Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
L2TP over IPsec の設定
L2TP over IPsec の設定
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

L2TP over IPsec の設定

L2TP over IPsec に関する情報

IPsec の転送モードとトンネル モード

L2TP over IPsec のライセンス要件

ガイドラインと制限事項

L2TP over IPsec の設定

L2TP over IPsec の設定例

L2TP over IPsec の機能履歴

L2TP over IPsec の設定

この章では、適応型セキュリティ アプライアンスの L2TP over IPsec の設定方法について説明します。次の項目について説明します。

「L2TP over IPsec に関する情報」

「L2TP over IPsec のライセンス要件」

「ガイドラインと制限事項」

「L2TP over IPsec の設定」

「L2TP over IPsec の設定例」

「L2TP over IPsec の機能履歴」

L2TP over IPsec に関する情報

Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)は、リモート クライアントがパブリック IP ネットワークを使用して、企業のプライベート ネットワーク サーバと安全に通信できるようにする VPN トンネリング プロトコルです。L2TP は、データのトンネリングに PPP over UDP(ポート 1701)を使用します。

L2TP プロトコルは、クライアント/サーバ モデルを基本にしています。機能は L2TP Network Server(LNS; L2TP ネットワーク サーバ)と L2TP Access Concentrator(LAC; L2TP アクセス コンセントレータ)に分かれています。LNS は、通常、ルータなどのネットワーク ゲートウェイで実行されます。一方、LAC は、ダイヤルアップの Network Access Server(NAS; ネットワーク アクセス サーバ)や、Microsoft Windows 2000 などの L2TP クライアントが搭載された PC で実行されます。

リモート アクセスのシナリオで、IPsec を使用する L2TP を設定する最大の利点は、リモート ユーザがゲートウェイや専用回線を使わずにパブリック IP ネットワークを介して VPN にアクセスできることです。これにより、実質的にどの場所からでも POTS を使用してリモート アクセスが可能になります。この他に、VPN にアクセスするクライアントは Windows 2000 で Microsoft Dial-Up Networking(DUN; ダイヤルアップ ネットワーク)を使用するだけでよいという利点もあります。Cisco VPN クライアント ソフトウェアなど、追加のクライアント ソフトウェアは必要ありません。

L2TP over IPsec を設定するには、まず、IPsec の転送モードを設定して、IPsec で L2TP を使用できるようにします。次に、L2TP に Virtual Private Dial-up Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)グループを設定します。

IPsec を使用する L2TP の設定では、事前共有キーまたは RSA シグニチャ方式を使用する証明書、および(スタティックではなく)ダイナミック暗号マップの使用がサポートされます。ただし、ここで説明する概要手順では、IKE、および事前共有キーまたは RSA 署名の設定が完了していることを前提にしています。事前共有キー、RSA、およびダイナミック暗号マップの設定手順については、「デジタル証明書の設定」を参照してください。


) 適応型セキュリティ アプライアンスで IPsec を使用する L2TP を設定すると、LNS が Windows 2000 L2TP クライアントと相互運用できるようになります。現時点では、シスコや他のベンダーの LAC との相互運用はサポートされていません。サポートされているのは、IPsec を使用する L2TP だけで、ネイティブの L2TP そのものは、適応型セキュリティ アプライアンスではサポートされていません。
Windows 2000 クライアントがサポートしている IPsec セキュリティ アソシエーションの最短ライフタイムは 300 秒です。適応型セキュリティ アプライアンスでライフタイムを 300 秒未満に設定している場合、Windows 2000 クライアントはこの設定を無視して、300 秒のライフタイムに置き換えます。


IPsec の転送モードとトンネル モード

適応型セキュリティ アプライアンスは、デフォルトで IPsec トンネル モードを使用します。このモードでは、元の IP データグラム全体が暗号化され、新しい IP パケットのペイロードになります。このモードでは、ルータなどのネットワーク デバイスが IPsec のプロキシとして動作できます。つまり、ルータがホストに代わって暗号化を行います。送信元ルータがパケットを暗号化し、IPsec トンネルを使用して転送します。宛先ルータは元の IP データグラムを復号化し、宛先システムに転送します。トンネル モードの大きな利点は、エンド システムを変更しなくても IPsec を利用できるということです。また、トラフィック分析から保護することもできます。トンネル モードを使用すると、攻撃者にはトンネルのエンドポイントしかわからず、トンネリングされたパケットの本来の送信元と宛先はわかりません(これらがトンネルのエンドポイントと同じ場合でも同様)。

