Cisco Security Manager 4.2 ユーザ ガイド
サイト間 VPN の管理:基本
サイト間 VPN の管理:基本
発行日;2012/05/08 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

サイト間 VPN の管理:基本

VPN トポロジについて

ハブアンドスポーク VPN トポロジ

ポイントツーポイント VPN トポロジ

完全メッシュ VPN トポロジ

暗黙的にサポートされるトポロジ

IPsec テクノロジーおよびポリシーについて

サイト間 VPN の必須ポリシーおよびオプションのポリシーについて

サイト間 VPN ポリシーの概要

各 IPsec テクノロジーでサポートされるデバイスについて

管理対象外デバイスまたは非シスコ デバイスの VPN への組み込み

VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定

デバイスのオーバーライドを使用した VPN ポリシーのカスタマイズ

VRF 対応 IPsec について

VRF 対応 IPsec 1 ボックス ソリューション

VRF 対応 IPsec 2 ボックス ソリューション

Catalyst スイッチおよび 7600 デバイスにおける VRF のイネーブル化およびディセーブル化

サイト間 VPN トポロジおよびポリシーへのアクセス

[Site-to-Site VPN Manager] ウィンドウ

デバイス ビューにおける VPN トポロジの設定

サイト間 VPN ディスカバリ

VPN ディスカバリでサポートされる、およびサポートされないテクノロジーとトポロジ

VPN ディスカバリの前提条件

VPN ディスカバリ ルール

サイト間 VPN の検出

検出された、複数のスポーク定義を持つ VPN の定義または修復

サイト間 VPN の再検出

VPN トポロジの作成または編集

VPN トポロジの名前および IPsec テクノロジーの定義

VPN トポロジのデバイスの選択

エンドポイントおよび保護対象ネットワークの定義

VPN インターフェイス エンドポイントの設定

ダイヤル バックアップの設定

[Dial Backup Settings] ダイアログボックス

VPNSM または VPN SPA/VSPA エンドポイントの設定

エンドポイントの保護対象ネットワークの特定

VPNSM または VPNSPA/VSPA が設定されたデバイスへのファイアウォール サービス モジュール(FWSM)インターフェイスの設定

VRF 対応 IPsec の設定

VPN トポロジにおけるハイ アベイラビリティの設定

GET VPN グループ暗号化の定義

[Add Certificate Filter] ダイアログボックス

[Add New Security Association]/[Edit Security Association] ダイアログボックス

GET VPN ピアの定義

新しい VPN トポロジへの初期ポリシー(デフォルト)の割り当て

VPN トポロジの設定の概要の表示

エクストラネット VPN の作成または編集

VPN トポロジの削除

サイト間 VPN の管理:基本

Virtual Private Network(VPN; バーチャル プライベート ネットワーク)は、インターネットなどのセキュアでないネットワーク経由で相互にプライベート データを安全に送信する、複数のリモート ピアで構成されています。サイト間 VPN は、トンネルを使用してデータ パケットを通常の IP パケット内にカプセル化し、IP ベースのネットワーク経由で転送するものです。その際、暗号化を使用してプライバシーを確保し、認証を使用してデータの整合性を確保します。

Cisco Security Manager では、サイト間 VPN は、VPN トポロジに割り当てられた IPsec ポリシーに基づいて実装されています。IPsec ポリシーとはパラメータのセットであり、これらのパラメータによって、IPsec トンネル内のトラフィックでセキュリティを確保するために使用されるセキュリティ プロトコルやアルゴリズムなど、サイト間 VPN の特性が定義されます。Security Manager は、IPsec ポリシーを、VPN トポロジ内のデバイスに展開可能な CLI コマンドに変換します。IPsec テクノロジーのタイプによっては、VPN トポロジに割り当て可能な完全な設定イメージを定義するために、複数のポリシー タイプが必要となる場合があります。

Site-to-Site VPN Manager では、Cisco IOS セキュリティ ルータ、PIX ファイアウォール、Catalyst VPN サービス モジュール、および Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)ファイアウォール デバイスにサイト間 VPN トポロジおよびポリシーが定義されて設定されます。


ヒント ASA の資料では、サイト間 VPN は LAN-to-LAN VPN と呼ばれています。これらのフレーズは等価であり、この資料では「サイト間 VPN」を使用します。

Site-to-Site VPN Manager にアクセスするには、[Manage] > [Site-To-Site VPNs] を選択するか、またはツールバーの [Site-To-Site VPN Manager] ボタンをクリックします。

また、ポリシー ビューでの共有ポリシーの設定や、デバイス ビューでのトポロジの表示および設定も可能です。ポリシー ビューでは、IPsec ポリシーを VPN トポロジに割り当てることができます。

この章の構成は、次のとおりです。

「VPN トポロジについて」

「IPsec テクノロジーおよびポリシーについて」

「サイト間 VPN トポロジおよびポリシーへのアクセス」

「サイト間 VPN ディスカバリ」

「VPN トポロジの作成または編集」

「エクストラネット VPN の作成または編集」

「VPN トポロジの削除」

VPN トポロジについて

VPN トポロジでは、その VPN に属するピアとネットワーク、およびそれらの間の接続方法が指定されます。VPN トポロジを作成したあと、割り当てられた IPsec テクノロジーに応じて、VPN トポロジに適用可能なポリシーが設定に使用できるようになります。

Security Manager では、ハブアンドスポーク、ポイントツーポイント、完全メッシュという 3 種類の主要なトポロジがサポートされており、これらを使用してサイト間 VPN を作成できます。すべてのポリシーをすべての VPN トポロジに適用できるわけではありません。適用できるポリシーは、VPN トポロジに割り当てられた IPsec テクノロジーに応じて異なります。また、VPN に割り当てられる IPsec テクノロジーは、トポロジ タイプに応じて異なります。たとえば、DMVPN および Easy VPN テクノロジーは、ハブアンドスポーク トポロジにだけ適用できます。

詳細については、「IPsec テクノロジーおよびポリシーについて」を参照してください。

ここでは、次の内容について説明します。

「ハブアンドスポーク VPN トポロジ」

「ポイントツーポイント VPN トポロジ」

「完全メッシュ VPN トポロジ」

「暗黙的にサポートされるトポロジ」

ハブアンドスポーク VPN トポロジ

ハブアンドスポーク VPN トポロジでは、複数のリモート デバイス(スポーク)が 1 つの中央のデバイス(ハブ)と安全に通信します。ハブと個別の各スポークとの間には、保護されたトンネルが個別に設定されます。

次の図に、一般的なハブアンドスポーク VPN トポロジを示します。

図 23-1 ハブアンドスポーク VPN トポロジ

 

通常、このトポロジは、サードパーティ ネットワークまたはインターネットへの永続的な接続により、企業のメイン オフィスとブランチ オフィスを接続するイントラネット VPN を表しています。ハブアンドスポーク トポロジの VPN を使用することによって、どのような場所でリモートの業務を行うか、またはその規模や数に関係なく、すべての従業員が企業ネットワークに完全にアクセスできます。

ハブは、一般的には企業のメイン オフィスに配置されます。スポーク デバイスは、一般的には企業のブランチ オフィスに配置されます。ハブアンドスポーク トポロジでは、ほとんどのトラフィックはスポーク サイトにあるホストによって開始されますが、一部のトラフィックは、セントラル サイト側で開始されてスポークに送られる場合もあります。

ハブアンドスポーク設定において何らかの理由でハブが利用できなくなると、IPsec フェールオーバーによって、すべてのスポークが使用するフェールオーバー(バックアップ)ハブにトンネル接続がシームレスに転送されます。1 台のプライマリ ハブに対して、複数のフェールオーバー ハブを設定できます。

ハブアンドスポーク VPN トポロジでは、GET VPN 以外のすべての IPsec テクノロジー タイプを割り当てることができます。

関連項目

「IPsec テクノロジーおよびポリシーについて」

「暗黙的にサポートされるトポロジ」

「VPN トポロジの作成または編集」

「IKE および IPsec ポリシーの設定」

ポイントツーポイント VPN トポロジ

ポイントツーポイント VPN トポロジでは、2 つのデバイスが相互に直接通信します。ハブアンドスポーク設定の場合のような IPsec フェールオーバーのオプションはありません。ポイントツーポイント VPN トポロジを確立するためには、ピア デバイスとして 2 つのエンドポイントを指定します。これら 2 つのデバイスのどちらからでも接続を開始できるため、IPsec テクノロジー タイプとして通常の IPsec または IPsec/GRE のみを割り当てることができます。

Security Manager では、エクストラネットと呼ばれる、通常の IPsec ポイントツーポイント VPN の特殊タイプを設定できます。エクストラネット VPN は、管理対象ネットワーク内のデバイスと管理対象外デバイスの間の接続です。管理対象外デバイスは、サービス プロバイダーのネットワーク内のルータ、シスコ製以外のデバイス、または単に別のグループで管理される、ご使用のネットワーク内のデバイス(つまり、Security Manager インベントリには現れないデバイス)などです。

次の図に、一般的なポイントツーポイント VPN トポロジを示します。

図 23-2 ポイントツーポイント VPN トポロジ

 

関連項目

「IPsec テクノロジーおよびポリシーについて」

「暗黙的にサポートされるトポロジ」

「VPN トポロジの作成または編集」

「エクストラネット VPN の作成または編集」

「IKE および IPsec ポリシーの設定」

完全メッシュ VPN トポロジ

完全メッシュ トポロジは、すべてのピアが相互に通信する必要があるような複雑なネットワークに適しています。このトポロジ タイプでは、ネットワーク内のすべてのデバイスが固有の IPsec トンネルを経由して他のすべてのデバイスと通信します。すべてのデバイスが相互に直接のピア関係を持っているため、VPN ゲートウェイ デバイスでボトルネックが発生せず、デバイスにおける暗号化および復号化のオーバーヘッドを低減できます。

完全メッシュ VPN トポロジには、通常の IPsec、IPsec/GRE、および GET VPN テクノロジーだけを割り当てることができます。

次の図に、一般的な完全メッシュ VPN トポロジを示します。

図 23-3 完全メッシュ VPN トポロジ

 

完全メッシュ ネットワークは信頼性が高く、冗長性を備えています。GRE テクノロジーが割り当てられている場合は、1 つのデバイス(またはノード)が動作できなくなっても、他のすべてのデバイスは引き続き、直接または 1 つ以上の中間ノード経由で、相互に通信できます。通常の IPsec では、1 つのデバイスが動作できなくなった場合、保護対象のネットワークを指定するクリプト Access Control List(ACL; アクセス コントロール リスト)が 2 つのピアごとに作成されます。

GET VPN は、グループ トラスト モデルに基づいています。このモデルでは、グループ メンバーはキー サーバに登録されます。キー サーバは、Group Domain of Interpretation(GDOI)プロトコルを使用して、セキュリティ ポリシー、およびグループ メンバー間のトラフィックを暗号化するためのキーを配布します。プライマリ キー サーバと、プライマリ サーバとポリシーを同期するセカンダリ キー サーバを設定できるため、プライマリ キー サーバが利用できなくなった場合にはセカンダリ キー サーバが処理を引き継ぐことができます。


) 完全メッシュ トポロジ内のノード数が増加すると、スケーラビリティが問題となる可能性があります。つまり、デバイスが適度な CPU 使用率でサポートできるトンネル数が、制限要因となる可能性があります。


関連項目

「IPsec テクノロジーおよびポリシーについて」

「暗黙的にサポートされるトポロジ」

「VPN トポロジの作成または編集」

「IKE および IPsec ポリシーの設定」

暗黙的にサポートされるトポロジ

3 つの主要な VPN トポロジに加えて、これらのトポロジを組み合わせた他のより複雑なトポロジを作成することもできます。次の方法があります。

部分メッシュ:このネットワークでは、一部のデバイスは完全メッシュ トポロジに編成され、その他のデバイスは、完全メッシュ構成のデバイスのうちのいくつかとのハブアンドスポーク接続またはポイントツーポイント接続を形成します。部分メッシュには、完全メッシュ トポロジほどの冗長性はありませんが、導入コストがより低くなります。部分メッシュ トポロジは、通常、完全メッシュ構成のバックボーンに接続する境界ネットワークで使用されます。

階層型ハブアンドスポーク:このネットワークでは、あるデバイスが、1 つ以上のトポロジでハブとして動作し、他のトポロジではスパイクとして動作できます。スポーク グループからそれらの直近のハブへのトラフィックが許可されます。

結合ハブアンドスポーク:接続して 1 つのポイントツーポイント トンネルを形成する、2 つのトポロジ(ハブアンドスポーク、ポイントツーポイント、または完全メッシュ)の組み合わせです。たとえば、2 つのハブアンドスポーク トポロジから構成され、それぞれのハブがポイントツーポイント トポロジのピア デバイスとして動作する結合ハブアンドスポーク トポロジを作成できます。

関連項目

「VPN トポロジの作成または編集」

「ハブアンドスポーク VPN トポロジ」

「ポイントツーポイント VPN トポロジ」

「完全メッシュ VPN トポロジ」

IPsec テクノロジーおよびポリシーについて

Security Manager には、サイト間 VPN トポロジのデバイスに設定できる 7 種類の IPsec テクノロジーが用意されています。それらは、通常の IPsec、IPsec/GRE、GRE ダイナミック IP、標準 DMVPN、大規模 DMVPN、Easy VPN、および GET VPN です。割り当てられたテクノロジーに応じて、VPN に対して設定できるポリシーが決まります。

VPN トポロジの作成時に VPN トポロジに IPsec テクノロジーを割り当てることができます。VPN トポロジに IPsec テクノロジーを割り当てたあとは、テクノロジーを変更できません。変更する場合は、いったん VPN トポロジを削除してから新たなトポロジを作成する必要があります。「VPN トポロジの名前および IPsec テクノロジーの定義」を参照してください。

ここでは、IPsec テクノロジーおよびサイト間 VPN ポリシーのいくつかの基本的な概念について説明します。

「サイト間 VPN の必須ポリシーおよびオプションのポリシーについて」

「サイト間 VPN ポリシーの概要」

「各 IPsec テクノロジーでサポートされるデバイスについて」

「管理対象外デバイスまたは非シスコ デバイスの VPN への組み込み」

「VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定」

「デバイスのオーバーライドを使用した VPN ポリシーのカスタマイズ」

「VRF 対応 IPsec について」

サイト間 VPN の必須ポリシーおよびオプションのポリシーについて

一部のサイト間 VPN ポリシーは必須です。つまり、VPN トポロジを作成したり、ポリシー編集時に変更内容を保存したりする場合には、これらのポリシーを設定する必要があります。ほとんどの必須ポリシーには定義済みのデフォルトが用意されています。このデフォルトを使用して VPN トポロジを定義することもできますが、通常はこれらのポリシーを編集して、ご使用のネットワークに適した設定にする必要があります。

オプションのポリシーは、それらのポリシーによって定義されるサービスを必要とする場合にだけ設定する必要があり、デフォルトは用意されていません。


ヒント 必要な設定を指定した共有ポリシーを作成し、VPN 作成時にこれらの共有ポリシーを選択することによって、独自の必須ポリシーのデフォルトを設定できます。共有ポリシーを Create VPN ウィザードのデフォルトとすることもできます。ただし、これらのデフォルト ポリシーはエクストラネット VPN の作成時には適用されません。エクストラネット VPN を使用する場合、常に通常のウィザード フローの一部として必須ポリシーの設定値を設定する必要があります。さらに、IKEv2 認証のデフォルト ポリシーは作成できません。詳細については、「VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定」を参照してください。

一部の必須ポリシーは、特定の条件の下でだけ必須となります。たとえば、IKEv1 Preshared Key ポリシーは、デフォルトの(必須)IKEv1 プロポーザルで事前共有キー認証を使用する場合にだけ必須となります。選択された IKE 認証方式が証明書(RSA の署名)である場合は、IKEv1 Public Key Infrastructure ポリシーが必須となります(「使用する認証方式の決定」を参照)。トポロジで IKEv2 ネゴシエーションを許可する場合、IKEv2 Authentication ポリシーは必須です。

次の表に、サイト間 VPN トポロジ内のデバイスに割り当て可能な各定義済みテクノロジーの、必須ポリシーおよびオプションのポリシーを示します。

 

表 23-1 サイト間 VPN IPsec テクノロジーおよびポリシー

テクノロジー
必須ポリシー
オプションのポリシー

通常の IPsec

「サイト間 VPN の IPsec プロポーザルについて」を参照してください。

IKE Proposal

IPsec Proposal

IKEv1 を許可する場合、IKEv1 Preshared Key または IKEv1 Public Key Infrastructure のいずれか

IKEv2 を許可する場合、IKEv2 Authentication

VPN Global Settings

IPsec/Generic Routing Encapsulation(GRE)

「GRE について」を参照してください。

IKE Proposal

IPsec Proposal

IKEv1 Preshared Key または IKEv1 Public Key Infrastructure のいずれか

GRE モード

VPN Global Settings

GRE ダイナミック IP

「動的にアドレス指定されるスポークの GRE 設定について」を参照してください。

IKE Proposal

IPsec Proposal

IKEv1 Preshared Key または IKEv1 Public Key Infrastructure のいずれか

GRE モード

VPN Global Settings

ダイナミック マルチポイント VPN(DMVPN)

「DMVPN について」を参照してください。

IKE Proposal

IPsec Proposal

IKEv1 Preshared Key または IKEv1 Public Key Infrastructure のいずれか

GRE モード

VPN Global Settings

大規模 DMVPN

「大規模 DMVPN の設定」を参照してください。

IKE Proposal

IPsec Proposal

IKEv1 Preshared Key または IKEv1 Public Key Infrastructure のいずれか

GRE モード

Server Load Balance

VPN Global Settings

Easy VPN

「Easy VPN について」を参照してください。

IKE Proposal

Easy VPN IPsec Proposal

Client Connection Characteristics

いずれかのサーバが IOS または PIX 6.3 デバイスである場合、User Group

いずれかのサーバが ASA または PIX 7.0+ デバイスである場合、Connection Profiles

IKEv1 Public Key Infrastructure(証明書を使用している場合は必須)

VPN Global Settings

GET VPN

「Group Encrypted Transport(GET)VPN について」を参照してください。

Group Encryption

IKE Proposal for GET VPN

IKEv1 Preshared Key または IKEv1 Public Key Infrastructure のいずれか

Global Settings for GET VPN

関連項目

「VPN トポロジの作成または編集」

「各 IPsec テクノロジーでサポートされるデバイスについて」

「VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定」

「VPN トポロジについて」

「IKE および IPsec ポリシーの設定」

「ポリシーについて」

サイト間 VPN ポリシーの概要

サイト間 VPN ポリシーにアクセスするには、[Manage] > [Site-To-Site VPNs] を選択するか、またはツールバーの [Site-To-Site VPN Manager] ボタンをクリックして、[Site-to-Site VPN] ウィンドウのポリシー セレクタで必要なポリシーを選択します。また、デバイス ビューまたはポリシー ビューからサイト間 VPN ポリシーにアクセスすることもできます。詳細については、「サイト間 VPN トポロジおよびポリシーへのアクセス」を参照してください。

次に、すべてのサイト間 VPN ポリシーの要約を示します。このなかには、共有ポリシーとして作成できないポリシーもあります。一部のポリシーは、リモート アクセスとサイト間 VPN の両方で使用されるため、リモート アクセス VPN を説明するセクションに記載されていることに注意してください。ただし、これらのポリシーは、それぞれのタイプの VPN 用に別の設定する必要があります。

Client Connection Characteristics。「Easy VPN のクライアント接続特性の設定」を参照してください。

Connection Profiles。「[Connection Profiles] ページ」を参照してください。

Easy VPN IPsec Proposal。「Easy VPN での IPsec プロポーザルの設定」を参照してください。

GRE Modes。「[GRE Modes] ページについて」を参照してください。

Group Encryption Policy。「GET VPN グループ暗号化の定義」を参照してください。

Group Members。「GET VPN グループ メンバーの設定」を参照してください。

IKE Proposal。「IKE プロポーザルの設定」を参照してください。

IKE Proposal for GET VPN。「GET VPN の IKE プロポーザルの設定」を参照してください。

IKEv2 Authentication。「サイト間 VPN での IKEv2 認証の設定」を参照してください。

IPsec Proposal。「サイト間 VPN での IPsec プロポーザルの設定」を参照してください。

Key Servers。「GET VPN キー サーバの設定」を参照してください。

Peers。「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

IKEv1 Preshared Key。「IKEv1 事前共有キー ポリシーの設定」を参照してください。

IKEv1 Public Key Infrastructure。「サイト間 VPN での IKEv1 公開キー インフラストラクチャ ポリシーの設定」を参照してください。

Server Load Balance。「大規模 DMVPN でのサーバ ロード バランシングの設定」を参照してください。

User Group Policy。「Easy VPN における User Group ポリシーの設定」を参照してください。

VPN Global Settings。「VPN グローバル設定」を参照してください。

Global Settings for GET VPN。「GET VPN のグローバル設定」を参照してください。

各 IPsec テクノロジーでサポートされるデバイスについて

各 IPsec テクノロジーでは、異なるデバイスがトポロジのメンバーとしてサポートされます。次の表に、基本的なデバイスのサポートについて示します。これらの要件は、VPN のデバイスを選択する場合に適用されます。場合によっては、デバイス リストは、サポートされているデバイスだけを表示するようフィルタリングされています。また、デバイスは、1 つのロール(スポークなど)としてはサポートされているが、他のロールとしてはサポートされていないことがあります。このような場合は、誤ったデバイス タイプを選択する可能性がありますが、変更内容を保存できないようになっています(メッセージが表示され、具体的な問題の説明が示されます)。


ヒント デバイス モデルによっては、VPN 設定をサポートしていない NO-VPN バージョンがあります。したがって、あるタイプの VPN で 3845 モデルがサポートされていても、3845 NOVPN モデルはサポートされません。また、Cisco Catalyst 6500 シリーズの ASA サービス モジュール(ソフトウェア リリース 8.5(x) を実行)では、どのタイプの VPN もサポートされません。

 

表 23-2 各 IPsec テクノロジーでサポートされるデバイス

テクノロジー
サポートされるプラットフォーム

通常の IPsec

「IKE および IPsec ポリシーの設定」を参照してください。

通常の IPsec ポリシーは、Cisco IOS セキュリティ ルータ(Aggregation Service Router(ASR; アグリゲーション サービス ルータ)を含む)、PIX ファイアウォール、および ASA 5500 シリーズ デバイスに設定できます。エクストラネット VPN の場合を除き、Catalyst VPN サービス モジュールもサポートされます。

IKEv2 は、ASA リリース 8.4(x) でのみサポートされます。トポロジを IKEv2 のみに制限する場合、すべてのデバイスが IKEv2 をサポートする必要があります。IKEv1 と IKEv2 の両方を許可する場合、IKEv2 をサポートしないデバイスは自動的に IKEv1 を使用します。

IPsec/GRE(Generic Routing Encapsulation)。

「GRE について」を参照してください。

GRE ポリシーは、Cisco IOS セキュリティ ルータ(ASR を含む)および Catalyst 6500/7600 デバイスに設定できます。

GRE ダイナミック IP。

「動的にアドレス指定されるスポークの GRE 設定について」を参照してください。

GRE ダイナミック IP は、Cisco IOS セキュリティ ルータ(ASR を含む)および Catalyst 6500/7600 デバイスに設定できます。

Dynamic Multipoint VPN(DMVPN; ダイナミック マルチポイント VPN)、大規模 DMVPN。

「ダイナミック マルチポイント VPN(DMVPN)」および「大規模 DMVPN の設定」を参照してください。

DMVPN 設定は、Cisco IOS 12.3T 以降のデバイス、および Cisco IOS XE ソフトウェア 2.x 以降(Security Manager では 12.2(33)XNA+ と呼ばれる)を実行している ASR でサポートされます。大規模 DMVPN 設定は、IPsec ターミネータとして Catalyst 6500/7600 デバイスもサポートします。

