ASA および FTD からの Microsoft Azure への設定 ポリシ ベースおよびルート ベースの VPN

ASA および FTD からの Microsoft Azure への設 定 ポリシ ベースおよびルート ベースの VPN

目次

はじめに 概念 前提条件 要件

使用するコンポーネント 設定

IKEv1

ASA コード 9.8(1) またはそれ以降の VTI とルート ベースの IKEv2 FTD の IKEv1 設定

ポリシ ベースのトラフィック セレクタとルート ベースの IKEv2  確認

フェーズ 1 IKEv2 IKEv1 フェーズ 2

トラブルシューティング IKEv1

IKEv2

概要

このドキュメント アウトラインは Microsoft Azure Cloud に接続するために Site to Site VPN 適応 型セキュリティ アプライアンス（ASA）ソフトウェア（ASA）および Firepower Threat Defense

（FTD）次世代 ファイアウォールを on Cisco 設定するのに必要な概念および設定保守します。 

コンセプト

VPN 暗号化 ドメイン: VPN に加わる IP アドレス範囲 IPSec 割り当てはトンネル伝送します。暗 号化 ドメインはローカル トラフィック セレクタおよびリモート トラフィック セレクタを使用し てどんなローカルおよびリモート サブネット範囲が IPSec によってキャプチャ され、暗号化さ れるか規定 するために定義されます。 VPN の暗号化 ドメインを定義する 2 つのメソッドがあり ます: ルート ベースかポリシ ベースのトラフィック セレクタ。

ルート ベース: IPSecトンネルを入力する暗号化 ドメインはトラフィックを可能にするために設 定 されます。 IPSec ローカルおよびリモート トラフィック セレクタは 0.0.0.0 に設定 されます

。 これは IPSecトンネルにルーティングされるどのトラフィックでも出典/宛先 サブネットに関 係なく暗号化されることを意味します。

ASA はバージョン 9.8 および それ 以降の仮想 な トンネルインターフェイス（VTIs）の使用のル ート ベースの VPN をサポートします。

FTD はこの資料を書くことの時にルート ベースの VPN をサポートしません。

ポリシ ベース: 暗号化 ドメインは両方のための特定の IP 範囲だけ暗号化するために送信元およ び宛先 設定 されます。 IPSec かに暗号化するべきどんなトラフィックをポリシ ベースのローカ ル トラフィック セレクタおよびリモート トラフィック セレクタは識別します。

ASA はバージョン 8.2 および それ 以降のクリプト マップとのポリシ ベースの VPN をサポート します。

Microsoft Azure は模倣されたポリシ ベースのトラフィック セレクタとのルート ベース、ポリシ ベースかまたは「ルート ベースを」サポートします。 Azure は現在どんな IKE （Internet Key Exchange（IKE））バージョンを設定 VPN 指定方式に基づいてできるか制限します。 ルート ベ ース IKEv2 を必要とし、ポリシ ベース IKEv1 を必要とします。 これは IKEv2 が使用される場合 ことを意味します、Azure でルート ベース選択されなければ、ASA はポリシ ベースのトラフィ ック セレクタでルート ベースのために設定する必要があります仮想 な トンネルインターフェイ ス、ASA がコードバージョンによるクリプト マップだけをサポートすれば Azure を使用する必 要があります。 これは PowerShell スクリプト配備によって Azure ポータルで Microsoft がここ に説明されるように UsePolicyBasedTrafficSelectors と呼出すオプションを実装するために達成 されます: https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-connect-multiple- policybased-rm-ps

ASA および FTD 設定から要約するため観点:

クリプト マップで設定される ASA/FTD に関してはポリシ ベースの VPN のために Azure が  UsePolicyBasedTrafficSelectors でルート ベース設定する。

●

仮想 な トンネルインターフェイスで設定される ASA に関しては Azure はルート ベースの VPN のために設定する必要があります。

●

FTD に関しては現在 仮想 な トンネルインターフェイス（VTI）または経路選択済みによって 基づく VPN をサポートしません。

●

前提条件

要件

ASA の VTI を使用する IKEv2 ルート ベースの VPN に関しては: ASA コードバージョン 9.8(1) またはそれ以降。 Azure はルート ベースの VPN のために設定する必要があります

●

ASA および FTD のクリプト マップを使用する IKEv1 ポリシ ベースの VPN に関しては:

ASA コードバージョン 8.2 またはそれ以降および FTD 6.2.0 またはそれ以降。  Azure はポリ シ ベースの VPN のために設定する必要があります

●

ポリシ ベースのトラフィック セレクタが付いている ASA のクリプト マップを使用する IKEv2 ルート ベースの VPN に関しては: クリプト マップで設定される ASA コードバージョ ン 8.2 またはそれ以降。  Azure は UsePolicyBasedTrafficSelectors でルート ベースの VPN のために設定する必要があります。

●

FTD 管理および設定のための Firepower Management Center （FMC）ナレッジ。

●

使用するコンポーネント

Cisco ASA

●

Microsoft Azure

●

Cisco Firepower Threat Defense

●

Cisco Firepower Management Center

●

設定

下記のコンフィギュレーションのステップを完了して下さい。 基づいて VTI で IKEv1、IKEv2 ル ート、か使用 ポリシ ベースのトラフィック セレクタ（ASA のクリプト マップ）によって基づい て IKEv2 ルートを設定することを選択して下さい。

IKEv1

ASA からの Azure へのサイト IKEv1 VPN へのサイトに関しては、下記の ASA 設定に続いて下さ い。 Azure ポータルのポリシ ベースのトンネルを設定するようにして下さい。 クリプト マップ はこの例のために ASA で使用されます。

