Cisco Security Manager 4.0 ユーザ ガイド
サイト間 VPN の管理
サイト間 VPN の管理
発行日;2012/02/02 | 英語版ドキュメント(2010/06/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

サイト間 VPN の管理

VPN トポロジについて

ハブアンドスポーク VPN トポロジ

ポイントツーポイント VPN トポロジ

完全メッシュ VPN トポロジ

暗黙的にサポートされるトポロジ

IPsec テクノロジーおよびポリシーについて

サイト間 VPN の必須ポリシーおよびオプションのポリシーについて

サイト間 VPN ポリシーの概要

各 IPsec テクノロジーでサポートされるデバイスについて

VPN に管理対象外デバイスやシスコ製以外のデバイスを組み込む

VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定

デバイスのオーバーライドを使用した VPN ポリシーのカスタマイズ

VRF 対応 IPsec について

VRF 対応 IPsec 1 ボックス ソリューション

VRF 対応 IPsec 2 ボックス ソリューション

Catalyst スイッチおよび 7600 デバイスにおける VRF のイネーブル化およびディセーブル化

サイト間 VPN トポロジおよびポリシーへのアクセス

[Site-to-Site VPN Manager] ウィンドウ

デバイス ビューにおける VPN トポロジの設定

サイト間 VPN ディスカバリ

VPN ディスカバリでサポートされる、およびサポートされないテクノロジーとトポロジ

VPN ディスカバリの前提条件

VPN ディスカバリ規則

サイト間 VPN の検出

検出された、複数のスポーク定義を持つ VPN の定義または修復

サイト間 VPN の再検出

VPN トポロジの作成または編集

VPN トポロジの名前および IPsec テクノロジーの定義

VPN トポロジのデバイスの選択

エンドポイントおよび保護対象ネットワークの定義

VPN インターフェイス エンドポイントの設定

ダイヤル バックアップの設定

[Dial Backup Settings] ダイアログボックス

VPNSM または VPN SPA/VSPA エンドポイントの設定

エンドポイントの保護対象ネットワークの特定

VPNSM または VPNSPA/VSPA が設定されたデバイスへのファイアウォール サービス モジュール(FWSM)インターフェイスの設定

VRF 対応 IPsec の設定

VPN トポロジにおけるハイ アベイラビリティの設定

GET VPN グループ暗号化の定義

[Add Certificate Filter] ダイアログボックス

[Add New Security Association]/[Edit Security Association] ダイアログボックス

GET VPN ピアの定義

新しい VPN トポロジへの初期ポリシー(デフォルト)の割り当て

VPN トポロジの設定の概要の表示

VPN トポロジの削除

共通サイト間 VPN ポリシーの設定

IKE について

使用する暗号化アルゴリズムの決定

使用するハッシュ アルゴリズムの決定

使用するデフィーヘルマン グループの決定

使用する認証方式の決定

IKE プロポーザルの設定

[IKE Proposal] ページ

IPsec トンネル ポリシーについて

クリプト マップについて

トランスフォーム セットについて

逆ルート注入について

IPsec プロポーザルの設定

[IPsec Proposal] ページ

VPN グローバル設定について

ISAKMP/IPsec 設定について

NAT について

フラグメンテーションについて

VPN グローバル設定

[VPN Global Settings] ページ

Preshared Key ポリシーについて

Preshared Key ポリシーの設定

[Preshared Key] ページ

Public Key Infrastructure ポリシーについて

PKI 登録を正常に行うための前提条件

サイト間 VPN での複数の CA サーバの定義

公開キー インフラストラクチャ ポリシーの設定

[Public Key Infrastructure] ページ

GRE およびダイナミック GRE VPN

GRE について

GRE を使用した IPsec トンネリングの利点

Security Manager における GRE の実装

GRE を正常に設定するための前提条件

動的にアドレス指定されるスポークの GRE 設定について

GRE または GRE ダイナミック IP のポリシーの設定

[GRE Modes] ページ

サイト間 VPN の管理

Virtual Private Network(VPN; バーチャル プライベート ネットワーク)は、インターネットなどのセキュアでないネットワーク経由で相互にプライベート データを安全に送信する、複数のリモート ピアで構成されています。サイト間 VPN は、トンネルを使用してデータ パケットを通常の IP パケット内にカプセル化し、IP ベースのネットワーク経由で転送するものです。その際、暗号化を使用してプライバシーを確保し、認証を使用してデータの整合性を確保します。

Cisco Security Manager では、サイト間 VPN は、VPN トポロジに割り当てられた IPsec ポリシーに基づいて実装されています。IPsec ポリシーとはパラメータのセットであり、これらのパラメータによって、IPsec トンネル内のトラフィックでセキュリティを確保するために使用されるセキュリティ プロトコルやアルゴリズムなど、サイト間 VPN の特性が定義されます。Security Manager は、IPsec ポリシーを、VPN トポロジ内のデバイスに展開可能な CLI コマンドに変換します。IPsec テクノロジーのタイプによっては、VPN トポロジに割り当て可能な完全な設定イメージを定義するために、複数のポリシー タイプが必要となる場合があります。

Site-to-Site VPN Manager では、Cisco IOS セキュリティ ルータ、PIX ファイアウォール、Catalyst VPN サービス モジュール、および Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)ファイアウォール デバイスにサイト間 VPN トポロジおよびポリシーが定義されて設定されます。

Site-to-Site VPN Manager にアクセスするには、[Tools] > [Site-To-Site VPN Manager] を選択するか、またはツールバーの [Site-To-Site VPN Manager] ボタンをクリックします。

また、ポリシー ビューでの共有ポリシーの設定や、デバイス ビューでのトポロジの表示および設定も可能です。ポリシー ビューでは、IPsec ポリシーを VPN トポロジに割り当てることができます。

ここでは、次の内容について説明します。

「VPN トポロジについて」

「IPsec テクノロジーおよびポリシーについて」

「サイト間 VPN トポロジおよびポリシーへのアクセス」

「サイト間 VPN ディスカバリ」

「VPN トポロジの作成または編集」

「VPN トポロジの削除」

「共通サイト間 VPN ポリシーの設定」

VPN トポロジについて

VPN トポロジでは、その VPN に属するピアとネットワーク、およびそれらの間の接続方法が指定されます。VPN トポロジを作成したあと、割り当てられた IPsec テクノロジーに応じて、VPN トポロジに適用可能なポリシーが設定に使用できるようになります。

Security Manager では、ハブアンドスポーク、ポイントツーポイント、完全メッシュという 3 種類の主要なトポロジがサポートされており、これらを使用してサイト間 VPN を作成できます。すべてのポリシーをすべての VPN トポロジに適用できるわけではありません。適用できるポリシーは、VPN トポロジに割り当てられた IPsec テクノロジーに応じて異なります。また、VPN に割り当てられる IPsec テクノロジーは、トポロジ タイプに応じて異なります。たとえば、DMVPN および Easy VPN テクノロジーは、ハブアンドスポーク トポロジにだけ適用できます。

詳細については、「IPsec テクノロジーおよびポリシーについて」を参照してください。

ここでは、次の内容について説明します。

「ハブアンドスポーク VPN トポロジ」

「ポイントツーポイント VPN トポロジ」

「完全メッシュ VPN トポロジ」

「暗黙的にサポートされるトポロジ」

ハブアンドスポーク VPN トポロジ

ハブアンドスポーク VPN トポロジでは、複数のリモート デバイス(スポーク)が 1 つの中央のデバイス(ハブ)と安全に通信します。ハブと個別の各スポークとの間には、保護されたトンネルが個別に設定されます。

図 21-1に、一般的なハブアンドスポーク VPN トポロジを示します。

図 21-1 ハブアンドスポーク VPN トポロジ

 

通常、このトポロジは、サードパーティ ネットワークまたはインターネットへの永続的な接続により、企業のメイン オフィスとブランチ オフィスを接続するイントラネット VPN を表しています。ハブアンドスポーク トポロジの VPN を使用することによって、どのような場所でリモートの業務を行うか、またはその規模や数に関係なく、すべての従業員が企業ネットワークに完全にアクセスできます。

ハブは、一般的には企業のメイン オフィスに配置されます。スポーク デバイスは、一般的には企業のブランチ オフィスに配置されます。ハブアンドスポーク トポロジでは、ほとんどのトラフィックはスポーク サイトにあるホストによって開始されますが、一部のトラフィックは、セントラル サイト側で開始されてスポークに送られる場合もあります。

ハブアンドスポーク設定において何らかの理由でハブが利用できなくなると、IPsec フェールオーバーによって、すべてのスポークが使用するフェールオーバー(バックアップ)ハブにトンネル接続がシームレスに転送されます。1 台のプライマリ ハブに対して、複数のフェールオーバー ハブを設定できます。

ハブアンドスポーク VPN トポロジでは、GET VPN 以外のすべての IPsec テクノロジー タイプを割り当てることができます。

関連項目

「IPsec テクノロジーおよびポリシーについて」

「VPN トポロジについて」

「暗黙的にサポートされるトポロジ」

「共通サイト間 VPN ポリシーの設定」

ポイントツーポイント VPN トポロジ

ポイントツーポイント VPN トポロジでは、2 つのデバイスが相互に直接通信します。ハブアンドスポーク設定の場合のような IPsec フェールオーバーのオプションはありません。ポイントツーポイント VPN トポロジを確立するためには、ピア デバイスとして 2 つのエンドポイントを指定します。これら 2 つのデバイスのどちらからでも接続を開始できるため、IPsec テクノロジー タイプとして通常の IPsec または IPsec/GRE だけを割り当てることができます。

図 21-2に、一般的なポイントツーポイント VPN トポロジを示します。

図 21-2 ポイントツーポイント VPN トポロジ

 

関連項目

「IPsec テクノロジーおよびポリシーについて」

「VPN トポロジについて」

「暗黙的にサポートされるトポロジ」

「共通サイト間 VPN ポリシーの設定」

完全メッシュ VPN トポロジ

完全メッシュ トポロジは、すべてのピアが相互に通信する必要があるような複雑なネットワークに適しています。このトポロジ タイプでは、ネットワーク内のすべてのデバイスが固有の IPsec トンネルを経由して他のすべてのデバイスと通信します。すべてのデバイスが相互に直接のピア関係を持っているため、VPN ゲートウェイ デバイスでボトルネックが発生せず、デバイスにおける暗号化および復号化のオーバーヘッドを低減できます。

完全メッシュ VPN トポロジには、通常の IPsec、IPsec/GRE、および GET VPN テクノロジーだけを割り当てることができます。

図 21-3に、一般的な完全メッシュ VPN トポロジを示します。

図 21-3 完全メッシュ VPN トポロジ

 

完全メッシュ ネットワークは信頼性が高く、冗長性を備えています。GRE テクノロジーが割り当てられている場合は、1 つのデバイス(またはノード)が動作できなくなっても、他のすべてのデバイスは引き続き、直接または 1 つ以上の中間ノード経由で、相互に通信できます。通常の IPsec では、1 つのデバイスが動作できなくなった場合、保護対象のネットワークを指定するクリプト Access Control List(ACL; アクセス コントロール リスト)が 2 つのピアごとに作成されます。

GET VPN は、グループ トラスト モデルに基づいています。このモデルでは、グループ メンバーはキー サーバに登録されます。キー サーバは、Group Domain of Interpretation(GDOI)プロトコルを使用して、セキュリティ ポリシー、およびグループ メンバー間のトラフィックを暗号化するためのキーを配布します。プライマリ キー サーバと、プライマリ サーバとポリシーを同期するセカンダリ キー サーバを設定できるため、プライマリ キー サーバが利用できなくなった場合にはセカンダリ キー サーバが処理を引き継ぐことができます。


) 完全メッシュ トポロジ内のノード数が増加すると、スケーラビリティが問題となる可能性があります。つまり、デバイスが適度な CPU 使用率でサポートできるトンネル数が、制限要因となる可能性があります。


関連項目

「IPsec テクノロジーおよびポリシーについて」

「VPN トポロジについて」

「暗黙的にサポートされるトポロジ」

「共通サイト間 VPN ポリシーの設定」

暗黙的にサポートされるトポロジ

3 つの主要な VPN トポロジに加えて、これらのトポロジを組み合わせた他のより複雑なトポロジを作成することもできます。以下の方法があります。

部分メッシュ:このネットワークでは、一部のデバイスは完全メッシュ トポロジに編成され、その他のデバイスは、完全メッシュ構成のデバイスのうちのいくつかとのハブアンドスポーク接続またはポイントツーポイント接続を形成します。部分メッシュには、完全メッシュ トポロジほどの冗長性はありませんが、導入コストがより低くなります。部分メッシュ トポロジは、通常、完全メッシュ構成のバックボーンに接続する境界ネットワークで使用されます。

階層型ハブアンドスポーク:このネットワークでは、あるデバイスが、1 つ以上のトポロジでハブとして動作し、他のトポロジではスパイクとして動作できます。スポーク グループからそれらの直近のハブへのトラフィックが許可されます。

結合ハブアンドスポーク:接続して 1 つのポイントツーポイント トンネルを形成する、2 つのトポロジ(ハブアンドスポーク、ポイントツーポイント、または完全メッシュ)の組み合わせです。たとえば、2 つのハブアンドスポーク トポロジから構成され、それぞれのハブがポイントツーポイント トポロジのピア デバイスとして動作する結合ハブアンドスポーク トポロジを作成できます。

関連項目

「VPN トポロジについて」

「ハブアンドスポーク VPN トポロジ」

「ポイントツーポイント VPN トポロジ」

「完全メッシュ VPN トポロジ」

IPsec テクノロジーおよびポリシーについて

Security Manager には、サイト間 VPN トポロジのデバイスに設定できる 7 種類の IPsec テクノロジーが用意されています。それらは、通常の IPsec、IPsec/GRE、GRE ダイナミック IP、標準 DMVPN、大規模 DMVPN、Easy VPN、および GET VPN です。割り当てられたテクノロジーに応じて、VPN に対して設定できるポリシーが決まります。

VPN トポロジの作成時に VPN トポロジに IPsec テクノロジーを割り当てることができます。VPN トポロジに IPsec テクノロジーを割り当てたあとは、テクノロジーを変更できません。変更する場合は、いったん VPN トポロジを削除してから新たなトポロジを作成する必要があります。「VPN トポロジの名前および IPsec テクノロジーの定義」を参照してください。

ここでは、IPsec テクノロジーおよびサイト間 VPN ポリシーのいくつかの基本的な概念について説明します。

「サイト間 VPN の必須ポリシーおよびオプションのポリシーについて」

「サイト間 VPN ポリシーの概要」

「各 IPsec テクノロジーでサポートされるデバイスについて」

「VPN に管理対象外デバイスやシスコ製以外のデバイスを組み込む」

「VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定」

「デバイスのオーバーライドを使用した VPN ポリシーのカスタマイズ」

「VRF 対応 IPsec について」

サイト間 VPN の必須ポリシーおよびオプションのポリシーについて

一部のサイト間 VPN ポリシーは必須です。つまり、VPN トポロジを作成したり、ポリシー編集時に変更内容を保存したりする場合には、これらのポリシーを設定する必要があります。必須ポリシーには定義済みのデフォルトが用意されています。このデフォルトを使用して VPN トポロジを定義することもできますが、通常はこれらのポリシーを編集して、ご使用のネットワークに適した設定にする必要があります。

オプションのポリシーは、それらのポリシーによって定義されるサービスを必要とする場合にだけ設定する必要があり、デフォルトは用意されていません。


ヒント 必要な設定を指定した共有ポリシーを作成し、VPN 作成時にこれらの共有ポリシーを選択することによって、独自の必須ポリシーのデフォルトを設定できます。共有ポリシーを Create VPN ウィザードのデフォルトとすることもできます。詳細については、「VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定」を参照してください。


一部の必須ポリシーは、特定の条件の下でだけ必須となります。たとえば、Preshared Key ポリシーは、デフォルトの(必須)IKE Proposal で事前共有キー認証を使用する場合にだけ必須となります。選択された IKE 認証方式が RSA の署名である場合は、Public Key Infrastructure ポリシーが必須となります(「使用する認証方式の決定」を参照)。

次の表に、サイト間 VPN トポロジ内のデバイスに割り当て可能な各定義済みテクノロジーの、必須ポリシーおよびオプションのポリシーを示します。

 

表 21-1 サイト間 VPN IPsec テクノロジーおよびポリシー

テクノロジー
必須ポリシー
オプションのポリシー

通常の IPsec

「IPsec トンネル ポリシーについて」を参照してください。

IKE Proposal

IPsec Proposal

Preshared Key 1

Public Key Infrastructure 2

VPN Global Settings

IPsec/Generic Routing Encapsulation(GRE)

「GRE について」を参照してください。

IKE Proposal

IPsec Proposal

Preshared Key 1

GRE Modes

Public Key Infrastructure 2

VPN Global Settings

GRE ダイナミック IP

「動的にアドレス指定されるスポークの GRE 設定について」を参照してください。

IKE Proposal

IPsec Proposal

Preshared Key 1

GRE Modes

Public Key Infrastructure 2

VPN Global Settings

ダイナミック マルチポイント VPN(DMVPN)

「DMVPN について」を参照してください。

IKE Proposal

IPsec Proposal

Preshared Key 1

GRE Modes

Public Key Infrastructure 2

VPN Global Settings

大規模 DMVPN

「大規模 DMVPN の設定」を参照してください。

IKE Proposal

IPsec Proposal

Preshared Key 1

GRE Modes

Server Load Balance

Public Key Infrastructure 2

VPN Global Settings

Easy VPN

「Easy VPN について」を参照してください。

IKE Proposal

IPsec Proposal

Client Connection Characteristics

User Group(VPN トポロジ内の IOS ルータまたは PIX 6.3 ハブで必須)

Connection Profiles(VPN トポロジ内の PIX 7+ または ASA ハブ デバイスで必須)

Public Key Infrastructure 2

VPN Global Settings

GET VPN

「Group Encrypted Transport(GET)VPN について」を参照してください。

Group Encryption

IKE Proposal for GET VPN

Preshared Key

Public Key Infrastructure

Global Settings for GET VPN

1. Preshared Key ポリシーは、IKE 認証方式が事前共有キーである場合にだけ必須です。

2. Public Key Infrastructure ポリシーは、IKE 認証方式が RSA の署名である場合にだけ必須です。

関連項目

「VPN トポロジの作成または編集」

「各 IPsec テクノロジーでサポートされるデバイスについて」

「VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定」

「VPN トポロジについて」

「共通サイト間 VPN ポリシーの設定」

「ポリシーについて」

サイト間 VPN ポリシーの概要

サイト間 VPN ポリシーにアクセスするには、[Tools] > [Site-To-Site VPN Manager] を選択するか、またはツールバーの [Site-To-Site VPN Manager] ボタンをクリックして、[Site-to-Site VPN] ウィンドウのポリシー セレクタで必要なポリシーを選択します。また、デバイス ビューまたはポリシー ビューからサイト間 VPN ポリシーにアクセスすることもできます。詳細については、「サイト間 VPN トポロジおよびポリシーへのアクセス」を参照してください。

次に、すべてのサイト間 VPN ポリシーの要約を示します。このなかには、共有ポリシーとして作成できないポリシーもあります。一部のポリシーは、リモート アクセスとサイト間 VPN の両方で使用されるため、「リモート アクセス VPN ポリシー リファレンス」で説明されています。ただし、これらのポリシーは、それぞれのタイプの VPN 用に別の設定する必要があります。

「[Client Connection Characteristics] ページ」

Connection Profiles。「[Connection Profiles] ページ」を参照してください。

「[Easy VPN IPsec Proposal] ページ」

「[GRE Modes] ページ」

Group Encryption ポリシー。「GET VPN グループ暗号化の定義」を参照してください。

[Group Members] ページ。「GET VPN グループ メンバーの設定」を参照してください。

「[IKE Proposal] ページ」

IKE Proposal for GET VPN。「GET VPN の IKE プロポーザルの設定」を参照してください。

「[IPsec Proposal] ページ」

[Key Servers] ページ。「GET VPN キー サーバの設定」を参照してください。

Peers。「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

「[Preshared Key] ページ」

「[Public Key Infrastructure] ページ」

「[Server Load Balance] ページ」

「[User Group Policy] ページ」

「[VPN Global Settings] ページ」

Global Settings for GET VPN。「GET VPN のグローバル設定」を参照してください。

各 IPsec テクノロジーでサポートされるデバイスについて

各 IPsec テクノロジーでは、異なるデバイスがトポロジのメンバーとしてサポートされます。次の表に、基本的なデバイスのサポートについて示します。これらの要件は、VPN のデバイスを選択する場合に適用されます。場合によっては、デバイス リストは、サポートされているデバイスだけを表示するようフィルタリングされています。また、デバイスは、1 つのロール(スポークなど)としてはサポートされているが、他のロールとしてはサポートされていないことがあります。このような場合は、誤ったデバイス タイプを選択する可能性がありますが、変更内容を保存できないようになっています(メッセージが表示され、具体的な問題の説明が示されます)。

 

表 21-2 各 IPsec テクノロジーでサポートされるデバイス

テクノロジー
サポートされるプラットフォーム

通常の IPsec

「IPsec トンネル ポリシーについて」を参照してください。

通常の IPsec ポリシーは、Cisco IOS セキュリティ ルータ、PIX ファイアウォール、Catalyst VPN サービス モジュール、および ASA デバイスに設定できます。

IPsec/Generic Routing Encapsulation(GRE)

「GRE について」を参照してください。

GRE ポリシーは、Cisco IOS セキュリティ ルータおよび Catalyst 6500/7600 デバイスに設定できます。

GRE ダイナミック IP

「動的にアドレス指定されるスポークの GRE 設定について」を参照してください。

GRE ダイナミック IP は、Cisco IOS セキュリティ ルータおよび Catalyst 6500/7600 デバイスに設定できます。

ダイナミック マルチポイント VPN(DMVPN)

「ダイナミック マルチポイント VPN(DMVPN)」を参照してください。

DMVPN 設定は、Cisco IOS 12.3T 以降のデバイスでサポートされます。

大規模 DMVPN

「大規模 DMVPN の設定」を参照してください。

大規模 DMVPN 設定は、Catalyst 6500/7600 デバイス(IPsec ターミネータ)および Cisco IOS 12.3T 以降のデバイスでサポートされます。

Easy VPN

「Easy VPN」を参照してください。

Easy VPN サーバには、Cisco IOS セキュリティ ルータ、Catalyst 6500/7600(およびサポートされている VPN サービス モジュールまたはポート アダプタ)、PIX ファイアウォール、または ASA デバイスを使用できます。

Easy VPN クライアントは、PIX 6.3 を実行する PIX 501、506、506E Firewall、Cisco 800 ~ 3900 シリーズ ルータ、および OS バージョン 7.2 以降を実行する ASA 5505 デバイスでサポートされます。

[GET VPN]

「Group Encrypted Transport(GET)VPN」を参照してください。

キー サーバは、次のデバイスに設定できます。

Cisco IOS ソフトウェア Release 12.4(15)T 以降を実行する Cisco 1800、2800、3800 シリーズ ISR、Cisco 7200 シリーズ ルータ、および Cisco 7301 ルータ

Release 15.0 以降を実行する Cisco 1900、2900、3900 シリーズ ISR

グループ メンバーは、Cisco 1800、1900、2800、2900、3800、3900 シリーズ ISR、Cisco 7200 シリーズ ルータ、および Cisco 7301 ルータに設定できます。必要最小限のソフトウェア リリース要件は同じです。展開された GET VPN の IPsec SA の数が非常に少ない場合(1 ~ 3 の場合)は、Cisco 871 ISR もグループ メンバーとして使用できます。さらに、Release 2.3(12.2(33)XNC)以降を使用する Cisco ASR ルータもグループ メンバーとして設定できます。

関連項目

「VPN トポロジの作成または編集」

「サイト間 VPN の必須ポリシーおよびオプションのポリシーについて」

「VPN に管理対象外デバイスやシスコ製以外のデバイスを組み込む」

「VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定」

「VPN トポロジについて」

「共通サイト間 VPN ポリシーの設定」

「ポリシーについて」

VPN に管理対象外デバイスやシスコ製以外のデバイスを組み込む

VPN には、Security Manager で管理できないデバイスや、Security Manager では管理しないデバイスが含まれることがあります。これらの機能は、次のとおりです。

Security Manager ではサポートされているが、ユーザの組織が担当していないシスコ デバイス。たとえば、VPN に、社内の他の組織が管理するネットワーク内のスポークが含まれる場合があります。

シスコ製以外のデバイス。Security Manager を使用して、シスコ製以外のデバイスに対する設定を作成したり、展開したりすることはできません。

これらのデバイスは、「管理対象外」デバイスとして、Security Manager インベントリに組み込むことができます。これらのデバイスは、VPN トポロジ内でエンドポイントとして機能できますが、Security Manager でデバイスから設定を検出したり、デバイスに設定を展開したりすることはできません。

VPN トポロジに管理対象外デバイスを追加する前に、次の作業を実行する必要があります。

「手動定義によるデバイスの追加」の手順に従って、デバイス インベントリに管理対象外デバイスとして手動でデバイスを追加します。次の項目を選択する必要があります。

VPN でサポートされているテクノロジーという観点から、追加するデバイスに対応するシスコ デバイス タイプを選択します。デバイス タイプによって、デバイスを追加できる VPN トポロジのタイプが決まります。たとえば、GRE や DMVPN では、1800 シリーズや 2800 シリーズなどのサービス統合型ルータを選択できます。Easy VPN では、必要に応じて ASA デバイスや PIX デバイスも選択できます。

[Manage in Cisco Security Manager] オプションの選択を解除します。デフォルトではすべての新規デバイスが管理対象デバイスとなるため、この操作は重要です。デバイスの追加時にこの操作を行わなかった場合には、あとで [Device Properties] の [General] タブ(デバイスを右クリックして、[Device Properties] を選択)でこのオプションの選択を解除できます。

デバイスのインターフェイス ポリシーを使用して、管理対象デバイスが指す外部 VPN インターフェイスを定義します。デバイスは管理対象外であるため、このポリシーに定義した内容はデバイスに設定されることはありません。単に、Security Manager の外部でデバイスに設定した内容を示すための定義です。

関連項目

「各 IPsec テクノロジーでサポートされるデバイスについて」

「VPN トポロジのデバイスの選択」

「VPN トポロジの作成または編集」

VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定

Security Manager では、必須の VPN ポリシーに対してポリシーの「出荷時のデフォルト」設定が用意されています。これらのデフォルトは汎用的な内容になっており、ご使用のネットワークに対して適切でない可能性がありますが、デフォルトを使用することによって、必要な共有ポリシーが設定されていない場合に、毎回入力し直すことなく VPN を作成できるという利点があります。このため、必須ポリシーには、独自のデフォルト VPN ポリシーを作成する必要があります。また、特定のオプションのポリシーに対してデフォルトを作成することもできます。

新しいデフォルトを設定する前に、設定する予定の VPN のタイプを検討し、デフォルトを作成できるポリシーのタイプを確認します。[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [VPN Policy Defaults] を選択します。目的の IPsec テクノロジーのタブを選択して、どのようなポリシーを利用できるかを確認します。ポリシーに出荷時のデフォルトが割り当てられている場合、またはオプションがドロップダウン リストから選択可能な場合、そのポリシーは必須です。その他のポリシーはオプションです。リモート アクセス VPN およびサイト間のエンドポイント設定用のデフォルト ポリシーを作成することもできます。選択したポリシーの横にある [View Content] ボタンをクリックして、ポリシー定義を確認します。

ヒント

VPN デフォルト ポリシーを設定すると、共有ポリシーを選択することになります。IPsec テクノロジーに従い、ポリシーごとに設定できるデフォルトは 1 つだけですが、ユーザは VPN の設定時にさまざまな共有ポリシーを選択できます。したがって、ユーザが選択できる複数の共有ポリシーを設定し、そのうち最も一般的に使用されるポリシーをデフォルト ポリシーとして設定できます。VPN 設定時にユーザがどのようにさまざまなポリシーを選択できるかの詳細については、「新しい VPN トポロジへの初期ポリシー(デフォルト)の割り当て」を参照してください。

共有ポリシーを変更すると、そのポリシーを使用しているすべての VPN に影響があることに注意してください。このため、共有ポリシーは、すべての VPN に必要な全社的変更を導入する場合に便利です。ただし、VPN を作成したあと、ユーザは共有ポリシーからローカル ポリシーに切り替えることができます。この場合は、VPN トポロジに対して個別に設定を変更する必要があります。共有ポリシーの詳細については、「ポリシー ビューにおける共有ポリシーの管理」を参照してください。

次の手順では、VPN ポリシーのデフォルトを作成する方法および使用する方法について説明します。


ステップ 1 デフォルト ポリシーを作成します。すべてのデフォルト ポリシーは、共有ポリシーです。

a. ポリシー ビュー([View] > [Policy View] を選択)で、デフォルトを設定するポリシーを選択します。ポリシーは、[Site-to-Site VPN] フォルダまたは [Remote Access VPN] フォルダにあります。

b. 共有ポリシー セレクタの下部にある [Create a Policy](+)ボタンをクリックし、ポリシーの名前を入力して、[OK] をクリックします。

c. 必要な設定を行います。選択したポリシーで利用可能な設定についての情報を参照するには、ツールバーの [Help](?)ボタンをクリックします。

d. このプロセスを繰り返して、デフォルト ポリシーを定義する各ポリシーに対して少なくとも 1 つの共有ポリシーを作成します。

ステップ 2 必要に応じて、VPN エンドポイントのデフォルトを作成します。これらのデフォルトは、VPN 接続に使用されるインターフェイス名(GigabitEthernet0/1 など)を識別する、インターフェイス ロール オブジェクトです。内部および外部 VPN インターフェイスには、それぞれ別個のロールを作成します。

a. [Tools] > [Policy Object Manager] を選択して、「[Policy Object Manager] ウィンドウ」を開きます。

b. コンテンツ テーブルから [Interface Roles] を選択します。

c. [New Object](+)ボタンをクリックし、ネットワーク内の内部または外部 VPN インターフェイスで最も一般的に使用されるインターフェイスを識別するインターフェイス名のパターンを入力して、[OK] をクリックします。

インターフェイス ロール、およびそれらの設定時に使用するワイルドカードの詳細については、「インターフェイス ロール オブジェクトについて」および「インターフェイス ロール オブジェクトの作成」を参照してください。

ステップ 3 ポリシーおよびポリシー オブジェクトをデータベースに送信します。すべての検証エラーを解決する必要があります。

Workflow 以外のモードで、[File] > [Submit] を選択します。

アクティビティ アプルーバのいない Workflow モードの場合は、[Activities] > [Approve Activity] を選択します。

アクティビティ アプルーバのいる Workflow モードの場合は、[Activities] > [Submit Activity] を選択します。アクティビティが承認されるまでは、ポリシーおよびオブジェクトをデフォルトとして選択できません。

ステップ 4 新しく設定したポリシーおよびポリシー オブジェクトを VPN ポリシーのデフォルトとして選択します。

a. [Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [VPN Policy Defaults] を選択します(「[VPN Policy Defaults] ページ」を参照)。

b. 適切なタブを選択して、デフォルトを設定した必須またはオプションのポリシーそれぞれのドロップダウン リストから、設定したポリシーを選択します。

[S2S Endpoints] タブで、適切なインターフェイス ロール オブジェクトを選択します。

c. [Save] をクリックして、デフォルトを保存します。

次回ユーザが Create VPN ウィザードを実行すると、選択したデフォルトがウィザードのデフォルトとして使用されます。ユーザは、他の任意の共有ポリシーまたはインターフェイス ロールを選択して、デフォルトを上書きできます。


 

デバイスのオーバーライドを使用した VPN ポリシーのカスタマイズ

多くの VPN ポリシーでは、設定で Security Manager ポリシー オブジェクトが使用されます。ポリシー オブジェクトとは、再利用可能な設定を作成できるコンテナを指します。

VPN ポリシーは VPN トポロジ内のすべてのデバイスに適用されるため、VPN トポロジ内の特定のデバイスのポリシーで使用されるポリシー オブジェクトを変更する必要がある場合があります。場合によっては、トポロジ内のすべてのデバイスを変更する必要があることもあります。このような変更は、ポリシー オブジェクトに対するデバイスレベルのオーバーライドを使用して行います。

たとえば、PKI ポリシーを定義する場合は、PKI 登録オブジェクトを選択する必要があります。VPN のハブでスポークとは異なる CA サーバが使用されている場合は、デバイスレベルのオーバーライドを使用して、ハブで使用されている CA サーバを指定する必要があります。PKI ポリシーでは単一の PKI 登録オブジェクトが参照されますが、ハブの場合、定義するデバイスレベルのオーバーライドに基づいて、このオブジェクトで表される実際の CA サーバが異なるものとなります。

ポリシー オブジェクトのオーバーライドをイネーブルにするには、ポリシー オブジェクト定義で [Allow Override per Device] オプションを選択する必要があります。その後、デバイスレベルのオーバーライドを作成できます。デバイス レベルでの VPN ポリシー オブジェクトのオーバーライドの詳細については、次の項を参照してください。

「個々のデバイスのポリシー オブジェクト オーバーライドについて」

「ポリシー オブジェクトの上書きの許可」

「単一デバイスのオブジェクト オーバーライドの作成または編集」

「複数デバイスのオブジェクト オーバーライドの一括での作成または編集」

VRF 対応 IPsec について

ピアツーピア VPN を展開する場合、ルーティング テーブルの分離、および重複したアドレスの使用が障害となります。アドレスの重複は、通常、お客様のネットワークのプライベート IP アドレスを使用することが原因で起こります。この問題は、Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)VPN への IPsec トンネルのマッピングを導入する VRF 対応 IPsec 機能を使用することで解決できます。

VRF 対応 IPsec 機能を使用することによって、単一のパブリック向けアドレスを使用して、IPsec トンネルを Virtual Routing and Forwarding(VRF)インスタンスにマッピングできます。VRF インスタンスでは、Provider Edge(PE; プロバイダー エッジ)ルータに接続されたカスタマー サイトの VPN メンバーシップが定義されます。VRF は、IP ルーティング テーブル、派生 Cisco Express Forwarding(CEF; シスコ エクスプレス フォワーディング)テーブル、転送テーブルを使用するインターフェイスのセット、ルーティング テーブルに含まれる情報を制御する規則およびルーティング プロトコル パラメータのセットで構成されています。ルーティング テーブルおよび CEF テーブルのセットは、MPLS/VPN ネットワーク全体で VPN カスタマーごとに保持されます。

各 VPN は、ルータに独自のルーティング テーブルおよび転送テーブルを持っているため、VPN に属するすべての顧客またはサイトは、そのテーブルに含まれているルートのセットにだけアクセスできます。すべての PE ルータには、VPN ごとに数多くのルーティング テーブルと、プロバイダー ネットワーク内の他のルータに到達するのに使用できる 1 つのグローバル ルーティング テーブルが保持されています。事実上、数多くの仮想ルータが単一の物理ルータに作成されます。MPLS コアから他の PE ルータへのルート全体にわたり、Route Distinguisher(RD; ルート識別子)などの一意の VPN 識別子を追加することによって、このルーティングの分離は維持されます。


) VRF 対応 IPsec は、リモート アクセス VPN のデバイスにも設定できます。詳細については、「リモート アクセス VPN の IPsec プロポーザルについて」を参照してください。


Security Manager では、ハブアンドスポーク VPN トポロジに VRF 対応 IPsec を設定できます。この場合、すべての機能を提供する単一のデバイスを使用することも(「1 ボックス」ソリューション)、それぞれが機能の一部を提供する複数のデバイスを使用することもできます(「2 ボックス」ソリューション)。1 つのデバイスですべての機能を提供するソリューションは、システムに過負荷がかかり、パフォーマンスに悪影響がある可能性があります。一方、2 ボックス ソリューションで機能を分離すると、各機能のスケーラビリティを高めることができます。

ここでは、次の内容について説明します。

「VRF 対応 IPsec 1 ボックス ソリューション」

「VRF 対応 IPsec 2 ボックス ソリューション」

「Catalyst スイッチおよび 7600 デバイスにおける VRF のイネーブル化およびディセーブル化」

VRF 対応 IPsec の設定の詳細については、「VRF 対応 IPsec の設定」を参照してください。

VRF 対応 IPsec 1 ボックス ソリューション

1 ボックス ソリューションでは、IPsec トンネルの終端が Cisco IOS ルータとなり、このルータが Provider Edge(PE; プロバイダー エッジ)デバイスとして機能します。PE デバイスは、これらのトンネルを適切な MPLS/VPN ネットワークにマッピングし、Customer Edge(CE; カスタマー エッジ)デバイスとの間で IPsec 暗号化および復号化を実行することによって IPsec Aggregator として機能します。


) PE デバイスと MPLS クラウドとの間のルーティングの設定は、Cisco IP Solution Center によって行われます。『Cisco IP Solution Center MPLS VPN User Guide』を参照してください。


図 21-4に、1 ボックス ソリューションのトポロジを示します。

図 21-4 VRF 対応 IPsec 1 ボックス ソリューション

 

関連項目

「VRF 対応 IPsec について」

「VRF 対応 IPsec の設定」

「エンドポイントおよび保護対象ネットワークの定義」

VRF 対応 IPsec 2 ボックス ソリューション

2 ボックス ソリューションでは、PE デバイスは MPLS マッピングだけを行います。CE との間の IPsec 暗号化および復号化は、別の IPsec Aggregator によって行われます。


) Security Manager は、PE デバイスへのルーティングも含め、IPsec Aggregator を完全に管理します。PE デバイスは、Cisco IP Solution Center によって完全に管理されます。これには、PE デバイスと MPLS クラウドとの間のルーティングや、PE から IPsec Aggregator へのルーティングが含まれます。詳細については、『Cisco IP Solution Center MPLS VPN User Guide』を参照してください。


図 21-5に、2 ボックス ソリューションのトポロジを示します。

図 21-5 VRF 対応 IPsec 2 ボックス ソリューション

 

2 ボックス ソリューションを使用して、次のように VPN トポロジのデバイスに VRF 対応 IPsec を設定します。

1. IPsec Aggregator と PE デバイスとの間の接続を設定します。

ハブアンドスポーク VPN トポロジを作成して、それに IPsec テクノロジーを割り当てます。このトポロジでは、ハブは IPsec Aggregator です。スポークは、Cisco IOS ルータ、PIX ファイアウォール、Catalyst VPN サービス モジュール、または Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)デバイスです。IPsec Aggregator は、セキュリティ ルータまたは Catalyst VPN サービス モジュールです。次に、ハブに VRF パラメータ(VRF 名および一意のルート識別子)を定義します。


) VRF 対応 IPsec では、Cisco IOS ルータおよび Catalyst VPN サービス モジュールへの IPsec、GRE、または Easy VPN テクノロジーの設定がサポートされています。DMVPN は、Cisco IOS ルータでだけサポートされています。


2. IPsec Aggregator と PE デバイスとの間の VRF 転送インターフェイス(または Catalyst VPN サービス モジュールの VLAN)を指定します。

3. IPsec Aggregator と PE との間で使用するルーティング プロトコルおよび Autonomous System(AS; 自律システム)番号を定義します。使用可能なルーティング プロトコルには、BGP、EIGRP、OSPF、RIPv2、スタティック ルートがあります。

IPsec Aggregator と PE との間に定義されたルーティング プロトコルが、保護された IGP で使用されるルーティング プロトコルと異なる場合、ルーティングはこのルーティング プロトコルと AS 番号を使用して保護された IGP に再配布されます。ルーティングは、保護された IGP から PE にも再配布されます。


) ルーティングの再配布は、選択されたテクノロジーが IPsec/GRE または DMVPN の場合にだけ関連します。


関連項目

「VRF 対応 IPsec について」

「VRF 対応 IPsec の設定」

「エンドポイントおよび保護対象ネットワークの定義」

Catalyst スイッチおよび 7600 デバイスにおける VRF のイネーブル化およびディセーブル化

既存のサイト間 VPN の Catalyst スイッチおよび 7600 ハブで Virtual Routing and Forwarding(VRF)モードを変更すると、展開に失敗します。たとえば、最初に Create VPN ウィザードで VRF を設定して展開したあと、Peers ポリシーに戻って [Enable VRF Settings] チェックボックスの選択を解除すると、展開に失敗します(この設定は [Edit Endpoints] ダイアログボックスの [VRF Aware IPSec] タブにあります。「VRF 対応 IPsec の設定」を参照してください)。同様に、最初に VRF を設定していない VPN で VRF のイネーブル化を試みても、展開に失敗します。

Catalyst 6500/7600 では、VPN の動作中には VRF モードを変更できません。この制限は、Catalyst 6500/7600 ハブに対してだけ適用されます。他のデバイス タイプには適用されません。

この制限は、VRF 設定自体に加えられる変更には適用されません。たとえば、VPN トポロジに VRF が設定されている場合、Peers ポリシーに戻って VRF 名やルート識別子を変更することができます。

VPN の VRF モードを変更する必要がある場合に、Catalyst 6500/7600 デバイスをハブとして使用しているときは、次の手順を実行します。

関連項目

「VRF 対応 IPsec について」

「VRF 対応 IPsec 1 ボックス ソリューション」

「VRF 対応 IPsec 2 ボックス ソリューション」


ステップ 1 Security Manager から VPN トポロジを削除します。

ステップ 2 変更を展開します。

ステップ 3 Catalyst 6500/7600 デバイスをリロード(再起動)します。

ステップ 4 Security Manager でデバイスを右クリックして、[Discover Policies on Device] を選択します。完全なポリシー再検出を実行します。

ステップ 5 Create VPN ウィザードを開いて、VPN トポロジを再定義します。これで、異なる VRF モードを選択できるようになりました。「VRF 対応 IPsec の設定」および「VPN トポロジの作成または編集」を参照してください。


 

サイト間 VPN トポロジおよびポリシーへのアクセス

次の方法を使用して、サイト間 VPN トポロジおよびポリシーへのアクセスおよび設定を行うことができます。

Site-to-Site VPN Manager :VPN トポロジを設定するための主要なツールです。Security Manager で設定されているすべてのサイト間 VPN のリストを表示して、それらの設定やポリシー(デバイス メンバーシップを含む)を編集できます。このツールの使用方法の詳細については、「[Site-to-Site VPN Manager] ウィンドウ」を参照してください。

デバイス ビューの [Site-to-Site VPN] ポリシー :デバイス ビューでデバイスを選択すると、ポリシー セレクタで [Site-to-Site VPN] ポリシーを選択して、デバイスが参加しているすべてのサイト間 VPN のリストを表示し、それらのトポロジを編集できます。新しい VPN を作成したり、VPN を選択して Site-to-Site VPN Manager を開き、選択した VPN のポリシーを編集したりすることもできます。このデバイス ビューのポリシーは、実質的には Site-to-Site VPN Manager へのショートカットです。このポリシーの使用方法の詳細については、「デバイス ビューにおける VPN トポロジの設定」を参照してください。

ポリシー ビューの [Site-to-Site VPN] フォルダ :ポリシー ビューは、共有ポリシーを作成する場合に使用します。多くのサイト間 VPN ポリシーは、共有可能です。したがって、Site-to-Site VPN Manager でトポロジを設定するときに、複数の VPN トポロジに割り当てることができる共有ポリシーを設定できます。「VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定」に説明したように、共有ポリシーを Create VPN ウィザードのデフォルトとして設定できます。

[Site-to-Site VPN Manager] ウィンドウでも、デバイス ビューのローカル ポリシーから作成する場合と同様に共有ポリシーを作成できますが、[Site-to-Site VPN Manager] ウィンドウにおいては、共有に関するすべてのコマンドは右クリックして表示されるコンテキスト メニューからだけ利用できます(共有可能ポリシーを右クリックします)。

ポリシー ビューにおける共有ポリシー作成の詳細については、「ポリシー ビューにおける共有ポリシーの管理」を参照してください。

[Site-to-Site VPN Manager] ウィンドウ

Site-to-Site VPN Manager には、Security Manager で設定されたすべてのサイト間 VPN が表示されます。ウィンドウの左上ペインにある VPN セレクタには、既存の VPN トポロジがすべて表示されます(「VPN トポロジについて」を参照)。アイコンは、VPN のタイプ(ハブアンドスポーク、ポイントツーポイント、または完全メッシュ)を示します。トポロジを表示または編集するには、トポロジを選択します。これにより、左下ペインのポリシー セレクタにそのポリシーがロードされます。ポリシーを選択すると、その定義が右側のペインに表示されます。

Site-to-Site VPN Manager を開くには、ツールバーの [Site-To-Site VPN Manager] ボタンをクリックするか、または [Tools] > [Site-To-Site VPN Manager] を選択します。

[Site-to-Site VPN Manager] ウィンドウを使用して、次のことを行うことができます。

VPN トポロジを作成、編集、および削除します。

VPN トポロジを作成するには、VPN セレクタの上にある [Create VPN Topology](+)ボタンをクリックし、表示されるオプションから、作成するトポロジのタイプを選択します。これにより、Create VPN ウィザードが開きます。詳細については、「VPN トポロジの作成または編集」を参照してください。

VPN トポロジを編集するには、トポロジを選択して [Edit VPN Topology](鉛筆)ボタンをクリックするか、またはトポロジを右クリックして [Edit] を選択します。これにより、[Edit VPN] ダイアログボックスが開きます。このダイアログ ボックスには、Create VPN ウィザードと同様のページがタブ形式のレイアウトで表示されます。

VPN トポロジを削除するには、トポロジを選択して [Delete VPN Topology](ゴミ箱)アイコンをクリックするか、またはトポロジを右クリックして [Delete] を選択します。削除の確認が求められます。「VPN トポロジの削除」を参照してください。

各 VPN トポロジについての詳細情報を表示します。トポロジを選択して、[VPN Summary] ポリシーを選択します。「VPN トポロジの設定の概要の表示」を参照してください。

VPN トポロジに定義されたエンドポイントを表示および設定します。エンドポイントは、VPN トポロジ編集時に [Endpoints] タブで確認するか、または [Peers] ポリシーを選択して確認します。GET VPN トポロジの場合、Peers ポリシーはありません。代わりに、Key Servers ポリシーと Group Members ポリシーを使用して、エンドポイントを表示および設定します。

VPN トポロジに割り当てられたポリシーの表示と編集、共有ポリシーの割り当て、または既存のポリシーからの共有ポリシーの作成を行います。個別のポリシーの詳細については、「サイト間 VPN ポリシーの概要」を参照してください。

Site-to-Site VPN Manager から共有ポリシーを設定する場合のオプションおよび方法は、デバイス ビューから設定する場合と同じです。これについては、「デバイス ビューまたは Site-to-Site VPN Manager における共有ポリシーの使用」および「ポリシー バナーの使用」の項で説明しています。ポリシーの共有、割り当て、割り当て解除、割り当ての編集、および名前の変更を行うことができますが、VPN ポリシーの継承はできません。これらのタスクを実行するには、VPN トポロジを選択し、目的のポリシーを右クリックして、必要なコマンドを選択します。

ポリシー ビューを使用して共有 VPN ポリシーを設定することもできます。

デバイス ビューにおける VPN トポロジの設定

デバイスが属するサイト間 VPN トポロジがある場合は、デバイス ビューの Site-to-Site VPN ポリシーを使用して、サイト間 VPN トポロジを表示および編集できます。VPN ポリシーを編集したり、デバイスがトポロジに参加するかどうかを変更したりできます。また、新しい VPN トポロジを作成することもできます。

このポリシーは、実質的には Site-to-Site VPN Manager へのアクセス ポイントです(「[Site-to-Site VPN Manager] ウィンドウ」を参照)。

このポリシーを開くには、デバイス ビューで目的のデバイスを選択して、ポリシー セレクタから [Site-to-Site VPN] を選択します。

VPN トポロジ テーブルには、このデバイスが属するすべてのサイト間 VPN が表示されます。VPN のタイプ、その名前、IPsec テクノロジー、説明などの情報が表示されます。

VPN を追加するには、[Create VPN Topology] ボタンをクリックするか、またはテーブルで右クリックして [Create VPN Topology] を選択します。これにより、Create VPN ウィザードが開きます(「VPN トポロジの作成または編集」を参照)。

VPN を編集するには、VPN を選択して [Edit VPN Topology] ボタンをクリックするか、VPN を右クリックして [Edit VPN Topology] を選択するか、または単にエントリをダブルクリックします。これにより、[Edit VPN] ダイアログボックスが開きます。このダイアログボックスは、Create VPN ウィザードのタブ形式バージョンです(「VPN トポロジの作成または編集」を参照)。

VPN のポリシーを編集するには、VPN を選択して、[Edit VPN Policies] ボタンをクリックします。VPN トポロジについての情報が表示された [Site-to-Site VPN Policies] ウィンドウが開きます。ポリシー セレクタから目的のポリシーを選択して、編集します。

VPN を削除するには、VPN を選択して [Delete VPN Topology] ボタンをクリックしするか、または VPN を右クリックして [Delete VPN Topology] を選択します。削除の確認が求められます。詳細については、「VPN トポロジの削除」を参照してください。

サイト間 VPN ディスカバリ

すでにネットワークに展開されている VPN トポロジを検出して、それらを Security Manager を使用して管理できます。VPN 設定が Security Manager に取り込まれて、サイト間 VPN ポリシーとして表示されます。

すでに Security Manager によって管理されている既存の VPN トポロジの設定を再検出することもできます。サイト間 VPN の再検出の詳細については、「サイト間 VPN の再検出」を参照してください。


) また、すでにネットワークに展開されているリモート アクセス VPN のデバイスの設定も検出できます。「リモート アクセス VPN ポリシーの検出」を参照してください。


次の各項では、サイト間 VPN ディスカバリについて説明します。

「VPN ディスカバリでサポートされる、およびサポートされないテクノロジーとトポロジ」

「VPN ディスカバリの前提条件」

「VPN ディスカバリ規則」

「サイト間 VPN の検出」

「検出された、複数のスポーク定義を持つ VPN の定義または修復」

「サイト間 VPN の再検出」

VPN ディスカバリでサポートされる、およびサポートされないテクノロジーとトポロジ

ここでは、Security Manager で検出できるテクノロジーとトポロジ、および Security Manager によってプロビジョニングされるが検出できない VPN 機能について説明します。

VPN ディスカバリでサポートされるテクノロジー

IPsec

IPsec + GRE

IPsec + GRE ダイナミック IP

DMVPN

Easy VPN

GET VPN

VPN ディスカバリでサポートされるトポロジ

ポイントツーポイント

ハブアンドスポーク

完全メッシュ

Security Manager によってプロビジョニングされるが VPN ディスカバリではサポートされていない VPN 機能

IPsec ターミネータを使用した大規模 DMVPN(高集中ハブ)

VRF 対応 IPsec

ダイヤル バックアップ

Easy VPN の IPsec および ISAKMP プロファイル

ハイ アベイラビリティ Easy VPN

Security Manager を使用してこれらのタイプのポリシーを定義および展開すると、検出されなかったデバイス設定がポリシーによって上書きされます。したがって、Security Manager で既存の設定を管理する場合には、既存の設定と可能なかぎり一致するようにポリシーを定義する必要があります([Tools] > [Preview Configuration] を使用して、展開前に結果を確認します)。VPN のプロビジョニング メカニズムでは、(既存の設定の内容が Security Manager で設定されたポリシーに一致すると想定して)可能なかぎり既存の設定の内容が利用されますが、CLI コマンドで使用される命名規則は維持されません。

関連項目

「VPN ディスカバリの前提条件」

「VPN ディスカバリ規則」

「サイト間 VPN の検出」

VPN ディスカバリの前提条件

正常に VPN を検出するためには、次の前提条件を満たしている必要があります。

VPN に参加するすべてのデバイスを Security Manager インベントリに追加する必要があります。

Security Manager で、VPN に関するいくつかの基本的な情報を指定する必要があります。VPN ディスカバリ ウィザードでは、次の情報の入力を求められます。

VPN トポロジ(ハブアンドスポーク、ポイントツーポイント、完全メッシュ)。

VPN テクノロジー(通常の IPsec、IPsec/GRE、GRE ダイナミック IP、DMVPN、Easy VPN、GET VPN)。

VPN 内のデバイスおよびそのロール(ハブまたはスポーク)。

VPN 設定のソース。VPN は、ライブ ネットワークから直接検出することも、Security Manager の Configuration Archive から検出することもできます。

VPN の各デバイスでは、物理インターフェイスにクリプト マップが関連付けられている必要があります。

VPN トポロジ内のルーティング プロトコルとして OSPF を使用する場合は、VPN 内のすべてのデバイスで同じ OSPF プロセス番号を使用する必要があります。

Easy VPN トポロジ内の各 PIX 6.3 または ASA 5505 クライアント デバイスに VPN クライアント設定が必要です。

関連項目

「VPN ディスカバリでサポートされる、およびサポートされないテクノロジーとトポロジ」

「VPN ディスカバリ規則」

「サイト間 VPN の検出」

VPN ディスカバリ規則

次の表に、Security Manager が VPN 設定を変換および検出する場合の規則、およびデバイスの設定が Security Manager によってサポートされている設定と一致しない場合の処理方法について示します。

 

表 21-3 VPN ディスカバリ規則

条件
VPN ディスカバリの処理

Security Manager が、ライブ デバイス検出のために VPN 内のデバイスに接続できない

デバイスが VPN 内の唯一のハブまたはスポークである場合、検出は失敗します。

VPN 内に他のハブやスポークがある場合、検出は進行しますが、利用できないデバイスは検出されません。

デバイスがポイントツーポイント トポロジのピアである場合、検出は失敗します。

デバイスが完全メッシュ トポロジのピアであり、利用できないデバイスを含めてトポロジ内にデバイスが 2 つしかない場合、検出は失敗します。3 つ以上のデバイスがある場合、検出は進行しますが、利用できないデバイスは検出されません。

