セキュリティ機能の設定
この章では、Cisco 860 および Cisco 880 シリーズ サービス統合型ルータ(ISR)で設定可能な特定のセキュリティ機能を実装するシスコの主要なフレームワークである認証、許可、アカウンティング(AAA)の概要について説明します。
この章の内容は、次のとおりです。
認証、許可、およびアカウンティング
AAA のネットワーク セキュリティ サービスは、ルータ上でアクセス コントロールを設定する主要なフレームワークを提供します。認証は、ログインおよびパスワード ダイアログ、確認要求および応答、メッセージングのサポート、暗号化(選択するセキュリティ プロトコルに応じて)など、ユーザを識別するための方法を提供します。許可は、1 回限りの許可や各サービスに対する許可、各ユーザに対するアカウント リストおよびプロファイル、ユーザ グループのサポート、IP、インターネットワーク パケット交換(IPX)、AppleTalk リモート アクセス(ARA)、および Telnet のサポートなど、リモート アクセスをコントロールするための方法を提供します。アカウンティングで、ユーザ識別、開始時刻と終了時刻、実行コマンド(PPP など)、パケット数、バイト数などといったセキュリティ サーバ情報の収集と送信を行い、課金、監査、およびレポートに使用する手段を提供します。
AAA は RADIUS、TACACS+、または Kerberos などのプロトコルを使用してセキュリティ機能を管理します。ルータがネットワーク アクセス サーバとして機能している場合、AAA は、ネットワーク アクセス サーバと RADIUS、TACACS+、または Kerberos セキュリティ サーバ間の通信を確立するための手段となります。
AAA サービスの設定およびサポートされるセキュリティ プロトコルの詳細については、『Cisco IOS Security Configuration Guide: Securing User Services, Release 12.4T』(http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/12_4T/sec_securing_user_services_12.4t_book.html)で次の項を参照してください。
- 「Configuring Authentication」
- 「Configuring Authorization」
- 「Configuring Accounting」
- 「RADIUS and TACACS+ Attributes」
- 「Configuring Kerberos」
AutoSecure の設定
AutoSecure 機能は、ネットワーク攻撃に悪用される可能性のある一般的な IP サービスをディセーブルにし、攻撃を受けたときはネットワークの防御に役立つ IP サービスおよび機能をイネーブルにできます。この IP サービスは、1 つのコマンドですべてを同時にディセーブル/イネーブルにすることにより、ルータ上のセキュリティ設定を大幅に簡易化しています。AutoSecure 機能の詳細については、「AutoSecure」を参照してください。
アクセス リストの設定
アクセス リスト ACL は、送信元 IP アドレス、宛先 IP アドレス、またはプロトコルに基づいてインターフェイス上でネットワーク トラフィックの許可または拒否を行います。アクセス リストは、標準版または拡張版のどちらかに設定されます。標準アクセス リストは、指定された送信元からのパケットの通過を許可または拒否します。拡張アクセス リストでは、宛先および送信元の両方を指定できます。また、各プロトコルを指定して、通過を許可または拒否することができます。
アクセス リストの作成の詳細については、『Cisco IOS Security Configuration Guide: Securing the Data Plane, Release 12.4T』(http://www.cisco.com/en/US/docs/ios/sec_data_plane/configuration/guide/12_4t/sec_data_plane_12_4t_book.html)の「Access Control Lists (ACLs)」を参照してください。
アクセス リストは、一般的なタグによってコマンドがバインドされる一連のコマンドです。タグは、番号または名前のどちらかです。以下の表 は、アクセス リストの設定に使用するコマンドのリストです。
表 1 アクセス リストのコンフィギュレーション コマンド
ACL タイプ
|
コンフィギュレーション コマンド
|
番号形式
|
規格
|
access-list1-99}{permit| deny} source-addr [source-mask]
|
拡張
|
access-list100-199}{permit|deny} protocol source-addr [source-mask] destination-addr [destination-mask]
|
名前形式
|
規格
|
ipaccess-liststandard namedeny {source | source-wildcard | any}
|
拡張
|
ipaccess-listextended name{permit|deny} protocol {source-addr[source-mask] | any}{destination-addr [destination-mask] | any}
|
アクセス リストを作成、精緻化、管理するには、『Cisco IOS Security Configuration Guide: Securing the Data Plane, Release 12.4T』(http://www.cisco.com/en/US/docs/ios/sec_data_plane/configuration/guide/12_4t/sec_data_plane_12_4t_book.html)の「Access Control Lists (ACLs)」を参照してください。
- 「Creating an IP Access List and Applying It to an Interface」
- 「Creating an IP Access List to Filter IP Options, TCP Flags, Noncontiguous Ports, or TTL Values」
