンフィギュレーションのリストを示します。

例7-2 PIX Firewall 2 の VPN トンネル コンフィギュレーション

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
nameif ethernet3 perimeter security40
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname SanJose
domain-name example.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 24
no logging on
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
interface ethernet3 auto
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu perimeter 1500
ip address outside 209.165.200.229 255.255.255.224
ip address inside 10.0.0.1 255.0.0.0
ip address dmz 192.168.101.1 255.255.255.0
ip address perimeter 192.168.102.1 255.255.255.0
no failover
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address dmz 0.0.0.0
failover ip address perimeter 0.0.0.0
arp timeout 14400
nat 0 access-list 80
access-list 80 permit ip 10.0.0.0 255.0.0.0 192.168.12.0 255.255.255.0
nat (inside) 1 0 0
global (outside) 1 209.165.200.240-209.165.200.250
global (outside) 1 209.165.202.251
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
no rip dmz passive
no rip dmz default
no rip perimeter passive
no rip perimeter default
route outside 0.0.0.0 0.0.0.0 209.165.200.228 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
sysopt connection permit-ipsec
crypto ipsec transform-set strong esp-3des esp-sha-hmac
crypto map newyork 10 ipsec-isakmp
crypto map newyork 10 match address 80
crypto map newyork 10 set peer 209.165.201.8
crypto map newyork 10 set transform-set strong
crypto map newyork interface outside
isakmp enable outside
isakmp key cisco1234 address 209.165.201.8 netmask 255.255.255.255
isakmp policy 8 authentication pre-share
isakmp policy 8 encryption 3des
telnet timeout 5
terminal width 80
 

例7-2で、すべてのトラフィックについて NAT をイネーブルにする場合は、次の文は使用しません。
nat 0 access-list 80
access-list 80 permit ip 10.0.0.0 255.0.0.0 192.168.12.0 255.255.255.00


PIX Firewall と VeriSign CA を使用

ここで紹介する設定例では、デバイス登録、証明書要求、および IKE 認証用のデジタル証明に VeriSign CA サーバを使用するサイトツーサイト VPN 用に、2 つの PIX Firewall 装置(PIX Firewall 1 および 2)間の相互運用性を設定する方法を示します。ここでは、次の項目について説明します。

「シナリオの説明」

「VeriSign CA を使用する場合の PIX Firewall 1 の設定」

「VeriSign CA を使用する場合の PIX Firewall 2 の設定」

シナリオの説明

設定例にある 2 つの VPN ピアは、IP アドレスが 209.165.202.130 の VeriSign に登録され、その CA 証明書をこの CA サーバから取得するように設定されています。VeriSign は、インターネットを介して CA 署名付きの証明書を発行するパブリック CA です。各ピアが CA 署名付きの証明書を取得すると、IKE 認証時の認証方式としてデジタル証明を使用して、2 つの VPN ピア間にトンネルを確立できます。ピアは、デジタル証明を使用して互いをダイナミックに認証します。


) VeriSign の実際の CA サーバ アドレスは、例とは異なります。例で使用している CA サーバ アドレスは、あくまでも例示を目的としたものです。


CA 用に PIX Firewall を設定するための一般的な手順については、「IPSec と認証局の設定」の「 認証局の使用」を参照してください。

ここでは、図 7-2に図示するネットワークの設定例を紹介します。

図 7-2 VPN トンネル ネットワーク

 

VeriSign CA を使用する場合の PIX Firewall 1 の設定

次の手順を実行して、パブリック CA を使用するように PIX Firewall 1 を設定します。


ステップ 1 ホスト名を定義します。

hostname NewYork
 

ステップ 2 ドメイン名を定義します。

domain-name example.com
 

ステップ 3 PIX Firewall RSA キー ペアを生成します。

ca generate rsa key 512
 

このコマンドは、コンフィギュレーションには保存されません。

ステップ 4 VeriSign 関連の登録コマンドを定義します。

ca identity example.com 209.165.202.130
ca configure example.com ca 2 20 crloptional
 

これらのコマンドは、コンフィギュレーションに保存されます。「 2 」はリトライ間隔、「 20 」はリトライ回数で、 crloptional オプションは CRL チェックをディセーブルにします。

ステップ 5 CA の公開キーと証明書を取得して、CA を認証します。

ca authenticate example.com
 

このコマンドは、コンフィギュレーションには保存されません。

ステップ 6 PIX Firewallの RSA キー ペアに対する署名付き証明書を、CA に要求します。CA の管理者は証明書を付与する前に PIX Firewall を手動で認証する必要があるため、このコマンドを入力する前に CA の管理者に連絡してください。

ca enroll example.com abcdef
 

「abcdef」はチャレンジ パスワードです。任意の文字列を使用できます。このコマンドは、コンフィギュレーションには保存されません。

ステップ 7 show ca certificate コマンドを使用して、登録プロセスが成功したことを確認します。

show ca certificate
 

ステップ 8 キーと証明書、および CA コマンド(示されているものを除く)を、フラッシュ メモリに保存します。

ca save all
write memory
 

ca コマンドをコンフィギュレーションに追加、あるいは変更または削除するときは必ず、ca save all コマンドを使用します。このコマンドは、コンフィギュレーションには保存されません。


ステップ 9 IKE ポリシーを設定します。

isakmp enable outside
isakmp policy 8 auth rsa-sig
 

ステップ 10 アクセス リストの一部分を作成します。

access-list 90 permit ip 192.168.12.0 255.255.255.0 10.0.0.0 255.0.0.0
 

ステップ 11 どのようにトラフィックを保護するかを定義する、トランスフォーム セットを設定します。

crypto ipsec transform-set strong esp-3des esp-sha-hmac
 

ステップ 12 暗号マップを定義します。

crypto map toSanJose 20 ipsec-isakmp
crypto map toSanJose 20 match address 90
crypto map toSanJose 20 set transform-set strong
crypto map toSanJose 20 set peer 209.165.200.229
 

ステップ 13 暗号マップを外部インターフェイスに適用します。

crypto map toSanJose interface outside
 

ステップ 14 IPSec トラフィックを暗黙的に許可することを、PIX Firewall に指示します。

sysopt connection permit-ipsec
 


 

例7-3に、PIX Firewall 1 のコンフィギュレーションのリストを示します。 PIX Firewall のデフォルトの設定値と一部の CA コマンドは、コンフィギュレーション リストには出力されません。

