仮想トンネル インターフェイス

この章では、VTI トンネルの設定方法について説明します。

仮想トンネル インターフェイスについて

ASA は、仮想トンネルインターフェイス(VTI)と呼ばれる論理インターフェイスをサポートします。ポリシーベースの VPN の代わりに、VTI を使用してピア間に VPN トンネルを作成できます。VTI は、各トンネルの終端に IPsec プロファイルが付加されたルートベースの VPN をサポートします。動的ルートまたは静的ルートを使用できます。VTI からの出力トラフィックは暗号化されてピアに送信され、VTI への入力トラフィックは関連付けされた SA によって復号化されます。

VTI を使用することにより、静的暗号マップのアクセス リストを設定してインターフェイスにマッピングすることが不要になります。すべてのリモート サブネットを追跡し、暗号マップのアクセス リストに含める必要がなくなります。展開が簡単になるほか、ダイナミック ルーティング プロトコルのルート ベースの VPN をサポートするステティック VTI があると、仮想プライベートクラウドの多くの要件を満たすこともできます。

スタティック VTI

2 つのサイト間でトンネルが常にオンになっているサイト間接続用に、スタティック VTI 設定を使用できます。スタティック VTI インターフェイスの場合、物理インターフェイスをトンネルソースとして定義する必要があります。デバイスごとに最大 1024 の VTI を関連づけることができます。スタティック VTI インターフェイスを作成するには、VTI インターフェイスの追加を参照してください。

仮想トンネル インターフェイスの注意事項

コンテキストモードとクラスタリング

  • シングル モードでだけサポートされています。

  • クラスタリングはサポートされません。

ファイアウォール モード

ルーテッド モードのみでサポートされます。

IPv6 のサポート

IPv6 はサポートされていません。

一般的な設定時の注意事項

  • VTI は IPsec モードのみで設定可能です。ASA で GRE トンネルを終了することはサポートされていません。

  • トンネルインターフェイスを使用するトラフィックには、BGP ルートまたは静的ルートを使用することができます。

  • VTI の MTU は、基盤となる物理インターフェイスに応じて自動的に設定されます。ただし、VTI を有効にした後で物理インターフェイス MTU を変更した場合は、新しい MTU 設定を使用するために VTI を無効にしてから再度有効にする必要があります。

  • VTI は IKE のバージョン v1 および v2 をサポートしており、トンネルの送信元と宛先の間でのデータ送受信に IPsec を使用します。

  • NAT を適用する必要がある場合、IKE および ESP パケットは、UDP ヘッダーにカプセル化されます。

  • IKE および IPsec のセキュリティ アソシエーションには、トンネル内のデータ トラフィックに関係なく、継続的にキーの再生成が行われます。これにより、VTI トンネルは常にアップした状態になります。

  • トンネルグループ名は、ピアが自身の IKEv1 または IKEv2 識別情報として送信するものと一致する必要があります。

  • サイト間トンネルグループの IKEv1 では、トンネルの認証方式がデジタル証明書である場合、かつ/またはピアがアグレッシブモードを使用するように設定されている場合、IP アドレス以外の名前を使用できます。

  • 暗号マップに設定されるピア アドレスと VTI のトンネル宛先が異なる場合、VTI 設定と暗号マップの設定を同じ物理インターフェイスに共存させることができます。

  • VTI 経由のトラフィックを制御するため、VTI インターフェイスにアクセスルールを適用することができます。

  • ICMP ping は、VTI インターフェイス間でサポートされます。

  • IKEv2 サイト間 VPN トンネルのピアデバイスが IKEv2 設定要求ペイロードを送信した場合、ASA はデバイスとの IKEv2 トンネルを確立できません。ASA がピアデバイスとの VPN トンネルを確立するには、ピアデバイスで config-exchange 要求を無効にする必要があります。

