Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
リモート アクセス IPsec VPN の設定
リモート アクセス IPsec VPN の設定
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

リモート アクセス IPsec VPN の設定

リモート アクセス IPsec VPN に関する情報

リモート アクセス IPsec VPN のライセンス要件

ガイドラインと制限事項

リモート アクセス IPsec VPN の設定

インターフェイスの設定

ISAKMP ポリシーの設定と外部インターフェイスでの ISAKMP のイネーブル化

アドレス プールの設定

ユーザの追加

トランスフォーム セットの作成

トンネル グループの定義

ダイナミック暗号マップの作成

ダイナミック暗号マップを使用するための暗号マップ エントリの作成

セキュリティ アプライアンスのコンフィギュレーションの保存

リモート アクセス IPsec VPN の設定例

リモート アクセス IPsec VPN の機能履歴

リモート アクセス IPsec VPN に関する情報

リモート アクセス VPN を使用すると、インターネットなどの TCP/IP ネットワーク上のセキュアな接続を介して、ユーザを中央サイトに接続することができます。Internet Security Association and Key Management Protocol は IKE とも呼ばれ、リモート PC の IPsec クライアントと適応型セキュリティ アプライアンスで、IPsec セキュリティ アソシエーションの構築方法を一致させるためのネゴシエーション プロトコルです。各 ISAKMP ネゴシエーションは、フェーズ 1 とフェーズ 2 と呼ばれる 2 つの部分に分かれます。

フェーズ 1 は、以後の ISAKMP ネゴシエーション メッセージを保護する最初のトンネルを作成します。フェーズ 2 は、セキュアな接続を移動するデータを保護するトンネルを作成します。

ISAKMP ネゴシエーションの条件を設定するには、ISAKMP ポリシーを作成します。ここでは、次の項目について説明します。

ピアの ID を確認する認証方式。

データを保護し、プライバシーを守る暗号化方式。

送信者を特定し、搬送中にメッセージが変更されていないことを保証する Hashed Message Authentication Code(HMAC)方式。

暗号キーのサイズを設定する Diffie-Hellman グループ。

適応型セキュリティ アプライアンスが暗号キーを置き換える前に、この暗号キーを使用する最長時間の制限。

トランスフォーム セットは、暗号化方式と認証方式を組み合せたものです。特定のデータ フローを保護する場合、ピアは、ISAKMP との IPsec セキュリティ アソシエーションのネゴシエート中に、特定のトランスフォーム セットを使用することに同意します。トランスフォーム セットは、両方のピアで同じである必要があります。

トランスフォーム セットにより、関連付けられた暗号マップ エントリで指定されたアクセスリストのデータ フローが保護されます。適応型セキュリティ アプライアンス設定でトランスフォーム セットを作成して、暗号マップまたはダイナミック暗号マップ エントリでトランスフォーム セットの最大数 11 を指定できます。有効な暗号化方式と認証方式をリストしたテーブルなど、さらに詳細な情報については、このマニュアルの「LAN-to-LAN IPsec VPN の設定」 トランスフォーム セットの作成を参照してください。

リモート アクセス IPsec VPN のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

ASA 5505

基本ライセンス:10 セッション(10 の組み合せた IPSec と SSL VPN1

Security Plus ライセンス:25 セッション(25 の組み合せた IPSec と SSL VPN1

ASA 5510

基本および Security Plus ライセンス:250 セッション(250 の組み合せた IPSec と SSL VPN1

ASA 5520

基本および Security Plus ライセンス:750 セッション(750 の組み合せた IPSec と SSL VPN1

ASA 5540

基本および Security Plus ライセンス:5000 セッション(5000 の組み合せた IPSec と SSL VPN1

ASA 5550 および 5580

基本および Security Plus ライセンス:5000 セッション(5000 の組み合せた IPSec と SSL VPN1

1.IPSec セッションと SSL VPN セッションの最大数の合計が、VPN セッションの最大数よりも多くなっても、組み合せたセッション数が VPN セッションの制限を超えることはできません。VPN の最大セッション数を超えた場合、適応型セキュリティ アプライアンスをオーバーロードして、ネットワークのサイズを適切にすることができます。合計の限界のセッション構成を決定する場合、SSL VPN セッションの数はライセンスが与えられている SSL VPN セッション セキュリティ アプライアンスの数(デフォルトでは 2)を超えることはできません。