例7-3 パブリック CA を使用した場合の PIX Firewall 1

nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname NewYork
domain-name example.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 24
no logging on
interface ethernet0 auto
interface ethernet1 auto
mtu outside 1500
mtu inside 1500
ip address outside 209.165.201.8 255.255.255.224
ip address inside 192.168.12.1 255.255.255.0
no failover
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400
nat (inside) 0 0.0.0.0 0.0.0.0 0 0
nat 0 access-list 90
access-list 90 permit ip 192.168.12.0 255.255.255.0 10.0.0.0 255.0.0.0
no rip outside passive
no rip outside default
rip inside passive
no rip inside default
route outside 0.0.0.0 0.0.0.0 209.165.201.7 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
sysopt connection permit-ipsec
crypto ipsec transform-set strong esp-3des esp-sha-hmac
crypto map toSanJose 20 ipsec-isakmp
crypto map toSanJose 20 match address 90
crypto map toSanJose 20 set peer 209.165.200.229
crypto map toSanJose 20 set transform-set strong
crypto map toSanJose interface outside
isakmp policy 8 authentication rsa-sig
isakmp policy 8 encryption des
isakmp policy 8 hash sha
isakmp policy 8 group 1
isakmp policy 8 lifetime 86400
ca identity example.com 209.165.202.130:cgi-bin/pkiclient.exe
ca configure example.com ca 1 100 crloptional
telnet timeout 5
terminal width 80
 

VeriSign CA を使用する場合の PIX Firewall 2 の設定


) PIX Firewall 2 を設定するための次の手順は、前述の「VeriSign CA を使用する場合の PIX Firewall 1 の設定」とほとんど同じです。 ステップ 1 と 2、および 11 ~ 13 は異なる手順で、例ではこの部分は PIX Firewall 2 に固有の内容になっています。


次の手順を実行して、VeriSign CA を使用するように PIX Firewall 2 を設定します。


ステップ 1 ホスト名を定義します。

hostname SanJose
 

ステップ 2 ドメイン名を定義します。

domain-name example.com
 

ステップ 3 PIX Firewall RSA キー ペアを生成します。

ca generate rsa key 512
 

このコマンドは、コンフィギュレーションには保存されません。

ステップ 4 VeriSign 関連の登録コマンドを定義します。

ca identity example.com 209.165.202.130
ca configure example.com ca 2 20 crloptional
 

これらのコマンドは、コンフィギュレーションに保存されます。「 2 」はリトライ間隔、「 20 」はリトライ回数で、 crloptional オプションは CRL チェックをディセーブルにします。

ステップ 5 CA の公開キーと証明書を取得して、CA を認証します。

ca authenticate example.com
 

このコマンドは、コンフィギュレーションには保存されません。

ステップ 6 PIX Firewallの RSA キー ペアに対する署名付き証明書を、CA に要求します。

ca enroll example.com abcdef
 

CA の管理者は証明書を付与する前に PIX Firewall を手動で認証する必要があるため、このコマンドを入力する前に CA の管理者に連絡してください。

「abcdef」はチャレンジ パスワードです。任意の文字列を使用できます。このコマンドは、コンフィギュレーションには保存されません。

ステップ 7 次の コマンドを使用して、登録プロセスが成功したことを確認します。

show ca certificate
 

ステップ 8 キーと証明書、および CA コマンド(示されているものを除く)を、フラッシュ メモリに保存します。

ca save all
write memory
 

ca コマンドをコンフィギュレーションに追加、あるいは変更または削除するときは必ず、
ca save all
コマンドを使用します。このコマンドは、コンフィギュレーションには保存されません。


ステップ 9 IKE ポリシーを設定します。

isakmp enable outside
isakmp policy 8 auth rsa-sig
 

ステップ 10 アクセス リストの一部分を作成します。

access-list 80 permit ip 10.0.0.0 255.0.0.0 192.168.12.0 255.255.255.0
 

ステップ 11 どのようにトラフィックを保護するかを定義する、トランスフォーム セットを設定します。

crypto ipsec transform-set strong esp-3des esp-sha-hmac
 

ステップ 12 暗号マップを定義します。

crypto map newyork 10 ipsec-isakmp
crypto map newyork 10 match address 80
crypto map newyork 10 set transform-set strong
crypto map newyork 10 set peer 209.165.201.8
 

ステップ 13 暗号マップを外部インターフェイスに適用します。

crypto map newyork interface outside
 

ステップ 14 IPSec トラフィックを暗黙的に許可することを、PIX Firewall に指示します。

sysopt connection permit-ipsec
 


 

例7-4に、PIX Firewall 2 のコンフィギュレーションのリストを示します。 PIX Firewall のデフォルトのコンフィギュレーション値と一部の CA コマンドは、コンフィギュレーション リストには出力されません。

例7-4 PIX Firewall 2 の CA コンフィギュレーション

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
nameif ethernet3 perimeter security40
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname SanJose
domain-name example.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 24
no logging on
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
interface ethernet3 auto
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu perimeter 1500
ip address outside 209.165.200.229 255.255.255.224
ip address inside 10.0.0.1 255.0.0.0
ip address dmz 192.168.101.1 255.255.255.0
ip address perimeter 192.168.102.1 255.255.255.0
no failover
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address dmz 0.0.0.0
failover ip address perimeter 0.0.0.0
arp timeout 14400
nat (inside) 0 10.0.0.0 255.0.0.0 0 0
nat 0 access-list 80
access-list 80 permit ip 10.0.0.0 255.0.0.0 192.168.12.0 255.255.255.0
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
no rip dmz passive
no rip dmz default
no rip perimeter passive
no rip perimeter default
route outside 0.0.0.0 0.0.0.0 209.165.200.228 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
sysopt connection permit-ipsec
crypto ipsec transform-set strong esp-3des esp-sha-hmac
crypto map newyork 10 ipsec-isakmp
crypto map newyork 10 match address 80
crypto map newyork 10 set peer 209.165.201.8
crypto map newyork 10 set transform-set strong
crypto map newyork interface outside
isakmp policy 8 authentication rsa-sig
isakmp policy 8 encryption des
isakmp policy 8 hash sha
isakmp policy 8 group 1
isakmp policy 8 lifetime 86400
ca identity example.com 209.165.202.130:cgi-bin/pkiclient.exe
ca configure example.com ca 2 20 crloptional
telnet timeout 5
terminal width 80

 

PIX Firewall とインハウス CA を使用

CA 用に PIX Firewall を設定するための一般的な手順については、「IPSec と認証局の設定」の「 認証局の使用」を参照してください。この項では、図 7-3で示すネットワークに固有の例を紹介し、次の項目について説明します。

「シナリオの説明」

「インハウス CA を使用する場合の PIX Firewall 1 の設定」

「インハウス CA を使用する場合の PIX Firewall 2 の設定」

シナリオの説明

PIX Firewall は、次の認証局(CA)の使用をサポートします。

VeriSign サポートは、VeriSign Private Certificate Services (PCS)および OnSite サービスを通じて提供されます。このサービスによって、デジタル証明を発行するためのインハウス CA システムを確立できます。

