Cisco

Classic環境で利用できます。

IPsec VPN Tunnel作成のために顧客 VPNゲートウェイでリソースを構成する方法について説明します。VPNゲートウェイデバイスが Cisco社の ASAシリーズ製品である場合は、次の内容をご参照ください。

インターフェイス IPの設定

インターフェイス IPを設定する方法は以下のとおりです。

hostname(config)# interface ethernet0/0
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address <グローバル IPアドレス> <サブネットマスク>
hostname(config-if)# no shutdown

hostname(config)# interface ethernet0/1
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address <内部プライベート IPアドレス> <サブネットマスク>
hostname(config-if)# no shutdown

ルーティング設定

ル―テイングを設定する方法は以下のとおりです。

hostname(config)# route outside 0 0 <VPNゲートウェイのグローバル IPアドレス>

ネットワークオブジェクトグループ設定

ローカルネットワークとリモートネットワークのそれぞれのオブジェクトグループを作成します。作成する方法は、以下のとおりです。

hostname(config)# object-group network <グループの名前の定義>
hostname(config-network)# network-object host <ホスト IP>
hostname(config-network)# network-object <ネットワーク IP> <サブネットマスク>

アクセス設定

ネットワークのアクセスを設定する方法は以下のとおりです。

• 特定 IPのアクセス許可

  hostname(config)# access-list outside_20_cryptomap extended permit ip <内部プライベート IPアドレス> <内部サブネットマスク> <リモートネットワークのプライベート IPアドレス> <リモートネットワークの内部サブネットマスク>
  

• ネットワークオブジェクトグループのアクセス許可

  hostname(config)# access-list <access-listの名前の定義> extended permit ip object-group <ローカルオブジェクトグループの名前> object-group <リモートオブジェクトグループの名前>
  

IKE設定

IKEを設定するには、IKEv1と IKEv2を構成し、IKEv1、IKEv2それぞれのトラフィック保護のための暗号化方式を設定する必要があります。

IKEv1構成

IKEv1を構成する方法は以下のとおりです。

hostname(config)# crypto ikev1 policy 1
hostname(config-ikev1-policy)# authentication pre-share
hostname(config-ikev1-policy)# encryption 3des
hostname(config-ikev1-policy)# hash sha
hostname(config-ikev1-policy)# group 2
hostname(config-ikev1-policy)# lifetime 43200
hostname(config)# crypto ikev1 enable outside

• D-Hグループ: 2
• 認証方式: pre-share
• 暗号化アルゴリズム: 3des
• ハッシュアルゴリズム: sha-1
• lifetime: 43200

IKEv2構成

IKEv2を構成する方法は以下のとおりです。

hostname(config)# crypto ikev2 policy 1
hostname(config-ikev2-policy)# encryption 3des
hostname(config-ikev2-policy)# group 2
hostname(config-ikev2-policy)# prf sha
hostname(config-ikev2-policy)# lifetime 43200
hostname(config)# crypto ikev2 enable outside

• D-Hグループ: 2
• PRF(Pseudo Random Function)アルゴリズム: sha-1
• 暗号化アルゴリズム: 3des
• lifetime: 43200

IKEv1変換セットの作成

トラフィック保護のために IKEv1の変換セットを作成する方法は次の通リです。

hostname(config)# crypto ipsec transform-set FirstSet esp-3des esp-md5-hmac

• 変換セットの名前の例: FirstSet
• 暗号化アルゴリズ: esp-3des
• ハッシュアルゴリズム: esp-md5-hmac

IKEv2提案書の作成

トラフィック保護のために IKEv2の提案書を作成する方法は以下のとおりです。

hostname(config)# crypto ipsec ikev2 ipsec-proposal secure
hostname(config-ipsec-proposal)# protocol esp 3des integrity md5

• 提案書の名前の例: secure
• 暗号化アルゴリズム: 3des
• ハッシュアルゴリズム: md5

トンネルグループの作成

既存の Group Policyを利用してトンネルグループを作成する方法は以下のとおりです。

hostname(config)# group-policy DefaultGroupPolicy internal
hostname(config)# group-policy DefaultGroupPolicy attributes
hostname(config)# vpn-tunnel-protocol ikev1 ikev2
hostname(config)# tunnel-group <Peer IP> type ipsec-l2l
hostname(config)# tunnel-group <Peer IP> ipsec-attributes
hostname(config-tunnel-ipsec)# default-group-policy DefaultGroupPolicy
hostname(config-tunnel-ipsec)# ikev1 pre-shared-key <Pre-sharedキー値>
hostname(config-tunnel-ipsec)# ikev2 remote-authentication certificate

