テレワーカー

Cisco Virtual Office - Easy VPN 導入ガイド

導入ガイド





Cisco Virtual Office - Easy VPN 導入ガイド



このガイドでは、Cisco® Virtual Office とクライアント モードの Easy VPN を展開するための設計および実装に関する詳細情報を示します。

Cisco Virtual Office のソリューション、アーキテクチャ、およびすべてのコンポーネントの詳細については、Cisco Virtual Office の概要(http://www.cisco.com/jp/go/cvo/)を参照してください。

イントロダクション

このドキュメントでは、ファイアウォール、NAT(ネットワーク アドレス変換)、QoS(Quality of Service)、および IEEE 802.1x を使用するクライアント モードの Easy VPN と Cisco Virtual Office の展開について説明します。

クライアント モード構成の Cisco Easy VPN では、Easy VPN クライアントの背後にある LAN 全体が IP アドレスに NAT 変換され、その IP アドレスが Easy VPN サーバによってプッシュダウンされます。このモードでは、リモート アクセス ルータの背後にあるローカル LAN の IP アドレス スペースを管理する必要はありません。すべてのルータに対して、同じローカル IP DHCP(Dynamic Host Configuration Protocol)サーバ プールを設定できます。Easy VPN をクライアント モードで実行すると、IP Security(IPsec)トンネルが確立されてから、スポーク上にループバック インターフェイスが動的に設定され、そのインターフェイスに Easy VPN サーバ プール内の定義済み IP アドレスが割り当てられます。このプールは、企業ネットワークにルーティング可能でなければなりません。

オプションで、Easy VPN サーバでの分割トンネリングを有効にすることができます。これにより、企業トラフィック以外のすべてのトラフィックは直接インターネットに送信されます。企業トラフィックのみがトンネルを通じてルーティングされるため、VPN における処理の負荷が軽減されます。

プラットフォームとイメージ

このドキュメントでは、次のプラットフォームとイメージに対応する構成例を示します。

  • Easy VPN クライアント:Cisco 881w サービス統合型ルータ
  • Easy VPN サーバ:VPN 暗号化モジュールを備えた Cisco 3845 サービス統合型ルータ(AIM-VPN/SSL-3)
  • Cisco IOS® ソフトウェア リリース 12.4(20)T 以降

リモート アクセス Cisco 881W サービス統合型ルータの構成

このガイドに示す Easy VPN 構成はサンプルの構成であり、対象の企業サーバに合わせたカスタマイズが必要です。

優れたエンドユーザ エクスペリエンスを提供するには、E メール メッセージの送受信、アプリケーションの共有、Web のブラウズを同時に行いながら、音声とビデオの品質を保証するために、QoS が必要です。

動的な仮想トンネル インターフェイス

Cisco Enhanced Easy VPN は、従来の Easy VPN で使用されていた暗号化マップではなく、DVTI(動的な仮想トンネル インターフェイス)を使用して Easy VPN を設定するための新しい方法です。DVTI は Easy VPN サーバと Easy VPN リモート ルータのどちらでも使用できます。DVTI は、仮想トンネル インターフェイスを使用して、新しい Easy VPN トンネルごとに仮想アクセス インターフェイスを作成します。仮想アクセス インターフェイスの構成は、仮想テンプレート構成からクローンされます。クローンされた構成には、IPsec 構成と、仮想テンプレート インターフェイスで設定された Cisco IOS ソフトウェア機能(QoS、NAT、ステートフル ファイアウォール、NetFlow、アクセス コントロール リスト [ACL])など)が含まれます。

DVTI を使用すると VPN の構成が簡素化され、セッション単位の機能がサポートされます。さらに、このプロトコルを使用してトンネル固有の機能を適用でき、ソリューションの展開と管理が簡単になります。

Cisco 881W サービス統合型ルータでの Easy VPN の構成に関しては、次の点に注意してください。

  • Cisco 881W にワイヤレス サポートを追加する場合は、「Cisco Virtual Office - セキュア ワイヤレス」を参照してください。
  • 4 つの Cisco 881W スイッチ ポート(FastEthernet0 〜 FastEthernet3)による構成で、802.1x サプリカントを持つホスト(クライアント)が企業ネットワークにアクセスするためには、正しいクレデンシャルが必要です。Cisco IP Phone は自動的に検出され、802.1x の認証をバイパスして音声 VLAN に送出されます。MAC バイパス機能を使用して、手動で他の IP フォンをバイパスすることができます。ゲストまたは他の家族用の 802.1x サプリカントがない他のデバイスは、ゲスト VLAN に送出されます。これらのデバイスは、インターネットにのみ接続できます。
  • QoS については、設定内の該当する行にあるエンドユーザのインターネット サービス プロバイダー(ISP)アップリンク速度を置き換えてください(ISP アップリンク速度は、公衆インターネット速度テスト ツールを使用して確認できます)。
  • クライアントにはデフォルトのピアとバックアップ ピアが設定されます。デフォルトのピアが停止すると、バックアップ ピアがアクティブになります。デフォルトのピアが回復すると、再度それがアクティブ サーバになります。キーワード default を使用しないと、バックアップ ピアが引き続きアクティブ サーバになります。
!!! Create VLANs
Vlan 20
Vlan 30
!
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service linenumber
service sequence-numbers
!
!!!! **** Encrypt the easyvpn passwords and keys with AES for extra security
key config password-encrypt <your-own-password>
service password-encryption
password encryption aes
!
hostname EasyVPN-client-vpn
!
boot-start-marker
boot-end-marker
!
logging buffered 50000
enable secret 0 <secretpassword>
!
aaa new-model
!
aaa group server radius dot1x-aaa
server-private <rad-ip> auth-port 1812 acct-port 1813 key <rad-key>
ip radius source-interface Vlan20
!
aaa authentication login default local
aaa authentication dot1x default group dot1x-aaa
aaa authorization exec default local
aaa authorization network default group dot1x-aaa
!
aaa session-id common
!
no ip source-route
no ip gratuitous-arps
ip cef
!
ip dhcp pool CORPORATE_Pool
import all
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1
option 150 ip <corporate-tftpserver-for-callManager>
netbios-name-server <corporate-netbios>
dns-server <corporate-dns-servers>
lease 33
!
ip dhcp pool GUEST_Pool
import all
network 192.168.30.0 255.255.255.0
default-router 192.168.30.1
lease 33
!
!
ip tftp source-interface Vlan20
no ip bootp server
!!! use your company domain name
ip domain name cisco.com
no ip domain lookup
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall realaudio
ip inspect name firewall rtsp
ip inspect name firewall tftp
ip inspect name firewall ftp
ip inspect name firewall h323
ip inspect name firewall netshow
ip inspect name firewall streamworks
ip inspect name firewall esmtp
ip inspect name firewall sip
ip inspect name firewall skinny
!
!! Enable 802.1x globally
dot1x system-auth-control
!
username debuguser secret 0 debugonly
!
!! These are the QoS matching classes
class-map match-any call-setup
match ip dscp af31
match ip dscp af32
match ip dscp cs3
match ip precedence 3
class-map match-any internetwork-control
match ip dscp cs6
match access-group name control_acl
class-map match-any voice
match ip dscp ef
match ip dscp cs5
match ip precedence 5
!
class-map match-any call-setup
match ip dscp cs3
match ip precedence 3
class-map match-any internetwork-control
match access-group name isakmp_acl
match ip precedence 6
match ip precedence 7
class-map match-any voice
match access-group name voice_acl
match ip precedence 5
class-map match-all discover_signaling
match protocol skinny
class-map match-all discover_video
match protocol rtp video
class-map match-all discover_voip
match protocol rtp audio
class-map match-any video
match access-group name video_acl
match ip dscp af41
match ip precedence 4
class-map match-all non_voip
match access-group name non_voip_traffic_acl
!
!!! Marking traffic with correct DSCP values - after the discovery is done with NBAR
policy-map mark_incoming_traffic
class discover_signaling
set dscp cs3
class discover_video
set dscp af41
class discover_voip
set dscp ef
class non_voip
set dscp default
!
policy-map voice_and_video
class voice
bandwidth 128
class call-setup
priority percent 5
class internetwork-control
priority percent 5
class video
!!! Video set for 384kbps - this is set on the call manager
