ナビゲーション パス

> [サイト間（Site To Site）]。その後、[VPN の追加（Add VPN）] > [Firepower Threat Defense デバイス（Firepower Threat Defense Device）]、またはリストされている VPN トポロジを編集します。[エンドポイント（Endpoint）] タブを開きます。

フィールド

Device

展開するエンドポイント ノードを選択します。

• この FTD で管理する Firepower Management Center デバイス。

• この FTD で管理する Firepower Management Center ハイ アベイラビリティ コンテナ。

• [エクストラネット（Extranet）] デバイス。この Firepower Management Center の管理対象ではない任意のデバイス（シスコまたはサードパーティ）。

デバイス名（Device Name）

エクストラネット デバイスの場合のみ、このデバイスの名前を入力します。シスコでは、管理対象ではないデバイスとして識別できるような名前を付けることを推奨します。

インターフェイス（Interface）

エンドポイントとして管理対象デバイスを選択した場合は、その管理対象デバイスのインターフェイスを選択します。

「ポイントツーポイント」展開の場合、ダイナミック インターフェイスを使用してエンドポイントを設定することもできます。ダイナミック インターフェイスを使用したエンドポイントはエクストラネット デバイスとのみペアリングできます。管理対象デバイスを持つエンドポイントとはペアリングできません。

[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの追加/編集（Add/Edit device）] > [インターフェイス（Interfaces）] でデバイスのインターフェイスを設定できます。

IP Address

• Firepower Management Center の管理対象デバイスではないエクストラネット デバイスを選択した場合は、エンドポイントの IP アドレスを指定します。

  ポイントツーポイント トポロジーと IKEv1 のみを選択した場合は、プライマリ IP アドレスとバックアップ ピアの IP アドレスをカンマで区切って入力することでバックアップ ピアを設定できます。

• エンドポイントとして管理対象デバイスを選択した場合は、ドロップダウン リストから 1 つの IPv4 アドレスまたは複数の IPv6 アドレスを選択します（これらはすでにこの管理対象デバイスのこのインターフェイスに割り当てられているアドレスです）。

• トポロジ内のすべてのエンドポイントは、同じ IP アドレッシング方式でなければなりません。IPv4 トンネルは IPv6 トラフィックを伝送でき、逆もまた同様です。保護ネットワークでは、トンネルするトラフィックで使用するアドレッシング方式が定義されます。

• 管理対象デバイスがハイ アベイラビリティ コンテナである場合は、インターフェイスのリストから選択します。

この IP はプライベートです（This IP is Private）

エンドポイントが、ネットワーク アドレス変換（NAT）を備えたファイアウォールの背後に配置されている場合は、このチェックボックスをオンにします。

パブリック IP アドレス（Public IP address）

[この IP はプライベートです（This IP is Private）] チェックボックスがオンの場合は、ファイアウォールのパブリック IP アドレスを指定します。エンドポイントがレスポンダの場合は、この値を指定します。

接続タイプ（Connection Type）

許可されるネゴシエーションを、bidirectional、answer-only、または originate-only として指定します。接続タイプのサポートされる組み合わせは次のとおりです。

表 1. 接続タイプのサポートされる組み合わせ

リモート ノード	中央ノード
Originate-Only	Answer-Only
Bi-Directional	Answer-Only
Bi-Directional	Bi-Directional

証明書マップ

事前構成された証明書マップ オブジェクトを選択するか、受信したクライアント証明書に必要な情報が VPN 接続に有効であることを定義する証明書マップ オブジェクトを追加アイコン（）をクリックして追加します。詳細については、「FTD 証明書のマップ オブジェクトについて」を参照してください。

保護されたネットワーク（Protected Networks）

この VPN エンドポイントによって保護されるネットワークを定義します。このエンドポイントによって保護されるネットワークを定義するサブネット/IP アドレスのリストを選択することで、ネットワークにマークを付けることができます。追加アイコン（）をクリックして、使用可能なネットワーク オブジェクトから選択するか、新しいネットワーク オブジェクトを追加します。ネットワーク オブジェクトの作成を参照してください。アクセス コントロール リストがここで選択されたものから生成されます。