暗号化マップの作成およびインターフェイスへの適用

暗号化マップを作成し、インターフェイスに適用する方法は以下のとおりです。

• 暗号化マップの作成

  hostname(config)# crypto map <マップの名前の定義> 1 match address <access-listの名前>
  hostname(config)# crypto map <マップの名前> 1 set peer <Peer IP>
  hostname(config)# crypto map <マップの名前> 1 set ikev1 transform-set <IKEv1変形セットの名前>
  hostname(config)# crypto map <マップの名前> 1 set ikev2 ipsec-proposal <IKEv2提案書の名前>
  

• インターフェイス適用

  hostname(config)# crypto map <マップの名前> interface outside
  

接続の確認

すべてのプロセスを終えると、インターフェイスと VPNトンネルを確認できます。

インターフェイスの確認

インターフェイスを確認する方法は以下のとおりです。

hostname(config)# show ip

System IP Addresses:
Interface            Name       IP address     Subnet mask     Method 
GigabitEthernet0/0   inside     192.168.1.1    255.255.255.0   manual 
GigabitEthernet0/1   outside    10.0.0.1       255.255.255.0   manual              
Current IP Addresses:
Interface            Name       IP address     Subnet mask     Method
GigabitEthernet0/0   inside     192.168.1.1    255.255.255.0   manual   
GigabitEthernet0/1   outside    10.0.0.1       255.255.255.0   manual

VPNトンネルの確認

VPNトンネルを確認する方法は以下のとおりです。

• show crypto ipsec sa 入力

  hostname(config)# show crypto ipsec sa
  
  interface: outside
     Crypto map tag: MAP, seq num: 10, local addr: 10.0.0.1
      access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/1/0)
      remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/1/0)
  current_peer: 10.0.0.2
      #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
      #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0
      local crypto endpt.: 10.0.0.1/0, remote crypto endpt.: 10.0.0.2/0
      path mtu 1500, ipsec overhead 74, media mtu 1500
      current outbound spi: DB680406
      current inbound spi : 1698CAC7
    inbound esp sas:
      spi: 0x1698CAC7 (379112135)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 16384, crypto-map: MAP
         sa timing: remaining key lifetime (kB/sec): (3914999/3326)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x0000001F
    outbound esp sas:
      spi: 0xDB680406 (3681027078)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 16384, crypto-map: MAP
         sa timing: remaining key lifetime (kB/sec): (3914999/3326)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
         0x00000000 0x00000001
  

• show crypto isakmp sa 入力

  hostname(config)# show crypto isakmp sa
  
  IKEv1 SAs:
  
     Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
  Total IKE SA: 1
  
  1   IKE Peer: 10.0.0.2
      Type    : L2L             Role    : responder
      Rekey   : no              State   : MM_ACTIVE
  

• show crypto IKEv2 sa det 入力

  hostname(config)# show crypto IKEv2 sa det
  
  IKEv2 SAs:
  
  Session-id:132, Status:UP-ACTIVE, IKE count:1, CHILD count:1
  
  Tunnel-id                  Local                Remote     Status         Role
  1574208993     198.51.100.1/4500    203.0.113.134/4500      READY    RESPONDER
        Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:24, Auth sign: PSK, Auth verify: PSK
        Life/Active Time: 86400/352 sec
        Session-id: 132
        Status Description: Negotiation done
        Local spi: 4FDFF215BDEC73EC       Remote spi: 2414BEA1E10E3F70
        Local id: 198.51.100.1
        Remote id: DynamicSite2Site1
        Local req mess id: 13             Remote req mess id: 17
        Local next mess id: 13            Remote next mess id: 17
        Local req queued: 13              Remote req queued: 17
        Local window: 1                   Remote window: 1
        DPD configured for 10 seconds, retry 2
        NAT-T is detected  outside
  Child sa: local selector  172.0.0.0/0 - 172.255.255.255/65535
            remote selector 172.16.1.0/0 - 172.16.1.255/65535
            ESP spi in/out: 0x9fd5c736/0x6c5b3cc9
            AH spi in/out: 0x0/0x0
            CPI in/out: 0x0/0x0
            Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
            ah_hmac: None, comp: IPCOMP_NONE, mode tunnel