VPN 内のデバイス全体において、VPN 設定のポリシーまたは値に不整合がある

ハブとスポークの値が異なる場合は、ハブの値が優先されます。

いくつかのポリシーまたは値の候補から単に 1 つのポリシーや値を選択するだけで済み、機能的な問題が発生しない場合には、Security Manager によってすべてのデバイスに共通するポリシーまたは値が 1 つ選択されます。たとえば、デバイスには複数の IKE ポリシーを設定できますが、VPN では単一の IKE ポリシーだけを選択できます。

1 つの値を選択すると機能的な問題が発生する場合は、ポリシーに対して値が検出されず、展開時に確認メッセージが表示されます。

数値が異なる場合は、検出中にメッセージが表示され、小さい方の値が検出されます。たとえば、IPsec ポリシーにおいては、最小の SA ライフタイム値が検出されます。

上記いずれも実行できない場合、VPN ディスカバリは失敗します。

事前共有キー設定で、ピアのセットごとに異なるキーが存在する

Preshared Key ポリシーは検出されません。Security Manager では、すべてのデバイスで事前共有キーの値が同じ場合にだけ Preshared Key ポリシーが検出されます。

デバイスに複数のクリプト マップ候補が存在する

VPN ディスカバリで選択されたすべてまたは大部分のデバイスに関連付けられているクリプト マップが使用されます。

スポークに、ハブに関連付けられたクリプト マップがない

VPN ディスカバリは進行しますが、スポークは検出されず、エラー メッセージが表示されます。

デバイスに、選択されたトランスフォーム セット値がない

VPN ディスカバリは進行しますが、デバイスは VPN トポロジから削除されることがあります。

デバイスに、選択された IKE プロポーザルがない

VPN ディスカバリは進行しますが、デバイスは VPN トポロジから削除されることがあります。

デバイスで DVTI がサポートされているが、DVTI またはクリプト マップが設定されていない

VPN ディスカバリは失敗します。

サーバで DVTI がサポートされているが、DVTI 設定に IP アドレスが設定されていない

VPN ディスカバリは進行しますが、警告が表示されます。

クライアントで DVTI がサポートされていない

ハブに DVTI が設定されている場合は、警告やエラーは表示されずに検出が進行します。

ハブアンドスポーク トポロジで、スポークがハブと同じ VPNSPA/VSPA スロットを使用していない(Catalyst 6500/7600)

VPN ディスカバリは失敗します。

キー サーバとグループ メンバーの同一のセットが複数の GET VPN に参加している

Security Manager では、トポロジのうち 1 つだけが検出されます。

User Group ポリシーで、IP アドレスではなくホスト名を使用してバックアップ サーバが設定されている

VPN ポリシー検出は失敗し、次のエラーが表示されます。

Policy Discovery Failed: com.cisco.nm.vms.discovery.DiscoveryException: Internal Error

正常に検出を行うには、ホスト名ではなく IP アドレスを使用して、デバイスの User Group ポリシーのバックアップ サーバを再設定する必要があります。

関連項目

「VPN ディスカバリでサポートされる、およびサポートされないテクノロジーとトポロジ」

「VPN ディスカバリの前提条件」

「サイト間 VPN の検出」

「サイト間 VPN の再検出」

サイト間 VPN の検出

ここでは、すでにネットワークで稼動しているが、Security Manager には定義されていないサイト間 VPN を検出する方法について説明します。

関連項目

「サイト間 VPN の検出」

「ポリシーの検出」

「VPN ディスカバリでサポートされる、およびサポートされないテクノロジーとトポロジ」

「VPN ディスカバリの前提条件」

「VPN ディスカバリ規則」

「各 IPsec テクノロジーでサポートされるデバイスについて」

「VPN に管理対象外デバイスやシスコ製以外のデバイスを組み込む」


ステップ 1 [Policy] > [Discover VPN Polices] を選択して、Discover VPN Policies ウィザードの [Name and Technology] ページを開きます。

ステップ 2 次の情報を指定します。

[VPN Name]:検出する VPN の名前です。

[Description]:VPN の説明です(任意)。

[Topology]:検出する VPN のタイプ([Hub and Spoke]、[Point to Point]、または [Full Mesh])です。

[IPsec Technology]:VPN に割り当てられている IPsec テクノロジー(通常の IPsec、IPsec/GRE、GRE ダイナミック IP(サブテクノロジー)、DMVPN、Easy VPN、または GET VPN)です。選択するトポロジに応じて、このリストで利用可能な内容が変わります。

IPsec/GRE を選択した場合は、[Standard](IPsec/GRE 用)または [Spokes with Dynamic IP](GRE ダイナミック IP の設定用)のいずれかのタイプも指定する必要があります。

[Discover From]:VPN は、ネットワークから直接検出することも、Configuration Archive から検出することもできます。

[Network]:Security Manager は、すべてのライブ デバイスに接続してデバイス設定を取得します。

[Config Archive]:ライブ デバイスではなく設定ファイルに展開する場合は、Configuration Archive からの検出を推奨します。[Configuration Archive] 内のデバイス設定の最新バージョンがすべてのデバイスに使用されます。

ステップ 3 [Next] をクリックして、Discover VPN Policies ウィザードの [Device Selection] ページを開きます。

ステップ 4 VPN に参加しているデバイス、およびそれらのデバイスの VPN 内でのトポロジ タイプに応じたロール(ハブ、スポーク、ピア 1、ピア 2、キー サーバ、グループ メンバー、または単に完全メッシュ VPN で選択されるデバイス)を選択します。Easy VPN トポロジの場合は、サーバがハブ、クライアントがスポークになります。

ハブアンドスポーク VPN に 2 つ以上の IPsec ターミネータがある場合は、上向きおよび下向き矢印ボタンを使用して、プライマリ ハブがリストの先頭にくるようにします。IPsec ターミネータが 1 つだけの場合は、同じ IPsec ターミネータにいくつのハブが接続されているかに関係なく、1 つのハブをプライマリ ハブとして指定できません。

VPN のデバイスの選択の詳細については、「VPN トポロジのデバイスの選択」を参照してください。

ステップ 5 [Finish] をクリックしてウィザードを閉じ、検出プロセスを開始します。[Discovery Status] ウィンドウが開き、検出のステータスが表示されます。また、各デバイスの検出が成功したか、または失敗したかが示されます(「ポリシー検出タスクのステータスの表示」を参照)。問題の原因を示すためにエラーまたは警告メッセージが提供されます。問題の原因は、VPN に固有またはデバイスに固有の可能性があります。

検出プロセスが正常に完了し、[Discovery Status] ダイアログボックスを閉じると、[Site-to-Site VPN Manager] ウィンドウが開き、検出された VPN の概要情報が表示されます。

ステップ 6 VPN ポリシーが必要な内容となっていることを確認します。必要に応じて、ポリシーを編集します。


 

検出された、複数のスポーク定義を持つ VPN の定義または修復

各スポークに異なる定義が含まれる VPN を検出した場合(たとえば Easy VPN スポークのクライアント モードが異なる場合)、Security Manager では検出中に定義が変更されて、すべてのスポークに対して統一された定義が作成されます。Security Manager では、VPN トポロジに 1 セットのスポーク定義だけを含むことができるため、このような動作になります。

元の定義を維持する場合、または異なる定義を持つスポークで構成された新しい VPN を作成する場合は、次のいずれかの方法を実行します。

Security Manager に複数の VPN トポロジを定義し、各トポロジには、一致するスポーク定義を含むスポークを設定します。

特殊な定義を含む FlexConfig ポリシーを定義して、次の手順で説明するように、この定義を必要とするスポークにポリシーを割り当てます。

関連項目

「新しい共有ポリシーの作成」

「FlexConfig ポリシー オブジェクトの作成」

「ポリシー ビューにおけるポリシー割り当ての変更」

「サイト間 VPN ディスカバリ」

「サイト間 VPN の検出」

「VPN ディスカバリ規則」


ステップ 1 ポリシー ビューで、共有 FlexConfig ポリシーを作成します。

a. [View] > [Policy View] を選択します。

b. ポリシー タイプ セレクタで [FlexConfigs] を右クリックして、[New FlexConfigs Policy] を選択します。

c. ポリシーの名前を入力し、[OK] をクリックします。

ステップ 2 FlexConfig オブジェクトを作成および選択して、FlexConfig ポリシーを定義します。

a. ポリシー ビューの作業領域にある [Details] タブで [Add] ボタンをクリックします。

b. FlexConfigs セレクタで、ウィンドウの左下隅にある [Create] ボタンをクリックして、「[Add FlexConfig]/[Edit FlexConfig] ダイアログボックス」を開きます。

c. 必要なクライアント定義を含む追加の FlexConfig オブジェクトを定義します。たとえば、Easy VPN スポークでクライアント モードを定義するには、次のコマンドを入力します。

crypto ipsec client ezvpn CSM_EASY_VPN_CLIENT_1

mode client

exit

d. FlexConfig オブジェクトを作成したあと、セレクタを使用してこのオブジェクトを FlexConfig ポリシーに追加します。

ステップ 3 ポリシー ビューの作業領域にある [Assignments] タブを使用して、このポリシーを割り当てるスポークを選択し、[Save] をクリックします。

ステップ 4 ポリシーを展開します。


 

サイト間 VPN の再検出

ポリシーの変更をアプリケーションで再作成する必要がないように、すでに Security Manager で管理されている既存の VPN トポロジの設定を再検出できます。

Security Manager が VPN 設定を変換および検出する場合と同じ規則が再検出にも適用されます。ただし、再検出は、VPN トポロジに参加するデバイスに対してだけ実行できます。また、IPsec テクノロジーやトポロジ タイプは変更できません。VPN インターフェイスや保護対象ネットワークなどのデバイス固有のポリシー、およびハブに設定される任意の High Availability(HA; ハイ アベイラビリティ)ポリシーの設定だけを再検出できます。IKE プロポーザルや PKI 登録などの VPN グローバル ポリシーは再検出できません。また、ダイナミック VTI を使用する Easy VPN トポロジは再検出できません。

ここでは、すでに Security Manager に存在するサイト間 VPN トポロジの設定を再検出する方法について説明します。

関連項目

「サイト間 VPN の検出」

「ポリシーの検出」

「VPN ディスカバリの前提条件」

「VPN ディスカバリ規則」

「各 IPsec テクノロジーでサポートされるデバイスについて」

「VPN に管理対象外デバイスやシスコ製以外のデバイスを組み込む」


ステップ 1 [Site-to-Site VPN Manager] ウィンドウで、設定を再検出する VPN トポロジを右クリックして、[Rediscover Peers] を選択します。これにより、Rediscover VPN Policies ウィザードの [Name and Technology] ページが開きます。

このページには、トポロジのタイプ、および VPN で使用される IPsec テクノロジーが表示されますが、これらは変更できません。

ステップ 2 次の情報を指定します。

[VPN Discovery Name]:VPN 再検出ジョブの名前です。

[Description]:VPN の説明です(任意)。

[Discover From]:VPN は、ネットワークから直接再検出することも、Configuration Archive から再検出することもできます。

[Network]:Security Manager は、すべてのライブ デバイスに接続してデバイス設定を取得します。

[Config Archive]:ライブ デバイスではなく設定ファイルに展開する場合は、Configuration Archive からの再検出を推奨します。[Configuration Archive] 内のデバイス設定の最新バージョンがすべてのデバイスに使用されます。

ステップ 3 [Next] をクリックして、Rediscover VPN Policies ウィザードの [Device Selection] ページを開きます。

ステップ 4 ピア レベルのポリシーを再検出する必要があるデバイス、およびそれらのデバイスの VPN 内でのトポロジ タイプに応じたロール(ハブ、スポーク、ピア 1、ピア 2、キー サーバ、グループ メンバー、または単に完全メッシュ VPN で選択されるデバイス)を選択します。Easy VPN トポロジの場合は、サーバがハブ、クライアントがスポークになります。

ハブアンドスポーク VPN に 2 つ以上の IPsec ターミネータがある場合は、上向きおよび下向き矢印ボタンを使用して、プライマリ ハブがリストの先頭にくるようにします。IPsec ターミネータが 1 つだけの場合は、同じ IPsec ターミネータにいくつのハブが接続されているかに関係なく、1 つのハブをプライマリ ハブとして指定できません。

VPN のデバイスの選択の詳細については、「VPN トポロジのデバイスの選択」を参照してください。

ステップ 5 [Finish] をクリックしてウィザードを閉じ、再検出プロセスを開始します。[Discovery Status] ウィンドウが開き、再検出のステータスが表示されます。また、各デバイスの再検出が成功したか、または失敗したかが示されます(「ポリシー検出タスクのステータスの表示」を参照)。問題の原因を示すためにエラーまたは警告メッセージが提供されます。問題の原因は、VPN に固有またはデバイスに固有の可能性があります。

再検出プロセスが正常に完了し、[Discovery Status] ダイアログボックスを閉じると、[Site-to-Site VPN Manager] ウィンドウが開き、再検出された VPN の概要情報が表示されます。


 

VPN トポロジの作成または編集

Security Manager では、サイト間 VPN を作成するための 3 つの基本的なトポロジ タイプがサポートされています。Create VPN ウィザードを使用して、複数のデバイス タイプにまたがるハブアンドスポーク VPN トポロジ、ポイントツーポイント VPN トポロジ、または完全メッシュ VPN トポロジを作成できます。詳細については、「VPN トポロジについて」を参照してください。

VPN トポロジを作成する場合は、サイト間 VPN を構成するデバイスおよびネットワークを指定します。デバイス、デバイスのロール(ハブ、スポーク、ピア、キー サーバ、グループ メンバーなど)、VPN トンネルの送信元エンドポイントおよび宛先エンドポイントとなる VPN インターフェイス、トンネルによって保護される保護対象ネットワークを定義します。VPN トポロジを作成する場合は、トポロジに対して、定義済みのポリシーのセットが関連付けられた IPsec テクノロジー(通常の IPsec、IPsec/GRE、GRE ダイナミック IP、DMVPN、大規模 DMVPN、Easy VPN、GET VPN など)を割り当てます。「サイト間 VPN の必須ポリシーおよびオプションのポリシーについて」を参照してください。


) Create VPN ウィザードを完了すると、Security Manager によって必須ポリシーに対してデフォルトが指定されるため、すぐにトポロジを展開可能になります。ただし、Security Manager のデフォルトを使用する場合は、ご使用のネットワークでその設定が適切に動作することを確認する必要があります。詳細については、「VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定」を参照してください。


VPN トポロジを編集する場合、[Edit VPN] ダイアログボックスには([VPN defaults] ページを除いて)Create VPN ウィザードと同じページが含まれていますが、ウィザード形式ではなく、タブ形式でページがレイアウトされています。GET VPN トポロジだけは例外であり、トポロジの名前と説明だけを編集できます(トポロジの属性を変更するには、GET VPN ポリシーを編集する必要があります。「GET VPN の設定」を参照してください)。ダイアログボックスの任意のタブで [OK] をクリックすると、すべてのタブの定義が保存されます。すべてのトポロジにおいて、当初 [VPN defaults] ページに表示された必須ポリシーおよびオプションのポリシーを直接編集する必要があります。

VPN トポロジを編集することによって、トポロジのデバイス構造の変更(デバイスの追加または削除)、デバイスに定義された VPN インターフェイスおよび保護対象ネットワークの変更、または VPN に割り当てられているポリシーの変更を行うことができます。たとえば、組織において新規サイトを頻繁にオープンする場合、既存のハブアンドスポーク VPN にスポークを追加して、新しいスポークに VPN のすべてのポリシーを適用する必要があります。また、1 つのハブだけを持つ VPN にセカンダリ ハブを追加して、耐障害性を高めることもできます。VPN トポロジの編集時に、トポロジに割り当てられたポリシーを変更する必要がある場合もあります。たとえば、IKE アルゴリズムをより安全なアルゴリズムに変更したり、VPN の DES 暗号化アルゴリズムを変更してより安全にしたりします。


ヒント トポロジを作成したあとは、VPN で使用されているテクノロジーを変更することはできません。テクノロジーを変更する場合は、古い VPN を削除してから、必要なテクノロジーを使用する新しい VPN を作成します。


Create VPN ウィザードを開始する、または既存の VPN トポロジを編集するには、次の手順を実行します。

Create VPN ウィザードを開くには、[Site-to-Site VPN Manager] ウィンドウまたは [Site-to-Site VPN Policy] ページ(デバイス ビュー)で、[Create VPN Topology](+)ボタンをクリックして、作成する VPN トポロジのタイプを表示されるオプション([Hub and Spoke]、[Point to Point]、または [Full Mesh])から選択します。[Back] ボタンと [Next] ボタンを使用してページを移動します。終了したら、[Finish] をクリックして、トポロジを作成します。

[Edit VPN] ダイアログボックスを開くには、[Site-to-Site VPN Manager] ウィンドウまたは [Site-to-Site VPN Policy] ページ(デバイス ビュー)で VPN トポロジを選択して、[Edit VPN Topology](鉛筆)ボタンをクリックします。

表示されるページまたはタブ、およびその順序は、作成する VPN トポロジのタイプに応じて異なります。それらについて、次の表に示します。

 

表 21-4 Create VPN/Edit VPN ウィザードのページ

ページ
ハブアンドスポーク VPN
ポイントツーポイント VPN
完全メッシュ VPN

[Name and Technology] ページ。

「VPN トポロジの名前および IPsec テクノロジーの定義」を参照してください。

手順 1

手順 1

手順 1

[Device Selection] ページ。

「VPN トポロジのデバイスの選択」を参照してください。

手順 2

手順 2

手順 2

[Endpoints] ページ。

「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

このページから、いくつかの高度な設定を作成することもできます。詳細については、表のあとにある説明を参照してください。

手順 3

手順 3

手順 3(通常の IPsec、IPsec GRE だけ)

[High Availability] ページ。

「VPN トポロジにおけるハイ アベイラビリティの設定」を参照してください。

手順 4

--

--

[GET VPN Group Encryption Policy] ページ。

「GET VPN グループ暗号化の定義」を参照してください。

--

--

手順 3(GET VPN だけ)

[GET VPN Peers] ページ。

「GET VPN ピアの定義」を参照してください。

--

--

手順 4(GET VPN だけ)

[VPN Defaults] ページ。

「新しい VPN トポロジへの初期ポリシー(デフォルト)の割り当て」を参照してください。

手順 5

手順 4

手順 4(GET VPN では手順 5)

[Synchronize Keys] ダイアログボックス。GET VPN で Create VPN ウィザードを完了するときに、キーを同期するかどうかを尋ねられます。[Yes] をクリックすると、プロセスが開始されます。

「RSA キーの生成と同期」を参照してください。

--

--

手順 6(GET VPN だけ)

VPN トポロジの作成中または作成後、エンドポイント編集時に、次の高度な設定を作成することもできます。

ハブアンドスポーク トポロジでの、ハブにおける VRF 対応 IPsec(「VRF 対応 IPsec の設定」を参照)

ハブアンドスポーク VPN トポロジ、ポイントツーポイント VPN トポロジ、または完全メッシュ VPN トポロジでの、Catalyst 6500/7600 における VPNSM または VPNSPA/VSPA(「VPNSM または VPN SPA/VSPA エンドポイントの設定」を参照)

ハブアンドスポーク VPN トポロジ、ポイントツーポイント VPN トポロジ、または完全メッシュ VPN トポロジでの、VPN サービス モジュールまたは VPN SPA が設定された Catalyst 6500/7600 デバイスにおけるファイアウォール サービス モジュール(「VPNSM または VPNSPA/VSPA が設定されたデバイスへのファイアウォール サービス モジュール(FWSM)インターフェイスの設定」を参照)


) マップ ビューでは、VPN トポロジをそのすべての要素とともに視覚的に表現できます。詳細については、「マップ ビューにおける VPN トポロジの作成」を参照してください。


関連項目

「デバイス ビューにおける VPN トポロジの設定」

「IPsec テクノロジーおよびポリシーについて」

「ウィザードの使用」

VPN トポロジの名前および IPsec テクノロジーの定義

Create VPN ウィザードおよび [Edit VPN] ダイアログボックスの [Name and Technology] ページ(またはタブ)を使用して、VPN トポロジの名前と説明を定義します。新しいトポロジを作成するときには、トポロジに割り当てる IPsec テクノロジーを選択する必要があります。ただし、既存のトポロジを編集するときにテクノロジーを変更することはできません。

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスを開く方法については、「VPN トポロジの作成または編集」を参照してください。

次の表に、名前およびテクノロジーを定義する場合に設定可能なオプションを示します。

 

表 21-5 [Name and Technology] ページ

要素
説明

[Name]

VPN トポロジを識別する一意の名前です。

[Description]

VPN トポロジについての情報です。

[IPsec Technology]

VPN トポロジで使用される IPsec テクノロジーです。

[Regular IPsec]

[IPsec/GRE]

[DMVPN](ハブアンドスポーク VPN だけ)

[Easy VPN](ハブアンドスポーク VPN だけ)

[GET VPN](完全メッシュ VPN だけ)

(注) 既存の VPN を編集する場合は、割り当てられている IPsec テクノロジーが表示されますが、それを変更することはできません。テクノロジーを変更するには、トポロジを削除してから新しいトポロジを作成する必要があります。

Type

選択された IPsec テクノロジーが IPsec/GRE またはハブアンドスポーク トポロジにおける DMVPN の場合のテクノロジー タイプです。

[IPsec/GRE]:[Standard](IPsec/GRE)または [Spokes with Dynamic IP](GRE ダイナミック IP)を選択します。詳細については、「GRE または GRE ダイナミック IP のポリシーの設定」を参照してください。

[DMVPN]:[Standard](通常の DMVPN)または [Large Scale with IPsec Terminator](大規模 DMVPN)を選択します。詳細については、「大規模 DMVPN の設定」を参照してください。

関連項目

「IPsec テクノロジーおよびポリシーについて」

VPN トポロジのデバイスの選択

Create VPN ウィザードおよび [Edit VPN] ダイアログボックスの [Device Selection] ページ(またはタブ)を使用して、VPN トポロジに組み込むデバイスを選択します。このページの内容は、作成または編集する VPN トポロジがハブアンドスポーク、大規模 DMVPN、ポイントツーポイント、または完全メッシュのいずれであるかに応じて異なります。また、このページを使用して GET VPN のメンバーシップを編集することはできません(既存の GET VPN について作業する場合は、「GET VPN グループ メンバーの設定」および「GET VPN キー サーバの設定」を参照してください)。

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスを開く方法については、「VPN トポロジの作成または編集」を参照してください。

[Available Devices] リストには、選択した VPN トポロジ タイプで使用できるデバイス、IPsec テクノロジー タイプをサポートするデバイス、および表示する権限があるデバイスだけが表示されます。また、利用可能なデバイスは、選択した IPsec テクノロジーによっても異なります。たとえば、IPsec テクノロジーが IPsec/GRE、GRE ダイナミック IP、または DMVPN の場合、PIX ファイアウォールと ASA デバイスは表示されません。詳細については、「各 IPsec テクノロジーでサポートされるデバイスについて」に説明されている、サポートされるプラットフォームを参照してください。


ヒント デバイスを選択する場合、デバイス グループを選択して、そのグループ内のすべての選択可能なデバイスを選択することができます。


次のリストに、トポロジのタイプに応じてデバイスを追加または削除する方法を示します。

通常の IPsec または IPsec/GRE テクノロジーを使用する完全メッシュ VPN トポロジでデバイスを選択するには 、[Available Devices] リストでデバイスを選択して、[>>] をクリックします。

GET VPN テクノロジーを使用する完全メッシュ VPN トポロジでデバイスを選択するには、次の手順を実行します。

キー サーバとして定義するデバイスを選択して、[Key Servers] フィールドの横にある [>>] をクリックします。

複数のキー サーバがある場合は、 上向き および 下向き の矢印ボタンを使用して、プライマリ キー サーバを先頭に配置します。グループ メンバーは、リストの最初のキー サーバに登録されます。最初のキー サーバに到達できない場合は、2 番目以降のキー サーバに順番に登録が試みられます。

グループ メンバーとして定義するデバイスを選択して、[Group Members] フィールドの横にある [>>] をクリックします。

ハブアンドスポーク VPN トポロジでデバイスを選択するには、次の手順を実行します。

ハブとして定義するデバイス(または Easy VPN 設定でサーバとして定義するデバイス)を選択して、[Hubs] リストの横にある [>>] をクリックします。

複数のハブがある場合は、ハブ リストをプライオリティ順に並べて、プライマリ ハブを先頭に配置します。順序を変更するには、ハブを選択し、 上向き および 下向き の矢印ボタンをクリックして、デバイスを適切な順序に並べ替えます。


) プライマリ ハブは、2 つ以上の IPsec ターミネータがある場合にだけ選択する必要があります。IPsec ターミネータが 1 つだけの場合は、同じ IPsec ターミネータにいくつのハブが接続されているかに関係なく、1 つのハブをプライマリ ハブとして指定できません。


スポークとして定義するデバイス(または Easy VPN 設定でクライアントとして定義するデバイス)を選択して、[Spokes] リストの横にある [>>] をクリックします。

IPsec ターミネータを使用した大規模 DMVPN トポロジを設定する場合は、大規模 DMVPN 設定で IPsec ターミネータ となる Catalyst 6500/7600 デバイスを選択する必要もあります。2 つ以上の IPsec ターミネータを選択する場合は、 上向き および 下向き の矢印ボタンを使用して、プライオリティ順に並べ替えます。詳細については、「大規模 DMVPN の設定」を参照してください。

ポイントツーポイント VPN トポロジでデバイスを選択するには、次の手順を実行します。

[Devices] リストから、 ピア 1 とするデバイスを選択して、[>>] をクリックします。

ピア 2 とする別のデバイスを選択して、[>>] をクリックします。

(任意のトポロジまたはテクノロジーの組み合わせにおいて)デバイスを削除するには 、選択されたデバイスのいずれかのリストでデバイスを選択し、[<<] をクリックして、そのデバイスを [Available Devices] リストに戻します。

既存の VPN トポロジを編集している場合は、VPN トポロジからデバイスを削除することはできますが、その結果として無効な VPN 設定となる場合には、変更内容を保存できません。デバイスを削除する場合、次の点に注意する必要があります。

デバイスがハブアンドスポーク VPN トポロジにおける唯一のハブである場合、そのデバイスは削除できません。他のハブに置き換える必要があります。

デバイスがポイントツーポイント VPN トポロジにおける 2 つのデバイスのいずれかである場合、そのデバイスは削除できません。他のハブに置き換える必要があります。

複数のハブ デバイスがある VPN トポロジでは、ハブを削除すると、そのハブを使用するトンネルが削除されます。

VPN トポロジのすべてのスポークではなく一部のスポークが削除されると、ハブ側の crypto ステートメントが変更されて、削除内容が反映されます。

GET VPN には、少なくとも 1 つのキー サーバと 1 つのグループ メンバーが必要です。

関連項目

「VPN に管理対象外デバイスやシスコ製以外のデバイスを組み込む」

エンドポイントおよび保護対象ネットワークの定義

Create VPN ウィザードおよび [Edit VPN] ダイアログボックスの [Endpoints] ページを使用して、VPN トポロジ内のデバイスを表示し、それらの VPN 特性および機能を定義または編集します。主に、VPN トポロジ内のデバイスの外部または内部 VPN インターフェイス、および保護対象ネットワークを定義します。VPN インターフェイスは、データを暗号化するインターフェイスです。保護対象ネットワークは、暗号化されるネットワークです。

[Endpoints] ページは、次のいずれかの方法で開きます。

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスを開きます。手順については、「VPN トポロジの作成または編集」を参照してください。

Site-to-Site VPN Manager で目的の VPN トポロジを選択して(GET VPN トポロジを除く)、[Peers] ポリシーを選択します。

ヒント:

この設定は、GET VPN 以外のすべての IPsec テクノロジー タイプに適用されます。VPN 作成時に GET VPN エンドポイントを設定する方法については、「GET VPN ピアの定義」を参照してください。既存の GET VPN では、Key Servers ポリシーおよび Group Members ポリシーを使用してエンドポイントを設定します。「GET VPN キー サーバの設定」および「GET VPN グループ メンバーの設定」を参照してください。

このページに表示されるデバイスは、[Device Selection] ページで選択します(「VPN トポロジのデバイスの選択」を参照)。このリストは、Peers ポリシーの編集時にだけ変更できます。この場合、デバイスを選択し、[Delete](ゴミ箱)ボタンをクリックして、デバイスを削除します。デバイスを追加するには、VPN トポロジ自体を編集する必要があります。

テーブルには、VPN における各デバイスのロール(ハブ、スポーク、ピア、または IPsec ターミネータ)、デバイス名、および VPN インターフェイスと保護対象ネットワークが表示されます。当初、VPN インターフェイスと保護対象ネットワークは、外部および内部インターフェイスに対して、Security Manager の管理設定で定義されたデフォルトのインターフェイス ロールに設定されています(「[VPN Policy Defaults] ページ」を参照)。エンドポイント設定には、このテーブルに表示されない設定が含まれている場合もありますが、必須の設定は VPN インターフェイスと保護対象ネットワークだけです。

デバイスのエンドポイント設定を変更するには、設定を選択して、テーブルの下にある [Edit Row] ボタンをクリックします。一度に複数のデバイスを選択して編集することもできますが、その場合、それらのデバイスのロールは同じである必要があります。複数のデバイスを選択する場合は、Catalyst 6500/7600 デバイスまたは VPN サービス モジュールを含めることはできません。エンドポイントの編集は [Edit Endpoints] ダイアログボックスで実行しますが、その内容は選択したデバイス タイプおよび IPsec テクノロジーに応じて異なります。

[Edit Endpoints] ダイアログボックスで設定できるオプションの詳細については、次の項を参照してください。

[VPN Interface] タブ :VPN インターフェイスを設定し、その他の必要なインターフェイス設定を行います(「VPN インターフェイス エンドポイントの設定」を参照)。ダイヤル バックアップも設定できる場合があります(ダイヤル バックアップの詳細については、「ダイヤル バックアップの設定」を参照してください)。

Catalyst 6500/7600 デバイスでは、[VPN Interface] タブに、デバイス(大規模 DMVPN における IPsec ターミネータの場合もあります)に VPN Services Module(VPNSM; VPN サービス モジュール)または VPNSPA/VSPA ブレードを設定できる設定が表示されます。これについては、「VPNSM または VPN SPA/VSPA エンドポイントの設定」を参照してください。

[Hub Interface] タブ :選択されたデバイスが大規模 DMVPN におけるハブである場合、IPsec ターミネータに接続されたインターフェイスを指定します。「大規模 DMVPN の設定」を参照してください。

[Protected Networks] タブ :暗号化されるネットワークを定義します(「エンドポイントの保護対象ネットワークの特定」を参照)。保護対象ネットワークは、インターフェイス ロール、ネットワーク/ホスト オブジェクト、または通常の IPsec の場合は ACL ポリシー オブジェクトです。

[FWSM] タブ :Firewall Services Module(FWSM; ファイアウォール サービス モジュール)と、Catalyst 6500/7600 デバイスにすでに設定されている IPsec VPN Services Module(VPNSM; VPN サービス モジュール)または VPNSPA/VSPA との間を接続できるようにするための設定を定義します。この設定は、ハブがこれらのモジュールがインストールされた Catalyst 6500/7600 デバイスであるハブアンドスポーク トポロジでだけ可能です。詳細については、「VPNSM または VPNSPA/VSPA が設定されたデバイスへのファイアウォール サービス モジュール(FWSM)インターフェイスの設定」を参照してください。

[VRF Aware IPsec] タブ :ハブアンドスポーク VPN トポロジにおいて、ハブ(IPsec Aggregator)に VRF-Aware IPsec ポリシーを設定します。詳細については、「VRF 対応 IPsec の設定」および「VRF 対応 IPsec について」を参照してください。

各デバイスのインターフェイス ロールに関連付けられている実際のインターフェイスを表示するには、テーブルの下にある [Show] リストの [Matching Interfaces] を選択します。一致するインターフェイスがない場合は、「No Match」と表示されます。デフォルトでは、インターフェイス ロール ポリシー オブジェクト名が表示されます。有効な VPN を作成するには、これらのロールがデバイスに定義されている実際のインターフェイスに一致する必要があります。

関連項目

「テーブル カラムおよびカラム見出しの機能」

「テーブルのフィルタリング」

VPN インターフェイス エンドポイントの設定

[Edit Endpoints] ダイアログボックスの [VPN Interface] タブを使用して、[Endpoints] テーブルのデバイスに定義された VPN インターフェイスを編集します。ルータ デバイスのプライマリ VPN インターフェイスを定義する場合は、プライマリ ルート VPN インターフェイスの接続リンクが利用できなくなった場合にフォールバック リンクとして使用するバックアップ インターフェイスも設定できます。バックアップ インターフェイスは、ポイントツーポイント トポロジまたは完全メッシュ トポロジにある Cisco IOS セキュリティ ルータ、ハブアンドスポーク トポロジのスポークとなっている Cisco IOS セキュリティ ルータ、または Easy VPN トポロジのリモート クライアントとなっている Cisco IOS セキュリティ ルータで設定できます。詳細については、「ダイヤル バックアップの設定」を参照してください。

ヒント

デバイスが大規模 DMVPN のハブである場合、このタブは [Hub Interface] と呼ばれます。[Hub Interface Toward the IPsec Terminator] フィールドで、IPsec ターミネータに接続されているインターフェイスを指定します。インターフェイスまたはインターフェイス ロールの名前を入力します。または、[Select] をクリックして、リストから選択します。詳細については、「大規模 DMVPN の設定」を参照してください。

デバイスが Catalyst 6500/7600 デバイスの場合、[VPN Interface] タブでは、デバイスの VPN Services Module(VPNSM; VPN サービス モジュール)または VPNSPA/VSPA ブレードを設定できます。Catalyst 6500/7600 デバイスの場合に [VPN Interface] タブに表示される要素の詳細については、「VPNSM または VPN SPA/VSPA エンドポイントの設定」を参照してください。次の表では、デバイスが Catalyst 6500/7600 デバイスではない場合について示します。

ナビゲーション パス

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスの [Endpoints] ページ、あるいは [VPN Peers] ポリシーでデバイスを選択し、[Edit] をクリックして [Edit Endpoints] ダイアログボックスを開きます。[Edit Endpoints] ダイアログボックスで [VPN Interfaces] タブを選択します。これらのページおよびダイアログボックスへのアクセス方法については、「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

フィールド リファレンス

 

表 21-6 [Edit Endpoints] ダイアログボックスの [VPN Interface] タブ

要素
説明

[Enable the VPN Interface Changes on All Selected Peers]

[Endpoints] ページで編集用に複数のデバイスを選択した場合に使用可能です。

選択されている場合は、[VPN interface] タブで行った変更内容が、選択したすべてのデバイスに適用されます。

[VPN Interface]

選択したデバイスに定義された VPN インターフェイスです。インターフェイスを識別するインターフェイス ロール ポリシー オブジェクトの名前を入力します。あるいは、[Select] をクリックして、リストから選択するか、または新しいインターフェイス ロール オブジェクトを作成します(「インターフェイス ロール オブジェクトの作成」を参照)。

デバイスが ASA 5505 バージョン 7.2(1) 以降である場合は、異なるセキュリティ レベルを持つ 2 つのインターフェイスを定義する必要があります。詳細については、「デバイス インターフェイスの管理」を参照してください。

[Connection Type]

選択したデバイスが ASA または PIX 7.0+ ハブであり、かつ選択したテクノロジーが通常の IPsec の場合にだけ、ハブアンドスポーク VPN トポロジで使用できます。

SA ネゴシエーション中にハブが使用する接続のタイプを選択します。

[Answer Only]:ハブが、SA ネゴシエーションへの応答だけを行い、SA ネゴシエーションを開始しないように設定します。

[Originate Only]:ハブが、SA ネゴシエーションの開始だけを行い、SA ネゴシエーションには応答しないように設定します。

[Bidirectional]:ハブが、SA ネゴシエーションの開始および SA ネゴシエーションへの応答の両方を行うように設定します。

[Local Peer IPSec Termination]

選択したテクノロジーが Easy VPN の場合は使用できません。

ローカル ルータの VPN インターフェイスの IP アドレスを指定します。次のいずれかのオプションを選択できます。

[Tunnel Source IP Address]:トンネル ソースの IP アドレスを使用します。

[VPN Interface IP Address]:選択した VPN インターフェイスに設定された IP アドレスを使用します。インターフェイス ロールに一致できるのは、1 つの VPN インターフェイスだけです。このオプションは、GRE Modes ポリシーで [Configure Unique Tunnel Source for each Tunnel] を選択した場合にだけ使用できます。

[IP Address]:ローカル ルータの VPN インターフェイスの IP アドレスを明示的に指定します。このオプションは、デバイスが NAT 境界の背後にあり、NAT IP アドレスを指定する場合に使用します。

(注) VPN インターフェイスとしてトンネル ソースを選択した場合は、VPN インターフェイスに IP アドレスが動的に割り当てられている可能性があります。

[IP Address of Another Existing Interface to be Used as Local Address](IPsec テクノロジーが DMVPN の場合は使用不可):任意のインターフェイスに設定された IP アドレスをローカル アドレスとして使用します。VPN インターフェイスにかぎりません。提供されたフィールドにインターフェイスを入力します。

[Select] をクリックして、必要なインターフェイスを選択できます。すべての使用可能な定義済みのインターフェイス ロールが示されたダイアログボックスが表示されます。このダイアログボックスでは、インターフェイス ロール オブジェクトを作成できます。

[Tunnel Source]

IPsec/GRE または DMVPN でだけ使用可能です。

[GRE Modes] > [Tunnel Parameters] タブで、トンネル インターフェイスごとに一意のトンネル ソースを使用する設定をイネーブルにしている場合、[Override Unique Tunnel Source per Tunnel Interface] チェックボックスが使用可能になります。このオプションを選択して、選択したデバイスに別のトンネル ソースを指定します。

スポーク側の GRE または DMVPN トンネルで使用するトンネル ソース アドレスを指定します。次のいずれかのオプションを選択できます。

[VPN Interface]:トンネル ソース アドレスとして、VPN インターフェイスを使用します。

[Interface]:任意のインターフェイスをトンネル ソース アドレスとして使用します。VPN インターフェイスにかぎりません。インターフェイス名を入力します。または、[Select] をクリックして、インターフェイスを識別するインターフェイス ロールを選択します(選択ダイアログボックスからロールを作成することもできます)。

[Dial Backup Settings]

[Enable Backup]

選択したデバイスが、ポイントツーポイント トポロジまたは完全メッシュ トポロジにある IOS ルータ、ハブアンドスポーク トポロジのスポークとなっている IOS ルータ、または Easy VPN トポロジのリモート クライアントとなっている IOS ルータの場合に使用できます。

プライマリ ルート VPN インターフェイスの接続リンクが利用できなくなった場合にフォールバック リンクとして使用するバックアップ インターフェイスを設定するかどうかを指定します。

ヒント バックアップ インターフェイスを設定する前に、まずデバイスでダイヤラ インターフェイスを設定する必要があります。詳細については、「Cisco IOS ルータ上のダイヤラ インターフェイス」を参照してください。

[Dialer Interface]

ダイヤラ インターフェイスがアクティブになったときに、セカンダリ ルート トラフィックが送信される論理インターフェイスです。シリアル インターフェイス、非同期インターフェイス、または BRI インターフェイスを選択できます。

インターフェイスまたはインターフェイス ロール オブジェクトの名前を入力します。または、[Select] をクリックして、リストから選択します。

[Primary Next Hop IP Address]

選択されたテクノロジーが通常の IPsec、IPsec/GRE、GRE ダイナミック IP、または Easy VPN の場合にだけ使用できます。

プライマリ インターフェイスがアクティブな場合に接続する IP アドレスです。これは、ネクストホップ IP アドレスと呼ばれています。

ネクストホップ IP アドレスを指定しない場合、Security Manager は、VPN インターフェイス名を使用してスタティック ルートを設定します。VPN インターフェイスはポイントツーポイントである必要があります。それ以外の場合は、展開に失敗します。

[Select] をクリックして、必要な IP アドレスを選択できます。ネットワーク/ホスト セレクタが開き、そこで IP アドレスの割り当て元のネットワークを選択できます。

[Tracking IP Address]

プライマリ VPN インターフェイス接続からの接続を維持する必要がある宛先デバイスの IP アドレスです。Service Assurance Agent では、プライマリ ルートを経由してこのデバイスに対して ping を実行し、接続性を追跡します。このデバイスへの接続が失われた場合にバックアップ接続がトリガーされます。

IP アドレスを指定しない場合は、ハブアンドスポークまたは Easy VPN トポロジでプライマリ ハブ VPN インターフェイスが使用されます。ポイントツーポイントまたは完全メッシュ VPN トポロジでは、ピア VPN インターフェイスが使用されます。

[Select] をクリックして、必要な IP アドレスを選択できます。ネットワーク/ホスト セレクタが開き、そこで IP アドレスの割り当て元のネットワークを選択できます。

[Advanced] ボタン

選択したテクノロジーが通常の IPsec、IPsec/GRE、GRE ダイナミック IP、または Easy VPN の場合に使用できます。

「[Dial Backup Settings] ダイアログボックス」を使用して、追加のオプションの設定を行うには、このボタンをクリックします。

ダイヤル バックアップの設定

ダイヤル バックアップを使用すると、プライマリ リンクが利用できなくなった場合に備えて、直接のプライマリ接続に対するフォールバック リンクを提供できます。ダイヤル バックアップは、ポイントツーポイントまたは完全メッシュ VPN トポロジに参加している Cisco IOS セキュリティ ルータ、あるいはハブアンドスポーク トポロジのスポークとなっている Cisco IOS セキュリティ ルータで設定できます。Easy VPN トポロジにおいて IOS バージョン 12.3(14)T+ を実行するリモート クライアント ルータでも設定できます。

ダイヤル バックアップ機能は、次の 2 つのスタティック ルートが存在するという前提に基づいて実装されています。

プライマリ ゲートウェイ経由の、最も高いプライオリティを持つプライマリ ルート

セカンダリ ゲートウェイ経由の、低いプライオリティを持ち、プライマリ ゲートウェイがダウンしたときにだけルーティング テーブルに表示されるセカンダリ ルート

Security Manager によって、スポークに論理ダイヤラ インターフェイスが設定されます。このダイヤラ インターフェイスは、物理的なバックアップ インターフェイスに関連付けられます。プライマリ ルートがダウンすると、ダイヤラ インターフェイスがアクティブになり、トラフィックはこのバックアップ インターフェイス経由でセカンダリ ルートにリダイレクトされます。スポークとハブとの間のトラフィックが暗号化されるように、Security Manager によってダイヤラ インターフェイスに対してクリプト マップが適用されます。このクリプト マップは、VPN インターフェイス(プライマリ ルート インターフェイス)のクリプト マップと同一のものです。Easy VPN では、バックアップ設定は、ダイヤラ インターフェイスに追加されます。

IOS バージョンによっては、Response Time Reporter(RTR)または Service Level Agreement(SLA; サービス レベル契約)IOS テクノロジーを使用して、プライマリ ルートでのネットワークのパフォーマンス低下が検出されます。割り当てられている IPsec テクノロジーが DMVPN である場合は、Dialer Watch-List(DWL)が使用されます。

ISDN Basic Rate Interface(BRI; 基本インターフェイス)およびアナログ モデム インターフェイスを他のプライマリ インターフェイスに対するバックアップ インターフェイスとして設定できます。この場合、ISDN またはアナログ モデム接続は、プライマリ インターフェイスがダウンした場合に確立されます。プライマリ インターフェイスおよびその接続がダウンすると、ISDN またはアナログ モデム インターフェイスからすぐにダイヤルアウトが実行されて、ネットワーク サービスが停止しないように接続が確立されます。

始める前に

Cisco IOS ルータでダイヤラ インターフェイスを設定します。このためには、物理 BRI および非同期インターフェイス間の関係、およびダイヤル バックアップを設定する場合に使用する仮想ダイヤラ インターフェイスを定義する必要があります。詳細については、「Cisco IOS ルータ上のダイヤラ インターフェイス」を参照してください。

プライマリ ルートが機能していることを確認します。


ステップ 1 ダイヤル バックアップは、サイト間 VPN の作成時または編集時に設定します。Create VPN ウィザードの開始方法、または [Edit VPN] ダイアログボックスを開く方法の詳細については、「VPN トポロジの作成または編集」を参照してください。

Create VPN ウィザードで、[Endpoints] ページに進みます。

[Edit VPN] ダイアログボックスで、[Endpoints] タブをクリックします。

エンドポイント編集の一般情報については、「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

ステップ 2 ダイヤル バックアップを設定するルータを選択して、[Edit](鉛筆)ボタンをクリックします。同じダイヤラ設定を行うルータが複数ある場合は、それらを選択して、同時に編集できます。

これにより、[Edit Endpoints] ダイアログボックスが開きます。[VPN Interface] タブが選択されていない場合は、このタブを選択します。

ステップ 3 [VPN Interface] タブで、ダイヤル バックアップに関する次のオプションを設定します。新しい VPN を作成している場合は、VPN インターフェイスなどの他の設定も行う必要があります。これらのオプションの詳細については、「VPN インターフェイス エンドポイントの設定」を参照してください。

[Enable Backup]:このオプションを選択します。

[Dialer Interface]:論理ダイヤラ インターフェイスがアクティブになったときに、セカンダリ ルート トラフィックが送信される物理インターフェイスを指定します。

[Primary Next Hop IP Address]:選択した IPsec テクノロジーが通常の IPsec、IPsec/GRE、GRE ダイナミック IP、または Easy VPN の場合、ネクストホップ IP アドレスを入力します。ネクストホップ IP アドレスを入力しない場合、Security Manager は、インターフェイス名を使用してスタティック ルートを設定します。

[Tracking IP Address]:プライマリ VPN インターフェイス接続からの接続を維持する必要がある宛先デバイスの IP アドレスを指定します。これは、接続性を追跡するために、プライマリ ルートを経由して ping が実行されるデバイスです。このデバイスへの接続が失われた場合にバックアップ接続がトリガーされます。

IP アドレスを指定しない場合は、ハブアンドスポークまたは Easy VPN トポロジでプライマリ ハブ VPN インターフェイスが使用されます。ポイントツーポイントまたは完全メッシュ VPN トポロジでは、ピア VPN インターフェイスが使用されます。

ステップ 4 選択した IPsec テクノロジーが通常の IPsec、IPsec/GRE、GRE ダイナミック IP、または Easy VPN の場合は、[Advanced] をクリックして、[Dial Backup Settings] ダイアログボックスで追加の(オプションの)設定を行います。これらの設定については、「[Dial Backup Settings] ダイアログボックス」で説明します。[OK] をクリックして変更を保存します。

ステップ 5 [Edit Endpoints] ダイアログボックスで [OK] をクリックします。


 

[Dial Backup Settings] ダイアログボックス

[Dial Backup Settings] ダイアログボックスを使用して、サイト間 VPN にダイヤル バックアップ ポリシーを設定するためのオプションの設定を定義します。これらの設定は、通常の IPsec、IPsec/GRE、GRE ダイナミック IP、または Easy VPN テクノロジーにおいて使用できます。

ダイヤル バックアップの必須の設定は、[Edit Endpoints] ダイアログボックスの [VPN Interface] タブで行います。「VPN インターフェイス エンドポイントの設定」を参照してください。


) ダイヤラ インターフェイスを設定しないと、ダイヤル バックアップは正常に動作しません。詳細については、「Cisco IOS ルータ上のダイヤラ インターフェイス」を参照してください。


ナビゲーション パス

[Dial Backup Settings] ダイアログボックスを開くには、ダイヤル バックアップをイネーブルにして、[Edit Endpoints] ダイアログボックスの [VPN Interface] タブにある [Advanced] をクリックします。[Edit Endpoints] ダイアログボックスを開く方法については、「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

関連項目

「ダイヤル バックアップの設定」

「Easy VPN について」

フィールド リファレンス

 

表 21-7 [Dial Backup Settings] ダイアログボックス

要素
説明

[Next Hop Forwarding]

[Backup Next Hop IP Address]

必要に応じて、ISDN BRI またはアナログ モデム バックアップ インターフェイスのネクストホップ IP アドレス(バックアップ インターフェイスがアクティブになったときに接続する IP アドレス)を入力します。IP アドレス、またはネットワーク/ホスト オブジェクトの名前を入力できます。または、[Select] をクリックして、IP アドレスを指定するネットワーク/オブジェクトを選択します。

ネクストホップ IP アドレスを入力しない場合、Security Manager は、インターフェイス名を使用してスタティック ルートを設定します。

[Tracking Object Settings]

[Timeout]

Service Assurance Agent の動作において、宛先デバイスからの応答を受信するまで待機するミリ秒単位の時間です。デフォルトは 5000 ms です。

[Frequency]

プライマリ ルートのパフォーマンスの低下を検出するために Response Time Reporter(RTR)を使用する頻度です。デフォルトは 60 秒ごとです。

[Threshold]

RTR 動作において、対応イベントを生成し、履歴情報を保存する、ミリ秒単位の上昇しきい値です。デフォルトは 5000 ms です。

VPNSM または VPN SPA/VSPA エンドポイントの設定

[Endpoints] テーブルで編集用に Catalyst 6500/7600 デバイスを選択した場合、[Edit Endpoints] ダイアログボックスの [VPN Interface] タブで、デバイスに Cisco VPN Services Module(VPNSM; VPN サービス モジュール)、Cisco VPN Shared Port Adapter(VPN SPA; VPN 共有ポート アダプタ)、および Cisco VPN Service Port Adapter(VSPA; VPN サービス ポート アダプタ)を設定できます。同時に複数の Catalyst 6500/7600 デバイスを選択できます。変更内容は、選択したすべてのデバイスに適用されます。

Security Manager によって管理されたポイントツーポイントまたは完全メッシュ VPN トポロジ内のデバイス、またはハブアンドスポーク VPN トポロジ内のハブやスポークをデバイスとして選択できます(Easy VPN では、スポークをデバイスとして選択することはできません)。これらの設定は、選択したデバイスが大規模 DMVPN における IPsec ターミネータである場合にも設定する必要がありますが、次に示すすべての設定が使用できるわけではありません。「大規模 DMVPN の設定」を参照してください。

一般的な注意点

Catalyst 6500/7600 デバイスには、3 ~ 13 のシャーシ スロットが備えられています。ブレードの設計上、スロットあたり 1 つの VPNSM または 2 つの VPNSPA/VSPA をインストールできます。VPNSPA/VSPA の位置は、スロット番号とサブスロット番号で識別されます。Security Manager は、この情報をインベントリに保存して、VPN トポロジを管理できるようにします。

シャーシ内のハイ アベイラビリティを設定する場合は、同じデバイスで VPNSM ブレードと VPNSPA/VSPA ブレードをプライマリ ブレードおよびフェールオーバー ブレードとして使用することはできません。

リモート アクセス VPN では、各 IPsec プロポーザルに対して 1 つのフェールオーバー装置だけを設定できます。「[VPNSM/VPN SPA Settings] ダイアログボックス」を参照してください。

Catalyst 6500/7600 に Firewall Services Module(FWSM; ファイアウォール サービス モジュール)がある場合は、これらのモジュールと連携して動作するように設定できます。詳細については、「VPNSM または VPNSPA/VSPA が設定されたデバイスへのファイアウォール サービス モジュール(FWSM)インターフェイスの設定」を参照してください。

デバイスで VRF 対応 IPsec とともに VPNSM または VPNSPA/VSPA を設定する場合、そのデバイスは、VRF 対応 IPsec が設定されていない別の VPN トポロジに属することができません。詳細については、「VRF 対応 IPsec の設定」を参照してください。

Catalyst 6500/7600 デバイスに内部 VLAN を作成するか、または既存のポートや VLAN 設定を編集します。デバイスに VRF 対応 IPsec が設定されている場合は、転送 VLAN を作成する必要があります。

VPNSM に関する注意点

Security Manager では、Catalyst 6500/7600 デバイスにおける複数の VPNSM の設定がサポートされていますが、VPN トポロジあたり 1 つ(シャーシ内のハイ アベイラビリティを設定する場合は 2 つ)のモジュールだけを設定できます。

VPNSM を設定する場合、親の Catalyst 6500/7600 デバイスで Cisco IOS ソフトウェア Release 12.2(18)SXD1 以降が実行されている必要があります。

VPNSM 設定では、レイヤ 3 VLAN だけを使用できます。

VPNSPA/VSPA に関する注意点

この設定は、大規模 DMVPN 設定で IPsec ターミネータを設定する場合にも適用されます。詳細については、「大規模 DMVPN の設定」を参照してください。

VPN SPA では、すべてのキー サイズ(128、192、および 256 ビット)の AES 暗号化アルゴリズム、および DES 暗号化アルゴリズムと 3DES 暗号化アルゴリズムがサポートされています。詳細については、「使用する暗号化アルゴリズムの決定」を参照してください。

VRF モードでは、 crypto engine slot slot/subslot { inside | outside } コマンドは内部および外部 VPN インターフェイスに展開されます。

Catalyst 6500/7600 デバイスで、Cisco IOS ソフトウェア Release 12.2(18)SXE2 以降を実行している必要があります。

暗号接続代替モード(このモードでは、暗号化されたトラフィックが VPNSM/VPN SPA で受信された場合はパススルーされ、クリア テキストのトラフィックは迂回されます)を使用する予定の場合、Catalyst 6500 デバイスでは Cisco IOS ソフトウェア バージョン 12.2(33)SXH 以降が、7600 ルータでは 12.2(33)SRA 以降が実行されている必要があります。

複数のハブが参加する DMVPN トポロジで 1 つのハブに VPN SPA ブレードが設定されている場合は、スポークであるかハブであるかにかかわらず、 いずれの デバイスにもトンネル キーを設定しないでください。このようなトポロジに参加するデバイスでは、キーなしでのトンネルをサポートするために Cisco IOS ソフトウェア バージョン 12.3T 以降が実行されている必要があります。

ナビゲーション パス

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスの [Endpoints] ページ、あるいは [VPN Peers] ポリシーで Catalyst 6500/7600 デバイスを選択し、[Edit] をクリックして [Edit Endpoints] ダイアログボックスを開きます。[Edit Endpoints] ダイアログボックスで [FWSM] タブを選択します。これらのページおよびダイアログボックスへのアクセス方法については、「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

フィールド リファレンス

 

表 21-8 [Edit Endpoints] ダイアログボックスの [VPN Interface] タブの VPNSM/VPN SPA/VSPA 設定

要素
説明

[Enable the VPN Interface Changes on All Selected Peers]

(注) [Endpoints] ページで、編集用に複数の Catalyst 6500/7600 デバイスを選択した場合に使用できます。

選択されている場合は、[VPN interface] タブで行った変更内容が、選択したすべてのデバイスに適用されます。

[VPNSM/VPN SPA/VSPA Settings]

[Use Crypto Connect Alternate]:選択されている場合、Catalyst 6500/7600 上の VPNSM/VPN SPA に入った暗号化されたトラフィックだけがパススルーされます。クリア テキストのトラフィックは、アダプタを通過しません(迂回されます)。このオプションを使用するには、Catalyst 6500 ではバージョン 12.2(33)SXH 以降が、7600 ルータでは 12.2(33)SRA 以降が実行されている必要があります。

このモードは、大規模な VPN トポロジをサポートする必要がある企業のお客様(金融機関など)や、暗号化されたチャネル上で大量のデータを送信する必要がある企業のお客様(インターネット上でのリモート障害回復やバックアップなど)にとって、暗号接続モードの代替選択肢として推奨されます。

[Inside VLAN]:サービス モジュールまたはアダプタへの内部インターフェイスとして機能する VLAN です。また、VPN トンネルのハブ エンドポイントでもあります(デバイスに VRF 対応 IPsec が設定されていない場合)。VLAN またはインターフェイス ロール オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択します。

[Slot and Subslot]:VPNSM または VPNSPA/VSPA のスロット位置を指定する番号です。VPNSPA/VSPA を設定する場合は、サブスロット番号も必要です。

[Outside VLAN/External port]:内部 VLAN に接続する外部ポートまたは VLAN です。VLAN またはインターフェイス ロール オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択します。内部 VLAN に選択したものとは異なるインターフェイスまたはインターフェイス ロールを選択する必要があります。

(注) VRF 対応 IPsec がデバイスに設定されている場合は、外部ポートまたは VLAN に IP アドレスが必要です。

[Tunnel Source]

(注) 選択されたテクノロジーが IPsec/GRE または DMVPN の場合は、ハブに対してだけ使用できます。

スポーク側の GRE または DMVPN トンネルで使用するトンネル ソース アドレスを指定します。次のいずれかのオプションを選択できます。

[Override Unique Tunnel Source per Tunnel Interface]:[GRE Modes] > [Tunnel Parameters] タブで、トンネル インターフェイスごとに一意のトンネル ソースを使用する設定をイネーブルにしている場合、このオプションが使用可能になります。このオプションを選択して、選択したデバイスに別のトンネル ソースを指定します。

[Outside VLAN/External Port (When CCA/VRF is Enabled)]:[Use Crypto Connect Alternate] チェックボックスが選択されている場合、このオプション ボタンが使用可能になります。選択されている場合、外部 VLAN または外部ポートがトンネル ソースとして指定されます。

[Inside VLAN]:選択されている場合、内部 VLAN に設定されているインターフェイスが、トンネル ソースとして使用されます。

[Interface]:任意のインターフェイス(VPN インターフェイスにかぎりません)をトンネル ソース アドレスとして使用するには、インターフェイス名を入力するか、または [Select] をクリックしてインターフェイスを識別するインターフェイス ロールを選択します。選択リストから新しいロールを作成することもできます。

[Local Peer IPSec Termination]

ローカル ルータに、VPN インターフェイスの IPsec 終端ポイントを定義します。

[Inside VLAN]:内部 VLAN として設定されているインターフェイスを使用します。

[IP Address]:ローカル ルータの VPN インターフェイスの IP アドレスを使用します。IP アドレスを入力します。

(注) VPN インターフェイスとしてトンネル ソースを選択した場合は、VPN インターフェイスに IP アドレスが動的に割り当てられている可能性があります。

[Enable Failover Blade]

シャーシ内のハイ アベイラビリティを確保するために、フェールオーバー VPNSM または VPNSPA/VSPA ブレードを設定するかどうかを指定します。

(注) 同じデバイスで VPNSM ブレードと VPNSPA/VSPA ブレードをプライマリ ブレードおよびフェールオーバー ブレードとして使用することはできません。

次のように、フェールオーバー ブレードを指定します。

[Slot]:VPNSM ブレードまたは VPNSPA/VSPA ブレードの位置を特定するスロット番号です。

[Subslot]:VPNSPA/VSPA を設定する場合は、フェールオーバー VPN SPA ブレードがインストールされたサブスロットの番号(0 または 1)を選択します。

(注) VPNSM を設定している場合は、ブランク オプションを選択します。

エンドポイントの保護対象ネットワークの特定

[Edit Endpoints] ダイアログボックスの [Protected Networks] タブを使用して、[Endpoints] テーブルのデバイスに定義された保護対象ネットワークを編集します(「エンドポイントおよび保護対象ネットワークの定義」を参照)。

保護対象ネットワークは、命名パターンがデバイスの内部 VPN インターフェイスと一致するインターフェイス ロールとして指定することも、1 つ以上のネットワークやホストの IP アドレス、インターフェイス、その他のネットワーク オブジェクトを含むネットワーク/ホスト グループ オブジェクトとして指定することも、(割り当てられているテクノロジーが通常の IPsec の場合には)アクセス コントロール リスト オブジェクトとして指定することもできます。

同時に複数のデバイスを編集している場合は、[Enable the Protected Networks Changes on All Selected Peers] を選択して、[Protected Networks] タブで行ったすべての変更内容を選択されたすべてのデバイスに適用します。

保護対象ネットワークを追加するには、[Available Protected Networks] リストからネットワークを選択し、[>>] をクリックして、[Selected Protected Networks] リストに移動します。インターフェイス ロール オブジェクト、([Protected Networks] フォルダに表示された)ネットワーク/ホスト グループ オブジェクト、またはアクセス コントロール リスト オブジェクトの任意の組み合わせを使用して、デバイスの保護対象ネットワークを定義できます(ACL オブジェクトは、割り当てられたテクノロジーが通常の IPsec の場合にだけ使用できます)。


) 割り当てられているテクノロジーが通常の IPsec であるハブアンドスポーク VPN トポロジで ACL オブジェクトを使用してスポークで保護対象ネットワークが定義されている場合、Security Manager によってスポークの ACL オブジェクトがハブの一致するクリプト マップ エントリにミラーリングされます。


選択された保護対象ネットワークを削除するには、ネットワークを選択して、[<<] ボタンをクリックします。

オブジェクトの順序が問題となる場合は、上向き矢印ボタンと下向き矢印ボタンを使用して、必要に応じて選択されたオブジェクトのリスト内でオブジェクトのプライオリティの順序を調整できます。順序が問題とならない場合には、これらのボタンは使用できません。

保護対象ネットワークを定義するために必要なオブジェクトがリストに表示されていない場合は、[Create](+)ボタンをクリックしてオブジェクトを追加します。この場合、追加するオブジェクトのタイプを選択するように求められます。既存のオブジェクトを選択し、[Edit](鉛筆)ボタンをクリックして、既存のオブジェクトの定義を変更することもできます。詳細については、次の項を参照してください。

「インターフェイス ロール オブジェクトについて」および「インターフェイス ロール オブジェクトの作成」

「ネットワーク/ホスト オブジェクトについて」および「ネットワーク/ホスト オブジェクトの作成」

「アクセス コントロール リスト オブジェクトの作成」.

