Cisco Easy VPN Remote を使用するための制約事項
必要な Easy VPN サーバ
Cisco Easy VPN Remote 機能を適用するには、宛先ピアとして、Cisco Easy VPN Server 機能をサポートしている Cisco IOS Easy VPN サーバまたは VPN コンセントレータを使用します。このマニュアルが発行された時点で、(言及のソフトウェア リリース動作時に)この機能をサポートするサーバまたはコンセントレータは次のとおりです。
• Cisco 806、Cisco 826、Cisco 827、Cisco 828、Cisco 831、Cisco 836、および Cisco 837 ルータ(Cisco IOS Release 12.2(8)T 以降)。Cisco 800 シリーズ ルータは、Cisco IOS Release 12.3(7)XR ではサポートされていませんが、Cisco IOS Release 12.3(7)XR2 ではサポートされています。
• Cisco 870 シリーズ(Cisco IOS Release 12.3(8)YI1)。
• Cisco 1700 シリーズ(Cisco IOS Release 12.2(8)T 以降)。
• Cisco 1800 シリーズ(Cisco IOS Release 12.3(8)YI)。
• Cisco 1812 ルータ(Cisco IOS Release 12.3(8)YH)。
• Cisco 2600 シリーズ(Cisco IOS Release 12.2(8)T 以降)。
• Cisco 3620 シリーズ(Cisco IOS Release 12.2(8)T 以降)。
• Cisco 3640 シリーズ(Cisco IOS Release 12.2(8)T 以降)。
• Cisco 3660 シリーズ(Cisco IOS Release 12.2(8)T 以降)。
• Cisco 7100 シリーズ VPN ルータ(Cisco IOS Release 12.2(8)T 以降)。
• Cisco 7200 シリーズ ルータ(Cisco IOS Release 12.2(8)T 以降)。
• Cisco 7500 シリーズ ルータ(Cisco IOS Release 12.2(8)T 以降)。
• Cisco PIX 500 シリーズ(ソフトウェア リリース 6.2 以降)。
• Cisco VPN 3000 シリーズ(ソフトウェア リリース 3.11 以降)。
Easy VPN サーバ上でサポートされる ISAKMP ポリシーはグループ 2 に限る
Unity プロトコルは、グループ 2(1024 ビット Diffie-Hellman)の Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ネゴシエーションを使用する Internet Security Association Key Management Protocol(ISAKMP; インターネット セキュリティ アソシエーション キー管理プロトコル)ポリシーだけをサポートします。そのため、Cisco Easy VPN Remote 機能で使用している Easy VPN サーバは、グループ 2 の ISAKMP ポリシー用に設定する必要があります。Easy VPN サーバは、Cisco Easy VPN Client と連携して使用されている場合、グループ 1 又はグループ 5 の ISAKMP 用に設定できません。
トランスフォーム セットのサポート
セキュアなトンネル接続を確保するため、Cisco Easy VPN Remote 機能では、暗号化だけを行い認証を行わないトランスフォーム セット(ESP-DES および ESP-3DES)や、認証だけを行い暗号化を行わないトランスフォーム セット(ESP-NULL ESP-SHA-HMAC および ESP-NULL ESP-MD5-HMAC)はサポートされていません。
(注) Cisco Unity Client プロトコルでは、Authentication Header(AH; 認証ヘッダー)認証はサポートされていませんが、Encapsulation Security Protocol(ESP; カプセル化セキュリティ プロトコル)はサポートされています。
Easy VPN Remote 用のダイヤル バックアップ
この機能では、回線ステータス ベースのバックアップはサポートされていません。
ネットワーク アドレス変換の相互運用性のサポート
スプリット トンネリングが使用されているクライアント モードでは、Network Address Translation(NAT; ネットワーク アドレス変換)の相互運用性はサポートされていません。
マルチキャスト NAT およびスタティック NAT
マルチキャスト NAT およびスタティック NAT は、Dynamic Virtual Tunnel Interface(DVTI; ダイナミック仮想トンネル インターフェイス)を使用する Easy VPN Remote だけにサポートされています。
仮想 IPsec インターフェイスの制約事項
• 仮想 IPsec インターフェイス サポート機能を動作するには、仮想テンプレートをサポートする必要があります。
• Easy VPN Remote デバイス上で仮想トンネル インターフェイスを使用する場合、サーバを仮想トンネル インターフェイス用に設定することを推奨します。
デュアル トンネルのサポート
内部インターフェイスおよび外部インターフェイスを共有する複数のデュアル トンネルを使用する場合、次の制約事項が適用されます。
• デュアル トンネルを設定する場合、いずれか 1 つのトンネルに、サーバ上でスプリット トンネルを設定する必要があります。
• これらのトンネルのうち、Web インターセプトを設定できるのは 1 つだけです。音声トンネルに Web インターセプトは使用できません。
• IP 電話に Web インターセプトを使用するためには、認可プロキシに IP 電話のバイパス方法を認識させます。
• 1 つのトンネルを介したときだけ使用できる機能(モード設定交換によるコンフィギュレーション URL のプッシュ機能など)もあります。
Easy VPN Client におけるシスコ トンネリング制御プロトコル(cTCP)のサポート
• cTCP がリスンするポートの数は最大で 10 個です。
• cTCP がイネーブルになっているポートに他のアプリケーションが登録されている場合、それらのアプリケーションは動作しません。
DHCP を使用するユニバーサル クライアント モード
• Easy VPN Remote 機能では、DHCP を使用するユニバーサル クライアント モードはサポートされません。
ローカル トラフィックによってトリガーされるアクティベーション
この機能により、ローカルで生成された対象のトラフィックとの Easy VPN 接続を設定できます。
前提条件
• Easy VPN は接続 ACL モードで設定する必要があります。
• ローカル トラフィック機能は、非アクティブな Easy VPN トンネルが 1 つ以上接続 ACL モードにある場合にだけイネーブルになります。
• このローカル トラフィック機能は、接続 ACL モードにあるすべての Easy VPN トンネルがアクティブである、または接続 ACL モードにある VPN クライアント設定がない場合に自動的にディセーブルになります。
カスケード ACL
カスケード ACL は、Easy VPN 関心リストに新しいネットワークを追加するために使用します。ACL 内のいずれのエントリも、内部インターフェイス ネットワークに一致していない必要があります。一致が発生すると、Easy VPN が NAT ルールの作成に失敗するため、Easy VPN によってパケットが変換されません。
Cisco Easy VPN Remote について
Cisco Easy VPN Remote 機能を設定するには、次の事項を理解してください。
• 「Cisco Easy VPN Remote 機能の特長」
• 「Cisco Easy VPN Remote の概要」
• 「動作モード」
• 「Cisco Easy VPN Remote を使用する認証」
• 「トンネル アクティベーション オプション」
• 「デッド ピア検出ステートレス フェールオーバーのサポート」
• 「Cisco Easy VPN Remote 機能の概要」
Cisco Easy VPN Remote 機能の特長
• エンドユーザ ポリシーをダイナミックに設定できます。そうすることで、エンドユーザや現場の技術者が手動で行うべき設定が減るため、エラーおよびテクニカル サポートへの問い合せも少なくできます。
• プロバイダーが、必要に応じて機器やネットワークの設定を変更できるようになるため、エンドユーザの機器を再設定する必要がほぼなくなります。
• セキュリティ ポリシーを一元的に管理できます。
• 大規模な導入作業においても、ユーザ プロビジョニングを速やかに行えます。
• エンドユーザが、外部 VPN デバイスを購入して設定する必要がなくなります。
• エンドユーザが、各自の PC 上に Easy VPN Client のソフトウェアをインストールして設定する必要がなくなります。
• PC からルータへの VPN 接続を構成してメンテナンスを行う必要がなくなります。
• PC ベースのソフトウェア VPN Client や外部のハードウェアベース VPN ソリューションなど、さまざまな VPN アプリケーション間での相互運用性の問題が減ります。
• サポートされている複数のサブネットの数や split-include リストのサイズにかかわらず、IPsec トンネルを 1 つ設定します。
Cisco Easy VPN Remote の概要
ケーブル モデムや xDSL ルータなど、インターネットへの接続性能が高いブロードバンド アクセスにはさまざまな形式がありますが、多くのアプリケーションでは、高度な認証を実行したり、2 つのエンドポイント間のデータを暗号化したりするなど、VPN 接続に対するセキュリティが必要です。また、2 つのルータ間に VPN 接続を確立するには、複雑な作業が伴う場合がありますし、2 つのルータの VPN パラメータを設定するには普通、ネットワーク管理者間で面倒な調整が必要です。
Cisco Easy VPN Remote 機能を使い、Cisco Unity Client プロトコルを実装することで、VPN パラメータが Cisco IOS Easy VPN サーバで定義できるようになるため、こうした面倒な作業が大幅に軽減されます。サーバには、Cisco VPN 3000 コンセントレータや Cisco PIX ファイアウォールなどの専用 VPN デバイスを使用できるほか、Cisco Unity Client プロトコルをサポートする Cisco IOS ルータも使用できます。
Cisco Easy VPN サーバを設定すると、Cisco 800 シリーズ ルータや Cisco 1700VPN シリーズ ルータなどの Easy VPN Remote 上で最小限の設定を行うだけで、VPN 接続を構成できます。Easy VPN Remote による VPN トンネル接続が開始すると、Cisco Easy VPN サーバでは、IPsec ポリシーが Easy VPN Remote にプッシュされ、それに対応する VPN トンネル接続が構成されます。
Cisco Easy VPN Remote 機能を使って次の各処理を自動で管理できます。
• アドレス、アルゴリズム、ライフタイムなど、さまざまなトンネル パラメータのネゴシエーション
• 設定済みパラメータに基づいたトンネルの確立
• NAT または Port Address Translation(PAT; ポート アドレス変換)、および必要な関連アクセス リスト(存在する場合)の自動作成
• ユーザの認証(ユーザ名、グループ名、およびパスワードによるユーザの身元確認)
• 暗号化/復号化に使用するキーの管理
• トンネルを介したデータの認証、暗号化、および復号化
動作モード
Cisco Easy VPN Remote 機能は、クライアント、ネットワーク拡張、ネットワーク拡張プラスという 3 つの動作モードをサポートしています。各モードの詳細は次のとおりです。
• クライアント:実行する NAT または PAT を指定し、VPN トンネルのリモート エンドにある PC などのホストで、宛先サーバの IP アドレス空間に含まれる IP アドレスを使用しないプライベート ネットワークを構成します。
機能拡張により、モードの設定を介して取得される IP アドレスは、使用可能なループバック インターフェイスに自動で割り当てられます。この IP アドレスに対する IPsec Security Association(SA; セキュリティ アソシエーション)は、Easy VPN Remote により自動的に作成されます。この IP アドレスは通常、(ping、Telnet、および セキュア シェルを使用した)トラブルシューティングに使用します。
• ネットワーク拡張:IP アドレスを付与する(VPN トンネルのクライアント エンド上の)PC およびその他のホストを指定します。その IP アドレスは、トンネル化されたネットワーク上の宛先ネットワークを介して全体にルーティングおよび到達可能なため、1 つの論理ネットワークを構成します。PAT は適用されないため、クライアント PC およびホストから、宛先ネットワークにある PC およびホストへ直接アクセスできます。
• ネットワーク拡張プラス(mode network-plus):ネットワーク拡張モードの機能に加え、モードの設定を介して要求した IP アドレスを、使用可能なループバック インターフェイスに自動的に割り当てることができます。この IP アドレスの IPsec SAは、Easy VPN Remote により自動的に作成されます。この IP アドレスは通常、(ping、Telnet、および セキュア シェルを使用した)トラブルシューティングに使用します。
(注) この機能は、Cisco Easy VPN サーバと Cisco Easy VPN クライアントに同じタイプの Easy VPN コンフィギュレーションがある場合にだけサポートされます。つまり、両方でレガシー Easy VPN コンフィギュレーションを使用する、または両方で DVTI コンフィギュレーションを使用する必要があります。
これらの動作モードはいずれも、オプションとしてスプリット トンネリングをサポートしています。スプリット トンネリングを使用すると、VPN トンネルを介して社内リソースへセキュアにアクセスできるほか、Internet Service Provider(ISP; インターネット サービス プロバイダー)やその他のサービスとの接続を介してインターネットへアクセスできるため、Web アクセスのパスから社内リソースを除外できます。
クライアント モードおよびネットワーク拡張モードのシナリオ
図 1 は、クライアント モードの動作例を図示したものです。この例では、2 つの PC に対してそれぞれ、プライベート ネットワークのアドレス空間 10.0.0.0 に属する IP アドレスが割り当てられており、この 2 つの PC へのアクセスを Cisco 831 ルータが仲介しています。Cisco 831 ルータには、同じくプライベート ネットワークのアドレス空間 10.0.0.0 に属する IP アドレスが割り当てられており、2 つの PC は Cisco 831 ルータ上のイーサネット インターフェイスに接続しています。Cisco 831 ルータは、2 つの PC から宛先ネットワークへアクセスできるように VPN トンネル上で NAT または PAT を実行します。
図 1 Cisco Easy VPN Remote 接続
(注) また、図 1 の図はスプリット トンネリング接続を表しています。クライアント PC からグローバル インターネットにあるパブリック リソースへアクセスできます(パブリック リソースへのパスに、社内ネットワークは含みません)。
図 2 も、クライアント モードの動作例を図示したものです。ここでは、VPN コンセントレータが、複数の xDSL クライアントに対する宛先エンドポイントになっています。この例では、複数ある小規模企業クライアントに対してそれぞれ、プライベート ネットワークのアドレス空間 10.0.0.0 に属する IP アドレスが割り当てられており、これらのクライアントへのアクセスを Cisco 800 シリーズ ルータが仲介しています。Cisco 800 シリーズ ルータは、2 つの PC から宛先ネットワークへアクセスできるように VPN トンネル上で NAT または PAT を実行します。
図 2 Cisco Easy VPN Remote 接続(VPN コンセントレータを使用した場合)
図 3 は、ネットワーク拡張モードの動作例を図示したものです。この例では、Cisco 831 ルータおよび Cisco 1700 シリーズ ルータがともに、Cisco Easy VPN Remote デバイスとして機能し、Cisco VPN 3000 コンセントレータへの接続を行います。
クライアント ホストには、トンネル上の宛先ネットワークを介して全体にルーティング可能な IP アドレスが付与されます。これらの IP アドレスは、トンネル上で正しくルーティングされるように宛先ルータが設定されていれば、宛先ネットワークと同じサブネット空間に属していても、別のサブネット空間に属していても構いません。
この例の場合、2 つのルータに接続された PC およびホストには、宛先の企業ネットワークと同じアドレス空間に属する IP アドレスが付与されています。Cisco 831 ルータには、同じく企業ネットワークのアドレス空間に属する IP アドレスが割り当てられており、PC はすべて Cisco 831 ルータ上のイーサネット インターフェイス接続しています。この図は、リモート ネットワークをシームレスに拡張したものです。
図 3 Cisco Easy VPN ネットワーク拡張接続
Cisco Easy VPN Remote を使用する認証
Cisco Easy VPN Remote 機能は、中央のコンセントレータへのリモート ルータを認証する 2 段階プロセスをサポートします。第 1 段階で行われるのは、コントロール チャネル作成の一部であるグループ レベル認証です。ここでは、事前共有キー、デジタル証明書という 2 種類の認証クレデンシャルを使用できます。各認証クレデンシャルの詳細については後述します。
第 2 段階では、eXtended Authentication(Xauth; 拡張認証)が行われます。ここでは、リモート側(この場合は Easy VPN ルータ)から中央のルータへユーザ名およびパスワードが送信されます。これは、PC 上の Cisco VPN ソフトウェア クライアントで、ユーザが VPN トンネルをアクティブにするためにユーザ名およびパスワードを入力した場合のプロセスと同じものです。ただし、ルータを使用している場合には、ルータそのものが認証の対象となり、その認証は Cisco VPN Client ソフトウェアを搭載した PC に対してではなく、ネットワークに対して行われます。Xauth はオプション(ディセーブル化可能)ですが、セキュリティを強化するために、通常はイネーブルになっています。Xauth による認証が完了し、トンネルがアップすると、Easy VPN Remote ルータの後に配置されているすべての PC からトンネルへアクセスできるようになります。
Xauth がイネーブルになっている場合、ユーザ名およびパスワードの入力方法を指定することが重要です。入力方法は 2 つあります。1 つは、Xauth のユーザ名とパスワードをルータのコンフィギュレーション ファイルに格納しておく方法です。この方法を使うのは通常、ルータを複数の PC が共有している環境において、VPN トンネルを常時アップ状態にしておく場合( 「自動アクティベーション」 を参照)か、送信すべきデータが発生するたびにルータにトンネルを自動でアップさせる場合( 「トラフィックトリガー アクティベーション」 を参照)です。そうした具体例の 1 つに支店での環境があります。支店では、ユーザがデータを送信するたびに、特別な操作せずに VPN トンネルがアップ状態になれば便利です。このような支店において、個々の PC で各ユーザの ID に基づく認証が必要な場合、Easy VPN ルータを自動アクティベーション モードにして、トンネルを常時アップ状態にし、Cisco IOS 認証プロキシまたは Cisco IOS 802.1x を使用して各 PC を個別に認証します。トンネルが常時アップ状態になるため、認証プロキシまたは 802.1x で AAA/RADIUS などの中央にあるユーザ データベースにアクセスして、PC ユーザから送信されるユーザ要求を個別に認証できます(認証プロキシの設定方法については、 「関連資料」 の「IPsec および VPN の一般情報」を、802.1x 認証の設定方法については「802.1x 認証」を参照してください)。
もう 1 つは、Xauth のユーザ名およびパスワードを、ルータ上に格納しないで入力する方法です。この場合、ルータに接続されている PC ユーザには、ユーザ名およびパスワードを手動で入力するための Web ページが表示されます( 「手動アクティベーション」 を参照)。入力されたユーザ名およびパスワードは、ルータから中央のコンセントレータに送信され、それらが正しい場合、トンネルがアップします。この方法を使う典型例は、テレワーカーのネットワークです。テレワーカーは、トンネルをいつアップ状態にするか管理できれば便利です。トンネルをアップ状態にするには、各自のユーザ クレデンシャル(場合によりワンタイム パスワードを含む)を入力する必要があります。ネットワーク管理者にとっても、中央のコンセントレータにあるリソースを保護するためには、テレワーカー用のトンネルは使用時にだけアップするのが理想です(この設定の詳細については、 「Web ベース アクティベーション」 を参照してください)。
Xauth のユーザ名およびパスワードは、ルータの Command-Line Interface(CLI; コマンドライン インターフェイス)からも手動で入力できます。しかし、ユーザは最初にルータへログインする必要がある(そのときにユーザ ID が必要になる)ため、この方法は推奨できません。ただし、ネットワーク管理者がトラブルシューティングを行う場合には便利です。
事前共有キーの使用
事前共有キーを使用すると、各ピア間でキーを共有できます。事前共有キーは設定の実行中に表示されるため、誰にでも判読できるようになっています(このような状態をクリア形式といいます)。シスコのソフトウェアでは、暗号化事前共有キーという別のタイプの事前共有キーもサポートしています。よりセキュアな認証が必要な場合は、暗号化事前共有キーを使用することもできます。
認証に暗号化事前共有キーを使用すると、平文のパスワードを NVRAM のタイプ 6(暗号化)形式でセキュアに保管できます。グループ事前共有キーは、双方の VPN トンネル ピア上で事前に設定できます。暗号化されたキーワードは、実行設定で確認できますが、その実際の内容は表示されません(暗号化事前共有キーの詳細については、「 Encrypted Preshared Key 」を参照してください)。
デジタル証明書の使用
デジタル証明書を使用すると、Easy VPN Remote デバイス上で Rivest, Shamir, and Adelman(RSA)シグニチャがサポートされます。このサポートは、リモート デバイスの内部または外部に格納できる RSA 証明書を介して実現されます。
(注) デジタル証明書を使用した Easy VPN に対するタイムアウト時間の推奨値は 40 秒です。
デジタル証明書の詳細については、『 Easy VPN Remote RSA Signature Support 』のフィーチャ ガイド、リリース 12.3(7)T1 を参照してください。
Xauth の使用
Xauth は、付加的な水準の認証方法です。Xauth は、グループ事前共有キーまたはデジタル証明書の使用時に使用できます。Xauth クレデンシャルは、Security Device Manager(SDM)などの Web インターフェイス マネージャか、CLI を使用して入力します( 「Cisco Easy VPN Remote Web マネージャ」 を参照)。
パスワード保存機能を使用すると、Xauth のユーザ名およびパスワードを Easy VPN Remote コンフィギュレーションに保存できるため、それらを手動で入力する必要がなくなります。ただし、One-Time Passwords(OTP; ワンタイム パスワード)はパスワード保存機能ではサポートされていないため、Xauth の要求時に手動で入力する必要があります。パスワード保存機能を有効にするには、Easy VPN サーバの設定を行う必要があります(パスワード保存機能の設定方法については、 「デッド ピア検出定期メッセージ オプション」 を参照してください)。
Xauth は Easy VPN サーバにより制御されます。Cisco IOS Easy VPN サーバにより Xauth 認証が要求されると、ルータのコンソールに次のメッセージが表示されます。
EZVPN: Pending XAuth Request, Please enter the following command:
crypto ipsec client ezvpn xauth
このメッセージが表示されたら、 crypto ipsec client ezvpn connect コマンドを入力し、それ以降に表示されるプロンプトに従って、ユーザ ID やパスワードなど必要な情報を入力します。
Xauth のタイムアウト時間の推奨値は 50 秒以下です。
(注) ユーザ名およびパスワードを入力する際のタイムアウト時間は、Cisco IOS Easy VPN サーバの設定により決まります。サーバ上で Cisco IOS ソフトウェアが実行されている場合、このタイムアウト時間は、crypto isakmp xauth timeout コマンドで指定します。
Web ベース アクティベーション
Web ベース アクティベーションを使用すると、リモート テレワーカーのリモート Easy VPN ルータと中央に配置されたルータ間にある VPN トンネルの認証が簡単になります。管理者は、この機能を使用することにより、いずれかのリモート PC から送信された初期 HTTP 要求をリモート Easy VPN ルータが代行受信するようにリモート LAN を設定できます。ユーザは、返されたログイン ページで、VPN トンネルの認証に必要なクレデンシャルを入力します。いったん VPN トンネルがアップすれば、このリモート サイトに属するユーザは全員、ユーザ名とパスワードを入力することなく、社内 LAN にアクセスできます。各ユーザは、VPN トンネルをバイパスし、インターネットにだけ接続するよう選択することもできます。その際も、パスワードは不要です。
Web ベース アクティベーションが使用される典型例は、在宅テレワーカーの環境です。この環境では、在宅テレワーカーが社内 LAN に接続する必要があるときだけ、Easy VPN トンネルがアップします。リモート テレワーカー本人以外の家族(配偶者や子供)も、[Internet Only] オプションを使用すれば、VPN トンネルをアップすることなく、インターネットにアクセスできます。図 4 は、Web ベース アクティベーションの典型的なシナリオを図示したものです。
図 4 Web ベース アクティベーションの典型的なシナリオ
(注) Xauth クレデンシャルを入力すると、そのリモート サイトに属するすべてのユーザに対してトンネルがアップします。トンネルがアップした後でリモート サイトに追加された PC には、Xauth クレデンシャルを入力するためのプロンプトは表示されません。Web ベース アクティベーションは、すべてのリモート PC に対して VPN トンネルをアップ状態にするための認証方法であり、ユーザ別の認証を行うための方法ではありません。VPN トンネル アクセスに関するユーザ別認証を行う場合は、Cisco IOS 認証プロキシまたは 802.1x を使用します。その際に使用する機能は、リモート Easy VPN ルータ上で設定できます(認証プロキシの設定方法については、「関連資料」の「IPsec および VPN の一般情報」を、802.1x 認証の設定方法については「802.1x 認証」を参照してください)。
Web ベース アクティベーションの設定方法については、 「Web ベース アクティベーションの設定」 を参照してください。
ここでは、Web ベース アクティベーション機能がオンになっている場合に、リモート テレワーカーに対して表示されるさまざまな画面について説明します。
• 「Web ベース アクティベーション ポータル ページ」
• 「VPN 認証バイパス」
• 「VPN トンネル認証」
• 「認証の成功」
• 「無効化」
Web ベース アクティベーション ポータル ページ
図 5 は、Web ベース アクティベーション ポータル ページの一例です。ユーザは、社内 LAN に接続するか、インターネットにだけ接続するかをクリック操作で選択できます。社内 LAN に接続する場合は [Connect Now] を、インターネットにだけ接続する場合は [Internet Only] をそれぞれクリックします。
(注) インターネットにだけ接続する場合、パスワードは不要です。
図 5 ポータル ページ
VPN 認証バイパス
