[Configuration] > [Site-to-Site VPN] > [Advanced] > [IKE Policies] > [Add/Edit IKE Policy]

[Priority #]：IKE ポリシーのプライオリティを設定する数字を入力します。範囲は 1 ～ 65535 で、1 が最高のプライオリティです。

[Encryption]：暗号化方式を選択します。これは、2 つの IPSec ピア間で伝送されるデータを保護する対称暗号化アルゴリズムです。次の中から選択できます。

[Hash]：データの整合性を保証するハッシュ アルゴリズムを選択します。パケットが、そのパケットに記されている発信元から発信されたこと、また搬送中に変更されていないことを保証します。

[Authentication]：各 IPSec ピアの ID を確立するために ASA が使用する認証方式を選択します。事前共有キーは拡大するネットワークに対応した拡張が困難ですが、小規模ネットワークではセットアップが容易です。次の選択肢があります。

[D-H Group]：Diffie-Hellman グループ ID を選択します。この ID は、2 つの IPSec ピアが、相互に共有秘密情報を転送するのではなく、共有秘密情報を取り出すために使用します。

[Lifetime (secs)]：[Unlimited] をオンにするか、SA ライフタイムを整数で入力します。デフォルトは 86,400 秒、つまり 24 時間です。ライフタイムを長くするほど、ASA は以後の IPSec セキュリティ アソシエーションをより緩やかにセットアップします。暗号化強度は十分なレベルにあるため、キーの再生成間隔を極端に短く（約 2 ～ 3 分ごとに）しなくてもセキュリティは保証されます。デフォルトをそのまま使用することを推奨します。

[Time Measure]：時間基準を選択します。ASA では次の値を使用できます。

[Configuration] > [Site-to-Site VPN] > [Advanced] > [IKE Policies] > [Add/Edit IKEv2 Policy]

[Priority #]：IKEv2 ポリシーのプライオリティを設定する数字を入力します。範囲は 1 ～ 65535 で、1 が最高のプライオリティです。

[Encryption]：暗号化方式を選択します。これは、2 つの IPSec ピア間で伝送されるデータを保護する対称暗号化アルゴリズムです。次の中から選択できます。

[D-H Group]：Diffie-Hellman グループ ID を選択します。この ID は、2 つの IPSec ピアが、相互に共有秘密情報を転送するのではなく、共有秘密情報を取り出すために使用します。

[Integrity Hash]：ESP プロトコルのデータ整合性を保証するためのハッシュ アルゴリズムを選択します。パケットが、そのパケットに記されている発信元から発信されたこと、また搬送中に変更されていないことを保証します。

[Pseudo-Random Function (PRF)]：SA で使用されるすべての暗号化アルゴリズムのためのキー関連情報の組み立てに使用される PRF を指定します。

[Lifetime (secs)]：[Unlimited] をオンにするか、SA ライフタイムを整数で入力します。デフォルトは 86,400 秒、つまり 24 時間です。ライフタイムを長くするほど、ASA は以後の IPsec セキュリティ アソシエーションをより迅速にセットアップします。暗号化強度は十分なレベルにあるため、キーの再生成間隔を極端に短く（約 2 ～ 3 分ごとに）しなくてもセキュリティは保証されます。デフォルトをそのまま使用することを推奨します。

ASA では次の値を使用できます。

このペインでは、IPSec ルールの新しいトンネル ポリシーを定義します。ここで定義する値は、[OK] をクリックした後に [IPSec Rules] テーブルに表示されます。すべてのルールは、デフォルトで [IPSec Rules] テーブルに表示されるとすぐにイネーブルになります。

[Tunnel Policy] ペインでは、IPSec（フェーズ 2）セキュリティ アソシエーション（SA）のネゴシエートで使用するトンネル ポリシーを定義できます。ASDM は、ユーザーのコンフィギュレーション編集結果を取り込みますが、[Apply] をクリックするまでは実行中のコンフィギュレーションに保存しません。

すべてのトンネル ポリシーでは、トランスフォーム セットを指定し、適用するセキュリティ アプライアンス インターフェイスを特定する必要があります。トランスフォーム セットでは、IPSec の暗号化処理と復号化処理を実行する暗号化アルゴリズムおよびハッシュ アルゴリズムを特定します。すべての IPSec ピアが同じアルゴリズムをサポートするとは限らないため、多くのポリシーを指定して、それぞれに 1 つのプライオリティを割り当てるようにすることもできます。その後セキュリティ アプライアンスは、リモートの IPSec ピアとネゴシエートして、両方のピアがサポートするトランスフォーム セットを一致させます。