ナビゲーション パス

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスの [Endpoints] ページ、あるいは [VPN Peers] ポリシーでデバイスを選択し、[Edit] をクリックして [Edit Endpoints] ダイアログボックスを開きます。[Edit Endpoints] ダイアログボックスの [Protected Networks] タブを選択します。これらのページおよびダイアログボックスへのアクセス方法については、「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

VPNSM または VPNSPA/VSPA が設定されたデバイスへのファイアウォール サービス モジュール(FWSM)インターフェイスの設定

Security Manager では、Catalyst 6500/7600 デバイスに、IPsec VPN Services Module(VPNSM; VPN サービス モジュール)または VPNSPA/VSPA とともに Firewall Services Module(FWSM; ファイアウォール サービス モジュール)を設定できます。この機能を使用すると、VPNSM または VPN SPA/VSPA で内部ネットワークに対してセキュアなアクセスを提供するとともに、FWSM で信頼できないクライアントに対してファイアウォール ポリシーを適用できます。

FWSM と、Catalyst 6500/7600 デバイスにすでに設定されている VPNSM または VPNSPA/VSPA との間の接続を可能にする設定を定義するには、[Edit Endpoints] ダイアログボックスの [FWSM] タブを使用します。[FWSM] タブは、ハブアンドスポーク VPN トポロジにおいて、選択されたハブが Catalyst 6500/7600 デバイスの場合にだけ使用できます。

ヒント

FWSM 設定を定義する前に、FWSM をホストする Catalyst 6500/7600 デバイスを Security Manager インベントリに追加して、FWSM とそのポリシーおよびセキュリティ コンテキストを検出する必要があります。「ネットワークからのデバイスの追加」および「セキュリティ コンテキストの管理」を参照してください。

Catalyst 6500/7600 デバイスで内部インターフェイスがまだ作成されていない場合は、内部インターフェイスを作成する必要があります(「VLAN の作成または編集」を参照)。その後、FWSM 内部インターフェイス(VLAN)を適切なセキュリティ コンテキストに割り当てるか、または FWSM ブレードに直接割り当てます。

また、IPsec VPN Services Module(VPNSM; VPN サービス モジュール)または VPNSPA/VSPA に関連する設定を [VPN Interfaces] タブで行う必要があります。詳細については、「VPNSM または VPN SPA/VSPA エンドポイントの設定」を参照してください。

ナビゲーション パス

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスの [Endpoints] ページ、あるいは [VPN Peers] ポリシーで、FWSM を搭載した Catalyst 6500/7600 デバイスを選択し、[Edit] をクリックして、[Edit Endpoints] ダイアログボックスを開きます。[Edit Endpoints] ダイアログボックスで [FWSM] タブを選択します。これらのページおよびダイアログボックスへのアクセス方法については、「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

フィールド リファレンス

 

表 21-9 [Edit Endpoints] ダイアログボックスの [FWSM] タブ

要素
説明

[Enable FWSM Settings]

Catalyst 6500/7600 デバイスで、Firewall Services Module(FWSM; ファイアウォール サービス モジュール)と VPN Services Module(VPNSM; VPN サービス モジュール)または VPN SPA との間に接続を設定するかどうかを指定します。

[FWSM Inside VLAN]

Firewall Services Module(FWSM; ファイアウォール サービス モジュール)への内部インターフェイスとして機能する VLAN です。インターフェイスまたはインターフェイス ロールの名前を入力するか、あるいは [Select] をクリックして、リストから名前を選択するか新しいインターフェイス ロール オブジェクトを作成します。

[FWSM Blade]

使用可能なブレードのリストから、選択した FWSM 内部 VLAN インターフェイスが接続されているブレード番号を選択します。

[Security Context]

FWSM 内部 VLAN がセキュリティ コンテキストの一部である場合(つまり、FWSM がマルチ コンテキスト モードで実行されている場合)、このフィールドにセキュリティ コンテキスト名を指定します。名前では、大文字と小文字が区別されます。

VRF 対応 IPsec の設定

[Edit Endpoints] ダイアログボックスの [VRF-Aware IPsec] タブを使用して、ハブアンドスポーク VPN トポロジ内のハブに VRF-Aware IPsec ポリシーを設定します。VRF 対応 IPsec は、1 ボックス ソリューションまたは 2 ボックス ソリューションとして設定できます。VRF 対応 IPsec の詳細については、「VRF 対応 IPsec について」を参照してください。

ヒント

VRF 対応 IPsec は、ハブアンドスポーク VPN トポロジのハブにだけ設定できます。

2 つのハブがある VPN トポロジでは、両方のデバイスに VRF 対応 IPsec を設定する必要があります。

VRF 対応 IPsec が設定されていない他の VPN トポロジに属するデバイスに対して VRF 対応 IPsec を設定することはできません。

ハイ アベイラビリティが設定されているハブに対して VRF 対応 IPsec を設定することはできません。「VPN トポロジにおけるハイ アベイラビリティの設定」を参照してください。

IPsec Aggregator が、既存の事前共有キー(keyring)コマンドと同じ keyring CLI コマンドを使用して設定されており、他のコマンドによって参照されていない場合には、展開に失敗する場合があります。この場合、Security Manager では VRF keyring CLI が使用されず、異なる名前でキーリングが生成されるため、展開に失敗します。設定を展開する前に、事前共有キー keyring コマンドを CLI から手動で削除する必要があります。

ナビゲーション パス

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスの [Endpoints] ページ、あるいは [VPN Peers] ポリシーで、ハブアンドスポーク トポロジ内の VRF 対応 IPsec 設定をサポートするデバイスを選択し、[Edit] をクリックして、[Edit Endpoints] ダイアログボックスを開きます。[Edit Endpoints] ダイアログボックスで [VRF-Aware IPsec] タブを選択します。これらのページおよびダイアログボックスへのアクセス方法については、「エンドポイントおよび保護対象ネットワークの定義」および「VPN トポロジの作成または編集」を参照してください。

フィールド リファレンス

 

表 21-10 [Edit Endpoints] ダイアログボックスの [VRF Aware IPsec] タブ

要素
説明

[Enable the VRF Settings Changes on All Selected Peers]

[Endpoints] ページで編集用に複数のデバイスを選択した場合に使用できます。

選択されている場合、[VRF Settings] タブで行ったすべての変更内容が、選択したすべてのデバイスに適用されます。

[Enable VRF Settings]

デバイスで VRF の設定をイネーブルにするかどうかを指定します。

(注) このチェックボックスの選択を解除することによって、VPN トポロジに定義された VRF 設定を削除できます。ただし、Catalyst 6500/7600 デバイスに VRF 対応 IPsec が設定されている場合、VRF 設定をディセーブルにするには追加の手順が必要となります。「Catalyst スイッチおよび 7600 デバイスにおける VRF のイネーブル化およびディセーブル化」を参照してください。

[VRF Solution]

設定する VRF ソリューションのタイプを指定します。

[1-Box](IPsec Aggregator + MPLS PE):1 ボックス ソリューションでは、1 つのデバイスが、パケットへの MPLS タギング、および Customer Edge(CE; カスタマー エッジ)デバイスとの間での IPsec 暗号化と復号化を行う Provider Edge(PE; プロバイダー エッジ)ルータとして機能します。詳細については、「VRF 対応 IPsec 1 ボックス ソリューション」を参照してください。

[2-Box](IPsec Aggregator だけ):2 ボックス ソリューションでは、PE デバイスは MPLS タギングだけを行います。CE との間の IPsec 暗号化および復号化は、IPsec Aggregator によって行われます。詳細については、「VRF 対応 IPsec 2 ボックス ソリューション」を参照してください。

[VRF Name]

IPsec Aggregator の VRF ルーティング テーブルの名前。VRF 名では、大文字と小文字が区別されます。

[Route Distinguisher]

IPsec Aggregator の VRF ルーティング テーブルの固有識別情報。この一意のルート識別子によって、MPLS コアおよび他の PE ルータにまたがる各 VPN のルーティングの分離が維持されます。

識別情報は次のいずれかの形式です。

IP アドレス:X X は 0 ~ 2147483647 の数値)

N:X N は 0 ~ 65535 の数値、X は 0 ~ 2147483647 の数値)

(注) VRF 設定をデバイスに展開したあとは RD 識別子を上書きできません。展開後に RD 識別子を変更するには、デバイス CLI を使用して手動で削除してから、再度展開する必要があります。

[Interface Towards Provider Edge]

(2 ボックス ソリューションのみ)

IPsec Aggregator 上の、PE デバイスに向けた VRF 転送インターフェイス。IPsec Aggregator(ハブ)が Catalyst VPN サービス モジュールの場合は、VLAN を指定する必要があります。

インターフェイスまたはインターフェイス ロール オブジェクトの名前を入力します。あるいは、[Select] をクリックして、リストから選択するか、または新しいインターフェイス ロール オブジェクトを作成します。

[Routing Protocol]

(2 ボックス ソリューションのみ)

IPsec Aggregator と PE との間で使用するルーティング プロトコル。オプションは、[BGP]、[EIGRP]、[OSPF]、[RIPv2]、または [Static route] です。デフォルトは BGP です。

保護された IGP で使用されるルーティング プロトコルが、IPsec Aggregator と PE との間で使用されるルーティング プロトコルと異なる場合は、保護された IGP へのルーティングの再配布に使用するルーティング プロトコルを選択します。

プロトコルの詳細については、「ルータの管理」を参照してください。

(注) 1 ボックス ソリューションでは、ルーティング プロトコルおよび AS 番号は指定する必要がないため、これらのフィールドは使用できません。1 ボックス ソリューションでは、BGP プロトコルだけがサポートされています。

[AS Number]

(2 ボックス ソリューション、BGP または EIGRP ルーティングだけ)

IPsec Aggregator と PE との間の Autonomous System(AS; 自律システム)領域の識別に使用する番号。AS 番号は、1 ~ 65535 の範囲である必要があります。

保護された IGP で使用されるルーティング プロトコルが、IPsec Aggregator と PE との間で使用されるルーティング プロトコルと異なる場合は、IPsec Aggregator および PE からルーティングが再配布される保護された IGP を識別するために使用する AS 番号を入力します。この設定は、IPsec/GRE または DMVPN が適用されている場合にだけ関連があります。

[Process Number]

(2 ボックス ソリューション、OSPF ルーティングのみ)

OSPF ルーティングを使用している場合に、保護された IGP を識別するために使用するルーティング プロセス ID 番号。

範囲は 1 ~ 65535 です。

[OSPF Area ID]

(2 ボックス ソリューション、OSPF ルーティングのみ)

パケットが属する領域の ID 番号。0 ~ 4294967295 の範囲の任意の番号を入力できます。

(注) すべての OSPF パケットは単一の領域に関連付けられるため、すべてのデバイスに同じ領域 ID 番号が必要です。

[Next Hop IP Address]

(2 ボックス ソリューション、スタティック ルーティングだけ)

スタティック ルーティングを使用している場合の、IPsec Aggregator に接続されている Provider Edge(PE; プロバイダー エッジ)またはインターフェイスの IP アドレス。

[Redistribute Static Route]

(2 ボックス ソリューション、スタティック ルーティング以外だけ)

IPsec Aggregator に設定されたルーティング プロトコルで、スタティック ルートを PE デバイスにアドバタイズするかどうかを指定します。

VPN トポロジにおけるハイ アベイラビリティの設定

Create VPN ウィザードおよび [Edit VPN] ダイアログボックスの [High Availability] ページを使用して、ハブのグループを High Availability(HA; ハイ アベイラビリティ)グループとして定義します。ハイ アベイラビリティを設定するかどうかはオプションです。

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスを開く方法については、「VPN トポロジの作成または編集」を参照してください。

LAN 上で IP を実行する Cisco IOS ルータまたは Catalyst 6500/7600 デバイスに High Availability(HA; ハイ アベイラビリティ)ポリシーを設定すると、自動デバイス バックアップ機能を使用できます。ハイ アベイラビリティは、通常の IPsec または Easy VPN テクノロジーを使用するハブアンドスポーク VPN トポロジで設定できます。

Security Manager では、Hot Standby Routing Protocol(HSRP)を使用して透過的な自動デバイス フェールオーバーを提供する 2 つ以上のハブ デバイスで構成された HA グループによって HA がサポートされます。仮想 IP アドレスを共有することによって、HA グループのハブは、外観上は、LAN 上のホストに対して単一の仮想デバイスまたはデフォルト ゲートウェイになります。HA グループの 1 つのハブが常にアクティブになって仮想 IP アドレスを独占的に使用し、同時に他のハブはスタンバイ ハブになります。グループ内のハブは、アクティブ デバイスおよびスタンバイ デバイスから hello パケットが着信するのを待ちます。アクティブ デバイスが何らかの理由で使用できなくなると、スタンバイ ハブが仮想 IP アドレスの所有権を取得して、ハブの機能を引き継ぎます。この移行は、LAN 上のホストおよびピア デバイスに対してシームレスかつ透過的に実行されます。

HA グループを使用する場合は、次の点に注意します。

ハイ アベイラビリティは、通常の IPsec または Easy VPN テクノロジーを使用するハブアンドスポーク VPN トポロジ内のハブに対してだけ設定できます。

ハイ アベイラビリティは、Cisco IOS ルータまたは Catalyst 6500/7600 デバイスにだけ設定できます。ただし、HA グループには、Cisco IOS ルータと Catalyst 6500/7600 デバイスの両方を含むことはできません。

ステートフル フェールオーバーを設定する場合、HA グループには 2 つのハブだけを含むことができます。これらのハブは、Cisco IOS ルータである必要があります。Catalyst 6500/7600 デバイスは使用できません。

VRF 対応 IPsec が設定されたハブにはハイ アベイラビリティを設定できません。「VRF 対応 IPsec について」を参照してください。

HA グループには GRE を設定できません。

HA グループ内のデバイスは、複数のハブアンドスポーク トポロジに属することができます。

サイト間 VPN で HA が設定されたハブとして設定されているデバイスは、同じ外部インターフェイスを使用して、異なるサイト間 VPN で HA が設定されたハブとして設定できません。同様に、このようなデバイスは、同じ外部インターフェイスを使用して、HA が設定されたリモート アクセス VPN サーバとして設定できません。

すべてのピアにおいて、同じ自動生成された事前共有キーを認証に使用する必要があります。Preshared Key ポリシーを設定するときにこのオプションの使用を指定していない場合、このオプションは、ハイ アベイラビリティの設定中に上書きされます。詳細については、「Preshared Key ポリシーの設定」を参照してください。

設定の生成中に、HA グループ内のすべてのハブは同じコマンドを受信します。コマンドは、HA グループ全体に対して展開する必要があります。グループ内の個別のハブに対して展開することはできません。

次の表に、ハイ アベイラビリティ設定用のオプションを示します。

 

表 21-11 [High Availability] ページ

要素
説明

[Enable]

ハブのグループに対してハイ アベイラビリティ設定をイネーブルにするかどうかを指定します。すでにハイ アベイラビリティを設定している場合は、このオプションの選択を解除することによって、設定を削除できます。

[Inside Virtual IP]

HA グループ内のハブによって共有され、HA グループの内部インターフェイスを表す IP アドレス。仮想 IP アドレスは、HA グループ内のハブの内部インターフェイスと同じサブネットである必要がありますが、これらのインターフェイスのいずれかと同じ IP アドレスにすることはできません。

(注) デバイスに既存のスタンバイ グループがある場合は、提供する IP アドレスがデバイスにすでに設定されている仮想 IP アドレスと異なることを確認します。

[Inside Mask]

内部仮想 IP アドレスのサブネット マスク。

[VPN Virtual IP]

HA グループ内のハブによって共有され、HA グループの VPN インターフェイスを表す IP アドレス。この IP アドレスは、VPN トンネルのハブ エンドポイントとして機能します。

(注) デバイスに既存のスタンバイ グループがある場合は、提供する IP アドレスがデバイスにすでに設定されている仮想 IP アドレスと異なることを確認します。

[VPN Mask]

VPN 仮想 IP アドレスのサブネット マスク。

[Hello Interval]

ステータスと優先度を示すためにハブがグループ内の別のハブにエコー hello メッセージを送信する秒単位の間隔(1 ~ 254)。デフォルトは 5 秒です。

[Hold Time]

ハブがダウンしていると結論付ける前に、スタンバイ ハブがアクティブなハブから hello メッセージの受信を待機する秒単位の期間(2 ~ 255)。デフォルトは 15 秒です。

[Standby Group Number (Inside)]

HA グループ内のハブの内部仮想 IP サブネットと一致する内部ハブ インターフェイスのスタンバイ番号。番号は 0 ~ 255 の範囲である必要があります。デフォルトは 1 です。

[Standby Group Number (Outside)]

HA グループ内のハブの外部仮想 IP サブネットと一致する外部ハブ インターフェイスのスタンバイ番号。番号は 0 ~ 255 の範囲である必要があります。デフォルトは 2 です。

(注) 外部スタンバイ グループの番号と内部スタンバイ グループの番号は異なっている必要があります。

[Enable Stateful Failover]

ステートフル フェールオーバーをイネーブルにし、Stateful SwitchOver(SSO; ステートフル スイッチオーバー)を使用して HA グループ内の HSRP デバイス間で状態情報が共有されるようにするかどうかを指定します。デバイスで障害が発生した場合、共有されている状態情報により、スタンバイ デバイスは、トンネルの再確立またはセキュリティ アソシエーションの再ネゴシエートを行わずに、IPsec セッションを維持できます。

ステートフル フェールオーバーは、Cisco IOS ルータである 2 つのハブを含む HA グループでだけ設定できます。このチェックボックスは、HA グループに 3 つ以上のハブが含まれる場合にディセーブルになります。

Easy VPN トポロジでは、ステートフル フェールオーバーを常に設定する必要があるため、このチェックボックスは選択されてディセーブルになります。

ヒント:

通常の IPsec トポロジの場合に選択解除すると、HA グループにステートレス フェールオーバーが設定されます。ステートレス フェールオーバーは、HA グループに 3 つ以上のハブが含まれる場合にも設定されます。ステートレス フェールオーバーは、Cisco IOS ルータまたは Catalyst 6500/7600 デバイスに設定できます。

ステートレス フェールオーバーは、IKE 認証方式が RSA の署名である場合には使用できません。

Cisco IOS バージョン 12.3(14)T 以降が実行されているデバイスでだけ、ステートフル フェールオーバーと PKI を同時に設定できます。

関連項目

「ハブアンドスポーク VPN トポロジ」

「Easy VPN について」

GET VPN グループ暗号化の定義

[GET VPN Group Encryption] ページを使用して、GET VPN トポロジのグループ設定およびセキュリティ アソシエーションを定義します。

このページの内容は、Create VPN ウィザードを使用しているか、または Group Encryption ポリシーを編集しているかに応じて異なります。ウィザードのページはタブ形式ではありませんが、ポリシーはタブ形式で表示されます。ウィザードのページには追加のフィールドが用意されており、セキュリティ アソシエーションを設定できます。

[GET VPN Group Encryption] ページを開くには、次の手順を実行します。

新しい GET VPN を作成する場合は、Create VPN ウィザードを使用します。ウィザードの開始方法の詳細については、「VPN トポロジの作成または編集」を参照してください。

[Site-to-Site VPN Manager] ウィンドウ)既存の GET VPN トポロジを選択して、ポリシー セレクタで [Group Encryption Policy] を選択します。

(ポリシー ビュー)[Site-to-Site VPN] > [Group Encryption Policy] を選択して、既存のポリシーを選択するか、または新しいポリシーを作成します。

次の表に、GET VPN グループ暗号化設定を定義する場合に設定可能なオプションを示します。

 

表 21-12 [GET VPN Group Encryption Policy] ページ

要素
説明
[Group Settings] タブ

[Group Name]

Group Domain of Interpretation(GDOI)グループの名前。この名前は、VPN 名と同じです。

[Group Identity]

グループを識別するために使用されるパラメータ。すべてのキー サーバおよびグループ メンバーは、このパラメータを使用してグループを識別します。

ID には、番号(3333 など)または任意の IP アドレス(キーの再生成に使用するマルチキャスト アドレスなど)を使用できます。

[Receive Only]

イネーブルに設定すると、グループ メンバーによってトラフィックが復号化されて、クリア テキストで転送されます。この機能は、VPN のテストに役立ちます。通常の運用においては、このオプションを選択しないでください。詳細については、「パッシブ モードを使用した GET VPN への移行」を参照してください。

[Security Policy]

(Create VPN ウィザードだけ)

セキュリティ ポリシーとして使用される ACL ポリシー オブジェクト。このオブジェクトの内容の詳細な説明とグループ メンバー セキュリティ ポリシーとの関連については、「GET VPN セキュリティ ポリシーおよびセキュリティ アソシエーションについて」を参照してください。

このフィールドは、Create VPN ウィザードを使用している場合にだけ表示されます。Group Encryption ポリシーでは、[Security Associations] タブでセキュリティ ポリシーを設定します(後述の説明を参照)。

(注) キーの配布方法としてマルチキャストを使用している場合は、ACL ポリシー オブジェクトにマルチキャスト アドレスの拒否規則(ACE)が含まれている必要があります。こうすると、マルチキャストを使用して送信されるキーの再生成パケットは、TEK によって暗号化されなくなります。このステートメントにより、グループ メンバーは、マルチキャスト プロトコルを使用して送信されたキーの再生成パケットを受信できます。

[Authorization Type]

グループで使用する認可メカニズムのタイプを [None]、[Certificates]、または [Preshared Key] から選択します。[Certificates] または [Preshared Key] を選択すると、権限のあるグループ メンバーだけがキー サーバに登録できるようになり、セキュリティが強化されます。キー サーバが複数の GDOI グループで使用される場合には、このような追加のセキュリティが必要となります。

[Certificates] を選択した場合は、証明書フィルタのリストを作成する必要があります(識別名属性または完全修飾ドメイン名属性の組み合わせを使用)。このフィルタは、キー サーバに配置されて、GDOI グループに参加する権限がグループ メンバーにあるかどうかを確認するために使用される属性や値を指定します。証明書フィルタの名前を入力し、[Add Row](+)ボタンをクリックして、「[Add Certificate Filter] ダイアログボックス」に入力します。

(注) 証明書認可を設定するには、GET VPN の Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーも設定する必要があります。使用する PKI 登録オブジェクトには、必要に応じて、同じ識別名が定義されているか、またはデバイスの完全修飾ドメイン名が含まれている必要があります。

[Preshared Key] を選択した場合は、権限のあるグループ メンバーを特定するための ACL ポリシー オブジェクトも選択します。許可規則を使用して、グループ メンバーのホストまたはネットワーク アドレスを特定します。

[Key Distribution]

各グループ メンバーにキーを配布するために使用する転送方法([unicast] または [multicast])。どちらを使用するかを決定するのに役立つ情報については、「キーの再生成転送メカニズムの選択」を参照してください。

[unicast] を選択した場合、キー サーバは登録されている各グループ メンバーに対してキーの再生成メッセージを送信し、確認応答を待機します。[multicast] を選択した場合、キー サーバはキーの再生成メッセージをすべてのグループ メンバーに一度に送信し、確認応答は待機しません。キーの再生成メッセージは、このポリシーに設定された再送信間隔経過後に再送信されます。

[multicast] を選択した場合、キー サーバとして使用されているルータでマルチキャストがイネーブルになっていることを確認します。また、次のオプションを設定します。

[Group IP Address]:キー配布に使用されるマルチキャスト グループの IP アドレスです。

[Use Static IGMP Joins on Group Members]:このオプションを選択すると、静的な Source Specific Multicast(SSM)マッピングがイネーブルとなり、グループ メンバーに対してマルチキャスト トラフィックの送信元が通知されます。GET VPN の場合、グループ メンバーには、キー サーバのアドレスが通知されます。

[RSA Key Label]

さまざまなメッセージの暗号化に使用される、RSA キーのラベル。このキーは、デバイスにすでに存在している場合もありますが、使用されていない新しいラベルを指定することもできます。

新しい VPN を作成している場合、Create VPN ウィザードの最後にキー サーバ間でこのキーを同期するかどうかを尋ねられます。[Yes] をクリックすると、キーが存在していない場合には Security Manager によってキーが生成されます。既存の GET VPN でこの値を変更した場合は、Key Servers ポリシーからキーを同期する必要があります。このキーの用途、およびキーの生成と同期のプロセスの詳細については、「RSA キーの生成と同期」を参照してください。

[Lifetime (KEK)]

Key Encryption Key(KEK; キー暗号化キー)が有効な秒数。このキーは、キーの再生成メッセージの暗号化に使用されます。このライフタイムが終了する前に、キー サーバからグループにキーの再生成メッセージが送信されます。このメッセージには、新しい KEK 暗号化キーとトランスフォーム、および新しい TEK 暗号化キーとトランスフォームが含まれています。

KEK ライフタイム値は、TEK ライフタイム値よりも大きい必要があります(KEK ライフタイム値は、TEK ライフタイム値の少なくとも 3 倍以上にすることが推奨されます)。通常は、デフォルト値である 86,400 秒が適しています。TEK ライフタイム値は、セキュリティ アソシエーションごとに設定します(「[Add New Security Association]/[Edit Security Association] ダイアログボックス」を参照)。

[Encryption Algorithm]

キー サーバからグループ メンバーへのキーの再生成メッセージを暗号化するために使用されるアルゴリズム。

[Retransmits]

1 つ以上のグループ メンバーがキーの再生成メッセージを受信しない場合にメッセージを送信できる回数。

[Interval]

再試行間隔を表す秒数。

[Security Associations] タブ

[Security Associations] テーブル

[Security Associations] テーブルを使用して、VPN のセキュリティ アソシエーションを定義します。テーブルのカラムには、エントリの設定の概要が表示されます。これらについては、「[Add New Security Association]/[Edit Security Association] ダイアログボックス」で説明します。新しい VPN を作成する場合は、このタブではなく [Security Policy] フィールド(上記の説明を参照)を使用します。このタブは、ウィザードには表示されません。

セキュリティ アソシエーションを設定するには、次の手順を実行します。

テーブルにエントリを追加するには、[Add] ボタンをクリックして、[Add New Security Association] ダイアログボックスに入力します。

エントリを選択し、[Edit] ボタンをクリックして既存のエントリを編集します。

エントリを選択し、[Delete] ボタンをクリックして削除します。

関連項目

「GET VPN 登録プロセスについて」

「Group Encrypted Transport(GET)VPN について」

「GET VPN の設定」

[Add Certificate Filter] ダイアログボックス

[Add Certificate Filter] ダイアログボックスを使用して、GET VPN の Group Encryption ポリシー用の証明書フィルタを定義します。このフィルタは、キー サーバに配置されて、グループに参加する権限がグループ メンバーにあるかどうかを確認するために使用される属性や値を指定します。

次のフィルタ タイプのいずれかを選択します。

[dn](識別名):[Subject] フィールドに、 名前=値 のペアのリストをカンマで区切って指定します。たとえば、OU=Cisco, C=US のように指定します。Public Key Infrastructure ポリシーを設定する場合は、選択する PKI 登録オブジェクトの [Certificate Subject Name] タブで同じ値が定義されている必要があります(「[PKI Enrollment] ダイアログボックス - [Certificate Subject Name] タブ」を参照)。識別名を使用すると、1 つのフィルタで複数のデバイスに一致させることができます。

[fqdn](完全修飾ドメイン名):[Domain Name] フィールドに、単一のデバイスの完全修飾ドメイン名(router1.example.com など)を指定します。Public Key Infrastructure ポリシーを設定する場合は、選択する PKI 登録オブジェクトで [Include Device's FQDN] オプションが選択されている必要があります。各デバイスは一意の名前を持つため、FQDN フィルタは単一のデバイスにだけ一致します。


ヒント 証明書認可を設定するには、GET VPN の Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーも設定する必要があります。PKI ポリシーは、VPN のすべてのデバイスに設定します。


ナビゲーション パス

[GET VPN Group Encryption] ページの [Group Settings] タブで、認可タイプとして [Certificates] を選択し、[Authorization Filter] テーブルの下にある [Add Row] ボタンをクリックするか、またはフィルタを選択して [Edit Row] ボタンをクリックします。[Group Encryption] ページを開く方法については、「GET VPN グループ暗号化の定義」を参照してください。

関連項目

「GET VPN 登録プロセスについて」

「Group Encrypted Transport(GET)VPN について」

「GET VPN の設定」

[Add New Security Association]/[Edit Security Association] ダイアログボックス

[Add New Security Association]/[Edit Security Association] ダイアログボックスを使用して、選択した GET VPN トポロジで使用される IPsec プロファイル(名前とトランスフォーム セットだけ)およびセキュリティ ポリシーを定義します。

ナビゲーション パス

[Add New Security Association] ダイアログボックスを開くには、[GET VPN Group Encryption] ページの [Security Associations] タブで、[Add Row](+)ボタンをクリックするか、または既存のアソシエーションを選択して [Edit Row](鉛筆)ボタンをクリックします。[Group Encryption] ページを開く方法については、「GET VPN グループ暗号化の定義」を参照してください。

関連項目

「GET VPN 登録プロセスについて」

「Group Encrypted Transport(GET)VPN について」

「GET VPN の設定」

フィールド リファレンス

 

表 21-13 [Add New Security Association] ダイアログボックス

要素
説明

[ID]

プロファイルのシーケンス番号。この番号によって、セキュリティ アソシエーションの相対的なプライオリティが定義されます(1 が最も高いプライオリティです)。複数のセキュリティ アソシエーションがある場合、それぞれの ACL がこの番号で表された順序で連結(およびマージ)され、グループ メンバーは、連結された ACL を単一の ACL として処理します。

デフォルトの番号のままにするか、または新しい番号を入力します。

[IPSec Profile Name]

IPsec プロファイルの名前。

[Transform Sets]

IPsec プロファイルに定義されたトランスフォーム セット ポリシー オブジェクト(セキュリティ プロトコル、アルゴリズム、およびその他の設定)。複数のエントリがある場合は、カンマで区切って、プライオリティ順に並べます。定義済みのトランスフォーム セットのリストから選択する場合や、新しいトランスフォーム セットを作成する場合は、[Select] をクリックします。

[Security Policy]

セキュリティ アソシエーションに対して定義されているアクセス コントロール リスト ポリシー オブジェクト。定義済みの ACL オブジェクトのリストから選択する場合や、新しい ACL オブジェクトを作成する場合は、[Select] をクリックします。このオブジェクトの内容の詳細な説明とグループ メンバー セキュリティ ポリシーとの関連については、「GET VPN セキュリティ ポリシーおよびセキュリティ アソシエーションについて」を参照してください。

(注) キーの配布方法としてマルチキャストを使用している場合は、ACL ポリシー オブジェクトにマルチキャスト アドレスの拒否規則(ACE)が含まれている必要があります。こうすると、マルチキャストを使用して送信されるキーの再生成パケットは、TEK によって暗号化されなくなります。このステートメントにより、グループ メンバーは、マルチキャスト プロトコルを使用して送信されたキーの再生成パケットを受信できます。

[Enable Anti-Replay]

盗聴者がデータ ストリームにパケットを挿入できないようにするアンチリプレイ機能をイネーブルにするかどうかを指定します。アンチリプレイは、トラフィック カウンタまたは時間に基づいて設定できます。

[Counter Window Size]:これがデフォルトですが、このオプションは推奨しません。カウンタ ベースのアンチリプレイは、グループ メンバーが 2 つの場合(実質的にポイントツーポイント VPN の場合)にだけ役立ちます。ウィンドウ サイズを選択します。

[Time Window Size]:こちらが推奨される方法ですが、グループ メンバーが 3 つ以上であることが必要です。Synchronous Anti-Replay(SAR; 同期アンチリプレイ)クロックの間隔を表す秒数を入力します。1 ~ 100 の範囲の値を入力します。デフォルト値は 100 です。時間ベースのアンチリプレイの詳細については、「時間ベースのアンチリプレイについて」を参照してください。

(注) カウンタ ベースのアンチリプレイにおいて、パケット レートが高い状態で暗号化を行う場合は、KEK ライフタイムまたは TEK ライフタイムをあまり長くしないでください。数時間でシーケンス番号が折り返す可能性があるためです。たとえば、パケット レートが 100 キロパケット/秒の場合、シーケンス番号が折り返す前に SA が使用されるように、ライフタイムを 11.93 時間未満に設定する必要があります。

[Enable IPSec Lifetime]

Global Settings for GET VPN ポリシーで設定されるグローバル設定を上書きする IPsec セキュリティ アソシエーション ライフタイムを設定するかどうかを指定します(「GET VPN のグローバル設定」を参照)。このライフタイム値によって、キーの再生成が必要となるまでに、どの程度の時間 Traffic Encryption Key(TEK; トラフィック暗号化キー)を使用できるかが制御されます。

グループ メンバー間のトラフィック量(KB 単位)、秒数、またはその両方に基づいて値を設定します。いずれかの値に達するとキーが失効します。次の推奨事項を考慮してください。

ライフタイムは、Key Encryption Key(KEK; キー暗号化キー)に使用されるライフタイムよりも大幅に短く(3 分の 1 程度に)する必要があります(「GET VPN グループ暗号化の定義」を参照)。

トラフィック量が多い場合にはキーの再生成が頻繁に発生し、データが消失する危険性があるため、時間に基づくライフタイムを推奨します。

グローバル設定を上書きしない場合は、フィールドを空白のままにします。

GET VPN ピアの定義

Create VPN ウィザードの [GET VPN Peers] ページを使用して、GET VPN トポロジ内のキー サーバおよびグループ メンバーのピア プロパティを設定します。トポロジを作成したあとは、Key Servers ポリシーおよび Group Members ポリシーを使用して、これらの設定を変更します。ポリシーは、キー サーバとグループ メンバーのテーブルが異なるポリシーに分割されている点を除いて、ウィザードのページと同じです。


ヒント キー サーバおよびグループ メンバーのリストには、ウィザードの [Device Selection] ページで選択したデバイスが含まれます(「VPN トポロジのデバイスの選択」を参照)。ただし、[Add](+)ボタンおよび [Delete](ゴミ箱)ボタンを使用して、このページのデバイスを追加または削除できます。


キー サーバとグループ メンバーのリストを確認して、デフォルト設定がご使用の VPN に適しているかどうかを判断します。各テーブルの下にある [Show] フィールドで [Matching Interfaces] を選択して、デフォルトのインターフェイス ロールによって選択される実際のインターフェイスを表示できます。GET VPN 設定を有効にするには、インターフェイス ロールがデバイスの実際のインターフェイスに解決される必要があります。

始める前に

ここでは、新しい VPN を作成するときに GET VPN のピアを定義する方法、および GET VPN のピア設定について説明します。Create VPN ウィザードを開く方法については、「VPN トポロジの作成または編集」を参照してください。

関連項目

「登録の失敗時にも保護するためのフェールクローズの設定」

「パッシブ モードを使用した GET VPN への移行」

「GET VPN キー サーバの設定」

「GET VPN グループ メンバーの設定」


ステップ 1 デフォルト設定が適切でない場合は、キー サーバを設定します。

変更する各キー サーバを選択し、テーブルの下にある [Edit](鉛筆)ボタンをクリックして、少なくとも次の項目を設定します。使用可能なすべての設定については、「[Edit Key Server] ダイアログボックス」を参照してください。

[Identity Interface]:グループ メンバーがキー サーバを識別し、キー サーバに登録するために使用するインターフェイスを選択します。デフォルトは、キー サーバに定義されているすべてのループバック インターフェイスを識別するループバック インターフェイス ロールです。

[Priority]:1 ~ 100 の範囲のプライオリティ値を入力することによって、キー サーバのロールをプライマリまたはセカンダリとして定義します。最も高いプライオリティを持つキー サーバがプライマリ キー サーバとなります。2 つ以上のキー サーバに同じプライオリティ値が割り当てられている場合は、最も大きい IP アドレスを持つデバイスが使用されます。デフォルトのプライオリティは、最初のキー サーバに対しては 100、2 番目のキー サーバに対しては 95 などになります。


) ネットワークがパーティション化されている場合は、複数のプライマリ キー サーバが存在することがあります。


ステップ 2 テーブル内でキー サーバを上方または下方に移動して、グループ メンバーがキー サーバに登録する場合に使用する順序を指定します。グループ メンバーは、リストの最初のキー サーバに登録されます。最初のキー サーバに到達できない場合は、2 番目以降のキー サーバに順番に登録が試みられます。この順序は、どのキー サーバがプライマリ キー サーバであるかを判断するために使用される全体的なキー サーバのプライオリティを定義するものではないことに注意してください。

ステップ 3 デフォルト設定が適切でない場合は、グループ メンバーを設定します。

変更する各グループ メンバーを選択し、テーブルの下にある [Edit](鉛筆)ボタンをクリックして、少なくとも次の項目を設定します。

[GET-Enabled Interface]:Provider Edge(PE; プロバイダー エッジ)への VPN 対応外部インターフェイスです。このインターフェイスで発信または終了するトラフィックは、暗号化または復号化が適宜評価されます。複数のインターフェイスに解決されるインターフェイス ロール オブジェクトを選択することによって、複数のインターフェイスを設定できます。インターフェイス ロール オブジェクトを選択する場合や、新しいオブジェクトを作成する場合は、[Select] をクリックします。

[Interface To Be Used As Local Address]:キー サーバがキーの再生成情報などのデータを送信する場合にグループ メンバーを識別するために使用する IP アドレスを持つインターフェイス。GET が 1 つのインターフェイスでだけイネーブルになっている場合は、ローカル アドレスとして使用するインターフェイスを指定する必要はありません。GET が複数のインターフェイスでイネーブルになっている場合は、ローカル アドレスとして使用するインターフェイスを指定する必要があります。インターフェイスまたはインターフェイス ロールの名前を入力します。または、[Select] をクリックして、インターフェイス ロールを選択します。

他の使用可能な設定については、「[Edit Group Member] ダイアログボックス」を参照してください。


 

新しい VPN トポロジへの初期ポリシー(デフォルト)の割り当て

Create VPN ウィザードの [VPN Defaults] ページを使用して、作成する VPN トポロジに割り当てられる共有サイト間 VPN ポリシーを表示および選択します。このページには、選択した IPsec テクノロジーに応じて、VPN トポロジに割り当てることができるすべての使用可能な必須およびオプションのポリシーが表示されます(詳細は、「サイト間 VPN の必須ポリシーおよびオプションのポリシーについて」を参照してください)。

Create VPN ウィザードを開く方法については、「VPN トポロジの作成または編集」を参照してください。トポロジを作成したあとは、これらのポリシーを直接編集できます。

各ポリシー タイプにおいて、VPN トポロジに割り当てる共有 VPN ポリシーを選択します。共有ポリシーだけを選択できます。

このページに表示される初期デフォルトは、Security Manager Administration の「[VPN Policy Defaults] ページ」で設定します。必須ポリシーに対して特定のデフォルトが設定されていない場合は、出荷時のポリシーが選択されます。デフォルト ポリシーの設定の詳細については、「VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定」を参照してください。

ポリシーが必須の場合は、必ず選択を行う必要があります。共有ポリシーがない場合は、出荷時のポリシーだけを選択できます。トポロジを作成したあと、いつでもポリシーを編集できます。


) 現在他のユーザによってロックされている共有ポリシーの選択を試みた場合は、ロックに関する問題が存在することを示す警告メッセージが表示されます。ロックを回避するには、別のポリシーを選択するか、またはロックが解除されるまで VPN トポロジの作成をキャンセルします。詳細については、「ポリシーのロックについて」を参照してください。


ポリシーがオプションであり、共有ポリシーがない場合は、何も選択できません。そのポリシーによって提供される機能が必要な場合は、トポロジ作成終了後に設定します。

読み取り専用ダイアログボックスでポリシーの内容を表示するには、ポリシーを選択して、ポリシー リストの横にある [View Contents] ボタンをクリックします。

完了したら、[Finish] をクリックして、新しい VPN トポロジを作成します。新しい VPN トポロジが [Site-to-Site VPN] ウィンドウの VPN セレクタに表示され、[VPN Summary] ページが表示されます。「VPN トポロジの設定の概要の表示」を参照してください。

VPN トポロジの設定の概要の表示

[VPN Summary] ページを使用して、選択した VPN トポロジの設定の概要を表示します。概要には、VPN トポロジのタイプ、トポロジ内のデバイス、割り当てられたテクノロジー、およびトポロジに設定されている特定のポリシーについての情報が含まれます。概要ページは、VPN トポロジ作成後に自動的に表示されます。

VPN トポロジの [VPN Summary] ページを開くには、次の手順を実行します。

「[Site-to-Site VPN Manager] ウィンドウ」)VPN トポロジを選択して、[Policies] リストから [VPN Summary] を選択します。

(デバイス ビュー)VPN に参加するデバイスを選択して、[Policies] リストから [Site-to-Site VPN] ポリシーを選択します。VPN トポロジを選択して、[Edit VPN Policies] ボタンをクリックします。これにより、そのトポロジが選択された状態で [Site-to-Site VPN Manager] ウィンドウが表示されます。このウィンドウで、[Policies] リストから [VPN Summary] を選択できます。

次の表に、このページに表示される情報を示します。

 

表 21-14 [VPN Summary] ページ

要素
説明

[Name]

VPN トポロジの名前。

[Technology]

VPN トポロジに割り当てられた IPsec テクノロジー。「IPsec テクノロジーおよびポリシーについて」を参照してください。

[Type]

VPN トポロジ タイプ([Hub-and-Spoke]、[Point-to-Point]、または [Full Mesh])。

[Description]

VPN トポロジの説明。

[IPsec Terminator]

VPN トポロジが大規模 DMVPN の場合に使用可能です。

大規模 DMVPN のハブ間で GRE トラフィックを負荷分散するために使用される IPsec ターミネータの名前。

[Primary Hub]

VPN トポロジ タイプがハブアンドスポークの場合に使用可能です。

ハブアンドスポーク トポロジにおけるプライマリ ハブの名前。

[Failover Hubs]

VPN トポロジ タイプがハブアンドスポークの場合に使用可能です。

ハブアンドスポーク トポロジに設定されたすべてのセカンダリ バックアップ ハブの名前。

[Number of Spokes]

VPN トポロジ タイプがハブアンドスポークの場合に使用可能です。

ハブアンドスポーク トポロジに含まれるスポークの数。

[Peer 1]

VPN トポロジ タイプがポイントツーポイントの場合に使用可能です。

ポイントツーポイント VPN トポロジにおいてピア 1 として定義されるデバイスの名前。

[Peer 2]

VPN トポロジ タイプがポイントツーポイントの場合に使用可能です。

ポイントツーポイント VPN トポロジにおいてピア 2 として定義されるデバイスの名前。

[Number of Peers]

VPN トポロジ タイプが完全メッシュの場合に使用可能です。

完全メッシュ VPN トポロジに含まれているデバイスの数。

[IKE Proposal]

VPN トポロジに設定されている IKE プロポーザルのセキュリティ パラメータ。「[IKE Proposal] ページ」を参照してください。

[Dynamic VTI]

Easy VPN トポロジで使用可能です。

Easy VPN トポロジにおいて、デバイスにダイナミック仮想テンプレート インターフェイスが設定されているかどうかが表示されます。「[Dynamic VTI] タブ」を参照してください。

[Transform Sets]

VPN トンネル内のトラフィックを保護するために使用される認証および暗号化アルゴリズムを指定するトランスフォーム セット。「[IPsec Proposal] ページ」を参照してください。

[Preshared Key]

選択したテクノロジーが Easy VPN の場合は使用できません。

Preshared Key ポリシーで使用する共有キーがユーザ定義であるか、または自動生成されたものであるかを指定します。「[Preshared Key] ページ」を参照してください。

[Public Key Infrastructure]

VPN トポロジに Public Key Infrastructure ポリシーが設定されている場合に、CA サーバを指定します。「[Public Key Infrastructure] ページ」を参照してください。

[Routing Protocol]

選択したテクノロジーが IPsec/GRE、GRE ダイナミック IP、または DMVPN の場合にだけ使用可能です。

GRE、GRE ダイナミック IP、または DMVPN ルーティング ポリシーを設定するための、保護された IGP で使用されるルーティング プロトコルおよび自律システム(またはプロセス ID)番号です。

(注) Security Manager によって、展開時に、保護された IGP 内のすべてのデバイスにルーティング プロトコルが追加されます。この保護された IGP を維持する場合は、このルーティング プロトコルおよび自律システム(またはプロセス ID)番号を使用して、ルータ プラットフォーム ポリシーを作成する必要があります。

「[GRE Modes] ページ」を参照してください。

[Tunnel Subnet IP]

選択したテクノロジーが IPsec/GRE、GRE ダイナミック IP、または DMVPN の場合にだけ使用可能です。

トンネル サブネットが定義されている場合に、一意のサブネット マスクを含む内部トンネル インターフェイス IP アドレスが表示されます。

「[GRE Modes] ページ」を参照してください。

[User Group]

Easy VPN トポロジで使用可能です。

Easy VPN トポロジ内のデバイスに User Group ポリシーが設定されている場合に、ポリシーの詳細が表示されます。「[User Group Policy] ページ」を参照してください。

[PIX7.0/ASA Tunnel Group]

Easy VPN トポロジで使用可能です。

Easy VPN トポロジ内の PIX ファイアウォール バージョン 7.0+ または ASA アプライアンスに Connection Profile ポリシーが設定されている場合に、ポリシーの詳細が表示されます。「[Connection Profiles] ページ」を参照してください。

[High Availability]

VPN トポロジ タイプがハブアンドスポークの場合に使用可能です。

ハブアンドスポーク VPN トポロジ内のデバイスに High Availability ポリシーが設定されている場合に、ポリシーの詳細が表示されます。「VPN トポロジにおけるハイ アベイラビリティの設定」を参照してください。

[VRF-Aware IPsec]

VPN トポロジ タイプがハブアンドスポークの場合に使用可能です。

ハブアンドスポーク VPN トポロジ内のハブに VRF-Aware IPsec ポリシーが設定されている場合に、VRF ソリューションのタイプ(1 ボックスまたは 2 ボックス)および VRF ポリシーの名前が表示されます。「VRF 対応 IPsec の設定」を参照してください。