図 6 は、Web ベース アクティベーション ポータル ページで、ユーザがインターネットにだけ接続するために [Internet Only] オプションをクリックした場合の表示例です。このオプションの最大の特長は、リモート テレワーカー本人が業務に使用する VPN トンネルの認証を行えない場合でも、その家族がインターネットを利用できることです。
図 6 [VPN Authentication Bypass] ページ
(注) [Web-Based Activation] ウィンドウを誤って閉じてしまっても、次の 2 段階の手順により再接続できます。
1. ブラウザに、「http://routeripaddress/ezvpn/bypass」と入力し、その URL への接続を試みます。この URL を入力すると、([Internet Only] ボタンをクリックした際に)ご使用の IP アドレスに対して作成されていたバイパス ステートはクリアされます。この URL にアクセスするのはバイパス ステートをクリアするためです。ページが見つからないという内容のメッセージが表示されても問題はありません。
2. バイパス ステートをクリアすると、外部のサイトを表示できます。[Connect and Bypass] ページが再度表示されます。[Connect] ボタンをクリックすると、VPN に接続できます。
VPN トンネル認証
図 7 は、Web ベース アクティベーション ポータル ページで、ユーザが社内 LAN に接続するためにユーザ名およびパスワードを入力した場合の表示例です。ユーザが認証されると、そのリモート サイトに対して Easy VPN トンネルがアップします。リモート サイトに複数の PC が存在する場合、トンネルがアップした後に追加されたユーザは、社内 LAN に接続する場合でも、Xauth クレデンシャルを要求されません。
図 7 VPN トンネル認証
認証の成功
図 8 は、アクティベーションに成功した場合の画面の表示例です。VPN トンネルを無効にする場合、[Disconnect] ボタンをクリックします。IKE SA がタイムアウトした場合(デフォルトでは 24 時間)、リモート テレワーカーは Xauth クレデンシャルを入力してトンネルを再びアップ状態にする必要があります。
図 8 アクティベーションの成功
無効化
図 9 は、VPN トンネルの無効化が完了した場合の表示例です。このページは、5 秒間表示された後、自動的に閉じます。
図 9 VPN トンネルの無効化の完了
802.1x 認証
802.1x 認証機能を使用すると、Cisco IOS ルータにおいて、Easy VPN をクライアント モードで動作させながら、802.1x 認証を実行できます。この機能の詳細については、 「その他の参考資料」 の「802.1x 認証」を参照してください。
トンネル アクティベーション オプション
トンネル アクティベーションには 3 つのオプションがあります。
• 自動アクティベーション
• 手動アクティベーション
• トラフィックトリガー アクティベーション(Cisco IOS Release 12.3(11)T では使用できません)
SDM では、トンネル接続/接続解除オプションを使用できます。
自動アクティベーション
インターフェイスに対して Cisco Easy VPN Remote 機能が設定されると、Cisco Easy VPN トンネルへの接続が自動的に行われます。タイムアウトするか接続に失敗したトンネルは、自動的に再接続が試行され、接続が確立するまで何度でも再試行されます。
Cisco Easy VPN Remote デバイスで自動トンネル制御を指定するには、 crypto ipsec client ezvpn コマンドを設定してから、 connect auto コマンドを設定する必要があります。ただし、Easy VPN Remote コンフィギュレーションを新たに作成する場合は、デフォルトで「自動」が設定されるため、これらのコマンドを使用する必要はありません。
特定のトンネルを接続解除またはリセットする場合は、 clear crypto ipsec client ezvpn コマンドを使用します。ただし、SDM を使用することもできます。
手動アクティベーション
Cisco Easy VPN Remote ソフトウェアには、Cisco Easy VPN トンネルの手動制御機能が実装されています。これにより、トンネルの確立および終端をオンデマンドで行えます。
Cisco Easy VPN Remote デバイスで手動トンネル制御を指定するためには、 crypto ipsec client ezvpn コマンドを入力し、次に connect manual コマンドを入力する必要があります。
手動制御を指定すると、Cisco Easy VPN Remote は、Cisco Easy VPN Remote 接続の確立が試行されるまで、コマンドの入力を待機することになります。トンネルがタイムアウトまたは接続に失敗すると、後続の接続でも、コマンドの入力を待機しなくてはなりません。
設定が手動の場合、トンネルは crypto ipsec client ezvpn connect コマンドの発行後にだけ接続されます。
特定のトンネルを接続解除またはリセットする場合は、 clear crypto ipsec client ezvpn コマンドを使用します。ただし、SDM を使用することもできます。
手動トンネル制御の詳しい設定方法については、 「手動トンネル制御の設定」 を参照してください。
トラフィックトリガー アクティベーション
(注) この機能は Cisco IOS Release 12.3(11)T では使用できません。
トランザクション ベースの VPN アプリケーションには、トラフィックトリガー アクティベーション機能の使用を推奨します。また、Easy VPN コンフィギュレーションのバックアップを行う場合にも、Easy VPN ダイヤル バックアップ機能とこの機能を併用することを推奨します。これにより、トンネルを介してトラフィックを送信する場合だけ、バックアップがアクティブになります。
Access Control List(ACL; アクセス コントロール リスト)トンネル制御を使用するためには、あらかじめ「関心のある」トラフィックを記述しておく必要があります。ACL の詳細については、『 Cisco IOS Security Configuration Guide: Securing the Data Plane 』の「 IP Access List Overview 」の章を参照してください。ACL トリガー トンネルの設定を実際に行う場合は、 crypto ipsec client ezvpn コマンドを connect acl コマンドと一緒に使用します。
デッド ピア検出ステートレス フェールオーバーのサポート
デッド ピア検出ステートレス フェールオーバーを設定する場合、次の 2 つのオプションを使用できます。
• バックアップ サーバ リスト ローカル設定
• バックアップ サーバ リスト自動設定
バックアップ サーバ リスト ローカル設定
バックアップ サーバ リスト ローカル設定機能では、複数の peer 文を入力できます。この機能が設定されていると、クライアントがピアに接続しようとして、そのネゴシエーションに失敗した場合、Easy VPN では次のピアへのフェールオーバーが実行されます。フェールオーバーは、ピアのリストに従って順次行われます。最後のピアに到達すると、Easy VPN により先頭のピアに戻ります。直前のピアの IKE SA および IPsec SA は削除されます。ホスト名だけでなく双方の IP アドレスにも、複数の peer 文が使用できます。peer 文を設定したり設定解除したりしても、peer 文の配列は変更されません。
この機能を使用するには、 peer コマンドを crypto ipsec client ezvpn コマンド後に使用します。
バックアップ サーバ リスト自動設定
Cisco IOS ソフトウェアをベースにした Easy VPN Remote に対しては、冗長構成用に最大 10 のバックアップ サーバを設定できます。バックアップ サーバ機能を使用すると、Easy VPN サーバから Easy VPN Remote へ、バックアップ サーバ リストをプッシュできます。
管理者は、バックアップ リストを使用することで、障害や再送信の発生時や Dead Peer Detection(DPD; デッド ピア検出)メッセージの受信時に特定の Easy VPN Remote の接続先となるバックアップ サーバを制御できます。
(注) バックアップ サーバ機能を有効にするには、サーバ上でバックアップ サーバ リストを事前に設定しておく必要があります。
バックアップ サーバのしくみ
リモート A は、サーバ A への接続に失敗すると、サーバ B への接続を試みます。サーバ B にバックアップ リストが設定されていれば、そのリストによってサーバ A のバックアップ サーバ リストは上書きされます。サーバ B への接続にも失敗すると、リモート A は、設定済みのバックアップ サーバへ順次接続を試みます。
(注) 自動モードの場合、ユーザはサーバ A で障害があれば、サーバ B へ自動的に移行します。ただし、手動モードの場合は、移行の設定を手動で行う必要があります。移行の設定を手動で行う場合は、connect キーワードを指定して crypto ipsec client ezvpn コマンドを使用します。
この機能をイネーブルにするために、Easy VPN Remote で新たな設定を行う必要はありません。現在のサーバを表示する場合は、 show crypto ipsec client ezvpn コマンドを使用します。Easy VPN サーバによりプッシュされたピアを検索する場合も、同じコマンドを使用できます。
この機能のトラブルシューティングを行う場合は、 debug crypto ipsec client ezvpn コマンドを使用します。トラブルシューティングを行う上で、より詳細な情報が必要な場合は、 debug crypto isakmp コマンドを使用してください。トラブルシューティングには、 show crypto ipsec client ezvpn コマンドを使用することもできます。
Cisco Easy VPN Remote 機能の概要
Cisco Easy VPN Remote は、複数の機能で構成された機能群であり、Cisco IOS Release 12.2(4)YA で初めて導入されて以降、さまざまな改良がなされています。Cisco Easy VPN Remote を構成する機能は次のとおりです。
• 「デフォルト内部インターフェイス」:Cisco 800 シリーズ ルータのデフォルト Easy VPN 内部インターフェイスを自動設定できます。
• 「内部インターフェイスの複数サポート」:Cisco Easy VPN Remote 上で、内部インターフェイスを最大 8 つまで設定できます。
• 「外部インターフェイスの複数サポート」:外部インターフェイスに対して外部トンネルを最大 4 つまで設定できます。
• 「VLAN のサポート」:VLAN を、有効な Easy VPN 内部インターフェイスとして設定できます。
• 「サブネットの複数サポート」:Easy VPN 内部インターフェイスに接続された複数のサブネットを、Easy VPN トンネルに含めることができます。
• 「NAT 相互運用性のサポート」:IPsec VPN トンネルの接続が解除された場合に、NAT の設定が自動的に復旧します。
• 「ローカル アドレスのサポート」:Cisco Easy VPN Remote には、機能強化の一環として、local-address アトリビュートが新たに追加されました。このアトリビュートを使用すると、Easy VPN トンネル トラフィックの送信時に使用する IP アドレスを、どのインターフェイスで指定するかを設定できます。
• 「ピア ホスト名」:いずれかのピアがホスト名として定義された場合、そのホスト名は格納され、トンネルの接続時に Domain Name System(DNS; ドメイン ネーム システム)lookup が実行されます。
• 「プロキシ DNS サーバのサポート」:Cisco Easy VPN Remote コンフィギュレーションで、ルータを LAN 接続ユーザ用のプロキシ DNS サーバとして動作するように設定できます。
• 「Cisco IOS ファイアウォールのサポート」:この機能により、すべてのプラットフォーム上で、Cisco IOS ファイアウォールを設定できます。
• 「同一インターフェイスでの Easy VPN Remote および Easy VPN Server のサポート」:Easy VPN Remote と Easy VPN サーバが同一のインターフェイスでサポートされます。これにより、同じインターフェイスで同時に別の Easy VPN サーバへのトンネルを確立し、Easy VPN ソフトウェア クライアントを終端することができます。
• 「同一インターフェイスでの Easy VPN Remote およびサイトツーサイトのサポート」:Easy VPN Remote とサイトツーサイト(クリプト マップ)が同一のインターフェイスでサポートされます。これにより、別の Easy VPN サーバへのトンネルを確立すると同時に、同一のインターフェイスで別のサイトツーサイトを構成できます。
• 「Cisco Easy VPN Remote Web マネージャ」:組み込み Web インターフェイスを使用することにより、Cisco uBR905 および Cisco uBR925 ケーブル アクセス ルータ上で Cisco Easy VPN Remote 機能を管理できます。
• 「デッド ピア検出定期メッセージ オプション」:使用しているルータから、その IKE ピアの稼動状況について定期的に照会が行われるよう設定できます。
• 「ロード バランシング」:リモート デバイスが過負荷状態のため、これ以上トラフィックを受け入れられない場合、そのリモートが新たに接続すべき IKE サーバの IP アドレスを記載した通知メッセージが、VPN 3000 により送信されます。
• 「管理用拡張機能」:VPN リモートのリモート管理が可能です。
• 「PFS のサポート」:VPN リモート デバイスからの要求を受けて、サーバから Perfect Forward Secrecy(PFS; 完全転送秘密)コンフィギュレーション モードのアトリビュートが送信されます。
• 「ダイヤル バックアップ」:リモート デバイス上で、ダイヤル バックアップ トンネル接続を設定できます。
• 「仮想 IPsec インターフェイスのサポート」:インターネットだけでなく、さまざまな Easy VPN コンセントレータへトラフィックを選択的に送信できます(IPsec 仮想トンネル インターフェイス機能の参考資料についても説明があります)。
• 「デュアル トンネルのサポート」:内部インターフェイスおよび外部インターフェイスを共有する複数の Easy VPN トンネルを設定して、2 つのピアを 2 つの異なる VPN サーバへ同時に接続させることができます。
• 「バナー」:Easy VPN サーバによりプッシュされたバナーを、Easy VPN Remote デバイスにダウンロードできます。このバナーは、Xauth および Web ベース アクティベーションで使用できます。このバナーは、Easy VPN トンネルをアクティブにすると、Easy VPN Remote コンソール上に(Web ベース アクティベーションを使用している場合は HTML ページとして)表示されます。
• 「設定管理の拡張機能(モード設定交換による設定 URL のプッシュ)」:Easy VPN サーバによりプッシュされた URL を、Easy VPN Remote デバイスにダウンロードできます。また、設定の内容を Easy VPN Remote デバイスにダウンロードし、それを実行設定に適用することもできます。
• 「プライマリ ピアの再アクティブ化」:プライマリ ピアを指定できます。Easy VPN デバイスがプライマリ ピアからバックアップ ピアへフェールオーバーした後で、プライマリ ピアが再び使用可能になると、バックアップ ピアとの接続は切断され、プライマリ ピアとの接続が確立されます。
• 「同一アドレス指定のサポート」:この機能を使い Easy VPN と NAT を併用することで、複数のリモートと重複する内部 IP アドレスが Easy VPN サーバへ接続できます。
• 「Easy VPN Client におけるシスコ トンネリング制御プロトコル(cTCP)のサポート」:リモート デバイス(クライアント)およびヘッドエンド デバイス上で cTCP がイネーブルになっている場合、IKE および ESP(プロトコル 50)のトラフィックを TCP ヘッダーでカプセル化し、クライアントとヘッドエンド デバイスの間に配置されたファイアウォールを通過できる(TCP トラフィックと見なされる)ようにします。
デフォルト内部インターフェイス
Easy VPN Remote では、Cisco 800 シリーズ ルータのデフォルト Easy VPN 内部インターフェイスの自動設定がサポートされています。デフォルトの内部インターフェイスは、イーサネット 0 です。
Cisco 800 シリーズ ルータ上で、デフォルトの内部インターフェイスをディセーブルにし、別の内部インターフェイスを設定する場合は、まず新しい内部インターフェイスを設定したうえで、デフォルトの内部インターフェイスをディセーブルにする必要があります。デフォルトの内部インターフェイスをディセーブルにする場合は、次のコマンドを使用します。
no crypto ipsec client ezvpn name inside
新しい内部インターフェイスを設定する前に、デフォルトの内部インターフェイスをディセーブルにすると、次のようなメッセージ(3 行目および 4 行目)が表示されます。
Router(config)# interface ethernet0
Router(config-if)# no crypto ipsec client ezvpn hw-client inside
Cannot remove the single inside interface unless
one other inside interface is configured
内部インターフェイスの複数サポート
Cisco Easy VPN Remote 機能の内部インターフェイス サポートが強化され、すべのプラットフォーム上で 複数の内部インターフェイスを使用できるようになりました。次の強化されたコマンドを使用すると、内部インターフェイスを手動で設定できます。
crypto ipsec client ezvpn name [outside | inside]
(注) 複数の内部インターフェイスは、Cisco Easy VPN サーバと Cisco Easy VPN クライアントに同じタイプの Easy VPN コンフィギュレーションがある場合にだけサポートされます。つまり、両方でレガシー Easy VPN コンフィギュレーションを使用する、または両方で DVTI コンフィギュレーションを使用する必要があります。
複数の内部インターフェイスを設定する方法については、 「内部インターフェイスの複数設定」 を参照してください。
内部インターフェイスの複数サポート機能には、次のような特長があります。
• Cisco 800 シリーズおよび Cisco 1700 シリーズのルータ上では、内部インターフェイスが最大 8 つまでサポートされます。
• 各外部インターフェイスに対して、内部インターフェイスを少なくとも 1 つ設定する必要があります。この要件が満たされていないと、Cisco Easy VPN Remote 機能は接続を確立しません。
• 新しい内部インターフェイスを追加、または既存の内部インターフェイスを削除すると、Cisco Easy VPN Remote 接続(現在確立されているトンネル)は自動的にリセットされます。ただし、手動で設定されたトンネルは再接続する必要があります。その際、Cisco Easy VPN サーバにより Xauth が要求された場合は、ユーザに対してプロンプトが再度表示されます。Cisco Easy VPN Remote が、自動接続を行うように設定されており、かつ Xauth が要求されなければ、ユーザ入力は必要ありません。
• show crypto ipsec client ezvpn コマンドを使用すると、設定された内部インターフェイスまたはデフォルト設定を表示できます。
外部インターフェイスの複数サポート
Easy VPN Remote 機能では、各外部インターフェイスごとに 1 つの Easy VPN トンネルを使用できます。Cisco ルータ 1 台につき最大 4 つの Easy VPN トンネルを設定できます。各 Easy VPN トンネルに対しては、複数の内部インターフェイスを設定できますが、ダイヤル バックアップが設定されていない場合、Easy VPN トンネルと重複する内部インターフェイスは設定できません。ダイヤル バックアップの詳細については、 「ダイヤル バックアップ」 を参照してください。複数の外部インターフェイスを設定する場合は、 crypto ipsec client ezvpn コマンドおよび outside キーワードを使用します。
特定のトンネルを接続解除またはクリアする場合は、 clear crypto ipsec client ezvpn コマンドで IPsec VPN トンネルの名前を指定します。トンネル名を指定しないと、既存のトンネルがすべてクリアされます。
複数の外部インターフェイスを設定する方法については、 「外部インターフェイスの複数設定」 を参照してください。
VLAN のサポート
VLAN 上の内部インターフェイスで、Easy VPN がサポートされるようになりました。これは、12.3(7)XR よりも前の Cisco IOS リリースでは実現されなかったことです。この機能では、接続時に送信元プロキシとして VLAN サブネット アドレスまたは VLAN サブネット マスクを使用して SA を確立できます。
VLAN における内部インターフェイスのサポートを有効にするには、各 VLAN を Easy VPN 内部インターフェイスとして定義する必要があります。さらには、各内部インターフェイスに対し、他の内部インターフェイスと同じ方法で、IPsec SA を確立する必要があります。内部インターフェイスおよび外部インターフェイスの詳細については、 「内部インターフェイスの複数サポート」 および 「外部インターフェイスの複数サポート」 を参照してください。
VLAN に対する内部インターフェイスのサポート機能は、VLAN をサポートする Cisco ルータ上に限ってサポートされています。
サブネットの複数サポート
Easy VPN 内部インターフェイスに複数のサブネットが接続されている環境では、必要に応じてそれらのサブネットを Easy VPN トンネルに含めることができます。まず、Easy VPN トンネルに含めるサブネットを指定するため、ACL でそれらを定義します。ACL の設定方法については、 「その他の参考資料」 の「アクセス コントロール リストの設定」を参照してください。次に、 acl コマンドを crypto ipsec client ezvpn (グローバル)コマンド後に使用し、ACL を Easy VPN コンフィギュレーションにリンクする必要があります。Easy VPN 内部インターフェイスで定義されたサブネットだけでなく、ACL で定義された各サブネットに対しても、IPsec SA は、Easy VPN Remote によって自動的に作成されます。
(注) クライアント モードでは、サブネットの複数設定はできません。
(注) この機能は、Cisco Easy VPN サーバと Cisco Easy VPN クライアントに同じタイプの Easy VPN コンフィギュレーションがある場合にだけサポートされます。つまり、両方でレガシー Easy VPN コンフィギュレーションを使用する、または両方で DVTI コンフィギュレーションを使用する必要があります。
NAT 相互運用性のサポート
Cisco Easy VPN Remote では、NAT との相互運用性がサポートされています。NAT の設定と Cisco Easy VPN Remote コンフィギュレーションは併用可能です。IPsec VPN トンネルがダウンすると、NAT の設定が適用されます。
Cisco Easy VPN Remote 機能では、IPsec VPN トンネルが切断されると、ルータにより NAT の既存の設定が自動的に復旧します。ユーザ定義のアクセス リストは、切断の影響を受けません。トンネルがタイムアウトしたり、接続解除されたりしても、インターネットの中でトンネル化されていない領域であれば、ユーザは引き続きアクセスできます。
(注) スプリット トンネリングが使用されているクライアント モードでは、NAT の相互運用性はサポートされていません。
ローカル アドレスのサポート
Cisco Easy VPN Remote 機能では、新たに local-address アトリビュートが使用できるようになりました。このアトリビュートを使用すると、Easy VPN Remote トンネル トラフィックの送信時に使用する IP アドレスを、どのインターフェイスで指定するかを設定できます。local-address コマンドを使用してインターフェイスを指定したら、そのインターフェイスに固定 IP アドレスを手動で割り当てるか、 cable-modem dhcp-proxy interface コマンドを使用して、指定したインターフェイスにパブリック IP アドレスを自動設定します。設定の詳細については、 「プロキシ DNS サーバサポートの設定」 を参照してください。
ローカル アドレスのサポート機能は、すべてのプラットフォーム上で使用できますが、Cisco uBR905 および Cisco uBR925 ケーブル アクセス ルータにおいて cable-modem dhcp-proxy interface コマンドと併用すると、より効果を発揮します。通常、ループバック インターフェイスを使用してCisco uBR905 および Cisco uBR925 ケーブル アクセス ルータのトンネル トラフィックを探り当てます。
通常の DOCSIS ネットワークの場合、Cisco uBR905 および Cisco uBR925 ケーブル アクセス ルータでは普通、ケーブル モデム インターフェイスにプライベート IP アドレスを設定します。初期の Cisco Easy VPN Remote 機能では、Easy VPN Remote をサポートする場合、ケーブル モデム インターフェイスにはパブリック IP アドレスが必要でした。
現在の Cisco Easy VPN Remote 機能では、ケーブル プロバイダーがケーブル DHCP プロキシ機能を使用して、パブリック IP アドレスを取得し、それをケーブル モデム インターフェイス(通常はループバック インターフェイス)に割り当てることができます。
cable-modem dhcp-proxy interface コマンドの詳細については、『Master Commands List』( http://www.cisco.com/en/US/docs/ios/mcl/allreleasemcl/all_book.html )を参照してください。
(注) cable-modem dhcp-proxy interface コマンドがサポートされているのは、Cisco uBR905 ケーブル アクセス ルータおよび Cisco uBR925 ケーブル アクセス ルータだけです。
ピア ホスト名
Cisco Easy VPN Remote コンフィギュレーションでは、ピアを IP アドレスまたはホスト名として定義できます。通常、ピアがホスト名として定義されている場合は、ただちに DNS lookup が実行され、IP アドレスが取得されます。Cisco Easy VPN Remote 機能では、DNS エントリの変更をサポートするため、ピア ホスト名機能が強化されています。ピアがホスト名として定義された時点ではなく、トンネル接続が確立された時点で DNS lookup が実行されるように、ホスト名のテキスト文字列は保存されます。
ピア ホスト名機能をイネーブルにする方法については、 「Easy VPN Remote コンフィギュレーションの設定およびその割り当て」 を参照してください。
プロキシ DNS サーバのサポート
Easy VPN トンネルがダウンした場合には、ISP またはケーブル プロバイダーの DNS アドレスを使用して DNS 要求を解決する必要があります。WAN 接続がアップ状態にある場合は、企業の DNS アドレスを使用します。
WAN 接続がダウンした場合には、ケーブル プロバイダーの DNS アドレスを実際に使用する 1 つの手段として、Cisco Easy VPN Remote コンフィギュレーション内のルータを、プロキシ DNS サーバとして動作するよう設定できます。LAN に接続されているユーザに対しプロキシ DNS サーバとして動作しているルータは、実際の DNS サーバの代わりに、ローカル ユーザから DNS クエリーを受け取ります。これにより、DHCP サーバからは、ルータの LAN アドレスを DNS サーバの IP アドレスとして送信できます。WAN 接続がアップすると、ルータにより、実際の DNS サーバへ DNS クエリーが転送されると同時に、その DNS クエリーがキャッシュに記録されます。
プロキシ DNS サーバ機能をイネーブルにする方法については、 「プロキシ DNS サーバサポートの設定」 を参照してください。
Cisco IOS ファイアウォールのサポート
