この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco 819 サービス統合型ルータ(ISR)で設定できるバーチャル プライベート ネットワーク(VPN)の作成の概要について説明します。
Cisco ルータと他のブロードバンド デバイスは、インターネットへの高パフォーマンスな接続を提供しますが、多くのアプリケーションでは、高レベルの認証を実行し、2 つの特定のエンドポイント間でデータを暗号化する VPN 接続のセキュリティも必要です。
サイト間とリモート アクセスの 2 種類の VPN がサポートされます。サイト間 VPN は、ブランチ オフィスとコーポレート オフィスを接続する場合などに使用します。リモート アクセス VPN は、企業ネットワークにログインする際にリモート クライアントによって使用されます。
この章の例は、Cisco Easy VPN と IPSec トンネルを使用してリモート クライアントと企業ネットワーク間の接続を設定し、セキュアにするリモート アクセス VPN の構成を示しています。図 13-1 は、一般的な構成例を示します。
図 13-1 IPSec トンネルを使用したリモート アクセス VPN
|
|
|
|
|
|
|
|
|
|
|
Cisco Easy VPN クライアント機能を使用し、Cisco Unity Client プロトコルを実装することにより、面倒な設定作業が大幅に削減されます。このプロトコルでは、内部 IP アドレス、内部サブネット マスク、DHCP サーバ アドレス、WINS サーバ アドレス、およびスプリットトンネリング フラグなど、ほとんどの VPN パラメータを IPSec サーバとして機能している VPN サーバで定義できます。
Easy VPN サーバ対応のデバイスでは、PC 上で Cisco Easy VPN リモート ソフトウェアを実行しているモバイルおよびリモート作業者が開始した VPN トンネルを終了できます。Easy VPN サーバ対応のデバイスでは、リモート ルータを Easy VPN リモート ノードとして動作させることができます。
Cisco Easy VPN クライアント機能は、クライアント モードとネットワーク拡張モードの 2 つのモードのいずれかに設定できます。デフォルト設定はクライアント モードで、クライアント サイトの装置だけが中央サイトのリソースにアクセスできます。クライアント サイトのリソースは、中央サイトでは利用できません。ネットワーク拡張モードでは、中央サイトのユーザはクライアント サイトのネットワーク リソースにアクセスできます。
IPSec サーバを設定したら、サポート対象の Cisco 819 ISR などの IPSec クライアント上で最小限の設定を行うことにより、VPN 接続を作成できます。IPSec クライアントが VPN トンネル接続を開始すると、IPSec サーバは IPSec ポリシーを IPSec クライアントに転送し、対応する VPN トンネル接続を作成します。
(注) Cisco Easy VPN クライアント機能で設定できるのは、1 つの宛先ピアだけです。アプリケーションで複数の VPN トンネルを作成する必要がある場合、手動でクライアントおよびサーバ側の両方に IPSec VPN およびネットワーク アドレス変換/ピア アドレス変換(NAT/PAT)パラメータを設定する必要があります。
このネットワーク シナリオのルータを設定するには、次の作業を実行します。
• 「Easy VPN リモート コンフィギュレーションの作成」
この設定タスクの結果を示す例は「設定例」で提供されます。
(注) この章の手順では、基本的なルータ機能と、NAT、DCHP、および VLAN を使用した PPPoE または PPPoA がすでに設定されていることを前提とします。これらの設定作業を実行していない場合、「ルータの基本設定」を参照してください。
(注) この章の例は、Cisco 819 ルータのエンドポイント設定だけを示しています。いずれの VPN 接続も、両端のエンドポイントが適切に機能するように設定されている必要があります。他のルータ モデルでの VPN 設定については、必要に応じてソフトウェア コンフィギュレーション マニュアルを参照してください。
インターネット キー交換(IKE)を設定するには、グローバル コンフィギュレーション モードを開始し、次の手順を実行します。
1. crypto isakmp policy priority
2. encryption {des | 3des | aes | aes 192 | aes 256}
1. crypto isakmp client configuration group {group-name | default}
6. ip local pool {default | poolname } [ low-ip-address [ high-ip-address ]]
|
|
|
---|---|---|
crypto isakmp client configuration group { group-name | default } |
||
|
||
|
コマンドを使用して、グループに WINS サーバを指定することもできます。 | |
|
||
|
IKE グループ ポリシー コンフィギュレーション モードを終了します。続いて、グローバル コンフィギュレーション モードを開始します。 |
|
ip local pool {default | poolname} [low-ip-address [high-ip-address]] |
このコマンドの詳しい説明およびその他の設定可能なパラメータについては、『Cisco IOS Dial Technologies Command Reference』を参照してください。 |
1. crypto map map-name isakmp authorization list list-name
2. crypto map tag client configuration address [initiate | respond]
AAA を使用してポリシー ルックアップをイネーブルにするには、グローバル コンフィギュレーション モードを開始し、次の手順を実行します。
2. aaa authentication login {default | list-name } method1 [ method2 ...]
