セキュリティ コンフィギュレーション ガイド: セキュア接続、Cisco IOS Release 15.1S
Easy VPN サーバ
Easy VPN サーバ
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

Easy VPN サーバ

機能情報の入手

この章の構成

Easy VPN サーバの制約事項

Easy VPN サーバについて

機能のしくみ

グループ プロファイルの RADIUS サポート

Cisco Secure Access Control Server(ACS)の場合

その他すべての RADIUS サーバの場合

ユーザ プロファイルの RADIUS サポート

その他すべての RADIUS サーバの場合

サポートされているプロトコル

Easy VPN サーバでサポートされている機能

モード設定バージョン 6 のサポート

Xauth バージョン 6 のサポート

IKE DPD

スプリット トンネルリングの制御

初期コンタクト

グループベース ポリシーの制御

ユーザベース ポリシーの制御

VPN グループ アクセスに対するセッションのモニタリング

サーバにおける仮想 IPsec インターフェイスのサポート

仮想トンネル インターフェイスのユーザ単位アトリビュートのサポート

バナー、自動アップデート、およびブラウザ プロキシ

設定管理の拡張機能

PKI によるユーザ単位 AAA ポリシー ダウンロード

Easy VPN サーバに対するユーザ単位アトリビュートのサポート

Syslog メッセージの強化

Easy VPN に対するネットワーク アドミッション コントロールのサポート

中央ポリシー プッシュ ファイアウォール ポリシー プッシュ

パスワード エージング

スプリット DNS

cTCP

AAA サーバによる VRF の割り当て

Easy VPN サーバの設定方法

AAA を介したポリシー ルックアップのイネーブル化

モード設定プッシュに使用するグループ ポリシー情報の定義

VPN セッション モニタリングのイネーブル化

VPN セッションの確認

モード設定および Xauth の適用

クライアントに対する RRI のイネーブル化

IKE デッド ピア検証のイネーブル化

RADIUS サーバ サポートの設定

Easy VPN サーバの確認

バナーの設定

自動アップグレードの設定

ブラウザ プロキシの設定

モード設定交換によるコンフィギュレーション URL のプッシュの設定

PKI によるユーザ単位 AAA ダウンロードの設定:クリプト PKI トラストポイントの設定

前提条件

PKI による実際のユーザ単位 AAA ダウンロードの設定

ローカル Easy VPN AAA サーバにおけるユーザ単位アトリビュートの設定

Easy VPN syslog メッセージのイネーブル化

ローカル AAA サーバによる CPP ファイアウォール ポリシー プッシュの定義

次の作業

設定されたグループに対する CPP ファイアウォール ポリシー プッシュの適用

リモート AAA サーバによる CPP ファイアウォール ポリシー プッシュの定義

次の作業

グループ定義への VSA cpp-policy の追加

CPP ファイアウォール ポリシー プッシュの確認

パスワード エージングの設定

制約事項

スプリット DNS の設定

前提条件

スプリット DNS の確認

スプリット DNS のモニタおよびメンテナンス

DHCP サーバから IP アドレスを取得するための Easy VPN サーバの設定

DHCP クライアント プロキシの確認

DHCP クライアント プロキシのモニタおよびメンテナンス

cTCP の設定

前提条件

cTCP の確認

cTCP の設定のモニタおよびメンテナンス

cTCP の設定のクリア

cTCP の設定に関するトラブルシューティング

Easy VPN サーバの設定例

Easy VPN サーバ における Cisco IOS の設定:例

IPsec の AV のペアを使用した RADIUS グループ プロファイル:例

IPsec の AV のペアを使用した RADIUS ユーザ プロファイル:例

最大ログイン数および最大ユーザ数が指定されたバックアップ ゲートウェイ:例

IPsec 仮想トンネル インターフェイスが設定された Easy VPN:例

モード設定交換によるコンフィギュレーション URL のプッシュ:例

PKI によるユーザ単位 AAA ポリシー ダウンロード:例

Easy VPN サーバにおけるユーザ単位アトリビュート:例

ネットワーク アドミッション コントロール:例

パスワード エージングの設定:例

スプリット DNS:例

DHCP クライアント プロキシ:例

cTCP セッション:例

AAA サーバによる VRF の割り当て:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

Easy VPN サーバの機能情報

用語集

Easy VPN サーバ

Easy VPN サーバ機能を使用すると、リモート エンド ユーザは、IP Security(IPsec; IP セキュリティ)を使用した Cisco IOS Virtual Private Network(VPN; バーチャル プライベート ネットワーク)ゲートウェイとの通信を行えます。また、一元管理された IPsec ポリシーがサーバからクライアント デバイスへ「プッシュ」されることにより、エンド ユーザが行うべき設定は最小限に抑えられます。

機能情報の入手

ご使用のソフトウェア リリースでは、この章で説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「Easy VPN サーバの機能情報」を参照してください。

プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスしてください。Cisco.com のアカウントは必要ありません。

Easy VPN サーバの制約事項

サポートされていないプロトコル

表 1 は、現在 Cisco VPN クライアントでサポートされていない IPsec プロトコルのオプションおよびアトリビュートをまとめたものです。Cisco VPN クライアント用のルータ上では、これらのオプションおよびアトリビュートを設定しないでください。

 

表 1 サポートされていない IPsec プロトコルのオプションとアトリビュート

オプション
アトリビュート

認証タイプ

公開キー暗号による認証

デジタルシグニチャ規格(DSS)

デフィーヘルマン(D-H)グループ

1

IPsec プロトコル識別子

IPSEC_AH

IPsec プロトコル モード

トランスポート モード

その他

手動キー

完全転送秘密(PFS)

Cisco Secure VPN Client 1.x の制約事項

この機能と Cisco Secure VPN Client 1.x を併用する場合には、次のような制約事項があります。

Dead Peer Detection(DPD; デッド ピア検出)などのキープアライブ方式は使用できません。

初期コンタクトは使用できません。

この機能では、IP アドレスなどのグループ単位アトリビュート ポリシー プロファイル、および DNS は使用できません。そのためカスタマーは、IP アドレスの割り当て、Windows Internet Naming Service(WINS; Windows インターネット ネーミング サービス)、DNS、および事前共有キーに対し、これまでどおり既存のグローバル定義パラメータを使用する必要があります。

マルチキャスト NAT およびスタティック NAT

マルチキャスト NAT およびスタティック NAT は、Dynamic Virtual Tunnel Interface(DVTI; ダイナミック仮想トンネル インターフェイス)が使用される Easy VPN サーバに限りサポートされています。

仮想 IPsec インターフェイスの制約事項

仮想 IPsec インターフェイス サポート機能は、Cisco VPN Client ソフトウェアのバージョン 4.x 以降、および仮想インターフェイスを使用するよう設定された Easy VPN Remote デバイスに限って使用できます。

cTCP の制約事項

Cisco Tunnel Control Protocol(cTCP; シスコ トンネリング制御プロトコル)用に使用されているポートは、他のアプリケーションでは使用できません。

cTCP は、最大 10 個のポート上で同時使用できます。

cTCP は、Cisco IOS Easy VPN サーバ上に限りサポートされます。

cTCP 接続が設定されたポート上では、cTCP をディセーブルにはできません。ディセーブルにすると、既存の接続にトラフィックが受け入れられなくなります。

現在、Easy VPN サーバ上では、cTCP のハイ アベイラビリティはサポートされていません。

DHCP を使用するユニバーサル クライアント モード

Easy VPN サーバ機能では、DHCP を使用するユニバーサル クライアント モードはサポートされません。

Easy VPN サーバについて

Easy VPN サーバの拡張機能を使用するためには、あらかじめ次の事柄を理解しておく必要があります。

「機能のしくみ」

「グループ プロファイルの RADIUS サポート」

「ユーザ プロファイルの RADIUS サポート」

「サポートされているプロトコル」

「Easy VPN サーバでサポートされている機能」

機能のしくみ

クライアントにより Cisco IOS VPN デバイスとの接続が開始されると、ピア間では「カンバセーション」が行われます。この「カンバセーション」では、まず Internet Key Exchange(IKE; インターネット キー エクスチェンジ)を介したデバイス認証が行われ、続いて IKE eXtended Authentication(Xauth; 拡張認証)によるユーザ認証、モード設定を使用した VPN ポリシーのプッシュ、および IPsec Security Association(SA; セキュリティ アソシエーション)の作成が行われます。このプロセスの概要は次のとおりです。

認証に事前共有キーが使用される場合、クライアントでは Agressive Mode(AM; アグレッシブ モード)で IKE フェーズ 1 が開始されます。デジタル証明書が使用される場合は、Main Mode(MM; メイン モード)が開始されます。クライアントの認証に事前共有キーが使用される場合は、その設定 GUI(ID_KEY_ID)に入力されたグループ名に基づいて、このクライアントに関連付けられたグループ プロファイルが識別されます。デジタル証明書が使用される場合は、Distinguished Name(DN; 認定者名)の Organizational Unit(OU; 組織ユニット)フィールドに基づいて、グループ プロファイルが識別されます。


) クライアントが事前共有キー認証用に設定されている場合は、IKE AM が開始されるため、管理者には、crypto isakmp identity hostname コマンドを使用して Cisco IOS VPN デバイスのアイデンティティを変更することを推奨します。これにより、IKE MM での証明書認証が影響を受けることはありません。


クライアントにより、そのパブリック IP アドレスと Cisco IOS VPN デバイスのパブリック IP アドレスとの間で IKE SA の確立が試行されます。クライアントにおける手動設定を軽減するため、認証方式と D-H グループ サイズに加え、暗号化アルゴリズムとハッシュ アルゴリズムのあらゆる組み合せが提示されます。

Cisco IOS VPN デバイスでは、その IKE ポリシーの設定に基づいて、フェーズ 1 のネゴシエーションを続行するうえで使用可能なプロポーザルが決定されます。


ヒント IKE ポリシーは、Cisco IOS VPN デバイスに対してグローバルであり、複数のプロポーザルで構成できます。プロポーザルが複数ある場合、Cisco IOS VPN デバイスでは、最初に適合したプロポーザルが使用されます。そのため、リストの先頭には常に、最もセキュアなポリシーを配置することを推奨します。



) この時点で、デバイス認証が終了し、ユーザ認証が開始されます。


Cisco IOS VPN デバイスが Xauth 用に設定されている場合、IKE SA が正常に確立されると、クライアントは「ユーザ名/パスワード」のチャレンジを待ち、ピアからのチャレンジがあった時点でそれに応答します。入力された情報は、RADIUS や TACACS+ などの AAA プロトコルを使用して認証エンティティと照合されます。AAA プロキシを介してトークン カードを使用することもできます。Xauth の実行中には、RADIUS を使用してユーザのクレデンシャルが確認されれば、そのユーザに固有のアトリビュートを取得することも可能です。


) リモート クライアントの処理用に設定された VPN デバイスは常に、ユーザ認証が実行されるように設定しておくことを推奨します。


Cisco IOS VPN デバイスにより、認証が正常に行われたことが通知されると、クライアントでは、ピアに対してさらなる設定パラメータを要求します。それ以外のシステム パラメータ(IP アドレス アトリビュート、DNS アトリビュート、スプリット トンネル アトリビュートなど)は、この時点でモード設定を使用してクライアントへプッシュされます。


) IP アドレス プールおよびグループの事前共有キー(RSA シグニチャが使用されていない場合)は、グループ プロファイル内で唯一の必須パラメータであり、その他のパラメータはオプションです。


モード設定を通じて各クライアントに内部 IP アドレスが割り当てられた後には、Cisco IOS VPN デバイスに対し適切な VPN トンネルを経由してパケットをルーティングする方法を指定することが重要になります。Reverse Route Injection(RRI; 逆ルート注入)を使用すると、Cisco IOS VPN クライアント上では、必ずクライアント内部の IP アドレスごとにスタティック ルートが作成されます。


) ルーティング情報の配信にすでに使用されている Generic Routing Encapsulation(GRE)トンネルに対してクリプト マップが適用されていなければ、VPN クライアントをサポートするためにも、クリプト マップ(スタティックまたはダイナミック)に対しては Reverse Route Injection(RRI; 逆ルート注入)をイネーブルにすることを推奨します。


設定パラメータがクライアントにより正常に取得されると、IKE クイック モードが開始され、IPsec SA の確立のネゴシエーションが行われます。

IPsec SA が作成されると、接続は完了します。

グループ プロファイルの RADIUS サポート

グループ ポリシー情報はプロファイルに保存されます。プロファイルは、ルータの設定、または Cisco IOS VPN デバイスからアクセスできる RADIUS サーバで、ローカルに定義できます。RADIUS が使用されている場合は、そのサーバへのアクセス権を設定し、Cisco IOS VPN デバイスからサーバへ要求を送信できるようにする必要があります。

RADIUS 用にグループ ポリシー アトリビュートを定義するためには、RADIUS サーバ上で次の作業を行う必要があります。

クライアントの GUI で定義したグループ名と同じ名前を持つユーザを定義します。たとえば、ユーザがグループ名「sales」を使用して Cisco IOS VPN デバイスに接続する場合、「sales」という名前を持つユーザが必要です。このユーザのパスワードは「cisco」です。これは、ルータにおいて RADIUS 用に使用される特別な識別名です。このユーザ名は、適切なポリシーが定義されたグループのメンバーである必要があります。便宜上、グループ名とユーザ名は同じにすることを推奨します。

Cisco Secure Access Control Server(ACS)の場合

Cisco ACS を使用している場合は、このサーバ上でリモート アクセス VPN グループ プロファイルを設定できます。この作業を実行するためには、図 1 に表示されているグループの設定に対して Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)RADIUS アトリビュートが選択されていることが必要です(この図に表示されているのは、リモート アクセス VPN グループに対する必須アトリビュートです)。これらのアトリビュートは、Tunnel-Password アトリビュート以外はすべて、値を入力する必要があります。Tunnel-Password アトリビュートの値は、IKE プロポーザルの事前共有キーになるもので、デジタル証明書を使用する場合は省略可能です。

図 1 グループの設定に対する IETF RADIUS アトリビュートの選択

 

モード設定を通じてリモート クライアントにプッシュされるグループ ポリシーには、図 1 に表示されている必須アトリビュート以外にも、さまざまな値を入力できます。図 2 は、グループ ポリシーの例です。addr-pool、key-exchange=preshared-key、および key-exchange=ike 以外のアトリビュートはすべてオプションです。これらのアトリビュートの値は、ポリシーを(RADIUS サーバではなく)ルータ上でローカルに定義する場合に使用される設定の値と同じものです(これらの値に関する詳細については、このマニュアルの 「モード設定プッシュに使用するグループ ポリシー情報の定義」 を参照してください)。

図 2 Cisco Secure ACS グループ ポリシーの設定

 

グループ ポリシーの作成後、グループのメンバーであるユーザを追加する必要があります(すでに説明したように、定義されたユーザ名は、リモート クライアント上で定義されたグループ名にマッピングされます。また、RADIUS データベースでそのユーザ名に対して定義されたパスワードは「cisco」である必要があります)。IKE 認証にデジタル証明書を使用する場合、ユーザ名は、リモート クライアントにより提示される証明書の OU フィールドの値と一致している必要があります。

その他すべての RADIUS サーバの場合

RADIUS サーバではアトリビュート値(AV)のペアを定義できることが必要です(具体例については、このマニュアルの 「Easy VPN サーバ における Cisco IOS の設定:例」 を参照してください)。


) デジタル証明書が使用されている場合、RADIUS で定義されたユーザ名は、クライアントの証明書に設定されている DN の OU フィールドの値に一致する必要があります。


ユーザ プロファイルの RADIUS サポート

アトリビュートは、ユーザ単位で適用することもできます。その場合、グループ アトリビュートに優先して個々のユーザ アトリビュートを適用できます。これらのアトリビュートは、Xauth によるユーザ認証の実行時に取得されます。取得されたアトリビュートは、モード設定中にグループ アトリビュートと組み合せて適用されます。

ユーザベースのアトリビュートは、ユーザ認証に RADIUS が使用されている場合に限って使用できます。

RADIUS 用にユーザ ポリシー アトリビュートを定義するためには、RADIUS サーバ上で次の作業を行う必要があります。

ユーザを定義するか、または RADIUS データベースにあるユーザの既存のプロファイルにアトリビュートを追加します。このユーザのパスワードは、Xauth によるユーザ認証の際に使用されます。ただし、トークン カード サーバなどのサードパーティ製サーバにプロキシすることもできます。

図 3 は、ユーザ認証を行う場合や、クライアントへプッシュできる Framed-IP-Address アトリビュートを割り当てる場合の、Cisco Secure ACS の使用方法を示したものです。このアトリビュートが存在する場合、そのユーザが属するグループに対して定義されているローカル アドレス プールは無効となります。

図 3 Cisco Secure ACS ユーザ プロファイルの設定

 

その他すべての RADIUS サーバの場合

RADIUS サーバでは AV のペアを定義できることが必要です(具体例については、このマニュアルの 「Easy VPN サーバ における Cisco IOS の設定:例」 を参照してください)。

サポートされているプロトコル

表 2 は、この機能の設定用にサポートされている IPsec プロトコルのオプションおよびアトリビュートをまとめたものです(サポートされていないオプションおよびアトリビュートについては、 表 1 を参照してください)。

 