Cisco Easy VPN Remote 機能は、すべてのプラットフォーム上で、Cisco IOS ファイアウォールの設定と連動して機能します。
同一インターフェイスでの Easy VPN Remote および Easy VPN Server のサポート
この機能を使用すると、Easy VPN Remote と Easy VPN Server が、同一のインターフェイスでサポートされます。これにより、同じインターフェイスで、別の Easy VPN Server へのトンネルを確立すると同時に、Easy VPN ソフトウェア クライアントを終端することができます。Easy VPN Remote を使用して、社内 Easy VPN サーバへ接続すると同時に、ローカル ソフトウェア クライアント ユーザを終端する遠隔地などでは、この機能がよく使用されます。
同一インターフェイスでの Easy VPN Remote および Easy VPN Server のサポート機能に関する詳細については、 「その他の参考資料」 の「同一インターフェイスでの Easy VPN Remote および Easy VPN Server のサポート」を参照してください。
同一インターフェイスでの Easy VPN Remote およびサイトツーサイトのサポート
この機能を使用すると、Easy VPN Remote とサイトツーサイト(クリプト マップ)が同一のインターフェイスでサポートされます。これにより、別の Easy VPN サーバへのトンネルを確立すると同時に、同一のインターフェイスで別のサイトツーサイトを構成できます。サイトツーサイト トンネルを介してリモート ルータを管理するとともに、Easy VPN Remote を使用して、リモート サイトから社内 Easy VPN サーバへの接続を行っているサードパーティの VPN サービス プロバイダーなどでは、この機能がよく使用されます。
同一インターフェイスでの Easy VPN Remote およびサイトツーサイトのサポート機能についての詳細は、 「その他の参考資料」 の「Easy VPN Remote and Site to Site on the Same Interface」を参照してください。
Cisco Easy VPN Remote Web マネージャ
Cisco Easy VPN Remote 機能の管理には、Web インターフェイス マネージャも使用できます。たとえば、SDM は Web インターフェイス マネージャの 1 つで、Cisco 830 シリーズ、Cisco 1700 シリーズ、Cisco 2600 シリーズ、Cisco 3600 シリーズ、および Cisco 3700 シリーズのルータでサポートされています。SDM では、トンネルの接続や接続解除を行えるほか、Web インターフェイスによる Xauth を実行できます。SDM の詳細については、『 Cisco Security Device Manager 』を参照してください。
Cisco Router Web Setup(CRWS)ツールも Web インターフェイス マネージャの 1 つです。CRWS は、Cisco 806 ルータでサポートされています。CRWS では、SDM と同様の Web インターフェイスを使用できます。
その他に、Cisco Easy VPN Remote Web Manager という Web インターフェイス マネージャもあります。これは、Cisco uBR905 および Cisco uBR925 ケーブル アクセス ルータで Cisco Easy VPN Remote 機能を管理する際に使用します。Cisco Easy VPN Remote 接続を管理する際、CLI にアクセスする必要はありません。
Web インターフェイス マネージャには、次のような機能があります。
• Cisco Easy VPN Remote トンネルの現在のステータスを表示する。
• 手動制御に設定されたトンネルを接続する。
• 手動制御に設定されたトンネルの接続を解除する、または自動制御に設定されたトンネルをリセットする。
• 必要に応じて、Xauth 情報を入力するためのプロンプトを表示する。
Cisco Easy VPN Remote Web マネージャの詳細については、 「VPN 接続のトラブルシューティング」 を参照してください。
デッド ピア検出定期メッセージ オプション
デッド ピア検出定期メッセージ オプションを使い、使用しているルータが、その IKE ピアの稼動状況を定期的に照会するよう設定できます。このオプションを使用すると、デフォルトのオンデマンド デッド ピア検出機能を使用した場合に比べ、停止しているピアをより早期に検出できます。デッド ピア検出定期メッセージ オプションの詳細については 「その他の参考資料」 の「 デッド ピア検出 」を参照してください。
ロード バランシング
Cisco VPN 3000 コンセントレータがロード バランシング用に設定されている場合、VPN 3000 は、仮想 IP アドレス上の VPN Remote から着信 IKE 要求を受け取ります。リモート デバイスが過負荷状態でこれ以上トラフィックを受け入れられない場合、VPN 3000 は、そのリモートが接続すべき IKE サーバの IP アドレスを記載した通知メッセージを送信します。それまでの接続は切断され、リダイレクトされた VPN ゲートウェイに対して新しい接続が確立されます。
ロード バランシングを実行するために必要な設定はありません。VPN ゲートウェイがロード バランシング用に設定されており、ロード バランシングが実行中であるという通知が VPN リモートに送信されると、その VPN リモートでロード バランシング機能が利用可能になります。
ロード バランシングが実行されているかどうかを確認する場合は、 debug crypto isakmp コマンド、 debug crypto ipsec client ezvpn コマンド、および show crypto ipsec コマンドを使用します。ロード バランシング プロセスのトラブルシューティングを行う場合は、 show crypto ipsec コマンドを使用します。
管理用拡張機能
Easy VPN Remote の管理機能が拡張されたのに伴って、VPN Remote のリモート管理が可能になりました。この機能では、コンフィギュレーション モードに応じて IPv4 アドレスが VPN リモートへプッシュされます。この IPv4 アドレスは、VPN リモート上で最初に使用可能なループバック インターフェイスに割り当てられますが、スタティックに定義された既存のループバックはいずれも有効です。接続が解除されると、アドレスおよびループバック インターフェイスは、アクティブなインターフェイスのリストから削除されます。
VPN リモートが接続されると、トンネルのリモート エンドからループバック インターフェイスにアクセスできるようになります。PAT アクティビティはすべて、このインターフェイスの IP アドレスを介して変換されます。
ループバックが存在し、かつそれに対して IP アドレスは関連付けられているが、その状態が割り当てられていない場合、モード設定アドレス管理にはこのインターフェイスが適しています。
(注) ループバック インターフェイスにアドレスを割り当てた後、NVRAM に設定を保存し、VPN リモートを再起動すると、その設定内には設定アドレスが永続的に保存されます。NVRAM に設定を保存し、VPN リモートを再起動した場合は、コンフィギュレーション モードを開始し、ループバック インターフェイスから IP アドレスを手動で削除する必要があります。
ループバックが削除されたかどうかを確認する場合は、 show ip interface コマンドおよび brief キーワードを使用します。この show コマンドの出力結果には、インターフェイスも表示されます。
PFS のサポート
VPN リモート デバイスからの要求を受けて、サーバから Perfect Forward Secrecy(PFS; 完全転送秘密)コンフィギュレーション モードのアトリビュートが送信されます。リモート デバイスの以降の接続により、リモートが PFS を受信していないことがわかると、IPsec プロポーザルでは PFS を送信しません。
(注) これらの IPsec プロポーザルにより提示される PFS グループは、IKE で使用されるグループと同じです。
PFS グループを表示し、現在 PFS を使用していることを確認する場合は、 show crypto ipsec client ezvpn コマンドを使用します。
ダイヤル バックアップ
(注) ダイヤル バックアップ機能は、Cisco IOS Release 12.3(11)T では使用できません。
Easy VPN Remote でダイヤル バックアップ機能を使用すると、リモート デバイスに対してダイヤル バックアップ トンネル接続を設定できます。バックアップ機能は、実際のデータを送信する場合にだけ「始動」します。そのため、トラフィックがない場合でも作成やメンテナンスが必要になる、高価なダイヤルアップ リンクや ISDN リンクは必要ありません。
図 10 は、Easy VPN Remote におけるダイヤル バックアップの典型的な使用例を図示したものです。このシナリオでは、Cisco 1751 リモート デバイスから 別の Cisco 1751(サーバとして動作)への接続が試行される際、プライマリ Easy VPN トンネルに障害が発生したため、Cisco 1751 への接続が Easy VPN バックアップ トンネルを介して再ルーティングされています。
図 10 Easy VPN シナリオ用のダイヤル バックアップ
ダイヤルオンデマンド ソリューションを使用したダイヤル バックアップ
IP スタティック ルート トラッキングを使用すると、Point-to-Point Protocol over Ethernet(PPPoE)トンネルまたは IPsec VPN トンネルが「ダウンした」こと、および WAN または LAN の代替ポート(T1 ポート、ISDN ポート、アナログ ポート、補助ポートなど)から、事前設定された宛先への Dial-on-Demand(DDR; ダイヤルオンデマンド)接続が開始されたことを、Cisco IOS ソフトウェアにより検出できます。致命的な障害の重複(インターネット回線の障害やピア デバイスの障害など)も、こうした事態の原因となります。リモート ルートの社内ネットワークへのルートは、スタティック ルート 1 つです。IP スタティック ルート トラッキング機能を使用すれば、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)や TCP などのプロトコルを介して、(IP アドレスやホスト名を基に)オブジェクトをトラッキングできます。また、トラッキングされたオブジェクトの状態に基づいて、スタティック ルートを設定したり削除します。トラッキング機能により、インターネット接続が解除されたと判断されると、プライマリ インターフェイスのデフォルト ルートは削除され、バックアップ インターフェイスのフローティング スタティック ルートがイネーブルになります。
Easy VPN Remote におけるダイヤル バックアップ サポートの設定
Easy VPN Remote に対してダイヤル バックアップを設定する場合は、2 つの Easy VPN Remote オプションを使用します。これらのオプションはそれぞれ、バックアップ Easy VPN コンフィギュレーションへの接続、およびトラッキング システムへの接続を行うためのものです。
• バックアップのトリガー時にアクティブになる Easy VPN コンフィギュレーションを指定するには、 backup コマンドを crypto ipsec client ezvpn (グローバル)コマンドの後に使用します。
• Easy VPN Remote デバイスは、オブジェクトの状態変更に関する通知を取得するため、トラッキング システムに登録されます。 track コマンドを使用すると、トラッキング プロセスに対し、Easy VPN Remote デバイスがオブジェクトのトラッキング中であると通知できます。トラッキングするオブジェクトは、オブジェクト番号で識別されます。すると今度はトラッキング プロセスから、そのオブジェクトの状態がいつ変更したのか、Easy VPN Remote デバイスへ通知されます。この通知により、Easy VPN Remote デバイスは、そのオブジェクトの状態がいつ変更したのか認識します。Easy VPN Remote デバイスが、その通知により、トラッキングされたオブジェクトがダウン状態になったとわかった場合、その時点でバックアップ接続をアップ状態にします。トラッキングされたオブジェクトが再びアップ状態になると、バックアップ接続は切断され、Easy VPN Remote デバイスによりプライマリ接続へのスイッチ バックが行われます。
(注) それぞれのプライマリ Easy VPN コンフィギュレーションに対してサポートされるバックアップ コンフィギュレーションは 1 つだけです。プライマリ Easy VPN コンフィギュレーションおよびバックアップ Easy VPN コンフィギュレーションは、内部インターフェイスごとに指定する必要があります。
仮想 IPsec インターフェイスのサポート
仮想 IPsec インターフェイスのサポート機能により、ルーティング可能なインターフェイスから、インターネットやさまざまな Easy VPN コンセントレータに対して、トラフィックを選択的に送信できます。
12.4(4)T よりも前の Cisco IOS リリースでは、トンネルの状態がアップ状態からダウン状態またはその逆に遷移した時点で、モード設定中にプッシュされたアトリビュートを解析し、それを適用する必要がありました。また、これらのアトリビュートにより設定内容がインターフェイスに適用されると、既存の設定内容は上書きされていました。仮想 IPsec インターフェイスのサポート機能を使用すると、トンネルがアップ状態での設定を個々のインターフェイスに適用できるため、トンネルのアップ時に個々の機能を別々に適用することが容易になります。トンネルへ送出されるトラフィックに適用される機能と、トンネルを経由しないトラフィック(スプリット トンネルのトラフィックや、トンネルがダウン状態のときにデバイスから送出されたトラフィックなど)に適用される機能は区別できます。Easy VPN のネゴシエーションが完了すると、仮想アクセス インターフェイスの回線プロトコルは、アップ状態に変更されます。セキュリティ アソシエーション(SA)の失効または削除により Easy VPN トンネルがダウンすると、仮想アクセス インターフェイスの回線プロトコルは、ダウン状態に変更されます。
ルータは、Easy VPN の仮想インターフェイスにおいてトラフィック セレクタとして機能します。つまり、クリプト マップ上のアクセス リストが持つ役割をルータが代行します。仮想インターフェイスの設定では、Easy VPN サーバにダイナミック仮想 IPsec インターフェイスが設定されている場合、Easy VPN は、1 つの IPsec SA とネゴシエーションします。この唯一の SA は、設定されている Easy VPN モードにかかわらず作成されます。
この SA が作成されると、仮想アクセス インターフェイスへのルートが追加され、トラフィックが社内ネットワークに送信されます。また、Easy VPN では、VPN コンセントレータへのルートも追加されます。それによって、IPsec カプセル化されたパケットが、社内ネットワークへルーティングされます。スプリット モード以外のモードでは、仮想アクセス インターフェイスへのデフォルト ルートが追加されます。Easy VPN サーバによりスプリット トンネルが「プッシュ」された場合は、そのスプリット トンネルのサブネットに、仮想アクセス インターフェイスへのルートが追加されます。どちらの場合も、ピア(VPN コンセントレータ)が直接接続されていない場合、Easy VPN は、そのピアにルートを追加します。
(注) • Cisco Easy VPN Client ソフトウェアを搭載した大半のルータには、デフォルトのルートが設定されています。設定されているデフォルト ルートには、1 より大きなメトリック値を指定する必要があります。これは、Easy VPN により追加されるデフォルト ルートのメトリック値が 1 であるためです。このルートは、仮想アクセス インターフェイスへつながっているため、コンセントレータがスプリット トンネル アトリビュートを「プッシュ」しない場合、すべてのトラフィックは社内ネットワークへ送信されます。
IPsec 仮想トンネル インターフェイス機能の詳細については、『 IPSec Virtual Tunnel Interface 』を参照してください(このマニュアルの 「関連資料」 にある「IPsec および VPN の一般情報」の項に URL リンクが設定されています)。
表 1 は、リモート デバイスのさまざまな設定方法と、それぞれに対応するヘッドエンド IPsec アグリゲータの設定をまとめたものです。それぞれの行が、リモート デバイスの設定方法に対応します。3 列目には、IPsec インターフェイスとともに使用できるさまざまなヘッドエンド設定が記載されています。 表 1 および 表 3 で使用されている用語の説明については、 表 2 を参照してください。
表 1 リモート デバイスの各設定と、各ヘッドエンドおよびその設定との対応関係
|
Cisco IOS ヘッドエンド:クリプト マップの使用
|
Cisco IOS ヘッドエンド:IPsec インターフェイスの使用
|
|
クリプト マップ |
• サポートされます。 |
-- |
-- |
Easy VPN 仮想インターフェイス |
• サポートされます。 • 各スプリット トンネルに対して複数の SA が作成されます。 • ヘッドエンドにインターフェイスがないため、インターフェイスの機能はサポートできません。 • Quality of Service(QoS)が限定的にサポートされます。 |
• サポートされます。 • スプリット トンネルおよび非スプリット トンネルにおいて SA が 1 つだけ作成されます。 • サーバ上でルートの挿入が行われます。 • インターフェイスにトラフィックが送信されるよう、リモート デバイス上にルートが挿入されます。 |
• サポートされます。 • 各スプリット トンネルに対して複数の SA が作成されます。 |
レガシー Easy VPN |
• デフォルトのポリシーがプッシュされた場合は、ヘッドエンド上で IPsec SA が 1 つだけ作成されます。 • スプリット トンネルのポリシーがリモート デバイスにプッシュされた場合は、複数の SA が作成されます。 |
• サポートされません。 • ヘッドエンドの各インターフェイスでは SA を複数使用できないため、スプリット トンネルでは使用できません。 |
• サポートされます。 • スプリット トンネルに対して複数の SA が作成されます。 |
スタティック仮想インターフェイス |
• サポートされません。 |
• サポートされます。 • ヘッドエンド上のスタティック インターフェイスまたはダイナミック インターフェイスとともに使用できます。 • ネットワークに到達するためにはルーティングのサポートが必要です。 |
• サポートされません。 |
表 2 は、 表 1 および 表 3 で使用されているいくつかの用語とその説明をまとめたものです。
表 2 表 1 および 表 3 で使用されている用語
|
|
ASA |
Cisco 適応型セキュリティ アプライアンス(Cisco Adaptive Security Appliance)は、脅威管理セキュリティ アプライアンスの 1 つです。 |
クリプト マップ |
通常は、IPsec トンネルの設定に使用されます。クリプト マップは、各インターフェイスに付随します。クリプト マップの詳細については、『 Cisco IOS Security Configuration Guide: Secure Connectivity 』の「 Configuring Security for VPNs with IPsec 」の章の「Creating Crypto Map Sets」を参照してください(本マニュアルの 「関連資料」 に URL リンクが設定されています)。 |
Easy VPN デュアル トンネル リモート デバイス |
ともにダイナミック IPsec 仮想トンネル インターフェイスを使用する 2 つの Easy VPN Remote デバイスの設定。 |
Easy VPN 仮想インターフェイス リモート デバイス(Easy VPN 仮想インターフェイス) |
ダイナミック IPsec 仮想トンネル インターフェイスの使用方法を設定する Easy VPN Remote の設定。 |
IPsec インターフェイス |
スタティック IPsec 仮想インターフェイスとダイナミック IPsec 仮想インターフェイスとがあります。 |
IPsec 仮想トンネル インターフェイス |
仮想テンプレート トンネル インターフェイスを基に IPsec モードを使用して作成されたトンネル インターフェイス。仮想トンネル インターフェイスの設定の詳細については、『 IPSec Virtual Tunnel Interface 』を参照してください(このマニュアルの 「関連資料」 にある「IPsec および VPN の一般情報」の項に URL リンクが設定されています)。 |
レガシー Easy VPN |
クリプト マップを使用するが IPsec インターフェイスを使用しない Easy VPN Remote デバイスの設定。 |
スタティック IPsec 仮想トンネル インターフェイス(スタティック仮想トンネル インターフェイス) |
IPsec モードで使用され、「ipv4 any any」セレクタだけを提示したり受け入れたりするトンネル インターフェイス。スタティック仮想トンネル インターフェイスの設定の詳細については、『 IPSec Virtual Tunnel Interface 』を参照してください(このマニュアルの 「関連資料」 にある「IPsec および VPN の一般情報」の項に URL リンクが設定されています)。 |
VPN 3000 |
Cisco VPN 3000 シリーズ ルータ。 |
デュアル トンネルのサポート
現在、Easy VPN では、同じ内部インターフェイスおよび外部インターフェイスを持った 2 つの Easy VPN トンネルを設定できる機能がサポートされています。これを、Easy VPN デュアル トンネルと言います。1 つのリモート デバイス上で複数のトンネルを設定するには、いくつかの方法があります。 表 3 はそれらの方法と、設定上および使用上の注意事項をまとめたものです。ここでは、1 つの具体例として、仮想インターフェイスを持つ Easy VPN トンネルを使用したデュアル トンネルの設定方法について説明します。このような方法で設定できる機能を、デュアル トンネルのサポート機能と言います。
デュアル トンネルを備えた Easy VPN を設定する場合は、仮想 IPsec インターフェイスのサポート機能を使用して各 Easy VPN トンネルを設定します。詳細は、 「仮想 IPsec インターフェイスのサポート」 を参照してください。各 Easy VPN トンネルには、Easy VPN の設定が完了した段階で、それぞれ一意の仮想インターフェイスが作成されます。
デュアル トンネルには、次の 2 通りの組み合せが可能です。
• 一方のヘッドエンドからプッシュされた非スプリット トンネル ポリシーを使用するトンネルと、もう一方のヘッドエンドからプッシュされたスプリット トンネル ポリシーを使用するトンネルとの組み合せ。
• 各ヘッドエンドからプッシュされた独立のスプリット トンネル ポリシーを使用するトンネル同士の組み合せ。
(注) Easy VPN デュアル トンネルでは、非スプリット トンネル ポリシーを使用した 2 つのトンネルを組み合せることはできません。
Easy VPN デュアル トンネルでは、正しい Easy VPN 仮想トンネル インターフェイスを介して適切なトラフィックを送信するために、ルートの挿入が利用されます。Easy VPN トンネルは、リモート デバイス上で「アップ状態になる」と、ヘッドエンドからスプリット ポリシーまたは非スプリット ポリシーを「学習」します。学習したのが非スプリット ポリシーの場合は、Easy VPN Remote デバイスにより、非スプリット ネットワークに対応するルーティング テーブルにルートが挿入されます。ヘッドエンドから Easy VPN Remote デバイスへ非スプリット ポリシーがプッシュされると、その Easy VPN Remote デバイスでは、ルーティング テーブルにデフォルト ルートが設定されます。この Easy VPN トンネルに対応する Easy VPN 仮想 インターフェイスからのトラフィックはすべてデフォルト ルート経由で送信されます。ヘッドエンドからリモート デバイスへスプリット トンネル ネットワークがプッシュされると、そのリモート デバイスでは、スプリット ネットワークへの特定のルートがルーティング テーブルに設定されます。仮想トンネル インターフェイスからのトラフィックは、これらスプリット ネットワークへのルートを経由して送信されます。
(注) デュアル トンネル Easy VPN では、宛先ベースのルーティングにより、それぞれのトンネルへトラフィックが送信されます。
この仮想インターフェイスには、さまざまな出力機能を適用できます。たとえば、Cisco IOS Quality of Service や Cisco IOS ファイアウォールなどは、こうした出力機能の一例です。これらの機能は、Easy VPN Client の設定で設定されている仮想テンプレートを基に設定する必要があります。
表 3 は、デュアル トンネル機能の使用上のガイドラインです。 表 1 および 表 3 で使用されている用語の説明については、 表 2 を参照してください。
表 3 デュアル トンネルの使用上のガイドライン
|
|
Easy VPN Remote デバイスおよびヘッドエンドの設定上および使用上の注意事項
|
2 つのレガシー Easy VPN トンネル |
Cisco IOS ソフトウェア、ASA、および VPN 3000 |
• 2 つのトンネルで同一の外部インターフェイスを共有できません。 • 2 つのトンネルで同一の内部インターフェイスを共有できません。 • 内部インターフェイスおよび外部インターフェイスはともに、それぞれのトンネルで別々のものを使用する必要があります。 • ある Easy VPN トンネルに属する内部インターフェイスからのトラフィックは、別のトンネルにプッシュできません。 |
レガシー Easy VPN トンネルとクリプト マップ |
Cisco IOS ソフトウェア、ASA、および VPN 3000 |
クリプト マップでは、レガシー Easy VPN Client の設定と同一の外部インターフェイスを共有できます。ただし、2 つのリモート デバイスの動作は、クリプト マップおよび Easy VPN Remote デバイスの IPsec セレクタだけでなく、Easy VPN のモードにも依存します。この組み合せは推奨しません。 |
レガシー Easy VPN トンネルとスタティック仮想インターフェイス |
Cisco IOS ソフトウェア |
2 つのトンネルを同一のヘッドエンドで終端できません。スタティック仮想インターフェイス リモート デバイス トンネルは、ヘッドエンド ルータのスタティック仮想インターフェイスで終端する必要があります。レガシー Easy VPN Remote デバイス トンネルは、ヘッドエンドで設定された仮想トンネル インターフェイスまたはクリプト マップで終端することができます。 |
レガシー Easy VPN トンネル 1 つと Easy VPN 仮想インターフェイス 1 つ |
Cisco IOS ソフトウェア、ASA、および VPN 3000 |
• 2 つのトンネルを同一のヘッドエンドで終端できません。 • レガシー Easy VPN トンネルと Easy VPN 仮想インターフェイスとは、同一の内部インターフェイスおよび外部インターフェイスを共有できます。 • Easy VPN 仮想インターフェイスは、スプリット トンネリングにだけ使用できます。 • レガシー Easy VPN には、スプリット トンネルまたは非スプリット トンネルを使用できます。 • 2 つの Easy VPN トンネルに対して、Web ベースアクティベーション機能は適用できません。 • この組み合せよりも、Easy VPN 仮想インターフェイスを 2 つ組み合せて使用することを推奨します。 |
Easy VPN 仮想インターフェイスとスタティック仮想インターフェイス |
Cisco IOS ソフトウェア |
• 2 つのトンネルを同一のピアで終端できません。スタティック仮想インターフェイスと Easy VPN 仮想インターフェイスでは、同一の外部インターフェイスを使用できます。 • Easy VPN 仮想インターフェイスでは、スプリット トンネリングを使用する必要があります。 |
2 つの Easy VPN 仮想インターフェイス |
Cisco IOS ソフトウェア、ASA、および VPN 3000 |
• 2 つのトンネルを同一のピアで終端できません。 • 少なくともどちらか一方のトンネルで、スプリット トンネリングを使用する必要があります。 • 2 つの Easy VPN トンネルに対して、同時に Web ベース アクティベーション機能は適用できません。 |
バナー