ASA 設定ヒントの完全な IKEv1 のためのこの Ciscoドキュメントを参照して下さい。

ステップ 1. outside インターフェイスのイネーブル IKEv1。

Cisco-ASA(config)#crypto ikev1 enable outside

ステップ 2. IKEv1 ポリシーを作成して下さいハッシュ、認証、Diffie-Hellmanグループ、ライフ タイムおよび暗号化に使用するべきアルゴリズム/メソッドを定義する。

注： 下記に記載されているフェーズ 1 IKEv1 属性は Microsoft この共用利用可能 資料からの提供 されたベストエフォートです。 それ以上の説明に関しては Microsoft Azure サポートに手を差し 伸べて下さい。

Cisco-ASA(config)#crypto ikev1 policy 1

!The 1 in the above command refers to the Policy suite priority (1 highest, 65535 lowest)

Cisco-ASA(config-ikev1-policy)#authentication pre-share Cisco-ASA(config-ikev1-policy)#encryption aes

Cisco-ASA(config-ikev1-policy)#hash sha Cisco-ASA(config-ikev1-policy)#group 2

Cisco-ASA(config-ikev1-policy)#lifetime 28800

ステップ 3.トンネル グループを IPsec 属性の下で作成し、ピアIP アドレスおよびトンネル 事前 共有キーを設定して下さい。

Cisco-ASA(config)#tunnel-group 192.168.1.1 type ipsec-l2l Cisco-ASA(config)#tunnel-group 192.168.1.1 ipsec-attributes Cisco-ASA(config-tunnel-ipsec)#ikev1 pre-shared-key cisco

! Note the IKEv1 keyword at the beginning of the pre-shared-key command.

ステップ 4.暗号化され、トンネル伝送されるトラフィックを定義するアクセス リストを作成して 下さい。 この例では、10.2.2.0 サブネットから 10.1.1.0 へのソースをたどられる対象のトラフィ ックはトンネルからのトラフィックです。 それはサイトの間で含まれる複数のサブネットがある 場合複数のエントリが含まれている場合があります。

バージョン 8.4 および それ 以降では、ネットワーク、サブネット、ホスト IP アドレス、または 複数のオブジェクトのための容器として役立つオブジェクト グループ作成するかオブジェクトは ことができます。 ローカルおよびリモート サブネットがある作成し、暗号 Access Control List

（ACL）および NAT 文両方のために使用して下さい 2 つのオブジェクトを。

Cisco-ASA(config)#object network 10.2.2.0_24

Cisco-ASA(config-network-object)#subnet 10.2.2.0 255.255.255.0 Cisco-ASA(config)#object network 10.1.1.0_24

Cisco-ASA(config-network-object)#subnet 10.1.1.0 255.255.255.0

Cisco-ASA(config)#access-list 100 extended permit ip object 10.2.2.0_24 object 10.1.1.0_24

ステップ 5.設定 される keywordIKEv1 を含む必要があるトランスフォームを（TS）設定して下 さい。 同一の TS はリモート エンドで同様に作成する必要があります。

注： 下記に記載されているフェーズ 2 IPSec 属性は Microsoft この共用利用可能 資料からの提供 されたベストエフォートです。 それ以上の説明に関しては Microsoft Azure サポートに手を差し 伸べて下さい。

Cisco-ASA(config)#crypto ipsec ikev1 transform-set myset esp-aes esp-sha-hmac

ステップ 6.クリプト マップを設定し、これらのコンポーネントがある outside インターフェイス に適用して下さい、:

• ピアIP アドレス

• 対象のトラフィックが含まれている定義されたアクセス リスト

• TS

• 下記の構成は PFS は Azure の IKEv1 のために無効に なることを共用利用可能紺碧ドキュメン トが示すので PFS を設定 しません。 設定 するオプションの完全転送秘密 （PFS）はこの構成の 使用によってデータを保護するために（両側はディフィー-ヘルマンキーの新しいペアを作成する フェーズ 2 の前にアップします PFS 有効に する必要があります）使用する、有効に することが できます: クリプト マップ outside_map 20 セット PFS

• 下記に設定 されるフェーズ 2 IPSecライフタイムは共用利用可能紺碧ドキュメントに基づいて います、なぜならそれ以上の説明によっては Microsoft Azure サポートが接触します

Cisco-ASA(config)#crypto map outside_map 20 match address 100 Cisco-ASA(config)#crypto map outside_map 20 set peer 192.168.1.1

Cisco-ASA(config)#crypto map outside_map 20 set ikev1 transform-set myset

Cisco-ASA(config)#crypto map outside_map 20 set security-association lifetime seconds 3600

Cisco-ASA(config)#crypto map outside_map 20 set security-association lifetime kilobytes 102400000 Cisco-ASA(config)#crypto map outside_map interface outside

ステップ 7 VPN トラフィックが他のどの NAT ルールに服従しないようにして下さい。 NAT 免除 ルールを作成して下さい:

Cisco-ASA(config)#nat (inside,outside) 1 source static 10.2.2.0_24 10.2.2.0_24 destination static 10.1.1.0_24 10.1.1.0_24 no-proxy-arp route-lookup

注： 複数のサブネットが使用されるとき、送信元および宛先サブネットすべてでオブジェクト グ ループを作成し、NAT ルールでそれらを使用して下さい。

Cisco-ASA(config)#object-group network 10.x.x.x_SOURCE

Cisco-ASA(config-network-object-group)#network-object 10.4.4.0 255.255.255.0 Cisco-ASA(config-network-object-group)#network-object 10.2.2.0 255.255.255.0 Cisco-ASA(config)#object network 10.x.x.x_DESTINATION