デフォルト設定

  • デフォルトでは、VTI 経由のトラフィックは、すべて暗号化されます。

  • VTI インターフェイスのデフォルトのセキュリティレベルは 0 です。セキュリティレベルを設定することはできません。

VTI の制限事項

ASA は、VTI 復号の後にセキュリティグループタグ(SGT)フレームとパケットをドロップします。

VTI トンネルの作成

VTI トンネルを設定するには、IPsec プロポーザル(トランスフォーム セット)を作成します。IPsec プロポーザルを参照する IPsec プロファイルを作成した後で、IPsec プロファイルを持つ VTI インターフェイスを作成します。リモートピアには、同じ IPsec プロポーザルおよび IPsec プロファイル パラメータを設定します。SA ネゴシエーションは、すべてのトンネル パラメータが設定されると開始します。


(注)  


VPN および VTI ドメインの両方に属し、物理インターフェイス上で BGP 隣接関係を持つ ASA では、次の動作が発生します。

インターフェイス ヘルスチェックによって状態の変更がトリガーされると、物理インターフェイスでのルートは、新しいアクティブなピアとの BGP 隣接関係が再確立されるまで削除されます。この動作は、論理 VTI インターフェイスには該当しません。


VTI 経由のトラフィックを制御するため、VTI インターフェイスにアクセス制御リストを適用することができます。IPsec トンネルから送信されるすべてのパケットに対して、ACL で発信元インターフェイスと宛先インターフェイスをチェックせずに許可するには、グローバル コンフィギュレーション モードで sysopt connection permit-vpn コマンドを入力します。

ACL をチェックせずに ASA を通過する IPsec トラフィックをイネーブルにするための次のコマンドを使用できます。

hostname(config)# sysopt connection permit-vpn

外部インターフェイスと VTI インターフェイスのセキュリティレベルが 0 の場合、VTI インターフェイスに ACL が適用されていても、same-security-traffic が設定されていなければヒットしません。

この機能を設定するには、グローバル コンフィギュレーション モードで intra-interface 引数を指定して same-security-traffic コマンドを実行します。

手順


ステップ 1

IPsec プロポーザル(トランスフォーム セット)を追加します。

ステップ 2

IPsec プロファイルを追加します。

ステップ 3

VTI トンネルを追加します。


IPsec プロポーザル(トランスフォーム セット)の追加

トランスフォーム セットは、VTI トンネル内のトラフィックを保護するために必要です。これは、VPN 内のトラフィックを保護するためのセキュリティ プロトコルとアルゴリズムのセットであり、IPsec プロファイルの一部として使用されます。

始める前に

    • VTI に関連付けられた IKE セッションを認証するには、事前共有キーまたは証明書のいずれかを使用できます。IKEv2 では、非対称認証方式とキーが使用できます。IKEv1 と IKEv2 のどちらも、VTI に使用するトンネル グループの下に事前共有キーを設定する必要があります。

    • IKEv1 を使用した証明書ベースの認証には、イニシエータで使用されるトラストポイントを指定する必要があります。レスポンダについては、tunnel-group コマンドでトラストポイントを設定する必要があります。IKEv2 では、イニシエータとレスポンダの両方について、認証に使用するトラストポイントを tunnel-group コマンドで設定する必要があります。

    手順


    ステップ 1

    [Configuration] > [Site-to-Site VPN] > [Advanced] > [IPsec Proposals (Transform Sets)] を選択します。

    ステップ 2

    セキュリティ アソシエーションを確立するための IKEv1 または IKEv2 を設定します。

    • IKEv1 を設定します。

    1. [IKEv1 IPsec Proposals (Transform Sets)] パネルで [Add] をクリックします。

    2. [Set Name] を入力します。

    3. [Tunnel] チェックボックスは、デフォルトの選択のままにします。

    4. [ESP Encryption] および [ESP Authentication] を選択します。

    5. [OK] をクリックします。

    • IKEv2 を設定します。

    1. [IKEv2 IPsec Proposals] パネルで [Add] をクリックします。

    2. [Name] と [Encryption] を入力します。

    3. [Integrity Hash] を選択します。

    4. [OK] をクリックします。


    IPsec プロファイルの追加

    IPsec プロファイルには、その参照先の IPsec プロポーザルまたはトランスフォーム セット内にある必要なセキュリティ プロトコルおよびアルゴリズムが含まれています。これにより、2 つのサイト間 VTI VPN ピアの間でセキュアな論理通信パスが確保されます。