バナーは、Easy VPN サーバから Easy VPN Remote デバイスへプッシュされます。Easy VPN Remote デバイスへプッシュされたバナーは、Xauth および Web ベース アクティベーションで使用できます。Easy VPN Remote デバイスでは、Easy VPN トンネルの初回アップ時に、このバナーが表示されます。
バナーの設定は、Easy VPN サーバにおけるグループの設定の下で行われます。
設定管理の拡張機能(モード設定交換による設定 URL のプッシュ)
configuration url コマンドおよび configuration version コマンド( crypto isakmp client configuration group コマンドの使用後)を使用し、サーバでこの機能を設定すると、サーバから Easy VPN Remote デバイスに対してコンフィギュレーション URL およびコンフィギュレーションのバージョン番号を「プッシュ」できます。Easy VPN Remote デバイスでは、これらの情報を基にして設定の内容がダウンロードされ、それらが実行設定に適用されます。この機能の詳細については、 Easy VPN Server 機能モジュールの「Configuration Management Enhancements」を参照してください。
プライマリ ピアの再アクティブ化
プライマリ ピアの再アクティブ化機能を使用すると、デフォルトのプライマリ ピアを定義できます。デフォルトのプライマリ ピア(サーバ)は、コストの低さ、距離の近さ、帯域幅の広さなどの点から、他のピアより優位にあると考えられます。この機能が設定されている場合、Easy VPN において、フェーズ 1 SA のネゴシエーションの際に、プライマリ ピアからバックアップ リスト内でその次に位置するピアへフェールオーバーが行われ、後で再びプライマリ ピアが使用可能になると、バックアップ ピアとの接続が切断され、プライマリ ピアとの接続が確立されます。
プライマリ ピアが再アクティブ化される際にそのトリガーの役割を果たすメカニズムの 1 つがデッド ピア検出機能です。また、Easy VPN において設定されるアイドル タイマーも、トリガーの役割を果たします。アイドル タイマーは、設定されていると、稼動していないトンネルを検出します。さらには、検出されたトンネルが切断され、新たな接続が試行されます(自動モードの場合は切断直後)。その際、最後に使用されたピアよりもプライマリ ピアへの接続が優先的に試行されます。
(注) 定義できるプライマリ ピアは 1 つだけです。
同一アドレス指定のサポート
同一アドレス指定のサポート機能は、Easy VPN Remote 上の同一アドレスが指定された LAN をサポートします。これにより、プリンタや Web サーバなど、Easy VPN Remote にとって LAN 側に存在し、他の Easy VPN Remote とアドレスが重複するネットワーク リソースにもアクセス可能になります。この機能を実現するために、Easy VPN Remote 機能は、NAT と連動して使用できるよう改良されています。
• 同一アドレス指定のサポート機能をサポートするために、Easy VPN サーバで必要な変更はありません。
• 同一アドレス指定のサポート機能は、ネットワーク拡張モードおよびネットワーク拡張プラス モードでだけサポートされます。
• 同一アドレス指定のサポート機能を使用する場合は、あらかじめ Easy VPN Remote 上で仮想トンネル インターフェイスを設定しておく必要があります。
図 11 は、同一アドレス指定のサポート機能の構成例を図示したものです。
図 11 同一アドレス指定のサポート
同一アドレス指定のサポート機能は、次のコマンドおよび拡張されたコマンドを使用して設定できます。
crypto ipsec client ezvpn <name>
拡張されたコマンド
• nat acl { acl-name | acl-number }:ACL の名前または番号で指定されたトラフィックに対して、スプリット トンネルをイネーブルにします。
– acl-name 引数には、ACL の名前を指定します。
– acl-number 引数には、ACL の名前を指定します。
• nat allow :Cisco Easy VPN と NAT を併用できるようにします。
同一アドレス指定のサポート機能を設定する詳しい手順については、 「同一アドレス指定のサポート機能の設定」 を参照してください。
Easy VPN Client におけるシスコ トンネリング制御プロトコル(cTCP)のサポート
cTCP 機能が使用されるのは、Easy VPN Client(リモート デバイス)が稼動している環境において、標準 IPsec が機能しない場合や、既存のファイアウォール ルールを修正しなければ標準 IPsec が透過的に機能しない場合などです。こうした状況に該当するのは、次のような環境です。
• ルータにより NAT または PAT が実行されている小規模オフィスや自宅オフィスなどの環境
• ルータの背後で PAT により生成された IP アドレスが割り当てられている比較的規模の大きな環境(企業など)
• 非 NAT ファイアウォール(パケット フィルタリングまたはステートフル)が使用されている環境
• プロキシ サーバが使用されている環境
図 12 は、cTCP 内部でトンネル化された IPsec トラフィックが NAT およびファイアウォールを通過するしくみを図示したものです(点線で表されているのが経路)。
図 12 Easy VPN Remote デバイス上での cTCP
Easy VPN Remote デバイス上で cTCP を設定する詳しい手順については、 「Easy VPN Client における cTCP の設定」 を参照してください。
Easy VPN Remote デバイスにおける cTCP サポートの詳細(設定例やトラブルシューティング例など)については、 「関連資料」 の「Cisco Easy VPN Remote デバイス上での cTCP」を参照してください。
Cisco Easy VPN Remote の設定方法
ここでは、次のような必須の作業およびオプションの作業について説明します。
リモートに関する作業
• 「Easy VPN Remote コンフィギュレーションの設定およびその割り当て」(必須)
• 「Cisco Easy VPN コンフィギュレーションの確認」(任意)
• 「パスワード保存機能の設定」(任意)
• 「手動トンネル制御の設定」(任意)
• 「自動トンネル制御の設定」(任意)
• 「内部インターフェイスの複数設定」(任意)
• 「外部インターフェイスの複数設定」(任意)
• 「サブネットの複数サポート機能の設定」(任意)
• 「プロキシ DNS サーバサポートの設定」(任意)
• 「ダイヤル バックアップの設定」(任意)
• 「DHCP サーバ プールの設定」(必須)
• 「VPN 接続のリセット」(任意)
• 「VPN イベントおよび IKE イベントのモニタおよびメンテナンス」(任意)
• 「仮想インターフェイスの設定」(任意)
• 「ダイヤル トンネル サポートのトラブルシューティング」(任意)
• 「(デフォルトの)プライマリ ピアの再アクティブ化機能の設定」(任意)
• 「同一アドレス指定のサポート機能の設定」(任意)
• 「Easy VPN Client における cTCP の設定」(任意)
• 「トンネルのダウン時におけるトラフィックの制限」(任意)
Easy VPN サーバに関する作業
• 「Cisco IOS Easy VPN サーバの設定」(必須)
• 「VPN 3000 シリーズ コンセントレータにおける Easy VPN サーバの設定」(任意)
• 「Cisco PIX ファイアウォールにおける Easy VPN サーバの設定」(任意)
Web インターフェイスに関する作業
• 「Web ベース アクティベーションの設定」(任意)
• 「Web ベース アクティベーションのモニタおよびメンテナンス」(任意)
• 「Web マネージャとしての SDM」(任意)
VPN 接続のトラブルシューティング
• 「Cisco Easy VPN Remote 機能を使用した VPN 接続のトラブルシューティング」(任意)
• 「クライアント モードのトラブルシューティング」(任意)
• 「リモート管理のトラブルシューティング」(任意)
• 「デッド ピア検出のトラブルシューティング」(任意)
Easy VPN Remote コンフィギュレーションの設定およびその割り当て
Easy VPN Remote として機能するルータでは、Cisco Easy VPN Remote コンフィギュレーションを作成し、それを発信インターフェイスに割り当てる必要があります。リモート コンフィギュレーションを設定し、それを割り当てるには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto ipsec client ezvpn name
4. group group-name key group-key
5. peer [ ip-address | hostname ]
6. mode { client | network-extension }
7. exit
8. interface interface
9. crypto ipsec client ezvpn name [ outside ]
10. exit
11. exit
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto ipsec client ezvpn name
Router(config)# crypto ipsec client ezvpn easy client remote |
リモート コンフィギュレーションを作成し、Cisco Easy VPN Remote コンフィギュレーション モードを開始します。 |
ステップ 4 |
group group-name key group-key
Router(config-crypto-ezvpn)# group easy-vpn-remote-groupname key easy-vpn-remote-password |
この設定に関連付ける IPsec グループおよび IPsec キー値を指定します。 コマンドを使用します。 コマンドを使用します。 |
ステップ 5 |
peer [ ip-address | hostname ]
Router(config-crypto-ezvpn)# peer 192.185.0.5 |
宛先ピアの IP アドレスまたはホスト名(通常は宛先ルータの外部インターフェイスの IP アドレス)を指定します。 • 複数のピアを設定できます。 オプションを使用できません。 |
ステップ 6 |
mode { client | network-extension }
Router(config-crypto-ezvpn)# mode client |
必要な VPN 接続のタイプを指定します。 • client :NAT または PAT のアドレス変換が使用される VPN のクライアント モード用にルータが設定されます。VPN 接続のタイプが指定されない場合のデフォルトの動作モードは、クライアント モードです。 • network-extension :VPN 接続先で、ルータが企業ネットワークのリモート拡張となります。 |
ステップ 7 |
exit
Router (config-crypto-ezvpn)# exit |
Cisco Easy VPN Remote コンフィギュレーション モードを終了します。 |
ステップ 8 |
interface interface
Router (config)# interface Ethernet1 |
インターフェイスのインターフェイス コンフィギュレーション モードを開始します。 • このインターフェイスが、NAT 変換または PAT 変換に使用される外部インターフェイスになります。 |
ステップ 9 |
crypto ipsec client ezvpn name [ outside ]
Router (config-if)# crypto ipsec client ezvpn easy_vpn_remote1 outside |
Cisco Easy VPN Remote コンフィギュレーションをインターフェイスに割り当てます。 • この設定では、NAT 変換または PAT 変換に必要なパラメータが自動で作成されるほか、VPN 接続も自動的に開始されます(クライアント モードの場合)。 (注) Cisco 1700 またはそれ以上のプラットフォームでは、内部インターフェイスを指定する必要があります。 |
ステップ 10 |
exit
Router (config-if)# exit |
インターフェイス コンフィギュレーション モードを終了します。 |
ステップ 11 |
exit
Router (config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
Cisco Easy VPN コンフィギュレーションの確認
Cisco Easy VPN Remote コンフィギュレーションが正しく設定されていること、その設定がインターフェイスに割り当てられていること、および IPsec VPN トンネルが確立されていることを確認するには、次の手順を実行します。
手順の概要
1. show crypto ipsec client ezvpn
2. show ip nat statistics
手順の詳細
ステップ 1 show crypto ipsec client ezvpn コマンドを使用して、Cisco Easy VPN Remote 接続の現在の状態を表示します。次に示すのは、クライアント モードの Cisco 1700 シリーズ ルータに対する一般的な出力例です。
Router# show crypto ipsec client ezvpn
Inside interface list: FastEthernet0/0, Serial0/0,
Outside interface: Serial1/0
Current State: IPSEC_ACTIVE
Default Domain: cisco.com
Inside interface list: Serial0/1,
Outside interface: Serial1/1
Current State: IPSEC_ACTIVE
Default Domain: cisco.com
ステップ 2 show ip nat statistics コマンドを使用して、VPN 接続用に自動作成された NAT または PAT の設定を表示します。次の出力例の中の「Dynamic mappings」フィールドには、VPN トンネルで実行されている NAT 変換または PAT 変換の詳細が表示されています。
Router# show ip nat statistics
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
access-list 198 pool enterprise refcount 0
pool enterprise: netmask 255.255.255.0
start 192.168.1.90 end 192.168.1.90
type generic, total addresses 1, allocated 0 (0%), misses 0\
すべてが目的どおりに動作している場合、この時点で出力結果に「IPSEC_ACTIVE」と表示されます。
パスワード保存機能の設定
パスワード保存機能を設定するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. password encryption aes
4. crypto ipsec client ezvpn name
5. username name password { 0 | 6 } { password }
6. exit
7. show running-config
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
password encryption aes
Router (config)# password encryption aes |
タイプ 6 の暗号化事前共有キーをイネーブルにします。 |
ステップ 4 |
crypto ipsec client ezvpn name
Router (config)# crypto ipsec client ezvpn ezvpn1 |
Cisco Easy VPN Remote コンフィギュレーションを作成し、Cisco Easy VPN Remote コンフィギュレーション モードを開始します。 |
ステップ 5 |
username name password { 0 | 6 } { password }
Router (config-crypto-ezvpn)# username server_1 password 0 blue |
Xauth パスワードをローカルの PC に保存できるようにします。 • 0 キーワードは、暗号化されていないパスワードをそのキーワードの後に指定する場合に使用します。 • 6 キーワードは、暗号化されているパスワードをそのキーワードの後に指定する場合に使用します。 • password 引数 には、暗号化されていない(クリア テキストの)ユーザ パスワードを指定します。 |
ステップ 6 |
exit
Router (config-crypto-ezvpn)# exit |
Cisco Easy VPN Remote コンフィギュレーション モードを終了します。 |
ステップ 7 |
show running-config
Router (config)# show running-config |
現在実行されているコンフィギュレーション ファイルの内容を表示します。 |
手動トンネル制御の設定
IPsec VPN トンネルを手動で制御できるように設定し、IPsec VPN トンネルの確立および終端をオンデマンドで行うには、次の手順を実行します。
(注) トンネルを接続する場合、CLI でもできますが、(SDM を使い)Web インターフェイスで行うことを推奨します。
手順の概要
1. enable
2. configure terminal
3. crypto ipsec client ezvpn name
4. connect [ auto | manual ]
5. exit
6. exit
7. crypto ipsec client ezvpn connect name
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto ipsec client ezvpn name
Router (config)# crypto ipsec client ezvpn easy vpn remote1 |
Cisco Easy VPN Remote コンフィギュレーションをインターフェイスに割り当て、Cisco Easy VPN Remote コンフィギュレーション モードを開始します。 • name 引数には、インターフェイスに割り当てる設定名を指定します。 |
ステップ 4 |
connect [ auto | manual ]
Router (config-crypto-ezvpn)# connect manual |
VPN トンネルを接続します。 manual を指定して手動トンネル制御を設定します。 • デフォルトは自動トンネル制御です。自動に設定する場合は、 manual キーワードを指定する必要はありません。 |
ステップ 5 |
exit
Router (config-crypto-ezvpn)# exit |
Cisco Easy VPN Remote コンフィギュレーション モードを終了します。 |
ステップ 6 |
exit
Router (config)# exit |
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
ステップ 7 |
crypto ipsec client ezvpn connect name
Router# crypto ipsec client ezvpn connect easy vpn remote1 |
特定の Cisco Easy VPN Remote コンフィギュレーションに接続します。 • name 引数には、IPsec VPN トンネルの名前を指定します。 (注) トンネル名が指定されていない場合は、アクティブなトンネルに接続します。ただし、アクティブなトンネルが複数存在する場合は、コマンドの実行時にエラーが発生し、トンネル名を指定するよう要求されます。 |
自動トンネル制御の設定
自動トンネル制御を設定するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto ipsec client ezvpn name
4. connect [ auto | manual ]
5. exit
6. exit
7. crypto ipsec client ezvpn connect name
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto ipsec client ezvpn name
Router (config)# crypto ipsec client ezvpn easy vpn remote1 |
Cisco Easy VPN Remote コンフィギュレーションをインターフェイスに割り当て、Cisco Easy VPN Remote コンフィギュレーション モードを開始します。 • インターフェイスに割り当てる設定の名前を指定します。 |
ステップ 4 |
connect [ auto | manual ]
Router (config-crypto-ezvpn)# connect auto |
VPN トンネルを接続します。 • 自動トンネル制御を設定するため、 auto を指定します。デフォルトは自動トンネル制御です。自動に設定する場合は、このコマンドを指定する必要はありません。 |
ステップ 5 |
exit
Router (config-crypto-ezvpn)# exit |
Cisco Easy VPN Remote コンフィギュレーション モードを終了します。 |
ステップ 6 |
exit
Router (config)# exit |
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
ステップ 7 |
crypto ipsec client ezvpn connect name
Router# crypto ipsec client ezvpn connect easy vpn remote1 |
特定の Cisco Easy VPN Remote コンフィギュレーションに接続します。 • name 引数には、IPsec VPN トンネルの名前を指定します。 (注) トンネル名が指定されていない場合は、アクティブなトンネルに接続します。ただし、アクティブなトンネルが複数存在する場合は、コマンドの実行時にエラーが発生し、トンネル名を指定するよう要求されます。 |
内部インターフェイスの複数設定
最大 3 つの内部インターフェイスを、すべてのプラットフォームに設定できます。
(注) 複数の内部インターフェイスは、Cisco Easy VPN サーバと Cisco Easy VPN クライアントに同じタイプの Easy VPN コンフィギュレーションがある場合にだけサポートされます。つまり、両方でレガシー Easy VPN コンフィギュレーションを使用する、または両方で DVTI コンフィギュレーションを使用する必要があります。
その際、各内部インターフェイスを手動で設定する必要があります。次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. interface interface-name
4. exit
5. crypto ipsec client ezvpn name [ outside | inside ]
6. interface interface-name
7. exit
8. crypto ipsec client ezvpn name [ outside | inside ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
interface interface-name
Router (config)# interface Ethernet0 |
設定するインターフェイスの名前を指定して、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 |
exit
Router (config-if)# exit |
インターフェイス コンフィギュレーション モードを終了します。 |
ステップ 5 |
crypto ipsec client ezvpn name [ outside | inside ]
Router (config)# crypto ipsec client ezvpn easy vpn remote 1 inside |
1 つ目の内部インターフェイスに割り当てる Cisco Easy VPN Remote コンフィギュレーションの名前を指定します。 • 内部インターフェイスごとに、 inside を指定する必要があります。 |
ステップ 6 |
interface interface-name
Router (config)# interface Ethernet1 |
2 つ目に設定するインターフェイスの名前を指定して、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 7 |
exit
Router (config-if)# exit |
インターフェイス コンフィギュレーション モードを終了します。 |
ステップ 8 |
crypto ipsec client ezvpn name [ outside | inside ]
Router (config)# crypto ipsec client ezvpn easy vpn remote2 inside |
2 つ目の内部インターフェイスに割り当てる Cisco Easy VPN Remote コンフィギュレーションの名前を指定します。 • 内部インターフェイスごとに、 inside を指定する必要があります。 さらにトンネルを設定する場合、ステップ 3 および 4 の操作を繰り返します。 |
外部インターフェイスの複数設定
外部インターフェイスに対しては複数のトンネルを設定できます。その際、各外部インターフェイスごとにトンネルを個別に設定します。トンネルは最大 4 つまで設定できます。個々の外部インターフェイスに対してトンネルを設定するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. interface interface-name
4. exit
5. crypto ipsec client ezvpn name [ outside | inside ]
6. interface interface-name
7. exit
8. crypto ipsec client ezvpn name [ outside | inside ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
interface interface-name
Router (config)# interface Ethernet0 |
1 つ目に設定する外部インターフェイスの名前を指定して、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 |
exit
Router (config-if)# exit |
インターフェイス コンフィギュレーション モードを終了します。 |
ステップ 5 |
crypto ipsec client ezvpn name [ outside | inside ]
Router (config)# crypto ipsec client ezvpn easy vpn remote1 outside |
1 つ目の外部インターフェイスに割り当てる Cisco Easy VPN Remote コンフィギュレーションの名前を指定します。 • 各外部インターフェイスに、 outside (任意)を指定します。インターフェイスに対して outside も inside も指定しない場合、デフォルトは outside です。 |
ステップ 6 |
interface interface-name
Router (config)# interface Ethernet1 |
2 つ目に設定する外部インターフェイスの名前を指定して、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 7 |
exit
Router (config-if)# exit |
インターフェイス コンフィギュレーション モードを終了します。 |
ステップ 8 |
crypto ipsec client ezvpn name [ outside | inside ]
Router (config)# crypto ipsec client ezvpn easy vpn remote2 outside |
2 つ目の外部インターフェイスに割り当てる Cisco Easy VPN Remote コンフィギュレーションの名前を指定します。 • 各外部インターフェイスに、 outside (任意)を指定します。インターフェイスに対して outside も inside も指定しない場合、デフォルトは outside です。 • さらにトンネルを設定する場合、ステップ 3 および 4 の操作を繰り返します。 |
