• 検索結果がありません。

Cisco Security Device Manager サンプル設定ガイド

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "Cisco Security Device Manager サンプル設定ガイド"

Copied!
17
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 17 ページ )

全文

(1)

Cisco Easy VPN クライアント

Ⅰ 概 要 ---02

Ⅱ 設定手順 ---03 2006 年 4 月(第 1 版)

SDM 2.1.2 2005/09 リリース版

(2)

Cisco Easy VPN は、遠隔オフィスとテレワーカーのための仮装プライベートネットワーク(VPN)構築を簡素化します。 Cisco VPN ソリューションは、すべての Cisco VPN デバイスの VPN 接続を集中管理し、VPN 展開における管理を容 易にします。Cisco Easy VPN は、Cisco Easy VPN リモート、Cisco Easy VPN サーバという 2 つのコンポーネントから 構成されます。Cisco Easy VPN リモート機能は、Cisco IOS ルータが Cisco Easy VPN サーバから VPN トンネル接続 に関するセキュリティポリシーを受けとることにより、離れた場所でのコンフィグレーション要件を最小限にとどめること ができます。特に遠く離れたオフィスでは、このような費用対効果の高い解決策は IT サポートを効率的に行うために 有効です。Cisco Easy VPN サーバは、サイト間接続またはリモートアクセス VPN ゲートウェイデバイスとして機能しま す。リモートオフィス側(スポーク側)のルータが Cisco Easy VPN リモートの機能を果たします。 このサーバクライアント機能は、主要サイトで定義されたセキュリティポリシーをリモート VPN 装置に配信し、それぞ れの VPN 接続において VPN の接続確立前に最適・最新のポリシーを適用するなど VPN ポリシー管理の簡素化に有 効です。

Cisco Easy VPN サーバとして構成されたルータは、Cisco Easy VPN リモートが有効になっているリモートルータから の VPN トンネルを終端することができます。Cisco Easy VPN リモートの大きな特徴は、内部 IP アドレス、内部サブネッ トマスク、DNS サーバアドレス、WINS サーバアドレス、スプリット トンネリングの有無などの VPN パラメータについて、リ モートデバイスへ配信することです。本社などの中核サイトに保存された構成は、エンドユーザポリシーの動的な構成 をサポートし、エンドユーザとフィールドエンジニアの作業工数を最小限にとどめます。これにより、設定ミスとそのため に要するさらなるサポートコストを抑えることができます。このような特徴から、セキュリティ ポリシーの集中管理を提供 する Cisco Easy VPN は、迅速なユーザ対応を必要とする大規模な VPN 展開において有効なソリューションとなりま す。

Cisco Easy VPN は、VPN トンネルに対する接続パラメータのネゴシエーションを行い、IP Security(IPSec)トンネル を確立するための自動管理を提供します。拡張認証(Xauth)は IPSec 接続を要求するユーザを特定するさらなる認証 パターンを追加します。スプリットトンネリングは、インターネット向けのトラフィックについて、リモートルータがそれらの トラフィックを暗号化されたトンネルに送らず直接インターネットへ送信することを可能にする機能です。

(3)

設 定 手 順

本設定ガイドでは以下の前提条件の下、LAN to LAN での IPSec VPN 構成を想定しています。 (1) 固定 IP アドレスを持つ Cisco Easy VPN サーバ

(2) 固定または動的 IP を持つ Cisco Easy VPN リモート

(3) Cisco Easy VPN リモートは、Cisco Easy VPN サーバへ送信するトラフィックのみ暗号化 (4) リモート拠点(営業所)からのインターネット向けトラフィックは暗号化を行わず、直接送信される (5) リモート拠点からのトラフィックはアドレス変換(NAT/PAT)が行われる

(6) ユーザレベルの認証は VPN アクセスの拡張認証によって行われる

図 1:ネットワーク構成イメージ

このサンプル構成では、Cisco Easy VPN リモートをクライアントモードで使用します。クライアントモードでは、Cisco Easy VPN リモートの背後にある LAN 全体は、Cisco Easy VPN サーバによって提供される IP アドレスによってアドレ ス変換(NAT)されます。

Cisco Easy VPN サーバ上でスプリットトンネリングが構成されている場合、このポリシーは Cisco Easy VPN リモート へ自動的に適用されます。スプリットトンネリングは、インターネット向けのトラフィックについてリモートルータが暗号化 されたトンネルを通ることなく直接送信することを可能にしています。

