Easy VPN サーバについて
Easy VPN サーバの拡張機能を使用するためには、あらかじめ次の事柄を理解しておく必要があります。
• 「機能のしくみ」
• 「グループ プロファイルの RADIUS サポート」
• 「ユーザ プロファイルの RADIUS サポート」
• 「サポートされているプロトコル」
• 「Easy VPN サーバでサポートされている機能」
機能のしくみ
クライアントにより Cisco IOS VPN デバイスとの接続が開始されると、ピア間では「カンバセーション」が行われます。この「カンバセーション」では、まず Internet Key Exchange(IKE; インターネット キー エクスチェンジ)を介したデバイス認証が行われ、続いて IKE eXtended Authentication(Xauth; 拡張認証)によるユーザ認証、モード設定を使用した VPN ポリシーのプッシュ、および IPsec Security Association(SA; セキュリティ アソシエーション)の作成が行われます。このプロセスの概要は次のとおりです。
• 認証に事前共有キーが使用される場合、クライアントでは Agressive Mode(AM; アグレッシブ モード)で IKE フェーズ 1 が開始されます。デジタル証明書が使用される場合は、Main Mode(MM; メイン モード)が開始されます。クライアントの認証に事前共有キーが使用される場合は、その設定 GUI(ID_KEY_ID)に入力されたグループ名に基づいて、このクライアントに関連付けられたグループ プロファイルが識別されます。デジタル証明書が使用される場合は、Distinguished Name(DN; 認定者名)の Organizational Unit(OU; 組織ユニット)フィールドに基づいて、グループ プロファイルが識別されます。
(注) クライアントが事前共有キー認証用に設定されている場合は、IKE AM が開始されるため、管理者には、crypto isakmp identity hostname コマンドを使用して Cisco IOS VPN デバイスのアイデンティティを変更することを推奨します。これにより、IKE MM での証明書認証が影響を受けることはありません。
• クライアントにより、そのパブリック IP アドレスと Cisco IOS VPN デバイスのパブリック IP アドレスとの間で IKE SA の確立が試行されます。クライアントにおける手動設定を軽減するため、認証方式と D-H グループ サイズに加え、暗号化アルゴリズムとハッシュ アルゴリズムのあらゆる組み合せが提示されます。
• Cisco IOS VPN デバイスでは、その IKE ポリシーの設定に基づいて、フェーズ 1 のネゴシエーションを続行するうえで使用可能なプロポーザルが決定されます。
ヒント IKE ポリシーは、Cisco IOS VPN デバイスに対してグローバルであり、複数のプロポーザルで構成できます。プロポーザルが複数ある場合、Cisco IOS VPN デバイスでは、最初に適合したプロポーザルが使用されます。そのため、リストの先頭には常に、最もセキュアなポリシーを配置することを推奨します。
(注) この時点で、デバイス認証が終了し、ユーザ認証が開始されます。
• Cisco IOS VPN デバイスが Xauth 用に設定されている場合、IKE SA が正常に確立されると、クライアントは「ユーザ名/パスワード」のチャレンジを待ち、ピアからのチャレンジがあった時点でそれに応答します。入力された情報は、RADIUS や TACACS+ などの AAA プロトコルを使用して認証エンティティと照合されます。AAA プロキシを介してトークン カードを使用することもできます。Xauth の実行中には、RADIUS を使用してユーザのクレデンシャルが確認されれば、そのユーザに固有のアトリビュートを取得することも可能です。
(注) リモート クライアントの処理用に設定された VPN デバイスは常に、ユーザ認証が実行されるように設定しておくことを推奨します。
• Cisco IOS VPN デバイスにより、認証が正常に行われたことが通知されると、クライアントでは、ピアに対してさらなる設定パラメータを要求します。それ以外のシステム パラメータ(IP アドレス アトリビュート、DNS アトリビュート、スプリット トンネル アトリビュートなど)は、この時点でモード設定を使用してクライアントへプッシュされます。
(注) IP アドレス プールおよびグループの事前共有キー(RSA シグニチャが使用されていない場合)は、グループ プロファイル内で唯一の必須パラメータであり、その他のパラメータはオプションです。
• モード設定を通じて各クライアントに内部 IP アドレスが割り当てられた後には、Cisco IOS VPN デバイスに対し適切な VPN トンネルを経由してパケットをルーティングする方法を指定することが重要になります。Reverse Route Injection(RRI; 逆ルート注入)を使用すると、Cisco IOS VPN クライアント上では、必ずクライアント内部の IP アドレスごとにスタティック ルートが作成されます。
(注) ルーティング情報の配信にすでに使用されている Generic Routing Encapsulation(GRE)トンネルに対してクリプト マップが適用されていなければ、VPN クライアントをサポートするためにも、クリプト マップ(スタティックまたはダイナミック)に対しては Reverse Route Injection(RRI; 逆ルート注入)をイネーブルにすることを推奨します。
• 設定パラメータがクライアントにより正常に取得されると、IKE クイック モードが開始され、IPsec SA の確立のネゴシエーションが行われます。
• IPsec SA が作成されると、接続は完了します。
グループ プロファイルの RADIUS サポート
グループ ポリシー情報はプロファイルに保存されます。プロファイルは、ルータの設定、または Cisco IOS VPN デバイスからアクセスできる RADIUS サーバで、ローカルに定義できます。RADIUS が使用されている場合は、そのサーバへのアクセス権を設定し、Cisco IOS VPN デバイスからサーバへ要求を送信できるようにする必要があります。
RADIUS 用にグループ ポリシー アトリビュートを定義するためには、RADIUS サーバ上で次の作業を行う必要があります。
• クライアントの GUI で定義したグループ名と同じ名前を持つユーザを定義します。たとえば、ユーザがグループ名「sales」を使用して Cisco IOS VPN デバイスに接続する場合、「sales」という名前を持つユーザが必要です。このユーザのパスワードは「cisco」です。これは、ルータにおいて RADIUS 用に使用される特別な識別名です。このユーザ名は、適切なポリシーが定義されたグループのメンバーである必要があります。便宜上、グループ名とユーザ名は同じにすることを推奨します。
Cisco Secure Access Control Server(ACS)の場合
Cisco ACS を使用している場合は、このサーバ上でリモート アクセス VPN グループ プロファイルを設定できます。この作業を実行するためには、図 1 に表示されているグループの設定に対して Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)RADIUS アトリビュートが選択されていることが必要です(この図に表示されているのは、リモート アクセス VPN グループに対する必須アトリビュートです)。これらのアトリビュートは、Tunnel-Password アトリビュート以外はすべて、値を入力する必要があります。Tunnel-Password アトリビュートの値は、IKE プロポーザルの事前共有キーになるもので、デジタル証明書を使用する場合は省略可能です。
図 1 グループの設定に対する IETF RADIUS アトリビュートの選択
モード設定を通じてリモート クライアントにプッシュされるグループ ポリシーには、図 1 に表示されている必須アトリビュート以外にも、さまざまな値を入力できます。図 2 は、グループ ポリシーの例です。addr-pool、key-exchange=preshared-key、および key-exchange=ike 以外のアトリビュートはすべてオプションです。これらのアトリビュートの値は、ポリシーを(RADIUS サーバではなく)ルータ上でローカルに定義する場合に使用される設定の値と同じものです(これらの値に関する詳細については、このマニュアルの 「モード設定プッシュに使用するグループ ポリシー情報の定義」 を参照してください)。
図 2 Cisco Secure ACS グループ ポリシーの設定
グループ ポリシーの作成後、グループのメンバーであるユーザを追加する必要があります(すでに説明したように、定義されたユーザ名は、リモート クライアント上で定義されたグループ名にマッピングされます。また、RADIUS データベースでそのユーザ名に対して定義されたパスワードは「cisco」である必要があります)。IKE 認証にデジタル証明書を使用する場合、ユーザ名は、リモート クライアントにより提示される証明書の OU フィールドの値と一致している必要があります。
その他すべての RADIUS サーバの場合
RADIUS サーバではアトリビュート値(AV)のペアを定義できることが必要です(具体例については、このマニュアルの 「Easy VPN サーバ における Cisco IOS の設定:例」 を参照してください)。
(注) デジタル証明書が使用されている場合、RADIUS で定義されたユーザ名は、クライアントの証明書に設定されている DN の OU フィールドの値に一致する必要があります。
ユーザ プロファイルの RADIUS サポート
アトリビュートは、ユーザ単位で適用することもできます。その場合、グループ アトリビュートに優先して個々のユーザ アトリビュートを適用できます。これらのアトリビュートは、Xauth によるユーザ認証の実行時に取得されます。取得されたアトリビュートは、モード設定中にグループ アトリビュートと組み合せて適用されます。
ユーザベースのアトリビュートは、ユーザ認証に RADIUS が使用されている場合に限って使用できます。
RADIUS 用にユーザ ポリシー アトリビュートを定義するためには、RADIUS サーバ上で次の作業を行う必要があります。
• ユーザを定義するか、または RADIUS データベースにあるユーザの既存のプロファイルにアトリビュートを追加します。このユーザのパスワードは、Xauth によるユーザ認証の際に使用されます。ただし、トークン カード サーバなどのサードパーティ製サーバにプロキシすることもできます。
図 3 は、ユーザ認証を行う場合や、クライアントへプッシュできる Framed-IP-Address アトリビュートを割り当てる場合の、Cisco Secure ACS の使用方法を示したものです。このアトリビュートが存在する場合、そのユーザが属するグループに対して定義されているローカル アドレス プールは無効となります。
図 3 Cisco Secure ACS ユーザ プロファイルの設定
サポートされているプロトコル
表 2 は、この機能の設定用にサポートされている IPsec プロトコルのオプションおよびアトリビュートをまとめたものです(サポートされていないオプションおよびアトリビュートについては、 表 1 を参照してください)。
表 2 サポートされている IPsec プロトコルのオプションとアトリビュート
|
|
認証アルゴリズム |
• ハッシュ メッセージ認証コード - メッセージ ダイジェスト 5(HMAC-MD5) • HMAC - Secure Hash Algorithm 1(HMAC-SHA1) |
認証タイプ |
• 事前共有キー • RSA デジタル シグニチャ |
D-H グループ |
• 2 • 5 |
暗号化アルゴリズム(IKE) |
• データ暗号規格(DES) • トリプル データ暗号規格(3DES) |
暗号化アルゴリズム(IPsec) |
• DES • 3DES • NULL |
IPsec プロトコル識別子 |
• カプセル化セキュリティ ペイロード(ESP) • LZS IP 圧縮(IPCOMP-LZS) |
IPsec プロトコル モード |
トンネル モード |
モード設定バージョン 6 のサポート
モード設定バージョン 6 は現在、より多くのアトリビュートでサポートされています(IETF ドラフトの提案による)。
Xauth バージョン 6 のサポート
Cisco IOS では新たに、Xauth バージョン 6 がサポートされています。ユーザ認証に使用する Xauth は、IETF ドラフトの提案によるものです。
IKE DPD
クライアントには、新しいキープアライブ方式である IKE DPD が実装されています。
DPD を使用すると、VPN 接続のライフタイム中に、一方の IPsec ピアから他方のピアが動作しているかどうかを検知できます。DPD は、ホストが再起動した場合や、VPN 接続が失われたことをピアに通知することなくリモート ユーザのダイヤルアップ リンクが接続解除された場合に有用な機能です。IPsec ホストでは、VPN 接続が失われたことを検知すると、それをユーザに通知したり、別の IPsec ホストへスイッチを試みたり、すでに存在しないピアに割り当てられている重要なリソースをクリーン アップしたりできます。
Cisco IOS VPN デバイスは、DPD メッセージの送信や返信が行われるよう設定できます。DPD メッセージは、VPN トンネルを通過中のトラフィックが他に存在しない場合に送信されます。インバウンド データを最後に受信した時点から、設定されている時間が経過すると、DPD では、ピアへ向けたアウトバウンド IPsec データの次回送信時に、メッセージ(「DPD R-U-THERE」)が送信されます。DPD メッセージは、単方向のメッセージで、Cisco VPN クライアントにより自動的に送信されます。DPD は、クライアントの稼動状態を特定するためにルータから VPN クライアントへ DPD メッセージを送信する必要がある場合に限り、ルータ上で設定する必要があります。
スプリット トンネルリングの制御
リモート クライアントでは、スプリット トンネリングを使用できます。スプリット トンネリングにより、クライアントはイントラネットとインターネットへ同時にアクセスできます。スプリット トンネリングが設定されていない場合、クライアントからは、インターネットへのトラフィックを含め、すべてのトラフィックがトンネルを経由して送信されます。
初期コンタクト
クライアントの接続が突然解除された場合、ゲートウェイに通知されないことがあります。このような場合、そのクライアントに関する接続情報(IKE および IPsec SA)は、すぐには削除されません。そのため、クライアントがゲートウェイに再接続しようとしても、以前の接続情報がまだ有効であるため、ゲートウェイではその接続を拒否します。
こうした状況を回避するため、初期コンタクトという新機能が導入されました。この機能は、すべての Cisco VPN 製品でサポートされています。クライアント ルータがシスコの別のゲートウェイへ初めて接続しようとすると、初期コンタクト メッセージが送信されます。このメッセージは、受信側に対して、新しいピアを接続するために、保持されている以前の接続情報を廃棄するよう伝えるためのものです。SA の同期化に問題がある場合でも、初期コンタクトを使用すれば、接続の試行が拒否されることはありません。SA の同期化の問題は通常、不適切な Security Parameter Index(SPI; セキュリティ パラメータ インデックス)メッセージにより特定でき、それが発生した場合、デバイスでは接続をクリアする必要があります。
グループベース ポリシーの制御
IP アドレス、DNS、スプリット トンネル アクセスなどのポリシー アトリビュートは、グループ単位またはユーザ単位で指定できます。
ユーザベース ポリシーの制御
アトリビュートは、ユーザ単位で適用することもできます。個々のユーザ アトリビュートの値は、グループ アトリビュートの値に優先して適用できます。これらのアトリビュートは、Xauth によるユーザ認証の実行時に取得されます。これらのアトリビュートは、モード設定中にグループ アトリビュートと組み合せて適用されます。
Cisco IOS Release 12.3(4)T 以降では、ユーザの認証後であれば、アトリビュートをユーザ単位で適用できます。これらのアトリビュートは、それぞれに対応するグループ アトリビュートに優先して適用できます。ユーザベース アトリビュートは、データベースとして RADIUS が使用されている場合に限って使用できます。
Framed-IP-Address
Cisco Secure for NT 用の Framed-IP-Address アトリビュートを選択する場合は、[user profile] から、[addressing] の [use this IP address] オプションを選択し、アドレスを手動で入力します(フレーム IP アドレスの設定方法は、RADIUS サーバにより異なります。適切な手順については、ご使用の RADIUS サーバで確認してください)。
(注) フレーム IP アドレスが存在し、かつそのユーザが属するグループに対してローカル プール アドレスが設定されている場合は、ローカル プールの設定に優先してフレーム IP アドレスが使用されます。
DHCP クライアント プロキシ
Easy VPN サーバでは現在、リモート デバイスに IP アドレスを割り当てる方法として、ルータ上で設定されたローカル プールと、RADIUS で定義されたフレーム IP アドレス アトリビュートのどちらかが使用されます。Cisco IOS Release 12.4(9)T では、DHCP クライアント プロキシ機能により、DHCP サーバから IP アドレスが取得されるように Easy VPN サーバを設定できるようになっています。この IP アドレスは、モード設定によりリモート デバイスへプッシュされます。
(注) ただし DHCP クライアント プロキシには、DHCP サーバからリモート クライアントへ、DNS、WINS サーバ、またはドメイン名をプッシュするための機能はありません。
DHCP クライアント プロキシの設定方法については、 「DHCP サーバから IP アドレスを取得するための Easy VPN サーバの設定」 を参照してください。
DHCP クライアント プロキシの特長
• DHCP クライアント プロキシは、DNS サーバと DHCP サーバが連動している場合に Dynamic Domain Name System(DDNS; ダイナミック ドメイン ネーム システム)を作成するための機能を備えています。
• ユーザは必ずしも、IP アドレス プールに限定されません。
User-Save-Password
グループに関する説明の中で述べたように、User-Save-Password アトリビュートは、それに対応するグループ アトリビュート(Save-Password)に追加する形で取得できますが、もし取得されれば、グループで使用される値に優先して適用されます。
次に示すのは、User-Save-Password アトリビュートに対する RADIUS の AV のペアの出力例です。
ipsec:user-save-password=1
User-Include-Local-LAN
グループに関する説明の中で述べたように、User-Include-Local-LAN アトリビュートは、それに対応するグループ アトリビュート(Include-Local-LAN)に追加する形で取得できますが、もし取得されれば、グループで使用される値に優先して適用されます。
次に示すのは、User-Include-Local LAN アトリビュートに対する RADIUS の AV のペアの出力例です。
ipsec:user-include-local-lan=1
User-VPN-Group
User-VPN-Group アトリビュートは、 「Group-Lock」 アトリビュートの代わりに使用されます。User-VPN-Group アトリビュートを使用すると、事前共有キー認証メカニズムと、証明書などの RSA シグニチャ認証メカニズムをどちらもサポートできます。
ユーザが接続しようとしているグループが実際にそのユーザが属するグループであるかどうかを確認する必要がある場合は、User-VPN-Group アトリビュートを使用します。このアトリビュートの値は、ユーザが属するグループ名を表した文字列で、その値は管理者が設定します。ユーザが属するグループは、事前共有キーのグループ名(ID_KEY_ID)に指定された VPN グループ、または証明書の OU フィールドに指定された VPN グループと照合されます。グループが一致しない場合、クライアント接続は終了します。
