この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、VTI トンネルの設定方法について説明します。
ASA は、仮想トンネル インターフェイス(VTI)と呼ばれる論理インターフェイスをサポートします。ポリシー ベース VPN の代替策として、仮想トンネル インターフェイスが設定されたピア間に VPN トンネルを作成することができます。これは、各トンネルの終端に IPsec プロファイルが付加されたルート ベースの VPN をサポートします。これは、動的または静的なルートの使用が可能です。VTI からの出力トラフィックは暗号化されてピアに送信され、VTI への入力トラフィックは関連付けされた SA によって復号化されます。
VTI を使用することにより、静的暗号マップのアクセス リストを設定してインターフェイスにマッピングすることが不要になります。すべてのリモート サブネットを追跡し、暗号マップのアクセス リストに含める必要がなくなります。展開が簡単になるほか、ダイナミック ルーティング プロトコルのルート ベースの VPN をサポートする静的 VTI があると、仮想プライベート クラウドの多くの要件を満たすこともできます。
VTI は IPsec モードのみで設定可能です。ASA で GRE トンネルを終了することはサポートされていません。
トンネル インターフェイスを使用するトラフィックには、動的または静的なルートを使用することができます。
VTI の MTU は、基盤となる物理インターフェイスに応じて自動的に設定されます。ただし、VTI を有効にした後で物理インターフェイス MTU を変更した場合は、新しい MTU 設定を使用するために VTI を無効にしてから再度有効にする必要があります。
ネットワーク アドレス変換を適用する必要がある場合、IKE および ESP パケットは、UDP ヘッダーにカプセル化されます。
IKE および IPsec のセキュリティ アソシエーションには、トンネル内のデータ トラフィックに関係なく、継続的にキーの再生成が行われます。これにより、VTI トンネルは常にアップした状態になります。
トンネル グループ名は、ピアが自身の IKEv1 または IKEv2 識別情報として送信するものと一致する必要があります。
LAN-to-LAN トンネル グループの IKEv1 では、トンネルの認証方式がデジタル証明書である場合、かつ/またはピアがアグレッシブ モードを使用するように設定されている場合、IP アドレス以外の名前を使用できます。
暗号マップに設定されるピア アドレスと VTI のトンネル宛先が異なる場合、VTI 設定と暗号マップの設定を同じ物理インターフェイスに共存させることができます。
デフォルトでは、VTI 経由のトラフィックは、すべて暗号化されます。
VTI インターフェイスのデフォルトのセキュリティレベルは 0 です。
VTI 経由のトラフィックを制御するため、VTI インターフェイスにアクセス リストを適用することができます。
VTI では BGP のみサポートされます。
ASA が IOS IKEv2 VTI クライアントを終端している場合は、IOS VTI クライアントによって開始されたこの L2L セッションのモード CFG 属性を ASA が取得できないため、IOS での設定交換要求を無効にします。
シングル モードでだけサポートされています。
ルーテッド モードのみでサポートされます。
DHCP リレーは、仮想トンネルインターフェイス(VTI)ではサポートされていません。
VTI トンネルを設定するには、IPsec プロポーザル(トランスフォーム セット)を作成します。IPsec プロポーザルを参照する IPsec プロファイルを作成した後で、IPsec プロファイルを持つ VTI インターフェイスを作成します。リモートピアには、同じ IPsec プロポーザルおよび IPsec プロファイル パラメータを設定します。SA ネゴシエーションは、すべてのトンネル パラメータが設定されると開始します。
 (注) |
VPN および VTI ドメインの両方に属し、物理インターフェイス上で BGP 隣接関係を持つ ASA では、次の動作が発生します。 インターフェイス ヘルスチェックによって状態の変更がトリガーされると、物理インターフェイスでのルートは、新しいアクティブなピアとの BGP 隣接関係が再確立されるまで削除されます。この動作は、論理 VTI インターフェイスには該当しません。 |
VTI 経由のトラフィックを制御するため、VTI インターフェイスにアクセス制御リストを適用することができます。IPsec トンネルから送信されるすべてのパケットに対して、ACL で発信元インターフェイスと宛先インターフェイスをチェックせずに許可するには、グローバル コンフィギュレーション モードで sysopt connection permit-vpn コマンドを入力します。
ACL をチェックせずに ASA を通過する IPsec トラフィックをイネーブルにするための次のコマンドを使用できます。
hostname(config)# sysopt connection permit-vpn
外部インターフェイスと VTI インターフェイスのセキュリティレベルが 0 の場合、VTI インターフェイスに ACL が適用されていても、same-security-traffic が設定されていなければヒットしません。
この機能を設定するには、グローバル コンフィギュレーション モードで intra-interface 引数を指定して same-security-traffic コマンドを実行します。
詳細については、インターフェイス内トラフィックの許可(ヘアピニング)を参照してください。
| ステップ 1 |
IPsec プロポーザル(トランスフォーム セット)を追加します。 |
| ステップ 2 |
