セキュリティはビジネスの知的 財産を保護して必要で会社リソースにまたビジネス継続を確認して間、いつでも必要とする従業員に団体仕事場を伸ばす機能を、どこでもアクセス提供します。
VPN セキュリティソリューションは中小企業 会社のためにより重要になっています。 VPN はグローバル インターネットのようなパブリックネットワークインフラストラクチャの内で、組み立てられるプライベート ネットワークです。 VPN は地理的に別々のオフィスの場所間のプライベート ネットワークを拡張します。 それはそれらがすべての機能性のプライベート ネットワークの統合部分だったのでパブリックネットワークを渡るデータを送信 し、受け取ることをホストコンピュータが可能にします。 VPN は分散組織のために担当者が異なるサイトからネットワークを妥協しないではたらくことができるようにもっと簡単にするセキュリティを強化します。 VPN を使用する動機づけは必要条件「仮想化します」組織の通信の部分および通信の経済学をです。
異なる VPN トポロジーがあります: ハブ & スポーク、ポイントツーポイントおよびフル メッシュ。 このスマートな助言はリモートオフィス、家庭内オフィスおよび共同経営者 サイトにネットワークリソースを拡張するためにインターネット ベース インフラストラクチャを提供するサイト間の(ポイントツーポイント) VPN をカバーします。 サイト間のすべてのトラフィックは IP Security (IPSec) プロトコルを使用して暗号化され、ルーティング、サービス品質(QoS)およびマルチキャスト サポートのようなネットワーク機能は統合されています。
Cisco RV シリーズ ルータはコスト意識があるスモール ビジネス 会社に強く、容易に管理された VPN ソリューションを提供します。 生産性のセキュリティのバランスをとる Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス ヘルプ組織。 それは下記のものを含んでいる広範囲の次世代ネットワークセキュリティサービスと業界でもっとも な展開されたステートフルインスペクションファイアウォールを結合します: アプリケーションの表示および粒状制御およびマイクロ アプリケーション、Web セキュリティ、侵入防御システム(IPS)、非常にセキュア リモート アクセス、および他。
この短いガイドは RV シリーズ ルータと ASA 5500 シリーズ適応性があるセキュリティ アプライアンス間のサイト間のIPSec VPN を構築するための設計の例を記述し、設定例を提供します。
• Cisco RV0xx シリーズ VPN ルータ
• Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス
• 4.2.2.08 [Cisco RV0xx シリーズ VPN ルータ]
次のイメージは RV シリーズ ルータ(リモートサイト)および ASA 5500 (主要なオフィス)を使用してサイト間VPN トンネルのサンプル実装を示します。
この設定を使って 122.166.12.x のリモートサイトネットワークのホストおよび主要なオフィスが安全に互いに伝えることができる VLAN 1at のホスト。
インターネット キー エクスチェンジ(IKE)は IPSecプロトコル スイートの Security Association (SA)を設定するのに使用されるプロトコルです。 Oakley プロトコルおよび Internet Security Association and Key Management Protocol(ISAKMP)の IKE ビルドは、および Diffie-Hellmanキー交換を暗号化キーが得られる共用セッション シークレットを設定するのに使用します。 各ピアのためのセキュア ポリシーは手動で維持する必要があります。
IPsec は暗号セキュリティ サービスをインターネット プロトコル(IP) ネットワーク上の通信を保護するのに利用します。 IPSecサポート ネットワークレベルのピア 認証、データ元の認証、データ統合、データの機密保持(暗号化)、およびリプレイ 保護。 IPSec は多くのコンポーネント テクノロジーおよび暗号化の方法を含みます。 けれども IPSec のオペレーションは 5 主要な手順分割することができます:
ステップ 1."は関連 トラフィック」IPSec プロセスを開始します- IPSec ピアで設定される IPsec セキュリティ ポリシーが IKE プロセスを開始するときトラフィックは関連した考えられます。
ステップ 2. IKE フェーズ 1 - IKE は IPSec ピアを認証し、フェーズ 2.のネゴシエート IPSec SA のためのセキュア チャネルを設定するこのフェーズの間に IKE SA をネゴシエートします。