トンネル ポリシーは、スタティックまたはダイナミックにすることができます。スタティック トンネル ポリシーでは、セキュリティ アプライアンスで IPSec 接続を許可する 1 つ以上のリモート IPSec ピアまたはサブネットワークを特定します。スタティック ポリシーを使用して、セキュリティ アプライアンスで接続を開始するか、またはリモート ホストから接続要求を受信するかどうかを指定できます。スタティック ポリシーでは、許可されるホストまたはネットワークを識別するために必要な情報を入力する必要があります。

ダイナミック トンネル ポリシーは、セキュリティ アプライアンスとの接続を開始することを許可されるリモート ホストについての情報を指定できないか、または指定しない場合に使用します。リモート VPN 中央サイト デバイスとの関係で、セキュリティ アプライアンスを VPN クライアントとしてしか使用しない場合は、ダイナミック トンネル ポリシーを設定する必要はありません。ダイナミック トンネル ポリシーが最も効果的なのは、リモートアクセス クライアントが、VPN 中央サイト デバイスとして動作するセキュリティ アプライアンスからユーザー ネットワークへの接続を開始できるようにする場合です。ダイナミック トンネル ポリシーは、リモートアクセス クライアントにダイナミックに割り当てられた IP アドレスがある場合、または多くのリモートアクセス クライアントに別々のポリシーを設定しないようにする場合に役立ちます。

[Configuration] > [Site-to-Site VPN] > [Advanced] > [Crypto Maps] > [Create / Edit IPsec Rule] > [Tunnel Policy (Crypto Map) - Basic]

• [Interface]：このポリシーを適用するインターフェイス名を選択します。

• [Policy Type]：このトンネル ポリシーのタイプとして、[Static] または [Dynamic] を選択します。

• [Priority]：ポリシーのプライオリティを入力します。

• [IKE Proposals (Transform Sets)]：IKEv1 および IKEv2 の IPsec プロポーザルを指定します。

  • [IKEv1 IPsec Proposal]：ポリシーのプロポーザル（トランスフォーム セット）を選択して [Add] をクリックすると、アクティブなトランスフォーム セットのリストに移動します。[Move Up] または [Move Down] をクリックして、リスト ボックス内でのプロポーザルの順番を入れ替えます。クリプト マップ エントリまたはダイナミック クリプト マップ エントリには、最大で 11 のプロポーザルを追加できます。

  • [IKEv2 IPsec Proposal]：ポリシーのプロポーザル（トランスフォーム セット）を選択して [Add] をクリックすると、アクティブなトランスフォーム セットのリストに移動します。[Move Up] または [Move Down] をクリックして、リスト ボックス内でのプロポーザルの順番を入れ替えます。クリプト マップ エントリまたはダイナミック クリプト マップ エントリには、最大で 11 のプロポーザルを追加できます。

• [Peer Settings - Optional for Dynamic Crypto Map Entries]：ポリシーのピア設定値を設定します。

  • [Connection Type]：（スタティック トンネル ポリシーでのみ有効）。bidirectional、originate-only、または answer-only を選択して、このポリシーの接続タイプを指定します。LAN-to-LAN 接続の場合は、bidirectional または answer-only（originate-only ではない）を選択します。LAN-to-LAN 冗長接続の場合は、answer-only を選択します。originate only を選択した場合は、最大 10 個の冗長ピアを指定できます。単方向に対してだけ、originate only または answer only を指定できます。どちらもデフォルトでイネーブルになっていません。

  • [IP Address of Peer to Be Added]：追加する IPSec ピアの IP アドレスを入力します。9.14(1) 以降、ASA は IKEv2 で複数のピアをサポートしています。最大 10 ピアをクリプトマップに追加できます。

• [Enable Perfect Forwarding Secrecy]：ポリシーの PFS をイネーブルにする場合にオンにします。PFS は、新しいキーはすべて、あらゆる過去のキーと関係しないという暗号化コンセプトです。IPSec ネゴシエーションでのフェーズ 2 キーは、PFS を指定しない限りフェーズ 1 に基づいて生成されます。

• [Diffie-Hellman Group]：PFS をイネーブルにする場合は、ASA がセッション キーの生成に使用する Diffie-Hellman グループも選択する必要があります。次の選択肢があります。

  • [Group 1（768 ビット）]：PFS を使用し、Diffie-Hellman Group 1 を使用して IPSec セッション キーを生成します。このときの素数と generator 数は 768 ビットです。このオプションは高い安全性を示しますが、より多くの処理オーバーヘッドを必要とします。