この機能は、RADIUS AAA を使用している場合に限り有効です。ローカル Xauth 認証では、現在も Group-Lock アトリビュートを使用する必要があります。
次に示すのは、Use-VPN-Group アトリビュートに対する RADIUS の AV のペアの出力例です。
ipsec:user-vpn-group=cisco
Group-Lock
RADIUS AAA またはローカル AAA で事前共有キーを使用している(証明書などの RSA シグニチャ認証メカニズムを使用していない)場合は、これまでどおり Group-Lock アトリビュートを使用できます。ただし、RADIUS で事前共有キーを使用している(証明書などの RSA シグニチャ認証メカニズムを使用していない)場合に限っては、これまでどおり Group-Lock アトリビュートを使用できるほか、新たに導入された 「User-VPN-Group」 アトリビュートを使用することもできます。
機能のしくみ
Cisco IOS 12.2(13)T に導入されたグループ ロック機能を使用すると、Xauth の実行時に追加的な認証チェックを実行できます。この機能がイネーブルの場合、ユーザは Xauth による認証の際に、ユーザ名、グループ名、およびユーザ パスワードを入力する必要があります。ユーザ名およびグループ名は、「ユーザ名/グループ名」、「ユーザ名\グループ名」、「ユーザ名%グループ名」、「ユーザ名 グループ名」 のいずれの形式でも入力できます。Xauth 実行時に入力されたグループ名は、サーバにより、事前共有キーでのデバイス認証用に送信されたグループ名と照合されます。それらのグループ名が一致しない場合は、サーバにより接続が拒否されます。この機能をイネーブルにする場合は、グループに対して group-lock コマンドを使用します。
Cisco IOS ソフトウェアでは、Xauth 用のユーザ名から「@グループ名」の部分が削除されることはありません。そのため、フェーズ 1(マシン グループ認証)で選択した ISAKMP プロファイルにより指定されているローカル AAA データベースまたは外部 AAA データベースには、ユーザ名が「ユーザ名@グループ名」という形で保存されている必要があります。
注意 証明書などの RAS シグニチャ認証メカニズムを使用している場合は、Group-Lock アトリビュートを使用せず、
「User-VPN-Group」 アトリビュートを使用してください。外部 AAA データベースを使用している場合は(認証方式として事前共有キーと RSA シグニチャのどちらを使用しているかにかかわらず)、User-VPN-Group アトリビュートを使用することを推奨します。
VPN グループ アクセスに対するセッションのモニタリング
一部の RADIUS サーバが備えている機能にならって、特定のサーバ グループに対する接続の最大数や、そのグループに属するユーザの同時ログイン数を制限できます。各 VPN グループにユーザ定義のしきい値が指定されている場合、接続拒否を解除するためには、対象となる値をそれらのしきい値未満にする必要があります。
Cisco Secure ACS など、このセッション制御機能を備えた RADIUS サーバを使用する場合は、その機能をイネーブルにすることを推奨します。これにより、多数のサーバの使用状況を、1 つの中央リポジトリで制御できます。ルータそのものに対してこの機能をイネーブルにしている場合は、そのルータ上のグループへの接続だけがモニタリングされます。負荷分散型のシナリオに関する詳しい説明は省略します。
Command-Line Interface(CLI; コマンドライン インターフェイス)からセッションのモニタリングを設定する場合は、 crypto isakmp client configuration group コマンド、 max-users サブコマンド、および max-logins サブコマンドを使用します。
次に示すのは、関連するグループに追加された RADIUS の AV ペアの出力例です。
サーバにおける仮想 IPsec インターフェイスのサポート
サーバにおける仮想 IPsec インターフェイスのサポート機能により、インターネットやさまざまな Easy VPN コンセントレータ(サーバ)に対して、トラフィックを選択的に送信できます。
12.4(4)T よりも前の Cisco IOS リリースでは、トンネルの状態がアップ状態からダウン状態またはその逆に遷移した時点で、モード設定中にプッシュされたアトリビュートを解析し、それを適用する必要がありました。また、これらのアトリビュートにより設定内容がインターフェイスに適用されると、既存の設定内容は上書きされていました。
仮想 IPsec インターフェイスのサポート機能を使用すると、トンネルがアップ状態での設定内容を個々のインターフェイスに適用できるため、トンネルのアップ時に個々の機能を別々に適用することが容易になります。トンネルへ送出されるトラフィックに適用される機能と、トンネルを経由しないトラフィック(スプリット トンネルのトラフィックや、トンネルがダウン状態のときにデバイスから送出されたトラフィックなど)に適用される機能は区別できます。Easy VPN のネゴシエーションが完了すると、仮想アクセス インターフェイスの回線プロトコルは、アップ状態に変更されます。SA の失効または削除により Easy VPN トンネルがダウンすると、仮想アクセス インターフェイスの回線プロトコルは、ダウン状態に変更されます。
(注) この機能では、マルチキャストはサポートされていません。
この機能の詳細については、『 Cisco IOS Security Configuration Guide: Secure Connectivity 』の「 Cisco Easy VPN Remote 」の章を参照してください(この機能は、Easy VPN Remote デバイス上で設定されます)。
IPsec 仮想トンネル インターフェイス機能の詳細については、『 Cisco IOS Security Configuration Guide: Secure Connectivity 』の「 IPsec Virtual Tunnel Interface 」の章を参照してください。
仮想トンネル インターフェイスのユーザ単位アトリビュートのサポート
Cisco IOS Release 12.4(9)T では、仮想トンネル インターフェイスにより、Easy VPN サーバに対してユーザ単位のアトリビュートがサポートされています。
この機能の詳細については、『 Cisco IOS Security Configuration Guide: Secure Connectivity 』の「 IPsec Virtual Tunnel Interface 」の章を参照してください。
バナー、自動アップデート、およびブラウザ プロキシ
次に説明する機能により、Cisco Easy VPN Remote デバイスを管理するうえで有効なアトリビュートがサポートされます。
バナー
Easy VPN Remote デバイスへバナーがプッシュされるように、Easy VPN サーバを設定できます。バナーは、Web ベース アクティベーション機能に必要となるものです。バナーは、Easy VPN トンネルをアップした時点で、Easy VPN Remote コンソール上に(Web ベース アクティベーションを使用している場合は HTML ページとして)表示されます。
自動アップデート
Easy VPN Remote デバイス上のソフトウェアおよびファームウェアが自動でアップグレードされるように Easy VPN サーバを設定できます。
ブラウザ プロキシ
Easy VPN Remote デバイスから社内ネットワーク上のリソースにアクセスできるよう、Easy VPN サーバを設定できます。この機能を使用すると、ユーザは、Cisco IOS VPN クライアントを使用して社内ネットワークに接続する際に、自身が使用する Web ブラウザのプロキシ設定を手動で修正したり、あるいは接続を解除する際に、プロキシ設定を手動で元に戻したりする必要がなくなります。
モード設定交換によるコンフィギュレーション URL のプッシュ
リモート デバイスから社内ゲートウェイに接続して IPsec VPN トンネルを作成する場合、VPN トンネルがアクティブになりリモート デバイスが社内 VPN の一部になった時点で、そのリモート デバイスには何らかのポリシーおよび設定情報を適用する必要があります。
モード設定交換によるコンフィギュレーション URL のプッシュ機能では、コンセントレータ(サーバ)から Cisco IOS Easy VPN Remote デバイスへ URL をプッシュするための mode-configuration アトリビュートを使用できます。この URL には、リモート デバイスがダウンロードして実行コンフィギュレーションに適用すべき設定情報と、Cisco IOS CLI 一覧が含まれています(Cisco IOS CLI 一覧の詳細については、 configuration url コマンドに関する Cisco IOS のマニュアルを参照してください)。この機能に使用する CLI は、コンセントレータ上で設定されます。
デフォルトでは、リモート デバイスにプッシュされる設定は、永続的に保持されます。つまり、この設定は、IPsec トンネルがアップした時点で適用されますが、IPsec トンネルがダウンしても削除されません。ただし、トンネルの接続が解除された場合に設定の一部を元に戻すなど、設定の中で本来変更可能な部分を書き換えることは可能です。
コンフィギュレーション配信サーバの物理的な設置場所に制限はありません。ただし、設定を取得する際は Secure HTTP(HTTPS)などのセキュア プロトコルを使用することを推奨します。コンフィギュレーション サーバは、社内ネットワーク内に設置できます。この場合、転送は IPsec トンネルを経由して行われるため、非セキュア アクセス プロトコル(HTTP)が使用できます。
リモート デバイスでは、下位互換性を考慮して、CONFIGURATION-URL アトリビュートおよび CONFIGURATION-VERSION アトリビュートの要求が行われます。CONFIGURATION-URL アトリビュートおよび CONFIGURATION-VERSION アトリビュートは、必須アトリビュートではないため、サーバにより送信されるのは、それらがグループに対して設定されている場合に限ります。設定のプッシュに対して事前に定められた制限はありませんが、ブートストラップの設定(IP アドレスなど)は、Easy VPN トンネルの設定に必要であるため、送信できません。また、CONFIGURATION-URL は、Easy VPN トンネルがアップした後に限り、有効となります。
Easy VPN Remote デバイスにより設定が取得されると
Easy VPN Remote デバイスでは、設定の取得後、新たに導入された ISAKMP 通知が Easy VPN サーバへ送信されます。この通知には、クライアント(リモート デバイス)に関するいくつかの管理情報メッセージが含まれています。Easy VPN サーバでは、この情報を受け取ると、次の 2 つの処理が実行されます。
• ピア データベースにその情報がキャッシュされます。この情報は、 show crypto isakmp peer config コマンドを使用すると表示できます。このコマンドによる出力には、クライアント(リモート デバイス)によって送信されたすべての管理情報が表示されます。
• アカウンティングがイネーブルの場合は、Easy VPN サーバからアカウンティング RADIUS サーバへ、リモート デバイスに関する管理情報メッセージが記録されたアカウンティング アップデート レコードが送信されます。このアカウンティング アップデートは、後で RADIUS サーバのアカウンティング ログで使用できます。
この機能の設定方法
この機能の設定に使用されるコマンド、CONFIGURATION-URL アトリビュート、および CONFIGURATION-VERSION アトリビュートについては、 crypto isakmp client configuration group コマンドに関するマニュアルを参照してください。
PKI によるユーザ単位 AAA ポリシー ダウンロード
PKI によるユーザ単位 AAA ポリシー ダウンロードのサポート機能を使用すると、ユーザ アトリビュートを AAA サーバから取得し、モード設定を介してリモート デバイスへプッシュできます。アトリビュートを取得する際に使用するユーザ名は、リモート デバイスの証明書から取得されます。
Easy VPN サーバに対するユーザ単位アトリビュートのサポート
Easy VPN サーバに対するユーザ単位アトリビュートのサポート機能により、ユーザは、Easy VPN サーバ上でユーザ単位のアトリビュートを使用できます。これらのアトリビュートは、仮想アクセス インターフェイスに適用されます。
リモート Easy VPN AAA サーバ
リモート Easy VPN AAA サーバ上では、次の例のようにして AV のペアを定義できます。
cisco-avpair = “ip:outacl#101=permit tcp any any established
ユーザ単位アトリビュート
次のユーザ単位アトリビュートは、現在 AAA サーバで定義されており、IPsec に適用できます。
• inacl
• interface-config
• outacl
• route
• rte-fltr-in
• rte-fltr-out
• sub-policy-In
• sub-policy-Out
• policy-route
• prefix
Syslog メッセージの強化
Cisco IOS Release 12.4(4)T では、Easy VPN 用として、いくつかの syslog メッセージが新たに追加されました。これらの syslog メッセージは、ご使用のサーバ上で CLI からイネーブルにできます。syslog メッセージのフォーマットは次のとおりです。
timestamp: %CRYPTO-6-VPN_TUNNEL_STATUS: (Server) <event message> User=<username> Group=<groupname> Client_public_addr=<ip_addr> Server_public_addr=<ip addr>
認証通過イベントに対する syslog メッセージは次のように表示されます。
Jul 25 23:33:06.847: %CRYPTO-6-VPN_TUNNEL_STATUS: (Server) Authentication PASS
ED User=blue Group=Cisco1760group Client_public_addr=10.20.20.1 Server_public_addr=10.20.20.2
このうち、認可に関係するメッセージは 3 種類あり(「最大ユーザ数」、「最大ログイン数」、および「グループが存在しない」)、いずれもグループ名だけを対象にしたフォーマットで出力されます。グループ名だけが出力の対象となる理由は、認可チェックが実行されてからモード設定が行われるまでには、かなりの時間差があるためです。つまり、認可チェックの時点で、ピア情報はまだ取得されていないため、出力できないことになります。次に示すのは、「グループが存在しない」ことを伝えるメッセージの出力例です。
*Jun 30 18:02:58.107: %CRYPTO-6-VPN_TUNNEL_STATUS: Group: group_1 does not exist
サポートされている Easy VPN syslog メッセージ
ezvpn_connection_up および ezvpn_connection_down はどちらも、すでに旧リリースの syslog メッセージでサポートされています。Cisco IOS Release 12.4(4)T では、syslog メッセージが強化されています。フォーマットは従来と同じですが、新たにいくつかの syslog メッセージが追加されています。追加された syslog メッセージは次のとおりです。
• 認証を通過
• 認証を却下
– グループ ロックがイネーブル化
– ユーザ名またはパスワードが不正
– 最大ユーザ数を超過/最大ログイン数を超過
– 最大再試行 回数を超過
• 認証に失敗(AAA に接続不可)
• IP プールが存在しない/プール内に使用可能なフリー IP アドレスが存在しない
• ACL が Ezvpn ポリシーに割り当てられているが定義されていない(したがってスプリット トンネリングは使用不可)
• パスワードの保護機能が有効
• クライアントにより送信されているファイアウォール レコードが不正(不正なベンダー/製品/機能)
• 認証を却下
– 着信インターフェイスでのアクセスを制限
– グループが存在しない
Easy VPN に対するネットワーク アドミッション コントロールのサポート
ネットワーク アドミッション コントロールは、PC クライアントに LAN への接続を許可すべきかどうかを判断する手段として、Cisco IOS Release 12.3(8)T に導入された機能です。ネットワーク アドミッション コントロールでは、Extensible Authentication Protocol over UDP(EAPoUDP)を介して、PC 上の Cisco Trust Agent にクエリーを発行し、クライアントが稼動状態であれば PC からネットワークへのアクセスを許可します。サーバ上にさまざまなポリシーを適用することで、ウイルスに感染した PC からのアクセスを拒否したり制限したりできます。
Cisco IOS Release 12.4(4)T では現在、ネットワーク アドミッション コントロールを使用して、リモート PC クライアントのステータスをモニタリングすることもできます。Easy VPN トンネルがアップし、PC からのトラフィック送信が開始されると、そのトラフィックは Easy VPN サーバにより代行受信され、ポスチャ検証プロセスが開始されます。ポスチャ検証プロセスは、Easy VPN トンネルを介した EAPoUDP 要求の送信と、Cisco Trust Agent に対するクエリーの発行の 2 つのプロセスで構成されます。認証サーバは、IPsec Aggregator の後に配置された信頼できるネットワーク内部で設定されます。
ネットワーク アドミッション コントロールがイネーブルになっている Easy VPN サーバの設定例については、「ネットワーク アドミッション コントロール:例」 の出力結果を参照してください。
中央ポリシー プッシュ ファイアウォール ポリシー プッシュ
Easy VPN サーバでは、Central Policy Push(CPP; 中央ポリシー プッシュ)ファイアウォール ポリシー プッシュがサポートされています。この機能を使用すると、管理者は、Cisco Easy VPN(ソフトウェア)クライアントおよび関連するファイアウォール ソフトウェアに対してセキュリティ ポリシーをプッシュできます。
スプリット トンネルを使用すると、社内ネットワークへのアクセスは可能になりますが、その一方でリモート デバイスがインターネット経由の攻撃にさらされることにもなります。CPP ファイアウォール ポリシー機能を使用すれば、リモート デバイスにファイアウォールが設定されていない場合でも、トンネルを許可するか拒否するかをサーバで判断できるため、リモート デバイスが攻撃にさらされる可能性は低くなります。
サポートされているファイアウォールのタイプは次のとおりです。
• Cisco-Integrated-firewall(central-policy-push)
• Cisco-Security-Agent(check-presence)
• Zonelabs-Zonealarm(both)
• Zonelabs-ZonealarmPro(both)
サーバでは、check-presence オプションを使用してクライアント(リモート デバイス)上にファイアウォールが存在するかどうかをチェックできるほか、central-policy-push を使用して、クライアントにより適用される必要があるファイアウォール ポリシーの内容を具体的に指定することもできます。
(注) この機能で使用される policy check-presence コマンド(policy コマンドと check-presence キーワードの組み合せ)は、12.4(6)T よりも前の Cisco IOS リリースでサポートされていた firewall are-u-there コマンドに代わるものです。ただし、下位互換性を維持するため、firewall are-u-there コマンドは引き続きサポートされています。