- 「Refining an IP Access List」
- 「Displaying and Clearing IP Access List Data Using ACL Manageability」
Cisco IOS ファイアウォールの設定
Cisco IOS ファイアウォールでは、ステートフルなファイアウォールを設定できます。ステートフルなファイアウォールでは、パケットが内部的に検査され、ネットワーク接続の状態がモニタされます。アクセス リストは各パケットに基づいたトラフィックの許可または拒否に制限され、パケットの流れには基づいていないため、ステートフルなファイアウォールの方が静的アクセス リストよりも優れています。また、Cisco IOS ファイアウォールはパケットの検査を行うため、アプリケーション層のデータを調べてトラフィックの許可または拒否を判断できます。スタティックなアクセス リストでは、このような検査を行うことはできません。
Cisco IOS ファイアウォールを設定するには、インターフェイス コンフィギュレーション モードで次のコマンドを使用して、検証するプロトコルを指定します。
ipinspectname inspection-name protocol timeout seconds
指定したプロトコルがファイアウォールを通過していることがインスペクションで検出された場合、ダイナミック アクセス リストが作成され、リターン トラフィックの通過を許可します。timeout パラメータでは、ルータを通過する戻りトラフィックが存在しない場合にダイナミック アクセス リストをアクティブにしておく時間を指定します。タイムアウト値が指定値に達すると、ダイナミック アクセス リストが削除され、後続のパケット(有効なパケットの場合もある)が許可されなくなります。
複数のステートメントで同一のインスペクション名を使用して、1 つのルール セットにまとめてください。ファイアウォールにインターフェイスを設定するときに、ipinspectinspection-name{in|out} コマンドを使用して、このルール セットを設定の別の場所でアクティブ化できます。
Cisco IOS ファイアウォールの設定の詳細については、『Cisco IOS Security Configuration Guide: Securing the Data Plane, Release 12.4T』(http://www.cisco.com/en/US/docs/ios/sec_data_plane/configuration/guide/12_4t/sec_data_plane_12_4t_book.html)を参照してください。
また、Cisco IOS ファイアウォールは、セッション開始プロトコル(SIP)アプリケーションでの音声セキュリティを提供するようにも設定できます。SIP インスペクションは、プロトコルの適合性およびアプリケーションの保護に加え、基本的な検査機能(SIP パケット インスペクションおよびピンホールの開きの検出)が提供されます。詳細については、『Cisco IOS Firewall: SIP Enhancements: ALG and AIC』を参照してください。
Cisco IOS IPS の設定
Cisco 880 シリーズ ISR で利用可能な Cisco IOS 侵入防御システム(IPS)テクノロジーは、セキュリティ ポリシーに違反したり、不正なネットワーク動作を示したりするパケットおよびフローに適切に対処することによって、境界部分のファイアウォール保護を強化します。
Cisco IOS IPS では、「シグネチャ」を使用して攻撃を特定し、ネットワーク トラフィック内における悪用パターンを検出します。Cisco IOS IPS は、インライン型の侵入検知装置として機能し、ルータを通過するパケットおよびセッションを監視して、既知の IPS シグニチャとの比較を行います。Cisco IOS IPS は、不審な動作を検出すると、ネットワーク セキュリティが破られる前に対処してイベントを記録します。また、設定に応じて、次のいずれかを行います。
- アラームを送信する
- 不審なパケットを廃棄する
- 接続を再設定する
- 攻撃者の発信元 IP アドレスからのトラフィックを一定時間拒否する
- シグニチャが見つかった接続のトラフィックを一定時間拒否する
Cisco IOS IPS の設定の詳細については、『Cisco IOS Security Configuration Guide: Securing the Data Plane, Release 12.4T』(http://www.cisco.com/en/US/docs/ios/sec_data_plane/configuration/guide/12_4t/sec_data_plane_12_4t_book.html)を参照してください。
VPN の設定
VPN 接続は、インターネットなどのパブリック ネットワーク上の 2 台のネットワーク間の安全な接続を提供します。Cisco 860 および Cisco 880 シリーズ ISR は、サイト間およびリモート アクセスの 2 種類の VPN をサポートしています。サイト間 VPN は、ブランチ オフィスとコーポレート オフィスを接続する場合などに使用します。リモート アクセス VPN は、企業ネットワークにログインする際にリモート クライアントによって使用されます。リモート アクセス VPN およびサイト間 VPN の両方についてこのセクションで 2 つの例を挙げて説明します。
Remote Access VPN
リモート アクセス VPN コンフィギュレーションでは、Cisco Easy VPN および IP Security(IPSec)トンネルを使用して、リモート クライアントとコーポレート ネットワーク間の接続を設定および保護します。以下の図は、一般的な展開シナリオです。
図 1. IPSec トンネルを使用したリモート アクセス VPN
1
|
リモート ネットワークで接続されたユーザ
|
2
|
VPN クライアント:Cisco 880 シリーズ アクセス ルータ
|
3
|
ルータ:本社オフィスへのネットワーク アクセスを提供
|
4
|
VPN サーバ:Easy VPN サーバ(外部インターフェイス アドレスが 210.110.101.1 の VPN 終端装置など)