  • [Group 2（1024 ビット）]：PFS を使用し、Diffie-Hellman Group 2 を使用して IPSec セッション キーを生成します。このときの素数と generator 数は 1024 ビットです。このオプションは Group 1 より高い安全性を示しますが、より多くの処理オーバーヘッドを必要とします。

  • [Group 5（1536 ビット）]：PFS を使用し、Diffie-Hellman Group 5 を使用して IPSec セッション キーを生成します。このときの素数と generator 数は 1536 ビットです。このオプションは Group 2 より高い安全性を示しますが、より多くの処理オーバーヘッドを必要とします。

  • [Group 14 (2048-bits)]：完全転送秘密を使用し、IKEv2 に対して Diffie-Hellman グループ 14 を使用します。

  • [Group 19]：完全転送秘密を使用し、IKEv2 に対する Diffie-Hellman グループ 19 を使用して、ECDH をサポートします。

  • [Group 20]：完全転送秘密を使用し、IKEv2 に対して Diffie-Hellman グループ 20 を使用して、ECDH をサポートします。

  • [Group 21]：完全転送秘密を使用し、IKEv2 に対して Diffie-Hellman グループ 21 を使用して、ECDH をサポートします。

  • [Group 24]：完全転送秘密を使用し、IKEv2 に対して Diffie-Hellman グループ 24 を使用します。

[Configuration] > [Site-to-Site VPN] > [Advanced] > [Crypto Maps] > [Create / Edit IPsec Rule] > [Tunnel Policy (Crypto Map) - Advanced]

• [Enable NAT-T]：このポリシーの NAT Traversal（NAT-T）をイネーブルにします。

• [Enable Reverse Route Injection]：このポリシーの逆ルート注入をイネーブルにします。リバース ルート インジェクション（RRI）は、ダイナミック ルーティング プロトコルを使用する内部ルータのルーティング テーブルにデータを入力するために使用されます。ダイナミック ルーティング プロトコルの例としては、Open Shortest Path First（OSPF）、Enhanced Interior Gateway Routing Protocol（EIGRP）（ASA を実行する場合）、ルーティング情報プロトコル（RIP）（リモート VPN クライアントや LAN-to-LAN セッションに使用）があります。RRI は設定で行われ、静的とみなされます。設定が変更または削除されるまでそのままになります。ASA は、ルーティング テーブルにスタティック ルートを自動的に追加し、OSPF を使用してそれらのルートをプライベート ネットワークまたはボーダー ルータに通知します。送信元/宛先（0.0.0.0/0.0.0.0）を保護ネットワークとして指定する場合は、RRI をイネーブルにしないでください。デフォルトルートを使用するトラフィックに影響します。

  • [Dynamic]：ダイナミックに指定されている場合、RRI は IPsec セキュリティ アソシエーション（SA）の確立成功時に作成され、IPsec SA が削除されると削除されます。通常、RRI ルートは、ルートが存在せず、トラフィックを暗号化する必要がある場合に、トンネルを開始するために使用されます。ダイナミック RRI がサポートされると、トンネルが確立されるまでルートが存在しません。したがって、ダイナミック RRI が設定された ASA は通常、レスポンダとしてのみ動作します。

    （注）	ダイナミック RRI は IKEv2 ベースのスタティック暗号マップだけに適用されます。

• [Security Association Lifetime Settings]：セキュリティ アソシエーション（SA）の期間を設定します。このパラメータにより、IPsec SA キーのライフタイムの測定単位を指定します。ライフタイムは、IPsec SA が期限切れになるまでの存続期間を示し、新しいキーと再ネゴシエートする必要があります。

  • [Time]：時（hh）、分（mm）、および秒（ss）単位で SA のライフタイムを指定します。

  • [Traffic Volume]：キロバイト単位のトラフィックで SA ライフタイムを定義します。IPsec SA が期限切れになるまでのペイロード データのキロバイト数を入力します。最小値は 100 KB、デフォルト値は 10000 KB、最大値は 2147483647 KB です。

• [Static Type Only Settings]：スタティック トンネル ポリシーのパラメータを指定します。

  • [Device Certificate]：使用する証明書を選択します。デフォルトの [None]（事前共有キーを使用）以外の値を選択する場合。[None] 以外を選択すると、[Send CA certificate chain] チェックボックスがオンになります。

  • [Send CA certificate chain]：トラスト ポイント チェーン全体の伝送をイネーブルにします。

  • [IKE Negotiation Mode]：IKE ネゴシエーション モード（Main または Aggressive）を選択します。このパラメータにより、キー情報の交換と SA のセットアップを行う場合のモードを設定します。ネゴシエーションの発信側が使用するモードを設定し、応答側は自動ネゴシエーションします。Aggressive モードは高速で、使用するパケットと交換回数を少なくすることができますが、通信パーティの ID は保護されません。Main モードは低速で、パケットと交換回数が多くなりますが、通信パーティの ID を保護します。このモードはより安全性が高く、デフォルトで選択されています。[Aggressive] を選択すると、[Diffie-Hellman Group] リストがアクティブになります。

