Cisco

Prev Next

Classic環境で利用できます。

IPsec VPN Tunnel作成のために顧客 VPNゲートウェイでリソースを構成する方法について説明します。VPNゲートウェイデバイスが Cisco社の ASAシリーズ製品である場合は、次の内容をご参照ください。

参考

ここでは、ローカルネットワークが顧客ネットワーク、リモートネットワークが NAVERクラウドプラットフォームの Private Subnetになります。Peer IPまたは NAVERクラウドプラットフォームの VPNゲートウェイのグローバル IPアドレスになります。

インターフェイス IPの設定

インターフェイス IPを設定する方法は以下のとおりです。

hostname(config)# interface ethernet0/0
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address <グローバル IPアドレス> <サブネットマスク>
hostname(config-if)# no shutdown

hostname(config)# interface ethernet0/1
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address <内部プライベート IPアドレス> <サブネットマスク>
hostname(config-if)# no shutdown

ルーティング設定

ル―テイングを設定する方法は以下のとおりです。

hostname(config)# route outside 0 0 <VPNゲートウェイのグローバル IPアドレス>

ネットワークオブジェクトグループ設定

ローカルネットワークとリモートネットワークのそれぞれのオブジェクトグループを作成します。作成する方法は、以下のとおりです。

hostname(config)# object-group network <グループの名前の定義>
hostname(config-network)# network-object host <ホスト IP>
hostname(config-network)# network-object <ネットワーク IP> <サブネットマスク>

アクセス設定

ネットワークのアクセスを設定する方法は以下のとおりです。

  • 特定 IPのアクセス許可

    hostname(config)# access-list outside_20_cryptomap extended permit ip <内部プライベート IPアドレス> <内部サブネットマスク> <リモートネットワークのプライベート IPアドレス> <リモートネットワークの内部サブネットマスク>

  • ネットワークオブジェクトグループのアクセス許可

    hostname(config)# access-list <access-listの名前の定義> extended permit ip object-group <ローカルオブジェクトグループの名前> object-group <リモートオブジェクトグループの名前>

IKE設定

IKEを設定するには、IKEv1と IKEv2を構成し、IKEv1、IKEv2それぞれのトラフィック保護のための暗号化方式を設定する必要があります。

参考

パスワードおよび認証アルゴリズムの設定値が NAVERクラウドプラットフォームコンソールで作成した IPsec VPN Gatewayの設定値と同じである必要があります。

IKEv1構成

IKEv1を構成する方法は以下のとおりです。

hostname(config)# crypto ikev1 policy 1
hostname(config-ikev1-policy)# authentication pre-share
hostname(config-ikev1-policy)# encryption 3des
hostname(config-ikev1-policy)# hash sha
hostname(config-ikev1-policy)# group 2
hostname(config-ikev1-policy)# lifetime 43200
hostname(config)# crypto ikev1 enable outside
  • D-Hグループ: 2
  • 認証方式: pre-share
  • 暗号化アルゴリズム: 3des
  • ハッシュアルゴリズム: sha-1
  • lifetime: 43200

IKEv2構成

IKEv2を構成する方法は以下のとおりです。

hostname(config)# crypto ikev2 policy 1
hostname(config-ikev2-policy)# encryption 3des
hostname(config-ikev2-policy)# group 2
hostname(config-ikev2-policy)# prf sha
hostname(config-ikev2-policy)# lifetime 43200
hostname(config)# crypto ikev2 enable outside
  • D-Hグループ: 2
  • PRF(Pseudo Random Function)アルゴリズム: sha-1
  • 暗号化アルゴリズム: 3des
  • lifetime: 43200

IKEv1変換セットの作成

トラフィック保護のために IKEv1の変換セットを作成する方法は次の通リです。

hostname(config)# crypto ipsec transform-set FirstSet esp-3des esp-md5-hmac
  • 変換セットの名前の例: FirstSet
  • 暗号化アルゴリズ: esp-3des
  • ハッシュアルゴリズム: esp-md5-hmac

IKEv2提案書の作成

トラフィック保護のために IKEv2の提案書を作成する方法は以下のとおりです。

hostname(config)# crypto ipsec ikev2 ipsec-proposal secure
hostname(config-ipsec-proposal)# protocol esp 3des integrity md5
  • 提案書の名前の例: secure
  • 暗号化アルゴリズム: 3des
  • ハッシュアルゴリズム: md5

