テレワーカー

Cisco Virtual Office Express 導入ガイド

ホワイトペーパー





Cisco Virtual Office Express 導入ガイド



はじめに

Cisco® Virtual Office Express は、パートタイムのテレワーカー、SOHO ワーカー、およびモバイル ワーカーなど、従来のオフィス以外で勤務するワーカーに、安全性が高く、豊富な機能を備えたネットワーク サービスを提供するソリューションです。Cisco Virtual Office に比べ、Cisco Virtual Office Express は簡素化されたヘッドエンドと管理アーキテクチャを備えているため、仮想オフィス ソリューションをより早く導入できます。また、ヘッドエンドとスポーク サイドの両側で、豊富な機能やセキュリティを損なうことなく、迅速に導入することが可能です。

Cisco Virtual Office Express

Cisco Virtual Office Express では、Cisco Enhanced Easy VPN テクノロジーを使用することで、リモート側がオンライン状態になるとサーバ側からリモート側へ VPN ポリシーをプッシュすることができるため、リモート ルータの VPN 設定が簡素化されます。Cisco Virtual Office Express は Cisco Virtual Office と同様、Cisco Secure Device Provisioning(SDP)を使用したゼロタッチ展開が可能です。SDP では、管理者による介入なしに、インターネット上で設定ファイルおよび Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)証明書を安全にインストールできます。管理者側から見た場合、Cisco Virtual Office Express のヘッドエンドと管理のインストールには、最大で 2 時間かかります。これに対してエンドユーザ側から見た場合、Cisco Virtual Office Express ルータをインターネットに接続すれば、フル プロビジョニングには数分しかかかりません。ヘッドエンドおよびリモート側のプラットフォームのサポートに関して、Cisco Virtual Office Express では Cisco Virtual Office と同じデバイスをサポートします。Cisco Virtual Office Express ルータの設定更新と Cisco IOS® ソフトウェアのアップグレードを継続的に行うには、Cisco Configuration Engine の追加が必要になります。このドキュメントは、2 つの主要なセクションに分かれています。最初のセクションでは、標準的な Cisco Virtual Office Express の導入方法について説明します。2 番目のセクションでは、高度な管理タスクのコンポーネントと冗長性に対応した高可用性オプションの追加方法について説明します。

プラットフォームとイメージ

Cisco Virtual Office Express の一般的な SOHO 向けデバイスは、Cisco 871、881、891

サービス統合型ルータまたは Cisco 1800 シリーズ サービス統合型ルータです。ヘッドエンドには Cisco 2800 または

3800 シリーズ サービス統合型ルータが推奨されます。高い拡張性とパフォーマンスが求められる場合は、Cisco 7200 シリーズ ネットワーク処理エンジン G2(NPE-G2)と VPN Services Adapter(VSA; VPN サービス アダプタ)搭載の Cisco 7206VXR ルータまたは Cisco Aggregation Services Router(ASR; 集約サービス ルータ)1000 シリーズが推奨されます。また、Cisco IOS ソフトウェアのリリース 12.4(22)T 以降が推奨されます。

ID 管理

企業リソースにアクセスするには、エンドユーザおよびデバイスの認証が必要です。このため、ヘッドエンドとリモート ルータの両方で AAA(認証/認可/課金)サーバへのクエリを行います。Cisco Virtual Office Express では、個別の属性/値ペアによる RADIUS をサポートしていれば、既存の企業 AAA サーバを使用できます。Cisco Secure Access Control Server(ACS)4.2 for Windows 以降は、AAA サーバとして導入できます。Cisco Virtual Office Express では、AAA サーバを初期導入(SDP プロセス)だけでなく、PKI-AAA、ワイヤレス、IEEE 802.1x、および認証プロキシでユーザおよびデバイスの認証や認可にも使用します。

導入コンポーネント

Cisco Virtual Office Express の導入に必要なコンポーネントは、次のとおりです。

  • ヘッドエンド サイト

    • VPN ヘッドエンド ルータ:このルータは SDP を行い、Certificate Authority(CA; 認証局)および VPN ゲートウェイ(リモート サイト トンネルが停止した場合)として機能します。このルータの裏側には、企業ネットワークがあります。

    • AAA サーバは、前述したとおり、Cisco Virtual Office Express ソリューションの各種コンポーネントの認証に必要です。AAA サーバは、オフィスの管理ネットワークでホストされます。
  • テレワーカー サイトまたは SOHO

    • Cisco 800 シリーズ ルータまたは 1800 シリーズ サービス統合型ルータが必要です。

図 1 は、Cisco Virtual Office Express ソリューションのコンポーネントを表したものです。

図 1 Cisco Virtual Office Express の設計

図 1 Cisco Virtual Office Express の設計
※画像をクリックすると、大きな画面で表示されますpopup_icon


Cisco Virtual Office Express の導入手順

ヘッドエンドおよび管理側

1. インターネット向けの IP アドレスを VPN ゲートウェイに割り当てます。

2. 企業ファイアウォール上のポートを開きます。

    ヘッドエンドでは、Internet Key Exchange(IKE; インターネット キー エクスチェンジ)および IP Security(IPsec; IP セキュリティ)パケットを送受信する必要があります。User Datagram Protocol(UDP; ユーザ データグラム プロトコル)のポート 500 と 4500、および Encapsulated Security Payload (ESP; カプセル化セキュリティ ペイロード)のポート(IP 50)が開いている必要があります。

    SDP サーバには、HTTPS(TCP 443)および HTTP(ポート 80 を使用できますが、TCP 8000 などの代替ポートの使用を推奨)が必要です。

3. Cisco Easy VPN 接続用に IP アドレス プールを予約します。

    CPE デバイスを VPN サーバに接続するたびに、IP アドレスがプールからデバイスへプッシュされます。このプールは、全社にルーティングできる必要があります。

4. VPN ヘッドエンドをインストールします。

    ヘッドエンドは SDP サーバ、CA、および VPN ゲートウェイとして動作します。SDP サーバはテンプレートベースの設定をリモート サイトにプッシュし、PKI 証明書をインストールします。Cisco Virtual Office Express の場合は、設定全体がクライアントにプッシュされます。

    サーバを CA として設定するには、ホスト名、ドメイン名、時間帯、およびクロック同期用の Network Time Protocol(NTP; ネットワーク タイム プロトコル)サーバ(ルータに組み込みのハードウェア クロックがない場合)を設定します。また、クライアントがSimple Certificate Enrollment Protocol(SCEP)登録を実行できるように、サーバで HTTP サーバをイネーブルにする必要があります。ルータを VPN ゲートウェイとして設定し、トンネルを終了します。これらすべての設定例は、「VPN サーバ設定」のセクションに示します。

5. スポーク テンプレート設定を作成します。

    この設定はクライアントにプッシュされます。設定は、ヘッドエンド ルータ のフラッシュ メモリに保存できます。また、FTP ネットワーク サーバ、HTTP および HTTPS サーバ、または Secure Shell (SSH; セキュア シェル)プロトコルをサポートするネットワーク サーバの NVRAM にも保存できます。詳細については、「スポーク テンプレート設定」のセクションに示した設定例を参照してください。さらに、SDP テンプレートをカスタマイズして、上記の場所に保存する必要もあります。