ステップ 3. IKE フェーズ 2 - IKE は IPSec SA パラメータをネゴシエートし、同位の一致する IPSec SA を設定しました。
ステップ 4.データ転送-データは IPSecパラメータに基づいて SA データベースで保存される IPSec ピアとキーの間で転送されます。
ステップ 5. IPSecトンネル 終了- IPSec SA は削除によってまたはタイミングによって終わります。
Internet Security Association and Key Management Protocol(ISAKMP)が 2 つのエンドポイント間のトンネルをネゴシエートするのに使用されています。 認証、通信およびキーマネージメントにおける手順を定義し、IKE プロトコルによって暗号化キーを交換し、信頼できる接続を確立することを使用します。
VPN トポロジー—サイト間VPN によって、保護された IPSecトンネルは各サイトとその他すべてのサイトの間で設定されます。 マルチサイト トポロジーは通常サイト間VPN のフル メッシュがトンネル伝送すると同時に設定されます(すなわち、各サイトにその他すべてのサイトに確立されたトンネルがあります)。 通信がリモートオフィス間で必要ではない場合 VPN トンネルの数を減らすのに、ハブ スポーク VPN トポロジーが使用されています(すなわち、各サイトは主要なオフィスにだけ VPN トンネルを確立します)。
WAN IP アドレッシングおよび DDNS — VPN トンネルは 2 公共 IP アドレスの間で確立される必要があります。 WAN ルータがインターネットサービスプロバイダー (ISP)から静的な IP アドレスを受け取る場合、VPN トンネルは静的な公共 IP アドレスを使用して直接設定することができます。 ただし、ほとんどのスモール ビジネスは DSL またはケーブルモデムのような費用効果が高く ブロードバンド な インターネットサービスを利用し、ISP からダイナミック IP アドレスを受け取ります。 このような場合、DDNS が完全修飾ドメイン名 (FQDN)にダイナミックIPアドレスをマッピング するのに使用することができます。
LAN IP アドレッシング—各サイトのプライベートLAN IPネットワークアドレスはオーバーラップがあるはずです。 各リモートサイトのデフォルト LAN IPネットワークアドレスは常に変更する必要があります。
VPN 認証— VPN トンネルを確立するとき IKE プロトコルが VPN 同位を認証するのに使用されています。 さまざまな IKE 認証方式はあり、事前共有キーは最も便利な方式です。 Cisco は強い事前共有キーを加えることを推奨します。
VPN に転送されるデータの機密保持を確認する VPN が encryption — 暗号化アルゴリズム IP パケットのペイロードを暗号化するのに使用されています。 DES,3DES および AES は 3 よくある暗号化 規格です。 AES は DES およびトリプル DES と比較されたときセキュアと考慮されます。 Cisco は強く AES-128 ビットかより高い暗号化を適用することを推奨します(たとえば、AES-192 および AES-256)。 ただし暗号化アルゴリズムがより強ければ、処理必要とするリソース。
事前設定 チェックリスト
ステップ 1. ASA および RV ルータが両方インターネット ゲートウェイに接続されることを確かめて下さい(ISP ルータかモデム)。
ステップ 2. Cisco RV ルータを始動させ、次に LANスイッチに内部 PC、サーバおよび他の IP デバイスまたは RV ルータのスイッチポートを接続して下さい。
ステップ 3 ASA の後ろのネットワークのために同じをして下さい。 ステップ 4. LAN IPネットワーク アドレスが各サイトで設定され、無関心なサブネットであることを確かめて下さい。 この例では、主要なオフィス LAN はリモートサイト LAN が 122.166.12.0/24 を使用している 192.168.10.0/24,and を使用しています。
ステップ 4.ローカル PC およびサーバが互いにおよびルータと通信できることを確かめて下さい。
必要があります ISP がダイナミックIPアドレスを配るかどうかまたは知る静的な IP を受け取ったら。 通常 ISP は動的IP を与えますが、設定を完了するためにこれを確認する必要があります。
ステップ 1. Web UI へのログインはに VPN > ゲートウェイ間セクション行き。 LAN-to-LAN接続を追加しているので、エンドポイントは各ネットワークのゲートウェイです。
ステップ 2.ルータのローカルおよびリモートエンドポイントを設定して下さい
a)既に設定することができる他のどのトンネルからもそれを識別するためにトンネル名を設定して下さい。