Entrust、Entrust VPN Connector、Version 4.1 (build 4.1.0.337)以降。Entrust CA サーバは、インハウス CA サーバ ソリューションです。

Baltimore Technologies、UniCERT Certificate Management System Version 3.1.2 以降。Baltimore CA サーバは、インハウス CA サーバ ソリューションです。

Microsoft Windows 2000、特に Windows 2000 Advanced Server Version 5.00.2195 以降。Windows 2000 CA サーバは、インハウス CA サーバ ソリューションです。

パブリック CA と プライベート CA ソリューションの両方を提供する VeriSign 以外は、すべてインハウス CA サーバです。


) 例で使用している CA サーバ アドレスは、例示専用のアドレスです。


次の例のインハウス CA サーバは、1 つの PIX Firewall ネットワーク(PIX Firewall 1)の DMZ ネットワーク内に置かれます。 VPN ピアである PIX Firewall 2 は、PIX Firewall 1 のネットワークに常駐する CA サーバから、CA 署名付きの証明書を登録して取得します。 PIX Firewall 2 の登録および証明書要求プロセスは、インターネットを介して実行されます。

設定例にある 2 つの VPN ピアは、CA 署名付き証明書を Entrust CA サーバに登録し、ここから取得するように設定されています。PIX Firewall 1 は、証明書を CA のローカル IP アドレス 10.1.0.2 から取得します。PIX Firewall 2 は、証明書を CA のグローバル IP アドレス 209.165.202.131 から取得します。各ピアがそれぞれ CA 署名付き証明書を取得した後で、2 つの VPN ピア間にトンネルを確立できます。ピアは、デジタル証明を使用して互いをダイナミックに認証します。

図 7-3 VPN トンネル ネットワーク

 

インハウス CA を使用する場合の PIX Firewall 1 の設定

次の手順を実行して、インハウス CA を使用するように PIX Firewall 1 を設定します。これらの手順は、「PIX Firewall と VeriSign CA を使用」に示した手順と類似しています。


ステップ 1 ホスト名を定義します。

hostname NewYork
 

ステップ 2 ドメイン名を定義します。

domain-name example.com
 

ステップ 3 PIX Firewall RSA キー ペアを生成します。

ca generate rsa key 512
 

このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 4 CA 関連の登録コマンドを定義します。

ca identity abcd 10.1.0.2 10.1.0.2
ca configure abcd ra 2 20 crloptional
 

これらのコマンドは、コンフィギュレーションに保存されます。 2 はリトライ間隔、 20 はリトライ回数で、 crloptional オプションは CRL チェックをディセーブルにします。


) Microsoft CA サーバの場合は、内部ネットワーク アドレスの後にコロンとサーバ実行可能ファイルへのパスを続けて指定します(たとえば、10.1.0.2:/CERTSRV/mscep/mscep.dll )。


ステップ 5 CA の公開キーと証明書を取得して、CA を認証します。

ca authenticate abcd
 

このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 6 PIX Firewallの RSA キー ペアに対する署名付き証明書を、CA に要求します。

ca enroll abcd cisco
 

CA の管理者は証明書を付与する前に PIX Firewall を手動で認証する必要があるため、このコマンドを入力する前に CA の管理者に連絡してください。

「cisco」はチャレンジ パスワードです。任意の文字列を使用できます。このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 7 show ca certificate コマンドを使用して、登録プロセスが成功したことを確認します。

show ca certificate
 

ステップ 8 キーと証明書、および CA コマンド(示されているものを除く)を、フラッシュ メモリに保存します。

ca save all
write memory
 

ca コマンドをコンフィギュレーションに追加、あるいは変更または削除するときは必ず、
ca save all
コマンドを使用します。このコマンドは、コンフィギュレーションには保存されません。


ステップ 9 ローカル IP アドレスをグローバル IP アドレスにマッピングします。

static (dmz, outside) 209.165.202.131 10.1.0.2 netmask 255.255.255.255
 

ステップ 10 ホスト(PIX Firewall 2)が LDAP、ポート 389 を通じてグローバル ホストにアクセスすることを許可します。

conduit permit tcp host 209.165.202.131 eq 389 209.165.200.229 255.255.255.255
 

ステップ 11 ホスト(PIX Firewall 2)が HTTP を通じてグローバル ホストにアクセスすることを許可します。

conduit permit tcp host 209.165.202.131 eq http 209.165.200.229 255.255.255.255
 

ステップ 12 IKE ポリシーを設定します。

isakmp enable outside
isakmp policy 8 auth rsa-sig
isakmp identity hostname
 

ステップ 13 どのようにトラフィックを保護するかを定義する、トランスフォーム セットを設定します。

crypto ipsec transform-set strong esp-3des esp-sha-hmac
 

ステップ 14 アクセス リストの一部分を作成します。

access-list 90 permit ip 192.168.12.0 255.255.255.0 10.0.0.0 255.0.0.0
 

ステップ 15 暗号マップを定義します。

crypto map toSanJose 20 ipsec-isakmp
crypto map toSanJose 20 match address 90
crypto map toSanJose 20 set transform-set strong
crypto map toSanJose 20 set peer 209.165.200.229
 

ステップ 16 暗号マップを外部インターフェイスに適用します。

crypto map toSanJose interface outside
 

ステップ 17 IPSec トラフィックを暗黙的に許可することを、PIX Firewall に指示します。

sysopt connection permit-ipsec
 


 

例7-5に、PIX Firewall 1 のコンフィギュレーションのリストを示します。

例7-5 PIX Firewall 1 の VPN トンネル コンフィギュレーション

nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname NewYork
domain-name example.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 24
no logging on
interface ethernet0 auto
interface ethernet1 auto
mtu outside 1500
mtu inside 1500
ip address outside 209.165.201.8 255.255.255.224
ip address inside 192.168.12.1 255.255.255.0
no failover
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400
static (dmz, outside) 209.165.202.131 10.1.0.2 netmask 255.255.255.255
conduit permit tcp host 209.165.202.131 eq 389 209.165.200.229 255.255.255.255
conduit permit tcp host 209.165.202.131 eq http 209.165.200.229 255.255.255.255
nat 0 access-list 90
access-list 90 permit ip 192.168.12.0 255.255.255.0 10.0.0.0 255.0.0.0
no rip outside passive
no rip outside default
rip inside passive
no rip inside default
route outside 0.0.0.0 0.0.0.0 209.165.201.7 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
sysopt connection permit-ipsec
crypto ipsec transform-set strong esp-3des esp-sha-hmac
crypto map toSanJose 20 ipsec-isakmp
crypto map toSanJose 20 match address 90
crypto map toSanJose 20 set peer 209.165.200.229
crypto map toSanJose 20 set transform-set strong
crypto map toSanJose interface outside
isakmp policy 8 authentication rsa-sig
isakmp policy 8 encryption des
isakmp policy 8 hash sha
isakmp policy 8 group 1
isakmp policy 8 lifetime 86400
ca identity abcd 10.1.0.2 10.1.0.2
ca configure abcd ra 1 100 crloptional
telnet timeout 5
terminal width 80