• [サブネット/IP アドレス（ネットワーク）（Subnet/IP Address (Network)）]：VPN エンドポイントは同じ IP アドレスを持つことはできません。また、VPN エンドポイント ペアの保護されたネットワークは重複することはできません。エンドポイントについて保護されたネットワークのリストに 1 つ以上の IPv4 または IPv6 エントリが含まれている場合、他のエンドポイントの保護されたネットワークは、同じタイプ（つまり、IPv4 または IPv6）のエントリを少なくとも 1 つ持っていることが必要です。このようなエントリを持っていない場合、他のエンドポイントの IP アドレスが同じタイプであること、および保護されたネットワーク内でエントリが重複しないことが必要です。（IPv4 については/32 CIDR アドレスを使用し、IPv6 については/128 CIDR アドレス ブロックを使用します）。これらの両方のチェックに失敗すると、エンドポイントのペアは機能しません。

  （注）

  [サブネット/IPアドレス（ネットワーク）（Subnet/IP Address (Network)）] はデフォルトの選択のままにします。 [保護されたネットワーク（Protected Networks）] を [任意（Any）] として選択し、デフォルトのルート トラフィックがドロップされることを確認した場合は、[VPN] > [サイト間（Site to Site）] > [VPN の編集（edit a VPN）] > [IPsec] > [リバース ルート インジェクションを有効にする（Enable Reverse Route Injection）] でリバース ルート インジェクションを無効にします。設定変更を展開します。これによって暗号マップから set reverse-route（リバース ルート インジェクション）が削除され、リバース トンネル トラフィックをドロップするようにする NVP でアドバタイズされたリバース ルートが削除されます。

• [アクセス リスト（拡張）（Access List (Extended)）]：拡張アクセス リストは、GRE トラフィックや OSPF トラフィックなどの、このエンドポイントによって受け入れられるトラフィックのタイプを制御する機能を提供します。トラフィックは、アドレスまたはポートにより制限できます。[追加（Add）] アイコン（）をクリックして、アクセス コントロール リスト オブジェクトを追加します。

  （注）	アクセス コントロール リストは、ポイントツーポイント トポロジでのみサポートされています。

このトポロジに選択した IKE のバージョンの場合は、[IKEv1/IKEv2 設定（IKEv1/IKEv2 Settings）] を指定します。

（注）	このダイアログの設定は、トポロジ全体、すべてのトンネル、すべての管理対象デバイスに適用されます。

ナビゲーション パス

> [サイト間（Site To Site）]。その後、[VPN の追加（Add VPN）] > [Firepower Threat Defense デバイス（Firepower Threat Defense Device）]、またはリストされている VPN トポロジを編集します。[IKE] タブを開きます。

フィールド

ポリシー

事前定義済みの IKEv1 または IKEv2 ポリシー オブジェクトを選択するか、または使用する新しいポリシー オブジェクトを作成します。詳細については、FTD IKE ポリシーを参照してください。

認証タイプ（Authentication Type）

サイト間 VPN では、事前共有キーと証明書の 2 つの認証方式がサポートされています。2 つの方式の説明については、使用する認証方式の決定を参照してください。

（注）	IKEv1 をサポートする VPN トポロジでは、選択した IKEv1 ポリシー オブジェクトで指定した [認証方式（Authentication Method）] が、IKEv1 の [認証タイプ（Authentication Type）] 設定のデフォルトになります。これらの値は一致する必要があります。一致しないと設定がエラーになります。

• [事前共有自動キー（Pre-shared Automatic Key）]：管理センターが、この VPN に使用される事前共有キーを自動的に定義します。[事前共有キー長（Pre-shared Key Length）] を指定します。キーの文字数は 1 ～ 27 文字です。

  文字 "（二重引用符）は事前共有キーの一部としてサポートされていません。事前共有キーで " を使用した場合は、Firepower Threat Defense 6.30 以降にアップグレードした後に文字必ずを変更してください。