 

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードでだけサポートされます。マルチコンテキスト モードをサポートしません。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードまたは透過ファイアウォール モードではサポートされません。

フェールオーバーのガイドライン

IPsec VPN セッションは、Active/Standby フェールオーバー コンフィギュレーションでのみ複製されます。Active/Active フェールオーバー コンフィギュレーションはサポートされません。

IPv6 のガイドライン

IPv6 はサポートされません。

リモート アクセス IPsec VPN の設定

この項では、リモート アクセス VPN を設定する方法について説明します。次の項目を取り上げます。

「インターフェイスの設定」

「ISAKMP ポリシーの設定と外部インターフェイスでの ISAKMP のイネーブル化」

「アドレス プールの設定」

「ユーザの追加」

「トランスフォーム セットの作成」

「トンネル グループの定義」

「ダイナミック暗号マップの作成」

「ダイナミック暗号マップを使用するための暗号マップ エントリの作成」

「セキュリティ アプライアンスのコンフィギュレーションの保存」

インターフェイスの設定

適応型セキュリティ アプライアンスには、少なくとも 2 つのインターフェイスがあり、これらをここでは外部と内部と言います。一般に、外部インターフェイスはパブリック インターネットに接続されます。一方、内部インターフェイスは、プライベート ネットワークに接続され、一般のアクセスから保護されます。

最初に、適応型セキュリティ アプライアンスの 2 つのインターフェイスを設定し、イネーブルにします。次に、名前、IP アドレス、およびサブネット マスクを割り当てます。オプションで、セキュリティ レベル、速度、およびセキュリティ アプライアンスでの二重操作を設定します。

インターフェイスを設定するには、例に示すコマンド シンタックスを使用して、次の手順を実行します。

詳細な手順

コマンド
目的

ステップ 1

interface {interface}
 
例:
hostname(config)# interface ethernet0
hostname(config - if)#

グローバル コンフィギュレーション モードからインターフェイス コンフィギュレーション モードに入ります。

ステップ 1

ip address ip_address [mask] [standby ip_address]
 
例:
hostname(config)# interface ethernet0
hostname(config-if)#
hostname(config-if)# ip address 10.10.4.200 255.255.0.0

インターフェイスに IP アドレスとサブネット マスクを設定します。

ステップ 2

nameif name
 
例:
hostname(config-if)# nameif outside
hostname(config-if)#

インターフェイスの名前(最大 48 文字)を指定します。この名前は、設定した後での変更はできません。

ステップ 3

shutdown
 
例:
hostname(config-if)# no shutdown
hostname(config-if)#

インターフェイスをイネーブルにします。デフォルトでは、インターフェイスはディセーブルです。

ISAKMP ポリシーの設定と外部インターフェイスでの ISAKMP のイネーブル化

この項では、外部インターフェイスに ISAKMP ポリシーを設定する手順と、ポリシーをイネーブルにする方法について説明します。

詳細な手順

次の手順を実行し、ガイドとして次の例で示すコマンド シンタックスを使用します。

コマンド
目的

ステップ 1

isakmp policy priority authentication {crack | pre-share | rsa-sig}
 
例:
hostname(config)# isakmp policy 1 authentication pre-share
hostname(config)#

IKE ネゴシエーション中に使用する認証方式とパラメータのセットを指定します。

Priority は、Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ポリシーを一意に識別し、ポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 が最もプライオリティが高く、65,534 が最もプライオリティが低くなります。