  • [Diffie-Hellman Group]：適用する Diffie-Hellman グループを選択します。Group 1（768 ビット）、Group 2（1024 ビット）Group 5（1536 ビット）の中から選択します。

• [ESP v3]：着信 ICMP エラー メッセージを、暗号化マップとダイナミック暗号化マップのどちらに対して検証するかを指定し、セキュリティ単位のアソシエーション ポリシーを設定するか、トラフィック フロー パケットをイネーブルにします。

  • [Validate incoming ICMP error messages]：IPsec トンネルを介して受信され、プライベート ネットワーク上の内部ホストが宛先のこれらの ICMP エラー メッセージを検証するかどうかを選択します。

  • [Enable Do Not Fragment (DF) policy]：IP ヘッダーに Do-Not-Fragment（DF）ビット セットを持つ大きなパケットを IPSec サブシステムがどのように処理するかを定義します。次のいずれかを選択します。

    [Clear DF bit]：DF ビットを無視します。

    [Copy DF bit]：DF ビットを維持します。

    [Set DF bit]：DF ビットを設定して使用します。

  • [Enable Traffic Flow Confidentiality (TFC) packets]：トンネルを通過するトラフィック プロファイルをマスクするダミーの TFC パケットをイネーブルにします。

    （注）	TFC をイネーブルにする前に、[Tunnel Policy (Crypto Map)] の [Basic] タブで IKE v2 IPsec プロポーザルが設定されていなければなりません。

    バースト、ペイロード サイズ、およびタイムアウト パラメータを使用して、指定した SA で不定期にランダムな長さのパケットを生成します。

[Configuration] > [Site-to-Site VPN] > [Advanced] > [Crypto Maps] > [Create / Edit IPsec Rule] > [Traffic Selection]

このペインでは、保護する（許可）トラフィックまたは保護しない（拒否）トラフィックを定義できます。

• [Action]：このルールで実行するアクションを指定します。選択肢は、[protect] と [do not protect] です。

• [Source]：送信元ホストまたはネットワークの IP アドレス、ネットワーク オブジェクト グループ、またはインターフェイス IP アドレスを指定します。ルールでは、送信元と宛先の両方で同じアドレスを使用できません。[...] をクリックして、次のフィールドを含む [Browse Source] ダイアログボックスを開きます。

  • [Add/Edit]：送信元アドレスまたはグループを追加するには、[IP Address] または [Network Object Group] を選択します。

  • [Delete]：エントリを削除します。

  • [Filter]：表示される結果をフィルタリングする IP アドレスを入力します。

  • [Name]：続くパラメータが、送信元ホストまたはネットワークの名前を指定することを示します。

  • [IP Address]：続くパラメータが、送信元ホストまたはネットワークのインターフェイス、IP アドレス、およびサブネット マスクを指定することを示します。

  • [Netmask]：IP アドレスに適用する標準サブネット マスクを選択します。このパラメータは、[IP Address] オプション ボタンを選択するときに表示されます。

  • [Description]：説明を入力します。

  • [Selected Source]：選択したエントリを送信元として含めるには [Source] をクリックします。

• [Destination]：宛先ホストまたはネットワークの IP アドレス、ネットワーク オブジェクト グループ、またはインターフェイス IP アドレスを指定します。ルールでは、送信元と宛先の両方で同じアドレスを使用できません。ここを ... [...] をクリックして、次のフィールドを含む [宛先の参照（Browse Destination）] ダイアログを開きます。

  • [Add/Edit]：[IP Address] または [Network Object Group] を選択して、宛先アドレスまたはグループを追加します。

  • [Delete]：エントリを削除します。

  • [Filter]：表示される結果をフィルタリングする IP アドレスを入力します。

  • [Name]：続くパラメータが、宛先ホストまたはネットワークの名前を指定することを示します。

  • [IP Address]：続くパラメータが、宛先ホストまたはネットワークのインターフェイス、IP アドレス、およびサブネット マスクを指定することを示します。

  • [Netmask]：IP アドレスに適用する標準サブネット マスクを選択します。このパラメータは、[IP Address] オプション ボタンを選択するときに表示されます。