この機能をイネーブルにする方法については、 「ローカル AAA サーバによる CPP ファイアウォール ポリシー プッシュの定義」 および 「設定されたグループに対する CPP ファイアウォール ポリシー プッシュの適用」 を参照してください。
Syslog Support for CPP ファイアウォール ポリシー プッシュに対する syslog のサポート
syslog のサポート機能をイネーブルにする場合は、ご使用のルータ上で crypto logging ezvpn コマンドを使用します。CPP syslog メッセージは、次のようなエラー状況が発生した場合に出力されます。
• グループの設定で( firewall policy コマンドを使用して)ポリシーが設定されているものの、それと同じ名前のグローバル ポリシーが( crypto isakmp client firewall コマンドを使用して)定義されていない場合。このときに出力される syslog メッセージは次のとおりです。
Policy enabled on group configuration but not defined
トンネルの確立プロセスは(ファイアウォールを使用して)通常どおり行われます。
• 不正なファイアウォール要求(ベンダー/製品/機能の不正要求)を受け取った場合。このときに出力される syslog メッセージは次のとおりです。
Incorrect firewall record received from client
• Cisco VPN クライアントと Cisco VPN サーバとの間でポリシーが一致しない場合。このときに出力される syslog メッセージは次のとおりです。
CPP policy mismatch between client and headend
パスワード エージング
12.4(6)T よりも前の Cisco IOS リリースでは、ユーザ名およびパスワードが Easy VPN Remote デバイス(クライアント)から Easy VPN サーバへ送信され、そこからさらに AAA サブシステムへ送信されます。AAA サブシステムでは、RADIUS サーバへの認証要求が生成されます。パスワードが失効している場合は、RADIUS サーバにより認証失敗の応答が行われますが、失敗の理由は、AAA サブシステムには返送されません。そのためユーザは、認証の失敗によりアクセスを拒否されますが、認証失敗の理由がパスワードの失効だとわかりませんでした。
Cisco IOS Release 12.4(6)T では、パスワード エージング機能を設定しておけば、パスワードが失効した時点で、そのことが Easy VPN クライアントに通知され、新しいパスワードを入力するようプロンプトが表示されます。パスワード エージングの設定方法については、 「パスワード エージングの設定」 を参照してください。
パスワード エージングに関する詳細については、 「その他の参考資料」 の「関連資料」にある「パスワード エージング」を参照してください。
スプリット DNS
Cisco IOS Release 12.4(9)T では、Easy VPN サーバ上でスプリット DNS 機能を使用できます。この機能を使用すると、Easy VPN ハードウェア クライアントでは、プライマリ DNS およびセカンダリ DNS の値を使用して DNS クエリーを解決できます。これらの値は、Easy VPN サーバから Easy VPN Remote デバイスへプッシュされます。ご使用のサーバ上でこの機能を設定する場合は、 split-dns コマンドを使用します( 「モード設定プッシュに使用するグループ ポリシー情報の定義」 を参照してください)。このコマンドを設定すると、ポリシー グループに split-dns アトリビュートが追加されます。このアトリビュートには、設定したドメイン名のリストが含まれています。その他の名前はすべて、パブリック DNS サーバを使用して解決されます。
スプリット DNS の設定方法については、次の URL にある「Configuring Split and Dynamic DNS on the Cisco VPN 3000」を参照してください。
http://www.cisco.com/warp/public/471/dns_split_dynam.pdf
cTCP
cTCP 機能は、Easy VPN Remote デバイスが稼動している環境において、標準 IPsec が機能しない場合や、既存のファイアウォール ルールを修正しなければ標準 IPsec が透過的に機能しない場合などに使用されます。こうした状況に該当するのは、次のような環境です。
• ルータにより NAT または PAT が実行されている小規模オフィスや自宅オフィスなどの環境
• ルータの背後で PAT により生成された IP アドレスが割り当てられている比較的規模の大きな環境(企業など)
• 非 NAT ファイアウォール(パケット フィルタリングまたはステートフル)が使用されている環境
• プロキシ サーバが使用されている環境
ヘッドエンドの設定済み cTCP ポートで cTCP 接続が許可されるように、ファイアウォールを設定する必要があります。この設定は、Easy VPN サーバ上でイネーブルにします。ファイアウォールが設定されていない場合、cTCP トラフィックは許可されません。
(注) cTCP トラフィックは、実質的には TCP トラフィックです。cTCP パケットは、TCP を介して転送される IKE パケットまたは Encapsulating Security Payload(ESP; カプセル化セキュリティ ペイロード)パケットです。
cTCP サーバでは、確立された cTCP セッションを介して受信したクライアントのデータが、3 KB に達すると、クライアントに gratuitous ACK メッセージが送信されます。クライアントでも、同様の処理が実行されます。デフォルトでは、cTCP サーバと cTCP クライアントの間の NAT セッションやファイアウォール セッションを有効な状態に維持するために gratuitous ACK メッセージが送信されます。送信される gratuitous ACK メッセージのデータ サイズは設定できません。
クライアントまたはサーバから高速でデータが送信される場合、クライアントまたはサーバからキープアライブが送信されても、セッションを有効な状態に維持できません。
単方向のトラフィックによって大量のデータが転送される場合は、cTCP サーバから ACK メッセージ を送信することで、NAT セッションやファイアウォール セッションがパケットを廃棄しないことが保証されます。また、データを受信するデバイスからの受信応答も保証されます。
AAA サーバによる VRF の割り当て
VRF を Easy VPN ユーザに割り当てるには、次のアトリビュートを AAA サーバ上でイネーブルにする必要があります。
Cisco-avpair “ip:interface-config=ip vrf forwarding example1”
Cisco-avpair “ip:interface-config=ip unnumbered loopback10”
Easy VPN サーバの設定方法
ここでは、次の手順について説明します。
• 「AAA を介したポリシー ルックアップのイネーブル化」(必須)
• 「モード設定プッシュに使用するグループ ポリシー情報の定義」(必須)
• 「VPN セッション モニタリングのイネーブル化」(任意)
• 「VPN セッションの確認」(任意)
• 「モード設定および Xauth の適用」(必須)
• 「クライアントに対する RRI のイネーブル化」(任意)
• 「IKE デッド ピア検証のイネーブル化」(任意)
• 「RADIUS サーバ サポートの設定」(任意)
• 「Easy VPN サーバの確認」(任意)
• 「バナーの設定」(任意)
• 「自動アップグレードの設定」(任意)
• 「ブラウザ プロキシの設定」(任意)
• 「モード設定交換によるコンフィギュレーション URL のプッシュの設定」(任意)
• 「PKI によるユーザ単位 AAA ダウンロードの設定:クリプト PKI トラストポイントの設定」(任意)
• 「PKI による実際のユーザ単位 AAA ダウンロードの設定」(任意)
• 「ローカル Easy VPN AAA サーバにおけるユーザ単位アトリビュートの設定」
• 「ローカル Easy VPN AAA サーバにおけるユーザ単位アトリビュートの設定」(任意)
• 「ローカル AAA サーバによる CPP ファイアウォール ポリシー プッシュの定義」(任意)
• 「設定されたグループに対する CPP ファイアウォール ポリシー プッシュの適用」(任意)
• 「リモート AAA サーバによる CPP ファイアウォール ポリシー プッシュの定義」(任意)
• 「グループ定義への VSA cpp-policy の追加」(任意)
• 「CPP ファイアウォール ポリシー プッシュの確認」(任意)
• 「パスワード エージングの設定」(任意)
• 「スプリット DNS の設定」(任意)
• 「スプリット DNS の確認」(任意)
• 「スプリット DNS のモニタおよびメンテナンス」(任意)
• 「DHCP サーバから IP アドレスを取得するための Easy VPN サーバの設定」(任意)
• 「DHCP クライアント プロキシの確認」(任意)
• 「DHCP クライアント プロキシのモニタおよびメンテナンス」(任意)
• 「cTCP の設定」(任意)
• 「cTCP の確認」(任意)
• 「cTCP の設定のモニタおよびメンテナンス」(任意)
• 「cTCP の設定に関するトラブルシューティング」(任意)
AAA を介したポリシー ルックアップのイネーブル化
AAA を介してポリシー ルックアップをイネーブルにするには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. aaa new-model
4. aaa authentication password-prompt text-string
5. aaa authentication username prompt text-string
6. aaa authentication login [ list-name method1 ] [ method2... ]
7. aaa authorization network list-name local group radius
8. username name password encryption-type encrypted-password
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
aaa new-model
Router(config)# aaa new-model |
AAA をイネーブルにします。 |
ステップ 4 |
aaa authentication password-prompt text-string
Router(config)# aaa authentication password-prompt "Enter your password now:" |
(任意)ユーザがパスワードを入力するようプロンプトに指示を求められた際、表示するテキストを変更します。 |
ステップ 5 |
aaa authentication username-prompt text-string
Router(config)# aaa authentication username-prompt "Enter your name here:" |
(任意)ユーザがユーザ名を入力するようプロンプトに指示を求められた際、表示するテキストを変更します。 |
ステップ 6 |
aaa authentication login [ list-name method1 ] [ method2... ]
Router(config)# aaa authentication login userlist local group radius |
ログイン時の AAA 認証を設定します。 • ローカル サーバと RADIUS サーバは併用できます。ただし、アクセスは一方から順に試行されます。 (注) Xauth を実行する場合は、このコマンドをイネーブルにする必要があります。 |
ステップ 7 |
aaa authorization network list-name local group radius
Router(config)# aaa authorization network grouplist local group radius |
グループ ポリシー ルックアップをイネーブルにします。 • ローカル サーバと RADIUS サーバは併用できます。ただし、アクセスは一方から順に試行されます。 |
ステップ 8 |
username name password encryption-type encrypted-password
Router(config)# username server_r password 7 121F0A18 |
(任意)RADIUS も TACACS+ も使用されていない場合に、Xauth のローカル ユーザを定義します。 (注) このコマンドは、外部の検証リポジトリを使用しない場合にだけ使用してください。 |
モード設定プッシュに使用するグループ ポリシー情報の定義
ユーザが所属できるグループは接続ごとに 1 つだけですが、さまざまなポリシー要件に応じて、ユーザが所属しうるグループを複数指定できます。そのためユーザは、VPN デバイス上のクライアント プロファイルを変更すれば、別のグループ ID を使用してクライアントに接続できます。モード設定を介してクライアントにプッシュされるポリシー アトリビュートを定義するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto isakmp client configuration group { group-name | default }
4. key name
5. dns primary-server secondary-server
6. wins primary-server secondary-server
7. domain name
8. pool name
9. netmask name
10. acl number
11. access-restrict { interface-name }
12. policy check-presence
または
firewall are-u-there
13. group-Lock
14. include-local-lan
15. save-password
16. backup-gateway
17. pfs
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto isakmp client configuration group { group-name | default }
Router(config)# crypto isakmp client configuration group group1 |
定義されるグループのポリシー プロファイルを指定し、ISAKMP グループ コンフィギュレーション モードを開始します。 • 該当するグループがなく、デフォルト グループが定義されている場合、ユーザにはデフォルト グループのポリシーが自動的に適用されます。 |
ステップ 4 |
key name
Router(config-isakmp-group)# key group1 |
グループ ポリシー アトリビュートの定義に使用する IKE 事前共有キーを指定します。 (注) クライアントの認証に事前共有キーが使用される場合は、このコマンドをイネーブルにする必要があります。 |
ステップ 5 |
dns primary-server secondary-server
Router(config-isakmp-group)# dns 10.2.2.2 10.3.3.3 |
(任意)グループに対して、プライマリ DNS サーバおよびセカンダリ DNS サーバを指定します。 |
ステップ 6 |
wins primary-server secondary-server
Router(config-isakmp-group)# wins 10.10.10.10 10.12.12.12 |
(任意)グループに対して、プライマリ WINS サーバおよびセカンダリ WINS サーバを指定します。 |
ステップ 7 |
domain name
Router(config-isakmp-group)# domain domain.com |
(任意)グループが属する DNS ドメインを指定します。 |
ステップ 8 |
pool name
Router(config-isakmp-group)# pool green |
ローカル プール アドレスを定義します。 • 各ユーザはプール名を少なくとも 1 つ指定する必要がありますが、グループ ポリシーごとに、別途プールを指定することもできます。 (注) このコマンドは、必ず定義したうえで、有効な IP ローカル プール アドレスを参照する必要があります。それが行われていないと、クライアント接続は失敗します。 |
ステップ 9 |
netmask name
Router(config-isakmp-group)# netmask 255.255.255.255 |
(任意)ローカル接続用にサブネット マスクがクライアントにダウンロードされるよう指定します。 コマンドを使用します。 |
ステップ 10 |
acl number
Router(config-isakmp-group)# acl 199 |
(任意)スプリット トンネリングを設定します。 • number 引数には、スプリット トンネリング用に保護されたサブネットを表す Access Control List(ACL; アクセス コントロール リスト)ルールのグループを指定します。 |
ステップ 11 |
access-restrict { interface-name }
Router(config-isakmp-group)# access-restrict fastethernet0/0 |
グループ内のクライアントがアクセスできるインターフェイスをいずれか 1 つに制限します。 |
ステップ 12 |
policy check-presence または firewall are-u-there
Router(config-isakmp-group)# policy check-presence または Router(config-isakmp-group)# firewall are-u-there |
(任意)指定されたファイアウォール(クライアント上にファイアウォール タイプとして表示されたファイアウォール)が存在するかどうかのチェックがサーバによって行われるよう指定します。 または ご使用の PC 上で パーソナル ファイアウォールの Black Ice または Zone Alarm が実行されている場合に、firewall are-u-there アトリビュートをサーバ グループに追加します。 コマンドは、ローカル以外では設定できませんが、下位互換性を維持するため現在でもサポートされています。 |
ステップ 13 |
group-lock
Router(config-isakmp-group)# group-lock |
グループ ロック機能を適用します。 |
ステップ 14 |
include-local-lan
Router(config-isakmp-group)# include-local-lan |
(任意)クライアントと同時に、非スプリット トンネリング接続からローカル サブネットワークへアクセスできるよう、Include-Local-LAN アトリビュートを設定します。 |
ステップ 15 |
save-password
Router(config-isakmp-group)# save-password |
(任意)Xauth パスワードを自身の PC 上にローカルに保存します。 |
ステップ 16 |
backup-gateway
Router(config-isakmp-group)# backup gateway |
(任意)クライアントの設定へバックアップ ゲートウェイを手動で追加する代わりに、バックアップ ゲートウェイのリストがサーバからクライアント デバイスへ「プッシュ ダウン」されるように指定します。 • これらのゲートウェイには、リスト上での順番に従って、順次接続が試行されていきます。各ゲートウェイには、その 1 つ前のゲートウェイに障害が発生した段階で、接続が試行されます。ゲートウェイは、IP アドレスまたはホスト名を使用して指定できます。 |