    手順


    ステップ 1

    [Configuration] > [Site-to-Site VPN] > [Advanced] > [IPsec Proposals (Transform Sets)] を選択します。

    ステップ 2

    [IPsec Profile] パネルで [Add] をクリックします。

    ステップ 3

    [Name] に IPsec プロファイル名を入力します。

    ステップ 4

    [IKE v1 IPsec Proposal] または [IKE v2 IPsec Proposal] に、IPsec プロファイルのために作成する IKE v1 IPsec プロポーザルまたは IKE v2 IPsec プロポーザルを入力します。IKEv1 トランスフォーム セットまたは IKEv2 IPsec プロポーザルのいずれかを選択できます。

    ステップ 5

    VTI トンネルの一端をレスポンダとしてのみ動作させる必要がある場合は、[Responder only] チェックボックスをオンにします。

    • VTI トンネルの一端をレスポンダとしてのみ動作するように設定できます。レスポンダのみの端は、トンネルまたはキー再生成を開始しません。

    • IKEv2 を使用する場合、セキュリティ アソシエーションのライフタイム期間は、イニシエータ側の IPsec プロファイルのライフタイム値より大きく設定します。こうすることで、イニシエータ側での正常なキー再生成が促進され、トンネルのアップ状態が保たれます。

    • イニシエータ側のキー再生成の設定が不明の場合、レスポンダのみのモードを解除して SA の確立を双方向にするか、レスポンダのみの端の IPsec ライフタイム値を無期限にして期限切れを防ぎます。

    ステップ 6

    (任意)[Enable security association lifetime] チェックボックスをオンにして、セキュリティ アソシエーションの期間の値をキロバイトおよびで入力します。

    ステップ 7

    (任意)[PFS Settings] チェックボックスをオンにして、必要な Diffie-Hellman グループを選択します。

    Perfect Forward Secrecy(PFS)は、暗号化された各交換に対し、一意のセッション キーを生成します。この一意のセッション キーにより、交換は、後続の復号化から保護されます。PFS を設定するには、PFS セッション キーを生成する際に使用する Diffie-Hellman キー導出アルゴリズムを選択する必要があります。キー導出アルゴリズムは、IPsec セキュリティ アソシエーション(SA)キーを生成します。各グループでは、異なるサイズの係数が使用されます。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。Diffie-Hellman グループは、両方のピアで一致させる必要があります。

    これにより、暗号キー決定アルゴリズムの強度が確立されます。ASA はこのアルゴリズムを使用して、暗号キーとハッシュ キーを導出します。

    ステップ 8

    (任意)[Enable sending certificate] チェックボックスをオンにして、VTI トンネル接続の開始時に使用する証明書を定義するトラストポイントを選択します。必要に応じて、[Chain] チェックボックスをオンにします。

    ステップ 9

    [OK] をクリックします。

    ステップ 10

    [IPsec Proposals (Transform Sets)] メイン パネルで [Apply] をクリックします。

    ステップ 11

    [Preview CLI Commands] ダイアログボックスで、[Send] をクリックします。


    VTI インターフェイスの追加

    新しい VTI インターフェイスを作成して VTI トンネルを確立するには、次の手順を実行します。


    (注)  


    アクティブなトンネル内のルータが使用できないときにトンネルをアップした状態に保つため、IP SLA を実装します。http://www.cisco.com/go/asa-config の『ASA General Operations Configuration Guide』の「Configure Static Route Tracking」を参照してください。


