VPN トンネルを通って内部インターフェイスから ASA による ASDM へのアクセスの設定例

ダウンロード オプション

  • PDF     (370.7 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (113.2 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (96.7 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2016 年 5 月 18 日
Document ID:118092

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、2 つの Cisco 適応型セキュリティ アプライアンス(ASA)ファイアウォールを使用して、LAN 間 VPN トンネルを設定する方法について説明します。Cisco Adaptive Security Device Manager(ASDM)は、パブリック側の外部インターフェイスを介してリモート ASA で実行され、通常のネットワーク トラフィックと ASDM トラフィックの両方を暗号化します。ASDM は、GUI を使用した ASA ファイアウォールのセットアップ、設定、およびモニタするために設計されているブラウザベースの設定ツールです。ASA ファイアウォール CLI の広範な知識は必要ありません。 

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • IPSec 暗号化
  • Cisco ASDM

:トポロジで使用されているすべてのデバイスが、『Cisco ASA 5500シリーズハードウェアインストールガイド』に記載されている要件を満たしていることを確認します。

ヒント:IPSec暗号化の基本を理解するには、Ciscoの記事「IP Security(IPSec)暗号化の概要」を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco ASA ファイアウォール ソフトウェア リリース 9.x。

  • ASA-1 および ASA-2 は Cisco ASA ファイアウォール 5520 です。

  • ASA 2 では ASDM バージョン 7.2(1) を使用しています。

注:ASDMのユーザ名とパスワードの入力を求められると、デフォルト設定ではユーザ名は必要ありません。イネーブル パスワードを以前に設定していた場合は、そのパスワードを ASDM パスワードとして入力します。イネーブル パスワードがない場合は、ユーザ名とパスワードの両方とも空白のままにして、[OK] をクリックして続行します。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

設定

このドキュメントで説明している機能を設定するには、この項で説明している情報を使用します。

ネットワーク図

118092-configure-asa-00-00.png

コンフィギュレーション

ASA-1 で使用されている構成を次に示します。

ASA-1
 
ASA Version 9.1(5)
!
hostname ASA-1
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 203.0.113.2 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.18.124.1 255.255.255.0
!
 
!--- Traffic matching ACL 101 is punted to VPN
!--- Encrypt/Decrypt traffic matching ACL 101 

access-list 101 extended permit ip 172.18.124.0 255.255.255.0 192.168.10.0
 255.255.255.0

!--- Do not use NAT
!--- on traffic matching below Identity NAT

object network obj_192.168.10.0
subnet 192.168.10.0 255.255.255.0

object network obj_172.18.124.0
subnet 172.18.124.0 255.255.255.0

nat (inside,outside) source static obj_172.18.124.0 obj_172.18.124.0 destination
 static obj_192.168.10.0 obj_192.168.10.0 no-proxy-arp route-lookup

!--- Configures a default route towards the gateway router.

route outside 0.0.0.0 0.0.0.0 203.0.113.252 1

!--- Point the configuration to the appropriate version of ASDM in flash

asdm image asdm-722.bin

!--- Enable the HTTP server required to run ASDM.
 
http server enable
 
!--- This is the interface name and IP address of the host or 
!--- network that initiates the HTTP connection.
 
http 172.18.124.102 255.255.255.255 inside
 
!--- Implicitly permit any packet that came from an IPsec 
!--- tunnel and bypass the checking of an associated access-group
!--- command statement for IPsec connections.
 
sysopt connection permit-vpn
 
!--- Specify IPsec (phase 2) transform set.
!--- Specify IPsec (phase 2) attributes.

crypto ipsec ikev1 transform-set vpn esp-3des esp-md5-hmac
crypto ipsec security-association pmtu-aging infinite
crypto map vpn 10 match address 101
crypto map vpn 10 set peer 198.51.100.2
crypto map vpn 10 set ikev1 transform-set vpn
crypto map vpn interface outside
 
!--- Specify ISAKMP (phase 1) attributes.
  
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
 
!--- Specify tunnel-group ipsec attributes.
 
tunnel-group 198.51.100.2 type ipsec-l2l
tunnel-group 198.51.100.2 ipsec-attributes
ikev1 pre-shared-key cisco

ASA-2 で使用されている構成を次に示します。

ASA-2
 
ASA Version 9.1(5)
!
hostname ASA-2
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 198.51.100.2 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0
!
  
!--- Traffic matching ACL 101 is punted to VPN
!--- Encrypt/Decrypt traffic matching ACL 101 

access-list 101 extended permit ip 192.168.10.0 255.255.255.0 172.18.124.0
 255.255.255.0
 
!--- Do not use NAT 
!--- on traffic matching below Identity NAT
 
object network obj_192.168.10.0
subnet 192.168.10.0 255.255.255.0
 
object network obj_172.18.124.0
subnet 172.18.124.0 255.255.255.0
 
nat (inside,outside) source static obj_192.168.10.0 obj_192.168.10.0 destination
 static obj_172.18.124.0 obj_172.18.124.0 no-proxy-arp route-lookup

!--- Configures a default route towards the gateway router.
 
route outside 0.0.0.0 0.0.0.0 198.51.100.252 1
 
!--- Point the configuration to the appropriate version of ASDM in flash

asdm image asdm-722.bin
 
!--- Enable the HTTP server required to run ASDM.
 
http server enable
 
!--- This is the interface name and IP address of the host or 
!--- network that initiates the HTTP connection.
 