スポーク間で DMVPN フェーズ 3 接続を使用するには、デバイスは IOS ソフトウェア リリース 12.4(6)T 以降を実行している必要があります。ASR は IOS XE ソフトウェア リリース 2.4(12.2(33)XND と呼ばれる)以降を実行している必要があります。

Easy VPN。

「Easy VPN」を参照してください。

Easy VPN サーバは、Cisco IOS セキュリティ ルータ(ASR を含む)、Catalyst 6500/7600(サポートされる VPN サービス モジュールまたはポート アダプタを使用)、PIX ファイアウォール、または ASA 5500 シリーズ デバイスです。

Easy VPN クライアントは、PIX 6.3 を実行する PIX 501、506、506E Firewall、Cisco 800 ~ 3900 シリーズ ルータ、および OS バージョン 7.2 以降を実行する ASA 5505 デバイスでサポートされます。

GET VPN。

「Group Encrypted Transport(GET)VPN」を参照してください。

キー サーバは、次のデバイスに設定できます。

Cisco IOS ソフトウェア Release 12.4(15)T 以降を実行する Cisco 1800、2800、3800 シリーズ ISR、Cisco 7200 シリーズ ルータ、および Cisco 7301 ルータ

Release 15.0 以降を実行する Cisco 1900、2900、3900 シリーズ ISR

グループ メンバーは、Cisco 1800、1900、2800、2900、3800、3900 シリーズ ISR、Cisco 7200 シリーズ ルータ、および Cisco 7301 ルータに設定できます。必要最小限のソフトウェア リリース要件は同じです。展開された GET VPN の IPsec SA の数が非常に少ない場合(1 ~ 3 の場合)は、Cisco 871 ISR もグループ メンバーとして使用できます。さらに、Cisco IOS XE ソフトウェア リリース 2.3(12.2(33)XNC)以降を使用する Cisco ASR ルータもグループ メンバーとして設定できます。

関連項目

「VPN トポロジの作成または編集」

「サイト間 VPN の必須ポリシーおよびオプションのポリシーについて」

「管理対象外デバイスまたは非シスコ デバイスの VPN への組み込み」

「VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定」

「VPN トポロジについて」

「IKE および IPsec ポリシーの設定」

「ポリシーについて」

管理対象外デバイスまたは非シスコ デバイスの VPN への組み込み

VPN には、Security Manager で管理できないデバイスや、Security Manager では管理しないデバイスが含まれることがあります。これらのデバイスは、次のとおりです。

Security Manager ではサポートされているが、ユーザの組織が担当していないシスコ デバイス。たとえば、VPN に、社内の他の組織が管理するネットワーク内のスポークや、サービス プロバイダーやパートナーのネットワークへの接続が含まれている場合があります。

シスコ製以外のデバイス。Security Manager を使用して、シスコ製以外のデバイスに対する設定を作成したり、展開したりすることはできません。

これらの種類のデバイスを処理する方法は 2 つあります。

接続が通常の IPsec ポイントツーポイント接続である場合、「エクストラネット VPN の作成または編集」で説明されているように、エクストラネット VPN として接続を設定できます。

その他のタイプの接続の場合、これらのデバイスを「管理対象外」デバイスとして Security Manager インベントリに組み込むことができます。これらのデバイスは、VPN トポロジ内でエンドポイントとして機能できますが、Security Manager でデバイスから設定を検出したり、デバイスに設定を展開したりすることはできません。

エクストラネット VPN オプションが機能しない場合、管理対象外デバイスを VPN トポロジに追加する前に以下を実行する必要があります。

「手動定義によるデバイスの追加」の手順に従って、デバイス インベントリに管理対象外デバイスとして手動でデバイスを追加します。次の項目を選択する必要があります。

VPN でサポートされているテクノロジーという観点から、追加するデバイスに対応するシスコ デバイス タイプを選択します。デバイス タイプによって、デバイスを追加できる VPN トポロジのタイプが決まります。たとえば、GRE や DMVPN では、1800 シリーズや 2800 シリーズなどのサービス統合型ルータを選択できます。Easy VPN では、必要に応じて ASA デバイスや PIX デバイスも選択できます。

[Manage in Cisco Security Manager] オプションの選択を解除します。デフォルトではすべての新規デバイスが管理対象デバイスとなるため、この操作は重要です。デバイスの追加時にこの操作を行わなかった場合には、あとで [Device Properties] の [General] タブ(デバイスを右クリックして、[Device Properties] を選択)でこのオプションの選択を解除できます。

デバイスのインターフェイス ポリシーを使用して、管理対象デバイスが指す外部 VPN インターフェイスを定義します。デバイスは管理対象外であるため、このポリシーに定義した内容はデバイスに設定されることはありません。単に、Security Manager の外部でデバイスに設定した内容を示すための定義です。

関連項目

「各 IPsec テクノロジーでサポートされるデバイスについて」

「VPN トポロジのデバイスの選択」

「VPN トポロジの作成または編集」

VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定

Security Manager では、ほとんどの必須 VPN ポリシーに対してポリシーの「出荷時のデフォルト」設定が用意されています。これらのデフォルトは汎用的な内容になっており、ご使用のネットワークに対して適切でない可能性がありますが、デフォルトを使用することによって、必要な共有ポリシーが設定されていない場合に、毎回入力し直すことなく VPN を作成できるという利点があります。このため、必須ポリシーには、独自のデフォルト VPN ポリシーを作成する必要があります。また、特定のオプションのポリシーに対してデフォルトを作成することもできます。

新しいデフォルトを設定する前に、設定する予定の VPN のタイプを検討し、デフォルトを作成できるポリシーのタイプを確認します。[Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [VPN Policy Defaults] を選択します。目的の IPsec テクノロジーのタブを選択して、どのようなポリシーを利用できるかを確認します。ポリシーに出荷時のデフォルトが割り当てられている場合、またはオプションがドロップダウン リストから選択可能な場合、そのポリシーは必須です。その他のポリシーはオプションです。リモート アクセス VPN およびサイト間のエンドポイント設定用のデフォルト ポリシーを作成することもできます。選択したポリシーの横にある [View Content] ボタンをクリックして、ポリシー定義を確認します。

次の手順では、VPN ポリシーのデフォルトを作成する方法および使用する方法について説明します。

ヒント

VPN デフォルト ポリシーを設定すると、共有ポリシーを選択することになります。IPsec テクノロジーに従い、ポリシーごとに設定できるデフォルトは 1 つだけですが、ユーザは VPN の設定時にさまざまな共有ポリシーを選択できます。したがって、ユーザが選択できる複数の共有ポリシーを設定し、そのうち最も一般的に使用されるポリシーをデフォルト ポリシーとして設定できます。VPN 設定時にユーザがどのようにさまざまなポリシーを選択できるかの詳細については、「新しい VPN トポロジへの初期ポリシー(デフォルト)の割り当て」を参照してください。

IKEv2 Authentication ポリシーは IKEv2 ネゴシエーションを許可するトポロジの場合は必須ポリシーですが、IKEv2 Authentication の出荷時のデフォルト設定は存在せず、IKEv2 Authentication 共有ポリシーを作成できません。したがって、トポロジで IKEv2 を許可する場合は必ず、トポロジが有効になる前に IKEv2 Authentication ポリシーを手動で設定する必要があります。

証明書認証を使用するように IKE Proposal ポリシーを設定する場合、IKEv1 に対して Public Key Infrastructure ポリシーが必須です。ただし、このポリシーに対する出荷時のデフォルト設定は存在しないため、IKEv1 で証明書認証を使用する場合は、デフォルトの Public Key Infrastructure ポリシーを作成することを考慮してください。

共有ポリシーを変更すると、そのポリシーを使用しているすべての VPN に影響があることに注意してください。このため、共有ポリシーは、すべての VPN に必要な全社的変更を導入する場合に便利です。ただし、VPN を作成したあと、ユーザは共有ポリシーからローカル ポリシーに切り替えることができます。この場合は、VPN トポロジに対して個別に設定を変更する必要があります。共有ポリシーの詳細については、「ポリシー ビューにおける共有ポリシーの管理」を参照してください。

これらのデフォルト ポリシーは、エクストラネット VPN の作成時には適用されません。エクストラネット VPN を使用する場合、通常のウィザード フローの一部として必須ポリシーの設定値を必ず設定する必要があります。


ステップ 1 デフォルト ポリシーを作成します。すべてのデフォルト ポリシーは、共有ポリシーです。

a. ポリシー ビュー([View] > [Policy View] を選択)で、デフォルトを設定するポリシーを選択します。ポリシーは、[Site-to-Site VPN] フォルダまたは [Remote Access VPN] フォルダにあります。

b. 共有ポリシー セレクタの下部にある [Create a Policy](+)ボタンをクリックし、ポリシーの名前を入力して、[OK] をクリックします。

c. 必要な設定を行います。選択したポリシーで利用可能な設定についての情報を参照するには、ツールバーの [Help](?)ボタンをクリックします。

d. このプロセスを繰り返して、デフォルト ポリシーを定義する各ポリシーに対して少なくとも 1 つの共有ポリシーを作成します。

ステップ 2 必要に応じて、VPN エンドポイントのデフォルトを作成します。これらのデフォルトは、VPN 接続に使用されるインターフェイス名(GigabitEthernet0/1 など)を識別する、インターフェイス ロール オブジェクトです。内部および外部 VPN インターフェイスには、それぞれ別個のロールを作成します。

a. [Manage] > [Policy Objects] を選択して、「[Policy Object Manager] ウィンドウ」を開きます。

b. コンテンツ テーブルから [Interface Roles] を選択します。

c. [New Object](+)ボタンをクリックし、ネットワーク内の内部または外部 VPN インターフェイスで最も一般的に使用されるインターフェイスを識別するインターフェイス名のパターンを入力して、[OK] をクリックします。

インターフェイス ロール、およびそれらの設定時に使用するワイルドカードの詳細については、「インターフェイス ロール オブジェクトについて」および「インターフェイス ロール オブジェクトの作成」を参照してください。

ステップ 3 ポリシーおよびポリシー オブジェクトをデータベースに送信します。すべての検証エラーを解決する必要があります。

Workflow 以外のモードで、[File] > [Submit] を選択します。

アクティビティ アプルーバのいない Workflow モードの場合は、[Activities] > [Approve Activity] を選択します。

アクティビティ アプルーバのいる Workflow モードの場合は、[Activities] > [Submit Activity] を選択します。アクティビティが承認されるまでは、ポリシーおよびオブジェクトをデフォルトとして選択できません。

ステップ 4 新しく設定したポリシーおよびポリシー オブジェクトを VPN ポリシーのデフォルトとして選択します。

a. [Tools] > [Security Manager Administration] を選択し、コンテンツ テーブルから [VPN Policy Defaults] を選択します(「[VPN Policy Defaults] ページ」を参照)。

b. 適切なタブを選択して、デフォルトを設定した必須またはオプションのポリシーそれぞれのドロップダウン リストから、設定したポリシーを選択します。

[S2S Endpoints] タブで、適切なインターフェイス ロール オブジェクトを選択します。

c. [Save] をクリックして、デフォルトを保存します。

次回ユーザが Create VPN ウィザードを実行すると、選択したデフォルトがウィザードのデフォルトとして使用されます。ユーザは、他の任意の共有ポリシーまたはインターフェイス ロールを選択して、デフォルトを上書きできます。


 

デバイスのオーバーライドを使用した VPN ポリシーのカスタマイズ

多くの VPN ポリシーでは、設定で Security Manager ポリシー オブジェクトが使用されます。ポリシー オブジェクトとは、再利用可能な設定を作成できるコンテナを指します。

VPN ポリシーは VPN トポロジ内のすべてのデバイスに適用されるため、VPN トポロジ内の特定のデバイスのポリシーで使用されるポリシー オブジェクトを変更する必要がある場合があります。場合によっては、トポロジ内のすべてのデバイスを変更する必要があることもあります。このような変更は、ポリシー オブジェクトに対するデバイスレベルのオーバーライドを使用して行います。

たとえば、PKI ポリシーを定義する場合は、PKI 登録オブジェクトを選択する必要があります。VPN のハブでスポークとは異なる CA サーバが使用されている場合は、デバイスレベルのオーバーライドを使用して、ハブで使用されている CA サーバを指定する必要があります。PKI ポリシーでは単一の PKI 登録オブジェクトが参照されますが、ハブの場合、定義するデバイスレベルのオーバーライドに基づいて、このオブジェクトで表される実際の CA サーバが異なるものとなります。

ポリシー オブジェクトのオーバーライドをイネーブルにするには、ポリシー オブジェクト定義で [Allow Override per Device] オプションを選択する必要があります。その後、デバイスレベルのオーバーライドを作成できます。デバイス レベルでの VPN ポリシー オブジェクトのオーバーライドの詳細については、次の項を参照してください。

「個々のデバイスのポリシー オブジェクト オーバーライドについて」

「ポリシー オブジェクトの上書きの許可」

「単一デバイスのオブジェクト オーバーライドの作成または編集」

「複数デバイスのオブジェクト オーバーライドの一括での作成または編集」

VRF 対応 IPsec について

ピアツーピア VPN を展開する場合、ルーティング テーブルの分離、および重複したアドレスの使用が障害となります。アドレスの重複は、通常、お客様のネットワークのプライベート IP アドレスを使用することが原因で起こります。この問題は、Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)VPN への IPsec トンネルのマッピングを導入する VRF 対応 IPsec 機能を使用することで解決できます。

VRF 対応 IPsec 機能を使用することによって、単一のパブリック向けアドレスを使用して、IPsec トンネルを Virtual Routing and Forwarding(VRF)インスタンスにマッピングできます。VRF インスタンスでは、Provider Edge(PE; プロバイダー エッジ)ルータに接続されたカスタマー サイトの VPN メンバーシップが定義されます。VRF は、IP ルーティング テーブル、派生 Cisco Express Forwarding(CEF; シスコ エクスプレス フォワーディング)テーブル、転送テーブルを使用するインターフェイスのセット、ルーティング テーブルに含まれる情報を制御するルールおよびルーティング プロトコル パラメータのセットで構成されています。ルーティング テーブルおよび CEF テーブルのセットは、MPLS/VPN ネットワーク全体で VPN カスタマーごとに保持されます。

各 VPN は、ルータに独自のルーティング テーブルおよび転送テーブルを持っているため、VPN に属するすべての顧客またはサイトは、そのテーブルに含まれているルートのセットにだけアクセスできます。すべての PE ルータには、VPN ごとに数多くのルーティング テーブルと、プロバイダー ネットワーク内の他のルータに到達するのに使用できる 1 つのグローバル ルーティング テーブルが保持されています。事実上、数多くの仮想ルータが単一の物理ルータに作成されます。MPLS コアから他の PE ルータへのルート全体にわたり、Route Distinguisher(RD; ルート識別子)などの一意の VPN 識別子を追加することによって、このルーティングの分離は維持されます。


) VRF 対応 IPsec は、リモート アクセス VPN のデバイスにも設定できます。詳細については、「リモート アクセス VPN(IOS デバイス)での Dynamic VTI/VRF Aware IPsec の設定」を参照してください。


Security Manager では、ハブアンドスポーク VPN トポロジに VRF 対応 IPsec を設定できます。この場合、すべての機能を提供する単一のデバイスを使用することも(「1 ボックス」ソリューション)、それぞれが機能の一部を提供する複数のデバイスを使用することもできます(「2 ボックス」ソリューション)。1 つのデバイスですべての機能を提供するソリューションは、システムに過負荷がかかり、パフォーマンスに悪影響がある可能性があります。一方、2 ボックス ソリューションで機能を分離すると、各機能のスケーラビリティを高めることができます。

ここでは、次の内容について説明します。

「VRF 対応 IPsec 1 ボックス ソリューション」

「VRF 対応 IPsec 2 ボックス ソリューション」

「Catalyst スイッチおよび 7600 デバイスにおける VRF のイネーブル化およびディセーブル化」

VRF 対応 IPsec の設定の詳細については、「VRF 対応 IPsec の設定」を参照してください。

VRF 対応 IPsec 1 ボックス ソリューション

1 ボックス ソリューションでは、IPsec トンネルの終端が Cisco IOS ルータとなり、このルータが Provider Edge(PE; プロバイダー エッジ)デバイスとして機能します。PE デバイスは、これらのトンネルを適切な MPLS/VPN ネットワークにマッピングし、Customer Edge(CE; カスタマー エッジ)デバイスとの間で IPsec 暗号化および復号化を実行することによって IPsec Aggregator として機能します。


) PE デバイスと MPLS クラウドとの間のルーティングの設定は、Cisco IP Solution Center によって行われます。『Cisco IP Solution Center MPLS VPN User Guide』を参照してください。


次の図に、1 ボックス ソリューションのトポロジを示します。

図 23-4 VRF 対応 IPsec 1 ボックス ソリューション

 

関連項目

「VRF 対応 IPsec について」

「VRF 対応 IPsec の設定」

「エンドポイントおよび保護対象ネットワークの定義」

VRF 対応 IPsec 2 ボックス ソリューション

2 ボックス ソリューションでは、PE デバイスは MPLS マッピングだけを行います。CE との間の IPsec 暗号化および復号化は、別の IPsec Aggregator によって行われます。


) Security Manager は、PE デバイスへのルーティングも含め、IPsec Aggregator を完全に管理します。PE デバイスは、Cisco IP Solution Center によって完全に管理されます。これには、PE デバイスと MPLS クラウドとの間のルーティングや、PE から IPsec Aggregator へのルーティングが含まれます。詳細については、『Cisco IP Solution Center MPLS VPN User Guide』を参照してください。


次の図に、2 ボックス ソリューションのトポロジを示します。

図 23-5 VRF 対応 IPsec 2 ボックス ソリューション

 

2 ボックス ソリューションを使用して、次のように VPN トポロジのデバイスに VRF 対応 IPsec を設定します。

1. IPsec Aggregator と PE デバイスとの間の接続を設定します。

ハブアンドスポーク VPN トポロジを作成して、それに IPsec テクノロジーを割り当てます。このトポロジでは、ハブは IPsec Aggregator です。スポークは、Cisco IOS ルータ、PIX ファイアウォール、Catalyst VPN サービス モジュール、または Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)デバイスです。IPsec Aggregator は、セキュリティ ルータまたは Catalyst VPN サービス モジュールです。次に、ハブに VRF パラメータ(VRF 名および一意のルート識別子)を定義します。


) VRF 対応 IPsec では、Cisco IOS ルータおよび Catalyst VPN サービス モジュールへの IPsec、GRE、または Easy VPN テクノロジーの設定がサポートされています。DMVPN は、Cisco IOS ルータでだけサポートされています。


2. IPsec Aggregator と PE デバイスとの間の VRF 転送インターフェイス(または Catalyst VPN サービス モジュールの VLAN)を指定します。

3. IPsec Aggregator と PE との間で使用するルーティング プロトコルおよび Autonomous System(AS; 自律システム)番号を定義します。使用可能なルーティング プロトコルには、BGP、EIGRP、OSPF、RIPv2、スタティック ルートがあります。

IPsec Aggregator と PE との間に定義されたルーティング プロトコルが、保護された IGP で使用されるルーティング プロトコルと異なる場合、ルーティングはこのルーティング プロトコルと AS 番号を使用して保護された IGP に再配布されます。ルーティングは、保護された IGP から PE にも再配布されます。


) ルーティングの再配布は、選択されたテクノロジーが IPsec/GRE または DMVPN の場合にだけ関連します。


関連項目

「VRF 対応 IPsec について」

「VRF 対応 IPsec の設定」

「エンドポイントおよび保護対象ネットワークの定義」

Catalyst スイッチおよび 7600 デバイスにおける VRF のイネーブル化およびディセーブル化

既存のサイト間 VPN の Catalyst スイッチおよび 7600 ハブで Virtual Routing and Forwarding(VRF)モードを変更すると、展開に失敗します。たとえば、最初に Create VPN ウィザードで VRF を設定して展開したあと、Peers ポリシーに戻って [Enable VRF Settings] チェックボックスの選択を解除すると、展開に失敗します(この設定は [Edit Endpoints] ダイアログボックスの [VRF Aware IPSec] タブにあります。「VRF 対応 IPsec の設定」を参照してください)。同様に、最初に VRF を設定していない VPN で VRF のイネーブル化を試みても、展開に失敗します。

Catalyst 6500/7600 では、VPN の動作中には VRF モードを変更できません。この制限は、Catalyst 6500/7600 ハブに対してだけ適用されます。他のデバイス タイプには適用されません。

この制限は、VRF 設定自体に加えられる変更には適用されません。たとえば、VPN トポロジに VRF が設定されている場合、Peers ポリシーに戻って VRF 名やルート識別子を変更することができます。

VPN の VRF モードを変更する必要がある場合に、Catalyst 6500/7600 デバイスをハブとして使用しているときは、次の手順を実行します。

関連項目

「VRF 対応 IPsec について」

「VRF 対応 IPsec 1 ボックス ソリューション」

「VRF 対応 IPsec 2 ボックス ソリューション」


ステップ 1 Security Manager から VPN トポロジを削除します。

ステップ 2 変更を展開します。

ステップ 3 Catalyst 6500/7600 デバイスをリロード(再起動)します。

ステップ 4 Security Manager でデバイスを右クリックして、[Discover Policies on Device] を選択します。完全なポリシー再検出を実行します。

ステップ 5 Create VPN ウィザードを開いて、VPN トポロジを再定義します。これで、異なる VRF モードを選択できるようになりました。「VRF 対応 IPsec の設定」および「VPN トポロジの作成または編集」を参照してください。


 

サイト間 VPN トポロジおよびポリシーへのアクセス

次の方法を使用して、サイト間 VPN トポロジおよびポリシーへのアクセスおよび設定を行うことができます。

Site-to-Site VPN Manager :VPN トポロジを設定するための主要なツールです。Security Manager で設定されているすべてのサイト間 VPN のリストを表示して、それらの設定やポリシー(デバイス メンバーシップを含む)を編集できます。このツールの使用方法の詳細については、「[Site-to-Site VPN Manager] ウィンドウ」を参照してください。

デバイス ビューの [Site-to-Site VPN] ポリシー :デバイス ビューでデバイスを選択すると、ポリシー セレクタで [Site-to-Site VPN] ポリシーを選択して、デバイスが参加しているすべてのサイト間 VPN のリストを表示し、それらのトポロジを編集できます。新しい VPN を作成したり、VPN を選択して Site-to-Site VPN Manager を開き、選択した VPN のポリシーを編集したりすることもできます。このデバイス ビューのポリシーは、実質的には Site-to-Site VPN Manager へのショートカットです。このポリシーの使用方法の詳細については、「デバイス ビューにおける VPN トポロジの設定」を参照してください。

ポリシー ビューの [Site-to-Site VPN] フォルダ :ポリシー ビューは、共有ポリシーを作成する場合に使用します。多くのサイト間 VPN ポリシーは、共有可能です。したがって、Site-to-Site VPN Manager でトポロジを設定するときに、複数の VPN トポロジに割り当てることができる共有ポリシーを設定できます。「VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定」に説明したように、共有ポリシーを Create VPN ウィザードのデフォルトとして設定できます。

[Site-to-Site VPN Manager] ウィンドウでも、デバイス ビューのローカル ポリシーから作成する場合と同様に共有ポリシーを作成できますが、[Site-to-Site VPN Manager] ウィンドウにおいては、共有に関するすべてのコマンドは右クリックして表示されるコンテキスト メニューからだけ利用できます(共有可能ポリシーを右クリックします)。

ポリシー ビューにおける共有ポリシー作成の詳細については、「ポリシー ビューにおける共有ポリシーの管理」を参照してください。

[Site-to-Site VPN Manager] ウィンドウ

Site-to-Site VPN Manager には、Security Manager で設定されたすべてのサイト間 VPN が表示されます。ウィンドウの左上ペインにある VPN セレクタには、既存の VPN トポロジがすべて表示されます(「VPN トポロジについて」を参照)。アイコンは、VPN のタイプ(ハブアンドスポーク、ポイントツーポイント、または完全メッシュ)を示します。トポロジを表示または編集するには、トポロジを選択します。これにより、左下ペインのポリシー セレクタにそのポリシーがロードされます。ポリシーを選択すると、その定義が右側のペインに表示されます。

