RVシリーズルータとASA 5500シリーズ適応型セキュリティアプライアンス間のサイト間VPNトンネルの設定
目的
セキュリティは、ビジネスの継続性を確保し、企業リソースにいつでもどこからでもアクセスできる必要がある従業員に対して企業の職場を拡張する機能を提供しながら、ビジネスの知的財産を保護するために不可欠です。
VPNセキュリティソリューションは、中小企業にとってますます重要になっています。VPNは、グローバルインターネットなどのパブリックネットワークインフラストラクチャ内に構築されるプライベートネットワークです。VPNは、地理的に離れたオフィス間でプライベートネットワークを拡張します。すべての機能を備えたプライベートネットワークに不可欠な要素であるため、ホストコンピュータはパブリックネットワークを介してデータを送受信できます。VPNは、分散型組織のセキュリティを強化し、ネットワークを犠牲にすることなくスタッフが異なるサイトから簡単に作業できるようにします。VPNを使用する動機は、組織のコミュニケーションの一部とコミュニケーションの経済性を「仮想化」するための要件です。
さまざまなVPNトポロジがあります。ハブアンドスポーク、ポイントツーポイント、およびフルメッシュ。このヒントでは、サイト間(ポイントツーポイント)VPNについて説明します。このVPNは、インターネットベースのインフラストラクチャを提供し、ネットワークリソースをリモートオフィス、ホームオフィス、およびビジネスパートナーサイトに拡張します。サイト間のすべてのトラフィックはIP Security(IPsec)プロトコルを使用して暗号化され、ルーティング、Quality of Service(QoS)、マルチキャストサポートなどのネットワーク機能が統合されます。
Cisco RVシリーズルータは、コスト意識の高い小規模企業に、堅牢で管理が容易なVPNソリューションを提供します。Cisco ASA 5500シリーズ適応型セキュリティアプライアンスは、セキュリティと生産性のバランスを取るのに役立ちます。業界で最も導入されているステートフルインスペクションファイアウォールと、次のような包括的な次世代ネットワークセキュリティサービスを組み合わせています。アプリケーションやマイクロアプリケーション、webセキュリティ、侵入防御システム(IPS)、安全性の高いリモートアクセスなどの可視性と詳細な制御
このショートガイドでは、RVシリーズルータとASA 5500シリーズ適応型セキュリティアプライアンスの間にサイト間IPsec VPNを構築する設計の例を説明し、設定例を示します。
該当するデバイス
・ Cisco RV0xxシリーズVPNルータ
•Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス
[Software Version]
・ 4.2.2.08 [Cisco RV0xxシリーズVPNルータ]
事前設定
次の図は、RVシリーズルータ(リモートサイト)とASA 5500(本社)を使用したサイト間VPNトンネルの実装例を示しています。
この設定により、122.166.12.xのリモートサイトネットワーク内のホストと、本社のVLAN 1内のホストが互いに安全に通信できます。
主な特長
ンターネット キー交換(IKE)
Internet Key Exchange(IKE;インターネットキーエクスチェンジ)は、IPsecプロトコルスイートでセキュリティアソシエーション(SA)をセットアップするために使用されるプロトコルです。IKEはOakleyプロトコルとInternet Security Association and Key Management Protocol(ISAKMP)に基づいて構築され、Diffie-Hellman(DH)キー交換を使用して共有セッションシークレットを設定し、そこから暗号キーを取得します。各ピアのセキュアポリシーは、手動で維持する必要があります。
IPSec(Internet Protocol Security)
IPsecは、暗号化セキュリティサービスを使用して、インターネットプロトコル(IP)ネットワーク上の通信を保護します。IPsecは、ネットワークレベルのピア認証、データ発信元の認証、データ整合性、データの機密性(暗号化)、およびリプレイ保護をサポートします。IPSecには、多くのコンポーネントテクノロジーと暗号化方式が含まれています。ただし、IPSecの動作は、次の5つの主要なステップに分けることができます。
ステップ1:「対象トラフィック」がIPSecプロセスを開始します。IPSecピアで設定されたIPSecセキュリティポリシーがIKEプロセスを開始すると、トラフィックは対象トラフィックと見なされます。