この例およびその後に続く手順では、プライオリティは 1 に設定されます。

ステップ 2

isakmp policy priority encryption
{aes | aes-192 | aes-256 | des | 3des}
 
例:
hostname(config)# isakmp policy 1 encryption 3des
hostname(config)#

IKE ポリシー内で使用する暗号化方式を指定します。

ステップ 3

isakmp policy priority hash {md5 | sha}
 
例:
hostname(config)# isakmp policy 1 hash sha
hostname(config)#

IKE ポリシーのハッシュ アルゴリズム(HMAC バリアントとも呼ばれます)を指定します。

ステップ 4

isakmp policy priority group
{1 | 2 | 5 | 7}
 
例:
hostname(config)# isakmp policy 1 group 2
hostname(config)#

IKE ポリシーの Diffie-Hellman グループ(IPsec クライアントと適応型セキュリティ アプライアンスが共有秘密キーを確立できる暗号化プロトコル)を指定します。

ステップ 5

isakmp policy priority lifetime {seconds}
 
例:
hostname(config)# isakmp policy 1 lifetime 43200
hostname(config)#

暗号化キーのライフタイム(各セキュリティ アソシエーションが有効期限まで存在する秒数)を指定します。

限定されたライフタイムの範囲は、120 ~ 2147483647 秒です。
無制限のライフタイムの場合は、0 秒を使用します。

ステップ 6

isakmp enable interface-name
 
例:
hostname(config)# isakmp enable outside
hostname(config)#

outside というインターフェイス上の ISAKMP をイネーブルにします。

ステップ 7

write memory
 
例:
hostname(config-if)# write memory
Building configuration...
Cryptochecksum: 0f80bf71 1623a231 63f27ccf 8700ca6d
 
11679 bytes copied in 3.390 secs (3893 bytes/sec)
[OK]
hostname(config-if)#

変更をコンフィギュレーションに保存します。

アドレス プールの設定

適応型セキュリティ アプライアンスでは、ユーザに IP アドレスを割り当てる方式が必要です。この項では、例としてアドレス プールを使用します。ガイドとして次の例で示すコマンド シンタックスを使用します。

コマンド
目的
ip local pool poolname first-address--last-address [mask mask]
 
例:
hostname(config)# ip local pool testpool 192.168.0.10-192.168.0.15
hostname(config)#

IP アドレスの範囲を使用してアドレス プールを作成します。適応型セキュリティ アプライアンスは、このアドレス プールのアドレスをクライアントに割り当てます。

アドレス マスクはオプションです。ただし、VPN クライアントに割り当てられた IP アドレスが非標準のネットワークに属し、デフォルトのマスクを使用するとデータが誤ってルーティングされる可能性があるときは、マスク値を指定する必要があります。通常の例では、IP ローカル プールに、10.10.10.0/255.255.255.0アドレスが含まれます。これは、デフォルトでは Class A ネットワークになるからです。これによって、VPN クライアントがさまざまなインターフェイスで 10 のネットワーク内の異なるサブネットにアクセスする必要がある場合、ルーティングの問題が生じる可能性があります。

ユーザの追加

この項では、ユーザ名とパスワードを設定する方法について説明します。ガイドとして次の例で示すコマンド シンタックスを使用します。

コマンド
目的
username name {nopassword | password password
[mschap | encrypted | nt-encrypted]}
[privilege priv_level]
 
例:
hostname(config)# username testuser password 12345678
hostname(config)#

ユーザ、パスワード、および特権レベルを作成します。

トランスフォーム セットの作成

この項では、トランスフォーム セットを設定する方法について説明します。トランスフォーム セットは、暗号化方式と認証方式を組み合せたものです。

ガイドとして次の例で示すコマンド シンタックスを使用します。

コマンド
目的
crypto ipsec transform-set transform-set-name encryption-method [authentication]
 
例:
hostname(config)# crypto ipsec transform set FirstSet esp-3des esp-md5-hmac
hostname(config)#