priority 384
class class-default
fair-queue
random-detect
policy-map shaper
class class-default
!!! enter here the user ISP uplink speed for shaping
shape average 600000 6000
service-policy voice_and_video
!
ip access-list extended isakmp_acl
permit udp any any eq isakmp
ip access-list extended voice_acl
permit udp any any range 24576 24656
ip access-list extended non_voip_traffic_acl
permit ip any any
ip access-list extended video_acl
permit udp any any eq 5445
permit udp any any range 2326 2373
!
crypto ipsec client ezvpn vpnserver
connect auto
group <easyvpn-group> key <EzVPNkey>
mode client
peer <easyvpn-server-ip> default
peer <backup-peer>
virtual-interface 1
username <EzVPNuser> password <EzVPNpassword>
xauth userid mode local
!
interface FastEthernet0
switchport access vlan 20
switchport voice vlan 1
dot1x pae authenticator
dot1x port-control auto
dot1x reauthentication
dot1x guest-vlan 30
spanning-tree portfast
!
interface FastEthernet1
switchport access vlan 20
switchport voice vlan 1
dot1x pae authenticator
dot1x port-control auto
dot1x reauthentication
dot1x guest-vlan 30
spanning-tree portfast
!
interface FastEthernet2
switchport access vlan 20
switchport voice vlan 1
dot1x pae authenticator
dot1x port-control auto
dot1x reauthentication
dot1x guest-vlan 30
spanning-tree portfast
!
interface FastEthernet3
switchport access vlan 20
switchport voice vlan 1
dot1x pae authenticator
dot1x port-control auto
dot1x reauthentication
dot1x guest-vlan 30
spanning-tree portfast
!
interface FastEthernet4
description *** Outside - WAN side - Interface
!!! enter here the correct ISP ip address if not using dhcp
ip address dhcp
ip access-group firewall_acl in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
fair-queue
no cdp enable
crypto ipsec client ezvpn vpnserver
!
interface Vlan1
description *** Corporate-access Voice Vlan Interface ***
ip unnumbered vlan 20
ip access-group allow_skinny_acl in
no ip redirects
no ip unreachables
ip pim sparse-dense-mode
ip nat inside
ip inspect firewall in
ip virtual-reassembly
ip tcp adjust-mss 1360
no autostate
crypto ipsec client ezvpn vpnserver inside
!
interface Vlan20
description *** Corporate-access Data Vlan Interface ***
ip address 192.168.20.1 255.255.255.0
no ip redirects
no ip unreachables
ip pim sparse-dense-mode
ip nat inside
ip inspect firewall in
ip virtual-reassembly
ip tcp adjust-mss 1360
no autostate
crypto ipsec client ezvpn vpnserver inside
service-policy input mark_incoming_traffic
!
interface Vlan30
description *** Guest/Family Vlan Interface ***
ip address 192.168.30.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip inspect firewall in
ip virtual-reassembly
!
interface Virtual-Template1 type tunnel
no ip address
tunnel mode ipsec ipv4
service-policy output shaper
!
no ip http server
no ip http secure-server
!
ip nat inside source list nat_acl interface FastEthernet4 overload
!
ip access-list extended allow_skinny_acl
permit udp any any eq bootps
permit udp any any range bootps bootpc
permit udp any host <corporate-tftpserver-for-callManager> eq tftp
permit udp any host <corporate-tftpserver-backup> eq tftp
permit udp any host <corporate-dns-server> eq domain
permit tcp any any eq 2000
permit udp any any range 24576 24656
permit udp any any eq 5445
permit udp any any range 2326 2373
permit tcp any host <directory-services-server> eq www
permit tcp any host <phone-services-server> eq www
deny ip any any
!
ip access-list extended control_acl
permit udp any eq isakmp any eq isakmp
!
ip access-list extended firewall_acl
permit esp any any
permit udp any any eq isakmp
permit udp any eq isakmp any
permit udp any eq non500-isakmp any
permit udp any any eq bootpc
deny ip any any
!
ip access-list extended nat_acl
permit ip 192.168.1.0 0.0.0.255 any
permit ip 192.168.20.0 0.0.0.255 any
permit ip 192.168.30.0 0.0.0.255 any
!
End