ステップ2:IKEフェーズ1:IKEはこのフェーズでIPSecピアを認証し、IKE SAをネゴシエートし、フェーズ2でIPSec SAをネゴシエートするためのセキュアチャネルを設定します。
ステップ3:IKEフェーズ2:IKEはIPSec SAパラメータをネゴシエートし、ピア内で一致するIPSec SAを設定します。
ステップ4:データ転送:IPSecパラメータとSAデータベースに保存されているキーに基づいて、IPSecピア間でデータが転送されます。
ステップ5:IPSecトンネルの終端 – IPSec SAは、削除またはタイムアウトによって終端します。
ISAKMP
Internet Security Association and Key Management Protocol(ISAKMP)は、2つのエンドポイント間のトンネルをネゴシエートするために使用されます。 認証、通信、およびキー生成の手順を定義し、IKEプロトコルによって暗号化キーを交換し、セキュアな接続を確立するために使用されます。
設計のヒント
VPNトポロジ:サイト間VPNでは、すべてのサイトと他のすべてのサイトの間にセキュアなIPsecトンネルが設定されます。マルチサイトトポロジは通常、サイト間VPNトンネルのフルメッシュとして実装されます(つまり、すべてのサイトが他のすべてのサイトへのトンネルを確立しています)。 リモートオフィス間で通信が不要な場合、ハブスポークVPNトポロジを使用してVPNトンネルの数を減らします(つまり、各サイトが本社にのみVPNトンネルを確立します)。
WAN IPアドレッシングとDDNS:2つのパブリックIPアドレス間でVPNトンネルを確立する必要があります。WANルータがインターネットサービスプロバイダー(ISP)からスタティックIPアドレスを受信する場合、スタティックなパブリックIPアドレスを使用してVPNトンネルを直接実装できます。ただし、ほとんどの小規模企業は、DSLやケーブルモデムなどのコスト効率の高いブロードバンドインターネットサービスを使用し、ISPからダイナミックIPアドレスを受信します。このような場合、DDNSを使用して、ダイナミックIPアドレスを完全修飾ドメイン名(FQDN)にマッピングできます。
LAN IPアドレッシング:各サイトのプライベートLAN IPネットワークアドレスは重複しないようにしてください。各リモートサイトのデフォルトLAN IPネットワークアドレスは、常に変更する必要があります。
VPN認証:VPNトンネルの確立時にVPNピアを認証するためにIKEプロトコルが使用されます。さまざまなIKE認証方式が存在し、事前共有キーが最も便利な方式です。シスコでは、強力な事前共有キーの適用を推奨しています。
VPN暗号化:VPN経由で転送されるデータの機密性を確保するために、暗号化アルゴリズムを使用してIPパケットのペイロードを暗号化します。DES、3DES、およびAESは、3つの一般的な暗号化規格です。AESは、DESおよび3DESと比較して最も安全であると考えられています。シスコでは、AES-128ビット以上の暗号化(AES-192やAES-256など)を適用することを強く推奨しています。 ただし、暗号化アルゴリズムが強いほど、必要な処理リソースが多くなります。
設定のヒント
設定前チェックリスト
ステップ1:ASAとRVルータの両方がインターネットゲートウェイ(ISPルータまたはモデム)に接続されていることを確認します。
ステップ2:Cisco RVルータをオンにしてから、内部PC、サーバ、およびその他のIPデバイスをLANスイッチまたはRVルータのスイッチポートに接続します。
ステップ3:ASAの背後にあるネットワークについても同じ手順を実行します。手順4:LAN IPネットワークアドレスが各サイトで設定され、無関心なサブネットであることを確認します。この例では、本社のLANは192.168.10.0/24,andを使用し、リモートサイトのLANは122.166.12.0/24を使用しています。
ステップ4:ローカルPCとサーバが相互に、およびルータと通信できることを確認します。
WAN接続の特定
ISPがダイナミックIPアドレスを渡しているか、スタティックIPを受信しているかを確認する必要があります。通常、ISPはダイナミックIPを提供しますが、設定を完了するには、これを確認する必要があります。
リモートオフィスでのRV042Gの設定
ステップ1:Web UIにログインし、[VPN] > [Gateway to Gateway]セクションに移動します。LAN-to-LAN接続を追加するため、エンドポイントは各ネットワークのゲートウェイになります。
