Transcription
CH A P T E R13Easy VPN および IPSec トンネルを使用したVPN の設定この章では、Cisco 819 �きるバーチャル プライベート �いて説明します。Cisco ルータと他のブロードバンド ベルの認証を実行し、2 �を暗号化する VPN �ト間とリモート アクセスの 2 種類の VPN がサポートされます。サイト間 VPN は、ブランチ オフィスとコーポレート �ます。リモート アクセス VPN �際にリモート �この章の例は、Cisco Easy VPN と IPSec トンネルを使用してリモート ��ト アクセス VPN の構成を示しています。図 13-1 は、一般的な構成例を示します。Cisco 819 シリーズ サービス統合型ルータ ソフトウェア コンフィギュレーション ガイドOL-23590-02-J13-1
第 13 章Easy VPN および IPSec トンネルを使用した VPN の設定Cisco Easy VPN図 13-1IPSec トンネルを使用したリモート アクセス VPN53246121782ࠗࡦ࠲ 続されたユーザ2VPN クライアント:Cisco 819 ��ーク アクセスを提供4VPN サーバ:Easy VPN サーバ5ネットワーク アドレスが 10.1.1.1 のコーポレート オフィス6IPSec トンネルCisco Easy VPNCisco Easy VPN クライアント機能を使用し、Cisco Unity Client ��このプロトコルでは、内部 IP アドレス、内部サブネット マスク、DHCP サーバ アドレス、WINS サーバ �ング フラグなど、ほとんどの VPN パラメータを IPSec サーバとして機能している VPN サーバで定義できます。Easy VPN サーバ対応のデバイスでは、PC 上で Cisco Easy VPN リモート �およびリモート作業者が開始した VPN トンネルを終了できます。Easy VPN � ルータを Easy VPN リモート �す。Cisco Easy VPN クライアント機能は、クライアント モードとネットワーク拡張モードの 2 �。デフォルト設定はクライアント モードで、クライアント ��ト ライアント サイトのネットワーク リソースにアクセスできます。IPSec � Cisco 819 ISR などの IPSec �ことにより、VPN 接続を作成できます。IPSec クライアントが VPN トンネル接続を開始すると、IPSec サーバは IPSec ポリシーを IPSec クライアントに転送し、対応する VPN トンネル接続を作成します。Cisco 819 シリーズ サービス統合型ルータ ソフトウェア コンフィギュレーション ガイド13-2OL-23590-02-J
第 13 章Easy VPN および IPSec トンネルを使用した VPN の設定設定作業(注)Cisco Easy VPN �1 �ョンで複数の VPN ��両方に IPSecVPN およびネットワーク アドレス変換 / ピア のネットワーク �の作業を実行します。 「IKE ポリシーの設定」(P.13-3) 「グループ ポリシー情報の設定」(P.13-5) 「クリプト 6) 「ポリシー 7) 「IPSec �設定」(P.13-8) 「IPSec �P.13-9) � マップの適用」(P.13-10) 「Easy VPN リモート なルータ機能と、NAT、DCHP、および VLAN を使用した PPPoE またはPPPoA この章の例は、Cisco 819 �しています。いずれの VPN ��があります。他のルータ モデルでの VPN �ウェア コンフィギュレーション マニュアルを参照してください。IKE ポリシーの設定インターネット �ーバル コンフィギュレーション �す。手順の概要1. crypto isakmp policy priority2. encryption {des 3des aes aes 192 aes 256}3. hash {md5 sha}4. authentication {rsa-sig rsa-encr pre-share}5. group {1 2 5}Cisco 819 シリーズ サービス統合型ルータ ソフトウェア コンフィギュレーション ガイドOL-23590-02-J13-3
第 13 章Easy VPN および IPSec トンネルを使用した VPN の設定設定作業6. lifetime seconds7. exit手順の詳細ステップ 1コマンドまたはアクション目的crypto isakmp policy priorityIKE ネゴシエーション時に使用される IKE �リティ番号の範囲は1 10000 で、プライオリティが最も高いのは 1です。Router(config)# crypto isakmp policy 1Router(config-isakmp)#ステップ 2encryption {des 3des aes aes 192 aes 256}IKE ��168 ビット �Router(config-isakmp)# encryption 3desRouter(config-isakmp)#ステップ 3hash {md5 sha}例:Router(config-isakmp)# hash md5Router(config-isakmp)#ステップ 4また、インターネット セキュリティ アソシエーション キーおよび管理(ISAKMP)ポリシー コンフィギュレーション モードを開始します。authentication {rsa-sig rsa-encr pre-share}例:IKE ポリシーに使用されるハッシュ �は、Message Digest ��フォルトは、Secure Hash標準(SHA-1)です。IKE ��指定します。Router(config-isakmp)# �ップ 5group {1 2 5}IKE ポリシーに使用される Diffie-Hellman ig-isakmp)# group 2Router(config-isakmp)#Cisco 819 シリーズ サービス統合型ルータ ソフトウェア コンフィギュレーション ガイド13-4OL-23590-02-J