トンネルグループの作成

既存の Group Policyを利用してトンネルグループを作成する方法は以下のとおりです。

hostname(config)# group-policy DefaultGroupPolicy internal
hostname(config)# group-policy DefaultGroupPolicy attributes
hostname(config)# vpn-tunnel-protocol ikev1 ikev2
hostname(config)# tunnel-group <Peer IP> type ipsec-l2l
hostname(config)# tunnel-group <Peer IP> ipsec-attributes
hostname(config-tunnel-ipsec)# default-group-policy DefaultGroupPolicy
hostname(config-tunnel-ipsec)# ikev1 pre-shared-key <Pre-sharedキー値>
hostname(config-tunnel-ipsec)# ikev2 remote-authentication certificate
参考

Pre-sharedキー値は、1~128字のアルファベットまたは数字で構成する必要があります。

暗号化マップの作成およびインターフェイスへの適用

暗号化マップを作成し、インターフェイスに適用する方法は以下のとおりです。

  • 暗号化マップの作成

    hostname(config)# crypto map <マップの名前の定義> 1 match address <access-listの名前>
hostname(config)# crypto map <マップの名前> 1 set peer <Peer IP>
hostname(config)# crypto map <マップの名前> 1 set ikev1 transform-set <IKEv1変形セットの名前>
hostname(config)# crypto map <マップの名前> 1 set ikev2 ipsec-proposal <IKEv2提案書の名前>

  • インターフェイス適用

    hostname(config)# crypto map <マップの名前> interface outside

接続の確認

すべてのプロセスを終えると、インターフェイスと VPNトンネルを確認できます。

インターフェイスの確認

インターフェイスを確認する方法は以下のとおりです。

hostname(config)# show ip

System IP Addresses:
Interface            Name       IP address     Subnet mask     Method 
GigabitEthernet0/0   inside     192.168.1.1    255.255.255.0   manual 
GigabitEthernet0/1   outside    10.0.0.1       255.255.255.0   manual              
Current IP Addresses:
Interface            Name       IP address     Subnet mask     Method
GigabitEthernet0/0   inside     192.168.1.1    255.255.255.0   manual   
GigabitEthernet0/1   outside    10.0.0.1       255.255.255.0   manual

VPNトンネルの確認

VPNトンネルを確認する方法は以下のとおりです。

  • show crypto ipsec sa 入力

    hostname(config)# show crypto ipsec sa

interface: outside
   Crypto map tag: MAP, seq num: 10, local addr: 10.0.0.1
    access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
    local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/1/0)
    remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/1/0)
current_peer: 10.0.0.2
    #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
    #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
    #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
    #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
    #send errors: 0, #recv errors: 0
    local crypto endpt.: 10.0.0.1/0, remote crypto endpt.: 10.0.0.2/0
    path mtu 1500, ipsec overhead 74, media mtu 1500
    current outbound spi: DB680406
    current inbound spi : 1698CAC7
  inbound esp sas:
    spi: 0x1698CAC7 (379112135)
       transform: esp-aes esp-sha-hmac no compression
       in use settings ={L2L, Tunnel, }
       slot: 0, conn_id: 16384, crypto-map: MAP
       sa timing: remaining key lifetime (kB/sec): (3914999/3326)
       IV size: 16 bytes
       replay detection support: Y
       Anti replay bitmap:
        0x00000000 0x0000001F
  outbound esp sas:
    spi: 0xDB680406 (3681027078)
       transform: esp-aes esp-sha-hmac no compression
       in use settings ={L2L, Tunnel, }
       slot: 0, conn_id: 16384, crypto-map: MAP
       sa timing: remaining key lifetime (kB/sec): (3914999/3326)
       IV size: 16 bytes
       replay detection support: Y
       Anti replay bitmap:
       0x00000000 0x00000001

  • show crypto isakmp sa 入力

    hostname(config)# show crypto isakmp sa

IKEv1 SAs:

   Active SA: 1
      Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 10.0.0.2
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE

  • show crypto IKEv2 sa det 入力

    hostname(config)# show crypto IKEv2 sa det

IKEv2 SAs:

Session-id:132, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id                  Local                Remote     Status         Role
1574208993     198.51.100.1/4500    203.0.113.134/4500      READY    RESPONDER
      Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:24, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/352 sec
      Session-id: 132
      Status Description: Negotiation done
      Local spi: 4FDFF215BDEC73EC       Remote spi: 2414BEA1E10E3F70
      Local id: 198.51.100.1
      Remote id: DynamicSite2Site1
      Local req mess id: 13             Remote req mess id: 17
      Local next mess id: 13            Remote next mess id: 17
      Local req queued: 13              Remote req queued: 17
      Local window: 1                   Remote window: 1
      DPD configured for 10 seconds, retry 2
      NAT-T is detected  outside
Child sa: local selector  172.0.0.0/0 - 172.255.255.255/65535
          remote selector 172.16.1.0/0 - 172.16.1.255/65535
          ESP spi in/out: 0x9fd5c736/0x6c5b3cc9
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
          Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
          ah_hmac: None, comp: IPCOMP_NONE, mode tunnel