    IEEE 802.1x、認証プロキシ、ワイヤレス アクセス、Quality Of Service(QoS)などの機能は、VPN の機能およびセキュリティを強化できます。設定例については、「追加機能の設定」のセクションを参照してください。

6. AAA サーバを設定します。

    Cisco ACS でプロファイルを作成するか、初期プロビジョニングのユーザ認証用に企業 AAA サーバを設定します。

エンドユーザ側

1. インターネットに接続します。

    Cisco Virtual Office のオプションとして注文したルータには、工場出荷時に Dynamic Host Configuration Protocol(DHCP)が WAN 側でイネーブルに設定されています。この設定は、シスコの社内調査によれば、使用例の約 92% を占めています。スタティック アドレスまたは PPPoE を使用して自宅から接続する場合は、クライアントの Cisco Configuration Professional を使用してインターネットに接続します。図 2 に示されているようにルータを設定します。

図 2 Cisco Virtual Office Express の設定

図 2 Cisco Virtual Office Express の設定
※画像をクリックすると、大きな画面で表示されますpopup_icon


2. 新しいルータの自動プロビジョニングを開始します。

    コンピュータを Cisco 871/881/891 ルータのポート FE0(Cisco 1811 ルータのポート FE2)に接続し、Cisco 871/881 ルータの FastEthernet4 WAN インターフェイス(891 用の FE8 または 1811 用の FE0)をインターネット(モデムまたは Network Address Translation(NAT; ネットワーク アドレス変換)ルータ)に接続します。その後、次の手順に従います。

    a. Cisco Virtual Office Express 管理者から受信したメールに記載された Web リンクをクリックします。

    b. ポップアップ ウィンドウのユーザ名とパスワードのダイアログボックスに認定証を入力します。

b. ポップアップ ウィンドウのユーザ名とパスワードのダイアログボックスに認定証を入力します。

※画像をクリックすると、大きな画面で表示されますpopup_icon


    c. [Next] をクリックして、ルータ設定のインストールを開始します。

c. [Next] をクリックして、ルータ設定のインストールを開始します。

※画像をクリックすると、大きな画面で表示されますpopup_icon


    Cisco 871 または 881 ルータは、サーバによって自動的に設定されます。

Cisco 871 または 881 ルータは、サーバによって自動的に設定されます。

※画像をクリックすると、大きな画面で表示されますpopup_icon


    ルータの準備が完了すると、ユーザに通知されます。

ルータの準備が完了すると、ユーザに通知されます。

※画像をクリックすると、大きな画面で表示されますpopup_icon


継続的な管理

このセクションでは、Cisco Virtual Office Express でユーザを追加または削除する場合、および Cisco IOS ソフトウェア設定を更新する場合の管理者タスクの概要について説明します。

新規ユーザの追加

VPN に新規ユーザを追加する方法には、次の 2 種類があります。

  • 有効な企業認定証を持つすべてのユーザに VPN への参加を許可する(必要な処理は特にありません。企業ユーザはすべて自動的に許可されます)。

    PKI-AAA 認可リストを VPN ヘッドエンドの PKI トラスト ポイントに追加して、AAA サーバに有効なプロファイルが登録されているデバイスだけが IPsec トンネルを構築できるようにすることも可能です。詳細については、『Cisco Virtual Office-AAA Deployment guide』の PKI-AAA に関する説明を参照してください。

  • SDP にユーザを追加する(ユーザ名およびパスワードを Cisco IOS ソフトウェア コマンドラインに追加します)。

ユーザの削除

次の手順に従って、PKI 証明書を無効にします。

注: 次に示すコマンドは、Cisco IOS ソフトウェア リリース 12.4(20)T 以降でのみサポートされます。

1. 証明書サーバで次のコマンドを実行し、ユーザ「user1.domain-name.com」の証明書の シリアル番号を取得します。

show crypto pki server <server-name> certificates | include user1.domain-name.com

出力例:

server#show crypto pki server pki-ca certificates | inc user1.cisco.com
11	21:33:26 PDT Mar 24 2009 21:33:26 PDT May 23 2009 serialNumber=FTX0917A02E+
hostname = user1.cisco.com

2. 次のコマンドを実行して、証明書を無効にします。

crypto pki server <server-name> revoke <Serial Number in Hexadecimal>

3. (オプション)PKI-AAA を使用している場合は、ルータの AAA プロファイル(username.domainname.com)を削除します。詳細については、『Cisco Virtual Office-AAA Deployment guide』を参照してください。

Cisco IOS ソフトウェアの基本設定の更新

Configuration Engine がない場合は、モード設定交換を利用して設定 URL をプッシュします。この機能を利用すると、すべての設定をすべての Cisco IOS Easy VPN クライアントにプッシュできます。また、音声やルーティングを含めたすべての機能で、ゼロタッチ プロビジョニングを実行できます。次の例は、

Cisco Easy VPN Remote で IOS ファイアウォール ポリシーを設定した場合のこの機能の動作を示しています。

1. vpn.cfg という名前のテキスト ファイルでポリシーを作成し、それを企業ネットワーク(TFTP サーバ 172.16.30.2 など)に配置します。

vpn.cfg
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp audit-trail on timeout 3600 
ip inspect name DEFAULT100 h323 timeout 3600
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow 
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio 
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp 
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks 
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp 
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
access-list 101 permit esp any any
access-list 101 permit udp any any eq isakmp 
access-list 101 deny	ip any any
interface f 0/0
ip access-group 101 in
ip inspect DEFAULT100 out

2. 設定を正常に更新するには、サーバのバージョン番号にクライアントで使用しているものより大きな番号を設定します。たとえば、クライアントに設定されたバージョンが 10 の場合、次のサーバ設定は有効です。

crypto isakmp client configuration group vpn
key vpnkey
domain cisco.com
pool vpn pool
save-password
configuration url tftp://172.16.30.2/vpn.cfg
configuration version 11

3. 追加のファイアウォール設定を Cisco Easy VPN Remote に適用するには、IPsec セキュリティ アソシエーションを再度ネゴシエートします。

    この処理は、Cisco Easy VPN Remote またはサーバで clear crypto sa コマンドを実行してセキュリティ アソシエーションをクリアするか、リモート スポーク ルータを再ロードすることで実行できます。

4. 設定更新がプッシュされているかどうかを確認するには、サーバとリモート サイトの両方で表示コマンドを実行します。

    a. サーバで show crypto isakmp peers config コマンドを実行し、特定のリモート ルータの詳細を表示するか、すべてのリモート ルータのデータを表示します。