• [事前共有手動キー（Pre-shared Manual Key）]：この VPN に使用される事前共有キーを手動で割り当てます。[キー（Key）] を指定して、[キーの確認（Confirm Key）] に再入力して確認します。

  IKEv2 に対してこのオプションを選択すると、[16 進数ベースの事前共有キーのみを適用する（Enforce hex-based pre-shared key only）] チェックボックスが表示されるので、必要に応じてオンにします。適用する場合は、キーの有効な 16 数値を、数字 0 ～ 9 または A ～ F を使用して、2 ～ 256 文字の偶数で入力する必要があります。

• [証明書（Certificate）]：VPN 接続の認証方法として証明書を使用する場合、ピアは PKI インフラストラクチャ内の CA サーバからデジタル証明書を取得し、相互に認証するためにトレードします。

  [証明書（Certificate）] フィールドで、事前設定された証明書登録オブジェクトを選択します。この登録オブジェクトは、管理対象デバイス上で同じ名前のトラストポイントを生成するために使用されます。証明書登録オブジェクトが関連付けられ、デバイスにインストールされ、登録プロセスが完了してから、トラストポイントが作成されます。

  トラストポイントとは、CA または ID ペアを表現したものです。トラストポイントには、CA の ID、CA 固有のコンフィギュレーション パラメータ、登録されている ID 証明書とのアソシエーションが含まれています。

  このオプションを選択する前に、次の点に注意してください。

  • トポロジ内のすべてのエンドポイントに証明書登録オブジェクトが登録されることを確認します。証明書登録オブジェクトには、証明書署名要求（CSR）を作成し、指定された認証局（CA）から ID 証明書を取得するために必要な CA サーバ情報と登録パラメータが含まれています。証明書登録オブジェクトは、管理対象デバイスを PKI インフラストラクチャに登録し、VPN 接続をサポートするデバイス上にトラストポイント（CA オブジェクト）を作成するために使用されます。証明書登録オブジェクトの作成手順については、証明書の登録オブジェクトの追加を参照してください。エンドポイントにオブジェクトを登録する手順については、次のいずれかを参照してください。

    • 自己署名登録を使用した証明書のインストール

    • SCEP の登録を使用した証明書のインストール

    • 手動登録を使用した証明書のインストール

    • PKCS12 ファイルを使用した証明書のインストール

    （注）	サイト間 VPN トポロジの場合、同じ証明書登録オブジェクトがトポロジ内のすべてのエンドポイントに登録されていることを確認します。詳細については、次の表を参照してください。

  • さまざまなシナリオの登録要件については、次の表を参照してください。一部のシナリオでは、特定のデバイスの証明書登録オブジェクトを上書きする必要があります。オブジェクトの上書き方法については、オブジェクト オーバーライドの管理を参照してください。

    証明書の登録タイプ	すべてのエンドポイントのデバイス ID 証明書の CA が同じ		すべてのエンドポイントのデバイス ID 証明書の CA が異なる
    	デバイス固有のパラメータが証明書登録オブジェクトで指定されていない	デバイス固有のパラメータが証明書登録オブジェクトで指定されている
    [手動（Manual）]	上書きは不要	上書きが必要	上書きが必要
    SCEP	上書きは不要	上書きが必要	上書きが必要
    PKCS	上書きが必要	上書きが必要	上書きが必要
    自己署名（Self-signed）	N/A	N/A	N/A

  • Firepower Threat Defense VPN 証明書の注意事項と制約事項記載されている VPN 証明書の制限事項を確認。

  （注）	Windows 認証局（CA）を使用する場合、デフォルトのアプリケーション ポリシー拡張は IP セキュリティ IKE 中間です。このデフォルト設定を使用している場合は、選択したオブジェクトの [PKI証明書登録（PKI Certificate Enrollment）] ダイアログボックスの [キー（Key）] タブの [詳細設定（Advanced Settings）] セクションで [IPsecキーの使用状況を無視（Ignore IPsec Key Usage）] オプションを選択する必要があります。それ以外の場合、エンドポイントはサイト間 VPN 接続を完了できません。