Site-to-Site VPN Manager を開くには、ツールバーの [Site-To-Site VPN Manager] ボタンをクリックするか、または [Manage] > [Site-To-Site VPNs] を選択します。

[Site-to-Site VPN Manager] ウィンドウを使用して、次のことを行うことができます。

VPN トポロジを作成、編集、および削除します。

VPN トポロジを作成するには、VPN セレクタの上にある [Create VPN Topology](+)ボタンをクリックし、表示されるオプションから、作成するトポロジのタイプを選択します。これにより、Create VPN ウィザードまたは Create Extranet VPN ウィザードが開きます。詳細については、「VPN トポロジの作成または編集」または「エクストラネット VPN の作成または編集」を参照してください。

VPN トポロジを編集するには、トポロジを選択して [Edit VPN Topology](鉛筆)ボタンをクリックするか、またはトポロジを右クリックして [Edit] を選択します。これにより、[Edit VPN] ダイアログボックスまたは [Edit Extranet VPN] ダイアログボックスが開きます。このダイアログボックスには、Create VPN ウィザードと同様のページのほとんどがタブ形式のレイアウトで表示されます。

VPN トポロジを削除するには、トポロジを選択して [Delete VPN Topology](ゴミ箱)アイコンをクリックするか、またはトポロジを右クリックして [Delete] を選択します。削除の確認が求められます。「VPN トポロジの削除」を参照してください。

各 VPN トポロジについての詳細情報を表示します。トポロジを選択して、[VPN Summary] ポリシーを選択します。「VPN トポロジの設定の概要の表示」を参照してください。

VPN トポロジに定義されたエンドポイントを表示および設定します。エンドポイントは、VPN トポロジ編集時に [Endpoints] タブで確認するか、または [Peers] ポリシーを選択して確認します。GET VPN トポロジの場合、Peers ポリシーはありません。代わりに、Key Servers ポリシーと Group Members ポリシーを使用して、エンドポイントを表示および設定します。エクストラネット VPN の場合、エンドポイントは VPN 編集時の [Device Selection] タブ、または [Peers] ポリシーにも表示されます。

VPN トポロジに割り当てられたポリシーの表示と編集、共有ポリシーの割り当て、または既存のポリシーからの共有ポリシーの作成を行います。個別のポリシーの詳細については、「サイト間 VPN ポリシーの概要」を参照してください。

Site-to-Site VPN Manager から共有ポリシーを設定する場合のオプションおよび方法は、デバイス ビューから設定する場合と同じです。これについては、「デバイス ビューまたは Site-to-Site VPN Manager における共有ポリシーの使用」および「ポリシー バナーの使用」の項で説明しています。ポリシーの共有、割り当て、割り当て解除、割り当ての編集、および名前の変更を行うことができますが、VPN ポリシーの継承はできません。これらのタスクを実行するには、VPN トポロジを選択し、目的のポリシーを右クリックして、必要なコマンドを選択します。

ポリシー ビューを使用して共有 VPN ポリシーを設定することもできます。

デバイス ビューにおける VPN トポロジの設定

デバイスが属するサイト間 VPN トポロジがある場合は、デバイス ビューの Site-to-Site VPN ポリシーを使用して、サイト間 VPN トポロジを表示および編集できます。VPN ポリシーを編集したり、デバイスがトポロジに参加するかどうかを変更したりできます。また、新しい VPN トポロジを作成することもできます。

このポリシーは、実質的には Site-to-Site VPN Manager へのアクセス ポイントです(「[Site-to-Site VPN Manager] ウィンドウ」を参照)。

このポリシーを開くには、デバイス ビューで目的のデバイスを選択して、ポリシー セレクタから [Site-to-Site VPN] を選択します。

VPN トポロジ テーブルには、このデバイスが属するすべてのサイト間 VPN が表示されます。VPN のタイプ、その名前、IPsec テクノロジー、説明などの情報が表示されます。

VPN を追加するには、[Create VPN Topology] ボタンをクリックするか、またはテーブルを右クリックして [Create VPN Topology] を選択し、表示されるオプションから作成するトポロジのタイプを選択します。これにより、Create VPN ウィザードまたは Create Extranet VPN ウィザードが開きます。詳細については、「VPN トポロジの作成または編集」または「エクストラネット VPN の作成または編集」を参照してください。

VPN を編集するには、VPN を選択して [Edit VPN Topology] ボタンをクリックするか、VPN を右クリックして [Edit VPN Topology] を選択するか、または単にエントリをダブルクリックします。これにより、[Edit VPN] ダイアログボックスまたは [Edit Extranet VPN] ダイアログボックスが開きます。このダイアログボックスは、Create VPN ウィザードのタブ形式バージョンです(「VPN トポロジの作成または編集」または「エクストラネット VPN の作成または編集」を参照)。

VPN のポリシーを編集するには、VPN を選択して、[Edit VPN Policies] ボタンをクリックします。VPN トポロジについての情報が表示された [Site-to-Site VPN] ウィンドウが開きます。ポリシー セレクタから目的のポリシーを選択して、編集します。

VPN を削除するには、VPN を選択して [Delete VPN Topology] ボタンをクリックしするか、または VPN を右クリックして [Delete VPN Topology] を選択します。削除の確認が求められます。詳細については、「VPN トポロジの削除」を参照してください。

サイト間 VPN ディスカバリ

すでにネットワークに展開されている VPN トポロジを検出して、それらを Security Manager を使用して管理できます。VPN 設定が Security Manager に取り込まれて、サイト間 VPN ポリシーとして表示されます。

エクストラネット VPN の場合を除き、すでに Security Manager によって管理されている既存の VPN トポロジの設定を再検出することもできます。サイト間 VPN の再検出の詳細については、「サイト間 VPN の再検出」を参照してください。


) また、すでにネットワークに展開されているリモート アクセス VPN のデバイスの設定も検出できます。「リモート アクセス VPN ポリシーの検出」を参照してください。


次の各項では、サイト間 VPN ディスカバリについて説明します。

「VPN ディスカバリでサポートされる、およびサポートされないテクノロジーとトポロジ」

「VPN ディスカバリの前提条件」

「VPN ディスカバリ ルール」

「サイト間 VPN の検出」

「検出された、複数のスポーク定義を持つ VPN の定義または修復」

「サイト間 VPN の再検出」

VPN ディスカバリでサポートされる、およびサポートされないテクノロジーとトポロジ

ここでは、Security Manager で検出できるテクノロジーとトポロジ、および Security Manager によってプロビジョニングされるが検出できない VPN 機能について説明します。

VPN ディスカバリでサポートされるテクノロジー

IPsec(ASA デバイスの LAN-to-LAN 設定を含む)

IPsec + GRE

IPsec + GRE ダイナミック IP

DMVPN

Easy VPN

GET VPN

VPN ディスカバリでサポートされるトポロジ

ポイントツーポイント

ハブアンドスポーク

完全メッシュ

エクストラネット VPN(管理対象外デバイスに対するポイントツーポイント)

Security Manager によってプロビジョニングされるが VPN ディスカバリではサポートされていない VPN 機能

IPsec ターミネータを使用した大規模 DMVPN(高集中ハブ)

VRF 認識 IPSec

ダイヤル バックアップ

Easy VPN の IPsec および ISAKMP プロファイル

ハイ アベイラビリティ Easy VPN

Security Manager を使用してこれらのタイプのポリシーを定義および展開すると、検出されなかったデバイス設定がポリシーによって上書きされます。したがって、Security Manager で既存の設定を管理する場合には、既存の設定と可能なかぎり一致するようにポリシーを定義する必要があります([Tools] > [Preview Configuration] を使用して、展開前に結果を確認します)。VPN のプロビジョニング メカニズムでは、(既存の設定の内容が Security Manager で設定されたポリシーに一致すると想定して)可能なかぎり既存の設定の内容が利用されますが、CLI コマンドで使用される命名ルールは維持されません。

関連項目

「VPN ディスカバリの前提条件」

「VPN ディスカバリ ルール」

「サイト間 VPN の検出」

VPN ディスカバリの前提条件

正常に VPN を検出するためには、次の前提条件を満たしている必要があります。

エクストラネット VPN の場合を除き、VPN に参加するすべてのデバイスを Security Manager インベントリに追加する必要があります。

Security Manager で、VPN に関するいくつかの基本的な情報を指定する必要があります。VPN ディスカバリ ウィザードでは、次の情報の入力を求められます。

VPN トポロジ(ハブアンドスポーク、ポイントツーポイント、完全メッシュ、エクストラネット)。

VPN テクノロジー(通常の IPsec、IPsec/GRE、GRE ダイナミック IP、DMVPN、Easy VPN、GET VPN)。

VPN 内のデバイスおよびそのロール(ハブまたはスポーク)。エクストラネット VPN の場合、管理対象デバイスのみを指定します。

VPN 設定のソース。VPN は、ライブ ネットワークから直接検出することも、Security Manager の Configuration Archive から検出することもできます。

VPN の各デバイスでは、物理インターフェイスにクリプト マップが関連付けられている必要があります。このルールは、エクストラネット VPN 内のリモート(管理対象外)デバイスには適用されません。

VPN トポロジ内のルーティング プロトコルとして OSPF を使用する場合は、VPN 内のすべてのデバイスで同じ OSPF プロセス番号を使用する必要があります。

Easy VPN トポロジ内の各 PIX 6.3 または ASA 5505 クライアント デバイスに vpnclient 設定が必要です。

関連項目

「VPN ディスカバリでサポートされる、およびサポートされないテクノロジーとトポロジ」

「VPN ディスカバリ ルール」

「サイト間 VPN の検出」

VPN ディスカバリ ルール

次の表に、Security Manager が VPN 設定を変換および検出する場合のルール、およびデバイスの設定が Security Manager によってサポートされている設定と一致しない場合の処理方法について示します。


ヒント エクストラネット VPN 検出には単一デバイス(管理対象デバイス)の分析が含まれるため、これらのルールのほとんどはエクストラネット VPN 検出には適用されません。VPN 内のデバイス間の値の整合性を含むルールはすべて適用されません。

 

表 23-3 VPN ディスカバリ ルール

条件
VPN ディスカバリの処理

Security Manager が、ライブ デバイス検出のために VPN 内のデバイスに接続できない

デバイスが VPN 内の唯一のハブまたはスポークである場合、検出は失敗します。

VPN 内に他のハブやスポークがある場合、検出は進行しますが、利用できないデバイスは検出されません。

エクストラネット VPN の場合を除き、デバイスがポイントツーポイント トポロジのピアである場合、検出は失敗します。エクストラネット VPN の場合、管理対象デバイスにのみ接続し、接続できないと検出は失敗します。

デバイスが完全メッシュ トポロジのピアであり、利用できないデバイスを含めてトポロジ内にデバイスが 2 つしかない場合、検出は失敗します。3 つ以上のデバイスがある場合、検出は進行しますが、利用できないデバイスは検出されません。

VPN が ASA 上の LAN-to-LAN VPN である

ASA の資料では、「サイト間」の同義語として「LAN-to-LAN」が使用されています。LAN-to-LAN VPN 設定では、ASA はトンネル グループを使用します。トンネル グループをリモート アクセス VPN 設定で使用すると、Security Manager は接続プロファイルとして検出します。

LAN-to-LAN(L2L)トンネル グループを使用する ASA でサイト間 VPN を検出する場合、Security Manager はサイト間 VPN トポロジを作成し、L2L トンネル グループはユーザに対して接続プロファイルとして表示されません。代わりに、VPN トポロジのプロパティを編集すると、展開中に、Security Manager が設定を適切な L2L トンネル グループのコマンドに変換します。

VPN 内のデバイス全体において、VPN 設定のポリシーまたは値に不整合がある

ハブとスポークの値が異なる場合は、ハブの値が優先されます。

いくつかのポリシーまたは値の候補から単に 1 つのポリシーや値を選択するだけで済み、機能的な問題が発生しない場合には、Security Manager によってすべてのデバイスに共通するポリシーまたは値が 1 つ選択されます。たとえば、デバイスには複数の IKE ポリシーを設定できますが、VPN では単一の IKE ポリシーだけを選択できます。

1 つの値を選択すると機能的な問題が発生する場合は、ポリシーに対して値が検出されず、展開時に確認メッセージが表示されます。

数値が異なる場合は、検出中にメッセージが表示され、小さい方の値が検出されます。たとえば、IPsec ポリシーにおいては、最小の SA ライフタイム値が検出されます。

上記いずれも実行できない場合、VPN ディスカバリは失敗します。

事前共有キー設定で、ピアのセットごとに異なるキーが存在する

Preshared Key ポリシーは検出されないため、検出完了後に設定する必要があります。Security Manager では、すべてのデバイスで事前共有キーの値が同じ場合にだけ Preshared Key ポリシーが検出されます。

デバイスに複数のクリプト マップ候補が存在する

VPN ディスカバリで選択されたすべてまたは大部分のデバイスに関連付けられているクリプト マップが使用されます。

スポークに、ハブに関連付けられたクリプト マップがない

VPN ディスカバリは進行しますが、スポークは検出されず、エラー メッセージが表示されます。

デバイスに、選択されたトランスフォーム セット値がない

VPN ディスカバリは進行しますが、デバイスは VPN トポロジから削除されることがあります。

デバイスに、選択された IKE プロポーザルがない

VPN ディスカバリは進行しますが、デバイスは VPN トポロジから削除されることがあります。

デバイスで DVTI がサポートされているが、DVTI またはクリプト マップが設定されていない

VPN ディスカバリは失敗します。

サーバで DVTI がサポートされているが、DVTI 設定に IP アドレスが設定されていない

VPN ディスカバリは進行しますが、警告が表示されます。

クライアントで DVTI がサポートされていない

ハブに DVTI が設定されている場合は、警告やエラーは表示されずに検出が進行します。

ハブアンドスポーク トポロジで、スポークがハブと同じ VPNSPA/VSPA スロットを使用していない(Catalyst 6500/7600)

VPN ディスカバリは失敗します。

キー サーバとグループ メンバーの同一のセットが複数の GET VPN に参加している

Security Manager では、トポロジのうち 1 つだけが検出されます。

User Group ポリシーで、IP アドレスではなくホスト名を使用してバックアップ サーバが設定されている

VPN ポリシー検出は失敗し、次のエラーが表示されます。

Policy Discovery Failed: com.cisco.nm.vms.discovery.DiscoveryException: Internal Error

正常に検出を行うには、ホスト名ではなく IP アドレスを使用して、デバイスの User Group ポリシーのバックアップ サーバを再設定する必要があります。

関連項目

「VPN ディスカバリでサポートされる、およびサポートされないテクノロジーとトポロジ」

「VPN ディスカバリの前提条件」

「サイト間 VPN の検出」

「サイト間 VPN の再検出」

サイト間 VPN の検出

ここでは、すでにネットワークで稼動しているが、Security Manager には定義されていないサイト間 VPN を検出する方法について説明します。

関連項目

「サイト間 VPN の検出」

「ポリシーの検出」

「VPN ディスカバリでサポートされる、およびサポートされないテクノロジーとトポロジ」

「VPN ディスカバリの前提条件」

「VPN ディスカバリ ルール」

「各 IPsec テクノロジーでサポートされるデバイスについて」

「管理対象外デバイスまたは非シスコ デバイスの VPN への組み込み」


ステップ 1 デバイス ビューで、[Policy] > [Discover VPN Polices] を選択して、Discover VPN Policies ウィザードの [Name and Technology] ページを開きます。

ステップ 2 次の情報を指定します。

[VPN Name]:検出する VPN の名前です。

エクストラネット VPN を検出する場合は名前を指定できません。代わりに、Security Manager がデバイス上に定義されているすべてのエクストラネットを検出し、各エクストラネットに対して、VPN 名はローカル IP アドレスとリモート IP アドレスがハイフンでつながれたものになります。たとえば、ローカル アドレスが 10.100.10.1、リモート アドレスが 10.100.11.1 である場合、エクストラネット VPN の名前は 10.100.10.1-10.100.11.1 と指定されます。

[Description]:VPN の説明です(任意)。エクストラネット VPN 検出に説明を追加することはできません。

[Topology]:検出する VPN のタイプ([Hub and Spoke]、[Point to Point]、[Full Mesh]、または [Extranet])です。

[IPsec Technology]:VPN に割り当てられている IPsec テクノロジー(通常の IPsec、IPsec/GRE、GRE ダイナミック IP(サブテクノロジー)、DMVPN、Easy VPN、または GET VPN)です。選択するトポロジに応じて、このリストで利用可能な内容が変わります。

IPsec/GRE を選択した場合は、[Standard](IPsec/GRE 用)または [Spokes with Dynamic IP](GRE ダイナミック IP の設定用)のいずれかのタイプも指定する必要があります。

[Discover From]:VPN は、ネットワークから直接検出することも、Configuration Archive から検出することもできます。

[Network]:Security Manager は、すべてのライブ デバイスに接続してデバイス設定を取得します。エクストラネット VPN 検出の場合、Security Manager はユーザが指定する単一の管理対象デバイスに接続します。

[Config Archive]:ライブ デバイスではなく設定ファイルに展開する場合は、Configuration Archive からの検出を推奨します。[Configuration Archive] 内のデバイス設定の最新バージョンがすべてのデバイスに使用されます。

ステップ 3 [Next] をクリックして、Discover VPN Policies ウィザードの [Device Selection] ページを開きます。

ステップ 4 VPN に参加しているデバイス、およびそれらのデバイスの VPN 内でのトポロジ タイプに応じたロール(ハブ、スポーク、ピア 1、ピア 2、ローカル デバイス、キー サーバ、グループ メンバー、または単に完全メッシュ VPN で選択されるデバイス)を選択します。Easy VPN トポロジの場合は、サーバがハブ、クライアントがスポークになります。

ハブアンドスポーク VPN に 2 つ以上の IPsec ターミネータがある場合は、上向きおよび下向き矢印ボタンを使用して、プライマリ ハブがリストの先頭にくるようにします。IPsec ターミネータが 1 つだけの場合は、同じ IPsec ターミネータにいくつのハブが接続されているかに関係なく、1 つのハブをプライマリ ハブとして指定できません。

VPN のデバイスの選択の詳細については、「VPN トポロジのデバイスの選択」を参照してください。

ステップ 5 [Finish] をクリックしてウィザードを閉じ、検出プロセスを開始します。[Discovery Status] ウィンドウが開き、検出のステータスが表示されます。また、各デバイスの検出が成功したか、または失敗したかが示されます(「ポリシー検出タスクのステータスの表示」を参照)。問題の原因を示すためにエラーまたは警告メッセージが提供されます。問題の原因は、VPN に固有またはデバイスに固有の可能性があります。

エクストラネット検出の場合を除き、検出プロセスが正常に完了し、[Discovery Status] ダイアログボックスを閉じると、[Site-to-Site VPN Manager] ウィンドウが開き、検出された VPN の概要情報が表示されます。エクストラネット検出の場合、検出されたエクストラネット VPN のリストを参照するには、Site-to-Site VPN Manager を手動で開くか、またはデバイス ビューで Site-to-Site VPN ポリシーを選択する必要があります。

ステップ 6 VPN ポリシーが必要な内容となっていることを確認します。必要に応じて、ポリシーを編集します。


ヒント エクストラネット VPN を検出する場合、選択されたデバイスに定義されているすべてのエクストラネット VPN が検出されます。Security Manager で管理しないエクストラネット VPN は削除してください。



 

検出された、複数のスポーク定義を持つ VPN の定義または修復

各スポークに異なる定義が含まれる VPN を検出した場合(たとえば Easy VPN スポークのクライアント モードが異なる場合)、Security Manager では検出中に定義が変更されて、すべてのスポークに対して統一された定義が作成されます。Security Manager では、VPN トポロジに 1 セットのスポーク定義だけを含むことができるため、このような動作になります。

元の定義を維持する場合、または異なる定義を持つスポークで構成された新しい VPN を作成する場合は、次のいずれかの方法を実行します。

Security Manager に複数の VPN トポロジを定義し、各トポロジには、一致するスポーク定義を含むスポークを設定します。

特殊な定義を含む FlexConfig ポリシーを定義して、次の手順で説明するように、この定義を必要とするスポークにポリシーを割り当てます。

関連項目

「新しい共有ポリシーの作成」

「FlexConfig ポリシー オブジェクトの作成」

「ポリシー ビューにおけるポリシー割り当ての変更」

「サイト間 VPN ディスカバリ」

「サイト間 VPN の検出」

「VPN ディスカバリ ルール」


ステップ 1 ポリシー ビューで、共有 FlexConfig ポリシーを作成します。

a. [View] > [Policy View] を選択します。

b. ポリシー タイプ セレクタで [FlexConfigs] を右クリックして、[New FlexConfigs Policy] を選択します。

c. ポリシーの名前を入力し、[OK] をクリックします。

ステップ 2 FlexConfig オブジェクトを作成および選択して、FlexConfig ポリシーを定義します。

a. ポリシー ビューの作業領域にある [Details] タブで [Add] ボタンをクリックします。

b. FlexConfigs セレクタで、ウィンドウの左下隅にある [Create] ボタンをクリックして、「[Add FlexConfig]/[Edit FlexConfig] ダイアログボックス」を開きます。

c. 必要なクライアント定義を含む追加の FlexConfig オブジェクトを定義します。たとえば、Easy VPN スポークでクライアント モードを定義するには、次のコマンドを入力します。

crypto ipsec client ezvpn CSM_EASY_VPN_CLIENT_1

mode client

exit

d. FlexConfig オブジェクトを作成したあと、セレクタを使用してこのオブジェクトを FlexConfig ポリシーに追加します。

ステップ 3 ポリシー ビューの作業領域にある [Assignments] タブを使用して、このポリシーを割り当てるスポークを選択し、[Save] をクリックします。

ステップ 4 ポリシーを展開します。


 

サイト間 VPN の再検出

ポリシーの変更をアプリケーションで再作成する必要がないように、すでに Security Manager で管理されている既存の VPN トポロジの設定を再検出できます。

Security Manager が VPN 設定を変換および検出する場合と同じルールが再検出にも適用されます。ただし、再検出は、VPN トポロジに参加するデバイスに対してだけ実行できます。また、IPsec テクノロジーやトポロジ タイプは変更できません。VPN インターフェイスや保護対象ネットワークなどのデバイス固有のポリシー、およびハブに設定される任意の High Availability(HA; ハイ アベイラビリティ)ポリシーの設定だけを再検出できます。IKE プロポーザルや PKI 登録などの VPN グローバル ポリシーは再検出できません。さらに、次のトポロジは再検出できません。

ダイナミック VTI を使用する Easy VPN トポロジ

エクストラネット VPN

ここでは、すでに Security Manager に存在するサイト間 VPN トポロジの設定を再検出する方法について説明します。

関連項目

「サイト間 VPN の検出」

「ポリシーの検出」

「VPN ディスカバリの前提条件」

「VPN ディスカバリ ルール」

「各 IPsec テクノロジーでサポートされるデバイスについて」

「管理対象外デバイスまたは非シスコ デバイスの VPN への組み込み」


ステップ 1 [Site-to-Site VPN Manager] ウィンドウで、設定を再検出する VPN トポロジを右クリックして、[Rediscover Peers] を選択します。これにより、Rediscover VPN Policies ウィザードの [Name and Technology] ページが開きます。