|
5
|
ネットワーク アドレスが 10.1.1.1 のコーポレート オフィス
|
6
|
IPSec トンネル
|
Cisco Easy VPN クライアント機能を使用し、Cisco Unity Client プロトコルを実装することにより、面倒な設定作業が大幅に削減されます。このプロトコルでは、ほとんどの VPN パラメータ(内部 IP アドレス、内部サブネット マスク、DHCP サーバ アドレス、Windows インターネット ネーム サービス(WINS)サーバ アドレス、スプリットトンネリング フラグなど)を、IPSec サーバとして機能している Cisco VPN 3000 シリーズ コンセントレータなどの VPN サーバに定義することができます。
Cisco Easy VPN サーバ対応のデバイスでは、PC 上で Cisco Easy VPN リモート ソフトウェアを実行しているモバイルおよびリモート作業者が開始した VPN トンネルを終了できます。Cisco Easy VPN サーバ対応のデバイスでは、リモート ルータを Cisco Easy VPN リモート ノードとして動作させることができます。
Cisco Easy VPN クライアント機能は、クライアント モードとネットワーク拡張モードの 2 つのモードのいずれかに設定できます。デフォルト設定はクライアント モードで、クライアント サイトの装置だけが中央サイトのリソースにアクセスできます。クライアント サイトのリソースは、中央サイトでは利用できません。ネットワーク拡張モードを使用すると、(VPN 3000 シリーズ コンセントレータが配置された)中央サイトのユーザがクライアント サイトのネットワーク リソースにアクセスできます。
IPSec サーバが設定されている場合は、サポート対象の Cisco 880 シリーズ ISR といった IPSec クライアント上で最小限の設定を行うことにより、VPN 接続を作成できます。IPSec クライアントが VPN トンネル接続を開始すると、IPSec サーバは IPSec ポリシーを IPSec クライアントに転送し、対応する VPN トンネル接続を作成します。
 (注) |
Cisco Easy VPN クライアント機能で設定できるのは、1 つの宛先ピアだけです。アプリケーションで複数の VPN トンネルを作成する必要がある場合、手動でクライアントおよびサーバ側の両方に IPSec VPN およびネットワーク アドレス変換/ピア アドレス変換(NAT/PAT)パラメータを設定する必要があります。
|
Cisco 860 および Cisco 880 シリーズ ISR は、Cisco Easy VPN サーバとして動作するように設定することもできます。これにより、許可された Cisco Easy VPN クライアントは接続されたネットワークに対してダイナミックな VPN トンネルを確立できます。Cisco Easy VPN サーバの設定手順については、http://www.cisco.com/c/en/us/support/docs/cloud-systems-management/configuration-professional/112037-easyvpn-router-config-ccp-00.html を参照してください。
サイト間 VPN
サイト間 VPN の設定では、IPSec および汎用ルーティング カプセル化(GRE)プロトコルを使用して、ブランチ オフィスとコーポレート ネットワーク間の接続を保護します。以下の図は、一般的な展開シナリオです。
図 2. IPSec トンネルおよび GRE を使用したサイト間の VPN
1
|
複数の LAN および VLAN を使用しているブランチ オフィス
|
2
|
ファスト イーサネット LAN インターフェイス(NAT 用の内部インターフェイス、アドレスは 192.165.0.0/16)
|
3
|
VPN クライアント:Cisco 860 または Cisco 880 シリーズ ISR
|
4
|
ファスト イーサネットまたは ATM インターフェイス(NAT 用の外部インターフェイス、アドレスは 200.1.1.1)
|
5
|
LAN インターフェイス(外部インターフェイス アドレスは 210.110.101.1):インターフェイスに接続
|
6
|
VPN クライアント:企業ネットワークへのアクセスを制御する別のルータ
|
7
|
LAN インターフェイス:企業ネットワークと接続(内部インターフェイス アドレス 10.1.1.1)
|
8
|
コーポレート オフィス ネットワーク
|
9
|
GRE を使用した IPSec トンネル
|
IPSec および GRE 設定の詳細については、『Cisco IOS Security Configuration Guide: Secure Connectivity, Release 12.4T』(http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/security/config_library/12-4t/secon-12-4t-library.html)を参照してください。
設定例
各例では、IPSec トンネル上での VPN の設定の手順を使用して IPSec トンネル上に VPN を設定します。次に、リモート アクセス設定およびサイト間設定の具体的な手順を順番に説明します。
この章の設定例は、Cisco 860 および Cisco 880 ISR のエンドポイント設定にだけ適用されます。いずれの VPN 接続も、両端のエンドポイントが適切に機能するように設定されている必要があります。他のルータ モデルでの VPN 設定については、必要に応じてソフトウェア コンフィギュレーション マニュアルを参照してください。
VPN コンフィギュレーション情報は、両方のエンドポイントに設定する必要があります。設定する必要のあるパラメータは、内部 IP アドレス、内部サブネット マスク、DHCP サーバ アドレス、およびネットワーク アドレス変換(NAT)などです。
IPSec トンネル上での VPN の設定
IPSec トンネル上に VPN を設定するには、次の作業を行います。
IKE ポリシーの設定
インターネット キー交換(IKE)ポリシーを設定するには、グローバル コンフィギュレーション モードから始め、次の手順を実行します。
手順の概要1.