（注）	このダイアログの設定は、トポロジ全体、すべてのトンネル、すべての管理対象デバイスに適用されます。

クリプト マップ タイプ（Crypto-Map Type）

クリプト マップには、IPsec Security Association（SA; セキュリティ アソシエーション）を設定するために必要なすべてのコンポーネントが組み合わされています。2 つのピアが SA を確立しようとする場合は、それぞれに少なくとも 1 つの互換クリプト マップ エントリが必要です。クリプト マップ エントリに定義されたプロポーザルは、そのクリプト マップの IPsec ルールによって指定されたデータ フローを保護するための IPsec セキュリティ ネゴシエーションで使用されます。この展開のクリプト マップにスタティックまたはダイナミックを選択します。

• [スタティック（Static）]：スタティック クリプト マップは、ポイントツーポイントまたは完全メッシュ VPN トポロジで使用します。

• [ダイナミック（Dynamic）]：実質的に、ダイナミック暗号マップによって、すべてのパラメータが設定されていない暗号マップ エントリが作成されます。設定されていないパラメータは、IPsec ネゴシエーションの結果として、リモート ピアの要件に合うようにあとで動的に設定されます。

  ダイナミック クリプト マップ ポリシーは、ハブアンドスポーク VPN 設定にのみ適用されます。ポイントツーポイントまたはフル メッシュ VPN トポロジでは、スタティック クリプト マップ ポリシーのみを適用できます。2 つのデバイスを使用してハブアンドスポーク トポロジを作成することで、ポイントツーポイント トポロジでダイナミック クリプト マップの使用をエミュレートします。スポークのダイナミック IP アドレスを指定し、このトポロジでダイナミック クリプト マップを有効にします。

IKEv2 モード（IKEv2 Mode）

IPsec IKEv2 の場合のみ、カプセル化モードはトンネルに ESP 暗号化と認証を適用するために指定します。これにより、ESP が適用されるオリジナルの IP パケットの部分が決定されます。

• [トンネル モード（Tunnel mode）]：（デフォルト）カプセル化モードがトンネル モードに設定されます。トンネル モードでは、ESP 暗号化と認証が元の IP パケット全体（IP ヘッダーとデータ）に適用されるため、最終的な送信元アドレスと宛先アドレスが非表示になり、新しい IP パケットでペイロードになります。

  トンネル モードの大きな利点は、エンド システムを変更しなくても IPsec を利用できるということです。このモードでは、ルータなどのネットワーク デバイスが IPsec のプロキシとして動作できます。つまり、ルータがホストに代わって暗号化を行います。送信元ルータがパケットを暗号化し、IPsec トンネルを使用して転送します。宛先ルータは元の IP データグラムを復号化し、宛先システムに転送します。また、トラフィック分析から保護することもできます。トンネル モードを使用すると、攻撃者にはトンネルのエンドポイントしかわからず、トンネリングされたパケットの本来の送信元と宛先はわかりません（これらがトンネルのエンドポイントと同じ場合でも同様）。

• [転送優先（Transport preferred）]：ピアがサポートしていない場合、カプセル化モードは、トンネル モードにフォールバックするオプション付きの転送モードに設定されます。転送モードでは IP ペイロードだけが暗号化され、元の IP ヘッダーはそのまま使用されます。したがって、管理者は、VPN インターフェイスの IP アドレスと一致する保護されたネットワークを選択する必要があります。

  このモードには、各パケットに数バイトしか追加されず、パブリック ネットワーク上のデバイスに、パケットの最終的な送信元と宛先を認識できるという利点があります。転送モードでは、中間ネットワークでの特別な処理（たとえば QoS）を、IP ヘッダーの情報に基づいて実行できるようになります。ただし、レイヤ 4 ヘッダーが暗号化されるため、パケットの検査が制限されます。