b) ローカル グループ セットアップはローカル ホストを VPN トンネルで許可されるために設定します。 トンネルに許可されたいと思うネットワークのための正しいサブネットおよびマスクがあることを確かめて下さい。
C) リモート グループセットアップはルータのためのリモートエンドポイントおよびネットワークトラフィックを探すために設定します。 ゲートウェイ IPアドレス フィールドで接続を確立するためにリモートゲートウェイの静的な IP を入力して下さい。 それから VPN で許可されるリモートサイト(主要なオフィス LAN)からサブネットを入力して下さい。
ステップ 3.トンネル設定を設定して下さい。
a)最適結果のための事前共有キーを設定したいと思います。
フェーズ 1 およびフェーズ 2 は認証の異なるフェーズです、フェーズ 1 は最初のトンネルを作成し、ネゴシエーションを始め、トンネルが確立されればフェーズ 2 は暗号化キー ネゴシエーションを確定し、データ転送を保護します。
b) DH(Diffie-Hellman) グループは次の セクションで表示される ASA の crypto isakmp policy グループに対応します。 ASA でデフォルトはグループ 2 であり、ASA コードの新しいバージョンは少なくとも DHグループ2 を必要とします。 トレードオフはそれがより高いビットである、従ってより多くの CPUタイムをこと奪取 します。
c)フェーズ 1 暗号化は使用される暗号化アルゴリズムを定義します。 RV シリーズのデフォルトは DES です、しかし ASA のデフォルトはトリプル DES です。 ただし、これらはより古い規格で、現在の実装で効率的ではないです。 AES 暗号化はファーストおよびセキュアであり、Cisco は最もよい結果のための少なくとも AES-128 (か単に AES を)推奨します。
d)フェーズ 1 認証はパケット統合を検証します。 オプションは SHA-1 および MD5 であり、彼らが同じような結果を生むと同時にどちらかははたらく必要があります。
フェーズ 2 設定はフェーズ 1.と同じルールに従います。 IPSec 設定を行った場合、ASA の設定が RV042G でそれらを一致するならないことに留意して下さい。 不一致がある場合、デバイスは暗号化キーをネゴシエートできないし、接続は失敗します。
注: このページからナビゲート する前に設定を保存することを確かめて下さい!
注: コンフィギュレーションが無効になることを避けるのに「write mem」コマンドを頻繁に使用することを確かめて下さい。 最初に、ASA で設定したインターフェイスはここにあります。 異なるコンフィギュレーションをそれに応じて変えることを確かめて下さい。
ステップ 1.暗号化 管理(ISAKMP)の設定
第一歩は使用されているトンネルの暗号化をネゴシエートするのにものがである ISAKMPポリシーを設定します。 この設定は両エンドポイントで同一であるはずです。 これは RV 設定からのフェーズ 1 を一致するために暗号化設定を行うところです。
ステップ 2.トラフィック選択
これは RV042G のローカルおよびリモート セキュリティグループと同じです。 ASA でネットワークが VPN で認めると「関連 トラフィック」が考えるものを定義するのに access-list (s)を使用します。
最初に、リモートサイトおよびローカル サイトのためのネットワーク オブジェクトを設定して下さい:
それからこれらのオブジェクトを使用するために access-list を設定して下さい:
また、サブネット自身を使用できますがより大きい実装でオブジェクトおよびオブジェクト グループを使用することは容易です。
ステップ 3. IPSecトンネル 設定(フェーズ 2 認証)
ここに」設定 された Phase-2 認証を設定するトンネル グループ設定します、および「トランスフォームを。 Phase-1 と異なるために Phase-2 を設定する場合別の transform-set があります。 ここに esp-aes は暗号化を定義し、esp-sha-hmac はハッシュを定義します。
トンネル グループ コマンドは事前共有キーのような接続仕様トンネル情報を、設定したものです。 グループ名としてリモートピアのパブリック IP を使用して下さい。
ステップ 4.クリプト マップ 設定
この場合 ASA が VPN を確立し、正しいトラフィックを送信 するようにする「クリプト マップ」に Phase-1 および Phase-2 設定を適用する必要があります。 VPN のピースを接続することとしてこれについて考えて下さい。
ステップ 5. VPN ステータスを確認して下さい
最終的には、VPN 接続がアップし、稼働していることを確認するためにエンドポイントをチェックして下さい。 接続は単独でアップしません、トラフィックを通過させる必要があります従って ASA はそれを検出する、接続を確立するように試みることができます。 ASA でコマンドをステータスを表示するために「示します暗号 isakmpsa」を使用して下さい。
