ASA/PIX:Cisco IOSルータのLAN-to-LAN IPSecトンネルの設定

ダウンロード オプション

  • PDF     (819.1 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (630.8 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (814.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2018 年 10 月 8 日
Document ID:63883

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、内部ネットワークが 1 つである PIX セキュリティ アプライアンス 7.x 以降または Adaptive Security Appliance(ASA)から、暗号イメージを実行する 2611 ルータへの IPSsec トンネルの設定方法を示します。話を簡単にするため、スタティック ルートを使用します。

ルータと PIX の間の LAN-to-LAN トンネル設定の詳細については、『ルータから PIX へ間の IPSec の設定』を参照してください。

PIX ファイアウォールと Cisco VPN 3000 コンセントレータの間の LAN-to-LAN トンネル設定の詳細については、『Cisco VPN 3000 コンセントレータと PIX ファイアウォール間の LAN-to-LAN IPSec トンネルの設定例』を参照してください。

LAN-to-LAN トンネルが PIX と VPN コンセントレータの間に存在するシナリオの詳細については、『PIX 7.x および VPN 3000 コンセントレータ間の IPSec トンネルの設定例』を参照してください。

複数の PIX 間の LAN-to-LAN トンネルが、VPN クライアントがハブ PIX を介してスポーク PIX にアクセスすることを許可するシナリオの詳細については、『TACACS+ 認証を使用した PIX/ASA 7.x 拡張 Spoke-to-Client VPN の設定例』を参照してください。

PIX/ASAセキュリティアプライアンスでソフトウェアバージョン8.xが稼働している場合の同様のシナリオについては、『SDM:ASA/PIXとIOSルータ間のサイト間IPSec VPNの設定例』を参照してください。

ASA関連の設定がASDM GUIを使用して表示され、ルータ関連の設定がCisco CP GUIを使用して表示される場合の同じシナリオの詳細については、『Configuration Professional:ASA/PIXとIOSルータ間のサイト間IPSec VPN(SVC)の設定例』を参照してください。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • PIX ソフトウェア バージョン 7.0 が稼働する PIX-525

  • Cisco IOS(R) ソフトウェア リリース 12.2(15)T13 が稼働する Cisco 2611 ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

PIX では、access-list および nat 0 コマンドが連携して機能します。10.1.1.0 ネットワーク上のユーザが 10.2.2.0 ネットワークにアクセスする際には、10.1.1.0 ネットワークのトラフィックを Network Address Translation(NAT; ネットワーク アドレス変換)を行わずに暗号化することを許可するために、アクセス リストが使用されます。ルータでは、10.2.2.0 ネットワークのトラフィックを NAT 変換せずに暗号化することを許可するために、route-map コマンドと access-list コマンドが使用されます。しかし、同じユーザが他の場所にアクセスする際には、Port Address Translation(PAT; ポート アドレス変換)によりアドレス 172.17.63.230 に変換されます。

トラフィックがトンネルでは PAT を通過しないようにし、インターネットへのトラフィックは PAT を通過するようにするためには、PIX セキュリティ アプライアンスで次の設定コマンドが必要です。 

access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0 0 0

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を参照してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。

ネットワーク図

このドキュメントでは、次のネットワーク セットアップを使用します。

ipsec-rtr-2-pix-asa-1.gif

コンフィギュレーション

これらの設定例は、コマンドライン インターフェイス用のものです。ASDM を使用して設定する場合は、このドキュメントの「Adaptive Security Device Manager(ASDM)を使用した設定」を参照してください。

本社の PIX 
HQPIX(config)#show run
PIX Version 7.0(0)102
names
!
interface Ethernet0
description WAN interface
nameif outside
security-level 0
ip address 172.17.63.229 255.255.255.240
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0 
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname HQPIX
domain-name cisco.com
ftp mode passive
clock timezone AEST 10

access-list Ipsec-conn extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
access-list nonat extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
pager lines 24
logging enable
logging buffered debugging
mtu inside 1500
mtu outside 1500
no failover
monitor-interface inside
monitor-interface outside
asdm image flash:/asdmfile.50073
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0
access-group 100 in interface inside
route outside 0.0.0.0 0.0.0.0 172.17.63.230 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server partner protocol tacacs+
username cisco password 3USUcOPFUiMCO4Jk encrypted
http server enable
http 10.1.1.2 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
crypto ipsec transform-set avalanche esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 3600
crypto ipsec df-bit clear-df outside
crypto map forsberg 21 match address Ipsec-conn
crypto map forsberg 21 set peer 172.17.63.230
crypto map forsberg 21 set transform-set avalanche
crypto map forsberg interface outside
isakmp identity address
isakmp enable outside
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash sha
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
tunnel-group 172.17.63.230 type ipsec-l2l
tunnel-group 172.17.63.230 ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map asa_global_fw_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect http
!
service-policy asa_global_fw_policy global
Cryptochecksum:3a5851f7310d14e82bdf17e64d638738
: end
SV-2-8#

ブランチ ルータ 
BranchRouter#show run
Building configuration...