第 13 章Easy VPN および IPSec トンネルを使用した VPN の設定設定作業ステップ e secondsIKE セキュリティ ム(60 86400 kmp)# lifetime 480Router(config-isakmp)#ステップ 7exitIKE ポリシー コンフィギュレーション �ローバル コンフィギュレーション )# exitRouter(config)#グループ ポリシー情報の設定グループ � コンフィギュレーション �す。手順の概要1. crypto isakmp client configuration group {group-name default}2. key name3. dns primary-server4. domain name5. exit6. ip local pool {default poolname} [low-ip-address [high-ip-address]]手順の詳細ステップ 1コマンドまたはアクション目的crypto isakmp client configuration group{group-name default}リモート �性を含む IKE ポリシー グループを作成します。また、ISAKMP グループ ポリシー コンフィギュレーション # crypto isakmp clientconfiguration group rtr-remoteRouter(config-isakmp-group)#ステップ 2グループ ポリシーの IKE 事前共有キーを指定します。key name例:Router(config-isakmp-group)# o 819 シリーズ サービス統合型ルータ ソフトウェア コンフィギュレーション ガイドOL-23590-02-J13-5
第 13 章Easy VPN および IPSec トンネルを使用した VPN �ョンステップ 3dns primary-server例:Router(config-isakmp-group)# dns 10.50.10.1Router(config-isakmp-group)#ステップ 4domain name目的グループのプライマリ ドメイン ネーム �(注)wins コマンドを使用して、グループにWINS �ループのドメイン uter(config-isakmp-group)# �ップ 5exitIKE グループ ポリシー �終了します。続いて、グローバル コンフィギュレーション -group)# exitRouter(config)#ステップ 6ip local pool {default poolname}[low-ip-address [high-ip-address]]例:Router(config)# ip local pool dynpool30.30.30.20 ル アドレス ��パラメータについては、『Cisco IOS DialTechnologies Command �ト � �グローバル コンフィギュレーション �す。手順の概要1. crypto map map-name isakmp authorization list list-name2. crypto map tag client configuration address [initiate respond]Cisco 819 シリーズ サービス統合型ルータ ソフトウェア コンフィギュレーション ガイド13-6OL-23590-02-J
第 13 章Easy VPN および IPSec トンネルを使用した VPN の設定設定作業手順の詳細ステップ 1コマンドまたはアクション目的crypto map map-name isakmp authorizationlist list-nameクリプト ��からのグループ ポリシーのキー ルックアップ(IKE �Router(config)# crypto map dynmap isakmpauthorization list rtr-remoteRouter(config)#ステップ 2crypto map tag client configuration address[initiate respond]リモート ��例:Router(config)# crypto map dynmap clientconfiguration address respondRouter(config)#ポリシー ルックアップのイネーブル化AAA を使用してポリシー �、グローバル ��要1. aaa new-model2. aaa authentication login {default list-name} method1 [method2.]3. aaa authorization {network exec commands level reverse-access configuration} {default list-name} [method1 [method2.]]4. username name {nopassword password password password encryption-typeencrypted-password}Cisco 819 シリーズ サービス統合型ルータ ソフトウェア コンフィギュレーション ガイドOL-23590-02-J13-7
第 13 章Easy VPN および IPSec トンネルを使用した VPN の設定設定作業手順の詳細ステップ 1コマンドまたはアクション目的aaa new-modelAAA アクセス コントロール uter(config)# aaa new-modelRouter(config)#ステップ 2aaa authentication login {default list-name} method1 [method2.]例:Router(config)# aaa authentication loginrtr-remote localRouter(config)#ステップ ��スを使用します。RADIUS �細については、『Securing User ServicesConfiguration Guide Library, Cisco IOS Release12.4T』および『Cisco IOS Security aa authorization {network exec commands level reverse-access configuration} {default list-name}[method1 [method2.]]PPP �ビス要求の AAA 。RADIUS �細については、『Securing User ServicesRouter(config)# aaa authorization networkrtr-remote localRouter(config)#ステップ 4選択したユーザのログイン時の AAA �ます。username name {nopassword passwordpassword password ion Guide Library, Cisco IOS Release12.4T』および『Cisco IOS Security � Cisco と暗号化パスワードCisco を指定しています。Router(config)# username Cisco password 0CiscoRouter(config)#IPSec �設定トランスフォーム セットは、特定のセキュリティ �せたものです。IKE �のトランスフォーム セットを使用してデータ �IKE �は、複数のトランスフォーム ��ランスフォーム ます。IPSec トランスフォーム �グローバル �し、次の手順を実行します。Cisco 819 シリーズ サービス統合型ルータ ソフトウェア コンフィギュレーション ガイド13-8OL-23590-02-J