関連項目

「IKE プロポーザルの設定」

「IPsec プロポーザルの設定」

「Preshared Key ポリシーの設定」

「公開キー インフラストラクチャ ポリシーの設定」

「GRE または GRE ダイナミック IP のポリシーの設定」

「DMVPN のポリシーの設定」

「大規模 DMVPN の設定」

「Easy VPN での IPsec プロポーザルの設定」

「Easy VPN における User Group ポリシーの設定」

「Easy VPN における Connection Profile ポリシーの設定」

VPN トポロジの削除

VPN トポロジを削除すると、サイト間 VPN に割り当てられているデバイスとネットワークから、ピア間の IPsec トンネルおよび VPN トポロジに関連付けられたすべての設定が削除されます。設定を展開するまでは、ネットワークから実際の VPN は削除されません。


ステップ 1 次のいずれかを実行します。

[Tools] > [Site-To-Site VPN Manager] を選択して、「[Site-to-Site VPN Manager] ウィンドウ」を開きます。

デバイス ビューで、削除する VPN に参加しているデバイスを選択して、ポリシー セレクタから [Site to Site VPN] ポリシーを選択します(「デバイス ビューにおける VPN トポロジの設定」を参照)。

ステップ 2 削除する VPN トポロジを選択して、[Delete VPN Topology](ゴミ箱)ボタンをクリックします。削除の確認が求められます。


 

共通サイト間 VPN ポリシーの設定

いくつかのサイト間 VPN ポリシーは、多くの異なる VPN テクノロジーで使用されます。リモート アクセス VPN 設定で使用されることもあります。ここでは、このような共通ポリシーおよびその設定方法について説明します。

「IKE について」

「IPsec トンネル ポリシーについて」

「VPN グローバル設定について」

「Preshared Key ポリシーについて」

「Public Key Infrastructure ポリシーについて」

IKE について

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)は、IPsec ピアの認証、IPsec 暗号化キーのネゴシエーションと配布、および IPsec Security Association(SA; セキュリティ アソシエーション)の自動的な確立に使用されるキー管理プロトコルです。

IKE ネゴシエーションは 2 つのフェーズで構成されています。フェーズ 1 では、2 つの IKE ピア間のセキュリティ アソシエーションをネゴシエートします。これにより、ピアはフェーズ 2 で安全に通信できるようになります。フェーズ 2 のネゴシエーションでは、IKE によって IPsec などの他のアプリケーション用の SA が確立されます。両方のフェーズで接続のネゴシエーション時にプロポーザルが使用されます。

IKE プロポーザルは、2 つのピア間の IKE ネゴシエーションを保護するためにこれらのピアで使用されるアルゴリズムのセットです。IKE ネゴシエーションは、共通(共有)IKE ポリシーに合意している各ピアによって開始されます。このポリシーは、後続の IKE ネゴシエーションを保護するために使用されるセキュリティ パラメータを示します。各ピアにおいて、複数のポリシーをプライオリティ付きで作成して、少なくとも 1 つのポリシーがリモート ピアのポリシーに一致するようにできます。1 つの VPN あたり複数の IKE プロポーザルを定義できます。

IKE プロポーザルを定義するには、次の内容を指定する必要があります。

IKE ネゴシエーションで使用する暗号化アルゴリズム。「使用する暗号化アルゴリズムの決定」を参照してください。

整合性チェックに使用するハッシュ アルゴリズム。「使用するハッシュ アルゴリズムの決定」を参照してください。

暗号化アルゴリズムの実行時に使用するデフィーヘルマン グループ。「使用するデフィーヘルマン グループの決定」を参照してください。

使用するデバイス認証方式。「使用する認証方式の決定」を参照してください。

IKE SA の有効期間。

関連項目

「IKE プロポーザルの設定」

「[IKE Proposal] ページ」

使用する暗号化アルゴリズムの決定

IKE プロポーザルで使用する暗号化およびハッシュ アルゴリズムを決定する場合、VPN 内のデバイスによってサポートされているアルゴリズムだけを選択できます。

次の暗号化アルゴリズムから選択できます。

Data Encryption Standard(DES; データ暗号規格)は、対称秘密キー ブロック アルゴリズムです。3DES よりも高速であり、使用するシステム リソースも少ないですが、安全性も劣ります。堅牢なデータ機密保持が必要ない場合、およびシステム リソースや速度が重要である場合には、DES を選択します。

3DES(トリプル DES)では、毎回異なるキーを使用して各データ ブロックを 3 回処理するため、より安全です。ただし、使用するシステム リソースが多くなり、DES よりも速度が遅くなります。デバイスでサポートされている場合には、3DES 暗号化アルゴリズムを使用することを推奨します。

Advanced Encryption Standard(AES; 高度暗号化規格)は DES よりも安全であり、3DES よりも効率的に計算できます。AES には、128 ビット、192 ビット、256 ビットの 3 種類のキー強度が用意されています。キーが長いほど安全になりますが、パフォーマンスは低下します。AES は、IOS バージョン 12.3T 以降を実行するルータでだけサポートされています。


) AES は、ハードウェア暗号化カードとともに使用することはできません。


関連項目

「IKE について」

「IKE プロポーザルの設定」

使用するハッシュ アルゴリズムの決定

次のハッシュ アルゴリズムから選択できます。

SHA では、160 ビットのダイジェストが生成され、MD5 よりも総当たり攻撃に対する抵抗性があります。ただし、MD5 よりも多くのリソースを使用します。最高レベルのセキュリティが必要な実装では、SHA ハッシュ アルゴリズムを使用します。

MD5 では、128 ビットのダイジェストが生成され、SHA よりも処理時間が短く、全体的に高いパフォーマンスを発揮しますが、SHA よりもセキュリティ面で弱くなります。

関連項目

「IKE について」

「IKE プロポーザルの設定」

使用するデフィーヘルマン グループの決定

Security Manager では、IPsec SA キーを生成するためのデフィーヘルマン グループ 1、2、5、および 7 のキー導出アルゴリズムがサポートされています。各グループでは、異なるサイズの係数が使用されます。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。両方のピアに、一致する係数グループが存在する必要があります。

デフィーヘルマン グループ 1:768 ビットの係数。768 ビットの素数およびジェネレータを使用して IPsec SA キーを生成する場合に使用します。

デフィーヘルマン グループ 2:1024 ビットの係数。1024 ビットの素数およびジェネレータを使用して IPsec SA キーを生成する場合に使用します。

デフィーヘルマン グループ 5:1536 ビットの係数。2048 ビットの素数およびジェネレータを使用して IPsec SA キーを生成する場合に使用します。128 ビットのキーでは十分な保護レベルですが、グループ 14 の方がより安全です。

デフィーヘルマン グループ 7:163 文字の楕円曲線フィールド サイズを使用して IPsec SA キーを生成する場合に使用します。グループ 7 は、VPNSM または VPN SPA が設定された Catalyst 6500/7600 デバイスではサポートされていません。

デフィーヘルマン グループ 14:2048 ビットの係数を使用します。128 ビットのキーにおいて十分な保護レベルです。

デフィーヘルマン グループ 15:3072 ビットの係数を使用します。192 ビットのキーにおいて十分な保護レベルです。

デフィーヘルマン グループ 16:4096 ビットの係数を使用します。256 ビットのキーにおいて十分な保護レベルです。

関連項目

「IKE について」

「IKE プロポーザルの設定」

使用する認証方式の決定

Security Manager では、VPN 通信でのピア デバイス認証において 2 つの方式がサポートされています。

事前共有キー:事前共有キーを使用すると、秘密キーを 2 つのペア間で共有したり、認証フェーズ中に IKE で使用したりできます。各ピアに同じ共有キーを設定する必要があります。同じキーが設定されていない場合は、IKE SA を確立できません。

このデバイス認証方式を使用して IKE を正常に使用するには、さまざまな事前共有キー パラメータを定義する必要があります。詳細については、「Preshared Key ポリシーについて」を参照してください。

RSA の署名:IKE キー管理メッセージの署名および暗号化で RSA キーのペアが使用される認証方式です。RSA の署名では、2 つのピア間における通信の否認防止機能が提供されます。つまり、実際に通信が行われたことを証明できます。この認証方式を使用する場合は、Certification Authority(CA; 認証局)からデジタル証明書を取得するようにピアを設定します。CA は、証明書要求を管理して、参加する IPsec ネットワーク デバイスに証明書を発行します。これらのサービスによって、参加するデバイスに対して集中型のキー管理が提供されます。

事前共有キーを使用した場合のスケーラビリティは高くありませんが、CA を使用することによって、IPsec ネットワークを容易に管理できるようになり、スケーラビリティが高まります。CA を使用する場合は、すべての暗号化デバイス間でキーを設定する必要がありません。代わりに、参加する各デバイスは CA に登録され、CA に対して証明書を要求します。自身の証明書と CA の公開キーを持つ各デバイスは、その CA のドメイン内の他のすべてのデバイスを認証できます。

デバイス認証方式として RSA の署名を使用して IKE を正常に使用するには、CA 認証および登録用のパラメータを定義する必要があります。詳細については、「Public Key Infrastructure ポリシーについて」を参照してください。

関連項目

「IKE について」

「IKE プロポーザルの設定」

IKE プロポーザルの設定

Security Manager では、IKE プロポーザルは必須ポリシーであり、VPN トポロジに自動的に割り当てられます。このポリシーには、定義済みのセキュリティ パラメータが用意されています。[IKE Proposal] ページで、選択した IKE プロポーザルのパラメータの表示、定義済み IKE プロポーザルのリストからの異なるプロポーザルの選択、または IKE プロポーザルの作成を行うことができます。


) Internet Key Exchange(IKE; インターネット キー エクスチェンジ)キー管理プロトコルの詳細については、「IKE について」を参照してください。


この手順では、選択した IKE プロポーザルのパラメータを表示する方法、定義済み IKE プロポーザルのリストから異なるプロポーザルを選択する方法、および新しい IKE プロポーザルを作成する方法について説明します。

関連項目

「IKE について」

「Preshared Key ポリシーについて」


ステップ 1 ツールバーの [Site-To-Site VPN Manager] ボタンをクリックします。[Site-to-Site VPN Manager] ウィンドウが開きます。

ステップ 2 VPN セレクタで、目的の VPN トポロジを選択します。

ステップ 3 ポリシー セレクタで、[IKE Proposal Policy] を選択します。

割り当てられた IKE プロポーザルおよびそのデフォルト値を表示した [IKE Proposal] ページが表示されます。このページの要素の詳細については、「[IKE Proposal] ページ」を参照してください。

ステップ 4 異なる IKE プロポーザルを割り当てるには、[Select] をクリックします。[Select IKE Policy Object] ダイアログボックスが開きます。リストから目的の IKE プロポーザルを選択して、[OK] をクリックします。必要な IKE プロポーザルがリストにない場合は、[Add] をクリックして、IKE プロポーザル オブジェクトを作成します。詳細については、「[Add IKE Proposal]/[Edit IKE Proposal] ダイアログボックス」を参照してください。


 

[IKE Proposal] ページ

[IKE Proposal] ページを使用して、2 つのピア間での IKE ネゴシエーションを保護するために使用する IKE プロポーザルを選択します。IKE プロポーザルは、VPN トポロジにすでに設定されている必須ポリシーであり、定義済みのデフォルト値が用意されています。[IKE Proposal] ページで、選択した IKE プロポーザルのパラメータの表示、定義済み IKE プロポーザルのリストからの異なるプロポーザルの選択、または新しい IKE プロポーザルの作成を行うことができます。

ナビゲーション パス

「[Site-to-Site VPN Manager] ウィンドウ」)VPN セレクタでトポロジを選択して、ポリシー セレクタで [IKE Proposal] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタで [Site-to-Site VPN] > [IKE Proposal] を選択します。既存の共有ポリシーを選択するか、新しい共有ポリシーを作成します。

関連項目

「IKE について」

「IKE プロポーザルの設定」

「Preshared Key ポリシーについて」

「[Preshared Key] ページ」

「デバイス ビューにおける VPN トポロジの設定」

フィールド リファレンス

 

表 21-15 [IKE Proposal] ページ

要素
説明

[Available IKE Proposals]

選択できる定義済みの IKE プロポーザルが一覧表示されます。

リストから、必要な IKE プロポーザルを選択します。[Selected IKE Proposal] フィールドのプロポーザルが、選択した IKE プロポーザルに置き換えられます。

IKE プロポーザルは、定義済みオブジェクトです。必要な IKE プロポーザルがリストにない場合は、[Add] をクリックして [IKE Editor] ダイアログボックスを開くと、そこで IKE プロポーザル オブジェクトを作成または編集できます。詳細については、「[Add IKE Proposal]/[Edit IKE Proposal] ダイアログボックス」を参照してください。

[Selected]

選択した IKE プロポーザルおよびその定義済みのデフォルト値が表示されます。デフォルトは、 preshared_sha_3des_dh5_5 です。

(注) 選択した IKE プロポーザルは定義済みのオブジェクトであるため、編集することはできません。作成した IKE プロポーザル オブジェクトのプロパティだけを編集できます。

このフィールドから IKE プロポーザルを削除するには、異なるプロポーザルを選択します。

[Create] ボタン

IKE プロポーザル オブジェクトを作成するための [IKE Editor] ダイアログボックスが開きます。詳細については、「[Add IKE Proposal]/[Edit IKE Proposal] ダイアログボックス」を参照してください。

[Edit] ボタン

選択された IKE プロポーザルを編集するための [IKE Editor] ダイアログボックスが開きます。詳細については、「[Add IKE Proposal]/[Edit IKE Proposal] ダイアログボックス」を参照してください。

IPsec トンネル ポリシーについて

IPsec は、VPN を設定する場合の最も安全な方法の 1 つです。IPsec では、IP パケット レベルでのデータ暗号化が提供され、標準規格に準拠した堅牢なセキュリティ ソリューションが提供されます。基本 IPsec 設定では、ルーティング プロトコルを使用できません。作成されるポリシーは、基本 IPsec のプロビジョニングに使用されます。基本 IPsec は、Cisco IOS ルータ、PIX ファイアウォール、Catalyst VPN サービス モジュール、および Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)デバイスに設定できます。

IPsec では、データはトンネルを介してパブリック ネットワーク経由で送信されます。トンネルとは、2 つのピア間のセキュアで論理的な通信パスです。IPsec トンネルを通過するトラフィックは、トランスフォーム セットと呼ばれるセキュリティ プロトコルとアルゴリズムの組み合わせによって保護されます。

Security Manager では、VPN トポロジ内のデバイスに IPsec プロポーザルを設定できます。IPsec プロポーザルとは、デバイスの VPN インターフェイスに適用される 1 つ以上のクリプト マップの集合です。クリプト マップには、トランスフォーム セットを含む、IPsec セキュリティ アソシエーションを設定するために必要なすべてのコンポーネントが含まれています。クリプト マップでは、Reverse Route Injection(RRI; 逆ルート注入)を設定することもできます。

詳細については、次の項を参照してください。

「クリプト マップについて」

「トランスフォーム セットについて」

「逆ルート注入について」

関連項目

「IPsec プロポーザルの設定」

クリプト マップについて

クリプト マップには、IPsec 規則、トランスフォーム セット、リモート ピア、および IPsec SA を定義するために必要なその他のパラメータを含む、IPsec セキュリティ アソシエーションを設定するために必要なすべてのコンポーネントが組み合わされています。クリプト マップ エントリは、一連の CLI コマンドに名前が付けられた形式になっています。同じクリプト マップ名および異なるマップ シーケンス番号を持つ複数のクリプト マップ エントリは、1 つのクリプト マップ セットにグループ化されて、関連するデバイスの VPN インターフェイスに適用されます。インターフェイスを通過するすべての IP トラフィックは、適用されたクリプト マップ セットに対して評価されます。

2 つのピアが SA を確立しようとする場合は、それぞれに少なくとも 1 つの互換クリプト マップ エントリが必要です。クリプト マップ エントリに定義されたトランスフォーム セットは、そのクリプト マップの IPsec 規則によって指定されたデータ フローを保護するための IPsec セキュリティ ネゴシエーションで使用されます。

不明なリモート ピアがローカル ハブとの間の IPsec セキュリティ アソシエーションの開始を試みた場合、ダイナミック クリプト マップ ポリシーが使用されます。ハブは、セキュリティ アソシエーション ネゴシエーションを開始できません。ダイナミック クリプト ポリシーを使用することによって、ハブがリモート ピアのアイデンティティを把握していない場合でも、リモート ピアはローカル ハブとの間で IPsec トラフィックを交換できます。ダイナミック クリプト ポリシーは、個別のハブ、またはハブを含むデバイス グループに作成できます。このポリシーは、ハブに対してだけ書き込まれ、グループにスポークが含まれていてもスポークには書き込まれません。実質的には、ダイナミック クリプト マップ ポリシーによって、すべてのパラメータが設定されていないクリプト マップ エントリが作成されます。設定されていないパラメータは、IPsec ネゴシエーションの結果として、リモート ピアの要件に合うようにあとで動的に設定されます。ダイナミック クリプト マップまたはスタティック クリプト マップのピア アドレスは、VPN トポロジから推定されます。

ダイナミック クリプト マップ ポリシーは、ハブアンドスポーク VPN 設定にだけ適用されます。ポイントツーポイントまたは完全メッシュ VPN トポロジでは、スタティック クリプト マップ ポリシーだけを適用できます。


) Security Manager では、トンネルのピアが Security Manager によって管理されている場合にだけ、既存の VPN トンネルを管理できます。このような場合、Security Manager では、ピアにおいてトンネルに同じクリプト マップ名が使用されます。以降の展開においては、Security Manager トンネルだけが管理されます(Security Manager では、設定されたすべてのトンネルのログが保持されます)。


関連項目

「IPsec トンネル ポリシーについて」

「トランスフォーム セットについて」

「IPsec プロポーザルの設定」

トランスフォーム セットについて

トランスフォーム セットとは、IPsec トンネル内のトラフィックを保護するためのセキュリティ プロトコルおよびアルゴリズムの組み合わせです。IPsec セキュリティ アソシエーション ネゴシエーション中に、ピアでは、両方のピアに共通するトランスフォーム セットが検索されます。共通するトランスフォーム セットが見つかると、そのトランスフォーム セットが両方のピアの IPsec セキュリティ アソシエーションの一部としてトラフィックに適用されます。

1 つのトンネル ポリシーごとに複数のトランスフォーム セットを指定できます。スポークまたはスポークのグループに対してポリシーを定義する場合は、通常、複数のトランスフォーム セットを指定する必要はありません。これは、スポークに割り当てられたハブが、通常は、スポークがサポートするすべてのトランスフォーム セットをサポートできる、よりパフォーマンスの高いルータであるためです。ただし、ハブでダイナミック クリプトに関してポリシーを定義している場合は、ハブと不明なスポークとの間でトランスフォーム セットが一致するように、複数のトランスフォーム セットを指定する必要があります。1 つのクリプト マップ エントリには、最大 6 つのトランスフォーム セットを指定できます。選択したトランスフォーム セットの 2 つ以上が両方のピアでサポートされている場合は、最も高いセキュリティを提供するトランスフォーム セットが使用されます。

トランスフォーム セットを定義する場合は、使用する IPsec の動作モード(トンネル モードまたはトランスポート モード)を指定する必要があります。AH プロトコルおよび ESP プロトコルを使用して、IP ペイロード全体を保護するか(トンネル モード)、IP ペイロードの上位レイヤ プロトコルだけを保護(トランスポート モード)できます。

トンネル モード(デフォルト)では、元の IP データグラム全体が暗号化され、その暗号化されたデータが新しい IP パケットのペイロードとなります。このモードでは、ルータは IPsec プロキシとして動作できます。つまり、ルータがホストに代わって暗号化を行います。送信元のルータは、パケットを暗号化して、IPsec トンネル経由でそのパケットを転送します。宛先側のルータは、元の IP データグラムを復号化して、それを宛先システムに転送します。トンネル モードの主な利点は、終端システムを変更しなくても IPsec を利用できる点です。また、トンネル モードを使用すると、トラフィック分析に対しても保護されます。トンネル モードを使用した場合、攻撃者は、トンネルのエンドポイントだけを特定できます。トンネルを通過するパケットの送信元と宛先がトンネルのエンドポイントと同じである場合でも、攻撃者はそのパケットの実際の送信元と宛先を特定できません。

トランスポート モードでは、IP ペイロードだけが暗号化され、元の IP ヘッダーはそのまま使用されます。このモードの利点は、各パケットに追加されるのが数バイトだけである点です。また、パブリック ネットワーク上のデバイスは、パケットの実際の送信元と宛先を確認できます。ただし、IP ヘッダーがクリア テキストで渡されるため、トランスポート モードでは、攻撃者が一定のトラフィック分析を実行できます。たとえば、攻撃者は、会社の CEO がいつ他の上級役員に多くのパケットを送信したかを把握できます。ただし、攻撃者が把握できるのは、IP パケットが送信されたという事実だけです。パケットの内容は解読できません。トランスポート モードでは、フローの宛先は IPsec 終端デバイスである必要があります。


) IPsec または Easy VPN テクノロジーが割り当てられている場合には、トランスポート モードは使用できません。


Security Manager には、トンネル ポリシーで使用できる定義済みのトランスフォーム セットが用意されています。独自のトランスフォーム セットを作成することもできます。詳細については、「[Add IPSec Transform Set]/[Edit IPSec Transform Set] ダイアログボックス」を参照してください。

関連項目

「IPsec トンネル ポリシーについて」

「クリプト マップについて」

「IPsec プロポーザルの設定」

逆ルート注入について

Reverse Route Injection(RRI; 逆ルート注入)により、スタティック ルートは、リモート トンネル エンドポイントで保護されているネットワークとホストのルーティング プロセスに自動的に挿入されます。保護されているこれらのホストおよびネットワークは、リモート プロキシ アイデンティティと呼ばれます。各ルートは、リモート プロキシ ネットワークとマスクを基にして作成され、リモート トンネル エンドポイントがこのネットワークへのネクストホップとなります。リモート VPN ルータをネクストホップとして使用することによって、トラフィックは強制的に暗号プロセスを通して暗号化されます。

VPN ルータでスタティック ルートが作成されたあと、この情報がアップストリーム デバイスに伝播されます。これにより、アップストリーム デバイスでは、IPsec 状態フローを維持するためのリターン トラフィックの送信先として適切な VPN ルータを特定できるようになります。この機能は、サイトで複数の VPN ルータを使用してロード バランシングやフェールオーバーを提供している場合や、デフォルト ルート経由でリモート VPN デバイスにアクセスできない場合に特に便利です。ルートは、グローバル ルーティング テーブルまたは適切な Virtual Routing and Forwarding(VRF)テーブルに作成されます。


) VRF 対応 IPsec が設定されている場合、Security Manager によって、High Availability(HA; ハイ アベイラビリティ)が設定されているデバイスや IPsec Aggregator に自動的に RRI が設定されます。リモート アクセス VPN 内のデバイスのクリプト マップに RRI を設定することもできます。「リモート アクセス VPN サーバの IPsec プロポーザルの設定」を参照してください。


Security Manager では、逆ルート注入を設定する場合に次のオプションを使用できます。

ダイナミック クリプト マップでは、ルートは、リモート プロキシの IPsec SA が正常に確立されたときに作成されます。リモート プロキシへのネクストホップは、リモート VPN ルータ経由となります。リモート VPN ルータのアドレスは、ダイナミック クリプト マップ テンプレートの作成中に学習および適用されます。ルートは、SA が削除されたあとに削除されます。

[Remote Peer] オプション(IOS デバイスでだけ使用可能)を使用すると、リモート VPN デバイスへの明示的なネクストホップとして、インターフェイスまたはアドレスを指定できます。2 つのルートが作成されます。1 つ目のルートは標準的なリモート プロキシ アイデンティティであり、ネクストホップはリモート VPN クライアントのトンネル アドレスとなります。2 つ目のルートは、再帰検索において「ネクストホップ」経由でリモート エンドポイントに到達できることが強制される場合のリモート トンネル エンドポイントへの実際のルートです。実際のネクストホップ用の 2 つ目のルートを作成することは、デフォルト ルートをより明示的なルートで上書きする必要がある場合に VRF 対応 IPsec で非常に重要となります。


) VPN Services Module(VPNSM; VPN サービス モジュール)を使用するデバイスでは、ネクストホップはクリプト マップが適用されるインターフェイス、サブインターフェイス、または VLAN となります。


[Remote Peer IP](IOS デバイスでだけ使用可能)の場合、ユーザ定義のネクストホップを経由したリモート プロキシへのルートが 1 つ作成されます。暗号化された発信パケットを適切に送信するために、ネクストホップを使用してデフォルト ルートを上書きできます。このオプションを使用すると、作成されるルートの数を減らすことができます。また、このオプションでは、ルート再帰を容易に使用できないプラットフォームがサポートされます。

関連項目

「IPsec トンネル ポリシーについて」

「クリプト マップについて」

「IPsec プロポーザルの設定」

「リモート アクセス VPN サーバの IPsec プロポーザルの設定」

IPsec プロポーザルの設定

Security Manager において、IPsec プロポーザルとは、VPN トポロジに割り当てることができるポリシーを指します。[Site-to-Site VPN Manager] ウィンドウでは、選択した VPN トポロジに割り当てることができる定義済みの IPsec プロポーザルを表示できます。このページでは、必要に応じて IPsec プロポーザルを編集できます。

この手順では、IPsec プロポーザルのパラメータを編集する方法について説明します。

関連項目

「IPsec トンネル ポリシーについて」

「逆ルート注入について」

「[IPsec Proposal] ページ」


ステップ 1 ツールバーの [Site-To-Site VPN Manager] ボタンをクリックします。[Site-to-Site VPN Manager] ウィンドウが開きます。

ステップ 2 VPN セレクタで、必要な VPN トポロジを選択します。

ステップ 3 ポリシー セレクタで、[IPsec Proposal] を選択します。

選択した IPsec プロポーザルの定義済みパラメータを表示した [IPsec Proposal] ページが表示されます。このページの要素の詳細については、表 21-16を参照してください。

ステップ 4 クリプト マップ タイプに応じて、[Static] または [Dynamic] オプション ボタンをクリックします。

ステップ 5 トンネル ポリシーに必要なトランスフォーム セットを選択します。

ステップ 6 暗号化された交換ごとに一意のセッション キーを生成して使用する場合は、[Enable Perfect Forward Secrecy] チェックボックスをオンにします。その後、[Modulus Group] リストから、必要なデフィーヘルマン キー導出アルゴリズムを選択します。

ステップ 7 [Lifetime] フィールドで、暗号化 IPsec Security Association(SA; セキュリティ アソシエーション)のライフタイム設定を、秒、KB、またはその両方で指定します。

ステップ 8 インターフェイスで、Cisco IOS Quality of Service サービスがトンネリングおよび暗号化と連動できるようにするには、[QoS Preclassify] チェックボックスをオンにします。

ステップ 9 (PIX 7.0+、ASA、または 7600 デバイスを除く IOS ルータで)クリプト マップに Reverse Route Injection(RRI; 逆ルート注入)を設定するために必要なオプションを選択します。


 

[IPsec Proposal] ページ

[IPsec Proposal] ページを使用して、VPN トポロジの IPsec ポリシー定義を編集します。


) Easy VPN サーバで IPsec ポリシー定義を設定する場合は、[IPsec Proposal] ページには異なる要素が表示されます。「[Easy VPN IPsec Proposal] ページ」を参照してください。


ナビゲーション パス

「[Site-to-Site VPN Manager] ウィンドウ」)VPN セレクタでトポロジを選択して、ポリシー セレクタで [IPsec Proposal] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタで [Site-to-Site VPN] > [IPsec Proposal] を選択します。既存の共有ポリシーを選択するか、新しい共有ポリシーを作成します。

関連項目

「IPsec トンネル ポリシーについて」

「IPsec プロポーザルの設定」

フィールド リファレンス

 

表 21-16 [IPsec Proposal] ページ

要素
説明

[Crypto Map Type]

クリプト マップには、IPsec セキュリティ アソシエーションを設定するために必要なすべてのコンポーネントが組み合わされています。2 つのピアが SA を確立しようとする場合は、それぞれに少なくとも 1 つの互換クリプト マップ エントリが必要です。

生成するクリプト マップのタイプを選択します。

[Static]:スタティック クリプト マップは、ポイントツーポイントまたは完全メッシュ VPN トポロジで使用します。

[Dynamic]:ダイナミック クリプト マップは、ハブアンドスポーク VPN トポロジでだけ使用できます。ダイナミック クリプト マップ ポリシーを使用することによって、ハブがリモート ピアのアイデンティティを把握していない場合でも、リモート ピアはローカル ハブとの間で IPsec トラフィックを交換できます。

詳細については、「クリプト マップについて」を参照してください。

[Transform Sets]

トンネル ポリシーで使用するトランスフォーム セット。トランスフォーム セットは、トンネル内のトラフィックを保護するために使用される認証および暗号化アルゴリズムを指定します。最大 6 つのトランスフォーム セットを選択できます。

(注) トランスフォーム セットでは、トンネル モードまたはトランスポート モードの IPsec 動作を使用できます。IPsec または Easy VPN テクノロジーが割り当てられている場合には、トランスポート モードは使用できません。

デフォルトのトランスフォーム セット( tunnel_3des_sha )が表示されます。別のトランスフォーム セットを使用するか追加のトランスフォーム セットを選択する場合は、[Select] をクリックして、すべての使用可能なトランスフォーム セットを表示するダイアログボックスを開き、このダイアログボックスでトランスフォーム セット オブジェクトを作成できます。詳細については、「[Add IPSec Transform Set]/[Edit IPSec Transform Set] ダイアログボックス」を参照してください。

選択したトランスフォーム セットの 2 つ以上が両方のピアでサポートされている場合は、最も高いセキュリティを提供するトランスフォーム セットが使用されます。

詳細については、「トランスフォーム セットについて」を参照してください。

[Enable Perfect Forward Secrecy]

選択されている場合、Perfect Forward Secrecy(PFS; 完全転送秘密)を使用して、暗号化された交換ごとに一意のセッション キーを生成して使用できます。

一意のセッション キーを使用することによって、以降の復号化から交換が保護されます。このことは、交換全体が記録され、攻撃者がエンドポイント デバイスで使用される事前共有キーまたは秘密キーを入手している場合であっても該当します。

(注) PFS をイネーブルにするには、PFS セッション キーを生成するためのデフィーヘルマン グループも選択する必要があります。

[Modulus Group]

[Enable Perfect Forward Secrecy] を選択した場合に使用可能です。

[Modulus Group] リスト ボックスから、必要なデフィーヘルマン キー導出アルゴリズムを選択します。

Security Manager では、デフィーヘルマン グループ 1、2、5、および 7 のキー導出アルゴリズムがサポートされています。各グループでは、異なるサイズの係数が使用されます。

グループ 1(デフォルト):768 ビットの係数

グループ 2:1024 ビットの係数

グループ 5:1536 ビットの係数

グループ 7:楕円曲線フィールド サイズが 163 文字の場合に使用

詳細については、「使用するデフィーヘルマン グループの決定」を参照してください。

[Lifetime (sec)]

SA が期限切れになるまでに存続できる秒数。デフォルトは 3600 秒(1 時間)です。

ライフタイムとは、暗号化 IPsec Security Association(SA; セキュリティ アソシエーション)のグローバルなライフタイム設定を指します。IPsec ライフタイムは、秒、KB、またはその両方で指定できます。

[Lifetime (kbytes)]

特定の SA が期限切れになるまでにその SA を使用して IPsec ピア間を通過できるトラフィック量(KB 単位)。

有効な値は、デバイス タイプに応じて異なります。有効な値の範囲は、IOS ルータでは 10 ~ 2147483647、PIX7.0 または ASA デバイスでは 2560 ~ 536870912 です。

デフォルト値は 4,608,000 KB です。

[QoS Preclassify]

7600 デバイスを除く Cisco IOS ルータでサポートされます。

選択されている場合、トンネリングおよび暗号化実行前にパケットを分類できます。

VPN の Quality of Service(QoS; サービス品質)機能を使用すると、インターフェイスで Cisco IOS QoS サービスとトンネリングおよび暗号化を同時に実行できます。

出力インターフェイスの QoS 機能によって、データが暗号化およびトンネリングされる前にパケットが分類されて、適切な QoS サービスが適用されます。これにより、輻輳した環境でのトラフィック フローの調整が可能となり、より効率的なパケットのトンネリングを実現できます。

[Reverse Route]

ASA デバイス、PIX 7.0+ デバイス、および 7600 デバイス以外の Cisco IOS ルータでサポートされます。

Reverse Route Injection(RRI; 逆ルート注入)により、スタティック ルートは、リモート トンネル エンドポイントで保護されているネットワークとホストのルーティング プロセスに自動的に挿入されます。詳細については、「逆ルート注入について」を参照してください。

次のいずれかのオプションを選択して、クリプト マップで RRI を設定します。

[None]:クリプト マップで RRI の設定をディセーブルにします。

[Standard](ASA、PIX 7.0+、IOS デバイス):クリプト マップ Access Control List(ACL; アクセス コントロール リスト)に定義された宛先情報に基づいてルートを作成します。これはデフォルトのオプションです。

[Remote Peer](IOS デバイスだけ):リモート エンドポイント用に 1 つ、クリプト マップが適用されるインターフェイス経由でのリモート エンドポイントへのルート再帰用に 1 つ、合計 2 つのルートを作成します。

[Remote Peer IP](IOS デバイスだけ):アドレスをリモート VPN デバイスへの明示的なネクストホップとして指定します。IP アドレス、またはアドレスを指定するネットワーク/ホスト オブジェクトを入力します。あるいは、[Select] をクリックして、リストからネットワーク/ホスト オブジェクトを選択するか、または新しいオブジェクトを作成します。

チェックボックスをオンにし、必要に応じて、このオブジェクトを使用する特定のデバイスの IP アドレスを上書きできます。

VPN グローバル設定について

Security Manager では、VPN トポロジ内のすべてのデバイスに適用される VPN グローバル設定を定義できます。グローバル設定には、Internet Key Exchange(IKE; インターネット キー エクスチェンジ)、IPsec、NAT、フラグメンテーションの定義などがあります。

ここでは、これらのグローバル VPN 設定について説明します。

「ISAKMP/IPsec 設定について」

「NAT について」

「フラグメンテーションについて」

関連項目

「VPN グローバル設定」

ISAKMP/IPsec 設定について

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)プロトコルは、Internet Security Association and Key Management Protocol(ISAKMP)とも呼ばれ、2 つのホスト間で IPsec セキュリティ アソシエーションの構築方法について合意するためのネゴシエーション プロトコルです。各 ISAKMP ネゴシエーションは、フェーズ 1 とフェーズ 2 の 2 段階に分けられます。フェーズ 1 では、ISAKMP ネゴシエーション メッセージを保護する最初のトンネルが作成されます。フェーズ 2 では、データを保護するトンネルが作成されます。

ISAKMP ネゴシエーションの条件を設定するために、IKE プロポーザルを作成します。詳細については、「IKE プロポーザルの設定」を参照してください。

IKE キープアライブについて

IKE キープアライブでは、トンネル ピア間で、トンネル経由でデータを送受信できることを示すメッセージが交換されます。キープアライブ メッセージは、設定された間隔で送信されます。この時間内にメッセージが送信されない場合は、バックアップ デバイスを使用して新しいトンネルが作成されます。

耐障害性を確保するために IKE キープアライブを使用しているデバイスでは、他の情報を交換しているかどうかにかかわらず、キープアライブ メッセージが送信されます。そのため、これらのキープアライブ メッセージによって、若干ではあるものの追加の負荷がネットワークにかかります。

キープアライブ(DPD)と呼ばれる IKE キープアライブのバリエーションでは、着信トラフィックを受信しておらず、発信トラフィックを送信する必要がある場合にだけ、ピア デバイス間でキープアライブ メッセージが送信されます。発信トラフィックがあるかどうかにかかわらず、着信トラフィックを受信していない場合に DPD キープアライブ メッセージを送信する場合は、[Periodic] オプションを使用してこのことを指定します。「[ISAKMP/IPsec Settings] タブ」を参照してください。

関連項目

「VPN グローバル設定」

「[ISAKMP/IPsec Settings] タブ」

NAT について

Network Address Translation(NAT; ネットワーク アドレス変換)によって、内部 IP アドレスを使用するデバイスがインターネット経由でデータを送受信できるようになります。NAT では、デバイスがインターネット上のデータへのアクセスを試みたときに、プライベートな内部 LAN アドレスが、グローバルにルーティング可能な IP アドレスに変換されます。このように、NAT を使用すると、少ない数のパブリック IP アドレスで多数のホストにグローバル接続を提供できます。

NAT では、ハブアンドスポーク VPN トンネルにおける安定性が向上します。これは、VPN 接続に必要なリソースが他の目的に使用されず、VPN トンネルが完全なセキュリティを必要とするトラフィックに対して継続して使用可能になるためです。VPN 内部のサイトでは、スプリット トンネル経由で NAT を使用して外部デバイスとセキュアでないトラフィックを交換できます。重要でないトラフィックを VPN トンネル経由で送信することによって、VPN 帯域幅を浪費したり、トンネル ヘッドエンドのハブに過負荷をかけたりすることがありません。

Security Manager では、ダイナミック IP アドレッシングによる NAT だけがサポートされており、ポート レベルの NAT または Port Address Translation(PAT; ポート アドレス変換)と呼ばれる方式を可能にする「オーバーロード」機能が適用されます。PAT では、ポート アドレッシングを使用して、何千ものプライベート NAT アドレスが少数のパブリック IP アドレスのグループに関連付けられます。PAT は、ネットワークのアドレッシング要件がダイナミック NAT プールで使用可能なアドレスを超える場合に使用されます。


) Cisco IOS ルータで PAT をイネーブルにすると、展開時に、スプリット トンネリングされるトラフィック用に追加の NAT 規則が暗黙的に作成されます。(外部インターフェイスを IP アドレス プールとして使用して)VPN トンネリングされるトラフィックを拒否し、他のすべてのトラフィックを許可するこの NAT 規則は、ルータ プラットフォーム ポリシーとしては反映されません。この機能をディセーブルにすることによって、NAT 規則を削除できます。詳細については、「[NAT] ページ - [Dynamic Rules]」を参照してください。



) サイト間 VPN トラフィックで NAT 設定を無視するようにトラフィックを設定できます。Cisco IOS ルータで NAT 設定を無視するには、[NAT Dynamic Rule] プラットフォーム ポリシーで [Do Not Translate VPN Traffic] チェックボックスがイネーブルになっていることを確認します(「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照)。PIX ファイアウォールまたは ASA デバイスで NAT を除外するには、[NAT Translation Options] プラットフォーム ポリシーでこのチェックボックスがオンになっていることを確認します(「[Translation Options] ページ」を参照)。


NAT 通過について

NAT 通過は、VPN 接続ハブアンドスポークの間にデバイス(中間デバイス)があり、そのデバイスが IPsec フローで NAT を実行する場合に、キープアライブ メッセージの送信に使用されます。

スポークの VPN インターフェイスの IP アドレスがグローバルにルーティング可能でない場合、中間デバイスにおける NAT でこのアドレスが新しいグローバルにルーティング可能な IP アドレスに置換されます。この変更は、IPsec ヘッダーで行われるため、スポークのチェックサムが無効となり、ハブにおけるチェックサムの計算が一致しなくなります。これにより、ハブとスポークとの間の接続が失われます。

NAT 通過を使用すると、スポークでペイロードに UDP ヘッダーが追加されます。中間デバイスにおける NAT では、この UDP ヘッダーの IP アドレスが変更され、IPsec ヘッダーおよびチェックサムは変更されないままとなります。スタティック NAT を使用する中間デバイスでは、(グローバルにルーティング可能な)スタティック NAT IP アドレスを内部インターフェイスに指定する必要があります。スタティック NAT IP アドレスは、そのインターフェイスを通過し NAT を必要とするすべてのトラフィックに提供されます。ただし、NAT IP アドレスが不明なダイナミック NAT を中間デバイスで使用する場合は、スポークからのすべての接続要求に対応できるように、ハブにダイナミック クリプトを定義する必要があります。Security Manager によって、スポークに必要なトンネル設定が生成されます。


) NAT 通過は、IOS バージョン 12.3T 以降を実行するルータではデフォルトでイネーブルになっています。NAT 通過機能をディセーブルにする場合は、デバイスで手動でディセーブルにするか、FlexConfig を使用してディセーブルにする必要があります(「FlexConfig の管理」を参照)。


[Global VPN Settings] ページの [NAT Settings] タブで、グローバルな NAT 設定を定義できます。

関連項目

「VPN グローバル設定」

「[NAT Settings] タブ」

フラグメンテーションについて

フラグメンテーションでは、パケットの元のサイズをサポートできない物理インターフェイス経由でパケットが送信されるときに、パケットがより小さな単位に分割されます。フラグメンテーションを使用することによって、分割しないと大きすぎて送信できない保護対象パケットを送信できるようになるため、VPN トンネルにおけるパケット損失を最小限に抑えることができます。このことは、特に GRE を使用する場合に当てはまります。IPsec と GRE を組み合わせて使用するとパケットのペイロードに 80 バイトが追加されますが、1420 バイトを超えるパケットにはこのための余裕がヘッダーにないためです。

Maximum Transmission Unit(MTU; 最大伝送ユニット)によって、インターフェイスが処理できる最大パケット サイズがバイト単位で指定されます。通常、パケットが MTU を超える場合は、暗号化のあとにパケットがフラグメント化されます。Don't Fragment(DF)ビットが設定されている場合、パケットはドロップされます。DF ビットは、デバイスでパケットをフラグメント化できるかどうかを示す、IP ヘッダー内にあるビットです。DF 機能をイネーブルにする場合は、カプセル化されたヘッダーの DF ビットをデバイスでクリア、設定、またはコピーできるかどうかを指定する必要があります。

暗号化されたパケットを再構築することは困難であるため、フラグメンテーションによってネットワークのパフォーマンスが低下する可能性があります。ネットワークのパフォーマンスに関する問題を回避するために、フラグメンテーションの設定によって、暗号化の前にフラグメンテーションを実行するようにデバイスが設定されます。

Security Manager は、エンドツーエンド MTU ディスカバリを使用するか、またはデバイスに MTU を設定することによって、MTU よりも大きいパケットを処理するようにデバイスに対して指示します。

MTU ディスカバリ:エンドツーエンド MTU ディスカバリでは、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)メッセージを使用して、フラグメンテーションを発生させずにホストが VPN トンネルを介してパケットを送信するために使用できる最大 MTU を決定します。送信パス内の各リンクの MTU 設定がチェックされて、送信されるいずれのパケットもそのパス内の最小 MTU を超えていないことが確認されます。検出された MTU を使用して、フラグメンテーションが必要であるかどうかが決定されます。

ローカル MTU 処理:通常、ICMP がブロックされている場合に使用されます。VPN インターフェイスに応じて 68 ~ 65535 バイトの MTU サイズを定義できます。

Security Manager では、デフォルトで、ICMP メッセージを使用したエンドツーエンド MTU ディスカバリが使用されます。ICMP がブロックされている場合は、MTU ディスカバリに失敗し、パケットが失われるか(DF ビットが設定されている場合)、または暗号化のあとにパケットがフラグメント化されます(DF ビットが設定されていない場合)。

[VPN Global Settings] ページの [General Settings] タブで、VPN トポロジ内のデバイスに対して、フラグメンテーション設定を定義し、DF ビット機能をイネーブルにできます。詳細については、表 21-19を参照してください。

関連項目

「VPN グローバル設定」

「[General Settings] タブ」

VPN グローバル設定

[VPN Global Settings] ページで、VPN トポロジ内のデバイスに適用する IKE、IPsec、NAT、およびフラグメンテーションのグローバル設定を定義できます。VPN Global Settings ポリシーは、VPN トポロジに割り当てられた任意の IPsec テクノロジーに適用されます。

この手順では、VPN トポロジにグローバル設定を定義する方法について説明します。


) グローバル VPN 設定の詳細については、「VPN グローバル設定について」を参照してください。


関連項目

「ISAKMP/IPsec 設定について」

「NAT について」

「フラグメンテーションについて」


ステップ 1 ツールバーの [Site-To-Site VPN Manager] ボタンをクリックします。[Site-to-Site VPN Manager] ウィンドウが開きます。

ステップ 2 VPN セレクタで、必要な VPN トポロジを選択します。

ステップ 3 ポリシー セレクタで、[VPN Global Settings] を選択します。[VPN Global Settings] ダイアログボックスが開き、[ISAKMP/IPsec Settings] タブが表示されます。

ステップ 4 [ISAKMP/IPsec Settings] タブで、IKE および IPsec のグローバル設定を指定します。このタブの要素の詳細については、「[ISAKMP/IPsec Settings] タブ」を参照してください。

ステップ 5 [NAT Settings] タブをクリックして、内部 IP アドレスを使用してインターネット経由でデータを送受信するデバイスに適用するグローバル NAT 設定を定義します。このタブの要素の詳細については、「[NAT Settings] タブ」を参照してください。

ステップ 6 [General Settings] タブをクリックして、VPN トポロジ内のデバイスにおけるフラグメンテーション設定を定義します。このタブの要素の詳細については、「[General Settings] タブ」を参照してください。


 

[VPN Global Settings] ページ

[VPN Global Settings] ページを使用して、VPN トポロジ内のデバイスに適用する IKE、IPsec、NAT、およびフラグメンテーションのグローバル設定を定義します。

[VPN Global Settings] ページには、次のタブがあります。

「[ISAKMP/IPsec Settings] タブ」

「[NAT Settings] タブ」

「[General Settings] タブ」

ナビゲーション パス

「[Site-to-Site VPN Manager] ウィンドウ」を開き、VPN セレクタでトポロジを選択して、ポリシー セレクタで [VPN Global Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタで [Site-to-Site VPN] > [VPN Global Settings] を選択します。既存の共有ポリシーを選択するか、新しい共有ポリシーを作成します。

[ISAKMP/IPsec Settings] タブ

[VPN Global Settings] ページの [ISAKMP/IPsec Settings] タブを使用して、Internet Key Exchange(IKE; インターネット キー エクスチェンジ)および IPsec のグローバル設定を指定します。

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)は、Internet Security Association and Key Management Protocol(ISAKMP)とも呼ばれ、2 つのホスト間で IPsec セキュリティ アソシエーションの構築方法について合意するためのネゴシエーション プロトコルです。

ナビゲーション パス

「[VPN Global Settings] ページ」を開くと、[ISAKMP/IPsec Settings] タブが表示されます。[VPN Global Settings] ページの他の任意のタブから [ISAKMP/IPsec Settings] タブをクリックして開くこともできます。

関連項目

「[VPN Global Settings] ページ」

「IKE について」

「IPsec トンネル ポリシーについて」

「ISAKMP/IPsec 設定について」

「VPN グローバル設定」

フィールド リファレンス

 

表 21-17 [VPN Global Settings] ページ > [ISAKMP/IPsec Settings] タブ

要素
説明

[ISAKMP Settings]

[Enable Keepalive]

選択されている場合、IKE キープアライブをデフォルトのフェールオーバーおよびルーティングのメカニズムとして設定できます。

IKE キープアライブは、ハブアンドスポーク VPN トポロジのスポーク、またはポイントツーポイント VPN トポロジの両方のデバイスに定義します。

[Interval]

IKE キープアライブ パケットの送信と送信の間のデバイスの待機時間(秒数)。デフォルトは 10 秒です。

[Retry]

リモート ピアとの IKE 接続を確立しようとする試行と試行の間のデバイスの待機時間(秒数)。デフォルトは 2 秒です。

[Periodic]

[Enable Keepalive] を選択した場合にだけ使用できます。IOS バージョン 12.3(7)T 以降を実行する 7600 デバイスを除くルータでサポートされています。

選択されている場合、送信する発信トラフィックがない場合でも、Dead-Peer Detection(DPD)キープアライブ メッセージを送信できます。通常、DPD キープアライブ メッセージは、着信トラフィックが受信されなくても発信トラフィックを送信する必要がある場合にだけピア デバイス間で送信されます。

詳細については、「ISAKMP/IPsec 設定について」を参照してください。

[Identity]

フェーズ I の IKE ネゴシエーション中に、ピアは相互に識別する必要があります。

選択されている場合、IKE ネゴシエーションでデバイスが自身を識別する場合にデバイスの(IP)アドレスまたはホスト名を使用できます。Distinguished Name(DN; 識別名)の使用を選択して、ユーザ グループ名を識別することもできます。デフォルトはアドレスです。

[SA Requests System Limit]

IOS バージョン 12.3(8)T 以降を実行する 7600 ルータを除くルータでサポートされます。

IKE が SA 要求の拒否を開始する前に許可される SA 要求の最大数。ピアの数以上の値を指定する必要があります。ピアの数未満の値を指定した場合は、VPN トンネルが切断される可能性があります。

0 ~ 99999 の値を入力できます。

[SA Requests System Threshold]

Cisco IOS ルータおよび Catalyst 6500/7600 デバイスでサポートされます。

IKE が新規 SA 要求の拒否を開始する前に使用できるシステム リソースのパーセンテージ。デフォルトは 75% です。

[Enable Aggressive Mode]

ASA デバイスおよび PIX 7.0 デバイスでサポートされます。

選択されている場合、ASA デバイスの ISAKMP ネゴシエーションでアグレッシブ モードを使用できます。アグレッシブ モードは、デフォルトでイネーブルになっています。

ASA デバイスの ISAKMP ネゴシエーションでのアグレッシブ モードの使用をディセーブルにするには、このチェックボックスの選択を解除します。

「IKE について」を参照してください。

[IPsec Settings]

[Enable Lifetime]

選択されている場合、VPN トポロジ内のデバイスで暗号化 IPsec Security Association(SA; セキュリティ アソシエーション)のグローバルなライフタイムを設定できます。

[Lifetime (secs)]

セキュリティ アソシエーションが期限切れになる前に存続できる秒数。デフォルトは 3,600 秒(1 時間)です。

[Lifetime (kbytes)]

特定のセキュリティ アソシエーションが期限切れになる前にそのセキュリティ アソシエーションを使用して IPsec ピア間を通過できるトラフィック量(KB 単位)。デフォルトは 4,608,000 KB です。

[Xauth Timeout]

Easy VPN テクノロジーが選択されており、選択されたデバイスが Cisco IOS ルータまたは Catalyst 6500/7600 デバイスである場合に使用できます。

IKE SA が確立されたあとに、エンド ユーザからの応答をデバイスで待機する秒数です。

Easy VPN 設定で IPsec トンネルを確立するためのトンネル パラメータをネゴシエートする場合、Xauth によって、IPsec 接続を要求するユーザを識別する、追加の認証レベルが追加されます。Xauth 機能を使用すると、クライアントは IKE SA の確立後、「ユーザ名/パスワード」チャレンジを待機します。エンド ユーザがチャレンジに応答すると、その応答は IPsec ピアに転送され、さらに上のレベルの認証が行われます。

[Max Sessions]

ASA デバイスおよび PIX 7.0 デバイスでサポートされます。

デバイスで同時にイネーブルにできる SA の最大数。

[Enable IPsec via Sysopt]

ASA デバイスおよび PIX ファイアウォール バージョン 6.3 または 7.0 でサポートされます。

選択されている場合(デフォルト)、IPsec トンネルからのパケットが暗黙的に信頼(許可)されることを指定します。

[Enable SPI Recovery]

IOS バージョン 12.3(2)T 以降を実行するルータ、およびバージョン 12.2(18)SXE 以降を実行する Catalyst 6500/7600 デバイスでサポートされます。

選択されている場合、SPI リカバリ機能で、Security Parameter Index(SPI; セキュリティ パラメータ インデックス)が無効であっても IKE SA が開始されるようにデバイスを設定できるようになります。

Security Parameter Index(SPI; セキュリティ パラメータ インデックス)は、宛先 IP アドレスおよびセキュリティ プロトコルとともに、特定のセキュリティ アソシエーションを一意に識別する番号です。IKE を使用してセキュリティ アソシエーションを確立する場合、各セキュリティ アソシエーションの SPI は、疑似乱数によって導出された番号となります。IKE を使用しない場合、SPI は、手動で各セキュリティ アソシエーションに指定されます。IPsec パケット処理中に無効な SPI が検出された場合は、SPI リカバリ機能によって、IKE SA が確立されます。

[NAT Settings] タブ

[VPN Global Settings] ページの [NAT Settings] タブを使用して、VPN トポロジ内のデバイスに設定する NAT 設定を定義します。


) IOS ルータで NAT 設定を無視する場合は、[NAT Dynamic Rule] プラットフォーム ポリシーで [Do Not Translate VPN Traffic] チェックボックスがオンになっていることを確認します(「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照)。PIX ファイアウォールまたは ASA デバイスで NAT を除外するには、[NAT Translation Options] プラットフォーム ポリシーでこのチェックボックスがオンになっていることを確認します(「[Translation Options] ページ」を参照)。


ナビゲーション パス

「[VPN Global Settings] ページ」を開き、[NAT Settings] タブをクリックします。

関連項目

「NAT について」

「[VPN Global Settings] ページ」

フィールド リファレンス

 

表 21-18 [VPN Global Settings] ページ > [NAT Settings] タブ

要素
説明

[Enable Traversal Keepalive]

選択されている場合は、デバイスで NAT 通過キープアライブを設定できます。

NAT 通過キープアライブは、VPN 接続ハブアンドスポークの間にデバイス(中間デバイス)があり、そのデバイスが IPsec フローで NAT を実行する場合に、キープアライブ メッセージの送信に使用されます。

(注) Cisco IOS ルータでは、NAT 通過がデフォルトでイネーブルになります。NAT 通過機能をディセーブルにする場合は、デバイスで手動でディセーブルにするか、FlexConfig を使用してディセーブルにする必要があります(「FlexConfig の管理」を参照)。

詳細については、「NAT について」を参照してください。

[Interval]