表 2 サポートされている IPsec プロトコルのオプションとアトリビュート

オプション
アトリビュート

認証アルゴリズム

ハッシュ メッセージ認証コード - メッセージ ダイジェスト 5(HMAC-MD5)

HMAC - Secure Hash Algorithm 1(HMAC-SHA1)

認証タイプ

事前共有キー

RSA デジタル シグニチャ

D-H グループ

2

5

暗号化アルゴリズム(IKE)

データ暗号規格(DES)

トリプル データ暗号規格(3DES)

暗号化アルゴリズム(IPsec)

DES

3DES

NULL

IPsec プロトコル識別子

カプセル化セキュリティ ペイロード(ESP)

LZS IP 圧縮(IPCOMP-LZS)

IPsec プロトコル モード

トンネル モード

Easy VPN サーバでサポートされている機能

「モード設定バージョン 6 のサポート」

「Xauth バージョン 6 のサポート」

「IKE DPD」

「スプリット トンネルリングの制御」

「初期コンタクト」

「グループベース ポリシーの制御」

「ユーザベース ポリシーの制御」

「VPN グループ アクセスに対するセッションのモニタリング」

「サーバにおける仮想 IPsec インターフェイスのサポート」

「仮想トンネル インターフェイスのユーザ単位アトリビュートのサポート」

「バナー、自動アップデート、およびブラウザ プロキシ」

「設定管理の拡張機能」

「PKI によるユーザ単位 AAA ポリシー ダウンロード」

「Easy VPN サーバに対するユーザ単位アトリビュートのサポート」

「Syslog メッセージの強化」

「Easy VPN に対するネットワーク アドミッション コントロールのサポート」

「中央ポリシー プッシュ ファイアウォール ポリシー プッシュ」

「パスワード エージング」

「スプリット DNS」

「cTCP」

「AAA サーバによる VRF の割り当て」

モード設定バージョン 6 のサポート

モード設定バージョン 6 は現在、より多くのアトリビュートでサポートされています(IETF ドラフトの提案による)。

Xauth バージョン 6 のサポート

Cisco IOS では新たに、Xauth バージョン 6 がサポートされています。ユーザ認証に使用する Xauth は、IETF ドラフトの提案によるものです。

IKE DPD

クライアントには、新しいキープアライブ方式である IKE DPD が実装されています。

DPD を使用すると、VPN 接続のライフタイム中に、一方の IPsec ピアから他方のピアが動作しているかどうかを検知できます。DPD は、ホストが再起動した場合や、VPN 接続が失われたことをピアに通知することなくリモート ユーザのダイヤルアップ リンクが接続解除された場合に有用な機能です。IPsec ホストでは、VPN 接続が失われたことを検知すると、それをユーザに通知したり、別の IPsec ホストへスイッチを試みたり、すでに存在しないピアに割り当てられている重要なリソースをクリーン アップしたりできます。

Cisco IOS VPN デバイスは、DPD メッセージの送信や返信が行われるよう設定できます。DPD メッセージは、VPN トンネルを通過中のトラフィックが他に存在しない場合に送信されます。インバウンド データを最後に受信した時点から、設定されている時間が経過すると、DPD では、ピアへ向けたアウトバウンド IPsec データの次回送信時に、メッセージ(「DPD R-U-THERE」)が送信されます。DPD メッセージは、単方向のメッセージで、Cisco VPN クライアントにより自動的に送信されます。DPD は、クライアントの稼動状態を特定するためにルータから VPN クライアントへ DPD メッセージを送信する必要がある場合に限り、ルータ上で設定する必要があります。

スプリット トンネルリングの制御

リモート クライアントでは、スプリット トンネリングを使用できます。スプリット トンネリングにより、クライアントはイントラネットとインターネットへ同時にアクセスできます。スプリット トンネリングが設定されていない場合、クライアントからは、インターネットへのトラフィックを含め、すべてのトラフィックがトンネルを経由して送信されます。

初期コンタクト

クライアントの接続が突然解除された場合、ゲートウェイに通知されないことがあります。このような場合、そのクライアントに関する接続情報(IKE および IPsec SA)は、すぐには削除されません。そのため、クライアントがゲートウェイに再接続しようとしても、以前の接続情報がまだ有効であるため、ゲートウェイではその接続を拒否します。

こうした状況を回避するため、初期コンタクトという新機能が導入されました。この機能は、すべての Cisco VPN 製品でサポートされています。クライアント ルータがシスコの別のゲートウェイへ初めて接続しようとすると、初期コンタクト メッセージが送信されます。このメッセージは、受信側に対して、新しいピアを接続するために、保持されている以前の接続情報を廃棄するよう伝えるためのものです。SA の同期化に問題がある場合でも、初期コンタクトを使用すれば、接続の試行が拒否されることはありません。SA の同期化の問題は通常、不適切な Security Parameter Index(SPI; セキュリティ パラメータ インデックス)メッセージにより特定でき、それが発生した場合、デバイスでは接続をクリアする必要があります。

グループベース ポリシーの制御

IP アドレス、DNS、スプリット トンネル アクセスなどのポリシー アトリビュートは、グループ単位またはユーザ単位で指定できます。

ユーザベース ポリシーの制御

アトリビュートは、ユーザ単位で適用することもできます。個々のユーザ アトリビュートの値は、グループ アトリビュートの値に優先して適用できます。これらのアトリビュートは、Xauth によるユーザ認証の実行時に取得されます。これらのアトリビュートは、モード設定中にグループ アトリビュートと組み合せて適用されます。

Cisco IOS Release 12.3(4)T 以降では、ユーザの認証後であれば、アトリビュートをユーザ単位で適用できます。これらのアトリビュートは、それぞれに対応するグループ アトリビュートに優先して適用できます。ユーザベース アトリビュートは、データベースとして RADIUS が使用されている場合に限って使用できます。

Framed-IP-Address

Cisco Secure for NT 用の Framed-IP-Address アトリビュートを選択する場合は、[user profile] から、[addressing] の [use this IP address] オプションを選択し、アドレスを手動で入力します(フレーム IP アドレスの設定方法は、RADIUS サーバにより異なります。適切な手順については、ご使用の RADIUS サーバで確認してください)。


) フレーム IP アドレスが存在し、かつそのユーザが属するグループに対してローカル プール アドレスが設定されている場合は、ローカル プールの設定に優先してフレーム IP アドレスが使用されます。


DHCP クライアント プロキシ

Easy VPN サーバでは現在、リモート デバイスに IP アドレスを割り当てる方法として、ルータ上で設定されたローカル プールと、RADIUS で定義されたフレーム IP アドレス アトリビュートのどちらかが使用されます。Cisco IOS Release 12.4(9)T では、DHCP クライアント プロキシ機能により、DHCP サーバから IP アドレスが取得されるように Easy VPN サーバを設定できるようになっています。この IP アドレスは、モード設定によりリモート デバイスへプッシュされます。


) ただし DHCP クライアント プロキシには、DHCP サーバからリモート クライアントへ、DNS、WINS サーバ、またはドメイン名をプッシュするための機能はありません。


DHCP クライアント プロキシの設定方法については、 「DHCP サーバから IP アドレスを取得するための Easy VPN サーバの設定」 を参照してください。

DHCP クライアント プロキシの特長

DHCP クライアント プロキシは、DNS サーバと DHCP サーバが連動している場合に Dynamic Domain Name System(DDNS; ダイナミック ドメイン ネーム システム)を作成するための機能を備えています。

ユーザは必ずしも、IP アドレス プールに限定されません。

User-Save-Password

グループに関する説明の中で述べたように、User-Save-Password アトリビュートは、それに対応するグループ アトリビュート(Save-Password)に追加する形で取得できますが、もし取得されれば、グループで使用される値に優先して適用されます。

次に示すのは、User-Save-Password アトリビュートに対する RADIUS の AV のペアの出力例です。

ipsec:user-save-password=1

User-Include-Local-LAN

グループに関する説明の中で述べたように、User-Include-Local-LAN アトリビュートは、それに対応するグループ アトリビュート(Include-Local-LAN)に追加する形で取得できますが、もし取得されれば、グループで使用される値に優先して適用されます。

次に示すのは、User-Include-Local LAN アトリビュートに対する RADIUS の AV のペアの出力例です。

ipsec:user-include-local-lan=1

User-VPN-Group

User-VPN-Group アトリビュートは、 「Group-Lock」 アトリビュートの代わりに使用されます。User-VPN-Group アトリビュートを使用すると、事前共有キー認証メカニズムと、証明書などの RSA シグニチャ認証メカニズムをどちらもサポートできます。

ユーザが接続しようとしているグループが実際にそのユーザが属するグループであるかどうかを確認する必要がある場合は、User-VPN-Group アトリビュートを使用します。このアトリビュートの値は、ユーザが属するグループ名を表した文字列で、その値は管理者が設定します。ユーザが属するグループは、事前共有キーのグループ名(ID_KEY_ID)に指定された VPN グループ、または証明書の OU フィールドに指定された VPN グループと照合されます。グループが一致しない場合、クライアント接続は終了します。

この機能は、RADIUS AAA を使用している場合に限り有効です。ローカル Xauth 認証では、現在も Group-Lock アトリビュートを使用する必要があります。

次に示すのは、Use-VPN-Group アトリビュートに対する RADIUS の AV のペアの出力例です。

ipsec:user-vpn-group=cisco

Group-Lock

RADIUS AAA またはローカル AAA で事前共有キーを使用している(証明書などの RSA シグニチャ認証メカニズムを使用していない)場合は、これまでどおり Group-Lock アトリビュートを使用できます。ただし、RADIUS で事前共有キーを使用している(証明書などの RSA シグニチャ認証メカニズムを使用していない)場合に限っては、これまでどおり Group-Lock アトリビュートを使用できるほか、新たに導入された 「User-VPN-Group」 アトリビュートを使用することもできます。

機能のしくみ

Cisco IOS 12.2(13)T に導入されたグループ ロック機能を使用すると、Xauth の実行時に追加的な認証チェックを実行できます。この機能がイネーブルの場合、ユーザは Xauth による認証の際に、ユーザ名、グループ名、およびユーザ パスワードを入力する必要があります。ユーザ名およびグループ名は、「ユーザ名/グループ名」、「ユーザ名\グループ名」、「ユーザ名%グループ名」、「ユーザ名 グループ名」 のいずれの形式でも入力できます。Xauth 実行時に入力されたグループ名は、サーバにより、事前共有キーでのデバイス認証用に送信されたグループ名と照合されます。それらのグループ名が一致しない場合は、サーバにより接続が拒否されます。この機能をイネーブルにする場合は、グループに対して group-lock コマンドを使用します。

Cisco IOS ソフトウェアでは、Xauth 用のユーザ名から「@グループ名」の部分が削除されることはありません。そのため、フェーズ 1(マシン グループ認証)で選択した ISAKMP プロファイルにより指定されているローカル AAA データベースまたは外部 AAA データベースには、ユーザ名が「ユーザ名@グループ名」という形で保存されている必要があります。


注意 証明書などの RAS シグニチャ認証メカニズムを使用している場合は、Group-Lock アトリビュートを使用せず、「User-VPN-Group」 アトリビュートを使用してください。外部 AAA データベースを使用している場合は(認証方式として事前共有キーと RSA シグニチャのどちらを使用しているかにかかわらず)、User-VPN-Group アトリビュートを使用することを推奨します。

VPN グループ アクセスに対するセッションのモニタリング

一部の RADIUS サーバが備えている機能にならって、特定のサーバ グループに対する接続の最大数や、そのグループに属するユーザの同時ログイン数を制限できます。各 VPN グループにユーザ定義のしきい値が指定されている場合、接続拒否を解除するためには、対象となる値をそれらのしきい値未満にする必要があります。

Cisco Secure ACS など、このセッション制御機能を備えた RADIUS サーバを使用する場合は、その機能をイネーブルにすることを推奨します。これにより、多数のサーバの使用状況を、1 つの中央リポジトリで制御できます。ルータそのものに対してこの機能をイネーブルにしている場合は、そのルータ上のグループへの接続だけがモニタリングされます。負荷分散型のシナリオに関する詳しい説明は省略します。

Command-Line Interface(CLI; コマンドライン インターフェイス)からセッションのモニタリングを設定する場合は、 crypto isakmp client configuration group コマンド、 max-users サブコマンド、および max-logins サブコマンドを使用します。

次に示すのは、関連するグループに追加された RADIUS の AV ペアの出力例です。

ipsec:max-users=1000
ipsec:max-logins=1

サーバにおける仮想 IPsec インターフェイスのサポート

サーバにおける仮想 IPsec インターフェイスのサポート機能により、インターネットやさまざまな Easy VPN コンセントレータ(サーバ)に対して、トラフィックを選択的に送信できます。

12.4(4)T よりも前の Cisco IOS リリースでは、トンネルの状態がアップ状態からダウン状態またはその逆に遷移した時点で、モード設定中にプッシュされたアトリビュートを解析し、それを適用する必要がありました。また、これらのアトリビュートにより設定内容がインターフェイスに適用されると、既存の設定内容は上書きされていました。

仮想 IPsec インターフェイスのサポート機能を使用すると、トンネルがアップ状態での設定内容を個々のインターフェイスに適用できるため、トンネルのアップ時に個々の機能を別々に適用することが容易になります。トンネルへ送出されるトラフィックに適用される機能と、トンネルを経由しないトラフィック(スプリット トンネルのトラフィックや、トンネルがダウン状態のときにデバイスから送出されたトラフィックなど)に適用される機能は区別できます。Easy VPN のネゴシエーションが完了すると、仮想アクセス インターフェイスの回線プロトコルは、アップ状態に変更されます。SA の失効または削除により Easy VPN トンネルがダウンすると、仮想アクセス インターフェイスの回線プロトコルは、ダウン状態に変更されます。


) この機能では、マルチキャストはサポートされていません。


この機能の詳細については、『 Cisco IOS Security Configuration Guide: Secure Connectivity 』の「 Cisco Easy VPN Remote 」の章を参照してください(この機能は、Easy VPN Remote デバイス上で設定されます)。

IPsec 仮想トンネル インターフェイス機能の詳細については、『 Cisco IOS Security Configuration Guide: Secure Connectivity 』の「 IPsec Virtual Tunnel Interface 」の章を参照してください。

仮想トンネル インターフェイスのユーザ単位アトリビュートのサポート

Cisco IOS Release 12.4(9)T では、仮想トンネル インターフェイスにより、Easy VPN サーバに対してユーザ単位のアトリビュートがサポートされています。

この機能の詳細については、『 Cisco IOS Security Configuration Guide: Secure Connectivity 』の「 IPsec Virtual Tunnel Interface 」の章を参照してください。

バナー、自動アップデート、およびブラウザ プロキシ

次に説明する機能により、Cisco Easy VPN Remote デバイスを管理するうえで有効なアトリビュートがサポートされます。

バナー

Easy VPN Remote デバイスへバナーがプッシュされるように、Easy VPN サーバを設定できます。バナーは、Web ベース アクティベーション機能に必要となるものです。バナーは、Easy VPN トンネルをアップした時点で、Easy VPN Remote コンソール上に(Web ベース アクティベーションを使用している場合は HTML ページとして)表示されます。

自動アップデート

Easy VPN Remote デバイス上のソフトウェアおよびファームウェアが自動でアップグレードされるように Easy VPN サーバを設定できます。

ブラウザ プロキシ

Easy VPN Remote デバイスから社内ネットワーク上のリソースにアクセスできるよう、Easy VPN サーバを設定できます。この機能を使用すると、ユーザは、Cisco IOS VPN クライアントを使用して社内ネットワークに接続する際に、自身が使用する Web ブラウザのプロキシ設定を手動で修正したり、あるいは接続を解除する際に、プロキシ設定を手動で元に戻したりする必要がなくなります。

設定管理の拡張機能

モード設定交換によるコンフィギュレーション URL のプッシュ

リモート デバイスから社内ゲートウェイに接続して IPsec VPN トンネルを作成する場合、VPN トンネルがアクティブになりリモート デバイスが社内 VPN の一部になった時点で、そのリモート デバイスには何らかのポリシーおよび設定情報を適用する必要があります。

モード設定交換によるコンフィギュレーション URL のプッシュ機能では、コンセントレータ(サーバ)から Cisco IOS Easy VPN Remote デバイスへ URL をプッシュするための mode-configuration アトリビュートを使用できます。この URL には、リモート デバイスがダウンロードして実行コンフィギュレーションに適用すべき設定情報と、Cisco IOS CLI 一覧が含まれています(Cisco IOS CLI 一覧の詳細については、 configuration url コマンドに関する Cisco IOS のマニュアルを参照してください)。この機能に使用する CLI は、コンセントレータ上で設定されます。

デフォルトでは、リモート デバイスにプッシュされる設定は、永続的に保持されます。つまり、この設定は、IPsec トンネルがアップした時点で適用されますが、IPsec トンネルがダウンしても削除されません。ただし、トンネルの接続が解除された場合に設定の一部を元に戻すなど、設定の中で本来変更可能な部分を書き換えることは可能です。

コンフィギュレーション配信サーバの物理的な設置場所に制限はありません。ただし、設定を取得する際は Secure HTTP(HTTPS)などのセキュア プロトコルを使用することを推奨します。コンフィギュレーション サーバは、社内ネットワーク内に設置できます。この場合、転送は IPsec トンネルを経由して行われるため、非セキュア アクセス プロトコル(HTTP)が使用できます。