ステップ 17 |
pfs
Router(config-isakmp-group)# pfs |
(任意)いずれかの IPsec SA に対し PFS が必要かどうかについての中央ポリシーをクライアントに通知します。 • クライアント デバイスは、PFS ネゴシエーションのイネーブル化/ディセーブル化を切り替えるためのユーザ インターフェイス オプションを備えていません。そのため、このパラメータを使用して、サーバからクライアント デバイスへ中央ポリシーを通知します。PFS として提示される D-H グループは、IKE ネゴシエーションのフェーズ 1 でネゴシエーションが行われた D-H グループと同じものです。 |
VPN セッション モニタリングのイネーブル化
VPN グループごとのルータへの最大接続数、およびユーザごとの最大同時ログイン数を制限する場合は、次のアトリビュートを VPN グループに追加します。
手順の概要
1. enable
2. configure terminal
3. crypto isakmp client configuration group group-name
4. exit
5. max-logins number-of-logins
6. max-users number-of-users
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto isakmp client configuration group group-name
Router(config)# crypto isakmp client configuration group group1 |
定義するグループのポリシー プロファイルを指定し、ISAKMP グループ コンフィギュレーション モードを開始します。 • group-name :ユーザに適用されるポリシーに対応するグループを指定します。 |
ステップ 4 |
exit
Router(config-isakmp-group)# exit |
ISAKMP グループ コンフィギュレーション モードを終了します。 |
ステップ 5 |
max-logins number-of-logins
Router(config)# max-logins 10 |
(任意)特定のサーバ グループに属するユーザの同時ログイン数を制限します。 |
ステップ 6 |
max-users number-of-users
Router(config)# max-users 1000 |
(任意)特定のサーバ グループに対する接続数を制限します。 |
VPN セッションの確認
VPN セッションを確認するには、次の手順を実行します。
手順の概要
1. enable
2. show crypto session group
3. show crypto session summary
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
show crypto session group
Router# show crypto session group |
VPN デバイス上で現在アクティブなグループを表示します。 |
ステップ 3 |
show crypto session summary
Router# show crypto session summary |
VPN デバイス上で現在アクティブなグループと、それらの各グループにおいて接続されているユーザを表示します。 |
モード設定および Xauth の適用
クリプト マップを使用する場合は、そのクリプト マップにモード設定および Xauth を適用する必要があります。モード設定および Xauth をクリプト マップに適用するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto map tag client configuration address [ initiate | respond ]
4. crypto map map-name isakmp authorization list list-name
5. crypto map map-name client authentication list list-name
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto map tag client configuration address [ initiate | respond ]
Router(config)# crypto map dyn client configuration address initiate |
モード設定要求を開始またはそれに応答するようルータを設定します。 キーワードは、同時に使用できます。 |
ステップ 4 |
crypto map map-name isakmp authorization list list-name
Router(config)# crypto map ikessaaamap isakmp authorization list ikessaaalist |
クライアントから要求された場合のグループ ポリシーに対する IKE クエリーをイネーブルにします。 • ここで指定される list-name 引数の値により、AAA では、 aaa authorization network コマンドに指定されているポリシー(ローカルまたは RADIUS)を検索するストレージ ソースが決定されます。 |
ステップ 5 |
crypto map map-name client authentication list list-name
Router(config)# crypto map xauthmap client authentication list xauthlist |
Xauth を適用します。 • ここで指定される list-name 引数の値により、 aaa authentication login コマンドで指定されているユーザ名およびパスワードの適切な保管場所(ローカルまたは RADIUS)が決定されます。 |
クライアントに対する RRI のイネーブル化
VPN クライアントに対して、クリプト マップ(スタティックまたはダイナミック)で RRI をイネーブルにするには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto dynamic map-name seq-num
または
crypto map map-name seq-num ipsec-isakmp
4. set peer ip-address
5. set transform-set transform-set-name
6. reverse-route
7. match-address
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto dynamic map-name seq-num または crypto map map-name seq-num ipsec-isakmp
Router(config)# crypto dynamic mymap 10 または Router(config)# crypto map yourmap 15 ipsec-isakmp |
ダイナミック クリプト マップ エントリを作成し、クリプト マップ コンフィギュレーション モードを開始します。 または ダイナミック クリプト マップ セットをスタティック クリプト マップ セットに追加し、クリプト マップ コンフィギュレーション モードを開始します。 |
ステップ 4 |
set peer ip-address
Router(config-crypto-map)# set peer 10.20.20.20 |
クリプト マップ エントリに対して IPsec ピアの IP アドレスを指定します。 • ダイナミック クリプト マップ エントリを設定している場合、この手順はオプションです。 |
ステップ 5 |
set transform-set transform-set-name
Router(config-crypto-map)# set transform-set dessha |
このクリプト マップ エントリで許可するトランスフォーム セットを指定します。 • 複数のトランスフォーム セットをプライオリティの順に表示します(最もプライオリティの高いものを先頭に表示)。 (注) ダイナミック クリプト マップ エントリに必要な設定文は、このリストだけです。 |
ステップ 6 |
reverse-route
Router(config-crypto-map)# reverse-route |
送信元プロキシの情報を作成します。 |
ステップ 7 |
match address
Router(config-crypto-map)# match address |
クリプト マップ エントリの拡張アクセス リストを指定します。 • ダイナミック クリプト マップ エントリを設定している場合、この手順はオプションです。 |
IKE デッド ピア検証のイネーブル化
(クライアントの代わりに)Cisco IOS VPN ゲートウェイから IKE メッセージを送信できるようにするには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto isakmp keepalive secs retries
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto isakmp keepalive secs retries
Router(config)# crypto isakmp keepalive 20 10 |
ゲートウェイからルータへの DPD メッセージ送信を有効にします。 • secs 引数には、DPD メッセージの送信間隔を秒単位で指定します(指定できる値の範囲は 1 ~ 3600 秒)。また、retries 引数には、DPD メッセージ送信に失敗した場合に送信を再試行する間隔を秒単位で指定します(指定できる値の範囲は 2 ~ 60 秒)。 |
RADIUS サーバ サポートの設定
RADIUS サーバへアクセスできるよう設定し、Cisco IOS VPN デバイスからそのサーバへ要求を送信できるようにするには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. radius server host ip-address [ auth-port port-number ] [ acct-port port-number ] [ key string ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
radius server host ip-address [ auth-port port-number ] [ acct-port port-number ] [ key string ]
Router(config)# radius server host 192.168.1.1. auth-port 1645 acct-port 1646 key XXXX |
RADIUS サーバ ホストを指定します。 (注) この手順が必要となるのは、グループ ポリシーの情報を RADIUS サーバへ保存するよう選択した場合だけです。 |
Easy VPN サーバの確認
この機能に関する設定内容を確認するには、次の手順を実行します。
手順の概要
1. enable
2. show crypto map [ interface interface | tag map-name ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
show crypto map [ interface interface | tag map-name ]
Router# show crypto map interface ethernet 0 |
クリプト マップの設定内容を表示します。 |
バナーの設定
Easy VPN サーバから Easy VPN Remote デバイスへバナーがプッシュされるように設定するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto isakmp client configuration group { group-name }
4. banner c { banner-text } c
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto isakmp client configuration group { group-name }
Router(config)# crypto isakmp client configuration group Group1 |
ポリシー プロファイルの定義先となるグループを指定し、クリプト ISAKMP グループ コンフィギュレーション モードを開始します。 |
ステップ 4 |
banner c { banner-text } c
Router(config-isakmp-group)# banner c The quick brown fox jumped over the lazy dog c |
バナーのテキストを指定します。 |
自動アップグレードの設定
Easy VPN Remote デバイスに対してソフトウェアやファームウェアのアップグレードが自動的に適用されるメカニズムを Easy VPN サーバ上で設定するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto isakmp client configuration group { group-name }
4. auto-update client { type-of-system } { url url } { rev review-version }
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto isakmp client configuration group { group-name }
Router(config)# crypto isakmp client configuration group Group2 |
ポリシー プロファイルの定義先となるグループを指定し、クリプト ISAKMP グループ コンフィギュレーション モードを開始します。 |
ステップ 4 |
auto-update client { type-of-system } { url url } { rev review-version }
Router(config-isakmp-group)# auto-update client Win2000 url http:www.example.com/newclient rev 3.0.1(Rel), 3.1(Rel) |
Easy VPN Remote デバイスに対して、自動アップデートのパラメータを設定します。 |
ブラウザ プロキシの設定
Cisco IOS VPN クライアント ソフトウェアを使用している場合に、Easy VPN Remote デバイスから社内ネットワーク上のリソースへアクセスできるよう Easy VPN サーバを設定するには、次の手順を実行します。この設定により、ユーザは、社内ネットワークに接続する際に、自身が使用する Web ブラウザのプロキシ設定を手動で修正したり、接続を解除する際に、プロキシ設定を手動で元に戻したりする必要がなくなります。
手順の概要
1. enable
2. configure terminal
3. crypto isakmp client configuration browser-proxy { browser-proxy-name }
4. proxy { proxy-parameter }
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto isakmp client configuration browser-proxy { browser-proxy-name }
Router(config)# crypto isakmp client configuration browser-proxy bproxy |
Easy VPN Remote デバイスに対して、ブラウザ プロキシのパラメータを設定し、ISAKMP ブラウザ プロキシ コンフィギュレーション モードを開始します。 |
ステップ 4 |
proxy { proxy-parameter }
Router(config-ikmp-browser-proxy)# proxy auto-detect |
Easy VPN Remote デバイスに対して、プロキシのパラメータを設定します。 |
モード設定交換によるコンフィギュレーション URL のプッシュの設定
モード設定交換によりコンフィギュレーション URL がプッシュされるよう Easy VPN サーバを設定するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto isakmp client configuration group { group-name }
4. configuration url { url }
5. configuration version { version-number }
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto isakmp client configuration group { group-name }
Router(config)# crypto isakmp client configuration group Group1 |
ポリシー プロファイルの定義先となるグループを指定し、クリプト ISAKMP グループ コンフィギュレーション モードを開始します。 |
ステップ 4 |
configuration url { url }
Router(config-isakmp-group)# configuration url http://10.10.88.8/easy.cfg |
リモート デバイスがサーバから設定を取得する際に使用する URL を指定します。 • この URL は、コンフィギュレーション ファイルの完全パスを表す非ヌル終端 ASCII 文字列である必要があります。 |
ステップ 5 |
configuration version { version-number }
Router(config-isakmp-group)# configuration version 10 |
設定のバージョンを指定します。 • バージョン番号は、1 ~ 32767 の範囲にある符号なし整数です。 |
PKI によるユーザ単位 AAA ダウンロードの設定:クリプト PKI トラストポイントの設定
ユーザ アトリビュートがリモート デバイスにプッシュされるよう AAA サーバを設定するには、次の手順を実行します。
前提条件
ユーザ アトリビュートがリモート デバイスにプッシュされるよう AAA サーバを設定する場合は、あらかじめ AAA を設定しておく必要があります。また、クリプト PKI トラストポイントも設定されていることが必要です(以下で最初に説明する設定手順を参照してください)。トラストポイントの設定では、 authorization username コマンドを使用することを推奨します。
手順の概要
1. enable
2. configure terminal
3. crypto pki trustpoint name
4. enrollment url url
5. revocation-check none
6. rsakeypair key-label
7. authorization username { subjectname subjectname }
8. exit
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto pki trustpoint name
Router(config)# crypto pki trustpoint ca-server |
ルータで使用するトラストポイントを宣言し、CA トラストポイント コンフィギュレーション モードを開始します。 |
ステップ 4 |
enrollment url url
Router(config-ca-trustpoint)# enrollment url http://10.7.7.2:80 |
登録要求の送信先となる Certification Authority(CA; 認証局)サーバの URL を指定します。 |
ステップ 5 |
revocation-check none
Router(config-ca-trustpoint)# revocation-check none |