cryptoisakmppolicy priority
2.
encryption{des|3des|aes|aes192|aes256}
3.
hash{md5|sha}
4.
authentication {rsa-sig|rsa-encr|pre-share}
5.
group {1|2|5}
6.
lifetime seconds
7.
exit
手順の詳細 | コマンドまたはアクション | 目的 |
---|
ステップ 1 | cryptoisakmppolicy priority
例:
Router(config)# crypto isakmp policy 1
|
IKE ネゴシエーション時に使用される IKE ポリシーを作成します。プライオリティ番号の範囲は 1 ~ 10000 で、プライオリティが最も高いのは 1 です。
また、インターネット セキュリティ アソシエーション キーおよび管理(ISAKMP)ポリシー コンフィギュレーション モードを開始します。
|
ステップ 2 | encryption{des|3des|aes|aes192|aes256}
例:
Router(config-isakmp)# encryption 3des
|
IKE ポリシーに使用される暗号化アルゴリズムを指定します。
この例では、168 ビット データ暗号規格(DES)を指定します。
|
ステップ 3 | hash{md5|sha}
例:
Router(config-isakmp)# hash md5
|
IKE ポリシーに使用されるハッシュ アルゴリズムを指定します。
この例では、Message Digest 5(MD5)アルゴリズムを指定します。デフォルトは、Secure Hash 標準(SHA-1)です。
|
ステップ 4 | authentication {rsa-sig|rsa-encr|pre-share}
例:
Router(config-isakmp)# authentication pre-share
|
IKE ポリシーに使用される認証方式を指定します。
この例では、事前共有キーを指定します。
|
ステップ 5 | group {1|2|5}
例:
Router(config-isakmp)# group 2
|
IKE ポリシーに使用される Diffie-Hellman グループを指定します。
|
ステップ 6 | lifetime seconds
例:
Router(config-isakmp)# lifetime 480
|
IKE セキュリティ アソシエーション(SA)のライフタイムを指定します。
指定できる値は 60 ~ 86400 です。
|
ステップ 7 | exit
例:
Router(config-isakmp)# exit
|
ISAKMP ポリシー コンフィギュレーション モードを終了します。続いて、グローバル コンフィギュレーション モードに戻ります。
|
グループ ポリシー情報の設定
グループ ポリシーを設定するには、グローバル コンフィギュレーション モードから始め、次の手順を実行します。
手順の概要1.
cryptoisakmpclientconfigurationgroup {group-name|default}
2.
key name
3.
dns primary-server
4.
domain name
5.
exit
6.