リモート デバイスでは、下位互換性を考慮して、CONFIGURATION-URL アトリビュートおよび CONFIGURATION-VERSION アトリビュートの要求が行われます。CONFIGURATION-URL アトリビュートおよび CONFIGURATION-VERSION アトリビュートは、必須アトリビュートではないため、サーバにより送信されるのは、それらがグループに対して設定されている場合に限ります。設定のプッシュに対して事前に定められた制限はありませんが、ブートストラップの設定(IP アドレスなど)は、Easy VPN トンネルの設定に必要であるため、送信できません。また、CONFIGURATION-URL は、Easy VPN トンネルがアップした後に限り、有効となります。

Easy VPN Remote デバイスにより設定が取得されると

Easy VPN Remote デバイスでは、設定の取得後、新たに導入された ISAKMP 通知が Easy VPN サーバへ送信されます。この通知には、クライアント(リモート デバイス)に関するいくつかの管理情報メッセージが含まれています。Easy VPN サーバでは、この情報を受け取ると、次の 2 つの処理が実行されます。

ピア データベースにその情報がキャッシュされます。この情報は、 show crypto isakmp peer config コマンドを使用すると表示できます。このコマンドによる出力には、クライアント(リモート デバイス)によって送信されたすべての管理情報が表示されます。

アカウンティングがイネーブルの場合は、Easy VPN サーバからアカウンティング RADIUS サーバへ、リモート デバイスに関する管理情報メッセージが記録されたアカウンティング アップデート レコードが送信されます。このアカウンティング アップデートは、後で RADIUS サーバのアカウンティング ログで使用できます。

この機能の設定方法

この機能の設定に使用されるコマンド、CONFIGURATION-URL アトリビュート、および CONFIGURATION-VERSION アトリビュートについては、 crypto isakmp client configuration group コマンドに関するマニュアルを参照してください。

PKI によるユーザ単位 AAA ポリシー ダウンロード

PKI によるユーザ単位 AAA ポリシー ダウンロードのサポート機能を使用すると、ユーザ アトリビュートを AAA サーバから取得し、モード設定を介してリモート デバイスへプッシュできます。アトリビュートを取得する際に使用するユーザ名は、リモート デバイスの証明書から取得されます。

Easy VPN サーバに対するユーザ単位アトリビュートのサポート

Easy VPN サーバに対するユーザ単位アトリビュートのサポート機能により、ユーザは、Easy VPN サーバ上でユーザ単位のアトリビュートを使用できます。これらのアトリビュートは、仮想アクセス インターフェイスに適用されます。

ローカル Easy VPN AAA サーバ

ローカル Easy VPN AAA サーバの場合、ユーザ単位のアトリビュートは、CLI を使用して、グループ レベルまたはユーザ レベルで適用できます。

ローカル Easy VPN サーバに対してユーザ単位のアトリビュートを設定する方法については、 「ローカル Easy VPN AAA サーバにおけるユーザ単位アトリビュートの設定」 を参照してください。

リモート Easy VPN AAA サーバ

リモート Easy VPN AAA サーバ上では、次の例のようにして AV のペアを定義できます。

cisco-avpair = “ip:outacl#101=permit tcp any any established

ユーザ単位アトリビュート

次のユーザ単位アトリビュートは、現在 AAA サーバで定義されており、IPsec に適用できます。

inacl

interface-config

outacl

route

rte-fltr-in

rte-fltr-out

sub-policy-In

sub-policy-Out

policy-route

prefix

Syslog メッセージの強化

Cisco IOS Release 12.4(4)T では、Easy VPN 用として、いくつかの syslog メッセージが新たに追加されました。これらの syslog メッセージは、ご使用のサーバ上で CLI からイネーブルにできます。syslog メッセージのフォーマットは次のとおりです。

timestamp: %CRYPTO-6-VPN_TUNNEL_STATUS: (Server) <event message> User=<username> Group=<groupname> Client_public_addr=<ip_addr> Server_public_addr=<ip addr>
 

認証通過イベントに対する syslog メッセージは次のように表示されます。

Jul 25 23:33:06.847: %CRYPTO-6-VPN_TUNNEL_STATUS: (Server) Authentication PASS
ED User=blue Group=Cisco1760group Client_public_addr=10.20.20.1 Server_public_addr=10.20.20.2

このうち、認可に関係するメッセージは 3 種類あり(「最大ユーザ数」、「最大ログイン数」、および「グループが存在しない」)、いずれもグループ名だけを対象にしたフォーマットで出力されます。グループ名だけが出力の対象となる理由は、認可チェックが実行されてからモード設定が行われるまでには、かなりの時間差があるためです。つまり、認可チェックの時点で、ピア情報はまだ取得されていないため、出力できないことになります。次に示すのは、「グループが存在しない」ことを伝えるメッセージの出力例です。

*Jun 30 18:02:58.107: %CRYPTO-6-VPN_TUNNEL_STATUS: Group: group_1 does not exist

サポートされている Easy VPN syslog メッセージ

ezvpn_connection_up および ezvpn_connection_down はどちらも、すでに旧リリースの syslog メッセージでサポートされています。Cisco IOS Release 12.4(4)T では、syslog メッセージが強化されています。フォーマットは従来と同じですが、新たにいくつかの syslog メッセージが追加されています。追加された syslog メッセージは次のとおりです。

認証を通過

認証を却下

グループ ロックがイネーブル化

ユーザ名またはパスワードが不正

最大ユーザ数を超過/最大ログイン数を超過

最大再試行 回数を超過

認証に失敗(AAA に接続不可)

IP プールが存在しない/プール内に使用可能なフリー IP アドレスが存在しない

ACL が Ezvpn ポリシーに割り当てられているが定義されていない(したがってスプリット トンネリングは使用不可)

パスワードの保護機能が有効

クライアントにより送信されているファイアウォール レコードが不正(不正なベンダー/製品/機能)

認証を却下

着信インターフェイスでのアクセスを制限

グループが存在しない

Easy VPN に対するネットワーク アドミッション コントロールのサポート

ネットワーク アドミッション コントロールは、PC クライアントに LAN への接続を許可すべきかどうかを判断する手段として、Cisco IOS Release 12.3(8)T に導入された機能です。ネットワーク アドミッション コントロールでは、Extensible Authentication Protocol over UDP(EAPoUDP)を介して、PC 上の Cisco Trust Agent にクエリーを発行し、クライアントが稼動状態であれば PC からネットワークへのアクセスを許可します。サーバ上にさまざまなポリシーを適用することで、ウイルスに感染した PC からのアクセスを拒否したり制限したりできます。

Cisco IOS Release 12.4(4)T では現在、ネットワーク アドミッション コントロールを使用して、リモート PC クライアントのステータスをモニタリングすることもできます。Easy VPN トンネルがアップし、PC からのトラフィック送信が開始されると、そのトラフィックは Easy VPN サーバにより代行受信され、ポスチャ検証プロセスが開始されます。ポスチャ検証プロセスは、Easy VPN トンネルを介した EAPoUDP 要求の送信と、Cisco Trust Agent に対するクエリーの発行の 2 つのプロセスで構成されます。認証サーバは、IPsec Aggregator の後に配置された信頼できるネットワーク内部で設定されます。

ネットワーク アドミッション コントロールがイネーブルになっている Easy VPN サーバの設定例については、「ネットワーク アドミッション コントロール:例」 の出力結果を参照してください。

中央ポリシー プッシュ ファイアウォール ポリシー プッシュ

Easy VPN サーバでは、Central Policy Push(CPP; 中央ポリシー プッシュ)ファイアウォール ポリシー プッシュがサポートされています。この機能を使用すると、管理者は、Cisco Easy VPN(ソフトウェア)クライアントおよび関連するファイアウォール ソフトウェアに対してセキュリティ ポリシーをプッシュできます。

スプリット トンネルを使用すると、社内ネットワークへのアクセスは可能になりますが、その一方でリモート デバイスがインターネット経由の攻撃にさらされることにもなります。CPP ファイアウォール ポリシー機能を使用すれば、リモート デバイスにファイアウォールが設定されていない場合でも、トンネルを許可するか拒否するかをサーバで判断できるため、リモート デバイスが攻撃にさらされる可能性は低くなります。

サポートされているファイアウォールのタイプは次のとおりです。

Cisco-Integrated-firewall(central-policy-push)

Cisco-Security-Agent(check-presence)

Zonelabs-Zonealarm(both)

Zonelabs-ZonealarmPro(both)

サーバでは、check-presence オプションを使用してクライアント(リモート デバイス)上にファイアウォールが存在するかどうかをチェックできるほか、central-policy-push を使用して、クライアントにより適用される必要があるファイアウォール ポリシーの内容を具体的に指定することもできます。


この機能で使用される policy check-presence コマンド(policy コマンドと check-presence キーワードの組み合せ)は、12.4(6)T よりも前の Cisco IOS リリースでサポートされていた firewall are-u-there コマンドに代わるものです。ただし、下位互換性を維持するため、firewall are-u-there コマンドは引き続きサポートされています。


この機能をイネーブルにする方法については、 「ローカル AAA サーバによる CPP ファイアウォール ポリシー プッシュの定義」 および 「設定されたグループに対する CPP ファイアウォール ポリシー プッシュの適用」 を参照してください。

Syslog Support for CPP ファイアウォール ポリシー プッシュに対する syslog のサポート

syslog のサポート機能をイネーブルにする場合は、ご使用のルータ上で crypto logging ezvpn コマンドを使用します。CPP syslog メッセージは、次のようなエラー状況が発生した場合に出力されます。

グループの設定で( firewall policy コマンドを使用して)ポリシーが設定されているものの、それと同じ名前のグローバル ポリシーが( crypto isakmp client firewall コマンドを使用して)定義されていない場合。このときに出力される syslog メッセージは次のとおりです。

Policy enabled on group configuration but not defined
 

トンネルの確立プロセスは(ファイアウォールを使用して)通常どおり行われます。

不正なファイアウォール要求(ベンダー/製品/機能の不正要求)を受け取った場合。このときに出力される syslog メッセージは次のとおりです。

Incorrect firewall record received from client
 

Cisco VPN クライアントと Cisco VPN サーバとの間でポリシーが一致しない場合。このときに出力される syslog メッセージは次のとおりです。

CPP policy mismatch between client and headend

パスワード エージング

12.4(6)T よりも前の Cisco IOS リリースでは、ユーザ名およびパスワードが Easy VPN Remote デバイス(クライアント)から Easy VPN サーバへ送信され、そこからさらに AAA サブシステムへ送信されます。AAA サブシステムでは、RADIUS サーバへの認証要求が生成されます。パスワードが失効している場合は、RADIUS サーバにより認証失敗の応答が行われますが、失敗の理由は、AAA サブシステムには返送されません。そのためユーザは、認証の失敗によりアクセスを拒否されますが、認証失敗の理由がパスワードの失効だとわかりませんでした。

Cisco IOS Release 12.4(6)T では、パスワード エージング機能を設定しておけば、パスワードが失効した時点で、そのことが Easy VPN クライアントに通知され、新しいパスワードを入力するようプロンプトが表示されます。パスワード エージングの設定方法については、 「パスワード エージングの設定」 を参照してください。

パスワード エージングに関する詳細については、 「その他の参考資料」 の「関連資料」にある「パスワード エージング」を参照してください。

スプリット DNS

Cisco IOS Release 12.4(9)T では、Easy VPN サーバ上でスプリット DNS 機能を使用できます。この機能を使用すると、Easy VPN ハードウェア クライアントでは、プライマリ DNS およびセカンダリ DNS の値を使用して DNS クエリーを解決できます。これらの値は、Easy VPN サーバから Easy VPN Remote デバイスへプッシュされます。ご使用のサーバ上でこの機能を設定する場合は、 split-dns コマンドを使用します( 「モード設定プッシュに使用するグループ ポリシー情報の定義」 を参照してください)。このコマンドを設定すると、ポリシー グループに split-dns アトリビュートが追加されます。このアトリビュートには、設定したドメイン名のリストが含まれています。その他の名前はすべて、パブリック DNS サーバを使用して解決されます。

スプリット DNS の設定方法については、次の URL にある「Configuring Split and Dynamic DNS on the Cisco VPN 3000」を参照してください。

http://www.cisco.com/warp/public/471/dns_split_dynam.pdf

cTCP

cTCP 機能は、Easy VPN Remote デバイスが稼動している環境において、標準 IPsec が機能しない場合や、既存のファイアウォール ルールを修正しなければ標準 IPsec が透過的に機能しない場合などに使用されます。こうした状況に該当するのは、次のような環境です。

ルータにより NAT または PAT が実行されている小規模オフィスや自宅オフィスなどの環境

ルータの背後で PAT により生成された IP アドレスが割り当てられている比較的規模の大きな環境(企業など)

非 NAT ファイアウォール(パケット フィルタリングまたはステートフル)が使用されている環境

プロキシ サーバが使用されている環境

ヘッドエンドの設定済み cTCP ポートで cTCP 接続が許可されるように、ファイアウォールを設定する必要があります。この設定は、Easy VPN サーバ上でイネーブルにします。ファイアウォールが設定されていない場合、cTCP トラフィックは許可されません。


) cTCP トラフィックは、実質的には TCP トラフィックです。cTCP パケットは、TCP を介して転送される IKE パケットまたは Encapsulating Security Payload(ESP; カプセル化セキュリティ ペイロード)パケットです。


cTCP サーバでは、確立された cTCP セッションを介して受信したクライアントのデータが、3 KB に達すると、クライアントに gratuitous ACK メッセージが送信されます。クライアントでも、同様の処理が実行されます。デフォルトでは、cTCP サーバと cTCP クライアントの間の NAT セッションやファイアウォール セッションを有効な状態に維持するために gratuitous ACK メッセージが送信されます。送信される gratuitous ACK メッセージのデータ サイズは設定できません。

クライアントまたはサーバから高速でデータが送信される場合、クライアントまたはサーバからキープアライブが送信されても、セッションを有効な状態に維持できません。

単方向のトラフィックによって大量のデータが転送される場合は、cTCP サーバから ACK メッセージ を送信することで、NAT セッションやファイアウォール セッションがパケットを廃棄しないことが保証されます。また、データを受信するデバイスからの受信応答も保証されます。

AAA サーバによる VRF の割り当て

VRF を Easy VPN ユーザに割り当てるには、次のアトリビュートを AAA サーバ上でイネーブルにする必要があります。

Cisco-avpair “ip:interface-config=ip vrf forwarding example1”
Cisco-avpair “ip:interface-config=ip unnumbered loopback10”

Easy VPN サーバの設定方法

ここでは、次の手順について説明します。

「AAA を介したポリシー ルックアップのイネーブル化」(必須)

「モード設定プッシュに使用するグループ ポリシー情報の定義」(必須)

「VPN セッション モニタリングのイネーブル化」(任意)

「VPN セッションの確認」(任意)

「モード設定および Xauth の適用」(必須)

「クライアントに対する RRI のイネーブル化」(任意)

「IKE デッド ピア検証のイネーブル化」(任意)

「RADIUS サーバ サポートの設定」(任意)

「Easy VPN サーバの確認」(任意)

「バナーの設定」(任意)

「自動アップグレードの設定」(任意)

「ブラウザ プロキシの設定」(任意)

「モード設定交換によるコンフィギュレーション URL のプッシュの設定」(任意)

「PKI によるユーザ単位 AAA ダウンロードの設定:クリプト PKI トラストポイントの設定」(任意)

「PKI による実際のユーザ単位 AAA ダウンロードの設定」(任意)

「ローカル Easy VPN AAA サーバにおけるユーザ単位アトリビュートの設定」

「ローカル Easy VPN AAA サーバにおけるユーザ単位アトリビュートの設定」(任意)

「ローカル AAA サーバによる CPP ファイアウォール ポリシー プッシュの定義」(任意)

「設定されたグループに対する CPP ファイアウォール ポリシー プッシュの適用」(任意)

「リモート AAA サーバによる CPP ファイアウォール ポリシー プッシュの定義」(任意)

「グループ定義への VSA cpp-policy の追加」(任意)

「CPP ファイアウォール ポリシー プッシュの確認」(任意)

「パスワード エージングの設定」(任意)

「スプリット DNS の設定」(任意)

「スプリット DNS の確認」(任意)

「スプリット DNS のモニタおよびメンテナンス」(任意)

「DHCP サーバから IP アドレスを取得するための Easy VPN サーバの設定」(任意)

「DHCP クライアント プロキシの確認」(任意)

「DHCP クライアント プロキシのモニタおよびメンテナンス」(任意)

「cTCP の設定」(任意)

「cTCP の確認」(任意)

「cTCP の設定のモニタおよびメンテナンス」(任意)

「cTCP の設定に関するトラブルシューティング」(任意)

AAA を介したポリシー ルックアップのイネーブル化

AAA を介してポリシー ルックアップをイネーブルにするには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. aaa authentication password-prompt text-string

5. aaa authentication username prompt text-string

6. aaa authentication login [ list-name method1 ] [ method2... ]

7. aaa authorization network list-name local group radius

8. username name password encryption-type encrypted-password

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

 

Router(config)# aaa new-model

AAA をイネーブルにします。

ステップ 4

aaa authentication password-prompt text-string

 

Router(config)# aaa authentication password-prompt "Enter your password now:"

(任意)ユーザがパスワードを入力するようプロンプトに指示を求められた際、表示するテキストを変更します。

ステップ 5

aaa authentication username-prompt text-string

 

