FlexVPN の VRF 認識型リモートアクセスの設定例

ダウンロードオプション

PDF (303.7 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (144.0 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (131.1 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2013 年 3 月 27 日

Document ID:116000

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

概要

前提条件

要件

使用するコンポーネント

表記法

設定

Network Topology

FlexVPN サーバの設定

Radius ユーザプロファイルの設定

確認

派生した仮想アクセスインターフェイス

暗号化セッション

トラブルシュート

概要

このドキュメントでは、リモートアクセスシナリオでの VPN ルーティングおよび転送（VRF）対応 FlexVPN の設定例を紹介します。この設定では、リモートアクセスAnyConnectクライアントを備えたトンネル集約デバイスとしてCisco IOS®ルータを使用します。

前提条件

要件

この設定例では、VPN 接続はマルチプロトコルラベルスイッチング（MPLS）プロバイダーエッジ（PE）デバイスで終端されます。この場合、トンネル終端ポイントは MPLS VPN（フロント VRF（FVRF））内です。暗号化トラフィックが復号化されると、クリアテキストトラフィックが別の MPLS VPN（内部 VRF（IVRF））に転送されます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

Cisco ASR 1000 シリーズアグリゲーションサービスルータ（FlexVPN サーバとして IOS-XE3.7.1 (15.2(4)S1) を使用）
Cisco AnyConnect セキュアモビリティクライアントおよび Cisco AnyConnect VPN Client バージョン 3.1
Microsoft ネットワークポリシーサーバ（NPS）RADIUS サーバ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細については、『シスコテクニカルティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

注：このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool（登録ユーザ専用）を参照してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。

Network Topology

このドキュメントでは、次のネットワークセットアップを使用します。

FlexVPN サーバの設定

FlexVPN サーバの設定の例を次に示します。

hostname ASR1K
!
aaa new-model
!
!
aaa group server radius lab-AD
 server-private 172.18.124.30 key Cisco123
!
aaa authentication login default local
aaa authentication login AC group lab-AD
aaa authorization network AC local 
!
aaa session-id common
!         
ip vrf fvrf
 rd 2:2
 route-target export 2:2
 route-target import 2:2
!
ip vrf ivrf
 rd 1:1
 route-target export 1:1
 route-target import 1:1
!
!
crypto pki trustpoint AC
 enrollment mode ra
 enrollment url http://lab-ca:80/certsrv/mscep/mscep.dll
 fqdn asr1k.labdomain.cisco.com
 subject-name cn=asr1k.labdomain.cisco.com
 revocation-check crl
 rsakeypair AC
!
!
crypto pki certificate chain AC
 certificate 433D7311000100000259
 certificate ca 52DD978E9680C1A24812470E79B8FB02
!
!
crypto ikev2 authorization policy default
 pool flexvpn-pool
 def-domain cisco.com
 route set interface
!
crypto ikev2 authorization policy AC 
 pool AC
 dns 10.7.7.129
 netmask 255.255.255.0
 banner ^CCC Welcome ^C
 def-domain example.com
!
crypto ikev2 proposal AC 
 encryption aes-cbc-256
 integrity sha1
 group 5
!
crypto ikev2 policy AC 
 match fvrf fvrf
 proposal AC
!
!
crypto ikev2 profile AC
 match fvrf fvrf
 match identity remote key-id cisco.com
 identity local dn 
 authentication remote eap query-identity
 authentication local rsa-sig
 pki trustpoint AC
 dpd 60 2 on-demand
 aaa authentication eap AC
 aaa authorization group eap list AC AC
 virtual-template 40
!
!
crypto ipsec transform-set AC esp-aes 256 esp-sha-hmac 
 mode tunnel
!
crypto ipsec profile AC
 set transform-set AC 
 set ikev2-profile AC
!
!
interface Loopback0
 description BGP source interface
 ip address 10.5.5.5 255.255.255.255
!
interface Loopback99
 description VPN termination point in the FVRF
 ip vrf forwarding fvrf
 ip address 7.7.7.7 255.255.255.255
!
interface Loopback100
 description loopback interface in the IVRF
 ip vrf forwarding ivrf
 ip address 6.6.6.6 255.255.255.255
!
interface GigabitEthernet0/0/1
 description MPLS IP interface facing the MPLS core
 ip address 20.11.11.2 255.255.255.0
 negotiation auto
 mpls ip
 cdp enable
!
!
!
interface Virtual-Template40 type tunnel
 no ip address
 tunnel mode ipsec ipv4
 tunnel vrf fvrf
 tunnel protection ipsec profile AC
!
router bgp 2
 bgp log-neighbor-changes
 redistribute connected
 redistribute static
 neighbor 10.2.2.2 remote-as 2
 neighbor 10.2.2.2 update-source Loopback0
 !
 address-family vpnv4
  neighbor 10.2.2.2 activate
  neighbor 10.2.2.2 send-community extended
 exit-address-family
 !
 address-family ipv4 vrf fvrf
  redistribute connected
  redistribute static
 exit-address-family
 !
 address-family ipv4 vrf ivrf
  redistribute connected
  redistribute static
 exit-address-family
!
ip local pool AC 192.168.1.100 192.168.1.150