このページには、トポロジのタイプ、および VPN で使用される IPsec テクノロジーが表示されますが、これらは変更できません。

ステップ 2 次の情報を指定します。

[VPN Discovery Name]:VPN 再検出ジョブの名前です。

[Description]:VPN の説明です(任意)。

[Discover From]:VPN は、ネットワークから直接再検出することも、Configuration Archive から再検出することもできます。

[Network]:Security Manager は、すべてのライブ デバイスに接続してデバイス設定を取得します。

[Config Archive]:ライブ デバイスではなく設定ファイルに展開する場合は、Configuration Archive からの再検出を推奨します。[Configuration Archive] 内のデバイス設定の最新バージョンがすべてのデバイスに使用されます。

ステップ 3 [Next] をクリックして、Rediscover VPN Policies ウィザードの [Device Selection] ページを開きます。

ステップ 4 ピア レベルのポリシーを再検出する必要があるデバイス、およびそれらのデバイスの VPN 内でのトポロジ タイプに応じたロール(ハブ、スポーク、ピア 1、ピア 2、キー サーバ、グループ メンバー、または単に完全メッシュ VPN で選択されるデバイス)を選択します。Easy VPN トポロジの場合は、サーバがハブ、クライアントがスポークになります。

ハブアンドスポーク VPN に 2 つ以上の IPsec ターミネータがある場合は、上向きおよび下向き矢印ボタンを使用して、プライマリ ハブがリストの先頭にくるようにします。IPsec ターミネータが 1 つだけの場合は、同じ IPsec ターミネータにいくつのハブが接続されているかに関係なく、1 つのハブをプライマリ ハブとして指定できません。

VPN のデバイスの選択の詳細については、「VPN トポロジのデバイスの選択」を参照してください。

ステップ 5 [Finish] をクリックしてウィザードを閉じ、再検出プロセスを開始します。[Discovery Status] ウィンドウが開き、再検出のステータスが表示されます。また、各デバイスの再検出が成功したか、または失敗したかが示されます(「ポリシー検出タスクのステータスの表示」を参照)。問題の原因を示すためにエラーまたは警告メッセージが提供されます。問題の原因は、VPN に固有またはデバイスに固有の可能性があります。

再検出プロセスが正常に完了し、[Discovery Status] ダイアログボックスを閉じると、[Site-to-Site VPN Manager] ウィンドウが開き、再検出された VPN の概要情報が表示されます。


 

VPN トポロジの作成または編集

Security Manager では、サイト間 VPN を作成するための 3 つの基本的なトポロジ タイプがサポートされています。Create VPN ウィザードを使用して、複数のデバイス タイプにまたがるハブアンドスポーク VPN トポロジ、ポイントツーポイント VPN トポロジ、または完全メッシュ VPN トポロジを作成できます。これらのトポロジの詳細については、「VPN トポロジについて」を参照してください。


ヒント エクストラネット ポイントツーポイント VPN を作成する場合は、このトピックではなく、「エクストラネット VPN の作成または編集」を参照してください。

VPN トポロジを作成する場合は、サイト間 VPN を構成するデバイスおよびネットワークを指定します。デバイス、デバイスのロール(ハブ、スポーク、ピア、キー サーバ、グループ メンバーなど)、VPN トンネルの送信元エンドポイントおよび宛先エンドポイントとなる VPN インターフェイス、トンネルによって保護される保護対象ネットワークを定義します。VPN トポロジを作成する場合は、トポロジに対して、定義済みのポリシーのセットが関連付けられた IPsec テクノロジー(通常の IPsec、IPsec/GRE、GRE ダイナミック IP、DMVPN、大規模 DMVPN、Easy VPN、GET VPN など)を割り当てます。「サイト間 VPN の必須ポリシーおよびオプションのポリシーについて」を参照してください。


) Create VPN ウィザードを完了すると、Security Manager によって必須ポリシーに対してデフォルトが指定されるため、すぐにトポロジを展開可能になります。ただし、Security Manager のデフォルトを使用する場合は、ご使用のネットワークでその設定が適切に動作することを確認する必要があります。詳細については、「VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定」を参照してください。


VPN トポロジを編集する場合、[Edit VPN] ダイアログボックスには([VPN defaults] ページを除いて)Create VPN ウィザードと同じページが含まれていますが、ウィザード形式ではなく、タブ形式でページがレイアウトされています。GET VPN トポロジだけは例外であり、トポロジの名前と説明だけを編集できます(トポロジの属性を変更するには、GET VPN ポリシーを編集する必要があります。「GET VPN の設定」を参照してください)。ダイアログボックスの任意のタブで [OK] をクリックすると、すべてのタブの定義が保存されます。すべてのトポロジにおいて、当初 [VPN defaults] ページに表示された必須ポリシーおよびオプションのポリシーを直接編集する必要があります。

VPN トポロジを編集することによって、トポロジのデバイス構造の変更(デバイスの追加または削除)、デバイスに定義された VPN インターフェイスおよび保護対象ネットワークの変更、または VPN に割り当てられているポリシーの変更を行うことができます。たとえば、組織において新規サイトを頻繁にオープンする場合、既存のハブアンドスポーク VPN にスポークを追加して、新しいスポークに VPN のすべてのポリシーを適用する必要があります。また、1 つのハブだけを持つ VPN にセカンダリ ハブを追加して、耐障害性を高めることもできます。VPN トポロジの編集時に、トポロジに割り当てられたポリシーを変更する必要がある場合もあります。たとえば、IKE アルゴリズムをより安全なアルゴリズムに変更したり、VPN の DES 暗号化アルゴリズムを変更してより安全にしたりします。


ヒント トポロジを作成したあとは、VPN で使用されているテクノロジーを変更することはできません。テクノロジーを変更する場合は、古い VPN を削除してから、必要なテクノロジーを使用する新しい VPN を作成します。

Create VPN ウィザードを開始する、または既存の VPN トポロジを編集するには、次の手順を実行します。

Create VPN ウィザードを開くには、 [Site-to-Site VPN Manager] ウィンドウまたは [Site-to-Site VPN Policy] ページ(デバイス ビュー)で、[Create VPN Topology](+)ボタンをクリックして、作成する VPN トポロジのタイプを表示されるオプション([Hub and Spoke]、[Point to Point]、または [Full Mesh])から選択します。[Back] ボタンと [Next] ボタンを使用してページを移動します。終了したら、[Finish] をクリックして、トポロジを作成します。

[Edit VPN] ダイアログボックスを開くには、[Site-to-Site VPN Manager] ウィンドウまたは [Site-to-Site VPN Policy] ページ(デバイス ビュー)で VPN トポロジを選択し、[Edit VPN Topology](鉛筆)ボタンをクリックします。

表示されるページまたはタブ、およびその順序は、作成する VPN トポロジのタイプに応じて異なります。それらについて、次の表に示します。

 

表 23-4 Create VPN/Edit VPN ウィザードのページ

ページ
ハブアンドスポーク VPN
ポイントツーポイント VPN
完全メッシュ VPN

[Name and Technology] ページ。

「VPN トポロジの名前および IPsec テクノロジーの定義」を参照してください。

手順 1

手順 1

手順 1

[Device Selection] ページ。

「VPN トポロジのデバイスの選択」を参照してください。

手順 2

手順 2

手順 2

[Endpoints] ページ。

「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

このページから、いくつかの高度な設定を作成することもできます。詳細については、表のあとにある説明を参照してください。

手順 3

手順 3

手順 3(通常の IPsec、IPsec GRE だけ)

[High Availability] ページ。

「VPN トポロジにおけるハイ アベイラビリティの設定」を参照してください。

手順 4

--

--

[GET VPN Group Encryption Policy] ページ。

「GET VPN グループ暗号化の定義」を参照してください。

--

--

手順 3(GET VPN だけ)

[GET VPN Peers] ページ。

「GET VPN ピアの定義」を参照してください。

--

--

手順 4(GET VPN だけ)

[VPN Defaults] ページ。

「新しい VPN トポロジへの初期ポリシー(デフォルト)の割り当て」を参照してください。

手順 5

手順 4

手順 4(GET VPN では手順 5)

[Synchronize Keys] ダイアログボックス。GET VPN で Create VPN ウィザードを完了するときに、キーを同期するかどうかを尋ねられます。[Yes] をクリックすると、プロセスが開始されます。

「RSA キーの生成と同期」を参照してください。

--

--

手順 6(GET VPN だけ)

VPN トポロジの作成中または作成後、エンドポイント編集時に、次の高度な設定を作成することもできます。

ハブアンドスポーク トポロジでの、ハブにおける VRF 対応 IPsec(「VRF 対応 IPsec の設定」を参照)

ハブアンドスポーク VPN トポロジ、ポイントツーポイント VPN トポロジ、または完全メッシュ VPN トポロジでの、Catalyst 6500/7600 における VPNSM または VPNSPA/VSPA(「VPNSM または VPN SPA/VSPA エンドポイントの設定」を参照)

ハブアンドスポーク VPN トポロジ、ポイントツーポイント VPN トポロジ、または完全メッシュ VPN トポロジでの、VPN サービス モジュールまたは VPN SPA が設定された Catalyst 6500/7600 デバイスにおけるファイアウォール サービス モジュール(「VPNSM または VPNSPA/VSPA が設定されたデバイスへのファイアウォール サービス モジュール(FWSM)インターフェイスの設定」を参照)


) マップ ビューでは、VPN トポロジをそのすべての要素とともに視覚的に表現できます。詳細については、「マップ ビューにおける VPN トポロジの作成」を参照してください。


関連項目

「デバイス ビューにおける VPN トポロジの設定」

「IPsec テクノロジーおよびポリシーについて」

「ウィザードの使用」

VPN トポロジの名前および IPsec テクノロジーの定義


) このトピックは、エクストラネット VPN には適用されません。エクストラネット VPN の名前の設定については、「エクストラネット VPN の作成または編集」を参照してください。


Create VPN ウィザードおよび [Edit VPN] ダイアログボックスの [Name and Technology] ページ(またはタブ)を使用して、VPN トポロジの名前と説明を定義します。新しいトポロジを作成するときには、トポロジに割り当てる IPsec テクノロジーを選択する必要があります。ただし、既存のトポロジを編集するときにテクノロジーを変更することはできません。

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスを開く方法については、「VPN トポロジの作成または編集」を参照してください。


) 既存の VPN を編集する場合、割り当てられている IPsec テクノロジーおよびタイプが表示されますが、変更はできません。テクノロジーまたはタイプを変更するには、トポロジを削除してから新しいトポロジを作成する必要があります。


次の表に、名前およびテクノロジーを定義する場合に設定可能なオプションを示します。

 

表 23-5 [Name and Technology] ページ

要素
説明

Name

VPN トポロジを識別する一意の名前です。

Description

VPN トポロジについての情報です。

IPsec Technology

VPN トポロジで使用される IPsec テクノロジーです。

通常の IPsec

IPsec/GRE

DMVPN(ハブアンドスポーク VPN だけ)

Easy VPN(ハブアンドスポーク VPN だけ)

GET VPN(完全メッシュ VPN だけ)

Type

選択された IPsec テクノロジーが IPsec/GRE またはハブアンドスポーク トポロジにおける DMVPN の場合のテクノロジー タイプです。

[IPsec/GRE]:[Standard](IPsec/GRE)または [Spokes with Dynamic IP](GRE ダイナミック IP)を選択します。詳細については、「動的にアドレス指定されるスポークの GRE 設定について」を参照してください。

[DMVPN]:[Standard](通常の DMVPN)または [Large Scale with IPsec Terminator](大規模 DMVPN)を選択します。詳細については、「大規模 DMVPN の設定」を参照してください。

IKE version

通常の IPsec トポロジを設定する場合、IKE ネゴシエーションを許可する Internet Key Exchange(IKE; インターネット キー エクスチェンジ)バージョン。バージョン 1( IKEv1 )、バージョン 2( IKEv2 )、または両方( IKEv1 & IKEv2 )を許可できます。

[IKEv1 & IKEv2] を選択すると、IKEv2 をサポートしないデバイスでは自動的に IKEv1 が使用されます。ただし、IKEv2 のみを選択する場合は、IKEv2 をサポートしていないデバイスを選択しないようにする必要があります(ウィザードは無効な選択を阻止しません)。間違ったオプションを選択した場合、VPN の作成後に IKE Proposal ポリシーと IPsec Proposal ポリシーを編集してサポートされる IKE バージョンを変更できます。

IKE について、および各バージョンの相違点については、「IKE および IPsec 設定の概要」を参照してください。IKEv2 をサポートするデバイスについては、「各 IPsec テクノロジーでサポートされるデバイスについて」を参照してください。

ヒント Create VPN ウィザード使用時に IKEv2 を許可するオプションを選択すると、ウィザードは有効なトポロジを作成しません。ウィザードの完了後、IKEv2 Authentication ポリシーを手動で設定して、設定を完了する必要があります。

関連項目

「IPsec テクノロジーおよびポリシーについて」

VPN トポロジのデバイスの選択


) このトピックは、エクストラネット VPN には適用されません。エクストラネット VPN でのデバイスの選択については、「エクストラネット VPN の作成または編集」を参照してください。


Create VPN ウィザードおよび [Edit VPN] ダイアログボックスの [Device Selection] ページ(またはタブ)を使用して、VPN トポロジに組み込むデバイスを選択します。このページの内容は、作成または編集する VPN トポロジがハブアンドスポーク、大規模 DMVPN、ポイントツーポイント、または完全メッシュのいずれであるかに応じて異なります。また、このページを使用して GET VPN のメンバーシップを編集することはできません(既存の GET VPN について作業する場合は、「GET VPN グループ メンバーの設定」および「GET VPN キー サーバの設定」を参照してください)。

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスを開く方法については、「VPN トポロジの作成または編集」を参照してください。

ほとんどの場合、[Available Devices] リストには、選択した VPN トポロジ タイプで使用できるデバイス、IPsec テクノロジー タイプをサポートするデバイス、および表示する権限があるデバイスだけが表示されます。また、利用可能なデバイスは、選択した IPsec テクノロジーによっても異なります。たとえば、IPsec テクノロジーが IPsec/GRE、GRE ダイナミック IP、または DMVPN の場合、PIX ファイアウォールと ASA デバイスは表示されません。ただし、リストはトポロジでサポートする IKE バージョンを考慮するようには調整されません。詳細については、「各 IPsec テクノロジーでサポートされるデバイスについて」に説明されている、サポートされるプラットフォームを参照してください。


ヒント デバイスを選択する場合、デバイス グループを選択して、そのグループ内のすべての選択可能なデバイスを選択することができます。

次のリストに、トポロジのタイプに応じてデバイスを追加または削除する方法を示します。

通常の IPsec または IPsec/GRE テクノロジーを使用する完全メッシュ VPN トポロジでデバイスを選択するには 、[Available Devices] リストでデバイスを選択して、[>>] をクリックします。

GET VPN テクノロジーを使用する完全メッシュ VPN トポロジでデバイスを選択するには、次の手順を実行します。

キー サーバとして定義するデバイスを選択して、[Key Servers] フィールドの横にある [>>] をクリックします。

複数のキー サーバがある場合は、 上向き および 下向き の矢印ボタンを使用して、プライマリ キー サーバを先頭に配置します。グループ メンバーは、リストの最初のキー サーバに登録されます。最初のキー サーバに到達できない場合は、2 番め以降のキー サーバに順番に登録が試みられます。

グループ メンバーとして定義するデバイスを選択して、[Group Members] フィールドの横にある [>>] をクリックします。

ハブアンドスポーク VPN トポロジでデバイスを選択するには、次の手順を実行します。

ハブとして定義するデバイス(または Easy VPN 設定でサーバとして定義するデバイス)を選択して、[Hubs] リストの横にある [>>] をクリックします。

複数のハブがある場合は、ハブ リストをプライオリティ順に並べて、プライマリ ハブを先頭に配置します。順序を変更するには、ハブを選択し、 上向き および 下向き の矢印ボタンをクリックして、デバイスを適切な順序に並べ替えます。


) プライマリ ハブは、2 つ以上の IPsec ターミネータがある場合にだけ選択する必要があります。IPsec ターミネータが 1 つだけの場合は、同じ IPsec ターミネータにいくつのハブが接続されているかに関係なく、1 つのハブをプライマリ ハブとして指定できません。


スポークとして定義するデバイス(または Easy VPN 設定でクライアントとして定義するデバイス)を選択して、[Spokes] リストの横にある [>>] をクリックします。

IPsec ターミネータを使用した大規模 DMVPN トポロジを設定する場合は、大規模 DMVPN 設定で IPsec ターミネータ となる Catalyst 6500/7600 デバイスを選択する必要もあります。2 つ以上の IPsec ターミネータを選択する場合は、 上向き および 下向き の矢印ボタンを使用して、プライオリティ順に並べ替えます。詳細については、「大規模 DMVPN の設定」を参照してください。

ポイントツーポイント VPN トポロジでデバイスを選択するには、次の手順を実行します。

[Devices] リストから、 ピア 1 とするデバイスを選択して、[>>] をクリックします。

ピア 2 とする別のデバイスを選択して、[>>] をクリックします。

(任意のトポロジまたはテクノロジーの組み合わせにおいて)デバイスを削除するには 、選択されたデバイスのいずれかのリストでデバイスを選択し、[<<] をクリックして、そのデバイスを [Available Devices] リストに戻します。

既存の VPN トポロジを編集している場合は、VPN トポロジからデバイスを削除することはできますが、その結果として無効な VPN 設定となる場合には、変更内容を保存できません。デバイスを削除する場合、次の点に注意する必要があります。

デバイスがハブアンドスポーク VPN トポロジにおける唯一のハブである場合、そのデバイスは削除できません。他のハブに置き換える必要があります。

デバイスがポイントツーポイント VPN トポロジにおける 2 つのデバイスのいずれかである場合、そのデバイスは削除できません。他のハブに置き換える必要があります。

複数のハブ デバイスがある VPN トポロジでは、ハブを削除すると、そのハブを使用するトンネルが削除されます。

VPN トポロジのすべてのスポークではなく一部のスポークが削除されると、ハブ側の crypto ステートメントが変更されて、削除内容が反映されます。

GET VPN には、少なくとも 1 つのキー サーバと 1 つのグループ メンバーが必要です。

関連項目

「管理対象外デバイスまたは非シスコ デバイスの VPN への組み込み」

エンドポイントおよび保護対象ネットワークの定義

Create VPN ウィザードおよび [Edit VPN] ダイアログボックスの [Endpoints] ページを使用して、VPN トポロジ内のデバイスを表示し、それらの VPN 特性および機能を定義または編集します。主に、VPN トポロジ内のデバイスの外部または内部 VPN インターフェイス、および保護対象ネットワークを定義します。VPN インターフェイスは、データを暗号化するインターフェイスです。保護対象ネットワークは、暗号化されるネットワークです。

[Endpoints] ページは、次のいずれかの方法で開きます。

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスを開きます。手順については、「VPN トポロジの作成または編集」を参照してください。

Site-to-Site VPN Manager で目的の VPN トポロジを選択して(GET VPN トポロジを除く)、[Peers] ポリシーを選択します。

ヒント:

この設定は、GET VPN 以外のすべての IPsec テクノロジー タイプに適用されます。VPN 作成時に GET VPN エンドポイントを設定する方法については、「GET VPN ピアの定義」を参照してください。既存の GET VPN では、Key Servers ポリシーおよび Group Members ポリシーを使用してエンドポイントを設定します。「GET VPN キー サーバの設定」および「GET VPN グループ メンバーの設定」を参照してください。

このページに表示されるデバイスは、[Device Selection] ページで選択します(「VPN トポロジのデバイスの選択」を参照)。このリストは、Peers ポリシーの編集時にだけ変更できます。この場合、デバイスを選択し、[Delete](ゴミ箱)ボタンをクリックして、デバイスを削除します。デバイスを追加するには、VPN トポロジ自体を編集する必要があります。

Peers ポリシーを使用してエクストラネット VPN のエンドポイントを編集することはできますが、代わりに、[Edit Extranet VPN] ダイアログボックスで VPN トポロジを編集することによりエンドポイントを編集してください。Create Extranet VPN ウィザードには [Endpoints] ページは表示されません。

テーブルには、VPN における各デバイスのロール(ハブ、スポーク、ピア、または IPsec ターミネータ)、デバイス名、および VPN インターフェイスと保護対象ネットワークが表示されます。当初、VPN インターフェイスと保護対象ネットワークは、外部および内部インターフェイスについて、Security Manager の管理設定で定義されたデフォルトのインターフェイス ロールに設定されています(「[VPN Policy Defaults] ページ」を参照)。エンドポイント設定には、このテーブルに表示されない設定が含まれている場合もありますが、必須の設定は VPN インターフェイスと保護対象ネットワークだけです。

デバイスのエンドポイント設定を変更するには、設定を選択して、テーブルの下にある [Edit Row] ボタンをクリックします。一度に複数のデバイスを選択して編集することもできますが、その場合、それらのデバイスのロールは同じである必要があります。複数のデバイスを選択する場合は、Catalyst 6500/7600 デバイスまたは VPN サービス モジュールを含めることはできません。エンドポイントの編集は [Edit Endpoints] ダイアログボックスで実行しますが、その内容は選択したデバイス タイプおよび IPsec テクノロジーに応じて異なります。

[Edit Endpoints] ダイアログボックスで設定できるオプションの詳細については、次の項を参照してください。

[VPN Interface] タブ:VPN インターフェイスを設定し、その他の必要なインターフェイス設定を行います(「VPN インターフェイス エンドポイントの設定」を参照)。ダイヤル バックアップも設定できる場合があります(ダイヤル バックアップの詳細については、「ダイヤル バックアップの設定」を参照してください)。

Catalyst 6500/7600 デバイスでは、[VPN Interface] タブに、デバイス(大規模 DMVPN における IPsec ターミネータの場合もあります)に VPN Services Module(VPNSM; VPN サービス モジュール)または VPNSPA/VSPA ブレードを設定できる設定が表示されます。これについては、「VPNSM または VPN SPA/VSPA エンドポイントの設定」を参照してください。

[Extranet Device Details]:エクストラネット VPN 内のリモート(管理対象外)デバイスのエンドポイント設定値を設定します。このタブは、Peers ポリシーの場合にのみ表示されます。このタブで情報を編集する代わりに、VPN トポロジを編集して設定を変更する方法を推奨します。詳細については、「エクストラネット VPN の作成または編集」を参照してください。

[Hub Interface] タブ:選択されたデバイスが大規模 DMVPN におけるハブである場合、IPsec ターミネータに接続されたインターフェイスを指定します。「大規模 DMVPN の設定」を参照してください。

[Protected Networks] タブ:暗号化されるネットワークを定義します(「エンドポイントの保護対象ネットワークの特定」を参照)。保護対象ネットワークは、インターフェイス ロール、ネットワーク/ホスト オブジェクト、または通常の IPsec の場合は ACL ポリシー オブジェクトです。

[FWSM] タブ:Firewall Services Module(FWSM; ファイアウォール サービス モジュール)と、Catalyst 6500/7600 デバイスにすでに設定されている IPsec VPN Services Module(VPNSM; VPN サービス モジュール)または VPNSPA/VSPA との間を接続できるようにするための設定を定義します。この設定は、ハブがこれらのモジュールが設置された Catalyst 6500/7600 デバイスであるハブアンドスポーク トポロジでのみ可能です。詳細については、「VPNSM または VPNSPA/VSPA が設定されたデバイスへのファイアウォール サービス モジュール(FWSM)インターフェイスの設定」を参照してください。

[VRF Aware IPsec] タブ:ハブアンドスポーク VPN トポロジにおいて、ハブ(IPsec Aggregator)に VRF-Aware IPsec ポリシーを設定します。詳細については、「VRF 対応 IPsec の設定」および「VRF 対応 IPsec について」を参照してください。

各デバイスのインターフェイス ロールに関連付けられている実際のインターフェイスを表示するには、テーブルの下にある [Show] リストの [Matching Interfaces] を選択します。一致するインターフェイスがない場合は、「No Match」と表示されます。デフォルトでは、インターフェイス ロール ポリシー オブジェクト名が表示されます。有効な VPN を作成するには、これらのロールがデバイスに定義されている実際のインターフェイスに一致する必要があります。