サブネットの複数サポート機能の設定
サブネットの複数サポート機能を設定する場合は、最初にアクセス リストを設定し、保護の対象となる実際のサブネットを定義する必要があります。各供給元サブネットまたはマスクのペアは、このネットワークから任意の宛先へ送信されるすべてのトラフィックが IPsec によって保護されていることを示します。ACL の設定方法については、 「その他の参考資料」 の「アクセス コントロール リストの設定」を参照してください。
サブネットを定義したら、ACL を使用するために、クリプト IPsec クライアント EZVPN プロファイルを設定する必要があります。
(注) クライアント モードでは、サブネットの複数設定はできません。
(注) この機能は、Cisco Easy VPN サーバと Cisco Easy VPN クライアントに同じタイプの Easy VPN コンフィギュレーションがある場合にだけサポートされます。つまり、両方でレガシー Easy VPN コンフィギュレーションを使用する、または両方で DVTI コンフィギュレーションを使用する必要があります。
手順の概要
1. enable
2. configure terminal
3. interface interface-name
4. exit
5. crypto ipsec client ezvpn name
6. acl { acl-name | acl-number }
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
interface interface-name
Router (config)# interface Ethernet1 |
設定するインターフェイスの名前を指定して、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 |
exit
Router (config-if)# exit |
インターフェイス コンフィギュレーション モードを終了します。 |
ステップ 5 |
crypto ipsec client ezvpn name
Router (config)# crypto ipsec client ezvpn ez1 |
Cisco Easy VPN Remote コンフィギュレーションを作成し、crypto Easy VPN Remote コンフィギュレーション モードを開始します。 |
ステップ 6 |
acl { acl-name | acl-number }
Router (config-crypto-ezvpn)# acl acl-list1 |
VPN トンネルに複数のサブネットを指定します。 |
プロキシ DNS サーバサポートの設定
WAN 接続がダウンした場合には、ケーブル プロバイダーの ISP アドレスを実際に使用する 1 つの手段として、Cisco Easy VPN Remote コンフィギュレーション内のルータを、プロキシ DNS サーバとして動作するよう設定できます。プロキシ DNS サーバの機能をイネーブルにする場合は、 ip dns server コマンドを使用します。次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. ip dns server
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
ip dns server
Router (config)# ip dns server |
ルータをプロキシ DNS サーバとして動作できるようにします。 (注) この定義は IOS 独自のものです。 |
次の作業
ルータの設定が完了したら、次の手順に従って Cisco IOS Easy VPN を設定します。
• crypto isakmp client configuration group コマンドに対して、 dns コマンドを次の例のように設定します。
dns A.B.C.D A1.B1.C1.D1
これら DNS サーバのアドレスは、サーバから Cisco Easy VPN Remote へプッシュされ、ルータの実行設定に対する追加または削除がダイナミックに行われます。
Cisco IOS ソフトウェア アプリケーションにおける DNS サーバの一般的な機能の詳細については、『 Catalyst 6500 Series Software Configuration Guide 』の「Configuring DNS」の章、およびデザイン テクニカル ノートである『 Configuring DNS on Cisco Routers』を参照してください。
ダイヤル バックアップの設定
(注) ダイヤル バックアップ機能は、Cisco IOS Release 12.3(11)T では使用できません。
ダイヤル バックアップを設定するには、次の手順を実行します。
手順の概要
1. Easy VPN のバックアップ コンフィギュレーションを作成します。
2. backup コマンドの詳細をプライマリ コンフィギュレーションに追加します。
3. Easy VPN のバックアップ コンフィギュレーションをダイヤル バックアップの外部インターフェイスに適用します。
4. Easy VPN プロファイルを内部インターフェイスに適用します。
手順の詳細
|
|
|
ステップ 1 |
Easy VPN のダイヤル バックアップ コンフィギュレーションを作成します。 |
ダイヤル バックアップ コンフィギュレーションの詳細については、 「ダイヤル バックアップ」 を参照してください。 |
ステップ 2 |
backup コマンドの詳細をプライマリ コンフィギュレーションに追加します。 |
backup コマンド、および crypto ipsec client ezvpn コマンドの track キーワードを使用します。 |
ステップ 3 |
Easy VPN のバックアップ コンフィギュレーションをダイヤル バックアップの外部インターフェイス(シリアル、非同期、ダイヤラなど)に適用します。 |
バックアップ コンフィギュレーションをダイヤル バックアップの外部インターフェイスに適用する方法については、 「外部インターフェイスの複数設定」 を参照してください。 |
ステップ 4 |
Easy VPN プロファイルを内部インターフェイス(複数可)に適用します。 |
Easy VPN プロファイルを内部インターフェイスに適用する方法については、 「内部インターフェイスの複数設定」 を参照してください。 |
VPN 接続のリセット
VPN 接続をリセットするには、次の手順を実行します。各 clear コマンドは、互いに独立しているため、任意の順序で設定できます。
手順の概要
1. enable
2. clear crypto ipsec client ezvpn
3. clear crypto sa
4. clear crypto isakmp
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
clear crypto ipsec client ezvpn
Router# clear crypto ipsec client ezvpn |
Cisco Easy VPN Remote のステート マシンをリセットし、すべてのインターフェイスまたは特定のインターフェイス(トンネル)で Cisco Easy VPN Remote 接続をダウン状態にします。 |
ステップ 3 |
clear crypto sa
Router# clear crypto sa |
IPsec SA を削除します。 |
ステップ 4 |
clear crypto isakmp
Router# clear crypto isakmp |
アクティブな IKE 接続をクリアします。 |
VPN イベントおよび IKE イベントのモニタおよびメンテナンス
VPN イベントおよび IKE イベントのモニタとメンテナンスを行うには、次の手順を実行します。
手順の概要
1. enable
2. debug crypto ipsec client ezvpn
3. debug crypto ipsec
4. debug crypto isakmp
手順の概要
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
debug crypto ipsec client ezvpn
Router# debug crypto ipsec client ezvpn |
Cisco Easy VPN Remote 機能の設定および実装に関する情報を表示します。 |
ステップ 3 |
debug crypto ipsec
Router# debug crypto ipsec |
IPsec イベントを表示します。 |
ステップ 4 |
debug crypto isakmp
Router# debug crypto isakmp |
IKE イベントに関するメッセージを表示します。 |
仮想インターフェイスの設定
仮想インターフェイスを設定するには、次の手順を実行します。
(注) 仮想インターフェイスを設定する場合は、事前にいずれの外部インターフェイスにも Easy VPN プロファイルが適用されていないことを確認してください。外部インターフェイスに適用されている Easy VPN プロファイルがある場合は、それを削除したうえで、仮想インターフェイスを設定してください。
手順の概要
1. enable
2. configure terminal
3. interface virtual-template number type type-of-virtual-template
4. tunnel mode ipsec ipv4
5. exit
6. crypto ipsec client ezvpn name
7. virtual-interface virtual-template-number
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
interface virtual-template number type type-of-virtual-template
Router (config)# interface virtual-template1 type tunnel |
(任意)type tunnel の仮想テンプレートを作成し、インターフェイス コンフィギュレーション モードを開始します。 • ステップ 3 ~ 5 はオプションですが、いずれかを設定した場合、その他もすべて設定する必要があります。 |
ステップ 4 |
tunnel mode ipsec ipv4
Router (if-config)# tunnel mode ipsec ipv4 |
(任意)IPsec トンネリングが行われるトンネルを設定します。 |
ステップ 5 |
exit
Router (if-config)# exit |
(任意)インターフェイス(仮想トンネル)コンフィギュレーション モードを終了します。 |
ステップ 6 |
crypto ipsec client ezvpn name
Router (config)# crypto ipsec client ezvpn EasyVPN1 |
Cisco Easy VPN Remote コンフィギュレーションを作成し、Cisco Easy VPN Remote コンフィギュレーション モードを開始します。 |
ステップ 7 |
virtual-interface virtual-template-number
Router (config-crypto-ezvpn)# virtual-interface 3 |
Easy VPN Remote に対し、外部インターフェイスとして使用する仮想インターフェイスを作成するよう指示します。仮想テンプレートの番号が指定されている場合は、指定された仮想インターフェイスを基にして仮想アクセス インターフェイスが作成されます。仮想テンプレートの番号が指定されていない場合は、汎用の仮想アクセス インターフェイスが作成されます。 |
ダイヤル トンネル サポートのトラブルシューティング
ダイヤル トンネルのコンフィギュレーションに関するトラブルシューティングには、次の debug コマンドおよび show コマンドを使用できます。
手順の概要
1. enable
2. debug crypto ipsec client ezvpn
3. debug ip policy
4. show crypto ipsec client ezvpn
5. show ip interface
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
debug crypto ipsec client ezvpn
Router# debug crypto ipsec client ezvpn |
Cisco Easy VPN Remote 接続に関する情報を表示します。 |
ステップ 3 |
debug ip policy
Router# debug ip policy |
IP ポリシー ルーティング パケットのアクティビティに関する情報を表示します。 |
ステップ 4 |
show crypto ipsec client ezvpn
Router# show crypto ipsec client ezvpn |
Cisco Easy VPN Remote コンフィギュレーションの内容を表示します。 |
ステップ 5 |
show ip interface
Router# show ip interface |
IP 用に設定されたインターフェイスが使用可能かどうかのステータスを表示します。 |
(デフォルトの)プライマリ ピアの再アクティブ化機能の設定
デフォルトのプライマリ ピアを設定するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto ipsec client ezvpn name
4. peer { ip-address | hostname } [ default ]
5. idle-time idle-time
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto ipsec client ezvpn name
Router (config)# crypto ipsec client ezvpn ez1 |
Cisco Easy VPN Remote コンフィギュレーションを作成し、crypto Easy VPN Remote コンフィギュレーション モードを開始します。 |
ステップ 4 |
peer { ip-address | hostname } [ default ]
Router (config-crypto-ezvpn)# peer 10.2.2.2 default |
VPN 接続に対して、ピアの IP アドレスまたはホスト名を設定します。 • ホスト名を指定できるのは、ルータから DNS サーバを介してホスト名解決を行える場合だけです。 • peer コマンドは複数回入力できます。ただし、入力できるデフォルト ピアまたはプライマリ ピアは、一度につき 1 つだけです(10.2.2.2 default など)。 • default キーワードを指定すると、目的のピアがプライマリ ピアとして定義されます。 |
ステップ 5 |
idle-time idle-time
Router (config-crypto-ezvpn)# idle-time 60 |
(任意)Easy VPN トンネルがダウンした後のアイドル時間を秒単位で指定します。 • アイドル時間として指定できる値の範囲は、60 ~ 86400 秒です。 (注) アイドル時間が設定されていると、プライマリ サーバのトンネルはダウンしません。 |
同一アドレス指定のサポート機能の設定
同一アドレス指定のサポート機能を設定する場合に行う作業は次のとおりです。
• ネットワーク拡張モードで Easy VPN Remote を定義し、 nat allow をイネーブルにする。
• Cisco Easy VPN Remote コンフィギュレーションを外部インターフェイスに割り当てる。
• ループバック インターフェイスを作成し、そのループバック インターフェイスの内部インターフェイスに Cisco Easy VPN Remote コンフィギュレーションを割り当てる。
• Easy VPN サーバ側のネットワークまたは他のクライアントの設置場所からのアクセスの実現が必要なホストごとに、1 対 1 のスタティック NAT 変換を設定する。
• 対象となるすべての VPN トラフィックに対してアクセス リストを使用するダイナミック過負荷 NAT または PAT を設定する。NAT トラフィックまたは PAT トラフィックは、Easy VPN 内部インターフェイスの IP アドレスにマッピングされます。
• スプリット トンネリングが必要な場合は、 nat acl コマンドと acl-name 引数または acl-number 引数を使用して、それらの引数によって指定されたトラフィックに対しスプリット トンネリングをイネーブルにする。ただし、ここで指定する ACL は、前項目の NAT または PAT のマッピングで使用した ACL と同じものです。
同一アドレス指定のサポート機能を設定するには、次の手順を実行します。
前提条件
同一アドレス指定のサポート機能を設定する場合は、あらかじめネットワーク拡張モードで Easy VPN Remote を設定しておく必要があります。
手順の概要
1. enable
2. configure terminal
3. crypto ipsec client ezvpn name
4. mode network-extension
5. nat allow
6. exit
7. interface interface
8. crypto ipsec client ezvpn name outside
9. exit
10. interface interface
11. ip address ip mask
12. crypto ipsec client ezvpn name inside
13. exit
14. ip nat inside source static local-ip global-ip
15. ip nat inside source list { acl-name | acl-number } interface interface overload
16. crypto ipsec client ezvpn name
17. nat acl { acl-name | acl-number}
18. exit
19. exit
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto ipsec client ezvpn name
Router (config)# crypto ipsec client ezvpn easyclient |
リモート コンフィギュレーションを作成し、Cisco Easy VPN Remote コンフィギュレーション モードを開始します。 |
ステップ 4 |
mode network-extension
Router (config-crypto-ezvpn)# mode network-extension |
ネットワーク拡張モードで、Easy VPN クライアントを設定します。 |
ステップ 5 |
nat allow
Router (config-crypto-ezvpn)# nat allow |
Easy VPN と NAT を併用できるようにし、同一アドレス指定機能をイネーブルにします。 |
ステップ 6 |
exit
Router (config-crypto-ezvpn)# exit |
Cisco Easy VPN Remote コンフィギュレーション モードを終了します。 |
ステップ 7 |
interface interface
Router (config)# interface Ethernet1 |
インターフェイスのインターフェイス コンフィギュレーション モードを開始します。 • このインターフェイスが、NAT 変換または PAT 変換に使用される外部インターフェイスになります。 |
ステップ 8 |
crypto ipsec client ezvpn name outside
Router (config-if)# crypto ipsec client ezvpn easyclient outside |
Cisco Easy VPN Remote コンフィギュレーションを外部インターフェイスに割り当てます。 • この設定では、NAT 変換または PAT 変換に必要なパラメータが自動で作成されるほか、VPN 接続も自動的に開始されます(クライアント モードの場合)。 |
ステップ 9 |
exit
Router (config-if)# exit |
インターフェイス コンフィギュレーション モードを終了します。 |
ステップ 10 |
interface interface
Router (config)# interface Loopback0 |
ループバック インターフェイスのインターフェイス コンフィギュレーション モードを開始します。 • このインターフェイスが、NAT 変換または PAT 変換に使用される内部インターフェイスになります。 |
ステップ 11 |
ip address ip mask
Router (config-if)# ip address 10.1.1.1 255.255.255.252 |
IP アドレスおよびマスクをループバック インターフェイスに割り当てます。 |
ステップ 12 |
crypto ipsec client ezvpn name inside
Router (config-if)# crypto ipsec client ezvpn easyclient inside |
Cisco Easy VPN Remote コンフィギュレーションを内部インターフェイスに割り当てます。 |
ステップ 13 |
exit
Router (config-if)# exit |
インターフェイス コンフィギュレーション モードを終了します。 |
ステップ 14 |
ip nat inside source static local-ip global-ip
Router (config)# ip nat inside source static 10.10.10.10 5.5.5.5 |
Easy VPN サーバ側のネットワークまたは他のクライアントの設置場所からのアクセスの実現が必要なホストごとに、1 対 1 のスタティック NAT 変換を設定する。 |
ステップ 15 |
ip nat inside source list { acl-name | acl-number } interface interface overload
Router (config)# ip nat inside source list 100 interface Loopback0 overload |
対象となるすべての VPN トラフィックに対して ACL を使用するダイナミック過負荷 NAT または PAT を設定します。NAT トラフィックおよび PAT トラフィックは、Easy VPN 内部インターフェイスの IP アドレスにマッピングされます。 • acl-name 引数には、ACL の名前を指定します。 • acl-number 引数には、ACL の名前を指定します。 |
ステップ 16 |
crypto ipsec client ezvpn name
Router (config)# crypto ipsec client ezvpn easyclient |
(任意)(スプリット トンネリングの使用時)Cisco Easy VPN Remote コンフィギュレーション モードを開始します。 |
ステップ 17 |
nat acl { acl-name | acl-number }
Router (config-crypto-ezvpn)# nat acl 100 |
(任意)(スプリット トンネリングの使用時) acl-name 引数または acl-number 引数により指定されたトラフィックに対してスプリット トンネリングをイネーブルにします。ただし、ここで指定する ACL は、ステップ 15 のマッピングで NAT または PAT が使用した ACL と同じものです。 • acl-name 引数には、ACL の名前を指定します。 • acl-number 引数には、ACL の名前を指定します。 |
ステップ 18 |
exit
Router (config-crypto-ezvpn)# exit |
Cisco Easy VPN Remote コンフィギュレーション モードを終了します。 |
ステップ 19 |
exit
Router (config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
Easy VPN Client における cTCP の設定
Easy VPN クライアント(リモート デバイス)において cTCP を設定するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto ctcp [ keepalive number-of-seconds | port port-number ]
4. crypto ipsec client ezvpn name
5. ctcp port port-number
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto ctcp [ keepalive number-of-seconds | port port-number ]
Router (config)# crypto ctcp keepalive 15 |
リモート デバイスに対して cTCP キープアライブ インターバルを設定します。 • number-of-seconds :キープアライブの間隔を秒単位で指定します。指定できる値の範囲は、5 ~ 3600 秒です。 • port port-number :cTCP がリスンするポート番号を指定します。最大 10 個の番号を設定できます。 (注) NAT セッションやファイアウォール セッションを有効な状態に維持するため、cTCP クライアントからサーバへ定期的にキープアライブを送信する必要があります。 |
ステップ 4 |
crypto ipsec client ezvpn name
Router (config)# crypto ipsec client ezvpn ezvpn1 |
Cisco Easy VPN Remote コンフィギュレーションを作成し、Cisco Easy VPN Remote コンフィギュレーション モードを開始します。 |
ステップ 5 |
ctcp port port-number
Router (config-crypto-ezvpn)# ctcp port 200 |
Easy VPN の cTCP カプセル化に使用するポート番号を設定します。 • port-number :ハブのポート番号を指定します。指定できる値の範囲は、1 ~ 65535 秒です。 |
トンネルのダウン時におけるトラフィックの制限
トンネルがダウンした場合に、クライアントからクリア テキストのトラフィックが送信されるのを制限するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto ipsec client ezvpn name
4. flow allow acl [ name | number ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto ipsec client ezvpn name
Router (config)# crypto ipsec client ezvpn ezvpn1 |
Cisco Easy VPN Remote コンフィギュレーションを作成し、Cisco Easy VPN Remote コンフィギュレーション モードを開始します。 |
ステップ 4 |
flow allow acl [ name | number ]
Router (config-crypto-ezvpn)# flow allow acl 102 |
トンネルがダウンした場合にクライアントからクリア テキストのトラフィックが送信されるのを制限します。 • name :アクセス リストの名前を指定します。 • number :アクセス リストの番号を指定します。指定できる値の範囲は、100 ~ 199 秒です。 |
Cisco IOS Easy VPN サーバの設定
Easy VPN サーバの設定方法については、次のマニュアルを参照してください。
• 『Easy VPN Server』
Cisco Easy VPN Remote 上でのホスト名によるピアの設定
VPN 3000 コンセントレータ上で、Cisco Easy VPN サーバのアイデンティティとしてホスト名が使用されるよう設定した後は、Cisco Easy VPN Remote 上で、そのホスト名を使用してピアを設定する必要があります。ピアのホスト名を解決するための DNS をクライアント上で設定できるほか、 ip host コマンドを使用し、クライアント上でピアのホスト名をローカルに設定することもできます。たとえば、次のようなコマンドを実行すると、Easy VPN Remote 上でピアのホスト名をローカルに設定できます。
ip host crypto-gw.cisco.com 10.0.0.1
また、次のように peer コマンドおよび ホスト名 引数を使用すると、Easy VPN Remote でホスト名を使用するように設定できます。
peer crypto-gw.cisco.com.