Radius ユーザプロファイルの設定

RADIUS プロファイルに使用される主な設定は、2 つの Cisco ベンダー固有属性（VSA）の属性と値（AV）ペアです。これにより、動的に作成された仮想アクセスインターフェイスは IVRF に配置され、動的に作成された仮想アクセスインターフェイスの IP が有効になります。

ip:interface-config=ip unnumbered loopback100
ip:interface-config=ip vrf forwarding ivrf

Microsoft NPS では、ネットワークポリシーの設定が次の例に示すようになります。

caution 注意：ip vrf forwardingコマンドは、ip unnumberedコマンドの前に指定する必要があります。仮想アクセスインターフェイスが仮想テンプレートから複製され、その後 ip vrf forwarding コマンドが適用されると、仮想アクセスインターフェイスからすべての IP 設定が削除されます。トンネルは確立されますが、ポイントツーポイント（P2P）インターフェイスの CEF 隣接関係が不完全です。次に、show adjacency コマンドと不完全な結果の例を示します。

ASR1k#show adjacency virtual-access 1
Protocol Interface                 Address
IP       Virtual-Access1           point2point(6) (incomplete)

CEF 隣接関係が不完全な場合、すべてのアウトバウンド VPN トラフィックはドロップされます。

確認

ここでは、設定が正常に機能しているかどうかを確認します。派生した仮想アクセスインターフェイスを確認し、次に IVRF と FVRF の設定を確認します。

派生した仮想アクセスインターフェイス

作成された仮想アクセスインターフェイスが、仮想テンプレートインターフェイスから正しく複製されたものであり、RADIUS サーバからダウンロードされたユーザ別属性がすべて適用されていることを確認します。

ASR1K#sh derived-config interface virtual-access 1
Building configuration...Derived configuration : 250 bytes
!
interface Virtual-Access1
 ip vrf forwarding ivrf
 ip unnumbered Loopback100
 tunnel source 7.7.7.7
 tunnel mode ipsec ipv4
 tunnel destination 8.8.8.10
 tunnel vrf fvrf
 tunnel protection ipsec profile AC
 no tunnel protection ipsec initiate
end

暗号化セッション

コントロールプレーン出力で IVRF 設定と FVRF 設定を確認します。

以下は show crypto sessiond コマンドの出力例です。

ASR1K#show crypto session detail
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection     
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation     
X - IKE Extended Authentication, F - IKE Fragmentation

Interface: Virtual-Access1
Uptime: 00:23:19
Session status: UP-ACTIVE     
Peer: 8.8.8.10 port 57966 fvrf: fvrf ivrf: ivrf
      Phase1_id: cisco.com
      Desc: (none)
  IKEv2 SA: local 7.7.7.7/4500 remote 8.8.8.10/57966 Active 
          Capabilities:(none) connid:1 lifetime:23:36:41
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 192.168.1.103 
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 95 drop 0 life (KB/Sec) 4607990/2200
        Outbound: #pkts enc'ed 44 drop 0 life (KB/Sec) 4607997/2200

以下は show crypto IKEv2 session detail コマンドの出力例です。

ASR1K#show crypto ikev2 sess detail
 IPv4 Crypto IKEv2 Session 

Session-id:4, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local                 Remote                fvrf/ivrf            Status 
1         7.7.7.7/4500          8.8.8.10/57966        fvrf/ivrf            READY  
      Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: RSA, Auth verify: EAP
      Life/Active Time: 86400/1298 sec
      CE id: 1004, Session-id: 4
      Status Description: Negotiation done
      Local spi: EE87373C2C2643CA       Remote spi: F80C8A4CB4143091
      Local id: cn=asr1k.labdomain.cisco.com,hostname=asr1k.labdomain.cisco.com
      Remote id: cisco.com
      Remote EAP id: user1
      Local req msg id:  1              Remote req msg id:  43        
      Local next msg id: 1              Remote next msg id: 43        
      Local req queued:  1              Remote req queued:  43        
      Local window:      5              Remote window:      1         
      DPD configured for 60 seconds, retry 2
      NAT-T is detected  outside
      Cisco Trust Security SGT is disabled
      Assigned host addr: 192.168.1.103
      Initiator of SA : No
Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
          remote selector 192.168.1.103/0 - 192.168.1.103/65535
          ESP spi in/out: 0x88F2A69E/0x19FD0823  
          AH spi in/out: 0x0/0x0  
          CPI in/out: 0x0/0x0  
          Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
          ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

 IPv6 Crypto IKEv2 Session 

ASR1K#

トラブルシュート

現在、この設定に関する特定のトラブルシューティング情報はありません。

FlexVPN の VRF 認識型リモートアクセスの設定例

ダウンロードオプション

偏向のない言語

翻訳について

内容

概要

前提条件

要件

使用するコンポーネント

表記法

設定

Network Topology

FlexVPN サーバの設定

Radius ユーザプロファイルの設定

確認

派生した仮想アクセスインターフェイス

暗号化セッション

トラブルシュート

関連情報

更新履歴

シスコエンジニア提供

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

FlexVPN の VRF 認識型リモート アクセスの設定例

ダウンロード オプション

偏向のない言語

翻訳について

内容

更新履歴

シスコ エンジニア提供

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

FlexVPN の VRF 認識型リモートアクセスの設定例

ダウンロードオプション

シスコエンジニア提供