本例において、事前共有キーはルータを認証するのに使用され、拡張認証(Xauth)は IPSec 接続を要求するユーザ を特定するための追加レベルの認証を提供します。リモートルータは、Internet Key Exchange(IKE)セキュリティアソシ エーションが確立された後に「ユーザ名/パスワード」チャレンジ認証を待ち受けます。 また本構成に使用する機器は、LAN および WAN インターフェイスが設定されており、SDM が利用できる状態にあ るものとしています。 本社 .30.5 .30.109 172.28.49.0/24 サーバ .49.104 .49.11 PC 66.1.1.109 66.1.1.104 インターネッ R1 R2 IPsec 営業所 30.30.30.0/24

(4)

1.Cisco Easy VPN リモートの作成

VPN タスクの構成モードで、「Easy VPN リモート」を選び、[Eazy VPN リモートの作成]を選択します。画面中の 「Easy VPN リモートを作成する。」を選択して「選択したタスクを実行する」をクリックし、Easy VPN リモート設定ウィ ザードを起動します(図 2)。 図 2:Easy VPN リモートの作成 Easy VPN リモートウィザード画面が表示(図 3)されます。「次へ」をクリックして処理を進めます。 図 3:Easy VPN リモートウィザード

(5)

Easy VPN リモートの接続情報(図 4)を以下のように構成し、「次へ」をクリックします。 Easy VPN トンネル名:ToHQ Easy VPN サーバ Easy VPN サーバ 1: 66.1.1.109 グループ:EZVPNgroup キー:cisco123 (画面上では暗号化されます) 図 4:接続情報 Easy VPN リモートにおける接続の特徴(図 5)を以下のように構成し、「次へ」をクリックします。 モード:Client 制御:Auto 図 5:接続の特徴

(6)

ユーザ認証(Xauth)設定(図 6)を以下のように構成し、「次へ」をクリックします。 画面上の「ルータ上に Xauth ユーザ名と パスワードを保存する」をチェック ユーザ名:sdmuser1 パスワード:cisco123 図 6:ユーザ認証(Xauth) ISP などに接続している外部インターフェイス及び内部インターフェイスを以下のように指定し(図 7)、「次へ」を クリックします。 外部インターフェイス:Fas tEthernet 1 内部インターフェイス:Fast Ethetnet 0 図 7:インターフェス設定

(7)

Easy VPN リモートの設定内容を確認し、「完了」をクリックします(図 8)。

図 8:Easy VPN リモート設定確認画面

Easy VPN サーバとの通信を可能にするために、デフォルトルートを追加します。SDM のルーティングタスクで、 スタティックルーティングの「追加」をクリックします(図 9)。

(8)

IP スタティックルートの追加画面で、「このルートをデフォルトルートにする」をチェックし、「転送(ネクストホップ)」は 「インターフェイス」をチェックして、外側インターフェイスである Fast Ethetnet 1 を選択します(図 10)。

図 10:デフォルトルート設定

ルーティングタスク画面に設定したデフォルトルートが正しく反映されていることを確認します(図 11)。

(9)

2.接続確認

Easy VPN の接続確認を行うため、[VPN]タスクの [Easy VPN リモート] の [Easy VPN リモートの編集] タブ から、「トンネルのテスト」をクリックし、VPN トラブルシューティングを起動します(図 12)。

図 12:Easy VPN リモートの編集

VPN トラブルシューティング画面の「開始」をクリックし、接続テストを開始します(図 13~図 16)。

(10)

図 14:VPN 接続テスト(2)

(11)

3.VPN ステータスの確認

VPN ステータスの確認は、監視モードの VPN タスクを参照します。Easy VPN リモートのステータスを確認するに は、[IPSec トンネル]タブ(図 17)と[IKE SA]タブ(図 18)を参照します。

図 17:VPN ステータス/IPSec トンネル

(12)

参考:コマンドラインでの Easy VPN クライアント構成設定例

以下の CLI コマンドは、これまで SDM で行ってきたものと同じ内容の構成を行う場合のコマンドになります。

···

The Cisco Easy VPN Remote Configuration !

crypto isakmp enable

crypto ipsec client ezvpn ToHQ

!Cisco Easy VPN リモートの作成:接続名「ToHQ」 connect auto

mode client

! NAT/PAT を使用する VPN クライアントの指定 group EZVPNgroup key cisco123

! Cisco Eazy VPN サーバに定義されたグループ「EZVPNgroup」と事前共有鍵「cisco123」の設定 peer 66.1.1.109

# Cisco Easy VPN サーバアドレス

username sdmuser1 password cisco123 # Easy VPN サーバでパスワード保存機能が有効になっている 場合、Xauth の ユーザ名/パスワードを保存する

interface FastEthernet0/0

crypto ipsec client ezvpn toHQ inside interface FastEthernet0/1

crypto ipsec client ezvpn toHQ outside # NAT/PAT 変換用の外部インターフェイス指定

Cisco SDM Easy VPN ウィザードを利用することによって、ユーザは簡単かつ迅速に、クライアント/サーバ IPSec VPN 設定に関する最小限の知識で Easy VPN リモート設定を生成することができます。

(13)

···

1812J SDM config

service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! no logging buffered ! aaa new-model ! !

aaa authentication login default local aaa authorization exec default local !

aaa session-id common ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ! ! ip cef no ip dhcp use vrf connected ! !