Router(config)# aaa authentication username-prompt "Enter your name here:"

(任意)ユーザがユーザ名を入力するようプロンプトに指示を求められた際、表示するテキストを変更します。

ステップ 6

aaa authentication login [ list-name method1 ] [ method2... ]

 

Router(config)# aaa authentication login userlist local group radius

ログイン時の AAA 認証を設定します。

ローカル サーバと RADIUS サーバは併用できます。ただし、アクセスは一方から順に試行されます。

(注) Xauth を実行する場合は、このコマンドをイネーブルにする必要があります。

ステップ 7

aaa authorization network list-name local group radius

 

Router(config)# aaa authorization network grouplist local group radius

グループ ポリシー ルックアップをイネーブルにします。

ローカル サーバと RADIUS サーバは併用できます。ただし、アクセスは一方から順に試行されます。

ステップ 8

username name password encryption-type encrypted-password

 

Router(config)# username server_r password 7 121F0A18

(任意)RADIUS も TACACS+ も使用されていない場合に、Xauth のローカル ユーザを定義します。

(注) このコマンドは、外部の検証リポジトリを使用しない場合にだけ使用してください。

モード設定プッシュに使用するグループ ポリシー情報の定義

ユーザが所属できるグループは接続ごとに 1 つだけですが、さまざまなポリシー要件に応じて、ユーザが所属しうるグループを複数指定できます。そのためユーザは、VPN デバイス上のクライアント プロファイルを変更すれば、別のグループ ID を使用してクライアントに接続できます。モード設定を介してクライアントにプッシュされるポリシー アトリビュートを定義するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto isakmp client configuration group { group-name | default }

4. key name

5. dns primary-server secondary-server

6. wins primary-server secondary-server

7. domain name

8. pool name

9. netmask name

10. acl number

11. access-restrict { interface-name }

12. policy check-presence

または

firewall are-u-there

13. group-Lock

14. include-local-lan

15. save-password

16. backup-gateway

17. pfs

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp client configuration group { group-name | default }

 

Router(config)# crypto isakmp client configuration group group1

定義されるグループのポリシー プロファイルを指定し、ISAKMP グループ コンフィギュレーション モードを開始します。

該当するグループがなく、デフォルト グループが定義されている場合、ユーザにはデフォルト グループのポリシーが自動的に適用されます。

ステップ 4

key name

 

Router(config-isakmp-group)# key group1

グループ ポリシー アトリビュートの定義に使用する IKE 事前共有キーを指定します。

(注) クライアントの認証に事前共有キーが使用される場合は、このコマンドをイネーブルにする必要があります。

ステップ 5

dns primary-server secondary-server

 

Router(config-isakmp-group)# dns 10.2.2.2 10.3.3.3

(任意)グループに対して、プライマリ DNS サーバおよびセカンダリ DNS サーバを指定します。

ステップ 6

wins primary-server secondary-server

 

Router(config-isakmp-group)# wins 10.10.10.10 10.12.12.12

(任意)グループに対して、プライマリ WINS サーバおよびセカンダリ WINS サーバを指定します。

ステップ 7

domain name

 

Router(config-isakmp-group)# domain domain.com

(任意)グループが属する DNS ドメインを指定します。

ステップ 8

pool name

 

Router(config-isakmp-group)# pool green

ローカル プール アドレスを定義します。

各ユーザはプール名を少なくとも 1 つ指定する必要がありますが、グループ ポリシーごとに、別途プールを指定することもできます。

(注) このコマンドは、必ず定義したうえで、有効な IP ローカル プール アドレスを参照する必要があります。それが行われていないと、クライアント接続は失敗します。

ステップ 9

netmask name

 

Router(config-isakmp-group)# netmask 255.255.255.255

(任意)ローカル接続用にサブネット マスクがクライアントにダウンロードされるよう指定します。

コマンドを使用します。

ステップ 10

acl number

 

Router(config-isakmp-group)# acl 199

(任意)スプリット トンネリングを設定します。

number 引数には、スプリット トンネリング用に保護されたサブネットを表す Access Control List(ACL; アクセス コントロール リスト)ルールのグループを指定します。

ステップ 11

access-restrict { interface-name }

 

Router(config-isakmp-group)# access-restrict fastethernet0/0

グループ内のクライアントがアクセスできるインターフェイスをいずれか 1 つに制限します。

ステップ 12

policy check-presence

 

または

firewall are-u-there

 

Router(config-isakmp-group)# policy check-presence

 

または

 

Router(config-isakmp-group)# firewall are-u-there

(任意)指定されたファイアウォール(クライアント上にファイアウォール タイプとして表示されたファイアウォール)が存在するかどうかのチェックがサーバによって行われるよう指定します。

または

ご使用の PC 上で パーソナル ファイアウォールの Black Ice または Zone Alarm が実行されている場合に、firewall are-u-there アトリビュートをサーバ グループに追加します。

コマンドは、ローカル以外では設定できませんが、下位互換性を維持するため現在でもサポートされています。

ステップ 13

group-lock

 

Router(config-isakmp-group)# group-lock

グループ ロック機能を適用します。

ステップ 14

include-local-lan

 

Router(config-isakmp-group)# include-local-lan

(任意)クライアントと同時に、非スプリット トンネリング接続からローカル サブネットワークへアクセスできるよう、Include-Local-LAN アトリビュートを設定します。

ステップ 15

save-password

 

Router(config-isakmp-group)# save-password

(任意)Xauth パスワードを自身の PC 上にローカルに保存します。

ステップ 16

backup-gateway

 

Router(config-isakmp-group)# backup gateway

(任意)クライアントの設定へバックアップ ゲートウェイを手動で追加する代わりに、バックアップ ゲートウェイのリストがサーバからクライアント デバイスへ「プッシュ ダウン」されるように指定します。

これらのゲートウェイには、リスト上での順番に従って、順次接続が試行されていきます。各ゲートウェイには、その 1 つ前のゲートウェイに障害が発生した段階で、接続が試行されます。ゲートウェイは、IP アドレスまたはホスト名を使用して指定できます。

ステップ 17

pfs

 

Router(config-isakmp-group)# pfs

(任意)いずれかの IPsec SA に対し PFS が必要かどうかについての中央ポリシーをクライアントに通知します。

クライアント デバイスは、PFS ネゴシエーションのイネーブル化/ディセーブル化を切り替えるためのユーザ インターフェイス オプションを備えていません。そのため、このパラメータを使用して、サーバからクライアント デバイスへ中央ポリシーを通知します。PFS として提示される D-H グループは、IKE ネゴシエーションのフェーズ 1 でネゴシエーションが行われた D-H グループと同じものです。

VPN セッション モニタリングのイネーブル化

VPN グループごとのルータへの最大接続数、およびユーザごとの最大同時ログイン数を制限する場合は、次のアトリビュートを VPN グループに追加します。

手順の概要

1. enable

2. configure terminal

3. crypto isakmp client configuration group group-name

4. exit

5. max-logins number-of-logins

6. max-users number-of-users

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp client configuration group group-name

 

Router(config)# crypto isakmp client configuration group group1

定義するグループのポリシー プロファイルを指定し、ISAKMP グループ コンフィギュレーション モードを開始します。

group-name :ユーザに適用されるポリシーに対応するグループを指定します。

ステップ 4

exit

 

Router(config-isakmp-group)# exit

ISAKMP グループ コンフィギュレーション モードを終了します。

ステップ 5

max-logins number-of-logins

 

Router(config)# max-logins 10

(任意)特定のサーバ グループに属するユーザの同時ログイン数を制限します。

ステップ 6

max-users number-of-users

 

Router(config)# max-users 1000

(任意)特定のサーバ グループに対する接続数を制限します。

VPN セッションの確認

VPN セッションを確認するには、次の手順を実行します。

手順の概要

1. enable

2. show crypto session group

3. show crypto session summary

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show crypto session group

 

Router# show crypto session group

VPN デバイス上で現在アクティブなグループを表示します。

ステップ 3

show crypto session summary

 

Router# show crypto session summary

VPN デバイス上で現在アクティブなグループと、それらの各グループにおいて接続されているユーザを表示します。

モード設定および Xauth の適用

クリプト マップを使用する場合は、そのクリプト マップにモード設定および Xauth を適用する必要があります。モード設定および Xauth をクリプト マップに適用するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto map tag client configuration address [ initiate | respond ]

4. crypto map map-name isakmp authorization list list-name

5. crypto map map-name client authentication list list-name

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto map tag client configuration address [ initiate | respond ]

 

Router(config)# crypto map dyn client configuration address initiate

モード設定要求を開始またはそれに応答するようルータを設定します。

キーワードは、同時に使用できます。

ステップ 4

crypto map map-name isakmp authorization list list-name

 

Router(config)# crypto map ikessaaamap isakmp authorization list ikessaaalist

クライアントから要求された場合のグループ ポリシーに対する IKE クエリーをイネーブルにします。

ここで指定される list-name 引数の値により、AAA では、 aaa authorization network コマンドに指定されているポリシー(ローカルまたは RADIUS)を検索するストレージ ソースが決定されます。

ステップ 5

crypto map map-name client authentication list list-name

 

Router(config)# crypto map xauthmap client authentication list xauthlist

Xauth を適用します。

ここで指定される list-name 引数の値により、 aaa authentication login コマンドで指定されているユーザ名およびパスワードの適切な保管場所(ローカルまたは RADIUS)が決定されます。

クライアントに対する RRI のイネーブル化

VPN クライアントに対して、クリプト マップ(スタティックまたはダイナミック)で RRI をイネーブルにするには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto dynamic map-name seq-num

または

crypto map map-name seq-num ipsec-isakmp

4. set peer ip-address

5. set transform-set transform-set-name

6. reverse-route

7. match-address

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto dynamic map-name seq-num

 

または

crypto map map-name seq-num ipsec-isakmp

 

Router(config)# crypto dynamic mymap 10

 

または

Router(config)# crypto map yourmap 15 ipsec-isakmp

ダイナミック クリプト マップ エントリを作成し、クリプト マップ コンフィギュレーション モードを開始します。

または

ダイナミック クリプト マップ セットをスタティック クリプト マップ セットに追加し、クリプト マップ コンフィギュレーション モードを開始します。

ステップ 4

set peer ip-address

 

Router(config-crypto-map)# set peer 10.20.20.20

クリプト マップ エントリに対して IPsec ピアの IP アドレスを指定します。

ダイナミック クリプト マップ エントリを設定している場合、この手順はオプションです。

ステップ 5

set transform-set transform-set-name

 

Router(config-crypto-map)# set transform-set dessha

このクリプト マップ エントリで許可するトランスフォーム セットを指定します。

複数のトランスフォーム セットをプライオリティの順に表示します(最もプライオリティの高いものを先頭に表示)。

(注) ダイナミック クリプト マップ エントリに必要な設定文は、このリストだけです。

ステップ 6

reverse-route

 

Router(config-crypto-map)# reverse-route

送信元プロキシの情報を作成します。

ステップ 7

match address

 

Router(config-crypto-map)# match address

クリプト マップ エントリの拡張アクセス リストを指定します。

ダイナミック クリプト マップ エントリを設定している場合、この手順はオプションです。

IKE デッド ピア検証のイネーブル化

(クライアントの代わりに)Cisco IOS VPN ゲートウェイから IKE メッセージを送信できるようにするには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto isakmp keepalive secs retries

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp keepalive secs retries

 

Router(config)# crypto isakmp keepalive 20 10

ゲートウェイからルータへの DPD メッセージ送信を有効にします。

secs 引数には、DPD メッセージの送信間隔を秒単位で指定します(指定できる値の範囲は 1 ~ 3600 秒)。また、retries 引数には、DPD メッセージ送信に失敗した場合に送信を再試行する間隔を秒単位で指定します(指定できる値の範囲は 2 ~ 60 秒)。

RADIUS サーバ サポートの設定

RADIUS サーバへアクセスできるよう設定し、Cisco IOS VPN デバイスからそのサーバへ要求を送信できるようにするには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. radius server host ip-address [ auth-port port-number ] [ acct-port port-number ] [ key string ]

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

radius server host ip-address [ auth-port port-number ] [ acct-port port-number ] [ key string ]

 

Router(config)# radius server host 192.168.1.1. auth-port 1645 acct-port 1646 key XXXX

RADIUS サーバ ホストを指定します。

(注) この手順が必要となるのは、グループ ポリシーの情報を RADIUS サーバへ保存するよう選択した場合だけです。

Easy VPN サーバの確認

この機能に関する設定内容を確認するには、次の手順を実行します。

手順の概要

1. enable

2. show crypto map [ interface interface | tag map-name ]

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show crypto map [ interface interface | tag map-name ]

 

Router# show crypto map interface ethernet 0

クリプト マップの設定内容を表示します。

バナーの設定

Easy VPN サーバから Easy VPN Remote デバイスへバナーがプッシュされるように設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto isakmp client configuration group { group-name }

4. banner c { banner-text } c

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp client configuration group { group-name }

 

Router(config)# crypto isakmp client configuration group Group1

ポリシー プロファイルの定義先となるグループを指定し、クリプト ISAKMP グループ コンフィギュレーション モードを開始します。

ステップ 4

banner c { banner-text } c

 

Router(config-isakmp-group)# banner c The quick brown fox jumped over the lazy dog c

バナーのテキストを指定します。

自動アップグレードの設定

Easy VPN Remote デバイスに対してソフトウェアやファームウェアのアップグレードが自動的に適用されるメカニズムを Easy VPN サーバ上で設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto isakmp client configuration group { group-name }

4. auto-update client { type-of-system } { url url } { rev review-version }

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp client configuration group { group-name }

 

Router(config)# crypto isakmp client configuration group Group2

ポリシー プロファイルの定義先となるグループを指定し、クリプト ISAKMP グループ コンフィギュレーション モードを開始します。

ステップ 4

auto-update client { type-of-system } { url url } { rev review-version }

 

Router(config-isakmp-group)# auto-update client Win2000 url http:www.example.com/newclient rev 3.0.1(Rel), 3.1(Rel)

Easy VPN Remote デバイスに対して、自動アップデートのパラメータを設定します。

ブラウザ プロキシの設定

Cisco IOS VPN クライアント ソフトウェアを使用している場合に、Easy VPN Remote デバイスから社内ネットワーク上のリソースへアクセスできるよう Easy VPN サーバを設定するには、次の手順を実行します。この設定により、ユーザは、社内ネットワークに接続する際に、自身が使用する Web ブラウザのプロキシ設定を手動で修正したり、接続を解除する際に、プロキシ設定を手動で元に戻したりする必要がなくなります。

手順の概要

1. enable

2. configure terminal

3. crypto isakmp client configuration browser-proxy { browser-proxy-name }

4. proxy { proxy-parameter }

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp client configuration browser-proxy { browser-proxy-name }

 

Router(config)# crypto isakmp client configuration browser-proxy bproxy

Easy VPN Remote デバイスに対して、ブラウザ プロキシのパラメータを設定し、ISAKMP ブラウザ プロキシ コンフィギュレーション モードを開始します。

ステップ 4

proxy { proxy-parameter }

 

Router(config-ikmp-browser-proxy)# proxy auto-detect

Easy VPN Remote デバイスに対して、プロキシのパラメータを設定します。

モード設定交換によるコンフィギュレーション URL のプッシュの設定

モード設定交換によりコンフィギュレーション URL がプッシュされるよう Easy VPN サーバを設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto isakmp client configuration group { group-name }

4. configuration url { url }

5. configuration version { version-number }

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp client configuration group { group-name }

 

Router(config)# crypto isakmp client configuration group Group1

ポリシー プロファイルの定義先となるグループを指定し、クリプト ISAKMP グループ コンフィギュレーション モードを開始します。

ステップ 4

configuration url { url }

 

Router(config-isakmp-group)# configuration url http://10.10.88.8/easy.cfg

リモート デバイスがサーバから設定を取得する際に使用する URL を指定します。

この URL は、コンフィギュレーション ファイルの完全パスを表す非ヌル終端 ASCII 文字列である必要があります。

ステップ 5

configuration version { version-number }

 

Router(config-isakmp-group)# configuration version 10

設定のバージョンを指定します。

バージョン番号は、1 ~ 32767 の範囲にある符号なし整数です。

PKI によるユーザ単位 AAA ダウンロードの設定:クリプト PKI トラストポイントの設定

ユーザ アトリビュートがリモート デバイスにプッシュされるよう AAA サーバを設定するには、次の手順を実行します。

前提条件

ユーザ アトリビュートがリモート デバイスにプッシュされるよう AAA サーバを設定する場合は、あらかじめ AAA を設定しておく必要があります。また、クリプト PKI トラストポイントも設定されていることが必要です(以下で最初に説明する設定手順を参照してください)。トラストポイントの設定では、 authorization username コマンドを使用することを推奨します。

手順の概要

1. enable

2. configure terminal

3. crypto pki trustpoint name

4. enrollment url url

5. revocation-check none

6. rsakeypair key-label

7. authorization username { subjectname subjectname }

8. exit

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto pki trustpoint name

 

Router(config)# crypto pki trustpoint ca-server

ルータで使用するトラストポイントを宣言し、CA トラストポイント コンフィギュレーション モードを開始します。

ステップ 4

enrollment url url

 

Router(config-ca-trustpoint)# enrollment url http://10.7.7.2:80

登録要求の送信先となる Certification Authority(CA; 認証局)サーバの URL を指定します。

ステップ 5

revocation-check none

 