NAT 通過キープアライブがイネーブルになっている場合に使用可能です。

セッションがアクティブであることを示すためにスポークと中間デバイス間でキープアライブ信号が送信される間隔(秒単位)。NAT キープアライブ値には 5 ~ 3600 秒を指定できます。デフォルトは 10 秒です。

[Enable PAT (Port Address Translation) on Split Tunneling for Spokes]

Cisco IOS ルータおよび Catalyst 6500/7600 デバイスでサポートされます。

選択されている場合、VPN トポロジのスポークで、スプリット トンネリングされるトラフィックでの Port Address Translation(PAT; ポート アドレス変換)の使用がイネーブルになります。

PAT では、ポート アドレッシングを使用して、何千ものプライベート NAT アドレスを少数のパブリック IP アドレスのグループに関連付けることができます。PAT は、ネットワークのアドレッシング要件がダイナミック NAT プールで使用可能なアドレスを超える場合に使用されます。「NAT について」を参照してください。

(注) このチェックボックスがイネーブルの場合、Security Manager では、展開時に、スプリット トンネリングされるトラフィック用に追加の NAT 規則が暗黙的に作成されます。(外部インターフェイスを IP アドレス プールとして使用して)VPN トンネリングされるトラフィックを拒否し、他のすべてのトラフィックを許可するこの NAT 規則は、ルータ プラットフォーム ポリシーとしては反映されません。

ダイナミック NAT 規則をルータ プラットフォーム ポリシーとして作成または編集する詳細については、「[NAT] ページ - [Dynamic Rules]」を参照してください。

[General Settings] タブ

[VPN Global Settings] ページの [General Settings] タブを使用して、Maximum Transmission Unit(MTU; 最大伝送ユニット)処理パラメータを含む、フラグメンテーション設定を定義します。

ナビゲーション パス

「[VPN Global Settings] ページ」を開き、[General Settings] タブをクリックします。

関連項目

「[VPN Global Settings] ページ」

「フラグメンテーションについて」

フィールド リファレンス

 

表 21-19 [VPN Global Settings] ページ > [General Settings] タブ

要素
説明

[Fragmentation Settings]

[Fragmentation Mode]

Cisco IOS ルータおよび Catalyst 6500/7600 デバイスでサポートされます。

フラグメンテーションによって、パケットの元のサイズをサポートできない物理インターフェイス経由でパケットが送信されるときに、VPN トンネルでのパケット損失が最小限に抑えられます。

必要なフラグメンテーション モード オプションをリストから選択します。

[No Fragmentation]:IPsec カプセル化の前にフラグメント化しない場合に選択します。カプセル化のあと、デバイスで、MTU 設定を超えるパケットがフラグメント化されたあと、パブリック インターフェイスを介して送信されます。

[End to End MTU Discovery]:MTU の検出に ICMP メッセージを使用する場合に選択します。選択されているテクノロジーが IPsec である場合にこのオプションを使用します。

エンドツーエンド MTU ディスカバリでは、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)メッセージを使用して、フラグメンテーションを発生させずにホストが VPN トンネルを介してパケットを送信するために使用できる最大 MTU を決定します。

(注) Catalyst 6500/7600 デバイスでは、エンドツーエンド パス MTU ディスカバリはイメージ 12.2(33)SRA、12.2(33)SRB、12.2(33)SXH、12.2(33)SXI またはそれ以降でだけサポートされています。

[Local MTU Handling]:MTU をデバイスにローカルに設定する場合に選択します。通常、このオプションは、ICMP がブロックされており、IPsec/GRE テクノロジーが選択されている場合に使用されます。

[Local MTU Size]

[Local MTU Handling] がフラグメンテーション モード オプションとして選択されている場合に Cisco IOS ルータと Catalyst 6500/7600 デバイスでサポートされます。

(注) 許可される MTU サイズは、VPN インターフェイスに応じて 68 ~ 65535 バイトになります。

[DF Bit]

Cisco IOS ルータ、Catalyst 6500/7600 デバイス、PIX 7.0 および ASA デバイスでサポートされます。

IP ヘッダー内の Don't Fragment(DF)ビットによって、デバイスでパケットのフラグメント化が許可されているかどうかが決定されます。

DF ビットに対して必要な設定を選択します。

[Copy]:現在のパケットのカプセル化されたヘッダーの DF ビットを、すべてのデバイスのパケットにコピーします。パケットの DF ビットがフラグメント化を許可するように設定されている場合、以降のすべてのパケットはフラグメント化されます。これはデフォルトのオプションです。

[Set]:送信中のパケットの DF ビットを設定します。MTU を超える大きなパケットはドロップされ、パケットの送信者に ICMP メッセージが送信されます。

[Clear]:元の DF ビット設定にかかわらず、パケットをフラグメント化します。ICMP がブロックされている場合は、MTU ディスカバリが失敗し、暗号化のあとにパケットがフラグメント化されます。

[Enable Fragmentation Before Encryption]

Cisco IOS ルータ、Catalyst 6500/7600 デバイス、PIX 7.0 および ASA デバイスでサポートされます。

選択されている場合、想定されるパケット サイズが MTU を超えるときには暗号化の前にフラグメント化できます。

Lookahead Fragmentation(LAF)は、IPsec SA に設定されているトランスフォーム セットに応じて、暗号化後のパケット サイズを計算するために暗号化の実行前に使用されます。パケット サイズが指定した MTU を超える場合は、暗号化の前にパケットがフラグメント化されます。

[Enable Notification on Disconnection]

PIX 7.0 および ASA デバイスでサポートされます。

選択されている場合、デバイスは、認定されたピアに、切断されようとしているセッションを通知できます。アラートを受信するピアは、その理由を解読して、イベント ログまたはポップアップ パネルに表示します。この機能は、デフォルトではディセーブルになっています。

[Enable Split Tunneling]

選択されている場合(デフォルト)、VPN トポロジでスプリット トンネリングを設定できます。

スプリット トンネリングを使用すると、同じインターフェイスで、保護されるトラフィックと保護されないトラフィックの両方を送信できます。スプリット トンネリングを使用する場合は、保護対象のトラフィック、およびそのトラフィックの宛先を正確に指定して、指定したトラフィックだけが IPsec トンネルに入り、その他のトラフィックはパブリック ネットワークに暗号化なしで送信されるようにする必要があります。

[Enable Spoke-to-Spoke Connectivity through the Hub]

PIX 7.0 および ASA デバイスでサポートされます。

選択されている場合、ASA または PIX 7.0 デバイスがハブとなっているハブアンドスポーク VPN トポロジにおいて、スポーク間の直接通信が可能になります。

[Enable Default Route]

Cisco IOS ルータおよび Catalyst 6500/7600 デバイスでサポートされます。

選択されている場合、デバイスは、設定された外部インターフェイスをすべての着信トラフィックのデフォルトの発信ルートとして使用します。

Preshared Key ポリシーについて

認証方式として事前共有キーを使用する場合は、2 つのピア間のトンネルごとに共有キーを定義する必要があります。この共有キーは、接続を認証するための共有秘密キーとなります。キーはピアごとに設定されます。トンネルの両方のピアのキーが同じでない場合は、接続を確立できません。事前共有キーの設定に必要なピア アドレスは、VPN トポロジから推定されます。

事前共有キーは、スポークに設定されます。ハブアンドスポーク VPN トポロジでは、スポークとハブのキーが同じものになるように、Security Manager によってスポークの事前共有キーがミラーリングされ、割り当てられているハブに設定されます。ポイントツーポイント VPN トポロジでは、両方のピアに同じ事前共有キーを設定する必要があります。完全メッシュ VPN トポロジでは、接続される任意の 2 つのデバイスが同じ事前共有キーを持っている必要があります。

Preshared Key ポリシーでは、特定のキーを使用するように手動で指定することも、各通信セッションに参加するピアに対して自動的に生成されたキーを使用することもできます。VPN 内のすべての接続で同じ事前共有キーを使用するとセキュリティが侵害される可能性があるため、自動的にキーを生成する方法(デフォルトの方法)を推奨します。

キー情報のネゴシエーションおよび IKE SA の設定には、3 種類の方式があります。

メイン モード(アドレス):IP アドレスに基づいてネゴシエーションが行われます。メイン モードは、発信側と受信側の間に 3 つの双方向交換を持つため、最も高いセキュリティを提供します。これはデフォルトのネゴシエーション方式です。

この方式では、キーを作成するための 3 つのオプションがあります。

各ピアの一意の IP アドレスに基づいて各ピアに対してキーを作成できます。このオプションを使用すると、高いセキュリティが確保されます。

ハブアンドスポーク VPN トポロジ内のハブにグループ事前共有キーを作成して、指定したサブネット内の任意のデバイスとの通信で使用できます。各ピアは、デバイスの IP アドレスが不明である場合でも、サブネットによって識別されます。ポイントツーポイントまたは完全メッシュ VPN トポロジでは、グループ事前共有キーがピアに作成されます。

ハブアンドスポーク VPN トポロジ内のハブ、またはハブを含むグループに対して、ワイルドカード キーを作成できます。ワイルドカード キーは、スポークが固定 IP アドレスを持っていない場合や、特定のサブネットに属していない場合にダイナミック クリプトで使用されます。ハブに接続するすべてのスポークは同じ事前共有キーを持っているため、セキュリティが侵害される可能性があります。ポイントツーポイントまたは完全メッシュ VPN トポロジでは、ワイルドカード キーがピアに作成されます。


) DMVPN にスポーク間での直接接続を設定する場合は、スポークにワイルドカード キーを作成します。


メインモード(Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)):IP アドレスに依存しないで、DNS 解決に基づいてネゴシエーションが行われます。このオプションは、ホストで DNS 解決サービスが利用できる場合にだけ使用できます。このオプションは、ダイナミック IP アドレスを使用する、DNS 解決機能を持つデバイスを管理する場合に役立ちます。

アグレッシブ モード:ホスト名(DNS 解決は行いません)およびドメイン名に基づいてネゴシエーションが行われます。アグレッシブ モードで提供されるセキュリティは、メイン モードよりも低くなります。ただし、ホストの VPN インターフェイスの IP アドレスが不明であり、ダイナミック IP ピアの FQDN が DNS で解決できない場合には、グループ事前共有キーを使用するよりも高いセキュリティが提供されます。このネゴシエーション方式は、GRE ダイナミック IP または DMVPN フェールオーバーおよびルーティング ポリシーでの使用が推奨されます。

関連項目

「使用する認証方式の決定」

「Preshared Key ポリシーの設定」

「[Preshared Key] ページ」

Preshared Key ポリシーの設定

この手順では、VPN トポロジに定義する Preshared Key ポリシーのパラメータの編集方法について説明します。

関連項目

「Preshared Key ポリシーについて」


ステップ 1 ツールバーの [Site-To-Site VPN Manager] ボタンをクリックします。[Site-to-Site VPN Manager] ウィンドウが開きます。

ステップ 2 VPN セレクタで、目的の VPN トポロジを選択します。

ステップ 3 ポリシー セレクタで、[Preshared Key] を選択します。

[Preshared Key] ページが開き、選択した Preshared Key ポリシーに定義されているパラメータが表示されます。このページの要素の詳細については、「[Preshared Key] ページ」を参照してください。

ステップ 4 特定の事前共有キーを使用するか、または参加するピアにランダムなキーを自動的に生成するかを選択します。

ステップ 5 用意されているオプションから、キー情報の交換に必要なネゴシエーション方式を選択します。


 

[Preshared Key] ページ

[Preshared Key] ページを使用して、Preshared Key ポリシーのパラメータを表示または編集します。


) Preshared Key ポリシーは、Easy VPN トポロジには適用されません。


ナビゲーション パス

「[Site-to-Site VPN Manager] ウィンドウ」)VPN セレクタでトポロジを選択して、ポリシー セレクタで [Preshared Key] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタで [Site-to-Site VPN] > [Preshared Key] を選択します。既存の共有ポリシーを選択するか、新しい共有ポリシーを作成します。

関連項目

「Preshared Key ポリシーについて」

「Preshared Key ポリシーの設定」

フィールド リファレンス

 

表 21-20 [Preshared Key] ページ

要素
説明
[Key Specification]

[User Defined]

選択されている場合、手動で定義した事前共有キーを使用できます。

[Key] フィールドに必要な事前共有キーを入力して、[Confirm] フィールドに再度そのキーを入力します。

[Auto Generated]

選択されている場合、参加するピアにランダムなキーが割り当てられます。生成されるキーは、ハブとスポークとの間の接続ごとに異なるため、セキュリティが確保されます。[Auto Generated] がデフォルトの選択です。

(注) キーは、デバイスへの最初の展開時に割り当てられ、[Regenerate Key (Only in Next Deployment)] チェックボックスを選択するまでは、同じデバイスに対するそれ以降のすべての展開で常にこのキーが使用されます。

[Key Length]

自動生成する事前共有キーの必要な長さ(127 文字以下)です。デフォルトは 24 です。

[Same Key for All Tunnels]

ポイントツーポイント VPN トポロジでは使用できません。

選択されている場合、すべてのトンネルで自動生成された同じキーを使用できます。

(注) このチェックボックスを選択しない場合は、トンネルで異なるキーが使用されます。ただし、DMVPN 設定など、同じネットワーク内の異なるマルチポイント GRE インターフェイスで同じ事前共有キーを使用する必要がある場合を除きます。

[Regenerate Key (Only in Next Deployment)]

[Auto Generate] が選択されている場合にだけ使用できます。

選択されている場合、デバイスに対する次の展開時に Security Manager によって新しいキーが生成されます。キーの機密性が侵害された可能性がある場合に役立ちます。

(注) ジョブを展開用に送信すると、このチェックボックスはクリアされます。新しいキーは、新しい展開に対してだけ生成され、以降の展開では(再度チェックボックスを選択しないかぎり)生成されないため、このチェックボックスがクリアされます。

[Negotiation Method]

[Main Mode Address]

これはデフォルトのネゴシエーション方式です。

デバイスの IP アドレスが判明している場合は、このネゴシエーション方式を使用してキー情報を交換します。IP アドレスに基づいてネゴシエーションが行われます。メイン モードは、発信側と受信側の間に 3 つの双方向交換を持つため、最も高いセキュリティを提供します。メイン モード(アドレス)がデフォルトのネゴシエーション方式です。

次の 3 つのオプション ボタンのいずれかをクリックして、ネゴシエーション アドレス タイプを定義します。

[Peer Address]:各ピアの一意の IP アドレスに基づいてネゴシエーションが行われます。キーはピアごとに作成されるため、高いセキュリティが確保されます。これがデフォルトです。

[Subnet]:ハブアンドスポーク トポロジ内のハブにグループ事前共有キーを作成して、指定したサブネット内の任意のデバイスとの通信に使用します。デバイスの IP アドレスが不明な場合でも使用できます。各ピアは、それぞれのサブネットによって識別されます。このオプションを選択したあと、用意されたフィールドにサブネットを入力します。

ポイントツーポイントまたは完全メッシュ VPN トポロジでは、グループ事前共有キーがピアに作成されます。

(続く)

[Main Mode Address](続き)

[Wildcard]:ハブアンドスポーク トポロジ内のハブまたはハブのグループに対してワイルドカード キーを作成して、スポークが固定 IP アドレスを持っていない場合や、特定のサブネットに属していない場合に使用します。この場合、ハブに接続するすべてのスポークは同じ事前共有キーを持っているため、セキュリティが侵害される可能性があります。ハブアンドスポーク VPN トポロジ内のスポークでダイナミック IP アドレスが使用されている場合にこのオプションを使用します。

ポイントツーポイントまたは完全メッシュ VPN トポロジでは、ワイルドカード キーがピアに作成されます。

(注) DMVPN にスポーク間での直接接続を設定する場合は、スポークにワイルドカード キーを作成します。

[Main Mode FQDN]

IP アドレスが不明であり、デバイスで DNS 解決を使用できる場合は、このネゴシエーション方式を選択してキー情報を交換します。IP アドレスに依存しないで、DNS 解決に基づいてネゴシエーションが行われます。

[Aggressive Mode]

ハブアンドスポーク VPN トポロジでだけ使用できます。

IP アドレスが不明であり、デバイスで DNS 解決を使用できない可能性がある場合は、このネゴシエーション方式を選択してキー情報を交換します。ホスト名およびドメイン名に基づいてネゴシエーションが行われます。

(注) スポーク間での直接のトンネリングがイネーブルになっている場合には、アグレッシブ モードを使用できません。

Public Key Infrastructure ポリシーについて

Security Manager では、証明書要求を管理し、VPN トポロジ内のデバイスに対して証明書を発行する、Certification Authority(CA; 認証局)サーバでの IPsec 設定がサポートされています。Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーを作成して、CA 証明書および RSA キーの登録要求を生成し、キーや証明書を管理できます。これにより、参加するデバイスについてキーを中央で管理できます。

CA サーバ(トラストポイントとも呼ばれます)では、公開 CA 証明書要求を管理して、参加する IPsec ネットワーク デバイスに対して証明書を発行します。IKE Proposal および IPsec Proposal ポリシーのデバイス認証方式として RSA の署名を使用する場合、ピアは CA サーバからデジタル証明書を入手するように設定されます。CA サーバでは、すべての暗号化デバイス間にキーを設定する必要はありません。代わりに、参加する各デバイスを CA サーバに個別に登録します。CA サーバは、アイデンティティを確認し、デバイスのデジタル証明書を作成することを明示的に信任されています。登録が完了すると、参加する各ピアは、もう一方の参加するピアのアイデンティティを確認し、証明書に含まれている公開キーを使用して暗号化されたセッションを確立できます。

また、CA では、IPsec VPN トポロジに参加しなくなったピアの証明書を無効化することもできます。無効化された証明書は、Online Certificate Status Protocol(OCSP; オンライン証明書状態プロトコル)サーバで管理されるか、または LDAP サーバに格納されている Certificate Revocation List(CRL; 証明書失効リスト)に記載されます。各ピアでは、他のピアからの証明書を受け入れる前に、この CRL をチェックできます。

PKI 登録は、複数の CA で構成される階層型フレームワークに設定できます。階層の最上位にはルート CA があり、自己署名証明書を保持しています。階層全体の信頼性は、ルート CA の RSA キー ペアから導出されます。階層内の下位 CA は、ルート CA または他の下位 CA に登録できます。階層型 PKI 内では、ピア間で信頼できるルート CA 証明書または共通の下位 CA が共有されている場合、登録されたすべてのピアが相互の証明書を確認できます。

次の点を考慮してください。

PKI ポリシーは、バージョン 12.3(7)T 以降を実行する Cisco IOS ルータ、PIX ファイアウォール、および Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)デバイスに設定できます。

リロード間に RSA キー ペアと CA 証明書を PIX ファイアウォール バージョン 6.3 のフラッシュ メモリに永続的に保存するには、「 ca save all 」コマンドを設定する必要があります。この操作は、デバイスで手動で行うか、FlexConfig を使用して行うことができます(「FlexConfig の管理」を参照)。

PKI ポリシーは、IPsec リモート アクセス VPN のデバイスにも設定できます。

CA サーバの認証方式

次のいずれかの方式を使用して CA サーバを認証できます。

Simple Certificate Enrollment Protocol(SCEP)を使用して、CA サーバから CA の証明書を取得します。SCEP を使用すると、デバイスと CA サーバとの間に直接接続を確立できます。登録プロセスを開始する前に、デバイスが CA サーバに接続されていることを確認してください。この方式を使用してルータの CA 証明書を取得する場合は、対話形式の操作が必要となるため、PKI ポリシーをライブ デバイスにだけ展開できます。ファイルには展開できません。


) SCEP を使用する場合は、CA サーバのフィンガープリントを入力する必要があります。入力した値が証明書のフィンガープリントと一致しない場合、証明書は拒否されます。CA のフィンガープリントを取得するには、サーバに直接アクセスするか、または Web ブラウザでアドレス http://URLHostName/certsrv/mscep/mscep.dll を入力します。


CA サーバの証明書を他のデバイスからコピーすることによって、オフラインで CA サーバに送信できる登録要求を手動で作成します。

この方式は、デバイスが CA サーバへの直接接続を確立できない場合、またはいったん登録要求を生成してから、あとで登録要求をサーバに送信する場合に使用します。


) この方式を使用すると、デバイスまたはファイルに PKI ポリシーを展開できます。


詳細については、表 24-21を参照してください。


) Cisco Secure Device Provisioning(SDP; セキュア デバイス プロビジョニング)を使用して、証明書を登録することもできます。SDP を使用した証明書登録の詳細については、「Cisco IOS ルータにおけるセキュア デバイス プロビジョニング」を参照してください。


関連項目

「PKI 登録を正常に行うための前提条件」

「公開キー インフラストラクチャ ポリシーの設定」

「サイト間 VPN での複数の CA サーバの定義」

「[Public Key Infrastructure] ページ」

PKI 登録を正常に行うための前提条件

ネットワークに PKI ポリシーを設定するためには、次の前提条件が必要です。

CA で使用できる IKE 認証方式は RSA の署名だけです。

PKI 登録を正常に行うには、デバイスにドメイン名が定義されている必要があります(CA サーバのニックネームを指定する場合を除く)。

CA サーバに直接登録するには、サーバの登録 URL を指定する必要があります。

TFTP サーバを使用して CA サーバに登録するには、TFTP サーバに CA 証明書ファイルが保存されている必要があります。PKI ポリシーを展開したあと、TFTP サーバから CA サーバに証明書要求をコピーする必要があります。

トラストポイントを設定する場合は、いずれかの Certificate Revocation List(CRL; 証明書失効リスト)チェック オプションを指定する必要があります。詳細については、「[PKI Enrollment] ダイアログボックス - [CA Information] タブ」を参照してください。

登録要求で使用する RSA 公開キーを指定できます。RSA キー ペアを指定しない場合は、Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)キーが使用されます。

RSA キーを使用する場合は、証明書が承認されると、証明書に公開キーが組み込まれます。ピアは、この公開キーを使用して、デバイスに送信するデータを暗号化できます。秘密キーはデバイスに保持されて、ピアから送信されるデータの復号化、およびピアとのネゴシエーション時のトランザクションのデジタル署名に使用されます。既存のキー ペアを使用することも、新しいキー ペアを生成することもできます。ルータ デバイスの証明書で使用する新しいキー ペアを生成する場合は、キーのサイズを特定する係数も指定する必要があります。

詳細については、「[PKI Enrollment] ダイアログボックス - [Enrollment Parameters] タブ」を参照してください。

Cisco Easy VPN IPsec リモート アクセス システムで PKI 登録要求を行う場合は、各リモート コンポーネント(スポーク)に、接続するユーザ グループの名前を設定する必要があります。この情報は、[PKI Enrollment Editor] ダイアログボックスの [Certificate Subject Name] タブにある [Organization Unit (OU)] フィールドで指定します。


) ハブ(Easy VPN サーバ)にユーザ グループの名前を設定する必要はありません。


詳細については、「[PKI Enrollment] ダイアログボックス - [Certificate Subject Name] タブ」を参照してください。

PKI ポリシーを(ライブ デバイスではなく)ファイルに展開する場合は、次の前提条件を満たしている必要があります。

デバイスでは、IOS 12.3(7)T 以降が実行されている必要があります(トラストポイント PKI デバイス)。

CA 認証が対話形式で行われず、ライブ デバイスとの通信が必要とならないように、CA 認証証明書を Security Manager ユーザ インターフェイスにカット アンド ペーストする必要があります。

ライブ デバイスに展開する場合、PKI サーバがオンラインである必要があります。

Security Manager では、Microsoft、VeriSign、および Entrust の PKI がサポートされています。

Security Manager では、Cisco IOS 証明書サーバがサポートされています。Cisco IOS 証明書サーバ機能では、限定的な CA 機能を持つ簡易証明書サーバが Cisco IOS ソフトウェアに組み込まれます。IOS 証明書サーバは、FlexConfig ポリシーとして設定できます。詳細については、「FlexConfig の管理」を参照してください。

IOS ルータにおいて、PKI に被認証者名全体を使用する AAA 認可を設定するには、IOS_PKI_WITH_AAA という名前の定義済み FlexConfig オブジェクトを使用します。

TFTP を使用した PKI 登録の前提条件

CA サーバに継続的に直接アクセスしていない場合は、デバイスが IOS 12.3(7)T 以降を実行するルータであれば、TFTP を使用して登録を行うことができます。

展開時に、Security Manager によって対応する CA トラストポイント コマンドおよび認証コマンドが生成されます。トラストポイント コマンドは、TFTP を使用して CA 証明書を取得するための登録 URL tftp://<certserver> <file_specification> のエントリを使用して設定されます。<file_specification> が指定されていない場合は、ルータの FQDN が使用されます。

このオプションを使用する前に、TFTP サーバに CA 証明書ファイル(.ca)が保存されている必要があります。このためには、次の手順を実行します。

1. http://servername/certsrv に接続します。servername は、アクセスする CA がある Windows 2000 Web サーバの名前です。

2. [Retrieve the CA certificate or certificate revocation list] を選択して、[Next] をクリックします。

3. [Base64 encoded] を選択して、[Download CA certificate] をクリックします。

4. ブラウザの別名保存機能を使用して、.crt ファイルを .ca ファイルとして TFTP サーバに保存します。

展開後、Security Manager が TFTP サーバに生成した証明書要求を CA に転送し、デバイスの証明書を CA からデバイスに転送する必要があります。

TFTP サーバから CA サーバへの証明書要求の転送

Security Manager によって、TFTP サーバに PKCS#10 フォーマットの登録要求(.req)が作成されます。次の手順を実行して、この登録要求を PKI サーバに転送する必要があります。

1. http://servername/certsrv に接続します。servername は、アクセスする CA がある Windows 2000 Web サーバの名前です。

2. [Request a certificate] を選択して、[Next] をクリックします。

3. [Advanced request] を選択して、[Next] をクリックします。

4. [Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file] を選択して、[Next] をクリックします。

5. ファイルの参照を選択して TFTP サーバを参照し .req ファイルを選択するか、または先ほど TFTP で受信した .req ファイルをワードパッドまたはメモ帳で開いてその内容を最初のウィンドウにコピーアンドペーストします。

6. CA から .crt ファイルをエクスポートして、TFTP サーバに配置します。

7. 「crypto ca import <label> certificate」を設定して、デバイスの証明書を tftp サーバからインポートします。

関連項目

「公開キー インフラストラクチャ ポリシーの設定」

「[PKI Enrollment] ダイアログボックス」

「[Public Key Infrastructure] ページ」

「Easy VPN における User Group ポリシーの設定」

サイト間 VPN での複数の CA サーバの定義

サイト間 VPN で Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーを定義する場合は、1 つの CA サーバだけを選択できます。このことは、VPN 内のデバイスが異なる CA サーバに登録するときに問題となります。たとえば、スポーク デバイスとハブ デバイスとで異なる CA サーバに登録する場合や、VPN のある部分のスポークが VPN の他の部分のスポークとは異なる CA サーバに登録する場合があります。

PKI ポリシーを定義するには、デバイスが登録する CA サーバを指定する PKI 登録オブジェクトを選択します。デフォルトでは、ポリシー オブジェクトは単一の CA サーバをグローバルに参照していますが、デバイスレベルのオーバーライドを使用して、選択したデバイスにおいて異なる CA サーバをオブジェクトが参照するように設定できます。

たとえば、PKI 登録オブジェクト PKI_1 が CA_1 という CA サーバを参照している場合、PKI_1 を持つ選択したデバイスにデバイスレベルのオーバーライドを作成して、CA_2 などの異なる CA サーバを参照できます。理論的には、オーバーライドを使用して、VPN 内の各デバイスに異なる CA サーバを定義することもできます。

この手順では、PKI 登録オブジェクトにオーバーライドを作成するための基本的な手順について説明します。


) 共通の信頼できる CA サーバの下の PKI 階層に CA サーバが配置されている場合でも、デバイスレベルのオーバーライドを使用できます。このためには、[PKI Enrollment] ダイアログボックスの [Trusted CA Hierarchy] タブで、オブジェクトのグローバル定義およびデバイスレベルのオーバーライドの両方によって、信頼できる CA サーバが指定されている必要があります。「[PKI Enrollment] ダイアログボックス - [Trusted CA Hierarchy] タブ」を参照してください。


関連項目

「Public Key Infrastructure ポリシーについて」

「Public Key Infrastructure ポリシーについて」

「使用する認証方式の決定」


ステップ 1 PKI 登録オブジェクトを作成するには、[PKI Enrollment] ダイアログボックスを開きます。このダイアログボックスには、次の 2 つの方法でアクセスできます。

Public Key Infrastructure ポリシーから:[Selected] フィールドの下にある [Add] ボタンをクリックします。「公開キー インフラストラクチャ ポリシーの設定」を参照してください。

Policy Object Manager から([Tools] > [Policy Object Manager]):オブジェクト タイプ セレクタから [PKI Enrollments] を選択して、[New Object] ボタンをクリックします。

ステップ 2 オブジェクトが参照する CA サーバを含む、PKI 登録オブジェクトのグローバル定義を設定します。[Allow Value Override per Device] を必ず選択します。このオプションによって、個別のデバイスでオブジェクトをオーバーライドできるようになります。「[PKI Enrollment] ダイアログボックス」を参照してください。

オブジェクトのグローバル定義では、VPN 内の最も多くのデバイスで使用される CA サーバを使用します。これにより、必要となるデバイスレベルのオーバーライドの数を減らすことができます。

ステップ 3 PKI 登録オブジェクトの定義が終了したら、[OK] をクリックします。この結果、次のように表示されます。

PKI ポリシーからダイアログボックスにアクセスした場合は、ポリシー ページの [Selected] フィールドに新しいオブジェクトが表示されます。

Policy Object Manager を使用してダイアログボックスにアクセスした場合は、[Policy Object Manager] ウィンドウの作業領域に新しいオブジェクトが表示されます。[Overridable] カラムに緑色のチェック マークが表示されている場合、このオブジェクトに対してデバイスレベルのオーバーライドを作成できることを示しています(このチェック マークは、オーバーライドが実際に存在しているかどうかを示すものではありません)。

ステップ 4 PKI 登録オブジェクトに対してデバイスレベルのオーバーライドを作成します。この処理は、次の 2 つの方法のいずれかで実行できます。

[Device Properties](デバイス ビューでデバイスが選択された状態で、[Tools] > [Device Properties] を選択)から:単一のデバイスに対してデバイスレベルのオーバーライドを作成する場合は、このオプションを推奨します。[Device Properties] で、[Policy Object Overrides] > [PKI Enrollments] を選択し、オーバーライドする PKI 登録オブジェクトを選択して、[Create Override] ボタンをクリックします。その後、オブジェクトによって定義された CA サーバを含むオーバーライドの内容を定義できます。

詳細については、「単一デバイスのオブジェクト オーバーライドの作成または編集」を参照してください。

Policy Object Manager から:このオプションは、複数のデバイスに対して同時にデバイスレベルのオーバーライドを作成する場合に推奨します。[Overridable] カラムの緑色のチェック マークをダブルクリックし、オーバーライドを適用する必要があるデバイスを選択して、オブジェクトによって定義された CA サーバを含むオーバーライドの内容を定義します。

詳細については、「複数デバイスのオブジェクト オーバーライドの一括での作成または編集」を参照してください。


 

公開キー インフラストラクチャ ポリシーの設定

Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーを作成して、CA 証明書および RSA キーの登録要求を生成し、キーや証明書を管理できます。Certification Authority(CA; 認証局)サーバは、これらの証明書要求を管理し、VPN トポロジ内の参加デバイスに対して証明書を発行するために使用されます。

Security Manager では、CA サーバは、PKI ポリシーで使用できる PKI 登録オブジェクトとして事前に定義されています。PKI 登録オブジェクトには、CA 証明書の登録要求を作成するために必要なサーバ情報および登録パラメータが含まれています。

Public Key Infrastructure ポリシーの詳細については、「Public Key Infrastructure ポリシーについて」を参照してください。

この手順では、VPN トポロジで Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーの作成に使用する CA サーバを指定する方法について説明します。


) リロード間に RSA キー ペアと CA 証明書を PIX ファイアウォール バージョン 6.3 のフラッシュ メモリに永続的に保存するには、ca save all コマンドを設定する必要があります。この操作は、デバイスで手動で行うか、FlexConfig を使用して行うことができます(「FlexConfig の管理」を参照)。


始める前に

PKI を設定しているデバイスに IOS バージョン 12.3(7)T 以降があることを確認します。

「PKI 登録を正常に行うための前提条件」を参照してください。

関連項目

「サイト間 VPN での複数の CA サーバの定義」

「使用する認証方式の決定」


ステップ 1 ツールバーの [Site-To-Site VPN Manager] ボタンをクリックします。[Site-to-Site VPN Manager] ウィンドウが開きます。

ステップ 2 VPN セレクタで、必要な VPN トポロジを選択します。

ステップ 3 ポリシー セレクタで、[Public Key Infrastructure] を選択します。[Public Key Infrastructure] ページが開き、現在選択されている CA サーバが表示されます。このページの要素の詳細については、「[Public Key Infrastructure] ページ」を参照してください。

ステップ 4 異なる CA サーバを割り当てる場合は、[Available CA Servers] リストで選択します。[Selected] フィールドのサーバが、選択した CA サーバに置き換えられます。

CA サーバは、PKI 登録オブジェクトして事前に定義されています。必要な CA サーバがリストにない場合は、[Create] をクリックすると、PKI 登録オブジェクトを作成できるダイアログボックスが開きます。詳細については、「[PKI Enrollment] ダイアログボックス」を参照してください。


 

[Public Key Infrastructure] ページ

[Public Key Infrastructure] ページを使用して、Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーを作成するために使用する CA サーバを選択します。このポリシーは、CA 証明書の登録要求を生成するために使用します。


) リロード間に RSA キー ペアと CA 証明書を PIX ファイアウォール バージョン 6.3 のフラッシュ メモリに永続的に保存するには、ca save all コマンドを設定する必要があります。この操作は、デバイスで手動で行うか、FlexConfig を使用して行うことができます(「FlexConfig の管理」を参照)。


ナビゲーション パス

「[Site-to-Site VPN Manager] ウィンドウ」)VPN セレクタでトポロジを選択して、ポリシー セレクタで [Public Key Infrastructure] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタで [Site-to-Site VPN] > [Public Key Infrastructure] を選択します。既存の共有ポリシーを選択するか、新しい共有ポリシーを作成します。

関連項目

「Public Key Infrastructure ポリシーについて」

「公開キー インフラストラクチャ ポリシーの設定」

フィールド リファレンス

 

表 21-21 [Public Key Infrastructure](PKI)ページ

要素
説明

[Available CA Servers]

選択できる定義済みの CA サーバが表示されます。

CA サーバは定義済みの PKI 登録オブジェクトであり、これには、CA 証明書の登録要求を作成するために必要なサーバ情報および登録パラメータが含まれています。

[Selected] フィールドのデフォルト サーバを置換する場合は、必要な CA サーバを選択します。

必要な CA サーバがリストにない場合は、[Create] をクリックすると、PKI 登録オブジェクトを作成または編集できるダイアログボックスが開きます。詳細については、「[PKI Enrollment] ダイアログボックス」を参照してください。

(注) Easy VPN リモート アクセス システムで PKI 登録要求を行う場合は、各リモート コンポーネント(スポーク)に、接続するユーザ グループの名前を設定する必要があります。この情報は、[PKI Enrollment] ダイアログボックスの [Certificate Subject Name] タブにある [Organization Unit (OU)] フィールドで指定します。ハブ(Easy VPN サーバ)にユーザ グループの名前を設定する必要はありません。詳細については、「[PKI Enrollment] ダイアログボックス - [Certificate Subject Name] タブ」を参照してください。

[Selected]

選択されている CA サーバです。

選択されている CA サーバを削除するには、別のサーバを選択します。

GRE およびダイナミック GRE VPN

Generic Routing Encapsulation(GRE)を使用して、ハブアンドスポーク VPN トポロジ、ポイントツーポイント VPN トポロジ、完全メッシュ VPN トポロジにおいて Cisco IOS セキュリティ ルータおよび Catalyst 6500/7600 デバイスを使用する VPN を作成できます。

ここでは、次の内容について説明します。

「GRE について」

「GRE または GRE ダイナミック IP のポリシーの設定」

「[GRE Modes] ページ」

GRE について

Generic Routing Encapsulation(GRE)は、IP トンネルにさまざまなプロトコル パケット タイプをカプセル化し、IP ネットワーク経由でリモート ポイントのデバイスへの仮想的なポイントツーポイント接続を作成するトンネリング プロトコルです。このテクノロジーでは、GRE によって、IPsec 処理の前に元のパケット全体が標準 IP ヘッダーおよび GRE ヘッダーでカプセル化されます。その後、IPsec では、GRE パケットは通常の IP パケットであると認識されて、IKE のネゴシエーションされたパラメータに従って暗号化サービスおよび認証サービスが実行されます。GRE ではマルチキャスト トラフィックおよびブロードキャスト トラフィックを伝送できるため、仮想 GRE トンネルにルーティング プロトコルを設定できます。ルーティング プロトコルによって接続の切断が検出されると、パケットはバックアップ GRE トンネルに再ルーティングされるため、高い耐障害性が提供されます。

VPN の耐障害性を確保するためには、スポークにおいて、プライマリ ハブとバックアップ ハブへの 2 つの GRE トンネルを設定する必要があります。どちらの GRE トンネルも、IPsec によって保護されます。各トンネルは、独自の IKE SA および IPsec SA のペアを持っています。関連付けられたルーティング プロトコルによって、フェールオーバー メカニズムが自動化され、仮想リンクの切断が検出されるとバックアップ トンネルに転送されます。


) GRE は、ハブアンドスポーク VPN トポロジ、ポイントツーポイント VPN トポロジ、および完全メッシュ VPN トポロジの Cisco IOS セキュリティ ルータと Catalyst 6500/7600 デバイスに設定できます。


ここでは、次の内容について説明します。

「GRE を使用した IPsec トンネリングの利点」

「Security Manager における GRE の実装」

「GRE を正常に設定するための前提条件」

「動的にアドレス指定されるスポークの GRE 設定について」

GRE を使用した IPsec トンネリングの利点

GRE を使用した IPsec トンネリングの主な利点は次のとおりです。

GRE では、すべての IPsec ピアが他のすべてのピアのステータスを常に把握できるルーティング プロトコルが使用されます。

GRE では、IKE キープアライブよりも高い耐障害性が実現されます。

GRE を使用すると、スポーク間の接続がサポートされます。

GRE では、マルチキャスト伝送およびブロードキャスト伝送がサポートされます。


) GRE では、ダイナミック クリプト トンネルの使用はサポートされていません。


Security Manager における GRE の実装

Security Manager では、GRE 用に追加の Interior Gateway Protocol(IGP)ソリューションが実装されています。IGP とは、ルーティング プロトコル(EIGRP、OSPF、または RIP)によって相互にルーティング更新を受信するデバイスのグループを指しています。各「ルーティング グループ」は、論理番号によって識別されます。一般的なルーティングのために、ネットワーク内のルータのインターフェイスは 1 つの IGP に属しています。Security Manager によって、IPsec および GRE によって保護された通信専用の追加の IGP が追加されます。この追加の IGP が保護された IGP です。既存の IGP(保護されていない IGP)は、暗号化を必要としないトラフィックのルーティングに使用されます。

GRE トンネルを確立するために、Security Manager によって各デバイスに仮想インターフェイスが設定されます。これらの仮想インターフェイスは、GRE トンネルのエンドポイントとなります。各仮想インターフェイスは一意であり、IOS 12.2 以下を実行するデバイスでは、仮想インターフェイスに独自のクリプト マップも割り当てられます。GRE トンネル インターフェイスには、Security Manager によって作成されるインターフェイスから取得された IP アドレス(内部トンネル IP アドレス)が設定されます。GRE トンネルは、各デバイスの物理インターフェイスまたはループバック インターフェイスの送信元 IP アドレスおよび宛先 IP アドレスを指しています。GRE 仮想インターフェイスは、内部インターフェイスと同様に保護された IGP に属しています。保護された IGP 内でのルーティング更新は、GRE でカプセル化され、IPsec が適用されます。保護されたインターフェイス宛のフロー(保護された IGP のルーティング更新によって判断されます)は、GRE インターフェイスから送信されます。このフローは、GRE インターフェイスで GRE によってカプセル化されて、クリプト ACL に対して評価されます。クリプト ACL に一致すると、GRE および VPN トンネル経由でルーティングされます。

GRE を正常に設定するための前提条件

ネットワークで GRE を使用する前に、次の前提条件を考慮してください。

デバイスの内部インターフェイス(デバイスを内部サブネットおよび内部ネットワークに接続するデバイス上の物理インターフェイス)を特定する必要があります。

GRE をイネーブルにする場合は、常にルーティング プロトコル(IGP と呼ばれています)またはスタティック ルートを選択する必要があります。

Security Manager では、EIGRP、OSPF、RIPv2 というダイナミック ルーティング プロトコル、および GRE スタティック ルートがサポートされています。

EIGRP:Enhanced Interior Gateway Routing Protocol を使用すると、自律システム内でルーティング情報を交換でき、大規模な異種ネットワークにおけるルーティングに関連するいくつかのより困難な問題に対処できます。他のプロトコルと比較して、EIGRP にはより優れたコンバージェンス特性が備えられています。また、効率的な運用が可能で、複数の異なるプロトコルの利点を兼ね備えています。詳細については、「Cisco IOS ルータにおける EIGRP ルーティング」を参照してください。

OSPF:Open Shortest Path First は、最小コストでのルーティング機能、マルチパス ルーティング機能、およびロード バランシング機能を備えた、階層型リンクステート プロトコルです。

OSPF を使用すると、ルーティング テーブルの変更を取得したホスト、またはネットワークの変更を検出したホストは、その情報をすぐにネットワーク内の他のすべてのホストにマルチキャストするため、すべてのホストが同じルーティング テーブル情報を保持できます。詳細については、「Cisco IOS ルータにおける OSPF ルーティング」を参照してください。

RIPv2:Routing Information Protocol は、定期的にルーティング更新メッセージを送信する距離ベクトル プロトコルです。ネットワーク トポロジが変更された場合にもルーティング更新メッセージが送信されます。

RIPv2 を使用すると、(ルータ機能を備えた)ゲートウェイ ホストは、30 秒ごとに最も近いネイバー ホストにルーティング テーブル全体を送信します。そのネイバー ホストからも次のネイバーに情報が渡され、最終的にネットワーク内のすべてのホストに同じルーティング パス情報が渡されます。RIPv2 では、ホップ カウントを使用してネットワーク上の距離が判断されます。ネットワーク内のルータ機能を備えた各ホストは、ルーティング テーブル情報を使用して、指定した宛先へのパケットをルーティングする次のホストを判断します。

RIP は、小規模な同種ネットワークにおいて効率的なソリューションです。RIP では 30 秒ごとにルーティング テーブル全体が送信されるため、より複雑で大規模なネットワークにおいてはネットワーク上に大量の余剰トラフィックが流れる可能性があります。詳細については、「Cisco IOS ルータにおける RIP ルーティング」を参照してください。

スタティック ルート:2 つのデバイス間に固定されて変更されないルートがある場合には、スタティック ルーティング ポリシーを使用して、IPsec によって保護され、堅牢かつ安定した GRE トンネルを提供できます。各デバイスのサブネットでは、対応するトンネル インターフェイスを指すスタティック ルートがデバイスに作成されます。詳細については、「Cisco IOS ルータにおけるスタティック ルーティング」を参照してください。

IGP プロセス番号を指定する必要があります。IGP プロセス番号によって、デバイスの内部インターフェイスが属する IGP プロセスが特定されます。GRE の実装時には、これは保護された IGP となります。セキュアな通信を行うために、VPN 内のデバイスの内部インターフェイスでは同じ IGP プロセスを使用する必要があります。IGP プロセス番号は、指定された範囲内である必要があります。デバイスに、この範囲内ではあるが、GRE 設定に指定された IGP プロセス番号とは異なる既存の IGP プロセスがある場合、Security Manager によって既存の IGP プロセスが削除されます。GRE 設定に指定された番号に一致する既存の IGP プロセスがある場合、既存の IGP プロセスに含まれ、指定された内部インターフェイスに一致しないすべてのネットワークは削除されます。

デバイスの内部インターフェイスが、GRE 設定に指定された IGP プロセス以外の IGP プロセスを使用するように設定されている場合(つまり、インターフェイスが保護されていない IGP に属している場合)は、次の作業を行います。

スポークの場合:GRE を設定する前に、デバイス CLI を使用して、保護されていない IGP から内部インターフェイスを手動で削除します。

ハブの場合:ハブの内部インターフェイスが Security Manager のネットワーク アクセス ポイントとして使用されている場合は、展開時に、このインターフェイスが保護された IGP と保護されていない IGP の両方にアドバタイズされます。スポーク ピアで保護された IGP だけが使用されるようにするには、保護されていない IGP に手動で auto-summary コマンドを追加するか、またはその内部インターフェイスの保護されていない IGP を手動で削除します。

ループバックには、一意でグローバルにルーティング可能でないサブネットを指定する必要があります。このサブネットは、GRE のループバックの実装をサポートするためにだけ使用する必要があります。ループバック インターフェイスは、Security Manager によってだけ作成、維持、および使用されます。他のいかなる目的にも使用できません。

保護されていない IGP ではないスタティック ルートを使用する場合は、ハブの内部インターフェイス経由のスタティック ルートをスポークに設定する必要があります。


) 上記の設定は、IPsec テクノロジーとして IPsec/GRE が選択されている場合に、[GRE Modes] ページで設定できます。「サイト間 VPN の必須ポリシーおよびオプションのポリシーについて」を参照してください。


動的にアドレス指定されるスポークの GRE 設定について

スポークにダイナミック IP アドレスがある場合、(スポーク側で GRE トンネルによって使用される)固定の GRE トンネル ソース アドレスまたは(ハブ側で GRE トンネルによって使用される)送信先アドレスはありません。そのため、Security Manager によってハブおよびスポークに追加のループバック インターフェイスが作成されて、GRE トンネル エンドポイントとして使用されます。Security Manager がループバック インターフェイスの IP アドレスを割り当てることのできるサブネットを指定する必要があります。


) GRE ダイナミック IP は、ハブアンドスポーク VPN トポロジの Cisco IOS ルータおよび Catalyst 6500/7600 デバイスにだけ設定できます。


Security Manager は、Cisco Configuration Engine(Cisco CE)を使用して、動的にアドレス指定されるデバイスからデバイスの IP アドレスやその他の情報を取得します。ダイナミック IP アドレスを持つデバイスは定期的に Cisco CE マネージャに接続して、デバイス設定ファイルをアップグレードし、デバイス情報およびステータス情報を渡します。

詳細については、「Auto Update Server または Configuration Engine の追加、編集、または削除」を参照してください。


) GRE ダイナミック IP 設定は、IPsec テクノロジーとして GRE ダイナミック IP が選択されている場合に、[GRE Modes] ページで設定できます。「サイト間 VPN の必須ポリシーおよびオプションのポリシーについて」を参照してください。


関連項目

「GRE について」

「GRE または GRE ダイナミック IP のポリシーの設定」

「[GRE Modes] ページ」

GRE または GRE ダイナミック IP のポリシーの設定

この手順では、サイト間 VPN で GRE または GRE ダイナミック IP を使用した IPsec トンネリングを設定する方法について説明します。

始める前に

PKI を設定しているデバイスに IOS バージョン 12.3(7)T 以降があることを確認します。

「PKI 登録を正常に行うための前提条件」を参照してください。

関連項目

「GRE について」

「動的にアドレス指定されるスポークの GRE 設定について」

「[GRE Modes] ページ」


ステップ 1 ツールバーの [Site-To-Site VPN Manager] ボタンをクリックします。[Site-to-Site VPN Manager] ウィンドウが開きます。

ステップ 2 VPN セレクタで、必要な VPN トポロジを選択します。

ステップ 3 ポリシー セレクタで、[GRE Modes] を選択します。

[GRE Modes] ページが開き、選択されている IPsec テクノロジー(IPsec/GRE または GRE ダイナミック IP)に関連するフィールドが表示されます。

GRE または GRE ダイナミック IP のポリシー用の [GRE Modes] ページの要素の詳細については、表 21-22を参照してください。

ステップ 4 [Routing Parameters] タブで、GRE または GRE ダイナミック IP トンネルに使用する、必要なダイナミック ルーティング プロトコル(EIGRP、OSPF、または RIPv2)、あるいはスタティック ルートを選択します。

a. EIGRP ルーティング プロトコルを選択した場合:

EIGRP パケットが属する Autonomous System(AS; 自律システム)領域の識別に使用する数値を入力または編集します。

インターフェイスで hello パケットが送信される間隔、およびルータが接続を無効化する前に hello メッセージの受信を待機する秒数を指定します。

プライマリ ルート インターフェイスおよびフェールオーバー ルート インターフェイスのスループット遅延をマイクロ秒単位で指定します。

b. OSPF ルーティング プロトコルを選択した場合:

Security Manager が GRE または GRE ダイナミック IP の設定時に追加する保護された IGP の識別に使用されるルーティング プロセス ID 番号を入力します。

トンネル サブネットを含め、ハブの保護ネットワークがアドバタイズされる領域の ID 番号を入力します。

トンネル サブネットを含め、リモート保護ネットワークがアドバタイズされる領域の ID 番号を入力します。

OSPF 認証キーを指定する文字列を入力します。

プライマリ ルート インターフェイスおよびセカンダリ(フェールオーバー)ルート インターフェイスでのパケットの送信コストを指定します。

c. RIPv2 ルーティング プロトコルを選択した場合:

RIPv2 認証キーを指定する文字列を入力します。

プライマリ ルート インターフェイスおよびセカンダリ(フェールオーバー)ルート インターフェイスでのパケットの送信コストを指定します。


) Security Manager は、展開の保護 IGP のすべてのデバイスにルーティング プロトコルを追加します。この保護された IGP を維持する場合は、同じルーティング プロトコルと、ここで定義した自律システム(またはプロセス ID)番号を使用してルータ プラットフォーム ポリシーを作成する必要があります。異なるプロトコルにルーティング ポリシーを定義する方法については、「ルータの管理」を参照してください。


ステップ 5 必要に応じて、[Filter Dynamic Updates on Spokes] チェックボックスを選択して、スポークにおけるすべてのダイナミック ルーティング更新をフィルタリングする再配布リストの作成をイネーブルにします。

ステップ 6 [Tunnel Parameters] タブを選択し、次の手順を実行します。

a. GRE または GRE ダイナミック IP トンネル インターフェイスの IP アドレスを指定するいずれかのオプション ボタンをクリックします。詳細については、表 21-22を参照してください。

b. 割り当てられている IPsec テクノロジーが GRE ダイナミック IP である場合は、一意のサブネット マスクを含む、GRE のループバックをサポートするプライベート IP アドレスを入力します。

c. [Enable IP Multicast] チェックボックスを選択して、GRE トンネル経由でのマルチキャスト送信をイネーブルにします。マルチキャスト送信の Rendezvous Point(RP; ランデブー ポイント)として機能するインターフェイスの IP アドレスを入力できます。


) 新しい GRE トンネル、ループバック インターフェイス、またはその両方を [Router Interfaces] ページに表示するには、VPN をデバイスに正常に展開したあとでデバイス インベントリの詳細を再検出する必要があります。詳細については、「Cisco IOS ルータでの基本的なインターフェイス設定」を参照してください。



 

[GRE Modes] ページ

[GRE Modes] ページを使用して、ルーティング パラメータおよびトンネル パラメータを定義します。これらのパラメータを使用することによって、GRE、GRE ダイナミック IP、および DMVPN のポリシーに IPsec トンネリングを設定できます。

表 21-22に、GRE または GRE ダイナミック IP に IPsec トンネリングを設定するための [GRE Modes] ページの要素について説明します。

表 21-23では、DMVPN を設定するための [GRE Modes] ページの要素について説明します。


) IPsec/GRE、GRE ダイナミック IP、または DMVPN のルーティング ポリシーを設定する場合、Security Manager によって、展開時に、保護された IGP 内のすべてのデバイスにルーティング プロトコルが追加されます。この保護された IGP を維持する場合は、同じルーティング プロトコルと、GRE Modes ポリシーで定義した自律システム(またはプロセス ID)番号を使用してルータ プラットフォーム ポリシーを作成する必要があります。


ナビゲーション パス

「[Site-to-Site VPN Manager] ウィンドウ」)VPN セレクタで GRE 設定を含むトポロジを選択して、ポリシー セレクタで [GRE Modes] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタで [Site-to-Site VPN] > [GRE Modes] を選択します。既存の共有ポリシーを選択するか、新しい共有ポリシーを作成します。

関連項目

「GRE について」

「動的にアドレス指定されるスポークの GRE 設定について」

「GRE または GRE ダイナミック IP のポリシーの設定」

「DMVPN について」

「DMVPN のポリシーの設定」

「IPsec テクノロジーおよびポリシーについて」

[GRE Modes] ページ > [GRE or GRE Dynamic IP Policy]

次の表に、GRE または GRE ダイナミック IP に IPsec トンネリングを設定するための [GRE Modes] ページの要素を示します。

 

表 21-22 [GRE Modes] ページ > [GRE or GRE Dynamic IP Policy]

要素
説明
[Routing Parameters] タブ

[Routing Protocol]

GRE または GRE ダイナミック IP に使用する、必要なダイナミック ルーティング プロトコル(EIGRP、OSPF、または RIPv2)、あるいはスタティック ルートを選択します。

デフォルトのルーティング プロトコルは EIGRP です。

[AS Number]

EIGRP ルーティング プロトコルを選択した場合にだけ使用可能です。

EIGRP パケットが属する Autonomous System(AS; 自律システム)領域の識別に使用する数値。範囲は 1 ~ 65535 です。デフォルトは 110 です。

Autonomous System(AS; 自律システム)は、共通のルーティング ストラテジを共有するネットワークのコレクションです。AS は、連続したネットワークおよび接続ホストのグループであるいくつかの領域に分割できます。複数のインターフェイスがあるルータは、複数の領域に参加できます。AS ID は、パケットが属する領域を識別します。すべての EIGRP パケットは単一の領域に関連付けられるため、すべてのデバイスに同じ AS 番号が必要です。