(14)

no ip ips deny-action ips-interface !

! !

username cisco privilege 15 password 0 cisco ! ! ! ! ! ! !

crypto ipsec client ezvpn ToHQ connect auto

group EZVPNgroup key cisco123 mode client

peer 66.1.1.109

username sdmuser1 password cisco123 xauth userid mode local

! ! ! ! interface Loopback0 ip address 10.10.10.101 255.255.255.255 ! interface BRI0 no ip address shutdown ! interface FastEthernet0 ip address 172.28.49.104 255.255.255.0 duplex auto speed auto

(15)

interface FastEthernet1 description $ETH-LAN$

ip address 66.1.1.104 255.255.255.0 duplex auto

speed auto

crypto ipsec client ezvpn ToHQ ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ! interface FastEthernet5 ! interface FastEthernet6 ! interface FastEthernet7 ! interface FastEthernet8 ! interface FastEthernet9 ! interface Vlan1 no ip address ! ip classless ip route 0.0.0.0 0.0.0.0 FastEthernet1 ! ! ip http server ip http authentication local no ip http secure-server ! !

(16)

! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 ! no scheduler allocate end ···

(17)

Cisco Security Device Manger サンプル設定ガイド Cisco Easy VPN クライアント 発行 2006 年 4 月 第 1 版 発行 シスコシステムズ株式会社 ・本技術資料に記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。 (最新情報については、CCO のドキュメントをご確認ください。また、シスコ担当までお問い合わせください。) ・本技術資料に関して、その正確性又は完全性について一切の責任を負わないこととします。

図 1:ネットワーク構成イメージ
図 9:スタティックルーティングの追加
図 11:デフォルトルートの確認
図 12:Easy VPN リモートの編集
+3

参照

今ダウンロードする ( PDF - 17 ページ - 916.86 KB )

関連したドキュメント

オンライン請求システム等 接続ガイド 1.1 版 ネットワーク設定 IP-VPN 接続方式 (IPv6 利用 ) オンライン資格確認等システムは未利用または別な接続方式で利用している場合 2022 年 3 月 本手順は IP-VPN 接続方式 ( フレッツ光による接続 ) の IPv6( オンライン

Internet Explorer 11 Windows 8.1 Windows 10 Microsoft Edge Windows 10..

軸堤頂堤第 3 章設計 3.4 洪水吐の設計 洪水吐は 設計洪水流量以下の流水を安全に流下させ 貯水位の異常な上昇を防止する構造とする また 洪水吐を流下する流水の水勢を緩和する必要がある場合には 適当な減勢工を設けるものとする なお 洪水吐は ため池の堤体及び基礎地盤並びに貯水池に支障を及ぼさない

断面が変化する個所には伸縮継目を設けるとともに、斜面部においては、継目部受け台とすべり止め

Cisco Collaboration クラウドソリューション Cisco Webex 提案ガイド 2020 年 10 月版 ( 新ライセンス型番に対応 ) ダイワボウ情報システム株式会社

製品内容 メーカー型番 DIS コード DIS 定価 Webex Room Kit 専用. カメラ台 TCDS-SRKCA

Express5800/T110j (2nd-Gen) システム構成ガイド

本装置は OS のブート方法として、Secure Boot をサポートしています。 Secure Boot とは、UEFI Boot

Cisco 1000 シリーズ サービス統合型ルータ データシート

Cisco IOS ® XE ソフトウェアを搭載する Cisco ® 1000 シリーズ

複数拠点でIPsecVPN接続を行う設定(FortiGate-FortiGate)設定手順書_OS5.6_

本手順書は複数拠点をアグレッシブモードの IPsec-VPN を用いて FortiGate を VPN

幸せの探求

エッジワースの単純化は次のよう な仮定だった。すなわち「すべて の人間は快楽機械である」という

産業廃棄物管理票交付等状況報告書 作成マニュアル(東京都版)

Q7 建設工事の場合は、都内の各工事現場の実績をまとめて 1