|
◆ リモートアクセスIPsec-VPNの設定 - Step1
本ページではリモートアクセスIPsec-VPNの設定を「Step4〜6」まで解説します。本ページの Step4〜6 の
設定前に、その前提として「リモートアクセスIPsec-VPNの設定 - Step1〜3」をご参考頂ければと思います。
◆ リモートアクセスIPsec-VPNの設定 - Step4 〜 6
◇ Step 4 : トンネルグループの設定
トンネルグループとは、トンネル接続ポリシーを格納したレコードのセットのこと。AAAサーバを識別する
トンネルグループを設定し、接続パラメータを指定した上でデフォルトのグループポリシーを定義。ASAでは
このトンネルグループを内部的に保存する。ASAでは、2つのデフォルトトンネルグループを保持しています。
1つはデフォルトのLAN-to-LANトンネルグループであるDefaultL2Lgroup。もう1つは、リモートアクセス
トンネルグループDefaultRAGroup。これらは変更できるが削除はできない。トンネルネゴシエーション時、
特定のトンネルグループがない場合、ASAはこれらのグループを使用して、トンネルパラメータを設定します。
◆ IPsecリモートアクセストンネルグループ(接続プロファイル)の作成
(config)# tunnel-group name type type
◆ 設定例 : remote-accessのタイプで、TESTというグループを作成する設定
| (config)# tunnel-group TEST type remote-access |
◆ トンネルグループの“General属性モード”に入り、そのトンネルグループで使用するアドレスプールを指定
(config)# tunnel-group name general-attributes
(config-general)# address-pool name
◆ 設定例 : “TEST”というトンネルグループで“VLAN10”というアドレスプールを使用する設定
(config)# tunnel-group TEST general-attributes
(config-general)# address-pool VLAN10
|
◆ トンネルグループの“General属性モード”に入り、デフォルトのグループポリシーとは異なるポリシーを選択する設定
(config)# tunnel-group name general-attributes
(config-general)# default-group-policy name
◆ 設定例 : “TEST”というトンネルグループに、“NEWG1”というグループポリシーを割り当てる設定
(config)# tunnel-group TEST general-attributes
(config-general)# default-group-policy NEWG1
|
◆ トンネルグループの“IPSEC属性モード”に入り、そのトンネルグループで使用する事前共有鍵を作成
(config)# tunnel-group name ipsec-attributes
(config-ipsec)# ikev1 pre-shared-key key
◆ 設定例 : “TEST”というトンネルグループで“cisco123”という事前共有鍵を使用するように設定
(config)# tunnel-group TEST ipsec-attributes
(config-ipsec)# ikev1 pre-shared-key cisco123
|
◇ Step 5 : IKEv1トランスフォームセット or IKEv2プロポーザルの作成
◆ IKEv1トランスフォームセットの設定 - リモート アクセス IPsec/IKEv1 VPN
(config)# crypto ipsec ikev1 transform-set name encryption authentication
| IPsec SAのパラメータ |
選択肢 |
| encryption |
・ esp-aes
・ esp-aes-192
・ esp-aes-256
・ esp-des
・ esp-3des
・ esp-null (暗号化を使用しない場合)
|
| authentication |
・ esp-md5-hmac
・ esp-sha-hmac
・ esp-none (認証を使用しない場合)
|
◆ 設定例 : IPSECという名前のトランスフォームセット暗号方式を esp-3des、認証方式を esp-md5-hmac とする設定
| (config)# crypto ipsec ikev1 transform-set IPSEC esp-3des esp-md5-hmac |
◆ IKEv2プロポーザルの設定 - IPsec/IKEv2 を使用してリモートアクセスVPNを行う場合の設定
(config)# crypto ipsec ikev2 ipsec-proposal name
(config-ipsec-proposal)# protocol esp encryption encryption
(config-ipsec-proposal)# protocol esp integrity integrity
| IPsec SAのパラメータ |
選択肢 |
| encryption |
・ des
・ 3des
・ aes
・ aes-192
・ aes-256
・ null (ESPに暗号化を使用しない場合)
|
| integrity |
・ md5
・ sha-1
|
◆ 設定例 : IPSECというプロポーザル名で、使用される暗号化を 3des、整合性を md5 とする設定
(config)# crypto ipsec ikev2 ipsec-proposal IPSEC
(config-ipsec-proposal)# protocol esp encryption 3des
(config-ipsec-proposal)# protocol esp integrity md5
|
◇ Step 6: ダイナミッククリプトマップの設定 & インターフェースへの適用
ダイナミッククリプトマップを設定することで、ASAは不明なIPアドレスのピアからの接続を受信できる
ようになります。このダイナミッククリプトマップのエントリにて、IKEv1の場合は先に作成した接続の
トランスフォームセットを指定します。IKEv2の場合は、先に作成したIPsecプロポーザルを指定します。
◆ ダイナミッククリプトマップの作成とIKEv1トランスフォームセットの指定
(config)# crypto dynamic-map name number set ikev1 transform-set name
◆ 設定例 : “DYN1”というダイナミッククリプトマップを作成、そのマップでIKEv1“IPSEC”というトランスフォームセットを指定
| (config)# crypto dynamic-map DYN1 1 set ikev1 transform-set IPSEC |
◆ ダイナミッククリプトマップの作成とIKEv2プロポーザルの指定 - IPsec/IKEv2を使用してリモートアクセスVPNを行う時の設定
(config)# crypto dynamic-map name number set ikev2 ipsec-proposal name
◆ 設定例 : “DYN1”というダイナミッククリプトマップを作成、そのマップでIKEv2“IPSEC”というトランスフォームセットを指定
| (config)# crypto dynamic-map DYN1 1 set ikev2 ipsec-proposal IPSEC |
クリプトマップを作成することにより、ASAはダイナミッククリプトマップを使用しIPsecセキュリティ
アソシエーションのパラメータを設定することができます。前提として、事前にダイナミッククリプト
マップ “DYN1”が作成されていることが必要です。
◆ ダイナミッククリプトマップを使用するクリプトマップエントリの作成
(config)# crypto map name number ipsec-isakmp dynamic name
◆ 設定例 : “DYN1”というダイナミッククリプトマップを使用する“MAP1"というクリプトマップの作成
| (config)# crypto map MAP1 1 ipsec-isakmp dynamic DYN1 |
◆ クリプトマップのインターフェースへの適用
(config)# crypto map name interface interface
◆ 設定例 : "outside"インターフェースに、“MAP1”というクリプトマップを適用する設定
| (config)# crypto map MAP1 interface outside |
|