http 192.168.10.102 255.255.255.255 inside

!--- Add an aditional 'http' configuration to allow the remote subnet
!--- to access ASDM over the VPN tunnel

http 172.18.124.0 255.255.255.0 outside
 
!--- Implicitly permit any packet that came from an IPsec 
!--- tunnel and bypass the checking of an associated access-group 
!--- command statement for IPsec connections.
 
sysopt connection permit-vpn
 
!--- Specify IPsec (phase 2) transform set.
!--- Specify IPsec (phase 2) attributes.

crypto ipsec ikev1 transform-set vpn esp-3des esp-md5-hmac
crypto ipsec security-association pmtu-aging infinite
crypto map vpn 10 match address 101
crypto map vpn 10 set peer 203.0.113.2
crypto map vpn 10 set ikev1 transform-set vpn
crypto map vpn interface outside
 
!--- Specify ISAKMP (phase 1) attributes.
  
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
  
!--- Specify tunnel-group ipsec attributes.
 
tunnel-group 203.0.113.2 type ipsec-l2l
tunnel-group 203.0.113.2 ipsec-attributes
ikev1 pre-shared-key cisco

VPN トンネルを通じた ASDM/SSH へのアクセス

ASA 1 の内部ネットワークから ASA 2 の内部インターフェイスを介して ASDM にアクセスするには、ここで説明しているコマンドを使用する必要があります。このコマンドを使用できるのは、1 つのインターフェイスに対してだけです。ASA-2 上で、次のように management-access inside コマンドを使用して、management-access を設定します。

management-access

確認

この項では、設定が正しく機能していることを検証するために使用できる情報を提供します。

注:特定のshowコマンドが、Cisco CLI Analyzer(登録ユーザ専用)でサポートされています。show コマンド出力の分析を表示するには、Cisco CLI アナライザを使用します。

以下のコマンドを使用して、設定を検証します。

  • フェーズ 1 が正しく確立されていることを検証するには、show crypto isakmp sa/show isakmp sa コマンドを入力します。
  • フェーズ 2 が正しく確立されていることを検証するには、show crypto ipsec sa を入力します。

コマンドの概要

VPN コマンドを各 ASA に入力すると、ASDM PC(172.18.124.102)と ASA-2 の内部インターフェイス(192.168.10.1)との間をトラフィックが通過するときに、VPN トンネルが確立されます。この時点で、ASDM PC は VPN トンネルを介して https://192.168.10.1 に到達して、ASA-2 の ASDM インターフェイスと通信できるようになります。

トラブルシュート

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

注:ASDM関連の問題をトラブルシューティングするには、シスコの記事「Cisco Adaptive Security Device Manager(ASDM)へのASA接続の問題」を参照してください。

debug 出力例

198.51.100.2 と 203.0.113.2 の間で形成されたトンネルを表示するには、次に示すように show crypto isakmp sa コマンドを入力します。

ASA-2(config)# show crypto isakmp sa

IKEv1 SAs:

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 203.0.113.2
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

192.168.10.0 255.255.255.0と172.18.124.0 255.255.255.0の間でトラフィックを通過させるトンネルを表示するには、次に示すようにshow crypto ipsec saコマンドを入力します。

ASA-2(config)# show crypto ipsec sa
interface: outside
 Crypto map tag: vpn, seq num: 10, local addr: 198.51.100.2
 
  access-list 101 extended permit ip 192.168.10.0 255.255.255.0
   172.18.124.0 255.255.255.0
  local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
  remote ident (addr/mask/prot/port): (172.18.124.0/255.255.255.0/0/0)
  current_peer: 203.0.113.2

  #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
  #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
  #pkts compressed: 0, #pkts decompressed: 0
  #pkts not compressed: 5, #pkts comp failed: 0, #pkts decomp failed: 0
  #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
  #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
  #TFC rcvd: 0, #TFC sent: 0
  #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
  #send errors: 0, #recv errors: 0
 
  local crypto endpt.: 198.51.100.2/0, remote crypto endpt.: 203.0.113.2/0
  path mtu 1500, ipsec overhead 58(36), media mtu 1500
  PMTU time remaining (sec): 0, DF policy: copy-df
  ICMP error validation: disabled, TFC packets: disabled
  current outbound spi: DDE6AD22
  current inbound spi : 92425FE5
 
 inbound esp sas:
  spi: 0x92425FE5 (2453823461)
   transform: esp-3des esp-md5-hmac no compression
   in use settings ={L2L, Tunnel, IKEv1, }
   slot: 0, conn_id: 28672, crypto-map: vpn
   sa timing: remaining key lifetime (kB/sec): (4373999/28658)
   IV size: 8 bytes
   replay detection support: Y
   Anti replay bitmap:
    0x00000000 0x0000003F
 outbound esp sas:
  spi: 0xDDE6AD22 (3722882338)
   transform: esp-3des esp-md5-hmac no compression
   in use settings ={L2L, Tunnel, IKEv1, }
   slot: 0, conn_id: 28672, crypto-map: vpn
   sa timing: remaining key lifetime (kB/sec): (4373999/28658)
   IV size: 8 bytes
   replay detection support: Y
   Anti replay bitmap:
    0x00000000 0x00000001

関連情報

更新履歴

改定 発行日 コメント
1.0
25-Aug-2014
初版
TAC Authored

シスコ エンジニア提供

  • ディンカーシャルマ
    Cisco TACエンジニア
  • プラシャント・ジョシ
    Cisco TACエンジニア
  • マグナス・モルテンセン
    Cisco TACエンジニア

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