Server# show crypto isakmp peers config
Client-Public-Addr=192.168.10.2:500; Client-Assigned-Addr=172.16.1.206; Client- Group=vpn; Client-User=vpn; Client-Hostname=spoke; Client-Platform=Cisco 1841; Client- Serial=FOC080210E2 (412454448); Client-Config-Version=11; Client-Flash=33292284;
Client-Available-Flash=10202680; Client-Memory=95969280; Client-Free-Memory=14992140; Client-Image=flash:c1841-advsecurityk9-mz

    b. リモート側で次のコマンドを実行します。

spoke #show crypto ipsec client ezvpn
Easy VPN Remote Phase: 5
Tunnel name : vpn
Inside interface list: Vlan1
Outside interface: FastEthernet0
Current State: IPSEC_ACTIVE
Last Event: SOCKET_UP
Address: 172.16.1.206
Mask: 255.255.255.255
Default Domain: cisco.com
Save Password: Allowed
Configuration URL [version]: tftp://172.16.30.2/vpn.cfg [11]
Config status: applied, Last successfully applied version: 11
Current EzVPN Peer: 192.168.10.1

これで、設定は正常に更新されます。

VPN の設定例

設定例で使用しているフィールドの値は、適切な値に置き換えてください。テンプレートの設定例は、Cisco 871 および 881 ルータをモデルにしたものです。

テンプレート例には、ローカル LAN でホストの変換に使用する基本的なファイアウォールのポート アドレス変換(PAT)機能を備えた、Cisco Easy VPN Client の設定が含まれています。3 つの VLAN はそれぞれ個別に設定で定義されており、企業ネットワークへのアクセスに使用するデバイス用、企業ネットワークにアクセスしない家族またはゲスト用、および電話(音声 VLAN)用で構成されます。この設定例では、スプリットトンネリング機能がイネーブルになっていません。

スポークの設定例は、871 および 881 プラットフォームをモデルにしたものです。891 プラットフォームの場合は、WAN インターフェイスの F8 およびポート F0 〜 F7 を使用してください。1811 の場合は、WAN インターフェイスの F0 およびポート F2 〜 F9 を使用します。

VPN ヘッドエンド設定では、同じボックス内に SDP サーバ、証明書サーバ、および Cisco Enhanced Easy VPN の設定が含まれています。これらのコンポーネントに関連した設定については、コメントを参照してください。設定は Cisco 3845 ルータに適用されます。

スポーク テンプレート設定(Cisco 871)

注: テンプレートの設定例には、拡張変数($n など)が含まれています。これらの変数は Cisco IOS SDP レジストラまたは申請者によって置き換えられます。詳細については、『Secure Device Provisioning Guide』を参照してください。

username <username> privilege 15 secret 0 <password>
enable secret 0 <enable-password>
vlan 20
state active 
vlan 11
state active 
bridge irb 
int vlan20 
int vlan 1
bridge-group 1 
exit
bridge 1 route ip
!
service password-encryption 
password encryption aes
!
!!! Use your timezone here 
clock timezone PST -8
clock summer-time PDT recurring
!
ip domain name <domain>
ntp server <ntp-server-ip>
!
hostname $n 
aaa new-model
aaa authentication login default local 
aaa authorization exec default local
no ip http access-class 23
crypto pki trustpoint $l
enrollment url http://<CA-server-ip-address>:8000 
rsakeypair $k $s
serial-number
!!! The OU field MUST be set to the ezvpn group name configured on the 
server !!!
subject-name OU= easyvpn-group 
revocation-check none
password none
ip-address none 
auto-enroll 70
$c
crypto isakmp keepalive 20 5 
crypto isakmp nat keepalive 20
aaa session-id common
interface Virtual-Template1 type tunnel 
description Management Virtual-Tunnel 
no ip address
tunnel mode ipsec ipv4
ip cef
no ip dhcp use vrf connected
!! Easy VPN client config !!
crypto ipsec client ezvpn vpnserver 
connect auto
mode client
peer <vpn-server-ip>
virtual-interface 1
!! Corporate address pool !!
no ip dhcp pool sdm-pool 
ip dhcp pool client
import all
network 10.10.10.0 255.255.255.0 
dns-server <dns-server-ip>
domain-name <domain>
default-router 10.10.10.1
option 150 ip <corporate-tftpserver-for-callManager>
!! Guest address pool !!
ip dhcp pool guest 
import all
network 192.168.20.0 255.255.255.0 
default-router 192.168.20.1
dns-server <guest-dns-ip>
!! Voice VLAN address pool!!
ip dhcp pool voice 
import all
network 10.20.20.0 255.255.255.248 
dns-server <dns-server-ip>
default-router 10.20.20.1
option 150 ip <corporate-tftpserver-for-callManager>
!! Firewall Rules!!
!
no ip inspect name DEFAULT100 
ip inspect name firewall tcp 
ip inspect name firewall udp
ip inspect name firewall realaudio 
ip inspect name firewall rtsp
ip inspect name firewall tftp 
ip inspect name firewall ftp 
ip inspect name firewall h323
ip inspect name firewall netshow
ip inspect name firewall streamworks 
ip inspect name firewall esmtp
ip inspect name firewall sip
ip inspect name firewall skinny 
ip inspect name firewall sip-tls
cdp run
ip access-list extended allow_skinny_acl 
permit udp any any range bootps bootpc 
permit udp any any eq domain
permit udp any any eq tftp 
permit tcp any any eq 2000
permit udp any any range 24576 24656 
permit udp any any eq 5445
permit udp any any range 2326 2373
permit tcp any host <Directory-services-ip> eq www 
permit tcp any host <other-phone-services> eq www
.
.
deny ip any any log
interface FastEthernet0 
spanning-tree portfast 
switchport voice vlan 11 
cdp enable
!
interface FastEthernet1 
spanning-tree portfast 
switchport voice vlan 11 
cdp enable
!
interface FastEthernet2 
switchport access vlan 20 
spanning-tree portfast 
switchport voice vlan 11 
cdp enable
!
interface FastEthernet3 
switchport access vlan 20 
spanning-tree portfast 
switchport voice vlan 11 
cdp enable
interface FastEthernet4
description *** Outside - WAN side - Interface***
!! enter here the correct ISP ip address if not using dhcp !!
ip nat outside
ip access-group fw_acl in 
ip virtual-reassembly 
duplex auto
speed auto
crypto ipsec client ezvpn vpnserver outside
!
!! Corporate Vlan !!
interface Vlan1
description Corporate Access 
no ip address
no ip access in 
no autostate 
bridge-group 1
bridge-group 1 spanning-disabled
!! Guest Vlan !!
interface Vlan20 
description Guest Access
ip address 192.168.20.1 255.255.255.0 
ip inspect firewall in
no ip access in 
no autostate
ip nat inside
!!! Inspection for the voice Vlan 
ip inspect name voice skinny
ip inspect name voice sip
ip inspect name voice sip-tls 
ip inspect name voice h323
ip inspect name voice tft 
ip inspect name voice dns
!!Voice Vlan!!
interface Vlan11 
description Voice VLAN
ip address 10.20.20.1 255.255.255.0 
ip access-group allow_skinny_acl in 
ip inspect voice in
ip nbar protocol-discovery 
no autostate
crypto ipsec client ezvpn vpnserver inside
interface BVI1
description Corporate Access
ip address 10.10.10.1 255.255.255.0 
no ip redirects
no ip unreachables 
ip proxy-arp
ip nbar protocol-discovery 
ip nat inside
ip inspect firewall in
ip virtual-reassembly 
ip tcp adjust-mss 1360
crypto ipsec client ezvpn vpnserver inside
no access 1
no access 23
no access 100
no access 101
!
ip access-list extended nat_acl
permit ip 192.168.20.0 0.0.0.255 any
no ip nat inside source list 1 interface FastEthernet4 overload
ip nat inside source list nat_acl interface FastEthernet4 overload
!
ip access-list extended fw_acl 
permit esp any any
permit udp any any eq isakmp 
permit udp any eq isakmp any
permit udp any eq non500-isakmp any
permit udp host <NTP-server-IP> eq ntp any 
permit udp any any eq bootpc
permit udp any any eq domain 
permit icmp any any
permit tcp host <CA-server-ip> any 
deny ip any any
!! Policy-based routing configured to support guest vlan !!
ip access-list extended guest_acl 
permit ip 192.168.20.0 0.0.0.255 any
route-map policy_route_map permit 10 
match ip address guest_acl
set ip next-hop dynamic dhcp
int vlan 20
ip policy route-map policy_route_map
ip tftp source-interface bvi1
!
crypto pki enroll $l
!
end