手順2.ルータのローカルおよびリモートエンドポイントの設定
a)トンネル名を設定して、すでに設定した他のトンネルから識別します。
b) Local Group Setupは、VPNトンネルで許可されるローカルホストを設定します。トンネル上で許可するネットワークのサブネットとマスクが正しいことを確認します。
C)リモートグループセットアップは、ルータが検索するリモートエンドポイントとネットワークトラフィックを設定します。 [ゲートウェイIPアドレス(gateway IP address)]フィールドに接続を確立するために、リモートゲートウェイのスタティックIPを入力します。 次に、リモートサイト(本社のLAN)からVPNで許可されるサブネットを入力します。
ステップ3:トンネルの設定を行います。
a)最適な結果を得るために、事前共有キーを設定します。
フェーズ1とフェーズ2は認証の異なるフェーズで、フェーズ1は初期トンネルを作成してネゴシエーションを開始し、フェーズ2は暗号化キーネゴシエーションを終了し、トンネルが確立されるとデータ送信を保護します。
b) DHグループは、ASAのcrypto isakmp policy groupに対応します。これについては次のセクションで説明します。 ASAでは、デフォルトはグループ2で、新しいバージョンのASAコードには少なくともDHグループ2が必要です。その代わりに、DHグループ2の方が高く、CPU時間が長くなります。
c)フェーズ1暗号化は、使用される暗号化アルゴリズムを定義します。 RVシリーズのデフォルトはDESですが、ASAのデフォルトは3DESです。ただし、これらは古い標準であり、現在の実装では効率的ではありません。 AES暗号化は高速で安全性が高く、シスコでは最良の結果を得るために少なくともAES-128(または単にAES)を推奨しています。
d)フェーズ1認証でパケットの整合性を確認します。 オプションはSHA-1とMD5で、どちらも同じ結果を生成するので動作します。
フェーズ2の設定は、フェーズ1と同じルールに従います。 IPSecの設定を行う際には、ASAの設定がRV042Gの設定と一致する必要があることに注意してください。不一致がある場合、デバイスは暗号化キーをネゴシエートできず、接続は失敗します。
注:このページから移動する前に、設定を保存してください。
本社(CLI)でのASA 5500の設定
注:設定の損失を避けるために、「write mem」コマンドを頻繁に使用するようにしてください。最初に、ASAで設定したインターフェイスを示します。 設定が異なる場合があるため、設定を適宜変更してください。
ステップ1:暗号化管理(ISAKMP)の設定
最初のステップは、トンネルの暗号化をネゴシエートするために使用されるISAKMPポリシーを設定することです。 この設定は、両方のエンドポイントで同一である必要があります。 ここでは、RV設定のフェーズ1に一致するように暗号化設定を設定します。
ステップ2:トラフィックの選択
これは、RV042Gのローカルおよびリモートセキュリティグループ(RSG)と同じです。ASAでは、アクセスリストを使用して、ネットワークがVPNで許可する「対象トラフィック」と見なす内容を定義します。
まず、リモートサイトとローカルサイトのネットワークオブジェクトを設定します。
次に、次のオブジェクトを使用するようにアクセスリストを設定します。
または、サブネット自体を使用することもできますが、大規模な実装では、オブジェクトとオブジェクトグループを使用する方が簡単です。
ステップ3:IPSecトンネル設定(フェーズ2認証)
ここでは、「トランスフォームセット」と、フェーズ2認証を設定するトンネルグループを設定します。 フェーズ2をフェーズ1と異なるように設定すると、異なるトランスフォームセットが作成されます。 esp-aesは暗号化を定義し、esp-sha-hmacはハッシュを定義します。
tunnel-groupコマンドは、事前共有キーなどの接続固有のトンネル情報を設定します。 トンネルグループ名としてリモートピアのパブリックIPを使用します。
ステップ4:暗号マップの設定
次に、フェーズ1とフェーズ2の設定を「クリプトマップ」に適用し、ASAがVPNを確立して正しいトラフィックを送信できるようにする必要があります。 これは、VPNの一部を結び付けるものと考えてください。
ステップ5:VPNステータスを確認する
最後に、エンドポイントを確認して、VPN接続がアップして動作していることを確認します。 接続は単独では確立されません。ASAがトラフィックを検出して接続の確立を試行できるように、トラフィックを渡す必要があります。ASAでコマンド「show crypto isakmp」を使用してステータスを表示します。