第 13 章Easy VPN および IPSec トンネルを使用した VPN の設定設定作業手順の概要1. crypto ipsec transform-set transform-set-name transform1 [transform2] [transform3] [transform4]2. crypto ipsec security-association lifetime {seconds seconds kilobytes kilobytes}手順の詳細ステップ 1コマンドまたはアクション目的crypto ipsec transform-settransform-set-name transform1 [transform2][transform3] [transform4]トランスフォーム セット(IPSec セキュリティ の詳細については、『Cisco IOS Security outer(config)# crypto ipsec transform-setvpn1 esp-3des esp-sha-hmacRouter(config)#ステップ 2crypto ipsec security-association lifetime{seconds seconds kilobytes kilobytes}例:Router(config)# crypto ipsecsecurity-association lifetime seconds 86400Router(config)#(注)IPSec SA ネゴシエーション時のグローバル �ついては、『Cisco IOS Security ��動で確立したセキュリティ ��両方に同じトランスフォーム Sec �ナミック クリプト マップ �プト マップ パラメータ(IP �でも、リモート IPSec ピアからの新規の SA �。IPSec � コンフィギュレーション �す。手順の概要1. crypto dynamic-map dynamic-map-name dynamic-seq-num2. set transform-set transform-set-name [transform-set-name2.transform-set-name6]3. reverse-route4. exit5. crypto map map-name seq-num [ipsec-isakmp] [dynamic dynamic-map-name] [discover] [profileprofile-name]Cisco 819 シリーズ サービス統合型ルータ ソフトウェア コンフィギュレーション ガイドOL-23590-02-J13-9
第 13 章Easy VPN および IPSec トンネルを使用した VPN の設定設定作業手順の詳細ステップ 1コマンドまたはアクション目的crypto dynamic-map dynamic-map-namedynamic-seq-numダイナミック クリプト マップ エントリを作成し、クリプト マップ コンフィギュレーション モードを開始します。例:ステップ 2Router(config)# crypto dynamic-map dynmap �細については、『Cisco IOSSecurity Command Reference』を参照してくださset transform-set et-name6]クリプト マップ �ム onfig-crypto-map)# settransform-set vpn1Router(config-crypto-map)#ステップ 3reverse-route例:Router(config-crypto-map)# � 4exitクリプト マップ �します。詳細については、『Cisco IOS Security ��ローバル コンフィギュレーション pto-map)# exitRouter(config)#ステップ 5crypto map map-name seq-num [ipsec-isakmp][dynamic dynamic-map-name] [discover][profile profile-name]クリプト マップ r(config)# crypto map static-map 1ipsec-isakmp dynamic �へのクリプト マップの適用クリプト マップは、IP ��ーフェイスにクリプト �がすべてのトラフィックを SA ��Cisco 819 シリーズ サービス統合型ルータ ソフトウェア コンフィギュレーション ガイド13-10OL-23590-02-J
第 13 章Easy VPN および IPSec トンネルを使用した VPN の設定設定作業モート ��。ただし、パブリック フェイスにクリプト マップを適用するには、グローバル コンフィギュレーション �す。手順の概要1. interface type number2. crypto map map-name3. exit手順の詳細ステップ ce type numberクリプト �インターフェイス コンフィギュレーション # interface fastethernet 4Router(config-if)#ステップ 2crypto map map-name例:Router(config-if)# crypto map static-mapRouter(config-if)#ステップ 3exitクリプト ��『Cisco IOSSecurity Command �バル コンフィギュレーション pto-map)# exitRouter(config)#Easy VPN リモート コンフィギュレーションの作成IPSec リモート ルータとして機能するルータは、Easy VPN リモート ��があります。リモート �は、グローバル コンフィギュレーション �す。手順の概要1. crypto ipsec client ezvpn name2. group group-name key group-key3. peer {ipaddress hostname}4. mode {client network-extension network extension plus}Cisco 819 シリーズ サービス統合型ルータ ソフトウェア コンフィギュレーション ガイドOL-23590-02-J13-11
