Cisco Security Appliance コマンド ライン コンフィギュレーション ガイド Version 7.0(4)
VPN の一般パラメータの設定
VPN の一般パラメータの設定
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

VPN の一般パラメータの設定

単一のルーテッド モードでの VPN の設定

ACL をバイパスするための IPSec の設定

インターフェイス内トラフィックの許可

インターフェイス内トラフィックにおける NAT の注意事項

アクティブな IPSec VPN セッションの最大数の設定

クライアント アップデートの設定

VPN の一般パラメータの設定

バーチャル プライベート ネットワークのセキュリティ アプライアンスの実装には、カテゴリの枠を越えた便利な機能があります。この章では、これらの機能のいくつかについて説明します。ここでは、次の項目について説明します。

「単一のルーテッド モードでの VPN の設定」

「ACL をバイパスするための IPSec の設定」

「インターフェイス内トラフィックの許可」

「アクティブな IPSec VPN セッションの最大数の設定」

「クライアント アップデートの設定」

単一のルーテッド モードでの VPN の設定

VPN は、単一のルーテッド モードでのみ動作します。セキュリティ コンテキストが含まれるコンフィギュレーション(マルチモード ファイアウォールとも呼ばれる)、または Active/Active ステートフル フェールオーバーが含まれるコンフィギュレーションでは、VPN 機能は利用できません。

例外として、管理上の目的で、透過モードでのセキュリティ アプライアンスへの接続(通過はしない)を 1 つ設定して使用することができます。

ACL をバイパスするための IPSec の設定

IPSec トンネルから送信されるすべてのパケットに対して、ACL で発信元インターフェイスと宛先インターフェイスをチェックせずに許可するには、グローバル コンフィギュレーション モードで sysopt connection permit-ipsec コマンドを入力します。

IPSec トラフィックのインターフェイス ACL をバイパスする必要があるのは、セキュリティ アプライアンスの背後で別の VPN コンセントレータを使用し、なおかつセキュリティ アプライアンスのパフォーマンスを最大限にする場合などです。通常、IPSec パケットを許可する ACL を access-list コマンドを使用して作成し、これを発信元インターフェイスに適用します。ACL を使用すると、セキュリティ アプライアンスを通過できるトラフィックを正確に指定できるため、セキュリティが向上します。

シンタックスは、 sysopt connection permit-ipsec です。このコマンドには、キーワードも引数もありません。

次の例では、ALC をチェックせずにセキュリティ アプライアンスを通過する IPSec トラフィックをイネーブルにします。

hostname(config)# sysopt connection permit-ipsec
 

インターフェイス内トラフィックの許可

セキュリティ アプライアンスには、IPSec で保護されたトラフィックに対して、同じインターフェイスの出入りを許可することにより、VPN クライアントが別の VPN ユーザに IPSec で保護されたトラフィックを送信できる機能があります。「ヘアピニング」とも呼ばれるこの機能は、VPN ハブ(セキュリティ アプライアンス)を介して接続している VPN スポーク(クライアント)と見なすことができます。

別のアプリケーションでは、この機能により、着信 VPN トラフィックを同じインターフェイスを介して暗号化されていないトラフィックとしてリダイレクトできます。この機能は、たとえば、スプリット トンネリングがない状態で、VPN へのアクセスと Web のブラウズの両方を行う必要がある VPN クライアントに役立ちます。

図24-1 では、VPN クライアント 1 が VPN クライアント 2 に対してセキュアな IPSec トラフィックを送信し、パブリック Web サーバに対しては暗号化されていないトラフィックを送信していることを示しています。

図24-1 ヘアピニングにインターフェイス内機能を使用する VPN クライアント

 

この機能を設定するには、グローバル コンフィギュレーション モードで intra-interface 引数を指定して same-security-traffic コマンドを実行します。

コマンドのシンタックスは、same-security-traffic permit { inter-interface | intra-interface } です。

次の例では、インターフェイス内トラフィックをイネーブルにする方法を示しています。

hostname(config)# same-security-traffic permit intra-interface
hostname(config)#

same-security-traffic コマンドに inter-interface 引数を指定すると、セキュリティ レベルが同一のインターフェイス間の通信を許可します。この機能は、IPSec 接続に固有のものではありません。詳細については、このマニュアルの第6章「インターフェイス パラメータの設定」を参照してください。


