- 印刷する
- PDF
Cisco
- 印刷する
- PDF
Classic環境で利用できます。
IPsec VPN Tunnel作成のために顧客 VPNゲートウェイでリソースを構成する方法について説明します。VPNゲートウェイデバイスが Cisco社の ASAシリーズ製品である場合は、次の内容をご参照ください。
ここでは、ローカルネットワークが顧客ネットワーク、リモートネットワークが NAVERクラウドプラットフォームの Private Subnetになります。Peer IPまたは NAVERクラウドプラットフォームの VPNゲートウェイのグローバル IPアドレスになります。
インターフェイス IPの設定
インターフェイス IPを設定する方法は以下のとおりです。
hostname(config)# interface ethernet0/0
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address <グローバル IPアドレス> <サブネットマスク>
hostname(config-if)# no shutdown
hostname(config)# interface ethernet0/1
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address <内部プライベート IPアドレス> <サブネットマスク>
hostname(config-if)# no shutdown
ルーティング設定
ル―テイングを設定する方法は以下のとおりです。
hostname(config)# route outside 0 0 <VPNゲートウェイのグローバル IPアドレス>
ネットワークオブジェクトグループ設定
ローカルネットワークとリモートネットワークのそれぞれのオブジェクトグループを作成します。作成する方法は、以下のとおりです。
hostname(config)# object-group network <グループの名前の定義>
hostname(config-network)# network-object host <ホスト IP>
hostname(config-network)# network-object <ネットワーク IP> <サブネットマスク>
アクセス設定
ネットワークのアクセスを設定する方法は以下のとおりです。
特定 IPのアクセス許可
hostname(config)# access-list outside_20_cryptomap extended permit ip <内部プライベート IPアドレス> <内部サブネットマスク> <リモートネットワークのプライベート IPアドレス> <リモートネットワークの内部サブネットマスク>
ネットワークオブジェクトグループのアクセス許可
hostname(config)# access-list <access-listの名前の定義> extended permit ip object-group <ローカルオブジェクトグループの名前> object-group <リモートオブジェクトグループの名前>
IKE設定
IKEを設定するには、IKEv1と IKEv2を構成し、IKEv1、IKEv2それぞれのトラフィック保護のための暗号化方式を設定する必要があります。
パスワードおよび認証アルゴリズムの設定値が NAVERクラウドプラットフォームコンソールで作成した IPsec VPN Gatewayの設定値と同じである必要があります。
IKEv1構成
IKEv1を構成する方法は以下のとおりです。
hostname(config)# crypto ikev1 policy 1
hostname(config-ikev1-policy)# authentication pre-share
hostname(config-ikev1-policy)# encryption 3des
hostname(config-ikev1-policy)# hash sha
hostname(config-ikev1-policy)# group 2
hostname(config-ikev1-policy)# lifetime 43200
hostname(config)# crypto ikev1 enable outside
- D-Hグループ: 2
- 認証方式: pre-share
- 暗号化アルゴリズム: 3des
- ハッシュアルゴリズム: sha-1
- lifetime: 43200
IKEv2構成
IKEv2を構成する方法は以下のとおりです。
hostname(config)# crypto ikev2 policy 1
hostname(config-ikev2-policy)# encryption 3des
hostname(config-ikev2-policy)# group 2
hostname(config-ikev2-policy)# prf sha
hostname(config-ikev2-policy)# lifetime 43200
hostname(config)# crypto ikev2 enable outside
- D-Hグループ: 2
- PRF(Pseudo Random Function)アルゴリズム: sha-1
- 暗号化アルゴリズム: 3des
- lifetime: 43200
IKEv1変換セットの作成
トラフィック保護のために IKEv1の変換セットを作成する方法は次の通リです。
hostname(config)# crypto ipsec transform-set FirstSet esp-3des esp-md5-hmac
- 変換セットの名前の例: FirstSet
- 暗号化アルゴリズ: esp-3des
- ハッシュアルゴリズム: esp-md5-hmac
IKEv2提案書の作成
トラフィック保護のために IKEv2の提案書を作成する方法は以下のとおりです。
hostname(config)# crypto ipsec ikev2 ipsec-proposal secure
hostname(config-ipsec-proposal)# protocol esp 3des integrity md5
- 提案書の名前の例: secure
- 暗号化アルゴリズム: 3des
- ハッシュアルゴリズム: md5
トンネルグループの作成
既存の Group Policyを利用してトンネルグループを作成する方法は以下のとおりです。
hostname(config)# group-policy DefaultGroupPolicy internal
hostname(config)# group-policy DefaultGroupPolicy attributes
hostname(config)# vpn-tunnel-protocol ikev1 ikev2
hostname(config)# tunnel-group <Peer IP> type ipsec-l2l
hostname(config)# tunnel-group <Peer IP> ipsec-attributes