[Process Number]

OSPF ルーティング プロトコルを選択した場合にだけ使用可能です。

Security Manager が GRE の設定時に追加する保護された IGP の識別に使用されるルーティング プロセス ID 番号。

範囲は 1 ~ 65535 です。デフォルトは 110 です。

Security Manager によって、IPsec および GRE によって保護された通信専用の追加の Interior Gateway Protocol(IGP)が追加されます。IGP とは、ルーティング プロトコルによって相互にルーティング更新を受信するデバイスのグループを指しています。各「ルーティング グループ」は、プロセス番号によって識別されます。

詳細については、「GRE について」を参照してください。

[Hello Interval]

EIGRP ルーティング プロトコルを選択した場合にだけ使用可能です。

インターフェイスで送信される hello パケットの間隔を 1 ~ 65535 秒の間で指定します。デフォルトは 5 秒です。

[Hold Time]

EIGRP ルーティング プロトコルを選択した場合にだけ使用可能です。

ルータが接続を無効化する前に hello メッセージの受信を待機する秒数。範囲は 1 ~ 65535 です。デフォルトのホールド時間は 15 秒(hello の間隔の 3 倍)です。

[Delay]

EIGRP ルーティング プロトコルを選択した場合にだけ使用可能です。

プライマリ ルート インターフェイスのスループット遅延(マイクロ秒単位)。トンネル遅延時間の範囲は 1 ~ 16777215 です。デフォルトは 1000 です。

[Failover Delay]

EIGRP ルーティング プロトコルを選択した場合にだけ使用可能です。

フェールオーバー ルート インターフェイスのスループット遅延(マイクロ秒単位)。トンネル遅延時間の範囲は 1 ~ 16777215 です。デフォルトは 1500 です。

[Bandwidth]

EIGRP ルーティング プロトコルを選択した場合にだけ使用可能です。

プライマリ ルート インターフェイスで EIGRP パケットに使用可能な帯域幅の量。プライマリ ルートが他のルートよりも優先されるように値を入力する必要があります。

1 ~ 10000000 kb の値を入力できます。デフォルトは 1000 kb です。

プライマリ ルート インターフェイスで EIGRP パケットに使用可能な帯域幅の量。1 ~ 10000000 kb の値を入力できます。デフォルトは 1000 kb です。

(注) デフォルトでは、インターフェイスでパケットを送信する場合のコストは帯域幅に基づいて計算されます。帯域幅が広いほど、コストは低くなります。

[Failover Bandwidth]

EIGRP ルーティング プロトコルを選択した場合にだけ使用可能です。

フェールオーバー ルート インターフェイスで EIGRP パケットに使用可能な帯域幅の量。

1 ~ 10000000 kb の値を入力します。デフォルトは 1000 kb です。

[Hub Network Area ID]

OSPF ルーティング プロトコルを選択した場合にだけ使用可能です。

トンネル サブネットを含め、ハブの保護ネットワークがアドバタイズされる領域の ID 番号。任意の数値を指定できます。デフォルトは 0 です。

[Spoke Protected Network Area ID]

OSPF ルーティング プロトコルを選択した場合にだけ使用可能です。

トンネル サブネットを含め、リモート保護ネットワークがアドバタイズされる領域の ID 番号。任意の数値を指定できます。デフォルトは 1 です。

[Authentication]

OSPF または RIPv2 ルーティング プロトコルを選択した場合に使用可能です。

OSPF または RIPv2 認証キーを指定する文字列。文字列は最大 8 文字の長さにすることができます。

[Cost]

OSPF または RIPv2 ルーティング プロトコルを選択した場合に使用可能です。

プライマリ ルート インターフェイスでのパケットの送信コスト。

選択したプロトコルが OSPF の場合は、1 ~ 65535 の範囲の値を入力します。デフォルトは 100 です。

選択したプロトコルが RIPv2 の場合は、1 ~ 15 の範囲の値を入力します。デフォルトは 1 です。

[Failover Cost]

OSPF または RIPv2 ルーティング プロトコルを選択した場合に使用可能です。

セカンダリ(フェールオーバー)ルート インターフェイスでのパケットの送信コスト。

OSPF では 1 ~ 65535 の値(デフォルトは 125)を、RIPv2 では 1 ~ 15 の値(デフォルトは 2)を入力できます。

[Filter Dynamic Updates on Spokes]

選択されている場合、スポークにおけるすべてのダイナミック ルーティング更新をフィルタリングする再配布リストの作成がイネーブルになります。これにより、スポーク デバイスは他の IP アドレスではなく固有の保護サブネットだけをアドバタイズ(ハブ デバイスで読み込み)するよう強制されます。

[Tunnel Parameters] タブ

[Tunnel IP]

GRE または GRE ダイナミック IP トンネル インターフェイスの IP アドレスを指定する必要なオプションを選択します。

(注) 新しい GRE トンネル、ループバック インターフェイス、またはその両方を [Router Interfaces] ページに表示するには、VPN をデバイスに正常に展開したあとでデバイス インベントリの詳細を再検出する必要があります。詳細については、「Cisco IOS ルータでの基本的なインターフェイス設定」を参照してください。

[Use Physical Interface]:選択されている場合、保護されたネットワークから取得されたトンネルのプライベート IP アドレスが使用されます。

[Use Subnet]:選択されている場合、IP 範囲から取得されたトンネルの IP アドレスが使用されます。これがデフォルトです。

[Subnet] フィールドに、一意のサブネット マスクを含むプライベート IP アドレスを入力します(デフォルトは 1.1.1.0/24 です)。

ダイヤル バックアップ インターフェイスも設定する場合は、用意された [Dial Backup Subnet] フィールドにそのサブネットを入力します(デフォルトは 1.1.2.0/24 です)。

(注) ほとんどの場合、サブネットを使用して GRE トンネル インターフェイスの IP アドレスを指定すると、Security Manager によって、トンネルの IP アドレスに使用されるループバック インターフェイスがデバイスに作成されます。Security Manager によって設定が検出される VPN トポロジにデバイスが属しており、デバイスの GRE トンネルに直接 IP アドレスを設定する場合は、Security Manager によってその設定が維持されて、デバイスにループバック インターフェイスは作成されません。ただし、VPN トポロジ内のハブには常にループバックが設定されます。複数のハブがあるハブアンドスポーク VPN トポロジでは、スポークにもループバック インターフェイスが設定されます。

[Use Loopback Interface]:選択されている場合、既存のループバック インターフェイスから取得されたトンネルの IP アドレスが使用されます。[Role] フィールドで、インターフェイスを入力するか、または用意されているインターフェイス ロールのリストから選択します。

[Configure Unique Tunnel Source for each Tunnel]

割り当てられている IPsec テクノロジーが標準 GRE である場合にだけ使用可能です。

イネーブルになっている場合、VPN の各 GRE トンネル インターフェイスに一意のトンネル ソースが割り当てられます。[Tunnel Source IP Range] フィールドに、トンネル ソースとして使用するサブネット IP を入力します。

(注) イネーブルになっている場合、この機能は、VPN 内のすべての GRE トンネル インターフェイスに設定されます。1 つのインターフェイスに特定のトンネル ソースを割り当てる場合は、Peers ポリシーを使用して、目的のデバイスにエンドポイントを設定します。「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

[Tunnel Source IP Range]

割り当てられている IPsec テクノロジーが GRE ダイナミック IP である場合にだけ使用可能です。

一意のサブネット マスクを含む、GRE のループバックをサポートするプライベート IP アドレス。GRE トンネル インターフェイスの IP アドレス(内部トンネル IP アドレス)は、Security Manager がループバック専用に作成するループバック インターフェイスから取得されます。

スポークにダイナミック IP アドレスがある場合、(スポーク側で GRE トンネルによって使用される)固定の GRE トンネル ソース アドレスまたは(ハブ側で GRE トンネルによって使用される)送信先アドレスはありません。そのため、Security Manager によってハブおよびスポークに追加のループバック インターフェイスが作成されて、GRE トンネル エンドポイントとして使用されます。Security Manager がループバック インターフェイスの IP アドレスを割り当てることのできるサブネットを指定する必要があります。

[Enable IP Multicast]

選択されている場合は、GRE トンネル間でマルチキャスト送信をイネーブルにします。IP マルチキャストは、最小限のネットワーク帯域幅を使用して、送信元または受信側に負荷をかけることなく複数の受信側にアプリケーション ソース トラフィックを配信します。

[Rendezvous Point]

[Enable IP Multicast] チェックボックスをオンにした場合にだけ使用可能です。

必要に応じて、マルチキャスト送信の Rendezvous Point(RP; ランデブー ポイント)として機能するインターフェイスの IP アドレスを入力できます。送信元は RP にトラフィックを送信します。このトラフィックは、共有配布ツリーの下方の受信側に転送されます。

[GRE Modes] ページ > [DMVPN Policy]

次の表に、DMVPN のポリシーを設定するための [GRE Modes] ページの要素を示します。

 

表 21-23 [GRE Modes] ページ > [DMVPN Policy]

要素
説明

[Routing Parameters] タブ

[Routing Protocol]

DMVPN トンネルで使用する、必要なダイナミック ルーティング プロトコルまたはスタティック ルートを選択します。

オプションには、EIGRP、OSPF、RIPv2 というダイナミック ルーティング プロトコル、および GRE スタティック ルートがあります。On-Demand Routing(ODR; オンデマンド ルーティング)もサポートされています。オンデマンド ルーティングは、ルーティング プロトコルではありません。ハブアンドスポーク VPN トポロジにおいて、スポーク ルータがハブ以外の他のルータに接続していない場合に使用できます。ダイナミック プロトコルを実行しているネットワーク環境では、オンデマンド ルーティングは適していません。

詳細については、「GRE について」を参照してください。

[AS Number]

EIGRP ルーティング プロトコルを選択した場合にだけ使用可能です。

EIGRP パケットが属する Autonomous System(AS; 自律システム)領域の識別に使用する数値。範囲は 1 ~ 65535 です。デフォルトは 110 です。

Autonomous System(AS; 自律システム)は、共通のルーティング ストラテジを共有するネットワークのコレクションです。AS は、連続したネットワークおよび接続ホストのグループであるいくつかの領域に分割できます。複数のインターフェイスがあるルータは、複数の領域に参加できます。AS ID は、パケットが属する領域を識別します。すべての EIGRP パケットは単一の領域に関連付けられるため、すべてのデバイスに同じ AS 番号が必要です。

[Process Number]

OSPF ルーティング プロトコルを選択した場合にだけ使用可能です。

Security Manager が DMVPN の設定時に追加する保護された IGP の識別に使用されるルーティング プロセス ID 番号。

いずれのプロトコルにおいても、有効な範囲は 1 ~ 65535 です。デフォルトは 110 です。

[Hello Interval]

EIGRP ルーティング プロトコルを選択した場合にだけ使用可能です。

インターフェイスで送信される hello パケットの間隔を 1 ~ 65535 秒の間で指定します。デフォルトは 5 秒です。

[Hold Time]

EIGRP ルーティング プロトコルを選択した場合にだけ使用可能です。

ルータが接続を無効化する前に hello メッセージの受信を待機する秒数。範囲は 1 ~ 65535 です。デフォルトのホールド時間は 15 秒(hello の間隔の 3 倍)です。

[Delay]

EIGRP ルーティング プロトコルを選択した場合にだけ使用可能です。

プライマリ ルート インターフェイスのスループット遅延(マイクロ秒単位)。トンネル遅延時間の範囲は 1 ~ 16777215 です。デフォルトは 1000 です。

[Hub Network Area ID]

OSPF ルーティング プロトコルを選択した場合にだけ使用可能です。

トンネル サブネットを含め、ハブの保護ネットワークがアドバタイズされる領域の ID 番号。任意の数値を入力できます。デフォルトは 0 です。

[Spoke Protected Network Area ID]

OSPF ルーティング プロトコルを選択した場合にだけ使用可能です。

トンネル サブネットを含め、リモート保護ネットワークがアドバタイズされる領域の ID 番号。任意の数値を入力できます。デフォルトは 1 です。

[Authentication]

OSPF 認証キーを示す文字列。文字列は最大 8 文字の長さにすることができます。

[Cost]

OSPF または RIPv2 ルーティング プロトコルを選択した場合に使用可能です。

プライマリ ルート インターフェイスでのパケットの送信コスト。

選択したプロトコルが OSPF の場合は、1 ~ 65535 の範囲の値を入力します。デフォルトは 100 です。

選択したプロトコルが RIPv2 の場合は、1 ~ 15 の範囲の値を入力します。デフォルトは 1 です。

[Allow Direct Spoke to Spoke Connectivity]

選択されている場合、ハブを経由しないでスポーク間で直接通信できます。使用する DMVPN フェーズを選択します。これにより、スポークが行うことができる接続のタイプが決定されます。

[Phase 2]:スポーク間接続はリージョナル ハブを通過し、ハブからスポークへのルーティング プロトコル更新はサマライズされません。

[Phase 3](デフォルト):スポークは、相互の直接接続を作成でき、ハブからスポークへのルーティング更新はサマライズされます。このオプションを使用すると、スケーラビリティが最大になり、遅延が低減されます。デバイスでは、IOS ソフトウェア Release 12.4(6)T 以上を実行する必要があります(Security Manager は、より低いバージョンの OS を実行しているデバイスのフェーズ 2 設定を自動的に作成します)。フェーズ 2 と 3 の違いの詳細については、Cisco.com の『 Migrating from Dynamic Multipoint VPN Phase 2 to Phase 3 』を参照してください。

(注) 直接のスポーク間通信を使用する場合は、事前共有キー ネゴシエーションで [Main Mode Address] オプションを使用する必要があります。詳細については、「Preshared Key ポリシーについて」を参照してください。

[Filter Dynamic Updates On Spokes]

DMVPN トンネルでオンデマンド ルーティングまたはスタティック ルートを使用している場合には使用できません。

選択されている場合、スポークにおけるすべてのダイナミック ルーティング更新(EIGRP、OSPF、および RIPv2)をフィルタリングする再配布リストの作成がイネーブルになります。これにより、スポーク デバイスは他の IP アドレスではなく固有の保護サブネットだけをアドバタイズ(ハブ デバイスで読み込み)するよう強制されます。

[Tunnel Parameters] タブ

[Tunnel IP Range]

一意のサブネット マスクを含む、内部トンネル インターフェイスの IP アドレスの IP 範囲。

(注) トンネル インターフェイスの IP アドレスがデバイスにすでに存在すること、およびその IP アドレスがトンネルの IP サブネットのフィールドに一致することが Security Manager によって検出された場合は、そのインターフェイスが GRE トンネルとして使用されます。

[Dial Backup Tunnel IP Range]

ダイヤル バックアップ インターフェイスを設定する場合は、一意のサブネット マスクを含む、その内部トンネル インターフェイスの IP アドレスを入力します。

[Server Load Balance]

選択されている場合、複数のハブを使用する設定においてハブとして機能している Cisco IOS ルータでのロード バランシングの設定がイネーブルとなります。

サーバ ロード バランシングを使用すると、作業負荷を分散することによって、複数のハブを使用する設定においてパフォーマンスが最適化されます。この設定では、複数の DMVPN サーバ ハブが同じトンネル IP および送信元 IP アドレスを共有し、VPN トポロジのスパイクによって単一のデバイスのように認識されます。

[Enable IP Multicast]

選択されている場合は、GRE トンネル間でマルチキャスト送信をイネーブルにします。

IP マルチキャストは、最小限のネットワーク帯域幅を使用して、送信元または受信側に負荷をかけることなく複数の受信側にアプリケーション ソース トラフィックを配信します。

[Rendezvous Point]

[Enable IP Multicast] チェックボックスをオンにした場合にだけ使用可能です。

必要に応じて、マルチキャスト送信の Rendezvous Point(RP; ランデブー ポイント)として機能するインターフェイスの IP アドレスを入力できます。送信元は RP にトラフィックを送信します。このトラフィックは、共有配布ツリーの下方の受信側に転送されます。

[Tunnel Key]

トンネル キーを示す番号。デフォルトは 1 です。

トンネル キーは、multipoint GRE(mGRE; マルチポイント GRE)トンネル Non Broadcast Multiple Access(NBMA; 非ブロードキャスト マルチアクセス)ネットワークごとに異なります。同じ NBMA ネットワーク内のすべての mGRE インターフェイスでは同じトンネル キーの値を使用する必要があります。同じルータに 2 つの mGRE インターフェイスがある場合、これらのインターフェイスでは異なるトンネル キーの値を使用する必要があります。

(注) 新規に作成したトンネル インターフェイスを [Router Interfaces] ページに表示するには、VPN をデバイスに正常に展開したあとでデバイス インベントリの詳細を再検出する必要があります。詳細については、「Cisco IOS ルータでの基本的なインターフェイス設定」を参照してください。

[NHRP Parameters]

[Network ID]

1 つの論理 Non-Broadcast Multi-Access(NBMA; 非ブロードキャスト マルチアクセス)ネットワーク内のすべての Next Hop Resolution Protocol(NHRP)ステーションには、同じネットワーク ID を設定する必要があります。1 ~ 4294967295 の範囲の、グローバルに一意な 32 ビットのネットワーク ID を入力します。

[Hold time]

正規の NHRP 応答に指定されている情報をルータで保持する時間(秒数)。ホールド時間を経過すると、キャッシュされた IP から NBMA へのアドレス マッピング エントリは廃棄されます。

デフォルトは 300 秒です。

[Authentication]

送信元および宛先 NHRP ステーション間で相互に通信できるかどうかを制御する認証文字列。NHRP を使用している同じネットワーク内のすべてのルータが同じ認証文字列を共有する必要があります。文字列は最大 8 文字の長さにすることができます。

ダイナミック マルチポイント VPN(DMVPN)

Dynamic Multipoint VPN(DMVPN; ダイナミック マルチポイント VPN)とは、Generic Routing Encapsulation(GRE)トンネル、IP Security(IPsec; IP セキュリティ)暗号化、および Next Hop Resolution Protocol(NHRP)ルーティングを組み合わせることによって、大規模および小規模な IPsec VPN におけるスケーラビリティを向上できるハブアンドスポーク VPN テクノロジーです。

ここでは、次の内容について説明します。

「DMVPN について」

「DMVPN のポリシーの設定」

「大規模 DMVPN の設定」

「[Server Load Balance] ページ」

DMVPN について

Dynamic Multipoint VPN(DMVPN; ダイナミック マルチポイント VPN)では、Generic Routing Encapsulation(GRE)トンネル、IP Security(IPsec; IP セキュリティ)暗号化、および Next Hop Resolution Protocol(NHRP)ルーティングを組み合わせることによって、大規模および小規模な IPsec VPN におけるスケーラビリティを向上できます(大規模 DMVPN の詳細については、「大規模 DMVPN の設定」を参照してください)。

Security Manager では、EIGRP、OSPF、RIPv2 というダイナミック ルーティング プロトコル、および GRE スタティック ルートを使用する DMVPN がサポートされています。On-Demand Routing(ODR; オンデマンド ルーティング)もサポートされています。ODR は、ルーティング プロトコルではありません。ハブアンドスポーク VPN トポロジにおいて、スポーク ルータがハブ以外の他のルータに接続していない場合に使用できます。ダイナミック プロトコルを実行しているネットワーク環境では、ODR は適していません。ルーティング プロトコルの詳細については、「ルータの管理」を参照してください。

DMVPN は、ハブアンドスポーク VPN トポロジにおいて、Cisco IOS ソフトウェア バージョン 12.3T 以降を実行するデバイスでだけ使用できます。DMVPN は、Catalyst VPN サービス モジュール デバイス、または High Availability(HA; ハイ アベイラビリティ)グループではサポートされていません。デバイスで DMVPN がサポートされていない場合は、GRE ダイナミック IP を使用して、動的にアドレス指定されるスポークに GRE を設定します。「動的にアドレス指定されるスポークの GRE 設定について」を参照してください。

DMVPN 設定は、IPsec テクノロジーとして DMVPN が選択されている場合に、[GRE Modes] ページで設定できます。「サイト間 VPN の必須ポリシーおよびオプションのポリシーについて」を参照してください。

DMVPN の高度なフェーズにおいては、ショートカット スイッチングという拡張機能を使用して、ネットワークのパフォーマンスとスケーラビリティを向上できます。次フェーズの DMVPN への移行の詳細については、Cisco.com( http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6660/ps6808/prod_white_paper0900aecd8055c34e_ps6658_Products_White_Paper.html )を参照してください。

ここでは、次の内容について説明します。

「Security Manager における DMVPN を使用した GRE の実装方法」

「DMVPN を使用した GRE の利点」

Security Manager における DMVPN を使用した GRE の実装方法

ハブアンドスポーク VPN トポロジでは、各スポークにはハブへの永続的な IPsec トンネルがありますが、トポロジ内の他のスポークへのトンネルはありません。NHRP を使用すると、ハブにすべてのスポーク(クライアント)のパブリック インターフェイス アドレスの NHRP データベースが保持されます。各スポークは、起動時にハブに対してスポークの実際のアドレスを登録します。スポークが他のスポークの宛先(プライベート)サブネットにパケットを送信する必要がある場合、そのスポークは NHRP サーバに宛先スポークの VPN アドレスを問い合わせます。送信元スポークは、ターゲット スポークのピア アドレスを学習したあと、ターゲット スポークへのダイナミック IPsec トンネルを開始します。スポーク間のトンネルは、マルチポイント GRE インターフェイス経由で構築されます。スポーク間のリンクは、スポーク間にトラフィックが発生するたびにオンデマンドで確立されます。その後、パケットはハブを迂回し、スポーク間トンネルを使用できます。

DMVPN を使用した GRE の利点

DMVPN を使用した GRE には、次の利点があります。

ハブにおける GRE 設定の簡素化

GRE では、ハブにおいて、接続された各スポークに対してトンネルが設定されます。GRE と DMVPN を使用すると、すべての接続されたスポークに対してトンネルが 1 つだけ設定されます。

動的にアドレス指定されるスポークのサポート

GRE を使用する場合、ハブ ルータを設定するときに、スポーク ルータの物理インターフェイス IP アドレスを GRE トンネルの宛先アドレスとして設定する必要があります。DMVPN を使用すると、スポーク ルータに動的な外部インターフェイス IP アドレスを設定できます。また、外部インターフェイス IP アドレスが変更された場合でも設定をデバイスに再展開する必要がなく、設定が堅固になります。スポークがオンラインになると、スポークの物理インターフェイス IP アドレスが含まれた登録パケットをハブに対して送信します。

直接のスポーク間通信用のダイナミック トンネルの作成

NHRP では、スポーク ルータは、VPN ネットワーク内のルータの外部インターフェイス IP アドレスを動的に学習できます。スポークは、他のスポークにパケットを送信する必要がある場合、NHRP を使用して、宛先スポークの必要な宛先アドレスを動的に決定できます。ハブは、送信元スポークの要求を処理する NHRP サーバとして動作します。これにより、ハブ ルータを経由せずにスポーク ルータ間で直接の IPsec および GRE トンネルを動的に作成でき、それによりハブにおいて複数回暗号化と復号化を繰り返すことによる遅延を低減できます。

DMVPN のポリシーの設定

この手順では、サイト間 VPN で DMVPN を使用した GRE を設定する方法について説明します。

関連項目

「DMVPN について」

「[GRE Modes] ページ」


ステップ 1 ツールバーの [Site-To-Site VPN Manager] ボタンをクリックします。[Site-to-Site VPN Manager] ウィンドウが開きます。

ステップ 2 DMVPN セレクタで、DMVPN トポロジを選択します。

ステップ 3 ポリシー セレクタで、[GRE Modes] を選択します。

[GRE Modes] ページが開き、選択した IPsec テクノロジー(DMVPN)に関連するフィールドが表示されます。DMVPN のポリシー用の [GRE Modes] ページの要素の詳細については、表 21-23を参照してください。

ステップ 4 [Routing Parameters] タブで、DMVPN トンネルに使用する、必要なダイナミック ルーティング プロトコル(EIGRP、OSPF、または RIP)、スタティック ルート、あるいはオンデマンド ルーティングを選択します。

a. EIGRP ルーティング プロトコルを選択した場合:

EIGRP パケットが属する Autonomous System(AS; 自律システム)領域の識別に使用する数値を入力または編集します。

インターフェイスで hello パケットが送信される間隔、およびルータが接続を無効化する前に hello メッセージの受信を待機する秒数を指定します。

プライマリ ルート インターフェイスのスループット遅延をマイクロ秒単位で指定します。

b. OSPF ルーティング プロトコルを選択した場合:

Security Manager が GRE または GRE ダイナミック IP の設定時に追加する保護された IGP の識別に使用されるルーティング プロセス ID 番号を入力します。

トンネル サブネットを含め、ハブの保護ネットワークがアドバタイズされる領域の ID 番号を入力します。

トンネル サブネットを含め、リモート保護ネットワークがアドバタイズされる領域の ID 番号を入力します。

OSPF 認証キーを指定する文字列を入力します。

プライマリ ルート インターフェイスおよびセカンダリ(フェールオーバー)ルート インターフェイスでのパケットの送信コストを指定します。

c. RIPv2 ルーティング プロトコルを選択した場合:

RIPv2 認証キーを指定する文字列を入力します。

プライマリ ルート インターフェイスおよびセカンダリ(フェールオーバー)ルート インターフェイスでのパケットの送信コストを指定します。


) Security Manager は、展開の保護 IGP のすべてのデバイスにルーティング プロトコルを追加します。この保護された IGP を維持する場合は、同じルーティング プロトコルと、ここで定義した自律システム(またはプロセス ID)番号を使用してルータ プラットフォーム ポリシーを作成する必要があります。異なるプロトコルにルーティング ポリシーを定義する方法については、「ルータの管理」を参照してください。


ステップ 5 ハブを経由しないでスポーク間で直接通信できるようにする場合は、[Allow Direct Spoke-to-Spoke Connectivity] を選択します。また、使用する DMVPN フェーズを選択します。フェーズによって、スポークが確立できる接続のタイプが決定されます。

[Phase 2]:スポーク間接続はリージョナル ハブを通過し、ハブからスポークへのルーティング プロトコル更新はサマライズされません。

[Phase 3](デフォルト):スポークは、相互の直接接続を作成でき、ハブからスポークへのルーティング更新はサマライズされます。このオプションを使用すると、スケーラビリティが最大になり、遅延が低減されます。デバイスでは、IOS ソフトウェア Release 12.4(6)T 以上を実行する必要があります(Security Manager は、より低いバージョンの OS を実行しているデバイスのフェーズ 2 設定を自動的に作成します)。フェーズ 2 と 3 の違いの詳細については、Cisco.com の『 Migrating from Dynamic Multipoint VPN Phase 2 to Phase 3 』を参照してください。

ステップ 6 [Filter Dynamic Updates on Spokes] チェックボックスを選択して、スポークにおけるすべてのダイナミック ルーティング更新をフィルタリングする再配布リストの作成をイネーブルにします(DMVPN トンネルでオンデマンド ルーティングまたはスタティック ルートを使用している場合には利用できません)。

ステップ 7 [Tunnel Parameters] タブを選択し、次の手順を実行します。

a. [Tunnel IP Range] フィールドに、サブネット マスクを含む、内部トンネル インターフェイスの IP アドレスを入力します。


) トンネル インターフェイスの IP アドレスがデバイスにすでに存在すること、およびその IP アドレスがトンネルの IP サブネットのフィールドに一致することが CSM によって検出された場合は、そのインターフェイスが GRE トンネルとして使用されます。


b. ダイヤル バックアップ インターフェイスを設定する場合は、一意のサブネット マスクを含む、その内部トンネル インターフェイスの IP アドレスを [Dial Backup Tunnel IP Range] フィールドに入力します。

c. [Server Load Balance] チェックボックスを選択して、複数のハブを使用する設定において Cisco IOS ルータ ハブでのロード バランシングをイネーブルにします。

d. [Enable IP Multicast] チェックボックスを選択して、DMVPN トンネル経由でのマルチキャスト送信をイネーブルにします。必要に応じて、マルチキャスト送信の Rendezvous Point(RP; ランデブー ポイント)として機能するインターフェイスの IP アドレスを入力できます。

e. トンネル キーを示す番号を入力します。


) 新規に作成したトンネル インターフェイスを [Router Interfaces] ページに表示するには、VPN をデバイスに正常に展開したあとでデバイス インベントリの詳細を再検出する必要があります。詳細については、「Cisco IOS ルータでの基本的なインターフェイス設定」を参照してください。


ステップ 8 [NHRP Parameters] 領域で、次の項目を入力します。

a. NHRP ステーションに、グローバルに一意な 32 ビットのネットワーク ID を入力します。

b. 正規の NHRP 応答に指定されている情報をルータで保持する時間を入力します。

c. 送信元および宛先 NHRP ステーション間で相互に通信できるかどうかを制御する認証文字列を入力します。NHRP を使用している同じネットワーク内のすべてのルータが同じ認証文字列を共有する必要があります。


 

大規模 DMVPN の設定

Security Manager では、数千のスポークで構成される大規模な展開において DMVPN がサポートされます。大規模 DMVPN トポロジでは、Server Load Balance(SLB; サーバ ロード バランス)デバイスとも呼ばれる IPsec ターミネータがスポークとハブとの間に設置されます。ハブは、IPsec ターミネータに直接接続され、ハブと IPsec ターミネータとの間にはいかなるデバイスも設置されません。

IPsec ターミネータ(Catalyst 6500/7600 デバイス)では暗号化および復号化が実行され、ハブでは Next Hop Resolution Protocol(NHRP)および multipoint Generic Routing Encapsulation(mGRE; マルチポイント GRE)に関連するすべてのタスクが処理されます。IPsec ターミネータは、ハブへの GRE トラフィックの負荷分散を特化して行うように設定されます。また、IPsec ターミネータには、任意のプロキシを経由する任意のスポークを受け入れるようにダイナミック クリプトが設定されます。スポークでトンネル保護を使用する場合、これらのプロキシは、GRE トラフィックに一致するように自動的に設定されます。スポークには、1 つの GRE トンネルが設定されます。同じ IPsec ターミネータに接続するすべてのハブは、同じトンネル IP を使用し、トンネル ソースは IPsec ターミネータの仮想 IP アドレスとなります。

Security Manager では、ハブアンドスポーク VPN トポロジの作成中に大規模 DMVPN を設定します。ハブやスポークに加えて、IPsec ターミネータも選択する必要があります。

DMVPN の各ハブは、自身およびその保護対象ネットワークを特定し、少なくとも 1 つの IPsec ターミネータに接続されたインターフェイスを持っている必要があります。DMVPN 内の各 IPsec ターミネータでは、VPN 外部インターフェイス、暗号化エンジン スロット、および内部 VLAN を指定する必要があります。IPsec ターミネータの設定は、VPN SPA デバイスと似ています。IPsec ターミネータでは、保護対象ネットワークは設定されません。DMVPN トポロジの作成後、Server Load Balance ポリシーが、必要なすべてのパラメータを使用して IPsec ターミネータに設定されます。パラメータは、必要に応じて編集できます。


) 大規模 DMVPN では、VRF 対応 IPsec は設定できません。


この手順では、大規模 DMVPN トポロジおよび Server Load Balance ポリシーを設定する方法について説明します。

関連項目

「[Server Load Balance] ページ」

「VPN トポロジの作成または編集」


ステップ 1 ツールバーの [Site-To-Site VPN Manager] ボタンをクリックします。[Site-to-Site VPN Manager] ウィンドウが開きます。

ステップ 2 ハブアンドスポーク VPN トポロジをまだ作成していない場合は、Create VPN ウィザードを使用してハブアンドスポーク VPN トポロジを作成します。その場合、必ず次の作業を行います。

a. [Large Scale with IPsec Terminator] タイプの DMVPN IPsec テクノロジーを選択します。「VPN トポロジの名前および IPsec テクノロジーの定義」を参照してください。

b. [Device Selection] ページで、必要な IPsec ターミネータ(Catalyst 6500/7600 デバイス)、ハブ、およびすべてのスポークを選択します。「VPN トポロジのデバイスの選択」を参照してください。

IPsec ターミネータとハブは直接接続されている必要があります。

c. [Edit Endpoints] ダイアログボックスで、次の項目を設定します。

[Hub Interface] タブで、各ハブ デバイスに対して、IPsec ターミネータに接続するインターフェイスを選択します。それぞれのハブは、1 つの IPsec ターミネータにだけ接続できます。

各 IPsec ターミネータに対して、VPN 外部インターフェイス、暗号化エンジン スロット、および内部 VLAN を指定します。

「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

Server Load Balance ポリシーが、必要なすべてのパラメータを使用して IPsec ターミネータに自動的に設定されます。

ステップ 3 VPN セレクタで、必要なハブアンドスポーク大規模 DMVPN トポロジを選択します。

ステップ 4 ポリシー セレクタで、[Server Load Balance] を選択します。大規模 DMVPN 内の各ハブに対するサーバ ロード バランス パラメータを示すテーブルが表示された [Server Load Balance] ページが開きます。このページの要素の詳細については、表 21-24を参照してください。

ステップ 5 テーブル内のエントリのパラメータを変更する場合は、エントリを選択して、[Edit] をクリックします。[Edit Load Balancing Parameters] ダイアログボックスが開きます。このダイアログボックスの要素の詳細については、表 21-25を参照してください。

ステップ 6 必要に応じて [Weight] または [Max Connections] の値を変更して、[OK] をクリックします。ダイアログボックスが閉じて、変更したエントリが [Server Load Balance] ページのテーブルに表示されます。


 

[Server Load Balance] ページ

[Server Load Balance] ページを使用して、大規模 DMVPN 内の IPsec ターミネータに設定される Server Load Balance ポリシーを表示または編集します。サーバ ロード バランシングを使用すると、作業負荷を分散することによって、複数のハブアンドスポーク VPN トポロジにおけるパフォーマンスが最適化されます。大規模 DMVPN 設定では、IPsec ターミネータはトラフィックのロード バランシングを実行します。

詳細については、「大規模 DMVPN の設定」を参照してください。

[Server Load Balance] ページには、IPsec ターミネータに接続されている各ハブのサーバ ロード バランス パラメータを表示するスクロール可能なテーブルが含まれています。

ナビゲーション パス

「[Site-to-Site VPN Manager] ウィンドウ」)大規模 DMVPN が設定されているハブアンドスポーク トポロジである VPN トポロジを選択して、ポリシー セレクタで [Server Load Balance] を選択します。

(ポリシー ビュー)このポリシーは、共有ポリシーとしては使用できません。

関連項目

「大規模 DMVPN の設定」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 21-24 [Server Load Balance] ページ

要素
説明

[Hub]

IPsec ターミネータに接続されているハブの名前。

[Weight]

IPsec ターミネータに接続されている他のハブに対する、ハブの相対的な容量。

Weighted Round Robin(WRR; 重み付きラウンドロビン)スケジューリング アルゴリズムを使用して、出力送信キューに割り当てられる帯域幅が制御されます。重み付けは、インターフェイスの各送信キューで使用される帯域幅の量に基づいて行われます。容量の大きいキューからのパケットは、容量の小さいキューからのパケットよりも高い頻度で送信されます。

[Max Connections]

ハブから IPsec ターミネータに対して許可されるアクティブな接続の最大数。

[Edit] ボタン

クリックすると、選択したロード バランシング ポリシーのパラメータを変更できる「[Edit Load Balancing Parameters] ダイアログボックス」が開きます。

[Edit Load Balancing Parameters] ダイアログボックス

[Edit Load Balancing Parameters] ダイアログボックスでは、大規模 DMVPN において IPsec ターミネータに接続されているハブに設定されたサーバ ロード バランス パラメータを編集できます。

ナビゲーション パス

「[Server Load Balance] ページ」を開き、テーブルでエントリを選択して、[Edit] をクリックします。

関連項目

「[Server Load Balance] ページ」

「大規模 DMVPN の設定」

フィールド リファレンス

 

表 21-25 [Edit Load Balancing Parameters] ダイアログボックス

要素
説明

[Weight]

Weighted Round Robin(WRR; 重み付きラウンドロビン)スケジューリング アルゴリズムに基づいて、IPsec ターミネータに接続されている他のハブに対する、ハブの相対的な容量を指定します。

1 ~ 255 の値を入力できます。

[Max Connections]

ハブから IPsec ターミネータに対して許可されるアクティブな接続の最大数を指定します。

1 ~ 65535 の値を入力できます。デフォルトは 500 です。

Easy VPN

Easy VPN は、さまざまなルータ、PIX、および ASA デバイスで使用できるハブアンドスポーク VPN トポロジです。ほとんどのポリシーはハブで定義され、リモート スポーク VPN デバイスにプッシュされるため、クライアントには、セキュアな接続を確立する前に確実に最新のポリシーが配置されます。

ここでは、次の内容について説明します。

「Easy VPN について」

「Easy VPN での IPsec プロポーザルの設定」

「Easy VPN における User Group ポリシーの設定」

「Easy VPN における Connection Profile ポリシーの設定」

「Easy VPN のクライアント接続特性の設定」

Easy VPN について

Easy VPN を使用すると、リモート オフィスの VPN 展開が容易になります。Easy VPN では、ヘッド エンドに定義されたセキュリティ ポリシーがリモート VPN デバイスにプッシュされるため、クライアントには、セキュアな接続を確立する前に確実に最新のポリシーが配置されます。

Security Manager では、ハブアンドスポーク VPN トポロジにおける Easy VPN ポリシーの設定がサポートされています。このような設定では、ほとんどの VPN パラメータは、ハブ デバイスとして機能する Easy VPN サーバに定義されます。集中管理された IPsec ポリシーは、サーバによって Easy VPN クライアント デバイスにプッシュされるため、リモート(スパイク)デバイス設定を最小限に抑えることができます。

Easy VPN サーバは、Cisco IOS ルータ、PIX ファイアウォール、または ASA デバイスです。Easy VPN クライアントは、PIX 6.3 を実行する PIX 501、506、506E Firewall、Cisco 800 ~ 3900 シリーズ ルータ、および OS バージョン 7.2 以降を実行する ASA 5505 デバイスでサポートされます。


) リモート アクセス VPN でもリモート アクセス ポリシーを設定できます。リモート アクセス VPN では、ポリシーはサーバと Cisco VPN クライアント ソフトウェアを実行するモバイル リモート PC との間に設定されますが、サイト間 Easy VPN トポロジでは、クライアントはハードウェア デバイスです。リモート アクセス VPN の設定の詳細については、「リモート アクセス VPN の管理」を参照してください。


ここでは、次の内容について説明します。

「Easy VPN とダイヤル バックアップ」

「ハイ アベイラビリティ Easy VPN」

「Easy VPN とダイナミック仮想トンネル インターフェイス」

「Easy VPN の設定の概要」

「Easy VPN 設定に関する重要事項」

Easy VPN とダイヤル バックアップ

Easy VPN のダイヤル バックアップを使用すると、リモート クライアント デバイスにダイヤル バックアップ トンネル接続を設定できます。このバックアップ機能は、実際のトラフィックの送信準備が完了したときにだけアクティブになります。これにより、トラフィックがない場合に高価なダイヤルアップまたは ISDN リンクを作成および維持する必要がなくなります。


) Easy VPN ダイヤル バックアップは、IOS バージョン 12.3(14)T 以降を実行するルータであるリモート クライアントにだけ設定できます。


Easy VPN 設定では、リモート デバイスがサーバへの接続を試み、追跡された IP がアクセスできない場合には、プライマリ接続がティアダウンされて、Easy VPN バックアップ トンネル経由でサーバへの新しい接続が確立されます。プライマリ ハブに到達できない場合は、プライマリ設定が、バックアップ設定ではなく、同じプライマリ設定を持つフェールオーバー ハブに切り替えられます。

各プライマリ Easy VPN 設定では、1 つのバックアップ設定だけがサポートされています。各内部インターフェイスでは、プライマリおよびバックアップの Easy VPN 設定を指定する必要があります。Easy VPN リモート デバイスでダイヤル バックアップが動作するためには、IP スタティック ルート トラッキングが設定されている必要があります。オブジェクト トラッキング設定は、Easy VPN リモート ダイヤル バックアップ設定とは独立しています。オブジェクト トラッキングの詳細は、スポークの [Edit EndPoints] ダイアログボックスで指定します。

ダイヤル バックアップの詳細については、「ダイヤル バックアップの設定」を参照してください。

ハイ アベイラビリティ Easy VPN

Easy VPN トポロジ内のデバイスに High Availability(HA; ハイ アベイラビリティ)を設定できます。LAN 上で IP を実行する Cisco IOS ルータまたは Catalyst 6500/7600 デバイスに High Availability(HA; ハイ アベイラビリティ)を設定すると、自動デバイス バックアップ機能を使用できます。Easy VPN に、Hot Standby Routing Protocol(HSRP)を使用して透過的な自動デバイス フェールオーバーを提供する 2 つ以上のハブ デバイスで構成された HA グループを作成できます。詳細については、「VPN トポロジにおけるハイ アベイラビリティの設定」を参照してください。

Easy VPN とダイナミック仮想トンネル インターフェイス

IPsec Virtual Tunnel Interface(VTI; 仮想トンネル インターフェイス)機能を使用すると、IPsec によって保護する必要がある、リモート アクセス リンク用の GRE トンネルの設定が簡素化されます。VTI は、IPsec トンネリングをサポートするインターフェイスです。VTI を使用すると、IPsec トンネルに直接インターフェイス コマンドを適用できます。仮想トンネル インターフェイスの設定では、特定の物理インターフェイスに IPsec セッションをスタティックにマッピングして、クリプト マップを適用する必要がないため、オーバーヘッドが低減されます。

IPsec VTI では、任意の物理インターフェイスにおいて、ユニキャストとマルチキャストの両方の暗号化されたトラフィックがサポートされます(複数のパスがある場合など)。トラフィックは、トンネル インターフェイスから転送されるときに暗号化され、トンネル インターフェイスに転送されると復号化されます。また、IP ルーティング テーブルによって管理されます。ダイナミックまたはスタティック IP ルーティングを使用して、仮想トンネル インターフェイスにトラフィックをルーティングできます。IP ルーティングを使用してトンネル インターフェイスにトラフィックを転送することによって、Access Control List(ACL; アクセス コントロール リスト)とクリプト マップを使用する複雑なプロセスと比較して IPsec VPN 設定が簡素化されます。ダイナミック VTI は、他のすべての実際のインターフェイスと同様に機能するため、トンネルがアクティブになるとすぐに Quality of Service(QoS; サービス品質)、ファイアウォール、およびその他のセキュリティ サービスを適用できます。

ダイナミック VTI では、IPsec インターフェイスの動的なインスタンス化および管理のために、仮想テンプレート インフラストラクチャが使用されます。Easy VPN トポロジでは、Security Manager によって暗黙的にデバイスに仮想テンプレート インターフェイスが作成されます。デバイスがハブの場合、ユーザは、ハブに仮想テンプレート インターフェイスとして使用される IP アドレスを指定する必要があります。この IP アドレスには、サブネット(アドレスのプール)、既存のループバック インターフェイス、または既存の物理インターフェイスを指定できます。スポークでは、仮想テンプレート インターフェイスは IP アドレスなしで作成されます。

注意事項

ダイナミック VTI は、ハブアンドスポーク VPN トポロジにおいて、IOS バージョン 12.4(2)T 以降を実行する 7600 デバイスを除くルータでだけ設定できます。PIX ファイアウォール、ASA デバイス、または Catalyst 6000 シリーズ スイッチではサポートされていません。

検出またはプロビジョニング中に、すべてのハブおよびスポークにダイナミック VTI 設定が必要なわけではありません。(DVTI をサポートしていないルータを含む)既存の Easy VPN トポロジを拡張して、DVTI をサポートするルータを追加できます。

ダイナミック VTI は、サーバだけ、クライアントだけ(サーバが DVTI をサポートしていない場合)、およびクライアントとサーバの両方でサポートされます。

ダイナミック VTI は、VRF 対応 IPsec が設定されているかどうかにかかわらず設定できます。

DVTI が設定されたハブ(サーバ)には、ハイ アベイラビリティを設定できません。

リモート アクセス VPN でもダイナミック VTI を設定できます。詳細については、「[PVC] ダイアログボックス - [QoS] タブ」を参照してください。

Security Manager では、[Easy VPN IPsec Proposal] ページでダイナミック VTI を設定します。「Easy VPN での IPsec プロポーザルの設定」を参照してください。

Easy VPN の設定の概要

リモート クライアントから VPN サーバに接続が開始されると、IKE を使用したピア間でのデバイス認証、IKE Extended Authentication(Xauth; 拡張認証)を使用したユーザ認証、VPN ポリシーのプッシュ(Client、Network Extension、または Network Extension Plus モード)、および IPsec Security Association(SA; セキュリティ アソシエーション)の作成が順に実行されます。

次に、このプロセスの概要を示します。

1. 認証に事前共有キーが使用される場合はアグレッシブ モードを、デジタル証明書が使用される場合はメイン モードを使用して、クライアントによって IKE フェーズ 1 が開始されます。クライアントが自身を事前共有キーによって識別する場合は、付随するユーザ グループ名(設定時に定義されます)を使用して、このクライアントに関連付けられているグループ プロファイルが特定されます。デジタル証明書が使用される場合は、Distinguished Name(DN; 識別名)の Organizational Unit(OU; 組織ユニット)フィールドを使用してユーザ グループ名が特定されます。「[PKI Enrollment] ダイアログボックス - [Certificate Subject Name] タブ」を参照してください。


) クライアントで、IKE アグレッシブ モードが開始される事前共有キー認証が設定される可能性があるため、管理者は、crypto isakmp identity hostname コマンドを使用して、VPN デバイスのアイデンティティを変更する必要があります。この操作は、IKE メイン モードを使用した証明書認証には影響しません。


2. クライアントは、クライアントのパブリック IP アドレスと VPN サーバのパブリック IP アドレスとの間で IKE SA の確立を試みます。クライアントに手動で設定する作業量を減らすために、暗号化アルゴリズム、ハッシュ アルゴリズム、認証方式、および D-H グループ サイズのあらゆる組み合わせが提案されます。

3. IKE ポリシー設定に応じて、VPN サーバはどのプロポーザルを受け入れてフェーズ 1 のネゴシエーションを続行するかを判断します。


) この時点でデバイス認証が終了し、ユーザ認証が開始されます。


4. VPN サーバに Xauth が設定されている場合、クライアントは、IKE SA が正常に確立されたあと、「ユーザ名/パスワード」チャレンジを待機して、ピアのチャレンジに応答します。入力された情報は、RADIUS や TACACS+ などの Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)プロトコルを使用して認証エンティティに照らしてチェックされます。トークン カードは、AAA プロキシを介して使用することもできます。Xauth 中、ユーザのクレデンシャルが RADIUS を介して検証される場合に、そのユーザに固有の属性を取得できます。


) リモート クライアントを処理するように設定されている VPN サーバは、ユーザ認証を実行するように常に設定されている必要があります。


5. サーバから認証が成功したことを通知されると、クライアントはさらにピアから設定パラメータを要求します。残りのシステム パラメータ(IP アドレス、DNS、スプリット トンネル属性など)が、Client モードまたは Network Extension モード設定を使用してクライアントにプッシュされます。


) (Rivest, Shamir, and Adelman(RSA)の署名が使用されていない場合)IP アドレス プールおよびグループ事前共有キーだけがグループ プロファイルで必要なパラメータです。その他すべてのパラメータはオプションです。


6. モード設定を介して各クライアントに内部 IP アドレスが割り当てられたあと、Reverse Route Injection(RRI; 逆ルート注入)によってデバイスの各クライアント内部 IP アドレスに対してスタティック ルートが作成されます(RRI が設定されている場合)。

7. IKE クイック モードが開始されて、IPsec SA のネゴシエーションおよび作成が行われます。

これで、接続が完了します。

Easy VPN 設定に関する重要事項

トポロジに Easy VPN ポリシーを設定する前に、次の事項を把握しておく必要があります。

Easy VPN トポロジ設定では、リモート クライアント デバイスとして 72xx シリーズ ルータが使用されていると展開に失敗します。Easy VPN クライアントは、PIX ファイアウォール、Cisco 800 ~ 3900 シリーズ ルータ、および OS バージョン 7.2 以降を実行する ASA 5505 デバイスでサポートされます。

Easy VPN トポロジ設定において PIX 6.3 リモート クライアントに Public Key Infrastructure(PKI)ポリシーの設定を試みると、展開に失敗します。このデバイスに正常に展開するには、最初に CA サーバに PKI 証明書を発行してから、再度デバイスの展開を試みます。PKI ポリシーの詳細については、「Public Key Infrastructure ポリシーについて」を参照してください。

外部インターフェイスではなく NAT(または PAT)内部インターフェイスにクリプト マップが設定されている場合は、Easy VPN クライアントとして機能するデバイスで展開が失敗する場合があります。一部のプラットフォームでは、内部インターフェイスと外部インターフェイスが固定されています。たとえば、Cisco 1700 シリーズ ルータでは、VPN インターフェイスはデバイスの FastEthernet0 インターフェイスである必要があります。Cisco 800 シリーズ ルータでは、設定によってデバイスの Ethernet0 インターフェイスまたは Dialer1 インターフェイスに VPN インターフェイスを設定できます。Cisco uBR905 および uBR925 ケーブル アクセス ルータでは、VPN インターフェイスは Ethernet0 インターフェイスである必要があります。

Easy VPN での IPsec プロポーザルの設定

Easy VPN サーバ デバイスに IPsec プロポーザルを設定すると、次のことが可能となります。

VPN トンネルに入るトラフィックの保護に使用するトランスフォーム セットの選択。詳細については、「トランスフォーム セットについて」を参照してください。

Easy VPN トポロジ内のデバイスへのダイナミック仮想トンネル インターフェイスの設定。詳細については、「Easy VPN について」を参照してください。

(PIX 7.0、ASA、または 7600 デバイスを除く IOS ルータで)クリプト マップへの Reverse Route Injection(RRI; 逆ルート注入)の設定。詳細については、「逆ルート注入について」を参照してください。

ASA デバイスへの NAT 通過の設定。NAT 通過は、VPN 接続されたハブとスポークの間に、IPsec トラフィックに対して Network Address Translation(NAT; ネットワーク アドレス変換)を実行するデバイスがある場合に使用します。

ローカル サーバまたは外部 AAA サーバでグループ ポリシーを検索する順序を定義するグループ認可(グループ ポリシー ルックアップ)方式の指定。リモート ユーザはグループ化され、リモート クライアントから VPN サーバに接続が正常に確立されたときに、その特定のユーザ グループのグループ ポリシーがユーザ グループに属するすべてのクライアントにプッシュされます。

ユーザ アカウントの検索順序を定義するユーザ認証(Xauth)方式リストの指定。デバイスに Xauth が設定されている場合、クライアントは、IKE SA が正常に確立されたあと、「ユーザ名/パスワード」チャレンジを待機して、ピアのチャレンジに応答します。入力された情報は、RADIUS や TACACS+ などの Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)プロトコルを使用して認証エンティティに照らしてチェックされます。

Security Manager では、IPsec プロポーザルは、Easy VPN サーバにすでに設定されている必須ポリシーであり、定義済みのデフォルト値が用意されています。

ここでは、必要に応じてこれらの IPsec ポリシー定義を編集する方法について説明します。

関連項目

「Easy VPN について」

「[Easy VPN IPsec Proposal] ページ」


ステップ 1 ツールバーの [Site-To-Site VPN Manager] ボタンをクリックします。[Site-to-Site VPN Manager] ウィンドウが開きます。

ステップ 2 VPN セレクタで、必要な VPN トポロジを選択します。

ステップ 3 ポリシー セレクタで、[Easy VPN IPsec Proposal] を選択します。

[Easy VPN IPsec Proposal] ページが表示され、Easy VPN サーバ デバイスに IPsec プロポーザルを設定するために定義されたパラメータを示す [IPsec Proposal] タブが表示されます。このタブの要素の詳細については、表 21-26を参照してください。

ステップ 4 トンネル ポリシーで使用するトランスフォーム セットを指定します。表示されているデフォルトとは別のトランスフォーム セットを使用するか、または追加のトランスフォーム セットを選択する場合は、[Select] をクリックして、すべての使用可能なトランスフォーム セットを表示するダイアログボックスを開きます。このダイアログボックスでは、独自のトランスフォーム セット オブジェクトを作成することもできます。詳細については、「[Add IPSec Transform Set]/[Edit IPSec Transform Set] ダイアログボックス」を参照してください。

ステップ 5 (PIX 7.0、ASA、または 7600 デバイスを除く IOS ルータで)クリプト マップに逆ルート注入を設定するためのオプションを選択します。

ステップ 6 選択されたデバイスが PIX 7.0 または ASA デバイスの場合は、必要に応じて [Enable Network Address Translation] チェックボックスを選択して、NAT を設定します。

ステップ 7 ローカル サーバまたは外部 AAA サーバでグループ ポリシーを検索する順序を定義する AAA 認可(グループ ポリシー ルックアップ)方式リストを指定します。

ステップ 8 ユーザ アカウントの検索順序を定義するために使用される AAA または Xauth ユーザ認証方式を指定します。

ステップ 9 トポロジのハブにダイナミック VTI を設定している場合は、サブネット アドレスまたはインターフェイス ロールを指定します。

[Subnet]:アドレスのプールから取得された IP アドレスを使用します。次に、[Subnet] フィールドで、10.1.1.0/24 など、一意のサブネット マスクを含むプライベート IP アドレスを入力します。

[Interface Role]:必要に応じて、[Select] をクリックして、インターフェイスを選択または追加できるインターフェイス セレクタを開きます。

トポロジのスポークにダイナミック VTI を設定している場合は、[None] を選択します。

このタブの要素の詳細については、表 21-27を参照してください。


 