スポーク テンプレート設定(Cisco 881)

username <username> privilege 15 secret 0 <password>
enable secret 0 <enable-password>
vlan 20
state active 
vlan 11
state active 
vlan 10
state active 
int vlan20 
int vlan 1
exit
!
service password-encryption 
password encryption aes
!
!!! Use your timezone here 
clock timezone PST -8
clock summer-time PDT recurring
!
ip domain name <domain>
ntp server <ntp-server-ip>
!
hostname $n 
aaa new-model
aaa authentication login default local 
aaa authorization exec default local
no ip http access-class 23
crypto pki trustpoint $l
enrollment url http://<CA-server-ip-address>:8000 
rsakeypair $k $s
serial-number
!!! The OU field MUST be set to the ezvpn group name. 
subject-name OU= easyvpn-group
revocation-check none 
password none
ip-address none 
auto-enroll 70
$c
crypto isakmp keepalive 20 5 
crypto isakmp nat keepalive 20
aaa session-id common
interface Virtual-Template1 type tunnel 
description Management Virtual-Tunnel 
no ip address
tunnel mode ipsec ipv4
ip cef
no ip dhcp use vrf connected
!! Easy VPN client config !!
crypto ipsec client ezvpn vpnserver 
connect auto
mode client
peer <vpn-server-ip>
virtual-interface 1
!! Corporate address pool !!
no ip dhcp pool sdm-pool 
ip dhcp pool client
import all
network 10.10.10.0 255.255.255.0 
dns-server <dns-server-ip>
domain-name <domain>
default-router 10.10.10.1
option 150 ip <corporate-tftpserver-for-callManager>
!! Guest address pool !!
ip dhcp pool guest 
import all
network 192.168.20.0 255.255.255.0 
default-router 192.168.20.1
dns-server <guest-dns-ip>
!! Voice VLAN address pool!!
ip dhcp pool voice 
import all
network 10.20.20.0 255.255.255.248 
dns-server <dns-server-ip>
default-router 10.20.20.1
option 150 ip <corporate-tftpserver-for-callManager>
!! Firewall Rules!!
!
no ip inspect name DEFAULT100 
ip inspect name firewall tcp 
ip inspect name firewall udp
ip inspect name firewall realaudio 
ip inspect name firewall rtsp
ip inspect name firewall tftp 
ip inspect name firewall ftp 
ip inspect name firewall h323
ip inspect name firewall netshow
ip inspect name firewall streamworks 
ip inspect name firewall esmtp
ip inspect name firewall sip
ip inspect name firewall skinny 
ip inspect name firewall sip-tls
cdp run
ip access-list extended allow_skinny_acl 
permit udp any any range bootps bootpc 
permit udp any any eq domain
permit udp any any eq tftp 
permit tcp any any eq 2000
permit udp any any range 24576 24656 
permit udp any any eq 5445
permit udp any any range 2326 2373
permit tcp any host <Directory-services-ip> eq www 
permit tcp any host <other-phone-services> eq www
.
.
deny ip any any log 
interface FastEthernet0
spanning-tree portfast 
switchport access vlan 10 
switchport voice vlan 11 
cdp enable
!
interface FastEthernet1 
spanning-tree portfast 
switchport access vlan 10 
switchport voice vlan 11 
cdp enable
!
interface FastEthernet2 
spanning-tree portfast 
switchport access vlan 20 
switchport voice vlan 11 
cdp enable
!
interface FastEthernet3
switchport access vlan 20 
spanning-tree portfast 
switchport voice vlan 11 
cdp enable
interface FastEthernet4
description *** Outside - WAN side - Interface***
!! enter here the correct ISP ip address if not using dhcp !!
ip nat outside
ip access-group fw_acl in 
ip virtual-reassembly 
duplex auto
speed auto
crypto ipsec client ezvpn vpnserver outside
!! Guest Vlan !!
interface Vlan20 
description Guest Access
ip address 192.168.20.1 255.255.255.0 
ip inspect firewall in
no ip access in 
no autostate
ip nat inside
!!! Inspection for the voice Vlan 
ip inspect name voice skinny
ip inspect name voice sip
ip inspect name voice sip-tls 
ip inspect name voice h323
ip inspect name voice tft 
ip inspect name voice dns
!!Voice Vlan!!
interface Vlan11 
description Voice VLAN
ip address 10.20.20.1 255.255.255.0
ip access-group allow_skinny_acl in 
ip inspect voice in
ip nbar protocol-discovery 
no autostate
crypto ipsec client ezvpn vpnserver inside
!!Corporate Vlan!!
interface vlan10
description Corporate Access
ip address 10.10.10.1 255.255.255.0 
no ip redirects
no ip unreachables 
ip proxy-arp
ip nbar protocol-discovery 
ip nat inside
ip inspect firewall in 
ip virtual-reassembly 
ip tcp adjust-mss 1360
crypto ipsec client ezvpn vpnserver inside
no access 1
no access 23
no access 100
no access 101
!
ip access-list extended nat_acl
permit ip 192.168.20.0 0.0.0.255 any
no ip nat inside source list 1 interface FastEthernet4 overload
ip nat inside source list nat_acl interface FastEthernet4 overload
!
ip access-list extended fw_acl 
permit esp any any
permit udp any any eq isakmp 
permit udp any eq isakmp any
permit udp any eq non500-isakmp any
permit udp host <NTP-server-IP> eq ntp any 
permit udp any any eq bootpc
permit udp any any eq domain 
permit icmp any any
permit tcp host <CA-server-ip> any 
deny ip any any
!! Policy-based routing configured to support guest vlan !!
ip access-list extended guest_acl 
permit ip 192.168.20.0 0.0.0.255 any
route-map policy_route_map permit 10 
match ip address guest_acl
set ip next-hop dynamic dhcp
int vlan 20
ip policy route-map policy_route_map
ip tftp source-interface vlan10
!
crypto pki enroll $l 
end