Router(config-ca-trustpoint)# revocation-check none

証明書の失効ステータスをチェックします。

ステップ 6

rsakeypair key-label

 

Router(config-ca-trustpoint)# rsakeypair rsa-pair

証明書に関連付けるキー ペアを指定します。

ステップ 7

authorization username { subjectname subjectname }

 

Router(config-ca-trustpoint)# authorization username subjectname commonname

AAA ユーザ名の設定に使用するさまざまな証明書フィールドのパラメータを指定します。

ステップ 8

exit

 

Router(config-ca-trustpoint)# exit

CA トラストポイント コンフィギュレーション モードを終了します。

PKI による実際のユーザ単位 AAA ダウンロードの設定

PKI による実際のユーザ単位ダウンロードを設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto isakmp policy priority

4. group { 1 | 2 }

5. exit

6. crypto isakmp profile profile-name

7. match certificate certificate-map

8. client pki authorization list listname

9. client configuration address { initiate | respond }

10. virtual-template template-number

11. exit

12. crypto ipsec transform-set [ transform-set-name transform1 ] [ transform2 ] [ transform3 ] [ transform4 ]

13. crypto ipsec profile name

14. set transform-set transform-set-name

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp policy priority

 

Router(config)# crypto isakmp policy 10

IKE ポリシーを定義し、ISAKMP ポリシー コンフィギュレーション モードを開始します。

ステップ 4

group { 1 | 2 }

 

Router(config-isakmp-policy)# group 2

IKE ポリシー内部での D-H グループの識別番号を指定します。

ステップ 5

exit

 

Router(config-isakmp-policy)# exit

ISAKMP ポリシー コンフィギュレーション モードを終了します。

ステップ 6

crypto isakmp profile profile-name

 

Router(config)# crypto isakmp profile ISA-PROF

ISAKMP プロファイルの定義と IPsec ユーザ セッションの監査を行い、クリプト ISAKMP プロファイル コンフィギュレーション モードを開始します。

ステップ 7

match certificate certificate-map

 

Router(config-isakmp-profile)# match certificate cert_map

証明書にある任意のフィールド内容に基づいて、ISAKMP プロファイルをピアに割り当てます。

ステップ 8

client pki authorization list listname

 

Router(config-isakmp-profile)# client pki authorization list usrgrp

証明書から生成されたユーザ名に基づいてユーザ単位 AAA アトリビュートを取得する際に使用される AAA サーバの認可リストを指定します。

ステップ 9

client configuration address { initiate | respond }

 

Router(config-isakmp-profile)# client configuration address respond

ISAKMP プロファイルに IKE コンフィギュレーション モードを設定します。

ステップ 10

virtual-template template-number

 

Router(config-isakmp-profile)# virtual-template 2

仮想アクセス インターフェイスのクローンを作成する際に使用される仮想テンプレートを指定します。

ステップ 11

exit

 

Router(config-isakmp-profile)# exit

クリプト ISAKMP プロファイル コンフィギュレーション モードを終了します。

ステップ 12

crypto ipsec transform-set transform-set-name transform1 [ transform2 ] [ transform3 ] [ transform4 ]

 

Router(config)# crypto ipsec transform-set trans2 esp-3des esp-sha-hmac1

トランスフォーム セット(セキュリティ プロトコルとセキュリティ アルゴリズムの受け入れ可能な組み合せ)を定義します。

ステップ 13

crypto ipsec profile name

 

Router(config)# crypto ipsec profile IPSEC_PROF

2 つの IPsec ルータ間における IPsec 暗号化のために使用される IPsec パラメータを定義します。

ステップ 14

set transform-set transform-set-name

 

Router(config)# set transform-set trans2

クリプト マップ エントリで使用可能なトランスフォーム セットを指定します。

ローカル Easy VPN AAA サーバにおけるユーザ単位アトリビュートの設定

ローカル Easy VPN AAA サーバ上でユーザ単位アトリビュートを設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. aaa attribute list list-name

4. attribute type name value [ service service ] [ protocol protocol ]

5. exit

6. crypto isakmp client configuration group group-name

7. crypto aaa attribute list list-name

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa attribute list list-name

 

Router(config)# aaa attribute list list1

ルータ上で AAA アトリビュート リストをローカルに定義し、アトリビュート リスト コンフィギュレーション モードを開始します。

ステップ 4

attribute type name value [ service service ] [ protocol protocol ]

 

Router(config-attr-list)# attribute type attribute xxxx service ike protocol ip

AAA アトリビュート リストへ追加されるアトリビュート タイプをルータ上でローカルに定義します。

ステップ 5

exit

 

Router(config-attr-list)# exit

アトリビュート リスト コンフィギュレーション モードを終了します。

ステップ 6

crypto isakmp client configuration group group-name

 

Router(config)# crypto isakmp client configuration group group1

ポリシー プロファイルの定義先となるグループを指定し、ISAKMP グループ コンフィギュレーション モードを開始します。

ステップ 7

crypto aaa attribute list list-name

 

Router(config-isakmp-group)# crypto aaa attribute list listname1

ルータ上で AAA アトリビュート リストをローカルに定義します。

Easy VPN syslog メッセージのイネーブル化

サーバ上で Easy VPN syslog メッセージをイネーブルにするには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto logging ezvpn group group-name

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto logging ezvpn [ group group-name ]

 

Router(config)# crypto logging ezvpn group group1

サーバ上で Easy VPN syslog メッセージをイネーブルにします。

group キーワードおよび group-name 引数はオプションです。グループ名を指定しない場合、サーバへのすべての Easy VPN 接続に対して syslog メッセージがイネーブルになります。グループ名を指定した場合は、そのグループに対してだけ syslog メッセージがイネーブルになります。

ローカル AAA サーバによる CPP ファイアウォール ポリシー プッシュの定義

ここでは、リモート デバイスに対しローカル AAA サーバ用のファイアウォールが設定されているかどうかに基づいてトンネルを許可したり拒否したりするために、サーバ上で CPP ファイアウォール ポリシー プッシュを定義する手順について説明します。

手順の概要

1. enable

2. configure terminal

3. crypto isakmp client firewall { policy-name } { required | optional } { firewall-type }

4. policy { check-presence | central-policy-push { access-list { in | out } access-list-name | access-list-number }}

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp client firewall { policy-name } { required | optional } { firewall-type }

 

Router(config)# crypto isakmp client firewall hw-client-g-cpp required Cisco-Security-Agent

サーバ上で CPP ファイアウォール プッシュ ポリシーを定義し、ISAKMP クライアント ファイアウォール コンフィギュレーション モードを開始します。

引数およびキーワードは次のとおりです。

policy-name :ポリシーの一意の識別名を指定します。ポリシー名は、サーバまたは AAA サーバの Easy VPN クライアント グループ設定(ローカル グループの設定)に関連付けられている必要があります。

required :このキーワードを指定すると、ポリシーが必須ポリシーとして定義されます。必須ポリシーとして定義した CPP ポリシーを Easy VPN サーバの設定に追加すると、このポリシーがクライアントにより確認された場合に限ってトンネルを確立できます。確認されない場合、トンネルは終了します。

optional :このキーワードを指定すると、ポリシーが任意のポリシーとして定義されます。任意のポリシーとして定義した CPP ポリシーを Easy VPN サーバの設定に追加した場合は、このポリシーがクライアントにより確認されなくても、トンネルは確立した状態が維持されます。

firewall-type :ファイアウォールのタイプを指定します(ファイアウォール タイプのリストについては、 crypto isakmp client firewall コマンドを参照してください)。

ステップ 4

policy { check-presence | central-policy-push { access-list { in | out } access-list-name | access-list-number }}
 
Router(config-ikmp-client-fw)# policy central-policy-push access-list out acl1
 

または

Router(config-ikmp-client-fw)# policy check-presence

CPP ファイアウォール ポリシー プッシュを定義します。

引数およびキーワードは次のとおりです。

check-presence :指定されたファイアウォール(クライアント上で ファイアウォール タイプ 引数の値として表示されたファイアウォール)が存在するかどうかのチェックがサーバにより行われるようにする場合は、このキーワードを指定します。

central-policy-push :このキーワードを指定すると、 ファイアウォール タイプ 引数でタイプが指定されたクライアント ファイアウォールにより適用される必要がある入力アクセス リストや出力アクセス リストなど、実際のポリシーが適用されます。

access-list { in | out }:インバウンド アクセス リストまたはアウトバウンド アクセス リストを指定します。

access-list-name | access-list-number :アクセス リストの名前または番号を指定します。

次の作業

設定されたグループに対して CPP ファイアウォール ポリシー プッシュを適用します。

設定されたグループに対する CPP ファイアウォール ポリシー プッシュの適用

CPP ファイアウォール ポリシー プッシュが定義されたら、次にはそれを設定グループに適用する必要があります。次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto isakmp client configuration group group-name

4. firewall policy policy-name

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp client configuration group group-name

 

Router(config)# crypto isakmp client configuration group hw-client-g

ポリシー プロファイルの定義先となるグループを指定し、ISAKMP グループ コンフィギュレーション モードを開始します。

ステップ 4

firewall policy policy-name

 

Router(crypto-isakmp-group)# firewall policy hw-client-g-cpp

ローカル認証または AAA サーバにおいてクリプト ISAKMP クライアントの設定グループに適用する CPP ファイアウォール プッシュ ポリシー の名前を指定します。

リモート AAA サーバによる CPP ファイアウォール ポリシー プッシュの定義

リモート AAA サーバによる CPP ファイアウォール ポリシー プッシュを定義する手順は、 「ローカル AAA サーバによる CPP ファイアウォール ポリシー プッシュの定義」 に記載されている手順と同じです。

次の作業

CPP ファイアウォール ポリシー プッシュを定義したら、グループ定義において Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)である cpp-policy を追加する必要があります。

グループ定義への VSA cpp-policy の追加

RADIUS で定義されたグループ定義に VSA cpp-policy を追加するには、次の手順を実行します。

手順の概要

1. RADIUS で定義されたグループ定義に VSA cpp-policy を追加します。

手順の詳細

 

コマンド
目的

ステップ 1

RADIUS で定義されたグループ定義に「VSA cpp-policy」を追加します。

 

ipsec:cpp-policy="Enterprise Firewall"

リモート サーバに対して CPP ファイアウォール プッシュ ポリシーを定義します。

CPP ファイアウォール ポリシー プッシュの確認

ローカル AAA サーバまたはリモート AAA サーバ上で CPP ファイアウォール プッシュ ポリシーを確認するには、次の手順を実行します。

手順の概要

1. enable

2. debug crypto isakmp

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug crypto isakmp

 

Router# debug crypto isakmp

IKE イベントに関するメッセージを表示します。

パスワード エージングの設定

パスワードがすでに失効したかどうかを Easy VPN クライアントに通知するパスワード エージング機能の設定手順は次の通りです。

制約事項

パスワード エージング機能には、次のような制約事項が適用されます。

VPN ソフトウェア クライアントがある場合に限り使用できます。VPN クライアント ハードウェアでは機能しません。

RADIUS サーバがある場合に限り使用できます。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. aaa authentication login { list-name } password-expiry method1 [ method2... ]

5. radius-server host { ip-address } auth-port port-number acct-port port-number key string }

6. ISAKMP プロファイルの設定

7. client authentication list { list-name }

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model
 

Router(config)# aaa new-model

AAA をイネーブルにします。

ステップ 4

aaa authentication login { list-name } password-expiry method1 [ method2... ]
 
Router(config)# aaa authentication login userauth paswd-expiry group radius

認証リストを設定します。これによりパスワード エージング機能がイネーブルになります。

ステップ 5

radius-server host { ip-address } auth-port port-number acct-port port-number key string
 

Router(config)# radius-server host 172.19.217.96 255.255.255.0 auth-port 1645 acct-port 1646 key cisco radius-server vsa send authentication

RADIUS サーバを設定します。

ステップ 6

ISAKMP プロファイルを設定します。

 

「パスワード エージングの設定:例」 を参照してください。

ISAKMP プロファイルを設定し、ISAKMP プロファイル コンフィギュレーション モードを開始します( 「パスワード エージングの設定:例」 を参照してください)。

ステップ 7

client authentication list { list-name }
 
Router(config-isakmp-profile)# client authentication list userauth

ISAKMP プロファイルに IKE 拡張認証(Xauth)を設定し、先に定義した認証リストを追加します。

スプリット DNS の設定

スプリット DNS の設定方法は次のとおりです。

前提条件

スプリット DNS 機能を使用できるようにするには、あらかじめ次のコマンドが Easy VPN Remote 上で設定されている必要があります。

ip dns server

ip domain-lookup

手順の概要

1. enable

2. configure terminal

3. crypto isakmp client configuration group group-name

4. dns primary-server secondary-server

5. split-dns domain-name

手順の詳細

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp client configuration group { group-name | default }
 

Router(config)# crypto isakmp client configuration group group1

定義するグループのポリシー プロファイルを指定し、ISAKMP グループ コンフィギュレーション モードを開始します。

該当するグループがなく、デフォルト グループが定義されている場合、ユーザにはデフォルト グループのポリシーが自動的に適用されます。

ステップ 4

dns primary-server secondary-server
 
Router(config-isakmp-group)# dns 10.2.2.2 10.3.3.3

グループに対して、プライマリ DNS サーバおよびセカンダリ DNS サーバを指定します。

ステップ 5

split-dns domain-name
 
Router(config-isakmp-group)# split-dns green.com

プラベート ネットワークに対してトンネリングまたは解決する必要のあるドメイン名を指定します。

スプリット DNS の確認

スプリット DNS 設定を確認する手順は次のとおりです( show コマンドは、それぞれを個別に使用することも、複数をまとめて使用することもできます)。

手順の概要

1. enable

2. show ip dns name-list [ name-list-number ]

3. show ip dns view [ vrf vrf-name ] [ default | view-name ]

4. show ip dns view-list [ view-list-name ]

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show ip dns name-list [ name-list-number ]

 

Router# show ip dns name-list 1

DNS 名のリストに関する情報を表示します。

ステップ 3

show ip dns view [ vrf vrf-name ] [ default | view-name ]
 

Router# show ip dns view default

DNS ビューに関する情報を表示します。

ステップ 4

show ip dns view-list [ view-list-name ]
 
Router# show ip dns view-list ezvpn-internal-viewlist

DNS ビュー リストに関する情報を表示します。

スプリット DNS のモニタおよびメンテナンス

Easy VPN Remote デバイス上でスプリット DNS 設定をモニタおよびメンテナンスするには、次の手順を実行します。

手順の概要

1. enable

2. debug ip dns name-list

3. debug ip dns view

4. debug ip dns view-list

手順の詳細

 

ステップ 1

enable
 
Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug ip dns name-list
 
Router# debug ip dns name-list

DNS 名リストのイベントに対して、デバッグ出力をイネーブルにします。

ステップ 3

debug ip dns view
 
Router# debug ip dns view

DNS ビューのイベントに対して、デバッグ出力をイネーブルにします。

ステップ 4

debug ip dns view-list
 
Router# debug ip dns view-list

DNS ビュー リストのイベントに対して、デバッグ出力をイネーブルにします。

DHCP サーバから IP アドレスを取得するための Easy VPN サーバの設定

Easy VPN サーバでは、次の優先順位に基づいて、アドレスの割り当て方式が選択されます。

1. フレーム IP アドレスを使用する。

2. 認証サーバから取得した IP アドレスを使用する(グループ/ユーザ)。

3. グローバル IKE アドレス プールを使用する。

4. DHCP を使用する。


) Easy VPN サーバにおいて DHCP サーバから IP アドレスが取得されるようにする場合は、その他のアドレス割り当てを削除してください。


DHCP サーバから IP アドレスが取得されるように Easy VPN サーバを設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto isakmp client configuration group group-name

4. dhcp server { ip-address | hostname }

5. dhcp timeout time

6. dhcp giaddr scope

手順の詳細

ステップ 1

enable
 
Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal
 
Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto isakmp client configuration group group-name
 
Router(config)# crypto isakmp client configuration group group1

ポリシー プロファイルの定義先となるグループを指定します。

(注) このコマンドを入力すると、CLI は ISAKMP グループ コンフィギュレーション モードになります。このモードでは、サブコマンドを使用して、グループ ポリシーに対するさまざまな特性を指定できます。

ステップ 4

dhcp server { ip-address | hostname }
 
Router(config-isakmp-group)# dhcp server 10.10.1.2

特定の Public Data Network(PDN; パブリック データ ネットワーク)アクセス ポイントを入力した MS ユーザに対して IP アドレスを割り当てるためのプライマリ(およびバックアップ)DHCP サーバを指定します。

ステップ 5

dhcp timeout time
 
Router(config-isakmp-group)# dhcp timeout 6

リスト上で次位にある DHCP サーバに接続を試行するまでの待機時間を秒単位で設定します。

ステップ 6

dhcp giaddr scope
 
Router(config-isakmp-group)# dhcp giaddr 10.1.1.4

DHCP のスコープに対してゲートウェイ IP アドレスを指定します。

DHCP クライアント プロキシの確認

DHCP クライアント プロキシの設定を確認する手順は次のとおりです( show コマンドは、それぞれを個別に使用することも、複数をまとめて使用することもできます)。