IPsec プロファイルを追加します。 |
| ステップ 3 |
VTI トンネルを追加します。 |
VTI に関連付けられた IKE セッションを認証するには、事前共有キーまたは証明書のいずれかを使用できます。IKEv2 では、非対称認証方式とキーが使用できます。IKEv1 と IKEv2 のどちらも、VTI に使用するトンネル グループの下に事前共有キーを設定する必要があります。
IKEv1 を使用した証明書ベースの認証には、イニシエータで使用されるトラストポイントを指定する必要があります。レスポンダについては、tunnel-group コマンドでトラストポイントを設定する必要があります。IKEv2 では、イニシエータとレスポンダの両方について、認証に使用するトラストポイントを tunnel-group コマンドで設定する必要があります。
|
セキュリティ アソシエーションを確立するための IKEv1 トランスフォーム セットまたは IKEv2 IPsec プロポーザルを追加します。 IKEv1 トランスフォーム セットを追加します。 crypto ipsec ikev1 transform-set {transform-set-name | encryption | authentication } 例:encryption では、IPsec データ フローを保護するための暗号化方式を指定します。
authentication では、IPsec データ フローを保護するための暗号化方式を指定します
IKEv2 IPsec プロポーザルを追加します。
例:
例: |
IPsec プロファイルには、その参照先の IPsec プロポーザルまたはトランスフォーム セット内にある必要なセキュリティ プロトコルおよびアルゴリズムが含まれています。これにより、2 つのサイト間 VTI VPN ピアの間でセキュアな論理通信パスが確保されます。
| ステップ 1 |
プロファイル名を設定します。 crypto ipsec profile name 例: |
| ステップ 2 |
IKEv1 または IKEv2 プロポーザルを設定します。IKEv1 トランスフォーム セットまたは IKEv2 IPsec プロポーザルのいずれかを選択できます。 |
| ステップ 3 |
(任意)セキュリティ アソシエーションの期間を指定します。 set security-association lifetime { seconds number | kilobytes {number | unlimited}} 例: |
| ステップ 4 |
(任意)VTI トンネルの一端をレスポンダとしてのみ動作するように設定します。 responder-only
|
| ステップ 5 |
(任意)PFS グループを指定します。Perfect Forward Secrecy(PFS)は、暗号化された各交換に対し、一意のセッション キーを生成します。この一意のセッション キーにより、交換は、後続の復号化から保護されます。PFS を設定するには、PFS セッション キーを生成する際に使用する Diffie-Hellman キー導出アルゴリズムを選択する必要があります。キー導出アルゴリズムは、IPsec セキュリティ アソシエーション(SA)キーを生成します。各グループでは、異なるサイズの係数が使用されます。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。Diffie-Hellman グループは、両方のピアで一致させる必要があります。 set pfs {group1 | group2 | group5} 例: |
| ステップ 6 |
(任意)VTI トンネル接続の開始時に使用する証明書を定義するトラストポイントを指定します。 set trustpoint name 例: |
新しい VTI インターフェイスを作成して VTI トンネルを確立するには、次の手順を実行します。
(注) |
アクティブなトンネル内のルータが使用できないときにトンネルをアップした状態に保つため、IP SLA を実装します。http://www.cisco.com/go/asa-config の『ASA General Operations Configuration Guide』の「Configure Static Route Tracking」を参照してください。 |
| ステップ 1 |
新しいトンネル インターフェイスを作成します。 interface tunnel tunnel_interface_number 例:トンネル ID を 0 ~ 1024 の範囲で指定します。最大 1024 の VTI インターフェイスがサポートされます。
|
||
| ステップ 2 |
VTI インターフェイス の名前を入力します。 interface tunnel コマンド サブモードで、次のコマンドを入力します。 nameif interface name 例: |
||
| ステップ 3 |
VTI インターフェイスの IP アドレスを入力します。 ip address IP addressmask 例: |
||
| ステップ 4 |
トンネル送信元のインターフェイスを指定します。 tunnel source interface interface name 例: |
||
| ステップ 5 |
トンネル宛先の IP アドレスを指定します。 tunnel destination IP address 例: |
||
| ステップ 6 |
トンネルにトンネル モード IPsec IPv4 を設定します。 tunnel mode ipsec ipv4 例: |
||
| ステップ 7 |
トンネルに IPsec プロファイルを割り当てます。 tunnel protection ipsec IPsec profile 例:この新しい VTI は、IPsec サイト間 VPN の作成に使用できます。 |
フィードバック