証明書の失効ステータスをチェックします。 |
ステップ 6 |
rsakeypair key-label
Router(config-ca-trustpoint)# rsakeypair rsa-pair |
証明書に関連付けるキー ペアを指定します。 |
ステップ 7 |
authorization username { subjectname subjectname }
Router(config-ca-trustpoint)# authorization username subjectname commonname |
AAA ユーザ名の設定に使用するさまざまな証明書フィールドのパラメータを指定します。 |
ステップ 8 |
exit
Router(config-ca-trustpoint)# exit |
CA トラストポイント コンフィギュレーション モードを終了します。 |
PKI による実際のユーザ単位 AAA ダウンロードの設定
PKI による実際のユーザ単位ダウンロードを設定するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto isakmp policy priority
4. group { 1 | 2 }
5. exit
6. crypto isakmp profile profile-name
7. match certificate certificate-map
8. client pki authorization list listname
9. client configuration address { initiate | respond }
10. virtual-template template-number
11. exit
12. crypto ipsec transform-set [ transform-set-name transform1 ] [ transform2 ] [ transform3 ] [ transform4 ]
13. crypto ipsec profile name
14. set transform-set transform-set-name
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto isakmp policy priority
Router(config)# crypto isakmp policy 10 |
IKE ポリシーを定義し、ISAKMP ポリシー コンフィギュレーション モードを開始します。 |
ステップ 4 |
group { 1 | 2 }
Router(config-isakmp-policy)# group 2 |
IKE ポリシー内部での D-H グループの識別番号を指定します。 |
ステップ 5 |
exit
Router(config-isakmp-policy)# exit |
ISAKMP ポリシー コンフィギュレーション モードを終了します。 |
ステップ 6 |
crypto isakmp profile profile-name
Router(config)# crypto isakmp profile ISA-PROF |
ISAKMP プロファイルの定義と IPsec ユーザ セッションの監査を行い、クリプト ISAKMP プロファイル コンフィギュレーション モードを開始します。 |
ステップ 7 |
match certificate certificate-map
Router(config-isakmp-profile)# match certificate cert_map |
証明書にある任意のフィールド内容に基づいて、ISAKMP プロファイルをピアに割り当てます。 |
ステップ 8 |
client pki authorization list listname
Router(config-isakmp-profile)# client pki authorization list usrgrp |
証明書から生成されたユーザ名に基づいてユーザ単位 AAA アトリビュートを取得する際に使用される AAA サーバの認可リストを指定します。 |
ステップ 9 |
client configuration address { initiate | respond }
Router(config-isakmp-profile)# client configuration address respond |
ISAKMP プロファイルに IKE コンフィギュレーション モードを設定します。 |
ステップ 10 |
virtual-template template-number
Router(config-isakmp-profile)# virtual-template 2 |
仮想アクセス インターフェイスのクローンを作成する際に使用される仮想テンプレートを指定します。 |
ステップ 11 |
exit
Router(config-isakmp-profile)# exit |
クリプト ISAKMP プロファイル コンフィギュレーション モードを終了します。 |
ステップ 12 |
crypto ipsec transform-set transform-set-name transform1 [ transform2 ] [ transform3 ] [ transform4 ]
Router(config)# crypto ipsec transform-set trans2 esp-3des esp-sha-hmac1 |
トランスフォーム セット(セキュリティ プロトコルとセキュリティ アルゴリズムの受け入れ可能な組み合せ)を定義します。 |
ステップ 13 |
crypto ipsec profile name
Router(config)# crypto ipsec profile IPSEC_PROF |
2 つの IPsec ルータ間における IPsec 暗号化のために使用される IPsec パラメータを定義します。 |
ステップ 14 |
set transform-set transform-set-name
Router(config)# set transform-set trans2 |
クリプト マップ エントリで使用可能なトランスフォーム セットを指定します。 |
ローカル Easy VPN AAA サーバにおけるユーザ単位アトリビュートの設定
ローカル Easy VPN AAA サーバ上でユーザ単位アトリビュートを設定するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. aaa attribute list list-name
4. attribute type name value [ service service ] [ protocol protocol ]
5. exit
6. crypto isakmp client configuration group group-name
7. crypto aaa attribute list list-name
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
aaa attribute list list-name
Router(config)# aaa attribute list list1 |
ルータ上で AAA アトリビュート リストをローカルに定義し、アトリビュート リスト コンフィギュレーション モードを開始します。 |
ステップ 4 |
attribute type name value [ service service ] [ protocol protocol ]
Router(config-attr-list)# attribute type attribute xxxx service ike protocol ip |
AAA アトリビュート リストへ追加されるアトリビュート タイプをルータ上でローカルに定義します。 |
ステップ 5 |
exit
Router(config-attr-list)# exit |
アトリビュート リスト コンフィギュレーション モードを終了します。 |
ステップ 6 |
crypto isakmp client configuration group group-name
Router(config)# crypto isakmp client configuration group group1 |
ポリシー プロファイルの定義先となるグループを指定し、ISAKMP グループ コンフィギュレーション モードを開始します。 |
ステップ 7 |
crypto aaa attribute list list-name
Router(config-isakmp-group)# crypto aaa attribute list listname1 |
ルータ上で AAA アトリビュート リストをローカルに定義します。 |
Easy VPN syslog メッセージのイネーブル化
サーバ上で Easy VPN syslog メッセージをイネーブルにするには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto logging ezvpn group group-name
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto logging ezvpn [ group group-name ]
Router(config)# crypto logging ezvpn group group1 |
サーバ上で Easy VPN syslog メッセージをイネーブルにします。 • group キーワードおよび group-name 引数はオプションです。グループ名を指定しない場合、サーバへのすべての Easy VPN 接続に対して syslog メッセージがイネーブルになります。グループ名を指定した場合は、そのグループに対してだけ syslog メッセージがイネーブルになります。 |
ローカル AAA サーバによる CPP ファイアウォール ポリシー プッシュの定義
ここでは、リモート デバイスに対しローカル AAA サーバ用のファイアウォールが設定されているかどうかに基づいてトンネルを許可したり拒否したりするために、サーバ上で CPP ファイアウォール ポリシー プッシュを定義する手順について説明します。
手順の概要
1. enable
2. configure terminal
3. crypto isakmp client firewall { policy-name } { required | optional } { firewall-type }
4. policy { check-presence | central-policy-push { access-list { in | out } access-list-name | access-list-number }}
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto isakmp client firewall { policy-name } { required | optional } { firewall-type }
Router(config)# crypto isakmp client firewall hw-client-g-cpp required Cisco-Security-Agent |
サーバ上で CPP ファイアウォール プッシュ ポリシーを定義し、ISAKMP クライアント ファイアウォール コンフィギュレーション モードを開始します。 引数およびキーワードは次のとおりです。 • policy-name :ポリシーの一意の識別名を指定します。ポリシー名は、サーバまたは AAA サーバの Easy VPN クライアント グループ設定(ローカル グループの設定)に関連付けられている必要があります。 • required :このキーワードを指定すると、ポリシーが必須ポリシーとして定義されます。必須ポリシーとして定義した CPP ポリシーを Easy VPN サーバの設定に追加すると、このポリシーがクライアントにより確認された場合に限ってトンネルを確立できます。確認されない場合、トンネルは終了します。 • optional :このキーワードを指定すると、ポリシーが任意のポリシーとして定義されます。任意のポリシーとして定義した CPP ポリシーを Easy VPN サーバの設定に追加した場合は、このポリシーがクライアントにより確認されなくても、トンネルは確立した状態が維持されます。 • firewall-type :ファイアウォールのタイプを指定します(ファイアウォール タイプのリストについては、 crypto isakmp client firewall コマンドを参照してください)。 |
ステップ 4 |
policy {
check-presence |
central-policy-push
{
access-list {
in |
out }
access-list-name |
access-list-number }}
Router(config-ikmp-client-fw)# policy central-policy-push access-list out acl1
または Router(config-ikmp-client-fw)# policy check-presence |
CPP ファイアウォール ポリシー プッシュを定義します。 引数およびキーワードは次のとおりです。 • check-presence :指定されたファイアウォール(クライアント上で ファイアウォール タイプ 引数の値として表示されたファイアウォール)が存在するかどうかのチェックがサーバにより行われるようにする場合は、このキーワードを指定します。 • central-policy-push :このキーワードを指定すると、 ファイアウォール タイプ 引数でタイプが指定されたクライアント ファイアウォールにより適用される必要がある入力アクセス リストや出力アクセス リストなど、実際のポリシーが適用されます。 • access-list { in | out }:インバウンド アクセス リストまたはアウトバウンド アクセス リストを指定します。 • access-list-name | access-list-number :アクセス リストの名前または番号を指定します。 |
次の作業
設定されたグループに対して CPP ファイアウォール ポリシー プッシュを適用します。
設定されたグループに対する CPP ファイアウォール ポリシー プッシュの適用
CPP ファイアウォール ポリシー プッシュが定義されたら、次にはそれを設定グループに適用する必要があります。次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto isakmp client configuration group group-name
4. firewall policy policy-name
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto isakmp client configuration group group-name
Router(config)# crypto isakmp client configuration group hw-client-g |
ポリシー プロファイルの定義先となるグループを指定し、ISAKMP グループ コンフィギュレーション モードを開始します。 |
ステップ 4 |
firewall policy policy-name
Router(crypto-isakmp-group)# firewall policy hw-client-g-cpp |
ローカル認証または AAA サーバにおいてクリプト ISAKMP クライアントの設定グループに適用する CPP ファイアウォール プッシュ ポリシー の名前を指定します。 |
次の作業
CPP ファイアウォール ポリシー プッシュを定義したら、グループ定義において Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)である cpp-policy を追加する必要があります。
グループ定義への VSA cpp-policy の追加
RADIUS で定義されたグループ定義に VSA cpp-policy を追加するには、次の手順を実行します。
手順の概要
1. RADIUS で定義されたグループ定義に VSA cpp-policy を追加します。
手順の詳細
|
|
|
ステップ 1 |
RADIUS で定義されたグループ定義に「VSA cpp-policy」を追加します。
ipsec:cpp-policy="Enterprise Firewall" |
リモート サーバに対して CPP ファイアウォール プッシュ ポリシーを定義します。 |
CPP ファイアウォール ポリシー プッシュの確認
ローカル AAA サーバまたはリモート AAA サーバ上で CPP ファイアウォール プッシュ ポリシーを確認するには、次の手順を実行します。
手順の概要
1. enable
2. debug crypto isakmp
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
debug crypto isakmp
Router# debug crypto isakmp |
IKE イベントに関するメッセージを表示します。 |
パスワード エージングの設定
パスワードがすでに失効したかどうかを Easy VPN クライアントに通知するパスワード エージング機能の設定手順は次の通りです。
制約事項
パスワード エージング機能には、次のような制約事項が適用されます。
• VPN ソフトウェア クライアントがある場合に限り使用できます。VPN クライアント ハードウェアでは機能しません。
• RADIUS サーバがある場合に限り使用できます。
手順の概要
1. enable
2. configure terminal
3. aaa new-model
4. aaa authentication login { list-name } password-expiry method1 [ method2... ]
5. radius-server host { ip-address } auth-port port-number acct-port port-number key string }
6. ISAKMP プロファイルの設定
7. client authentication list { list-name }
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
Router(config)# aaa new-model |
AAA をイネーブルにします。 |
ステップ 4 |
aaa authentication login {
list-name }
password-expiry
method1 [
method2... ]
Router(config)# aaa authentication login userauth paswd-expiry group radius
|
認証リストを設定します。これによりパスワード エージング機能がイネーブルになります。 |
ステップ 5 |
radius-server host {
ip-address }
auth-port
port-number
acct-port
port-number
key
string
Router(config)# radius-server host 172.19.217.96 255.255.255.0 auth-port 1645 acct-port 1646 key cisco radius-server vsa send authentication |
RADIUS サーバを設定します。 |
ステップ 6 |
ISAKMP プロファイルを設定します。
「パスワード エージングの設定:例」 を参照してください。 |
ISAKMP プロファイルを設定し、ISAKMP プロファイル コンフィギュレーション モードを開始します( 「パスワード エージングの設定:例」 を参照してください)。 |
ステップ 7 |
client authentication list {
list-name }
Router(config-isakmp-profile)# client authentication list userauth
|
ISAKMP プロファイルに IKE 拡張認証(Xauth)を設定し、先に定義した認証リストを追加します。 |
スプリット DNS の設定
スプリット DNS の設定方法は次のとおりです。
前提条件