関連項目

「テーブル カラムおよびカラム見出しの機能」

「テーブルのフィルタリング」

VPN インターフェイス エンドポイントの設定

[Edit Endpoints] ダイアログボックスの [VPN Interface] タブを使用して、[Endpoints] テーブルのデバイスに定義された VPN インターフェイスを編集します。ルータ デバイスのプライマリ VPN インターフェイスを定義する場合は、プライマリ ルート VPN インターフェイスの接続リンクが利用できなくなった場合にフォールバック リンクとして使用するバックアップ インターフェイスも設定できます。バックアップ インターフェイスは、ポイントツーポイント トポロジまたは完全メッシュ トポロジにある Cisco IOS セキュリティ ルータ、ハブアンドスポーク トポロジのスポークとなっている Cisco IOS セキュリティ ルータ、または Easy VPN トポロジのリモート クライアントとなっている Cisco IOS セキュリティ ルータで設定できます。詳細については、「ダイヤル バックアップの設定」を参照してください。

ヒント

デバイスが大規模 DMVPN のハブである場合、このタブは [Hub Interface] と呼ばれます。[Hub Interface Toward the IPsec Terminator] フィールドで、IPsec ターミネータに接続されているインターフェイスを指定します。インターフェイスまたはインターフェイス ロールの名前を入力します。または、[Select] をクリックして、リストから選択します。詳細については、「大規模 DMVPN の設定」を参照してください。

デバイスが Catalyst 6500/7600 デバイスの場合、[VPN Interface] タブでは、デバイスの VPN Services Module(VPNSM; VPN サービス モジュール)または VPNSPA/VSPA ブレードを設定できます。Catalyst 6500/7600 デバイスの場合に [VPN Interface] タブに表示される要素の詳細については、「VPNSM または VPN SPA/VSPA エンドポイントの設定」を参照してください。次の表では、デバイスが Catalyst 6500/7600 デバイスではない場合について示します。

ナビゲーション パス

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスの [Endpoints] ページ、あるいは [VPN Peers] ポリシーでデバイスを選択し、[Edit] をクリックして [Edit Endpoints] ダイアログボックスを開きます。[Edit Endpoints] ダイアログボックスで [VPN Interfaces] タブを選択します。これらのページおよびダイアログボックスへのアクセス方法については、「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

フィールド リファレンス

 

表 23-6 [Edit Endpoints] ダイアログボックスの [VPN Interface] タブ

要素
説明

Enable the VPN Interface Changes on All Selected Peers

[Endpoints] ページで編集用に複数のデバイスを選択した場合に使用可能です。

選択されている場合は、[VPN interface] タブで行った変更内容が、選択したすべてのデバイスに適用されます。

VPN Interface

選択したデバイスに定義された VPN インターフェイスです。インターフェイスを識別するインターフェイス ロール ポリシー オブジェクトの名前を入力します。あるいは、[Select] をクリックして、リストから選択するか、または新しいインターフェイス ロール オブジェクトを作成します(「インターフェイス ロール オブジェクトの作成」を参照)。

デバイスが ASA 5505 バージョン 7.2(1) 以降である場合は、異なるセキュリティ レベルを持つ 2 つのインターフェイスを定義する必要があります。詳細については、「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」を参照してください。

接続タイプ

選択したデバイスが ASA または PIX 7.0+ デバイスであり、かつ選択したテクノロジーが通常の IPsec の場合にだけ、ハブアンドスポーク VPN トポロジで使用できます。

SA ネゴシエーション中にハブまたはスポークが使用する接続のタイプを選択します。

[Answer Only]:ハブが、SA ネゴシエーションへの応答だけを行い、SA ネゴシエーションを開始しないように設定します。これは、ハブの場合のデフォルトです。

[Originate Only]:デバイスが、SA ネゴシエーションの開始だけを行い、SA ネゴシエーションには応答しないように設定します。これは、スポークの場合のデフォルトです。

[Bidirectional]:ハブまたはスポークが、SA ネゴシエーションの開始および SA ネゴシエーションへの応答の両方を行うように設定します。

Local Peer IPSec Termination

選択したテクノロジーが Easy VPN の場合は使用できません。

ローカル ルータの VPN インターフェイスの IP アドレスを指定します。次のいずれかのオプションを選択できます。

[Tunnel Source IP Address]:トンネル ソースの IP アドレスを使用します。

[VPN Interface IP Address]:選択した VPN インターフェイスに設定された IP アドレスを使用します。インターフェイス ロールに一致できるのは、1 つの VPN インターフェイスだけです。このオプションは、GRE Modes ポリシーで [Configure Unique Tunnel Source for each Tunnel] を選択した場合にだけ使用できます。

[IP Address]:ローカル ルータの VPN インターフェイスの IP アドレスを明示的に指定します。このオプションは、デバイスが NAT 境界の背後にあり、NAT IP アドレスを指定する場合に使用します。

(注) VPN インターフェイスとしてトンネル ソースを選択した場合は、VPN インターフェイスに IP アドレスが動的に割り当てられている可能性があります。

[IP Address of Another Existing Interface to be Used as Local Address](IPsec テクノロジーが DMVPN の場合は使用不可):任意のインターフェイスに設定された IP アドレスをローカル アドレスとして使用します。VPN インターフェイスにかぎりません。提供されたフィールドにインターフェイスを入力します。

[Select] をクリックして、必要なインターフェイスを選択できます。すべての使用可能な定義済みのインターフェイス ロールが示されたダイアログボックスが表示されます。このダイアログボックスでは、インターフェイス ロール オブジェクトを作成できます。

Tunnel Source

IPsec/GRE または DMVPN でだけ使用可能です。

[GRE Modes] > [Tunnel Parameters] タブで、トンネル インターフェイスごとに一意のトンネル ソースを使用する設定をイネーブルにしている場合、[Override Unique Tunnel Source per Tunnel Interface] チェックボックスが使用可能になります。このオプションを選択して、選択したデバイスに別のトンネル ソースを指定します。

スポーク側の GRE または DMVPN トンネルで使用するトンネル ソース アドレスを指定します。次のいずれかのオプションを選択できます。

[VPN Interface]:トンネル ソース アドレスとして、VPN インターフェイスを使用します。

[Interface]:任意のインターフェイスをトンネル ソース アドレスとして使用します。VPN インターフェイスにかぎりません。インターフェイス名を入力します。または、[Select] をクリックして、インターフェイスを識別するインターフェイス ロールを選択します(選択ダイアログボックスからロールを作成することもできます)。

Dial Backup Settings

Enable Backup

選択したデバイスが、ポイントツーポイント トポロジまたは完全メッシュ トポロジにある IOS ルータ、ハブアンドスポーク トポロジのスポークとなっている IOS ルータ、または Easy VPN トポロジのリモート クライアントとなっている IOS ルータの場合に使用できます。

プライマリ ルート VPN インターフェイスの接続リンクが利用できなくなった場合にフォールバック リンクとして使用するバックアップ インターフェイスを設定するかどうかを指定します。

ヒント バックアップ インターフェイスを設定する前に、まずデバイスでダイヤラ インターフェイスを設定する必要があります。詳細については、「Cisco IOS ルータ上のダイヤラ インターフェイス」を参照してください。

Dialer Interface

ダイヤラ インターフェイスがアクティブになったときに、セカンダリ ルート トラフィックが送信される論理インターフェイスです。シリアル インターフェイス、非同期インターフェイス、または BRI インターフェイスを選択できます。

インターフェイスまたはインターフェイス ロール オブジェクトの名前を入力します。または、[Select] をクリックして、リストから選択します。

Primary Next Hop IP Address

選択されたテクノロジーが通常の IPsec、IPsec/GRE、GRE ダイナミック IP、または Easy VPN の場合にだけ使用できます。

プライマリ インターフェイスがアクティブな場合に接続する IP アドレスです。これは、ネクストホップ IP アドレスと呼ばれています。

ネクストホップ IP アドレスを指定しない場合、Security Manager は、VPN インターフェイス名を使用してスタティック ルートを設定します。VPN インターフェイスはポイントツーポイントである必要があります。それ以外の場合は、展開に失敗します。

[Select] をクリックして、必要な IP アドレスを選択できます。ネットワーク/ホスト セレクタが開き、そこで IP アドレスの割り当て元のネットワークを選択できます。

Tracking IP Address

プライマリ VPN インターフェイス接続からの接続を維持する必要がある宛先デバイスの IP アドレスです。Service Assurance Agent では、プライマリ ルートを経由してこのデバイスに対して ping を実行し、接続性を追跡します。このデバイスへの接続が失われた場合にバックアップ接続がトリガーされます。

IP アドレスを指定しない場合は、ハブアンドスポークまたは Easy VPN トポロジでプライマリ ハブ VPN インターフェイスが使用されます。ポイントツーポイントまたは完全メッシュ VPN トポロジでは、ピア VPN インターフェイスが使用されます。

[Select] をクリックして、必要な IP アドレスを選択できます。ネットワーク/ホスト セレクタが開き、そこで IP アドレスの割り当て元のネットワークを選択できます。

[Advanced] ボタン

選択したテクノロジーが通常の IPsec、IPsec/GRE、GRE ダイナミック IP、または Easy VPN の場合に使用できます。

「[Dial Backup Settings] ダイアログボックス」を使用して、追加のオプションの設定を行うには、このボタンをクリックします。

ダイヤル バックアップの設定

ダイヤル バックアップを使用すると、プライマリ リンクが利用できなくなった場合に備えて、直接のプライマリ接続に対するフォールバック リンクを提供できます。ダイヤル バックアップは、ポイントツーポイント、エクストラネット、または完全メッシュ VPN トポロジに参加している Cisco IOS セキュリティ ルータ、あるいはハブアンドスポーク トポロジのスポークとなっている Cisco IOS セキュリティ ルータで設定できます。Easy VPN トポロジにおいて IOS バージョン 12.3(14)T+ を実行するリモート クライアント ルータでも設定できます。

ダイヤル バックアップ機能は、次の 2 つのスタティック ルートが存在するという前提に基づいて実装されています。

プライマリ ゲートウェイ経由の、最も高いプライオリティを持つプライマリ ルート

セカンダリ ゲートウェイ経由の、低いプライオリティを持ち、プライマリ ゲートウェイがダウンしたときにだけルーティング テーブルに表示されるセカンダリ ルート

Security Manager によって、スポークに論理ダイヤラ インターフェイスが設定されます。このダイヤラ インターフェイスは、物理的なバックアップ インターフェイスに関連付けられます。プライマリ ルートがダウンすると、ダイヤラ インターフェイスがアクティブになり、トラフィックはこのバックアップ インターフェイス経由でセカンダリ ルートにリダイレクトされます。スポークとハブとの間のトラフィックが暗号化されるように、Security Manager によってダイヤラ インターフェイスに対してクリプト マップが適用されます。このクリプト マップは、VPN インターフェイス(プライマリ ルート インターフェイス)のクリプト マップと同一のものです。Easy VPN では、バックアップ設定は、ダイヤラ インターフェイスに追加されます。

IOS バージョンによっては、Response Time Reporter(RTR)または Service Level Agreement(SLA; サービス レベル契約)IOS テクノロジーを使用して、プライマリ ルートでのネットワークのパフォーマンス低下が検出されます。割り当てられている IPsec テクノロジーが DMVPN である場合は、Dialer Watch-List(DWL)が使用されます。

ISDN Basic Rate Interface(BRI; 基本インターフェイス)およびアナログ モデム インターフェイスを他のプライマリ インターフェイスに対するバックアップ インターフェイスとして設定できます。この場合、ISDN またはアナログ モデム接続は、プライマリ インターフェイスがダウンした場合に確立されます。プライマリ インターフェイスおよびその接続がダウンすると、ISDN またはアナログ モデム インターフェイスからすぐにダイヤルアウトが実行されて、ネットワーク サービスが停止しないように接続が確立されます。

始める前に

Cisco IOS ルータでダイヤラ インターフェイスを設定します。このためには、物理 BRI および非同期インターフェイス間の関係、およびダイヤル バックアップを設定する場合に使用する仮想ダイヤラ インターフェイスを定義する必要があります。詳細については、「Cisco IOS ルータ上のダイヤラ インターフェイス」を参照してください。

プライマリ ルートが機能していることを確認します。

エクストラネット VPN の場合、ローカル(管理対象)デバイスのみにダイヤル バックアップを設定できます。


ステップ 1 ほとんどの VPN トポロジの場合、サイト間 VPN の作成時または編集時にダイヤル バックアップを設定します。既存 VPN トポロジの Peers ポリシーを編集することもできます。エクストラネット VPN の場合、Peers ポリシーを介してのみダイヤル バックアップを設定できます。

次のいずれかを実行します。

Create VPN ウィザードで、[Endpoints] ページに進みます(「VPN トポロジの作成または編集」および「エンドポイントおよび保護対象ネットワークの定義」を参照)。

[Edit VPN] ダイアログボックスで、[Endpoints] タブをクリックします(「VPN トポロジの作成または編集」および「エンドポイントおよび保護対象ネットワークの定義」を参照)。

エクストラネット VPN の場合、またはその他の VPN トポロジを編集する場合、[Peers] ポリシーを選択します。エンドポイント編集の一般情報については、「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

ステップ 2 ダイヤル バックアップを設定するルータを選択して、[Edit](鉛筆)ボタンをクリックします。同じダイヤラ設定を行うルータが複数ある場合は、それらを選択して、同時に編集できます。

これにより、[Edit Endpoints] ダイアログボックスが開きます。[VPN Interface] タブが選択されていない場合は、このタブを選択します。

ステップ 3 [VPN Interface] タブで、ダイヤル バックアップに関する次のオプションを設定します。新しい VPN を作成している場合は、VPN インターフェイスなどの他の設定も行う必要があります。これらのオプションの詳細については、「VPN インターフェイス エンドポイントの設定」を参照してください。

[Enable Backup]:このオプションを選択します。

[Dialer Interface]:論理ダイヤラ インターフェイスがアクティブになったときに、セカンダリ ルート トラフィックが送信される物理インターフェイスを指定します。

[Primary Next Hop IP Address]:選択した IPsec テクノロジーが通常の IPsec、IPsec/GRE、GRE ダイナミック IP、または Easy VPN の場合、ネクストホップ IP アドレスを入力します。ネクストホップ IP アドレスを入力しない場合、Security Manager は、インターフェイス名を使用してスタティック ルートを設定します。

[Tracking IP Address]:プライマリ VPN インターフェイス接続からの接続を維持する必要がある宛先デバイスの IP アドレスを指定します。これは、接続性を追跡するために、プライマリ ルートを経由して ping が実行されるデバイスです。このデバイスへの接続が失われた場合にバックアップ接続がトリガーされます。

IP アドレスを指定しない場合は、ハブアンドスポークまたは Easy VPN トポロジでプライマリ ハブ VPN インターフェイスが使用されます。ポイントツーポイントまたは完全メッシュ VPN トポロジでは、ピア VPN インターフェイスが使用されます。

ステップ 4 選択した IPsec テクノロジーが通常の IPsec、IPsec/GRE、GRE ダイナミック IP、または Easy VPN の場合は、[Advanced] をクリックして、[Dial Backup Settings] ダイアログボックスで追加の(オプションの)設定を行います。これらの設定については、「[Dial Backup Settings] ダイアログボックス」で説明します。[OK] をクリックして変更を保存します。

ステップ 5 [Edit Endpoints] ダイアログボックスで [OK] をクリックします。


 

[Dial Backup Settings] ダイアログボックス

[Dial Backup Settings] ダイアログボックスを使用して、サイト間 VPN にダイヤル バックアップ ポリシーを設定するためのオプションの設定を定義します。これらの設定は、通常の IPsec、IPsec/GRE、GRE ダイナミック IP、または Easy VPN テクノロジーにおいて使用できます。

ダイヤル バックアップの必須の設定は、[Edit Endpoints] ダイアログボックスの [VPN Interface] タブで行います。「VPN インターフェイス エンドポイントの設定」を参照してください。


) ダイヤラ インターフェイスを設定しないと、ダイヤル バックアップは正常に動作しません。詳細については、「Cisco IOS ルータ上のダイヤラ インターフェイス」を参照してください。


ナビゲーション パス

[Dial Backup Settings] ダイアログボックスを開くには、ダイヤル バックアップをイネーブルにして、[Edit Endpoints] ダイアログボックスの [VPN Interface] タブにある [Advanced] をクリックします。[Edit Endpoints] ダイアログボックスを開く方法については、「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

関連項目

「ダイヤル バックアップの設定」

「Easy VPN について」

フィールド リファレンス

 

表 23-7 [Dial Backup Settings] ダイアログボックス

要素
説明

Next Hop Forwarding

Backup Next Hop IP Address

必要に応じて、ISDN BRI またはアナログ モデム バックアップ インターフェイスのネクストホップ IP アドレス(バックアップ インターフェイスがアクティブになったときに接続する IP アドレス)を入力します。IP アドレス、またはネットワーク/ホスト オブジェクトの名前を入力できます。または、[Select] をクリックして、IP アドレスを指定するネットワーク/オブジェクトを選択します。

ネクストホップ IP アドレスを入力しない場合、Security Manager は、インターフェイス名を使用してスタティック ルートを設定します。

Tracking Object Settings

Timeout

Service Assurance Agent の動作において、宛先デバイスからの応答を受信するまで待機するミリ秒単位の時間です。デフォルトは 5000 ms です。

Frequency

プライマリ ルートのパフォーマンスの低下を検出するために Response Time Reporter(RTR)を使用する頻度です。デフォルトは 60 秒ごとです。

Threshold

RTR 動作において、対応イベントを生成し、履歴情報を保存する、ミリ秒単位の上昇しきい値です。デフォルトは 5000 ms です。

VPNSM または VPN SPA/VSPA エンドポイントの設定

[Endpoints] テーブルで編集用に Catalyst 6500/7600 デバイスを選択した場合、[Edit Endpoints] ダイアログボックスの [VPN Interface] タブで、デバイスに Cisco VPN Services Module(VPNSM; VPN サービス モジュール)、Cisco VPN Shared Port Adapter(VPN SPA; VPN 共有ポート アダプタ)、および Cisco VPN Service Port Adapter(VSPA; VPN サービス ポート アダプタ)を設定できます。同時に複数の Catalyst 6500/7600 デバイスを選択できます。変更内容は、選択したすべてのデバイスに適用されます。

Security Manager によって管理されたポイントツーポイントまたは完全メッシュ VPN トポロジ内のデバイス、またはハブアンドスポーク VPN トポロジ内のハブやスポークをデバイスとして選択できます(Easy VPN では、スポークをデバイスとして選択することはできません)。これらの設定は、選択したデバイスが大規模 DMVPN における IPsec ターミネータである場合にも設定する必要がありますが、次に示すすべての設定が使用できるわけではありません。「大規模 DMVPN の設定」を参照してください。

一般的な注意点

Catalyst 6500/7600 デバイスには、3 ~ 13 のシャーシ スロットが備えられています。ブレードの設計上、スロットあたり 1 つの VPNSM または 2 つの VPNSPA/VSPA をインストールできます。VPNSPA/VSPA の位置は、スロット番号とサブスロット番号で識別されます。Security Manager は、この情報をインベントリに保存して、VPN トポロジを管理できるようにします。

シャーシ内のハイ アベイラビリティを設定する場合は、同じデバイスで VPNSM ブレードと VPNSPA/VSPA ブレードをプライマリ ブレードおよびフェールオーバー ブレードとして使用することはできません。

リモート アクセス VPN では、各 IPsec プロポーザルに対して 1 つのフェールオーバー装置だけを設定できます。「[VPNSM/VPN SPA/VSPA Settings] ダイアログボックス」を参照してください。

Catalyst 6500/7600 に Firewall Services Module(FWSM; ファイアウォール サービス モジュール)がある場合は、これらのモジュールと連携して動作するように設定できます。詳細については、「VPNSM または VPNSPA/VSPA が設定されたデバイスへのファイアウォール サービス モジュール(FWSM)インターフェイスの設定」を参照してください。

デバイスで VRF 対応 IPsec とともに VPNSM または VPNSPA/VSPA を設定する場合、そのデバイスは、VRF 対応 IPsec が設定されていない別の VPN トポロジに属することができません。詳細については、「VRF 対応 IPsec の設定」を参照してください。

Catalyst 6500/7600 デバイスに内部 VLAN を作成するか、または既存のポートや VLAN 設定を編集します。デバイスに VRF 対応 IPsec が設定されている場合は、転送 VLAN を作成する必要があります。

VPNSM に関する注意点

Security Manager では、Catalyst 6500/7600 デバイスにおける複数の VPNSM の設定がサポートされていますが、VPN トポロジあたり 1 つ(シャーシ内のハイ アベイラビリティを設定する場合は 2 つ)のモジュールだけを設定できます。

VPNSM を設定する場合、親の Catalyst 6500/7600 デバイスで Cisco IOS ソフトウェア Release 12.2(18)SXD1 以降が実行されている必要があります。

VPNSM 設定では、レイヤ 3 VLAN だけを使用できます。

VPNSPA/VSPA に関する注意点

この設定は、大規模 DMVPN 設定で IPsec ターミネータを設定する場合にも適用されます。詳細については、「大規模 DMVPN の設定」を参照してください。

VPN SPA では、すべてのキー サイズ(128、192、および 256 ビット)の AES 暗号化アルゴリズム、および DES 暗号化アルゴリズムと 3DES 暗号化アルゴリズムがサポートされています。詳細については、「使用する暗号化アルゴリズムの決定」を参照してください。

VRF モードでは、 crypto engine slot slot/subslot { inside | outside } コマンドは内部および外部 VPN インターフェイスに展開されます。

Catalyst 6500/7600 デバイスで、Cisco IOS ソフトウェア Release 12.2(18)SXE2 以降を実行している必要があります。

暗号接続代替モード(このモードでは、暗号化されたトラフィックが VPNSM/VPN SPA で受信された場合はパススルーされ、クリア テキストのトラフィックは迂回されます)を使用する予定の場合、Catalyst 6500 デバイスでは Cisco IOS ソフトウェア バージョン 12.2(33)SXH 以降が、7600 ルータでは 12.2(33)SRA 以降が実行されている必要があります。

複数のハブが参加する DMVPN トポロジで 1 つのハブに VPN SPA ブレードが設定されている場合は、スポークであるかハブであるかにかかわらず、 いずれの デバイスにもトンネル キーを設定しないでください。このようなトポロジに参加するデバイスでは、キーなしでのトンネルをサポートするために Cisco IOS ソフトウェア バージョン 12.3T 以降が実行されている必要があります。

ナビゲーション パス

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスの [Endpoints] ページ、あるいは [VPN Peers] ポリシーで Catalyst 6500/7600 デバイスを選択し、[Edit] をクリックして [Edit Endpoints] ダイアログボックスを開きます。[Edit Endpoints] ダイアログボックスで [FWSM] タブを選択します。これらのページおよびダイアログボックスへのアクセス方法については、「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

フィールド リファレンス

 

表 23-8 [Edit Endpoints] ダイアログボックスの [VPN Interface] タブの [VPNSM/VPN SPA/VSPA Settings]

要素
説明

Enable the VPN Interface Changes on All Selected Peers

(注) [Endpoints] ページで、編集用に複数の Catalyst 6500/7600 デバイスを選択した場合に使用できます。

選択されている場合は、[VPN interface] タブで行った変更内容が、選択したすべてのデバイスに適用されます。

VPNSM/VPN SPA/VSPA Settings

[Use Crypto Connect Alternate]:選択されている場合、Catalyst 6500/7600 上の VPNSM/VPN SPA に入った暗号化されたトラフィックだけがパススルーされます。クリア テキストのトラフィックは、アダプタを通過しません(迂回されます)。このオプションを使用するには、Catalyst 6500 ではバージョン 12.2(33)SXH 以降が、7600 ルータでは 12.2(33)SRA 以降が実行されている必要があります。