ただし、Windows 2000 の L2TP/IPsec クライアントは、IPsec 転送モードを使用します。このモードでは IP ペイロードだけが暗号化され、元の IP ヘッダーは暗号化されません。このモードには、各パケットに数バイトしか追加されず、パブリック ネットワーク上のデバイスに、パケットの最終的な送信元と宛先を認識できるという利点があります。図 60-1 に、IPsec のトンネル モードと転送モードの違いを示します。

このように、Windows 2000 の L2TP/IPsec クライアントから適応型セキュリティ アプライアンスに接続するには、 crypto ipsec transform-set trans_name mode transport コマンドを使用してトランスフォーム セット用に IPsec 転送モードを設定する必要があります。このコマンドの設定手順については、を参照してください

この機能(転送)を設定することにより、IP ヘッダーの情報に基づいて、中間ネットワークで特別な処理(QoS など)を実行できるようになります。ただし、レイヤ 4 ヘッダーは暗号化されるので、パケットの検査が制限されます。転送モードでは、IP ヘッダーがクリア テキストで送信されるため、攻撃者に何らかのトラフィック分析を許すことになります。

図 60-1 IPsec のトンネル モードと転送モード

 

L2TP over IPsec のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

ASA 5505

基本ライセンス:10 セッション(25 の組み合せた IPSec と SSL VPN1

Security Plus ライセンス:25 セッション(25 の組み合せた IPSec と SSL VPN1

ASA 5510

基本および Security Plus ライセンス:250 セッション(250 の組み合せた IPSec と SSL VPN1

ASA 5520

基本および Security Plus ライセンス:750 セッション(750 の組み合せた IPSec と SSL VPN1

ASA 5540

基本および Security Plus ライセンス:5000 セッション(5000 の組み合せた IPSec と SSL VPN1

ASA 5550 および 5580

基本および Security Plus ライセンス:5000 セッション(5000 の組み合せた IPSec と SSL VPN1

1.IPSec セッションと SSL VPN セッションの最大数の合計が、VPN セッションの最大数よりも多くなっても、組み合せたセッション数が VPN セッションの制限を超えることはできません。VPN の最大セッション数を超えた場合、適応型セキュリティ アプライアンスをオーバーロードして、ネットワークのサイズを適切にすることができます。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードでサポートされています。マルチコンテキスト モードはサポートされていません。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードでだけサポートされています。トランスペアレント モードはサポートされていません。

フェールオーバーのガイドライン

L2TP over IPsec セッションはステートフル フェールオーバーではサポートされていません。

L2TP over IPsec の設定

この項では、適応型セキュリティ アプライアンスが L2TP over IPsec 接続を受け入れるように設定するための前提条件、制限事項、および詳細なタスクについて説明します。

前提条件

Apple iPhone と MAC OS X の互換性

Apple iPhone または MAC OS X を正常に接続するには、適応型セキュリティ アプライアンスに次の IKE(ISAKMP)ポリシー設定が必要です。

IKE フェーズ 1:SHA1 ハッシュ方式を使用する 3DES 暗号化

IPSec フェーズ 2:MD5 または SHA ハッシュ方式を使用する 3DES または AES 暗号化

PPP 認証:PAP、MS-CHAPv1、または MSCHAPv2(推奨)

事前共有キー(iPhone の場合に限る)

次の例では、iPhone および OS X の互換性を確保するためのコンフィギュレーション ファイル コマンドを示します。

tunnel-group DefaultRAGroup general-attributes
address-pool pool
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
no authentication pap
authentication chap
authentication ms-chap-v1
authentication ms-chap-v2
crypto ipsec transform-set trans esp-3des esp-sha-hmac
crypto ipsec transform-set trans mode transport
crypto dynamic-map dyno 10 set transform-set set trans
crypto map vpn 20 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto isakmp identity auto
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal 3600
 