第 13 章Easy VPN および IPSec トンネルを使用した VPN の設定設定作業5. exit6. interface type number7. crypto ipsec client ezvpn name [outside inside]8. exit手順の詳細ステップ 1コマンドまたはアクション目的crypto ipsec client ezvpn nameCisco Easy VPN Remote sco Easy VPN Remote コンフィギュレーション # crypto ipsec client ップ 2group group-name key group-keyVPN 接続の IPSec グループおよび IPSec crypto-ezvpn)# groupezvpnclient key ��プ 3peer {ipaddress hostname}VPN 接続のピア IP �。例:Router(config-crypto-ezvpn)# �ップ 4mode {client network-extension networkextension 、ルータからDNS �場合だけです。VPN onfig-crypto-ezvpn)# mode clientRouter(config-crypto-ezvpn)#ステップ 5exitグローバル コンフィギュレーション pto-ezvpn)# exitRouter(config)#ステップ 6interface type number例:Router(config)# interface fastethernet 4Router(config-if)#Cisco Easy VPN �ェイスで、インターフェイス コンフィギュレーション モードを開始します。(注)ATM WAN �タの場合、このコマンドはinterface atm 0 になります。Cisco 819 シリーズ サービス統合型ルータ ソフトウェア コンフィギュレーション ガイド13-12OL-23590-02-J
第 13 章Easy VPN および IPSec トンネルを使用した VPN �ンステップ 7crypto ipsec client ezvpn nameinside]目的[outside 例:Router(config-if)# crypto ipsec clientezvpn ezvpnclient outsideRouter(config-if)#ステップ 8exitCisco Easy VPN リモートの設定を WAN �れにより、ルータは VPN 接続に必要な NAT またはポート � �グローバル コンフィギュレーション pto-ezvpn)# exitRouter(config)#Easy VPN の設定の検証次の例では、Easy VPN の接続を確認します。Router# show crypto ipsec client ezvpnTunnel name :ezvpnclientInside interface list:vlan 1Outside interface:fastethernet 4Current State:IPSEC ACTIVELast Event:SOCKET UPAddress:8.0.0.5Mask:255.255.255.255Default ��章で説明した VPN および IPSec トンネルのコンフィギュレーション ファイルの一部を示します。!aaa new-model!aaa authentication login rtr-remote localaaa authorization network rtr-remote localaaa session-id common!username Cisco password 0 Cisco!crypto isakmp policy 1encryption 3desauthentication pre-sharegroup 2lifetime 480!crypto isakmp client configuration group rtr-remotekey secret-passworddns 10.50.10.1 10.60.10.1domain company.compool dynpoolCisco 819 シリーズ サービス統合型ルータ ソフトウェア コンフィギュレーション ガイドOL-23590-02-J13-13
第 13 章Easy VPN および IPSec トンネルを使用した VPN の設定設定例!crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac!crypto ipsec security-association lifetime seconds 86400!crypto dynamic-map dynmap 1set transform-set vpn1reverse-route!crypto map static-map 1 ipsec-isakmp dynamic dynmapcrypto map dynmap isakmp authorization list rtr-remotecrypto map dynmap client configuration address respondcrypto ipsec client ezvpn ezvpnclientconnect autogroup 2 key secret-passwordmode clientpeer 192.168.100.1!interface fastethernet 4crypto ipsec client ezvpn ezvpnclient outsidecrypto map static-map!interface vlan 1crypto ipsec client ezvpn ezvpnclient inside!Cisco 819 シリーズ サービス統合型ルータ ソフトウェア コンフィギュレーション ガイド13-14OL-23590-02-J
Easy VPN サーバ対応の デバイスでは、リモート ルータを Easy VPN リモート �す。 Cisco Easy VPN クライアント機能は、クライアント モードとネットワーク拡張モードの 2 つのモード のいずれかに設定できます。