 

インハウス CA を使用する場合の PIX Firewall 2 の設定

次の手順を実行して、PIX Firewall 2 を設定します。


ステップ 1 ホスト名を定義します。

hostname SanJose
 

ステップ 2 ドメイン名を定義します。

domain-name example.com
 

ステップ 3 IKE ポリシーを設定します。

isakmp enable outside
isakmp policy 8 auth rsa-sig

ステップ 4 CA 関連の登録コマンドを定義します。

ca identity abcd 209.165.202.131 209.165.202.131
ca configure abcd ra 2 20 crloptional
 

これらのコマンドは、コンフィギュレーションに保存されます。 2 はリトライ間隔、 20 はリトライ回数で、 crloptional オプションは CRL チェックをディセーブルにします。


) Microsoft CA サーバの場合は、外部(グローバル)ネットワーク アドレスの後にコロンとサーバ実行可能ファイルへのパスを続けて指定します(たとえば、
209.165.202.131:/certserv/mscep/mscep.dll )。


ステップ 5 PIX Firewall RSA キー ペアを生成します。

ca generate rsa key 512
 

このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 6 CA サーバの公開キーと証明書を取得します。

ca authenticate abcd
 

このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 7 CA アドミニストレータに連絡して証明書要求を送信します。

ca enroll abcd cisco
 

「cisco」はチャレンジ パスワードです。任意の文字列を使用できます。このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 8 サポート対象の IPSec トランスフォームを設定します。

crypto ipsec transform-set strong esp-3des esp-sha-hmac
 

ステップ 9 キーと証明書、および CA コマンド(示されているものを除く)を、フラッシュ メモリに保存します。

ca save all
write memory
 

ca コマンドをコンフィギュレーションに追加、あるいは変更または削除するときは必ず、
ca save all
コマンドを使用します。このコマンドは、コンフィギュレーションには保存されません。


ステップ 10 アクセス リストの一部分を作成します。

access-list 80 permit ip 10.0.0.0 255.0.0.0 192.168.12.0 255.255.255.0
 

ステップ 11 暗号マップを定義します。

crypto map newyork 20 ipsec-isakmp
crypto map newyork 20 match address 80
crypto map newyork 20 set transform-set strong
crypto map newyork 20 set peer 209.165.201.8
 

ステップ 12 暗号マップを外部インターフェイスに適用します。

crypto map newyork interface outside
 

ステップ 13 IPSec トラフィックを暗黙的に許可することを、PIX Firewall に指示します。

sysopt connection permit-ipsec
 


 

例7-6に、PIX Firewall 2 のコンフィギュレーションのリストを示します。

例7-6 PIX Firewall 2 の VPN トンネル コンフィギュレーション

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
nameif ethernet3 perimeter security40
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname SanJose
domain-name example.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 24
no logging on
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
interface ethernet3 auto
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu perimeter 1500
ip address outside 209.165.200.229 255.255.255.224
ip address inside 10.0.0.1 255.0.0.0
ip address dmz 192.168.101.1 255.255.255.0
ip address perimeter 192.168.102.1 255.255.255.0
no failover
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address dmz 0.0.0.0
failover ip address perimeter 0.0.0.0
arp timeout 14400
nat 0 access-list 80
access-list 80 permit ip 10.0.0.0 255.0.0.0 192.168.12.0 255.255.255.0
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
no rip dmz passive
no rip dmz default
no rip perimeter passive
no rip perimeter default
route outside 0.0.0.0 0.0.0.0 209.165.200.228 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
sysopt connection permit-ipsec
crypto ipsec transform-set strong esp-3des esp-sha-hmac
crypto map newyork 10 ipsec-isakmp
crypto map newyork 10 match address 80
crypto map newyork 10 set peer 209.165.201.8
crypto map newyork 10 set transform-set strong
crypto map newyork interface outside
isakmp policy 8 authentication rsa-sig
isakmp policy 8 encryption des
isakmp policy 8 hash sha
isakmp policy 8 group 1
isakmp policy 8 lifetime 86400
ca identity abcd 209.165.202.131 209.165.202.131
ca configure abcd ra 1 100 crloptional
telnet timeout 5
terminal width 80

 

暗号化トンネルによる証明書の取得

ここでは、2 つの PIX Firewall 装置(PIX Firewall 1 および 2)の間のサイトツーサイト VPN トンネルを通じて CA 登録要求および証明書要求を実行する例を紹介します。 この例では、両方の PIX Firewall 装置は、PIX Firewall 1 で保護された CA サーバによる証明書を登録して要求します。 PIX Firewall 2 は、暗号化トンネルを使用して、その証明書を登録および要求します。

これを実行するためには、最初に事前共有キーを使用して PIX Firewall 間のトンネルを確立します。 次にこのトンネルを使用して、PIX Firewall 2 用の証明書を登録および要求します。 証明書を取得後、両方の装置の IKE と IPSec SA をクリアして、デジタル証明を使用するようにこれらを設定します。


) 例で使用している CA サーバ アドレスは、例示専用のアドレスです。


ここでは、次の項目について説明します。

「事前共有キーを使用する場合のトンネルの確立」

「証明書を使用する場合のトンネルの確立」

この例では、図 7-4に示すネットワーク構成図を使用します。

図 7-4 VPN トンネル ネットワーク

 

事前共有キーを使用する場合のトンネルの確立

ここでは、事前共有キーを使用してトンネルを確立する方法について説明します。次の項目について説明します。

「PIX Firewall 1 のコンフィギュレーション」

「PIX Firewall 2 のコンフィギュレーション」

PIX Firewall 1 のコンフィギュレーション

次の手順を実行して、PIX Firewall 1 を設定します。


ステップ 1 ホスト名を定義します。

hostname NewYork
 

ステップ 2 ドメイン名を定義します。

domain-name example.com
 

ステップ 3 IKE ポリシーを設定します。

isakmp enable outside
isakmp policy 8 auth pre-share
isakmp key cisco address 209.165.200.229 netmask 255.255.255.255
 

ステップ 4 アクセス リストの一部分を作成します。

access-list 90 permit ip host 10.1.0.2 host 209.165.200.229
 

ステップ 5 NAT 0 を設定します。

nat (dmz) 0 access-list 90
 

ステップ 6 どのようにトラフィックを保護するかを定義する、トランスフォーム セットを設定します。

crypto ipsec transform-set strong esp-3des esp-sha-hmac
 

ステップ 7 暗号マップを定義します。

crypto map toSanJose 20 ipsec-isakmp
crypto map toSanJose 20 match address 90
crypto map toSanJose 20 set transform-set strong
crypto map toSanJose 20 set peer 209.165.200.229
 