サーバの構成

DVTI を使用した Easy VPN サーバ構成を次に示します。これは、分割トンネリングを設定した Easy VPN の例です。クライアントがトンネルを確立すると、ezvpn_split_tunnel ACL がクライアントにプッシュされます。その結果、企業トラフィックのみがトンネルを通過することができ、他のトラフィックはインターネットに直接送信されます。

次に示すのはサンプル構成なので、対象の企業サーバに合わせて正しくカスタマイズする必要があります。

aaa new-model
!
aaa group server radius EzVPN
server-private <radius-server> auth-port 1812 acct-port 1813 key <key>
!
aaa authentication login easyVPN local group EzVPN
aaa authorization network easyVPN local group EzVPN
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
!
crypto isakmp keepalive 30 5
crypto isakmp nat keepalive 30
crypto isakmp xauth timeout 10
!
crypto isakmp client configuration group easyvpn-group
key <ezvpn-preshared-key>
dns <dns-server>
wins <wins-server>
domain cisco.com
pool easyvpn-pool
acl ezvpn_split_tunnel
save-password
!
crypto isakmp profile easyvpn-group
description PSK group
match identity group easyvpn-group
client authentication list easyVPN
isakmp authorization list easyVPN
client configuration address respond
virtual-template 1
!
crypto ipsec transform-set t1 esp-3des esp-sha-hmac
crypto ipsec profile prof
set transform-set t1
!
interface GigabitEthernet0/0
ip address 10.20.20.20 255.255.255.0
!
interface Virtual-Template1 type tunnel
description EasyVPN for PSK users
ip unnumbered GigabitEthernet0/0
ip pim sparse-mode
tunnel mode ipsec ipv4
tunnel protection ipsec profile prof
!
ip local pool easyvpn-pool 10.10.10.130 10.10.10.254
!
ip access-list extended ezvpn_split_tunnel
permit ip 10.0.0.0 0.255.255.255 any
permit ip <corporate-network> 0.255.255.255 any

展開の拡張に関する推奨事項

このセクションでは、既存の構成に対して推奨される拡張について説明します。

公開鍵インフラストラクチャ

Easy VPN による企業ネットワークへの安全なトンネル アクセスは、事前共有キー(PSK)と公開鍵インフラストラクチャ(PKI)を設定することによって実現されます。シスコが PKI を推奨するのは、PKI がセキュリティに優れ、拡張されたデバイス管理機能を備えているためです。

サーバ側に PKI を実装するには、次の構成を使用してください。

crypto isakmp client configuration group easyvpn-group
key <ezvpn-preshared-key>
dns <dns-server>
wins <wins-server>
domain cisco.com
pool easyvpn-pool
acl ezvpn_split_tunnel
save-password
!
crypto isakmp profile easyvpn-group
description PSK group
match identity group easyvpn-group
client authentication list easyVPN
isakmp authorization list easyVPN
client configuration address respond
virtual-template 1

これを次のように変更します。

crypto isakmp client configuration group easyvpn-group
dns <dns-server>
wins <wins-server>
domain cisco.com
pool easyvpn-pool
acl ezvpn_split_tunnel
save-password
!
crypto isakmp profile easyvpn-group
description PKI group
ca trust-point <ezvpn-certificate-server>
match identity group easyvpn-group
client authentication list easyVPN
isakmp authorization list easyVPN
client configuration address respond
virtual-template 1

この変更により、設定済みの事前共有キーがクライアント構成グループから削除され、プロファイル内のステートメントに一致する認証局の信頼ポイントと証明書が追加されます。

証明書マップと PKI 信頼ポイントも設定する必要があります。

crypto pki trustpoint ezvpn-certificate-server
enrollment mode ra
enrollment url http://ezvpn-certificate-server:80
serial-number
ip-address none
password 7 1107160B
revocation-check none
!

crypto isakmp ポリシーは、事前共有以外の認証を許可するように変更する必要があります。

crypto isakmp policy 2
encr 3des
group 2

クライアント側で、以下の「group <easyvpn-group> key <EzVPNkey>」という行を削除します。

crypto ipsec client EasyVPN vpnserver
connect auto
group <easyvpn-group> key <EzVPNkey>
mode client
peer <enter-you-easyvpn-server-ip-here>
username <EzVPNuser> password <EzVPNpassword>
xauth userid mode local