データ整合性を確保するために使用される IPsec 暗号化とハッシュ アルゴリズムを指定するトランスフォーム セットを設定します。

encryption には、次のいずれかの値を指定します。

esp-aes:128 ビット キーの AES を使用します。

esp-aes-192:192 ビット キーの AES を使用します。

esp-aes-256:256 ビット キーの AES を使用します。

esp-des:56 ビットの DES-CBC を使用します。

esp-3des:Triple DES アルゴリズムを使用します。

esp-null:暗号化を使用しません。

authentication には、次のいずれかの値を指定します。

esp-md5-hmac:ハッシュ アルゴリズムとして MD5/HMAC-128 を使用します。

esp-sha-hmac:ハッシュ アルゴリズムとして SHA/HMAC-160 を使用します。

esp-none:HMAC 認証を使用しません。

トンネル グループの定義

この項では、トンネル グループを設定する方法について説明します。トンネル グループは、トンネル グループは、トンネル接続ポリシーを格納したレコードのセットです。AAA サーバを識別するトンネル グループを設定し、接続パラメータを指定し、デフォルトのグループポリシーを定義します。適応型セキュリティ アプライアンスは、トンネル グループを内部的に保存します。

適応型セキュリティ アプライアンス システムには、2 つのデフォルト トンネル グループがあります。1 つはデフォルトの IPsec リモートアクセス トンネル グループである DefaultRAGroup で、もう 1 つはデフォルトの IPsec LAN-to-LAN トンネル グループである DefaultL2Lgroup です。これらは変更可能ですが、削除はできません。トンネル ネゴシエーション中に特定のトンネル グループが指定されなかった場合、適応型セキュリティ アプライアンスは、これらのグループを使用してリモート アクセスおよび LAN-to-LAN トンネル グループのデフォルト トンネル パラメータを設定します。

ガイドとして次の例で示すコマンド シンタックスを使用します。

詳細な手順

コマンド
目的

ステップ 1

tunnel-group name type type
 
例:
hostname(config)# tunnel-group testgroup type ipsec-ra
hostname(config)#

IPsec リモート アクセス トンネル グループ(接続プロファイルとも呼ばれます)を作成します。

ステップ 2

tunnel-group name general-attributes
 
例:
hostname(config)# tunnel-group testgroup general-attributes
hostname(config-tunnel-general)#

トンネル グループ一般アトリビュート モードに入ります。このモードでは、認証方式を入力できます。

ステップ 3

address-pool [(interface name)] address_pool1 [...address_pool6]
 
例:
hostname(config-general)# address-pool testpool

トンネル グループに使用するアドレス プールを指定します。

ステップ 4

tunnel-group name ipsec-attributes
 
例:
hostname(config)# tunnel-group testgroup ipsec-attributes
hostname(config-tunnel-ipsec)#

トンネル グループ ipsec アトリビュート モードに入ります。このモードでは、ipsec 固有のアトリビュートを入力できます。

ステップ 5

pre-shared-key key
 
例:
hostname(config-tunnel-ipsec)# pre-shared-key 44kkaol59636jnfx
 

(オプション)事前共有キーを設定します。キーには、1 ~ 128 文字の英数字文字列を指定できます。

適応型セキュリティ アプライアンスとクライアントのキーは同じである必要があります。事前共有キーのサイズが異なる Cisco VPN Client が接続しようとすると、ピアの認証に失敗したことを示すエラー メッセージがクライアントによってログに記録されます。

ダイナミック暗号マップの作成

この項では、ダイナミック暗号マップを設定する方法について説明します。ダイナミック暗号マップは、すべてのパラメータを設定する必要のないポリシー テンプレートを定義します。このようなダイナミック暗号マップにより、適応型セキュリティ アプライアンスは IP アドレスが不明なピアからの接続を受信することができます。リモート アクセス クライアントは、このカテゴリに入ります。

ダイナミック暗号マップのエントリは、接続のトランスフォーム セットを指定します。また、逆ルーティングもイネーブルにします。これにより、適応型セキュリティ アプライアンスは接続されたクライアントのルーティング情報を取得し、それを RIP または OSPF 経由でアドバタイズします。

ガイドとして次の例で示すコマンド シンタックスを使用します。

詳細な手順

コマンド
目的

ステップ 1

crypto dynamic-map dynamic-map-name seq-num set transform-set transform-set-name
 
例:
hostname(config)# crypto dynamic-map dyn1 1 set transform-set FirstSet
hostname(config)#