スプリット DNS 機能を使用できるようにするには、あらかじめ次のコマンドが Easy VPN Remote 上で設定されている必要があります。
• ip dns server
• ip domain-lookup
手順の概要
1. enable
2. configure terminal
3. crypto isakmp client configuration group group-name
4. dns primary-server secondary-server
5. split-dns domain-name
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto isakmp client configuration group
{
group-name |
default }
Router(config)# crypto isakmp client configuration group group1 |
定義するグループのポリシー プロファイルを指定し、ISAKMP グループ コンフィギュレーション モードを開始します。 • 該当するグループがなく、デフォルト グループが定義されている場合、ユーザにはデフォルト グループのポリシーが自動的に適用されます。 |
ステップ 4 |
dns
primary-server secondary-server
Router(config-isakmp-group)# dns 10.2.2.2 10.3.3.3
|
グループに対して、プライマリ DNS サーバおよびセカンダリ DNS サーバを指定します。 |
ステップ 5 |
Router(config-isakmp-group)# split-dns green.com
|
プラベート ネットワークに対してトンネリングまたは解決する必要のあるドメイン名を指定します。 |
スプリット DNS の確認
スプリット DNS 設定を確認する手順は次のとおりです( show コマンドは、それぞれを個別に使用することも、複数をまとめて使用することもできます)。
手順の概要
1. enable
2. show ip dns name-list [ name-list-number ]
3. show ip dns view [ vrf vrf-name ] [ default | view-name ]
4. show ip dns view-list [ view-list-name ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
show ip dns name-list [ name-list-number ]
Router# show ip dns name-list 1 |
DNS 名のリストに関する情報を表示します。 |
ステップ 3 |
show ip dns view [
vrf
vrf-name ] [
default |
view-name ]
Router# show ip dns view default |
DNS ビューに関する情報を表示します。 |
ステップ 4 |
show ip dns view-list [
view-list-name ]
Router# show ip dns view-list ezvpn-internal-viewlist
|
DNS ビュー リストに関する情報を表示します。 |
スプリット DNS のモニタおよびメンテナンス
Easy VPN Remote デバイス上でスプリット DNS 設定をモニタおよびメンテナンスするには、次の手順を実行します。
手順の概要
1. enable
2. debug ip dns name-list
3. debug ip dns view
4. debug ip dns view-list
手順の詳細
ステップ 1 |
|
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
Router# debug ip dns name-list
|
DNS 名リストのイベントに対して、デバッグ出力をイネーブルにします。 |
ステップ 3 |
Router# debug ip dns view
|
DNS ビューのイベントに対して、デバッグ出力をイネーブルにします。 |
ステップ 4 |
Router# debug ip dns view-list
|
DNS ビュー リストのイベントに対して、デバッグ出力をイネーブルにします。 |
DHCP サーバから IP アドレスを取得するための Easy VPN サーバの設定
Easy VPN サーバでは、次の優先順位に基づいて、アドレスの割り当て方式が選択されます。
1. フレーム IP アドレスを使用する。
2. 認証サーバから取得した IP アドレスを使用する(グループ/ユーザ)。
3. グローバル IKE アドレス プールを使用する。
4. DHCP を使用する。
(注) Easy VPN サーバにおいて DHCP サーバから IP アドレスが取得されるようにする場合は、その他のアドレス割り当てを削除してください。
DHCP サーバから IP アドレスが取得されるように Easy VPN サーバを設定するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. crypto isakmp client configuration group group-name
4. dhcp server { ip-address | hostname }
5. dhcp timeout time
6. dhcp giaddr scope
手順の詳細
ステップ 1 |
|
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
Router# configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto isakmp client configuration group
group-name
Router(config)# crypto isakmp client configuration group group1
|
ポリシー プロファイルの定義先となるグループを指定します。 (注) このコマンドを入力すると、CLI は ISAKMP グループ コンフィギュレーション モードになります。このモードでは、サブコマンドを使用して、グループ ポリシーに対するさまざまな特性を指定できます。 |
ステップ 4 |
dhcp server {
ip-address |
hostname }
Router(config-isakmp-group)# dhcp server 10.10.1.2
|
特定の Public Data Network(PDN; パブリック データ ネットワーク)アクセス ポイントを入力した MS ユーザに対して IP アドレスを割り当てるためのプライマリ(およびバックアップ)DHCP サーバを指定します。 |
ステップ 5 |
Router(config-isakmp-group)# dhcp timeout 6
|
リスト上で次位にある DHCP サーバに接続を試行するまでの待機時間を秒単位で設定します。 |
ステップ 6 |
Router(config-isakmp-group)# dhcp giaddr 10.1.1.4
|
DHCP のスコープに対してゲートウェイ IP アドレスを指定します。 |
DHCP クライアント プロキシの確認
DHCP クライアント プロキシの設定を確認する手順は次のとおりです( show コマンドは、それぞれを個別に使用することも、複数をまとめて使用することもできます)。
手順の概要
1. enable
2. show dhcp lease
3. show ip dhcp pool
4. show ip dhcp binding
手順の詳細
ステップ 1 |
|
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
|
DHCP アドレス プールに関する情報を表示します。 (注) このコマンドは、外部の DHCP が使用されている場合に使用します。 |
ステップ 3 |
Router# show ip dhcp pool
|
DHCP アドレス プールに関する情報を表示します。 (注) このコマンドは、Easy VPN サーバが DHCP サーバを兼ねている場合に限って有効です(ただしこれは非常にまれなケースです。通常、DHCP サーバには外部サーバが使用されるからです)。 |
ステップ 4 |
Router# show ip dhcp binding
|
DHCP サーバにおけるアドレス バインディングを表示します。 (注) このコマンドは、Easy VPN サーバが DHCP サーバを兼ねている場合に限って有効です(ただしこれは非常にまれなケースです。通常、DHCP サーバには外部サーバが使用されるからです)。 |
DHCP クライアント プロキシのモニタおよびメンテナンス
DHCP クライアント プロキシの設定をモニタおよびメンテナンスする手順は次のとおりです( debug コマンドは、それぞれを個別に使用することも、複数をまとめて使用することもできます)。
手順の概要
1. enable
2. debug crypto isakmp
3. debug dhcp
4. debug dhcp detail
5. debug ip dhcp server events
手順の詳細
ステップ 1 |
|
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
Router# debug crypto isakmp
|
Internet Key Exchange(IKE; インターネット キー エクスチェンジ)イベントに関するメッセージを表示します。 |
ステップ 3 |
|
サーバのイベント(アドレスの割り当てやデータベースのアップデートなど)をレポートします。 |
ステップ 4 |
Router# debug dhcp detail
|
DHCP のデバッグに関する詳細情報を表示します。 |
ステップ 5 |
debug ip dhcp server
events
Router# debug ip dhcp server events
|
サーバのイベント(アドレスの割り当てやデータベースのアップデートなど)をレポートします。 (注) このコマンドは、Easy VPN サーバが DHCP サーバを兼ねている場合に限って有効です(ただしこれは非常にまれなケースです。通常、DHCP サーバには外部サーバが使用されるからです)。 |
cTCP の設定
cTCP は、Easy VPN サーバ上でイネーブルにします。次の手順を実行します。
前提条件
cTCP を設定する場合は、あらかじめクリプト IPsec を設定しておく必要があります。
手順の概要
1. enable
2. configure terminal
3. crypto ctcp port [ port-number ]
手順の詳細
ステップ 1 |
|
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
Router# configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
crypto ctcp port
[
port-number ]
Router(config)# crypto ctcp port 120
|
Easy VPN に対して cTCP カプセル化を設定します。 • 設定できるポート数は 10 個までです。 • port-number 引数が設定されていない場合、デフォルトでは、cTCP はポート 80 でイネーブルになります。 |
cTCP の確認
cTCP 設定を確認する手順は次のとおりです( show コマンドは、それぞれを個別に使用することも、複数をまとめて使用することもできます)。
手順の概要
1. enable
2. show crypto ctcp [ peer ip-address ]
手順の詳細
ステップ 1 |
|
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
show crypto ctcp
[
peer
ip-address ]
Router# show crypto ctcp peer 10.76.235.21
|
特定の cTCP ピアに関する情報を表示します。 |
cTCP の設定のモニタおよびメンテナンス
cTCP をモニタおよびメンテナンスするには、次の手順を実行します。
手順の概要
1. enable
2. debug crypto ctcp
手順の詳細
ステップ 1 |
|
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
Router# debug crypto ctcp
|
cTCP セッションに関する情報を表示します。 |
cTCP の設定のクリア
cTCP の設定をクリアするには、次の手順を実行します。
手順の概要
1. enable
2. clear crypto ctcp [ peer ip-address ]
手順の詳細
ステップ 1 |
|
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
clear crypto ctcp
[
peer
ip-address ]
Router# clear crypto ctcp peer 10.76.23.21
|
cTCP セッションに関する情報を表示します。 |
cTCP の設定に関するトラブルシューティング
cTCP の設定をトラブルシューティングするには、次の手順を実行します。
手順の概要
1. cTCP セッションのステートが CTCP_ACK_RECEIVED であることを確認します。
2. cTCP セッションのステートが CTCP_ACK_RECEIVED でない場合は、 debug crypto ctcp コマンドをイネーブルにします。
3. cTCP に不具合が見られない場合は、サーバへの cTCP パケットの転送をファイアウォールが許可しているか確認します。
4. ファイアウォールの設定が適切で、デバッグがイネーブルになっており、かつコンソール上で cTCP のデバッグが確認されない場合は、ルータの cTCP ポートでパケットが受信されない原因を特定する必要があります。
手順の詳細
ステップ 1 show crypto ctcp コマンドを使用して、cTCP セッションのステートが CTCP_ACK_RECEIVED であることを確認します。
ステップ 2 cTCP セッションのステートが CTCP_ACK_RECEIVED でない場合は、 debug crypto ctcp コマンドをイネーブルにし、再度 show crypto ctcp コマンドを実行します。
ステップ 3 cTCP に不具合が見られない場合は、サーバへの cTCP パケットの転送をファイアウォールが許可しているか(ファイアウォールの設定を)確認します。
ステップ 4 ファイアウォールの設定が適切で、デバッグがイネーブルになっており、かつコンソール上で cTCP のデバッグが確認されない場合は、ルータの cTCP ポートでパケットが受信されない原因を特定する必要があります。cTCP のデバッグが確認されないにもかかわらず、依然 cTCP セッションが確立されていない場合は、実質的に TCP パケットである cTCP パケットが、cTCP ポートではなく TCP スタックへ送信された可能性があります。この場合、 debug ip packet コマンドおよび debug ip tcp packet コマンドをイネーブルにすることで、パケットが TCP スタックへ送信されたかどうかを判定できることがあります。
Easy VPN サーバの設定例
ここでは、次の設定例について説明します。
• 「Easy VPN サーバ における Cisco IOS の設定:例」
• 「IPsec の AV のペアを使用した RADIUS グループ プロファイル:例」
• 「IPsec の AV のペアを使用した RADIUS ユーザ プロファイル:例」
• 「最大ログイン数および最大ユーザ数が指定されたバックアップ ゲートウェイ:例」
• 「IPsec 仮想トンネル インターフェイスが設定された Easy VPN:例」
• 「モード設定交換によるコンフィギュレーション URL のプッシュ:例」
• 「PKI によるユーザ単位 AAA ポリシー ダウンロード:例」
• 「Easy VPN サーバにおけるユーザ単位アトリビュート:例」
• 「ネットワーク アドミッション コントロール:例」
• 「パスワード エージングの設定:例」
• 「スプリット DNS:例」
• 「DHCP クライアント プロキシ:例」
• 「cTCP セッション:例」
• 「AAA サーバによる VRF の割り当て:例」
Easy VPN サーバ における Cisco IOS の設定:例
次に示すのは、モード設定に対してグループ ポリシー情報をローカルに定義する方法の例です。この例では、「cisco」というグループ名のほかに、「default」というグループ名が指定されています。このポリシーは、「cisco」に一致するグループ名を提示しないすべてのユーザに適用されます。
! Enable policy look-up via AAA. For authentication and authorization, send requests to
! RADIUS first, then try local policy.
aaa authentication login userlist group radius local
aaa authorization network grouplist group radius local
username cisco password 0 cisco
! Configure IKE policies, which are assessed in order so that the first policy that
matches the proposal of the client will be used.
crypto isakmp identity hostname
! Define “cisco” group policy information for mode config push.
crypto isakmp client configuration group cisco
! Define default group policy for mode config push.
crypto isakmp client configuration group default
crypto ipsec transform-set dessha esp-des esp-sha-hmac
crypto dynamic-map mode 1
! Apply mode config and xauth to crypto map “mode.” The list names that are defined here
! must match the list names that are defined in the AAA section of the config.
crypto map mode client authentication list userlist
crypto map mode isakmp authorization list grouplist
crypto map mode client configuration address respond
crypto map mode 1 ipsec-isakmp dynamic mode
interface FastEthernet0/0
ip address 10.6.1.8 255.255.0.0
interface FastEthernet0/1
ip address 192.168.1.28 255.255.255.0
! Specify IP address pools for internal IP address allocation to clients.
ip local pool green 192.168.2.1 192.168.2.10
ip route 0.0.0.0 0.0.0.0 10.6.0.1
! Define access lists for each subnet that should be protected.
access-list 199 permit ip 192.168.1.0 0.0.0.255 any
access-list 199 permit ip 192.168.3.0 0.0.0.255 any
! Specify a RADIUS server host and configure access to the server.
radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key XXXXX
radius-server retransmit 3
IPsec の AV のペアを使用した RADIUS グループ プロファイル:例
次に示すのは、IPsec の AV のペアを含む標準的な RADIUS グループ プロファイルの例です。グループ認可のアトリビュートを取得するには、「cisco」というパスワードを使用する必要があります。
client_r Password = "cisco"
cisco-avpair = "ipsec:tunnel-type*ESP"
cisco-avpair = "ipsec:key-exchange=ike"
cisco-avpair = "ipsec:tunnel-password=lab"
cisco-avpair = "ipsec:addr-pool=pool1"
cisco-avpair = "ipsec:default-domain=cisco"
cisco-avpair = "ipsec:inacl=101"
cisco-avpair = "ipsec:access-restrict=fastethernet 0/0"
cisco-avpair = "ipsec:group-lock=1"
cisco-avpair = "ipsec:dns-servers=10.1.1.1 10.2.2.2"
cisco-avpair = "ipsec:firewall=1"
cisco-avpair = "ipsec:include-local-lan=1"
cisco-avpair = "ipsec:save-password=1"
cisco-avpair = "ipsec:wins-servers=10.3.3.3 10.4.4.4"
cisco-avpair = "ipsec:split-dns=green.com"
cisco-avpair = "ipsec:ipsec-backup-gateway=10.1.1.1"
cisco-avpair = "ipsec:ipsec-backup-gateway=10.1.1.2"
cisco-avpair = "ipsec:pfs=1"
cisco-avpair = "ipsec:cpp-policy="Enterprise Firewall"
cisco-avpair = “ipsec:auto-update=”Win http://www.example.com 4.0.1”
cisco-avpair = “ipsec:browser-proxy=bproxy_profile_A”
cisco-avpair = "ipsec:banner=Xauth banner text here"
グループ ロックが設定されているグループを対象とした RADIUS ユーザ プロファイルの設定例です。ユーザ名は、「ユーザ名@ドメイン名」という形式で入力されます。
abc@example.com Password = "abcll1111"
cisco-avpair = "ipsec:user-include-local-lan=1"
cisco-avpair = "ipsec:user-save-password=1"
Framed-IP-Address = 10.10.10.10
IPsec の AV のペアを使用した RADIUS ユーザ プロファイル:例
次に示すのは、IPsec の AV のペアを含む標準的な RADIUS ユーザ プロファイルの例です。これらのユーザ アトリビュートは、Xauth 実行中に取得されます。
ualluall Password = "uall1234"
cisco-avpair = "ipsec:user-vpn-group=unity"
cisco-avpair = "ipsec:user-include-local-lan=1"
cisco-avpair = "ipsec:user-save-password=1"
Framed-IP-Address = 10.10.10.10
最大ログイン数および最大ユーザ数が指定されたバックアップ ゲートウェイ:例
次の設定例は、5 つのバックアップ ゲートウェイを設定したうえで、最大ユーザ数を 250、最大ログイン数を 2 に設定したものです。
crypto isakmp client configuration group sdm
key 6 RMZPPMRQMSdiZNJg`EBbCWTKSTi\d[
backup-gateway 172.16.12.12
backup-gateway 172.16.12.13
backup-gateway 172.16.12.14
backup-gateway 172.16.12.130
backup-gateway 172.16.12.131
IPsec 仮想トンネル インターフェイスが設定された Easy VPN:例
次の出力結果は、IPsec 仮想トンネル インターフェイスを使用した Easy VPN の設定例です。
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
aaa authentication login default local
aaa authorization network default local
no ip dhcp use vrf connected
username lab password 0 lab
crypto isakmp xauth timeout 90
crypto isakmp client configuration group easy
match identity group easy
isakmp authorization list default
client configuration address respond
client configuration group easy
crypto ipsec transform-set set esp-3des esp-sha-hmac
ip address 10.4.0.1 255.255.255.0
ip address 10.3.0.2 255.255.255.0
interface Virtual-Template1 type tunnel
ip unnumbered Ethernet0/0
tunnel protection ipsec profile vi
ip local pool dpool 10.5.0.1 10.5.0.10
ip route 10.2.0.0 255.255.255.0 10.3.0.1
access-list 101 permit ip 10.4.0.0 0.0.0.255 any
モード設定交換によるコンフィギュレーション URL のプッシュ:例
次に示す show crypto ipsec client ezvpn コマンドによる出力例です。ここでは、モード設定 URLの場所およびバージョンが表示されています。
Router# show crypto ipsec client ezvpn
Inside interface list: Vlan1
Outside interface: FastEthernet0
Current State: IPSEC_ACTIVE
Default Domain: cisco.com
Configuration URL [version]: tftp://172.16.30.2/branch.cfg [11]
Config status: applied, Last successfully applied version: 11
Current EzVPN Peer: 192.168.10.1
次に示すのは、 show crypto isakmp peers config コマンドによる出力例です。ここでは、リモート デバイスにより送信されたすべての管理情報が表示されています。
Router# show crypto isakmp peers config
Client-Public-Addr=192.168.10.2:500; Client-Assigned-Addr=172.16.1.209; Client-Group=branch; Client-User=branch; Client-Hostname=branch.; Client-Platform=Cisco 1711; Client-Serial=FOC080210E2 (412454448); Client-Config-Version=11; Client-Flash=33292284; Client-Available-Flash=10202680; Client-Memory=95969280; Client-Free-Memory=14992140; Client-Image=flash:c1700-advipservicesk9-mz.ef90241;
Client-Public-Addr=192.168.10.3:500; Client-Assigned-Addr=172.16.1.121; Client-Group=store; Client-User=store; Client-Hostname=831-storerouter.; Client-Platform=Cisco C831; Client-Serial=FOC08472UXR (1908379618); Client-Config-Version=2; Client-Flash=24903676; Client-Available-Flash=5875028; Client-Memory=45298688; Client-Free-Memory=6295596; Client-Image=flash:c831-k9o3y6-mz.ef90241
PKI によるユーザ単位 AAA ポリシー ダウンロード:例
次に示すのは、Easy VPN サーバ上で、PKI によるユーザ単位 AAA ポリシー ダウンロード機能が設定された場合の出力例です。
Router# show running-config
Building configuration...
Current configuration : 7040 bytes
! Last configuration change at 21:06:51 UTC Tue Jun 28 2005
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
aaa group server radius usrgrppki
server 10.76.248.201 auth-port 1645 acct-port 1646
aaa authentication login xauth group usrgrppki
aaa authentication login usrgrp group usrgrppki
aaa authorization network usrgrp group usrgrppki
crypto pki trustpoint ca-server
enrollment url http://10.7.7.2:80
! Specify the field within the certificate that will be used as a username to do a per-user AAA lookup into the RADIUS database. In this example, the contents of the commonname will be used to do a AAA lookup. In the absence of this statement, by default the contents of the “unstructured name” field in the certificate is used for AAA lookup.
authorization username subjectname commonname
crypto pki certificate map CERT-MAP 1
crypto pki certificate chain ca-server
308201EE 30820157 A0030201 02020102 300D0609 2A864886 F70D0101 04050030
14311230 10060355 04031309 63612D73 65727665 72301E17 0D303530 36323832
30303731 345A170D 30363036 32383230 30373134 5A301531 13301106 092A8648
86F70D01 09021604 47454E2E 30819F30 0D06092A 864886F7 0D010101 05000381
8D003081 89028181 00ABF8F0 FDFFDF8D F22098D6 A48EE0C3 F505DD96 C0022EA4
EAB95EE8 1F97F450 990BB0E6 F2B7151F C5C79391 93822FE4 DEE5B00C A03412BB
9B715AAD D6C31F93 D8802658 AF9A8866 63811942 913D0C02 C3E328CC 1C046E94
F73B7C1A 4497F86E 74A627BC B809A3ED 293C15F2 8DCFA217 5160F9A4 09D52044
350F85AF 08B357F5 D7020301 0001A34F 304D300B 0603551D 0F040403 0205A030
1F060355 1D230418 30168014 F9BC4498 3DA4D51D 451EFEFD 5B1F5F73 8D7B1C9B
301D0603 551D0E04 1604146B F6B2DFD1 1FE237FF 23294129 E55D9C48 CCB04630
0D06092A 864886F7 0D010104 05000381 81004AFF 2BE300C1 15D0B191 C20D06E0
260305A6 9DF610BB 24211516 5AE73B62 78E01FE4 0785776D 3ADFA3E2 CE064432
1C93E82D 93B5F2AB 9661EDD3 499C49A8 F87CA553 9132F239 1D50187D 21CC3148
681F5043 2F2685BC F544F4FF 8DF535CB E55B5F36 31FFF025 8969D9F8 418C8AB7
C569B022 46C3C63A 22DD6516 C503D6C8 3D81
30820201 3082016A A0030201 02020101 300D0609 2A864886 F70D0101 04050030
14311230 10060355 04031309 63612D73 65727665 72301E17 0D303530 36323832
30303535 375A170D 30383036 32373230 30353537 5A301431 12301006 03550403
13096361 2D736572 76657230 819F300D 06092A86 4886F70D 01010105 0003818D
00308189 02818100 BA1A4413 96339C6B D36BD720 D25C9A44 E0627A29 97E06F2A
69B268ED 08C7144E 7058948D BEA512D4 40588B87 322C5D79 689427CA 5C54B3BA
82FAEC53 F6AC0B5C 615D032C 910CA203 AC6AB681 290D9EED D31EB185 8D98E1E7
FF73613C 32290FD6 A0CBDC40 6E4D6B39 DE1D86BA DE77A55E F15299FF 97D7C185
919F81C1 30027E0F 02030100 01A36330 61300F06 03551D13 0101FF04 05300301
01FF300E 0603551D 0F0101FF 04040302 0186301F 0603551D 23041830 168014F9
BC44983D A4D51D45 1EFEFD5B 1F5F738D 7B1C9B30 1D060355 1D0E0416 0414F9BC
44983DA4 D51D451E FEFD5B1F 5F738D7B 1C9B300D 06092A86 4886F70D 01010405
00038181 003EF397 F4D98BDE A4322FAF 4737800F 1671F77E BD6C45AE FB91B28C
F04C98F0 135A40C6 635FDC29 63C73373 5D5BBC9A F1BBD235 F66CE1AD 6B4BFC7A
AB18C8CC 1AB93AF3 7AC67436 930E9C81 F43F7570 A8FE09AE 3DEA01D1 DA6BD0CB
83F9A77F 1DFAFE5E 2F1F206B F1FDD8BE 6BB57A3C 8D03115D B1F64A3F 7A7557C1
crypto isakmp keepalive 10
crypto isakmp profile ISA-PROF
match certificate CERT-MAP
isakmp authorization list usrgrp
client pki authorization list usrgrp
client configuration address respond
client configuration group pkiuser
crypto ipsec transform-set trans2 esp-3des esp-sha-hmac
crypto ipsec profile IPSEC_PROF
crypto ipsec profile ISC_IPSEC_PROFILE_1
crypto call admission limit ike sa 40
ip address 10.3.0.1 255.255.255.255
ip address 10.76.0.1 255.255.255.255
ip address 10.76.248.209 255.255.255.255
ip address 10.2.0.1 255.255.255.0
interface FastEthernet5/0
ip address 10.9.4.77 255.255.255.255
interface FastEthernet6/0
ip address 10.7.7.1 255.255.255.0
interface Virtual-Template1
interface Virtual-Template2 type tunnel
tunnel source Ethernet3/2
tunnel protection ipsec profile IPSEC_PROF
ip local pool ourpool 10.6.6.6
ip default-gateway 10.9.4.1
ip route 10.1.0.1 255.255.255.255 10.0.0.2
ip route 10.2.3.0 255.255.0.0 10.2.4.4
ip route 10.9.1.0 255.255.0.0 10.4.0.1
ip route 10.76.0.0 255.255.0.0 10.76.248.129
ip route 10.11.1.1 255.255.255.0 10.7.7.2
logging alarm informational
arp 10.9.4.1 0011.bcb4.d40a ARPA
radius-server host 10.76.248.201 auth-port 1645 acct-port 1646 key cisco
Easy VPN サーバにおけるユーザ単位アトリビュート:例
次に示すのは、Easy VPN サーバ上でユーザ単位アトリビュートが設定された場合の出力例です。
aaa authentication login default local
aaa authentication login noAAA none
aaa authorization network default local
aaa attribute list per-group
attribute type inacl "per-group-acl" service ike protocol ip mandatory
username example password 0 example
crypto isakmp xauth timeout 90
crypto isakmp client configuration group PerUserAAA
crypto aaa attribute list per-group
match identity group PerUserAAA
isakmp authorization list default
client configuration address respond
client configuration group PerUserAAA
crypto ipsec transform-set set esp-3des esp-sha-hmac
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.128
interface GigabitEthernet0/1
interface Virtual-Template1 type tunnel
ip unnumbered GigabitEthernet0/0
tunnel protection ipsec profile vi
ip local pool dpool 10.5.0.1 10.5.0.10
ip access-list extended per-group-acl
logging alarm informational
ネットワーク アドミッション コントロール:例
次に示すのは、Easy VPN サーバでネットワーク アドミッション コントロールがイネーブルになっている場合の出力例です。
(注) ネットワーク アドミッション コントロールは、IPsec 仮想インターフェイスが使用されている Easy VPN サーバ上に限ってサポートされます。ネットワーク アドミッション コントロールは、仮想テンプレート インターフェイス上でイネーブルになり、その仮想テンプレート インターフェイスを使用するすべての PC クライアントに適用されます。
Router# show running-config
Building configuration...
Current configuration : 5091 bytes
aaa authentication login userlist local
aaa authentication eou default group radius
aaa authorization network hw-client-groupname local
aaa accounting update newinfo
aaa accounting network acclist start-stop broadcast group radius
! Note 1: EAPoUDP packets will use the IP address of the loopback interface when sending the EAPoUDP hello to the Easy VPN client. Using the IP address ensures that the returning EAPoUDP packets come back encrypted and are associated with the correct virtual access interface. The ip admission (ip admission source-interface Loopback10) command is optional. Instead of using this command, you can specify the IP address of the virtual template to be an address in the inside network space as shown in the configuration of the virtual template below in Note 2.
ip admission source-interface Loopback10
ip admission name test eapoudp inactivity-time 60
eou clientless username cisco
eou clientless password cisco
username lab password 0 lab
username lab@easy password 0 lab
crypto isakmp key 0 cisco address 10.53.0.1
crypto isakmp client configuration group easy
configuration url tftp://10.13.0.9/Config-URL_TFTP.cfg
configuration version 111
match identity group easy
client authentication list userlist
isakmp authorization list hw-client-groupname
client configuration address respond
client configuration group easy
crypto ipsec security-association lifetime seconds 120
crypto ipsec transform-set set esp-3des esp-sha-hmac
crypto ipsec transform-set aes-trans esp-aes esp-sha-hmac
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac
set security-association lifetime seconds 3600
set transform-set set aes-trans transform-1
crypto dynamic-map dynmap 1
set transform-set aes-trans transform-1
ip address 10.61.0.1 255.255.255.255
interface FastEthernet0/0
ip address 10.13.11.173 255.255.255.255
interface FastEthernet0/1
ip address 10.55.0.1 255.255.255.255
interface Virtual-Template2 type tunnel
! Note2: Use the IP address of the loopback10. This ensures that the EAPoUDP packets that are attached to virtual-access interfaces that are cloned from this virtual template carry the source address of the loopback address and that response packets from the VPN client come back encrypted.
! Enable Network Admission Control for remote VPN clients.
tunnel protection ipsec profile vi
ip local pool dynpool 172.16.2.65 172.16.2.70
ip access-list extended ClientException
permit ip any host 10.61.0.1
ip access-list extended split-acl
permit ip host 10.13.11.185 any
permit ip 10.61.0.0 255.255.255.255 any
permit ip 10.71.0.0 255.255.255.255 any
permit ip 10.71.0.0 255.255.255.255 10.52.0.0 0.255.255.255
permit ip 10.55.0.0 255.255.255.255 any
ip radius source-interface FastEthernet0/0
access-list 102 permit esp any any
access-list 102 permit ahp any any
access-list 102 permit udp any any eq 21862
access-list 102 permit ospf any any
access-list 102 deny ip any any
access-list 195 deny ospf any any
access-list 195 permit ip 10.61.0.0 255.255.255.255 10.51.0.0 255.255.255.255
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server host 10.13.11.185 auth-port 1645 acct-port 1646 key cisco
radius-server vsa send accounting
radius-server vsa send authentication
パスワード エージングの設定:例
次に示すのは、Easy VPN クライアントに対してパスワードが失効しているかどうかを通知するパスワード エージング機能の設定例です。
Current configuration : 4455 bytes
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
boot system flash c2800nm-advsecurityk9-mz.124-7.9.T
aaa authentication login USERAUTH passwd-expiry group radius aaa authorization network branch local !
username cisco privilege 15 secret 5 $1$A3HU$bCWjlkrEztDJx6JJzSnMV1 !
crypto isakmp client configuration address-pool local dynpool !
crypto isakmp client configuration group branch
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac !
crypto isakmp profile profile2
client authentication list USERAUTH
match identity group branch
isakmp authorization list branch
client configuration address respond
set transform-set transform-1
interface GigabitEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
ip address 192.168.1.100 255.255.255.0
interface GigabitEthernet0/1
ip address 172.19.217.96 255.255.255.0
!interface Virtual-Template1 type tunnel
ip unnumbered Ethernet0/0
tunnel protection ipsec profile vi
ip local pool dpool 10.0.0.1 10.0.0.3
radius-server host 172.19.220.149 auth-port 1645 acct-port 1646 key cisco radius-server vsa send authentication !