VPN サーバ設定

hostname vpn_hub
!
enable secret 0 <enable-password>
!
ip http server 
aaa new-model
!
aaa authentication login default local 
aaa authorization network default local
!
interface GigabitEthernet0/0
description *** Outside - WAN side - Interface***
ip address <<WAN-ip-address> <netmask>
no shut
ip virtual-reassembly 
duplex auto
speed auto
no ip access-group in
!
ip route 0.0.0.0 0.0.0.0 <default-gateway>
!
no ip http access-class
!!! Use your timezone here 
clock timezone PST -8
clock summer-time PDT recurring
!
ntp server <NTP-server-ip>
!
!
crypto pki trustpoint hub_cert
enrollment url http://<WAN-ip-address>:8000 
serial-number
ip-address none 
password none
rsakeypair ca-server 1024
!
ip domain name <domain>
!
username <username> privilege 15 password <password>
!
service password-encryption 
password encryption aes
!! SDP Server config !!
crypto provisioning registrar 
pki-server sdp-server
template http welcome <sdp-template-page-locations>
.
.
template config <location of template config>
authentication list default 
authorization list default
!
crypto isakmp policy 1 
encr aes 256
group 2
crypto isakmp keepalive 10
!
!! VPN Server config !!
crypto isakmp client configuration group easyvpn-group 
dns <dns-server>
domain <domain>
pool easyvpn-pool
crypto isakmp profile prof 
ca trust-point hub_cert
match identity group easyvpn-group 
isakmp authorization list default 
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set ipsec-xform esp-aes 256 esp-sha-hmac
!
crypto ipsec profile ipsec-profile 
set transform-set ipsec-xform
!
interface Virtual-Template1 type tunnel
description Corporate data-traffic Virtual-Tunnel 
ip unnumbered GigabitEthernet 0/0
ip virtual-reassembly 
tunnel mode ipsec ipv4
tunnel protection ipsec profile ipsec-profile
!
!
ip local pool easyvpn-pool <corporate-routable-address-range>
!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!Please issue a "sh ntp status" command at this point. Wait	!!!
!!!until the output shows "Clock is synchronized" and then !!!
!!!proceed	!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!! CA Server config !!
crypto pki server ca-server
database archive pkcs12 password abc12345 
database level complete
grant auto trustpoint hub_cert 
auto-rollover 3
issuer-name cn=test, o=cisco 
no shut
!!! Please wait for the server to get enabled !!!
ip http secure-server 
ip http port 8000
ip http secure-trustpoint hub_cert
crypto pki authenticate hub_cert 
yes
!
crypto pki enroll hub_cert
!
end

CA サーバは自動割り当てモードではないため、CA サーバから手動で証明書を割り当てる必要があります。

vpn_hub#crypto pki server ca-server grant all

追加機能の設定

注: 次の設定例は、871 プラットフォームに適用されます。その他のプラットフォームについては、適宜変更してください。

QoS

ip access-list extended isakmp_acl 
permit udp any any eq isakmp
!
ip access-list extended voice_acl 
permit udp any any range 24576 24656
!
ip access-list extended non_voip_traffic_acl 
permit ip any any
!
ip access-list extended video_acl 
permit udp any any eq 5445
permit udp any any range 2326 2373
!
class-map match-any call-setup 
match ip dscp cs3
match ip precedence 3
class-map match-any internetwork-control 
match access-group name isakmp_acl
match ip precedence 6 
match ip precedence 7
class-map match-any voice
match access-group name voice_acl 
match ip precedence 5
class-map match-any routing 
match protocol eigrp
class-map match-all discover_signaling 
match protocol skinny
class-map match-all discover_video 
match protocol rtp video
class-map match-all discover_voip 
match protocol rtp audio
class-map match-any video
match access-group name video_acl 
match ip dscp af41
match ip precedence 4
class-map match-all non_voip
match access-group name non_voip_traffic_acl
policy-map mark_incoming_traffic 
class discover_signaling
set dscp cs3
class discover_video 
set dscp af41
class discover_voip 
set dscp ef
class non_voip
set dscp default
policy-map voice_and_video 
class voice
bandwidth 128 
class call-setup
priority percent 5
class internetwork-control 
priority percent 5
class routing 
priority percent 5
class video 
priority 384
class class-default 
fair-queue
random-detect 
policy-map shaper
class class-default
shape average 750000 7500 
service-policy voice_and_video
interface BVI1
ip nbar protocol-discovery
service-policy input mark_incoming_traffic
interface virtual-template1 
service-policy output shaper
!
end

IEEE 802.1x

注: 次の設定にあるように、すべてのポートで 802.1x がイネーブルになっている場合、テンプレート スポーク設定では FastEthernet インターフェイスに switchport access vlan <number> コマンドを設定する必要はありません。

aaa new-model
!!! The ‘radius-key’ should match the key configured on the AAA server!!!
aaa group server radius <name>
server-private <radius-ip-address> auth-port 1812 acct-port 1813 key <radius-key>
aaa authentication login default local group <name>
aaa authorization network default group <name>
!
! Enable dot1x feature globally 
dot1x system-auth-control
interface FastEthernet0 
dot1x pae authenticator 
dot1x port-control auto 
dot1x reauthentication 
dot1x guest-vlan 20 
dot1x auth-fail vlan 20 
spanning-tree portfast
!
interface FastEthernet1 
dot1x pae authenticator 
dot1x port-control auto 
dot1x reauthentication 
dot1x guest-vlan 20 
dot1x auth-fail vlan 20 
spanning-tree portfast
!
interface FastEthernet2 
dot1x pae authenticator 
dot1x port-control auto 
dot1x reauthentication 
dot1x guest-vlan 20 
dot1x auth-fail vlan 20 
spanning-tree portfast
!
interface FastEthernet3 
switchport access vlan 20 
dot1x pae authenticator 
dot1x port-control auto 
dot1x reauthentication 
dot1x guest-vlan 20
dot1x auth-fail vlan 20 
spanning-tree portfast
!
end

ワイヤレス

aaa new-model
aaa group server radius <name>
server-private <radius-ip-address> auth-port 1812 acct-port 1813 key <radius-key>
aaa authentication login eapfast group <name>
dot11 ssid <ssid-name>
vlan 1
authentication open eap eapfast 
authentication key-management wpa
interface Dot11Radio0.1 
encapsulation dot1Q 1 native 
bridge-group 1
bridge-group 1 subscriber-loop-control 
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source 
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
interface Dot11Radio0 
no ip address
broadcast-key vlan 1 change 11
encryption vlan 1 mode ciphers aes-ccm tkip 
no ip redirects
no ip unreachables 
no ip proxy-arp 
ssid <ssid-name>
no shutdown
!
end