iplocalpool{default | poolname} [low-ip-address [high-ip-address]]
手順の詳細 | コマンドまたはアクション | 目的 |
---|
ステップ 1 | cryptoisakmpclientconfigurationgroup {group-name|default}
例:
Router(config)# crypto isakmp client configuration group rtr-remote
|
リモート クライアントにダウンロードされる属性を含む IKE ポリシー グループを作成します。
また、ISAKMP グループ ポリシー コンフィギュレーション モードを開始します。
|
ステップ 2 | key name
例:
Router(config-isakmp-group)# key secret-password
|
グループ ポリシーの IKE 事前共有キーを指定します。
|
ステップ 3 | dns primary-server
例:
Router(config-isakmp-group)# dns 10.50.10.1
|
グループのプライマリ ドメイン ネーム システム(DNS)サーバを指定します。
(注)
| グループの Windows インターネット ネーミング サービス(WINS)サーバを指定するには、wins コマンドを使用します。 |
|
ステップ 4 | domain name
例:
Router(config-isakmp-group)# domain company.com
|
グループのドメイン メンバーシップを指定します。
|
ステップ 5 | exit
例:
Router(config-isakmp-group)# exit
Router(config)#
|
ISAKMP グループ ポリシー コンフィギュレーション モードを終了してグローバル コンフィギュレーション モードに戻ります。
|
ステップ 6 | iplocalpool{default | poolname} [low-ip-address [high-ip-address]]
例:
Router(config)# ip local pool dynpool 30.30.30.20 30.30.30.30
|
グループのローカル アドレス プールを指定します。
このコマンドの詳しい説明およびその他の設定可能なパラメータについては、『Cisco IOS Dial Technologies Command Reference』を参照してください。
|
クリプト マップへのモード設定の適用
クリプト マップにモード設定を適用するには、グローバル コンフィギュレーション モードから始め、次の手順を実行します。
手順の概要1.
cryptomap map-nameisakmpauthorizationlist list-name
2.
cryptomap tagclientconfigurationaddress[initiate|respond]
手順の詳細 | コマンドまたはアクション | 目的 |
---|
ステップ 1 | cryptomap map-nameisakmpauthorizationlist list-name
例:
Router(config)# crypto map dynmap isakmp authorization list rtr-remote
|
クリプト マップにモード設定を適用し、認証、許可、アカウンティング(AAA)サーバからのグループ ポリシーのキー ルックアップ(IKE クエリ)をイネーブルにします。
|
ステップ 2 | cryptomap tagclientconfigurationaddress[initiate|respond]
例:
Router(config)# crypto map dynmap client configuration address respond
|
リモート クライアントからのモード設定要求にルータが応答するように設定します。
|
ポリシー ルックアップの有効化
AAA 経由でポリシー ルックアップをイネーブルにするには、グローバル コンフィギュレーション モードから始め、次の手順を実行します。
手順の概要1.
aaanew-model
2.
aaaauthenticationlogin{default| list-name} method1 [method2...]
3.
aaaauthorization{network|exec|commands level|reverse-access|configuration}{default| list-name} [method1 [method2...]]
4.
username name{nopassword|password password|password encryption-type encrypted-password}
手順の詳細 | コマンドまたはアクション | 目的 |
---|
ステップ 1 | aaanew-model
例:
Router(config)# aaa new-model
|
AAA アクセス コントロール モデルをイネーブルにします。
|
ステップ 2 | aaaauthenticationlogin{default| list-name} method1 [method2...]
例:
Router(config)# aaa authentication login rtr-remote local
|
選択したユーザのログイン時の AAA 認証を指定し、使用する方式を指定します。
- この例では、ローカル認証データベースを使用します。
|
ステップ 3 | aaaauthorization{network|exec|commands level|reverse-access|configuration}{default| list-name} [method1 [method2...]]
例:
Router(config)# aaa authorization network rtr-remote local
|
PPP を含むすべてのネットワーク関連サービス要求の AAA 許可を指定してから、さらに許可方式を指定します。
- この例では、ローカル許可データベースを使用します。
|
ステップ 4 | username name{nopassword|password password|password encryption-type encrypted-password}
例:
Router(config)# username username1 password 0 password1
|
ユーザ名をベースとした認証システムを構築します。
|
IPSec トランスフォームおよびプロトコルの設定
トランスフォーム セットは、特定のセキュリティ プロトコルとアルゴリズムを組み合わせたものです。IKE のネゴシエーション中に、ピアは特定のトランスフォーム セットを使用してデータ フローを保護することに合意します。
IKE ネゴシエーションの実行時に、両ピアは、複数のトランスフォーム セットから両ピアに共通するトランスフォームを検索します。このようなトランスフォームが含まれているトランスフォーム セットが検出された場合は、両方のピアの設定の一部として選択され、保護対象トラフィックに適用されます。
IPSec トランスフォーム セットおよびプロトコルを指定するには、グローバル コンフィギュレーション モードから始め、次の手順を実行します。
手順の概要1.
cryptoipsecprofile profile-name
2.
cryptoipsectransform-set transform-set-name transform1 [transform2] [transform3] [transform4]
3.