hostname(config-tunnel-ipsec)# default-group-policy DefaultGroupPolicy
hostname(config-tunnel-ipsec)# ikev1 pre-shared-key <Pre-sharedキー値>
hostname(config-tunnel-ipsec)# ikev2 remote-authentication certificate
Pre-sharedキー値は、1~128字のアルファベットまたは数字で構成する必要があります。
暗号化マップの作成およびインターフェイスへの適用
暗号化マップを作成し、インターフェイスに適用する方法は以下のとおりです。
暗号化マップの作成
hostname(config)# crypto map <マップの名前の定義> 1 match address <access-listの名前> hostname(config)# crypto map <マップの名前> 1 set peer <Peer IP> hostname(config)# crypto map <マップの名前> 1 set ikev1 transform-set <IKEv1変形セットの名前> hostname(config)# crypto map <マップの名前> 1 set ikev2 ipsec-proposal <IKEv2提案書の名前>
インターフェイス適用
hostname(config)# crypto map <マップの名前> interface outside
接続の確認
すべてのプロセスを終えると、インターフェイスと VPNトンネルを確認できます。
インターフェイスの確認
インターフェイスを確認する方法は以下のとおりです。
hostname(config)# show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
VPNトンネルの確認
VPNトンネルを確認する方法は以下のとおりです。
show crypto ipsec sa
入力hostname(config)# show crypto ipsec sa interface: outside Crypto map tag: MAP, seq num: 10, local addr: 10.0.0.1 access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/1/0) remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/1/0) current_peer: 10.0.0.2 #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 10.0.0.1/0, remote crypto endpt.: 10.0.0.2/0 path mtu 1500, ipsec overhead 74, media mtu 1500 current outbound spi: DB680406 current inbound spi : 1698CAC7 inbound esp sas: spi: 0x1698CAC7 (379112135) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 16384, crypto-map: MAP sa timing: remaining key lifetime (kB/sec): (3914999/3326) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x0000001F outbound esp sas: spi: 0xDB680406 (3681027078) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 16384, crypto-map: MAP sa timing: remaining key lifetime (kB/sec): (3914999/3326) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001
show crypto isakmp sa
入力hostname(config)# show crypto isakmp sa IKEv1 SAs: Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 10.0.0.2 Type : L2L Role : responder Rekey : no State : MM_ACTIVE
show crypto IKEv2 sa det
入力hostname(config)# show crypto IKEv2 sa det IKEv2 SAs: Session-id:132, Status:UP-ACTIVE, IKE count:1, CHILD count:1 Tunnel-id Local Remote Status Role 1574208993 198.51.100.1/4500 203.0.113.134/4500 READY RESPONDER Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:24, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/352 sec Session-id: 132 Status Description: Negotiation done Local spi: 4FDFF215BDEC73EC Remote spi: 2414BEA1E10E3F70 Local id: 198.51.100.1 Remote id: DynamicSite2Site1 Local req mess id: 13 Remote req mess id: 17 Local next mess id: 13 Remote next mess id: 17 Local req queued: 13 Remote req queued: 17 Local window: 1 Remote window: 1 DPD configured for 10 seconds, retry 2 NAT-T is detected outside Child sa: local selector 172.0.0.0/0 - 172.255.255.255/65535 remote selector 172.16.1.0/0 - 172.16.1.255/65535 ESP spi in/out: 0x9fd5c736/0x6c5b3cc9 AH spi in/out: 0x0/0x0 CPI in/out: 0x0/0x0 Encr: AES-CBC, keysize: 256, esp_hmac: SHA96 ah_hmac: None, comp: IPCOMP_NONE, mode tunnel