インタラクティブ ハードウェア クライアント 認証(バージョン 3.5)
Cisco Easy VPN Remote 機能では、インタラクティブ ハードウェア クライアント認証(バージョン 3.5)機能はサポートされていません。そのため、この機能はディセーブルにする必要があります。Cisco VPN 3000 シリーズ コンセントレータ上で、[Configuration | User Management | Base Group] 画面の [HW Client] タブをクリックすると、この機能をディセーブルにできます。
IPsec トンネル プロトコル
IPsec トンネル プロトコルを使用して、IPsec トンネル プロトコルをイネーブルにすると、ユーザが利用できるようになります。IPsec トンネル プロトコル機能を設定するには、Cisco VPN 3000 シリーズ コンセントレータ上で、[Configuration | User Management | Base Group] 画面の [General] タブをクリックします。
IPsec グループ
IPsec グループを使用すると、ルータ上で Cisco Easy VPN Remote コンフィギュレーションに対して設定された値にマッチするグループの名前およびパスワードを Cisco VPN 3000 シリーズ コンセントレータに設定できます。これらの値は、ルータ上で group group-name および key group-key コマンドと引数の組み合せを使用して設定します。また、Cisco VPN 3000 シリーズ コンセントレータの [Configuration | User Management | Groups] 画面でも、これらの値を設定できます。
グループ ロック
Cisco VPN 3000 シリーズ コンセントレータで、複数のグループを使用して複数のユーザを定義している場合は、各ユーザが別のグループのパラメータを使用してログインするのを防ぐため、[IPsec] タブの [Group Lock] チェックボックスをオンにする必要があります。たとえば、スプリット トンネリング アクセスのあるグループと、スプリット トンネリング アクセスのないグループを設定している場合、[Group Lock] チェックボックスをオンにすれば、後者のグループに属するユーザは、スプリット トンネリング機能へのアクセス権を取得できなくなります。[Group Lock] チェックボックスは、[Configuration | User Management | Base Group] 画面の [IPsec] タブ、および [Configuration | User Management | Groups | Add/Modify] 画面の [IPsec] タブに表示されます。
Xauth
Xauth を使用する場合は、[Authentication] パラメータの値を [None] に設定します。認証パラメータは、[Configuration | User Management | Base Group] 画面の [IPsec] タブ、および [Configuration | User Management | Groups | Add/Modify] 画面の [IPsec] タブに表示されます。
スプリット トンネリング
[Configuration | User Management | Base Group, Mode Configuration Parameters Tab] 画面では、[Allow the networks in the list to bypass the tunnel] チェックボックスを含む [Split Tunnel] オプションを使用できます。
IKE プロポーザル
Cisco VPN 3000 シリーズ コンセントレータには、Cisco Easy VPN Remote で使用できる IKE プロポーザル CiscoVPNClient-3DES-MD5 が事前に設定されています。この IKE プロポーザルは、MD5/HMAC-128 アルゴリズムによる Xauth および Diffie-Hellman グループ 2 を使用した事前共有キーをサポートしています。
この IKE プロポーザルは、デフォルトでアクティブになりますが、それが実際にアクティブであるかどうかを [Configuration | System | Tunneling Protocols | IPsec | IKE Proposals] 画面で確認することを推奨します。
Cisco VPN 3000 シリーズ コンセントレータの設定を行う際、Cisco Easy VPN Remote イメージに対しては、IPsec SA を新たに作成する必要はありません。Cisco VPN 3000 シリーズ コンセントレータに設定されているデフォルトの IKE および Easy VPN Remote ライフタイムを使用してください。
(注) デフォルトの IKE プロポーザルである IKE-DES-MD5 および IKE-3DES-MD5 も使用できますが、これらの IKE プロポーザルは、デフォルトでは Xauth をサポートしていません。
新規の IPsec SA
IPsec SA は新規に作成できます。Cisco Easy VPN クライアントでは、次のようなパラメータを持つ SA が使用されます。
• 認証アルゴリズム:ESP/MD5/HMAC-128
• 暗号化アルゴリズム:DES-56 または 3DES-168(推奨)
• カプセル化モード:トンネル
• IKE プロポーザル:CiscoVPNClient-3DES-MD5(推奨)
VPN 3000 シリーズ コンセントレータには事前設定されているデフォルトの SA が複数存在しますが、これらは IKE プロポーザルの要件を満たしていません。IKE プロポーザルとして CiscoVPNClient-3DES-MD5 を使用する場合は、ESP/IKE-3DES-MD5 SA をコピーし、それを修正して CiscoVPNClient-3DES-MD5 に転用します。IKE プロポーザルは、VPN 3000 シリーズ コンセントレータの [Configuration | Policy Management | Traffic Management | Security Associations] 画面で設定します。
Cisco PIX ファイアウォールにおける Easy VPN サーバの設定
Cisco PIX ファイアウォールにおける Easy VPN サーバの設定方法については、次のマニュアルを参照してください。
• 『Easy VPN Server』
Web ベース アクティベーションの設定
プライベート LAN 上の PC から送信される HTTP 要求をすべて代行受信することで社内ユーザが社内 Web ページへアクセスできるように LAN を設定するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto ipsec client ezvpn name
4. xauth userid mode { http-intercept | interactive | local }
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto ipsec client ezvpn name
Router (config)# crypto ipsec client ezvpn easy vpn remote1 |
Cisco Easy VPN Remote コンフィギュレーションをインターフェイスに割り当て、Cisco Easy VPN Remote コンフィギュレーション モードを開始します。 • name 引数には、インターフェイスに割り当てる設定名を指定します。 |
ステップ 4 |
xauth userid mode { http-intercept | interactive | local }
Router (config-crypto-ezvpn)# xauth userid mode http-intercept |
サーバからの Xauth 要求や Xauth プロンプトを VPN デバイスでどのように処理するかを指定します。 |
Web ベース アクティベーションのモニタおよびメンテナンス
Web ベース アクティベーションのモニタとメンテナンスを行うには、次の手順を実行します( debug コマンドおよび show コマンドは、それぞれ独立して使用できますが、すべて設定することもできます)。
手順の概要
1. enable
2. debug crypto ipsec client ezvpn
3. debug ip auth-proxy ezvpn
4. show crypto ipsec client ezvpn
5. show ip auth-proxy config
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
debug crypto ipsec client ezvpn
Router# debug crypto ipsec client ezvpn |
Cisco Easy VPN 接続に関する情報を表示します。 |
ステップ 3 |
debug ip auth-proxy ezvpn
Router# debug ip auth-proxy ezvpn |
Web ベース アクティベーションにおけるプロキシ認証の動作についての情報を表示します。 |
ステップ 4 |
show crypto ipsec client ezvpn
Router# show crypto ipsec client ezvpn |
ユーザからの HTTP 接続を代行受信することによって、Xauth ネゴシエーションの際にユーザ クレデンシャルとして使用するユーザ名およびパスワードが取得されることを明示します。 |
ステップ 5 |
show ip auth-proxy config
Router# show ip auth-proxy config |
Easy VPN により作成され適用された認証プロキシ(auth-proxy)のルールを表示します。 |
例
debug コマンドの出力例
次に示すのは、ユーザがブラウザを開いて社内 Web サイトへ接続した場合に関する debug コマンドの一般的な出力例です。
Router# debug ip auth-proxy ezvpn
Dec 10 12:41:13.335: AUTH-PROXY: New request received by EzVPN WebIntercept
! The following line shows the ip address of the user.
Dec 10 12:41:13.335: AUTH-PROXY:GET request received
Dec 10 12:41:13.335: AUTH-PROXY:Normal auth scheme in operation
Dec 10 12:41:13.335: AUTH-PROXY:Ezvpn is NOT active. Sending connect-bypass page to user
この時点で、ユーザはブラウザ上の [Connect] を選択します。
Dec 10 12:42:43.427: AUTH-PROXY: New request received by EzVPN WebIntercept
Dec 10 12:42:43.427: AUTH-PROXY:POST request received
Dec 10 12:42:43.639: AUTH-PROXY:Found attribute <connect> in form
Dec 10 12:42:43.639: AUTH-PROXY:Sending POST data to EzVPN
Dec 10 12:42:43.639: EZVPN(tunnel22): Communication from Interceptor
Request/Response from 10.4.205.205, via Ethernet0
Dec 10 12:42:43.639: connect: Connect Now
Dec 10 12:42:43.639: EZVPN(tunnel22): Received CONNECT from 10.4.205.205!
Dec 10 12:42:43.643: EZVPN(tunnel22): Current State: CONNECT_REQUIRED
Dec 10 12:42:43.643: EZVPN(tunnel22): Event: CONNECT
Dec 10 12:42:43.643: EZVPN(tunnel22): ezvpn_connect_request
Easy VPN がサーバにコンタクトします。
Dec 10 12:42:43.643: EZVPN(tunnel22): Found valid peer 192.168.0.1
Dec 10 12:42:43.643: EZVPN(tunnel22): Added PSK for address 192.168.0.1
Dec 10 12:42:43.643: EZVPN(tunnel22): New State: READY
Dec 10 12:42:44.815: EZVPN(tunnel22): Current State: READY
Dec 10 12:42:44.815: EZVPN(tunnel22): Event: IKE_PFS
Dec 10 12:42:44.815: EZVPN(tunnel22): No state change
Dec 10 12:42:44.819: EZVPN(tunnel22): Current State: READY
Dec 10 12:42:44.819: EZVPN(tunnel22): Event: CONN_UP
Dec 10 12:42:44.819: EZVPN(tunnel22): ezvpn_conn_up B8E86EC7 E88A8A18 D0D51422
サーバから、Xauth 情報が要求されます。
Dec 10 12:42:44.823: EZVPN(tunnel22): No state change
Dec 10 12:42:44.827: EZVPN(tunnel22): Current State: READY
Dec 10 12:42:44.831: EZVPN(tunnel22): Event: XAUTH_REQUEST
Dec 10 12:42:44.831: EZVPN(tunnel22): ezvpn_xauth_request
Dec 10 12:42:44.831: EZVPN(tunnel22): ezvpn_parse_xauth_msg
Dec 10 12:42:44.831: EZVPN: Attributes sent in xauth request message:
Dec 10 12:42:44.831: XAUTH_TYPE_V2(tunnel22): 0
Dec 10 12:42:44.831: XAUTH_USER_NAME_V2(tunnel22):
Dec 10 12:42:44.831: XAUTH_USER_PASSWORD_V2(tunnel22):
Dec 10 12:42:44.831: XAUTH_MESSAGE_V2(tunnel22) <Enter Username and
Dec 10 12:42:44.831: EZVPN(tunnel22): Requesting following info for xauth
Dec 10 12:42:44.831: username:(Null)
Dec 10 12:42:44.835: password:(Null)
Dec 10 12:42:44.835: message:Enter Username and Password.
Dec 10 12:42:44.835: EZVPN(tunnel22): New State: XAUTH_REQ
ユーザのブラウザに、ユーザ名およびパスワードのプロンプトが表示されます。
Dec 10 12:42:44.835: AUTH-PROXY: Response to POST is CONTINUE
Dec 10 12:42:44.839: AUTH-PROXY: Displayed POST response successfully
Dec 10 12:42:44.843: AUTH-PROXY:Served POST response to the user
ユーザが、各自のユーザ名およびパスワードを入力すると、以下の情報がサーバへ送信されます。
Dec 10 12:42:55.343: AUTH-PROXY: New request received by EzVPN WebIntercept
Dec 10 12:42:55.347: AUTH-PROXY:POST request received
Dec 10 12:42:55.559: AUTH-PROXY:No of POST parameters is 3
Dec 10 12:42:55.559: AUTH-PROXY:Found attribute <username> in form
Dec 10 12:42:55.559: AUTH-PROXY:Found attribute <password> in form
Dec 10 12:42:55.559: AUTH-PROXY:Found attribute <ok> in form
Dec 10 12:42:55.563: AUTH-PROXY:Sending POST data to EzVPN
Dec 10 12:42:55.563: EZVPN(tunnel22): Communication from Interceptor application. Request/Response from 10.4.205.205, via Ethernet0
Dec 10 12:42:55.563: username:http
Dec 10 12:42:55.563: password:<omitted>
Dec 10 12:42:55.563: ok:Continue
Dec 10 12:42:55.563: EZVPN(tunnel22): Received usename|password from 10.4.205.205!
Dec 10 12:42:55.567: EZVPN(tunnel22): Current State: XAUTH_PROMPT
Dec 10 12:42:55.567: EZVPN(tunnel22): Event: XAUTH_REQ_INFO_READY
Dec 10 12:42:55.567: EZVPN(tunnel22): ezvpn_xauth_reply
Dec 10 12:42:55.567: XAUTH_TYPE_V2(tunnel22): 0
Dec 10 12:42:55.567: XAUTH_USER_NAME_V2(tunnel22): http
Dec 10 12:42:55.567: XAUTH_USER_PASSWORD_V2(tunnel22): <omitted>
Dec 10 12:42:55.567: EZVPN(tunnel22): New State: XAUTH_REPLIED
Dec 10 12:42:55.891: EZVPN(tunnel22): Current State: XAUTH_REPLIED
Dec 10 12:42:55.891: EZVPN(tunnel22): Event: XAUTH_STATUS
Dec 10 12:42:55.891: EZVPN(tunnel22): xauth status received: Success
トンネルの使用後、ユーザは [Disconnect] を選択します。
Dec 10 12:48:17.267: EZVPN(tunnel22): Received authentic disconnect credential
Dec 10 12:48:17.275: EZVPN(): Received an HTTP request: disconnect
Dec 10 12:48:17.275: %CRYPTO-6-EZVPN_CONNECTION_DOWN: (Client) User=
Group=tunnel22 Client_public_addr=192.168.0.13 Server_public_addr=192.168.0.1
Assigned_client_addr=10.3.4.5
ユーザがトンネルへ接続する前の show コマンドの出力例
次に示すのは、ユーザが VPN トンネルへ接続する前に 2 つの show コマンド( show crypto ipsec client ezvpn および show ip auth-proxy config )を実行した場合の出力例です。
Router# show crypto ipsec client ezvpn tunnel22
Inside interface list: Ethernet0
Outside interface: Ethernet1
Current State: CONNECT_REQUIRED
Save Password: Disallowed
XAuth credentials: HTTP intercepted
IP addr being prompted: 0.0.0.0
Current EzVPN Peer: 192.168.0.1
Router# show ip auth-proxy config
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication Proxy Watch-list is disabled
Authentication Proxy Rule Configuration
! Note that the next line is the Easy VPN-defined internal rule.
Auth-proxy name ezvpn401***
http list not specified inactivity-timer 60 minutes
ユーザがトンネルへ接続した後の show コマンドの出力例
次に示すのは、ユーザが VPN トンネルへ接続した後に 2 つの show コマンド( show crypto ipsec client ezvpn および show ip auth-proxy config )を実行した場合の出力例です。
Router# show crypto ipsec client ezvpn tunnel22
Inside interface list: Ethernet0
Outside interface: Ethernet1
Current State: IPSEC_ACTIVE
Save Password: Disallowed
XAuth credentials: HTTP intercepted
IP addr being prompted: 192.168.0.0
Current EzVPN Peer: 192.168.0.1
Router# show ip auth-proxy config
Authentication global cache time is 60 minutes
Authentication global absolute time is 0 minutes
Authentication Proxy Watch-list is disabled
Auth-proxy name ezvpnWeb*** (EzVPN-defined internal rule)
http list not specified inactivity-timer 60 minutes
Cisco Easy VPN Remote 機能を使用した VPN 接続のトラブルシューティング
Cisco Easy VPN Remote 機能で作成した VPN 接続のトラブルシューティングを行うには、次の手順を実行します。
• 内部インターフェイスの追加や削除を行うなど、アクティブな Cisco Easy VPN Remote コンフィギュレーションに何らかの変更があった場合や、関連するインターフェイスの IP アドレスが変更された場合は、Cisco Easy VPN Remote 接続がリセットされることに留意します。
• debug crypto ipsec client ezvpn コマンドによる Cisco Easy VPN Remote 機能のデバッグをイネーブルにします。
• debug crypto ipsec コマンドおよび debug crypto isakmp コマンドによる IKE イベントのデバッグをイネーブルにします。
• show crypto engine connections active コマンドを使用して、アクティブな IPsec VPN 接続を表示します。
• clear crypto ipsec client ezvpn コマンドを使用して、VPN 接続をリセットします。ただし、デバッグがイネーブルになっている場合は、 clear crypto sa コマンドおよび clear crypto isakmp コマンドを使用します。
クライアント モードのトラブルシューティング
ここでは、クライアント モード用に設定された Easy VPN Remote コンフィギュレーションに関するトラブルシューティングについて説明します。
クライアント モードでは、Cisco Easy VPN Remote 機能によって、VPN トンネルの実装に必要な NAT 変換または PAT 変換、およびアクセス リストの設定が自動的に作成されます。これらの設定は、IPsec VPN 接続が開始された時点で自動作成されます。また、トンネルが切断されると、NAT または PAT、およびアクセス リストの設定は、自動的に削除されます。
NAT または PAT の設定は、次の前提条件の下で作成されます。
• デフォルトの内部インターフェイスを含むすべての内部インターフェイスに対して ip nat inside コマンドが適用されている。デフォルトの内部インターフェイスは、イーサネット 0 インターフェイスです(Cisco 806、Cisco 826、Cisco 827、Cisco 828、Cisco 831、Cisco 836、Cisco 837 の各ルータの場合)。
• Cisco Easy VPN Remote コンフィギュレーションで設定されているインターフェイスに対して ip nat outside コマンドが適用されている。Cisco 800 シリーズ ルータおよび Cisco 1700 シリーズ ルータの場合、外部インターフェイスは、Cisco Easy VPN Remote コンフィギュレーションで設定されています。Cisco 1700 シリーズ ルータ、Cisco 2600 シリーズ ルータ、Cisco 3600 シリーズ ルータ、および Cisco 3700 シリーズ ルータでは、複数の外部インターフェイスを設定できます。
ヒント Cisco Easy VPN Remote 機能により作成された NAT 変換または PAT 変換、およびアクセス リストの設定は、スタートアップ コンフィギュレーション ファイルや実行中のコンフィギュレーション ファイルには書き込まれません。ただし、これらの設定は、show ip nat statistics コマンドおよび show access-list コマンドを使用して表示できます。
リモート管理のトラブルシューティング
VPN リモートのリモート管理に関するトラブルシューティングを行う場合は、 show ip interface コマンドを使用します。 brief キーワードを使用して、ループバックが削除されたか、また、インターフェイスが正しく表示されているか確認できます。
例
次に示すのは、 show ip interface コマンドの一般的な出力例です。
Router# show ip interface brief
Interface IP-Address OK? Method Status Protocol
Ethernet0 unassigned YES NVRAM administratively down down
Ethernet1 10.0.0.11 YES NVRAM up up
Loopback0 192.168.6.1 YES manual up up
Loopback1 10.12.12.12 YES NVRAM up up
Router# show ip interface brief
Interface IP-Address OK? Method Status Protocol
Ethernet0 unassigned YES NVRAM administratively down down
Ethernet1 10.0.0.11 YES NVRAM up up
Loopback1 10.12.12.12 YES NVRAM up up
デッド ピア検出のトラブルシューティング
デッド ピア検出のトラブルシューティングには、 show crypto ipsec client ezvpn コマンドを使用します。
例
次に示すのは、現在のサーバと、Easy VPN サーバによりプッシュされたピアを表示する一般的な出力例です。
Router# show crypto ipsec client ezvpn
Inside interface list: Loopback1,
Outside interface: Ethernet1
Current State: IPSEC_ACTIVE
NBMS/WINS Primary: 10.6.6.6
Default Domain: cisco.com
Current EzVPN Peer:10.0.0.110
Cisco Easy VPN Remote の設定例
ここでは、次の設定例について説明します。
Easy VPN Remote の設定例
• 「クライアント モードの設定例」
• 「Easy VPN Remote に対するローカル アドレス サポート:例」
• 「ネットワーク拡張モードの設定:例」
• 「パスワード保存機能の設定:例」
• 「PFS サポート:例」
• 「ダイヤル バックアップの例」
• 「Web ベース アクティベーション:例」
• 「Easy VPN Remote に対する仮想 IPsec インターフェイス サポートの設定:例」
• 「デュアル トンネルの設定:例」
• 「デュアル トンネルに対する show コマンドの出力:例」
• 「プライマリ ピアの再アクティブ化:例」
• 「同一アドレス指定のサポート機能の設定:例」
• 「Easy VPN Client(リモート デバイス)における cTCP:例」
Easy VPN サーバの設定例
• 「スプリット トンネリングを使用しない Cisco Easy VPN サーバ:例」
• 「スプリット トンネリングを使用する Cisco Easy VPN サーバ コンフィギュレーション:例」
• 「Xauth を使用する Cisco Easy VPN サーバ コンフィギュレーション:例」
• 「Easy VPN サーバの相互運用性のサポート:例」
クライアント モードで動作する Cisco Easy VPN Client(Cisco 831):例
次に示すのは、クライアント モードで Cisco Easy VPN Remote 機能を使用する Easy VPN Remote として Cisco 831 ルータを設定した場合の設定例です。この例では、Cisco Easy VPN Remote コンフィギュレーションのうち、次の各設定が表示されています。
• DHCP サーバ プール: ip dhcp pool コマンドにより、IP アドレスのプールが作成されています。これらの IP アドレスは、ルータのイーサネット 0 インターフェイスに接続された PC に割り当てられます。このプールでは、クラス C のプライベート アドレス空間(192.168.100.0)に属するアドレスが割り当てられ、ルータのイーサネット インターフェイスに割り当てられた IP アドレス 192.168.100.1 が、各 PC のデフォルト ルートとして設定されます。DHCP リース期間は 1 日です。
• Cisco Easy VPN Remote コンフィギュレーション:1 つ目の crypto ipsec client ezvpn easy vpn remote コマンド(グローバル コンフィギュレーション モード)により、Cisco Easy VPN Remote コンフィギュレーションが「easy vpn remote」という名前で作成されています。この設定では、「easy vpn remote-groupname」というグループ名、および「easy vpn remote-password」という共有キー値が指定され、ピアの宛先が IP アドレス 192.185.0.5 (インターネットに接続する宛先ピア ルータ上のインターフェイスに割り当てられたアドレス)に設定されています。この Cisco Easy VPN Remote コンフィギュレーションは、デフォルトの クライアント モード用に設定されたものです。
(注) ルータ上に DNS も設定されている場合、peer キーワード オプションは、IP アドレスの代わりにホスト名もサポートします。
• 2 つ目の crypto ipsec client ezvpn easy vpn remote コマンド(インターフェイス コンフィギュレーション モード)により、Cisco Easy VPN Remote コンフィギュレーションがイーサネット 1 インターフェイスに割り当てられています。これにより、イーサネット 1 インターフェイスで受信および送信されるトラフィックはすべて、VPN トンネルを介して転送されます。
! Cisco Router Web Setup Template
no service tcp-small-servers
no service udp-small-servers
service timestamps debug uptime
service timestamps log uptime
service password-encryption
ip dhcp excluded-address 10.10.10.1
network 10.10.10.0 255.255.255.255
default-router 10.10.10.1
crypto ipsec client ezvpn easy_vpn_remote
group easy_vpn_remote_groupname key easy_vpn_remote_password
ip address 10.10.10.1 255.255.255.255
crypto ipsec client ezvpn easy_vpn_remote
ip route 10.0.0.0 10.0.0.0 Ethernet1
クライアント モードで動作する Cisco Easy VPN Client(Cisco 837):例
次に示すのは、クライアント モードで Cisco Easy VPN Remote 機能を使用する Easy VPN Remote として Cisco 837 ルータを設定した場合の設定例です。この例では、Cisco Easy VPN Remote コンフィギュレーションのうち、次の各設定が表示されています。
• PPPoE の設定:ダイヤラ 1 仮想インターフェイスを介して PPPoE 接続をサポートするために、ATM 0 インターフェイスが設定されています。これらのインターフェイスでは PPPoE が使用されるため、接続された PC に IP アドレスを割り当てるのに、DHCP IP アドレス プールは必要ありません。
• Cisco Easy VPN Remote Cisco Easy VPN Remote コンフィギュレーション:1 つ目の crypto ipsec client ezvpn コマンド(グローバル コンフィギュレーション モード)により、Cisco Easy VPN Remote コンフィギュレーションが「easy vpn remote」という名前で作成されています。この設定では、「easy vpn remote-groupname」というグループ名、および「easy vpn remote-password」という共有キー値が指定され、ピアの宛先が IP アドレス 10.0.0.5(インターネットに接続する宛先ピア ルータ上のインターフェイスに割り当てられたアドレス)に設定されています。この Cisco Easy VPN Remote コンフィギュレーションは、デフォルトのクライアント モード用に設定されたものです。
(注) ルータ上に DNS も設定されている場合、peer キーワード オプションは、IP アドレスの代わりにホスト名もサポートします。
• 2 つ目の crypto ipsec client ezvpn コマンド(インターフェイス コンフィギュレーション モード)により、Cisco Easy VPN Remote コンフィギュレーションが Dialer 1 インターフェイスに割り当てられています。これにより、Dialer 1 インターフェイスで受信および送信されるトラフィックはすべて、VPN トンネルを介して転送されます。
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
ip ssh authentication-retries 3
crypto ipsec client ezvpn easy_vpn_remote
group easy_vpn_remote_groupname key easy_vpn_remote_password
ip address 10.0.0.117 255.0.0.0
pppoe-client dial-pool-number 1
ip address 10.0.0.3 255.0.0.0
crypto ipsec client ezvpn easy_vpn_remote
ip route 0.0.0.0 0.0.0.0 ATM0
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
ip route 10.0.0.0 255.0.0.0 10.0.0.13
scheduler max-task-time 5000
クライアント モードで動作する Cisco Easy VPN Client(Cisco 1700 シリーズ):例
次に示すのは、クライアント モードで Cisco Easy VPN Remote 機能を使用する Easy VPN Remote として Cisco 1753 ルータを設定した場合の設定例です。この例は、1 つのトンネルに対して 2 つの内部インターフェイスと 1 つの外部インターフェイスを持つ Cisco 1753 の実行設定を表示したものです。 connect auto コマンドにより、IPsec VPN トンネルが手動で確立します。
Router# show running-config
Building configuration...