ヘアピニングを使用するには、次の項で説明するように、適切な NAT 規則をセキュリティ アプライアンスに適用する必要があります。

インターフェイス内トラフィックにおける NAT の注意事項

セキュリティ アプライアンスがインターフェイスを介して暗号化されていないトラフィックを送信するには、そのインターフェイスに対する NAT をイネーブルにし、プライベート IP アドレスをパブリックにルーティング可能なアドレスに変換する必要があります(ただし、ローカル IP アドレス プールですでに パブリック IP アドレスを使用している場合は除きます)。次の例では、クライアント IP プールから発信されたトラフィックに、インターフェイス PAT 規則を適用しています。

hostname(config)# ip local pool clientpool 192.168.0.10-192.168.0.100
hostname(config)# global (outside) 1 interface
hostname(config)# nat (outside) 1 192.168.0.0 255.255.255.0
 

ただし、セキュリティ アプライアンスがこの同じインターフェイスから暗号化された VPN トラフィックを送信する場合、NAT は任意です。VPN 間ヘアピニングは、NAT を使用してもしなくても機能します。すべての発信トラフィックに NAT を適用するには、上記のコマンドを実装するだけです。VPN 間トラフィックを NAT から免除するには、次のように、VPN 間トラフィックの NAT 免除を実装するコマンドを(上記のコマンドに)追加します。

hostname(config)# access-list nonat permit ip 192.168.0.0 255.255.255.0 192.168.0.0 255.255.255.0
hostname(config)# nat (outside) 0 access-list nonat

NAT 規則の詳細については、このマニュアルの 第14章「NAT の適用」 を参照してください。

アクティブな IPSec VPN セッションの最大数の設定

VPN セッションの数をセキュリティ アプライアンスが許可する数よりも小さい値に制限するには、グローバル コンフィギュレーション モードで vpn-sessiondb max-session-limit コマンドを入力します。

このコマンドは、WebVPN を含むあらゆるタイプの VPN セッションに適用されます。

このセッション数の制限は、VPN ロードバランシング用に算出されたロード率に影響します。

シンタックスは、 vpn-sessiondb max-session-limit { session-limit } です。

次の例では、VPN セッションの最大数を 450 に設定する方法を示しています。

hostname (config)# vpn-sessiondb max-session-limit 450
hostname (config)#

クライアント アップデートの設定

クライアント アップデート機能を使用すると、中央にいる管理者は、VPN クライアント ソフトウェアをアップデートする時期と VPN 3002 ハードウェア クライアント イメージを、VPN クライアント ユーザに自動的に通知できます。

クライアント アップデートを設定するには、トンネルグループ ipsec アトリビュート コンフィギュレーション モードで client-update コマンドを入力します。クライアントがリビジョン番号リストにあるソフトウェア バージョンをすでに実行している場合、ソフトウェアをアップデートする必要はありません。クライアントがリストにあるソフトウェア バージョンを実行していない場合、アップデートする必要があります。最大 4 個のクライアント アップデート エントリを指定できます。

このコマンドのシンタックスは次のとおりです。

client-update type type { url url-string } { rev-nums rev-nums }

no client-update [ type ]

 
シンタックスの説明

rev-nums rev-nums

このクライアントのソフトウェア イメージまたはファームウェア イメージを指定します。最大 4 個のイメージを、カンマで区切って指定します。

type

クライアント アップデートを通知するオペレーティング システムを指定します。オペレーティング システムのリストには、次のシステムが含まれます。

Windows:Windows ベースのすべてのプラットフォーム

WIN9X:Windows 95、Windows 98、および Windows ME プラットフォーム

WinNT:Windows NT 4.0、Windows 2000、および Windows XP プラットフォーム

vpn3002:VPN 3002 ハードウェア クライアント

url url-string

ソフトウェア イメージまたはファームウェア イメージの URL を指定します。この URL は、クライアントに適合するファイルを指している必要があります。

次の例では、remotegrp という名前のリモートアクセス トンネルグループに対してクライアント アップデート パラメータを設定しています。リビジョン番号は 4.6.1、アップデートを取得するための URL は https://support/updates を指定しています。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp ipsec-attributes
hostname(config-ipsec)# client-update type windows url https://support/updates/ rev-nums 4.6.1
hostname(config-ipsec)#