Cisco-ASA(config-network-object-group)#network-object 10.3.3.0 255.255.255.0 Cisco-ASA(config-network-object-group)#network-object 10.1.1.0 255.255.255.0

Cisco-ASA(config)#nat (inside,outside) 1 source static 10.x.x.x_SOURCE 10.x.x.x_SOURCE destination static 10.x.x.x_DESTINATION 10.x.x.x_DESTINATION no-proxy-arp route-lookup

ASA コード 9.8(1) またはそれ以降の VTI とルート ベースの IKEv2

ASA コードのサイト IKEv2 ルートによって基づく VPN へのサイトに関しては、下記の設定に続 いて下さい。 Azure がルート ベースの VPN のために設定されるし、Azure ポータルの

UsePolicyBasedTrafficSelectors をように設定しないで下さい。 仮想 な トンネルインターフェイ スは ASA で設定されます。

完全な ASA VTI 設定ヒントのためのこの Ciscoドキュメントを参照して下さい。

ステップ 1. outside インターフェイスのイネーブル IKEv2:

Cisco-ASA(config)#crypto ikev2 enable outside

ステップ 2. IKEv2 フェーズ 1 ポリシーを追加して下さい。

注： Microsoft は Azure によって利用する特定の IKEv2 フェーズ 1 暗号化、統合およびライフタ イム属性に関する競合 情報を配布しました。 下記に記載されている属性は Microsoft この共用利 用可能 資料からの提供されたベストエフォートです。 Microsoft からの競合 IKEv2 属性 情報はこ こに目に見えます。 それ以上の説明に関しては Microsoft Azure サポートに手を差し伸べて下さ い。

Cisco-ASA(config)#crypto ikev2 policy 1 Cisco-ASA(config-ikev2-policy)#encryption aes Cisco-ASA(config-ikev2-policy)#integrity sha Cisco-ASA(config-ikev2-policy)#group 2

Cisco-ASA(config-ikev2-policy)#lifetime seconds 28800

ステップ 3. IKEv2 フェーズ 2 IPsec 提案を追加して下さい。 暗号 IPsec ikev2 ipsec 提案コンフ ィギュレーションモードのセキュリティパラメータを規定 して下さい:

プロトコル特別に暗号化{DES | 3des | aes | aes-192 | aes-256 | aes-gcm | aes-gcm-192 | aes- gcm-256 | aes-gmac | aes-gmac-192 | aes-gmac-256 | ヌル}

プロトコル特別に統合 {md5 | sha-1 | sha-256 | sha-384 | sha-512 | ヌル}

注： Microsoft は Azure によって利用する特定のフェーズ 2 つの IPSec暗号化および統合属性に 関する競合 情報を配布しました。 下記に記載されている属性は Microsoft この共用利用可能 資料 からの提供されたベストエフォートです。 Microsoft からのフェーズ 2 IPSec 競合属性 情報はこ こに目に見えます。 それ以上の説明に関しては Microsoft Azure サポートに手を差し伸べて下さ い。

Cisco-ASA(config)#crypto ipsec ikev2 ipsec-proposal SET1 Cisco-ASA(config-ipsec-proposal)#protocol esp encryption aes

Cisco-ASA(config-ipsec-proposal)#protocol esp integrity sha-1

ステップ 4. IPSec プロファイル 規定を追加して下さい:

ikev2 フェーズ 2 IPSec 前もって設定された提案

●

秒やキロバイトのフェーズ 2 IPSecライフタイム（オプションの）

●

完全なフォワーディング 機密性（PFS）グループ（オプションの）

●

注： Microsoft は Azure によって利用する特定のフェーズ 2 IPSecライフタイムおよび PFS 属性 に関する競合 情報を配布しました。 下記に記載されている属性は Microsoft この共用利用可能 資 料からの提供されたベストエフォートです。 Microsoft からのフェーズ 2 IPSec 競合属性 情報は ここに目に見えます。 それ以上の説明に関しては Microsoft Azure サポートに手を差し伸べて下 さい。

Cisco-ASA(config)#crypto ipsec profile PROFILE1

Cisco-ASA(config-ipsec-profile)#set ikev2 ipsec-proposal SET1

Cisco-ASA(config-ipsec-profile)#set security-association lifetime seconds 27000 Cisco-ASA(config-ipsec-profile)#set security-association lifetime kilobytes unlimited Cisco-ASA(config-ipsec-profile)#set pfs none

ステップ 5.トンネル グループを IPsec 属性の下で作成し、ピアIP アドレス IKEv2 ローカル リモ ート トンネル 事前共有キーを設定し、:

Cisco-ASA(config)#tunnel-group 192.168.1.1 type ipsec-l2l Cisco-ASA(config)#tunnel-group 192.168.1.1 ipsec-attributes

Cisco-ASA(config-tunnel-ipsec)#ikev2 local-authentication pre-shared-key cisco Cisco-ASA(config-tunnel-ipsec)#ikev2 remote-authentication pre-shared-key cisco

ステップ 6.仮想 な トンネルインターフェイス 規定を作成して下さい:

新しいトンネルインターフェイス数: インターフェイス トンネル[数]

●

新しいトンネルインターフェイス名前: nameif [名前]

●

トンネルインターフェイスで存在 する非existant IP アドレス: IP アドレス[IP アドレス] [マス ク]

●

VPN がローカルで終了するところトンネル ソース インターフェイス: トンネル ソース イン ターフェイス[int 名前]

●

紺碧ゲートウェイ IPアドレス: トンネル宛先[紺碧パブリック IP]