3. aaa authorization {network | exec | commands level | reverse-access | configuration} {default | list-name } [ method1 [ method2 ...]]
4. username name {nopassword | password password | password encryption-type encrypted-password }
|
|
|
---|---|---|
|
||
aaa authentication login {default | list-name} method1 [method2...] |
選択したユーザのログイン時の AAA 認証を指定し、使用する方式を指定します。 この例では、ローカル認証データベースを使用します。RADIUS サーバを使用することもできます。詳細については、『 Securing User Services Configuration Guide Library, Cisco IOS Release 12.4T』および『Cisco IOS Security Command Reference』を参照してください。 |
|
aaa authorization {network | exec | commands level | reverse-access | configuration} {default | list-name} [method1 [method2...]] |
PPP を含むすべてのネットワーク関連サービス要求の AAA 許可を指定してから、さらに許可方式を指定します。 この例では、ローカル許可データベースを使用します。RADIUS サーバを使用することもできます。詳細については、『 Securing User Services Configuration Guide Library, Cisco IOS Release 12.4T』および『Cisco IOS Security Command Reference』を参照してください。 |
|
username name {nopassword | password password | password encryption-type encrypted-password} |
トランスフォーム セットは、特定のセキュリティ プロトコルとアルゴリズムを組み合わせたものです。IKE のネゴシエーション中に、ピアは特定のトランスフォーム セットを使用してデータ フローを保護することに合意します。
IKE ネゴシエーションの実行時に、両ピアは、複数のトランスフォーム セットから両ピアに共通するトランスフォームを検索します。このようなトランスフォーム セットが検出された場合は、それが選択され、両方のピアの設定の一部として保護対象トラフィックに適用されます。
IPSec トランスフォーム セットとプロトコルを指定するには、グローバル コンフィギュレーション モードを開始し、次の手順を実行します。
1. crypto ipsec transform-set transform-set-name transform1 [ transform2 ] [ transform3 ] [ transform4 ]
2. crypto ipsec security-association lifetime { seconds seconds | kilobytes kilobytes }
|
|
|
---|---|---|
crypto ipsec transform-set transform-set-name transform1 [transform2] [transform3] [transform4] |
トランスフォーム セット(IPSec セキュリティ プロトコルとアルゴリズムの有効な組み合わせ)を定義します。 有効なトランスフォームおよび組み合わせの詳細については、『Cisco IOS Security Command Reference』を参照してください。 |
|
crypto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes} |
(注) 手動で確立したセキュリティ アソシエーションの場合は、ピアとのネゴシエーションが存在しないため、両方に同じトランスフォーム セットを指定する必要があります。
ダイナミック クリプト マップ ポリシーでは、ルータがすべてのクリプト マップ パラメータ(IP アドレスなど)を認識していない場合でも、リモート IPSec ピアからの新規の SA のネゴシエーション要求を処理します。
1. crypto dynamic-map dynamic-map-name dynamic-seq-num
2. set transform-set transform-set-name [ transform-set-name2...transform-set-name6 ]
5. crypto map map-name seq-num [ ipsec-isakmp ] [ dynamic dynamic-map-name ] [ discover ] [ profile profile-name ]
|
|
|
---|---|---|
crypto dynamic-map dynamic-map-name dynamic-seq-num |
ダイナミック クリプト マップ エントリを作成し、クリプト マップ コンフィギュレーション モードを開始します。 このコマンドの詳細については、『Cisco IOS Security Command Reference』を参照してください。 |
|
set transform-set transform-set-name [transform-set-name2...transform-set-name6] |
||
|
||
|
||
crypto map map-name seq-num [ipsec-isakmp] [dynamic dynamic-map-name] [discover] [profile profile-name] |
クリプト マップは、IP セキュリティ(IPSec)トラフィックが通過する各インターフェイスに適用されている必要があります。物理インターフェイスにクリプト マップを適用することにより、ルータがすべてのトラフィックを SA データベースに照合するようになります。デフォルト設定では、ルータはリモート サイト間に送信されるトラフィックを暗号化して、安全な接続を提供します。ただし、パブリック インターフェイスでは他のトラフィックの通過を許可し、インターネットへの接続を提供しています。
インターフェイスにクリプト マップを適用するには、グローバル コンフィギュレーション モードを開始し、次の手順を実行します。
|
|
|
---|---|---|
|
||
|
このコマンドの詳細については、『Cisco IOS Security Command Reference』を参照してください。 |
|
|
IPSec リモート ルータとして機能するルータは、Easy VPN リモート コンフィギュレーションを作成し、発信インターフェイスに割り当てる必要があります。
リモート コンフィギュレーションを作成するには、グローバル コンフィギュレーション モードを開始し、次の手順を実行します。
1. crypto ipsec client ezvpn name
2. group group-name key group-key
3. peer { ipaddress | hostname }
4. mode {client | network-extension | network extension plus}
次の設定例は、この章で説明した VPN および IPSec トンネルのコンフィギュレーション ファイルの一部を示します。