このモードは、大規模な VPN トポロジをサポートする必要がある企業のお客様(金融機関など)や、暗号化されたチャネル上で大量のデータを送信する必要がある企業のお客様(インターネット上でのリモート障害回復やバックアップなど)にとって、暗号接続モードの代替選択肢として推奨されます。

[Inside VLAN]:サービス モジュールまたはアダプタへの内部インターフェイスとして機能する VLAN です。また、VPN トンネルのハブ エンドポイントでもあります(デバイスに VRF 対応 IPsec が設定されていない場合)。VLAN またはインターフェイス ロール オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択します。

[Slot and Subslot]:VPNSM または VPNSPA/VSPA のスロット位置を指定する番号です。VPNSPA/VSPA を設定する場合は、サブスロット番号も必要です。

[Outside VLAN/External port]:内部 VLAN に接続する外部ポートまたは VLAN です。VLAN またはインターフェイス ロール オブジェクトの名前を入力するか、[Select] をクリックしてリストから選択します。内部 VLAN に選択したものとは異なるインターフェイスまたはインターフェイス ロールを選択する必要があります。

(注) VRF 対応 IPsec がデバイスに設定されている場合は、外部ポートまたは VLAN に IP アドレスが必要です。

Tunnel Source

(注) 選択されたテクノロジーが IPsec/GRE または DMVPN の場合は、ハブに対してだけ使用できます。

スポーク側の GRE または DMVPN トンネルで使用するトンネル ソース アドレスを指定します。次のいずれかのオプションを選択できます。

[Override Unique Tunnel Source per Tunnel Interface]:[GRE Modes] > [Tunnel Parameters] タブで、トンネル インターフェイスごとに一意のトンネル ソースを使用する設定をイネーブルにしている場合、このオプションが使用可能になります。このオプションを選択して、選択したデバイスに別のトンネル ソースを指定します。

[Outside VLAN/External Port (When CCA/VRF is Enabled)]:[Use Crypto Connect Alternate] チェックボックスが選択されている場合、このオプション ボタンが使用可能になります。選択されている場合、外部 VLAN または外部ポートがトンネル ソースとして指定されます。

[Inside VLAN]:選択されている場合、内部 VLAN に設定されているインターフェイスが、トンネル ソースとして使用されます。

[Interface]:任意のインターフェイス(VPN インターフェイスにかぎりません)をトンネル ソース アドレスとして使用するには、インターフェイス名を入力するか、または [Select] をクリックしてインターフェイスを識別するインターフェイス ロールを選択します。選択リストから新しいロールを作成することもできます。

Local Peer IPSec Termination

ローカル ルータに、VPN インターフェイスの IPsec 終端ポイントを定義します。

[Inside VLAN]:内部 VLAN として設定されているインターフェイスを使用します。

[IP Address]:ローカル ルータの VPN インターフェイスの IP アドレスを使用します。IP アドレスを入力します。

(注) VPN インターフェイスとしてトンネル ソースを選択した場合は、VPN インターフェイスに IP アドレスが動的に割り当てられている可能性があります。

Enable Failover Blade

シャーシ内のハイ アベイラビリティを確保するために、フェールオーバー VPNSM または VPNSPA/VSPA ブレードを設定するかどうかを指定します。

(注) 同じデバイスで VPNSM ブレードと VPNSPA/VSPA ブレードをプライマリ ブレードおよびフェールオーバー ブレードとして使用することはできません。

次のように、フェールオーバー ブレードを指定します。

[Slot]:VPNSM ブレードまたは VPNSPA/VSPA ブレードの位置を特定するスロット番号です。

[Subslot]:VPNSPA/VSPA を設定する場合は、フェールオーバー VPN SPA ブレードがインストールされたサブスロットの番号(0 または 1)を選択します。

(注) VPNSM を設定している場合は、ブランク オプションを選択します。

エンドポイントの保護対象ネットワークの特定

[Edit Endpoints] ダイアログボックスの [Protected Networks] タブを使用して、[Endpoints] テーブルのデバイスに定義された保護対象ネットワークを編集します(「エンドポイントおよび保護対象ネットワークの定義」を参照)。

保護対象ネットワークは、命名パターンがデバイスの内部 VPN インターフェイスと一致するインターフェイス ロールとして指定することも、1 つ以上のネットワークやホストの IP アドレス、インターフェイス、その他のネットワーク オブジェクトを含むネットワーク/ホスト グループ オブジェクトとして指定することも、(割り当てられているテクノロジーが通常の IPsec の場合には)アクセス コントロール リスト オブジェクトとして指定することもできます。

同時に複数のデバイスを編集している場合は、[Enable the Protected Networks Changes on All Selected Peers] を選択して、[Protected Networks] タブで行ったすべての変更内容を選択されたすべてのデバイスに適用します。

保護対象ネットワークを追加するには、[Available Protected Networks] リストからネットワークを選択し、[>>] をクリックして、[Selected Protected Networks] リストに移動します。インターフェイス ロール オブジェクト、([Protected Networks] フォルダに表示された)ネットワーク/ホスト グループ オブジェクト、またはアクセス コントロール リスト オブジェクトの任意の組み合わせを使用して、デバイスの保護対象ネットワークを定義できます(ACL オブジェクトは、割り当てられたテクノロジーが通常の IPsec の場合にだけ使用できます)。


) 割り当てられているテクノロジーが通常の IPsec であるハブアンドスポーク VPN トポロジで ACL オブジェクトを使用してスポークで保護対象ネットワークが定義されている場合、Security Manager によってスポークの ACL オブジェクトがハブの一致するクリプト マップ エントリにミラーリングされます。


選択された保護対象ネットワークを削除するには、ネットワークを選択して、[<<] ボタンをクリックします。

オブジェクトの順序が問題となる場合は、上向き矢印ボタンと下向き矢印ボタンを使用して、必要に応じて選択されたオブジェクトのリスト内でオブジェクトのプライオリティの順序を調整できます。順序が問題とならない場合には、これらのボタンは使用できません。

保護対象ネットワークを定義するために必要なオブジェクトがリストに表示されていない場合は、[Create](+)ボタンをクリックしてオブジェクトを追加します。この場合、追加するオブジェクトのタイプを選択するように求められます。既存のオブジェクトを選択し、[Edit](鉛筆)ボタンをクリックして、既存のオブジェクトの定義を変更することもできます。詳細については、次のトピックを参照してください。

「インターフェイス ロール オブジェクトについて」および「インターフェイス ロール オブジェクトの作成」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」および「IPv4 または IPv6 ネットワーク/ホスト オブジェクトの作成」

「アクセス コントロール リスト オブジェクトの作成」

ナビゲーション パス

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスの [Endpoints] ページ、あるいは [Peers] ポリシーでデバイスを選択し、[Edit] をクリックして [Edit Endpoints] ダイアログボックスを開きます。[Edit Endpoints] ダイアログボックスの [Protected Networks] タブを選択します。これらのページおよびダイアログボックスへのアクセス方法については、「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

VPNSM または VPNSPA/VSPA が設定されたデバイスへのファイアウォール サービス モジュール(FWSM)インターフェイスの設定

Security Manager では、Catalyst 6500/7600 デバイスに、IPsec VPN Services Module(VPNSM; VPN サービス モジュール)または VPNSPA/VSPA とともに Firewall Services Module(FWSM; ファイアウォール サービス モジュール)を設定できます。この機能を使用すると、VPNSM または VPN SPA/VSPA で内部ネットワークに対してセキュアなアクセスを提供するとともに、FWSM で信頼できないクライアントに対してファイアウォール ポリシーを適用できます。

FWSM と、Catalyst 6500/7600 デバイスにすでに設定されている VPNSM または VPNSPA/VSPA との間の接続を可能にする設定を定義するには、[Edit Endpoints] ダイアログボックスの [FWSM] タブを使用します。[FWSM] タブは、ハブアンドスポーク VPN トポロジにおいて、選択されたハブが Catalyst 6500/7600 デバイスの場合にだけ使用できます。

ヒント

FWSM 設定を定義する前に、FWSM をホストする Catalyst 6500/7600 デバイスを Security Manager インベントリに追加して、FWSM とそのポリシーおよびセキュリティ コンテキストを検出する必要があります。「ネットワークからのデバイスの追加」および「セキュリティ コンテキストの管理」を参照してください。

Catalyst 6500/7600 デバイスで内部インターフェイスがまだ作成されていない場合は、内部インターフェイスを作成する必要があります(「VLAN の作成または編集」を参照)。その後、FWSM 内部インターフェイス(VLAN)を適切なセキュリティ コンテキストに割り当てるか、または FWSM ブレードに直接割り当てます。

また、IPsec VPN Services Module(VPNSM; VPN サービス モジュール)または VPNSPA/VSPA に関連する設定を [VPN Interfaces] タブで行う必要があります。詳細については、「VPNSM または VPN SPA/VSPA エンドポイントの設定」を参照してください。

ナビゲーション パス

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスの [Endpoints] ページ、あるいは [VPN Peers] ポリシーで、FWSM を搭載した Catalyst 6500/7600 デバイスを選択し、[Edit] をクリックして、[Edit Endpoints] ダイアログボックスを開きます。[Edit Endpoints] ダイアログボックスで [FWSM] タブを選択します。これらのページおよびダイアログボックスへのアクセス方法については、「エンドポイントおよび保護対象ネットワークの定義」を参照してください。

フィールド リファレンス

 

表 23-9 [Edit Endpoints] ダイアログボックスの [FWSM] タブ

要素
説明

Enable FWSM Settings

Catalyst 6500/7600 デバイスで、Firewall Services Module(FWSM; ファイアウォール サービス モジュール)と VPN Services Module(VPNSM; VPN サービス モジュール)または VPN SPA との間に接続を設定するかどうかを指定します。

FWSM Inside VLAN

Firewall Services Module(FWSM; ファイアウォール サービス モジュール)への内部インターフェイスとして機能する VLAN です。インターフェイスまたはインターフェイス ロールの名前を入力するか、あるいは [Select] をクリックして、リストから名前を選択するか新しいインターフェイス ロール オブジェクトを作成します。

FWSM Blade

使用可能なブレードのリストから、選択した FWSM 内部 VLAN インターフェイスが接続されているブレード番号を選択します。

Security Context

FWSM 内部 VLAN がセキュリティ コンテキストの一部である場合(つまり、FWSM がマルチ コンテキスト モードで実行されている場合)、このフィールドにセキュリティ コンテキスト名を指定します。名前では、大文字と小文字が区別されます。

VRF 対応 IPsec の設定

[Edit Endpoints] ダイアログボックスの [VRF-Aware IPsec] タブを使用して、ハブアンドスポーク VPN トポロジ内のハブに VRF-Aware IPsec ポリシーを設定します。VRF 対応 IPsec は、1 ボックス ソリューションまたは 2 ボックス ソリューションとして設定できます。VRF 対応 IPsec の詳細については、「VRF 対応 IPsec について」を参照してください。

ヒント

VRF 対応 IPsec は、ハブアンドスポーク VPN トポロジのハブにだけ設定できます。

2 つのハブがある VPN トポロジでは、両方のデバイスに VRF 対応 IPsec を設定する必要があります。

VRF 対応 IPsec が設定されていない他の VPN トポロジに属するデバイスに対して VRF 対応 IPsec を設定することはできません。

ハイ アベイラビリティが設定されているハブに対して VRF 対応 IPsec を設定することはできません。「VPN トポロジにおけるハイ アベイラビリティの設定」を参照してください。

IPsec Aggregator が、既存の事前共有キー(keyring)コマンドと同じ keyring CLI コマンドを使用して設定されており、他のコマンドによって参照されていない場合には、展開に失敗する場合があります。この場合、Security Manager では VRF keyring CLI が使用されず、異なる名前でキーリングが生成されるため、展開に失敗します。設定を展開する前に、事前共有キー keyring コマンドを CLI から手動で削除する必要があります。

ナビゲーション パス

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスの [Endpoints] ページ、あるいは [VPN Peers] ポリシーで、ハブアンドスポーク トポロジ内の VRF 対応 IPsec 設定をサポートするデバイスを選択し、[Edit] をクリックして、[Edit Endpoints] ダイアログボックスを開きます。[Edit Endpoints] ダイアログボックスで [VRF-Aware IPsec] タブを選択します。これらのページおよびダイアログボックスへのアクセス方法については、「エンドポイントおよび保護対象ネットワークの定義」および「VPN トポロジの作成または編集」を参照してください。

フィールド リファレンス

 

表 23-10 [Edit Endpoints] ダイアログボックスの [VRF Aware IPsec] タブ

要素
説明

Enable the VRF Settings Changes on All Selected Peers

[Endpoints] ページで編集用に複数のデバイスを選択した場合に使用できます。

選択されている場合、[VRF Settings] タブで行ったすべての変更内容が、選択したすべてのデバイスに適用されます。

Enable VRF Settings

デバイスで VRF の設定をイネーブルにするかどうかを指定します。

(注) このチェックボックスの選択を解除することによって、VPN トポロジに定義された VRF 設定を削除できます。ただし、Catalyst 6500/7600 デバイスに VRF 対応 IPsec が設定されている場合、VRF 設定をディセーブルにするには追加の手順が必要となります。「Catalyst スイッチおよび 7600 デバイスにおける VRF のイネーブル化およびディセーブル化」を参照してください。

VRF Solution

設定する VRF ソリューションのタイプを指定します。

[1-Box](IPsec Aggregator + MPLS PE):1 ボックス ソリューションでは、1 つのデバイスが、パケットへの MPLS タギング、および Customer Edge(CE; カスタマー エッジ)デバイスとの間での IPsec 暗号化と復号化を行う Provider Edge(PE; プロバイダー エッジ)ルータとして機能します。詳細については、「VRF 対応 IPsec 1 ボックス ソリューション」を参照してください。

[2-Box](IPsec Aggregator だけ):2 ボックス ソリューションでは、PE デバイスは MPLS タギングだけを行います。CE との間の IPsec 暗号化および復号化は、IPsec Aggregator によって行われます。詳細については、「VRF 対応 IPsec 2 ボックス ソリューション」を参照してください。

VRF Name

IPsec Aggregator の VRF ルーティング テーブルの名前。VRF 名では、大文字と小文字が区別されます。

Route Distinguisher

IPsec Aggregator の VRF ルーティング テーブルの固有識別情報。この一意のルート識別子によって、MPLS コアおよび他の PE ルータにまたがる各 VPN のルーティングの分離が維持されます。

識別情報は次のいずれかの形式です。

IP アドレス:X X は 0 ~ 2147483647 の数値)

N:X N は 0 ~ 65535 の数値、X は 0 ~ 2147483647 の数値)

(注) VRF 設定をデバイスに展開したあとは RD 識別子を上書きできません。展開後に RD 識別子を変更するには、デバイス CLI を使用して手動で削除してから、再度展開する必要があります。

Interface Towards Provider Edge

(2 ボックス ソリューションのみ)

IPsec Aggregator 上の、PE デバイスに向けた VRF 転送インターフェイス。IPsec Aggregator(ハブ)が Catalyst VPN サービス モジュールの場合は、VLAN を指定する必要があります。

インターフェイスまたはインターフェイス ロール オブジェクトの名前を入力します。あるいは、[Select] をクリックして、リストから選択するか、または新しいインターフェイス ロール オブジェクトを作成します。

Routing Protocol

(2 ボックス ソリューションのみ)

IPsec Aggregator と PE との間で使用するルーティング プロトコル。オプションは、[BGP]、[EIGRP]、[OSPF]、[RIPv2]、または [Static route] です。デフォルトは BGP です。

保護された IGP で使用されるルーティング プロトコルが、IPsec Aggregator と PE との間で使用されるルーティング プロトコルと異なる場合は、保護された IGP へのルーティングの再配布に使用するルーティング プロトコルを選択します。

プロトコルの詳細については、「ルータの管理」を参照してください。

(注) 1 ボックス ソリューションでは、ルーティング プロトコルおよび AS 番号は指定する必要がないため、これらのフィールドは使用できません。1 ボックス ソリューションでは、BGP プロトコルだけがサポートされています。

AS Number

(2 ボックス ソリューション、BGP または EIGRP ルーティングだけ)

IPsec Aggregator と PE との間の Autonomous System(AS; 自律システム)領域の識別に使用する番号。AS 番号は、1 ~ 65535 の範囲である必要があります。

保護された IGP で使用されるルーティング プロトコルが、IPsec Aggregator と PE との間で使用されるルーティング プロトコルと異なる場合は、IPsec Aggregator および PE からルーティングが再配布される保護された IGP を識別するために使用する AS 番号を入力します。この設定は、IPsec/GRE または DMVPN が適用されている場合にだけ関連があります。

Process Number

(2 ボックス ソリューション、OSPF ルーティングのみ)

OSPF ルーティングを使用している場合に、保護された IGP を識別するために使用するルーティング プロセス ID 番号。

範囲は 1 ~ 65535 です。

OSPF Area ID

(2 ボックス ソリューション、OSPF ルーティングのみ)

パケットが属する領域の ID 番号。0 ~ 4294967295 の範囲の任意の番号を入力できます。

(注) すべての OSPF パケットは単一の領域に関連付けられるため、すべてのデバイスに同じ領域 ID 番号が必要です。

Next Hop IP Address

(2 ボックス ソリューション、スタティック ルーティングだけ)

スタティック ルーティングを使用している場合の、IPsec Aggregator に接続されている Provider Edge(PE; プロバイダー エッジ)またはインターフェイスの IP アドレス。

Redistribute Static Route

(2 ボックス ソリューション、スタティック ルーティング以外だけ)

IPsec Aggregator に設定されたルーティング プロトコルで、スタティック ルートを PE デバイスにアドバタイズするかどうかを指定します。

VPN トポロジにおけるハイ アベイラビリティの設定

Create VPN ウィザードおよび [Edit VPN] ダイアログボックスの [High Availability] ページを使用して、ハブのグループを High Availability(HA; ハイ アベイラビリティ)グループとして定義します。ハイ アベイラビリティを設定するかどうかはオプションです。

Create VPN ウィザードまたは [Edit VPN] ダイアログボックスを開く方法については、「VPN トポロジの作成または編集」を参照してください。

LAN 上で IP を実行する Cisco IOS ルータまたは Catalyst 6500/7600 デバイスに High Availability(HA; ハイ アベイラビリティ)ポリシーを設定すると、自動デバイス バックアップ機能を使用できます。ハイ アベイラビリティは、通常の IPsec または Easy VPN テクノロジーを使用するハブアンドスポーク VPN トポロジで設定できます。

Security Manager では、Hot Standby Routing Protocol(HSRP)を使用して透過的な自動デバイス フェールオーバーを提供する 2 つ以上のハブ デバイスで構成された HA グループによって HA がサポートされます。仮想 IP アドレスを共有することによって、HA グループのハブは、外観上は、LAN 上のホストに対して単一の仮想デバイスまたはデフォルト ゲートウェイになります。HA グループの 1 つのハブが常にアクティブになって仮想 IP アドレスを独占的に使用し、同時に他のハブはスタンバイ ハブになります。グループ内のハブは、アクティブ デバイスおよびスタンバイ デバイスから hello パケットが着信するのを待ちます。アクティブ デバイスが何らかの理由で使用できなくなると、スタンバイ ハブが仮想 IP アドレスの所有権を取得して、ハブの機能を引き継ぎます。この移行は、LAN 上のホストおよびピア デバイスに対してシームレスかつ透過的に実行されます。

HA グループを使用する場合は、次の点に注意します。

ハイ アベイラビリティは、通常の IPsec または Easy VPN テクノロジーを使用するハブアンドスポーク VPN トポロジ内のハブに対してだけ設定できます。

ハイ アベイラビリティは、Cisco IOS ルータまたは Catalyst 6500/7600 デバイスにだけ設定できます。ただし、HA グループには、Cisco IOS ルータと Catalyst 6500/7600 デバイスの両方を含むことはできません。

ステートフル フェールオーバーを設定する場合、HA グループには 2 つのハブだけを含むことができます。これらのハブは、Cisco IOS ルータである必要があります。Catalyst 6500/7600 デバイスは使用できません。

VRF 対応 IPsec が設定されたハブにはハイ アベイラビリティを設定できません。「VRF 対応 IPsec について」を参照してください。

HA グループには GRE を設定できません。

HA グループ内のデバイスは、複数のハブアンドスポーク トポロジに属することができます。

サイト間 VPN で HA が設定されたハブとして設定されているデバイスは、同じ外部インターフェイスを使用して、異なるサイト間 VPN で HA が設定されたハブとして設定できません。同様に、このようなデバイスは、同じ外部インターフェイスを使用して、HA が設定されたリモート アクセス VPN サーバとして設定できません。

すべてのピアにおいて、同じ自動生成された事前共有キーを認証に使用する必要があります。Preshared Key ポリシーを設定するときにこのオプションの使用を指定していない場合、このオプションは、ハイ アベイラビリティの設定中に上書きされます。詳細については、「IKEv1 事前共有キー ポリシーの設定」を参照してください。

設定の生成中に、HA グループ内のすべてのハブは同じコマンドを受信します。コマンドは、HA グループ全体に対して展開する必要があります。グループ内の個別のハブに対して展開することはできません。

次の表に、ハイ アベイラビリティ設定用のオプションを示します。

 

表 23-11 [High Availability] ページ

要素
説明

Enable

ハブのグループに対してハイ アベイラビリティ設定をイネーブルにするかどうかを指定します。すでにハイ アベイラビリティを設定している場合は、このオプションの選択を解除することによって、設定を削除できます。

Inside Virtual IP

HA グループ内のハブによって共有され、HA グループの内部インターフェイスを表す IP アドレス。仮想 IP アドレスは、HA グループ内のハブの内部インターフェイスと同じサブネットである必要がありますが、これらのインターフェイスのいずれかと同じ IP アドレスにすることはできません。

(注) デバイスに既存のスタンバイ グループがある場合は、提供する IP アドレスがデバイスにすでに設定されている仮想 IP アドレスと異なることを確認します。

Inside Mask

内部仮想 IP アドレスのサブネット マスク。

VPN Virtual IP

HA グループ内のハブによって共有され、HA グループの VPN インターフェイスを表す IP アドレス。この IP アドレスは、VPN トンネルのハブ エンドポイントとして機能します。

(注) デバイスに既存のスタンバイ グループがある場合は、提供する IP アドレスがデバイスにすでに設定されている仮想 IP アドレスと異なることを確認します。

VPN Mask

VPN 仮想 IP アドレスのサブネット マスク。

Hello Interval

ステータスと優先度を示すためにハブがグループ内の別のハブにエコー hello メッセージを送信する秒単位の間隔(1 ~ 254)。デフォルトは 5 秒です。

Hold Time

ハブがダウンしていると結論付ける前に、スタンバイ ハブがアクティブなハブから hello メッセージの受信を待機する秒単位の期間(2 ~ 255)。デフォルトは 15 秒です。

Standby Group Number (Inside)

HA グループ内のハブの内部仮想 IP サブネットと一致する内部ハブ インターフェイスのスタンバイ番号。番号は 0 ~ 255 の範囲である必要があります。デフォルトは 1 です。

Standby Group Number (Outside)

HA グループ内のハブの外部仮想 IP サブネットと一致する外部ハブ インターフェイスのスタンバイ番号。番号は 0 ~ 255 の範囲である必要があります。デフォルトは 2 です。

(注) 外部スタンバイ グループの番号と内部スタンバイ グループの番号は異なっている必要があります。

Enable Stateful Failover

ステートフル フェールオーバーをイネーブルにし、Stateful SwitchOver(SSO; ステートフル スイッチオーバー)を使用して HA グループ内の HSRP デバイス間で状態情報が共有されるようにするかどうかを指定します。デバイスで障害が発生した場合、共有されている状態情報により、スタンバイ デバイスは、トンネルの再確立またはセキュリティ アソシエーションの再ネゴシエートを行わずに、IPsec セッションを維持できます。