●

IPSec IPv4 モード: トンネルモード ipsec ipv4

●

この VTI のために使用するべき IPSec プロファイル: トンネル 保護 IPSec プロファイル [Profile Name]

●

Cisco-ASA(config)#interface tunnel 100 Cisco-ASA(config-if)#nameif vti

Cisco-ASA(config-if)#ip address 169.254.0.1 255.255.255.254 Cisco-ASA(config-if)#tunnel source interface outside

Cisco-ASA(config-if)#tunnel destination [Azure Public IP]

Cisco-ASA(config-if)#tunnel mode ipsec ipv4

Cisco-ASA(config-if)#tunnel protection ipsec profile PROFILE1

ステップ 7.トンネルにトラフィックを指すためにスタティック ルートを作成して下さい。 スタ ティック ルートを追加するために、次のコマンドを入力して下さい:

ルーティングして下さい if_name dest_ip マスク gateway_ip [距離]

dest_ip およびマスクは紺碧クラウド、たとえば 10.0.0.0/24 の宛先ネットワークのための IP アド

レスです。 gateway_ip は 169.254.0.2 のようなトンネルインターフェイス サブネットの IP アド レス（現存するか非existant）、である必要があります。 この gateway_ip の目的はトンネルイン ターフェイスにトラフィックを指すことですが特定のゲートウェイ IP 自体は重要ではないです。

Cisco-ASA(config)#route vti 10.0.0.0 255.255.255.0 169.254.0.2

FTD の IKEv1 設定

FTD からの Azure へのサイト IKEv1 VPN へのサイトに関しては、以前に FMC に FTD デバイス を登録する必要があります。

ステップ 1.サイト ポリシーにサイトを作成して下さい。 FMC ダッシュボードに行って下さい、

「デバイス」へのナビゲートは「VPN」をクリックし、「サイトへのサイト」を選択します。     

ステップ 2.新しいポリシーを作成して下さい。 「追加し、VPN」ドロップダウンメニューを選択 します「Firepower Threat Defense デバイス」をクリックして下さい。 

ステップ 3 「新しい VPN トポロジー」ウィンドウで作成し、「トポロジー名前」規定 し、

"IKEV1" プロトコル チェックボックスをチェックし、「IKE」タブをクリックして下さい。 この 例の為に、事前共有キーは認証方式として使用されます。

「認証種別をクリックして下さい: 」dropwdown メニュー、「は事前共有 Manual 鍵を」選択し

。 「キー」入力すれば「キー」テキスト フィールドの手動事前共有キーを確認して下さい。       

                ステップ 4.新しいものの作成によって ISAKMPポリシーまたはフェーズ 1 パラメータを設定して 下さい。 同じウィンドウで、新しい ISAKMPポリシーを追加するためにボタンとグリーンをクリ ックして下さい。 ポリシーの名前を規定 し、望ましい暗号化、ハッシュ、Diffie-Hellmanグルー プ、ライフタイムおよび認証方式を選択し、「「Save」」をクリックして下さい。       

ステップ 5. IPsec ポリシーを設定すれば「IPsec」タブへ行くことによるフェーズ 2 パラメータ は、「クリプト マップ型」チェックボックスをの「スタティック」選択します。 「トランスフォ ーム セットの "IKEV1 IPsec 提案」からの「編集します鉛筆」アイコンをクリックして下さい: 」 オプション。       

ステップ 6. IPsec 新しい提案を作成して下さい。 "IKEv1 IPSec 提案で」ウィンドウは、新しい ものを追加するためにボタンとグリーンをクリックします。 ポリシーの名前を規定 すれば ESP 暗号化および ESP ハッシュ アルゴリズムのためのパラメータを望み、「「Save」」をクリック します。       

ステップ 7  "IKEV1 IPsec 提案で」ウィンドウは「『Transform Sets』 を選択 された」セクショ ンに、IPsec 新しいポリシーを追加し、"OK"を クリックする。       

ステップ 8. 「IPSec」タブで、望ましいライフタイム 期間およびサイズを設定して下さい。       

ステップ 9. 「エンドポイント」タブへ行くことによって暗号化 ドメイン/トラフィック セレクタ /保護されたネットワークを選択して下さい。 「ノード A」セクションで新しいものを追加するた めに buttong とグリーンをクリックして下さい。 このノード例で A は FTD へのローカルサブネ ットとして使用されます。  

ステップ 10： 「エンドポイント」ウィンドウで追加して下さい、使用するべき物理インターフ ェイスおよび IP アドレスと共にドロップダウンな「デバイスで」使用するために FTD を規定 し て下さい。

ステップ 11： ローカル トラフィック セレクタを規定 するために、「保護されたネットワーク」

オプションに行き、新しいオブジェクトを作成するためにボタンとグリーンをクリックして下さ い。

ステップ 12： 「ネットワーク オブジェクト」ウィンドウで、「利用可能 な ネットワーク」の隣 でボタンとグリーンを新しいローカル トラフィック セレクタ オブジェクトを作成するためにシ ョートメッセージを送りますクリックして下さい。       

ステップ 13： 「新しいネットワーク オブジェクト」ウィンドウで、オブジェクトの名前を規定 し、ホスト/ネットワーク/range/FQDN をそれに応じて選択して下さい。 それから、「「Save」