認証プロキシ

aaa new-model
aaa group server radius <name>
server-private <radius-ip-address> auth-port 1812 acct-port 1813 key
<radius-key>
aaa authentication login default local group <name>
aaa authorization auth-proxy default group <name>
!
ip admission max-login-attempts 6
!
ip http server
ip http authentication aaa 
no ip http secure-server
ip admission name pxy proxy http inactivity-time 1440 list auth_proxy_acl
!
ip radius source-interface BVI1 
radius-server retransmit 3
radius-server authorization permit missing Service-Type
!
no ip access-list extended auth_proxy_acl 
ip access-list extended auth_proxy_acl
remark --- Auth-Proxy ACL -----------
! Deny lines are used to bypass auth-proxy 
deny	tcp any host <ip address> eq www 443
! auth-proxy will intercept http access matching the below permit lines
! it is sufficient to use ‘permit tcp any any eq www 443’ when split
! tunneling is not enabled
permit tcp any <network> <wildcard mask> eq www 443
!
no ip access-list extended auth_proxy_inbound_acl 
ip access-list extended auth_proxy_inbound_acl
remark --- Auth-Proxy Inbound ACL -----------
! Allow access to certain protcols
permit tcp 10.10.10.0 0.0.0.255 host 10.10.10.1 
permit udp any any eq domain
permit udp any any eq netbios-ns 
permit udp any any eq netbios-dgm 
permit udp any any eq 5445
permit tcp any any eq 5060 
permit tcp any any eq 5061 
permit tcp any any eq 2000 
permit tcp any any eq 2443 
permit udp any any eq tftp
! Block corporate subnets. If split tunneling is not enabled denying
! all traffic using
! "deny any any" is sufficient
deny ip any <network> wildcard mask>
! if split tunneling is enabled
permit ip any any
!
interface BVI1
ip access-group auth_proxy_inbound_acl in 
ip admission pxy
end

詳細管理とハイアベイラビリティ導入の手順

このセクションでは、詳細設定の更新と Cisco IOS ソフトウェアのアップグレードに必要なコンポーネントを、管理側に追加する方法について説明します。また、データ VPN トンネルの冗長性の追加方法についても説明します。

ヘッドエンドの分離

Cisco Virtual Office Express は、管理ヘッドエンドを VPN ヘッドエンドから切り離せるように設計されています。

ヘッドエンドを分離する理由は、リモート デバイスへのセキュア リンクをポリシー更新、イメージ管理、デバイスおよびユーザ認証で常に利用できるようにするためです。この設定により、データ チャネルでポリシーが変更された場合に接続が失われるのを防ぐことができます。

  • データ ヘッドエンド:クライアントからのデータ トンネルを終了します。設定例については、「データ サーバ設定」のセクションを参照してください。
  • 管理ヘッドエンド:管理トンネルを終了する SDP、CA、および VPN ヘッドエンド。設定例については、「管理サーバ設定」のセクションを参照してください。

フェールオーバー用の複数データ ヘッドエンド

プライマリ データ ヘッドエンドに障害が発生した場合のバックアップとしてデータ ヘッドエンドを追加できます。各バックアップ ヘッドエンドについて、新規バックアップ サーバごとに追加の peer コマンドが必要です。設定例は次のとおりです。

crypto ipsec client ezvpn data-vpn 
connect auto
mode client
peer 172.20.20.1 
peer 172.20.20.2 
peer 172.20.20.3 
virtual-interface 1

Cisco Configuration Engine

Cisco Configuration Engine では、自動化されたイベント主導方式により、設定ファイル(更新ファイル)をリモート デバイスにプッシュします。Configuration Engine は Cisco Networking Service 言語を理解し、スポーク ルータと通信します。また、企業ネットワークに接続されたすべてのスポークを追跡します。さらに、タスクを実行して、デバイス グループの IOS ソフトウェア イメージを自動的にアップグレードします。

Cisco Configuration Engine 3.0 は、Red Hat Enterprise Linux Version 4.0 上で実行するソフトウェア製品です。インストールの詳細については、http://www.cisco.com/en/US/docs/net_mgmt/configuration_engine/3.0/installation/guide/CE_3_ig_install.html [英語] を参照してください。

図 3 に、追加コンポーネントを含む Cisco Virtual Office Express の設計を示します。

図 3 拡張された Cisco Virtual Office Express の設計

図 3 拡張された Cisco Virtual Office Express の設計
※画像をクリックすると、大きな画面で表示されますpopup_icon


継続的な管理

Cisco IOS ソフトウェアの詳細設定とイメージ更新

Cisco Configuration Engine では、デバイス固有の設定変更を生成し、それをデバイスに送信して設定を変更し、結果をログに記録することで、設定更新を自動的に行います。次の手順で、プロセス自体について簡単に説明します。最初のステップは、デバイスを Cisco Configuration Engine に接続した際のデバイス検出です。デバイスを更新できるのは、そのデバイスを CE に追加した場合に限られます。

Cisco Configuration Engine で更新を行う前に、次の Cisco Networking Service コマンドがリモート デバイスに設定されており、Cisco Configuration Engine の使用が指定されていることを確認してください。

ip host cvoexpress-ce 10.1.1.1
cns trusted-server all-agents cvoexpress-ce 
cns event cvoexpress-ce source bv1
cns config partial cvoexpress-ce source bv1 
cns exec source bv1
cns image server http://cvoexpress-ce/cns/HttpMsgDispatcher status
http://cvoexpress-ce/cns/HttpMsgDispatcher
  1. Graphical User Interface(GUI; グラフィカル ユーザ インターフェイス)にログインしてデバイスを検出します。
    1. [Devices] > [Discover Device] を選択します。
    2. 追加するデバイスを選択します。
b. 追加するデバイスを選択します。

※画像をクリックすると、大きな画面で表示されますpopup_icon


2. ルータ更新用の設定テンプレートを作成します。

    a. [Tools] > [Template Manager] > [Add Template] を選択します。

    b. テンプレートの種類(.cfgtpl)と名前を選択します。

    c. テンプレートの内容を入力します。テンプレートの内容はルータ上で実行されます。

c. テンプレートの内容を入力します。テンプレートの内容はルータ上で実行されます。

※画像をクリックすると、大きな画面で表示されますpopup_icon


3. 設定ファイルを更新します。

    a. [Device] > [Update Device] > [Update Config] を選択します。

    b. 設定を更新するデバイスを選択して、[Submit] をクリックします。

b. 設定を更新するデバイスを選択して、[Submit] をクリックします。

※画像をクリックすると、大きな画面で表示されますpopup_icon


    c. 通知を送信する場合は、[Send Notification] チェックボックスをオンにします。[Next] をクリックします。

    d. スタティック設定ファイルを選択し、ルータにプッシュするテンプレートを選択します。テキスト ボックスに Command-Line Interface(CLI; コマンドライン インターフェイス)コマンドを入力し、[Send Config] を選択することもできます。

d. スタティック設定ファイルを選択し、ルータにプッシュするテンプレートを選択します。テキスト ボックスに Command-Line Interface(CLI; コマンドライン インターフェイス)コマンドを入力し、[Send Config] を選択することもできます。