    手順


    ステップ 1

    [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] の順に選択します。

    ステップ 2

    [Add] > [VTI Interface] の順に選択します。[Add VTI Interface] ウィンドウが表示されます。

    ステップ 3

    [General] タブで次の手順を実行します。

    (注)  

     

    他のデバイスから ASA 5506-X に設定を移行する場合は、1 ~ 10413 の範囲のトンネル ID を使用します。これは、ASA 5506-X デバイスで使用可能なトンネル範囲 1 ~ 10413 に対応させるためです。

    1. VTI ID を入力します。範囲は 0 ~ 10413 です。最大 10413 の VTI インターフェイスがサポートされます。

    2. [Interface Name] を入力します。

    3. [インターフェイスの有効化(Enable Interface)] チェックボックスがオンになっていることを確認します。

    4. [パスモニタリング(Path Monitoring)] ドロップダウンリストから [IPv4] または [IPv6] を選択し、ピアの IP アドレスを入力します。

    5. [コスト(Cost)] を入力します。指定できる範囲は 1 ~ 65535 です。

      コストは、複数の VTI 間でトラフィックを負荷分散するための優先順位を決定します。最も小さい番号が最も高い優先順位になります。

    6. IP アドレスの設定:

      [アドレス(Address)] オプションボタンをクリックして、IP アドレスとサブネットマスクを設定します。

      または

      [アンナンバード(Unnumbered)] オプションボタンをクリックし、[IPアンナンバード(IP Unnumbered)] ドロップダウンリストからインターフェイスを選択して、その IP アドレスを借用します。リストからループバックインターフェイスまたは物理インターフェイスを選択することができます。

    ステップ 4

    [詳細(Advanced)] タブで次の操作を実行します。

    1. [Destination IP] に入力します。

    2. [送信元インターフェイス(Source Interface)] ドロップダウンリストから、トンネル送信元インターフェイスを選択します。

      ループバック インターフェイスまたは物理インターフェイスを選択することもできます。

    3. [IPsecポリシーによるトンネル保護(Tunnel Protection with IPsec Policy)] フィールドで、IPsec ポリシーを選択します。

    4. [Tunnel Protection with IPsec Profile] フィールドで、IPsec プロファイルを選択します。

    5. [Ensure the Enable Tunnel Mode IPv4 IPsec] チェックボックスをオンにします。

    ステップ 5

    [OK] をクリックします。

    ステップ 6

    [Interfaces] パネルで [Apply] をクリックします。

    ステップ 7

    [Preview CLI Commands] ダイアログボックスで、[Send] をクリックします。

    更新された設定が読み込まれると、新しい VTI がインターフェイスのリストに表示されます。この新しい VTI は、IPsec サイト間 VPN の作成に使用できます。


    ASA と IOS デバイスの間の VTI トンネル(IKEv2 を使用)の設定例

    ASA:
     
    crypto ikev2 policy 1
     encryption aes-gcm-256
     integrity null
     group 21
     prf sha512
     lifetime seconds 86400
    !
    crypto ipsec ikev2 ipsec-proposal gcm256
     protocol esp encryption aes-gcm-256
     protocol esp integrity null
    !
    crypto ipsec profile asa-vti
     set ikev2 ipsec-proposal gcm256
    !
    interface Tunnel 100
     nameif vti
     ip address 10.10.10.1 255.255.255.254
     tunnel source interface [asa-source-nameif]
     tunnel destination [router-ip-address]
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile asa-vti
    !
    tunnel-group [router-ip-address] ipsec-attributes
     ikev2 remote-authentication pre-shared-key cisco
     ikev2 local-authentication pre-shared-key cisco
    !
    crypto ikev2 enable [asa-interface-name]
     
     
    IOS :
     