RV42Gで[VPN] > [Summary]ページに移動し、[Status]を確認します。
代替シナリオ:ネットワーク上の複数のサブネット
慌てないでください。これは、ネットワークをセットアップする際に非常に複雑なプロセスのように思えますが、上記のハードパーツはすでに完了しています。複数のサブネットに対してVPNを設定するには、追加の設定が必要ですが、追加の複雑さはほとんどありません(サブネット方式が広範囲に及ばない場合を除く)。 このセクションで使用した例では、各サイトで2つのサブネットを使用しています。更新されたネットワークトポロジは非常によく似ています。
RV042Gの設定
前と同様に、まずRV042Gを設定します。RV042Gは1つのトンネルで複数のサブネットを設定できないため、新しいサブネットにエントリを追加する必要があります。このセクションでは、複数のサブネットのVPN設定のみを取り上げ、追加のセットアップ設定は取り上げません。
ステップ1:最初のトンネルの設定
単一サブネットの例と同じ設定を各トンネルに使用します。 以前と同様に、[VPN] > [Gateway to Gateway]に移動して新しいトンネルを追加するか、既存のトンネルを使用している場合は[VPN] > [Summary]ページに移動し、既存のトンネルを編集します。
a)トンネル名を設定します。ただし、複数の変更があるため、名前をより分かりやすいように変更します。
b)次に、前と同じようにローカルグループを設定します。 これは、アクセスが必要なサブネットの1つだけに設定します。 122.166.12.x用のトンネルエントリと122.166.13.xサブネット用のトンネルエントリがあります。
c)次に、上記と同じ手順を使用して、リモートサイトを設定します。
d)最後に、暗号化設定を行います。 これらの設定は、設定する両方のトンネルで同じにする必要があるので注意してください。
ステップ2:2番目のトンネルの設定
サブネット1がVPNトンネル用に設定されたら、[VPN] > [Gateway to Gateway]に移動し、2つ目のトンネルを追加する必要があります。 この2番目のエントリは、最初のエントリとほぼ同じように設定されますが、各サイトのセカンダリサブネットを使用します。
a)その名前を明確に指定して、どの接続であるかを確認します。
b)2番目のサブネットを「ローカルセキュリティ」グループとして使用します。
C)2番目のリモートサブネットを「リモートセキュリティ」グループとして使用します。
d)フェーズ1および2の暗号化を、最初のトンネルと同じように設定します。
ASAの設定
次に、ASAの設定を変更します。 この設定は非常にシンプルです。 上記と同じ設定を使用できます。これは、同じ暗号化設定がすべて使用され、小規模な変更のみであるためです。 ファイアウォールがVPN経由で送信するには、追加のトラフィックを「対象」としてタグ付けする必要があります。 対象トラフィックを識別するためにアクセスリストを使用するため、必要なのは、このアクセスリストを変更するだけです。
ステップ 1: 最初に、古いアクセスリストを削除して、ASA内のオブジェクトを変更できるようにします。 CLIで設定を削除するには、コマンドの「no」形式を使用します。
ステップ 2: ACLを削除したら、関係する新しいサブネットの新しいオブジェクトを作成します(これらのサブネットの設定で新しいオブジェクトを作成していない場合)。 さらに、より分かりやすいものにしたいと思います。
次のVLAN設定に基づく。
メイン内部ネットワーク(192.168.10.x)とエンジニアリングネットワーク(192.168.20.x)のオブジェクトグループが必要です。 次のようにネットワークオブジェクトを設定します。
ステップ 3: 関連するネットワークオブジェクトが設定されたので、適切なトラフィックにタグを付けるようにアクセスリストを設定できます。 両方のリモートサブネットに対して、ASAの背後にある両方のネットワークのアクセスリストエントリがあることを確認します。 最終的な結果は次のようになります。
ステップ 4: ここで、古いアクセスリストを削除したので、前と同じコマンドを使用して、クリプトマップに再適用する必要があります。
接続の検証
それだ!トンネルが動作している必要があります。接続を開始し、ASAで「show crypto isakmp」コマンドを使用してステータスを確認します。
RVシリーズでは、[VPN] > [Summary]ページにステータスが表示されます。
フィードバック