スプリット DNS:例
次の例は、「101」というスプリット トンネル リストに、ネットワーク 10.168.0.0/16 が含まれていることを示すネットワーク情報です。内部 DNS サーバ 10.168.1.1 への DNS 要求を暗号化するには、このネットワーク情報を含める必要があります。
crypto isakmp client configuration group home
dns 10.168.1.1. 10.168.1.2
show コマンドの出力例
次に示すのは、 show コマンドによる出力例です。ここでは、ポリシー グループに www.ciscoexample1.com および www.ciscoexample2.com が追加されています。
Router# show running-config | security group
crypto isakmp client configuration group 831server
split-dns www.ciscoexample1.com
split-dns www.ciscoexample2.com
次に示すのは、 show コマンドによる出力例です。ここでは、現在設定されている DNS ビューが表示されています。
DNS View default parameters:
Default domain name: cisco.com
Lookup timeout: 3 seconds
Forwarding of queries is enabled
DNS View ezvpn-internal-view parameters:
Lookup timeout: 3 seconds
Forwarding of queries is enabled
次に示すのは、 show コマンドによる出力例です。ここでは、現在設定されている DNS ビュー リストが表示されています。
Router# show ip dns view-list
View-list ezvpn-internal-viewlist:
View ezvpn-internal-view:
Restrict to ip dns name-list: 1
次に示すのは、 show コマンドによる出力例です。ここでは、DNS 名リストが表示されています。
Router# show ip dns name-list
permit www.ciscoexample1.com
permit www.ciscoexample2.com
DHCP クライアント プロキシ:例
次に示すのは、 show コマンドおよび debug コマンドによる DHCP クライアント プロキシ情報の出力例です。
show コマンドの出力例
(注) show ip dhcp コマンドを使用するためには、DHCP サーバとして Cisco IOS サーバが使用されている必要があります。
次に示すのは、 show ip dhcp pool コマンドによる DHCP パラメータ情報の出力例です。
Router# show ip dhcp pool
Utilization mark (high/low) : 100 / 0
Subnet size (first/next) : 0 / 0
1 subnet is currently in the pool:
Current index IP address range Leased addresses
No relay targets associated with class aclass
次に示すのは、 show ip dhcp pool コマンドによる DHCP バインディング情報の出力例です。
Router# show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/User name
10.3.3.5 0065.7a76.706e.2d63. Apr 04 2006 06:01 AM Automatic 6c69.656e.74
debug コマンドの出力例
次に示すのは、DHCP クライアント プロキシのサポート情報に関するトラブルシューティングを行う際の debug crypto isakmp コマンドおよび debug ip dhcp server events コマンドの使用例です。
*Apr 3 06:01:32.047: ISAKMP: Config payload REQUEST *Apr 3 06:01:32.047: ISAKMP:(1002):checking request:
*Apr 3 06:01:32.047: ISAKMP: IP4_ADDRESS
*Apr 3 06:01:32.047: ISAKMP: IP4_NETMASK
*Apr 3 06:01:32.047: ISAKMP: MODECFG_CONFIG_URL
*Apr 3 06:01:32.047: ISAKMP: MODECFG_CONFIG_VERSION
*Apr 3 06:01:32.047: ISAKMP: IP4_DNS
*Apr 3 06:01:32.047: ISAKMP: IP4_DNS
*Apr 3 06:01:32.047: ISAKMP: IP4_NBNS
*Apr 3 06:01:32.047: ISAKMP: IP4_NBNS
*Apr 3 06:01:32.047: ISAKMP: SPLIT_INCLUDE
*Apr 3 06:01:32.047: ISAKMP: SPLIT_DNS
*Apr 3 06:01:32.047: ISAKMP: DEFAULT_DOMAIN
*Apr 3 06:01:32.047: ISAKMP: MODECFG_SAVEPWD
*Apr 3 06:01:32.047: ISAKMP: INCLUDE_LOCAL_LAN
*Apr 3 06:01:32.047: ISAKMP: PFS
*Apr 3 06:01:32.047: ISAKMP: BACKUP_SERVER
*Apr 3 06:01:32.047: ISAKMP: APPLICATION_VERSION
*Apr 3 06:01:32.047: ISAKMP: MODECFG_BANNER
*Apr 3 06:01:32.047: ISAKMP: MODECFG_IPSEC_INT_CONF
*Apr 3 06:01:32.047: ISAKMP: MODECFG_HOSTNAME
*Apr 3 06:01:32.047: ISAKMP/author: Author request for group homesuccessfully sent to AAA *Apr 3 06:01:32.047: ISAKMP:(1002):Input = IKE_MESG_FROM_PEER, IKE_CFG_REQUEST
*Apr 3 06:01:32.047: ISAKMP:(1002):Old State = IKE_P1_COMPLETE New State = IKE_CONFIG_AUTHOR_AAA_AWAIT
*Apr 3 06:01:32.047: ISAKMP:(1002):attributes sent in message:
*Apr 3 06:01:32.047: Address: 10.2.0.0
*Apr 3 06:01:32.047: Requesting DHCP Server0 address 10.3.3.3 *Apr 3 06:01:32.047: DHCPD: Sending notification of DISCOVER:
*Apr 3 06:01:32.047: DHCPD: htype 1 chaddr aabb.cc00.6600
*Apr 3 06:01:32.047: DHCPD: circuit id 00000000
*Apr 3 06:01:32.047: DHCPD: Seeing if there is an internally specified pool class:
*Apr 3 06:01:32.047: DHCPD: htype 1 chaddr aabb.cc00.6600
*Apr 3 06:01:32.047: DHCPD: circuit id 00000000
*Apr 3 06:01:34.063: DHCPD: Adding binding to radix tree (10.3.3.5) *Apr 3 06:01:34.063: DHCPD: Adding binding to hash tree *Apr 3 06:01:34.063: DHCPD: assigned IP address 10.3.3.5 to client 0065.7a76.706e.2d63.6c69.656e.74.
*Apr 3 06:01:34.071: DHCPD: Sending notification of ASSIGNMENT:
*Apr 3 06:01:34.071: DHCPD: address 10.3.3.5 mask 255.255.255.0
*Apr 3 06:01:34.071: DHCPD: htype 1 chaddr aabb.cc00.6600
*Apr 3 06:01:34.071: DHCPD: lease time remaining (secs) = 86400
*Apr 3 06:01:34.183: Obtained DHCP address 10.3.3.5 *Apr 3 06:01:34.183: ISAKMP:(1002):allocating address 10.3.3.5 *Apr 3 06:01:34.183: ISAKMP: Sending private address: 10.3.3.5 *Apr 3 06:01:34.183: ISAKMP: Sending subnet mask: 255.255.255.0
cTCP セッション:例
次に示すのは、cTCP セッション情報の debug crypto ctcp コマンドによる出力例です。この中には、出力結果に関するコメントも含まれています。
Router# debug crypto ctcp
! In the following two lines, a cTCP SYN packet is received from the client, and the cTCP connection is created.
*Sep 26 11:14:37.135: cTCP: Connection[648B50C0] 10.76.235.21:3519 10.76.248.239:10000: created
*Sep 26 11:14:37.135: cTCP: SYN from 10.76.235.21:3519
! In the following line, the SYN acknowledgement is sent to the client.
*Sep 26 11:14:37.135: cTCP: Sending SYN(680723B2)ACK(100C637) to 10.76.235.21:3519
! In the following two lines, an acknowledgement is received, and connection setup is complete. IKE packets should now be received on this newly created cTCP session.
*Sep 26 11:14:37.135: cTCP: Connection[648B50C0] 10.76.235.21:3519 10.76.248.239:10000: found
*Sep 26 11:14:37.135: cTCP: ACK from 10.76.235.21:3519
*Sep 26 11:14:37.727: cTCP: Connection[648B50C0] 10.76.235.21:3519 10.76.248.239:10000: found
*Sep 26 11:14:37.731: cTCP: updating PEER Seq number to 16828803l
*Sep 26 11:14:37.731: cTCP: Pak with contiguous buffer
*Sep 26 11:14:37.731: cTCP: mangling IKE packet from peer: 10.76.235.21:500->3519 10.76.248.239:500->500
*Sep 26 11:14:37.731: cTCP: Connection[648B50C0] 10.76.235.21:3519 10.76.248.239:10000: found
*Sep 26 11:14:37.799: cTCP: demangling outbound IKE packet: 10.76.248.239:500->500 10.76.235.21:3519->500
*Sep 26 11:14:37.799: cTCP: encapsulating IKE packet
*Sep 26 11:14:37.799: cTCP: updating LOCAL Seq number to 1745298727l
! The above lines show that after the required number of IKE packets are exchanged, IKE and IPsec SAs are created.
*Sep 26 11:14:40.335: cTCP: updating PEER Seq number to 16830431l
*Sep 26 11:14:40.335: cTCP: Pak with particles
*Sep 26 11:14:40.335: cTCP: encapsulating pak
*Sep 26 11:14:40.339: cTCP: datagramstart 0xF2036D8, network_start 0xF2036D8, size 112
*Sep 26 11:14:40.339: cTCP: Pak with contiguous buffer
*Sep 26 11:14:40.339: cTCP: allocated new buffer
*Sep 26 11:14:40.339: cTCP: updating LOCAL Seq number to 1745299535l
*Sep 26 11:14:40.339: IP: s=10.76.248.239 (local), d=10.76.235.21 (FastEthernet1/1), len 148, cTCP
! The above lines show that Encapsulating Security Payload (ESP) packets are now being sent and received.
AAA サーバによる VRF の割り当て:例
次に示すのは、VRF も IP アドレスも定義されていない場合の出力例です。
aaa authentication login VPN group radius
aaa authorization network VPN group radius
crypto isakmp profile example1
match identity group example1group
client authentication list VPN
isakmp authorization list VPN
client configuration address respond
crypto ipsec transform-set TS esp-3des esp-sha-hmac
crypto ipsec profile example1
set isakmp-profile example1
interface Virtual-Template10 type tunnel
! The next line shows that neither VRF nor an IP address has been defined.
tunnel protection ipsec profile example1
用語集
AAA:Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)。ユーザの身元の確認(認証)、リモート アクセス コントロール(認可)、課金、監査、およびレポートに使用するセキュリティ サーバ情報の収集と送信(アカウンティング)の方式を定めたセキュリティ サービスのフレームワークです。
Aggressive Mode(AM; アグレッシブ モード):Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ネゴシエーションを実行する際のモードです。Main Mode(MM; メイン モード)と比較すると、AM はいくつかのプロセスが省略されているため動作は速くなりますが、セキュリティ性能は低くなります。Cisco IOS ソフトウェアでは、アグレッシブ モードを開始した IKE ピアには、アグレッシブ モードで応答します。
AV のペア :アトリビュートと値(Attribute-Value)のペア。認可および認証の追加情報で、Cisco:AVPair= " protocol:attribute=value" という形式で表されます。
IKE:Internet Key Exchange(IKE; インターネット キー エクスチェンジ)。Oakley キー交換や Skeme キー交換を ISAKMP フレームワーク内部に実装したハイブリッド プロトコルです。IKE は、他のプロトコルでも使用できますが、初期実装されるのは IPsec です。IKE は、IPsec ピアを認証し、IPsec キーをネゴシエーションし、IPsec セキュリティ アソシエーションを実行します。
IPsec:IP Security Protocol(IPsec; IP セキュリティ プロトコル)。オープン規格のフレームワークであり、関与するピア間におけるデータの機密保持、データ整合性、データ認証を実現します。IPsec では、これらのセキュリティ サービスが IP レイヤで実現されます。IPsec では、ローカル ポリシーに基づいたプロトコルやアルゴリズムのネゴシエーションの処理や、IPsec に使用される暗号キーや認証キーの生成が、IKE を通じて行われます。IPsec は、1 組のホスト間、1 組のセキュリティ ゲートウェイ間、またはセキュリティ ゲートウェイとホスト間で 1 つ以上のデータ フローを保護するために使用できます。
ISAKMP:Internet Security Association and Key Management Protocol(ISAKMP; インターネット セキュリティ アソシエーションおよびキー管理プロトコル)。ペイロード形式、キー交換プロトコルの実装メカニズム、およびセキュリティ アソシエーションのネゴシエーションを定義するプロトコル フレームワークです。
MM:Main Mode(MM; メイン モード)。MM では、IKE ピアに対してより多くのセキュリティ プロポーザルが提供されます。そのため MM は、アグレッシブ モードに比べると動作速度は劣りますが、セキュリティ性能や柔軟性の面では優れたモードです。IKE 認証(RSA シグニチャ(rsa-sig)、RSA 暗号(rsa-encr)、または事前共有キー)では、MM がデフォルトで開始されます。
policy push :この機能を使用すると、管理者は、Cisco Easy VPN(ソフトウェア)クライアントおよび関連するファイアウォール ソフトウェアに対してセキュリティ ポリシーをプッシュできます。
RRI:Reverse Route Injection(RRI; 逆ルート注入)。冗長性やロード バランシングが求められる VPN の簡易型ネットワーク設計です。RRI は、ダイナミック クリプト マップとスタティック クリプト マップのどちらを使用する場合でも適用できます。
ダイナミック クリプト マップを使用した場合は、リモート ピアが、(RRI がイネーブルになった)ルータとの間で IPsec セキュリティ アソシエーションを確立すると、そのリモート ピアにより保護されているサブネットまたはホストごとに、スタティック ルートが作成されます。スタティック クリプト マップを使用した場合は、拡張アクセス リスト ルールの適用対象ごとに、スタティック ルートが作成されます。
SA:Security Association(SA; セキュリティ アソシエーション)。2 つ以上のエンティティ間で、安全な通信を行うためのセキュリティ サービスをどのように使用するかを規定したものです。たとえば IPsec の SA では、IPsec 接続の際に使用される暗号化アルゴリズム(使用される場合)、認証アルゴリズム、および共有セッション キーが定義されます。
IPsec および IKE では、接続パラメータの識別に必ず SA が使用されます。IKE では、独自に SA をネゴシエーションして確立できます。IPsec の SA は、IKE により確立することも、ユーザ設定により確立することもできます。
VPN :Virtual Private Network(VPN; バーチャル プライベート ネットワーク)。複数のピアで構成されるフレームワークで、各ピア間では、他のパブリック インフラストラクチャを介して機密データがセキュアに転送されます。このフレームワークでは、すべてのデータをトンネルして暗号化するプロトコルによって、着信ネットワーク トラフィックおよび発信ネットワーク トラフィックが保護されます。また、ネットワークをローカル トポロジの外部にまで拡張できるほか、リモート ユーザがダイレクト ネットワーク接続の状況を確認したり、その機能を利用したりすることも可能です。
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
Copyright © 2002-2010 Cisco Systems, Inc.
All rights reserved.
Copyright © 2002-2011, シスコシステムズ合同会社.
All rights reserved.