手順の概要

1. enable

2. show dhcp lease

3. show ip dhcp pool

4. show ip dhcp binding

手順の詳細

ステップ 1

enable
 
Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show dhcp lease
 
Router# show dhcp lease

DHCP アドレス プールに関する情報を表示します。

(注) このコマンドは、外部の DHCP が使用されている場合に使用します。

ステップ 3

show ip dhcp pool
 
Router# show ip dhcp pool

DHCP アドレス プールに関する情報を表示します。

(注) このコマンドは、Easy VPN サーバが DHCP サーバを兼ねている場合に限って有効です(ただしこれは非常にまれなケースです。通常、DHCP サーバには外部サーバが使用されるからです)。

ステップ 4

show ip dhcp binding
 
Router# show ip dhcp binding

DHCP サーバにおけるアドレス バインディングを表示します。

(注) このコマンドは、Easy VPN サーバが DHCP サーバを兼ねている場合に限って有効です(ただしこれは非常にまれなケースです。通常、DHCP サーバには外部サーバが使用されるからです)。

DHCP クライアント プロキシのモニタおよびメンテナンス

DHCP クライアント プロキシの設定をモニタおよびメンテナンスする手順は次のとおりです( debug コマンドは、それぞれを個別に使用することも、複数をまとめて使用することもできます)。

手順の概要

1. enable

2. debug crypto isakmp

3. debug dhcp

4. debug dhcp detail

5. debug ip dhcp server events

手順の詳細

ステップ 1

enable
 
Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug crypto isakmp
 
Router# debug crypto isakmp

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)イベントに関するメッセージを表示します。

ステップ 3

debug dhcp
 
Router# debug dhcp

サーバのイベント(アドレスの割り当てやデータベースのアップデートなど)をレポートします。

ステップ 4

debug dhcp detail
 
Router# debug dhcp detail

DHCP のデバッグに関する詳細情報を表示します。

ステップ 5

debug ip dhcp server events
 
Router# debug ip dhcp server events

サーバのイベント(アドレスの割り当てやデータベースのアップデートなど)をレポートします。

(注) このコマンドは、Easy VPN サーバが DHCP サーバを兼ねている場合に限って有効です(ただしこれは非常にまれなケースです。通常、DHCP サーバには外部サーバが使用されるからです)。

cTCP の設定

cTCP は、Easy VPN サーバ上でイネーブルにします。次の手順を実行します。

前提条件

cTCP を設定する場合は、あらかじめクリプト IPsec を設定しておく必要があります。

手順の概要

1. enable

2. configure terminal

3. crypto ctcp port [ port-number ]

手順の詳細

ステップ 1

enable
 
Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal
 
Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto ctcp port [ port-number ]
 
Router(config)# crypto ctcp port 120

Easy VPN に対して cTCP カプセル化を設定します。

設定できるポート数は 10 個までです。

port-number 引数が設定されていない場合、デフォルトでは、cTCP はポート 80 でイネーブルになります。

cTCP の確認

cTCP 設定を確認する手順は次のとおりです( show コマンドは、それぞれを個別に使用することも、複数をまとめて使用することもできます)。

手順の概要

1. enable

2. show crypto ctcp [ peer ip-address ]

手順の詳細

ステップ 1

enable
 
Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show crypto ctcp [ peer ip-address ]
 
Router# show crypto ctcp peer 10.76.235.21

特定の cTCP ピアに関する情報を表示します。

cTCP の設定のモニタおよびメンテナンス

cTCP をモニタおよびメンテナンスするには、次の手順を実行します。

手順の概要

1. enable

2. debug crypto ctcp

手順の詳細

ステップ 1

enable
 
Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug crypto ctcp
 
Router# debug crypto ctcp

cTCP セッションに関する情報を表示します。

cTCP の設定のクリア

cTCP の設定をクリアするには、次の手順を実行します。

手順の概要

1. enable

2. clear crypto ctcp [ peer ip-address ]

手順の詳細

ステップ 1

enable
 
Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

clear crypto ctcp [ peer ip-address ]
 
Router# clear crypto ctcp peer 10.76.23.21

cTCP セッションに関する情報を表示します。

cTCP の設定に関するトラブルシューティング

cTCP の設定をトラブルシューティングするには、次の手順を実行します。

手順の概要

1. cTCP セッションのステートが CTCP_ACK_RECEIVED であることを確認します。

2. cTCP セッションのステートが CTCP_ACK_RECEIVED でない場合は、 debug crypto ctcp コマンドをイネーブルにします。

3. cTCP に不具合が見られない場合は、サーバへの cTCP パケットの転送をファイアウォールが許可しているか確認します。

4. ファイアウォールの設定が適切で、デバッグがイネーブルになっており、かつコンソール上で cTCP のデバッグが確認されない場合は、ルータの cTCP ポートでパケットが受信されない原因を特定する必要があります。

手順の詳細


ステップ 1 show crypto ctcp コマンドを使用して、cTCP セッションのステートが CTCP_ACK_RECEIVED であることを確認します。

ステップ 2 cTCP セッションのステートが CTCP_ACK_RECEIVED でない場合は、 debug crypto ctcp コマンドをイネーブルにし、再度 show crypto ctcp コマンドを実行します。

ステップ 3 cTCP に不具合が見られない場合は、サーバへの cTCP パケットの転送をファイアウォールが許可しているか(ファイアウォールの設定を)確認します。

ステップ 4 ファイアウォールの設定が適切で、デバッグがイネーブルになっており、かつコンソール上で cTCP のデバッグが確認されない場合は、ルータの cTCP ポートでパケットが受信されない原因を特定する必要があります。cTCP のデバッグが確認されないにもかかわらず、依然 cTCP セッションが確立されていない場合は、実質的に TCP パケットである cTCP パケットが、cTCP ポートではなく TCP スタックへ送信された可能性があります。この場合、 debug ip packet コマンドおよび debug ip tcp packet コマンドをイネーブルにすることで、パケットが TCP スタックへ送信されたかどうかを判定できることがあります。


 

Easy VPN サーバの設定例

ここでは、次の設定例について説明します。

「Easy VPN サーバ における Cisco IOS の設定:例」

「IPsec の AV のペアを使用した RADIUS グループ プロファイル:例」

「IPsec の AV のペアを使用した RADIUS ユーザ プロファイル:例」

「最大ログイン数および最大ユーザ数が指定されたバックアップ ゲートウェイ:例」

「IPsec 仮想トンネル インターフェイスが設定された Easy VPN:例」

「モード設定交換によるコンフィギュレーション URL のプッシュ:例」

「PKI によるユーザ単位 AAA ポリシー ダウンロード:例」

「Easy VPN サーバにおけるユーザ単位アトリビュート:例」

「ネットワーク アドミッション コントロール:例」

「パスワード エージングの設定:例」

「スプリット DNS:例」

「DHCP クライアント プロキシ:例」

「cTCP セッション:例」

「AAA サーバによる VRF の割り当て:例」

Easy VPN サーバ における Cisco IOS の設定:例

次に示すのは、モード設定に対してグループ ポリシー情報をローカルに定義する方法の例です。この例では、「cisco」というグループ名のほかに、「default」というグループ名が指定されています。このポリシーは、「cisco」に一致するグループ名を提示しないすべてのユーザに適用されます。

! Enable policy look-up via AAA. For authentication and authorization, send requests to
! RADIUS first, then try local policy.
aaa new-model
aaa authentication login userlist group radius local
aaa authorization network grouplist group radius local
enable password XXXX
!
username cisco password 0 cisco
clock timezone PST -8
ip subnet-zero
! Configure IKE policies, which are assessed in order so that the first policy that
matches the proposal of the client will be used.
crypto isakmp policy 1
group 2
!
crypto isakmp policy 3
hash md5
authentication pre-share
group 2
crypto isakmp identity hostname
!
! Define “cisco” group policy information for mode config push.
crypto isakmp client configuration group cisco
key cisco
dns 10.2.2.2 10.2.2.3
wins 10.6.6.6
domain cisco.com
pool green
acl 199
! Define default group policy for mode config push.
crypto isakmp client configuration group default
key cisco
dns 10.2.2.2 10.3.2.3
pool green
acl 199
!
!
crypto ipsec transform-set dessha esp-des esp-sha-hmac
!
crypto dynamic-map mode 1
set transform-set dessha
!
! Apply mode config and xauth to crypto map “mode.” The list names that are defined here
! must match the list names that are defined in the AAA section of the config.
crypto map mode client authentication list userlist
crypto map mode isakmp authorization list grouplist
crypto map mode client configuration address respond
crypto map mode 1 ipsec-isakmp dynamic mode
!
!
controller ISA 1/1
!
!
interface FastEthernet0/0
ip address 10.6.1.8 255.255.0.0
ip route-cache
ip mroute-cache
duplex auto
speed auto
crypto map mode
!
interface FastEthernet0/1
ip address 192.168.1.28 255.255.255.0
no ip route-cache
no ip mroute-cache
duplex auto
speed auto
! Specify IP address pools for internal IP address allocation to clients.
ip local pool green 192.168.2.1 192.168.2.10
ip classless
ip route 0.0.0.0 0.0.0.0 10.6.0.1
!
! Define access lists for each subnet that should be protected.
access-list 199 permit ip 192.168.1.0 0.0.0.255 any
access-list 199 permit ip 192.168.3.0 0.0.0.255 any
!
! Specify a RADIUS server host and configure access to the server.
radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key XXXXX
radius-server retransmit 3
!
!
line con 0
exec-timeout 0 0
length 25
transport input none
line aux 0
line vty 5 15
!

IPsec の AV のペアを使用した RADIUS グループ プロファイル:例

次に示すのは、IPsec の AV のペアを含む標準的な RADIUS グループ プロファイルの例です。グループ認可のアトリビュートを取得するには、「cisco」というパスワードを使用する必要があります。

client_r Password = "cisco"
Service-Type = Outbound
cisco-avpair = "ipsec:tunnel-type*ESP"
cisco-avpair = "ipsec:key-exchange=ike"
cisco-avpair = "ipsec:tunnel-password=lab"
cisco-avpair = "ipsec:addr-pool=pool1"
cisco-avpair = "ipsec:default-domain=cisco"
cisco-avpair = "ipsec:inacl=101"
cisco-avpair = "ipsec:access-restrict=fastethernet 0/0"
cisco-avpair = "ipsec:group-lock=1"
cisco-avpair = "ipsec:dns-servers=10.1.1.1 10.2.2.2"
cisco-avpair = "ipsec:firewall=1"
cisco-avpair = "ipsec:include-local-lan=1"
cisco-avpair = "ipsec:save-password=1"
cisco-avpair = "ipsec:wins-servers=10.3.3.3 10.4.4.4"
cisco-avpair = "ipsec:split-dns=green.com"
cisco-avpair = "ipsec:ipsec-backup-gateway=10.1.1.1"
cisco-avpair = "ipsec:ipsec-backup-gateway=10.1.1.2"
cisco-avpair = "ipsec:pfs=1"
cisco-avpair = "ipsec:cpp-policy="Enterprise Firewall"
cisco-avpair = “ipsec:auto-update=”Win http://www.example.com 4.0.1”
cisco-avpair = “ipsec:browser-proxy=bproxy_profile_A”
cisco-avpair = "ipsec:banner=Xauth banner text here"

グループ ロックが設定されているグループを対象とした RADIUS ユーザ プロファイルの設定例です。ユーザ名は、「ユーザ名@ドメイン名」という形式で入力されます。

abc@example.com Password = "abcll1111"
cisco-avpair = "ipsec:user-include-local-lan=1"
cisco-avpair = "ipsec:user-save-password=1"
Framed-IP-Address = 10.10.10.10

IPsec の AV のペアを使用した RADIUS ユーザ プロファイル:例

次に示すのは、IPsec の AV のペアを含む標準的な RADIUS ユーザ プロファイルの例です。これらのユーザ アトリビュートは、Xauth 実行中に取得されます。

ualluall Password = "uall1234"
cisco-avpair = "ipsec:user-vpn-group=unity"
cisco-avpair = "ipsec:user-include-local-lan=1"
cisco-avpair = "ipsec:user-save-password=1"
Framed-IP-Address = 10.10.10.10

最大ログイン数および最大ユーザ数が指定されたバックアップ ゲートウェイ:例

次の設定例は、5 つのバックアップ ゲートウェイを設定したうえで、最大ユーザ数を 250、最大ログイン数を 2 に設定したものです。

crypto isakmp client configuration group sdm
key 6 RMZPPMRQMSdiZNJg`EBbCWTKSTi\d[
pool POOL1
acl 150
backup-gateway 172.16.12.12
backup-gateway 172.16.12.13
backup-gateway 172.16.12.14
backup-gateway 172.16.12.130
backup-gateway 172.16.12.131
max-users 250
max-logins 2
 

IPsec 仮想トンネル インターフェイスが設定された Easy VPN:例

次の出力結果は、IPsec 仮想トンネル インターフェイスを使用した Easy VPN の設定例です。

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization network default local
!
aaa session-id common
!
resource policy
!
clock timezone IST 0
ip subnet-zero
ip cef
no ip domain lookup
no ip dhcp use vrf connected
!
username lab password 0 lab
!
crypto isakmp policy 3
authentication pre-share
group 2
crypto isakmp xauth timeout 90
 
!
crypto isakmp client configuration group easy
key cisco
domain foo.com
pool dpool
acl 101
crypto isakmp profile vi
match identity group easy
isakmp authorization list default
client configuration address respond
client configuration group easy
virtual-template 1
!
!
crypto ipsec transform-set set esp-3des esp-sha-hmac
!
crypto ipsec profile vi
set transform-set set
set isakmp-profile vi
!
!
interface Loopback0
ip address 10.4.0.1 255.255.255.0
!
interface Ethernet0/0
ip address 10.3.0.2 255.255.255.0
no keepalive
no cdp enable
interface Ethernet1/0
no ip address
no keepalive
no cdp enable
!
interface Virtual-Template1 type tunnel
ip unnumbered Ethernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile vi
!
ip local pool dpool 10.5.0.1 10.5.0.10
!
ip classless
ip route 10.2.0.0 255.255.255.0 10.3.0.1
no ip http server
no ip http secure-server
!
!
access-list 101 permit ip 10.4.0.0 0.0.0.255 any
no cdp run
!
!
line con 0
line aux 0
line vty 0 4
!
end

モード設定交換によるコンフィギュレーション URL のプッシュ:例

次に示す show crypto ipsec client ezvpn コマンドによる出力例です。ここでは、モード設定 URLの場所およびバージョンが表示されています。

Router# show crypto ipsec client ezvpn
 
Easy VPN Remote Phase: 5
 
Tunnel name : branch
Inside interface list: Vlan1
Outside interface: FastEthernet0
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 172.16.1.209
Mask: 255.255.255.255
Default Domain: cisco.com
Save Password: Allowed
Configuration URL [version]: tftp://172.16.30.2/branch.cfg [11]
Config status: applied, Last successfully applied version: 11
Current EzVPN Peer: 192.168.10.1
 

次に示すのは、 show crypto isakmp peers config コマンドによる出力例です。ここでは、リモート デバイスにより送信されたすべての管理情報が表示されています。

Router# show crypto isakmp peers config
 
Client-Public-Addr=192.168.10.2:500; Client-Assigned-Addr=172.16.1.209; Client-Group=branch; Client-User=branch; Client-Hostname=branch.; Client-Platform=Cisco 1711; Client-Serial=FOC080210E2 (412454448); Client-Config-Version=11; Client-Flash=33292284; Client-Available-Flash=10202680; Client-Memory=95969280; Client-Free-Memory=14992140; Client-Image=flash:c1700-advipservicesk9-mz.ef90241;
Client-Public-Addr=192.168.10.3:500; Client-Assigned-Addr=172.16.1.121; Client-Group=store; Client-User=store; Client-Hostname=831-storerouter.; Client-Platform=Cisco C831; Client-Serial=FOC08472UXR (1908379618); Client-Config-Version=2; Client-Flash=24903676; Client-Available-Flash=5875028; Client-Memory=45298688; Client-Free-Memory=6295596; Client-Image=flash:c831-k9o3y6-mz.ef90241

PKI によるユーザ単位 AAA ポリシー ダウンロード:例

次に示すのは、Easy VPN サーバ上で、PKI によるユーザ単位 AAA ポリシー ダウンロード機能が設定された場合の出力例です。

Router# show running-config
 
Building configuration...
 