」をクリックして下さい。       

ステップ 14： オブジェクトを「ネットワーク オブジェクト」ウィンドウの「指定ネットワーク

」セクションに追加し、"OK"を クリックする。「追加しますエンドポイント」ウィンドウで

"OK"を クリックする。         

ステップ 15： この例の、それ紺碧エンドポイントであるノード B エンドポイントを定義して下 さい。 「新しい VPN トポロジー」ウィンドウで作成し、「ノード B」セクションに行き、リモ ートエンドポイント トラフィック セレクタを追加するためにボタンとグリーンをクリックして下 さい。 ノード A. Type と同じ FMC によってデバイス（ただローカルで固有の）および IP アドレ スの名前管理されないすべての VPN ピア エンドポイントのための「エクストラネット」を規定 して下さい。       

ステップ 16： リモート トラフィック セレクタ オブジェクトを作成して下さい。 「保護された ネットワーク」セクションに行き、新しいオブジェクトを追加するためにボタンとグリーンをク リックして下さい。

ステップ 17： 「ネットワーク オブジェクト」ウィンドウで、「利用可能 な ネットワーク」の隣 でボタンとグリーンを新しいオブジェクトを作成するためにショートメッセージを送りますクリ ックして下さい。 「新しいネットワーク オブジェクト」ウィンドウで、オブジェクトの名前を規 定 し、ホスト/範囲/network/FQDN をそれに応じて選択し、「「Save」」をクリックして下さい

。       

ステップ 18： 「ネットワーク オブジェクト」ウィンドウで、新しいリモート オブジェクトを「

指定ネットワーク」セクションに追加し、"OK"を クリックする。「追加しますエンドポイント」

ウィンドウで"Ok"を クリックする。       

ステップ 19： 正しいトラフィック セレクタ/保護されたネットワークが付いている両方のノード を今表示できる「新しい VPN トポロジー」ウィンドウで作成して下さい。 「「Save」」をクリ ックして下さい。       

ステップ 20： FMC ダッシュボードで、「導入」を上 righ ペインでクリックし、FTD デバイスを 選択し、"Deploy"を クリックする。

ステップ 21： コマンド ライン インターフェースで、VPN 設定は ASA デバイスのためのものと 同じを検知 します。

ポリシ ベースのトラフィック セレクタとルート ベースの IKEv2 

クリプト マップが付いている ASA のサイト IKEv2 VPN へのサイトに関しては、下記の設定に続 いて下さい。 Azure が PowerShell の使用による Azure ポータルでルート ベースの VPN *AND*

UsePolicyBasedTrafficSelectors のために設定する必要がある設定されるようにして下さい。

Microsoft からのこの資料は Azure ルート ベースの VPN モードと共に

UsePolicyBasedTrafficSelectors の設定を説明したものです。 完了するこのステップなしでクリ プト マップが付いている ASA はミスマッチによる Azure から届くトラフィック セレクタで接続 を確立しません。

クリプト マップ構成情報の完全な ASA IKEv2 のためのこの Ciscoドキュメントを参照して下さい ステップ 1. outside インターフェイスのイネーブル IKEv2:

Cisco-ASA(config)#crypto ikev2 enable outside

ステップ 2. IKEv2 フェーズ 1 ポリシーを追加して下さい。

注： Microsoft は Azure によって利用する特定の IKEv2 フェーズ 1 暗号化、統合およびライフタ イム属性に関する競合 情報を配布しました。 下記に記載されている属性は Microsoft この共用利 用可能 資料からの提供されたベストエフォートです。 Microsoft からの競合 IKEv2 属性 情報はこ こに目に見えます。 それ以上の説明に関しては Microsoft Azure サポートに手を差し伸べて下さ い。

Cisco-ASA(config)#crypto ikev2 policy 1 Cisco-ASA(config-ikev2-policy)#encryption aes Cisco-ASA(config-ikev2-policy)#integrity sha Cisco-ASA(config-ikev2-policy)#group 2

Cisco-ASA(config-ikev2-policy)#lifetime seconds 28800

ステップ 3.トンネル グループを IPsec 属性の下で作成し、ピアIP アドレス IKEv2 ローカル リモ ート トンネル 事前共有キーを設定し、:

Cisco-ASA(config)#tunnel-group 192.168.1.1 type ipsec-l2l Cisco-ASA(config)#tunnel-group 192.168.1.1 ipsec-attributes

Cisco-ASA(config-tunnel-ipsec)#ikev2 local-authentication pre-shared-key cisco Cisco-ASA(config-tunnel-ipsec)#ikev2 remote-authentication pre-shared-key cisco

ステップ 4.暗号化され、トンネル伝送されるトラフィックを定義するアクセス リストを作成して 下さい。 この例では、10.2.2.0 サブネットから 10.1.1.0 へのソースをたどられる対象のトラフィ ックはトンネルからのトラフィックです。 それはサイトの間で含まれる複数のサブネットがある 場合複数のエントリが含まれている場合があります。

バージョン 8.4 および それ 以降では、ネットワーク、サブネット、ホスト IP アドレス、または 複数のオブジェクトのための容器として役立つオブジェクト グループ作成するかオブジェクトは ことができます。 ローカルおよびリモート サブネットがある作成し、暗号 Access Control List

（ACL）および NAT 文両方のために使用して下さい 2 つのオブジェクトを。

Cisco-ASA(config)#object network 10.2.2.0_24

Cisco-ASA(config-network-object)#subnet 10.2.2.0 255.255.255.0 Cisco-ASA(config)#object network 10.1.1.0_24

Cisco-ASA(config-network-object)#subnet 10.1.1.0 255.255.255.0

Cisco-ASA(config)#access-list 100 extended permit ip object 10.2.2.0_24 object 10.1.1.0_24

ステップ 5. IKEv2 フェーズ 2 IPsec 提案を追加して下さい。 暗号 IPsec ikev2 ipsec 提案コンフ ィギュレーションモードのセキュリティパラメータを規定 して下さい:

プロトコル特別に暗号化{DES | 3des | aes | aes-192 | aes-256 | aes-gcm | aes-gcm-192 | aes- gcm-256 | aes-gmac | aes-gmac-192 | aes-gmac-256 | ヌル}

プロトコル特別に統合 {md5 | sha-1 | sha-256 | sha-384 | sha-512 | ヌル}

注： Microsoft は Azure によって利用する特定のフェーズ 2 つの IPSec暗号化および統合属性に 関する競合 情報を配布しました。 下記に記載されている属性は Microsoft この共用利用可能 資料

からの提供されたベストエフォートです。 Microsoft からのフェーズ 2 IPSec 競合属性 情報はこ こに目に見えます。 それ以上の説明に関しては Microsoft Azure サポートに手を差し伸べて下さ い。

Cisco-ASA(config)#crypto ipsec ikev2 ipsec-proposal SET1 Cisco-ASA(config-ipsec-proposal)#protocol esp encryption aes Cisco-ASA(config-ipsec-proposal)#protocol esp integrity sha-1

ステップ 6.クリプト マップを設定し、これらのコンポーネントが含まれている outside インター フェイスに適用して下さい、:

• ピアIP アドレス

• 対象のトラフィックが含まれている定義されたアクセス リスト

• IKEv2 フェーズ 2 IPSec 提案

• 秒のフェーズ 2 IPSecライフタイム

• 設定 するオプションの完全転送秘密 （PFS）はフェーズ 2 はの前にデータ（両側使用するディ フィー-ヘルマンキーの新しいペアを作成するアップします PFS 有効に する必要があります）を 保護するために

注： Microsoft は Azure によって利用する特定のフェーズ 2 IPSecライフタイムおよび PFS 属性 に関する競合 情報を配布しました。 下記に記載されている属性は Microsoft この共用利用可能 資 料からの提供されたベストエフォートです。 Microsoft からのフェーズ 2 IPSec 競合属性 情報は ここに目に見えます。 それ以上の説明に関しては Microsoft Azure サポートに手を差し伸べて下 さい。

Cisco-ASA(config)#crypto map outside_map 20 match address 100 Cisco-ASA(config)#crypto map outside_map 20 set peer 192.168.1.1

Cisco-ASA(config)#crypto map outside_map 20 set ikev2 ipsec-proposal myset

Cisco-ASA(config)#crypto map outside_map 20 set security-association lifetime seconds 27000 Cisco-ASA(config)#crypto map outside_map 20 set security-association lifetime kilobytes unlimited

Cisco-ASA(config)#crypto map outside_map 20 set pfs none Cisco-ASA(config)#crypto map outside_map interface outside

ステップ 8 VPN トラフィックが他のどの NAT ルールに服従しないようにして下さい。 NAT 免除 ルールを作成して下さい:

Cisco-ASA(config)#nat (inside,outside) 1 source static 10.2.2.0_24 10.2.2.0_24 destination static 10.1.1.0_24 10.1.1.0_24 no-proxy-arp route-lookup

注: 複数のサブネットが使用されるとき、送信元および宛先サブネットすべてでオブジェクト グ ループを作成し、NAT ルールでそれらを使用して下さい。

Cisco-ASA(config)#object-group network 10.x.x.x_SOURCE

Cisco-ASA(config-network-object-group)#network-object 10.4.4.0 255.255.255.0 Cisco-ASA(config-network-object-group)#network-object 10.2.2.0 255.255.255.0 Cisco-ASA(config)#object network 10.x.x.x_DESTINATION

Cisco-ASA(config-network-object-group)#network-object 10.3.3.0 255.255.255.0 Cisco-ASA(config-network-object-group)#network-object 10.1.1.0 255.255.255.0

Cisco-ASA(config)#nat (inside,outside) 1 source static 10.x.x.x_SOURCE 10.x.x.x_SOURCE

destination static 10.x.x.x_DESTINATION 10.x.x.x_DESTINATION no-proxy-arp route-lookup

確認

ASA および紺碧ゲートウェイ両方の設定を完了した後、Azure は VPN トンネルを開始します。

次のコマンドでことをトンネル ビルド正しく確認できます。

フェーズ 1

フェーズ 1 セキュリティ結合が次のコマンドで構築したことを確認して下さい:

IKEv2

下記に、リモート宛先 IP 192.168.2.2 に UDP ポート 500 のローカル outside インターフェイス IP 192.168.1.2 から、構築される IKEv2 SA 示されています。 暗号化 トラフィックがフローする ことができるようにまた構築される有効な子 SA あります。

Cisco-ASA# show crypto ikev2 sa IKEv2 SAs:

Session-id:44615, Status:UP-ACTIVE, IKE count:1, CHILD count:1 Tunnel-id Local Remote Status Role

3208253 192.168.1.2/500 192.168.2.2/500 READY INITIATOR

Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/142 sec

*-->Child sa: local selector 192.168.0.0/0 - 192.168.0.255/65535 remote selector 192.168.3.0/0 - 192.168.3.255/65535 ESP spi in/out: 0x9b60edc5/0x8e7a2e12

IKEv1

86388 秒の残りのライフタイムのピア IP 192.168.2.2 に発信側として ASA と構築される Belo は

、IKEv1 SA 示されています。

Cisco-ASA# sh crypto ikev1 sa detail IKEv1 SAs:

Active SA: 1

Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1

1 IKE Peer: 192.168.2.2

Type : L2L Role : initiator Rekey : no State : MM_ACTIVE Encrypt : aes Hash : SHA Auth : preshared Lifetime: 86400 Lifetime Remaining: 86388