ステップ 8 暗号マップを外部インターフェイスに適用します。

crypto map toSanJose interface outside
 

ステップ 9 IPSec トラフィックを暗黙的に許可することを、PIX Firewall に指示します。

sysopt connection permit-ipsec
 

ステップ 10 PIX Firewall RSA キー ペアを生成します。

ca generate rsa key 512
 

このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 11 CA 関連の登録コマンドを定義します。

ca identity abcd 10.1.0.2:/certsrv/mscep/mscep.dll
ca configure abcd ra 1 20 crloptional
 

これらのコマンドは、コンフィギュレーションに保存されます。


) この例の ca identity コマンドは、Microsoft CA に固有です。使用する ca identity は、CA によって異なります。


ステップ 12 CA サーバの公開キーと証明書を取得します。

ca authenticate abcd
 

このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 13 CA アドミニストレータに連絡して証明書要求を送信します。

ca enroll abcd cisco
 

文字列「cisco」はチャレンジ パスワードです。任意の文字列を使用できます。このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 14 キーと証明書、および ca コマンド(示されているものを除く)を、フラッシュ メモリに保存します。

ca save all
write memory
 

ca コマンドをコンフィギュレーションに追加、変更または削除するときは必ず、ca save all コマンドを使用します。このコマンドは、コンフィギュレーションには保存されません。



 

PIX Firewall 2 のコンフィギュレーション

次の手順を実行して、PIX Firewall 2 を設定します。


ステップ 1 ホスト名を定義します。

hostname SanJose
 

ステップ 2 ドメイン名を定義します。

domain-name example.com
 

ステップ 3 IKE ポリシーを設定します。

isakmp enable outside
isakmp policy 8 auth pre-share
isakmp key cisco address 209.165.201.8 netmask 255.255.255.255
 

ステップ 4 アクセス リストの一部分を作成します。

access-list 80 permit ip host 209.165.200.229 host 10.1.0.2
 

ステップ 5 NAT 0 を設定します。

nat (inside) 0 access-list 80
 

ステップ 6 どのようにトラフィックを保護するかを定義する、トランスフォーム セットを設定します。

crypto ipsec transform-set strong esp-3des esp-sha-hmac
 

ステップ 7 暗号マップを定義します。

crypto map newyork 20 ipsec-isakmp
crypto map newyork 20 match address 80
crypto map newyork 20 set transform-set strong
crypto map newyork 20 set peer 209.165.201.8
 

ステップ 8 暗号マップを外部インターフェイスに適用します。

crypto map newyork interface outside
 

ステップ 9 IPSec トラフィックを暗黙的に許可することを、PIX Firewall に指示します。

sysopt connection permit-ipsec
 

ステップ 10 PIX Firewall RSA キー ペアを生成します。

ca generate rsa key 512
 

このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 11 CA 関連の登録コマンドを定義します。

ca identity abcd 10.1.0.2:/certsrv/mscep/mscep.dll
ca configure abcd ra 1 20 crloptional
 

これらのコマンドは、コンフィギュレーションに保存されます。


) この例の ca identity コマンドは、Microsoft CA に固有です。使用する ca identity は、CA によって異なります。


ステップ 12 CA の公開キーと証明書を取得して、CA を認証します。

ca authenticate abcd
 

このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 13 PIX Firewallの RSA キー ペアに対する署名付き証明書を、CA に要求します。CA の管理者は 証明書を付与する前に PIX Firewall を手動で認証する必要があるため、このコマンドを入力する前に CA の管理者に連絡してください。

ca enroll abcd cisco
 

「cisco」はチャレンジ パスワードです。任意の文字列を使用できます。このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 14 キーと証明書、および CA コマンド(示されているものを除く)を、フラッシュ メモリに保存します。

ca save all
write memory
 

ca コマンドをコンフィギュレーションに追加、あるいは変更または削除するときは必ず、ca save all コマンドを使用します。このコマンドは、コンフィギュレーションには保存されません。



 

証明書を使用する場合のトンネルの確立

ここでは、各 PIX Firewall の SA をクリアし、証明書を使用してトンネルを確立する方法について説明します。次の項目について説明します。

「PIX Firewall 1 のコンフィギュレーション」

「PIX Firewall 2 のコンフィギュレーション」

PIX Firewall 1 のコンフィギュレーション

次の手順を実行して、PIX Firewall 1 を設定します。


ステップ 1 IPSec SA をクリアします。

clear ipsec sa
 

ステップ 2 ISAKMP SA をクリアします。

clear isakmp sa
 

ステップ 3 アクセス リストの一部分を作成します。

access-list 90 permit ip 192.168.12.0 255.255.255.0 10.0.0.0 255.0.0.0
 

ステップ 4 NAT 0 を設定します。

nat (inside) 0 access-list 90
 

ステップ 5 IKE ポリシーの RSA シグニチャの認証方式を指定します。

isakmp policy 8 auth rsa-sig
 


 

PIX Firewall 2 のコンフィギュレーション

次の手順を実行して、PIX Firewall 2 を設定します。


ステップ 1 IPSec SA をクリアします。

clear ipsec sa
 

ステップ 2 ISAKMP SA をクリアします。

clear isakmp sa
 

ステップ 3 アクセス リストの一部分を作成します。

access-list 80 permit ip 10.0.0.0 255.0.0.0 192.168.12.0 255.255.255.0
 

ステップ 4 IKE ポリシーの RSA シグニチャの認証方式を指定します。

isakmp policy 8 auth rsa-sig
 


 

Catalyst 6500 および Cisco 7600 Series IPSec VPN Services Module への接続

ここでは、Cisco Catalyst 6500 および Cisco 7600 Series IPSec VPN Services Module (VPNSM)付きの Catalyst 6500 シリーズ スイッチと PIX Firewall との間における IPSec サイトツーサイト トンネルの作成方法について説明します。次の項目について説明します。

「シナリオの説明」

「トランク ポートを使用した IPSec の設定」

「ルーテッド ポートを使用した IPSec の設定」

「コンフィギュレーションの確認」

シナリオの説明

図 7-5に、この構成例で使用するネットワーク設定を示します。

図 7-5 PIX Firewall と VPNSM 付き Catalyst 6500 との間の VPN トンネル

 

VPNSM には、外部から見えるコネクタが付いていない 2 つのギガビット イーサネット(GE)ポートがあります。 これらのポートは、設定目的だけでアドレス指定できます。 ポート 1 は常に内部ポートです。 このポートでは、内部のネットワークが起点または終点となるすべてのトラフィックを処理します。 2 番目のポート(ポート 2)では、WAN または外部のネットワークが起点または終点となるすべてのトラフィックを処理します。 これら 2 つのポートは常に 802.1q トランキング モードで設定されます。