  • [Description]：説明を入力します。

  • [Selected Destination]：選択したエントリを宛先として含めるには [Destination] をクリックします。

• [Service]：サービスを入力するか、または [...] をクリックして [Browse Service] ダイアログボックスを開き、サービスのリストから選択できます。

• [Description]：[Traffic Selection] のエントリの説明を入力します。

• More Options

  • [Enable Rule]：このルールをイネーブルにします。

  • [Source Service]：サービスを入力するか、[...] をクリックしてサービス参照ダイアログボックスを開き、サービスのリストから選択します。

  • [Time Range]：このルールを適用する時間範囲を定義します。

  • [Group]：続くパラメータが、送信元ホストまたはネットワークのインターフェイスとグループ名を指定することを示します。

  • [Interface]：IP アドレスのインターフェイス名を選択します。このパラメータは、[IP Address] オプション ボタンを選択するときに表示されます。

  • [IP address]：このポリシーが適用されるインターフェイスの IP アドレスを指定します。このパラメータは、[IP Address] オプション ボタンを選択するときに表示されます。

  • [Destination]：送信元、宛先のホストまたはネットワークについて、IP アドレス、ネットワーク オブジェクト グループ、またはインターフェイス IP アドレスを指定します。ルールでは、送信元と宛先の両方で同じアドレスを使用できません。これらのフィールドのいずれかで [...] をクリックし、次のフィールドを含む [Browse] ダイアログボックスを開きます。

  • [Name]：送信元または宛先のホストまたはネットワークとして使用するインターフェイス名を選択します。このパラメータは、[Name] オプション ボタンを選択するときに表示されます。これは、このオプションに関連付けられる唯一のパラメータです。

  • [Interface]：IP アドレスのインターフェイス名を選択します。このパラメータは、[Group] オプション ボタンをクリックするときに表示されます。

  • [Group]：送信元または宛先のホストまたはネットワークに指定されたインターフェイスに存在するグループの名前を選択します。リストにエントリが何もない場合は、既存グループの名前を入力できます。このパラメータは、[Group] オプション ボタンをクリックするときに表示されます。

• [Protocol and Service]：このルールに関連するプロトコル パラメータとサービス パラメータを指定します。

  （注）	「Any - any」IPsec ルールは使用できません。このタイプのルールにより、デバイスおよびそのピアが複数の LAN-to-LAN トンネルをサポートできなくなります。

  • [TCP]：このルールを TCP 接続に適用することを指定します。これを選択すると、[Source Port] グループ ボックスと [Destination Port] グループ ボックスも表示されます。

  • [UDP]：ルールを UDP 接続に適用することを指定します。これを選択すると、[Source Port] グループ ボックスと [Destination Port] グループ ボックスも表示されます。

  • [ICMP]：ルールを ICMP 接続に適用することを指定します。これを選択すると、[ICMP Type] グループ ボックスも表示されます。

  • [IP]：このルールを IP 接続に適用することを指定します。これを選択すると、[IP Protocol] グループ ボックスも表示されます。

  • [Manage Service Groups]：[Manage Service Groups] ペインを表示します。このパネルでは、TCP/UDP サービス/ポートのグループを追加、編集、または削除できます。

  • [Source Port] および [Destination Port]：[Protocol and Service] グループ ボックスで選択したオプション ボタンに応じて、TCP または UDP ポート パラメータが表示されます。

  • [Service]：個々のサービスのパラメータを指定しようとしていることを示します。フィルタの適用時に使用するサービス名とブーリアン演算子を指定します。

  • [Boolean operator]（ラベルなし）：[Service] ボックスで指定したサービスを照合するときに使用するブーリアン条件（等号、不等号、大なり、小なり、または範囲）を一覧表示します。

  • [Service]（ラベルなし）：照合対象のサービス（https、ldaps、その他）を特定します。range サービス演算子を指定すると、このパラメータは 2 つのボックスに変わります。ボックスに、範囲の開始値と終了値を入力します。

  • [...] ：サービスのリストが表示され、ここで選択したサービスが [Service] ボックスに表示されます。

  • [Service Group]：送信元ポートのサービス グループの名前を指定しようとしていることを示します。

  • [Service]（ラベルなし）：使用するサービス グループを選択します。

  • [ICMP Type]：使用する ICMP タイプを指定します。デフォルトは any です。[...] ボタンをクリックすると、使用可能なタイプのリストが表示されます。

• Options

  • [Time Range]：既存の時間範囲の名前を指定するか、または新しい範囲を作成します。

  • [...] ：[Add Time Range] ペインが表示され、ここで新しい時間範囲を定義できます。

  • [Please enter the description below (optional)]：ルールについて簡単な説明を入力するためのスペースです。