フェーズ 2

フェーズ 2 IPSecセキュリティアソシエーション結合が下記のもので構築したことを確認して下

さい: show crypto ipsec sa ピア[ピア IP]

Cisco-ASA# show crypto ipsec sa peer 192.168.2.2 peer address: 192.168.2.2

Crypto map tag: outside, seq num: 10, local addr: 192.168.1.2

access-list VPN extended permit ip 192.168.0.0 255.255.255.0 192.168.3.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0) current_peer: 192.168.2.2

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4

#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0

#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0

#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0

#TFC rcvd: 0, #TFC sent: 0

#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0

#send errors: 0, #recv errors: 0

local crypto endpt.: 192.168.1.2/500, remote crypto endpt.: 192.168.2.2/500 path mtu 1500, ipsec overhead 74(44), media mtu 1500

PMTU time remaining (sec): 0, DF policy: copy-df ICMP error validation: disabled, TFC packets: disabled current outbound spi: 8E7A2E12

current inbound spi : 9B60EDC5 inbound esp sas:

spi: 0x9B60EDC5 (2606820805) SA State: active

transform: esp-aes-256 esp-sha-hmac no compression in use settings ={L2L, Tunnel, IKEv2, }

slot: 0, conn_id: 182743040, crypto-map: outside

sa timing: remaining key lifetime (kB/sec): (4193279/28522) IV size: 16 bytes

replay detection support: Y Anti replay bitmap:

0x00000000 0x0000001F outbound esp sas:

spi: 0x8E7A2E12 (2390371858) SA State: active

transform: esp-aes-256 esp-sha-hmac no compression in use settings ={L2L, Tunnel, IKEv2, }

slot: 0, conn_id: 182743040, crypto-map: outside

sa timing: remaining key lifetime (kB/sec): (3962879/28522) IV size: 16 bytes

replay detection support: Y Anti replay bitmap:

0x00000000 0x00000001

4 つのパケットは送信され、4 つはエラー無しで IPSec SA に受け取られます。 SPI

0x9B60EDC5 の 1 つの受信 SA および SPI 0x8E7A2E12 の 1 送信 SA は予想通りインストール されています。

またデータがトンネルを VPNsessiondb l2l エントリのことをチェックを渡されていることを確認 できます:

Cisco-ASA#show vpn-sessiondb l2l Session Type: LAN-to-LAN

Connection : 192.168.2.2

Index : 44615 IP Addr : 192.168.2.2 Protocol : IKEv2 IPsec

Encryption : IKEv2: (1)AES256 IPsec: (1)AES256 Hashing : IKEv2: (1)SHA1 IPsec: (1)SHA1

Bytes Tx : 400 Bytes Rx : 400

Login Time : 18:32:54 UTC Tue Mar 13 2018 Duration : 0h:05m:22s

バイト Tx: そしてバイト Rx: IPSec SA 上の送信 されたおよび受け取ったデータ カウンター示し て下さい。 

トラブルシューティング

ステップ 1. VPN のための関連 トラフィックが Azure のプライベート ネットワークに向かう内部 インターフェイスの ASA によって受信されていることを確認して下さい。 テストの場合、内部 クライアントからの連続 ping を設定でき、ASA のパケットキャプチャをそれを確認するために 設定することは受け取られます:

キャプチャ して下さい[一致する CAP 名前]インターフェイス[名前] [プロトコル] [ソース IP]

[ソース マスク] [dest IP] [dest マスク]

示して下さいキャプチャ[CAP 名前]

Cisco-ASA#capture inside interface inside match ip host [local-host] host [remote-host]

Cisco-ASA#show capture inside 2 packets captured

1: 18:50:42.835863 192.168.0.2 > 192.168.3.2: icmp: echo request 2: 18:50:42.839128 192.168.3.2 > 192.168.0.2: icmp: echo reply 2 packets shown

Azure からの応答トラフィックが見られる場合、VPN はきちんと/トラフィックを受信する送信構 築され。

ソーストラフィックが抜けている場合、送信側が ASA にきちんとルーティングしていることを確 認して下さい。

ソーストラフィックが見られたらが、Azure からの応答トラフィックが抜けていたら、確認しな ぜ続けて下さい。

ステップ 2. ASA 内部インターフェイスで受信される関連 トラフィックが ASA によってきちんと 処理され、VPN にルーティングされることを確認して下さい:

ICMPエコー要求を模倣するため:

パケット トレーサー入力[の中インターフェイス名前] icmp [の中ホスト IP] 8 0 [Azure ホスト IP]詳細

完全なパケット トレーサー使用上のガイドラインはここに見つけることができます:

https://supportforums.cisco.com/t5/security-documents/troubleshooting-access-problems- using-packet-tracer/ta-p/3114976

Cisco-ASA# packet-tracer input inside icmp 192.168.0.2 8 0 192.168.3.2 detail Phase: 1

Type: CAPTURE Subtype:

Result: ALLOW Config:

Additional Information:

Forward Flow based lookup yields rule:

in id=0x7f6c19afb0a0, priority=13, domain=capture, deny=false hits=3, user_data=0x7f6c19afb9b0, cs_id=0x0, l3_type=0x0 src mac=0000.0000.0000, mask=0000.0000.0000

dst mac=0000.0000.0000, mask=0000.0000.0000 input_ifc=inside, output_ifc=any

Phase: 2

Type: ACCESS-LIST Subtype:

Result: ALLOW Config:

Implicit Rule

Additional Information:

Forward Flow based lookup yields rule:

in id=0x7f6c195971f0, priority=1, domain=permit, deny=false hits=32, user_data=0x0, cs_id=0x0, l3_type=0x8

src mac=0000.0000.0000, mask=0000.0000.0000 dst mac=0000.0000.0000, mask=0100.0000.0000 input_ifc=inside, output_ifc=any