パケットは、VLAN 内部のレイヤ 3 (L3)と VLAN 外部のレイヤ 2 (L2)による 1 組の VLAN で処理されます。 パケットは内部 VLAN にルーティングされます。 パケットが暗号化された後、VPNSM は対応する外部の VLAN を使用します。 復号化処理で、外部から内部へのパケットは外部 VLAN を使用して VPNSM に接続されます。 VPNSM によってパケットが復号化され、VLAN が対応する内部 VLAN にマッピングされた後、パケットは EARL によって適切な LAN ポートにルーティングされます。 VLAN 内部の L3 と L2 VLAN は crypto connect vlan コマンドを発行することにより、結合されます。 Catalyst 6500 シリーズ スイッチには、次の 3 種類のポートがあります。

ルーテッド ポート:デフォルトではすべてのイーサネット ポートがルーテッド ポートになっています。 これらのポートには、外部には見えない関連する VLAN があります。

アクセス ポート:これらのポートには関連する外部 VLAN または VLAN Trunking Protocol (VTP) VLAN があります。 定義された VLAN には複数のポートを関連付けることができます。

トランク ポート:このポートは、すべてのパケットが 802.1q ヘッダーとともにカプセル化される多くの外部 VLAN または VTP VLAN を伝送します。

トランク ポートを使用した IPSec の設定

Catalyst 6500 トランク ポート コンフィギュレーションを使用して IPSec トンネルを設定するには、次の手順を実行します。


ステップ 1 内部 VLAN を VPNSM の内部ポートに追加します。 VPNSM がスロット 3 にある場合は、VLAN 100 を内部 VLAN として、VLAN 200 を外部 VLAN として使用し、次のように GE ポートを VPNSM 上に設定します。

interface GigabitEthernet3/1
no ip address
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,100,1002-1005
switchport mode trunk
 
interface GigabitEthernet3/2
no ip address
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,200,1002-1005
switchport mode trunk
 

ステップ 2 VLAN 100 インターフェイスと、トンネルが終端するインターフェイス(この場合は FastEthernet2/2)を追加します。

interface Vlan100
ip address 209.165.201.1 255.255.255.0
 
interface FastEthernet2/2
no ip address
switchport
switchport access vlan 200
switchport mode access
crypto connect vlan 100
 

ステップ 3 内部ネットワーク 10.10.10.0/24 からリモート ネットワーク 10.20.20.0/24 へのトラフィックを定義する ACL (この場合は ACL 100)を作成します。

access-list 100 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255
 

ステップ 4 Internet Security Association and Key Management Protocol (ISAKMP)ポリシー プロポーザルを定義します。

crypto isakmp policy 1
hash md5
authentication pre-share
group 2
 

ステップ 5 この例では、次のコマンドを発行することによって事前共有キーが使用され定義されます。

crypto isakmp key cisco address 209.165.200.225
 

ステップ 6 IPSec プロポーザルを定義します。

crypto ipsec transform-set cisco esp-des esp-md5-hmac
 

ステップ 7 暗号マップ文を作成します。

crypto map cisco 10 ipsec-isakmp
set peer 209.165.200.225
set transform-set cisco
match address 100
 

ステップ 8 暗号マップを VLAN 100 インターフェイスに適用します。

interface vlan100
crypto map cisco
 


 

例7-7に、VPNSM のコンフィギュレーション全体を示します。

例7-7 VPNSM のコンフィギュレーション

!--- Define Phase 1 policy.
crypto isakmp policy 1
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 209.165.200.225
!
!
!--- Define the encryption policy for this setup.
crypto ipsec transform-set cisco ESP-Des esp-md5-hmac
!
!--- Define a static crypto map entry for the peer
!--- with mode ipsec-isakmp.
!--- This indicates that Internet Key Exchange (IKE)
!--- will be used to establish the IPSec
!--- Security Associations (SAs) for protecting the traffic
!--- specified by this crypto map entry.
crypto map cisco 10 ipsec-isakmp
set peer 209.165.200.225
set transform-set cisco
match address 100
!
!
no spanning-tree vlan 100
!
!
!
interface GigabitEthernet1/1
no ip address
shutdown
snmp trap link-status
switchport
!
interface GigabitEthernet1/2
no ip address
shutdown
!
interface FastEthernet2/1
ip address 10.10.10.1 255.255.255.0
no keepalive
!
!--- This is the secure port which is configured in routed port mode.
!--- This routed port mode purposely does not have an L3 IP address
!--- configured, which is normal for the BITW process.
!--- The IP address was moved from this interface to the VLAN 100 to
!--- accomplish BITW, thereby bringing the VPN Services Module into
!--- the packet path. This will be the L2 port VLAN on which the
!--- VPN Services Module's outside port also belongs.
interface FastEthernet2/2
no ip address
snmp trap link-status
switchport
switchport access vlan 200
switchport mode access
crypto connect vlan 100
!
interface GigabitEthernet3/1
no ip address
snmp trap link-status
switchport
switchport trunk encapsulation dot1q
!--- VLAN 100 is defined as the Interface VLAN (IVLAN).
switchport trunk allowed vlan 1,100,1002-1005
switchport mode trunk
flowcontrol receive on
cdp enable
!
interface GigabitEthernet3/2
no ip address
snmp trap link-status
switchport
switchport trunk encapsulation dot1q
!--- The Port VLAN (PVLAN) configuration is handled by the VPN Services Module
!--- transparently without user configuration
!--- or involvement. It also is not shown in the configuration.
!--- Note that for every IVLAN a corresponding PVLAN exists.
switchport trunk allowed vlan 1,200,1002-1005
switchport mode trunk
flowcontrol receive on
cdp enable
!
interface Vlan1
no ip address
shutdown
!
!--- This is the IVLAN configured for intercepting the traffic
!--- destined to the secure port on which the VPN Services Module's inside port
!--- is the only port present.
Interface Vlan100
ip address 209.165.201.1 255.255.255.0
crypto map cisco
!
interface Vlan200
no ip address
!
ip classless
!--- Configure the routing so that the device
!--- knows how to reach its destination network.
ip route 0.0.0.0 0.0.0.0 172.18.124.1
!
!--- This is the crypto ACL.
access-list 100 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255
 