さらに、サブジェクト名の OU フィールドが Easy VPN サーバの証明書マップに一致する RSA デジタル証明書を追加します。

crypto pki trustpoint ezvpn-certificate-server
enrollment url http://ezvpn-certificate-server:80
serial-number
!!! The OU field MUST be set to the same ezvpn group name.
subject-name OU=easyvpn-group
revocation-check crl

これで、Easy VPN サーバと同じ PKI サーバに Easy VPN クライアントを登録すれば完了です。

管理トンネル

1 つのトンネルを明示的に管理専用にすることをお勧めします。このトンネルは、企業データ アクセス トンネルとは完全に切り離す必要があります(図 1)。主な目的は、ポリシー更新、イメージ管理、デバイスとユーザの認証のために、リモート デバイスとの安全なリンクを常に維持することです。また、この設定では、データ チャネル上でポリシーが変更された場合に接続が失われるのを避けることができます。

図 1 管理ネットワーク

図 1 管理ネットワーク

従来型の Easy VPN ではなく、DVTI を構成する必要があります。これは、デュアルトンネル構成が DVTI でのみ可能であるためです。

事前共有キーを使用する以下の構成を追加すると、管理トンネルを確立できます。前に説明したものと同じ変更を加えると、代わりに PKI を使用することができます。

crypto ipsec client ezvpn smg-psk
connect auto
group <group> key <key>
mode client
peer <easyvpn management server>
virtual-interface 1
username <ezvpn-user> password <ezyvpn-password>
xauth userid mode local

ワイヤレス アクセス

ワイヤレス アクセスは、モビリティの自由を提供しながら有線接続と同じパフォーマンスを維持できるため、エンドユーザ エクスペリエンスが大幅に向上します。Extensible Authentication Protocol(EAP)では、クライアントと Cisco Secure Access Control Server(ACS)の間で、集中管理される安全な双方向認証が可能です。EAP 認証方法として広く使用されている EAP-Protected EAP(EAP-PEAP)を推奨します。

Cisco 881W にワイヤレス アクセスを設定するには、「Cisco Virtual Office - セキュア ワイヤレス」を参照してください。

認証プロキシ

Cisco IOS ファイアウォール認証プロキシ(AuthProxy)は、レイヤ 3 エンドユーザ認証を実行して追加レベルのセキュリティを提供するための強力な方法です。次のようなさまざまな状況で有用です。

  • ホーム PC に 802.1x クレデンシャルが保存されている場合、その PC を使用する全員に接続が許可されます。AuthProxy を有効にすると、エンド ユーザは企業サーバにアクセスする際に AAA(認証、許可、およびアカウンティング)ユーザ名とパスワードを入力する必要があります。デフォルトでは、ACL は LAN 側のインターフェイスで設定され、すべての企業トラフィックがブロックされます。
  • ルータまたは PC の盗難に備え、AuthProxy がさらに高度な認証機能を提供します。
  • スイッチまたはハブを使用してホーム ネットワークを拡張した場合は、すべての PC を個別に認証する必要があります。AuthProxy はこのような状況で効果的です。

トラブルシューティング

Easy VPN の接続または構成を検証するには、次のコマンドを使用します。

  • debug crypto isakmp:フェーズ 1 で発生したエラーを表示する
  • debug crypto ipsec:フェーズ 2 で発生したエラーを表示する
  • debug crypto engine:暗号化エンジンからの情報を表示する
  • debug crypto ipsec client ezvpn:Easy VPN クライアント関連デバッグを表示する
  • clear crypto isakmp:フェーズ 1 のセキュリティ アソシエーションをクリアする
  • clear crypto sa:フェーズ 2 のセキュリティ アソシエーションをクリアする
  • clear crypto ipsec client ezvpn:Easy VPN クライアント接続をクリアする

802.1x およびワイヤレスのユーザ認証については、次のコマンドを使用します。

  • debug radius:認証時のエラーまたは障害を表示する

注:認証の失敗の有無について、Cisco Secure ACS RADIUS のログも確認してください。

参考資料