[Easy VPN IPsec Proposal] ページ

[Easy VPN IPsec Proposal] ページを使用して、ダイナミック VTI の設定を含む、Easy VPN サーバの IPsec ポリシー定義を作成または編集します。詳細については、「Easy VPN での IPsec プロポーザルの設定」を参照してください。


) ここでは、Easy VPN テクノロジーが割り当てられている場合の [IPsec Proposal] ページについて説明します。割り当てられているテクノロジーが通常の IPsec、IPsec/GRE、GRE ダイナミック IP、または DMVPN の場合の [IPsec Proposal] ページについては、「[IPsec Proposal] ページ」を参照してください。


[Easy VPN IPsec Proposal] ページには次のタブがあります。

「[Easy VPN IPsec Proposal] タブ」

「[Dynamic VTI] タブ」

ナビゲーション パス

「[Site-to-Site VPN Manager] ウィンドウ」)VPN セレクタで Easy VPN トポロジを選択して、ポリシー セレクタで [Easy VPN IPsec Proposal] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタで [Site-to-Site VPN] > [Easy VPN IPsec Proposal] を選択します。既存の共有ポリシーを選択するか、新しい共有ポリシーを作成します。

[Easy VPN IPsec Proposal] タブ

[Easy VPN IPsec Proposal] タブを使用して、Easy VPN サーバの IPsec ポリシー定義を作成または編集します。

ナビゲーション パス

「[Easy VPN IPsec Proposal] ページ」を開くと、[Easy VPN IPsec Proposal] タブが表示されます。

関連項目

「Easy VPN について」

「Easy VPN での IPsec プロポーザルの設定」

「AAA サーバおよびサーバ グループ オブジェクトについて」

フィールド リファレンス

 

表 21-26 [Easy VPN IPsec Proposal] タブ

要素
説明

[Transform Sets]

トンネル ポリシーで使用するトランスフォーム セット。トランスフォーム セットは、トンネル内のトラフィックを保護するために使用される認証および暗号化アルゴリズムを指定します。最大 6 つのトランスフォーム セットを選択できます。

トランスフォーム セットでは、トンネル モードの IPsec 動作だけを使用できます。

(注) 選択したトランスフォーム セットの 2 つ以上が両方のピアでサポートされている場合は、最も高いセキュリティを提供するトランスフォーム セットが使用されます。

デフォルトのトランスフォーム セットが表示されます。別のトランスフォーム セットを使用するか追加のトランスフォーム セットを選択する場合は、[Select] をクリックして、すべての使用可能なトランスフォーム セットを表示するダイアログボックスを開き、このダイアログボックスでトランスフォーム セット オブジェクトを作成できます。詳細については、「[Add IPSec Transform Set]/[Edit IPSec Transform Set] ダイアログボックス」を参照してください。

詳細については、「トランスフォーム セットについて」を参照してください。

[Reverse Route]

ASA デバイス、PIX 7.0+ デバイス、および 7600 デバイス以外の Cisco IOS ルータでサポートされます。

Reverse Route Injection(RRI; 逆ルート注入)により、スタティック ルートは、リモート トンネル エンドポイントで保護されているネットワークとホストのルーティング プロセスに自動的に挿入されます。詳細については、「逆ルート注入について」を参照してください。

次のいずれかのオプションを選択して、クリプト マップで RRI を設定します。

[None]:クリプト マップで RRI の設定をディセーブルにします。

[Standard]:クリプト マップ Access Control List(ACL; アクセス コントロール リスト)に定義された宛先情報に基づいてルートを作成します。これはデフォルトのオプションです。

[Remote Peer]:リモート エンドポイント用に 1 つ、クリプト マップが適用されるインターフェイス経由でのリモート エンドポイントへのルート再帰用に 1 つ、合計 2 つのルートを作成します。

[Remote Peer IP]:インターフェイスまたはアドレスをリモート VPN デバイスへの明示的なネクストホップとして指定します。次に、[Select] をクリックしてネットワーク/ホスト セレクタを開き、ネクストホップとして使用するリモート ピアの IP アドレスを選択できます。

チェックボックスをオンにして、デフォルト ルートを上書きできます。

[Enable Network Address Translation]

PIX 7.0+ および ASA デバイスでサポートされます。

選択されている場合、デバイスで Network Address Translation(NAT; ネットワーク アドレス変換)を設定できます。

NAT によって、内部 IP アドレスを使用するデバイスがインターネット経由でデータを送受信できるようになります。デバイスがインターネット上のデータへのアクセスを試みたときに、プライベート NAT アドレスがグローバルにルーティング可能な IP アドレスに変換されます。

詳細については、「NAT について」を参照してください。

[Group Policy Lookup/AAA Authorization Method]

Cisco IOS ルータでだけサポートされます。

グループ ポリシーを検索する順序を定義するために使用される AAA 認可方式リスト。グループ ポリシーは、ローカル サーバまたは外部 AAA サーバ上に設定できます。

[Select] をクリックすると、使用可能なすべての AAA グループ サーバを表示したダイアログボックスが開き、そこで、AAA グループ サーバ オブジェクトを作成できます。

[User Authentication (Xauth)/AAA Authentication Method]

Cisco IOS ルータでだけサポートされます。

ユーザ アカウントの検索順序を定義するために使用される AAA または Xauth ユーザ認証方式。

Xauth では、すべての Cisco IOS ソフトウェア AAA 認証方式で、IKE 認証フェーズ 1 の交換後に別のフェーズでユーザ認証を実行できます。ユーザ認証が実行されるためには、AAA 設定リスト名が Xauth 設定リスト名と一致する必要があります。

ユーザ アカウントの定義の詳細については、「アカウントおよびクレデンシャル ポリシーの定義」を参照してください。

[Select] をクリックすると、使用可能なすべての AAA グループ サーバを表示したダイアログボックスが開きます。このダイアログボックスで、AAA グループ サーバを選択したり、追加の AAA グループ サーバ オブジェクトを作成したりできます。

[Dynamic VTI] タブ

[Dynamic VTI] タブを使用して、ハブアンドスポーク Easy VPN トポロジ内のデバイスにダイナミック仮想トンネル インターフェイスを設定します。詳細については、「Easy VPN とダイナミック仮想トンネル インターフェイス」を参照してください。


) ダイナミック VTI は、IOS バージョン 12.4(2)T 以降を実行する 7600 デバイスを除く IOS ルータでだけ設定できます。


ナビゲーション パス

「[Easy VPN IPsec Proposal] ページ」を開いて、[Dynamic VTI] タブをクリックします。

関連項目

「Easy VPN について」

「Easy VPN での IPsec プロポーザルの設定」

フィールド リファレンス

 

表 21-27 [Dynamic VTI] タブ

要素
説明

[Enable Dynamic VTI]

選択されている場合、Security Manager は、デバイスにダイナミック仮想テンプレート インターフェイスを暗黙的に作成できます。

(注) デバイスが、ダイナミック VTI をサポートしないハブ サーバである場合は、警告メッセージが表示されて、ダイナミック VTI なしでクリプト マップが展開されます。クライアント デバイスの場合は、エラー メッセージが表示されます。

[Virtual Template IP]

トポロジのハブにダイナミック VTI を設定している場合は、サブネット アドレスまたはインターフェイス ロールを指定します。

[Subnet]:アドレスのプールから取得された IP アドレスを使用します。次に、[Subnet] フィールドで、10.1.1.0/24 など、一意のサブネット マスクを含むプライベート IP アドレスを入力します。

[Interface Role]:デバイスの物理インターフェイスまたはループバック インターフェイスを使用します。必要に応じて、[Select] をクリックして、インターフェイスを選択または追加できるインターフェイス セレクタを開きます。

トポロジのスポークにダイナミック VTI を設定している場合は、[None] を選択します。

Easy VPN における User Group ポリシーの設定

Easy VPN サーバを設定する場合、リモート クライアントが属するユーザ グループを作成できます。リモート クライアントを追加するときに、User Group ポリシーからパラメータを継承するように指定できます。これにより、数多くのユーザに対して迅速に VPN アクセスを設定できます。

リモート クライアントは、サーバ デバイスに接続するためには、サーバに設定されているユーザ グループと同じグループ名を持っている必要があります。同じグループ名を持たない場合、接続は確立されません。リモート クライアントから VPN サーバに接続が正常に確立されたときに、その特定のユーザ グループのグループ ポリシーがユーザ グループに属するすべてのクライアントにプッシュされます。


) Easy VPN ユーザ グループ ポリシーは、Cisco IOS セキュリティ ルータ、PIX 6.3 Firewall、または Catalyst 6500/7600 デバイスに設定できます。


ここでは、Easy VPN サーバに割り当てるユーザ グループの指定方法について説明します。

関連項目

「Easy VPN について」


ステップ 1 ツールバーの [Site-To-Site VPN Manager] ボタンをクリックします。[Site-to-Site VPN Manager] ウィンドウが開きます。

ステップ 2 VPN セレクタで、必要な VPN トポロジを選択します。

ステップ 3 ポリシー セレクタで、[User Group Policy] を選択します。

現在選択されているユーザ グループを表示した [User Group Policy] ページが表示されます。このページの要素の詳細については、「[User Group Policy] ページ」を参照してください。

ステップ 4 異なるユーザ グループを選択する場合は、[Available User Groups] リストで選択します。選択されているユーザ グループが新しく選択したユーザ グループに置き換えられます。

ユーザ グループは、定義済みオブジェクトです。必要なユーザ グループがリストにない場合は、[Create] をクリックします。すべてのユーザ グループ オブジェクトが表示されたダイアログボックスが開き、このダイアログボックスでユーザ グループを作成できます。詳細については、「[Add User Group]/[Edit User Group] ダイアログボックス」を参照してください。


) 既存のユーザ グループを選択して [Edit] をクリックすると、そのプロパティを変更できます。



 

[User Group Policy] ページ

[User Group Policy] ページを使用して、Easy VPN サーバの User Group ポリシーを作成または編集します。Easy VPN ユーザ グループ ポリシーは、Cisco IOS セキュリティ ルータ、PIX 6.3 Firewall、または Catalyst 6500/7600 デバイスに設定できます。

[Available User Groups] リストで、ポリシーで使用するユーザ グループ ポリシー オブジェクトを選択します。[Create](+)ボタンをクリックして、新しいユーザ グループ オブジェクトを作成できます。また、既存のグループを選択し、[Edit](鉛筆アイコン)ボタンをクリックして、既存のグループを編集することもできます。


) リモート アクセス VPN でも User Group ポリシーを設定できます。


ナビゲーション パス

「[Site-to-Site VPN Manager] ウィンドウ」)VPN セレクタで Easy VPN トポロジを選択して、ポリシー セレクタで [User Group Policy] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタで [Site-to-Site VPN] > [User Group Policy] を選択します。既存の共有ポリシーを選択するか、新しい共有ポリシーを作成します。

関連項目

「Easy VPN について」

「Easy VPN における User Group ポリシーの設定」

Easy VPN における Connection Profile ポリシーの設定

トンネル グループは、IPsec トンネル接続ポリシーを含むレコードのセットで構成されます。トンネル グループは、特定の接続のグループ ポリシーを示しており、ユーザ指向の属性を含んでいます。ユーザに対して特定のグループ ポリシーを割り当てない場合は、接続のデフォルト グループ ポリシーが適用されます。正常に接続するためには、リモート クライアントのユーザ名がデータベースに存在している必要があります。データベースに存在しない場合は、接続が拒否されます。

サイト間 VPN では、Easy VPN サーバにトンネル グループ ポリシーを設定します。Easy VPN サーバは、PIX ファイアウォール バージョン 7.0+ または ASA デバイスです。


) リモート アクセス VPN では、リモート アクセス VPN サーバにトンネル グループ ポリシーを設定できます。


トンネル グループ ポリシーを作成する場合は、次の内容を指定します。

グループ ポリシー:デバイス内部または外部の RADIUS サーバや LDAP サーバに保存されるユーザ指向の属性の集合。

グローバル AAA 設定:Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバ。

クライアント アドレスの割り当てに使用される DHCP サーバ、および IP アドレスの割り当て元となるアドレス プール。

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)および IPsec の設定(事前共有キーなど)。

(任意)インターフェイス固有の情報(認証サーバ グループおよびクライアント アドレス プール)。

クライアント VPN ソフトウェアの情報。

[PIX7.0+/ASA Connection Profiles] ページで、トンネル グループ ポリシーを作成したり、Easy VPN サーバ上の既存のトンネル グループ ポリシーに定義されているパラメータを編集したりできます。

関連項目

「VPN トポロジの作成または編集」

「IPsec テクノロジーおよびポリシーについて」

「Easy VPN について」


ステップ 1 ツールバーの [Site-To-Site VPN Manager] ボタンをクリックして、「[Site-to-Site VPN Manager] ウィンドウ」を開きます。


) ポリシー ビューで共有ポリシーを編集するには、ポリシー タイプ セレクタで [Site-to-Site VPN] > [Connection Profiles (PIX 7.0/ASA)] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。


ステップ 2 VPN セレクタで、変更する Easy VPN トポロジを選択します。

ステップ 3 ポリシー セレクタで [Connection Profiles (PIX 7.0/ASA)] を選択して、「[Connection Profiles] ページ」を開きます。

ステップ 4 [General] タブで、接続プロファイル名およびグループ ポリシーを指定して、使用するアドレス割り当て方式を選択します。使用可能なプロパティの詳細については、「[General] タブ([Connection Profiles])」を参照してください。

ステップ 5 [AAA] タブをクリックして、接続プロファイルの AAA 認証パラメータを指定します。タブの要素の詳細については、「[AAA] タブ([Connection Profiles])」を参照してください。

ステップ 6 [IPsec] タブをクリックして、接続プロファイルの IPsec および IKE パラメータを指定します。タブの要素の詳細については、「[IPSec] タブ([Connection Profiles])」を参照してください。


 

Easy VPN のクライアント接続特性の設定

Easy VPN 接続特性では、次の項で説明するように VPN におけるトラフィックのルーティング方法、および VPN トンネルの確立方法を指定します。

Easy VPN コンフィギュレーション モード

Easy VPN および IKE 拡張認証(Xauth)

Easy VPN トンネル アクティベーション

Easy VPN コンフィギュレーション モード

Easy VPN は、Client、Network Extension、および Network Extension Plus の 3 つのモードで設定できます。

Client モード:クライアント サイトのデバイスがセントラル サイトのリソースにアクセスできるデフォルトの設定です。ただし、セントラル サイトからクライアント サイトのリソースへはアクセスできません。Client モードでは、VPN 接続が確立されると、単一の IP アドレスがサーバからリモート クライアントにプッシュされます。通常、このアドレスは、お客様のネットワークのプライベート アドレス スペース内でルーティング可能なアドレスです。Easy VPN トンネルを通過するすべてのトラフィックでは、そのプッシュされた単一の IP アドレスへの Port Address Translation(PAT; ポート アドレス変換)が実行されます。

Network Extension モード:セントラル サイトのユーザは、クライアント サイトのネットワーク リソースにアクセスできます。また、クライアント PC およびホストは、セントラル サイトの PC およびホストに直接アクセスできます。Network Extension モードでは、宛先ネットワークで完全にルーティング可能で、宛先ネットワークから到達可能な IP アドレスを VPN トンネルのクライアント側終端にあるホストに設定することが指定されます。接続の両端のデバイスは、一体となって 1 つの論理ネットワークを形成します。PAT は使用されないため、クライアント側終端のホストは、宛先ネットワークのホストに直接アクセスできます。つまり、ルーティング可能なアドレスが Easy VPN サーバ(ハブ)から Easy VPN クライアント(スポーク)に設定され、クライアントの背後にある LAN において PAT は実行されません。

Network Extension Plus モード:Network Extension モードを機能拡張したもので、IOS ルータにだけ設定できます。モード設定を介して受信した IP アドレスを、使用可能なループバック インターフェイスに自動的に割り当てることができます。この IP アドレスを使用してルータに接続し、リモート管理およびトラブルシューティング(ping、Telnet、およびセキュア シェル)を行うことができます。


) すべての動作モードで、スプリット トンネリングをサポートすることもできます。スプリット トンネリングを使用すると、VPN トンネル経由で企業リソースに安全にアクセスできることに加えて、ISP などのサービスへの接続を使用したインターネット アクセスも可能となります(そのため、Web アクセス用のパスから企業ネットワークを除外できます)。


Easy VPN および IKE 拡張認証(Xauth)

Easy VPN 設定で IPsec トンネルを確立するためのトンネル パラメータをネゴシエートする場合、IKE Extended Authentication(Xauth; 拡張認証)によって、IPsec 接続を要求するユーザを識別する、追加の認証レベルが追加されます。VPN サーバに Xauth が設定されている場合、クライアントは IKE SA の確立後、「ユーザ名/パスワード」チャレンジを待機します。エンド ユーザがチャレンジに応答すると、その応答は IPsec ピアに転送され、さらに上のレベルの認証が行われます。

入力された情報は、RADIUS や TACACS+ などの Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)プロトコルを使用して認証エンティティに照らしてチェックされます。トークン カードは、AAA プロキシを介して使用することもできます。Xauth 中、ユーザのクレデンシャルが RADIUS を介して検証される場合に、そのユーザに固有の属性を取得できます。


) リモート クライアントを処理するように設定されている VPN サーバは、ユーザ認証を実行するように常に設定されている必要があります。


Security Manager では、Easy VPN トンネルを確立するたびにこれらのクレデンシャルを手動で入力する必要がないように、デバイス自体に Xauth ユーザ名およびパスワードを保存できます。情報は、デバイスの設定ファイルに保存され、トンネルが確立されるたびに使用されます。クレデンシャルをデバイスの設定ファイルに保存する方法は、一般的に、デバイスを複数の PC で共有し、VPN トンネルを常にアップ状態にする場合や、送信するトラフィックがある場合は常に自動的にデバイスでトンネルを確立する場合に使用します。

ただし、デバイスの設定ファイルにクレデンシャルを保存すると、デバイス設定にアクセスできるすべてのユーザがこの情報を入手できるため、セキュリティ上のリスクとなる可能性があります。Xauth 認証のもう 1 つの方法として、Xauth が要求されるたびにユーザ名とパスワードを手動で入力する方法があります。Security Manager では、Web ブラウザのウィンドウまたはコマンドライン インターフェイスから対話形式で入力できます。Web ベースの対話形式を使用すると、ログイン ページが表示され、そのページで VPN トンネルを認証するためのクレデンシャルを入力できます。VPN トンネルが確立されると、このリモート サイトの背後のすべてのユーザは、再度ユーザ名とパスワードを求められることなく企業 LAN にアクセスできます。または、VPN トンネルを迂回して、インターネットにだけ接続することもできます。この場合、パスワードは必要ありません。

Easy VPN トンネル アクティベーション

デバイスのクレデンシャル(Xauth ユーザ名とパスワード)がデバイス自体に保存されている場合は、トンネルのアクティベーション方法を選択する必要があります。2 つの方法から選択できます。

[Auto]:Easy VPN トンネルは、Easy VPN 設定がデバイス設定ファイルに配信されると自動的に確立されます。トンネルでタイムアウトまたは障害が発生した場合、トンネルは自動的に再接続し、無制限に再試行します。これはデフォルトのオプションです。

[Traffic Triggered Activation]:Easy VPN トンネルは、発信ローカル(LAN 側)トラフィックが検出されるたびに確立されます。トンネル経由で送信するトラフィックがある場合にだけバックアップ トンネルがアクティブになるように、Easy VPN ダイヤル バックアップ設定では [Traffic Triggered Activation] を使用することを推奨します。このオプションを使用している場合は、「対象の」トラフィックを定義する Access Control List(ACL; アクセス コントロール リスト)を指定する必要があります。


) Xauth パスワードを対話形式で設定することを選択した場合は、手動によるトンネルのアクティベーションが暗黙的に設定されます。この場合、デバイスは、Easy VPN リモート接続の確立を試みる前にコマンドを待機します。トンネルでタイムアウトまたは障害が発生した場合は、後続の接続においてもコマンドを待機する必要があります。


ここでは、Easy VPN のクライアント接続特性の設定方法について説明します。

関連項目

「Easy VPN 設定に関する重要事項」

「Easy VPN について」

「[Client Connection Characteristics] ページ」


ステップ 1 ツールバーの [Site-To-Site VPN Manager] ボタンをクリックします。[Site-to-Site VPN Manager] ウィンドウが開きます。

ステップ 2 VPN セレクタで、変更する Easy VPN トポロジを選択します。

ステップ 3 ポリシー セレクタで、[Client Connection Characteristics] を選択します。[Client Connection Characteristics] ページが開きます。このページの要素の詳細については、表 21-28を参照してください。

ステップ 4 [Mode] リストから、[Client]、[Network Extension]、または [Network Extension Plus] を選択します。


) Network Extension Plus モードは、IOS ルータでだけ設定できます。


ステップ 5 サーバと VPN 接続を確立する場合にユーザ認証用の Xauth クレデンシャルを入力する方法に応じて、[Device Stored Credentials] または [Interactive Entered Credentials] を選択します。

ステップ 6 [Device Stored Credentials] を選択した場合は、Xauth クレデンシャルを選択します。

ステップ 7 デバイスが IOS ルータであり、Xauth クレデンシャル ソースとして [Interactive Entered Credentials] を選択した場合は、Xauth クレデンシャルを対話形式で入力する方法に応じて [Web Browser] または [Router Console] を選択します。

ステップ 8 デバイスが IOS ルータであり、Xauth パスワード ソースとして [Device Stored Credentials] を選択した場合は、トンネルのアクティベーション方法として [Auto] または [Traffic Triggered Activation] を選択します。

ステップ 9 [Tunnel Activation] で [Traffic Triggered Activation] オプションを選択した場合は、「対象の」トラフィックを定義する Access Control List(ACL; アクセス コントロール リスト)を指定します。


 

[Client Connection Characteristics] ページ

[Client Connection Characteristics] ページを使用して、VPN におけるトラフィックのルーティング方法、および VPN トンネルの確立方法を指定します。これらの特性はリモート クライアントで設定します。リモート クライアントは、PIX ファイアウォール、Cisco 800 ~ 3900 シリーズ ルータ、または OS バージョン 7.2(1) 以降を実行する ASA 5505 です。

ナビゲーション パス

「[Site-to-Site VPN Manager] ウィンドウ」)VPN セレクタで Easy VPN トポロジを選択して、ポリシー セレクタで [Client Connection Characteristics] を選択します。

(ポリシー ビュー)[Site-to-Site VPN] > [Client Connection Characteristics] を選択して、新しいポリシーを作成するか、または既存のポリシーを編集します。

関連項目

「Easy VPN について」

「Easy VPN のクライアント接続特性の設定」

「アクセス コントロール リスト オブジェクトの作成」

フィールド リファレンス

 

表 21-28 [Easy VPN Client Connection Characteristics] ページ

要素
説明

[Mode]

次のように、リモート デバイスで必要なコンフィギュレーション モードを選択します。

[Client]:リモート クライアントの内部ネットワークからのすべてのトラフィックに対して、接続時にヘッド エンド サーバによってデバイスに割り当てられる単一 IP アドレスへの Port Address Translation(PAT; ポート アドレス変換)を実行することを指定します。

[Network Extension]:宛先ネットワークで完全にルーティング可能で、宛先ネットワークから到達可能な IP アドレスを VPN トンネルのクライアント側終端にある PC およびその他のホストに設定することを指定します。PAT は使用されないため、クライアント PC およびホストは、宛先ネットワークの PC およびホストに直接アクセスできます。

[Network Extension Plus]:Network Extension モードを機能拡張したもので、モード設定を介して受信した IP アドレスを、使用可能なループバック インターフェイスに自動的に割り当てることができます。この IP アドレスの IPsec SA は、Easy VPN クライアントによって自動的に作成されます。通常、IP アドレスは、(ping、Telnet、およびセキュア シェルを使用した)トラブルシューティングに使用されます。

(注) Network Extension Plus モードは、IOS ルータでだけ設定できます。選択したクライアント デバイスが PIX 6.3 または OS バージョン 7.2(1) を実行する ASA 5505 の場合は、Network Extension モードが設定されます。

詳細については、「Easy VPN のクライアント接続特性の設定」を参照してください。

[Xauth Credentials Source]

サーバと VPN 接続を確立する場合にユーザ認証用の Xauth クレデンシャルを入力する方法を次のように選択します。

[Device Stored Credentials](デフォルト):ユーザ名とパスワードはデバイス自体のデバイスの設定ファイルに保存され、トンネルが確立されるたびにこの情報が使用されます。

[Interactive Entered Credentials]:Web ブラウザのウィンドウまたはコマンドライン インターフェイスで、Xauth が必要となるたびに手動でユーザ名とパスワードを入力できます。

詳細については、「Easy VPN のクライアント接続特性の設定」を参照してください。

[Xauth Credentials]

[Xauth Credentials Source] として [Device Stored Credentials] を選択した場合にだけ使用できます。

デフォルトの Xauth クレデンシャルを定義するクレデンシャル ポリシー オブジェクトです。オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。詳細については、「[Credentials] ダイアログボックス」を参照してください。

を選択します)。

[User Authentication Method](IOS)

リモート デバイスが IOS ルータであり、[Xauth Credentials Source] で [Interactive Entered Credentials] オプションを選択した場合にだけ使用できます。

Xauth 認証が要求されるたびに対話形式で Xauth ユーザ名とパスワードを入力するための方法として、次のいずれかを選択します。

[Web Browser](デフォルト):Web ブラウザ ウィンドウ(http ページ)で手動で入力します。

[Router Console]:Command Line Interface(CLI; コマンドライン インターフェイス)から手動で入力します。

[Tunnel Activation](IOS)

リモート デバイスが IOS ルータであり、Xauth パスワード ソースとして [Device Stored Credentials] オプションを選択した場合は、トンネルのアクティベーション方法として次のいずれかを選択します。

[Auto](デフォルト):Easy VPN トンネルは、Easy VPN 設定がデバイス設定ファイルに配信されると自動的に確立されます。トンネルでタイムアウトまたは障害が発生した場合、トンネルは自動的に再接続し、無制限に再試行します。

[Traffic Triggered Activation]:Easy VPN トンネルは、発信ローカル(LAN 側)トラフィックが検出されるたびに確立されます。このオプションを使用している場合は、「対象の」トラフィックを定義する Access Control List(ACL; アクセス コントロール リスト)を指定する必要があります。

トンネル経由で送信するトラフィックがある場合にだけバックアップ トンネルがアクティブになるように、Easy VPN ダイヤル バックアップ設定では [Traffic Triggered Activation] を使用することを推奨します。

(注) Xauth パスワードを対話形式で設定することを選択した場合は、手動によるトンネルのアクティベーションが暗黙的に設定されます。

[ACL](IOS)

[Tunnel Activation] で [Traffic Triggered Activation] オプションを選択した場合は、「対象の」トラフィックを定義する Access Control List(ACL; アクセス コントロール リスト)を指定することによって、ACL によってトリガーされるトンネルを設定する必要があります。

[Select] をクリックすると、アクセス コントロール リスト セレクタが開きます。ここで必要な ACL を選択したり、ACL オブジェクトを作成または編集したりできます。

Group Encrypted Transport(GET)VPN

Cisco Group Encrypted Transport Virtual Private Network(GET VPN; Group Encrypted Transport バーチャル プライベート ネットワーク)は、IP や Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)を含むさまざまな WAN 環境で使用できる、完全メッシュ VPN テクノロジーです。GET VPN は、プライベート WAN 上で、Cisco IOS デバイスから発信される、または Cisco IOS デバイスを通過する IP マルチキャスト グループ トラフィックまたはユニキャスト トラフィックを保護するために必要な機能のセットで構成されています。GET VPN では、キー管理プロトコルである Group Domain of Interpretation(GDOI)と IP Security(IPsec; IP セキュリティ)暗号化が組み合わせて使用され、IP マルチキャストまたはユニキャスト トラフィックを保護するための効率的な方法がユーザに対して提供されます。GET VPN を使用すると、トンネリングされない(つまり「ネイティブ」な)IP マルチキャストおよびユニキャスト パケットに対してルータで暗号化を適用でき、マルチキャストおよびユニキャスト トラフィックの保護にトンネルを設定する必要がなくなります。

Cisco Group Encrypted Transport VPN には、次のような利点があります。

データ セキュリティと転送認証が提供され、すべての WAN トラフィックが暗号化されることによってセキュリティ コンプライアンスおよび内部規制への準拠に役立ちます。

グループ暗号化キーを使用することによって、スケーラビリティの高いネットワーク メッシュが可能となり、ピアツーピアでの複雑なキー管理が不要となります。

Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)ネットワークでは、完全メッシュの接続性、自然なルーティング パス、Quality of Service(QoS; サービス品質)などの、ネットワーク インテリジェンスが維持されます。

集中型のキー サーバを使用することによって、メンバーシップ管理が容易になります。

中央のハブを経由して転送する必要がないため、サイト間でフルタイムの直接通信が可能となり、遅延やジッタを低く抑えることができます。

マルチキャスト トラフィックのレプリケーションにコア ネットワークを使用し、各個別のピア サイトでパケット レプリケーションを行わないことによって、Customer Premises Equipment(CPE; 宅内装置)および Provider Edge(PE; プロバイダー エッジ)暗号化デバイスでのトラフィックの負荷が低減されます。


ヒント GET VPN の CLI 設定の詳細については、Cisco.com の『Cisco Group Encrypted Transport VPN』を参照してください。


ここでは、次の内容について説明します。

「Group Encrypted Transport(GET)VPN について」

「GET VPN 登録プロセスについて」

「GET VPN セキュリティ ポリシーおよびセキュリティ アソシエーションについて」

「GET VPN の設定」

「RSA キーの生成と同期」

「GET VPN の IKE プロポーザルの設定」

「GET VPN のグローバル設定」

「GET VPN キー サーバの設定」

「GET VPN グループ メンバーの設定」

「パッシブ モードを使用した GET VPN への移行」

「GET VPN 設定のトラブルシューティング」

Group Encrypted Transport(GET)VPN について

音声やビデオなどのネットワークを利用するアプリケーションによって、即時に通信可能で各ブランチが相互接続された、QoS 対応 WAN の必要性が増しています。これらのアプリケーションは分散して配置されるため、スケーラビリティに対する要求も高まります。同時に、企業の WAN テクノロジーにおいては、QoS 対応ブランチ間相互接続と転送のセキュリティとの間でトレードオフが発生します。現在ネットワーク セキュリティのリスクが増加し、規制への準拠が重要となりつつありますが、WAN 暗号化テクノロジーである Group Encrypted Transport VPN(GET VPN)を使用すると、ネットワーク インテリジェンスとデータ プライバシーのいずれかを犠牲にする必要がなくなります。

GET では、トンネルなしの VPN が提供されるため、IPsec トンネルは必要ありません。ポイントツーポイント トンネルが不要になったことにより、メッシュ構造のネットワークのスケーラビリティが高まり、音声およびビデオの品質にとって重要なネットワーク インテリジェンス機能が維持されます。GET は、信頼グループの概念に基づき、ポイントツーポイント IPsec トンネルおよびそれに関連するオーバーレイ ルーティングが不要な、標準規格に準拠したセキュリティ モデルです。信頼グループ メンバーは、グループ SA と呼ばれる共通の Security Association(SA; セキュリティ アソシエーション)を共有します。これにより、グループ メンバーは、他の任意のグループ メンバーが暗号化したトラフィックを復号化できます。ポイントツーポイント トンネルではなく信頼グループを使用することによって、完全メッシュ ネットワークのスケーラビリティが高まり、音声およびビデオの品質にとって重要なネットワーク インテリジェンス機能(QoS、ルーティング、マルチキャストなど)が維持されます。

GET ベースのネットワークは、IP や Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)を含むさまざまな WAN 環境で使用できます。この暗号化テクノロジーを使用する MPLS VPN はスケーラビリティ、管理性、コストに優れており、政府によって義務付けられている暗号化要件が満たされます。GET は柔軟であるため、セキュリティを必要とする企業では、サービス プロバイダー WAN サービスにおいて独自のネットワーク セキュリティを管理することも、暗号化サービスをプロバイダーに委託することもできます。GET によって、部分メッシュ接続または完全メッシュ接続を必要とする大規模なレイヤ 2 または MPLS ネットワークの保護が簡易化されます。

既存の IKE、IPsec、およびマルチキャスト テクノロジーを利用できることに加えて、GET VPN トポロジには、次のような主要な要素および機能が備えられています。

グループ メンバー:VPN 内で実際のトラフィックを交換するルータは、グループ メンバーと呼ばれます。グループ メンバーによって、トラフィックに対して暗号化サービスが提供されます。暗号化ポリシーは、キー サーバに集中的に定義されて、登録時にグループ メンバーにダウンロードされます。グループ メンバーは、このようにダウンロードされたポリシーに基づいて、トラフィックで暗号化または復号化が必要であるかどうか、および使用するキーを決定します。

グループ メンバーは、主にキー サーバから暗号化ポリシーを取得しますが、グループ メンバーにローカル サービス ポリシー ACL を設定して、ローカル要件に基づいて特定のトラフィックを暗号化から除外することができます。詳細については、「GET VPN セキュリティ ポリシーおよびセキュリティ アソシエーションについて」を参照してください。


) デバイスは、複数のグループのグループ メンバーとなることができます。


キー サーバ:キー サーバとして動作するルータは、トポロジへのゲートキーパーとなります。グループ メンバーが VPN のアクティブなメンバーとなるには、まずキー サーバに正常に登録される必要があります。キー サーバは共有サービス ポリシーを管理し、キーを生成して、グループ メンバーに対してキーを送信します。キー サーバ自体はグループ メンバーとなることができませんが、1 つのキー サーバが複数のトポロジのキー サーバとなることができます。詳細については、「GET VPN 登録プロセスについて」を参照してください。

Group Domain of Interpretation(GDOI)グループ キー管理プロトコルを使用して、デバイスのグループに対して暗号化キーおよびポリシーのセットが提供されます。GET VPN ネットワークでは、GDOI を使用して、安全に通信する必要がある企業 VPN ゲートウェイ(グループ メンバー)のグループに対して共通の IPsec キーが配布されます。キー サーバとして指定されたデバイスは、「キーの再生成」と呼ばれるプロセスを使用して、定期的にキーをリフレッシュし、グループ メンバーに最新のキーを送信します。

GDOI プロトコルでは、フェーズ 1 Internet Key Exchange(IKE; インターネット キー エクスチェンジ)SA が使用されます。参加するすべての VPN ゲートウェイは、キーを提供するデバイスに対して IKE を使用して自身を認証します。初期認証では、Pre-Shared Key(PSK; 事前共有キー)や Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)などのすべての IKE 認証方式がサポートされています。IKE SA を使用して VPN ゲートウェイが認証され、適切なセキュリティ キーが提供されたあと、IKE SA は期限切れとなります。これ以降は、GDOI を使用して、よりスケーラブルで効率的な方法でグループ メンバーが更新されます。GDOI の詳細については、RFC 3547 を参照してください。

アドレスの維持:IPsec で保護されたデータ パケットでは、外側の IP ヘッダーで元の送信元と宛先が伝送されます。トンネル エンドポイントのアドレスには置換されません。GET VPN では、アドレスが維持されるため、コア ネットワーク内のルーティング機能を使用できます。アドレスの維持によって、ネットワーク内の、宛先アドレスへのルートをアドバタイズする任意の Customer Edge(CE; カスタマー エッジ)デバイスにパケットを配送するルーティングが可能となります。グループのポリシーに一致するすべての送信元および宛先は、同様に処理されます。アドレスの維持は、IPsec ピア間のリンクが利用できない状況では、トラフィックの「ブラックホール」状況に対処するのに役立ちます。

また、ヘッダーが維持されることによって、企業のアドレス スペース全体および WAN においてルーティングの継続性が維持されます。その結果、キャンパスのエンド ホスト アドレスは WAN に公開されます(MPLS では、これは WAN のエッジに適用されます)。このため、GET VPN は、WAN ネットワークが「プライベート」ネットワークとして動作する場合にだけ適用できます(MPLS ネットワークなど)。

次の図に、GET VPN トポロジの一般的な動作を示します。

図 21-6 一般的な GET VPN の動作

 

1. グループ メンバーは、Group Domain of Interpretation(GDOI)プロトコルを使用して、キー サーバに登録します。キー サーバは、グループ メンバーを認証および認可して、IP マルチキャストおよびユニキャスト パケットの暗号化と復号化に必要な IPsec ポリシーとキーをメンバーにダウンロードします。登録プロセスでは、ユニキャストまたはマルチキャスト通信を使用できます。

2. グループ メンバーは、IPsec を使用して暗号化された IP パケットを交換します。グループ メンバーだけが VPN のアクティブな要素となります。

3. 必要に応じて、キー サーバからグループ メンバーに対してキーの再生成メッセージがプッシュされます。キーの再生成メッセージには、古い IPsec Security Association(SA; セキュリティ アソシエーション)が期限切れとなった場合に使用する新しい IPsec ポリシーとキーが含まれています。常に有効なグループ キーが使用できるように、キーの再生成メッセージは SA の期限が切れる前に送信されます。

Security Manager を使用して GET VPN をプロビジョニングする場合には、次の点に注意します。

GET VPN 対応 VRF はサポートされていません。

Security Manager においてトンネル保護なしで DMVPN を定義する方法がないため、DMVPN と GET を併用することはできません。

グループ メンバーを手動で設定してマルチキャスト グループに参加させること(ip igmp join-group)はできません。Security Manager では、静的な Source-Specific Multicast(SSM)マッピングだけがプロビジョニングされます。

関連項目

「GET VPN 登録プロセスについて」

「GET VPN セキュリティ ポリシーおよびセキュリティ アソシエーションについて」

「GET VPN の設定」

GET VPN 登録プロセスについて

GET VPN では、VPN トポロジはグループ メンバーによって構成されます。VPN 内のトラフィックは、グループ メンバー間のトラフィックです。デバイスがグループ メンバーとなるには、デバイスはキー サーバに正常に登録される必要があります。キー サーバでは、Security Association(SA; セキュリティ アソシエーション)ポリシーが保持され、グループ用のキーが作成および保持されます。グループ メンバーが登録されると、キー サーバはグループ メンバーにポリシーとキーをダウンロードします。また、キー サーバは、既存のキーの期限が切れる前にグループに対してキーの再生成を実行します。

キー サーバには、登録要求の処理およびキーの再生成の送信という 2 つの機能があります。グループ メンバーはいつでも登録可能で、最新のポリシーおよびキーを受信できます。グループ メンバーがキー サーバに登録する場合、キー サーバによって、グループ メンバーが参加を試みているグループ ID が確認されます。グループ ID が有効な場合、キー サーバはグループ メンバーに対してセキュリティ アソシエーション ポリシーを送信します。ダウンロードされたポリシーを処理できることがグループ メンバーによって確認されると、キー サーバから各キーがダウンロードされます。

キー サーバおよびグループ メンバー間の通信は暗号化され、Traffic Encryption Key(TEK; トラフィック暗号化キー)および Key Encryption Key(KEK; キー暗号化キー)という 2 種類のキーを使用して保護されます。TEK は、キー サーバからすべてのグループ メンバーにダウンロードされます。ダウンロードされた TEK は、グループ メンバー間で安全に通信するためにすべてのグループ メンバーで使用されます。このキーは、実質的には、すべてのグループ メンバーによって共有されるグループ キーとなります。グループ ポリシーおよび IPsec SA は、グループ メンバーへの定期的なキーの再生成メッセージを使用して、キー サーバによってリフレッシュされます。KEK もキー サーバによってダウンロードされ、グループ メンバーによって、キー サーバから受信するキーの再生成メッセージの復号化に使用されます。

キー サーバは、近々 IPsec SA の期限が切れる場合や、キー サーバでセキュリティ ポリシーが変更された場合に、キーの再生成メッセージを送信します。KEK タイマーの期限が切れた場合もキーの再生成が実行されます(キー サーバは KEK キーの再生成を送信します)。キーの再生成メッセージは、パケット損失が発生した場合に備えて定期的に再送信される場合もあります。キーの再生成メカニズムがマルチキャストである場合は、受信者がキーの再生成メッセージを受信できなかったことを示す有効なフィードバック メカニズムがないため、定期的に再送信することによってすべての受信者が最新の情報を受信できるようにします。キーの再生成メカニズムがユニキャストである場合、受信者は確認応答メッセージを送信します。

キー サーバは、GDOI グループ用のグループ ポリシーおよび IPsec Security Association(SA; セキュリティ アソシエーション)を生成します。キー サーバによって生成される情報には、複数の TEK 属性、トラフィック暗号化ポリシー、ライフタイム、送信元と宛先、各 TEK に関連付けられる Security Parameter Index(SPI; セキュリティ パラメータ インデックス)ID、キーの再生成ポリシー(1 つの KEK)などがあります。グループ メンバーにローカル セキュリティ ポリシーが設定され、ダウンロードされたポリシーとマージして使用されることがあります。詳細については、「GET VPN セキュリティ ポリシーおよびセキュリティ アソシエーションについて」を参照してください。

次の図に、グループ メンバーおよびキー サーバ間の通信フローを示します。キー サーバは、グループ メンバーからの登録メッセージを受信したあと、グループ ポリシーと新しい IPsec SA を含む情報を生成します。次に、新しい IPsec SA がグループ メンバーにダウンロードされます。キー サーバでは、グループごとに、各グループ メンバーの IP アドレスを含むテーブルが保持されます。グループ メンバーが登録されると、キー サーバはメンバーの IP アドレスを関連するグループのテーブルに追加します。これにより、キー サーバは、アクティブなグループ メンバーをモニタできるようになります。1 つのキー サーバで複数のグループをサポートできます。また、1 つのグループ メンバーは、複数のグループに属することができます。

図 21-7 グループ メンバーおよびキー サーバ間の通信フロー

 

GET VPN トポロジを設定する場合、次の登録関連機能を設定できます。

グループ登録およびキーの再生成にユニキャストまたはマルチキャストのいずれを使用するかを決定します。詳細については、「キーの再生成転送メカニズムの選択」を参照してください。


) マルチキャストを使用する場合は、キー サーバおよびグループ メンバーで手動でマルチキャストをイネーブルにする必要があります。マルチキャスト コマンドは、Security Manager によってプロビジョニングされません。


複数のキー サーバを設定して、冗長性を確保し、ロード バランシングを行うかどうかを決定します。詳細については、「協調キー サーバを使用した冗長性の設定」を参照してください。

キー サーバに正常に登録される前にグループ メンバーのトラフィックを保護するためにグループ メンバーにフェールクローズ モードを設定するかどうかを決定します。詳細については、「登録の失敗時にも保護するためのフェールクローズの設定」を参照してください。

グループ メンバーがグループに参加するときに認可が必要かどうかを決定します。証明書認可(Public Key Infrastructure ポリシーも設定する必要があります)または事前共有キーを使用できます。キー サーバが複数のグループに対応する場合は、認可を設定する必要があります。設定オプションの詳細については、「GET VPN グループ暗号化の定義」の [Authorization Type] 設定を参照してください。

関連項目

「RSA キーの生成と同期」

「GET VPN の設定」

キーの再生成転送メカニズムの選択

Group Encryption ポリシーでキーの再生成設定を設定する場合(「GET VPN グループ暗号化の定義」を参照)、キーの再生成転送メカニズムとしてマルチキャストまたはユニキャストのいずれを使用するかを選択する必要があります。キー サーバは、グループ メンバーまたは他のキー サーバに対して新しいキーおよび IPsec Security Association(SA; セキュリティ アソシエーション)を送信する場合には常にこの方法を使用します。それぞれの方法には利点と欠点があります。

マルチキャスト が標準的な選択肢です。マルチキャストを使用した場合、キー サーバは、各キーの再生成メッセージの 1 つのコピーを、マルチキャスト グループ アドレスを使用してすべてのグループ メンバーに一度に送信します。そのため、キーの再生成で遅延は発生せず、グループ メンバーは更新されたセキュリティ ポリシーをほぼ同時にインストールできます(通常のネットワーク遅延を除く)。ただし、一部のネットワークでは、マルチキャスト機能を使用すると余分のコストが発生したり、マルチキャスト機能が許可されていない場合があります。マルチキャストを設定する場合は、GET VPN トポロジで使用されるマルチキャスト アドレスを指定する必要があります。

マルチキャストが使用できない場合や、マルチキャストの使用が望ましくない場合は、 ユニキャスト を使用できます。ユニキャストを使用した場合、キー サーバは、個別のグループ メンバーに対してキーの再生成および IPsec SA を送信します。各グループ メンバーはメッセージを受信したことを示す確認応答を送信します。ユニキャストでは、メッセージを直接送信したり、確認応答を受信したりする必要があるため、キー サーバはサブネットごとに順番にグループ メンバーに対してユニキャスト メッセージを送信します(ただし、グループ メンバー数が 30 未満などの比較的小規模な VPN では、すべてのグループ メンバーに同時にメッセージが送信されることがあります)。

したがって、マルチキャストとユニキャストを比較した場合の利点は次のようになります。

マルチキャストでは、キー サーバはグループ メンバーがメッセージを受信したかどうかを把握できません。一方、ユニキャストでは、確認応答が送信されます。ユニキャストでは、キー サーバが確認応答を受信できない場合、メッセージが再送信されます。

マルチキャストはユニキャストよりも高速です。特に、数百のグループ メンバーがあるような大規模なトポロジでは高速になります。マルチキャストのキーの再生成では、グループ内のグループ メンバー数が 1 つの場合でも数千の場合でも、CPU のオーバーヘッドは変わらず、いずれの場合も低くなります。

ユニキャストでは、グループ メンバーが連続して確認応答を送信しないと、キー サーバはグループ メンバーが存在しないと判断して、キーの再生成メッセージの送信を停止します。そのため、キー サーバには常にアクティブなグループ メンバーのリストが保持されています。応答しなくなったグループ メンバーが GET VPN トポロジに再度参加するためには、もう一度登録が必要です。マルチキャストでは確認応答が使用されないため、グループ メンバーが応答しなくなってもキー サーバでは把握できず、アクティブなグループ メンバーのリストも保持されません。


ヒント マルチキャストを使用するには、キー サーバおよびグループ メンバーでマルチキャストをイネーブルにする必要があります。これらのコマンドは、Security Manager によってプロビジョニングされません。Security Manager では、マルチキャストによるキーの再生成だけがイネーブルにされ、ルータでのマルチキャスト トラフィックの送受信はイネーブルにされません。そのため、デバイスで手動でマルチキャストをイネーブルにするか、または FlexConfig ポリシーを使用してコマンドをプロビジョニングする必要があります(「FlexConfig ポリシー オブジェクトの作成」を参照)。


すべてのキー サーバでマルチキャストがサポートされている場合は、単一の GET VPN トポロジ内でマルチキャストとユニキャストの混在させることができます。どちらの転送メカニズムを使用するかを決定する場合には、次の推奨事項を考慮してください。

すべてのキー サーバ、すべてのグループ メンバー、およびネットワークでマルチキャストがサポートされている場合は、マルチキャストを使用します。

すべてのキー サーバとほとんどのグループ メンバーでマルチキャストがサポートされており、少数のグループ メンバーでマルチキャストがサポートされていない場合は、マルチキャストを使用します。マルチキャストをサポートしないグループ メンバーは、キーの再生成および IPsec SA 更新を受信しません。ただし、これらの項目のライフタイム設定の期限が切れる前に、ユニキャスト グループ メンバーはキー サーバに再登録し、新しいキーと IPsec SA を取得します。

どのグループ メンバーでもマルチキャストがサポートされていない場合や、少数のグループ メンバーだけがマルチキャストをサポートしている場合は、ユニキャストを使用します。この場合、グループ メンバーは、キー サーバからキーの再生成と IPsec SA 更新を受信するため、キー サーバに再登録する必要はありません。

関連項目

「GET VPN 登録プロセスについて」

「RSA キーの生成と同期」

「GET VPN の設定」

協調キー サーバを使用した冗長性の設定

GET VPN ネットワークでは、キー サーバがコントロール プレーンとなるため、キー サーバがこのネットワークにおける最も重要なエンティティとなります。したがって、キー サーバが 1 台しかない場合は、このキー サーバが GET VPN ネットワーク全体のシングル ポイント障害となります。キー サーバにおいて冗長性を考慮することは重要であるため、GET VPN では、Cooperative(COOP; 協調)キー サーバと呼ばれる複数のキー サーバを用意して、キー サーバのうちの 1 つで障害が発生したり、到達不能になったりした場合に、シームレスな障害回復を行うことができます。

すべての COOP キー サーバのリストから使用可能な任意のキー サーバに登録するようにグループ メンバーを設定できます。グループ メンバーの設定によって、登録の順序が決まります(「GET VPN グループ メンバーの設定」および「[Edit Group Member] ダイアログボックス」を参照)。最初に定義されたキー サーバに対して接続が試みられ、その後、定義された順番でキー サーバへの接続が試みられます。すべての使用可能な COOP キー サーバにグループ メンバーの登録を分散して、1 つのキー サーバにおける IKE 処理の負荷を低減することを推奨します。キーの再生成メッセージを送信するのは、プライマリ キー サーバだけです。

COOP キー サーバが起動すると、すべてのキー サーバは セカンダリ としての役割を担い、選定プロセスが開始されます。通常は、最も高いプライオリティを持つキー サーバが、 プライマリ キー サーバとして選定されます。他のキー サーバは、セカンダリのままとなります。プライマリ キー サーバは、グループ ポリシーを作成してすべてのグループ メンバーに配布する処理、および COOP キー サーバを定期的に同期する処理を担当します。

協調キー サーバは、(プライマリからセカンダリへの)一方向の通知メッセージを交換します。セカンダリ キー サーバが、一定期間プライマリ キー サーバから通知を受信しない場合、セカンダリ キー サーバはプライマリ キー サーバへの接続を試みて、更新情報を要求します。プライマリ キー サーバが応答しない場合(セカンダリ キー サーバがプライマリ キー サーバから情報を受信しない場合)は、COOP キー サーバの再選定がトリガーされて、新しいプライマリ キー サーバが選定されます。

最大 8 台のキー サーバを COOP キー サーバとして定義できますが、5 台以上の COOP キー サーバが必要となることはほとんどありません。キーの再生成情報は単一のプライマリ キー サーバによって生成および配布されるため、3 台以上のキー サーバを展開することの利点は、ネットワークの障害が発生した場合の登録の負荷に対応でき、同時に再登録も実行できることにあります。Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)を使用する IKE ネゴシエーションは、Pre-Shared Key(PSK; 事前共有キー)を使用する IKE ネゴシエーションと比較してはるかに多くの CPU パワーを必要とするため、このことは PKI によるグループ メンバー認可を使用する場合に特に重要となります。

ヒント

RSA キーはすべての協調キー サーバで同じである必要があります。RSA キーの同期の詳細については、「RSA キーの生成と同期」を参照してください。

キー サーバ間での定期的な ISAKMP キープアライブをイネーブルにして、プライマリ キー サーバで他のセカンダリ キー サーバの状態を追跡および表示できるようにすることを推奨します。グループ メンバーとキー サーバとの間の IKE キープアライブは必要ではなく、またサポートもされていません。キープアライブの設定の詳細については、「GET VPN のグローバル設定」を参照してください。

COOP プロトコルは、GDOI グループごとに設定されます。複数の GDOI グループが設定されたキー サーバでは、異なるキー サーバとの固有の COOP 関係を複数維持できます。

登録の失敗時にも保護するためのフェールクローズの設定

グループ メンバーは、GET VPN のメンバーとなるためにはキー サーバに登録する必要があります。グループ メンバーがキー サーバに正常に登録されるまでの間、グループ メンバーの GET VPN インターフェイス経由で送受信されるトラフィックは暗号化されません。クリア テキストでの伝送が行われる期間は、登録に成功すると短い期間で済みますが、何らかの理由でグループ メンバーが登録に失敗すると、長くなる可能性があります。

このデフォルトの動作はフェールオープンと呼ばれています。いかなる場合でもトラフィックがクリア テキストで送信されることをセキュリティ標準違反であると見なす場合は、フェールクローズ モードを設定して、登録前(または登録中)のトラフィックを保護できます。フェールクローズ モードを使用すると、インターフェイスを経由するトラフィックのうち、フェールクローズ ACL で明示的に特定したトラフィック以外のすべてのトラフィックがドロップされます。フェールクローズ モードでは、グループ メンバーがキー サーバに正常に登録されて、必要なキー、セキュリティ ポリシー、およびセキュリティ アソシエーションがダウンロードされるまでは、インターフェイスが実質的にシャットダウンされます。フェールクローズ モードを使用するには、Cisco IOS ソフトウェア Release 12.4(22)T または 15.0 以上が必要です。また、フェールクローズ モードは、サポートされているすべての ASR に設定できます(「各 IPsec テクノロジーでサポートされるデバイスについて」を参照)。

フェールクローズ モードは、最初の登録時にだけ使用されます。グループ メンバーがすでに正常に登録されている場合、そのグループ メンバーは、その後登録に失敗しても、キー サーバからダウンロードされたポリシーを保持し続けます。ただし、グループ メンバーに対して clear crypto gdoi コマンドを使用した場合は、そのあとに行われる最初の登録の試行が 1 回目の登録であると見なされて、フェールクローズ モードが適用されます。

「GET VPN グループ メンバーの設定」で説明するように、フェールクローズ モードは、個別のグループ メンバーに対して設定します。したがって、すべてのグループ メンバーでモードをイネーブルにせずに、選択したグループ メンバーに対してモードをイネーブルにできます。ユーザ(および Security Manager)がデバイスからロックアウトされ、登録が成功するまで設定の更新やメンテナンスができなくなる事態を回避するためには、フェールクローズ ACL を指定する必要があります。