Current configuration : 881 bytes
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
ip ssh authentication-retries 3
crypto ipsec client ezvpn easy_vpn_remote
interface FastEthernet0/0
ip address 10.4.4.2 255.255.255.0
crypto ipsec client ezvpn easy_vpn_remote inside
ip address 10.6.6.2 255.255.255.0
crypto ipsec client ezvpn easy_vpn_remote
ip address 10.5.5.2 255.255.255.0
crypto ipsec client ezvpn easy_vpn_remote inside
次に示すのは、easy vpn remote1、easy vpn remote2 という自動的に接続された 2 つのアクティブなトンネルを持つ Cisco 1760 ルータの実行設定の例です。トンネル easy vpn remote1 には、2 つの内部インターフェイスと、1 つの外部インターフェイスが設定されています。トンネル easy vpn remote2 には、1 つの内部インターフェイスと、1 つの外部インターフェイスが設定されています。また,トンネル名、外部インターフェイス、および内部インターフェイスが列記された show crypto ipsec client ezvpn コマンドの出力例も合せて記載してあります。
Router# show running-config
Building configuration...
Current configuration : 1246 bytes
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
crypto ipsec client ezvpn easy_vpn_remote2
crypto ipsec client ezvpn easy_vpn_remote1
interface FastEthernet0/0
ip address 10.5.5.2 255.255.255.0
crypto ipsec client ezvpn easy_vpn_remote1 inside
ip address 10.4.4.2 255.255.255.0
crypto ipsec client ezvpn easy_vpn_remote1 inside
ip address 10.3.3.2 255.255.255.0
crypto ipsec client ezvpn easy_vpn_remote2 inside
ip address 10.6.6.2 255.255.255.0
crypto ipsec client ezvpn easy_vpn_remote1
ip address 10.7.7.2 255.255.255.0
crypto ipsec client ezvpn easy_vpn_remote2
radius-server retransmit 3
radius-server authorization permit missing Service-Type
Router# show crypto ipsec client ezvpn
Tunnel name : easy_vpn_remote1
Inside interface list: FastEthernet0/0, Serial0/0,
Outside interface: Serial1/0
Current State: IPSEC_ACTIVE
Default Domain: cisco.com
Tunnel name : easy_vpn_remote2
Inside interface list: Serial0/1,
Outside interface: Serial1/1
Current State: IPSEC_ACTIVE
Default Domain: cisco.com
Easy VPN Remote に対するローカル アドレス サポート:例
次の設定例では、 local-address コマンドを使用して、トンネル トラフィックを探り当てるためのループバック 0 インターフェイスを指定します。
Router# configure terminal
Router(config)# crypto ipsec client ezvpn telecommuter-client
Router(config-crypto-ezvpn)# local-address loopback0
ネットワーク拡張 モードで動作する Cisco Easy VPN Client(Cisco 831):例
次に示すのは、Cisco Easy VPN Remote 機能を使用する Easy VPN Remote として Cisco 831 ルータを設定した場合の設定例です。この例では、Cisco Easy VPN Remote コンフィギュレーションのうち、次の各設定が表示されています。
• イーサネット 0 インターフェイスには、Cisco IOS Easy VPN サーバのネットワーク アドレス空間に属するアドレスが割り当てられています。また、 ip route コマンドは、このネットワーク アドレス空間のトラフィックをすべて、イーサネット 1 インターフェイスから宛先サーバへ送信するよう指定しています。
• Cisco Easy VPN Remote コンフィギュレーション:1 つ目の crypto ipsec client ezvpn コマンド(グローバル コンフィギュレーション モード)により、Cisco Easy VPN Remote コンフィギュレーションが「easy vpn remote」という名前で作成されています。この設定では、「easy vpn remote-groupname」というグループ名、および「easy vpn remote-password」という共有キー値が指定され、ピアの宛先が IP アドレス 192.185.0.5(インターネットに接続する宛先ピア ルータ上のインターフェイスに割り当てられたアドレス)に設定されています。この Cisco Easy VPN Remote コンフィギュレーションは、ネットワーク拡張 モード用に設定されたものです。
(注) ルータ上に DNS も設定されている場合、peer キーワード オプションは、IP アドレスの代わりにホスト名もサポートします。
• 2 つ目の crypto ipsec client ezvpn コマンド(インターフェイス コンフィギュレーション モード)により、Cisco Easy VPN Remote コンフィギュレーションがイーサネット 1 インターフェイスに割り当てられています。これにより、イーサネット 1 インターフェイスで受信および送信されるトラフィックはすべて、VPN トンネルを介して転送されます。
! Cisco Router Web Setup Template
no service tcp-small-servers
no service udp-small-servers
service timestamps debug uptime
service timestamps log uptime
service password-encryption
ip dhcp excluded-address 172.31.1.1
network 172.31.1.0 255.255.255.255
default-router 172.31.1.1
crypto ipsec client ezvpn easy_vpn_remote
group easy_vpn_remote_groupname key easy_vpn_remote_password
ip address 172.31.1.1 255.255.255.255
crypto ipsec client ezvpn easy_vpn_remote
ip route 172.31.0.0 255.255.255.255 Ethernet1
ネットワーク拡張 モードで動作する Cisco Easy VPN Client(Cisco 837):例
次に示すのは、クライアント モードで Cisco Easy VPN Remote 機能を使用する Easy VPN Remote として Cisco 837 ルータを設定した場合の設定例です。この例では、Cisco Easy VPN Remote コンフィギュレーションのうち、次の各設定が表示されています。
• PPPoE の設定:ダイヤラ 1 仮想インターフェイスを介して PPPoE 接続をサポートするために、ATM 0 インターフェイスが設定されています。これらのインターフェイスでは PPPoE が使用されるため、接続された PC に IP アドレスを割り当てるのに、DHCP IP アドレス プールは必要ありません。
• イーサネット 0 インターフェイスには、Cisco IOS Easy VPN サーバのネットワーク アドレス空間に属するアドレスが割り当てられています。また、 ip route コマンドは、このネットワーク アドレス空間のトラフィックをすべて、ダイヤラ 1 インターフェイスから宛先サーバへ送信するよう指定しています。
• Cisco Easy VPN Remote コンフィギュレーション:1 つ目の crypto ipsec client ezvpn コマンド(グローバル コンフィギュレーション モード)により、Cisco Easy VPN Remote コンフィギュレーションが「easy vpn remote」という名前で作成されています。この設定では、「easy vpn remote-groupname」というグループ名、および「easy vpn remote-password」という共有キー値が指定され、ピアの宛先が IP アドレス 10.0.0.5(インターネットに接続する宛先ピア ルータ上のインターフェイスに割り当てられたアドレス)に設定されています。この Cisco Easy VPN Remote コンフィギュレーションは、デフォルトのネットワーク拡張 モード用に設定されたものです。
(注) ルータ上に DNS も設定されている場合、peer キーワード オプションは、IP アドレスの代わりにホスト名もサポートします。
• 2 つ目の crypto ipsec client ezvpn コマンド(インターフェイス コンフィギュレーション モード)により、Cisco Easy VPN Remote コンフィギュレーションが Dialer 1 インターフェイスに割り当てられています。これにより、Dialer 1 インターフェイスで受信および送信されるトラフィックはすべて、VPN トンネルを介して転送されます。
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
ip ssh authentication-retries 3
crypto ipsec client ezvpn easy_vpn_remote
group easy_vpn_remote_groupname key easy_vpn_remote_password
ip address 172.16.0.30 255.255.255.192
pppoe-client dial-pool-number 1
ip address 10.0.0.3 255.0.0.0
crypto ipsec client ezvpn easy_vpn_remote
ip route 172.16.0.0 255.255.255.128 Dialer1
ip route 0.0.0.0 0.0.0.0 ATM0
ip route 0.0.0.0 0.0.0.0 Dialer1 permanent
ip route 10.0.0.0 255.0.0.0 10.0.0.13
scheduler max-task-time 5000
ネットワーク拡張 モードで動作する Cisco Easy VPN Client(Cisco 1700 シリーズ):例
次に示すのは、ネットワーク拡張 モードで Cisco Easy VPN Remote 機能を使用する Easy VPN Remote として Cisco 1700 シリーズ ルータを設定した場合の設定例です。この例では、Cisco Easy VPN Remote コンフィギュレーションのうち、次の各設定が表示されています。
• Cisco Easy VPN Remote コンフィギュレーション:1 つ目の c rypto ipsec client ezvpn コマンド(グローバル コンフィギュレーション モード)により、Cisco Easy VPN Remote コンフィギュレーションが「easy vpn remote」という名前で作成されています。この設定では、「easy vpn remote-groupname」というグループ名、および「easy vpn remote-password」という共有キー値が指定され、ピアの宛先が IP アドレス 10.0.0.2(インターネットに接続する宛先ピア ルータ上のインターフェイスに割り当てられたアドレス)に設定されています 。 この Cisco Easy VPN Remote コンフィギュレーションは、ネットワーク拡張 モード用に設定されたものです。
(注) ルータ上に DNS も設定されている場合、peer キーワード オプションは、IP アドレスの代わりにホスト名もサポートします。
• 2 つ目の crypto ipsec client ezvpn easy vpn remote コマンド(インターフェイス コンフィギュレーション モード)により、コンフィギュレーションがイーサネット 0 インターフェイスに割り当てられています。これにより、イーサネット 0 インターフェイスで受信および送信されるトラフィックはすべて、VPN トンネルを介して送信されます。
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
ip ssh authentication-retries 3
ip dhcp excluded-address 10.0.0.10
network 10.70.0.0 255.255.255.248
default-router 10.70.0.10
crypto ipsec client ezvpn easy_vpn_remote
group easy_vpn_remote_groupname key easy_vpn_remote_password
ip address 10.50.0.10 255.0.0.0
crypto ipsec client ezvpn easy_vpn_remote
ip address 10.10.0.10 255.0.0.0
ip route 10.20.0.0 255.0.0.0 Ethernet0
ip route 10.20.0.0 255.0.0.0 Ethernet0
パスワード保存機能の設定:例
次に示すのは、 show running-config コマンドの出力結果で、パスワード保存機能の設定を表示したものです(出力結果の中の password encryption aes コマンドおよび username キーワードの部分)。
Router# show running-config
133.CABLEMODEM.CISCO: Oct 28 18:42:07.115: %SYS-5-CONFIG_I: Configured from console by consolen
Building configuration...
Current configuration : 1269 bytes
! Last configuration change at 14:42:07 UTC Tue Oct 28 2003
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
ip audit po max-events 100
no ftp-server write-enable
crypto ipsec client ezvpn remote_vpn_client
username user1 password 6 ARiFgh`SOJfMHLK[MHMQJZagR\M
ip address 10.3.66.4 255.255.255.0
PFS サポート:例
次の show crypto ipsec client ezvpn コマンドの出力結果は、グループ名(「2」)と、PFS が使用されていることを示しています。
Router# show crypto ipsec client ezvpn
Inside interface list: Loopback1,
Outside interface: Ethernet1
Current State: IPSEC_ACTIVE
Current EzVPN Peer:10.0.0.110
Cisco IOS Easy VPN サーバ上では、次の設定例のように、クリプト マップを追加して PFS を IPsec プロポーザルに組み込む必要があります。
crypto dynamic-map mode 1
set security-association lifetime seconds 180
ダイヤル バックアップの例
スタティック IP アドレス指定
次に示すのは、Cisco 1711 ルータに対するスタティック IP アドレス指定の設定例です。
Router# show running-config
Building configuration...
Current configuration : 3427 bytes
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
username ph4_R8 password 0 cisco
username ph4_R7 password 0 lab
ip dhcp-client default-router distance 1
no ftp-server write-enable
track 123 rtr 3 reachability
crypto isakmp keepalive 10 periodic
crypto ipsec client ezvpn backup_profile_vpn3k
group hw_client_groupname key password123
username user1 password password123
crypto ipsec client ezvpn hw_client_vpn3k
group hw_client_groupname key password123
backup backup_profile_vpn3k track 123
username user1 password password123
ip address 10.40.40.50 255.255.255.255
ip address 10.40.40.51 255.255.255.255
description Primary Link to 10.0.0.2
ip address 10.0.0.10 255.255.255.0
crypto ipsec client ezvpn hw_client_vpn3k
ip address 10.0.0.1 255.255.255.0
crypto ipsec client ezvpn backup_profile_vpn3k inside
crypto ipsec client ezvpn hw_client_vpn3k inside
ip address 10.30.0.1 255.255.255.0
crypto ipsec client ezvpn backup_profile_vpn3k
ip local policy route-map policy_for_rtr
ip route 0.0.0.0 0.0.0.0 faste0 track 123
ip route 0.0.0.0 0.0.0.0 Dialer1 240
ip access-list extended dummy1
permit ip host 10.0.0.2 host 10.3.0.1
ip access-list extended important_traffic
permit ip 10.0.0.0 0.0.0.255 10.0.0.2 0.0.0.255
permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
ip access-list extended important_traffic_2
permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
access-list 112 permit icmp any host 10.0.10.2 echo
dialer-list 1 protocol ip permit
route-map policy_for_rtr permit 10
set ip next-hop 10.0.10.2
type echo protocol ipIcmpEcho 10.0.0.2 source-ipaddr 10.0.0.3
rtr schedule 2 life forever start-time now
type echo protocol ipIcmpEcho 10.0.0.2 source-interface FastEthernet0
rtr schedule 3 life forever start-time now
modem autoconfigure discovery
プライマリ インターフェイス上で設定された DHCP およびバックアップとしての PPP 非同期
次に示すのは、プライマリ インターフェイスに対して DHCP が設定され、バックアップとして PPP 非同期モードが設定された Cisco 1711 ルータの設定例です。
Router# show running-config
Building configuration...
Current configuration : 3427 bytes
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
username ph4_R8 password 0 cisco
username ph4_R7 password 0 lab
ip dhcp-client default-router distance 1
no ftp-server write-enable
track 123 rtr 3 reachability
crypto isakmp keepalive 10 periodic
crypto ipsec client ezvpn backup_profile_vpn3k
group hw_client_groupname key password123
username user1 password password123
crypto ipsec client ezvpn hw_client_vpn3k
group hw_client_groupname key password123
backup backup_profile_vpn3k track 123
username user1 password password123
ip address 10.40.40.50 255.255.255.255
ip address 10.40.40.51 255.255.255.255
description Primary Link to 10.0.0.2
ip dhcp client route track 123
crypto ipsec client ezvpn hw_client_vpn3k
ip address 10.0.0.1 255.255.255.0
crypto ipsec client ezvpn backup_profile_vpn3k inside
crypto ipsec client ezvpn hw_client_vpn3k inside
ip address 10.0.0.3 255.255.255.0
crypto ipsec client ezvpn backup_profile_vpn3k
ip local policy route-map policy_for_rtr
ip route 0.0.0.0 0.0.0.0 Dialer1 240
ip access-list extended dummy1
permit ip host 10.10.0.2 host 10.0.0.1
ip access-list extended important_traffic
permit ip 10.0.0.0 0.0.0.255 10.0.0.2 0.0.0.255
permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
ip access-list extended important_traffic_2
permit ip 10.0.0.0 0.0.0.255 10.0.0.3 0.0.0.255
access-list 112 permit icmp any host 10.0.0.2 echo
dialer-list 1 protocol ip permit
route-map policy_for_rtr permit 10
type echo protocol ipIcmpEcho 10.0.0.2 source-ipaddr 10.0.0.3
rtr schedule 2 life forever start-time now
type echo protocol ipIcmpEcho 10.0.0.2 source-interface FastEthernet0
rtr schedule 3 life forever start-time now
modem autoconfigure discovery
Web ベース アクティベーション:例
次に示すのは、ユーザからの HTTP 接続を代行受信することで、そのユーザに対して Web ベースの認証を実行できるように設定した場合の設定例です(192.0.0.13 は VPN クライアント デバイス、192.0.0.1 は サーバ デバイスです)。
crypto ipsec client ezvpn tunnel22
group tunnel22 key 22tunnel
xauth userid mode http-intercept
ip address 10.4.23.15 255.0.0.0
crypto ipsec client ezvpn tunnel22 inside!
ip address 192.168.0.13 255.255.255.128
crypto ipsec client ezvpn tunnel22
Easy VPN Remote に対する仮想 IPsec インターフェイス サポートの設定:例
次の例では、Easy VPN Remote デバイスに仮想 IPsec インターフェイス サポート機能を設定しています。
仮想 IPsec インターフェイス:汎用仮想アクセス
次の例では、汎用仮想アクセス IPsec インターフェイスを使う Easy VPN Remote デバイスに仮想インターフェイス サポートを設定しています。
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no ip dhcp use vrf connected
crypto ipsec client ezvpn ez
xauth userid mode interactive
ip address 10.1.0.2 255.255.255.0
crypto ipsec client ezvpn ez inside
ip address 10.2.0.1 255.255.255.0
crypto ipsec client ezvpn ez
ip route 0.0.0.0 0.0.0.0 10.2.0.2 2
仮想 IPsec インターフェイス:仮想テンプレートを基に作成した仮想アクセス
次の例では、仮想テンプレートを基に作成した仮想アクセス IPsec インターフェイスを使う Easy VPN Remote デバイスに仮想インターフェイス サポートを設定しています。
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no ip dhcp use vrf connected
crypto ipsec client ezvpn ez
xauth userid mode interactive
ip address 10.1.0.2 255.255.255.0
crypto ipsec client ezvpn ez inside
ip address 10.2.0.1 255.255.255.0
crypto ipsec client ezvpn ez
interface Virtual-Template1 type tunnel
ip route 0.0.0.0 0.0.0.0 10.2.0.2 2
トンネルがダウンしている場合の設定
Easy VPN プロファイル上で仮想インターフェイスを設定すると、仮想アクセス インターフェイスが作成されます。このインターフェイスにより、IPsec カプセル化が実現します。次に示すのは、Easy VPN が「ダウン」している場合の仮想アクセス インターフェイスの設定を表示した出力結果です。
Router# show running-config interface virtual-access 2
Building configuration...
Current configuration : 99 bytes
interface Virtual-Access2
tunnel source Ethernet1/0
仮想インターフェイスを設定すると、仮想アクセス インターフェイスが作成されます。この仮想アクセス インターフェイスは、Easy VPN プロファイルのインターフェイスの外部で、自動的に作成されます。Easy VPN トンネルが再びアップすると、この仮想インターフェイスへのルートが追加されます。これにより、社内ネットワークへパケットを送信できるようになります。 crypto ipsec client ezvpn name outside ( crypto ipsec client ezvpn name コマンドおよび outside キーワード)が実際のインターフェイスに適用された場合、そのインターフェイスは IKE(IPsec)エンドポイントとして使用されます(つまり、IKE パケットおよび IPsec パケットには、送信元アドレスとしてこのインターフェイスのアドレスが使用されます)。
Router# show crypto ipsec client ezvpn
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.3.0.2
仮想インターフェイスは、他のインターフェイスと同様、ルーティング可能であるため、ルートはトラフィック セレクタの役割を果たすことになります。次の例に示すように、Easy VPN トンネルが「ダウン」している場合、この仮想インターフェイスに接続するルートはありません。
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 10.2.0.2 to network 0.0.0.0
10.0.0.0/24 is subnetted, 2 subnets
C 10.2.0.0 is directly connected, Ethernet1/0
C 10.1.0.0 is directly connected, Ethernet0/0
S* 0.0.0.0/0 [2/0] via 10.2.0.2
トンネルがアップしている場合の設定
クライアント モードまたはネットワーク拡張プラス モードの場合、Easy VPN では、ループバック インターフェイスが作成され、モードの設定でプッシュされたアドレスが割り当てられます。ループバックのアドレスをインターフェイスに割り当てる場合は、 ip unnumbered コマンド( ip unnumbered loopback )を使用します。ネットワーク拡張モードでは、仮想アクセスが ip unnumbered ethernet0 (バウンド インターフェイス)として設定されます。
Router# show running-config interface virtual-access 2
Building configuration...
Current configuration : 138 bytes
interface Virtual-Access2
tunnel source Ethernet1/0
tunnel destination 10.3.0.2
Router# show crypto ipsec client ezvpn
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: IPSEC_ACTIVE
NBMS/WINS Primary: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.3.0.2
トンネルがアップすると、Easy VPN では、仮想アクセス インターフェイスへのデフォルト ルート、またはサブネットのスプリット アトリビュート用として仮想アクセス インターフェイスへのルートが追加されます。また、Easy VPN では、ピア(宛先またはコンセントレータ)が Easy VPN デバイスに直接接続されていない場合、そのピアへのルートも追加されます。
次に示すのは、仮想 IPsec インターフェイスに対する show ip route コマンドの 2 つの出力例です。サーバによりスプリット トンネル アトリビュートが送信された場合と送信されなかった場合です。
サーバによりスプリット トンネル アトリビュートが送信された場合
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 10.2.0.2 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
C 10.2.0.0/24 is directly connected, Ethernet1/0
S 10.3.0.2/32 [1/0] via 10.2.0.2, Ethernet1/0 <<< Route to
C 10.1.0.0/24 is directly connected, Ethernet0/0
C 10.5.0.2/32 is directly connected, Loopback0
S 10.4.0.0/24 [1/0] via 0.0.0.0, Virtual-Access2 <<< Split
tunnel attr sent by the server
S* 10.0.0.0/0 [2/0] via 10.2.0.2
サーバによりスプリット トンネル アトリビュートが送信されなかった場合
次のように、スプリット アトリビュートに指定されたネットワークはすべて表示されます。
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C 10.2.0.0/24 is directly connected, Ethernet1/0
! The following line is the route to the peer (the Easy VPN server).
S 10.3.0.2/32 [1/0] via 10.2.0.2, Ethernet1/0
C 10.1.0.0/24 is directly connected, Ethernet0/0
C 10.5.0.3/32 is directly connected, Loopback0
! The following line is the default route.