※画像をクリックすると、大きな画面で表示されますpopup_icon


    e. [If devices are not connected yet, send out triggers again after device connected for 1 minutes] がイネーブルになっていることを確認します。このオプションをオンにすると、ルータがオフラインの場合、ルータを接続してすぐに設定が更新されるようになります。

    f. フォームを完了して、[Update] をクリックします。

4. アップグレードのステータスを確認します。

    a. [Jobs] > [Query Jobs] を選択します。

    b. 作成した設定更新に関連付けるジョブを選択します。

    Cisco Configuration Engine は、ジョブのステータスおよびエラーが発生した場合、エラー メッセージを表示します。

Cisco Configuration Engine は、ジョブのステータスおよびエラーが発生した場合、エラー メッセージを表示します。

※画像をクリックすると、大きな画面で表示されますpopup_icon


Cisco Configuration Engine を使用したイメージの更新

Cisco Configuration Engine は、リモート ルータを最新の Cisco IOS ソフトウェアに更新します。Configuration Engine を使用した IOS イメージのアップグレードについては、『Cisco Configuration Engine Administration Guide』を参照してください。

設定例

次に、管理ヘッドエンドとデータ ヘッドエンドを分離した場合の設定例を示します。強調表示されているフィールドは、動作環境に合わせて適切な値に置き換えてください。次の設定例は、Cisco 871 プラットフォームをモデルにしたものです。

スポーク テンプレート設定

username <username> privilege 15 secret 0 <password>
enable secret 0 <enable-password>
vlan 20
state active 
vlan 11
state active 
bridge irb 
int vlan20 
int vlan 1
bridge-group 1 
exit
bridge 1 route ip
!
service password-encryption 
password encryption aes
!
!!! Use your timezone here 
clock timezone PST -8
clock summer-time PDT recurring
!
ip domain name <domain>
ntp server <ntp-server-ip>
!
hostname $n 
aaa new-model
aaa authentication login default local 
aaa authorization exec default local
crypto pki trustpoint $l
enrollment url http://<CA-server-ip-address>:8000 
rsakeypair $k $s
serial-number
!!! The OU field MUST be set to the ezvpn group name. 
subject-name OU= easyvpn-group
revocation-check none 
password none
ip-address none 
auto-enroll 70
$c
crypto pki enroll $l
crypto isakmp keepalive 20 5 
crypto isakmp nat keepalive 20
aaa session-id common
interface Virtual-Template1 type tunnel 
description Management Virtual-Tunnel 
no ip address
tunnel mode ipsec ipv4
interface Virtual-Template2 type tunnel
description Corporate data-traffic Virtual-Tunnel 
no ip address
tunnel mode ipsec ipv4
ip cef
no ip dhcp use vrf connected
!! Management server config !!
crypto ipsec client ezvpn mgmt 
connect auto
mode client
peer <mgmt-server-ip>
virtual-interface 1
!! Data server config !!
crypto ipsec client ezvpn soho 
connect auto
mode client
peer <data-server-ip>
virtual-interface 2
!! Corporate address pool !!
no ip dhcp pool sdm-pool 
ip dhcp pool client
import all
dns-server <dns-server-ip>
domain-name <domain>
network 10.10.10.0 255.255.255.0 
default-router 10.10.10.1
option 150 ip <corporate-tftpserver-for-callManager>
!! Guest address pool !!
ip dhcp pool guest 
import all
network 192.168.20.0 255.255.255.0 
default-router 192.168.20.1
dns-server <guest-dns-ip>
!! Voice VLAN address pool!!
ip dhcp pool voice 
import all
network 10.20.20.0 255.255.255.248 
dns-server <dns-server-ip>
default-router 10.20.20.1
option 150 ip <corporate-tftpserver-for-callManager>
!! Firewall Rules!!
!
no ip inspect name DEFAULT100 
ip inspect name firewall tcp 
ip inspect name firewall udp
ip inspect name firewall realaudio 
ip inspect name firewall rtsp
ip inspect name firewall tftp 
ip inspect name firewall ftp 
ip inspect name firewall h323
ip inspect name firewall netshow
ip inspect name firewall streamworks 
ip inspect name firewall esmtp
ip inspect name firewall sip
ip inspect name firewall skinny 
ip inspect name firewall sip-tls
cdp run
ip access-list extended allow_skinny_acl 
permit udp any any range bootps bootpc 
permit udp any any eq domain
permit udp any any eq tftp 
permit tcp any any eq 2000
permit udp any any range 24576 24656 
permit udp any any eq 5445
permit udp any any range 2326 2373
permit tcp any host <Directory-services-ip> eq www 
permit tcp any host <other-phone-services> eq www
.
.
deny	ip any any log
interface FastEthernet0 
spanning-tree portfast 
switchport voice vlan 11 
cdp enable
!
interface FastEthernet1 
spanning-tree portfast 
switchport voice vlan 11 
cdp enable
!
interface FastEthernet2 
switchport access vlan 20 
spanning-tree portfast 
switchport voice vlan 11 
cdp enable
!
interface FastEthernet3 
switchport access vlan 20 
spanning-tree portfast 
switchport voice vlan 11 
cdp enable
interface FastEthernet4
description *** Outside - WAN side - Interface***
!! enter here the correct ISP ip address if not using dhcp !!
ip nat outside
ip access-group fw_acl in 
ip virtual-reassembly 
duplex auto
speed auto
crypto ipsec client ezvpn soho outside 
crypto ipsec client ezvpn mgmt outside
!! Corporate Vlan !!
interface Vlan1
description Corporate Access
no ip address
no ip access in 
no autostate 
bridge-group 1
bridge-group 1 spanning-disabled
!! Guest Vlan !!
interface Vlan20 
description Guest Access
ip address 192.168.20.1 255.255.255.0 
ip inspect firewall in
no ip access in 
no autostate
ip nat inside
!!! Inspection for the voice Vlan 
ip inspect name voice skinny
ip inspect name voice sip
ip inspect name voice sip-tls 
ip inspect name voice h323
ip inspect name voice tft 
ip inspect name voice dns
!!Voice Vlan!!
interface Vlan11 
description Voice VLAN
ip address 10.20.20.1 255.255.255.0 
ip nbar protocol-discovery
ip access-group allow_skinny_acl in 
ip inspect voice in
no autostate
crypto ipsec client ezvpn soho inside 
crypto ipsec client ezvpn mgmt inside
interface BVI1
description Corporate Access
ip address 10.10.10.1 255.255.255.0
no ip redirects
no ip unreachables 
ip proxy-arp
ip nbar protocol-discovery 
ip nat inside
ip inspect firewall in 
ip virtual-reassembly 
ip tcp adjust-mss 1360
crypto ipsec client ezvpn soho inside
crypto ipsec client ezvpn mgmt inside
no access 1
no access 23
no access 100
no access 101
no ip http access-class
!
ip access-list extended nat_acl
permit ip 192.168.20.0 0.0.0.255 any
no ip nat inside source list 1 interface FastEthernet4 overload
ip nat inside source list nat_acl interface FastEthernet4 overload
!
ip access-list extended fw_acl 
permit esp any any
permit udp any any eq isakmp 
permit udp any eq isakmp any
permit udp any eq non500-isakmp any
permit udp host <NTP-server-IP> eq ntp any 
permit udp any any eq bootpc
permit udp any any eq domain 
permit icmp any any
permit tcp host <CA-server-ip> any 
deny ip any any
!! Policy-based routing configured to support guest vlan !!
ip access-list extended guest_acl
permit ip 192.168.20.0 0.0.0.255 any
route-map policy_route_map permit 10 
match ip address guest_acl
set ip next-hop dynamic dhcp
int vlan 20
ip policy route-map policy_route_map
ip tftp source-interface bvi1
!
crypto pki enroll $l 
end