ステートフル フェールオーバーは、Cisco IOS ルータである 2 つのハブを含む HA グループでだけ設定できます。このチェックボックスは、HA グループに 3 つ以上のハブが含まれる場合にディセーブルになります。

Easy VPN トポロジでは、ステートフル フェールオーバーを常に設定する必要があるため、このチェックボックスは選択されてディセーブルになります。

ヒント:

通常の IPsec トポロジの場合に選択解除すると、HA グループにステートレス フェールオーバーが設定されます。ステートレス フェールオーバーは、HA グループに 3 つ以上のハブが含まれる場合にも設定されます。ステートレス フェールオーバーは、Cisco IOS ルータまたは Catalyst 6500/7600 デバイスに設定できます。

ステートレス フェールオーバーは、IKE 認証方式が RSA の署名である場合には使用できません。

Cisco IOS バージョン 12.3(14)T 以降が実行されているデバイスでだけ、ステートフル フェールオーバーと PKI を同時に設定できます。

関連項目

「ハブアンドスポーク VPN トポロジ」

「Easy VPN について」

GET VPN グループ暗号化の定義

[GET VPN Group Encryption] ページを使用して、GET VPN トポロジのグループ設定およびセキュリティ アソシエーションを定義します。

このページの内容は、Create VPN ウィザードを使用しているか、または Group Encryption ポリシーを編集しているかに応じて異なります。ウィザードのページはタブ形式ではありませんが、ポリシーはタブ形式で表示されます。ウィザードのページには追加のフィールドが用意されており、セキュリティ アソシエーションを設定できます。

[GET VPN Group Encryption] ページを開くには、次の手順を実行します。

新しい GET VPN を作成する場合は、Create VPN ウィザードを使用します。ウィザードの開始方法の詳細については、「VPN トポロジの作成または編集」を参照してください。

[Site-to-Site VPN Manager] ウィンドウ)既存の GET VPN トポロジを選択して、ポリシー セレクタで [Group Encryption Policy] を選択します。

(ポリシー ビュー)[Site-to-Site VPN] > [Group Encryption Policy] を選択して、既存のポリシーを選択するか、または新しいポリシーを作成します。

次の表に、GET VPN グループ暗号化設定を定義する場合に設定可能なオプションを示します。

 

表 23-12 [GET VPN Group Encryption Policy] ページ

要素
説明
[Group Settings] タブ

Group Name

Group Domain of Interpretation(GDOI)グループの名前。この名前は、VPN 名と同じです。

Group Identity

グループを識別するために使用されるパラメータ。すべてのキー サーバおよびグループ メンバーは、このパラメータを使用してグループを識別します。

ID には、番号(3333 など)または任意の IP アドレス(キーの再生成に使用するマルチキャスト アドレスなど)を使用できます。

Receive Only

イネーブルに設定すると、グループ メンバーによってトラフィックが復号化されて、クリア テキストで転送されます。この機能は、VPN のテストに役立ちます。通常の運用においては、このオプションを選択しないでください。詳細については、「パッシブ モードを使用した GET VPN への移行」を参照してください。

Security Policy

(Create VPN ウィザードだけ)

セキュリティ ポリシーとして使用される ACL ポリシー オブジェクト。このオブジェクトの内容の詳細な説明とグループ メンバー セキュリティ ポリシーとの関連については、「GET VPN セキュリティ ポリシーおよびセキュリティ アソシエーションについて」を参照してください。

このフィールドは、Create VPN ウィザードを使用している場合にだけ表示されます。Group Encryption ポリシーでは、[Security Associations] タブでセキュリティ ポリシーを設定します(後述の説明を参照)。

(注) キーの配布方法としてマルチキャストを使用している場合は、ACL ポリシー オブジェクトにマルチキャスト アドレスの拒否ルール(ACE)が含まれている必要があります。こうすると、マルチキャストを使用して送信されるキーの再生成パケットは、TEK によって暗号化されなくなります。このステートメントにより、グループ メンバーは、マルチキャスト プロトコルを使用して送信されたキーの再生成パケットを受信できます。

Authorization Type

グループで使用する認可メカニズムのタイプを [None]、[Certificates]、または [Preshared Key] から選択します。[Certificates] または [Preshared Key] を選択すると、権限のあるグループ メンバーだけがキー サーバに登録できるようになり、セキュリティが強化されます。キー サーバが複数の GDOI グループで使用される場合には、このような追加のセキュリティが必要となります。

[Certificates] を選択した場合は、証明書フィルタのリストを作成する必要があります(識別名属性または完全修飾ドメイン名属性の組み合わせを使用)。このフィルタは、キー サーバに配置されて、GDOI グループに参加する権限がグループ メンバーにあるかどうかを確認するために使用される属性や値を指定します。証明書フィルタの名前を入力し、[Add Row](+)ボタンをクリックして、「[Add Certificate Filter] ダイアログボックス」に入力します。

(注) 証明書認可を設定するには、GET VPN の Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーも設定する必要があります。使用する PKI 登録オブジェクトには、必要に応じて、同じ識別名が定義されているか、またはデバイスの完全修飾ドメイン名が含まれている必要があります。

[Preshared Key] を選択した場合は、権限のあるグループ メンバーを特定するための ACL ポリシー オブジェクトも選択します。許可ルールを使用して、グループ メンバーのホストまたはネットワーク アドレスを特定します。

Key Distribution

各グループ メンバーにキーを配布するために使用する転送方法([unicast] または [multicast])。どちらを使用するかを決定するのに役立つ情報については、「キーの再生成転送メカニズムの選択」を参照してください。

[unicast] を選択した場合、キー サーバは登録されている各グループ メンバーに対してキーの再生成メッセージを送信し、確認応答を待機します。[multicast] を選択した場合、キー サーバはキーの再生成メッセージをすべてのグループ メンバーに一度に送信し、確認応答は待機しません。キーの再生成メッセージは、このポリシーに設定された再送信間隔経過後に再送信されます。

[multicast] を選択した場合、キー サーバとして使用されているルータでマルチキャストがイネーブルになっていることを確認します。また、次のオプションを設定します。

[Group IP Address]:キー配布に使用されるマルチキャスト グループの IP アドレスです。

[Use Static IGMP Joins on Group Members]:このオプションを選択すると、静的な Source Specific Multicast(SSM)マッピングがイネーブルとなり、グループ メンバーに対してマルチキャスト トラフィックの送信元が通知されます。GET VPN の場合、グループ メンバーには、キー サーバのアドレスが通知されます。

RSA Key Label

さまざまなメッセージの暗号化に使用される、RSA キーのラベル。このキーは、デバイスにすでに存在している場合もありますが、使用されていない新しいラベルを指定することもできます。

新しい VPN を作成している場合、Create VPN ウィザードの最後にキー サーバ間でこのキーを同期するかどうかを尋ねられます。[Yes] をクリックすると、キーが存在していない場合には Security Manager によってキーが生成されます。既存の GET VPN でこの値を変更した場合は、Key Servers ポリシーからキーを同期する必要があります。このキーの用途、およびキーの生成と同期のプロセスの詳細については、「RSA キーの生成と同期」を参照してください。

Lifetime (KEK)

Key Encryption Key(KEK; キー暗号化キー)が有効な秒数。このキーは、キーの再生成メッセージの暗号化に使用されます。このライフタイムが終了する前に、キー サーバからグループにキーの再生成メッセージが送信されます。このメッセージには、新しい KEK 暗号化キーとトランスフォーム、および新しい TEK 暗号化キーとトランスフォームが含まれています。

KEK ライフタイム値は、TEK ライフタイム値よりも大きい必要があります(KEK ライフタイム値は、TEK ライフタイム値の少なくとも 3 倍以上にすることが推奨されます)。通常は、デフォルト値である 86,400 秒が適しています。TEK ライフタイム値は、セキュリティ アソシエーションごとに設定します(「[Add New Security Association]/[Edit Security Association] ダイアログボックス」を参照)。

Encryption Algorithm

キー サーバからグループ メンバーへのキーの再生成メッセージを暗号化するために使用されるアルゴリズム。

Retransmits

1 つ以上のグループ メンバーがキーの再生成メッセージを受信しない場合にメッセージを送信できる回数。

Interval

再試行間隔を表す秒数。

[Security Associations] タブ

[Security Associations] テーブル

[Security Associations] テーブルを使用して、VPN のセキュリティ アソシエーションを定義します。テーブルのカラムには、エントリの設定の概要が表示されます。これらについては、「[Add New Security Association]/[Edit Security Association] ダイアログボックス」で説明します。新しい VPN を作成する場合は、このタブではなく [Security Policy] フィールド(上記の説明を参照)を使用します。このタブは、ウィザードには表示されません。

セキュリティ アソシエーションを設定するには、次の手順を実行します。

テーブルにエントリを追加するには、[Add] ボタンをクリックして、[Add New Security Association] ダイアログボックスに入力します。

エントリを選択し、[Edit] ボタンをクリックして既存のエントリを編集します。

エントリを選択し、[Delete] ボタンをクリックして削除します。

関連項目

「GET VPN 登録プロセスについて」

「Group Encrypted Transport(GET)VPN について」

「GET VPN の設定」

[Add Certificate Filter] ダイアログボックス

[Add Certificate Filter] ダイアログボックスを使用して、GET VPN の Group Encryption ポリシー用の証明書フィルタを定義します。このフィルタは、キー サーバに配置されて、グループに参加する権限がグループ メンバーにあるかどうかを確認するために使用される属性や値を指定します。

次のフィルタ タイプのいずれかを選択します。

[dn](識別名):[Subject] フィールドに、 名前= 値 のペアのリストをカンマで区切って指定します。たとえば、OU=Cisco, C=US のように指定します。Public Key Infrastructure ポリシーを設定する場合は、選択する PKI 登録オブジェクトの [Certificate Subject Name] タブで同じ値が定義されている必要があります(「[PKI Enrollment] ダイアログボックス - [Certificate Subject Name] タブ」を参照)。識別名を使用すると、1 つのフィルタで複数のデバイスに一致させることができます。

[fqdn](完全修飾ドメイン名):[Domain Name] フィールドに、単一のデバイスの完全修飾ドメイン名(router1.example.com など)を指定します。Public Key Infrastructure ポリシーを設定する場合は、選択する PKI 登録オブジェクトで [Include Device's FQDN] オプションが選択されている必要があります。各デバイスは一意の名前を持つため、FQDN フィルタは単一のデバイスにだけ一致します。


ヒント 証明書認可を設定するには、GET VPN の Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーも設定する必要があります。PKI ポリシーは、VPN のすべてのデバイスに設定します。

ナビゲーション パス

[GET VPN Group Encryption] ページの [Group Settings] タブで、認可タイプとして [Certificates] を選択し、[Authorization Filter] テーブルの下にある [Add Row] ボタンをクリックするか、またはフィルタを選択して [Edit Row] ボタンをクリックします。[Group Encryption] ページを開く方法については、「GET VPN グループ暗号化の定義」を参照してください。

関連項目

「GET VPN 登録プロセスについて」

「Group Encrypted Transport(GET)VPN について」

「GET VPN の設定」

[Add New Security Association]/[Edit Security Association] ダイアログボックス

[Add New Security Association]/[Edit Security Association] ダイアログボックスを使用して、選択した GET VPN トポロジで使用される IPsec プロファイル(名前とトランスフォーム セットだけ)およびセキュリティ ポリシーを定義します。

ナビゲーション パス

[Add New Security Association] ダイアログボックスを開くには、[GET VPN Group Encryption] ページの [Security Associations] タブで、[Add Row](+)ボタンをクリックするか、または既存のアソシエーションを選択して [Edit Row](鉛筆)ボタンをクリックします。[Group Encryption] ページを開く方法については、「GET VPN グループ暗号化の定義」を参照してください。

関連項目

「GET VPN 登録プロセスについて」

「Group Encrypted Transport(GET)VPN について」

「GET VPN の設定」

フィールド リファレンス

 

表 23-13 [Add New Security Association] ダイアログボックス

要素
説明

ID

プロファイルのシーケンス番号。この番号によって、セキュリティ アソシエーションの相対的なプライオリティが定義されます(1 が最も高いプライオリティです)。複数のセキュリティ アソシエーションがある場合、それぞれの ACL がこの番号で表された順序で連結(およびマージ)され、グループ メンバーは、連結された ACL を単一の ACL として処理します。

デフォルトの番号のままにするか、または新しい番号を入力します。

IPSec Profile Name

IPsec プロファイルの名前。

Transform Sets

IPsec プロファイルに定義されたトランスフォーム セット ポリシー オブジェクト(セキュリティ プロトコル、アルゴリズム、およびその他の設定)。複数のエントリがある場合は、カンマで区切って、プライオリティ順に並べます。定義済みのトランスフォーム セットのリストから選択する場合や、新しいトランスフォーム セットを作成する場合は、[Select] をクリックします。

Security Policy

セキュリティ アソシエーションに対して定義されているアクセス コントロール リスト ポリシー オブジェクト。定義済みの ACL オブジェクトのリストから選択する場合や、新しい ACL オブジェクトを作成する場合は、[Select] をクリックします。このオブジェクトの内容の詳細な説明とグループ メンバー セキュリティ ポリシーとの関連については、「GET VPN セキュリティ ポリシーおよびセキュリティ アソシエーションについて」を参照してください。

(注) キーの配布方法としてマルチキャストを使用している場合は、ACL ポリシー オブジェクトにマルチキャスト アドレスの拒否ルール(ACE)が含まれている必要があります。こうすると、マルチキャストを使用して送信されるキーの再生成パケットは、TEK によって暗号化されなくなります。このステートメントにより、グループ メンバーは、マルチキャスト プロトコルを使用して送信されたキーの再生成パケットを受信できます。

Enable Anti-Replay

盗聴者がデータ ストリームにパケットを挿入できないようにするアンチリプレイ機能をイネーブルにするかどうかを指定します。アンチリプレイは、トラフィック カウンタまたは時間に基づいて設定できます。

[Counter Window Size]:これがデフォルトですが、このオプションは推奨しません。カウンタ ベースのアンチリプレイは、グループ メンバーが 2 つの場合(実質的にポイントツーポイント VPN の場合)にだけ役立ちます。ウィンドウ サイズを選択します。

[Time Window Size]:こちらが推奨される方法ですが、グループ メンバーが 3 つ以上であることが必要です。Synchronous Anti-Replay(SAR; 同期アンチリプレイ)クロックの間隔を表す秒数を入力します。1 ~ 100 の範囲の値を入力します。デフォルト値は 100 です。時間ベースのアンチリプレイの詳細については、「時間ベースのアンチリプレイについて」を参照してください。

(注) カウンタ ベースのアンチリプレイにおいて、パケット レートが高い状態で暗号化を行う場合は、KEK ライフタイムまたは TEK ライフタイムをあまり長くしないでください。数時間でシーケンス番号が折り返す可能性があるためです。たとえば、パケット レートが 100 キロパケット/秒の場合、シーケンス番号が折り返す前に SA が使用されるように、ライフタイムを 11.93 時間未満に設定する必要があります。

Enable IPSec Lifetime

Global Settings for GET VPN ポリシーで設定されるグローバル設定を上書きする IPsec セキュリティ アソシエーション ライフタイムを設定するかどうかを指定します(「GET VPN のグローバル設定」を参照)。このライフタイム値によって、キーの再生成が必要となるまでに、どの程度の時間 Traffic Encryption Key(TEK; トラフィック暗号化キー)を使用できるかが制御されます。

グループ メンバー間のトラフィック量(KB 単位)、秒数、またはその両方に基づいて値を設定します。いずれかの値に達するとキーが失効します。次の推奨事項を考慮してください。

ライフタイムは、Key Encryption Key(KEK; キー暗号化キー)に使用されるライフタイムよりも大幅に短く(3 分の 1 程度に)する必要があります(「GET VPN グループ暗号化の定義」を参照)。

トラフィック量が多い場合にはキーの再生成が頻繁に発生し、データが消失する危険性があるため、時間に基づくライフタイムを推奨します。

グローバル設定を上書きしない場合は、フィールドを空白のままにします。

GET VPN ピアの定義

Create VPN ウィザードの [GET VPN Peers] ページを使用して、GET VPN トポロジ内のキー サーバおよびグループ メンバーのピア プロパティを設定します。トポロジを作成したあとは、Key Servers ポリシーおよび Group Members ポリシーを使用して、これらの設定を変更します。ポリシーは、キー サーバとグループ メンバーのテーブルが異なるポリシーに分割されている点を除いて、ウィザードのページと同じです。


ヒント キー サーバおよびグループ メンバーのリストには、ウィザードの [Device Selection] ページで選択したデバイスが含まれます(「VPN トポロジのデバイスの選択」を参照)。ただし、[Add](+)ボタンおよび [Delete](ゴミ箱)ボタンを使用して、このページのデバイスを追加または削除できます。

キー サーバとグループ メンバーのリストを確認して、デフォルト設定がご使用の VPN に適しているかどうかを判断します。各テーブルの下にある [Show] フィールドで [Matching Interfaces] を選択して、デフォルトのインターフェイス ロールによって選択される実際のインターフェイスを表示できます。GET VPN 設定を有効にするには、インターフェイス ロールがデバイスの実際のインターフェイスに解決される必要があります。

始める前に

ここでは、新しい VPN を作成するときに GET VPN のピアを定義する方法、および GET VPN のピア設定について説明します。Create VPN ウィザードを開く方法については、「VPN トポロジの作成または編集」を参照してください。

関連項目

「登録の失敗時にも保護するためのフェールクローズの設定」

「パッシブ モードを使用した GET VPN への移行」

「GET VPN キー サーバの設定」

「GET VPN グループ メンバーの設定」


ステップ 1 デフォルト設定が適切でない場合は、キー サーバを設定します。

変更する各キー サーバを選択し、テーブルの下にある [Edit](鉛筆)ボタンをクリックして、少なくとも次の項目を設定します。使用可能なすべての設定については、「[Edit Key Server] ダイアログボックス」を参照してください。

[Identity Interface]:グループ メンバーがキー サーバを識別し、キー サーバに登録するために使用するインターフェイスを選択します。デフォルトは、キー サーバに定義されているすべてのループバック インターフェイスを識別するループバック インターフェイス ロールです。

[Priority]:1 ~ 100 の範囲のプライオリティ値を入力することによって、キー サーバのロールをプライマリまたはセカンダリとして定義します。最も高いプライオリティを持つキー サーバがプライマリ キー サーバとなります。2 つ以上のキー サーバに同じプライオリティ値が割り当てられている場合は、最も大きい IP アドレスを持つデバイスが使用されます。デフォルトのプライオリティは、最初のキー サーバに対しては 100、2 番めのキー サーバに対しては 95 などになります。


) ネットワークがパーティション化されている場合は、複数のプライマリ キー サーバが存在することがあります。


ステップ 2 テーブル内でキー サーバを上方または下方に移動して、グループ メンバーがキー サーバに登録する場合に使用する順序を指定します。グループ メンバーは、リストの最初のキー サーバに登録されます。最初のキー サーバに到達できない場合は、2 番め以降のキー サーバに順番に登録が試みられます。この順序は、どのキー サーバがプライマリ キー サーバであるかを判断するために使用される全体的なキー サーバのプライオリティを定義するものではないことに注意してください。

ステップ 3 デフォルト設定が適切でない場合は、グループ メンバーを設定します。

変更する各グループ メンバーを選択し、テーブルの下にある [Edit](鉛筆)ボタンをクリックして、少なくとも次の項目を設定します。

[GET-Enabled Interface]:Provider Edge(PE; プロバイダー エッジ)への VPN 対応外部インターフェイスです。このインターフェイスで発信または終了するトラフィックは、暗号化または復号化が適宜評価されます。複数のインターフェイスに解決されるインターフェイス ロール オブジェクトを選択することによって、複数のインターフェイスを設定できます。インターフェイス ロール オブジェクトを選択する場合や、新しいオブジェクトを作成する場合は、[Select] をクリックします。

[Interface To Be Used As Local Address]:キー サーバがキーの再生成情報などのデータを送信する場合にグループ メンバーを識別するために使用する IP アドレスを持つインターフェイス。GET が 1 つのインターフェイスでだけイネーブルになっている場合は、ローカル アドレスとして使用するインターフェイスを指定する必要はありません。GET が複数のインターフェイスでイネーブルになっている場合は、ローカル アドレスとして使用するインターフェイスを指定する必要があります。インターフェイスまたはインターフェイス ロールの名前を入力します。または、[Select] をクリックして、インターフェイス ロールを選択します。

他の使用可能な設定については、「[Edit Group Member] ダイアログボックス」を参照してください。


 

新しい VPN トポロジへの初期ポリシー(デフォルト)の割り当て

Create VPN ウィザードの [VPN Defaults] ページを使用して、作成する VPN トポロジに割り当てられる共有サイト間 VPN ポリシーを表示および選択します。このページには、選択した IPsec テクノロジーに応じて、VPN トポロジに割り当てることができるすべての使用可能な必須およびオプションのポリシーが表示されます(詳細については、「サイト間 VPN の必須ポリシーおよびオプションのポリシーについて」を参照してください。)

Create VPN ウィザードを開く方法については、「VPN トポロジの作成または編集」を参照してください。トポロジを作成したあとは、これらのポリシーを直接編集できます。

各ポリシー タイプにおいて、VPN トポロジに割り当てる共有 VPN ポリシーを選択します。共有ポリシーだけを選択できます。次のヒントに従って選択します。

このページに表示される初期デフォルトは、Security Manager Administration の「[VPN Policy Defaults] ページ」で設定します。必須ポリシーに対して特定のデフォルトが設定されていない場合は、出荷時のポリシーが選択されます。デフォルト ポリシーの設定の詳細については、「VPN デフォルト ポリシーについて、および VPN デフォルト ポリシーの設定」を参照してください。

リストされる共有ポリシーは、データベースにコミットされた共有ポリシーのみです。たとえば、Create VPN ウィザードを使用する前に新規共有 IPsec Proposal ポリシーを作成したが、そのポリシーを事前に送信しない(および、必要に応じて承認した)場合、その新規ポリシーはリストに表示されません。新規ポリシーを使用する必要がある場合は、VPN を作成する前にそのポリシーを必ず送信してください。

ポリシーが必須の場合は、必ず選択を行う必要があります。共有ポリシーがない場合は、出荷時のポリシーだけを選択できます。トポロジを作成したあと、いつでもポリシーを編集できます。


) 現在他のユーザによってロックされている共有ポリシーの選択を試みた場合は、ロックに関する問題が存在することを示す警告メッセージが表示されます。ロックを回避するには、別のポリシーを選択するか、またはロックが解除されるまで VPN トポロジの作成をキャンセルします。詳細については、「ポリシーのロックについて」を参照してください。


ポリシーがオプションであり、共有ポリシーがない場合は、何も選択できません。そのポリシーによって提供される機能が必要な場合は、トポロジ作成終了後に設定します。

読み取り専用ダイアログボックスでポリシーの内容を表示するには、ポリシーを選択して、ポリシー リストの横にある [View Contents] ボタンをクリックします。

IKEv2 のみをサポートするトポロジを作成している場合でも、Create VPN ウィザードは、選択内容に従って IKEv1 Preshared Key ポリシーまたは IKEv1 Public Key Infrastructure ポリシーのいずれかを作成します。IKEv2 Authentication ポリシーに対するデフォルト設定はありません。IKEv2 をサポートすることを選択する場合は常に、VPN を作成したあとで IKEv2 Authentication ポリシーを手動で編集し、少なくともグローバル IKEv2 設定を定義する必要があります。ピア固有の IKEv2 オーバーライドを作成することもできます。IKEv2 のみをサポートする場合、ウィザードによって作成された IKEv1 固有のポリシーを割り当て解除できます。

完了したら、[Finish] をクリックして、新しい VPN トポロジを作成します。新しい VPN トポロジが [Site-to-Site VPN] ウィンドウの VPN セレクタに表示され、[VPN Summary] ページが表示されます。「VPN トポロジの設定の概要の表示」を参照してください。