cryptoipsecsecurity-associationlifetime{secondsseconds |kilobyteskilobytes}
手順の詳細 | コマンドまたはアクション | 目的 |
---|
ステップ 1 | cryptoipsecprofile profile-name
例:
Router(config)# crypto ipsec profile pro1
|
トンネルに暗号化が適用されるように IPSec プロファイルを設定します。
|
ステップ 2 | cryptoipsectransform-set transform-set-name transform1 [transform2] [transform3] [transform4]
例:
Router(config)# crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac
|
トランスフォーム セット(IPSec セキュリティ プロトコルとアルゴリズムの有効な組み合わせ)を定義します。
有効なトランスフォームおよび組み合わせの詳細については、『Cisco IOS Security Configuration Guide: Secure Connectivity, Release 12.4T』を参照してください。
|
ステップ 3 | cryptoipsecsecurity-associationlifetime{secondsseconds |kilobyteskilobytes}
例:
Router(config)# crypto ipsec security-association lifetime seconds 86400
|
IPSec SA ネゴシエーション時のグローバル ライフタイム値を指定します。
|
IPSec 暗号方式およびパラメータの設定
ダイナミック クリプト マップ ポリシーでは、ルータがすべてのクリプト マップ パラメータ(IP アドレスなど)を認識していない場合でも、リモート IPSec ピアからの新規の SA のネゴシエーション要求を処理します。
IPSec 暗号方式を設定するには、グローバル コンフィギュレーション モードから始め、次の手順を実行します。
手順の概要1.
cryptodynamic-map dynamic-map-name dynamic-seq-num
2.
settransform-set transform-set-name [transform-set-name2...transform-set-name6]
3.
reverse-route
4.
exit
5.
cryptomap map-name seq-num [ipsec-isakmp][dynamic dynamic-map-name] [discover] [profile profile-name]
手順の詳細 | コマンドまたはアクション | 目的 |
---|
ステップ 1 | cryptodynamic-map dynamic-map-name dynamic-seq-num
例:
Router(config)# crypto dynamic-map dynmap 1
|
ダイナミック クリプト マップ エントリを作成し、クリプト マップ コンフィギュレーション モードを開始します。
このコマンドの詳細については、『Cisco IOS Security Command Reference』を参照してください。
|
ステップ 2 | settransform-set transform-set-name [transform-set-name2...transform-set-name6]
例:
Router(config-crypto-map)# set transform-set vpn1
|
クリプト マップ エントリで使用可能なトランスフォーム セットを指定します。
|
ステップ 3 | reverse-route
例:
Router(config-crypto-map)# reverse-route
|
クリプト マップ エントリの送信元プロキシ情報を作成します。
詳細については、『Cisco IOS Security Command Reference』を参照してください。
|
ステップ 4 | exit
例:
Router(config-crypto-map)# exit
|
クリプト マップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。
|
ステップ 5 | cryptomap map-name seq-num [ipsec-isakmp][dynamic dynamic-map-name] [discover] [profile profile-name]
例:
Router(config)# crypto map static-map 1 ipsec-isakmp dynamic dynmap
|
クリプト マップ プロファイルを作成します。
|
物理インターフェイスへのクリプト マップの適用
クリプト マップは、IPSec トラフィックが通過する各インターフェイスに適用されている必要があります。物理インターフェイスにクリプト マップを適用することにより、ルータがすべてのトラフィックを SA データベースに照合するようになります。デフォルト設定では、ルータはリモート サイト間に送信されるトラフィックを暗号化して、安全な接続を提供します。ただし、パブリック インターフェイスでは他のトラフィックの通過を許可し、インターネットへの接続を提供しています。
インターフェイスにクリプト マップを適用するには、グローバル コンフィギュレーション モードから始め、次の手順を実行します。
手順の概要1.
interface type number
2.
cryptomap map-name
3.
exit
手順の詳細 | コマンドまたはアクション | 目的 |
---|
ステップ 1 | interface type number
例:
Router(config)# interface fastethernet 4
|
クリプト マップを適用するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。
|
ステップ 2 | cryptomap map-name
例:
Router(config-if)# crypto map static-map
|
クリプト マップをインターフェイスに適用します。
|
ステップ 3 | exit
例:
Router(config-crypto-map)# exit
Router(config)#
|
インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。
|
次の作業
次の作業
Cisco Easy VPN リモート コンフィギュレーションを作成する場合は、Cisco Easy VPN リモート コンフィギュレーションの作成を参照してください。
IPSec トンネルおよび GRE を使用してサイト間 VPN を作成する場合は、サイト間 GRE トンネルの設定を参照してください。
Cisco Easy VPN リモート コンフィギュレーションの作成
Cisco Easy VPN クライアントとして機能するルータでは、Cisco Easy VPN リモートの設定を作成して、発信インターフェイスにこの設定を関連付ける必要があります。
リモート コンフィギュレーションを作成するには、グローバル コンフィギュレーション モードから始め、次の手順を実行します。
手順の概要1.
cryptoipsecclientezvpn name
2.
group group-namekey group-key
3.