フェールクローズ ACL は拡張 ACL ポリシー オブジェクトであり、デバイスにクリプト マップの一部として設定されます。規則は、グループ メンバーの観点から設定します。次のヒントを参照して、適切なフェールクローズ ACL の作成に役立ててください。

permit ステートメントと deny ステートメントの両方を設定できます。フェールクローズ ACL では、「permit」は「このトラフィックを送信しない」ことを意味し、「deny」は「このトラフィックをクリア テキストで送信する」ことを意味します。この動作は、一般的なクリプト マップ ACL の動作とは異なります。一般的なクリプト マップ ACL では、これらのステートメントは次の意味を持ちます。

permit :「このトラフィックを暗号化する」ことを意味します。グループ メンバーは、登録前にはトラフィックを暗号化するために必要な IPsec セキュリティ アソシエーションを持っていないため、結果としてトラフィックはドロップされます。

deny :「このトラフィックを暗号化しない」ことを意味します。一般的なクリプト マップ ACL では、deny ステートメントを使用すると、その条件に一致したパケットは、デバイスに設定されている次のクリプト マップ ACL と比較されます(設定されている場合)。ただし、トラフィックがフェールクローズ ACL 内の deny ステートメントに一致した場合、すべてのクリプト マップ ACL 処理が終了し、クリア テキストでのトラフィックの送信が許可されます。

フェールクローズ モードで deny がこのように動作するのは、フェールクローズでは、クリプト マップ ACL のリストの最後に暗黙的に ACL ステートメントが追加されているためです。そのステートメントは permit ip any any であり、すべてのトラフィックに一致します。登録がまだ完了していないため IPsec セキュリティ アソシエーションがなく、どの条件にも一致しなかったトラフィックは、暗号化する方法が存在せずに、ドロップされます。

この最後の permit ip any any ステートメントによって、フェールクローズ ACL では deny ステートメントだけを設定することが可能となります。

フェールクローズ ACL は、オプションのグループ メンバー セキュリティ ポリシー ACL のあとに続いて処理されます。ただし、グループ メンバー セキュリティ ポリシー ACL 内のすべてのステートメントは deny ステートメントである必要があります。これにより、一致するトラフィックがクリア テキストで送信される必要があることが指定されます。セキュリティ ポリシーは、通常のクリプト マップ規則に従って処理されるため、deny ステートメントに一致するトラフィックは、そのあとでフェールクローズ ACL と比較されます。フェールクローズ ACL 内に一致する deny ステートメントがない場合、トラフィックは、フェールクローズの暗黙的な最後の permit ip any any ステートメントによってドロップされます。

したがって、グループ メンバー セキュリティ ポリシー ACL を使用し、グループ メンバーの登録ステータスにかかわらず特定のトラフィックをクリア テキストで送信する場合、フェールクローズ ACL には、少なくともセキュリティ ポリシー ACL に含まれているものと同じステートメントがすべて含まれている必要があります。両方の ACL に同じ ACL オブジェクトを使用することもできます。

グループ メンバー セキュリティ ポリシーの詳細については、「GET VPN セキュリティ ポリシーおよびセキュリティ アソシエーションについて」を参照してください。

フェールクローズ ACL は、最後のクリプト マップ ACL として挿入されます。したがって、クリプト マップを使用する他の機能を GET VPN インターフェイスに設定する場合は、それらの他の ACL 内の deny ステートメントで特定されるすべてのトラフィックも、フェールクローズ ACL および暗黙的な最後の permit ip any any ステートメントによってトラップ(およびドロップ)されます。そのため、GET VPN にフェールクローズ モードを設定すると、そのインターフェイスに設定する GET VPN 以外のサービスにも影響を与えることがあります。

登録に成功すると、フェールクローズ ACL および暗黙的な最後の permit ip any any ステートメントはクリプト マップから削除されます。これらのポリシーは、永続的ではありません。

フェールクローズ ACL ポリシー オブジェクトでは、次の規則を含めることを検討する必要があります。これらの規則は、グループ メンバーの観点からのものであることに注意してください。

SSH および SSL(HTTPS)トラフィック:ユーザおよび Security Manager は、デバイスにアクセスして、デバイスを設定できる必要があります。デバイスをロックすることがないように、SSH および SSL 用の deny ステートメントを含めます。SSH 用には、 deny tcp any eq 22 <host or network address> ステートメントを含めます。SSL 用には、 deny tcp any eq 443 <host or network address> ステートメントを含めます。ホストのアドレスを指定する場合は、Security Manager サーバもホストの 1 つとして含めます。

ルーティング トラフィック:ルーティングをイネーブルにするには、ルーティング プロセスのトラフィックを許可します。たとえば、OSPF を使用している場合は、 deny ospf any any を含めます。

GDOI トラフィック:デバイスでは、フェールクローズ ACL の内容にかかわらず GDOI 登録メッセージが検索されるため、正常に登録するためには明示的にこれらのメッセージを許可する必要はありません。ただし、グループ メンバー(1)がキー サーバと他のグループ メンバー(2)との間のパス上に位置している場合、グループ メンバー(1)が登録に失敗すると、グループ メンバー(2)がブロックされて、正常に登録できなくなります。グループ メンバー(2)が正常に登録されるためには、グループ メンバー(1)に、GDOI トラフィックの通過を許可するフェールクローズ ACL を設定する必要があります。したがって、フェールクローズ ACL に deny udp any eq 848 any eq 848 を含めて、GDOI トラフィックを許可することを推奨します。

関連項目

「GET VPN の設定」

「アクセス コントロール リスト オブジェクトの作成」

「拡張アクセス コントロール リスト オブジェクトの作成」

GET VPN セキュリティ ポリシーおよびセキュリティ アソシエーションについて

GET VPN では、クリプト マップ Access Control List(ACL; アクセス コントロール リスト)を使用して、VPN で暗号化される必要があるトラフィックが特定されます。これらの ACL では、暗号化する代わりにクリア テキストとして送信する必要があるトラフィック(実質的に VPN 外部となるトラフィック)も指定されます。これらの ACL の集合によって、VPN のセキュリティ ポリシーが定義されます。

GET VPN では、多階層のセキュリティ ポリシーが提供されます。VPN 全体の一般的なポリシーはキー サーバに定義しますが、グループ メンバーに個別のセキュリティ ポリシーを定義して、ローカルのバリエーションを用意することもできます。グループ メンバー セキュリティ ポリシーは、キー サーバから受信したポリシーよりも常に優先されます。グループ メンバーがキー サーバに登録されると、グループ メンバーはキー サーバのセキュリティ ポリシーとセキュリティ アソシエーションをダウンロードします。次に、グループ メンバーは、1 番目にグループ メンバーの ACL、2 番目にキー サーバの 1 つ目の ACL、3 番目にキー サーバの 2 つ目の ACL というように、キー サーバのすべての ACL をキー サーバに定義されている順序でグループ メンバーの ACL に連結することによって、新しい単一のセキュリティ ポリシー クリプト マップ ACL を作成します。これらのマージされた ACL は単一の ACL として処理されることを理解することが重要です。これらは別個の ACL として検索されるわけではありません。したがって、トラフィックがグループ メンバーの ACL の deny ステートメントに一致した場合、そのトラフィックは、キー サーバからダウンロードされたどの ACL 規則に対してもテストされることはありません。


ヒント グループ メンバーが GET VPN から離脱すると、キー サーバからダウンロードされた ACL は削除されますが、グループ メンバー セキュリティ ポリシー ACL は維持されて、デバイスに設定されたままとなります。


GET VPN セキュリティ ポリシー ACL(およびクリプト マップ ACL 全般)では、permit キーワードと deny キーワードには特別な意味があります。

permit :「このトラフィックを暗号化する」ことを意味します。permit エントリは、キー サーバの Group Encryption ポリシー に定義されるセキュリティ ポリシー ACL にだけ設定できます。これは、暗号化されるトラフィックには、トラフィックの暗号化に使用されるトランスフォーム セット、アンチリプレイ設定、IPsec ライフタイム設定を含む、完全な IPsec セキュリティ アソシエーションが存在する必要があるためです。パケットが permit エントリに一致するが、そのパケットに IPsec SA がない場合、そのパケットはドロップされます。

通常、permit 規則は対称的である必要があります。つまり、送信元アドレスと宛先アドレスは同じである必要があります。異なる送信元アドレスと宛先アドレスを指定する必要がある場合は、2 つの規則を作成する必要があります。2 つ目の規則は、1 つ目の規則の送信元アドレスと宛先アドレスを入れ替えた、対称的な規則とする必要があります。

deny :「このトラフィックを暗号化しない」ことを意味します。実際には、通常、deny ステートメントに一致するトラフィックがクリア テキストで送信されることを意味します。ただし、クリプト マップを使用する他の機能を設定した場合、「拒否された」トラフィックは後続の(プライオリティの低い)クリプト マップ ACL と比較されて、一致するエントリがあるかどうかが確認されます。deny 規則に対しては、IPsec Security Association(SA; セキュリティ アソシエーション)は生成されません。

次に、設定できるセキュリティ ポリシーをプライオリティ順にまとめます。

グループ メンバー セキュリティ ポリシー :グループ メンバーの設定時に(「GET VPN グループ メンバーの設定」を参照)、ローカル グループ メンバー セキュリティ ポリシーを定義する ACL ポリシー オブジェクトをオプションで選択できます。

このグループ メンバー ACL ポリシー オブジェクトには、deny ステートメントだけを設定できます。この ACL を使用して、暗号化から除外し、クリア テキストで送信するトラフィックを特定できます。たとえば、グループ内の一部のグループ メンバーが通常とは異なるルーティング プロトコルを実行している場合、キー サーバ レベルでグローバルにポリシーを定義する代わりに、これらのグループ メンバーのセキュリティ ポリシー ACL にローカル エントリを設定して、ルーティング プロトコル トラフィックの暗号化を回避できます。

キー サーバ セキュリティ ポリシーおよびセキュリティ アソシエーション :GET VPN に Group Encryption ポリシーを設定する場合(「GET VPN グループ暗号化の定義」を参照)、VPN で暗号化および保護する必要があるトラフィックを特定する ACL を設定します。

キー サーバのセキュリティ ポリシーと、トランスフォーム セットやその他の設定が組み合わされて、セキュリティ アソシエーションが定義されます。実際には、ACL 内の各規則に対して 2 つの IPsec Security Association(SA; セキュリティ アソシエーション)が設定され、これらの SA によって、選択されたトラフィックの暗号化方法が定義されます。したがって、すべてのグループ メンバーで同じグループ SA が使用されるため、グループ メンバー間で SA をネゴシエートする必要がありません。

キー サーバのポリシーはグループ メンバーのポリシーに追加されるため、ポリシーは permit ip any any 、つまりグループ メンバー ポリシーによって除外されないすべてのトラフィックを暗号化するという単純なものでもかまいません。

ただし、異なるトランスフォーム セットに関連付けられて異なるタイプの暗号化を定義する、いくつかの別個の ACL ポリシー オブジェクトを設定して、より複雑なセキュリティ ポリシーとセキュリティ アソシエーションのセットを作成することもできます。

複数のセキュリティ アソシエーションを作成する場合は、順序を指定する必要があります。セキュリティ アソシエーションは、指定された順序でグループ ポリシーに追加されます。追加された結果単一の ACL が作成されるため、最初の ACL に deny ステートメントを含めると、後続のセキュリティ アソシエーションにおける同じトラフィックに対するすべての permit 規則は無視されて、トラフィックは暗号化されずにクリア テキストで送信されます。


) Group Encryption ポリシーに定義されるセキュリティ アソシエーションを全体としては、最大 100 の ACL permit エントリを定義できます。各 permit エントリによって、IPsec SA のペアが作成されます。グループ内の IPsec SA の最大数は 200 を超えることができません。対象のトラフィックを可能なかぎり少ない permit エントリにまとめ、送信元アドレスと宛先アドレスが同じである対称的なポリシーを構築することを推奨します。一意の送信元アドレス範囲と宛先アドレス範囲を定義する必要がある通常の IPsec ポリシーとは異なり、送信元アドレス範囲と宛先アドレス範囲が同じである場合に GET VPN は最適化されます。送信元アドレスと宛先アドレスが異なる規則を設定する場合は、(送信元アドレスと宛先アドレスを入れ替えた)対称的な規則も設定する必要があります。この場合、4 つの SA が使用されます。


これらのセキュリティ ポリシー以外に、グループ メンバーにフェールクローズ モードを設定した場合にトラフィック パターンに影響を与える追加のフェールクローズ ACL もあります。詳細については、「登録の失敗時にも保護するためのフェールクローズの設定」を参照してください。

関連項目

「GET VPN の設定」

「アクセス コントロール リスト オブジェクトの作成」

「拡張アクセス コントロール リスト オブジェクトの作成」

時間ベースのアンチリプレイについて

アンチリプレイは、IPsec(RFC 2401)などのデータ暗号化プロトコルにおける重要な機能です。アンチリプレイを使用すると、第三者が IPsec 通信やパケットを盗聴して、あとでこれらのパケットをセッションに挿入することを防止できます。時間ベースのアンチリプレイ メカニズムは、すでに過去の時点で到着しているパケットの再送を検出することによって、無効なパケットを廃棄できます。

GET VPN では、Synchronous Anti-Replay(SAR; 同期アンチリプレイ)メカニズムを使用して、複数の送信者からのトラフィックに対するアンチリプレイ保護が提供されます。SAR は、実社会の Network Time Protocol(NTP; ネットワーク タイム プロトコル)クロックや、シーケンシャル カウンタ メカニズム(パケットが送信順に受信されて処理されることを保証するメカニズム)とは独立しています。SAR クロックは、規則正しく進みます。このクロックによって追跡される時間は、疑似時間と呼ばれます。疑似時間はキー サーバによって管理され、キーの再生成メッセージ内の pseudoTimeStamp と呼ばれるタイムスタンプ フィールドとしてグループ メンバーに定期的に送信されます。グループ メンバーは、定期的にキー サーバの疑似時間に再同期される必要があります。キー サーバの疑似時間は、最初のグループ メンバーが登録されたときから進み始めます。最初は、登録プロセス中に、キー サーバからグループ メンバーに対して、キー サーバの現在の疑似時間の値およびウィンドウ サイズが送信されます。時間ベースのリプレイ対応情報、ウィンドウ サイズ、キー サーバの疑似時間などの新しい属性は、SA ペイロード(TEK)で送信されます。

グループ メンバーは、疑似時間を使用して次のようにリプレイを防止します。pseudoTimeStamp には、送信者がパケットを作成したときの疑似時間の値が含まれています。受信者は、送信者の疑似時間の値と自身の疑似時間の値を比較して、パケットが再送されたパケットであるかどうかを判断します。受信者は、時間ベースのアンチリプレイ ウィンドウを使用して、そのウィンドウ内のタイムスタンプ値を含むパケットを受け入れます。ウィンドウ サイズは、キー サーバで設定されて、すべてのグループ メンバーに送信されます。

次の図は、アンチリプレイ ウィンドウを示しています。値 PTr は受信者のローカルの疑似時間を、W はウィンドウ サイズを示しています。

アンチリプレイは、Group Encryption ポリシーのセキュリティ アソシエーション定義に設定します。詳細については、「GET VPN グループ暗号化の定義」および「[Add New Security Association]/[Edit Security Association] ダイアログボックス」を参照してください。

図 21-8 アンチリプレイ ウィンドウ

 

GET VPN の設定

Group Encrypted Transport(GET)を使用して完全メッシュ VPN を設定するには、「VPN トポロジの作成または編集」の説明に従って Create VPN ウィザードを使用します。ウィザードが終了したら、RSA キーを同期するかどうかを尋ねられます。RSA キーの同期は、VPN が正常に動作するために必要です。詳細については、「RSA キーの生成と同期」を参照してください。

キーの再生成転送メカニズムとしてマルチキャストを選択した場合は、すべてのキー サーバおよび必要なグループ メンバーにおいてマルチキャストをイネーブルにする必要があります。詳細については、「キーの再生成転送メカニズムの選択」を参照してください。

Edit VPN ウィザードを使用すると、GET VPN の名前と説明だけを変更できます。他のポリシーや設定を変更する必要がある場合は、[Site-to-Site Manager] ページで次のようにポリシーを開きます。

ISAKMP および IPsec 設定の場合は、[Global Settings for GET VPN] を選択します。「GET VPN のグローバル設定」を参照してください。

IKE プロポーザル ポリシーの場合は、[IKE Proposal Policy for GET VPN] を選択します。「GET VPN の IKE プロポーザルの設定」を参照してください。

セキュリティ アソシエーション(ACL 規則)および IPsec ポリシーの場合は、[Group Encryption Policy] > [Security Associations] を選択します。「GET VPN グループ暗号化の定義」を参照してください。

事前共有キー ポリシーの場合は、[Preshared Key] を選択します。「[Preshared Key] ページ」を参照してください。

公開キー(PKI)ポリシーの場合は、[Public Key Infrastructure] を選択します。「[Public Key Infrastructure] ページ」を参照してください。

キーの再生成設定の場合は、[Group Encryption Policy] > [Group Settings] を選択します。「GET VPN グループ暗号化の定義」および「RSA キーの生成と同期」を参照してください。

RSA キーの同期を含むキー サーバの設定の場合は、[Key Servers] を選択します。「GET VPN キー サーバの設定」および「RSA キーの生成と同期」を参照してください。

グループ メンバーシップおよびエンドポイント設定の場合は、[Group Members] を選択します。「GET VPN グループ メンバーの設定」を参照してください。

関連項目

「Group Encrypted Transport(GET)VPN について」

「GET VPN 登録プロセスについて」

「GET VPN セキュリティ ポリシーおよびセキュリティ アソシエーションについて」

「GET VPN 設定のトラブルシューティング」

「Preshared Key ポリシーについて」

RSA キーの生成と同期

Group Encryption ポリシーで RSA キー ラベルを指定する場合(「GET VPN グループ暗号化の定義」を参照)、対応する RSA キー(公開キーと秘密キー)が GET VPN トポロジ内のすべてのキー サーバに設定されている必要があります。キーは、デバイスに定義した既存のキー、または新しいキー ラベルを指定できます。Security Manager によってキーが生成されて、すべてのキー サーバが同じキーを使用するように同期されます。

Security Manager で RSA キーを生成して同期するには、次の方法を使用できます。

Create VPN ウィザードを使用して新しい GET VPN を作成する場合は、ウィザードの最後に、キーを同期するかどうかを尋ねられます。[Yes] をクリックすると、Security Manager によってすぐにキーの同期が実行され、キーがまだ存在していない場合には新しいキーが生成されます。Create VPN ウィザードの使用方法の詳細については、「VPN トポロジの作成または編集」を参照してください。

既存の GET VPN では、Key Servers ポリシーで [Synchronize Keys] ボタンをクリックできます。キー サーバを追加する場合や、プライマリ キー サーバで新しいキーを生成する場合には、必ずこのプロセスを使用します。既存のトポロジにおけるキー サーバの設定の詳細については、「GET VPN キー サーバの設定」を参照してください。


ヒント 既存の GET VPN トポロジで新しい RSA キーを生成する場合は、Group Encryption ポリシーを更新して新しい未使用の RSA キー ラベルを指定し、Key Servers ポリシーで [Synchronize Keys] ボタンをクリックするのが最も簡単な方法です。キーはどのキー サーバにも存在しないため、Security Manager によって新しいキーが生成されて、すべてのキー サーバにインポートされます。その後、各キー サーバから古いキーを手動で削除できます。


RSA キーは、次のように使用されます。

キー サーバは、RSA 秘密キーを使用して、グループ メンバーからのキーの再生成メッセージを認証します。

キー サーバは、登録時にグループ メンバーに対して RSA 公開キーを提供します。

キー サーバは、秘密キーを使用して、Key Encryption Key(KEK; キー暗号化キー)および Traffic Encryption Key(TEK; トラフィック暗号化キー)に署名します。RSA キーがないと、キー サーバは KEK および TEK を作成できません。

RSA キーは、協調キー サーバ間のメッセージの署名にも使用されます。

RSA キー同期プロセスを開始すると、[Synchronize Keys] ダイアログボックスが開き、全体的な経過および各キー サーバにおける結果が表示されます(いつでも [Abort] ボタンをクリックして、プロセスを停止できます)。Security Manager によって次の手順が実行されます。

1. すべてのキー サーバにログインして、VPN に設定された RSA キー ラベルに対応する RSA キー情報が各サーバから取得されます。

2. いずれかのキー サーバに、必要なラベルを持つキーが存在しているかどうかが判断されます。

どのキー サーバにも必要なラベルを持つ RSA キーがない場合は、Security Manager によってプライマリ キー サーバ(最も高いプライオリティを持つサーバ)にキーが生成されます。

1 つ以上のキー サーバにキーがなく、キーがあるすべてのキー サーバのキーが同じものである場合は、Security Manager によって、キーがある任意のサーバの既存のキーが使用されます。

複数のキー サーバにキーがあるが、キーの内容がサーバ間で異なる場合は、Security Manager がキーを上書きしてもよいかどうかを尋ねられます。[Yes] をクリックすると、Security Manager では、プライマリ キー サーバの既存のキーが使用されます。

[No] をクリックした場合は、Security Manager 外部でキー サーバにログインして、必要に応じて手動でキーを調整できます。ただし、すべてのキー サーバの RSA キーの内容は同じである必要があります。このプロセスについては、後述の説明を参照してください。

3. キーのエクスポート可能なバージョンが作成されます。

4. キーが、残りの各キー サーバにインポートされます。


ヒント 同期プロセスが成功するためには、デバイスがオンラインかつ到達可能であり、ユーザに展開権限がある必要があります。デバイスへの接続が失敗したり、タイムアウトしたりした場合は、Security Manager サーバからキー サーバに対する ping が成功することを確認します。ライブ デバイスではなくファイルに展開する場合は、後述の説明に従って手動でキーを生成および同期する必要がある場合があります。十分な権限がない場合は、プロセスを開始できないため、他のユーザにプロセスの実行を依頼する必要があります。


RSA キーの手動での生成と同期

Security Manager でキーを生成および同期しない場合、または何らかの理由で Security Manager においてプロセスを完了できない場合には、特権 EXEC(イネーブル)コンフィギュレーション モードで次の手順を使用して手動でキーを生成および同期できます。

1. 次のコマンドを使用して、キー サーバにキーを生成します。 rekeyrsa は、キーの名前です(任意の名前を指定できます)。キーは、エクスポート可能にする必要があります。

crypto key generate rsa general-keys label rekeyrsa modulus 1024 exportable

2. 次のコマンドを使用して、キーのエクスポート可能なコピーを作成します。 passphrase は、インポート用にキーを暗号化するために使用される文字列です(任意のパスフレーズを指定できます)。

crypto key export rsa rekeyrsa pem terminal 3des passphrase

このコマンドによって、公開キーと秘密キーが端末に出力されます。これらをクリップボードにコピーして、他のキー サーバへのインポートに使用できます。キーは ----BEGIN/END PUBLIC KEY---- ----BEGIN/END RSA PRIVATE KEY---- によって区切られています。また、URL にエクスポートすることもできます。コマンドの使用方法の詳細については、Cisco.com の『 Cisco IOS Security Command Reference 』を参照してください。

3. 次のコマンドを使用して、他の各キー サーバにキーをインポートします。

crypto key import rsa rekeyrsa pem exportable terminal passphrase

キーをコピー アンド ペーストする場合は、BEGIN と END の行を含めます。

GET VPN の IKE プロポーザルの設定

[IKE Proposal for GET VPN] ページを使用して、GET VPN トポロジで使用される IKE プロポーザルを定義します。IKE プロポーザルは、キー サーバおよびグループ メンバーに設定されます。

これらの設定は、ISAKMP Security Association(SA; セキュリティ アソシエーション)用の設定です。単一のキー サーバを使用している場合、最初のグループ メンバー登録後には ISAKMP SA は使用されません。複数のキー サーバ(協調キー サーバ)を使用している場合は、キー サーバ間の通信で ISAKMP SA が必要です。

[IKE Proposal for GET VPN] ページを開くには、次の手順を実行します。

[Site-to-Site VPN Manager] ウィンドウ)既存の GET VPN トポロジを選択して、ポリシー セレクタで [IKE Proposal for GET VPN] を選択します。

(ポリシー ビュー)[Site-to-Site VPN] > [IKE Proposal for GET VPN] を選択して、既存のポリシーを選択するか、または新しいポリシーを作成します。

次の表で、このポリシーで定義できる設定について説明します。

 

表 21-29 IKE Proposal for GET VPN ポリシー

要素
説明

[IKE Proposal]

使用する設定を定義した IKE プロポーザル ポリシー オブジェクト。そのまま使用できる定義済みのオブジェクトもいくつか用意されています。

[Select] をクリックして、既存の IKE プロポーザル オブジェクトのリストを開きます。選択するオブジェクトでは、グループに設定する認可方式と同じ方式が使用されている必要があります(たとえば、事前共有キーを使用する場合はプレフィクス preshared を持つオブジェクト名を、Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)証明書を使用する場合はプレフィクス cert を持つオブジェクト名を選択します)。

オブジェクトを選択して [OK] をクリックすると、オブジェクトに定義されている設定が [IKE Proposal Settings] 表示フィールドに表示されます。また、選択リストで編集することによっても設定を確認できます。適切な既存のオブジェクトが見つからない場合は、選択リストの [Add](+)ボタンをクリックして、新しいオブジェクトを作成します(詳細およびオプションの詳細な説明については、「[Add IKE Proposal]/[Edit IKE Proposal] ダイアログボックス」を参照してください)。

[IKE Proposal Overrides]

キー サーバおよびグループ メンバーの ISAKMP SA の有効秒数。ライフタイムを超えると、SA の期限が切れ、ピア間で再ネゴシエートする必要があります。1 ~ 86400 の値を指定できます。

協調キー サーバ(複数のキー サーバ)を使用している場合は、キー サーバのライフタイムを高く設定します。デフォルトの 86400 が適切です。

単一のキー サーバを使用している場合は、必要以上に長く ISAKMP SA が保持されないようにライフタイムを低く設定します(ただし、60 秒未満には設定しないでください)。グループ メンバー登録後は使用されません。

特に協調キー サーバが設定されている場合には、キー サーバのライフタイムと比較してグループ メンバーのライフタイムを低く設定することを推奨します。

関連項目

「IKE について」

「Preshared Key ポリシーについて」

「GET VPN グループ暗号化の定義」

「Group Encrypted Transport(GET)VPN について」

「GET VPN の設定」

GET VPN のグローバル設定

[Global Settings for GET VPN] ページを使用して、GET VPN トポロジ内のデバイスに適用する ISAKMP および IPsec のグローバル設定を定義します。


) このポリシー内のライフタイム設定は、キー サーバおよびグループ メンバーの ISAKMP セキュリティ アソシエーションのライフタイムには適用されません。これらのライフタイム値は、IKE Proposal for GET VPN ポリシーで設定されます。詳細については、「GET VPN の IKE プロポーザルの設定」を参照してください。


[Global Settings for GET VPN] ページを開くには、次の手順を実行します。

[Site-to-Site VPN Manager] ウィンドウ)既存の GET VPN トポロジを選択して、ポリシー セレクタで [Global Settings for GET VPN] を選択します。

(ポリシー ビュー)[Site-to-Site VPN] > [Global Settings for GET VPN] を選択して、既存のポリシーを選択するか、または新しいポリシーを作成します。

次の表で、このポリシーで定義できる設定について説明します。

 

表 21-30 [Global Settings for GET VPN]

要素
説明

[Enable Keepalive](キー サーバだけ)

キー サーバ間で Dead Peer Detection(DPD)キープアライブ メッセージをイネーブルにするかどうかを指定します。複数のキー サーバ(協調キー サーバ)がある場合は、定期的なキープアライブをイネーブルにして、サーバ間で相互のステータスを把握し、必要に応じて新しいプライマリ サーバを選定できるようにする必要があります。次の設定を行います。

[Interval]:[Periodic] も選択した場合は、DPD メッセージ間の秒数です。[Periodic] を選択しない場合は、トラフィックがピアから受信されない場合に DPD リトライ メッセージが送信されるまでの秒数です。値の範囲は 10 ~ 3600 秒です。

[Retry]:DPD リトライ メッセージに対するピアからの応答がない場合の DPD リトライ メッセージ間の秒数です。値の範囲は 2 ~ 60 秒です。デフォルトで、DPD リトライ メッセージは 2 秒ごとに送信されます。5 回 DPD リトライ メッセージを送信しても応答がない場合、そのキー サーバはダウンとマークされます。

[Periodic]:(他のキー サーバからトラフィックを受信しているかどうかにかかわらず)DPD メッセージを定期的に送信するかどうかを指定します。GET VPN では、[Periodic] を選択する必要があります。

[Identity]

フェーズ I の IKE ネゴシエーション中に、ピアは相互に識別する必要があります。使用する ISAKMP アイデンティティを選択します。

[Address](デフォルト):IKE ネゴシエーションに参加するインターフェイスの IP アドレス。アドレスは、1 つのインターフェイスだけがネゴシエーションに参加し、その IP アドレスが既知である(スタティックである)場合に使用します。

[Hostname]:完全修飾ホスト名(router1.example.com など)。

[Distinguished Name]

[SA Requests System Limit]

IKE が SA 要求の拒否を開始する前に許可される SA 要求の最大数。ピアの数以上の値を指定する必要があります。ピアの数未満の値を指定した場合は、VPN トンネルが切断される可能性があります。

0 ~ 99999 の値を入力できます。

[SA Requests System Threshold]

IKE が新規 SA 要求の拒否を開始する前に使用できるシステム リソースのパーセンテージ。デフォルトは 75% です。

[IPsec Settings]

IPsec SA のデフォルトのライフタイム設定を変更する場合は、[Enable Lifetime] を選択します。グループ メンバー間のトラフィック量(KB 単位)、秒数、またはその両方に基づいてライフタイムを設定できます。いずれかの値に達するとキーが失効します。デフォルトは次のとおりです(これらのデフォルトは、このオプションを選択しない場合でも設定されています)。

[Lifetime (secs)]:3600 秒(1 時間)。

[Lifetime (kbytes)]:4,608,000 KB。

ヒント セキュリティ アソシエーションの設定時に、トラフィック暗号化キー用のこれらの値を上書きできます。「GET VPN グループ暗号化の定義」および「[Add New Security Association]/[Edit Security Association] ダイアログボックス」を参照してください。

関連項目

「IKE について」

「IPsec トンネル ポリシーについて」

「ISAKMP/IPsec 設定について」

「Group Encrypted Transport(GET)VPN について」

「GET VPN の設定」

GET VPN キー サーバの設定

Key Servers ポリシーを使用して、GET VPN トポロジで使用するキー サーバを定義します。

Key Servers ポリシーを開くには、[Site-to-Site VPN Manager] ウィンドウで既存の GET VPN トポロジを選択して、[Policies] リストから [Key Servers] を選択します。

テーブルに、VPN で使用されているキー サーバが表示され、デバイス名、アイデンティティ、プライオリティ、および登録インターフェイスが表示されます。これらの属性の詳細については、「[Edit Key Server] ダイアログボックス」を参照してください。

テーブルにキー サーバを追加するには、[Add Row] ボタンをクリックして、表示されるリストからデバイスを選択します。キー サーバとして含めることができるデバイスだけが表示されます。

キー サーバの特性を編集するには、キー サーバを選択して、[Edit Row] ボタンをクリックします。[Edit Key Server] ダイアログボックスに入力します(「[Edit Key Server] ダイアログボックス」を参照)。

キー サーバを削除するには、キー サーバを選択して、[Delete Row] ボタンをクリックします。

キー サーバ間で RSA キーを同期して、すべてのサーバで同じキーが使用されるようにするには、[Synchronize Keys] ボタンをクリックします。キーの同期が必要なタイミングや理由を含むキー同期プロセスの詳細については、「RSA キーの生成と同期」を参照してください。

協調キー サーバを使用する場合のキー サーバの順序を変更するには、キー サーバを選択して、上向きまたは下向きの矢印ボタンをクリックします。この順序では、どのサーバがプライマリ キー サーバであるかは定義されません(プライマリ キー サーバは、[Priority] の値によって決定されます。値が大きいほど、そのサーバがプライマリ キー サーバとして選定される確率が高くなります)。

代わりに、グループ メンバーがキー サーバへの登録を試みるデフォルトの順序が決定されます。グループ メンバーは、リストの最初のキー サーバに登録されます。最初のキー サーバに到達できない場合、グループ メンバーは、2 番目以降のキー サーバに順番に登録を試みます。キー サーバの冗長性の詳細については、「協調キー サーバを使用した冗長性の設定」を参照してください。個別のグループ メンバーでこの順序を上書きできます。「GET VPN グループ メンバーの設定」および「[Edit Group Member] ダイアログボックス」を参照してください。


ヒント テーブルの下にある [Show] フィールドを使用して、[Identity] カラムおよび [interfaces] カラムに、インターフェイス ロールを表示するか、またはこれらのロールによって定義されている実際のインターフェイスを表示するかを切り替えることができます。


関連項目

「GET VPN 登録プロセスについて」

「Group Encrypted Transport(GET)VPN について」

「GET VPN の設定」

「デバイス ビューにおける VPN トポロジの設定」

「テーブルのフィルタリング」

[Add Key Server]、[Add Group Member] ダイアログボックス

[Add Key Server] ダイアログボックスおよび [Add Group Member] ダイアログボックスを使用して、GET VPN トポロジで使用されるキー サーバまたはグループ メンバーを選択します。目的のデバイスの横にあるチェックボックスを選択して、[OK] をクリックします。

ナビゲーション パス

GET VPN トポロジにキー サーバまたはグループ メンバーを追加するには、Create VPN ウィザードの [GET VPN Peers] ページにある [Key Server or Group Member] テーブルの下の [Add Row](+)をクリックします。既存のトポロジの場合は、 Key Servers ポリシーまたは Group Members ポリシーを使用します。詳細については、次の項を参照してください。

「GET VPN ピアの定義」

「GET VPN キー サーバの設定」

「GET VPN グループ メンバーの設定」

[Edit Key Server] ダイアログボックス

[Edit Key Servers] ダイアログボックスを使用して、GET VPN トポロジのキー サーバに定義されている属性を変更します。

ナビゲーション パス

(Create VPN ウィザード)[GET VPN Peers] ページに移動し、キー サーバを選択して、[Edit Row] ボタンをクリックします。「GET VPN ピアの定義」を参照してください。

「[Site-to-Site VPN Manager] ウィンドウ」)[Key Servers] ポリシーを選択し、キー サーバを選択して、[Edit Row] ボタンをクリックします。「GET VPN キー サーバの設定」を参照してください。

関連項目

「Group Encrypted Transport(GET)VPN について」

「GET VPN の設定」

フィールド リファレンス

 

表 21-31 [Edit Key Server] ダイアログボックス

要素
説明

[Identity Interface]

グループ メンバーがキー サーバを識別し、キー サーバに登録するために使用するインターフェイス。デフォルトは、すべてのループバック インターフェイスを識別するループバック インターフェイス ロールです。

[Priority]

キー サーバのロール(プライマリまたはセカンダリ)を指定する、1 ~ 100 の数値。最も高い数値を持つキー サーバがプライマリ キー サーバとなります。2 つ以上のキー サーバに同じプライオリティが割り当てられている場合は、最も大きい IP アドレスを持つデバイスが使用されます。デフォルトのプライオリティは、最初のキー サーバに対しては 100、2 番目のキー サーバに対しては 95 などになります。

(注) ネットワークがパーティション化されている場合は、複数のプライマリ キー サーバが存在することがあります。

[Registration Interface]

Group Domain of Interpretation(GDOI)登録を受け入れることができるインターフェイス。登録インターフェイスを指定しない場合、GDOI 登録は任意のインターフェイスで実行できます。

GET VPN グループ メンバーの設定

Group Members ポリシーを使用して、GET VPN トポロジ内のグループ メンバーを定義します。

Group Members ポリシーを開くには、[Site-to-Site VPN Manager] ウィンドウで既存の GET VPN トポロジを選択して、[Policies] リストから [Group Members] を選択します。

グループ メンバーのテーブルには、GET VPN のメンバーが表示され、デバイス名、GET 対応インターフェイス、ローカル インターフェイス、およびセキュリティ ポリシーが表示されます。これらの属性の詳細については、「[Edit Group Member] ダイアログボックス」を参照してください。

テーブルにグループ メンバーを追加するには、[Add Row] ボタンをクリックして、表示されるリストからデバイスを選択します。グループ メンバーとして含めることができるデバイスだけが表示されます。

グループ メンバーのエンドポイント特性を編集するには、グループ メンバーを選択して、[Edit Row] ボタンをクリックします。[Edit Group Member] ダイアログボックスに入力します(「[Edit Group Member] ダイアログボックス」を参照)。

テーブル内の複数のグループ メンバーを選択した場合は、右クリックして次のコマンドを選択することによって、それぞれに示す属性だけを編集することもできます。

[Edit Key Server Order]:選択したグループ メンバーのキー サーバ リストおよびプライオリティ順を変更します。

[Edit Passive SA Mode]:選択したグループ メンバーでパッシブ SA モードを使用するかどうかを変更します。

グループ メンバーを削除するには、グループ メンバーを選択して、[Delete Row] ボタンをクリックします。


ヒント テーブルの下にある [Show] フィールドを使用して、[interfaces] カラムに、インターフェイス ロールを表示するか、またはこれらのロールによって定義されている実際のインターフェイスを表示するかを切り替えることができます。


関連項目

「登録の失敗時にも保護するためのフェールクローズの設定」

「パッシブ モードを使用した GET VPN への移行」

「Group Encrypted Transport(GET)VPN について」

「GET VPN の設定」

「デバイス ビューにおける VPN トポロジの設定」

「テーブルのフィルタリング」

[Edit Group Member] ダイアログボックス

[Edit Group Members] ダイアログボックスを使用して、GET VPN トポロジのグループ メンバーに定義されている属性を変更します。


ヒント 複数のデバイスを選択して、右クリック メニューから編集コマンドを選択すると、このダイアログボックスには選択した編集コマンドに関連するオプションだけが表示されます。


ナビゲーション パス

(Create VPN ウィザード)[GET VPN Peers] ページに移動し、グループ メンバーを選択して、[Edit Row] ボタンをクリックします。「GET VPN ピアの定義」を参照してください。

「[Site-to-Site VPN Manager] ウィンドウ」)GET VPN トポロジを選択して、[Group Members] ポリシーを選択します。グループ メンバーを選択して、[Edit Row] ボタンをクリックします。「GET VPN グループ メンバーの設定」を参照してください。

関連項目

「Group Encrypted Transport(GET)VPN について」

「GET VPN の設定」

フィールド リファレンス

 

表 21-32 [Edit Group Member] ダイアログボックス

要素
説明

[GET-Enabled Interface]

Provider Edge(PE; プロバイダー エッジ)への VPN 対応外部インターフェイス。このインターフェイスで発信または終了するトラフィックは、暗号化または復号化が適宜評価されます。複数のインターフェイスを設定できます。

インターフェイスまたはインターフェイス ロールの名前を入力するか、あるいは [Select] をクリックして、リストから名前を選択するか新しいインターフェイス ロールを作成します。

[Interface to be used as local address]

キーの再生成情報などのデータを送信するために、キー サーバでグループ メンバーを識別する場合に IP アドレスが使用されるインターフェイス。GET が 1 つのインターフェイスでだけイネーブルになっている場合は、ローカル アドレスとして使用するインターフェイスを指定する必要はありません。GET が複数のインターフェイスでイネーブルになっている場合は、ローカル アドレスとして使用するインターフェイスを指定する必要があります。

インターフェイスまたはインターフェイス ロールの名前を入力するか、あるいは [Select] をクリックして、リストから名前を選択するか新しいインターフェイス ロールを作成します。

[Security Policy]

キー サーバからダウンロードされたセキュリティ ACL よりも優先される、一部のグループ メンバー固有のトラフィックを拒否するために使用されるローカルのグループ メンバー セキュリティ ACL。拒否されたトラフィックは、暗号化されずにクリア テキストで送信されます。詳細については、「GET VPN セキュリティ ポリシーおよびセキュリティ アソシエーションについて」を参照してください。

ACL オブジェクトの名前を入力します。あるいは、[Select] をクリックして、リストから選択するか、または新しいオブジェクトを作成します。

[Enable Fail Close]

[Fail Close ACL]

デバイスがキー サーバに正常に登録される前に、デバイスからクリア テキストのトラフィックが送信されることを防止するフェールクローズ モードをデバイスでイネーブルにするかどうかを指定します。フェールクローズ モードを使用するには、Cisco IOS ソフトウェア Release 12.4(22)T または 15.0 以上が必要です。また、フェールクローズ モードは、サポートされているすべての ASR に設定できます。

ヒント フェールクローズ モードは複雑な機能であり、慎重にフェールクローズ ACL を作成しないとデバイスからロックアウトされる可能性があります。フェールクローズ モードをイネーブルにする前に、「登録の失敗時にも保護するためのフェールクローズの設定」を参照してください。

設定の更新が可能となるように、Security Manager サーバとの SSH 通信や SSL 通信などの許可するクリア テキストのトラフィックを指定した ACL ポリシー オブジェクトを選択する必要があります(deny ステートメントを使用)。オブジェクトの名前を入力します。あるいは、[Select] をクリックして、オブジェクトを選択するか、または新しいオブジェクトを作成します。

[Override Key Servers]

この特定のグループ メンバーにおいて、GET VPN トポロジ全体に設定されているキー サーバ リストを上書きするかどうかを指定します。

このオプションを選択した場合は、トポロジに設定されているキー サーバのうち、選択したグループ メンバーで使用されるサブセットを選択できます。また、それらのサーバのプライオリティ順も変更できます。この設定は、複数の協調キー サーバ間で登録アクティビティを負荷分散するのに役立ちます。詳細については、「協調キー サーバを使用した冗長性の設定」を参照してください。

[Select] をクリックし、[Key Servers Selection] ダイアログボックスを使用して、キー サーバ リストおよびキー サーバのプライオリティ順を変更します。グループ メンバーでのキー サーバの使用方法を変更する前に、GET VPN トポロジにそのキー サーバが定義されている必要があります。

[Enable Passive SA Mode]

グループ メンバーをパッシブ Security Association(SA; セキュリティ アソシエーション)モードに設定するかどうかを指定します。このモードでは、グループ メンバーは SA をインバウンド方向でだけインストールします。つまり、グループ メンバーは、暗号化されたデータを受信することができますが、クリア テキストのデータだけを送信します。このモードは、主に既存の VPN から GET VPN に移行する場合に、VPN のテスト目的でだけ役立ちます(このモードを使用するには、グループ メンバーは、Cisco IOS ソフトウェア バージョン 12.4(22)T または 15.0 以上を実行しているか、あるいはサポートされている ASR である必要があります)。

この設定は、Group Encryption ポリシーの [Receive Only] 設定(トポロジ全体に適用されます)と似ています。このグループ メンバー オプションは、Group Encryption ポリシーの設定よりも優先されます。

これらのパッシブ モード機能を使用して GET VPN への移行または GET VPN のテストを行う方法の詳細については、「パッシブ モードを使用した GET VPN への移行」を参照してください。

パッシブ モードを使用した GET VPN への移行

既存の VPN(特にクリア テキストを使用する VPN)から GET VPN テクノロジーに移行する場合は、2 つの機能を使用して、ネットワークのダウンタイムを回避するために段階的な移行を行うことができます。これらの機能はほぼ同じものであり、暗号化されたトラフィックを受動的に受け入れるものですが、GET VPN 内の異なる種類のデバイスに設定できます。

通常、完全に展開された GET VPN では、トラフィックは双方向に暗号化されます(双方向 Security Association(SA; セキュリティ アソシエーション))。ただし、テスト中にはパッシブ モードを使用できます。パッシブ モードでは、グループ メンバーは SA をインバウンド方向でだけインストールします。これにより、グループ メンバーは、暗号化されたトラフィックを受信できますが、トラフィックの送信はクリア テキストで行います。その後、VPN をテストし、期待どおりに動作していることを確認してから、完全な暗号化をオンにできます。

GET VPN にパッシブ モードを設定するには、次の機能を使用します。

SA 受信専用モード :受信専用モードは、Group Encryption ポリシーを使用して、トポロジ内のキー サーバのセキュリティ アソシエーションに設定します。したがって、この設定はトポロジ全体に適用されます。

パッシブ SA モード :パッシブ セキュリティ アソシエーション モードは、個別のグループ メンバーに設定します。この設定は、SA 受信専用設定よりも優先されます。そのため、トポロジ全体に対して完全な暗号化をオンにして、一部のグループ メンバーをパッシブ モードのままにできます。これにより、グループ メンバーを段階的にテストして、すべてのメンバー デバイスを確認してから完全な暗号化をイネーブルにできます。


ヒント グループ メンバーにパッシブ SA モードを設定するには、Cisco IOS ソフトウェア Release 12.4(22)T+ または 15.0+、あるいは ASR では Release 2.3(12.2(33)XNC)+ が必要です。


ここでは、これらのパッシブ モード機能を使用して GET VPN に移行する場合に使用できる、エンドツーエンドの移行プロセスの例を示します。

関連項目

「Group Encrypted Transport(GET)VPN について」

「GET VPN の設定」


ステップ 1 Create VPN ウィザードを使用して、Security Manager に新しい GET VPN トポロジを作成します。ウィザードでは、次のように選択します。

デバイスを選択するときには、トポロジのキー サーバを選択します。グループ メンバーについては、移行するグループ メンバーのうち最初のセットを選択します。詳細については、「VPN トポロジのデバイスの選択」を参照してください。

グループ暗号化の設定を行うときには、[Receive Only] を選択します。これにより、トポロジ全体で SA 受信専用機能がイネーブルになります。詳細については、「GET VPN グループ暗号化の定義」を参照してください。

VPN 作成の詳細については、「VPN トポロジの作成または編集」を参照してください。

ステップ 2 VPN のすべてのデバイスに設定を展開します。これで、グループ メンバーは暗号化されたトラフィックの受信はできますが、送信はできなくなります。展開プロセスの詳細については、使用している Workflow モードに応じて次の項を参照してください。

「Workflow 以外のモードでの設定の展開」

「Workflow モードでの設定の展開」

ステップ 3 Security Manager の外部で、すべてのグループ メンバーが正常に動作していることを確認します。

たとえば、グループ メンバー デバイスでいくつかの CLI コマンドを使用して、グループ メンバーで暗号化されたパケットを送受信できるかどうかをテストできます。

グループ メンバー 1 で、次のコマンドを設定します。「groupexample」は、VPN の GDOI グループの名前です。このコマンドによって、暗号化されたテキストまたはクリア テキストを受信できるが、クリア テキストだけを送信できるようにデバイスが設定されます。

crypto gdoi gm group groupexample ipsec direction inbound only

グループ メンバー 2 で、次のコマンドを設定します。このコマンドによって、暗号化されたテキストまたはクリア テキストを受信でき、暗号化されたテキストを送信できるようにデバイスが設定されます。

crypto gdoi gm group groupexample ipsec direction inbound optional

グループ メンバー 2 からグループ メンバー 1 に ping を実行します。パケットは、グループ メンバー 2 から送信される前に暗号化されます。グループ メンバー 1 は、このパケットを受け入れて、復号化します。メンバー 1 からメンバー 2 に ping を実行した場合、ping はクリア テキストで送信されて、メンバー 2 によって受け入れられます。ACL で ping が許可されていることを確認してください。

ステップ 4 Security Manager で、[Tools] > [Site-to-Site VPN Manager] を選択します(「[Site-to-Site VPN Manager] ウィンドウ」を参照)。

GET VPN トポロジを選択して、[Group Members] を選択します。

トポロジに追加する残りのグループ メンバーを追加します([Add Group Member](+)ボタンをクリックし、デバイスを選択して、[OK] をクリックします)。

完全な暗号化をイネーブルにする前に、パッシブ モードを使用して新しいグループ メンバーをテストする場合は、グループ メンバーの設定時に [Enable Passive SA Mode] を選択します。

個別のグループ メンバーを設定するには、メンバーを選択して、[Edit Group Member](鉛筆)ボタンをクリックします。

複数のデバイスで一度にパッシブ モードをイネーブルにするには、Shift または Ctrl を押しながらクリックして複数のデバイスを選択してから、右クリックして [Edit Passive SA Mode] を選択します。その後、オプションを選択して [OK] をクリックします。

グループ メンバーの設定の詳細については、「GET VPN グループ メンバーの設定」を参照してください。

ステップ 5 設定変更を VPN のすべてのデバイスに展開します。この時点で、すべてのデバイスはパッシブ モードで動作しています。

ステップ 6 Site-to-Site VPN Manager で、GET VPN トポロジを選択して、[Group Encryption Policy] を選択します。

[Receive Only] の選択を解除します。これにより、トポロジ レベルで SA 受信専用モードがオフになります。

ステップ 7 設定変更を VPN のすべてのデバイスに展開します。テストした最初のグループ メンバーでは、GET VPN は完全暗号化モードで動作しています。パッシブ SA モードをイネーブルにして追加した新しいメンバーは、暗号化されたトラフィックを受信し、クリア テキストのトラフィックを送信しています。

ステップ 8 次の手順を使用して、新しいデバイスを確認し、パッシブ モードをオフにします。この手順は、すべての新しいデバイスに対して同時に実行することも、小さなグループに分けて段階的に実行することもできます。また、ネットワークを拡張したときに新しいグループ メンバーに対してこの手順を実行することもできます。必要に応じて次の手順を繰り返してください。

a. 最初のグループ メンバーを確認したときと同じ方法を使用して、新しいグループ メンバーが正常に動作していることを確認します。

b. グループ メンバーのセットを完全暗号化モードに移行する準備が整ったら、Site-to-Site VPN Manager で GET VPN トポロジを選択して、[Group Members] を選択します。

c. 完全な暗号化を使用する必要があるすべてのパッシブ モードのグループ メンバーを選択し、右クリックして、[Edit Passive SA Mode] を選択します。[Enable Passive SA Mode] オプションの選択を解除して、[OK] をクリックします。

d. パッシブ モードを変更したデバイスだけではなく、VPN のすべてのデバイスに設定を展開します。通常は、VPN 内のすべてのデバイスに展開する必要があります。


 

GET VPN 設定のトラブルシューティング

Security Manager を使用して GET VPN をプロビジョニングおよび展開したあとに GET VPN が動作しない場合は、次の項目をチェックします。

すべての協調キー サーバ間で RSA キーが同期されていること、つまり RSA キーが同じであることを確認します。キーの同期方法の詳細については、「RSA キーの生成と同期」を参照してください。

目的のトラフィックが暗号化されない場合は、キー サーバのセキュリティ ポリシー ACL(セキュリティ アソシエーション)に目的のトラフィックの permit ACE があることを確認します。非対称の ACE の場合(送信元アドレスと宛先アドレスが異なる場合)は、対称的な ACE(送信元アドレスと宛先アドレスを入れ替えた ACE)が存在することを確認します。詳細については、「GET VPN セキュリティ ポリシーおよびセキュリティ アソシエーションについて」を参照してください。

マルチキャストのキーの再生成を使用する場合は、ネットワーク、すべてのキー サーバ、およびほとんどのグループ メンバーでマルチキャストがイネーブルになっていることを確認します。マルチキャストは、デバイスで直接イネーブルにする必要があります。マルチキャストをイネーブルにするために必要なコマンドは、Security Manager によってプロビジョニングされません。詳細については、「キーの再生成転送メカニズムの選択」を参照してください。

マルチキャストのキーの再生成を使用する場合は、キー サーバのセキュリティ ACL にマルチキャスト グループ アドレス用の deny ACE があり、マルチキャストのキーの再生成メッセージが暗号化されないことを確認します。

グループ メンバーのローカル セキュリティ ACL には deny ACE だけがあることを確認します。暗号化するトラフィックを特定するために permit ステートメントを含めると、対応する IPsec SA がないため、一致するトラフィックは実際にはドロップされます。permit エントリがグループ メンバーにあるため、キー サーバはそのエントリを認識できず、必要な IPsec SA を生成できません。詳細については、「GET VPN セキュリティ ポリシーおよびセキュリティ アソシエーションについて」を参照してください。

証明書を使用してグループ メンバーを認可する場合は、ISAKMP 認証で証明書が使用されており、PKI ポリシーが設定されていることを確認します。グループ メンバーおよびキー サーバの ISAKMP アイデンティティは、Distinguished Name(DN; 識別名)を使用するように設定する必要があります。

通常、GET VPN が展開されるタイプの WAN 環境では、Network Address Translation(NAT; ネットワーク アドレス変換)は使用されません。ただし、NAT を使用する場合には、変換されるアドレス用の permit ステートメントがセキュリティ ポリシー ACL にあることを確認します。また、Network Address Translation-Traversal(NAT-T; ネットワーク アドレス変換通過)を使用する場合、GDOI プロトコル ポートは 4500 に変更されます。

Cisco IOS ソフトウェア Release 12.4(15)T10、12.4(22)T3、12.4(24)T2、15.0(1)M、および 12.2(33)XNE には、コントロール プレーン リプライ保護メカニズムが追加されました。このメカニズムは下位互換性がないため、ネットワーク内のいずれかの GET VPN グループ メンバーがこれらのいずれかの(またはそれ以上の)リリースを実行している場合には、すべてのキー サーバをこれらの(またはそれ以上の)リリースにアップグレードする必要があります。アップグレードしない場合は、キーの再生成に失敗してネットワークが切断される可能性があります。この場合、次のいずれかのシステム ロギング(syslog)メッセージが表示されます。

%GDOI-3-GDOI_REKEY_SEQ_FAILURE: Failed to process rekey seq # 2 in seq payload for group get-group, last seq # 6

%GDOI-3-PSEUDO_TIME_TOO_OLD: Rekey received in group get-group is too old and failed PST check: my_pst is 184 sec, peer_pst is 25 sec, allowable_skew is 10 sec


ヒント 便利な show コマンドを含む、CLI 設定の観点からの追加のトラブルシューティングのヒントについては、Cisco.com の『Cisco Group Encrypted Transport VPN』を参照してください。


関連項目

「Group Encrypted Transport(GET)VPN について」

「GET VPN の設定」