    !
    crypto ikev2 proposal asa-vti 
     encryption aes-gcm-256
     prf sha512
     group 21
    !
    crypto ikev2 policy asa-vti 
     match address local [router-ip-address]
     proposal asa-vti
    !
    crypto ikev2 profile asa-vti
     match identity remote address [asa-ip-address] 255.255.255.255
     authentication local pre-share key cisco
     authentication remote pre-share key cisco
     no config-exchange request 
    !
    crypto ipsec transform-set gcm256 esp-gcm 256
    !
    crypto ipsec profile asa-vti
     set ikev2-profile asa-vti
     set transform-set gcm256
    !
    interface tunnel 100
     ip address 10.10.10.0 255.255.255.254
     tunnel mode ipsec ipv4
     tunnel source [router-interface]
     tunnel destination [asa-ip-address]
     tunnel protection ipsec profile asa-vti
    !

    仮想トンネルインターフェイスの機能履歴

    機能名

    リリース

    機能情報

    VTI での DHCP リレーサーバーのサポート

    9.14(1)

    ASA は、インターフェイスを接続する DHCP リレーサーバーとして VTI インターフェイスを設定することを可能にします。

    DHCP リレーに VTI インターフェイスを指定できるように次の画面が変更されました。

    [Configuration] > [Device Management] > [DHCP] > [DHCP Relay] > [DHCP Relay Interface Servers]

    VTI での IKEv2、証明書ベース認証、および ACL のサポート

    9.8(1)

    仮想トンネル インターフェイス(VTI)は、BGP(静的 VTI)をサポートするようになりました。スタンドアロン モードとハイ アベイラビリティ モードで、IKEv2 を使用できます。IPsec プロファイルにトラストポイントを設定することにより、証明書ベースの認証を使用できます。また、入力トラフィックをフィルタリングする access-group コマンドを使用して、VTI 上でアクセス リストを適用することもできます。

    次の画面で、証明書ベース認証のトラストポイントを選択するオプションが導入されました。

    [設定(Configuration)] > [サイト間VPN(Site-to-Site VPN)] > [詳細(Advanced)] > [IPsecプロポーザル(トランスフォームセット)(IPsec Proposals (Transform Sets))] > [IPsecプロファイル(IPsec Profile)] > [追加(Add)]

    仮想トンネルインターフェイス(VTI)のサポート

    9.7.(1)

    ASA が、仮想トンネルインターフェイス(VTI)と呼ばれる新しい論理インターフェイスによって強化されました。VTI はピアへの VPN トンネルを表すために使用されます。これは、トンネルの各終端に接続されている IPsec プロファイルを利用したルート ベースの VPN をサポートします。VTI を使用することにより、静的暗号マップのアクセス リストを設定してインターフェイスにマッピングすることが不要になります。

    次の画面が導入されました。

    [設定(Configuration)] > [サイト間VPN(Site-to-Site VPN)] > [詳細(Advanced)] > [IPsecプロポーザル(トランスフォームセット)(IPsec Proposals (Transform Sets))] > [IPsecプロファイル(IPsec Profile)]

    [設定(Configuration)] > [サイト間VPN(Site-to-Site VPN)] > [詳細(Advanced)] > [IPsecプロポーザル(トランスフォームセット)(IPsec Proposals (Transform Sets))] > [IPsecプロファイル(IPsec Profile)] > [追加(Add)] > [IPsecプロファイルの追加(Add IPsec Profile)]

    [設定(Configuration)] > [デバイスのセットアップ(Device Setup)] > [インターフェイスの設定(Interface Settings)] > [インターフェイス(Interfaces)] > [追加(Add)] > [VTIインターフェイス(VTI Interface)]

    [設定(Configuration)] > [デバイスのセットアップ(Device Setup)] > [インターフェイスの設定(Interface Settings)] > [インターフェイス(Interfaces)] > [追加(Add)] > [VTIインターフェイス(VTI Interface)] > [全般(General)]

    [設定(Configuration)] > [デバイスのセットアップ(Device Setup)] > [インターフェイスの設定(Interface Settings)] > [インターフェイス(Interfaces)] > [追加(Add)] > [VTIインターフェイス(VTI Interface)] > [詳細(Advanced)]