Current configuration : 7040 bytes
!
! Last configuration change at 21:06:51 UTC Tue Jun 28 2005
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname GEN
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa group server radius usrgrppki
server 10.76.248.201 auth-port 1645 acct-port 1646
!
aaa authentication login xauth group usrgrppki
aaa authentication login usrgrp group usrgrppki
aaa authorization network usrgrp group usrgrppki
!
aaa session-id common
!
resource policy
!
ip subnet-zero
!
!
ip cef
!
!
ip address-pool local
!
!
crypto pki trustpoint ca-server
enrollment url http://10.7.7.2:80
revocation-check none
rsakeypair rsa-pair
! Specify the field within the certificate that will be used as a username to do a per-user AAA lookup into the RADIUS database. In this example, the contents of the commonname will be used to do a AAA lookup. In the absence of this statement, by default the contents of the “unstructured name” field in the certificate is used for AAA lookup.
authorization username subjectname commonname
!
!
crypto pki certificate map CERT-MAP 1
subject-name co yourname
name co yourname
!
crypto pki certificate chain ca-server
certificate 02
308201EE 30820157 A0030201 02020102 300D0609 2A864886 F70D0101 04050030
14311230 10060355 04031309 63612D73 65727665 72301E17 0D303530 36323832
30303731 345A170D 30363036 32383230 30373134 5A301531 13301106 092A8648
86F70D01 09021604 47454E2E 30819F30 0D06092A 864886F7 0D010101 05000381
8D003081 89028181 00ABF8F0 FDFFDF8D F22098D6 A48EE0C3 F505DD96 C0022EA4
EAB95EE8 1F97F450 990BB0E6 F2B7151F C5C79391 93822FE4 DEE5B00C A03412BB
9B715AAD D6C31F93 D8802658 AF9A8866 63811942 913D0C02 C3E328CC 1C046E94
F73B7C1A 4497F86E 74A627BC B809A3ED 293C15F2 8DCFA217 5160F9A4 09D52044
350F85AF 08B357F5 D7020301 0001A34F 304D300B 0603551D 0F040403 0205A030
1F060355 1D230418 30168014 F9BC4498 3DA4D51D 451EFEFD 5B1F5F73 8D7B1C9B
301D0603 551D0E04 1604146B F6B2DFD1 1FE237FF 23294129 E55D9C48 CCB04630
0D06092A 864886F7 0D010104 05000381 81004AFF 2BE300C1 15D0B191 C20D06E0
260305A6 9DF610BB 24211516 5AE73B62 78E01FE4 0785776D 3ADFA3E2 CE064432
1C93E82D 93B5F2AB 9661EDD3 499C49A8 F87CA553 9132F239 1D50187D 21CC3148
681F5043 2F2685BC F544F4FF 8DF535CB E55B5F36 31FFF025 8969D9F8 418C8AB7
C569B022 46C3C63A 22DD6516 C503D6C8 3D81
quit
certificate ca 01
30820201 3082016A A0030201 02020101 300D0609 2A864886 F70D0101 04050030
14311230 10060355 04031309 63612D73 65727665 72301E17 0D303530 36323832
30303535 375A170D 30383036 32373230 30353537 5A301431 12301006 03550403
13096361 2D736572 76657230 819F300D 06092A86 4886F70D 01010105 0003818D
00308189 02818100 BA1A4413 96339C6B D36BD720 D25C9A44 E0627A29 97E06F2A
69B268ED 08C7144E 7058948D BEA512D4 40588B87 322C5D79 689427CA 5C54B3BA
82FAEC53 F6AC0B5C 615D032C 910CA203 AC6AB681 290D9EED D31EB185 8D98E1E7
FF73613C 32290FD6 A0CBDC40 6E4D6B39 DE1D86BA DE77A55E F15299FF 97D7C185
919F81C1 30027E0F 02030100 01A36330 61300F06 03551D13 0101FF04 05300301
01FF300E 0603551D 0F0101FF 04040302 0186301F 0603551D 23041830 168014F9
BC44983D A4D51D45 1EFEFD5B 1F5F738D 7B1C9B30 1D060355 1D0E0416 0414F9BC
44983DA4 D51D451E FEFD5B1F 5F738D7B 1C9B300D 06092A86 4886F70D 01010405
00038181 003EF397 F4D98BDE A4322FAF 4737800F 1671F77E BD6C45AE FB91B28C
F04C98F0 135A40C6 635FDC29 63C73373 5D5BBC9A F1BBD235 F66CE1AD 6B4BFC7A
AB18C8CC 1AB93AF3 7AC67436 930E9C81 F43F7570 A8FE09AE 3DEA01D1 DA6BD0CB
83F9A77F 1DFAFE5E 2F1F206B F1FDD8BE 6BB57A3C 8D03115D B1F64A3F 7A7557C1
09B0A34A DB
quit
!
!
crypto isakmp policy 10
group 2
crypto isakmp keepalive 10
crypto isakmp profile ISA-PROF
match certificate CERT-MAP
isakmp authorization list usrgrp
client pki authorization list usrgrp
client configuration address respond
client configuration group pkiuser
virtual-template 2
!
!
crypto ipsec transform-set trans2 esp-3des esp-sha-hmac
!
crypto ipsec profile IPSEC_PROF
set transform-set trans2
!
crypto ipsec profile ISC_IPSEC_PROFILE_1
set transform-set trans2
!
!
crypto call admission limit ike sa 40
!
!
interface Loopback0
ip address 10.3.0.1 255.255.255.255
no ip route-cache cef
no ip route-cache
!
interface Loopback1
ip address 10.76.0.1 255.255.255.255
no ip route-cache cef
no ip route-cache
!
interface Ethernet3/0
ip address 10.76.248.209 255.255.255.255
no ip route-cache cef
no ip route-cache
duplex half
!
!
interface Ethernet3/2
ip address 10.2.0.1 255.255.255.0
no ip route-cache cef
no ip route-cache
duplex half
!
!
interface Serial4/0
no ip address
no ip route-cache cef
no ip route-cache
shutdown
serial restart-delay 0
!
interface Serial4/1
no ip address
no ip route-cache cef
no ip route-cache
shutdown
serial restart-delay 0
!
interface Serial4/2
no ip address
no ip route-cache cef
no ip route-cache
shutdown
serial restart-delay 0
!
interface Serial4/3
no ip address
no ip route-cache cef
no ip route-cache
shutdown
serial restart-delay 0
!
interface FastEthernet5/0
ip address 10.9.4.77 255.255.255.255
no ip route-cache cef
no ip route-cache
duplex half
!
interface FastEthernet6/0
ip address 10.7.7.1 255.255.255.0
no ip route-cache cef
no ip route-cache
duplex full
!
interface Virtual-Template1
no ip address
!
interface Virtual-Template2 type tunnel
ip unnumbered Loopback0
tunnel source Ethernet3/2
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC_PROF
!
router eigrp 20
network 172.16.0.0
auto-summary
!
ip local pool ourpool 10.6.6.6
ip default-gateway 10.9.4.1
ip classless
ip route 10.1.0.1 255.255.255.255 10.0.0.2
ip route 10.2.3.0 255.255.0.0 10.2.4.4
ip route 10.9.1.0 255.255.0.0 10.4.0.1
ip route 10.76.0.0 255.255.0.0 10.76.248.129
ip route 10.11.1.1 255.255.255.0 10.7.7.2
!
no ip http server
no ip http secure-server
!
!
logging alarm informational
arp 10.9.4.1 0011.bcb4.d40a ARPA
!
!
radius-server host 10.76.248.201 auth-port 1645 acct-port 1646 key cisco
!
control-plane
!
!
gatekeeper
shutdown
!
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
!
end

Easy VPN サーバにおけるユーザ単位アトリビュート:例

次に示すのは、Easy VPN サーバ上でユーザ単位アトリビュートが設定された場合の出力例です。

!
 
aaa new-model
!
!
aaa authentication login default local
aaa authentication login noAAA none
aaa authorization network default local
!
aaa attribute list per-group
attribute type inacl "per-group-acl" service ike protocol ip mandatory
!
aaa session-id common
!
resource policy
!
ip subnet-zero
!
!
ip cef
!
!
username example password 0 example
!
!
crypto isakmp policy 3
authentication pre-share
group 2
crypto isakmp xauth timeout 90
!
crypto isakmp client configuration group PerUserAAA
key cisco
pool dpool
crypto aaa attribute list per-group
!
crypto isakmp profile vi
match identity group PerUserAAA
isakmp authorization list default
client configuration address respond
client configuration group PerUserAAA
virtual-template 1
!
!
crypto ipsec transform-set set esp-3des esp-sha-hmac
!
crypto ipsec profile vi
set transform-set set
set isakmp-profile vi
!
!
interface GigabitEthernet0/0
description 'EzVPN Peer'
ip address 192.168.1.1 255.255.255.128
duplex full
speed 100
media-type rj45
no negotiation auto
!
interface GigabitEthernet0/1
no ip address
shutdown
duplex auto
speed auto
media-type rj45
no negotiation auto
 
interface Virtual-Template1 type tunnel
ip unnumbered GigabitEthernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile vi
!
ip local pool dpool 10.5.0.1 10.5.0.10
ip classless
!
no ip http server
no ip http secure-server
!
!
ip access-list extended per-group-acl
permit tcp any any
deny icmp any any
logging alarm informational
logging trap debugging
!
control-plane
!
gatekeeper
shutdown
!
line con 0
line aux 0
stopbits 1
line vty 0 4
!
!
end

ネットワーク アドミッション コントロール:例

次に示すのは、Easy VPN サーバでネットワーク アドミッション コントロールがイネーブルになっている場合の出力例です。


) ネットワーク アドミッション コントロールは、IPsec 仮想インターフェイスが使用されている Easy VPN サーバ上に限ってサポートされます。ネットワーク アドミッション コントロールは、仮想テンプレート インターフェイス上でイネーブルになり、その仮想テンプレート インターフェイスを使用するすべての PC クライアントに適用されます。


Router# show running-config
 
Building configuration...
 
Current configuration : 5091 bytes
!
version 12.4
!
hostname Router
!
 
aaa new-model
!
!
aaa authentication login userlist local
!
aaa authentication eou default group radius
aaa authorization network hw-client-groupname local
aaa accounting update newinfo
aaa accounting network acclist start-stop broadcast group radius
aaa session-id common
!
!
! Note 1: EAPoUDP packets will use the IP address of the loopback interface when sending the EAPoUDP hello to the Easy VPN client. Using the IP address ensures that the returning EAPoUDP packets come back encrypted and are associated with the correct virtual access interface. The ip admission (ip admission source-interface Loopback10) command is optional. Instead of using this command, you can specify the IP address of the virtual template to be an address in the inside network space as shown in the configuration of the virtual template below in Note 2.
ip admission source-interface Loopback10
ip admission name test eapoudp inactivity-time 60
!
!
eou clientless username cisco
eou clientless password cisco
eou allow ip-station-id
eou logging
!
username lab password 0 lab
username lab@easy password 0 lab
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
!
crypto isakmp key 0 cisco address 10.53.0.1
crypto isakmp client configuration group easy
key cisco
domain cisco.com
pool dynpool
acl split-acl
group-lock
configuration url tftp://10.13.0.9/Config-URL_TFTP.cfg
configuration version 111
!
crypto isakmp profile vi
match identity group easy
client authentication list userlist
isakmp authorization list hw-client-groupname
client configuration address respond
client configuration group easy
accounting acclist
virtual-template 2
!
crypto ipsec security-association lifetime seconds 120
crypto ipsec transform-set set esp-3des esp-sha-hmac
crypto ipsec transform-set aes-trans esp-aes esp-sha-hmac
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac
crypto ipsec profile vi
set security-association lifetime seconds 3600
set transform-set set aes-trans transform-1
set isakmp-profile vi
!
!
crypto dynamic-map dynmap 1
set transform-set aes-trans transform-1
reverse-route
!
 
interface Loopback10
ip address 10.61.0.1 255.255.255.255
!
interface FastEthernet0/0
ip address 10.13.11.173 255.255.255.255
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.55.0.1 255.255.255.255
duplex auto
speed auto
!
!
interface Virtual-Template2 type tunnel
! Note2: Use the IP address of the loopback10. This ensures that the EAPoUDP packets that are attached to virtual-access interfaces that are cloned from this virtual template carry the source address of the loopback address and that response packets from the VPN client come back encrypted.
!
ip unnumbered Loopback10
! Enable Network Admission Control for remote VPN clients.
ip admission test
tunnel mode ipsec ipv4
tunnel protection ipsec profile vi
!
!
ip local pool dynpool 172.16.2.65 172.16.2.70
ip classless
ip access-list extended ClientException
permit ip any host 10.61.0.1
ip access-list extended split-acl
permit ip host 10.13.11.185 any
permit ip 10.61.0.0 255.255.255.255 any
permit ip 10.71.0.0 255.255.255.255 any
permit ip 10.71.0.0 255.255.255.255 10.52.0.0 0.255.255.255
permit ip 10.55.0.0 255.255.255.255 any
!
ip radius source-interface FastEthernet0/0
access-list 102 permit esp any any
access-list 102 permit ahp any any
access-list 102 permit udp any any eq 21862
access-list 102 permit ospf any any
access-list 102 deny ip any any
access-list 195 deny ospf any any
access-list 195 permit ip 10.61.0.0 255.255.255.255 10.51.0.0 255.255.255.255
!
!
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server host 10.13.11.185 auth-port 1645 acct-port 1646 key cisco
radius-server vsa send accounting
radius-server vsa send authentication
!
end

パスワード エージングの設定:例

次に示すのは、Easy VPN クライアントに対してパスワードが失効しているかどうかを通知するパスワード エージング機能の設定例です。

Current configuration : 4455 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname xinl-gateway
!
boot-start-marker
boot system flash c2800nm-advsecurityk9-mz.124-7.9.T
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login USERAUTH passwd-expiry group radius aaa authorization network branch local !
aaa session-id common
!
 
ip cef
 
 
username cisco privilege 15 secret 5 $1$A3HU$bCWjlkrEztDJx6JJzSnMV1 !
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local dynpool !
crypto isakmp client configuration group branch
key cisco
domain cisco.com
pool dynpool
!
!
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac !
crypto isakmp profile profile2
client authentication list USERAUTH
match identity group branch
isakmp authorization list branch
client configuration address respond
virtual-template 1
 
crypto ipsec profile vi
set transform-set transform-1
 
 
interface GigabitEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
ip address 192.168.1.100 255.255.255.0
duplex auto
speed auto
crypto map dynmap
!
interface GigabitEthernet0/1
description $ES_LAN$
ip address 172.19.217.96 255.255.255.0
duplex auto
speed auto
 
!
!interface Virtual-Template1 type tunnel
ip unnumbered Ethernet0/0
no clns route-cache
tunnel mode ipsec ipv4
tunnel protection ipsec profile vi
!
ip local pool dpool 10.0.0.1 10.0.0.3
 
!
radius-server host 172.19.220.149 auth-port 1645 acct-port 1646 key cisco radius-server vsa send authentication !
control-plane
!
!
end

スプリット DNS:例

次の例は、「101」というスプリット トンネル リストに、ネットワーク 10.168.0.0/16 が含まれていることを示すネットワーク情報です。内部 DNS サーバ 10.168.1.1 への DNS 要求を暗号化するには、このネットワーク情報を含める必要があります。

crypto isakmp client configuration group home
key abcd
acl 101
dns 10.168.1.1. 10.168.1.2

show コマンドの出力例

次に示すのは、 show コマンドによる出力例です。ここでは、ポリシー グループに www.ciscoexample1.com および www.ciscoexample2.com が追加されています。

Router# show running-config | security group
 
crypto isakmp client configuration group 831server
key abcd
dns 10.104.128.248
split-dns www.ciscoexample1.com
split-dns www.ciscoexample2.com
group home2 key abcd
 

次に示すのは、 show コマンドによる出力例です。ここでは、現在設定されている DNS ビューが表示されています。

Router# show ip dns view
 
DNS View default parameters:
Logging is off
DNS Resolver settings:
Domain lookup is enabled
Default domain name: cisco.com
Domain search list:
Lookup timeout: 3 seconds
Lookup retries: 2
Domain name-servers:
172.16.168.183
DNS Server settings:
Forwarding of queries is enabled
Forwarder addresses:
 
DNS View ezvpn-internal-view parameters:
Logging is off
DNS Resolver settings:
Domain lookup is enabled
Default domain name:
Domain search list:
Lookup timeout: 3 seconds
Lookup retries: 2
Domain name-servers:
10.104.128.248
DNS Server settings:
Forwarding of queries is enabled
Forwarder addresses:
 

次に示すのは、 show コマンドによる出力例です。ここでは、現在設定されている DNS ビュー リストが表示されています。

Router# show ip dns view-list
 
View-list ezvpn-internal-viewlist:
View ezvpn-internal-view:
Evaluation order: 10
Restrict to ip dns name-list: 1
View default:
Evaluation order: 20
 

次に示すのは、 show コマンドによる出力例です。ここでは、DNS 名リストが表示されています。

Router# show ip dns name-list
 
ip dns name-list 1
permit www.ciscoexample1.com
permit www.ciscoexample2.com

DHCP クライアント プロキシ:例

次に示すのは、 show コマンドおよび debug コマンドによる DHCP クライアント プロキシ情報の出力例です。

show コマンドの出力例


show ip dhcp コマンドを使用するためには、DHCP サーバとして Cisco IOS サーバが使用されている必要があります。


次に示すのは、 show ip dhcp pool コマンドによる DHCP パラメータ情報の出力例です。

Router# show ip dhcp pool
 
Pool dynpool :
Utilization mark (high/low) : 100 / 0
Subnet size (first/next) : 0 / 0
Total addresses : 254
Leased addresses : 1
Pending event : none
1 subnet is currently in the pool:
Current index IP address range Leased addresses
10.3.3.1 - 10.3.3.254 1
No relay targets associated with class aclass
 

次に示すのは、 show ip dhcp pool コマンドによる DHCP バインディング情報の出力例です。

Router# show ip dhcp binding
 
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/User name
10.3.3.5 0065.7a76.706e.2d63. Apr 04 2006 06:01 AM Automatic 6c69.656e.74

debug コマンドの出力例

次に示すのは、DHCP クライアント プロキシのサポート情報に関するトラブルシューティングを行う際の debug crypto isakmp コマンドおよび debug ip dhcp server events コマンドの使用例です。