管理サーバ設定

hostname mgmt_hub
!
enable secret 0 <enable-password>
!
ip http server 
aaa new-model
!
aaa authentication login default local 
aaa authorization network default local
!
interface GigabitEthernet0/0
description *** Outside - WAN side - Interface***
ip address <<WAN-ip-address> <netmask>
no shut
ip virtual-reassembly 
duplex auto
speed auto
no ip access-group in
!
ip route 0.0.0.0 0.0.0.0 <default-gateway>
!
no ip http access-class
!
!!! Please use your time-zone 
clock timezone PST -8
clock summer-time PDT recurring
!
ntp server <NTP-server-ip>
!
!
crypto pki trustpoint hub_cert
enrollment url http://<WAN-ip-address>:8000 
serial-number
ip-address none 
password none
rsakeypair ca-server 1024
!
ip domain name <domain>
!
username <username> privilege 15 password <password>
!
service password-encryption 
password encryption aes
!! SDP Server config !!
crypto provisioning registrar 
pki-server sdp-server
template http welcome <sdp-template-page-locations>
.
.
template config <location of template config>
authentication list default 
authorization list default
!
crypto isakmp policy 1 
encr aes 256
group 2
crypto isakmp keepalive 10
!
!! VPN Server config !!
crypto isakmp client configuration group vpn-group 
dns <dns-server>
domain <domain> 
pool easyvpn-pool 
acl mgmt_acl
crypto isakmp profile prof 
ca trust-point hub_cert
match identity group vpn-group 
isakmp authorization list default 
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set ipsec-xform esp-aes 256 esp-sha-hmac
!
crypto ipsec profile ipsec-profile 
set transform-set ipsec-xform
!
interface Virtual-Template1 type tunnel
description Corporate data-traffic Virtual-Tunnel 
ip unnumbered GigabitEthernet0/0
ip virtual-reassembly 
tunnel mode ipsec ipv4
tunnel protection ipsec profile ipsec-profile
!
!
ip local pool easyvpn-pool <corporate-routable-address-range>
!
ip access-list extended mgmt_acl
permit ip <mgmt-subnet> <wildcard-mask> any
!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!Please issue a "sh ntp status" command at this point. Wait	!!!
!!!until the output shows "Clock is synchronized" and then !!!
!!!proceed	!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!! CA Server config !!
crypto pki server ca-server
database archive pkcs12 password abc12345 
database level complete
grant auto trustpoint hub_cert 
auto-rollover 3
issuer-name cn=test, o=cisco 
no shut
!!! Please wait for the server to get enabled !!!
ip http secure-server 
ip http port 8000
ip http secure-trustpoint hub_cert
crypto pki authenticate hub_cert 
yes
!
crypto pki enroll hub_cert
!
end

データ サーバ設定

hostname data_hub
!
enable secret 0 <enable-password>
!
aaa new-model
!
aaa authentication login default local 
aaa authorization network default local
!
!
interface GigabitEthernet0/0
description *** Outside - WAN side - Interface 
ip address <<WAN-ip-address> <netmask>
no shut
ip virtual-reassembly 
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 <default-gateway>
!
!!! Please use your time-zone 
clock timezone PST -8
clock summer-time PDT recurring
!
ntp server <NTP-server-ip>
!
crypto pki trustpoint hub_cert
enrollment url http://<CA-server-ip-address>:8000 
serial-number
ip-address none 
password none 
revocation-check crl
!
!
username <username> privilege 15 password <password>
!
crypto isakmp policy 1 
encr aes 256
group 2
crypto isakmp keepalive 10
!
!! VPN Config
crypto isakmp client configuration group <group-name>
dns <dns-server> 
domain <domain> 
pool easyvpn-pool
!
crypto isakmp profile prof
ca trust-point hub_cert
match identity group vpn-group 
isakmp authorization list default 
client configuration address respond 
virtual-template 1
!
!
crypto ipsec transform-set ipsec-xform esp-aes 256 esp-sha-hmac
!
crypto ipsec profile ipsec-prof 
set transform-set ipsec-xform
!
!
interface Virtual-Template1 type tunnel
description Corporate data-traffic Virtual-Tunnel 
ip unnumbered FastEthernet4
ip virtual-reassembly 
tunnel mode ipsec ipv4
tunnel protection ipsec profile ipsec-prof
!
ip local pool easyvpn-pool <corporate-routable-address-range>
!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!Please issue a "sh ntp status" command at this point. Wait	!!!
!!!until the output shows "Clock is synchronized" and then !!!
!!!proceed	!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
crypto pki authenticate hub_cert 
yes
!
crypto pki enroll hub_cert 
end

CA サーバは自動割り当てモードではないため、CA サーバ(この場合は管理ハブ)に移動し、手動で証明書を割り当てる必要があります。

mgmt_hub#crypto pki server ca-server grant all

インストール前のチェックリスト

表 1 は、Cisco Virtual Office Express をインストールする前に入手しておくべき情報をまとめたものです。表に記載された値や質問は、前例を使用した設定の準備や VPN の設定プロセスを迅速に行う場合に役立ちます。

表 1 インストール前のチェックリスト

会社固有の情報
ドメイン名
DNS サーバの IP アドレス
NTP サーバの IP アドレス
時間帯
Call Manager TFTP サーバの IP アドレス
VPN ヘッドエンド情報
プラットフォーム
WAN IP アドレス、マスク、およびデフォルト ゲートウェイ
テンプレート設定の保存場所
管理サーバのルーティング可能なサブネット(start end)
Cisco Configuration Engine(はい/いいえ)
Cisco Configuration Engine の IP アドレス
Cisco Configuration Engine のホスト名
スポーク ルータ
プラットフォーム
スプリット トンネリング(はい/いいえ)
企業データ サブネット
管理サブネット
ワイヤレス(はい/いいえ)
SSID
AAA 認証(はい/いいえ)
AAA サーバの IP アドレス
AAA 共有キー
認証ポートと課金ポート
IEEE 802.1x(はい/いいえ)
バックアップ Call Manager TFTP サーバの IP アドレス
ディレクトリ サービス IP
電話サービス IP
認証プロキシ(はい/いいえ)

参考資料

詳細については、次のリソースを参照するか、シスコの営業担当までお問い合わせください。