例7-8に、PIX Firewall のコンフィギュレーション全体を示します。

例7-8 PIX Firewall のコンフィギュレーション

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
nameif ethernet3 intf3 security15
nameif ethernet4 intf4 security20
nameif ethernet5 intf5 security25
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix515B
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
!--- Traffic to the router.
Access-list 100 permit ip 10.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0
pager lines 24
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 209.165.200.225 255.255.255.0
ip address inside 10.20.20.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip address intf3 127.0.0.1 255.255.255.255
ip address intf4 127.0.0.1 255.255.255.255
ip address intf5 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
failover ip address intf3 0.0.0.0
failover ip address intf4 0.0.0.0
failover ip address intf5 0.0.0.0
pdm history enable
arp timeout 14400
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 14.36.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
AAA-server RADIUS protocol radius
AAA-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
!--- IPSec policies.
sysopt connection permit-ipsec
no sysopt route dnat
crypto ipsec transform-set cisco esp-des esp-md5-hmac
crypto map cisco 10 ipsec-isakmp
crypto map cisco 10 match address 100
crypto map cisco 10 set peer 209.165.201.1
crypto map cisco 10 set transform-set cisco
crypto map cisco interface outside
!--- IKE policies.
isakmp enable outside
isakmp key ******** address 209.165.201.1 netmask 255.255.255.255
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:02a61666fbc808eaf2ba99b69d544df7
: end
[OK]

ルーテッド ポートを使用した IPSec の設定

Catalyst 6500 VPN Services Module 上のルーテッド ポート コンフィギュレーションを使用して IPSec を設定するには、次の手順を実行します。


ステップ 1 内部 VLAN を VPNSM の内部ポートに追加します。 VPNSM がスロット 3 にある場合は、VLAN 100 を内部 VLAN として、VLAN 200 を外部 VLAN として使用し、次のように GE ポートを VPNSM 上に設定します。

interface GigabitEthernet3/1
no ip address
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,100,1002-1005
switchport mode trunk
 
interface GigabitEthernet3/2
no ip address
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,200,1002-1005
switchport mode trunk
 

ステップ 2 VLAN 100 インターフェイスと、トンネルが終端するインターフェイス(この場合は FastEthernet2/2)を追加します。

interface Vlan100
ip address 209.165.201.1 255.255.255.0
 
interface FastEthernet2/2
no ip address
crypto connect vlan 100

ステップ 3 内部ネットワーク 10.10.10.0/24 からリモート ネットワーク 10.20.20.0/24 へのトラフィックを定義する ACL (この場合は ACL 100)を作成します。

access-list 100 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255

ステップ 4 ISAKMP ポリシー プロポーザルを定義します。

crypto isakmp policy 1
hash md5
authentication pre-share
group 2
 

ステップ 5 この例では、次のコマンドを発行することによって事前共有キーが使用され定義されます。

crypto isakmp key cisco address 209.165.200.225
 

ステップ 6 IPSec プロポーザルを定義します。

crypto ipsec transform-set cisco esp-des esp-md5-hmac
 
Create your crypto map statement.
crypto map cisco 10 ipsec-isakmp
set peer 209.165.200.225
set transform-set cisco
match address 100
 

ステップ 7 暗号マップを VLAN 100 インターフェイスに適用します。

interface vlan100
crypto map cisco
 


 

例7-9に、VPNSM のコンフィギュレーション全体を示します。

例7-9 Catalyst 6500 のコンフィギュレーション

!--- Define Phase 1 policy.
crypto isakmp policy 1
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 209.165.200.225
!
!
!--- Define the encryption policy for this setup.
crypto ipsec transform-set cisco ESP-Des esp-md5-hmac
!
!--- Define a static crypto map entry for the peer
!--- with mode ipsec-isakmp. This indicates that IKE
!--- will be used to establish the IPSec
!--- SAs for protecting the traffic
!--- specified by this crypto map entry.
 
crypto map cisco 10 ipsec-isakmp
set peer 209.165.200.225
set transform-set cisco
match address 100
!
!
no spanning-tree vlan 100
!
!
!
interface GigabitEthernet1/1
no ip address
shutdown
snmp trap link-status
switchport
!
interface GigabitEthernet1/2
no ip address
shutdown
!
interface FastEthernet2/1
ip address 10.10.10.1 255.255.255.0
no keepalive
!
!--- This is the secure port which is configured in routed port mode.
!--- This routed port mode does not have an L3 IP address
!--- configured, which is normal for the BITW process.
!--- The IP address was moved from this interface to the VLAN 100 to
!--- accomplish BITW, thereby bringing the VPN Services Module into
!--- the packet path. This will be the L2 port VLAN on which the
!--- VPN Services Module's outside port also belongs.
Interface FastEthernet2/2
no ip address
crypto connect vlan 100
!
interface GigabitEthernet3/1
no ip address
snmp trap link-status
switchport
switchport trunk encapsulation dot1q
!--- VLAN 100 is defined as the IVLAN.
switchport trunk allowed vlan 1,100,1002-1005
switchport mode trunk
flowcontrol receive on
cdp enable
!
interface GigabitEthernet3/2
no ip address
snmp trap link-status
switchport
switchport trunk encapsulation dot1q
!--- The PVLAN configuration is handled by the VPN Services Module
!--- transparently without user configuration
!--- or involvement. It also is not shown in the configuration.
!--- Note that for every IVLAN a corresponding PVLAN exists.
switchport trunk allowed vlan 1,200,1002-1005
switchport mode trunk
flowcontrol receive on
cdp enable
!
interface Vlan1
no ip address
shutdown
!
!--- This is the IVLAN configured for intercepting the traffic
!--- destined to the secure port on which the VPN Services Module's inside port
!--- is the only port present.
Interface Vlan100
ip address 209.165.201.1 255.255.255.0
crypto map cisco
!
interface Vlan200
no ip address
!
ip classless
!--- Configure the routing so that the device
!--- knows how to reach its destination network.
ip route 0.0.0.0 0.0.0.0 172.18.124.1
ip route 10.20.20.0 255.255.255.0 209.165.200.225
!
!--- This is the crypto ACL.
Access-list 100 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255
 

例7-10に、PIX Firewall のコンフィギュレーション全体を示します。

例7-10 PIX Firewall のコンフィギュレーション

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
nameif ethernet3 intf3 security15
nameif ethernet4 intf4 security20
nameif ethernet5 intf5 security25
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix515B
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
!--- Traffic to the router.
Access-list 100 permit ip 10.20.20.0 255.255.255.0 10.10.10.0 255.255.255.0
pager lines 24
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 209.165.200.225 255.255.255.0
ip address inside 10.20.20.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip address intf3 127.0.0.1 255.255.255.255
ip address intf4 127.0.0.1 255.255.255.255
ip address intf5 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
failover ip address intf3 0.0.0.0
failover ip address intf4 0.0.0.0
failover ip address intf5 0.0.0.0
 
pdm history enable
arp timeout 14400
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 14.36.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
AAA-server TACACS+ protocol tacacs+
AAA-server RADIUS protocol radius
AAA-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
!--- IPSec policies.
sysopt connection permit-ipsec
no sysopt route dnat
crypto ipsec transform-set cisco ESP-Des esp-md5-hmac
crypto map cisco 10 ipsec-isakmp
crypto map cisco 10 match address 100
crypto map cisco 10 set peer 209.165.201.1
crypto map cisco 10 set transform-set cisco
crypto map cisco interface outside
!--- IKE policies.
isakmp enable outside
isakmp key ******** address 209.165.201.1 netmask 255.255.255.255
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption Des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:02a61666fbc808eaf2ba99b69d544df7
: end
[OK]
 