peer{ipaddress | hostname}
4.
mode {client|network-extension|networkextensionplus}
5.
exit
6.
cryptoisakmpkeepalive seconds
7.
interface type number
8.
cryptoipsecclientezvpnname [outside|inside]
9.
exit
手順の詳細 | コマンドまたはアクション | 目的 |
---|
ステップ 1 | cryptoipsecclientezvpn name
例:
Router(config)# crypto ipsec client ezvpn ezvpnclient
|
Cisco Easy VPN リモート コンフィギュレーションを作成します。続いて、Cisco Easy VPN リモート コンフィギュレーション モードを開始します。
|
ステップ 2 | group group-namekey group-key
例:
Router(config-crypto-ezvpn)# group ezvpnclient key secret-password
|
VPN 接続の IPSec グループおよび IPSec キー値を指定します。
|
ステップ 3 | peer{ipaddress | hostname}
例:
Router(config-crypto-ezvpn)# peer 192.168.100.1
|
VPN 接続のピア IP アドレスまたはホスト名を指定します。
- ホスト名を指定できるのは、ルータから DNS サーバを介してホスト名解決を行える場合だけです。
(注)
| このコマンドを使用して、バックアップとして使用する複数のピアを設定します。1 つのピアがダウンすると、次に使用可能なピアを用いて Easy VPN トンネルが確立されます。プライマリ ピアが再起動すると、プライマリ ピアを用いてトンネルが再確立されます。 |
|
ステップ 4 | mode {client|network-extension|networkextensionplus}
例:
Router(config-crypto-ezvpn)# mode client
|
VPN 動作モードを指定します。
|
ステップ 5 | exit
例:
Router(config-crypto-ezvpn)# exit
|
Cisco Easy VPN リモート コンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードに戻ります。
|
ステップ 6 | cryptoisakmpkeepalive seconds
例:
Router(config)# crypto isakmp keepalive 10
|
デッド ピア検出メッセージがイネーブルになります。
- seconds:メッセージの間隔を設定します。範囲は 10 ~ 3600 です。
|
ステップ 7 | interface type number
例:
Router(config)# interface fastethernet 4
|
Cisco Easy VPN リモート コンフィギュレーションを適用するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。
(注)
| ATM WAN インターフェイスを使用しているルータの場合、このコマンドは interfaceatm0 になります。 |
|
ステップ 8 | cryptoipsecclientezvpnname [outside|inside]
例:
Router(config-if)# crypto ipsec client ezvpn ezvpnclient outside
|
WAN インターフェイスに Cisco Easy VPN リモート コンフィギュレーションを割り当てます。
- このコマンドにより、ルータは VPN 接続に必要な NAT またはポート アドレス変換(PAT)とアクセス リスト設定を自動的に作成します。
|
ステップ 9 | exit
例:
Router(config-crypto-ezvpn)# exit
|
インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。
|
次の作業
設定例
次の設定例は、この章で説明した VPN および IPSec トンネルのコンフィギュレーション ファイルの一部を示します。
!
aaa new-model
!
aaa authentication login rtr-remote local
aaa authorization network rtr-remote local
aaa session-id common
!
username Cisco password 0 Cisco
!
crypto isakmp policy 1
encryption 3des
authentication pre-share
group 2
lifetime 480
!
crypto isakmp client configuration group rtr-remote
key secret-password
dns 10.50.10.1 10.60.10.1
domain company.com
pool dynpool
!
crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac
!
crypto ipsec security-association lifetime seconds 86400
!
crypto dynamic-map dynmap 1
set transform-set vpn1
reverse-route
!
crypto map static-map 1 ipsec-isakmp dynamic dynmap
crypto map dynmap isakmp authorization list rtr-remote
crypto map dynmap client configuration address respond
crypto ipsec client ezvpn ezvpnclient
connect auto
group 2 key secret-password
mode client
peer 192.168.100.1
!
interface fastethernet 4
crypto ipsec client ezvpn ezvpnclient outside
crypto map static-map
!
interface vlan 1
crypto ipsec client ezvpn ezvpnclient inside
!