Phase: 3

Type: ROUTE-LOOKUP

Subtype: Resolve Egress Interface Result: ALLOW

Config:

Additional Information:

found next-hop 192.168.1.1 using egress ifc outside Phase: 4

Type: NAT

Subtype: per-session Result: ALLOW

Config:

Additional Information:

Forward Flow based lookup yields rule:

in id=0x7f6c19250290, priority=0, domain=nat-per-session, deny=true

hits=41, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=0 src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any

dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0 input_ifc=any, output_ifc=any

Phase: 5

Type: IP-OPTIONS Subtype:

Result: ALLOW Config:

Additional Information:

Forward Flow based lookup yields rule:

in id=0x7f6c1987c120, priority=0, domain=inspect-ip-options, deny=true hits=26, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any

dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0 input_ifc=inside, output_ifc=any

Phase: 6 Type: QOS Subtype:

Result: ALLOW Config:

Additional Information:

Forward Flow based lookup yields rule:

in id=0x7f6c19a60280, priority=70, domain=qos-per-class, deny=false

hits=30, user_data=0x7f6c19a5c030, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=0

src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any

dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0 input_ifc=any, output_ifc=any

Phase: 7 Type: INSPECT Subtype: np-inspect Result: ALLOW Config:

Additional Information:

Forward Flow based lookup yields rule:

in id=0x7f6c1983ab50, priority=66, domain=inspect-icmp-error, deny=false

hits=27, user_data=0x7f6c1987afc0, cs_id=0x0, use_real_addr, flags=0x0, protocol=1 src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=any

dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=any, dscp=0x0 input_ifc=inside, output_ifc=any

Phase: 8 Type: VPN

Subtype: encrypt Result: ALLOW Config:

Additional Information:

Forward Flow based lookup yields rule:

out id=0x7f6c19afe1a0, priority=70, domain=encrypt, deny=false

hits=2, user_data=0x13134, cs_id=0x7f6c19349670, reverse, flags=0x0, protocol=0 src ip/id=192.168.0.0, mask=255.255.255.0, port=0, tag=any

dst ip/id=192.168.3.0, mask=255.255.255.0, port=0, tag=any, dscp=0x0 input_ifc=any, output_ifc=outside

Phase: 9

Type: FLOW-CREATION Subtype:

Result: ALLOW Config:

Additional Information:

New flow created with id 43, packet dispatched to next module Module information for forward flow ...

snp_fp_tracer_drop

snp_fp_inspect_ip_options snp_fp_inspect_icmp snp_fp_adjacency snp_fp_encrypt snp_fp_fragment snp_ifc_stat

Module information for reverse flow ...

Result:

input-interface: inside input-status: up

input-line-status: up output-interface: outside

output-status: up output-line-status: up Action: allow

その NAT の上の出力の注はトラフィックを免除することを見られます（変換は実施されませ ん）。 NAT 変換が関連 トラフィックで行われていないことを確認して下さい。

また「アウトプットインターフェイスを確認して下さい: 」正しいです--それはクリプト マッ プが適用するか、またはそれが仮想 な トンネルインターフェイスであるはずであるところに どちらかであるはずです物理インターフェイス。

参照されるアクセス リスト ドロップがないことを確認して下さい。

VPN フェーズが暗号化を示せば: 割り当てて下さい、トンネルは既に構築され、encaps とイ ンストールされる IPSec SA 見るはずです。

ステップ 2.1 暗号化: 上でパケット トレーサーで見られる割り当て

IPsec SA 「show crypto ipsec sa」を使用して暗号化トラフィック インストールされていること を確認すれば

暗号化されたパケットが ASA から送信され、暗号化された応答が Azure から届くことを確認す るために outside インターフェイスのキャプチャを行って下さい

ステップ 2.1 暗号化: 上でパケット トレーサーで参照されるドロップする

VPN トンネルはまだ確立されていませんネゴシエーションにあるはずです。 これは最初にトン ネルを始動するとき期待された状態です。 ところで、そして識別するためにデバッグを失敗が発 生する場合トンネルネゴシエーション プロセスを表示し、実行して下さい:

最初に ike の正しいバージョンが引き起こされて いること ike コモン プロセスは関連するエラー がないことを示すことを、確認すれば:

Cisco-ASA#debug crypto ike-common 255

Cisco-ASA# Mar 13 18:58:14 [IKE COMMON DEBUG]Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv1. Map Tag = outside. Map Sequence Number = 10.

関連 トラフィックが初期化されるとき ike コモン デバッグ 出力が見られなければ、これは廃棄 されるか、または暗号 ikev1/ikev2 がボックスことをでトラフィックがクリプト プロセスに達す る前に有効に ならないことを意味します。 暗号構成およびパケット破棄を慎重に検査して下さい ike コモン デバッグが示せばクリプト プロセスは引き起こされましたり、トンネルネゴシエーシ ョン メッセージを表示し、失敗が Azure のトンネル ビルディングでどこに発生するか識別する ために IKE によって設定されるバージョンをデバッグします:

IKEv1

完全な ikev1 デバッグ プロシージャおよび分析はここにあります。

Cisco-ASA#debug crypto ikev1 127 Cisco-ASA#debug crypto ipsec 127

IKEv2

完全な ikev2 デバッグ プロシージャおよび分析はここにあります。

Cisco-ASA#debug crypto ikev2 platform 127 Cisco-ASA#debug crypto ikev2 protocol 127 Cisco-ASA#debug crypto ipsec 127