• [転送必須（Transport required）]：カプセル化モードは転送モードのみに設定され、トンネル モードにフォールバックすることはできません。転送モードをサポートしていない 1 つのエンドポイントがあるせいで、エンドポイントが転送モードを正常にネゴシエートできない場合、VPN 接続は行われません。

プロポーザル（Proposals）

選択した IKEv1 または IKEv2 メソッドのプロポーザルを指定するには、（）をクリックします。利用可能な [IKEv1 IPsec プロポーザル（IKEv1 IPsec Proposals）] または [IKEv2 IPsec プロポーザル（IKEv2 IPsec Proposals）] オブジェクトから選択するか、または新しいプロポーザルを作成して選択します。詳細については、「IKEv1 IPsec プロポーザル オブジェクトの設定」および「IKEv2 IPsec プロポーザル オブジェクトの設定」を参照してください。

セキュリティ アソシエーション（SA）の強度適用の有効化（Enable Security Association (SA) Strength Enforcement）

このオプションを有効にすると、子 IPsec SA で使用される暗号化アルゴリズムが、親 IKE SA よりも強くなることはありません（キー内のビット数の観点から）。

リバース ルート インジェクションを有効にする（Enable Reverse Route Injection）

リバース ルート インジェクション（RRI）により、スタティック ルートは、リモート トンネル エンドポイントで保護されているネットワークとホストのルーティング プロセスに自動的に挿入されます。

Perfect Forward Secrecy の有効化（Enable Perfect Forward Secrecy）

暗号化された交換ごとに一意のセッション キーを生成および使用するために、Perfect Forward Secrecy（PFS）を使用するかどうかを指定します。固有のセッション キーを使用することで、後続の復号から交換が保護されます。また、交換全体が記録されていて、攻撃者がエンドポイント デバイスで使用されている事前共有キーや秘密キーを入手している場合であっても保護されます。このオプションを選択する場合は、[係数グループ（Modulus Group）] リストで、PFS セッション キーの生成時に使用する Diffie-Hellman キー導出アルゴリズムも選択します。

係数グループ（Modulus Group）

2 つの IPsec ピア間の共有秘密キーを互いに送信することなく取得するために使用する Diffie-Hellman グループ。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。 オプションの詳しい説明については、使用する Diffie-Hellman 係数グループの決定を参照してください。

ライフタイム期間

セキュリティ アソシエーションが期限切れになる前に存続できる秒数。デフォルトは 28,800 秒です。

ライフタイム サイズ

特定のセキュリティ アソシエーションが期限切れになる前にそのセキュリティ アソシエーションを使用して IPsec ピア間を通過できるトラフィック量（KB 単位）。デフォルトは 4,608,000 KB です。無制限のデータは許可されていません。

ESPv3 設定（ESPv3 Settings）

着信 ICMP のエラーメッセージを検証（Validate incoming ICMP error messages）

IPsec トンネルを介して受信され、プライベート ネットワーク上の内部ホストが宛先の ICMP エラー メッセージを検証するかどうかを選択します。

「フラグメント禁止」ポリシーを有効にする（Enable 'Do Not Fragment' Policy）

IP ヘッダーに Do-Not-Fragment（DF）ビット セットを持つ大きなパケットを IPsec サブシステムがどのように処理するかを定義します。

ポリシー

• [DF ビッドのコピー（Copy DF bit）]：DF ビットを維持します。

• [DF ビッドのクリア（Clear DF bit）]：DF ビットを無視します。

• [DF ビットの設定（Set DF bit）]：DF ビットを設定して使用します。

トラフィック フロー機密保持（TFC）パケットを有効にする（Enable Traffic Flow Confidentiality (TFC) Packets）

トンネルを通過するトラフィック プロファイルをマスクするダミーの TFC パケットを有効にします。[バースト（Burst）]、[ペイロード サイズ（Payload Size）]、および [タイムアウト（Timeout）] パラメータを使用して、指定した SA で不定期にランダムな長さのパケットを生成します。

ここでは、S2S VPN の展開で指定できる詳細オプションについて説明します。それらの設定は、トポロジ全体、すべてのトンネル、およびすべての管理対象デバイスに適用されます。