S* 10.0.0.0/0 [1/0] via 10.0.0.0, Virtual-Access2
デュアル トンネルの設定:例
次に示すのは、デュアル トンネルの一般的な設定例です。
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
username lab password 0 lab
crypto ipsec client ezvpn ezvpn1
xauth userid mode interactive
crypto ipsec client ezvpn ezvpn2
xauth userid mode interactive
ip address 192.168.1.1 255.255.255.255
crypto ipsec client ezvpn ezvpn1 inside
crypto ipsec client ezvpn ezvpn2 inside
ip address 10.76.1.2 255.255.255.0
crypto ipsec client ezvpn ezvpn1
crypto ipsec client ezvpn ezvpn2
ip address 10.76.2.2 255.255.255.0
interface Virtual-Template1 type tunnel
ip route 10.0.0.0 10.0.0.0 10.76.1.1 2
デュアル トンネルに対する show コマンドの出力:例
次に示すのは、デュアル トンネルがアップする次の 3 つのフェーズに関する show コマンドの出力例です。
• 1 つ目の Easy VPN トンネルがアップしている場合
• 2 つ目の Easy VPN トンネルが開始している場合
• 両方の Easy VPN トンネルがアップしている場合
EzVPN トンネルがアップする前
Router# show crypto ipsec client ezvpn
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.75.1.2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
ネットワーク 0.0.0.0 へのラスト リゾート ゲートウェイは 10.76.1.1 です。
10.0.0.0/24 is subnetted, 2 subnets
C 10.76.2.0 is directly connected, Serial2/0
C 10.76.1.0 is directly connected, Ethernet1/0
C 192.168.1.0/24 is directly connected, Ethernet0/0
S* 0.0.0.0/0 [2/0] via 10.76.1.1
(注) デフォルト ルートのメトリックを 1 より大きな値にすることで、Easy VPN によって後で追加されたデフォルト ルートを優先し、Easy VPN 仮想アクセス インターフェイスを介してトラフィックが送信されるようにしてください。
Easy VPN「ezypn2」トンネルがアップしている場合
Router# show crypto ipsec client ezvpn
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: CONNECT_REQUIRED
Last Event: TRACKED OBJECT UP
Save Password: Disallowed
Current EzVPN Peer: 10.75.1.2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: IPSEC_ACTIVE
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
ネットワーク 0.0.0.0 へのラスト リゾート ゲートウェイは 0.0.0.0 です。
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
! The next line is the Easy VPN route.
S 10.75.2.2/32 [1/0] via 10.76.1.1
C 10.76.2.0/24 is directly connected, Serial2/0
C 10.76.1.0/24 is directly connected, Ethernet1/0
C 192.168.1.0/24 is directly connected, Ethernet0/0
! The next line is the Easy VPN route.
S* 0.0.0.0/0 [1/0] via 0.0.0.0, Virtual-Access3
このように、デフォルト ルートとピアへのルートが 1 つずつ追加されます。
Easy VPN「ezvpn2」がアップしており、Easy VPN「ezvpn1」が開始している場合
Router# crypto ipsec client ezvpn connect ezvpn1
Router# show crypto ipsec cli ent ezvpn
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Save Password: Disallowed
Current EzVPN Peer: 10.75.1.2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: IPSEC_ACTIVE
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
ネットワーク 10.0.0.0 へのラスト リゾート ゲートウェイは 10.0.0.0 です。
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
S 10.75.2.2/32 [1/0] via 10.76.1.1
! The next line is the Easy VPN router.
S 10.75.1.2/32 [1/0] via 10.76.1.1
C 10.76.2.0/24 is directly connected, Serial2/0
C 10.76.1.0/24 is directly connected, Ethernet1/0
C 192.168.1.0/24 is directly connected, Ethernet0/0
S* 10.0.0.0/0 [1/0] via 10.0.0.0, Virtual-Access3
Easy VPN トンネル「ezvpn1」がアップする前に 10.75.1.2 へのルートが追加されています。これは、Easy VPN トンネル「ezvpn1」のピア 10.75.1.2 に到達するためのルートです。
両トンネルのアップ
Router# show crypto ipsec client ezvpn
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access2 (bound to Ethernet1/0)
Current State: IPSEC_ACTIVE
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.75.1.2
Inside interface list: Ethernet0/0
Outside interface: Virtual-Access3 (bound to Serial2/0)
Current State: IPSEC_ACTIVE
NBMS/WINS Ezvpn1: 10.7.0.1
Default Domain: cisco.com
Save Password: Disallowed
Current EzVPN Peer: 10.75.2.2
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
ネットワーク 10.0.0.0 へのラスト リゾート ゲートウェイは 10.0.0.0 です。
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
! The next line is the Easy VPN router (ezvpn2).
S 10.75.2.2/32 [1/0] via 10.76.1.1
! The next line is the Easy VPN router (ezvpn1).
S 10.75.1.2/32 [1/0] via 10.76.1.1
C 10.76.2.0/24 is directly connected, Serial2/0
C 10.76.1.0/24 is directly connected, Ethernet1/0
C 192.168.1.0/24 is directly connected, Ethernet0/0
! The next line is the Easy VPN route (ezvpn1).
S 192.168.3.0/24 [1/0] via 0.0.0.0, Virtual-Access2
! The next line is the Easy VPN (ezvpn2).
S* 10.0.0.0/0 [1/0] via 10.0.0.0, Virtual-Access3
この show コマンドの出力結果に表示されているとおり、Easy VPN トンネル「ezvpn」に対して、Virtual-Access2 へつながるスプリット トンネル「192.168.3.0/24」のルートが追加されます。
プライマリ ピアの再アクティブ化:例
デフォルト プライマリ ピアのアクティブ化に関する show コマンドの出力例です。デフォルトのプライマリ ピアは 10.3.3.2 です。
Router# show crypto ipsec client ezvpn
Inside interface list: Loopback0
Outside interface: Ethernet0/0
Current State: IPSEC_ACTIVE
Primary EzVPN Peer: 10.3.3.2, Last Tried: Dec 30 07:21:23.071
NBMS/WINS Primary: 10.5.254.22
Save Password: Disallowed
Current EzVPN Peer: 10.4.4.2
23:52:44: %CRYPTO-6-EZVPN_CONNECTION_UP(Primary peer):
User: lab, Group: hw-client-g
Client_public_addr=10.4.22.103, Server_public_addr=10.4.23.112
Assigned_client_addr=10.7.7.1
同一アドレス指定のサポート機能の設定:例
次に示すのは、Cisco ルータに対する同一アドレス指定のサポート機能の設定例です。
interface Virtual-Template1 type tunnel
crypto ipsec client ezvpn easy
group easy key work4cisco
ip address 10.0.0.1 255.255.255.0
crypto ipsec client ezvpn easy
ip address 10.0.1.1 255.255.255.0
ip address 10.1.1.1 255.255.255.252
crypto ipsec client ezvpn easy inside
ip access-list 100 permit ip 10.0.0.0 0.0.0.255 any
ip nat inside source list 100 interface Loopback0 overload
Easy VPN Client(リモート デバイス)における cTCP:例
設定例およびトラブルシューティングの例については「関連資料」の「Cisco Easy VPN Remote デバイス上での cTCP」を参照してください。
スプリット トンネリングを使用しない Cisco Easy VPN サーバ:例
次に示すのは、すでに説明した Cisco Easy VPN Remote のネットワーク拡張モードの設定で使用する宛先ピアのルータとして、Cisco Easy VPN サーバを設定した場合の設定例です。ここでは、他の IPsec コンフィギュレーション コマンドに加え、Easy VPN Remote ルータに割り当てられた VPN グループのアトリビュートを定義するための crypto isakmp client configuration group コマンドが使用されています。そこには、照合キー値(easy vpn remote password)のほか、DNS サーバなど、Easy VPN Remote に対する適切なルーティング パラメータが指定されています。
また、ネットワーク拡張モードをサポートするため、 ip route コマンドによって、ネットワーク 172.168.0.0 への受信パケットがケーブル モデム インターフェイスから Cisco Easy VPN Remote へ送信されます。使用しているネットワークのトポロジによっては、他の ip route コマンドが必要です。
(注) この設定例は Cisco uBR925 ケーブル アクセス ルータに対するものですが、通常は Cisco VPN 3000 コンセントレータや Cisco IOS ルータなど、Easy VPN Server 機能をサポートしているルータが宛先の Easy VPN Remote として使用されます。
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
aaa authorization network easy vpn remote-groupname local
ip ssh authentication-retries 3
crypto isakmp client configuration address-pool local dynpool
crypto isakmp client configuration group easy vpn remote-groupname
key easy vpn remote-password
dns 172.16.0.250 172.16.0.251
wins 172.16.0.252 172.16.0.253
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac
crypto dynamic-map dynmap 1
set transform-set transform-1
crypto map dynmap isakmp authorization list easy vpn remote-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
ip address 172.16.0.129 255.255.255.128
no cable-modem compliant bridge
ip local pool dynpool 172.16.0.65 172.16.0.127
! Add the appropriate ip route commands for network-extension mode
ip route 172.16.1.0 255.255.255.248 cable-modem0
scheduler max-task-time 5000
スプリット トンネリングを使用する Cisco Easy VPN サーバ コンフィギュレーション:例
次に示すのは、Cisco Easy VPN Remote のスプリット トンネルリングの設定に対応して Cisco Easy VPN サーバを設定した場合の設定例です。この設定例は、1 箇所を除いて、 「スプリット トンネリングを使用しない Cisco Easy VPN サーバ:例」 に示した設定例と同じものです。異なるのは、 crypto isakmp client configuration group コマンドにアクセス リスト 150 が指定されている点です。このアクセス リストを使用することにより、Cisco Easy VPN Remote ではサーバを介して、VPN トンネルに含まれない別のサブネットへアクセスできるため、IPsec 接続のセキュリティが侵害される危険性は極めて低くなります。
また、ネットワーク拡張モードをサポートするため、 ip route コマンドによって、ネットワーク 172.168.0.0 への受信パケットがケーブル モデム インターフェイスから Cisco Easy VPN Remote へ送信されます。使用しているネットワークのトポロジによっては、他の ip route コマンドが必要です。
(注) この設定例は Cisco uBR925 ケーブル アクセス ルータに対するものですが、通常は VPN 3000 コンセントレータや Cisco IOS ルータなど、Easy VPN Server 機能をサポートしているルータが宛先の Easy VPN Remote として使用されます。
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
aaa authorization network easy vpn remote-groupname local
ip ssh authentication-retries 3
crypto isakmp client configuration address-pool local dynpool
crypto isakmp client configuration group easy vpn remote-groupname
key easy vpn remote-password
dns 172.16.0.250 172.16.0.251
wins 172.16.0.252 172.16.0.253
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac
crypto dynamic-map dynmap 1
set transform-set transform-1
crypto map dynmap isakmp authorization list easy vpn remote-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
ip address 172.16.0.129 255.255.255.255
no cable-modem compliant bridge
ip local pool dynpool 172.16.0.65 172.16.0.127
! Add the appropriate ip route commands for network-extension mode
ip route 172.16.1.0 255.255.255.255 cable-modem0
access-list 150 permit ip 172.16.0.128 10.0.0.127 any
scheduler max-task-time 5000
Xauth を使用する Cisco Easy VPN サーバ コンフィギュレーション:例
次に示すのは、Cisco Easy VPN Remote 機能による Xauth をサポートするための Cisco Easy VPN サーバの設定例です。この設定例は、次のような Xauth をイネーブルにしたり設定するためのコマンドを除き、 「スプリット トンネリングを使用する Cisco Easy VPN サーバ コンフィギュレーション:例」 に示した設定例と同じです。
• aaa authentication login userlist local :ログイン時の認証に使用するローカルなユーザ名およびパスワードを指定します。また、RADIUS サーバを使用するよう指定することもできます。その場合は、まず aaa authentication login userlist group radius コマンドを実行し、さらに aaa group server radius コマンドを使用して RADIUS サーバを指定します。
• crypto isakmp xauth timeout :セッションの認証を行う際、ユーザが適切なユーザ名およびパスワードを入力するために与えられる猶予時間を秒単位で指定します。
• crypto map dynmap client authentication list userlist :Xauth をイネーブルにするためのクリプト マップを「 dynmap 」という名前で作成します。
• username cisco password 7 cisco :「 cisco 」というユーザ名および「 cisco 」という暗号化パスワードを持つユーザのエントリを、ローカル ユーザ名データベース内に作成します。このコマンドは、サーバにアクセスする個々のユーザごとに、繰り返し実行する必要があります。
次のコマンドを使用して Xauth を使用します(これらのコマンドは、Xauth をサポートしない設定にも使用します)。
• aaa authorization network easy vpn remote-groupname local :「 easy vpn remote-groupname 」という名前のグループに属するユーザに対する、あらゆるネットワーク関連のサービス要求の認証を、ローカル ユーザ名データベースを使用して行う必要があります。
• aaa new-model :ルータにおいて、新しい AAA 認証コマンドが使用されるよう指定します。
• aaa session-id common :AAA セッションに対して一意の共有セッション ID が使用されるよう指定します。
• crypto map dynmap 1 ipsec-isakmp dynamic dynmap :「dynmap」という名前のクリプト マップをポリシー テンプレートとして使用して、IKE が IPsec SA を確立するよう指定します。
• crypto map dynmap client configuration address respond :いずれのピアから送信された要求も受け入れられるように、IKE ネゴシエーションをイネーブルにします。
• crypto map dynmap isakmp authorization list easy vpn remote-groupname :「 easy vpn remote-groupname 」というグループを使用し、「 dynmap 」という名前のクリプト マップで IKE 共有秘密キーを使用するよう設定します。
ヒント この設定例では、スプリット トンネリング用に設定されたサーバが使用されていますが、Xauth は、非スプリット トンネリング用に設定されたサーバでも使用できます。
(注) この設定例は Cisco uBR925 ケーブル アクセス ルータに対するものですが、通常は VPN 3000 コンセントレータや Cisco IOS ルータなど、Easy VPN Server 機能をサポートしているルータが宛先の Easy VPN サーバとして使用されます。
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
aaa authentication login userlist local
aaa authorization network easy vpn remote-groupname local
username cisco password 7 cisco
ip ssh authentication-retries 3
crypto isakmp client configuration address-pool local dynpool
crypto isakmp xauth timeout 60
crypto isakmp client configuration group easy vpn remote-groupname
key easy vpn remote-password
dns 172.16.0.250 172.16.0.251
wins 172.16.0.252 172.16.0.253
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac
crypto dynamic-map dynmap 1
set transform-set transform-1
crypto map dynmap client authentication list userlist
crypto map dynmap isakmp authorization list easy vpn remote-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
ip address 172.16.0.129 255.255.255.128
no cable-modem compliant bridge
ip local pool dynpool 172.16.0.65 172.16.0.127
ip route 172.16.1.0 255.255.255.248 cable-modem0
access-list 150 permit ip 172.16.0.128 0.0.0.127 any
scheduler max-task-time 5000
Easy VPN サーバの相互運用性のサポート:例
この機能の詳細については、 「その他の参考資料」 の「IPsec および VPN の一般情報」( VPN リモート アクセスの管理 )を参照してください。
用語集
AAA :Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)。セキュリティ サービスのフレームワークであり、ユーザの身元確認(認証)、リモート アクセス コントロール(認可)、課金、監査、およびレポートに使用するセキュリティ サーバ情報の収集と送信(アカウンティング)の方式を定めています。
CA :Certificate Authority(CA; 認証局)。ネットワーク内のエンティティであり、メッセージの暗号化に使用されるセキュリティ クレデンシャルおよび公開キーを(X509v3 証明書という形で)発行します。Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)の一部である CA では、Registration Authority(RA; 登録局)と連携して、デジタル証明書の要求者から取得した情報を確認します。RA が要求者の情報を確認すると、CA から証明書が発行されます。証明書には通常、オーナーの公開キー、証明書の有効期限、名前、および公開キーのオーナーに関する情報が記述されています。
CRWS :Cisco Router Web Setup ツール。さまざまな Web インターフェイス機能を備えたツールです。
cTCP :Cisco Tunneling Control Protocol(cTCP; シスコ トンネリング制御プロトコル)。リモート デバイス(クライアント)およびヘッドエンド デバイス上で cTCP がイネーブルになっている場合、IKE および ESP(プロトコル 50)のトラフィックを TCP ヘッダーでカプセル化し、クライアントとヘッドエンド デバイスの間に配置されたファイアウォールを通過できる(TCP トラフィックと見なされる)ようにします。
DPD :Dead Peer Detection(DPD; デッド ピア検出)。ルータの IKE ピアに関する稼動状況を定期的に照会する機能です。
DSLAM :Digital Subscriber Line Access Multiplexer(DSLAM; デジタル加入者線アクセス マルチプレクサ)。DSL トラフィックを 1 つまたは複数のネットワーク トランク ラインに多重化して、1 つのネットワークに複数のデジタル加入者線を接続するデバイスです。
IKE :Internet Key Exchange(IKE; インターネット キー エクスチェンジ)。IP Security(IPsec; IP セキュリティ)標準とともに使用されるキー管理プロトコル標準です。IPsec は、IP パケットに対して強力な認証や暗号化を実現する IP セキュリティ機能です。IPsec の設定には必ずしも IKE は必要ありませんが、IKE では、IPsec 標準に対する新機能が追加されているほか、設定をより柔軟かつ容易に行えるよう、IPsec のサポートが強化されています。IKE は、Oakley キー交換や Skeme キー交換を Internet Security Association and Key Management Protocol(ISAKMP; インターネット セキュリティ アソシエーションおよびキー管理プロトコル)フレームワーク内部に実装したハイブリッド プロトコルです。ISAKMP、Oakley、および Skeme は、IKE により実装されるセキュリティ プロトコルです。
IPsec :IP Security Protocol(IPsec; IP セキュリティ プロトコル)。オープン規格のフレームワークであり、関与するピア間におけるデータの機密保持、データ整合性、データ認証を実現します。IPsec では、これらのセキュリティ サービスが IP レイヤで実現されます。IPsec では、ローカル ポリシーに基づいたプロトコルやアルゴリズムのネゴシエーションの処理や、IPsec に使用される暗号キーや認証キーの生成が、IKE を通じて行われます。IPsec は、1 組のホスト間、1 組のセキュリティ ゲートウェイ間、またはセキュリティ ゲートウェイとホスト間で 1 つ以上のデータ フローを保護するために使用できます。
MIB :Management Information Base(MIB; 管理情報ベース)。ネットワーク管理情報のデータベースです。これらの情報は、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)や Common Management Information Protocol(CMIP; 共通管理情報プロトコル)などのネットワーク管理プロトコルにより使用および保持されます。MIB オブジェクトの値は、SNMP コマンドまたは CMIP コマンドを使用して変更および取得できます。これらのコマンドは通常、GUI の Network Management System(NMS; ネットワーク管理システム)から実行します。MIB オブジェクトはツリー構造であり、ツリーにはパブリック(標準)ブランチとプライベート(独自)ブランチを含みます。
QoS :Quality of Service。目的のネットワーク トラフィックに優れたサービスを提供できるかという、ネットワークの性能を指す用語です。フレーム リレー、Asynchronous Transfer Mode(ATM; 非同期転送モード)、イーサネットなどのさまざまなテクノロジーや、そうしたテクノロジーを基盤とした 802.1 ネットワーク、SONET、IP ルーティング ネットワークなどを駆使して実現します。
RADIUS :Remote Authentication Dial-In User Service。不正アクセスからネットワークを保護する分散型クライアント/サーバ システムです。RADIUS クライアントは Cisco ルータ上で稼動し、ユーザ認証およびネットワーク サービス アクセスに関するすべての情報を保持する中央の RADIUS サーバへ認証要求を送信します。
SA :Security Association(SA; セキュリティ アソシエーション)。データ フローに適用されるセキュリティ ポリシーおよびキー関連情報のインスタンスです。SA は、IKE と IPsec の双方で使用されますが、各 SA は互いに独立しています。IPsec SA は単方向通信であり、セキュリティ プロトコルごとに一意です。IKE SA は、IPsec SA とは異なって双方向通信であり、使用されるのは IKE に限られます。SA のネゴシエーションおよび確立は、IPsec ではなく IKE によって行われます。また、IPsec SA はユーザが手動で確立できます。
保護されたデータ パイプに対しては、各プロトコルおよび各通信方向ごとに 1 組の SA が必要です。たとえば、ピア間で Encapsulating Security Payload(ESP; カプセル化セキュリティ ペイロード)をサポートするパイプに対しては、それぞれの通信方向ごとに 1 つの ESP SA が必要です。SA は、宛先(IPsec エンドポイント)のアドレス、セキュリティ プロトコル(AH または ESP)、および Security Parameter Index(SPI; セキュリティ パラメータ インデックス)によって一意に識別されます。
SDM :Security Device Manager(SDM; セキュリティ デバイス マネージャ)。VPN トンネルの接続や接続解除を行えるほか、拡張認証(Xauth)用の Web インターフェイスも備えている Web インターフェイス マネージャです。
SNMP :Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)。アプリケーション レイヤ プロトコルであり、SNMP マネージャと SNMP エージェントとの通信に使用されるメッセージ形式を規定します。
VPN :Virtual Private Network(VPN; バーチャル プライベート ネットワーク)。ネットワーク間のトラフィックをすべて暗号化することにより、パブリック TCP/IP ネットワーク経由でも IP トラフィックをセキュアに転送できます。VPN では、トンネルを介して、すべての情報が IP レベルで暗号化されます。
アグレッシブ モード :2 つ以上の IPsec ピアの間で Internet Key Exchange(IKE; インターネット キー エクスチェンジ)認証のネゴシエーションを実行する際、いくつかのプロセスを省略したモード。アグレッシブ モードは、メイン モードに比べ、動作速度は速くなりますが、セキュリティ性能は劣ります。
事前共有キー :IKE に従って認証を行う共有の秘密キー。
トラップ :重要なイベントを知らせるためのメッセージです。指定された重大な状況が発生したり、しきい値を超過した場合、SNMP エージェントから、ネットワーク管理システム、コンソール、または端末へ送信されます。
認可 :リモート アクセス コントロールの方式。各サービスのワンタイム認証またはワンタイム認可、ユーザ単位のアカウント リストおよびプロファイル、ユーザ グループのサポート機能、IP、IPX、ARA、および Telnet のサポート機能などです。AAA 認可は、ユーザが認可された操作を示す一連のアトリビュートを組み合せて実行します。これらのアトリビュートを、データベースに格納されているユーザ情報と照合します。その結果から AAA は、そのユーザが実際に実行できる操作およびできない操作を決定します。このデータベースは、アクセス サーバまたはアクセス ルータ上にローカルに配置できます。また、RADIUS セキュリティ サーバや TACACS+ セキュリティ サーバをリモートでホストにできます。RADIUS や TACACS+ などのリモート セキュリティ サーバでは、権限が定義されたアトリビュート値(AV)のペアを、対象のユーザに関連付けることで、ユーザに対して特定の権限を認可します。認可の方式はすべて、AAA を通じて定義する必要があります。
ピア :IPsec および IKE のエンドポイントとして関与するルータまたはデバイス。
メイン モード :2 つ以上の IPsec ピアが IKE 認証のネゴシエーションを行う際に、最高レベルのセキュリティを確保するためのモード。メイン モードでは、アグレッシブ モードに比べて、処理時間が長くなります。
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスは、実際のアドレスを示すものではありません。マニュアル内の例、コマンド出力、および図は、説明のみを目的として使用されています。説明の中に実際のアドレスが使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
Copyright © 2002-2010 Cisco Systems, Inc.
All rights reserved.
Copyright © 2002-2011, シスコシステムズ合同会社.
All rights reserved.