サイト間 GRE トンネルの設定
GRE トンネルを設定するには、グローバル コンフィギュレーション モードから、次の作業を行います。
手順の概要1.
interface type number
2.
ipaddress ip-address mask
3.
tunnelsource interface-type number
4.
tunneldestination default-gateway-ip-address
5.
cryptomap map-name
6.
exit
7.
ipaccess-list{standard|extended}access-list-name
8.
permit protocol source source-wildcard destination destination-wildcard
9.
exit
手順の詳細 | コマンドまたはアクション | 目的 |
---|
ステップ 1 | interface type number
例:
Router(config)# interface tunnel 1
|
トンネル インターフェイスを作成します。続いて、インターフェイス コンフィギュレーション モードを開始します。
|
ステップ 2 | ipaddress ip-address mask
例:
Router(config-if)# 10.62.1.193 255.255.255.252
|
トンネルにアドレスを割り当てます。
|
ステップ 3 | tunnelsource interface-type number
例:
Router(config-if)# tunnel source fastethernet 0
|
GRE トンネルにルータの送信元エンドポイントを指定します。
|
ステップ 4 | tunneldestination default-gateway-ip-address
例:
Router(config-if)# tunnel destination 192.168.101.1
|
GRE トンネルにルータの宛先エンドポイントを指定します。
|
ステップ 5 | cryptomap map-name
例:
Router(config-if)# crypto map static-map
|
トンネルにクリプト マップを割り当てます。
(注)
| トンネル インターフェイスへのダイナミック ルーティングまたはスタティック ルートは、サイト間の接続を確立するために設定しておく必要があります。 |
|
ステップ 6 | exit
例:
Router(config-if)# exit
|
インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。
|
ステップ 7 | ipaccess-list{standard|extended}access-list-name
例:
Router(config)# ip access-list extended vpnstatic1
|
クリプト マップで使用される名前付き ACL の ACL コンフィギュレーション モードを開始します。
|
ステップ 8 | permit protocol source source-wildcard destination destination-wildcard
例:
Router(config-acl)# permit gre host 192.168.100.1 host 192.168.101.1
|
発信インターフェイスでは GRE トラフィックだけが許可されるように指定します。
|
ステップ 9 | exit
例:
Router(config-acl)# exit
Router(config)#
|
ACL コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。
|
次の作業
設定例
次の設定例は、前述の各項で説明した GRE トンネルによる VPN のコンフィギュレーション ファイルの一部です。
!
aaa new-model
!
aaa authentication login rtr-remote local
aaa authorization network rtr-remote local
aaa session-id common
!
username cisco password 0 cisco
!
interface tunnel 1
ip address 10.62.1.193 255.255.255.252
tunnel source fastethernet 0
tunnel destination interface 192.168.101.1
ip route 20.20.20.0 255.255.255.0 tunnel 1
crypto isakmp policy 1
encryption 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group rtr-remote
key secret-password
dns 10.50.10.1 10.60.10.1
domain company.com
pool dynpool
!
crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac
!
crypto ipsec security-association lifetime seconds 86400
!
crypto dynamic-map dynmap 1
set transform-set vpn1
reverse-route
!
crypto map static-map 1 ipsec-isakmp dynamic dynmap
crypto map dynmap isakmp authorization list rtr-remote
crypto map dynmap client configuration address respond
!
! Defines the key association and authentication for IPsec tunnel.
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 200.1.1.1
!
!
! Defines encryption and transform set for the IPsec tunnel.
crypto ipsec transform-set set1 esp-3des esp-md5-hmac
!
! Associates all crypto values and peering address for the IPsec tunnel.
crypto map to_corporate 1 ipsec-isakmp
set peer 200.1.1.1
set transform-set set1
match address 105
!
!
! VLAN 1 is the internal home network.
interface vlan 1
ip address 10.1.1.1 255.255.255.0
ip nat inside
ip inspect firewall in ! Inspection examines outbound traffic.
crypto map static-map
no cdp enable
!
! FE4 is the outside or Internet-exposed interface
interface fastethernet 4
ip address 210.110.101.21 255.255.255.0
! acl 103 permits IPsec traffic from the corp. router as well as
! denies Internet-initiated traffic inbound.
ip access-group 103 in
ip nat outside
no cdp enable
crypto map to_corporate ! Applies the IPsec tunnel to the outside interface.
!
! Utilize NAT overload in order to make best use of the
! single address provided by the ISP.
ip nat inside source list 102 interface Ethernet1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 210.110.101.1
no ip http server
!
!
! acl 102 associated addresses used for NAT.
access-list 102 permit ip 10.1.1.0 0.0.0.255 any
! acl 103 defines traffic allowed from the peer for the IPsec tunnel.
access-list 103 permit udp host 200.1.1.1 any eq isakmp
access-list 103 permit udp host 200.1.1.1 eq isakmp any
access-list 103 permit esp host 200.1.1.1 any
! Allow ICMP for debugging but should be disabled because of security implications.
access-list 103 permit icmp any any
access-list 103 deny ip any any ! Prevents Internet-initiated traffic inbound.
! acl 105 matches addresses for the IPsec tunnel to or from the corporate network.
access-list 105 permit ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.255.255
no cdp run