IKE ポリシー設定の詳細については、「IPSec と ISAKMP の設定」を参照してください。

制限事項

Cisco VPN Client バージョン 3.x または Cisco VPN 3000 Client バージョン 2.5 のいずれかがインストールされている場合、適応型セキュリティ アプライアンスは Windows 2000 で L2TP/IPsec トンネルを確立しません。この問題に対処するには、Windows 2000の [Services] パネル([Start] > [Programs] > [Administrative Tools] > [Services] の順にクリック)で、Cisco VPN Client バージョン 3.x の Cisco VPN Service、または Cisco VPN 3000 Client バージョン 2.5 の ANetIKE Service をディセーブルにします。次に、[Services] パネルで IPSec Policy Agent Service を再起動してから、PC を再起動します。

ローカル データベースの場合、適応型セキュリティ アプライアンスは、PPP 認証方式として PAP および Microsoft CHAP のバージョン 1 と 2 だけをサポートします。EAP と CHAP は、プロキシ認証サーバによって実行されます。そのため、リモート ユーザが authentication eap-proxy または authentication chap コマンドで設定したトンネル グループに所属している場合、適応型セキュリティ アプライアンスでローカル データベースを使用するように設定すると、このユーザは接続できなくなります。

適応型セキュリティ アプライアンスの L2TP over IPsec 接続は 表 60-1 に示す PPP 認証タイプだけをサポートします。

表 60-1 AAA サーバ サポートと PPP 認証タイプ

 

AAA サーバ タイプ
サポートされている PPP 認証タイプ

LOCAL

PAP、MSCHAPv1、MSCHAPv2

RADIUS

PAP、CHAP、MSCHAPv1、MSCHAPv2、EAP-Proxy

TACACS+

PAP、CHAP、MSCHAPv1

LDAP

PAP

NT

PAP

Kerberos

PAP

SDI

SDI

手順の詳細

 

コマンド
目的

ステップ 1

crypto ipsec transform-set transform_name algorithm
 

例:

hostname(config)# crypto ipsec transform-set sales_l2tp_transform esp-3des

特定のアルゴリズムを使用してトランスフォームを作成します。

ステップ 2

crypto ipsec transform-set trans_name mode transport
 

例:

hostname(config)# crypto ipsec transform-set trans_name mode transport

IPSec にトンネル モードではなく転送モードを使用するように指示します。

ステップ 3

vpn-tunnel-protocol l2tp-ipsec
 

例:

hostname(config)# group-policy sales_policy attributes
hostname(config-group-policy)# vpn-tunnel-protocol l2tp-ipsec

グループポリシーに対する有効な VPN トンネリング プロトコルとして L2TP over IPSec を指定します。

ステップ 4

dns value [ none | IP_primary [ IP_secondary ]
 

例:

hostname(config)# group-policy sales_policy attributes
hostname(config-group-policy)# dns value 209.165.201.1 209.165.201.2

(オプション)適応型セキュリティ アプライアンスに DNS サーバ IP アドレスをグループポリシーのクライアントに送信するように指示します。

ステップ 5

wins-server value [none | IP_primary [IP_secondary]]
 

例:

hostname (config-group-policy)# wins-server value 209.165.201.3 209.165.201.4

(オプション)適応型セキュリティ アプライアンスに WINS サーバ IP アドレスをグループポリシーのクライアントに送信するように指示します。

ステップ 6

tunnel-group name type ipsec-ra
 

例:

hostname(config)# tunnel-group sales_tunnel type ipsec-ra

トンネル グループを作成します。

ステップ 7

default-group-policy name
 

例:

hostname(config)# tunnel-group sales_tunnel general-attributes
hostname(config-tunnel-general)# default-group-policy sales_policy

グループポリシーの名前をトンネル グループにリンクします。

ステップ 8

authentication-server-group server_group
 

例:

hostname(config-tunnel-general)# authentication-server-group sales_server

トンネル グループに対して、L2TP over IPSec 接続を試行するユーザの認証方式を指定します。

ステップ 9

accounting-server-group aaa_server_group
 

例:

hostname(config)# tunnel-group sales_tunnel general-attributes
hostname(config-tunnel-general)# accounting-server-group sales_aaa_server

(オプション)トンネル グループに対して、L2TP セッション用に AAA アカウンティングの開始レコードと終了レコードを生成します。

ステップ 10

address-pool pool_name
 

例:

hostname(config)# tunnel-group sales general-attributes
hostname(config-tunnel-general)# address-pool sales_addresses

(オプション)トンネル グループに対して、クライアントに IP アドレスを割り当てるために使用するローカル アドレス プールを指定します。

ステップ 11

authentication auth_type
 

例:

hostname(config)# tunnel-group name ppp-attributes
hostname(config-ppp)# authentication pap

トンネル グループに対して PPP 認証プロトコルを指定します。PPP 認証のタイプとその特性については、 表 60-2 を参照してください。

ステップ 12

l2tp tunnel hello seconds
 

例:

hostname(config)# l2tp tunnel hello 100

hello メッセージの間隔を(秒単位で)設定します。

ステップ 13

crypto isakmp nat-traversal seconds
 

例:

hostname(config)# crypto isakmp enable
hostname(config)# crypto isakmp nat-traversal 1500

(オプション)ESP パケットが 1 つ以上の NAT デバイスを通過できるように、NAT-Traversal をイネーブルにします。

NAT デバイスの背後に適応型セキュリティ アプライアンスへの L2TP over IPSec 接続を試行する L2TP クライアントが複数あると予想される場合、NAT-Traversal をイネーブルにする必要があります。

グローバルに NAT-Traversal をイネーブルにするには、グローバル コンフィギュレーション モードで ISAKMP がイネーブルになっていることをチェックし( crypto isakmp enable コマンドでイネーブルにできます)、次に crypto isakmp nat-traversal コマンドを使用します。

表 60-2 PPP 認証タイプの特性

キーワード
認証タイプ
特性
chap

CHAP

サーバのチャレンジに対する応答で、クライアントは暗号化された「チャレンジとパスワード」およびクリアテキストのユーザ名を返します。このプロトコルは、PAP より安全ですが、データは暗号化されません。

eap-proxy

EAP

EAP をイネーブルにします。これによってセキュリティ アプライアンスは、PPP 認証プロセスを外部の RADIUS 認証サーバにプロキシします。

ms-chap-v1
ms-chap-v2

Microsoft CHAP、バージョン 1

Microsoft CHAP、バージョン 2

CHAP と似ていますが、サーバは、CHAP のようなクリアテキストのパスワードではなく、暗号化されたパスワードだけを保存および比較するのでより安全です。このプロトコルはまた、MPPE によるデータの暗号化のためのキーを生成します。

pap

PAP

認証中にクリアテキストのユーザ名とパスワードを渡すので、安全ではありません。

L2TP over IPsec の設定例

次の例は、L2TP over IPsec を設定する方法を示しています。

ip local pool sales_addresses 209.165.202.129-209.165.202.158
aaa-server sales_server protocol radius
crypto ipsec transform-set sales_l2tp_transform esp-3des esp-sha-hmac
crypto ipsec transform-set sales_l2tp_transform mode transport
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
l2tp tunnel hello 100
 
group-policy sales_policy internal
group-policy sales_policy attributes
wins-server value 209.165.201.3 209.165.201.4
dns-server value 209.165.201.1 209.165.201.2
vpn-tunnel-protocol l2tp-ipsec
tunnel-group sales_tunnel type remote-access
tunnel-group sales_tunnel general-attributes
address-pool sales_addresses
authentication-server-group none
accounting-server-group sales_server
default-group-policy sales_policy
tunnel-group sales_tunnel ppp-attributes
authentication pap
 


 

L2TP over IPsec の機能履歴

表 60-3 に、この機能のリリース履歴の一覧を示します。

 

表 60-3 L2TP over IPsec の機能履歴

機能名
リリース
機能情報

L2TP over IPsec

7.2(1)

L2TP/IPsec は、単一のプラットフォームで IPsec VPN サービスとファイアウォール サービスとともに L2TP VPN ソリューションを展開および管理する機能を提供します。

リモート アクセスのシナリオで、IPsec を使用する L2TP を設定する最大の利点は、リモート ユーザがゲートウェイや専用回線を使わずにパブリック IP ネットワークを介して VPN にアクセスできることです。これにより、実質的にどの場所からでも POTS を使用してリモート アクセスが可能になります。この他に、VPN にアクセスするクライアントは Windows 2000 で Microsoft Dial-Up Networking(DUN; ダイヤルアップ ネットワーク)を使用するだけでよいという利点もあります。Cisco VPN クライアント ソフトウェアなど、追加のクライアント ソフトウェアは必要ありません。

authentication eap-proxy、authentication ms-chap-v1、authentication ms-chap-v2、authentication pap、l2tp tunnel hello、および vpn-tunnel-protocol l2tp-ipsec コマンドが導入または変更されました。