RV42G で VPN > 要約 ページはに行き、ステータスをチェックします。
パニックに陥らないで下さい。 これは圧倒的に複雑なプロセスのようにネットワークを設定しているが、既に上記のハードな一部を終了してしまいましたときようであるできます。 複数のサブネットのための VPN を設定することは(サブネット方式が広範でなければ)追加設定、少しだけ追加複雑な状況を必要とします。 こののためにセクション使用 2 を使用した例は各サイトでサブネット化します。 更新済ネットワーク トポロジは非常に類似したです:
ちょうどの前にのように、RV042G を最初に設定します。 RV042G は単一 トンネル上の複数のサブネットを設定できません従って新しいサブネットのための追加 エントリを追加する必要があります。 このセクションは複数のサブネットのための VPN 設定だけを、それらのためのあらゆる追加セットアップ 設定カバーしません。
ステップ 1.最初のトンネルを設定して下さい
単一のサブネット例に関しては各トンネルのために同じ 設定を使用します。 の前にように、へ VPN > ゲートウェイ間行き、新しいトンネルを追加することによってこれを、またはに既存のトンネルを行けば VPN か、設定しましたり > 要約 ページ編集し、存在 1 つを使用していれば。
a)複数の変更がより説明的である名前あるのでトンネル名を設定して下さい、しかし変更して下さい。
b)次に前にとローカル グループを、同じ設定します。 アクセスを必要とするサブネットの 1 つだけのためにこれを設定して下さい。 122.166.13.x サブネットの 122.166.12.x のためのトンネル エントリおよびもう 1 つがあります。
c)この場合上でと同じプロシージャを使用してリモートサイトを、再度設定して下さい。
d)最終的には、暗号化設定を行って下さい。 それらに設定しているトンネルの両方に同じでほしいのでこれらの設定を覚えていて下さい。
ステップ 2.第 2 トンネルの設定
サブネット 1 が VPN トンネルのために設定されるので、に VPN > ゲートウェイ間行き、第 2 トンネルを追加する必要があります。 この第 2 エントリは各サイトからのセカンダリサブネットで最初のものと多くの同じ、設定されます。
a)どの接続それがであるか区別従ってあなた知っていますそれを何か指名することを確かめて下さい。
b) 「局地 警戒」グループとして第 2 サブネットを使用して下さい。
C) そして「リモート セキュリティ」グループとして第 2 リモート サブネットを使用して下さい。
d)最初のトンネルのとフェーズ 1 および 2 のための暗号化を同じ設定して下さい。
この場合 ASA の設定を修正します。 この設定は非常に簡単です。 全く同じ暗号化設定を使用すると同時に、上でとして小変更だけと同じ 設定を使用できます。 VPN にそれを送信 することファイアウォールのための「interesting」として追加トラフィックをタグ付けする必要があります。 関連 トラフィックを識別するために access-list を使用するのでする必要があるすべてはこの access-list を修正することです。
ステップ 1: から開始するために、古い access-list を削除して下さい、そうすれば ASA のオブジェクトを修正できます。 CLI のコンフィギュレーションを取除くのにコマンドの「いいえ」形式を使用しないで下さい。
呼び出します。 ACL が取除かれれば、作成します含まれる新しいサブネットのための新しいオブジェクトをほしいです(仮定してまだそれらのサブネットを設定 することでこれをしてしまいませんでした)。 またそれらをより説明的にさせたいと思います。
下記のように VLAN構成に基づく:
主要な内部ネットワーク(192.168.10.x)およびエンジニアリング ネットワーク(192.168.20.x)のためのオブジェクト グループを必要とします。 そうのようなネットワーク オブジェクトを設定して下さい:
ステップ 3.関連したネットワーク オブジェクトが設定されたので、適切なトラフィックをタグ付けするために access-list を設定できます。 両方のリモート サブネットに ASA の後ろの両方のネットワークのためのアクセス リストエントリがあるために確かめたいと思います。 最終結果はこのようになる必要があります。
ステップ 4 古い access-list を削除したのでこの場合、前にと同じコマンドを使用してクリプト マップにそれを再適用する必要があります:
そしてただそれだけ! トンネルは今操作上であるはずです。 接続を開始し、ASA の「示します暗号 isakmpsa」コマンドを使用してステータスをチェックして下さい。
RV シリーズでステータスはで VPN > 要約 ページ 表示する。