ダイナミック暗号マップを作成し、マップのトランスフォーム セットを指定します。

ステップ 2

crypto dynamic-map dynamic-map-name dynamic-seq-num set reverse-route
 
例:
hostname(config)# crypto dynamic-map dyn1 1 set reverse route
hostname(config)#

(オプション)この暗号マップ エントリに基づく接続に対して逆ルート注入をイネーブルにします。

ダイナミック暗号マップを使用するための暗号マップ エントリの作成

この項では、暗号マップ エントリを作成する方法について説明します。暗号マップを作成すると、適応型セキュリティ アプライアンスは、ダイナミック暗号マップを使用して IPsec セキュリティ アソシエーションのパラメータを設定することができます。

このコマンドに関する次の例では、暗号マップ名は mymap、シーケンス番号は 1、ダイナミック暗号マップ名は dyn1 です。この名前は、前の項ダイナミック暗号マップの作成で作成したものです。

ガイドとして次の例で示すコマンド シンタックスを使用します。

詳細な手順

コマンド
目的

ステップ 1

crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name
 
例:
hostname(config)# crypto map mymap 1 ipsec-isakmp dynamic dyn1
hostname(config)#

ダイナミック暗号マップを使用する暗号マップ エントリを作成します。

ステップ 2

crypto map map-name interface interface-name
 
例:
hostname(config)# crypto map mymap interface outside
hostname(config)#

暗号マップを外部インターフェイスに適用します。

セキュリティ アプライアンスのコンフィギュレーションの保存

上記の設定タスクを実行したら、この例に示すようにコンフィギュレーションの変更を必ず保存します。

コマンド
目的
write memory
 
例:
hostname(config-if)# write memory
Building configuration...
Cryptochecksum: 0f80bf71 1623a231 63f27ccf 8700ca6d
 
11679 bytes copied in 3.390 secs (3893 bytes/sec)
[OK]
hostname(config-if)#

変更をコンフィギュレーションに保存します。

リモート アクセス IPsec VPN の設定例

次の例は、リモート アクセス IPsec VPN を設定する方法を示しています。

 


 

hostname(config)# interface ethernet0
hostname(config-if)# ip address 10.10.4.200 255.255.0.0
hostname(config-if)# nameif outside
hostname(config-if)# no shutdown
hostname(config)# isakmp policy 1 authentication pre-share
hostname(config)# isakmp policy 1 encryption 3des
hostname(config)# isakmp policy 1 hash sha
hostname(config)# isakmp policy 1 group 2
hostname(config)# isakmp policy 1 lifetime 43200
hostname(config)# isakmp enable outside
hostname(config)# ip local pool testpool 192.168.0.10-192.168.0.15
hostname(config)# username testuser password 12345678
hostname(config)# crypto ipsec transform set FirstSet esp-3des esp-md5-hmac
hostname(config)# tunnel-group testgroup type ipsec-ra
hostname(config)# tunnel-group testgroup general-attributes
hostname(config-general)# address-pool testpool
hostname(config)# tunnel-group testgroup ipsec-attributes
hostname(config-ipsec)# pre-shared-key 44kkaol59636jnfx
hostname(config)# crypto dynamic-map dyn1 1 set transform-set FirstSet
hostname(config)# crypto dynamic-map dyn1 1 set reverse-route
hostname(config)# crypto map mymap 1 ipsec-isakmp dynamic dyn1
hostname(config)# crypto map mymap interface outside
hostname(config)# write memory

リモート アクセス IPsec VPN の機能履歴

表 66-1 に、この機能のリリース履歴の一覧を示します。

 

表 66-1 機能 1 の機能履歴

機能名
リリース
機能情報

リモート アクセス VPN

7.0

リモート アクセス VPN を使用すると、インターネットなどの TCP/IP ネットワーク上のセキュアな接続を介して、ユーザを中央サイトに接続することができます。