Current configuration : 1719 bytes
!
! Last configuration change at 13:03:25 AEST Tue Apr 5 2005
! NVRAM config last updated at 13:03:44 AEST Tue Apr 5 2005
!
version 12.2
service timestamps debug datetime msec
service timestamps log uptime
no service password-encryption
!
hostname BranchRouter
!
logging queue-limit 100
logging buffered 4096 debugging
!
username cisco privilege 15 password 0 cisco
memory-size iomem 15
clock timezone AEST 10
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
!
!
!
crypto isakmp policy 11
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 172.17.63.229
!
!
crypto ipsec transform-set sharks esp-des esp-md5-hmac
!
crypto map nolan 11 ipsec-isakmp
set peer 172.17.63.229
set transform-set sharks
match address 120
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface Ethernet0/0
ip address 172.17.63.230 255.255.255.240
ip nat outside
no ip route-cache
no ip mroute-cache
half-duplex
crypto map nolan
!
interface Ethernet0/1
ip address 10.2.2.1 255.255.255.0
ip nat inside
half-duplex
!
ip nat pool branch 172.17.63.230 172.17.63.230 netmask 255.255.255.0
ip nat inside source route-map nonat pool branch overload
no ip http server
no ip http secure-server
ip classless
ip route 10.1.1.0 255.255.255.0 172.17.63.229
!
!
!
access-list 120 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 130 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 130 permit ip 10.2.2.0 0.0.0.255 any
!
route-map nonat permit 10
match ip address 130
!
call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
login
!
!
end

ASDM を使用した設定

この例では、ASDM GUI を使用した PIX の設定方法を示します。ブラウザを搭載し、IP アドレスが 10.1.1.2 である PC が、PIX の内部インターフェイス e1 に接続されています。PIX で http が有効であることを確認します。

この手順は、本社の PIX の ASDM 設定を示しています。

  1. PC を PIX に接続し、ダウンロード方式を選択します。

    ipsec-rtr-2-pix-asa-2.gif

    ASDM は、PIX から既存の設定をロードします。

    ipsec-rtr-2-pix-asa-3.gif

    次のウィンドウでは、監視ツールとメニューが示されます。

    ipsec-rtr-2-pix-asa-4.gif

  2. [Configuration] > [Features] > [Interfaces] の順に選択して、新しいインターフェイスの場合は [Add] を、既存の設定の場合は [Edit] を選択します。

    ipsec-rtr-2-pix-asa-5.gif

  3. 内部インターフェイスのセキュリティ オプションを選択します。

    ipsec-rtr-2-pix-asa-6.gif

  4. NAT 設定では、暗号化されたトラフィックは NAT の対象外になり、それ以外のすべてのトラフィックは外部インターフェイスに対しては NAT/PAT の対象です。

    ipsec-rtr-2-pix-asa-7.gif

  5. [VPN] > [General] > [Tunnel Group] の順に選択して、トンネル グループを有効にします。

    ipsec-rtr-2-pix-asa-8.gif

  6. [VPN] > [IKE] > [Global Parameters] の順に選択して、外部インターフェイス上で IKE を有効にします。

    ipsec-rtr-2-pix-asa-9.gif

  7. [VPN] > [IKE] > [Policies] の順に選択して、IKE ポリシーを選択します。

    ipsec-rtr-2-pix-asa-10.gif

  8. [VPN] > [IPsec] > [IPsec Rules] の順に選択して、ローカル トンネルとリモート アドレッシング用の [IPsec] を選択します。

    ipsec-rtr-2-pix-asa-11.gif

  9. [VPN] > [IPsec] > [Tunnel Policy] を選択して、トンネル ポリシーを選択します。

    ipsec-rtr-2-pix-asa-12.gif

  10. [VPN] > [IPsec] > [Transform Sets] の順に選択して、トランスフォーム セットを選択します。

    ipsec-rtr-2-pix-asa-13.gif

  11. [Routing] > [Routing] > [Static Route] の順に選択して、ゲートウェイ ルータへのスタティック ルートを選択します。この例では、簡単にするため、スタティック ルートはリモート VPN ピアを指します。

    ipsec-rtr-2-pix-asa-14.gif

確認

このセクションでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。OIT を使用して show コマンド出力の解析を表示します。

  • show crypto ipsec sa:フェーズ 2 のセキュリティ アソシエーションを表示します。

  • show crypto isakmp sa:フェーズ 1 のセキュリティ アソシエーションを表示します。

トラブルシュート

ASDM を使用すると、ロギングを有効にしてログを表示できます。

  • [Configuration] > [Properties] > [Logging] > [Logging Setup]の順に選択して、[Enable Logging] を選択し、[Apply] をクリックしてロギングを有効にします。

  • [Monitoring] > [Logging] > [Log Buffer] > [On Logging Level] の順に選択して、[Logging Buffer] を選択し、[View] をクリックしてログを表示します。

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。OIT を使用して show コマンド出力の解析を表示します。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug crypto ipsec:フェーズ 2 の IPSec ネゴシエーションを表示します。

  • debug crypto isakmp:フェーズ 1 の ISAKMP ネゴシエーションを表示します。

  • debug crypto engine:暗号化されたトラフィックを表示します。

  • clear crypto isakmp:フェーズ 1 に関連したセキュリティ アソシエーションをクリアします。

  • clear crypto sa:フェーズ 2 に関連したセキュリティ アソシエーションをクリアします。

  • debug icmp trace:ホストからの ICMP 要求が PIX に到達するかどうかを表示します。このデバッグを実行するには、access-list コマンドを設定に追加して、ICMP を許可する必要があります。

  • logging buffer debugging:PIX を通過する、ホストへの確立された接続と拒否された接続を表示します。情報は PIX ログ バッファに保存され、show log コマンドを使用して出力を確認できます。

関連情報

更新履歴

改定 発行日 コメント
1.0
07-Feb-2014
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています