Cisco ASA - Remote Access IPsec-VPN Part 1



 ◆ リモートアクセスIPsec-VPNの設定 - Step1 〜 3

 本ページではリモートアクセスIPsec-VPNの設定を「Step1〜3」まで解説します。本ページの Step1〜3 の
 完了後に、その続きとして「リモートアクセスIPsec-VPNの設定 - Step4〜6」をご参考頂ければと思います。


 ◇ Step 1 : アドレスプールの設定、認証ユーザの設定

 
◆ アドレスプールの設定
 (config)#
ip local pool name ip-address-ip-address mask mask

 
◆ 設定例 : 192.168.5.50 〜 192.168.5.60 までをアドレスプールとする設定
 (config)# ip local pool TPOOL 192.168.1.50-192.168.1.60 mask 255.255.255.0


 ◆ 認証ユーザの設定
 (config)#
username name password password [ mschap | encrypted | nt-encrypted ]

 
◆ 設定例 : ユーザ名 “ TEST1 ” パスワード "“cisco123 ” とする設定
 (config)# username TEST1 password TEST123



 ◇ Step 2 : ISAKMPポリシーの設定、ISAKMPポリシーのイネーブル化

 
◆ IKEv1 ポリシーの有効化
 (config)#
crypto ikev1 policy priority
 
⇒ priority には、ポリシーにプライオリティ( 1 〜 65534 )を割り当てる。1 が最もプライオリティが高く、65534が最も低い。

 
◆ 設定例 : ポリシーに対するプライオリティを 1 にした IKEv1ポリシーの設定
 (config)# crypto ikev1 policy 1


 ◆ 認証方式の設定
 (config-ikev1-policy)#
authentication [ crack | pre-share | rsa-sig ]

 
◆ 設定例 : 認証方式を pre-share(事前共有鍵)とする設定
 (config-ikev1-policy)# authentication pre-share


 ◆ 暗号化方式の指定
 (config-ikev1-policy)#
encryption [ aes | aes-192 | aes-256 | des | 3des ]

 
◆ 設定例 : 暗号化方式を 3des とする設定
 (config-ikev1-policy)# encryption 3des


 ◆ ハッシュアルゴリズムの指定
 (config-ikev1-policy)#
hash [ md5 | sha ]

 
◆ 設定例 : ハッシュアルゴリズムを sha とする設定
 (config-ikev1-policy)# hash sha


 ◆ Diffie-Hellmanグループの指定
 (config-ikev1-policy)#
group [ 1 | 2 | 5 ]

 
◆ 設定例 : Diffie-Hellmanグループを 2 とする設定
 (config-ikev1-policy)# group 2


 ◆ 暗号キーのライフタイムの指定
 (config-ikev1-policy)#
lifetime seconds
 
⇒ ライフタイムとは、各セキュリティアソシエーションが有効期限まで存在する秒数。なお、0 を指定した場合は無制限となる。

 
◆ 設定例 : 暗号キーのライフタイムを1日(86400秒)とする設定
 (config-ikev1-policy)# lifetime 86400


 ◆ ISAKMPポリシーのインターフェース上でのイネーブル化
 (config)#
crypto ikev1 enable interface

 ◆ 設定例 : outside インターフェースでイネーブルにする設定

 (config)# crypto ikev1 enable outside


 ◇ Step 3 : グループポリシーの設定

 グループポリシーは、IPsec接続用のユーザ関連の属性と値のペアがセットになったものです。この情報は
 内部的(ローカル)に保存されるか、外部のRADIUSサーバに保存されます。VPNクライアントサーバ間の
 IPsecトンネル確立後、ユーザ接続の条件を設定するグループポリシーが使用される。これによりユーザの
 グループに属性セット全体を適用できるので、ユーザごとに各属性を個別に指定する必要がなくなります。

 ユーザにグループ ポリシーを割り当てたり特定のユーザのグループ ポリシーを変更するためには、以下の
 group-policy コマンドを入力します。ASAのデフォルトグループを変更できますが、デフォルトとは異なる
 グループポリシーを作成したい場合、デフォルトグループを変更せず新しくグループを作成するのが推奨。

 ※ デフォルトのグループポリシーは、show running-config all group-policy DfltGrpPolicyで確認できる。
 ※ デフォルトのグループポリシーは常に内部(internal)に適用される。これを外部(external)に変更できない。

 
◆ 内部グループポリシーの設定
 (config)#
group-policy name type

 
◆ 設定例 : “NEWG1” という内部グループポリシーの設定
 (config)# group-policy NEWG1 internal



 ◆ グループポリシー属性の設定
 (config)#
group-policy name attribute

 
◆ 設定例 : “NEWG1” という内部グループポリシー属性の設定
 (config)# group-policy NEWG1 attribute



 ◆ WINSサーバ/DNSサーバの設定
 (config-group-policy)#
wins-server value ip-address ip-address
 (config-group-policy)#
dns-server value ip-address ip-address

 
◆ 設定例 : WINSサーバに 10.1.1.10 10.1.1.20 の2つを指定しDNSサーバに 10.2.2.10 10.2.2.20 の2つを指定する設定

 (config)#
group-policy NEWG1 attribute
 (config-group-policy)# wins-server value 10.1.1.10 10.1.1.20
 (config-group-policy)# dns-server value 10.2.2.10 10.2.2.20



 ◆ DHCPネットワークスコープの設定
 (config-group-policy)#
dhcp-network-scope ip-address

 
◆ 設定例 : "NEWG1"のグループポリシーのユーザに、172.16.10.0( 172.16.10.0 〜 172.16.10.255 )割り当てる設定

 (config)#
group-policy NEWG1 attribute
 (config-group-policy)# dhcp-network-scope 172.16.10.0 172.16.10.255



 ◆ VPN固有の属性の設定
 (config-group-policy)#
vpn-access-hour value time-range
 (config-group-policy)#
vpn-simultaneous-logins integer
 (config-group-policy)#
vpn-idle-timeout minutes
 (config-group-policy)#
vpn-filter value acl-name


 
◆ グループポリシーのVPNトンネルタイプの設定
 (config-group-policy)#
vpn-tunnel-protocol [ ikev1 | ikev2 | l2tp-ipsec | ssl-client | ssl-clientless ]

 
◆ 設定例 : "NEWG1"のグループポリシーでは、IPsec IKEv1 トンネリングモードとする設定

 (config)#
group-policy NEWG1 attribute
 (config-group-policy)# vpn-tunnel-protocol ikev1



 ◆ スプリットトンネリングの設定
 (config-group-policy)#
split-tunnel-policy [ tunnelall | tunnelspecified | excludespecified ]
 
⇒ tunnelall = ASA以外の宛先に送信されなくなる。実質的なスプリットトンネリングのディセーブル。
 
⇒ tunnelspecified = 指定したネットワークとの間のトラフィックのみがトンネリング。スプリットトンネリングのイネーブル。

 
◆ 設定例 : "NEWG1"のグループポリシーでスプリットトンネリングをイネーブルにする設定

 (config)#
group-policy NEWG1 attribute
 (config-group-policy)# split-tunnel-policy tunnelspecified



 ◆ スプリットトンネリング用のネットワークリストの設定
 (config-group-policy)#
split-tunnel-network-list value acl-name

 
◆ 設定例 : 192.168.1.0/24 宛てのトラフィックをトンネルを通過するトラフィックと指定する設定

 (config)# access-list SPLIT standard permit 192.168.1.0 255.255.255.0

 (config)# group-policy NEWG1 attribute
 (config-group-policy)# split-tunnel-policy tunnelspecified
 (config-group-policy)# split-tunnel-network-list value SPLIT




Cisco ASA - コンフィグ設定

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.