VPN トポロジの設定の概要の表示

[VPN Summary] ページを使用して、選択した VPN トポロジの設定の概要を表示します。概要には、VPN トポロジのタイプ、トポロジ内のデバイス、割り当てられたテクノロジー、およびトポロジに設定されている特定のポリシーについての情報が含まれます。概要ページは、VPN トポロジ作成後に自動的に表示されます。エクストラネット VPN を作成する場合、Create Extranet VPN ウィザードの最後のステップとしても表示されます。

VPN トポロジの [VPN Summary] ページを開くには、次の手順を実行します。

「[Site-to-Site VPN Manager] ウィンドウ」)VPN トポロジを選択して、[Policies] リストから [VPN Summary] を選択します。

(デバイス ビュー)VPN に参加するデバイスを選択して、[Policies] リストから [Site-to-Site VPN] ポリシーを選択します。VPN トポロジを選択して、[Edit VPN Policies] ボタンをクリックします。これにより、そのトポロジが選択された状態で [Site-to-Site VPN Manager] ウィンドウが表示されます。このウィンドウで、[Policies] リストから [VPN Summary] を選択できます。

次の表に、このページに表示される情報を示します。


) 標準 VPN の概要は、エクストラネット VPN の概要とは大きく異なります。このテーブルは 2 つに分かれていて、上半分では標準 VPN の概要が説明されており、下半分ではエクストラネット VPN の概要が説明されています。


 

表 23-14 [VPN Summary] ページ

要素
説明
標準 VPN の概要情報

Name

VPN トポロジの名前。

Technology

VPN トポロジに割り当てられた IPsec テクノロジー。「IPsec テクノロジーおよびポリシーについて」を参照してください。

Type

VPN トポロジ タイプ([Hub-and-Spoke]、[Point-to-Point]、または [Full Mesh])。

Description

VPN トポロジの説明。

IPsec Terminator

VPN トポロジが大規模 DMVPN の場合に使用可能です。

大規模 DMVPN のハブ間で GRE トラフィックを負荷分散するために使用される IPsec ターミネータの名前。

Primary Hub

VPN トポロジ タイプがハブアンドスポークの場合に使用可能です。

ハブアンドスポーク トポロジにおけるプライマリ ハブの名前。

Failover Hubs

VPN トポロジ タイプがハブアンドスポークの場合に使用可能です。

ハブアンドスポーク トポロジに設定されたすべてのセカンダリ バックアップ ハブの名前。

Number of Spokes

VPN トポロジ タイプがハブアンドスポークの場合に使用可能です。

ハブアンドスポーク トポロジに含まれるスポークの数。

Peer 1

VPN トポロジ タイプがポイントツーポイントの場合に使用可能です。

ポイントツーポイント VPN トポロジにおいてピア 1 として定義されるデバイスの名前。

Peer 2

VPN トポロジ タイプがポイントツーポイントの場合に使用可能です。

ポイントツーポイント VPN トポロジにおいてピア 2 として定義されるデバイスの名前。

Number of Peers

VPN トポロジ タイプが完全メッシュの場合に使用可能です。

完全メッシュ VPN トポロジに含まれているデバイスの数。

IKE Proposal

VPN トポロジに設定されている IKEv1 プロポーザルのセキュリティ パラメータ。「IKE プロポーザルの設定」を参照してください。

(注) IKEv2 プロポーザルは概要に表示されません。

Dynamic VTI

Easy VPN トポロジで使用可能です。

Easy VPN トポロジにおいて、デバイスにダイナミック仮想テンプレート インターフェイスが設定されているかどうかが表示されます。「Easy VPN に対するダイナミック VTI の設定」を参照してください。

Transform Sets

VPN トンネル内のトラフィックを保護するために使用される認証および暗号化アルゴリズムを指定する IPsec IKEv1 トランスフォーム セット。「サイト間 VPN での IPsec プロポーザルの設定」を参照してください。

(注) IPsec IKEv2 トランスフォーム セットは概要に表示されません。

Preshared Key

選択したテクノロジーが Easy VPN の場合は使用できません。

IKEv1 Preshared Key ポリシーで使用する共有キーがユーザ定義であるか、または自動生成されたものであるかを指定します。「IKEv1 事前共有キー ポリシーの設定」を参照してください。

(注) IKEv2 事前共有キー設定は概要に表示されません。

Public Key Infrastructure

VPN トポロジに IKEv1 Public Key Infrastructure ポリシーが設定されている場合に、Certificate Authority(CA; 認証局)サーバを指定します。「サイト間 VPN での IKEv1 公開キー インフラストラクチャ ポリシーの設定」を参照してください。

(注) IKEv2 PKI 設定は概要に表示されません。

Routing Protocol

選択したテクノロジーが IPsec/GRE、GRE ダイナミック IP、または DMVPN の場合にだけ使用可能です。

GRE、GRE ダイナミック IP、または DMVPN ルーティング ポリシーを設定するための、保護された IGP で使用されるルーティング プロトコルおよび自律システム(またはプロセス ID)番号です。

(注) Security Manager によって、展開時に、保護された IGP 内のすべてのデバイスにルーティング プロトコルが追加されます。この保護された IGP を維持する場合は、このルーティング プロトコルおよび自律システム(またはプロセス ID)番号を使用して、ルータ プラットフォーム ポリシーを作成する必要があります。

「[GRE Modes] ページについて」を参照してください。

Tunnel Subnet IP

選択したテクノロジーが IPsec/GRE、GRE ダイナミック IP、または DMVPN の場合にだけ使用可能です。

トンネル サブネットが定義されている場合に、一意のサブネット マスクを含む内部トンネル インターフェイス IP アドレスが表示されます。

「[GRE Modes] ページについて」を参照してください。

User Group

Easy VPN トポロジで使用可能です。

Easy VPN トポロジ内のデバイスに User Group ポリシーが設定されている場合に、ポリシーの詳細が表示されます。「Easy VPN における User Group ポリシーの設定」を参照してください。

PIX7.0/ASA Tunnel Group

Easy VPN トポロジで使用可能です。

Easy VPN トポロジ内の PIX ファイアウォール バージョン 7.0+ または ASA アプライアンスに Connection Profile ポリシーが設定されている場合に、ポリシーの詳細が表示されます。「[Connection Profiles] ページ」を参照してください。

High Availability

VPN トポロジ タイプがハブアンドスポークの場合に使用可能です。

ハブアンドスポーク VPN トポロジ内のデバイスに High Availability ポリシーが設定されている場合に、ポリシーの詳細が表示されます。「VPN トポロジにおけるハイ アベイラビリティの設定」を参照してください。

VRF 認識 IPSec

VPN トポロジ タイプがハブアンドスポークの場合に使用可能です。

ハブアンドスポーク VPN トポロジ内のハブに VRF-Aware IPsec ポリシーが設定されている場合に、VRF ソリューションのタイプ(1 ボックスまたは 2 ボックス)および VRF ポリシーの名前が表示されます。「VRF 対応 IPsec の設定」を参照してください。

エクストラネット VPN の概要情報

[IKE Phase 1 Proposal] セクション

エクストラネットに対して割り当てられる IKE Proposal ポリシー オブジェクト内に定義される、IKE フェーズ 1 プロポーザルのパラメータ。設定値については、次のトピックを参照してください。

「[IKEv1 Proposal] ポリシー オブジェクトの設定」

「[IKEv2 Proposal] ポリシー オブジェクトの設定」

[IKE Phase 2 Proposal] セクション

IKE フェーズ 2 プロポーザルのパラメータ。これらのパラメータのほとんどは、エクストラネットに対して割り当てられる IPsec トランスフォーム セット ポリシー オブジェクトで設定されます。説明については、「IPSec IKEv1 または IKEv2 トランスフォーム セット ポリシー オブジェクトの設定」を参照してください。

Lifetime 属性パラメータは VPN Global Settings ポリシーで定義されます。「VPN グローバル設定」を参照してください。Perfect Forward Secrecy パラメータは IPsec Proposal ポリシーで定義されます。「サイト間 VPN での IPsec プロポーザルの設定」を参照してください。

[Authentication] セクション

接続の認証に使用される証明書を定義する事前共有キーまたは PKI 登録ポリシー オブジェクトの名前。

事前共有キーを使用している場合、[Show/Hide Key] ボタンをクリックして、キーの表示とマスクを切り替えることができます。概要の印刷または PDF の生成を行う場合、キーはここでの選択内容に応じて表示または非表示になります。

Local

エクストラネット VPN のローカル(管理対象)エンドにあるデバイス。表示名、VPN インターフェイスの名前と IP アドレス、および保護対象ネットワークが含まれます。

Remote

エクストラネット VPN のリモート(管理対象外)エンドにあるデバイス。デバイス名、VPN インターフェイスの IP アドレス、および保護対象ネットワークが含まれます。

[Print] ボタン

概要を印刷するには、このボタンをクリックします。事前共有キーは、ページに現在表示されている内容に基づいて、表示または非表示になります。

概要を印刷するには、Adobe Acrobat Reader がインストールされている必要があります。Security Manager は、概要の PDF を生成してから、Acrobat の印刷機能を使用して印刷します。

[Generate PDF] ボタン

概要の PDF を作成するには、このボタンをクリックします。事前共有キーは、ページに現在表示されている内容に基づいて、表示または非表示になります。PDF の保存先のファイル名と場所のプロンプトが表示されます。

関連項目

「IKE プロポーザルの設定」

「サイト間 VPN での IPsec プロポーザルの設定」

「IKEv1 事前共有キー ポリシーの設定」

「サイト間 VPN での IKEv1 公開キー インフラストラクチャ ポリシーの設定」

「GRE または GRE ダイナミック IP VPN の [GRE Modes] の設定」

「DMVPN の [GRE Modes] の設定」

「大規模 DMVPN の設定」

「Easy VPN での IPsec プロポーザルの設定」

「Easy VPN における User Group ポリシーの設定」

「Easy VPN における Connection Profile ポリシーの設定」

「エクストラネット VPN の作成または編集」

エクストラネット VPN の作成または編集

Security Manager は、Security Manager で管理しているデバイスと管理対象外のデバイスの間に通常の IPsec ポイントツーポイント VPN を作成するための簡単な方式を提供します。このタイプの VPN は、 エクストラネット と呼ばれます。

通常、エクストラネットは、ご使用のネットワークとパートナーまたはサービス プロバイダーのネットワークの間のサイト間 VPN 接続です。ただし、ユーザの組織のネットワーク内の VPN 接続であっても、異なるグループにより管理されているデバイス間の VPN 接続、またはシスコ デバイスとシスコ製以外の(Security Manager では管理できない)デバイスの間の VPN 接続の場合もあります。

このタイプのポイントツーポイント VPN トポロジを作成するには、Create Extranet VPN ウィザードを使用します。エクストラネット VPN の作成には、デバイス、VPN トンネルのソース エンドポイントおよび宛先エンドポイントである VPN インターフェイス、およびトンネルで保護される保護対象ネットワークの指定が含まれます。セキュアな接続の完了のために必要な IKE プロポーザル、IPsec プロポーザル、および事前共有キーまたは証明書も指定します。

エクストラネット VPN トポロジを編集する場合、[Edit Extranet VPN] ダイアログボックスには([IKE Proposal] ページを除いて)Create Extranet VPN ウィザードと同じページが含まれていますが、ウィザード形式ではなく、タブ形式でページがレイアウトされています。ダイアログボックスの任意のタブで [OK] をクリックすると、すべてのタブの定義が保存されます。IKE プロポーザル、IPsec プロポーザル、事前共有キー、および公開キー インフラストラクチャ証明書について、直接ポリシーを編集する必要があります。

ヒント

VPN デフォルト ポリシーはエクストラネット VPN には適用されません。[Security Manager Administration] の [VPN Defaults] ページで定義された設定は無視されます。エクストラネット VPN 設定で使用する共有ポリシーがある場合は、Create Extranet VPN ウィザードで作成したあとで VPN に割り当てることができます。共有ポリシーを割り当てると、ウィザードで作成されたポリシーと置き換えられます。

エクストラネット VPN を作成するときに事前定義 IKE プロポーザルまたは IPsec トランスフォーム セット ポリシー オブジェクトを選択することはできません。使用する既存オブジェクトがある場合は、VPN の作成後に関連ポリシーを編集し、オブジェクトを選択できます。その後、必要に応じて、Create Extranet VPN ウィザードで作成されたオブジェクトを削除できます。

エクストラネット VPN の作成後、そのエクストラネット VPN を、VPN の両方のエンドを Security Manager で管理する標準ポイントツーポイント VPN に変換することはできません。代わりに、VPN を削除してから再作成する必要があります。

エクストラネット VPN 接続は、通常の IPsec ポイントツーポイント接続に対してのみ設定できます。たとえば、サービス プロバイダーのネットワーク内に存在する GET VPN キー サーバをこの方式を使用して識別することはできません。その他のすべてのタイプのエクストラネット接続を設定するには、「管理対象外デバイスまたは非シスコ デバイスの VPN への組み込み」の説明に従って、Security Manager インベントリにダミーの管理対象外デバイスを追加する必要があります。

関連項目

「VPN トポロジについて」

「デバイス ビューにおける VPN トポロジの設定」

「IPsec テクノロジーおよびポリシーについて」

「ウィザードの使用」


ステップ 1 次のいずれかを実行します。

新規エクストラネット VPN を作成するには、 [Site-to-Site VPN Manager] ウィンドウまたは [Site-to-Site VPN Policy] ページ(デバイス ビュー)で、[Create VPN Topology](+)ボタンをクリックし、[Extranet VPN] を選択します。Create Extranet VPN ウィザードが開始され、[Name and Technology] ページが表示されます。

既存のエクストラネット VPN を編集するには、[Site-to-Site VPN Manager] ウィンドウまたは [Site-to-Site VPN Policy] ページ(デバイス ビュー)で VPN トポロジを選択し、[Edit VPN Topology](鉛筆)ボタンをクリックします。[Device Selection] タブに対して [Edit Extranet VPN] ダイアログボックスが開きます。

ステップ 2 [Name and Technology] ページまたはタブで、以下を設定します。名前のみが必須です。

[Name]:VPN トポロジを識別する一意の名前。

[Description]:最大 1024 文字の VPN の説明。

[Creation Date]:VPN が作成された日付。VPN を作成するときは、今日の日付がデフォルトです。ただし、編集ボックスの横のカレンダー アイコンをクリックして、希望する日付を選択できます。

[Ticket Number]:トラブル チケット システムを使用していて、実行するアクションが追跡されている要件に関連する場合は、このフィールドに番号を入力します。Security Manager はこの番号を使用しません。内部追跡目的専用です。

[Last Modified By]:最後に VPN の設定を変更したユーザの名前、ユーザ ID、電子メール アドレス、またはその他のインジケータ。Security Manager はこのフィールドを使用しません。内部追跡目的専用です。

ウィザードで、[Next] をクリックします。[Edit Extranet VPN] ダイアログボックスで、[Device Selection] タブをクリックします。

ステップ 3 [Device Selection] ページまたはタブで、接続の各エンドのデバイス、インターフェイス、および保護対象ネットワークを設定します。

[Local]:これは、管理対象ネットワーク内のデバイスです。デバイスは、Security Manager インベントリ内にある必要があります。次のプロパティをすべて設定します。

[Device]:デバイスの表示名を入力するか、または [Select] をクリックしてインベントリ内のデバイスをリストから選択します。ASA 5500 シリーズ デバイス、PIX ファイアウォール、または Cisco IOS ルータ(ASR を含む)を選択できます。

[VPN Tunnel Interface]:VPN 接続の外部インターフェイスを識別するインターフェイスまたはインターフェイス ロールの名前。[Select] をクリックして、既存のインターフェイスまたはインターフェイス ロールを選択するか、または新規インターフェイス ロールを作成します。

インターフェイスまたはロールを選択するときに、一致するインターフェイスの IP アドレスが [IP Address] 表示フィールドの横に表示されます。アドレスが表示されない場合、Security Manager は IP アドレスを判別できませんでした。設定またはオブジェクト選択内容を確認してください。

[Protected Networks]:デバイスがこの VPN に対して保護しているネットワーク。ネットワーク/ホスト ポリシー オブジェクトの名前を入力するか、またはネットワーク アドレスを直接入力します(10.100.10.0/24 など)。複数のエントリを指定する場合は、カンマで区切ります。選択されたオブジェクトの内容が評価され、編集ボックスの下に表示されます。これにより、目的のオブジェクトが選択されたことを確認できます。


) インターフェイス名、インターフェイス ロール オブジェクト、または ACL オブジェクトを使用して保護対象ネットワークを指定する場合は、「エンドポイントおよび保護対象ネットワークの定義」の説明に従って Peers ポリシーを編集する必要があります。エクストラネット VPN を作成するときにダミー ネットワークを使用し、ウィザード終了直後に必ず Peers ポリシーを編集します。


[Remote]:これは、Security Manager では管理しないデバイスです。次のプロパティをすべて設定します。

[Name]:デバイスの名前。Security Manager インベントリで使用される表示名に対応しています。

[IP Address]:デバイスの VPN インターフェイスの IP アドレス。

[Protected Networks]:デバイスがこの VPN に対して保護しているネットワーク。ネットワーク/ホスト ポリシー オブジェクトの名前を入力するか、またはネットワーク アドレスを直接入力します(10.100.10.0/24 など)。複数のエントリを指定する場合は、カンマで区切ります。選択されたオブジェクトの内容が評価され、編集ボックスの下に表示されます。これにより、目的のオブジェクトが選択されたことを確認できます。


「エンドポイントおよび保護対象ネットワークの定義」の説明に従って、リモート デバイス エンドポイント設定を編集することもできます。ただし、設定値はこれらの設定値と同じであり、インターフェイス名、インターフェイス ロール オブジェクト、または ACL オブジェクトを使用して保護対象ネットワークを指定することはできません。


ウィザードで、[Next] をクリックします。[Edit VPN] ダイアログボックスで終了します。残りの特性を編集するには、IKE Proposal、IPsec Proposal、IKEv1 Preshared Key、IKEv1 Public Key Infrastructure、IKEv2 Authentication、および VPN Global Settings の各ポリシーを編集して、次のステップで説明されている設定を変更する必要があります。

ステップ 4 Create Extranet VPN ウィザードの [IKE Proposal] ページで、IKE プロポーザル、IPsec プロポーザル、および事前共有キーまたは証明書のいずれかを定義します。

[IKEv1] または [IKEv2] のいずれかを選択します。リリース 8.4(x) を実行している ASA 5500 シリーズ デバイスでのみ IKEv2 を使用できます。

エクストラネット VPN を作成したあとで IKE バージョンを変更する場合は、これらのポリシーをすべて編集して以前の設定を割り当て解除または置換し、目的のバージョン(IKE Proposal、IPsec Proposal、IKEv1 Preshared Key、IKEv1 Public Key Infrastructure、IKEv2 Authentication、VPN Global Settings)のオプションを設定する必要があります。IKEv1 と IKEv2 の相違点については、「IKE バージョン 1 と 2 の比較」を参照してください。

IKE フェーズ 1 プロポーザルのパラメータを設定します。これらのパラメータは、 ExtranetName _ikeBB という名前の IKE プロポーザル ポリシー オブジェクトの作成に使用されます。パラメータの説明については、「[IKEv1 Proposal] ポリシー オブジェクトの設定」または 「[IKEv2 Proposal] ポリシー オブジェクトの設定」を参照してください。

VPN を作成したあとでこれらの値を編集する場合は、そのオブジェクトを編集する必要があります。オブジェクトは Policy Object Manager で編集できます。または、VPN の IKE Proposal ポリシーを使用して直接編集できます。


DH Group 属性(Diffie-Hellman 係数グループの場合)は、その他のポリシーやポリシー オブジェクトでは Modulus Group と呼ばれます。


IKE フェーズ 2(IPsec)プロポーザルのパラメータを設定します。これらのパラメータのほとんどは、 ExtranetName _transformSet という名前の IPsec トランスフォーム セット ポリシー オブジェクトの作成に使用されます。パラメータの説明については、「IPSec IKEv1 または IKEv2 トランスフォーム セット ポリシー オブジェクトの設定」を参照してください。AH Hash Algorithm 設定はローカル デバイスがルータである場合にのみ使用できることに注意してください。

VPN を作成したあとでこれらの値を編集する場合は、そのオブジェクトを編集する必要があります。オブジェクトは Policy Object Manager で編集できます。または、VPN の IPsec Proposal ポリシーを使用して直接編集できます。

次の設定は、IPsec トランスフォーム セット オブジェクトには含まれません。

[Enable Perfect Forward Secrecy, DH Group]:それぞれの暗号化された交換に対して固有のセッション キーを使用するかどうか。固有のセッション キーにより、攻撃者がトンネルの両方のエンドで使用される事前共有キーまたは秘密キーを知っている場合でも、その攻撃者がキャプチャされた交換を復号化できなくなります。このオプションを選択する場合は、キーの導出に使用する Diffie-Hellman(DH)係数グループも選択します。係数グループの詳細については、「使用するデフィーヘルマン係数グループの決定」を参照してください。

VPN を作成したあとでこのオプションを変更するには、IPsec Proposal ポリシーを編集します。

[Lifetime]:セキュリティ アソシエーションの期限切れまでの存在秒数。デフォルトは 3,600 秒(1 時間)です。

VPN を作成したあとでこのオプションを変更するには、VPN Global Settings ポリシーを編集します。

認証に [Preshared Key] を選択する場合は、リモート ホストとの接続の認証に使用するキーを入力します。

VPN を作成したあとでキーを編集するには、ご使用の IKE バージョンに応じて IKEv1 Preshared Key ポリシーまたは IKEv2 Authentication ポリシーのいずれかを編集する必要があります。これらのポリシーではキーはマスクされていますが、[VPN Summary] ポリシーを選択し、事前共有キーの横にある [Show Key] ボタンをクリックすることにより、キーを表示できます。

[Certificate] を選択する場合は、証明書名を定義する PKI 登録オブジェクトを選択します。必要なオブジェクトがまだ定義されていない場合は、[<Add New>] を選択して [Add PKI] セレクタを開きます。そこで、新規 PKI 登録オブジェクトの追加、または既存の PKI 登録オブジェクトの編集を行うことができます。PKI 登録オブジェクトの詳細については、「[PKI Enrollment] ダイアログボックス」を参照してください。

VPN を作成したあとで証明書設定を編集するには、Policy Object Manager でオブジェクトを編集します。または、ご使用の IKE バージョンに応じて、IKEv1 Public Key Infrastructure ポリシーまたは IKEv2 Authentication ポリシーのいずれかを使用して直接編集します。

ウィザードで、[Next] をクリックします。

ステップ 5 (Create Extranet VPN ウィザードのみ)[Summary] ページで、設定が正しいことを確認し、[Finish] をクリックします。

Security Manager は、トポロジおよび必要なポリシー オブジェクトを作成し、Site-to-Site VPN Manager の VPN のリストに VPN を追加します。

ステップ 6 ダイヤル バックアップを設定する場合は、[Peers] ポリシーを選択し、「ダイヤル バックアップの設定」の説明に従います。


 

VPN トポロジの削除

VPN トポロジを削除すると、サイト間 VPN に割り当てられているデバイスとネットワークから、ピア間の IPsec トンネルおよび VPN トポロジに関連付けられたすべての設定が削除されます。設定を展開するまでは、ネットワークから実際の VPN は削除されません。


ステップ 1 次のいずれかを実行します。

[Manage] > [Site-To-Site VPNs] を選択して、「[Site-to-Site VPN Manager] ウィンドウ」を開きます。

デバイス ビューで、削除する VPN に参加しているデバイスを選択して、ポリシー セレクタから [Site to Site VPN] ポリシーを選択します(「デバイス ビューにおける VPN トポロジの設定」を参照)。

ステップ 2 削除する VPN トポロジを選択して、[Delete VPN Topology](ゴミ箱)ボタンをクリックします。削除の確認が求められます。