*Apr 3 06:01:32.047: ISAKMP: Config payload REQUEST *Apr 3 06:01:32.047: ISAKMP:(1002):checking request:
*Apr 3 06:01:32.047: ISAKMP: IP4_ADDRESS
*Apr 3 06:01:32.047: ISAKMP: IP4_NETMASK
*Apr 3 06:01:32.047: ISAKMP: MODECFG_CONFIG_URL
*Apr 3 06:01:32.047: ISAKMP: MODECFG_CONFIG_VERSION
*Apr 3 06:01:32.047: ISAKMP: IP4_DNS
*Apr 3 06:01:32.047: ISAKMP: IP4_DNS
*Apr 3 06:01:32.047: ISAKMP: IP4_NBNS
*Apr 3 06:01:32.047: ISAKMP: IP4_NBNS
*Apr 3 06:01:32.047: ISAKMP: SPLIT_INCLUDE
*Apr 3 06:01:32.047: ISAKMP: SPLIT_DNS
*Apr 3 06:01:32.047: ISAKMP: DEFAULT_DOMAIN
*Apr 3 06:01:32.047: ISAKMP: MODECFG_SAVEPWD
*Apr 3 06:01:32.047: ISAKMP: INCLUDE_LOCAL_LAN
*Apr 3 06:01:32.047: ISAKMP: PFS
*Apr 3 06:01:32.047: ISAKMP: BACKUP_SERVER
*Apr 3 06:01:32.047: ISAKMP: APPLICATION_VERSION
*Apr 3 06:01:32.047: ISAKMP: MODECFG_BANNER
*Apr 3 06:01:32.047: ISAKMP: MODECFG_IPSEC_INT_CONF
*Apr 3 06:01:32.047: ISAKMP: MODECFG_HOSTNAME
*Apr 3 06:01:32.047: ISAKMP/author: Author request for group homesuccessfully sent to AAA *Apr 3 06:01:32.047: ISAKMP:(1002):Input = IKE_MESG_FROM_PEER, IKE_CFG_REQUEST
 
 
*Apr 3 06:01:32.047: ISAKMP:(1002):Old State = IKE_P1_COMPLETE New State = IKE_CONFIG_AUTHOR_AAA_AWAIT
 
*Apr 3 06:01:32.047: ISAKMP:(1002):attributes sent in message:
*Apr 3 06:01:32.047: Address: 10.2.0.0
*Apr 3 06:01:32.047: Requesting DHCP Server0 address 10.3.3.3 *Apr 3 06:01:32.047: DHCPD: Sending notification of DISCOVER:
*Apr 3 06:01:32.047: DHCPD: htype 1 chaddr aabb.cc00.6600
*Apr 3 06:01:32.047: DHCPD: circuit id 00000000
*Apr 3 06:01:32.047: DHCPD: Seeing if there is an internally specified pool class:
*Apr 3 06:01:32.047: DHCPD: htype 1 chaddr aabb.cc00.6600
*Apr 3 06:01:32.047: DHCPD: circuit id 00000000
 
 
*Apr 3 06:01:34.063: DHCPD: Adding binding to radix tree (10.3.3.5) *Apr 3 06:01:34.063: DHCPD: Adding binding to hash tree *Apr 3 06:01:34.063: DHCPD: assigned IP address 10.3.3.5 to client 0065.7a76.706e.2d63.6c69.656e.74.
*Apr 3 06:01:34.071: DHCPD: Sending notification of ASSIGNMENT:
*Apr 3 06:01:34.071: DHCPD: address 10.3.3.5 mask 255.255.255.0
*Apr 3 06:01:34.071: DHCPD: htype 1 chaddr aabb.cc00.6600
*Apr 3 06:01:34.071: DHCPD: lease time remaining (secs) = 86400
*Apr 3 06:01:34.183: Obtained DHCP address 10.3.3.5 *Apr 3 06:01:34.183: ISAKMP:(1002):allocating address 10.3.3.5 *Apr 3 06:01:34.183: ISAKMP: Sending private address: 10.3.3.5 *Apr 3 06:01:34.183: ISAKMP: Sending subnet mask: 255.255.255.0

cTCP セッション:例

次に示すのは、cTCP セッション情報の debug crypto ctcp コマンドによる出力例です。この中には、出力結果に関するコメントも含まれています。

Router# debug crypto ctcp
 
! In the following two lines, a cTCP SYN packet is received from the client, and the cTCP connection is created.
*Sep 26 11:14:37.135: cTCP: Connection[648B50C0] 10.76.235.21:3519 10.76.248.239:10000: created
*Sep 26 11:14:37.135: cTCP: SYN from 10.76.235.21:3519
! In the following line, the SYN acknowledgement is sent to the client.
*Sep 26 11:14:37.135: cTCP: Sending SYN(680723B2)ACK(100C637) to 10.76.235.21:3519
! In the following two lines, an acknowledgement is received, and connection setup is complete. IKE packets should now be received on this newly created cTCP session.
*Sep 26 11:14:37.135: cTCP: Connection[648B50C0] 10.76.235.21:3519 10.76.248.239:10000: found
*Sep 26 11:14:37.135: cTCP: ACK from 10.76.235.21:3519
*Sep 26 11:14:37.727: cTCP: Connection[648B50C0] 10.76.235.21:3519 10.76.248.239:10000: found
*Sep 26 11:14:37.731: cTCP: updating PEER Seq number to 16828803l
*Sep 26 11:14:37.731: cTCP: Pak with contiguous buffer
*Sep 26 11:14:37.731: cTCP: mangling IKE packet from peer: 10.76.235.21:500->3519 10.76.248.239:500->500
*Sep 26 11:14:37.731: cTCP: Connection[648B50C0] 10.76.235.21:3519 10.76.248.239:10000: found
*Sep 26 11:14:37.799: cTCP: demangling outbound IKE packet: 10.76.248.239:500->500 10.76.235.21:3519->500
*Sep 26 11:14:37.799: cTCP: encapsulating IKE packet
*Sep 26 11:14:37.799: cTCP: updating LOCAL Seq number to 1745298727l
! The above lines show that after the required number of IKE packets are exchanged, IKE and IPsec SAs are created.
*Sep 26 11:14:40.335: cTCP: updating PEER Seq number to 16830431l
*Sep 26 11:14:40.335: cTCP: Pak with particles
*Sep 26 11:14:40.335: cTCP: encapsulating pak
*Sep 26 11:14:40.339: cTCP: datagramstart 0xF2036D8, network_start 0xF2036D8, size 112
*Sep 26 11:14:40.339: cTCP: Pak with contiguous buffer
*Sep 26 11:14:40.339: cTCP: allocated new buffer
*Sep 26 11:14:40.339: cTCP: updating LOCAL Seq number to 1745299535l
*Sep 26 11:14:40.339: IP: s=10.76.248.239 (local), d=10.76.235.21 (FastEthernet1/1), len 148, cTCP
! The above lines show that Encapsulating Security Payload (ESP) packets are now being sent and received.

AAA サーバによる VRF の割り当て:例

次に示すのは、VRF も IP アドレスも定義されていない場合の出力例です。

aaa new-model
aaa authentication login VPN group radius
aaa authorization network VPN group radius
!
ip vrf example1
rd 1:1
!
crypto isakmp profile example1
match identity group example1group
client authentication list VPN
isakmp authorization list VPN
client configuration address respond
virtual-template 10
!
crypto ipsec transform-set TS esp-3des esp-sha-hmac
!
crypto ipsec profile example1
set transform-set TS
set isakmp-profile example1
!
interface Virtual-Template10 type tunnel
! The next line shows that neither VRF nor an IP address has been defined.
no ip address
tunnel mode ipsec ipv4
tunnel protection ipsec profile example1

その他の参考資料

ここでは、EasyVPN サーバ機能に関する関連資料について説明します。

関連資料

内容
参照先

Easy VPN Remote の設定およびその割り当て

Cisco IOS Security Configuration Guide: Secure Connectivity 』の「 Cisco Easy VPN Remote 」の章

IPsec および VPN に関する一般情報

『Cisco IOS Security Command Reference』

Cisco IOS Security Configuration Guide: Secure Connectivity 』の「 IPsec VPN High Availability Enhancements 」の章

『Configuring NAC with IPsec Dynamic Virtual Tunnel Interface 』ホワイト ペーパー

IPsec プロトコルのオプションとアトリビュート

Cisco IOS Security Configuration Guide: Secure Connectivity 』の「 Configuring Internet Key Exchange for IPsec VPNs 」の章

IPsec 仮想トンネル

Cisco IOS Security Configuration Guide: Secure Connectivity 』の「 IPsec Virtual Tunnel Interface 」の章

ネットワーク アドミッション コントロール

Cisco IOS Security Configuration Guide: Securing User Services 』の「 Network Admission Control 」の章

RRI

Cisco IOS Security Configuration Guide: Secure Connectivity 』の「 IPSec VPN High Availability Enhancements 」の章

規格

規格
タイトル

なし

-

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS ソフトウェア リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。
・テクニカル サポートを受ける
・ソフトウェアをダウンロードする
・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける
・ツールおよびリソースへアクセスする
- Product Alert の受信登録
- Field Notice の受信登録
- Bug Toolkit を使用した既知の問題の検索
・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する
・トレーニング リソースへアクセスする
・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/techsupport

Easy VPN サーバの機能情報

表 3 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS および Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 3 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 3 Easy VPN サーバの機能情報

機能名
リリース
機能情報

Easy VPN サーバ

12.2(8)T

Easy VPN サーバ機能により、新たに Cisco VPN Client Release 3.x 以降のソフトウェア クライアントおよび Cisco VPN ハードウェア クライアント(Cisco 800、Cisco 900、Cisco 1700、VPN 3002、および PIX 501 の各デバイス)がサーバのサポート対象となりました。Easy VPN サーバ機能を使用すると、リモート エンド ユーザは、IPsec を使用して、Cisco IOS VPN ゲートウェイと通信できます。また、一元管理された IPsec ポリシーがサーバからクライアント デバイスへ「プッシュ」されることにより、エンド ユーザが行うべき設定は最小限に抑えられます。

12.3(2)T

次のコマンドが、新たに導入または変更されました。RADIUS により、ユーザ プロファイル、ユーザベースのポリシー制御、VPN グループ アクセスに対するセッションのモニタリング、バックアップ ゲートウェイ リスト、および PFS がサポートされました。

12.3(7)T

netmask コマンドが導入され、Easy VPN サーバ上で使用できるようになりました。

このコマンドの設定方法については、次のセクションを参照してください。

「モード設定プッシュに使用するグループ ポリシー情報の定義」

12.4(2)T
12.2(33)SXH

次の機能が、このリリースで導入されました。

バナー、自動アップデート、およびブラウザ プロキシの拡張機能

12.4(6)T

中央ポリシー プッシュ ファイアウォール ポリシー プッシュ機能が追加されました。

12.2(33)SRA

この機能は、Cisco IOS Release 12.2(33)SRA に統合されました。

12.4(9)T

次の機能が、このリリースに追加されました。

DHCP クライアント プロキシ

この機能に関する詳細については、次の項を参照してください。

「DHCP クライアント プロキシ」

Easy VPN サーバに対する仮想トンネル インターフェイス ユーザ単位アトリビュートのサポート

「仮想トンネル インターフェイスのユーザ単位アトリビュートのサポート」

スプリット DNS

この機能に関する詳細については、次の項を参照してください。

「スプリット DNS」

cTCP

この機能に関する詳細については、次の各項を参照してください。

「cTCP」

「cTCP の設定」

「cTCP セッション:例」

Easy VPN サーバに対するユーザ単位アトリビュートのサポート

この機能に関する詳細については、次の各項を参照してください。

「Easy VPN サーバに対するユーザ単位アトリビュートのサポート」

「ローカル Easy VPN AAA サーバにおけるユーザ単位アトリビュートの設定」

「Easy VPN サーバにおけるユーザ単位アトリビュート:例」

AAA サーバによる VRF の割り当て

この機能に関する詳細については、次の各項を参照してください。

「AAA サーバによる VRF の割り当て」

「AAA サーバによる VRF の割り当て:例」

crypto aaa attribute list debug ip dns dhcp-server(isakmp) dhcp-timeout show ip dns name-list, show ip dns view 、および show ip dns view-list の各コマンドが導入されました。

crypto isakmp client configuration group コマンドが修正されました。

12.4(11)T

DHCP クライアント プロキシ機能に、リモート アクセス VPN の管理拡張機能が追加されました。

clear crypto session、crypto isakmp client configuration group、debug crypto condition、show crypto debug-condition、show crypto isakmp peers、show crypto isakmp profile、show crypto isakmp sa、show crypto session の各コマンドが変更されました。

Easy VPN サーバの拡張機能

Cisco IOS XE Release 2.1

この機能は、Cisco ASR 1000 シリーズ ルータに追加されました。

用語集

AAA:Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)。ユーザの身元の確認(認証)、リモート アクセス コントロール(認可)、課金、監査、およびレポートに使用するセキュリティ サーバ情報の収集と送信(アカウンティング)の方式を定めたセキュリティ サービスのフレームワークです。

Aggressive Mode(AM; アグレッシブ モード):Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ネゴシエーションを実行する際のモードです。Main Mode(MM; メイン モード)と比較すると、AM はいくつかのプロセスが省略されているため動作は速くなりますが、セキュリティ性能は低くなります。Cisco IOS ソフトウェアでは、アグレッシブ モードを開始した IKE ピアには、アグレッシブ モードで応答します。

AV のペア :アトリビュートと値(Attribute-Value)のペア。認可および認証の追加情報で、Cisco:AVPair= " protocol:attribute=value" という形式で表されます。

IKE:Internet Key Exchange(IKE; インターネット キー エクスチェンジ)。Oakley キー交換や Skeme キー交換を ISAKMP フレームワーク内部に実装したハイブリッド プロトコルです。IKE は、他のプロトコルでも使用できますが、初期実装されるのは IPsec です。IKE は、IPsec ピアを認証し、IPsec キーをネゴシエーションし、IPsec セキュリティ アソシエーションを実行します。

IPsec:IP Security Protocol(IPsec; IP セキュリティ プロトコル)。オープン規格のフレームワークであり、関与するピア間におけるデータの機密保持、データ整合性、データ認証を実現します。IPsec では、これらのセキュリティ サービスが IP レイヤで実現されます。IPsec では、ローカル ポリシーに基づいたプロトコルやアルゴリズムのネゴシエーションの処理や、IPsec に使用される暗号キーや認証キーの生成が、IKE を通じて行われます。IPsec は、1 組のホスト間、1 組のセキュリティ ゲートウェイ間、またはセキュリティ ゲートウェイとホスト間で 1 つ以上のデータ フローを保護するために使用できます。

ISAKMP:Internet Security Association and Key Management Protocol(ISAKMP; インターネット セキュリティ アソシエーションおよびキー管理プロトコル)。ペイロード形式、キー交換プロトコルの実装メカニズム、およびセキュリティ アソシエーションのネゴシエーションを定義するプロトコル フレームワークです。

MM:Main Mode(MM; メイン モード)。MM では、IKE ピアに対してより多くのセキュリティ プロポーザルが提供されます。そのため MM は、アグレッシブ モードに比べると動作速度は劣りますが、セキュリティ性能や柔軟性の面では優れたモードです。IKE 認証(RSA シグニチャ(rsa-sig)、RSA 暗号(rsa-encr)、または事前共有キー)では、MM がデフォルトで開始されます。

policy push :この機能を使用すると、管理者は、Cisco Easy VPN(ソフトウェア)クライアントおよび関連するファイアウォール ソフトウェアに対してセキュリティ ポリシーをプッシュできます。

RRI:Reverse Route Injection(RRI; 逆ルート注入)。冗長性やロード バランシングが求められる VPN の簡易型ネットワーク設計です。RRI は、ダイナミック クリプト マップとスタティック クリプト マップのどちらを使用する場合でも適用できます。

ダイナミック クリプト マップを使用した場合は、リモート ピアが、(RRI がイネーブルになった)ルータとの間で IPsec セキュリティ アソシエーションを確立すると、そのリモート ピアにより保護されているサブネットまたはホストごとに、スタティック ルートが作成されます。スタティック クリプト マップを使用した場合は、拡張アクセス リスト ルールの適用対象ごとに、スタティック ルートが作成されます。

SA:Security Association(SA; セキュリティ アソシエーション)。2 つ以上のエンティティ間で、安全な通信を行うためのセキュリティ サービスをどのように使用するかを規定したものです。たとえば IPsec の SA では、IPsec 接続の際に使用される暗号化アルゴリズム(使用される場合)、認証アルゴリズム、および共有セッション キーが定義されます。

IPsec および IKE では、接続パラメータの識別に必ず SA が使用されます。IKE では、独自に SA をネゴシエーションして確立できます。IPsec の SA は、IKE により確立することも、ユーザ設定により確立することもできます。

VPN :Virtual Private Network(VPN; バーチャル プライベート ネットワーク)。複数のピアで構成されるフレームワークで、各ピア間では、他のパブリック インフラストラクチャを介して機密データがセキュアに転送されます。このフレームワークでは、すべてのデータをトンネルして暗号化するプロトコルによって、着信ネットワーク トラフィックおよび発信ネットワーク トラフィックが保護されます。また、ネットワークをローカル トポロジの外部にまで拡張できるほか、リモート ユーザがダイレクト ネットワーク接続の状況を確認したり、その機能を利用したりすることも可能です。