コンフィギュレーションの確認

次のコマンドを使用して、コンフィギュレーションが正しく動作するかどうかを確認できます。

現在の IPSec SA で使用している設定を表示するには、次のコマンドを入力します。

show crypto ipsec sa
 

ピアにおける現在の IKE SA をすべて表示するには、次のコマンドを入力します。

show crypto isakmp sa
 

暗号設定に関連する VLAN を表示するには、次のコマンドを入力します。

show crypto vlan
 

VPNSM 統計情報を表示するには、次のコマンドを入力します。

show crypto eli
 

NAT を使用した手動設定

この例では、2 つの PIX Firewall 装置を使用して、各 PIX Firewall 装置の内部インターフェイス上のネットワーク間に Virtual Private Network (VPN; バーチャル プライベート ネットワーク)を作成します。ここでは、次の項目について説明します。

PIX Firewall 1 のコンフィギュレーション(P.40)

「PIX Firewall 2 のコンフィギュレーション」

このネットワークは、イントラネットの一部です。この例では、IKE や CA は使用せずに、事前共有キーを使用して VPN が作成されます。

PIX Firewall 1 のコンフィギュレーション

次の手順を実行して、IPSec を使用するように PIX Firewall 1 を設定します。


ステップ 1 crypto map コマンド文を作成します。

ステップ 2 このポリシーのトラフィックを選択するための、access-list コマンド エントリを作成します。


) 手動キー入力の場合は、コンフィギュレーションで使用できる access-list permit コマンド文は 1 つだけです。


ステップ 3 crypto コマンド文エントリ用のトランスフォーム セットを作成します。

ステップ 4 暗号ステート情報を定義します。これには、SPI や、手動キー入力および ISAKMP ポリシー ネゴシエーションに必要なキーが含まれます。

ステップ 5 ポリシー グループのそれぞれについて、ステップ 1 ~ 4 を繰り返します。

ステップ 6 crypto map コマンド文をインターフェイスに関連付けます。


 

例7-11に、PIX Firewall 1 のコンフィギュレーションのリストを示します。

例7-11 IPSec を使用した 2 つのインターフェイス:PIX Firewall 1 のコンフィギュレーション

nameif ethernet0 outside security0
nameif ethernet1 inside security100
interface ethernet0 auto
interface ethernet1 auto
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
access-list 10 permit ip host 192.168.128.3 host 209.165.200.225
no failover
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
names
pager lines 24
no logging timestamp
logging console debugging
logging monitor errors
logging buffered errors
no logging trap
logging facility 20
mtu outside 1500
mtu inside 1500
arp timeout 14400
nat (inside) 1 0 0
global (outside) 1 192.168.1.100-192.168.1.150
static (inside,outside) 192.168.128.3 10.1.1.3 netmask 255.255.255.255 0 0
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
route outside 0.0.0.0 0.0.0.0 192.168.1.49 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
sysopt connection tcpmss 1380
sysopt connection permit-ipsec
crypto ipsec transform-set myset ah-md5-hmac esp-des
crypto map mymap 10 ipsec-manual
crypto map mymap 10 match address 10
crypto map mymap 10 set peer 192.168.1.100
crypto map mymap 10 set transform-set myset
crypto map mymap 10 set session-key inbound ah 400 123456789A123456789A123456789A12
crypto map mymap 10 set session-key outbound ah 300 123456789A123456789A123456789A12
crypto map mymap 10 set session-key inbound esp 400 cipher abcd1234abcd1234
crypto map mymap 10 set session-key outbound esp 300 cipher abcd1234abcd1234
telnet timeout 5
terminal width 80
crypto map mymap interface outside

PIX Firewall 2 のコンフィギュレーション

次の手順を実行して、IPSec を使用するように PIX Firewall 2 を設定します。


ステップ 1 crypto map コマンド文を作成します。

ステップ 2 このポリシーのトラフィックを選択するための、access-list コマンド エントリを作成します。


) 手動キー入力の場合は、コンフィギュレーションで使用できる access-list permit コマンド文は 1 つだけです。


ステップ 3 crypto コマンド文エントリ用のトランスフォーム セットを作成します。

ステップ 4 暗号ステート情報を定義します。これには、SPI や、手動キー入力および ISAKMP ポリシー ネゴシエーションに必要なキーが含まれます。

ステップ 5 ポリシー グループのそれぞれについて、ステップ 1 ~ 4 を繰り返します。

ステップ 6 crypto map コマンド文をインターフェイスに関連付けます。


 

例7-12に、PIX Firewall 2 のコンフィギュレーションのリストを示します。

例7-12 IPSec を使用した 2 つのインターフェイス:PIX Firewall 2 のコンフィギュレーション

nameif ethernet0 outside security0
nameif ethernet1 inside security100
interface ethernet0 auto
interface ethernet1 auto
ip address outside 209.165.201.3 255.255.255.224
ip address inside 10.0.0.3 255.255.255.0
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
access-list 10 permit ip host 209.165.200.225 host 192.168.128.3
no failover
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
names
pager lines 24
no logging timestamp
logging console debugging
logging monitor errors
logging buffered errors
no logging trap
logging facility 20
mtu outside 1500
mtu inside 1500
arp timeout 14400
nat (inside) 1 0 0
static (inside,outside) 209.165.200.225 10.0.0.3 netmask 255.255.255.255 0 0
route outside 0.0.0.0 0.0.0.0 192.168.1.49 1
route inside 10.0.0.0 255.255.255.0 10.0.0.3 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
sysopt connection tcpmss 1380
crypto ipsec transform-set myset ah-md5-hmac esp-des
crypto map mymap 10 ipsec-manual
crypto map mymap 10 match address 10
crypto map mymap 10 set peer 192.168.1.1
crypto map mymap 10 set transform-set myset
crypto map mymap 10 set session-key inbound ah 300 123456789A123456789A123456789A12
crypto map mymap 10 set session-key outbound ah 400 123456789A123456789A123456789A12
crypto map mymap 10 set session-key inbound esp 300 cipher abcd1234abcd1234
crypto map mymap 10 set session-key outbound esp 400 cipher abcd1234abcd1234
telnet timeout 5
terminal width 80